ID:内审师修行与实战
内审干货——系统权限审计,要怎么审?细讲干货!
受同行所邀,唠一唠系统的权限管理审计,供诸君参考哈!
软件系统虽不能等同于信息化,但却是企业信息化的基石和核心载体。
一、审计前,先了解公司上线了哪些软件系统
稍大一点儿的企业,都会上一些软件以帮助规范业务或提升效率,最常见的当然是OA办公和财务软件。
大中型企业,上线几十个软件系统也是常见的事儿!
比如小编曾呆过的地产企业,上线的软件就有:财务(不同子公司有三四个版本)、营销(销售、面部识别、分销管理)、运营计划、成本系统、工程管理、人力资源、OA办公、工地门禁考勤、物业收费系统、车位管理系统、商业运营系统、工厂仓储系统、苗木管理系统。
上述只是按专业分大类,每一专业口还可能用到不同品牌、不同版本的软件,又能细分出几个软件系统,以物业的车辆管理系统来说,原来公司最起码用了七个品牌车辆管理软件,只弄明白系统主要功能都要累得半死。
一些规划能力强且远见的企业,都会整合,系统之间能打通就打通,不能打通的也要减少品牌和版本,尽量做到易用、安全且流畅。
图片
二、审计第一步:要资料,查管理员权限
系统管理一般由信息化部门负责,找他们要所有系统名称、管理员权限、用户明细及权限分配。
任何软件系统,管理员权限都是最大的,它又拥有后台操作的最高级权限。
所以,审计第一步要看:
1.管理员账号谁负责的?几人知道密码?
最怕是信息化部门之外的人拥有管理权限,如:行政部门或运营部门,因为很多企业信息化部都归属于这些部门之下,致使管理权限被外行人拥有。
2.是否设置多个管理员?
有的系统里可以设置多个管理员,甚至赋予某账号以管理员权限,这就要具体查看账户权限了。
3.管理员权限是否为外部人掌握?
刚上线的系统,软件公司为了服务于系统运营,会暂时拥有管理员权限。
但是,正常上线后,这些权限一定要收回,企业数据不能被外部人掌握,尽管事实上很多软件都有后门,人家要真想看你也挡不住。
4.确实是外部管理员权限
有一些小的软件系统,或者是低成本软件,管理员权限本属于软件公司,人家只给你提供数据上传与储存功能,你只有使用与调用数据的权限,没有管理权限,如:监控系统或车辆系统,很多是这种模式。
这种模式下,要评估系统数据的保密性要求,保密性高的数据不应该上线这类软件。
三、审计第二步:软件用户
把所有软件内的用户名称或账号给要过来,然后对比公司员工花名册!
你可以发现一些用户异常:有些用户名是不应该存在的,比如营销系统内,有成本部门的用户,或成本系统内有营销人员用户。
或行政后勤人员拥有专业软件内的权限,或者存在外部人的用户。
一方面是权限不合理,另一方面是浪费资源。
要知道,目前很多软件系统的收费都是根据用户数量来收的,即:开一个用户名要多少钱,而不是按“同时在线数量”收费。
对比分析程序能查出一些不该存在的用户,该删删,该减减。
图片
四、权限过大
这一项往往是信息化部门和审计部门关注的重点,某些人权限过大的话,数据安全或系统安全就会受到威胁。
超权限情况有:
1.非业务范围内的权限。如营销人员拥有财务操作的权限。
2.功能性权限。如:有的岗位或用户只有查询权,但无操作权,或引出数据的权限。
3.外部人权限。很多软件设置中有一些企业外部人员参与,如:出入库、采购等,这时要重点看外部人的权限是否仅限于业务需要?
五、权限过小
这方面很少受人关注。因为权限小的话,业务部门会申请增加权限的,再说,权限越小数据越安全。
但是,大家忽略了一件时,软件系统的功能除了规范外,最大的便利之一是数据共享。
小编曾审计过工程管理软件,其中工地物料出入库管理系统中,工程师们居然没有系统内的材料采购合同查看权,造成采购价格与入库价格不一致,多付材料款。
一问原因:公司害怕工程师将物料价格透露给其他人。
他们还说:工程师想看价格可以查询纸质合同啊,不能因为系统内看不到价格就供应商说什么价格就入什么价吧?
脑洞开的确实够大,线下都能看,把线上把严了就安全了?
此类因噎废食之事,不建议!
六、权限开启与关闭权限
新人入职或原账号新增权限,一般要有软件开通权限的申请手续,可以抽检一部分新开权限的申请手续,看是否合规?
权限开启:主要看有权限没授权的用户,可以结合上文提到的系统用户名、权限角色与员工花名册对比。
至于关闭权限,通常涉及两类:员工调岗或离职。
主要查看最近员工有变动但用户权限没有变的情况,经常能查出一些异常。
图片
七、一号多用问题
一些重要或关键岗位的用户,权限要求是十分严格的,但仍有些人为了自己省事,经常让别人代自己操作账户。
这和个人的安全意识有关,同样的岗位,有些人重视自己权限,有些人经常让人帮自己做。
还有一种情况,不正常获取他们用户名和密码,偷偷操作!
想查的话,就需要系统管理员配合,通过查询操作人所用的电脑来评估账号是否被他人操作,如:查看登陆电脑的IP地址或MAC地址!
八、角色权限分配问题
有的软件系统,会先制定角色,给角色分配权限,然后再将角色分配给不同账号。
你查看某账号权限时,表面是没问题,但实质上可能角色权限有问题,不太好查。
除了一一复核权限分配外,还可以通过查看一些机密文件的查阅人或下载人,来证明是否有超权限问题。
从中可以看出:某些人没有权限,但却能看到这些机密文件,肯定是权限分配有问题。
亲,多关注转发!
