关键词:物联网;信息安全;金奥博;网络密码
北京金奥博数码信息技术有限责任公司在计算机及网络技术方面不断创新和提高,特别是在互联网安全领域具有较为丰富的积累。金奥博是北京市密码产品定点生产和销售单位,他们研制的多项安全产品通过了国密办的安全鉴定。公司日前组建的网络密码认证实验室也被认证为北京市重点实验室,承担物联网安全方面的研究工作。
为了更加深入地了解和探讨物联网的安全问题,《物联网技术》杂志记者日前对北京金奥博数码信息技术有限责任公司信息安全部技术总监、网络密码认证技术北京重点实验室副主任、北京市科技新星李瑛女士就物联网的安全问题进行了专访。
我们都知道物联网目前存在安全问题,如果这些问题不能得到很好的解决,或者说没有很好的解决办法,将会在很大程度上制约物联网的进一步发展。我们在强调标准、技术、应用方案以及人才的同时,也不能忽视物联网安全的重要性。
根据物联网的特点,2009年欧盟物联网项目研究组制定的《未来物联网战略》中明确指出:物联网在安全和隐私方面的研究以节能高效的安全算法和低成本、安全、高效的安全认证设备为研究方向。国内对物联网安全技术的研究以安全框架和探索研究居多,具体安全技术的研究较少。我们的物联网密码认证系统是不是行业唯一的物联网安全系统,我不能肯定,但是我确实没有听到有类似的产品。在今年4月份北京召开的中国(北京)国际物联网博览会和8月份深圳召开的中国(深圳)国际物联网技术与应用博览会上,物联网安全系统方面的参展商只有北京金奥博数码信息技术有限责任公司一家。
本刊记者:请您简单介绍一下金奥博,贵公司是一个什么样的公司,公司在安全系统研究方面有什么积累或优势,最初又是怎样想到要做“物联网安全系统”的?
李瑛女士:北京金奥博数码信息技术有限责任公司是北京市科学技术情报研究所下属的、具有独立法人资格的股份制高新技术企业。金奥博是遵照科技部的有关科研机构改制要求,以北京市科技情报研究所的计算机部为基础,为更好地适应社会发展,转变经营管理模式而成立的具有独立法人资格的股份制高新技术企业。金奥博继承了以往服务政府和社会的优良传统,坚持为政府及广大企事业单位提供信息技术的研究与开发服务。近年来,金奥博在计算机及网络技术方面不断创新和提高,特别是在互联网安全领域有较为丰富的积累。公司目前是北京市密码产品定点生产和销售单位,所研制的多项安全产品都通过了国密办的安全鉴定。最近,北京金奥博数码信息技术有限责任公司组建的网络密码认证实验室也被认证为北京市重点实验室,承担物联网安全方面的研究工作。
罗洪元,《建筑及居住区数字化技术应用》国家标准推广应用组专家。现任国家电子计算机质量监督检验中心、国家电子标签产品质量监督检验中心、信息产业部IC卡质量监督检验中心主任。多年来罗教授从事计算机软件开发、小型计算机技术服务、信息技术产品等质量检验与质量管理工作。
记者:您作为国家电子计算机质量监督检验中心主任,多年来一直致力于系统研究方面的工作。请您谈谈目前国内计算机技术在智能建筑工程中的应用情况?
罗教授:随着微电子技术、网络技术和通信技术的快速发展,计算机技术在智能建筑工程中的应用越来越普遍和深入,智能建筑中的“智能”应该都是计算机的“功劳”,如智能建筑中可能涉及到的“程控交换接入系统”、“电视网络系统”、“广播系统”、“物业管理系统”、“家用电子系统”、“IC卡应用”、“信息安全”、“安全防范系统”、“设备监控系统”和“火灾自动报警及消防联动控制系统”等都离不开计算机技术。目前国内计算机技术在智能建筑工程中得到了广泛应用,有很多成功应用的案例,计算机技术将在智能建筑工程中的“智能”、“节能”发挥越来越大的作用。
记者:您参与了《建筑及居住区数字化技术应用》国家标准制定的工作,请您为大家介绍一下数字化国标的制定在规范居住区信息化建设方面发挥了怎样的作用
罗教授:GB/T20299.1~4-2006《建筑及居住区数字化技术应用规范》系列标准是在总结多年应用经验、参考国内外类似标准并考虑技术发展的基础上制定的。该系列标准的颁布实施为建筑及居住区数字化技术应用项目的总体规划提供了统一的技术要求,为建筑及居住区数字化技术应用项目的市场准入提供了技术门槛,为建筑及居住区数字化技术应用项目的过程质量控制提供了统一的依据,对规范建筑及居住区数字化技术应用发挥了非常重要的作用。
记者:在《建筑及居住区数字化技术应用》国家标准中,您参与了“检测验收”部分的编写制定工作,其中信息系统是智能社区的重要基础系统,请您为我们介绍一下信息安全检测验收方面的情况?
记者:目前国内的家居智能化领域,国内外产品在技术指标上各不相同,不少高端消费者更青睐于国外产品。您曾负责处理过东芝笔记本电脑的质量纠纷,对于如何正确选择国外产品有哪些方面是应该值得注意的?
罗教授:在产品技术选型时,我个人认为应兼顾考虑如下几个问题:不片面追求技术先进,够用就行,避免造成不必要的浪费;考虑知识产权,特别是要防止部分国外企业先让你上钩,事后再要你不断给他付钱的专利陷阱。
在技术条件满足的情况下,尽量考虑采用国内成熟企业技术与产品;要考虑国内产业的技术支持、批量供货等综合能力;考虑技术选型符合国际通用标准、国家标准和行业标准要求;在技术条件满足当前应用需求情况下,适当考虑应用的可扩展性;考虑信息安全措施的必要性及国家有关部门的管理要求(如密钥等);终端产品、后台处理软件、数据库系统、服务器、资金清算中心和网络架构的配置要求等。
记者:据了解,您同时还负责信息产业部IC卡质量监督检验中心和国家金卡工程IC卡及机具产品检验中心的工作。请您简单介绍一下我国IC卡应用过程中存在的问题,以及在数字化国标的制定过程中对于IC卡应用做了哪些针对性的工作?
罗教授:我个人认为:我国IC卡应用过程中主要存在如下一些共性问题:部门利益协调不到位,造成系统重复建设资金浪费(管理问题);同行业应用情况信息收集不够,特别是系统建设失败的信息;系统需求分析不充分,对未来的应用需求估计不足,建成后的系统可扩展性很差;技术选型两个极端,一是盲目追求技术先进性造成浪费,二是采用过时技术造成系统整体性能下降;在制定应用方案时,一些关键技术问题未适当开展模拟验证试验导致系统建设周期过长;不重视标准化工作,系统中所采用的产品的互换性、兼容性、一致性和环境适应性太差,增加了系统的维护成本;系统的建设过程未开展质量、成本和进度控制,造成系统建设工期超标、投资超预算等。
从2000年开始,我们中心受建设部IC卡应用服务中的委托,承担了建设事业IC卡及终端产品的检测,参与”GB/T20299-2006“系列国家标准的编写工作,具体负责”GB/T20299.2-2006标准”第17章“IC卡应用检测”编写的执笔,同时还参与了建设部行业标准”CJ/T243-2007”《建设事业集成电路(IC)卡产品检测》的编写工作,在IC卡及终端产品检验方面积累了丰富的经验,为IC卡产业的健康发展和技术应用的顺利推进做出了贡献。”GB/T20299.2-2006”、”CJ/T243-2007”标准有关IC卡应用检测方面的内容针对性、可操作性强,对智能建筑工程中的IC卡应用系统设计、技术选型、采购、产品检测和系统验收具有指导作用。
记者:最后请您展望一下,计算机技术在建筑智能化领域下一步的发展趋势。
【关键词】网络安全;入侵检测
0.引言
随着计算机技术、通信技术和信息技术的飞速发展,各种各样的网络应用已经越来越广泛地渗透到人类地生活、工作的各个领域。特别是通过Internet,人们可以极为方便地产生、发送、获取和利用信息。Internet在给人们带来巨大便利的同时,也产生了许多意想不到的问题,网络安全就是其中一个突出的问题。造成Internet不安全的原因,一方面是Internet本身设计的不安全以及操作系统、应用软件等存在着安全漏洞;另一方面是由于网络安全的发展落后于网络攻击的发展。目前网络中应用最广、功能最强大的安全工具莫过于防火墙,但是防火墙的安全功能是有限的,它很难防止伪造IP攻击。因此,发展一种新的网络安全防御手段来加强网络安全性便成了亟待解决的问题。入侵检测是帮助系统对付网络内部攻击和外部攻击的一种解决方案。入侵检测技术是当今一种非常重要的动态安全技术,它与静态防火墙技术等共同使用,可以大大提高系统的安全防护水平。
1.入侵检测的概念及功能
入侵就是指任何试图危及信息资源的机密性、完整性和可用性的行为。而入侵检测就是对入侵行为的发觉,它通过从计算机网络或系统中的若干关键点收集信息,并对这些信息进行分析,从而发现网络系统中是否有违反安全策略的行为和遭到攻击的迹象。通常入侵检测系统(IntrusionDetectionSystem,IDS)是由软件和硬件组成的。入侵检测是防火墙的合理补充,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。另外,它也扩展了系统管理员的安全管理能力,有助于提高信息安全基础结构的完整性,是对原有安全系统的一个重要补充。入侵检测系统收集计算机系统和网络的
信息,并对这些信息加以分析,对被保护的系统进行安全审计、监控、攻击识别并做出实时的反应。
3.入侵检测系统的基本模型
在入侵检测系统的发展过程中,大致经历了集中式、层次式和集成式三个阶段,代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型(Denning模型)、层次化入侵检测模型(IDM)和管理式入侵检测模型(SNMP-IDSM)。
3.1通用入侵检测模型
Denning于1987年最早提出一个通用的入侵检测模型(如图2.1所示)。
该模型由6个部分组成:(1)主体(Subject);(2)对象(Object);(3)审计记录(AuditRecords);(4)活动简档(ActivityProfile);(5)异常记录(AnomalyRecord);(6)活动规则。
3.2IDM模型
StevenSnapp在设计和开发分布式入侵检测系统DIDS时,提出一个层次化的入侵检测模型,简称IDM。该模型将入侵检测分为六个层次,分别为:数据(data)、事件(event)、主体(subject)、上下文(context)、威胁(threat)、安全状态(securitystate)。
IDM模型给出了在推断网络中的计算机受攻击时数据的抽象过程。也就是说,它给出了将分散的原始数据转换为高层次有关入侵和被监测环境的全部安全假设过程。通过把收集到的分散数据进行加工抽象和数据关联操作,IDM构造了一台虚拟的机器环境,这台机器由所有相连的主机和网络组成。将分布式系统看成一台虚拟计算机的观点简化了跨越单机入侵行为的识别。IDM也应用于只有单台计算机的小型网络。
3.3SNMP-IDSM模型
随着网络技术的飞速发展,网络攻击手段也越来越复杂,攻击者大都是通过合作的方式来攻击某个目标系统,而单独的IDS难以发现这种类型的入侵行为。然而,如果IDS系统也能够像攻击者那样合作,就有可能检测到入侵者。这样就要有一种公共的语言和统一的数据表达格式,能够让IDS系统之间顺利交换信息,从而实现分布式协同检测。北卡罗莱那州立大学的FelixWu等人从网络管理的角度考虑IDS模型,突出了基于SNMP的IDS模型,简称SNMP-IDSM.。
SNMP-IDSM以SNMP为公共语言来实现IDS系统之间的消息交换和协同检测,它定义了IDS-MIB,使得原始事件和抽象事件之间关系明确,并且易于扩展。SNMP-IDSM定义了用来描述入侵事件的管理信息库MIB,并将入侵事件分析为原始事件(RawEvent)和抽象事件(AbstractEvent)两层结构。原始事件指的是引起安全状态迁移的事件或者是表示单个变量迁移的事件,而抽象事件是指分析原始事件所产生的事件。原始事件和抽象事件的信息都用四元组来描述。
4.入侵检测的分类和分析方法
4.1入侵检测的分类
通过对现有的入侵检测系统和技术研究,可对入侵检测系统进行如下分类:
根据目标系统的类型可以将入侵检测系统分为两类:
(1)基于主机(Host-Based)的IDS。通常,基于主机的入侵检测系统可以监测系统事件和操作系统下的安全记录以及系统记录。当有文件发生变化时,入侵检测系统就将新的记录条目与攻击标记相比较,看它们是否匹配。
(2)基于网络(Network-Based)的IDS。该系统使用原始网络数据包作为数据源,利用一个运行在混杂模式下的网络适配器来实时监测并分析通过网络的所有通信业务。
根据入侵检测方法可以将入侵检测系统分为两类:
(1)异常IDS。该类系统利用被监控系统正常行为的信息作为检测系统中入侵、异常活动的依据。
(2)误用IDS。误用入侵检测系统根据已知入侵攻击的信息(知识、模式)来检测系统的入侵和攻击。
根据检测系统对入侵攻击的响应方式,可以将入侵检测系统分为两类:
(2)被动的入侵检测系统。它在检测出对系统的入侵攻击后只是产生报警信息通知系统安全管理员,至于之后的处理工作则有系统管理员完成。
根据系统各个模块运行的分步方式,可以将入侵检测系统分为两类:
(1)集中式入侵检测系统。系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行,这种方式适用于网络环境比较简单的情况。
(2)分布式入侵检测系统。系统的各个模块分布在网络中不同的计算机、设备上,一般而言,分布性主要体现在数据收集模块上,如果网络环境比较复杂、数据量比较大,那么数据分析模块也会分布,一般是按照层次性的原则进行组织。
当前众多的入侵检测系统和技术,基本上是根据检测方法、目标系统、信息数据源来设计的。
4.2入侵检测的分析方法
从入侵检测的角度来说,分析是指对用户和系统活动数据进行有效的组织、整理及特征提取,以鉴别出感兴趣的攻击。这种行为的鉴别可以实时进行,也可以事后分析,在很多情况下,事后的进一步分析是为了寻找行为的责任人。入侵检测的方法主要由误用检测和异常检测组成。
误用检测对于系统事件提出的问题是:这个活动是恶意的吗?误用检测涉及到对入侵指示器已知的具体行为的解码信息,然后为这些指示器过滤事件数据。要想执行误用检测,需要有一个对误用行为构成的良好理解,有一个可靠的用户活动记录,有一个可靠的分析活动事件的方法。
异常检测需要建立正常用户行为特征轮廓,然后将实际用户行为和这些特征轮廓相比较,并标示正常的偏离。异常检测的基础是异常行为模式系统误用。轮廓定义成度量集合。度量衡量用户特定方面的行为。每一个度量与一个阈值相联系。异常检测依靠一个假定:用户表现为可预测的、一致的系统使用模式。
有些入侵检测方法既不是误用检测也不属异常检测的范围。这些方案可应用于上述两类检测。它们可以驱动或精简这两种检测形式的先行活动,或以不同于传统的影响检测策略方式。这类方案包括免疫系统方法、遗传算法、基于检测以及数据挖掘技术。
5.入侵检测系统的局限性与发展趋势
5.1入侵检测系统的局限性
现有的IDS系统多采用单一体系结构,所有的工作包括数据的采集、分析都由单一主机上的单一程序来完成。而一些分布式的IDS只是在数据采集上实现了分布式,数据的分析、入侵的发现还是由单一个程序完成。这样的结构造成了如下的缺点:
(1)可扩展性较差。单一主机检测限制了监测的主机数和网络规模,入侵检测的实时性要求高,数据过多将会导致其过载,从而出现丢失网络数据包的问题。
(2)单点失效。当IDS系统自身受到攻击或某些原因不能正常工作时,保护功能会丧失。
(3)系统缺乏灵活性和可配置性。如果系统需要加入新的模块和功能时,必须修改和重新安装整个系统。
5.2入侵检测的发展趋势
入侵检测的发展趋势主要主要表现在:(1)大规模网络的问题;(2)网络结构的变化;(3)网络复杂化的思考;(4)高速网络的挑战;(5)无线网络的进步;(6)分布式计算;(7)入侵复杂化;(8)多种分析方法并存的局面。
对于入网络侵检测系统,分析方法是系统的核心。多种分析方法综合运用才是可行之道,将各种分析方法有机结合起来,构建出高性能的入侵检测系统是一个值得研究的问题,我们需要不断的研究去完善它。
参考文献:
[1]张宏.网络安全基础(第一版)[M].北京:机械工业出版社,2004.
[2]石志国,薛为民,江俐.计算机网络安全教程[M].北京:清华大学出版社,2004年.
[3]唐正军.网路入侵检测系统的设计与实现(第一版)[M]北京:电子工业出版社,2002.
[4]郭魏,吴承荣.[J]入侵检测方法概述.《计算机工程》,1999年第11期.
[5]泰和信科.内网安全管理[M].重庆:泰和信科,2003年.
[6]薛静锋,宁宇朋等.入侵检测技术(第一版)[M].北京:机械工业出版社,2004.
[7]叶中行.信息论基础(第一版)[M].北京:高等教育出版社,2003.
[8]杜虹.谈谈“内网”安全.[J].《信息安全与通信保密》,2005年第2期.
关键词:产学结合;校园;电子商务
1产学结合构建校园电子商务的现实意义
(1)校园电子商务提供学院教学系创办实习工厂/公司的虚拟场地。
在校园开展电子商务,可以为学生提供电子商务的实践环境,为电子商务理论教学提供了实习基地。利用校园电子商务,构建校园电子商务实习基地,营造出良好的电子商务环境,使学生能进行的真实商务活动,从而锻炼学习者运用自身的综合知识结构解决实际问题。
(2)校园电子商务为专业特长学生提供发展空间。
(3)校园电子商务为部分学生提供勤工俭学机会。
我院结合学院特点,提出校园电子商务新模式。即“创业平台+校园勤工助学配送中心”模式。可以充分利用校园内的这种优势,联合各专业人才搭建技术平台,通过这种虚拟网络平台将买卖双方的供求信息聚集在一起,最终满足在校师生的购物需求。校园内还应建有自己的配送中心,考虑到各高校仍然有许多贫困生,该配送中心的成员均由贫困生组成,以给他们勤工助学的机会。这种模式将由在校学生的自主创业建立的虚拟网络平台与一支勤工俭学的配送队伍有机的结合在一起。
(4)校园电子商务扶持学生无资金创业理念的实现。
培养学生创业的精神和能力,就是把未来的求职者,变为职业岗位的创造者。校园电子商务为推动创业大造舆论,以激发学生的创业动机,培养他们的创业能力,并且为学生创业提供了技术平台。许多学生想创业,但苦于没有资金,校园电子商务为大学生开辟创业新门路。
(5)校园电子商务扶持当地中小企业实现现代商务经营。
(6)校园电子商务动作提高高职院校教师专业和技能水平。
由于电子商务是一门新的课程,一个新的领域,知识结构复杂,技术性强,属于商务、计算机、管理交叉学科,要办好电子商务专业对师资提出了更高的要求,这要求教师不只是谈谈商务理论,而应兼顾实践,多参与电子商务实践活动,校园电子商务提供了完整的实践活动环节,教师要指导学生进行电子商务活动,提供更强的技术支持,参与管理开展校园电子商务,教师的专业和业务水平得到提高,同时也提高了师资队伍水平、优化师资的知识结构、提高教学质量。
(7)校园电子商务为电子商务专业的教学提供真实案例。
(8)校园电子商务提供二手市场流通学生闲置物品。
(9)校园电子商务一定程度解决电子商务中信用、安全支付与物流配送等难题。
2实现校园电子商务的技术保障
实现校园电子商务需要一定的技术保障,为配合科研组的研究工作,信息类高职专业教学系部可成立“经贸信息技术服务有限公司”,开设专业教学实践基地,经营和管理包括网络商城在内的校内实习基地各项教学和经营活动,让学生真正做到产中学,学中产,教师在产学中研究专业应用。技术服务公司除了商城管理中心人员之外,还可招聘学生在商城中以开设店铺形式开展电脑维修、数码创意、软件开发、商务服务(图文编排装订)、职业资格等培训业务。
(1)电子商务专业较新较活理念指导和运营商城店铺。
(2)软件技术和网络技术专业是经营商城网站坚强的技术后盾。
商城网站的经营,需要后台管理人员对程序、数据库进行管理,信息安全问题的解决,软件技术专业学生可以提供较硬的软件应用水平,网络专业学生可以在信息安全和网络线路上提供技术支持。软件技术人员维护商城后台程序和数据,管理和推广域名,给网站嵌入后台管理代码,培训商户创建店铺网站。根据业务需要,为商城、学院行政管理部门和企业开发专门的管理小型信息管理软件。网络技术人员负责商城网站的畅通,信息安全的保障,电子支付的实施,网络布线,保障网络线路的顺畅等技术服务。
(4)信息管理专业是商城管理的主力军。
一个成功的商城经营,离不开好的管理,不论是商城经营模式还是人力资源,信息管理专业学生可以成为商城管理的主力军。信息管理专业可以利用所学知识,对商城进行规划管理,设计符合本校特点的经营管理模式。可根据不同的岗位,制定各部门各级管理岗位职责,招收各类学生管理员,进行员工培训,协调好各部门间的关系。校园电子商务系统与校园卡数据整合后,把所有校内师生都直接以“立足校园,服务师生”为宗旨,采取在线订购.送货上门的交易方式。根据学校的特殊群体以校园网为依托.参照目前流行的电子购物模式,建立一个适合校园需求特点的专业校园电子商务平台。
3结语
参考文献
[1]杜江萍.校园电子商务模式探析[N].江西财经大学学报,2005,(3).
[2]勒中坚,吴琴芬,陈瑞华.基于高校校园电子商务环境的大学生创业风险分析[J].商场现代化,2008,(2).
地点:赛迪大厦18层会议室
形式:中计在线嘉宾现场对话
对话嘉宾:
王卫乡
中国中信集团公司管理信息部副主任
周梓滔
德勤华永会计师事务所有限公司企业风险管理服务高级经理
钱晨
科索路咨询公司副理
田海波
北京锐思盈泰科技有限公司董事副总经理
无内控等于慢性自杀
主持人:企业内部控制的目的是什么?有什么需求?
钱晨:企业内部控制的目的是在保证实现公司战略目标前提下,对存在的风险进行控制。无论董事会还是全体员工都要对企业披露的信息的可靠性负责,但最终责任会落在董事会上。
IT内审的引入是因为在给上市公司内控评估时,IT是其中的一个重要的组成部分和方法。
主持人:请德勤公司的周经理谈谈中国企业的内控跟国外企业的有什么差异?
周梓滔:主要是在理解法案、标准时可能会不一样,因为中国的国情和中国企业的管理方法跟国外企业不尽相同。比如说,国外企业可能会成立专门的审计委员会,但国内企业可能会把审计委员会放在某一个组织里面,如在财务部,这就造成了独立性的不同。
主持人:作为用户的代表,请王主任讲讲中信集团在内控方面是怎么考虑的?
实际上,从我们公司上一任董事长王军开始就一直特别强调内控。他曾指出:“没有发展的内控等于慢性自杀,没有内控的发展,发展越快损失越大”。中信集团自1979年成立到现在快30年了,一直都保持快速发展。在高速发展的20世纪90年代中期,我们深感管理手段和发展的速度不匹配,导致有些项目最后失去控制,并造成很大的损失。
现在我们已经采取了一些技术手段,并引进了一些软件来加强审计,如加拿大的ACL审计软件。我们的内部审计目前主要强调的内容包括:离任审计――像下属的子公司领导任期换届,中长期项目在项目实施过程中是否存在重大失误的专项审计,其他的,如下属的公司层面,因资产的分布不是很均衡,金融业务领域是由金融控股公司的风险管理部来主抓。
主持人:各位嘉宾能否总结一下信息技术对企业内部控制的价值是什么?
钱晨:IT是企业内控的一个重要内容和手段。现在多数企业都会用到IT系统,很多流程都嵌入到IT系统中,企业内部控制也应该对IT系统进行控制。同时,我们在进行内部控制的时候,也应该通过IT手段来辅助实现。
周梓滔:我们看到一个很重大的改变:以前内部控制都是通过手工来实现的,非常复杂;现在借助IT系统来实现内控,效率大大提高了。另外,对IT系统进行控制,可以优化系统,提高系统性能。
王卫乡:任何事情都有两面性,IT技术可以帮助我们进行内部审计、获取更加及时、有效的信息,但是如果不加强对IT本身的审计,可能会被人利用,拿这个工具去做不正当的事情。所以要从观念上重视IT内审。
田海波:从客户的反应上也可以看到IT内审的价值。我们之前是做电信行业的BOSS系统的,在跟客户接触过程中发现客户对IT内审的需求很大。因为客户觉得内控工作非常烦琐,希望能够借助有效的工具来帮助他们轻松实现。
主持人:那么,企业应该怎样进行IT内审呢?
周梓滔:如钱经理所言,IT审计有两个方面,一个是对IT进行审计,另外一个是利用IT技术来进行审计。首先要看IT有什么东西要做审计:现在很多ERP系统中已经就内部控制做了设置;另外可以利用DQI方法(利用数据库、程序去运行大量数据可以帮助企业分析发现业务上的问题,以供企业进行调整)。这是一个非常有效的审计方法。
对IT进行审计是指对整个IT环境各方面的审核工作,如信息安全、软件开发、系统维护等。
钱晨:也有说法认为IT控制有两个方面:一个是应用控制,即IT必须对业务流程进行某些控制;另一个是通常性控制,对于支撑公司运作的IT基础技术架构平台进行有效管理控制。
王卫乡:没有这么简单。这可能要牵扯到两个部门:一个是IT部门,一个是审计部门,实际上这是跨两个领域的事情。
周梓滔:我们给企业做IT内审的时候,要先了解被审企业的情况,了解他们的业务范围是什么,管理层对IT管控持什么样的看法,然后再按我们的方法论对风险较高的地方进行审计。
业务不同,IT审计的策略也就不同。比如一个企业拥有大型的数据中心,并依赖该数据中心为客户提供服务,那么该数据中心的物理环境安全就是非常重要的环节。但如果是一个销售企业,他们的IT系统会相对简单,数据中心的物理安全也会影响他们的财务数据,但要求就不那么高了。
IT内审谁在喝彩
周梓滔:我看到的情况有点不同。刚才王总说得很对,现在做IT审计的人并不多。企业如果成立专门的IT内审部门成本太高,所以往往会外包给一些第三方公司来做。
国内的一些大型企业在这方面也有很大的改善。但我们发现需求增加的速度比IT内审提高的速度要快很多。其中很重要的原因就是专业IT审计人才的缺乏。比如说有个全国性的银行,他们的IT审计部门只是一个小组,很难进行大的推动。
王卫乡:银行、电信企业强调IT审计取决于他们的业务特点。银行的服务器坏了可能会影响一大片。
此外,企业本身环境的要求或者政府的管制要求也很重要。美国政府已经以法案的形式来进行约束。其实国内前几年也发生过不少因为内控失效造成重大损失的案例,那在目前牛市的情况下,如果还不加强控制的话,影响就会更大。
没人喝彩好像是没有动静,但不能说就没有行动。我相信政府一直在推动,我们企业也在考虑怎么加强这方面的工作。当然,如果将政府和企业两者结合起来,推动的效果会更好。
田海波:我们涉及这块业务是因为我们有一个电信客户希望能从数据模型角度来评估系统设计是否满足其业务需求,要对软件实施过程中阶段性成果进行验证。这是IT内审的一部分。
主持人:在国内上市的公司也同样那么重视IT内审吗?
王卫乡:我觉得企业进行内控往往从自发和自觉两个角度出发。从自觉的角度来做内控的企业,很明白内控对企业发展的好处。如果企业要发展,是不可能不去做这方面工作的,应该是一个自发的行为。有些上市公司大张旗鼓地宣扬自己的内控做得怎么好,这实际上是他们自己应该做的。
主持人:IT内审的推广还有哪些比较现实的问题呢?
王卫乡:我觉得最难的还是观念问题。如果在观念上没有重视这个事情,其他的技术再高超、完善,但如果不去用,那就一点用都没有。
还有一个问题就是现在很多企业的信息化建设还不尽如人意,在这种情况下强调太多的IT审计还没有必要。
主持人:IT内审是一个中长期的工作,上市公司该怎么看IT内审的运作成本和收益?
王卫乡:我个人认为这个投入非常值得,既能够维持公司良好的运转,又能够比较好地监控公司运转的状况。IT审计是一个提供保障的机制,不会直接创造效益,但是它至少不会让已经创造的效益流失。
王卫乡:为此,我们公司建立了金融的灾备中心,是和运营中心分开的。这应该是IT审计或者企业内控的一个重要组成部分,而且尤其对大型企业来说特别重要。
周梓滔:当企业很大程度上依赖IT的时候,IT内控不但能够帮助企业理顺业务流程、培养人才和提高技术能力,能够降低风险、提升能力,还能推动业务模式的转变。我们有个客户,他们的IT部门原来是个成本中心,后来通过IT内审优化业务模式,使他们公司的服务达到了世界一流水平,很多国外公司都来找他们咨询。后来这个公司的IT部门因此慢慢成长为一个咨询公司。
中国路线怎么走
主持人:各位认为适合中国国情的IT内审规范应该是什么样的?
王卫乡:这个问题很难回答。但是全球化以后,很多中国企业都在海外上市,要求我们去适应海外交易所的法规,同时也会带来一些好的做法,我们可以借鉴一下。
主持人:那中国的IT内审规范应该怎么来做?
周梓滔:IT内审并不是因为萨班斯法案才有的,这在上个世纪80年代就开始有了。当时行内人已经为通过打孔机从电脑上提取数据的计算机进行IT审计。现在随着IT技术的发展,IT审计的内容、方法、技术等各方面都已经发生了变化。
钱晨:我们可以先西学中用,把国外做得好的拿过来借鉴,再对用得不好的加以改进。
主持人:很多企业不知道自己的IT内审该如何开始,请各位给他们提点建议。
周梓滔:首先可以找我们这样的专业机构来做。如果企业一定要内部自己做,自己培养人才,可以让IT部门负责信息安全的同事去学习一些审计知识――信息安全是IT审计的一部分。但这样有很多东西需要学习和推动,可能历时比较长。
主持人:内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿)。不知道各位对这个征求意见稿有什么期望?
周梓滔:征求意见稿不仅参考了萨班斯法案,还参考了很多其他地方的法规,对信息安全、系统运作、应用系统开发等各个方面都有所提及。但是有一点值得我们注意,很多法规都已经推行好几年了,我们应该充分吸取这些法规推行后的经验和教训,并加以消化吸收。比如说,要充分考虑企业内控的成本。
钱晨:我国对上市公司的内控监管还不够,远远达不到萨班斯法案那样的力度。
详情请见中计在线“阡陌三人行”访谈实录(.cn/Special/InternalAuditing/)
链接:有关IT内审的外包
周梓滔:企业如果成立专门IT内审部门成本太高,可以外包给专业的第三方公司来做。
王卫乡:我赞成这个观点,IT内审业务的外包是比较可取的,因为这对技术要求很高,而且需要经验。
钱晨:IT审计外包更能够体现审计结果的独立性。如果IT部门本身既做系统管理又做系统的审计,这本身就是一个矛盾的问题,看问题就不会很客观,也会造成利益的冲突。
中国中信集团公司管理信息部副主任王卫乡
IT审计包括对IT系统的审计、通过IT辅助审计工作和审计管理的信息化。
德勤华永会计师事务所有限公司企业风险管理服务高级经理周梓滔
内部控制的目标是在保证实现公司战略目标的前提下,对存在的风险进行控制。