信息系統(tǒng)審計實踐教學設計

崔國璽 高英

[摘? ? 要] 信息系統(tǒng)審計是為確保業(yè)務交易及財務處理的準確性而對支持它們的信息系統(tǒng)等實施的一套審計程序，旨在保護組織的應用系統(tǒng)及其所承載的業(yè)務和數(shù)據(jù)的完整性、可用性和機密性。本文借鑒新工科的建設理念，結合信息系統(tǒng)審計對于傳統(tǒng)審計學教學實踐的發(fā)展要求，提出信息系統(tǒng)審計方向的實踐教學改革方案。

[關鍵詞] 信息系統(tǒng)審計;信息系統(tǒng)控制;實踐教學

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2021. 01. 035

[中圖分類號] F239.6;G640? ? [文獻標識碼]? A? ? ? [文章編號]? 1673 - 0194（2021）01- 0080- 03

0? ? ? 引? ? 言

教育部推進“新工科”“新醫(yī)科”“新農(nóng)科”“新文科”等一批學科建設，著眼學科的交叉性與綜合性，強調(diào)信息技術與傳統(tǒng)專業(yè)的結合與升級改造。這給審計學科帶來了啟示。信息系統(tǒng)審計脫胎于傳統(tǒng)的審計學和現(xiàn)代的信息系統(tǒng)管理專業(yè)，旨在應對組織所面臨的日益嚴峻的信息技術風險，是一個典型的應用型專業(yè)。越來越多的高校在本科或研究生層次設置了信息系統(tǒng)審計方向，開授相關專業(yè)課程，為社會培養(yǎng)緊缺專業(yè)人才。

目前，大部分高校的信息系統(tǒng)審計方向參照國際信息系統(tǒng)審計協(xié)會的“注冊信息系統(tǒng)審計師（CISA）”考試大綱的知識體系，圍繞信息技術與系統(tǒng)開發(fā)和應用中的內(nèi)部控制體系，組織教學課程模塊。按照國際信息系統(tǒng)審計協(xié)會的領域劃分，信息系統(tǒng)審計的知識體系包括IT治理與管理、信息系統(tǒng)的購置開發(fā)與實施、信息系統(tǒng)的運營和業(yè)務恢復能力、信息資產(chǎn)的保護等領域。針對這些領域主題，大多數(shù)開設信息系統(tǒng)審計方向的學校的培養(yǎng)計劃中一般會囊括相關的信息技術類課程模塊，包括程序設計、計算機網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、信息系統(tǒng)分析與設計、信息安全等計算機類課程以及一部分會計信息系統(tǒng)等課程。

為了幫助學生建立起相應的知識結構，當前主流的教學模式借鑒計算機學院或者信息類學院的授課模式，直接移植對應的課程模塊。在教學過程中，偏重信息技術的原理講解，而將信息技術的固有風險和控制措施置于次要地位，表現(xiàn)在教學實踐中對于風險防范的實操關注不夠，導致對于內(nèi)嵌于信息處理設施之中的技術性控制訓練不足（如圖1中的粗體字部分）。本文圍繞信息處理設施中的技術性控制的實踐教學設計探討一種教學方案。

按照信息安全管理體系國際標準ISO 27001所給出的定義，信息處理設施是用于處理業(yè)務數(shù)據(jù)和流程等關鍵系統(tǒng)的設施。這些設施一般包括數(shù)據(jù)中心的機房環(huán)境、主機/服務器設備、存儲設備、網(wǎng)絡設備、安全設備等關鍵信息資產(chǎn)。這些信息處理設施是信息系統(tǒng)安全運行的基礎，必須具備充分必要的風險控制措施。一般來說，這類風險控制措施分為管理類和技術類兩種。就后者而言，這些設施/設備本身內(nèi)嵌了一些技術性風險控制措施，依靠設備固件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、各類中間件、應用程序等信息技術手段層疊構建起業(yè)務交易的技術性風險控制體系，將業(yè)務數(shù)據(jù)和流程嚴密監(jiān)護起來，確保業(yè)務和數(shù)據(jù)的完整性、可用性和機密性。從審計的角度，這套技術性控制體系的每個套層都需要仔細檢視和評價。為此，需要以信息處理設施為審計對象，評估這些技術組件的固有風險和控制風險。

1? ? ? 實踐教學改革思路與整合規(guī)劃

本文提出實踐教學的改革方案思路如下：對于信息系統(tǒng)審計方向，將信息處理設施的技術風險控制納入到計算機類課程和審計類主課的實踐環(huán)節(jié)。以計算機網(wǎng)絡為例，在該課程的實踐環(huán)節(jié)中增加“控制與審計”專題，加強對網(wǎng)絡設備重要工程參數(shù)的關注與風險控制。根據(jù)信息處理設施的安全基線，對可能帶來風險的參數(shù)設置，以及對這些信息處理設施的管理控制開展逐項檢查和解讀，審核特定技術組件的配置，確定這些審核在多大程度上符合組織的控制目標，最終找出差距形成風險報告。由于這些設置通常需要對該門課程和設備原理的全方位掌握和理解，可考慮以綜合模擬實驗或開放實驗的方式在主課結束后的小學期實施。

按照傳統(tǒng)的互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）機房環(huán)境，數(shù)據(jù)在信息處理設施的流動路徑構成一條底層數(shù)據(jù)鏈路。數(shù)據(jù)分別流經(jīng)：數(shù)據(jù)中心/機房環(huán)境、網(wǎng)絡設備（含安全設備）、主機設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、存儲設備、應用服務器和業(yè)務應用等信息處理設施。表1 顯示了數(shù)據(jù)中心基礎設施、系統(tǒng)平臺、數(shù)據(jù)庫、應用系統(tǒng)和業(yè)務之間的關系。

2? ? ? 實踐教學方案規(guī)劃

對照表1，各層都有與其對應的課程模塊?？傮w來說，一些常規(guī)審計項目，例如賬戶和權限管理、密碼策略、邏輯訪問控制、軟件或系統(tǒng)的補丁策略、備份和恢復方案、審計軌跡功能等，需要結合各自領域的特點，在相應課程實踐環(huán)節(jié)內(nèi)加以安排。為節(jié)省空間，下文不再贅述，僅對各審計域和技術組件的特殊風險事項和額外控制的實踐教學安排加以討論。

2.1? ?信息系統(tǒng)審計實踐模塊

本模塊對應于數(shù)據(jù)中心基礎設施層，關注機房環(huán)境和數(shù)據(jù)中心的風險控制事項。在實踐教學中，可考慮以學校的計算機機房為審計對象，這些機房本身都有相關的控制制度和措施，涵蓋機房的物理安全、物理訪問控制、環(huán)境控制和系統(tǒng)監(jiān)控等集中性和普遍性的控制措施，包括風、火、水、電等常規(guī)檢查和評估事項。

2.2? ?操作系統(tǒng)實踐模塊

本模塊關注操作系統(tǒng)本身的固有風險和控制風險。根據(jù)常見的操作系統(tǒng)類型，分為Windows、各型Linux等常見操作系統(tǒng)。以Windows操作系統(tǒng)為例，待審計事項包括：①操作系統(tǒng)的文件、目錄和虛擬目錄的控制情況、注冊表權限控制等;②操作系統(tǒng)的非必要組件（服務、端口、應用程序和計劃任務等）的啟用、安裝及運行情況。這些內(nèi)容原本不是操作系統(tǒng)課程的核心講授和考核內(nèi)容，但對于確認操作系統(tǒng)的安全使用發(fā)揮至關重要的作用，因此可考慮開設一次專題實踐供學生實操以掌握這些內(nèi)容。

2.3? ?計算機網(wǎng)絡實踐模塊

本模塊引入網(wǎng)絡設備審計實驗，加強對網(wǎng)絡設備可能帶來的風險點控制與檢查，具體包括：①交換機、路由器等常見網(wǎng)絡設備以及防火墻、上網(wǎng)行為管理器等安全設備的重要工程參數(shù)的審計事項，例如虛擬局域網(wǎng)（VLAN）的配置參數(shù)，VLAN 1的使用情況;網(wǎng)絡廣播風暴的閾值控制;無效接口的禁用情況，IP源路徑路由和IP定向廣播的禁用情況;防火墻的過濾規(guī)則等，確認上述參數(shù)符合安全基線。②不同類型網(wǎng)絡的組網(wǎng)審計，實現(xiàn)業(yè)務和數(shù)據(jù)的獨立網(wǎng)絡劃分，減少局域網(wǎng)資產(chǎn)暴露的可能性，確保有效降低攻擊者攻擊的范圍。③網(wǎng)絡安全管理技術，包括簡單網(wǎng)絡管理協(xié)議（SNMP）管理規(guī)范、配置文件的備份、網(wǎng)絡時間協(xié)議（NTP）的安全使用、安全殼（SSH）協(xié)議的合理使用。④網(wǎng)絡安全控制措施，如遠程訪問、共享策略與控制措施、防火墻策略、網(wǎng)絡漏洞掃描和入侵防御等。⑤無線網(wǎng)絡的安全檢查，包括針對無線路由設備的動態(tài)主機配置協(xié)議（DHCP）服務器的IP分配相關基線核查，是否給新接入設備分配IP，是否針對訪客接入配置單獨的域，限制其網(wǎng)絡通信行為。

2.4? ?數(shù)據(jù)庫實踐模塊

本模塊關注數(shù)據(jù)庫技術的風險情況，重點在于數(shù)據(jù)訪問安全與存儲安全，包括：①數(shù)據(jù)訪問的控制級別（表級、行級、列級）;②數(shù)據(jù)庫性能監(jiān)控、活動監(jiān)控、容量管理和數(shù)據(jù)庫審計方法等。③常見數(shù)據(jù)庫的滲透測試和漏洞掃描等。

應用系統(tǒng)的風險來源于業(yè)務-IT融合過程中的風險以及IT技術的固有風險，由此分成兩個課程模塊：信息系統(tǒng)分析、設計與開發(fā)實踐模塊和業(yè)務系統(tǒng)實踐模塊。

2.5? ?信息系統(tǒng)分析、設計與開發(fā)實踐模塊

本模塊關注信息系統(tǒng)開發(fā)技術（開發(fā)框架、編程技術和編程語言）的固有風險和控制風險，這些風險來自于技術本身的特性。在實踐教學中，學生應加強如下訓練：①應用系統(tǒng)在安全性、可靠性等非功能性需求方面帶來的固有風險，例如開放Web軟件安全項目（OWASP）發(fā)布的風險等重要事項進行額外的分析與設計。②應用容器（如Web服務器）的參數(shù)配置，包括會話管理;配置文件、URL過濾限制;程序錯誤（error）的處理措施;非必要的服務、模塊、對象和API的禁用（或刪除）情況;對未使用的腳本類型的禁用情況;協(xié)議的使用情況;服務器端證書的有效性和使用情況。③應用系統(tǒng)的變更控制，包括代碼檢查和版本控制的控制措施;④應用系統(tǒng)的容災備份;⑤應用系統(tǒng)的滲透測試和漏洞掃描等。

2.6? ?業(yè)務系統(tǒng)實踐模塊

本模塊關注業(yè)務-IT技術融合過程的風險事項，包括內(nèi)嵌在應用系統(tǒng)中的業(yè)務控制措施，要求學生掌握應用控制的基本原理和實現(xiàn)方式。這部分風險來自于業(yè)務屬性，與具體的業(yè)務類型相關。考慮以會計信息系統(tǒng)（如用友U8）為典型業(yè)務系統(tǒng)，常規(guī)的控制事項包括：①系統(tǒng)的輸入控制，包括輸入檢查與校驗等;②處理控制，如風險控制相關的業(yè)務規(guī)則;③輸出控制，包括輸出數(shù)據(jù)的匯總和核對、輸出錯誤處理等;④應用系統(tǒng)間的接口控制，包括傳輸數(shù)據(jù)流的控制措施;⑤數(shù)據(jù)的分類與妥善保管，滿足數(shù)據(jù)安全法和相關行業(yè)法規(guī)條例等。

3? ? ? 結? ? 語

信息系統(tǒng)審計實踐課程的改革是順應《網(wǎng)絡安全等級保護條例》和即將出臺的《數(shù)據(jù)安全法》的時代發(fā)展的要求。本文從信息處理設施的技術風險與控制著眼，提出信息系統(tǒng)審計方向主干課程實踐環(huán)節(jié)的設計方案，培養(yǎng)學生對于信息技術風險的認知和控制措施的應用能力。

主要參考文獻

[1]董麗英，楊浩然.探索大數(shù)據(jù)審計背景下高層次應用型審計人才培養(yǎng)[J].審計月刊，2020（2）：40-42.

[2]穆勇，趙瑩，張燕生，支俊輝.信息系統(tǒng)專業(yè)審計研究與實踐[J].信息系統(tǒng)學報，2018（1）：116-125.

[3]陳耿，李婷婷，韓志耕.ISACM：現(xiàn)代信息系統(tǒng)審計模型及其方法體系[J].會計之友，2019（9）：125-129.

[4]岑磊，陳曉雨，馬寧.淺析信息系統(tǒng)審計高端人才的培養(yǎng)[J].會計師， 2018（9）：55-56.

[5][美]克里斯·戴維斯，麥克·席勒，凱文·惠勒.IT審計：管好信息資產(chǎn)[M].第2版.中治研（北京）國際信息技術研究院，譯.北京： 中國經(jīng)濟出版社，2015.