本文作者：杜寧寧趙慶亮作者單位：國(guó)家開發(fā)銀行

一、信息安全概況

隨著信息技術(shù)的飛速發(fā)展，金融機(jī)構(gòu)生產(chǎn)、使用和共享的信息呈現(xiàn)幾何增長(zhǎng)的態(tài)勢(shì)，信息傳遞的方式和渠道急劇增加，在為金融機(jī)構(gòu)帶來收益和效率的同時(shí)，也使信息安全問題更加凸顯。在全球范圍內(nèi)，信息安全事件頻發(fā)，給銀行和客戶造成經(jīng)濟(jì)損失的同時(shí)，也帶來了巨大的聲譽(yù)損失。如何有效提升信息安全管理水平，成為銀行關(guān)注的焦點(diǎn)。信息安全審計(jì)作為信息安全保障工作中的重要一環(huán)，能夠促進(jìn)信息安全控制措施的落實(shí)，規(guī)范信息安全管理，提高全員信息安全意識(shí)，從而有利于保持和持續(xù)改進(jìn)銀行信息安全能力和水平。

根據(jù)當(dāng)前的信息安全管理體系國(guó)家標(biāo)準(zhǔn)GB/T22080-2008（等同采用ISO/IEC27001:2005），信息安全保障工作從整體看應(yīng)包括四個(gè)階段：一是規(guī)劃和建設(shè)階段（Plan，簡(jiǎn)稱“P階段”）；二是實(shí)施和運(yùn)行階段（Do，簡(jiǎn)稱“D階段”）；三是監(jiān)視和評(píng)審階段（Check，簡(jiǎn)稱“C階段”）；四是保持和改進(jìn)（Act，簡(jiǎn)稱“A階段”）。這四個(gè)階段按順序循環(huán)往復(fù)，從而使信息安全得到持續(xù)改進(jìn)。這種方法也被稱為“PDCA循環(huán)”，如圖1所示。

經(jīng)過近十幾年的努力，金融行業(yè)信息安全保障工作已經(jīng)普遍走過了“P階段”和“D階段”，金融行業(yè)的信息安全需求已基本明確，滿足信息安全需求的基礎(chǔ)設(shè)施也基本具備。經(jīng)過大范圍的規(guī)劃建設(shè)，各金融機(jī)構(gòu)已經(jīng)建立了相對(duì)完備的信息安全軟硬件環(huán)境，初步形成了信息安全保障體系。盡管如此，作為關(guān)系國(guó)計(jì)民生的重要基礎(chǔ)產(chǎn)業(yè)，金融行業(yè)對(duì)信息安全有著更高的要求，也面臨著更大的信息安全風(fēng)險(xiǎn)挑戰(zhàn)。近年來，金融行業(yè)頻繁發(fā)生的信息安全事件表明，金融行業(yè)信息安全保障工作還存在很多缺陷和不足。導(dǎo)致這一局面的因素很多，其中一個(gè)重要的原因就是大家普遍重視信息安全的建設(shè)和運(yùn)行，而忽視了信息安全工作的檢查和改進(jìn)。從整體上看，金融行業(yè)信息安全保障工作已經(jīng)走過“P階段”和“D階段”，尚未進(jìn)入“C階段”和“A階段”，還沒有形成完整的基于“PDCA”過程方法的持續(xù)改進(jìn)機(jī)制。接下來金融行業(yè)信息安全工作的重心應(yīng)該轉(zhuǎn)向檢查和改進(jìn)。信息安全審計(jì)是“C階段”的主要手段。它利用傳統(tǒng)財(cái)務(wù)審計(jì)和審計(jì)工作的規(guī)范與嚴(yán)謹(jǐn)，結(jié)合信息和保密技術(shù)的工具與手段，對(duì)金融機(jī)構(gòu)信息安全工作的成效和不足給出客觀、確定的審計(jì)結(jié)論，并根據(jù)審計(jì)結(jié)果，對(duì)金融機(jī)構(gòu)的信息安全保障工作提出改進(jìn)措施、給出合理化建議。

為了對(duì)商業(yè)銀行信息科技整個(gè)生命周期內(nèi)的信息安全、業(yè)務(wù)連續(xù)性管理和外包等主要方面提出高標(biāo)準(zhǔn)、高要求，滿足商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的需要，銀監(jiān)會(huì)2009年了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，其中第六十五條規(guī)定：“商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計(jì)?！?/p>

摘要：隨著云計(jì)算、大數(shù)據(jù)等技術(shù)的高速發(fā)展，各地政府響應(yīng)“放管服”改革和建設(shè)服務(wù)型政府的戰(zhàn)略決策，逐漸深化電子政務(wù)的實(shí)踐。本文首先以文獻(xiàn)綜述的方式系統(tǒng)性分析近年來國(guó)內(nèi)外關(guān)于信息系統(tǒng)審計(jì)的研究進(jìn)展，其次梳理我國(guó)信息系統(tǒng)審計(jì)發(fā)展概況，最后提出電子政務(wù)信息系統(tǒng)云安全審計(jì)體系。文末分析我國(guó)信息系統(tǒng)安全審計(jì)亟待解決的問題，并從行業(yè)法規(guī)標(biāo)準(zhǔn)的完善、審計(jì)工具軟件的優(yōu)化配置及人才培養(yǎng)儲(chǔ)備等方面提出相關(guān)改進(jìn)建議。

關(guān)鍵詞：云計(jì)算；電子政務(wù)；信息系統(tǒng)審計(jì)；安全審計(jì)

一、引言

“十二五”規(guī)劃明確要求以云計(jì)算為基礎(chǔ)，積極構(gòu)建并完善政府公共服務(wù)平臺(tái)，促進(jìn)政府各機(jī)關(guān)組織全方位協(xié)同、信息資源共享以及為信息安全提供保障?！盎ヂ?lián)網(wǎng)+政務(wù)服務(wù)”的概念在2016年政府報(bào)告中被提及，自此政務(wù)云、政務(wù)信息系統(tǒng)的建設(shè)步履不停。翟云（2017）認(rèn)為“互聯(lián)網(wǎng)+政務(wù)服務(wù)”能夠推動(dòng)政府實(shí)現(xiàn)治理現(xiàn)代化。從實(shí)踐成果方面看，全國(guó)各地積極將電子政務(wù)系統(tǒng)投入公共服務(wù)工作中，并建成各省市區(qū)網(wǎng)上政務(wù)信息平臺(tái)。成都市致力于統(tǒng)籌公共信息平臺(tái)與信息系統(tǒng)，綜合調(diào)度、加強(qiáng)政務(wù)信息系統(tǒng)的交互訪問；2019年甘肅開辟多條信息化稅務(wù)通道“前后呼應(yīng)”為民眾減負(fù)；北京大興區(qū)政府致力于建設(shè)智慧城市、打通政務(wù)服務(wù)“最后一公里”，與百度合作共同打造“指尖上的政務(wù)”；2020年浙江開設(shè)“云上商務(wù)廳”，提供線上“廳長(zhǎng)問診”服務(wù)。據(jù)2020年聯(lián)合國(guó)出具的對(duì)世界各國(guó)電子政務(wù)調(diào)查報(bào)告顯示，我國(guó)2020年電子政務(wù)發(fā)展指數(shù)居全球第45位，排名較之前有了顯著提升。我國(guó)電子政務(wù)系統(tǒng)建設(shè)雖初有成效，但仍有進(jìn)步空間。在信息系統(tǒng)設(shè)計(jì)與實(shí)施方面，電子政務(wù)信息系統(tǒng)的協(xié)同與完善、政務(wù)數(shù)據(jù)互聯(lián)共享機(jī)制有待完善；在數(shù)據(jù)存儲(chǔ)安全方面，信息存儲(chǔ)與訪問安全、公民隱私保護(hù)措施仍有待加強(qiáng)。

二、相關(guān)概念與理論基礎(chǔ)

1．電子政務(wù)。電子政務(wù)是依賴信息技術(shù)與通信技術(shù)開展的政府政務(wù)活動(dòng)。電子政務(wù)建立在一系列信息基礎(chǔ)設(shè)施之上，使用相關(guān)軟件實(shí)現(xiàn)政府功能，電子政務(wù)信息系統(tǒng)是一種利用網(wǎng)絡(luò)實(shí)現(xiàn)公共服務(wù)，集信息處理、交互、反饋為一體的系統(tǒng)，電子政務(wù)信息系統(tǒng)適用于政府各機(jī)關(guān)組織、企業(yè)和公眾。電子政務(wù)信息系統(tǒng)服務(wù)的對(duì)象包括該組織的內(nèi)部機(jī)構(gòu)，以及其他機(jī)構(gòu)、團(tuán)體、企業(yè)和公眾，處理內(nèi)容包括政府機(jī)構(gòu)的內(nèi)部信息，可以在一定范圍內(nèi)交換的信息，并接受各種類型的投訴、建議和要求。簡(jiǎn)而言之，電子政務(wù)信息系統(tǒng)是一種政府綜合行政電子管理系統(tǒng)，通過技術(shù)手段將政府傳統(tǒng)行政方式轉(zhuǎn)變?yōu)殡娮庸芾砟Ｊ健?/p>

計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)處理后,由于系統(tǒng)的入口增多,操作人員和信息使用者干預(yù)系統(tǒng)的機(jī)會(huì)增大,系統(tǒng)面臨的安全隱患也必然增多。尤其隨著Internet/Intranet的應(yīng)用,外部日益擴(kuò)大的網(wǎng)絡(luò)環(huán)境對(duì)會(huì)計(jì)信息系統(tǒng)本身及其安全又將產(chǎn)生更大的影響,不僅影響傳統(tǒng)的會(huì)計(jì)業(yè)務(wù)處理及信息的披露方式,而且安全方面會(huì)產(chǎn)生更多的不確定因素。除了計(jì)算機(jī)軟硬件的不安全因素之外,會(huì)計(jì)信息系統(tǒng)還將面臨人文方面的更大風(fēng)險(xiǎn),例如來自不法之徒的風(fēng)險(xiǎn)就有:

1利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或電子帳號(hào),冒充合法用戶作案,篡改磁性介質(zhì)記錄竊取資產(chǎn)。

2利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)的商業(yè)秘密以換取錢財(cái),或利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒以破壞企業(yè)的信息系統(tǒng)。

3建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無(wú)紙化”,越來越多的經(jīng)濟(jì)業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結(jié)算單及其它帳單,就有可能將公私財(cái)產(chǎn)的所有權(quán)進(jìn)行轉(zhuǎn)移。

計(jì)算機(jī)網(wǎng)絡(luò)帶來會(huì)計(jì)系統(tǒng)的開放與數(shù)據(jù)共享,而開放與共享的基礎(chǔ)則是安全。企業(yè)一方面通過網(wǎng)絡(luò)開放自己,向全世界推銷自己的形象和產(chǎn)品,實(shí)現(xiàn)電子貿(mào)易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財(cái)務(wù)秘密,而其中已實(shí)現(xiàn)了電子化且具有貨幣價(jià)值的會(huì)計(jì)秘密、理財(cái)秘密是最重要的。我們有必要為它創(chuàng)造一個(gè)安全的環(huán)境,抵抗來自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開放的放開共享,該封閉的要讓黑客無(wú)奈。

一、網(wǎng)絡(luò)安全審計(jì)及基本要素

1概念

道路交通安全審計(jì)是由符合相關(guān)資質(zhì)條件的專業(yè)團(tuán)隊(duì)對(duì)道路、交通項(xiàng)目潛在的安全隱患進(jìn)行獨(dú)立、客觀地調(diào)查，給出正式的審計(jì)報(bào)告，列明安全隱患、提出消除或減輕隱患的措施，力求提升項(xiàng)目的安全水平。道路安全審計(jì)旨在通過專業(yè)人士的職業(yè)判斷，幫助把安全的理念融入具體項(xiàng)目之中，有幾點(diǎn)需要明確：（1）道路安全審計(jì)不同于事故多發(fā)點(diǎn)段調(diào)查，事故多發(fā)點(diǎn)段調(diào)查是事后行為，而道路安全審計(jì)是預(yù)防行為。（2）道路安全審計(jì)不是對(duì)設(shè)計(jì)標(biāo)準(zhǔn)的檢查，其僅限于道路安全范疇。（3）道路安全審計(jì)實(shí)施范圍靈活方便，審計(jì)項(xiàng)目可以大到整條公路或城市道路，也可以小至一處平交道口。（4）道路安全審計(jì)并不為項(xiàng)目出現(xiàn)的安全事故承擔(dān)責(zé)任，責(zé)任仍由項(xiàng)目管理方或設(shè)計(jì)方承擔(dān)。審計(jì)人員致力于發(fā)現(xiàn)問題，而解決問題則是工程師（管理或設(shè)計(jì)方）的責(zé)任。

2工作程序

道路安全審計(jì)由擬建或既有項(xiàng)目的主管機(jī)構(gòu)委托有資質(zhì)的、專業(yè)化的審計(jì)隊(duì)伍按照規(guī)定的程序?qū)嵤话悴襟E如下：（1）選擇審計(jì)隊(duì)伍。擇優(yōu)選擇審計(jì)單位和人員，審計(jì)人員必須經(jīng)驗(yàn)豐富、嚴(yán)謹(jǐn)認(rèn)真且與設(shè)計(jì)無(wú)關(guān)，確保客觀、公正、可靠。（2）提供項(xiàng)目背景資料。包括道路的勘察、設(shè)計(jì)資料，以及與道路交通安全相關(guān)的各種調(diào)查統(tǒng)計(jì)資料。（3）召開啟動(dòng)會(huì)議。與會(huì)各方商討具體目標(biāo)、階段安排、溝通渠道等事項(xiàng)。（4）開展審計(jì)工作。根據(jù)收集資料進(jìn)行分析評(píng)價(jià)，以及現(xiàn)場(chǎng)實(shí)地觀測(cè)，發(fā)現(xiàn)可能存在的安全問題。內(nèi)外業(yè)應(yīng)同步、交叉進(jìn)行。（5）編寫審計(jì)報(bào)告。主要對(duì)發(fā)現(xiàn)的不安全因素進(jìn)行逐項(xiàng)闡明，并提出修正建議。（6）召開完工會(huì)議。主要工作是各方討論審計(jì)報(bào)告，需要注意的是，審計(jì)的目的在于幫助提升項(xiàng)目安全，對(duì)于審計(jì)提出的問題，不應(yīng)進(jìn)行刪減或弱化。（7）書面回復(fù)。委托方對(duì)審計(jì)報(bào)告中提出的問題予以回復(fù)，可以有不同意見，但應(yīng)列明充分的理由。（8）采取行動(dòng)。根據(jù)書面回復(fù)的內(nèi)容，修改設(shè)計(jì)或動(dòng)工消除隱患。為提高時(shí)效，第3、6步的兩次會(huì)議，現(xiàn)今常以電子郵件或網(wǎng)絡(luò)會(huì)議方式進(jìn)行，重在各方充分溝通意見、取得一致。

3實(shí)施階段

審計(jì)工作在各國(guó)大都分為可行性研究、初步設(shè)計(jì)、施工圖設(shè)計(jì)、預(yù)通車和運(yùn)營(yíng)等五個(gè)階段，文章借鑒有關(guān)文獻(xiàn)論述，將施工階段的審計(jì)也單獨(dú)劃分開來。

摘要：結(jié)合主機(jī)安全狀態(tài)監(jiān)控與主機(jī)違規(guī)行為審計(jì)的需求，實(shí)現(xiàn)了一個(gè)主機(jī)安全審計(jì)系統(tǒng)。本文從系統(tǒng)架構(gòu)和功能角度提出了系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)方案，系統(tǒng)實(shí)現(xiàn)了文件監(jiān)控、上網(wǎng)記錄、非法外聯(lián)、打印、光盤刻錄、U盤使用等主機(jī)審計(jì)功能。

關(guān)鍵詞：主機(jī)安全；安全審計(jì)；信息安全

0引言

安全問題是各類信息系統(tǒng)共同面臨的威脅。主機(jī)是信息系統(tǒng)的基本組成部分，是獲取、存儲(chǔ)和傳遞信息的載體。主機(jī)安全是信息系統(tǒng)安全的基石。很大比例的安全事件是由內(nèi)部人員對(duì)主機(jī)的違規(guī)使用引起的，例如，使用主機(jī)非法外聯(lián)，非法主機(jī)違規(guī)進(jìn)入內(nèi)部網(wǎng)絡(luò)、存儲(chǔ)或處理過辦公網(wǎng)信息的移動(dòng)載體并連接到互聯(lián)網(wǎng)等。為了有效防止違規(guī)操作的發(fā)生，加強(qiáng)對(duì)主機(jī)終端的安全管理并對(duì)主機(jī)行為進(jìn)行審計(jì)取證勢(shì)在必行。通過主機(jī)審計(jì)系統(tǒng)能夠?qū)χ鳈C(jī)的各類行為進(jìn)行有效管控，保障主機(jī)安全穩(wěn)定運(yùn)行，構(gòu)建一個(gè)安全的內(nèi)網(wǎng)環(huán)境，提升信息系統(tǒng)的安全性能。

1主機(jī)安全審計(jì)技術(shù)原理

主機(jī)安全審計(jì)技術(shù)是一門傳統(tǒng)審計(jì)與信息安全相結(jié)合的技術(shù)。主機(jī)安全審計(jì)對(duì)與安全活動(dòng)相關(guān)的信息進(jìn)行記錄和存儲(chǔ)，在此基礎(chǔ)上根據(jù)一定的安全策略，對(duì)歷史操作數(shù)據(jù)進(jìn)行分析，為事后追蹤和處理奠定基礎(chǔ)。主機(jī)安全審計(jì)應(yīng)用于主機(jī)的使用與管理，包含很多具體功能，如針對(duì)主機(jī)非法外聯(lián)的報(bào)警和控制，針對(duì)文件的拷貝、刪除等訪問的監(jiān)控，針對(duì)打印、上網(wǎng)、光盤刻錄等行為的監(jiān)控，并將這些行為通過日志記錄下來，以便事后審計(jì)。安全審計(jì)保證了用戶違反規(guī)則、越權(quán)的操作的不可抵賴性，對(duì)潛在的內(nèi)部違規(guī)或攻擊行為起到震懾作用，安全人員可以通過分析積累的日志數(shù)據(jù)發(fā)現(xiàn)攻擊行為，為已經(jīng)發(fā)生的違規(guī)或攻擊行為提供追查憑證。