当前位置: 首页 精选范文 安全审计服务规范范文

安全审计服务规范精选(十四篇)

发布时间:2023-10-08 10:04:14

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇安全审计服务规范,期待它们能激发您的灵感。

安全审计服务规范

篇1

    电子业务系统安全审计体系的研究与建设

    结合山东局综合管理体系建设要求,首先,对各业务系统从管理者和使用者两个层面明确职责,规定相应的口令管理制度、授权管理制度、系统操作规程(作业指导书)等业务系统运行规章制度及有关记录表格。二是,针对各业务系统制定安全审计规范,利用内部审计及外部审计来评估业务系统安全漏洞,规划审计策略,明确审计目标,确定日常安全审计及集中安全审计任务和手段,并对审计结果进行评估分析,制定纠正措施。三是,结合山东局绩效考核管理办法,将安全审计结果纳入绩效考核,已达到从制度上约束行为的目的。各电子业务系统的开发应按照我们制定的安全审计规范要求建立安全审计模块,每个用户登录系统、进入应用,一直到使用各个应用模块都可以进行访问日志记录,安全审计模块可以调用日志SDK的API,根据应用规则来记录各种日志。日志可以是分为安全日志、系统日志、数据变更日志等等可以由系统安全管理人员随时调阅,以达到安全审计的目的。针对业务系统具体环节分析风险点,根据制定的安全控制规范,应用于各电子业务系统,开发安全审计系统,进行风险布控、监控设定、自动预警与自动核查,对业务系统全过程监控。由于目前业务系统数量众多,数据处理不同,进行安全审计系统开发时需针对各业务系统进行分析归纳,特别是CIQ2000综合业务管理系统作为检验检疫电子业务的主干系统,数据处理过程的质量决定着业务工作的质量,我们首先从CIQ2000业务管理系统入手试点,对CIQ2000综合业务管理系统实施全过程监控,监控账户的合法性、权限的合理性、登录及操作行为的可追溯性、数据修改的安全性等,对用户行为实施有效监督、约束,规范行为,保证工作质量。对CIQ2000综合业务系统进行安全审计主要分以下几方面:1)用户操作行为日志审查常规监测及时收集和分析CIQ2000系统本身提供的系统登录、业务操作、流程控制、权限等信息,通过设定逻辑严密、科学合理的审计规则,根据用户登录时间、状态和业务操作记录等数据,发现异常登录和非法操作,在系统界面进行展示,并形成报表。特殊监测根据业务和系统管理需要,对特殊时间段、特殊业务操作进行特殊监测,通过触发器收集关键业务对象、关键数据的变更情况,记录操作人的登录信息和操作信息。如对关键业务数据的操作及修改过程(如计收费数据的修改、不合格结果登记修改为合格结果登记、未经检务操作擅自添加证书、拦截数据人工干预放行等)进行过程记录。2)用户密码审查根据制订的密码审计规则,自动检查指定机构下的用户及密码,查找密码为空或者密码设置不符合安全规范的用户,在系统界面展示并可形成报表。3)重复用户检查根据同一用户在统一机构下不得同时拥有两个可以同时使用的用户账号原则,自动检查指定机构下的用户,检查是否在同一机构具有同时在岗的重名用户。4)用户权限检查自动检查指定机构下的用户及使用权限,查找具有分配全业务流程的用户,也可查找具有指定权限的用户。5)安全事件警告根据对业务系统各关键环节和关键对象数据的采集和分析,对可能存在信息安全隐患的环节给予相应级别的告警。告警方式包括:界面查看、短信预警、邮件预警。6)系统服务用户管理选项设置安全审计告警策略安全事件确认审计对象配置助手对于以上审计内容,通过布控,可以实现实时监控,发现违规操作及时报警,也可以进行统计查询、数据分析,防患于未然。通过安全审计系统的运行,特别是对CIQ2000综合业务管理系统的安全审计,发现高风险监控点,进一步对体系进行验证完善,通过两方面的互补,保证业务系统的安全合规运行。通过以上步骤,制定我局电子业务系统安全审计规范并正式下发执行,建立检验检疫电子业务系统安全审计体系。并通过CIQ2000综合业务安全审计系统应用实例进行验证优化,并以此成功案例进行推广、全面开展对山东局电子业务安全审计系统的建设与发展。

    电子业务系统安全审计体系研究技术方面

    电子业务安全审计系统建设技术方面1)使用统一开发平台的UIP-SDP框架开发。该框架提供轻量级的框架,框架遵照MVC的通用设计模式;采用面向服务体系结构(SOA)及组件化的设计思想,便于系统的复用和集成;包含大量公共的、实用性的组件和控件,并且提供了一般业务系统底层的最基本模块,可以轻松集成到业务系统之中。2)框架提供了通用的前后台校验机制、统一的分页处理、基于AJAX的局部刷新功能、多文件上载的功能、基于数字证书的认证方式、灵活、实用的规则引擎、基于配置的任务调度功能、基于配置的事务处理、统一的日志管理、方便快捷的单元测试、子模块基于XML的单独配置3)系统由数据采集层、事件管理层、运行管理层构成。山东检验检疫电子业务系统安全审计体系(图略)。电子业务安全审计系统建设技术规范方面采用标准的Linux、Unix操作系统建立基础平台采用统一的Oracle数据库建立数据中心平台采用先进的软件工程设计方法,满足系统的先进性、可靠性、可伸缩性、可扩展性复杂的商业规则的实现集中由应用服务器实现,可随业务量增长而轻松扩展采用流行的B/S架构,实现零客户端采用先进AJAX、WebService技术采用XML技术,规范信息交换格式和数据交换流程采用统一的消息中间件实现数据交换可以采用CA认证及SSL128位加密技术,确保通讯的安全性4结论通过建设安全审计体系建设,可以从制度上规范行为;审计系统的开发运行可以利用技术手段实现业务监控、工作质量稽查及用户行为审计,自动查找违规现象,及时通知相关单位整改,以查促管,防患于未然;审计的结果反过来促进制度的建设,最终保证检验检疫业务的正常运转。

篇2

据电子政务的有关安全调查统计:11%的安全问题导致网络数据破坏,14%的安全问题导致数据失密。从恶意攻击的特点来看,美国FBI统计的结果是65%的攻击来自网络系统内部。

安全设计本身的不完备性也往往构成网络新的安全风险。新的风险点、新的漏洞被发现、新的攻击技术手段被利用等管理安全问题会随时出现。所以,安全管理要求考虑网络系统的安全配置、正常运行、安全操作、应急响应等一系列问题,而解决这些问题的一个关键技术就是对电子政务系统的安全审计。

电子政务的安全管理可以通过安全评估、安全政策、安全标准、安全审计等四个环节来加以规范并进而实现有效的管理。目前,安全审计已经成为电子政务系统中的重要环节。早在2002年,安全审计已被正式定为电子政务建设十大标准之一。

虽然很多的国际规范以及国内对重要网络的安全规定中都将安全审计放在重要的位置,然而大部分的用户和专家对安全审计这个概念的理解不统一,都认为是“日志记录”的功能。如果仅仅是日志功能就满足安全审计的需求,那么目前绝大部分的操作系统、网络设备、网管系统都有不同程度的日志功能,大多数的网络系统都满足了安全审计的需求。但是实际上这些日志根本不能保障系统的安全,而且也无法满足事后的侦察和取证应用。安全审计并非日志功能的简单改进也并非等同入侵检测。

那么,电子政务的安全审计如何实施呢,现在的安全工程可要求从四个方面来把握。

首先,要把握和控制好数据的来源,比如来自网络数据截获;来自系统、网络、防火墙、中间件等系统的日志;嵌入模块,主动收集系统内部事件;通过网络主动访问,获取信息;来自应用系统、安全系统等。有数据源的要积极获取,无数据源的要设法生成数据。对收集数据的性质也要分已经经过分析和判断的数据和未分析的原始数据不同处理。另外,内部数据要通过转换形成统一的表示规范。

其次,分析机制需要具备评判异常、违规的依据,与安全策略相关。分为实时分析和事后分析。实时分析:提供或获取数据的设备/软件具备预分析能力,并能够进行第一道筛选。事后分析:维护审计数据的机构对审计记录的事后分析,包括统计分析和数据挖掘。

篇3

 

根据相关统计机构提供的数据,目前有60%以上的网络人侵和破坏是来自网络内部的,因为网络内部的人员对于自己的网络更加熟悉,而且有一定的授权,掌握一定的密码,又位于防火墙的后端,进行入侵或破坏更加得心应手。一个内部人员不必掌握很多黑客技术就能够对系统造成重大的损失。因此信息安全审计的功能越发受到重视。

 

对于一个信息系统而言,信息安全审计究竟要实现怎样的功能,要实现到怎样的程度,目前大多数的单位并未真正理解,不少单位对于信息安全审计的认识还停留在日志记录的层次。一些信息安全测评认证标准可以为我们提供一定的借鉴。

 

1998年,国际标准化组织(ISO)和国际电工委员会(IEC)发表了《信息技术安全性评估通用准则2.0版》(IS0/IEC15408),简称CC准则或CC标准。CC准则是信息技术安全性通用评估准则,用来评估信息系统或者信息产品的安全性。在CC准则中,对网络安全审计定义了一套完整的功能,如:安全审计自动响应、安全审计事件生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。

 

TCSEC(TrustedComputerSystemEvaluationCriteria)准则俗称橙皮书,是美国国防部的一个准则,用于评估自动信息数据处理系统产品的安全措施的有效性。它定义了一些基本的安全需求,如:policy、accountability、assurance等。accountability提出了“安全审计”的基本要求,包括:审计信息必须被有选择地保留和保护,与安全有关的活动能够被追溯到负责方,系统应能够选择记录与安全有关的信息,以便将审计的开销降到最小,并可以进行有效的分析。

 

计算机信息系统安全保护等级划分准则中,定义了五个级别:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。从第二个级别开始就需要基本的审计功能,越高的级别对于审计的要求也越高。第二级别的审计要求就包括:计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。

 

具体来说,计算机信息系统可信计算基应能记录下述事件:使用身份鉴别机制;将客体引人用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引人用户地址空间的事件及客体删除事件,审计记录包含客体名。对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。

 

从上面可以看出,很多的国际规范以及国内的安全规定中都将安全审计放在重要的位置,而安全审计并不像许多用户所理解的只是“日志记录”的功能。目前绝大部分的操作系统、网络设备、网管系统都有不同程度的日志记录功能,但是实际上这些日志并不能保障系统的安全,也无法满足事件的侦察和取证应用。各类测评认证标准为我们实现完整的信息安全审计提供了指导,但是如何建设审计系统则需要在这些原则的指导下,具体问题具体分析,根据系统状况、自身安全需求以及当前技术的支持程度来定制审计系统。

 

2重要领域信息系统面临的安全挑战

 

随着信息技术的迅速发展,许多单位和部门对信息系统的依赖性日益严重,尤其是一些重要领域(如电子政务、金融、证券等)的信息系统,一旦出现问题将带来巨大的损失。重要领域的信息系统将面临来自外部或内部的各种攻击,包括基于侦听、截获、窃取、破译、业务流量分析、电磁信息提取等技术的被动攻击和基于修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。

 

信息系统面临的安全威胁来自多个方面。首先,目前大部分信息系统选用的系统本身存在着安全隐患,如网络硬件设备(服务器、网络设备等)和操作平台(操作系统、数据库系统、通用软件系统等)存在弱点和漏洞。应用软件系统的脆弱性、应用系统的BUG、代码错误、不安全代码的执行模式、不安全设计、网络的脆弱性、网络协议的开放性(TCP/IP协议栈)、系统的相互依赖性都会导致网络的安全风险。此外,安全设计本身的不完备性、网络安全管理人员对系统漏洞的置若罔闻都会使攻击行为得以成功。因此,信息系统的安全方案中要综合考虑网络系统的安全配置、正常运行、安全操作、应急响应、安全审计等问题。

 

3重要领域信息系统中的信息安全审计需求

 

在重要领域信息系统的众多安全问题中,内部的安全违规问题尤其值得重视。内部人员违规一般有两种形式:一种是内部人员的违规操作,造成的后果是影响系统的安全;另一种是有目的地窃取资源。

 

最近几年网络安全领域主要强调的是如何防范外部人侵,如怎么建网关、建防火墙、实现内外网的物理隔离等,但是堡垒最容易从内部攻破,信息最容易从内部丢失。解决内部人员违规的一个重要手段是对重要领域信息系统实行高强度的安全审计。所谓的强审计不是简单的“日志记录“,而是增强的、全方位、多层次、分布式的安全审计,覆盖网络系统、操作系统、各类应用系统(如\^1)、£-11^1、]\(^£3^(;11&1^、081^)等,对各种未授权或非法的活动实时报警、阻断等。

 

安全强审计与一般的安全审计相比在以下几个方面得到增强:信息收集能力;信息分析能力;适应性;防绕过特性;信息保护特性;审计深度和针对性;规范化、标准化和开放性。

 

在重要领域信息系统中,信息安全审计的重点如下:

 

(1)网络通信系统

 

重要领域信息系统的普遍特点是网络流量一般不是很高,但是网上传输的可能是机密或敏感的信息,因此除了需要具备一般企业内部网所需要的人侵检测功能之外,还需要具备以下审计功能,以发现内部网络上的违规行为:对网络流量中典型协议分析、识别、判断和记录;对了61賊、1111?、£-11^1、1^?、网上聊天、文件共享操作的还原和记录;对网络流量进行监测以及对异常流量的识别和报警;对网络设备运行进行持续的监测。

 

⑵重要服务器

 

重要领域信息系统中,重要服务器是信息的集中点,需要对其进行增强的审计,以保护信息资源,对以下事件的审计是最基础的安全审计功能:服务器系统启动、运行情况;管理员登录、操作情况;系统配置更改(如注册表、配置文件、用户系统等);病毒或蠕虫感染情况;资源消耗情况;硬盘、CPU、内存、网络负载、进程等;操作系统安全日志;系统内部事件;对重要文件的访问。

 

(3)应用平台

 

仅仅对服务器系统层次的审计还是不够的,因为目前大量重要领域信息系统的应用平台在权限控制方面还有一定的缺陷,因此存在通过应用平台进行违规操作的可能性,例如:直接操作数据库的行为。因此,应用平台层次的安全审计也是必须的,审计内容包括:重要应用平台进程的运行;Web服务器、Mail服务器、Lotus、Exchange服务器、中间件系统;各个平台的健康状况;重要数据库的操作;数据库的进程;绕过应用软件直接操作数据库的违规访问行为;数据库配置的更改操作;数据备份操作和其他维护管理操作;对重要数据的访问和更改操作。

 

(4)重要应用系统

 

由于不少重要领域信息系统中已经建立了一系列的应用业务系统,因此对于一般的操作人员来说,业务系统是最主要的人机界面,对于有高安全需求的重要领域信息系统来说,还需要加强应用系统层次的审计。如对于电子政务系统,针对以下应用系统的审计是最基本的:办公自动化系统、公文流转和操作、网站系统、相关政务业务系统。

 

⑶重要网络区域的客户机

 

在一般的信息系统中,对客户机的审计通常不是必要的。但是对于一些安全级别较高的信息系统的重要网络区域,针对客户机的审计还是必要的,主要审计以下内容:病毒感染情况;通过网络进行的文件共享操作;文件拷贝、打印操作;通过Modem擅自连接外网的情况;非业务异常软件的安装和运行。

 

重要领域信息系统中的安全审计系统建设的要点

 

在重要领域信息系统中,一个较为全面的审计系统需要关注以下几点:

 

(1)数据的来源

 

审计系统如何获取所需的数据通常是最关键的,数据一般来源于以下几种方式:来自网络数据截获,如各类网络监听型的人侵检测和审计系统;来自系统、网络、防火墙、中间件等系统的日志(通常通过文件、syslog、SNMP、OPSE等机制获取日志);通过嵌入模块,主动收集系统内部事件;通过网络主动访问,获取信息(如扫描,HTTP访问等);来自应用系统、安全系统的审计接口。

 

在重要领域信息系统中的安全审计系统的建设中,尤其需要考虑强制获取数据的机制,即:有数据源的,通过审计系统来获取;无数据源的,要设法生成数据,进行审计。这也是强审计和一般的日志收集系统的区别之一。目前,各类wrapper技术是强制生成审计数据源的有效手段之一。

 

另外,在数据源方面,还需要关注所收集数据的性质,有些数据是已经经过分析和判断的数据,有些数据是未分析的原始数据,不同的数据要采用不同的处理机制。此外在很多系统中可能需要根据实际情况定制数据转化的功能。

 

(2)审计系统的分析机制

 

审计系统需具备评判异常、违规的能力,一个没有分析机制的审计系统虽然理论上可以获取和记录所有的信息,但实际上在需要多层次审计的环境中是不能发挥作用的。审计系统的分析机制通常包括:实时分析,提供或获取数据的设备/软件应具备预分析能力,并能够进行第一道筛选;事后分析,维护审计数据的机构对审计记录的事后分析,事后分析通常包括统计分析和数据挖掘两种技术。对于重要领域的信息系统来说,两方面的分析机制都是需要的,一般情况下审计系统都应具备实时分析能力,如果条件允许,也应具备事后分析的能力。

 

⑶与原有系统的关系

 

通常一般企业构建安全审计系统时,仅仅采用一些入侵检测系统就满足需求了,与原有系统关系不大。但是在重要领域信息系统中,需要实现多层次多角度的安全强审计,因此审计系统必然和原有的系统有一定的关系。通常,审计系统与原有系统的关系包括:完全透明型,原有系统根本察觉不到审计系统的存在;松散嵌入型,基本上不改变原有系统;紧密嵌人型,需要原有系统的平台层和部分应用做出较大改变;一体化设计,系统设计之初就考虑审计功能,所有模块都有与审计系统的接口。

 

如何在实现审计的同时确保原有系统的正常运转是审计系统构建的关键,要尽量做到最小修改和影响系统性能最小。

 

(4)如何保证审计功能不被绕过

 

有了安全审计的措施,必然会有各类绕过审计系统的手段。而在重要领域的信息系统中,审计系统如果被轻易绕过将导致严重的后果。所以在建设审计系统时,需要充分考虑审计系统的防绕特性。通常可以采用以下手段增强审计系统的防绕性:通过技术手段保证的强制审计,如网络监听和wrapper机制;通过不同审计数据的相互印证,发现绕过审计系统的行为;通过对审计记录的一致性检查,发现绕过审计系统的行为;采用相应的管理手段,从多角度保证审计措施的有力贯彻。

 

(5)对审计数据的有效利用

 

如果光建立一个审计系统,而缺乏对审计数据的深度利用将无法发挥审计系统的作用。可以考虑以下的措施:根据需求,进行二次开发,对审计数据进行深人的再分析,可以充分利用成熟的分析系统,实现关联分析、异常点分析、宏观决策支持等高层审计功能;对审计系统中安全事件建立相应的处理流程,并加强对事件处理的审计与评估;根据审计数据,对不同的安全部件建立有效的响应与联动措施;针对审计记录,有目的地进行应急处理以及预案和演习;建立相应的管理机制,实现技术和管理的有机结合。

篇4

论文摘要:本文强调审计工作的安全、高效和信息化,从审计工作的现状、发展瓶颈到信息化审计的制度健全、引入主机系统安全审计、业务系统安全审计等相关管理办法、新技术或新理念和待解决的问题等方面,论述构建安全高效的审计信息化安全保障体系的措施。

审计是客观评价个人,组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见,审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表,通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为,检查、考证目标的完整性、准确性,以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化,有利于管理层迅速准确的做出决定,对于政企业发展、社会经济的进步都具有重要作用。目前,我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题,有待进一步加强和改进。

审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。

一、审计工作的现状及存在的问题

随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。

(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向的作用。

(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。

二、信息化审计体系的健全

当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。

信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。 转贴于  三、主机系统安全审计

信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。

以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。

主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。

四、待解决的若干问题

计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。

保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。

防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。VPN可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防DDos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。

从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。

参考文献:

[1]宋新月,内部审计在经济管理中的重要作用浅析[J],知识经济,2009

篇5

关键词:审计;信息化,安全保障体系;主机审计

审计是客观评价个人,组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见,审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表,通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为,检查、考证目标的完整性、准确性,以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化,有利于管理层迅速准确的做出决定,对于政企业发展、社会经济的进步都具有重要作用。目前,我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题,有待进一步加强和改进。

审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。

一、审计工作的现状及存在的问题

随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。

(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向的作用。

(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。

二、信息化审计体系的健全

当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。

信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。

三、主机系统安全审计

信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。

以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。

主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。

四、待解决的若干问题

计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。

保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。

防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。VPN可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防DDos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。

从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。

参考文献:

[1]宋新月,内部审计在经济管理中的重要作用浅析[J],知识经济,2009

篇6

关键词:山区道路;安全审计;内容;步骤

道路安全审计(Road Safely Audits,简称RSA)是从预防交通事故、降低事故产生的可能性和严重性人手,对道路项目建设的全过程,即规划、设计、施工和服务期进行全方位的安全审核,从而揭示道路发生事故的潜在危险因素及安全性能,是国际上近期兴起的以预防交通事故和提高道路交通安全为目的的一项新技术手段。其目标是:确定项目潜在的安全隐患;确保考虑了合适的安全对策;使安全隐患得以消除或以较低的代价降低其负面影响,避免道路成为事故多发路段;保障道路项目在规划、设计、施工和运营各阶段都考虑了使用者的安全需求,从而保证现已运营或将建设的道路项目能为使用者提供最高实用标准的交通安全服务。

1 道路安全审计的起源与发展

1991年,英国版的《公路安全审计指南》问世,这标志着安全审计有了系统的体系。从1991年4月起,安全审计成为英国全境主干道、高速公路建设与养护工程项目必须进行的程序,使英国成为安全审计的重要发起与发展国。而我国则是在20世纪90年代中期开始发展安全审计,主要有两个渠道:①以高等院校为主的学者通过国际学术交流与检索国外文献,从理论体系的角度引入道路安全审计的理论;②通过世界银行贷款项目的配套科研课题。在工程领域开展道路安全审计的实践。

目前,在澳大利亚、丹麦、英国、冰岛、新西兰和挪威等国已定期地执行道路安全审计,德国、芬兰、法国、意大利、加拿大、荷兰、葡萄牙、泰国以及美国正处于实验或试行阶段,其他许多国家也在就道路安全审计的引入进行检验,比如希腊等国家。国外研究表明,道路安全审计可有效地预防交通事故,降低交通事故数量及其严重度,减少道路开通后改建完善和运营管理费用,提升交通安全文化,其投资回报是15~40倍。

道路安全审计在我们道路建设中的重要性,不仅仅是在提高安全性方面,对经济性也有帮助。而山区道路的安全比起一般道路来讲,就更应该引起我们的注意,毕竟山区道路的崎岖以及地势的高低相对与一般道路对驾驶者来说是一个很大的挑战,而且其发生事故的死亡率也比其他道路高很多,因此,审计对于山区道路来说是至关重要的。

2 山区道路安全审计内容

加拿大等国家认为,在项目建设的初步设计阶段进行道路安全审计最重要、最有效,因而早期的道路安全审计主要重点是在项目建设的初步设计阶段。现世界各国都普遍认为可在已运营的道路和拟建道路项目建设期的全过程实行安全审计,即在规划或可行性研究、初步设计、施工图设计、道路通车前期(预开通)和开通服务期(后评估阶段)都有所侧重地实行审计。山区道路安全审计同样与其他道路的安全审计工作内容一样。

3 审计要素

典型的道路安全审计过程为:组建审计组+设计队介绍项目情况及提供资料+项目实施考察-安全性分析研究-编写安全审计报告+审计组介绍项目审计结果+设计队研究、编写响应报告-审计报告及响应报告共同构成项目安全文件。

整个安全审计的时间一般为两周左右。为保证安全审计的质量,审计组人员的构成至关重要。审计组的人数依项目的规模大小一般由26人组成,审计组应由不同背景、不同经历、受过培训、经验丰富、独立的人员(与设计队无直接关联)组成。审计人员一般应具备交通安全、交通工程、交通运行分析、交通心理、道路设计、道路维护、交通运营及管理、交通法律法规等方面的知识,应保证审计组人员相互间能平等、自由地交流、讨论和商议安全问题。审计人员应本着对社会(用户)负责的态度、安全第一的观点,依据道路标准规范,对项目各种设计参数、弱势用户、气候环境等的综合组合,展开道路安全审计。道路安全审计人员(审计组)与设计人员(设计队)的区别在于:设计人员需要综合考虑项目投资、土地、政治、地理、地形、环境、交通、安全等方方面面的因数,限于经验、时间的约束,对安全问题难免有所偏颇。而安全审计人员不考虑项目投资、建设背景等因数,仅仅考虑安全问题,只提安全建议,最后由设计人员决定:采纳、改进或不采纳。因而可以说道路安全审计的关键点为:它是一个正式的、独立进行的审计过程,须由有经验的、有资格的人员从事这一工作,要考虑到道路的各种用户,最重要的一点是只考虑安全问题。

安全审计报告一般应包括:设计人及审计组简述、审计过程及日期、项目背景及简况、图纸等,对确认的每一个潜在危险因素都应阐述其地点、详细特征、可能引发的事故(类型)、事故的频率及严重度评估、改进建议及该建议的可操作性(实用性)等。审计报告应易于被设计人员接受并实施。响应报告应由项目设计人员编写,其内容—般应包括:对审计报告指出的安全缺陷是否接受,如不接受应阐述理由,对每一改进建议应一一响应,采纳、部分采纳或不采纳,并阐明原因。

4 现有山区道路的安全审计

对现状山区道路进行安全审计,主要评估现状道路潜在事故危险性,同时提出改进措施以降低未来发生事故的可能性。现状道路的安全审计与新建道路相类似,也需进行上面所提到的工作,但现场调查以及评估资料及文件这两步与新建道路有所不同。此时事故资料被作为欲审计资料的重要组成部分,同时该资料也包括可能导致事故发生潜在性的一些不利因素的详细资料。

理想的关于现状道路网的安全审计应该建立在有规律的基础之上。它可以以连续几年审计的结果为基础,采用滚动式的审计方式对路网中的每条道路都进行评估。对于里程较长的道路(一般>100km),其安全审计工作可按两阶段进行,即初步审计阶段和详细审计阶段。前者主要对道路总体上进行粗略审计,给出存在的主要问题及所处位置,后者则对找到的问题进行进一步的详细分析并提出相应的改进建议。对里程较短的道路(

由于欲审计道路已修建完成并已经运营,此时现场调查就显得非常重要。不管是拟建道路或已建道路、线内工程还是线外工程,安全审计工作必须全方位细致地进行。要考虑不同道路使用者对道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得驾驶员的心理产生恐惧;②半径太小可能使得驾驶员无法在规定视距范围内看到对方;③山体的稳定性也可能会影响到驾驶员。

另外,现状山区道路的安全审计工作还要调查不同的道路类型,例如白天、黑夜、干燥、潮湿等情况对道路的影响。此外,对现有道路网络的安全审计可结合养护工作同时进行,这样可减 少相应的成本费用。

5 我国山区道路的审计现状及问题和解决方法

5.1审计现状及问题

由于目前审计这个名词在国内还算比较新鲜,国外从起步发展到现在也不过十来年的时间,各方面都只是处于实验或者是试行阶段,并没有固定的一套理论依据。而我国相对外国来说又是落后了好几年,因此我国现在总体的审计现状也就处于探索阶段,各个方面也是处于起步阶段,不可能对各个方面的审计工作做到非常的完善。而道路的审计不过是众多审计工作中的一小部分,由于其本身的“新鲜性”,又对审计人员的要求较高,西部一些贫困地区教育跟不上,审计的人才缺乏也不是没有可能,设备等亦未全部到位。山区道路安全审计工作的开展较一般道路可能要更加的困难,因为山区道路多是停山临崖,弯道又多,坡度又大等各方面因素是其工作的开展要难与一般道路;更有甚者像那些偏僻地区的山区道路,可能路面的质量都无法保证,更不要提进行什么安全审计。

5.2解决方法

要改善我国目前的这种安全审计情况,需要全国各个方面的努力与配合,不过政府要有所规定,我们民间也要有这方面的意识。笔者简单列出几项:①国家应该颁布相关的法律制度,严格要求进行安全审计;②地方政府部门要加强管理;③加强对审计人员的培训;④提高我国的教育水平和人们的交通安全意识;⑤交通安全部门要深入到偏僻的山区;⑥提高我国的经济实力。

6 结束语

山区道路的安全审计工作与其他道路的安全审计总体上应该说差不多,当然山区的那种独特的环境使得审计工作的重点可能不仅仅局限与一般的道路,不要认为山区道路的流量没有城市道路那么多而忽视它,我国是个多山的国家,山区道路对于我国各个地区的经济往来的作用不言而誉。通过安全审计,加强了全国各地交流。对于我国的经济发展有百利而无一害。国内山区道路建设的实际情况对道路安全审计进行了较为系统的分析研究并得出以下结论:

(1)道路安全审计独立于设计和标准。是以安全为核心的审计,其对象为一切与交通安全相关的工程和设施,它可分阶段、按步骤的实施,审计的结果为安全审计报告。

篇7

关键词:道路;交通;安全审计

Abstract: with the rapid growth of China's national economy, China's transportation construction has entered a rapid development stage. Traffic accidentsincrease gradually. In order to improve the level of road traffic safety of the whole traffic system, need to "road traffic safety audit" into the road network planning and design, to prevent traffic accidents, reduce the likelihood and severity of accidents caused.

Keywords: road; traffic safety audit;

中图分类号:E232.6文献标识码:A文章编号:2095-2104(2013)

一、引言

随着我国国民经济的迅速增长, 我国的交通建设也进入了快速发展阶段。到2012年底,全国已建成通车的公路总里程达到423.75万公里,其中高速公路通车里程已达9.6万公里。与此同时, 公路、特大型桥梁的整体设计施工技术水平也有了跨越式的提高, 并广受世人瞩目。公路交通已由制约国民经济发展的阶段向基本适应转化。我国的公路建设只用10 余年的时间就走过了西方发达国家几十年的发展里程, 成绩斐然。

但是, 与西方发达国家经过的历程一样, 伴随着经济的迅猛增长, 我国的道路交通安全形势也十分严峻。随着机动车数量的不断增长,公路交通事故频发已成为社会的一大公害。以2011年为例,全国共接报涉及人员伤亡的道路交通事故210812起,共造成62387人死亡,直接财产损失达数十亿元。交通死亡事故总数近几年一直排名世界第一。而对于治理道路交通安全问题的措施,在道路建设中实行道路安全审计则是有效预防交通事故的重要手段之一。

二、交通安全审计的定义

道路安全审计是从预防交通事故、降低事故产生的可能性和严重性入手,对道路项目建设的全过程,即规划、设计、施工和服务期进行全方位的安全审核,从而揭示道路发生事故的潜在危险因素及安全性能。道路安全审计可定义为;由公正独立、有资质的人员对涉及使用者的道路项目(已建或将建项目)进行的正式审查,以确定对道路使用者任何潜在的不安全特性或构成威胁的运营安排。安全审计的目标是:确定项目潜在的安全隐患;确保考虑了合适的安全对策;使安全隐患得以消除或以较低的代价降低其负面影响,避免道路成为事故多发路段;保证道路项目在规划、设计、施工和运营各阶段都考虑了使用者的安全需求。因而可以说道路安全审计的目的就是:保证现已运营或将建设的道路项目都能为使用者提供较高实用标准的交通安全服务。

三、道路安全审计的意义和经济效益

国内外大量研究表明,道路安全审计可有效地预防交通事故,降低交通事故数量及其严重程度,降低道路交通事故的人身赔偿费用,减少道路开通后改建完善和运营管理费用,提高路网的安全性;提升交通安全文化,提高道路管理部门和设计者的安全意识。

道路安全审计的最大效益在于“只需用铅笔改变设计线,而不是到建成后再去搬动混凝土;即使是建成后的道路需要搬动混凝土,那么至少可以避免或减少搬动撞毁的汽车和伤亡的人员”。道路安全审计的费用和改变设计所花的费用,要远远低于在项目建成以后才采取治理措施所需的费用。如果一条道路设计中有明显的安全问题,那么事故耗费将可能成为该项目的整个经济寿命中费用的最主要部分;如果一条新建道路有安全问题,又因为采取改动措施耗资巨大,而采取了其他的补救措施,这将带来一些不良后果——要么是持续的事故损失,要么是由于通行量和车速受到限制而带来的持续的经济损失。对社会而言,在建造之前就避免问题的发生将是最经济的。对于公路建设项目,尽可能减少治理措施。将会降低预算开支,并且使资金的使用更为有效。另外,对现有道路的安全评价将会大大降低事故的损失代价,从而明显地节省开支。工程规范及指南为一个好的设计提供了一个好的开端。

道路安全审计,应当被视为用来减少事故风险的整个道路安全工程的一部分。资料表明,审计1个大型的新建工程,会增加设计成本的 4 %~10 %。由于设计成本仅占工程投资的 5 %~6 %,所以这部分投资的增加是很小的。道路安全审计的收益表现在减少交通事故上,这些收益主要是指因为交通事故的避免和事故严重程度的减轻,大大降低了交通事故的赔偿费用和道路建成后的维护改进费用。

四、道路安全审计的内容及步骤

(一)道路安全审计是从道路因素方面着手,预防交通事故、降低事故产生的可能性和严重性 ,对道路项目建设的全过程进行全方位的安全审核 ,从而揭示道路发生事故的潜在危险因素及安全性能 ,是国际上近期兴起的以预防交通事故和提高道路交通安全为目的的一项新技术手段.

(二)道路安全审计是指对现有道路、未来道路、交通工程以及与道路使用者有关的工程进行正式的审计。审计的对象既包括拟建的道路项目,又包括已有各种不同类型的道路及设施;既可以是大型的、综合性的高速公路项目,又可以是小型的,如1个道路交叉口或1个限速槛。

(三)道路安全审计要贯穿于项目的规划、设计、施工和营运期的整个过程中。道路设计建设程序可将拟建道路安全审计划分为五个阶段:可行性阶段、初步设计阶段、施工图设计阶段、预通车阶段和通车后安全审计。其中每个阶段审计均是一次完整的审计过程,每个阶段都应严格按照安全审计的实施步骤并参照审计条目来执行。审计清单是作为道路安全审计的辅助手段,是有关道路方面知识和经验的综合产物,可使审计者在安全审计时免于遗漏某些重要的东西,同时也可使设计者在设计时发现潜在安全问题。道路安全审计表单内容的关联因素具体表现为道路及其环境因素对交通安全的影响,与交通安全相关的道路及其环境因素有许多,项目通过不同等级公路、在不同道路影响因素的各个方面进行了分析与研究。研究结果表明:道路的种类与规格、路线和线形、路基路面、交通工程设施等与道路交通安全的关联紧密。因此,对道路进行安全审计时,应当分别从工程的整体情况、路线线形、路基路面、桥梁涵洞、平面交叉、立体交叉、隧道、交通工程及沿线设施、环境因素、道路使用者、出入口和周边开发地区等方面来进行。

(四)道路安全审计的每个实施阶段都是一个完整的审计过程,应当依次执行选择审计队伍、收集背景信息、开工会议、评价分析、现场考察、编写审计报告、完工会议、跟踪测评的步骤。每个步骤中的工作内容必须与具体审计项目的性质和规模相适应。对于规模较小、交通安全问题较清楚的项目,有的步骤可以简化,但不能省略,且总的流程次序不能改变。例如,对一些小规模项目的审计就不需要召开专门的开工会议,只需几个电话通知联络一下即可,而且审计组提交的书面报告也应当尽可能的简洁;而对于一个大型道路项目的安全审计,其过程可能会包括若干次会议、大量的计划以及详细的最终审计报告。

篇8

关键词:国土资源;信息化;制度

中图分类号:TP316 文献标识码:A文章编号:1007-9599 (2011) 10-0000-01

Talking on the Land System-level Protection Self-examination

Li Ling

(Guangxi Guigang Land&Resources Bureau,Guigang537100,China)

Abstract:Information Security Protection is a national economic and social information in the development process,improve the capacity and level of information security,national security,social stability and public interests, protect and promote the healthy development of basic information technology strategy.

Keywords:Land resources;Informatization;System

一、等级保护发展现状

2007年由国土资源部信息化工作办公室牵头面开展了国土资源信息系统安全体系建设工作,其中严格根据等级保护管理办法对全国整个国土信息系统安全等级保护工作主要分为定级、备案、整改、测评和监督检查五个环节。

二、等级保护定级简法

等级保护政策将信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定:

一是从业务信息安全角度反映的信息系统安全保护等级,称业务信息安全保护等级。二是从系统服务安全角度反映的信息系统安全保护等级,称系统服务安全保护等级。我们可以将其归纳为如下表格方便我们自己定级:(例如,A系统是某单位门户网站。当该网站被黑客攻击后若篡改了系统内容或者虚假新闻,则有可能对单位自身造成负面影响,使得公信力下降,属于严重影响;其次该系统被黑客了虚假新闻有可能会煽动、迷惑社会群众,造成社会混乱,属于严重影响;但是该系统不涉及国家安全内容,故对国家安全没有任何影响)。

某单位A门户网站系统定级:

业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度

一般损害 严重损害 特别严重损害

公民、法人和其他组织的合法权益 第一级 第二级 第二级

社会秩序、公共利益 第二级 第三级 第四级

国家安全 第三级 第四级 第五级

根据上表结果,某单位A门户网站系统信息安全保护等级应定为第三级(取最高级别)。

三、等级保护制度自查

安全管理制度主要涉及组织体系的运作规则,确定各种安全管理岗位和相应的安全职责,并负责选用合适的人员来完成相应岗位的安全管理工作,监督各种安全工作的开展,协调各种不同部门在安全实施中的分工和合作,保证安全目标的实现。

制度的文档化管理是非常重要的工作。无论是人员管理、资产管理,还是技术管理和操作管理,都应该建立起完备的文档化体系,一方面让安全活动有所依据,另一方面也便于追溯和审查。安全策略文档体系开发完成后,要形成包括信息安全方针、信息安全规范,相应的安全标准和规范、各类管理制度、管理办法和暂行规定等文档。

各项制度自查项目如下:

1.存储设备报废销毁管理规定;2.安全日志备份与检查;3.人员离岗离职管理规定;4.固定资产管理制度;5.外部人员访问机房管理情况;6.计算;7.机类设备维修维护规定;8.应急预案;9.应急演练;10.安全事件报告和处置管理制度;11.技术测评管理制度;12.安全审计管理制度。

四、等级保护技术自查

基本要求 技术要求控制点 技术防护措施

网络安全 结构安全 防火墙

访问控制 防火墙或者路由器、交换机访问控制列表

安全审计 安全审计系统

入侵防范 防火墙或者入侵防御系统

网络设备防护 防火墙或者入侵防御系统

主机安全 身份鉴别 帐户密码、或者数字证书认证

访问控制 防火墙或者路由器、交换机访问控制列表

安全审计 安全审计系统

入侵防范 防病毒软件

恶意代码防范 防病毒软件

资源控制 防火墙或者路由器、交换机访问控制列表

应用安全 身份鉴别 帐户密码、或者数字证书认证

访问控制 防火墙或者路由器、交换机访问控制列表

安全审计 安全审计系统

通信完整性 数字证书认证

通信保密性 数字证书认证或者VPN隧道

软件容错 双机热备系统

资源控制 防火墙或者路由器、交换机访问控制列表

数据安全 数据完整性 数据库加密

数据保密性 隔离网闸系统或者网络隔离卡

安全备份 双机热备系统

篇9

随着信息技术的飞速发展,数据库的应用愈加广泛,深入到各个领域,但随之面来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。

近年来,数据库被攻击和数据窃取事件层出不穷,导致严重的经济问题和社会问题。国内也出现企业级数据库服务器多次被攻击,给企业带来了经济和声誉上的损失等等。越来越多的大型企业意识到了数据库行为审计的重要性,现在采用独立的数据库审计产品己经成为业界的趋势。

目前,南车戚墅堰机车有限公司的数据库管理主要面临以下挑战: 管理风险:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第二方维护人员的操作监控失效等等,离职员工的后门,致使安全事件发生时,无法追溯并定位真实的操作者。

技术风险:数据库是一个庞大复杂的系统,安全漏洞如溢出、注入层出不穷,每一次的CPU都疲于奔命,面出于稳定性考虑,往往对补丁的跟进非常延后,目前的现实状况是很难通过外部的任何网络层安全设备来阻止应用层攻击的威胁。

审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能;数据库日志文件本身存在被篡改的风险、自己的日志审计也难以体现审计信息的有效性和权威性。此外,对于海量数据的挖掘和迅速定位也是任何审计系统必须面对和解决的核心问题之一。基于数据库安全和审计的重要性以及企业精细化管理的要求,公司计划使用第二方权威的数据库审计产品,对重要数据库服务器进行统一的审计和管理,满足企业信息化建设的需求。

1数据库审计系统应用目标

依据国资委相关根据及南车集团总部信息安全管理规范化的要求,结合南车戚墅堰机车有限公司实际的情况,在保证网络及业务的访问的安全性、连续性、稳定性的前提下,实现对指定数据库审计并记录所有的关键信息,保证数据库有效安全地访问。数据库审计设备用于公司重要数据库的安全审计,对重要数据的增删改查操作的全方位审计记录,同时也提供恶意攻击数据库的防护和监控手段,满足上市公司企业内控的要求。

2数据库审计系统部署

公司通过前期的详细调研和评估,选择了Imperva的数据库审计系统,保护公司核心系统运行的SQL或Oracle等数据库,对数据库操作进行统一监控和防护,及时发现异常行为。

数据库审计系统通过独立的网络硬件设备,不消耗数据库服务器处理,内存或硬盘资源。单一的Secure Sphere网关足够满足多个数据库服务器的要求。系统提供丰富的借口和强大的处理能力,同时可以提供所有业务功能。

数据库安全监控网关,采用侦听模式的部署方式,简洁力-便,只需要通过交换机的端口镜像,将需要保护的服务器的流量导入到数据库安全保护网关引擎的业务接口即可,网关完全处于业务通道外,对现有系统影响最小。这种部署方式提供了完善的针对数据库的审计功能,实现了对非法的访问或违反策略的访问进行实时的告警。

3数据库审计系统的应用优势

数据库审计系统使用实时的Kernel方式来处理和分析SQL协议,尽可能减少硬盘的读写,采用将审计信息写入CSV文件的方式提高记录审计信息的速度,所有的流量都会经过检测,面不用写入到文件中。只有相应的安全时间和必要的审计信息才写到硬盘上,这样就极大地提高了处理效率。

数据库审计系统提供的适合数据库访问的高性能和特性网关,通过捕获、分析、审计实时的网络流量,并且可以审计来回的双向流量,发现高级权限操作和非法行为,提供实时告警和}实时阻拦,不影响数据库服务器本身性能,不对现有业务造成任何影响。

数据库审计系统可制定灵活的审计策略,可以给任意的数据库设定任意的审计策略。系统提供了很多任意颗粒度的细化面灵活的审计规则,包括JO数据库审计系统的安全策略和审计策略完全分开,可以使得设备灵活的对流量进行安全检测,同时进行灵活的审计记录。出于安全考虑,可以检测所有的流量不管是不是被审计的,同时可以让用户选择需要记录下来哪些数据库的访问作为审计信息,这两个过程完全是独立和并行进行的,这样就在保证了系统对数据库进行全面的安全审查的同时,减少了需要审计和存储的数据库访问信息。 数据库审计系统提供了各种灵活的对常用软件和应用,如SAP, Oracle EBS or PeopleSoft特制的报告模板,面细粒度的灵活的报告设计结构,可以随意设置怎样生成报告和展现数据,并利用各种图形和列表方式展现数据。

4实际应用效果

戚墅堰公司的数据库审计系统目前建立了OA. ERP. PDM.e-HR四个数据库站点,应用了相应策略,建立了审计机制,并通过实时监测,定期出具审计报告。系统的投入应用,在公司内建立了一套数据应用系统的预警、危机防范和事故监控加固机制,使管理和访问人员能对数据库及相关服务器的各类操作进行完整记录和管理并在事故发生后依据相关信息对事故的起源进行可靠、准确的和快速的分析和判断,为数据库及相关系统的正常运行提供加固保障,实现了重要数据库操作都能有据可查、责任到人。

5下阶段的研究目标和方向

(1)扩大数据库审计应用的范围

在现有的几个列入数据库审计系统的重要数据库之外,逐步将公司其它各类应用系统数据库纳入到审计范围内,使得数据库审计范围达到基本全覆盖,得到充分地应用。

(2)加强监控和审计策略的制定

建立数据敏感表,加强对敏感数据访问的审计力度,加强数据库访问的安全策略的设定,丰富各类安全事件的报警机制,形成更加详尽全面的数据库审计报告。

篇10

1 利用网络及安全管理的漏洞窥探用户口令或帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。

2 利用网络远距离窃取的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。

3 建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的业务的原始记录以电子凭证的方式

存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。

计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。

一、网络安全审计及基本要素

安全审计是一个新概念,它指由专业审计人员根据有关的法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。

没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。

安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。

安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。

二、网络安全审计的程序

安全审计程序是安全监督活动的具体规程,它规定安全审计工作的具体、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。

安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。

1 了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?

2 了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。

3 了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。

安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计器。

安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。

三、安全审计的主要测试

测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。

下面是对网络环境信息系统的主要测试。

1 数据通讯的控制测试

数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。

2 硬件系统的控制测试

硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。

3 软件系统的控制测试

软件系统包括系统软件和软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。

4 数据资源的控制测试

数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。

5 系统安全产品的测试

随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。

四、应该建立内部安全审计制度

篇11

1 利用网络及安全管理的漏洞窥探用户口令或帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。

2 利用网络远距离窃取的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。

3 建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。

计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。

一、网络安全审计及基本要素

安全审计是一个新概念,它指由专业审计人员根据有关的法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。

没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。

安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。

安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价, 帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。

二、网络安全审计的程序安全

审计程序是安全监督活动的具体规程,它规定安全审计工作的具体、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。

安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。

1 了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?

2 了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三, 对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。

3 了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。

安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计器。

安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。

三、安全审计的主要测试

测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。

下面是对网络环境信息系统的主要测试。

1 数据通讯的控制测试数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。

2 硬件系统的控制测试硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。

3 软件系统的控制测试软件系统包括系统软件和软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。

4 数据资源的控制测试数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。

5 系统安全产品的测试随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。

四、应该建立内部安全审计制度

篇12

关键词:信息系统;审计;安全;计算机技术

中图分类号:F239 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-01

Information system Audit Content Study Research

Wang Huilin,Wang Zenghui,Guan Ning

(School of Information Science,Jilin Agricultural University,Changchun 130118,China)

Abstract:Information Systems Audit and Control in China despite the late start,but its importance is increasingly apparent.Clear that the Auditor General Liu Jiayi,information systems audit to seize three key points,namely,safety,effectiveness(reliability)and the economy.Therefore,

the content of information systems audit has become a concern of auditors,this paper will analyze the information systems auditing concepts and objectives,summed up the information systems audit institutions to audit the main content.

Keywords:Information system;Audit;Security;Computer technology

一、我国信息系统审计发展现状

2005年大连中行员工翟昌平因利用银行系统漏洞窃取银行800万美元现金而落网,同年,相继在黑龙江、重庆类似的案件频有发生。这些案件的破获均是在企业进行内部信息系统审计时发现的。2006年许霆因利用银行取款机漏洞窃取银行17.5万元现金的落网。特别近两年以来时有地方政府网站被恶意篡改,2008年荆州市商务局的网站被“黑”,据国内信息安全机构报道,整个2009年,全国平均每天有1%的政府网站被“黑”,其中主要原因是口令过于简单和文件漏洞太多。

以上种种案件表明,所有案件均是在事后,都是已经对国家人民财产造成了危害损失后发现的,怎样才能避免这类情况的发生,信息系统安全防范工作已经成为信息时代的主要问题,对信息系统开展安全审计已经成为审计机关保护国家财政财务安全,充分发挥审计“免疫系统”功能的重要措施。

二、信息系统审计概念与目标

到底信息系统审计应如何定义呢?美国信息系统审计学科的领跑者Ron Weber给信息系统审计做出了如下概括:“收集并评估证据,以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。

根据信息系统审计的概念,我们可以总结出审计机关开展信息系统审计的目标是:确认资产安全性、保证数据完整性、认定系统合规性。

三、审计机关开展信息系统审计的内容

(一)信息系统资产安全性审计

那么信息系统审计需要做那些事情才能有效控制资产安全呢?我们要从以下几个方面着手:1.对系统基础设施及环境的审计。审计范畴为:硬件环境与防灾、主机硬件安全、底层支撑系统安全、通信线路安全、数据存储/IO安全、物理访问控制。2.网络安全审计。目前的网络安全审计的解决方案有以下几类:

日志审计:目的是收集日志,通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志,进行统一管理、分析和报警。

主机审计:通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。

网络审计:通过旁路和串接的方式实现对网络数据包的捕获,而且进行协议分析和还原,可达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的。

(二)信息系统数据完整性审计

根据上述对数据完整性的定义,我们可以确定数据完整性审计应包括以下几个内容:1.应用控制审计。应用控制审计是直接针对业务系统根据用户反馈、用例测试结果、实际业务数据、代码分析结果发现系统风险及其对业务的直接影响。2.输入输出控制审计:输入控制审计要点:CONTROL TOTALS、多点录入、终端访问控制、Session窗口控制。输出控制审计要点:访问控制、缓冲区安全、派发路径安全。3.数据审计。通过直接获取数据库数据,对实体完整性、用户定义完整性、参照完整性、域完整性的验证,来确认信息应用系统设计和获取的完整性。

(三)信息系统合规性审计

合规性审查主要包含技术合规性。技术合规性是指被审计对象开发技术是否符合软件工程国家标准,包括基础标准(ISO 9000标准族)以及开发标准、文档标准、管理标准(GB标准族)。

系统合规性的主要审计内容就是进行代码审计辅以数据审计,简单的说就是审计代码规范性,代码安全性(例如,在对某商业银行进行审计过程中发现,由于代码员的经验问题,在撰写计算还款利息时的公式时发生错误,导致每笔还款利息多计算1分钱),关键处理流程正确性(此处旨在检查业务逻辑是否符合相关的法律法规以及规章制度),后门、调试与逻辑炸弹,以此来保证系统的正确性和合规性。

四、总结

本文通过对国内信息系统审计发展现状及相关理论政策研究,推理出审计机关信息系统审计的概念及目标,根据信息系统审计目标总结了在我国审计机关开展信息系统审计的主要内容,即信息系统资产安全性审计、数据完整性审计、合规性审计,并详细阐述了这三方面审计的具体内容。

参考文献:

[1]Ron Weber主编.Information Systems Control and Audit.2001

[2]王智玉.信息系统审计是做什么的.

篇13

关键词:军队;安全审计;战略定位;实践价值

安全不仅是经济社会发展的基础和前提,也是军队建设顺利发展的基础和前提条件。随着经济社会改革逐步深化,传统和非传统安全威胁相互交织,对军队安全防范工作产生重大影响。如何确保经济社会和军队建设安全发展,离不开审计部门的监督作用。军队安全审计就是指由军队审计机关根据有关法律法规和首长指示精神,对部队建设发展过程中涉及安全问题的一切活动或行为进行系统的、独立的检查验证,并作出相应评价的活动。在军民融合式发展道路上,军队审计部门积极创造条件实施安全审计,不仅是顺应经济社会发展大趋势所为,也是军队各项活动面临日益严峻的安全形势所迫。

安全审计既是一项全新的理论课题,也是一项全新的实践探索。目前,国内外对安全审计都还只是局限于生产领域。近几年来地方审计部门虽然扩展了有关安全审计业务,但也只是在网络安全方面进行初步尝试。所以,军队开展安全审计是一个全新的创造。这种创造的实践意义主要表现在以下几方面:

一是有利于促进广大官兵安全理念的形成。安全工作是一项长期而艰巨的任务,不能一劳永逸、一蹴而就,更不能抓抓停停、边走边看,而需要年年抓、月月抓、天天抓,做打基础、管长远的工作。一句话,就是要实现安全工作的常态化。安全工作关系军队和谐稳定,关系军事斗争准备工作的顺利推进,关系官兵的生命安全和家庭幸福。安全工作做不好,一旦发生事故案件,轻则造成装备财产损失,重则造成人员伤亡,直接影响部队战斗力建设。因此,抓安全不能时紧时松,而要坚持不懈,持之以恒,抓全员额、全时段、全过程。要做到这一点,除了开展正常的安全教育和安全管理工作外,一个重要的手段就是开展安全审计,强化广大官兵的安全理念,帮助官兵学习掌握安全防范知识、增强安全意识,从思想根源上督促和保证军队建设安全发展。

二是有利于促进部队官兵安全知识的学习。各类安全事故的发生都有其偶然性,但又都有其必然性。我们在分析事故原因时,容易忽视事故背后隐藏的问题:安全常识的缺失。安全常识,是部队安全管理必备的常用知识。它是人民群众生产、生活实践的总结,是科技工作者研究的结晶,是无数人用汗水、鲜血乃至生命换取的经验。在我们身边,因为缺乏安全常识而付出惨痛代价的不在少数。某部打捞下水道中的潜水泵,一名战士跳下去后不吭一声倒下了,官兵们没有意识到是毒气所致,继续往下跳,结果接二连三被“放倒”;某部组织扑打山火,因对山火的发展趋势判断不清,盲目投入兵力,6名战士险些被大火吞噬…… 既然无知会导致牺牲,我们就要告别无知;既然知识能够带来安全,那我们就应该捧起书本。开展安全审计工作,必将会对部队官兵运用安全知识进行作战训练、完成应急任务形成正面促进效应,促使广大官兵在不断掌握科学知识的基础上,规避生活和工作中遇到的各种各样的不安全因素,实现部队建设真正的安全发展。

三是有利于促进战斗力和保障力的提高。审计本质上是服务保证,以服务军队建设发展而获得自身运转。联想到我军战斗力建设、保障力提升,审计的功能作用就更加重要。在党的创新理论引领下,全军广大官兵以极大的创新精神与勇气,积极投身于中国特色新军革的热潮,由此带来了我军战斗力尤其是核心军事能力的极大提升。但是,也不能不看到,这其中也存在这样的现象:个别指挥员一味追求军事训练的所谓“反常规、反传统”,个别政治工作者在思想政治工作中过分求新求异,离开“以人为本”这个根本,机械模仿现代行为管理学中的一些做法;还有个别干部为了“创新”,被社会上所谓的一些“时尚”或“新潮”拉着走,不但没有使军队战斗力和保障力得到有效提升,反而给军队建设发展带来许多安全的隐患,制约军队建设的科学发展、安全发展。针对这种情况,开展安全审计,无疑对维护军队建设健康发展、安全运行有着十分重要的保证作用。

四是有利于促进部队可支配资源的节约。军队建设需要雄厚的国民经济资源作支撑,而经济与社会资源并不是无限供给的。在有限的可支配资源基础上又好又快地建设军营,提高部队战斗力和保障力,则是科学发展主题战略的客观要求。如何实现这种战略要求,关键措施之一就是强化节约。在现实中,有些单位长期以来十分注重节约,家底积累得也很厚实,本来日子过得很好,就因为安全方面出了问题,引发了重大事故,有的是人员伤亡,有的是爆炸火灾,导致经济补偿或赔偿的巨额支出负担骤然加剧;有的是失密泄密,有的是人员重大政治违纪,导致单位政治损失难以估量,如此等等,都极大地浪费和占用了过多的行政资源和经济资源,导致一个单位大伤元气。可见,节约行为的养成,节俭活动的开展,离不开监督机制的促进作用。开展安全审计,就有助于节约节俭成效的形成,促进各部门各单位形成有效地防范各种隐患的安全监督机制,促进各单位充分利用有限的可支配资源,为部队建设发挥应有的效益。

篇14

作为我国电子政务重要基础设施的电子政务外网,为了实现服务各级党政部门,满足各级政务部门社会管理、公共服务等方面需要的重要功能,要求具有互联网出口,并且与互联网逻辑隔离。因此,电子政务外网面临来自互联网和内部网用户两大急需解决的安全难题。

二、设计思路

本方案按照《国家电子政务外网安全保障体系总体规划建议》进行设计,规划范围以市级电子政务外网为主,以市级电子政务外网运维中心为重点,覆盖市委、市政府、市人大、市政协和多个委办局单位以及市属各个县区,根据国家电子政务外网安全保障体系的规划,市级电子政务外网安全体系包括如下三个方面的内容:

(一)安全管理体系。主要包括:按照国家安全保障体系建设标准,建设市级安全管理中心(SOC);以《国家电子政务外网安全标准指南》为标准贯彻执行国家已有安全法规标准,同时制订符合本市电子政务外网自身特点和要求的有关规定和技术规范。

(二)网络安全基础防护体系。主要包括:网络防护与隔离系统、入侵防御系统、接入认证系统、业务隔离和加密传输系统、防病毒、漏洞扫描系统等。

(三)网络信任体系。主要包括:PKI/CA系统、权限管理系统和认证授权审计系统。

三、方案设计

(一)安全管理中心。市级安全管理中心是市级电子政务外网安全的规划、实施、协调和管理机构,上联省级电子政务外网安全管理中心,把各类安全事件以标准格式上报到省中心,同时对县区管理中心下发安全策略,并接收县区的日志、事件。县级安全管理中心在市中心的授权下,具有一定的管理权限,并对县级安全策略及日志、事件进行采集和上报。市级安全管理中心也是市级网络安全设施的管理维护机构,为使安全设施能够最大限度地发挥其安全保障功能,需要建立一个良好的安全综合管理平台,以实现业务流程分析,并对业务系统在安全监控、安全审计、健康性评估等方面的运行进行有效的管控,从全局角度进行安全策略的管理,对各类安全事件作出实时的监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告、健康性报告和风险分析报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除各类安全隐患。

(二)基础防护平台建设。基础防护平台主要是以确定的安全防护模型框架为依据,结合政府业务的实际安全需求,在原有互联网安全设施基础上进行安全基础防护体系的新建或扩充、延伸与扩展。包括边界隔离与控制、身份鉴别、认证与授权、入侵检测与防御、安全审计与记录、流量监测与清洗、数据加密传输、病毒监测与防护、安全扫描与评估、安全策略集中管理、安全监控管理和安全审计管理等基础安全防护措施。最终达到提升系统的整体抗攻击能力,确保电子政务外网能够更好地支撑各类政务应用系统的运转。

(三)边界隔离与控制。防火墙是实现网络边界隔离的首选设备,防火墙是运行于软件和硬件上的,安装在特定网络边界的,实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为破坏内部网络。它可以让用户在一个安全屏障后接入互联网,还可以把单位的公共网络服务器和企业内部网络隔开,同时也可以通过防火墙将网络中的服务器与网络逻辑分离,进行重点防护。部署防火墙能够保护一个网络不受来自另外网络的攻击。

(四)入侵检测与防御。在整体的网络安全中,依靠安全策略的指导,对信息系统防护有积极的意义。但是,无论网络防护得多么牢固,依旧不能说“网络是安全的”。因为随着技术的发展,任何防护措施都不能保证网络不出现新的安全事件,不被手段高超的人员成功入侵。在攻击与防御的较量中,实时监测处在一个核心的地位。

(五)安全审计与记录。安全审计系统记录了网络使用者的全部上网行为,是支撑网络安全事件调查的基础,是审计信息的重要来源,在电子政务外网的建设中,应当尽量延伸安全审计系统部署的范围,并采用多种的安全审计系统类型(如网络审计、主机审计、数据库审计等)扩展安全审计的层面。

(六)流量检测与清洗。流量检测与清洗服务是针对网络传输信息流类型、大小以及诸如DOS/DDOS等安全攻击行为的监控、告警和防护的一种网络安全服务。该服务对进出内部网络的业务数据流量进行实时监控,及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下,清洗掉异常流量。有效满足各业务系统运作连续性的要求。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。

(七)统一病毒防护平台。根据电子政务外网省、市、县三级分布的特点,可采用多级、多种的方式进行病毒防护系统的综合部署,包括在网络边界安装硬件防病毒网关、针对特定应用布署网络防病毒系统、针对多数工作终端布署单机版病毒查杀软件等方式。

(八)终端管理。利用桌面终端管理系统,对于终端电脑从以下四方面进行进行标准化管理:

1.网络准入。通过网络边界部署的防火墙设备、网络交换机设备与终端管理服务器配合,实现终端用户的802.1x准入认证,使得所有终端用户接入电子政务外网网络必须提出申请,并对接入机器做防病毒等安全审核,在安装了准入客户端软件(Agent)并分配了用户名/密码后,才能合法接入网络并使用信息资源,开展业务工作,实现了对终端用户的有效管理。

2.网络切换。通过实现终端用户访问互联网和电子政务外网两网切换使用功能,实现对两网资源使用的严格管理,避免安全隐患的发生。

3.文件保险箱。利用“文件保险箱”功能,在终端用户处于“政务外网”访问状态时可以使用“文件保险箱”功能,并创建、修改、使用加密文件或文件夹,在终端用户处于“互联网”状态时无法使用此功能,不能创建、修改、使用加密文件或文件夹,从而保证工作文件的安全。

4.补丁管理。利用桌面系统补丁管理的功能,帮助管理员对网内基于Windows平台的系统快速部署最新的安全更新和重要功能更新。系统能检测用户已安装的补丁和需要安装的补丁,管理员能通过管理平台对桌面系统下发安装补丁的命令。补丁服务器可自动从微软网站更新补丁库,管理员负责审核是否允许补丁在终端系统安装。通过策略定制,终端系统可以自动检测、下载和安装已审核的补丁。

(九)采用2+N的业务模式。对于利用互联网接入的业务系统,必须采用VPN接入,建设互联网接入区,隔离互联网与政务外网的数据包,将互联网业务进行封装,确保互联网业务在专网的VPN通道内进行传输,对于需要与互联网联接的为公众服务的业务,通过逻辑隔离的安全防范措施,采用防火墙系统、入侵防御系统和网络防病毒系统,对互联网接入业务提供必要安全防护,保障电子政务外网的信息安全。

(十)信任体系设计。建立了基于PKI/CA公钥基础设施的数字证书认证体系。完善、推广、促进数字证书体系的发展和根据业务需要建立相应CA机构,并实现某些应用和管理需要的单点登录要求。