信息系统安全常用检查方法

信息系统安全常用检查方法1问卷与函证一、问卷问卷是获取基本信息的有效手段，可以分为调查问卷和访谈问卷。调查问卷通常适用于调查对象众多、分布区域较广泛的情况。通过分析调查问卷，可以了解检查项目在各个被查单位的状况，从而识别出主要的风险和问题所在，进而可以确定主要检查目标。访谈问卷适用于现场检查项目，可提前发送给被访谈人，以便其作必要的准备，使访谈可以顺利进行。二、函证函证是利用特定类型的问卷直接从第三方获取信息或现有状况声明的过程。函证有很强的核对性，在查证方面非常有效。但是第三方的独立性程度决定了函证的有效性，通常从独立第三方获得的函证答复的确信程度最高。函证包括肯定式函证和否定式函证。肯定式函证就是向第三方发出询证函，要求其证实所函证的内容是否正确，无论对错都要求复函；否定式函证，它是向第三方发出询证函，但所函证的内容相符时不必复函，只有不符时才要求复函。这两种方式各有优缺点，前者所获取的检查证据较为可靠，但检查成本较高；后者因不可知因素的存在，所获取的检查证据较前者来说不可靠，但成本相对较低。这里必须强调的是，对于重要的检查事项不应以检查成本的高低作为增减检查程序的理由。2访谈访谈是指向被检查机构的有关人员口头了解与检查事项相关的信息。访谈一般用于检查项目的开始阶段，为进一步查阅相关资料和检查做准备。访谈对象可以是一个人、也可以是多个人（如一个部门、一个项目团队、某一系统相关人员等）。访谈可以针对某一特定问题，也可以针对某一特定领域。访谈前检查人员一般要准备访谈提纲，并提前通知访谈对象，以便其进行必要的准备。访谈过程中要做好访谈记录，访谈对象要在访谈记录上签字。访谈过程有可能直接面对当事人，也有可能是相关人员，因此要注意辨别回答问题的真实性，要通过进一步的检查验证来证实访谈的真实性，要注意运用访谈交叉验证的技巧，要通过对同一问题不同人员的回答中发现问题。访谈是获取信息最方便、快捷的方法。但是，访谈本身具有一定的局限性，如访谈对象选择合适与否、访谈计划准备是否充分，对访谈结果的有效性具有较大影响。另外，和其他检查方法相比，仅通过访谈通常不能提供足够的检查证据，所能得到的确信程度较低。因此，通常不能只用通过访谈获得的证据来支持检查结论，而是还应执行其它的检查程序以获取足够适当的检查证据。比如，在审阅关于系统用户账号和权限的定期审阅的控制时，除与有关人员进行访谈了解该控制的存在性外，还需要审阅相关的文档，检查相关控制执行时所留下的痕迹和证据，如执行人在流程控制文档上的签字确认，已获得证明该控制的实际有效执行的证据。3查阅查阅内部或外部记录或文档，包括书面形式、电子形式或其他媒体形式的记录或文档，适用于检查项目的不同阶段。在项目初期获取信息阶段，通过查阅文档可以了解基本情况，如查阅信息科技部门的组织架构图就能够了解IT人员的配备情况和组织架构及分工，是否实现了不相容职责（如系统开发和系统维护）的职责分离。又如，查阅规章制度和流程文件，可以了解制度和流程的设计并据以判断是否规范、完备。在检查项目的测试阶段，可以通过查阅管理流程中的有关记录和文档，了解和验证制定的控制流程是否有效执行。比如，在检查应用系统变更是否经过合理的授权、测试和审批时，通常查阅系统变更过程中的记录文档，检查是否有业务部门和/或IT部门有关人员的签字确认作为有效授权的证据；查阅测试报告，确认是否经过了必要的测试，如编程人员的功能测试、业务人员的用户确认测试、技术部门的压力测试等；查阅上线审批文档，确认程序上线经过了相关管理层的审批。具体检查的文档和内容，视实际管理流程而定。根据记录和文档的性质、来源及其生成过程中的控制有效性，检查记录和文档所提供的证据的可靠程度有所不同。比如，在检查磁带异地备份的控制时，查阅外部磁带接收人员签字的交接单比内部人员准备的磁带交接记录具有更高的可信度。4观察观察是指通过目测的方式，检查实际操作流程或者实际情况是否和规章制度上规定的流程或要求一致，分析操作过程中是否还存在制度中未识别和定义的风险。比如，可以观察被检查方的应急演练过程，检查应急演练过程是否按照应急预案规定的过程有效执行。另外，现场观察通常是检查计算机机房物理环境控制的有效手段。观察可提供关于执行某个过程或程序的证据，但其限制是仅能证明在观察时被检查方按照规章制度的规定执行了该过程或程序，但不能保证在常态下规定的控制被有效的执行。5测试测试是指检查人员执行一定的检查步骤，验证被检查机构的内部控制是否按照预定设计意图有效地执行。在确定要测试的控制点时，可以先通过穿行测试了解和确认流程和关键控制点。穿行测试是指选择一个覆盖控制流程完整步骤的样本从头到尾进行流程的跟踪。根据流程中控制的实现方式（手工、自动或两者相结合），穿行测试以相应的方式检查文件存档和信息流。其目标是验证从访谈、查询等其他途径获得的关于流程和控制的理解是否正确、控制的设计是否有效、是否已付诸实施。除了穿行文档的实物流程外，还应穿行自动化过程的数据和交易信息流程（在系统或应用程序层次，而不是详细的源程序代码层面的逻辑层次）。通过穿行测试验证控制点的设计有效后，可以通过执行控制测试，即通过科学合理的方法选取能够代表总体的一定样本量，通过对该样本的检查，确认控制在整个期间是否有效运行。控制测试包括诸如询问、通过检查因实施控制而产生的痕迹和实物证据来证实，及在某些情形下重新执行控制等程序。通常，上述程序的某些组合对于提供所需的关于控制在整个期间均按设计意图运行的证据是必要的。以下列举针对IT系统环境的常用测试方法：一、检查配置。适用于通过系统参数配置实现对程序控制的情况。通常可以通过现场屏幕观察或通过查阅系统生成的报告来查看和确认参数配置。比如，可以用管理员账号进入应用系统察看密码策略，或者察看某些交易参数如交易额度控制的配置。又如，操作系统、数据库管理系统、网络上的一些安全配置，既可以通过现场屏幕察看，也可以通过执行相应的查询命令脚本，获取有关配置报告进行检查。二、重新执行。指检查人员独立执行程序或控制，在测试应用程序控制方面经常使用重新执行的方法。如对于某些交易额度的系统控制，可以尝试进行一笔超额度的交易，察看系统是否会出现超出额度的错误提示，或者要求授权的提示。又如，对于密码长度至少为6位的系统控制，可以尝试使用一个长度小于6位的密码，察看系统是否会提示密码长度不足。重新执行通常可以和检查配置结合使用。检查配置可以确定现有的参数配置是否符合安全或者业务的要求，重新执行可以确定该参数配置是否能够提供有效的系统控制。由于重新执行是检查人员独立执行某程序或控制，因此，若计划在信息系统生产环境中进行，需要将检查步骤充分与被检查机构沟通，进行充分的事前评估，确信重新执行的检查步骤不会对系统生产环境或实际业务产生不利影响。如果不便在生产环境中进行重新执行的检查步骤，可以在测试环境中进行，但需要验证测试环境在拟测试的控制点上和生产环境具有一致性。三、检查授权。确定系统是否通过参数配置或者程序内置逻辑实现根据用户的职责限制系统权限，并加强对不相容职责分工的控制。比如，银行根据被授权人的不同级别设定相应的授权额度实现交易额度控制，如普通柜员具有5万元以下的取款交易权限，超过5万元的取款交易需要会计主管进行授权。在检查该授权控制时，可以查看系统中对于不同级别柜员的交易额度配置是否符合业务流程控制的要求。对于某些不相容的职责，如贷款审核和贷款审批两个岗位，可以先了解并检查在系统中是否对这两个岗位设计了相互独立的角色或权限，获取用户权限列表，检查贷款审核和贷款审批这两个角色或者权限是否进行了隔离，即一个用户不能同时拥有贷款审核和贷款审批两个角色或者权限。但如果系统本身已经建立了应用程序控制，禁止用户审批自己审核的贷款，则可不需要再进行专门的贷款审核和贷款审批职责分离检查，但前提是要通过测试确认上述应用程序控制有效。四、重新计算。重新计算是指通过独立于被检查系统之外的其他方法来验证系统所生成的文档、记录、报告的数字准确性。比如验证贷款管理系统或者银行核心业务系统出具的贷款迁徙表是否准确，可以从系统中导出贷款明细数据，验证其完整性后（通常与可以信赖的财务报表或者业务报表进行核对），根据迁徙表的业务生成规则，利用独立于被审系统的数据处理工具，重新计算生成一张迁徙表，和系统中产生的迁徙表进行比对，验证两者是否一致。重新计算也可以使用测试模拟数据进行，须进行详细的数据设计和测试计划，类似于系统功能测试过程中的计算功能验证。五、基准法。基准法是指将上次检查期间的控制情况作为本次检查中控制评估的参考基准。通常，当了解到某应用程序控制相对稳定，预计从本次检查至下次检查期间，不会发生重大变化时，可以考虑使用基准法。在设定初始基准时，应通过各种适当的方法测试应用程序控制在某一时点的有效性。此外还应获得支持应用程序控制的程序或配置、程序或配置的位置、文件字节大小、最后一次变更日期等信息。在下次检查期间，应穿行测试应用程序控制，同时应确定相关程序自基准日以来未发生变更。获得程序未发生变更的合理保证可以来自与银行人员讨论及复核适当可靠的报告（如：投入正式运行的所有程序的编译日期详细清单）。6分析性复核分析性复核，是指检查人员通过分析和比较信息之间的关系或计算相关的比率，以确定检查重点、获取检查证据和支持检查结论的一种检查方法。在检查准备阶段执行分析性复核，可以了解被检查事项的基本情况，确定检查重点，帮助编制检查计划和检查方案。在检查实施阶段执行分析性复核以获取检查证据。在检查完成阶段执行分析性复核，验证其它检查程序所得结论的合理性，以保证检查质量。分析性复核主要包括如下步骤：（1）确定检查项目是否适用分析性复核方法；（2）收集相关的信息，并分析数据之间存在的关系；（3）估计合理期望值；（4）通过计算或分析，将实际值与期望值进行比较；（5）对差异进行分析和了解，调查异常变动因素。不能合理解释的重大差异往往隐含着