信息系統(tǒng)審計工具箱的設(shè)計與實現(xiàn)

1、信息系統(tǒng)審計工具箱的設(shè)計與實現(xiàn)王連強北京時代新威信息技術(shù)有限公司摘要：本文提出了一種便于在信息系統(tǒng)審計活動中使用的審計工具箱的設(shè)計思路與實現(xiàn)方法。首先介紹了當前信息系統(tǒng)審計領(lǐng)域信息系統(tǒng)審計工具存在的一些問題，介紹了信息系統(tǒng)審計工具箱針對這些問題的解決方案。詳細描述了信息系統(tǒng)審計工具箱的軟硬件設(shè)計思路及關(guān)鍵技術(shù)和實現(xiàn)方法。關(guān)鍵詞：信息系統(tǒng)審計；便攜機；工具箱；信息系統(tǒng)審計工具管理平臺；一、 概述隨著我國信息技術(shù)的快速發(fā)展，計算機信息系統(tǒng)和網(wǎng)絡(luò)安全已經(jīng)影響到國民經(jīng)濟和社會生活的各個領(lǐng)域和部門，信息系統(tǒng)審計已經(jīng)成為國家信息化工作中的一項制度性和常態(tài)性工作。重要信息系統(tǒng)的運營使用單位對關(guān)系國家安全、公

2、共利益和社會穩(wěn)定等的信息系統(tǒng)負有重要管理責任，迫切需要提高對重要信息系統(tǒng)的安全運維能力包括開展信息系統(tǒng)審計等相關(guān)工作。而如何高效、高質(zhì)量的完成信息系統(tǒng)審計工作越來越受到廣泛關(guān)注。二、 信息系統(tǒng)審計工具箱需求目前，在信息系統(tǒng)審計、信息安全測評、信息系統(tǒng)審計現(xiàn)場實施、信息安全認證現(xiàn)場審核等領(lǐng)域，需要一體化專用便攜式高性能信息處理平臺，而目前筆記本電腦雖然便攜，但在性能、安全性和專用性上存在不足；而常規(guī)便攜機一般重量非常重、體積過于龐大，一般為金屬外殼，對于以上領(lǐng)域的使用極其不便。常規(guī)便攜機的配置一般較低，性能和配置很難滿足以上領(lǐng)域?qū)τ诟咝阅苡嬎愕男枨?。在我們實際工作中，信息系統(tǒng)審計的任務(wù)越來越多，

3、很多情況下是使用信息系統(tǒng)審計師工作用的筆記本電腦來完成測評工作，而這既存在數(shù)據(jù)安全問題，同時也不能很好的滿足審計需要，特別是一些審計工具對性能要求較高。因此需要一個專門用于信息系統(tǒng)審計的一體化工具箱，具有便攜、高性能的特性并集成信息系統(tǒng)審計各種常用工具和統(tǒng)一管理平臺。設(shè)計并制造具有上述特性的“信息系統(tǒng)審計工具箱”對信息系統(tǒng)審計工作將是一個極大的促進和規(guī)范。本文設(shè)計的信息系統(tǒng)審計工具箱較傳統(tǒng)的信息系統(tǒng)審計工具有一個明顯優(yōu)勢，那就是平臺化整合。傳統(tǒng)的信息系統(tǒng)審計工具過于強調(diào)功能實現(xiàn)方面，由于信息系統(tǒng)審計工具覆蓋領(lǐng)域非常廣泛，一類或幾類審計工具只能滿足信息系統(tǒng)審計中有限的幾項檢查點，傳統(tǒng)的信息系統(tǒng)審

4、計工具從采購、使用、升級、維護等整個產(chǎn)品生命流程屬于分散的、各自為營的方式，并且得到的工作成果也是零散和互不相通的，安全策略難以保持一致。因此，急需在現(xiàn)有信息系統(tǒng)審計技術(shù)和檢查工具基礎(chǔ)上，研究具有信息系統(tǒng)審計工作特色的，兼具靈活的使用方式與一定智能化水平的信息系統(tǒng)審計工具箱技術(shù)，使其成為重要信息系統(tǒng)運營使用單位開展信息系統(tǒng)內(nèi)部審計和第三方機構(gòu)開展信息系統(tǒng)審計的重要技術(shù)手段。 為此，本文設(shè)計的一種信息系統(tǒng)審計工具箱，需要比筆記本電腦具有更高性能、比常規(guī)便攜機更便攜、更安全、更高性能。信息系統(tǒng)審計工具箱需要解決同時具備便攜性和高性能的困難，具備高性能就意味著更大的功率、更重的重量，具備便攜性就必須

5、犧牲性能。本設(shè)計找到了解決性能和便攜性的平衡點，并且在制造成本上更加降低。為降低制造成本，在外殼上使用現(xiàn)有型號的安全箱，但同時這加大了設(shè)計難度，必須解決屏幕的固定、接口的布局、屏幕與主機的可靠連接、屏幕電源的傳遞、屏幕與主機相連的美觀性等。因為選用現(xiàn)有型號安全箱，為避免對箱體造成破壞，在考慮外部接口以及散熱等方面具有極大困難。同時，考慮到便攜性，整個箱體比較小，散熱與附件存放也具有很大難度。本設(shè)計最終很好的解決了以上存在的難題，并在實際使用中完全達到了最初的設(shè)計需求。三、 工具箱總體架構(gòu)信息系統(tǒng)審計工具箱的技術(shù)設(shè)計分為兩大部分，即硬件設(shè)計和軟件設(shè)計，整體架構(gòu)如下圖所示：通過工具管理平臺可以將對

6、信息系統(tǒng)審計現(xiàn)場工作進行集中統(tǒng)一管理，包括對各種信息系統(tǒng)審計工具的調(diào)用和管理，將結(jié)果進行統(tǒng)一處理、生成固定格式（可根據(jù)模板變化）的報告和與其它審計管理平臺進行數(shù)據(jù)交互。便于整個信息系統(tǒng)審計現(xiàn)場工作的規(guī)范和質(zhì)量控制。四、 管理平臺模塊設(shè)計工具管理平臺設(shè)計分為前臺設(shè)計和后臺設(shè)計。前臺設(shè)計主要指工具管理平臺界面設(shè)計，后臺設(shè)計指各種業(yè)務(wù)邏輯設(shè)計。前臺供用戶進行操作，向用戶展示各種功能界面、提示信息和數(shù)據(jù)輸入界面，以及查看操作日志等；后臺通過前臺的輸入及相應(yīng)的業(yè)務(wù)邏輯關(guān)系，自動調(diào)用相關(guān)安全檢查工具，執(zhí)行工具檢查，最后生成檢測報告。工具管理平臺結(jié)構(gòu)如下圖所示：各模塊及功能說明如下表：模塊名稱子模塊模塊功能

7、系統(tǒng)管理用戶管理集中管理所有用戶賬號，包括賬號的整個生命周期的監(jiān)控和管理。支持新建/刪除/修改用戶賬號，根據(jù)用戶實際情況變化對用戶個人信息進行管理身份認證為用戶提供統(tǒng)一的認證接口和認證模式，接受用戶輸入賬戶信息，與用戶列表信息匹配，驗證用戶身份的合法性工具配置管理配置工具相關(guān)信息，如工具名稱、工具可執(zhí)行文件路徑、工具描述、工具報告路徑、工具圖標等信息。配置任務(wù)管理所對應(yīng)的工具模塊， 及某個任務(wù)對應(yīng)的可調(diào)用工具列表。自定義工具模塊配置，用戶可自定義選擇任務(wù)所需工具模塊。安全審計對所有賬戶的使用過程進行日志記錄，詳細記錄用戶整個操作流程的全部行為，供分析審計使用非工具檢查配置非工具檢查模塊配置管理

8、，非工具檢查項內(nèi)容管理，可對各類檢查所涉及的非工具檢查項目內(nèi)容進行增刪改查操作。任務(wù)管理銀監(jiān)會信息系統(tǒng)審計執(zhí)行銀監(jiān)會頒布的信息系統(tǒng)審計檢查項用戶定制信息系統(tǒng)審計提供用戶自定義檢查項功能，檢查項覆蓋公安機關(guān)等級保護檢查項、公安信息系統(tǒng)檢查項、工信部檢查項、涉密系統(tǒng)檢查項和其它信息安全類檢查項報告管理檢測數(shù)據(jù)導(dǎo)入將使用專用檢查介質(zhì)（如U盤）中的檢查數(shù)據(jù)導(dǎo)入工具箱平臺檢測報告生成根據(jù)相關(guān)技術(shù)標準和規(guī)范，生成檢查報告項目管理創(chuàng)建項目新檢查任務(wù)必須創(chuàng)建新項目以將各種檢查結(jié)果等統(tǒng)一歸類到該項目下，便于管理報告等產(chǎn)生的數(shù)據(jù)。打開項目打開已有項目進行報告查看或檢查等操作。刪除項目刪除該項目所產(chǎn)生的所有相關(guān)數(shù)據(jù)

9、。五、 系統(tǒng)邏輯流程設(shè)計信息系統(tǒng)審計工具箱用戶首先登錄工具管理平臺，身份認證成功后，可以新建本次信息系統(tǒng)審計項目，項目建立完成后，工具管理平臺通過讀取項目信息，獲取工具配置信息，加載用戶引導(dǎo)界面，逐步引導(dǎo)用戶完成整個信息系統(tǒng)審計工作流程。具體包括協(xié)助用戶選擇測評類型（銀監(jiān)會信息系統(tǒng)審計、或用戶定制信息系統(tǒng)審計），協(xié)助用戶選擇測評內(nèi)容，如主機配置檢查、系統(tǒng)漏洞檢查等，之后工具管理平臺根據(jù)用戶的輸入信息，自動調(diào)用后臺相關(guān)安全檢查工具，啟動工具檢查進程，逐項執(zhí)行檢查內(nèi)容，檢查結(jié)束后自動生成檢測報告。六、 硬件設(shè)計方案（1）箱體：本設(shè)計方案安全箱采用市場現(xiàn)有產(chǎn)品，該箱體符合相關(guān)標準，確保安全、防水、防

10、潮。箱體為美國產(chǎn)中小型工具箱。工具箱本身只具有空箱體和鎖扣和鑰匙。（2）主板、CPU與存儲：主板采用臺式機主板，具有豐富的接口和高擴展性，配合32納米技術(shù)的英特爾第二代酷睿CPU，極大地提高性能，并可根據(jù)技術(shù)發(fā)展使用更新更高性能的主板。CPU采用低功耗版本，以確保安全散熱，同時亦不會造成過多性能損失。內(nèi)存采用8G內(nèi)存，2*4G DDR3 1333，雙通道技術(shù)。硬盤采用128G SSD硬盤，提高移動計算的穩(wěn)定性與速度。（3）輸入輸出系統(tǒng)：液晶屏采用17.1寸超高分辨率（1920*1200）LED屏。采用DVI-D信號輸入。鍵盤鼠標采用筆記本標準尺寸鍵盤，使用觸摸板或指點桿式鼠標輸入。USB、網(wǎng)絡(luò)

11、、VGA等輸入或輸出接口采用專門研制的接口板來實現(xiàn)。（4）散熱系統(tǒng)：散熱采用雙渦輪風扇，可以根據(jù)機箱內(nèi)溫度自動調(diào)節(jié)轉(zhuǎn)速。當機箱內(nèi)溫度上升達到一定范圍時將以最大轉(zhuǎn)速運行。當機箱內(nèi)溫度在比較低的溫度時，將以最低轉(zhuǎn)速運行，以達到噪音和散熱的平衡。并專門設(shè)計了CPU散熱風道，CPU產(chǎn)生的熱量將通過CPU風扇將熱量通過專門設(shè)計的CPU風道直接排出機箱，避免大量熱量聚集在箱體內(nèi)，有效的解決了散熱問題。(5)固定結(jié)構(gòu)體：在箱體下方右側(cè)隔離出空倉放置電源適配器、活動光盤刻錄機、USB、網(wǎng)線等所需各種附件，并有艙門可以關(guān)閉。整個機箱分上下兩部分，上部分通過結(jié)構(gòu)固定屏幕和屏幕面板，下部分通過框架固定主板、硬盤、電

12、源板、接口板等，下部分面板通過結(jié)構(gòu)固定鍵盤，并留出接口板所需的開口及風扇出風口。（6）電源系統(tǒng)：電源系統(tǒng)包括AC-DC適配器、DC-DC電源模塊、鋰電池組及主備電切換模塊、充電模塊等。鋰電池組放置在上箱體屏幕背板后面固定。利用上箱體空余空間，又避免下箱體過熱對電池產(chǎn)生危害。（7）下箱體與上箱體連接裝置下箱體與上箱體之間有信號線與電源線連接，信號線包括屏幕信號線、WiFi信號線等，電源包括屏幕供電、電池充放電線等。通過專門設(shè)計的轉(zhuǎn)軸將電器連接線置于轉(zhuǎn)軸內(nèi)部，使得電器連接線由彎折運動改為扭動，有效地解決了電器連線的可靠性和穩(wěn)定性、以及壽命的問題。七、 硬件關(guān)鍵結(jié)構(gòu)設(shè)計（1）整體結(jié)構(gòu)整個安全箱式便攜

13、計算機是由安全箱體、屏幕、面板、鍵盤、主板等各種元器件組成，從整體上分為上下箱體，打開安全箱，上箱體主要是顯示系統(tǒng)、下箱體表面主要是鍵盤和面板。右側(cè)是工具倉空間，方便使用。上下箱體通過安全箱本身的軸進行連接。電器的連接通過專門設(shè)計的旋轉(zhuǎn)軸結(jié)構(gòu)連接，保證安全可靠及美觀。安全箱采用美國產(chǎn)中小型安全箱，即便攜，又基本可以保證所需的空間。面板采用陽極氧化處理，與箱體鍵盤等渾然一體，即美觀又耐用。上下面板上均有LOGO凹槽和銘牌凹槽，用于貼產(chǎn)品LOGO和標識，方便定制生產(chǎn)。（2）下箱體結(jié)構(gòu)布局整個下箱體主要分為左右兩部分，左側(cè)為主要元器件的部署空間，包括主板、CPU、硬盤、DC-DC轉(zhuǎn)換電路、接口板、充

14、電板、鍵盤等等，右側(cè)主要為工具倉空間，用戶存放常用工具以及電源適配器。下箱體使用框架固定在安全箱下箱體上，各種元器件固定在框架上，鍵盤固定在下面板上，下面板固定在框架上。（3）轉(zhuǎn)軸結(jié)構(gòu)為保證電器連接的安全性和可靠性、耐用性，專門設(shè)計了轉(zhuǎn)軸機構(gòu)，用于連接上下屏幕的元器件，該機構(gòu)采用折疊機構(gòu)，當箱體關(guān)閉時轉(zhuǎn)軸可以折疊起來不影響關(guān)閉箱體，電器連接線通過轉(zhuǎn)軸機構(gòu)內(nèi)部連接上下箱體以確保安全穩(wěn)定可靠。（4）下面板布局下面板主要由接口部分、鍵盤部分、LOGO部分、工具倉蓋部分組成，左前部分是接口布局、鍵盤位于整個下面板的大部分空間，右前方轉(zhuǎn)軸的旁邊是LOGO銘牌和電量顯示部分，右側(cè)部分是工具倉蓋。八、 總結(jié)

15、經(jīng)過北京時代新威的精心設(shè)計、反復(fù)試用和不斷測試改進，信息系統(tǒng)審計工具箱整體具有了比較好的穩(wěn)定性和易用性，同時具有了高性能和便攜性的平衡。在實際使用中，得到了現(xiàn)場審計工程師的一致認可，認為信息系統(tǒng)審計工具箱：“堅固耐用、方便攜帶、配置高、性能好，試用結(jié)果證明該工具箱的功能覆蓋銀監(jiān)會、審計署、公安部、財政部、工信部等部門關(guān)于信息系統(tǒng)審計的要求，內(nèi)置了信息系統(tǒng)審計工具管理平臺及信息系統(tǒng)審計工具集，非常方便各項信息系統(tǒng)檢查工作，使用簡單方便，界面直觀，能夠大幅提高信息系統(tǒng)審計工作效率?！保ㄗ髡撸罕本r代新威信息技術(shù)有限公司 王連強）九、 參考文獻1 信息系統(tǒng)安全等級保護基本要求GB/T 22239-20082 信息安全管理體系審計指