试述信息系统安全性审计

1、试述信息系统安全性审计随着社会信息化程度的提高，信息系统的广泛应用带来便 利的同时也带来了巨大的挑战。 日益扩大的使用领域和网络系统 对会计信息系统本身及其安全又将产生更大的影响， 不仅影响传 统的信息处理及信息披露的方式， 而且在安全方面会产生更多的 不确定因素。软件、硬件、网络、人员等不安全因素使得对信息 系统的安全性审计越来越重要。1. 信息系统安全性审计的主要内容和技术1.1 信息系统的软件系统安全性审计 软件的安全性是指软件在受到恶意攻击时仍能保证所需功 能的能力， 因此，软件产品的安全与否直接关系到信息系统的整 体安全性。但是，每一个软件产品都无法保证百分之百的完美、 没有漏洞和瑕

2、疵， 而这些漏洞和瑕疵又往往就成为病毒或者黑客 的攻击途径。 目前专家学者较多关注软件的失效安全性， 即软件 运行不引起系统事故的能力。 对它的度量主要是安全度、 平均事 故间隔时间、失效度、故障率等。1.2 信息系统的硬件系统安全性审计 硬件系统的安全性审计主要考量的就网络设备的网络策略 设置，主要包括交换机、路由器、防火墙等。1.2.1 设备级的安全措施。考虑到有些 IP 特性对局域网来 说是有用的， 但对广域网或城域网节点的设备是不适用的。 如果 这些特性被恶意攻击者利用， 会增加网络的危险。 在网络设计时 可考虑关闭以下这些IP功能的开关：重定向开关；定向广 播报文转发开关；ICMP协

3、议的功能开关。1.2.2 核心路由器的多种安全策略。核心路由器提供多种安全措施，包括一系列的安全特性，可以防止拒绝服务攻击、非 法接入以及控制平面的过载。 恶意用户的攻击主要从空间与时间 两方面进行。空间方面的攻击主要利用路由器ARP缓存的有限性，通过发送大量伪造的 ARPW求、应答报文，造成路由器设备 的ARP缓存溢出，从而无法缓存正常的ARP表项。时间方面的攻 击主要利用路由器计算能力的有限性，通过发送大量伪造的 ARP 请求、应答报文或其他能够触发路由器 ARP处理的报文，造成路 由器设备的计算资源长期忙于 ARP处理。我们可以使用基于接口的ARP表项限制和基于时间戳的防扫描两种特性来防

4、止ARP攻击。1.2.3 流量监控、会话控制。流量监控主要是指防火墙通 过对系统数据流量和连接状况进行监视， 在发现异常情况时采取 适当的处理措施， 有效地防止网络受到外界的攻击。 支持多种流 量监控，主要包括：基本会话监控、承诺访问速率、实时流量统 计等。1.3 信息系统的网络系统安全性审计 网络系统的安全性审计已广泛应用于政府、电信运营商、能源、金融等行业。 网络安全审计系统大多通过旁路镜像或分光 方式，采集网络数据进行分析、识别，全面记录网络系统中的各 种会话和事件， 发现和捕获各种违规行为和内容， 实现对网络安 全事件的跟踪和事后追查取证。其技术特点包括：1.3.1 网络安全审计系统不

5、会影响网络信息系统自身运行 与性能；1.3.2 对各种网络行为，如网站访问、邮件、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络游戏等，提供全面的行为监控，方便事后追查取证；1.3.3 对网站访问、邮件、文件上传下载、论坛发帖、非 加密运维操作等进行内容监测。1.4 信息系统数据库安全性审计 数据库系统的安全特性主要是针对数据而言的，包括数据 独立性、数据安全性、数据完整性、并发控制、故障恢复等几个 方面。数据独立性包括物理独立性和逻辑独立性两个方面。 通常 比较完整的数据库对数据安全性采取以下措施：1.4.1 将数据库中需要保护的部分与其他部分相隔；1.4.2 采用授权规则，如账户

6、、口令和权限控制等访问控 制方法；1.4.3 对数据进行加密后存储于数据库。2. 信息系统安全性审计的现状国家审计署在 2011 年初召开的全国审计系统信息系统审 计研讨会上就提出： “当前国家审计中， 信息系统审计的着力点 主要体现在“三性”上， 分别是“信息系统安全性”、 “信息系 统有效性（可靠性）”、“信息系统经济性” . “信息系统 安全性 ，一般意义上是指信息系统的硬件、软件、网络和数据 资源是否得到妥善保护，不因自然和人为因素而找到遭到破坏、 更改或者泄露系统中的信息。” 1中共中央政策研究室与信息产业部联合主编的国家信息 安全报告认为，我国信息安全的形势已十分严峻。其主要表现

7、在：2.1 信息与网络安全的防护能力很弱，许多应用系统处于 不设防状态，具有极大的风险性和危险性；2.2 对引进的信息技术和设备缺乏保护信息安全所必不可 少的有效管理和技术改造；2.3 基础信息产业薄弱，严重依赖国外；2.4 国家信息安全管理机构缺乏权威，协调不够；2.5 信息犯罪在我国有快速发展蔓延的趋势；2.6 全社会的信息安全意识亟需提高。但近年来国内也开 发出一些审计系统， 虽说它们或者是审计不够全面或者不是真正 意义上的审计系统，但是应该说我们取得的成绩还是值得肯定 的。3. 完善和促进我国信息系统安全性审计的对策和建议 为完善我国信息系统安全性审计，我们要努力做到如下几 点：首先，建立我国信息系统安全性审计长效机制。信息系统的安全性审计必将在未来的审计工作总占据越来越重要的地位，因此建立安全性审计长效机制将成未来审计工作的重要一环。其 次，建立健全信息系统审计法律法规。 由于目前信息系统安全性 审计方面的政策、法律法规比较缺乏，阻碍了信息系统