日志視角下信息系統(tǒng)安全審計的模型構建及風險控制

劉國城 王會金

(南京審計學院，江蘇南京 210029)

日志視角下信息系統(tǒng)安全審計的模型構建及風險控制

劉國城 王會金

(南京審計學院，江蘇南京 210029)

信息系統(tǒng)日志是對系統(tǒng)進行實時監(jiān)控和對網絡中的事件進行分析的重要信息來源。信息系統(tǒng)的審計主體，要加強對基于日志分析的審計證據獲取方法的運用和創(chuàng)新，并有效實現(xiàn)以日志審計為主導的信息系統(tǒng)安全審計?；谌罩疽暯窍孪到y(tǒng)安全審計的功能需求，本文提出了信息系統(tǒng)安全審計模型，并借鑒COBIT理論，提出以日志為導向的信息系統(tǒng)安全審計風險控制構想:合理規(guī)劃日志的識別與挖掘，加強有關信息系統(tǒng)安全的全過程審計;有效實施日志的挖掘與評價，科學確認有關信息系統(tǒng)安全的重大錯報風險;強化審計網絡平臺的功能，努力提高信息系統(tǒng)審計人員的業(yè)務素質。

日志;信息系統(tǒng);安全審計;COBIT

信息系統(tǒng)安全，是指確保以電磁信號為主要形式的、在計算機網絡系統(tǒng)進行自動通信、處理和利用的信息內容，在各個物理位置、邏輯區(qū)域、存儲和傳媒介質中，處于動態(tài)或靜態(tài)過程中的保密性、完整性和可用性，與人、網絡、環(huán)境有關的技術安全、結構安全和管理安全的總和。①孫強:《信息系統(tǒng)審計》，機械工業(yè)出版社2003年版。信息系統(tǒng)安全審計是信息系統(tǒng)審計的一個分支，是專門針對信息系統(tǒng)安全實施的審計。日志是信息系統(tǒng)所指定對象的某些操作和其操作結果按時間有序的集合，②梁曉雪、王鋒:《基于聚類的日志分析技術綜述與展望》，《云南大學學報》2009年第1期。是對系統(tǒng)進行實時監(jiān)控和對網絡中的事件進行分析的重要信息來源。在一個完整的信息系統(tǒng)里，日志可以記錄系統(tǒng)構建與運營的所有行為，并按照某種規(guī)范表達出來。本文認為，日志是審計主體獲取信息系統(tǒng)安全審計證據的最直接、最有價值的信息資料。信息系統(tǒng)的審計主體，要加強對基于日志分析的審計證據獲取方法的運用。此外，本文主要是針對“信息系統(tǒng)的內部審計”進行研究的，這是因為被審系統(tǒng)的外部審計多為“事后審計”，而內部審計可以實現(xiàn)“實時審計”，二者有所差異。

一、日志視角下信息系統(tǒng)安全審計的功能需求

Windows NT/XP/2003有符合C2安全等級的SCE機制，其日志文件有應用程序日志 AppEvent．evt、安全日志 SecEvent．evt、系統(tǒng)日志 SysEvent．evt，根據系統(tǒng)開通的服務還會產生相應的日志文件，如FTP日志等。Windows下應用程序日志主要包括有關用戶程序和商業(yè)通用應用程序運行方面的錯誤活動，如數據庫中文件錯誤的記錄;安全日志主要是應急響應調查階段最有價值的日志，如系統(tǒng)啟動和關閉等事件，以及與創(chuàng)建、打開或刪除文件等資源使用相關聯(lián)的事件;系統(tǒng)日志是記錄系統(tǒng)進程和設備驅動程序有關活動的文件，如服務異常暫停。Windows系統(tǒng)外，Linux系統(tǒng)、Unix系統(tǒng)、以及上述操作系統(tǒng)外的其他方面也都會產生各自的日志，如安全設備日志、網絡設備日志、應用系統(tǒng)日志，等等。以日志為視角的信息系統(tǒng)安全審計的功能需求主要表現(xiàn)為:(1)建設審計網絡平臺。審計主體通過建立審計網絡平臺，將其融于被審單位的信息系統(tǒng)中去，并將其同運營的信息系統(tǒng)保持“實時”聯(lián)絡或“日?！甭?lián)絡;(2)實現(xiàn)對日志的集中管理。通過網絡平臺，審計主體能夠實現(xiàn)對應用程序日志、安全日志等多類日志的分類與集中管理，包括對日志的存儲、備份、更新與刪除;(3)實現(xiàn)對日志的識別與轉換。通過網絡平臺，審計主體能夠辨別哪些屬于服務系統(tǒng)日志，哪些屬于入侵檢測系統(tǒng)日志等。同時，審計主體還需將各種日志整理、歸類，并在此基礎上，將所收集的不同格式的各種日志數據盡可能轉化為統(tǒng)一格式的數據信息;(4)實現(xiàn)對日志的篩選與挖掘。運用數學領域的數據篩選方法與數據挖掘方法從海量日志數據信息中，甄選出敏感的、異常的、可疑的日志數據;(5)實現(xiàn)對日志的分析、評價與報告。審計主體能夠實現(xiàn)對異常、敏感數據的分析、及時發(fā)現(xiàn)系統(tǒng)安全存在的問題，并編制審計工作底稿，及時積累審計證據;(6)實現(xiàn)審計網絡平臺的獨立性。審計主體能夠保證審計平臺盡管與信息系統(tǒng)聯(lián)結為一體，但其運行機制必須獨立于審計客體;(7)保證審計網絡平臺的自身安全。審計主體確保平臺安全，對加工后的日志數據及時存儲與加密，避免相關審計資料被截獲、篡改和偽造，平臺與系統(tǒng)之間的通訊也盡量采用加密傳輸的方式。

二、日志視角下信息系統(tǒng)安全審計的模型構架

以日志為內容的信息系統(tǒng)安全審計是一項系統(tǒng)工程，這是因為原始的日志數據具有不易讀懂、數據量大、不易獲取、容易被修改等特性，且審計過程中還會涉及到特征值的設計、挖掘算法的選用，①易仁萍、陳耿:《數據挖掘技術及其在審計風險管理的應用》，《審計與經濟研究》2003年第1期。諸多因素都為信息系統(tǒng)安全審計增加了難度?；谌罩疽暯窍孪到y(tǒng)安全審計的功能需求，本文提出了信息系統(tǒng)安全審計模型(圖1)，并從兩方面進行闡述:

(一)審計網絡平臺

審計網絡平臺是由A－I共計9個模塊組合而成。A．代理模塊:全面收集日志庫中的各種原始日志數據，包括路由設備日志、防火墻系統(tǒng)日志等;B．接口模塊:與代理模塊形成對接關系，“實時”或“定時”接收A模塊發(fā)送的加密日志信息;C．集中管理模塊:對B所接收的數據進行歸類，存儲，備份，更新或刪除。其分布于整個網絡平臺，備份，更新等行為貫穿于整個審計過程;D．日志安全模塊:保證審計網絡平臺的安全，確保該平臺下所有的日志數據不被丟失與毀壞，其也分布于整個網絡平臺;E．日志識別模塊:區(qū)分各種代碼、數據、程序，將非真正的日志信息從冗雜的日志群中剔除。E模塊功能的發(fā)揮可以降低日志轉換與挖掘過程的審計成本;F．日志轉換模塊:將不同格式的日志數據盡可能地轉化為統(tǒng)一格式。入侵檢測系統(tǒng)日志、網絡交換日志等有的屬于系統(tǒng)日志，有的屬于程序日志，因來源不同，數據格式不盡一致，F(xiàn)模塊是將不同類別下不同日志的不同數據格式盡可能地轉化為統(tǒng)一格式，以便為數據挖掘提供服務;G．日志挖掘模塊:對日志數據進行挖掘，篩選出敏感、可疑數據。G模塊多采用分類、聚類等方法，科學選擇特征值;H．日志評價模塊:對G的敏感數據進行驗證，篩選出存在問題的信息，進行分析、評價、確認與評估，建立日志評價信息庫;I．日志報告模塊:對H模塊的日志評價信息庫進行整理、歸納、總結。

(二)安全審計過程

信息系統(tǒng)安全審計依托于審計網絡平臺，其包含3個過程(見圖1):

過程Ⅰ，內部控制評價過程。內部控制的檢查與評價是實施信息系統(tǒng)安全審計的基礎。內部控制評價體系包括:(1)內部控制制度的設計是否健全與科學;(2)內部控制制度是否有效執(zhí)行。在對信息系統(tǒng)安全進行內部控制評價前，審計主體需要事先確立評價標準。審計主體對內部控制的評價主要是依托于審計網絡平臺中的G、H兩個模塊完成的，且對內部控制設計的健全性與科學性，以及內部控制執(zhí)行的有效性是有機結合執(zhí)行的。為對內部控制進行評價，在G模塊實施數據挖掘的過程中，審計主體應該根據具體的控制標準選取正確的特征字段，基于具體方法進行日志挖掘后，得出與具體評價標準相差別的異常日志。日志挖掘后，異常日志是審計主體研究的對象，此時審計主體需要運用H模塊，確定有關系統(tǒng)安全的內部控制薄弱的諸多環(huán)節(jié)。如企業(yè)管理標準中規(guī)定“系統(tǒng)用戶的登錄密碼不少于12位”，但是通過G模塊篩選出某wtmp日志，該日志顯示某系統(tǒng)用戶的成功登錄密碼為9位，則審計主體可以通過H模塊分析出，“系統(tǒng)用戶的登錄密碼不少于12位”這一內部控制標準在系統(tǒng)操作中沒有得到有效執(zhí)行。

過程Ⅱ，運營活動評價過程。審計主體通過執(zhí)行過程Ⅰ，可以確定下一步的審計工作范圍與審計重點，并在此基礎上，執(zhí)行過程Ⅱ。審計主體需要再次通過審計網絡平臺的G與H模塊，評價信息系統(tǒng)運營的可用性、保密性與完整性，這三個特性均是信息系統(tǒng)的安全屬性。過程Ⅱ需要對有關系統(tǒng)安全的內部控制薄弱的方方面面都要進行可用性、保密性以及完整性方面的審計，這些審計過程也需要選取挖掘算法、進行異常日志評價。例如，過程Ⅰ發(fā)現(xiàn)關于“系統(tǒng)用戶登錄”內部控制薄弱，則過程Ⅱ需進一步確認此“登錄問題”出現(xiàn)在哪一種邏輯訪問路徑下，假定出現(xiàn)在“在線終端設備”，則審計人員應由“點”及“面”，通過選取科學的挖掘算法，設定有效的特征值，檢查“是否人為且故意篡改計算機程序”，或“是否被授權的計算機操作人員在工作上存在問題”，或“是否系統(tǒng)存在特洛伊木馬或惡性病毒”等系列相關問題。

過程Ⅲ，審計證據總結過程。過程Ⅲ的實現(xiàn)主要依托審計網絡平臺的I模塊。完成H模塊的功能后，審計主體會得出諸多結論。然而，這些結論是孤立的、零散的，單薄的、粗糙的，因而這些原始結論還不能稱為證據。鑒于此，審計主體需要發(fā)揮I模塊的功能，對原始結論進行整理、分類、歸納，補充有關外部文件或相關標準，并借此編制審計工作底稿，形成系列性審計證據。

三、日志視角下信息系統(tǒng)安全審計的風險分析

信息系統(tǒng)安全審計風險是指審計主體在信息系統(tǒng)安全審計的過程中，由于受到信息系統(tǒng)某些不確定因素的影響，使審計結論與客觀事實發(fā)生背離，從而受有關關系人指控并遭受某種損失的可能性。

(一)傳統(tǒng)審計風險模型下信息系統(tǒng)安全審計的風險

傳統(tǒng)審計風險模型下，審計風險(AR)包括固有風險(IR)、控制風險(CR)與檢查風險(DR)，且AR=IR*CR*DR。信息系統(tǒng)安全審計風險來自于IR、CR、DR三個方面。其中，固定風險IR有來自內部的，如軟件系統(tǒng)風險，信息機密性風險，網絡基礎設施風險等，也有來自外部的，如人員風險、組織風險、環(huán)境風險以及第三方合作風險。①王會金、劉國城:《COBIT及在中觀經濟主體信息系統(tǒng)審計的應用》，《審計研究》2009年第1期。審計人員評價固有風險時，既要考慮信息系統(tǒng)內部運行機理，還要考慮系統(tǒng)外部的社會環(huán)境變化等外部因素;控制風險CR產生于內部控制環(huán)節(jié)，發(fā)生在審計行為實施之前，因而控制風險對審計主體來說，是可以評價但不可以控制。從控制環(huán)境的角度看，CR也分為內部控制風險與外部控制風險。內部控制風險來源于兩方面，其一是內部控制制度設計的風險，例如被審單位規(guī)定“安全管理員的登陸賬號與密碼，除系統(tǒng)程序員、分析員共同享用外，不得轉借給其他人員使用”，這個內部控制規(guī)定是不科學的，安全管理員的登陸賬號與密碼，只能自身使用，若其他人員有隨意進入系統(tǒng)主控臺，隨意操作數據的可能性，則必將產生控制風險;其二是內部控制制度執(zhí)行的風險，假定被審單位規(guī)定“安全管理員的登陸賬號與密碼，不得轉借給其他人員使用”，但通過日志分析發(fā)現(xiàn)，計算機操作員經常使用該賬號與密碼，則也必將產生控制風險。外部控制風險主要表現(xiàn)在外部社會環(huán)境變化所導致的內部控制不穩(wěn)定;有關信息系統(tǒng)安全的檢查風險DR是必然存在的風險，其水平的高低與審計程序的有效性相關，日志視角下，網絡審計平臺構架的越科學，審計模型設計越完善，審計主體檢查風險DR則越低。

(二)現(xiàn)代審計風險模型下信息系統(tǒng)安全審計的風險

2004年12月，IAASB發(fā)布了新審計風險準則。傳統(tǒng)審計風險模型修改后，現(xiàn)代審計風險(AR)包括重大錯報風險(RMM)與檢查風險(DR)兩個方面，且AR=RMM*DR。新模型中用RMM替換了傳統(tǒng)模型的IR*CR。表面上看，RMM與IR、CR之間沒有任何聯(lián)系，但從微觀層面看，RMM仍由IR與CR構成。與傳統(tǒng)模型相比，新模型在IR、CR的基礎上，拓展了風險評估的范圍，其要求在考慮IR與CR同時，還要求考慮審計客體所處的經營風險、商業(yè)風險、行業(yè)風險、舞弊風險等等，使得審計風險評估的范圍更為宏觀?，F(xiàn)代風險模型的拓展提醒審計主體在審計網絡平臺實施日志挖掘時，特征向量的設置需要綜合考慮信息系統(tǒng)的運營，信息系統(tǒng)的行業(yè)等多種情形，例如，行業(yè)的網絡竊聽器(Sniffer)，其某些字段也應作為G模塊的特征字段進行挖掘。與此同時，現(xiàn)代風險模型也提醒審計主體在發(fā)揮日志評價功能時也應綜合考慮審計客體的行業(yè)規(guī)范、行業(yè)特征等多種因素，如當前世界上計算機病毒的最新控制方法等，并將其同日志上所表現(xiàn)出的病毒控制方法相比對，以求多角度認定重大錯報風險。

四、以日志為導向的信息系統(tǒng)安全審計的風險控制構想

COBIT是美國信息系統(tǒng)審計與控制協(xié)會(ISACA)在1996年頒布的，目前國際上公認的安全與信息技術管理和控制的規(guī)范體系。COBIT框架將IT資源劃分為人、應用系統(tǒng)、技術、設備、數據5類，按照生命周期將IT過程劃分為規(guī)劃和組織、獲取和實施、支付和支持、監(jiān)控四個域。本文認為，COBIT框架下的控制體系能夠為審計主體提供信息系統(tǒng)安全審計風險控制的參照標準與審計指南。這是因為COBIT的層級控制體系為審計主體闡述了哪些IT標準是重要的，每個信息技術處理過程具體涉及哪些IT資源，IT實施控制過程中需要重點關注哪些對象，系統(tǒng)在各個層面上是否達到了控制標準，等等。COBIT的318項具體控制目標能夠為審計主體明確審計風險的控制重點與控制思路。鑒于COBIT框架對以日志為視角的信息系統(tǒng)安全審計風險控制的貢獻，筆者就其風險控制問題提出如下建議:

(一)合理規(guī)劃日志的識別與挖掘，加強有關信息系統(tǒng)安全的全過程審計

目前，我國有關于信息系統(tǒng)審計的規(guī)范與標準尚缺，盡管有，但卻過于宏觀，尤其是缺少詳細的信息系統(tǒng)審計的流程與指導。又因為信息系統(tǒng)安全審計對審計人員的專業(yè)素質要求較高，加之審計人員知識與經驗的有限性，因而，近年來審計人員對信息系統(tǒng)的審計還是在經驗積累階段，在信息系統(tǒng)安全審計的過程中，還不能做到面面俱到。如果審計主體在某些審計環(huán)節(jié)上有所疏忽或遺漏，則審計風險必然會加大。完備的信息系統(tǒng)安全控制框架能夠為以日志為視角的信息系統(tǒng)安全審計提供詳細而全面的審計指南，且審計主體為控制審計風險，也必須加強有關信息系統(tǒng)安全的全過程審計。信息系統(tǒng)安全控制框架應借鑒COBIT的34個高層目標，318個明細控制目標。每個具體高層目標下都會有與自身相對應的日志，而且日志形式還不止一種。如“獲取與實施”域下的“程序開發(fā)與維護”過程，其所對應的日志有“應用程序日志”、“網絡設備日志”、“安全設備日志”、“DNS服務日志”等?？刂瓶蚣苤械?個IT標準、5個IT資源，某一“域”下的某個“IT過程”中的某種“日志”，都需要設置相應的一個或多個“匹配字段”，在審計網絡平臺中有選擇性的進行日志數據挖掘與評價?！坝羞x擇性”是指對于控制框架中的“P”與“C”，要求審計主體認真全面地執(zhí)行該項“IT標準”或該項“IT資源”下的日志評價，對于控制框架中的“空白”，審計主體可以不予考慮，對于控制框架表1中的“S”，當需要補充審計證據時，要求審計主體予以考慮。為全面實施審計，審計主體有必要在事前制定審計實施方案時融合控制框架的思想，并且在發(fā)揮審計網絡平臺各個模塊功能時也要將COBIT的318個控制目標有針對性地與該平臺相融合，并注意在日志識別中切勿疏忽，在日志挖掘中切勿疏漏，多方位的完成信息系統(tǒng)安全審計過程，多角度積累系統(tǒng)安全審計風險控制的經驗。

(二)有效實施日志的挖掘與評價，科學確認有關信息系統(tǒng)安全的重大錯報風險

現(xiàn)代審計風險(AR)為重大錯報風險(RMM)與檢查風險(DR)的乘積，而RMM又由內部固有風險、內部控制風險以及外部經營風險組成。因而，若想控制信息系統(tǒng)安全審計風險，審計主體必須能夠正確評價固有風險與控制風險，只有正確評價IR與CR，審計主體才能采取有效途徑控制檢查風險。本文認為，審計主體在評價IR與CR的過程中，需要借助于COBIT理論的支持。首先，在IR評價方面。COBIT框架下的管理指南由成熟度模型、關鍵成功因素、關鍵目標指標與關鍵績效指標四部分組成。其中，成熟度模型的設計目標是幫助判斷每個控制階段和期望的水平是否符合業(yè)界規(guī)范，借鑒成熟度模型，審計主體可以確定審計客體在安全性方面的開發(fā)與運行是否與行業(yè)等標準相符合;關鍵成功因素是用來描述IT程序中實現(xiàn)控制最重要的活動，借鑒關鍵成功因素，審計主體可以判斷信息技術處理過程中哪些為核心技術要素、復雜程度較高，進而在日志挖掘等處理上加以重視;關鍵目標指標是用來定義績效目標水平的，借鑒關鍵目標指標，審計主體可以通過關鍵目標指標的基本原理判斷某一技術處理結果與處理目標的差距;關鍵績效指標是用來測量IT控制的程序是否達到目標，借鑒關鍵績效指標，審計主體可以知曉業(yè)務處理過程執(zhí)行到怎樣的程度才能實現(xiàn)經營目標。COBIT下的管理指南為審計主體正確評價固有風險提供了正確的方向，通過審計客體的行業(yè)標準、核心技術要素、處理目標、業(yè)務處理程度等層面增強了審計主體固有風險評價的深度與廣度。其次，在CR評價方面。COBIT已經形成了一個完善的信息系統(tǒng)控制體系，也會為審計主體提供了一個完整的有關評價信息系統(tǒng)安全的內部控制的樣板。在判斷內部控制制度“軟件”的設計水平方面，有了318個控制子目標，審計主體也就有了相應的參照標準，有了參照標準，對“軟件”設計水平的判斷才會準確。在判斷內部控制制度執(zhí)行的有效性方面，通過日志數據在對某些IT過程的符合性測試過程中，控制框架中的“P”、“S”、“C”等符號的內涵與應用也為審計主體提供了評價內部控制的思路。信息系統(tǒng)安全審計的過程與其風險控制的過程是同步進行的，并都是在審計網絡平臺實現(xiàn)的，且在審計網絡平臺中，與其他模塊相比，日志挖掘與日志評價這兩個模塊對于能否正確評價重大錯報風險極為重要，前者是評價的基礎，后者是評價的保證。

(三)強化審計網絡平臺的功能，努力提高信息系統(tǒng)審計人員的業(yè)務素質

與財務審計相比，信息系統(tǒng)安全審計涉列了多門學科領域的知識，如信息科學學科、審計學學科、數學學科(數據挖掘)等，多學科知識的交叉應用對信息系統(tǒng)審計人員提出了更高的要求，審計人員專業(yè)素質越高，審計質量越高，進而審計風險越小。信息系統(tǒng)安全審計人員不僅應該是審計方面的專才，而且應該在瀏覽到“Sep 5 23:41:13 UNIX login［1275］:FAILED LOGIN 2 FROM(null)FOR tester”這一日志記錄時就能判斷其是否有嫌疑，或能夠正確選擇特征字段熟練挖掘到類似“嫌疑”日志的復合型通才。而且，圖1中審計網絡平臺的9個模塊顯示，基于日志的系統(tǒng)安全性審計是一項復雜工程，從日志識別模塊開始，到日志評價模塊結束，以及控制框架中IT資源下的人員所面對的34個管理過程，無一不要求審計人員的專業(yè)素質。審計人員的素質水平對審計風險水平的影響符合多米諾骨牌原理，即前一塊骨牌倒下，導致后面的也相繼倒下。假若審計人員業(yè)務素質相對較弱，下一步將會在審計過程中出現(xiàn)疏忽或過失，甚至會在無意中做出錯誤的審計判斷，以及發(fā)表錯誤的審計結論，直至最后受相關關系人指控而遭受損失。因而，信息系統(tǒng)審計人員有必要強化日志審計網絡平臺中各個模塊的功能，并以此為自身業(yè)務成長的平臺，主動拓展有關COBIT、數據挖掘等理論，多角度探索信息系統(tǒng)安全審計的方法，積極提高自身的業(yè)務素質，努力提高審計質量，科學控制信息系統(tǒng)安全審計的風險。

F239．1

A

1003－4145［2012］09－0147－04

2012－04－23

劉國城，男，南京審計學院講師，博士。

王會金，男，南京審計學院副院長、教授、博導。

本文為教育部人文社科研究規(guī)劃項目(批準號:10YJA790182)，江蘇省教育廳高校哲學社會科學研究基金(批準號:2012SJB630044)，南京審計學院校級一般項目(批準號:NSK2009/B22)的階段性成果。

(責任編輯:欒曉平E－mail:luanxiaoping@163．com)