信息系统审计实践教学设计
2021-03-03崔国玺高英
崔国玺 高英
[摘 要] 信息系统审计是为确保业务交易及财务处理的准确性而对支持它们的信息系统等实施的一套审计程序,旨在保护组织的应用系统及其所承载的业务和数据的完整性、可用性和机密性。本文借鉴新工科的建设理念,结合信息系统审计对于传统审计学教学实践的发展要求,提出信息系统审计方向的实践教学改革方案。
[关键词] 信息系统审计;信息系统控制;实践教学
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2021. 01. 035
[中图分类号] F239.6;G640 [文献标识码] A [文章编号] 1673 - 0194(2021)01- 0080- 03
0 引 言
教育部推进“新工科”“新医科”“新农科”“新文科”等一批学科建设,着眼学科的交叉性与综合性,强调信息技术与传统专业的结合与升级改造。这给审计学科带来了启示。信息系统审计脱胎于传统的审计学和现代的信息系统管理专业,旨在应对组织所面临的日益严峻的信息技术风险,是一个典型的应用型专业。越来越多的高校在本科或研究生层次设置了信息系统审计方向,开授相关专业课程,为社会培养紧缺专业人才。
目前,大部分高校的信息系统审计方向参照国际信息系统审计协会的“注册信息系统审计师(CISA)”考试大纲的知识体系,围绕信息技术与系统开发和应用中的内部控制体系,组织教学课程模块。按照国际信息系统审计协会的领域划分,信息系统审计的知识体系包括IT治理与管理、信息系统的购置开发与实施、信息系统的运营和业务恢复能力、信息资产的保护等领域。针对这些领域主题,大多数开设信息系统审计方向的学校的培养计划中一般会囊括相关的信息技术类课程模块,包括程序设计、计算机网络、操作系统、数据库系统、信息系统分析与设计、信息安全等计算机类课程以及一部分会计信息系统等课程。
为了帮助学生建立起相应的知识结构,当前主流的教学模式借鑒计算机学院或者信息类学院的授课模式,直接移植对应的课程模块。在教学过程中,偏重信息技术的原理讲解,而将信息技术的固有风险和控制措施置于次要地位,表现在教学实践中对于风险防范的实操关注不够,导致对于内嵌于信息处理设施之中的技术性控制训练不足(如图1中的粗体字部分)。本文围绕信息处理设施中的技术性控制的实践教学设计探讨一种教学方案。
按照信息安全管理体系国际标准ISO 27001所给出的定义,信息处理设施是用于处理业务数据和流程等关键系统的设施。这些设施一般包括数据中心的机房环境、主机/服务器设备、存储设备、网络设备、安全设备等关键信息资产。这些信息处理设施是信息系统安全运行的基础,必须具备充分必要的风险控制措施。一般来说,这类风险控制措施分为管理类和技术类两种。就后者而言,这些设施/设备本身内嵌了一些技术性风险控制措施,依靠设备固件、操作系统、数据库管理系统、各类中间件、应用程序等信息技术手段层叠构建起业务交易的技术性风险控制体系,将业务数据和流程严密监护起来,确保业务和数据的完整性、可用性和机密性。从审计的角度,这套技术性控制体系的每个套层都需要仔细检视和评价。为此,需要以信息处理设施为审计对象,评估这些技术组件的固有风险和控制风险。
1 实践教学改革思路与整合规划
本文提出实践教学的改革方案思路如下:对于信息系统审计方向,将信息处理设施的技术风险控制纳入到计算机类课程和审计类主课的实践环节。以计算机网络为例,在该课程的实践环节中增加“控制与审计”专题,加强对网络设备重要工程参数的关注与风险控制。根据信息处理设施的安全基线,对可能带来风险的参数设置,以及对这些信息处理设施的管理控制开展逐项检查和解读,审核特定技术组件的配置,确定这些审核在多大程度上符合组织的控制目标,最终找出差距形成风险报告。由于这些设置通常需要对该门课程和设备原理的全方位掌握和理解,可考虑以综合模拟实验或开放实验的方式在主课结束后的小学期实施。
按照传统的互联网数据中心(IDC)机房环境,数据在信息处理设施的流动路径构成一条底层数据链路。数据分别流经:数据中心/机房环境、网络设备(含安全设备)、主机设备、操作系统、数据库系统、存储设备、应用服务器和业务应用等信息处理设施。表1 显示了数据中心基础设施、系统平台、数据库、应用系统和业务之间的关系。
2 实践教学方案规划
对照表1,各层都有与其对应的课程模块。总体来说,一些常规审计项目,例如账户和权限管理、密码策略、逻辑访问控制、软件或系统的补丁策略、备份和恢复方案、审计轨迹功能等,需要结合各自领域的特点,在相应课程实践环节内加以安排。为节省空间,下文不再赘述,仅对各审计域和技术组件的特殊风险事项和额外控制的实践教学安排加以讨论。
2.1 信息系统审计实践模块
本模块对应于数据中心基础设施层,关注机房环境和数据中心的风险控制事项。在实践教学中,可考虑以学校的计算机机房为审计对象,这些机房本身都有相关的控制制度和措施,涵盖机房的物理安全、物理访问控制、环境控制和系统监控等集中性和普遍性的控制措施,包括风、火、水、电等常规检查和评估事项。
2.2 操作系统实践模块
本模块关注操作系统本身的固有风险和控制风险。根据常见的操作系统类型,分为Windows、各型Linux等常见操作系统。以Windows操作系统为例,待审计事项包括:①操作系统的文件、目录和虚拟目录的控制情况、注册表权限控制等;②操作系统的非必要组件(服务、端口、应用程序和计划任务等)的启用、安装及运行情况。这些内容原本不是操作系统课程的核心讲授和考核内容,但对于确认操作系统的安全使用发挥至关重要的作用,因此可考虑开设一次专题实践供学生实操以掌握这些内容。
2.3 计算机网络实践模块
本模块引入网络设备审计实验,加强对网络设备可能带来的风险点控制与检查,具体包括:①交换机、路由器等常见网络设备以及防火墙、上网行为管理器等安全设备的重要工程参数的审计事项,例如虚拟局域网(VLAN)的配置参数,VLAN 1的使用情况;网络广播风暴的阈值控制;无效接口的禁用情况,IP源路径路由和IP定向广播的禁用情况;防火墙的过滤规则等,确认上述参数符合安全基线。②不同类型网络的组网审计,实现业务和数据的独立网络划分,减少局域网资产暴露的可能性,确保有效降低攻击者攻击的范围。③网络安全管理技术,包括简单网络管理协议(SNMP)管理规范、配置文件的备份、网络时间协议(NTP)的安全使用、安全壳(SSH)协议的合理使用。④网络安全控制措施,如远程访问、共享策略与控制措施、防火墻策略、网络漏洞扫描和入侵防御等。⑤无线网络的安全检查,包括针对无线路由设备的动态主机配置协议(DHCP)服务器的IP分配相关基线核查,是否给新接入设备分配IP,是否针对访客接入配置单独的域,限制其网络通信行为。
2.4 数据库实践模块
本模块关注数据库技术的风险情况,重点在于数据访问安全与存储安全,包括:①数据访问的控制级别(表级、行级、列级);②数据库性能监控、活动监控、容量管理和数据库审计方法等。③常见数据库的渗透测试和漏洞扫描等。
应用系统的风险来源于业务-IT融合过程中的风险以及IT技术的固有风险,由此分成两个课程模块:信息系统分析、设计与开发实践模块和业务系统实践模块。
2.5 信息系统分析、设计与开发实践模块
本模块关注信息系统开发技术(开发框架、编程技术和编程语言)的固有风险和控制风险,这些风险来自于技术本身的特性。在实践教学中,学生应加强如下训练:①应用系统在安全性、可靠性等非功能性需求方面带来的固有风险,例如开放Web软件安全项目(OWASP)发布的风险等重要事项进行额外的分析与设计。②应用容器(如Web服务器)的参数配置,包括会话管理;配置文件、URL过滤限制;程序错误(error)的处理措施;非必要的服务、模块、对象和API的禁用(或删除)情况;对未使用的脚本类型的禁用情况;协议的使用情况;服务器端证书的有效性和使用情况。③应用系统的变更控制,包括代码检查和版本控制的控制措施;④应用系统的容灾备份;⑤应用系统的渗透测试和漏洞扫描等。
2.6 业务系统实践模块
本模块关注业务-IT技术融合过程的风险事项,包括内嵌在应用系统中的业务控制措施,要求学生掌握应用控制的基本原理和实现方式。这部分风险来自于业务属性,与具体的业务类型相关。考虑以会计信息系统(如用友U8)为典型业务系统,常规的控制事项包括:①系统的输入控制,包括输入检查与校验等;②处理控制,如风险控制相关的业务规则;③输出控制,包括输出数据的汇总和核对、输出错误处理等;④应用系统间的接口控制,包括传输数据流的控制措施;⑤数据的分类与妥善保管,满足数据安全法和相关行业法规条例等。
3 结 语
信息系统审计实践课程的改革是顺应《网络安全等级保护条例》和即将出台的《数据安全法》的时代发展的要求。本文从信息处理设施的技术风险与控制着眼,提出信息系统审计方向主干课程实践环节的设计方案,培养学生对于信息技术风险的认知和控制措施的应用能力。
主要参考文献
[1]董丽英,杨浩然.探索大数据审计背景下高层次应用型审计人才培养[J].审计月刊,2020(2):40-42.
[2]穆勇,赵莹,张燕生,支俊辉.信息系统专业审计研究与实践[J].信息系统学报,2018(1):116-125.
[3]陈耿,李婷婷,韩志耕.ISACM:现代信息系统审计模型及其方法体系[J].会计之友,2019(9):125-129.
[4]岑磊,陈晓雨,马宁.浅析信息系统审计高端人才的培养[J].会计师, 2018(9):55-56.
[5][美]克里斯·戴维斯,麦克·席勒,凯文·惠勒.IT审计:管好信息资产[M].第2版.中治研(北京)国际信息技术研究院,译.北京: 中国经济出版社,2015.
