安全審計技術范文精選

本文作者：杜寧寧趙慶亮作者單位：國家開發銀行

一、信息安全概況

隨著信息技術的飛速發展，金融機構生產、使用和共享的信息呈現幾何增長的態勢，信息傳遞的方式和渠道急劇增加，在為金融機構帶來收益和效率的同時，也使信息安全問題更加凸顯。在全球范圍內，信息安全事件頻發，給銀行和客戶造成經濟損失的同時，也帶來了巨大的聲譽損失。如何有效提升信息安全管理水平，成為銀行關注的焦點。信息安全審計作為信息安全保障工作中的重要一環，能夠促進信息安全控制措施的落實，規范信息安全管理，提高全員信息安全意識，從而有利于保持和持續改進銀行信息安全能力和水平。

根據當前的信息安全管理體系國家標準GB/T22080-2008（等同采用ISO/IEC27001:2005），信息安全保障工作從整體看應包括四個階段：一是規劃和建設階段（Plan，簡稱“P階段”）；二是實施和運行階段（Do，簡稱“D階段”）；三是監視和評審階段（Check，簡稱“C階段”）；四是保持和改進（Act，簡稱“A階段”）。這四個階段按順序循環往復，從而使信息安全得到持續改進。這種方法也被稱為“PDCA循環”，如圖1所示。

經過近十幾年的努力，金融行業信息安全保障工作已經普遍走過了“P階段”和“D階段”，金融行業的信息安全需求已基本明確，滿足信息安全需求的基礎設施也基本具備。經過大范圍的規劃建設，各金融機構已經建立了相對完備的信息安全軟硬件環境，初步形成了信息安全保障體系。盡管如此，作為關系國計民生的重要基礎產業，金融行業對信息安全有著更高的要求，也面臨著更大的信息安全風險挑戰。近年來，金融行業頻繁發生的信息安全事件表明，金融行業信息安全保障工作還存在很多缺陷和不足。導致這一局面的因素很多，其中一個重要的原因就是大家普遍重視信息安全的建設和運行，而忽視了信息安全工作的檢查和改進。從整體上看，金融行業信息安全保障工作已經走過“P階段”和“D階段”，尚未進入“C階段”和“A階段”，還沒有形成完整的基于“PDCA”過程方法的持續改進機制。接下來金融行業信息安全工作的重心應該轉向檢查和改進。信息安全審計是“C階段”的主要手段。它利用傳統財務審計和審計工作的規范與嚴謹，結合信息和保密技術的工具與手段，對金融機構信息安全工作的成效和不足給出客觀、確定的審計結論，并根據審計結果，對金融機構的信息安全保障工作提出改進措施、給出合理化建議。

為了對商業銀行信息科技整個生命周期內的信息安全、業務連續性管理和外包等主要方面提出高標準、高要求，滿足商業銀行信息科技風險管理的需要，銀監會2009年了《商業銀行信息科技風險管理指引》，其中第六十五條規定：“商業銀行應根據業務性質、規模和復雜程度，信息科技應用情況，以及信息科技風險評估結果，決定信息科技內部審計范圍和頻率。但至少應每三年進行一次全面審計。”

摘要：隨著云計算、大數據等技術的高速發展，各地政府響應“放管服”改革和建設服務型政府的戰略決策，逐漸深化電子政務的實踐。本文首先以文獻綜述的方式系統性分析近年來國內外關于信息系統審計的研究進展，其次梳理我國信息系統審計發展概況，最后提出電子政務信息系統云安全審計體系。文末分析我國信息系統安全審計亟待解決的問題，并從行業法規標準的完善、審計工具軟件的優化配置及人才培養儲備等方面提出相關改進建議。

關鍵詞：云計算；電子政務；信息系統審計；安全審計

一、引言

“十二五”規劃明確要求以云計算為基礎，積極構建并完善政府公共服務平臺，促進政府各機關組織全方位協同、信息資源共享以及為信息安全提供保障。“互聯網+政務服務”的概念在2016年政府報告中被提及，自此政務云、政務信息系統的建設步履不停。翟云（2017）認為“互聯網+政務服務”能夠推動政府實現治理現代化。從實踐成果方面看，全國各地積極將電子政務系統投入公共服務工作中，并建成各省市區網上政務信息平臺。成都市致力于統籌公共信息平臺與信息系統，綜合調度、加強政務信息系統的交互訪問；2019年甘肅開辟多條信息化稅務通道“前后呼應”為民眾減負；北京大興區政府致力于建設智慧城市、打通政務服務“最后一公里”，與百度合作共同打造“指尖上的政務”；2020年浙江開設“云上商務廳”，提供線上“廳長問診”服務。據2020年聯合國出具的對世界各國電子政務調查報告顯示，我國2020年電子政務發展指數居全球第45位，排名較之前有了顯著提升。我國電子政務系統建設雖初有成效，但仍有進步空間。在信息系統設計與實施方面，電子政務信息系統的協同與完善、政務數據互聯共享機制有待完善；在數據存儲安全方面，信息存儲與訪問安全、公民隱私保護措施仍有待加強。

二、相關概念與理論基礎

1．電子政務。電子政務是依賴信息技術與通信技術開展的政府政務活動。電子政務建立在一系列信息基礎設施之上，使用相關軟件實現政府功能，電子政務信息系統是一種利用網絡實現公共服務，集信息處理、交互、反饋為一體的系統，電子政務信息系統適用于政府各機關組織、企業和公眾。電子政務信息系統服務的對象包括該組織的內部機構，以及其他機構、團體、企業和公眾，處理內容包括政府機構的內部信息，可以在一定范圍內交換的信息，并接受各種類型的投訴、建議和要求。簡而言之，電子政務信息系統是一種政府綜合行政電子管理系統，通過技術手段將政府傳統行政方式轉變為電子管理模式。

計算機會計信息系統實現網絡處理后,由于系統的入口增多,操作人員和信息使用者干預系統的機會增大,系統面臨的安全隱患也必然增多。尤其隨著Internet/Intranet的應用,外部日益擴大的網絡環境對會計信息系統本身及其安全又將產生更大的影響,不僅影響傳統的會計業務處理及信息的披露方式,而且安全方面會產生更多的不確定因素。除了計算機軟硬件的不安全因素之外,會計信息系統還將面臨人文方面的更大風險,例如來自不法之徒的風險就有:

1利用網絡及安全管理的漏洞窺探用戶口令或電子帳號,冒充合法用戶作案,篡改磁性介質記錄竊取資產。

2利用網絡遠距離竊取企業的商業秘密以換取錢財,或利用網絡傳播計算機病毒以破壞企業的信息系統。

3建立在計算機網絡基礎上的電子商貿使貿易趨向“無紙化”,越來越多的經濟業務的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結算單及其它帳單,就有可能將公私財產的所有權進行轉移。

計算機網絡帶來會計系統的開放與數據共享,而開放與共享的基礎則是安全。企業一方面通過網絡開放自己,向全世界推銷自己的形象和產品,實現電子貿易、電子信息交換,但也需要守住自己的商業秘密、管理秘密和財務秘密,而其中已實現了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創造一個安全的環境,抵抗來自系統內外的各種干擾和威協,做到該開放的放開共享,該封閉的要讓黑客無奈。

一、網絡安全審計及基本要素

計算機會計信息系統實現網絡處理后，由于系統的入口增多，操作人員和信息使用者干預系統的機會增大，系統面臨的安全隱患也必然增多。尤其隨著Internet/Intranet的應用，外部日益擴大的網絡環境對會計信息系統本身及其安全又將產生更大的影響，不僅影響傳統的會計業務處理及信息的披露方式，而且安全方面會產生更多的不確定因素。除了計算機軟硬件的不安全因素之外，會計信息系統還將面臨人文方面的更大風險，例如來自不法之徒的風險就有：

1利用網絡及安全治理的漏洞窺探用戶口令或電子帳號，冒充合法用戶作案，篡改磁性介質記錄竊取資產。

2利用網絡遠距離竊取企業的商業秘密以換取錢財，或利用網絡傳播計算機病毒以破壞企業的信息系統。

3建立在計算機網絡基礎上的電子商貿使貿易趨向“無紙化”，越來越多的經濟業務的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結算單及其它帳單，就有可能將公私財產的所有權進行轉移。

計算機網絡帶來會計系統的開放與數據共享，而開放與共享的基礎則是安全。企業一方面通過網絡開放自己，向全世界推銷自己的形象和產品，實現電子貿易、電子信息交換，但也需要守住自己的商業秘密、治理秘密和財務秘密，而其中已實現了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創造一個安全的環境，抵抗來自系統內外的各種干擾和威協，做到該開放的放開共享，該封閉的要讓黑客無奈。

一、網絡安全審計及基本要素

摘要：結合主機安全狀態監控與主機違規行為審計的需求，實現了一個主機安全審計系統。本文從系統架構和功能角度提出了系統設計和實現方案，系統實現了文件監控、上網記錄、非法外聯、打印、光盤刻錄、U盤使用等主機審計功能。

關鍵詞：主機安全；安全審計；信息安全

0引言

安全問題是各類信息系統共同面臨的威脅。主機是信息系統的基本組成部分，是獲取、存儲和傳遞信息的載體。主機安全是信息系統安全的基石。很大比例的安全事件是由內部人員對主機的違規使用引起的，例如，使用主機非法外聯，非法主機違規進入內部網絡、存儲或處理過辦公網信息的移動載體并連接到互聯網等。為了有效防止違規操作的發生，加強對主機終端的安全管理并對主機行為進行審計取證勢在必行。通過主機審計系統能夠對主機的各類行為進行有效管控，保障主機安全穩定運行，構建一個安全的內網環境，提升信息系統的安全性能。

1主機安全審計技術原理

主機安全審計技術是一門傳統審計與信息安全相結合的技術。主機安全審計對與安全活動相關的信息進行記錄和存儲，在此基礎上根據一定的安全策略，對歷史操作數據進行分析，為事后追蹤和處理奠定基礎。主機安全審計應用于主機的使用與管理，包含很多具體功能，如針對主機非法外聯的報警和控制，針對文件的拷貝、刪除等訪問的監控，針對打印、上網、光盤刻錄等行為的監控，并將這些行為通過日志記錄下來，以便事后審計。安全審計保證了用戶違反規則、越權的操作的不可抵賴性，對潛在的內部違規或攻擊行為起到震懾作用，安全人員可以通過分析積累的日志數據發現攻擊行為，為已經發生的違規或攻擊行為提供追查憑證。