信息系統的安全控制研究

[摘 要] 隨著信息技術的飛速發展，計算機在生產和生活中得到了普遍和廣泛的應用，計算機系統在生產和生活中起著非常關鍵的作用，因此，對這些系統和存儲于其中的信息的保護就成為一個戰略性的要求。要保證信息系統的安全，保證信息系統中所有設備的物理安全和存儲于信息系統中的信息的邏輯安全至關重要。本文通過對信息系統中硬件的物理安全和信息的邏輯安全的分析，為信息系統的審計提供一種基本的方法。

[關鍵詞] 信息系統;物理安全控制;邏輯安全控制

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 12. 020

[中圖分類號]F239.1 [文獻標識碼]A [文章編號]1673 - 0194(2010)12 - 0049 - 04

一、概 述

計算機的硬件包括中央處理器和其他的外圍設備。在網絡系統情況下，這些設備包括網橋、網關、路由器、調制解調器、交換機、無線電通訊媒體和其他涉及數據的物理傳輸設備。所有這些設備都應當得到適當的保護，以免受到諸如臺風、地震、洪水等自然災害和盜竊、爆炸、故意破壞危險的人為因素等損害。針對以上威脅的控制就稱為物理安全控制。邏輯安全控制是指用于限制用戶對信息系統的訪問權和防止未經過授權的用戶進入系統的防范措施。邏輯安全控制是防止系統軟件、數據和應用系統遭到意外或故意的破壞和惡意的更改等，邏輯安全控制可能存在于操作系統、數據管理系統、應用系統或同時存在于上述3個系統中。

二、物理安全控制

物理安全控制著計算機的硬件，構成了信息系統的組織結構環境。對任何信息系統的中央處理器(CPU)和外圍其他設備的損壞，可以表現為一系列自然或人為威脅相互作用以后而形成的結果。比如，有的地方會遭到龍卷風、暴雨的襲擊，而另外一些地方會遇到地震或火山爆發等災難事件，所有這些都會給計算機系統帶來重大損壞;而縱火或者故意破壞同樣能給一個組織的計算機資源造成直接的威脅。不同于自然的力量，這些人為的破壞可能并不那么容易被發現。比如說，惡意的篡改可能導致計算機系統的崩潰，這就意味著系統數據的丟失和損壞。世界上沒有任何事物能夠對這些來自自然和人類的各種威脅具有天生的免疫能力，因此，所有的組織都應該采取適當的內部控制措施，在后續的操作過程中減少這些災難造成的損失。但是，大多數組織對計算機系統所采取的物理安全措施是嚴重不足的，對于內部審計師而言，包括那些檢查計算機系統安全的管理者在內，都有責任識別物理安全控制中所存在的重大缺陷，并向高層管理者提出彌補這些缺陷的建議。其中最明顯而又往往被人們忽視的一個預防性措施就是將關鍵的電腦設備放在設備樓的第一層甚至以下。當然這只是物理安全控制中要考慮的一個基本因素，即位置因素而已，除了位置因素以外，還有很多因素要考慮，諸如物理鎖、安全警衛、監控設備、意外事件檢測系統、緊急電源或不間斷電源等。

1.物理鎖

對于放置在房間里的電腦和其他設備而言，其物理安全性的首要防線由房間的門鎖構成。這些房間包括電腦主機房、配電房和放置文件服務器、網關以及其他設備的房間。

(1)控制接觸這些受限制房間的最有效的方式之一是使用常規的鑰匙(Conventional Keys)。這就要求組織中有值得高度信賴的管理員工，組織的安全官員或指定的管理員工應該負責收發所有鑰匙，并明確持有鑰匙的個人，保留詳細的鑰匙清單，以便門鎖的更新，同時要妥善地保管所有的備份鑰匙。如果不能適當地控制這些鑰匙的話，那么常規的鑰匙鎖只能給人們一種安全的錯覺。比如，那些不再履行其正常職務的保管員、前雇員、離職人員可能未經過授權就接觸信息系統設備。

(2)電子通道證章(Electronic Access Badge)系統相對于常規鑰匙鎖來說，具有兩項獨特的優勢。第一，該系統不需要所有的員工都持有常規鑰匙，他們通過電子通道證章系統能夠獲得和其職位相對應的訪問權。當員工調動、離職或被解雇時，只需要停止電子通道證章系統中的相應權力就能夠防止這些員工接觸到原來可以進入的設備。即使電子證章沒有交回來，組織也不需要更換門鎖的鑰匙。同時，通過電子證章進入系統時，其行為會被記錄下來，從而在電子通道證章系統中留下審計軌跡。第二，該系統能夠在白天或晚上的特定時間段采取特殊的措施。特殊的門鎖可以通過程序來控制，始終保持鎖住的狀態(在正常的業務活動時間之外)。假如在工作時間之外允許被授權的員工進入系統，則計算機系統會監控并記錄這些進入情況。雖然電子證章有上述優勢，但有時也可能被繞過。比如，有的組織可能會在存放計算機設備的房間的門上同時安裝了普通門鎖和電子通道證章系統，這樣，持有鑰匙的人也可以進入房間，從而避免在電子通道證章上留下審計軌跡。還有這樣的可能，就是電子通道證章持有人將自己的證章借給別人或系統安全管理員錯誤地授權而導致該控制失效。

(3)加密鎖(Cipher Lock)。加密鎖就是在進入房間時，通過在門旁的鍵盤上輸入秘密組合的數字或字母來打開門鎖的裝置。如果密碼無誤，門就自動打開。否則，不能使門打開。對于密碼鎖來說，一個明顯的問題是當有關人員調動或辭退的時候，就必須更換密碼。更重要的是，這種變動還要告知每一個與此相關的人員。這也給工作帶來不便。

(4)生物鎖(Biometric Lock)。生物鎖是通過人體上一個或多個唯一的物理特征來達到識別某一個體的目的。如手印、指紋、聲音特征、面部特征、視網膜圖像等獨特的生物性狀。由于生物系統的成本相對高昂，所以生物鎖一般只應用在涉及高度敏感的設備和信息的情況下。不過有些生物系統的成本也已經很低，可以應用到商務系統中。比如，國外一些金融機構會在它們的分支機構的安全存款入口處安裝生物通道裝置。該裝置通過使用和個人身份證號相對應的手印識別系統來確認顧客的身份，驗證符合后，顧客可以進入安全存款機旁并通過傳統的鑰匙打開存款機，而不需要專門的管理人員在場，這樣能夠節約人手。當然生物系統也存在其缺陷。這種生物特征可能被模仿和復制。

上面提及的這些物理鎖的控制方式都可以被“順帶”的方式繞過。這種方式是指一位經過授權通過的人在通過時沒有及時鎖門而讓另一個人尾隨進入房間。在電子通道證章和生物鎖中，“順帶”繞過了個人的審計軌跡，而這些審計軌跡在正常方式進入時都會有記錄。

2.安全警衛

對于一個組織的所有安全程序來說，安全警衛是一項非常重要的環節。雖然警衛并不是警察，但是他們對于組織工作場所內發生的偷盜、破壞和其他的非法或未經授權的行為構成了威懾。而且他們還可以協助減少“順帶”進入數據中心這樣情況的發生。此外由警衛部門所提供的突發事件的情況報告構成了犯罪起訴和職員不當行為的重要證據。如果組織雇用外部安全警衛來擔任組織的安全警衛工作，那么必須簽訂合同，以便明確安全警衛公司應該承擔的任務，這樣的合同一般應包括以下主要條款:

(1)服務期限和服務費用。

(2)安全警衛公司應該提供全部警衛人員的背景資料。

(3)提供警衛人員的訓練和相關技能證明，包括良好的觀察和寫作能力。對于安全警衛來說，對細節的觀察能力和寫作能力非常重要，因為他們經常需要完成日常工作的日志，提交工作報告。單獨的事件報告或許并不重要，但完整而精確的事件記錄將對重大事件的查處有很大的幫助。

(4)安全警衛公司的職責和由于安全警衛過失所造成的損失的賠償。比如，合同應該約定，安全警衛公司必須購買一定數額的財產保險，并且將雇用組織作為保險收益人，保險公司要提供相關的保險證明。

(5)終止合同的約定，包括解除合同關系時，提前若干天以書面形式告知對方等。

(6)安全警衛公司和雇用組織的總經理或其他指定人員的簽名。

如果安全警衛本身是本組織的雇員，那么安全警衛應該遵循最低的外部警衛的安全標準。

3.視頻監控

使用監控系統是一種輔助的安全控制手段，它對于未經授權的行為起到威懾的作用，并且能夠提供犯罪起訴和職員的不當行為的重要證據。監控攝像機一般要安裝在房間的關鍵地點，以便能提供監控場所或設備的全景錄像。視頻系統中必須記錄對應的日期和時刻，視頻圖像的顯示器要安裝在安全警衛室里，對于每個攝像機最好有對應的顯示器，如果不能配置一一對應的顯示器，也可以設計成顯示器周期性地在不同監視器之間進行切換的形式(如每隔30秒切換一次)。同時，在安全警衛的工作手冊中要包括相關的安全程序，以確保錄像帶在用完之前能及時更換，對更換下來的錄像帶必須在安全的場所存放一定的時間。對于比較新型的數字監控系統可以將圖像數據存儲在硬盤上，但要及時備份到其他存儲介質中。在某些更加先進的系統中，圖像數據能夠自動傳輸到遠程存儲設備上，實現適時數據記錄，這樣就不需要每天進行數據備份了。

4.定期備份

在信息系統的操作程序中應該規定及時地定期(按日、周、月)備份數據、應用程序和系統軟件，同時要將所備份的存儲介質(如磁盤、光盤等)保存在安全的地方。通常情況下，對于數據要每天備份，而對于應用程序和系統軟件則可以每周或每月進行一次備份，因為應用軟件和系統軟件一般不會發生重大變化。整個系統的備份頻率要取決于信息系統讀寫和修改的數量和種類。當系統的操作參數和安全控制參數發生重大變化的時候，要對全部系統進行備份工作。對于已經備份的資料要妥善保管和維護，為了證明這些備份資料確實得到了妥善的保管和維護，內部審計師還應該親自到存放地點查看，以評價存放場所安全控制的可靠性。

5.緊急電源或不間斷電源

每個信息處理的場所都必須配備緊急電源和不間斷電源(UPS)系統，以防止在出現意外斷電情況下信息系統能夠正常運行。緊急電源包括發電機和一些必要的裝置，在緊急情況下向信息系統的關鍵區域提供必要的電力資源，當遇到意外停電時，緊急電源系統自動啟動。而不間斷電源是在意外斷電的時候，由不間斷電源(UPS)系統向電腦設備供電，對信息系統起到緩沖的作用，直到緊急電源系統啟動為止。不間斷電源(UPS)系統包括一系列蓄電池和相應硬件支持設備。

6.業務恢復計劃

業務恢復計劃(BRP)是組織為了應對突發事件而設計的一組程序。一個業務恢復計劃應該簡潔、精練和易于理解，但至少應該包括以下主要內容:

(1)組織中關鍵人物的聯系方式，包括聯系電話(住宅、手機、單位)和家庭住址。

(2)對組織中的各工作區域根據重要性和風險性進行排序。高風險的流程放在首要地位，在災難發生時優先保證他們的正常工作，數據處理區域通常都排在最前列，因為其他部門要依賴于數據處理區的資源。

(3)當災難摧毀了主要指揮場所時，要有后備的指揮場所并保證組織的關鍵人物能夠及時抵達該場所。

(4)在業務恢復計劃(BRP)中要簡述組織不同區域在災難發生時要采取的行動，同時要包括每個區域的圖紙和介紹。

(5)制訂好業務恢復計劃(BRP)后，要對經理和各區域的具體負責人進行相關培訓并進行模擬測試。

(6)根據環境的變化不斷地修訂業務恢復計劃(BRP)。

三、邏輯安全控制

保護信息系統的安全僅靠物理控制是不夠的，系統內部的邏輯安全控制的設計和規劃更加重要。對于信息系統來說，無論是操作系統還是數據管理系統或單純的應用程序，項目設計小組在設計邏輯安全控制之前，都必須先了解信息系統可能面臨的重大風險，因為不同程度的風險直接影響設計的邏輯安全控制的類型、數量和控制的相對力度。

1. 邏輯安全設計

項目設計小組應該由組織中所有重要部門的精英組成，因為他們能夠識別其所在領域的重大業務風險。同時設計小組還應該盡可能參照內部審計師或外部審計師的風險評估文件，因為他們常把這些風險評估文件作為審計程序的標準，并且審計師可以提供設計小組可能沒有考慮到的風險。比如，設計小組經常認為系統安全管理員可以不受限制地在信息系統中執行操作，而審計師則認為系統安全管理員的這種行為可能引起風險。這樣，設計小組就應該在設計過程中考慮以下措施，以控制系統安全管理員的行為:

(1)在設計系統程序時要求存在第二個安全管理員來確認所有用戶的賬號和系統登錄權限的添加、修改和刪除、系統操作和安全參數有他參與才可以更改。這樣能夠防止唯一的系統安全管理員執行非授權行為，但要保證在發生緊急情況時，兩個系統安全管理員能同時在場。

(2)在設計系統程序時應該記錄全部與系統安全相關的潛在情況，最好由系統安全管理員的部門負責人實施定期或不定期的檢查異常或非授權行為日志。所記錄的情況包括用戶賬號及其登錄權限的添加、修改、刪除、軟件升級、不成功的登錄嘗試以及任何可能影響系統安全的行為，記錄這些情況能夠為審計師提供系統安全管理員、其他用戶和黑客入侵系統的審計軌跡。

2.用戶賬戶和密碼

在系統的程序編制并安裝完成后，系統安全管理人員要初始化執行程序，以首次激活該程序。系統應該編制程序來確認用戶賬號和原始密碼并在系統文件中做具體說明。系統的用戶賬號應該編制一定的程序，以便讓系統管理員具有系統安全管理權限，這樣才可以進入定制化操作和系統參數并能夠為其他的系統用戶創建用戶賬號。但是當系統安全管理員輸入密碼時，密碼的字符不能出現在終端的顯示器上，防止泄密，這樣的控制叫做密碼屏蔽。常見的定制化系統層面的安全參數有以下幾種:

(1)最小密碼長度。信息系統應該拒絕任何小于參數設置的字符數密碼，一般規定密碼長度不得少于8個字符，并且由字母和數字共同組成。如果是高風險區域則要設置更長的密碼。

(2)密碼有效期。對于一般的系統而言，密碼的有效期90天即可，高風險系統則要求45天。當達到密碼有效期時，系統應該提示用戶輸入舊的密碼同時連續兩次輸入新的密碼。還要注意的是，密碼有效期并不是越短越好，頻繁地更換密碼，會使密碼失效。

(3)登錄次數限制。為了防止非法登錄系統，可以對用戶賬號設置連續不成功登錄次數限制。當連續登錄系統達到設定的次數時，系統將取消用戶的賬號，取消賬號意味著該用戶的賬號在系統安全管理員重新設置賬號為激活狀態之前是不可用的。

(4)每天登錄時間和每周登錄日期限制。為了防止用戶在非營業時間利用設備的鑰匙等物理登錄權限而非授權進入系統，應該設置程序以拒絕在營業時間之外登錄系統。

(5)退出登錄之前所允許的最長非活動時間限制。如果用戶的賬號在系統參數設置的范圍內處于非工作狀態的話，系統應該自動保存并關閉正在活動中的文件，終止應用程序，迫使用戶退出系統。這樣的控制可以減少用戶在離開或忘記退出登錄時非授權用戶的進入風險。合適的非活動時間可以設置為10分鐘。

3.遠程登錄控制

隨著信息技術的發展，人們越來越多地應用遠程登錄來提高工作的效率，同時也使工作的完成變得更加及時。但是，遠程登錄也增加了組織內部網絡系統的風險，如非授權的登錄、病毒的侵入，還有其他操作層面的挑戰。為了減少這些風險，需要利用遠程登錄控制技術。常用的遠程登錄控制有自動回撥、安全套接層(SSL)會話、多重驗證等。

(1)自動回撥是指遠程用戶利用計算機的調制解調器撥通專線電話來登錄遠程網絡的一種控制。該計算機提供了充分的信息以驗證系統能夠自動終止原始撥號，并且為遠程計算機自動撥通數據庫中的號碼。這一控制可以防止非授權用戶企圖登錄組織內部網絡系統，因為即使用于驗證身份的計算機能撥通預授權的電話號碼，遠程用戶還是需要用戶名和登錄密碼。

(2)安全套接層(SSL)是為網絡服務器與遠程計算機間提供網絡會話加密的一種協議。一般在端口是443的網絡服務器中運行，用公共密鑰來建立彼此信任的鏈接。如果建立了鏈接，所有遠程計算機與網絡服務器之間的數據交換就會被同步加密。加密的長度取決于同步密鑰的長度，它由遠程計算機的瀏覽器和網絡服務器來支持。

(3)多重驗證是指用戶在登錄計算機系統之前，實施兩個或兩個以上的控制。通常有雙因素驗證和三因素驗證。雙因素驗證通常用于遠程用戶，它要求用戶首先要鑒別挑戰/響應服務器，然后用網絡用戶名和密碼在網絡服務器中驗證身份，在驗證過程中，用戶必須輸入由令牌中得到的數字，為了得到令牌，用戶要先輸入一個密碼(PIN)。三因素身份驗證要求用戶進行雙因素驗證后，還要進行自己的生物特征(如手指、視網膜、聲音等)驗證。

4.系統安全管理

系統安全管理是保護計算機系統不受非授權登錄和有意或無意的篡改或卸載的過程。系統安全管理員所執行的與安全有關的職能有:創建用戶賬號，分配系統的登錄權限，設置系統安全管理參數，監控系統，防止和檢查潛在的非授權登錄。內部審計師要協助組織對管理層進行培訓，使他們能夠理解所有系統的登錄權限的原因，這一過程還包括評估系統安全管理員本身的能力。系統安全管理員還必須執行另一個重要程序，就是當組織中出現員工跳槽或解聘員工時，要立刻刪除他們的用戶賬號。這就要求人力資源部門能將相關信息及時傳遞給系統安全管理部門。

主要參考文獻

[1][美]詹姆斯·A·霍爾.信息系統審計與鑒證[M].李丹，譯.北京:中信出版社 ，2003.

[2]羅伯特·莫勒爾.布林克現代內部審計學[M].第6版.李海風，譯.北京:中國時代經濟出版社，2006.

[3][美]杰克·坎普林(JackJ Champlain).審計信息系統[M].第2版.張金城，譯.北京:清華大學出版社，2004.

[4][美]阿爾布雷克特(W Steve Albrecht).舞弊檢查[M].李爽，譯.北京:中國財政經濟出版社，2005.