APP下载

信息系统安全性审计应重点关注的几点实务探讨

2013-04-29李勤

审计与理财 2013年7期
关键词:信息系统信息安全

李勤

近年来,信息系统审计引起了各级审计机关的广泛关注。《审计署“十二五”审计工作发展规划》中,提出“积极开展信息系统审计,总结计算机审计方法体系和操作制度”。刘家义审计长在2012年7月全国审计工作座谈会《加快审计信息化建设步伐,全面提升审计能力和技术水平》主题报告中提出,既要审计数据,又要审计信息系统,以安全性、可靠性和经济性为重点,进一步深化信息系统审计。从审计实践来看,国家审计、内部审计和注册会计师审计在信息系统审计中都积累了一定经验,2012年2月,审计署还印发了信息系统审计指南。但也应清楚地看到,信息系统审计引入我国时间尚短,很多理论方法体系尚未形成。笔者从国家审计实务角度,浅谈深化信息系统安全性审计需重点关注一些内容。

一、信息系统安全性审计基本概述

20世纪60年代,由于计算机被应用于财务会计领域,从而产生了电子数据处理审计(EDP Auditing)。信息系统审计是在电子数据处理审计基础上逐渐发展起来的。目前,信息系统审计的定义还在争论当中,罗恩·韦伯(Ron Weber)在《信息系统控制与审计》一书中对信息系统审计概念做出了如下描述:“信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效实现、使组织的资源得到高效使用等方面做出判断的过程。”这一概念包括了信息系统审计的目标、内容、过程、方法和结果,是对信息系统审计比较全面的概括。审计署印发的《信息系统审计指南》(以下简称《指南》)则定义为“国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动”。

信息系统审计从具体内容讲,包括信息系统的可信性目标审计、系统效益性目标审计和安全性目标审计。笔者认为,信息系统的不真实、不可信也是系统存在安全风险的体现,所以信息系统可信性目标审计和安全性目标审计可归为维护信息系统安全而进行的信息系统审计,本文主要对该部分审计内容展开探讨。

胡锦涛同志说过:信息安全是个大问题,必须把信息安全问题放到至关重要的位置上,认真加以考虑和解决。信息已成为社会发展的重要战略资源,信息的获取、处理和信息保障能力成为综合国力的重要组成部分,信息安全事关国家安全,事关社会稳定。目前,我国的信息系统安全不容乐观。全社会的信息安全意识不强,高端和基础信息技术受控于国外,感染计算机病毒的比例逐年上升,网络和信息系统的防护水平不高,信息安全管理和技术人才缺乏且流动性大,信息安全管理薄弱,数据不准确、不完整等情况突出。审计工作要发挥维护经济社会健康发展的“免疫系统”功能,推动国家治理的完善,就应高度关注信息系统安全性问题,从数据、信息系统和系统内控等角度,揭示影响信息系统存在的安全隐患。

二、信息系统存在安全风险的主要体现

(一)信息系统的控制风险。

COSO(全国虚假财务报告委员会下属的发起人委员会,“The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting”的缩写)内部控制框架中提出信息系统控制分为一般控制和应用控制。一般控制,指信息系统总体控制,信息安全技术控制,信息安全管理控制;应用控制,指信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同。简单理解,信息系统控制包括对信息系统的控制和信息系统对业务的控制。《指南》中所称的项目管理审计,不属于信息系统安全性审计范畴,本文不做探讨。目前,通过了解、描述和测试三个审计阶段,采取资料审查、系统检查、数据测试、数据验证等审计方法,信息系统控制主要揭示的有以下方面风险:

一是物理环境控制风险。这类风险主要体现为未经授权的人或设备直接接触到信息系统相关硬件设备,属于传统的安全领域。包括信息系统的相关硬件设备、设备所在机房等硬件环境是否为符合规范标准的物理场所,是否做到容灾异地数据备份,是否在机房等所有必要区域内安装监控和防盗设施,以及其它硬件相关要求。如对某大型国企信息所机房及办公场所实地查看审计发现,该企业机房环境不符合国有企业计算机设备安全管理相关制度,机房入口安装了防盗门,但未配备门禁系统,内部也未按机房相关规范标准设置有效的物理隔离装置。

二是软件环境控制风险。这类风险主要存在于软件层面访问控制、权限控制、操作控制等。体现在信息系统程序的无权限运行,数据输入、输出的不准确、不完整,未经允许或授权的访问、泄漏、修改、删除数据,系统完整性受到的破坏。如某大学使用的财务软件权限设置,会计科科长、网络管理员、数据库管理员、系统管理员、记账员等岗位由同一人担任。同时,系统管理员在实施数据库数据修改、会计人员岗位分工、权限设置等具体操作时,缺乏必要的审批和监督程序。权限高度集中,监控制约不力,财务信息系统存在安全隐患。此外,当业务流程涉及多个信息系统时,还体现为信息系统数据流不衔接、各系统整合不科学、不完善,业务数据在不同信息系统之间传递没能做到真实、完整和准确等。如某省财政厅自行开发的预算编审系统、指标管理系统、国库集中支付系统等财政核心业务系统都是单独运行,各业务系统未实现有效整合,未能实现“形成以预算编制为源头,以收支管理为过程、以预算及执行分析为回路接点的财政业务管理流程通畅、操作规范的信息化处理闭环”的“金财工程”系统设计要求。

三是制度控制风险。这类风险主要存在于制度层面,体现在保证信息系统软件、硬件良好运行相关制度规范不健全。如某大型国企未制定信息安全教育及技能培训和考核管理办法;某省财政厅委托软件公司开发的信息系统“数据字典”不完整,并且软件开发公司技术人员大量流失,未建立信息系统软件开发文档等基础资料,信息系统中部分功能已经无法进行升级、维护。这些都是制度层面不完善给信息系统带来的安全隐患。

(二)系统设计完整性风险。

这种风险主要体现在信息系统功能设计缺陷,信息系统不能保证真实、完整、准确地反映业务情况。如对某市新型农村合作医疗(以下简称“新农合”)信息系统的软件设计审计发现,虽然该信息系统软件基本具备国家规范要求的八个基本功能模块,但参合管理模块对不规范、错误、重复录入参合人员信息的情况缺乏差错、重复数据提醒功能,导致系统内大量不准确、不真实参合人员数据存在,影响各级财政以此数据拨付至县级新农合的补贴款的准确性。

(三)系统外包服务安全风险。

这种风险主要体现在信息系统开发维护等相关服务外包过程中,由于相应的控制机制不健全,导致信息系统数据存在安全风险。如对某市新农合信息系统审计,发现该市新农合应用软件主要由某软件工程有限公司以软件免费、服务有偿的方式提供。延伸该软件公司发现,该公司人员在系统维护中可不受权限限制,远程登录并操作由其提供技术服务的新农合信息系统服务器,系统数据存在未经授权就被修改或删除风险。

(四)网络和信息传输风险。

这种风险主要体现在传输信息数据的介质环境不符合相应规范标准,数据传输中存在出错、被窃取、被篡改等隐患。如对某市新农合信息系统审计发现,管理单位从运营费用角度考虑,降低数据传输介质安全要求,选择网络运营商提供的普通线路,而不是价格较高的专线。普通线路是新农合数据与互联网信息数据共同的传输介质,在虚拟专用网络(VPN)、数字证书认证、电子签名、电子印章等信息安全措施方面几乎没有投入,安全性差,在此环境下传输的新农合数据,在传输过程中存在较大安全隐患。

三、信息系统安全性审计存在的突出问题及应对策略

一是审计内容凌乱。目前所出具的信息系统审计报告内容有的以保证系统数据输入、输出的准确性为主,有些以信息系统物理环境控制的审计内容为主,有些以信息系统设计完整性的相关内容为主,有些则涉及了信息系统数据文档健全、系统开发公司的技术力量、系统维护稳定性等多方面内容,等等,总之,如何保证信息系统安全,关注什么,重点揭示什么,建议什么,报告规范的写法怎么还没规范。

出现上述情况,这与我国信息系统审计的发展阶段有关。信息系统审计还处于探索发展的阶段,相应的信息系统审计法律依据还不充分,审计署出台的《指南》内容庞杂,针对性不强,还没有真正起到指导审计人员实务工作的效果。此外,信息系统审计人才队伍还不能完全满足审计需要,审计规范性要求还未成型,等等。

这就要求我们在信息系统数据安全审计的探索中,以一种科学的态度,不断总结经验,不断积累,按照计划、实施、报告三个阶段实施信息系统审计,逐步形成信息系统数据安全审计操作规范。按照《指南》总的流程规范,有针对性地对不同的信息系统的特点,如按行政事业单位、企业等分类,明确不同系统必要的审计内容和常规的审计流程是什么,以什么标准进行。逐步将成熟、有效的信息系统审计方法,固化到现场审计实施系统当中或开发成标准的审计模块,来规范信息系统审计。

二是审计数据分割。基于被审计单位信息系统数据安全考虑,审计人员一般不会在被审计单位原始信息系统中直接进行审计分析,而是将被审计单位信息系统部分数据提取后,导入SQL等其它数据库分析软件进行审计。有目的地提取数据库并进行分析,可以提高工作效率,但脱离了被审计单位的网络环境和系统平台,部分数据则无法实现模拟流转,一些在数据流转中才能发现的舞弊行为则较难发现。如基于ERP(Enterprise Resource Planning企业资源计划)管理理念所开发出的大型企业管理软件,是按照有关规定、财务准则开发的,具有严谨的流程,购、产、销、存相关程度很高。一些企业为了做假,会在ERP软件中录入虚假数据,导致账实不符。企业为了让虚假数据通过软件验证功能,会人为打断ERP软件一些业务流程设计。如果审计人员对个别数据库进行分析,舞弊行为一般较难发现。但如果在模拟业务平台中按流程测试,执行到某一环节,软件某一模块缺乏或参数设置异常,则应作为审计重点。

这就要求面对较为复杂的信息系统,审计人员应当尽可能恢复被审计的信息系统环境,通过符合性测试和实质性测试审计方法,顺着数据流检验信息系统的完整性,查找可能存在的舞弊行为。

三是对信息系统前瞻评价困难。审计实务中常常遇到某部门或单位投巨资开发的信息系统因不能满足业务需要或者不符行业设计规范而停止使用,新旧信息系统间数据进行大量迁移,甚至原信息系统数据则无法再进行查询、利用,这对信息数据安全也产生很大影响。而与之相对照,审计人员对信息系统功能和数据关注较多,对该信息系统发展前瞻性评价较少。

这就要求审计人员在充分熟悉被审计单位信息系统的基础上,结合被审计单位业务特点、行业的信息系统开发设计规范要求,对被审计单位信息系统建设提出战略性的发展建议。

四是整改困难。信息系统审计中发现的一些安全隐患,有些是可以让被审计单位加强管理或以技术手段弥补漏洞的,但有些问题可能会影响到整个信息系统的架构,整改成本高,被审计单位接受难度大。加上审计目前还没有对信息系统定性的规范,也没有强制手段让其对信息系统进行完善,这就使整改难度大。这就要求审计人员更加深入了解被审计的信息系统,提出针对性强、科学的整改建议,推动被审计单位以最小的成本进行审计整改。

维护信息系统数据安全是一个系统工程,对保障国有资产安全、金融安全、民生安全等诸多方面都具有重要意义。信息系统数据安全审计工作已经取得了不少成绩,但仍处于探索阶段。审计人员需要解放思想,从法律、教育、管理、技术等多种角度思考深化信息系统数据安全审计工作,并培养一批既掌握现代审计理论与实务又了解计算机技术,并且通晓被审计单位业务的复合型专业人才,提高确保审计质量,降低审计风险。

(作者单位:江西省审计厅)

猜你喜欢

信息系统信息安全
企业信息系统安全防护
《信息安全与通信保密》征稿函
信息安全专业人才培养探索与实践
基于区块链的通航维护信息系统研究
保护信息安全要滴水不漏
信息系统审计中计算机审计的应用
高校信息安全防护
企业综合节能信息系统SciMES
高速公路信息系统维护知识库的建立和应用
基于SG-I6000的信息系统运检自动化诊断实践