公務(wù)員期刊網(wǎng) 精選范文 安全審計論文范文

安全審計論文精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全審計論文主題范文,僅供參考,歡迎閱讀并收藏。

安全審計論文

第1篇:安全審計論文范文

1、一般資料

收集2006年1月—2009年12月XX醫(yī)院護理業(yè)務(wù)查房病歷65份。將65份護理查房病歷中出現(xiàn)的護理診斷進行有針對性的統(tǒng)計。

2、影響因素

2.1法律意識淡薄

護理人員對安全管理存在著不同程度的錯誤認(rèn)識,由于繁忙的護理工作,忽略了對安全管理的認(rèn)識,護理人員對于安全隱患的判斷與處理不夠,缺少法律意識,不會用法律保護自己。

2.2環(huán)境因素

影響神經(jīng)內(nèi)科護理安全的環(huán)境因素主要有地面滑、床腳移動和病房扶欄三個方面。病房地面滑是引起病人摔傷的因素之一[3]。由于神經(jīng)科病人存在肢體偏癱、無力,在清掃地面后,如地面潮濕、過滑,病人行走易出現(xiàn)摔傷。為給病人創(chuàng)造舒適安全的治療、休養(yǎng)環(huán)境,病房走廊的扶欄、浴室衛(wèi)生間的扶欄安裝很重要。尤其對于神經(jīng)科病人,可以找到支撐點,防止摔傷、跌倒。

2.3用藥與設(shè)備因素

由于醫(yī)學(xué)技術(shù)的發(fā)展,新藥與設(shè)備不斷更新,神經(jīng)科所用藥物大部分為高滲性,對血管刺激性大,再加之病人年齡、血管因素,因此臨床藥物外滲靜脈炎發(fā)生率很高。加之藥物配伍、給藥途徑、設(shè)備使用不當(dāng)?shù)确矫嬖蚪o病人造成不安全后果[4]。醫(yī)療設(shè)備本身的安全、患者的安全及操作者的安全。儀器設(shè)備的使用不當(dāng)、故障、老化、種類不齊、性能不良、規(guī)格不配套或護理人員對儀器操作不熟練等問題,都可能給患者造成危害。使用中常見的危險因素是測值不準(zhǔn)確;儀器設(shè)備消毒不徹底,也常成為神經(jīng)內(nèi)科患者的感染源[5]。

2.4人員與技術(shù)因素

護士評估患者的知識水平不只是看其文化程度,主要是評估其對自身疾病的了解程度,統(tǒng)計結(jié)果顯示,不論文化程度高低,患者對自身疾病的了解和認(rèn)知程度均屬于缺乏之列,對疾病的發(fā)生發(fā)展規(guī)律、用藥常識等缺乏了解,若衛(wèi)生宣教不到位,很可能導(dǎo)致許多風(fēng)險和糾紛的發(fā)生,例如進展性卒中的患者往往對住院以后病情還繼續(xù)加重不理解。人員方面因素主要指由于護理人員素質(zhì)或數(shù)量方面的原因不能保證滿足工作基本要求而給病人造成的不安全影響或隱患;技術(shù)因素主要指由于護理人員技術(shù)水平低、經(jīng)驗不足或協(xié)作能力不強等原因?qū)Σ∪税踩珮?gòu)成的威脅。特別是隨著新技術(shù)、新項目大量引進與開發(fā),護理工作中復(fù)雜程度高、技術(shù)要求高的內(nèi)容日益增多,不僅對護理人員形成較大的工作壓力,而且致護理工作中技術(shù)方面風(fēng)險加大,影響護理安全。

2.5疾病因素

(1)偏癱

神經(jīng)科病人大多年老體弱,同時存在視力減退,神經(jīng)疾病導(dǎo)致癱瘓、步態(tài)不穩(wěn)、起立與邁步艱難等,常突發(fā)抽搐及暈厥。病人對病床高度不適應(yīng)時易致墜床。

(2)感覺障礙

神經(jīng)科病人存在感覺障礙的占大多數(shù),病人對痛溫覺感覺障礙,病人家屬未掌握熱水袋、局部熱敷的溫度及使用方法。如使用熱水袋不當(dāng)導(dǎo)致燙傷。病人長時間一個臥位,導(dǎo)致皮膚出現(xiàn)壓瘡等。

(3)抽搐

癲癇病人抽搐發(fā)作時,常發(fā)生舌咬傷、骨折、墜床等意外。抽搐間隙期病人疏于帶牙套、置牙墊防護,如突發(fā)抽搐易致舌咬傷,按壓肢體易致骨折等。

(4)精神異常

神經(jīng)內(nèi)科病人,發(fā)生大面積的額葉、顳葉等部位損害后,出現(xiàn)精神異常、躁動。肢體忽略病人,危險性增加,病人有自傷危險,出現(xiàn)他傷、自傷等。老年癡呆病人出現(xiàn)定向力、記憶力等缺失,如防護措施不到位,未做到24h連續(xù)看護,特別是外出進行輔助檢查時,人員較雜,稍有疏忽容易走失。

(5)呼吸困難

神經(jīng)肌肉疾病,如格林巴利綜合征、重癥肌無力、周圍神經(jīng)病變等,病變累及呼吸肌后即可出現(xiàn)呼吸困難、窒息等。神經(jīng)系統(tǒng)多種疾病均可出現(xiàn)吞咽困難,咳嗽反射減弱,如進食嗆咳引起食物誤吸,鼻飼不當(dāng)引起誤吸,牙齒松動脫落導(dǎo)致窒息,痰液黏稠導(dǎo)致氣道受阻。此類風(fēng)險多易發(fā)生于吞咽障礙、需要鼻飼飲食的患者。

(6)感染

各種監(jiān)測、診療技術(shù)的應(yīng)用,使接受侵入性操作的患者醫(yī)院感染率明顯高于無侵入性操作的患者,其中機械通氣患者相關(guān)性呼吸道感染者為85.0%,氣管切開感染者為50.5%[6]。80%的醫(yī)院內(nèi)泌尿系統(tǒng)感染與導(dǎo)尿有關(guān),且留置時間越長感染率越高[7]。病人住院期間有發(fā)生院內(nèi)感染的風(fēng)險。主要表現(xiàn)在神經(jīng)內(nèi)科護理人員工作量大,護士編制相對不足,護士整日忙于治療和處理醫(yī)囑,長期超負(fù)荷工作,都是影響護理安全的因素。護理人員業(yè)務(wù)及技術(shù)水平與護理安全有一定關(guān)系。臨床實踐表明,護士的素質(zhì)和能力與護理差錯事故的發(fā)生往往有直接聯(lián)系,近年由于低年資護士增多,導(dǎo)致技術(shù)操作熟練程度欠缺,經(jīng)驗不足,工作責(zé)任心不強,護理不到位等,極易產(chǎn)生各種外傷及護理差錯事故的發(fā)生,給患者的安全構(gòu)成威脅,特別是隨著新的醫(yī)療技術(shù)大量引進與開展,對技術(shù)要求越來越高。護理管理者工作中預(yù)見性欠缺,基礎(chǔ)質(zhì)量工作監(jiān)管不到位,給患者造成不安全的后果。護理人員衛(wèi)生宣教不到位,護患溝通欠缺。衛(wèi)生員工作監(jiān)管不夠,給患者造成不安全的后果。

二、安全策略

1、善搶救儀器的管理

制度,儀器設(shè)備專人管理,做好培訓(xùn)、考核、消毒滅菌、定期檢查維修等工作。每班檢查,每周大檢查,原則上不外借。配備一定量的零配件和必要的配置替換設(shè)備,以備應(yīng)急。將儀器報警聲音調(diào)至最低,工作人員的動作輕,治療護理操作盡量集中進行,碰到搶救或特殊情況時,拉上床位之間的布簾,減少對患者的干擾和影響。

2、加強健康教育

加強健康教育,增進醫(yī)患溝通要取得患者及家屬的有力配合,需要通過加強健康教育,增進醫(yī)患之間的溝通。為此,每月開1-2次的健康教育講座,由責(zé)任護士著重講解神經(jīng)內(nèi)科的基礎(chǔ)知識,及諸如腦中風(fēng)等病癥的預(yù)防、治療、預(yù)后、康復(fù)等知識,讓家屬明了患者的檢查治療情況、用藥情況、醫(yī)療費用情況、預(yù)后及康復(fù)情況,使之更好地配合各項治療、護理。在開展健康教育時,應(yīng)同時將一些需要注意的事項告知患者及家屬。如對于蛛網(wǎng)膜下腔出血的患者家屬,應(yīng)告知蛛網(wǎng)膜下腔出血病因大多是由動脈瘤或血管畸形造成的,在沒有去除病因之前,排便過于用力、情緒激動都可能導(dǎo)致生命危險。

3、加強法律、法規(guī)的教育

護理風(fēng)險與法律法規(guī)有著密切的關(guān)系,因護理人員法制觀念淡薄而發(fā)生的護理缺陷或糾紛時有發(fā)生。因此,應(yīng)該經(jīng)常組織護理人員學(xué)習(xí)《醫(yī)療事故處理條理》、《醫(yī)院護理管理條例》、《護理差錯的分類及評定標(biāo)準(zhǔn)》、《突發(fā)事件應(yīng)急處理預(yù)案》等與護理風(fēng)險相關(guān)的法律知識,提高法律意識,從職業(yè)道德和法律的高度規(guī)范護士的護理行為,聘請法律顧問為護士上法制課,增強護理人員的法律意識和法制觀念。提高護理人員的自律能力和守法的自覺性,在全面認(rèn)識理解法律、法規(guī)的基礎(chǔ)上制訂的有關(guān)實施細則、規(guī)范[8]。提高安全意識,堅持預(yù)防為主的方針,科內(nèi)制定安全日,責(zé)任班負(fù)責(zé)評估病人安全隱患,定期召開護理安全會議,對于其他科室和本科室出現(xiàn)的護理安全問題,進行組內(nèi)討論,制定整改措施??苾?nèi)制定相關(guān)預(yù)案流程,相關(guān)規(guī)章制度,使護士知道該做什么、不該做什么以及怎樣做。在尊重和維護病人權(quán)益的同時,懂得運用法律武器維護自身的合法權(quán)益。

4、加強感染控制

神經(jīng)內(nèi)科病人大多是年老體弱、吞咽困難、感覺障礙、肢體肌力差的病人。首先護理人員要做好入院宣教,入院當(dāng)天向患者詳細介紹住院環(huán)境、住院須知、呼叫系統(tǒng)使用方法。護士對患者進行全面護理評估,包括肌力、肌張力、視力、步態(tài)及步行時的平衡力,足部有無變形或痛楚等。根據(jù)評估所得到的結(jié)果進行健康宣教;3天內(nèi)護士對患者進行疾病相關(guān)知識和注意事項的宣教,護士長及時進行健康教育知曉情況的檢查,檢查結(jié)果與護士工作考核掛勾。給患者加用床檔保護,指導(dǎo)患者及家屬活動時有人陪同,不穿拖鞋,以免摔傷、墜床等意外發(fā)生;使用熱水袋時要指導(dǎo)使用溫度及使用方法,以免燙傷;長期臥床要經(jīng)常變換,以防出現(xiàn)壓瘡及墜積性肺炎;鼻飼時要將床頭抬高,并保持床頭抬高,鼻飼后30min盡量不給患者翻身,以防吸入性肺炎的發(fā)生??傊?掌握各種危險因素,最大限度地減少對病人安全的威脅。進入病區(qū)的所有人員戴口罩、戴鞋套,嚴(yán)格無菌技術(shù)操作原則,限制探視時間和人員進入。嚴(yán)格掌握侵入性診療手段的運用指征,加強各種導(dǎo)管的護理。合理應(yīng)用抗生素,減少不合理的聯(lián)合用藥,從而延緩細菌產(chǎn)生耐藥,提高臨床治愈率[9]。做好環(huán)境的消毒,加強空氣的清潔和消毒。患者轉(zhuǎn)出后做好終末消毒,使用后的儀器、設(shè)備和各種管道應(yīng)嚴(yán)格消毒,防止感染。

5、提高護理人員的整體素質(zhì)

扎實的理論知識和熟練的操作技能是確保護理安全和實現(xiàn)自我保護的基礎(chǔ)。神經(jīng)內(nèi)科病人病情變化快,需要護士利用專業(yè)知識,充分向家屬做好解釋工作,協(xié)助醫(yī)生做出正確的處理。如果護士沒有扎實的專業(yè)知識,就不能在醫(yī)療護理過程中掌握主動,甚至有時因解釋不清、處理不及時而使患者和家屬不滿意,產(chǎn)生不良后果。在搶救時,若護士技術(shù)嫻熟,就能給患者和家屬以安慰,得到他們的支持和理解,減少糾紛的發(fā)生。加強護士??茦I(yè)務(wù)知識培訓(xùn),提高護士風(fēng)險防范的能力,在注重護理基礎(chǔ)知識和基本技能培訓(xùn)的同時,有針對性的進行??茦I(yè)務(wù)知識、操作技能的訓(xùn)練,請科主任作??评碚撝R講課。對護士進行呼吸機、心電監(jiān)護儀操作的培訓(xùn)考試,做到人人過關(guān)。創(chuàng)造一個安全的病房環(huán)境,如地面材料防滑、干燥,衛(wèi)生員拖地應(yīng)設(shè)警示牌,提示病人防滑,廁所、洗漱間增設(shè)防滑墊;坐凳帶扶手。病房、走廊安裝橫向扶手,廁所安裝豎向扶手,便于站起時借力;病床、輪椅的制動閘性能良好,其次應(yīng)加強巡視,主動給予幫助。在提高護士業(yè)務(wù)水平的同時,也提高了風(fēng)險防范的能力。通過學(xué)習(xí),使護士明確了護患雙方的責(zé)任和權(quán)利,認(rèn)識到雖然護理風(fēng)險不能完全避免,但通過采取有效的防范措施是可以化解護理風(fēng)險,減少護理糾紛和差錯事故的發(fā)生,從而加強護士的法律意識和護理風(fēng)險防范意識,認(rèn)真的處理好病人從入院到出院過程中的每個環(huán)節(jié),更好地為病人服務(wù)。

第2篇:安全審計論文范文

    論文摘要:本文強調(diào)審計工作的安全、高效和信息化,從審計工作的現(xiàn)狀、發(fā)展瓶頸到信息化審計的制度健全、引入主機系統(tǒng)安全審計、業(yè)務(wù)系統(tǒng)安全審計等相關(guān)管理辦法、新技術(shù)或新理念和待解決的問題等方面,論述構(gòu)建安全高效的審計信息化安全保障體系的措施。 

審計是客觀評價個人,組織、制度、程序、項目或產(chǎn)品。審計執(zhí)行是以確定有效性和可靠性的信息,還提供了一個可內(nèi)控的評估系統(tǒng)。審計的目標(biāo)是表達人、組織、系統(tǒng)等的評估意見,審計人員在測試環(huán)境中進行評估工作。審計必須出示合理并基本無誤的報表,通常是利用統(tǒng)計抽樣來完成。審計也是用來考察和防止虛假數(shù)據(jù)及欺騙行為,檢查、考證目標(biāo)的完整性、準(zhǔn)確性,以及檢查目標(biāo)是否符合既定的標(biāo)準(zhǔn)、尺度和其它審計準(zhǔn)則。實現(xiàn)審計的信息化,有利于管理層迅速準(zhǔn)確的做出決定,對于政企業(yè)發(fā)展、社會經(jīng)濟的進步都具有重要作用。目前,我國的審計工作尚存在性質(zhì)認(rèn)定模糊、工作范圍過于狹窄等問題,有待進一步加強和改進。 

審計的基礎(chǔ)工作是內(nèi)部審計,內(nèi)審是審計監(jiān)督體系中不可或缺的重要組成部分,是全面經(jīng)濟管理必不可少的手段,是加強任何機構(gòu)內(nèi)部管理的必要,推動經(jīng)濟管理向科學(xué)化方向發(fā)展的重要環(huán)節(jié)也是審計。因此說審計部門是其他監(jiān)督部門不能代替的,促進黨風(fēng)廉政建設(shè)、加強對黨政領(lǐng)導(dǎo)干部及管理人員的監(jiān)督都可以通過審計來完成。審計應(yīng)用與高新技術(shù)機構(gòu)中,在防范風(fēng)險中發(fā)揮著重要作用,也有助于領(lǐng)導(dǎo)層做出正確決策。 

 

一、審計工作的現(xiàn)狀及存在的問題 

 

隨著我國經(jīng)濟迅猛發(fā)展,審計監(jiān)督力度不斷增強,審計范圍也不斷擴大。當(dāng)前,審計方式已由財政財務(wù)審計向效益審計發(fā)展,由賬項基礎(chǔ)審計向制度基礎(chǔ)審計、風(fēng)險基礎(chǔ)審計發(fā)展,由事后審計向事中、事前審計發(fā)展。審計管理上建立審計質(zhì)量控制體系,要求審計機關(guān)把審計管理工作前移,把質(zhì)量控制體系貫穿與審計工作中。在此趨勢下,傳統(tǒng)的審計方法暴露出其效率低、審計范圍小等劣勢,使得完成審計任務(wù),達到審計目標(biāo)越發(fā)缺乏及時性。 

(一)內(nèi)部審計性質(zhì)認(rèn)定較為模糊。內(nèi)部審計是市場經(jīng)濟條件下,基于加強經(jīng)營管理的內(nèi)在需要,也是內(nèi)部審計賴以存在的客觀基礎(chǔ)。但是,現(xiàn)代內(nèi)部審計的產(chǎn)生卻是一個行政命令產(chǎn)物,強調(diào)外向。這種審計模式使人們對內(nèi)部審計在性質(zhì)認(rèn)定上產(chǎn)生模糊,阻礙了內(nèi)部審計的發(fā)展。內(nèi)部審計很難融入經(jīng)營管理中,審計工作很難正常開展,很難履行監(jiān)督評價職能和開展保證咨詢活動,因此就不能充分發(fā)揮其應(yīng)有的內(nèi)向的作用。 

(二)內(nèi)部審計工作范圍過于狹窄。內(nèi)部審計的目的在于為組織增加價值并提高組織的運作效率,其職能是監(jiān)督和服務(wù)。但是,我國內(nèi)部審計工作的重心局限在財務(wù)收支的真實性及合規(guī)性審計。長久以來內(nèi)部審計突出了監(jiān)督職能,而忽視了服務(wù)職能。內(nèi)部審計認(rèn)識水平、思想觀念的束縛以及管理體制等諸多因素,影響和阻礙著內(nèi)審作用的有效發(fā)揮。原因有會計人員知識水平、業(yè)務(wù)素質(zhì)不高,也有不重視法律、法規(guī)的因素,還有監(jiān)管不力、查處不嚴(yán)的原因。目前內(nèi)部審計尚處在查錯階段,停留在調(diào)賬、糾正錯誤上,還不能多角度、深層次分析問題,沒有較國際先進的審計理念,我國內(nèi)部審計的作用尚待開發(fā)。審計人員的計算機知識匱乏,不適應(yīng)電算化、信息化的迅速發(fā)展。目前多數(shù)審計人員硬件知識掌握不熟練,軟件知識了解也不足,因此不能有效地評估信息系統(tǒng)的安全性、效益性。由于計算機審計軟件開發(fā)標(biāo)準(zhǔn)不同,功能也不完整,因此全面推廣計算機輔助審計就有一定難度,導(dǎo)致審計人員的知識和審計手段滯后于信息化的發(fā)展。 

 

二、信息化審計體系的健全 

 

當(dāng)前國家審計信息化發(fā)展的趨勢是建立審計信息資源的標(biāo)準(zhǔn)化、共享化、公開化,逐步達到向現(xiàn)代審計方式的轉(zhuǎn)變。這一趨勢是隨著當(dāng)前科學(xué)發(fā)展、和諧社會的推進,國家確立的公共財政建設(shè)、公共服務(wù)的實施、公共產(chǎn)品的提供應(yīng)運而生的,三個“公共”的主旨是:國家財政資金的使用更注重民生;使用重點更注重服務(wù);使用效益更注重民意。 

信息安全審計是任何機構(gòu)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險控制等不可或缺的關(guān)鍵手段。收集并評估證據(jù)以決定一個計算機系統(tǒng)是否有效地做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成目標(biāo),同時能更經(jīng)濟的使用資源。信息安全審計與信息安全管理密切相關(guān),信息安全審計的主要依據(jù)是出于不同的角度提出的控制體系的信息安全管理相關(guān)的標(biāo)準(zhǔn)。這些控制體系下的信息化審計可以有效地控制信息安全,從而達到安全審計的目的,提高信息系統(tǒng)的安全性。由此,國際組織也制定了相關(guān)文件規(guī)范填補信息系統(tǒng)審計方面的某些空白。例如《信息安全管理業(yè)務(wù)規(guī)范》通過了國際標(biāo)準(zhǔn)化組織iso的認(rèn)可,正式成為國際標(biāo)準(zhǔn)。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務(wù)院辦公廳關(guān)利用計算機信息系統(tǒng)開展審計工作有關(guān)的通知》等文件,基本規(guī)范了內(nèi)部審計機制,健全了內(nèi)部審計機構(gòu);強調(diào)機構(gòu)應(yīng)加強內(nèi)審工作,機構(gòu)內(nèi)部要形成有權(quán)就有責(zé)、用權(quán)受監(jiān)督的最佳氛圍;審計委員會直接對領(lǐng)導(dǎo)班子負(fù)責(zé),其成員需具有相應(yīng)的獨立性,委員會成員具良好的職業(yè)操守和能力,內(nèi)審人員應(yīng)當(dāng)具備內(nèi)審人員從業(yè)資格,其工作范圍不應(yīng)受到人為限制。內(nèi)部審計機構(gòu)對審計過程中發(fā)現(xiàn)的重大問題,視具體情況,可以直接向?qū)徲嬑瘑T會或者領(lǐng)導(dǎo)層報告。 

    三、主機系統(tǒng)安全審計 

 

信息技術(shù)審計,或信息系統(tǒng)審計,是一個信息技術(shù)基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計是一個通過收集和評價審計證據(jù),對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。 

以技術(shù)劃分,信息化安全審計主要分為主機審計、網(wǎng)絡(luò)審計、應(yīng)用審計、數(shù)據(jù)庫審計,綜合審計。簡單的說獲取、記錄被審計主機的狀態(tài)信息和敏感操作就是主機審計,主機審計可以從已有的系統(tǒng)審計記錄中提取相關(guān)信息,并以審計規(guī)則為標(biāo)準(zhǔn)來分析判斷被審計主機是否存在違規(guī)行為??傊?,為了在最大限度保障安全的基礎(chǔ)上找到最佳途徑使得業(yè)務(wù)正常工作的一切行為及手段,而對計算機信息系統(tǒng)的薄弱環(huán)節(jié)進行檢測、評估及分析,都可稱作安全審計。 

主機安全審計系統(tǒng)中事件產(chǎn)生器、分析器和響應(yīng)單元已經(jīng)分別以智能審計主機、系統(tǒng)中心、管理與報警處置控制臺來替代。實現(xiàn)主機安全系統(tǒng)的審計包括系統(tǒng)安全審計、主機應(yīng)用安全審計及用戶行為審計。智能審計替代主機安裝在網(wǎng)絡(luò)計算機用戶上,并按照設(shè)計思路監(jiān)視用戶操作行為,同時智能分析事件安全。從面向防護的對象可將主機安全審計系統(tǒng)分為系統(tǒng)安全審計、主機應(yīng)用安全審計、用戶行為審計、移動數(shù)據(jù)防護審計等方面。 

 

四、待解決的若干問題 

 

計算機與信息系統(tǒng)廣泛使用,如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系,也就是建立安全策略體系、安全管理體系和安全技術(shù)體系。 

保護網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì),對操作系統(tǒng)、數(shù)據(jù)庫及服務(wù)系統(tǒng)進行漏洞修補和安全加固,對服務(wù)器建立嚴(yán)格審核。在安全管理上完善人員管理、資產(chǎn)管理、站點維護管理、災(zāi)難管理、應(yīng)急響應(yīng)、安全服務(wù)、人才管理,形成一套比較完備的信息系統(tǒng)安全管理保障體系。 

防火墻是保證網(wǎng)絡(luò)安全的重要屏障,也是降低網(wǎng)絡(luò)安全風(fēng)險的重要因素。vpn可以通過一個公用網(wǎng)絡(luò)建立一個臨時的、安壘的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。借助專業(yè)的防ddos系統(tǒng),可以有效的阻止惡意攻擊。信息系統(tǒng)的安全需求是全方位的、系統(tǒng)的、整體的,需要從技術(shù)、管理等方面進行全面的安全設(shè)計和建設(shè),有效提高信息系統(tǒng)的防護、檢側(cè)、響應(yīng)、恢復(fù)能力,以抵御不斷出現(xiàn)的安全威脅與風(fēng)險,保證系統(tǒng)長期穩(wěn)定可靠的運行。嚴(yán)格的安全管理制度,明確的安全職責(zé)劃分,合理的人員角色定義,都可以在很大程度上減少網(wǎng)絡(luò)的安全隱患。 

從戰(zhàn)略高度充分認(rèn)識信息安全的重要性和緊迫性。健全安全管理組織體系,明確安全管理的相關(guān)組織、機構(gòu)和職責(zé),建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責(zé)任機制。為了確保突發(fā)重大安全事件時,能得到及時的響應(yīng)和支援,信息系統(tǒng)必須建立和逐步完善應(yīng)急響應(yīng)支援體系,確保整個信息系統(tǒng)的安全穩(wěn)定運行。 

 

 

參考文獻: 

[1]宋新月,內(nèi)部審計在經(jīng)濟管理中的重要作用淺析[j],知識經(jīng)濟,2009 

第3篇:安全審計論文范文

關(guān)鍵詞:信息系統(tǒng)開發(fā);安全策略;網(wǎng)絡(luò)技術(shù)

中圖分類號:TP399文獻標(biāo)識碼:A文章編號:1007-9599 (2012) 02-0000-02

Analysis of Security Policy of Information Systems Development

Ling Bin1,Wang Donghong1,Chi Yan2

(1.Northeast Forestry University,Harbin150040,China;2. Heilongjiang University of Chinese Medicine,Harbin150040,China)

Abstract:Along with our country to the application of computer network technology and the deepening of information system.has gradually become the planning construction and management process is the most important one of systems.And the system to have strict security requirements. security goal is very clear.Based on the information system to conduct a comprehensive safety management and construction safety plan.can satisfy the management and technology of double security needs.Therefore.how the information system development process of application security strategy.in order to improve the information system for the overall safety performance also gradually become information system developers and builders focus.In this paper,the information system development process of the safety planning and building construction safety management are analyzed.Presents practical information system security strategy.

Keywords:Information system development;Security strategy;Network technology

現(xiàn)階段,計算機網(wǎng)絡(luò)技術(shù)已經(jīng)在設(shè)計、科研、生產(chǎn)和辦公能方面得到了較為廣泛的應(yīng)用,且發(fā)揮出了越來越重要的作用。計算機網(wǎng)絡(luò)技術(shù)中,信息系統(tǒng)的廣泛應(yīng)用給人們的工作和生活帶來了極大的便利,但與此同時,也對其保密性和安全性提出了較大的挑戰(zhàn),如何提高信息系統(tǒng)的安全性也成為了信息系統(tǒng)開發(fā)者工作的重點。在信息系統(tǒng)的規(guī)劃建設(shè)過程中,建設(shè)前的安全規(guī)劃與實施后持續(xù)、完善的安全管理都是提高信息系統(tǒng)安全性較為有效的措施。

一、信息系統(tǒng)的建設(shè)安全規(guī)劃

信息系統(tǒng)中的建設(shè)安全規(guī)劃應(yīng)主要體現(xiàn)在數(shù)據(jù)安全、運行安全、系統(tǒng)安全和物理安全這四個方面。

第一,數(shù)據(jù)安全,即在信息系統(tǒng)使用過程中,尤其是傳輸數(shù)據(jù)時,要通過適當(dāng)?shù)拿艽a措施來對數(shù)據(jù)的安全性進行保護,防止數(shù)據(jù)泄露問題發(fā)生。在數(shù)據(jù)加密后,即使數(shù)據(jù)在傳輸過程中被截獲或是入侵,由于截獲的是密文,所獲信息也是無效的。

第二,運行安全。要恰當(dāng)處理信息系統(tǒng)應(yīng)用所面對的安全問題,在系統(tǒng)開發(fā)時應(yīng)采取病毒防護、身份鑒別、安全審計、漏洞掃描、入侵檢測、防火墻等保護措施。防火墻能夠在網(wǎng)絡(luò)的出口部位對網(wǎng)絡(luò)通訊的安全性進行檢查,按照安全規(guī)則的要求,信息系統(tǒng)不僅要確保內(nèi)部的安全性,還要保證系統(tǒng)外部的安全性,將網(wǎng)絡(luò)的外部與內(nèi)部相隔離,從而提高整個系統(tǒng)的安全性。通過設(shè)置與防火墻相關(guān)聯(lián)的病毒入侵檢測系統(tǒng),能夠?qū)π畔?shù)據(jù)進行實時保護,對進出系統(tǒng)的數(shù)據(jù)都要進行實時分析,及時發(fā)現(xiàn)并阻斷外界的攻擊,從而降低網(wǎng)絡(luò)隱患。漏洞掃描系統(tǒng)能夠?qū)诹?賬號、服務(wù)器主機、網(wǎng)絡(luò)系統(tǒng)等存在的威脅、漏洞和安全隱患進行掃描和報告,并及時地采取主動的安全措施和補救行動,從而提高系統(tǒng)安全性。安全審計系統(tǒng)能夠?qū)κ褂眯畔⑾到y(tǒng)的所有用戶的活動進行監(jiān)控和數(shù)據(jù)收集,供系統(tǒng)管理者審查用,從而提高系統(tǒng)的管理效率。身份鑒別系統(tǒng)是安全系統(tǒng)的關(guān)鍵部分,能夠?qū)τ脩羰欠窈戏ㄟM行主動的判斷,且口令與智能卡相結(jié)合的鑒別方法能夠大大提高系統(tǒng)安全性,也便于應(yīng)用。為應(yīng)對計算機病毒問題,信息系統(tǒng)還應(yīng)設(shè)計病毒防護措施,實時監(jiān)控病毒的攻擊和入侵情況,對整個系統(tǒng)進行全面的監(jiān)控,但要注意在使用時要及時更新病毒信息,定時對計算機運行環(huán)境進行檢測。

第三,系統(tǒng)安全,主要包括應(yīng)用系統(tǒng)與操作系統(tǒng)的安全性。在選擇應(yīng)用系統(tǒng)時,要對定制軟件和通用軟件都進行風(fēng)險檢測,及時發(fā)現(xiàn)和處理系統(tǒng)中存在的問題和安全隱患。而對于操作系統(tǒng),則要選用具有較高安全性的系統(tǒng),同時進行必要的安全設(shè)置。

第四,物理安全,這一部分是保證整個系統(tǒng)安全性的基礎(chǔ),因而要符合國家的相關(guān)規(guī)定。首先該系統(tǒng)要滿足防靜電、防雷、溫濕度、配電、布線、電力、防震、防水、防火、場地等的要求。其次,要保證整個系統(tǒng)能夠安全使用,且符合國家相關(guān)標(biāo)準(zhǔn)。最后,還要保證該系統(tǒng)所使用的安全設(shè)施,必須是符合國家標(biāo)準(zhǔn)的設(shè)備,并具有國家保密部門的審批合格證明。

二、系統(tǒng)的安全管理

安全的系統(tǒng)管理能夠為信息系統(tǒng)的安全有效運行提供保障,也是系統(tǒng)安全運行的基礎(chǔ),要提高信息系統(tǒng)的安全性,保障其順利穩(wěn)健的運行,在管理和設(shè)計方面應(yīng)做到以下幾點:

(一)人員管理

人員管理主要涉及外部人員的管理和內(nèi)部人員的管理兩個部分,系統(tǒng)內(nèi)部的操作使用者和管理者是造成信息系統(tǒng)安全隱患的關(guān)鍵因素,因此,在選擇內(nèi)部管理人員時,必須要對其職業(yè)道德、政治思想狀況、社會關(guān)系、個人經(jīng)歷等進行核查,保證系統(tǒng)人員的可靠性和安全性。同時,還要使其明確工作職責(zé),在進行系統(tǒng)操作時按照職責(zé)要求進行。除此之外,還要對系統(tǒng)操作者和使用者的安全知識和安全意識進行培訓(xùn),如退出和登錄等基本操作的規(guī)范化和保密意識的培養(yǎng)等。對于系統(tǒng)管理者來說,其所掌握的安全知識和相應(yīng)的安全管理水平要更加完善,包括對于違法入侵的防范和鑒別能力、系統(tǒng)的管理和維護能力等。外部人員指能夠進入該系統(tǒng)進行服務(wù)和維修的人員,對于這部分人員的管理包括旁站陪同控制、攜帶物品限制、安全控制區(qū)域隔離、保密要求知會等幾方面。

(二)安全管理制度的制定

系統(tǒng)安全策略和安全管理制度的制定能夠提高系統(tǒng)運行的可靠性和安全性。安全管理制度主要包括:人員安全管理、應(yīng)急響應(yīng)措施、安全審計管理、開發(fā)與運行管理、恢復(fù)與備份管理、惡意代碼防護措施、病毒防護措施、移動設(shè)備管理措施和運行環(huán)境管理措施等。系統(tǒng)安全策略主要包括:應(yīng)急響應(yīng)策略、保護信息完整性策略、系統(tǒng)安全管理策略、系統(tǒng)安全檢測策略、運行管理策略、身份鑒別策略、惡意代碼防護策略、病毒防護策略、恢復(fù)與備份策略和安全審計策略等。

(三)設(shè)置安全管理機構(gòu)

安全管理機構(gòu)的設(shè)置目的主要在于:第一,對信息系統(tǒng)的保密性和安全性進行定期的檢測和提升。第二,安全保密措施的制定和實施管理。第三,制定和實施信息系統(tǒng)的安全策略和保密管理制度,主要包括管理策略和技術(shù)策略兩部分。

三、總結(jié)

綜上所述,信息系統(tǒng)通常主要由網(wǎng)絡(luò)通信、共享服務(wù)和應(yīng)用操作三個基本部分組成,全過程的網(wǎng)絡(luò)通信保護系統(tǒng)、資源共享的邊界保護和可靠的操作應(yīng)用平臺,三方面共同組成了具有固定工作和使用流程的生產(chǎn)和信息管理系統(tǒng),能為信息的安全性提供充分的保障。在今后的信息系統(tǒng)開發(fā)中,還可在檢測引擎中適當(dāng)加入檢測隱通道,從而避免信息生產(chǎn)系統(tǒng)存在隱蔽通道的問題,這也是今后信息系統(tǒng)開發(fā)工作的重點內(nèi)容。

參考文獻:

[1]閆樹.信息系統(tǒng)的安全策略及若干技術(shù)研究[D].武漢理工大學(xué)碩士學(xué)位論文,2009

[2]薛麗.綜合信息管理系統(tǒng)中的安全策略及其應(yīng)用研究[D].大連理工大學(xué)碩士學(xué)位論文,2008

第4篇:安全審計論文范文

[論文摘要]通過對電力系統(tǒng)計算機網(wǎng)絡(luò)存在的網(wǎng)絡(luò)安全問廈的分析,提出相應(yīng)的安全對策,并介紹應(yīng)用于電力系統(tǒng)計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)安全技術(shù)。

[論文關(guān)鍵詞】電力信息安全策略

在全球信息化的推動下,計算機信息網(wǎng)絡(luò)作用不斷擴大的同時,信息網(wǎng)絡(luò)的安全也變得日益重要,一旦遭受破壞,其影響或損失也十分巨大,電力系統(tǒng)信息安全是電力系統(tǒng)安全運行和對社會可靠供電的保障,是一項涉及電網(wǎng)調(diào)度自動化、繼電保護及安全裝置、廠站自動化、配電網(wǎng)自動化、電力負(fù)荷控制、電力營銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。應(yīng)結(jié)合電力工業(yè)特點,深入分析電力系統(tǒng)信息安全存在的問題,探討建立電力系統(tǒng)信息安全體系,保證電網(wǎng)安全穩(wěn)定運行,提高電力企業(yè)社會效益和經(jīng)濟效益,更好地為國民經(jīng)濟高速發(fā)展和滿足人民生活需要服務(wù)。

研究電力系統(tǒng)信息安全問題、制定電力系統(tǒng)信息遭受內(nèi)部外部攻擊時的防范與系統(tǒng)恢復(fù)措施等信息安全戰(zhàn)略是當(dāng)前信息化工作的重要內(nèi)容。

一、電力系統(tǒng)的信息安全體系

信息安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護,保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實性、可靠性、責(zé)任性等幾個方面。

信息安全涉及的因素有,物理安全、信息安全、網(wǎng)絡(luò)安全、文化安全。

作為全方位的、整體的信息安全體系是分層次的,不同層次反映了不同的安全問題。

信息安全應(yīng)該實行分層保護措施,有以下五個方面,

①物理層面安全,環(huán)境安全、設(shè)備安全、介質(zhì)安全,②網(wǎng)絡(luò)層面安全,網(wǎng)絡(luò)運行安全,網(wǎng)絡(luò)傳輸安全,網(wǎng)絡(luò)邊界安全,③系統(tǒng)層面安全,操作系統(tǒng)安全,數(shù)據(jù)庫管理系統(tǒng)安全,④應(yīng)用層面安全,辦公系統(tǒng)安全,業(yè)務(wù)系統(tǒng)安全,服務(wù)系統(tǒng)安全,⑤管理層面安全,安全管理制度,部門與人員的組織規(guī)則。

二、電力系統(tǒng)的信息安全策略

電力系統(tǒng)的信息安全具有訪問方式多樣,用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點。信息安全問題需從網(wǎng)絡(luò)規(guī)劃設(shè)計階段就仔細考慮,并在實際運行中嚴(yán)格管理。為了保障信息安全,采取的策略如下:

(一)設(shè)備安全策略

這是在企業(yè)網(wǎng)規(guī)劃設(shè)計階段就應(yīng)充分考慮安全問題。將一些重要的設(shè)備,如各種服務(wù)器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空,并有明顯標(biāo)記,防止意外損壞。對于終端設(shè)備,如工作站、小型交挾機、集線器和其它轉(zhuǎn)接設(shè)備要落實到人,進行嚴(yán)格管理。

(一)安全技術(shù)策略

為了達到保障信息安全的目的,要采取各種安全技術(shù),其不可缺少的技術(shù)層措施如下:

1.防火墻技術(shù)。防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù),它通過單一集中的安全檢查點,強制實糟相應(yīng)的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統(tǒng)的生產(chǎn)、計量、營銷、調(diào)度管理等系統(tǒng)之間,信息的共享、整合與調(diào)用,都需要在不同網(wǎng)段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權(quán)限合理享用信息資源。

2.病毒防護技術(shù)。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺Pc機上安裝防病毒軟件客戶端,在服務(wù)器上安裝基于服務(wù)器的防病毒軟件,在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的防病毒軟件。必須在信息系統(tǒng)的各個環(huán)節(jié)采用全網(wǎng)全面的防病毒策略,在計算機病毒預(yù)防、檢測和病毒庫的升級分發(fā)等環(huán)節(jié)統(tǒng)一管理,建立較完善的管理制度,才能有效的防止和控制病毒的侵害。

3.虛擬局域網(wǎng)技術(shù)(VLAN技術(shù))。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含1組有著相同需求的計算機工作站,與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分,所以同一個LAN內(nèi)的各工作站無須放置在同一物理空間里,既這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中,有助于控制流量、控制廣播風(fēng)暴、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

4.?dāng)?shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)的數(shù)據(jù)庫必須定期進行備份,按其重要程度確定數(shù)據(jù)備份等級。配置數(shù)據(jù)備份策略,建立企業(yè)數(shù)據(jù)備份中心,采用先進災(zāi)難恢復(fù)技術(shù),對關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與應(yīng)用系統(tǒng)進行備份,制定詳盡的應(yīng)用數(shù)據(jù)備份和數(shù)據(jù)庫故障恢復(fù)預(yù)案,并進行定期預(yù)演。確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下能快速恢復(fù)數(shù)據(jù)與系統(tǒng),從而保證信息系統(tǒng)的可用性和可靠性。

5.安全審計技術(shù)。隨著系統(tǒng)規(guī)模的擴展與安全設(shè)施的完善,應(yīng)該引入集中智能的安全審計系統(tǒng),通過技術(shù)手段,實現(xiàn)自動對網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運行日志、安全設(shè)施運行日志等進行統(tǒng)一安全審計,及時自動分析系統(tǒng)安全事件,實現(xiàn)系統(tǒng)安全運行管理。

6.建立信息安全身份認(rèn)證體系。CA是CertificateAuthority的縮寫,即證書授權(quán)。在電子商務(wù)系統(tǒng)中,所有實體的證書都是由證書授權(quán)中心(CA中心)分發(fā)并簽名的。一個完整、安全的電子商務(wù)系統(tǒng)必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場交易系統(tǒng)就其實質(zhì)來說,是一個典型的電子商務(wù)系統(tǒng),它必須保證交易數(shù)據(jù)安全。在電力市場技術(shù)支持系統(tǒng)中,作為市場成員交易各方的身份確認(rèn)、物流控制、財務(wù)結(jié)算、實時數(shù)據(jù)交換系統(tǒng)中,均需要權(quán)威、安全的身份認(rèn)證系統(tǒng)。在電力系統(tǒng)中,電子商務(wù)逐步擴展到電力營銷系統(tǒng)、電力物質(zhì)采購系統(tǒng)、電力燃料供應(yīng)系統(tǒng)等許多方面。因此,建立全國和網(wǎng)、省公司的cA機構(gòu),對企業(yè)員工上網(wǎng)用戶統(tǒng)一身份認(rèn)證和數(shù)字簽名等安全認(rèn)證,對系統(tǒng)中關(guān)鍵業(yè)務(wù)進行安全審計,并開展與銀行之間、上下級CA機構(gòu)之間、其他需要CA機構(gòu)之間的交叉認(rèn)證的技術(shù)研究及試點工作。

(三)組織管理策略

信息安全是技術(shù)措施和組織管理措施的統(tǒng)一,“三分技術(shù)、七分管理”。據(jù)統(tǒng)計,在所有的計算機安全事件中,屬于管理方面的原因比重高達70%以上。沒有管理,就沒有安全。再好的第三方安全技術(shù)和產(chǎn)品,如果沒有科學(xué)的組織管理配合,都會形同虛設(shè)。

1.安全意識與安全技能。通過普及安全知識的培訓(xùn),可以提高電力企業(yè)職員安全知識和安全意識,使他們具備一些基本的安全防護意識和發(fā)現(xiàn)解決某些常見安全問題的能力。通過專業(yè)安全培訓(xùn)提高操作維護者的安全操作技能,然后再配合第三方安全技術(shù)和產(chǎn)品,將使信息安全保障工作得到提升。

2.安全策略與制度。電力企業(yè)應(yīng)該從企業(yè)發(fā)展角度對整體的信息安全工作提供方針性指導(dǎo),制定一套指導(dǎo)性的、統(tǒng)一的安全策略和制度。沒有標(biāo)準(zhǔn),無法衡量信息的安全,沒有法規(guī),無從遵循信息安全的制度,沒有策略,無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化,是法規(guī)與管理的接口和信息安全得以實現(xiàn)的重要保證。

3.安全組織與崗位。電力企業(yè)的組織體系應(yīng)實行“統(tǒng)一組織、分散管理”的方式,建立一個有效、獨立的信息安全部門作為企業(yè)的信息安全管理機構(gòu),全面負(fù)責(zé)企業(yè)范圍內(nèi)的信息安全管理和維護工作。安全崗位是信息系統(tǒng)安全管理機構(gòu),根據(jù)系統(tǒng)安全需要設(shè)定的負(fù)責(zé)某一個或某幾個安全事務(wù)的職位,崗位在系統(tǒng)內(nèi)部可以是具有垂直領(lǐng)導(dǎo)關(guān)系的若干層次的一個序列。這樣在全企業(yè)范圍內(nèi)形成信息安全管理的專一工作,使各級信息技術(shù)部門也因此會很好配合信息安全推行工作。

第5篇:安全審計論文范文

關(guān)鍵詞:信息安全;網(wǎng)格安全管理;SNMP

中圖分類號:TP393.08文獻標(biāo)識碼:A文章編號:1009-3044(2009)13-3360-02

1 引言

當(dāng)今信息安全技術(shù)主要包括密碼技術(shù)、身份認(rèn)證、訪問控制、入侵檢測、風(fēng)險分析與評估等諸多方面。在實際運用中,這些安全技術(shù)相互支持與協(xié)作,各自解決安全問題的某一方面。目前人們關(guān)注的重點在入侵檢測、密碼技術(shù)等,作為訪問控制沒有得到應(yīng)有的重視,事實上訪問控制是一個安全信息系統(tǒng)下不可或缺的安全措施。訪問控制就是通過某種途徑顯式地限制對關(guān)鍵資源的訪問[1-2]。防止因非法用戶的侵入或合法用戶的不慎操作所造成的破壞。本文主要討論了主動式網(wǎng)絡(luò)安全監(jiān)控系統(tǒng),在分析主動式網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)計基礎(chǔ)上,針對企業(yè)網(wǎng)非法接入防范子系統(tǒng)采用的SNMP協(xié)議進行相關(guān)分析。

2 網(wǎng)絡(luò)管理概述

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)規(guī)模增大,復(fù)雜性也增加,以前的網(wǎng)絡(luò)管理技術(shù)已經(jīng)無法適應(yīng)這一情況,特別是由于以往的網(wǎng)絡(luò)管理系統(tǒng)往往是生產(chǎn)制造廠商在自已的網(wǎng)絡(luò)系統(tǒng)中開發(fā)的應(yīng)用系統(tǒng),很難對其它廠商的網(wǎng)絡(luò)系統(tǒng)、通信設(shè)備等進行管理,這種狀況很不適應(yīng)網(wǎng)絡(luò)異構(gòu)互聯(lián)的發(fā)展趨勢。網(wǎng)絡(luò)管理一般采用管理―的管理結(jié)構(gòu)。網(wǎng)絡(luò)管理站是實施網(wǎng)絡(luò)管理的處理實體,駐留在管理工作站上,它是整個網(wǎng)絡(luò)系統(tǒng)的核心,完成復(fù)雜網(wǎng)絡(luò)管理的各項功能,如排除網(wǎng)絡(luò)故障、配置網(wǎng)絡(luò)等,一般位于網(wǎng)絡(luò)中的一個主機節(jié)點上。被管(簡稱)是配合網(wǎng)絡(luò)管理的處理實體,駐留在被管理對象上。被管監(jiān)測所在網(wǎng)絡(luò)部件的工作狀況,收集有關(guān)網(wǎng)絡(luò)信息。公共網(wǎng)絡(luò)管理協(xié)議描述了管理器與被管之間的數(shù)據(jù)通信機制。

3 主動式網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)

3.1 需求分析

一般企業(yè)網(wǎng)內(nèi)部資源的安全策略(諸如訪問權(quán)限、存取控制等)是基于IP地址進行的,如果入侵者利用管理方面的漏洞,盜取合法用戶的權(quán)限或IP地址,將會對企業(yè)內(nèi)部造成重大損失,因此,系統(tǒng)主要從以下幾個方面考慮安全監(jiān)控問題:

1)企業(yè)網(wǎng)內(nèi)部主機資源的安全。 企業(yè)網(wǎng)內(nèi)部主機除了應(yīng)用傳統(tǒng)的防火墻、入侵檢測系統(tǒng)以外,還可應(yīng)用強制訪問控制機制對本機內(nèi)部的重要資源實施強制訪問控制保護;

2)入侵檢測。在發(fā)現(xiàn)非法攻擊或者非法用戶企圖操作主機文件時,可通過入侵檢測機制發(fā)現(xiàn)入侵者來源,阻斷入侵者的非法操作,記錄入侵主機相關(guān)信息等;

3)企業(yè)網(wǎng)的接入安全 企業(yè)網(wǎng)安全監(jiān)控的另一主要目的即對企業(yè)網(wǎng)內(nèi)部的非法接入進行監(jiān)控,發(fā)現(xiàn)非法入網(wǎng)者,主動地采取相關(guān)措施避免和阻止類似情況的發(fā)生,實現(xiàn)企業(yè)網(wǎng)安全的外部屏障;

4)安全審計,監(jiān)控系統(tǒng)應(yīng)當(dāng)具備記錄監(jiān)控信息的能力;

5)通訊機制,除了各子系統(tǒng)本身的主動式的反應(yīng)機制、通訊機制和控制機制以外,監(jiān)控系統(tǒng)還應(yīng)當(dāng)建立通訊體系,向上級監(jiān)控模塊提供安全監(jiān)控信息,為管理機構(gòu)制定相關(guān)策略提供有價值的參考。

3.2 ANSMS 系統(tǒng)設(shè)計方案

主動式網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)(ANSMS,Active Network Security Monitor System)從功能上可分為兩個子系統(tǒng):主機強制訪問控制監(jiān)控子系統(tǒng)(MACMS,Mandatory Access Control Monitor Subsystem)和企業(yè)網(wǎng)非法接入防范子系統(tǒng)(ICMS,Illegal Connection Monitor Subsystem)。主機強制訪問控制監(jiān)控子系統(tǒng)主要分為四個模塊:強制訪問控制模塊、入侵檢測模塊、審計模塊和通訊模塊。

1)強制訪問控制模塊:建立和管理安全標(biāo)簽庫,實現(xiàn)對用戶進程和文件安全標(biāo)簽的管理,在對進程和文件的安全標(biāo)簽進行比較后,根據(jù)相關(guān)規(guī)則決定進程對文件的操作權(quán)限和操作方式;

2)入侵檢測模塊,檢測網(wǎng)絡(luò)入侵操作并進行阻斷,記錄入侵主機的IP地址和入侵時間,將其記入安全日志當(dāng)中;

3)安全審計模塊 對強制訪問控制的監(jiān)控信息進行安全審計,記錄入侵主機和非法操作進程,統(tǒng)計和審核,對高危險性和頻繁多發(fā)的操作進行分類和統(tǒng)計;

4)通訊模塊 與安全監(jiān)控模塊實現(xiàn)通訊,及時地通報和匯總安全信息。企業(yè)網(wǎng)非法接入防范子系統(tǒng)主要分為四個模塊:非法接入的檢測模塊、非法接入的處理模塊和審計模塊。

4 企業(yè)網(wǎng)防范非法接入監(jiān)控子系統(tǒng)

4.1 非法接入防范策略

非法接入是指沒有經(jīng)過科技部門允許直接將各類計算機和移動設(shè)備接入內(nèi)聯(lián)網(wǎng)的行為。網(wǎng)絡(luò)上出現(xiàn)不經(jīng)常使用的IP、IP和MAC映射表與科技部門認(rèn)定的不一致等現(xiàn)象,都可以認(rèn)為是非法接入。這類非法事件雖不是暴力入侵,但可能在內(nèi)聯(lián)網(wǎng)傳播病毒、移植木馬和泄露內(nèi)聯(lián)網(wǎng)業(yè)務(wù)機密信息等嚴(yán)重的后果,而且發(fā)生的主要原因是內(nèi)控措施不利和內(nèi)部人員的安全意識不夠,所以很難預(yù)防和控制。

非法接入的主要途徑――IP 地址盜用侵害了 Internet 網(wǎng)絡(luò)的中正常用戶的權(quán)益,并且給網(wǎng)絡(luò)計費、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)運行帶來巨大的負(fù)面影響,因此解決 IP地址盜用成為當(dāng)前一個迫切的問題?;贗P盜用的非法接入的形式繁多,常見的主要有以下幾種:不經(jīng)過系統(tǒng)分配自己配置IP地址;修改 IP-MAC 地址對為合法用戶的地址;收發(fā)數(shù)據(jù)包時修改IP 地址。

在上述防范措施的基礎(chǔ)上,結(jié)合用戶認(rèn)證和IP-MAC-PORT三者綁定的技術(shù),首先確保合法用戶通過認(rèn)證,再通過SNMP協(xié)議編寫相關(guān)的網(wǎng)絡(luò)管理軟件,輪詢交換機等網(wǎng)絡(luò)設(shè)備,獲取當(dāng)前網(wǎng)絡(luò)中主機的IP地址和MAC地址等信息,與原始IP-MAC對照表進行比對,進而發(fā)現(xiàn)非法的IP地址和接入點。企業(yè)網(wǎng)監(jiān)控著重于監(jiān)控網(wǎng)絡(luò)當(dāng)前主機狀況,發(fā)現(xiàn)非法接入點,采取相關(guān)行動阻止非法用戶接入網(wǎng)內(nèi)。具體的設(shè)計方案為:用戶注冊模塊,IP盜用檢測模塊,IP盜用處理模塊,安全審計模塊,通訊模塊和安全監(jiān)控模塊。

4.2 簡單網(wǎng)絡(luò)管理協(xié)議 SNMP

SNMP 的網(wǎng)絡(luò)管理模型包括以下關(guān)鍵元素:管理站、者、管理信息庫、網(wǎng)絡(luò)管理協(xié)議。管理站一般是一個分立的設(shè)備,也可以利用共享系統(tǒng)實現(xiàn)。管理站被作為網(wǎng)絡(luò)管理員與網(wǎng)絡(luò)管理系統(tǒng)的接口。SNMP 中的對象是表示被管資源某一方面的數(shù)據(jù)變量。對象被標(biāo)準(zhǔn)化為跨系統(tǒng)的類,對象的集合被組織為管理信息庫(MIB,Management Information Base)。MIB 作為設(shè)在者處的管理站訪問點的集合,管理站通過讀取 MIB 中對象的值來進行網(wǎng)絡(luò)監(jiān)控。管理站可以在者處產(chǎn)生動作,也可以通過修改變量值改變者處的配置。

SNMP 的規(guī)范 SMI(Structure of Management Information)為定義和構(gòu)造MIB提供了一個通用的框架。同時也規(guī)定了可以在MIB中使用的數(shù)據(jù)類型,說明了資源在 MIB 中怎樣表示和命名。SMI 避開復(fù)雜的數(shù)據(jù)類型是為了降低實現(xiàn)的難度和提高互操作性。MIB 中的每個對象類型都被賦予一個對象標(biāo)識符(OID),以此來命名對象。另外,由于對象標(biāo)識符的值是層次結(jié)構(gòu)的,因此命名方法本身也能用于確認(rèn)對象類型的結(jié)構(gòu)。

在 TCP/IP 網(wǎng)絡(luò)管理的建議標(biāo)準(zhǔn)中,提出了多個相互獨立的 MIB,其中包含為 Internet 的網(wǎng)絡(luò)管理而開發(fā)的 MIB-II。管理站和者之間以傳送 SNMP 消息的形式交換信息。每個消息包含一個指示 SNMP 版本號的版本號,一個用于本次交換的共同體名,和一個指出 5 種協(xié)議數(shù)據(jù)單元之一的消息類型。

4.3 非法接入防范子系統(tǒng)

SNMP++是一套 C++類的集合,它為網(wǎng)絡(luò)管理應(yīng)用的開發(fā)者提供了 SNMP 服務(wù)。SNMP++并非是現(xiàn)有的 SNMP 引擎的擴充或者封裝。事實上為了效率和方便移植,它只用到了現(xiàn)有的 SNMP 庫里面極少的一部分。SNMP++也不是要取代其他已有的 SNMPAPI,比如 WinSNMP。SNMP++只是通過提供強大靈活的功能,降低管理和執(zhí)行的復(fù)雜性,把面向?qū)ο蟮膬?yōu)點帶到了網(wǎng)絡(luò)編程中??梢岳肧NMP++來實現(xiàn)非法接入防范子系統(tǒng)的設(shè)計相關(guān)工作。在具體過程中需要考慮:

1)非法用戶只修改IP地址,通過比較原始IP地址分配表可發(fā)現(xiàn)非法的IP地址,進而關(guān)閉其端口,阻止其接入企業(yè)網(wǎng);

2)非法用戶成對修改 IP-MAC 地址方面。

5 結(jié)束語

隨著 Internet 的運用愈加廣泛,網(wǎng)絡(luò)安全和信息安全的問題日益突出,入侵主機通過修改相關(guān)設(shè)置入侵企業(yè)網(wǎng)并在網(wǎng)內(nèi)主機上安置木馬程序,對企業(yè)網(wǎng)內(nèi)部資源造成很大的危害,嚴(yán)重影響了企業(yè)網(wǎng)內(nèi)部資源的共享和保密性要求。論文提出的主動式網(wǎng)絡(luò)安全監(jiān)控可有效的解決本地和網(wǎng)絡(luò)入侵以及外部非法接入的隱患,具有較高的安全性、易用性和可擴展性。

參考文獻:

第6篇:安全審計論文范文

論文摘要:針對一般網(wǎng)絡(luò)應(yīng)用系統(tǒng)的特征,融合了數(shù)據(jù)加密、身份認(rèn)證和訪問控制三種安全技術(shù)和機制,并充分考慮了系統(tǒng)安全性需求與可用性、成本之間的平衡,提出了一個以信息資源傳輸和存儲安全保護,身份認(rèn)證安全管理和資源訪問安全控制為基本要素的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型,為加強中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全性提供了一個比較簡單可行的方案。

0引言

由于網(wǎng)絡(luò)環(huán)境的特殊性,每一個投人使用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)都不可避免地面臨安全的威脅,因此,必須采取相應(yīng)的安全措施。國內(nèi)在信息安全方面已做了很多相關(guān)研究,但大多是單獨考慮資源保護或身份認(rèn)證等某一方面,而對如何構(gòu)建一個相對完善且通用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全解決方案研究不多。本文在ISO提出的安全服務(wù)框架下,融合了數(shù)據(jù)加密、身份認(rèn)證和訪問控制三種安全技術(shù)和機制,并充分考慮了系統(tǒng)安全性需求與可用性、成本等特性之間的平衡,提出了一個以信息資源傳輸和存儲安全保護、身份認(rèn)證安全管理和資源訪問安全控制為基本要素的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型,為加強中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全性提供了一個比較簡單可行的方案。

1網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型設(shè)計

1.1信息安全模型總體設(shè)想

本文提出的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型主要基于三個要素:信息資源傳輸和存儲安全保護,身份認(rèn)證安全管理以及用戶對資源訪問的安全控制。整個信息安全模型如圖1所示。模型利用過濾器來區(qū)分敏感數(shù)據(jù)與非敏感數(shù)據(jù),對于非敏感數(shù)據(jù)直接以明文形式進人信息資源層處理,而對敏感數(shù)據(jù)則采用加密傳輸通道進行傳輸,且需要經(jīng)過身份認(rèn)證層與訪問控制層的控制后才能進人信息資源層。這樣的設(shè)計在保證了信息傳輸和存儲較高的安全性的同時,減少了身份認(rèn)證層與訪問控制層的系統(tǒng)開銷,大大提高了系統(tǒng)的運行效率。而在信息資源層,則是通過備份機制、事務(wù)日志和使用常用加密算法對數(shù)據(jù)庫中數(shù)據(jù)進行處理,來保障信息傳輸和存儲的安全。

1.2身份認(rèn)證層的設(shè)計

身份認(rèn)證層主要包括兩部分:用戶身份認(rèn)證和用戶注冊信息管理,采用了基于改進的挑戰(zhàn)/應(yīng)答式動態(tài)口令認(rèn)證機制。

目前使用比較普遍的是挑戰(zhàn)/應(yīng)答式動態(tài)口令認(rèn)證機制,每次認(rèn)證時服務(wù)器端都給客戶端發(fā)送一個不同的“挑戰(zhàn)”字串,客戶端收到這個字串后,作出相應(yīng)的”應(yīng)答”。但是,標(biāo)準(zhǔn)的挑戰(zhàn)/應(yīng)答動態(tài)口令認(rèn)證機制具有攻擊者截獲隨機數(shù)從而假冒服務(wù)器和用戶,以及口令以明文形式存放在數(shù)據(jù)庫中易受攻擊兩個缺點。在本模型采用的改進的挑戰(zhàn)/應(yīng)答式動態(tài)口令認(rèn)證機制中,通過1.4節(jié)中論述的敏感數(shù)據(jù)加密通道對隨機數(shù)進行加密傳輸解決了上述第一個問題;通過在客戶端將用戶口令經(jīng)M DS算法散列運算并保存在服務(wù)器端數(shù)據(jù)庫解決了上述第二個問題,使得服務(wù)器在認(rèn)證時只需要比對客戶端處理后傳來的加密字符串即可。方案的具體流程如下:

1)服務(wù)器端口令的保存當(dāng)用戶在服務(wù)器端錄人注冊信息時,將用戶的密碼進行K次M DS散列運算放在數(shù)據(jù)庫中。

2)用戶請求登錄服務(wù)器端開始執(zhí)行口令驗證:當(dāng)用戶請求登錄服務(wù)器時,Web服務(wù)器在送出登錄頁面的同時產(chǎn)生一個隨機數(shù)并將其通過敏感數(shù)據(jù)加密傳輸通道發(fā)給客戶端。

3)客戶端M DS口令的生成客戶端首先重復(fù)調(diào)用與服務(wù)器端同樣的MDS運算K次,得到與保存在服務(wù)器端數(shù)據(jù)庫中的口令一致的消息摘要。然后,將從服務(wù)器傳來的隨機數(shù)與該口令相加后再調(diào)用客戶端的M DS散列運算函數(shù),將結(jié)果(M DS口令)通過敏感數(shù)據(jù)加密傳輸通道傳送給服務(wù)器。

4)服務(wù)器端對MDS口令的驗證服務(wù)器端收到客戶端傳來的用戶名和MDS口令后,通過查詢數(shù)據(jù)庫,將已存儲的經(jīng)過K次M DS散列運算的口令與隨機數(shù)相加后同樣進行M DS散列運算,并比較兩個結(jié)果是否相同,如相同則通過驗證,否則拒絕請求。整個用戶口令的生成和驗證過程如圖2所示。

1.3基于RBAC的訪問控制層的設(shè)計

訪問控制層主要包括兩部分:權(quán)限驗證與授權(quán)和資源限制訪問,采用了基于角色的訪問控制機制。在RBAC中引人角色的概念主要是為了分離用戶和訪間權(quán)限的直接聯(lián)系,根據(jù)組織中不同崗位及其職能,一個角色可以擁有多項權(quán)限,可以被賦予多個用戶;而一個權(quán)限也可以分配給多個角色。在這里,約束機制對角色和權(quán)限分配來說非常重要,本模型設(shè)計的約束機制主要包括以下幾方面:一是限制一個角色可以支持的最大用戶容量。如超級管理員這個角色對于應(yīng)用系統(tǒng)非常重要,只允許授權(quán)給一個用戶,該角色的用戶容量就是1。二是設(shè)置互斥角色。即不允許將互相排斥的角色授權(quán)給同一個用戶。如客戶類的角色和管理員類的角色是互斥的。三是設(shè)置互斥功能權(quán)限。即不允許將互相排斥的功能權(quán)限授權(quán)給同一個角色。如客戶類角色查看自己銀行賬戶余額信息的權(quán)限與修改自己賬戶余額的權(quán)限就是互斥的。

數(shù)據(jù)庫結(jié)構(gòu)設(shè)計是實現(xiàn)RBAC的重要環(huán)節(jié),良好的數(shù)據(jù)庫結(jié)構(gòu)設(shè)計本身就可以表述RBAC的要求。具體設(shè)計如下:

1)用戶信息表(User_info)保存用戶基本信息。其字段有用戶ID ( User ID )、用戶名稱(Username )、密碼(Passw )、用戶類型( Kind )。定義表中的Kind數(shù)據(jù)項與Role表中Kind數(shù)據(jù)項具有相同的形式。將用戶進行分類后,當(dāng)分配給用戶角色時可以指定用戶只能被分派到與其Kind屬性相同的角色,這樣就可以實現(xiàn)角色的互斥約束。

2)角色信息表(Role )、保存各個等級的角色定義信息。其字段有角色ID ( Role_ID )、角色名稱(Rolename )、角色種類( Kind)和角色描述(Role_ Desc ) o Kind數(shù)據(jù)項代表指定角色集合中的類別。

3)用戶/角色關(guān)系信息表(User_Role)保存用戶和角色的對應(yīng)關(guān)系,其字段有用戶ID和角色ID。當(dāng)向User_Role表中添加數(shù)據(jù)即給用戶分配角色時,要求User_ info表中要分配角色的用戶數(shù)據(jù)元組中的Kind數(shù)據(jù)項與Role表中相應(yīng)角色的元組Kind數(shù)據(jù)項相同,以實現(xiàn)一定尺度上的角色互斥,避免用戶被賦予兩個不能同時擁有的角色類型。

4)權(quán)限信息表(Permission)保存系統(tǒng)中規(guī)定的對系統(tǒng)信息資源所有操作權(quán)限集合。其字段有權(quán)限ID ( Per_ID ),操作許可(Per),資源ID( Pro_ID)和權(quán)限描述(Per Desc )。

5)角色/權(quán)限信息表(Role_ Per)保存各個角色應(yīng)擁有權(quán)限的集合。其字段有角色ID和權(quán)限ID。

6)系統(tǒng)信息資源秘密級別表(SecretLevel)保存規(guī)定的系統(tǒng)信息資源的秘密級別。其字段有資源ID,密級ID ( SecrLev_ID)和密級信息描述(Secr_Desc )。在客戶端和服務(wù)器端傳輸數(shù)據(jù)和存儲的過程中,通過查詢該表可以判斷哪些信息資源為敏感數(shù)據(jù),從而決定對其實施相應(yīng)的安全技術(shù)和機制。

7)角色繼承關(guān)系表(Role_ Heir)存放表述各種角色之間繼承關(guān)系的信息。其字段有角色ID,被繼承角色ID ( H_Role_ID )。角色繼承關(guān)系可以是一對一,一對多或多對多的,通過遍歷整個角色繼承關(guān)系表,就可以知道所有的角色繼承關(guān)系。

8)權(quán)限互斤表(MutexPer)保存表述角色對應(yīng)權(quán)限互斥關(guān)系的信息,其字段有權(quán)限ID和互斥權(quán)限ID。

1.4敏感數(shù)據(jù)加密傳輸通道的設(shè)計

設(shè)計敏感數(shù)據(jù)加密傳輸通道的目的是保障敏感信息在傳輸過程中的保密性與完整性。針對中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的特點,在充分對比各種數(shù)據(jù)加密傳輸解決方案的基礎(chǔ)上,從成本和效果兩方面出發(fā),我們選擇3DES加密算法對敏感數(shù)據(jù)進行加密。同時又結(jié)合了RSA算法對密鑰進行傳輸,從而解決了對稱加密算法缺乏非對稱加密算法}/}/公鑰的安全性這個問題。具體工作流程如下:

1)服務(wù)器端由RSA加密算法生成公鑰KSpub和私鑰KSpriv;

2)服務(wù)器端將公鑰KSpub傳送給客戶端;

3)客戶端接收公鑰KSpub,然后由3DES加密算法生成對稱密鑰Ksym,用KSpub加密Ksym ;

4)客戶端將加密后的Ksym傳送給服務(wù)器端;

5)服務(wù)器端用KSpriv解密得到Ksym ;

6)敏感數(shù)據(jù)加密傳輸通道建立成功,服務(wù)器端和客戶端以Ksym作為密鑰對敏感數(shù)據(jù)加/解密并傳輸。

1.5安全審計部分的設(shè)計

本模型中的安全審計記錄內(nèi)容包括三個方面:一是用戶信息,包括用戶名、用戶IP地址等;二是用戶行為信息,包括用戶訪問系統(tǒng)敏感資源的內(nèi)容、訪問系統(tǒng)資源的方式等;三是時間信息,包括用戶登錄和注銷的時間、特定行為發(fā)生的時間等。值得注意的是,安全審計跟蹤不僅要記錄一般用戶的行為,同時也要記錄系統(tǒng)管理員的行為。

第7篇:安全審計論文范文

在信息化時代,我們擁有極大的信息系統(tǒng)審計需求市場,信息系統(tǒng)審計已成為審計發(fā)展的新動力和新方向。然而我國信息系統(tǒng)審計的發(fā)展現(xiàn)狀還不能適應(yīng)時勢的需要,尤其是在推行基于國際性的標(biāo)準(zhǔn)COBIT 上的研究和實踐缺乏。為此,我們應(yīng)在全面把握我國信息系統(tǒng)存在問題的前提下,采取有效的對策,以適應(yīng)大規(guī)模的信息化建設(shè)的需要。

一、問題的提出信息及相關(guān)技術(shù)控制目標(biāo)標(biāo)準(zhǔn)(Control Ob2jectives for Information and related Technology , CO2BIT) 是美國信息系統(tǒng)審計與控制協(xié)會( InformationSystem Audit and Control Association , ISACA) 的信息技術(shù)治理學(xué)會( Information Technology GovernanceInstitute ,ITGI) 基于其原有的控制目標(biāo)體系,結(jié)合并改進現(xiàn)有的正在發(fā)展中的其他國際技術(shù)標(biāo)準(zhǔn)和工業(yè)標(biāo)準(zhǔn)而制定的控制目標(biāo)體系,為IT 的治理、安全與控制提供了一個一般適用的公認(rèn)標(biāo)準(zhǔn)。自1996 年問世以來,目前已經(jīng)更新至第四版,是國際上最先進、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn),已在全世界100 多個國家的重要組織與企業(yè)中運用,指導(dǎo)這些組織有效利用信息資源,有效管理與信息相關(guān)的風(fēng)險。最新版本COBIT 4. 0 更注重幫助董事會和員工應(yīng)對不斷增加的職責(zé),包括面向公司董事會和各級管理層適用的指引,由四部分組成,即管理人員概述、框架、核心內(nèi)容(控制目標(biāo)、管理方針和成熟模式) 和附錄(圖表、前后參照和術(shù)語表) 。核心內(nèi)容依據(jù)34 項IT 流程來劃分,全面介紹了如何控制、管理和測量每個流程。另外,COBIT 4. 0 分析如何將具體的控制目標(biāo)劃入五項IT 管理領(lǐng)域,以識別潛在缺口; 令COBIT 標(biāo)準(zhǔn)與其他標(biāo)準(zhǔn)( ITIL 、CMM、COSO、PMBOK、ISF 和ISO17799) 協(xié)調(diào)一致;闡述關(guān)鍵目標(biāo)指標(biāo)(key Goal Indicator ,KGI)和關(guān)鍵績效指標(biāo)(key performance indicator ,KPI) 之間的關(guān)系,說明KPI 如何推動實現(xiàn)KGI ;結(jié)合業(yè)務(wù)目標(biāo)、IT 目標(biāo)和IT 流程。COBIT 標(biāo)準(zhǔn)不僅為人們提供了信息系統(tǒng)控制目標(biāo)和IT 標(biāo)準(zhǔn),而且提供了信息系統(tǒng)的審計指南。它為信息系統(tǒng)審計師提供了較為系統(tǒng)的評估指標(biāo),從而規(guī)范信息系統(tǒng)審計師的審計思路,而且它提供的控制矩陣、管理明確診斷表和風(fēng)險評估表等科學(xué)的手段,讓信息系統(tǒng)審計師合理評估審計風(fēng)險,從而大大降低審計風(fēng)險,提高審計質(zhì)量。COBIT 標(biāo)準(zhǔn)對我國開展信息系統(tǒng)審計有很好的啟示和指導(dǎo)作用,我國應(yīng)大力推行基于COBIT 標(biāo)準(zhǔn)的信息系統(tǒng)審計。

二、我國信息系統(tǒng)審計存在的問題

1. 審計人才缺乏信息系統(tǒng)審計是會計、審計、信息系統(tǒng)、網(wǎng)絡(luò)技術(shù)與計算機應(yīng)用的交叉學(xué)科。開展信息系統(tǒng)審計,要求審計人員具有復(fù)合型的知識結(jié)構(gòu),既要掌握財會、審計知識,又要掌握信息系統(tǒng)、計算機與網(wǎng)絡(luò)技術(shù)。但我國現(xiàn)在大部分審計人員并不熟悉計算機是如何進行經(jīng)濟與會計業(yè)務(wù)處理的,不知道計算機處理與網(wǎng)絡(luò)技術(shù)的運用有什么風(fēng)險、怎么樣的控制才能有效降低這些風(fēng)險,也不掌握如何對計算機信息系統(tǒng)進行審計或利用計算機和網(wǎng)絡(luò)技術(shù)進行審計。計算機技術(shù)人員雖然對計算機和網(wǎng)絡(luò)技術(shù)比較熟悉,但他們又不熟悉會計、審計知識,不知道要審什么、該怎樣審。而開發(fā)實用性和通用性較強的審計軟件所需要的高層次、高水平的人員也很缺乏。

2. 法律法規(guī)不完備在信息化條件下,審計方法、對象、技術(shù)都發(fā)生了很大的變化,傳統(tǒng)的審計準(zhǔn)則體系、法律法規(guī)體系已不能完全適應(yīng)、指導(dǎo)和規(guī)范信息系統(tǒng)審計的實踐,而新的關(guān)于信息系統(tǒng)審計的程序標(biāo)準(zhǔn)、準(zhǔn)則和法律還沒有出臺或并不完備,有些甚至還是完全空白。例如,電子憑證、電子合同、數(shù)字簽名等的法律效力和保存要求;數(shù)字認(rèn)證機構(gòu)的認(rèn)定及其法律責(zé)任;計算機犯罪適用的法律;在信息系統(tǒng)審計中審計機構(gòu)的權(quán)力、責(zé)任和被審計單位的義務(wù)等。從近年情況看,我國的信息系統(tǒng)審計制度建設(shè)工作才剛起步,盡管國務(wù)院辦公廳、審計署、注冊會計師協(xié)會等機關(guān)和組織頒布或制定了一些準(zhǔn)則和規(guī)范,但是,這些準(zhǔn)則和規(guī)范還不完善,沒有形成系統(tǒng)性和結(jié)構(gòu)性。不僅缺乏對信息系統(tǒng)開發(fā)和系統(tǒng)功能審計方面的規(guī)范,還比較概括、籠統(tǒng),沒有相應(yīng)的實施細則。對信息系統(tǒng)審計尚處于摸索階段的我國審計人員來說,顯然還缺乏具體的指南。

3. 技術(shù)水平落后信息技術(shù)的高速發(fā)展與廣泛應(yīng)用使企業(yè)交易事項的大部分內(nèi)容由系統(tǒng)自動運作完成,人工軌跡遺留較少,傳統(tǒng)審計線索蕩然無存。這就要求信息系統(tǒng)審計必須參與和融入信息系統(tǒng)的設(shè)計過程,在執(zhí)行測試時必須穿越信息系統(tǒng),以確保對連續(xù)監(jiān)督程序和輸出結(jié)果的控制。在我國信息系統(tǒng)的設(shè)計與開發(fā)中,尚不具備充分的保留和提供審計線索的功能。審計人員完全處于被動地位,難以獲取充足的審計證據(jù)支持其審計結(jié)論,難以保證信息系統(tǒng)環(huán)境下的審計質(zhì)量。

三、發(fā)展我國信息系統(tǒng)審計的對策從上述對我國信息系統(tǒng)審計存在的問題的概要分析中,作者認(rèn)為,響應(yīng)國際發(fā)展趨勢,在信息系統(tǒng)控制和審計領(lǐng)域推行COBIT 標(biāo)準(zhǔn)無疑具有美好的發(fā)展前景。具體實施時可針對以下幾個方面進行改進。 1. 注重專業(yè)人才的培養(yǎng)COBIT 標(biāo)準(zhǔn)具有系統(tǒng)的和完備的框架體系,它的運用首先定位于信息及其相關(guān)技術(shù)的控制和管理,因此,它在整體上表現(xiàn)出IT 業(yè)的大量相關(guān)技術(shù)。這就意味著運用COBIT 標(biāo)準(zhǔn)實施信息系統(tǒng)審計的審計人員應(yīng)具有復(fù)合型的知識結(jié)構(gòu),既要掌握現(xiàn)代審計理論與實務(wù),又要掌握信息系統(tǒng)、計算機與網(wǎng)絡(luò)技術(shù)。目前,審計署干部培訓(xùn)中心開展的注冊信息系統(tǒng)審計師培養(yǎng)及與之相關(guān)的在審計人員中進行計算機知識的培訓(xùn)工作,正是為了適應(yīng)這一現(xiàn)實需要。在人員培訓(xùn)上,要求對低層次人員培訓(xùn)與高層次人才的培養(yǎng)、在職人員的培訓(xùn)與未來人才的培養(yǎng)進行統(tǒng)籌規(guī)劃。對較高層次的人才培養(yǎng),重點可放在信息系統(tǒng)的開發(fā)審計、系統(tǒng)的功能或應(yīng)用程序?qū)徲?、網(wǎng)絡(luò)安全審計和審計軟件的開發(fā)等方面;對未來審計人才的培養(yǎng),應(yīng)在高校會計專業(yè)教學(xué)計劃中增加IT 和電子商務(wù)等內(nèi)容,不僅要把信息系統(tǒng)審計列為必修課,而且應(yīng)對這門課的要求或大綱達成共識。審計機構(gòu)的管理人員也應(yīng)意識到,信息系統(tǒng)審計人才的培養(yǎng)不僅僅是對審計人員的培養(yǎng)。我們可以培訓(xùn)審計師成為掌握必要IT 技能的人員,但很難要求他們成為計算機、信息系統(tǒng)和網(wǎng)絡(luò)技術(shù)方面的專家。因此,審計機構(gòu)要改變以往由會計師獨唱主角的情況,計算機與網(wǎng)絡(luò)專家、信息系統(tǒng)與電子商務(wù)專家將在審計組織中擔(dān)任越來越重要的角色。審計機構(gòu)應(yīng)注意吸收這方面的人才,并進行審計知識和技能培訓(xùn),使他們能與會計師良好合作,更好地執(zhí)行信息系統(tǒng)審計任務(wù)。

2. 完善審計準(zhǔn)則從國際同業(yè)的實踐看,COBIT 標(biāo)準(zhǔn)已經(jīng)逐步成為通行準(zhǔn)則。我國應(yīng)遵循國際標(biāo)準(zhǔn)或規(guī)范,把COBIT 標(biāo)準(zhǔn)作為核心標(biāo)準(zhǔn), 同時, 借鑒ISOPIEC17799、ITIL 、PRINCE2、COSO、SOX 法案等其他國際標(biāo)準(zhǔn)和原則,進而確立適合自己的信息系統(tǒng)審計目標(biāo)、對象、范圍、方法、流程等。進一步完善與信息系統(tǒng)審計有關(guān)的法規(guī)和準(zhǔn)則,要在法律法規(guī)上,確定審計機構(gòu)和審計人員有權(quán)審查被審計算機的信息系統(tǒng)的功能與安全措施,有權(quán)利用網(wǎng)絡(luò)和審計軟件進行審計,被審單位應(yīng)對審計人員的信息系統(tǒng)審計給予積極的協(xié)助。在建設(shè)信息系統(tǒng)審計準(zhǔn)則體系時,可以借鑒ISACA 的做法,也采用三個層次體系結(jié)構(gòu),以基本準(zhǔn)則為核心,統(tǒng)領(lǐng)具體準(zhǔn)則和執(zhí)業(yè)指南,從而使整個準(zhǔn)則體系不斷擴展、完善。內(nèi)容劃分方式可分為審計的權(quán)利、義務(wù)與責(zé)任,審計人員和審計工作三大類,并按這些類別來制定準(zhǔn)則。信息系統(tǒng)審計準(zhǔn)則作為一個完整的準(zhǔn)則體系,各項具體準(zhǔn)則要相互依存、相互配合。在準(zhǔn)則的制定、上,應(yīng)當(dāng)遵循務(wù)實原則、接軌原則、配套原則和科學(xué)原則。ISACA 的做法是,先規(guī)劃出基本準(zhǔn)則的內(nèi)容,在此基礎(chǔ)上,有計劃、有步驟、按照現(xiàn)實需要出臺各項具體準(zhǔn)則、指南和程序。準(zhǔn)則采用分項制定,完成一項,一項,實施一項。這有利于信息系統(tǒng)審計準(zhǔn)則的全面順利的實施,也有利于信息系統(tǒng)審計人員循序漸進地正確掌握這一系列準(zhǔn)則,從而促進信息系統(tǒng)審計準(zhǔn)則在實務(wù)中迅速發(fā)揮作用。我們在信息系統(tǒng)審計準(zhǔn)則的制定、上,可參照ISACA 做法。同時,對國際上已有的成文準(zhǔn)則、習(xí)慣做法、專業(yè)術(shù)語,應(yīng)當(dāng)盡可能與國際慣例保持一致,盡量做到與國際慣例接軌。

3. 加強審計方面的IT 技術(shù)對于審計領(lǐng)域來說,COBIT 只是一套成文的信息技術(shù)控制標(biāo)準(zhǔn),它只是向信息系統(tǒng)審計人員指明了前進的道路,但究竟如何才能成功通向勝利的彼岸,卻有待審計人員自身去開發(fā)高效快捷的通向目標(biāo)的方式,尤其是在信息系統(tǒng)審計這樣一個高專業(yè)化、高技術(shù)性的審計業(yè)務(wù)領(lǐng)域。首先,應(yīng)注重軟件的開發(fā),如開發(fā)數(shù)據(jù)采集軟件,建立一種能夠容易訪問被審計單位不同介質(zhì)、不同編碼、不同類型的數(shù)據(jù)庫,以便打通采集信息系統(tǒng)所需原始數(shù)據(jù)的瓶頸;在軟件的研制方面,還要考慮審計作業(yè)發(fā)展趨勢,如在現(xiàn)有審計軟件基礎(chǔ)上開發(fā)、研制新的適用信息系統(tǒng)審計的分析工具。其次,聯(lián)網(wǎng)審計的加強,它是方便快捷地運用COBIT 標(biāo)準(zhǔn)的有力舉措。這種審計方式成功實現(xiàn)的關(guān)鍵是被審計單位的信息系統(tǒng)提供標(biāo)準(zhǔn)化的審計接口,因此,信息化的管理部門和審計部門應(yīng)加強宣傳,提倡甚至是嚴(yán)令監(jiān)督企業(yè)提供數(shù)據(jù)接口,以便聯(lián)網(wǎng)審計的展開。最后,就是專家系統(tǒng)的構(gòu)建,它能將基于COBIT 標(biāo)準(zhǔn)的成功案例進行積累和專業(yè)化,更好地為我們的信息系統(tǒng)審計工作服務(wù)。放眼未來之路,如何借鑒COBIT 標(biāo)準(zhǔn)開展適應(yīng)國際趨勢的而又探索有中國特色的信息系統(tǒng)審計道路,需要新時代的審計人員的不懈努力。我們只有充分認(rèn)識存在的問題的基礎(chǔ)上,才能有針對性地改進。中國審計人員將以倍增的熱情,迎接新技術(shù)革命的挑戰(zhàn),充滿豪情地投入到審計技術(shù)創(chuàng)新的洪流中。

[參考文獻]

[1 ]李 丹. 信息系統(tǒng)審計———傳統(tǒng)審計的一場革命[J ] .中國審計,2002 (1) :57 - 58.

[2 ] 錢 艷. 信息系統(tǒng)審計———網(wǎng)絡(luò)架構(gòu)、測試與評價[D] . 重慶大學(xué)碩士學(xué)位論文,2003.

[3 ]管亞梅. 信息系統(tǒng)審計———一種全新的審計模式的構(gòu)建思路[J ] . 科技進步與對策,2005 (12) :78 - 80.

[4 ]陳婉玲,楊文杰. ISACA 信息系統(tǒng)管理準(zhǔn)則及其啟示[J ] . 審計研究,2006 (增刊) .

[5 ]董 霞. 會計信息系統(tǒng)審計研究[D] . 天津財經(jīng)大學(xué)碩士學(xué)位論文,2006.

第8篇:安全審計論文范文

論文摘要:隨著當(dāng)代信息技術(shù)的發(fā)展,互聯(lián)網(wǎng)的共享性、開放性以及互聯(lián)程度也在不斷擴大。internet的廣泛普及,商業(yè)數(shù)字貨幣、網(wǎng)絡(luò)銀行等一部分網(wǎng)絡(luò)新業(yè)務(wù)的迅速興起,使得計算機網(wǎng)絡(luò)的安全問題越來越顯得重要,通過歸納總結(jié),提出網(wǎng)絡(luò)信息中的一些安全防護策略。

1.引言

網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性,決定了網(wǎng)絡(luò)安全威脅的客觀存在。當(dāng)前,隨著計算機技術(shù)的飛速發(fā)展,利用因特網(wǎng)高科技手段進行經(jīng)濟商業(yè)犯罪的現(xiàn)象已經(jīng)屢見不鮮了,因此,如何采用更加安全的數(shù)據(jù)保護及加密技術(shù),成為當(dāng)前計算機工作者的研究熱點與重點。網(wǎng)絡(luò)安全技術(shù),尤其是網(wǎng)絡(luò)信息的安全,關(guān)系到網(wǎng)民、企業(yè)甚至是國家的信息安全。因此,發(fā)展更加安全的網(wǎng)絡(luò)安全技術(shù),是關(guān)系到社會經(jīng)濟穩(wěn)定繁榮發(fā)展的關(guān)鍵,成為當(dāng)前計算機安全工作的重點。

2.網(wǎng)絡(luò)信息安全的風(fēng)險來源

影響計算機網(wǎng)絡(luò)安全的因索很多,既有自然因素,也有人為因素,其中人為因素危害較大,歸結(jié)起來豐要以下幾個方面:

(1)病毒感染

從“蠕蟲”病毒開始到cih、愛蟲病毒,病毒一直是計算機系統(tǒng)安全最直接的威脅。病毒依靠網(wǎng)絡(luò)迅速傳播,它很容易地通過服務(wù)器以軟件下載、郵件接收等方式進入網(wǎng)絡(luò),竊取網(wǎng)絡(luò)信息,造成很人的損失。

(2)來自網(wǎng)絡(luò)外部的攻擊

這是指來自局域網(wǎng)外部的惡意攻擊,例如:有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性;偽裝為合法用戶進入網(wǎng)絡(luò)并占用大量資源;修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機密信息、破壞軟件執(zhí)行;在中間站點攔截和讀取絕密信息等。

(3)來自網(wǎng)絡(luò)內(nèi)部的攻擊

在局域網(wǎng)內(nèi)部,一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后。竊取機密信息,破壞信息內(nèi)容,造成應(yīng)用系統(tǒng)無法運行。

(4)系統(tǒng)的漏洞及“后門”

操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷、無漏洞的。編程人員有時會在軟件中留有漏洞。一旦這個疏漏被不法分子所知,就會借這個薄弱環(huán)節(jié)對整個網(wǎng)絡(luò)系統(tǒng)進行攻擊,大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞” 和“后門”所造成的。

3.網(wǎng)絡(luò)信息安全的防護策略

現(xiàn)在網(wǎng)絡(luò)信息安全的防護措施必不可少。從技術(shù)上來說,計算機網(wǎng)絡(luò)安全主要由防病毒、入侵檢測等多個安全組件組成,就此對我們常用的幾項防護技術(shù)分別進行分析。

3.1防火墻技術(shù)

防火墻(ifrewal1)是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的系列部件的組合,它越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中,尤其以接入internet網(wǎng)絡(luò)為甚。不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安拿域之間信息都會經(jīng)過它的過濾,防火墻就會根據(jù)自身的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,而且它本身也具有較強的抗攻擊能力,不會被病毒控制。防火墻可以阻j網(wǎng)絡(luò)中的黑客來訪問你的機器,防止他們篡改、拷貝、毀壞你的重要信息。它為網(wǎng)絡(luò)信息的安全提供了很好的服務(wù),為我們更安全地使用網(wǎng)絡(luò)提供了很好的保障。

“防火墻”技術(shù)是指假設(shè)被保護網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)而采取的一種安全保障技術(shù),它通過監(jiān)測、限制和更改通過“防火墻”的數(shù)據(jù)流,一方面盡可能地對外部網(wǎng)絡(luò)屏蔽被保護網(wǎng)絡(luò)的信息、結(jié)構(gòu),實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的保護,以防“人放火”;另一方面對內(nèi)屏蔽外部某些危險站點,防止“引火燒身”。因而,比較適合于相對獨立、與外部網(wǎng)絡(luò)互聯(lián)單一、明確并且網(wǎng)絡(luò)服務(wù)種類相對集中的統(tǒng)一互聯(lián)網(wǎng)絡(luò)系統(tǒng)。防火墻可對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計,如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。

通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。除了安全作用,有的防火墻還支持具有internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系vpn。vpn,可以將分部在世界各地的lan或?qū)S秒娮泳W(wǎng)有機地聯(lián)成一個整體。這樣一方面省去了專用通信線路,也達到了信息共享的目的。

3.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最藎木的安傘技術(shù),主要是通過對網(wǎng)絡(luò)傳輸?shù)男畔⑦M行數(shù)據(jù)加密來保障其安全性。加密是對網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問權(quán)加強限制的一種技術(shù)。原始數(shù)據(jù)(也稱為明文,plaintext)被加密設(shè)備(硬件或軟件)和密鑰加密而產(chǎn)生的經(jīng)過編碼的數(shù)據(jù)稱為密文(ciphertext)。解密是加密的反向處理,是將密文還原為原始明文,但解秘者必須利用相同類型的加密設(shè)備和密鑰,才能對密文進行解密。

3.3入侵檢測技術(shù)

入侵檢測系統(tǒng)(intrusiondetectionsystem,ids)是從多種計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息,再通過這些信息分析,對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別的網(wǎng)絡(luò)信息安全系統(tǒng)。入侵檢測系統(tǒng)具有多方面的功能:威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持等。入侵檢測技術(shù)是為保證計算機信息系統(tǒng)安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中朱授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

3.4病毒防護

可采用如下的方法或措施:

(1)合理設(shè)置殺毒軟什,如果安裝的殺毒軟什具備掃描電郵件的功能,盡量將這些功能傘部打開;

(2)定期檢查敏感文件;

(3)采取必要的病毒檢測和監(jiān)控措施;

(4)對新購的硬盤、軟盤、軟件等資源,使用前應(yīng)先用病毒測試軟件檢查已知病毒,硬盤可以使用低級格式化(dos中的format格式化可以去抻軟盤中的病毒,但不能清除硬盤引導(dǎo)的病毒);

(5)慎重對待郵件附件,如果收到郵件中有可執(zhí)行文件(如.exe、.com等)或者帶有“宏”的文殺一遍,確認(rèn)沒有病毒后再打開;

(6)及時升級郵件程序和操作系統(tǒng),以修補所有已知的安全漏洞。

3.5身份認(rèn)證技術(shù)

身份認(rèn)證(authentication)是系統(tǒng)核查用戶身份證明的過程,其實質(zhì)是查明用戶是否具仃它所請求資源的存儲使用權(quán)。身份識別(identificaiion)是指用戶向系統(tǒng)出示自己的身份證明的過程。這兩項上作通常被稱為身份認(rèn)證。

身份認(rèn)證至少應(yīng)包括驗證協(xié)議和授權(quán)協(xié)議。網(wǎng)絡(luò)中的各種應(yīng)用和計算機系統(tǒng)都需要通過身份認(rèn)證來確認(rèn)合法性,然后確定它的個人數(shù)據(jù)和特定權(quán)限。對于身份認(rèn)證系統(tǒng)來說,合法用戶的身份是否易于被別人冒充足它最重要的技術(shù)指標(biāo)。用戶身份被冒充不儀可能損害用戶自身的利益,也可能損害其他用戶的利益或整個系統(tǒng)。因此,身份認(rèn)證是授權(quán)控制的基礎(chǔ)。只有有效的身份認(rèn)證,才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。

安裝必要的安全軟件,殺毒軟件和防火墻這些都是必備的,而且還要安裝并使用必要的防黑軟件。我們一定要把這些安全防護措施及時應(yīng)在電腦中,在上網(wǎng)時一定要打開它們。最后要及時給系統(tǒng)打補丁,建議人家下載自己的操作系統(tǒng)對應(yīng)的補丁程序,這是我們網(wǎng)絡(luò)安全的恭礎(chǔ)。

第9篇:安全審計論文范文

【關(guān)鍵詞】內(nèi)部審計;信息化環(huán)境;審計技能;觀念意識

一、現(xiàn)代內(nèi)部審計的涵義

來自國家內(nèi)部審計協(xié)會(CIIA)《內(nèi)部審計基本準(zhǔn)則》的定義:“內(nèi)部審計是組織內(nèi)部的一種獨立客觀的監(jiān)督和評價活動,它通過審計和評價經(jīng)營活動及內(nèi)部控制的適當(dāng)性、合法性和效益性來促使目標(biāo)的實現(xiàn)?!眮碜試覍徲嬍稹蛾P(guān)于加強內(nèi)部審計工作的規(guī)定》的定義:“內(nèi)部審計是獨立監(jiān)督和評價本單位及所屬單位財政收支、財務(wù)收支、經(jīng)濟活動的真實、合法效益的行為,以促進加強經(jīng)濟管理和實現(xiàn)經(jīng)濟目標(biāo)。”來自國際內(nèi)部審計師協(xié)會(IIA)《內(nèi)部審計專業(yè)實務(wù)標(biāo)準(zhǔn)》的定義:“內(nèi)部審計是一種獨立、客觀的確認(rèn)和咨詢活動,旨在增加價值和改善組織的運營。它通過系統(tǒng)、規(guī)范的方法,評價并改善風(fēng)險管理、控制和治理過程成的效果,幫助組織實現(xiàn)其目標(biāo)。

該定義以幫助組織增加價值為目標(biāo),以關(guān)注組織風(fēng)險為主線,以組織的風(fēng)險管理、內(nèi)部控制和組織治理為內(nèi)部審計業(yè)務(wù)的三大領(lǐng)域。這表明內(nèi)部審計的職能是站在組織整體利益的立場上,發(fā)揮增加組織價值和提高組織效率的作用。

二、現(xiàn)代內(nèi)部審計的特點

現(xiàn)代企業(yè)的內(nèi)部審計已經(jīng)不僅僅是事后的傳統(tǒng)意義上的財務(wù)審計,其職能也不僅僅是提供保證服務(wù);而是向事中審計、事后審計發(fā)展,其職能更側(cè)重于監(jiān)督、評價和咨詢。并且,高質(zhì)量的企業(yè)內(nèi)部審計總是把經(jīng)營審計放在財務(wù)審計之上。

根據(jù)《內(nèi)部審計專業(yè)實務(wù)標(biāo)準(zhǔn)》所體現(xiàn)的觀點,“內(nèi)部審計是一種獨立、客觀的保證與咨詢活動,目的是為機構(gòu)增加價值并提高機構(gòu)的運作效率。它采取系統(tǒng)化、規(guī)范化的方法來對風(fēng)險管理、控制及治理程序進行評估和改善,從而幫助機構(gòu)實現(xiàn)其目標(biāo)。”內(nèi)部審計是管理審計,它具有以下幾個特點:

1.內(nèi)部審計是一種獨立、客觀的保證與咨詢活動。

2.內(nèi)部審計服務(wù)于企業(yè)整體價值的提高,具有增值作用。

3.內(nèi)部審計遵循成本與效益原則。

4.內(nèi)部審計的內(nèi)容具有廣泛性和全面性。

內(nèi)部審計的內(nèi)容涉及企業(yè)經(jīng)營管理的方方面面,按業(yè)務(wù)內(nèi)容可將其分為:經(jīng)營審計、績效審計、質(zhì)量審計、合同審計、安全審計、保密審計、財務(wù)審計、IT信息系統(tǒng)審計、合規(guī)性審計、經(jīng)濟責(zé)任審計等。正是因為內(nèi)部審計具有上述的廣泛性和全面性的特點,所以內(nèi)部審計人員作為一個集體應(yīng)該具備開展審計業(yè)務(wù)所需的知識技能、邏輯思維能力、分析判斷能力和其他能力;如果內(nèi)部審計人缺乏從事工作所需要的知識或經(jīng)驗,可以通過職業(yè)培訓(xùn)、后續(xù)教育,或通過實踐鍛煉得以提升。

三、“十二五”審計發(fā)展規(guī)劃提出的信息化要求

加大對國家信息化建設(shè)情況的審計力度,建立和完善電子審計體系;深入總結(jié)審計實踐經(jīng)驗,創(chuàng)新審計方式和方法,不斷探索符合我國發(fā)展實際的審計方式和方法。

以數(shù)字化為基礎(chǔ),創(chuàng)新計算機審計的形式和內(nèi)容,總結(jié)推廣數(shù)字化審計模式,探索形成適應(yīng)信息化環(huán)境的審計方式。大力推進電子審計體系建設(shè),努力提高審計工作的信息化水平,不斷完善以審計業(yè)務(wù)信息化和審計管理數(shù)字化為主要內(nèi)容的審計信息化系統(tǒng)。

提高審計業(yè)務(wù)信息化水平。完善并推廣現(xiàn)場審計實施系統(tǒng),積極開展信息系統(tǒng)審計;組織開展對重要單位的聯(lián)網(wǎng)審計;積極探索統(tǒng)一組織項目、聯(lián)網(wǎng)跟蹤等審計組織方式。提高審計管理數(shù)字化水平,創(chuàng)新信息化環(huán)境下的審計管理方式。

整合審計資源,實現(xiàn)聯(lián)互通、資源共享,促進審計業(yè)務(wù)協(xié)同,提升審計資源的配置效率。發(fā)揮內(nèi)部審計與外部審計的協(xié)調(diào)的作用,統(tǒng)籌安排相關(guān)審計工。

四、信息化與審計人員應(yīng)具備的新技能

信息化數(shù)據(jù)處理環(huán)境下,審計對象的經(jīng)濟業(yè)務(wù)運作方式、控制措施及作為審計線索和審計證據(jù)的財務(wù)、非財務(wù)數(shù)據(jù),要求審計人員不僅要有審計方面的專業(yè)知識,還應(yīng)具備信息化數(shù)據(jù)處理方面的知識。為適應(yīng)信息化環(huán)境的需要,應(yīng)當(dāng)培養(yǎng)復(fù)合型審計人才。通常,現(xiàn)代審計人員應(yīng)具備以下能力:

一是全面運用信息系統(tǒng)辦公的能力。特別是能掌握應(yīng)當(dāng)掌握常用的財務(wù)軟件,如:用友財務(wù)軟件、金蝶財務(wù)軟件等,打開被審計單位數(shù)據(jù)庫;能把數(shù)據(jù)下載到審計人員的計算機,并轉(zhuǎn)換成為審計人員可閱讀的數(shù)據(jù)格式。

二是精通使用審計業(yè)務(wù)軟件能力。審計人員應(yīng)掌握通用軟件或?qū)S脤徲嫎I(yè)務(wù)軟件進行數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)分析能力。

三是運用聯(lián)網(wǎng)審計能力,審計人員應(yīng)具備在審計現(xiàn)場搭建聯(lián)網(wǎng)審計平臺、實現(xiàn)資源共享和網(wǎng)絡(luò)化審計、應(yīng)用信息化手段對資金實現(xiàn)過程化的相對實時的監(jiān)控能力,并能發(fā)現(xiàn)和排除常見的軟件、硬件故障。

四是開展信息系統(tǒng)審計的能力。培養(yǎng)審計人員懂得信息系統(tǒng)審計程序、信息技術(shù)治理、系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理、IT服務(wù)支持、信息資產(chǎn)的保護、災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)能力。

信息化環(huán)境下,業(yè)務(wù)處理過程包括了人員手工處理、計算機系統(tǒng)處理、人與計算機進行交互處理,內(nèi)部控制的重點變成了人及其處理的業(yè)務(wù)、人機交互處理過程、計算機系統(tǒng)業(yè)務(wù)處理過程和不同系統(tǒng)之間的傳遞過程,內(nèi)部控制的重點和環(huán)節(jié)發(fā)生了很大變化。對信息系統(tǒng)的審計,應(yīng)做到一般控制審查和應(yīng)用控制審查相結(jié)合;只有對系統(tǒng)的內(nèi)部控制實施審計,才能了解內(nèi)部控制運行狀況并確定后續(xù)實質(zhì)性測試的重點和審計程序的范圍。

五、新時期審計人員應(yīng)具有的新意識或新觀念

一是樹立服務(wù)理念。服務(wù)是內(nèi)部審計人員的職責(zé),內(nèi)部審計人員應(yīng)當(dāng)始終樹立服務(wù)理念,當(dāng)好領(lǐng)導(dǎo)決策的參謀和助手,發(fā)揮建設(shè)性作用。