安全审计范文1
道路交通安全审计是由符合相关资质条件的专业团队对道路、交通项目潜在的安全隐患进行独立、客观地调查,给出正式的审计报告,列明安全隐患、提出消除或减轻隐患的措施,力求提升项目的安全水平。道路安全审计旨在通过专业人士的职业判断,帮助把安全的理念融入具体项目之中,有几点需要明确:(1)道路安全审计不同于事故多发点段调查,事故多发点段调查是事后行为,而道路安全审计是预防行为。(2)道路安全审计不是对设计标准的检查,其仅限于道路安全范畴。(3)道路安全审计实施范围灵活方便,审计项目可以大到整条公路或城市道路,也可以小至一处平交道口。(4)道路安全审计并不为项目出现的安全事故承担责任,责任仍由项目管理方或设计方承担。审计人员致力于发现问题,而解决问题则是工程师(管理或设计方)的责任。
2工作程序
道路安全审计由拟建或既有项目的主管机构委托有资质的、专业化的审计队伍按照规定的程序实施,一般步骤如下:(1)选择审计队伍。择优选择审计单位和人员,审计人员必须经验丰富、严谨认真且与设计无关,确保客观、公正、可靠。(2)提供项目背景资料。包括道路的勘察、设计资料,以及与道路交通安全相关的各种调查统计资料。(3)召开启动会议。与会各方商讨具体目标、阶段安排、沟通渠道等事项。(4)开展审计工作。根据收集资料进行分析评价,以及现场实地观测,发现可能存在的安全问题。内外业应同步、交叉进行。(5)编写审计报告。主要对发现的不安全因素进行逐项阐明,并提出修正建议。(6)召开完工会议。主要工作是各方讨论审计报告,需要注意的是,审计的目的在于帮助提升项目安全,对于审计提出的问题,不应进行删减或弱化。(7)书面回复。委托方对审计报告中提出的问题予以回复,可以有不同意见,但应列明充分的理由。(8)采取行动。根据书面回复的内容,修改设计或动工消除隐患。为提高时效,第3、6步的两次会议,现今常以电子邮件或网络会议方式进行,重在各方充分沟通意见、取得一致。
3实施阶段
审计工作在各国大都分为可行性研究、初步设计、施工图设计、预通车和运营等五个阶段,文章借鉴有关文献论述,将施工阶段的审计也单独划分开来。
3.1可行性研究阶段审计
结合路网规划、项目建议书或可行性研究报告,从安全角度查找、提出问题。
3.2初步设计阶段审计
针对设计指标进行安全评价,同时对工程施工中可能出现的安全问题进行分析预测。
3.3施工图设计阶段审计
相比初步设计阶段审计,本阶段的审计内容更加细化,主要考虑的是道路设计细节问题的安全性,同时要对施工中的交通管制设计方案进行安全审计。
3.4施工阶段审计
对施工现场、施工准备与实施方案、临时交通管控、交通疏导方案进行安全审计,充分重视现场施工人员与车辆、施工区域道路使用者的安全保障问题。
3.5预通车阶段审计
对于一般道路项目,在项目完工后开通前,为确保所有道路使用者的安全需求能等到满足,应采取驾车、骑行及步行等多种方式进行现场检查,而且应分别在白天与夜晚、晴天与雨天进行。
3.6通车后审计
随着道路的使用,许多安全隐患可能会更直观地暴露出来,所以这一阶段的审计不论对于新建项目或是既有道路均十分重要。在着力从道路自身挖掘问题的同时,还应收集道路交通事故资料进行分析。并非每个审计项目都包含以上各阶段,根据被审计项目的性质和规模的不同,可以选择其中的一个或几个阶段进行审计。对于一条道路,安全审计进行得越早越好。及早发现问题,修正起来必然相对容易,在设计图纸上改动几条线要远比凿除成型的混凝土容易得多。及早消除隐患,就能减少更多的事故,减少更多的损失。
4成本与收益
项目成本是委托方最关心的问题之一。因为目前在我国还没有比较系统、规范地进行道路安全审计工作,所以这方面的资料比较匾乏。国外部分资料显示,道路安全审计费用约为道路设计费用的5-10%,或按道路建设总费用计,不足0.5%。开展道路安全审计的收益主要体现在有效预防交通事故的发生和减少相关损失上。国外有研究表明,经安全审计后,一条道路的碰撞事故可以减少逾1/3,节约的事故赔偿和道路设施修复费用亦相当可观。所以相对于项目总费用,开展道路安全审计增加的费用很少而收益可能非常显著。
5结束语
安全审计范文2
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
安全审计范文3
关键词:公路安全设施;设计阶段;安全审核
目前我国还没有将低等级公路交通安全设施纳入技术规范,针对农村公路实际提出交通安全设施的审核理念及标准,对改善道路安全条件,减少交通事故,降低事故伤害程度都具有十分现实的意义,但是将道路安全审核制度化引入公路的建设中还有许多工作要做。
一、道路安全审核的原理
道路安全审核是独立于设计的专家组对拟建或改建的道路进行规划、设计、施工和服务期全方位的安全审核,找出安全隐患,从而进行主动预防的策略。其审核的原理和依据并没有完全脱离设计,可以说安全审核是设计的辅助手段,是帮助设计人员预计到可能发生的安全问题,并提供可行的解决方案。所以,道路安全的基本依据就是道路安全设计的基本理念。道路安全设计理念的来源中一部分是国家和地方的标准、规范,这部分又是不断完善的,而且不同设计人员对于标准、规范的理解也不同,再加上行车环境条件的千差万别,导致即使设计人员完全按照现行设计标准进行道路设计,也不能完全保证道路是安全的,所以道路安全的依据又不等同于现行的道路设计标准,而是现行设计标准加上当前工程实践中积累的经验教训,它强调了在全方位、全用户、全环境下对设计产品的安全检验。道路安全设计的理念基本可以归纳为:①满足驾驶员的驾驶期望;满足视距要求;减小速度差。②利用交通控制措施,管理冲突点。③减少道路开口数量,增加开口间距,减少横向干扰,实施道路开口管理系统。④考虑冲出路外事故,设计宽容公路;紧急避险。按照这些原理的要求去设计道路,就可以减少道路后续使用中的交通安全问题,在道路安全审核中按照这些原理去审核,就基本可以保证运营交通安全问题在规划及设计阶段已进行了充分的考虑。
二、道路安全审核的方法和基本步骤
2.1 委任道路安全审核组及其成员
和规划及设计阶段的安全措施比较,安全审核具有以下特点:①道路安全审核是主动预防。②安全是由独立于设计之外的专业技术人员来完成的。③安全审核只考虑交通安全,不考虑其他因素。可见,安全审核的成功关键在于审核组的成员要有足够丰富的经验,并有较高的理论水平,且有关的审核必须是独立的,审核过程必须是规范的。通常进行道路安全审核的专家组成员应具备交通安全、交通工程、交通运行分析、交通心理、道路设计、交通运营及管理、交通法律法规等方面的知识,一般通常为3―5人。专家组成员相互间平等地交流、讨论安全问题,本着对社会负责的态度、安全第一的观点,依据现行标准规范,对项目各种设计参数、弱势用户、气候环境等条件进行统筹考虑,展开公路安全审核。
2.2 设计阶段道路安全审核基本步骤
启动审核工作收集设计文件和数据设计文件和数据分析安全设计分析撰写审核报告设计方和业主的答复监督检测。
启动安全审核应该召开一个会议,一般这个会议是由业主或专家组负责人来召集,参加会议人员主要包括业主、设计人员、审核专家组成员等。会议内容主要包括:业主和设计人员把设计有关资料和数据交给专家组;业主介绍项目背景信息;设计人员介绍设计情况;专家组介绍审核的目的、审核范围、审核内容及各方的责任、作用;讨论审核时间表等。
2.3 撰写公路安全设施审核报告
内容包括:审核人及审核组简述、审核过程及日期、项目背景及简况、图纸等;对确认的每一个潜在的危险因素都应阐述其地点、详细特征、可能引发的事故(类型)、事故的频率及严重度评估、改进建议及该建议的可操作性等。审核报告应易于被设计人员接受并实施。
2.4 公路安全设施审核结果的应用
审核结果并不意味着谁对谁错,设计人员可以更改,也可以不更改设计方案,但必须给予答复、响应,完善设计方案。
2.5 安全设施审核清单
(1)交通标志。交通标志的布设是否满足用户的某种需要,引起用户注意,传达清晰明了的信息,促使用户遵守,并保证用户有足够的时间反应;项目的标志设计是否与整个路网的标志设计标准协调一致;标志的色彩、形状和大小是否符合相关标准和规范;标志设计是否需要采用中英文对照,英文翻译是否准确、达意;如果有行人、自行车及残疾人交通,平交口处标志的设置是否避免了影响,是否需要设置照明;当标志基础位于路侧净区内时,标志杆是否采用了解体消能或易折断的材料,或设置了安全护栏;如条件受限无法单独设置时,一个支撑结构上最多不应超过两种标志,并应按禁令、指示、警告的顺序,先上后下,先左后右的排列;在无照明或隧道照明不足的隧道入口前是否设置了隧道开车灯标志,且隧道标志和隧道开车灯标志无需重复设置;在非全封闭公路的平交口区域是否采取了交通宁静技术,如设置减速丘,增设警告、禁令标志等措施。
(2)标线和反光路钮。项目的标线设计是否和整个路网的标线设计标准协调一致;双车道公路中线是否需要特殊考虑,如设置双排双黄线,并加设隆声带以进一步分隔双向行车;双车道公路超车区标线设计是否安全;标线是否和标志相匹配,如雾区设置的车距确认系列标线和停车标线等;路侧障碍物是否需要施划反光标线进行标记;是否需要标线文字及图形来强化设计,标线文字是否保证了顺交通方向阅读;标线在不利视认条件下,是否需要设置反光路钮以加强标线效果;标线与路面的颜色对比度是否足够,是否需要采取措施处理;标线材料本身的耐久性、防滑性是否满足设计使用年限的需要;当需要交通流横向偏移时,标线设计是否满足所必需的纵向距离;交叉口内部是否采用标线渠化了转弯车辆的行驶轨迹,并配以突起路标。
(3)路侧安全设施。路侧和中央分隔带护栏是否符合设置条件;护栏的具体设计,如形式选择(包括长度、高度、布设位置)是否合适;不同护栏之间的过渡段设计是否合适;防撞垫设置位置及类型是否合适;护栏端头设置是否合适,端头前地形是否平顺,以避免碰撞前车辆轨迹突变;机电设备等交通管理设置的立柱是否需要实施保护和如何保护;临时施工期的路侧安全设施设置是否符合设置依据,形式是否合适、有效;路侧设施设计中,是否严格遵守了去除、移位、使之可横穿、防护和诱导标识5大步骤。
(4)隔离设施。隔离设施的设置是否必要;隔离设施在桥头、挡墙、涵洞、隧道灯结构物附近是否连续;是否考虑了设置专用通道(包括其净高和净宽)以满足横穿道路交通的需要;是否考虑设置野生动物通道以减少野生动物横穿道路;隔离设施在平面交叉口的设置条件是否足以防止其他道路用户横穿主要公路;相交道路上跨结构物两侧的防护网能否有效地阻止向下抛物,高度和形式是否合适。
结语
总之,对于拟建的道路,安全审核可在规划和设计阶段发挥作用,避免设计失误,减少安全隐患,从而降低交通事故的发生概率或降低交通事故的严重程度。安全审核人员不参加道路的规划和设计,也不干涉设计人员在设计阶段采取何种安全措施。安全审核人员只负责把审核结果反馈给有关部门和设计人员,以确保他们了解道路的安全隐患,并采取了合适的防治措施。
参考文献
安全审计范文4
关键词:安全审计;监控系统;系统设计;系统应用;信息网络
中图分类号:TP39;F239文献标识码:A文章编号:1003-5168(2015)08-0006-3
随着计算机技术、信息技术不断推陈出新,各类威胁到网络信息安全的因素越来越多,虽然防火墙与外部检测技术等能够在某种程度上防止网络的外部入侵,保护数据信息不受侵犯[1]。但也会因入侵技术的更新和漏洞的长期存在而无法彻底保障网络处于安全状态。因此,在现有技术的基础上,通过引入安全审计系统对用户的网络行为加以记录,对网络安全隐患给出评判具有重要的现实意义。
1网络安全审计的必要性
1.1提高企业数据安全管理绩效
近年来,我国信息化程度不断加深,尤其新媒体技术和自媒体技术的出现,企业信息的网络化、无边界化趋势越来越明显,也使得网络信息安全问题不断突显。在这种情况下,无论是企业本身还是参与网络信息提供和维护的第三方,在端口和信息通道内都加强了对信息安全策略的部署,无论是信息的控制还是数据的授权,都在大量管理制度和规则下运行。即便如此,与网络信息安全相关的各类故障还是不断出现,甚至会给企业的网络运营和实际经营都造成了消极影响。但是,当我们对信息安全漏洞进行分析和查验时发现,一些严重的信息安全问题之所以会由于不合规、不合法而给利益相关者造成经济损失,其中一个重要原因便是一些内部“合法”用户的“非法”操作。这是因为,对于一般的网络信息或者数据,借助防火墙、防病毒软件、反入侵系统等都能够解决,在一定程度上能够保证信息安全。可是一旦内部人员在缺乏监管的情况下进行违规操作,就会使在信息外部建立起来的防线无能为力[2]。一项最新的调查显示,企业内部人员是对企业网络信息进行攻击最为严重也最难防范的。在这种情况下,亟须提高企业的内部审计能力,对内部用户的误用、滥用信息行为进行审计和监管,对那些可能或者已经造成各种安全事故的人员,在要求其协助网管人员找出原因外,还对其按照相关法律法规进行严肃处理,以杜绝此类事件再次发生。
1.2提高网络运维绩效
当前,在网络环境中构建统一的安全审计平台,提高网络运维绩效,是十分必要的。在这一平台之上,能够对重要设备系统的安全信息进行统一监管,以便能够在海量数据中挖掘出有价值的信息,使信息的获取和使用更加有效。可见,提高网络信息的可靠性和真实性,借助网络信息安全审计提供网络运维管理绩效,是网络化运营需要认真思考的问题[3]。实际上,信息的安全防御是信息安全审计的一种,都是要在信息生产的源头对其进行管理和监控,并对可能对信息安全造成威胁的因素加以防范。而即便在信息源头未能做到完全的安全防范,在事后也可以借助各种技术手段及时分析安全防御系统中可能存在的各类漏洞。甚至能够在安全防御的过程中,对非法操作行为和动作进行还原,使违法、违规用户的不当操作暴露出来,为认定其非法行为提供真实有效的客观证据。因此,对网络信息进行安全审计是一项复杂的系统工程,不但要规范网络、主机以及数据库的访问行为,还要对用户的使用习惯、信息内容形成和改变进行监控和审计,以便有效地完成对各类信息的监管,提高信息质量,为企事业单位的信息运用和网络运营提供安全保障。
1.3提高网络信息安全性
在网络空间中,有以下安全问题值得用户关注并予以重视:①通过访问控制机制强化对网络信息进行安全审计和信息监控是十分必要的,这种做法不但能提高网络信息的安全性,还能在访问控制的作用下,限制外来用户对关键资源的访问,以保证非法用户对信息或数据的入侵,同时也能对合法用户的行为进行规范,防止因操作不当而造成破坏[4]。需要注意的,访问控制系统不但界定了访问主体还界定了访问,其目的在于检测与防止系统中的非法访问。而借助对访问控制机制的管理和设计,能在很大程度上实现对网络信息的安全审计,使网络信息处在安全状态;②虽然网络是开放的,但网络数据却具有私有性,只有在被授权的情况下才能让非用户或者原始使用者访问,否则将被控制在不可见的范围。为了实现这一点,就需要进行网络安全管理,包括网络安全审计,通过信息加密,比如加密关键字或者授权机制、访问控制等。为了提高网络信息安全水平,还要维护与检查安全日志;③提高网络信息安全性,为社会组织的网络化行为提供安全保障,除了要对现实中传输的信息进行安全审查外,对网络中传输的信息也要进行安全审计,通过对网络操作行为的监控,评判信息的安全等级,有针对性地对网络加以控制。
2信息时代网络安全审计的关键技术与监控范畴
在网络信息安全审计的过程中,为了最大限度地提高审计效果,不但需要借助多种信息、网络和计算机技术,还应进一步界定网络审计的监控范围,使网络信息安全审计能够在更为广阔的领域得到应用。
2.1网络安全审计的关键技术
在前文的分析中可知,在当前网络环境中,网络信息安全的直接威胁主要来自网络内部,要建立切实有效的监督体制,对有破坏信息安全倾向的员工进行监督,以保障信息安全。为了实现这个目标,除了要在制度上加以制约外,还应借助以下网络安全审计技术:①基于的网络安全审计技术。借助该技术构建起来的信息安全系统以网络主机为载体,以分布式方式运行。这一技术虽然能够很好地防范信息安全威胁,但是由于监视器是这一信息系统的核心模块,需要高度保护,一旦出现故障,就会引发其他转发器都陷入被动境地,无法正常提交结果;②基于数据挖掘的网络安全审计技术。数据挖掘是近几年被广泛采用的信息安全技术,以此为基础建立起来的网络安全审计系统能够借助数据挖掘技术或者大数据技术,以大量日志行为为样本,对数据中体现出来的行为进行描述、判断与比较,特征模型,并最终对用户行为特征和行为结果进行界定;③基于神经网络的审计技术。神经网络是计算机应用领域中广泛采用的技术,该关键技术的使用能够改变网络单元状态,使连接权值处在动态之中,一旦加入一个连接或者移去一个连接,就能够向管理者指示出现了事件异常,需要果断采取行动保证信息安全。单纯使用该技术所产生的作用是十分有限的。一般情况下,要将多种技术配合使用,以便能对出现的异常情况做出解释,这对确认用户或者事故责任人是有明显帮助的;④借助专家系统构建的网络安全审计技术。该技术较于其他技术能够将信息系统的控制推理独立出来,使问题的解决能够借助输入的信息。为了评估这些事实,在运行审计系统之前,需要编写规则代码,而这也恰是能够有效防范网络信息安全威胁的有效手段。
2.2网络信息安全审计的监控范畴
2.2.1信息安全审计方法。经验表明,一些网络信息安全审计系统可以借助远程登录完成对服务器的管理和对应用系统、数据库系统的记录等,用户的操作行为和操作习惯会在服务器上留下痕迹。该类安全审计一般要按照以下步骤进行:采集对被审计单位的相关信息数据,以保证数据的全面性与完整性;对采集到的数据信息进行综合分析与处理,使之能够转换成对于审计工作对应的数据形式;借助计算机审计软件完成对审计数据的复核。按照业内的经验,在网络信息安全审计的设计过程中,需要将数据采集环节作为整个审计工作的前提与基础,是其中的核心环节,否则,将无法保证数据的完整性、全面性和准确性以及及时性,后面的审计工作也就无法正常开展。一般而言,借助互联网进行审计数据的采集主要有直接读取数据和记住数据库连接件读取两种方式,它们之间具有相似性。按照这两种方式完成数据采集,一旦其中一方数据的存储格式改变,就应及时对数据采集全部存储格式进行调整。这样就会导致数据采集效率和效果受到影响,降低信息安全审计的灵活性。因此,在实际操作中,要保证数据存储格式的一致性,防止审计低效。
2.2.2信息安全审计设备。在网络信息安全审计中,只要将需要管理的网络设备(比如出口路由器、核心交换机、汇聚交换机与接入交换机等)添加到相关安全审计系统之中,就能够获得发送过来的SNMP数据包。随后,信息安全审计系统就会对数据包依据事件的等级和重要性予以分类,以便在后续的查询和使用中更加方便。实际上,网络的信息安全设备种类繁多,具体操作方法也大同小异。只要按照不同厂商设备的设置步骤和原则,开启对应的SNMP功能之后,将相关设备添加到网络中安全审计系统之后,就能够进行相关操作。当然,在这一过程中,要对串联在网络中的设备予以重点关注,要保证甚至能够允许SNMP数据包通过。由此可以看出,借助安全设备实现对网络信息的监控和审计,能够为网络信息安全提供必要保障。当然,由于监控信息会不断更新,加之由于海量数据造成的压力,要依照实际需求确定监控信息可以被记录,以便能够缩小记录范围,为信息安全审计提供更有价值、更具针对性的数据。
2.2.3信息安全审计流程。通过指派权限,设备管理员能够更为直观和真实地了解对应设备的操作过程。如果在这一过程中出现了故障,可以对应地分析和查找问题,找到解决问题的途径。此外,网络信息系统的类别较多,以不同平台或者中间件定制开发的系统也不尽相同。在这种情况下,就需要以信息手册为蓝本,在与开发人员进行沟通之后,确定开放日志接口,并将其纳入到网络信息安全审计的范畴。
3网络信息安全审计监控系统的设计与应用
3.1网络信息安全审计系统的运行设计
当前,网络信息安全审计系统经常使用两个端口,其主要任务便是对联入局域网系统的核心部位交换机与服务器进行数据和信息交换。而为了更好地收集与存放信息安全审计数据,无论是系统日志还是安全审计系统的安全管控中心,都要设在同一服务器之上。这样一来,基于网络的信息安全审计系统就能够在搜集安全审计系统内部数据的同时,按照要求从相关子系统模块中获取数据,以保证各个系统内的信息实现共享,提高信息安全审计的效率。
3.2网络信息安全审计系统的实现
网络信息安全审计系统不但是一个能够帮助企业完成内部经济管理与效益控制的系统,社会组织还能借助网络安全监控体系,实现对网络操作对象的实时监控,保证网络操作中相关文件与数据的安全。这一审计系统的工作原理为:①借助网络文件监控能够实现消息的安全传递,借助标签维护可实现对安全标签的及时、正确处理;②借助多线程技术,构建网络信息安全监控系统的驱动程序消息控制模块,实现对驱动程序的全程监视,并保证信息接收与发送过程处在安全保护之中;③借助系统程序中的文件对用户进程中的相关文件操作予以过滤、监视和拦截,以保证网络数据访问处在全面审核与严格控制之中,使网络环境中文件的安全得到保障。
3.3网络信息安全审计系统的实际应用
通常而言,网络信息安全审计系统的实际应用需要在动态管理的状态下进行。只有这样,才能在投入使用之后,完全、精准地记录用户的网上操作行为,也能对数据库服务器的运行予以全面监控。比如,一旦企业员工通过“合法手段”对业务系统的安全性造成了威胁,那么这类“非法操作”等网络行为就会被记录和禁止。这是因为用户的相关行为能够映射到网络信息安全审计系统之中,管理者能够借此对用户信息和相关操作进行快速定位,在极短的时间内就能够查出事故责任人,为信息安全运行和非法行为的处置都提供极大便利。此外,基于先进技术建立起来的网络信息安全审计系统,还可以在全局层面上监视网络安全状况,对出现的任何问题都能够予以有效把控,对那些可能造成企业重大变故或者机密、核心信息的外泄行为,能够借助网络信息实时动态监控系统做出积极反应。
参考文献:
[1]付晓坤.网络安全审计技术的运用[J].中国水运,2013(9):50-51.
[2]张文颖.探讨网络安全中安全审计与监控系统的设计与实现[J].电脑知识与技术,2013(16):37-38.
[3]伍闽敏.建设企业计算机网络安全审计系统的必要性及其技术要求[J].信息安全与技术,2011(12):34-36.
安全审计范文5
一、网络安全审计及基本要素
安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
二、网络安全审计的程序
安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。
1.了解企业网络的基本情况
例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的连接方式、是否建立了虚拟专用网(VPN)?
2.了解企业的安全控制目标
安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。
3.了解企业现行的安全控制情况及潜在的漏洞
审计人员应充分取得目前企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。
三、网络安全审计的主要测试
测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
下面是对网络环境会计信息系统的主要测试:
1.数据通讯的控制测试
数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。
2.硬件系统的控制测试
硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
3.软件系统的控制测试
软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。
4.数据资源的控制测试
数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。
5.系统安全产品的测试
随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。
四、应该建立内部安全审计制度
为提高会计信息处理的准确性、真实性和合法性,强化企业的内部控制制度的落实,防止会计信息系统出现各种安全隐患,应建立起计算机网络环境下对会计信息系统实施监督的内部审计制度。内部审计是在单位最高负责人的直接领导下,对集网络、计算机及信息处理为一体的会计信息系统进行职能管理,依照有关法律、法规及内部管理制度,对其合法性、真实性、可靠性和效益性进行相对独立的监督、检查与评价的活动。网络系统内部安全审计是一种实时地发现漏洞的机制,安全审计人员的日常审计工作将为会计信息系统的安全提供有效的保障。
安全审计范文6
一、开展基层央行信息安全审计的难点
1.信息系统运行环境复杂。一是随着央行电子化业务快速发展,基层央行科技工作量越来越大,目前绝大多数行人均已超过了一台电脑,所使用的各种业务信息系统达三、四十个以上,且软件系统频繁升级,各种“补丁”不断。二是目前基层央行使用的各业务系统有总行统一开发,也有自主开发的,由于各业务系统开发环境不一致,涉及操作系统、数据库多,增加了运行维护难度,并且部分设备老化严重,存在一定风险隐患。基层行科技人员除要办理自身业务工作外,还负责各部门系统安装和升级、日常管理及维护、网络安全、病毒防范、安全培训等,使得信息安全检查、系统风险评估工作较难有效开展,客观上就给基层央行信息安全内部审计带来了一定的难点。
2.部门业务系统难以适应信息安全审计需要。基层央行所使用的业务系统几乎都没有预置审计接口和审计用户,连简单的数据查询都需要通过被审计对象提取,同时由于信息量大,再加上内审部门缺乏相应的技术审计手段与审计力量,用有限的人工方法查找海量的电子化信息,不仅效率低,而且要想筛选出有价值的线索如同“大海捞针”。
3.信息安全审计技术落后。央行内部审计在信息安全审计方面除合规性审计外,还对信息系统、网络安全、机房环境开展风险导向性的事前审计,但由于基层央行现有审计技术的局限性,大多数内审人员对信息安全管理知识了解较少,开展审计时边学边审,导致审计证据较难获取,难以充分发挥信息系统审计的真正作用,大大影响了审计效果。另外,由于内审部门和人员不能及时介入系统的研发、推广、培训,导致对系统了解较少,再加上大部分系统都由总行开发,基层央行难以独立开展高质量的信息系统审计项目,从而制约了信息安全审计开展的深度和广度。
4.信息安全审计力量薄弱。目前基层央行审计人员数量和知识结构远远不能满足信息安全审计的要求,能熟练掌握计算机专业知识及业务知识的人员偏少,仅停留在简单的机械式的运用层面,更深层次的数据筛选、数据分析、函数计算、数据统计和图形分析应用不多,大多内审人员对信息安全审计的特点、方法和存在的风险缺乏深入了解和掌握,无法有效地开展相关审计工作。
二、加强基层央行信息安全审计的对策
1.建立央行信息系统审计标准与规范。结合央行实际,确立央行信息系统审计标准与规范,进一步明确信息安全审计的技术角色,强化信息系统审计的技术特色。同时,推广先进的审计技术,建立科学的信息安全审计模式。
2.提高计算机辅助审计软件的实用性、针对性。一是各业务部门在业务系统建设开发中要针对不同的审计需求,预留审计访问接口,注意把握好数据转出分析模块的设计思路,使审计中获取的电子数据可以作为审计证据使用,以降低审计风险。二是内审部门要介入业务处理系统开发、应用及相关制约机制设立的全过程,对系统业务处理的合法合规性、安全可靠性、可维护性、可审计性及制约机制的完善性进行分析、评价,尽可能地提高系统效率,降低风险。
3.强化科技管理。一是以针对性和时效性、便于操作为出发点,建立健全各项科技管理制度,做到有章可循。二是重视科技实体建设,科学合理投入资金,保证硬件设施安全。三是加强科技力量,充实科技人员,将科技管理与维护岗位分离,实现岗位互相约束、监督,强化信息安全检查、系统风险评估等工作。四是加大信息安全培训力度。通过组织开展岗位业务技能训练和业务达标活动,提升全员的整体科技素质、计算机安全意识和业务技术操作水平,逐步消除对科技人员的过分依赖。
4.改变传统审计方法。由上级行集中研发、业务及审计部门力量,统一制定资源管理、软件程序、数据完整性及系统维护等审计模型,开发信息安全审计系统,对网络安全、运行环境审计等各类风险因素进行评估,量化确定各类风险的大小,提高审计效率。
5.培养信息安全审计专业人才。一是整合人力资源,将审计业务、央行业务和计算机专业知识娴熟的复合型人才充实到内审队伍,调整知识和专业结构。二是加大对现有审计人员信息技术的培训力度,利用互联网的便利性实施网上培训,辅之以岗位练兵、以查代训、自学等方式,让内审人员及时掌握央行各类信息系统发展的趋势和信息风险的一般规律,使信息技术真正成为基层央行实施业务监督和风险控制的有力工具。三是做好现有审计系统的普及工作,使内审人员人人会操作,个个会应用,提高内审工作效率。
