安全审计技术范文精选

本文作者：杜宁宁赵庆亮作者单位：国家开发银行

一、信息安全概况

随着信息技术的飞速发展，金融机构生产、使用和共享的信息呈现几何增长的态势，信息传递的方式和渠道急剧增加，在为金融机构带来收益和效率的同时，也使信息安全问题更加凸显。在全球范围内，信息安全事件频发，给银行和客户造成经济损失的同时，也带来了巨大的声誉损失。如何有效提升信息安全管理水平，成为银行关注的焦点。信息安全审计作为信息安全保障工作中的重要一环，能够促进信息安全控制措施的落实，规范信息安全管理，提高全员信息安全意识，从而有利于保持和持续改进银行信息安全能力和水平。

根据当前的信息安全管理体系国家标准GB/T22080-2008（等同采用ISO/IEC27001:2005），信息安全保障工作从整体看应包括四个阶段：一是规划和建设阶段（Plan，简称“P阶段”）；二是实施和运行阶段（Do，简称“D阶段”）；三是监视和评审阶段（Check，简称“C阶段”）；四是保持和改进（Act，简称“A阶段”）。这四个阶段按顺序循环往复，从而使信息安全得到持续改进。这种方法也被称为“PDCA循环”，如图1所示。

经过近十几年的努力，金融行业信息安全保障工作已经普遍走过了“P阶段”和“D阶段”，金融行业的信息安全需求已基本明确，满足信息安全需求的基础设施也基本具备。经过大范围的规划建设，各金融机构已经建立了相对完备的信息安全软硬件环境，初步形成了信息安全保障体系。尽管如此，作为关系国计民生的重要基础产业，金融行业对信息安全有着更高的要求，也面临着更大的信息安全风险挑战。近年来，金融行业频繁发生的信息安全事件表明，金融行业信息安全保障工作还存在很多缺陷和不足。导致这一局面的因素很多，其中一个重要的原因就是大家普遍重视信息安全的建设和运行，而忽视了信息安全工作的检查和改进。从整体上看，金融行业信息安全保障工作已经走过“P阶段”和“D阶段”，尚未进入“C阶段”和“A阶段”，还没有形成完整的基于“PDCA”过程方法的持续改进机制。接下来金融行业信息安全工作的重心应该转向检查和改进。信息安全审计是“C阶段”的主要手段。它利用传统财务审计和审计工作的规范与严谨，结合信息和保密技术的工具与手段，对金融机构信息安全工作的成效和不足给出客观、确定的审计结论，并根据审计结果，对金融机构的信息安全保障工作提出改进措施、给出合理化建议。

为了对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等主要方面提出高标准、高要求，满足商业银行信息科技风险管理的需要，银监会2009年了《商业银行信息科技风险管理指引》，其中第六十五条规定：“商业银行应根据业务性质、规模和复杂程度，信息科技应用情况，以及信息科技风险评估结果，决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”

摘要：随着云计算、大数据等技术的高速发展，各地政府响应“放管服”改革和建设服务型政府的战略决策，逐渐深化电子政务的实践。本文首先以文献综述的方式系统性分析近年来国内外关于信息系统审计的研究进展，其次梳理我国信息系统审计发展概况，最后提出电子政务信息系统云安全审计体系。文末分析我国信息系统安全审计亟待解决的问题，并从行业法规标准的完善、审计工具软件的优化配置及人才培养储备等方面提出相关改进建议。

关键词：云计算；电子政务；信息系统审计；安全审计

一、引言

“十二五”规划明确要求以云计算为基础，积极构建并完善政府公共服务平台，促进政府各机关组织全方位协同、信息资源共享以及为信息安全提供保障。“互联网+政务服务”的概念在2016年政府报告中被提及，自此政务云、政务信息系统的建设步履不停。翟云（2017）认为“互联网+政务服务”能够推动政府实现治理现代化。从实践成果方面看，全国各地积极将电子政务系统投入公共服务工作中，并建成各省市区网上政务信息平台。成都市致力于统筹公共信息平台与信息系统，综合调度、加强政务信息系统的交互访问；2019年甘肃开辟多条信息化税务通道“前后呼应”为民众减负；北京大兴区政府致力于建设智慧城市、打通政务服务“最后一公里”，与百度合作共同打造“指尖上的政务”；2020年浙江开设“云上商务厅”，提供线上“厅长问诊”服务。据2020年联合国出具的对世界各国电子政务调查报告显示，我国2020年电子政务发展指数居全球第45位，排名较之前有了显著提升。我国电子政务系统建设虽初有成效，但仍有进步空间。在信息系统设计与实施方面，电子政务信息系统的协同与完善、政务数据互联共享机制有待完善；在数据存储安全方面，信息存储与访问安全、公民隐私保护措施仍有待加强。

二、相关概念与理论基础

1．电子政务。电子政务是依赖信息技术与通信技术开展的政府政务活动。电子政务建立在一系列信息基础设施之上，使用相关软件实现政府功能，电子政务信息系统是一种利用网络实现公共服务，集信息处理、交互、反馈为一体的系统，电子政务信息系统适用于政府各机关组织、企业和公众。电子政务信息系统服务的对象包括该组织的内部机构，以及其他机构、团体、企业和公众，处理内容包括政府机构的内部信息，可以在一定范围内交换的信息，并接受各种类型的投诉、建议和要求。简而言之，电子政务信息系统是一种政府综合行政电子管理系统，通过技术手段将政府传统行政方式转变为电子管理模式。

计算机会计信息系统实现网络处理后，由于系统的入口增多，操作人员和信息使用者干预系统的机会增大，系统面临的安全隐患也必然增多。尤其随着Internet/Intranet的应用，外部日益扩大的网络环境对会计信息系统本身及其安全又将产生更大的影响，不仅影响传统的会计业务处理及信息的披露方式，而且安全方面会产生更多的不确定因素。除了计算机软硬件的不安全因素之外，会计信息系统还将面临人文方面的更大风险，例如来自不法之徒的风险就有：

1利用网络及安全治理的漏洞窥探用户口令或电子帐号，冒充合法用户作案，篡改磁性介质记录窃取资产。

2利用网络远距离窃取企业的商业秘密以换取钱财，或利用网络传播计算机病毒以破坏企业的信息系统。

3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”，越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单，就有可能将公私财产的所有权进行转移。

计算机网络带来会计系统的开放与数据共享，而开放与共享的基础则是安全。企业一方面通过网络开放自己，向全世界推销自己的形象和产品，实现电子贸易、电子信息交换，但也需要守住自己的商业秘密、治理秘密和财务秘密，而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境，抵抗来自系统内外的各种干扰和威协，做到该开放的放开共享，该封闭的要让黑客无奈。

一、网络安全审计及基本要素

摘要：结合主机安全状态监控与主机违规行为审计的需求，实现了一个主机安全审计系统。本文从系统架构和功能角度提出了系统设计和实现方案，系统实现了文件监控、上网记录、非法外联、打印、光盘刻录、U盘使用等主机审计功能。

关键词：主机安全；安全审计；信息安全

0引言

安全问题是各类信息系统共同面临的威胁。主机是信息系统的基本组成部分，是获取、存储和传递信息的载体。主机安全是信息系统安全的基石。很大比例的安全事件是由内部人员对主机的违规使用引起的，例如，使用主机非法外联，非法主机违规进入内部网络、存储或处理过办公网信息的移动载体并连接到互联网等。为了有效防止违规操作的发生，加强对主机终端的安全管理并对主机行为进行审计取证势在必行。通过主机审计系统能够对主机的各类行为进行有效管控，保障主机安全稳定运行，构建一个安全的内网环境，提升信息系统的安全性能。

1主机安全审计技术原理

主机安全审计技术是一门传统审计与信息安全相结合的技术。主机安全审计对与安全活动相关的信息进行记录和存储，在此基础上根据一定的安全策略，对历史操作数据进行分析，为事后追踪和处理奠定基础。主机安全审计应用于主机的使用与管理，包含很多具体功能，如针对主机非法外联的报警和控制，针对文件的拷贝、删除等访问的监控，针对打印、上网、光盘刻录等行为的监控，并将这些行为通过日志记录下来，以便事后审计。安全审计保证了用户违反规则、越权的操作的不可抵赖性，对潜在的内部违规或攻击行为起到震慑作用，安全人员可以通过分析积累的日志数据发现攻击行为，为已经发生的违规或攻击行为提供追查凭证。

计算机会计信息系统实现网络处理后,由于系统的入口增多,操作人员和信息使用者干预系统的机会增大,系统面临的安全隐患也必然增多。尤其随着Internet/Intranet的应用,外部日益扩大的网络环境对会计信息系统本身及其安全又将产生更大的影响,不仅影响传统的会计业务处理及信息的披露方式,而且安全方面会产生更多的不确定因素。除了计算机软硬件的不安全因素之外,会计信息系统还将面临人文方面的更大风险,例如来自不法之徒的风险就有:

1利用网络及安全管理的漏洞窥探用户口令或电子帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。

2利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。

3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。

计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。

一、网络安全审计及基本要素