《信息系統(tǒng)審計》-第3章

InformationSystemAuditchapter3《信息系統(tǒng)審計》南京審計學(xué)院主講教師：呂新民第3章第三章信息系統(tǒng)一般控制及審計進(jìn)行信息系統(tǒng)審計，需要對內(nèi)部控制制度進(jìn)行審計測試。但信息系統(tǒng)環(huán)境下的內(nèi)部控制與傳統(tǒng)環(huán)境下內(nèi)部控制相比，有了很大不同，由傳統(tǒng)的手工控制轉(zhuǎn)變?yōu)樾畔⑾到y(tǒng)內(nèi)部控制。

信息系統(tǒng)內(nèi)部控制：是一個單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務(wù)活動的有效進(jìn)行，保護(hù)資產(chǎn)的安全與完整，合理確保信息系統(tǒng)提供的會計及業(yè)務(wù)信息的真實、準(zhǔn)確、合法合規(guī)，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，而制定和實施的一系列政策與程序措施。與傳統(tǒng)手工處理方式相比，信息系統(tǒng)的構(gòu)成要素：

物理環(huán)境通信平臺軟件平臺硬件平臺網(wǎng)絡(luò)平臺應(yīng)用平臺

管理維護(hù)

部門、人員、管理

由此：信息系統(tǒng)內(nèi)部控制對象：物理環(huán)境（場地、機(jī)房等）、系統(tǒng)硬件、系統(tǒng)軟件（如OS、DBMS等）、系統(tǒng)通信訪問、系統(tǒng)網(wǎng)絡(luò)架構(gòu)、信息系統(tǒng)應(yīng)用程序，系統(tǒng)管理維護(hù)、各項規(guī)章制度，以及信息系統(tǒng)業(yè)務(wù)處理有關(guān)的部門、人員和活動，等。

與傳統(tǒng)手工控制相比，信息系統(tǒng)內(nèi)部控制特點：

1、

控制的重點轉(zhuǎn)向系統(tǒng)職能部門；

2、

控制的范圍擴(kuò)大；

3、

控制方式和操作手段由人工控制轉(zhuǎn)為人工控制與信息技術(shù)控制相結(jié)合。

內(nèi)部控制分類：從信息系統(tǒng)對象范圍角度，信息系統(tǒng)可分為信息系統(tǒng)環(huán)境和信息系統(tǒng)應(yīng)用程序兩部分組成。

因此，從該角度信息系統(tǒng)內(nèi)部控制通常分為：

信息系統(tǒng)一般控制（即對信息系統(tǒng)環(huán)境的控制）

信息系統(tǒng)應(yīng)用控制（即對應(yīng)用程序的控制）

將信息系統(tǒng)內(nèi)部控制分為一般控制和應(yīng)用控制為目前國際通行分類方法。我們將以此分類方法做介紹。

依據(jù)要達(dá)到的直接目標(biāo)分為：

會計控制、管理控制

依據(jù)控制的預(yù)定意圖分為：

預(yù)防性控制（事前控制）檢查性控制（事中控制）糾正性控制（事后控制）

依據(jù)控制的手段不同分為：手工系統(tǒng)控制程序化控制環(huán)境是保障，一般控制的強(qiáng)弱，將會嚴(yán)重地影響相關(guān)的具體應(yīng)用控制的可靠性。因此，應(yīng)首先進(jìn)行一般控制的審計測試。本章即先介紹信息系統(tǒng)一般控制及審計主要內(nèi)容第一節(jié)信息系統(tǒng)一般控制概述

信息系統(tǒng)一般控制：指對計算機(jī)信息系統(tǒng)的構(gòu)成要素和系統(tǒng)環(huán)境實施的，對系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。

一般控制的基本目標(biāo)：保證系統(tǒng)的數(shù)據(jù)安全、保護(hù)計算機(jī)應(yīng)用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的繼續(xù)運行等。

根據(jù)前述的有關(guān)信息系統(tǒng)內(nèi)部控制對象內(nèi)容，一般控制對象應(yīng)為除信息系統(tǒng)信息系統(tǒng)應(yīng)用程序以外的其他部分。

由此：信息系統(tǒng)的一般控制主要涉及以下方面：

管理控制（包括部門管理、人員管理等）；系統(tǒng)基礎(chǔ)設(shè)施控制（包括系統(tǒng)物理環(huán)境、系統(tǒng)硬件、系統(tǒng)軟件等）；系統(tǒng)訪問控制（包括系統(tǒng)通信控制等）；系統(tǒng)網(wǎng)絡(luò)架構(gòu)控制；災(zāi)難恢復(fù)控制（即有效的系統(tǒng)維護(hù)），等。

第二節(jié)管理控制及審計

一、管理控制的基本內(nèi)容

為了保護(hù)組織所有的信息資產(chǎn)，維護(hù)信息的機(jī)密性、完整性和可用性，有效管理是關(guān)鍵。

信息系統(tǒng)的安全管理控制的主要目標(biāo)：

實現(xiàn)職責(zé)分離和人員的管理。信息系統(tǒng)環(huán)境下的職責(zé)分離主要表現(xiàn)在：

權(quán)責(zé)劃分原則：在分工協(xié)作的基礎(chǔ)上明確各部門、人員的權(quán)限與責(zé)任。

分離基本原則：

1、信息系統(tǒng)部門與業(yè)務(wù)部門的職責(zé)相分離

主要控制措施：

2、信息系統(tǒng)部門與業(yè)務(wù)部門內(nèi)部的職責(zé)相分離

主要控制措施：（1）信息系統(tǒng)部門內(nèi)部的職責(zé)相分離

信息系統(tǒng)部門人員組成？

（1）信息系統(tǒng)部分負(fù)責(zé)信息系統(tǒng)的開發(fā)和維護(hù)工作；

（2）業(yè)務(wù)部門負(fù)責(zé)日常的業(yè)務(wù)操作。系統(tǒng)分析與設(shè)計員；程序員；系統(tǒng)操作員；資料保管員；系統(tǒng)管理員；

安全管理員。

上述不相容職務(wù)應(yīng)相分離

（2）業(yè)務(wù)部門內(nèi)部的職責(zé)相分離

業(yè)務(wù)部門人員組成？

部門主管；數(shù)據(jù)操作員；審核記賬員；數(shù)據(jù)審查員；數(shù)據(jù)分析員；數(shù)據(jù)保管員；系統(tǒng)維護(hù)員；

上述不相容職務(wù)應(yīng)相分離。

（3）交易的授權(quán)與交易的執(zhí)行相分離

（4）資產(chǎn)的保管與記錄相分離

信息系統(tǒng)環(huán)境下的人員管理主要表現(xiàn)在：

對涉及有關(guān)人員的各種活動中采取有效地管理控制措施，包括：人員的招聘、工作的分配、培訓(xùn)、崗位輪換、監(jiān)督與評價、離崗和離職等。

管理控制是否健全？是否真正發(fā)揮作用？

需要：實施對管理控制的審計與測試。

二、管理控制審計對管理控制的審計與評價，審計人員主要應(yīng)從以下幾方面進(jìn)行：

1、審計書面策略、流程與標(biāo)準(zhǔn)。

主要審計內(nèi)容：是否存在？是否恰當(dāng)？

3、審計安全意識的培訓(xùn)。（預(yù)防性控制）

主要審計內(nèi)容：是否存在？意識如何？

審計方式：抽查測試方式

2、審計邏輯訪問安全策略。

原則：知所必需

主要審計內(nèi)容：是否存在漏洞、風(fēng)險？

4、審查安全管理員。

主要審計內(nèi)容：信息安全管理策略；物理和邏輯安全管理措施。

數(shù)據(jù)所有權(quán)：對信息系統(tǒng)資源保管的權(quán)利人員；

數(shù)據(jù)所有人：擁有信息運營和控制業(yè)務(wù)活動責(zé)任人員；

數(shù)據(jù)使用者：使用信息系統(tǒng)數(shù)據(jù)信息的用戶；

主要審計內(nèi)容：分工是否明確；責(zé)任是否明確和落實；權(quán)利和責(zé)任是否對稱；是否存在書面的制度和管理控制程序。

5、審查數(shù)據(jù)所有權(quán)、數(shù)據(jù)所有人和數(shù)據(jù)使用者。

6、審查數(shù)據(jù)保管員。

主要審計內(nèi)容：職責(zé)分離；保管措施等。

8、審查離職員工的訪問控制。

主要審計內(nèi)容：物理接觸；訪問權(quán)限的限制或撤消。

7、審查書面授權(quán)。

主要審計內(nèi)容：授權(quán)存在性、充分性、合理性和有效性。

9、審查訪問標(biāo)準(zhǔn)。

安全標(biāo)準(zhǔn)一般包括：賬號與密碼標(biāo)準(zhǔn)、特定機(jī)器使用規(guī)則、特定應(yīng)用系統(tǒng)訪問規(guī)則等。

主要審計內(nèi)容：安全標(biāo)準(zhǔn)的存在性、符合性。

三、管理控制測試

管理控制是否有效？是否健全？是否發(fā)揮作用？

需要：對管理控制進(jìn)行審計測試。

目的：收集證據(jù)，從而確認(rèn)相關(guān)控制的存在性和有效性。

測試技術(shù)方法：編制控制測試矩陣

矩陣組成：控制目標(biāo)、控制措施、單元內(nèi)容

測試手段：檢查控制文檔、問卷調(diào)查、會談、觀察

測試步驟：

1、依據(jù)管理控制內(nèi)容，編制控制矩陣；

2、進(jìn)行控制測試；3、完成控制測試矩陣；

4、評價

“控制測試矩陣”技術(shù)應(yīng)用案例：

××公司銷售與應(yīng)收賬款系統(tǒng)的控制矩陣（部分）：

根據(jù)控制測試矩陣，審計人員形成的信息系統(tǒng)內(nèi)部控制評價表（部分）：

第三節(jié)信息系統(tǒng)基礎(chǔ)設(shè)施控制及審計信息系統(tǒng)基礎(chǔ)設(shè)施：是指保障信息系統(tǒng)工作所必需的設(shè)施與條件。如：機(jī)房環(huán)境設(shè)施，信息系統(tǒng)軟、硬件等。

一、信息系統(tǒng)環(huán)境控制信息系統(tǒng)環(huán)境：指保障信息系統(tǒng)正常運行的環(huán)境條件。

信息系統(tǒng)環(huán)境？

控制目的：保障信息系統(tǒng)安全、可靠的運行。

重點包括：信息系統(tǒng)環(huán)境以及信息系統(tǒng)軟、硬件的采購、配置、運行與管理。

主要包括：場地（機(jī)房場地、信息存儲場地）、計算機(jī)機(jī)房。

環(huán)境是信息系統(tǒng)正常運行的基本條件，環(huán)境風(fēng)險主要體現(xiàn)在：

自然災(zāi)害風(fēng)險：如：水災(zāi)、火災(zāi)、地震等

環(huán)境故障風(fēng)險：如：電力故障、設(shè)備故障、溫度故障、濕度故障、靜電故障、接地故障、恐怖襲擊故障等。如何防范信息系統(tǒng)環(huán)境風(fēng)險？

防范環(huán)境風(fēng)險主要考慮以下幾方面：（1）電源供應(yīng)規(guī)格是否控制在要求的范圍內(nèi)？

（2）空調(diào)、濕度、通風(fēng)控制系統(tǒng)是否符合要求？

（3）是否提供靜電保護(hù)（如：防靜電地毯、抗靜電噴霧器）？

（4）是否能保持防塵、防煙及其他特殊物品（如食品等）？

（5）是否明文規(guī)定禁止在計算機(jī)設(shè)備旁就餐、喝飲料及吸煙等？

（6）是否對備份磁盤及磁帶提供保護(hù)措施，使其免受損害？

針對環(huán)境風(fēng)險，需采取相應(yīng)的控制措施：

2、對環(huán)境風(fēng)險的控制

控制目標(biāo)：杜絕信息系統(tǒng)運行環(huán)境中影響信息系統(tǒng)正常、可靠運行的安全隱患，保護(hù)信息系統(tǒng)中的各種資源免受毀壞、替換、盜竊和丟失的威脅。

針對環(huán)境風(fēng)險，通常應(yīng)采用的控制措施和控制技術(shù)包括：（1）火災(zāi)、水災(zāi)的控制?？刂瓢ǎ?/p>

A、遠(yuǎn)離加油站、儲氣站和蓄水池；

B、水災(zāi)探測器；

C、火災(zāi)控制系統(tǒng)或設(shè)備（手控式火災(zāi)警報器、手提式滅火器、火災(zāi)自動滅火系統(tǒng)（煙霧探測裝置和自動滅火裝置）；

D、設(shè)施環(huán)境具備防火、防水能力；

E、制定了防止水災(zāi)、火災(zāi)的規(guī)章制度；

F、災(zāi)難應(yīng)急計劃，等。

（2）電力供應(yīng)相關(guān)風(fēng)險的控制?？刂瓢ǎ?/p>

（3）防潮、防塵的控制措施?？刂瓢ǎ?/p>

電力中斷控制：包括：保護(hù)器保護(hù)、UPS、后備發(fā)電機(jī)供電（移動式或固定式，可采用柴油、汽油動力等）

電源線中斷控制：備份電力系統(tǒng)

切斷電源控制：設(shè)置機(jī)房內(nèi)、外緊急斷電裝置。

A、機(jī)房空氣進(jìn)行凈化處理；

B、具有防潮和恒溫設(shè)備；

C、制定了防塵和防潮的規(guī)章制度。

（4）其他相關(guān)的控制

如：信息處理場所設(shè)置警示標(biāo)語、建立程序控制關(guān)機(jī)，等。

3、環(huán)境控制的審計測試

環(huán)境控制是否有效？是否健全？是否發(fā)揮作用？

需要：對環(huán)境控制進(jìn)行審計測試。

主要包括以下幾方面：（1）審查是否制定相關(guān)政策、制度和程序？

（2）場地（機(jī)房場地、信息存儲場地）審查

審計內(nèi)容：地址選擇條件；溫度、濕度條件；照明、日志、電磁場干擾條件；接地、建筑結(jié)構(gòu)條件；防水、防火、防雷、防磁、防塵措施等。

審計標(biāo)準(zhǔn)：標(biāo)準(zhǔn)GB/T2887—2000

（3）機(jī)房審查

審計內(nèi)容：防火、內(nèi)部裝修、供配電系統(tǒng)、空調(diào)系統(tǒng)、火災(zāi)報警系統(tǒng)、消防設(shè)施、防靜電、防雷擊等。

審計標(biāo)準(zhǔn)：標(biāo)準(zhǔn)GB9361—1998（分為A、

B、C三類）

二、信息系統(tǒng)硬件控制與審計

信息系統(tǒng)硬件包括？

（4）物理保障審查

審計內(nèi)容：電力供應(yīng)、災(zāi)難應(yīng)急等

審計標(biāo)準(zhǔn)：標(biāo)準(zhǔn)GB/T2887—2000、

GB9361—1998

主要包括：計算機(jī)、網(wǎng)絡(luò)設(shè)備（交換機(jī)、集線器、網(wǎng)關(guān)、路由器、中繼器、橋接設(shè)備、調(diào)制解調(diào)器等）、傳輸介質(zhì)（同軸電纜、雙絞線、光纖、微波通信等）及轉(zhuǎn)換器、輸入/輸出設(shè)備、存儲介質(zhì)、監(jiān)控設(shè)備等。

硬件設(shè)施的采購、運行、維護(hù)、監(jiān)控和能力管理等。

1、硬件基礎(chǔ)設(shè)施采購控制硬件基礎(chǔ)設(shè)施采購控制應(yīng)考慮的問題：購買什么樣的硬件？如何保障硬件的質(zhì)量？硬件控制與審計直接關(guān)系到信息系統(tǒng)的安全、可靠的運行。其內(nèi)部控制及其審計，主要涉及：

主要控制包括：（1）招標(biāo)書（ITT）或請求建議書（RFP）控制要求：

全面明確說明所需設(shè)備用途、任務(wù)和要求，及對設(shè)備所處環(huán)境的描述。

具體應(yīng)包括：組織的描述、信息系統(tǒng)處理需求、硬件需求、系統(tǒng)軟件應(yīng)用、支持需求、適應(yīng)性需求、轉(zhuǎn)換需求和約束條件等。

（2）供應(yīng)商控制考慮因素：投標(biāo)書、供應(yīng)商財務(wù)狀況、供應(yīng)商維護(hù)和支持（包括培訓(xùn)）能力、交付日程、硬軟件升級能力、價格、性能等。

（3）硬件采購的技術(shù)指標(biāo)控制因素包括：運轉(zhuǎn)時間、響應(yīng)時間、吞吐量、負(fù)載、兼容性、容量以及利用率等。

（4）硬件設(shè)備應(yīng)具有的基本控制功能因素計算機(jī)設(shè)備應(yīng)具有控制功能：重復(fù)處理控制、回波檢驗、設(shè)備校驗、有效性校驗等?？梢酝ㄟ^審核硬件廠家的文獻(xiàn)資料和書面憑證確定。

2、硬件基礎(chǔ)設(shè)施維護(hù)與監(jiān)控

目的：提供系統(tǒng)正常運行的硬件基礎(chǔ)設(shè)施保障。

控制措施包括：

形成維護(hù)計劃（維護(hù)程序）并得到管理層批準(zhǔn)；維護(hù)的落實與監(jiān)督檢查；維護(hù)變更的控制。

為了使對硬件維護(hù)監(jiān)督控制的有效，可考慮以下反映硬件相關(guān)的參數(shù)和報告：

（1）硬件錯誤報告：用以標(biāo)識CPU、輸入輸出、電源和存儲故障。

作用：檢查系統(tǒng)狀態(tài)、故障的排除狀況

（2）可用性報告：指出系統(tǒng)工作正常的時間段。

作用：檢查系統(tǒng)為正常業(yè)務(wù)處理提供有效服務(wù)情況，以及存在的問題（如：不充分的硬件設(shè)施、過度的操作系統(tǒng)維護(hù)，等）

（3）利用率報告：記錄機(jī)器、外設(shè)的使用和有效利用狀況（通常由系統(tǒng)自動形成）。

作用：分析和預(yù)測當(dāng)前處理資源的需求趨勢，以便及時增減資源（如釋放空間、升級硬件等，一般平均利用率應(yīng)在85%-95%

之間）

3、信息系統(tǒng)硬件基礎(chǔ)設(shè)施能力管理硬件基礎(chǔ)設(shè)施能力管理：指對計算機(jī)硬件資源的計劃和監(jiān)控。

目標(biāo)：根據(jù)總體業(yè)務(wù)的增長或減少動態(tài)地增減資源，以確保可用資源的有效利用。能力計劃應(yīng)由用戶和IS管理部門共同參與完成，并至少每年進(jìn)行審查和修改。

能力計劃內(nèi)容包括：有效的預(yù)測業(yè)務(wù)的潛在增長、擴(kuò)充、CPU利用、計算機(jī)存儲利用、遠(yuǎn)程通信和廣域網(wǎng)帶寬利用、I/O通道利用、用戶的數(shù)目、新的技術(shù)的運用和服務(wù)水平協(xié)議等。

4、信息系統(tǒng)硬件基礎(chǔ)設(shè)施控制的審計

信息系統(tǒng)硬件基礎(chǔ)設(shè)施控制的存在性、有效性，需要實施審計。

審計內(nèi)容范圍涉及：硬件基礎(chǔ)設(shè)施管理控制的各個環(huán)節(jié)。

審計方法：檢查和審核其控制的相關(guān)文檔、會談法、調(diào)查表法、觀察法等。

重點審查內(nèi)容包括：（1）硬件獲取計劃。審計內(nèi)容：

判斷計劃是否定期地與管理層的業(yè)務(wù)計劃進(jìn)行比較；環(huán)境設(shè)施是否足以適應(yīng)當(dāng)前安裝的硬件；硬件獲取計劃是否和IS計劃同步，并且考慮了現(xiàn)有設(shè)備及新設(shè)備的技術(shù)退化；軟硬件規(guī)格、安裝要求以及交貨時間等說明的準(zhǔn)確性。（2）檢查微機(jī)（或PC）獲取標(biāo)準(zhǔn)審計內(nèi)容：標(biāo)準(zhǔn)的制定及傳達(dá)情況；檢查標(biāo)準(zhǔn)內(nèi)容（獲取的批準(zhǔn)流程、成本—效益分析等）；所有微機(jī)均由采購部門集中采購以獲得批量折扣或其他優(yōu)惠。

（3）審查硬件的能力管理。審計內(nèi)容：

能力管理程序和性能評估程序是否保證持續(xù)監(jiān)視硬件及系統(tǒng)軟件性能和容量；

IS管理層的硬件性能監(jiān)控計劃中使用的標(biāo)準(zhǔn)是否基于歷史數(shù)據(jù)和分析結(jié)果。

（4）審查變更管理控制。審計內(nèi)容：

IS管理層是否已經(jīng)設(shè)計并強(qiáng)制實施變更日程表；在硬件變更實施前IS部門內(nèi)使用的操作員文檔已經(jīng)進(jìn)行了適當(dāng)?shù)男抻?；變更計劃是否對正常的IS處理產(chǎn)生影響；所有硬件變更情況是否已經(jīng)通知系統(tǒng)程序員、應(yīng)用程序員和IS職員，以確保變更和測試經(jīng)過適當(dāng)?shù)恼{(diào)整。

三、系統(tǒng)軟件控制

系統(tǒng)軟件主要包括？

系統(tǒng)軟件控制涉及：系統(tǒng)軟件獲取與實施、變更、版本與許可、維護(hù)、監(jiān)控和管理等。

主要包括：操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、通信軟件、數(shù)據(jù)管理軟件、作業(yè)調(diào)度軟件、程序庫管理系統(tǒng)、磁帶/磁盤管理系統(tǒng)和系統(tǒng)工具軟件等。系統(tǒng)軟件為業(yè)務(wù)應(yīng)用程序的正確運行提供系統(tǒng)級直接保障，因此：需要實施系統(tǒng)軟件的控制與審計。

1、系統(tǒng)軟件的獲取與實施主要控制內(nèi)容：

版本控制：保證組織內(nèi)使用的系統(tǒng)軟件具有最新的版本，以保證組織的競爭能力

計劃控制：制定短期和長期的計劃；

實施控制：系統(tǒng)軟件遷移更新控制；招標(biāo)與評標(biāo)過程控制；系統(tǒng)軟件使用前測試、認(rèn)證及使用授權(quán)控制。

獲取與實施控制中應(yīng)考慮的業(yè)務(wù)及技術(shù)因素：（1）業(yè)務(wù)需求、功能需求和技術(shù)需求規(guī)格；

（2）與現(xiàn)有系統(tǒng)的兼容性；

（3）安全性需求；

（4）對現(xiàn)有雇員的要求；

（5）操作人員的培訓(xùn)和聘用需求；

（6）對系統(tǒng)性能和網(wǎng)絡(luò)的影響；

（7）組織未來發(fā)展的需要。

（8）系統(tǒng)軟件的錯誤處理能力、程序保護(hù)功能等。

以操作系統(tǒng)為例：錯誤處理能力：能檢驗和糾正因硬件和軟件問題引起的錯誤，如發(fā)生讀寫困難，能自動指出錯誤并進(jìn)行相應(yīng)的處理；

系統(tǒng)使用控制：能對未經(jīng)批準(zhǔn)而使用的文件、程序和設(shè)備提供一定的控制。能記錄系統(tǒng)使用的情況、進(jìn)行口令密碼的監(jiān)視，進(jìn)行存儲保護(hù)。

程序保護(hù)功能：能防止應(yīng)用程序在運行過程中受到其他程序的干擾，防止模塊調(diào)用過程中發(fā)生錯誤，防止被擅自改動；這些可通過審閱廠家提供的系統(tǒng)軟件資料獲得。

2、系統(tǒng)軟件的變更控制控制內(nèi)容：

變更實施程序控制：

保證變更已得到授權(quán)，管理層和相關(guān)人員清楚并參與到變更過程中，確保變更不會破壞現(xiàn)有處理流程；保證有適當(dāng)?shù)膫浞?恢復(fù)程序，使得一旦發(fā)生安裝失敗，能使其影響最小化。

實施變更前的評估控制：確保變更產(chǎn)生的可能影響已得到評價。

變更運行前的測試控制：確保所有測試結(jié)果已進(jìn)行記錄、審查并得到相關(guān)領(lǐng)域技術(shù)專家的認(rèn)可。

3、系統(tǒng)軟件的版本與許可控制目的：防范使用盜版軟件帶來的風(fēng)險。（如：

計算機(jī)病毒、業(yè)務(wù)損失、訴訟風(fēng)險等）

控制內(nèi)容：

版本與許可的政策與管理控制：保證組織為其信息系統(tǒng)部門建立了標(biāo)準(zhǔn)的計算機(jī)桌面環(huán)境和軟件許可策略，通常的做法有：（1）審查用于防范非授權(quán)使用和拷貝軟件的策略和程序文件。

（2）建立對軟件安裝的集中控制和自動分發(fā)（包括取消用戶安裝軟件的能力）機(jī)制；

（3）要求所有的PC機(jī)均是無盤工作站，并只通過安全局域網(wǎng)來訪問應(yīng)用程序；

（4）在局域網(wǎng)中安裝計量軟件，并要求所有的PC

通過該計量軟件來訪問應(yīng)用程序；

（5）定期掃描PC，確保沒有安裝非授權(quán)軟件拷貝；

（6）與供應(yīng)商簽署站點許可協(xié)議或并發(fā)許可協(xié)議。

對信息系統(tǒng)環(huán)境來說，系統(tǒng)軟件控制主要涉及：操作系統(tǒng)控制、數(shù)據(jù)庫控制、防病毒控制等方面。

4、操作系統(tǒng)控制對操作系統(tǒng)控制應(yīng)重點關(guān)注：操作系統(tǒng)軟件控制參數(shù)、檢查系統(tǒng)日志、控制訪問許可

參數(shù)控制目的：決定系統(tǒng)的設(shè)置與行為特征，防止導(dǎo)致隱藏的錯誤和數(shù)據(jù)毀壞，以及非授權(quán)的訪問和不準(zhǔn)確的日志等。

參數(shù)控制作用：利用特殊的硬件或軟件設(shè)置保護(hù)自身避免遭受破壞和修改，保護(hù)系統(tǒng)關(guān)鍵進(jìn)程的安全，保證系統(tǒng)軟件的完整性。

參數(shù)控制內(nèi)容：授權(quán)控制：確保恰當(dāng)?shù)南到y(tǒng)授權(quán)使用；

參數(shù)設(shè)置控制：正確進(jìn)行系統(tǒng)控制選項及目錄中參數(shù)設(shè)置。（如注冊表、組策略等組件）

檢查系統(tǒng)日志：以了解計算機(jī)處理過程并分析系統(tǒng)行為。需要關(guān)注的活動日志項目有：

（1）生產(chǎn)處理所用數(shù)據(jù)文件的版本；

（2）對敏感數(shù)據(jù)的程序訪問；

（3）調(diào)度并運行的程序；

（4）操作系統(tǒng)的操作。

（5）數(shù)據(jù)庫；

（6）訪問控制。

訪問與許可控制：安裝安全的訪問控制軟件

5、數(shù)據(jù)庫控制

數(shù)據(jù)庫控制主要涉及：數(shù)據(jù)庫安全控制控制目的：保證數(shù)據(jù)庫信息的保密性、完整性、一致性和可用性。

數(shù)據(jù)庫安全涉及：存取管理、安全管理和數(shù)據(jù)庫加密

存取管理控制：涉及：用戶身份認(rèn)證技術(shù)：包括用戶身份驗證和用戶身份識別技術(shù)。如口令、智能卡等；

存取控制技術(shù)：存取控制模型有自主存取控制（DAC）、強(qiáng)制存取控制（MAC）和基于角色存取控制（RBAC）。

安全管理控制：涉及：安全管理方式：集中控制、分散控制兩種。

集中控制：由單個授權(quán)者來控制系統(tǒng)整個安全維護(hù)；

分散控制：采用可用的管理程序控制數(shù)據(jù)庫的不同部分來實現(xiàn)系統(tǒng)的安全維護(hù)。

安全管理機(jī)制：人員管理機(jī)制：數(shù)據(jù)庫管理員、數(shù)據(jù)庫安全員、數(shù)據(jù)庫審計員相互制約

數(shù)據(jù)庫管理員職責(zé)：專門負(fù)責(zé)每個特定數(shù)據(jù)的存取；

數(shù)據(jù)庫安全員職責(zé)：負(fù)責(zé)部署強(qiáng)大的控制、符合特定標(biāo)準(zhǔn)的評估，以及大量的用戶賬號、口令安全管理任務(wù)；

數(shù)據(jù)庫審計員職責(zé)：根據(jù)日志審計跟蹤監(jiān)視數(shù)據(jù)訪問和用戶行為。

數(shù)據(jù)庫加密控制：涉及：數(shù)據(jù)庫加密目的：防止泄露、被竊取

數(shù)據(jù)庫加密層次：庫內(nèi)加密、庫外加密、硬件加密。

數(shù)據(jù)庫加密方法：公開密鑰加密方法

加密控制措施：密鑰控制

6、計算機(jī)病毒及其控制控制目的：預(yù)防病毒的感染破壞、實時掃描清除病毒、病毒感染后系統(tǒng)的及時恢復(fù)。

病毒危害：破壞系統(tǒng)、破壞程序、破壞數(shù)據(jù)、占用系統(tǒng)資源，等。

病毒防范控制方法：（1）建立規(guī)范嚴(yán)謹(jǐn)?shù)墓芾聿呗耘c程序。如，制定操作使用規(guī)范、慎用軟件、備份、寫保護(hù)，等。

（2）采用一定的技術(shù)方法預(yù)防和檢測計算機(jī)病毒。

預(yù)防方法：如，防病毒軟件、防火墻，等；

檢測方法：A、檢查；B、

監(jiān)測（掃描）異常指令的執(zhí)行。

防范病毒的技術(shù)手段：硬件手段、軟件手段。

（1）硬件手段：啟動型病毒保護(hù)（內(nèi)置的、基于固件的保護(hù)方法、如硬盤保護(hù)卡）；工作站采用無盤方式的遠(yuǎn)程啟動；計算機(jī)等設(shè)備采用基于硬件的口令；防火墻；等

（2）軟件手段：如，各種防病毒軟件工具

7、對系統(tǒng)軟件控制的審計

系統(tǒng)軟件的控制是否健全？發(fā)揮作用？

需要：實施系統(tǒng)軟件控制的審計。具體來說包括：

（1）檢查系統(tǒng)軟件選擇程序

審計內(nèi)容：是否符合信息系統(tǒng)計劃和業(yè)務(wù)計劃要求；是否適應(yīng)對信息系統(tǒng)的處理和控制要求；是否滿足信息系統(tǒng)業(yè)務(wù)需求，等。

（2）審查系統(tǒng)軟件獲取可行性研究和選擇流程。

審計內(nèi)容：確定建議的系統(tǒng)目標(biāo)和目的與招標(biāo)書/請求建議書一致，并使用了相同的選擇標(biāo)準(zhǔn)。

（3）審計系統(tǒng)軟件采購成本—效益分析。

審計內(nèi)容：確認(rèn)系統(tǒng)軟件采購的成本控制；

（4）審計系統(tǒng)軟件的安裝控制。

審計內(nèi)容：實施新系統(tǒng)的變更有相應(yīng)控制；

（5）審計系統(tǒng)軟件維護(hù)與變更控制

審計內(nèi)容：維護(hù)與變更的有效性。

（6）審計系統(tǒng)軟件安全控制。

審計內(nèi)容：檢查確認(rèn)系統(tǒng)軟件安裝、參數(shù)設(shè)置以及相關(guān)的邏輯設(shè)置是否遵循相應(yīng)的控制制度。

（7）審計系統(tǒng)文檔。

審計重點：安裝控制文件、系統(tǒng)參數(shù)表、活動日志/報告。

審計目的：確保系統(tǒng)安裝正確，與系統(tǒng)兼容，以及發(fā)生事件的及時響應(yīng)與恢復(fù)。

（8）審計系統(tǒng)授權(quán)文檔

審計內(nèi)容：對系統(tǒng)訪問授權(quán)的增加、刪除或修改是否進(jìn)行了記錄，是否保存試圖越權(quán)情形的處理報告的記錄。

（9）審計系統(tǒng)軟件實施控制

審計內(nèi)容：變更程序計劃、授權(quán)程序、訪問安全控制、文檔規(guī)范化控制、系統(tǒng)測試控制、對生產(chǎn)環(huán)境的訪問控制以及相應(yīng)的審計軌跡。

（10）審計數(shù)據(jù)庫控制

審計目標(biāo)：通過對數(shù)據(jù)庫的操作過程、數(shù)據(jù)的保存方式以及數(shù)據(jù)庫的備份和恢復(fù)的檢查，確信信息系統(tǒng)從技術(shù)上能夠保證數(shù)據(jù)庫的安全性和完整性。

審計內(nèi)容涉及：數(shù)據(jù)庫設(shè)計、訪問、管理、界面（接口）、便利性。

審計數(shù)據(jù)庫設(shè)計：審計內(nèi)容：了解使用的數(shù)據(jù)庫類型，同時使用圖表詳細(xì)描述業(yè)務(wù)規(guī)則，最后，檢驗實體關(guān)系模型是否與數(shù)據(jù)庫物理模式相一致。

審計數(shù)據(jù)庫訪問：審計內(nèi)容：對數(shù)據(jù)庫、存儲程序和觸發(fā)器的訪問控制是否適當(dāng)，索引的使用是否最大限度地減少訪問時間，不是基于索引的開放式訪問存在的理由，等。

審計數(shù)據(jù)庫管理：審計內(nèi)容：明確確定所有用戶的安全級別和角色，所有用戶或用戶組的訪問權(quán)限被適當(dāng)復(fù)核，存在備份和災(zāi)難恢復(fù)機(jī)制確保數(shù)據(jù)庫的可靠性和可用性，存在并發(fā)訪問控制機(jī)制和程序確保處理過程的一致性和完整性。

審計數(shù)據(jù)庫界面（接口）：審計內(nèi)容：檢查數(shù)據(jù)庫與其他系統(tǒng)的信息傳輸是否被適當(dāng)控制，以確保信息的保密性、可靠性及完整性。

（11）審計數(shù)據(jù)庫管理系統(tǒng)控制

審計內(nèi)容：對共享數(shù)據(jù)庫的訪問控制是否適當(dāng)，系統(tǒng)數(shù)據(jù)組織是否適當(dāng)，是否有充分的變更程序來保證數(shù)據(jù)庫管理軟件的正確性，數(shù)據(jù)字典的完整性是否得到維護(hù)，數(shù)據(jù)冗余維持在最小，且均已在數(shù)據(jù)字典或其他文檔中進(jìn)行了適當(dāng)?shù)慕徊嬉谩?/p>

第四節(jié)系統(tǒng)訪問控制及審計

Internet內(nèi)部局域網(wǎng)Hacker

VirusFabrication、Sniffer、Modification、etc內(nèi)部行為外部行為一般企業(yè)信息系統(tǒng)網(wǎng)絡(luò)組成：

由此：為確保信息系統(tǒng)避免遭受未經(jīng)授權(quán)使用、篡改、蓄意或意外毀損，需對系統(tǒng)訪問實施控制審計。

系統(tǒng)訪問控制：通過某種途徑允許或限制對網(wǎng)絡(luò)資源（軟件和硬件）和數(shù)據(jù)（存儲的和通信的）的訪問能力及范圍。

訪問控制目的：防止非法訪問，防止破壞系統(tǒng)、程序、數(shù)據(jù)，保障系統(tǒng)安全、可靠的運行。

訪問控制目標(biāo)主要有：（1）防止非法主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源；

（2）允許合法用戶進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源；

（3）防止合法用戶對受保護(hù)的網(wǎng)絡(luò)資源的非授權(quán)訪問。

系統(tǒng)訪問方式可分為：邏輯方式：指用戶通過軟件方式對系統(tǒng)的訪問。

物理方式：指用戶通過物理接觸等方式對系統(tǒng)的訪問。

如何實施訪問控制？涉及：系統(tǒng)訪問方式

因此，系統(tǒng)訪問控制方式涉及：

邏輯訪問控制、物理訪問控制

邏輯訪問控制：是指通過一定的技術(shù)方法去控制用戶在邏輯訪問方式下可以利用什么樣的系統(tǒng)資源（程序、信息與數(shù)據(jù)等）。

控制形式：內(nèi)置在操作系統(tǒng)中，通過訪問控制軟件，及內(nèi)置在應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和網(wǎng)絡(luò)控制設(shè)施等中。

物理訪問控制：是指通過限制人員進(jìn)出敏感物理區(qū)域（如機(jī)房設(shè)備區(qū)、存儲介質(zhì)區(qū)、數(shù)據(jù)中心、辦公區(qū)等）實施訪問控制。

控制措施：如胸牌、內(nèi)存卡、門鎖、從地板到天花板的防護(hù)墻、生物測定設(shè)備等。

具體來說，對計算機(jī)信息物理訪問與邏輯訪問控制，涉及：一、訪問權(quán)限控制

1、訪問權(quán)限控制原則。

控制原則：最小授權(quán)原則和職責(zé)分離原則。（在“知所必需”的基礎(chǔ)上）

2、用戶訪問能力管理。

管理者：安全管理員

控制方式：按照一系列既定規(guī)則，通過調(diào)用適當(dāng)?shù)南到y(tǒng)訪問控制機(jī)制，授權(quán)特定用戶可以訪問和使用受保護(hù)的資源。

如：定義用戶（或用戶組）以什么樣的級別（讀、更新、僅執(zhí)行等）訪問資源。

二、邏輯訪問控制

常用的系統(tǒng)邏輯訪問路徑有：網(wǎng)絡(luò)連接、遠(yuǎn)程訪問

不充分的邏輯訪問控制會增加暴露風(fēng)險的潛在損害。

暴露風(fēng)險包括：技術(shù)性暴露風(fēng)險、計算機(jī)犯罪。

技術(shù)性暴露風(fēng)險：是指對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用系統(tǒng)四個層面的數(shù)據(jù)、軟件進(jìn)行非授權(quán)操作（如創(chuàng)建、閱讀、修改、刪除等）。

技術(shù)性暴露風(fēng)險包括：木馬、邏輯炸彈、后門、病毒與蠕蟲、異步攻擊、數(shù)據(jù)泄露以及拒絕服務(wù)攻擊等。

計算機(jī)犯罪：是指運用計算機(jī)技能、技術(shù)和知識所進(jìn)行的觸犯現(xiàn)行法律的活動的總稱。

計算機(jī)犯罪包括：竊取數(shù)據(jù)和信息；傳播有害信息；破壞或非法修改數(shù)據(jù)或程序；非法插入病毒程序，使系統(tǒng)崩潰或癱瘓，導(dǎo)致信息消失或數(shù)據(jù)丟失；實施貪污、盜竊、詐騙和金融犯罪活動等。

如何防范邏輯訪問風(fēng)險？為此，需采取以下邏輯訪問控制及技術(shù)措施：

1、身份識別與驗證是實現(xiàn)計算機(jī)安全的重要基礎(chǔ)，是多數(shù)系統(tǒng)的第一道防線。

身份識別與驗證技術(shù)可以分為三類：（1）“只有你知道的事情”，如賬號與口令；

（2）“只有你擁有的東西”，如身份證、令牌卡；

（3）“只有你具有的特征”，如指紋、聲音等。

上述三種技術(shù)可以單獨使用，也可以結(jié)合起來使用。

賬號與口令：登錄賬號用于識別用戶，口令也叫密碼，用于用戶身份的鑒定。

控制注意點：

A、登錄賬號有一段時間不用，系統(tǒng)應(yīng)自動鎖定或由系統(tǒng)管理員鎖定，以防盜用；

B、口令應(yīng)當(dāng)以加密形式存放并定期更換；

C、口令應(yīng)符合一定的規(guī)則，一般要求采用字母與數(shù)字混合，長度不低于8位，不使用常見的單詞等。

令牌設(shè)備：或一次性口令設(shè)備是一種雙因素的身份驗證技術(shù)，如智能卡、網(wǎng)上銀行和辦公系統(tǒng)廣泛采用的USB接口的電子令牌設(shè)備。

生物測定與行為測定技術(shù)：是目前最有效的用戶身份識別方法，例如指紋、虹膜、語音等。

2、邏輯訪問授權(quán)通過授權(quán)控制賦予用戶對系統(tǒng)邏輯訪問的能力，進(jìn)而決定可訪問的資源。

授權(quán)原則：最小授權(quán)原則

授權(quán)方式：訪問授權(quán)表（也稱為訪問控制列表）。

訪問控制列表參見下圖：

資源包括：數(shù)據(jù)、應(yīng)用系統(tǒng)（測試階段軟件、生產(chǎn)現(xiàn)場軟件）、Web應(yīng)用、域名服務(wù)器、網(wǎng)絡(luò)路由器與交換機(jī)中的操作系統(tǒng)、系統(tǒng)公用工具設(shè)施、通訊線路、資源庫/目錄、口令、磁盤磁帶文件、系統(tǒng)軟件、訪問控制軟件、系統(tǒng)程序庫、日志文件、繞過標(biāo)簽處理特征、系統(tǒng)后門、撥號線路、數(shù)據(jù)字典/目錄、打印隊列等。

訪問控制列表一般包括以下內(nèi)容:

（1）定義對特定的系統(tǒng)資源具有訪問許可的用戶（包括組、計算機(jī)、過程）；

（2）訪問許可的類型。

3、遠(yuǎn)程訪問控制互聯(lián)網(wǎng)環(huán)境下遠(yuǎn)程訪問連接的安全、可靠有賴于對遠(yuǎn)程訪問的控制。

控制點：（1）在公共網(wǎng)上傳輸時的安全控制

可通過VPN（虛擬專用網(wǎng)）的方式來保護(hù)數(shù)據(jù)傳輸；

（2）使用個人數(shù)字助理（PDA）遠(yuǎn)程訪問控制

建立與其中存儲信息的安全級別一致的保護(hù)措施；建立安全政策與程序；教育用戶了解并承擔(dān)因業(yè)務(wù)目的而使用PDA的責(zé)任。

4、便攜式存儲設(shè)備控制

為防止利用便攜式存儲設(shè)備（硬盤、閃存等）成為訪問系統(tǒng)濫用組織敏感數(shù)據(jù)和程序的工具，因此需要制定政策或采取技術(shù)控制措施。

常用控制措施：

（1）禁止所有可移動設(shè)備的使用；

（2）通過用戶登錄腳本設(shè)置禁止使用USB端口（除非經(jīng)特別授權(quán)）；

（3）如有必要，對所有可能被拷貝的數(shù)據(jù)進(jìn)行加密。

物理訪問風(fēng)險包括：未經(jīng)授權(quán)進(jìn)人信息處理場所，毀損、破壞或竊取設(shè)備、財產(chǎn)或文件，拷貝或偷看敏感的或有著作權(quán)的信息，對敏感性設(shè)備及信息的變更，敏感信息的泄露，濫用數(shù)據(jù)處理資源，勒索以及盜用，等。

物理訪問風(fēng)險的危害：可能使企業(yè)的業(yè)務(wù)資源面臨非授權(quán)訪問和喪失可用性，可能引起組織的財務(wù)損失、法律訴訟、信譽(yù)受損或喪失競爭優(yōu)勢。三、物理訪問控制

1、物理訪問風(fēng)險？

（2）其他可能的犯罪人員：如離職員工、有利害關(guān)系的外來者（如競爭者、小偷、犯罪集團(tuán)），由于偶然疏忽造成損失者，無意間犯下罪行者，等。

2、物理訪問控制控制范圍包括：信息系統(tǒng)相關(guān)處理場所和設(shè)施，整個組織范圍內(nèi)、辦公場所邊界處、外部機(jī)構(gòu)、租賃出租場所等所有可能出現(xiàn)物理訪問風(fēng)險的地方。

可能的犯罪者：（1）來自內(nèi)部員工授權(quán)或非授權(quán)的訪問，如對組織、社會不滿的員工；

3、物理訪問控制措施：（1）管理措施：通過授權(quán)實施訪問控制；

（2）技術(shù)措施：設(shè)置門禁系統(tǒng)和門衛(wèi)；門鎖（組合門鎖或電子門鎖、生物特征鎖等）；攝像監(jiān)控；出入陪同；訪問日志登記；自動報警系統(tǒng)；重要設(shè)備使用電磁屏蔽等。

三、訪問控制的審計

對訪問控制的審計，涉及：

1、對用戶權(quán)限控制的審計

（1）審查是否對不同的職責(zé)分配權(quán)限；

（2）審查是否建立了訪問控制制度加強(qiáng)權(quán)限控制；

（3）審查有無通過操作流程、監(jiān)督和檢查控制個人行為的措施。

2、對邏輯訪問控制的審計審計步驟：

（1）獲得對組織信息安全風(fēng)險的整體了解；

包括：技術(shù)、管理、環(huán)境，以及路徑。

方法：審核相關(guān)文檔、詢問、現(xiàn)場觀察、風(fēng)險評估等。

（2）審核系統(tǒng)軟硬件的安全功能和識別系統(tǒng)中存在的缺陷，記錄和評價系統(tǒng)中已有的針對各種潛在訪問路徑的控制是否充分和有效；

（3）利用恰當(dāng)?shù)膶徲嫾夹g(shù)，對訪問路徑的各種控制進(jìn)行測試，以判斷它們是否正常起作用；

（4）分析測試結(jié)果和其他審計證據(jù)，評價訪問控制環(huán)境，判斷其是否達(dá)到了控制目標(biāo)；

（5）審核書面政策、現(xiàn)場觀察、對比其他組織安全標(biāo)準(zhǔn)與實踐等方法，評價安全環(huán)境充分性。

3、對物理訪問控制的審計對物理訪問控制的審計，涉及：（1）通過現(xiàn)場查看以獲得對信息處理環(huán)境的全面了解，以及了解對物理訪問限制措施（對員工、參觀者、黑客和廠商等）的機(jī)會；

查看對象主要包括：信息處理設(shè)施（計算機(jī)機(jī)房、系統(tǒng)開發(fā)區(qū)、磁帶庫、打印機(jī)位置和管理辦公室等）和異地存儲設(shè)施；

（2）審核文件書面數(shù)據(jù)輔助測試；如：鑰匙取用記錄、出入登記記錄等。