企业实施信息安全审计的关键流程

安全审计的焦点问题如下： 1. 密码是否牢靠 ?

2. 网络是否有访问控制清单 ?

3. 访问日志是否记录了访问数据的人员 ? 4. 个人电脑是否经常扫描广告软件和恶意软件 ? 5. 谁有权访问组织中的备份存储媒介 ? 当然以上只是例举了一小部分问题。

审计不是一个短期的静止的过程， 而是一个连续不断需要提高的过程。 一些评论 家说，审计的焦点应该在于评估企业现行的安全政策是否兼容一致。 当然，审 计 不仅仅是评估兼容性问题， 还有企业安全政策和控制本身。 很多时候， 企业一些 老旧的管理规定赶不上新的技术的发展。安全审计是最有效的办法。 安全审计的关键流程

在实施审计之前有几步是很关键的 （ 譬如，审计需要得到企业高层的支持 ），以下 是审计本身实施的关键步骤：

1. 定义审计的物质范畴。划定审计的范围很关键。划定的范围之间要有一些联 系，譬如数据中心局域网，或是商业相关的一些东西，财务报表等。不管采用哪 种方式，审计范畴的划定有利于审计人员集中注意力在资产，规程和政策方面。

2. 划定审计的步骤范围。过于宽泛的审计步骤会延缓审计。但是过窄又会导致 审计不完全， 难以得出令人信服的结果。 应该确定一个合适的安全审计区域。 不 管企业的大小，都应该将主要精力放在审计的重点上。

3. 研究历史。审计中常遗忘的一个过程就是不查阅以前的审计历史。藉此我们 可以把注意力放在已知的安全漏洞，损害导致的安全事件，还有 IT 结构的企业 流程的改 变等等。这应该包括过去审计的评估。还有，审计人员应该将位于审 计范围内的所有资产及其相关的管理规章造册编辑好。

4. 恰当的审计计划。一个详细备至的审计计划是实施有效审计一个关键。包括 审计内容的详细描述，关键日期，参与人员和独立机构。

5. 实施安全风险评估。一旦审计小组制定好了有效的审计计划，就可以着手开 始审计的核心—风险评估。风险评估覆盖以下几个方面：

A. 确认位于安全审计范围之内的资产，根据其商业价值确认优先顺序。譬如， 支持命令进入程序的网络服务器就比支撑 IT 部门内部博客的服务器重要的的 多。 B. 找出潜在的威胁。威胁的定义是指有可能造成资产潜在风险的因素。

C. 将资产的各类漏洞编一个目录。特别是那些资产现有的漏洞及由此可能产生 的风险。

D. 检查现有资产是否有相应的安全控制。这些控制必须存在并且可用。如果缺 少这些就应该记录下来。控制包括技术方面的，譬如防火墙 ; 流程方面的，譬如 数据备份过程 ; 人事方面的，譬如管理相关资产的系统管理人员

E. 确认风险发生的可能性。审计小组必须给出每个风险可能导致危险的量化的 可能性。风险可能性的评估表明了现有控制处置风险的能力。 这些可能性应该用 不同的层级来表示。

F. 确定风险的潜在危害。审计人员必须再次将风险发生造成的危害量化。这种 量化的评估也需要用层级表示。

G. 风险评估。审计人员使用上述两个参数 （可能性乘以危害 ） 计算风险。这样根 据风险评估的结果来提高处置风险的有效性。

6. 记录下审计结果。这并不是说需要上述所有审计的一个详尽的结果。审计文 件包括总结，审计原因，必要的升级和纠正，支持数据。审计小组还要把文件制 成 ppt 演示文稿。

7. 提出改进意见。安全审计最终的好处就是提出相应的提高安全的建议。这些 建议应该是客户可以实施的形式。 安全审计范畴

很多企业在确定审计范围时不要花费什么时间。 对于审计小组来说， 把审计限制 在实体位置和逻辑小组就很简单了。

更难的，也是更有价值的是划定审计区域。 关键就是根据风险系数制定出优先的 安全流程。 譬如，有一些是不断造成非常小的风险，而身份管理就可能造成严 重危害。在这一案例中， 身份管理流程就应该包括审计过程中， 那些小的风险可 以忽略。

许多咨询人士和分析人士似乎都对来年的安全风险有一个明确的认识。 Gartner 估计 80%的风险集中于如下四个方面：

网络访问控制（NAC）。NAC就是检查访问网络的用户和系统的安全性。这是任何 访问某个网络的用户必须面临的第一道安全检查。NAC也会检查已经进入网络的 用户和系统的安全。有些情况下，NAC还会根据已知的风险或用户矫正或是应对 风险。

入侵防御。入侵防御涵盖的范围远广于传统的入侵检测。 实际上，这与NAC有些 类似，都是防范已知的风险。 入侵防御会加强政策的执行从而将风险范围缩小到 最小范围。

身份和访问管理。 它控制什么人什么时候访问了什么数据。 主要采取的就是授权 证明，越来越多的政策管理的存储也是很关键的因素。

漏洞管理。漏洞管理根据根原因分析处置风险， 采取有效的措施应对特定的风险。

1. 利用网络及安全管理的漏洞窥探用户口令或电子帐号 , 冒充合法用户作案 ,篡 改磁性介质记录窃取资产。

2. 利用网络远距离窃取企业的商业秘密以换取钱财 , 或利用网络传播计算 机病毒以破坏企业的信息系统。

3. 建立在计算机网络基础上的电子商贸使贸易趋向“无纸化” , 越来越多 的经济业务的原始记录以电子凭证的方式存在和传递。 不法之徒通过改变电子货 币帐单、银行结算单及其它帐单 , 就有可能将公私财产的所有权进行转移。

计算机网络带来会计系统的开放与数据共享 , 而开放与共享的基础则是安 全。企业一方面通过网络开放自己 , 向全世界推销自己的形象和产品 ,实现电子贸 易、电 子信息交换 , 但也需要守住自己的商业秘密、管理秘密和财务秘密 , 而其 中已实现了电子化且具有货币价值的会计秘密、 理财秘密是最重要的。 我们有必 要为它创造 一个安全的环境 ,抵抗来自系统内外的各种干扰和威协 , 做到该开放 的放开共享 , 该封闭的要让黑客无奈。

一、网络安全审计及基本要素

安全审计是一个新概念 , 它指由专业审计人员根据有关的法律法规、财产所 有者的委托和管理当局的授权 , 对计算机网络环境下的有关活动或行为进行系统 的、独立的检查验证 , 并作出相应评价。

没有网络安全 , 就没有网络世界。 任何一个建立网络环境计算机会计系统的 机构, 都会对系统的安全提出要求 ,在运行和维护中也都会从自己的角度对安全 作出安 排。那么系统是否安全了呢 ?这是一般人心中无数也最不放心的问题。 应 该肯定,一个系统运行的安全与否 ,不能单从双方当事人的判断作出结论 , 而必须 由第三方 的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门 的安全知识 , 而且具有丰富的安全审计经验 ,只有他们才能作出客观、 公正、公平 和中立的评 价。

安全审计涉及四个基本要素 : 控制目标、安全漏洞、控制措施和控制测试。 其中, 控制目标是指企业根据具体的计算机应用 , 结合单位实际制定 出的安全控 制要求。安全漏洞是指系统的安全薄弱环节 , 容易被干扰或破坏的地方。控制措 施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各 种规 范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比 较,确定各项控制措施是否存在、 是否得到执行、对漏洞的防范是否有效 , 评价 企 业安全措施的可依赖程度。 显然 , 安全审计作为一个专门的审计项目 , 要求审计人 员必须具有较强的专业技术知识与技能。

安全审计是审计的一个 组成部分。由于计算机网络环境的安全将不仅涉及 国家安危 ,更涉及到企业的经济利益。 因此,我们认为必须迅速建立起国家、 社会、 企业三位一体的安全审计体 系。其中 , 国家安全审计机关应依据国家法律 , 特别 是针对计算机网络本身的各种安全技术要求 , 对广域网上企业的信息安全实施年 审制。另

外 , 应该发展社会中介 机构 , 对计算机网络环境的安全提供审计服务 , 它与会计师事务所、律师事务所一样 , 是社会对企业的计算机网络系统的安全作 出评价的机构。当企业管理当局权衡 网络系统所带来的潜在损失时 , 他们需要通 过中介机构对安全性作出检查和评价。 此外财政、 财务审计也离不开网络安全专 家, 他们对网络的安全控制作出评价 , 帮 助注册会计师对相应的信息处理系统所 披露信息的真实性、可靠性作出正确判断。

二、网络安全审计的程序 安全审计程序是安全监督活动的具体规程 , 它规定安全审计工作的具体内 容、时间安排、具体的审计方法和手段。与其它审计一样 , 安全审计主要包括三 个阶段: 审计准备阶段、实施阶段以及终结阶段。

安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、 结构、一般控制和应用控制情况 , 并对安全审计工作制订出具体的工作计划。在 这一阶段 , 审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及 减少漏洞的各种控制措施。

1. 了解企业网络的基本情况。 例如, 应该了解企业内部网的类型、 局域网之 间是否设置了单向存取限制、企业网与 Internet 的联接方式、是否建立了虚拟 专用网 （VPN）?

2. 了解企业的安全控制目标。 安全控制目标一般包括三个方面 : 第一, 保证 系统的运转正常 ,数据的可靠完整 ; 第二,保障数据的有效备份与系统的恢复能力 第三 , 对系统资源使用的授权与限制。 当然安全控制目标因企业的经营性质、 规 模的大小以及管理当局的要求而有所差异。

3. 了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前 企业对网络环境的安全保密计划 , 了解所有有关的控制对上述的控制目标的实现 情况, 系统还有哪些潜在的漏洞。

安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试 , 以明 确企业是否为安全采取了适当的控制措施 , 这些措施是否发挥着作用。审计人员 在实施环节应充分利用各种技术工具产品 , 如网络安全测试产品、 网络监视产品、 安全审计分析器。

安全审计终结阶段应对企业现存的安全控制系统作出评价 , 并提出改进和 完善的方法和其他意见。安全审计终结的评价 , 按系统的完善程度、漏洞的大小 和存在问 题的性质可以分为三个等级 : 危险、不安全和基本安全。 危险是指系统 存在毁灭性数据丢失隐患 （ 如缺乏合理的数据备份机制与有效的病毒防范措施 ） 和系统的盲目 开放性（如有意和无意用户经常能闯入系统 , 对系统数据进行查阅 或删改） 。不安全是指系统尚存在一些较常见的问题和漏洞 , 如系统缺乏监控机制 和数据检测手段 等。基本安全是指各个企业网络应达到的目标 , 其大漏洞仅限于 不可预见或罕预见性、技术极限性以及穷举性等 , 其他小问题发生时不影响系统 运行, 也不会造成大 的损失,且具有随时发现问题并纠正的能力。

三、网络安全审计的主要测试

测试是安全审计实施阶段的主要任务 , 一般应包括对数据通讯、硬件系统、 软件系统、数据资源以及安全产品的测试。

下面是对网络环境会计信息系统的主要测试。

1. 数据通讯的控制测试 数据通讯控制的总目标是数据通道的安全与完整。具体说 , 能发现和纠正设 备的失灵,避免数据丢失或失真，能防止和发现来自

Internct及内部的 非法存取操作。为了达到上述控制目标 , 审计人员应执行以下控制测试 :

(1) 抽取一组会计数据进行传输 , 检查由于线路噪声所导致数据失真的可能 性。

(2) 检查有关的数据通讯记录 , 证实所有的数据接收是有序及正确的。

(3) 通过假设系统外一个非授权的进入请求 , 测试通讯回叫技术的运行情况。 (4) 检查密钥管理和口令控制程序 , 确认口令文件是否加密、 密钥存放地点是 否安全。

(5) 发送一测试信息测试加密过程 , 检查信息通道上在各不同点上信息的内 容。 (6) 检查防火墙是否控制有效。防火墙的作用是在I nternct与企业 内部网之间建立一道屏障 , 其有效性主要包括灵活性以及过滤、分离、报警等方 面的能力。例如, 防火墙应具有拒绝任何不准确的申请者的过滤能力 , 只有授权用 户才能通过防火墙访问会计数据。

2. 硬件系统的控制测试 硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的

重点包括 : 实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾 害恢复计 划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作 及部件失灵中操作员是否作出了适当的记录与定期分析、 硬件的灾难恢复计划是 否适当、是否制 定了相关的操作规程、各硬件的资料归档是否完整。

3. 软件系统的控制测试 软件系统包括系统软件和应用软件 , 其中最主要的是操 作系统、数据库系统 和会计软件系统。 总体控制目标应达到防止来自硬件失灵、 计算机黑客、 病毒感 染、具有特权职员的各种破坏行为 , 保障系统正常运行。 对软件 系统的测试主要 包括 :(1) 检查软件产品是否从正当途径购买 , 审计人员应对购买订单进行抽样审 查。 (2) 检查防治病毒措施 , 是否安装有防治病毒软件、使用 外来软盘之前是否 检查病毒。 (3) 证实只有授权的软件才安装到系统里。

4. 数据资源的控制测试 数据控制目标包括两方面 :一是 数据备份 , 为恢复被丢失、损坏或被干扰的 数据, 系统应有足够备份 ;二是个人应当经授权限制性地存取所需的数据 , 未经授 权的个人不能存取数据库。 审计测试应 检查是否提供了双硬盘备份、 动态备份、 业务日志备份等功能 , 以及在日常工作中是否真正实施了这些功能。根据系统的 授权表 , 检查存取控制的有效性。

5. 系统安全产品的测试 随着网络系统安全的日益重要 , 各种用于保障网络安全的软、 硬件产品应运 而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的 安全产 品市场上购买各种产品以保障系统的安全 , 安全审计机构应对这些产品 是否有效地使用并发挥其应有的作用进行测试与作出评价。例如 , 检查安全产品 是否经过认证 机构或公安部部门的认征 , 产品的销售商是否具有销售许可证产 品的安全保护功能是否发挥作用。

四、应该建立内部安全审计制度 为提 高会计信息处理的准确性、 真实性和合法性 , 强化企业的内部控制制度 的落实,防止会计信息系统出现各种安全隐患 , 应建立起计算机网络环境下对会 计信息系统实 施监督的内部审计制度。内部审计是在单位最高负责人的直接领 导下, 对集网络、计算机及信息处理为一体的会计信息系统进行职能管理 , 依照有 关法律、法规及内 部管理制度 ,对其合法性、 真实性、可靠性和效益性进行相对 独立的监督、检查与评价的活动。 其主要目的是保护企业计算机会计信息系统所 产生的会计记录的真实 与可靠, 保证网络上数据的传输的数据的安全 ,并对系统 安全情况作出评价。

网络系统内部安全审计是一种实时地发现漏洞的机制 , 安全审计人员的日常 审

计工作将为会计信息系统的安全提供有效的保障。