信息化審計(jì)案例

背景審計(jì)目標(biāo)和方法基本審計(jì)結(jié)論審計(jì)發(fā)現(xiàn)問題及建議管理層反饋背景計(jì)算機(jī)病毒是一個(gè)特別設(shè)計(jì)的電腦程序，能夠自我復(fù)制并修改其它程序，這種程序可能包含惡意指令，擾亂計(jì)算機(jī)的正常操作或破壞計(jì)算機(jī)中的程序和其它數(shù)據(jù)。計(jì)算機(jī)病毒通常攻擊最普遍使用的系統(tǒng)，以達(dá)到最大的破壞效果計(jì)算機(jī)病毒的破壞包括時(shí)間損失、生產(chǎn)力受影響以及潛在的數(shù)據(jù)丟失。如果未能及時(shí)查出計(jì)算機(jī)病毒的破壞，這種影響可能會(huì)變得非常巨大，除了經(jīng)濟(jì)受損外，還可能給公司帶來公眾的信任危機(jī)從1999年第三季度開始，聯(lián)邦存款保險(xiǎn)公司信息資源管理部門的信息安全員共報(bào)告了45，000個(gè)計(jì)算機(jī)病毒。該公司從1991年4月9日開始使用防病毒軟件。主要作用是防止病毒通過磁盤感染員工電腦以及在公司局域網(wǎng)內(nèi)傳播9年過去了，現(xiàn)在病毒保護(hù)程序已經(jīng)隨著計(jì)算機(jī)技術(shù)的發(fā)展而變得相當(dāng)復(fù)雜，主要應(yīng)用于電子郵件、國際互聯(lián)網(wǎng)的資料傳輸、公司的內(nèi)部互聯(lián)網(wǎng)，也包括磁盤和軟盤。負(fù)責(zé)該項(xiàng)工作的主要是信息資源管理部門的信息安全員、Helpdesk、系統(tǒng)管理員以及各分支機(jī)構(gòu)、辦事處的信息安全官員審計(jì)目標(biāo)和方法確定聯(lián)邦存款保險(xiǎn)公司計(jì)算機(jī)病毒保護(hù)程序的效率和效果。審計(jì)組會(huì)見了信息資源管理部門的信息安全員、Helpdesk、局域網(wǎng)管理人員、以及法律部、主席辦公室、監(jiān)管部、財(cái)務(wù)部、行政管理部和清算部的信息安全管理員研究了計(jì)算機(jī)病毒保護(hù)程序的最佳操作，復(fù)核了該程序的政策、標(biāo)準(zhǔn)和流程。幫助信息安全管理員對(duì)公司網(wǎng)絡(luò)服務(wù)器的實(shí)時(shí)病毒監(jiān)控程序和筆記本電腦的文件升級(jí)進(jìn)行了改進(jìn)。審計(jì)組集中在對(duì)防病毒程序的預(yù)防、偵測(cè)和刪除病毒能力的檢查。進(jìn)行了計(jì)算機(jī)病毒模擬攻擊測(cè)試,檢測(cè)了聯(lián)邦存款保險(xiǎn)公司的計(jì)算機(jī)安全事件響應(yīng)小組能否對(duì)病毒做出及時(shí)反映基本審計(jì)結(jié)論總體上來說聯(lián)邦存款保險(xiǎn)公司的計(jì)算機(jī)病毒保護(hù)程序可有效的防止計(jì)算機(jī)病毒的攻擊。但該公司在預(yù)防病毒感染方面需要改進(jìn)的地方。特別是一些執(zhí)行關(guān)鍵任務(wù)和操作的計(jì)算機(jī)沒有防毒軟件的保護(hù)，發(fā)現(xiàn)一些防病毒軟件沒有充分應(yīng)用的事例防病毒軟件維護(hù)不夠充分，計(jì)算機(jī)病毒保護(hù)程序的政策、標(biāo)準(zhǔn)和流程需要及時(shí)更新、擴(kuò)充以適應(yīng)當(dāng)前的風(fēng)險(xiǎn)和操作等問題。就上述問題與信息資源管理部門的負(fù)責(zé)人進(jìn)行了溝通，他們也己經(jīng)對(duì)這些問題采取了改進(jìn)工作該公司計(jì)算機(jī)病毒保護(hù)程序的效力在全球性病毒“我愛你”爆發(fā)時(shí)得到了驗(yàn)證。信息安全員采取的行動(dòng)對(duì)減少病毒攻擊的損失起到了很好的保護(hù)效果。特別是信息安全員能據(jù)計(jì)算機(jī)安全事件響應(yīng)小組提供的病毒特征開發(fā)建立防火墻，有效防止了病毒攻擊因?yàn)橛?jì)算機(jī)安全事件響應(yīng)小組提供了及時(shí)警告，聯(lián)邦存款保險(xiǎn)公司的損失比其他機(jī)構(gòu)要小得多。審計(jì)發(fā)現(xiàn)的問題及建議一、缺乏全面的風(fēng)險(xiǎn)評(píng)估程序缺乏全面的風(fēng)險(xiǎn)評(píng)估對(duì)計(jì)算機(jī)病毒保護(hù)程序進(jìn)行指引，導(dǎo)致保護(hù)工作不能做到全面、有效。一些易感染的系統(tǒng)中沒有安裝防病毒軟件且未應(yīng)用嚴(yán)格的軟件配置等防護(hù)補(bǔ)償機(jī)制，一些已安裝的防病毒軟件沒有充分利用雖然信息安全主管在1999年對(duì)IT資源的薄弱點(diǎn)進(jìn)行過非正式評(píng)估，但到目前為止尚未對(duì)公司的計(jì)算機(jī)病毒保護(hù)程序進(jìn)行過書面風(fēng)險(xiǎn)評(píng)估。公司的一些電腦未采用防毒軟件保護(hù)，涉及系統(tǒng)包括SunSolaris,IBM的大型機(jī)、朗訊的私人交換系統(tǒng)和Cisco的路由器和交換機(jī)嚴(yán)格的軟件構(gòu)架管理能夠作為缺少防病毒軟件的補(bǔ)償性控制，但聯(lián)邦存款保險(xiǎn)公司沒有堅(jiān)持采用此方法。審計(jì)組注意到公司的WindowsNT服務(wù)器已經(jīng)安裝了防病毒軟件，但并沒有始終運(yùn)行。尤其是一些網(wǎng)絡(luò)服務(wù)器沒有應(yīng)用常駐電腦實(shí)時(shí)防護(hù)技術(shù)雖然臺(tái)式機(jī)和筆記本電腦可以通過其他防病毒軟件達(dá)到實(shí)時(shí)偵測(cè)電腦病毒的功能，但用戶可以不受約束自行卸載防毒軟件。開機(jī)密碼是防止非法登陸最基本的方法，38臺(tái)臺(tái)式機(jī)和筆記本電腦沒有設(shè)置任何開機(jī)密碼。計(jì)劃實(shí)施智能卡加密技術(shù)作為補(bǔ)償性措施，減小對(duì)開機(jī)密碼的依賴實(shí)時(shí)防護(hù)技術(shù)的臺(tái)式機(jī)和筆記本電腦沒有采用啟發(fā)式分析技術(shù)。它能夠在病毒感染電腦之前察覺新病毒，在破壞性程序啟動(dòng)之前將其摧毀。是識(shí)別新病毒和變異病毒的基本方法建議建議首席信息官和信息資源管理主管:1.對(duì)公司的計(jì)算機(jī)病毒保護(hù)程序進(jìn)行正式、全面的風(fēng)險(xiǎn)評(píng)估，并將其結(jié)果作為未來完善公司病毒防護(hù)的基礎(chǔ)

2·對(duì)SunSolaris和Oracle等以Unix為基礎(chǔ)的重要操作系統(tǒng)實(shí)施病毒保護(hù)

3·對(duì)WindowsNT服務(wù)器實(shí)施實(shí)時(shí)防病毒軟件

4·信息安全員繼續(xù)研究防止用戶自行卸載臺(tái)式和筆記本電腦防病毒軟件的方法并及時(shí)實(shí)施

5·考慮在公司中應(yīng)用啟發(fā)式防病毒軟件二、完善計(jì)算機(jī)防病毒維護(hù)程序防病毒軟件的簽名文件沒有每周更新。沒有建立防毒軟件的支持性測(cè)試文件、簽名文件更新測(cè)試和軟件構(gòu)架設(shè)置審批文件的書面存檔制度目前信息資源管理部門信息安全員不夠充分，無法有效完成計(jì)算機(jī)病毒保護(hù)程序工作，也不能幫助公司的筆記本電腦用戶定期地登陸到公司的網(wǎng)絡(luò)接受最新的簽名文件防病毒軟件的預(yù)警功能沒有如管理層期望的始終運(yùn)轉(zhuǎn)，安全事件響應(yīng)小組也未能定期接受軟件報(bào)警，每周的統(tǒng)計(jì)報(bào)告也沒有報(bào)告這些問題。審計(jì)開始階段，聯(lián)邦存款保險(xiǎn)公司的臺(tái)式電腦和筆記本電腦防病毒軟件的非緊急簽名文件每月進(jìn)行更新雖然連接網(wǎng)絡(luò)的臺(tái)式電腦的更新頻率較高，但其簽名文件的更新也僅局限于對(duì)公司最近發(fā)現(xiàn)的三個(gè)病毒的校驗(yàn)檢測(cè)。此外，信息安全負(fù)責(zé)人指出沒有聯(lián)接到公司網(wǎng)絡(luò)的筆記本電腦更新的頻率往往更低審計(jì)組也注意到，防病毒軟件升級(jí)或更新的支持性測(cè)試文件上關(guān)于測(cè)試目的、方法和結(jié)果的記錄也不完整。此外，防病毒軟件構(gòu)架配置批準(zhǔn)的支持性文件也不夠完整由于計(jì)算機(jī)病毒的變異和新病毒的不斷出現(xiàn)，公司必須在防病毒軟件供應(yīng)商推出新的簽名文件時(shí)盡快更新。他們已經(jīng)著手研究找到和實(shí)施幫助筆記本電腦用戶自動(dòng)定期更新簽名文件的方法，建立了每周更新簽名文件的制度。建議包含正在實(shí)施可尚未完成的行動(dòng)計(jì)劃建議

1.確保防病毒軟件簽名文件的更新工作以較高頻率進(jìn)行，最好達(dá)到每周一次，將感染病毒的風(fēng)險(xiǎn)降到最低

2.確保執(zhí)行公司記錄保存的政策，建立、維護(hù)防毒軟件的支持性測(cè)試文件和簽名文件的更新測(cè)試文件

3.確保執(zhí)行公司記錄保存的政策，建立、維護(hù)軟件構(gòu)架設(shè)置的書面審批文件

4·確保每周向上報(bào)送的統(tǒng)計(jì)報(bào)告中包含末處理完畢的病毒入侵警告。

5.所有使用筆記本登陸公司網(wǎng)絡(luò)的用戶應(yīng)該每周、至少每月對(duì)防毒軟件的簽名文件進(jìn)行一次升級(jí)三、電腦防病毒保護(hù)程序的政策、標(biāo)準(zhǔn)和程序需要擴(kuò)充和更新信息資源管理部曾經(jīng)在1997.4.29對(duì)計(jì)算機(jī)病毒保護(hù)程序的政策修訂，增加了病毒修復(fù)的內(nèi)容以幫助系統(tǒng)用戶降低對(duì)電腦的損害。安全事件響應(yīng)小組的程序也包含了通過公司防病毒軟件發(fā)現(xiàn)病毒的內(nèi)容病毒保護(hù)程序政策沒有包括預(yù)防、偵測(cè)和刪除病毒的信息，這些信息是公司計(jì)算機(jī)病毒保護(hù)程序不可或缺的一部分。該政策應(yīng)包括如下內(nèi)容:1.所有電腦應(yīng)用防計(jì)算機(jī)病毒軟件

2·備用的病毒防護(hù)方法如電腦不能應(yīng)用防毒軟件時(shí)應(yīng)該采取的嚴(yán)格軟件配置管理

3·公司的防病毒軟件和軟件特征選擇的技術(shù)性補(bǔ)充說明,如通過啟發(fā)式分析技術(shù)將感染病毒的風(fēng)險(xiǎn)降到最低

4·為檢查和刪除病毒，在安裝和操作電腦前由安裝中心對(duì)電腦清理

5·利用非公司電腦訪問公司網(wǎng)絡(luò)時(shí)如何應(yīng)用防病毒保護(hù)程序

6·對(duì)公司員工和供應(yīng)商進(jìn)行病毒認(rèn)知和防護(hù)培訓(xùn)

7·建立和維護(hù)病毒簽名文件更新頻率

8·對(duì)新發(fā)和復(fù)發(fā)病毒的防護(hù)工作，如信息資源管理部門的信息安全員應(yīng)用防火墻過濾技術(shù)阻止"我愛你"病毒的攻擊該政策應(yīng)該在病毒偵測(cè)方面如下完善:1.說明安全事件響應(yīng)小組應(yīng)核實(shí)施新病毒的分析工作，以及Helpdesk和信息安全官員在計(jì)算機(jī)病毒保護(hù)程序方面的職責(zé)

2·解釋多重病毒掃描和過濾警示方法的使用方法

3·作為一種參考工具，指導(dǎo)建立最新病毒事件數(shù)據(jù)庫該政策應(yīng)在病毒刪除方面如下完善:研究

1·說明從磁盤或軟盤中刪除病毒的方法，以及要求將新發(fā)現(xiàn)的病毒送交外部病毒實(shí)驗(yàn)室進(jìn)一步研究

2·考慮補(bǔ)充計(jì)算機(jī)病毒保護(hù)程序的政策和程序，如聯(lián)邦存款保險(xiǎn)公司防病毒軟件的家庭使用和安全事件響應(yīng)小組的工作流程

3·建立實(shí)時(shí)、完整的政策、標(biāo)準(zhǔn)和程序，確保計(jì)算機(jī)病毒防護(hù)等復(fù)雜領(lǐng)域按照管理層的意志運(yùn)行，同時(shí)給員工提供書面參考，幫助員工更好的履行其職責(zé)建議

1.確保信息安全員不斷檢查現(xiàn)行的、與計(jì)算機(jī)保護(hù)程序相關(guān)的所有政策和程序

2，確保對(duì)政策和程序成功復(fù)核的基礎(chǔ)上，完善和實(shí)施更新計(jì)算機(jī)病毒保護(hù)程序的操作需求，包括但不限于上述的計(jì)算機(jī)病毒預(yù)防、識(shí)別和刪除等領(lǐng)域管理層反饋

1.已在1999年第二季度進(jìn)行了一次初步的薄弱環(huán)節(jié)評(píng)估，此次審計(jì)署的評(píng)估是一個(gè)附加評(píng)估。正在實(shí)施進(jìn)一步加強(qiáng)病毒防護(hù)程序的解決方案。將聘用獨(dú)立的供應(yīng)商復(fù)核檢查核解決方案能減輕病毒風(fēng)險(xiǎn)的有效性。預(yù)期此工作將在2001年6月30日完成

2·整個(gè)IT行業(yè)近十多年從未發(fā)現(xiàn)關(guān)于Solaris和Oracle病毒的報(bào)告。當(dāng)前的反病毒軟件供應(yīng)商銷售的UNIX環(huán)境病毒軟件業(yè)不支持非UNIX平臺(tái)。2001年公司將實(shí)施的新的配置管理方法，作為附加預(yù)警手段，確保員工不安裝可能包含其他病毒的軟件。一旦UNIX專用的反病毒包可用，信息資源管理部將對(duì)其進(jìn)行評(píng)估

3·經(jīng)過正式評(píng)估之后，己選擇了TrendMicro公司的軟件.產(chǎn)品將提供實(shí)時(shí)監(jiān)控和集中報(bào)告。計(jì)劃于2000年12月實(shí)施

4·作為降低風(fēng)險(xiǎn)的措施，將在2000年8月開始評(píng)估目前正在使用的防毒軟件“防護(hù)盾“4.5"并采取措施讓用戶很難卸載新版本的軟件,在2001年3月31日前完成此工作由于Windows95操作系統(tǒng)的可控性不夠強(qiáng)，很難限制用戶的操作,此問題將在公司操作系統(tǒng)升級(jí)到Windows2000后得以解決

5·此軟件已在2000年8月之前在除筆記本電腦之外的領(lǐng)域普及，公司將在今年年底之前完成此工作

6·2000年1月起已對(duì)服務(wù)器實(shí)施每周一次、工作站兩周一次的更新工作。筆記本電腦用戶也將每兩周通過網(wǎng)絡(luò)下載文件進(jìn)行升級(jí)

7·2000年11月15日前信息安全員將提供完整的升級(jí)和簽名文件更新的支持性測(cè)試的署名文件

8.2001年1月15日之前，信息安全員將頒布管理層對(duì)如下平臺(tái)構(gòu)架配置的審批:臺(tái)式電腦、筆記本電腦、服務(wù)器、NT工作站,

這些設(shè)置將公布在所有信息管理部門員工都能看到的公共