关于信息系统审计内容探究.doc

关于信息系统审计内容探究摘要：信息系统审计在我国尽管起步较晚，但其重要性日渐明显。刘家义审计长明确指出，信息系统审计要抓住三个关键点，即安全性、有效性（可靠性）和经济性。因此信息系统审计的内容也成为审计人员关注的问题，本文将通过分析信息系统审计的概念及目标，总结出审计机关进行信息系统审计的主要内容 关键词：信息系统；审计；安全；计算机技术 中图分类号：F239 文献标识码：A 文章编号：1007-9599 (2011) 23-0000-01 Information system Audit Content Study Research Wang Huilin,Wang Zenghui,Guan Ning (School of Information Science,Jilin Agricultural University,Changchun 130118,China) Abstract:Information Systems Audit and Control in China despite the late start,but its importance is increasingly apparent.Clear that the Auditor General Liu Jiayi,information systems audit to seize three key points,namely,safety,effectiveness(reliability)and the economy.Therefore, the content of information systems audit has become a concern of auditors,this paper will analyze the information systems auditing concepts and objectives,summed up the information systems audit institutions to audit the main content. Keywords:Information system;Audit;Security;Computer technology 一、我国信息系统审计发展现状 2005年大连中行员工翟昌平因利用银行系统漏洞窃取银行800万美元现金而落网，同年，相继在黑龙江、重庆类似的案件频有发生。这些案件的破获均是在企业进行内部信息系统审计时发现的。2006年许霆因利用银行取款机漏洞窃取银行17.5万元现金的落网。特别近两年以来时有地方政府网站被恶意篡改，2008年荆州市商务局的网站被“黑”，据国内信息安全机构报道，整个2009年，全国平均每天有１％的政府网站被“黑”，其中主要原因是口令过于简单和文件漏洞太多 以上种种案件表明，所有案件均是在事后，都是已经对国家人民财产造成了危害损失后发现的，怎样才能避免这类情况的发生，信息系统安全防范工作已经成为信息时代的主要问题，对信息系统开展安全审计已经成为审计机关保护国家财政财务安全，充分发挥审计“免疫系统”功能的重要措施 二、信息系统审计概念与目标 到底信息系统审计应如何定义呢？美国信息系统审计学科的领跑者Ron Weber给信息系统审计做出了如下概括：“收集并评估证据，以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源” 根据信息系统审计的概念，我们可以总结出审计机关开展信息系统审计的目标是：确认资产安全性、保证数据完整性、认定系统合规性 三、审计机关开展信息系统审计的内容 （一）信息系统资产安全性审计 那么信息系统审计需要做那些事情才能有效控制资产安全呢？我们要从以下几个方面着手：1.对系统基础设施及环境的审计。审计范畴为：硬件环境与防灾、主机硬件安全、底层支撑系统安全、通信线路安全、数据存储/IO安全、物理访问控制。2.网络安全审计。目前的网络安全审计的解决方案有以下几类： 日志审计：目的是收集日志，通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志，进行统一管理、分析和报警 主机审计：通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计，可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的 网络审计：通过旁路和串接的方式实现对网络数据包的捕获，而且进行协议分析和还原，可达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞