（会计学专业论文）信息系统安全性审计问题研究.pdf

中文摘要 随着信息技术和信息系统的迅速发展，越来越多企业开始运用信息系统， 提高服务和管理水平，增强企业的竞争力，特别是互联网的迅猛发展，使得信 息系统已无所不在地影响着企业经营管理和社会生活的方方面面，与此同时， 信息技术固有的安全风险，以及针对重要信息系统和信息资产的入侵行为也呈 上升趋势，信息系统的安全问题已引起社会各界的广泛关注。如何通过信息系 统的安全性审计，以认证企业( 单位) 所使用的信息系统的安全性是否达到企 业或使用者的安全需求，已逐渐成为审计业务新增长点，但在我国，信息系统 审计尚没有一套专业技术规范，更没有针对信息系统安全性审计的技术规范及 实施指南，目前不仅对信息系统安全性审计的目标和范围不明确，而且所采用的 通过对系统生命周期内相关活动、系统功能及构件的审计，来评价系统安全性的 审计方法，也存在审计周期长、审计成本高的缺陷，针对这些问题，本论文探讨 了信息系统安全性审计的目标和范围，以及运用风险导向审计方法进行信息系 统安全性审计的办法，并对审计过程必须考虑的风险识别和审计风险评估等有 关问题进行研究，为今后开展信息系统安全性审计工作打下理论和实践基础。 本论文分为六个部分：第一章分析了信息系统的组成、发展及其所存在的风 险，以及实施信息系统安全防御的策略；第二章通过对信息系统安全性内涵的探 讨，阐述了信息系统安全性审计含义、产生及其发展概况；第三章探讨了信息系 统安全性审计目标、范围及常用信息系统安全性审计技术及其特点，为实施信息 系统安全性审计打下基础；第四章阐述了风险导向审计概念及其特点，并提出了 风险导向审计方法在信息系统安全性审计中的应用方法，同时，对信息系统风险 识别和评估、信息系统安全性审计计划制定和审计风险评估等有关问题进行研 究；第五章探讨了如何评价被审计信息系统安全性，并提出了从信息系统安全治 理的成熟度和计算机信息系统的安全级别两个方面，对被审计系统安全性发表审 计意见的方法；第六章通过对我国现有信息系统安全性审计现状的分析，提出我 国信息系统安全性审计的发展策略。 关键词：信息系统；安全性；风险导向审计 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g ya n di n f o r m a t i o ns y s t e m s ， m o r ea n dm o r ee n t e r p r i s e sb u i l dt h e i ro w ni n f o r m a t i o ns y s t e m si no r d e rt oi m p r o v e t h e i rs e r v i c ea n dm a n a g e m e n tf o rg a i n i n gc o m p e t i t i v ea d v a n t a g e s s p e c i a l l y , 器t h e e x p l o s i v eg r o w t ho fi n t e r n e t , i n f o r m a t i o ns y s t e m sg r e a t l yi n f l u e n c ee n t e r p r i s e m a n a g e m e n ta n do u rd a i l yl i f e m e a n w h i l e ，i n f o r m a t i o ns y s t e ms e c u r i t yh a sa t t r a c t s b i ga t t e n t i o nd u et ot h er i s eo fi t - r e l a t e dr i s ka n di n t r u s i o no ni m p o r t a n ti n f o r m a t i o n s y s t e m sa n di n f o r m a t i o na s s e t an e e df o rt h ea u d i t i n gs e r v i c e st oc e r t i f i c a t ew h e t h e r o rn o tt h es e c u r i t yc a p a b i l i t yo fi n f o r m a t i o ns y s t e m su s e db ye n t e r p r i s e so rc l i e n t s s a t i s f i e st h er e q u i r e m e n t so ft h o s ee n t e r p r i s e so rc l i e n t si sr i s i n g h o w e v e r , i nc h i n a , t h e r ea r es t i l ln o tt h ep r o f e s s i o n a ls t a n d a r d so fi n f o r m a t i o ns y s t e ma u d i tr e c e n t l y n e e d l e s st os a y , t h e r ea r en o ta n ya u d i t i n gg u i d e l i n e sa 8w e l l 豁p r o c e d u r e sf o r i n f o r m a t i o ns y s t e ms e c u r i t y a u d i t i n g n o w a d a y s ，a u d i to b j e c t i v e sa n ds c o p eo f i n f o r m a t i o ns y s t e ms e c u r i t ya r es t i l ln o td e f i n e d t o d a y ss e c u r i t y a u d i t i n gi s g e n e r a l l yd o n eb ya u d i t i n ga l la c t i v i t i e sd u r i n gs y s t e ml i f ec y c l e ，弱w e l la sa s s e s s i n g s y s t e mf u n c t i o n sa n dc o m p o n e n t s h o w e v e r , t h em e t h o do fi n f o r m a t i o ns y s t e m s e c u r i t ya u d i t i n gn o to n l yc o s t sh i g h ，b u ta l s ot a k e sal o n gt i m et of i n i s h i no r d e rt o s o l v et h e s ep r o b l e m s ，m yt h e s i si n t e n d st od i s c u s st h ef o l l o w i n gi s s u e s ：d e f i n e st h e o b j e c t i v e sa n ds c o p eo fi n f o r m a t i o ns y s t e ms e c u r i t ya u d i la p p l yr i s k - b a s e da u d i t i n g m e t h o di n t oi n f o r m a t i o ns y s t e ms e c u r i t ya u d i ta n da tt h es a m et i m e ，i n v e s t i g a t e st h e m e t h o d so fr i s kr e c o g n i t i o na n da s s e s s m e n td u r i n gt h ec o u r s eo fa u d i t i n g t h e r e f o r e ， t h er e s e a r c h e so ft h et h e s i sw i l ll a yag o o df o u n d a t i o no nl a u n c h i n gi n f o r m a t i o n s y s t e ms e c u r i t ya u d i t i n g t h et h e s i sd i v i d e si n t os i x c h a p t e r s t h ef i r s tc h a p t e ri n t r o d u c e s t h e c o m p o s i t i o n , d e v e l o p m e n ta n dr i s ko fi n f o r m a t i o ns y s t e m ，a n dt h ep o l i c yo f i n f o r m a t i o ns y s t e mp r o t e c t i o ni sa l s oi n t r o d u c e d t h es e c o n dc h a p t e ri n v e s t i g a t e st h e m e a n i n g o fi n f o r m a t i o n s y s t e ms e c u r i t y , a n dt h e ni n t r o d u c e s t h e m e a n i n g ， o c c u r r e n c ea n dg r o w t ho fi n f o r m a t i o ns y s t e ms e c u r i t ya u d i t t h et h i r d c h a p t e r p r o b e si n t ot h eo b j e c t i v e sa n ds c o p eo fi n f o r m a t i o ns y s t e ms e c u r i t ya u d i ta n ds o m e t e c h n i q u e sf o ri n f o r m a t i o ns y s t e ms e c u r i t ya u d i t i n g ，w h i c hw i l ll a ya f o u n d a t i o no n i n f o r m a t i o ns y s t e ms e c u r i t ya u d i t i n g t h ef o u r t hc h a p t e ri n t r o d u c e sh o wt op e r f o r m i n f o r m a t i o n s y s t e ma u d i t i n gw i t h r i s k - b a s e d a u d i t i n g a f t e r i n v e s t i g a t i n g t h e d e f i n i t i o na n df e a t u r e so fr i s k b a s e da u d i t i n g w ea l s oc o n d u c tr e s e a r c h e so nr i s k r e c o g n i t i o na n da s s e s s m e n to fi n f o r m a t i o ns y s t e m ，m a k i n ga na u d i tp l a na n da u d i t r i s ka s s e s s m e n tf o ra u d i t i n gi n f o r m a t i o ns y s t e ms e c u r i t y t h ef i f t hc h a p t e rd e s c r i b e s h o wt oa s s e s si n f o r m a t i o ns y s t e ms e c u r i t yc a p a b i l i t y t h e nap r o p o s a lw i l lb eg i v e n h o wt od e s c r i b es e c u r i t yc a p a b i l i t i e so fa u d i t e di n f o r m a t i o ns y s t e m si na u d i tr e p o r t t h r o u g ht h el e v e lo f i tg o v e r n a n c em a t u r i t ya sw e l la sc o m p u t e ri n f o r m a t i o ns y s t e m s e c u r i t y t h es i x t hc h a p t e rd i s c u s s e st h es t r a t e g i e sf o rd e v e l o p i n gs e c u r i t ya u d i to f i n f o r m a t i o ns y s t e m sb ya n a l y z i n gt h ec u r r e n td e v e l o p m e n to fi n f o r m a t i o ns y s t e m s e c u r i t ya u d i ti no u rc o u n t r y k e y w o r d s ：i n f o r m a t i o ns y s t e m ；s e c u r i t y ；r i s k b a s e da u d i t 厦门大学学位论文原创性声明 兹呈交的学位论文，是本人在导师指导下独立完成的研究成 果。本人在论文写作中参考的其他个人或集体的研究成果，均在 文中以明确方式标明。本人依法享有和承担由此论文产生的权利 和责任。 声明人( 签名) ： 毒幻 批，7 年舌月7 e l 厦门大学学位论文著作权使用声明 本人完全了解厦门大学有关保留、使用学位论文的规定。厦 门大学有权保留并向国家主管部门或其指定机构送交论文的纸 质版和电子版，有权将学位论文用于非赢利目的的少量复制并允 许论文进入学校图书馆被查阅，有权将学位论文的内容编入有关 数据库进行检索，有权将学位论文的标题和摘要汇编出版。保密 的学位论文在解密后适用本规定。 本学位论文属于 l 、保密() ，在年解密后适用本授权书。 2 、不保密( 奶 ( 请在以上相应括号内打“4 ) 作者签名： 导师签名： 年 年 唧哆 砧 d 妇纩札膨 葡 引言 引言 一、企业信息化与信息系统的风险 随着网络信息技术的快速发展和企业信息化水平的提高，信息系统对企业 的组织与运营模式的影响越来越大，我们可以看到越来越多的企业开始利用互 联网，并借助逐渐成熟的企业系统集成技术，建立起跨区域、复杂、精密且有 效的管理信息系统，以实现公司跨区域经营、全球投资的市场战略，很明显， 一个庞大、复杂、有效的信息系统已成为现代企业走向成功必不可少的重要组 成部分，与此同时，信息系统所蕴藏的风险也成为其所服务企业或组织无法回避 的现实问题，因为它不仅直接或间接地影响到财务报表的真实性、公允性，甚 至影响到企业的运营，这反映在以下几个方面：一是信息系统对企业运营的影响 越来越大。信息系统在企业的应用经历了由电子数据处理到管理信息系统、再 到决策支持系统发展过程，从发展趋势来看，信息系统已成为企业管理者进行 决策不可缺少的重要工具之一，相应地，信息系统安全所导致风险也将对企业经 营和管理产生重大影响；二是信息系统组件固有的脆弱性和缺陷，将影响企业 业务活动的正常开展。信息系统的组件，如硬件和软件等，在其设计、制造和集 成过程中，由于人为和自然的原因，可能留下各种安全隐患，这些安全隐患可 能导致系统功能失效或出错，从而影响企业正常运营；三是互联网的普及，使得 基于网络的信息系统被入侵和攻击的风险增大。信息系统作为企业信息资源的 管理工具，由于信息资源本身所蕴含的价值，使得各种以窃取和破坏企业重要 信息为目的的入侵和攻击信息系统的行为呈上升趋势，而网络的普及则为入侵 行为提供了便捷的途径，从而使企业信息系统风险加大。由此可见信息系统的 风险己成企业信息化过程中必须关注的一个焦点问题。 二、信息系统的风险防范与信息系统安全性审计概述 由于信息系统风险的不可避免性，建立有效的信息系统风险防范机制成为 企业风险管理重要内容之一，目前，对系统风险的防范主要有以下几种方法：一 是抑制控制，即在软件开发的分析、设计、编程与测试阶段，通过采取有效的控 制措施以尽量减少差错，并尽早发现错误，以抑制风险的产生；二是预防控制， 信息系统安全性审计问题研究 通过预防、阻止产生损害的行为发生，以达到控制风险的目的；三是检出控制， 通过对风险产生及实现过程的检查分析，以便采取相应的控制措施降低系统的 风险：四是恢复控制，即在系统风险导致的损害实际发生时，应有有效的系统修 复措施，尽快修复系统并把损失控制在最小范围内，这几种方法通常被综合运用 于实际系统风险防范方案中。但是，随着计算机犯罪不断上升以及攻击信息系 统的方法不断更新，企业和信息系统的使用者越来越关注信息系统的风险防范 措施是否满足企业的安全管理需求，对此，需要审计人员站在独立的立场上对信 息系统安全性实施审计，并客观、公正地评价被审计信息系统的安全控制机制的 有效性，因此，实施信息系统安全性审计将成信息系统风险防范重要措施之一。 在开展信息系统安全审计方面，国外一些发达国家走在了前面，美国早在 计算机进入实用阶段时，就开始实施以信息系统安全性审计为重要内容的信息 系统审计，并成立电子数据处理审计师协会，专门从事这方面的研究及提供教 育服务，目前总部设在芝加哥的信息系统审计与控制协会已成为从事信息系统 审计的专业人员的国际性组织，该协会通过制定和颁布信息系统审计准则、实 务指南等标准来规范和指导信息系统审计师的工作，现发布的第4 版信息和相 关技术控制目标- - c o b i t 4 0 ，就提出涵盖i t 活动全部过程的控制目标及框架， 该框架具有面向商业、面向过程、以控制为基础及以量化测评来驱动的特点， 不仅为企业经理、审计人员及i t 用户提供一套普遍接受的信息技术控制目标， 也为审计人员实施信息系统安全性审计、证实其审计观点及为客户提供加强内 部控制的建议起到重要作用。 除信息系统审计与控制协会颁布的信息系统审计标准外，其他很多职业组 织也对信息技术条件下审计，制定了相应的准则，如美国注册会计师协会早在 1 9 7 2 年就发布了s a sn o 1 对e d p 系统审计做出了规定，以后又陆续发布了近 2 0 条准则，对信息技术环境下的内部控制的评价、审计证据收集与审计计划制 定等做出了规定，此外，国际会计师联合会也于1 9 8 4 年公布了国际审计准则 1 5 一电子数据处理环境下的审计，国际审计准则1 6 一计算机辅助审计技术等。 但是，在我国信息系统安全性审计工作尚处在探索阶段，目前所开展的计 算机审计探索及所开发的计算机审计软件，大部分停留在对被审计单位电子数 。i tg o v e r a n c ei n s t i t u t e ：。c o b i t 4 0 ”，p 1 1 1 5 。h t t p ：唧i s a c a o r g ，2 0 0 5 2 引言 据处理功能审计阶段，没有形成一套能满足信息系统安全性审计需要的专业技 术规范。 三、论文研究的主要内容 由于信息系统安全是一个多维、多层次、多目标的体系，因此，对信息系统 安全需求随着系统使用者和管理者观察角度的不同而发生变化，如从系统使用 者角度来看，信息系统安全问题是如何保证涉及企业经济利益或个人隐私的信 息在传输和处理过程中受到保护，避免对信息未授权访问或损害；从网络运行 和管理者角度来看，信息系统安全问题是如何保护和控制未授权者对本地网络 信息的访问；从社会教育和意识形态来说，信息系统安全问题则是如何杜绝和 控制网络上不健康的内容，正因为存在对信息系统安全的不同理解和需求，导致 目前对信息系统安全性审计目标和范围界定存在困难，同时，也给审计计划制定 和实施带来很大风险，目前，通常采用通过对信息系统生命周期内相关活动的 安全审计，以及系统所提供的功能的测试和系统各组件的安全审计，来评价系 统的安全性能，采用这种方法进行系统安全性审计，在审计目标和范围不明确 的情况下，不仅存在较大审计风险，而且还存在审计周期长、审计成本高的特点， 这些问题从一定程度上影响了信息系统安全性审计的实施。 针对目前在开展信息系统安全性审计方面所存在的问题，我们将对实施信 息系统安全性审计时，所必须考虑的信息系统安全性审计范围及目标的确定、 风险识别及评估方法和审计风险评估等方面问题进行研究，本论文除引言外， 共分为六章，各章内容如下： 第一章通过对信息系统组成及其发展趋势的研究，分析了信息系统风险产 生的原因及安全防御策略。 第二章在分析了信息系统安全性内涵的基础上，提出信息系统安全性审计 概念，并阐述信息系统安全性审计产生的原因和必要性，同时，概述了国外信息 系统安全性审计发展情况。 第三章在前面两章分析了信息系统风险产生原因及实施信息系统安全性审 计必要性基础上，明确了信息系统安全性审计的目标和范围，同时，介绍了实 施信息系统安全性审计的方法和相关技术。 第四章在分析现有信息系统安全审计方法存在的缺陷基础上，提出运用风 3 信息系统安全性审计问题研究 险导向审计模式进行信息系统安全性审计的方法，并阐述了在实施风险导向的 信息系统安全性审计时所必须考虑的风险识别、评价办法，以及审计计划的制 定和安全控制方案的审计办法。 第五章提出了通过对信息系统安全控制措施成熟度和安全控制功能满足用 户安全需求的评价，来评价信息系统的安全性能，并阐述了从信息系统安全治 理及安全级别两个方面，对被审计信息系统的安全性能发表审计意见的办法。 第六章通过对我国现有开展信息系统安全性审计现状及存在问题的分析， 提出我国信息系统安全性审计发展策略。 四、本文的研究方法和主要贡献 在建立信息系统审计制度和信息技术( i t ) 治理方面，美国、日本等一些 发达国家走在前面，并已制定了一系列审计标准和技术规范，其中美国信息系 统审计与控制协会所发布的信息和相关技术控制目标- - c o b i t ，对企业实施i t 治理起到很好的指导作用，c o b i t 框架从信息系统的规划与组织、获得与实现、 交付与支持、监控四个方面确定了3 4 个通用的过程，通过对3 4 个过程的控制， 实现对信息技术资源的管理，从而使得信息系统能满足企业经营和系统治理需 求，c o b i t 所建议的i t 控制框架不仅对企业加强i t 管理和控制具有重要指导 意义，而且对信息系统安全性审计也具有指南性作用。 本文通过对美国信息系统审计与控制协会所发布的信息和相关技术控制目 标c o b i t 4 0 和有关信息系统审计标准研究，以及对风险导向审计方法和安全系 统开发生命周期的研究，探索性提出信息系统安全审计有关概念和风险导向信 息系统安全性审计方法，明确了信息系统安全性审计的目标、范围及审计方法和 技术，对开展信息系统安全性审计具有一定导向作用。 4 第一章信息系统的风险及安全策略 第一章信息系统的风险及安全策略 信息技术的迅速发展和广泛应用，使得信息系统逐渐成为企业信息化和管 理现代化的核心部件，对提高企业管理水平和竞争力起到不可缺少的作用，然 而信息系统技术上的漏洞和设计方面的缺陷，也给企业带来新的风险，因此， 充分认识信息系统的构成、特征及风险来源，建立有效的信息系统安全防御体 系，成为信息系统生命周期内一项重要工作，也是确保企业信息安全的重要措 施之一。 第一节信息系统组成及发展 一、系统及其特性 系统是由处于一定环境中相互联系和相互制约的若干要素为达到整体目的 结合而成的。系统按其组成可分为自然系统、人造系统和复合系统，这些系统 具有以下几个共同特征： ( 一) 整体性。如上所述，系统是由相互依赖的若干要素或子系统所组成， 这些要素或子系统之间相互联系形成一个综合的整体，这一整体不是各要素的 简单组合，而是各要素按一定层次结构连接在一起协调工作，以达到有序和整 体的运行效果，从而实现一定的功能。 ( 二) 目的性。人造系统或复合系统都具有明确的目的性，人们根据系统 的目的来设定其功能的，并根据系统的功能来决定各要素的组成和结构。 ( 三) 相关性。系统中相互关联的部分或部件形成”部件集”，集”中各部 分的特性和行为相互制约和相互影响，这种相关性确定了系统的性质和形态。 ( 四) 环境适应性。一个系统和包围该系统的环境之间通常都有物质、能 量和信息的交换，外界环境的变化会引起系统特性的改变，相应地引起系统内 各部分相互关系和功能的变化。为了保持和恢复系统原有特性，系统必须具有 张金城：“计算机信息控制与审计一，p 2 8 ，北京大学出版社，2 0 0 2 年4 月 信息系统安全性审计问题研究 对环境的适应能力。 ( 五) 动态性。物质和运动是密不可分的，各种物质的特性、形态、结构、 功能及其规律性，都是通过运动表现出来的，要认识物质首先要研究物质的运 动，系统的动态性使其具有生命周期。开放系统与外界环境有物质、能量和信 息的交换，系统内部结构也可以随时间变化。一般来讲，系统的发展是一个有 方向性的动态过程。 ( 六) 有序性。由于系统的结构、功能和层次的动态演变有某种方向性， 因而使系统具有有序性的特点。一般系统论的一个重要成果是把生物和生命现 象的有序性和目的性同系统的结构稳定性联系起来，也就是说，有序能使系统 趋于稳定，有目的才能使系统走向期望的稳定系统结构。 二、信息系统及其组成 信息系统作为一种人造系统，一般泛指收集、贮存、处理和传播各种类型 信息的具有完整功能的集合体。它除了具有一般系统所共有的属性外，由于其 目的是为了及时、正确地收集、加工、存储和提供信息，这使得信息系统在组 成及结构上有其特殊性，通常信息系统由计算机软件、硬件、数据、人员和使 用信息作为机构内资源所需过程这些要素所组成，这些要素在信息系统中发挥 不同作用，具有各自不同特点。 ( 一) 人员。人作为信息系统的操作者及管理者，是信息系统的重要组成 要素，信息系统可否正确运行，人的操作及管理是否正确起到至关重要的作用。 ( 二) 计算机软件。它是由应用程序、操作系统、中间件以及各种各样的 命令工具所组成，是信息系统组成要素中最难保护的组件，同时，软件编程中 的错误将直接导致信息遭受损坏或失真 ( 三) 硬件。它是存储和运行软件、保存和携带数据，并为信息在系统中 输入和输出提供接口的物理设备。 ( 四) 数据。它是信息的表示形式，不同信息将以不同数据格式存贮于计 算机中，供人们处理、检索及决策用。 ( 五) 过程圆。它是指完成一个特定任务的指令，它是系统使用者访问系统 。罗晓沛侯炳辉：“系统分析员教程”，p 1 。北京：清华大学出版社，1 9 9 2 年3 月 圆过程是一个常被忽略信息系统组件之一，它的安全性对系统影响较大，如果一个未授权用户获得一个机构 的过程，将会对信息完整性构成威胁。 6 第一章信息系统的风险及安全策略 的工具，大多数据机构都集中发布过程给其合法雇员，以使合法雇员能访问信 息系统。 三、信息系统的发展 从概念上讲，信息系统在计算机问世之前就已存在，但从1 9 4 6 年第一台计 算机发明以来，信息系统得到迅速的发展，经历从电子数据处理到管理信息系 统和决策支持系统，信息系统的结构也从单机系统向网络系统发展，软件系统 规模越来越大、越来越复杂。信息系统的发展过程大致经历了以下几个阶段： ( 一) 电子数据处理系统 5 0 年代中期到7 0 年代初，电子数据处理系统主要起到数据处理的计算机 化，以提高数据加工处理的效率，其发展也从单项数据到综合数据处理和各种 信息报告系统的出现，该阶段主要以单机和集中式处理系统为主，系统被入侵 或攻击的现象较少出现。 ( 二) 管理信息系统 7 0 年代初随着计算机网络技术、数据库技术和科学管理理论的出现，计算 机在管理上的应用日益广泛，管理信息系统技术也逐渐成熟起来，其主要特点 是将组织中的数据和信息集中在一起，实现信息的快速处理和统一使用。信息 系统的结构也开始从单机向集中式和网络系统方向发展，能够克服地理界限， 将分散在不同地区的计算机互联成网络，形成跨区域的管理信息系统，该阶段 信息系统主要以集中式和网络信息系统为主，软件系统规模也越来越复杂，系 统被入侵以及自身漏洞所导致的风险也逐渐加大。 ( 三) 决策支持系统 2 0 世纪7 0 年代初，美国学者首次提出决策支持系统的概念，决策支持不 同于传统的管理信息系统，传统的管理信息系统主要起到管理信息并为管理者 提供预定的报告，而决策支持系统则是通过人机交互，为管理者提供决策所需 信息，帮助决策者探索可能的决策方案，为了达到这一目的，通常需要对数据 进行挖掘和分析，因此，该阶段软件系统的规模越来越复杂，信息系统安全风 险对企业经营的影响也越来越大。 7 信息系统安全性审计问题研究 第二节信息系统的风险 信息系统的风险是信息系统各组成要件在履行其应用功能过程中，在机 密性、完整性和可用性等方面存在的脆弱性( 点) ，以及信息系统内部或外部的 人们利用这些脆弱性( 点) 可能给信息系统所属组织带来损失的可能性。圆从信 息系统的组成及各要素的特点来分析，信息系统的风险难以避免，主要原因有： 一、信息系统组件固有的风险 由于人为和自然的原因，计算机软件、硬件和网络设施等在设计、制造和 组装中可能留下安全隐患。 ( 一) 人员。人作为信息系统的操作者，当系统的操作人员越权、违规或 其他不当操作发生时、特别是系统管理员和安全管理员出现管理配置的操作失 误时，将给信息系统带来重大安全事故，此外，当信息系统内部缺乏科学的管 理制度或制度执行不力时，也将给内部工作人员违规和犯罪留下缝隙。 ( 二) 计算机硬件。硬件是由电子器件按一定结构所组成的，由于器件本 身存在一定失败概率，同时，系统结构设计可能存在的问题，这些问题都将使 计算机硬件存在出错的概率。 ( 三) 软件组件。软件通常是由操作系统、中间件及应用业务软件，按一 定层次结构所构成的组件体系，其中操作系统处于最低层，它管理各种硬件部 件，并向高一层提供调用接口，中间件作为应用业务软件的运行平台，同样也 为应用业务软件提供调用接口，正由于软件的构成组件之间存在密切的依赖关 系，因此，任何组件的风险都将给软件带来风险。在现实中，软件在开发过程 中，由于开发人员存在设计冗余功能、不按信息系统安全等级进行设计的问题， 以及软件工程实现的软件系统内部逻辑混乱性等编程错误和各种漏洞，使得软 件经过测试，仍有可能存在一些错误和漏洞无法被查出，这些错误可能导致信 息系统被攻击或崩溃。 ( 四) 网络和通信协议。网络和通信协议是计算机之间互联和相互通讯和 调用的基础，早期计算机网络是以局域网和专用网为主，这两种网络的通信协 议具有相对封闭性好，不能直接与外界异构网络互联，因此，安全性较好，但 回信息系统风险在这里是指信息系统的安全风险。 口戴宗坤：“信息系统安全”，p 9 ，北京：电子工业出版社，2 0 0 2 年1 1 月 8 第一章信息系统的风险及安全策略 随着互联网技术的快速发展，i n t e r n e t 逐渐成为主要的计算网络，相应地支持 i n t e r n e t 运行的t c p i p 协议也成为网络计算机相互通信的重要协议，但是 t c p i p 协议在设计当初原本只考虑互联互通和资源共享的问题，没有考虑也难 以考虑来自网络的大量安全问题。现从t c p i p 协议在i n t e r n e t 上运用情况看， 存在以下三种致命隐患：一是缺乏对用户身份的鉴别；二是缺乏对路由协议鉴 别认证；三是t c p u d p 自身的缺陷。 二、来自信息系统外部的威胁与攻击 除了系统组件本身存在风险外，信息系统外部还存在一些风险因素，也将 影响系统的安全性，主要有以下两个因素： ( 一) 黑客群体的存在。黑客通常熟悉计算机软、硬件系统，并利用计算 机系统所存在的缺陷和漏洞攻入信息系统，他们的行为虽然不能完全等同犯罪， 一部份黑客仅是通过攻击系统，以获得绕过或逃脱信息系统的网上监控和反跟 踪的技术经验和知识，但他们的行为已不同程度上影响了信息系统安全性，是 一种违法行为。 ( 二) 计算机犯罪的存在。由于信息蕴含的价值，使得一部分人受利益驱 动，专门从事信息的窃取或计算机犯罪工作，他们利用信息系统组件存在的缺 陷和漏洞，通过在系统环境中安装信息监听设备或信息窃取程序，而给信息系 统带来风险。 第三节信息系统的安全防御策略 从上述对信息系统风险来源分析情况看，信息系统的安全威胁是全方位， 不仅有来自系统内部组件固有的风险，也有来自系统外部的威胁，因此，在构 筑信息系统安全防御体系时，应坚持下列几个原则： 一、最小特权，即对系统的任何实体，不论是用户、管理员、进程、应用 和系统等，仅赋予于该主体完成其任务所必须的特权，除此之外不应有更多特 权的原则。最小特权原则可以尽量避免将信息系统资源暴露在侵袭之下，以达 到控制因为特定的主体被侵袭所造成的破坏范围。 二、纵深防御，即要建立具有协议层次和横向结构层次的完备安全体系， 9 信息系统安全性审计问题研究 才能控制来自不同层次信息系统的风险，并通过不同层机制相互提供必要冗余 和备份，以达到网络安全、主机安全和人员安全。 三、阻塞点。阻塞点是网络系统对外连接通道上，可被系统管理人员监控 的连接控制点。为了保证信息系统安全，应选择建立若干阻塞点，以监视来自 系统之外的侵袭，并在发现侵袭时及时采取响应处理。 四、消除系统安全最薄弱点。根据木桶原理，系统安全性取决于最薄弱点， 因为系统侵入者总是通过系统最薄弱点来攻击系统，因此，应采取有效措施加 固或消除最薄弱点，才能提高总体安全性。 五、失效保护。失效保护是一种基本的系统安全保护措施，是指当信息系 统运行出现错误而发生故障时，能使系统拒绝未授权访问和入侵的措施。 六、全面参与。由于信息系统的风险是全方位的，因此，要使安全机制更 为有效，就需要企业员工全面参与安全管理工作，这样才能使系统安全控制更 加全面完善。 七、防御多样化。即通过大量不同类型、不同等级的系统，使系统得到额 外的安全保护的办法 八、简单化。即使得安全保护策略简单、有效，以避免复杂化所可能隐藏 的漏洞。 从上述安全防御策略来看，信息系统安全防御办法不是彼此独立、静止不 变的，相反地，系统安全通常具有系统性、相关性、动态性和相对性。 1 0 第二章信息系统安全性审计产生及发展 第二章信息系统安全性审计产生及发展 随着信息技术在企业管理中应用范围不断扩大，信息系统的风险对企业信 息安全的影响也日益增大，甚至影响到企业的生存，在这种情况下，开展由独立 的第三方进行的信息系统安全审计，对提高信息系统安全性具有重要意义，因为 信息系统安全性审计不仅能客观反映信息系统的安全状况，同时对企业进一步 提高信息系统安全性能和保护投资者的权益都起到积极作用。 第一节信息系统安全性 一、信息系统安全的内涵 根据美国国家安全系统委员会( c n s s ，c o m m i t t e eo nn a t i o n a ls e c u r i t y s y s t e m s ) 发布的信息系统安全专业人员国家培训标准( n s t i s s in o 4 0 1 1 ) 中，提出的信息系统安全模型如下图3 1 所示： 机密性 完整性 可用性 存储使用传输 图3 1n s t i s s i 策略 机密性 完整性 可用性 存储使用传输 信息系统安全模型 在上图中信息系统安全被表示为一个三维坐标空问，这三维坐标空间分别表示 信息安全的关键特性( 可用性、机密性和完整性) 、信息系统中影响信息安全相 。美国国家信息系统安全专业人员培训标准n o 4 0 1 1 中所给出这一信息安全模型正成为信息系统安全评估 标准。 。m i c h a e le w h i t m a n ，h e r b e r tj m a t t o r d ，：“p r i n c i p l e so fi n f o r m a t i o ns e c u r i t y ”，2 0 0 3 ，t h o m s o n l e a r n i n g 信息系统安全性审计问题研究 关活动( 存储、使用和传输) 及系统的安全措施( 策略、教育、技术) ，将三维 空间中关系迸一步扩展开来，可得到一个被分割成2 7 个单元的3 3 立方体， 立方体中每个单元都代表三维空间中的一个交集，是影响信息系统安全的因素 之一。依据c n s s 所提出的信息系统安全模型，在本论文中我们将信息系统安全 内涵定义为：确保以电磁信号为主要形式的，在计算机网络化系统中进行获取、 处理、存储、传输和利用的信息内容，在各个物理位置、逻辑区域、存储和传 输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗 抵赖性，与人、网络、环境有关的技术和管理规程的有机集合。在此定义中， 人作为信息系统的组件之一，包括各类用户、支持人员以及技术和行政管理人 员；网络是指计算机、网络互联设备、传输介质及操作系统、通信协议和应用 程序所构成的物理和逻辑的完整体系；环境是指系统稳定和可靠运行所需要的 保障系统，包括建筑物、机房等。 二、信息系统安全的目标 信息系统安全的具体含义和侧重点会随着观察者的角度而不断变化圆。从 用户的角度看，信息系统安全要确保涉及个人隐私或商业利益的数据在系统中 具有保密性、完整性和可用性，避免被非授权用户所访问和破坏。而从网络运 行和管理者角度来说，信息系统安全是要保护和控制其他人对本地网络信息的 访问、读写等操作，制止和防御网络“黑客 的攻击。但不论从何角度，信息 系统安全的根本目标都是通过保障信息系统资源不受未授权的泄露、修改和任 何形式的损坏，从而实现对有价值信息和系统的保护。 信息系统的安全目标集中体现为两大目标，即信息保护和系统保护。信息 保护是保护所属组织的有价值信息和维持系统运行有关的信息的机密性、完整 性、可用性和可控性。系统保护则是保护所属组织正常运行并实现其职能的技 术系统可靠性、完整性和可用性。 三、信息系统安全目标的确定原则 从上述所阐明的信息系统安全目标可以看出，信息系统的安全目标确定应 基于企业对信息系统运行的可靠性、完整性、可用性及信息数据的机密性、完 。戴宗坤：“信息系统安全”，p 7 ，北京：电子工业出版社，2 0 0 2 年1 1 月 国从系统过程与控制角度看，信息系统安全就是信息在存取、处理、集散和传输中保持其机密性、完整性、 可用性、可审计性和抗抵赖性的系统辨别、控制、策略和过程。 1 2 第二章信息系统安全性审计产生及发展 整性、可用性和可控性要求，并要与系统所属组织的安全利益目标相一致，体 现所属组织的安全管理意志，因此，信息系统最低安全目标的确定应遵循以下 四个原则： ( 一) 组织级别原则 根据信息系统的运行环境、构件及信息内容的敏感程度，对风险进行分析， 划定组织内某一级别组织的信息作为必须给予一定强度保护的基线，组织级别 越高，其信息系统的安全目标水平也越高。 ( - - ) 保护企业秘密信息和敏感性信息原则 凡是属于企业秘密和敏感的信息，都要使用现行可用的技术手段和管理政 策、方法予以保护。 ( 三) 控制社会影响原则 除保护涉密信息外，非涉密信息的完整性、可用性对企业具有重大影响， 同样应对其予以保护。 ( 四) 保护资源和效率原则 避免资源浪费、破坏和效率降低，也是信息系统最低安全目标之一。 第二节信息系统安全性审计含义 一、信息系统安全性审计的内涵 信息系统安全性审计作为信息系统审计的一个重要组成部分，随着信息系 统技术及应用的迅速发展，已引起人们越来越多的关注，但目前尚没有一个明 确的定义，下面我们将通过对信息系统审计内涵的分析，给出信息系统安全性 审计的涵义。 信息系统审计尚没有一个公认通用的定义 ，1 9 8 5 年日本通产省情报处理 开发协会信息系统审计委员会给出定义是：信息系统审计是由独立于审计对象 的信息系统审计师，站在客观的立场上，对以计算机为核心的信息系统进行综 。根据确定信息系统最低安全目标四原则，从技术角度可将信息系统最低安全目标表达为：防止泄密和反 窃密，防止内部越权获取、修改信息，防止中断服务，防止篡改、毁坏、丢失数据，防止降低、丧失信息 系统组件的可信度及出现信息资产损失等。 。信息系统审计在相关文献中也被称为系统审计、计算机审计和i t 审计等，没有统一的提法和通用的定 义。 1 3 信息系统安全性审计问题研究 合的检查、评价，并向有关人员提出问题与劝告，追求系统的有效利用和故障 排除，使系统更加健全的一种审计活动。国际信息系统审计领域的权威专家r o n w e b e r 则将它定义为：收集并评估证据，以判断一个计算机系统是否做到有效 保护资产、维护数据完整、完成组织目标，同时最经济地使用资源。这种定义 既有对被审计单位信息系统保护资产安全及数据完整进行鉴证的含义，又有对 信息系统有效性进行评估的含义，这两种定义分别从不同角度描述信息系统审 计的目标和任务，根据定义所描述信息系统审计内涵，我们可定义信息系统安 全性审计为：独立于审计对象的信息系统审计师，对被审计信息系统的安全控 制机制进行审计，以客观、公正地评价系统的安全性是否达到用户安全要求的 审计活动。 二、信息系统安全性审计与信息系统审计的关系 信息系统安全性审计作为信息系统审计的组成部分，两者之间存在密切的 关系，主要体现在以下几个方面： ( 一) 信息系统审计的范围涵盖信息系统安全性审计范围 从信息系统审计内涵来看，信息系统审计范围覆盖了信息系统从计划、分 析、设计、编程、测试、运行维护到系统报废为止整个生命周期内的各种业务 活动，而