序言:寫(xiě)作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁��,我們?yōu)槟x了8篇的安全審計(jì)論文樣本��,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請(qǐng)盡情閱讀。
第1篇
摘要:從系統(tǒng)的��、整體的��、動(dòng)態(tài)的角度��,參照國(guó)家對(duì)主機(jī)審計(jì)產(chǎn)品的技術(shù)要求和對(duì)部分主機(jī)審計(jì)軟件的了解��,結(jié)合實(shí)際的終端信息安全管理需求��,從體系架構(gòu)��、安全策略管理��、審計(jì)主機(jī)范圍��、主機(jī)行為監(jiān)控��、綜合審計(jì)及處理措施等方面提出主機(jī)審計(jì)系統(tǒng)的設(shè)計(jì)思想��,達(dá)到對(duì)終端用戶的有效管理和控制��。
關(guān)鍵詞:網(wǎng)絡(luò)��;安全審計(jì)��;主機(jī)審計(jì)��;系統(tǒng)設(shè)計(jì)
1引言
隨著網(wǎng)絡(luò)與信息系統(tǒng)的廣泛使用��,網(wǎng)絡(luò)與信息系統(tǒng)安全問(wèn)題逐漸成為人們關(guān)注的焦點(diǎn)��。
網(wǎng)與因特網(wǎng)之間一般采取了物理隔離的安全措施��,在一定程度上保證了內(nèi)部網(wǎng)絡(luò)的安全性��。然而��,網(wǎng)絡(luò)安全管理人員仍然會(huì)對(duì)所管理網(wǎng)絡(luò)的安全狀況感到擔(dān)憂��,因?yàn)檎麄€(gè)網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)往往出現(xiàn)在終端用戶��。網(wǎng)絡(luò)安全存在著“木桶”效應(yīng)��,單個(gè)用戶計(jì)算機(jī)的安全性不足時(shí)刻威脅著整個(gè)網(wǎng)絡(luò)的安全[1]��。如何加強(qiáng)對(duì)終端用戶計(jì)算機(jī)的安全管理成為一個(gè)急待解決的問(wèn)題��。
本文從系統(tǒng)的��、整體的��、動(dòng)態(tài)的角度��,參照國(guó)家對(duì)安全審計(jì)產(chǎn)品的技術(shù)要求和對(duì)部分主機(jī)審計(jì)軟件的了解��,結(jié)合實(shí)際的信息安全管理需求��,討論主機(jī)審計(jì)系統(tǒng)的設(shè)計(jì)��,達(dá)到對(duì)終端用戶的有效管理和控制��。
2安全審計(jì)概念��。
計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中信息的機(jī)密性��、完整性��、可控性��、可用性和不可否認(rèn)性,簡(jiǎn)稱“五性”��,安全審計(jì)是這“五性”的重要保障之一[2]��。
凡是對(duì)于網(wǎng)絡(luò)信息系統(tǒng)的薄弱環(huán)節(jié)進(jìn)行測(cè)試��、評(píng)估和分析��,以找到極佳途徑在最大限度保障安全的基礎(chǔ)上使得業(yè)務(wù)正常運(yùn)行的一切行為和手段��,都可以叫做安全審計(jì)[3]��。
傳統(tǒng)的安全審計(jì)多為“日志記錄”��,注重事后的審計(jì)��,強(qiáng)調(diào)審計(jì)的威懾作用和安全事件的可核查性��。隨著國(guó)家信息安全政策的改變��,美國(guó)首先在信息保障技術(shù)框架(IATF)中提出在信息基礎(chǔ)設(shè)置中進(jìn)行所謂“深層防御策略(Defense2in2DepthStrategy)”��,對(duì)安全審計(jì)系統(tǒng)提出了參與主動(dòng)保護(hù)和主動(dòng)響應(yīng)的要求[4]��。這就是現(xiàn)代網(wǎng)絡(luò)安全審計(jì)的雛形��,突破了以往“日志記錄”
等淺層次的安全審計(jì)概念��,是全方位��、分布式��、多層次的強(qiáng)審計(jì)概念��,符合信息保障技術(shù)框架提出的保護(hù)��、檢測(cè)��、反應(yīng)和恢復(fù)(PDRR)動(dòng)態(tài)過(guò)程的要求��,在提高審計(jì)廣度和深度的基礎(chǔ)上��,做到對(duì)信息的主動(dòng)保護(hù)和主動(dòng)響應(yīng)��。
3主機(jī)審計(jì)系統(tǒng)設(shè)計(jì)��。
安全審計(jì)從技術(shù)上分為網(wǎng)絡(luò)審計(jì)��、數(shù)據(jù)庫(kù)審計(jì)��、主機(jī)審計(jì)��、應(yīng)用審計(jì)和綜合審計(jì)。主機(jī)審計(jì)就是獲取��、記錄被審計(jì)主機(jī)的狀態(tài)信息和敏感操作��,并從已有的主機(jī)系統(tǒng)審計(jì)記錄中提取信息��,依據(jù)審計(jì)規(guī)則分析判斷是否有違規(guī)行為��。
一般網(wǎng)絡(luò)系統(tǒng)的主機(jī)審計(jì)多采用傳統(tǒng)的審計(jì)��,系統(tǒng)的主機(jī)審計(jì)應(yīng)采用現(xiàn)代綜合審計(jì)��,做到對(duì)信息的主動(dòng)保護(hù)和主動(dòng)響應(yīng)��。因此��,網(wǎng)絡(luò)的主機(jī)審計(jì)在設(shè)計(jì)時(shí)就應(yīng)該全方位進(jìn)行考慮��。
3.1體系架構(gòu)��。
主機(jī)審計(jì)系統(tǒng)由控制中心��、受控端��、管理端等三部分組成��。管理端和控制中心間為B/S架構(gòu)��,管理端通過(guò)瀏覽器訪問(wèn)控制中心��。對(duì)于管理端��,其操作系統(tǒng)應(yīng)不限于Windows,瀏覽器也不是只有IE��。管理端地位重要��,應(yīng)有一定保護(hù)措施��,同時(shí)管理端和控制中心的通訊應(yīng)有安全保障��,可考慮隔離措施和SHTTP協(xié)議��。
主機(jī)審計(jì)能夠分不同的角色來(lái)使用��,至少劃分安全策略管理員��、審計(jì)管理員��、系統(tǒng)管理員��。
安全策略管理員按照制定的監(jiān)控審計(jì)策略進(jìn)行實(shí)施��;審計(jì)管理員負(fù)責(zé)定期審計(jì)收集的信息��,根據(jù)策略判斷用戶行為(包括三個(gè)管理員的行為)是否違規(guī)�,出審計(jì)報(bào)告���;系統(tǒng)管理員負(fù)責(zé)分配安全策略管理員和審計(jì)管理員的權(quán)限�����。三員的任何操作系統(tǒng)有相應(yīng)記錄����,對(duì)系統(tǒng)的操作互相配合���,同時(shí)互相監(jiān)督��,既方便管理����,又保證整個(gè)監(jiān)控體系和系統(tǒng)本身的安全���。控制中心是審計(jì)系統(tǒng)的核心,所有信息都保存在控制中心���。因此��,控制中心的操作系統(tǒng)和數(shù)據(jù)庫(kù)最好是國(guó)內(nèi)自己研發(fā)的����??刂浦行牡拇鎯?chǔ)空間到一定限額時(shí)報(bào)警,提醒管理員及時(shí)備份并刪除信息�����,保證審計(jì)系統(tǒng)能夠采集新的信息���。
3.2安全策略管理�����。
不同的安全策略得到的審計(jì)信息不同��。安全策略與管理策略緊密掛鉤��,體現(xiàn)安全管理意志����。在審計(jì)系統(tǒng)上實(shí)施安全策略前,應(yīng)根據(jù)安全管理思想���,結(jié)合審計(jì)系統(tǒng)能夠?qū)崿F(xiàn)的技術(shù)途徑��,制定詳細(xì)的安全策略���,由安全員按照安全策略具體實(shí)施。如安全策略可以分部門(mén)����、分小組制定并執(zhí)行。安全策略越完善�,審計(jì)越徹底,越能反映主機(jī)的安全狀態(tài)�����。
主機(jī)審計(jì)的安全策略由控制中心統(tǒng)一管理��,策略發(fā)放采取推拉結(jié)合的方式��,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式���。當(dāng)安全策略發(fā)生更改時(shí)����,控制中心可以及時(shí)將策略發(fā)給受控端��。但是��,當(dāng)受控端安裝了防火墻時(shí)��,推送方式將受阻���,安全策略發(fā)送不到受控端���。由受控端向控制中心定期拉策略,可以保證受控端和控制中心的通訊不會(huì)因?yàn)榘惭b個(gè)人防火墻或其他認(rèn)證保護(hù)措施而中斷�。聯(lián)網(wǎng)主機(jī)(服務(wù)器、聯(lián)網(wǎng)PC機(jī))通過(guò)網(wǎng)絡(luò)接收控制中心的管理策略向控制中心傳遞審計(jì)信息��。單機(jī)(桌面PC或筆記本)通過(guò)外置磁介質(zhì)(如U盤(pán)���、移動(dòng)硬盤(pán))接收控制中心管理策略���。審計(jì)信息存放在主機(jī)內(nèi)���,由管理員定期通過(guò)外置磁介質(zhì)將審計(jì)信息傳遞給控制中心。所有通訊采用SSL加密方式傳輸��,確保數(shù)據(jù)在傳輸過(guò)程中不會(huì)被篡改或欺騙�。
為了防止受控端脫離控制中心管理,受控端程序應(yīng)由安全員統(tǒng)一安裝在受控主機(jī)����,并與受控主機(jī)的網(wǎng)卡地址、IP地址綁定���。該程序做到不可隨意卸載�����,不能隨意關(guān)閉審計(jì)服務(wù)���,且不影響受控端的運(yùn)行性能。受控端一旦安裝受控程序���,只有重裝操作系統(tǒng)或由安全員卸載����,才能脫離控制中心的管理。聯(lián)網(wǎng)時(shí)自動(dòng)將信息傳到控制中心�,以保證審計(jì)服務(wù)不會(huì)被繞過(guò)��。
3.3審計(jì)主機(jī)范圍����。
信息系統(tǒng)中的主機(jī)有聯(lián)網(wǎng)主機(jī)、單機(jī)等��。常用操作系統(tǒng)包括Windows98,Windows2000,WindowsXP,Linux,Unix等�。主機(jī)審計(jì)系統(tǒng)的受控端支持裝有不同操作系統(tǒng)的聯(lián)網(wǎng)主機(jī)、單機(jī)等���,實(shí)現(xiàn)使用同一軟件解決聯(lián)網(wǎng)機(jī)�����、單機(jī)��、筆記本的審計(jì)問(wèn)題�����。
根據(jù)國(guó)家有關(guān)規(guī)定���,信息系統(tǒng)劃分為不同安全域�。安全域可通過(guò)劃分虛擬網(wǎng)實(shí)現(xiàn)��,也可通過(guò)設(shè)置安全隔離設(shè)備(如防火墻)實(shí)現(xiàn)��。主機(jī)審計(jì)系統(tǒng)應(yīng)考慮不同安全域中主機(jī)的管理和控制���,即能夠?qū)Σ煌W(wǎng)段的受控端和安裝了防火墻的受控端進(jìn)行控制并將信息收集到控制中心����,以便統(tǒng)一進(jìn)行審計(jì)�。同時(shí)能給出簡(jiǎn)單網(wǎng)絡(luò)拓?fù)洌瑸楣芾砣藛T提供方便���。
3.4主機(jī)行為監(jiān)控��。
一般計(jì)算機(jī)使用人員對(duì)計(jì)算機(jī)軟硬件尤其是信息安全知識(shí)了解不多���,不清楚計(jì)算機(jī)的安全狀態(tài)。主機(jī)審計(jì)系統(tǒng)的受控端軟件應(yīng)具有主機(jī)安全狀態(tài)自檢功能�����,主要用于檢查終端的安全策略執(zhí)行情況,包括補(bǔ)丁安裝��、弱口令����、軟件安裝��、殺毒軟件安裝等�,形成檢查報(bào)告,讓使用人員對(duì)本機(jī)的安全狀況有一個(gè)清楚的認(rèn)識(shí)���,從而有針對(duì)性地采取措施�。自檢功能可由使用人員自行開(kāi)啟或關(guān)閉���。檢查報(bào)告上傳給控制中心���。
主機(jī)審計(jì)系統(tǒng)對(duì)使用受控端主機(jī)人員的行為進(jìn)行限制、監(jiān)控和記錄���,包括對(duì)文檔的修改�、拷貝��、打印的監(jiān)控和記錄,撥號(hào)上網(wǎng)行為的監(jiān)控和記錄���,各種外置接口的禁止或啟用(并口����、串口���、USB接口等),對(duì)USB設(shè)備進(jìn)行分類(lèi)管理����,如USB存儲(chǔ)設(shè)備(U盤(pán)��,活動(dòng)硬盤(pán))����、USB輸入設(shè)備(USB鍵盤(pán)、鼠標(biāo))���、USB2KEY以及自定義設(shè)備����。通過(guò)分類(lèi)和靈活設(shè)置,增強(qiáng)實(shí)用性��,對(duì)受控主機(jī)添加和刪除設(shè)備進(jìn)行監(jiān)控和記錄����,對(duì)未安裝受控端的主機(jī)接入網(wǎng)絡(luò)拒絕并報(bào)警,防止非法主機(jī)的接入���。
主機(jī)審計(jì)系統(tǒng)對(duì)接入計(jì)算機(jī)的存儲(chǔ)介質(zhì)進(jìn)行認(rèn)證��、控制和報(bào)警����。做到經(jīng)過(guò)認(rèn)證的合法介質(zhì)可以從主機(jī)拷貝信息���;未通過(guò)認(rèn)證的非法介質(zhì)只能將信息拷入主機(jī)內(nèi),不能從主機(jī)拷出信息到介質(zhì)內(nèi)���,否則產(chǎn)生報(bào)警信息����,防止信息被有意或者無(wú)意從存儲(chǔ)設(shè)備(尤其是移動(dòng)存儲(chǔ)設(shè)備)泄漏出去���。在認(rèn)證時(shí)�����,把介質(zhì)分類(lèi)標(biāo)識(shí)為非密����、秘密、機(jī)密���。當(dāng)合法介質(zhì)從主機(jī)拷貝信息時(shí)��,判斷信息密級(jí)(國(guó)家有關(guān)部門(mén)規(guī)定��,信息必須有密級(jí)標(biāo)識(shí)),拒絕低密級(jí)介質(zhì)拷貝高密級(jí)信息����。
在認(rèn)證時(shí)��,把移動(dòng)介質(zhì)編號(hào)�,編號(hào)與使用人員對(duì)應(yīng)。移動(dòng)介質(zhì)接入主機(jī)操作時(shí)記錄下移動(dòng)介質(zhì)編號(hào)�,以便審計(jì)時(shí)介質(zhì)與人對(duì)應(yīng)。信息被拷貝時(shí)會(huì)自動(dòng)加密存儲(chǔ)在移動(dòng)介質(zhì)上�,加密存儲(chǔ)在移動(dòng)介質(zhì)上的信息也只能在裝有受控端的主機(jī)上讀寫(xiě)��,讀寫(xiě)時(shí)自動(dòng)解密����。認(rèn)證信息只有在移動(dòng)介質(zhì)被格式化時(shí)才能清除��,否則無(wú)法刪除�。有防止系統(tǒng)自動(dòng)讀取介質(zhì)內(nèi)文檔的功能,避免移動(dòng)介質(zhì)接在計(jì)算機(jī)上(無(wú)論是合法還是非法計(jì)算機(jī))被系統(tǒng)自動(dòng)將所有文檔讀到計(jì)算機(jī)上��。
3.5綜合審計(jì)及處理措施���。
要達(dá)到綜合審計(jì)���,主機(jī)審計(jì)系統(tǒng)需要通過(guò)標(biāo)準(zhǔn)接口對(duì)多種類(lèi)型、多個(gè)品牌的安全產(chǎn)品進(jìn)行管理���,如主機(jī)IDS、主機(jī)防火墻���、防病毒軟件等�,將這些安全產(chǎn)品的日志��、安全事件集中收集管理,實(shí)現(xiàn)日志的集中分析���、審計(jì)與報(bào)告���。同時(shí),通過(guò)對(duì)安全事件的關(guān)聯(lián)分析�����,發(fā)現(xiàn)潛在的攻擊征兆和安全趨勢(shì)�,確保任何安全事件、事故得到及時(shí)的響應(yīng)和處理���。把主機(jī)上一個(gè)個(gè)原本分離的網(wǎng)絡(luò)安全產(chǎn)品聯(lián)結(jié)成一個(gè)有機(jī)協(xié)作的整體����,實(shí)現(xiàn)主機(jī)安全管理過(guò)程實(shí)時(shí)狀態(tài)監(jiān)測(cè)����、動(dòng)態(tài)策略調(diào)整、綜合安全審計(jì)����、數(shù)據(jù)關(guān)聯(lián)處理以及恰當(dāng)及時(shí)的威脅響應(yīng)���,從而有效提升用戶主機(jī)的可管理性和安全水平,為整體安全策略制定和實(shí)施提供可靠依據(jù)���。
系統(tǒng)的安全隱患可以從審計(jì)報(bào)告反映出來(lái)����,因此審計(jì)系統(tǒng)的審計(jì)報(bào)告是很重要的���。審計(jì)報(bào)告應(yīng)將收集到的所有信息綜合審計(jì)��,按要求顯示并打印出來(lái)�����,能用圖形說(shuō)明問(wèn)題�����,能按標(biāo)準(zhǔn)格式(WORD、HTML���、文本文件等)輸出��。但是���,審計(jì)信息數(shù)據(jù)多����,直接將收集的信息分類(lèi)整理形成的報(bào)告不能很好的說(shuō)明問(wèn)題����,還應(yīng)配合審計(jì)員的人工分析。這些信息可以由審計(jì)員定期從控制中心數(shù)據(jù)庫(kù)備份恢復(fù)�。備份的數(shù)據(jù)自動(dòng)加密,恢復(fù)時(shí)自動(dòng)解密��。審計(jì)信息也可以刪除���,但是刪除操作只能由審計(jì)員發(fā)起���,經(jīng)安全員確認(rèn)后才執(zhí)行,以保證審計(jì)信息的安全性��、完整性���。
審計(jì)系統(tǒng)發(fā)現(xiàn)問(wèn)題的修復(fù)措施一般有打補(bǔ)丁��、停止服務(wù)��、升級(jí)或更換程序��、去除特洛伊等后門(mén)程序���、修改配置和權(quán)限���、專(zhuān)門(mén)的解決方案等。為了保證所有主機(jī)都能得到有效地處理��,通過(guò)控制中心統(tǒng)一向受控端發(fā)送軟件升級(jí)包����、軟件補(bǔ)丁。發(fā)送時(shí)針對(duì)不同版本操作系統(tǒng)���,由受控端自行選擇是否自動(dòng)執(zhí)行�����。因?yàn)橛行┸浖?jí)包��、軟件補(bǔ)丁與應(yīng)用程序有沖突���,會(huì)影響終端用戶的工作。針對(duì)這種情況�����,只能采取專(zhuān)門(mén)的解決方案�����。
在復(fù)雜的網(wǎng)絡(luò)環(huán)境中�����,一個(gè)網(wǎng)往往由不同的操作系統(tǒng)��、服務(wù)器�����,防火墻和入侵檢測(cè)等眾多的安全產(chǎn)品組成���。網(wǎng)絡(luò)一旦遭受攻擊后���,專(zhuān)業(yè)人員會(huì)把不同日志系統(tǒng)里的日志提取出來(lái)進(jìn)行分析�。不同系統(tǒng)的時(shí)間沒(méi)有經(jīng)過(guò)任何校準(zhǔn)�����,會(huì)不必要地增加日志分析人員的工作量���。系統(tǒng)應(yīng)提供全網(wǎng)統(tǒng)一的時(shí)鐘服務(wù)��,將控制中心設(shè)置為標(biāo)準(zhǔn)時(shí)間��,受控端在接收管理的同時(shí)��,與控制中心保持時(shí)間同步�,實(shí)現(xiàn)審計(jì)系統(tǒng)的時(shí)間一致性�����,從而提供有效的入侵檢測(cè)和事后追查機(jī)制����。
4結(jié)束語(yǔ)
系統(tǒng)的終端安全管理是一個(gè)非常重要的問(wèn)題,也是一個(gè)復(fù)雜的問(wèn)題���,涉及到多方面的因素���。本文從體系架構(gòu)����、安全策略管理�����、審計(jì)主機(jī)范圍��、主機(jī)行為監(jiān)控�、綜合審計(jì)及處理措施等方面提出主機(jī)審計(jì)系統(tǒng)的設(shè)計(jì)思想��,旨在與廣大同行交流���,共同推進(jìn)主機(jī)審計(jì)系統(tǒng)的開(kāi)發(fā)和研究��,最終開(kāi)發(fā)出一個(gè)全方位的符合系統(tǒng)終端安全管理需求的系統(tǒng)���。
參考文獻(xiàn):
[1]網(wǎng)絡(luò)安全監(jiān)控平臺(tái)技術(shù)白皮書(shū)。北京理工大學(xué)信息安全與對(duì)抗技術(shù)研究中心���,2005.
第2篇
Abstract: The technical-economic index and engineering quality of highway construction is paid attention to, and the safety of highway construction whole process simultaneously is taken into account. As concerning some methods of road safety assessment and their accommodations, the method of road safety audit is suggested, which can adapt to the highway construction project in cold area.
關(guān)鍵詞:寒區(qū);公路建設(shè)項(xiàng)目;交通安全評(píng)價(jià);交通安全審計(jì)
Key words: cold area;highway construction project;road safety assessment;road safety audit
中圖分類(lèi)號(hào):U41文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1006-4311(2010)25-0077-02
0引言
道路交通安全研究大體經(jīng)歷了“事故統(tǒng)計(jì)分析――交通安全評(píng)價(jià)――交通事故預(yù)測(cè)――交通事故預(yù)防”等四個(gè)階段,每個(gè)階段都產(chǎn)生了一系列分析方法和指標(biāo)[1]���。目前,我國(guó)對(duì)交通安全的研究,著重于交通安全評(píng)價(jià)和交通事故預(yù)測(cè)以及事故多發(fā)點(diǎn)的判別標(biāo)準(zhǔn)的確定和治理等,而對(duì)交通事故預(yù)防���、潛在交通事故多發(fā)點(diǎn)的判定研究甚少。黑龍江省高等級(jí)公路建設(shè)起步晚,針對(duì)寒區(qū)高等級(jí)公路的交通事故預(yù)防��、潛在交通事故多發(fā)點(diǎn)的判定研究則更少��。
本文在總結(jié)國(guó)內(nèi)外交通安全研究歷程的基礎(chǔ)上,對(duì)公路建設(shè)項(xiàng)目安全評(píng)價(jià)的方法及所適用的工作階段進(jìn)行了比較,確定了適合寒區(qū)公路建設(shè)全過(guò)程安全性評(píng)價(jià)方法�。
1公路安全性評(píng)價(jià)
所謂交通安全評(píng)價(jià),即運(yùn)用安全系統(tǒng)工程的原理和方法,對(duì)擬建或已有工項(xiàng)目可能存在的危險(xiǎn)性及可能產(chǎn)生的后果進(jìn)行綜合評(píng)價(jià)和預(yù)測(cè),并根據(jù)可能導(dǎo)致的事故風(fēng)險(xiǎn)的大小,提出相應(yīng)的安全對(duì)策措施,以達(dá)到系統(tǒng)安全的目的。
交通安全評(píng)價(jià)以道路使用者安全為中心,從預(yù)防交通事故����、降低事故產(chǎn)生的可能性和嚴(yán)重度入手,對(duì)道路項(xiàng)目建設(shè)的全過(guò)程,即規(guī)劃、設(shè)計(jì)���、施工和服務(wù)期進(jìn)行全方位的安全性評(píng)價(jià),從而揭示道路發(fā)生事故的潛在危險(xiǎn)因素及安全性能���。
2寒區(qū)公路建設(shè)項(xiàng)目安全評(píng)價(jià)
2.1 公路交通事故影響因素分析道路交通系統(tǒng)是人―車(chē)―路及環(huán)境相互作用的動(dòng)態(tài)耦合系統(tǒng)[2],道路交通安全問(wèn)題是人―車(chē)―路環(huán)境系統(tǒng)中諸因素相互沖突、矛盾激化的結(jié)果��。根據(jù)道路交通事故統(tǒng)計(jì)資料[3] ,2005年我國(guó)道路交通事故共發(fā)生450254起,交通事故影響因素見(jiàn)圖1所示;2005年黑龍江省發(fā)生公路交通事故2943起,交通事故影響因素見(jiàn)圖2所示���。
對(duì)比圖1和圖2,可知黑龍江省寒區(qū)道路交通事故影響因素中,路的影響高于我國(guó)道路交通事故的統(tǒng)計(jì)�����。
2.2 公路安全性評(píng)價(jià)方法公路安全評(píng)價(jià)分為宏觀評(píng)價(jià)和微觀評(píng)價(jià)[4]����。宏觀評(píng)價(jià)一般是國(guó)家、區(qū)域?qū)用嫔戏治鼋煌ò踩c人口�、機(jī)動(dòng)化水平��、路網(wǎng)��、經(jīng)濟(jì)等因素的關(guān)系,依此制定宏觀的技術(shù)和政策方面的交通安全改進(jìn)對(duì)策��。微觀評(píng)價(jià)一般是在路或區(qū)域路網(wǎng)層面上分析交通安全與道路特征���、交通特征等因素的關(guān)系,依此制定道路基礎(chǔ)設(shè)施改進(jìn)����、交通安全管理改進(jìn)等安全對(duì)策,一般分為定性和定量方法�。定性方法主要是規(guī)范符合性檢查、公路安全審計(jì)的方法�。從國(guó)內(nèi)外的關(guān)于公路交通安全性評(píng)價(jià)的研究和應(yīng)用看,安全審計(jì)是比較成熟�����、有效的安全性評(píng)價(jià)方法;定量方法主要是基于數(shù)學(xué)����、統(tǒng)計(jì)的方法尋求交通安全與其影響因素的定量關(guān)系�。
2.3 各種方法適用的工作階段對(duì)于公路安全評(píng)價(jià)的各種方法,適用于不同的工作階段[4],詳見(jiàn)表1。
通過(guò)表1公路建設(shè)項(xiàng)目不同階段安全評(píng)價(jià)方法的選用的比較分析,規(guī)范符合性和道路安全審計(jì)適應(yīng)各個(gè)工作階段和不同的評(píng)價(jià)對(duì)象,而規(guī)范符合性是對(duì)公路安全性的最低要求��。
道路交通安全審計(jì)基于公路建設(shè)項(xiàng)目投資的全過(guò)程,即投資前期��、投資執(zhí)行期�、投資服務(wù)期,探討從工程安全角度出發(fā)來(lái)審計(jì)公路建設(shè)項(xiàng)目投資的每一階段,即規(guī)劃、預(yù)工程可行性研究�����、工程可行性研究階段,初步設(shè)計(jì)階段,詳細(xì)設(shè)計(jì)���、施工圖設(shè)計(jì)階段,施工���、竣工階段,運(yùn)營(yíng)階段的安全可靠性,從而找出事故的潛在危害因素并進(jìn)行改進(jìn)而達(dá)到預(yù)防和改善交通事故的目的。
3寒區(qū)公路建設(shè)項(xiàng)目交通安全審計(jì)
3.1 道路安全審計(jì)的定義根據(jù)通部頒布實(shí)施的《公路項(xiàng)目安全性評(píng)價(jià)指南》[5],公路安全性評(píng)價(jià),是針對(duì)公路行車(chē)安全進(jìn)行的一個(gè)系統(tǒng)的評(píng)價(jià)程序,它將公路行車(chē)安全����、降低交通事故概念引入公路工程可行性研究及設(shè)計(jì)工作中��。
根據(jù)國(guó)內(nèi)外有關(guān)道路安全審計(jì)定義,并結(jié)合相關(guān)道路安全審計(jì)的具體實(shí)踐,提出道路安全審計(jì)定義:即由獨(dú)立的��、有資格和經(jīng)驗(yàn)的道路交通安全專(zhuān)業(yè)技術(shù)人員,以道路運(yùn)輸安全系統(tǒng)理論為基礎(chǔ),從所有的道路用戶角度,對(duì)處于規(guī)劃�����、工可研��、設(shè)計(jì)���、施工���、運(yùn)營(yíng)的公路建設(shè)項(xiàng)目及交通工程和與公路使用者有關(guān)的任何工程項(xiàng)目進(jìn)行正式的審查,以評(píng)價(jià)公路發(fā)生交通事故的潛在危險(xiǎn)性及安全性能,推薦可能的改善措施,提交道路安全審計(jì)報(bào)告����。它是一個(gè)正式的檢查而不是一個(gè)非正式的檢查;是一個(gè)獨(dú)立的不受業(yè)主或設(shè)計(jì)單位影響的過(guò)程;由具有豐富經(jīng)驗(yàn)和道路安全專(zhuān)業(yè)技術(shù)的人員執(zhí)行,且僅限于安全問(wèn)題�。
3.2道路安全審計(jì)階段劃分及其審計(jì)范圍道路安全審計(jì)作為一種系統(tǒng)方法,貫穿于公路建設(shè)項(xiàng)目的前期、中期��、運(yùn)營(yíng)期的各個(gè)階段����。根據(jù)各國(guó)道路安全審計(jì)的實(shí)際情況和現(xiàn)行的實(shí)踐,道路安全審計(jì)一般可劃分為規(guī)劃階段,初步設(shè)計(jì)階段,詳細(xì)設(shè)計(jì)階段,施工階段和運(yùn)營(yíng)階段[6]����。
3.3 道路安全審計(jì)程序?yàn)榱舜_保道路安全審計(jì)結(jié)果的客觀性和一致性,道路安全審計(jì)工作必須按照標(biāo)準(zhǔn)的過(guò)程進(jìn)行���。不同的道路管理部門(mén),由于體制和機(jī)構(gòu)的差異;不同階段的道路安全審計(jì),其審計(jì)過(guò)程也有一定的差異�����。一般情況下,道路安全審計(jì)的流程如圖3所示�����。
4結(jié)論
本文在總結(jié)國(guó)內(nèi)外交通安全研究歷程的基礎(chǔ)上,明確了公路安全性評(píng)價(jià)的定義��、方法及各種方法適用的工作階段;通過(guò)比較了各種安全評(píng)價(jià)方法,確定了適合寒區(qū)公路建設(shè)全過(guò)程的安全評(píng)價(jià)方法;明確了基于道路安全審計(jì)的公路安全性評(píng)價(jià)的工作范圍����、程序等���。
參考文獻(xiàn):
[1]王建軍.公路建設(shè)項(xiàng)目后評(píng)價(jià)理論研究[D].長(zhǎng)安大學(xué)博士學(xué)位論文,2003.7.21-26.
[2]方守恩,郭忠印,陳雨人.道路安全系統(tǒng)與道路安全工程[J].中國(guó)公路學(xué)報(bào),2001增刊,27-31.
[3]中華人民共和國(guó)道路交通事故統(tǒng)計(jì)年報(bào)(2005年度)[M].公安部交通管理局.2006,13-17.
[4]唐bb,何勇,張鐵軍.公路安全性評(píng)價(jià)[J].公路,2007.8,24-29.
第3篇
【關(guān)鍵詞】多媒體 網(wǎng)絡(luò)技術(shù) 數(shù)字證書(shū)庫(kù)
1 安全的相關(guān)技術(shù)
隨著科學(xué)技術(shù)的發(fā)展��,多媒體技術(shù)也越來(lái)越成熟���,其應(yīng)用范圍包括了教育���、科研、經(jīng)濟(jì)����、軍事等諸多領(lǐng)域。隨著其應(yīng)用范圍的擴(kuò)大�,有些部門(mén)在其安全性上也提出了更高的要求。多媒體應(yīng)用的安全問(wèn)題已收到越來(lái)越多的專(zhuān)家學(xué)者的關(guān)注�。在本論文中筆者對(duì)媒體應(yīng)用中的相關(guān)安全技術(shù)作簡(jiǎn)要介紹。
1.1 PKI技術(shù)
PKI是公鑰基礎(chǔ)設(shè)施英文的縮寫(xiě)���,它主要由四個(gè)部分組成�����,包括數(shù)字證書(shū)庫(kù)、密鑰管理中心���、證書(shū)認(rèn)證中心和審核機(jī)構(gòu)�����。它以公共密鑰技術(shù)作為理論基礎(chǔ)�����,是目前應(yīng)用最廣泛的安全機(jī)制之一�。在此安全機(jī)制中有一對(duì)密鑰、私鑰和公開(kāi)的公鑰����。利用公鑰無(wú)法將私鑰推導(dǎo)出來(lái),但是要想還原公鑰加密的數(shù)據(jù)�����,那就只能依靠特定的私鑰�。因此,即使在不安全的客戶端也能實(shí)現(xiàn)安全通信���,不用擔(dān)心會(huì)泄露相關(guān)數(shù)據(jù)�。
在這整個(gè)安全體系的基礎(chǔ)設(shè)施中��,其核心是認(rèn)證機(jī)構(gòu)��;對(duì)于認(rèn)證機(jī)構(gòu)所發(fā)放的證書(shū),如果要對(duì)其管理���、發(fā)放進(jìn)行相關(guān)擴(kuò)充���,那就需要審核機(jī)構(gòu)發(fā)揮作用;密鑰管理中心不僅能夠產(chǎn)生密鑰也能夠?qū)@些密鑰進(jìn)行有效管理����,每個(gè)認(rèn)證機(jī)構(gòu)必須要有一個(gè)密鑰管理中心;證書(shū)就存放在數(shù)字證書(shū)庫(kù)中��,因此����,數(shù)字證書(shū)庫(kù)的安全性以及完整性十分重要。
1.2 PMI技術(shù)
PMI 和PKI 兩者之間的結(jié)構(gòu)十分類(lèi)似�,它的組成主要包含三個(gè)部分:屬性證書(shū)、證書(shū)庫(kù)和權(quán)威��。對(duì)于證書(shū)的產(chǎn)生��、發(fā)放���、存儲(chǔ)、管理和撤銷(xiāo)等相關(guān)操作它都可以順利完成。其體系結(jié)構(gòu)又主要分為三層:信任源點(diǎn)���、權(quán)威機(jī)構(gòu)中心�、中心點(diǎn)��。
1.3 XML安全技術(shù)
XML 是可擴(kuò)展標(biāo)記語(yǔ)言英文的縮寫(xiě)��,這種數(shù)據(jù)描述語(yǔ)言是開(kāi)放型的�����?;ヂ?lián)網(wǎng)上的信息具有開(kāi)放性的特點(diǎn),每一個(gè)用戶都可以對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)都進(jìn)行相關(guān)修改����。對(duì)于所要描述的內(nèi)容,XML 語(yǔ)言能夠清晰地進(jìn)行表達(dá)��。XML文件同樣也具有開(kāi)放性的特點(diǎn)��,對(duì)于其信息數(shù)據(jù)���,任何人都能夠輕而易舉地知道��。因此���,對(duì)于某些重要的XML文件����,其安全性和完整性是不容忽視的���。
對(duì)于XML簽名加密技術(shù)來(lái)說(shuō)���,其技術(shù)本身并沒(méi)有突破。只是在XML文件內(nèi)部���,能夠?qū)ML元素進(jìn)行簽名和加密處理�����。因此 XML 文件的安全保密工作也就具有了相當(dāng)?shù)臄U(kuò)展性和靈活性���。
XML的簽名包含兩部分:創(chuàng)建和驗(yàn)證。而創(chuàng)建又分為兩個(gè)方面:引用創(chuàng)建和簽名創(chuàng)建����。在進(jìn)行引用創(chuàng)建時(shí)��,要通過(guò)URI對(duì)相關(guān)數(shù)據(jù)進(jìn)行查找,然后轉(zhuǎn)換這些數(shù)據(jù)�����,使其生成摘要���,這樣就創(chuàng)建出了 Reference 元素����;而簽名創(chuàng)建就是創(chuàng)建SignedInfo元素��,然后將上述 Reference 元素納入其中�����,并指定相關(guān)方法���,把元素標(biāo)準(zhǔn)化并簽名���,從而組合成 Signature 元素。驗(yàn)證也分為兩個(gè)方面:引用驗(yàn)證和簽名驗(yàn)證��。簽名驗(yàn)證需要對(duì)相關(guān)密鑰進(jìn)行獲取,從而將標(biāo)準(zhǔn)化的元素摘要生成���,再將其同解密元素作比較���,如果同原文無(wú)差別,那么就驗(yàn)證成功����。
2 多媒體應(yīng)用安全模型設(shè)計(jì)
多媒體應(yīng)用安全模型主要包含三大模塊:PKI/PMI模塊、多媒體訪問(wèn)控制模塊和強(qiáng)審計(jì)模塊���。
2.1 模塊設(shè)計(jì)
在上述系統(tǒng)中���,PKI/PMI模塊的功能就是為用戶提供公鑰證書(shū)和屬性證書(shū),其中公鑰證書(shū)用以表明身份和屬性證書(shū)用以表明權(quán)限�����。PMI的建立是以PKI公鑰基礎(chǔ)設(shè)施為基礎(chǔ)���,因此���,用戶要想申請(qǐng)屬性證書(shū)�����,那就必須先取得身份證書(shū)��。
PKI 由兩個(gè)部分構(gòu)成,即CA 認(rèn)證中心和證書(shū)庫(kù)���。用戶需要提交相關(guān)申請(qǐng)請(qǐng)求���,然后 CA 認(rèn)證中心對(duì)用戶身份進(jìn)行驗(yàn)證核對(duì),通過(guò)后方能為用戶頒發(fā)公鑰證書(shū)���,同時(shí)在證書(shū)庫(kù)中對(duì)證書(shū)進(jìn)行儲(chǔ)存和管理�����。
PMI 不同之處在于��,用戶只有具有了 CA 頒發(fā)的公鑰證書(shū)后���,其屬性證書(shū)的申請(qǐng)才會(huì)被接受。在然后在AA 權(quán)限機(jī)構(gòu)中對(duì)用戶身份和權(quán)限進(jìn)行驗(yàn)證�����,通過(guò)之后方為用戶頒發(fā)屬性證書(shū)。兩種證書(shū)結(jié)構(gòu)類(lèi)似���,只是內(nèi)容略有差異�����。
2.2 多媒體訪問(wèn)控制設(shè)計(jì)
系統(tǒng)對(duì)用戶的身份及角色進(jìn)行驗(yàn)證�,就是對(duì) PKI/PMI 模塊為用戶提供的公鑰證書(shū)和屬性證書(shū)進(jìn)行驗(yàn)證��。用戶的身份信息保存在公鑰證書(shū)中��,用戶的角色信息及公鑰證書(shū)序列號(hào)都保存在屬性證書(shū)中��,這樣能夠有效實(shí)現(xiàn)兩種證書(shū)的統(tǒng)一�。用戶要想證明身份,就需要提供公鑰證書(shū)即其私鑰���,若要證明用戶角色��,就需要再提供屬性證書(shū)及其私鑰��。不同的角色有著不同的視頻訪問(wèn)權(quán)限�,在RBAC 策略中記錄著用戶角色以及用戶可以訪問(wèn)視頻的權(quán)限。換言之�����,角色與權(quán)限之間的對(duì)應(yīng)由 RBAC 策略來(lái)實(shí)現(xiàn)�����。對(duì)于相同的視頻來(lái)說(shuō)��,不同的角色訪問(wèn)的范圍也各不相同����,這就是權(quán)限的不同���。
我們可以用一個(gè)四元組(who�,what����,when,where)來(lái)表示用戶的訪問(wèn)請(qǐng)求���。系統(tǒng)對(duì)RBAC模型進(jìn)行了相關(guān)擴(kuò)展��,對(duì)這四個(gè)方面也作了不同的訪問(wèn)限制���,從而大大提高了系統(tǒng)的安全性��。
2.3 安全審計(jì)的設(shè)計(jì)
安全審計(jì)模塊在系統(tǒng)中是獨(dú)立的��,其查看權(quán)限僅限于系統(tǒng)的審計(jì)管理員�。在系統(tǒng)中���,審計(jì)功能主要包含兩個(gè)方面:一��、數(shù)據(jù)庫(kù)審計(jì)����,它是跟蹤數(shù)據(jù)的讀取行為����,從而確保存儲(chǔ)在數(shù)據(jù)庫(kù)中的信息是被安全地、合理地使用����,從而才能讓合法用戶在權(quán)力范圍內(nèi)對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn);二、應(yīng)用審計(jì)�����,它主要是審計(jì)系統(tǒng)管理員對(duì)安全策略的更新���。一般會(huì)有專(zhuān)門(mén)的審計(jì)管理員���,他能夠?qū)θ罩居涗浀拇鎯?chǔ)進(jìn)行管理,但是無(wú)法對(duì)日志記錄進(jìn)行刪除和修改操作���。這樣就有效控制了系統(tǒng)管理員的權(quán)限���,避免其權(quán)限過(guò)大而產(chǎn)生瀆職行為���。
3 結(jié)束語(yǔ)
本論文對(duì)多媒體應(yīng)用安全的相關(guān)技術(shù)作了簡(jiǎn)單介紹��,著重對(duì)認(rèn)證和加密方式作了相關(guān)描述并構(gòu)建了相關(guān)安全模型����。隨著科技的進(jìn)步���,多媒體應(yīng)用的安全必然會(huì)變得更加重要��,在以后的研究過(guò)程中��,有必要以多媒體應(yīng)用安全平臺(tái)中的密鑰管理�、證書(shū)管理的合理性和安全性為重點(diǎn)進(jìn)行深入研究。筆者學(xué)識(shí)有限��,所作論述僅供參考�。
參考文獻(xiàn)
[1]程安潮.基于屬性證書(shū)的 PMI 授權(quán)管理模型應(yīng)用研究[J].計(jì)算機(jī)工程,2006,(4).162 164.
[2]張文凱,曹元大.基于 PKI/PMI 的應(yīng)用安全平臺(tái)模型的研究[J].計(jì)算機(jī)工程,2004,30(9).131133.
[3]譚寒生,張艦.PMI 與 PKI 模型關(guān)系研究[J]. 計(jì)算機(jī)應(yīng)用,2002��,(8).8688.
[4]周學(xué)廣,張煥國(guó),張少武等.信息安全學(xué)(第二版)[M].北京:機(jī)械工業(yè)出版社.2008,104.
第4篇
【關(guān)鍵詞】 社?���;穑?聯(lián)網(wǎng)審計(jì)���; 應(yīng)用困境���; 實(shí)踐對(duì)策
一、研究現(xiàn)狀述評(píng)
實(shí)施社?��;鹇?lián)網(wǎng)審計(jì)�,是社保基金審計(jì)方式的創(chuàng)新�,更是信息化時(shí)代對(duì)社保基金實(shí)現(xiàn)動(dòng)態(tài)監(jiān)督管理的客觀要求�����?�;谛畔⒒h(huán)境下����,對(duì)社保基金聯(lián)網(wǎng)審計(jì)的研究述評(píng)大致可歸納為以下三個(gè)方面:
(一)關(guān)于社?���;鹩?jì)算機(jī)聯(lián)網(wǎng)審計(jì)的研究
我國(guó)開(kāi)展計(jì)算機(jī)聯(lián)網(wǎng)審計(jì)比較晚,尤其是對(duì)社會(huì)保障基金聯(lián)網(wǎng)審計(jì)的研究,目前仍然處于試點(diǎn)探索階段。2001年3月審計(jì)署在信息化建設(shè)總體目標(biāo)和構(gòu)想中提出了審計(jì)系統(tǒng)信息化建設(shè)的總體目標(biāo)是用五年左右時(shí)間��,建成對(duì)財(cái)政�、稅務(wù)、海關(guān)等部門(mén)和國(guó)有企事業(yè)單位的財(cái)務(wù)信息系統(tǒng)���、電子數(shù)據(jù)系統(tǒng)實(shí)施有效監(jiān)督的聯(lián)網(wǎng)審計(jì)信息化系統(tǒng)�,改變目前審計(jì)手工作業(yè)的現(xiàn)狀。2004年國(guó)家審計(jì)署以“金審工程”建設(shè)為背景���,在計(jì)算機(jī)審計(jì)實(shí)踐和相關(guān)軟件技術(shù)研究的基礎(chǔ)上設(shè)立的“聯(lián)網(wǎng)審計(jì)技術(shù)研究與應(yīng)用”項(xiàng)目通過(guò)了中科院組織的可行性技術(shù)專(zhuān)家論證���,標(biāo)志著我國(guó)聯(lián)網(wǎng)審計(jì)研究工作的正式啟動(dòng),進(jìn)入了科研攻關(guān)階段�。張平(2006)依據(jù)現(xiàn)代軟件新技術(shù)理論,深入研究了聯(lián)網(wǎng)模式下的計(jì)算機(jī)輔助審計(jì)��,從社保聯(lián)網(wǎng)審計(jì)(SNA)系統(tǒng)需求分析出發(fā)���,完成了聯(lián)網(wǎng)審計(jì)系統(tǒng)的總體設(shè)計(jì)�,并研究認(rèn)為SNA系統(tǒng)的目標(biāo)是將手工審計(jì)與計(jì)算機(jī)審計(jì)相結(jié)合��,在聯(lián)網(wǎng)模式下進(jìn)行審計(jì)�。由勝勇(2007)對(duì)數(shù)據(jù)約簡(jiǎn)及其在社保聯(lián)網(wǎng)審計(jì)中的應(yīng)用進(jìn)行了研究,使用Java等工具開(kāi)發(fā)了一個(gè)基于數(shù)據(jù)庫(kù)系統(tǒng)的數(shù)據(jù)約簡(jiǎn)工具D.B.Reduced��,并將該工具應(yīng)用于社保聯(lián)網(wǎng)審計(jì)中�,對(duì)社保業(yè)務(wù)數(shù)據(jù)進(jìn)行約簡(jiǎn),預(yù)期效果較好��。寶曉娜(2009)重點(diǎn)研究了基于CGSP的社保審計(jì)網(wǎng)格及門(mén)戶技術(shù)���,對(duì)社保審計(jì)網(wǎng)格的虛擬數(shù)據(jù)庫(kù)和網(wǎng)格文件系統(tǒng)展開(kāi)了深入研究���,并指出社保審計(jì)網(wǎng)格門(mén)戶繼承了Grid sphere框架提供的核心Port let基本功能��。
(二)關(guān)于社?��;鹩?jì)算機(jī)聯(lián)網(wǎng)審計(jì)技術(shù)的研究
計(jì)算機(jī)審計(jì)技術(shù)是開(kāi)展聯(lián)網(wǎng)審計(jì)的重要保證。2005年初��,山東青島市審計(jì)局對(duì)社保計(jì)算機(jī)審計(jì)的技術(shù)方法進(jìn)行了探討�����,編寫(xiě)了《社會(huì)保障計(jì)算機(jī)審計(jì)實(shí)務(wù)》一書(shū)���,系統(tǒng)闡述了信息化環(huán)境下養(yǎng)老保險(xiǎn)等各項(xiàng)社?;饘徲?jì)技術(shù)�����。浙江省審計(jì)廳聯(lián)合浙江大學(xué)計(jì)算機(jī)系進(jìn)行過(guò)計(jì)算機(jī)技術(shù)在社保審計(jì)中的應(yīng)用研究����,初步實(shí)現(xiàn)了對(duì)養(yǎng)老保險(xiǎn)業(yè)務(wù)的聯(lián)網(wǎng)監(jiān)督。為解決計(jì)算機(jī)審計(jì)技術(shù)要求高的難題����,青島市審計(jì)局運(yùn)用PB9.0+SQL SERVER2000技術(shù),自主開(kāi)發(fā)了對(duì)養(yǎng)老�����、醫(yī)療等五項(xiàng)社?�;鹫骼U環(huán)節(jié)的計(jì)算機(jī)審計(jì)技術(shù)�。李媛媛(2007)在現(xiàn)有安全審計(jì)系統(tǒng)的基礎(chǔ)上,結(jié)合廣州市財(cái)政系統(tǒng)功能和業(yè)務(wù)特點(diǎn)��,提出了一種新型的計(jì)算機(jī)安全審計(jì)系統(tǒng)—財(cái)政安全審計(jì)系統(tǒng)(Finance Security Audit System�����,簡(jiǎn)稱FSAS)���,并根據(jù)財(cái)政業(yè)務(wù)系統(tǒng)面臨的問(wèn)題��,提出了FSAS系統(tǒng)的應(yīng)用����、體系結(jié)構(gòu)設(shè)計(jì)和關(guān)鍵審計(jì)模塊的審計(jì)技術(shù)。陳偉(2008)認(rèn)為�,計(jì)算機(jī)審計(jì)技術(shù)是為了滿足信息化環(huán)境下審計(jì)的需要,以計(jì)算機(jī)為基礎(chǔ)對(duì)信息系統(tǒng)數(shù)據(jù)進(jìn)行審計(jì)的技術(shù)���,聯(lián)網(wǎng)審計(jì)技術(shù)主要由數(shù)據(jù)采集���、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)分析這四部分組成��。謝岳山(2009)對(duì)聯(lián)網(wǎng)環(huán)境下的電子簽章���、網(wǎng)絡(luò)數(shù)據(jù)庫(kù)和電子商務(wù)軟件系統(tǒng)三大類(lèi)關(guān)鍵要素的審計(jì)技術(shù)展開(kāi)了探討���,認(rèn)為聯(lián)網(wǎng)環(huán)境下信息系統(tǒng)的審計(jì)需要多種計(jì)算機(jī)審計(jì)技術(shù)支持。李春洋(2011)研究發(fā)現(xiàn)�,計(jì)算機(jī)審計(jì)技術(shù)在信息化環(huán)境下存在審計(jì)業(yè)務(wù)能力與信息化發(fā)展水平不均衡、審計(jì)機(jī)關(guān)信息化程度與被審計(jì)對(duì)象不對(duì)稱���、計(jì)算機(jī)審計(jì)系統(tǒng)操作性不強(qiáng)等問(wèn)題�,并提出了加強(qiáng)理論研究�、推進(jìn)審計(jì)軟件開(kāi)發(fā)、加快數(shù)據(jù)庫(kù)建設(shè),完善聯(lián)網(wǎng)審計(jì)體系等推進(jìn)審計(jì)技術(shù)發(fā)展的建議����。
(三)關(guān)于社?��;鹩?jì)算機(jī)聯(lián)網(wǎng)審計(jì)軟件的研究
目前我國(guó)有部分審計(jì)機(jī)關(guān)對(duì)社?����;鹩?jì)算機(jī)聯(lián)網(wǎng)審計(jì)軟件開(kāi)展了相關(guān)研究���,如江蘇南通市成功開(kāi)發(fā)部署AO系統(tǒng),將審計(jì)經(jīng)驗(yàn)和計(jì)算機(jī)語(yǔ)言有機(jī)結(jié)合���,極大提高了審計(jì)效率��;山東青島市審計(jì)局在社?��;饘徲?jì)中探索運(yùn)用計(jì)算機(jī)輔助審計(jì),開(kāi)發(fā)了養(yǎng)老����、醫(yī)療等五項(xiàng)社保基金征繳計(jì)算機(jī)審計(jì)軟件系統(tǒng),成為山東省審計(jì)機(jī)關(guān)自主開(kāi)發(fā)成功的首個(gè)社?��;鹩?jì)算機(jī)審計(jì)軟件系統(tǒng)����;黑龍江省審計(jì)廳進(jìn)行了養(yǎng)老保險(xiǎn)聯(lián)網(wǎng)審計(jì)軟件研發(fā)���,系統(tǒng)順利上線并通過(guò)審計(jì)署驗(yàn)收���;江蘇太倉(cāng)市審計(jì)局建立了幾十個(gè)養(yǎng)老保險(xiǎn)審計(jì)指標(biāo),通過(guò)構(gòu)建方法模型研發(fā)聯(lián)網(wǎng)審計(jì)應(yīng)用軟件�,進(jìn)行養(yǎng)老保險(xiǎn)業(yè)務(wù)聯(lián)網(wǎng)審計(jì)。鈕銘鋼(2011)探索了運(yùn)用審計(jì)軟件AO實(shí)施養(yǎng)老保險(xiǎn)基金審計(jì)����,研究認(rèn)為被審計(jì)單位的財(cái)務(wù)數(shù)據(jù)由業(yè)務(wù)數(shù)據(jù)自動(dòng)生成,取得憑證表���,通過(guò)AO軟件“采集轉(zhuǎn)換—業(yè)務(wù)數(shù)據(jù)”功能導(dǎo)入�。岳桂云(2010)對(duì)計(jì)算機(jī)審計(jì)軟件流程標(biāo)準(zhǔn)化進(jìn)行了探討��,研究指出審計(jì)軟件的流程標(biāo)準(zhǔn)化包括業(yè)務(wù)流程和數(shù)據(jù)流程兩大部分��。陳偉(2009)闡析了目前國(guó)內(nèi)流行的審計(jì)軟件有:現(xiàn)場(chǎng)審計(jì)實(shí)施系統(tǒng)(AO軟件)、北京通審軟件技術(shù)公司開(kāi)發(fā)的通審2000�、金劍審計(jì)系統(tǒng)2005和中審法規(guī)軟件等。汪孝竹(2006)認(rèn)為��,由于軟件公司的開(kāi)發(fā)人員僅從自身專(zhuān)業(yè)角度出發(fā)�����,并不了解審計(jì)實(shí)務(wù)�����,既精通計(jì)算機(jī)編程又熟悉審計(jì)業(yè)務(wù)的復(fù)合型人才很少���,導(dǎo)致審計(jì)軟件不實(shí)用,因而審計(jì)系統(tǒng)計(jì)算機(jī)人才缺乏問(wèn)題�����,是制約審計(jì)軟件開(kāi)發(fā)的因素之一����。
二、現(xiàn)階段我國(guó)開(kāi)展社?��;鹇?lián)網(wǎng)審計(jì)面臨的現(xiàn)實(shí)困境
社?�;鹇?lián)網(wǎng)審計(jì)實(shí)現(xiàn)了“預(yù)算跟蹤+聯(lián)網(wǎng)核查”相結(jié)合���,是一種新型的審計(jì)方式����。與傳統(tǒng)的審計(jì)方法相比���,該審計(jì)方式突出的優(yōu)勢(shì)體現(xiàn)在快速采集與準(zhǔn)確轉(zhuǎn)換相結(jié)合�,采集數(shù)據(jù)和分析數(shù)據(jù)的效率極大提高�;實(shí)時(shí)監(jiān)控與動(dòng)態(tài)預(yù)警相結(jié)合,能及時(shí)發(fā)現(xiàn)并查處違規(guī)操作問(wèn)題���;遠(yuǎn)程審計(jì)與現(xiàn)場(chǎng)審計(jì)相結(jié)合��,拓展了審計(jì)范圍等方面���。根據(jù)前文的研究現(xiàn)狀述評(píng)可知,我國(guó)在聯(lián)網(wǎng)審計(jì)方面已取得了一定成果�����,部分審計(jì)機(jī)關(guān)也開(kāi)始了對(duì)聯(lián)網(wǎng)審計(jì)的試點(diǎn)探索工作,但在實(shí)際應(yīng)用中推廣聯(lián)網(wǎng)審計(jì)之路仍然漫長(zhǎng)曲折���,諸多困境制約著該審計(jì)模式的運(yùn)行和發(fā)展:
(一)數(shù)據(jù)安全與網(wǎng)絡(luò)安全保障措施不足��,聯(lián)網(wǎng)審計(jì)存在較大的審計(jì)風(fēng)險(xiǎn)
由于社保中心數(shù)據(jù)庫(kù)的數(shù)據(jù)涉及機(jī)密��,不能輕易暴露在外網(wǎng)����,但當(dāng)前審計(jì)單位審計(jì)信息系統(tǒng)的網(wǎng)絡(luò)化卻威脅著社?�;鹇?lián)網(wǎng)審計(jì)系統(tǒng)的數(shù)據(jù)安全與網(wǎng)絡(luò)安全��,網(wǎng)絡(luò)資源共享更使聯(lián)網(wǎng)審計(jì)信息面臨著安全威脅�����。在聯(lián)網(wǎng)審計(jì)環(huán)境下���,社保業(yè)務(wù)信息的電子化以磁介質(zhì)為主要存儲(chǔ)載體,這使攻擊者對(duì)原始數(shù)據(jù)進(jìn)行非法修改或刪除��,且不留篡改痕跡成為現(xiàn)實(shí)���,這將無(wú)法保護(hù)數(shù)據(jù)的完整性�����,大大增加了審計(jì)風(fēng)險(xiǎn)��。由于聯(lián)網(wǎng)審計(jì)系統(tǒng)數(shù)據(jù)安全控制不足���,或因?qū)徲?jì)單位不嚴(yán)格遵守審計(jì)信息保密規(guī)定�,使得信息被竊取��,更常見(jiàn)的是由于審計(jì)人員操作失誤�,導(dǎo)致業(yè)務(wù)數(shù)據(jù)丟失,或由于審計(jì)人員擅自更改微機(jī)設(shè)置����,使聯(lián)網(wǎng)審計(jì)操作系統(tǒng)被破壞,造成數(shù)據(jù)損失���。各種各樣的審計(jì)風(fēng)險(xiǎn)(如圖1所示)��,使社?���;饦I(yè)務(wù)數(shù)據(jù)的安全性難以得到保證。再加上計(jì)算機(jī)病毒的肆意侵襲����,也威脅到聯(lián)網(wǎng)審計(jì)的數(shù)據(jù)安全和網(wǎng)絡(luò)安全,甚至破壞整個(gè)聯(lián)網(wǎng)審計(jì)系統(tǒng)��,審計(jì)風(fēng)險(xiǎn)即隨之增加���。
(二)聯(lián)網(wǎng)審計(jì)缺乏專(zhuān)門(mén)的技術(shù)規(guī)范�,尚未建立起統(tǒng)一的法律法規(guī)制度體系
我國(guó)在社保審計(jì)領(lǐng)域中運(yùn)用聯(lián)網(wǎng)審計(jì)技術(shù)還處于試點(diǎn)階段���,目前國(guó)家尚未出臺(tái)專(zhuān)門(mén)的聯(lián)網(wǎng)審計(jì)技術(shù)規(guī)范�,相關(guān)的法律制度很欠缺�����。聯(lián)網(wǎng)審計(jì)是審計(jì)方式的創(chuàng)新���,以往的社保基金審計(jì)法律法規(guī)體系�,已不能完全指導(dǎo)和規(guī)范聯(lián)網(wǎng)審計(jì)的實(shí)踐與操作,也不能完全解決聯(lián)網(wǎng)審計(jì)實(shí)務(wù)中出現(xiàn)的所有新問(wèn)題���。雖然有些實(shí)現(xiàn)聯(lián)網(wǎng)審計(jì)的地方出臺(tái)了相關(guān)的地方性規(guī)章制度���,但還缺乏統(tǒng)一的聯(lián)網(wǎng)審計(jì)法律法規(guī)體系�,造成了審計(jì)機(jī)關(guān)能否具有與被審計(jì)單位聯(lián)網(wǎng)取得數(shù)據(jù)的權(quán)力����、有沒(méi)有隨時(shí)獲取被審計(jì)單位數(shù)據(jù)并進(jìn)行審計(jì)的權(quán)力等一系列阻礙聯(lián)網(wǎng)審計(jì)應(yīng)用的問(wèn)題。此外��,聯(lián)網(wǎng)審計(jì)尚缺乏一套標(biāo)準(zhǔn)的審計(jì)程序及與此相配套的審計(jì)文書(shū)����,在聯(lián)網(wǎng)審計(jì)的技術(shù)規(guī)范、操作流程及分析模型方面尚未建立起統(tǒng)一的標(biāo)準(zhǔn)��,致使審計(jì)人員無(wú)法根據(jù)相對(duì)統(tǒng)一的標(biāo)準(zhǔn)對(duì)社?;鹫归_(kāi)審計(jì)工作,不同地區(qū)不同審計(jì)人員使用的審計(jì)方法與技術(shù)各不相同�����,聯(lián)網(wǎng)審計(jì)效果得不到根本保證�����。
(三)審計(jì)人員的綜合素質(zhì)難以滿足聯(lián)網(wǎng)審計(jì)工作需要,缺乏復(fù)合型審計(jì)人才
聯(lián)網(wǎng)審計(jì)是一項(xiàng)對(duì)計(jì)算機(jī)技術(shù)和審計(jì)業(yè)務(wù)知識(shí)要求很高的工作�,這就要求審計(jì)人員不但要具備豐富的財(cái)務(wù)及審計(jì)知識(shí),并熟悉審計(jì)政策��、法規(guī)和其他審計(jì)依據(jù)�����,而且又要掌握計(jì)算機(jī)基礎(chǔ)知識(shí)和網(wǎng)絡(luò)技術(shù)���,并對(duì)被審計(jì)單位計(jì)算機(jī)軟硬件系統(tǒng)有充分的了解���。在審計(jì)實(shí)務(wù)中,很多審計(jì)人員停留在傳統(tǒng)的審計(jì)模式上����,無(wú)法適應(yīng)信息化環(huán)境下新形勢(shì)的發(fā)展要求,特別是在基層審計(jì)部門(mén)��,有些審計(jì)人員盡管財(cái)會(huì)審計(jì)經(jīng)驗(yàn)豐富��,但對(duì)計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)知識(shí)了解不多��;而有些審計(jì)人員的計(jì)算機(jī)技術(shù)水平較高��,但與審計(jì)相關(guān)的財(cái)務(wù)知識(shí)不夠扎實(shí)�����。由此可見(jiàn)��,目前我國(guó)很缺乏復(fù)合型審計(jì)人才����,能夠完全勝任聯(lián)網(wǎng)審計(jì)的專(zhuān)業(yè)技術(shù)人才也非常稀缺。
三���、社?�;鹇?lián)網(wǎng)審計(jì)應(yīng)用困境的實(shí)踐對(duì)策探討
結(jié)合信息化環(huán)境下社?���;鹇?lián)網(wǎng)審計(jì)的應(yīng)用困境����,運(yùn)用計(jì)算機(jī)、審計(jì)���、社會(huì)保障等相關(guān)學(xué)科的專(zhuān)業(yè)知識(shí)��,借助現(xiàn)代審計(jì)體系和技術(shù)方法探討解決社?��;鹇?lián)網(wǎng)審計(jì)困境的實(shí)踐對(duì)策��,以推進(jìn)社?��;鹇?lián)網(wǎng)審計(jì)向更深層次發(fā)展,提升社?�;饘徲?jì)監(jiān)管的技術(shù)水平����。
(一)強(qiáng)化安全防范措施,保障聯(lián)網(wǎng)審計(jì)的數(shù)據(jù)安全與網(wǎng)絡(luò)安全
⒈建立數(shù)據(jù)安全控制規(guī)程��。為保證聯(lián)網(wǎng)系統(tǒng)中數(shù)據(jù)的安全性�,建立數(shù)據(jù)安全規(guī)程,強(qiáng)化數(shù)據(jù)安全控制���,對(duì)系統(tǒng)中的數(shù)據(jù)應(yīng)規(guī)定審計(jì)人員的使用權(quán)限�����,規(guī)定哪些人員可以查閱哪些審計(jì)數(shù)據(jù)��,審計(jì)人員只有經(jīng)過(guò)授權(quán)才能訪問(wèn)系統(tǒng)數(shù)據(jù)��。
⒉采取數(shù)據(jù)專(zhuān)網(wǎng)傳輸措施��?����?紤]到社保中心數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的安全性���,應(yīng)采用專(zhuān)網(wǎng)傳輸方式進(jìn)行社保中心財(cái)務(wù)、業(yè)務(wù)數(shù)據(jù)采集���,為數(shù)據(jù)安全保駕護(hù)航�。
⒊依靠技術(shù)設(shè)備保障網(wǎng)絡(luò)安全����。社保聯(lián)網(wǎng)審計(jì)專(zhuān)網(wǎng)與社保中心內(nèi)部使用的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)不能夠聯(lián)通,應(yīng)嚴(yán)格實(shí)施審計(jì)專(zhuān)網(wǎng)與互聯(lián)網(wǎng)物理隔離措施����。同時(shí)強(qiáng)化外網(wǎng)安全保護(hù)措施,采取先進(jìn)的防火墻技術(shù),安裝網(wǎng)絡(luò)版殺毒軟件�,防止病毒入侵,保護(hù)聯(lián)網(wǎng)審計(jì)網(wǎng)絡(luò)安全�。
(二)強(qiáng)化技術(shù)規(guī)范與制度建設(shè),為聯(lián)網(wǎng)審計(jì)提供制度保障
⒈完善社?��;鹇?lián)網(wǎng)審計(jì)立法體系�����。審計(jì)機(jī)關(guān)應(yīng)在總結(jié)聯(lián)網(wǎng)審計(jì)探索經(jīng)驗(yàn)的基礎(chǔ)上���,結(jié)合聯(lián)網(wǎng)審計(jì)實(shí)踐情況,出臺(tái)有關(guān)社?�;鹇?lián)網(wǎng)審計(jì)的規(guī)章制度����,制定《社保基金聯(lián)網(wǎng)審計(jì)實(shí)施辦法》��、出臺(tái)《社?��;鹇?lián)網(wǎng)審計(jì)網(wǎng)絡(luò)化管理實(shí)施辦法》�,增強(qiáng)聯(lián)網(wǎng)審計(jì)單位的法律制度意識(shí)。同時(shí)���,審計(jì)機(jī)關(guān)應(yīng)從優(yōu)化外部環(huán)境和建立內(nèi)部控制制度兩方面著手為社?��;鹇?lián)網(wǎng)審計(jì)提供制度保障�����。
⒉加快社?�;鹇?lián)網(wǎng)審計(jì)規(guī)范化建設(shè)��。規(guī)范化建設(shè)就是從社?��;鹇?lián)網(wǎng)審計(jì)系統(tǒng)的整體出發(fā)�,對(duì)各地區(qū)開(kāi)展聯(lián)網(wǎng)審計(jì)的操作流程��、審計(jì)程序�����、軟件要求等各個(gè)環(huán)節(jié)制訂規(guī)程����,規(guī)范管理���。審計(jì)署可以在系統(tǒng)技術(shù)層面上出臺(tái)建設(shè)標(biāo)準(zhǔn)及社保基金聯(lián)網(wǎng)審計(jì)操作指南���,明確崗位權(quán)限�、聯(lián)網(wǎng)審計(jì)程序等操作要求�����,不斷促進(jìn)社?����;鹇?lián)網(wǎng)審計(jì)規(guī)范化發(fā)展�。
⒊構(gòu)建社保基金聯(lián)網(wǎng)審計(jì)標(biāo)準(zhǔn)化管理體系��。標(biāo)準(zhǔn)化管理體系的建設(shè)分三個(gè)階段進(jìn)行:首先��,提出聯(lián)網(wǎng)審計(jì)標(biāo)準(zhǔn)化管理需求��;其次���,為聯(lián)網(wǎng)審計(jì)系統(tǒng)的運(yùn)行制定具體標(biāo)準(zhǔn)���;最后���,組織監(jiān)督聯(lián)網(wǎng)審計(jì)單位落實(shí)標(biāo)準(zhǔn)。社?��;鹇?lián)網(wǎng)審計(jì)系統(tǒng)的標(biāo)準(zhǔn)化體現(xiàn)在硬件與軟件兩方面。在硬件方面��,統(tǒng)一聯(lián)網(wǎng)審計(jì)單位的數(shù)據(jù)中心機(jī)房建設(shè)標(biāo)準(zhǔn)�,配備全國(guó)統(tǒng)一的硬件設(shè)備;在軟件方面����,使用統(tǒng)一技術(shù)支持的聯(lián)網(wǎng)審計(jì)軟件標(biāo)準(zhǔn),完善聯(lián)網(wǎng)審計(jì)軟件研發(fā)與技術(shù)支持商管理制度等�����。
(三)強(qiáng)化技能培訓(xùn)并革新教育模式��,不斷提高聯(lián)網(wǎng)審計(jì)自主創(chuàng)新能力
⒈加強(qiáng)知識(shí)技能培訓(xùn)���。一方面��,社?���;饘徲?jì)機(jī)構(gòu)應(yīng)強(qiáng)化對(duì)審計(jì)人員的繼續(xù)教育,加強(qiáng)財(cái)會(huì)知識(shí)及社保知識(shí)培訓(xùn)��;另一方面�����,對(duì)審計(jì)人員進(jìn)行計(jì)算計(jì)技能培訓(xùn)與社?;鹦畔⒒夹g(shù)培訓(xùn),通過(guò)開(kāi)展“聯(lián)網(wǎng)審計(jì)專(zhuān)業(yè)技術(shù)培訓(xùn)月”等形式��,提高審計(jì)人員的聯(lián)網(wǎng)審計(jì)工作能力�����。
⒉引進(jìn)復(fù)合型審計(jì)人才��。首先加強(qiáng)對(duì)現(xiàn)有審計(jì)人員的培訓(xùn)�,制定審計(jì)人員在職學(xué)習(xí)規(guī)劃;其次采用招聘政府雇員等人才引進(jìn)方式�,引進(jìn)聯(lián)網(wǎng)審計(jì)所需的復(fù)合型人才���,滿足聯(lián)網(wǎng)審計(jì)長(zhǎng)期發(fā)展需要。
⒊強(qiáng)化培訓(xùn)與激勵(lì)��。具體的做法有:建立專(zhuān)門(mén)的聯(lián)網(wǎng)審計(jì)工作領(lǐng)導(dǎo)小組�����;對(duì)熟練掌握聯(lián)網(wǎng)審計(jì)技術(shù)者��、在聯(lián)網(wǎng)審計(jì)專(zhuān)業(yè)技術(shù)知識(shí)年度考核中表現(xiàn)優(yōu)秀者及在聯(lián)網(wǎng)審計(jì)工作中取得突出業(yè)績(jī)者等頒發(fā)獎(jiǎng)勵(lì)���;對(duì)“社保基金聯(lián)網(wǎng)審計(jì)運(yùn)用能手”實(shí)行“三個(gè)優(yōu)先”(評(píng)先評(píng)優(yōu)���、職務(wù)晉升���、學(xué)習(xí)培訓(xùn))的激勵(lì)機(jī)制。
【參考文獻(xiàn)】
[1] 錢(qián)潤(rùn)紅���,崔云.社會(huì)保險(xiǎn)基金審計(jì)方式探討[J].貴州大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)�����,2010(4):21-24.
[2] 喻婷.社會(huì)保險(xiǎn)基金績(jī)效審計(jì)評(píng)價(jià)體系研究[D].西南財(cái)經(jīng)大學(xué)碩士學(xué)位論文���,2010:15-22.
[3] 李蕊愛(ài).企業(yè)職工基本養(yǎng)老保險(xiǎn)資金的審計(jì)探索[J].中國(guó)審計(jì)���,2010(22):35-37.
第5篇
網(wǎng)絡(luò)的出現(xiàn)使人類(lèi)的生活方式發(fā)生了巨大的變化,使人類(lèi)的生活更為便捷����,更為舒適。另外互聯(lián)網(wǎng)的出現(xiàn)還提高了信息傳輸速度�����,擴(kuò)大了信息傳輸范圍����,但我們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)的信息傳遞的便利的同時(shí),必須注意網(wǎng)絡(luò)信息安全��,防范網(wǎng)絡(luò)詐騙�,增強(qiáng)網(wǎng)絡(luò)信息安全意識(shí),做好網(wǎng)絡(luò)信息保密工作��,避免發(fā)生信息泄露事件?;诖耍疚闹饕獜膬?nèi)網(wǎng)和外網(wǎng)兩個(gè)方面對(duì)網(wǎng)絡(luò)信息保密技術(shù)進(jìn)行研究���。
關(guān)鍵詞:
信息安全�����;互聯(lián)網(wǎng)�����;保密技術(shù)
0引言
在當(dāng)前信息社會(huì)中���,如何確保信息傳輸?shù)陌踩呀?jīng)成為人們關(guān)注的焦點(diǎn)。為了避免信息非法竊取事件的發(fā)生�����,人們必須要具有強(qiáng)烈的信息安全意識(shí)�,掌握基本的網(wǎng)絡(luò)信息保密技術(shù)��,做好信息傳輸?shù)谋C芄ぷ?�,從而確保信息傳輸安全。當(dāng)前比較常見(jiàn)的兩種網(wǎng)絡(luò)信息保密技術(shù)為:(1)內(nèi)網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)�;(2)外網(wǎng)網(wǎng)絡(luò)信息保密技術(shù),本論文將從這兩個(gè)方面展開(kāi)深入的研究��。
1內(nèi)網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)
內(nèi)網(wǎng)指的是單位���、機(jī)構(gòu)或者組織的局域網(wǎng)��,內(nèi)網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)主要依靠于內(nèi)網(wǎng)信息管理終端來(lái)實(shí)現(xiàn)對(duì)各種內(nèi)網(wǎng)信息傳遞的管理���,避免出現(xiàn)信息非法竊取的情況。內(nèi)網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)主要用于軍工單位信息保密工作中�����。
1.1內(nèi)網(wǎng)信息泄露的原因
造成內(nèi)網(wǎng)信息泄露的原因主要有:一是單位內(nèi)部人員將單位局域網(wǎng)連接密碼泄露給非法分子��,為非法分子進(jìn)入內(nèi)網(wǎng)提供了極為便利的條件����;二是單位內(nèi)部人員盜取單位內(nèi)保密信息,并通過(guò)郵件或者U盤(pán)向外界傳遞����;三是非法分子非法侵入到單位局域網(wǎng)中��,獲取局域網(wǎng)服務(wù)器中的保密信息����;四是非法分子通過(guò)散布網(wǎng)絡(luò)病毒或者網(wǎng)絡(luò)木馬造成單位局域網(wǎng)癱瘓��,非法竊取局域網(wǎng)中的信息��。
1.2安全管理技術(shù)
安全管理技術(shù)是一種比較常見(jiàn)的內(nèi)網(wǎng)信息保密技術(shù)����,其出現(xiàn)的背景為:網(wǎng)絡(luò)應(yīng)用的范圍不斷擴(kuò)大,網(wǎng)絡(luò)信息管理設(shè)備的不斷復(fù)雜���,網(wǎng)絡(luò)信息管理任務(wù)的增加����,網(wǎng)絡(luò)故障發(fā)生率的驟然升高�,單位內(nèi)網(wǎng)出現(xiàn)運(yùn)行瓶頸,無(wú)法及時(shí)發(fā)現(xiàn)運(yùn)行問(wèn)題以及運(yùn)行故障����。安全管理技術(shù)實(shí)施目的就是提高單位內(nèi)網(wǎng)的運(yùn)行性能���,提高單位內(nèi)網(wǎng)管理水平�����,確保單位內(nèi)網(wǎng)信息傳遞的安全���。安全管理技術(shù)所包含的內(nèi)容包括:一是信息復(fù)制�����、打印�����、傳遞的管理��,避免打印泄密�、郵遞泄密以及拷貝泄密情況的出現(xiàn)���;二是內(nèi)網(wǎng)服務(wù)器數(shù)據(jù)的保密����,為不同級(jí)別的管理員設(shè)置不同通信密碼�����,做好內(nèi)網(wǎng)服務(wù)器的隔離;三是內(nèi)網(wǎng)使用的管理�����,對(duì)內(nèi)網(wǎng)用戶身份進(jìn)行登記和審查�,對(duì)內(nèi)網(wǎng)接入站點(diǎn)進(jìn)行登記和審查等。
1.3安全評(píng)估技術(shù)
和安全管理技術(shù)相同�����,安全評(píng)估技術(shù)也屬于一種內(nèi)網(wǎng)信息保密技術(shù)?��,F(xiàn)在網(wǎng)絡(luò)環(huán)境越來(lái)越復(fù)雜�����,一種安全保護(hù)產(chǎn)品是無(wú)法完成整個(gè)內(nèi)網(wǎng)信息傳遞保密的���,需要結(jié)合多種信息安全保密產(chǎn)品,在整個(gè)內(nèi)網(wǎng)運(yùn)行過(guò)程中�����,進(jìn)行動(dòng)態(tài)的信息保護(hù)。確保內(nèi)網(wǎng)信息傳遞安全的一種有效方法就是信息安全評(píng)估�,其主要功能就是客觀�、科學(xué)、有效的對(duì)內(nèi)網(wǎng)信息傳遞過(guò)程進(jìn)行評(píng)估��,發(fā)現(xiàn)內(nèi)網(wǎng)信息傳遞過(guò)程中存在的安全隱患�����,及時(shí)消滅這些隱患����。內(nèi)網(wǎng)信息安全評(píng)估主要包括以下幾個(gè)方面:一是信息安全風(fēng)險(xiǎn)評(píng)估,其主要工作就是找出內(nèi)網(wǎng)信息傳遞安全問(wèn)題產(chǎn)生的根源��,從而提出能夠從根本上解決內(nèi)網(wǎng)信息傳遞風(fēng)險(xiǎn)的方法�,是安全評(píng)估技術(shù)的核心,是一種優(yōu)化內(nèi)網(wǎng)運(yùn)行的方法��;二是信息對(duì)抗可能性評(píng)估��;三是非法攻擊可能性評(píng)估�;四是信息安全等級(jí)劃定;五是信息安全隱患評(píng)估�����;六是信息安全脆弱性評(píng)估。
1.4安全審計(jì)技術(shù)
除了上述兩種內(nèi)網(wǎng)信息保密技術(shù)外�,在當(dāng)前內(nèi)網(wǎng)信息保密工作中,安全審計(jì)技術(shù)也具有較為廣泛的應(yīng)用���,其主要對(duì)內(nèi)網(wǎng)服務(wù)器的安全性能進(jìn)行評(píng)估����。記錄內(nèi)網(wǎng)發(fā)生的安全事件����,同時(shí)對(duì)其進(jìn)行處理或者是再現(xiàn)事件發(fā)生的過(guò)程,這些工作的完成需要安全審計(jì)系統(tǒng)的幫助��,安全審計(jì)系統(tǒng)還能定位內(nèi)網(wǎng)受到攻擊的具置或者是內(nèi)網(wǎng)運(yùn)行錯(cuò)誤產(chǎn)生的具體地點(diǎn)��,發(fā)現(xiàn)破壞內(nèi)網(wǎng)信息安全的根本原因���。除了上述幾種功能外��,安全審計(jì)系統(tǒng)還具有如下作用:一是能夠提供可供安全員分析的內(nèi)網(wǎng)管理數(shù)據(jù)�,幫助安全員尋找信息安全事件發(fā)生的根源,同時(shí)協(xié)助安全員制定信息保密策略����;二是能夠提供可供安全員進(jìn)行故障分析的內(nèi)網(wǎng)運(yùn)行日志,協(xié)助安全員發(fā)現(xiàn)內(nèi)網(wǎng)運(yùn)行漏洞以及非法入侵人員��;三是根據(jù)安全員的指示記錄各種安全事件�����。
2外網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)
外網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)主要為了防范外部網(wǎng)絡(luò)對(duì)內(nèi)網(wǎng)的攻擊����,外網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)設(shè)計(jì)的前提假設(shè)為內(nèi)網(wǎng)安全���,所有的網(wǎng)絡(luò)入侵和攻擊都來(lái)自于外網(wǎng)�����,當(dāng)前���,使用較多的幾種外網(wǎng)網(wǎng)絡(luò)信息保密技術(shù)包括:
2.1安全掃描技術(shù)
利用遠(yuǎn)程網(wǎng)絡(luò)檢測(cè)技術(shù)來(lái)對(duì)TCP/IP文件傳輸協(xié)議中不同服務(wù)器端口進(jìn)行檢測(cè)的技術(shù)就是安全掃描技術(shù),通過(guò)安全掃描技術(shù)可以獲得各種服務(wù)器運(yùn)行信息���,例如服務(wù)器是否具有FIP目錄等���,匿名登錄是否有效等���。
2.2匿名通信技術(shù)
將網(wǎng)絡(luò)通信中實(shí)體之間的聯(lián)系以及實(shí)體地址進(jìn)行隱藏,使非法入侵者無(wú)法獲得實(shí)體物理地址以及詳細(xì)的信息傳遞內(nèi)容的一種網(wǎng)絡(luò)安全技術(shù)就是匿名通信技術(shù)��。這種技術(shù)開(kāi)發(fā)的前提假設(shè)為網(wǎng)絡(luò)外人員是無(wú)法獲得網(wǎng)絡(luò)實(shí)體之間通信信息���,無(wú)法發(fā)現(xiàn)網(wǎng)絡(luò)實(shí)體的通信過(guò)程以及網(wǎng)絡(luò)實(shí)體的具置�。實(shí)體之間通信的安全都由鏈路級(jí)保證���,也就是說(shuō)實(shí)體之間發(fā)生的通信行為都是真實(shí)的�����,傳遞的信息都是可靠的���。
2.3網(wǎng)絡(luò)隔離技術(shù)
隨著網(wǎng)絡(luò)入侵手段的多樣性,科學(xué)家對(duì)傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)進(jìn)行了改造�,結(jié)合了多種網(wǎng)絡(luò)信息保障技術(shù),重新設(shè)計(jì)了一種網(wǎng)絡(luò)信息安全保障技術(shù)——信息隔離技術(shù)�,其能夠從多個(gè)方面確保網(wǎng)絡(luò)信息傳遞的安全。
2.4入侵檢測(cè)技術(shù)
和其他網(wǎng)絡(luò)信息安全技術(shù)相比,這種技術(shù)涉及范圍更廣��,網(wǎng)絡(luò)信息傳遞過(guò)程的多個(gè)方面都有所涉及��,技術(shù)開(kāi)發(fā)人員除了要掌握基本的網(wǎng)絡(luò)信息安全保障技術(shù)外���,還要了解網(wǎng)絡(luò)信息通信過(guò)程�����,網(wǎng)絡(luò)數(shù)據(jù)庫(kù)設(shè)計(jì)方法以及服務(wù)器的基本結(jié)構(gòu)。入侵檢測(cè)技術(shù)除了能夠?qū)Ω鞣N入侵行為進(jìn)行分辨���,還能夠根據(jù)當(dāng)前網(wǎng)絡(luò)發(fā)展背景進(jìn)行技術(shù)的更新��,異常行為檢測(cè)以及系統(tǒng)誤用檢測(cè)是兩種基本的入侵檢測(cè)方法��,其處理的主要是各種復(fù)雜的入侵行為��、入侵?jǐn)?shù)據(jù)���。
2.5虛擬專(zhuān)網(wǎng)技術(shù)
正如其名稱所示,虛擬專(zhuān)網(wǎng)技術(shù)具有專(zhuān)用網(wǎng)絡(luò)的作用�����,但從本質(zhì)上將,其并不是一種專(zhuān)用網(wǎng)絡(luò)���,只是一種為了確保保密信息通信安全設(shè)置的虛擬網(wǎng)絡(luò)��。在公共通信網(wǎng)絡(luò)中連接保密信息傳輸?shù)妮斎攵撕洼敵龆?���,保密信息通過(guò)虛擬專(zhuān)網(wǎng)中的虛擬通道進(jìn)行傳遞���,傳輸?shù)臄?shù)據(jù)都需要進(jìn)行加密處理���,實(shí)現(xiàn)信息傳遞的雙重保護(hù)。利用虛擬專(zhuān)網(wǎng)可以實(shí)現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)庫(kù)使用的授權(quán)�����,授權(quán)者可以獲取授權(quán)范圍內(nèi)的內(nèi)網(wǎng)數(shù)據(jù)��。虛擬專(zhuān)網(wǎng)技術(shù)實(shí)現(xiàn)的關(guān)鍵就是虛擬通道的建立����,而這主要依靠隧道技術(shù)���,利用基本的網(wǎng)絡(luò)信息傳遞設(shè)備在某種信息傳遞協(xié)議的基礎(chǔ)上實(shí)現(xiàn)另一種通信協(xié)議數(shù)據(jù)傳遞的技術(shù)就是隧道技術(shù),隧道技術(shù)可以實(shí)現(xiàn)不同傳輸協(xié)議數(shù)據(jù)包或者數(shù)據(jù)幀等形式的信息的傳遞��。
2.6防火墻技術(shù)
在當(dāng)前網(wǎng)絡(luò)信息傳遞過(guò)程中�,使用最廣泛的一種通信協(xié)議就是TCP/IP協(xié)議,這種協(xié)議設(shè)計(jì)的前提條件為信息傳遞環(huán)境可信���,不存在網(wǎng)絡(luò)入侵��,沒(méi)有考慮信息傳遞的安全性�����。為了彌補(bǔ)該協(xié)議的不足,計(jì)算機(jī)工程技術(shù)人員開(kāi)發(fā)了防火墻技術(shù)����,阻止網(wǎng)絡(luò)入侵者對(duì)內(nèi)網(wǎng)的侵犯,避免發(fā)生用戶計(jì)算機(jī)或者是網(wǎng)絡(luò)服務(wù)器感染木馬或者病毒等現(xiàn)象��。防火墻實(shí)現(xiàn)了內(nèi)網(wǎng)和外網(wǎng)的隔離��,對(duì)不同網(wǎng)絡(luò)之間通問(wèn)進(jìn)行管理���,避免非法入侵現(xiàn)象的發(fā)生���。防火墻技術(shù)的關(guān)鍵是就是設(shè)計(jì)一套安全有效的內(nèi)網(wǎng)訪問(wèn)規(guī)則��,既要滿足用戶信息共享的需求��,又要對(duì)非法入侵進(jìn)行檢測(cè)和隔離���,同時(shí)對(duì)內(nèi)網(wǎng)運(yùn)行環(huán)境進(jìn)行實(shí)時(shí)監(jiān)測(cè)。防火墻的作用主要包括以下幾個(gè)方面:一是檢測(cè)網(wǎng)絡(luò)攻擊行為�����;二是對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行警告����;三是記錄各種非法入侵活動(dòng);四是管理網(wǎng)絡(luò)訪問(wèn)和信息傳遞行為��;五是對(duì)接受信息的安全性進(jìn)行檢查�。
3結(jié)語(yǔ)
和傳統(tǒng)信息保密工作有所不同,在網(wǎng)絡(luò)時(shí)代���,信息保密工作主要指的是網(wǎng)絡(luò)信息保密工作���,工作內(nèi)容更為多樣化���,工作科技含量更高,所面臨的工作對(duì)象更為復(fù)雜�����,內(nèi)網(wǎng)信息保密技術(shù)和外網(wǎng)信息保密技術(shù)是當(dāng)前最為常用的兩種信息保密技術(shù)��,其中包含了多方面的內(nèi)容����,例如網(wǎng)絡(luò)信息安全評(píng)估技術(shù)、網(wǎng)絡(luò)安全信息審計(jì)技術(shù)��、防火墻技術(shù)��、虛擬內(nèi)網(wǎng)技術(shù)等�����,這是網(wǎng)絡(luò)信息安全的保障�。
作者:王芳 單位:武警總部通信總站
參考文獻(xiàn):
[1]張慶凱.計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問(wèn)題及對(duì)策[J].電子技術(shù)與軟件工程���,2016.
第6篇
蔡春��,教授����,經(jīng)濟(jì)學(xué)博士,博士生導(dǎo)師���。1988年師從我國(guó)著名會(huì)計(jì)��、審計(jì)學(xué)家天津財(cái)經(jīng)大學(xué)李寶震教授���。攻讀審計(jì)學(xué)專(zhuān)業(yè),1991年獲經(jīng)濟(jì)學(xué)博士學(xué)位����,同年回到母校西南財(cái)經(jīng)大學(xué)任教至今。1992年破格由助教直接晉升為副教授�,1994年再次破格晉升為教授,成為當(dāng)時(shí)西南財(cái)經(jīng)大學(xué)最年輕的教授之一�����。1996~1997年��,作為公派高訪學(xué)者赴美國(guó)伊利諾大學(xué)國(guó)際會(huì)計(jì)中心訪問(wèn)研修學(xué)習(xí)一年,1998年��,被中國(guó)審計(jì)學(xué)會(huì)推選為全國(guó)12位審計(jì)名家之一��。蔡春教授曾先后擔(dān)任西南財(cái)經(jīng)大學(xué)會(huì)計(jì)系副主任����、會(huì)計(jì)學(xué)院副院長(zhǎng)、院長(zhǎng)等職��,現(xiàn)任西南財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院教研處處長(zhǎng)��,兼任中國(guó)政府審計(jì)研究中心主任�����、中國(guó)審計(jì)學(xué)會(huì)常務(wù)理事���、中國(guó)成本研究會(huì)常務(wù)理事�����、四川省審計(jì)學(xué)會(huì)副會(huì)長(zhǎng)��、四川省內(nèi)部審計(jì)師協(xié)會(huì)副會(huì)長(zhǎng)��、國(guó)家審計(jì)署高級(jí)審計(jì)師評(píng)審委員會(huì)委員����,四川省高級(jí)審計(jì)師評(píng)審委員會(huì)委員�、西南財(cái)經(jīng)大學(xué)學(xué)術(shù)委員會(huì)委員等職。
博學(xué)而不窮���,篤行而不倦��,蔡春教授目前主要學(xué)術(shù)研究方向與教學(xué)領(lǐng)域集中于審計(jì)與會(huì)計(jì)基本理論���、會(huì)計(jì)研究方法論以及西方會(huì)計(jì)審計(jì)前沿。蔡春教授治學(xué)嚴(yán)謹(jǐn)���,造詣深厚�����,他長(zhǎng)期從事審計(jì)�、會(huì)計(jì)理論研究����,取得了豐碩的成果��,在《Managerial Auditing》和《審計(jì)研究》���、《會(huì)計(jì)研究》、《中國(guó)會(huì)計(jì)評(píng)論》等期刊公開(kāi)發(fā)表學(xué)術(shù)論文120余篇��、出版著作20余部�、主持國(guó)家級(jí)省部級(jí)等各類(lèi)課題20余項(xiàng)。
蔡春教授在審計(jì)理論結(jié)構(gòu)方面的研究被權(quán)威人士認(rèn)為彌補(bǔ)了我國(guó)審計(jì)理論研究的一大空白�����,標(biāo)志著我國(guó)審計(jì)理論研究在趕超世界先進(jìn)水平方面取得的重大進(jìn)步�����,被學(xué)術(shù)界譽(yù)為“我國(guó)審計(jì)學(xué)術(shù)研究領(lǐng)域系統(tǒng)研究審計(jì)理論結(jié)構(gòu)第一人”��。他在著作《審計(jì)結(jié)構(gòu)理論》中提出了獨(dú)創(chuàng)性的觀點(diǎn):研究審計(jì)理論首先需要研究進(jìn)而揭示審計(jì)理論之內(nèi)在結(jié)構(gòu)�����,只有揭示了審計(jì)理論結(jié)構(gòu)并將其他審計(jì)問(wèn)題的研究納入該理論框架中來(lái)進(jìn)行���,才能創(chuàng)造出規(guī)范化和系統(tǒng)化的審計(jì)理論�����;審計(jì)理論結(jié)構(gòu)是審計(jì)理論系統(tǒng)內(nèi)部各組成要素之間相互聯(lián)系��、相互作用的方式或秩序����,即審計(jì)理論系統(tǒng)內(nèi)部各要素之間的排列與組合形式�����。審計(jì)理論結(jié)構(gòu)是審計(jì)理論存在與發(fā)展的內(nèi)在根據(jù)��,也是審計(jì)理論發(fā)揮其作用的內(nèi)在根據(jù)��;審計(jì)本質(zhì)上應(yīng)是一種特殊的經(jīng)濟(jì)控制�����,其特殊性有:第一��,審計(jì)控制是一種獨(dú)立的���、間接的控制�����。第二����,審計(jì)控制的對(duì)象是受托經(jīng)濟(jì)責(zé)任的履行過(guò)程(或狀況),目標(biāo)是保證受托經(jīng)濟(jì)責(zé)任得到全面有效的履行�����。第三���,審計(jì)控制的主體具有雙重性����,由審計(jì)人和審計(jì)委托人(或授權(quán)人)共同組成��;審計(jì)本質(zhì)是整個(gè)審計(jì)理論結(jié)構(gòu)的構(gòu)建基點(diǎn)�;審計(jì)理論結(jié)構(gòu)由“審計(jì)本質(zhì)”、“審計(jì)假設(shè)”����、“審計(jì)目標(biāo)”��、“審計(jì)信息”���、“審計(jì)規(guī)范”、“審計(jì)控制手段與方法”六個(gè)要素組成���。這些觀點(diǎn)贏得了審計(jì)理論界的高度評(píng)價(jià)����。蔡春教授圍繞審計(jì)理論結(jié)構(gòu)開(kāi)展的研究在很大程度上推動(dòng)了我國(guó)審計(jì)基本理論研究重點(diǎn)和方向的轉(zhuǎn)移����。
蔡春教授在審計(jì)基本理論研究方面提出的一系列個(gè)人獨(dú)到見(jiàn)解���,在我國(guó)審計(jì)與會(huì)計(jì)學(xué)術(shù)界具有廣泛的影響并被廣泛應(yīng)用���,其中最具代表性的學(xué)術(shù)概念和觀點(diǎn)包括:關(guān)于“受托經(jīng)濟(jì)責(zé)任”的概念;關(guān)于“審計(jì)本質(zhì)與功能的特殊經(jīng)濟(jì)控制觀”����;關(guān)于“審計(jì)目標(biāo)與前提的受托經(jīng)濟(jì)責(zé)任觀”;關(guān)于“審計(jì)基本假設(shè)的五項(xiàng)假設(shè)觀”�����;關(guān)于“建立利潤(rùn)目標(biāo)導(dǎo)向觀與投資報(bào)酬率導(dǎo)向觀相結(jié)合的新型績(jī)效審計(jì)”的觀點(diǎn);關(guān)于“國(guó)家審計(jì)對(duì)國(guó)有企業(yè)擁有審計(jì)權(quán)”的觀點(diǎn)�;關(guān)于“建立以經(jīng)濟(jì)權(quán)力審計(jì)控制為重心的審計(jì)理論體系”的觀點(diǎn);關(guān)于“構(gòu)建治理導(dǎo)向?qū)徲?jì)模式”的觀點(diǎn)���;關(guān)于“經(jīng)濟(jì)責(zé)任審計(jì)與審計(jì)理論創(chuàng)新”的觀點(diǎn)��;關(guān)于“經(jīng)濟(jì)安全審計(jì)”的觀點(diǎn)���;關(guān)于“免疫系統(tǒng)”觀下審計(jì)的本質(zhì)與功能及其實(shí)現(xiàn)方式的觀點(diǎn)。近年��,蔡春教授圍繞“現(xiàn)代審計(jì)功能拓展與創(chuàng)新”這一主題開(kāi)展系統(tǒng)�、深入研究,出版系統(tǒng)學(xué)術(shù)專(zhuān)著���,在創(chuàng)立“現(xiàn)代審計(jì)功能拓展與創(chuàng)新”這一新的特色研究領(lǐng)域方面初見(jiàn)成效�。
第7篇
【關(guān)鍵詞】 信息系統(tǒng)審計(jì);審計(jì)規(guī)范;案例分析
信息技術(shù)正在擴(kuò)展審計(jì)的內(nèi)涵與外延�����。與早期的審計(jì)相比,現(xiàn)代審計(jì)的“對(duì)象”��、“目標(biāo)”以及“目的”已經(jīng)發(fā)生了很大的變化,以行為、過(guò)程和系統(tǒng)等為審計(jì)主體的“非信息審計(jì)”變得越來(lái)越重要��。我國(guó)在相關(guān)審計(jì)法規(guī)的指引下,信息系統(tǒng)審計(jì)實(shí)踐也正在如火如荼的開(kāi)展,但通過(guò)對(duì)相關(guān)案例的分析可以發(fā)現(xiàn),信息系統(tǒng)審計(jì)實(shí)踐存在不少的問(wèn)題�����。本文就某航空公司的收入結(jié)算系統(tǒng)審計(jì)項(xiàng)目進(jìn)行案例分析,透視信息系統(tǒng)審計(jì)實(shí)踐存在的問(wèn)題,并對(duì)政策制定提供相關(guān)的建議���。
一�、某航空公司的信息系統(tǒng)審計(jì)項(xiàng)目
某航空公司的審計(jì)項(xiàng)目是2005年的重點(diǎn)審計(jì)項(xiàng)目之一,其目的是要為實(shí)現(xiàn)“真實(shí)����、合法���、效益”的審計(jì)目標(biāo)奠定基礎(chǔ)��。開(kāi)展信息系統(tǒng)審計(jì)是抓住該集團(tuán)特點(diǎn),培育項(xiàng)目亮點(diǎn),把這個(gè)項(xiàng)目做成精品的重要舉措之一�。信息系統(tǒng)到底怎么審,怎么評(píng)價(jià),審計(jì)人員想到找一條別人走過(guò)的路子,照貓畫(huà)虎���。但查閱信息系統(tǒng)審計(jì)的相關(guān)資料,看到的基本上是國(guó)外對(duì)信息系統(tǒng)審計(jì)的理解與做法,與我們的審計(jì)有較大的差別,如果直接硬套過(guò)來(lái),只能是東施效顰;詢問(wèn)相關(guān)的專(zhuān)業(yè)人員,大家都沒(méi)有類(lèi)似的經(jīng)驗(yàn)�。經(jīng)過(guò)幾次討論,審計(jì)組決定首先找對(duì)某航空公司信息系統(tǒng)實(shí)施管理的規(guī)則發(fā)展部���、信息技術(shù)中心兩個(gè)部門(mén)的領(lǐng)導(dǎo)進(jìn)行一次深談,聽(tīng)聽(tīng)他們對(duì)A航空公司信息系統(tǒng)的評(píng)價(jià),希望從中理出一些思路,再進(jìn)一步確定具體工作方案�����。與被審計(jì)單位部門(mén)領(lǐng)導(dǎo)談話進(jìn)行得比較順利,審計(jì)人員也漸漸理出了自己的工作思路:企業(yè)的信息系統(tǒng)體現(xiàn)的是企業(yè)的管理理念����。這次信息系統(tǒng)審計(jì)應(yīng)該主要抓住以下方面:首先是該航空集團(tuán)信息系統(tǒng)的規(guī)劃、建設(shè)��、管理與整個(gè)公司的發(fā)展是否相適應(yīng),信息系統(tǒng)資源的整合是否能夠跟上公司其他資源高速整合的步伐;其次是公司信息系統(tǒng)的功能是否能夠滿足業(yè)務(wù)特點(diǎn)的要求;再次是結(jié)合在數(shù)據(jù)審計(jì)中發(fā)現(xiàn)的大量數(shù)據(jù)問(wèn)題,特別是數(shù)據(jù)整理中再現(xiàn)的問(wèn)題,來(lái)考察信息系統(tǒng)中存在的問(wèn)題���。但在實(shí)際問(wèn)題的處理過(guò)程中也存在著諸多困難,無(wú)現(xiàn)成的案例和信息系統(tǒng)審計(jì)規(guī)范可借鑒����。為了確保審計(jì)目標(biāo)的實(shí)現(xiàn),審計(jì)組開(kāi)展了信息系統(tǒng)審計(jì)�。在系統(tǒng)審計(jì)的探索中,審計(jì)人員根據(jù)調(diào)查了解的情況,在數(shù)據(jù)分析的基礎(chǔ)上,通過(guò)跟蹤被審計(jì)單位的業(yè)務(wù)過(guò)程和數(shù)據(jù)處理流程,發(fā)現(xiàn)了被審計(jì)單位收入結(jié)算系統(tǒng)中存在的非法銷(xiāo)售暗扣處理模塊,具體信息系統(tǒng)審計(jì)過(guò)程包括:一是數(shù)據(jù)分析,發(fā)現(xiàn)問(wèn)題線索;二是通過(guò)數(shù)據(jù)對(duì)比,求證問(wèn)題線索;三是跟蹤業(yè)務(wù)過(guò)程,發(fā)現(xiàn)暗扣代碼文件;四是跟蹤數(shù)據(jù)處理流程,發(fā)現(xiàn)暗扣模塊。最終通過(guò)對(duì)某航空公司收入結(jié)算系統(tǒng)的審計(jì)發(fā)現(xiàn),進(jìn)入系統(tǒng)的原始數(shù)據(jù)由面額逐步轉(zhuǎn)變?yōu)槊~和凈額,系統(tǒng)以最后的凈額與人結(jié)算,并生成運(yùn)輸報(bào)告?zhèn)鬟f到財(cái)務(wù)系統(tǒng)確認(rèn)收入,從而實(shí)現(xiàn)了航空公司暗扣銷(xiāo)售和凈額結(jié)算���。至此,該信息系統(tǒng)審計(jì)項(xiàng)目也宣告結(jié)束��。
二�、案例分析
由上述案例過(guò)程可知,我國(guó)對(duì)企業(yè)信息系統(tǒng)審計(jì)還處于探索階段,在審計(jì)實(shí)務(wù)中到底如何開(kāi)展信息系統(tǒng)審計(jì)還缺乏有說(shuō)服力的案例和行之有效的辦法,更不要說(shuō)具有可操作性的完整的信息系統(tǒng)審計(jì)規(guī)范體系���?��?傮w來(lái)講,筆者認(rèn)為從上述案例可以反映出當(dāng)前我國(guó)信息系統(tǒng)審計(jì)規(guī)范體系還存在著如下幾個(gè)方面的缺陷��。
(一)沒(méi)有完整可借鑒的由權(quán)威機(jī)構(gòu)制定的信息系統(tǒng)審計(jì)規(guī)范
信息系統(tǒng)審計(jì)規(guī)范是信息系統(tǒng)審計(jì)經(jīng)驗(yàn)的總結(jié),是對(duì)審計(jì)活動(dòng)內(nèi)在規(guī)范的反映,審計(jì)人員按照信息系統(tǒng)審計(jì)規(guī)范所確定的程序����、步驟���、技術(shù)和方法開(kāi)展工作,能夠少走彎路,提高信息系統(tǒng)審計(jì)效率,保障信息系統(tǒng)審計(jì)工作科學(xué)��、有序���、高效地運(yùn)行,全面實(shí)現(xiàn)信息系統(tǒng)審計(jì)目標(biāo),降低信息系統(tǒng)風(fēng)險(xiǎn),同時(shí)也可降低財(cái)務(wù)審計(jì)�����、績(jī)效審計(jì)以及環(huán)境審計(jì)等風(fēng)險(xiǎn)���。而上述案例也說(shuō)明我國(guó)信息系統(tǒng)審計(jì)尚處于探索階段,在信息系統(tǒng)審計(jì)實(shí)踐中缺乏有說(shuō)服力的案例,根本談不上完善的信息系統(tǒng)審計(jì)規(guī)范體系,而在國(guó)外卻存在如ISACA這樣的機(jī)構(gòu)去提供完整的信息系統(tǒng)審計(jì)準(zhǔn)則���、指南和審計(jì)程序,至2010年4月其已經(jīng)了16項(xiàng)基本準(zhǔn)則,41項(xiàng)審計(jì)指南和11項(xiàng)作業(yè)程序�。因此,國(guó)家相關(guān)部門(mén)應(yīng)整合信息系統(tǒng)審計(jì)規(guī)范制定的實(shí)踐與理論資源,在借鑒國(guó)外信息系統(tǒng)審計(jì)規(guī)范的基礎(chǔ)上,推進(jìn)我國(guó)信息系統(tǒng)審計(jì)規(guī)范體系制定的進(jìn)程�。
(二)信息系統(tǒng)審計(jì)的開(kāi)展缺乏計(jì)劃,不存在后續(xù)審計(jì)階段
對(duì)信息系統(tǒng)的審計(jì)是一個(gè)過(guò)程,包括信息系統(tǒng)審計(jì)計(jì)劃、實(shí)施��、審計(jì)報(bào)告以及后續(xù)審計(jì)階段,而在上述案例中,對(duì)信息系統(tǒng)的審計(jì)是一個(gè)摸索的過(guò)程,根本談不上信息系統(tǒng)審計(jì)計(jì)劃��。凡事預(yù)則立,不預(yù)則廢���。無(wú)論是國(guó)家審計(jì),還是注冊(cè)會(huì)計(jì)師審計(jì),同樣需要制定信息系統(tǒng)審計(jì)計(jì)劃�?�!秲?nèi)部審計(jì)具體準(zhǔn)則第28號(hào)――信息系統(tǒng)審計(jì)》中指出,內(nèi)部審計(jì)人員在執(zhí)行信息系統(tǒng)審計(jì)之前,需要確定審計(jì)目標(biāo)并初步評(píng)估審計(jì)風(fēng)險(xiǎn),估算完成信息系統(tǒng)審計(jì)或?qū)m?xiàng)審計(jì)所需的資源,確定重點(diǎn)審計(jì)領(lǐng)域及審計(jì)活動(dòng)的優(yōu)先次序,明確審計(jì)組成員的職責(zé),并以此制定信息系統(tǒng)審計(jì)計(jì)劃,除此之外第28號(hào)具體準(zhǔn)則沒(méi)有作詳細(xì)深入的闡述�。在ISACA的審計(jì)準(zhǔn)則體系中,關(guān)于審計(jì)計(jì)劃的基本準(zhǔn)則有審計(jì)計(jì)劃(S5)、審計(jì)計(jì)劃中風(fēng)險(xiǎn)評(píng)估的運(yùn)用(S11)和審計(jì)重要性(S12);審計(jì)指南有信息系統(tǒng)審計(jì)中的重要性概念(G6)����、審計(jì)計(jì)劃中風(fēng)險(xiǎn)評(píng)估的運(yùn)用(G13)以及信息系統(tǒng)審計(jì)的計(jì)劃(G15);審計(jì)程序中有信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估(P1)等可供借鑒與參考,并且ISACA對(duì)審計(jì)計(jì)劃的相關(guān)準(zhǔn)則、指南和程序進(jìn)行了詳細(xì)深入的闡述,以利于引導(dǎo)和約束審計(jì)人員的審計(jì)行為����。
審計(jì)報(bào)告的簽署并不意味著信息系統(tǒng)審計(jì)的終結(jié)。上述案例不存在后續(xù)審計(jì)階段,這與缺乏信息系統(tǒng)審計(jì)規(guī)范的指導(dǎo)是分不開(kāi)的�����。在ISACA的審計(jì)準(zhǔn)則體系中,后續(xù)審計(jì)方面的準(zhǔn)則包括基本準(zhǔn)則后續(xù)工作(S8)以及審計(jì)指南后續(xù)工作(G35)等。根據(jù)ISACA審計(jì)標(biāo)準(zhǔn),審計(jì)人員對(duì)于在信息系統(tǒng)審計(jì)中發(fā)現(xiàn)信息系統(tǒng)的重大問(wèn)題和漏洞,并提出改進(jìn)意見(jiàn)后,可對(duì)被審單位所采取的糾正措施及效果進(jìn)行后續(xù)審計(jì)�。如果審計(jì)建議如期落實(shí),則實(shí)現(xiàn)了信息系統(tǒng)審計(jì)的目標(biāo),也意味著信息系統(tǒng)審計(jì)意見(jiàn)得到了被審計(jì)單位的認(rèn)可;如果審計(jì)建議沒(méi)有落實(shí),應(yīng)耐心聽(tīng)取被審計(jì)人員的反饋意見(jiàn),對(duì)于落實(shí)的難點(diǎn)問(wèn)題,審計(jì)部門(mén)應(yīng)反映給高級(jí)管理層,請(qǐng)其協(xié)助落實(shí)。此外,對(duì)于不切實(shí)際的審計(jì)建議,審計(jì)組成員應(yīng)該分析原因,以利于下一次審計(jì)項(xiàng)目的改進(jìn)��。因此,后續(xù)審計(jì)階段對(duì)于信息系統(tǒng)審計(jì)同樣重要,而在上述審計(jì)案例中,對(duì)A航空公司收入結(jié)算系統(tǒng)的審計(jì)根據(jù)不存在后續(xù)審計(jì)階段��。
(三)信息系統(tǒng)審計(jì)出于“真實(shí)���、合法����、效益”的審計(jì)目標(biāo)
我國(guó)開(kāi)展的信息系統(tǒng)審計(jì)與西方的信息系統(tǒng)審計(jì)在目標(biāo)上存在著差異,我國(guó)審計(jì)部門(mén)開(kāi)展信息系統(tǒng)審計(jì)主要是為“真實(shí)�����、合法�、效益”的審計(jì)目標(biāo)服務(wù)的,主要關(guān)注信息系統(tǒng)影響被審計(jì)單位的合法經(jīng)營(yíng)、財(cái)務(wù)核算����、經(jīng)營(yíng)效益等方面的問(wèn)題,還沒(méi)有達(dá)到審查信息系統(tǒng)安全�����、可靠、有效和效率以及能否有效地使用組織資源��、實(shí)現(xiàn)組織目標(biāo)的層次�。因此,對(duì)于信息系統(tǒng)審計(jì),在很大程度上主要是根據(jù)數(shù)據(jù)審計(jì)的需要開(kāi)展。隨著企業(yè)信息化�、政務(wù)信息化等的發(fā)展,信息系統(tǒng)的安全審計(jì)、生命周期審計(jì)以及軟硬件審計(jì)等變得越來(lái)越重要,其重要程度在很多時(shí)候已經(jīng)超過(guò)了出于“真實(shí)�����、合法��、效益”審計(jì)目標(biāo)的信息系統(tǒng)審計(jì)�。我國(guó)信息系統(tǒng)審計(jì)及規(guī)范的發(fā)展不能只是停留在“真實(shí)、合法��、效益”審計(jì)目標(biāo)的基礎(chǔ)上,這樣只能限制信息系統(tǒng)審計(jì)的范圍,我國(guó)的信息系統(tǒng)審計(jì)實(shí)踐也沒(méi)有辦法拓展到對(duì)信息安全保護(hù)��、軟件系統(tǒng)開(kāi)發(fā)以及商業(yè)流程評(píng)估及風(fēng)險(xiǎn)管理等的審計(jì)實(shí)踐上來(lái)��。
(四)缺乏信息系統(tǒng)審計(jì)項(xiàng)目的質(zhì)量控制準(zhǔn)則
我國(guó)在信息系統(tǒng)審計(jì)項(xiàng)目方面的質(zhì)量控制準(zhǔn)則尚處于空白狀態(tài)�����。雖然國(guó)家審計(jì)署、中注協(xié)和內(nèi)部審計(jì)協(xié)會(huì)都頒布了一些關(guān)于審計(jì)質(zhì)量控制的準(zhǔn)則或規(guī)范,但這些規(guī)范不是針對(duì)財(cái)務(wù)審計(jì)的,就是針對(duì)會(huì)計(jì)師事務(wù)所質(zhì)量控制的,而專(zhuān)門(mén)針對(duì)信息系統(tǒng)審計(jì)項(xiàng)目的質(zhì)量控制基本上還處于空白狀態(tài)����。因此,上述案例在信息系統(tǒng)審計(jì)過(guò)程中,基本上不存在任何質(zhì)量控制措施,這也對(duì)我國(guó)提出了盡早制定與頒布信息系統(tǒng)審計(jì)質(zhì)量控制方面相關(guān)的規(guī)范。否則,在信息系統(tǒng)審計(jì)市場(chǎng)上將出現(xiàn)一個(gè)一般化的“格雷欣法則”,即劣等品驅(qū)逐優(yōu)等品,其結(jié)果是出現(xiàn)賣(mài)方與買(mǎi)方勾結(jié),按照買(mǎi)方的要求設(shè)計(jì)信息系統(tǒng)內(nèi)部控制規(guī)范(劉杰,2010)�。一般化的“格雷欣法則”也不利于我國(guó)信息系統(tǒng)產(chǎn)品市場(chǎng)和信息系統(tǒng)審計(jì)市場(chǎng)的規(guī)范。
三���、啟示及政策建議
通過(guò)上述對(duì)某航空公司收入結(jié)算系統(tǒng)審計(jì)案例的分析可知,我國(guó)信息系統(tǒng)審計(jì)實(shí)踐尚處于起步階段,還存在著諸多問(wèn)題��。為規(guī)范信息系統(tǒng)審計(jì)行為,加強(qiáng)對(duì)信息系統(tǒng)審計(jì)實(shí)踐的指導(dǎo),信息系統(tǒng)審計(jì)規(guī)范的制定與是關(guān)鍵�。信息系統(tǒng)審計(jì)規(guī)范是一種公共品,政府機(jī)構(gòu)或相關(guān)職業(yè)團(tuán)體在信息系統(tǒng)審計(jì)規(guī)范制定過(guò)程中扮演著重要的角色��。因此,筆者認(rèn)為我國(guó)政府應(yīng)從如下幾個(gè)方面作出努力���。
一是以《2004至2007年審計(jì)信息化發(fā)展規(guī)劃》與《審計(jì)署2008至2012年信息化發(fā)展規(guī)劃》中提出的整合審計(jì)資源思想為契機(jī),抽調(diào)中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)���、國(guó)家審計(jì)署以及中國(guó)內(nèi)部審計(jì)協(xié)會(huì)相關(guān)信息系統(tǒng)審計(jì)制定的人力、物力和財(cái)力,成立專(zhuān)門(mén)的信息系統(tǒng)審計(jì)規(guī)范制定機(jī)構(gòu)��。
二是在借鑒國(guó)外諸如ISACA以及IIA等信息系統(tǒng)審計(jì)資源的基礎(chǔ)上,吸引我國(guó)信息系統(tǒng)審計(jì)實(shí)踐中已經(jīng)并實(shí)踐的信息系統(tǒng)審計(jì)操作規(guī)則,結(jié)合我國(guó)信息系統(tǒng)審計(jì)實(shí)踐,出整���、系統(tǒng)的信息系統(tǒng)審計(jì)規(guī)范體系�。完善���、系統(tǒng)的信息系統(tǒng)審計(jì)規(guī)范有利于指導(dǎo)信息系統(tǒng)審計(jì)人員在審計(jì)計(jì)劃��、審計(jì)實(shí)施��、審計(jì)報(bào)告以及后續(xù)審計(jì)階段的審計(jì)行為���。同時(shí),信息系統(tǒng)審計(jì)目前屬于非強(qiáng)制性審計(jì)的范疇,審計(jì)質(zhì)量控制準(zhǔn)則往往容易被忽視,而忽視審計(jì)質(zhì)量控制準(zhǔn)則的制定與在某種程度上會(huì)導(dǎo)致信息系統(tǒng)審計(jì)市場(chǎng)上“格雷欣法則”的出現(xiàn)。因此,在信息系統(tǒng)審計(jì)規(guī)范體系中,不應(yīng)忽視信息系統(tǒng)審計(jì)質(zhì)量控制準(zhǔn)則的制定與�����。
三是在信息系統(tǒng)審計(jì)規(guī)范體系制定的過(guò)程中,應(yīng)將信息系統(tǒng)審計(jì)規(guī)范應(yīng)用的范圍擴(kuò)展,不能僅僅服務(wù)于財(cái)務(wù)審計(jì)��。如果僅僅服務(wù)于財(cái)務(wù)審計(jì),則制定與的信息系統(tǒng)審計(jì)規(guī)范不能很好地服務(wù)于信息系統(tǒng)生命周期審計(jì)�、軟硬件審計(jì)、信息系統(tǒng)安全審計(jì)等其他信息系統(tǒng)審計(jì)活動(dòng)���。
四是加強(qiáng)信息系統(tǒng)審計(jì)實(shí)踐案例的調(diào)查研究,從信息系統(tǒng)審計(jì)實(shí)踐中總結(jié)出一些典型信息系統(tǒng)審計(jì)案例,用以指導(dǎo)和規(guī)范信息系統(tǒng)審計(jì)人員的審計(jì)行為,防止信息系統(tǒng)審計(jì)實(shí)踐人員在從事信息系統(tǒng)審計(jì)活動(dòng)時(shí),陷入不知所措的境地����。
【參考文獻(xiàn)】
[1] 劉汝焯,任有泉.計(jì)算機(jī)審計(jì)情景案例選[M].清華大學(xué)出版社,2006.
第8篇
關(guān)鍵詞: 云計(jì)算��; 云安全; 信息安全���; 等級(jí)保護(hù)測(cè)評(píng)�����; 局限性
中圖分類(lèi)號(hào):TP309 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1006-8228(2016)11-35-03
Discussion on the testing and evaluating of cloud computing security level protection
Liu Xiaoli���, Shen Xiaohui
(Zhejiang Provincial Testing Institute of Electronic & Information Products, Hangzhou��, Zhejiang 310007��, China)
Abstract: Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However���, the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security��, the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed��, and the contents that cloud security should focus on are proposed.
Key words: cloud computing�����; cloud security��; information security����; testing and evaluation of security level protection�����; limitations
0 引言
近年來(lái)����,隨著網(wǎng)絡(luò)進(jìn)入更加自由和靈活的Web2.0時(shí)代,云計(jì)算的概念風(fēng)起云涌�����。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)定義云計(jì)算是一種按使用量付費(fèi)的模式��,這種模式提供可用的��、便捷的��、按需的網(wǎng)絡(luò)訪問(wèn)�����,進(jìn)入可配置的計(jì)算資源共享池(資源包括網(wǎng)絡(luò),服務(wù)器�,存儲(chǔ),應(yīng)用軟件��,服務(wù))�,這些資源能夠被快速提供,只需投入很少的管理工作���,或與服務(wù)供應(yīng)商進(jìn)行很少的交互�。云計(jì)算因其節(jié)約成本�、維護(hù)方便、配置靈活已經(jīng)成為各國(guó)政府優(yōu)先推進(jìn)發(fā)展的一項(xiàng)服務(wù)��。美���、英�、澳大利亞等國(guó)家紛紛出臺(tái)了相關(guān)發(fā)展政策�����,有計(jì)劃地促進(jìn)政府部門(mén)信息系統(tǒng)向云計(jì)算平臺(tái)遷移���。但是也應(yīng)該看到����,政府部門(mén)采用云計(jì)算服務(wù)也給其敏感數(shù)據(jù)和重要業(yè)務(wù)的安全帶來(lái)了挑戰(zhàn)。美國(guó)作為云計(jì)算服務(wù)應(yīng)用的倡導(dǎo)者�,一方面推出“云優(yōu)先戰(zhàn)略”,要求大量聯(lián)邦政府信息系統(tǒng)遷移到“云端”��,另一方面為確保安全����,要求為聯(lián)邦政府提供的云計(jì)算服務(wù)必須通過(guò)安全審查[1]���。我國(guó)也先后出臺(tái)了一系列云計(jì)算服務(wù)安全的國(guó)家標(biāo)準(zhǔn)���,如GB/T 31167-2014《信息安全技術(shù)云計(jì)算服務(wù)安全指南》、GB/T 31168-2014 《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》等����。本文關(guān)注的是云計(jì)算安全,包括云計(jì)算應(yīng)用系統(tǒng)安全�、云計(jì)算應(yīng)用服務(wù)安全、云計(jì)算用戶信息安全等[2]���。
當(dāng)前��,等級(jí)保護(hù)測(cè)評(píng)的依據(jù)主要有GB/T 22239-
2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》��、GB/T 28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》和GB/T 28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》等����。然而,這些標(biāo)準(zhǔn)應(yīng)用于傳統(tǒng)計(jì)算模式下的信息系統(tǒng)安全測(cè)評(píng)具有普適性��,對(duì)于采用云計(jì)算服務(wù)模式下的信息系統(tǒng)卻有一定的局限性���。
本文結(jié)合實(shí)際云計(jì)算服務(wù)安全測(cè)評(píng)中的問(wèn)題���,首先討論現(xiàn)行信息安全等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)應(yīng)用到云環(huán)境的一些局限性,其次對(duì)于云計(jì)算安全特別需要關(guān)注的測(cè)評(píng)項(xiàng)進(jìn)行分析��。
1 云計(jì)算安全
正如一件新鮮事物在帶給我們好處的同時(shí)��,也會(huì)帶來(lái)問(wèn)題一樣�����,云計(jì)算的推廣也遇到了諸多困難��,其中安全問(wèn)題已成為阻礙云計(jì)算推廣的最大障礙。
云計(jì)算安全面臨著七大風(fēng)險(xiǎn)���,主要包括客戶對(duì)數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱��、客戶與云服務(wù)商之間的責(zé)任難以界定����、可能產(chǎn)生司法管轄權(quán)問(wèn)題����、數(shù)據(jù)所有權(quán)保障面臨風(fēng)險(xiǎn)、數(shù)據(jù)保護(hù)更加困難�����、數(shù)據(jù)殘留和容易產(chǎn)生對(duì)云服務(wù)商的過(guò)度依賴等����。文獻(xiàn)[3]提出了云計(jì)算安全測(cè)評(píng)框架��,與傳統(tǒng)信息系統(tǒng)安全測(cè)評(píng)相比���,云計(jì)算安全測(cè)評(píng)應(yīng)重點(diǎn)關(guān)注虛擬化安全��、數(shù)據(jù)安全和應(yīng)用安全等層面��。
虛擬化作為云計(jì)算最重要的技術(shù)��,其安全性直接關(guān)系到云環(huán)境的安全���。虛擬化安全涉及虛擬化軟件安全和虛擬化服務(wù)器安全����,其中虛擬化服務(wù)器安全包括虛擬化服務(wù)器隔離����、虛擬化服務(wù)器監(jiān)控、虛擬化服務(wù)器遷移等��。云計(jì)算的虛擬化安全問(wèn)題主要集中在VM Hopping(一臺(tái)虛擬機(jī)可能監(jiān)控另一臺(tái)虛擬機(jī)甚至?xí)尤氲剿拗鳈C(jī))��、VM Escape(VM Escape攻擊獲得Hypervisor的訪問(wèn)權(quán)限���,從而對(duì)其他虛擬機(jī)進(jìn)行攻擊)/遠(yuǎn)程管理缺陷(Hypervisor通常由管理平臺(tái)來(lái)為管理員管理虛擬機(jī)�,而這些控制臺(tái)可能會(huì)引起一些新的缺陷)��、遷移攻擊(可以將虛擬機(jī)從一臺(tái)主機(jī)移動(dòng)到另一臺(tái)�,也可以通過(guò)網(wǎng)絡(luò)或USB復(fù)制虛擬機(jī))等[4]�����。
數(shù)據(jù)實(shí)際存儲(chǔ)位置往往不受客戶控制����,且數(shù)據(jù)存放在云平臺(tái)上���,數(shù)據(jù)的所有權(quán)難以界定�����,多租戶共享計(jì)算資源����,可能導(dǎo)致客戶數(shù)據(jù)被授權(quán)訪問(wèn)���、篡改等。另外當(dāng)客戶退出云服務(wù)時(shí)���,客戶數(shù)據(jù)是否被完全刪除等是云計(jì)算模式下數(shù)據(jù)安全面臨的主要問(wèn)題��。
在云計(jì)算中對(duì)于應(yīng)用安全�,特別需要注意的是Web應(yīng)用的安全。云計(jì)算應(yīng)用安全主要包括云用戶身份管理�、云訪問(wèn)控制、云安全審計(jì)���、云安全加密��、抗抵賴�����、軟件代碼安全等[3]�����。
2 云計(jì)算下等級(jí)保護(hù)測(cè)評(píng)的局限性
信息系統(tǒng)安全等級(jí)保護(hù)是國(guó)家信息安全保障工作的基本制度����、基本策略���、基本方法���。開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作不僅是加強(qiáng)國(guó)家信息安全保障工作的重要內(nèi)容,也是一項(xiàng)事關(guān)國(guó)家安全��、社會(huì)穩(wěn)定的政治任務(wù)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定����,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)未涉及國(guó)家秘密的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)��。與之對(duì)應(yīng)的是涉及國(guó)家秘密的信息系統(tǒng)安全測(cè)評(píng)���,就是通常所說(shuō)的分級(jí)保護(hù)測(cè)評(píng)���。
信息系統(tǒng)安全等級(jí)保護(hù)的基本要求包括技術(shù)要求和管理要求兩大類(lèi)。其中技術(shù)要求包括物理安全��、網(wǎng)絡(luò)安全�����、主機(jī)安全�����、應(yīng)用安全�����、數(shù)據(jù)安全及備份恢復(fù)等五個(gè)層面��;管理要求包括安全管理制度���、安全管理機(jī)構(gòu)�����、人員安全管理��、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)層面�����。
傳統(tǒng)的安全已不足以保護(hù)現(xiàn)代云計(jì)算工作負(fù)載��。換言之����,將現(xiàn)行的等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)生搬硬套到云計(jì)算模式存在局限性��,具體體現(xiàn)在以下方面���。
⑴ 物理安全
傳統(tǒng)模式的信息系統(tǒng)數(shù)據(jù)中心或者在本單位�����,或者托管在第三方機(jī)構(gòu)��,用戶可以掌握自身數(shù)據(jù)和副本存儲(chǔ)在設(shè)備和數(shù)據(jù)中心的具置����。然而,由于云服務(wù)商的數(shù)據(jù)中心可能分布在不同的地區(qū)����,甚至不同的國(guó)家,GB/T 31167-2014明確了存儲(chǔ)���、處理客戶數(shù)據(jù)的數(shù)據(jù)中心和云計(jì)算基礎(chǔ)設(shè)施不得設(shè)在境外�����。
⑵ 網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全主要包括結(jié)構(gòu)安全��、邊界防護(hù)����、訪問(wèn)控制、入侵防范��、惡意代碼防范��、安全審計(jì)����、網(wǎng)絡(luò)設(shè)備防護(hù)等測(cè)評(píng)項(xiàng)�。網(wǎng)絡(luò)邊界是網(wǎng)絡(luò)信息安全的第一道防線,因此在網(wǎng)絡(luò)邊界采取安全防護(hù)措施就顯得尤為重要��。但在云計(jì)算模式下��,多個(gè)系統(tǒng)同時(shí)運(yùn)行在同一個(gè)物理機(jī)上��,突破了傳統(tǒng)的網(wǎng)絡(luò)邊界����。由此可見(jiàn),網(wǎng)絡(luò)邊界的界定����、安全域的劃分成為了云計(jì)算模式下網(wǎng)絡(luò)邊界安全面臨的新挑戰(zhàn)[5]。
⑶ 主機(jī)安全
主機(jī)安全主要包括身份鑒別��、訪問(wèn)控制、安全審計(jì)等測(cè)評(píng)項(xiàng)��。但在云計(jì)算模式下�,虛擬化技術(shù)能夠?qū)崿F(xiàn)在一臺(tái)物理機(jī)上運(yùn)行多臺(tái)虛擬機(jī)。盡管虛擬機(jī)之間具有良好的隔離性�,但在云計(jì)算平臺(tái),尤其是私有云和社區(qū)云中��,虛擬機(jī)之間通常需要進(jìn)行交互和通信�����,正是這種交互為攻擊和惡意軟件的傳播提供了可能�。因此,虛擬機(jī)之間的安全隔離�����、用戶權(quán)限劃分�、數(shù)據(jù)殘留、跨虛擬機(jī)的非授權(quán)訪問(wèn)是云計(jì)算環(huán)境下虛擬機(jī)安全需要重點(diǎn)關(guān)注的內(nèi)容����。
⑷ 應(yīng)用安全
應(yīng)用系統(tǒng)作為承載數(shù)據(jù)的主要載體,其安全性直接關(guān)系到信息系統(tǒng)的整體安全�,因此對(duì)整個(gè)系統(tǒng)的安全保密性至關(guān)重要。然而,當(dāng)前絕大多數(shù)單位的應(yīng)用系統(tǒng)在設(shè)計(jì)開(kāi)發(fā)過(guò)程中���,僅僅考慮到應(yīng)用需求�、系統(tǒng)的性能及技術(shù)路線的選擇等問(wèn)題�,缺少了應(yīng)用系統(tǒng)自身的安全性?�?蛻舻膽?yīng)用托管在云計(jì)算平臺(tái)��,面臨著安全與隱私雙重風(fēng)險(xiǎn)��,主要包括多租戶環(huán)境下來(lái)自云計(jì)算服務(wù)商和其他用戶的未授權(quán)訪問(wèn)��、隱私保護(hù)����、內(nèi)容安全管理���、用戶認(rèn)證和身份管理問(wèn)題[6]��。
⑸ 數(shù)據(jù)安全及備份恢復(fù)
在云計(jì)算模式下�����,客戶的數(shù)據(jù)和業(yè)務(wù)遷移至云服務(wù)商的云平臺(tái)中�����,數(shù)據(jù)的處理�����、存儲(chǔ)均在“云端”完成���,用戶一端只具有較少的計(jì)算處理能力���,數(shù)據(jù)的安全性依賴于云平臺(tái)的安全。如何確保數(shù)據(jù)遠(yuǎn)程傳輸安全���、數(shù)據(jù)集中存儲(chǔ)安全以及多租戶之間的數(shù)據(jù)隔離是云計(jì)算環(huán)境下迫切需要解決的問(wèn)題���。
3 云安全之等級(jí)保護(hù)測(cè)評(píng)
參照等級(jí)保護(hù)測(cè)評(píng)的要求,結(jié)合上述分析�����,云安全之等級(jí)保護(hù)測(cè)評(píng)應(yīng)重點(diǎn)關(guān)注以下方面���。
⑴ 數(shù)據(jù)中心物理與環(huán)境安全:用于業(yè)務(wù)運(yùn)行和數(shù)據(jù)處理及存儲(chǔ)的物理設(shè)備是否位于中國(guó)境內(nèi)���,從而避免產(chǎn)生司法管轄權(quán)的問(wèn)題�����。
⑵ 虛擬網(wǎng)絡(luò)安全邊界訪問(wèn)控制:是否在虛擬網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備��,設(shè)置有效的訪問(wèn)控制規(guī)則�,從而控制虛機(jī)間的互訪����。
⑶ 遠(yuǎn)程訪問(wèn)監(jiān)控:是否能實(shí)時(shí)監(jiān)視云服務(wù)遠(yuǎn)程連接���,并在發(fā)現(xiàn)未授權(quán)訪問(wèn)時(shí)�,及時(shí)采取恰當(dāng)?shù)姆雷o(hù)措施��。
⑷ 網(wǎng)絡(luò)邊界安全:是否采取了網(wǎng)絡(luò)邊界安全防護(hù)措施�,如在整個(gè)云計(jì)算網(wǎng)絡(luò)的邊界部署安全防護(hù)設(shè)備等。
⑸ 虛擬機(jī)安全:虛擬機(jī)之間的是否安全隔離����,當(dāng)租戶退出云服務(wù)時(shí)是否有數(shù)據(jù)殘留��,是否存在跨虛擬機(jī)的非授權(quán)訪問(wèn)等��。
⑹ 接口安全:是否采取有效措施確保云計(jì)算服務(wù)對(duì)外接口的安全性��。
⑺ 數(shù)據(jù)安全:多租戶間的數(shù)據(jù)是否安全隔離�,遠(yuǎn)程傳輸時(shí)是否有措施確保數(shù)據(jù)的完整性和保密性����,租戶業(yè)務(wù)或數(shù)據(jù)進(jìn)行遷移時(shí)是否具有可移植性和互操作性。
4 結(jié)束語(yǔ)
云計(jì)算因其高效化���、集約化和節(jié)約化的特點(diǎn)���,受到越來(lái)越多黨政機(jī)關(guān)、企事業(yè)單位的青睞���,與此同時(shí)云計(jì)算帶來(lái)的風(fēng)險(xiǎn)也是不容忽視的�����。本文結(jié)合云計(jì)算的特點(diǎn)分析了云計(jì)算模式下現(xiàn)行等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)的一些局限性��,并提出了云計(jì)算下等級(jí)保護(hù)測(cè)評(píng)需要特別關(guān)注的測(cè)評(píng)項(xiàng)����,對(duì)云服務(wù)商、租戶和測(cè)評(píng)機(jī)構(gòu)提供借鑒��。值得注意的是���,租戶在進(jìn)行云遷移之前���,首先應(yīng)確定自身遷移業(yè)務(wù)的等級(jí),其次是租用的云計(jì)算平臺(tái)等級(jí)不能低于業(yè)務(wù)系統(tǒng)的等級(jí)�。
參考文獻(xiàn)(References):
[1] 尹麗波.美國(guó)云計(jì)算服務(wù)安全審查值得借鑒.中國(guó)日?qǐng)?bào)網(wǎng).
[2] 陳軍,薄明霞�����,王渭清.云安全研究進(jìn)展及技術(shù)解決方案發(fā)展
趨勢(shì)[J].技術(shù)廣角����,2011:50-54
[3] 潘小明�,張向陽(yáng),沈錫鏞�,嚴(yán)丹.云計(jì)算信息安全測(cè)評(píng)框架研究[J].
計(jì)算機(jī)時(shí)代,2013.10:22-25
[4] 房晶�,吳昊��,白松林.云計(jì)算的虛擬化安全問(wèn)題[J].電信科學(xué)��,
2012.28(4):135-140
[5] 陳文捷���,蔡立志.云環(huán)境中網(wǎng)絡(luò)邊界安全的等級(jí)保護(hù)研究[C].
第二屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)會(huì)議論文集,2013.
