网络信息系统数据结构及安全性审计,本文主要内容关键词为:数据结构论文,信息系统论文,安全性论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
网络信息系统数据结构审计
网络信息系统数据结构的正确、合理、有效,将决定这个系统能否灵活地适应功能的不断变化,能否顺利地与其他系统互联互通。如何依照一些已经成熟并且先进的标准来衡量信息系统数据结构的优劣,审计人员可以从以下着力点进行分析。
一、数据元素标准审计
数据元素是指最小的不可再分的信息单位,比如一个财务系统中的基本工资、全勤奖等。数据元素命名和数据元素的标识要在全企业或行业内部中保持一致,不允许有“同名异义”“同义异名”的数据元素。这里的“名”是指数据元素的标识,“义”是指数据元素的命名或定义。计算机在处理数据的时候是通过元素标识来识别数据元素的,所以在财务数据汇总的时候往往发生错误,而这种错误也许在利用审计软件检查财务数据时被忽略。因此,数据元素的命名是否符合标准化定义将影响财务数据的准确性。审计人员可以通过检查系统说明书以及数据库中相应表字段的设置来查看数据元素的命名与标识是否标准。
二、用户视图标准审计
用户视图是一些数据元素的集合,它反映了最终用户对数据实体的看法,是用户在系统外部的样子,是系统的数据输入或输出的媒介或手段。比如,我们使用的资产负债表、现金流量表等,这些都是用户最终想看到的数据的组合排列。用户视图标准的应用是基于有大量报表存在的前提下,用户需要对这些表的关系进行研究分析,如果没有一个规范的用户视图描述和编码规则,对用户在数据方面的需求分析将很难进行,或者勉强进行分析也难以得出令人满意并符合规范的分析结果。由于数据结构设计是否合理很大程度上取决于需求分析的结果,因此,需求分析阶段是否拥有符合规范的用户视图描述对于系统的数据结构审计有着重要的意义。如果审计人员找不到这么一个规范的用户视图描述,那么就要对系统在数据分析的功能性以及准确性方面多投入精力。
三、概念数据库审计
概念数据库是最终用户对数据存储的看法,是对用户信息需求的综合概括,是对用户视图进行进一步分析后得出的结果。主要包括概念数据库的名称和在该概念数据库中应当存储的数据内容描述。是否拥有良好的概念数据库设计,对于系统数据结构的设计具有决定性作用。因此,对概念数据库设计的审计,在数据结构审计中占据重要的地位。
四、逻辑数据库标准审计
逻辑数据库是对概念数据库的进一步分析和细化,一个逻辑主题数据库有一组规范化的基本表构成。基本表是按规范化的理论与方法建立起来的数据结构,一般要达到数据库的“三范式”标准要求。举一个简单的例子,某个企业目前的工资由3部分组成,分别是工资1、工资2、工资3,如果财务软件完全按照这个方式设计逻辑数据库,将会出现当工资结构发生变化时,软件难以灵活地作出应对,只能重新设计数据结构;如果软件为了将来可能的工资结构变化事先预留几个字段,如工资4、工资5等便于以后发生变化时直接使用。这看起来是一个简单的办法,但是对于用户来讲是最糟糕的设计。每行记录中增加这么两三个空白字段看起来不多,但当企业员工数量达到一定数量级后,这些字段所占的空间将是非常惊人,软件运行也会因此而减慢甚至瘫痪。所以,审计人员应检查逻辑数据库结构是否合理,是否能够灵活的应对功能的变化。
网络信息系统审计中安全性评价及解决方案
一、对信息安全管理制度的审计
信息安全管理制度是每个系统在实施之前必须确定的可以执行的行为准则。因此,我们必须在所有的安全审计工作开展之前对信息安全管理制度进行全面的评估,同时测试该制度与信息系统联系的广度和深度。因为一个完善的制度体系,只有有效贯彻到信息系统运转的层面才能真正起到从制度上规避风险的作用,才能从制度的角度使系统得以安全的运行。
二、基于角色的权限控制
我们认为,对于一般的财务信息系统采用数字证书与基于角色的权限控制相绑定的方式是比较适宜的。
数字证书技术是目前使用较为广泛的身份识别手段,数字证书技术采用非对称加密方式,即在加密解密过程中有一对密钥存在,分别是私钥和公钥,私钥掌握在合法用户手中,用以证明其合法身份,公钥包含在数字证书之中,属于公开的信息,任何人都可以通过数字证书验证合法用户的身份。数字证书由某个认证中心(Certificate Authority)签发,既包含公钥信息,也包含证书持有人的身份信息。
基于角色的权限控制就是先定义角色的权限,比如定义出纳、收入、费用、债权债务账目的登记、工资核算、成本计算、编制会计报表等所有岗位的权限,再根据财务规定将人员赋予相应的角色,当然在符合财务法规的条件下人与角色之间可以是多对多的关系。
这样,当工作内容变化的时候,我们可以简单的对人员进行角色的更换,而不需要去更改权限,避免错误产生。同时可以通过注销数字证书来实现人员退休、离职、调动等多种情况下权限的控制。实现采用数字证书与基于角色的权限控制相绑定的方式,审计人员就无需担心该系统权限控制的方式是否有效。
三、对终端管理的审计
对于网络信息系统的安全性,大多数审计人员都会将主要精力放在对服务器或者交换机等网络设备上,往往会忽略终端管理审计。据相关机构统计,终端高风险与接入网络无控制的风险占整个系统不安全因素的60%,也就是说大部分的不安全因素是来源于内部终端。这些不安全因素归集为:(1)终端自身安全性差,表现为终端安全漏洞多、无安全防护,安全策略低。(2)终端对网络资源的非授权访问以及恶意终端对网络资源的破坏,表现为系统缺乏身份认证和权限管理。(3)终端对网络资源的滥用,表现为系统访问控制强度不够等。
我们认为,解决上述不安全因素应实施如下措施:一是强制终端安全性,即在接入网络时验证终端是否安全,验证通过的允许接入网络;二是加强网关的管理,增强对访问者身份的验证,非授权用户一律不能进入相应的组;三是加强对终端安全的监控,对于终端每个具体的行为,比如数据拷贝、更换机器的硬件设施、登录非安全网站等行为进行监控并记录,增强系统的追踪能力;四是加强对文档权限的管理。将所有文档分级添加权限、实施动态管理,防止文档被任意复制或者打印扩散。
综上,在网络信息系统审计中,审计人员可通过实施相应的测试手段,通过对网络信息系统内部结构设计、外部访问设置的分析,在系统不同部分投入相应的审计资源,迅速判断网络信息的真实性,进而判断被审计单位财务信息可靠性,最终得出相应的审计结论。