劉國(guó)城 王會(huì)金

(南京審計(jì)學(xué)院，江蘇南京 210029)

日志視角下信息系統(tǒng)安全審計(jì)的模型構(gòu)建及風(fēng)險(xiǎn)控制

劉國(guó)城 王會(huì)金

(南京審計(jì)學(xué)院，江蘇南京 210029)

信息系統(tǒng)日志是對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控和對(duì)網(wǎng)絡(luò)中的事件進(jìn)行分析的重要信息來源。信息系統(tǒng)的審計(jì)主體，要加強(qiáng)對(duì)基于日志分析的審計(jì)證據(jù)獲取方法的運(yùn)用和創(chuàng)新，并有效實(shí)現(xiàn)以日志審計(jì)為主導(dǎo)的信息系統(tǒng)安全審計(jì)。基于日志視角下系統(tǒng)安全審計(jì)的功能需求，本文提出了信息系統(tǒng)安全審計(jì)模型，并借鑒COBIT理論，提出以日志為導(dǎo)向的信息系統(tǒng)安全審計(jì)風(fēng)險(xiǎn)控制構(gòu)想:合理規(guī)劃日志的識(shí)別與挖掘，加強(qiáng)有關(guān)信息系統(tǒng)安全的全過程審計(jì);有效實(shí)施日志的挖掘與評(píng)價(jià)，科學(xué)確認(rèn)有關(guān)信息系統(tǒng)安全的重大錯(cuò)報(bào)風(fēng)險(xiǎn);強(qiáng)化審計(jì)網(wǎng)絡(luò)平臺(tái)的功能，努力提高信息系統(tǒng)審計(jì)人員的業(yè)務(wù)素質(zhì)。

日志;信息系統(tǒng);安全審計(jì);COBIT

信息系統(tǒng)安全，是指確保以電磁信號(hào)為主要形式的、在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行自動(dòng)通信、處理和利用的信息內(nèi)容，在各個(gè)物理位置、邏輯區(qū)域、存儲(chǔ)和傳媒介質(zhì)中，處于動(dòng)態(tài)或靜態(tài)過程中的保密性、完整性和可用性，與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)安全、結(jié)構(gòu)安全和管理安全的總和。①孫強(qiáng):《信息系統(tǒng)審計(jì)》，機(jī)械工業(yè)出版社2003年版。信息系統(tǒng)安全審計(jì)是信息系統(tǒng)審計(jì)的一個(gè)分支，是專門針對(duì)信息系統(tǒng)安全實(shí)施的審計(jì)。日志是信息系統(tǒng)所指定對(duì)象的某些操作和其操作結(jié)果按時(shí)間有序的集合，②梁曉雪、王鋒:《基于聚類的日志分析技術(shù)綜述與展望》，《云南大學(xué)學(xué)報(bào)》2009年第1期。是對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控和對(duì)網(wǎng)絡(luò)中的事件進(jìn)行分析的重要信息來源。在一個(gè)完整的信息系統(tǒng)里，日志可以記錄系統(tǒng)構(gòu)建與運(yùn)營(yíng)的所有行為，并按照某種規(guī)范表達(dá)出來。本文認(rèn)為，日志是審計(jì)主體獲取信息系統(tǒng)安全審計(jì)證據(jù)的最直接、最有價(jià)值的信息資料。信息系統(tǒng)的審計(jì)主體，要加強(qiáng)對(duì)基于日志分析的審計(jì)證據(jù)獲取方法的運(yùn)用。此外，本文主要是針對(duì)“信息系統(tǒng)的內(nèi)部審計(jì)”進(jìn)行研究的，這是因?yàn)楸粚徬到y(tǒng)的外部審計(jì)多為“事后審計(jì)”，而內(nèi)部審計(jì)可以實(shí)現(xiàn)“實(shí)時(shí)審計(jì)”，二者有所差異。

一、日志視角下信息系統(tǒng)安全審計(jì)的功能需求

Windows NT/XP/2003有符合C2安全等級(jí)的SCE機(jī)制，其日志文件有應(yīng)用程序日志 AppEvent．evt、安全日志 SecEvent．evt、系統(tǒng)日志 SysEvent．evt，根據(jù)系統(tǒng)開通的服務(wù)還會(huì)產(chǎn)生相應(yīng)的日志文件，如FTP日志等。Windows下應(yīng)用程序日志主要包括有關(guān)用戶程序和商業(yè)通用應(yīng)用程序運(yùn)行方面的錯(cuò)誤活動(dòng)，如數(shù)據(jù)庫(kù)中文件錯(cuò)誤的記錄;安全日志主要是應(yīng)急響應(yīng)調(diào)查階段最有價(jià)值的日志，如系統(tǒng)啟動(dòng)和關(guān)閉等事件，以及與創(chuàng)建、打開或刪除文件等資源使用相關(guān)聯(lián)的事件;系統(tǒng)日志是記錄系統(tǒng)進(jìn)程和設(shè)備驅(qū)動(dòng)程序有關(guān)活動(dòng)的文件，如服務(wù)異常暫停。Windows系統(tǒng)外，Linux系統(tǒng)、Unix系統(tǒng)、以及上述操作系統(tǒng)外的其他方面也都會(huì)產(chǎn)生各自的日志，如安全設(shè)備日志、網(wǎng)絡(luò)設(shè)備日志、應(yīng)用系統(tǒng)日志，等等。以日志為視角的信息系統(tǒng)安全審計(jì)的功能需求主要表現(xiàn)為:(1)建設(shè)審計(jì)網(wǎng)絡(luò)平臺(tái)。審計(jì)主體通過建立審計(jì)網(wǎng)絡(luò)平臺(tái)，將其融于被審單位的信息系統(tǒng)中去，并將其同運(yùn)營(yíng)的信息系統(tǒng)保持“實(shí)時(shí)”聯(lián)絡(luò)或“日?！甭?lián)絡(luò);(2)實(shí)現(xiàn)對(duì)日志的集中管理。通過網(wǎng)絡(luò)平臺(tái)，審計(jì)主體能夠?qū)崿F(xiàn)對(duì)應(yīng)用程序日志、安全日志等多類日志的分類與集中管理，包括對(duì)日志的存儲(chǔ)、備份、更新與刪除;(3)實(shí)現(xiàn)對(duì)日志的識(shí)別與轉(zhuǎn)換。通過網(wǎng)絡(luò)平臺(tái)，審計(jì)主體能夠辨別哪些屬于服務(wù)系統(tǒng)日志，哪些屬于入侵檢測(cè)系統(tǒng)日志等。同時(shí)，審計(jì)主體還需將各種日志整理、歸類，并在此基礎(chǔ)上，將所收集的不同格式的各種日志數(shù)據(jù)盡可能轉(zhuǎn)化為統(tǒng)一格式的數(shù)據(jù)信息;(4)實(shí)現(xiàn)對(duì)日志的篩選與挖掘。運(yùn)用數(shù)學(xué)領(lǐng)域的數(shù)據(jù)篩選方法與數(shù)據(jù)挖掘方法從海量日志數(shù)據(jù)信息中，甄選出敏感的、異常的、可疑的日志數(shù)據(jù);(5)實(shí)現(xiàn)對(duì)日志的分析、評(píng)價(jià)與報(bào)告。審計(jì)主體能夠?qū)崿F(xiàn)對(duì)異常、敏感數(shù)據(jù)的分析、及時(shí)發(fā)現(xiàn)系統(tǒng)安全存在的問題，并編制審計(jì)工作底稿，及時(shí)積累審計(jì)證據(jù);(6)實(shí)現(xiàn)審計(jì)網(wǎng)絡(luò)平臺(tái)的獨(dú)立性。審計(jì)主體能夠保證審計(jì)平臺(tái)盡管與信息系統(tǒng)聯(lián)結(jié)為一體，但其運(yùn)行機(jī)制必須獨(dú)立于審計(jì)客體;(7)保證審計(jì)網(wǎng)絡(luò)平臺(tái)的自身安全。審計(jì)主體確保平臺(tái)安全，對(duì)加工后的日志數(shù)據(jù)及時(shí)存儲(chǔ)與加密，避免相關(guān)審計(jì)資料被截獲、篡改和偽造，平臺(tái)與系統(tǒng)之間的通訊也盡量采用加密傳輸?shù)姆绞健?/p>

二、日志視角下信息系統(tǒng)安全審計(jì)的模型構(gòu)架

以日志為內(nèi)容的信息系統(tǒng)安全審計(jì)是一項(xiàng)系統(tǒng)工程，這是因?yàn)樵嫉娜罩緮?shù)據(jù)具有不易讀懂、數(shù)據(jù)量大、不易獲取、容易被修改等特性，且審計(jì)過程中還會(huì)涉及到特征值的設(shè)計(jì)、挖掘算法的選用，①易仁萍、陳耿:《數(shù)據(jù)挖掘技術(shù)及其在審計(jì)風(fēng)險(xiǎn)管理的應(yīng)用》，《審計(jì)與經(jīng)濟(jì)研究》2003年第1期。諸多因素都為信息系統(tǒng)安全審計(jì)增加了難度?；谌罩疽暯窍孪到y(tǒng)安全審計(jì)的功能需求，本文提出了信息系統(tǒng)安全審計(jì)模型(圖1)，并從兩方面進(jìn)行闡述:

(一)審計(jì)網(wǎng)絡(luò)平臺(tái)

審計(jì)網(wǎng)絡(luò)平臺(tái)是由A－I共計(jì)9個(gè)模塊組合而成。A．代理模塊:全面收集日志庫(kù)中的各種原始日志數(shù)據(jù)，包括路由設(shè)備日志、防火墻系統(tǒng)日志等;B．接口模塊:與代理模塊形成對(duì)接關(guān)系，“實(shí)時(shí)”或“定時(shí)”接收A模塊發(fā)送的加密日志信息;C．集中管理模塊:對(duì)B所接收的數(shù)據(jù)進(jìn)行歸類，存儲(chǔ)，備份，更新或刪除。其分布于整個(gè)網(wǎng)絡(luò)平臺(tái)，備份，更新等行為貫穿于整個(gè)審計(jì)過程;D．日志安全模塊:保證審計(jì)網(wǎng)絡(luò)平臺(tái)的安全，確保該平臺(tái)下所有的日志數(shù)據(jù)不被丟失與毀壞，其也分布于整個(gè)網(wǎng)絡(luò)平臺(tái);E．日志識(shí)別模塊:區(qū)分各種代碼、數(shù)據(jù)、程序，將非真正的日志信息從冗雜的日志群中剔除。E模塊功能的發(fā)揮可以降低日志轉(zhuǎn)換與挖掘過程的審計(jì)成本;F．日志轉(zhuǎn)換模塊:將不同格式的日志數(shù)據(jù)盡可能地轉(zhuǎn)化為統(tǒng)一格式。入侵檢測(cè)系統(tǒng)日志、網(wǎng)絡(luò)交換日志等有的屬于系統(tǒng)日志，有的屬于程序日志，因來源不同，數(shù)據(jù)格式不盡一致，F(xiàn)模塊是將不同類別下不同日志的不同數(shù)據(jù)格式盡可能地轉(zhuǎn)化為統(tǒng)一格式，以便為數(shù)據(jù)挖掘提供服務(wù);G．日志挖掘模塊:對(duì)日志數(shù)據(jù)進(jìn)行挖掘，篩選出敏感、可疑數(shù)據(jù)。G模塊多采用分類、聚類等方法，科學(xué)選擇特征值;H．日志評(píng)價(jià)模塊:對(duì)G的敏感數(shù)據(jù)進(jìn)行驗(yàn)證，篩選出存在問題的信息，進(jìn)行分析、評(píng)價(jià)、確認(rèn)與評(píng)估，建立日志評(píng)價(jià)信息庫(kù);I．日志報(bào)告模塊:對(duì)H模塊的日志評(píng)價(jià)信息庫(kù)進(jìn)行整理、歸納、總結(jié)。

(二)安全審計(jì)過程

信息系統(tǒng)安全審計(jì)依托于審計(jì)網(wǎng)絡(luò)平臺(tái)，其包含3個(gè)過程(見圖1):

過程Ⅰ，內(nèi)部控制評(píng)價(jià)過程。內(nèi)部控制的檢查與評(píng)價(jià)是實(shí)施信息系統(tǒng)安全審計(jì)的基礎(chǔ)。內(nèi)部控制評(píng)價(jià)體系包括:(1)內(nèi)部控制制度的設(shè)計(jì)是否健全與科學(xué);(2)內(nèi)部控制制度是否有效執(zhí)行。在對(duì)信息系統(tǒng)安全進(jìn)行內(nèi)部控制評(píng)價(jià)前，審計(jì)主體需要事先確立評(píng)價(jià)標(biāo)準(zhǔn)。審計(jì)主體對(duì)內(nèi)部控制的評(píng)價(jià)主要是依托于審計(jì)網(wǎng)絡(luò)平臺(tái)中的G、H兩個(gè)模塊完成的，且對(duì)內(nèi)部控制設(shè)計(jì)的健全性與科學(xué)性，以及內(nèi)部控制執(zhí)行的有效性是有機(jī)結(jié)合執(zhí)行的。為對(duì)內(nèi)部控制進(jìn)行評(píng)價(jià)，在G模塊實(shí)施數(shù)據(jù)挖掘的過程中，審計(jì)主體應(yīng)該根據(jù)具體的控制標(biāo)準(zhǔn)選取正確的特征字段，基于具體方法進(jìn)行日志挖掘后，得出與具體評(píng)價(jià)標(biāo)準(zhǔn)相差別的異常日志。日志挖掘后，異常日志是審計(jì)主體研究的對(duì)象，此時(shí)審計(jì)主體需要運(yùn)用H模塊，確定有關(guān)系統(tǒng)安全的內(nèi)部控制薄弱的諸多環(huán)節(jié)。如企業(yè)管理標(biāo)準(zhǔn)中規(guī)定“系統(tǒng)用戶的登錄密碼不少于12位”，但是通過G模塊篩選出某wtmp日志，該日志顯示某系統(tǒng)用戶的成功登錄密碼為9位，則審計(jì)主體可以通過H模塊分析出，“系統(tǒng)用戶的登錄密碼不少于12位”這一內(nèi)部控制標(biāo)準(zhǔn)在系統(tǒng)操作中沒有得到有效執(zhí)行。

過程Ⅱ，運(yùn)營(yíng)活動(dòng)評(píng)價(jià)過程。審計(jì)主體通過執(zhí)行過程Ⅰ，可以確定下一步的審計(jì)工作范圍與審計(jì)重點(diǎn)，并在此基礎(chǔ)上，執(zhí)行過程Ⅱ。審計(jì)主體需要再次通過審計(jì)網(wǎng)絡(luò)平臺(tái)的G與H模塊，評(píng)價(jià)信息系統(tǒng)運(yùn)營(yíng)的可用性、保密性與完整性，這三個(gè)特性均是信息系統(tǒng)的安全屬性。過程Ⅱ需要對(duì)有關(guān)系統(tǒng)安全的內(nèi)部控制薄弱的方方面面都要進(jìn)行可用性、保密性以及完整性方面的審計(jì)，這些審計(jì)過程也需要選取挖掘算法、進(jìn)行異常日志評(píng)價(jià)。例如，過程Ⅰ發(fā)現(xiàn)關(guān)于“系統(tǒng)用戶登錄”內(nèi)部控制薄弱，則過程Ⅱ需進(jìn)一步確認(rèn)此“登錄問題”出現(xiàn)在哪一種邏輯訪問路徑下，假定出現(xiàn)在“在線終端設(shè)備”，則審計(jì)人員應(yīng)由“點(diǎn)”及“面”，通過選取科學(xué)的挖掘算法，設(shè)定有效的特征值，檢查“是否人為且故意篡改計(jì)算機(jī)程序”，或“是否被授權(quán)的計(jì)算機(jī)操作人員在工作上存在問題”，或“是否系統(tǒng)存在特洛伊木馬或惡性病毒”等系列相關(guān)問題。

過程Ⅲ，審計(jì)證據(jù)總結(jié)過程。過程Ⅲ的實(shí)現(xiàn)主要依托審計(jì)網(wǎng)絡(luò)平臺(tái)的I模塊。完成H模塊的功能后，審計(jì)主體會(huì)得出諸多結(jié)論。然而，這些結(jié)論是孤立的、零散的，單薄的、粗糙的，因而這些原始結(jié)論還不能稱為證據(jù)。鑒于此，審計(jì)主體需要發(fā)揮I模塊的功能，對(duì)原始結(jié)論進(jìn)行整理、分類、歸納，補(bǔ)充有關(guān)外部文件或相關(guān)標(biāo)準(zhǔn)，并借此編制審計(jì)工作底稿，形成系列性審計(jì)證據(jù)。

三、日志視角下信息系統(tǒng)安全審計(jì)的風(fēng)險(xiǎn)分析

信息系統(tǒng)安全審計(jì)風(fēng)險(xiǎn)是指審計(jì)主體在信息系統(tǒng)安全審計(jì)的過程中，由于受到信息系統(tǒng)某些不確定因素的影響，使審計(jì)結(jié)論與客觀事實(shí)發(fā)生背離，從而受有關(guān)關(guān)系人指控并遭受某種損失的可能性。

(一)傳統(tǒng)審計(jì)風(fēng)險(xiǎn)模型下信息系統(tǒng)安全審計(jì)的風(fēng)險(xiǎn)

傳統(tǒng)審計(jì)風(fēng)險(xiǎn)模型下，審計(jì)風(fēng)險(xiǎn)(AR)包括固有風(fēng)險(xiǎn)(IR)、控制風(fēng)險(xiǎn)(CR)與檢查風(fēng)險(xiǎn)(DR)，且AR=IR*CR*DR。信息系統(tǒng)安全審計(jì)風(fēng)險(xiǎn)來自于IR、CR、DR三個(gè)方面。其中，固定風(fēng)險(xiǎn)IR有來自內(nèi)部的，如軟件系統(tǒng)風(fēng)險(xiǎn)，信息機(jī)密性風(fēng)險(xiǎn)，網(wǎng)絡(luò)基礎(chǔ)設(shè)施風(fēng)險(xiǎn)等，也有來自外部的，如人員風(fēng)險(xiǎn)、組織風(fēng)險(xiǎn)、環(huán)境風(fēng)險(xiǎn)以及第三方合作風(fēng)險(xiǎn)。①王會(huì)金、劉國(guó)城:《COBIT及在中觀經(jīng)濟(jì)主體信息系統(tǒng)審計(jì)的應(yīng)用》，《審計(jì)研究》2009年第1期。審計(jì)人員評(píng)價(jià)固有風(fēng)險(xiǎn)時(shí)，既要考慮信息系統(tǒng)內(nèi)部運(yùn)行機(jī)理，還要考慮系統(tǒng)外部的社會(huì)環(huán)境變化等外部因素;控制風(fēng)險(xiǎn)CR產(chǎn)生于內(nèi)部控制環(huán)節(jié)，發(fā)生在審計(jì)行為實(shí)施之前，因而控制風(fēng)險(xiǎn)對(duì)審計(jì)主體來說，是可以評(píng)價(jià)但不可以控制。從控制環(huán)境的角度看，CR也分為內(nèi)部控制風(fēng)險(xiǎn)與外部控制風(fēng)險(xiǎn)。內(nèi)部控制風(fēng)險(xiǎn)來源于兩方面，其一是內(nèi)部控制制度設(shè)計(jì)的風(fēng)險(xiǎn)，例如被審單位規(guī)定“安全管理員的登陸賬號(hào)與密碼，除系統(tǒng)程序員、分析員共同享用外，不得轉(zhuǎn)借給其他人員使用”，這個(gè)內(nèi)部控制規(guī)定是不科學(xué)的，安全管理員的登陸賬號(hào)與密碼，只能自身使用，若其他人員有隨意進(jìn)入系統(tǒng)主控臺(tái)，隨意操作數(shù)據(jù)的可能性，則必將產(chǎn)生控制風(fēng)險(xiǎn);其二是內(nèi)部控制制度執(zhí)行的風(fēng)險(xiǎn)，假定被審單位規(guī)定“安全管理員的登陸賬號(hào)與密碼，不得轉(zhuǎn)借給其他人員使用”，但通過日志分析發(fā)現(xiàn)，計(jì)算機(jī)操作員經(jīng)常使用該賬號(hào)與密碼，則也必將產(chǎn)生控制風(fēng)險(xiǎn)。外部控制風(fēng)險(xiǎn)主要表現(xiàn)在外部社會(huì)環(huán)境變化所導(dǎo)致的內(nèi)部控制不穩(wěn)定;有關(guān)信息系統(tǒng)安全的檢查風(fēng)險(xiǎn)DR是必然存在的風(fēng)險(xiǎn)，其水平的高低與審計(jì)程序的有效性相關(guān)，日志視角下，網(wǎng)絡(luò)審計(jì)平臺(tái)構(gòu)架的越科學(xué)，審計(jì)模型設(shè)計(jì)越完善，審計(jì)主體檢查風(fēng)險(xiǎn)DR則越低。

(二)現(xiàn)代審計(jì)風(fēng)險(xiǎn)模型下信息系統(tǒng)安全審計(jì)的風(fēng)險(xiǎn)

2004年12月，IAASB發(fā)布了新審計(jì)風(fēng)險(xiǎn)準(zhǔn)則。傳統(tǒng)審計(jì)風(fēng)險(xiǎn)模型修改后，現(xiàn)代審計(jì)風(fēng)險(xiǎn)(AR)包括重大錯(cuò)報(bào)風(fēng)險(xiǎn)(RMM)與檢查風(fēng)險(xiǎn)(DR)兩個(gè)方面，且AR=RMM*DR。新模型中用RMM替換了傳統(tǒng)模型的IR*CR。表面上看，RMM與IR、CR之間沒有任何聯(lián)系，但從微觀層面看，RMM仍由IR與CR構(gòu)成。與傳統(tǒng)模型相比，新模型在IR、CR的基礎(chǔ)上，拓展了風(fēng)險(xiǎn)評(píng)估的范圍，其要求在考慮IR與CR同時(shí)，還要求考慮審計(jì)客體所處的經(jīng)營(yíng)風(fēng)險(xiǎn)、商業(yè)風(fēng)險(xiǎn)、行業(yè)風(fēng)險(xiǎn)、舞弊風(fēng)險(xiǎn)等等，使得審計(jì)風(fēng)險(xiǎn)評(píng)估的范圍更為宏觀?，F(xiàn)代風(fēng)險(xiǎn)模型的拓展提醒審計(jì)主體在審計(jì)網(wǎng)絡(luò)平臺(tái)實(shí)施日志挖掘時(shí)，特征向量的設(shè)置需要綜合考慮信息系統(tǒng)的運(yùn)營(yíng)，信息系統(tǒng)的行業(yè)等多種情形，例如，行業(yè)的網(wǎng)絡(luò)竊聽器(Sniffer)，其某些字段也應(yīng)作為G模塊的特征字段進(jìn)行挖掘。與此同時(shí)，現(xiàn)代風(fēng)險(xiǎn)模型也提醒審計(jì)主體在發(fā)揮日志評(píng)價(jià)功能時(shí)也應(yīng)綜合考慮審計(jì)客體的行業(yè)規(guī)范、行業(yè)特征等多種因素，如當(dāng)前世界上計(jì)算機(jī)病毒的最新控制方法等，并將其同日志上所表現(xiàn)出的病毒控制方法相比對(duì)，以求多角度認(rèn)定重大錯(cuò)報(bào)風(fēng)險(xiǎn)。

四、以日志為導(dǎo)向的信息系統(tǒng)安全審計(jì)的風(fēng)險(xiǎn)控制構(gòu)想

COBIT是美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)在1996年頒布的，目前國(guó)際上公認(rèn)的安全與信息技術(shù)管理和控制的規(guī)范體系。COBIT框架將IT資源劃分為人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)備、數(shù)據(jù)5類，按照生命周期將IT過程劃分為規(guī)劃和組織、獲取和實(shí)施、支付和支持、監(jiān)控四個(gè)域。本文認(rèn)為，COBIT框架下的控制體系能夠?yàn)閷徲?jì)主體提供信息系統(tǒng)安全審計(jì)風(fēng)險(xiǎn)控制的參照標(biāo)準(zhǔn)與審計(jì)指南。這是因?yàn)镃OBIT的層級(jí)控制體系為審計(jì)主體闡述了哪些IT標(biāo)準(zhǔn)是重要的，每個(gè)信息技術(shù)處理過程具體涉及哪些IT資源，IT實(shí)施控制過程中需要重點(diǎn)關(guān)注哪些對(duì)象，系統(tǒng)在各個(gè)層面上是否達(dá)到了控制標(biāo)準(zhǔn)，等等。COBIT的318項(xiàng)具體控制目標(biāo)能夠?yàn)閷徲?jì)主體明確審計(jì)風(fēng)險(xiǎn)的控制重點(diǎn)與控制思路。鑒于COBIT框架對(duì)以日志為視角的信息系統(tǒng)安全審計(jì)風(fēng)險(xiǎn)控制的貢獻(xiàn)，筆者就其風(fēng)險(xiǎn)控制問題提出如下建議:

(一)合理規(guī)劃日志的識(shí)別與挖掘，加強(qiáng)有關(guān)信息系統(tǒng)安全的全過程審計(jì)

目前，我國(guó)有關(guān)于信息系統(tǒng)審計(jì)的規(guī)范與標(biāo)準(zhǔn)尚缺，盡管有，但卻過于宏觀，尤其是缺少詳細(xì)的信息系統(tǒng)審計(jì)的流程與指導(dǎo)。又因?yàn)樾畔⑾到y(tǒng)安全審計(jì)對(duì)審計(jì)人員的專業(yè)素質(zhì)要求較高，加之審計(jì)人員知識(shí)與經(jīng)驗(yàn)的有限性，因而，近年來審計(jì)人員對(duì)信息系統(tǒng)的審計(jì)還是在經(jīng)驗(yàn)積累階段，在信息系統(tǒng)安全審計(jì)的過程中，還不能做到面面俱到。如果審計(jì)主體在某些審計(jì)環(huán)節(jié)上有所疏忽或遺漏，則審計(jì)風(fēng)險(xiǎn)必然會(huì)加大。完備的信息系統(tǒng)安全控制框架能夠?yàn)橐匀罩緸橐暯堑男畔⑾到y(tǒng)安全審計(jì)提供詳細(xì)而全面的審計(jì)指南，且審計(jì)主體為控制審計(jì)風(fēng)險(xiǎn)，也必須加強(qiáng)有關(guān)信息系統(tǒng)安全的全過程審計(jì)。信息系統(tǒng)安全控制框架應(yīng)借鑒COBIT的34個(gè)高層目標(biāo)，318個(gè)明細(xì)控制目標(biāo)。每個(gè)具體高層目標(biāo)下都會(huì)有與自身相對(duì)應(yīng)的日志，而且日志形式還不止一種。如“獲取與實(shí)施”域下的“程序開發(fā)與維護(hù)”過程，其所對(duì)應(yīng)的日志有“應(yīng)用程序日志”、“網(wǎng)絡(luò)設(shè)備日志”、“安全設(shè)備日志”、“DNS服務(wù)日志”等。控制框架中的7個(gè)IT標(biāo)準(zhǔn)、5個(gè)IT資源，某一“域”下的某個(gè)“IT過程”中的某種“日志”，都需要設(shè)置相應(yīng)的一個(gè)或多個(gè)“匹配字段”，在審計(jì)網(wǎng)絡(luò)平臺(tái)中有選擇性的進(jìn)行日志數(shù)據(jù)挖掘與評(píng)價(jià)?！坝羞x擇性”是指對(duì)于控制框架中的“P”與“C”，要求審計(jì)主體認(rèn)真全面地執(zhí)行該項(xiàng)“IT標(biāo)準(zhǔn)”或該項(xiàng)“IT資源”下的日志評(píng)價(jià)，對(duì)于控制框架中的“空白”，審計(jì)主體可以不予考慮，對(duì)于控制框架表1中的“S”，當(dāng)需要補(bǔ)充審計(jì)證據(jù)時(shí)，要求審計(jì)主體予以考慮。為全面實(shí)施審計(jì)，審計(jì)主體有必要在事前制定審計(jì)實(shí)施方案時(shí)融合控制框架的思想，并且在發(fā)揮審計(jì)網(wǎng)絡(luò)平臺(tái)各個(gè)模塊功能時(shí)也要將COBIT的318個(gè)控制目標(biāo)有針對(duì)性地與該平臺(tái)相融合，并注意在日志識(shí)別中切勿疏忽，在日志挖掘中切勿疏漏，多方位的完成信息系統(tǒng)安全審計(jì)過程，多角度積累系統(tǒng)安全審計(jì)風(fēng)險(xiǎn)控制的經(jīng)驗(yàn)。

(二)有效實(shí)施日志的挖掘與評(píng)價(jià)，科學(xué)確認(rèn)有關(guān)信息系統(tǒng)安全的重大錯(cuò)報(bào)風(fēng)險(xiǎn)

現(xiàn)代審計(jì)風(fēng)險(xiǎn)(AR)為重大錯(cuò)報(bào)風(fēng)險(xiǎn)(RMM)與檢查風(fēng)險(xiǎn)(DR)的乘積，而RMM又由內(nèi)部固有風(fēng)險(xiǎn)、內(nèi)部控制風(fēng)險(xiǎn)以及外部經(jīng)營(yíng)風(fēng)險(xiǎn)組成。因而，若想控制信息系統(tǒng)安全審計(jì)風(fēng)險(xiǎn)，審計(jì)主體必須能夠正確評(píng)價(jià)固有風(fēng)險(xiǎn)與控制風(fēng)險(xiǎn)，只有正確評(píng)價(jià)IR與CR，審計(jì)主體才能采取有效途徑控制檢查風(fēng)險(xiǎn)。本文認(rèn)為，審計(jì)主體在評(píng)價(jià)IR與CR的過程中，需要借助于COBIT理論的支持。首先，在IR評(píng)價(jià)方面。COBIT框架下的管理指南由成熟度模型、關(guān)鍵成功因素、關(guān)鍵目標(biāo)指標(biāo)與關(guān)鍵績(jī)效指標(biāo)四部分組成。其中，成熟度模型的設(shè)計(jì)目標(biāo)是幫助判斷每個(gè)控制階段和期望的水平是否符合業(yè)界規(guī)范，借鑒成熟度模型，審計(jì)主體可以確定審計(jì)客體在安全性方面的開發(fā)與運(yùn)行是否與行業(yè)等標(biāo)準(zhǔn)相符合;關(guān)鍵成功因素是用來描述IT程序中實(shí)現(xiàn)控制最重要的活動(dòng)，借鑒關(guān)鍵成功因素，審計(jì)主體可以判斷信息技術(shù)處理過程中哪些為核心技術(shù)要素、復(fù)雜程度較高，進(jìn)而在日志挖掘等處理上加以重視;關(guān)鍵目標(biāo)指標(biāo)是用來定義績(jī)效目標(biāo)水平的，借鑒關(guān)鍵目標(biāo)指標(biāo)，審計(jì)主體可以通過關(guān)鍵目標(biāo)指標(biāo)的基本原理判斷某一技術(shù)處理結(jié)果與處理目標(biāo)的差距;關(guān)鍵績(jī)效指標(biāo)是用來測(cè)量IT控制的程序是否達(dá)到目標(biāo)，借鑒關(guān)鍵績(jī)效指標(biāo)，審計(jì)主體可以知曉業(yè)務(wù)處理過程執(zhí)行到怎樣的程度才能實(shí)現(xiàn)經(jīng)營(yíng)目標(biāo)。COBIT下的管理指南為審計(jì)主體正確評(píng)價(jià)固有風(fēng)險(xiǎn)提供了正確的方向，通過審計(jì)客體的行業(yè)標(biāo)準(zhǔn)、核心技術(shù)要素、處理目標(biāo)、業(yè)務(wù)處理程度等層面增強(qiáng)了審計(jì)主體固有風(fēng)險(xiǎn)評(píng)價(jià)的深度與廣度。其次，在CR評(píng)價(jià)方面。COBIT已經(jīng)形成了一個(gè)完善的信息系統(tǒng)控制體系，也會(huì)為審計(jì)主體提供了一個(gè)完整的有關(guān)評(píng)價(jià)信息系統(tǒng)安全的內(nèi)部控制的樣板。在判斷內(nèi)部控制制度“軟件”的設(shè)計(jì)水平方面，有了318個(gè)控制子目標(biāo)，審計(jì)主體也就有了相應(yīng)的參照標(biāo)準(zhǔn)，有了參照標(biāo)準(zhǔn)，對(duì)“軟件”設(shè)計(jì)水平的判斷才會(huì)準(zhǔn)確。在判斷內(nèi)部控制制度執(zhí)行的有效性方面，通過日志數(shù)據(jù)在對(duì)某些IT過程的符合性測(cè)試過程中，控制框架中的“P”、“S”、“C”等符號(hào)的內(nèi)涵與應(yīng)用也為審計(jì)主體提供了評(píng)價(jià)內(nèi)部控制的思路。信息系統(tǒng)安全審計(jì)的過程與其風(fēng)險(xiǎn)控制的過程是同步進(jìn)行的，并都是在審計(jì)網(wǎng)絡(luò)平臺(tái)實(shí)現(xiàn)的，且在審計(jì)網(wǎng)絡(luò)平臺(tái)中，與其他模塊相比，日志挖掘與日志評(píng)價(jià)這兩個(gè)模塊對(duì)于能否正確評(píng)價(jià)重大錯(cuò)報(bào)風(fēng)險(xiǎn)極為重要，前者是評(píng)價(jià)的基礎(chǔ)，后者是評(píng)價(jià)的保證。

(三)強(qiáng)化審計(jì)網(wǎng)絡(luò)平臺(tái)的功能，努力提高信息系統(tǒng)審計(jì)人員的業(yè)務(wù)素質(zhì)

與財(cái)務(wù)審計(jì)相比，信息系統(tǒng)安全審計(jì)涉列了多門學(xué)科領(lǐng)域的知識(shí)，如信息科學(xué)學(xué)科、審計(jì)學(xué)學(xué)科、數(shù)學(xué)學(xué)科(數(shù)據(jù)挖掘)等，多學(xué)科知識(shí)的交叉應(yīng)用對(duì)信息系統(tǒng)審計(jì)人員提出了更高的要求，審計(jì)人員專業(yè)素質(zhì)越高，審計(jì)質(zhì)量越高，進(jìn)而審計(jì)風(fēng)險(xiǎn)越小。信息系統(tǒng)安全審計(jì)人員不僅應(yīng)該是審計(jì)方面的專才，而且應(yīng)該在瀏覽到“Sep 5 23:41:13 UNIX login［1275］:FAILED LOGIN 2 FROM(null)FOR tester”這一日志記錄時(shí)就能判斷其是否有嫌疑，或能夠正確選擇特征字段熟練挖掘到類似“嫌疑”日志的復(fù)合型通才。而且，圖1中審計(jì)網(wǎng)絡(luò)平臺(tái)的9個(gè)模塊顯示，基于日志的系統(tǒng)安全性審計(jì)是一項(xiàng)復(fù)雜工程，從日志識(shí)別模塊開始，到日志評(píng)價(jià)模塊結(jié)束，以及控制框架中IT資源下的人員所面對(duì)的34個(gè)管理過程，無一不要求審計(jì)人員的專業(yè)素質(zhì)。審計(jì)人員的素質(zhì)水平對(duì)審計(jì)風(fēng)險(xiǎn)水平的影響符合多米諾骨牌原理，即前一塊骨牌倒下，導(dǎo)致后面的也相繼倒下。假若審計(jì)人員業(yè)務(wù)素質(zhì)相對(duì)較弱，下一步將會(huì)在審計(jì)過程中出現(xiàn)疏忽或過失，甚至?xí)跓o意中做出錯(cuò)誤的審計(jì)判斷，以及發(fā)表錯(cuò)誤的審計(jì)結(jié)論，直至最后受相關(guān)關(guān)系人指控而遭受損失。因而，信息系統(tǒng)審計(jì)人員有必要強(qiáng)化日志審計(jì)網(wǎng)絡(luò)平臺(tái)中各個(gè)模塊的功能，并以此為自身業(yè)務(wù)成長(zhǎng)的平臺(tái)，主動(dòng)拓展有關(guān)COBIT、數(shù)據(jù)挖掘等理論，多角度探索信息系統(tǒng)安全審計(jì)的方法，積極提高自身的業(yè)務(wù)素質(zhì)，努力提高審計(jì)質(zhì)量，科學(xué)控制信息系統(tǒng)安全審計(jì)的風(fēng)險(xiǎn)。

F239．1

A

1003－4145［2012］09－0147－04

2012－04－23

劉國(guó)城，男，南京審計(jì)學(xué)院講師，博士。

王會(huì)金，男，南京審計(jì)學(xué)院副院長(zhǎng)、教授、博導(dǎo)。

本文為教育部人文社科研究規(guī)劃項(xiàng)目(批準(zhǔn)號(hào):10YJA790182)，江蘇省教育廳高校哲學(xué)社會(huì)科學(xué)研究基金(批準(zhǔn)號(hào):2012SJB630044)，南京審計(jì)學(xué)院校級(jí)一般項(xiàng)目(批準(zhǔn)號(hào):NSK2009/B22)的階段性成果。

(責(zé)任編輯:欒曉平E－mail:luanxiaoping@163．com)