信息安全審計精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全審計主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全審計范文

最后，外發信息的管理是管理里面比較核心的一個方面。尤其是高校學生利用郵件、QQ、BBS、微博等通訊軟件宣揚傳播一些不正確頹廢庸俗的內容；通過網絡實行詐騙他人財物的事情也是有發生，是校園網絡建設必須解決的問題。上網行為審計設置的URL庫，可以將這些不健康甚至是違法犯罪的惡意信息或者網站進行攔截和阻止。

用戶上網行為的日志、報表分析功能為安全上網保駕護航

高校內計算機的使用數量較多，產生的互聯網訪問日志也比較多，為為了加強對這個校園網絡資源應用的了解，這就需要取得比較完整的訪問記錄，以方更加全面更加透徹的分析，這就需要日志報表來執行，它可以用文字圖形等方式反應出網絡寬帶應用的詳細數據，為網絡管理提供了可靠地依據。上網行為審計能夠提供強大的日志存儲作用，可以對校園網絡行為進行監控?？梢钥吹剿行@網絡上的上網記錄。上網行為審計具有生成日志，記錄下來以便查詢之用。用戶上網行為日志還具有移植行，可以將數據移植到任意的存儲設備上，日后可以通過Web訪問查詢、導出、打印，大大減輕了上網行為管理的工作量。

對特殊電腦的使用權限的設置和實名制

“上網行為審計管理”的日志作用可以檢測到所有校園網絡內傳輸的消息，包括聊天郵件等，這牽扯到了校內網使用者的隱私，不許加以保密不能第二次泄露，所以權限設置是很有必要的，這就需要校園網網絡管理員要有較高的職業素質，同時也需要使用一些權限保密設置功能，來保證“上網行為審計管理”的順利進行。校園內各個崗位的電腦必須設置登入密碼，實名登入，如檔案室、圖書室、教師電腦、學校網站等電腦的登入，這可以有效的防范資料的篡改和丟失，使學校工作能夠正常有序安全的進行。同時也能責任到人，誰的區域誰負責的原則，當出現問題時也能及時準確的查找到人。

在全校范圍內普及網絡安全知識，工作人員做好安全檢查工作

現在大多是教師學生都會使用電腦，但對電腦安全知識使用上的知識還不是很了解，這就需要在全校范圍內大力宣傳網絡及信息安全的知識，提高計算機使用水平，安全上網。建立健全校園網網絡病毒的檢測工作。學校的計算機應當全部安裝殺毒軟件、防火墻等軟件，工作人員要定期對這些軟件進行升級管理同時校網絡工作人員也要落實工作職責，加強日常監督檢查，及時發現問題解決問題。

除此之外，校園網網絡的硬件也要到位，只是網絡安全實施的前提條件和有力保證，殺毒軟件、客戶端、防火墻及其網站的管理都要及時更新和檢查。校園網網絡建設可以和學校計費系聯系起來，采用實名制的登錄方式，在使用者達到規定的時間后會主動斷線，這樣可以保證校學生有規律的學習娛樂；同時也可以設計上網審計報警功能，當打開一些不正當的網頁或者發放一些非健康的郵件登時，可以主動攔截關閉報警。

第2篇：信息安全審計范文

[關鍵詞]智能油田；信息安全；綜合審計；關聯分析

doi：10.3969/j.issn.1673-0194.2020.22.028

[中圖分類號]TP393.08；F239.4[文獻標識碼]A[文章編號]1673-0194（2020）22-00-02

1智能油田信息安全風險

在數字化轉型發展背景下，智能油田建設與應用進程逐漸加快，網絡與信息系統的基礎性、全局性作用不斷增強，而保證核心數據資產的安全對油田業務的高質量發展至關重要。當前國內外網絡安全形勢嚴峻，境內外惡意分子以及被政治、經濟利益裹挾的黑客組織，對能源行業加劇進行網絡滲透，攻擊關鍵信息基礎設施、竊取商業機密等敏感信息，對油田信息安全構成了極大的外部威脅。此外，內部員工違規訪問不良網站內容，使智能系統面臨著嚴重法律風險，加上員工有意識或無意識的網絡泄密事件與系統運維人員違規操作事件頻發，嚴重威脅了智能油田發展。目前，我國油田信息安全建設思路已經從防外為主，逐步轉為以內外兼顧的策略，信息安全審計成為縱深安全防御延伸和安全體系建設的重要環節。為遵循國家網絡強國戰略、達到網絡安全合規要求，有效避免黑客攻擊、網絡泄密、違規上網、數據竊取等安全風險，我國急需建立智能油田信息安全綜合審計平臺，實現信息內容實時檢查、網絡行為全面監測、安全事件追溯取證，為油田高質量發展保駕護航。

2信息安全綜合審計關鍵技術

信息安全綜合審計是企業內控管理、安全風險治理不可或缺的保障措施，主要指對網絡運行過程中與安全有關的活動、數據、日志以及人員行為等關鍵要素進行識別、記錄及分析，發現并評估安全風險。針對智能油田業務需求場景，重點解決3項技術難題：一是如何基于縱深防御理論通過大數據、云計算等技術，對油田不同防御層級的日志、流量等信息進行關聯分析建模，有效預防黑客隱蔽型攻擊；二是如何通過建立面向油田具體業務場景的敏感信息指紋庫、安全策略庫、行為特征庫，構建覆蓋敏感文件信息處理、存儲、外發等關鍵環節的縱深防護與事件溯源取證機制；三是如何通過深度網絡業務流量識別與數據建模分析技術，建立面向油田具體業務場景的員工上網行為監管審計機制，實現對員工違規網絡行為的全面管控。

2.1多源異構網絡日志信息統一標準化方法與關聯分析模型

設計多源異構網絡日志信息格式標準化方法，利用基于大數據處理的日志過濾與關聯分析建模技術，整合網絡泄密、違規上網、黑客攻擊等網絡風險事件日志信息，建立油田信息安全風險關聯分析模型。

2.2信息安全審計敏感信息指紋庫、行為特征庫、審計策略庫

結合油田具體業務需求場景，運用數據分類分級與指紋識別技術、深度業務流量識別與建模方法，建立滿足國家合規要求及油田特有應用場景需求的敏感信息指紋庫、網絡行為特征庫及安全審計策略庫。

2.3數據防泄露與敏感信息內容檢查機制

基于操作系統底層驅動過濾的數據通道防護技術、基于智能語義分析的敏感信息內容審計技術，實現對員工通過云盤、郵件、即時通信、移動介質等方式外發涉密信息的實時檢測與控制，徹底解決員工有意識或無意識地違規存儲、處理、外發涉密信息問題。

3智能油田信息安全綜合審計平臺建設及應用

信息安全綜合審計平臺是一個綜合利用云計算、大數據、人工智能、數據指紋、異構數據采集等技術，實現網絡行為監控、信息內容審計、數據庫操作審計、網絡異常流量監測預警的審計溯源系統，在滿足網絡合規性要求的同時，為信息安全管理與系統運維人員提供了網絡安全監測、事件追溯取證的基本手段，提升了油田對敏感數據的監測預警和傳輸阻斷能力，防止了敏感信息泄露，增強了對外部黑客隱蔽性網絡攻擊行為與內部運維人員違規業務操作的防御能力。其中，圖1是智能油田信息安全綜合審計平臺總體架構。

基于信息安全綜合審計關鍵技術研究與集成創新，相關單位研發建立了智能油田信息安全綜合審計平臺，以縱深防御理論為指導，通過網絡層面的行為和流量審計、信息系統層面日志和數據庫審計、終端層面的信息內容審計等，實現對網絡風險事件的事前防范、事中告警、事后追溯，形成上網行為全面管控、網絡保密實時防護、網絡攻擊深度發現的主動治理新模式。貫穿數據信息的產生、存儲、傳輸、應用全生命周期的關鍵過程，自主建立油田敏感信息指紋庫，構建基于涉密違規存儲遠程檢查、終端違規外發自動阻斷、網絡敏感信息識別告警功能的數據安全縱深防護與事件追溯取證機制，為網絡保密主動治理提供技術手段。通過設計跨平臺、多協議網絡信息采集接口機制與多源異構日志標準化數據模型，結合云計算與大數據處理技術，建立適應油田海量非結構化日志信息的存儲云中心，且基于深度學習算法建立關聯模型，通過日志信息縱向聚合與橫向關聯實現網絡行為與信息內容全面審計。

為保障智能油田核心數據安全與網絡系統運行安全，將平臺成功應用于油田網絡安全保障與網絡攻防實戰演練、網絡保密治理與數據安全保護、員工上網行為管理與審計、IT基礎設施運維操作審計等，有效提升智能油田精細化管理水平。通過平臺網絡安全審計功能，將網絡層面防火墻、入侵檢測、高級威脅檢測、蜜罐入侵誘捕、Web應用防火墻、流量溯源分析、漏洞掃描等網絡安全監測防護設備提供的黑客網絡攻擊行為日志信息，應用系統層面服務器操作系統、中間件、數據庫等產生的系統日志信息以及終端計算機層面產生的病毒防護、主機漏洞、基線配置等日志信息進行集中統一標準化處理，通過提取關鍵要素信息進行關聯建模分析，實現對黑客隱蔽性網絡攻擊行為的深度發現與事件追蹤溯源，為油田網絡安全日常防御保障提供監測分析技術手段，為油田網絡攻防對抗實戰演習統一決策指揮提供平臺支撐。通過信息安全綜合審計平臺的信息內容審計功能，實現對內部員工通過電子郵件、即時通信、網絡云盤、網站上傳等方式外發敏感數據信息的實時監測，結合平臺數據防泄露功能，實現對員工辦公終端計算機違規存儲、處理、外發敏感數據信息文件行為的實時告警提示與阻斷控制，同時針對油田不同業務場景，制定開發科研、生產、經營、管理等不同業務敏感數據信息審計策略，實現對內部員工有意識或無意識網絡泄密行為的事前告警提示、事中監測阻斷、事后追溯取證，為網絡保密治理提供有效的技術手段，保障智能油田核心數據安全。通過信息安全綜合審計平臺的上網行為審計功能，實現對油田內部員工上網行為的有效管理，對員工通過油田網絡進行網站訪問、網絡應用等行為進行實時監測審計，防止員工因訪問不良網站給企業帶來的法律風險，同時避免因訪問惡意網站給企業帶來木馬病毒等網絡安全風險，滿足網絡安全管理合規要求。利用信息安全綜合審計平臺提供的運維操作行為審計功能，對運維管理人員的操作日志進行集中監測分析，整合利用日志數據價值，實現對網絡設備、安全設備、服務器、數據庫等信息基礎設施運維操作活動的實時監控、記錄及告警，有效規避運維操作過程中產生的網絡安全風險。

第3篇：信息安全審計范文

摘要：金融審計是國家審計機關對金融機構財務收支活動進行監督的行為。現代商業銀行的生存和發展在很大程度上依賴于金融創新，而信息系統的普及程度及其使用范圍則直接制約著金融創新的手段。農村信用社信息系統從無到有、從弱到強，在一定程度上促進了農村金融體制改革的順利進行，但同時也帶來了更多的風險，并對農村信用社的內部審計工作提出了更高的要求。

關鍵詞：農村信用社 信息系統建設 風險防范 內部審計

審計作為監督的有效手段，是農村信用社風險防范的一個重要工具，是風險管理的一道防線。如何構筑這道防線，是我們必須認真考慮的問題，審計風險越來越引起廣泛關注。

一、農村信用社金融審計現狀

農村信用社審計現在還不完善，仍存在著審計手段落后、審計力量不足等矛盾，面臨著許多風險。農村信用社審計風險產生的原因是多方面的，既有人員素質因素、管理因素、審計質量因素，也有審計技術和方法的因素。

(一)審計人員素質還不完全適應審計發展的要求

目前，一部分從事審計的人員雖然不具備金融專業知識、任職資格、技術職稱，但具有長期從事農村信用社審計工作的經驗，在審計過程中能夠發現一些問題，解決一些問題，但對產生問題原因的分析，對形成風險和造成危害的剖析，對金融和宏觀經濟運行影響的判斷能力不足。另一部分則是具有較高的金融知識水平，又有多年審計工作經歷和專業技術水平，還有豐富的審計經驗并具有較強查證問題、分析問題、解決問題和綜合判斷的能力，是金融審計隊伍中的主導力量，但是所占比例很小。

(二)審計管理不科學，缺乏質量控制標準

就信用社而言，省聯社、地區聯社(辦事處)成立稽查部門，基層信用社配備兼職審計員，審計人員并未能嚴格遵守審計質量控制規范，其審計行為隨意性很大。加之審計任務接二連三，時間緊、任務重，審計重點不突出，造成審計走過場，審計面沒達到，特別是專項審計項目在規定時間內要完成，導致有的細節無法審計到；在質量控制標準上，審計對象的經濟技術指標的評價標準沒有制定出科學的方法和內容，審計質量控制體系中缺乏責任的確認和責任追究的具體內容和標準，沒有非常完善的質量檢查制度，有些審計項目質量問題可能只有到出現問題時才能發現。質量責任追究僅限于查案件、追責任，失去了質量控制的作用。

(三)技術方法不先進

面對被審計單位龐大的金融數據，傳統的審計方法已經不能適應信息化的發展需求，雖然開展了計算機審計，但審計軟件技術開發還未起步，后臺數據的下載速度慢，有的數據不能隨時下載，影響了審計的效率，增加了現場審計時間，同時加大了審計成本。

(四)信息系統功能單一，信息資源獨立，無法及時滿足系統用戶的服務需求

雖然農村信用社已經建立了比較先進的信息系統，但由于各子系統功能的相對獨立性，使得信息資源目前尚無法或無法全部實現共享。

二、農村信用社信息系統風險防范的內審對策

針對農村信用社信息系統風險防范問題， 內部審計部門應當采取下列方面的基本對策：

(一)提高內部審計人員對信息系統風險防范工作的認識

郭道揚教授在他的書中指出：一定歷史階段的會計環境制約著這一歷史階段人們的會計思想認識水平，而這一歷史階段人們的思想認識水平又制約著這一歷史階段的會計組織、制度、理論、方法的發展，以及會計工作水平。作為內部審計工作者，將這一段話中的“會計”轉換為“內部審計”同樣適用。審計人員只有提高了對信息系統風險防范的思想意識，才會主動地去接受和吸收新的理論知識，也才能在實踐中不斷地總結經驗，在提高自身審計技能水平的同時，提高農村信用社信息系統審計的整體水平。

(二)加強對內部審計人員信息系統風險防范技能的培訓

一項工作的成敗，除了受到外部環境的影響外，更多地取決于內部資源的整合程度，而其中人力資源狀況則起著決定性作用。隨著農村信用社信息系統建設的發展，必將對審計人員在風險防范方面提出更高的要求。除了要求具備常規的審計基礎知識以外，還須掌握信息技術以及計算機管理方面的專業知識和專業技能。這些知識和能力的擁有，除了需要長期的工作實踐以外，更重要的還在于通過不斷地學習來獲得。一是通過聘請外部專業技術人員組織培訓的方式提高審計人員的綜合素質。二是注重內部審計人員的傳幫帶作用，通過具體的審計案例組織審計人員進行分析、討論和講解，激發審計人員的工作熱情。

(三)建立內部審計信息管理系統，實現信息資源的實時共享

審計人員在審計過程中，往往需要通過獲取大量的數據信息，加上其職業判斷能力，作出相應的審計結論。而目前數據信息的取得，在一定程度需要依賴于其他管理部門，由于工作性質的不同，其他管理部門往往無法提供出審計部門所確切需要的數據。通過建立審計信息管理系統，其重要作用主要體現在下列幾個方面：一是審計部門通過網絡或數據接口，使用中間軟件，可以從其他信息管理系統自主獲取相關信息，并通過獨立分析，及時提出相應的審計意見。二是促進和加強審計部門內部的協調和管理，實現從方案設計到處理決定各環節之間的相互監督，不僅有利于提高工作效率，而且也為審計質量考核提供了極大的方便。三是通過相應的權限設置，可以實現審計工作所需要的各類法律法規、規章制度、審計方法、審計操作規程、審計報告、工作底稿、審計最新研究成果等資源的共享，不僅有利于提高審計工作質量，而且也為審計人員提供了比較切合實際的網絡培訓平臺。

(四)強化計算機技術在金融審計領域的應用

一是構建全省的金融審計信息化平臺，整合全省金融信息資源，確保全省各級審計機關在“一體化”信息平臺上開展金融審計；二是對被審計單位的業務數據和財務數據進行集中采集、集中分析，構建農信社審計業務數據庫，為下一步實現聯網審計打下基礎；三是繼續突出抓好應用，金融處將聯合計算機技術中心共同開展金融數字化審計項目，力求憑借計算機技術實現金融審計的新突破。

三、結束語

目前，農村信用社新的經營機制正在逐步建立，業務發展和金融創新過程不斷加快。因此，內部審計工作也應及時更新審計理念，轉變方式，提高審計監督效能，使審計工作更加適應信用社改革發展和管理的需要，以促進農村信用社合法守規經營為目標，充分發揮審計部門的再監督作用。加大違規處罰力度，嚴厲查處信用社在經營過程中存在的風險隱患，從而遏制違規違紀現象的發生。促使農村信用社各項業務活動合規經營、健康發展，為農村信用社的改革與發展保駕護航。同時，面對上述農村信用社面臨的風險，應當如何去應對，是我們每個信合人都必須要認真思考和對待的重要課題。

參考文獻：

[1]陳國銳．農村信用社的審計風險與防范Ⅲ．省聯社發展研究處,2010，(7)．

第4篇：信息安全審計范文

[關鍵詞]信息 安全 保障 事件

[中圖分類號]F224-39 [文獻標識碼]A [文章編號]1672-5158（2013）06-0238-02

華為中興遭遇美國安全調查的事件風波過去已經有幾個月的時間了，但其影響卻在持續發酵和擴散，對此我們必須高度警惕。近期發生的一系列事件也更加反映出這樣的趨勢：網絡信息安全問題正日益成為影響我國經濟社會發展乃至外交關系的重大問題，必須積極應對。加強對華為中興調查事件的深入研究，具有較強的現實意義。

一、調查事件回顧

美國此次發動對華為中興的調查，是華為中興探索謀求在發達國家市場實現突破并再次受挫的又一次典型事例。

（一）調查起因

美國將電信網絡作為國家關鍵基礎設施予以重點保護，加強電信網絡供應鏈安全，是其推進工作的重要抓手。美中事務監察委員會在其報告中曾指出，中國電信企業華為和中興正迅速主導全球電信市場，這些企業所控制的敏感設備和基礎設施可用于間諜活動，對美國家安全可能存在威脅。基于此認識，2011年2月，美外商投資委員會否決了華為收購3leaf公司案。華為發表公開信，希望美國公開調，澄清華為可能威脅美國家安全的不實言論。

（二）調查過程

美國眾議院情報委員會針對華為中興兩家公司的調查，前后歷時2年多，主要經歷了預調查、尋找佐證、聽證質詢、初步調查結果等價主要階段。

——2011年3月，啟動預調查。2011年3月，美美眾議院情報委員會以華為公開信為借口，開始了對華為的“可能危害美國家安全”的預查。2011年底，調查對象進一步擴大到中興通訊。

——2011年初至2012年5月，美方多方調查接觸，尋找佐證。主要包括與兩家公司高管直接接觸和討論、采訪相關行業專家、采訪兩家公司的雇員等。2012年2月、4月和5月，眾議院情報委員會官員還分別考察了華為和中興公司總部。

——2012年9月，公開聽證。美方在經過多方調查后認為，華為和中興兩家公司并未完全響應委員會的要求，均未提供足夠的證明材料。為此9月13日，舉行公開聽證會，對調查進行補充質詢。

——2012年10月，美初步調查報告，斷言安全威脅。10月8日，美國眾議院情報委員會了關于中興華為調查情況的初步報告——《由中國電信企業華為和中興引發的對美安全威脅》，指稱華為中興為中國情報部門提供了干預美國通信網絡的機會，構成對美國國家安全的威脅。

（三）調查結論

經過漫長調查，美國初步調查報告指稱，華為中興對調查均未充分配合，且均未提供相關文件和證據。眾議院對兩家公司能否遵守國際規則的擔心進一步增加。

主要調查結論包括5個方面：一是兩家企業與政府及軍方的關系不明。二是兩家企業的經營或受政府及黨委影響；三是兩家企業可能獲得來自政府的支持。四是兩家企業對其在美業務信息不透明，并對在美機構的經營活動實施嚴格控制。五是兩企業對知識產權保護不力，且有違反移民法、賄賂和腐敗、歧視以及侵犯版權等違法行為。

基于以上結論，調查委員會擔心如將其產品部署在國家關鍵基礎設施上，會給美國帶來潛在安全風險，并相應提出了5條針對性建議。一是美國相關政府部門應當對中國電信企業在美的持續滲透保持懷疑，尤其在其系統內不得使用華為中興設備。二是呼吁美國網絡和系統開發者們尋找其他的供應商。三是美國國會司法委員會對中國通信行業開展不公平貿易調查。四是國會司法委員會出臺相應的法律加強管理。五是中國企業需要更加開放、透明和守法。

二、事件背景分析

調查事件反映出較為復雜的背景，綜合來看包括以下三個方面。

（一）華為中興積極參與全球化發展

華為、中興憑借自身的比較優勢，響應國家改革開放政策的號召，較早實施了企業全球化發展戰略并取得顯著的成績。企業全球影響力逐步提高，海外市場規模不斷擴大，國際資源配置能力顯著增強，創新潛力不斷積聚。以華為為例，經過10年的海外拓展，2011年實現海外收入1383.64億元，占總收入67.8%；其在海外已設立了22個地區部，100多個分支機構，其產品與解決方案已在全球150多個國家和地區得到推廣；2008年，華為公司以1737件PCT國際專利申請首次躍居世界企業首位，并連續多年居排行前4位。

（二）此前華為在美投資屢受挫折

此次調查并非華為海外投資的首次受挫，其此前在美拓展市場的活動也非一帆風順，處處可見政府干預的影子。如2007年9月，華為聯手貝恩資本競購網絡公司3Com，雖然3Com同意了這筆價值22億美元的交易，但隨后貝恩資本退出，導致交易夭折。貝恩資本退出的主要原因在于，美國情報部門向美國外國投資委員會提交了一份威脅評估報告，稱貝恩資本和華為聯合收購3Com交易將對美國國家安全造成了威脅，因為3Com向美國國防部出售反黑客軟件并提供其他網絡安全服務。在此情況下，華為中興等中國企業也已有做出調整，將謀求美國市場作為一項長期戰略，并制定了分階段實施的規劃。

（三）美國限制外資的因素客觀存在

在我國企業華為中興大舉推進全球化的同時，美國存在著多種阻礙國外企業擴張的深層因素。一是政府謀求干預經濟。金融危機的嚴重后果，使美國深刻意識到新自由主義經濟政策的短板，謀求加強對經濟發展的干預，這也成為奧巴馬在第44任總統選舉中脫穎而出的重要因素。二是美國內加強實體經濟的呼聲高漲。美國“產業空心化”導致了承擔經濟“造血”功能的制造業不斷萎縮，最終引發了肆虐全球的金融危機。美國意識到不能任由虛擬經濟發展，而重振制造業的全球競爭力反思得出的重要結論。三是傳統冷戰思維在經濟領域蔓延。中國的迅速崛起，被美國視為最大威脅，千方百計地加以遏制，并采取“虛實結合，兩手并用”的策略：虛的一手，就是夸大中國的軍事力量，散布“中國”；實的一手，就是加強經濟遏制，在經貿問題上對中國實施“利益圍堵”。這種遏制，已經很現實的體現在美國對華貿易中，諸如紡織品、人民幣匯率等問題。不難預料，利用經貿問題遏制中國將是美國對華遏制政策的重點。

三、影響與警示思考

美國此次調查活動的影響是多層面的：微觀層面，會直接影響華為中興爭取美國市場的努力；中觀層面，對于我國企業推進全球化戰略帶來影響；宏觀層面，對我國加強和鞏固對外關系、經濟社會安全運行帶來影響。對此，我們須采取不同的應對措施。

（一）對華為中興的影響及應對建議

美國國會的調查結果和建議將對華為中興兩家企業產生最直接的影響。首先，就美國市場來看，華為中興或將面臨來自政府部門更加嚴密的監管，以及眾多合作廠商、系統用戶退單的風險。對此，因調查報告只是初步結論，華為中興應據理力爭，堅決駁斥美方缺乏證據的指責；同時繼續加強與美相關方面的溝通，謀求獲得盡量多的支持。其次，華為中興或將面臨其他國家的審查。此次美方的調查無疑對其他國家產生一定的示范效應，他們或將對華為中興開展類似調查。對此，華為中興應加強對此次調查相關情況的總結，不斷完善管理，做好應對其他國家相關調查的準備。第三，從好的方面來看，國外開展此類調查，其對象或將不限于華為中興兩家中國企業，對諸如思科、谷歌等企業進行安全調查的呼聲近來也日益高漲，這對華為中興而言，或是超越競爭對手的機遇。對此，華為中興應充分發揮在成本、配套能力等方面的比較優勢，提升在當前競爭格局中的地位。

（二）對中國企業的影響和應對建議

美國以國家安全為由進行調查和限制，正成為中國企業面臨的共同問題。一是，美國開展類似調查的對象范圍在向傳統企業擴展，已經不再局限于信息技術企業，如2012年7月美國對中國三一集團關聯公司收購禁令就是典型例證。對此，我國企業界應發揮相關協會、聯盟的作用，聯合應對。二是，國家安全將會被更多的作為限制競爭的手段。以安全為由對相關貿易和投資行為進行限制，可以繞開國際規則，將國際貿易問題轉化為國內法律范疇，為某些國家推行貿易歧視大開方便之門。對此，企業應加強對美國相關法律規范的研究，做到知已知彼，有序應對。三是，盡管開展調查的國家不同，但應對方案或具有一定共性。以歐盟為例，在美國此次調查期間，歐盟暫停了原本擬啟動的對華為反補貼調查。究其用意，不排除在行動上欲保持與美一致。因此，我國企業間建立和完善溝通機制，尋求共性解決方案是必要的。

（三）對中國的影響和應對建議

第5篇：信息安全審計范文

關鍵詞：信號系統 安全門 接口功能 接口時序

1. 概述現代城市軌道交通信號系統是整個城市軌道交通自動控制系統中的重要部分，其功能在于保證列車和乘客安全，實現快速、高密度、有序運行功能的同時，為乘客提供一個舒適安全的乘車環境。 同時為了降低空調能耗，降低運營成本，在現代城市軌道交通建設中普遍考慮采用安全 門(PSD)系統。安全門是安裝于站臺邊緣、在軌道與站臺公共區域之間提供安全可靠隔離 、由一系列 自動控制的滑動門組成的屏障。信號系統通過發出“開門”和“關門” 信號命令控制列車車門和安全門，實現安全門和列車車門同步動作。

2. 信號系統與安全門系統接口的一般要求( 1 )在確定列車停在規定的停車窗內或者司機按壓強行開門按鈕后，車載ATP設備方允許ATO開車門和安全門，打開、關閉命令經由車地通信傳送到室內信號設備； ( 2 )只有不問斷地接收到安全門關閉信息的情況下，列車才能進入站臺區域或從站臺區域發車； ( 3 )車門和站臺安全門均已關閉且鎖閉后，在ATP給出允許啟動列車信號后，車載ATO自動或人工啟動列車； ( 4 )安全門在 “ 故障開門”狀態，列車應可以采用一種特定的方式進／出站，并可以通過特定命令解除安全門與信號系統的聯鎖關系； ( 5 )站臺安全門因故失去狀態表示，應對有關列車采取常用或緊急制動以防止列車進入站臺或在站臺 內移動；( 6 )信號系統提供安全門的開、關控制信號，安全門系統向信號系統提供全部門關閉狀態信息和互鎖解除信息。

3. 信號系統與安全門系統接口的實現

3.1車地通信。在 ATO駕駛模式下，開門允許燈點亮后，司機可以辦理開關列車門手續，車載控制器捕捉到列車電路開／關安全門脈沖，編碼后通過通信器傳輸至地面控制器，地面控制器控制安全門控制器輸出開／關安全門命令，安全門控制器通過繼電接口把開／關安全門命令傳輸至安全門系統如圖1所示。

3.2接口功能詳細描述。( 1 )開門指令。 發送條件：收到來自VOBC的開啟安全門請求后，聯鎖系統即向PSD系統發送開門指令。必須要滿足以下條件VOBC才能夠執行開啟站臺安全門的操作 ：①相關的站臺屏蔽門必須符合站臺的位置及操作方向；②接近傳感器必須要檢測到列車已在站臺上準確定位 ；③列車的速度是零，列車停在規定的停車點內；④已經執行了停車制動；⑤已經執行了禁止牽引。 信號持續時間：開門信號一直會維持在高電平 ，直至STC發出關門指令或收到安全門鎖閉狀 態信息。 ( 2 )關門指令 。發送條件 ：收到來自VOBC的關閉安全門請求后 ( 由OCC或司機控制臺發出相關操控指令)，聯鎖系統即向PSD系統發送關門指令。信號持續時間：關門指令信號會一直維持在高 電平，直至STC收到安全門鎖閉狀態信息。 ( 3 )屏蔽門鎖閉狀態信息 。發送條件：當全部站臺安全門鎖閉后，PSD系統即向聯鎖系統發送該信息。 信號持續時間：該狀態信息信號會一直維持在高電平，直至PSD收到開門指令 。 ( 4 )自動安全門/緊急逃生門狀態信息 。發送條件：PSD系統使用這一信號來表示其是否工作正常。如果PSD系統工作不正常 ，可用 該信號將PSD置為故障忽略狀態。當該信號電平為低(缺省設置),表示 PSD系統工作正常，信號系統收到安全門鎖閉信號后就可控制列車運行離站。當該信號電平為高，表示無需收到屏蔽門鎖閉信號，列車就可運行離站。信號持續時間：該信號持續在高電平和低電平之間切換。

3 . 3 聯鎖/安全門的接口時序。下圖說明了一個典型的MLOK-PSD接口信號間的時序關系以及門開啟和關閉的操作 次 序 情況。 T0：起始條件，所有門關閉并鎖閉，使能信號和開門信號無效。T1：聯鎖設置使能信號為有效，門指示燈閃爍。T2:聯鎖設置開門信號有效。當使能和開門信號都有效時，門開始打開。一旦門開始打開，“關閉并鎖閉”信號轉為“關”狀態。T3至T8：門完全打開，并保持開門狀態。T9：聯鎖設置一關閉信號（開門信號將無效）。安全門核實使能信號有效并且開門信號無效，然后開始關門。T10：門完全關閉，門關閉并鎖閉信號轉為高電平。T11：是最后一個時序部分，聯鎖將使能信號置為低電平（無效）。

使能信號（安全信號）在門從開始打開到再次“關閉并鎖閉”（并且列車也剛出發）期間保持在有效狀態。列車監測安全門的狀態（依據“關閉并鎖閉”信號，為安全信號），并且只在所有安全門關閉的情況下才發車離站。

4. 結束語

安全門系統與信號系統的結合提高了安全門的自動性和安全性，在保證列車和乘客安全 ，實現快速、高密度、有序運行等功能的同時，為乘客提供了一個舒適安全的乘車環境。因此無論是新線建設還是舊線改造，設置站臺安全門都將是未來發展的趨勢，而與之密切相關的控制技術也將起到重要作用。

第6篇：信息安全審計范文

【 關鍵詞 】 管控；校園網；信息安全；安全策略；安全審計

Research on Campus Network Management and Control of Information Security

Wu Shao-jia Liao Li

(Zhaoqing Radio & Television University Guangdong Zhaoqing 526060)

【 Abstract 】 Protection of campus network security is the focus and key points on the information work, As the ongoing in-depth information security management and monitoring processes, The problems of Potential Network Information Security is exposed, You can construction out the strategy of security applies to campus Information Network System, and take effective measures solution its security problem, Improves the network operation level ， Supply the information and data protection with safety measure of reached the security requirements and construction target for campus network.

【 Keywords 】 management and control; campus network; information security ; security strategy; security audit

0 引言

數字校園是推進實現我國教育信息化的重點建設目標之一，數字信息化應用在我國教育現代化的進程中起到了強大的推動力。校園網是學校數字信息化建設重要的基礎設施,是學校實現數字信息化的重要組成平臺,在教學支持服務、教學教務管理、科學研究、行政管理和校內外信息交流等許多方面都起到了重大作用。許多學校的工作已經完全通過信息網絡系統來運轉，隨著信息化建設規模的擴大深入以及計算機信息網絡技術的不斷擴展和增強，在校園網中潛在威脅安全問題暴露無遺，校園網絡安全的形勢日益嚴峻。如何保障學校內部重要信息的安全，使得重要數據信息不被竊取，是學校信息安全工作當前要面臨的首要挑戰。

1 校園網信息安全需求

隨著校園網應用的深入，校園網上各種信息數據急劇增加，結構性不斷提高，用戶對網絡性能要求的不斷提高，網絡信息安全成為網絡技術發展中一個極其關鍵的任務。校園網信息安全的需求概括有四個方面。

（1）用戶安全：用戶安全分成管理員用戶安全和業務用戶安全。

（2）網絡硬環境安全 ：網絡連接安全，校園網中的子網與其他網絡連接的網絡安全，各個專用的業務子網的安全。

（3）網絡軟環境安全：即校園網的應用環境安全。

（4）傳輸安全：數據的傳輸安全，主要是指校園網內部的傳輸安全、校園網與公網（教科網）之間的數據傳輸安全以及校園網與分校區之間的數據傳輸安全。

校園網絡系統通常只是在校內使用的教學辦公網絡，是一個相對封閉的局域網系統，可不考慮外來的入侵行為，所面臨的風險大多始于內部，包括來自學校內部人員的威脅、非授權訪問、冒充合法用戶、破壞數據的完整性、數據篡改、泄漏與丟失等。眾多不同的安全技術和產品，在技術上缺乏完善的綜合管理平臺進行統一協調管理；而在管理上則欠缺良好的安全管理體制和策略，這就直接導致了整個安全體系的薄弱，造成網絡整體安全防御能力下降，無法真正達到安全要求和建設目標。因此，使用訪問控制及內外網的隔離，使用內部網不同網絡安全域的隔離及訪問控制，使用網絡安全檢測。解決校園網信息安全問題的重要方法，是在校園內網中采用不同的安全產品和技術構建多層次的安全防范體系，并在這個體系中部署信息安全審計措施以監督信息系統，發現和追查信息系統中潛在的安全問題，彌補其它安全產品對信息安全管控的不足。

2 管控信息安全的策略

信息安全是高技術的對抗，信息安全問題是要通過大力發展信息安全高技術來解決。但同時必須清醒地認識到，要高效地解決信息系統的安全問題，除了從技術上下功夫外，還得依靠配套的安全管理措施來實現。一定要部署校園網安全審計與監控體系配套管理措施，對信息安全審計工作必須要堅持管理與技術并重的原則，建立和完善信息安全配套管理制度和規范，加強管理落實責任，注重通過加強管理彌補技術上的不足。

首先要建立相對獨立的學校信息安全審計機構，明確管理組織內各個角色所承擔的具體審計職能。在一個審計機構中具體應當包括幾種角色。

（1）系統管理員：系統管理員主要負責對審計系統的配置和系統運行狀況的維護。

第7篇：信息安全審計范文

關鍵詞：等級保護；網絡安全；信息安全；安全防范

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）19-4433-03

隨著我國國際地位的不斷提高和經濟的持續發展，我國的網絡信息和重要信息系統面臨越來越多的威脅，網絡違法犯罪持續大幅上升，計算機病毒傳播和網絡非法入侵十分猖獗，犯罪分子利用一些安全漏洞，使用木馬間諜程序、網絡釣魚技術、黑客病毒技術等技術進行網絡詐騙、網絡盜竊、網絡賭博等違法犯罪，給用戶造成嚴重損失，因此，維護網絡信息安全的任務非常艱巨、繁重，加強網絡信息安全等級保護建設刻不容緩。

1 網絡信息安全等級保護

信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。網絡信息安全等級保護體系包括技術和管理兩大部分，如圖1所示，其中技術要求分為數據安全、應用安全、網絡安全、主機安全、物理安全五個方面進行建設。

圖1 等級保護基本安全要求

1） 物理安全

物理安全主要涉及的方面包括環境安全（防火、防水、防雷擊等）設備和介質的防盜竊防破壞等方面。

2） 主機安全

主機系統安全是計算機設備（包括服務器、終端/工作站等）在操作系統及數據庫系統層面的安全；通過部署終端安全管理系統（TSM），準入認證網關（SACG），以及專業主機安全加固服務，可以實現等級保護對主機安全防護要求。

3） 網絡安全

網絡是保障信息系統互聯互通基礎，網絡安全防護重點是確保網絡之間合法訪問，檢測，阻止內部，外部惡意攻擊；通過部署統一威脅管理網關USG系列，入侵檢測/防御系統NIP，Anti-DDoS等網絡安全產品，為合法的用戶提供合法網絡訪問，及時發現網絡內部惡意攻擊安全威脅。

4） 應用安全

應用安全就是保護系統的各種應用程序安全運行，包括各種基本應用，如：消息發送、web瀏覽等；業務應用，如：電子商務、電子政務等；部署的文檔安全管理系統（DSM），數據庫審計UMA-DB，防病毒網關AVE等產品。并且通過安全網關USG實現數據鏈路傳輸IPSec VPN加密，數據災備實現企業信息系統數據防護，降低數據因意外事故，或者丟失給造成危害。

5） 數據安全

數據安全主要是保護用戶數據、系統數據、業務數據的保護；通過對所有信息系統，網絡設備，安全設備，服務器，終端機的安全事件日志統一采集，分析，輸出各類法規要求安全事件審計報告，制定標準安全事件應急響應工單流程。

2 應用實例

近年來衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，某醫院的核心系統按照等級保護三級標準建設信息系統安全體系，全面保護醫院內網系統與外網系統的信息安全。

醫院網絡的安全建設核心內容是將網絡進行全方位的安全防護，不是對整個系統進行同一等級的保護，而是針對系統內部的不同業務區域進行不同等級的保護；通過安全域劃分，實現對不同系統的差異防護，并防止安全問題擴散。業務應用以及基礎網絡服務、日常辦公終端之間都存在一定差異，各自可能具有不同的安全防護需求，因此需要將不同特性的系統進行歸類劃分安全域，并明確各域邊界，分別考慮防護措施。經過梳理后的醫院網絡信息系統安全區域劃分如圖2所示，外網是一個星型的快速以太交換網，核心為一臺高性能三層交換機，下聯內網核心交換機，上聯外網服務器區域交換機和DMZ隔離區，外聯互聯網出口路由器，內網交換機向下連接信息點（終端計算機），外網核心交換機與內網核心交換機之間采用千兆光纖鏈路，內網交換機采用百兆雙絞線鏈路下聯終端計算機，外網的網絡安全設計至關重要，直接影響到等級保護系統的安全性能。

圖 2 醫院網絡信息系統安全區域劃分圖

2.1外網網絡安全要求

系統定級為3級，且等級保護要求選擇為S3A2G3，查找《信息系統安全等級保護基本要求》得到該系統的具體技術要求選擇，外網網絡安全要求必須滿足如下要求：邊界完整性檢查（S3） 、入侵防范（G3） 、結構安全（G3） 、訪問控制（G3） 、安全審計（G3） 、惡意代碼防范（G3） 和網絡設備防護（G3） 。

2.2網絡安全策略

根據對醫院外網機房區域安全保護等級達到安全等級保護3級的基本要求，制定相應的網絡安全策略

1） 網絡拓撲結構策略

要合理劃分網段，利用網絡中間設備的安全機制控制各網絡間的訪問。要采取一定的技術措施，監控網絡中存在的安全隱患、脆弱點。并利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

2） 訪問控制策略

訪問控制為網絡訪問提供了第一層訪問控制，它控制哪些用戶能夠連入內部網絡，那些用戶能夠通過哪種方式登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。

3） 網絡入侵檢測策略

系統中應該設置入侵檢測策略，動態地監測網絡內部活動并做出及時的響應。

4） 網絡安全審計策略

系統中應該設置安全審計策略，收集并分析網絡中的訪問數據，從而發現違反安全策略的行為。

5） 運行安全策略

運行安全策略包括：建立全網的運行安全評估流程，定期評估和加固網絡設備及安全設備。

2.3網絡安全設計

根據對醫院外網安全保護等級達到安全等級保護3級的基本要求，外網的網絡安全設計包括網絡訪問控制，網絡入侵防護，網絡安全審計和其他安全設計。

1） 網絡訪問控制

實現以上等級保護的最有效方法就是在外網中關鍵網絡位置部署防火墻類網關設備，采用一臺天融信網絡衛士獵豹防火墻、一臺CISCO公司的PIX515和一臺網絡衛士入侵防御系統TopIDP。

①外網互聯網邊界防火墻：在局域網與互聯網邊界之間部署CISCO公司的PIX515百兆防火墻，該防火墻通過雙絞線連接核心交換區域和互聯網接入區域，對外網的互聯網接入提供邊界防護和訪問控制。

②對外服務區域邊界防火墻：對外服務區域與安全管理區域邊界部署一臺千兆防火墻（天融信NGFW4000-UF），該防火墻通過光纖連接核心交換機和對外服務區域交換機，通過雙絞線連接區域內服務器，對其他區域向對外服務區域及安全管理區域的訪問行為進行控制，同時控制兩個區域內部各服務器之間的訪問行為。

③網絡入侵防御系統：在托管機房區域邊界部署一臺網絡入侵防御系統，該入侵防御系統通過雙絞線連接互聯網出口設備和區域匯聚交換機，為托管機房區域提供邊界防護和訪問控制。

2） 網絡入侵防護

外網局域網的對外服務區域，防護級別為S2A2G2，重點要實現區域邊界處入侵和攻擊行為的檢測，因此在局域網的內部區域邊界部署網絡入侵檢測系統（天融信網絡入侵防御系統TopIDP）；對于外網托管機房的網站系統，防護級別為S3A2G3，由于其直接與互聯網相連，不僅要實現區域邊界處入侵和攻擊行為的檢測，還要能夠有效防護互聯網進來的攻擊行為，因此在托管機房區域邊界部署網絡入侵防御系統（啟明星辰天闐NS2200）。

①網絡入侵防御系統：在托管機房區域邊界部署一臺采用通明模式的網絡入侵防御系統，該入侵防御系統通過雙絞線連接互聯網出口設備和區域匯聚交換機，其主要用來防御來自互聯網的攻擊流量。

②網絡入侵檢測系統：在外網的核心交換機上部署一臺千兆IDS系統，IDS監聽端口類型需要和核心交換機對端的端口類型保持一致；在核心交換機上操作進行一對一監聽端口鏡像操作，將對外服務區域與核心交換區域之間鏈路，以及互聯網接入區域與核心交換區域之間鏈路進出雙方向的數據流量，鏡像至IDS監聽端口；IDS用于對訪問對外服務區域的數據流量，訪問安全管理區域的數據流量，以及訪問互聯網的數據流量進行檢測。

3） 網絡安全審計

信息安全審計管理應該管理最重要的核心網絡邊界，在外網被審計對象不僅僅包括對外服務區域中的應用服務器和安全管理區域的服務器等的訪問流量，還要對終端的互聯網訪問行為進行審計；此外重要網絡設備和安全設備也需要列為審計和保護的對象。

由于終端的業務訪問和互聯網訪問都需要在網絡設備產生訪問流量，因此在外網的核心交換機上部署網絡行為審計系統（天融信網絡行為審計TopAudit），交換機必需映射一個多對一抓包端口，網絡審計引擎通過抓取網絡中的數據包，并對抓到的包進行分析、匹配、統計，從而實現網絡安全審計功能。

①在外網的核心交換機上部署一臺千兆網絡安全審計系統，監聽端口類型需要和核心交換機對端的端口類型保持一致，使用光纖接口；

②在核心交換機上操作進行一對一監聽端口鏡像操作，將對外服務區域與核心交換區域之間鏈路，以及互聯網接入區域與核心交換區域之間鏈路進出雙方向的數據流量，鏡像至網絡安全審計系統的監聽端口；

③網絡安全審計系統用于對訪問對外服務區域的數據流量，訪問安全管理區域的數據流量，以及訪問互聯網的數據流量進行安全審計；

④開啟各區域服務器系統、網絡設備和安全設備的日志審計功能。

4） 其他網絡安全設計

其他網絡安全設計包括邊界完整性檢查，惡意代碼防范，網絡設備防護，邊界完整性檢查等。

①邊界完整性檢查：在托管機房的網絡設備上為托管區域服務器劃分獨立VLAN，并制定嚴格的策略，禁止其他VLAN的訪問，只允許來自網絡入侵防御系統外部接口的訪問行為；對服務器系統進行安全加固，提升系統自身的安全訪問控制能力；

②惡意代碼防范：通過互聯網邊界的入侵防御系統對木馬類、拒絕服務類、系統漏洞類、webcgi類、蠕蟲類等惡意代碼進行檢測和清除；部署服務器防病毒系統，定期進行病毒庫升級和全面殺毒，確保服務器具有良好的防病毒能力。

③網絡設備防護：網絡設備為托管機房單位提供，由其提供網絡設備安全加固服務，應進行以下的安全加固：開啟樓層接入交換機的接口安全特性，并作MAC綁定； 關閉不必要的服務（如：禁止CDP（Cisco Discovery Protocol），禁止TCP、UDP Small服務等）， 登錄要求和帳號管理， 其它安全要求（如：禁止從網絡啟動和自動從網絡下載初始配置文件，禁止未使用或空閑的端口等）。

3 結束語

信息安全等級保護是實施國家信息安全戰略的重大舉措，也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設的重要依據，在實行安全防護系統建設的過程中，應當按照等級保護的思想和基本要求進行建設，根據分級、分域、分系統進行安全建設的思路，針對一個特定的信息系統（醫院信息管理系統）為例，提出全面的等級保護技術建設方案，希望能夠為用戶的等級保護建設提出參考。

參考文獻：

[1] 徐寶海.市縣級國土資源系統信息網絡安全體系建設探討[J].中國管理信息化，2014（4）.

[2] 李光輝.全臺網信息安全保障體系初探[J].電腦知識與技術，2013（33）.

第8篇：信息安全審計范文

關鍵詞：財政信息；信息安全；身份認證；數字證書

中圖分類號：TP311.52

財政業務系統多為涉及面廣、多個部門協作、關鍵業務操作多、處理數據多的特點，對應用安全保障有很高的要求；現有應用系統主要通過“用戶名+口令” 進行用戶身份識別和訪問控制，安全級別較低；現有應用系統各自的身份識別和訪問控制機制彼此獨立、重復設置、重復開發，增加了安全隱患，也增加了管理成本和用戶負擔；缺乏電子單據和數據數字簽名、時間戳、責任認定等安全功能，業務無紙化無法推進；整體上缺失統一的標準和技術手段，很難適應財政信息化的發展。本文就財政信息系統特點及現狀，介紹和討論財政身份認證與授權管理的解決方案與建設，達到保障財政業務安全應用的目的。

1 信息安全簡介

信息安全是研究在特定的應用環境下，依據特定的安全策越，對信息及其系統實施防護、檢測和恢復的科學。

信息安全主要體現在以下三個方面：一是保密性。保密性是指確保信息資料，特別是重要的信息資料，不流失，不被非本部門人員非法盜用。二是完整性。所謂信息資料的完整性，是指信息資料不丟失、不少缺。三是可用性。可用性是指當需要某一信息資料時，可馬上拿得到。比如采取一定的措施，防止因某一資料員不在場或其它例外情況下，因為拿不到所需的資料而導致停工或錯失商機等。

信息安全的四個要素如下圖：

圖1

信息系統組成包括人員、系統、資產（終端、數據等）、網絡、流程、其他設備等。通過對信息系統安全分析我們得知“人員”是最不穩定因素，是最大的邊界?！百Y產”是最被關注的因素。其他因素都是以上兩個因素的間接受害者。

因此信息安全的重點就是管理好人、保護好人到數據的路徑。

身份認證與授權管理系統是信息安全的重要組成部分。身份認證是應用系統判斷用戶是否合法的重要手段，也是應用系統的第一道安全防護。

2 財政應用系統現狀及安全需求

省地市財政大平臺系統（以下簡稱Portal）是各地市財政業務專網應用的統一登錄入口，它實現了各接入應用系統的單點登錄，主要涉及的系統有地方國庫支付、總賬、工資統發等。該系統采用B/S結構設計，WEB服務器為Weblogic8.16，，采用JAVA技術，后臺數據庫采用Oracle10g。

目前，系統采用“用戶名+密碼”的身份認證方式，用戶通過訪問Portal的登錄認證主頁，輸入用戶的合法“用戶名”及對應“密碼”后，系統連接數據庫進行驗證，驗證通過后，系統允許用戶登錄并進入Portal首頁，在Portal首頁內顯示管理員授權給用戶的應用系統列表和應用中的待辦事宜等信息，用戶根據自己的權限可以進行相應業務操作。因“用戶名+密碼”的身份認證方式很容易因密碼泄漏、網絡竊聽等原因造成身份冒充，存在較大的安全隱患，因此亟需建立起合理、安全的強身份認證機制，用于保障合法用戶的權益。

3 解決方案及實現

通過對財政業務系統和安全需求的分析，提出了實名制U盾+平臺密碼+U盾密碼+安全審計多維一體的解決方案，以實現身份認證和授權管理，實現信息安全支撐平臺。第一：給平臺系統的所有用戶發放財政業務專網CA證書；第二：對原有平臺系統的身份認證模塊進行改造，在原來的“用戶名+密碼”的基礎上，增加證書認證方式；第三：在用戶屬性管理系統中添加“PID”屬性，用以綁定用戶證書與其平臺身份標識的對應關系；證書的合法性由身份認證網關進行校驗，檢驗完成后將認證結果及身份信息（PID）返回給平臺，平臺根據此結果做進一步的業務處理。

3.1 系統整體架構

圖2

3.2 網絡拓撲

圖3

省地市級財政身份認證與授權管理系統部署在地市級財政部門，在地市級財政的業務專網內建設一個獨立的局域網，通過防火墻從網絡、協議及應用各層次上將此局域網與財政業務網絡保持隔離，用于部署安全審計查詢系統、身份認證系統從LDAP和用戶屬性管理系統，而直接面向應用的身份認證網關、簽名服務器、時間戳服務器，以及提供證書管理的LRA則部署在地市級財政的業務專網中。

3.3 功能模塊

建設中需要重點保證證書發放、身份認證、數字簽名、時間戳、應用級訪問控制及安全審計查詢功能即可，為此相對省級財政的功能模塊相比較，減少了授權管理模塊的權限管理系統，并且省級財政身份認證模塊中的發證模塊為證書注冊中心（RA），而地市級財政部門建設的LRA系統。為此，財政身份認證與授權管理系統模塊組成如下圖：

圖4

3.4 身份認證與授權管理系統建設

按照財政身份認證與授權管理系統建設的要求，省地市級財政身份認證與授權管理系統單獨部署在獨立的局域網中，并通過防火墻將局域網與地市級財政的業務專網的公共區域邏輯隔離，配置一定的安全策略向外提供訪問服務。

地市級財政身份認證系統與授權管理系統的部署主要是身份認證模塊、授權管理模塊、安全審計模塊及應用安全組件四個部分的安裝配置，身份認證模塊包括：LRA系統和身份認證從LDAP；授權管理模塊主要是用戶屬性管理系統；安全審計模塊指安全審計查詢系統；應用安全組件指身份認證網關、簽名服務器及時間戳服務器。

3.4.1 系統流程

圖5

3.4.2 系統效果展示

應用接入的大平臺登錄效果展現平臺構建統一的認證門戶，用戶需要使用USB-KEY登錄認證成功后才能進入，主要作為各應用系統的統一訪問入口和平臺管理的入口。

圖6

4 結束語

通過財政身份認證與授權管理系統設計及建設，將由原來的“用戶名+密碼”方式變為證書認證方式，而數字證書的高強度身份認證，將有效地防止身份冒充；身份認證模塊從原系統中剝離，業務邏輯更加清晰，安全級別也得到了提升；通過用戶屬性管理管理中PID屬性值的傳遞，無縫地實現了證書的入門級訪問控制。統一對實體進行身份和權限管理，奠定實名制管理的基礎。提供獨立的高強度的認證手段給各個層面使用。提供一種電子簽名法保護的數據保護和司法取證手段。提供一個統一的時間基準，奠定定位基礎。建立了一套完整的配套標準和規范便于財政信息化整體推進。

參考文獻：

[1]馬建峰，沈玉龍.信息安全[M].西安：西安電子科技大學出版社，2013.

[2]斯坦普（美）信息安全原理與實踐（第2版）[M].北京：清華大學出版社，2013.

[3]薛天龍.數字證書原理及應用[M].北京：中國標準出版社，2014.

[4]http：//.cn/tplt/index_164.jsp[OL].

第9篇：信息安全審計范文

21世紀是信息化的社會，計算機技術不斷進步，并在生產領域得到深入應用。特別是會計電算化的推廣，把以電子計算機為代表的現代化數據處理工具及以信息論、系統論、數據庫、計算機網絡等新興理論和技術應用于會計核算、財務管理工作中以提高財務管理水平和經濟效益，實現會計工作的現代化。目前，越來越多的企業開始全業務的采用信息系統，形成了一個網絡經濟時代，各個企業、事業單位的信息化情況表現出了前所未有的綜合性和開放性。這種信息化的高度集中帶來了高效益，但同時，也帶來了高度的風險，信息系統審計也就在這種歷史背景下應運而生。

一、信息系統審計的內涵和外延難以把握

隨著信息技術的發展，信息系統在財務、管理領域的應用程度不斷提高，功能日趨完善，其軟硬件結構的復雜性和涉及領域的廣泛性以及信息處理技術更新的頻繁性使得審計人員難以同步把握信息系統審計的內涵和外延。從外延上看，信息系統審計主要包括兩個部分，一是對信息系統主體的審計，二是對信息系統應用環境的審計，包括網絡環境、使用環境、管理使用情況等。一般說來，審計信息系統本身相對容易，但審計信息系統的應用環境卻存在較多不確定因素，比如某公司的信息系統通過防火墻連接到互聯網，而在防火墻內還存在其它系統，其它系統是不是也在審計范圍之內？

從內涵上看，信息系統審計主要是對信息系統的安全性和可靠性進行評估、評價。安全性、可靠性是一個比較廣泛的概念，以系統安全性為例，它包括：ISO開放系統互連安全體系結構、TCP／IP安全體系、開放系統互連的安全管理、安全服務和功能配置；系統安全涉及的信息安全技術包括：密碼技術、訪問控制技術、機密性和完整性保護技術、數字簽名技術、抗抵賴技術、預（報）警機制、公證技術、防火墻技術、漏洞檢測技術、網絡隔離技術、計算機病毒防范等。由于信息技術本身的限制性，絕大部分信息系統本身均存在安全性問題（如防護級別最高、防護技術最好的美國國防部也常有被攻擊的情況）。

把握不準信息系統審計的外延和內涵，就難以解決以下三個問題：一是難以解決審計力量與審計任務之間的矛盾，難以控制審計風險，即不該審的審了，該審的卻未審；二是由于絕大部分信息系統本身均存在安全性問題，信息系統審計很容易演變成“信息系統是否存在問題源自于審計人員的技術水平，而不是系統本身的安全性和可靠性”，即，絕大部分信息系統均存在不安全、不可靠因素，就看審計人員能否發現由于信息系統的安全性問題是絕對的，而審計人員的視角和技術水平是相對的，信息系統審計的成果部分取決于審計人員對信息系統審計內容的把握程度；三是由于審計需要大量的證據支撐，對于未造成損失但信息系統存在不安全隱患的問題難以定性,即便是造成了損失，也難以界定這些損失與信息系統不安全、不可靠因素之間聯系。

因此，審計部門應根據“全面審計、突出重點”及“先易后難”、“先系統本身后系統環境”的原則，參照國家信息技術部的有關標準，界定信息系統工作的外延和內涵，將信息系統審計的主要方向定在：被審計單位的信息系統的安全性、可靠性是否達到應有的水平或標準，而不是系統是否有安全性和可靠性問題。

二、信息系統審計評價標準很難確定

信息系統安全審計，涉及會計信息處理自動化、表示代碼化、信息處理與存儲集中化、內部控制程序化等諸多廣泛、復雜的計算機專業技術環節，其技術性較高。而我國信息系統審計正處于起步階段，對審計機關如何開展信息系統審計尚在積極探索中，因此，目前尚沒有一個完整的、成熟的具有示范作用的審計案例，也缺少具備實際指導意義的相關信息系統審計準則和操作指南。

近年來，國家安全部門相繼出臺了多個安全標準，例如公安部出臺的《計算機信息系統安全保護等級劃分準則》（GB17859－1999）、《信息安全等級保護管理辦法》，還有相應的安全技術規范《信息安全技術 信息系統通用安全技術要求》（GB／T20271－2006）、《信息安全技術 網絡基礎安全技術要求》（GB／T20270－2006）、《信息安全技術 操作系統安全技術要求》（GB／T20272－2006）、《信息安全技術 數據庫管理系統安全技術要求》（GB／T20273－2006）、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》（GA／T671－2006）等技術標準。但在實際操作中，這些標準在可操作性上還有待提高，一是信息系統安全等級的確定，缺乏一個等級認定的部門，目前是由各個單位自己定級報送，會存在低報等級風險；二是等級要求沒有量化和詳細解釋，等級認定存在困難。這些都給具體的審計實務工作帶來極大的困難。

因此建議審計部門及時組織總結實踐經驗，規范信息系統安全審計的有關概念、審計內容、工作流程和技術方法、形成信息系統安全審計準則、操作指南或實務公告的準則體系，這是信息系統安全審計得以健康發展的基礎。

三、信息系統審計缺乏相應的人才

我國目前尚缺乏既熟悉審計業務又掌握計算機技術同時了解國內標準信息系統流程的復合型人才，進行信息系統審計所涉及的知識面非常廣，涉及會計、審計、管理和計算機等知識，而進行信息系統安全性審計主要從系統總體安全、系統運行安全、數據中心安全、硬件設備安全和網絡安全情況五個方面來進行，每個方面都涉及不同的知識點。當對系統總體安全進行審計時，則要求審計人員具有系統總體分析、系統設計和系統安全分析的知識；當對系統運行進行審計時，則要求審計人員具有系統運行管理、系統維護和系統安全管理的知識；當對數據中心安全進行審計時，則要求審計人員具有工程建設、數據中心安全維護和災備等知識；當對硬件設備安全進行審計時，則要求審計人員具有設備采購、設備維護和設備安全分析等知識；當對網絡安全情況進行審計時，則要求審計人員具有網絡安全分析和網絡防范等知識。但在當前情況下，審計人員能夠掌握上述某一方面的知識都已經難能可貴，更不用說要掌握所有的知識面。

建議審計部門加強對審計人員理論培訓，并組織審計人員進行實踐，通過實踐經驗來鞏固理論知識，培養出更多的信息系統審計復合型人才和相應的專業性人才。

四、信息系統審計需要相應的法規支持和成果考核標準

我們通常依據《中華人民共和國審計法》、《中華人民共和國審計法實施條例》及《國務院辦公廳關于利用計算機信息系統開展審計工作有關問題的通知》（〔2001〕88號）的規定：“被審計單位應當按照審計機關的要求，提供與財政收支、財務收支有關的電子數據和必要的計算機技術文檔等資料”，要求被審計單位提供電子數據，開展電子數據式審計工作。但開展信息系統安全審計的方法、步驟要求我們必須獲取被審計單位信息系統底層數據庫的數據字典、程序開發文檔、甚至程序源代碼等核心文檔已經高級管理用戶的權限。但事實上大多數被審計單位也不掌握這些核心文檔，軟件開發公司又以知識產權應收保護為由拒絕提供文檔。特別是要求SAP、Oracle等國外軟件開發商提供開發文檔非常困難。因此，應出臺更為明確的法規以支持信息系統安全審計工作。其次，信息系統審計的實施需要耗費大量的人力物力，在目前審計機關工作繁重的背景下，開展此項工作需要審計工作方案以及考評指標的支撐。因此，審計相關部門應該考慮把信息系統審計納入年初審計工作計劃，并出臺相應的考評標準。

五、信息系統審計自身風險較大

數據分析式計算機輔助審計是要求被審計單位按照審計的需求提供電子數據，審計人員將數據轉換后導入計算機進行分析。這種過程避免了直接操作被審計單位信息系統所帶來的風險。然而，信息系統安全性審計的很多步驟必須要在被審計單位信息系統上直接執行，這種在真實系統上的操作必然存在安全風險。如對電信公司計費系統的審計，如果測試時間不當或測試用例不完善都可能影響計費系統的正常運行。