信息系统审计第二章.ppt

信息系统审计第三章,山东财经大学会计学院李康昊,第三章信息系统一般控制及审计,3.1信息系统一般控制概述3.2管理控制及其审计3.3系统基础设施控制及其审计3.4系统访问控制及其审计3.5系统网络架构控制及其审计3.6灾难恢复控制及其审计,3.1信息系统一般控制概述,信息系统内部控制是一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊，确保信息系统提供信息的真实、合法、完整，而制定和实施的一系列政策与程序措施。信息系统内部控制分为一般控制和应用控制。信息系统一般控制是应用于一个单位信息系统全部或较大范围内的内部控制，其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。信息系统应用控制是用于对具体应用系统的控制。良好的一般控制是应用控制的基础。一般控制是保证应用控制有效的重要因素。,3.2管理控制及其审计,3.2.1管理控制的基本内容3.2.2管理控制审计3.2.3管理控制测试,3.2.1管理控制的基本内容,信息安全管理是指导组织的安全实践活动，它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系，通过维护信息的机密性、完整性和可用性，来管理和保护组织所有的信息资产。信息系统的安全管理控制的主要目标是实现职责分离和人员的管理。信息系统组织管理控制的另一个重点是人员管理的控制。,3.2.2管理控制审计,审计书面策略、流程与标准审计逻辑访问安全策略审计安全意识的培训审查数据所有权、数据所有人和数据使用者审查数据保管员审查安全管理员审查书面授权审查离职员工的访问控制审查访问标准,3.2.3管理控制测试,控制测试是审计工作中的重要步骤，从系统审计角度来说，测试分为符合性测试和实质性测试，对信息系统一般控制的测试，是检查相关控制的存在性和有效性，属于符合性测试。信息系统审计应当针对一般控制的具体区域，参照风险控制的模型，根据控制矩阵进行控制测试，测试一般可采用检查控制文档、问卷调查、会谈、观察等手段进行，并完成控制测试矩阵。,3.3系统基础设施控制及其审计,3.3.1信息系统环境控制3.3.2信息系统硬件控制与审计3.3.3系统软件控制,3.3.1信息系统环境控制,环境风险对环境风险的控制,环境风险,环境风险可能来源于自然灾害，或电力故障、设备故障等方面。其中对信息系统影响最大的就是计算机和支持系统的电力故障。对于信息系统内部控制人员来说，检查环境风险应着重考虑以下问题：计算机设备电源供应计算机设备的温度、湿度控制计算机设备是否提供静电保护计算机设备能否防尘、防烟及其他特殊物品是否明文禁止在计算机设备旁就餐、喝饮料及吸烟？是否对备份磁盘及磁带提供保护措施,对环境风险的控制,为有效控制信息处理设施的环境风险，对信息处理设施的物理位置需认真考虑对上述环境风险，通常采用的控制设施和控制技术包括：安装与使用报警控制面板水灾探测器火灾控制电力供应相关风险的控制其他相关的控制,3.3.2信息系统硬件控制与审计,硬件基础设施采购控制硬件基础设施维护与监控硬件基础设施能力管理对硬件基础设施控制的审计,硬件基础设施采购控制,选择计算机硬件和软件环境，经常需要向软硬件供应商发布一个规格，并制定评估供应商建议的准则。从供应商处采购（获取）软硬件时，应充分考虑各种因素进行评标在硬件采购中通常考虑的技术指标包括运转时间、响应时间、吞吐量、负载、兼容性、容量以及利用率等信息系统审计在考虑硬件获取时，要确定该获取过程是否开始于业务需求，其硬件需求是否在规格中体现，确定是否考虑了多个供应商，并根据上述准则进行了比较,硬件基础设施维护与监控,信息系统硬件基础设施必须进行日常清洁和保养以保证其正常运行。在对该维护过程进行审计时，IS审计师应该确定已形成正式的维护计划并得到管理层的批准信息系统审计还要检查硬件监控过程，可考虑的参数和报告有：硬件错误报告可用性报告利用率报告,硬件基础设施能力管理,能力管理是对计算机资源的计划和监控能力计划应包括被以往经验所证实的预测，并同时考虑现有业务的潜在增长和未来业务的扩充审计应当清楚上述需求的数量和分布具有固有的灵活性，某一个类别的特定资源可能会对其他类别的需求产生影响。,对硬件基础设施控制的审计,对硬件基础设施控制的审计，应重点检查和审核其控制的相关文档，必要时可采用会谈等方法获知控制的有效性硬件获取计划的审查检查微机获取标准及请求审查硬件的能力管理程序和性能评估程序信息系统审计师还需要审查变更管理控制以确定有关信息系统变更的相关控制的存在与有效性。,3.3.3系统软件控制,系统软件的获取与实施系统软件的变更控制系统软件的版权与许可操作系统软件控制参数数据库安全控制计算机病毒及其控制对系统软件控制的审计,系统软件的获取与实施,管理层应保证组织内使用的系统软件具有最新的版本，以保证组织的竞争能力管理层应制定短期和长期的计划，以便及时将操作系统及相关的系统软件迁移到更新、更有效率和效益的版本上信息系统软件的此案够、实施与硬件通常是同时进行的，信息系统审计可将其作为同一个审计对象加以评估，这时信息系统审计要特别考虑系统软件采购中的业务和技术因素系统软件的实施需要制定组织内使用的标准配置，包括功能特征、配置选项和控制方法。,系统软件的变更控制,系统软件的实施涉及大量的变更，变更控制程序用来保证变更已经得到授权，管理层和相关人员清楚并参与到系统软件的变更过程中，确保变更不会破坏现有处理流程。变更控制程序还应通知所有可能受变更影响的相关人员，并保证这些人员已经对变更在各自领域可能产生的影响做了适当的评估。在将变更后系统投入实际运行前，应确保所有测试结果已进行记录、审查并得到相关领域专家的认可。,系统软件的版权与许可,盗版软件会损害组织利益，同时大量盗版软件会使组织面临被诉讼风险。为预防或检测对软件版权的侵犯，通常的做法有：审查用于防范非授权使用和复制软件的策略和程序文件审查所有标准的、已用的和许可的应用及系统软件列表建立对软件安装的集中控制和自动分发机制要求所有的PC都是无盘工作站，并只通过安全局域网来访问应用程序在局域网中安装计量软件，并要求所有的PC通过该计量软件来访问应用程序定期扫描PC，确保PC中没有安装非授权的软件备份,操作系统软件控制参数,判断一个系统软件的控制运行状况的最有效的手段是检查其软件控制特征和参数，对操作系统的不适当的实施和参数设置会导致隐藏的错误和数据毁坏，以及非授权的访问和不准确的日志等。操作系统利用特殊的硬件或软件设置保护自身免受破坏和修改，保护系统关键进程的安全，保证系统软件的完整性，操作系统的完整性依赖于管理层对授权技术的使用，管理层应防止非授权用户获取执行特权指令的能力并进而控制整个系统。系统软件一般提供日志文件，记录计算机处理过程并用于分析系统的行为。系统软件的访问许可与控制可使用安全的访问控制软件。,数据库安全控制,数据库安全就是保证数据库信息的保密性、完整性、一致性和可用性。数据库安全通常通过以下技术实现：存取管理技术：存取管理技术包括用户身份认证技术和存取控制技术两方面。安全管理技术：安全管理指采取何种安全管理机制实现数据库管理权限分配，安全管理分集中控制和分散控制两种方式。数据库加密：数据库加密包括库内加密、库外加密、硬件加密；数据库一般采用公开密钥加密方法；数据库加密可在三个层次实现，即操作系统层，DBMS内核层和DBMS外层。,计算机病毒及其控制,有效地病毒防范方法一是要建立规范严谨的管理策略与程序；而是要采用一定的技术方法，如防病毒软件，来预防和检测计算机病毒。防反病毒的技术手段包括硬件和软件两种在网络上进行防病毒，应当在网络入口处开始,对系统软件控制的审计,为审计信息系统的系统软件的开发、获取和维护，可通过与系统技术人员和相关负责人的会谈等过程获得系统软件选项设置的审查和批准流程、软件实施的测试程序、测试结果的审查和批准程序、系统软件实施程序以及文档需求等系统软件相关文档。要检查系统软件选择程序要审查系统软件获取可行性研究和选择流程在审计系统软件采购、实施中，还要注意审计成本效益分析、审计系统软件的安装控制、维护与变更控制、安全控制。要特别检查系统文档要测试软件实施中的控制及其充分性对有数据库支持的信息系统，审计要检查相应的数据库控制,3.4系统访问控制及其审计,3.4.1逻辑访问控制3.4.2物理访问控制3.4.3对访问控制的审计,3.4.1逻辑访问控制,逻辑访问路径身份识别与验证逻辑访问授权远程访问控制便携式存储设备控制,逻辑访问路径,进入系统的逻辑访问可通过不同路径，每种路径均应用适当的访问安全级别。网络连接是指终端设备或个人计算机通过通信网络与主计算机物理相连而获得访问能力。远程访问是指利用电话线拨号、远程终端或计算机进入信息系统。尽管当前网络环境下广泛采用分布式处理，但连接到特定计算机的传统方式仍然在某些组织和领域继续存在。,身份识别与验证,逻辑访问控制中的身份识别与验证是一种提供用户身份证明的过程身份识别与验证是实现计算机安全的重要基础，身份识别与验证技术可分为：账号与口令令牌设备生物测定技术与行为测定技术,逻辑访问授权,逻辑访问控制在正确识别用户身份后，要通过授权过程赋予用户对系统逻辑访问的能力计算机访问有多种级别，在逻辑访问授权时，应清楚用户在某一级别的访问能做什么，不能做什么需要采取逻辑访问控制进行保护的计算机资源包括数据、应用系统等为给以上文件和设施提供安全授权，逻辑访问机制需要利用访问授权表，也成为访问控制列表。,逻辑访问控制,由于互联网的飞速发展，当今组织需要为不同类型的用户建立远程访问连接目前大量使用的是基于TCP/IP的INTERNET访问，一般通过VPN的方式来保护数据传输个人数字助理（PDA）的使用及安全控制,便携式存储设备控制,由于利用便携式硬盘、闪存等移动设备来备份数据是目前非常流行的一种操作。对这些设备的控制措施包括：在组织的安全政策中禁用通过用户登录脚本设置禁止使用USB端口对所有可能被复制的数据进行加密,3.4.2物理访问控制,物理访问风险物理访问控制,物理访问风险,物理访问风险原因可能来自于对安全规定有意或无意的违反可能的犯罪者包括来自内部员工授权或非授权的访问有许多可能导致犯罪的控制弱点信息系统的相关处理场所和实施都要纳入物理访问控制范围,物理访问控制,物理访问控制是用来保护组织使其免受非授权访问的一种措施组织需要针对不同的物理访问控制区域，选择合适的安保措施,3.4.3对访问控制的审计,逻辑访问控制的审计物理访问控制的审计,逻辑访问控制的审计,物理信息系统审计师在评价逻辑访问控制时，需注意的各个方面逻辑访问控制审计的第一步是对信息系统处理设施的技术、管理、安全环境有一个清晰地了解会谈与观察是逻辑访问控制审计的重要手段信息系统审计师还应检查已实施的逻辑访问控制软件系统日志可自动记录和报告计算机访问和试图入侵的行为，对安全管理员访问系统日志的权限应加以严格限制保护审计踪迹数据的完整性，使其不被非授权修改审计日志数据量大，内容复杂，人工分析往往很困难，需要专门的软件工具进行处理,物理访问控制的审计,现场查看组织的信息处理设施，对信息系统审计师获得对信息处理环境的全面了解是非常有用的，同时也提供了审核物理访问限制措施的机会查看对象应该包括信息处理设施和异地存储设施。,3.5系统网络架构控制及其审计,3.5.1局域网控制与审计3.5.2客户机/服务器架构风险与控制3.5.3互联网风险与控制3.5.4网络安全技术3.5.5网络架构控制的审计,3.5.1局域网控制与审计,局域网风险局域网风险管理与审计,局域网风险,局域网安全依赖于局域网软件由于网络软件的管理和控制功能有限，因此局域网使用有诸多的风险局域网的诊断功能也带来了局域网非授权访问的风险和舞弊风险网络操作系统软件的网络控制功能需要加强许多组织的网络管理员缺乏知识和技能，不能有效管理网络局域网软硬件的多样性使得很难对网络实施标准的管理，在网络发生问题时，解决问题的成本会很高对远程拨号连接等方式，需要相应的访问控制对上述风险和问题，一般员工缺乏必要的认识,局域网风险管理与审计,对于局域网管理员来说，需要对网络进行实施与维护，若管理不完善，信息资源将面临非授权访问的风险对信息系统审计来说，最重要的是获得对局域网的全面了解，并记录相关事项：局域网拓扑结构及网络设计网络管理员及局域网所有者的职责网络管理员以及局域网所有者所执行的功能局域网上的用户及用户组局域网上所使用的各种应用系统与网络设计、技术支持、命名规范及数据安全有关的工作程序及标准,3.5.2客户机/服务器架构风险与控制,C/S架构风险C/S架构风险控制,C/S架构风险,网络管理员未设定有效地访问控制变更控制和变更管理程序都可能存在弱点网络服务中断可能会对企业有严重的影响网络组件老化，不能及时更新换代未经授权地使用调制解调器连接到其他网络网络连接到公共电话交换网，访问控制缺失不正确、未经授权或未经核准地改变系统或数据未经授权访问或修改数据应用程序及数据不像主机系统那样锁在主机室的一台机器上，信息系统审计必须评估C/S架构系统中所有部件的安全性,C/S架构风险控制,禁止使用软驱变更网络监控装置需要网络管理员的有效监控和维护数据加密技术可帮助保护重要数据不被未授权访问可在整个组织环境中，对用户身份进行鉴别限制用户只能执行其职责所需的功能，进行访问控制管理,3.5.3互联网风险与控制,互联网安全威胁互联网安全控制,互联网安全威胁,被动攻击主动攻击当前通过INTERNET或基于WEB服务的非授权访问是互联网攻击的主要表现形式,互联网安全控制,为建立一个有效的互联网安全控制，组织必须先建立一个有效地信息系统安全管理框架，在框架内开发具有可操作性的控制措施。组织应当制定特定的操作指南，以指导用户如何定义与INTERNET上信息资产的机密性、完整性和可用性相关的控制级别。组织应该明确定义所采取的控制技术以及对这些控制技术的正确应用,3.5.4网络安全技术,网络防火墙入侵检测系统加密技术及其应用虚拟私用网络,网络防火墙,防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。是提供信息安全服务，实现网络和信息安全的基础设施。防火墙可通过监测、限制、更改跨越防火墙的数据流，尽可能的对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。网络防火墙技术可根据防范的方式和侧重点的不同而分为很多类型，总体来说可分为三类：包过滤防火墙、应用级防火墙以及状态检测防火墙。,入侵检测系统,对于入侵监测系统（IDS）的作用是监控玩了过和信息系统是否出现入侵或滥用的征兆，以保护系统资源的机密性、完整性和可用性。根据被监测对象的不同，入侵检测可分为以下两类：基于主机的入侵监测基于网络的入侵监测入侵监测的分析方法有3种：特征分析法、统计分析法和神经网络,加密技术及其应用,加密是把数据变换为不可读的形式的过程，它能保护数据不被截获、修改，还能用于身份验证等。加密系统的关键要素包括加密算法、加密密钥以及密钥长度加密技术在计算机网络安全领域有广泛的应用，如：数字签名数字信封公钥基础设施（PKI）与数字证书网络安全协议,虚拟私有网络（VPN）,传统的租用线路的方法实现私有网络的互联成本很高，VPN的出现为企业提供了理想的实现途径。VPN是通过公共网络建立一个临时的、安全的连接，它是对企业内部网的扩展VPN利用接入服务器、路由器及VPN专用设备在公共网络基础设施上，通过实现虚拟专用网的技术等手段，达到类似私有专用网的数据安全传输。VPN具有虚拟的特点，同时又具有专线的数据传输功能VPN的功能包括：加密数据信息认证和身份认证提供访问控制,3.5.5网络架构控制的审计,局域网控制的审核远程访问控制的审核网络穿透测试网络变更控制的审核,局域网控制的审核,信息系统审计应审核对局域网的控制，以保证局域网体系结构的设计和选择遵循了适当的标准，并保证获取和运行局域网的成本不超过其效益。为有效执行审核，IS审计师应检查与审核以下事项：局域网拓扑结构和网络设计重要的局域网组件局域网配置以及和其他网络的互联局域网使用局域网管理员与重要的局域网用户组审计应了解局域网管理员执行的功能，局域网相关的硬件、程序、标准和技术等。对风险评估后，评价是风险最小化的控制。,远程访问控制的审核,信息系统审计应确定组织已经为所有的远程访问提供了控制措施。为审核现有的远程访问结构，应检查所有的远程访问进入点，也要评价各种控制方法的有效性应测试拨号访问控制为评价将来可能出现的各种远程访问，需确定组织中队远程访问的设计与实施是否经济合理，需评估远程环境类型、通信服务的完整性与可用性，为保护组织IT设施需要采取的方法。当组织利用INTERNET交易时，应审查INTERNET的使用情况,网络穿透测试,网络穿透测试可测试组织的网络架构所面临的真实风险穿透测试的范围可根据网络的实际情况及用户需求确定穿透测试只能由具有一定资质与技能的专业人员进行信息系统审计人员应了解穿透测试可能带来的安全风险完成测试后，需要对整个网络系统的漏洞进行综合性审核综合性审核应审核信息安全政策与程序，评价网络和防火墙安全设置，评价逻辑访问控制，检查并确定组织实施的安全措施,网络变更控制的审核,网络信息系统网络环境的变化经常需要为网络配置进行及时更新，信息系统审计部门要特别关注网络配置的变更需要得到管理层的书面授权信息系统审计通过相应的检查与评估，保证组织对这种变更建立了有效的控制变更控制程序最重要的目的是要防止和监测对软件、配置参数和数据的非授权修改。对于网络环境的相关软件、配置以及数据的变更，信息系统审计要检查对生产环境软件的访问控制，严格限制程序员对其访问，并通过源代码比较和访问控制软件等控制方法确保其机密性、完整性和可用性。,3.6灾难恢复控制及其审计,3.6.1灾难与业务中断3.6.2灾难恢复与业务持续计划3.6.3灾难恢复与业务持续计划的审计,3.6.1灾难与业务中断,灾难引起的原因：自然灾害；预期的服务未正常供应；人为地破坏有些会引起关键服务中断的事件不归结为灾难事件,3.6.2灾难恢复与业务持续计划,业务影响分析恢复目标恢复策略与恢复类型制定灾难恢复与业务持续计划异地备份,业务影响分析,业务影响分析是业务持续计划的一个关键步骤，业务影响分析首先要了解组织的整体情况、关键业务处理流程和组织处理关键业务流程时使用的IT资源。执行业务影响分析的方法包括问卷调查、拜访关键用户和集中讨论。中断恢复时间的长短取决于被中断的业务性质灾难恢复系统的操作方式分为自动恢复和人工恢复两种制定业务持续计划的重要依据就是对应用的重要性进行分类,恢复目标,确定恢复目标是灾难恢复计