欢迎来到天天文库
浏览记录
ID:24536913
大小:63.12 KB
页数:6页
时间:2018-11-15
《关于信息系统审计内容的研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、关于信息系统审计内容的研宄摘要:信息系统审计在我国尽管起步较晚,但其重要性日渐明显。刘家义审计长明确指出,信息系统审计要抓住三个关键点,即安全性、有效性(可靠性)和经济性。因此信息系统审计的内容也成为审计人员关注的问题,本文将通过分析信息系统审计的概念及目标,总结出审计机关进行信息系统审计的主要内容。关键词:信息系统;审计;安全;计算机技术中图分类号:F239文献标识码.•A文章编号:1007-9599(2011)23-0000-01InformationsystemAuditContentStudyResearchWangHuilin,WangZe
2、nghui,GuanNing(SchoolofInformationScience,JilinAgriculturalUniversity,Changchun130118,China)Abstract:!nformationSystemsAuditandControlinChinadespitethelatestart,butitsimportanceisincreasinglyapparent.ClearthattheAuditorGeneralLiuJiayi,informationsystemsaudittoseizethreekeypoint
3、s,namely,safety,effectiveness(reliability)andtheeconomy.Therefore,thecontentofinformationsystemsaudithasbecomeaconcernofauditors,thispaperwillanalyzetheinformationsystemsauditingconceptsandobjectives,summeduptheinformationsystemsauditinstitutionstoauditthemaincontent.Keywords:l
4、nformationsystem;Audit;Security;Computertechnology一、我国信息系统审计发展现状2005年大连中行员工翟昌平因利用银行系统漏洞窃取银行800万美元现金而落网,同年,相继在黑龙江、重庆类似的案件频有发生。这些案件的破获均是在企业进行内部信息系统审计时发现的。2006年许霆因利用银行取款机漏洞窃取银行17.5万元现金的落网。特别近两年以来时有地方政府网站被恶意篡改,2008年荆州市商务局的网站被“黑”,据国内信息安全机构报道,整个2009年,全国平均每天有1%的政府网站被“黑”,其中主要原因是口令过于简单和
5、文件漏洞太多。以上种种案件表明,所有案件均是在事后,都是已经对国家人民财产造成了危害损失后发现的,怎样才能避免这类情况的发生,信息系统安全防范工作己经成为信息时代的主要问题,对信息系统开展安全审计己经成为审计机关保护国家财政财务安全,充分发挥审计“免疫系统”功能的重要措施。二、信息系统审计概念与目标到底信息系统审计应如何定义呢?美国信息系统审计学科的领跑者RonWeber给信息系统审计做出了如下概括:“收集并评估证据,以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。根据信息系统审计的概念,我们可以总结出审计
6、机关开展信息系统审计的目标是:确认资产安全性、保证数据完整性、认定系统合规性。三、审计机关幵展信息系统审计的内容(一)信息系统资产安全性审计那么信息系统审计需要做那些事情才能有效控制资产安全呢?我们要从以下几个方面着手:1.对系统基础设施及环境的审计。审计范畴为:硬件环境与防灾、主机硬件安全、底层支撑系统安全、通信线路安全、数据存储/I◦安全、物理访问控制。2.网络安全审计。目前的网络安全审计的解决方案有以下几类:日志审计:目的是收集日志,通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络
7、安全设备中收集日志,进行统一管理、分析和报警。主机审计:通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。网络审计:通过旁路和串接的方式实现对网络数据包的捕获,而且进行协议分析和还原,可达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的。(二)信息系统数据完整性审计根据上述对数据完整性的定义,我们可以确定数据完整性审计应包括以下几个内容:1.应用控制审
8、计。应用控制审计是直接针对业务系统根据用户反馈、用例测试结果、实际业务数据、代码分析结果发现系统风险及其对业
此文档下载收益归作者所有