本文作者：杜寧寧趙慶亮作者單位：國家開發(fā)銀行

一、信息安全概況

隨著信息技術的飛速發(fā)展，金融機構生產、使用和共享的信息呈現幾何增長的態(tài)勢，信息傳遞的方式和渠道急劇增加，在為金融機構帶來收益和效率的同時，也使信息安全問題更加凸顯。在全球范圍內，信息安全事件頻發(fā)，給銀行和客戶造成經濟損失的同時，也帶來了巨大的聲譽損失。如何有效提升信息安全管理水平，成為銀行關注的焦點。信息安全審計作為信息安全保障工作中的重要一環(huán)，能夠促進信息安全控制措施的落實，規(guī)范信息安全管理，提高全員信息安全意識，從而有利于保持和持續(xù)改進銀行信息安全能力和水平。

根據當前的信息安全管理體系國家標準GB/T22080-2008（等同采用ISO/IEC27001:2005），信息安全保障工作從整體看應包括四個階段：一是規(guī)劃和建設階段（Plan，簡稱“P階段”）；二是實施和運行階段（Do，簡稱“D階段”）；三是監(jiān)視和評審階段（Check，簡稱“C階段”）；四是保持和改進（Act，簡稱“A階段”）。這四個階段按順序循環(huán)往復，從而使信息安全得到持續(xù)改進。這種方法也被稱為“PDCA循環(huán)”，如圖1所示。

經過近十幾年的努力，金融行業(yè)信息安全保障工作已經普遍走過了“P階段”和“D階段”，金融行業(yè)的信息安全需求已基本明確，滿足信息安全需求的基礎設施也基本具備。經過大范圍的規(guī)劃建設，各金融機構已經建立了相對完備的信息安全軟硬件環(huán)境，初步形成了信息安全保障體系。盡管如此，作為關系國計民生的重要基礎產業(yè)，金融行業(yè)對信息安全有著更高的要求，也面臨著更大的信息安全風險挑戰(zhàn)。近年來，金融行業(yè)頻繁發(fā)生的信息安全事件表明，金融行業(yè)信息安全保障工作還存在很多缺陷和不足。導致這一局面的因素很多，其中一個重要的原因就是大家普遍重視信息安全的建設和運行，而忽視了信息安全工作的檢查和改進。從整體上看，金融行業(yè)信息安全保障工作已經走過“P階段”和“D階段”，尚未進入“C階段”和“A階段”，還沒有形成完整的基于“PDCA”過程方法的持續(xù)改進機制。接下來金融行業(yè)信息安全工作的重心應該轉向檢查和改進。信息安全審計是“C階段”的主要手段。它利用傳統(tǒng)財務審計和審計工作的規(guī)范與嚴謹，結合信息和保密技術的工具與手段，對金融機構信息安全工作的成效和不足給出客觀、確定的審計結論，并根據審計結果，對金融機構的信息安全保障工作提出改進措施、給出合理化建議。

為了對商業(yè)銀行信息科技整個生命周期內的信息安全、業(yè)務連續(xù)性管理和外包等主要方面提出高標準、高要求，滿足商業(yè)銀行信息科技風險管理的需要，銀監(jiān)會2009年了《商業(yè)銀行信息科技風險管理指引》，其中第六十五條規(guī)定：“商業(yè)銀行應根據業(yè)務性質、規(guī)模和復雜程度，信息科技應用情況，以及信息科技風險評估結果，決定信息科技內部審計范圍和頻率。但至少應每三年進行一次全面審計。”

摘要：隨著云計算、大數據等技術的高速發(fā)展，各地政府響應“放管服”改革和建設服務型政府的戰(zhàn)略決策，逐漸深化電子政務的實踐。本文首先以文獻綜述的方式系統(tǒng)性分析近年來國內外關于信息系統(tǒng)審計的研究進展，其次梳理我國信息系統(tǒng)審計發(fā)展概況，最后提出電子政務信息系統(tǒng)云安全審計體系。文末分析我國信息系統(tǒng)安全審計亟待解決的問題，并從行業(yè)法規(guī)標準的完善、審計工具軟件的優(yōu)化配置及人才培養(yǎng)儲備等方面提出相關改進建議。

關鍵詞：云計算；電子政務；信息系統(tǒng)審計；安全審計

一、引言

“十二五”規(guī)劃明確要求以云計算為基礎，積極構建并完善政府公共服務平臺，促進政府各機關組織全方位協(xié)同、信息資源共享以及為信息安全提供保障。“互聯網+政務服務”的概念在2016年政府報告中被提及，自此政務云、政務信息系統(tǒng)的建設步履不停。翟云（2017）認為“互聯網+政務服務”能夠推動政府實現治理現代化。從實踐成果方面看，全國各地積極將電子政務系統(tǒng)投入公共服務工作中，并建成各省市區(qū)網上政務信息平臺。成都市致力于統(tǒng)籌公共信息平臺與信息系統(tǒng)，綜合調度、加強政務信息系統(tǒng)的交互訪問；2019年甘肅開辟多條信息化稅務通道“前后呼應”為民眾減負；北京大興區(qū)政府致力于建設智慧城市、打通政務服務“最后一公里”，與百度合作共同打造“指尖上的政務”；2020年浙江開設“云上商務廳”，提供線上“廳長問診”服務。據2020年聯合國出具的對世界各國電子政務調查報告顯示，我國2020年電子政務發(fā)展指數居全球第45位，排名較之前有了顯著提升。我國電子政務系統(tǒng)建設雖初有成效，但仍有進步空間。在信息系統(tǒng)設計與實施方面，電子政務信息系統(tǒng)的協(xié)同與完善、政務數據互聯共享機制有待完善；在數據存儲安全方面，信息存儲與訪問安全、公民隱私保護措施仍有待加強。

二、相關概念與理論基礎

1．電子政務。電子政務是依賴信息技術與通信技術開展的政府政務活動。電子政務建立在一系列信息基礎設施之上，使用相關軟件實現政府功能，電子政務信息系統(tǒng)是一種利用網絡實現公共服務，集信息處理、交互、反饋為一體的系統(tǒng)，電子政務信息系統(tǒng)適用于政府各機關組織、企業(yè)和公眾。電子政務信息系統(tǒng)服務的對象包括該組織的內部機構，以及其他機構、團體、企業(yè)和公眾，處理內容包括政府機構的內部信息，可以在一定范圍內交換的信息，并接受各種類型的投訴、建議和要求。簡而言之，電子政務信息系統(tǒng)是一種政府綜合行政電子管理系統(tǒng)，通過技術手段將政府傳統(tǒng)行政方式轉變?yōu)殡娮庸芾砟Ｊ健?/p>

計算機會計信息系統(tǒng)實現網絡處理后,由于系統(tǒng)的入口增多,操作人員和信息使用者干預系統(tǒng)的機會增大,系統(tǒng)面臨的安全隱患也必然增多。尤其隨著Internet/Intranet的應用,外部日益擴大的網絡環(huán)境對會計信息系統(tǒng)本身及其安全又將產生更大的影響,不僅影響傳統(tǒng)的會計業(yè)務處理及信息的披露方式,而且安全方面會產生更多的不確定因素。除了計算機軟硬件的不安全因素之外,會計信息系統(tǒng)還將面臨人文方面的更大風險,例如來自不法之徒的風險就有:

1利用網絡及安全管理的漏洞窺探用戶口令或電子帳號,冒充合法用戶作案,篡改磁性介質記錄竊取資產。

2利用網絡遠距離竊取企業(yè)的商業(yè)秘密以換取錢財,或利用網絡傳播計算機病毒以破壞企業(yè)的信息系統(tǒng)。

3建立在計算機網絡基礎上的電子商貿使貿易趨向“無紙化”,越來越多的經濟業(yè)務的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結算單及其它帳單,就有可能將公私財產的所有權進行轉移。

計算機網絡帶來會計系統(tǒng)的開放與數據共享,而開放與共享的基礎則是安全。企業(yè)一方面通過網絡開放自己,向全世界推銷自己的形象和產品,實現電子貿易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財務秘密,而其中已實現了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創(chuàng)造一個安全的環(huán)境,抵抗來自系統(tǒng)內外的各種干擾和威協(xié),做到該開放的放開共享,該封閉的要讓黑客無奈。

一、網絡安全審計及基本要素

1概念

道路交通安全審計是由符合相關資質條件的專業(yè)團隊對道路、交通項目潛在的安全隱患進行獨立、客觀地調查，給出正式的審計報告，列明安全隱患、提出消除或減輕隱患的措施，力求提升項目的安全水平。道路安全審計旨在通過專業(yè)人士的職業(yè)判斷，幫助把安全的理念融入具體項目之中，有幾點需要明確：（1）道路安全審計不同于事故多發(fā)點段調查，事故多發(fā)點段調查是事后行為，而道路安全審計是預防行為。（2）道路安全審計不是對設計標準的檢查，其僅限于道路安全范疇。（3）道路安全審計實施范圍靈活方便，審計項目可以大到整條公路或城市道路，也可以小至一處平交道口。（4）道路安全審計并不為項目出現的安全事故承擔責任，責任仍由項目管理方或設計方承擔。審計人員致力于發(fā)現問題，而解決問題則是工程師（管理或設計方）的責任。

2工作程序

道路安全審計由擬建或既有項目的主管機構委托有資質的、專業(yè)化的審計隊伍按照規(guī)定的程序實施，一般步驟如下：（1）選擇審計隊伍。擇優(yōu)選擇審計單位和人員，審計人員必須經驗豐富、嚴謹認真且與設計無關，確保客觀、公正、可靠。（2）提供項目背景資料。包括道路的勘察、設計資料，以及與道路交通安全相關的各種調查統(tǒng)計資料。（3）召開啟動會議。與會各方商討具體目標、階段安排、溝通渠道等事項。（4）開展審計工作。根據收集資料進行分析評價，以及現場實地觀測，發(fā)現可能存在的安全問題。內外業(yè)應同步、交叉進行。（5）編寫審計報告。主要對發(fā)現的不安全因素進行逐項闡明，并提出修正建議。（6）召開完工會議。主要工作是各方討論審計報告，需要注意的是，審計的目的在于幫助提升項目安全，對于審計提出的問題，不應進行刪減或弱化。（7）書面回復。委托方對審計報告中提出的問題予以回復，可以有不同意見，但應列明充分的理由。（8）采取行動。根據書面回復的內容，修改設計或動工消除隱患。為提高時效，第3、6步的兩次會議，現今常以電子郵件或網絡會議方式進行，重在各方充分溝通意見、取得一致。

3實施階段

審計工作在各國大都分為可行性研究、初步設計、施工圖設計、預通車和運營等五個階段，文章借鑒有關文獻論述，將施工階段的審計也單獨劃分開來。

摘要：結合主機安全狀態(tài)監(jiān)控與主機違規(guī)行為審計的需求，實現了一個主機安全審計系統(tǒng)。本文從系統(tǒng)架構和功能角度提出了系統(tǒng)設計和實現方案，系統(tǒng)實現了文件監(jiān)控、上網記錄、非法外聯、打印、光盤刻錄、U盤使用等主機審計功能。

關鍵詞：主機安全；安全審計；信息安全

0引言

安全問題是各類信息系統(tǒng)共同面臨的威脅。主機是信息系統(tǒng)的基本組成部分，是獲取、存儲和傳遞信息的載體。主機安全是信息系統(tǒng)安全的基石。很大比例的安全事件是由內部人員對主機的違規(guī)使用引起的，例如，使用主機非法外聯，非法主機違規(guī)進入內部網絡、存儲或處理過辦公網信息的移動載體并連接到互聯網等。為了有效防止違規(guī)操作的發(fā)生，加強對主機終端的安全管理并對主機行為進行審計取證勢在必行。通過主機審計系統(tǒng)能夠對主機的各類行為進行有效管控，保障主機安全穩(wěn)定運行，構建一個安全的內網環(huán)境，提升信息系統(tǒng)的安全性能。

1主機安全審計技術原理

主機安全審計技術是一門傳統(tǒng)審計與信息安全相結合的技術。主機安全審計對與安全活動相關的信息進行記錄和存儲，在此基礎上根據一定的安全策略，對歷史操作數據進行分析，為事后追蹤和處理奠定基礎。主機安全審計應用于主機的使用與管理，包含很多具體功能，如針對主機非法外聯的報警和控制，針對文件的拷貝、刪除等訪問的監(jiān)控，針對打印、上網、光盤刻錄等行為的監(jiān)控，并將這些行為通過日志記錄下來，以便事后審計。安全審計保證了用戶違反規(guī)則、越權的操作的不可抵賴性，對潛在的內部違規(guī)或攻擊行為起到震懾作用，安全人員可以通過分析積累的日志數據發(fā)現攻擊行為，為已經發(fā)生的違規(guī)或攻擊行為提供追查憑證。