加強行業信息系統操作日志管理的必要性

2009年1月至5月間，北京市某市屬單位財務部門在清理帳目時發現了大量的虛假記錄（均通過信息系統手工補錄），給國家造成巨額的損失。市檢察院反瀆職侵權局介入調查，因為種種原因，無法準確定位涉嫌的終端電腦。在相關部門的配合下，筆者會同反瀆局工作人員經過深入細致的了解，逐步明確了該單位及其下屬單位網絡架構的概況，以及相關業務管理信息系統的部署、應用、升級等相關情況。我們希望能從數據庫中尋找到案發時間段內執行某些操作的終端機算機地址信息，或者從應用服務器的訪問記錄中查找到這些信息。但遺憾的是，應用服務器系統當時并沒有開發記錄訪問日志的功能，后臺數據庫所記錄的操作者地址信息全部為應用服務器的地址，信息系統本身又沒有設計專門記錄終端地址信息的功能。這給定位嫌疑終端電腦帶來了極大的障礙，初查工作進展緩慢。

信息化是當今時代現代化的突出標志，這個時代最重要的特點就是，記錄我們步伐的腳印和軌跡不在地面上，而在計算機、手機、數據庫里，在網絡上，在一個虛擬的空間里。據不完全統計，截止到2009年，北京市通過北京政務網為公民和法人提供網上預約、信息咨詢等公共服務的項目20余類2540余項，為公民和法人提供網上審批服務70余類，全市市級部門核心業務的信息化支撐度達到90%以上。居民可通過互聯網完成交稅、交費、股票交易、銀行轉帳、事項申請、水電煤氣信息查詢等功能，政府通過互聯網和專網平臺協同辦公和在線管理，信息化已經成為支撐全市各行業發展的重要手段。

筆者認為，信息化在承載業務應用的同時，應該兼具責任追究和追蹤的功能。系統的復雜度、存儲、速度、界面友好程度等方面的要求，在各行業都會有不同的側重，但無論哪一個行業，都需要倍加重視信息系統的安全可靠性，而加強對信息系統操作日志的管理，是完善信息系統、加強責任追究和追蹤功能的重要手段，既必要又緊迫。

加強操作日志的管理，對于監督運維方有著非常重要的作用。各單位信息化主管部門，承擔著本單位信息化建設的規劃以及相關文件精神的落實和調研等方面工作，信息化應用系統的技術支持和故障排查等具體任務，通常由相關的軟件公司承擔。這種運維模式一方面保證了信息化支撐的規范化和制度化，確保專人專管，提高了服務保障的能力和水平，但也存在一定的風險，比如維護人員使用超級權限修改業務系統的數據，涉密業務數據的泄漏等等，給所在單位造成嚴重損失。因此，必須保證業務系統的操作有跡可查，從技術和制度上確保本單位與運維方的權利和義務得到保障。

加強操作日志的管理，對于強化內部監督制約有著非常重要的作用。政府依托信息化為公眾提供服務，最需要加強行業自律，確保內部工作人員按照規定的業務流程和操作規程開展工作。但是在信息化與業務工作不斷深入融合的背景下，利用信息系統的漏洞或不完善的方面違規操作、冒用他人身份操作、授意他人操作的情況難以避免。更有甚者，在銀行、證券等信息系統中惡意修改數據、使用黑客軟件攻擊服務器的現象也偶有發生。筆者在工作中曾遇到過幾起比較典型的涉及行業信息管理系統的案件，如醫療信息系統、學費管理系統、食堂售飯系統等等，這幾起案件呈現出一個共同的特征，那就是相關工作人員利用信息系統授權修改系統數據，進而轉化成侵吞資金，因為沒有專門的操作日志記錄，導致取證困難，這也充分暴露了內部監督制約的必要性。嚴格管理所有的操作日志信息（主要是時間和地址信息），并制定責任追查和追蹤制度，可以有效防止和避免內部人員利用信息系統監守自盜等非授權的行為操作，確保信息系統的安全。

加強操作日志的管理，為犯罪偵查和調查取證提供關鍵證據。隨著各行業信息系統的不斷整合、融合、提升，政府依托信息化為公眾提供服務的能力有了大幅度提高。金盾、金關、金稅等國家重點信息化工程項目，少則為數萬人、多則為數千萬人提供服務，已經成為行業信息的主要載體。如公安機關戶籍管理系統，管理著全國數以億計的人口信息，在現行制度下，戶口信息的修改可能影響了一個人的社會保障、教育醫療、婚姻家庭等方方面面的利益，也成為一小撮不法分子謀取非法利益的平臺；金融領域，如網上支付、網銀轉帳、網上繳費等更是犯罪分子垂涎已久的高危平臺。2009年4月，國內某銀行1天內遭同一黑客攻擊10萬次，數百張銀行卡的卡號及網上查詢密碼被竊取。網絡監察部門根據操作日志和網絡記錄信息，在廈門將犯罪嫌疑人抓獲歸案。利用信息系統實施的犯罪活動在我市也屢有發生，2003年至2008年間，本市某派出所民警利用戶籍管理信息系統為他人辦理假戶口收取費用，在案件偵查過程中，如果能夠調取到完整的操作記錄，則不僅能夠迅速查明案情，還能嘗試在法庭上使用信息化提供的證據形式指證犯罪，為職務犯罪偵查提供一個新的、高效的方法和手段。

加強信息系統操作日志管理是強化信息系統安全審計功能的重要組成部分，這項工作，難點在設計，關鍵在管理。一個信息系統的上線運行，通常分為需求調研、仿真設計、開發測試、試運行和正式上線等階段，在個別階段上可能還會有很多反復。對操作日志的管理應該從頭考慮，至于什么操作要記錄、什么操作不需要記錄，記錄詳細到什么程度，就需要在調研階段具體分析研究了。

綜上所述，筆者認為，在加強信息化建設的過程中應重視并加強對信息系統操作日志的管理工作。建立科學、合理、完備的操作日志管理制度，確保信息系統安全可靠地支撐它所承載的業務應用，保障信息化建設的可持續發展。

(作者單位：北京市人民檢察院技術處)