前言:中文期刊网精心挑选了信息安全审计报告范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全审计报告范文1
随着信息技术的飞速发展,数据库的应用愈加广泛,深入到各个领域,但随之面来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。
近年来,数据库被攻击和数据窃取事件层出不穷,导致严重的经济问题和社会问题。国内也出现企业级数据库服务器多次被攻击,给企业带来了经济和声誉上的损失等等。越来越多的大型企业意识到了数据库行为审计的重要性,现在采用独立的数据库审计产品己经成为业界的趋势。
目前,南车戚墅堰机车有限公司的数据库管理主要面临以下挑战: 管理风险:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第二方维护人员的操作监控失效等等,离职员工的后门,致使安全事件发生时,无法追溯并定位真实的操作者。
技术风险:数据库是一个庞大复杂的系统,安全漏洞如溢出、注入层出不穷,每一次的CPU都疲于奔命,面出于稳定性考虑,往往对补丁的跟进非常延后,目前的现实状况是很难通过外部的任何网络层安全设备来阻止应用层攻击的威胁。
审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能;数据库日志文件本身存在被篡改的风险、自己的日志审计也难以体现审计信息的有效性和权威性。此外,对于海量数据的挖掘和迅速定位也是任何审计系统必须面对和解决的核心问题之一。基于数据库安全和审计的重要性以及企业精细化管理的要求,公司计划使用第二方权威的数据库审计产品,对重要数据库服务器进行统一的审计和管理,满足企业信息化建设的需求。
1数据库审计系统应用目标
依据国资委相关根据及南车集团总部信息安全管理规范化的要求,结合南车戚墅堰机车有限公司实际的情况,在保证网络及业务的访问的安全性、连续性、稳定性的前提下,实现对指定数据库审计并记录所有的关键信息,保证数据库有效安全地访问。数据库审计设备用于公司重要数据库的安全审计,对重要数据的增删改查操作的全方位审计记录,同时也提供恶意攻击数据库的防护和监控手段,满足上市公司企业内控的要求。
2数据库审计系统部署
公司通过前期的详细调研和评估,选择了Imperva的数据库审计系统,保护公司核心系统运行的SQL或Oracle等数据库,对数据库操作进行统一监控和防护,及时发现异常行为。
数据库审计系统通过独立的网络硬件设备,不消耗数据库服务器处理,内存或硬盘资源。单一的Secure Sphere网关足够满足多个数据库服务器的要求。系统提供丰富的借口和强大的处理能力,同时可以提供所有业务功能。
数据库安全监控网关,采用侦听模式的部署方式,简洁力-便,只需要通过交换机的端口镜像,将需要保护的服务器的流量导入到数据库安全保护网关引擎的业务接口即可,网关完全处于业务通道外,对现有系统影响最小。这种部署方式提供了完善的针对数据库的审计功能,实现了对非法的访问或违反策略的访问进行实时的告警。
3数据库审计系统的应用优势
数据库审计系统使用实时的Kernel方式来处理和分析SQL协议,尽可能减少硬盘的读写,采用将审计信息写入CSV文件的方式提高记录审计信息的速度,所有的流量都会经过检测,面不用写入到文件中。只有相应的安全时间和必要的审计信息才写到硬盘上,这样就极大地提高了处理效率。
数据库审计系统提供的适合数据库访问的高性能和特性网关,通过捕获、分析、审计实时的网络流量,并且可以审计来回的双向流量,发现高级权限操作和非法行为,提供实时告警和}实时阻拦,不影响数据库服务器本身性能,不对现有业务造成任何影响。
数据库审计系统可制定灵活的审计策略,可以给任意的数据库设定任意的审计策略。系统提供了很多任意颗粒度的细化面灵活的审计规则,包括JO数据库审计系统的安全策略和审计策略完全分开,可以使得设备灵活的对流量进行安全检测,同时进行灵活的审计记录。出于安全考虑,可以检测所有的流量不管是不是被审计的,同时可以让用户选择需要记录下来哪些数据库的访问作为审计信息,这两个过程完全是独立和并行进行的,这样就在保证了系统对数据库进行全面的安全审查的同时,减少了需要审计和存储的数据库访问信息。 数据库审计系统提供了各种灵活的对常用软件和应用,如SAP, Oracle EBS or PeopleSoft特制的报告模板,面细粒度的灵活的报告设计结构,可以随意设置怎样生成报告和展现数据,并利用各种图形和列表方式展现数据。
4实际应用效果
戚墅堰公司的数据库审计系统目前建立了OA. ERP. PDM.e-HR四个数据库站点,应用了相应策略,建立了审计机制,并通过实时监测,定期出具审计报告。系统的投入应用,在公司内建立了一套数据应用系统的预警、危机防范和事故监控加固机制,使管理和访问人员能对数据库及相关服务器的各类操作进行完整记录和管理并在事故发生后依据相关信息对事故的起源进行可靠、准确的和快速的分析和判断,为数据库及相关系统的正常运行提供加固保障,实现了重要数据库操作都能有据可查、责任到人。
5下阶段的研究目标和方向
(1)扩大数据库审计应用的范围
在现有的几个列入数据库审计系统的重要数据库之外,逐步将公司其它各类应用系统数据库纳入到审计范围内,使得数据库审计范围达到基本全覆盖,得到充分地应用。
(2)加强监控和审计策略的制定
建立数据敏感表,加强对敏感数据访问的审计力度,加强数据库访问的安全策略的设定,丰富各类安全事件的报警机制,形成更加详尽全面的数据库审计报告。
信息安全审计报告范文2
【关键词】信息系统 网络安全 评价指标
根据国家网络和信息系统的安全性要求,结合多年的网络管理经验,从以下五个指标对信息系统网络安全进行评价:
1.实体与环境安全
实体与环境指计算机设备及计算机网管人员工作的场所,这个场所内外的环境条件必须满足计算机设备和网管人员的要求。对于各种灾害、故障要采取充分的预防措施,万一发生灾害或故障,应能采取应急措施,将损失降到最低限度。可以从以下几个方面来检查:
(1)机房周围环境
机房是否建在电力、水源充足、自然环境清洁、通讯、交通运输方便的地方。
(2)机房周围100m内有无危险建筑
危险建筑:指易燃、易爆、有害气体等存在的场所,如加油站、煤气站、煤气管道等。
(3)有无监控系统
监控系统:指对系统运行的外围环境、操作环境实施监控(视)的设施,及时发现异常,可根据使用目的不同配备以下监视设备,如红外线传感器、监视摄像机等设备。
(4)有无防火、防水措施
防火:指机房内安装有火灾自动报警系统,或有适用于计算机机房的灭火器材,如卤代烷1211和1301自动消防系统或灭火器。
防水:指机房内无渗水、漏水现象,如机房上层有用水设施需加防水层,有暖气装置的机房沿机房地面周围应设排水沟,应注意对暖气管道定期检查和维修。是否装有漏水传感器。
(5)机房有无环境测控设施(温度、湿度和洁净度),如温湿度传感器
温度控制:指机房有空调设备,机房温度保持在18—24摄氏度。
湿度控制:指相对湿度保持在40%—60%。
洁净度控制:机房和设备应保持清洁、卫生,进出机房换鞋,机房门窗具有封闭性能。
(6)有无防雷措施(具有防雷装置,接地良好)
计算机机房是否符合GB 157《建筑防雷设计规范》中的防雷措施。
在雷电频繁区域,是否装设有浪涌电压吸收装置。
(7)有无备用电源和自备发电机
(8)是否使用UPS
UPS:(Uninterruptible Power System),即不间断电源,是一种含有储能装置,以逆变器为主要组成部分的恒压频的不间断电源。主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。
(9)是否有防静电措施(采用防静电地板,设备接地良好)
当采用地板下布线方式时,可铺设防静电活动地板。
当采用架空布线方式时,应采用静电耗散材料作为铺垫材料。
通信设备的静电地板、终端操作台地线应分别接到总地线母体汇流排上定期(如一周)对防静电设施进行维护和检验。
(10)是否保证持续供电
设备是否采用双路市电供电,提供冗余备份,并配有实时告警监控设备。是否与空调、照明用电分开,专线供电。
(11)是否有防盗措施
中心有人值班,出入口安装防盗安全门,窗户安装金属防护装置,机房装有无线电遥控防盗联网设施。
2.组织管理与安全制度
(1)有无专门的信息安全组织机构和专职的信息安全人员
信息安全组织机构的成立与信息安全人员的任命必须有有关单位的正式文件。
(2)有无健全的信息安全管理的规章制度
是否有健全的规章制度,而且规章制度上墙;是否严格执行各项规章制度和操作规程,有无违章操作的情况。
(3)是否有信息安全人员的配备,调离有严格的管理制度
(4)设备与数据管理制度是否完备
设备实行包干管理负责制,每台设备都应有专人负责保管(包括说明书及有关附件);在使用设备前,应掌握操作规程,阅读有关手册,经培训合格后方可进行相关操作;禁止在计算上运行与业务无关的程序,未经批准,不得变更操作系统和网络设置,不得任意加装设备。
(5)是否有登记建档制度
登记建档是做好网络安全工作的前提,一些技术资料对网络安全工作很重要,要注意收集和保存。可从以下几个方面检查相关文档:
策略文档(如,法规文件、指示)、系统文档(如,系统用指南、系统管理员手册、系统设计和需求文档、采购文档)、及安全相关的文档(如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略)都可提供系统使用的或计划的安全控制方面的信息。任务影响分析或资产重要性评估可提供有关系统和数据重要性及敏感性的信息。
设计资料,如网络拓扑结构图,综合布线结构图等。
安装资料,包括安装竣工及验收的技术文件和资料。
设备升级维修记录等。
(6)是否有紧急事故处理预案
为减少计算机系统故障的影响,尽快恢复系统,应制定故障的应急措施和恢复规程以及自然灾害时的措施,制成手册,以备参考。
(7)是否有完整的信息安全培训计划和培训制度
开展网络安全教育是为了使所有人员了解网络安全的基本常识及网络安全的重要性,要坚持经常的、多样化的安全教育工作,广播、图片、标语、报告培训班都是可以采用的宣传教育方式。
(8)各类人员的安全职责是否明确,能否胜任网络安全管理工作
应对网络管理人员严格分工,使其职责分明,要对网络管理人员定期进行安全培训及考核,对关键岗位人员,应该持有相应的认证。
3.安全技术措施
(1)是否有灾难恢复的技术对策
是否为网络中断和灾难做好准备,以及如何快速反应将中断和损失降至最小。灾难恢复措施包括灾难预防制度、灾难演习制度及灾难恢复制度。
(2)是否有系统安全审计功能
安全审计功能主要是监控来自网络内部和外部的用户活动,侦察系统中存在现有和潜在的威胁,对与安全有关的活动的相关信息进行识别,记录,存储和分析,安全审计系统往往对突发事件进行报警和响应。
(3)是否有系统操作日志
系统操作日志:指每天开、关机,设备运行状况等文字记录。
(4)是否有服务器备份措施
服务器数据备份是预防灾难的必要手段。随着对网络应用的依赖性越来越强和网络数据量的日益增加,企业对数据备份的要求也在不断提高。许多数据密集型的网络,重要数据往往存储在多个网络节点上,除了对中心服务器备份之外,还需要对其他服务器或工作站进行备份,有的甚至要对整个网络进行数据备份,即全网备份。网络备份需要专业备份软件,Backup Exec就是其中的一种,是为中小企业提供的基于Windows平台的网络备份与恢复解决方案。
(5)是否有防黑客入侵设施
防黑客入侵设施主要是设置防火墙和入侵检测等设施。
防火墙是为了监测并过滤所有内部网与外部网之间的信息交换,保护着内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关状态信息日志。防火墙有三种类型,包括过滤防火墙、型防火墙和状态监测型防火墙。
入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。它通过对计算机网络或计算机系统中若干关键点收集信息并对其分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
(6)是否有计算机病毒防范措施
计算机病毒防范措施:备有病毒预防及消除的软、硬件产品,并能定期的升级。设置客户端级防护、邮件服务器级防护和应用服务器级防护。
4.网络与通信安全
(1)放置通信设施的场所是否设有醒目标志
从安全防范的角度考虑,安装有关通信设备的地方不应加标志。配线架或MODEM柜应加锁,禁止无关人员入内。
(2)重要通信线路及通信控制装置是否均有备份
重要的通信线双重化以及线路故障时采用DDN通信线或电话线ISDN等后备功能;从计算中心连出的重要通信线路应采用不同路径备份方式。
(3)是否采取加密措施
数据加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变只有授权接收者才能还原并阅读的编码。其过程就是取得原始信息并用发送者和接收者都知道的一种特殊信息来制作编码信息形成密文。
(4)系统运行状态有无安全审计跟踪措施
安全审计是模拟社会检察机构在计算机系统中监视、记录和控制用户活动的一种机制。它是影响系统安全的访问和访问企图留下线索,以便事后分析和追查,其目标是检测和判定对系统的恶意攻击和误操作,对用户的非法活动起到威慑作用,为系统提供进一步的安全可靠性。
(5)网络与信息系统是否加有访问控制措施
访问控制措施:指能根据工作性质和级别高低,划分系统用户的访问权限。对用户进行分组管理,并且应该是针对安全性问题而考虑的分组。
5.软件与信息安全
(1)操作系统及数据库是否有访问控制措施
把整个系统的用户根据需要分为不同级别;不同级别的用户享有对系统的文件、数据、网络、进程等资源的权限,并进行记费管理;还可根据不同的用户设置不同的安全策略,将超级用户的权限细化(可分为系统管理员、安全管理员、数据库管理员、用户管理员等)。
(2)应用软件是否有防破坏措施
对应用程序安全的考虑可以遵循如下的方向:对通用应用,如消息传递、文件保护、软硬件交付等,制定通用技术要求;对于特定的复杂应用,可分解为通用应用,同时考虑互操作性问题。一般来讲,应用程序的安全机制应该包括以下内容:身份标识与鉴别、数据保密性、数据完整性、数据可用性、配置管理等。
(3)对数据库及系统状态有无监控设施
可以使用系统安全检测工具来定期扫描系统,查看系统是否存在各种各样的漏洞。
(4)是否有用户身份识别措施
身份认证与数字签名策略,身份认证是证明某人或某物身份的过程,当用户之间建立连接时,为了防止非法连接或被欺骗,就可实施身份确认,以确保只有合法身份的用户才能与之建立连接。
(5)系统用户信息是否采用备份
信息安全审计报告范文3
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
信息安全审计报告范文4
近年来,应用软件随着信息系统的发展,功能随之增大,相应的,程序源代码的规模也加大了,容易被利用的安全漏洞和代码后门也不再局限于以往,这就使得用传统软件测试方法来检测源代码中的安全漏洞非常困难。所以从源代码审计的角度,对源代码进行检测和分析,从而从根本上保护软件和信息系统的安全,杜绝了代码后门又能够避免潜在的漏洞安全威胁,进一步保障了信息安全。
在对应用软件和信息系统进行安全评估的时候,很多问题都是出现在软件的编码阶段,如SQL注入、XML实体攻击、XSS跨站脚本攻击等。这些问题都需要通过修改软件的源代码来解决。因此,对于应用软件和信息系统的安全问题必须从底层的源代码抓起,在其上做到最佳防范。
本文阐述了源代码审计原则,概述了源代码审计的方法和技术,对比了源代码审计工具,表明了源代码审计的价值和意义,最后对源代码审计技术的发展趋势做出预估。
2源代码审计原则
代码审计的过程如下,首先阅读目标系统(被审计)源代码,然后检査保证代码正确安全的控制是否设置在了关键的逻辑流位置上。它的主要目的是使得安全的开发技术被研发人员和编码人员严格遵循。通常来讲,如果被审计的目标系统经过一次完整的源代码安全审计之后,能够规避大部分的应用程序的源代码漏洞,提高模拟渗透测试的精度。
2.1所有的输入均不可信
在源代码程序中有很多的输入,包括系统内外部,由于用户的输入被应用程序处理,然后分析,进而展示,那每一个有可能被恶意利用或者造成代码纰漏的输入都是可疑的。据统计,在漏洞里面,由输入数据引起的安全问题高达90%,所以,对于程序代码中数据输入的格式与内容进行严格限定,能起到一定的安全控制作用。
2.2遵循安全编码规范
CERT是美国软件工程研究所(SEI)的计算机安全应急响应组,它编制了多种语言的安全编码规范,其中,Java安全编码标准已经于2011年9月14曰出版发行(Addison-Wesley出版社)。该安全编码标准着重于Java程序中最容易出错、产生代码安全问题的环节,详细制定了编码层保障安全的规则,同时也提供了规避产生类似错误的最佳操作指南。
RobertC.Seacord(CERT标准主编)提道,CERTJava安全编码标准是作为SEI安全编码项目的一部分。之前,CERT安全编码团队已经编制过很多的安全编码规则或标准,其中最著名的是CERTC安全编码标准(Addison-Wesley出版社2005)和CERTC++安全编码标准(Addison-Wesley出版社2008)。它们分别提供了C和C++编程语言中对于安全编码的指导方针和最佳操作指南,其目的是避免不安全的编码操作和可能会被利用的代码后门导致的潜在安全风险。
遵循安全的编码规范在代码开发阶段很有必要,软件系统因为编码规范、安全,会更健壮,抵抗恶意攻击的能力也越强。源代码审计制定了相应技术的源代码安全规范,并在审査的过程中检査应用程序是否严格遵从现有的安全编码规范。若是没有遵循安全编码规范,但无造成漏洞风险,这样的源代码仍然存在安全风险,需要在最后的审计报告中明确指出。
2.3漏洞与安全编码内在关系
现有的代码安全审计主要是査找传统或者已知代码的安全漏洞,这些安全漏洞主要是一些国际权威组织比如OWASP、CWE、CVE、SANS公布的代码安全漏洞,这些漏洞都是基于不同的安全漏洞模型来査找的,主要使用了数据流、控制流等技术査找恶意数据的入口点和恶意数据可能被利用的点(出口点),利用人工分析从入口点到出口点是否有风险来判断问题是否真实存在,并且所有的入口点及出口点都是基于开发源代码语言的API来査找的,与本身代码的逻辑无关。
CWE是一个社区开发的常见软件弱点的正式列表。它是一种用来描述软件安全弱点的通用语言,一个安全软件用来定位漏洞的标准量尺,以及一个用于弱点识别、缓解和预防所使用的基线标准。CWE作为统一的标准,它无论在广度还是深度方面统一了这一领域最有价值的内容,平衡了学术界、商业界以及政府在思维和认识方面的不同。CWE的目标是促进代码审计行业的标准化和成熟化,同时大力推进各类组织对他们采购或开发的软件质量进行审査的能力。
计算机安全应急响应组(ComputerEmergencyResponseTeam)是专门处理计算机网络安全问题的组织。在1988年莫里斯蠕虫横扫互联网之后,在美国联邦政府资助下,卡耐基梅隆成立了第一个CERT组织。主要对常用的编程语言制定相应的安全编码规范,例如C,C++和Java等等。
CWE和CERT安全编码标准独立执行各自功能但是又相互支持着,简单来说,CWE提供了一个漏洞弱点的综合库,而CERT安全编码规范负责识别不安全的编码结构,如果在代码里面出现该结构,就可能暴露软件的弱点或漏洞。因为并不是CWE里面所有的弱点都能够在任意一种安全编码规范里面得到呈现,因为每一种语言不可能呈现每一种漏洞,而且CWE还包括一些高层设计问题。也并非所有的CERT安全编码规则都能够直接映射cwe里面的漏洞,因为一些编码错误会以各种各样的方式呈现处理,这些方式可能不直接关联CWE里面给定的漏洞或弱点。总而言之,这两种工具在软件系统评估安全的过程中都是必需的。
2.4反向思考
在源代码审计的过程中,需要审计人员站在一个恶意用户或者攻击者的角度上,保持思维的灵活连续,从各个方面对代码的所有问题进行排査,对于异常问题的检査,要考虑到其波及范围和漏洞影响。
3源代码审计方法和技术概述
3.1代码安全审计方法
代码安全审计的实施阶段,有一系列常用的方法:
(1)自上而下
由于代码审计存在于应用程序的生命周期之内,故自上而下的审计方法是当应用程序收到了用户请求,对其进行逻辑上的处理和操作,使得用户能够得到最终的返回结果m。自上而下代码审计法跟踪了所有的外来输入(包括用户输入或环境变量输入),凡是有可能被用户恶意控制的变量和容易对内部变量造成污染的函数或者方法都被严格跟踪。一旦参数被接受,就会顺着代码逻辑被遍历跟踪,一直到找到可能有安全威胁的代码或者直到所有的输入都被过滤或限定为安全为止。
(2)自下而上
该方法恰恰与自上而下相反,根据敏感函数的关键词字典,从应用点回溯器接受参数,一步一步向上跟踪,直到排除嫌疑或发现安全隐患为止。此方法需要审计人员对这些敏感函数的内部机理和使用方法非常了解,这样才能判断某些非法参数的输入是不会有安全风险。
(3)逻辑路径覆盖
逻辑路径覆盖是由生命周期和代码的逻辑上出发,人工或者使用工具来遍历代码逻辑上所有可能形成的路径,发现这些路径上可能存在的安全隐患。它是一种基于代码逻辑的能够发现难以在黑盒或灰盒测试中检査出来的漏洞的一种遍历测试方式。虽然能够帮助研发人员在编码阶段检测到易引发的逻辑上的危险漏洞,但是投入到逻辑覆盖路径上的人力成本很高,审计时间较长,产出投入比低。而通常情况下,代码逻辑安全问题通过一般常规的测试,显现出来的安全问题比较少,或者有部分隐蔽问题,难以被代码审计人员或工具发现。
3.2代码安全审计技术
源代码安全分析其实早在1976年就有研究了,当时Colorado大学的LloydD.Fosdick和LeonJ.Osterweil曾在jCMComputing<SUrvey5上发表了著名白勺FlowAnalysisinSoftwareReliability,文章中提到了常用的代码审计技术:边界检测、数据分类验证、状态机系统、边界检测、数据类型验证、控制流分析、数据流分析、状态机系统等。
目前,软件源代码的安全性分析方法主要可分为静态分析与动态分析,国内外一些研究者在这一方面做了不少研究,提出一些不同的软件源代码的安全性分析实现方法,并设计了相关的应用系统。国际标准组织也提供了一系列的安全编码标准。
2007年JamesW.Moore和RobertC.Seacord在SeacordSecureCodingStandards一文中提到,由于编码漏洞导致的安全问题不断上升,ISO国际标准组织编写了一系列的安全编码以及安全使用编程语言避免漏洞的标准,如ISO/IECTS17961-2013Informationtechnology.Programminglanguages,theirenvironmentsandsystemsoftwareinterfaces.Csecurecodingrules;ISO/IEC9899:2011-Informationtechnology-Programminglanguages-C等。2010年开放式Web应用程序安全项目(OWASP)的安全编码指南里面虽不涉及编码安全规范的实施具体细节,但是提供了将编码规范转换成编码安全的具体要求,创建了安全编码标准并建立了一个可重用的对象库文件。
2013年RobertC.Seacord等人编写了《C和C++安全编码》,结合国际标准C11和C++11及其最新发展,详细地阐述了C/C++语言及其相关库固有的安全问题和陷阱,系统性地总结了导致软件漏洞的各种常见编码错误,并给出了应对错误的解决方案[12]。同时也在SecureCodingRules:Past,Present,andFuture一文中对其源代码审计安全规则发展过程进行总结,并对未来源代码安全审计规则做出预测。
2013年叶亮等人提出了基于安全规则的源代码分析方法。2013年袁兵等人针对应用软件的恶意后门进行了代码审计,取得非常不错的效果。2015年周诚等人提出了一种检测源代码安全漏洞的代码审査方法,该方法结合编码规则,高效检测出源代码的安全漏洞。
虽然动态方法对代码的规模没有限制,可以对大型程序进行检测,但不足之处是检测的效果严重依赖输入方法,只有当特定的输入使代码执行到危险点时,漏洞才会被发现,所以这种方法漏报率较高。现在代码审计的主流技术是采用基于安全规则的源代码静态分析,包括数据流控制流分析、词法语法分析、基于抽象语法树的语义分析、规则检査分析等。它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行。
下面介绍静态分析源代码的主要技术:
(1)数据流控制流分析
在静态环境下(即被测程序不运行条件下),从程序源代码中收集语义信息,检测使用操作中和对变量的定义中是否存在安全问题。数据流控制流分析主要是针对源程序代码上面的所有可能的逻辑路径和路径上所有变量的操作序列。
该方法有一定的缺陷,如信息量过大,容易造成组合爆炸等,且主要针对的是检测赋值引用异常及内存错误等,故往往作为其他检测方法的辅助方法使用。
(2)词法语法分析
在基本的语法词法分析上还采用了与CWE、CVE等安全漏洞库匹配的方法,这样能够检测出源
代码中的不安全函数或漏洞个数和位置,该方法十分简单高效。但是由于缺少源代码的语义信息等,加上漏洞库里面已发现的漏洞数量是有限的,那些未公开的漏洞无法匹配检测,这样会提升误报率,降低了检测精度,所以往往是在代码审计的前期工作里面使用词法语法分析方法。
(3)基于抽象语法树的语义分析
源代码审计中的抽象语法树是通过扫描程序源代码来构建的,在去掉了冗余的语法结构后提取出源代码中的主要信息。通过抽象语法树来分析源代码的语义信息能够清晰地掌握源代码中的全局信息和模块信息甚至局部信息。这样使得隐藏于源代码中的危险漏洞被检测出来的概率很高,但是由于大多数安全漏洞比较复杂而且还存在很多0day漏洞,所以此方法的检测能力和准确率还有待提高。
(4)规则检査分析
规则检査分析针对的是源代码中存在的一些通用漏洞的规则,首先它采用了比较特定的语法来描述漏洞规则,然后用规则解析器来分析,将其分析结果转换成为系统能够识别的内部表达,同时采用图匹配和代码匹配来完成源代码的漏洞检测。在流程上,该方法比较完善,对于与安全编码规则相矛盾的源代码是很容易检测出来的。但是由于漏洞的特征不只是安全编码程序中所遵循的规则,所以只能够在已知的漏洞库中达到较好的检测效果,而对于0day漏洞,效果欠佳。
4源代码审计工具
源代码安全性的分析离不开自动化的代码审计工具和与之结合的人工分析方法,源代码自动化审计工具先完成代码的漏洞扫描后,再由人工对漏洞进行分析、整改和确认。
4.1工具简介
源代码分析技术随着计算机语言的不断演进而曰趋完善。在不同的信息安全细分领域出现很多好用的源代码分析产品,如KlocworkInsight、Coverity、Parasoft和RationalSoftwareAnalyzer等公司的产品,静态分析工具有Fortify公司的FortifySCA、Armoire公司的CodeSecure和SecurityInnovation公司的CheckmarxSuite等。
以下简单介绍几款主流源代码审计工具:
(1)FortifySCA
它是一款用于测试软件源代码安全的工具,其内置了五大分析引擎:配置流、结构、控制流、数据流、语义。对源代码进行静态分析的过程中,按其特有的安全漏洞规则集进行査找和匹配,从而扫描出来源代码中存在的安全漏洞,并附有整理漏洞的报告。扫描的结果中包含了详细的漏洞信息和相关的安全知识说明,最后还提供了修复意见。
(2)FindBugs
它主要是针对采用Java语言来编写的源代码进行安全检査,检査Java里面的类或JAR文件。它通过对比字节码和一组缺陷模式来发现代码中可能存在的问题。它能够发现:多线程竞争、代码是否符合安全编码规范、性能等问题。
(3)PMD
PMD作为一种扫描效率高,功能强大的开源分析Java代码的工具,能够在不运行Java程序的情况下通过静态分析获知代码错误。而且PMD也附带了很多安全编码规则,通过匹配这些规则能够发现Java源代码中的许多问题。如潜在的bug、未使用的代码、资源关闭、复杂的表达式和重复的代码等。用户还可以自己定义规则来检测Java代码是否符合这些特定的编码规范。
(4)CheckStyle
CheckStyle主要是对代码规范进行检査,它属于SourceForge下的一个项目,是一个帮助编程人员来遵循某些安全编码规范的工具,实现了自动化代码规范检査过程。但是,它缺少增强代码质量和修复代码的功能。
4.2工具对比
具体内容见表1。
5源代码审计的价值与意义
源代码审计工作具有重要的应用价值,它一方面能够节约后期的安全投入,从源头上消除安全隐患,从根源上控制系统安全风险,有效减少了后期的安全评估、加固、维修补救等工作;另一方面,能够很大程度上降低系统安全风险、解决代码安全隐患,从核心层面上来加强了整个安全保障体系的防护。
源代码审计工作意义在于提高应用软件源代码的质量、规避应用系统潜在后门带来的危害、防止信息系统的重要数据遭到泄露的同时又提升系统架构本身的安全性。避免被动防御处境,主动安全防御,明显节约了企业安全资金的投入,显著地提高了安全管理工作效率等。
信息安全审计报告范文5
关键词:网络 会计信息系统 安全
网络会计信息系统给财务管理带来新的理念,系统的使用者突破时空限制,可以随时随地通过网络访问会计信息系统,了解组织的业务状况和财务状况。网络环境为信息资源共享提供了极大的便利,同时也带来巨大的安全隐患。对于会计信息系统来讲,面临着越来越多的安全问题,如果不能很好地解决该问题,必将阻碍会计信息化发展进程。
一、网络会计信息系统面临的安全问题
(一)会计系统存在被攻击、窃取的风险 信息系统最容易受到的是病毒与黑客攻击,都会对计算机或信息系统构成安全威胁目前,金融、零售等信息化高度集中的行业很容易遭受到黑客攻击;政府、军队、教育科研等机构也成为黑客攻击的重要对象;会计信息系统,由于涉及到机构的核心机密,更容易受到攻击。据瑞星估算,仅2010年,针对网络的攻击就高达10万次以上,主要来源于美、日、韩等国。一般来讲,经济发达地区受攻击的比例会更高。网络环境下,财务信息将面临被窃取的风险。一方面,许多机构没有成熟的安全管理机制,甚至仅依靠浏览器或Web服务器中的SSL安全协议;另一方面,目前的操作系统主要由国外研制,企业很难判断其中是否存在后门或缺陷,极可能导致财务信息外泄。此外,大型企业的会计信息系统数据主要集中在服务器上,如果服务器管理人员不小心泄露密码,甚至内外勾结,则所有财务信息都可能被窃取。
(二)会计数据真实、完整、可靠性面临考验 会计数据有可能会失真,主要有数据篡改和数据伪造两种形式。数据篡改是指入侵者从网上将信息截获,按照数据的格式和规律,修改数据信息,然后发送给目的地,数据篡改破坏了数据的完整性。数据伪造则是指入侵者伪装成“商家”或“合法用户”,给对方发送邮件、订单等虚假信息,从而窃取个人密码或商业信息。会计数据一旦失真,企业将面临巨大的安全隐患。网络环境下,会计档案的存储介质不再是以前的纸质文档,而变成了电子数据。电子数据存储,极大提高了存储效率,也为管理数据带了便利,但有其天然缺陷。当存储介质遇到剧烈振动,或突然遇到停电、火灾等情况时,很可能导致存储的数据失效。当被非法修改时,有可能没有任何痕迹;此外,当网络会计信息系统升级的时候,可能不兼容以前的版本,或者数据格式、数据接口等发生了变化,使得以前的信息不能进入当前的会计信息系统,都有可能导致会计档案失效。信息化会计与传统会计存在很大差别,很多企业由于未能及时建立与信息化方式匹配的内部控制机制,容易导致内部控制失效。如操作人员录入了不正确的字段、使用了无效的代码、或从财务的纸质凭证转录了数据等,都可能影响数据质量,如果缺乏相应的监督检查机制很可能导致内部控制失效。此外,由于网络环境下的会计信息系统数据集中存放于数据库,信息交叉程度提高,依靠帐薄及凭证相互核对错误的机制可能也会失效,传统会计中某些职工分权、相互牵制和约束的机制可能失去作用,信息管理人员或专业人员舞弊会给企业带来不可估量的损失,也是会计信息化面临的破坏力最大的隐患。如有些数据库管理员通过篡改数据获取不当利益,网络会计信息系统可能连痕迹都没留下。
二、网络会计信息系统安全问题原因分析
(一)网络系统的开放性和共享性网络系统的重要特点是开放性和共享性,使网上信息安全存在先天不足,可能会带来一些安全问题。一方面,由于互联网的开放性,网络上所有用户均可共享信息资源,给一些非法访问者提供了可趁之机。另一方面,互联网上的数据往往是没有加密的,这使得用户密码及其他重要数据可能在传输过程中被监听和窃取。此外,在诸多信息系统中实行了分级权限管理,某些部门的操作人员被赋予了太高的权限,可以接触到整个企业的财务会计系统,增加了财务信息被盗的风险。
(二)硬件设备配置不合理网络信息系统中硬件的配置非常重要,尤其是网络服务器及路由器等设备,对网络安全有很大的影响。如果选择了不合理的服务器型号,不仅网络可能不顺畅,网络的稳定性及扩充性也会受到影响;如果选用的路由器缓冲区过小,则在网络延时过程中,可能会流失数据包;如果路由器缓冲区过大,则可能会增加网络延时,这些都会导致网络不安全。
(三)软件系统不合理主要包括两个方面:一是软件系统规划不合理,开发的系统本身存在缺陷;二是软件开发工具选择不合理。(1)软件系统的不合理规划与开发。在规划过程中,系统分析人员没有与会计工作人员及相关用户充分沟通,从而系统的需求分析可能并不能完全反映真实要求。基于这种规划开发的会计信息系统,可能会引起一系列不安全的后果。另外,用户自行开发软件数据常常无法与购买的财务软件数据交流,从而造成资源浪费。(2)软件开发工具的不合理使用。以数据库工具为例,SQL server、Oracle、Sybase等主要适用于大型系统;Acess、FoxPro等则主要适用于小型系统。值得注意的是,各类数据库工具的安全机制有所不同,所以必须根据系统的规模大小及安全性要求合理选择数据库工具。
(四)制度建设不健全网络环境中,会计系统往往要和业务系统,如采购系统、销售系统、存货管理系统等相关联,实现信息共享,提高会计系统的自动化处理程度。为了让信息安全共享,必须建立内部控制制度,分配角色并赋予权限。此外,股东、银行、税务等机构也可能通过网络与企业的财务会计系统连接,也需要建立相应的内部控制制度。
(五)人员风险人员风险主要分为胜任能力风险及道德风险。胜任能力要求从业人员既要熟练掌握国家会计准则及会计制度,掌握相应的信息技术,而且要具备较强的学习能力。道德风险,则要求财务人员面对诱惑时,能够坚守职业操守。
三、网络会计信息系统安全管理的策略
(一)安全管理的目标对于会计信息系统来说,信息安全主要是要保证信息的保密性、完整性、可用性、真实性、可控制性、可审查性、不可抵赖性等。数据保密性是指数据在网络上传输的时候不被非法窃取,或者虽然被窃取但窃取者不能破解其真正意义;数据完整性是指数据的精确性和可靠性,指数据在传输过程中不被增加、删除、修改内容;可用性是指对于合法用户的正常使用,要保证能够实现而不被拒绝;真实性是指鉴别数据来源,消除非法数据源,确保进入系统的数据是真实可靠的;可控制性是指数据的输入、输出、处理过程是可以控制的;可审查性是指对数据的任何访问与操作(增加、删除、修改)均被纪录下来,便于“信息”追踪或审查;不可抵赖性是指随所有用户的操作进行纪录并存档,防止用户否认已作过的操作。
(二)安全管理的基本思想为了保证会计信息系统的安全,在规划系统时候要全面考虑,按照“全网安全”的思想,实现多层面控制。(图1)是基于该思想的安全体系框架。可以看出,该架构主要由三部分组成:技术体系、组织体系、管理体系。(1)技术体系:技术体系安全架构主要是为系统安全提供技术保障,包括安全技术和技术管理这
两大部分。安全技术又分为网络环境安全及信息环境安全两部分。网络环境安全主要指物理安全和环境安全。为防范物理安全问题而导致会计信息安全隐患,要将计算机及相关设施受到物理保护,免于被破坏、丢失等;信息环境安全主要是指系统安全和信息安全。技术管理又分为三大部分:符合ISO标准的技术管理,从安全服务、体系规范、实施细则、安全评估几个侧面分别对会计信息系统安全进行管理;审计监测方面进行技术管理,会计信息系统实时的状态监测、非法入侵时的监控;实施策略方面进行技术管理,财务系统的安全策略、密钥管理。(2)组织体系:组织体系主要为系统安全提供组织人员保障。从机构设置、岗位设置、人事设置三方面进行构建。(3)管理体系:管理体系主要为系统安全提供制度保障。从国家法律立法、企业规章制度、企业业务培训三方面对系统安全给予保障。
(三)安全管理的整体解决方案基于(图1)的“全网安全”思想,可以从如下方面对网络会计系统进行整体安全保护:平台安全、硬件安全、软件安全、安全管理制度、人力资源素质。(图2)是基于该思想的网络会计信息系统安全问题整体解决方案。(1)平台安全。保证网络办公平台安全,是网络会计系统中最重要的部分。本方案中采用三种技术保证平台安全:防火墙、虚拟专用网(VPN)、入侵检测技术。防火墙充当屏障作用,合理使用防火墙能保护企业会计信息安全有效。主要作用在网络入口处检查网络通讯,过滤不安全服务,防止非法用户进入内部网络;限定用户访问特殊网站;对内外部网络进行有效隔离。所有外部网络的访问请求都要通过防火墙检查,使得企业内部网的会计信息系统相当安全。当然,企业会计信息系统应保持相对封闭状态,不能连接与业务无关的终端,更不能连接互联网,仅能与业务相关部门实现资源共享。VPN(Virtual Private Netwrok)是利用公共网络资源形成企业专用网,它融合了防火墙和Ipsec隧道加密技术的优点,可以为整个集团内部通信提供安全的信息传输通道,还可以简化网络管理、节约成本。VPN有隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术四项核心技术,为网络安全提供了一定保障。入侵检测是指通过对行为、审计数据、安全日志或其它网络上可获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测技术是为了弥补防火墙的不足,主动检测来自系统外部的入侵、监视防火墙内部的异常行为。实时监控是会计信息系统必备的措施。通过建立操作日志,对日常会计活动中进行全程跟踪,对大额的、异常的经济业务单独列示,详细反映,及时提醒。(2)硬件安全。硬件系统安全,会计信息系统的正常运行必须要有良好的硬件设备,从硬件系统的配置和管理两方面提出保证。配置方面,选用合适的输入输出设备、调制解调器(MODEM)、路由器等互联设备、及适当的网络服务器。同时,硬件设备必须有过硬的质量和性能,并且数据安装双硬盘,数据双重备份;管理方面,制定机房相关设备的定期检查制度,做好机房防火、防尘、防水、防盗及恒温等保障措施,使用UPS电源(防止停电导致信息中断),重要数据远程备份,安装机房报警系统等。(3)软件安全。操作系统是整个信息系统安全的基础。一方面,要尽量选择拥有自主知识产权的操作系统,减少“暗门”等对系统安全的影响。目前,我国计算机所使用的操作系统基本上是舶来品,因为缺少自主的技术,会计信息资料网络安全性较低,不能满足会计信息所要求达到的保密程度,对高水平的国产化软件有着迫切的需求;另一方面,会计信息从业人员要注意对操作系统的正确使用,如实时扫描漏洞并进行修补,对帐号、密码及权限进行管理,纪录安全日志并进行审计,下载补丁等,都可以提高操作系统的安全性。数据库软件,会计信息系统的核心就是存储在数据库中的数据,这是一切应用的基础,故需要对数据的安全性、完整性、保密性等方面采取保护措施。在开发数据库软件时,要考虑数据库系统的稳定性、可扩展性和高效性,以及安全性。各种外部数据信息导入之前,必须要经过病毒检测程序,同时对财务数据的导出,必须严格控制,防止信息外泄。对财务软件系统的修改维护必须报经相当领导批准同意。数据备份和数据容灾是保护数据库的重要措施,数据备份是指在远程网络设备上保存数据,防止数据的丢失和损坏;数据容灾是指在异地建立两套或多套功能相同的IT系统,相互进行状态监视和功能切换,当一处系统因意外停止工作时,整个应用系统可以切换到另一处,使系统功能可以继续正常工作。(4)安全管理制度。包括应用控制、数据控制、访问控制、安全管理体系、内部审计五个方面。应用控制是指在会计信息系统中,应用控制指的是对具体的数据处理活动进行控制,包括数据的输入、输出和处理控制。数据输入时,会计信息系统要能达到纠正数据合理性、重复输入校验、逻辑关系测试等工作。网络环境下,会计资料的输入由多人承担,可设置不同的复核方式,由系统对存在差异的数据进行比较。多用户同时进行操作时,系统自动生成连续的凭证号,使数据有效清晰。严格限制财务数据的修改权限,对修改数据的操作,应提供可打印备查界面。电子数据发放及接收都有认证机构提供的记录清单,以保证双方权益。数据控制又称数据保护,可分为安全性控制、完整性控制、并发控制和恢复。安全性控制主要是为了防止数据泄密和破坏,主要措施是授权和收回授权。对企业前内部人员,一定要及时收回授权;完整性控制是为了保证数据的正确性和相容性。数据通信传输过程中保证数据的完整,如果有被篡改的情况,接收方能通过软件及时检测出来。数据输入能否正确进入系统,与数据库软件的输入方式、数据格式及相关数据导入兼容转换有着很大关系。我国很多企业有结合自身特色的会计信息系统,为提高会计信息系统的管理层次,还需将财务信息系统与企业其他管理信息进行有机结合。同时,各不同的财务软件之数据交换,制定统一并规范的标准。并发控制是确保在多个事务同时存取数据库中同一数据时不破坏数据库的统一性。恢复这是指数据库系统发生故障后,能够自动恢复到正常的机制。访问控制是保证网络安全最重要的核心策略之一,主要任务是保证网络资源不被非法使用和访问。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。会计计信息数据的访问仅限于经过授权的用户,并且层层加密,禁止处理未经授权的业务。对关键财务信息资源,授权范围应尽可能小。按照网络环境下会计信息系统的需要,设定各级岗位责任及权限,防止非法操作;对不相容的职务要注意分离,不同岗位之间设定一定的制约机制。如系统管理员不能从事日常会计处理业务,记帐凭证一定要复核员复核才能生成帐簿。安全管理体系,严格完善的法律、法规与规章制度是网络环境下会计信息安全的制度保证。我国目前还没有专门的网络会计信息安全的法律法规,暂时还不能满足现有信息安全的需求。因而应逐步制定出符合我国国情的网络会计法律体系,规范网络交通购销支付以及核算行为,为网络会计的发展提供良好的法制环境。另一方面,企业自身也应建立安全管理部门,制定安全管理制度对操作人员实行安全技能培训。使会计信息系统从开发、用户管理、业务操作、数据存
信息安全审计报告范文6
[作者简介]王会金(1962― ),男,浙江东阳人,南京审计学院副校长,教授,博士,从事信息系统审计研究。
[摘 要]当前,我国急需一套完善的中观信息系统审计风险控制体系。这是因为我国的中观经济主体在控制信息系统审计风险时需要一套成熟的管理流程,且国家有关部门在制定信息系统审计风险防范标准方面也需要完善的控制体系作为支撑。在阐述COBIT与数据挖掘基本理论的基础上,借鉴COBIT框架,构建中观信息系统审计风险的明细控制框架,利用数据挖掘技术有针对性地探索每一个明细标准的数据挖掘路径,创建挖掘流程,建立适用于我国中观经济特色的信息系统审计风险控制体系。
[关键词]中观信息系统审计;COBIT框架;数据挖掘;风险控制;中观审计
[中图分类号]F239.4 [文献标识码]A [文章编号]10044833(2012)01001608
中观信息系统审计是中观审计的重要组成部分,它从属于中观审计与信息系统审计的交叉领域。中观信息系统审计是指IT审计师依据特定的规范,运用科学系统的程序方法,对中观经济主体信息系统的运行规程与应用政策所实施的一种监督活动,旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性[1]。与微观信息系统相比,中观信息系统功能更为复杂,且区域内纷乱的个体间存在契约关系。中观信息系统的复杂性主要体现在跨越单个信息系统边界,参与者之间在信息技术基础设施水平、信息化程度和能力上存在差异,参与者遵循一定的契约规则,依赖通信网络支持,对安全性的要求程度很高等方面。中观信息系统审计风险是指IT审计师在对中观信息系统进行审计的过程中,由于受到某些不确定性因素的影响,而使审计结论与经济事实不符,从而受到相关关系人指控或媒体披露并遭受经济损失以及声誉损失的可能性。中观信息系统审计风险控制的研究成果能为我国大型企业集团、特殊的经济联合体等中观经济主体保持信息系统安全提供强有力的理论支持与实践指导。
一、 相关理论概述与回顾
(一) COBIT
信息及相关技术的控制目标(简称COBIT)由美国信息系统审计与控制协会(简称ISACA)颁布,是最先进、最权威的安全与信息技术管理和控制的规范体系。COBIT将IT过程、IT资源及信息与企业的策略及目标联系于一体,形成一个三维的体系框架。COBIT框架主要由执行工具集、管理指南、控制目标和审计指南四个部分组成,它主要是为管理层提供信息技术的应用构架。COBIT对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持以及监控等四个方面确定了34个信息技术处理过程。
ISACA自1976年COBIT1.0版以来,陆续颁布了很多版本,最近ISACA即将COBIT5.0版。ISACA对COBIT理论的研究已趋于成熟,其思路逐步由IT审计师的审计工具转向IT内部控制框架,再转向从高管层角度来思考IT治理。大多数国际组织在采纳COSO框架时,都同时使用COBIT控制标准。升阳电脑公司等大型国际组织成功应用COBIT优化IT投资。2005年,欧盟也选择将COBIT作为其审计准则。国内学者对COBIT理论的研究则以借鉴为主,如阳杰、张文秀等学者解读了COBIT基本理论及其评价与应用方法[23];谢羽霄、黄溶冰等学者尝试将COBIT理论应用于银行、会计、电信等不同的信息系统领域[45]。我国信息系统审计的研究目前正处于起步阶段,因而将COBIT理论应用于信息系统的研究也不够深入。王会金、刘国城研究了COBIT理论在中观信息系统重大错报风险评估中的运用,金文、张金城研究了信息系统控制与审计的模型[1,6]。
(二) 数据挖掘
数据挖掘技术出现于20世纪80年代,该技术引出了数据库的知识发现理论,因此,数据挖掘又被称为“基于数据库的知识发现(KDD)”。1995年,在加拿大蒙特利尔召开的首届KDD & Date Mining 国际学术会议上,学者们首次正式提出数据挖掘理论[7]。当前,数据挖掘的定义有很多,但较为公认的一种表述是:“从大型数据库中的数据中提取人们感兴趣的知识。这些知识是隐含的、事先未知的潜在有用信息,提取的知识表现为概念、规则、规律、模式等形式。数据挖掘所要处理的问题就是在庞大的数据库中寻找有价值的隐藏事件,加以分析,并将有意义的信息归纳成结构模式,供有关部门在进行决策时参考。”[7]1995年至2010年,KDD国际会议已经举办16次;1997年至2010年,亚太PAKDD会议已经举办14次,众多会议对数据挖掘的探讨主要围绕理论、技术与应用三个方面展开。
目前国内外学者对数据挖掘的理论研究已趋于成熟。亚太PAKDD会议主办方出版的论文集显示,2001年至2007年仅7年时间共有32个国家与地区的593篇会议论文被论文集收录。我国学者在数据挖掘理论的研究中取得了丰硕的成果,具体表现在两个方面:一是挖掘算法的纵深研究。李也白、唐辉探索了频繁模式挖掘进展,邓勇、王汝传研究了基于网络服务的分布式数据挖掘,肖伟平、何宏研究了基于遗传算法的数据挖掘方法[810]。二是数据挖掘的应用研究。我国学者对于数据挖掘的应用研究也积累了丰富的成果,并尝试将数据挖掘技术应用于医学、通讯、电力、图书馆、电子商务等诸多领域。2008年以来,仅在中国知网查到的关于数据挖掘应用研究的核心期刊论文就多达476篇。近年来,国际软件公司也纷纷开发数据挖掘工具,如SPSS Clementine等。同时,我国也开发出数据挖掘软件,如上海复旦德门公司开发的Dminer,东北大学软件中心开发的Open Miner等。2000年以来,我国学者将数据挖掘应用于审计的研究成果很多,但将数据挖掘应用于信息系统审计的研究成果不多,且主要集中于安全审计领域具体数据挖掘技术的应用研究。
二、 中观信息系统审计风险控制体系的构想
本文将中观信息系统审计风险控制体系(图1)划分为以下三个层次。
(一) 第一层次:设计中观信息系统审计风险的控制框架与明细控制标准
中观信息系统审计的对象包括信息安全、数据中心运营、技术支持服务、灾难恢复与业务持续、绩效与容量、基础设施、硬件管理、软件管理、数据库管理、系统开发、变革管理、问题管理、网络管理、中观系统通信协议与契约规则等共计14个主要方面[11]。中观信息系统审计风险控制体系的第一层次是根据COBIT三维控制框架设计的。这一层次需要构架两项内容:(1)中观信息系统审计风险的控制框架。该控制框架需要完全融合COBIT理论的精髓,并需要考虑COBIT理论的每一原则、标准、解释及说明。该控制框架由14项风险防范因子组成,这14个因子必须与中观信息系统审计的14个具体对象相对应。框架中的每一个因子也应该形成与自身相配套的风险控制子系统,且子系统应该包含控制的要素、结构、种类、目标、遵循的原则、执行概要等内容。(2)中观信息系统审计风险的明细控制标准。控制框架中的14项风险防范因子需要具备与自身相对应的审计风险明细控制规则,IT审计师只有具备相应的明细规范,才能在中观信息系统审计实施过程中拥有可供参考的审计标准。每个因子的风险控制标准的设计需要以COBIT三维控制框架为平台,以4个域、34个高层控制目标、318个明细控制目标为准绳。
(二) 第二层次:确定风险控制框架下的具体挖掘流程以及风险控制的原型系统
第一层次构建出了中观信息系统审计风险控制的明细标准Xi(i∈1n)。在第一层次的基础上,第二层次需要借助于数据挖掘技术,完成两个方面的工作。一是针对Xi,设计适用于Xi自身特性的数据挖掘流程。这一过程的完成需要数据资料库的支持,因而,中观经济主体在研讨Xi明细控制标准下的数据挖掘流程时,必须以多年积累的信息系统控制与审计的经历为平台,建立适用于Xi的主题数据库。针对明细标准Xi的内在要求以及主题数据库的特点,我们就可以选择数据概化、统计分析、聚类分析等众多数据挖掘方法中的一种或若干种,合理选取特征字段,分层次、多角度地进行明细标准Xi下的数据挖掘实验,总结挖掘规律,梳理挖掘流程。二是将适用于Xi的n个数据挖掘流程体系完善与融合,开发针对本行业的中观信息系统审计风险控制的原型系统。原型系统是指系统生命期开始阶段建立的,可运行的最小化系统模型。此过程通过对n个有关Xi的数据挖掘流程的融合,形成体系模型,并配以详细的说明与解释。对该模型要反复验证,多方面关注IT审计师对该原型系统的实际需求,尽可能与IT审计师一道对该原型系统达成一致理解。
(三) 第三层次:整合前两个步骤,构建中观信息系统风险控制体系
第三层次是对第一层次与第二层次的整合。第三层次所形成的中观信息系统风险控制体系包括四部分内容:(1)中观信息系统审计风险控制框架;(2)中观信息系统审计风险控制参照标准;(3)中观信息系统审计风险控制明细标准所对应的数据挖掘流程集;(4)目标行业的中观信息系统审计风险控制的原型系统。在此过程中,对前三部分内容,需要归纳、验证、总结,并形成具有普遍性的中观审计风险控制的书面成果;对第四部分内容,需要在对原型系统进行反复调试的基础上将其开发成软件,以形成适用于目标行业不同组织单位的“软性”成果。在设计中观信息系统风险控制体系的最后阶段,需要遵循控制体系的前三部分内容与第四部分内容相互一致、相互补充的原则。相互一致表现在控制体系中的框架、明细控制标准、相关控制流程与原型系统中的设计规划、属项特征、挖掘原则相协调;相互补充表现在控制体系中的框架、明细控制标准及相关控制流程是IT审计师在中观信息系统审计中所参照的一般理念,而原型系统可为IT审计师提供审计结论测试、理念指导测试以及验证结论。 三、 COBIT框架对中观信息系统审计风险控制的贡献
(一) COBIT框架与中观信息系统审计风险控制的契合分析
现代审计风险由重大错报风险与检查风险两个方面组成,与传统审计风险相比,现代审计风险拓展了风险评估的范围,要求考虑审计客体所处的行业风险。但从微观层面看,传统审计风险与现代审计风险的主要内容都包括固有风险、控制风险与检查风险。COBIT框架与中观信息系统审计风险控制的契合面就是中观信息系统的固有风险与控制风险。中观信息系统的固有风险是指“假定不存在内部控制情况下,中观信息系统存在严重错误或不法行为的可能性”;中观信息系统的控制风险是指“内部控制体系未能及时预防某些错误或不法行为,以致使中观信息系统依然存在严重错误或不法行为的可能性”;中观信息系统的检查风险是指“因IT审计师使用不恰当的审计程序,未能发现已经存在重大错误的可能性”。IT审计师若想控制中观信息系统的审计风险,必须从三个方面着手:(1)对不存在内部控制的方面,能够辨别和合理评价被审系统的固有风险;(2)对存在内部控制的方面,能够确认内部控制制度的科学性、有效性、健全性,合理评价控制风险;(3)IT审计师在中观信息系统审计过程中,能够更大程度地挖掘出被审系统“已经存在”的重大错误。我国信息系统审计的理论研究起步较晚,IT审计师在分辨被审系统固有风险,确认控制风险,将检查风险降低至可接受水平三个方面缺乏成熟的标准加以规范,因此我国的中观信息系统审计还急需一套完备的流程与指南 当前我国有四项信息系统审计标准,具体为《审计机关计算机辅助审计办法》、《独立审计具体准则第20号――计算机信息系统环境下的审计》、《关于利用计算机信息系统开展审计工作有关问题的通知》(88号文件)以及《内部审计具体准则第28号――信息系统审计》。。
图2 中观信息系统审计风险的控制框架与控制标准的设计思路
COBIT框架能够满足IT审计师的中观信息系统审计需求,其三维控制体系,4个控制域、34个高层控制目标、318个明细控制目标为IT审计师辨别固有风险,分析控制风险,降低检查风险提供了绝佳的参照样板与实施指南。COBIT控制框架的管理理念、一般原则完全可以与中观信息系统审计风险的控制实现完美契合。通过对COBIT框架与中观信息系统审计的分析,笔者认为COBIT框架对中观信息系统审计风险控制的贡献表现在三个方面(见图2):(1)由COBIT的管理指南,虚拟中观信息系统的管理指南,进而评价中观主体对自身信息系统的管理程度。COBIT的管理指南由四部分组成,其中成熟度模型用来确定每一控制阶段是否符合行业与国际标准,关键成功因素用来确定IT程序中最需要控制的活动,关键目标指标用来定义IT控制的目标绩效水准,关键绩效指标用来测量IT控制程序是否达到目标。依据COBIT的管理指南,IT审计师可以探寻被审特定系统的行业与国际标准、IT控制活动的重要性层次、IT控制活动的目标绩效水平以及评价IT控制活动成效的指标,科学地拟定被审系统的管理指南。(2)由COBIT的控制目标,构建中观信息系统的控制目标体系,进而评价中观信息系统的固有风险与检查风险。COBIT的控制目标包括高层域控制、中层过程控制、下层任务活动控制三个方面,其中,高层域控制由规划与组织、获取与实施、交付与支持以及监控四部分组成,中层控制过程由“定义IT战略规划”在内的34个高层控制目标组成,下层任务活动控制由318个明细控制目标组成。COBIT的控制目标融合了“IT标准”、“IT资源”以及被审系统的“商业目标”,为IT审计师实施中观信息系统审计风险控制提供了层级控制体系与明细控制目标。IT审计师可以直接套用COBIT的控制层级与目标拟定中观信息系统管理与控制的层级控制体系以及明细控制目标,然后再进一步以所拟定的明细控制目标作为参照样板,合理评判中观信息系统的固有风险与控制风险。中观信息系统中“域”、“高层”、“明细”控制目标的三层结构加强了IT审计师审计风险控制的可操作性。(3)由COBIT的审计指南,设计IT审计师操作指南,进而降低中观信息系统审计的检查风险。COBIT的审计指南由基本准则、具体准则、执业指南三个部分组成。基本准则规定了信息系统审计行为和审计报告必须达到的基本要求,为IT审计师制定一般审计规范、具体审计计划提供基本依据。具体准则对如何遵循IT审计的基本标准,提供详细的规定、具体说明和解释,为IT审计师如何把握、评价中观经济主体对自身系统的控制情况提供指导。执业指南是根据基本标准与具体准则制定的,是系统审计的操作规程和方法,为IT审计师提供了审计流程与操作指南。
(二) 中观信息系统审计风险控制体系建设举例――构建“设备管理”控制目标体系
前文所述,中观信息系统审计的对象包括“信息安全”等14项内容,本文以“硬件管理”为例,运用COBIT的控制目标,构建“硬件管理”的控制目标体系,以利于IT审计师科学评价“硬件管理”存在的固有风险与控制风险。“设备管理”控制目标体系的构建思路参见表1。
注:IT标准对IT过程的影响中P表示直接且主要的,S表示间接且次要的;IT过程所涉及的IT资源中C表示涉及;空白表示关联微小。
表1以“设备管理”为研究对象,结合COBIT控制框架,并将COBIT框架中与“设备管理”不相关的中层控制过程剔除,最终构建出“设备管理”控制的目标体系。该体系由4个域控制目标、21个中层过程控制目标、149个明细控制目标三个层级构成,各个层级的关系见表1。(1)第一层级是域控制,由“P.设备管理的组织规划目标”、“A.设备管理的获取与实施目标”、“DS.设备管理的交付与支持目标”以及“M.设备管理的监控目标”构成;(2)第二层级是中层过程控制,由21个目标构成,其中归属于P的目标5个,归属于A的目标3个,归属于D的目标9个,归属于M的目标4个;(3)第三层级是下层任务活动控制,由149个明细目标构成,该明细目标体系是中层过程控制目标(P、A、DS、M)针对“IT标准”与“IT资源”的进一步细分。IT标准是指信息系统在运营过程中所应尽可能实现的规则,具体包括有效性、效率性、机密性等7项;IT资源是指信息系统在运营过程中所要求的基本要素,具体有人员、应用等5项。根据表1中“有效性”、“人员”等“IT标准”与“IT资源”合计的12个属项,每个具体中层控制目标都会衍生出多个明细控制目标。例如,中层控制目标“DS13.运营管理”基于“IT标准”与“IT资源”的特点具体能够演绎出6项明细控制目标,此7项可表述为“DS13-01.利用各项设备,充分保证硬件设备业务处理与数据存取的及时、正确与有效”,“DS13-02.充分保证硬件设备运营的经济性与效率性,在硬件设备投入成本一定的情况下,相对加大硬件设备运营所产生的潜在收益”,“DS13-03.硬件设备保持正常的运营状态,未经授权,不可以改变硬件的状态、使用范围与运营特性,保证设备运营的完整性”,“DS13-04.设备应该在规定条件下和规定时间内完成规定的功能与任务,保证设备的可用性”,“DS13-05.硬件设备运营的参与人员必须具备较高的专业素质,工作中遵循相应的行为规范”以及“DS13-06.工作人员在使用各项硬件设备时,严格遵循科学的操作规程,工作中注意对硬件设备的保护,禁止恶意损坏设备”。上述三个层级组成了完整的“硬件设备”控制目标体系,若将中观信息系统审计的14个对象都建立相应的控制目标体系,并将其融合为一体,则将会形成完备的中观信息系统审计风险控制的整体目标体系。
四、 数据挖掘技术对中观信息系统审计风险控制的贡献
(一) 数据挖掘技术与中观信息系统审计风险控制的融合分析
中观信息系统是由两个或两个以上微观个体所构成的中观经济主体所属个体的信息资源,在整体核心控制台的统一控制下,以Internet为依托,按照一定的契约规则实施共享的网状结构式的有机系统。与微观信息系统比较,中观信息系统运行复杂,日志数据、用户操作数据、监控数据的数量相对庞杂。因而,面对系统海量的数据信息,IT审计师针对前文所构建的明细控制目标Xi下的审计证据获取工作将面临很多问题,如数据信息的消化与吸收、数据信息的真假难辨等。而数据挖掘可以帮助决策者寻找数据间潜在的知识与规律,并通过关联规则实现对异常、敏感数据的查询、提取、统计与分析,支持决策者在现有的数据信息基础上进行决策[12]。数据挖掘满足了中观信息系统审计的需求,当IT审计师对繁杂的系统数据一筹莫展时,数据挖掘理论中的聚类分析、关联规则等技术却能为中观信息系统审计的方法提供创新之路。笔者认为,将数据挖掘技术应用于前文所述的明细控制目标Xi下审计证据筛选流程的构建是完全可行的。恰当的数据挖掘具体技术,科学的特征字段选取,对敏感与异常数据的精准调取,将会提高中观信息系统审计的效率与效果,进而降低审计风险。
(二) 中观信息系统审计风险控制目标Xi下数据挖掘流程的规划
数据挖掘技术在中观信息系统审计风险控制中的应用思路见图3。
注:数据仓库具体为目标行业特定中观经济主体的信息系统数据库
中观信息系统审计明细控制目标Xi下数据挖掘流程设计具体可分为六个过程:(1)阐明问题与假设。本部分的研究是在一个特定的应用领域中完成的,以“中观信息系统审计风险明细控制目标Xi”为主旨,阐明相关问题、评估“控制目标Xi”所处的挖掘环境、详尽的描述条件假设、合理确定挖掘的目标与成功标准,这些将是实现“控制目标Xi下”挖掘任务的关键。(2)数据收集。图3显示,本过程需要从原始数据、Web记录与日志文件等处作为数据源采集数据信息,采集后,还需要进一步描述数据特征与检验数据质量。所采集数据的特征描述主要包括数据格式、关键字段、数据属性、一致性,所采集数据的质量检验主要考虑是否满足“控制目标Xi”下数据挖掘的需求,数据是否完整,是否存有错误,错误是否普遍等。(3)数据预处理。该过程是在图3的“N.异构数据汇聚数据库”与“U.全局/局部数据仓库”两个模块下完成的。N模块执行了整合异构数据的任务,这是因为N中的异构数据库由不同性质的异构数据组合而成,数据属性、数据一致性彼此间可能存在矛盾,故N模块需要通过数据转换与数据透明访问实现异构数据的共享。U模块承载着实现数据清理、数据集成与数据格式化的功能。“控制目标Xi”下的数据挖掘技术实施前,IT审计师需要事先完成清理与挖掘目标相关程度低的数据,将特征字段中的错误值剔除以及将缺省值补齐,将不同记录的数据合并为新的记录值以及对数据进行语法修改形成适用于挖掘技术的统一格式数据等系列工作。(4)模型建立。在“V.数据挖掘与知识发现”过程中,选择与应用多种不同的挖掘技术,校准挖掘参数,实现最优化挖掘。“控制目标Xi”下的数据挖掘技术可以将分类与聚类分析、关联规则、统计推断、决策树分析、离散点分析、孤立点检测等技术相结合,用多种挖掘技术检查同一个“控制目标Xi”的完成程度[12]。选择挖掘技术后,选取少部分数据对目标挖掘技术的实用性与有效性进行验证,并以此为基础,以参数设计、模型设定、模型描述等方式对U模块数据仓库中的数据开展数据挖掘与进行知识发现。(5)解释模型。此过程在模块“W.模式解释与评价”中完成,中观信息系统审计风险领域专家与数据挖掘工程师需要依据各自的领域知识、数据挖掘成功标准共同解释模块V,审计领域专家从业务角度讨论模型结果,数据挖掘工程师从技术角度验证模型结果。(6)归纳结论。在“Z.挖掘规律与挖掘路径归纳”中,以W模块为基础,整理上述挖掘实施过程,归纳“控制目标Xi”下的挖掘规律,探究“控制目标Xi”下的挖掘流程,整合“控制目标Xi”(i∈1n)的数据挖掘流程体系,并开发原型系统。
(三) 数据挖掘流程应用举例――“访问控制”下挖掘思路的设计
如前所述,中观信息系统审计包括14个对象,其中“网络管理”对象包含“访问管理”等多个方面。结合COBIT框架下“M1.过程监控”与“IT标准-机密性”,“访问管理”可以将“M1-i.用户访问网络必须通过授权,拒绝非授权用户的访问”作为其控制目标之一。“M1-i”数据挖掘的数据来源主要有日志等,本部分截取网络日志对“M1-i”下数据挖掘流程的设计进行举例分析。
假设某中观信息系统在2011年4月20日18时至22时有如下一段日志记录。
(1) “Sep 20 19:23:06 UNIX login[1015]:FAILED LOGIN 3 FROM(null) FOR wanghua”
(2) “Sep 20 19:51:57 UNIX―zhangli[1016]:LOGIN ON Pts/1 BY zhangli FROM 172.161.11.49”
(3) “Sep 20 20:01:19 UNIX login[1017]:FAILED LOGIN 1 FROM(null) FOR wanghua”
(4) “Sep 20 20:17:23 UNIX―wanyu [1018]:LOGIN ON Pts/2 BY wanyu FROM 172.161.11.342”
(5) “Sep 20 21:33:20 UNIX―wanghua [1019]:LOGIN ON Pts/5 BY wanghua FROM 191.34.25.17”
(6) “Sep 20 21:34:39 UNIX su(pam――unix)[1020]:session opened for user root by wanghua (uid=5856)”
… … …
选取上述日志作为数据库,以前文“控制目标Xi”下数据挖掘的6个过程为范本,可以设计“M1-i.用户访问网络必须通过授权,拒绝非授权用户的访问”下的审计证据挖掘流程。该挖掘流程的设计至少包括如下思路:a.选取“授权用户”作为挖掘的“特征字段”,筛选出“非授权用户”的日志数据;b.以a为基础,以“LOGIN ON Pts BY 非授权用户”作为 “特征字段”进行挖掘;c.以a为基础,选取“opened … by …”作为“特征字段”实施挖掘。假如日志库中只有wanghua为非授权用户,则a将会挖出(1)(3)(5)(6),b会挖出(5),c将会挖掘出(6)。通过对(5)与(6)嫌疑日志的分析以及“M1-i”挖掘流程的建立,IT审计师就能够得出被审系统的“访问控制”存在固有风险,且wanghua已经享有了授权用户权限的结论。
参考文献:
[1]王会金,刘国城.COBIT及在中观经济主体信息系统审计的应用[J].审计研究,2009(1):5862.
[2]阳杰,庄明来,陶黎娟.基于COBIT的会计业务流程控制[J].审计与经济研究,2009(2):7886.
[3]张文秀,齐兴利.基于COBIT的信息系统审计框架研究[J].南京审计学院学报,2010(5):2934.
[4]谢羽霄,邱晨旭.基于COBIT的电信企业信息技术内部控制研究[J].电信科学,2009(7):3035.
[5]黄溶冰,王跃堂.商业银行信息化进程中审计风险与控制[J].经济问题探索,2008(2):134137.
[6]金文,张金城.基于COBIT的信息系统控制管理与审计[J].审计研究,2005(4):7579.
[7]陈安,陈宁.数据挖掘技术与应用[M].北京:科学工业出版社,2006.
[8]李也白,唐辉.基于改进的PE-tree的频繁模式挖掘算法[J].计算机应用,2011(1):101104.
[9]邓勇,王汝传.基于网格服务的分布式数据挖掘[J].计算机工程与应用,2010(8):610.
[10]肖伟平,何宏.基于遗传算法的数据挖掘方法及应用[J].湖南科技大学学报,2009(9):8286.
[11]孙强.信息系统审计[M].北京:机械工业出版社,2003.
[12]苏新宁,杨建林.数据挖掘理论与技术[M]. 北京:科学技术出版社,2003.
Risk Control System of MesoInformation System Audit:From the Perspective of COBIT Framework of Date Mining Technology
WANG Huijin
(Nanjing Audit University, Nanjing 211815, China)
