信息系统审计.ppt

《信息系统审计.ppt》由会员分享，可在线阅读，更多相关《信息系统审计.ppt（71页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统审计信息系统审计本章概述信息系统硬件信息系统软件信息网络信息系统运行信息系统性能测量与监控2IS战略、政策、过程服务器、工作站、打印机网线交换机Windows NT、UNIXDB2 数据库财务报告销售收入 2000万利润 100万销售业务系统财务核算系统从业务角度来看信息系统构成：从业务角度来看信息系统构成：信息系统安全信息系统安全与应急计划与应急计划系统的开发系统的开发获得、维护获得、维护及数据处理及数据处理3企业信息系统的战略、政策与过程企业信息系统的战略、政策与过程企业信息系统的战略、政策与过程企业信息系统的战略、政策与过程网络平台网络平台网络平台网络平台建设建设建设建设系统平台

2、系统平台系统平台系统平台建设建设建设建设操作系统操作系统数据库系统数据库系统中间件中间件应用系统应用系统应用系统应用系统建设建设建设建设软件开发软件开发获得维护获得维护数据处理数据处理机房工程机房工程机房工程机房工程综合布线综合布线局域网局域网广域网广域网InternetInternet机房装修机房装修电源、接地电源、接地空调、消防空调、消防信息系统的安全与应急计划信息系统的安全与应急计划信息系统的安全与应急计划信息系统的安全与应急计划从技术角度来看信息系统构成：从技术角度来看信息系统构成：4一般控制管理控制系统实施控制运行控制软件控制硬件控制物理访问控制逻辑访问控制应用控制输入控制处理控制输

3、出控制保障*控制灾难恢复与应急计划环境控制设备来源控制*从控制角度来看信息系统构成：从控制角度来看信息系统构成：51、硬件系统6联想联想联想联想 高档高档高档高档PCPCHP LH6000HP LH6000便携机便携机便携机便携机SUN 3000SUN 3000不同类型的硬件与软件平台低端低端低端低端 高端高端高端高端Windows 2000Windows 2000、XPXPpalmOSpalmOS1.1 1.1 计算机类型计算机类型Windows ServerWindows Server、UNIXUNIXUNIXUNIXIBM OS/390IBM OS/390IBM S/390IBM S/3

4、90PDAPDANCNC7大型机大型机/终端（终端（mainframe/terminalmainframe/terminal）模式客户机客户机/服务器（服务器（client/serverclient/server）模式浏览器浏览器/服务器服务器(browser/server)(browser/server)模式（即互联网模式）1.2 1.2 信息系统应用模式：信息系统应用模式：8主机主机/终端模式终端模式字符终端字符终端1昂贵的图形终端昂贵的图形终端字符字符终端终端2.串行线串行线专用线专用线串行线串行线9客户机客户机/服务器模式服务器模式.MIS服务器服务器客户机客户机客户机客户机客户机客户

5、机五类线五类线交换机交换机OA服务器服务器10.五类线五类线数据库服务器数据库服务器浏览器浏览器浏览器浏览器浏览器浏览器防火墙防火墙交换机交换机事务处理服务器事务处理服务器 浏览器浏览器/服务器模式（互联网模式）服务器模式（互联网模式）路由器路由器浏览器浏览器视频服务器视频服务器群件服务器群件服务器11 B/S多层应用的逻辑图：多层应用的逻辑图：12与应用模式相关的问题与应用模式相关的问题：降型化降型化(downsizing)降低成本降低成本开放系统开放系统(open systems)降低成本降低成本遗产系统（遗产系统（legacy systems）与新技术整合与新技术整合逐步更新逐步更新13

6、1.3 1.3 硬件获取计划硬件获取计划购置的硬件必需符合组织的IS计划首先要建立和遵循硬件标准(Criteria)确保兼容性、可扩展性和可靠性编写硬件获取计划（Invitation to tender、Request for Proposal）14获取计划内容：描述组织计算机系统集中式还是分布式数据处理需求硬件需求系统软件支持资源需求限制条件系统软件需求评定标准购买日期租用、租赁和购买其他15无故障运行时间(Turnaround time)响应时间(Responese time)系统反应时间(System Reaction time)吞吐量(Throughput time)负载(Workab

7、le)兼容性(Compatibility)利用率(Utilization)关键性能指标关键性能指标：16举例：单项可用性达至举例：单项可用性达至99.5%99.5%，结果，结果客户/服务器应用结构可用性客户端应用软件99.5%服务器端软件99.5%个人电脑(Windows,DOS drivers,hardware)99.5%局域网LAN99.5%广域网WAN99.5%HP-UX 服务器99.5%数据库软件99.5%总可用性总可用性96.552%结果！365x(1-96.552%)=12.775365x(1-96.552%)=12.775天天365x(1-99.5%)=1.825365x(1-9

8、9.5%)=1.825天天17制定获取计划步骤制定获取计划步骤项项目目计计与与准准备备目标：确定需求，寻求解决方案目标：确定需求，寻求解决方案确定评估标准需求的概要分析向供应商分发“请示建议书”供应商反应确定供应商需求详细分析准备邀标书对供应商提供支持供应商上交投标书产产品品评评估估与与推推荐荐18审计要点：审计要点：审计师要决定是否获得计划是否能满足业务需要，硬件的选型与配置是否满足IS的计划在最终选择供应商之前，是否考虑多家供应商，并进行了比质比价的过程191.4 1.4 硬件的维护程序硬件的维护程序硬件必须进行例行性的清理与检修维护保养应该符合供应提供的维护规定硬件维护程序是用来记录维护

9、的执行情况信息系统管理层应该监督、识别和记载不符合维护规定之处20硬件维护程序应包括的内容硬件维护程序应包括的内容：需要进行日常维护的硬件供应商的信誉情况保养维护时间表维护成本历年维护绩效救记录己计划的、未计划的、己执行的、例外的21硬件维护程序审计要点：硬件维护程序审计要点：审计师确认组织制定了正式的硬件维护计划，并经过了管理层的批准审计师要列出超出预算的维护费用，超出部分有可能就是没有遵守维持计划221.5 1.5 硬件监控流程硬件监控流程硬件故障报告（Hardware error Reports）系统自动产生，记录CPU、I/O、电源及存储设备的故障。每天应该由操作管理员检查，及时发现和

10、维护。可用率报告（Availability Reports）系统自动产生的报告指出计算机运行及可供用户操作的时段此报告可反映出宕机时间。23使用率报告（Utilization Reports）系统自动产生的，以不同的方式来记录计算机及接口设备的使用情况。在多用户环境下，计算机系统资源的正常使用率一般在85%95%之间。网络的使用率如果超出50%，就需要考虑扩容了241.6 1.6 数据管理数据管理数据管理是控制数据缓冲、数据管理是控制数据缓冲、I/OI/O操作、文件管操作、文件管理的一系统活动。理的一系统活动。数据管理是操作系统功能的重要部分数据管理是操作系统功能的重要部分数据管理所涉及的文件

11、类型数据管理所涉及的文件类型顺序文件顺序文件索引顺序文件索引顺序文件直接随机访问文件直接随机访问文件251.7 容量管理容量管理就是对计算机资源进行管理与监测，以保证资源可以被有效地使用。根据用户的未来需求，预估将来的硬件设施Performance EvaluationCapacityManagementCapacity PlanningTechnical DecisionsManagerial Decisions26容量管理的关键因素：容量管理的关键因素：CPU的使用率计算机存储设备的使用率远程通讯和广域网络带宽使用率终端机使用率使用人数新技术新应用程序服务水平协议每年至少应该检查一次272

12、.信息系统架构与软件信息系统架构与软件硬件用户应用软件系统软件系统软件(systemsoftware):操作系统语言翻译实用程序应用软件(application software):字处理软件商用软件娱乐软件教育软件282.1系统软件系统软件是用来设计、处理和控制所有计算机应用程序的一组程序它确保系统、程序及流程的完整性，并管理与计算机通讯的接口系统软件包括：操作系统访问控制系统数据通讯软件系统数据库管理系统程序库管理系统磁带与磁盘管理系统网络软件管理系统292.2 操作系统（OS）定义对中央处理器、存储器、辅助存储器和输入/输出装置等系统资源的进行分配、调度和监视的一组计算机程序常用的OS有

13、：PC机OS：DOS、MS Windows、MAC OS等。服务器、工作站OS：MS Windows Server,Linux,Unix(SUN-Solaris,HP-UX,IBM-AIX)等大型机OS：IBM S/390、IBM MVS等30操作系统提供的功能定义用户接口允许用户其享硬件允许用户其享数据在用户之间进行资源调度及个人使用输出/输入资源通知用户所有处理器、输入、输出设备或程序相关的错误信息在故障能进行恢复系统文件管理系统帐号管理操作系统与程 序之间进行通信31操作系统参数配置配置参数用于调整操作系统性能以适应不同的环境参数配置的作用数据管理资源管理作业管理优先级设置32操作系统的

14、完整性定义操作系统保护自身不受非法访问，保证系统安全的机制运行模式的正确设置超级用户模式普通用户模式举例IBM的SYS1.PARMLIBUNIX 的/etc/system,/sbin/initWindows 的注册表332.3 访问控制软件 定义用来防止对数据、系统功能和程序的未经授权的使用、更新和修必改的软件举例操作系统的认证系统(用户名、口令及授权)数据库的认证系统专用的访问控制系统，如RADIUSRADIUS，TACACS TACACS、Kerberos Kerberos、KryptoKnight KryptoKnight等等342.4 数据通讯软件定义在点与点之间进行数据传输的软件，其

15、特征是使用一个智能装置将字符转换成编码格式传输编码EBCDIC、ASCII、Unicode通讯软件的三要素发送方、传输途径、接受方352.5 数据库管理系统定义数据库是存储在一起的相关数据的集合，具有建立、编辑、维护、访问数据的功能，并提供数据独立、完整、安全的保障 功能协助应用程序组织、控制及使用所需数据数据库管理系统提供了相应的优化功能来创建和维护一个数据库，并加以规范化以避免数据重复，从而降低数据访问时间。提供数据访问功能，建立基本的数据访问措施数据库管理系统包括数据字典，用来定义数据元素的属性及使用方式。36公司公司部门部门A部门部门C部门部门 B项目项目 1项目项目2根节点根节点父节

16、点父节点子节点子节点层次型数据库(Hierarchical data model)父元素中包含指针（pointer）指向子元素，检索从根元素开始根元素是最主要的数据元素。37网状型数据库网状型数据库(Network data model)所有数据元素都通过指针进行链接所有数据元素都通过指针进行链接与层次型区别：层次数据库的数据元素只能与其子与层次型区别：层次数据库的数据元素只能与其子元素进行链接，而网状数据库则可以与任何元素进元素进行链接，而网状数据库则可以与任何元素进行链接行链接公司 B公司 A公司 C项目2项目1项目 3项目 4项目 5部门 1部门 238关系型数据库关系型数据库(Rela

17、tional data model)：部门部门C部门部门 B部门部门A部门部门职能职能部门部门地址地址部门经部门经理理部门部门部门部门 B 6部门部门 B 5工资工资部门部门 B 3部门部门 C 4部门部门 C 7部门部门 A 2部门部门 A 1部门部门职务职务雇员姓雇员姓名名雇员雇员编号编号公司部门表公司部门表 公司雇员表公司雇员表39数据库控制建立数据定义标准实施数据备份及恢复程序建立不同级别的访问控制控制并发访问冲突保证数据真实性、完整性和一致性建立检查点减少数据损失及恢复工作量对数据库进行整理，优化性能对性能监控不使用非系统提供的方法管理数据402.6 磁带及磁盘管理系统定义指可记录或

18、显示数据处理所需的磁带或磁盘的相关信息功能节省检索文件的时间降低错误率增加空间利用率提供磁带及异地备份的管理提供磁带访问控制412.7 网管系统定义对网络设备进行控制和维护的软件，网管软件可以记录线路状态、激活的终端设备、报文队列长度、线路错误率及流量等功能协助网络内的计算机共享信息及资源，并提供网络的可信度具备预警功能422.8 系统软件的获取获取系统软件要注意的问题业务、功能及技术的需求和规格成本、效益是否己过时与现有系统的兼容性安全性培训及聘用人才的需求未来成长性需求432.9 系统变更控制过程定义保证正确业务流程不会因软件变更而中断的控制程序功能变更之前，通过充分的测试，保证业务不受影

19、响。变更失败，可以迅速恢复通知所有变更可能影响的相关人员，并督促他们作出业务影响评估44定义以共享资源（硬件、软件和数据等）为目的而连接起来的，在协议控制下由一台或多台计算机系统、若干台终端设备、数据传输设备等组成的系统之集合。网络发展过程单机 分时多用户远程终端访问 计算机网络全球网络3.3.信息系统网络基础设施信息系统网络基础设施453.1 3.1 网络的管理与控制网络的管理与控制定义:对组成网络的各种硬软件设施的综合管理，以达到充分利用这些资源的目标，并保证网络向用户提供可靠的通信服务。作用对各种网络资源进行监测、控制和协调，并在网络出现故障时，可以及时进行报告和处理，尤其是向管理员报警

20、，以便尽快维护。46网络管理的功能故障管理是网络管理最基本的功能，指系统出现异常情况下的管理操作，其目标是自动监测、记录网络故障并通知用户，以便网络有效地运行。计费管理负责记录网络资源的使用情况和使用这些资源的代价 计费管理的目标是衡量网络的利用率，以便一个或一组用户可以按规则利用网络资源 47配置管理定义、收集、监测和管理系统的配置参数，使得网络性能达到最优。配置参数包括（但不局限于）设备资源、它们的容量和属性，以及它们之间的关系。性能管理主要是收集和统计数据（如网络的吞吐量、用户的响应时间和线路的利用率等），以便评价网络资源的运行状况和通信效率等系统性能，分析各系统之间的通信操作的趋势，或

21、者平衡系统之间的负载。性能分析的结果可能会触发某个诊断测试过程，或者引起网络重新配置以维持网络预定的性能。48安全管理是指按照本地的指导来控制对网络资源的访问，以保证网络不被侵害（有意识的或无意识的），并保证重要信息不被未授权的用户访问。网络安全管理主要包括:授权管理授权管理、访问访问控制管理控制管理、安全检查跟踪和事件处理、密钥密钥管理管理49网络管理的模型网络管理系统（NMS）的基本模型由网络管理工作站、代理、管理数据库构成。50网络管理常用工具响应时间报告指出用户由终端输入一个指令到计算机的答复时间故障时间报告追踪通信线路和电路的可用性在线监控装置测量通信传输并判断传输是否正确地完成协议

22、分析网络活动诊断工具，一般工作在数据链路层服务台扩展的服务的范围，将业务流程与服务架构集成，不仅处理事故、问题和询问，同时为其他活动提供接口这些活动包括客户变更请求，维护合同与软件协议，服务级别管理，配置管理，可用性管理等51SMSNNM&CW 2K OpenView OperationOVDPOVO Agent&MOMOVISSPIOracleSQLSecurity Mgmt.组组件件管管理理IT管理门户管理门户：Information Portal+Big Screen Service Desk IT 响应中心声光电告警声光电告警AppsAppsAppsAppsAppsAppsIT系统监视

23、人员系统监视人员AppsAppsApps升级升级专家专家(组组)，总控中心，总控中心现场工程师现场工程师报报表表统统计计分分析析流流程程管管理理Service Reporter服务器服务器存储存储网络网络机房机房+空调空调桌面终端桌面终端数据库数据库/中间件中间件WWW应用应用全面的网络管理企业监控中心解决方案全面的网络管理企业监控中心解决方案524.信息系统运营定义信息系统运营是指对硬件与软件的日常功能的控制系统运营包括以下领域信息系统运营管理计算机操作技术支持/服务台作业调度控制数据的输入/输出质量保证程序变更控制库管员功能问题管理程序对资源使用的监控程序物理和环境安全的管理534.1 计

24、算机操作计算机操作人员任务如下：运行作业和程序应用程序非正常中断后重新启动及时备份计算机文件观察信息处理设施是否有非授权访问监督是否遵循信息系统和业务部门制定的作业计划参与灾难恢复计划的测试544.2 计算机日常运行程序的内容符合软硬件范及工作流的操作人员工作程序排除硬件、软件故障的工作程序发放输出报告的规定从资料库获得文件和及时归还的程序报告系统运行延误的程序报告的排除设备故障和作业处理延误的程序554.2.1系统自动运行（Light-Out）可以自动运行的程序作业调度控制台操作报告的生成与发放程序的重运行磁带挂接与管理存储设备管理环境监测物理与数据安全自动运行的好处：减少成本连续运行（7/

25、24）减少系统错误与中断次数564.2.2 输入/输出控制I/O控制人员要保证：输入要及时、准确输出文件要格式准确，及时发放到合适的人手中输出有时要成为下一个处理所需输入，这时要保证输出准确及时。在处理过程中要使用正确的文件操作人员要采取正确的行动在输入、输出过程中，数据没有受到非授权修改数据录入人员要：进行关键字核对数据录入与数据核对职责分离日志记录录入时间、日期、用户号，和数据录入和核对的过程574.3 运营管理信息系统管理人员对系统正常运营负有管理责任，包括：资源分配完成己计划的活动所需资源合理分配制定与执行运营的标准与程序58管理控制功能在每个运行班次都有详细的作业调度计划制定计划准确

26、高效地使用运营资源对作业调度计划的改变要合理授权监测运营过程，保证符合规定要求在系统关机和初始运行时要检查控制台日志文件记录的活动监测系统性能和资源的使用来优化计算机资源的使用预测设备能力状况，必要通过新设备的获取来优化作业吞吐量监测设备的环境条件与安全状况，保证设备性能594.4 服务水平可以以下工具来监测信息系统人员的服务水平非正常任务中断报告操作人员问题报告输出发放报告控制台日志操作员工作日程服务水平协议（SLA）有些组织也使用平衡记分卡的方式来评价服务水平、进行绩效测量604.5 作业记帐目的监测和记录IS资源的使用，如CPU的性能和利用率，对存储介质的使用，终端联接时间。功能根据对资

27、源的利用，记录用户使用成本控制和优化对硬件的使用614.6作业调度计划作业调度计划是信息系统部门的主要工作，包括：对要运行的作业申请与管理确定作业优先级作业运行条件为作业分配计算资源对作业处理的监测624.7 监测对资源的使用监测对资源的使用是否合理评估资源的使用效率提出改进意见634.8 问题处理程序对异常状况的检查、记录、控制、解决及报告通常采用自动或人工的日志，日志项目：程序错误系统错误操作错误通信错误硬件错误64注意事项：为达到控制目的，不应限制在错误日志中加入明细数据的权力，但更新错误日志的权力应限于经过授权的人员。确保的适当的问题上报程序，可以将未解决的问题上报给更高层的信息管理人

28、员。将问题解决方案通知适当的系统人员、程序设计师、操作人员及用户，以确保问题得以最迅速地解决审计师通过查看尚未委派人员处理的问题清单，以及追踪案例，了解问题是否己传送给最有能力解决的人手中。654.9 程序变更控制定义控制从开发阶段的测试环境到正式的作业环境的迁移的机密性、完整性和可靠性。要求系统、操作和程序文件齐全，并符合己对立标准工作准备、日程安排和操作说明己建立系统和程序测试结果经过用户和项目管理人员的审核及批准保证数据转换正确，且经用户管理人员批准系统转移要经用户管理人员审核与批准各方面工作均经过控制与操作人员的测试、审核及批准664.10 质量保证进行系统变量时，要由质量保证人员确认

29、此变更是在控制程序下，经过授权、测试以及安装后才可移入正式业务环境。质量保证目标确保各相关部门对于各种标准、管理准则和程序的修正，评估及分发都能积极参与。维护制定的系统开发方法在大型系统的重要阶段做审查和评估，并提出适当的改进建议在正式作业环境中，建立、完善并维持一个稳定且受到控制的环境，以利于系统变更的实施定义、建立并维护计算机系统中标准化、定义明确的测试标准在系统执行状况不符合定义或设计时，向管理层报告。674.11 技术支持与服务台提供运营系统的技术支持并协助解决系统问题技术支持人员执行的工作程序应该依据整体策略制定成书面的程序技术功能包括：找出计算机问题并采取适当的改正措施按规定提出问

30、题报告，并确定问题及时解决回答有关特定系统的查询控制供应商和系统软件的变更基于组织需求和计算机配置，设计并执行系统软件变更，以提高效率为远程通讯提供技术支持 维护供应商软件各种文档，包括新版本及修正版68服务台与技术支持功能相同，其主要目的是服务用户，服务台人员必须将发生的硬件、软件问题全部记录下来，并按优先顺序向上级汇报服务台基本功能：立案并记录用户提出的包括软、硬件各项问题根据优先顺序将问题向上汇报追踪尚未解决的问题将己解决的问题归档并通知相应的负责人695.对基础设施及系统运营的审计705.1 对硬件的审计5.2 对系统软件的审计5.3 对数据库的审计5.4 对局域网的审计5.5 对网络运行控制的审计5.5 对信息系统运营审计5.6 对问题管理报告的审计5.7 对硬件可用性及利用率报告的审计5.8 对作业调度的审计71