刘国城 王会金

(南京审计学院，江苏南京 210029)

日志视角下信息系统安全审计的模型构建及风险控制

刘国城 王会金

(南京审计学院，江苏南京 210029)

信息系统日志是对系统进行实时监控和对网络中的事件进行分析的重要信息来源。信息系统的审计主体，要加强对基于日志分析的审计证据获取方法的运用和创新，并有效实现以日志审计为主导的信息系统安全审计。基于日志视角下系统安全审计的功能需求，本文提出了信息系统安全审计模型，并借鉴COBIT理论，提出以日志为导向的信息系统安全审计风险控制构想:合理规划日志的识别与挖掘，加强有关信息系统安全的全过程审计;有效实施日志的挖掘与评价，科学确认有关信息系统安全的重大错报风险;强化审计网络平台的功能，努力提高信息系统审计人员的业务素质。

日志;信息系统;安全审计;COBIT

信息系统安全，是指确保以电磁信号为主要形式的、在计算机网络系统进行自动通信、处理和利用的信息内容，在各个物理位置、逻辑区域、存储和传媒介质中，处于动态或静态过程中的保密性、完整性和可用性，与人、网络、环境有关的技术安全、结构安全和管理安全的总和。①孙强:《信息系统审计》，机械工业出版社2003年版。信息系统安全审计是信息系统审计的一个分支，是专门针对信息系统安全实施的审计。日志是信息系统所指定对象的某些操作和其操作结果按时间有序的集合，②梁晓雪、王锋:《基于聚类的日志分析技术综述与展望》，《云南大学学报》2009年第1期。是对系统进行实时监控和对网络中的事件进行分析的重要信息来源。在一个完整的信息系统里，日志可以记录系统构建与运营的所有行为，并按照某种规范表达出来。本文认为，日志是审计主体获取信息系统安全审计证据的最直接、最有价值的信息资料。信息系统的审计主体，要加强对基于日志分析的审计证据获取方法的运用。此外，本文主要是针对“信息系统的内部审计”进行研究的，这是因为被审系统的外部审计多为“事后审计”，而内部审计可以实现“实时审计”，二者有所差异。

一、日志视角下信息系统安全审计的功能需求

Windows NT/XP/2003有符合C2安全等级的SCE机制，其日志文件有应用程序日志 AppEvent．evt、安全日志 SecEvent．evt、系统日志 SysEvent．evt，根据系统开通的服务还会产生相应的日志文件，如FTP日志等。Windows下应用程序日志主要包括有关用户程序和商业通用应用程序运行方面的错误活动，如数据库中文件错误的记录;安全日志主要是应急响应调查阶段最有价值的日志，如系统启动和关闭等事件，以及与创建、打开或删除文件等资源使用相关联的事件;系统日志是记录系统进程和设备驱动程序有关活动的文件，如服务异常暂停。Windows系统外，Linux系统、Unix系统、以及上述操作系统外的其他方面也都会产生各自的日志，如安全设备日志、网络设备日志、应用系统日志，等等。以日志为视角的信息系统安全审计的功能需求主要表现为:(1)建设审计网络平台。审计主体通过建立审计网络平台，将其融于被审单位的信息系统中去，并将其同运营的信息系统保持“实时”联络或“日常”联络;(2)实现对日志的集中管理。通过网络平台，审计主体能够实现对应用程序日志、安全日志等多类日志的分类与集中管理，包括对日志的存储、备份、更新与删除;(3)实现对日志的识别与转换。通过网络平台，审计主体能够辨别哪些属于服务系统日志，哪些属于入侵检测系统日志等。同时，审计主体还需将各种日志整理、归类，并在此基础上，将所收集的不同格式的各种日志数据尽可能转化为统一格式的数据信息;(4)实现对日志的筛选与挖掘。运用数学领域的数据筛选方法与数据挖掘方法从海量日志数据信息中，甄选出敏感的、异常的、可疑的日志数据;(5)实现对日志的分析、评价与报告。审计主体能够实现对异常、敏感数据的分析、及时发现系统安全存在的问题，并编制审计工作底稿，及时积累审计证据;(6)实现审计网络平台的独立性。审计主体能够保证审计平台尽管与信息系统联结为一体，但其运行机制必须独立于审计客体;(7)保证审计网络平台的自身安全。审计主体确保平台安全，对加工后的日志数据及时存储与加密，避免相关审计资料被截获、篡改和伪造，平台与系统之间的通讯也尽量采用加密传输的方式。

二、日志视角下信息系统安全审计的模型构架

以日志为内容的信息系统安全审计是一项系统工程，这是因为原始的日志数据具有不易读懂、数据量大、不易获取、容易被修改等特性，且审计过程中还会涉及到特征值的设计、挖掘算法的选用，①易仁萍、陈耿:《数据挖掘技术及其在审计风险管理的应用》，《审计与经济研究》2003年第1期。诸多因素都为信息系统安全审计增加了难度。基于日志视角下系统安全审计的功能需求，本文提出了信息系统安全审计模型(图1)，并从两方面进行阐述:

(一)审计网络平台

审计网络平台是由A－I共计9个模块组合而成。A．代理模块:全面收集日志库中的各种原始日志数据，包括路由设备日志、防火墙系统日志等;B．接口模块:与代理模块形成对接关系，“实时”或“定时”接收A模块发送的加密日志信息;C．集中管理模块:对B所接收的数据进行归类，存储，备份，更新或删除。其分布于整个网络平台，备份，更新等行为贯穿于整个审计过程;D．日志安全模块:保证审计网络平台的安全，确保该平台下所有的日志数据不被丢失与毁坏，其也分布于整个网络平台;E．日志识别模块:区分各种代码、数据、程序，将非真正的日志信息从冗杂的日志群中剔除。E模块功能的发挥可以降低日志转换与挖掘过程的审计成本;F．日志转换模块:将不同格式的日志数据尽可能地转化为统一格式。入侵检测系统日志、网络交换日志等有的属于系统日志，有的属于程序日志，因来源不同，数据格式不尽一致，F模块是将不同类别下不同日志的不同数据格式尽可能地转化为统一格式，以便为数据挖掘提供服务;G．日志挖掘模块:对日志数据进行挖掘，筛选出敏感、可疑数据。G模块多采用分类、聚类等方法，科学选择特征值;H．日志评价模块:对G的敏感数据进行验证，筛选出存在问题的信息，进行分析、评价、确认与评估，建立日志评价信息库;I．日志报告模块:对H模块的日志评价信息库进行整理、归纳、总结。

(二)安全审计过程

信息系统安全审计依托于审计网络平台，其包含3个过程(见图1):

过程Ⅰ，内部控制评价过程。内部控制的检查与评价是实施信息系统安全审计的基础。内部控制评价体系包括:(1)内部控制制度的设计是否健全与科学;(2)内部控制制度是否有效执行。在对信息系统安全进行内部控制评价前，审计主体需要事先确立评价标准。审计主体对内部控制的评价主要是依托于审计网络平台中的G、H两个模块完成的，且对内部控制设计的健全性与科学性，以及内部控制执行的有效性是有机结合执行的。为对内部控制进行评价，在G模块实施数据挖掘的过程中，审计主体应该根据具体的控制标准选取正确的特征字段，基于具体方法进行日志挖掘后，得出与具体评价标准相差别的异常日志。日志挖掘后，异常日志是审计主体研究的对象，此时审计主体需要运用H模块，确定有关系统安全的内部控制薄弱的诸多环节。如企业管理标准中规定“系统用户的登录密码不少于12位”，但是通过G模块筛选出某wtmp日志，该日志显示某系统用户的成功登录密码为9位，则审计主体可以通过H模块分析出，“系统用户的登录密码不少于12位”这一内部控制标准在系统操作中没有得到有效执行。

过程Ⅱ，运营活动评价过程。审计主体通过执行过程Ⅰ，可以确定下一步的审计工作范围与审计重点，并在此基础上，执行过程Ⅱ。审计主体需要再次通过审计网络平台的G与H模块，评价信息系统运营的可用性、保密性与完整性，这三个特性均是信息系统的安全属性。过程Ⅱ需要对有关系统安全的内部控制薄弱的方方面面都要进行可用性、保密性以及完整性方面的审计，这些审计过程也需要选取挖掘算法、进行异常日志评价。例如，过程Ⅰ发现关于“系统用户登录”内部控制薄弱，则过程Ⅱ需进一步确认此“登录问题”出现在哪一种逻辑访问路径下，假定出现在“在线终端设备”，则审计人员应由“点”及“面”，通过选取科学的挖掘算法，设定有效的特征值，检查“是否人为且故意篡改计算机程序”，或“是否被授权的计算机操作人员在工作上存在问题”，或“是否系统存在特洛伊木马或恶性病毒”等系列相关问题。

过程Ⅲ，审计证据总结过程。过程Ⅲ的实现主要依托审计网络平台的I模块。完成H模块的功能后，审计主体会得出诸多结论。然而，这些结论是孤立的、零散的，单薄的、粗糙的，因而这些原始结论还不能称为证据。鉴于此，审计主体需要发挥I模块的功能，对原始结论进行整理、分类、归纳，补充有关外部文件或相关标准，并借此编制审计工作底稿，形成系列性审计证据。

三、日志视角下信息系统安全审计的风险分析

信息系统安全审计风险是指审计主体在信息系统安全审计的过程中，由于受到信息系统某些不确定因素的影响，使审计结论与客观事实发生背离，从而受有关关系人指控并遭受某种损失的可能性。

(一)传统审计风险模型下信息系统安全审计的风险

传统审计风险模型下，审计风险(AR)包括固有风险(IR)、控制风险(CR)与检查风险(DR)，且AR=IR*CR*DR。信息系统安全审计风险来自于IR、CR、DR三个方面。其中，固定风险IR有来自内部的，如软件系统风险，信息机密性风险，网络基础设施风险等，也有来自外部的，如人员风险、组织风险、环境风险以及第三方合作风险。①王会金、刘国城:《COBIT及在中观经济主体信息系统审计的应用》，《审计研究》2009年第1期。审计人员评价固有风险时，既要考虑信息系统内部运行机理，还要考虑系统外部的社会环境变化等外部因素;控制风险CR产生于内部控制环节，发生在审计行为实施之前，因而控制风险对审计主体来说，是可以评价但不可以控制。从控制环境的角度看，CR也分为内部控制风险与外部控制风险。内部控制风险来源于两方面，其一是内部控制制度设计的风险，例如被审单位规定“安全管理员的登陆账号与密码，除系统程序员、分析员共同享用外，不得转借给其他人员使用”，这个内部控制规定是不科学的，安全管理员的登陆账号与密码，只能自身使用，若其他人员有随意进入系统主控台，随意操作数据的可能性，则必将产生控制风险;其二是内部控制制度执行的风险，假定被审单位规定“安全管理员的登陆账号与密码，不得转借给其他人员使用”，但通过日志分析发现，计算机操作员经常使用该账号与密码，则也必将产生控制风险。外部控制风险主要表现在外部社会环境变化所导致的内部控制不稳定;有关信息系统安全的检查风险DR是必然存在的风险，其水平的高低与审计程序的有效性相关，日志视角下，网络审计平台构架的越科学，审计模型设计越完善，审计主体检查风险DR则越低。

(二)现代审计风险模型下信息系统安全审计的风险

2004年12月，IAASB发布了新审计风险准则。传统审计风险模型修改后，现代审计风险(AR)包括重大错报风险(RMM)与检查风险(DR)两个方面，且AR=RMM*DR。新模型中用RMM替换了传统模型的IR*CR。表面上看，RMM与IR、CR之间没有任何联系，但从微观层面看，RMM仍由IR与CR构成。与传统模型相比，新模型在IR、CR的基础上，拓展了风险评估的范围，其要求在考虑IR与CR同时，还要求考虑审计客体所处的经营风险、商业风险、行业风险、舞弊风险等等，使得审计风险评估的范围更为宏观。现代风险模型的拓展提醒审计主体在审计网络平台实施日志挖掘时，特征向量的设置需要综合考虑信息系统的运营，信息系统的行业等多种情形，例如，行业的网络窃听器(Sniffer)，其某些字段也应作为G模块的特征字段进行挖掘。与此同时，现代风险模型也提醒审计主体在发挥日志评价功能时也应综合考虑审计客体的行业规范、行业特征等多种因素，如当前世界上计算机病毒的最新控制方法等，并将其同日志上所表现出的病毒控制方法相比对，以求多角度认定重大错报风险。

四、以日志为导向的信息系统安全审计的风险控制构想

COBIT是美国信息系统审计与控制协会(ISACA)在1996年颁布的，目前国际上公认的安全与信息技术管理和控制的规范体系。COBIT框架将IT资源划分为人、应用系统、技术、设备、数据5类，按照生命周期将IT过程划分为规划和组织、获取和实施、支付和支持、监控四个域。本文认为，COBIT框架下的控制体系能够为审计主体提供信息系统安全审计风险控制的参照标准与审计指南。这是因为COBIT的层级控制体系为审计主体阐述了哪些IT标准是重要的，每个信息技术处理过程具体涉及哪些IT资源，IT实施控制过程中需要重点关注哪些对象，系统在各个层面上是否达到了控制标准，等等。COBIT的318项具体控制目标能够为审计主体明确审计风险的控制重点与控制思路。鉴于COBIT框架对以日志为视角的信息系统安全审计风险控制的贡献，笔者就其风险控制问题提出如下建议:

(一)合理规划日志的识别与挖掘，加强有关信息系统安全的全过程审计

目前，我国有关于信息系统审计的规范与标准尚缺，尽管有，但却过于宏观，尤其是缺少详细的信息系统审计的流程与指导。又因为信息系统安全审计对审计人员的专业素质要求较高，加之审计人员知识与经验的有限性，因而，近年来审计人员对信息系统的审计还是在经验积累阶段，在信息系统安全审计的过程中，还不能做到面面俱到。如果审计主体在某些审计环节上有所疏忽或遗漏，则审计风险必然会加大。完备的信息系统安全控制框架能够为以日志为视角的信息系统安全审计提供详细而全面的审计指南，且审计主体为控制审计风险，也必须加强有关信息系统安全的全过程审计。信息系统安全控制框架应借鉴COBIT的34个高层目标，318个明细控制目标。每个具体高层目标下都会有与自身相对应的日志，而且日志形式还不止一种。如“获取与实施”域下的“程序开发与维护”过程，其所对应的日志有“应用程序日志”、“网络设备日志”、“安全设备日志”、“DNS服务日志”等。控制框架中的7个IT标准、5个IT资源，某一“域”下的某个“IT过程”中的某种“日志”，都需要设置相应的一个或多个“匹配字段”，在审计网络平台中有选择性的进行日志数据挖掘与评价。“有选择性”是指对于控制框架中的“P”与“C”，要求审计主体认真全面地执行该项“IT标准”或该项“IT资源”下的日志评价，对于控制框架中的“空白”，审计主体可以不予考虑，对于控制框架表1中的“S”，当需要补充审计证据时，要求审计主体予以考虑。为全面实施审计，审计主体有必要在事前制定审计实施方案时融合控制框架的思想，并且在发挥审计网络平台各个模块功能时也要将COBIT的318个控制目标有针对性地与该平台相融合，并注意在日志识别中切勿疏忽，在日志挖掘中切勿疏漏，多方位的完成信息系统安全审计过程，多角度积累系统安全审计风险控制的经验。

(二)有效实施日志的挖掘与评价，科学确认有关信息系统安全的重大错报风险

现代审计风险(AR)为重大错报风险(RMM)与检查风险(DR)的乘积，而RMM又由内部固有风险、内部控制风险以及外部经营风险组成。因而，若想控制信息系统安全审计风险，审计主体必须能够正确评价固有风险与控制风险，只有正确评价IR与CR，审计主体才能采取有效途径控制检查风险。本文认为，审计主体在评价IR与CR的过程中，需要借助于COBIT理论的支持。首先，在IR评价方面。COBIT框架下的管理指南由成熟度模型、关键成功因素、关键目标指标与关键绩效指标四部分组成。其中，成熟度模型的设计目标是帮助判断每个控制阶段和期望的水平是否符合业界规范，借鉴成熟度模型，审计主体可以确定审计客体在安全性方面的开发与运行是否与行业等标准相符合;关键成功因素是用来描述IT程序中实现控制最重要的活动，借鉴关键成功因素，审计主体可以判断信息技术处理过程中哪些为核心技术要素、复杂程度较高，进而在日志挖掘等处理上加以重视;关键目标指标是用来定义绩效目标水平的，借鉴关键目标指标，审计主体可以通过关键目标指标的基本原理判断某一技术处理结果与处理目标的差距;关键绩效指标是用来测量IT控制的程序是否达到目标，借鉴关键绩效指标，审计主体可以知晓业务处理过程执行到怎样的程度才能实现经营目标。COBIT下的管理指南为审计主体正确评价固有风险提供了正确的方向，通过审计客体的行业标准、核心技术要素、处理目标、业务处理程度等层面增强了审计主体固有风险评价的深度与广度。其次，在CR评价方面。COBIT已经形成了一个完善的信息系统控制体系，也会为审计主体提供了一个完整的有关评价信息系统安全的内部控制的样板。在判断内部控制制度“软件”的设计水平方面，有了318个控制子目标，审计主体也就有了相应的参照标准，有了参照标准，对“软件”设计水平的判断才会准确。在判断内部控制制度执行的有效性方面，通过日志数据在对某些IT过程的符合性测试过程中，控制框架中的“P”、“S”、“C”等符号的内涵与应用也为审计主体提供了评价内部控制的思路。信息系统安全审计的过程与其风险控制的过程是同步进行的，并都是在审计网络平台实现的，且在审计网络平台中，与其他模块相比，日志挖掘与日志评价这两个模块对于能否正确评价重大错报风险极为重要，前者是评价的基础，后者是评价的保证。

(三)强化审计网络平台的功能，努力提高信息系统审计人员的业务素质

与财务审计相比，信息系统安全审计涉列了多门学科领域的知识，如信息科学学科、审计学学科、数学学科(数据挖掘)等，多学科知识的交叉应用对信息系统审计人员提出了更高的要求，审计人员专业素质越高，审计质量越高，进而审计风险越小。信息系统安全审计人员不仅应该是审计方面的专才，而且应该在浏览到“Sep 5 23:41:13 UNIX login［1275］:FAILED LOGIN 2 FROM(null)FOR tester”这一日志记录时就能判断其是否有嫌疑，或能够正确选择特征字段熟练挖掘到类似“嫌疑”日志的复合型通才。而且，图1中审计网络平台的9个模块显示，基于日志的系统安全性审计是一项复杂工程，从日志识别模块开始，到日志评价模块结束，以及控制框架中IT资源下的人员所面对的34个管理过程，无一不要求审计人员的专业素质。审计人员的素质水平对审计风险水平的影响符合多米诺骨牌原理，即前一块骨牌倒下，导致后面的也相继倒下。假若审计人员业务素质相对较弱，下一步将会在审计过程中出现疏忽或过失，甚至会在无意中做出错误的审计判断，以及发表错误的审计结论，直至最后受相关关系人指控而遭受损失。因而，信息系统审计人员有必要强化日志审计网络平台中各个模块的功能，并以此为自身业务成长的平台，主动拓展有关COBIT、数据挖掘等理论，多角度探索信息系统安全审计的方法，积极提高自身的业务素质，努力提高审计质量，科学控制信息系统安全审计的风险。

F239．1

A

1003－4145［2012］09－0147－04

2012－04－23

刘国城，男，南京审计学院讲师，博士。

王会金，男，南京审计学院副院长、教授、博导。

本文为教育部人文社科研究规划项目(批准号:10YJA790182)，江苏省教育厅高校哲学社会科学研究基金(批准号:2012SJB630044)，南京审计学院校级一般项目(批准号:NSK2009/B22)的阶段性成果。

(责任编辑:栾晓平E－mail:luanxiaoping@163．com)