对计算机系统的核及案例分析0618

1对计算机系统的稽核及案例分析上海明鸿中小银行培训中心张老师2021.62引言：银行信息平安面临极大风险2006年4月20日上午10时56分，中国银联系统通信网络和主机出现故障，造成辖内跨行交易全部中断。这是2002年中国银联成立以来，首次全国性因系统故障造成的跨行交易全面瘫痪。此次故障涉及中国银联所属的18个分公司，包括广州、深圳、北京、上海、南京、天津、福建、厦门、云南、大连、青岛等全国大局部地区，具体表现在ATM机不能跨行取款，POS机不能刷卡消费，网上跨行交易不成功。

3引言：银行信息平安面临极大风险4一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程和方法五、案例分析5一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程和方法五、案例分析6〔一〕计算机系统的内部控制〔1〕应用系统业务流程技术基础架构一般流程控制7〔一〕计算机系统的内部控制〔2〕应用系统业务流程技术基础架构一般流程控制一般流程控制评估被稽核应用系统的一般流程控制包含以下范围：一般用户帐号的创立，变更及删除一般用户权限的分配原那么系统特权用户/管理员帐号的监管系统维护变更申请系统变更流程包括需求提交，分析，开发，测试，验收及上线8〔一〕计算机系统的内部控制〔3〕应用系统业务流程技术基础架构一般流程控制技术基础架构控制评估被稽核应用系统的技术基础架构包含以下范围：后台操作系统与数据库物理环境与硬件内/外部网络系统系统补丁开发，测试及安装源代码检测网络及系统入侵检测系统灾备恢复目标及实现方案9〔一〕计算机系统的内部控制〔4〕应用系统业务流程技术基础架构一般流程控制应用及业务流程控制

评估被稽核应用系统与业务流程的以下范围：-数据处理的准确及可靠性-内置应用控制的有效性-内置业务流程监控及报错功能-业务流程变更对应用系统的影响10一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程与方法五、案例分析11目标:提供管理方向,支持信息平安1.信息科技治理〔PO1PO2〕二、计算机稽核的主要内容〔1〕12二、计算机稽核的主要内容〔1〕案例分析〔1〕案例一：从以下银行的广告语分析其战略定位和对信息科技治理的内在要求：工行——“您身边的银行〞招商银行——“因您而变〞农行——“大行德广，伴您成长〞光大——“阳光在心，效劳在行〞1314目标：管理组织内的信息平安保证组织内部的信息处理平安及第三方对组织信息资产的访问当组织内部的信息资产外包时，明确外包方的责任2.组织架构〔PO4〕二、计算机稽核的主要内容〔2〕15二、计算机稽核的主要内容〔2〕案例分析〔2〕案例二：

计算机组织设置中，哪些岗位或机构需要互斥？

16序号岗位/机构1岗位/机构2是否互斥1值班操作人员系统管理员2安全管理员系统管理员3系统开发人员系统维护人员4网络管理员安全管理员5资料保管员安全管理员6科技部总经理个金部总经理7需求提出部门开发维护部门17目标:保证公司资产得到合理保护，确保信息资产受到相应等级的保护。 主要内容:建立资产的登记制度，包括硬件、软件和信息产品定义信息体系结构〔PO2〕3.资产分类和管理〔PO2PO3DS9〕二、计算机稽核的主要内容〔3〕18将资产进行分类并标识注意:将资产进行分类并标识是进行风险评估的首要步骤数据分类和分级管理自动化的数据存贮和字典数据语法规那么数据所有权和关键性/平安性程度分类表述业务的信息模型企业信息体系结构标准信息二、计算机稽核的主要内容〔3〕19二、计算机稽核的主要内容〔4〕20管理配置〔DS9〕 资产的追踪配置变更管理未授权软件的检查软件存储控制软件和硬件相互关系和集成自动化工具的使用二、计算机稽核的主要内容〔5〕案例分析〔3〕21案例三：请看录像，并答复以下问题：问题1：你认为瑞士汇丰客户资料泄露可能发生在哪个环节？问题2：为防止信息资产泄露，你认为上述环节中需要实施哪些控制措施？问题3：假设你对某分行信息资产进行稽核，你准备如何检查？访谈哪些人员?获取哪些资料？22

4.人员平安〔PO7〕二、计算机稽核的主要内容〔6〕目标:

减少因人员过失、偷盗、舞弊和设施误用带来的损失确保用户意识到信息平安威胁，并在日常工作中得到相应指导来支持公司的平安策略最大程度减少信息平安事件和误操作带来的损失，并吸取教训主要内容:由于不经意或人员操作的意外事故带来的数据和系统风险23二、计算机稽核的主要内容〔6〕24案例分析〔4〕案例分析〔4〕地点一：办公室A，响

职员：你好，我是小王，这里是XX银行信用卡部攻击者：你好，我是负责银行网络支持的中国电信的李xx,最近全国爆发了大规模的木马病毒，我们正在进行紧急排查，请问你们办公室的网络有没有出现问题？职员：嗯，据我所知没有。这里的网络状况良好。攻击者：你能告诉我你的电脑所连接的端口的号码吗？职员：端口？攻击者：就是在你电脑后面，在插网线的地方有注明端口号码。职员：看到了，号码是A123.攻击者：请稍等，端口A123~~~~.好的，谢谢。记得有情况及通过时通知我们，我的是60123456，再见。25案例分析〔4〕地点二：此公司的网络管理室，响网管：你好，科技部网络管理员吗？

攻击者：你好，我是信用卡部的小王，我们正在接受银监局的检查，要求我们不能连接到互联网，你可以暂时停止端口A123的互联网访问半个小时吗？？

网管：好的，请稍等～～～，好了，已经暂时停止了。攻击者：谢谢。26案例分析〔4〕2728目标:防止未经授权的访问、损坏或干预业务系统防止业务系统遭受损失或中断防止信息和信息系统设施的偷盗5.物理平安〔DS12〕二、计算机稽核的主要内容〔7〕29主要内容:在平安区域建立物理准入控制从物理上保护硬件设施不受偷盗保护网络和通信线路不被窃听保护设备不被任意移动或丢弃低调的外观、来访者陪同、抵御外部环境破坏等二、计算机稽核的主要内容〔7〕案例分析〔5〕问题:请大家找一下录像中针对数据中心实施了哪些控制措施?请看录像，并答复以下问题：问题1：NTT香港数据中心有哪些针对物理平安的控制措施？问题2：除了录像中的措施外，还有哪些方面是金融行业数据中心应关注和防范的？问题3：假设你对某分行数据中心进行稽核，你准备如何检查？

3031目标:确保信息处理系统的操作平安准确最大程度减少系统宕机风险;保护软件和信息的完整性保证信息处理系统和通信的完整性及可用性确保网络信息平安和对网络根底架构的平安防止资产的损失和业务活动的中断防止组织之间信息交换中出现的信息损失、改动或误用6.通信及操作管理〔DS3，DS5〕二、计算机稽核的主要内容〔8〕32主要内容:病毒错误的软件变更控制备份保持正确的访问记录系统文档的平安磁介质的销毁在传输与转换中保护数据及数据的认证电子邮件的平安二、计算机稽核的主要内容〔8〕33管理性能和容量〔DS3〕可用性和性能需求自动的监控和报告模型工具容量管理资源的可用性硬件和软件的性能/价格比变化 二、计算机稽核的主要内容〔9〕34系统平安〔DS5〕保密和隐私要求授权、鉴别和访问控制用户识别和授权特征描述文件需要才能有和需要才能知道原那么密钥管理二、计算机稽核的主要内容〔10〕35二、计算机稽核的主要内容〔10〕案例分析〔6〕案例六：1999年3月26日，一种利用WORD宏功能入侵计算机的梅莉莎病毒爆发在短短3天时间内，有数十万台计算机受到了感染。该病毒说明电子邮件可以被用来迅速地在互联网上传播病毒，并导致成千上万家公司的电脑系统中电子邮件泛滥成灾，从而令其电子邮件和电脑网络大受干扰，甚至全部不能使用。问题：1、该病毒使用的是什么攻击模式？2、请说明病毒、木马、蠕虫的区别？3、为防止银行计算机系统收到恶意代码的攻击，你应该提出什么稽核建议？36案例分析〔6〕攻击的几种方式：〔1〕Salami,〔2〕DataDiddling,

意味著在资料输入系统之前、当时或之后，更改或增删资料。〔3〕ExcessivePrivileges,由于管理不到位等原因，造成一些员工具有超出其工作所需的权限，从而造成权限的滥用；〔4〕PasswordSniffing,通过截获网络数据流的方式窃取计算机口令以到达非法进入计算机系统的目的；〔5〕IPSpoofing,使用他人的IP地址以到达欺骗的目的，使其破坏行为难以被发现。〔6〕DenialofService,也称效劳拒绝攻击。〔7〕DumpsterDiving,通过在被丢弃的废物中搜寻的方式获得有价值信息的行为，虽然不道德，但通常并不违反法律；〔8〕EmanationsCapturing,通过捕捉计算机系统泄漏的电磁信号到达获取有价值信息的目的；机房进行电磁屏蔽〔9〕Wiretapping(Eavesdropping),通过窃听通讯信号的方式非法获得信息和数据；搭线窃听，ATM线路〔10〕SocialEngineering,通过欺骗等诡计诱使他人泄漏或更改信息以到达侵入系统的目的；银行卡诈骗，骗子打或发短信说某客37案例分析〔6〕病毒必须满足两个条件:1、它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。2、它必须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络效劳器。蠕虫病毒的前缀是：Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播，普通病毒需要传播受感染的驻留文件来进行复制，而蠕虫不使用驻留文件即可在系统之间进行自我复制。木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒那么有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒那么会通过该木马病毒来进行控制。从上面这些内容中我们可以知道，38案例分析〔6〕39木马病毒案例分析〔6〕4041目标:控制对信息的访问;防止未经授权访问系统;确保网络效劳的平安;防止未经授权对计算机的访问;检测非法访问事件;使用移动计算和远程网络时确保信息平安.7.访问控制二、计算机稽核的主要内容〔11〕42主要内容:如何将访问控制运用在不同的系统中发布并使用密码设置警报终端登录失败自动退出对终端的物理访问软件监控二、计算机稽核的主要内容〔11〕案例分析〔7〕43问题:你认为密码泄露存在哪些可能?应如何预防?44目标:确保操作系统平安;防止应用系统中数据的遗失、更改或误用；保护信息的秘密性、完整性和认证;保证IT工程和支持活动平安有序;确保系统开发软件和数据的平安.主要内容:管理工程〔PO10〕工程的业务管理层发起人地位程序管理8.系统开发与维护〔PO10PO11〕二、计算机稽核的主要内容〔12〕45工程管理能力用户参与任务细分、里程碑确定和阶段审核责认的分配里程碑和可交付的严格追踪费用和人力预算，平衡内部和外部资源质量保证方案和方法程序和工程风险评估从开发到运行的过渡二、计算机稽核的主要内容〔12〕46管理质量〔PO11〕质量文化的建立质量方案质量保证责任质量控制实务二、计算机稽核的主要内容〔13〕47系统开发生命周期方法程序和系统的测试及文档质量保证检查和报告最终用户和质量保证人员的培训及参与质量保证知识库的开发按行业标准制定标准二、计算机稽核的主要内容〔13〕48案例分析〔8〕49

据了解，主犯方元今年25岁，学的是计算机专业，曾是乐购超市真北店资讯组组长。方元在工作中发现了超市收银系统存在漏洞，于是便设计了攻击性的补丁程序，可将超市销售记录的20%自动删除。2004年6月至2005年8月期间，方元等人修改非法程序，于琪等人利用收银员的工作便利，截留侵吞乐购超市3家门店营业款共计397万余元。上述赃款由收银员上交后，再按比例分成，涉案人员各得赃款数千元至数十万元不等。案例分析〔8〕问题:如何确保计算机系统在开发和维护中的平安？50目标:应对业务活动的中断，保证重要业务流程从灾难性事件中恢复，减少灾难带来的负面效果。主要内容(DS4):危险程度分类可选择程序9.业务持续性方案〔DS4〕二、计算机稽核的主要内容〔14〕51备份和恢复系统和有规律的测试及培训监控和逐步升级过程内部和外部机构的责任业务持续性的激活、回退和恢复方案风险管理活动单点失败的评估问题管理二、计算机稽核的主要内容〔14〕案例分析〔9〕52案例分析〔9〕业务持续性方案与灾备：没有进行定期的备份恢复性测试；没有建立异地备份机制；没有建立灾备方案及定期测试；没有合理的授权处理操作。535410.符合性〔PO8〕二、计算机稽核的主要内容〔15〕55主要内容(PO8):组织需求符合法律与合同条款法律、规章和合同追踪法律和法规的开展对遵从性有规律的监测平安和人类环境改造学隐私知识产权二、计算机稽核的主要内容〔15〕56案例十：2021年中国人民银行下发了银办发[2021]115号文?中国人民银行办公厅关于开展2021年全国商业银行网上银行信息平安现场检查的通知?。检查的目的是帮助商业银行及时发现网上银行信息平安的漏洞和风险隐患并有效开展整改工作，降低网银平安事件发生概率。案例分析〔10〕57问题:现在领导要求你带着一个稽核组先开展网上银行的内部稽核工作，形成稽核报告，并在此根底上迎接人民银行的检查。请问你如何制定稽核方案？如何开展工作？58目标:确保有效途径满足用户的需求;能够有效支持业务过程;提供支持业务应用的适当平台，满足业务需求；检验和确认解决方案满足预期的目标；使中断、未经授权的变更和过失的可能性最小化。11.外包〔AI1，AI2，AI3，AI4，AI5，AI6〕二、计算机稽核的主要内容〔16〕59主要内容:确定自动化的解决方案〔AI1〕市场上可用的解决方案的认知获取和实施方法用户参与和大宗买进与企业和IT战略的结合信息需求的定义可行性研究〔费用、收益、可选方案，等等〕功能性、可操作性、可接受性以及可支撑性需求符合信息体系结构本钱/效益的平安和控制供给商责任二、计算机稽核的主要内容〔16〕60获取和维护应用软件〔AI2〕功能性测试和验收应用控制和平安要求文档要求应用软件生命周期企业信息体系结构系统开发生命周期方法人机接口程序包的用户化定制二、计算机稽核的主要内容〔17〕61二、计算机稽核的主要内容〔18〕62二、计算机稽核的主要内容〔19〕63系统的安装和鉴定〔AI5〕用户和IT操作人员的培训数据转换反映真实环境的测试环境鉴定合格在实施之后的评价和反响最终用户参与测试持续的质量改进方案业务持续性要求容量和吞吐量测量达成一致的验收接受标准二、计算机稽核的主要内容〔20〕64管理变更〔AI6〕变更的识别分类、排列优先顺序以及紧急事件程序影响的评估变更的授权版本发布的管理软件的分发自动化工具的使用配置管理业务过程的重新设计二、计算机稽核的主要内容〔21〕65一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程与方法五、案例分析66三、计算机稽核的标准〔1〕1.ISO/IEC17799/BS7799：信息平安管理实用规那么ISO/IEC17799的前身为英国的BS7799标准，该标准由英国标准协会〔BSI〕于1995年2月提出、1995年5月修订而成，并于1999年重新修改了该标准。BS7799分为两个局部：BS7799-1，信息平安管理实施规那么；BS7799-2，信息平安管理体系标准。该标准为行业或者商业信息系统中识别一系列控制手段提供独立的参考点,总共10个方面的内容，127个控制点67三、计算机稽核的标准〔2〕68CISA自1978年创立以来已获逾60,000名专业人士取得资格，而CISM认可资格自2002年推出后已经获10,000多名专业人士领取。ISACA于2021年设立了一项新的认可资格年设立了一项新的认可资格，名为「企业信息科技管治认证〔CGEIT〕」。三、计算机稽核的标准〔2〕69三、计算机稽核的标准〔3〕70COBIT实现可跟踪的业绩衡量，通过平衡记分卡可以在财务〔企业资源管理〕、客户〔客户关系管理〕、过程〔内部网，工作流工具〕、学习〔知识管理〕等方面维持平衡，评价企业目标的实现情况以及IT绩效，并调整业务目标和IT战略，进行持续的IT管理。三、计算机稽核的标准〔3〕71三、计算机稽核的标准〔3〕72COBIT框架措施：与业务保持联系；采用通用过程模型的方式来组织IT活动；识别需要调节的重要IT资源；规定管理者应该考虑的控制目标三、计算机稽核的标准〔4〕73COBIT与IT治理有什么关系——提供管理工具来提升IT和衡量治理水平IT治理关注的领域战略协调；价值交付；绩效衡量；风险管理；资源管理。三、计算机稽核的标准〔5〕74IT治理方案与组织监控交付与支持采购与实施信息IT资源?信息平安监控与平安事件报告管理制度??信息系统监控制度??SAP系统监控制度??IT效劳水平管理制度??第三方效劳商管理制度??软件开发管理制度??软件变更管理制度??IT软硬件采购管理制度?COBIT?第三方连接平安管理制度??问题处理管理制度?三、计算机稽核的标准〔6〕75COBIT框架和核心组件三、计算机稽核的标准〔7〕76域IT过程4个部分1PO策划与组织PO1定义IT战略计划PO2定义信息架构PO3确定技术导向PO4定义IT过程、组织和关系PO5IT投资管理PO6沟通管理目的和方向PO7IT人力资源管理PO8质量管理PO9IT风险评估及管理PO10项目管理高级控制目标详细控制目标管理指南成熟度模型2AI获取与实施AI1识别自动化解决方案AI2获得并维护应用软件AI3获得维护技术基础设施AI4保障运行和使用AI5获得IT资源AI6变更管理AI7安装、授权解决方案和变更三、计算机稽核的标准〔8〕77域IT过程4个部分3DS交付与实施DS1定义与管理服务水平DS2第三方服务管理DS3性能与容量管理DS4确保连续服务DS5确保系统安全DS6确认并分配成本DS7用户培训DS8客户辅助与建议DS9配置管理DS10问题与事件管理DS11数据管理DS12设备管理DS13操作管理高级控制目标详细控制目标管理指南成熟度模型4ME监控与评价ME1监控流程ME2评估内部控制适合度ME3获得独立的保证ME4提供独立审计三、计算机稽核的标准〔8〕78

三、计算机稽核的标准〔9〕COBIT4.1

2007年5月8日，ITGI发布COBIT4.1，它是COBITIT治理框架的最新版本。COBIT4.1是COBIT4.0框架的一种微调。COBIT4.1的更新包括提高了性能测量、改善了控制目标并且对商业和IT目标有了更好的定位。

79CobiT4.1补充了对执行概要局部的描述，对绩效评价的解释更为清晰，对IT目标、流程和活动目标这一瀑布式的每个局部都增加了评价标准，并且扩展了绩效驱动因素和结果衡量标准之间的区别。结果的衡量标准〔KGI〕同时也是更高层级目标的驱动因素〔KPI〕。由于控制实践和ValIT模型的开发，CobiT4.1同时还包括更完善的控制目标。

三、计算机稽核的标准〔9〕80

在控制目标这个层面，控制目标的定义也有所变化，变得更加贴合管理实践。一些控制目标被重新定义和分组，以防止控制目标的交叠，使整个控制目标更加协调。在CobiT4.1中，AI5.4，AI5.5和AI5.6合并成了一个，AI7.9，AI7.10和AI7.11也合并成了一个。三、计算机稽核的标准〔9〕81

三、计算机稽核的标准〔10〕3.银监会?商业银行信息科技风险管理指引?

银监会2021年3月发布?商业银行信息科技风险管理指引?〔以下简称?管理指引?〕，原?银行业金融机构信息系统风险管理指引?〔银监发［2006］63号，以下简称原?指引?〕同时废止。

82?管理指引?具有以下几个特点：一是全面涵盖商业银行的信息科技活动，进一步明确信息科技与银行业务的关系，对于认识和防范风险具有更加积极的作用；二是适用范围由银行业金融机构变为法人商业银行，其他银行业金融机构参照执行；三是信息科技治理作为首要内容提出，充实并细化了对商业银行在治理层面的具体要求；三、计算机稽核的标准〔10〕83四是重点阐述了信息科技风险管理和内外部审计要求，特别是要求审计贯穿信息科技活动的整个过程之中；五是参照国际国内的标准和成功实践，对商业银行信息科技整个生命周期内的信息平安、业务连续性管理和外包等方面提出高标准、高要求，使操作性更强；六是加强了对客户信息保护的要求。新?指引?共十一章七十六条，分为总那么，信息科技治理，信息科技风险管理，信息平安，信息系统开发、测试和维护，信息科技运行，业务连续性管理，外包，内部审计，外部审计和附那么等十一个局部。三、计算机稽核的标准〔10〕84一、计算机系统的内部控制二、计算机稽核的主要内容三、计算机稽核的标准四、计算机稽核的流程和方法五、案例分析85

稽核对象的定义——准确的定义被审系统对审计工作的成败有决定性的影响。以网上银行系统功能为例，可能被审计的系统功能如下：开帐户转帐网上支付网上查询申请信用卡三、计算机稽核的流程和方法〔1〕86

计算机稽核的流程根据各风险的评级，可拟定以下对系统的信息需求：有效性(Effectiveness)运行效率(Efficiency)保密性(Confidentiality)完整性(Integrity)实时性(Availability)合规性(Compliance)可依赖性(Reliability)三、计算机稽核的流程和方法〔2〕87稽核流程1:识别系统特性硬件配备〔Hardware〕软件配备〔Software〕系统接口及数据流向〔SysteminterfacesandInformationflow)业务数据与关键信息〔DataandInformation〕三、计算机稽核的流程和方法〔3〕88三、计算机稽核的流程和方法〔3〕89稽核流程2:考虑可能的威胁外部的攻击〔如DenialofService〕非授权数据存取非授权操作岗位牵制缺乏人员操作失误缺乏检查和监督三、计算机稽核的流程和方法〔4〕90三、计算机稽核的流程和方法〔5〕91临时帐号被起用〔GuestIDareenabled〕未及时安装平安补丁〔Patchesforidentifiedflawsarenotinstalled〕人员牵制缺乏(Notenoughcontrol)未经过授权就操作(Unthorization)三、计算机稽核的流程和方法〔5〕92稽核流程4:分析控制措施控制手段/方法:系统功能控制〔TechnicalControl〕流程控制〔Non-technicalControl〕控制类别:事前防范〔PreventiveControls〕事后检测〔DetectiveControls〕三、计算机稽核的流程和方法〔6〕93稽核流程5:风险评估后果评估描述高漏洞发生：（1）可能对主要有形资产和资源造成重大损失。（2）可能会使组织的业务进程严重受阻，声誉受到严重消极影响，致使利益无法回收。中漏洞发生：（1）可能对有形资产和资源造成较大损失。（2）可能会使组织的业务进程以及利益回收受阻，声誉受到消极影响。低漏洞发生：（1）可能对有形资产和资源造成损失。（2）可能明显的影响组织的业务进程、声誉以及利益回收。三、计算机稽核的流程和方法〔7〕94三、计算机稽核的流程和方法〔8〕95

稽核流程7：对稽核发现的整改及后续审计及时与审计对象沟通，落实审计发现；制定合理的整改方案，整改时间；制定针对审计发现的后续审计时间表。三、计算机稽核的流程和方法〔9〕96制定方案现场检查人员组织角色分配选取辅助工具风险评估出具报告发现问