安全审计系统(通用9篇)
篇1:安全审计系统
网吧安全审计系统安全保密协议
甲方:
市公安局
分局 乙方(网吧):
为保障网吧互联网络正常运行,保护上网消费人员的身份信息安全,按照国家相关法律、法规之规定,甲、乙双方就网吧安全审计系统安装使用中的保密事项达成如下协议:
1、甲、乙双方工作人员应对网吧信息、上网消费人员的身份信息等承担保密义务;
2、除甲、乙双方工作人员以外,任何单位和个人不得查看、使用网吧安全审计系统;
3、乙方应指定专人负责管理和使用网吧安全审计系统,不得转租、借用或作其他用途;
4、乙方应严格管理系统登录帐号和密码,不得对系统进行任何删除、增加或修改;
5、乙方对甲方依法进行的各类检查、调查工作承担保密义务。
本协议一式三份,市公安局网监支队一份,甲、乙双方各执一份。
甲方:
乙方:
(盖章)
(盖章)年
月
日
****年**月**日
篇2:安全审计系统
信息系统安全审计定义与发展
信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段,也是威慑、打击内部计算机犯罪的重要手段。在国际通用的CC准则(即ISO/IEC15408-2:1999《信息技术安全性评估准则》)中对信息系统安全审计(ISSA,Information System Security Audit)给出了明确定义:信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等。这是国际CC准则给出的一个比较抽象的概念,通俗来讲,信息安全审计就是信息网络中的“监控摄像头”,通过运用各种技术手段,洞察网络信息系统中的活动,全面监测信息系统中的各种会话和事件,记录分析各种网络可疑行为、违规操作、敏感信息,帮助定位安全事件源头和追查取证,防范和发现计算机网络犯罪活动,为信息系统安全策略制定、风险内控提供有力的数据支撑。
(一)国内信息系统安全审计发展历史与国外相比,中国的信息系统安全审计起步较晚,相关审计技术、规范和制度等都有待进一步完善。随着我国信息化水平快速提高,信息系统安全审计正逐渐成为国内信息系统安全建设热点之一。我国的信息系统安全审计发展可分为两个阶段:1999年-2004年 信息系统安全审计导入期1999年财政部颁布了《独立审计准则第20号-计算机信息系统环境下的审计》,部分内容借鉴了国外研究成果。这是国内第一次明确提出对计算信息系统审计的要求。同年,国家质量技术监督局颁布《GB17859-1999 计算机信息系统安全保护等级划分准则》,该准则是建立计算机信息系统安全保护等级制度,实施安全保护等级管理的重要基础性标准,其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。”2005年-2009年 信息系统安全审计的快速成长期随着互联网在国内的迅速普及应用,推动国内信息系统安全审计进入快速发展阶段。国家相关部门、金融行业、能源行业、运营商均陆续推出多项针对信息系统风险管理政策法规,推动国内信息系统安全审计快速发展。目前,随着信息安全建设的深入,安全审计已成为国内信息安全建设的重要技术手段。总体来看,由于信息系统发展水平和业务需求的不同,各行业对安全审计的具体关注点存在一定差异,但均是基于政策合规、自身安全建设要求,如:政府主要关注如何满足“信息系统安全等级保护”等政策要求的合规安全审计;电信运营商则基于自身信息系统风险内控需求进行安全审计建设。
篇3:经济安全审计预警系统架构研究
后金融危机时代,美国采取一系列刺激经济的扩张性财政政策,诸如大规模发行货币来刺激消费来达到经济复苏的目的,这使中国改革开放三十年积累千亿的外汇储备财富随美元的贬值灰飞烟灭。随着全球经济一体化引发的国际经济战争愈加频繁,越来越多的国家开始关注军事安全以外的经济安全问题。而我国在融入全球一体化进程中,由于缺乏实践操作经验,在深化经济改革和完善法律法规时导致过多依赖国际金融服务机构的指导,结果都或多或少渗透着国外经济团体的决策诱导,这导致我国经济主权不断遭受隐形侵害。而在不良影响显现出来之前却不被关注,直到经济主权受到侵蚀的相关案例越来越多才引起我们重视。2009年力拓间谍案就充分暴露了我国对经济安全战略性防御的薄弱。
1 经济安全审计预警系统基本概念
1.1 经济安全
经济安全是指国家经济在发展中不受破坏、侵蚀和震荡的健康运行状态,主要是指一国经济在整体上基础稳固、健康运行、稳健增长、持续发展,在国际经济生活中具有一定的自主性、自卫力和竞争力,不致于因为某些问题的演化而使整个经济受到过大的打击和(或)损失过多的国民经济利益,能够避免或化解可能发生的局部性或全局性的经济危机[1]。
1.2 经济安全审计
经济安全审计是由政府审计机构主导,民间审计组织协同,审计科研院所提供技术支持,共同以维护国家经济安全为目的,对特定的、潜在地影响国家经济安全的经济行为为审计对象,通过审计技术手段和方法查找危害国家安全的经济风险,把审计结果报送相关使用部门来达到防范、预警经济风险的作用。
1.3 经济安全审计对象
在微观上有外资或国外组织参与的国内经济事项或在国外的国有资产投资项目,在宏观上要关注国家经济体制变化和经济危机的风险积聚因素。
1.4 经济安全审计预警系统
国家经济安全审计预警系统是为了对国家经济安全进行审计,警示宏观经济运行和具体经济事件中的不良影响来达到维护国家经济安全目的而建设的软硬件设施,包括组织机构、人力资源、审计方法设计、网络运行建设,理论研究等相配套的软硬件构成总体运行系统。
2 经济安全审计预警系统架构设计
2.1 经济安全审计预警系统的组织架构设计
经济安全审计预警系统作为国家监控经济运行的机构,在体制上应隶属国家审计署,在其下设独立的审计监察部门。经济安全审计预警系统的组织结构如图1所示。
2.2 经济安全审计预警系统运行的制度设计
通过立法形式明确审计机关进行经济安全审计的权力。在《中华人民共和国宪法》、《中华人民共和国审计法》中赋予国家审计机关维护经济安全的权力。以法律政策支持经济安全审计预警系统有效运转,各个部门在法律框架内分工协作:(1)宏观经济检测部门实时监控影响国家宏观经济发展的因素来防范经济风险,并定期向主管部门上报宏观经济运行状况的分析专项报告来警示宏观经济风险来达到防患于未燃;(2)经济安全分析部门有权利对具体的重大经济行为进行实时审计监控、对国际贸易或者某行业发展不均衡进行专项审计调研,评估其发展对国家经济安全的影响,排除损害国家经济安全因素,从而保障国家经济利益不受损害;(3)审计结果报告部门对审计评估结果以定期报告或专项报告的形式汇报给后续使用部门的同时,还需要对具体经济行为的后续跟踪审计,实时监控来维护国家经济安全;(4)数据信息处理中心技术支持部门负责从国家其他部门或组织采集数据,作为数据储备以供监管分析使用。
2.3 经济安全审计预警系统运行的技术支持设计
2.3.1 完善经济安全审计预警系统的软硬件设施
预警系统管理模式按照审计执行和审计科研两大机构脉络,在审计执行层面由政府审计工作人员整合现有资源进行国家经济安全审计,拓宽审计范围、制定审计方案,在宏观经济领域和具体经济事项的审计监控中维护国家经济安全。在审计科研层面不断开发创新审计理论、审计方法来提高审计技术,一方面,可通过成立学术委员会,鼓励和支持业务和技术人员深化事前审计理论体系研究,丰富预警研究方法,实现保证审计评估经济安全预警的工作物质基础和智力结构。另一方面,通过加强与专业审计机构、民间科研团体及高校审计研究部门机构的合作,以科研课题、项目创新等形式共同开发审计资源。让审计预警平台参与各方在具备审计执行力的同时加强学术研究以及审计技术的创新完善来保证审计操作理论的不断更新,相互促进理论与实践的联动效应,加深双方对维护国家经济安全领域和方法的理解,并吸收更多社会力量加入到维护国家经济安全的工作中来。
2.3.2 建立和完善数据采集汇总子系统
构建的经济安全审计预警系统在维护国家经济安全要对国家运行的经济数据进行采集和汇总分析。所以建设完善、强大的数据库是先决条件。首先,由国家审计署对目前各省地方审计机构已经构建的网络审计平台进行功能拓宽改造,进行数据互联共享等审计资源整合,形成包含系统管理、数据采集转换、数据管理、审计查询、审计分析等多项基本功能的审计网络平台,并利用资源共享、数据互通的优势,完成各类宏观数据库建设。其次,数据信息处理中心与其他政府职能部门建立数据传输接口,运用网络平台对国家经济运行数据进行采集汇总,对财政局、统计局、发展及改革委员会、国家信息中心等部门的数据接口进行对接,丰富数据来源,并对采集得到的数据形成数据储备库来满足多角度审计评估的需要。第三,在数据库系统的开发和使用上要能保证数据库软硬件的安全性、保密性、稳定性和开放性,数据库的设计原理要方便数据分类查找并实现智能查询功能。
2.3.3 建立和完善采集汇总数据检测子系统
数据采集子系统是基于硬件资源的有效整合而平稳运行的子系统,数据检测子系统是基于数据检验而运行的子系统。为要保证审计机关取得数据的准确性,一致性、持续性、可验证性要经得起考验,按以下程序对数据进行检测:(1)对采集汇总数据进行初步审计,对有疑点的数据要根据数据来源进行审计核实,检测异常数据对经济安全的影响程度。(2)对取得的数据应按照一般数据和专项数据的机密程度设置查询权限,对专项数据进行在政府审计机构监测预警的同时,可采用例如对相应的不涉机密的通用数据采取对外开放接受社会各界的检查,用全员审计来监督各个部门数据的真实性和准确性,来改变目前我国统计数据被全社会普遍质疑的现状,把维护国家经济安全的工作与整体国民互通,满足社会各界维护国家利益的诉求,发动全民监控来达到共同治理国家的愿望。审计机构自己的数据采集部门可以通过此类相应措施达到审计数据真实准确,从而完善判断国家经济安全基础经济数据的采集工作。
2.4 经济安全审计预警系统运行的主要功能设计
国家经济安全审计预警系统工作的重点,是对采集的经济数据通过数据整合分析技术、经济系统建模技术和政策模拟技术的多门类科学的综合运用,对包括宏观经济动态、重点行业经济安全及具体经济行为审计等多角度监控经济运行来维护经济安全。其工作主要分三个层次:
2.4.1 监测宏观经济发展趋势
工作重点是对目前国家基本经济制度是否受到侵害审查、经济主权是否受到威胁和经济危机是否已经开始产生,政府政策是否符合国家可持续发展战略等。(1)监测国家基本经济制度是否发生变化。对经济深化改革创新中的发展变化实时监控评估,保证其发展没有偏离社会主义市场经济的轨道。主要监控指标领域为社会主义公有制经济总量占社会经济比重、国有资本控股企业在国家经济运行中所占比重和决策影响力的大小等指标。(2)监测国家经济主权安全是否受到侵害。对内主要表现为经济发展方针政策的自主制定权、经济活动的管辖权、重要资源和战略产业的控制权等,对外主要表现为国际经济秩序的平等制定权、国际市场的自由利用权等。经济发展不等于经济安全,如果一国经济主权受到严重损害导致经济不安全,就迟早会影响经济发展。评估经济主权是否收到威胁的主要指标为经济方针政策的自主制定率、重要国际经济组织的投票权重、重要海峡无危险通过率、重要资源的外资勘探率和开采率、战略产业中的外资比重、被歧视性反倾销率、被歧视性反补贴率、对外投资的非国民待遇率等指标。(3)监测经济危机是否开始显现。主要监控指标有GDP增长率、固定资产投资增长率、财政赤字率、通货膨胀率、物价指数、金融资产缩水率、贸易收支赤字率、资本收支赤字率、外汇资产安全率、外债偿付安全率等指标。国家经济出现不稳定并不等于经济出现危机。由于经济危机的风险小不等于经济主权没有遭到损害,又使我们不再认为经济迅速发展或者经济基本稳定就是经济安全。
2.4.2 监控重点行业发展态势
(1)确定待监控的重点行业。要根据国内经济不同发展时的发展侧重,确定特定时期的重点行业。目前根据“十二五”战略部署:国有经济要对“关系国家安全和国民经济命脉的重要行业和关键领域”保持绝对控制力,即国有资本要对军工、电网电力、石油石化、电信、煤炭、民航、航运等七大行业保持“绝对控制力”,并且国有资本要在装备制造、汽车、电子信息、建筑、钢铁、有色金属、化工、勘察设计、科技等九大行业保持“较强控制力”。这一部署表明上述行业是中国目前控制的重点行业,是关系我国经济安全的部门和行业[2]。所以在经济安全审计中,就要对上述行业进行重点风险监测。
国家金融安全作为国家经济安全的核心,维护国家经济安全应着重对国家金融行业的安全状况进行风险监控。重点监控如何防止外资银行通过向中国企业和个人提供信贷将直接介入中国的货币发行领域;如何防范外资银行透过部分准备金制度,大举推进中国国家、企业和个人的债务的货币化进程;如何防范外资银行增发的“信贷人民币”,将通过银行支票、银行票据、信用卡、房地产按揭贷款、企业流动资金贷款、金融衍生产品等多种方式进入中国的经济体内。经济安全审计预警机构要与金融监管机构共同努力,提高监管力度和知识储备,在理论和实践上有效防范潜在的金融攻击,增强金融体系的坚实防御能力,抵御国家层面的、国与国之间游离于正常金融秩序视线之外的政治热钱的博弈。
(2)对重点行业定期监控的内容。经济安全分析部门对重点行业定期监控主要采用指标分析法来确定其运行是否存在风险。经济安全分析部门要对财政金融风险、产业风险、能源风险、市场风险、收入分配风险、投资风险、域外风险等方面的进行审计,其风险评估要根据特定行业选取特定指标进行评估,指标的选择更复杂,方法需要更多组合。譬如对国家金融安全指标选取包括:国际储备指标、外债指标、流出、流入资本的构成和期限结构指标、利率和汇率指标、价格变化指标、期限指标、资本充足指标、资产质量指标、盈利能力指标、流动风险指标、质量管理指标等等[3]。
在国家金融系统安全方面,需要对金融机构建立的对内金融防火墙和对外金融防洪墙两条防御体系进行监控。经济安全分析部门通过指标检测的方式监控国家金融安全。选择的指标主要有:银行股权比例、银行股东的性质及持股比例、金融衍生品市场比重、信贷发行规模的控制比例等。
2.4.3 实时监察具体涉外经济行为
重点是对重点行业企业的国际间购并行为进行审计评估、国有企业改革进行监管审查、不良经济事件产生的后果进行审计后评价。例如国有企业海外投资风险评估、引入外资的投资目的审计、国有资产在购并中的保值增值审计等等。在政府审计工作上,对具体经济事项的审计工作最为频繁,也是运用常规审计方法最为显著的。其审计行为应在经济业务发生时,审计工作就实时跟进,监控整个事件的发展进度,以维护国家安全的标准来衡量具体经济事项中是否存在危害经济安全的迹象发生。在审计程序上:(1)了解该经济行为涉及行业、国家或地区、哪些民间组织,参与各方的背景及企业性质,该经济行为的潜在影响、最终目的;(2)掌握对该事项的审批情况,各上级部门的审批意见,检查审批漏洞;(3)跟踪监控事项的发展是否按照初始计划进行,有无改动的操作,改动部分有无偏离既定方针;(4)对整个事件操作记录在册,形成工作底稿备查,并总结经验规律,不断提高审计效率,提高审计技巧,有助于丰富理论研究成果。
2.5 经济安全审计预警报告子系统设计
该系统主要负责将审计结果向上级主管部门报送的执行子系统,其功主要包括:(1)监督被审项目按预期整改。对审计项目纠正调整是否达到预期整改效果进行跟踪监控,与被审单位主管部门协作,负责审计后项目整改后评价工作。(2)复核审计结果。经济安全审计涉及的利益方和相关部门较多,并且审计项目对经济安全的影响较为深远,随着时间的推移,影响结果可能不同,由报告子系统负责对审计结果进行复核,完善审计后整改制度。(3)推进审计问责制度建设。由于目前我国法律赋予审计机关处理处罚权,但没有赋予其对责任人的处理权,因而审计机关不宜直接去进行审计问责。这将是今后我国审计法制建设需要研究解决的问题,也是审计报告子系统功能的拓展提供更广阔的空间。
3 结论
要构建经济安全审计预警系统平台,其制度保证是法律法规及相关配套设施的健全完备;其工作重点是有效地将审计范围覆盖到能影响国家经济安全的领域,实现实时监控;其运行前提是完善经济安全审计预警平台的建设,及其他部门的支持和通力协作;其难点在于探索创新出适合评价经济安全的技术方法。
综合利用预警指标是国家经济安全预警的常用技术方法,所以在对经济风险分析上,如何通过设计经济指标对经济行为进行准确的审计评价,重点是对采集数据质量进行复核和对审计预警评价技术的可靠性进行不断测试改进,经济安全审计预警系统各个环节在运行中要不断完善和升级,使其作为开放性、学习型的系统不断丰富其内核[4]。
摘要:通过对次贷危机的反思及对未来国际经济形势发展中如何掌获主动权的绸缪,本文站在政府审计角度,以维护国家经济安全为目的,以监控宏观经济事态发展及具体经济事项为审计对象,提出通过政府审计预警国家经济安全的构想,重点对如何构筑经济安全审计预警系统框架进行研究,并提出可操作性方案。
关键词:政府审计,经济安全,预警系统架构
参考文献
[1]雷家啸.关于基于经济安全的信息安全问题[J].清华大学学报(哲学社会科学版),2000,(1):36-42.
[2]王素梅,李兆东,陈艳娇.中南财经政法大学学报[J].论政府审计与国家经济安全,2009,(1):95-99.
[3]李金华.国家经济安全监测警示系统的构建[J].中南财经大学学报,2001,(5):27-30.
篇4:智恒联盟SAS运维安全审计系统
系统能够对整个IT资源架构进行全面防护,特别是对主机、数据库、应用系统以及网络设备上的数据访问进行操作审计。该产品具备完善的运维人员账户、授权与认证管理,使用应用托管中心以保证系统账户与应用账户分离。
该系统还能够提供全天候监控自动化审计,前瞻性地发现潜在威胁,发现违规操作实时告警与阻断,发生问题能够更快追溯并解决问题,对系统运维操作过程中的问题和责任准确地进行定位、取证和举证。
此外,系统还能够通过视频方式还原、回放,完整再现原始操作过程。高度图形界面管理方便运维管理,使信息管理人员能从一个地点集中管理单位中的所有应用,如:集中账户管理、集中密码管理、 集中日志审计等。
篇5:网络环境下会计系统的安全审计
计算机会计信息系统实现网络处理后,由于系统的入口增多,操作人员和信息使用者干预系统的机会增大,系统面临的安全隐患也必然增多。尤其随着Internet/Intranet的应用,外部日益扩大的网络环境对会计信息系统本身及其安全又将产生更大的影响,不仅影响传统的会计业务处理及信息的披露方式,而且安全方面会产生更多的不确定因素。除了计算机软硬件的不安全因素之外,会计信息系统还将面临人文方面的更大风险,例如来自不法之徒的风险就有:
1利用网络及安全管理的漏洞窥探用户口令或电子帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。
2利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。
3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。
计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。
一、网络安全审计及基本要素
安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的问题。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。
二、网络安全审计的程序
安全审计程序是安全监督活动的具体规程,它规定安全审计工作的具体内容、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。
安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。
1了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?
2了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的`授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。
3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。
安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计分析器。
安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。
三、网络安全审计的主要测试
测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
下面是对网络环境会计信息系统的主要测试。
1数据通讯的控制测试
数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet
及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的内容。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。
2硬件系统的控制测试
硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
3软件系统的控制测试
软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。
4数据资源的控制测试
数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或被干扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。
5系统安全产品的测试
随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。
四、应该建立内部安全审计制度
为提高会计信息处理的准确性、真实性和合法性,强化企业的内部控制制度的落实,防止会计信息系统出现各种安全隐患,应建立起计算机网络环境下对会计信息系统实施监督的内部审计制度。内部审计是在单位最高负责人的直接领导下,对集网络、计算机及信息处理为一体的会计信息系统进行职能管理,依照有关法律、法规及内部管理制度,对其合法性、真实性、可靠性和效益性进行相对独立的监督、检查与评价的活动。其主要目的是保护企业计算机会计信息系统所产生的会计记录的真实与可靠,保证网络上数据的传输的数据的安全,并对系统安全情况作出评价。
篇6:安全审计系统
1. 产品必须通过国家公安部门、国家信息安全测评认证中心、国家保密局检测通过。2. 产品必须具备升级能力,并且产品生产厂家在未来5年能够持续提供技术支持及升级服务。
3. 产品必须为国内自主产权,产品生产厂商必须为国内资本,通过国家信息安全服务2级资质(请附上相关证明文件复印件并加盖投标人公章、原厂商公章),并在福州有正式的分支机构(请附上工商、经委等主管部门证明文件复印件并加盖投标人公章、原厂商公章),能够提供厂商级的本地化服务。系统和管理功能
1. 为了尽可能避免升级给服务带来影响,升级过程应该快速而简单,升级过程中以及升级之后不要重新启动系统。
2. 由于系统本身基于数据库,因此系统应该能够提供一个对数据库的备份和恢复功能。这样当系统重新安装的时候,只需恢复原来的数据库备份即可回到初始设置状态。
3. 对于整个系统的管理和维护要尽可能简单,要支持远程web管理。
4. 系统应该具备管理员登陆日志信息,详细记录管理员的登陆管理台的使用情况,保障系统的安全。技术要求
1. 自动收集网络中客户机与服务器硬件及配置的精确信息,包括设备的CPU型号及主频、内存型号及大小、硬盘型号及大小、设备标识、主板信息等硬件信息,并可手工添加硬件设备的描述信息。
2. 控制外设的使用,如对软驱、光驱、USB移动存储、USB全部接口、打印机、Model、串口、并口、1394控制器和红外设备进行启用或禁用等操作。
3. 自动收集安装在每台计算机上的每种应用程序信息,包括安装的操作系统和应用软件种类、版本号以及安装时间等信息。
4. 可制定软件安装和进程的黑白名单,并对安装未经许可的应用软件的问题计算机进行告警、断网等处理,对运行未经许可的进程进行查杀,同时将违规日志上报服务器,并支持按条件查询。
5. 向指定客户端(用户组)分发文件,可进行后台安装(或根据软件的运行参数执行),同时将文件分发和安装的状态上报服务器,并支持按条件查询。
6. 实时监测终端设备通过model、红外设备、无线设备或蓝牙设备等进行非法外联的行为,可对其进行实时阻断、警告等处理,同时将违规日志上报服务器,并支持按条件查询。
7. 可控制移动设备(USB存储、USB光驱或USB软驱)的读、写操作,并对拷进、拷出的文件进行审计处理,同时支持违规日志的条件查询。
8. 可审计用户访问的URL地址,同时将违规日志上报服务器,并支持违规日志的条件查询。9. 检测终端设备的CPU、硬盘(含每个硬盘分区)、内存等的资源占用情况,可自主设定阈值,以确定终端系统资源占用是否达到上限,是否应该升级。
10. 基于主机方式对客户端流入、流出流量、并发连接数进行实时监测。当流量或并发连接数超过管理员设定的阈值后可进行告警、断网等处理,同时将违规日志上报服务器,并支持违规日志的条件查询。
11. 可审计终端设备上的文件内容,对于包含管理员制定的黑名单上关键字的文件可进行警告或上报服务器,并支持违规日志的条件查询。
12. 可检查终端设备的开机密码是否为弱口令、口令强度、屏保状态、密码保留周期等安全要求,并可实时监控用户或用户组权限的变化及注册表的变化,对于不符合安全要求的行为进行警告或上报服务器,并支持违规日志的条件查询。
13. 系统内建个人防火墙,可对终端设备的本地端口、远程端口、TCP、UDP、ICMP等网络应用进行全网的统一管理,并可进行IP区域的访问控制。
14. 网络客户端出现病毒、蠕虫攻击等安全问题后,做到对安全事件源客户端(或者网络)的实时、快速、精确定位,远程阻断隔离。
15. 与主流防病毒软件进行联动,可监控防病毒软件在客户端的安装情况,上报未安装杀毒软件客户端,并可远程启动杀毒软件进行病毒查杀。
16. 可对被控终端设备和非被控终端设备进行IP-MAC绑定,并实时阻断非法篡改IP或MAC地址的非法主机,或对被控终端进行IP、MAC及网关地址的恢复,同时将违规日志上报服务器,并支持违规日志的条件查询。
17. 可对未经允许、擅自接入网络的设备进行实时的警告和阻断,防止病毒传播、黑客入侵等不安全因素。
18. 可将文件或脚本统一分发到客户端的指定目录,并可以根据管理员的设置在后台运行脚本或可执行程序,同时将文件分发的状态上报到服务器,并支持日志的条件查询。
19. 针对物理隔离的内网,使用增量式补丁自动分离技术,在外网分离出已安装、未安装补丁,分类导入,即仅对内网的补丁进行“增量式”的升级,减少拷贝工作量。
20. 支持用户自定义补丁策略自由配置分发,基于客户端网络IP范围、操作系统种类、补丁检测周期、补丁类别(系统补丁、IE补丁、应用程序补丁以及网管自定义补丁类等)等制订策略,发送至客户端后统一按策略执行应用,同时将补丁分发的状态上报到服务器,并支持日志的条件查询。
21. 系统提供补丁或文件下载的代理转发技术,提高补丁下发效率,减少网络带宽的占用率,节省网络资源。
22. 自动建立补丁库,支持补丁库信息查询。针对下载的补丁进行归类存放,按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类,帮助管理人员快速识别补丁。
23. 支持对管理策略编组,并根据客户端IP范围、操作系统种类、所属区域等条件统一下发。
24. 支持管理中心的双机热备应用。
25. 支持管理中心的多级部署,并可由一级管理中心统一配置管理策略及违规报警信息的级联上报。
26. 管理中心采用IP漂移技术,支持管理中心IP地址的无缝切换。
27. 网管可以按照报警种类选择性接收系统报警信息,并提供多种报警方式通知网管。28. 可自定义报表输出的字段,提供客户端软硬件资产信息及违规事件的报表和打印功能。
篇7:审计系统演讲稿:审计人随想
一个的会计数据,听着老同志对重大经济违规案件查出过程的讲述,我常常思索:在环境复杂下,审计人不畏艰辛,用汗水铺路,用成果回报,制止了国有资产不被流失。维护了社会经济秩序,保证了党和国家的惠民政策的落实,为之感到任重道远。是为了人民的利益、为了国家的利益,审计人用稳健的步伐,筑起审计监督、永不溃决的堤坝,一身正气,两袖清风、你手里拿着的不只是一份审计报告:那是一份沉甸甸的爱、那是一份沉甸甸的责任,有领导的信任和企盼、那里有人民大众的呼声。
自从成为审计队伍的一员,就选择了一份沉甸甸的责任,以一颗忠诚之心查错纠弊、规范管理。这份忠诚不仅仅是为人处事的诚信、热忱,更多的则是对法律的信仰、对职业的敬仰、对事实的追求、对人民的深情、对党和国家的忠诚。它彰显着(来源:好范文 http:///)审计人应有的职业品格,它含着审计人特有的价值!
自从成为审计队伍的一员,就选择了刚直和坚持。法律和事实千钧之重,即使相关单位百般掩饰、敷衍推托,甚至使用糖衣炮弹,都将刚直不阿,不徇私情,坚持原则,敢于担当,依靠财务资料,依据财经法规,采取有效的审计技术方法,凭借审计业务,怀着为经济建设保驾护航的拳拳之心,对审计结果做出客观公正的评价和处理。
自从成为审计队伍的一员,深知没有自身的高素质,就没有审计的高质量,没有一双火眼金睛,就无法洞察秋毫。基础在账里,功夫在账外,以“求索不止的执着,提高素养,增长才干。
自从成为审计队伍的一员,就选择了艰苦和清贫。但是,艰苦,并不能抛弃“一片冰心在玉壶的追求;清贫,并不能磨灭“贫贱不能移的心志。相反的,在艰苦和清贫中,却铸造着一方经济运行的规范和健康,捍卫着国家财经法律法规的尊严,保护着国家和人民的利益,抒写着审计人生……
篇8:操作系统中安全审计项目测评
合理配置安全审计项目可以对信息网络的硬件、软件及其系统中的数据进行保护,是保证信息的保密性、真实性、完整性、安全性的重要手段之一。本文结合《信息安全技术 信息系统安全等级保护基本要求》标准中对三级系统主机安全审计的要求,对测评方法进行了解析。
1 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。
在Windows操作系统中:
(1)查看系统是否开启了安全审计功能,如图1所示。进入“控制面板/管理工具/本地安全策略”,在“本地策略→审核策略”中,查看本地安全策略审计功能是否启用;查看相应的审核,查看事件查看器相关记录是否包括主客体标识、时间和事件结果等信息。访谈安全审计员,询问主机系统是否设置那些安全审计功能,查看审计记录信息是否包括事件发生的日期与时间、事件的类型、事件成功或失败、触发事件的主体与客体、身份鉴别事件中请求的来源(如末端标识符)、事件的结果等内容。
(2)询问并查看是否有第三方审计系统或工具。
在Linux操作系统中:
(1)以root身份登录进入Linux。
(2)查看服务进程:
(3)若运行了安全审计服务,则查看安全审计的守护进程是否正常。
#ps-ef|grep auditd
2 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
有效合理地配置安全审计内容,能够及时准确地了解和判断安全事件的内容和性质,并且可以极大地节省系统资源。
在LINUX中/etc/audit/audit.conf 文件指定如何写入审查记录以及在哪里写入、日志超出可用磁盘空间后如何处理等内容。/etc/audit/filesets.conf和/etc/audit/filters.conf指定内核用来判定系统调用是否要审查的规则。
(1)在Windows操作系统中展开“本地安全策略(或域安全策略)”中的审核策略。
展开“本地安全策略(或域安全策略)”中的“审核策略”,如图1所示。记录内容应包括以下几个属性值,如表1所示。
(2)在LINUX操作系统中记录相关参数。
系统事件审计的文件包括,“mkdir”、“unlink”、“chmod”、“rmdir”、“chown”等。
3 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等
审计记录是指跟踪指定数据库的使用状态产生的信息,它应该包括事件的类型、日期、时间、主体标识、客体标识和结果等。通过记录中的详细信息,能够帮助管理员或其他相关检查人员准确地分析和定位事件。
(1)在Windows操作系统中查看日志文件是否满足此项要求,查看事件查看器中安全性选项,是否有成功审核记录,查看成功审核事件属性,是否有对审核策略更改的描述,如图2-3所示。
(2)在LINUX操作系统中使用aucat和augrep工具查看审计日志。
#aucat | tail -100 查看最近的100条审计记录。
#augrep-e TEXT-U AUTH_success 查看所有成功PAM授权。
审计日志记录示例如下:
4 应能够根据记录数据进行分析,并生成审计报表
安全审计将会产生各种复杂日志信息,巨大的工作量使得管理员手工查看并分析各种日志内容是不现实的,而且很难有效地对事件分析和定位,因此必须提供一种直观的分析报告及统计报表的自动生成机制,对审计产生的记录数据进行统一管理和处理,并将日志关联起来,来保证管理员能够及时、有效地发现系统中各种异常状况及安全事件。询问管理员,查看是否为授权用户浏览和分析审计数据提供专门的审计工具(如对审计记录进行分类、查询、排序、统计、组合和分析查询等),并能根据需要生成审计报表。
5 应保护审计进程,避免受到未预期的中断
Windows系统具备了在审计进程自我保护方面功能,最大日志文件大小:512kB;当达到最大的日志大小时:按需要改写事件。在Linux中,Auditd是审计守护进程,syslogd是日志守护进程,保护好审计进程,当事件发生时,能够及时记录事件发生的详细内容。
检查是否启动了syslogd守护进程,执行:
ps-ef | grep syslogd
6 应保护审计记录,避免受到未预期的删除、修改或覆盖等
日志访问权限合理,除属主外,组用户和其它用户都不具有写、执行权限。非法用户进入系统后的第一件事情是去清理审计日志和系统日志,而发现入侵的最简单最直接的方法是去看安全审计文件和系统记录。因此,必须对审计记录进行安全保护,避免受到未预期的修改、删除或覆盖等。
使用以下命令查看日志文件的访问权限:
ls-l /var/log
询问管理员允许哪些用户访问日志文件。
7 结束语
本文描述了对操作系统安全审计项目测评工作中相应条款的解析,重点介绍了Windows系统和LINUX系统审核策略的查找和设置,对审核账户登录事件、审核账户管理、审核目录服务访问、审核登录事件、审核对象访问、审核策略更改、审核系统事件等几个属性值设定提出了参考意见。
参考文献
[1]刘克龙,冯登国,石文昌.安全操作系统原理与技术[Z].2004.
篇9:审计系统在电力信息安全中的运用
一个完整信息安全保障体系,应该由预警、防护、监控、应急响应、灾难恢复等系统组成。审计系统是整个监控和预警体系的关键组成部分,做好安全审计工作,能够增强电力企业对故障、风险的预警能力和监控能力,也能够为防护体系和企业的内部管理体系提供客观、有效的改进依据。
审计系统组成要素
信息系统的运行由一系列的人员行为和系统行为组成,信息系统安全审计就是采集、监控、分析信息系统各组成部分的系统行为(日志)和操作行为的过程。
全面采集。审计信息的采集过程是整个审计体系的基础。采集过程应侧重于采集方式的灵活性及采集对象的全面性。审计系统应提供多种信息采集方式对审计信息源进行数据采集,对电力系统而言,审计系统应尽量避免在主机中安装软件,串接设备方式进行采集,而应尽量通过系统自身的日志协议(如syslog协议)、旁路(如端口镜像)等更安全的方式进行。电力公司信息系统中包含有各种各样的设备,服务器系统、路由器、交换机、工作站、终端等硬件设备;各类数据库、电力应用系统、中间件、OA、WEB等软件应用系统以及管理员的维护系统、普通用户的业务操作行为、上网行为等等人员的访问行为,审计系统应该通过不同方式灵活实现对上述相关系统日志和行为的采集。
采集过程还应保障信息源的客观性,不应篡改信息的原有属性。
实时监控。利用审计系统对采集到的日志信息、行为信息进行实时分析。通过审计系统的实时监控、告警功能,定制符合电力信息系统安全需求的规则库,规则库内容应涵盖各类操作系统、网络设备、人员操作规范等范围。实时监控还应该对每台设备的日志量进行监控,对日志量剧增、剧减等情况进行提醒。
审计分析。安全审计分析是整个信息安全体系的核心组成部分之一,电力系统应该利用审计系统对网络、应用的运行情况、企业内部信息安全制度的执行情况进行周期性审计。周期性的审计是整个审计系统发挥作用的关键,没有周期性的审计,就无法及时发现信息系统中存在的安全隐患。
实施审计系统的意义
保障数据的客观性。使用第三方审计产品对各类信息系统组成要素、人员行为进行安全审计,可以避免完全由技术人员进行手工审计带来因数据恶意篡改、人为疏忽而造成数据变化,从而保证审计数据源的客观性。
保障数据的安全性。信息系统的日志、行为记录默认状态下分散存储在各主机、应用系统当中。 一旦主机操作黑客破坏,或者磁盘损坏等意外事件都有可能导致数据丢失或破坏。第三方专业审计系统在设计、开发时对安全性、可靠性均做了充分设计,可以有效地保障数据的安全性,避免上述情况的发生。
提高审计工作效率。信息安全审计工作在没有专业审计系统的情况下是一项繁重的工作,技术人员要面对数个甚至数十个主机、数据库、设备的海量日志,依靠人力根本无法完成周期性的日志审计工作,工作量的巨大直接导致目前日志分析工作都是在出现安全事件之后,有针对性的进行事后分析。
依赖于专业化的审计系统,电力信息系统可以将所有系统的运行日志均集中到审计系统中,利用审计系统高效的检索功能及自动化的审计功能帮助审计人员进行日常审计工作,从而大大减轻审计人员的工作负担,而且能够增加审计的准确性,避免了人为失误。
落实安全管理规范。在未部署审计系统之前,由于缺乏对维护人员操作的监控能力,大量的操作规范无法真正落到实处,如无法实现对telnet、ssh、RDP等维护协议的指令还原就无法知道维护人员每次维护时在操作系统内部输入了何种指令。在部署审计系统之后,通过对维护人员操作指令的定期审计,指出维护人员操作的不当或违规之处,经过一段时间的运行,就能逐步树立维护人员良好的操作习惯,避免由于人员疏忽造成的安全事故。
另外,通过审计系统也能检测维护人员是否按照信息安全管理规范对信息系统进行维护,如定期修改密码、定期备份关键数据等等。
作为信息安全体系建设的一个重要环节,日志综合审计系统在电力系统中比不可少;通过日志安全审计系统的运用,不仅能提高员工工作效率,规范维护人员良好的工作习惯,也能及时发现信息系统中潜在的安全隐患,在满足合规要求的同时,真正提高了信息系统的安全性。
