引论:我们为您整理了13篇审计信息安全管理范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
篇2
随着现代经济社会的发展,人们生活水平得到提高的同时,生活的节奏越来越快,生活压力也越来越大,幸福指数下降。心理疾病越来越多,不良情绪带来了各种各样的躯体不适,严重影响了患者的生活质量。笔者对我院心内科2008年1月—2011年8月住院的明确心脏神经官能症诊断的110例患者用稳心颗粒治疗,并追踪随访观察,治疗效果显著,安全有效,现总结报道如下。
1 资料与方法
1.1 病例选择 选择心内科2008年1月—2011年8月住院的明确心脏神经官能症诊断的患者110例,其中男35例,女75例,年龄20岁~75岁。临床表现为发作性心慌,胸闷,烦躁易怒,失眠,焦虑等。患者入选条件:明确诊断非器质性心脏病患者。心脏B超正常,88例运动平板实验为阴性结果,32例冠状动脉造影排除冠心病。110例均行动态心电图检查,30例大致正常,55例提示频发房性早搏,20例合并短阵房性心动过速,35例提示频发室性早搏。
1.2 用药方法 停用其他抗心律失常药物及其他镇静安神药物至少5个半衰期,给予稳心颗粒治疗,每次一包,每日3次,温开水冲服,4周~8周为1个疗程。
1.3 观察疗效指标 观察患者自觉症状是否好转,心慌胸闷症状减轻或消失,失眠焦虑情绪改善,睡眠质量提高,复查动态心电图心律失常数目有无消失或显著减少。 同时观察药物的安全性,复查血、尿、便常规,肝肾功能,血脂,血糖,凝血功能。
2 结 果
2.1 临床疗效及实验室检查 治疗4周后,110例患者中94例(85%)心悸症状显著减少或消失,85例失眠,焦虑明显改善(77%);13例患者合用艾司唑仑症状明显改善;3例患者改为黛力新口服后症状改善。总有效率为88%。监测血常规,大小便常规、肝肾功能、血脂、血糖、凝血功能与用药前无明显变化。
2.2 心电图改变 治疗前后心率、PR间期、QRS波时限等无明显变化。
2.3 动态心电图变化 55例房性早搏患者服药两周后49例房性早搏明显减少,总有效率90%,20例合并短阵房速患者17例房速消失,有效率85%。33例室性早搏患者28例室性早博次数明显减少,有效率84%。稳心颗粒对非器质性心脏病合并心律失常疗效明显。
2.4 不良反应 5例患者嫌药物气味难以接收停用,1例患者出现过敏反应,全身皮肤出现散在红色丘疹,皮肤瘙痒,停药1周后痊愈。未见其他药物不良反应。
3 讨 论
篇3
建立良好的信息安全管理模式是铁路信息系统安全稳定运行的根本保障,有利于铁路行业信息系统的发展。针对上述铁路信息安全管理面临的挑战,建立铁路行业信息安全管理新模式,结合铁路行业现有组织管理架构,借鉴已有的信息安全管理制度,明确信息安全工作的地位、目标、原则以及策略,从组织管理、制度及应急管理、运行维护管理和等级保护管理几个方面来深入考虑和分析,采用体系化管理方式保障信息系统的安全稳定运行。
2.1健全组织管理机构
信息安全组织管理方面,建立并逐步健全一套自上而下的安全组织机构,成立铁路信息系统安全管理领导机构,作为系统安全管理的常设组织。同时,采用分层结构,以适应铁路行业铁路总公司、铁路局、站段3级管理机制。铁路总公司领导机构作为全路信息系统安全管理的常设领导机构,负责制定全路信息系统安全管理制度及办法,铁路信息系统安全防护技术的标准,制定安全管理制度。区域安全管理机构主要职责有:负责各铁路局的信息安全管理中心的日常管理工作,及时与安全专家协商讨论安全执行方案,执行安全响应中心制定的具体安全策略,定期向上级汇报信息安全管理相关工作,下设多个安全管理决策小组和管理执行小组,管理执行小组主要负责监督和协调铁路局下设各车站的信息安全管理执行工作。车站级信息安全执行分组包括安全监督员、安全检查员、安全执行员3类安全工作人员。
2.2强化制度建设及工作流程管理
2.2.1管理制度
铁路信息系统安全不仅要强化系统建设,更要做好内部安全管理建设,具体要做好以下工作:
(1)建立专门的安全防御组织:针对铁路信息系统整体安全,铁路总公司应成立专门的机构,负责网络的安全管理和应急响应。铁路局、基层站段相应的部门,对铁路基础网实施自顶向下的实时监控与管理。
(2)建立健全安全保密制度:各部门应制定严格的安全保密条例,杜绝不必要的人员接触和了解铁路核心网络设备与技术,防止敏感信息泄露。对有权了解、处理关键信息的内部人员制定更严格、更详细的安全责任制度,明确个人在信息安全方面应该承担的职责以及发生责任事故后的处罚。
(3)建立健全数据安全保护措施:针对铁路核心业务系统的关键数据,需要建立完备的本地和异地备份制度,同时,采用双机备份、物理隔离的技术方案,定时增量备份。
(4)定期实施漏洞扫描和系统补丁升级:系统管理人员需定期对网络进行扫描,以检测和评估网络漏洞。检测范围包括所有的网络设备和终端设备,同时扫描网络内所有主机系统的配置及安全漏洞。
(5)定期实施计算机安全检查:针对处理关键数据的计算机,应建立完善的日志,记录所有与安全有关的事件。安全日志不仅要完整的记录安全事件,而且需要具备防篡改、抗抵赖功能。
2.2.2标准制度
以信息安全相关管理和技术规范及不同层次的信息安全制度为重点,构建科学严谨、有效适用、系统规范的信息安全管理标准制度体系。制定相应的技术标准、作业办法等,明确工作标准,流程,落实管理责任,规范作业行为。按照信息安全风险管理的要求,对各项管理规章制度进行全面的清理和完善,不断加强铁路信息安全标准制度体系建设,使铁路信息安全风险管理工作制度化、规范化和标准化。
2.2.3工作流程管理
信息安全管理流程包括信息安全培训工作流程、信息安全运行维护工作流程、信息安全风险控制流程、信息安全应急处置流程、信息安全监督检查与改进流程等各项管理工作流程。应根据工作实际情况,建立健全、持续改进、推广应用先进的信息安全管理工作流程,使铁路信息安全管理和运行维护工作专业化、标准化、规范化。
2.3建立信息安全运行维护管理体系
2.3.1安全风险管理
铁路信息系统安全管理中心采用风险评估的方法,分析和评估系统的风险源和安全威胁源,并根据各类信息资产的重要程度和价值,选择适当的控制措施减缓风险。铁路局要组织建立安全风险管理体系,进行信息资产风险评估和风险处理。从理论上,风险只能降低或减少而不能完全消除。选择控制措施的原则是既能使铁路信息系统受到与其价值和保密等级相符的保护,将其所受的风险降低到可接受的水准,又能使所需要的费用在预算范围之内,使铁路行业能够保持良好的竞争力和成功运作的状态。另外,系统的风险是动态的,风险评估活动应定期进行,特别是在系统的核心功能及技术发生重大变化和内外环境发生重大变化时,风险评估应重新进行。
2.3.2安全运行维护
铁路信息系统安全运行维护管理依托安全管理中心实现系统的安全运行维护。铁路总公司信息系统安全管理中心运行维护平台可实现对系统中的网络、主机、安全系统、数据库、中间件、存储备份设备和应用系统的可视、可控、可管理,协助运行维护人员监控系统和及时发现问题。各铁路局安全管理部门运行维护人员应通过使用运行维护平台,积极开展运行维护管理工作,实现铁路局安全监管监察部门与铁路总公司安全运行维护工作的有效连接。对各地区安全管理部门能够处理的事件,按照路局区域内管理流程执行,并定时向铁路总公司安全管理中心上报故障情况并提交运行维护处理单。
2.3.3安全应急响应
铁路信息系统安全应急响应体系的建立应做好以下5个阶段工作。
(1)保护阶段:制定应急反应工作流程计划、确定预警和报警的方法、建立备份的体系和流程、建立安全的系统、进行应急反应事件处理的预演。
(2)预警与报警:识别和发现各种安全的紧急事件。在紧急情况发生前,产生安全的预警报告,在紧急情况发生时,产生安全警报给应急反应中心。应急反应中心将根据事件的级别,采取相应措施。
(3)牵制与反馈:在确认紧急事件发生的情况下,应急反应中心将根据预先制定的反应计划,进入应急反应流程。同时,应急反应系统本身将根据预先制定的规则,采取相应的措施,把紧急事件的影响降到最小。
(4)消除阶段:对于系统内部病毒,应该采用最新的病毒专杀工具清除。对于系统的外部入侵和非法授权访问等,应该通过专用的漏洞扫描工具发现系统存在哪些漏洞,然后采用相应的手段消除漏洞安全隐患。对于入侵攻击或超量访问要采用有效的拦截和限量访问措施,使系统资源处于可控范围。
(5)恢复阶段:在数据或者系统被破坏,无法修复的情况下,应进行系统的恢复,且恢复要依据预先制定的恢复流程严格进行。
2.3.4安全策略优化
制定有效的安全策略,当原有安全策略无法满足现有系统的安全需求时,要结合实际情况对系统安全管理策略进行调整优化,以适应新的安全管理制度。制定出符合铁路信息系统的安全管理策略,以确保系统的信息安全保密性为主,采用多层次保护、最小授权、综合保护和严格管理等措施。
2.3.5安全检查审计
安全检查审计依托安全管理平台,通过对铁路信息系统中相关信息的收集、分析和报告,判定现有系统安全控制手段的有效性,检查系统的误用和滥用行为,统计系统的安全事件,并按照安全事件的影响和危害程度进行等级划分,从而验证当前安全策略的合规性,为以后的归纳总结,安全系统的进一步改善提供依据。安全管理平台根据从专项的日志审计产品、终端审计产品、数据库审计产品和应用审计产品中收集上来的信息进行关联分析,进行审计规则匹配,发现违规行为并进行告警和响应。通过安全审计与安全管理平台的融合,使得安全审计体系的建设与安全管理平台的建设目标达成了一致,有助于铁路信息系统整体安全体系的形成和完善,并通过对安全事件的分析,把握系统安全威胁的发展趋势,形成日报告或周报告进行定期安全信息通报,为系统的安全策略优化提供决策性指导。
2.4建立等级保护管理制度
为切实做好信息安全管理工作,铁路行业需要借助等级保护这一安全抓手,将等级保护与信息安全日常管理紧密结合,将信息安全管理全面纳入铁路运输安全生产管理体系,按照“谁主管谁负责、谁运行谁维护”和属地化管理原则,逐级落实信息安全责任,建立地方与总公司信息化发展相适应的信息安全监督管理机制。同时,为了在纵向上实现对等级保护的控制,铁路行业主管部门在国家文件政策指导下,应制定符合本行业安全需求的等级保护行业标准、行业等级保护实施方法等文件,用以指导本行业的等级保护工作,保障铁路运输及生产安全管理。
2.5建设铁路信息安全综合管理平台
为保证铁路信息安全等级保护工作的有序展开,需要建设信息安全综合管理平台,旨为铁路总公司及下属单位开展与信息安全管理相关工作的综合工作平台,功能将覆盖铁路总公司及其下属单位的信息安全管理工作的主要内容,并支持公安部等级保护管理工作。平台主要提供以下3类功能:
(1)以信息系统定级、备案、整改、测评和检查等规定步骤为主线,实现等级保护工作任务的下发、执行、进度监控和督办;
(2)风险管理、应急管理、安全检查和事故通报等专项管理功能;(3)日常办公的综合管理、培训教育、标准管理等。
篇4
1网络安全管理的安全审计系统
1.1安全审计系统的组成
①事件产生器;②事件数据库;③事件分析器;④响应单元。事件产生器的作用:将单位网络获得的事件提供给网络安全审计系统;事件分析器的作用:详细地分析所得到的数据;事件响应单元的作用:根据时间分析器得到的分析结果做出相应的反映;事件数据库的作用:保存时间分析器得到的分析结果。
1.2安全审计系统的要求
1.2.1记录与再现记录安全审计系统中全部违规操作、非法行为,再现系统某种状态的主要行为。1.2.2入侵检测审计系统检查出大多数常见的系统入侵的意图,设计相应程序阻止入侵行为。1.2.3记录入侵行为审计系统记录所有的入侵企图,对于成功入侵用户,可以根据入侵记录恢复系统。1.2.4系统本身的安全性安全审计系统必须保证自身系统操作系统和软件安全以及审计数据安全才可以发挥其在网络安全管理的作用。
2网络安全审计的必要性
2.1提高企业数据安全管理绩效
高新科技技术已经渗透到社会方方面面,有利也有弊,其中企业来说,网络信息安全的问题频频出现,这对于企业网络运营和实际经营造成很大的冲击、带来经济损失。防火墙、防病毒软件、反入侵系统虽然可以解决部分内部用户的非法违规网络行为导致的网络信息安全问题,某种程度也保障了网络信息安全。网络信息外部的防卫无法抵御内部用户在没有网络监管时对网络内部的不合法操作,网络外部的安全防卫措施无法解决网络内部出现的故障。所以企业网络要正常运营、企业经营要得到持续发展,必须要建立企业内部的安全审计系统,对内部用户访问网络系统进行严格监控和审计,有必要时可以采取相应措施惩戒造成网络安全问题的人员,让网络信息安全事件不再发生。
2.2提高网络信息安全性
(1)安全审计系统采取访问控制手段对网络信息进行安全审计和监控,从而提高网络信息安全;(2)对网络信息加密实现网络信息安全审计的目的,实现网络数据私有,做到网络安全管理,为了提高网络信息安全水平要经常维护与检查安全日志;(3)安全审计网络中传输的信息,监控网络操作行为,提高网络信息安全性,提供社会组织的网络化行为安全性保障。
3安全审计系统在网络安全管理的应用
安全审计系统和基础网络病毒防护产品相互结合,共同保护网络的整体安全。企业传统的网络安全体系建设只注重网络边界的安全,重点建设针对外部网络向企业内网攻击的防护措施,没有考虑到内网自身存在的安全隐患,企业的网络信息安全无法得到有效保障。因此,借助安全审计系统对企业网络安全进行审计和评估,实现企业网络的全面安全监督。随着互联网科技快速发展,银行金融行业处于信息化时代,信息化推动银行智能化发展,银行网络信息安全对银行安全稳定发展非常重要,如银行数据集中处理有风险、网络金融服务容易受到黑客、病毒攻击等。由于银行涉及到金钱等财务利益上的交易,而且银行作为信息化时代以客户为主导的服务行业,必须严格地对客户信息进行保密,保障客户信息安全。不仅银行关系到国计民生、对社会经济发展也具有重要意义,所以控制银行信息化风险的最有效方法就是建立银行网络信息安全审计系统。网络的广泛应用给教育行业带来很大便利,目前很多高校和发达地区中小学都建立自己的校园网,但是网络问题作为信息化水平发展的附属品,给校园网安全管理造成很大困扰。虽然校园网已经加大网络外部病毒防御系统建设,但是网络内部检测和审计更需要引起重视,为了减少网络有害信息和侵权行为,规范师生上网行为,维护校园网安全稳定运行,非常有必要建立校园网络安全审计系统。
4结语
本文详细介绍了网络安全管理的安全审计系统以及功能,并且阐述了网络安全审计的必要性,安全审计系统的使用,使网络监控力度大大加强,让网络监控效率得到显著提高,为信息化建设提供了良好的保障。
参考文献
[1]付晓坤.网络安全审计技术的运用[J].中国水运,2013(09):50-51.
篇5
随着信息化技术的高速发展和深入应用,企业对信息系统的依赖性越来越强,绝大部分的业务从纸面迁移到信息系统当中,如何建立稳固的信息安全管理体系已经成为各企业信息管理部门甚至管理层的重要课题。本文将通过对目前国际信息安全行业发展的分析,提出企业构建稳固的信息安全管理架构,提高信息安全水平的初步构想。
1企业信息安全政策
信息安全政策作为信息安全工作的重中之重,直接展现了企业的信息安全工作的思路。其应当由企业信息安全工作的使命和远景,实施准则等几部分组成。
1.1信息安全工作的使命
信息安全工作的核心意义是将企业所面临的风险管理至一个可接受的水平。
当前主流的风险控制包含以下四个步骤:通过风险评估方法来评估风险;制定安全策略来降低风险;通过监控控制恶意未授权行为;有效地审计。
1.2信息安全工作的愿景
安全的企业信息化环境可以为任何企业用户提供安全便捷的信息化服务,应用,基础设施,并保护用户的隐私。让用户有安全的身份验证;能安全便捷的使用需要的数据和应用资源;保证通讯和数据的保密性;明确自身的角色,了解角色在企业中的信息安全责任;身边出现的信息安全风险和威胁能得到迅速响应。
要达到上述目的,企业需要进行有效的风险管理。风险管理是一个识别风险、评估风险、降低风险的过程。在这个过程中,需要权衡降低风险的成本和业务的需求,确定风险的优先级别,为管理层的决策提供有效的支持。
1.3信息安全准则
信息安全准则是风险评估和制定最优解决方案的关键,优秀的信息安全准则包括:根据企业业务目标执行风险管理;有组织的确定员工角色和责任;对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架;将监控、审计和快速反应结合为一体。
良好信息安全准则可以让企业内外部用户了解企业信息安全理念,从而让企业信息管理部门更好地对风险进行管控。
2企业信息安全管理的主要手段
2.1网络安全
(1)保证安全的外部人员连接。在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。
(2)远程接入控制。随着VPN[2-3]技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USB KEY,动态口令牌等硬件认证方式的远程接入要更加的安全。
(3)网络划分。在过去,企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec[4]技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。
(4)网络入侵检测系统。网络入侵检测系统作为防火墙的补充,主要用于监控网络传输,在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备,入侵检测系统能有效防控企业外部的恶意攻击行为,随着信息技术的发展,各大安全厂商如赛门铁克,思科等均研发出来成熟的入侵检测系统产品。
(5)无线网络安全。无线网络现在已遍布企业的办公区域,给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全,信息管理部门需要使用更新更安全的协议(如无线保护接入WPA或WPA2);使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。
2.2访问控制
(1)密码策略。高强度的密码需要几年时间来破解,而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害,企业必须制定密码策略并利用技术手段保证执行。
(2)用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期,要便捷有效地在这个生命周期中对员工的权限进行管理,需要企业具有完善的身份管理平台,从而实现授权流程的自动化,并实现企业内应用的单点登陆。
(3)公钥系统[5]。公钥系统是访问控制乃至信息安全架构的核心模块,无线网络访问授权,VPN接入,文件加密系统等均可以通过公钥系统提升安全水平,因此企业应当部署PKI/CA系统。
2.3监控与审计
(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统,在终端定期更新病毒定义,进行病毒自扫描,自动更新操作系统补丁,以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端,或对终端进行定制,在终端接入企业内网时,终端管理系统会在隔离区域对该终端进行综合评估打分,通过评估后方能接入内网。才能保证系统的安全策略被有效执行。
(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成:防病毒系统;内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。
(3)安全事件记录和审计。企业应当配置日志审计系统,收集信息安全事件,产生审计记录,根据记录进行安全事件分析,并采取相应的处理措施。
2.4培训与宣传
提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。
3总结
当前,越来越多的企业已经把信息安全看做影响业务发展的核心因素之一,信息安全管理已经成为企业管理的重点。本文对信息安全政策,安全管理手段等方面进行了剖析,结合当前国际主流的信息安全解决办法,为企业做好,做强信息安全管理体系给出了一些通用性的标准,对企业构建信息安全管理体系,消除信息安全隐患,避免信息安全事件造成的损失,确保信息系统安全、稳定运行具有探索意义。
参考文献:
[1]何剑虹,白晓颖,李润玲,崔智社.基于SLA的面向服务的基础设施[J].电讯技术,2011,51(9):100-105.
[2]胡道元,阂京华.网络安全[M].北京:清华大学出版社,2004.
篇6
2.1网络安全
(1)保证安全的外部人员连接。在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。
(2)远程接入控制。随着VPN技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USBKEY,动态口令牌等硬件认证方式的远程接入要更加的安全。
(3)网络划分。在过去,企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。
(4)网络入侵检测系统。网络入侵检测系统作为防火墙的补充,主要用于监控网络传输,在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备,入侵检测系统能有效防控企业外部的恶意攻击行为,随着信息技术的发展,各大安全厂商如赛门铁克,思科等均研发出来成熟的入侵检测系统产品。
(5)无线网络安全。无线网络现在已遍布企业的办公区域,给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全,信息管理部门需要使用更新更安全的协议(如无线保护接入WPA或WPA2);使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。
2.2访问控制
(1)密码策略。高强度的密码需要几年时间来破解,而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害,企业必须制定密码策略并利用技术手段保证执行。
(2)用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期,要便捷有效地在这个生命周期中对员工的权限进行管理,需要企业具有完善的身份管理平台,从而实现授权流程的自动化,并实现企业内应用的单点登陆。
(3)公钥系统。公钥系统是访问控制乃至信息安全架构的核心模块,无线网络访问授权,VPN接入,文件加密系统等均可以通过公钥系统提升安全水平,因此企业应当部署PKI/CA系统。
2.3监控与审计
(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统,在终端定期更新病毒定义,进行病毒自扫描,自动更新操作系统补丁,以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端,或对终端进行定制,在终端接入企业内网时,终端管理系统会在隔离区域对该终端进行综合评估打分,通过评估后方能接入内网。才能保证系统的安全策略被有效执行。
(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成:防病毒系统;内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。
(3)安全事件记录和审计。企业应当配置日志审计系统,收集信息安全事件,产生审计记录,根据记录进行安全事件分析,并采取相应的处理措施。
2.4培训与宣传提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。
篇7
第27卷第3期2012年5月审计与经济研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012
[摘要]在分析中观信息系统风险与损失的成因基础上,借鉴BS7799标准,一方面从物理层次与逻辑层次两个方面研究中观信息系统固有风险的评价模式;另一方面从一般控制与应用控制两个层面探索中观信息系统内部控制的评价机制。基于BS7799标准对中观信息系统审计进行研究,旨在为IT审计师有效实施中观信息系统审计提供应用指南。
[关键词]BS7799标准;中观审计;信息系统审计;内部控制;中观信息系统;中观信息系统风险
[中图分类号]F239.4[文献标识码]A[文章编号]10044833(2012)03005007
所谓中观信息系统审计就是指审计主体依据特定的规范,运用科学系统的程序方法,对中观信息系统网络的运行规程与应用政策实施的一种监督活动,旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性,以保障中观信息系统的高效运行[1]。中观信息系统的审计主体即IT审计师需要重视中观信息系统审计的复杂性,且有必要借助BS7799标准,构建并完善中观信息系统审计的实施流程,优化中观信息系统审计工作,提高审计质量。之所以需要借助BS7799标准,是因为BS7799标准的众多功能可以满足中观信息系统审计工作的需求。在尚未有详细信息系统审计(以下简称“IS审计”)规范的条件下,中观信息系统审计对信息安全管理策略的需求巨大,而BS7799标准恰恰是问世较早且相对成熟的信息安全管理标准,它能够确保在计算机网络系统进行自动通信、信息处理和利用时,在各个物理位置、逻辑区域、存储和传媒介质中,较好地实现保密性、完整性、有效性与可用性,能够在信息管理与计算机科学两个层面加强信息安全管理向中观信息系统审计的理论转化,中观信息系统审计的需求与BS7799标准的功能具备整合的可行性。
一、 BS7799标准
1995年,英国贸工部制定了世界首部信息安全管理体系标准“BS77991:1995《信息安全管理实施规则》”,并作为各类组织实施信息安全管理的指南[2],由于该标准采用建议和指导的方式编写,因而不作为认证标准使用;1998年,英国又制定了信息安全管理体系认证标准“BS77992:1998《信息安全管理体系规范》”,作为对组织信息安全管理体系进行评审认证的标准[3];1999年,英国再次对信息安全管理体系标准进行了修订,形成“BS77991:1999”与“BS77992:1999”这一对配套标准;2000年12月,“BS77991:1999”被ISO/IEC正式采纳为国际标准“ISO/IEC17799:2000《信息技术:信息安全管理实施规则》”,此外,“BS77992:1999”也于2002年底被ISO/IEC作为蓝本修订,成为可用于认证的“ISO/IEC《信息安全管理体系规范》”;2005年,BS77991与BS77992再次改版,使得体系更为完善。BS7799标准体系包含10个管理要项、36个管理目标、127个控制目标及500多个管理要点。管理要项如今已成为组织实施信息安全管理的实用指南;安全控制目标能够帮助组织识别运作过程中影响信息安全的因素。BS77991几乎涵盖了所有的安全议题,它主要告诉IT审计师安全管理的注意事项与安全制度。BS77992详细说明了建立、实施和维护信息安全管理的要求,指出组织在实施过程中需要遵循的风险评估等级,从而识别最应该控制的对象并对自身需求进行适当控制。BS77991为信息系统提供了通用的控制措施,BS77992则为BS77991的具体实施提供了应用指南。
国外相对成熟的信息安全管理理论较多,它们各有千秋,彼此之间相互补充且有交叉。BS7799标准仅是众多信息安全管理理论中的一种,与传统审计方法相比,仅适用于IS审计范畴。然而,BS7799标准的特别之处表现在:其一,它是一部通用的信息安全管理指南,呈现了较为全面的系统安全控制措施,阐述了安全策略和优秀的、具有普遍意义的安全操作方法,能够为IT审计师开展审计工作提供全程支持;其二,它遵循“计划-行动-控制-改善方案”的风险管理思想,首先帮助IT审计师规划信息安全审计的方针和范围,其次在审计风险评估的基础上选择适当的审计方法及风险控制策略并予以实施,制定持续性管理规划,建立并运行科学的中观信息系统审计执行体系。
二、 中观信息系统的风险与损失
中观信息系统风险是指成功利用中观信息系统的脆弱性或漏洞,并造成系统损害的可能性。中观信息系统风险极其庞杂且非常普遍,每个中观信息系统面临的风险都是不同的,这种风险可能是单一的,也可能是组合的[4]。中观信息系统风险包括:人员风险、组织风险、物理环境风险、信息机密性风险、信息完整性风险、系统风险、通信操作风险、设施风险、业务连续性风险、法律风险及黏合风险(见图1),它们共同构成了中观信息系统的风险体系,各种风险除具有各自的特性外,有时还可能相互作用。
中观信息系统风险的成因离不开外来威胁与系统自身的脆弱性,且风险的最终后果就是损失。图1中的“a.威胁性”是系统的“风险源”,它是由于未授权访问、毁坏、数据修改以及拒绝服务等给系统造成潜在危害的任何事件。中观信息系统的威胁来自于人为因素及非人为因素两个方面。人为因素是对中观信息系统造成威胁的决定性力量,人为因素造成威胁的主体有竞争对手、网络黑客、不满员工或正常员工。图1中的“b.脆弱性”是指在系统安全程序、管理控制、物理设计中存在的、可能被攻击者利用来获得未授权信息或破坏关键处理的弱点,由物理环境、技术问题、管理问题、法律问题四个方面组成。图1中的“d.风险承受力”是指在中观信息系统遭遇风险或受到攻击时,维持业务运行最基本的服务和保护信息资产的抵抗力、识别力、恢复力和自适应能力。
中观信息系统风险的产生有两种方式:一是遵循“abc”路径,这条路径形成的风险为中观信息系统“固有风险”,即假定中观信息系统中不存在内部控制制度,从而造成系统存在严重错误与不法行为的可能性。该路径的作用形式为人为因素或非人为因素是风险源,对中观信息系统构成威胁,该威胁产生后寻找并利用系统的脆弱点(假定中观信息系统对该脆弱点没有设计内控制度),当威胁成功作用于脆弱点后,就对系统进行有效攻击,进而产生中观信息系统风险。二是遵循“abPc”路径,该路径所形成的风险为中观信息系统的“控制风险”,即内部控制制度体系未能及时预防或发现系统中的某些错误或不法行为,以致中观信息系统遭受损失的可能性。与“abc”路径比较,该路径多出“P.内部控制”过程,这说明当威胁已产生并将利用系统的脆弱点时,中观经济主体已经对该脆弱点设计了内控制度体系,但是由于内部控制制度设计的不科学、不完善或没有得到有效执行,从而造成内部控制未能阻止“威胁”,致使中观信息系统形成风险。中观信息系统损失的形成遵循“cde”路径。然而,由于中观信息系统自身具有一定的风险防御能力(即“d.风险承受力”),因而并非所有风险都将造成损失。当中观信息系统识别并抵抗部分风险后,最终未能消除的风险通过对系统的负面作用,会给中观信息系统造成间接或直接的损失。
三、 中观信息系统固有风险的评价模式
图1中的“abc”路径是中观信息系统固有风险产生的路径,固有风险形成的条件是“假定不存在内部控制制度”。评价固有风险是中观信息系统审计准备阶段的一项基础工作,只有正确评价固有风险,才能合理评估审计风险,准确确定审计范围并制定审计计划[56]。笔者认为,BS7799标准之所以能够有效评价中观信息系统的固有风险,是因为BS7799标准的管理要项、管理目标,控制措施与管理要点组成了信息安全管理体系,这个体系为IT审计师确定与评价系统固有风险提供了指南[7]。BS7799标准对IT审计师评价固有风险的贡献见上表1。
(一) 物理层次的风险评价
物理层次的内容包括物理环境安全与物理环境设备[7],其中,物理环境安全包括硬件接触控制、预防灾难措施和网络环境安全;物理环境设备包括支持设施、硬件设备和网络物理环境。针对上述分类,下面对物理层次风险评价进行具体分析。
首先是物理环境安全风险评价。在评价物理环境安全风险时,可以借鉴BS7799标准A、B、D1、D3、E、G8、H5、I、J。例如,IT审计师在了解被审中观信息系统的“预防灾难措施”时,可参照“A.安全方针”,依据BS7799对“安全方针”进行阐述,了解被审系统的“信息安全方针”,关注被审系统在相关的“方针与策略”中是否估计到了系统可能遭遇的所有内外部威胁;当威胁发生时,是否有具体的安全保护规定及明确的预防措施;对于方针的执行,是否对每位员工都有所要求。假若IT审计师在审计中未找到被审系统的“安全方针”,或找到了但“安全方针”并未涉及有关“灾难预防”方面的安全措施,则IT审计师可直接认定被审系统在这方面存在固有风险。其次,物理环境设备风险评价。在评价物理环境设备风险时,可以借鉴BS7799标准A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如,IT审计师在了解被审系统有关“硬件设备”的情况时,可参照“C1.资产责任”。BS7799标准对“资产责任”的说明有“组织可根据运作流程与系统结构识别资产,列出清单”,“组织的管理者应该确定专人负责相关资产,防止资产的被盗、丢失与滥用”。借鉴C1的信息安全管理目标与措施,IT审计师可以关注被审单位是否列出了系统硬件设备的清单,是否有专人对资产负责。如果相关方面的管理完备,则说明“硬件设备”在责任方面不存在固有风险,IT审计师也不需要再对此方面的固有风险进行评价。再如,IT审计师在确认“硬件设备”方面的固有风险时,还可参照“E3.通用控制”。BS7799标准对“通用控制”的说明有“定期进行资产清查”,“未经授权,资产不能随便迁移”等。借鉴这一措施,IT审计师需要了解被审系统的有关资产清查记录以及资产转移登记手续,如果相关记录不完整或手续不完备,则IT审计师可直接认定“硬件设备”在控制方面存在固有风险。
(二) 逻辑层次的风险评价
逻辑层次的内容包括软件环境、系统生命周期和逻辑安全[7]。其中,软件环境包括系统软件、网络软件与应用软件;系统生命周期包括系统规划、分析、设计、编码、测试、试运行以及维护;逻辑安全包括软件与数据接触、数据加密机制、数据完整性、入侵检测、病毒与恶意代码以及防火墙。针对以上分类,下面对逻辑层次风险评价进行具体分析。
首先是软件环境风险评价。在评价软件环境风险时可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。例如,IT审计师在掌握被审系统有关“网络软件”的情况时,可借鉴“G2.用户访问管理”标准。BS7799对该标准的阐述包括“建立用户登记过程,对用户访问实施授权”,“对特权实行严格管理”,“对用户口令进行严格管理”等。借鉴G2下相关信息安全管理措施,IT审计师可以详细核查被审网络软件是否建立了用户注册与登记过程、被审软件的特权管理是否严格、是否要求用户秘密保守口令。假若IT审计师发现用户并未得到访问网络软件的权限却可以轻易访问网络软件,则该软件必然存在风险,IT审计师就可通过与BS7799标准比照并发表评价结论。又如,IT审计师在评价“系统软件”固有风险时,可借鉴“G5.系统访问与使用的监控”标准。该标准的阐述有“使用终端安全登陆程序来访问信息服务”,“对高风险的不活动终端采取时限措施”。IT审计师在评价“系统软件”自身风险时,可套用上述安全措施,逐项分析被审系统软件是否完全达到上述标准并作出合理的风险评价。其次是系统生命周期的风险评价。在评价系统生命周期风险时,可借鉴BS7799标准A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT审计师在检查被审系统的“系统设计”时,可参照“H1.系统安全要求”。H1的解释为“系统设计阶段应该充分考虑系统安全性,组织在项目开始阶段需要识别所有的安全要求,并将其作为系统设计开发不可或缺的一部分进行调整与确认”。因而,IT审计师在检查系统设计有关资料时,需要分析被审单位是否把上述解释融入系统设计中,或是否全面、有效地融入设计过程,如果被审单位考虑了诸因素,IT审计师就可以确认被审系统的设计环节在此方面不存在风险。假若IT审计师发现在系统设计阶段被审单位没有考虑到需要“引入控制”,且在系统运营期间对系统的“控制”也不够重视,则IT审计师可以作出系统自身安全及系统设计开发过程存在风险的结论。第三是逻辑安全的风险评价。在评价逻辑安全风险时,可以借鉴BS7799标准A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT审计师在检查被审系统的“病毒与恶意代码”时,可借鉴“G4.网络访问控制”。BS7799对该标准的阐述有“建立并实施网络用户服务使用方针”,“从用户终端到网络服务的路径必须受到控制”以及“对外部链接的用户进行身份鉴别”等。IT审计师在审计过程中,应该关注被审系统在上述方面的执行思路与执行程度,假若被审单位对上述方面缺乏重视,则恶意用户未经授权或未受限制就能轻易访问系统,系统遭受病毒或恶意代码损害的风险会相应加大。再如,IT审计师在评价系统“数据完整性”的风险时,可借鉴“F1.操作程序与职责”。该标准的描述有“在执行作业的过程中,提供差错处理及例外情况的指导”,“进行职责分离,减少出现非授权更改与数据信息滥用的机会”等。结合上述措施,IT审计师应该关注被审单位是否通过外键、约束、规则等方式保障数据的完整性,如果被审单位没有按照上述方法操作,则被审系统将会在“数据完整性”方面存在风险。
需要强调的是中观信息系统固有风险的评价较为复杂。在理论研究中,本文仅选取BS7799的某些标准举例进行阐述,但在实践中,IT审计师不应只借鉴BS7799标准的单个或部分标准,就做出某方面存在“固有风险”的结论。如仅从C1看,“硬件设备”无固有风险,但从E3看,“硬件设备”确实存在固有风险。鉴于此,IT审计师应由“点”及“面”,全面借鉴BS7799标准的整个体系。只有如此,才能更科学具体地进行物理及逻辑层次的风险评价。
四、 中观信息系统内部控制的评价机制
图1中的“abPc”路径是中观信息系统控制风险产生的路径,控制风险的形成条件是“假定存在内部控制制度,但是内控制度不科学、不健全或执行不到位”,产生控制风险最主要的原因是内部控制机制失效,即“P”过程出现问题。评价内部控制是IT审计师防范审计风险的关键,也是中观信息系统审计实施阶段的一项重要工作。然而,当前我国信息系统审计方面的标准与规范仅有四项,因而IT审计师对信息系统内部控制的评价还处于摸索阶段,急需详细的流程与规范进行指导。笔者认为,BS77991《信息安全管理实施细则》与BS77992《信息安全管理体系规范》能够为IT审计师评价中观信息系统的内部控制提供思路。BS7799是一套完备的信息安全管理体系,IT审计师完全可以借鉴其体系与框架来设计中观信息系统内部控制评价流程,构建适用于中观信息系统的审计流程。BS7799标准的具体借鉴思路见表1,具体阐述如下。
(一) 一般控制的评价
1. 组织管理的内部控制评价
在评价组织管理的内控时,可借鉴BS7799标准A、B、C1、D1、D3、E、F、G、H、I、J。IT审计师可将BS7799标准体系作为信息系统组织管理内部控制的衡量标准,并以此确认被审系统组织管理内控制度的科学性与健全性。假若某中观经济主体将信息系统的部分管理活动外包,则IT审计师可借鉴BS7799中的“B3.外包控制”标准,检查外包合同的全面性与合理性。如果被审单位在外包合同中规定了信息系统的风险、承包主客体各自的系统安全控制程序,并明确规定了“哪些措施必须到位,以保证涉及外包的所有各方关注各自的安全责任”,“哪些措施用以确定与检测信息资产的完整性和保密性”,“采取哪些实物的和逻辑的控制以限制和限定授权用户对系统敏感信息的访问”以及“发生灾难时,采用怎样的策略来维持服务可用性”,则IT审计师就可确认被审系统在外包方面的控制设计具有科学性与全面性,只需再对外包控制条款的执行效果进行评价就可以得出对被审单位外包活动评价的整体结论。
2. 数据资源管理的内部控制评价
在评价数据资源管理的内控时,可以借鉴BS7799标准A、B、C、D、E1、E3、F、G、H、I、J。信息系统数据包括数据字典、权限设置、存储分配、网络地址、硬件配置与系统配置参数,系统数据资源管理有数据存放、备份、恢复等,内容相对复杂。IT审计师在评价数据资源管理的内部控制时,也需要借鉴BS7799标准体系。例如,IT审计师可借鉴“F1.操作程序与职责”或“G6.应用访问控制”评价数据资源管理。F1与G6的阐述有“识别和记录重要数据的更改”、“对数据更改的潜在影响作出评估”、“向所有相关人员传达更改数据的细节”、“数据更改不成功的恢复措施”、“控制用户的数据访问权,如对读、写、删除等进行限制”、“在系统共享中,对敏感的数据实施高级别的保护”。IT审计师在审计时,有必要根据上述思路对系统数据管理的控制制度进行深层次评价。在当前缺乏信息系统审计规范的情况下,以BS7799体系作为评价数据资源管理内部控制的指南,不失为一种好的审计策略。
3. 环境安全管理的内部控制评价
在评价环境安全管理的内控时可以借鉴BS7799标准A、B、C1、D、E、F、G、H、I、J。信息系统的环境安全管理包括物理环境安全管理与软件环境安全管理,系统环境是否安全决定着危险因素对脆弱性的攻击程度,进而决定着信息系统风险。IT审计师在审计系统环境的安全管理过程时,需要关注设备、网络、软件以及硬件等方面。在评价系统环境安全管理的内部控制时,IT审计师有必要借助上述BS7799标准体系。例如,BS7799的“E1.安全区域”标准与“E2.设备安全”标准的解释有“信息处理设施可能受到非法物理访问、盗窃、泄密等威胁,通过建立安全区域、严格进入控制等控制措施对重要的系统设施进行全面保护”,“应该对信息处理设施运作产生不良影响的环境条件加以监控,如,湿度与温度的影响”。类似上述的BS7799系列标准都为IT审计师如何确认环境安全管理的内控提供了审计指导,且其指导思路清晰、全面。IT审计师通过借鉴BS7799系列标准,可以深层次挖掘系统环境安全管理规章制度中存在的疏漏以及执行中存在的问题,从而有效评判环境安全管理的控制风险。
4. 系统运行管理的内部控制评价
在评价系统运行管理的内控时,可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。中观经济主体对运行系统的管理相对复杂,涉及到系统组织、系统维护、系统完善等多个方面。由于系统运行中需要管理的环节繁多,而且目前也没有规范与流程可以参考,因而,评价系统运行管理的内控也有必要借鉴上述BS7799标准体系。例如,BS7799标准“D2.设备安全”与“H5.开发与支持过程中的安全”的阐述有“信息系统操作者需要接受安全意识培训,熟悉与系统运行相关的安全职责、安全程序与故障制度”,“系统运行中,建立并实施更改控制程序”以及“对操作系统的更改进行技术评审”等方面。IT审计师采用询问、观察、检查、穿行测试等方法评审系统运行管理的内部控制,需要有上述明细的、清晰的信息安全管理规则予以指导,这些标准可以指导IT审计师了解被审系统是否有健全的运行管理规范及是否得到有效运行,借此,IT审计师可以作出全面的内控判断,进而出具正确的审计结论。
(二) 应用控制的评价
信息系统的应用控制包括输入控制、处理控制与输出控制。在评价系统输入控制、处理控制以及输出控制三者的内控时,同样有必要借鉴BS7799标准,且BS7799标准中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相对应的信息安全管理目标与措施能够在IT审计师对三者进行内控评价时提供相对详尽的审计框架。为确保信息系统输入、处理与输出的信息完整、正确,中观经济主体需要加强对信息系统的应用控制。IT审计师在中观信息系统审计的过程中,需要做到对被审系统应用控制进行正确评价。
在IT审计师对应用控制的符合性测试过程中,上述BS7799标准体系可以对应用控制评价进行全程指导。例如,BS7799标准中“H2.应用系统的安全”提到“数据输入的错误,可以通过双重输入或其他输入检查侦测,建立用于响应输入错误的程序”,“已正确输入的数据可因处理错误或故意行为而被破坏,系统应有确认检查功能以探测数据的破坏”,“为确保所存储的信息相对于各种情况的处理是正确而恰当的,来自应用系统的输出数据应该得到确认”等控制策略,并提出了相对详细的控制措施。应用控制环节是信息处理的脆弱集结点,IT审计师在进行应用控制的符合性测试环节时有必要考虑周全,详尽规划。IT审计师可以遵循H2全面实施针对应用控制的审计,依照BS7799标准体系,检查被审系统对于超范围数值、数据区中的无效字符、丢失的数据、未经认可的控制数据等系统输入问题的控制措施以及应急处理能力;检查是否对系统产生的数据进行了确认,系统的批处理控制措施、平衡控制措施等,以及相关控制行为的执行力度;检查信息输出是否实施了可信性检查、一致性控制等措施,如果有相关措施,那么执行力度如何。BS7799标准体系较为全面,对于IT审计师评价系统的应用控制贡献很大,如果IT审计师能够创造性借鉴该标准,必可做好符合性测试,为实质性测试夯实基础,也定会提高审计质量。
五、 结束语
表1是笔者在分析某商业银行信息系统与某区域物流信息系统的基础上,对“BS7799标准如何应用于信息系统审计”所进行的设计,当针对其他行业时,或许需要对表1进行适当调整。不同行业、不同特性的中观经济主体在信息系统审计中运用BS7799标准时侧重点会有所不同。本文以分析中观信息系统风险为着手点,沿用BS7799标准对中观信息系统审计进行研究,旨在抛砖引玉。
参考文献:
[1]王会金,刘国城.中观经济主体信息系统审计的理论分析及实施路径探索[J].审计与经济研究,2009(5):2731.
[2]BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management[S]. London:British Standards Institation,2000:179202.
[3]BSI.BS779922002 information security managementspecification for information security management systems[S]. London: British Standards Institation,2002:267280
[4]孙强.信息系统审计[M].北京:机械工业出版社,2003.
[5]刘国城,王会金.中观信息系统审计风险的理论探索与体系构架[J].审计研究,2011(2):2128.
[6]王会金.中观信息系统审计风险控制体系研究――以COBIT框架与数据挖掘技术相结合为视角[J].审计与经济研究,2012(1):1623.
[7]科飞管理咨询公司.信息安全管理概论-BS7799理解与实施[M].北京:机械工业出版社, 2002.
BS7799 Criterion and Its Application in Mesoinformation Systems Audit
LIU Guocheng
篇8
信息安全等级保护工作是解决信息安全问题的基本方法,而信息安全不仅靠物理安全、网络安全、主机安全等具体技术上的实现,还需要建立健全的信息安全机构管理制度,贯彻信息安全工作和维持信息安全的建设成果,在技术和管理两个维度下保障信息安全保护体系在持续的运营工作中发挥应有的信息安全保护作用[1]。
2信息安全机构管理思路
2.1加强安全管理建设是实现等级保护组织机构管理的基础 医院信息安全管理需要由医院信息化领导机构协调进行。为了完成和强化信息安全的管理,需要建立相应的信息安全管理机构,这是医院信息安全等级保护实施的必要条件[2]。同时,安全组织管理建设也是重要组成内容,包括健全组织体系,明确负责安全管理的主要领导、主管部门、技术支持部门和宣传部门,制定系统安全保障方案,实施安全宣传教育、安全监管和安全服务等。
2.2相关管理办法制定是规范等级保护组织机构管理的根本保证 医院信息系统存在着来自社会环境、技术环境和物理自然环境的安全风险,其安全威胁无时无处不在。对于医院信息系统的安全问题,不能企图单凭利用一些集成了信息安全技术的安全产品来解决,而必须配合等级保护的信息系统安全保障体系,制定相关管理办法,全方位综合解决系统安全问题。
2.3定期审查监控是实施等级保护组织机构管理的具体表现 根据医院对于信息安全等级保护的要求,安全等级保护除重视技术解决方案外,更应明确定期审查、检查和监控的必要性。包括:指定专员定期对系统进行安全巡查,检查的内容包含例如系统运行情况、系统漏洞确认、系统数据备份、现有安全技术措施有效性、安全配置与安全策略一致性、安全管理制度的执行情况等等。
3信息安全机构管理措施
医院信息安全管理体系依赖于信息安全等级保护管理建设的机构管理。根据医院当前信息安全管理需要和机构管理特点,和信息安全等级保护管理所要求的系统建设管理、系统运维管理、安全管理机构、安全管理制度和人员安全管理,笔者从岗位设置、人员配备、授权、审批、审查和沟通交流等方面分析医院信息管理机构建设,切实做到提升医院信息等级保护管理的能力。
3.1岗位设置 信息中心内部根据岗位划分不同,设置多个安全管理岗位包括系统管理员、网络管理员、安全管理员、安全审计员岗位,各岗位人员应按照自己的岗位职责,落实本岗位的信息安全工作[3]。
以我院为例,我院信息安全管理工作由院领导负责指导和管理,同时成立了医院级别的信息安全工作领导小组,由党委书记担任领导小组组长,由信息中心负责管理工作的具体落实,制定各信息系统相关岗位的岗位职责和工作标准并形成文件。
3.2人员配备 信息中心采用安全责任层层落实制,中心主任对医院所有信息化相关系统负责,网络工程师对医院所有网络建设及维护负责,系统工程师对医院服务器、数据库、存储和信息系统负责,信息安全工程师对医院网络安全、信息安全、机房物理安全负责,安全审计工程师对所有人的信息安全工作进行监督和审计,保证信息安全工作层层做实。
3.3授权和审批 医院信息中心对于外部厂商人员的相关操作均需进行审批流程,通过软件记录其所有操作行为,并保存进档。对于中心内部工作人员执行严格的离岗流程,由所在部门主管负责回收本部门负责的相关权限,所有权限回收后方可办理正常的离职手续。
信息中心对于客户端操作系统权限、应用系统操作权限、数据库操作权限进行分级控制。内网客户端硬盘分区全部使用NTFS,管理员密码由信息中心网络组每月定时更换;对所有应用系统功能进行编号,对功能进行模块化管理,并对模块进行分级控制;同时,设置数据库用户,将不同应用的数据分别管理,赋予创建、修改、删除表及表内数据权限。
3.4审查和检查 医院信息中心日常检查由信息安全管理员进行,自检内容包括终端安全自检和软件管理自检,终端安全自检包括检查是否每台计算机安装防病毒软件,病毒库是否为最新版本,终端操作系统是否安装最新补丁,是否设置6位以上口令;软件管理自检包括检查软件是否为正版软件,软件管理的各项记录是否完整等。
构建信息安全综合防护体系保证医院各系统能够长期稳定安全运行,满足了医院不断扩展的业务应用和管理需要。本文对信息安全机构管理的目的、思路和措施进行了详细的分析阐述,对相关工作人员和机构具有一定的启示意义。同时,通过梳理分析业务特点和管理流程,依据等级保护相关政策和标准,明确安全管理需求,笔者所在医院信息管理中心整理并制定出符合医院信息系统实际情况的一套信息安全管理体系文件,并在2012年公安局等级保护测评中被评为三级。
参考文献:
篇9
虽然世界各国早已开始实践信息安全的相关活动,然而一直到上世纪四十年代学术界才开始出现“通信保密”的概念。上世纪五十年代,“信息安全”等用词才开始进入相关的科技文献。国际信息系统安全认证组织(InternationalInformationSystemsSecurityConsor-tium)将信息安全划分为十大领域,包括物理安全、商务连续和灾害重建计划、安全结构和模式、应用和系统开发、通信和网络安全、访问控制领域、密码学领域、安全管理实践、操作安全、法律侦察和道德规划。由此可知,信息安全所包含的领域十分广泛。“通信与网络安全”的内容开始逐渐与各类物理安全的内容一样得到同等重视。21世纪以来,“信息安全”出现的频率不断增加,使用的范围和领域也不断扩大,并且进入了各个国家、地区的各类组织机构的政策法规之中,受到人们越来越多的关注与重视。本文中所涉及的信息安全主要限制于高校科研项目管理过程中的“信息空间、信息载体和信息资源不受来自内外各种形式的危险、威胁、侵害和误导。”高校科研管理系统包括其硬件、软件、数据。保障高校科研信息安全就是保障其软硬件不受非法侵害、破坏,其数据不受非法更改、泄露,系统及其服务维持正常运行不中断。
三、高校科研项目管理的信息安全需求
高校科研项目管理信息安全问题较为突出。首先,这是由高校科研活动自身特点所决定的。高校作为我国科研力量最为集中的单位,同时也是集科研、教学为一体的单位,其公开性与保密性并存。第一,办学的公开性导致人员的流动性,交流与引进人才的同时也造成信息的流动;此外,学生也具有较大的流动性,包括学生参与不同教师的科研项目,出国交流学习、毕业、就业等,增加保密信息泄露的风险。第二,科研项目本身具有公开性,科研项目产生成果时需要进行及时的应用和转化。由此可知,科研项目从产生到应用的过程就是一个信息传递、交流与共享的过程。其次,从高校科研项目管理过程角度出发,主要分为科研项目立项管理、项目实施管理、项目验收管理三个阶段。其中科研项目立项管理又包括项目建议书、项目可行性论证、签订项目合同等内容;项目实施管理包括科研项目计划、项目跟踪管理、项目中期评估等;项目验收管理包括合同考核指标、项目组织与管理、项目绩效管理等。科研项目管理的这些环节在高校中大部分已实现系统化、信息化、网络化管理。由此可知,高校的科研管理部门在进行科研项目管理的过程中有以下三个方面的安全需求。
第一,科研项目保密性的安全需求。
由于高校人员的流动性、频繁的交流活动以及科研活动本身具有一定的公开性,对项目的保密工作提出了更高的要求。一是出于对涉及国家安全与经济安全的科研项目的保护;二是出于对知识产权的保护,因此如何加强项目保密性与保密范围的管理至关重要。
第二,管理人员的信息安全需求。
据统计,在所有计算机安全事件中,人为因素造成的约占52%,而组织内部人员作案占10%,由外部不法人员的攻击造成的安全事件仅有3%左右。可见,项目管理人员自身的安全意识淡薄,安全素质较低,有可能导致科研项目管理过程出现安全事故,例如保密信息外泄,访问不受控制,系统崩溃后无法修复,甚至导致科研活动停滞。
第三,新技术的发展对信息安全提出了更高要求。
目前信息技术发展突飞猛进,已进入云计算、大数据、移动互联等广泛应用的新阶段。滞后的信息技术,脆弱的信息网络注定无法在利用信息技术破坏基础网络,攻击网络节点等不法行为日益猖獗的今天得以生存。然而,在及时应用如超级计算机及其网格技术、云服务等新技术的同时,科研项目管理同样会面临一系列新的问题,例如使用第三方云服务商所提供的产品,进行海量数据获取、分析、处理的过程中所存在的安全隐患等。
四、高校科研项目管理信息安全实施策略
通过分析高校科研项目管理的特点及其对信息安全方面的需求可知,高校科研项目信息安全管理是一项复杂的系统工程。本文从管理、人员、技术、审计四个角度为保障高校科研项目管理的信息安全提供策略。
1.管理。
基于信息安全的科研项目管理工作,也是高校信息化建设的一部分。为打破“信息孤岛”的局面,应将科研项目信息安全管理纳入到高校信息化的整体规划中去。从体制机制的角度出发,应重点关注信息安全管理制度的建立和健全以及信息安全管理组织或人员的设立。高校科研项目的信息安全管理制度应通过相应规章制度的制定,实现项目过程管理、人员管理、组织管理、风险管理等。同时,高校科研管理部门还应设立专门的信息安全管理组织或人员,负责对信息进行及时、全面、准确的甄别、筛选、收集、掌握、保管、分析、运用。
2.人员。
科研项目信心安全管理活动中存在着一般行政管理人员以及专业信息技术人员。提升这两类人员的信息安全素养的方式方法既有相同点,也有不同点。相同点在于都需要对其进行充分的信息安全知识教育与培训,可采用多种形式的舆论宣传,岗前培训与在职培训、商业培训与公益培训相结合的方式。同时,可将员工的信息安全教育培训纳入到个人绩效考核体系中去。不同点在于对一般行政管理人员应加强其信息技术基本知识、实践技能方面的教育与培训,对专业信息技术人员应加强法律法规,规章制度方面的知识普及。
3.技术。
如何掌握和运用较为先进和成熟的计算机信息技术,是保障科研项目管理过程中信息安全的重要支撑和基础保障条件。目前在较为广泛使用的项目管理信息技术包括科研管理系统(MIS)、决策支持系统(DSS)、办公自动化(OAS/OA);信息安全管理技术包括防火墙技术、VPN技术、入侵检测系统(IDS)、入侵防御系统(IPS)、安全服务器等。选择适合于高校科研管理部门的信息安全技术,需要综合评估成本与安全风险,同时需要保证优先和重点,优化信息安全资源配置。此外,还应对已有的信息安全软、硬件不断进行优化、升级,引进和应用国际先进技术,拥有和掌握自己的核心技术。
4.审计。
信息安全审计是对高校科研项目管理过程中的风险进行评估以及提出应对措施的系统过程。在选择了合适的信息安全技术,建立了信息安全保障体系之后,这并不意味着信息安全管理工作已经结束。它是一个需要不断完善的长期过程。信息安全审计包括对人员身份与访问审计、网络访问控制审计、入侵防御审计、漏洞管理审计。首先,应对访问信息系统的人员身份进行核准,并依据信息保密层级对准入人员进行分级;其次,应使用可以对访问者以及系统安全性进行检查的网络访问控制审计;最后,应对网络入侵及系统防御情况进行审计监控,以便于发现系统、管理的漏洞,并对风险进行分析和处理。
篇10
审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。
一、审计工作的现状及存在的问题
随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。
(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向的作用。
(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。
二、信息化审计体系的健全
当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。
信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。 转贴于 三、主机系统安全审计
信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。
主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。
四、待解决的若干问题
计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。
防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。VPN可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防DDos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。
从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。
参考文献:
篇11
在实践中,信息安全不但与通常的监理对象一样具有规划、实施、运营等等清晰的工作周期,而且由于信息安全工作在变更、响应、教育方面的高要求,使得信息安全监理在开展过程中需要关注更多的问题。处理好这些问题,信息安全才能真正保障。
认识篇:安全监理 并不遥远
基于多年对信息技术产业的关心和促进,我国已经形成一系列的法规、条例和标准用于信息领域相关工作的规范和管理。针对信息安全领域,于1994年2月18日的《中华人民共和国计算机信息系统安全保护条例》,是我国信息系统安全体系的核心法律依据;而作为GB17859-1999国家标准的《计算机信息系统安全等级保护划分准则》则为我国的信息安全工作提供了标准上的支持。特别是2006年上旬公安部的《信息安全等级保护管理办法(试行)》,也称7号文件,其中针对不同等级的信息系统明确的在监管和监管资质方面进行了规定。这些法规标准的出台和实施为信息安全的监理工作提供了有效的生长环境,同时也预示着信息安全监理的大幕正在拉开,通过第三方的监理手段提高信息安全工作有效性正成为产业中一股新的力量。
重视实施
在信息安全工作体系当中,监理可以发挥极为重要的作用,有效的监理工作可以节约资源并保障信息安全工作的顺利开展。
在实施信息安全的过程中,监理机制可以保障安全特性与系统核心的工作目标适配,避免安全目标与系统目标之间发生冲突。即使对于信息安全本身,其保密性、完整性和可用性三大基本要求之间也存在着潜在的冲突,例如,在很多时候为了提高保密性的要求而可能会损害到信息的可用性,这些问题的权衡和建议体现了监理工作在整个系统体系设计层次的作用。
基于资源有限这一基本原理,在实施信息安全工作的过程中一个非常重要的问题在于使用合适的资源对不同类型的信息资产进行保护。很多信息安全工程或是没有分清保护的重点,或是对某些信息资产投放了过度的资源,这对于系统的安全乃至系统本身的运转都会造成不良影响。监理机制能够在资源调配上起到监管作用,从设计阶段就发现信息安全系统中潜藏的缺陷。
作为监理机制最重要的作用之一,监督信息安全的实施过程是信息安全监管的重中之重。即使拥有完善的信息安全系统设计也并不能保证信息安全工作的成功,保证实施方按照设计方案正确的进行实施与对设计方案的分析一样重要。在很多信息安全工程中存在着执行不利的问题,监理工作非常适合在执行过程中的发挥保障作用,在这类相对确定且可变性较低的层面可以充分发挥监理的标准化能力及管理能力。
从规范到管理
众所周知,在信息安全体系中管理制度和人员的因素与其它信息工程相比要占据更重要的地位。从信息安全制度规范的实施到安全意识技能培训,往往受制于企业内部的阻力。通过监理的形式促进这些工作的开展,除了可以有效的提高信息安全工作的质量,同时还可以推进整套工作的进展。
一个容易被忽视的信息安全问题是信息安全体系建设完成之后的管理,在一个信息安全系统建设完成之后并不代表着工作的结束,运营过程中的监管是不容忽视的。一个应用系统层面的变更带来的往往是生产力的促进和提高,而这种变更所带来的安全层面的变更往往会对信息安全体系造成巨大的破坏。所以在信息安全体系建设之后的生命周期当中,监理机制仍能够起到重要作用,保证信息安全工作的延续性。
对比篇:拨开安全监理与审计的迷雾
审计通常是指审计方在接受委托后,通过收集各种信息和证据从而对审计目标是否达到了预先设定的目标进行判断和指导,延伸到信息安全领域就是通过对计算机系统的数据进行记录和检验从而了解系统是否达到了要求的安全指标。而依照《信息系统工程监理暂行办法》,信息系统监理是指依法设立且具备相应资质的监理单位受托依据国家有关法规和标准对信息系统工程项目实施监督及管理。从概念上分析,这两种服务的目的都在于降低信息系统工程实施过程中的风险,从基本出发点上是完全相同的。
走出概念的误区
在实际的工作范畴以及作用等方面,监理和审计并不完全相同。
就一个信息安全体系来说,本身就需要记录充分的信息予以存档留待需要时分析,这也是审计机制中最核心的鉴证功能。但是一个成熟的信息审计过程并不仅仅如此,更重要的是通过第三方的力量对目标信息的真实性、完整性、可靠性进行验证,从而为决策行为提供充分有效的证明。从不同的视角对一个安全系统进行分析,可以更加真实的还原信息系统的安全现状,同时可以利用审计机构所具备的知识和经验,完善系统设计,以提高实施成功率。
从这一点来看,信息安全审计服务与信息安全监理服务的作用有一定的交叉性。而在此基础之上,信息安全监理还具有一些信息安全审计不具备的职能。首先信息安全监理需要履行监管的职责,也即不仅仅象信息安全审计过程一样要进行咨询、分析、建议,还要对整个安全体系的实施乃至运行采取强于审计工作的控制,以第三方的力量稳定项目发展的轨道。另外,信息安全监理还需要在项目开展过程中协调客户与实施方等多方之间的关系,保证参与方确实的履行合同条款,去除隐藏的欺诈行为。也就是说信息安全监理更侧重于项目成功的保障,而信息安全审计更侧重于信息的可信性。
值得一提的是,在针对项目范畴的信息审计在关注信息可信的基础上也包含了对信息系统有效性的审计,集中体现于对项目完成后系统运营状态的审计,在对于这一生命周期的关注上信息安全审计要强于信息安全监理。
正确实践
在实际的信息安全项目当中,信息安全监理与信息安全审计也有很多区别,集中体现于工作主体上的差异。
对于监理来说,必须由第三方完成相关工作,否则就失去了公正性和监管力。而对于审计来说,除了聘用外部机构对系统的安全性开展审计工作之外,很多情况下审计工作也可以由组织内部的信息安全团队完成。在通常情况下,基本的信息安全审计都是由内部人员定期执行并向管理层进行反馈,利用外部力量进行审计的情况相对较少,这也与国内用户对第三方审计的认知不够有关。
另外,审计和监理服务所面向的服务对象也有一定的差异。信息审计所具有的公证性目标,在执行信息安全审计时往往服务于类似管理层这样发起审计要求的局部对象。而信息安全监理则往往服务于用户和实施方两方,即使在特定情况下监理机制作用于组织内部的不同部门和层级,也具有作用多个对象的特征。
总体来看,在作用方面信息安全监理与信息安全审计处于相互融合、互相支撑的关系。在一个成功的信息安全项目当中,两者的作用都不容忽视,应该根据具体需要进行具体选择,并开展符合实际应用环境的具体应用。
实践篇:安全规划 重在督导
缺乏规划性是很多信息安全项目失败的主因,所以监理机构有责任向用户提出实施规划方面的建议。建议的方面有很多,而主要的原则面则基于成熟的信息安全项目操作经验。
安全原则不容忽视
首先我们要在规划制订过程中树立以人为本的意识,对计算机系统进行安全管理要充分结合对人的管理。授权最小化是安全管理的核心原则之一,保障权限授予的合理并减少冗余是任何安全体系成功的基础。
另外,在安全规划中不能忽视却常常被忽视的一个问题就是物理安全,协助用户分析如何管理各种存储介质,完善用户所在建筑物的安全管理,都是在监理工作过程中需要注意的问题。
对于安全事件的响应也是监理应该重点关心的方向,很多用户的信息安全体系具有完善的保护计划,但是在执行保护工作的过程中却常常因为缺乏健全的响应计划而导致信息资产的损失。特别是对于那些服务范围只涉及建设过程的监理,如果在规划阶段忽视了运营过程中的响应机制,就会给客户遗留一个缺乏后续保障的安全体系。
除此以外,还有很多问题值得关注,但相对来说有更多的范例可以借鉴,同时也更加容易通过规范来保障。信息安全监理应该在全局掌握的基础上,重点关注那些相对容易忽视、可变性较高、人员协调需要较强的范畴。
有效沟通是保障
规划的建立只是开始,在整个信息安全监理工作过程中,应该通过与用户的充分沟通,形成一套切实可行的安全管理制度。一般常见的安全管理制度包括了权限管理、操作规章、定期检测制度、信息分级、信息销毁、介质管理、响应计划、变更管理、员工培训等等。在形成制度的同时,一个更加不容忽视的问题在于制度的学习和实践,这也是监理机构发挥督管作用的重要阵地。
在实际工作过程中,制度的推行往往在客户方遇到一定的阻碍,而面对这种阻碍,往往会导致实施方降低项目的推进力。在这种情况下,监理方应该及时、确实的把握双方的思维动向,缓冲双方之间的矛盾,以便于达到项目协调的作用。
另外,监理方还应该对照双方确认完成的制度条款,通过检验手段保证安全管理工作能够顺利实施。这样既能够保证用户得到有效的安全保护系统,同时也是对实施方的工作成果负责,在此基础上监理方才能对双方的利益开展协调。在监理工作当中还有一个需要高度重视的问题,那就是监理方本身对于制度的遵守和执行。
作为用户与实施方的媒介,监理方必须严格依照实现制订的标准完成监理工作,这是获得信任的基础。同时监理方也应该尽力遵守用户和实施方之间的协议以及制订出的制度(例如进场制度),只有得到两方的尊重,才能顺利保证监理工作的开展。
篇12
21世纪是信息的时代,一方面,信息科学和技术正处于空前繁荣的阶段,信息产业成为世界第一大产业,另一方面,危害信息安全的事件不断发生,信息安全的形势是严峻的。因此在信息社会中,只有厘清信息系统的安全需求,才能确切地把握各类信息系统及计算机网络系统等所面临的风险,并使信息安全风险处于可控范围之内。该文的研究旨在从信息系统安全等级保护的角度,系统地分析信息系统的安全需求,从而为切实保证网络基础设施与业务系统安全、可靠运行提供理论依据。
1 信息系统安全威胁
要保证信息系统的安全可靠,必须全面了解信息系统可能面临的所有安全威胁和风险。威胁是指可能对信息系统资产或所在组织造成损害事故的潜在原因;威胁虽然有各种各样的存在形式,但其结果是一致的,都将导致对信息或资源的破坏,影响信息系统的正常运行,破坏提供服务的有效性、可靠性和权威性。
任何可能对信息系统造成危害的因素,都是对系统的安全威胁。威胁不仅来来自人为的破坏,也来自自然环境,包括各种人员、机构出于各自目的的攻击行为,系统自身的安全缺陷以及自然灾难等。信息系统可能面临的威胁见图1。
2 信息系统安全需求分析
信息系统等级保护的安全需求基本分为技术需求和管理需求两大类。
技术类安全需求通常与信息系统提供的技术安全机制有关,主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全需求通常与信息系统中各种角色参与的活动有关,主要是通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
2.1 信息系统安全技术需求
2.1.1 物理需求
(1)当面临雷击、地震、台风、高温等自然灾难,需要通过对物理位置的选择、温湿度的控制,以及采取防雷击措施等来解决问题;
(2)供电系统故障,需要合理设计电力供应系统,如:购买UPS系统或者建立发电机机房来保障电力的供应;
(3)网络设备、系统设备及其他设备使用时间过长等原因导致硬件故障,需要通过对产品采购、自行软件开发、外包软件和测试验收进行管理,对存储介质进行管理,建立一套监控管理体系;
(4)攻击者利用非法手段进入机房内部盗窃、破坏等,需要进行环境管理、采取物理访问控制策略、实施防盗窃和防破坏等控制措施。
2.1.2 网络需求
(1)内部人员未授权接入外部网络,需要通过边界的完整性检查、网络审计、主机审计、应用审计等手段解决。
(2)设施、通信线路、设备或存储介质因使用、维护或保养不当等原因导致故障,需要通过线路状态检测、线路冗余、数据备份与恢复等技术手段解决。
(3)攻击者恶意地消耗网络、操作系统和应用系统资源,导致拒绝服务,需要通过主机资源优化、网络入侵检测与防范、网络结构调整与优化等技术手段解决。
(4)攻击者盗用授权用户的会话连接,需通过身份鉴别、访问控制、通信加密等技术手段解决。
2.1.3 系统需求
(1)攻击者在软硬件分发环节(生产、运输等)中恶意更改软硬件,需通过恶意代码方法、控制台审计等技术手段解决。
(2)攻击者利用网络扩散病毒,需通过恶意代码方法、控制台审计等技术手段解决。
(3)内部人员下载、拷贝软件或文件,打开可疑邮件时引入病毒。需通过恶意代码防范技术手段解决。
(4)授权用户对系统错误配置或更改。需通过安全审计、数据备份和恢复等技术手段解决。
2.1.4 应用安全需求
(1)系统软件、应用软件运行故障,需要通过对产品采购、自行软件开发、外包软件和测试验收进行管理,对入侵系统和软件的行为进行监测和报警;
(2)系统软件、应用软件过度使用内存、CPU等系统资源,需要对系统软件和应用软件进行入侵行为的防范,并进行实时的监控管理;
(3)攻击者进行非法访问,需要对网络设备进行防护、对访问网络的用户进行访问控制、对访问网络的用户身份进行鉴别来加强访问控制措施;
(4)攻击者提供伪造的应用系统服务进行信息的窃取,需要加强网络边界完整性检查,加强对网络设备进行防护、对访问网络的用户身份进行鉴别。
2.1.5 数据安全需求
(1)内部人员利用技术或管理漏洞,未授权修改重要系统数据或修改系统程序,需要通过网络安全审计、恶意代码防范、网络访问控制、身份鉴别、通信完整性、入侵防范等技术手段解决;
(2)攻击者截获数据,进行篡改、插入,并重发,造成数据的完整性、真实性丧失,需要通过通信完整性、数据完整性、通信保密性、数据保密性、密码管理等技术手段解决;
(3)通信过程中受到干扰等原因发生数据传输错误,需要通过通信完整性、数据完整性等技术手段解决;
(4)攻击者利用通信干扰工具,故意导致通信数据错误,需要通过结构安全和网段划分、通信完整性、数据完整性等技术手段解决。
2.2 信息系统安全管理需求
2.2.1 管理机构
(1)需要建立安全职能部门,设置安全管理岗位,配备必要的安全管理人员、网络管理人员、系统管理人员;
(2)需要配备相应的安全管理员、网络管理员、系统管理员;
(3)需要建立定期和不定期的协调会,就信息安全相关的业务进行协调处理;
(4)需要建立相应的审核和检查部门,安全人员定期的进行全面的安全检查。
2.2.2 管理制度
(1)需要制定信息安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
(2)需要建立安全管理制度,对管理活动进行制度化管理,制定相应的制定和制度;
(3)需要各功能部门协调机制,进行必要的沟通和合作;
(4)需要建立恰当的联络渠道,进行必要的沟通和合作,在必要的时候,进行事件的有效处理;
(5)需要建立备案管理制度,对系统的定级进行备案。
2.2.3 人员安全
(1)需要对人员的录用进行必要的管理,确保人员录用的安全;
(2)需要对人员的考核进行严格的管理,提高人员的安全技能和安全意识;
(3)需要对人员进行安全意识的教育和培训,提高人员的安全意识;
(4)需要对第三方人员访问进行严格的控制,确保第三方人员访问的安全。
2.2.4 系统建设
(1)需要具有设计合理、安全网络结构的能力;
(2)需要密码算法和密钥的使用符合国家有关法律、法规的规定;
(3)需要任何变更控制和设备重用要申报和审批,并对其实行制度化的管理;
(4)需要对信息系统进行合理定级,并进行备案管理;
(5)需要自行开发过程和工程实施过程中的安全;
(6)需要对软硬件的分发过程进行控制;
(7)需要信息安全事件实行分等级响应、处置。
2.2.5 系统运维
(1)需要各种网络设备、服务器正确使用和维护;
(2)需要用户具有鉴别信息使用的安全意识;
(3)需要硬件设备、存储介质存放环境安全,并对其的使用进行控制和保护;
(4)需要提供足够的使用手册、维护指南等资料;
(5)需要在事件发生后能采取积极、有效的应急策略和措施。
3 结论与建议
3.1 以信息系统安全需求促进系统安全等级保护,建立信息安全管理的长效机制
信息安全等级保护是国家信息安全保障工作的基础制度,信息安全需求的研究是从系统风险管理角度最大限度地为保障信息安全提供科学依据,作为信息系统使用机构,开展信息安全等级保护定级和信息安全需求研究工作,其最终目标就是建立“量身定做”的信息安全管理体系。按照“谁主管谁负责、谁运营谁负责”和“适度安全、保护重点”的原则,准确进行安全等级定级,并在信息化建设整个生命周期中构建好信息安全管理体系,并紧紧围绕“信息系统安全需求”这个等级保护主要抓手,结合国家规范、行业规范和系统工作实际,认真探索、大胆创新。
3.2 信息系统安全需求分析是信息安全管理的重要环节
信息系统安全需求的研究是信息安全管理的一个阶段,是信息安全风险管理的重要环节,是信息安全保障体系建立过程中的重要决策机制。信息安全管理要依靠是否满足系统安全的需求来确定随后的风险控制和审核批准活动。信息系统安全需求的提出使得机构能够准确“定位”安全管理的策略、实践和工具,能够将安全活动的重点放在重要的问题上,能够选择成本效益合理的和适用的安全对策。因此,系统安全需求是信息安全管理体系和信息管理管理的基础,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一,它为实施风险管理和风险控制提供了直接依据。
参考文献
篇13
(3)网络通信安全较为脆弱。网络通信安全五项指标中,网络攻击防护与业务文档记录方面,医院相对比较重视,比例分别达到94%与84%,但实地调查发现其网络攻击防护还处于低水平状态。实行网络隔离与访问控制的医院仅占30%,大多数医院网络访问随意性大,医院网络可随意互访,信息流通和共享畅通无阻,这给医院信息安全带来极大的安全隐患。实行入侵检测的医院不到30%,说明中国数字化医院还处于被动防御阶段,远未达到主动防御水平,同时信息系统的纵深防护水平不高,由此导致数字化医院以计算机病毒、黑客攻击等为代表的安全事件频繁发生。实行密钥管理的医院则仅13%,说明医院网络密钥其实几乎还处于无人监管状态。
(4)人员安全隐患重重。人员安全四项指标调查结果都不容乐观,尤其是进行第三方合作合同的控制和管理的医院仅占10%,说明中国数字化医院在人员安全管理方面还远未重视,由此导致医院内部存在大量网络操作违规现象。如,网络操作人员随意将自己的登录账号转借他人,随意将一些存储介质接入信息系统,未经授权同时访问外网与内网,一些人员为了谋取个人私利,非法访问内部网络,窃取、伪造、篡改医疗数据等,这使得中国数字化医院信息安全事故频频发生。
(5)组织管理安全有待加强。组织管理安全四项指标中,160家医院都设置了安全管理组织机构,说明所有医院都很重视信息安全管理工作,但安全管理制度完整的医院仅114家,且多数在应急管理制度制定方面较为欠缺,而安全管理制度实施情况调查显示,只有40%的医院安全管理制度得到实施,这意味着60%的医院的安全管理制度形同虚设。在人力财力保障方面给予充分保障的医院不到50%,由于缺乏人力财力的保障,目前许多医院信息安全系统建设难以为继。综上所述,中国数字化医院还存在着极大的信息安全隐患。因此,数字化医院信息安全建设已迫在眉睫。
2动态网络安全模型的比较分析
面对复杂多样的信息安全风险以及日益严峻的信息安全局势,动态网络安全模型为中国数字化医院信息安全建设提供了理论基础。典型的动态网络安全模型有PPDR模型、PDRR模型、MPDRR模型和WPDRRC模型等,这些安全模型各有特点,各有侧重,已广泛应用于多个领域的信息安全建设实践。环节。它强调在安全策略的指导下,综合采用防火墙、VPN等安全技术进行防护的同时,利用入侵检测系统等检测工具,发现系统的异常情况,以及可能的攻击行为,并通过关闭端口、中断连接、中断服务等响应措施将系统调整到一个比较安全的状态。其中,安全策略是核心,防护、检测和响应环节组成了一个完整、动态的安全循环,它们共同保证网络系统的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基础上增加恢复(Recovery)环节发展而来,由防护(Protection)、检测(Detection)、响应(Re-sponse)和恢复(Recovery)四个环节组成(见图2)。其核心思想是在安全策略的指导下,通过采取各种措施对需要保护的对象进行安全防护,并随时进行安全跟踪和检测以了解其安全状态,一旦发现其安全受到攻击或存在安全隐患,则马上采取响应措施,直至恢复安全保护对象的安全状态。与PPDR模型相比,PDRR模型更强调一种故障的自动恢复能力,即系统在被入侵后,能迅速采取相应措施将系统恢复到正常状态,从而保障系统的信息安全。因此,PDRR模型中的安全概念已经从信息安全扩展到了信息保障,信息保障内涵已超出传统的信息安全保密,是防护、检测、响应、恢复的有机结合。
3基于动态网络安全模型的中国数字化医院信息安全体系构建
结合动态网络安全模型,并依据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239—2008)、《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070—2010)等标准规范,本文试构建一个以信息安全组织机构为核心,以信息安全策略、信息安全管理、信息安全技术为维度的数字化医院信息安全体系三维立体框架。即,在进行数字化医院信息安全建设时,我们应成立一个信息安全组织机构,并以此为中心,通过制定信息安全总体策略、加强信息安全管理,利用各项信息安全技术,并将其贯彻在预警、保护、检测、响应、恢复和反击6个环节中,针对不同的安全威胁,采用不同的安全措施,从而对系统物理设备、系统软件、数据信息等受保护对象进行全方位多层次保护。
(1)信息安全组织机构是数字化医院信息安全体系构成要素中最重要的因素,在信息安全体系中处于核心地位。它由决策机构、管理机构与执行机构三部分组成。其中,决策机构是医院信息安全工作的最高领导机构,负责对医院信息安全工作进行总体规划与宏观领导,其成员由医院主要领导及其他相关职能部门主要负责人组成。管理机构在决策机构的领导下,负责信息安全体系建设规划的制定,以及信息安全的日常管理工作,其成员主要来自于信息化工作部门,也包括行政、人事等部门相关人员参与。执行机构在管理机构的领导下,负责保证信息安全技术的有效运行及日常维护,其成员主要由信息化工作部门相关技术人员及其他相关职能部门的信息安全员组成。信息安全组织机构应对医院信息安全工作进行科学规划,经常进行不定期的信息安全检查、评估和应急安全演练。其中对那些严重危及医院信息安全的行为应进行重点管理和监督,明确信息安全责任制,从而保证信息安全各项工作的有效贯彻与落实。
(2)信息安全策略是数字化医院信息安全得以实现的基础。其具体制定应依据国家信息安全战略的方针政策、法律法规,遵循指导性、原则性、可行性、动态性等原则,按照医疗行业标准规范要求,并结合医院自身的具体情况来进行,由总体方针与分项策略两个层次组成,内容涵盖技术层、管理层等各个层面的安全策略,最终实现“进不来、拿不走、看不懂、改不了、逃不掉”的安全防御目的,即在访问控制机制方面做到“进不来”、授权机制方面做到“拿不走”、加密机制方面做到“看不懂”、数据完整性机制方面做到“改不了”、审计/监控/签名机制方面做到“逃不掉”。
(3)信息安全管理是数字化医院信息安全得以实现的保障。它包括人员管理、技术管理和操作管理等方面。当前中国数字化医院在信息安全管理中普遍存在的问题:在安全管理中对人的因素重视不够、缺乏懂得管理的信息安全技术人员、信息安全意识不强、员工接受的教育和培训不够、安全管理中被动应付的较多等。因此,数字化医院一方面应加强全员信息安全意识,加大信息安全人员的引进、教育与培训力度,提高信息安全管理水平;另一方面应制定具体的信息安全管理制度,以规范与约束相关人员行为,保证信息安全总体策略的贯彻与信息安全技术的实施。
(4)信息安全技术是数字化医院信息安全得以实现的关键。数字化医院信息安全建设涉及防火墙、防病毒、黑客追踪、日志分析、异地容灾、数据加密、安全加固和紧急响应等技术手段,它们贯穿于信息安全预警、保护、检测、响应、恢复与反击六个环节。数字化医院应切实加强这六个环节的技术力量,确保其信息安全得以实现,具体体现在:①预警。医院应通过部署系统监控平台,实现对路由器、交换机、服务器、存储、加密机等系统硬件、操作系统和数据库等系统软件以及各种应用软件的监控和预警,实现设备和应用监控预警;或采用入侵防御系统,分析各种安全报警、日志信息,结合使用网络运维管理系统,实现对各种安全威胁与安全事件的预警;并将这些不同层面的预警,统一到一套集中的监控预警平台或运维管理平台,实现统一展现和集中预警。②保护。主要包括物理安全、系统安全与网络通信安全等方面的安全保护。对于中心机房、交换机、工作站、服务器等物理设备的安全防护,主要注意防水、防雷、防静电以及双机热备等安全防护工作。系统安全主要包括操作系统与数据库系统等的安全防护。操作系统的主要风险在于系统漏洞和文件病毒等。为此,医院需运用防火墙技术控制和管理用户访问权限,并定期做好监视、审计和事件日志记录和分析。所有工作站应取消光驱软驱,屏蔽USB接口,同时为各个客户端安装杀毒软件,并及时更新,从源头上预防系统感染病毒。数据库安全涉及用户安全、数据保密与数据安全等。为此,需对数据库进行权限设置。对于关键数据,应进行加密存储。对于重要数据库应做好多种形式的备份工作,如本地备份与异地备份、全量备份与增量备份等,以保证数据万无一失。对于网络通信安全防护,医院网络应采用物理隔离的双网架构,如果内网确需开展对外的WWW等服务,应单独设置VLAN,结合防火墙设备,通过设置DMZ的方式实现与外界的安全相连。同时,医院应合理的设置网络使用权限,严格进行用户网络密码管理,防止越权操作。③检测。检测是从监视、分析、审计信息网络活动的角度,发现对于信息网络的攻击、破坏活动,提供预警、实时响应、事后分析和系统恢复等方面的支持,使安全防护从单纯的被动防护演进到积极的主动防御。前述防护系统能阻止大部分入侵事件的发生,但是它不能阻止所有的入侵。因此安全策略的另一个重要屏障就是检测。常用工具是入侵检测系统(IDS)和漏洞扫描工具。利用入侵检测系统(IDS)对医院系统信息安全状况进行实时监控,并定期查看入侵检测系统生成的报警日志,可及时发现信息系统是否受到安全攻击。而通过漏洞扫描工具,可及时检测信息系统中关键设备是否存在各种安全漏洞,并针对漏洞扫描结果,对重要信息系统及时进行安全加固。④响应。主要包括审计跟踪、事件报警、事件处理等。医院应在信息系统中部署安全监控与审计设备以及带有自动响应机制的安全技术或设备,当系统受到安全攻击时能及时发出安全事故告警,并自动终止信息系统中发生的安全事件。为了确保医院正常的医疗服务和就医秩序,提高医院应对突发事件的能力,医院还应成立信息安全应急响应小组,专门负责突发事件的处理,当医院信息系统出现故障时,能迅速做出响应,从而将各种损失和社会影响降到最低。其他事件处理则可通过咨询、培训和技术支持等得到妥善解决。⑤恢复。主要包括系统恢复和信息恢复两个方面。系统恢复可通过系统重装、系统升级、软件升级和打补丁等方式得以实现。信息恢复主要针对丢失数据的恢复。数据丢失可能来自于硬件故障、应用程序或数据库损坏、黑客攻击、病毒感染、自然灾害或人为错误。信息恢复跟数据备份工作密切相关,数据备份做得是否充分影响到信息恢复的程度。在信息恢复过程中要注意信息恢复的优先级别。直接影响日常生活和工作的信息必须先恢复,这样可提高信息恢复的效率。另外,恢复工作中如果涉及机密数据,需遵照机密系统的恢复要求。⑥反击。医院可采用入侵防御技术、黑客追踪技术、日志自动备份技术、安全审计技术、计算机在线调查取证分析系统和网络运维管理系统等手段,进行证据收集、追本溯源,实现医院网络安全系统遭遇不法侵害时对各种安全威胁源的反击。
