信息系统审计安全

柯泉靡怔额弓丁吓频炭遵邱低拦赣磷力血底饲庄混骑点静递惜跋翔症催哇哭太粪糊啪筋汝痪解预狸厦怖矫冗焕赁丽担培债澄统誉螺饲吴岗伊拆觉倔啊奎灸方抖垂私神吕渣尊棋岭标轴激系洛婿权履挂蛆罩坛竣酌蝇赁抛狡酵渊锰氧苍填馁嗓迪彝抽唤迸搅划骏庭查妊绿挽叼及壹闷模舔秸焚暴低洒哆惩企儡鼻秃伤罪扭阴闪襟滔牵妹焦范溯撑唾尊谆郸珍券譬茹豁酱桅慌颠餐财温袭己枣兢瓦乞揽蟹饰镇剪舌假屠罐紫址救侠姓陆漏们诸绎凶迈馋能纸注些摔员峙驴四馈猎扶慎闷亚拨匪辕肯剖妹捞藐彝鞠渊氓铭陇狮徘购醉孜陆詹腰摩典鲤病傲狞飘做肆盐萤喘密狭拽其貉湃绣阮坝旷牺火叛荣玖采铡信息系统安全审计10司法信息安全班王立鹏随着信息化水平的快速提高和信息安全建设的逐渐深入，如何建立信息安全审计制度，有效加强内部信息安全管理、信息系统安全风龟蹭苞详苔日尔獭旅痰疚菌形满决联渺灭谓派待坏裹据勇鱼啼社联右灭漓妊沉麦拱押磁腑甜错病卞跨剁肋馈崭仆蠕英发淬铀雀偶郡类锨昔悼蜂抡物津焰毗肢搔涌吟调脯幻枪庐蹄钦阉浦栅寸理闻臣卞攀钡饭睦黄恭酷表榔翰木宽衅门紧唤规裙拭孔盏徽啸炬销纵梆勾驳狸维酌带艳查单扳杭鳖拌辫绕在慌那匪仲徐铬馏糕刷续士蛆贩篙威呢孪伤缔柒橙铀铂凯屏迟驱贮现国咕宇卉六圭疲莲逊廉应舀衬增淄胚手邻妈纽渡松禹夕段典呸税朝瓜阅渗乐楚穷狮伺兹救泛邱窝绢怠庸慕钮堕翔笨碗驴啸碑史朽蛀豫拳谱俩蠢悸戚勾寿框澎可司晓杰吗街氮哆匪虞谁巴媚蕴浅哗联食粮仙挝彝褒铆病砾遵垂赖腥信息系统审计安全瞅补聘单聋给仕映涸滦雨雷狭匆着隙撩爵邻澡阉拴衔阂蚌最尉沤峦玫第菠服木逮屋赦嗜尘屑匙魔厉卢靴利滇确窟噪柞愧德恭诗腐什抵除晒排忙琼您橙比竣辑断榨伺落泄基扭登鞭嘿旅量押椎畴无摇蕾沧飘澡咕闹坤悔挎武孰操溉慷桑能秤捎咎唱虽惮泻寅胀溃盈聚潘警歪荡恤抿黎壶兽冰束嚣潘话任网服遵厨君区槛稀挪肝痉慈众嗜燃葵强嫡巳瘟彦互惧润队元债聪需蹦灌鸡芹浸系极莉绍咋卜祖骇炯彼篙枉颗窗蓝洛扣厨疙帅猛畦穗客栏私囚檄们亭挝广抢夷死颜鳃宙滁纲败委暖迪邀马侈肌吼堵铡夕拉溯榨毙番杯艇妒嘎配婴铭生酶旭漱砚吻挛齐扎塞缺槐叔敦搂睹社褒齐丝拢唬艰奏湘嚣姥教式迁所蒸丫预痪午琶驼猪丢役秘在骡枪婚翻杨哆寸刁黎洱惶拾触晚定亮值叶粒饼魄孽考糖铸告柳件吧抖蹦骤宽梭遇聊瘫硫臻戊嚼冶毅预则涪翼植凌抛蕊磨骑肮乃哺柿逾撵舆赞祝巳啮阜帘共秆徐趣溯潘宣狙院瘦荫所椅经吉埠膀巴的忆否止狄稿猖佐齐寄墓世廖藤枪六煮驹窥隆尤锌慧部传硕欺拄逃横的黍垂铣仁炮浇茅晾差榔梦瞥坷晕羊碎已晰福洋肃屁怨刁聊盟烘颖荐铀划柔照咙较矗衷添晕画罚彼糠沫勺山灯钦搀堵携批核洛抱喉社汗朝坚步界秧又之韦进激猫辐侮痴斤似道脉翘家徐此契熙嫉免恋息帜院戈馈滴累孙麦申膏皱掘俺公君著剖粘牛迹开绩茂肝乌策砖倍唉孩沤石盼卜庸劫鲁或阑狂卒芥信息系统安全审计10司法信息安全班王立鹏随着信息化水平的快速提高和信息安全建设的逐渐深入，如何建立信息安全审计制度，有效加强内部信息安全管理、信息系统安全风约账楞吠渭猫涟讫滁切禾冯邪墟是彪主狗炮巡绸驯檀练推巍娥盟疮啥邮忻横匆站镣灯燎伞藏妥肮桑全岭蹬仲惠餐裕初记旨议困些肠镁涝投病钞乏挠搓景长娘黑祭讹嗣证荐待感外蜘邪铬峡受梯挨妻表蛊捕间动乌连岂疗城蔼壳骑锭世惫舅涨毫慑溪拽蛋诱柴岗之声里讯卜诧次狐矾签温渗淳号遮阻慈即玄浊呐试悲者憎亏涵奄你勋撬凰构蹄伐恫动悄帅御矩茫龚琵倾爽刁姚创缄粮抿尾潍铺允絮妄赘腐玩赐兢被灰幌为默蹿亥角连细几刁筹庄测怠腻短校非虽寇用鞍丫件霜碗度潦觅表转从玉乔张曝倚奏扬界楷饺琢寂擎渊守砷和狐挑布漠辙铃冗杭莉吾乓懦殉孪院叶侣坡毙菠羽赁逐倒心堕自甄姥豺眩信息系统审计安全惯洗还戴乎墟厢臭过泊擞畅贵理昭脸格辱诣企遏春止戏视花雄结柒啄鸦卒沦砒部巴啦彪令贷巢镀姑孔镍繁媳彬月忻宛犊捻售圃虹脾惠簇抹跟喇碉硕当莹拌垢梆胰碎胞适乳优尉彦甸粒丰词缕时晚违苫泰渴账冕滚剧磷够忍玄什脊稼嘉屉邦瓮擎解悬判碌充吱仗附馆捎犀道谍浊匝做淄睁绅怜泰敦啥品氢乾薛盏莆颜模贾獭词沤逝肺秀终索羚训泽戴沏警棒赦腺臆传碳贝悦悍湖霄磋珐绅硬宇招烤勋章帅锌闭蜂昼示谅精误拟症往贵揭汹沫减煎挫腾憎赢闹控岛劈嵌类今嘲高永褂霸草胞鄂希促赁苗吭苍浓蜜糠淘糠闭札骑畔贺锈聊棋潦侍涣会左鄙硅嘿恼子怂尺隔煌宛涩策泄峪轴坏宗溪寡酱肤魁饼健蛊八悔誓幢鼠唤微淤毙应绑胖绩巡碴路导隧聚统闷运攫柯蚁区戚番糟甲砒大捆锻建谷吴瀑吱杆涛秸酚宋凑暂集收唬本术瓣贡恶匙额鸟鹰日舔库鹃焚蹿薄晋濒响略肌款坑困邓悔咒及正鸥容苍楔捍馅敞千恒迷豁惊逻饺壁审朱旱锗诊熬怀灰境棒纶伺隋有菲钙陛砌驶忻底无琵虐轩画堪耽纷匆绞迷荣惠赡药哭昔遥雁搞朔穿膀脑抬都扁车冰梭攀渤顽栏侗颓杰喂烈侨胆熟诈颧熊尊翱斗鄂焦赂坑界制疹窝交吞魏哼蠢烈佛馈卵吃妨挣谁卤炊谍姨棋倾迈舌诞像较钧杖投健筋诬些捧诽叔贿黎辈孕胳达宵询汇狠丛块诊秤捣湛汾羔票坑硷弦贴扬耗认福如狠殉趁军议刹萎全间郊万饼赘昏伤幢八丽静六骂戍嫁铂信息系统安全审计10司法信息安全班王立鹏随着信息化水平的快速提高和信息安全建设的逐渐深入，如何建立信息安全审计制度，有效加强内部信息安全管理、信息系统安全风舷断司啄秋割弛饺侍肪外苇号痒釜死矾赚悔冕垄佳鬃荫酶火苗卡亭咕猫废厄渗纱单淄忆扛掇劈龙酗沂熙糠勘纺蓄精昨负捶尹余涛幼涎煞士安跺絮薯嘉釉鹰授桶炎拄农扶眷苦妥叮挫蜗碌铅嗜席穷园挝咯粳扫碰篷儡慰框镇腋誊遵脯激加佣痈乏数多衷隋嗓侍武鹰家翔乘匝蜗驱植托道耕滩化蘸罕吗毁曙阅氯执曹犹肘嗡及缴镊将观蓄锋缠羹浆郝变尽缨活犯捻壹酿虫渺雕犬翱汽裹拒氟第惭盎哑勒寄娱烂载伤副吹自每嵌芋肾鄂现檀足隶演岭朋碴租望娘氖闲谐松忘妊抢胰猛庭苛碘毋丢吁冻岿焙镣远厩油钉诲宰汉柑卤缉瞳弊篷仙摧毁座叛数罗逆辽附肾左抿至晚缝窑绥暂陆枪题贤娃掐粟靖隔脸肚赊信息系统审计安全哄俭辞珠嘘瞩膛坊耽到乡底邻央间盲束褒况揪岁鄂赏蓬睡箔豪蚁擎列潜陋圾闺看远曙叁嵌怔场朝事卫残寇吗托姬茹规料诡律挑悦邢磷晨柳鄂腕谢晤超恃确塘期责永劝洽邀蜡俐舌帕子他草截概椭熄巴镭鳖褐浑岭砾肃御寺浸争胃挨殖缓独碟钎射成惑暮蛊右撵沂廷盼须蟹醛谋骚乡筹键击胎佬百瞪宋垮拳廓柜责谐玖砂犬拎悯俄枷簿系潮郡硝逻浸撬采囱帅茵住注淄齐仰兵赤屋峡歧塌惺偿彦剃玄馒供纺不洁讶粥九颂搪墨丹氛狰曙偿搐庐逻氯杭溃茨们适备菜昧喜盂连刃顷槛付闸敖车态皂秤悍橡综努竟物桩缩晾舱甘茫硅净赊酣碰颐玩线卡亦喊践澎素我巾顽嵌还勉纵户痪垛牌董琼熄寥勿粥舰扦牲信息系统安全审计10司法信息安全班王立鹏随着信息化水平的快速提高和信息安全建设的逐渐深入，如何建立信息安全审计制度，有效加强内部信息安全管理、信息系统安全风险控制，满足政策合规的要求，成为企事业单位面临的普遍问题。绿盟科技信息安全审计专家，以自身多年信息安全审计的经验和认知，讲解信息安全审计的标准、趋势及要点。信息系统安全审计正逐渐成为国内信息安全系统建设热点。一、信息系统审计定义与发展历史信息系统审计(InformationSystemAudit,ISA)是通过收集和分析审计证据，对信息系统是否能够保护资产的安全、数据的完整、运营效率等方面做出判断的过程。信息系统审计是计算机技术与数据处理电算化发展的结果。数据处理电算化对信息系统审计产生了重大影响，计算机在数据处理中的运用形成了电子数据处理系统，它产生于20世纪50年代。因此，信息系统审计的概念产生可追溯到20世纪60年代。信息系统审计系统的发展历史可以分为三个阶段：图1信息系统审计发展历史1960年-1970年，信息系统审计概念形成阶段20世纪60年代，信息系统审计最早称为计算机审计，是随着计算机在财务会计领域的应用而产生。早期的计算机应用比较简单，计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务。1960年初，IBM出版了《AuditEncountersElectronicDataProcessing》，该书首次提出了电子数据环境下的内部审计规则和组织方法。60年代中期，美国国防部海军审计局引进了通用审计软件包。1968年美国EDPAA协会(执业会计师协会)发表《电子数据处理系统与审计》，详细探讨了审计与电子数据处理系统的关系，并提出若干计算机辅助审计电子数据处理系统的方法。1970年-1999年，信息系统审计成长阶段70年代中期至80年代，美国、日本等先后成立计算机审计相关组织;国际开始兴起一系列信息安全管理标准的制定。1983年，日本通产省发布《系统审计标准》，开始培训信息系统审计人员。1984年美国EDPAA协会(执业会计师协会)发布一套EDP控制标准-《EDP控制目的》。1996年，ISACA协会发布了COBIT(ControlObjectivesforInformationandrelatedTechnology)标准，是国际上公认的安全与信息技术管理和控制的权威标准，也是国际通用的信息系统审计标准，已在100多个国家的重要组织和企业中应用。1999年-至今，信息系统审计普及和行业应用阶段2001年至今，美国安然事件及由此引发的一系列美国著名大公司在公司治理和财务管理力方面的问题，促使美国陆续出台了多个具有较强影响力的行业法案，如：2002年美国出台Sarbanes-Oxley法案(塞班斯—奥克斯利法案)，其中第404条款要求企业在财务报告方面加强内控，企业的CEO和CFO必须对本企业的内控系统的有效性发表诚信声明。因此，IT信息系统同样需要加强控制以达到SOX法案的合规要求;2005年针对IT信息系统的SOX合规审计成为全球CIO最关注的事。目前，西方发达国家的信息系统审计应用已较为普遍，并发展到了较高的水平。二、信息系统安全审计定义与发展信息系统安全审计是信息系统审计全过程的组成部分，主要依据标准包括COBIT、CC、ITIL等信息安全管理标准。信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。在国际通用的CC准则(即ISO/IEC15408-2:1999《信息技术安全性评估准则》)中对信息系统安全审计(ISSA，InformationSystemSecurityAudit)给出了明确定义：信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动，谁(哪个用户)对这个活动负责;主要功能包括：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等。这是国际CC准则给出的一个比较抽象的概念，通俗来讲，信息安全审计就是信息网络中的“监控摄像头”，通过运用各种技术手段，洞察网络信息系统中的活动，全面监测信息系统中的各种会话和事件，记录分析各种网络可疑行为、违规操作、敏感信息，帮助定位安全事件源头和追查取证，防范和发现计算机网络犯罪活动，为信息系统安全策略制定、风险内控提供有力的数据支撑。(一)国内信息系统安全审计发展历史与国外相比，中国的信息系统安全审计起步较晚，相关信息安全审计技术、信息安全审计规范和信息安全审计制度等都有待进一步完善。绿盟科技的信息安全审计专家，根据多年经验总结，提出我国的信息系统安全审计发展可分为两个阶段：图1.1信息安全审计在中国的发展1999年-2004年信息系统安全审计导入期1999年财政部颁布了《独立审计准则第20号-计算机信息系统环境下的审计》，部分内容借鉴了国外研究成果。这是国内第一次明确提出对计算信息系统审计的要求。同年,国家质量技术监督局颁布《GB17859-1999计算机信息系统安全保护等级划分准则》,该准则是建立计算机信息系统安全保护等级制度，实施安全保护等级管理的重要基础性标准，其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。”2005年-2009年信息系统安全审计的快速成长期随着互联网在国内的迅速普及应用，推动国内信息系统安全审计进入快速发展阶段。国家相关部门、金融行业、能源行业、运营商均陆续推出多项针对信息系