安全審計服務規范精選(五篇)
發布時間:2023-10-08 10:04:14
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇安全審計服務規范,期待它們能激發您的靈感。
篇1
電子業務系統安全審計體系的研究與建設
結合山東局綜合管理體系建設要求,首先,對各業務系統從管理者和使用者兩個層面明確職責,規定相應的口令管理制度、授權管理制度、系統操作規程(作業指導書)等業務系統運行規章制度及有關記錄表格。二是,針對各業務系統制定安全審計規范,利用內部審計及外部審計來評估業務系統安全漏洞,規劃審計策略,明確審計目標,確定日常安全審計及集中安全審計任務和手段,并對審計結果進行評估分析,制定糾正措施。三是,結合山東局績效考核管理辦法,將安全審計結果納入績效考核,已達到從制度上約束行為的目的。各電子業務系統的開發應按照我們制定的安全審計規范要求建立安全審計模塊,每個用戶登錄系統、進入應用,一直到使用各個應用模塊都可以進行訪問日志記錄,安全審計模塊可以調用日志SDK的API,根據應用規則來記錄各種日志。日志可以是分為安全日志、系統日志、數據變更日志等等可以由系統安全管理人員隨時調閱,以達到安全審計的目的。針對業務系統具體環節分析風險點,根據制定的安全控制規范,應用于各電子業務系統,開發安全審計系統,進行風險布控、監控設定、自動預警與自動核查,對業務系統全過程監控。由于目前業務系統數量眾多,數據處理不同,進行安全審計系統開發時需針對各業務系統進行分析歸納,特別是CIQ2000綜合業務管理系統作為檢驗檢疫電子業務的主干系統,數據處理過程的質量決定著業務工作的質量,我們首先從CIQ2000業務管理系統入手試點,對CIQ2000綜合業務管理系統實施全過程監控,監控賬戶的合法性、權限的合理性、登錄及操作行為的可追溯性、數據修改的安全性等,對用戶行為實施有效監督、約束,規范行為,保證工作質量。對CIQ2000綜合業務系統進行安全審計主要分以下幾方面:1)用戶操作行為日志審查常規監測及時收集和分析CIQ2000系統本身提供的系統登錄、業務操作、流程控制、權限等信息,通過設定邏輯嚴密、科學合理的審計規則,根據用戶登錄時間、狀態和業務操作記錄等數據,發現異常登錄和非法操作,在系統界面進行展示,并形成報表。特殊監測根據業務和系統管理需要,對特殊時間段、特殊業務操作進行特殊監測,通過觸發器收集關鍵業務對象、關鍵數據的變更情況,記錄操作人的登錄信息和操作信息。如對關鍵業務數據的操作及修改過程(如計收費數據的修改、不合格結果登記修改為合格結果登記、未經檢務操作擅自添加證書、攔截數據人工干預放行等)進行過程記錄。2)用戶密碼審查根據制訂的密碼審計規則,自動檢查指定機構下的用戶及密碼,查找密碼為空或者密碼設置不符合安全規范的用戶,在系統界面展示并可形成報表。3)重復用戶檢查根據同一用戶在統一機構下不得同時擁有兩個可以同時使用的用戶賬號原則,自動檢查指定機構下的用戶,檢查是否在同一機構具有同時在崗的重名用戶。4)用戶權限檢查自動檢查指定機構下的用戶及使用權限,查找具有分配全業務流程的用戶,也可查找具有指定權限的用戶。5)安全事件警告根據對業務系統各關鍵環節和關鍵對象數據的采集和分析,對可能存在信息安全隱患的環節給予相應級別的告警。告警方式包括:界面查看、短信預警、郵件預警。6)系統服務用戶管理選項設置安全審計告警策略安全事件確認審計對象配置助手對于以上審計內容,通過布控,可以實現實時監控,發現違規操作及時報警,也可以進行統計查詢、數據分析,防患于未然。通過安全審計系統的運行,特別是對CIQ2000綜合業務管理系統的安全審計,發現高風險監控點,進一步對體系進行驗證完善,通過兩方面的互補,保證業務系統的安全合規運行。通過以上步驟,制定我局電子業務系統安全審計規范并正式下發執行,建立檢驗檢疫電子業務系統安全審計體系。并通過CIQ2000綜合業務安全審計系統應用實例進行驗證優化,并以此成功案例進行推廣、全面開展對山東局電子業務安全審計系統的建設與發展。
電子業務系統安全審計體系研究技術方面
電子業務安全審計系統建設技術方面1)使用統一開發平臺的UIP-SDP框架開發。該框架提供輕量級的框架,框架遵照MVC的通用設計模式;采用面向服務體系結構(SOA)及組件化的設計思想,便于系統的復用和集成;包含大量公共的、實用性的組件和控件,并且提供了一般業務系統底層的最基本模塊,可以輕松集成到業務系統之中。2)框架提供了通用的前后臺校驗機制、統一的分頁處理、基于AJAX的局部刷新功能、多文件上載的功能、基于數字證書的認證方式、靈活、實用的規則引擎、基于配置的任務調度功能、基于配置的事務處理、統一的日志管理、方便快捷的單元測試、子模塊基于XML的單獨配置3)系統由數據采集層、事件管理層、運行管理層構成。山東檢驗檢疫電子業務系統安全審計體系(圖略)。電子業務安全審計系統建設技術規范方面采用標準的Linux、Unix操作系統建立基礎平臺采用統一的Oracle數據庫建立數據中心平臺采用先進的軟件工程設計方法,滿足系統的先進性、可靠性、可伸縮性、可擴展性復雜的商業規則的實現集中由應用服務器實現,可隨業務量增長而輕松擴展采用流行的B/S架構,實現零客戶端采用先進AJAX、WebService技術采用XML技術,規范信息交換格式和數據交換流程采用統一的消息中間件實現數據交換可以采用CA認證及SSL128位加密技術,確保通訊的安全性4結論通過建設安全審計體系建設,可以從制度上規范行為;審計系統的開發運行可以利用技術手段實現業務監控、工作質量稽查及用戶行為審計,自動查找違規現象,及時通知相關單位整改,以查促管,防患于未然;審計的結果反過來促進制度的建設,最終保證檢驗檢疫業務的正常運轉。
作者:田建榮 宋琳琳 陳鵬 王宏志 郭曙超 單位:山東出入境檢驗檢疫局
篇2
據電子政務的有關安全調查統計:11%的安全問題導致網絡數據破壞,14%的安全問題導致數據失密。從惡意攻擊的特點來看,美國FBI統計的結果是65%的攻擊來自網絡系統內部。
安全設計本身的不完備性也往往構成網絡新的安全風險。新的風險點、新的漏洞被發現、新的攻擊技術手段被利用等管理安全問題會隨時出現。所以,安全管理要求考慮網絡系統的安全配置、正常運行、安全操作、應急響應等一系列問題,而解決這些問題的一個關鍵技術就是對電子政務系統的安全審計。
電子政務的安全管理可以通過安全評估、安全政策、安全標準、安全審計等四個環節來加以規范并進而實現有效的管理。目前,安全審計已經成為電子政務系統中的重要環節。早在2002年,安全審計已被正式定為電子政務建設十大標準之一。
雖然很多的國際規范以及國內對重要網絡的安全規定中都將安全審計放在重要的位置,然而大部分的用戶和專家對安全審計這個概念的理解不統一,都認為是“日志記錄”的功能。如果僅僅是日志功能就滿足安全審計的需求,那么目前絕大部分的操作系統、網絡設備、網管系統都有不同程度的日志功能,大多數的網絡系統都滿足了安全審計的需求。但是實際上這些日志根本不能保障系統的安全,而且也無法滿足事后的偵察和取證應用。安全審計并非日志功能的簡單改進也并非等同入侵檢測。
那么,電子政務的安全審計如何實施呢,現在的安全工程可要求從四個方面來把握。
首先,要把握和控制好數據的來源,比如來自網絡數據截獲;來自系統、網絡、防火墻、中間件等系統的日志;嵌入模塊,主動收集系統內部事件;通過網絡主動訪問,獲取信息;來自應用系統、安全系統等。有數據源的要積極獲取,無數據源的要設法生成數據。對收集數據的性質也要分已經經過分析和判斷的數據和未分析的原始數據不同處理。另外,內部數據要通過轉換形成統一的表示規范。
其次,分析機制需要具備評判異常、違規的依據,與安全策略相關。分為實時分析和事后分析。實時分析:提供或獲取數據的設備/軟件具備預分析能力,并能夠進行第一道篩選。事后分析:維護審計數據的機構對審計記錄的事后分析,包括統計分析和數據挖掘。
篇3
根據相關統計機構提供的數據,目前有60%以上的網絡人侵和破壞是來自網絡內部的,因為網絡內部的人員對于自己的網絡更加熟悉,而且有一定的授權,掌握一定的密碼,又位于防火墻的后端,進行入侵或破壞更加得心應手。一個內部人員不必掌握很多黑客技術就能夠對系統造成重大的損失。因此信息安全審計的功能越發受到重視。
對于一個信息系統而言,信息安全審計究竟要實現怎樣的功能,要實現到怎樣的程度,目前大多數的單位并未真正理解,不少單位對于信息安全審計的認識還停留在日志記錄的層次。一些信息安全測評認證標準可以為我們提供一定的借鑒。
1998年,國際標準化組織(ISO)和國際電工委員會(IEC)發表了《信息技術安全性評估通用準則2.0版》(IS0/IEC15408),簡稱CC準則或CC標準。CC準則是信息技術安全性通用評估準則,用來評估信息系統或者信息產品的安全性。在CC準則中,對網絡安全審計定義了一套完整的功能,如:安全審計自動響應、安全審計事件生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。
TCSEC(TrustedComputerSystemEvaluationCriteria)準則俗稱橙皮書,是美國國防部的一個準則,用于評估自動信息數據處理系統產品的安全措施的有效性。它定義了一些基本的安全需求,如:policy、accountability、assurance等。accountability提出了“安全審計”的基本要求,包括:審計信息必須被有選擇地保留和保護,與安全有關的活動能夠被追溯到負責方,系統應能夠選擇記錄與安全有關的信息,以便將審計的開銷降到最小,并可以進行有效的分析。
計算機信息系統安全保護等級劃分準則中,定義了五個級別:第一級:用戶自主保護級;第二級:系統審計保護級;第三級:安全標記保護級;第四級:結構化保護級;第五級:訪問驗證保護級。從第二個級別開始就需要基本的審計功能,越高的級別對于審計的要求也越高。第二級別的審計要求就包括:計算機信息系統可信計算基能創建和維護受保護客體的訪問審計跟蹤記錄,并能阻止非授權的用戶對它訪問或破壞。
具體來說,計算機信息系統可信計算基應能記錄下述事件:使用身份鑒別機制;將客體引人用戶地址空間(例如:打開文件、程序初始化);刪除客體;由操作員、系統管理員或系統安全管理員實施的動作,以及其他與系統安全有關的事件。對于每一事件,其審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件,審計記錄包含請求的來源(例如:終端標識符);對于客體引人用戶地址空間的事件及客體刪除事件,審計記錄包含客體名。對不能由計算機信息系統可信計算基獨立分辨的審計事件,審計機制提供審計記錄接口,可由授權主體調用。
從上面可以看出,很多的國際規范以及國內的安全規定中都將安全審計放在重要的位置,而安全審計并不像許多用戶所理解的只是“日志記錄”的功能。目前絕大部分的操作系統、網絡設備、網管系統都有不同程度的日志記錄功能,但是實際上這些日志并不能保障系統的安全,也無法滿足事件的偵察和取證應用。各類測評認證標準為我們實現完整的信息安全審計提供了指導,但是如何建設審計系統則需要在這些原則的指導下,具體問題具體分析,根據系統狀況、自身安全需求以及當前技術的支持程度來定制審計系統。
2重要領域信息系統面臨的安全挑戰
隨著信息技術的迅速發展,許多單位和部門對信息系統的依賴性日益嚴重,尤其是一些重要領域(如電子政務、金融、證券等)的信息系統,一旦出現問題將帶來巨大的損失。重要領域的信息系統將面臨來自外部或內部的各種攻擊,包括基于偵聽、截獲、竊取、破譯、業務流量分析、電磁信息提取等技術的被動攻擊和基于修改、偽造、破壞、冒充、病毒擴散等技術的主動攻擊。
信息系統面臨的安全威脅來自多個方面。首先,目前大部分信息系統選用的系統本身存在著安全隱患,如網絡硬件設備(服務器、網絡設備等)和操作平臺(操作系統、數據庫系統、通用軟件系統等)存在弱點和漏洞。應用軟件系統的脆弱性、應用系統的BUG、代碼錯誤、不安全代碼的執行模式、不安全設計、網絡的脆弱性、網絡協議的開放性(TCP/IP協議棧)、系統的相互依賴性都會導致網絡的安全風險。此外,安全設計本身的不完備性、網絡安全管理人員對系統漏洞的置若罔聞都會使攻擊行為得以成功。因此,信息系統的安全方案中要綜合考慮網絡系統的安全配置、正常運行、安全操作、應急響應、安全審計等問題。
3重要領域信息系統中的信息安全審計需求
在重要領域信息系統的眾多安全問題中,內部的安全違規問題尤其值得重視。內部人員違規一般有兩種形式:一種是內部人員的違規操作,造成的后果是影響系統的安全;另一種是有目的地竊取資源。
最近幾年網絡安全領域主要強調的是如何防范外部人侵,如怎么建網關、建防火墻、實現內外網的物理隔離等,但是堡壘最容易從內部攻破,信息最容易從內部丟失。解決內部人員違規的一個重要手段是對重要領域信息系統實行高強度的安全審計。所謂的強審計不是簡單的“日志記錄“,而是增強的、全方位、多層次、分布式的安全審計,覆蓋網絡系統、操作系統、各類應用系統(如\^1)、£-11^1、]\(^£3^(;11&1^、081^)等,對各種未授權或非法的活動實時報警、阻斷等。
安全強審計與一般的安全審計相比在以下幾個方面得到增強:信息收集能力;信息分析能力;適應性;防繞過特性;信息保護特性;審計深度和針對性;規范化、標準化和開放性。
在重要領域信息系統中,信息安全審計的重點如下:
(1)網絡通信系統
重要領域信息系統的普遍特點是網絡流量一般不是很高,但是網上傳輸的可能是機密或敏感的信息,因此除了需要具備一般企業內部網所需要的人侵檢測功能之外,還需要具備以下審計功能,以發現內部網絡上的違規行為:對網絡流量中典型協議分析、識別、判斷和記錄;對了61賊、1111?、£-11^1、1^?、網上聊天、文件共享操作的還原和記錄;對網絡流量進行監測以及對異常流量的識別和報警;對網絡設備運行進行持續的監測。
⑵重要服務器
重要領域信息系統中,重要服務器是信息的集中點,需要對其進行增強的審計,以保護信息資源,對以下事件的審計是最基礎的安全審計功能:服務器系統啟動、運行情況;管理員登錄、操作情況;系統配置更改(如注冊表、配置文件、用戶系統等);病毒或蠕蟲感染情況;資源消耗情況;硬盤、CPU、內存、網絡負載、進程等;操作系統安全日志;系統內部事件;對重要文件的訪問。
(3)應用平臺
僅僅對服務器系統層次的審計還是不夠的,因為目前大量重要領域信息系統的應用平臺在權限控制方面還有一定的缺陷,因此存在通過應用平臺進行違規操作的可能性,例如:直接操作數據庫的行為。因此,應用平臺層次的安全審計也是必須的,審計內容包括:重要應用平臺進程的運行;Web服務器、Mail服務器、Lotus、Exchange服務器、中間件系統;各個平臺的健康狀況;重要數據庫的操作;數據庫的進程;繞過應用軟件直接操作數據庫的違規訪問行為;數據庫配置的更改操作;數據備份操作和其他維護管理操作;對重要數據的訪問和更改操作。
(4)重要應用系統
由于不少重要領域信息系統中已經建立了一系列的應用業務系統,因此對于一般的操作人員來說,業務系統是最主要的人機界面,對于有高安全需求的重要領域信息系統來說,還需要加強應用系統層次的審計。如對于電子政務系統,針對以下應用系統的審計是最基本的:辦公自動化系統、公文流轉和操作、網站系統、相關政務業務系統。
⑶重要網絡區域的客戶機
在一般的信息系統中,對客戶機的審計通常不是必要的。但是對于一些安全級別較高的信息系統的重要網絡區域,針對客戶機的審計還是必要的,主要審計以下內容:病毒感染情況;通過網絡進行的文件共享操作;文件拷貝、打印操作;通過Modem擅自連接外網的情況;非業務異常軟件的安裝和運行。
重要領域信息系統中的安全審計系統建設的要點
在重要領域信息系統中,一個較為全面的審計系統需要關注以下幾點:
(1)數據的來源
審計系統如何獲取所需的數據通常是最關鍵的,數據一般來源于以下幾種方式:來自網絡數據截獲,如各類網絡監聽型的人侵檢測和審計系統;來自系統、網絡、防火墻、中間件等系統的日志(通常通過文件、syslog、SNMP、OPSE等機制獲取日志);通過嵌入模塊,主動收集系統內部事件;通過網絡主動訪問,獲取信息(如掃描,HTTP訪問等);來自應用系統、安全系統的審計接口。
在重要領域信息系統中的安全審計系統的建設中,尤其需要考慮強制獲取數據的機制,即:有數據源的,通過審計系統來獲取;無數據源的,要設法生成數據,進行審計。這也是強審計和一般的日志收集系統的區別之一。目前,各類wrapper技術是強制生成審計數據源的有效手段之一。
另外,在數據源方面,還需要關注所收集數據的性質,有些數據是已經經過分析和判斷的數據,有些數據是未分析的原始數據,不同的數據要采用不同的處理機制。此外在很多系統中可能需要根據實際情況定制數據轉化的功能。
(2)審計系統的分析機制
審計系統需具備評判異常、違規的能力,一個沒有分析機制的審計系統雖然理論上可以獲取和記錄所有的信息,但實際上在需要多層次審計的環境中是不能發揮作用的。審計系統的分析機制通常包括:實時分析,提供或獲取數據的設備/軟件應具備預分析能力,并能夠進行第一道篩選;事后分析,維護審計數據的機構對審計記錄的事后分析,事后分析通常包括統計分析和數據挖掘兩種技術。對于重要領域的信息系統來說,兩方面的分析機制都是需要的,一般情況下審計系統都應具備實時分析能力,如果條件允許,也應具備事后分析的能力。
⑶與原有系統的關系
通常一般企業構建安全審計系統時,僅僅采用一些入侵檢測系統就滿足需求了,與原有系統關系不大。但是在重要領域信息系統中,需要實現多層次多角度的安全強審計,因此審計系統必然和原有的系統有一定的關系。通常,審計系統與原有系統的關系包括:完全透明型,原有系統根本察覺不到審計系統的存在;松散嵌入型,基本上不改變原有系統;緊密嵌人型,需要原有系統的平臺層和部分應用做出較大改變;一體化設計,系統設計之初就考慮審計功能,所有模塊都有與審計系統的接口。
如何在實現審計的同時確保原有系統的正常運轉是審計系統構建的關鍵,要盡量做到最小修改和影響系統性能最小。
(4)如何保證審計功能不被繞過
有了安全審計的措施,必然會有各類繞過審計系統的手段。而在重要領域的信息系統中,審計系統如果被輕易繞過將導致嚴重的后果。所以在建設審計系統時,需要充分考慮審計系統的防繞特性。通常可以采用以下手段增強審計系統的防繞性:通過技術手段保證的強制審計,如網絡監聽和wrapper機制;通過不同審計數據的相互印證,發現繞過審計系統的行為;通過對審計記錄的一致性檢查,發現繞過審計系統的行為;采用相應的管理手段,從多角度保證審計措施的有力貫徹。
(5)對審計數據的有效利用
如果光建立一個審計系統,而缺乏對審計數據的深度利用將無法發揮審計系統的作用。可以考慮以下的措施:根據需求,進行二次開發,對審計數據進行深人的再分析,可以充分利用成熟的分析系統,實現關聯分析、異常點分析、宏觀決策支持等高層審計功能;對審計系統中安全事件建立相應的處理流程,并加強對事件處理的審計與評估;根據審計數據,對不同的安全部件建立有效的響應與聯動措施;針對審計記錄,有目的地進行應急處理以及預案和演習;建立相應的管理機制,實現技術和管理的有機結合。
篇4
論文摘要:本文強調審計工作的安全、高效和信息化,從審計工作的現狀、發展瓶頸到信息化審計的制度健全、引入主機系統安全審計、業務系統安全審計等相關管理辦法、新技術或新理念和待解決的問題等方面,論述構建安全高效的審計信息化安全保障體系的措施。
審計是客觀評價個人,組織、制度、程序、項目或產品。審計執行是以確定有效性和可靠性的信息,還提供了一個可內控的評估系統。審計的目標是表達人、組織、系統等的評估意見,審計人員在測試環境中進行評估工作。審計必須出示合理并基本無誤的報表,通常是利用統計抽樣來完成。審計也是用來考察和防止虛假數據及欺騙行為,檢查、考證目標的完整性、準確性,以及檢查目標是否符合既定的標準、尺度和其它審計準則。實現審計的信息化,有利于管理層迅速準確的做出決定,對于政企業發展、社會經濟的進步都具有重要作用。目前,我國的審計工作尚存在性質認定模糊、工作范圍過于狹窄等問題,有待進一步加強和改進。
審計的基礎工作是內部審計,內審是審計監督體系中不可或缺的重要組成部分,是全面經濟管理必不可少的手段,是加強任何機構內部管理的必要,推動經濟管理向科學化方向發展的重要環節也是審計。因此說審計部門是其他監督部門不能代替的,促進黨風廉政建設、加強對黨政領導干部及管理人員的監督都可以通過審計來完成。審計應用與高新技術機構中,在防范風險中發揮著重要作用,也有助于領導層做出正確決策。
一、審計工作的現狀及存在的問題
隨著我國經濟迅猛發展,審計監督力度不斷增強,審計范圍也不斷擴大。當前,審計方式已由財政財務審計向效益審計發展,由賬項基礎審計向制度基礎審計、風險基礎審計發展,由事后審計向事中、事前審計發展。審計管理上建立審計質量控制體系,要求審計機關把審計管理工作前移,把質量控制體系貫穿與審計工作中。在此趨勢下,傳統的審計方法暴露出其效率低、審計范圍小等劣勢,使得完成審計任務,達到審計目標越發缺乏及時性。
(一)內部審計性質認定較為模糊。內部審計是市場經濟條件下,基于加強經營管理的內在需要,也是內部審計賴以存在的客觀基礎。但是,現代內部審計的產生卻是一個行政命令產物,強調外向。這種審計模式使人們對內部審計在性質認定上產生模糊,阻礙了內部審計的發展。內部審計很難融入經營管理中,審計工作很難正常開展,很難履行監督評價職能和開展保證咨詢活動,因此就不能充分發揮其應有的內向的作用。
(二)內部審計工作范圍過于狹窄。內部審計的目的在于為組織增加價值并提高組織的運作效率,其職能是監督和服務。但是,我國內部審計工作的重心局限在財務收支的真實性及合規性審計。長久以來內部審計突出了監督職能,而忽視了服務職能。內部審計認識水平、思想觀念的束縛以及管理體制等諸多因素,影響和阻礙著內審作用的有效發揮。原因有會計人員知識水平、業務素質不高,也有不重視法律、法規的因素,還有監管不力、查處不嚴的原因。目前內部審計尚處在查錯階段,停留在調賬、糾正錯誤上,還不能多角度、深層次分析問題,沒有較國際先進的審計理念,我國內部審計的作用尚待開發。審計人員的計算機知識匱乏,不適應電算化、信息化的迅速發展。目前多數審計人員硬件知識掌握不熟練,軟件知識了解也不足,因此不能有效地評估信息系統的安全性、效益性。由于計算機審計軟件開發標準不同,功能也不完整,因此全面推廣計算機輔助審計就有一定難度,導致審計人員的知識和審計手段滯后于信息化的發展。
二、信息化審計體系的健全
當前國家審計信息化發展的趨勢是建立審計信息資源的標準化、共享化、公開化,逐步達到向現代審計方式的轉變。這一趨勢是隨著當前科學發展、和諧社會的推進,國家確立的公共財政建設、公共服務的實施、公共產品的提供應運而生的,三個“公共”的主旨是:國家財政資金的使用更注重民生;使用重點更注重服務;使用效益更注重民意。
信息安全審計是任何機構內控、信息系統治理、安全風險控制等不可或缺的關鍵手段。收集并評估證據以決定一個計算機系統是否有效地做到保護資產、維護數據完整、完成目標,同時能更經濟的使用資源。信息安全審計與信息安全管理密切相關,信息安全審計的主要依據是出于不同的角度提出的控制體系的信息安全管理相關的標準。這些控制體系下的信息化審計可以有效地控制信息安全,從而達到安全審計的目的,提高信息系統的安全性。由此,國際組織也制定了相關文件規范填補信息系統審計方面的某些空白。例如《信息安全管理業務規范》通過了國際標準化組織ISO的認可,正式成為國際標準。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務院辦公廳關利用計算機信息系統開展審計工作有關的通知》等文件,基本規范了內部審計機制,健全了內部審計機構;強調機構應加強內審工作,機構內部要形成有權就有責、用權受監督的最佳氛圍;審計委員會直接對領導班子負責,其成員需具有相應的獨立性,委員會成員具良好的職業操守和能力,內審人員應當具備內審人員從業資格,其工作范圍不應受到人為限制。內部審計機構對審計過程中發現的重大問題,視具體情況,可以直接向審計委員會或者領導層報告。 轉貼于 三、主機系統安全審計
信息技術審計,或信息系統審計,是一個信息技術基礎設施控制范圍內的檢查。信息系統審計是一個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面做出判斷的過程。
以技術劃分,信息化安全審計主要分為主機審計、網絡審計、應用審計、數據庫審計,綜合審計。簡單的說獲取、記錄被審計主機的狀態信息和敏感操作就是主機審計,主機審計可以從已有的系統審計記錄中提取相關信息,并以審計規則為標準來分析判斷被審計主機是否存在違規行為。總之,為了在最大限度保障安全的基礎上找到最佳途徑使得業務正常工作的一切行為及手段,而對計算機信息系統的薄弱環節進行檢測、評估及分析,都可稱作安全審計。
主機安全審計系統中事件產生器、分析器和響應單元已經分別以智能審計主機、系統中心、管理與報警處置控制臺來替代。實現主機安全系統的審計包括系統安全審計、主機應用安全審計及用戶行為審計。智能審計替代主機安裝在網絡計算機用戶上,并按照設計思路監視用戶操作行為,同時智能分析事件安全。從面向防護的對象可將主機安全審計系統分為系統安全審計、主機應用安全審計、用戶行為審計、移動數據防護審計等方面。
四、待解決的若干問題
計算機與信息系統廣泛使用,如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系,也就是建立安全策略體系、安全管理體系和安全技術體系。
保護網絡設備、設施、介質,對操作系統、數據庫及服務系統進行漏洞修補和安全加固,對服務器建立嚴格審核。在安全管理上完善人員管理、資產管理、站點維護管理、災難管理、應急響應、安全服務、人才管理,形成一套比較完備的信息系統安全管理保障體系。
防火墻是保證網絡安全的重要屏障,也是降低網絡安全風險的重要因素。VPN可以通過一個公用網絡建立一個臨時的、安壘的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。借助專業的防DDos系統,可以有效的阻止惡意攻擊。信息系統的安全需求是全方位的、系統的、整體的,需要從技術、管理等方面進行全面的安全設計和建設,有效提高信息系統的防護、檢側、響應、恢復能力,以抵御不斷出現的安全威脅與風險,保證系統長期穩定可靠的運行。嚴格的安全管理制度,明確的安全職責劃分,合理的人員角色定義,都可以在很大程度上減少網絡的安全隱患。
從戰略高度充分認識信息安全的重要性和緊迫性。健全安全管理組織體系,明確安全管理的相關組織、機構和職責,建立集中統一、分工協作、各司其職的安全管理責任機制。為了確保突發重大安全事件時,能得到及時的響應和支援,信息系統必須建立和逐步完善應急響應支援體系,確保整個信息系統的安全穩定運行。
參考文獻:
[1]宋新月,內部審計在經濟管理中的重要作用淺析[J],知識經濟,2009
篇5
關鍵詞:審計;信息化,安全保障體系;主機審計
審計是客觀評價個人,組織、制度、程序、項目或產品。審計執行是以確定有效性和可靠性的信息,還提供了一個可內控的評估系統。審計的目標是表達人、組織、系統等的評估意見,審計人員在測試環境中進行評估工作。審計必須出示合理并基本無誤的報表,通常是利用統計抽樣來完成。審計也是用來考察和防止虛假數據及欺騙行為,檢查、考證目標的完整性、準確性,以及檢查目標是否符合既定的標準、尺度和其它審計準則。實現審計的信息化,有利于管理層迅速準確的做出決定,對于政企業發展、社會經濟的進步都具有重要作用。目前,我國的審計工作尚存在性質認定模糊、工作范圍過于狹窄等問題,有待進一步加強和改進。
審計的基礎工作是內部審計,內審是審計監督體系中不可或缺的重要組成部分,是全面經濟管理必不可少的手段,是加強任何機構內部管理的必要,推動經濟管理向科學化方向發展的重要環節也是審計。因此說審計部門是其他監督部門不能代替的,促進黨風廉政建設、加強對黨政領導干部及管理人員的監督都可以通過審計來完成。審計應用與高新技術機構中,在防范風險中發揮著重要作用,也有助于領導層做出正確決策。
一、審計工作的現狀及存在的問題
隨著我國經濟迅猛發展,審計監督力度不斷增強,審計范圍也不斷擴大。當前,審計方式已由財政財務審計向效益審計發展,由賬項基礎審計向制度基礎審計、風險基礎審計發展,由事后審計向事中、事前審計發展。審計管理上建立審計質量控制體系,要求審計機關把審計管理工作前移,把質量控制體系貫穿與審計工作中。在此趨勢下,傳統的審計方法暴露出其效率低、審計范圍小等劣勢,使得完成審計任務,達到審計目標越發缺乏及時性。
(一)內部審計性質認定較為模糊。內部審計是市場經濟條件下,基于加強經營管理的內在需要,也是內部審計賴以存在的客觀基礎。但是,現代內部審計的產生卻是一個行政命令產物,強調外向。這種審計模式使人們對內部審計在性質認定上產生模糊,阻礙了內部審計的發展。內部審計很難融入經營管理中,審計工作很難正常開展,很難履行監督評價職能和開展保證咨詢活動,因此就不能充分發揮其應有的內向的作用。
(二)內部審計工作范圍過于狹窄。內部審計的目的在于為組織增加價值并提高組織的運作效率,其職能是監督和服務。但是,我國內部審計工作的重心局限在財務收支的真實性及合規性審計。長久以來內部審計突出了監督職能,而忽視了服務職能。內部審計認識水平、思想觀念的束縛以及管理體制等諸多因素,影響和阻礙著內審作用的有效發揮。原因有會計人員知識水平、業務素質不高,也有不重視法律、法規的因素,還有監管不力、查處不嚴的原因。目前內部審計尚處在查錯階段,停留在調賬、糾正錯誤上,還不能多角度、深層次分析問題,沒有較國際先進的審計理念,我國內部審計的作用尚待開發。審計人員的計算機知識匱乏,不適應電算化、信息化的迅速發展。目前多數審計人員硬件知識掌握不熟練,軟件知識了解也不足,因此不能有效地評估信息系統的安全性、效益性。由于計算機審計軟件開發標準不同,功能也不完整,因此全面推廣計算機輔助審計就有一定難度,導致審計人員的知識和審計手段滯后于信息化的發展。
二、信息化審計體系的健全
當前國家審計信息化發展的趨勢是建立審計信息資源的標準化、共享化、公開化,逐步達到向現代審計方式的轉變。這一趨勢是隨著當前科學發展、和諧社會的推進,國家確立的公共財政建設、公共服務的實施、公共產品的提供應運而生的,三個“公共”的主旨是:國家財政資金的使用更注重民生;使用重點更注重服務;使用效益更注重民意。
信息安全審計是任何機構內控、信息系統治理、安全風險控制等不可或缺的關鍵手段。收集并評估證據以決定一個計算機系統是否有效地做到保護資產、維護數據完整、完成目標,同時能更經濟的使用資源。信息安全審計與信息安全管理密切相關,信息安全審計的主要依據是出于不同的角度提出的控制體系的信息安全管理相關的標準。這些控制體系下的信息化審計可以有效地控制信息安全,從而達到安全審計的目的,提高信息系統的安全性。由此,國際組織也制定了相關文件規范填補信息系統審計方面的某些空白。例如《信息安全管理業務規范》通過了國際標準化組織ISO的認可,正式成為國際標準。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務院辦公廳關利用計算機信息系統開展審計工作有關的通知》等文件,基本規范了內部審計機制,健全了內部審計機構;強調機構應加強內審工作,機構內部要形成有權就有責、用權受監督的最佳氛圍;審計委員會直接對領導班子負責,其成員需具有相應的獨立性,委員會成員具良好的職業操守和能力,內審人員應當具備內審人員從業資格,其工作范圍不應受到人為限制。內部審計機構對審計過程中發現的重大問題,視具體情況,可以直接向審計委員會或者領導層報告。
三、主機系統安全審計
信息技術審計,或信息系統審計,是一個信息技術基礎設施控制范圍內的檢查。信息系統審計是一個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面做出判斷的過程。
以技術劃分,信息化安全審計主要分為主機審計、網絡審計、應用審計、數據庫審計,綜合審計。簡單的說獲取、記錄被審計主機的狀態信息和敏感操作就是主機審計,主機審計可以從已有的系統審計記錄中提取相關信息,并以審計規則為標準來分析判斷被審計主機是否存在違規行為。總之,為了在最大限度保障安全的基礎上找到最佳途徑使得業務正常工作的一切行為及手段,而對計算機信息系統的薄弱環節進行檢測、評估及分析,都可稱作安全審計。
主機安全審計系統中事件產生器、分析器和響應單元已經分別以智能審計主機、系統中心、管理與報警處置控制臺來替代。實現主機安全系統的審計包括系統安全審計、主機應用安全審計及用戶行為審計。智能審計替代主機安裝在網絡計算機用戶上,并按照設計思路監視用戶操作行為,同時智能分析事件安全。從面向防護的對象可將主機安全審計系統分為系統安全審計、主機應用安全審計、用戶行為審計、移動數據防護審計等方面。
四、待解決的若干問題
計算機與信息系統廣泛使用,如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系,也就是建立安全策略體系、安全管理體系和安全技術體系。
保護網絡設備、設施、介質,對操作系統、數據庫及服務系統進行漏洞修補和安全加固,對服務器建立嚴格審核。在安全管理上完善人員管理、資產管理、站點維護管理、災難管理、應急響應、安全服務、人才管理,形成一套比較完備的信息系統安全管理保障體系。
防火墻是保證網絡安全的重要屏障,也是降低網絡安全風險的重要因素。VPN可以通過一個公用網絡建立一個臨時的、安壘的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。借助專業的防DDos系統,可以有效的阻止惡意攻擊。信息系統的安全需求是全方位的、系統的、整體的,需要從技術、管理等方面進行全面的安全設計和建設,有效提高信息系統的防護、檢側、響應、恢復能力,以抵御不斷出現的安全威脅與風險,保證系統長期穩定可靠的運行。嚴格的安全管理制度,明確的安全職責劃分,合理的人員角色定義,都可以在很大程度上減少網絡的安全隱患。
從戰略高度充分認識信息安全的重要性和緊迫性。健全安全管理組織體系,明確安全管理的相關組織、機構和職責,建立集中統一、分工協作、各司其職的安全管理責任機制。為了確保突發重大安全事件時,能得到及時的響應和支援,信息系統必須建立和逐步完善應急響應支援體系,確保整個信息系統的安全穩定運行。
參考文獻:
[1]宋新月,內部審計在經濟管理中的重要作用淺析[J],知識經濟,2009
