信息系統審計實踐教學設計

崔國璽 高英

[摘? ? 要] 信息系統審計是為確保業務交易及財務處理的準確性而對支持它們的信息系統等實施的一套審計程序，旨在保護組織的應用系統及其所承載的業務和數據的完整性、可用性和機密性。本文借鑒新工科的建設理念，結合信息系統審計對于傳統審計學教學實踐的發展要求，提出信息系統審計方向的實踐教學改革方案。

[關鍵詞] 信息系統審計;信息系統控制;實踐教學

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2021. 01. 035

[中圖分類號] F239.6;G640? ? [文獻標識碼]? A? ? ? [文章編號]? 1673 - 0194（2021）01- 0080- 03

0? ? ? 引? ? 言

教育部推進“新工科”“新醫科”“新農科”“新文科”等一批學科建設，著眼學科的交叉性與綜合性，強調信息技術與傳統專業的結合與升級改造。這給審計學科帶來了啟示。信息系統審計脫胎于傳統的審計學和現代的信息系統管理專業，旨在應對組織所面臨的日益嚴峻的信息技術風險，是一個典型的應用型專業。越來越多的高校在本科或研究生層次設置了信息系統審計方向，開授相關專業課程，為社會培養緊缺專業人才。

目前，大部分高校的信息系統審計方向參照國際信息系統審計協會的“注冊信息系統審計師（CISA）”考試大綱的知識體系，圍繞信息技術與系統開發和應用中的內部控制體系，組織教學課程模塊。按照國際信息系統審計協會的領域劃分，信息系統審計的知識體系包括IT治理與管理、信息系統的購置開發與實施、信息系統的運營和業務恢復能力、信息資產的保護等領域。針對這些領域主題，大多數開設信息系統審計方向的學校的培養計劃中一般會囊括相關的信息技術類課程模塊，包括程序設計、計算機網絡、操作系統、數據庫系統、信息系統分析與設計、信息安全等計算機類課程以及一部分會計信息系統等課程。

為了幫助學生建立起相應的知識結構，當前主流的教學模式借鑒計算機學院或者信息類學院的授課模式，直接移植對應的課程模塊。在教學過程中，偏重信息技術的原理講解，而將信息技術的固有風險和控制措施置于次要地位，表現在教學實踐中對于風險防范的實操關注不夠，導致對于內嵌于信息處理設施之中的技術性控制訓練不足（如圖1中的粗體字部分）。本文圍繞信息處理設施中的技術性控制的實踐教學設計探討一種教學方案。

按照信息安全管理體系國際標準ISO 27001所給出的定義，信息處理設施是用于處理業務數據和流程等關鍵系統的設施。這些設施一般包括數據中心的機房環境、主機/服務器設備、存儲設備、網絡設備、安全設備等關鍵信息資產。這些信息處理設施是信息系統安全運行的基礎，必須具備充分必要的風險控制措施。一般來說，這類風險控制措施分為管理類和技術類兩種。就后者而言，這些設施/設備本身內嵌了一些技術性風險控制措施，依靠設備固件、操作系統、數據庫管理系統、各類中間件、應用程序等信息技術手段層疊構建起業務交易的技術性風險控制體系，將業務數據和流程嚴密監護起來，確保業務和數據的完整性、可用性和機密性。從審計的角度，這套技術性控制體系的每個套層都需要仔細檢視和評價。為此，需要以信息處理設施為審計對象，評估這些技術組件的固有風險和控制風險。

1? ? ? 實踐教學改革思路與整合規劃

本文提出實踐教學的改革方案思路如下：對于信息系統審計方向，將信息處理設施的技術風險控制納入到計算機類課程和審計類主課的實踐環節。以計算機網絡為例，在該課程的實踐環節中增加“控制與審計”專題，加強對網絡設備重要工程參數的關注與風險控制。根據信息處理設施的安全基線，對可能帶來風險的參數設置，以及對這些信息處理設施的管理控制開展逐項檢查和解讀，審核特定技術組件的配置，確定這些審核在多大程度上符合組織的控制目標，最終找出差距形成風險報告。由于這些設置通常需要對該門課程和設備原理的全方位掌握和理解，可考慮以綜合模擬實驗或開放實驗的方式在主課結束后的小學期實施。

按照傳統的互聯網數據中心（IDC）機房環境，數據在信息處理設施的流動路徑構成一條底層數據鏈路。數據分別流經：數據中心/機房環境、網絡設備（含安全設備）、主機設備、操作系統、數據庫系統、存儲設備、應用服務器和業務應用等信息處理設施。表1 顯示了數據中心基礎設施、系統平臺、數據庫、應用系統和業務之間的關系。

2? ? ? 實踐教學方案規劃

對照表1，各層都有與其對應的課程模塊。總體來說，一些常規審計項目，例如賬戶和權限管理、密碼策略、邏輯訪問控制、軟件或系統的補丁策略、備份和恢復方案、審計軌跡功能等，需要結合各自領域的特點，在相應課程實踐環節內加以安排。為節省空間，下文不再贅述，僅對各審計域和技術組件的特殊風險事項和額外控制的實踐教學安排加以討論。

2.1? ?信息系統審計實踐模塊

本模塊對應于數據中心基礎設施層，關注機房環境和數據中心的風險控制事項。在實踐教學中，可考慮以學校的計算機機房為審計對象，這些機房本身都有相關的控制制度和措施，涵蓋機房的物理安全、物理訪問控制、環境控制和系統監控等集中性和普遍性的控制措施，包括風、火、水、電等常規檢查和評估事項。

2.2? ?操作系統實踐模塊

本模塊關注操作系統本身的固有風險和控制風險。根據常見的操作系統類型，分為Windows、各型Linux等常見操作系統。以Windows操作系統為例，待審計事項包括：①操作系統的文件、目錄和虛擬目錄的控制情況、注冊表權限控制等;②操作系統的非必要組件（服務、端口、應用程序和計劃任務等）的啟用、安裝及運行情況。這些內容原本不是操作系統課程的核心講授和考核內容，但對于確認操作系統的安全使用發揮至關重要的作用，因此可考慮開設一次專題實踐供學生實操以掌握這些內容。

2.3? ?計算機網絡實踐模塊

本模塊引入網絡設備審計實驗，加強對網絡設備可能帶來的風險點控制與檢查，具體包括：①交換機、路由器等常見網絡設備以及防火墻、上網行為管理器等安全設備的重要工程參數的審計事項，例如虛擬局域網（VLAN）的配置參數，VLAN 1的使用情況;網絡廣播風暴的閾值控制;無效接口的禁用情況，IP源路徑路由和IP定向廣播的禁用情況;防火墻的過濾規則等，確認上述參數符合安全基線。②不同類型網絡的組網審計，實現業務和數據的獨立網絡劃分，減少局域網資產暴露的可能性，確保有效降低攻擊者攻擊的范圍。③網絡安全管理技術，包括簡單網絡管理協議（SNMP）管理規范、配置文件的備份、網絡時間協議（NTP）的安全使用、安全殼（SSH）協議的合理使用。④網絡安全控制措施，如遠程訪問、共享策略與控制措施、防火墻策略、網絡漏洞掃描和入侵防御等。⑤無線網絡的安全檢查，包括針對無線路由設備的動態主機配置協議（DHCP）服務器的IP分配相關基線核查，是否給新接入設備分配IP，是否針對訪客接入配置單獨的域，限制其網絡通信行為。

2.4? ?數據庫實踐模塊

本模塊關注數據庫技術的風險情況，重點在于數據訪問安全與存儲安全，包括：①數據訪問的控制級別（表級、行級、列級）;②數據庫性能監控、活動監控、容量管理和數據庫審計方法等。③常見數據庫的滲透測試和漏洞掃描等。

應用系統的風險來源于業務-IT融合過程中的風險以及IT技術的固有風險，由此分成兩個課程模塊：信息系統分析、設計與開發實踐模塊和業務系統實踐模塊。

2.5? ?信息系統分析、設計與開發實踐模塊

本模塊關注信息系統開發技術（開發框架、編程技術和編程語言）的固有風險和控制風險，這些風險來自于技術本身的特性。在實踐教學中，學生應加強如下訓練：①應用系統在安全性、可靠性等非功能性需求方面帶來的固有風險，例如開放Web軟件安全項目（OWASP）發布的風險等重要事項進行額外的分析與設計。②應用容器（如Web服務器）的參數配置，包括會話管理;配置文件、URL過濾限制;程序錯誤（error）的處理措施;非必要的服務、模塊、對象和API的禁用（或刪除）情況;對未使用的腳本類型的禁用情況;協議的使用情況;服務器端證書的有效性和使用情況。③應用系統的變更控制，包括代碼檢查和版本控制的控制措施;④應用系統的容災備份;⑤應用系統的滲透測試和漏洞掃描等。

2.6? ?業務系統實踐模塊

本模塊關注業務-IT技術融合過程的風險事項，包括內嵌在應用系統中的業務控制措施，要求學生掌握應用控制的基本原理和實現方式。這部分風險來自于業務屬性，與具體的業務類型相關。考慮以會計信息系統（如用友U8）為典型業務系統，常規的控制事項包括：①系統的輸入控制，包括輸入檢查與校驗等;②處理控制，如風險控制相關的業務規則;③輸出控制，包括輸出數據的匯總和核對、輸出錯誤處理等;④應用系統間的接口控制，包括傳輸數據流的控制措施;⑤數據的分類與妥善保管，滿足數據安全法和相關行業法規條例等。

3? ? ? 結? ? 語

信息系統審計實踐課程的改革是順應《網絡安全等級保護條例》和即將出臺的《數據安全法》的時代發展的要求。本文從信息處理設施的技術風險與控制著眼，提出信息系統審計方向主干課程實踐環節的設計方案，培養學生對于信息技術風險的認知和控制措施的應用能力。

主要參考文獻

[1]董麗英，楊浩然.探索大數據審計背景下高層次應用型審計人才培養[J].審計月刊，2020（2）：40-42.

[2]穆勇，趙瑩，張燕生，支俊輝.信息系統專業審計研究與實踐[J].信息系統學報，2018（1）：116-125.

[3]陳耿，李婷婷，韓志耕.ISACM：現代信息系統審計模型及其方法體系[J].會計之友，2019（9）：125-129.

[4]岑磊，陳曉雨，馬寧.淺析信息系統審計高端人才的培養[J].會計師， 2018（9）：55-56.

[5][美]克里斯·戴維斯，麥克·席勒，凱文·惠勒.IT審計：管好信息資產[M].第2版.中治研（北京）國際信息技術研究院，譯.北京： 中國經濟出版社，2015.