趙雅欣

(重慶市電力公司審計(jì)部，重慶400014)

隨著企業(yè)信息化程度的不斷加深，內(nèi)部審計(jì)工作接觸各種電子信息的機(jī)會(huì)越來(lái)越多，這些電子信息有很大部分涉及企業(yè)的機(jī)密。由于電子資料信息量大、復(fù)制容易等特點(diǎn)，比傳統(tǒng)的紙質(zhì)資料更難以控制和管理，因此，如何確保審計(jì)信息安全，避免企業(yè)機(jī)密外泄，成為了內(nèi)部審計(jì)機(jī)構(gòu)面臨的一大課題。

1 審計(jì)信息安全定義

審計(jì)信息安全是指審計(jì)信息特別是秘密信息在產(chǎn)生、傳輸、處理和存儲(chǔ)的過(guò)程中不被泄露或破壞，確保審計(jì)信息的安全性、保密性、可用性、完整性和不可否認(rèn)性。審計(jì)信息安全控制就是審計(jì)機(jī)構(gòu)以審計(jì)信息安全為核心，重點(diǎn)加強(qiáng)網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)的安全，采取有效的安全防范措施，保證審計(jì)信息的可用性、保密性、完整性和不可否認(rèn)性，確保審計(jì)信息不被竊取和破壞，保障審計(jì)系統(tǒng)的安全、穩(wěn)定運(yùn)行。

2 審計(jì)信息安全風(fēng)險(xiǎn)分析

2.1 人員風(fēng)險(xiǎn)

在內(nèi)部審計(jì)工作快速發(fā)展的今天，內(nèi)部審計(jì)機(jī)構(gòu)常常需要借助外部審計(jì)機(jī)構(gòu)或內(nèi)部其他業(yè)務(wù)部門(mén)人員來(lái)輔助完成內(nèi)部審計(jì)工作，因此，審計(jì)組的人員組成較為復(fù)雜，給審計(jì)信息的安全也帶來(lái)更大的風(fēng)險(xiǎn)。參與內(nèi)部審計(jì)項(xiàng)目的人員可能會(huì)利用審計(jì)機(jī)會(huì)，將數(shù)據(jù)通過(guò)筆記本電腦或U盤(pán)等介質(zhì)帶出審計(jì)組，造成審計(jì)信息的泄密。

2.2 硬件安全風(fēng)險(xiǎn)

隨著審計(jì)手段的發(fā)展，審計(jì)人員現(xiàn)場(chǎng)工作基本是在電腦上利用審計(jì)軟件完成的。若審計(jì)人員使用的電腦沒(méi)有單獨(dú)配置、隔離保管和設(shè)置可靠的密碼，則有可能被他人使用和攻擊，造成資料被竊，威脅審計(jì)信息的安全。

2.3 外網(wǎng)連接安全風(fēng)險(xiǎn)

審計(jì)人員使用的電腦在審計(jì)工作過(guò)程中與外部網(wǎng)絡(luò)連接，雖然方便了審計(jì)人員之間的相互交流和審計(jì)資料的傳遞，但也可能會(huì)受到外部黑客或病毒的攻擊，造成資料外泄或信息破壞，給企業(yè)帶來(lái)?yè)p失。

2.4 資料傳輸安全風(fēng)險(xiǎn)

在審計(jì)過(guò)程中，審計(jì)人員需要相互之間傳遞信息和資料，特別是在某些環(huán)境下，資料的傳遞不能通過(guò)內(nèi)部網(wǎng)絡(luò)來(lái)完成，只有借助外部網(wǎng)絡(luò)傳輸，在傳輸過(guò)程中，可能發(fā)生信息被竊或地址發(fā)送錯(cuò)誤的情況，導(dǎo)致信息安全失控。

3 審計(jì)信息安全控制措施

3.1 制度保障

制訂有效的信息保密制度是審計(jì)信息安全防范的基本保障。內(nèi)部審計(jì)機(jī)構(gòu)應(yīng)根據(jù)企業(yè)特點(diǎn)，制訂相應(yīng)的審計(jì)信息保密制度，從內(nèi)部控制的角度上來(lái)規(guī)范和約束審計(jì)信息的使用規(guī)則。審計(jì)信息保密制度至少應(yīng)規(guī)范信息使用者的權(quán)限、信息使用的范圍、方式和程序，以及違反保密制度后應(yīng)受到的處罰等相關(guān)內(nèi)容，明確信息使用的規(guī)范流程和使用者的權(quán)力義務(wù)，有效指導(dǎo)信息使用者(包括審計(jì)人員)如何正確、規(guī)范的使用信息，確保審計(jì)信息的安全。

另外，在聘用外部審計(jì)機(jī)構(gòu)人員時(shí)，可與外部審計(jì)機(jī)構(gòu)簽訂保密協(xié)議，確保外部審計(jì)人員能夠履行保密責(zé)任。

3.2 硬件隔離

硬件隔離主要通過(guò)兩種方式來(lái)實(shí)現(xiàn):一是內(nèi)部審計(jì)機(jī)構(gòu)配備專(zhuān)用電腦用于現(xiàn)場(chǎng)審計(jì)，這就避免了審計(jì)人員利用自己電腦或被審單位電腦工作，資料存儲(chǔ)在外部電腦上，造成的信息外泄。同時(shí)，利用專(zhuān)用電腦開(kāi)展審計(jì)項(xiàng)目，也有利于審計(jì)資料的歸檔和保管。二是內(nèi)部審計(jì)專(zhuān)用電腦只能連接審計(jì)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)，不能直接與外部網(wǎng)絡(luò)連接，這就有效規(guī)避了審計(jì)專(zhuān)用電腦受到來(lái)自外部網(wǎng)絡(luò)的攻擊和破壞，保障了審計(jì)信息的安全可靠。

3.3 權(quán)限設(shè)置

由于大量的內(nèi)部審計(jì)工作借用了外部審計(jì)人員和其他部門(mén)人員，在審計(jì)過(guò)程中可能造成審計(jì)信息的外泄。通過(guò)審計(jì)組內(nèi)部人員權(quán)限的設(shè)置，可以有效規(guī)避審計(jì)組成員使用信息不當(dāng)或人為竊取信息造成的資料外泄。在審計(jì)組內(nèi)部分工時(shí)，審計(jì)組長(zhǎng)應(yīng)根據(jù)審計(jì)組成員的不同來(lái)源、專(zhuān)業(yè)，分別安排相應(yīng)的審計(jì)任務(wù)，對(duì)于一些核心的機(jī)密內(nèi)容應(yīng)由可靠的審計(jì)組成員實(shí)施，避免過(guò)多的人員接觸機(jī)密資料。

在現(xiàn)場(chǎng)審計(jì)過(guò)程中，審計(jì)組長(zhǎng)應(yīng)將其使用的電腦作為服務(wù)器，所有審計(jì)資料都存儲(chǔ)在服務(wù)器上，審計(jì)組成員的電腦作為客戶(hù)端，只能從服務(wù)器上讀取審計(jì)資料。同時(shí)，審計(jì)組長(zhǎng)根據(jù)審計(jì)組成員的分工，在系統(tǒng)中設(shè)置相應(yīng)的查詢(xún)、處理權(quán)限，使得審計(jì)組成員只能按設(shè)定的權(quán)限讀取數(shù)據(jù)，避免審計(jì)組成員超范圍查詢(xún)和使用審計(jì)信息，保證審計(jì)信息的安全使用。

3.4 素質(zhì)教育

根據(jù)《內(nèi)部審計(jì)人員職業(yè)道德規(guī)范》的要求，“內(nèi)部審計(jì)人員應(yīng)當(dāng)遵循保密性原則，按規(guī)定使用其在履行職責(zé)時(shí)所獲取的資料”，這對(duì)內(nèi)部審計(jì)人員使用審計(jì)信息提出了剛性要求。同時(shí)，內(nèi)部審計(jì)機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)審計(jì)人員的職業(yè)道德素質(zhì)教育，增強(qiáng)審計(jì)人員的責(zé)任心和道德感，使審計(jì)人員能夠自覺(jué)遵守職業(yè)道德規(guī)范，做好審計(jì)信息的保密工作，確保審計(jì)資料的安全完整。

3.5 軟件加密

軟件加密是指通過(guò)使用計(jì)算機(jī)軟件加密系統(tǒng)，建立審計(jì)信息安全邊界，來(lái)有效保護(hù)企業(yè)核心信息安全，控制審計(jì)信息的泄密風(fēng)險(xiǎn)?，F(xiàn)階段，通過(guò)軟件加密是防控審計(jì)信息外泄的最有效、最安全的措施之一。

3.5.1 軟件加密的目的

(1)文件流轉(zhuǎn)安全。確保電子文檔在審計(jì)部門(mén)內(nèi)部可以安全流轉(zhuǎn)，抵御可能存在的數(shù)據(jù)安全威脅，杜絕任何通過(guò)網(wǎng)絡(luò)、端口、磁盤(pán)等各種途徑導(dǎo)致的泄密事件。

(2)數(shù)據(jù)使用安全。防止文檔使用者通過(guò)剪切板拷貝、拖拽、打印、拷屏等應(yīng)用行為泄密。

(3)數(shù)據(jù)外發(fā)安全。對(duì)外發(fā)的電子文檔進(jìn)行安全控制，防止非法用戶(hù)訪問(wèn)和第三方二次擴(kuò)散造成的文件泄密。

(4)離線辦公安全。支持終端離線安全辦公，消除終端丟失、維修、盜用時(shí)帶來(lái)的泄密隱患。

3.5.2 軟件加密的實(shí)現(xiàn)方式

(1)審計(jì)文檔加密。審計(jì)文檔加密是指在審計(jì)體系內(nèi)部終端部署文檔加密系統(tǒng)，利用加密算法，設(shè)置高強(qiáng)度加密密鑰，實(shí)現(xiàn)對(duì)核心審計(jì)資料的安全保護(hù)。

(2)機(jī)密資料外發(fā)控制。機(jī)密資料外發(fā)控制是指在對(duì)外發(fā)送文檔時(shí)，為保證第三方使用文檔嚴(yán)格受控，采取文檔外發(fā)控制系統(tǒng)來(lái)控制指定外發(fā)文檔使用者對(duì)文檔的使用權(quán)限、時(shí)間和次數(shù)，從而主動(dòng)防止重要信息泄露和非法擴(kuò)散。機(jī)密資料外發(fā)控制可采取密碼檢驗(yàn)、U-Key驗(yàn)證、機(jī)器標(biāo)識(shí)碼等多種不同的身份認(rèn)證機(jī)制來(lái)實(shí)現(xiàn)。通過(guò)設(shè)置機(jī)密資料外發(fā)控制系統(tǒng)，確保外發(fā)文件在使用過(guò)程中始終處于受保護(hù)狀態(tài)，機(jī)密資料只能被指定的第三方所使用，其他人員無(wú)法通過(guò)非法手段竊取文件內(nèi)容，有效避免文件二次擴(kuò)散，從根本上消除了因資料發(fā)布后無(wú)法控制而造成的泄密風(fēng)險(xiǎn)。

(3)U盤(pán)安全加密。U盤(pán)使用靈活方便，已經(jīng)成為機(jī)密文件存儲(chǔ)流轉(zhuǎn)最主要的方式之一，但U盤(pán)的丟失可能會(huì)給企業(yè)信息資源帶來(lái)巨大的安全隱患。U盤(pán)安全加密是指通過(guò)在U盤(pán)內(nèi)嵌入身份認(rèn)證和數(shù)據(jù)加密系統(tǒng)，保證移動(dòng)存儲(chǔ)介質(zhì)在其整個(gè)生命周期中的安全可控，確保U盤(pán)存儲(chǔ)信息的安全。

4 結(jié)語(yǔ)

審計(jì)信息安全工作是一項(xiàng)防范性工作，與其亡羊補(bǔ)牢，不如未雨綢繆，特別是在當(dāng)今這個(gè)電子信息化時(shí)代，企業(yè)核心機(jī)密越來(lái)越多的體現(xiàn)在電子文檔載體之上，信息保密就顯得尤其重要。企業(yè)根據(jù)自身特點(diǎn)采取相應(yīng)的審計(jì)信息安全控制措施，使安全風(fēng)險(xiǎn)和責(zé)任意識(shí)擴(kuò)展到單位每一個(gè)成員，提高安全管理的整體效率，實(shí)現(xiàn)信息安全管理從“靜態(tài)、被動(dòng)、散亂”向“動(dòng)態(tài)、主動(dòng)、系統(tǒng)”的積極轉(zhuǎn)變。內(nèi)部審計(jì)信息安全控制，在確保企業(yè)信息安全，避免企業(yè)利益受損的同時(shí)，也能夠規(guī)范現(xiàn)有內(nèi)部審計(jì)工作的流程和運(yùn)作模式，有效規(guī)避內(nèi)部審計(jì)人員的職業(yè)風(fēng)險(xiǎn)。

［1］馬英彬，徐東華.審計(jì)信息化建設(shè)中信息安全保密工作研究［J］.計(jì)算機(jī)安全，2010，(5).

［2］周朝暉，匡紅慶.關(guān)于信息安全技術(shù)的討論［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005，(8).

［3］楊杰.信息安全審計(jì)的應(yīng)用研究［J］.計(jì)算機(jī)安全，2010，(10).