网站原创摘 要 :信息系统审计在我国尽管起步较晚,但其重要性日渐明显.刘家义审计长明确指出,信息系统审计要抓住三个关键点,即安全性、有效性(可靠性)和经济性.因此信息系统审计的内容也成为审计人员关注的问题,本文将通过分析信息系统审计的概念及目标,总结出审计机关进行信息系统审计的主要内容.
关 键 词 :信息系统;审计;安全;计算机技术
中图分类号:F239 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-01
Information system Audit Content Study Research
Wang Huilin,Wang Zenghui,Guan Ning
(School of Information Science,Jilin Agricultural University,Changchun 130118,China)
Abstract:Information Systems Audit and Control in China despite the late start,but its importance is increasingly apparent.Clear that the Auditor General Liu Jiayi,information systems audit to seize three key points,namely,safety,effectiveness(reliability)and the economy.Therefore,
the content of information systems audit has bee a concern of auditors,this paper will analyze the information systems auditing concepts and objectives,summed up the information systems audit institutions to audit the main content.
Keywords:Information system,Audit,Security,Computer technology
一、我国信息系统审计发展现状
2005年大连中行员工翟昌平因利用银行系统漏洞窃取银行800万美元而落网,同年,相继在黑龙江、重庆类似的案件频有发生.这些案件的破获均是在企业进行内部信息系统审计时发现的.2006年许霆因利用银行取款机漏洞窃取银行17.5万元的落网.特别近两年以来时有地方政府网站被恶意篡改,2008年荆州市商务局的网站被“黑”,据国内信息安全机构报道,整个2009年,全国平均每天有1%的政府网站被“黑”,其中主要原因是口令过于简单和文件漏洞太多.
以上种种案件表明,所有案件均是在事后,都是已经对国家人民财产造成了危害损失后发现的,怎样才能避免这类情况的发生,信息系统安全防范工作已经成为信息时代的主要问题,对信息系统开展安全审计已经成为审计机关保护国家财政财务安全,充分发挥审计“免疫系统”功能的重要措施.
二、信息系统审计概念与目标
到底信息系统审计应如何定义呢?美国信息系统审计学科的领跑者Ron Weber给信息系统审计做出了如下概括:“收集并评估证据,以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”.
根据信息系统审计的概念,我们可以总结出审计机关开展信息系统审计的目标是:确认资产安全性、保证数据完整性、认定系统合规性.
三、审计机关开展信息系统审计的内容
(一)信息系统资产安全性审计
那么信息系统审计需要做那些事情才能有效控制资产安全呢?我们要从以下几个方面着手:1.对系统基础设施及环境的审计.审计范畴为:硬件环境与防灾、主机硬件安全、底层支撑系统安全、通信线路安全、数据存储/IO安全、物理访问控制.2.网络安全审计.目前的网络安全审计的解决方案有以下几类:
日志审计:目的是收集日志,通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、怎么写作器、用户电脑、数据库、应用系统和网络安全设备中收集日志,进行统一管理、分析和报警.
主机审计:通过在怎么写作器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的.
网络审计:通过旁路和串接的方式实现对网络数据包的捕获,而且进行协议分析和还原,可达到审计怎么写作器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的.
(二)信息系统数据完整性审计
根据上述对数据完整性的定义,我们可以确定数据完整性审计应包括以下几个内容:1.应用控制审计.应用控制审计是直接针对业务系统根据用户反馈、用例测试结果、实际业务数据、代码分析结果发现系统风险及其对业务的直接影响.2.输入输出控制审计:输入控制审计要点:CONTROL TOTALS、多点录入、终端访问控制、Session窗口控制.输出控制审计要点:访问控制、缓冲区安全、派发路径安全.3.数据审计.通过直接获取数据库数据,对实体完整性、用户定义完整性、参照完整性、域完整性的验证,来确认信息应用系统设计和获取的完整性.
(三)信息系统合规性审计
合规性审查主要包含技术合规性.技术合规性是指被审计对象开发技术是否符合软件工程国家标准,包括基础标准(ISO 9000标准族)以及开发标准、文档标准、管理标准(GB标准族).
系统合规性的主要审计内容就是进行代码审计辅以数据审计,简单的说就是审计代码规范性,代码安全性(例如,在对某商业银行进行审计过程中发现,由于代码员的经验问题,在撰写计算还款利息时的公式时发生错误,导致每笔还款利息多计算1分钱),关键处理流程正确性(此处旨在检查业务逻辑是否符合相关的法律法规以及规章制度),后门、调试与逻辑炸弹,以此来保证系统的正确性和合规性.
| 有关论文范文主题研究: | 关于信息系统的论文范文文献 | 大学生适用: | 学士学位论文、研究生论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 71 | 写作解决问题: | 怎么写 |
| 毕业论文开题报告: | 论文任务书、论文设计 | 职称论文适用: | 论文发表、职称评初级 |
| 所属大学生专业类别: | 怎么写 | 论文题目推荐度: | 优质选题 |
四、总结
本文通过对国内信息系统审计发展现状及相关理论政策研究,推理出审计机关信息系统审计的概念及目标,根据信息系统审计目标总结了在我国审计机关开展信息系统审计的主要内容,即信息系统资产安全性审计、数据完整性审计、合规性审计,并详细阐述了这三方面审计的具体内容.
参考文献:
[1]Ron Weber主编.Information Systems Control and Audit.2001
[2]王智玉.信息系统审计是做什么的.
l,2007,6:13
[3]浅析网络安全审计原理和技术.security.省略 2010,9:24