信息系统审计工具箱的设计与实现
王连强
北京时代新威信息技术有限公司
摘要:本文提出了一种便于在信息系统审计活动中使用的审计工具箱的设计思路与实现方法。首先介绍了当前信息系统审计领域信息系统审计工具存在的一些问题,介绍了信息系统审计工具箱针对这些问题的解决方案。详细描述了信息系统审计工具箱的软硬件设计思路及关键技术和实现方法。
关键词:信息系统审计;便携机;工具箱;信息系统审计工具管理平台;
一、 概述
随着我国信息技术的快速发展,计算机信息系统和网络安全已经影响到国民经济和社会生活的各个领域和部门,信息系统审计已经成为国家信息化工作中的一项制度性和常态性工作。重要信息系统的运营使用单位对关系国家安全、公共利益和社会稳定等的信息系统负有重要管理责任,迫切需要提高对重要信息系统的安全运维能力包括开展信息系统审计等相关工作。而如何高效、高质量的完成信息系统审计工作越来越受到广泛关注。
二、 信息系统审计工具箱需求
目前,在信息系统审计、信息安全测评、信息系统审计现场实施、信息安全认证现场审核等领域,需要一体化专用便携式高性能信息处理平台,而目前笔记本电脑虽然便携,但在性能、安全性和专用性上存在不足;而常规便携机一般重量非常重、体积过于庞大,一般为金属外壳,对于以上领域的使用极其不便。常规便携机的配置一般较低,性能和配置很难满足以上领域对于高性能计算的需求。
在我们实际工作中,信息系统审计的任务越来越多,很多情况下是使用信息系统审计师工作用的笔记本电脑来完成测评工作,而这既存在数据安全问题,同时也不能很好的满足审计需要,特别是一些审计工具对性能要求较高。因此需要一个专门用于信息系统审计的一体化工具箱,具有便携、高性能的特性并集成信息系统审计各种常用工具和统一管理平台。设计并制造具有上述特性的“信息系
统审计工具箱”对信息系统审计工作将是一个极大的促进和规范。
本文设计的信息系统审计工具箱较传统的信息系统审计工具有一个明显优势,那就是平台化整合。传统的信息系统审计工具过于强调功能实现方面,由于信息系统审计工具覆盖领域非常广泛,一类或几类审计工具只能满足信息系统审计中有限的几项检查点,传统的信息系统审计工具从采购、使用、升级、维护等整个产品生命流程属于分散的、各自为营的方式,并且得到的工作成果也是零散和互不相通的,安全策略难以保持一致。
因此,急需在现有信息系统审计技术和检查工具基础上,研究具有信息系统审计工作特色的,兼具灵活的使用方式与一定智能化水平的信息系统审计工具箱技术,使其成为重要信息系统运营使用单位开展信息系统内部审计和第三方机构开展信息系统审计的重要技术手段。
为此,本文设计的一种信息系统审计工具箱,需要比笔记本电脑具有更高性能、比常规便携机更便携、更安全、更高性能。信息系统审计工具箱需要解决同时具备便携性和高性能的困难,具备高性能就意味着更大的功率、更重的重量,具备便携性就必须牺牲性能。本设计找到了解决性能和便携性的平衡点,并且在制造成本上更加降低。为降低制造成本,在外壳上使用现有型号的安全箱,但同时这加大了设计难度,必须解决屏幕的固定、接口的布局、屏幕与主机的可靠连接、屏幕电源的传递、屏幕与主机相连的美观性等。因为选用现有型号安全箱,为避免对箱体造成破坏,在考虑外部接口以及散热等方面具有极大困难。同时,考虑到便携性,整个箱体比较小,散热与附件存放也具有很大难度。
本设计最终很好的解决了以上存在的难题,并在实际使用中完全达到了最初的设计需求。
三、 工具箱总体架构
信息系统审计工具箱的技术设计分为两大部分,即硬件设计和软件设计,整体架构如下图所示:
通过工具管理平台可以将对信息系统审计现场工作进行集中统一管理,包括对各种信息系统审计工具的调用和管理,将结果进行统一处理、生成固定格式(可根据模板变化)的报告和与其它审计管理平台进行数据交互。便于整个信息系统审计现场工作的规范和质量控制。
四、 管理平台模块设计
工具管理平台设计分为前台设计和后台设计。前台设计主要指工具管理平台界面设计,后台设计指各种业务逻辑设计。前台供用户进行操作,向用户展示各种功能界面、提示信息和数据输入界面,以及查看操作日志等;后台通过前台的输入及相应的业务逻辑关系,自动调用相关安全检查工具,执行工具检查,最后生成检测报告。工具管理平台结构如下图所示:
各模块及功能说明如下表:
五、 系统逻辑流程设计
信息系统审计工具箱用户首先登录工具管理平台,身份认证成功后,可以新建本次信息系统审计项目,项目建立完成后,工具管理平台通过读取项目信息,获取工具配置信息,加载用户引导界面,逐步引导用户完成整个信息系统审计工作流程。具体包括协助用户选择测评类型(银监会信息系统审计、或用户定制信息系统审计),协助用户选择测评内容,如主机配置检查、系统漏洞检查等,之后工具管理平台根据用户的输入信息,自动调用后台相关安全检查工具,启动工具检查进程,逐项执行检查内容,检查结束后自动生成检测报告。
六、 硬件设计方案 (1)箱体:
本设计方案安全箱采用市场现有产品,该箱体符合相关标准,确保安全、防水、防潮。箱体为美国产中小型工具箱。工具箱本身只具有空箱体和锁扣和钥匙。 (2)主板、CPU 与存储:
主板采用台式机主板,具有丰富的接口和高扩展性,配合32纳米技术的英特尔第二代酷睿CPU ,极大地提高性能,并可根据技术发展使用更新更高性能的主板。
CPU 采用低功耗版本,以确保安全散热,同时亦不会造成过多性能损失。内存采用8G 内存,2*4G DDR3 1333,双通道技术。硬盘采用128G SSD 硬盘,提高移动计算的稳定性与速度。 (3)输入输出系统:
液晶屏采用17.1寸超高分辨率(1920*1200)LED 屏。采用DVI-D 信号输入。键盘鼠标采用笔记本标准尺寸键盘,使用触摸板或指点杆式鼠标输入。USB 、网络、VGA 等输入或输出接口采用专门研制的接口板来实现。 (4)散热系统:
散热采用双涡轮风扇,可以根据机箱内温度自动调节转速。当机箱内温度上升达到一定范围时将以最大转速运行。当机箱内温度在比较低的温度时,将以最低转速运行,以达到噪音和散热的平衡。
并专门设计了CPU 散热风道,CPU 产生的热量将通过CPU 风扇将热量通过专门设计的CPU 风道直接排出机箱,避免大量热量聚集在箱体内,有效的解决了散热问题。
(5)固定结构体:
在箱体下方右侧隔离出空仓放置电源适配器、活动光盘刻录机、USB 、网线等所需各种附件,并有舱门可以关闭。
整个机箱分上下两部分,上部分通过结构固定屏幕和屏幕面板,下部分通过框架固定主板、硬盘、电源板、接口板等,下部分面板通过结构固定键盘,并留出接口板所需的开口及风扇出风口。 (6)电源系统:
电源系统包括AC-DC 适配器、DC-DC 电源模块、锂电池组及主备电切换模块、充电模块等。
锂电池组放置在上箱体屏幕背板后面固定。利用上箱体空余空间,又避免下箱体过热对电池产生危害。
(7)下箱体与上箱体连接装置
下箱体与上箱体之间有信号线与电源线连接,信号线包括屏幕信号线、WiFi 信号线等,电源包括屏幕供电、电池充放电线等。
通过专门设计的转轴将电器连接线置于转轴内部,使得电器连接线由弯折运动改为扭动,有效地解决了电器连线的可靠性和稳定性、以及寿命的问题。
七、 硬件关键结构设计 (1)整体结构
整个安全箱式便携计算机是由安全箱体、屏幕、面板、键盘、主板等各种元器件组成,从整体上分为上下箱体,打开安全箱,上箱体主要是显示系统、下箱体表面主要是键盘和面板。右侧是工具仓空间,方便使用。上下箱体通过安全箱本身的轴进行连接。电器的连接通过专门设计的旋转轴结构连接,保证安全可靠及美观。
安全箱采用美国产中小型安全箱,即便携,又基本可以保证所需的空间。面板采用阳极氧化处理,与箱体键盘等浑然一体,即美观又耐用。上下面板上均有LOGO 凹槽和铭牌凹槽,用于贴产品LOGO 和标识,方便定制生产。
(2)下箱体结构布局
整个下箱体主要分为左右两部分,左侧为主要元器件的部署空间,包括主板、CPU 、硬盘、DC-DC 转换电路、接口板、充电板、键盘等等,右侧主要为工具仓空间,用户存放常用工具以及电源适配器。下箱体使用框架固定在安全箱下箱体上,各种元器件固定在框架上,键盘固定在下面板上,下面板固定在框架上。
(3)转轴结构
为保证电器连接的安全性和可靠性、耐用性,专门设计了转轴机构,用于连接上下屏幕的元器件,该机构采用折叠机构,当箱体关闭时转轴可以折叠起来不影响关闭箱体,电器连接线通过转轴机构内部连接上下箱体以确保安全稳定可靠。
(4)下面板布局
下面板主要由接口部分、键盘部分、LOGO 部分、工具仓盖部分组成,左前部分是接口布局、键盘位于整个下面板的大部分空间,右前方转轴的旁边是LOGO 铭牌和电量显示部分,右侧部分是工具仓盖。
八、 总结
经过北京时代新威的精心设计、反复试用和不断测试改进,
信息系统审计工具箱
整体具有了比较好的稳定性和易用性,同时具有了高性能和便携性的平衡。在实际使用中,得到了现场审计工程师的一致认可,认为信息系统审计工具箱:“坚固耐用、方便携带、配置高、性能好,试用结果证明该工具箱的功能覆盖银监会、审计署、公安部、财政部、工信部等部门关于信息系统审计的要求,内置了信息系统审计工具管理平台及信息系统审计工具集,非常方便各项信息系统检查工作,使用简单方便,界面直观,能够大幅提高信息系统审计工作效率。”(作者:北京时代新威信息技术有限公司 王连强)
九、 参考文献
[1] 《信息系统安全等级保护基本要求》GB/T 22239-2008
[2] 《信息安全管理体系审计指南》ISO/IEC27007:2011
[3] 《信息系统审计实务》主编:石爱中
[4] 《信息系统审计准则》内部审计具体准则第2203号
[5] 《商业银行信息科技风险管理指引(银监发[2009]19号)》
[6] 《银行业金融机构重要信息系统投产及变更管理办法(银监发[2009]437号)》
[7] 《银行业金融机构信息科技外包风险监管指引(银监发[2013]5号)》
[8] 《商业银行业务连续性监管指引(银监发[2011]104号)》
[9] 《商业银行数据中心监管指引(银监办发﹝2010﹞114号)》
[10]《电子银行安全评估指引(银监办发﹝2006)9号)》