本文作者：杜寧寧趙慶亮作者單位：國家開發(fā)銀行

一、信息安全概況

隨著信息技術(shù)的飛速發(fā)展，金融機構(gòu)生產(chǎn)、使用和共享的信息呈現(xiàn)幾何增長的態(tài)勢，信息傳遞的方式和渠道急劇增加，在為金融機構(gòu)帶來收益和效率的同時，也使信息安全問題更加凸顯。在全球范圍內(nèi)，信息安全事件頻發(fā)，給銀行和客戶造成經(jīng)濟損失的同時，也帶來了巨大的聲譽損失。如何有效提升信息安全管理水平，成為銀行關(guān)注的焦點。信息安全審計作為信息安全保障工作中的重要一環(huán)，能夠促進信息安全控制措施的落實，規(guī)范信息安全管理，提高全員信息安全意識，從而有利于保持和持續(xù)改進銀行信息安全能力和水平。

根據(jù)當(dāng)前的信息安全管理體系國家標(biāo)準(zhǔn)GB/T22080-2008（等同采用ISO/IEC27001:2005），信息安全保障工作從整體看應(yīng)包括四個階段：一是規(guī)劃和建設(shè)階段（Plan，簡稱“P階段”）；二是實施和運行階段（Do，簡稱“D階段”）；三是監(jiān)視和評審階段（Check，簡稱“C階段”）；四是保持和改進（Act，簡稱“A階段”）。這四個階段按順序循環(huán)往復(fù)，從而使信息安全得到持續(xù)改進。這種方法也被稱為“PDCA循環(huán)”，如圖1所示。

經(jīng)過近十幾年的努力，金融行業(yè)信息安全保障工作已經(jīng)普遍走過了“P階段”和“D階段”，金融行業(yè)的信息安全需求已基本明確，滿足信息安全需求的基礎(chǔ)設(shè)施也基本具備。經(jīng)過大范圍的規(guī)劃建設(shè)，各金融機構(gòu)已經(jīng)建立了相對完備的信息安全軟硬件環(huán)境，初步形成了信息安全保障體系。盡管如此，作為關(guān)系國計民生的重要基礎(chǔ)產(chǎn)業(yè)，金融行業(yè)對信息安全有著更高的要求，也面臨著更大的信息安全風(fēng)險挑戰(zhàn)。近年來，金融行業(yè)頻繁發(fā)生的信息安全事件表明，金融行業(yè)信息安全保障工作還存在很多缺陷和不足。導(dǎo)致這一局面的因素很多，其中一個重要的原因就是大家普遍重視信息安全的建設(shè)和運行，而忽視了信息安全工作的檢查和改進。從整體上看，金融行業(yè)信息安全保障工作已經(jīng)走過“P階段”和“D階段”，尚未進入“C階段”和“A階段”，還沒有形成完整的基于“PDCA”過程方法的持續(xù)改進機制。接下來金融行業(yè)信息安全工作的重心應(yīng)該轉(zhuǎn)向檢查和改進。信息安全審計是“C階段”的主要手段。它利用傳統(tǒng)財務(wù)審計和審計工作的規(guī)范與嚴(yán)謹(jǐn)，結(jié)合信息和保密技術(shù)的工具與手段，對金融機構(gòu)信息安全工作的成效和不足給出客觀、確定的審計結(jié)論，并根據(jù)審計結(jié)果，對金融機構(gòu)的信息安全保障工作提出改進措施、給出合理化建議。

為了對商業(yè)銀行信息科技整個生命周期內(nèi)的信息安全、業(yè)務(wù)連續(xù)性管理和外包等主要方面提出高標(biāo)準(zhǔn)、高要求，滿足商業(yè)銀行信息科技風(fēng)險管理的需要，銀監(jiān)會2009年了《商業(yè)銀行信息科技風(fēng)險管理指引》，其中第六十五條規(guī)定：“商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險評估結(jié)果，決定信息科技內(nèi)部審計范圍和頻率。但至少應(yīng)每三年進行一次全面審計?！?/p>

摘要：隨著云計算、大數(shù)據(jù)等技術(shù)的高速發(fā)展，各地政府響應(yīng)“放管服”改革和建設(shè)服務(wù)型政府的戰(zhàn)略決策，逐漸深化電子政務(wù)的實踐。本文首先以文獻綜述的方式系統(tǒng)性分析近年來國內(nèi)外關(guān)于信息系統(tǒng)審計的研究進展，其次梳理我國信息系統(tǒng)審計發(fā)展概況，最后提出電子政務(wù)信息系統(tǒng)云安全審計體系。文末分析我國信息系統(tǒng)安全審計亟待解決的問題，并從行業(yè)法規(guī)標(biāo)準(zhǔn)的完善、審計工具軟件的優(yōu)化配置及人才培養(yǎng)儲備等方面提出相關(guān)改進建議。

關(guān)鍵詞：云計算；電子政務(wù)；信息系統(tǒng)審計；安全審計

一、引言

“十二五”規(guī)劃明確要求以云計算為基礎(chǔ)，積極構(gòu)建并完善政府公共服務(wù)平臺，促進政府各機關(guān)組織全方位協(xié)同、信息資源共享以及為信息安全提供保障。“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的概念在2016年政府報告中被提及，自此政務(wù)云、政務(wù)信息系統(tǒng)的建設(shè)步履不停。翟云（2017）認(rèn)為“互聯(lián)網(wǎng)+政務(wù)服務(wù)”能夠推動政府實現(xiàn)治理現(xiàn)代化。從實踐成果方面看，全國各地積極將電子政務(wù)系統(tǒng)投入公共服務(wù)工作中，并建成各省市區(qū)網(wǎng)上政務(wù)信息平臺。成都市致力于統(tǒng)籌公共信息平臺與信息系統(tǒng)，綜合調(diào)度、加強政務(wù)信息系統(tǒng)的交互訪問；2019年甘肅開辟多條信息化稅務(wù)通道“前后呼應(yīng)”為民眾減負(fù)；北京大興區(qū)政府致力于建設(shè)智慧城市、打通政務(wù)服務(wù)“最后一公里”，與百度合作共同打造“指尖上的政務(wù)”；2020年浙江開設(shè)“云上商務(wù)廳”，提供線上“廳長問診”服務(wù)。據(jù)2020年聯(lián)合國出具的對世界各國電子政務(wù)調(diào)查報告顯示，我國2020年電子政務(wù)發(fā)展指數(shù)居全球第45位，排名較之前有了顯著提升。我國電子政務(wù)系統(tǒng)建設(shè)雖初有成效，但仍有進步空間。在信息系統(tǒng)設(shè)計與實施方面，電子政務(wù)信息系統(tǒng)的協(xié)同與完善、政務(wù)數(shù)據(jù)互聯(lián)共享機制有待完善；在數(shù)據(jù)存儲安全方面，信息存儲與訪問安全、公民隱私保護措施仍有待加強。

二、相關(guān)概念與理論基礎(chǔ)

1．電子政務(wù)。電子政務(wù)是依賴信息技術(shù)與通信技術(shù)開展的政府政務(wù)活動。電子政務(wù)建立在一系列信息基礎(chǔ)設(shè)施之上，使用相關(guān)軟件實現(xiàn)政府功能，電子政務(wù)信息系統(tǒng)是一種利用網(wǎng)絡(luò)實現(xiàn)公共服務(wù)，集信息處理、交互、反饋為一體的系統(tǒng)，電子政務(wù)信息系統(tǒng)適用于政府各機關(guān)組織、企業(yè)和公眾。電子政務(wù)信息系統(tǒng)服務(wù)的對象包括該組織的內(nèi)部機構(gòu)，以及其他機構(gòu)、團體、企業(yè)和公眾，處理內(nèi)容包括政府機構(gòu)的內(nèi)部信息，可以在一定范圍內(nèi)交換的信息，并接受各種類型的投訴、建議和要求。簡而言之，電子政務(wù)信息系統(tǒng)是一種政府綜合行政電子管理系統(tǒng)，通過技術(shù)手段將政府傳統(tǒng)行政方式轉(zhuǎn)變?yōu)殡娮庸芾砟Ｊ健?/p>

計算機會計信息系統(tǒng)實現(xiàn)網(wǎng)絡(luò)處理后,由于系統(tǒng)的入口增多,操作人員和信息使用者干預(yù)系統(tǒng)的機會增大,系統(tǒng)面臨的安全隱患也必然增多。尤其隨著Internet/Intranet的應(yīng)用,外部日益擴大的網(wǎng)絡(luò)環(huán)境對會計信息系統(tǒng)本身及其安全又將產(chǎn)生更大的影響,不僅影響傳統(tǒng)的會計業(yè)務(wù)處理及信息的披露方式,而且安全方面會產(chǎn)生更多的不確定因素。除了計算機軟硬件的不安全因素之外,會計信息系統(tǒng)還將面臨人文方面的更大風(fēng)險,例如來自不法之徒的風(fēng)險就有:

1利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或電子帳號,冒充合法用戶作案,篡改磁性介質(zhì)記錄竊取資產(chǎn)。

2利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)的商業(yè)秘密以換取錢財,或利用網(wǎng)絡(luò)傳播計算機病毒以破壞企業(yè)的信息系統(tǒng)。

3建立在計算機網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無紙化”,越來越多的經(jīng)濟業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結(jié)算單及其它帳單,就有可能將公私財產(chǎn)的所有權(quán)進行轉(zhuǎn)移。

計算機網(wǎng)絡(luò)帶來會計系統(tǒng)的開放與數(shù)據(jù)共享,而開放與共享的基礎(chǔ)則是安全。企業(yè)一方面通過網(wǎng)絡(luò)開放自己,向全世界推銷自己的形象和產(chǎn)品,實現(xiàn)電子貿(mào)易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財務(wù)秘密,而其中已實現(xiàn)了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創(chuàng)造一個安全的環(huán)境,抵抗來自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開放的放開共享,該封閉的要讓黑客無奈。

一、網(wǎng)絡(luò)安全審計及基本要素

計算機會計信息系統(tǒng)實現(xiàn)網(wǎng)絡(luò)處理后，由于系統(tǒng)的入口增多，操作人員和信息使用者干預(yù)系統(tǒng)的機會增大，系統(tǒng)面臨的安全隱患也必然增多。尤其隨著Internet/Intranet的應(yīng)用，外部日益擴大的網(wǎng)絡(luò)環(huán)境對會計信息系統(tǒng)本身及其安全又將產(chǎn)生更大的影響，不僅影響傳統(tǒng)的會計業(yè)務(wù)處理及信息的披露方式，而且安全方面會產(chǎn)生更多的不確定因素。除了計算機軟硬件的不安全因素之外，會計信息系統(tǒng)還將面臨人文方面的更大風(fēng)險，例如來自不法之徒的風(fēng)險就有：

1利用網(wǎng)絡(luò)及安全治理的漏洞窺探用戶口令或電子帳號，冒充合法用戶作案，篡改磁性介質(zhì)記錄竊取資產(chǎn)。

2利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)的商業(yè)秘密以換取錢財，或利用網(wǎng)絡(luò)傳播計算機病毒以破壞企業(yè)的信息系統(tǒng)。

3建立在計算機網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無紙化”，越來越多的經(jīng)濟業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結(jié)算單及其它帳單，就有可能將公私財產(chǎn)的所有權(quán)進行轉(zhuǎn)移。

計算機網(wǎng)絡(luò)帶來會計系統(tǒng)的開放與數(shù)據(jù)共享，而開放與共享的基礎(chǔ)則是安全。企業(yè)一方面通過網(wǎng)絡(luò)開放自己，向全世界推銷自己的形象和產(chǎn)品，實現(xiàn)電子貿(mào)易、電子信息交換，但也需要守住自己的商業(yè)秘密、治理秘密和財務(wù)秘密，而其中已實現(xiàn)了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創(chuàng)造一個安全的環(huán)境，抵抗來自系統(tǒng)內(nèi)外的各種干擾和威協(xié)，做到該開放的放開共享，該封閉的要讓黑客無奈。

一、網(wǎng)絡(luò)安全審計及基本要素

摘要：結(jié)合主機安全狀態(tài)監(jiān)控與主機違規(guī)行為審計的需求，實現(xiàn)了一個主機安全審計系統(tǒng)。本文從系統(tǒng)架構(gòu)和功能角度提出了系統(tǒng)設(shè)計和實現(xiàn)方案，系統(tǒng)實現(xiàn)了文件監(jiān)控、上網(wǎng)記錄、非法外聯(lián)、打印、光盤刻錄、U盤使用等主機審計功能。

關(guān)鍵詞：主機安全；安全審計；信息安全

0引言

安全問題是各類信息系統(tǒng)共同面臨的威脅。主機是信息系統(tǒng)的基本組成部分，是獲取、存儲和傳遞信息的載體。主機安全是信息系統(tǒng)安全的基石。很大比例的安全事件是由內(nèi)部人員對主機的違規(guī)使用引起的，例如，使用主機非法外聯(lián)，非法主機違規(guī)進入內(nèi)部網(wǎng)絡(luò)、存儲或處理過辦公網(wǎng)信息的移動載體并連接到互聯(lián)網(wǎng)等。為了有效防止違規(guī)操作的發(fā)生，加強對主機終端的安全管理并對主機行為進行審計取證勢在必行。通過主機審計系統(tǒng)能夠?qū)χ鳈C的各類行為進行有效管控，保障主機安全穩(wěn)定運行，構(gòu)建一個安全的內(nèi)網(wǎng)環(huán)境，提升信息系統(tǒng)的安全性能。

1主機安全審計技術(shù)原理

主機安全審計技術(shù)是一門傳統(tǒng)審計與信息安全相結(jié)合的技術(shù)。主機安全審計對與安全活動相關(guān)的信息進行記錄和存儲，在此基礎(chǔ)上根據(jù)一定的安全策略，對歷史操作數(shù)據(jù)進行分析，為事后追蹤和處理奠定基礎(chǔ)。主機安全審計應(yīng)用于主機的使用與管理，包含很多具體功能，如針對主機非法外聯(lián)的報警和控制，針對文件的拷貝、刪除等訪問的監(jiān)控，針對打印、上網(wǎng)、光盤刻錄等行為的監(jiān)控，并將這些行為通過日志記錄下來，以便事后審計。安全審計保證了用戶違反規(guī)則、越權(quán)的操作的不可抵賴性，對潛在的內(nèi)部違規(guī)或攻擊行為起到震懾作用，安全人員可以通過分析積累的日志數(shù)據(jù)發(fā)現(xiàn)攻擊行為，為已經(jīng)發(fā)生的違規(guī)或攻擊行為提供追查憑證。