浅谈信息安全审计概念的由来

浅谈信息安全审计概念的由来（通用5篇）

篇1：浅谈信息安全审计概念的由来

浅谈信息安全审计概念的由来

或许对很多企业来说，安全审计只是个名词而已，并不清楚它的具体内容和作用;许多企业想要对自己的信息系统实施安全审计，管理层和技术人员也不知道如何开始，而同时受限于国内企业的信息化水平，企业也很难找到成体系的安全审计知识。

审计

审计，英文称之为“audit”，基维百科上给出的定义是评价一个人、组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息，还提供了一个可内控的评估系统。审计的目标是在测试环境中进行评估工作，并表达人/组织/系统等的评估意见。由于实际情况的限制，审计要求只提供合理、无重大错误的保证报表，审计往往是通过统计抽样。也可以这样理解审计，审计(Audit)是指检查、验证目标的准确性和完整性，用以检查和防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则。

各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。以往的审计概念主要用于财务系统。财务审计是用真实的和公正的财务报表来体现的。传统的审计，主要是获取金融体系和金融记录的公司或企业的财务报表的相关信息。而随着科技信息技术的发展，大部份的企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的同时，财务审计也间接带动了通用信息系统的审计。审计已开始包括其他信息系统，如有关环境审计和信息技术审计。

IT审计

信息技术审计，或信息系统审计，是一个信息技术(IT)基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。

IT 审计最早出现在IT应用比较深入的金融业，后来逐渐扩展到其他行业。IT审计的目标是协助组织信息技术管理人员有效地履行其责任，以达成组织的信息技术管理目标。组织的信息技术管理目标是保证组织的信息技术战略，充分反映该组织的业务战略目标，提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性，提高信息系统运行的效果与效率，保证信息系统的运行符合法律、法规及监管的相关要求。

信息安全审计

随着2002年美国安然公司和世通的财务欺诈案爆发后，美国紧急出台了萨班斯法案(SOX)，赋予了“审计”新的意义。《萨班斯-奥克斯利法案(2002 Sarbanes-Oxley Act)》的第302条款和第404条款中，强调通过内部控制加强公司治理，包括加强与财务报表相关的IT系统内部控制，其中，IT系统内部控制就是面向具体的业务，它是紧密围绕信息安全审计这一核心的。同时，2006年底生效的巴赛尔新资本协定(Basel II)，要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备，迫使各银行必须做好风

险控管(risk management)，而这部“金融作业风险”的防范也正是需要业务信息安全审计为依托。“

信息安全审计”成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。美国信息系统审计的权威专家Ron Weber又将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源”。

信息安全审计与信息安全管理密切相关，信息安全审计的主要依据为信息安全管理相关的标准，例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而达到信息安全审计的目的，提高信息系统的安全性。

篇2：浅谈信息安全审计概念的由来

一、结合审计业务特征所开展的信息安全防护工作

信息安全防护在国家电子政务活动中进行应用时, 需要严格遵守国家在相关方面的政策制定和规划性要求, 更需要明确政务职能环节业务信息的风险和特征, 然后从根本实际出发开展有针对性的信息安全防护规划工作, 保障所采取的措施能够有效解决实际问题, 确保安全防护工作的顺利有效。

1.1对审计信息和业务的流转型特征展开研究

一般而言, 国际审计中包络初期的数据采集及有效形成核查环节的审计信息记录和证据整合, 并通过互联网的应用将相关信息报送审计机关的非涉密专网中, 这就涉及到业务活动中的信息安全性, 如果在流转环节出现审计信息的泄露, 因为国家审计所具有的设密性和权威性, 将构成重大的安全风险[2]。

1.2针对审计业务的整体特征开展有效的安全防护规划

在国家审计要求范围之下, 对国家电子政务信息安全和信息化的协调发展给出了总体性的规划要求, 实现审计信息化系统项目建设的三网安全规范, 通过审计门户网、审计专网、审计内网三个环节实现对电子政务信息的安全防护, 有效保障涉密信息的安全性。此外, 还需要根据四级互联审计专网对于信息安全防护的要求, 在有效倚仗外网的信息信任体系来实现覆盖全国的信息系统建设, 构建有效的病毒中心防御系统, 为信息的安全防护提供基础环节的保障。

1.3根据国家审计的信息特征出发进行安全防护策略的研究

国家审计业务具有一定的流转性, 这就需要对该环节的信息安全进行有效的风险评估, 以避免出现泄漏状况, 在国家信息保密和安全主管部门的支持和指导管理下, 在进行信息化系统建设项目时采取了信息交换和安全交互以及三网隔离的主体策略, 以有效保障审计信息在流转环节的安全性。

二、保障国家审计信息安全的运维服务体系建设

通过实现运维服务体系的建设有效保障了国家审计信息的整体安全性。在审计信息化系统建设项目中, 运维体系的建设主要在整体队伍、方式、系统和制度以及资金等方面, 在这个过程中要有效保障整体建设同运维服务的关系。

2.1运维服务系统

在审计信息化系统建设项目中, 运行监管系统和信息服务系统构成了运维服务的整体系统。其中信息服务系统中的现场审计和审计管理系统已经面向全国的审计系统, 以更好地实现两项系统应用的有效性, 另外, 审计署还建立了面向全国审计系统的热线电话和服务网站的整体服务体系, 而且国家审计系统还发行了同信息安全建设运维系统相关的指导性信息和文件, 以保障信息系统应用的有效性。运行监管系统侧重于对整体系统建设中的各项子系统的运行状态实现有效的监管控制, 以有效纳入整体的安全系统实现统一的管理, 整体性的满足了多层级的系统运维监管任务, 极大地提升了监管力度, 使得国家审计信息系统以及所属子系统的运行都能够具有稳定、安全的整体环境。

2.2运维服务队伍

审计信息化系统建设项目实现了国家审计总数的服务部门和省级的工程服务办的两级服务系统构建, 并建设完成了中央省市县的四级审计机关的信息系统的整体运行服务队伍。在进行子系统集中管理的基础前提下, 审计署建立了面向下属各个机关和部门及全国性地方审计的“呼叫中心”运维服务队伍, 有效保障了热线电话和服务网站的整体有效性运行, 将疑难问题和咨询答复等交由运行后台专家, 并得到专业性的确定答案之后予以恢复, 有效实现了整体运维服务体系的建设。

2.3运维服务制度

就审计信息化系统建设项目的相关制度而言, 均是由审计署所制定的相关指导办法和体系, 以有效明确运维过程中的职责分工和机构设置, 有效实现对运维内容和机制的执行。另外, 在进行运维资金的使用和管理方面也制定了一定的制度规范和要求, 以确定在运行中经费使用的有效性以及利用的最大化。通过各项管理制度确定, 使得整体的运维体系科学、合理, 并能够在制度的支持下实现对相关专业人员的专业素质和技能培训以及使用经费和规范化服务等相关内容的引导, 进一步强化了整体的运维服务体系建设[3]。

2.4运维服务外包方式

在实际的发展过程中, 审计署将审计信息化系统建设项目中的“呼叫中心”服务队伍建设实行了外包政策, 并在逐渐的发展中, 在运维服务系统的整体性要求性下, 将该环节在内的网络系统和应用系统通过集成商的方式通过外包服务实现有效的运维服务体系建设。另外在运维服务体系的信息系统建设中, 也实现了政府对技术人员队伍建设的外包服务组建方式。

2.5完善整体系统与运维服务的体系构建

在国家审计信息系统建设环节中, 运维保障和信息系统建设是支撑前进的两大驱动力量, 这就需要正视两者之间的关系, 在启动运维保应用的基础上开设有效的指导性栏目或者咨询通道。此外, 还可以构建全国性的运维体系效能保障, 实现普及性的管理建设, 并在运维体系的支撑下强化整体系统的集中统一管理。最后, 需要实现有效的监控运维提下, 实现对整体运维服务的监控和管理, 确保整体运行的安全性和有效性。

三、结束语

审计信息系统建设项目需要有效的网络效能支持, 这就需要保障在管理应用中的安全有效性, 尤其是国家审计环节中的涉密文件, 因其本身所具有的严肃性和影响性, 在这样的基本认知下, 就需要从根本实际现状出发开展有效的安全防护工作以及相应的运维服务体系的完善和建设, 以保障国家审计信息的整体安全性。

参考文献

[1]刘勇.审计信息化系统的研究与实践[D].四川大学, 2006.

[2]成瑶.我国审计信息化建设研究[D].首都经济贸易大学, 2008.

篇3：浅谈信息安全审计概念的由来

随着医院信息化应用的日益普及和深入, 大部分医院都针对操作系统、应用系统和网络连接等安全性, 采用防火墙、入侵检测、内网监控、防病毒等权限控制和安全审计措施, 但作为信息系统核心的数据库的访问监测和安全审计却没引起足够的重视。

数据库安全不仅包括其自身的用户验证和访问控制, 还包括内部操作风险威胁和合法权限的合理使用。在数据库系统实际运行中, 有70%以上的安全威胁都源于内部人员攻击, 比如具有合法权限的角色对数据访问的逻辑合理性;非法获知他人的用户及密码造成合法权限的转移。入侵检测和访问控制等机制对这类攻击的防范能力非常有限, 不可能做出正确的响应。[1]医院信息系统数据库存储着患者的疾病诊断、治疗方案、检查检验结果、处方、医疗费用等敏感信息, 这些信息的非法访问和修改将会造成重大的医疗纠纷及经济损失。作为安全事件追踪分析和责任追究的数据库安全审计的运用是必要的, 通过对数据库操作的痕迹进行详细记录和审计, 使数据的所有者对数据库访问活动有据可查, 及时掌握数据库的使用情况, 并针对存在的安全隐患进行调整和优化。

2、四种数据库安全审计方案的比较

数据库审计包括对数据库的启动、关闭, 用户的连接信息及SQL语句的操作进行安全审计。本节将针对各种方案进行比较, 比较内容有:是否能解析出数据库的数据操作命令、SQL语句、存储过程等, 重点关注其操作的时间、地址、用户、事件、过程、返回结果等;是否可对审计数据从多角度进行统计分析, 识别风险所在和优化应用系统;是否可实现有针对性的设置审计规则进行事中监督, 及时发现各种异常、可疑事件并进行督察核验, 提高内控管理水平和应变能力。

2.1 基于数据库系统自身审计功能的方案

大型数据库系统都有提供对数据库操作的权限、对象、语句、网络进行监视和审计功能。审计内容包括用户、时间、终端标识号、sql语句等。Oracle甚至推出了针对select、insert、update、delete四种语句的细粒度审计 (FGA) , 当满足设置检查条件时, 可以细粒度到对指定时间段期间的操作、表中某列的值进行审计。

基于数据库系统自身审计功能开启时, 需要开销大量数据库系统资源 (包括CPU、内存、磁盘I/O等) 用于审计活动。随着审计细粒度的细化, 系统资源的开销成几何速度增长, 在业务繁忙的时间段矛盾更加突出, 但过粗的审计细粒度又无法满足要求。因为无法在数据库服务器的系统资源开销和审计细粒度之间取得平衡, 绝大部分应用系统为了不影响业务系统的运行, 选择了关闭数据库的审计功能。

2.2 基于数据库日志文件的方案

大型数据库的每个操作首先记录在日志文件中, 日志文件记录了数据库的更改的时间、类型、SCN号和用户信息等。通过分析各个时间段的日志文件内容, 可以查看数据库的各种操作信息。可以利用日志文件的格式化工具生成数据库的DML和DDL操作信息进行审计, 缺点是不能对select操作审计[2], 不能实时获得异常审计数据。

2.3 基于触发器的方案

数据库一般都会为DML、DDL、LOGON、LOGOFF、SHUT-DOWN、SERVERERROR等事件提供触发器, 当事件发生时会触发一条或一系列SQL语句。通过该SQL语句可以把审计需要的帐户信息、操作时间、操作语句、新旧值等审计信息存入指定的数据表, 审计系统根据需要设计程序对该数据表进行分析和审计。如果管理员对数据库的结构很熟悉, 触发器审计实现就很容易, 审计设计不必修改应用程序, 审计和应用没有必然的关联。

基于触发器的数据库安全审计, 需要开销一定的数据库服务器资源。不能对select操作审计, 对操作者地址的记录比较困难。

2.4 基于旁路监听的方案

基于旁路监听的数据库安全审计分为数据采集、数据解析、数据分析三部分。数据采集引擎通过旁路监听的方式接入核心交换机, 通过设置端口镜像模式或TAP分流监听模式, 使采集引擎能够监听到与数据库进行通讯的所有操作, 并根据数据库操作协议进行还原和整理, 发送到数据解析中心。数据解析中心根据事先设置的数据解析和事件关联规则, 通过接收数据采集引擎的数据库操作数据, 进行数据库操作的关联解析, 将结果发送给数据分析中心。数据分析中心根据数据库管理者对数据库需要监控的内容, 设置数据库审计规则, 当接收到的解析结果符合管理员设置的审计规则时, 数据分析将实时的给予报警。

基于旁路监听的数据库安全审计方法, 审计过程不需开销数据库服务器性能, 同时也不需改变原有的网络拓扑, 对网络资源的开销只局限于主交换的端口镜像。可以审计DML和DDL操作的用户、时间、终端标识号、SQL语句等信息, 并可以把不同类型的数据库 (ORACLE、MSSQL等) 的审计集中在一个管理平台, 简化管理和操作。对于三层结构 (C/C/S或C/C/B结构) 的系统, 数据库服务器只能获取中间层应用服务器的IP而无法获得用户名及用户IP, 因此前几种审计方法都无法实现对其用户名及用户IP的审计。基于旁路监听的数据库安全审计可以利用数据库的会话标识符的唯一性, 使得审计记录可以关联到用户名及用户IP。[3]

基于旁路监听的数据库安全审计方法存在的两个重要的缺点:当审计设备故障或人为断开网络时, 就无法采集审计记录;在数据库服务器上对数据库进行操作时, 其操作语句没有经过网路传输, 审计设备无法获取审计信息。

3、方案选择

通过对以上四种方案优缺点的分析, 结合我院信息系统是三层结构的特点, 采用了以基于旁路监听的数据库安全审计为主要审计方案。同时开启ORACLE的细粒度审计功能, 设置只有操作语句的终端标识号是本地的SQL语句给予记录, 并追加到基于旁路监听的数据库安全审计系统的审计结果数据库中, 由其数据分析系统综合分析产生用户设定规则的审计结果。

针对审计设备故障或人为断开网络问题, 设计了审计数据服务器实时侦测审计设备的状态, 发现用户预设的报警条件被触发, 就会通过网络或短信实时给管理人员发送信息。

4、医院信息系统中应用的探讨

根据医疗行业及其应用系统的特点, 以操作行为的正常规律和规则为依据, 对相关计算机系统进行的操作行为产生的动态或静态痕迹痕迹进行监测分析, 发现和防范内部人员借助信息技术实施的违规和犯罪。对信息系统运行有影响的各种角色的行为过程进行实时监测, 及时发现异常和可疑事件, 避免内部人员的威胁而发生严重的后果。

4.1 合法权限滥用的监控

系统对非夜班科室工作站在班外时间段由于业务操作引发的数据库访问, 应用模块在非设定的工作站上发生了相关操作引发的数据库访问, 出现业务系统之外的仿冒应用程序对业务数据库进行访问以及数据库管理人员在业务窗口进行远程数据库访问等进行实时监控。

4.2 存储过程的管理

存储过程调用在网络上传输的是参数, 没有具体的SQL语句, 审计系统很难根据SQL语句的特征进行监控, 对其监控主要是设置白名单, 并对名单设置审计规则。出现业务系统约定以外的存储过程调用、合法存储过程调用时出现参数异常或者调用场所异常等进行实时监控。

4.3 历史操作的重现

重点监控工作站 (收费处工作站、医生工作站、药房工作站等) 发生异常时, 可以根据审计系统中记录的数据重现错误发生过程的场景, 有利于异常原因的跟踪。

4.4 人为高危操作访问数据库的监控

删除数据库表、无条件批量删除或修改数据等数据库操作的监控审计。

4.5 敏感数据库表的操作访问的监控

对进行客户信息数据中的患者姓名、电话、余额等, 财务信息数据中的科目余额等, 药品使用情况等敏感数据的修改、删除、查询、统计等操作的监控。

4.6 应用系统级监控的定制

根据应用需求配合医院信息系统实现重复登记预交金表、重复记费、药品一次性耗材异常调价、某住院账户被大额退款或累计大额退款、住院未结帐病人被大量退款并结帐等系统经常发生又缺乏有效监控的异常操作进行应用级监控。

4.7 应用系统调优的应用

对数据库应用的来源、类型、流量、压力、性能、效率等方面的分析, 可对应用系统的数据操作层进行详细的诊断, 反作用于应用系统设计合理性的验证。

5、总结

基于旁路监听的数据库安全审计方案, 只要主交换满足端口镜像功能即可, 不需要开销其他网络和系统资源。在保证应用系统的正常运行的前提下, 监控操作员是否对合法权限的滥用、非授权访问和敏感数据的查询统计。根据审计记录所反映的SQL语句效率, 有针对性的对应用系统进行优化。

摘要：本文通过比较四种数据库安全审计的方案, 选择基于旁路监听的数据库安全审计方案作为基本的方案, 并应用了数据库细粒度审计的部分功能。探讨数据库安全审计系统监控操作员是否有合法权限的滥用、非授权访问和敏感数据的查询统计等功能, 及根据审计记录所反映的SQL语句运行效率, 有针对性的对医院信息系统进行优化。

关键词：数据库安全审计,医院信息系统,旁路监听

参考文献

[1].曹晖, 王青青, 马义忠, 罗平.一种新型的数据库安全审计系统[J].计算机工程与应用, 2007, 43 (5) :163-165

[2].梁昌明.Oracle数据库审计方法的探讨[J].中国医疗设备, 2008, 23 (4) :55-57

篇4：浅谈信息安全审计概念的由来

网络信息技术的应用, 对企业内部各管理部门的管理能力和管理水平提出了新的要求, 对内部审计部门也提出了更高的要求, 传统的内部审计已不适应现代管理的需要, 现在的审计内容更加宽泛, 同时增加了对被审计单位的信息技术的审查, 对信息系统的使用及安全措施进行审计评价。另外, 内部审计部门也需要朝着信息化发展。审计署前审计署长李金华指出, “审计信息化不光是个技术方法的问题, 它对审计工作的方式、程序、质量和管理, 乃至审计人员的思维方式和自身素质都会带来深刻的影响。”下面浅谈内部审计领域信息化的应用。

一、何为内部审计信息化

内部审计信息化是指在内部审计工作中充分应用现代信息技术, 建立具有数据采集、数据挖掘、信息管理以及决策分析等功能的数字平台, 并使用工作流的思想对业务流程进行整合与管理, 从而规范审计流程, 提高审计效率, 并对内部审计工作中的组织过程资产进行利用与管理, 最终为审计实施和决策提供及时有效的支持。可以说内部审计信息化既是对审计信息的有效分析与管理, 亦是对审计工作的规范, 更是对决策分析的支持。基于此, 审计信息化平台应由数据采集与转换模块、审计作业工具系统、专业审计系统、审计管理系统、内控流程平台、审计管理信息平台以及审计信息门户网等部分组成。

审计信息化是个循序渐进的过程, 不是一蹴而就的, 因此信息化的过程中应当具有全局观和综合观, 信息化的规划要满足工作拓展及变更的需要, 还要充分考虑与使用中的信息系统间的交互能力。因此以上各系统的开发应当始终贯彻高内聚低耦合的思想, 使得各系统在能够独立使用的同时, 又具有强大的扩展能力, 真正达到信息化的目的。系统协作的具体关系如下:

审计信息门户网是公共登陆平台, 各系统独立使用时, 具备独立登录的功能。审计管理信息平台是系统的基础架构平台, 它提供其他审计软件系统的开发、部署与实施, 同时为各个系统的交互定制沟通与数据管理机制, 并提供数据接口。数据采集转换模块负责从被审对象进行数据的采集与基础处理, 为其他系统做数据准备。审计管理系统是整个系统的控制中枢, 它一方面直接获取采集转换数据, 另一方面通过审计管理体系指导管理内控流程, 同时对审计作业进行指导。审计作业工具系统将采集转换的数据按照现场审计和联网审计的模式进行审计信息化, 然后将数据传递到专业审计系统进行最终分析。内控流程平台除了独立运行与单位的各业务和管理流程外, 还需要协助审计作业工具系统、专业审计系统进行审计工作, 指导审计过程, 同时, 内控流程平台与审计管理系统协同对审计工作内部控制措施进行管理。

二、审计信息化的作用

审计信息化, 一方面可以提高审计工作效率, 提高审计质量。通过数据采集转换系统, 可以将被审计单位的数据进行采集, 为其他管理系统提供原始数据, 各系统根据各自的功能将数据进行处理, 并按照审计人员的需要进行转化并导出, 减少手工输入的工作量, 既节约了时间, 又降低了人工操作容易出错的风险;同时, 由于减少了审计人员的手工输入的工作量, 使审计人员能够有更多的时间去分析并找出被审单位更深层次的问题所在, 以达到提高审计工作效率, 提高审计质量的目的。

另一方面可以降低审计风险。审计风险是由于客观原因造成, 或由于主观原因造成但并非审计人员故意所为。审计人员由于传统的审计手工输入工作量大, 时间紧, 导致该发现的问题未发现, 因而存在形成的审计结论偏离或错误。审计信息化, 可以减少审计人员的手工输入的工作量, 使审计人员可以非常从容的对被审单位的数据进行分析, 最大程度的对被审单位的情况进行审计, 从而降低审计风险, 使风险处于可接受状态。

三、目前公司审计信息化状况

上级公司于2012年6月到2013年3月作为一项科技项目聘请有资质的公司对审计信息化系统进行研究与开发, 现该项目到了验收阶段。开发后该系统达到的预期目标是建立以风险导向审计为指引, 以提高审计质量为核心, 制定一套内部审计质量标准, 探索一种“本地化”的科学审计抽样方法, 建立一套内部审计质量控制程序, 并借助信息化段将这些标准、方法和程序集成固化于一个平台之上, 充分发挥审计前端作业与后台支持的合力, 全面提升审计质量和审计效率, 有效发挥防范风险的作用, 使审计的监督与服务职能履行到位。该系统共包括计划管理、审计作业、信息查询、统计报表以及知识库管理5个结点。

该程序更注重对审计质量标准、审计方法、过程控制以及审计信息管理系统的研究与开发。

该软件存在的不足。在数据采集方面, 没有专门从事数据采集的软件, 不能根据被审单位的情况以及审计人员的需要采集审计所需的原始数据。

四、信息化带来的风险

(一) 系统环境风险

系统环境风险是指系统本身所处的环境引起的风险。从系统模块的划分到数据库文件的设置, 从采用的工作平台到使用计算机开发语言等, 目前相关行业缺少必要的标准和规范, 因而产生了系统环境风险。针对该风险就要求相关部门及时制定相应的标准和规范, 使审计人员能够做到有凭有据, 将风险降至可接受水平。

(二) 审计软件风险

由于审计人员对开发的工具的不了解以及系统开发人员对审计业务的不熟悉, 导致软件自身的不完善。正如前面所提到的, 审计信息化是个循序渐进的过程, 所以要根据需要不断更新完善审计软件, 以提高审计人员的工作效率和审计质量。

(三) 系统维护不到位存在的风险

实现信息化后需要有专门人员进行后续支持, 维护管理系统, 若后续支持力量薄弱, 不能及时解决工作中存在的问题, 会导致系统混乱, 起不到应有的作用。所以, 公司应建立从系统维护的需求的提出, 到审批、测试及实施的制度, 并妥善保留相关的资料, 以保证系统维护的有效性, 使系统能够正常运行。

(四) 由于信息共享, 会出现计算机病毒带来的危害, 存在安全风险

由于信息置身于开放的网络中, 存在被截取、篡改、泄漏等安全风险。所以, 应制定信息安全控制措施, 消除由于网络不安全带来的风险。

(五) 面临人才缺乏的风险

实施信息化管理以后, 必须加快该软件的推广应用, 并加强相关人员的培训学习。因为信息化发展, 要有一套完善的人才培养机制, 审计人员除要有娴熟的审计技能和完备的专业知识外, 思维方式也要相应的改变以适应信息化管理要求。另外, 可以引进既懂计算机、又懂会计和审计的复合型人才, 使审计队伍更加强大。

五、审计信息化趋势

社会信息化水平是衡量一个国家或地区现代化程度的重要标志。审计信息化也将随着信息时代的到来而健康的发展。审计署“十二五”规划中也提到:“大力推进电子审计体系建设, 努力提高审计工作信息化水平。”可见审计信息化是一个趋势。所以, 不断完善审计信息化系统, 提高审计业务信息化水平是今后几年内审人员努力的方向, 也是创新信息化环境下的审计管理方式。

摘要：随着信息技术在各领域的应用, 传统的内部审计遇到了来自信息技术的挑战, 使审计内容更加宽泛。同时, 审计信息化应运而生。本人浅显的介绍了信息技术在内部审计领域的应用, 以提高工作效率, 提高审计质量, 满足新的管理模式下对审计的要求。

关键词：信息技术,内部审计领域,应用

参考文献

[1]程腊梅, 王宏.审计学[M].机械工业出版社, 2009.

[2]王玉珍, 常雪琴.管理信息系统[M].电子工业出版社, 2012.

篇5：浅谈信息安全审计概念的由来

随着信息化技术在军工企业的广泛应用,涉密信息系统安全问题日益突出。为此,国家颁布了一部法律《中华人民共和国保守国家秘密法》,下发了四个文件《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统审批管理规定》、《关于开展涉密信息系统审批管理工作有关事项的通知》、《关于开展涉密网络安全保密风险评估工作的通知》,提出了四个标准《武器装备科研生产单位一级保密资格标准》、《涉及国家秘密的信息系统分级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规定》、《涉及国家秘密的信息分级保护方案设计指南》。通过制定一系列的政策标准、安全措施条例使得我国涉密信息系统安全防护工作从方案设计技术要求、管理规范到安全测评,形成了一套完整的标准与规范体系。

做好涉密信息系统安全保密工作,主要依赖于先进的安全防护技术、健全的管理体系和优秀的系统维护人员。本文主要从涉密信息系统安全保密管理体系着手简单介绍涉密信息系统安全保密策略、安全审计、风险评估的概念和内容,并分析三者之间相辅相成的关系。

2 涉密信息系统安全保密策略

涉密信息系统安全保密策略是为确保涉密计算机及信息系统安全保密而制定的一系列文档化文件,是涉密信息系统安全保密防护技术和管理措施实施的规范是涉密信息系统使用人员在使用涉密信息系统时必须遵循的行为准则。

安全保密策略的主要内容包括安全保密管理机构设置、物理安全策略、运行安全策略、信息安全策略、备份与恢复策略、病毒和恶意代码防护策略、应急计划与响应。在策略制定时,对每个策略模块按照不同的实施对象再细分为若干个子策略,这样涉密信息系统的策略就基本完善了。例如,信息安全策略模块包括身份鉴别、边界防护、访问控制、应用系统与数据库安全、信息交换安全等策略子项。每个策略子项的编写应统一格式统一思路,同时要回答清楚三个问题,即策略的实施对象、策略的内容、策略的执行。最后在安全策略制定时应兼顾结构上的系统性、内容上的可理解性、技术上的可实现性、管理上的可执行性。

3 涉密信息系统安全审计

涉密信息系统安全审计是运用各种技术手段,全面检测信息系统中的各种会话和事件,记录并分析各种可疑行为、违规操作,帮助定位安全事件源头和追查取证,防范和发现网络违规活动。

目前我国没有比较完善的、权威的、有规范性的安全审计法规和指南,现在的审计工作都是依照各自经验开展,审计对象、审计方法、审计分析角度各有不同。

一般来说,审计对象可按两种方式划分:(1)按审计主体划分:主要对对系统管理员、安全保密管理员、安全审计员及其他相关人员;(2)按审计客体划分:主要对涉密网络设备、服务器、用户终端、应用系统、安全保密产品、数据库、安全保密管理实施情况。

审计方法一般有使用安全审计分析软件、审计员人工审计以及安全审计软件和人工审计相结合的审计方法。

审计分析工作是个复杂的过程,在审计分析时要有敏锐的意识、快速的反映能力,能够将多种事件相关联,分析其隐藏的漏洞和威胁。

4 涉密信息系统风险评估

涉密信息系统风险评估预见性的对信息系统各生命周期进行评估计算,了解信息系统目前与未来的风险所在, 评估这些风险可能带来的安全威胁与影响程度。没有准确及时的风险评估,就无法对系统的信息安全状况做出准确的判断。

涉密信息系统风险评估主要围绕着四要素展开:信息资产、威胁、脆弱性和风险分析。其中信息资产是对企业、机构具有价值的信息或资源,是安全策略保护的对象。威胁是对企业、机构及其资产构成潜在破坏的可能性因素或者事件。脆弱性是被评估资产本身存在的弱点,它可以被威胁利用、引起资产的损害,是风险评估中重要的内容。风险分析是对风险的认识制定相应的策略、做出有力的抵御、降低风险。

风险的计算方法: 风险值 =R (A,T,V)=R (L(T,V),F(Wa,Va))

其中,R表示安全风险计算函数;A表示资产值; V表示脆弱性;T表示威胁; Wa表示安全事件所作用的资产价值; Va表示资产脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安全事件发生后造成的损失。

为实现对风险的控制与管理,可以对风险值进行等级化处理,可将风险划分为五级,等级越高,风险越高。

5 安全保密策略、安全审计、风险评估之间的关系

信息系统的安全是一个动态的复杂过程,它贯穿于信息系统的整个生命周期。安全保密策略、安全审计、风险评估正是让这个动态的复杂的安全管理体系形成一个闭环。

安全保密策略担任着指导员的角色,指导和规范涉密信息系统各类操作和流程的具体操作实施,使相关人员有章可循,知道什么能做,什么不能做以及怎样做。

安全审及担任着巡视员的角色,通过巡查记录了系统总体运行情况,及时发现系统中的安全隐患或安全事件,对系统进行相应的修补或补救。通过安全审计工作,管理人员能够清楚系统内安全策略的执行情况,为信息系统安全保密策略制定、风险评估提供数据支撑。

风险评估担任着评估员的角色,通过开展信息安全风险评估工作,可以发现信息系统安全防护存在的问题和薄弱环节,并通过风险评估分析法,科学分析系统面临的风险,为风险预防、风险控制、风险转移、风险分散等决策提供理论支持。风险评估结果为安全保密策略调整和更新指明了方向,是制订安全策略和实施安全防护措施的依据。可以说风险评估是信息系统安全建设的起点和基础。

6 结束语

安全保密策略是涉密信息系统安全运行的依据,安全审计是及时发现涉密信息系统安全隐患和安全事件的有力手段,风险评估是准确定位系统风险点及风险值的分析方法。