信息化審計案例

背景審計目標和方法基本審計結(jié)論審計發(fā)現(xiàn)問題及建議管理層反饋背景計算機病毒是一個特別設(shè)計的電腦程序，能夠自我復(fù)制并修改其它程序，這種程序可能包含惡意指令，擾亂計算機的正常操作或破壞計算機中的程序和其它數(shù)據(jù)。計算機病毒通常攻擊最普遍使用的系統(tǒng)，以達到最大的破壞效果計算機病毒的破壞包括時間損失、生產(chǎn)力受影響以及潛在的數(shù)據(jù)丟失。如果未能及時查出計算機病毒的破壞，這種影響可能會變得非常巨大，除了經(jīng)濟受損外，還可能給公司帶來公眾的信任危機從1999年第三季度開始，聯(lián)邦存款保險公司信息資源管理部門的信息安全員共報告了45，000個計算機病毒。該公司從1991年4月9日開始使用防病毒軟件。主要作用是防止病毒通過磁盤感染員工電腦以及在公司局域網(wǎng)內(nèi)傳播9年過去了，現(xiàn)在病毒保護程序已經(jīng)隨著計算機技術(shù)的發(fā)展而變得相當復(fù)雜，主要應(yīng)用于電子郵件、國際互聯(lián)網(wǎng)的資料傳輸、公司的內(nèi)部互聯(lián)網(wǎng)，也包括磁盤和軟盤。負責(zé)該項工作的主要是信息資源管理部門的信息安全員、Helpdesk、系統(tǒng)管理員以及各分支機構(gòu)、辦事處的信息安全官員審計目標和方法確定聯(lián)邦存款保險公司計算機病毒保護程序的效率和效果。審計組會見了信息資源管理部門的信息安全員、Helpdesk、局域網(wǎng)管理人員、以及法律部、主席辦公室、監(jiān)管部、財務(wù)部、行政管理部和清算部的信息安全管理員研究了計算機病毒保護程序的最佳操作，復(fù)核了該程序的政策、標準和流程。幫助信息安全管理員對公司網(wǎng)絡(luò)服務(wù)器的實時病毒監(jiān)控程序和筆記本電腦的文件升級進行了改進。審計組集中在對防病毒程序的預(yù)防、偵測和刪除病毒能力的檢查。進行了計算機病毒模擬攻擊測試,檢測了聯(lián)邦存款保險公司的計算機安全事件響應(yīng)小組能否對病毒做出及時反映基本審計結(jié)論總體上來說聯(lián)邦存款保險公司的計算機病毒保護程序可有效的防止計算機病毒的攻擊。但該公司在預(yù)防病毒感染方面需要改進的地方。特別是一些執(zhí)行關(guān)鍵任務(wù)和操作的計算機沒有防毒軟件的保護，發(fā)現(xiàn)一些防病毒軟件沒有充分應(yīng)用的事例防病毒軟件維護不夠充分，計算機病毒保護程序的政策、標準和流程需要及時更新、擴充以適應(yīng)當前的風(fēng)險和操作等問題。就上述問題與信息資源管理部門的負責(zé)人進行了溝通，他們也己經(jīng)對這些問題采取了改進工作該公司計算機病毒保護程序的效力在全球性病毒“我愛你”爆發(fā)時得到了驗證。信息安全員采取的行動對減少病毒攻擊的損失起到了很好的保護效果。特別是信息安全員能據(jù)計算機安全事件響應(yīng)小組提供的病毒特征開發(fā)建立防火墻，有效防止了病毒攻擊因為計算機安全事件響應(yīng)小組提供了及時警告，聯(lián)邦存款保險公司的損失比其他機構(gòu)要小得多。審計發(fā)現(xiàn)的問題及建議一、缺乏全面的風(fēng)險評估程序缺乏全面的風(fēng)險評估對計算機病毒保護程序進行指引，導(dǎo)致保護工作不能做到全面、有效。一些易感染的系統(tǒng)中沒有安裝防病毒軟件且未應(yīng)用嚴格的軟件配置等防護補償機制，一些已安裝的防病毒軟件沒有充分利用雖然信息安全主管在1999年對IT資源的薄弱點進行過非正式評估，但到目前為止尚未對公司的計算機病毒保護程序進行過書面風(fēng)險評估。公司的一些電腦未采用防毒軟件保護，涉及系統(tǒng)包括SunSolaris,IBM的大型機、朗訊的私人交換系統(tǒng)和Cisco的路由器和交換機嚴格的軟件構(gòu)架管理能夠作為缺少防病毒軟件的補償性控制，但聯(lián)邦存款保險公司沒有堅持采用此方法。審計組注意到公司的WindowsNT服務(wù)器已經(jīng)安裝了防病毒軟件，但并沒有始終運行。尤其是一些網(wǎng)絡(luò)服務(wù)器沒有應(yīng)用常駐電腦實時防護技術(shù)雖然臺式機和筆記本電腦可以通過其他防病毒軟件達到實時偵測電腦病毒的功能，但用戶可以不受約束自行卸載防毒軟件。開機密碼是防止非法登陸最基本的方法，38臺臺式機和筆記本電腦沒有設(shè)置任何開機密碼。計劃實施智能卡加密技術(shù)作為補償性措施，減小對開機密碼的依賴實時防護技術(shù)的臺式機和筆記本電腦沒有采用啟發(fā)式分析技術(shù)。它能夠在病毒感染電腦之前察覺新病毒，在破壞性程序啟動之前將其摧毀。是識別新病毒和變異病毒的基本方法建議建議首席信息官和信息資源管理主管:1.對公司的計算機病毒保護程序進行正式、全面的風(fēng)險評估，并將其結(jié)果作為未來完善公司病毒防護的基礎(chǔ)

2·對SunSolaris和Oracle等以Unix為基礎(chǔ)的重要操作系統(tǒng)實施病毒保護

3·對WindowsNT服務(wù)器實施實時防病毒軟件

4·信息安全員繼續(xù)研究防止用戶自行卸載臺式和筆記本電腦防病毒軟件的方法并及時實施

5·考慮在公司中應(yīng)用啟發(fā)式防病毒軟件二、完善計算機防病毒維護程序防病毒軟件的簽名文件沒有每周更新。沒有建立防毒軟件的支持性測試文件、簽名文件更新測試和軟件構(gòu)架設(shè)置審批文件的書面存檔制度目前信息資源管理部門信息安全員不夠充分，無法有效完成計算機病毒保護程序工作，也不能幫助公司的筆記本電腦用戶定期地登陸到公司的網(wǎng)絡(luò)接受最新的簽名文件防病毒軟件的預(yù)警功能沒有如管理層期望的始終運轉(zhuǎn)，安全事件響應(yīng)小組也未能定期接受軟件報警，每周的統(tǒng)計報告也沒有報告這些問題。審計開始階段，聯(lián)邦存款保險公司的臺式電腦和筆記本電腦防病毒軟件的非緊急簽名文件每月進行更新雖然連接網(wǎng)絡(luò)的臺式電腦的更新頻率較高，但其簽名文件的更新也僅局限于對公司最近發(fā)現(xiàn)的三個病毒的校驗檢測。此外，信息安全負責(zé)人指出沒有聯(lián)接到公司網(wǎng)絡(luò)的筆記本電腦更新的頻率往往更低審計組也注意到，防病毒軟件升級或更新的支持性測試文件上關(guān)于測試目的、方法和結(jié)果的記錄也不完整。此外，防病毒軟件構(gòu)架配置批準的支持性文件也不夠完整由于計算機病毒的變異和新病毒的不斷出現(xiàn)，公司必須在防病毒軟件供應(yīng)商推出新的簽名文件時盡快更新。他們已經(jīng)著手研究找到和實施幫助筆記本電腦用戶自動定期更新簽名文件的方法，建立了每周更新簽名文件的制度。建議包含正在實施可尚未完成的行動計劃建議

1.確保防病毒軟件簽名文件的更新工作以較高頻率進行，最好達到每周一次，將感染病毒的風(fēng)險降到最低

2.確保執(zhí)行公司記錄保存的政策，建立、維護防毒軟件的支持性測試文件和簽名文件的更新測試文件

3.確保執(zhí)行公司記錄保存的政策，建立、維護軟件構(gòu)架設(shè)置的書面審批文件

4·確保每周向上報送的統(tǒng)計報告中包含末處理完畢的病毒入侵警告。

5.所有使用筆記本登陸公司網(wǎng)絡(luò)的用戶應(yīng)該每周、至少每月對防毒軟件的簽名文件進行一次升級三、電腦防病毒保護程序的政策、標準和程序需要擴充和更新信息資源管理部曾經(jīng)在1997.4.29對計算機病毒保護程序的政策修訂，增加了病毒修復(fù)的內(nèi)容以幫助系統(tǒng)用戶降低對電腦的損害。安全事件響應(yīng)小組的程序也包含了通過公司防病毒軟件發(fā)現(xiàn)病毒的內(nèi)容病毒保護程序政策沒有包括預(yù)防、偵測和刪除病毒的信息，這些信息是公司計算機病毒保護程序不可或缺的一部分。該政策應(yīng)包括如下內(nèi)容:1.所有電腦應(yīng)用防計算機病毒軟件

2·備用的病毒防護方法如電腦不能應(yīng)用防毒軟件時應(yīng)該采取的嚴格軟件配置管理

3·公司的防病毒軟件和軟件特征選擇的技術(shù)性補充說明,如通過啟發(fā)式分析技術(shù)將感染病毒的風(fēng)險降到最低

4·為檢查和刪除病毒，在安裝和操作電腦前由安裝中心對電腦清理

5·利用非公司電腦訪問公司網(wǎng)絡(luò)時如何應(yīng)用防病毒保護程序

6·對公司員工和供應(yīng)商進行病毒認知和防護培訓(xùn)

7·建立和維護病毒簽名文件更新頻率

8·對新發(fā)和復(fù)發(fā)病毒的防護工作，如信息資源管理部門的信息安全員應(yīng)用防火墻過濾技術(shù)阻止"我愛你"病毒的攻擊該政策應(yīng)該在病毒偵測方面如下完善:1.說明安全事件響應(yīng)小組應(yīng)核實施新病毒的分析工作，以及Helpdesk和信息安全官員在計算機病毒保護程序方面的職責(zé)

2·解釋多重病毒掃描和過濾警示方法的使用方法

3·作為一種參考工具，指導(dǎo)建立最新病毒事件數(shù)據(jù)庫該政策應(yīng)在病毒刪除方面如下完善:研究

1·說明從磁盤或軟盤中刪除病毒的方法，以及要求將新發(fā)現(xiàn)的病毒送交外部病毒實驗室進一步研究

2·考慮補充計算機病毒保護程序的政策和程序，如聯(lián)邦存款保險公司防病毒軟件的家庭使用和安全事件響應(yīng)小組的工作流程

3·建立實時、完整的政策、標準和程序，確保計算機病毒防護等復(fù)雜領(lǐng)域按照管理層的意志運行，同時給員工提供書面參考，幫助員工更好的履行其職責(zé)建議

1.確保信息安全員不斷檢查現(xiàn)行的、與計算機保護程序相關(guān)的所有政策和程序

2，確保對政策和程序成功復(fù)核的基礎(chǔ)上，完善和實施更新計算機病毒保護程序的操作需求，包括但不限于上述的計算機病毒預(yù)防、識別和刪除等領(lǐng)域管理層反饋

1.已在1999年第二季度進行了一次初步的薄弱環(huán)節(jié)評估，此次審計署的評估是一個附加評估。正在實施進一步加強病毒防護程序的解決方案。將聘用獨立的供應(yīng)商復(fù)核檢查核解決方案能減輕病毒風(fēng)險的有效性。預(yù)期此工作將在2001年6月30日完成

2·整個IT行業(yè)近十多年從未發(fā)現(xiàn)關(guān)于Solaris和Oracle病毒的報告。當前的反病毒軟件供應(yīng)商銷售的UNIX環(huán)境病毒軟件業(yè)不支持非UNIX平臺。2001年公司將實施的新的配置管理方法，作為附加預(yù)警手段，確保員工不安裝可能包含其他病毒的軟件。一旦UNIX專用的反病毒包可用，信息資源管理部將對其進行評估

3·經(jīng)過正式評估之后，己選擇了TrendMicro公司的軟件.產(chǎn)品將提供實時監(jiān)控和集中報告。計劃于2000年12月實施

4·作為降低風(fēng)險的措施，將在2000年8月開始評估目前正在使用的防毒軟件“防護盾“4.5"并采取措施讓用戶很難卸載新版本的軟件,在2001年3月31日前完成此工作由于Windows95操作系統(tǒng)的可控性不夠強，很難限制用戶的操作,此問題將在公司操作系統(tǒng)升級到Windows2000后得以解決

5·此軟件已在2000年8月之前在除筆記本電腦之外的領(lǐng)域普及，公司將在今年年底之前完成此工作

6·2000年1月起已對服務(wù)器實施每周一次、工作站兩周一次的更新工作。筆記本電腦用戶也將每兩周通過網(wǎng)絡(luò)下載文件進行升級

7·2000年11月15日前信息安全員將提供完整的升級和簽名文件更新的支持性測試的署名文件

8.2001年1月15日之前，信息安全員將頒布管理層對如下平臺構(gòu)架配置的審批:臺式電腦、筆記本電腦、服務(wù)器、NT工作站,

這些設(shè)置將公布在所有信息管理部門員工都能看到的公共