安全审计论文精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的安全审计论文主题范文,仅供参考,欢迎阅读并收藏。
第1篇:安全审计论文范文
1、一般资料
收集2006年1月—2009年12月XX医院护理业务查房病历65份。将65份护理查房病历中出现的护理诊断进行有针对性的统计。
2、影响因素
2.1法律意识淡薄
护理人员对安全管理存在着不同程度的错误认识,由于繁忙的护理工作,忽略了对安全管理的认识,护理人员对于安全隐患的判断与处理不够,缺少法律意识,不会用法律保护自己。
2.2环境因素
影响神经内科护理安全的环境因素主要有地面滑、床脚移动和病房扶栏三个方面。病房地面滑是引起病人摔伤的因素之一[3]。由于神经科病人存在肢体偏瘫、无力,在清扫地面后,如地面潮湿、过滑,病人行走易出现摔伤。为给病人创造舒适安全的治疗、休养环境,病房走廊的扶栏、浴室卫生间的扶栏安装很重要。尤其对于神经科病人,可以找到支撑点,防止摔伤、跌倒。
2.3用药与设备因素
由于医学技术的发展,新药与设备不断更新,神经科所用药物大部分为高渗性,对血管刺激性大,再加之病人年龄、血管因素,因此临床药物外渗静脉炎发生率很高。加之药物配伍、给药途径、设备使用不当等方面原因给病人造成不安全后果[4]。医疗设备本身的安全、患者的安全及操作者的安全。仪器设备的使用不当、故障、老化、种类不齐、性能不良、规格不配套或护理人员对仪器操作不熟练等问题,都可能给患者造成危害。使用中常见的危险因素是测值不准确;仪器设备消毒不彻底,也常成为神经内科患者的感染源[5]。
2.4人员与技术因素
护士评估患者的知识水平不只是看其文化程度,主要是评估其对自身疾病的了解程度,统计结果显示,不论文化程度高低,患者对自身疾病的了解和认知程度均属于缺乏之列,对疾病的发生发展规律、用药常识等缺乏了解,若卫生宣教不到位,很可能导致许多风险和纠纷的发生,例如进展性卒中的患者往往对住院以后病情还继续加重不理解。人员方面因素主要指由于护理人员素质或数量方面的原因不能保证满足工作基本要求而给病人造成的不安全影响或隐患;技术因素主要指由于护理人员技术水平低、经验不足或协作能力不强等原因对病人安全构成的威胁。特别是随着新技术、新项目大量引进与开发,护理工作中复杂程度高、技术要求高的内容日益增多,不仅对护理人员形成较大的工作压力,而且致护理工作中技术方面风险加大,影响护理安全。
2.5疾病因素
(1)偏瘫
神经科病人大多年老体弱,同时存在视力减退,神经疾病导致瘫痪、步态不稳、起立与迈步艰难等,常突发抽搐及晕厥。病人对病床高度不适应时易致坠床。
(2)感觉障碍
神经科病人存在感觉障碍的占大多数,病人对痛温觉感觉障碍,病人家属未掌握热水袋、局部热敷的温度及使用方法。如使用热水袋不当导致烫伤。病人长时间一个卧位,导致皮肤出现压疮等。
(3)抽搐
癫痫病人抽搐发作时,常发生舌咬伤、骨折、坠床等意外。抽搐间隙期病人疏于带牙套、置牙垫防护,如突发抽搐易致舌咬伤,按压肢体易致骨折等。
(4)精神异常
神经内科病人,发生大面积的额叶、颞叶等部位损害后,出现精神异常、躁动。肢体忽略病人,危险性增加,病人有自伤危险,出现他伤、自伤等。老年痴呆病人出现定向力、记忆力等缺失,如防护措施不到位,未做到24h连续看护,特别是外出进行辅助检查时,人员较杂,稍有疏忽容易走失。
(5)呼吸困难
神经肌肉疾病,如格林巴利综合征、重症肌无力、周围神经病变等,病变累及呼吸肌后即可出现呼吸困难、窒息等。神经系统多种疾病均可出现吞咽困难,咳嗽反射减弱,如进食呛咳引起食物误吸,鼻饲不当引起误吸,牙齿松动脱落导致窒息,痰液黏稠导致气道受阻。此类风险多易发生于吞咽障碍、需要鼻饲饮食的患者。
(6)感染
各种监测、诊疗技术的应用,使接受侵入性操作的患者医院感染率明显高于无侵入性操作的患者,其中机械通气患者相关性呼吸道感染者为85.0%,气管切开感染者为50.5%[6]。80%的医院内泌尿系统感染与导尿有关,且留置时间越长感染率越高[7]。病人住院期间有发生院内感染的风险。主要表现在神经内科护理人员工作量大,护士编制相对不足,护士整日忙于治疗和处理医嘱,长期超负荷工作,都是影响护理安全的因素。护理人员业务及技术水平与护理安全有一定关系。临床实践表明,护士的素质和能力与护理差错事故的发生往往有直接联系,近年由于低年资护士增多,导致技术操作熟练程度欠缺,经验不足,工作责任心不强,护理不到位等,极易产生各种外伤及护理差错事故的发生,给患者的安全构成威胁,特别是随着新的医疗技术大量引进与开展,对技术要求越来越高。护理管理者工作中预见性欠缺,基础质量工作监管不到位,给患者造成不安全的后果。护理人员卫生宣教不到位,护患沟通欠缺。卫生员工作监管不够,给患者造成不安全的后果。
二、安全策略
1、善抢救仪器的管理
制度,仪器设备专人管理,做好培训、考核、消毒灭菌、定期检查维修等工作。每班检查,每周大检查,原则上不外借。配备一定量的零配件和必要的配置替换设备,以备应急。将仪器报警声音调至最低,工作人员的动作轻,治疗护理操作尽量集中进行,碰到抢救或特殊情况时,拉上床位之间的布帘,减少对患者的干扰和影响。
2、加强健康教育
加强健康教育,增进医患沟通要取得患者及家属的有力配合,需要通过加强健康教育,增进医患之间的沟通。为此,每月开1-2次的健康教育讲座,由责任护士着重讲解神经内科的基础知识,及诸如脑中风等病症的预防、治疗、预后、康复等知识,让家属明了患者的检查治疗情况、用药情况、医疗费用情况、预后及康复情况,使之更好地配合各项治疗、护理。在开展健康教育时,应同时将一些需要注意的事项告知患者及家属。如对于蛛网膜下腔出血的患者家属,应告知蛛网膜下腔出血病因大多是由动脉瘤或血管畸形造成的,在没有去除病因之前,排便过于用力、情绪激动都可能导致生命危险。
3、加强法律、法规的教育
护理风险与法律法规有着密切的关系,因护理人员法制观念淡薄而发生的护理缺陷或纠纷时有发生。因此,应该经常组织护理人员学习《医疗事故处理条理》、《医院护理管理条例》、《护理差错的分类及评定标准》、《突发事件应急处理预案》等与护理风险相关的法律知识,提高法律意识,从职业道德和法律的高度规范护士的护理行为,聘请法律顾问为护士上法制课,增强护理人员的法律意识和法制观念。提高护理人员的自律能力和守法的自觉性,在全面认识理解法律、法规的基础上制订的有关实施细则、规范[8]。提高安全意识,坚持预防为主的方针,科内制定安全日,责任班负责评估病人安全隐患,定期召开护理安全会议,对于其他科室和本科室出现的护理安全问题,进行组内讨论,制定整改措施。科内制定相关预案流程,相关规章制度,使护士知道该做什么、不该做什么以及怎样做。在尊重和维护病人权益的同时,懂得运用法律武器维护自身的合法权益。
4、加强感染控制
神经内科病人大多是年老体弱、吞咽困难、感觉障碍、肢体肌力差的病人。首先护理人员要做好入院宣教,入院当天向患者详细介绍住院环境、住院须知、呼叫系统使用方法。护士对患者进行全面护理评估,包括肌力、肌张力、视力、步态及步行时的平衡力,足部有无变形或痛楚等。根据评估所得到的结果进行健康宣教;3天内护士对患者进行疾病相关知识和注意事项的宣教,护士长及时进行健康教育知晓情况的检查,检查结果与护士工作考核挂勾。给患者加用床档保护,指导患者及家属活动时有人陪同,不穿拖鞋,以免摔伤、坠床等意外发生;使用热水袋时要指导使用温度及使用方法,以免烫伤;长期卧床要经常变换,以防出现压疮及坠积性肺炎;鼻饲时要将床头抬高,并保持床头抬高,鼻饲后30min尽量不给患者翻身,以防吸入性肺炎的发生。总之,掌握各种危险因素,最大限度地减少对病人安全的威胁。进入病区的所有人员戴口罩、戴鞋套,严格无菌技术操作原则,限制探视时间和人员进入。严格掌握侵入性诊疗手段的运用指征,加强各种导管的护理。合理应用抗生素,减少不合理的联合用药,从而延缓细菌产生耐药,提高临床治愈率[9]。做好环境的消毒,加强空气的清洁和消毒。患者转出后做好终末消毒,使用后的仪器、设备和各种管道应严格消毒,防止感染。
5、提高护理人员的整体素质
扎实的理论知识和熟练的操作技能是确保护理安全和实现自我保护的基础。神经内科病人病情变化快,需要护士利用专业知识,充分向家属做好解释工作,协助医生做出正确的处理。如果护士没有扎实的专业知识,就不能在医疗护理过程中掌握主动,甚至有时因解释不清、处理不及时而使患者和家属不满意,产生不良后果。在抢救时,若护士技术娴熟,就能给患者和家属以安慰,得到他们的支持和理解,减少纠纷的发生。加强护士专科业务知识培训,提高护士风险防范的能力,在注重护理基础知识和基本技能培训的同时,有针对性的进行专科业务知识、操作技能的训练,请科主任作专科理论知识讲课。对护士进行呼吸机、心电监护仪操作的培训考试,做到人人过关。创造一个安全的病房环境,如地面材料防滑、干燥,卫生员拖地应设警示牌,提示病人防滑,厕所、洗漱间增设防滑垫;坐凳带扶手。病房、走廊安装横向扶手,厕所安装竖向扶手,便于站起时借力;病床、轮椅的制动闸性能良好,其次应加强巡视,主动给予帮助。在提高护士业务水平的同时,也提高了风险防范的能力。通过学习,使护士明确了护患双方的责任和权利,认识到虽然护理风险不能完全避免,但通过采取有效的防范措施是可以化解护理风险,减少护理纠纷和差错事故的发生,从而加强护士的法律意识和护理风险防范意识,认真的处理好病人从入院到出院过程中的每个环节,更好地为病人服务。
第2篇:安全审计论文范文
论文摘要:本文强调审计工作的安全、高效和信息化,从审计工作的现状、发展瓶颈到信息化审计的制度健全、引入主机系统安全审计、业务系统安全审计等相关管理办法、新技术或新理念和待解决的问题等方面,论述构建安全高效的审计信息化安全保障体系的措施。
审计是客观评价个人,组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见,审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表,通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为,检查、考证目标的完整性、准确性,以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化,有利于管理层迅速准确的做出决定,对于政企业发展、社会经济的进步都具有重要作用。目前,我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题,有待进一步加强和改进。
审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。
一、审计工作的现状及存在的问题
随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。
(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向的作用。
(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。
二、信息化审计体系的健全
当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。
信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织iso的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。
三、主机系统安全审计
信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。
主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。
四、待解决的若干问题
计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。
防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。vpn可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防ddos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。
从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。
参考文献:
[1]宋新月,内部审计在经济管理中的重要作用浅析[j],知识经济,2009
第3篇:安全审计论文范文
关键词:信息系统开发;安全策略;网络技术
中图分类号:TP399文献标识码:A文章编号:1007-9599 (2012) 02-0000-02
Analysis of Security Policy of Information Systems Development
Ling Bin1,Wang Donghong1,Chi Yan2
(1.Northeast Forestry University,Harbin150040,China;2. Heilongjiang University of Chinese Medicine,Harbin150040,China)
Abstract:Along with our country to the application of computer network technology and the deepening of information system.has gradually become the planning construction and management process is the most important one of systems.And the system to have strict security requirements. security goal is very clear.Based on the information system to conduct a comprehensive safety management and construction safety plan.can satisfy the management and technology of double security needs.Therefore.how the information system development process of application security strategy.in order to improve the information system for the overall safety performance also gradually become information system developers and builders focus.In this paper,the information system development process of the safety planning and building construction safety management are analyzed.Presents practical information system security strategy.
Keywords:Information system development;Security strategy;Network technology
现阶段,计算机网络技术已经在设计、科研、生产和办公能方面得到了较为广泛的应用,且发挥出了越来越重要的作用。计算机网络技术中,信息系统的广泛应用给人们的工作和生活带来了极大的便利,但与此同时,也对其保密性和安全性提出了较大的挑战,如何提高信息系统的安全性也成为了信息系统开发者工作的重点。在信息系统的规划建设过程中,建设前的安全规划与实施后持续、完善的安全管理都是提高信息系统安全性较为有效的措施。
一、信息系统的建设安全规划
信息系统中的建设安全规划应主要体现在数据安全、运行安全、系统安全和物理安全这四个方面。
第一,数据安全,即在信息系统使用过程中,尤其是传输数据时,要通过适当的密码措施来对数据的安全性进行保护,防止数据泄露问题发生。在数据加密后,即使数据在传输过程中被截获或是入侵,由于截获的是密文,所获信息也是无效的。
第二,运行安全。要恰当处理信息系统应用所面对的安全问题,在系统开发时应采取病毒防护、身份鉴别、安全审计、漏洞扫描、入侵检测、防火墙等保护措施。防火墙能够在网络的出口部位对网络通讯的安全性进行检查,按照安全规则的要求,信息系统不仅要确保内部的安全性,还要保证系统外部的安全性,将网络的外部与内部相隔离,从而提高整个系统的安全性。通过设置与防火墙相关联的病毒入侵检测系统,能够对信息数据进行实时保护,对进出系统的数据都要进行实时分析,及时发现并阻断外界的攻击,从而降低网络隐患。漏洞扫描系统能够对口令/账号、服务器主机、网络系统等存在的威胁、漏洞和安全隐患进行扫描和报告,并及时地采取主动的安全措施和补救行动,从而提高系统安全性。安全审计系统能够对使用信息系统的所有用户的活动进行监控和数据收集,供系统管理者审查用,从而提高系统的管理效率。身份鉴别系统是安全系统的关键部分,能够对用户是否合法进行主动的判断,且口令与智能卡相结合的鉴别方法能够大大提高系统安全性,也便于应用。为应对计算机病毒问题,信息系统还应设计病毒防护措施,实时监控病毒的攻击和入侵情况,对整个系统进行全面的监控,但要注意在使用时要及时更新病毒信息,定时对计算机运行环境进行检测。
第三,系统安全,主要包括应用系统与操作系统的安全性。在选择应用系统时,要对定制软件和通用软件都进行风险检测,及时发现和处理系统中存在的问题和安全隐患。而对于操作系统,则要选用具有较高安全性的系统,同时进行必要的安全设置。
第四,物理安全,这一部分是保证整个系统安全性的基础,因而要符合国家的相关规定。首先该系统要满足防静电、防雷、温湿度、配电、布线、电力、防震、防水、防火、场地等的要求。其次,要保证整个系统能够安全使用,且符合国家相关标准。最后,还要保证该系统所使用的安全设施,必须是符合国家标准的设备,并具有国家保密部门的审批合格证明。
二、系统的安全管理
安全的系统管理能够为信息系统的安全有效运行提供保障,也是系统安全运行的基础,要提高信息系统的安全性,保障其顺利稳健的运行,在管理和设计方面应做到以下几点:
(一)人员管理
人员管理主要涉及外部人员的管理和内部人员的管理两个部分,系统内部的操作使用者和管理者是造成信息系统安全隐患的关键因素,因此,在选择内部管理人员时,必须要对其职业道德、政治思想状况、社会关系、个人经历等进行核查,保证系统人员的可靠性和安全性。同时,还要使其明确工作职责,在进行系统操作时按照职责要求进行。除此之外,还要对系统操作者和使用者的安全知识和安全意识进行培训,如退出和登录等基本操作的规范化和保密意识的培养等。对于系统管理者来说,其所掌握的安全知识和相应的安全管理水平要更加完善,包括对于违法入侵的防范和鉴别能力、系统的管理和维护能力等。外部人员指能够进入该系统进行服务和维修的人员,对于这部分人员的管理包括旁站陪同控制、携带物品限制、安全控制区域隔离、保密要求知会等几方面。
(二)安全管理制度的制定
系统安全策略和安全管理制度的制定能够提高系统运行的可靠性和安全性。安全管理制度主要包括:人员安全管理、应急响应措施、安全审计管理、开发与运行管理、恢复与备份管理、恶意代码防护措施、病毒防护措施、移动设备管理措施和运行环境管理措施等。系统安全策略主要包括:应急响应策略、保护信息完整性策略、系统安全管理策略、系统安全检测策略、运行管理策略、身份鉴别策略、恶意代码防护策略、病毒防护策略、恢复与备份策略和安全审计策略等。
(三)设置安全管理机构
安全管理机构的设置目的主要在于:第一,对信息系统的保密性和安全性进行定期的检测和提升。第二,安全保密措施的制定和实施管理。第三,制定和实施信息系统的安全策略和保密管理制度,主要包括管理策略和技术策略两部分。
三、总结
综上所述,信息系统通常主要由网络通信、共享服务和应用操作三个基本部分组成,全过程的网络通信保护系统、资源共享的边界保护和可靠的操作应用平台,三方面共同组成了具有固定工作和使用流程的生产和信息管理系统,能为信息的安全性提供充分的保障。在今后的信息系统开发中,还可在检测引擎中适当加入检测隐通道,从而避免信息生产系统存在隐蔽通道的问题,这也是今后信息系统开发工作的重点内容。
参考文献:
[1]闫树.信息系统的安全策略及若干技术研究[D].武汉理工大学硕士学位论文,2009
[2]薛丽.综合信息管理系统中的安全策略及其应用研究[D].大连理工大学硕士学位论文,2008
第4篇:安全审计论文范文
[论文摘要]通过对电力系统计算机网络存在的网络安全问厦的分析,提出相应的安全对策,并介绍应用于电力系统计算机网络的网络安全技术。
[论文关键词】电力信息安全策略
在全球信息化的推动下,计算机信息网络作用不断扩大的同时,信息网络的安全也变得日益重要,一旦遭受破坏,其影响或损失也十分巨大,电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。应结合电力工业特点,深入分析电力系统信息安全存在的问题,探讨建立电力系统信息安全体系,保证电网安全稳定运行,提高电力企业社会效益和经济效益,更好地为国民经济高速发展和满足人民生活需要服务。
研究电力系统信息安全问题、制定电力系统信息遭受内部外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。
一、电力系统的信息安全体系
信息安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。包括保密性、完雅性、可用性、真实性、可靠性、责任性等几个方面。
信息安全涉及的因素有,物理安全、信息安全、网络安全、文化安全。
作为全方位的、整体的信息安全体系是分层次的,不同层次反映了不同的安全问题。
信息安全应该实行分层保护措施,有以下五个方面,
①物理层面安全,环境安全、设备安全、介质安全,②网络层面安全,网络运行安全,网络传输安全,网络边界安全,③系统层面安全,操作系统安全,数据库管理系统安全,④应用层面安全,办公系统安全,业务系统安全,服务系统安全,⑤管理层面安全,安全管理制度,部门与人员的组织规则。
二、电力系统的信息安全策略
电力系统的信息安全具有访问方式多样,用户群庞大、网络行为突发性较高等特点。信息安全问题需从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为了保障信息安全,采取的策略如下:
(一)设备安全策略
这是在企业网规划设计阶段就应充分考虑安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止意外损坏。对于终端设备,如工作站、小型交挟机、集线器和其它转接设备要落实到人,进行严格管理。
(一)安全技术策略
为了达到保障信息安全的目的,要采取各种安全技术,其不可缺少的技术层措施如下:
1.防火墙技术。防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实糟相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。
2.病毒防护技术。为免受病毒造成的损失,要采用的多层防病毒体系。即在每台Pc机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件,在网关上安装基于网关的防病毒软件。必须在信息系统的各个环节采用全网全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理,建立较完善的管理制度,才能有效的防止和控制病毒的侵害。
3.虚拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含1组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分,所以同一个LAN内的各工作站无须放置在同一物理空间里,既这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。
4.数据与系统备份技术。电力企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立企业数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统,从而保证信息系统的可用性和可靠性。
5.安全审计技术。随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计,及时自动分析系统安全事件,实现系统安全运行管理。
6.建立信息安全身份认证体系。CA是CertificateAuthority的缩写,即证书授权。在电子商务系统中,所有实体的证书都是由证书授权中心(CA中心)分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。电力市场交易系统就其实质来说,是一个典型的电子商务系统,它必须保证交易数据安全。在电力市场技术支持系统中,作为市场成员交易各方的身份确认、物流控制、财务结算、实时数据交换系统中,均需要权威、安全的身份认证系统。在电力系统中,电子商务逐步扩展到电力营销系统、电力物质采购系统、电力燃料供应系统等许多方面。因此,建立全国和网、省公司的cA机构,对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中关键业务进行安全审计,并开展与银行之间、上下级CA机构之间、其他需要CA机构之间的交叉认证的技术研究及试点工作。
(三)组织管理策略
信息安全是技术措施和组织管理措施的统一,“三分技术、七分管理”。据统计,在所有的计算机安全事件中,属于管理方面的原因比重高达70%以上。没有管理,就没有安全。再好的第三方安全技术和产品,如果没有科学的组织管理配合,都会形同虚设。
1.安全意识与安全技能。通过普及安全知识的培训,可以提高电力企业职员安全知识和安全意识,使他们具备一些基本的安全防护意识和发现解决某些常见安全问题的能力。通过专业安全培训提高操作维护者的安全操作技能,然后再配合第三方安全技术和产品,将使信息安全保障工作得到提升。
2.安全策略与制度。电力企业应该从企业发展角度对整体的信息安全工作提供方针性指导,制定一套指导性的、统一的安全策略和制度。没有标准,无法衡量信息的安全,没有法规,无从遵循信息安全的制度,没有策略,无法形成安全防护体系。安全策略和制度管理是法律管理的形式化、具体化,是法规与管理的接口和信息安全得以实现的重要保证。
3.安全组织与岗位。电力企业的组织体系应实行“统一组织、分散管理”的方式,建立一个有效、独立的信息安全部门作为企业的信息安全管理机构,全面负责企业范围内的信息安全管理和维护工作。安全岗位是信息系统安全管理机构,根据系统安全需要设定的负责某一个或某几个安全事务的职位,岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列。这样在全企业范围内形成信息安全管理的专一工作,使各级信息技术部门也因此会很好配合信息安全推行工作。
第5篇:安全审计论文范文
关键词:信息安全;网格安全管理;SNMP
中图分类号:TP393.08文献标识码:A文章编号:1009-3044(2009)13-3360-02
1 引言
当今信息安全技术主要包括密码技术、身份认证、访问控制、入侵检测、风险分析与评估等诸多方面。在实际运用中,这些安全技术相互支持与协作,各自解决安全问题的某一方面。目前人们关注的重点在入侵检测、密码技术等,作为访问控制没有得到应有的重视,事实上访问控制是一个安全信息系统下不可或缺的安全措施。访问控制就是通过某种途径显式地限制对关键资源的访问[1-2]。防止因非法用户的侵入或合法用户的不慎操作所造成的破坏。本文主要讨论了主动式网络安全监控系统,在分析主动式网络监控系统设计基础上,针对企业网非法接入防范子系统采用的SNMP协议进行相关分析。
2 网络管理概述
随着网络技术的发展,网络规模增大,复杂性也增加,以前的网络管理技术已经无法适应这一情况,特别是由于以往的网络管理系统往往是生产制造厂商在自已的网络系统中开发的应用系统,很难对其它厂商的网络系统、通信设备等进行管理,这种状况很不适应网络异构互联的发展趋势。网络管理一般采用管理―的管理结构。网络管理站是实施网络管理的处理实体,驻留在管理工作站上,它是整个网络系统的核心,完成复杂网络管理的各项功能,如排除网络故障、配置网络等,一般位于网络中的一个主机节点上。被管(简称)是配合网络管理的处理实体,驻留在被管理对象上。被管监测所在网络部件的工作状况,收集有关网络信息。公共网络管理协议描述了管理器与被管之间的数据通信机制。
3 主动式网络安全监控系统
3.1 需求分析
一般企业网内部资源的安全策略(诸如访问权限、存取控制等)是基于IP地址进行的,如果入侵者利用管理方面的漏洞,盗取合法用户的权限或IP地址,将会对企业内部造成重大损失,因此,系统主要从以下几个方面考虑安全监控问题:
1)企业网内部主机资源的安全。 企业网内部主机除了应用传统的防火墙、入侵检测系统以外,还可应用强制访问控制机制对本机内部的重要资源实施强制访问控制保护;
2)入侵检测。在发现非法攻击或者非法用户企图操作主机文件时,可通过入侵检测机制发现入侵者来源,阻断入侵者的非法操作,记录入侵主机相关信息等;
3)企业网的接入安全 企业网安全监控的另一主要目的即对企业网内部的非法接入进行监控,发现非法入网者,主动地采取相关措施避免和阻止类似情况的发生,实现企业网安全的外部屏障;
4)安全审计,监控系统应当具备记录监控信息的能力;
5)通讯机制,除了各子系统本身的主动式的反应机制、通讯机制和控制机制以外,监控系统还应当建立通讯体系,向上级监控模块提供安全监控信息,为管理机构制定相关策略提供有价值的参考。
3.2 ANSMS 系统设计方案
主动式网络安全监控系统(ANSMS,Active Network Security Monitor System)从功能上可分为两个子系统:主机强制访问控制监控子系统(MACMS,Mandatory Access Control Monitor Subsystem)和企业网非法接入防范子系统(ICMS,Illegal Connection Monitor Subsystem)。主机强制访问控制监控子系统主要分为四个模块:强制访问控制模块、入侵检测模块、审计模块和通讯模块。
1)强制访问控制模块:建立和管理安全标签库,实现对用户进程和文件安全标签的管理,在对进程和文件的安全标签进行比较后,根据相关规则决定进程对文件的操作权限和操作方式;
2)入侵检测模块,检测网络入侵操作并进行阻断,记录入侵主机的IP地址和入侵时间,将其记入安全日志当中;
3)安全审计模块 对强制访问控制的监控信息进行安全审计,记录入侵主机和非法操作进程,统计和审核,对高危险性和频繁多发的操作进行分类和统计;
4)通讯模块 与安全监控模块实现通讯,及时地通报和汇总安全信息。企业网非法接入防范子系统主要分为四个模块:非法接入的检测模块、非法接入的处理模块和审计模块。
4 企业网防范非法接入监控子系统
4.1 非法接入防范策略
非法接入是指没有经过科技部门允许直接将各类计算机和移动设备接入内联网的行为。网络上出现不经常使用的IP、IP和MAC映射表与科技部门认定的不一致等现象,都可以认为是非法接入。这类非法事件虽不是暴力入侵,但可能在内联网传播病毒、移植木马和泄露内联网业务机密信息等严重的后果,而且发生的主要原因是内控措施不利和内部人员的安全意识不够,所以很难预防和控制。
非法接入的主要途径――IP 地址盗用侵害了 Internet 网络的中正常用户的权益,并且给网络计费、网络安全和网络运行带来巨大的负面影响,因此解决 IP地址盗用成为当前一个迫切的问题。基于IP盗用的非法接入的形式繁多,常见的主要有以下几种:不经过系统分配自己配置IP地址;修改 IP-MAC 地址对为合法用户的地址;收发数据包时修改IP 地址。
在上述防范措施的基础上,结合用户认证和IP-MAC-PORT三者绑定的技术,首先确保合法用户通过认证,再通过SNMP协议编写相关的网络管理软件,轮询交换机等网络设备,获取当前网络中主机的IP地址和MAC地址等信息,与原始IP-MAC对照表进行比对,进而发现非法的IP地址和接入点。企业网监控着重于监控网络当前主机状况,发现非法接入点,采取相关行动阻止非法用户接入网内。具体的设计方案为:用户注册模块,IP盗用检测模块,IP盗用处理模块,安全审计模块,通讯模块和安全监控模块。
4.2 简单网络管理协议 SNMP
SNMP 的网络管理模型包括以下关键元素:管理站、者、管理信息库、网络管理协议。管理站一般是一个分立的设备,也可以利用共享系统实现。管理站被作为网络管理员与网络管理系统的接口。SNMP 中的对象是表示被管资源某一方面的数据变量。对象被标准化为跨系统的类,对象的集合被组织为管理信息库(MIB,Management Information Base)。MIB 作为设在者处的管理站访问点的集合,管理站通过读取 MIB 中对象的值来进行网络监控。管理站可以在者处产生动作,也可以通过修改变量值改变者处的配置。
SNMP 的规范 SMI(Structure of Management Information)为定义和构造MIB提供了一个通用的框架。同时也规定了可以在MIB中使用的数据类型,说明了资源在 MIB 中怎样表示和命名。SMI 避开复杂的数据类型是为了降低实现的难度和提高互操作性。MIB 中的每个对象类型都被赋予一个对象标识符(OID),以此来命名对象。另外,由于对象标识符的值是层次结构的,因此命名方法本身也能用于确认对象类型的结构。
在 TCP/IP 网络管理的建议标准中,提出了多个相互独立的 MIB,其中包含为 Internet 的网络管理而开发的 MIB-II。管理站和者之间以传送 SNMP 消息的形式交换信息。每个消息包含一个指示 SNMP 版本号的版本号,一个用于本次交换的共同体名,和一个指出 5 种协议数据单元之一的消息类型。
4.3 非法接入防范子系统
SNMP++是一套 C++类的集合,它为网络管理应用的开发者提供了 SNMP 服务。SNMP++并非是现有的 SNMP 引擎的扩充或者封装。事实上为了效率和方便移植,它只用到了现有的 SNMP 库里面极少的一部分。SNMP++也不是要取代其他已有的 SNMPAPI,比如 WinSNMP。SNMP++只是通过提供强大灵活的功能,降低管理和执行的复杂性,把面向对象的优点带到了网络编程中。可以利用SNMP++来实现非法接入防范子系统的设计相关工作。在具体过程中需要考虑:
1)非法用户只修改IP地址,通过比较原始IP地址分配表可发现非法的IP地址,进而关闭其端口,阻止其接入企业网;
2)非法用户成对修改 IP-MAC 地址方面。
5 结束语
随着 Internet 的运用愈加广泛,网络安全和信息安全的问题日益突出,入侵主机通过修改相关设置入侵企业网并在网内主机上安置木马程序,对企业网内部资源造成很大的危害,严重影响了企业网内部资源的共享和保密性要求。论文提出的主动式网络安全监控可有效的解决本地和网络入侵以及外部非法接入的隐患,具有较高的安全性、易用性和可扩展性。
参考文献:
第6篇:安全审计论文范文
论文摘要:针对一般网络应用系统的特征,融合了数据加密、身份认证和访问控制三种安全技术和机制,并充分考虑了系统安全性需求与可用性、成本之间的平衡,提出了一个以信息资源传输和存储安全保护,身份认证安全管理和资源访问安全控制为基本要素的网络应用系统信息安全模型,为加强中小型企业网络应用系统安全性提供了一个比较简单可行的方案。
0引言
由于网络环境的特殊性,每一个投人使用的网络应用系统都不可避免地面临安全的威胁,因此,必须采取相应的安全措施。国内在信息安全方面已做了很多相关研究,但大多是单独考虑资源保护或身份认证等某一方面,而对如何构建一个相对完善且通用的网络应用系统信息安全解决方案研究不多。本文在ISO提出的安全服务框架下,融合了数据加密、身份认证和访问控制三种安全技术和机制,并充分考虑了系统安全性需求与可用性、成本等特性之间的平衡,提出了一个以信息资源传输和存储安全保护、身份认证安全管理和资源访问安全控制为基本要素的网络应用系统信息安全模型,为加强中小型企业网络应用系统安全性提供了一个比较简单可行的方案。
1网络应用系统信息安全模型设计
1.1信息安全模型总体设想
本文提出的网络应用系统信息安全模型主要基于三个要素:信息资源传输和存储安全保护,身份认证安全管理以及用户对资源访问的安全控制。整个信息安全模型如图1所示。模型利用过滤器来区分敏感数据与非敏感数据,对于非敏感数据直接以明文形式进人信息资源层处理,而对敏感数据则采用加密传输通道进行传输,且需要经过身份认证层与访问控制层的控制后才能进人信息资源层。这样的设计在保证了信息传输和存储较高的安全性的同时,减少了身份认证层与访问控制层的系统开销,大大提高了系统的运行效率。而在信息资源层,则是通过备份机制、事务日志和使用常用加密算法对数据库中数据进行处理,来保障信息传输和存储的安全。
1.2身份认证层的设计
身份认证层主要包括两部分:用户身份认证和用户注册信息管理,采用了基于改进的挑战/应答式动态口令认证机制。
目前使用比较普遍的是挑战/应答式动态口令认证机制,每次认证时服务器端都给客户端发送一个不同的“挑战”字串,客户端收到这个字串后,作出相应的”应答”。但是,标准的挑战/应答动态口令认证机制具有攻击者截获随机数从而假冒服务器和用户,以及口令以明文形式存放在数据库中易受攻击两个缺点。在本模型采用的改进的挑战/应答式动态口令认证机制中,通过1.4节中论述的敏感数据加密通道对随机数进行加密传输解决了上述第一个问题;通过在客户端将用户口令经M DS算法散列运算并保存在服务器端数据库解决了上述第二个问题,使得服务器在认证时只需要比对客户端处理后传来的加密字符串即可。方案的具体流程如下:
1)服务器端口令的保存当用户在服务器端录人注册信息时,将用户的密码进行K次M DS散列运算放在数据库中。
2)用户请求登录服务器端开始执行口令验证:当用户请求登录服务器时,Web服务器在送出登录页面的同时产生一个随机数并将其通过敏感数据加密传输通道发给客户端。
3)客户端M DS口令的生成客户端首先重复调用与服务器端同样的MDS运算K次,得到与保存在服务器端数据库中的口令一致的消息摘要。然后,将从服务器传来的随机数与该口令相加后再调用客户端的M DS散列运算函数,将结果(M DS口令)通过敏感数据加密传输通道传送给服务器。
4)服务器端对MDS口令的验证服务器端收到客户端传来的用户名和MDS口令后,通过查询数据库,将已存储的经过K次M DS散列运算的口令与随机数相加后同样进行M DS散列运算,并比较两个结果是否相同,如相同则通过验证,否则拒绝请求。整个用户口令的生成和验证过程如图2所示。
1.3基于RBAC的访问控制层的设计
访问控制层主要包括两部分:权限验证与授权和资源限制访问,采用了基于角色的访问控制机制。在RBAC中引人角色的概念主要是为了分离用户和访间权限的直接联系,根据组织中不同岗位及其职能,一个角色可以拥有多项权限,可以被赋予多个用户;而一个权限也可以分配给多个角色。在这里,约束机制对角色和权限分配来说非常重要,本模型设计的约束机制主要包括以下几方面:一是限制一个角色可以支持的最大用户容量。如超级管理员这个角色对于应用系统非常重要,只允许授权给一个用户,该角色的用户容量就是1。二是设置互斥角色。即不允许将互相排斥的角色授权给同一个用户。如客户类的角色和管理员类的角色是互斥的。三是设置互斥功能权限。即不允许将互相排斥的功能权限授权给同一个角色。如客户类角色查看自己银行账户余额信息的权限与修改自己账户余额的权限就是互斥的。
数据库结构设计是实现RBAC的重要环节,良好的数据库结构设计本身就可以表述RBAC的要求。具体设计如下:
1)用户信息表(User_info)保存用户基本信息。其字段有用户ID ( User ID )、用户名称(Username )、密码(Passw )、用户类型( Kind )。定义表中的Kind数据项与Role表中Kind数据项具有相同的形式。将用户进行分类后,当分配给用户角色时可以指定用户只能被分派到与其Kind属性相同的角色,这样就可以实现角色的互斥约束。
2)角色信息表(Role )、保存各个等级的角色定义信息。其字段有角色ID ( Role_ID )、角色名称(Rolename )、角色种类( Kind)和角色描述(Role_ Desc ) o Kind数据项代表指定角色集合中的类别。
3)用户/角色关系信息表(User_Role)保存用户和角色的对应关系,其字段有用户ID和角色ID。当向User_Role表中添加数据即给用户分配角色时,要求User_ info表中要分配角色的用户数据元组中的Kind数据项与Role表中相应角色的元组Kind数据项相同,以实现一定尺度上的角色互斥,避免用户被赋予两个不能同时拥有的角色类型。
4)权限信息表(Permission)保存系统中规定的对系统信息资源所有操作权限集合。其字段有权限ID ( Per_ID ),操作许可(Per),资源ID( Pro_ID)和权限描述(Per Desc )。
5)角色/权限信息表(Role_ Per)保存各个角色应拥有权限的集合。其字段有角色ID和权限ID。
6)系统信息资源秘密级别表(SecretLevel)保存规定的系统信息资源的秘密级别。其字段有资源ID,密级ID ( SecrLev_ID)和密级信息描述(Secr_Desc )。在客户端和服务器端传输数据和存储的过程中,通过查询该表可以判断哪些信息资源为敏感数据,从而决定对其实施相应的安全技术和机制。
7)角色继承关系表(Role_ Heir)存放表述各种角色之间继承关系的信息。其字段有角色ID,被继承角色ID ( H_Role_ID )。角色继承关系可以是一对一,一对多或多对多的,通过遍历整个角色继承关系表,就可以知道所有的角色继承关系。
8)权限互斤表(MutexPer)保存表述角色对应权限互斥关系的信息,其字段有权限ID和互斥权限ID。
1.4敏感数据加密传输通道的设计
设计敏感数据加密传输通道的目的是保障敏感信息在传输过程中的保密性与完整性。针对中小型企业网络应用系统的特点,在充分对比各种数据加密传输解决方案的基础上,从成本和效果两方面出发,我们选择3DES加密算法对敏感数据进行加密。同时又结合了RSA算法对密钥进行传输,从而解决了对称加密算法缺乏非对称加密算法}/}/公钥的安全性这个问题。具体工作流程如下:
1)服务器端由RSA加密算法生成公钥KSpub和私钥KSpriv;
2)服务器端将公钥KSpub传送给客户端;
3)客户端接收公钥KSpub,然后由3DES加密算法生成对称密钥Ksym,用KSpub加密Ksym ;
4)客户端将加密后的Ksym传送给服务器端;
5)服务器端用KSpriv解密得到Ksym ;
6)敏感数据加密传输通道建立成功,服务器端和客户端以Ksym作为密钥对敏感数据加/解密并传输。
1.5安全审计部分的设计
本模型中的安全审计记录内容包括三个方面:一是用户信息,包括用户名、用户IP地址等;二是用户行为信息,包括用户访问系统敏感资源的内容、访问系统资源的方式等;三是时间信息,包括用户登录和注销的时间、特定行为发生的时间等。值得注意的是,安全审计跟踪不仅要记录一般用户的行为,同时也要记录系统管理员的行为。
第7篇:安全审计论文范文
在信息化时代,我们拥有极大的信息系统审计需求市场,信息系统审计已成为审计发展的新动力和新方向。然而我国信息系统审计的发展现状还不能适应时势的需要,尤其是在推行基于国际性的标准COBIT 上的研究和实践缺乏。为此,我们应在全面把握我国信息系统存在问题的前提下,采取有效的对策,以适应大规模的信息化建设的需要。
一、问题的提出信息及相关技术控制目标标准(Control Ob2jectives for Information and related Technology , CO2BIT) 是美国信息系统审计与控制协会( InformationSystem Audit and Control Association , ISACA) 的信息技术治理学会( Information Technology GovernanceInstitute ,ITGI) 基于其原有的控制目标体系,结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,为IT 的治理、安全与控制提供了一个一般适用的公认标准。自1996 年问世以来,目前已经更新至第四版,是国际上最先进、最权威的安全与信息技术管理和控制的标准,已在全世界100 多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效管理与信息相关的风险。最新版本COBIT 4. 0 更注重帮助董事会和员工应对不断增加的职责,包括面向公司董事会和各级管理层适用的指引,由四部分组成,即管理人员概述、框架、核心内容(控制目标、管理方针和成熟模式) 和附录(图表、前后参照和术语表) 。核心内容依据34 项IT 流程来划分,全面介绍了如何控制、管理和测量每个流程。另外,COBIT 4. 0 分析如何将具体的控制目标划入五项IT 管理领域,以识别潜在缺口; 令COBIT 标准与其他标准( ITIL 、CMM、COSO、PMBOK、ISF 和ISO17799) 协调一致;阐述关键目标指标(key Goal Indicator ,KGI)和关键绩效指标(key performance indicator ,KPI) 之间的关系,说明KPI 如何推动实现KGI ;结合业务目标、IT 目标和IT 流程。COBIT 标准不仅为人们提供了信息系统控制目标和IT 标准,而且提供了信息系统的审计指南。它为信息系统审计师提供了较为系统的评估指标,从而规范信息系统审计师的审计思路,而且它提供的控制矩阵、管理明确诊断表和风险评估表等科学的手段,让信息系统审计师合理评估审计风险,从而大大降低审计风险,提高审计质量。COBIT 标准对我国开展信息系统审计有很好的启示和指导作用,我国应大力推行基于COBIT 标准的信息系统审计。
二、我国信息系统审计存在的问题
1. 审计人才缺乏信息系统审计是会计、审计、信息系统、网络技术与计算机应用的交叉学科。开展信息系统审计,要求审计人员具有复合型的知识结构,既要掌握财会、审计知识,又要掌握信息系统、计算机与网络技术。但我国现在大部分审计人员并不熟悉计算机是如何进行经济与会计业务处理的,不知道计算机处理与网络技术的运用有什么风险、怎么样的控制才能有效降低这些风险,也不掌握如何对计算机信息系统进行审计或利用计算机和网络技术进行审计。计算机技术人员虽然对计算机和网络技术比较熟悉,但他们又不熟悉会计、审计知识,不知道要审什么、该怎样审。而开发实用性和通用性较强的审计软件所需要的高层次、高水平的人员也很缺乏。
2. 法律法规不完备在信息化条件下,审计方法、对象、技术都发生了很大的变化,传统的审计准则体系、法律法规体系已不能完全适应、指导和规范信息系统审计的实践,而新的关于信息系统审计的程序标准、准则和法律还没有出台或并不完备,有些甚至还是完全空白。例如,电子凭证、电子合同、数字签名等的法律效力和保存要求;数字认证机构的认定及其法律责任;计算机犯罪适用的法律;在信息系统审计中审计机构的权力、责任和被审计单位的义务等。从近年情况看,我国的信息系统审计制度建设工作才刚起步,尽管国务院办公厅、审计署、注册会计师协会等机关和组织颁布或制定了一些准则和规范,但是,这些准则和规范还不完善,没有形成系统性和结构性。不仅缺乏对信息系统开发和系统功能审计方面的规范,还比较概括、笼统,没有相应的实施细则。对信息系统审计尚处于摸索阶段的我国审计人员来说,显然还缺乏具体的指南。
3. 技术水平落后信息技术的高速发展与广泛应用使企业交易事项的大部分内容由系统自动运作完成,人工轨迹遗留较少,传统审计线索荡然无存。这就要求信息系统审计必须参与和融入信息系统的设计过程,在执行测试时必须穿越信息系统,以确保对连续监督程序和输出结果的控制。在我国信息系统的设计与开发中,尚不具备充分的保留和提供审计线索的功能。审计人员完全处于被动地位,难以获取充足的审计证据支持其审计结论,难以保证信息系统环境下的审计质量。
三、发展我国信息系统审计的对策从上述对我国信息系统审计存在的问题的概要分析中,作者认为,响应国际发展趋势,在信息系统控制和审计领域推行COBIT 标准无疑具有美好的发展前景。具体实施时可针对以下几个方面进行改进。 1. 注重专业人才的培养COBIT 标准具有系统的和完备的框架体系,它的运用首先定位于信息及其相关技术的控制和管理,因此,它在整体上表现出IT 业的大量相关技术。这就意味着运用COBIT 标准实施信息系统审计的审计人员应具有复合型的知识结构,既要掌握现代审计理论与实务,又要掌握信息系统、计算机与网络技术。目前,审计署干部培训中心开展的注册信息系统审计师培养及与之相关的在审计人员中进行计算机知识的培训工作,正是为了适应这一现实需要。在人员培训上,要求对低层次人员培训与高层次人才的培养、在职人员的培训与未来人才的培养进行统筹规划。对较高层次的人才培养,重点可放在信息系统的开发审计、系统的功能或应用程序审计、网络安全审计和审计软件的开发等方面;对未来审计人才的培养,应在高校会计专业教学计划中增加IT 和电子商务等内容,不仅要把信息系统审计列为必修课,而且应对这门课的要求或大纲达成共识。审计机构的管理人员也应意识到,信息系统审计人才的培养不仅仅是对审计人员的培养。我们可以培训审计师成为掌握必要IT 技能的人员,但很难要求他们成为计算机、信息系统和网络技术方面的专家。因此,审计机构要改变以往由会计师独唱主角的情况,计算机与网络专家、信息系统与电子商务专家将在审计组织中担任越来越重要的角色。审计机构应注意吸收这方面的人才,并进行审计知识和技能培训,使他们能与会计师良好合作,更好地执行信息系统审计任务。
2. 完善审计准则从国际同业的实践看,COBIT 标准已经逐步成为通行准则。我国应遵循国际标准或规范,把COBIT 标准作为核心标准, 同时, 借鉴ISOPIEC17799、ITIL 、PRINCE2、COSO、SOX 法案等其他国际标准和原则,进而确立适合自己的信息系统审计目标、对象、范围、方法、流程等。进一步完善与信息系统审计有关的法规和准则,要在法律法规上,确定审计机构和审计人员有权审查被审计算机的信息系统的功能与安全措施,有权利用网络和审计软件进行审计,被审单位应对审计人员的信息系统审计给予积极的协助。在建设信息系统审计准则体系时,可以借鉴ISACA 的做法,也采用三个层次体系结构,以基本准则为核心,统领具体准则和执业指南,从而使整个准则体系不断扩展、完善。内容划分方式可分为审计的权利、义务与责任,审计人员和审计工作三大类,并按这些类别来制定准则。信息系统审计准则作为一个完整的准则体系,各项具体准则要相互依存、相互配合。在准则的制定、上,应当遵循务实原则、接轨原则、配套原则和科学原则。ISACA 的做法是,先规划出基本准则的内容,在此基础上,有计划、有步骤、按照现实需要出台各项具体准则、指南和程序。准则采用分项制定,完成一项,一项,实施一项。这有利于信息系统审计准则的全面顺利的实施,也有利于信息系统审计人员循序渐进地正确掌握这一系列准则,从而促进信息系统审计准则在实务中迅速发挥作用。我们在信息系统审计准则的制定、上,可参照ISACA 做法。同时,对国际上已有的成文准则、习惯做法、专业术语,应当尽可能与国际惯例保持一致,尽量做到与国际惯例接轨。
3. 加强审计方面的IT 技术对于审计领域来说,COBIT 只是一套成文的信息技术控制标准,它只是向信息系统审计人员指明了前进的道路,但究竟如何才能成功通向胜利的彼岸,却有待审计人员自身去开发高效快捷的通向目标的方式,尤其是在信息系统审计这样一个高专业化、高技术性的审计业务领域。首先,应注重软件的开发,如开发数据采集软件,建立一种能够容易访问被审计单位不同介质、不同编码、不同类型的数据库,以便打通采集信息系统所需原始数据的瓶颈;在软件的研制方面,还要考虑审计作业发展趋势,如在现有审计软件基础上开发、研制新的适用信息系统审计的分析工具。其次,联网审计的加强,它是方便快捷地运用COBIT 标准的有力举措。这种审计方式成功实现的关键是被审计单位的信息系统提供标准化的审计接口,因此,信息化的管理部门和审计部门应加强宣传,提倡甚至是严令监督企业提供数据接口,以便联网审计的展开。最后,就是专家系统的构建,它能将基于COBIT 标准的成功案例进行积累和专业化,更好地为我们的信息系统审计工作服务。放眼未来之路,如何借鉴COBIT 标准开展适应国际趋势的而又探索有中国特色的信息系统审计道路,需要新时代的审计人员的不懈努力。我们只有充分认识存在的问题的基础上,才能有针对性地改进。中国审计人员将以倍增的热情,迎接新技术革命的挑战,充满豪情地投入到审计技术创新的洪流中。
[参考文献]
[1 ]李 丹. 信息系统审计———传统审计的一场革命[J ] .中国审计,2002 (1) :57 - 58.
[2 ] 钱 艳. 信息系统审计———网络架构、测试与评价[D] . 重庆大学硕士学位论文,2003.
[3 ]管亚梅. 信息系统审计———一种全新的审计模式的构建思路[J ] . 科技进步与对策,2005 (12) :78 - 80.
[4 ]陈婉玲,杨文杰. ISACA 信息系统管理准则及其启示[J ] . 审计研究,2006 (增刊) .
[5 ]董 霞. 会计信息系统审计研究[D] . 天津财经大学硕士学位论文,2006.
第8篇:安全审计论文范文
论文摘要:随着当代信息技术的发展,互联网的共享性、开放性以及互联程度也在不断扩大。internet的广泛普及,商业数字货币、网络银行等一部分网络新业务的迅速兴起,使得计算机网络的安全问题越来越显得重要,通过归纳总结,提出网络信息中的一些安全防护策略。
1.引言
网络环境的复杂性、多变性以及信息系统的脆弱性,决定了网络安全威胁的客观存在。当前,随着计算机技术的飞速发展,利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了,因此,如何采用更加安全的数据保护及加密技术,成为当前计算机工作者的研究热点与重点。网络安全技术,尤其是网络信息的安全,关系到网民、企业甚至是国家的信息安全。因此,发展更加安全的网络安全技术,是关系到社会经济稳定繁荣发展的关键,成为当前计算机安全工作的重点。
2.网络信息安全的风险来源
影响计算机网络安全的因索很多,既有自然因素,也有人为因素,其中人为因素危害较大,归结起来丰要以下几个方面:
(1)病毒感染
从“蠕虫”病毒开始到cih、爱虫病毒,病毒一直是计算机系统安全最直接的威胁。病毒依靠网络迅速传播,它很容易地通过服务器以软件下载、邮件接收等方式进入网络,窃取网络信息,造成很人的损失。
(2)来自网络外部的攻击
这是指来自局域网外部的恶意攻击,例如:有选择地破坏网络信息的有效性和完整性;伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。
(3)来自网络内部的攻击
在局域网内部,一些非法用户冒用合法用户的口令以合法身份登陆网站后。窃取机密信息,破坏信息内容,造成应用系统无法运行。
(4)系统的漏洞及“后门”
操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。编程人员有时会在软件中留有漏洞。一旦这个疏漏被不法分子所知,就会借这个薄弱环节对整个网络系统进行攻击,大部分的黑客入侵网络事件就是由系统的“漏洞” 和“后门”所造成的。
3.网络信息安全的防护策略
现在网络信息安全的防护措施必不可少。从技术上来说,计算机网络安全主要由防病毒、入侵检测等多个安全组件组成,就此对我们常用的几项防护技术分别进行分析。
3.1防火墙技术
防火墙(ifrewal1)是指设置在不同网络或网络安全域之间的系列部件的组合,它越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入internet网络为甚。不同网络或网络安拿域之间信息都会经过它的过滤,防火墙就会根据自身的安全政策控制(允许、拒绝、监测)出入网络的信息流,而且它本身也具有较强的抗攻击能力,不会被病毒控制。防火墙可以阻j网络中的黑客来访问你的机器,防止他们篡改、拷贝、毁坏你的重要信息。它为网络信息的安全提供了很好的服务,为我们更安全地使用网络提供了很好的保障。
“防火墙”技术是指假设被保护网络具有明确定义的边界和服务而采取的一种安全保障技术,它通过监测、限制和更改通过“防火墙”的数据流,一方面尽可能地对外部网络屏蔽被保护网络的信息、结构,实现对内部网络的保护,以防“人放火”;另一方面对内屏蔽外部某些危险站点,防止“引火烧身”。因而,比较适合于相对独立、与外部网络互联单一、明确并且网络服务种类相对集中的统一互联网络系统。防火墙可对网络存取和访问进行监控审计,如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有internet服务特性的企业内部网络技术体系vpn。vpn,可以将分部在世界各地的lan或专用电子网有机地联成一个整体。这样一方面省去了专用通信线路,也达到了信息共享的目的。
3.2数据加密技术
数据加密技术是网络中最荩木的安伞技术,主要是通过对网络传输的信息进行数据加密来保障其安全性。加密是对网络上传输数据的访问权加强限制的一种技术。原始数据(也称为明文,plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文(ciphertext)。解密是加密的反向处理,是将密文还原为原始明文,但解秘者必须利用相同类型的加密设备和密钥,才能对密文进行解密。
3.3入侵检测技术
入侵检测系统(intrusiondetectionsystem,ids)是从多种计算机系统及网络系统中收集信息,再通过这些信息分析,对计算机和网络资源的恶意使用行为进行识别的网络信息安全系统。入侵检测系统具有多方面的功能:威慑、检测、响应、损失情况评估、攻击预测和起诉支持等。入侵检测技术是为保证计算机信息系统安全而设计与配置的一种能够及时发现并报告系统中朱授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
3.4病毒防护
可采用如下的方法或措施:
(1)合理设置杀毒软什,如果安装的杀毒软什具备扫描电邮件的功能,尽量将这些功能伞部打开;
(2)定期检查敏感文件;
(3)采取必要的病毒检测和监控措施;
(4)对新购的硬盘、软盘、软件等资源,使用前应先用病毒测试软件检查已知病毒,硬盘可以使用低级格式化(dos中的format格式化可以去抻软盘中的病毒,但不能清除硬盘引导的病毒);
(5)慎重对待邮件附件,如果收到邮件中有可执行文件(如.exe、.com等)或者带有“宏”的文杀一遍,确认没有病毒后再打开;
(6)及时升级邮件程序和操作系统,以修补所有已知的安全漏洞。
3.5身份认证技术
身份认证(authentication)是系统核查用户身份证明的过程,其实质是查明用户是否具仃它所请求资源的存储使用权。身份识别(identificaiion)是指用户向系统出示自己的身份证明的过程。这两项上作通常被称为身份认证。
身份认证至少应包括验证协议和授权协议。网络中的各种应用和计算机系统都需要通过身份认证来确认合法性,然后确定它的个人数据和特定权限。对于身份认证系统来说,合法用户的身份是否易于被别人冒充足它最重要的技术指标。用户身份被冒充不仪可能损害用户自身的利益,也可能损害其他用户的利益或整个系统。因此,身份认证是授权控制的基础。只有有效的身份认证,才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。
安装必要的安全软件,杀毒软件和防火墙这些都是必备的,而且还要安装并使用必要的防黑软件。我们一定要把这些安全防护措施及时应在电脑中,在上网时一定要打开它们。最后要及时给系统打补丁,建议人家下载自己的操作系统对应的补丁程序,这是我们网络安全的恭础。
第9篇:安全审计论文范文
【关键词】内部审计;信息化环境;审计技能;观念意识
一、现代内部审计的涵义
来自国家内部审计协会(CIIA)《内部审计基本准则》的定义:“内部审计是组织内部的一种独立客观的监督和评价活动,它通过审计和评价经营活动及内部控制的适当性、合法性和效益性来促使目标的实现。”来自国家审计署《关于加强内部审计工作的规定》的定义:“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法效益的行为,以促进加强经济管理和实现经济目标。”来自国际内部审计师协会(IIA)《内部审计专业实务标准》的定义:“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过系统、规范的方法,评价并改善风险管理、控制和治理过程成的效果,帮助组织实现其目标。
该定义以帮助组织增加价值为目标,以关注组织风险为主线,以组织的风险管理、内部控制和组织治理为内部审计业务的三大领域。这表明内部审计的职能是站在组织整体利益的立场上,发挥增加组织价值和提高组织效率的作用。
二、现代内部审计的特点
现代企业的内部审计已经不仅仅是事后的传统意义上的财务审计,其职能也不仅仅是提供保证服务;而是向事中审计、事后审计发展,其职能更侧重于监督、评价和咨询。并且,高质量的企业内部审计总是把经营审计放在财务审计之上。
根据《内部审计专业实务标准》所体现的观点,“内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。”内部审计是管理审计,它具有以下几个特点:
1.内部审计是一种独立、客观的保证与咨询活动。
2.内部审计服务于企业整体价值的提高,具有增值作用。
3.内部审计遵循成本与效益原则。
4.内部审计的内容具有广泛性和全面性。
内部审计的内容涉及企业经营管理的方方面面,按业务内容可将其分为:经营审计、绩效审计、质量审计、合同审计、安全审计、保密审计、财务审计、IT信息系统审计、合规性审计、经济责任审计等。正是因为内部审计具有上述的广泛性和全面性的特点,所以内部审计人员作为一个集体应该具备开展审计业务所需的知识技能、逻辑思维能力、分析判断能力和其他能力;如果内部审计人缺乏从事工作所需要的知识或经验,可以通过职业培训、后续教育,或通过实践锻炼得以提升。
三、“十二五”审计发展规划提出的信息化要求
加大对国家信息化建设情况的审计力度,建立和完善电子审计体系;深入总结审计实践经验,创新审计方式和方法,不断探索符合我国发展实际的审计方式和方法。
以数字化为基础,创新计算机审计的形式和内容,总结推广数字化审计模式,探索形成适应信息化环境的审计方式。大力推进电子审计体系建设,努力提高审计工作的信息化水平,不断完善以审计业务信息化和审计管理数字化为主要内容的审计信息化系统。
提高审计业务信息化水平。完善并推广现场审计实施系统,积极开展信息系统审计;组织开展对重要单位的联网审计;积极探索统一组织项目、联网跟踪等审计组织方式。提高审计管理数字化水平,创新信息化环境下的审计管理方式。
整合审计资源,实现联互通、资源共享,促进审计业务协同,提升审计资源的配置效率。发挥内部审计与外部审计的协调的作用,统筹安排相关审计工。
四、信息化与审计人员应具备的新技能
信息化数据处理环境下,审计对象的经济业务运作方式、控制措施及作为审计线索和审计证据的财务、非财务数据,要求审计人员不仅要有审计方面的专业知识,还应具备信息化数据处理方面的知识。为适应信息化环境的需要,应当培养复合型审计人才。通常,现代审计人员应具备以下能力:
一是全面运用信息系统办公的能力。特别是能掌握应当掌握常用的财务软件,如:用友财务软件、金蝶财务软件等,打开被审计单位数据库;能把数据下载到审计人员的计算机,并转换成为审计人员可阅读的数据格式。
二是精通使用审计业务软件能力。审计人员应掌握通用软件或专用审计业务软件进行数据采集、数据处理、数据分析能力。
三是运用联网审计能力,审计人员应具备在审计现场搭建联网审计平台、实现资源共享和网络化审计、应用信息化手段对资金实现过程化的相对实时的监控能力,并能发现和排除常见的软件、硬件故障。
四是开展信息系统审计的能力。培养审计人员懂得信息系统审计程序、信息技术治理、系统和基础建设生命周期管理、IT服务支持、信息资产的保护、灾难恢复和业务持续能力。
信息化环境下,业务处理过程包括了人员手工处理、计算机系统处理、人与计算机进行交互处理,内部控制的重点变成了人及其处理的业务、人机交互处理过程、计算机系统业务处理过程和不同系统之间的传递过程,内部控制的重点和环节发生了很大变化。对信息系统的审计,应做到一般控制审查和应用控制审查相结合;只有对系统的内部控制实施审计,才能了解内部控制运行状况并确定后续实质性测试的重点和审计程序的范围。
五、新时期审计人员应具有的新意识或新观念
一是树立服务理念。服务是内部审计人员的职责,内部审计人员应当始终树立服务理念,当好领导决策的参谋和助手,发挥建设性作用。
