内审干货——IT审计之“用户账号”管理，审啥？

ID：内审师修行与实战

信息系统审计包括的内容很多，比如：硬件配置、备份管理、系统维护管理、网络安全、机房物理安全等等。

其中，用户账号管理一直是系统安全控制的核心，问题也比较多。

此文就细讲下用户账号管理审计，都审些啥？

1.开户手续

新建用户一般都要求有申请表，申请表也可以分两类：

一类是人力资源部门集中申请的新入职员工账户；一类是老员工开新账号或岗位变动产生的账号变动。

审计首先要查的就是每个账号开户，有没有这些申请手续？

细查之下可能发现：总是存在一些新开账户没有签批手续，而是部门领导或个别人直接找信息化部分的某些人，直接开户。

有些甚至是临时开户，又后销户的。

这些信息都可以在系统中的“账号管理”中查询到，重点还是看：不该开户的开户了，或一些根本用不到账号的占用账户名额，大多系统控制不是按“并发数”收费，而是按“账号数量”收费的。

所以，对账号的控制，还是很有必要的！

2.销户管理

开户通常有申请手续，但销户则不见得有，我们可以先查一查：不同软件系统内的销户管理中，是否都有申请手续？

比如离职，员工离职手续有时需要办理一两个月，人走了户还没销，什么时候销户，往往也是个问题。

有些是集中销户（由人事通知信息化部门），有些则是离职手续需要信息化部门签字，签字时销户。

最大的问题是：一家企业可能有一二十个信息系统，财务、营销、采购、库存、加工，甚至不同分子公司用的系统还不一样。

这时，遇到人员离职或岗位调动，一些账号很容易被忘记销户。

我们可以对比员工手册和相关软件系统的在用账号，找出已经离职或已转岗的人是否及时销户。

3.异常权限

对于非信息化专业的审计人员来说，查询用户权限通常比较困难。

不同的系统软件，后台授权管理模块也不太一样，就算是IT从业者也需要试验很好时间才能摸清一些权限代表着实际操作是什么。

更别人外行的审计人员了。

所以，查询权限时，我们可以找IT人员帮忙，查看关键岗位的授权管理，重点看超职责的权限配置问题。

同时，也要查看一些重要的、敏感的信息查阅和下载记录，重点看是否有一些不应该具有权限的账号查看了相关内容。

这些查询很繁琐，耗时也长，需要耐心，也需要管理员权限的配合。

4.管理员权限

软件系统的最大权限是谁？管理员，他可以进行所有的后台设置，也可以更改运行记录，甚至新建账号使用后销号。

所以，管理员权限掌握在谁手里，十分重要，关键是掌握人要唯一！

如果需要多人使用管理员权限，可以设立新管理员账号，并匹配相应权限，而不是多人共用一个管理员账号。

管理员账号最大的风险是：密码不常换，而且在软件上线期间通过多人共享账号，造成后续权限乱用！

还有一个问题十分普遍：一些小软件，通过是外部人（软件厂家）在操作管理员权限！

此时，内部数据安全就是一大问题！

5.账号共用

十分普遍的“潜规则”：很多管理者通常把自己的账号交给秘书或交给比较信任的下属去操作。

我们经常能发现：一个经理账号，他的所有下属都可以使用，为了图省事，为了让下属帮自己干活儿，也为了快速走流程。

理论上来说，我们要查的话都有查出来，有IP地址，有MAC地址，一查一个准。

可以针对一些关键账号抽检一下，比如采购、印章、费用报销等。

平时还是多以“问询”方式为主！

另外，账号密码的定期更换设置，可以查看一下有没有使用！

6.账号使用异常

重点查批量查看、批量传阅、批量引出或批量下载、批量打印的操作日记信息。

少量的信息使用，一般都正常！

一旦有大量数据产生，哪怕属于账号内的权限，也要关注信息安全问题，通常会有“偷取数据”的问题。

比如：批量下载客户信息，批量下载或打印合同文本，批量导出交易记录等等。

这就要查账号，查人，看看他们是为了什么？

结语

容易发现问题的地方，通常是没有关注到的区域。

信息化审计也是如此，一些小软件，小系统的账号管理通常问题更多。

所以，审计之前，你必须了解你们企业一共使用了多少软件？哪些管理规范哪些不太规范？

然后再针对性地去审计，不要只盯着那几个大的业务操作系统去审。

您说呢？

亲，多点赞转发！