信息安全审计精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的信息安全审计主题范文，仅供参考，欢迎阅读并收藏。

第1篇：信息安全审计范文

最后，外发信息的管理是管理里面比较核心的一个方面。尤其是高校学生利用邮件、QQ、BBS、微博等通讯软件宣扬传播一些不正确颓废庸俗的内容；通过网络实行诈骗他人财物的事情也是有发生，是校园网络建设必须解决的问题。上网行为审计设置的URL库，可以将这些不健康甚至是违法犯罪的恶意信息或者网站进行拦截和阻止。

用户上网行为的日志、报表分析功能为安全上网保驾护航

高校内计算机的使用数量较多，产生的互联网访问日志也比较多，为为了加强对这个校园网络资源应用的了解，这就需要取得比较完整的访问记录，以方更加全面更加透彻的分析，这就需要日志报表来执行，它可以用文字图形等方式反应出网络宽带应用的详细数据，为网络管理提供了可靠地依据。上网行为审计能够提供强大的日志存储作用，可以对校园网络行为进行监控。可以看到所有校园网络上的上网记录。上网行为审计具有生成日志，记录下来以便查询之用。用户上网行为日志还具有移植行，可以将数据移植到任意的存储设备上，日后可以通过Web访问查询、导出、打印，大大减轻了上网行为管理的工作量。

对特殊电脑的使用权限的设置和实名制

“上网行为审计管理”的日志作用可以检测到所有校园网络内传输的消息，包括聊天邮件等，这牵扯到了校内网使用者的隐私，不许加以保密不能第二次泄露，所以权限设置是很有必要的，这就需要校园网网络管理员要有较高的职业素质，同时也需要使用一些权限保密设置功能，来保证“上网行为审计管理”的顺利进行。校园内各个岗位的电脑必须设置登入密码，实名登入，如档案室、图书室、教师电脑、学校网站等电脑的登入，这可以有效的防范资料的篡改和丢失，使学校工作能够正常有序安全的进行。同时也能责任到人，谁的区域谁负责的原则，当出现问题时也能及时准确的查找到人。

在全校范围内普及网络安全知识，工作人员做好安全检查工作

现在大多是教师学生都会使用电脑，但对电脑安全知识使用上的知识还不是很了解，这就需要在全校范围内大力宣传网络及信息安全的知识，提高计算机使用水平，安全上网。建立健全校园网网络病毒的检测工作。学校的计算机应当全部安装杀毒软件、防火墙等软件，工作人员要定期对这些软件进行升级管理同时校网络工作人员也要落实工作职责，加强日常监督检查，及时发现问题解决问题。

除此之外，校园网网络的硬件也要到位，只是网络安全实施的前提条件和有力保证，杀毒软件、客户端、防火墙及其网站的管理都要及时更新和检查。校园网网络建设可以和学校计费系联系起来，采用实名制的登录方式，在使用者达到规定的时间后会主动断线，这样可以保证校学生有规律的学习娱乐；同时也可以设计上网审计报警功能，当打开一些不正当的网页或者发放一些非健康的邮件登时，可以主动拦截关闭报警。

第2篇：信息安全审计范文

[关键词]智能油田；信息安全；综合审计；关联分析

doi：10.3969/j.issn.1673-0194.2020.22.028

[中图分类号]TP393.08；F239.4[文献标识码]A[文章编号]1673-0194（2020）22-00-02

1智能油田信息安全风险

在数字化转型发展背景下，智能油田建设与应用进程逐渐加快，网络与信息系统的基础性、全局性作用不断增强，而保证核心数据资产的安全对油田业务的高质量发展至关重要。当前国内外网络安全形势严峻，境内外恶意分子以及被政治、经济利益裹挟的黑客组织，对能源行业加剧进行网络渗透，攻击关键信息基础设施、窃取商业机密等敏感信息，对油田信息安全构成了极大的外部威胁。此外，内部员工违规访问不良网站内容，使智能系统面临着严重法律风险，加上员工有意识或无意识的网络泄密事件与系统运维人员违规操作事件频发，严重威胁了智能油田发展。目前，我国油田信息安全建设思路已经从防外为主，逐步转为以内外兼顾的策略，信息安全审计成为纵深安全防御延伸和安全体系建设的重要环节。为遵循国家网络强国战略、达到网络安全合规要求，有效避免黑客攻击、网络泄密、违规上网、数据窃取等安全风险，我国急需建立智能油田信息安全综合审计平台，实现信息内容实时检查、网络行为全面监测、安全事件追溯取证，为油田高质量发展保驾护航。

2信息安全综合审计关键技术

信息安全综合审计是企业内控管理、安全风险治理不可或缺的保障措施，主要指对网络运行过程中与安全有关的活动、数据、日志以及人员行为等关键要素进行识别、记录及分析，发现并评估安全风险。针对智能油田业务需求场景，重点解决3项技术难题：一是如何基于纵深防御理论通过大数据、云计算等技术，对油田不同防御层级的日志、流量等信息进行关联分析建模，有效预防黑客隐蔽型攻击；二是如何通过建立面向油田具体业务场景的敏感信息指纹库、安全策略库、行为特征库，构建覆盖敏感文件信息处理、存储、外发等关键环节的纵深防护与事件溯源取证机制；三是如何通过深度网络业务流量识别与数据建模分析技术，建立面向油田具体业务场景的员工上网行为监管审计机制，实現对员工违规网络行为的全面管控。

2.1多源异构网络日志信息统一标准化方法与关联分析模型

设计多源异构网络日志信息格式标准化方法，利用基于大数据处理的日志过滤与关联分析建模技术，整合网络泄密、违规上网、黑客攻击等网络风险事件日志信息，建立油田信息安全风险关联分析模型。

2.2信息安全审计敏感信息指纹库、行为特征库、审计策略库

结合油田具体业务需求场景，运用数据分类分级与指纹识别技术、深度业务流量识别与建模方法，建立满足国家合规要求及油田特有应用场景需求的敏感信息指纹库、网络行为特征库及安全审计策略库。

2.3数据防泄露与敏感信息内容检查机制

基于操作系统底层驱动过滤的数据通道防护技术、基于智能语义分析的敏感信息内容审计技术，实现对员工通过云盘、邮件、即时通信、移动介质等方式外发涉密信息的实时检测与控制，彻底解决员工有意识或无意识地违规存储、处理、外发涉密信息问题。

3智能油田信息安全综合审计平台建设及应用

信息安全综合审计平台是一个综合利用云计算、大数据、人工智能、数据指纹、异构数据采集等技术，实现网络行为监控、信息内容审计、数据库操作审计、网络异常流量监测预警的审计溯源系统，在满足网络合规性要求的同时，为信息安全管理与系统运维人员提供了网络安全监测、事件追溯取证的基本手段，提升了油田对敏感数据的监测预警和传输阻断能力，防止了敏感信息泄露，增强了对外部黑客隐蔽性网络攻击行为与内部运维人员违规业务操作的防御能力。其中，图1是智能油田信息安全综合审计平台总体架构。

基于信息安全综合审计关键技术研究与集成创新，相关单位研发建立了智能油田信息安全综合审计平台，以纵深防御理论为指导，通过网络层面的行为和流量审计、信息系统层面日志和数据库审计、终端层面的信息内容审计等，实现对网络风险事件的事前防范、事中告警、事后追溯，形成上网行为全面管控、网络保密实时防护、网络攻击深度发现的主动治理新模式。贯穿数据信息的产生、存储、传输、应用全生命周期的关键过程，自主建立油田敏感信息指纹库，构建基于涉密违规存储远程检查、终端违规外发自动阻断、网络敏感信息识别告警功能的数据安全纵深防护与事件追溯取证机制，为网络保密主动治理提供技术手段。通过设计跨平台、多协议网络信息采集接口机制与多源异构日志标准化数据模型，结合云计算与大数据处理技术，建立适应油田海量非结构化日志信息的存储云中心，且基于深度学习算法建立关联模型，通过日志信息纵向聚合与横向关联实现网络行为与信息内容全面审计。

为保障智能油田核心数据安全与网络系统运行安全，将平台成功应用于油田网络安全保障与网络攻防实战演练、网络保密治理与数据安全保护、员工上网行为管理与审计、IT基础设施运维操作审计等，有效提升智能油田精细化管理水平。通过平台网络安全审计功能，将网络层面防火墙、入侵检测、高级威胁检测、蜜罐入侵诱捕、Web应用防火墙、流量溯源分析、漏洞扫描等网络安全监测防护设备提供的黑客网络攻击行为日志信息，应用系统层面服务器操作系统、中间件、数据库等产生的系统日志信息以及终端计算机层面产生的病毒防护、主机漏洞、基线配置等日志信息进行集中统一标准化处理，通过提取关键要素信息进行关联建模分析，实现对黑客隐蔽性网络攻击行为的深度发现与事件追踪溯源，为油田网络安全日常防御保障提供监测分析技术手段，为油田网络攻防对抗实战演习统一决策指挥提供平台支撑。通过信息安全综合审计平台的信息内容审计功能，实现对内部员工通过电子邮件、即时通信、网络云盘、网站上传等方式外发敏感数据信息的实时监测，结合平台数据防泄露功能，实现对员工办公终端计算机违规存储、处理、外发敏感数据信息文件行为的实时告警提示与阻断控制，同时针对油田不同业务场景，制定开发科研、生产、经营、管理等不同业务敏感数据信息审计策略，实现对内部员工有意识或无意识网络泄密行为的事前告警提示、事中监测阻断、事后追溯取证，为网络保密治理提供有效的技术手段，保障智能油田核心数据安全。通过信息安全综合审计平台的上网行为审计功能，实现对油田内部员工上网行为的有效管理，对员工通过油田网络进行网站访问、网络应用等行为进行实时监测审计，防止员工因访问不良网站给企业带来的法律风险，同时避免因访问恶意网站给企业带来木马病毒等网络安全风险，满足网络安全管理合规要求。利用信息安全综合审计平台提供的运维操作行为审计功能，对运维管理人员的操作日志进行集中监测分析，整合利用日志数据价值，实现对网络设备、安全设备、服务器、数据库等信息基础设施运维操作活动的实时监控、记录及告警，有效规避运维操作过程中产生的网络安全风险。

第3篇：信息安全审计范文

摘要：金融审计是国家审计机关对金融机构财务收支活动进行监督的行为。现代商业银行的生存和发展在很大程度上依赖于金融创新，而信息系统的普及程度及其使用范围则直接制约着金融创新的手段。农村信用社信息系统从无到有、从弱到强，在一定程度上促进了农村金融体制改革的顺利进行，但同时也带来了更多的风险，并对农村信用社的内部审计工作提出了更高的要求。

关键词：农村信用社 信息系统建设 风险防范 内部审计

审计作为监督的有效手段，是农村信用社风险防范的一个重要工具，是风险管理的一道防线。如何构筑这道防线，是我们必须认真考虑的问题，审计风险越来越引起广泛关注。

一、农村信用社金融审计现状

农村信用社审计现在还不完善，仍存在着审计手段落后、审计力量不足等矛盾，面临着许多风险。农村信用社审计风险产生的原因是多方面的，既有人员素质因素、管理因素、审计质量因素，也有审计技术和方法的因素。

(一)审计人员素质还不完全适应审计发展的要求

目前，一部分从事审计的人员虽然不具备金融专业知识、任职资格、技术职称，但具有长期从事农村信用社审计工作的经验，在审计过程中能够发现一些问题，解决一些问题，但对产生问题原因的分析，对形成风险和造成危害的剖析，对金融和宏观经济运行影响的判断能力不足。另一部分则是具有较高的金融知识水平，又有多年审计工作经历和专业技术水平，还有丰富的审计经验并具有较强查证问题、分析问题、解决问题和综合判断的能力，是金融审计队伍中的主导力量，但是所占比例很小。

(二)审计管理不科学，缺乏质量控制标准

就信用社而言，省联社、地区联社(办事处)成立稽查部门，基层信用社配备兼职审计员，审计人员并未能严格遵守审计质量控制规范，其审计行为随意性很大。加之审计任务接二连三，时间紧、任务重，审计重点不突出，造成审计走过场，审计面没达到，特别是专项审计项目在规定时间内要完成，导致有的细节无法审计到；在质量控制标准上，审计对象的经济技术指标的评价标准没有制定出科学的方法和内容，审计质量控制体系中缺乏责任的确认和责任追究的具体内容和标准，没有非常完善的质量检查制度，有些审计项目质量问题可能只有到出现问题时才能发现。质量责任追究仅限于查案件、追责任，失去了质量控制的作用。

(三)技术方法不先进

面对被审计单位庞大的金融数据，传统的审计方法已经不能适应信息化的发展需求，虽然开展了计算机审计，但审计软件技术开发还未起步，后台数据的下载速度慢，有的数据不能随时下载，影响了审计的效率，增加了现场审计时间，同时加大了审计成本。

(四)信息系统功能单一，信息资源独立，无法及时满足系统用户的服务需求

虽然农村信用社已经建立了比较先进的信息系统，但由于各子系统功能的相对独立性，使得信息资源目前尚无法或无法全部实现共享。

二、农村信用社信息系统风险防范的内审对策

针对农村信用社信息系统风险防范问题， 内部审计部门应当采取下列方面的基本对策：

(一)提高内部审计人员对信息系统风险防范工作的认识

郭道扬教授在他的书中指出：一定历史阶段的会计环境制约着这一历史阶段人们的会计思想认识水平，而这一历史阶段人们的思想认识水平又制约着这一历史阶段的会计组织、制度、理论、方法的发展，以及会计工作水平。作为内部审计工作者，将这一段话中的“会计”转换为“内部审计”同样适用。审计人员只有提高了对信息系统风险防范的思想意识，才会主动地去接受和吸收新的理论知识，也才能在实践中不断地总结经验，在提高自身审计技能水平的同时，提高农村信用社信息系统审计的整体水平。

(二)加强对内部审计人员信息系统风险防范技能的培训

一项工作的成败，除了受到外部环境的影响外，更多地取决于内部资源的整合程度，而其中人力资源状况则起着决定性作用。随着农村信用社信息系统建设的发展，必将对审计人员在风险防范方面提出更高的要求。除了要求具备常规的审计基础知识以外，还须掌握信息技术以及计算机管理方面的专业知识和专业技能。这些知识和能力的拥有，除了需要长期的工作实践以外，更重要的还在于通过不断地学习来获得。一是通过聘请外部专业技术人员组织培训的方式提高审计人员的综合素质。二是注重内部审计人员的传帮带作用，通过具体的审计案例组织审计人员进行分析、讨论和讲解，激发审计人员的工作热情。

(三)建立内部审计信息管理系统，实现信息资源的实时共享

审计人员在审计过程中，往往需要通过获取大量的数据信息，加上其职业判断能力，作出相应的审计结论。而目前数据信息的取得，在一定程度需要依赖于其他管理部门，由于工作性质的不同，其他管理部门往往无法提供出审计部门所确切需要的数据。通过建立审计信息管理系统，其重要作用主要体现在下列几个方面：一是审计部门通过网络或数据接口，使用中间软件，可以从其他信息管理系统自主获取相关信息，并通过独立分析，及时提出相应的审计意见。二是促进和加强审计部门内部的协调和管理，实现从方案设计到处理决定各环节之间的相互监督，不仅有利于提高工作效率，而且也为审计质量考核提供了极大的方便。三是通过相应的权限设置，可以实现审计工作所需要的各类法律法规、规章制度、审计方法、审计操作规程、审计报告、工作底稿、审计最新研究成果等资源的共享，不仅有利于提高审计工作质量，而且也为审计人员提供了比较切合实际的网络培训平台。

(四)强化计算机技术在金融审计领域的应用

一是构建全省的金融审计信息化平台，整合全省金融信息资源，确保全省各级审计机关在“一体化”信息平台上开展金融审计；二是对被审计单位的业务数据和财务数据进行集中采集、集中分析，构建农信社审计业务数据库，为下一步实现联网审计打下基础；三是继续突出抓好应用，金融处将联合计算机技术中心共同开展金融数字化审计项目，力求凭借计算机技术实现金融审计的新突破。

三、结束语

目前，农村信用社新的经营机制正在逐步建立，业务发展和金融创新过程不断加快。因此，内部审计工作也应及时更新审计理念，转变方式，提高审计监督效能，使审计工作更加适应信用社改革发展和管理的需要，以促进农村信用社合法守规经营为目标，充分发挥审计部门的再监督作用。加大违规处罚力度，严厉查处信用社在经营过程中存在的风险隐患，从而遏制违规违纪现象的发生。促使农村信用社各项业务活动合规经营、健康发展，为农村信用社的改革与发展保驾护航。同时，面对上述农村信用社面临的风险，应当如何去应对，是我们每个信合人都必须要认真思考和对待的重要课题。

参考文献：

[1]陈国锐．农村信用社的审计风险与防范Ⅲ．省联社发展研究处,2010，(7)．

第4篇：信息安全审计范文

[关键词]信息 安全 保障 事件

[中图分类号]F224-39 [文献标识码]A [文章编号]1672-5158（2013）06-0238-02

华为中兴遭遇美国安全调查的事件风波过去已经有几个月的时间了，但其影响却在持续发酵和扩散，对此我们必须高度警惕。近期发生的一系列事件也更加反映出这样的趋势：网络信息安全问题正日益成为影响我国经济社会发展乃至外交关系的重大问题，必须积极应对。加强对华为中兴调查事件的深入研究，具有较强的现实意义。

一、调查事件回顾

美国此次发动对华为中兴的调查，是华为中兴探索谋求在发达国家市场实现突破并再次受挫的又一次典型事例。

（一）调查起因

美国将电信网络作为国家关键基础设施予以重点保护，加强电信网络供应链安全，是其推进工作的重要抓手。美中事务监察委员会在其报告中曾指出，中国电信企业华为和中兴正迅速主导全球电信市场，这些企业所控制的敏感设备和基础设施可用于间谍活动，对美国家安全可能存在威胁。基于此认识，2011年2月，美外商投资委员会否决了华为收购3leaf公司案。华为发表公开信，希望美国公开调，澄清华为可能威胁美国家安全的不实言论。

（二）调查过程

美国众议院情报委员会针对华为中兴两家公司的调查，前后历时2年多，主要经历了预调查、寻找佐证、听证质询、初步调查结果等价主要阶段。

——2011年3月，启动预调查。2011年3月，美美众议院情报委员会以华为公开信为借口，开始了对华为的“可能危害美国家安全”的预查。2011年底，调查对象进一步扩大到中兴通讯。

——2011年初至2012年5月，美方多方调查接触，寻找佐证。主要包括与两家公司高管直接接触和讨论、采访相关行业专家、采访两家公司的雇员等。2012年2月、4月和5月，众议院情报委员会官员还分别考察了华为和中兴公司总部。

——2012年9月，公开听证。美方在经过多方调查后认为，华为和中兴两家公司并未完全响应委员会的要求，均未提供足够的证明材料。为此9月13日，举行公开听证会，对调查进行补充质询。

——2012年10月，美初步调查报告，断言安全威胁。10月8日，美国众议院情报委员会了关于中兴华为调查情况的初步报告——《由中国电信企业华为和中兴引发的对美安全威胁》，指称华为中兴为中国情报部门提供了干预美国通信网络的机会，构成对美国国家安全的威胁。

（三）调查结论

经过漫长调查，美国初步调查报告指称，华为中兴对调查均未充分配合，且均未提供相关文件和证据。众议院对两家公司能否遵守国际规则的担心进一步增加。

主要调查结论包括5个方面：一是两家企业与政府及军方的关系不明。二是两家企业的经营或受政府及党委影响；三是两家企业可能获得来自政府的支持。四是两家企业对其在美业务信息不透明，并对在美机构的经营活动实施严格控制。五是两企业对知识产权保护不力，且有违反移民法、贿赂和腐败、歧视以及侵犯版权等违法行为。

基于以上结论，调查委员会担心如将其产品部署在国家关键基础设施上，会给美国带来潜在安全风险，并相应提出了5条针对性建议。一是美国相关政府部门应当对中国电信企业在美的持续渗透保持怀疑，尤其在其系统内不得使用华为中兴设备。二是呼吁美国网络和系统开发者们寻找其他的供应商。三是美国国会司法委员会对中国通信行业开展不公平贸易调查。四是国会司法委员会出台相应的法律加强管理。五是中国企业需要更加开放、透明和守法。

二、事件背景分析

调查事件反映出较为复杂的背景，综合来看包括以下三个方面。

（一）华为中兴积极参与全球化发展

华为、中兴凭借自身的比较优势，响应国家改革开放政策的号召，较早实施了企业全球化发展战略并取得显著的成绩。企业全球影响力逐步提高，海外市场规模不断扩大，国际资源配置能力显著增强，创新潜力不断积聚。以华为为例，经过10年的海外拓展，2011年实现海外收入1383.64亿元，占总收入67.8%；其在海外已设立了22个地区部，100多个分支机构，其产品与解决方案已在全球150多个国家和地区得到推广；2008年，华为公司以1737件PCT国际专利申请首次跃居世界企业首位，并连续多年居排行前4位。

（二）此前华为在美投资屡受挫折

此次调查并非华为海外投资的首次受挫，其此前在美拓展市场的活动也非一帆风顺，处处可见政府干预的影子。如2007年9月，华为联手贝恩资本竞购网络公司3Com，虽然3Com同意了这笔价值22亿美元的交易，但随后贝恩资本退出，导致交易夭折。贝恩资本退出的主要原因在于，美国情报部门向美国外国投资委员会提交了一份威胁评估报告，称贝恩资本和华为联合收购3Com交易将对美国国家安全造成了威胁，因为3Com向美国国防部出售反黑客软件并提供其他网络安全服务。在此情况下，华为中兴等中国企业也已有做出调整，将谋求美国市场作为一项长期战略，并制定了分阶段实施的规划。

（三）美国限制外资的因素客观存在

在我国企业华为中兴大举推进全球化的同时，美国存在着多种阻碍国外企业扩张的深层因素。一是政府谋求干预经济。金融危机的严重后果，使美国深刻意识到新自由主义经济政策的短板，谋求加强对经济发展的干预，这也成为奥巴马在第44任总统选举中脱颖而出的重要因素。二是美国内加强实体经济的呼声高涨。美国“产业空心化”导致了承担经济“造血”功能的制造业不断萎缩，最终引发了肆虐全球的金融危机。美国意识到不能任由虚拟经济发展，而重振制造业的全球竞争力反思得出的重要结论。三是传统冷战思维在经济领域蔓延。中国的迅速崛起，被美国视为最大威胁，千方百计地加以遏制，并采取“虚实结合，两手并用”的策略：虚的一手，就是夸大中国的军事力量，散布“中国”；实的一手，就是加强经济遏制，在经贸问题上对中国实施“利益围堵”。这种遏制，已经很现实的体现在美国对华贸易中，诸如纺织品、人民币汇率等问题。不难预料，利用经贸问题遏制中国将是美国对华遏制政策的重点。

三、影响与警示思考

美国此次调查活动的影响是多层面的：微观层面，会直接影响华为中兴争取美国市场的努力；中观层面，对于我国企业推进全球化战略带来影响；宏观层面，对我国加强和巩固对外关系、经济社会安全运行带来影响。对此，我们须采取不同的应对措施。

（一）对华为中兴的影响及应对建议

美国国会的调查结果和建议将对华为中兴两家企业产生最直接的影响。首先，就美国市场来看，华为中兴或将面临来自政府部门更加严密的监管，以及众多合作厂商、系统用户退单的风险。对此，因调查报告只是初步结论，华为中兴应据理力争，坚决驳斥美方缺乏证据的指责；同时继续加强与美相关方面的沟通，谋求获得尽量多的支持。其次，华为中兴或将面临其他国家的审查。此次美方的调查无疑对其他国家产生一定的示范效应，他们或将对华为中兴开展类似调查。对此，华为中兴应加强对此次调查相关情况的总结，不断完善管理，做好应对其他国家相关调查的准备。第三，从好的方面来看，国外开展此类调查，其对象或将不限于华为中兴两家中国企业，对诸如思科、谷歌等企业进行安全调查的呼声近来也日益高涨，这对华为中兴而言，或是超越竞争对手的机遇。对此，华为中兴应充分发挥在成本、配套能力等方面的比较优势，提升在当前竞争格局中的地位。

（二）对中国企业的影响和应对建议

美国以国家安全为由进行调查和限制，正成为中国企业面临的共同问题。一是，美国开展类似调查的对象范围在向传统企业扩展，已经不再局限于信息技术企业，如2012年7月美国对中国三一集团关联公司收购禁令就是典型例证。对此，我国企业界应发挥相关协会、联盟的作用，联合应对。二是，国家安全将会被更多的作为限制竞争的手段。以安全为由对相关贸易和投资行为进行限制，可以绕开国际规则，将国际贸易问题转化为国内法律范畴，为某些国家推行贸易歧视大开方便之门。对此，企业应加强对美国相关法律规范的研究，做到知已知彼，有序应对。三是，尽管开展调查的国家不同，但应对方案或具有一定共性。以欧盟为例，在美国此次调查期间，欧盟暂停了原本拟启动的对华为反补贴调查。究其用意，不排除在行动上欲保持与美一致。因此，我国企业间建立和完善沟通机制，寻求共性解决方案是必要的。

（三）对中国的影响和应对建议

第5篇：信息安全审计范文

关键词：信号系统 安全门 接口功能 接口时序

1. 概述现代城市轨道交通信号系统是整个城市轨道交通自动控制系统中的重要部分，其功能在于保证列车和乘客安全，实现快速、高密度、有序运行功能的同时，为乘客提供一个舒适安全的乘车环境。 同时为了降低空调能耗，降低运营成本，在现代城市轨道交通建设中普遍考虑采用安全 门(PSD)系统。安全门是安装于站台边缘、在轨道与站台公共区域之间提供安全可靠隔离 、由一系列 自动控制的滑动门组成的屏障。信号系统通过发出“开门”和“关门” 信号命令控制列车车门和安全门，实现安全门和列车车门同步动作。

2. 信号系统与安全门系统接口的一般要求( 1 )在确定列车停在规定的停车窗内或者司机按压强行开门按钮后，车载ATP设备方允许ATO开车门和安全门，打开、关闭命令经由车地通信传送到室内信号设备； ( 2 )只有不问断地接收到安全门关闭信息的情况下，列车才能进入站台区域或从站台区域发车； ( 3 )车门和站台安全门均已关闭且锁闭后，在ATP给出允许启动列车信号后，车载ATO自动或人工启动列车； ( 4 )安全门在 “ 故障开门”状态，列车应可以采用一种特定的方式进／出站，并可以通过特定命令解除安全门与信号系统的联锁关系； ( 5 )站台安全门因故失去状态表示，应对有关列车采取常用或紧急制动以防止列车进入站台或在站台 内移动；( 6 )信号系统提供安全门的开、关控制信号，安全门系统向信号系统提供全部门关闭状态信息和互锁解除信息。

3. 信号系统与安全门系统接口的实现

3.1车地通信。在 ATO驾驶模式下，开门允许灯点亮后，司机可以办理开关列车门手续，车载控制器捕捉到列车电路开／关安全门脉冲，编码后通过通信器传输至地面控制器，地面控制器控制安全门控制器输出开／关安全门命令，安全门控制器通过继电接口把开／关安全门命令传输至安全门系统如图1所示。

3.2接口功能详细描述。( 1 )开门指令。 发送条件：收到来自VOBC的开启安全门请求后，联锁系统即向PSD系统发送开门指令。必须要满足以下条件VOBC才能够执行开启站台安全门的操作 ：①相关的站台屏蔽门必须符合站台的位置及操作方向；②接近传感器必须要检测到列车已在站台上准确定位 ；③列车的速度是零，列车停在规定的停车点内；④已经执行了停车制动；⑤已经执行了禁止牵引。 信号持续时间：开门信号一直会维持在高电平 ，直至STC发出关门指令或收到安全门锁闭状 态信息。 ( 2 )关门指令 。发送条件 ：收到来自VOBC的关闭安全门请求后 ( 由OCC或司机控制台发出相关操控指令)，联锁系统即向PSD系统发送关门指令。信号持续时间：关门指令信号会一直维持在高 电平，直至STC收到安全门锁闭状态信息。 ( 3 )屏蔽门锁闭状态信息 。发送条件：当全部站台安全门锁闭后，PSD系统即向联锁系统发送该信息。 信号持续时间：该状态信息信号会一直维持在高电平，直至PSD收到开门指令 。 ( 4 )自动安全门/紧急逃生门状态信息 。发送条件：PSD系统使用这一信号来表示其是否工作正常。如果PSD系统工作不正常 ，可用 该信号将PSD置为故障忽略状态。当该信号电平为低(缺省设置),表示 PSD系统工作正常，信号系统收到安全门锁闭信号后就可控制列车运行离站。当该信号电平为高，表示无需收到屏蔽门锁闭信号，列车就可运行离站。信号持续时间：该信号持续在高电平和低电平之间切换。

3 . 3 联锁/安全门的接口时序。下图说明了一个典型的MLOK-PSD接口信号间的时序关系以及门开启和关闭的操作 次 序 情况。 T0：起始条件，所有门关闭并锁闭，使能信号和开门信号无效。T1：联锁设置使能信号为有效，门指示灯闪烁。T2:联锁设置开门信号有效。当使能和开门信号都有效时，门开始打开。一旦门开始打开，“关闭并锁闭”信号转为“关”状态。T3至T8：门完全打开，并保持开门状态。T9：联锁设置一关闭信号（开门信号将无效）。安全门核实使能信号有效并且开门信号无效，然后开始关门。T10：门完全关闭，门关闭并锁闭信号转为高电平。T11：是最后一个时序部分，联锁将使能信号置为低电平（无效）。

使能信号（安全信号）在门从开始打开到再次“关闭并锁闭”（并且列车也刚出发）期间保持在有效状态。列车监测安全门的状态（依据“关闭并锁闭”信号，为安全信号），并且只在所有安全门关闭的情况下才发车离站。

4. 结束语

安全门系统与信号系统的结合提高了安全门的自动性和安全性，在保证列车和乘客安全 ，实现快速、高密度、有序运行等功能的同时，为乘客提供了一个舒适安全的乘车环境。因此无论是新线建设还是旧线改造，设置站台安全门都将是未来发展的趋势，而与之密切相关的控制技术也将起到重要作用。

第6篇：信息安全审计范文

【 关键词 】 管控；校园网；信息安全；安全策略；安全审计

Research on Campus Network Management and Control of Information Security

Wu Shao-jia Liao Li

(Zhaoqing Radio & Television University Guangdong Zhaoqing 526060)

【 Abstract 】 Protection of campus network security is the focus and key points on the information work, As the ongoing in-depth information security management and monitoring processes, The problems of Potential Network Information Security is exposed, You can construction out the strategy of security applies to campus Information Network System, and take effective measures solution its security problem, Improves the network operation level ， Supply the information and data protection with safety measure of reached the security requirements and construction target for campus network.

【 Keywords 】 management and control; campus network; information security ; security strategy; security audit

0 引言

数字校园是推进实现我国教育信息化的重点建设目标之一，数字信息化应用在我国教育现代化的进程中起到了强大的推动力。校园网是学校数字信息化建设重要的基础设施,是学校实现数字信息化的重要组成平台,在教学支持服务、教学教务管理、科学研究、行政管理和校内外信息交流等许多方面都起到了重大作用。许多学校的工作已经完全通过信息网络系统来运转，随着信息化建设规模的扩大深入以及计算机信息网络技术的不断扩展和增强，在校园网中潜在威胁安全问题暴露无遗，校园网络安全的形势日益严峻。如何保障学校内部重要信息的安全，使得重要数据信息不被窃取，是学校信息安全工作当前要面临的首要挑战。

1 校园网信息安全需求

随着校园网应用的深入，校园网上各种信息数据急剧增加，结构性不断提高，用户对网络性能要求的不断提高，网络信息安全成为网络技术发展中一个极其关键的任务。校园网信息安全的需求概括有四个方面。

（1）用户安全：用户安全分成管理员用户安全和业务用户安全。

（2）网络硬环境安全 ：网络连接安全，校园网中的子网与其他网络连接的网络安全，各个专用的业务子网的安全。

（3）网络软环境安全：即校园网的应用环境安全。

（4）传输安全：数据的传输安全，主要是指校园网内部的传输安全、校园网与公网（教科网）之间的数据传输安全以及校园网与分校区之间的数据传输安全。

校园网络系统通常只是在校内使用的教学办公网络，是一个相对封闭的局域网系统，可不考虑外来的入侵行为，所面临的风险大多始于内部，包括来自学校内部人员的威胁、非授权访问、冒充合法用户、破坏数据的完整性、数据篡改、泄漏与丢失等。众多不同的安全技术和产品，在技术上缺乏完善的综合管理平台进行统一协调管理；而在管理上则欠缺良好的安全管理体制和策略，这就直接导致了整个安全体系的薄弱，造成网络整体安全防御能力下降，无法真正达到安全要求和建设目标。因此，使用访问控制及内外网的隔离，使用内部网不同网络安全域的隔离及访问控制，使用网络安全检测。解决校园网信息安全问题的重要方法，是在校园内网中采用不同的安全产品和技术构建多层次的安全防范体系，并在这个体系中部署信息安全审计措施以监督信息系统，发现和追查信息系统中潜在的安全问题，弥补其它安全产品对信息安全管控的不足。

2 管控信息安全的策略

信息安全是高技术的对抗，信息安全问题是要通过大力发展信息安全高技术来解决。但同时必须清醒地认识到，要高效地解决信息系统的安全问题，除了从技术上下功夫外，还得依靠配套的安全管理措施来实现。一定要部署校园网安全审计与监控体系配套管理措施，对信息安全审计工作必须要坚持管理与技术并重的原则，建立和完善信息安全配套管理制度和规范，加强管理落实责任，注重通过加强管理弥补技术上的不足。

首先要建立相对独立的学校信息安全审计机构，明确管理组织内各个角色所承担的具体审计职能。在一个审计机构中具体应当包括几种角色。

（1）系统管理员：系统管理员主要负责对审计系统的配置和系统运行状况的维护。

第7篇：信息安全审计范文

关键词：等级保护；网络安全；信息安全；安全防范

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）19-4433-03

随着我国国际地位的不断提高和经济的持续发展，我国的网络信息和重要信息系统面临越来越多的威胁，网络违法犯罪持续大幅上升，计算机病毒传播和网络非法入侵十分猖獗，犯罪分子利用一些安全漏洞，使用木马间谍程序、网络钓鱼技术、黑客病毒技术等技术进行网络诈骗、网络盗窃、网络赌博等违法犯罪，给用户造成严重损失，因此，维护网络信息安全的任务非常艰巨、繁重，加强网络信息安全等级保护建设刻不容缓。

1 网络信息安全等级保护

信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。网络信息安全等级保护体系包括技术和管理两大部分，如图1所示，其中技术要求分为数据安全、应用安全、网络安全、主机安全、物理安全五个方面进行建设。

图1 等级保护基本安全要求

1） 物理安全

物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。

2） 主机安全

主机系统安全是计算机设备（包括服务器、终端/工作站等）在操作系统及数据库系统层面的安全；通过部署终端安全管理系统（TSM），准入认证网关（SACG），以及专业主机安全加固服务，可以实现等级保护对主机安全防护要求。

3） 网络安全

网络是保障信息系统互联互通基础，网络安全防护重点是确保网络之间合法访问，检测，阻止内部，外部恶意攻击；通过部署统一威胁管理网关USG系列，入侵检测/防御系统NIP，Anti-DDoS等网络安全产品，为合法的用户提供合法网络访问，及时发现网络内部恶意攻击安全威胁。

4） 应用安全

应用安全就是保护系统的各种应用程序安全运行，包括各种基本应用，如：消息发送、web浏览等；业务应用，如：电子商务、电子政务等；部署的文档安全管理系统（DSM），数据库审计UMA-DB，防病毒网关AVE等产品。并且通过安全网关USG实现数据链路传输IPSec VPN加密，数据灾备实现企业信息系统数据防护，降低数据因意外事故，或者丢失给造成危害。

5） 数据安全

数据安全主要是保护用户数据、系统数据、业务数据的保护；通过对所有信息系统，网络设备，安全设备，服务器，终端机的安全事件日志统一采集，分析，输出各类法规要求安全事件审计报告，制定标准安全事件应急响应工单流程。

2 应用实例

近年来卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，某医院的核心系统按照等级保护三级标准建设信息系统安全体系，全面保护医院内网系统与外网系统的信息安全。

医院网络的安全建设核心内容是将网络进行全方位的安全防护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护；通过安全域划分，实现对不同系统的差异防护，并防止安全问题扩散。业务应用以及基础网络服务、日常办公终端之间都存在一定差异，各自可能具有不同的安全防护需求，因此需要将不同特性的系统进行归类划分安全域，并明确各域边界，分别考虑防护措施。经过梳理后的医院网络信息系统安全区域划分如图2所示，外网是一个星型的快速以太交换网，核心为一台高性能三层交换机，下联内网核心交换机，上联外网服务器区域交换机和DMZ隔离区，外联互联网出口路由器，内网交换机向下连接信息点（终端计算机），外网核心交换机与内网核心交换机之间采用千兆光纤链路，内网交换机采用百兆双绞线链路下联终端计算机，外网的网络安全设计至关重要，直接影响到等级保护系统的安全性能。

图 2 医院网络信息系统安全区域划分图

2.1外网网络安全要求

系统定级为3级，且等级保护要求选择为S3A2G3，查找《信息系统安全等级保护基本要求》得到该系统的具体技术要求选择，外网网络安全要求必须满足如下要求：边界完整性检查（S3） 、入侵防范（G3） 、结构安全（G3） 、访问控制（G3） 、安全审计（G3） 、恶意代码防范（G3） 和网络设备防护（G3） 。

2.2网络安全策略

根据对医院外网机房区域安全保护等级达到安全等级保护3级的基本要求，制定相应的网络安全策略

1） 网络拓扑结构策略

要合理划分网段，利用网络中间设备的安全机制控制各网络间的访问。要采取一定的技术措施，监控网络中存在的安全隐患、脆弱点。并利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。

2） 访问控制策略

访问控制为网络访问提供了第一层访问控制，它控制哪些用户能够连入内部网络，那些用户能够通过哪种方式登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

3） 网络入侵检测策略

系统中应该设置入侵检测策略，动态地监测网络内部活动并做出及时的响应。

4） 网络安全审计策略

系统中应该设置安全审计策略，收集并分析网络中的访问数据，从而发现违反安全策略的行为。

5） 运行安全策略

运行安全策略包括：建立全网的运行安全评估流程，定期评估和加固网络设备及安全设备。

2.3网络安全设计

根据对医院外网安全保护等级达到安全等级保护3级的基本要求，外网的网络安全设计包括网络访问控制，网络入侵防护，网络安全审计和其他安全设计。

1） 网络访问控制

实现以上等级保护的最有效方法就是在外网中关键网络位置部署防火墙类网关设备，采用一台天融信网络卫士猎豹防火墙、一台CISCO公司的PIX515和一台网络卫士入侵防御系统TopIDP。

①外网互联网边界防火墙：在局域网与互联网边界之间部署CISCO公司的PIX515百兆防火墙，该防火墙通过双绞线连接核心交换区域和互联网接入区域，对外网的互联网接入提供边界防护和访问控制。

②对外服务区域边界防火墙：对外服务区域与安全管理区域边界部署一台千兆防火墙（天融信NGFW4000-UF），该防火墙通过光纤连接核心交换机和对外服务区域交换机，通过双绞线连接区域内服务器，对其他区域向对外服务区域及安全管理区域的访问行为进行控制，同时控制两个区域内部各服务器之间的访问行为。

③网络入侵防御系统：在托管机房区域边界部署一台网络入侵防御系统，该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机，为托管机房区域提供边界防护和访问控制。

2） 网络入侵防护

外网局域网的对外服务区域，防护级别为S2A2G2，重点要实现区域边界处入侵和攻击行为的检测，因此在局域网的内部区域边界部署网络入侵检测系统（天融信网络入侵防御系统TopIDP）；对于外网托管机房的网站系统，防护级别为S3A2G3，由于其直接与互联网相连，不仅要实现区域边界处入侵和攻击行为的检测，还要能够有效防护互联网进来的攻击行为，因此在托管机房区域边界部署网络入侵防御系统（启明星辰天阗NS2200）。

①网络入侵防御系统：在托管机房区域边界部署一台采用通明模式的网络入侵防御系统，该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机，其主要用来防御来自互联网的攻击流量。

②网络入侵检测系统：在外网的核心交换机上部署一台千兆IDS系统，IDS监听端口类型需要和核心交换机对端的端口类型保持一致；在核心交换机上操作进行一对一监听端口镜像操作，将对外服务区域与核心交换区域之间链路，以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量，镜像至IDS监听端口；IDS用于对访问对外服务区域的数据流量，访问安全管理区域的数据流量，以及访问互联网的数据流量进行检测。

3） 网络安全审计

信息安全审计管理应该管理最重要的核心网络边界，在外网被审计对象不仅仅包括对外服务区域中的应用服务器和安全管理区域的服务器等的访问流量，还要对终端的互联网访问行为进行审计；此外重要网络设备和安全设备也需要列为审计和保护的对象。

由于终端的业务访问和互联网访问都需要在网络设备产生访问流量，因此在外网的核心交换机上部署网络行为审计系统（天融信网络行为审计TopAudit），交换机必需映射一个多对一抓包端口，网络审计引擎通过抓取网络中的数据包，并对抓到的包进行分析、匹配、统计，从而实现网络安全审计功能。

①在外网的核心交换机上部署一台千兆网络安全审计系统，监听端口类型需要和核心交换机对端的端口类型保持一致，使用光纤接口；

②在核心交换机上操作进行一对一监听端口镜像操作，将对外服务区域与核心交换区域之间链路，以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量，镜像至网络安全审计系统的监听端口；

③网络安全审计系统用于对访问对外服务区域的数据流量，访问安全管理区域的数据流量，以及访问互联网的数据流量进行安全审计；

④开启各区域服务器系统、网络设备和安全设备的日志审计功能。

4） 其他网络安全设计

其他网络安全设计包括边界完整性检查，恶意代码防范，网络设备防护，边界完整性检查等。

①边界完整性检查：在托管机房的网络设备上为托管区域服务器划分独立VLAN，并制定严格的策略，禁止其他VLAN的访问，只允许来自网络入侵防御系统外部接口的访问行为；对服务器系统进行安全加固，提升系统自身的安全访问控制能力；

②恶意代码防范：通过互联网边界的入侵防御系统对木马类、拒绝服务类、系统漏洞类、webcgi类、蠕虫类等恶意代码进行检测和清除；部署服务器防病毒系统，定期进行病毒库升级和全面杀毒，确保服务器具有良好的防病毒能力。

③网络设备防护：网络设备为托管机房单位提供，由其提供网络设备安全加固服务，应进行以下的安全加固：开启楼层接入交换机的接口安全特性，并作MAC绑定； 关闭不必要的服务（如：禁止CDP（Cisco Discovery Protocol），禁止TCP、UDP Small服务等）， 登录要求和帐号管理， 其它安全要求（如：禁止从网络启动和自动从网络下载初始配置文件，禁止未使用或空闲的端口等）。

3 结束语

信息安全等级保护是实施国家信息安全战略的重大举措，也是我国建立信息安全保障体系的基本制度。作为国家信息安全保障体系建设的重要依据，在实行安全防护系统建设的过程中，应当按照等级保护的思想和基本要求进行建设，根据分级、分域、分系统进行安全建设的思路，针对一个特定的信息系统（医院信息管理系统）为例，提出全面的等级保护技术建设方案，希望能够为用户的等级保护建设提出参考。

参考文献：

[1] 徐宝海.市县级国土资源系统信息网络安全体系建设探讨[J].中国管理信息化，2014（4）.

[2] 李光辉.全台网信息安全保障体系初探[J].电脑知识与技术，2013（33）.

第8篇：信息安全审计范文

关键词：财政信息；信息安全；身份认证；数字证书

中图分类号：TP311.52

财政业务系统多为涉及面广、多个部门协作、关键业务操作多、处理数据多的特点，对应用安全保障有很高的要求；现有应用系统主要通过“用户名+口令” 进行用户身份识别和访问控制，安全级别较低；现有应用系统各自的身份识别和访问控制机制彼此独立、重复设置、重复开发，增加了安全隐患，也增加了管理成本和用户负担；缺乏电子单据和数据数字签名、时间戳、责任认定等安全功能，业务无纸化无法推进；整体上缺失统一的标准和技术手段，很难适应财政信息化的发展。本文就财政信息系统特点及现状，介绍和讨论财政身份认证与授权管理的解决方案与建设，达到保障财政业务安全应用的目的。

1 信息安全简介

信息安全是研究在特定的应用环境下，依据特定的安全策越，对信息及其系统实施防护、检测和恢复的科学。

信息安全主要体现在以下三个方面：一是保密性。保密性是指确保信息资料，特别是重要的信息资料，不流失，不被非本部门人员非法盗用。二是完整性。所谓信息资料的完整性，是指信息资料不丢失、不少缺。三是可用性。可用性是指当需要某一信息资料时，可马上拿得到。比如采取一定的措施，防止因某一资料员不在场或其它例外情况下，因为拿不到所需的资料而导致停工或错失商机等。

信息安全的四个要素如下图：

图1

信息系统组成包括人员、系统、资产（终端、数据等）、网络、流程、其他设备等。通过对信息系统安全分析我们得知“人员”是最不稳定因素，是最大的边界。“资产”是最被关注的因素。其他因素都是以上两个因素的间接受害者。

因此信息安全的重点就是管理好人、保护好人到数据的路径。

身份认证与授权管理系统是信息安全的重要组成部分。身份认证是应用系统判断用户是否合法的重要手段，也是应用系统的第一道安全防护。

2 财政应用系统现状及安全需求

省地市财政大平台系统（以下简称Portal）是各地市财政业务专网应用的统一登录入口，它实现了各接入应用系统的单点登录，主要涉及的系统有地方国库支付、总账、工资统发等。该系统采用B/S结构设计，WEB服务器为Weblogic8.16，，采用JAVA技术，后台数据库采用Oracle10g。

目前，系统采用“用户名+密码”的身份认证方式，用户通过访问Portal的登录认证主页，输入用户的合法“用户名”及对应“密码”后，系统连接数据库进行验证，验证通过后，系统允许用户登录并进入Portal首页，在Portal首页内显示管理员授权给用户的应用系统列表和应用中的待办事宜等信息，用户根据自己的权限可以进行相应业务操作。因“用户名+密码”的身份认证方式很容易因密码泄漏、网络窃听等原因造成身份冒充，存在较大的安全隐患，因此亟需建立起合理、安全的强身份认证机制，用于保障合法用户的权益。

3 解决方案及实现

通过对财政业务系统和安全需求的分析，提出了实名制U盾+平台密码+U盾密码+安全审计多维一体的解决方案，以实现身份认证和授权管理，实现信息安全支撑平台。第一：给平台系统的所有用户发放财政业务专网CA证书；第二：对原有平台系统的身份认证模块进行改造，在原来的“用户名+密码”的基础上，增加证书认证方式；第三：在用户属性管理系统中添加“PID”属性，用以绑定用户证书与其平台身份标识的对应关系；证书的合法性由身份认证网关进行校验，检验完成后将认证结果及身份信息（PID）返回给平台，平台根据此结果做进一步的业务处理。

3.1 系统整体架构

图2

3.2 网络拓扑

图3

省地市级财政身份认证与授权管理系统部署在地市级财政部门，在地市级财政的业务专网内建设一个独立的局域网，通过防火墙从网络、协议及应用各层次上将此局域网与财政业务网络保持隔离，用于部署安全审计查询系统、身份认证系统从LDAP和用户属性管理系统，而直接面向应用的身份认证网关、签名服务器、时间戳服务器，以及提供证书管理的LRA则部署在地市级财政的业务专网中。

3.3 功能模块

建设中需要重点保证证书发放、身份认证、数字签名、时间戳、应用级访问控制及安全审计查询功能即可，为此相对省级财政的功能模块相比较，减少了授权管理模块的权限管理系统，并且省级财政身份认证模块中的发证模块为证书注册中心（RA），而地市级财政部门建设的LRA系统。为此，财政身份认证与授权管理系统模块组成如下图：

图4

3.4 身份认证与授权管理系统建设

按照财政身份认证与授权管理系统建设的要求，省地市级财政身份认证与授权管理系统单独部署在独立的局域网中，并通过防火墙将局域网与地市级财政的业务专网的公共区域逻辑隔离，配置一定的安全策略向外提供访问服务。

地市级财政身份认证系统与授权管理系统的部署主要是身份认证模块、授权管理模块、安全审计模块及应用安全组件四个部分的安装配置，身份认证模块包括：LRA系统和身份认证从LDAP；授权管理模块主要是用户属性管理系统；安全审计模块指安全审计查询系统；应用安全组件指身份认证网关、签名服务器及时间戳服务器。

3.4.1 系统流程

图5

3.4.2 系统效果展示

应用接入的大平台登录效果展现平台构建统一的认证门户，用户需要使用USB-KEY登录认证成功后才能进入，主要作为各应用系统的统一访问入口和平台管理的入口。

图6

4 结束语

通过财政身份认证与授权管理系统设计及建设，将由原来的“用户名+密码”方式变为证书认证方式，而数字证书的高强度身份认证，将有效地防止身份冒充；身份认证模块从原系统中剥离，业务逻辑更加清晰，安全级别也得到了提升；通过用户属性管理管理中PID属性值的传递，无缝地实现了证书的入门级访问控制。统一对实体进行身份和权限管理，奠定实名制管理的基础。提供独立的高强度的认证手段给各个层面使用。提供一种电子签名法保护的数据保护和司法取证手段。提供一个统一的时间基准，奠定定位基础。建立了一套完整的配套标准和规范便于财政信息化整体推进。

参考文献：

[1]马建峰，沈玉龙.信息安全[M].西安：西安电子科技大学出版社，2013.

[2]斯坦普（美）信息安全原理与实践（第2版）[M].北京：清华大学出版社，2013.

[3]薛天龙.数字证书原理及应用[M].北京：中国标准出版社，2014.

[4]http：//.cn/tplt/index_164.jsp[OL].

第9篇：信息安全审计范文

21世纪是信息化的社会，计算机技术不断进步，并在生产领域得到深入应用。特别是会计电算化的推广，把以电子计算机为代表的现代化数据处理工具及以信息论、系统论、数据库、计算机网络等新兴理论和技术应用于会计核算、财务管理工作中以提高财务管理水平和经济效益，实现会计工作的现代化。目前，越来越多的企业开始全业务的采用信息系统，形成了一个网络经济时代，各个企业、事业单位的信息化情况表现出了前所未有的综合性和开放性。这种信息化的高度集中带来了高效益，但同时，也带来了高度的风险，信息系统审计也就在这种历史背景下应运而生。

一、信息系统审计的内涵和外延难以把握

随着信息技术的发展，信息系统在财务、管理领域的应用程度不断提高，功能日趋完善，其软硬件结构的复杂性和涉及领域的广泛性以及信息处理技术更新的频繁性使得审计人员难以同步把握信息系统审计的内涵和外延。从外延上看，信息系统审计主要包括两个部分，一是对信息系统主体的审计，二是对信息系统应用环境的审计，包括网络环境、使用环境、管理使用情况等。一般说来，审计信息系统本身相对容易，但审计信息系统的应用环境却存在较多不确定因素，比如某公司的信息系统通过防火墙连接到互联网，而在防火墙内还存在其它系统，其它系统是不是也在审计范围之内？

从内涵上看，信息系统审计主要是对信息系统的安全性和可靠性进行评估、评价。安全性、可靠性是一个比较广泛的概念，以系统安全性为例，它包括：ISO开放系统互连安全体系结构、TCP／IP安全体系、开放系统互连的安全管理、安全服务和功能配置；系统安全涉及的信息安全技术包括：密码技术、访问控制技术、机密性和完整性保护技术、数字签名技术、抗抵赖技术、预（报）警机制、公证技术、防火墙技术、漏洞检测技术、网络隔离技术、计算机病毒防范等。由于信息技术本身的限制性，绝大部分信息系统本身均存在安全性问题（如防护级别最高、防护技术最好的美国国防部也常有被攻击的情况）。

把握不准信息系统审计的外延和内涵，就难以解决以下三个问题：一是难以解决审计力量与审计任务之间的矛盾，难以控制审计风险，即不该审的审了，该审的却未审；二是由于绝大部分信息系统本身均存在安全性问题，信息系统审计很容易演变成“信息系统是否存在问题源自于审计人员的技术水平，而不是系统本身的安全性和可靠性”，即，绝大部分信息系统均存在不安全、不可靠因素，就看审计人员能否发现由于信息系统的安全性问题是绝对的，而审计人员的视角和技术水平是相对的，信息系统审计的成果部分取决于审计人员对信息系统审计内容的把握程度；三是由于审计需要大量的证据支撑，对于未造成损失但信息系统存在不安全隐患的问题难以定性,即便是造成了损失，也难以界定这些损失与信息系统不安全、不可靠因素之间联系。

因此，审计部门应根据“全面审计、突出重点”及“先易后难”、“先系统本身后系统环境”的原则，参照国家信息技术部的有关标准，界定信息系统工作的外延和内涵，将信息系统审计的主要方向定在：被审计单位的信息系统的安全性、可靠性是否达到应有的水平或标准，而不是系统是否有安全性和可靠性问题。

二、信息系统审计评价标准很难确定

信息系统安全审计，涉及会计信息处理自动化、表示代码化、信息处理与存储集中化、内部控制程序化等诸多广泛、复杂的计算机专业技术环节，其技术性较高。而我国信息系统审计正处于起步阶段，对审计机关如何开展信息系统审计尚在积极探索中，因此，目前尚没有一个完整的、成熟的具有示范作用的审计案例，也缺少具备实际指导意义的相关信息系统审计准则和操作指南。

近年来，国家安全部门相继出台了多个安全标准，例如公安部出台的《计算机信息系统安全保护等级划分准则》（GB17859－1999）、《信息安全等级保护管理办法》，还有相应的安全技术规范《信息安全技术 信息系统通用安全技术要求》（GB／T20271－2006）、《信息安全技术 网络基础安全技术要求》（GB／T20270－2006）、《信息安全技术 操作系统安全技术要求》（GB／T20272－2006）、《信息安全技术 数据库管理系统安全技术要求》（GB／T20273－2006）、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》（GA／T671－2006）等技术标准。但在实际操作中，这些标准在可操作性上还有待提高，一是信息系统安全等级的确定，缺乏一个等级认定的部门，目前是由各个单位自己定级报送，会存在低报等级风险；二是等级要求没有量化和详细解释，等级认定存在困难。这些都给具体的审计实务工作带来极大的困难。

因此建议审计部门及时组织总结实践经验，规范信息系统安全审计的有关概念、审计内容、工作流程和技术方法、形成信息系统安全审计准则、操作指南或实务公告的准则体系，这是信息系统安全审计得以健康发展的基础。

三、信息系统审计缺乏相应的人才

我国目前尚缺乏既熟悉审计业务又掌握计算机技术同时了解国内标准信息系统流程的复合型人才，进行信息系统审计所涉及的知识面非常广，涉及会计、审计、管理和计算机等知识，而进行信息系统安全性审计主要从系统总体安全、系统运行安全、数据中心安全、硬件设备安全和网络安全情况五个方面来进行，每个方面都涉及不同的知识点。当对系统总体安全进行审计时，则要求审计人员具有系统总体分析、系统设计和系统安全分析的知识；当对系统运行进行审计时，则要求审计人员具有系统运行管理、系统维护和系统安全管理的知识；当对数据中心安全进行审计时，则要求审计人员具有工程建设、数据中心安全维护和灾备等知识；当对硬件设备安全进行审计时，则要求审计人员具有设备采购、设备维护和设备安全分析等知识；当对网络安全情况进行审计时，则要求审计人员具有网络安全分析和网络防范等知识。但在当前情况下，审计人员能够掌握上述某一方面的知识都已经难能可贵，更不用说要掌握所有的知识面。

建议审计部门加强对审计人员理论培训，并组织审计人员进行实践，通过实践经验来巩固理论知识，培养出更多的信息系统审计复合型人才和相应的专业性人才。

四、信息系统审计需要相应的法规支持和成果考核标准

我们通常依据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》及《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》（〔2001〕88号）的规定：“被审计单位应当按照审计机关的要求，提供与财政收支、财务收支有关的电子数据和必要的计算机技术文档等资料”，要求被审计单位提供电子数据，开展电子数据式审计工作。但开展信息系统安全审计的方法、步骤要求我们必须获取被审计单位信息系统底层数据库的数据字典、程序开发文档、甚至程序源代码等核心文档已经高级管理用户的权限。但事实上大多数被审计单位也不掌握这些核心文档，软件开发公司又以知识产权应收保护为由拒绝提供文档。特别是要求SAP、Oracle等国外软件开发商提供开发文档非常困难。因此，应出台更为明确的法规以支持信息系统安全审计工作。其次，信息系统审计的实施需要耗费大量的人力物力，在目前审计机关工作繁重的背景下，开展此项工作需要审计工作方案以及考评指标的支撑。因此，审计相关部门应该考虑把信息系统审计纳入年初审计工作计划，并出台相应的考评标准。

五、信息系统审计自身风险较大

数据分析式计算机辅助审计是要求被审计单位按照审计的需求提供电子数据，审计人员将数据转换后导入计算机进行分析。这种过程避免了直接操作被审计单位信息系统所带来的风险。然而，信息系统安全性审计的很多步骤必须要在被审计单位信息系统上直接执行，这种在真实系统上的操作必然存在安全风险。如对电信公司计费系统的审计，如果测试时间不当或测试用例不完善都可能影响计费系统的正常运行。