《信息系统审计报告.doc》由会员分享,可在线阅读,更多相关《信息系统审计报告.doc(26页珍藏版)》请在三一办公上搜索。
1、信息系统审计报告计算机和信息系统安全保密审计报告根据市国家保密局要求,公司领导非常重视计算机信息系统安全保密工作,在公司内部系统内开展自查,认真对待,不走过场,确保检查不漏一机一人。虽然在检查中没有发现违反安全保密规定的情况,但是,仍然要求计算机使用管理人员不能放松警惕,要时刻注意自己所使用和管理的计算机符合计算机信息系统安全保密工作的规定,做到专机专用,专人负责,专人管理,确保涉密计算机不上网,网上信息发布严格审查,涉密资料专门存储,不交叉使用涉密存储设备,严格落实计算机信息系统安全保密制度。通过检查,进一步提高了全公司各部门员工对计算机信息系统安全保密工作的认识,增强了责任感和使命感。现将
2、自查情况汇报如下:一、加大保密宣传教育,增强保密观念。始终把安全保密宣传教育作为一件大事来抓,经常性地组织全体职工认真学习各级有关加强安全保密的规定和保密常识,如看计算机泄密录像等,通过学习全公司各部门员工安全忧患意识明显增强,执行安全保密规定的自觉性和能力明显提高。二、明确界定涉密计算机和非涉密计算机。涉密计算机应有相应标识,设置开机、屏保口令,定期更换口令,存放环境要安全可靠。涉密移动硬盘、软盘、光盘、U盘等移动存储介质加强管理,涉密移动存储介质也应有标识,不得在非涉密计算机中使用,严防泄密。非涉密计算机、非涉密存储介质不得以任何理由处理涉密信息,非涉密存储介质不得在涉密计算机中使用涉密信
3、息。涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识,密级标识不能与正文分离。涉密信息不得在与国际网络联接的计算机信息系统中存储、处理、传递。三、加强笔记本电脑的使用管理。笔记本电脑主要在公司内部用于学习计算机新软件、软件调试,不处理涉密数据或文件。四、计算机的使用人员要定期对电脑进行安全检查,及时升级杀毒软件,定时查杀病毒。对外来计算机介质必须坚持先交计算机管理人员查杀病毒再上中转机使用的原则。五、对需要维修的涉密计算机,各部门必须事先将计算机内的涉密信息进行清除;如需调换计算机硬盘,清除涉密信息后方可允许
4、维修人员将硬盘带走。对报废的涉密计算机必须彻底清除计算机内的信息,方可处理。六、小结安全审计作为一门新的信息安全技术,能够对整个计算机信息系统进行监控,如实记录系统内发生的任何事件,一个完善的安全审计系统可以根据一定的安全策略记录和分析历史操作事件及数据,有效的记录攻击事件的发生,提供有效改进系统性能和的安全性能的依据。本文从安全审计的概念、在涉密信息系统中需要审计的内容、安全审计的关键技术及安全审计系统应该注意的问题等几个方面讨论了安全审计在涉密信息系统中的应用。安全审计系统应该全面地对整个涉密信息系统中的网络、主机、应用程序、数据库及安全设备等进行审计,同时支持分布式跨网段审计,集中统一管
5、理,可对审计数据进行综合的统计与分析,从而可以更有效的防御外部的入侵和内部的非法违规操作,最终起到保护机密信息和资源的作用。计算机技术管理部2011.8.17信息系统审计电子数据处理系统发展分为三阶段:数据的单项处理阶段(1953-1965)、数据的综合处理阶段、数据的系统处理阶段,对传统审计产生了巨大的影响,主要表现在对审计线索的影响:传统的审计线索缺失;EDP下:数据处理、存储电子化,不可见,难辨真伪。对审计方法和技术的影响:技术方法复杂化;EDP下:利用计算机审计技术变得复杂化对审计人员的影响:知识构成要求发生变化;EDP下:会计、审计、计算机等知识和技能对审计准则的影响:信息化下审计准
6、则与标准的缺失;EDP下:在原有审计准则的基础上,建立一系列新的准则对内部控制的影响:内部控制方式发生改变:传统方式下:强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。EDP下:数据处理根据既定的指令程序自动进行,信息的处理和存储高度集中于计算机,控制依赖于计算机信息系统,控制方式发生改变。2、信息系统审计的定义:指根据公认的标准和指导规范,对信息系统从计划、研发、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现,并提出一系列改进建议的管理活动。3、信息系统审计的特点审计范围的广泛性审计
7、线索的隐蔽性、易逝性审计取证的动态性审计技术的复杂性:首先,由于不同被审单位的信息系统所配备的计算机设备各式各样,各个机器的功能各异,所配备的系统软件也各不相同。审计人员在审计过程中,必然要和计算机的硬件和系统软件打交道,各种机型功能不一,配备的系统软件各异,必然增加了审计技术的复杂性,其次,由于不同被审单位的业务规模和性质不同,所采用的数据处理及存储方式也不同,不同的数据处理,存储方式,审计所采用的方法、技术也不同。此外,不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同,不同开发方式以及用不同的程序设计语言开发的应用软件,其审计方法与技术也不一样。4、信息系统审计的目标:
8、保护资产的完整性:信息系统的资产包括硬件、软件、设备、人员、数据文件、系统档案等;保证数据的准确性:数据准确性是指数据能满足规定的条件,防止粗无信息的输入和输出,一级非授权状态下的修改信息所造成的无效操作和错误后果;提高系统的有效性:系统的有效性表明系统能否获得预期的目标;提高系统的效率性:系统效率是指系统达到预定目标所消耗的资源,一个效率高的信息系统能够以尽量少的资源达到需要的目标;保证信息系统的合规性合法性:信息系统及其运用必须遵守有关法律、法规和规章制度。5、信息系统审计的主要内容:内部控制系统审计内部控制系统包括一般控制系统应用控制系统;系统开发审计;应用程序审计;数据文件审计、基本方
9、法:绕过信息系统审计:基于黑箱原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。优点:审计技术简单、较少干扰被审系统。缺点:审计结果不太可靠、要求I/O联系紧密通过信息系统审计:基于黑箱原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。优点:审计技术简单、较少干扰被审系统。缺点:审计结果不太可靠、要求I/O联系紧密。7、步骤:准备阶段;实施阶段;终结阶段、发出审计结论和决定、审计资料的归档和档案)8、国际信息系统审计原则:审计标准;审计指南;作业程序9、审计师应具备的素质:应具备的理论知识:传统审计理论、信息系统管理理论、计算机科学、行为科学理论应具有的
10、实践技能:参加过不同类别的工作培训,尤其是在组织采用和实施新技术时,此外也参加过组织内部计划的制定等;参与专业的机构或厂商组织的研讨会,动态掌握信息技术的新发展对审计时间的影响;具有理解信息处理活动的各种技术,尤其是影响组织财务活动的技术,能够与来自各领域的管理者、用户、技术专家进行交流;理解并熟悉操作环境,评估内部控制的有效性;理解现有与未来系统的技术复杂性,以及它们对各级操作与决策的影响;能使用技术的方法去识别技术的完整性;要参与评估与使用信息技术相关的有效性、效率、风险等;能够提供审计集成服务并对审计员工提供指导,与财务审计师一起对公司财务状况作出声明;具备系统开发方法论、安全控制设计、
11、实施后评估等;掌握网络相关的安全事件、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。10、IT治理德勤定义:IT治理是是一个含义广泛的概念,包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致推动业务发展,促使收益最大化,合理利用IT资源,IT相关风险的适当管理。11、共同点:IT治理必须与企业战略目标一致,IT对于企业非常关键,也是战略规划的组成,影响战略竞争。IT治理保护利益相关者的权益,使风险透明化,知道和控制IT投资、机遇、利益、风险。IT治理和其他治理主题一样,是管理执行人员和利益相关者的责任IT治理包括管理层、组织结构
12、、过程,以确保IT维持和拓展组织战略目标应该合理利用企业的信息资源,有效地进程与协调。确保IT战略及时按照目标交付,有合适的功能和期望的收益,是一个一致性和价值传递的基本构建模块,有明确的期望值和衡量手段。引导IT战略平衡系统的投资,支持企业,变革企业,或者创建一个信息基础构架,保证业务增长,并在一个新的领域竞争。对于核心IT资源做出合理的决策,进入新的市场,驱动竞争策略,创造总的收入增长,改善客户满意度,维系客户关系。12、IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动。IT治理是指最高管理层利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正
13、确的轨道之上。IT治理规定了整个企业IT运行的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。13、公司治理和IT治理:公司治理关注利益相关者权益和管理,驱动和调整IT治理。IT能够提供关键的输入,形成战略计划的一个重要组成部分,是公司治理的重要功能。14、ITIL:信息技术基础构架库;COBIT:信息和相关技术的控制目标;BS7799:国际安全管理标准体系;PRINCE2是一种对项目管理的某些特定方面提供支持的方法。15、IT治理成熟度模型:不存在、初始级、可重复级、已定义级、已管理级、优化级作用:IT治理成熟度模型制定了一个基准,组织可能根据上面的指标确定自己的等级,从而了解自身
14、的境界。在此基础上确定组织的关键成功因素,通过关键绩效指标进行监控,并衡量组织是否能达到关键目标指标中所设定的目标。16、信息系统内部控制:一个单位在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,确保信息系统提供信息的真实、合法、完整,而制定和实施的一系列政策与程序措施。17、一般控制系统:范围:应用于一个单位信息系统全部或较大范围的内部控制。对象:应为除信息系统应用程序以外的其他部分。基本目标:保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外情况下的持续运行等。18、良好的一般控制是应用控制的基础。如果一般控制审计结果很差,应用
15、控制审计就没有进行的必要。19、审计逻辑访问安全策略:此策略应当为逻辑访问建立“知所必需”的原则,并合理评估在访问过程中暴露的风险。20、审查离职员工的访问控制:一般来说,员工离职的情况主要有请辞、聘用合同期满和非自愿离职三种。对于非自愿离职的员工,组织应当在接触其职务之前,及时收回或严格限制其对组织信息资源的访问权,使其不能继续访问组织的机密信息,或使其不能破坏组织有价值的信息资产。如果对于这类员工还需要保留一部分访问权,必须得到相关管理层批准,并对其进行严格的监督。对其他两种离职的员工,由管理层批准是否保留他们的访问权,这取决于每一种人所处的特定环境、员工所访问IT资产的敏感程度以及组织的
16、信息安全策略、标准和程序的要求。21、系统访问:通过某种途径允许或限制对网络资源和数据的访问能力及范围。逻辑访问控制:通过一定的技术方法控制用户可以利用什么样的信息,可以运行什么程序与事务,可以修改什么信息与数据。物理访问控制:限制人员进出敏感区域。对极端及信息的物理访问与逻辑访问应当建立在“知所必需”的基础上,按照最小授权原则和职责分离原则来分配系统访问权限,并把这些访问规则与访问授权通过正式书面文件记录下来,作为信息安全的重要文件加以妥善管理。22、身份识别与验证:“只有你知道的事情”账号与口令,账号的控制、口令的控制;“只有你拥有的东西”令牌设备,发送许可权的特殊消息或一次性口令的设备;
17、“只有你具有的特征”生物/行为测定,指纹、虹膜等和签名等。23、逻辑访问授权:一般情况下,逻辑访问控制基于最小授权原则,只对因工作需要访问信息系统的人员进行必要的授权,当用户在组织变换工作角色时,在赋予他们新访问权限时,一般没有及时取消旧的访问权限,这回产生访问控制上的风险。所以当员工职位有变动时,信息系统审计是要及时审核访问控制列表是否做了有效变更。24、BCP一般包括业务持续性计划、业务恢复计划、连续作业计划、持续支持计划/IT应急计划、危机通信计划、事件响应计划、灾难恢复计划、场所应急计划25、数据备份:完全备份、增量备份、差分备份等26、信息系统审计针对灾难恢复与业务连续性计划,其主要
18、任务是理解预评价组织的业务连续性策略,及其与组织业务目标的符合性;参考相应的标准和法律法规,评估该计划的充分性和实效性;审核信息系统及终端用户对计划所做测试的结果,验证计划的有效性;审核异地存储设施及其内容、安全和环境控制,以评估异地存储站点的适当性;通过审核应急措施、员工培训、测试结果,评估信息系统及其终端用户在紧急情况下的有效反应能力;确认组织对业务持续性计划的维护措施存在并有效。27、应用控制市委适应各种数据处理的特殊控制要求,保证数据处理完整、准确地完成而建立的内部控制。可将应用控制划分为输入控制、处理控制和输出控制。应用控制也是由手工控制和程序化控制构成,但以程序化控制为主。28、信
19、息系统开发审计是对信息系统开发过程进行的审计,审计的目的一是要检查开发的方法、程序是否科学,是否含有恰当的控制;二是要检查开发过程中产生的系统文档资料室否规范。29、系统开发过程审计:遵守标准与流程;有效的操作;使系统合乎法律要求;必要的控制,预防可能的损失及严重错误;为管理层、信息系统审计师、操作人员提供必要的审计轨迹;系统文档,便于系统维护与审计。30、软件维护的种类:纠错性维护、适应性维护、完善性维护、预防性维护31、ITIL:六个主要模块:服务管理、业务管理、信息与通信技术基础设施管理、应用管理、IT服务管理实施规划、安全管理32、服务管理模块:面向IT基础设施管理的服务支持和面向业务
20、管理的服务提供。IT服务提供流程主要面对付费的机构和个人客户,负责为客户提供高质量、低成本的IT服务。它的任务是根据组织的业务需求,对服务能力、持续性、可用性等服务级别目标进行规划和设计,同时,还必须考到这些服务目标所需要好费电成本。IT服务主要包括服务水平管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理五个服务管理流程。IT服务支持的服务支持流程主要面向终端用户,责任确保IT服务的稳定性与灵活性,用于确保终端用户得到适当的服务,以支持组织的业务功能。服务支持流程包括体现服务接触和沟通的服务台职能和五个运作层次的流程,即配置管理、事故管理、问题管理、变更管理和发布管理等。33、
21、应用程序审计的内容:审查程序控制是否健全有效:程序中输入控制、处理控制、输出控制的审计;审查程序编码的合法性:是否含有为了舞弊目的而设计的非法编码;审查程序编码的正确性:是否编码有错误、目标和任务不明确,系统设计、程序设计错误;审查程序的有效性:是否有无效编码、是否有效率较差的编码34、应用程序审计方法:手工审计方法与计算机辅助审计方法相结合。35、程序编码检查法:逐条审查被审程序,验证程序的合法性、完整性和逻辑的正确性。36、检测数据法:审计人员把一批预先设计好的检测数据,利用被审程序加以处理,并把处理的结果与预期的结果做比较,以确定被审程序的控制与处理功能是否恰当、有效的一种方法。37、平
22、行模拟法是指审计人员自己或请计算机专业人员编写的具有和被审程序相同处理和控制功能的模拟程序,用这种程序处理档期的实际数据,并已处理的结果与被审计程序的处理结果进行比较,已评价被审程序的处理和控制功能是否可靠的一种方法。38、嵌入审计程序法是指被审信息系统的设计和开发阶段,在被审的应用程序中嵌入未执行特定的审计功能而设计的程序段,这些程序段可以用来收集审计人员感兴趣的资料,并且建立一个审计控制文件,用来存储这些资料,审计人员通过这些资料的审核来确定被审程序的处理和控制功能的可靠性。39、程序追踪法是一种对给定的业务,跟踪被审程序处理步骤的审查技术。一般可由追踪软件来完成,也可利用某些高级语言或数
23、据库管理系统中的跟踪指令跟踪被审程序的处理。信息系统审计实验报告据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效地实现组织目标的过程。三种基本类型信息系统的真实性审计、信息系统的安全性审计和信息系统的绩效审计目标真实性、安全性、完整性、可用性、保密性、可靠性、合法性、效果、效益、效率等。实施程序包括接受审计委托、评估审计风险、制定审计计划、收集审计证据、出具审计报告、后续工作。U9电子商务的安全性是电子商务真实性的基础,而电子商务真实性又是信息系统真实性,特别是财务数据真实性的基础。分为交易信息保密,交易者身份确认,交易不可否认,交易记录不可修改。电子商务
24、的真实性在于基金流2电子支付)。真实的电子商务资金流,信息流,物流三者吻合。电子商务对审计的影响突出标志:增加贸易机会,降低贸易成本,简化贸易流程,提高贸易效率。1电子商务交易行为的认定更加困难2电子商务的安全问题不仅涉及企业和消费者的利益更重要的是国家的经济安全3电子商务的无纸化彻底改变了审计证据的获取技术和方法,电子文件必须借助相应的软件才能看见和提取,属于电子证据认定。.总之,由于电子商务的虚拟化、数字化、匿名化、无国界和支付方式电子化等特点,使其交易情况大多数被转换为“数据流”在网络中传送,增加了操作隐蔽性和复杂度,提高了企能力。电子商务的体系架构底层是基础层,中间是技术层,是信息传送
25、的载体和用户接入的手段,顶层是各种各样的电子商务应用系统。电子商务真实性审计内容1、电子商务的真实性,通过被审计企业的电子商务系统的日志文件与从认证中心获取数字时间戳等信息进行核对,同时,提取数字签名以验证交易信息的完整性和是否被修改,2、电子支付的真实性,通过银行核实电子支付的真实性,3、交易目的的合法性,在信息系统审计师签证了这些交易的真实性的基础之上,财务审计师应关注关联企业之间电子商务是否合法合规,是否会影响或扭曲企业的收入、成本、利润等,审核这些交易的合法性。电子商务的特点1信息加密2电子付款3无纸化操作4操作方便。U11COBIT的4个领域1计划与组织2获取与实施3转移与支持4监督
26、与评价。它直接反应企业的计划、实施、检查、更正等基本管理职能。提供了管理的要素、标准和控制目标。模型目标保障有效性,高效性,保密性,完整性,可用性,兼容性,可靠性。COBIT立方:组织内部的IT资源需要由一组自然分类的IT过程来管理。立方的三维是目标IT资源IT过程目标1质量需求2信任需求3安全需求。IT资源包括:1应用系统:指人工和程序化的过程的总和,2信息:指信息系统使用、处理、存储、输出的数字、文字、图像、影像、声音等,4基础设施:指支持和保护信息系统的所有相关基础设施,5人员:指与信息系统设计、开发、使用、管理、维护等相关的人员。IT过程三个层次,最底层是活动,中间层为过程,顶层是领域
27、。U2信息系统审计的一个重要特征过程性。信息系统审计风险模型审计风险=技术风险*控制风险*检查风险技术风险指由于技术缺陷或漏洞等导致信息系统出错或终端的可能性。是一种无法控制的风险。特点技术风险的水平取决于信息技术的发展水平以及企业采用的技术水平,它的产生与信息系统审计师无关,企业可以通过加强内部控制和管理等非技术手段以降低技术风险的水平。技术风险独立存在于审计过程中,又客观存在于审计过程中,且是一种相对独立的风险。这种风险水平的大小需要信息系统审计师的认定。控制风险是指被审计企业未能通过管理与控制及时防止或发现其信息系统出现问题或缺陷的可能性,审计人员只能评估不能改变。特点控制风险水平与被审
28、计企业的控制水平有关,与信息系统审计师地工作无关,有效地内部控制能降低控制风险,无效的则增加。有效地内部控制将降低控制风险,而无效的内部控制有可能增加控制风险。检查风险是指信息系统审计师通过预定的审计流程未能发现被审计企业在信息系统的安全性、真实性、绩效等发面存在的问题或缺陷的可能性,它是可以通过信息系统审计师进行控制和管理的。特点1它能独立于整个审计过程中,不受技术风险和控制风险的影响2与信息系统审计师的工作直接相关,是审计流程有效性和运用审计程序的有效性函数。在实践中信息系统审计师就是通过收集充分的证据来降低检查风险,检查风险和重要性水平共同决定了需要收集证据的数量。审计重要性水平是针对特
29、定被审计单位、特定审计事项而言的,具有相对性和个性差异,需要从审计目标、被审对象及审计报告的使用者等三方比外部的更为严重;基于信息技术的舞弊行为比误操作等更为严重;来自企业高层的信息系统舞弊比中层、基层的舞弊更为严重;软件设计上的舞弊比利用软件漏洞的舞弊更为严重。做好审计计划工作,对于提高审计管理效率和效益,促进审计工作质量和水平的提高具有重大意义。审计计划的划分根据时间要素可分为长期审计计划、中期和短期。根据内容要素可分为审计工作计划和审计项目计划。根据范围要素分为总体审计计划和具体审计计划。信息系统审计报告阶段是信息系统审计工作的最后阶段,信息系统审计报告时信息系统审计工作的最后产品,也是
30、信息系统审计师向委托人报告问题、提出建议的工具。作用鉴定作用保护作用证明作用格式1题头段2正文段3结论段4结尾段。独立性问题决定了信息系统审计的质量。分为形式上的独立性和实质上的独立性审计准则对“独立性”的阐述1职业独立性2组织独立性3审计章程或委托书中应当针对审计职能的独立性和义务做出相应的规定4信息系统审计师应该在审计过程中随时保持态度和形式上的独立性5如出现独立性受损的现象,无论是在实质上还是形式上,应向有关当事人披露独立性收损的细节6信息系统审计师应当在组织上独立于被审计的范围7信息系统审计师、管理层和审计委员会应当定期地对独立性进行评估。8除非被其他职业标准或管理机构所禁止,当信息系
31、统审计师虽然参与信息系统项目,但所担当的并不是审计角色时,并不要求信息系统审计师保持独立性。业务持续计划是企业应对种种不可控义素的一种防御和反映机制。灾难恢复计划是造成业务停顿后,如何以最短时间、最少损失恢复业务的方案。影响业务持续能力的因素有:1应用系统灾难2自然灾难3人为灾难4社会灾难。U4业务持续计划是企业应对种种不可控因素的一种预防和反应机制,而灾难恢复计划则是造成业务已经停顿后,如何以最短时间、最少损失恢复业务的处理预案。前者立足于预防,后者立足于事后的补救。业务持续计划目的为了防止企业正常业务行为的中断而建立起来的计划作用:确保企业的主要业务流程和运营服务,包括支撑业务的信息系统以
32、及设施,能够在事故发生后持续运行保持一定程度的服务,并能尽快的恢复事故前的服务水平。它的制定并不意味着企业不再受任何事故的影响。难恢复计划与业务持续计划的区别灾难恢复计划是基于假定灾难发生后造成业务已经停顿企业将如何去恢复业务,立足于把损失减小到最低程度;业务持续计划基于这样一个基本原则及无论发生任何意外事件组织的关键业务也不能中断,立足于建立预防机制,强调使企业业务能够抵御意外事件的打击,灾难恢复计划是对业务持续计划的必要补充。业务持续计划的实施包括的阶段项目启动、风险评估、业务影响分析、业务持续性策略规划、业务持续性计划编制、人员培训及训练、业务持续性计划测试与演练以及业务持续性计划更新等
33、主要阶段。其中,风险评估、业务影响分析、计划演练、计划更新是关键因素。业务影响分析的目的通过客观的分析,掌握各关键业务可容许中断的最大时间长度,从而制定各关键业务的恢复时间目标、最低的恢复要求、恢复次序以及支持各关键业务恢复所需的各项业务资源。业务影响分析是制定业务持续计划传统步骤中最耗时和最关键的一步,用的是系统化的方法。影响业务持续能力的因素人为因素非人为因素。防火墙比喻隔离在本地网络与外界网络之间的一道防御系统,是一类防范措施的总称。作用防止不希望的、未经授权的通信进出被保护的网络,它真正发挥的还必须有企业内部的安全管理措施的配合。目的1限制他人进入内部网络、过滤掉不安全的服务和非法用户
34、2防止入侵者接近你的防御设施3限定用户访问特殊站点4为监视互联网安全提供方便。分类1包过滤型防火墙2代理服务型防火墙3复合型防火墙。包过滤型防火墙通常安装在路由器上,逻辑简单,价格便宜易于安装和使用,网络性能和透明性好。包过滤技术是在网络层对数据包进行选择检查,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。缺陷:可能被黑客攻击;被窃听或假冒。代理服务型防火墙构成服务器端程序和客户端程序。与包过滤防火墙不同,内、外网间不存在直接的连接,从而起到了隔离防火墙内外计算机系统的作用。代理服务会形成日志,保留攻击痕迹。木马是一类特殊的计算机病毒。基本特征诱骗性、隐蔽性、危害大。计算机病毒是一
35、种人为编制的破坏计算机功能或者毁坏数据、影响计算机使用并能自我复制的一组计算机指令或者程序代码。特点传染性、潜伏性、破坏性。黑客攻击总是利用技术缺陷和软件漏洞等来进行种类拒绝服务攻击、IP欺骗攻击、系统漏洞攻击。业务持续能力审计包括:1业务连续性管理过程中包含的信息安全2业务连续性和风险评估3制定和实施包含信息安全的连续性计划4业务连续性计划框架5测试、维护和评估业务的连续性计划。灾难恢复计划是对于紧急事件的应对过程。关键信息系统的备份与恢复,核心内容是灾备中心的设置、选址、运营管理和切换等。容灾能力评价:ROP即数据丢失量,代表了当灾难发生时信息系统所能容忍的数据丢失。PTO即系统恢复时间,
36、代表了从遭难发生到业务恢复服务功能所需要的最长时间。国际标准定义的容灾系统7层次0级无异地备份1级备份介质异地存放2级备份介质异地存放及备用场地3级电子链接(热备份站点和信息中心在地理上必须远离,备份数据通过网络传输)4级活动状态的被援站点5级实时数据备份6级零数据丢失。这个等级划分的目的是让企业清楚为什么要从业务层面作遭难恢复,不同的业务应采取什么样的手段。灾备中心的模型1热备份型灾备中心2温备份型灾备中心3冷备份型灾备中心。一个实际的灾备解决方案首先考虑企业各种业务对信息系统以来的程度,其次研究可用技术和成本。在同城中建立热接管的互备中心,双机热备份系统采用心跳方式保证主系统与备份系统的联
37、系。再夸城市、远距离之间的中心建立异步的灾难备份中心,以防地域性灾难。在灾难备份方案设计及实施中,是否可以做到极大化的系统操作自动化是一个非常重要的考虑因素。采用灾备解决方案的指标1灾难类型2恢复速度3恢复程度。制定灾备方案应考虑的因素1考虑企业各种业务对信息系统依赖的程度2研究可用技术和成本,根据可投入的资金量,选择设计灾备的方案。灾备中心的选址原则人文环境、基础环境、自然环境。灾备体系建立的6个流程1建立在被专门机构2分析灾备需求3制定灾备方案4实施灾备方案5制定灾难恢复计划6保持灾难恢复计划的持续可用。信息中心安全注意点防盗、防火、防静电、防雷击、防电磁干扰、三度的要求、电力保障。存储架
38、构的安全性是企业业务持续的重要物质基础之一。存储架构安全策略:1直接连接存储系统2网络连接存储系统3存储区域网络。U6访问控制策略DAC自主型访问控制策略一、案例摘要简要说明本案例的基本信息,具体包括:案例名称,所属审计项目名称,审计实施单位和主要审计人员,审计实施的时间;本案例所包括的各具体信息系统审计事项名称及所属审计事项类别;本案例所采用的信息系统审计技术和方法简要描述;审计发现和建议的简要描述。二、被审计单位信息系统基本情况描述被审计单位信息化建设和管理的相关情况;描述与本案例相关的被审计单位主要信息系统的总体情况,分析被审计单位对这些信息系统的业务依赖程度;描述与本案例相关的被审计单
39、位主要信息系统的组织管理、系统运行、业务流程、电子数据等方面情况。三、被审计单位信息系统控制情况描述与本案例相关的被审计单位主要信息系统的控制情况,包括一般控制和应用控制情况。四、信息系统审计总体目标详细说明本信息系统审计项目的总体审计目标。五、审计重点内容及审计事项描述本信息系统审计项目的重点关注内容,按照附件1中关于审计事项的分类,划分本信息系统审计项目所实施的审计事项。针对每一审计事项,详细说明以下方面的内容:具体审计目标。本审计事项的具体审计目标。审计测试过程。1详细说明在审计准备阶段需要调查了解的信息内容,调阅的资料名称,分析的管理或业务流程,编制的审计底稿等;2详细说明在审计实施阶段对关键控制点的分析,选择的测试技术和方法,测试的实施过程以及测试得出的初步结论等;3在以上说明中,要着重介绍审计测试技术、方法以及自动化工具的使用,并要对所涉及的技术、方法、工具的适用性与效果进行分析。审计发现问题和建议。六、对案例的自我分析与评价描述本案例的特点和价值所在;对该案例中各具体审计事项内容和目标的理解;信息系统审计中所使用技术、方法和工具的经验总结。
