信息系统审计工具箱的设计与实现.docx

信息系统审计工具箱的设计与实现 王连强 北京时代新威信息技术有限公司 摘要：本文提出了一种便于在信息系统审计活动中使用的审计工具箱的设计思路与实现方法。首先介绍了当前信息系统审计领域信息系统审计工具存在的一些问题，介绍了信息系统审计工具箱针对这些问题的解决方案。详细描述了信息系统审计工具箱的软硬件设计思路及关键技术和实现方法。 关键词：信息系统审计；便携机；工具箱；信息系统审计工具管理平台； 概述 随着我国信息技术的快速发展，计算机信息系统和网络安全已经影响到国民经济和社会生活的各个领域和部门，信息系统审计已经成为国家信息化工作中的一项制度性和常态性工作。重要信息系统的运营使用单位对关系国家安全、公共利益和社会稳定等的信息系统负有重要管理责任，迫切需要提高对重要信息系统的安全运维能力包括开展信息系统审计等相关工作。而如何高效、高质量的完成信息系统审计工作越来越受到广泛关注。 信息系统审计工具箱需求 目前，在信息系统审计、信息安全测评、信息系统审计现场实施、信息安全认证现场审核等领域，需要一体化专用便携式高性能信息处理平台，而目前笔记本电脑虽然便携，但在性能、安全性和专用性上存在不足；而常规便携机一般重量非常重、体积过于庞大，一般为金属外壳，对于以上领域的使用极其不便。常规便携机的配置一般较低，性能和配置很难满足以上领域对于高性能计算的需求。 在我们实际工作中，信息系统审计的任务越来越多，很多情况下是使用信息系统审计师工作用的笔记本电脑来完成测评工作，而这既存在数据安全问题，同时也不能很好的满足审计需要，特别是一些审计工具对性能要求较高。因此需要一个专门用于信息系统审计的一体化工具箱，具有便携、高性能的特性并集成信息系统审计各种常用工具和统一管理平台。设计并制造具有上述特性的“信息系统审计工具箱”对信息系统审计工作将是一个极大的促进和规范。 本文设计的信息系统审计工具箱较传统的信息系统审计工具有一个明显优势，那就是平台化整合。传统的信息系统审计工具过于强调功能实现方面，由于信息系统审计工具覆盖领域非常广泛，一类或几类审计工具只能满足信息系统审计中有限的几项检查点，传统的信息系统审计工具从采购、使用、升级、维护等整个产品生命流程属于分散的、各自为营的方式，并且得到的工作成果也是零散和互不相通的，安全策略难以保持一致。 因此，急需在现有信息系统审计技术和检查工具基础上，研究具有信息系统审计工作特色的，兼具灵活的使用方式与一定智能化水平的信息系统审计工具箱技术，使其成为重要信息系统运营使用单位开展信息系统内部审计和第三方机构开展信息系统审计的重要技术手段。 为此，本文设计的一种信息系统审计工具箱，需要比笔记本电脑具有更高性能、比常规便携机更便携、更安全、更高性能。信息系统审计工具箱需要解决同时具备便携性和高性能的困难，具备高性能就意味着更大的功率、更重的重量，具备便携性就必须牺牲性能。本设计找到了解决性能和便携性的平衡点，并且在制造成本上更加降低。为降低制造成本，在外壳上使用现有型号的安全箱，但同时这加大了设计难度，必须解决屏幕的固定、接口的布局、屏幕与主机的可靠连接、屏幕电源的传递、屏幕与主机相连的美观性等。因为选用现有型号安全箱，为避免对箱体造成破坏，在考虑外部接口以及散热等方面具有极大困难。同时，考虑到便携性，整个箱体比较小，散热与附件存放也具有很大难度。 本设计最终很好的解决了以上存在的难题，并在实际使用中完全达到了最初的设计需求。 工具箱总体架构 信息系统审计工具箱的技术设计分为两大部分，即硬件设计和软件设计，整体架构如下图所示： 通过工具管理平台可以将对信息系统审计现场工作进行集中统一管理，包括对各种信息系统审计工具的调用和管理，将结果进行统一处理、生成固定格式（可根据模板变化）的报告和与其它审计管理平台进行数据交互。便于整个信息系统审计现场工作的规范和质量控制。 管理平台模块设计 工具管理平台设计分为前台设计和后台设计。前台设计主要指工具管理平台界面设计，后台设计指各种业务逻辑设计。前台供用户进行操作，向用户展示各种功能界面、提示信息和数据输入界面，以及查看操作日志等；后台通过前台的输入及相应的业务逻辑关系，自动调用相关安全检查工具，执行工具检查，最后生成检测报告。工具管理平台结构如下图所示： 各模块及功能说明如下表： 模块名称 子模块 模块功能 系统管理 用户管理 集中管理所有用户账号，包括账号的整个生命周期的监控和管理。 支持新建/删除/修改用户账号，根据用户实际情况变化对用户个人信息进行管理 身份认证 为用户提供统一的认证接口和认证模式，接受用户输入账户信息，与用户列表信息匹配，验证用户身份的合法性 工具配置管理 配置工具相关信息，如工具名称、工具可执行文件路径、工具描述、工具报告路径、工具图标等信息。 配置任务