信息化审计案例.ppt

美国审计署对联邦存款保险计算机病毒保护程序的审计,背景审计目标和方法基本审计结论审计发现问题及建议管理层反馈,背景,计算机病毒是一个特别设计的电脑程序，能够自我复制并修改其它程序，这种程序可能包含恶意指令，扰乱计算机的正常操作或破坏计算机中的程序和其它数据。计算机病毒通常攻击最普遍使用的系统，以达到最大的破坏效果,计算机病毒的破坏包括时间损失、生产力受影响以及潜在的数据丢失。如果未能及时查出计算机病毒的破坏，这种影响可能会变得非常巨大，除了经济受损外，还可能给公司带来公众的信任危机,从1999年第三季度开始，联邦存款保险公司信息资源管理部门的信息安全员共报告了45，000个计算机病毒。该公司从1991年4月9日开始使用防病毒软件。主要作用是防止病毒通过磁盘感染员工电脑以及在公司局域网内传播,9年过去了，现在病毒保护程序已经随着计算机技术的发展而变得相当复杂，主要应用于电子邮件、国际互联网的资料传输、公司的内部互联网，也包括磁盘和软盘。负责该项工作的主要是信息资源管理部门的信息安全员、Helpdesk、系统管理员以及各分支机构、办事处的信息安全官员,审计目标和方法,确定联邦存款保险公司计算机病毒保护程序的效率和效果。审计组会见了信息资源管理部门的信息安全员、Helpdesk、局域网管理人员、以及法律部、主席办公室、监管部、财务部、行政管理部和清算部的信息安全管理员,研究了计算机病毒保护程序的最佳操作，复核了该程序的政策、标准和流程。帮助信息安全管理员对公司网络服务器的实时病毒监控程序和笔记本电脑的文件升级进行了改进。审计组集中在对防病毒程序的预防、侦测和删除病毒能力的检查。进行了计算机病毒模拟攻击测试,检测了联邦存款保险公司的计算机安全事件响应小组能否对病毒做出及时反映,基本审计结论,总体上来说联邦存款保险公司的计算机病毒保护程序可有效的防止计算机病毒的攻击。但该公司在预防病毒感染方面需要改进的地方。特别是一些执行关键任务和操作的计算机没有防毒软件的保护，发现一些防病毒软件没有充分应用的事例,防病毒软件维护不够充分，计算机病毒保护程序的政策、标准和流程需要及时更新、扩充以适应当前的风险和操作等问题。就上述问题与信息资源管理部门的负责人进行了沟通，他们也己经对这些问题采取了改进工作,该公司计算机病毒保护程序的效力在全球性病毒“我爱你”爆发时得到了验证。信息安全员采取的行动对减少病毒攻击的损失起到了很好的保护效果。特别是信息安全员能据计算机安全事件响应小组提供的病毒特征开发建立防火墙，有效防止了病毒攻击,因为计算机安全事件响应小组提供了及时警告，联邦存款保险公司的损失比其他机构要小得多。,审计发现的问题及建议,一、缺乏全面的风险评估程序 缺乏全面的风险评估对计算机病毒保护程序进行指引，导致保护工作不能做到全面、有效。一些易感染的系统中没有安装防病毒软件且未应用严格的软件配置等防护补偿机制，一些已安装的防病毒软件没有充分利用,虽然信息安全主管在1999年对IT资源的薄弱点进行过非正式评估，但到目前为止尚未对公司的计算机病毒保护程序进行过书面风险评估。公司的一些电脑未采用防毒软件保护，涉及系统包括SunSolaris,IBM的大型机、朗讯的私人交换系统和Cisco的路由器和交换机,严格的软件构架管理能够作为缺少防病毒软件的补偿性控制，但联邦存款保险公司没有坚持采用此方法。审计组注意到公司的WindowsNT服务器已经安装了防病毒软件，但并没有始终运行。尤其是一些网络服务器没有应用常驻电脑实时防护技术,虽然台式机和笔记本电脑可以通过其他防病毒软件达到实时侦测电脑病毒的功能，但用户可以不受约束自行卸载防毒软件。开机密码是防止非法登陆最基本的方法，38台台式机和笔记本电脑没有设置任何开机密码。计划实施智能卡加密技术作为补偿性措施，减小对开机密码的依赖,实时防护技术的台式机和笔记本电脑没有采用启发式分析技术。它能够在病毒感染电脑之前察觉新病毒，在破坏性程序启动之前将其摧毁。是识别新病毒和变异病毒的基本方法,建议,建议首席信息官和信息资源管理主管:1.对公司的计算机病毒保护程序进行正式、全面的风险评估，并将其结果作为未来完善公司病毒防护的基础,2对SunSolaris和Oracle等以Unix为基础的重要操作系统实施病毒保护 3对WindowsNT服务器实施实时防病毒软件 4信息安全员继续研究防止用户自行卸载台式和笔记本电脑防病毒软件的方法并及时实施 5考虑在公司中应用启发式防病毒软件,二、完善计算机防病毒维护程序,防病毒软件的签名文件没有每周更新。没有建立防毒软件的支持性测试文件、签名文件更新测试和软件构架设置审批文件的书面存档制度,目前信息资源管理部门信息安全员不够充分，无法有效完成计算机病毒保护程序工作，也不能帮助公司的笔记本电脑用户定期地登陆到公司的网络接受最新的签名文件,防病毒软件的预警功能没有如管理层期望的始终运转，安全事件响应小组也未能定期接受软件报警，每周的统计报告也没有报告这些问题。审计开始阶段，联邦存款保险公司的台式电脑和笔记本电脑防病毒软件的非紧急签名文件每月进行更新,虽然连接网络的台式电脑的更新频率较高，但其签名文件的更新也仅局限于对公司最近发现的三个病毒的校验检测。此外，信息安全负责人指出没有联接到公司网络的笔记本电脑更新的频率往往更低,审计组也注意到，防病毒软件升级或更新的支持性测试文件上关于测试目的、方法和结果的记录也不完整。此外，防病毒软件构架配置批准的支持性文件也不够完整,由于计算机病毒的变异和新病毒的不断出现，公司必须在防病毒软件供应商推出新的签名文件时尽快更新。他们已经着手研究找到和实施帮助笔记本电脑用户自动定期更新签名文件的方法，建立了每周更新签名文件的制度。建议包含正在实施可尚未完成的行动计划,建议 1.确保防病毒软件签名文件的更新工作以较高频率进行，最好达到每周一次，将感染病毒的风险降到最低 2.确保执行公司记录保存的政策，建立、维护防毒软件的支持性测试文件和签名文件的更新测试文件 3.确保执行公司记录保存的政策，建立、维护软件构架设置的书面审批文件,4确保每周向上报送的统计报告中包含末处理完毕的病毒入侵警告。5.所有使用笔记本登陆公司网络的用户应该每周、至少每月对防毒软件的签名文件进行一次升级,三、电脑防病毒保护程序的政策、标准和程序需要扩充和更新,信息资源管理部曾经在对计算机病毒保护程序的政策修订，增加了病毒修复的内容以帮助系统用户降低对电脑的损害。安全事件响应小组的程序也包含了通过公司防病毒软件发现病毒的内容,病毒保护程序政策没有包括预防、侦测和删除病毒的信息，这些信息是公司计算机病毒保护程序不可或缺的一部分。该政策应包括如下内容:1.所有电脑应用防计算机病毒软件 2备用的病毒防护方法如电脑不能应用防毒软件时应该采取的严格软件配置管理,3公司的防病毒软件和软件特征选择的技术性补充说明,如通过启发式分析技术将感染病毒的风险降到最低 4为检查和删除病毒，在安装和操作电脑前由安装中心对电脑清理 5利用非公司电脑访问公司网络时如何应用防病毒保护程序,6对公司员工和供应商进行病毒认知和防护培训 7建立和维护病毒签名文件更新频率 8对新发和复发病毒的防护工作，如信息资源管理部门的信息安全员应用防火墙过滤技术阻止我爱你病毒的攻击,该政策应该在病毒侦测方面如下完善:1.说明安全事件响应小组应核实施新病毒的分析工作，以及Helpdesk和信息安全官员在计算机病毒保护程序方面的职责 2解释多重病毒扫描和过滤警示方法的使用方法 3作为一种参考工具，指导建立最新病毒事件数据库,该政策应在病毒删除方面如下完善:研究 1说明从磁盘或软盘中删除病毒的方法，以及要求将新发现的病毒送交外部病毒实验室进一步研究 2考虑补充计算机病毒保护程序的政策和程序，如联邦存款保险公司防病毒软件的家庭使用和安全事件响应小组的工作流程,3建立实时、完整的政策、标准和程序，确保计算机病毒防护等复杂领域按照管理层的意志运行，同时给员工提供书面参考，帮助员工更好的履行其职责,建议 1.确保信息安全员不断检查现行的、与计算机保护程序相关的所有政策和程序 2，确保对政策和程序成功复核的基础上，完善和实施更新计算机病毒保护程序的操作需求，包括但不限于上述的计算机病毒预防、识别和删除等领域,管理层反馈,1.已在1999年第二季度进行了一次初步的薄弱环节评估，此次审计署的评估是一个附加评估。正在实施进一步加强病毒防护程序的解决方案。将聘用独立的供应商复核检查核解决方案能减轻病毒风险的有效性。预期此工作将在2001年6月30日完成,2整个IT行业近十多年从未发现关于Solaris和Oracle病毒的报告。当前的反病毒软件供应商销售的UNIX环境病毒软件业不支持非UNIX平台。2001年公司将实施的新的配置管理方法，作为附加预警手段，确保员工不安装可能包含其他病毒的软件。一旦UNIX专用的反病毒包可用，信息资源管理部将对其进行评估,3经过正式评估之后，己选择了Trend Micro公司的软件.产品将提供实时监控和集中报告。计划于2000年12月实施 4作为降低风险的措施，将在2000年8月开始评估目前正在使用的防毒软件“防护盾“4.5并采取措施让用户很难卸载新版本的软件,在2001年3月31日前完成此工作,由于Windows95操作系统的可控性不够强，很难限制用户的操作,此问题将在公司操作系统升级到Windows2000后得以解决,5此软件已在2000年8月之前在除笔记本电脑之外的领域普及，公司将在今年年底之前完成此工作 62000年1月起已对服务器实施每周一次、工作站两周一次的更新工作。笔记本电脑用户也将每两周通过网络下载文件进行升级,72000年11月15日前信息安全员将提供完整的升级和签名文件更新的支持性测试的署名文件 8.2001年1月15日之前，信息安全员将颁布管理层对如下平台构架配置的审批:台式电脑、笔记本电脑、服务器、NT工作站,这些设置将公布在所有信息管理部门员工都能看到的公共文件夹中，并根据联邦存款保险公司记录维护制度进行维护,9信息资源管理部门正在为NT服务器和交换服务器采购TrendMicro反病毒软件，将于2000年12月31日实施。此软件将实施服务器的集中预警机制。,10此项工作将由首席运营官完成 11安全员将于2000年12月31日之前完成计算机病毒保护程序的政策和程序的最初复核工作 12信息资源管理部门的信息安全员将继续完善计算机病毒保护程序,