安全審計制度精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全審計制度主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:安全審計制度范文
通過對各縣區建立社會保障基金監督體系,開展社會保障基金監督工作,使用社會保險基金管理,開展內部審計工作和建設監督機構隊伍,以維護社保基金的安全和正常運營。
關鍵詞:
社保基金;內部審計;監督體系
中圖分類號:C91
文獻標識碼:A
文章編號:16723198(2012)24005501
近兩年來,隨著一些地方暴露出來的在基金管理工作中出現的管理不規范、監督不到位及挪用社會保險基金的問題,社會保險基金的監督管理成為社會各界關注的焦點。因此,完善社會保險基金監督體系,從不同層次、不同方面對社會保險基金的運營實施有效監督,已經成為當前社會保險基金監督工作面臨的艱巨任務。
1確立政府在基金監督中的地位和職責,對社保基金進行全過程的監督管理
社會保險基金的監管工作是政府履行社會保障義務和責任的重要方面,是涉及到民生民計、經濟發展與社會穩定的大事,必須運用政府行政和法律的手段,維護社會保障體系的正常運轉。此外,當前社保基金流程,已從單一部門的管理逐步發展為勞動保障、稅務、財政、銀行等部門和社會服務機構多家參與的格局,基金監管已經不是靠某個部門的內部監督所能夠完成,必須由政府組織相關部門進行統一監管。
2堅持行政監督、社會監督和內部監督相結合,確保社會保險基金安全
通過社會保險基金監督三種手段的綜合運用,盡可能發揮行政監督的權威性,社會監督的廣泛性,內部監督的及時性優勢。
(1)行政監督。社會保障部門作為社保工作的主管部門,應當主動承擔起基金監管責任,保證基金安全。在基金監督工作中,努力當好主角,積極爭取有關部門的配合和支持的同時,配合社會保險經辦機構做好工作。特別是社會保險基金監督管理中,各級社會保障部門在方案的制定、組織清收、部門配合、溝通協調等方面發揮了主導作用,在財政、審計等部門的支持和配合下,工作開展順利。行政監督應從以下幾方面得到加強。一是社會保險經辦機構的監督和指導。通過對社會保險經辦機構的監督檢查,要分析存在問題的原因及發出整改意見書,督促和指導社會保險經辦機構完善內部控制制度,規范基金內部管理。二是信息網絡監督。在“金保工程”信息網建成后,及時圍繞加強和改進基金監管方式,建立新的基金風險控制和防范機制為目標,在市社會保障行政部門設立社保基金監管工作平臺,初步實現了對社保基金的財務監管。三是基金的預決算管理工作。社會保障基金預、決算工作是社會保險基金監督的一項重要內容,是真實反映社會保障事業發展計劃落實情況和社保基金使用情況的重要標尺。它實現了數據一致,提高了數據質量,為查找問題、分析問題提供了有效手段,為科學決策提供了有力依據。四是建立聯系制度。定期、不定期組織召開社會保險經辦機構的基金監管工作調度會,掌握經辦機構在管理上的難點和需要盡快解決的問題,提出解決辦法和規范管理的可行措施,使基金管理更加規范。五是行政基金監督方式要從內部監管向政策制度監管轉變。從實踐來看,沒有明確的政策和規范的制度,具體的職能部門是無法履行監督職能,難以開展監管工作的。只有以制度來規范監督行為,才是最根本、最可靠的辦法。因此,行政監督部門就擔負著國家、省、市出臺的各項社會保險基金監督方面的法津法規和規章制度的貫徹和落實工作。
(2)社會監督。結合政務公開工作,建立舉報制度。一是開通電話、信箱、網絡投訴渠道等措施,為群眾參與監督提供方便。二是對社會保險繳費基數、職工退休審批、職工特殊醫療門診審批、職工工傷鑒定等實行公示制度,讓廣大參保職工參與社會保險基金監督工作,對企業、職工及社保工作人員起到有效制約作用,規范了社會保險行為,拓寬了監督的信息渠道。
(3)內部監督。內部監督是基礎,人力資源和社會保障行政部門加強內部審計和監督檢查,社會保險經辦的內部控制制度是基金監管的關鍵環節。需建立一整套運作規范化、管理科學化、稽核檢查制度化、考評標準化的內部監督機制,通過建立和實施內部監督機制來完善社會保險基金監督體系。
3加強行政權力公開透明、制度建設和過程控制,建立基金監督長效機制
要按照 “三用”工作思路,在基金監管的內容和結構等方面構建完善的制度體系,從制度上解決如何監督基金的管理使用。一是用制度來推動基金監督工作。用制度來規范和推動基金監督工作,使工作有序運行,一直是我們工作的重點,建立目標考核責任、社保基金“零違紀”、“五保合一”的基金監督、內部控制等項制度來推動基金監督工作。二是用制度來規范基金管理使用。從基金入口、中間流動到基金出口的各環節,制定了更具操作性的基金管理使用辦法。保證了基金征收最大化、待遇審核規范化、管理使用制度化、定期報告長效化。三是用制度來保障實施監督權和再監督權。社會保障部門主管社會保險基金監督工作,監督委員會對基金監督者實施再監督,這為社保基金又上了一層“安全鎖”,確保監督權和再監督權的正確行使,避免出現“不作為”、“亂作為”的現象。
加強過程控制,突出程序監督,規范權力運行“軌跡”,讓權力在事先設定的、規范的軌道內合法合規的運行。并在實踐中不斷完善和提高,建立長效機制。采取專項抽查、定期檢查和不定期暗訪的形式強化督導,對重點部門、崗位、人員加強監督,提前介入、直接參與、全程跟蹤。
第2篇:安全審計制度范文
【關鍵詞】建筑深基坑工程施工;質量安全;監督管理
建筑深基坑工程包括巖土工程勘察、圍護結構設計、圍護結構施工與拆除、地下水控制、基坑監測、土方挖填等內容,是一項綜合性很強的系統工程,專業技術的要求非常高。基坑支護體系是臨時結構,在工程施工完成后就不再需要,施工單位應及時進行地下結構工程的施工,并在基坑圍護結構有效時限內和主體結構滿足抗浮要求時,及時進行基坑回填工作,嚴禁基坑長時間暴露。以下就建筑深基坑工程施工質量安全監督管理進行探討,旨在提高建筑工程施工的質量安全。
一、建筑深基坑工程施工發生質量安全事故的原因
1.支護體系存在設計缺陷或施工缺陷引起支護體系失穩。這類情況的發生,主要是由設計方案不當或施工方法欠缺等引起的。
2.由土體失穩而破壞支護體系引起基坑失穩。這類情況的發生,主要是由開挖土坡過大、基坑外側超載等引起的。
3.由于圍護體系滲漏水,導致水土流失,由水引起對周圍環境破壞或基坑失穩。這類情況的發生,主要是圍護體系施工存在質量問題引起漏水造成。
4.由于基坑隆起過大失穩。主要原因有圍護墻深度不夠,承壓水降水沒達到要求等。當然基坑失穩可能是由以下幾點多方面共同造成的,亦有可能是其中某一單項引起的,最終結果均會引起土體失穩。
二、加強建筑深基坑工程施工質量安全監督管理的措施
1.了解施工場地的環境。建筑深基坑一般指開挖深度大于5m的基坑。建筑深基坑工程施工前,應了解建筑場地及周邊、地表至支護結構底面下一定深度范圍內地層結構、巖土性狀、含水層性質、地下水位、滲透系數等;了解建筑場地及其附近的地下管線、地下埋設物的位置、深度、結構形式及埋設時間等。對已有鄰近建筑的建筑深基坑工程施工,應熟悉已存鄰近建筑的位置、層數、高度、結構類型、基礎類型,此外,也應掌握建筑深基坑工程施工的其他條件,如基坑周圍的地面排水情況,地面雨水、流水、上下水管線排人或漏人基坑的可能性以及基坑附近的地面堆載及大型車輛的動、靜荷載。
2.科學編制建筑深基坑工程施工方案。施工方案是搞好一切工程的先決條件,它包括建筑深基坑工程設計,主要有支護設計、降水或截水設計、土方開挖設計和監測設計。支護設計主要滿足邊坡和支護結構穩定的要求,既不產生傾覆、滑移、整體或局部失穩,基坑底部不產生隆起、管涌,錨桿部位不致抗拔失效,同時必須滿足水平位移和地基沉降不超過允許值,支護結構構件本身受荷后不致彎曲折斷,剪斷和壓彎。基坑支護常用的幾種方法有坡率法、排樁支護、鋼板樁支護、地下連墻支護、土釘墻支護、深層攪拌支護等。降水設計應控制由降水引起的地基沉降不致對鄰近的重要管線產生過量沉降,影響其正常使用或危及其安全;地下水控制常用的幾種方法有明溝排水、電滲降水、輕型井點降水、管井降水等。截水帷幕應控制不致因滲漏而引起水土流失和過大的變形。常用的方法主要有高壓噴射注漿、深層攪拌;土方開挖設計應滿足分層、分段、對稱、平衡、適時的原則,確保土方開挖安全、運輸合理;根據施工方案,施工前應作好設計交底,針對建筑深基坑工程施工的施工工藝和作業條件,制定措施得力、針對性強、合理全面的施工方案。施工方案應充分認識建筑深基坑工程施工的難點、重點和施工工藝的特點,質量安全控制目標恰當,保證措施到位,施工組織合理,檢驗監測嚴謹。對不同的基坑支護方式,施工的難點和要點有所不同,但總體要求基本一致。一是對施工工藝要熟悉,掌握基本的施工參數;二是要掌握主要施工機械及配套設備的技術性能;三是對水泥、砂石、鋼筋、錨桿、鋼板樁等原材料及其制品進行質量檢驗,并保證施工質量。四是根據場地特點和不同的施工階段,采取合適的降水或截水措施。五是土方開挖應分層分段進行,控制挖土進度;六是對雨季施工既要注意排除地面雨水倒流人基坑,又要注意雨季水的滲入,土體強度降低,土壓力加大造成基坑邊坡坍塌事故。
3.嚴格按施工方案組織施工。基坑坍塌的事故發生主要原因有兩大類,第一類對建筑深基坑工程施工難度認識不足,認為不需要進行專項的建筑深基坑支護設計,按常規建筑工程組織施工造成的。第二類是未按施工組織設計或施工方案組織施工造成的。隨著人們對建筑深基坑工程施工復雜性認識的不斷提高,第一類事故正在不斷下降,但第二類事故時有發生,主要表現在以下幾個方面:第一是未按設計組織施工,因施工質量原因造成支護結構垮塌;第二是未按施工組織設計或施工方案組織施工,特別是對有內支撐的基坑施工,一般順做時能做到隨挖隨撐,但對斷面不大,開挖深度不大,從下往上做結構,有的施工人員貪快求“方便”,不是隨做隨拆,而是先拆后做,釀成塌方事故;二是土方開挖時,未進行有效監測或未根據監測結果指導施工,造成挖土過快或超挖引起土體失穩或基底涌土等,或土方開挖方式不對,甚至有“掏挖”現象;三是坑邊堆置土方或其他材料、設備等,甚至有大型車輛的須嚴格按設計和施工方案執行,即不能偷工減料,也不能違章施工。
4.建立和完善應急救援預案。建筑深基坑工程施工具有一定的危險性,針對建筑深基坑工程施工的特點,施工單位應當建立和完善應急救援預案,防止突發事故的發生,做到有所防備,有所準備。
結束語:
綜上所述,建筑深基坑工程是一個系統性的綜合工程,如何在建筑深基坑工程施工過程中加強控制、降低風險,做好質量安全監督管理對于建筑企業來說意義重大。
參考文獻
第3篇:安全審計制度范文
1 利用網絡及安全管理的漏洞窺探用戶口令或帳號,冒充合法用戶作案,篡改磁性介質記錄竊取資產。
2 利用網絡遠距離竊取的商業秘密以換取錢財,或利用網絡傳播計算機病毒以破壞企業的信息系統。
3 建立在計算機網絡基礎上的電子商貿使貿易趨向“無紙化”,越來越多的業務的原始記錄以電子憑證的方式
存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結算單及其它帳單,就有可能將公私財產的所有權進行轉移。
計算機網絡帶來會計系統的開放與數據共享,而開放與共享的基礎則是安全。企業一方面通過網絡開放自己,向全世界推銷自己的形象和產品,實現電子貿易、電子信息交換,但也需要守住自己的商業秘密、管理秘密和財務秘密,而其中已實現了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創造一個安全的環境,抵抗來自系統內外的各種干擾和威協,做到該開放的放開共享,該封閉的要讓黑客無奈。
一、網絡安全審計及基本要素
安全審計是一個新概念,它指由專業審計人員根據有關的法規、財產所有者的委托和管理當局的授權,對計算機網絡環境下的有關活動或行為進行系統的、獨立的檢查驗證,并作出相應評價。
沒有網絡安全,就沒有網絡世界。任何一個建立網絡環境計算機會計系統的機構,都會對系統的安全提出要求,在運行和維護中也都會從自己的角度對安全作出安排。那么系統是否安全了呢?這是一般人心中無數也最不放心的。應該肯定,一個系統運行的安全與否,不能單從雙方當事人的判斷作出結論,而必須由第三方的專業審計人員通過審計作出評價。因為安全審計人員不但具有專門的安全知識,而且具有豐富的安全審計經驗,只有他們才能作出客觀、公正、公平和中立的評價。
安全審計涉及四個基本要素:控制目標、安全漏洞、控制措施和控制測試。其中,控制目標是指企業根據具體的計算機應用,結合單位實際制定出的安全控制要求。安全漏洞是指系統的安全薄弱環節,容易擾或破壞的地方。控制措施是指企業為實現其安全控制目標所制定的安全控制技術、配置及各種規范制度。控制測試是將企業的各種安全控制措施與預定的安全標準進行一致性比較,確定各項控制措施是否存在、是否得到執行、對漏洞的防范是否有效,評價企業安全措施的可依賴程度。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業技術知識與技能。
安全審計是審計的一個組成部分。由于計算機網絡環境的安全將不僅涉及國家安危,更涉及到企業的經濟利益。因此,我們認為必須迅速建立起國家、、企業三位一體的安全審計體系。其中,國家安全審計機關應依據國家法律,特別是針對計算機網絡本身的各種安全技術要求,對廣域網上企業的信息安全實施年審制。另外,應該社會中介機構,對計算機網絡環境的安全提供審計服務,它與會計師事務所、律師事務所一樣,是社會對企業的計算機網絡系統的安全作出評價的機構。當企業管理當局權衡網絡系統所帶來的潛在損失時,他們需要通過中介機構對安全性作出檢查和評價。此外財政、財務審計也離不開網絡安全專家,他們對網絡的安全控制作出評價,幫助注冊會計師對相應的信息處理系統所披露信息的真實性、可靠性作出正確判斷。
二、網絡安全審計的程序
安全審計程序是安全監督活動的具體規程,它規定安全審計工作的具體、時間安排、具體的審計方法和手段。與其它審計一樣,安全審計主要包括三個階段:審計準備階段、實施階段以及終結階段。
安全審計準備階段需要了解審計對象的具體情況、安全目標、企業的制度、結構、一般控制和應用控制情況,并對安全審計工作制訂出具體的工作計劃。在這一階段,審計人員應重點確定審計對象的安全要求、審計重點、可能的漏洞及減少漏洞的各種控制措施。
1 了解企業網絡的基本情況。例如,應該了解企業內部網的類型、局域網之間是否設置了單向存取限制、企業網與Internet的聯接方式、是否建立了虛擬專用網(VPN)?
2 了解企業的安全控制目標。安全控制目標一般包括三個方面:第一,保證系統的運轉正常,數據的可靠完整;第二,保障數據的有效備份與系統的恢復能力;第三,對系統資源使用的授權與限制。當然安全控制目標因企業的經營性質、規模的大小以及管理當局的要求而有所差異。
3 了解企業現行的安全控制情況及潛在的漏洞。審計人員應充分取得企業對網絡環境的安全保密計劃,了解所有有關的控制對上述的控制目標的實現情況,系統還有哪些潛在的漏洞。
安全審計實施階段的主要任務是對企業現有的安全控制措施進行測試,以明確企業是否為安全采取了適當的控制措施,這些措施是否發揮著作用。審計人員在實施環節應充分利用各種技術工具產品,如網絡安全測試產品、網絡監視產品、安全審計器。
安全審計終結階段應對企業現存的安全控制系統作出評價,并提出改進和完善的方法和其他意見。安全審計終結的評價,按系統的完善程度、漏洞的大小和存在問題的性質可以分為三個等級:危險、不安全和基本安全。危險是指系統存在毀滅性數據丟失隱患(如缺乏合理的數據備份機制與有效的病毒防范措施)和系統的盲目開放性(如有意和無意用戶經常能闖入系統,對系統數據進行查閱或刪改)。不安全是指系統尚存在一些較常見的問題和漏洞,如系統缺乏監控機制和數據檢測手段等。基本安全是指各個企業網絡應達到的目標,其大漏洞僅限于不可預見或罕預見性、技術極限性以及窮舉性等,其他小問題發生時不影響系統運行,也不會造成大的損失,且具有隨時發現問題并糾正的能力。
三、安全審計的主要測試
測試是安全審計實施階段的主要任務,一般應包括對數據通訊、硬件系統、軟件系統、數據資源以及安全產品的測試。
下面是對網絡環境信息系統的主要測試。
1 數據通訊的控制測試
數據通訊控制的總目標是數據通道的安全與完整。具體說,能發現和糾正設備的失靈,避免數據丟失或失真,能防止和發現來自Internet及內部的非法存取操作。為了達到上述控制目標,審計人員應執行以下控制測試:(1)抽取一組會計數據進行傳輸,檢查由于線路噪聲所導致數據失真的可能性。(2)檢查有關的數據通訊記錄,證實所有的數據接收是有序及正確的。(3)通過假設系統外一個非授權的進入請求,測試通訊回叫技術的運行情況。(4)檢查密鑰管理和口令控制程序,確認口令文件是否加密、密鑰存放地點是否安全。(5)發送一測試信息測試加密過程,檢查信息通道上在各不同點上信息的。(6)檢查防火墻是否控制有效。防火墻的作用是在Internet與內部網之間建立一道屏障,其有效性主要包括靈活性以及過濾、分離、報警等方面的能力。例如,防火墻應具有拒絕任何不準確的申請者的過濾能力,只有授權用戶才能通過防火墻訪問會計數據。
2 硬件系統的控制測試
硬件控制測試的總目標是評價硬件的各項控制的適當性與有效性。測試的重點包括:實體安全、火災報警防護系統、使用記錄、后備電源、操作規程、災害恢復計劃等。審計人員應確定實物安全控制措施是否適當、在處理日常運作及部件失靈中操作員是否作出了適當的記錄與定期、硬件的災難恢復計劃是否適當、是否制定了相關的操作規程、各硬件的資料歸檔是否完整。
3 軟件系統的控制測試
軟件系統包括系統軟件和軟件,其中最主要的是操作系統、數據庫系統和會計軟件系統。總體控制目標應達到防止來自硬件失靈、機黑客、病毒感染、具有特權職員的各種破壞行為,保障系統正常運行。對軟件系統的測試主要包括:(1)檢查軟件產品是否從正當途徑購買,審計人員應對購買訂單進行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。(3)證實只有授權的軟件才安裝到系統里。
4 數據資源的控制測試
數據控制目標包括兩方面:一是數據備份,為恢復被丟失、損壞或擾的數據,系統應有足夠備份;二是個人應當經授權限制性地存取所需的數據,未經授權的個人不能存取數據庫。審計測試應檢查是否提供了雙硬盤備份、動態備份、業務日志備份等功能,以及在日常工作中是否真正實施了這些功能。根據系統的授權表,檢查存取控制的有效性。
5 系統安全產品的測試
隨著網絡系統安全的日益重要,各種用于保障網絡安全的軟、硬件產品應運而生,如VPN、防火墻、身份認證產品、CA產品等等。企業將在不斷的安全產品市場上購買各種產品以保障系統的安全,安全審計機構應對這些產品是否有效地使用并發揮其應有的作用進行測試與作出評價。例如,檢查安全產品是否經過認證機構或公安部部門的認征,產品的銷售商是否具有銷售許可證產品的安全保護功能是否發揮作用。
四、應該建立內部安全審計制度
第4篇:安全審計制度范文
關鍵詞:山區道路;安全審計;內容;步驟
道路安全審計(RoadSafelyAudits,簡稱RSA)是從預防交通事故、降低事故產生的可能性和嚴重性人手,對道路項目建設的全過程,即規劃、設計、施工和服務期進行全方位的安全審核,從而揭示道路發生事故的潛在危險因素及安全性能,是國際上近期興起的以預防交通事故和提高道路交通安全為目的的一項新技術手段。其目標是:確定項目潛在的安全隱患;確保考慮了合適的安全對策;使安全隱患得以消除或以較低的代價降低其負面影響,避免道路成為事故多發路段;保障道路項目在規劃、設計、施工和運營各階段都考慮了使用者的安全需求,從而保證現已運營或將建設的道路項目能為使用者提供最高實用標準的交通安全服務。
一、道路安全審計的起源與發展
1991年,英國版的《公路安全審計指南》問世,這標志著安全審計有了系統的體系。從1991年4月起,安全審計成為英國全境主干道、高速公路建設與養護工程項目必須進行的程序,使英國成為安全審計的重要發起與發展國。而我國則是在20世紀90年代中期開始發展安全審計,主要有兩個渠道:①以高等院校為主的學者通過國際學術交流與檢索國外文獻,從理論體系的角度引入道路安全審計的理論;②通過世界銀行貸款項目的配套科研課題。在工程領域開展道路安全審計的實踐。
目前,在澳大利亞、丹麥、英國、冰島、新西蘭和挪威等國已定期地執行道路安全審計,德國、芬蘭、法國、意大利、加拿大、荷蘭、葡萄牙、泰國以及美國正處于實驗或試行階段,其他許多國家也在就道路安全審計的引入進行檢驗,比如希臘等國家。國外研究表明,道路安全審計可有效地預防交通事故,降低交通事故數量及其嚴重度,減少道路開通后改建完善和運營管理費用,提升交通安全文化,其投資回報是15~40倍。
道路安全審計在我們道路建設中的重要性,不僅僅是在提高安全性方面,對經濟性也有幫助。而山區道路的安全比起一般道路來講,就更應該引起我們的注意,畢竟山區道路的崎嶇以及地勢的高低相對與一般道路對駕駛者來說是一個很大的挑戰,而且其發生事故的死亡率也比其他道路高很多,因此,審計對于山區道路來說是至關重要的。
二、山區道路安全審計內容
加拿大等國家認為,在項目建設的初步設計階段進行道路安全審計最重要、最有效,因而早期的道路安全審計主要重點是在項目建設的初步設計階段。現世界各國都普遍認為可在已運營的道路和擬建道路項目建設期的全過程實行安全審計,即在規劃或可行性研究、初步設計、施工圖設計、道路通車前期(預開通)和開通服務期(后評估階段)都有所側重地實行審計。山區道路安全審計同樣與其他道路的安全審計工作內容一樣。
三、審計要素
典型的道路安全審計過程為:組建審計組+設計隊介紹項目情況及提供資料+項目實施考察-安全性分析研究-編寫安全審計報告+審計組介紹項目審計結果+設計隊研究、編寫響應報告-審計報告及響應報告共同構成項目安全文件。
整個安全審計的時間一般為兩周左右。為保證安全審計的質量,審計組人員的構成至關重要。審計組的人數依項目的規模大小一般由26人組成,審計組應由不同背景、不同經歷、受過培訓、經驗豐富、獨立的人員(與設計隊無直接關聯)組成。審計人員一般應具備交通安全、交通工程、交通運行分析、交通心理、道路設計、道路維護、交通運營及管理、交通法律法規等方面的知識,應保證審計組人員相互間能平等、自由地交流、討論和商議安全問題。審計人員應本著對社會(用戶)負責的態度、安全第一的觀點,依據道路標準規范,對項目各種設計參數、弱勢用戶、氣候環境等的綜合組合,展開道路安全審計。道路安全審計人員(審計組)與設計人員(設計隊)的區別在于:設計人員需要綜合考慮項目投資、土地、政治、地理、地形、環境、交通、安全等方方面面的因數,限于經驗、時間的約束,對安全問題難免有所偏頗。而安全審計人員不考慮項目投資、建設背景等因數,僅僅考慮安全問題,只提安全建議,最后由設計人員決定:采納、改進或不采納。因而可以說道路安全審計的關鍵點為:它是一個正式的、獨立進行的審計過程,須由有經驗的、有資格的人員從事這一工作,要考慮到道路的各種用戶,最重要的一點是只考慮安全問題。
安全審計報告一般應包括:設計人及審計組簡述、審計過程及日期、項目背景及簡況、圖紙等,對確認的每一個潛在危險因素都應闡述其地點、詳細特征、可能引發的事故(類型)、事故的頻率及嚴重度評估、改進建議及該建議的可操作性(實用性)等。審計報告應易于被設計人員接受并實施。響應報告應由項目設計人員編寫,其內容—般應包括:對審計報告指出的安全缺陷是否接受,如不接受應闡述理由,對每一改進建議應一一響應,采納、部分采納或不采納,并闡明原因。
四、現有山區道路的安全審計
對現狀山區道路進行安全審計,主要評估現狀道路潛在事故危險性,同時提出改進措施以降低未來發生事故的可能性。現狀道路的安全審計與新建道路相類似,也需進行上面所提到的工作,但現場調查以及評估資料及文件這兩步與新建道路有所不同。此時事故資料被作為欲審計資料的重要組成部分,同時該資料也包括可能導致事故發生潛在性的一些不利因素的詳細資料。
理想的關于現狀道路網的安全審計應該建立在有規律的基礎之上。它可以以連續幾年審計的結果為基礎,采用滾動式的審計方式對路網中的每條道路都進行評估。對于里程較長的道路(一般>100km),其安全審計工作可按兩階段進行,即初步審計階段和詳細審計階段。前者主要對道路總體上進行粗略審計,給出存在的主要問題及所處位置,后者則對找到的問題進行進一步的詳細分析并提出相應的改進建議。對里程較短的道路(<30km)可直接進行第二階段的工作。而對里程在30km~100km的道路,兩階段審計工作可根據具體情況靈活進行。
由于欲審計道路已修建完成并已經運營,此時現場調查就顯得非常重要。不管是擬建道路或已建道路、線內工程還是線外工程,安全審計工作必須全方位細致地進行。要考慮不同道路使用者對道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得駕駛員的心理產生恐懼;②半徑太小可能使得駕駛員無法在規定視距范圍內看到對方;③山體的穩定性也可能會影響到駕駛員。
另外,現狀山區道路的安全審計工作還要調查不同的道路類型,例如白天、黑夜、干燥、潮濕等情況對道路的影響。此外,對現有道路網絡的安全審計可結合養護工作同時進行,這樣可減少相應的成本費用。
五、我國山區道路的審計現狀及問題和解決方法
5.1審計現狀及問題
由于目前審計這個名詞在國內還算比較新鮮,國外從起步發展到現在也不過十來年的時間,各方面都只是處于實驗或者是試行階段,并沒有固定的一套理論依據。而我國相對外國來說又是落后了好幾年,因此我國現在總體的審計現狀也就處于探索階段,各個方面也是處于起步階段,不可能對各個方面的審計工作做到非常的完善。而道路的審計不過是眾多審計工作中的一小部分,由于其本身的“新鮮性”,又對審計人員的要求較高,西部一些貧困地區教育跟不上,審計的人才缺乏也不是沒有可能,設備等亦未全部到位。山區道路安全審計工作的開展較一般道路可能要更加的困難,因為山區道路多是停山臨崖,彎道又多,坡度又大等各方面因素是其工作的開展要難與一般道路;更有甚者像那些偏僻地區的山區道路,可能路面的質量都無法保證,更不要提進行什么安全審計。:
5.2解決方法
要改善我國目前的這種安全審計情況,需要全國各個方面的努力與配合,不過政府要有所規定,我們民間也要有這方面的意識。筆者簡單列出幾項:①國家應該頒布相關的法律制度,嚴格要求進行安全審計;②地方政府部門要加強管理;③加強對審計人員的培訓;④提高我國的教育水平和人們的交通安全意識;⑤交通安全部門要深入到偏僻的山區;⑥提高我國的經濟實力。
六、結束語
山區道路的安全審計工作與其他道路的安全審計總體上應該說差不多,當然山區的那種獨特的環境使得審計工作的重點可能不僅僅局限與一般的道路,不要認為山區道路的流量沒有城市道路那么多而忽視它,我國是個多山的國家,山區道路對于我國各個地區的經濟往來的作用不言而譽。通過安全審計,加強了全國各地交流。對于我國的經濟發展有百利而無一害。國內山區道路建設的實際情況對道路安全審計進行了較為系統的分析研究并得出以下結論:
(1)道路安全審計獨立于設計和標準。是以安全為核心的審計,其對象為一切與交通安全相關的工程和設施,它可分階段、按步驟的實施,審計的結果為安全審計報告。
第5篇:安全審計制度范文
關鍵詞:審計;糧食安全;路徑選擇
中圖分類號:F239 文獻標識碼:A
原標題:政府審計維護糧食安全的依據及路徑選擇
收錄日期:2012年2月22日
一、政府審計維護糧食安全的基本依據
糧食安全是經濟安全的重要組成部分,審計要維護國家經濟安全,理所當然包括糧食安全。我們認為,審計維護糧食安全有以下幾個方面的基本依據:從理論上分析,政府審計維護糧食安全是公共受托經濟責任拓展的現實需要;從法律上的要求,維護國家糧食安全是政府審計的法定職責;從現實層面而言,政府審計維護國家經濟安全是充分發揮審計“免疫系統”功能的必然要求。
(一)政府審計維護國家糧食安全是公共受托經濟責任拓展的現實需要。按照“受托經濟責任觀”這一審計學說,審計是隨受托經濟責任的產生而產生,并隨受托經濟責任的發展而發展的。政府審計產生于公共受托經濟責任關系的確立,其首要或根本目標就是促進政府公共受托經濟責任的切實有效履行。公共受托經濟責任內涵的拓展要求政府承擔保障和維護國民吃飯的責任。政府審計作為促進政府全面有效履行公共受托經濟責任的一種監控機制,其功能也隨著公共受托經濟責任內涵的拓展而不斷拓展。因此,政府審計維護國家糧食安全是公共受托經濟責任拓展的現實需要。
(二)政府審計維護國家糧食安全是政府審計法定職責的基本要求。《中華人民共和國憲法》第九十一條規定:“國務院設立審計機關,對國務院各部門、地方各級政府的財政收支,對國家的財政金融機構和企業事業組織的財務收支進行審計監督”。2006年新修訂頒布的《中華人民共和國審計法》在第一章第一條中將立法的目的規定為:“為了加強國家的審計監督,維護國家財政經濟秩序,提高財政資金使用效益,促進廉政建設,保障國民經濟和社會健康發展”。糧食安全是“維護國家財政經濟秩序”與“保障國民經濟和社會健康發展”兩項目標的重要基礎;“財政資金使用效益”關系到國家成本與國家效能,對國家經濟安全有著重要的影響;“國民經濟和社會健康發展”的基礎條件就是國家經濟安全。因此,維護國家糧食安全是政府審計法定職責的基本要求。
(三)政府審計維護國家糧食安全是充分發揮審計“免疫系統”功能的必然要求。2008年劉家義提出了“國家審計免疫系統論”這一重要觀點,指出“應充分發揮審計保障國家經濟社會健康運行的‘免疫系統’功能”。在“國家審計免疫系統論”這一觀點下,政府審計的功能就是通過發揮經濟監控作用,使國家機器能夠健康有效運行,而糧食安全是“國家機器能夠健康有效運行”的重要基礎,理所當然是政府審計的重要保護對象。因此,政府審計維護糧食安全是充分發揮審計“免疫系統”功能的必然要求。
二、政府審計如何維護糧食安全
政府審計要有效發揮在維護國家糧食安全中的監測、預防、預警、糾偏及修復作用,必須依賴于一定的途徑;此種途徑是聯系國家糧食安全與政府審計工作之間的橋梁和紐帶。結合當前國家糧食安全形勢,政府審計可以通過以下路徑充分發揮維護國家糧食安全的作用:
(一)明確糧食安全審計的目標、對象和內容
1、完善政府審計目標。政府審計目標是政府審計行為活動意欲達到的理想境地或狀態。政府審計目標隨著審計環境的變化而變化,隨著審計職能的發展而發展。當國內外政治、經濟形勢的變化以及公共受托經濟責任內涵的拓展,要求維護國家糧食安全成為政府審計的基本職能時,維護國家糧食安全就理應成為政府審計的基礎目標。
2、深化政府審計對象。政府審計部門通過開展各項審計工作,可以在不同的領域維護國家糧食安全。當前,我國政府審計在維護資源環境安全、制度與政策安全等方面的作用尚未得到有效發揮。因此,通過深化政府審計對象,大力推行資源環境審計、制度合理性審計、政策執行效果審計,橫向拓寬審計維護國家糧食安全的領域,能夠有效發揮政府審計在上述領域維護國家糧食安全的作用。
(二)政府審計維護國家糧食安全的實現機制
1、建設糧食安全審計預警機制
(1)構建糧食安全審計預警系統。糧食安全審計預警系統的構建可以綜合利用政府審計各項工作所收集到的信息,縱向深化政府審計工作成果的利用,充分發揮政府審計維護國家糧食安全的系統與事前維護國家糧食安全的功能。
信息收集系統通過審計活動,負責歸集各種經濟安全信息;信息評估系統利用收集到的糧食安全信息,對國家糧食安全運行中的風險進行評估;信息分析系統,通過評估出來的風險級別,對國家糧食安全進行綜合評價,并根據結果發出糧食安全警報;信息處理系統利用特別審計權,負責對發現的國家糧食安全風險因素進行處理。
(2)設計糧食安全審計預警指標體系,構建糧食安全審計綜合指數。我們認為,可以設計一套糧食安全審計預警指標體系,包括生產、儲存、流通和消費四大領域。上述四大領域之下,分別設計一些主要指標。各領域主要指標的選取以政府審計科學研究與實踐經驗,設置各指標相應的安全值范圍,并賦予相應的權重。通過比較審計工作中所收集到的各項指標實際值與安全值范圍,就可以識別威脅國家糧食安全的風險因素。
通過計算糧食安全審計綜合指數,并與預先設定的安全值范圍進行比較,就可以對國家糧食安全進行評價,并根據情況進行預警。
2、完善調控、協調機制。國家糧食安全是在糧食生產、流通與消費之間進行有效平衡,是一個復雜的系統工程,影響因素眾多。政府審計維護國家糧食安全要建立與國家其他政府部門的協調機制,充分利用財政、農業、央行和稅務等部門的監督檢查信息,這實際上是一種調控與協調機制的體現。
主要參考文獻:
[1]劉家義.以科學發展觀為指導推動審計工作全面發展[J].審計研究,2008.3.
[2]劉英來.審計是經濟社會運行的免疫系統研討會綜述[J].審計研究,2008.5.
第6篇:安全審計制度范文
關鍵詞:電力企業;信息系統;安全技術
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 16-0000-01
Power Enterprise Information System Security Technology Study
Shang Wen
(Datong Electric Power Supply Company Technology Information Center,Datong037008,China)
Abstract:In recent years,information technology development,a variety of attack techniques,network intrusion technical level has also been rapid development,which requires electric power industry,computer information systems there is a corresponding change in the structure,the establishment of defense in depth security system that can effective against various types of attack,to improve the power industry the security of information systems.
Keywords:Power Enterprise;Information system;Security technology
一、防火墻技術
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根掘倉業的安全政策控制(允許、拒絕、監測)出入網絡的信息流。它是提供信息安全服務,實現網絡和信息安全的基礎設施。防火墻按使用的技術原理可分為包過濾防火墻和應用層網關級防火墻。
防火墻系統可以是路由器,也可以是個人主機、主系統和一批主系統,用于把網絡或子網同那些可能被子網外的主系統濫用的協議和服務隔絕。防火墻系統通常位于等級較高的網關(或網點)與Internet的連接處,但是防火墻系統也可以位于等級較低的網關,以便為某些數量較少的主系統或子網提供保護。
防火墻的局限性:(1)不能防范惡意的知情者;(2)不能防范不通過它的連接;(3)不能防范全部的威脅;(4)不能防范病毒。由此可見,要想建立一個真正行之有效的安全的信息系統,僅使用防火墻還是不夠,在實際的應用中,防火墻常與其它安全措施,比如,訪問控制技術、防病毒技術等綜合應用。
二、VLAN技術
VLAN中的每個端點用戶可直接與同一VLAN中的其它用戶通信。VLAN之間的網絡交通必須通過某種策略管理設備來管理,如路由器。這就允許網管人員為安全原因設置防火墻保護,在工作組問建立安全策略。在同一個物理網絡中,可分割出多種不同的VLAN組。這就使得VLAN的成員可根據系統應用實際的需要而決定,而不是根據它們在網上的物理位置決定。不同物理位置的用戶可以進入同一個工作組工作,就像在同一個辦公室內共同工作一樣,工作組成員關系可隨組織變化而動態地變化。單個VLAN的操作就如同一個子網一樣,子網上的用戶可彼此直接通信,當跨越子網邊界時要通過路由器。虛擬LAN與子網的唯一區別就是單個子網是彼此重疊在單一的公共物理設施上的。
VLAN能夠大大加強網絡安全性,體現為可以控制進入網絡的用戶連接。由于具有了對移動、加入以及變更用戶的網絡連接的控制能力,即網絡的連接控制得到加強,網絡系統了解虛擬網中所有的終端用戶,并可對連接哪些用戶、在何處需要存取何種服務來實行各種策略及控制;虛擬網絡還可控制用戶通信對象及控制特定應用的啟用權。這些能力大部分在網絡中都是以路由過濾及策略表形式提供的。由于虛擬網絡去掉于網成員的物理限制,一個工作組中的所有成員都在同一個VLAN中,而且路由器用來控制出入工作組的存取。由于路由器的交通負載減少了,其帶寬可以用在更迫切的安全性要求上。
三、數據加密技術
加密是提供保密性、真實性、完整性和數據存取權限的強有力工具。對數據進行加密,都有其實現的方法,這種加密的方法稱為加密算法,它通常是完全公開的,這些加密的算法將用戶要保護的原始信息(明文),使用一種稱為密鑰的數值操作進行編碼,生成的結果稱為密文。雖然,加密算法是公開的,但對密文解密需要的密鑰是非公開的。加密技術不僅提供保密通信,也是許多其它安全機制的基礎,是保障網絡安全的基石。
四、安全審計技術
保證安全管理制度實現的重要手段是監控和審計。從技術角度來看的審計指對用戶和程序使用資源事件進行記錄和審查,它是提高安全性的重要工具。審計信息對于確定問題和攻擊源很重要,能記錄和識別事件發生的日期和時間,涉及的用戶、事件的類型和事件的成功或失敗,能判斷違反安全的事件是否發生,以保證系統安全、幫助查出原因,并且它是后面階段事故處理的重要依據。
因此安全審計跟蹤是一種很有價值的安全技術,可通過事后的安全審計來檢測和調查安全策略執行的情況以及安全遭到的破壞情況。安全審計是對系統記錄和活動的獨立評估、考核,以測試系統控制是否充分,確保與既定策略和操作規程相一致,有助于對入侵進行評估,并指出控制、策略和程序的變化。安全審計需要安全審計跟蹤中與安全有關的記錄信息,和從安全審計跟蹤中得到的分析和報告信息。日志或記錄被視為一種安全機制,而分析和報告生成則被視為一種安命管理功能。通過指明所記錄的與安全有關的事件的類別,安全審計跟蹤信息的收復可適應各種需要。安全審計跟蹤的存在對潛在的安全攻擊源可以起到威懾作用。安全審計跟蹤應考慮選擇那些信息將被記錄,在什么條件下對信息進行記錄以及用于交換安傘審計跟蹤信息的語法和語義定義。
五、RBAC模型
計算機信息系統訪問控制技術最早產生于六十年代,隨后出現了兩種重要的訪問控制技術:自主型訪問控制(Discretionary Access Control,DAC)和強制型訪問控制(Mandal ory Access Control,MAC)。它們在多用戶系統中得到了廣泛的應用,對計算機信息系統的安全做出了很大的貢獻。然而傳統的訪問控制技術遠遠落后于當代系統安全的需求,各國學者開始探索新型的訪問控制技術,基于角色的訪問控制技術引起了極大的關注,RBAC以其顯著的優勢被認為是自主型訪問控制和強制型訪問控制的替代者。所謂訪問控制,就是通過某種途徑顯式地準許或限制訪問能力及范圍的一種方法。通過訪問控制服務,可以限制對關鍵資源的訪問,防止非法用戶的侵入或者因合法用戶的不慎操作所造成的破壞。簡單的說,即:“哪些用戶可以使用哪些資源”。
總之,根據電力企業不同層面上的安全要求,本文研究和分析了多種先進安全技術,保障著整個系統的安全。
參考文獻:
第7篇:安全審計制度范文
一、總體要求
以國家衛生縣城復審通過和創建省級食品安全先進縣以及2019年文明城市創建成功為目標,加強隊伍建設、紀律作風建設,提升業務水平,建立全覆蓋的督導考核體系,督促各單位履職盡責,樹立良好的工作作風,高標準完成“三城聯創”工作。
二、考核原則
堅持公開、公平、公正的原則,堅持單位管理內容及人員全覆蓋的原則,堅持局考評和二級單位考評相結合的原則,堅持獎罰并重的原則。
三、考核對象和范圍
(一)考核對象:局屬各單位、科室。
(二)考核范圍:“三城聯創”期間涉及到的相關局屬單位、科室業務和人員。
四、考核方式
各單位督導考核人員按照各自的工作職責及行業標準,制定具體的考核細則及打分表并負責解釋,在局督導科的統一領導安排下,集中力量對“三城聯創”期間工作人員的紀律作風和履職盡責情況進行督導,不再執行日常督導模式(日常督導模式為分工負責制:執法大隊督查科負責執法大隊的日常督導工作,園林環衛綜合服務中心督導考核科負責園林環衛以及園林服務中心、美城保潔公司的日常督導工作,數字城管中心負責數字城管方面的督導工作,對發現的問題,各單位形成日報表,日報表電子版及問題圖片每天下午下班前發送至局督導科郵箱cgjddk612@163.com,局督導科采取抽查的方式對上報材料進行審核,并進行匯總、通報,督導的問題一天一通報、一周一匯總、一月一點評),對發現的問題,列出問題清單,并形成每日通報,報局班子領導,發各相關單位,形成每日通報、分級點評的工作機制。
五、考核內容
紀律作風、市容市貌、環境衛生、園林綠化、違法建設、戶外廣告、餐飲油煙及露天燒烤整治管理、城鄉環衛一體化管理、建筑垃圾資源化綜合利用、城中村及社區管理、城市照明設施管理及公共自行車管理。
六、考核結果運用
(一)局督導科對各項工作開展情況進行逐項督導,對工作開展進度遲緩、質量不高、整改不力的進行嚴厲責任追究;對工作開展有力,推進快的單位予以表揚。
(二)對在連續兩次通報成績靠后的單位或科室,由局分管領導對單位或科室負責人進行約談。
(三)對連續三次及以上通報成績靠后的單位或科室,由局主要領導對分管領導、科室負責人進行約談,并取消其本年度評先樹優資格。
七、相關要求
1、加強組織領導。“三城聯創”期間所有督導人員及車輛由局督導科統一調度,統一安排,集中時間,集中力量,對“三城聯創”工作集中攻堅。局督導科與二級單位執法大隊的督查科及園林環衛服務中心的督導考核科屬上下級業務領導關系,與數字城管中心及城鄉環衛一體化工作領導小組辦公室屬平級配合關系。
第8篇:安全審計制度范文
關鍵詞:信息管理系統 信息安全 系統安全建設
中圖分類號:TP39 文獻標識碼:A 文章編號:1003-9082(2014)03-0001-02
一、引言
隨著全球信息化不斷在我國深化和發展,我國各地區、各行業使用信息系統開展工作的比例越來越大。一般來說,信息化程度越高,對信息管理系統的依賴性就越強,信息安全問題就越為突顯和嚴重。而信息安全問題也正逐漸成為影響各企事業單位業務能否正常運行、生產力能否快速發展的重要因素之一。但是由于我國信息化建設起步相對較晚,與國外先進國家相比,無論在信息安全意識還是信息安全防護技術等諸多方面都還存在較大差距,各企事業單位的信息安全基本上均處于一個相對較為薄弱的環節。一旦信息管理系統中的個人信息和敏感數據發生丟失或者泄漏,可能會對自身造成無可估量的損失。因此,重點保障信息管理系統安全已成為各行各業的首要任務。信息管理系統安全建設應該系統地、有條理地進行全面規劃,充分地、全方位地考慮安全需求和特性,從而達到各種安全產品、安全管理、整體安全策略和外部安全服務的統一,發揮其最大的效率,給予信息管理系統以最大保障。
二、信息管理系統安全建設原則
1.安全體系兼容性
安全體系有一個重要的思想是安全技術的兼容性,安全措施能夠和目前主流、標準的安全技術和產品兼容。
2.信息管理系統體系架構安全性
系統的系統架構已經成為保護系統安全的重要防線,一個優秀的系統體系架構除了能夠保證系統的穩定性以外,還能夠封裝不同層次的業務邏輯。各種業務組件之間的“黑盒子”操作,能夠有效地保護系統邏輯隱蔽性和獨立性。
3.傳輸安全性
由于計算機網絡涉及很多用戶的接入訪問,因此如何保護數據在傳輸過程中不被竊聽和撰改就成為重點考慮內的問題,建議采用傳輸協議的加密保護。
4.軟硬件結合的防護體系
系統應支持和多種軟硬件安全設備結合,構成一個立體防護體系,主要安全軟硬件設備為防火墻系統、防病毒軟件等。
5.可跟蹤審計
系統應內置多粒度的日志系統,能夠按照需要把各種不同操作粒度的動作都記錄在日志中,用于跟蹤和審計用戶的歷史操作。
6.身份確認及操作不可抵賴
身份確認對于系統來說有兩重含義,一是用戶身份的確認,二是服務器身份的確認,兩者在信息安全體系建設中必不可少。
7.數據存儲的安全性
系統中數據存儲方面可以采取兩道機制進行的保護,一是系統提供的訪問權限控制,二是數據的加密存放。
三、信息管理系統安全建設內容
按照系統安全體系結構,結合安全需求、安全策略和安全措施,并充分利用安全設備包括防火墻、入侵檢測、主機審計等,其建設內容主要有:
1.物理安全
機房要求保護計算機設備、設施(含網絡)以及其它媒體免遭地震、水災、火災、有害氣體和其它環境事故(如電磁污染、電源故障、設備被盜、被毀等)破壞。
2.網絡安全
利用現有的防火墻、路由器,實行訪問控制,按用戶與系統間的訪問規則,決定允許或拒絕用戶對受控系統進行資源訪問。同時加強端口、拒絕服務攻擊、網絡蠕蟲等的監控,保障系統網絡運行的暢通。
2.1使用防火墻技術
通過使用防火墻技術,建立系統的第二道安全屏障。例如,防止外部網絡對內部網絡的未授權訪問,建立系統的對外安全屏障。最好是采用不同技術的防火墻,增加黑客擊穿防火墻的難度。
2.2使用入侵監測系統
使用入侵監測系統,建立系統的第三道安全屏障,提高系統的安全性能,主要包括:監測分析用戶和系統的活動、核查系統配置和漏洞、評估系統關鍵資源和數據文件的完整性、識別已知的攻擊行為、統計分析異常行為、操作系統日志管理,并識別違反安全策略的用戶活動等功能。
3.主機安全
系統主機安全從主機身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范和資源控制等方面考慮。
3.1主機身份鑒別
對登錄操作系統的用戶進行身份設別和鑒別,對操作系統和數據庫系統設置復雜的登錄口令,并且定期進行更換。同時對操作系統和數據庫用戶分配不同的用戶分配不同用戶名。
3.2訪問控制
通過三層交換機和防火墻設置對系統服務器的訪問控制權限。對服務器實現操作系統和數據庫系統特權用戶的權限分離,限制默認賬號的訪問權限,重命名系統默認賬戶,修改默認密碼。
3.3安全審計
服務器操作系統本身帶有審計功能,要求審計范圍覆蓋到服務器上的每個操作系統用戶,審計內容包括重要用戶行為、系統資源異常使用并進行記錄。
信息管理系統也應考慮安全審計功能,記錄系統用戶行為,系統用戶操作事件日期、時間、類型、操作結果等。
3.4入侵防范
利用入侵檢測系統和防火墻相應功能,檢測對服務器入侵行為,記錄入侵源IP、攻擊的類型、攻擊的目標、攻擊時間,并在發生嚴重的入侵事件時提供報警。
3.5惡意代碼防范
在服務器上安裝服務器端防病毒系統,以提供對病毒的檢測、清除、免疫和對抗能力。
3.6資源控制
在核心交換機與防火墻配置詳細訪問控制策略,限制非法訪問。
4.應用安全
4.1安全審計
信息管理系統應提供覆蓋到每個用戶的安全審計功能,對應用系統重要安全事件進行審計,審計記錄內容至少包括事件的日期、時間、發起者信息、類型、描述和結果等,保證無法刪除、修改或覆蓋審計記錄。
4.2資源控制
信息管理系統應限制用戶對系統的最大并發會話連接數、限制單個賬戶的多重并發會話、限制某一時間段內可能的并發會話連接數。
5.數據安全
系統數據安全要求確保管理數據和業務數據等重要信息在傳輸過程和存儲過程中的完整性和保密性。對于數據庫中的敏感數據,需對數據項進行加密,保證管理數據、鑒別信息和重要業務數據在傳輸過程與存儲過程中完整性不受到破壞。
對數據進行定期備份,確保存儲過程中檢測到數據完整性錯誤時,具有數據恢復能力。必須采用至少兩種手段進行備份,備份手段以整體安全備份系統為主,配合其他備份手段,如GHOST、TRUE IMAGE或操作系統和數據庫管理系統本身的備份服務等。備份具體要求如下:
5.1各服務器專職管理員根據所管服務器的具體情況與整體安全備份系統專職管理員協調制訂好所管服務器的備份計劃及備份策略。
5.2整體安全備份系統專職管理人員必須組織各服務器專職管理員對各服務器每個季度進行一次整體災備(冷備)。若某臺服務器的配置需要發生較大變更,該服務器的專職管理員應在對該服務器實施變更前和圓滿完成變更后,分別對該服務器做一次整體災備,必要時整體安全備份系統專職管理員需對整體災備提供協助。
5.3數據備份主要分為月備份、周備份、日備份及日志(增量)備份。月備份每月對各服務器的所有系統、目錄及數據庫做一次全備(熱備)。周備份每周對各服務器的所有系統、目錄及數據庫做一次全備(熱備)。日備份每天對各服務器的重要目錄及數據庫做一次備份。日志(增量)備份針對數據更新較頻繁的服務器,每天進行多次增量備份。
5.4除日志(增量)備份外,其它各種備份以每一次獨立執行的備份作為一個獨立版本。每個獨立版本的備份必須存儲在獨立的備份介質上,不能混合存儲在同一套備份介質。整體災備(冷備)和月備份一般要求保留至少能覆蓋當年及上一年全年時間的所有版本,周備份要求保留至少最近5個版本,日備份要求保留至少最近4個版本,日志(增量)備份保留至少自上一次周備份以來的所有版本。
5.5備份介質應放在機房以外安全的地方保管。所有備份介質必須有明確、詳盡的標簽文字說明。
5.6整體安全備份系統專職管理員必須定時檢查備份作業的運行情況,備份異常情況應盡快查明原因,解決問題并在值班登記本上詳細記錄。
四、安全制度建設
建設嚴格、完整的基本管理制度包括安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理機制幾個方面。
安全管理制度:包括安全策略、安全制度、操作規程等的管理制度;管理制度的制定和;管理制度的評審和修訂。
安全管理機構:包括職能部門崗位設置;系統管理員、網絡管理員、安全管理員的人員配備;授權和審批;管理人員、內部機構和職能部門間的溝通和合作;定期的安全審核和安全檢查。
人員安全管理:包括人員錄用;人員離崗;人員考核;安全意識教育和培訓;外部人員訪問管理。
系統建設管理:包括系統定級;安全方案設計;產品采購和使用;自行軟件開發;外包軟件開發;工程實施;測試驗收;系統交付;系統備案;等級測評;安全服務商選擇。
系統運維管理:包括機房環境管理;信息資產管理;介質管理;設備管理;監控管理和安全管理中心;網絡安全管理;系統安全管理;惡意代碼防范管理;密碼管理;變更管理;備份與恢復管理;安全事件處置;應急預案管理。
五、結束語
信息化建設已經涉及到國民經濟和社會生活的各個領域,信息管理系統也成為各行各業信息化建設發展中的重要工具。如何保障信息管理系統安全從而保證信息安全是關系到國家安全、社會安全和行業安全的大問題。我們只有在實現信息安全的條件下,才能有效利用信息管理系統這個有力的工具提高生產力,推動社會的發展。本文通過對信息系統安全建設原則、安全建設內容和安全制度建設三方面較為詳細的探討,應該對于各企事業單位信息管理系統的安全建設有所幫助和借鑒。
參考文獻
[1] 林國恩,李建彬,信息系統安全,電子工業出版社,2010-03
[2] Dieter Gollmann, Computer Security 2 edition, Wiley, 2006
[3]《信息系統安全等級保護基本要求》,中華人民共和國國家標準,GB/T 22239-2008
[4] 尚邦治等,做好信息安全等級保護工作,中國衛生信息管理雜志,2012.5
第9篇:安全審計制度范文
關鍵詞:企業安全審計系統;模塊設計;測試模型
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2016)22-0049-02
1 概述
隨著國家改革開放的不斷深入,互聯網的應用深入到了企業工作中的各個方面,企業發展面臨著前所未有的挑戰。企業員工通過互聯網辦公的行為越來越多,互聯網在方便企業員工的同時,也帶來了員工工作效率低下、容易泄露企業秘密,造成企業的網絡安全沒有保障,企業的信息資源網絡泄密等風險。企業安全掃描過程漫長、排查隱患不合理、問題定位不精確、掃描缺乏深度、安全結論模糊等一系列業技術難題。這在很大程度上影響了公司的進一步發展。本系統正是在這種背景之下提出的。集中表現在以下幾個方面:
1)提高了企業的經營質量和效率。
2)提高企業員工辦公的工作效率,加強企業互聯網使用制度管理。
3)降低企業的人員管理成本,減少人為因素和管理缺失造成的關鍵業務停頓造成的損失。
4)降低企業泄密事件風險,為企業的互聯網環境提供安全保障。
5)管理部門應加強對員工互聯網通信數據和通話內容的監管、審計。
2 企業安全審計系統的需求分析與設計
通過調查,要求系統需要有以下功能;1)有良好的人機界面,有較好權限管理;2)系統操作簡單,容易學習,容易理解,快速上手使用系統;3)系統數據安全加密、系統具有數據備份和數據還原功能;4) 方便的全方位的數據查詢;5)審計數據的瀏覽和下載;6)企業工作電話的通話內容錄制;7)非工作互聯網網絡站點的訪問;8)企業員工網絡數據瀏覽的統計和分析。
通過對企業需求的分析得出,需要設計的模塊為:系統狀態監控、設置向導、員工網絡行為監控、員工通話記錄、員工上網行為過濾、員工網絡數據統計分析、系統管理七大模塊。
3 企業安全審計系統的模塊規劃與詳細設計
安全審計系統是一個典型的數據庫開發與應用的程序,能夠通過互聯網上網的技術手段對員工互聯網行為進行監督、審計和管理,避免企業重要信息資源泄露,以及發生泄密事件后能夠溯源找到相關證據和原因提供技術層面的支持。其相關的模塊等部分是本系統的重要組成部分,特此規劃本系統的功能模塊如下:
系統狀態監控模塊
該模塊主要負責系統的接入方式、數據來源的管理狀況;員工網絡行為監控的狀態和現在的工作模式;員工通話記錄的監控的啟用和停止狀態;員工上網行為過濾的啟用和停止狀態。
設置向導模塊
該模塊主要負責系統監管內容設置、系統互聯網接入方式設置、系統用戶使用權限設置、員工互聯網數據監控設置、員工通話記錄設置、員工上網行為過濾設置。
員工網絡行為監控
該模塊主要負責對員工網絡行為監控的基本設置;啟用和停止監控;網絡行為的回放、審計和下載――支持對上網時間、IP、URL、MAC、關鍵字、上網賬號、上網電話、郵件類型進行回放、審計和下載。支持對http上傳、http下載、https、smtp、pop3、telnet、ftp、qq、msn、skype、微信、飛信、qq傳輸文件、web郵件傳輸、web網站訪問、sohu微博、sina微博、其他未知協議跟蹤等具體的按協議分類的回放、審計和下載;員工上網身份查詢;員工網絡行為實時回放、審計和下載。
員工通話記錄模塊
該模塊主要負責員工辦公室固定電話通話內容回放;通話內容記錄啟用和停止設置。
員工上網行為過濾模塊
該模塊主要負責員工上網行為過濾規則的設置――支持對ip、mac、端口、url、http、組合策略(ip+端口、mac+端口)等規則進行過濾和放行;過濾行為啟用和停止設置。
員工網絡數據統計和分析模塊
該模塊主要負責員工網絡數據時間統計和分析――支持對ip、mac、賬號的統計和分析;員工網絡數據軌跡統計和分析――支持對ip、mac、賬號的統計和分析;
系統管理模塊
該模塊主要負責權限管理、數據備份、數據還原、版本升級、設備狀態、關閉設備、工具下載、操作日志審查。
其他功能模塊
該模塊主要負責系統版本信息、重新登錄、退出系統。
4 軟件開發過程
本系統的開發結合軟件信息系統的開發階段分為下面4個子階段:需求分析階段、架構設計階段、程序編碼階段、系統測試和調試階段。
1)分析階段
進行需求分析(requirement analysis):理解問題需求,包括程序是否需要和用戶進行交互,是否操縱數據,是否有輸出結果以及輸出結果的格式等等。如果程序需要對數據進行操作,開發人員必須了解數據類型及它們的表示方法。這時候可能會接觸一些樣本數據。如果程序有輸出信息,必須確定它們所生成的結果及輸出格式等;如果需要解決的問題過于復雜,可以把它分解為多個子問題,在對每個子問題做相應的需求分析。
2)設計階段
結構化設計方法
將一個問題分解為若干個子問題的方法叫做結構化設計方法。結構化設計方法又叫做自頂向下的設計方法、逐步求精方法和模塊化程序設計方法。在結構化設計方法中,問題被分解為若干子問題,然后分別對每個子問題進行分析和求解。所有子問題的解合并起來就是原始問題的解。使用結構化設計方法進行編程就叫做結構化程序設計。
面向對象設計方法
在面向對象設計方法中,求解問題的首要步驟是識別稱為“對象”的組件(它是運用該方法求解問題的基礎)和確定對象之間如何進行交互。對象包括數據和在數據上執行的操作。對象可以看作數據和其上操作的統一體。使用面向對象方法編程,最終的程序是交互對象的集合。實現面向對象設計方法的編程語言叫做面向對象程序設計語言。
3)編程階段
在編程階段,編寫和編譯程序代碼,以實現在設計階段分析得到的類和函數。
4)測試和調試
系統測試是保證軟件開發質量的主要手段,測試目的不在于找出錯誤,而在于遍歷軟件系統各功能和邊界條件,保障軟件系統的正常工作和運行,是評價系統軟件質量的重要方法之一。
5 軟件開發模型(方法)
本系統開發采用增量的軟件開發模型來實現系統各功能模塊。
1)瀑布模型
該模型嚴格按照需求分析、軟件設計、程序編碼、系統測試、運行和維護一級一級的向下執行,每個階段必須經過階段性評審,并通過評審,再進入下一個開發階段。
2)原型方法模型
在開發的早期階段,系統需求不確定時采用。通過一個簡單的功能實現系統再進一步確認系統將要實現的各功能的一種開發模型。
3)增量模型(漸增模型)
結合了原型方法模型和瀑布模型的基本軟件開發階段,該模型首先通過早期的原型系統建立的模型,再進一步按照瀑布模型的各階段完成系統開發。再次迭代原型系統模型和階段開發模型直至系統所有功能滿足用戶需求。
6 軟件測試與維護
1)軟件測試:
測試這個術語表示檢測程序的正確性,即檢查程序是不是完成了需要完成的工作。而調試一詞指,如果程序存在錯誤,如何找到并修改錯誤。在每寫完一個函數或算法后,接下來應該驗證它是否正確工作。在復雜的大型程序中,錯誤是一定存在的。為了提高程序的可靠性,必須在交付用戶前發現并修改其中的錯誤。
測試有兩類方法,即:黑盒測試和白盒測試。使用黑盒測試方法時,您不需要知道算法或函數的內部實現,只需要知道程序的功能即可黑盒測試是基于輸入輸出的方法。它的測試用例通過創建等價類來選取。如果程序對于等價類中的某個輸入的輸出結果是正確的話,那么就認為對應該等價類中其他輸入也會輸出同樣的正確結果。白盒測試法需要測試人員遍歷測試程序的內部邏輯結構和業務處理流程的一種測試方法。常見的白盒測試方法有:基本路徑測試、循環覆蓋測試、邏輯覆蓋測試,測試的重點在于檢驗內部邏輯結構和業務實現流程。
2)軟件維護:軟件開發的工作的結果就是交付一個滿足用戶需求的軟件產品。軟件產品一旦投入應用,產品的缺陷就會逐漸的暴露出來,運行的環境會逐漸發生變化,新的用戶也會不斷地浮出水面。軟件維護就是要針對這些問題而對軟件產品進行相應的修改或演化,從而真正的修改錯誤,改善性能或其他特征。
軟件維護是整個軟件開發生命周期歷時最長得工作,主要是為了保障軟件系統的正常工作和運行直至軟件使用消亡或更新換代。軟件的維護主要可分為三種:改正性維護(糾正軟件存在的錯誤和缺陷)、適應性維護(適應內、外部環境)、完善性維護(添加、擴容和升級新的軟件功能)。
參考文獻:
[1] 沈備軍.軟件工程原理[M]. 北京:高等教育出版社,2013.
[2] 張海藩,倪寧.軟件工程[M].北京:人民郵電出版社,2010.
[3] 陳明.軟件工程導論[M].3版.北京:機械工業出版社,2010.
[4] 錢曉明,朱健江,王曉勇.軟件工程[M].北京:中國鐵道出版社,2007.
[5] 呂云翔,王昕鵬.軟件工程[M]. 北京:人民郵電出版社,2009.
[6] Carig Larman.UML和模式應用[M]. 3版. 北京:機械工業出版社,2006.
[7] Grady Booch.Object-Oriented Analysis and Design with Applications[M]. Addison Wesley Longman Publishing Co., Inc, 2003.
