安全审计制度精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的安全审计制度主题范文,仅供参考,欢迎阅读并收藏。
第1篇:安全审计制度范文
通过对各县区建立社会保障基金监督体系,开展社会保障基金监督工作,使用社会保险基金管理,开展内部审计工作和建设监督机构队伍,以维护社保基金的安全和正常运营。
关键词:
社保基金;内部审计;监督体系
中图分类号:C91
文献标识码:A
文章编号:16723198(2012)24005501
近两年来,随着一些地方暴露出来的在基金管理工作中出现的管理不规范、监督不到位及挪用社会保险基金的问题,社会保险基金的监督管理成为社会各界关注的焦点。因此,完善社会保险基金监督体系,从不同层次、不同方面对社会保险基金的运营实施有效监督,已经成为当前社会保险基金监督工作面临的艰巨任务。
1确立政府在基金监督中的地位和职责,对社保基金进行全过程的监督管理
社会保险基金的监管工作是政府履行社会保障义务和责任的重要方面,是涉及到民生民计、经济发展与社会稳定的大事,必须运用政府行政和法律的手段,维护社会保障体系的正常运转。此外,当前社保基金流程,已从单一部门的管理逐步发展为劳动保障、税务、财政、银行等部门和社会服务机构多家参与的格局,基金监管已经不是靠某个部门的内部监督所能够完成,必须由政府组织相关部门进行统一监管。
2坚持行政监督、社会监督和内部监督相结合,确保社会保险基金安全
通过社会保险基金监督三种手段的综合运用,尽可能发挥行政监督的权威性,社会监督的广泛性,内部监督的及时性优势。
(1)行政监督。社会保障部门作为社保工作的主管部门,应当主动承担起基金监管责任,保证基金安全。在基金监督工作中,努力当好主角,积极争取有关部门的配合和支持的同时,配合社会保险经办机构做好工作。特别是社会保险基金监督管理中,各级社会保障部门在方案的制定、组织清收、部门配合、沟通协调等方面发挥了主导作用,在财政、审计等部门的支持和配合下,工作开展顺利。行政监督应从以下几方面得到加强。一是社会保险经办机构的监督和指导。通过对社会保险经办机构的监督检查,要分析存在问题的原因及发出整改意见书,督促和指导社会保险经办机构完善内部控制制度,规范基金内部管理。二是信息网络监督。在“金保工程”信息网建成后,及时围绕加强和改进基金监管方式,建立新的基金风险控制和防范机制为目标,在市社会保障行政部门设立社保基金监管工作平台,初步实现了对社保基金的财务监管。三是基金的预决算管理工作。社会保障基金预、决算工作是社会保险基金监督的一项重要内容,是真实反映社会保障事业发展计划落实情况和社保基金使用情况的重要标尺。它实现了数据一致,提高了数据质量,为查找问题、分析问题提供了有效手段,为科学决策提供了有力依据。四是建立联系制度。定期、不定期组织召开社会保险经办机构的基金监管工作调度会,掌握经办机构在管理上的难点和需要尽快解决的问题,提出解决办法和规范管理的可行措施,使基金管理更加规范。五是行政基金监督方式要从内部监管向政策制度监管转变。从实践来看,没有明确的政策和规范的制度,具体的职能部门是无法履行监督职能,难以开展监管工作的。只有以制度来规范监督行为,才是最根本、最可靠的办法。因此,行政监督部门就担负着国家、省、市出台的各项社会保险基金监督方面的法津法规和规章制度的贯彻和落实工作。
(2)社会监督。结合政务公开工作,建立举报制度。一是开通电话、信箱、网络投诉渠道等措施,为群众参与监督提供方便。二是对社会保险缴费基数、职工退休审批、职工特殊医疗门诊审批、职工工伤鉴定等实行公示制度,让广大参保职工参与社会保险基金监督工作,对企业、职工及社保工作人员起到有效制约作用,规范了社会保险行为,拓宽了监督的信息渠道。
(3)内部监督。内部监督是基础,人力资源和社会保障行政部门加强内部审计和监督检查,社会保险经办的内部控制制度是基金监管的关键环节。需建立一整套运作规范化、管理科学化、稽核检查制度化、考评标准化的内部监督机制,通过建立和实施内部监督机制来完善社会保险基金监督体系。
3加强行政权力公开透明、制度建设和过程控制,建立基金监督长效机制
要按照 “三用”工作思路,在基金监管的内容和结构等方面构建完善的制度体系,从制度上解决如何监督基金的管理使用。一是用制度来推动基金监督工作。用制度来规范和推动基金监督工作,使工作有序运行,一直是我们工作的重点,建立目标考核责任、社保基金“零违纪”、“五保合一”的基金监督、内部控制等项制度来推动基金监督工作。二是用制度来规范基金管理使用。从基金入口、中间流动到基金出口的各环节,制定了更具操作性的基金管理使用办法。保证了基金征收最大化、待遇审核规范化、管理使用制度化、定期报告长效化。三是用制度来保障实施监督权和再监督权。社会保障部门主管社会保险基金监督工作,监督委员会对基金监督者实施再监督,这为社保基金又上了一层“安全锁”,确保监督权和再监督权的正确行使,避免出现“不作为”、“乱作为”的现象。
加强过程控制,突出程序监督,规范权力运行“轨迹”,让权力在事先设定的、规范的轨道内合法合规的运行。并在实践中不断完善和提高,建立长效机制。采取专项抽查、定期检查和不定期暗访的形式强化督导,对重点部门、岗位、人员加强监督,提前介入、直接参与、全程跟踪。
第2篇:安全审计制度范文
【关键词】不同孕期;妊娠;梅毒;预后;安全性
Prognosiseffect and safety evaluation of treatments in different pregnancy stage on syphilis in pregnancy childbirthBI Yunli1, ZHANG Chunhua2. 1. Department of Obstetric, Linqu County People’s Hospital, Weifang 262600, China; 2. Department of Obstetric, Shandong Provincial Hospital, Jinan 250021, China
【Abstract】Objectives: To explore and analyze the prognosis effect and safety of treatments in different pregnancy stage on syphilis in pregnancy childbirth. Methods: 90 pregnancy patients with syphilis treated in our hospital from October 2012 to October 2014 were selected and, according to the prenatal discovery and treatment time, divided into group A, group B and group C, with 30 cases in each group. Group A was early pregnancy group (< 12 weeks); group B was middle stage pregnancy group (12 to 27 weeks) and group C was late pregnancy group (> 27 weeks). All patients were given enough specifications syphilis treatment. Pregnancy outcomes, the comparison of the TRUST, low-grade, and incidence of congenital syphilis of the three groups were observed and compared. Results: Full-term births rate of group A, group B and group C after treatment were 86.67%, 53.33% and 86.67% respectively and the preterm birth rates were 1000%, 3000% and 53.33%. The differences between groups were significant (P< 005). After a treatment course, there were 12 cases (6000%) with maternal TRUST titer < 1∶8 and 8 cases (4000%) with maternal TRUST titer ≥1∶8. After 2 courses of treatment, there were 57 cases (85.07%) with maternal TRUST titer < 1∶8 and 6 cases with maternal TRUST titer ≥1∶8, with significant differences between groups (P< 005). After a treatment course, there were 15 cases (75.00%) with neonatal TRUST titer < 1∶8 and 5 cases (25.00%) with neonatal TRUST titer ≥1∶8. After 2 courses of treatment, there were 61 cases (91.04%) with neonatal TRUST titer < 1∶8 and 0 case neonatal TRUST titer ≥1∶8. The differences between groups were significant (P< 005). After treatment, the incidences of congenital child of group A, group B and group C were 0, 6.67% and 46.67% respectively. The differences between groups were significant (P< 005). Conclusion: Positive and effective treatment in early pregnancy stage for syphilis can obviously improve the pregnancy outcome and perinatal prognosis, reducing the incidence of children with congenital syphilis, which has important clinical significance and is worth promoting.
【Key words】Different pregnancy stage; Pregnancy; Syphilis; Prognosis; Safety
【中图分类号】R7591【文献标志码】A
梅毒作为临床上一类发病率较高的性传播疾病,由苍白梅毒螺旋体感染引起,传染性较强,以育龄期妇女作为主要发病人群。当孕妇感染苍白梅毒螺旋体后可诱发多种严重并发症,不仅易造成胎传梅毒,甚至可诱发流产、死胎死产等,对母婴身心健康造成影响[1]。现为了探究妊娠梅毒的最佳治疗时间,我院针对收治的90例妊娠梅毒患者展开研究,将结果总结报告如下。
1资料与方法
11一般资料
采取随机数字表法选取我院自2012年10月至2014年10月收治的90例妊娠梅毒患者作为研究对象,全部患者均在我院行梅毒血清学检查后确诊,且为孕前未经治疗的患者,同时签署了关于本次试验的知情权同意书。按照孕期发现及治疗时间分为A组、B组及C组,每组各30例。A组为早孕期27周,平均孕期为(339±14)周,年龄23~37岁,平均年龄为(295±29)岁;初产妇18例,经产妇12例;产次1~4次,平均产次为(29±08)次;潜伏梅毒14例,一期梅毒13例,二期梅毒3例。
12方法
检测方法:对三组孕妇及新生儿均给予梅毒抗体检查,其中包括梅毒螺旋体血凝试验等。
新生儿先天性梅毒判断:根据性传播疾病临床治疗指南对新生儿先天性梅毒进行诊断,对于流产与死胎给予血清学检查及胎盘病理检查判断是否为先天性梅毒儿。
治疗方法:于患者两侧臀部行苄星青霉素G(河北华日药业有限公司,生产批号:20140805)治疗,每周1次,每次使用剂量为240U,以3次为1个疗程,连续治疗2个疗程。在治疗期间患者的丈夫同样接受检查治疗,且在治疗期间禁止性生活。
13统计学处理
采用SPSS180统计软件对本次研究所取得的数据进行分析,计数资料采用χ2检验,以 P
2结果
21三组患者不同孕期治疗妊娠结局对比
A组、B组及C组治疗后足月分娩率分别为8667%、5333%、4667%,早产率分别为1000%、3000%、5333%,组间比较差异显著(P均
22妊娠梅毒患者不同疗程治疗后TRUST滴度对比
该组患者共90例中,治疗前TRUST滴度≥1∶8者87例,TRUST滴度
表2妊娠梅毒患者不同疗程治疗后TRUST滴度对比疗程例数母体TRUST滴度
23三组患者不同孕期治疗先天梅毒儿发生率对比
A组、B组、C组治疗后先天儿发生率分别为0、667%、4667%,组间相比具有显著差异(P
表3三组患者不同孕期治疗先天梅毒儿发生率对比组别例数正常新生儿先天梅毒儿A组3030(3000)0B组3028(9333)2(667)C组3016(5333)14(4667)注:与B组相比,*P
3讨论
大量临床试验研究证实,梅毒螺旋体可通过胎盘诱发流产、早产、死胎及死产,同时诱发胎传梅毒的发生。有研究报道指出,梅毒可作为诱发不良妊娠结局的首要原因,而目前妊娠孕妇多以潜伏梅毒为主[2]。本次研究中患者共90例,潜伏梅毒共60例,占6667%,与以往研究结果基本一致。由于潜伏期梅毒无明显临床症状,仅通过常规体检无法对病情给予准确判断,采取血清学检查方可发现,因此,潜伏期梅毒的漏诊率较高,常延误了疾病最佳治疗时期,从而对孕产妇及胎儿的健康造成不良影响[3]。
传统临床工作中认为妊娠早期滋养层中的朗汉斯细胞可对胎儿起到一定的保护作用,可免受梅毒螺旋体感染,在妊娠前18周内并不会发生梅毒的胎传播,但此种结论经过目前大量临床试验研究证实为不正确的[4,5]。近年来的研究认为梅毒的胎传播可发生在不同妊娠时期内,为了预防先天性梅毒儿的出生,多以阻断梅毒的胎传播为主,这就依赖于通过对妊娠早期梅毒患者以及育龄妇女梅毒给予积极的干预治疗[6,7]。有临床研究资料显示,在孕妇早孕时期确诊后给予积极干预治疗可有效降低先天梅毒儿的发生率,但若在中孕期或晚孕期开始治疗的患者,则可见先天梅毒儿的发病率明显增高[8,9]。结合研究结果可见,于孕早期接受梅毒治疗的妊娠结局明显优于中孕期及晚孕期者,与以往研究报道基本一致[10]。为此,我们认为对于妊娠梅毒的治疗干预,掌握正确的时间至关重要,且不同的初始治疗初始时间所产生的妊娠结局各不相同[11,12]。我们认为发生此类情况可能与部分孕妇在孕末期才接受治疗,无法确保宫内胎儿接受充分治疗有关,也有可能是不同时期的妊娠梅毒患者无法完成2个疗程的系统治疗相关,但这仍需要临床工作者进一步行大量实验证实[13]。
目前临床上较为常用的特异性梅毒螺旋抗体血清学检测在早期诊断先天性梅毒儿方面具有重要临床意义,但值得注意的是,此类检测技术在部分医院内尚未开展,未能得到广泛应用,仅给予常规梅毒血清学检测,并不能准确判断血清中的抗体来源于母体或新生儿本身[14]。为此,现多要求妊娠孕妇在每个月内均进行1次梅毒血清反应的检测,并以8次为1个检测周期[15]。综上所述,尽管目前关于妊娠梅毒的相关治疗已制定出合理方案,但发生先天性梅毒儿的情况仍然存在,并以中孕期与晚孕期为主。而通过上述试验我们可知,在妊娠梅毒早期给予积极有效的治疗可明显改善妊娠结局及围产儿的预后情况,在降低先天性梅毒患儿发生率方面具有重要临床意义,值得推广。
参考文献
[1]王千秋,张国成.性传播疾病临床诊疗指南.上海:上海科学技术出版社,2007:5-6.
[2]任旭琦,杨立刚,陈永锋,等.2005至2010年广东省育龄妇女人群二期梅毒及隐性梅毒流行趋势.中国感染控制杂志,2012,11(3):174-177.
[3]Peeling RW,Ye H. Diagnostic tools for preventing and managingmatemal and congential syphilics:an overview.Bull Word Health Organ,2004,82(6):439-446.
[4]杨立刚,杨斌.先天梅毒的诊断及治疗.皮肤性病诊疗学杂志,2010,17(2):157-159.
[5]杨日东,刘金花,田广南,等.治疗干预对不同妊期潜伏梅毒孕妇新生儿影响的研究.岭南皮肤性病学杂志,2010,17(2):157-158.
[6]Larkin JA,Lit L,Tongey J,et al.Recognizing and treating syphilis in pregnancy.Medscape Womens Health,2008,3(1):5-6.
[7]谭小平,刘红桂,熊海燕,等.妊娠期梅毒母婴阻断的干预时机.中国生育健康杂志,2008,19(4):199-202.
[8]李佳玟,李元成,王俐.妊娠梅毒85例临床分析.中国皮肤性病学杂志,2006,20(4):226-227.
[9]周动机,谢慧,张遇娴,等.不同孕期治疗对妊娠梅毒分娩的预后影响.皮肤性病诊疗学杂志,2013,20(2):909-910.
[10]黄志明,周佳慧,罗荣华,等.妊娠梅毒在孕28周前后治疗对先天性梅毒及新生儿预后的影响.中国麻风皮肤病杂志,2009,25(5):355-356.
[11]叶光荣,张伟,黄显翔.不同治疗时机对妊娠梅毒的预后影响研究.西南军医,2010,12(6):1059-1061.
[12]程娟,段红岩,李安信.梅毒流行病学和诊疗现状分析.传染病信息,2012,25(1):58-60.
[13]黄志明, 周华, 洪福昌, 等. 深圳市宝安区 1999~ 2002年孕妇人群梅毒流行病学分析. 岭南皮肤性病科杂志, 2004, 11 ( 1): 71- 73
[14]郑义辉.妊娠期梅毒临床结局的相关因素分析及临床诊治.中国医学工程,2014,22(6):890-891.
第3篇:安全审计制度范文
1 利用网络及安全管理的漏洞窥探用户口令或帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。
2 利用网络远距离窃取的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。
3 建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的业务的原始记录以电子凭证的方式
存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。
计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。
一、网络安全审计及基本要素
安全审计是一个新概念,它指由专业审计人员根据有关的法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。
二、网络安全审计的程序
安全审计程序是安全监督活动的具体规程,它规定安全审计工作的具体、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。
安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。
1 了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?
2 了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。
3 了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。
安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计器。
安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。
三、安全审计的主要测试
测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
下面是对网络环境信息系统的主要测试。
1 数据通讯的控制测试
数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。
2 硬件系统的控制测试
硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
3 软件系统的控制测试
软件系统包括系统软件和软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。
4 数据资源的控制测试
数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。
5 系统安全产品的测试
随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。
四、应该建立内部安全审计制度
第4篇:安全审计制度范文
关键词:山区道路;安全审计;内容;步骤
道路安全审计(RoadSafelyAudits,简称RSA)是从预防交通事故、降低事故产生的可能性和严重性人手,对道路项目建设的全过程,即规划、设计、施工和服务期进行全方位的安全审核,从而揭示道路发生事故的潜在危险因素及安全性能,是国际上近期兴起的以预防交通事故和提高道路交通安全为目的的一项新技术手段。其目标是:确定项目潜在的安全隐患;确保考虑了合适的安全对策;使安全隐患得以消除或以较低的代价降低其负面影响,避免道路成为事故多发路段;保障道路项目在规划、设计、施工和运营各阶段都考虑了使用者的安全需求,从而保证现已运营或将建设的道路项目能为使用者提供最高实用标准的交通安全服务。
一、道路安全审计的起源与发展
1991年,英国版的《公路安全审计指南》问世,这标志着安全审计有了系统的体系。从1991年4月起,安全审计成为英国全境主干道、高速公路建设与养护工程项目必须进行的程序,使英国成为安全审计的重要发起与发展国。而我国则是在20世纪90年代中期开始发展安全审计,主要有两个渠道:①以高等院校为主的学者通过国际学术交流与检索国外文献,从理论体系的角度引入道路安全审计的理论;②通过世界银行贷款项目的配套科研课题。在工程领域开展道路安全审计的实践。
目前,在澳大利亚、丹麦、英国、冰岛、新西兰和挪威等国已定期地执行道路安全审计,德国、芬兰、法国、意大利、加拿大、荷兰、葡萄牙、泰国以及美国正处于实验或试行阶段,其他许多国家也在就道路安全审计的引入进行检验,比如希腊等国家。国外研究表明,道路安全审计可有效地预防交通事故,降低交通事故数量及其严重度,减少道路开通后改建完善和运营管理费用,提升交通安全文化,其投资回报是15~40倍。
道路安全审计在我们道路建设中的重要性,不仅仅是在提高安全性方面,对经济性也有帮助。而山区道路的安全比起一般道路来讲,就更应该引起我们的注意,毕竟山区道路的崎岖以及地势的高低相对与一般道路对驾驶者来说是一个很大的挑战,而且其发生事故的死亡率也比其他道路高很多,因此,审计对于山区道路来说是至关重要的。
二、山区道路安全审计内容
加拿大等国家认为,在项目建设的初步设计阶段进行道路安全审计最重要、最有效,因而早期的道路安全审计主要重点是在项目建设的初步设计阶段。现世界各国都普遍认为可在已运营的道路和拟建道路项目建设期的全过程实行安全审计,即在规划或可行性研究、初步设计、施工图设计、道路通车前期(预开通)和开通服务期(后评估阶段)都有所侧重地实行审计。山区道路安全审计同样与其他道路的安全审计工作内容一样。
三、审计要素
典型的道路安全审计过程为:组建审计组+设计队介绍项目情况及提供资料+项目实施考察-安全性分析研究-编写安全审计报告+审计组介绍项目审计结果+设计队研究、编写响应报告-审计报告及响应报告共同构成项目安全文件。
整个安全审计的时间一般为两周左右。为保证安全审计的质量,审计组人员的构成至关重要。审计组的人数依项目的规模大小一般由26人组成,审计组应由不同背景、不同经历、受过培训、经验丰富、独立的人员(与设计队无直接关联)组成。审计人员一般应具备交通安全、交通工程、交通运行分析、交通心理、道路设计、道路维护、交通运营及管理、交通法律法规等方面的知识,应保证审计组人员相互间能平等、自由地交流、讨论和商议安全问题。审计人员应本着对社会(用户)负责的态度、安全第一的观点,依据道路标准规范,对项目各种设计参数、弱势用户、气候环境等的综合组合,展开道路安全审计。道路安全审计人员(审计组)与设计人员(设计队)的区别在于:设计人员需要综合考虑项目投资、土地、政治、地理、地形、环境、交通、安全等方方面面的因数,限于经验、时间的约束,对安全问题难免有所偏颇。而安全审计人员不考虑项目投资、建设背景等因数,仅仅考虑安全问题,只提安全建议,最后由设计人员决定:采纳、改进或不采纳。因而可以说道路安全审计的关键点为:它是一个正式的、独立进行的审计过程,须由有经验的、有资格的人员从事这一工作,要考虑到道路的各种用户,最重要的一点是只考虑安全问题。
安全审计报告一般应包括:设计人及审计组简述、审计过程及日期、项目背景及简况、图纸等,对确认的每一个潜在危险因素都应阐述其地点、详细特征、可能引发的事故(类型)、事故的频率及严重度评估、改进建议及该建议的可操作性(实用性)等。审计报告应易于被设计人员接受并实施。响应报告应由项目设计人员编写,其内容—般应包括:对审计报告指出的安全缺陷是否接受,如不接受应阐述理由,对每一改进建议应一一响应,采纳、部分采纳或不采纳,并阐明原因。
四、现有山区道路的安全审计
对现状山区道路进行安全审计,主要评估现状道路潜在事故危险性,同时提出改进措施以降低未来发生事故的可能性。现状道路的安全审计与新建道路相类似,也需进行上面所提到的工作,但现场调查以及评估资料及文件这两步与新建道路有所不同。此时事故资料被作为欲审计资料的重要组成部分,同时该资料也包括可能导致事故发生潜在性的一些不利因素的详细资料。
理想的关于现状道路网的安全审计应该建立在有规律的基础之上。它可以以连续几年审计的结果为基础,采用滚动式的审计方式对路网中的每条道路都进行评估。对于里程较长的道路(一般>100km),其安全审计工作可按两阶段进行,即初步审计阶段和详细审计阶段。前者主要对道路总体上进行粗略审计,给出存在的主要问题及所处位置,后者则对找到的问题进行进一步的详细分析并提出相应的改进建议。对里程较短的道路(<30km)可直接进行第二阶段的工作。而对里程在30km~100km的道路,两阶段审计工作可根据具体情况灵活进行。
由于欲审计道路已修建完成并已经运营,此时现场调查就显得非常重要。不管是拟建道路或已建道路、线内工程还是线外工程,安全审计工作必须全方位细致地进行。要考虑不同道路使用者对道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得驾驶员的心理产生恐惧;②半径太小可能使得驾驶员无法在规定视距范围内看到对方;③山体的稳定性也可能会影响到驾驶员。
另外,现状山区道路的安全审计工作还要调查不同的道路类型,例如白天、黑夜、干燥、潮湿等情况对道路的影响。此外,对现有道路网络的安全审计可结合养护工作同时进行,这样可减少相应的成本费用。
五、我国山区道路的审计现状及问题和解决方法
5.1审计现状及问题
由于目前审计这个名词在国内还算比较新鲜,国外从起步发展到现在也不过十来年的时间,各方面都只是处于实验或者是试行阶段,并没有固定的一套理论依据。而我国相对外国来说又是落后了好几年,因此我国现在总体的审计现状也就处于探索阶段,各个方面也是处于起步阶段,不可能对各个方面的审计工作做到非常的完善。而道路的审计不过是众多审计工作中的一小部分,由于其本身的“新鲜性”,又对审计人员的要求较高,西部一些贫困地区教育跟不上,审计的人才缺乏也不是没有可能,设备等亦未全部到位。山区道路安全审计工作的开展较一般道路可能要更加的困难,因为山区道路多是停山临崖,弯道又多,坡度又大等各方面因素是其工作的开展要难与一般道路;更有甚者像那些偏僻地区的山区道路,可能路面的质量都无法保证,更不要提进行什么安全审计。:
5.2解决方法
要改善我国目前的这种安全审计情况,需要全国各个方面的努力与配合,不过政府要有所规定,我们民间也要有这方面的意识。笔者简单列出几项:①国家应该颁布相关的法律制度,严格要求进行安全审计;②地方政府部门要加强管理;③加强对审计人员的培训;④提高我国的教育水平和人们的交通安全意识;⑤交通安全部门要深入到偏僻的山区;⑥提高我国的经济实力。
六、结束语
山区道路的安全审计工作与其他道路的安全审计总体上应该说差不多,当然山区的那种独特的环境使得审计工作的重点可能不仅仅局限与一般的道路,不要认为山区道路的流量没有城市道路那么多而忽视它,我国是个多山的国家,山区道路对于我国各个地区的经济往来的作用不言而誉。通过安全审计,加强了全国各地交流。对于我国的经济发展有百利而无一害。国内山区道路建设的实际情况对道路安全审计进行了较为系统的分析研究并得出以下结论:
(1)道路安全审计独立于设计和标准。是以安全为核心的审计,其对象为一切与交通安全相关的工程和设施,它可分阶段、按步骤的实施,审计的结果为安全审计报告。
第5篇:安全审计制度范文
关键词:审计;粮食安全;路径选择
中图分类号:F239 文献标识码:A
原标题:政府审计维护粮食安全的依据及路径选择
收录日期:2012年2月22日
一、政府审计维护粮食安全的基本依据
粮食安全是经济安全的重要组成部分,审计要维护国家经济安全,理所当然包括粮食安全。我们认为,审计维护粮食安全有以下几个方面的基本依据:从理论上分析,政府审计维护粮食安全是公共受托经济责任拓展的现实需要;从法律上的要求,维护国家粮食安全是政府审计的法定职责;从现实层面而言,政府审计维护国家经济安全是充分发挥审计“免疫系统”功能的必然要求。
(一)政府审计维护国家粮食安全是公共受托经济责任拓展的现实需要。按照“受托经济责任观”这一审计学说,审计是随受托经济责任的产生而产生,并随受托经济责任的发展而发展的。政府审计产生于公共受托经济责任关系的确立,其首要或根本目标就是促进政府公共受托经济责任的切实有效履行。公共受托经济责任内涵的拓展要求政府承担保障和维护国民吃饭的责任。政府审计作为促进政府全面有效履行公共受托经济责任的一种监控机制,其功能也随着公共受托经济责任内涵的拓展而不断拓展。因此,政府审计维护国家粮食安全是公共受托经济责任拓展的现实需要。
(二)政府审计维护国家粮食安全是政府审计法定职责的基本要求。《中华人民共和国宪法》第九十一条规定:“国务院设立审计机关,对国务院各部门、地方各级政府的财政收支,对国家的财政金融机构和企业事业组织的财务收支进行审计监督”。2006年新修订颁布的《中华人民共和国审计法》在第一章第一条中将立法的目的规定为:“为了加强国家的审计监督,维护国家财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康发展”。粮食安全是“维护国家财政经济秩序”与“保障国民经济和社会健康发展”两项目标的重要基础;“财政资金使用效益”关系到国家成本与国家效能,对国家经济安全有着重要的影响;“国民经济和社会健康发展”的基础条件就是国家经济安全。因此,维护国家粮食安全是政府审计法定职责的基本要求。
(三)政府审计维护国家粮食安全是充分发挥审计“免疫系统”功能的必然要求。2008年刘家义提出了“国家审计免疫系统论”这一重要观点,指出“应充分发挥审计保障国家经济社会健康运行的‘免疫系统’功能”。在“国家审计免疫系统论”这一观点下,政府审计的功能就是通过发挥经济监控作用,使国家机器能够健康有效运行,而粮食安全是“国家机器能够健康有效运行”的重要基础,理所当然是政府审计的重要保护对象。因此,政府审计维护粮食安全是充分发挥审计“免疫系统”功能的必然要求。
二、政府审计如何维护粮食安全
政府审计要有效发挥在维护国家粮食安全中的监测、预防、预警、纠偏及修复作用,必须依赖于一定的途径;此种途径是联系国家粮食安全与政府审计工作之间的桥梁和纽带。结合当前国家粮食安全形势,政府审计可以通过以下路径充分发挥维护国家粮食安全的作用:
(一)明确粮食安全审计的目标、对象和内容
1、完善政府审计目标。政府审计目标是政府审计行为活动意欲达到的理想境地或状态。政府审计目标随着审计环境的变化而变化,随着审计职能的发展而发展。当国内外政治、经济形势的变化以及公共受托经济责任内涵的拓展,要求维护国家粮食安全成为政府审计的基本职能时,维护国家粮食安全就理应成为政府审计的基础目标。
2、深化政府审计对象。政府审计部门通过开展各项审计工作,可以在不同的领域维护国家粮食安全。当前,我国政府审计在维护资源环境安全、制度与政策安全等方面的作用尚未得到有效发挥。因此,通过深化政府审计对象,大力推行资源环境审计、制度合理性审计、政策执行效果审计,横向拓宽审计维护国家粮食安全的领域,能够有效发挥政府审计在上述领域维护国家粮食安全的作用。
(二)政府审计维护国家粮食安全的实现机制
1、建设粮食安全审计预警机制
(1)构建粮食安全审计预警系统。粮食安全审计预警系统的构建可以综合利用政府审计各项工作所收集到的信息,纵向深化政府审计工作成果的利用,充分发挥政府审计维护国家粮食安全的系统与事前维护国家粮食安全的功能。
信息收集系统通过审计活动,负责归集各种经济安全信息;信息评估系统利用收集到的粮食安全信息,对国家粮食安全运行中的风险进行评估;信息分析系统,通过评估出来的风险级别,对国家粮食安全进行综合评价,并根据结果发出粮食安全警报;信息处理系统利用特别审计权,负责对发现的国家粮食安全风险因素进行处理。
(2)设计粮食安全审计预警指标体系,构建粮食安全审计综合指数。我们认为,可以设计一套粮食安全审计预警指标体系,包括生产、储存、流通和消费四大领域。上述四大领域之下,分别设计一些主要指标。各领域主要指标的选取以政府审计科学研究与实践经验,设置各指标相应的安全值范围,并赋予相应的权重。通过比较审计工作中所收集到的各项指标实际值与安全值范围,就可以识别威胁国家粮食安全的风险因素。
通过计算粮食安全审计综合指数,并与预先设定的安全值范围进行比较,就可以对国家粮食安全进行评价,并根据情况进行预警。
2、完善调控、协调机制。国家粮食安全是在粮食生产、流通与消费之间进行有效平衡,是一个复杂的系统工程,影响因素众多。政府审计维护国家粮食安全要建立与国家其他政府部门的协调机制,充分利用财政、农业、央行和税务等部门的监督检查信息,这实际上是一种调控与协调机制的体现。
主要参考文献:
[1]刘家义.以科学发展观为指导推动审计工作全面发展[J].审计研究,2008.3.
[2]刘英来.审计是经济社会运行的免疫系统研讨会综述[J].审计研究,2008.5.
第6篇:安全审计制度范文
关键词:电力企业;信息系统;安全技术
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 16-0000-01
Power Enterprise Information System Security Technology Study
Shang Wen
(Datong Electric Power Supply Company Technology Information Center,Datong037008,China)
Abstract:In recent years,information technology development,a variety of attack techniques,network intrusion technical level has also been rapid development,which requires electric power industry,computer information systems there is a corresponding change in the structure,the establishment of defense in depth security system that can effective against various types of attack,to improve the power industry the security of information systems.
Keywords:Power Enterprise;Information system;Security technology
一、防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根掘仓业的安全政策控制(允许、拒绝、监测)出入网络的信息流。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙按使用的技术原理可分为包过滤防火墙和应用层网关级防火墙。
防火墙系统可以是路由器,也可以是个人主机、主系统和一批主系统,用于把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关(或网点)与Internet的连接处,但是防火墙系统也可以位于等级较低的网关,以便为某些数量较少的主系统或子网提供保护。
防火墙的局限性:(1)不能防范恶意的知情者;(2)不能防范不通过它的连接;(3)不能防范全部的威胁;(4)不能防范病毒。由此可见,要想建立一个真正行之有效的安全的信息系统,仅使用防火墙还是不够,在实际的应用中,防火墙常与其它安全措施,比如,访问控制技术、防病毒技术等综合应用。
二、VLAN技术
VLAN中的每个端点用户可直接与同一VLAN中的其它用户通信。VLAN之间的网络交通必须通过某种策略管理设备来管理,如路由器。这就允许网管人员为安全原因设置防火墙保护,在工作组问建立安全策略。在同一个物理网络中,可分割出多种不同的VLAN组。这就使得VLAN的成员可根据系统应用实际的需要而决定,而不是根据它们在网上的物理位置决定。不同物理位置的用户可以进入同一个工作组工作,就像在同一个办公室内共同工作一样,工作组成员关系可随组织变化而动态地变化。单个VLAN的操作就如同一个子网一样,子网上的用户可彼此直接通信,当跨越子网边界时要通过路由器。虚拟LAN与子网的唯一区别就是单个子网是彼此重叠在单一的公共物理设施上的。
VLAN能够大大加强网络安全性,体现为可以控制进入网络的用户连接。由于具有了对移动、加入以及变更用户的网络连接的控制能力,即网络的连接控制得到加强,网络系统了解虚拟网中所有的终端用户,并可对连接哪些用户、在何处需要存取何种服务来实行各种策略及控制;虚拟网络还可控制用户通信对象及控制特定应用的启用权。这些能力大部分在网络中都是以路由过滤及策略表形式提供的。由于虚拟网络去掉于网成员的物理限制,一个工作组中的所有成员都在同一个VLAN中,而且路由器用来控制出入工作组的存取。由于路由器的交通负载减少了,其带宽可以用在更迫切的安全性要求上。
三、数据加密技术
加密是提供保密性、真实性、完整性和数据存取权限的强有力工具。对数据进行加密,都有其实现的方法,这种加密的方法称为加密算法,它通常是完全公开的,这些加密的算法将用户要保护的原始信息(明文),使用一种称为密钥的数值操作进行编码,生成的结果称为密文。虽然,加密算法是公开的,但对密文解密需要的密钥是非公开的。加密技术不仅提供保密通信,也是许多其它安全机制的基础,是保障网络安全的基石。
四、安全审计技术
保证安全管理制度实现的重要手段是监控和审计。从技术角度来看的审计指对用户和程序使用资源事件进行记录和审查,它是提高安全性的重要工具。审计信息对于确定问题和攻击源很重要,能记录和识别事件发生的日期和时间,涉及的用户、事件的类型和事件的成功或失败,能判断违反安全的事件是否发生,以保证系统安全、帮助查出原因,并且它是后面阶段事故处理的重要依据。
因此安全审计跟踪是一种很有价值的安全技术,可通过事后的安全审计来检测和调查安全策略执行的情况以及安全遭到的破坏情况。安全审计是对系统记录和活动的独立评估、考核,以测试系统控制是否充分,确保与既定策略和操作规程相一致,有助于对入侵进行评估,并指出控制、策略和程序的变化。安全审计需要安全审计跟踪中与安全有关的记录信息,和从安全审计跟踪中得到的分析和报告信息。日志或记录被视为一种安全机制,而分析和报告生成则被视为一种安命管理功能。通过指明所记录的与安全有关的事件的类别,安全审计跟踪信息的收复可适应各种需要。安全审计跟踪的存在对潜在的安全攻击源可以起到威慑作用。安全审计跟踪应考虑选择那些信息将被记录,在什么条件下对信息进行记录以及用于交换安伞审计跟踪信息的语法和语义定义。
五、RBAC模型
计算机信息系统访问控制技术最早产生于六十年代,随后出现了两种重要的访问控制技术:自主型访问控制(Discretionary Access Control,DAC)和强制型访问控制(Mandal ory Access Control,MAC)。它们在多用户系统中得到了广泛的应用,对计算机信息系统的安全做出了很大的贡献。然而传统的访问控制技术远远落后于当代系统安全的需求,各国学者开始探索新型的访问控制技术,基于角色的访问控制技术引起了极大的关注,RBAC以其显著的优势被认为是自主型访问控制和强制型访问控制的替代者。所谓访问控制,就是通过某种途径显式地准许或限制访问能力及范围的一种方法。通过访问控制服务,可以限制对关键资源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。简单的说,即:“哪些用户可以使用哪些资源”。
总之,根据电力企业不同层面上的安全要求,本文研究和分析了多种先进安全技术,保障着整个系统的安全。
参考文献:
第7篇:安全审计制度范文
一、总体要求
以国家卫生县城复审通过和创建省级食品安全先进县以及2019年文明城市创建成功为目标,加强队伍建设、纪律作风建设,提升业务水平,建立全覆盖的督导考核体系,督促各单位履职尽责,树立良好的工作作风,高标准完成“三城联创”工作。
二、考核原则
坚持公开、公平、公正的原则,坚持单位管理内容及人员全覆盖的原则,坚持局考评和二级单位考评相结合的原则,坚持奖罚并重的原则。
三、考核对象和范围
(一)考核对象:局属各单位、科室。
(二)考核范围:“三城联创”期间涉及到的相关局属单位、科室业务和人员。
四、考核方式
各单位督导考核人员按照各自的工作职责及行业标准,制定具体的考核细则及打分表并负责解释,在局督导科的统一领导安排下,集中力量对“三城联创”期间工作人员的纪律作风和履职尽责情况进行督导,不再执行日常督导模式(日常督导模式为分工负责制:执法大队督查科负责执法大队的日常督导工作,园林环卫综合服务中心督导考核科负责园林环卫以及园林服务中心、美城保洁公司的日常督导工作,数字城管中心负责数字城管方面的督导工作,对发现的问题,各单位形成日报表,日报表电子版及问题图片每天下午下班前发送至局督导科邮箱cgjddk612@163.com,局督导科采取抽查的方式对上报材料进行审核,并进行汇总、通报,督导的问题一天一通报、一周一汇总、一月一点评),对发现的问题,列出问题清单,并形成每日通报,报局班子领导,发各相关单位,形成每日通报、分级点评的工作机制。
五、考核内容
纪律作风、市容市貌、环境卫生、园林绿化、违法建设、户外广告、餐饮油烟及露天烧烤整治管理、城乡环卫一体化管理、建筑垃圾资源化综合利用、城中村及社区管理、城市照明设施管理及公共自行车管理。
六、考核结果运用
(一)局督导科对各项工作开展情况进行逐项督导,对工作开展进度迟缓、质量不高、整改不力的进行严厉责任追究;对工作开展有力,推进快的单位予以表扬。
(二)对在连续两次通报成绩靠后的单位或科室,由局分管领导对单位或科室负责人进行约谈。
(三)对连续三次及以上通报成绩靠后的单位或科室,由局主要领导对分管领导、科室负责人进行约谈,并取消其本年度评先树优资格。
七、相关要求
1、加强组织领导。“三城联创”期间所有督导人员及车辆由局督导科统一调度,统一安排,集中时间,集中力量,对“三城联创”工作集中攻坚。局督导科与二级单位执法大队的督查科及园林环卫服务中心的督导考核科属上下级业务领导关系,与数字城管中心及城乡环卫一体化工作领导小组办公室属平级配合关系。
第8篇:安全审计制度范文
关键词:信息管理系统 信息安全 系统安全建设
中图分类号:TP39 文献标识码:A 文章编号:1003-9082(2014)03-0001-02
一、引言
随着全球信息化不断在我国深化和发展,我国各地区、各行业使用信息系统开展工作的比例越来越大。一般来说,信息化程度越高,对信息管理系统的依赖性就越强,信息安全问题就越为突显和严重。而信息安全问题也正逐渐成为影响各企事业单位业务能否正常运行、生产力能否快速发展的重要因素之一。但是由于我国信息化建设起步相对较晚,与国外先进国家相比,无论在信息安全意识还是信息安全防护技术等诸多方面都还存在较大差距,各企事业单位的信息安全基本上均处于一个相对较为薄弱的环节。一旦信息管理系统中的个人信息和敏感数据发生丢失或者泄漏,可能会对自身造成无可估量的损失。因此,重点保障信息管理系统安全已成为各行各业的首要任务。信息管理系统安全建设应该系统地、有条理地进行全面规划,充分地、全方位地考虑安全需求和特性,从而达到各种安全产品、安全管理、整体安全策略和外部安全服务的统一,发挥其最大的效率,给予信息管理系统以最大保障。
二、信息管理系统安全建设原则
1.安全体系兼容性
安全体系有一个重要的思想是安全技术的兼容性,安全措施能够和目前主流、标准的安全技术和产品兼容。
2.信息管理系统体系架构安全性
系统的系统架构已经成为保护系统安全的重要防线,一个优秀的系统体系架构除了能够保证系统的稳定性以外,还能够封装不同层次的业务逻辑。各种业务组件之间的“黑盒子”操作,能够有效地保护系统逻辑隐蔽性和独立性。
3.传输安全性
由于计算机网络涉及很多用户的接入访问,因此如何保护数据在传输过程中不被窃听和撰改就成为重点考虑内的问题,建议采用传输协议的加密保护。
4.软硬件结合的防护体系
系统应支持和多种软硬件安全设备结合,构成一个立体防护体系,主要安全软硬件设备为防火墙系统、防病毒软件等。
5.可跟踪审计
系统应内置多粒度的日志系统,能够按照需要把各种不同操作粒度的动作都记录在日志中,用于跟踪和审计用户的历史操作。
6.身份确认及操作不可抵赖
身份确认对于系统来说有两重含义,一是用户身份的确认,二是服务器身份的确认,两者在信息安全体系建设中必不可少。
7.数据存储的安全性
系统中数据存储方面可以采取两道机制进行的保护,一是系统提供的访问权限控制,二是数据的加密存放。
三、信息管理系统安全建设内容
按照系统安全体系结构,结合安全需求、安全策略和安全措施,并充分利用安全设备包括防火墙、入侵检测、主机审计等,其建设内容主要有:
1.物理安全
机房要求保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染、电源故障、设备被盗、被毁等)破坏。
2.网络安全
利用现有的防火墙、路由器,实行访问控制,按用户与系统间的访问规则,决定允许或拒绝用户对受控系统进行资源访问。同时加强端口、拒绝服务攻击、网络蠕虫等的监控,保障系统网络运行的畅通。
2.1使用防火墙技术
通过使用防火墙技术,建立系统的第二道安全屏障。例如,防止外部网络对内部网络的未授权访问,建立系统的对外安全屏障。最好是采用不同技术的防火墙,增加黑客击穿防火墙的难度。
2.2使用入侵监测系统
使用入侵监测系统,建立系统的第三道安全屏障,提高系统的安全性能,主要包括:监测分析用户和系统的活动、核查系统配置和漏洞、评估系统关键资源和数据文件的完整性、识别已知的攻击行为、统计分析异常行为、操作系统日志管理,并识别违反安全策略的用户活动等功能。
3.主机安全
系统主机安全从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面考虑。
3.1主机身份鉴别
对登录操作系统的用户进行身份设别和鉴别,对操作系统和数据库系统设置复杂的登录口令,并且定期进行更换。同时对操作系统和数据库用户分配不同的用户分配不同用户名。
3.2访问控制
通过三层交换机和防火墙设置对系统服务器的访问控制权限。对服务器实现操作系统和数据库系统特权用户的权限分离,限制默认账号的访问权限,重命名系统默认账户,修改默认密码。
3.3安全审计
服务器操作系统本身带有审计功能,要求审计范围覆盖到服务器上的每个操作系统用户,审计内容包括重要用户行为、系统资源异常使用并进行记录。
信息管理系统也应考虑安全审计功能,记录系统用户行为,系统用户操作事件日期、时间、类型、操作结果等。
3.4入侵防范
利用入侵检测系统和防火墙相应功能,检测对服务器入侵行为,记录入侵源IP、攻击的类型、攻击的目标、攻击时间,并在发生严重的入侵事件时提供报警。
3.5恶意代码防范
在服务器上安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力。
3.6资源控制
在核心交换机与防火墙配置详细访问控制策略,限制非法访问。
4.应用安全
4.1安全审计
信息管理系统应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计,审计记录内容至少包括事件的日期、时间、发起者信息、类型、描述和结果等,保证无法删除、修改或覆盖审计记录。
4.2资源控制
信息管理系统应限制用户对系统的最大并发会话连接数、限制单个账户的多重并发会话、限制某一时间段内可能的并发会话连接数。
5.数据安全
系统数据安全要求确保管理数据和业务数据等重要信息在传输过程和存储过程中的完整性和保密性。对于数据库中的敏感数据,需对数据项进行加密,保证管理数据、鉴别信息和重要业务数据在传输过程与存储过程中完整性不受到破坏。
对数据进行定期备份,确保存储过程中检测到数据完整性错误时,具有数据恢复能力。必须采用至少两种手段进行备份,备份手段以整体安全备份系统为主,配合其他备份手段,如GHOST、TRUE IMAGE或操作系统和数据库管理系统本身的备份服务等。备份具体要求如下:
5.1各服务器专职管理员根据所管服务器的具体情况与整体安全备份系统专职管理员协调制订好所管服务器的备份计划及备份策略。
5.2整体安全备份系统专职管理人员必须组织各服务器专职管理员对各服务器每个季度进行一次整体灾备(冷备)。若某台服务器的配置需要发生较大变更,该服务器的专职管理员应在对该服务器实施变更前和圆满完成变更后,分别对该服务器做一次整体灾备,必要时整体安全备份系统专职管理员需对整体灾备提供协助。
5.3数据备份主要分为月备份、周备份、日备份及日志(增量)备份。月备份每月对各服务器的所有系统、目录及数据库做一次全备(热备)。周备份每周对各服务器的所有系统、目录及数据库做一次全备(热备)。日备份每天对各服务器的重要目录及数据库做一次备份。日志(增量)备份针对数据更新较频繁的服务器,每天进行多次增量备份。
5.4除日志(增量)备份外,其它各种备份以每一次独立执行的备份作为一个独立版本。每个独立版本的备份必须存储在独立的备份介质上,不能混合存储在同一套备份介质。整体灾备(冷备)和月备份一般要求保留至少能覆盖当年及上一年全年时间的所有版本,周备份要求保留至少最近5个版本,日备份要求保留至少最近4个版本,日志(增量)备份保留至少自上一次周备份以来的所有版本。
5.5备份介质应放在机房以外安全的地方保管。所有备份介质必须有明确、详尽的标签文字说明。
5.6整体安全备份系统专职管理员必须定时检查备份作业的运行情况,备份异常情况应尽快查明原因,解决问题并在值班登记本上详细记录。
四、安全制度建设
建设严格、完整的基本管理制度包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理机制几个方面。
安全管理制度:包括安全策略、安全制度、操作规程等的管理制度;管理制度的制定和;管理制度的评审和修订。
安全管理机构:包括职能部门岗位设置;系统管理员、网络管理员、安全管理员的人员配备;授权和审批;管理人员、内部机构和职能部门间的沟通和合作;定期的安全审核和安全检查。
人员安全管理:包括人员录用;人员离岗;人员考核;安全意识教育和培训;外部人员访问管理。
系统建设管理:包括系统定级;安全方案设计;产品采购和使用;自行软件开发;外包软件开发;工程实施;测试验收;系统交付;系统备案;等级测评;安全服务商选择。
系统运维管理:包括机房环境管理;信息资产管理;介质管理;设备管理;监控管理和安全管理中心;网络安全管理;系统安全管理;恶意代码防范管理;密码管理;变更管理;备份与恢复管理;安全事件处置;应急预案管理。
五、结束语
信息化建设已经涉及到国民经济和社会生活的各个领域,信息管理系统也成为各行各业信息化建设发展中的重要工具。如何保障信息管理系统安全从而保证信息安全是关系到国家安全、社会安全和行业安全的大问题。我们只有在实现信息安全的条件下,才能有效利用信息管理系统这个有力的工具提高生产力,推动社会的发展。本文通过对信息系统安全建设原则、安全建设内容和安全制度建设三方面较为详细的探讨,应该对于各企事业单位信息管理系统的安全建设有所帮助和借鉴。
参考文献
[1] 林国恩,李建彬,信息系统安全,电子工业出版社,2010-03
[2] Dieter Gollmann, Computer Security 2 edition, Wiley, 2006
[3]《信息系统安全等级保护基本要求》,中华人民共和国国家标准,GB/T 22239-2008
[4] 尚邦治等,做好信息安全等级保护工作,中国卫生信息管理杂志,2012.5
第9篇:安全审计制度范文
关键词:企业安全审计系统;模块设计;测试模型
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)22-0049-02
1 概述
随着国家改革开放的不断深入,互联网的应用深入到了企业工作中的各个方面,企业发展面临着前所未有的挑战。企业员工通过互联网办公的行为越来越多,互联网在方便企业员工的同时,也带来了员工工作效率低下、容易泄露企业秘密,造成企业的网络安全没有保障,企业的信息资源网络泄密等风险。企业安全扫描过程漫长、排查隐患不合理、问题定位不精确、扫描缺乏深度、安全结论模糊等一系列业技术难题。这在很大程度上影响了公司的进一步发展。本系统正是在这种背景之下提出的。集中表现在以下几个方面:
1)提高了企业的经营质量和效率。
2)提高企业员工办公的工作效率,加强企业互联网使用制度管理。
3)降低企业的人员管理成本,减少人为因素和管理缺失造成的关键业务停顿造成的损失。
4)降低企业泄密事件风险,为企业的互联网环境提供安全保障。
5)管理部门应加强对员工互联网通信数据和通话内容的监管、审计。
2 企业安全审计系统的需求分析与设计
通过调查,要求系统需要有以下功能;1)有良好的人机界面,有较好权限管理;2)系统操作简单,容易学习,容易理解,快速上手使用系统;3)系统数据安全加密、系统具有数据备份和数据还原功能;4) 方便的全方位的数据查询;5)审计数据的浏览和下载;6)企业工作电话的通话内容录制;7)非工作互联网网络站点的访问;8)企业员工网络数据浏览的统计和分析。
通过对企业需求的分析得出,需要设计的模块为:系统状态监控、设置向导、员工网络行为监控、员工通话记录、员工上网行为过滤、员工网络数据统计分析、系统管理七大模块。
3 企业安全审计系统的模块规划与详细设计
安全审计系统是一个典型的数据库开发与应用的程序,能够通过互联网上网的技术手段对员工互联网行为进行监督、审计和管理,避免企业重要信息资源泄露,以及发生泄密事件后能够溯源找到相关证据和原因提供技术层面的支持。其相关的模块等部分是本系统的重要组成部分,特此规划本系统的功能模块如下:
系统状态监控模块
该模块主要负责系统的接入方式、数据来源的管理状况;员工网络行为监控的状态和现在的工作模式;员工通话记录的监控的启用和停止状态;员工上网行为过滤的启用和停止状态。
设置向导模块
该模块主要负责系统监管内容设置、系统互联网接入方式设置、系统用户使用权限设置、员工互联网数据监控设置、员工通话记录设置、员工上网行为过滤设置。
员工网络行为监控
该模块主要负责对员工网络行为监控的基本设置;启用和停止监控;网络行为的回放、审计和下载――支持对上网时间、IP、URL、MAC、关键字、上网账号、上网电话、邮件类型进行回放、审计和下载。支持对http上传、http下载、https、smtp、pop3、telnet、ftp、qq、msn、skype、微信、飞信、qq传输文件、web邮件传输、web网站访问、sohu微博、sina微博、其他未知协议跟踪等具体的按协议分类的回放、审计和下载;员工上网身份查询;员工网络行为实时回放、审计和下载。
员工通话记录模块
该模块主要负责员工办公室固定电话通话内容回放;通话内容记录启用和停止设置。
员工上网行为过滤模块
该模块主要负责员工上网行为过滤规则的设置――支持对ip、mac、端口、url、http、组合策略(ip+端口、mac+端口)等规则进行过滤和放行;过滤行为启用和停止设置。
员工网络数据统计和分析模块
该模块主要负责员工网络数据时间统计和分析――支持对ip、mac、账号的统计和分析;员工网络数据轨迹统计和分析――支持对ip、mac、账号的统计和分析;
系统管理模块
该模块主要负责权限管理、数据备份、数据还原、版本升级、设备状态、关闭设备、工具下载、操作日志审查。
其他功能模块
该模块主要负责系统版本信息、重新登录、退出系统。
4 软件开发过程
本系统的开发结合软件信息系统的开发阶段分为下面4个子阶段:需求分析阶段、架构设计阶段、程序编码阶段、系统测试和调试阶段。
1)分析阶段
进行需求分析(requirement analysis):理解问题需求,包括程序是否需要和用户进行交互,是否操纵数据,是否有输出结果以及输出结果的格式等等。如果程序需要对数据进行操作,开发人员必须了解数据类型及它们的表示方法。这时候可能会接触一些样本数据。如果程序有输出信息,必须确定它们所生成的结果及输出格式等;如果需要解决的问题过于复杂,可以把它分解为多个子问题,在对每个子问题做相应的需求分析。
2)设计阶段
结构化设计方法
将一个问题分解为若干个子问题的方法叫做结构化设计方法。结构化设计方法又叫做自顶向下的设计方法、逐步求精方法和模块化程序设计方法。在结构化设计方法中,问题被分解为若干子问题,然后分别对每个子问题进行分析和求解。所有子问题的解合并起来就是原始问题的解。使用结构化设计方法进行编程就叫做结构化程序设计。
面向对象设计方法
在面向对象设计方法中,求解问题的首要步骤是识别称为“对象”的组件(它是运用该方法求解问题的基础)和确定对象之间如何进行交互。对象包括数据和在数据上执行的操作。对象可以看作数据和其上操作的统一体。使用面向对象方法编程,最终的程序是交互对象的集合。实现面向对象设计方法的编程语言叫做面向对象程序设计语言。
3)编程阶段
在编程阶段,编写和编译程序代码,以实现在设计阶段分析得到的类和函数。
4)测试和调试
系统测试是保证软件开发质量的主要手段,测试目的不在于找出错误,而在于遍历软件系统各功能和边界条件,保障软件系统的正常工作和运行,是评价系统软件质量的重要方法之一。
5 软件开发模型(方法)
本系统开发采用增量的软件开发模型来实现系统各功能模块。
1)瀑布模型
该模型严格按照需求分析、软件设计、程序编码、系统测试、运行和维护一级一级的向下执行,每个阶段必须经过阶段性评审,并通过评审,再进入下一个开发阶段。
2)原型方法模型
在开发的早期阶段,系统需求不确定时采用。通过一个简单的功能实现系统再进一步确认系统将要实现的各功能的一种开发模型。
3)增量模型(渐增模型)
结合了原型方法模型和瀑布模型的基本软件开发阶段,该模型首先通过早期的原型系统建立的模型,再进一步按照瀑布模型的各阶段完成系统开发。再次迭代原型系统模型和阶段开发模型直至系统所有功能满足用户需求。
6 软件测试与维护
1)软件测试:
测试这个术语表示检测程序的正确性,即检查程序是不是完成了需要完成的工作。而调试一词指,如果程序存在错误,如何找到并修改错误。在每写完一个函数或算法后,接下来应该验证它是否正确工作。在复杂的大型程序中,错误是一定存在的。为了提高程序的可靠性,必须在交付用户前发现并修改其中的错误。
测试有两类方法,即:黑盒测试和白盒测试。使用黑盒测试方法时,您不需要知道算法或函数的内部实现,只需要知道程序的功能即可黑盒测试是基于输入输出的方法。它的测试用例通过创建等价类来选取。如果程序对于等价类中的某个输入的输出结果是正确的话,那么就认为对应该等价类中其他输入也会输出同样的正确结果。白盒测试法需要测试人员遍历测试程序的内部逻辑结构和业务处理流程的一种测试方法。常见的白盒测试方法有:基本路径测试、循环覆盖测试、逻辑覆盖测试,测试的重点在于检验内部逻辑结构和业务实现流程。
2)软件维护:软件开发的工作的结果就是交付一个满足用户需求的软件产品。软件产品一旦投入应用,产品的缺陷就会逐渐的暴露出来,运行的环境会逐渐发生变化,新的用户也会不断地浮出水面。软件维护就是要针对这些问题而对软件产品进行相应的修改或演化,从而真正的修改错误,改善性能或其他特征。
软件维护是整个软件开发生命周期历时最长得工作,主要是为了保障软件系统的正常工作和运行直至软件使用消亡或更新换代。软件的维护主要可分为三种:改正性维护(纠正软件存在的错误和缺陷)、适应性维护(适应内、外部环境)、完善性维护(添加、扩容和升级新的软件功能)。
参考文献:
[1] 沈备军.软件工程原理[M]. 北京:高等教育出版社,2013.
[2] 张海藩,倪宁.软件工程[M].北京:人民邮电出版社,2010.
[3] 陈明.软件工程导论[M].3版.北京:机械工业出版社,2010.
[4] 钱晓明,朱健江,王晓勇.软件工程[M].北京:中国铁道出版社,2007.
[5] 吕云翔,王昕鹏.软件工程[M]. 北京:人民邮电出版社,2009.
[6] Carig Larman.UML和模式应用[M]. 3版. 北京:机械工业出版社,2006.
[7] Grady Booch.Object-Oriented Analysis and Design with Applications[M]. Addison Wesley Longman Publishing Co., Inc, 2003.
