前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的安全審計論文主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：安全審計論文范文

1、一般資料

收集2006年1月—2009年12月XX醫(yī)院護理業(yè)務查房病歷65份。將65份護理查房病歷中出現的護理診斷進行有針對性的統(tǒng)計。

2、影響因素

2.1法律意識淡薄

護理人員對安全管理存在著不同程度的錯誤認識,由于繁忙的護理工作,忽略了對安全管理的認識,護理人員對于安全隱患的判斷與處理不夠,缺少法律意識,不會用法律保護自己。

2.2環(huán)境因素

影響神經內科護理安全的環(huán)境因素主要有地面滑、床腳移動和病房扶欄三個方面。病房地面滑是引起病人摔傷的因素之一[3]。由于神經科病人存在肢體偏癱、無力,在清掃地面后,如地面潮濕、過滑,病人行走易出現摔傷。為給病人創(chuàng)造舒適安全的治療、休養(yǎng)環(huán)境,病房走廊的扶欄、浴室衛(wèi)生間的扶欄安裝很重要。尤其對于神經科病人,可以找到支撐點,防止摔傷、跌倒。

2.3用藥與設備因素

由于醫(yī)學技術的發(fā)展,新藥與設備不斷更新,神經科所用藥物大部分為高滲性,對血管刺激性大,再加之病人年齡、血管因素,因此臨床藥物外滲靜脈炎發(fā)生率很高。加之藥物配伍、給藥途徑、設備使用不當等方面原因給病人造成不安全后果[4]。醫(yī)療設備本身的安全、患者的安全及操作者的安全。儀器設備的使用不當、故障、老化、種類不齊、性能不良、規(guī)格不配套或護理人員對儀器操作不熟練等問題，都可能給患者造成危害。使用中常見的危險因素是測值不準確；儀器設備消毒不徹底，也常成為神經內科患者的感染源[5]。

2.4人員與技術因素

護士評估患者的知識水平不只是看其文化程度,主要是評估其對自身疾病的了解程度,統(tǒng)計結果顯示,不論文化程度高低,患者對自身疾病的了解和認知程度均屬于缺乏之列,對疾病的發(fā)生發(fā)展規(guī)律、用藥常識等缺乏了解,若衛(wèi)生宣教不到位,很可能導致許多風險和糾紛的發(fā)生,例如進展性卒中的患者往往對住院以后病情還繼續(xù)加重不理解。人員方面因素主要指由于護理人員素質或數量方面的原因不能保證滿足工作基本要求而給病人造成的不安全影響或隱患;技術因素主要指由于護理人員技術水平低、經驗不足或協(xié)作能力不強等原因對病人安全構成的威脅。特別是隨著新技術、新項目大量引進與開發(fā),護理工作中復雜程度高、技術要求高的內容日益增多,不僅對護理人員形成較大的工作壓力,而且致護理工作中技術方面風險加大,影響護理安全。

2.5疾病因素

(1)偏癱

神經科病人大多年老體弱,同時存在視力減退,神經疾病導致癱瘓、步態(tài)不穩(wěn)、起立與邁步艱難等,常突發(fā)抽搐及暈厥。病人對病床高度不適應時易致墜床。

(2)感覺障礙

神經科病人存在感覺障礙的占大多數,病人對痛溫覺感覺障礙,病人家屬未掌握熱水袋、局部熱敷的溫度及使用方法。如使用熱水袋不當導致燙傷。病人長時間一個臥位,導致皮膚出現壓瘡等。

(3)抽搐

癲癇病人抽搐發(fā)作時,常發(fā)生舌咬傷、骨折、墜床等意外。抽搐間隙期病人疏于帶牙套、置牙墊防護,如突發(fā)抽搐易致舌咬傷,按壓肢體易致骨折等。

(4)精神異常

神經內科病人,發(fā)生大面積的額葉、顳葉等部位損害后,出現精神異常、躁動。肢體忽略病人,危險性增加,病人有自傷危險,出現他傷、自傷等。老年癡呆病人出現定向力、記憶力等缺失,如防護措施不到位,未做到24h連續(xù)看護,特別是外出進行輔助檢查時,人員較雜,稍有疏忽容易走失。

(5)呼吸困難

神經肌肉疾病,如格林巴利綜合征、重癥肌無力、周圍神經病變等,病變累及呼吸肌后即可出現呼吸困難、窒息等。神經系統(tǒng)多種疾病均可出現吞咽困難,咳嗽反射減弱,如進食嗆咳引起食物誤吸,鼻飼不當引起誤吸,牙齒松動脫落導致窒息,痰液黏稠導致氣道受阻。此類風險多易發(fā)生于吞咽障礙、需要鼻飼飲食的患者。

(6)感染

各種監(jiān)測、診療技術的應用，使接受侵入性操作的患者醫(yī)院感染率明顯高于無侵入性操作的患者，其中機械通氣患者相關性呼吸道感染者為85.0%，氣管切開感染者為50.5%[6]。80%的醫(yī)院內泌尿系統(tǒng)感染與導尿有關，且留置時間越長感染率越高[7]。病人住院期間有發(fā)生院內感染的風險。主要表現在神經內科護理人員工作量大,護士編制相對不足,護士整日忙于治療和處理醫(yī)囑,長期超負荷工作,都是影響護理安全的因素。護理人員業(yè)務及技術水平與護理安全有一定關系。臨床實踐表明,護士的素質和能力與護理差錯事故的發(fā)生往往有直接聯(lián)系,近年由于低年資護士增多,導致技術操作熟練程度欠缺,經驗不足,工作責任心不強,護理不到位等,極易產生各種外傷及護理差錯事故的發(fā)生,給患者的安全構成威脅,特別是隨著新的醫(yī)療技術大量引進與開展,對技術要求越來越高。護理管理者工作中預見性欠缺,基礎質量工作監(jiān)管不到位,給患者造成不安全的后果。護理人員衛(wèi)生宣教不到位,護患溝通欠缺。衛(wèi)生員工作監(jiān)管不夠,給患者造成不安全的后果。

二、安全策略

1、善搶救儀器的管理

制度，儀器設備專人管理，做好培訓、考核、消毒滅菌、定期檢查維修等工作。每班檢查，每周大檢查，原則上不外借。配備一定量的零配件和必要的配置替換設備，以備應急。將儀器報警聲音調至最低，工作人員的動作輕，治療護理操作盡量集中進行，碰到搶救或特殊情況時，拉上床位之間的布簾，減少對患者的干擾和影響。

2、加強健康教育

加強健康教育,增進醫(yī)患溝通要取得患者及家屬的有力配合,需要通過加強健康教育,增進醫(yī)患之間的溝通。為此,每月開1-2次的健康教育講座,由責任護士著重講解神經內科的基礎知識,及諸如腦中風等病癥的預防、治療、預后、康復等知識,讓家屬明了患者的檢查治療情況、用藥情況、醫(yī)療費用情況、預后及康復情況,使之更好地配合各項治療、護理。在開展健康教育時,應同時將一些需要注意的事項告知患者及家屬。如對于蛛網膜下腔出血的患者家屬,應告知蛛網膜下腔出血病因大多是由動脈瘤或血管畸形造成的,在沒有去除病因之前,排便過于用力、情緒激動都可能導致生命危險。

3、加強法律、法規(guī)的教育

護理風險與法律法規(guī)有著密切的關系,因護理人員法制觀念淡薄而發(fā)生的護理缺陷或糾紛時有發(fā)生。因此,應該經常組織護理人員學習《醫(yī)療事故處理條理》、《醫(yī)院護理管理條例》、《護理差錯的分類及評定標準》、《突發(fā)事件應急處理預案》等與護理風險相關的法律知識,提高法律意識,從職業(yè)道德和法律的高度規(guī)范護士的護理行為,聘請法律顧問為護士上法制課,增強護理人員的法律意識和法制觀念。提高護理人員的自律能力和守法的自覺性,在全面認識理解法律、法規(guī)的基礎上制訂的有關實施細則、規(guī)范[8]。提高安全意識,堅持預防為主的方針,科內制定安全日,責任班負責評估病人安全隱患,定期召開護理安全會議,對于其他科室和本科室出現的護理安全問題,進行組內討論,制定整改措施。科內制定相關預案流程,相關規(guī)章制度,使護士知道該做什么、不該做什么以及怎樣做。在尊重和維護病人權益的同時,懂得運用法律武器維護自身的合法權益。

4、加強感染控制

神經內科病人大多是年老體弱、吞咽困難、感覺障礙、肢體肌力差的病人。首先護理人員要做好入院宣教,入院當天向患者詳細介紹住院環(huán)境、住院須知、呼叫系統(tǒng)使用方法。護士對患者進行全面護理評估,包括肌力、肌張力、視力、步態(tài)及步行時的平衡力,足部有無變形或痛楚等。根據評估所得到的結果進行健康宣教;3天內護士對患者進行疾病相關知識和注意事項的宣教,護士長及時進行健康教育知曉情況的檢查,檢查結果與護士工作考核掛勾。給患者加用床檔保護,指導患者及家屬活動時有人陪同,不穿拖鞋,以免摔傷、墜床等意外發(fā)生;使用熱水袋時要指導使用溫度及使用方法,以免燙傷;長期臥床要經常變換,以防出現壓瘡及墜積性肺炎;鼻飼時要將床頭抬高,并保持床頭抬高,鼻飼后30min盡量不給患者翻身,以防吸入性肺炎的發(fā)生。總之,掌握各種危險因素,最大限度地減少對病人安全的威脅。進入病區(qū)的所有人員戴口罩、戴鞋套，嚴格無菌技術操作原則，限制探視時間和人員進入。嚴格掌握侵入性診療手段的運用指征，加強各種導管的護理。合理應用抗生素，減少不合理的聯(lián)合用藥，從而延緩細菌產生耐藥，提高臨床治愈率[9]。做好環(huán)境的消毒，加強空氣的清潔和消毒。患者轉出后做好終末消毒，使用后的儀器、設備和各種管道應嚴格消毒,防止感染。

5、提高護理人員的整體素質

扎實的理論知識和熟練的操作技能是確保護理安全和實現自我保護的基礎。神經內科病人病情變化快,需要護士利用專業(yè)知識,充分向家屬做好解釋工作,協(xié)助醫(yī)生做出正確的處理。如果護士沒有扎實的專業(yè)知識,就不能在醫(yī)療護理過程中掌握主動,甚至有時因解釋不清、處理不及時而使患者和家屬不滿意,產生不良后果。在搶救時,若護士技術嫻熟,就能給患者和家屬以安慰,得到他們的支持和理解,減少糾紛的發(fā)生。加強護士專科業(yè)務知識培訓,提高護士風險防范的能力，在注重護理基礎知識和基本技能培訓的同時,有針對性的進行專科業(yè)務知識、操作技能的訓練,請科主任作專科理論知識講課。對護士進行呼吸機、心電監(jiān)護儀操作的培訓考試,做到人人過關。創(chuàng)造一個安全的病房環(huán)境,如地面材料防滑、干燥,衛(wèi)生員拖地應設警示牌,提示病人防滑,廁所、洗漱間增設防滑墊;坐凳帶扶手。病房、走廊安裝橫向扶手,廁所安裝豎向扶手,便于站起時借力;病床、輪椅的制動閘性能良好,其次應加強巡視,主動給予幫助。在提高護士業(yè)務水平的同時,也提高了風險防范的能力。通過學習,使護士明確了護患雙方的責任和權利,認識到雖然護理風險不能完全避免,但通過采取有效的防范措施是可以化解護理風險,減少護理糾紛和差錯事故的發(fā)生,從而加強護士的法律意識和護理風險防范意識,認真的處理好病人從入院到出院過程中的每個環(huán)節(jié),更好地為病人服務。

第2篇：安全審計論文范文

    論文摘要：本文強調審計工作的安全、高效和信息化，從審計工作的現狀、發(fā)展瓶頸到信息化審計的制度健全、引入主機系統(tǒng)安全審計、業(yè)務系統(tǒng)安全審計等相關管理辦法、新技術或新理念和待解決的問題等方面，論述構建安全高效的審計信息化安全保障體系的措施。 

審計是客觀評價個人，組織、制度、程序、項目或產品。審計執(zhí)行是以確定有效性和可靠性的信息，還提供了一個可內控的評估系統(tǒng)。審計的目標是表達人、組織、系統(tǒng)等的評估意見，審計人員在測試環(huán)境中進行評估工作。審計必須出示合理并基本無誤的報表，通常是利用統(tǒng)計抽樣來完成。審計也是用來考察和防止虛假數據及欺騙行為，檢查、考證目標的完整性、準確性，以及檢查目標是否符合既定的標準、尺度和其它審計準則。實現審計的信息化，有利于管理層迅速準確的做出決定，對于政企業(yè)發(fā)展、社會經濟的進步都具有重要作用。目前，我國的審計工作尚存在性質認定模糊、工作范圍過于狹窄等問題，有待進一步加強和改進。 

審計的基礎工作是內部審計，內審是審計監(jiān)督體系中不可或缺的重要組成部分，是全面經濟管理必不可少的手段，是加強任何機構內部管理的必要，推動經濟管理向科學化方向發(fā)展的重要環(huán)節(jié)也是審計。因此說審計部門是其他監(jiān)督部門不能代替的，促進黨風廉政建設、加強對黨政領導干部及管理人員的監(jiān)督都可以通過審計來完成。審計應用與高新技術機構中，在防范風險中發(fā)揮著重要作用，也有助于領導層做出正確決策。 

 

一、審計工作的現狀及存在的問題 

 

隨著我國經濟迅猛發(fā)展，審計監(jiān)督力度不斷增強，審計范圍也不斷擴大。當前，審計方式已由財政財務審計向效益審計發(fā)展，由賬項基礎審計向制度基礎審計、風險基礎審計發(fā)展，由事后審計向事中、事前審計發(fā)展。審計管理上建立審計質量控制體系，要求審計機關把審計管理工作前移，把質量控制體系貫穿與審計工作中。在此趨勢下，傳統(tǒng)的審計方法暴露出其效率低、審計范圍小等劣勢，使得完成審計任務，達到審計目標越發(fā)缺乏及時性。 

(一)內部審計性質認定較為模糊。內部審計是市場經濟條件下，基于加強經營管理的內在需要，也是內部審計賴以存在的客觀基礎。但是，現代內部審計的產生卻是一個行政命令產物，強調外向。這種審計模式使人們對內部審計在性質認定上產生模糊，阻礙了內部審計的發(fā)展。內部審計很難融入經營管理中，審計工作很難正常開展，很難履行監(jiān)督評價職能和開展保證咨詢活動，因此就不能充分發(fā)揮其應有的內向的作用。 

(二)內部審計工作范圍過于狹窄。內部審計的目的在于為組織增加價值并提高組織的運作效率，其職能是監(jiān)督和服務。但是，我國內部審計工作的重心局限在財務收支的真實性及合規(guī)性審計。長久以來內部審計突出了監(jiān)督職能，而忽視了服務職能。內部審計認識水平、思想觀念的束縛以及管理體制等諸多因素，影響和阻礙著內審作用的有效發(fā)揮。原因有會計人員知識水平、業(yè)務素質不高，也有不重視法律、法規(guī)的因素，還有監(jiān)管不力、查處不嚴的原因。目前內部審計尚處在查錯階段，停留在調賬、糾正錯誤上，還不能多角度、深層次分析問題，沒有較國際先進的審計理念，我國內部審計的作用尚待開發(fā)。審計人員的計算機知識匱乏，不適應電算化、信息化的迅速發(fā)展。目前多數審計人員硬件知識掌握不熟練，軟件知識了解也不足，因此不能有效地評估信息系統(tǒng)的安全性、效益性。由于計算機審計軟件開發(fā)標準不同，功能也不完整，因此全面推廣計算機輔助審計就有一定難度，導致審計人員的知識和審計手段滯后于信息化的發(fā)展。 

 

二、信息化審計體系的健全 

 

當前國家審計信息化發(fā)展的趨勢是建立審計信息資源的標準化、共享化、公開化，逐步達到向現代審計方式的轉變。這一趨勢是隨著當前科學發(fā)展、和諧社會的推進，國家確立的公共財政建設、公共服務的實施、公共產品的提供應運而生的，三個“公共”的主旨是：國家財政資金的使用更注重民生；使用重點更注重服務；使用效益更注重民意。 

信息安全審計是任何機構內控、信息系統(tǒng)治理、安全風險控制等不可或缺的關鍵手段。收集并評估證據以決定一個計算機系統(tǒng)是否有效地做到保護資產、維護數據完整、完成目標，同時能更經濟的使用資源。信息安全審計與信息安全管理密切相關，信息安全審計的主要依據是出于不同的角度提出的控制體系的信息安全管理相關的標準。這些控制體系下的信息化審計可以有效地控制信息安全，從而達到安全審計的目的，提高信息系統(tǒng)的安全性。由此，國際組織也制定了相關文件規(guī)范填補信息系統(tǒng)審計方面的某些空白。例如《信息安全管理業(yè)務規(guī)范》通過了國際標準化組織iso的認可，正式成為國際標準。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務院辦公廳關利用計算機信息系統(tǒng)開展審計工作有關的通知》等文件，基本規(guī)范了內部審計機制，健全了內部審計機構；強調機構應加強內審工作，機構內部要形成有權就有責、用權受監(jiān)督的最佳氛圍；審計委員會直接對領導班子負責，其成員需具有相應的獨立性，委員會成員具良好的職業(yè)操守和能力，內審人員應當具備內審人員從業(yè)資格，其工作范圍不應受到人為限制。內部審計機構對審計過程中發(fā)現的重大問題，視具體情況，可以直接向審計委員會或者領導層報告。 

   　三、主機系統(tǒng)安全審計 

 

信息技術審計，或信息系統(tǒng)審計，是一個信息技術基礎設施控制范圍內的檢查。信息系統(tǒng)審計是一個通過收集和評價審計證據，對信息系統(tǒng)是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面做出判斷的過程。 

以技術劃分，信息化安全審計主要分為主機審計、網絡審計、應用審計、數據庫審計，綜合審計。簡單的說獲取、記錄被審計主機的狀態(tài)信息和敏感操作就是主機審計，主機審計可以從已有的系統(tǒng)審計記錄中提取相關信息，并以審計規(guī)則為標準來分析判斷被審計主機是否存在違規(guī)行為。總之，為了在最大限度保障安全的基礎上找到最佳途徑使得業(yè)務正常工作的一切行為及手段，而對計算機信息系統(tǒng)的薄弱環(huán)節(jié)進行檢測、評估及分析，都可稱作安全審計。 

主機安全審計系統(tǒng)中事件產生器、分析器和響應單元已經分別以智能審計主機、系統(tǒng)中心、管理與報警處置控制臺來替代。實現主機安全系統(tǒng)的審計包括系統(tǒng)安全審計、主機應用安全審計及用戶行為審計。智能審計替代主機安裝在網絡計算機用戶上，并按照設計思路監(jiān)視用戶操作行為，同時智能分析事件安全。從面向防護的對象可將主機安全審計系統(tǒng)分為系統(tǒng)安全審計、主機應用安全審計、用戶行為審計、移動數據防護審計等方面。 

 

四、待解決的若干問題 

 

計算機與信息系統(tǒng)廣泛使用，如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系，也就是建立安全策略體系、安全管理體系和安全技術體系。 

保護網絡設備、設施、介質，對操作系統(tǒng)、數據庫及服務系統(tǒng)進行漏洞修補和安全加固，對服務器建立嚴格審核。在安全管理上完善人員管理、資產管理、站點維護管理、災難管理、應急響應、安全服務、人才管理，形成一套比較完備的信息系統(tǒng)安全管理保障體系。 

防火墻是保證網絡安全的重要屏障，也是降低網絡安全風險的重要因素。vpn可以通過一個公用網絡建立一個臨時的、安壘的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。借助專業(yè)的防ddos系統(tǒng)，可以有效的阻止惡意攻擊。信息系統(tǒng)的安全需求是全方位的、系統(tǒng)的、整體的，需要從技術、管理等方面進行全面的安全設計和建設，有效提高信息系統(tǒng)的防護、檢側、響應、恢復能力，以抵御不斷出現的安全威脅與風險，保證系統(tǒng)長期穩(wěn)定可靠的運行。嚴格的安全管理制度，明確的安全職責劃分，合理的人員角色定義，都可以在很大程度上減少網絡的安全隱患。 

從戰(zhàn)略高度充分認識信息安全的重要性和緊迫性。健全安全管理組織體系，明確安全管理的相關組織、機構和職責，建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責任機制。為了確保突發(fā)重大安全事件時，能得到及時的響應和支援，信息系統(tǒng)必須建立和逐步完善應急響應支援體系，確保整個信息系統(tǒng)的安全穩(wěn)定運行。 

 

 

參考文獻： 

[1]宋新月，內部審計在經濟管理中的重要作用淺析[j]，知識經濟，2009 

第3篇：安全審計論文范文

關鍵詞：信息系統(tǒng)開發(fā)；安全策略；網絡技術

中圖分類號：TP399文獻標識碼：A文章編號：1007-9599 (2012) 02-0000-02

Analysis of Security Policy of Information Systems Development

Ling Bin1,Wang Donghong1,Chi Yan2

(1.Northeast Forestry University,Harbin150040,China;2. Heilongjiang University of Chinese Medicine,Harbin150040,China)

Abstract:Along with our country to the application of computer network technology and the deepening of information system.has gradually become the planning construction and management process is the most important one of systems.And the system to have strict security requirements. security goal is very clear.Based on the information system to conduct a comprehensive safety management and construction safety plan.can satisfy the management and technology of double security needs.Therefore.how the information system development process of application security strategy.in order to improve the information system for the overall safety performance also gradually become information system developers and builders focus.In this paper,the information system development process of the safety planning and building construction safety management are analyzed.Presents practical information system security strategy.

Keywords:Information system development;Security strategy;Network technology

現階段，計算機網絡技術已經在設計、科研、生產和辦公能方面得到了較為廣泛的應用，且發(fā)揮出了越來越重要的作用。計算機網絡技術中，信息系統(tǒng)的廣泛應用給人們的工作和生活帶來了極大的便利，但與此同時，也對其保密性和安全性提出了較大的挑戰(zhàn)，如何提高信息系統(tǒng)的安全性也成為了信息系統(tǒng)開發(fā)者工作的重點。在信息系統(tǒng)的規(guī)劃建設過程中，建設前的安全規(guī)劃與實施后持續(xù)、完善的安全管理都是提高信息系統(tǒng)安全性較為有效的措施。

一、信息系統(tǒng)的建設安全規(guī)劃

信息系統(tǒng)中的建設安全規(guī)劃應主要體現在數據安全、運行安全、系統(tǒng)安全和物理安全這四個方面。

第一，數據安全，即在信息系統(tǒng)使用過程中，尤其是傳輸數據時，要通過適當的密碼措施來對數據的安全性進行保護，防止數據泄露問題發(fā)生。在數據加密后，即使數據在傳輸過程中被截獲或是入侵，由于截獲的是密文，所獲信息也是無效的。

第二，運行安全。要恰當處理信息系統(tǒng)應用所面對的安全問題，在系統(tǒng)開發(fā)時應采取病毒防護、身份鑒別、安全審計、漏洞掃描、入侵檢測、防火墻等保護措施。防火墻能夠在網絡的出口部位對網絡通訊的安全性進行檢查，按照安全規(guī)則的要求，信息系統(tǒng)不僅要確保內部的安全性，還要保證系統(tǒng)外部的安全性，將網絡的外部與內部相隔離，從而提高整個系統(tǒng)的安全性。通過設置與防火墻相關聯(lián)的病毒入侵檢測系統(tǒng)，能夠對信息數據進行實時保護，對進出系統(tǒng)的數據都要進行實時分析，及時發(fā)現并阻斷外界的攻擊，從而降低網絡隱患。漏洞掃描系統(tǒng)能夠對口令/賬號、服務器主機、網絡系統(tǒng)等存在的威脅、漏洞和安全隱患進行掃描和報告，并及時地采取主動的安全措施和補救行動，從而提高系統(tǒng)安全性。安全審計系統(tǒng)能夠對使用信息系統(tǒng)的所有用戶的活動進行監(jiān)控和數據收集，供系統(tǒng)管理者審查用，從而提高系統(tǒng)的管理效率。身份鑒別系統(tǒng)是安全系統(tǒng)的關鍵部分，能夠對用戶是否合法進行主動的判斷，且口令與智能卡相結合的鑒別方法能夠大大提高系統(tǒng)安全性，也便于應用。為應對計算機病毒問題，信息系統(tǒng)還應設計病毒防護措施，實時監(jiān)控病毒的攻擊和入侵情況，對整個系統(tǒng)進行全面的監(jiān)控，但要注意在使用時要及時更新病毒信息，定時對計算機運行環(huán)境進行檢測。

第三，系統(tǒng)安全，主要包括應用系統(tǒng)與操作系統(tǒng)的安全性。在選擇應用系統(tǒng)時，要對定制軟件和通用軟件都進行風險檢測，及時發(fā)現和處理系統(tǒng)中存在的問題和安全隱患。而對于操作系統(tǒng)，則要選用具有較高安全性的系統(tǒng)，同時進行必要的安全設置。

第四，物理安全，這一部分是保證整個系統(tǒng)安全性的基礎，因而要符合國家的相關規(guī)定。首先該系統(tǒng)要滿足防靜電、防雷、溫濕度、配電、布線、電力、防震、防水、防火、場地等的要求。其次，要保證整個系統(tǒng)能夠安全使用，且符合國家相關標準。最后，還要保證該系統(tǒng)所使用的安全設施，必須是符合國家標準的設備，并具有國家保密部門的審批合格證明。

二、系統(tǒng)的安全管理

安全的系統(tǒng)管理能夠為信息系統(tǒng)的安全有效運行提供保障，也是系統(tǒng)安全運行的基礎，要提高信息系統(tǒng)的安全性，保障其順利穩(wěn)健的運行，在管理和設計方面應做到以下幾點：

（一）人員管理

人員管理主要涉及外部人員的管理和內部人員的管理兩個部分，系統(tǒng)內部的操作使用者和管理者是造成信息系統(tǒng)安全隱患的關鍵因素，因此，在選擇內部管理人員時，必須要對其職業(yè)道德、政治思想狀況、社會關系、個人經歷等進行核查，保證系統(tǒng)人員的可靠性和安全性。同時，還要使其明確工作職責，在進行系統(tǒng)操作時按照職責要求進行。除此之外，還要對系統(tǒng)操作者和使用者的安全知識和安全意識進行培訓，如退出和登錄等基本操作的規(guī)范化和保密意識的培養(yǎng)等。對于系統(tǒng)管理者來說，其所掌握的安全知識和相應的安全管理水平要更加完善，包括對于違法入侵的防范和鑒別能力、系統(tǒng)的管理和維護能力等。外部人員指能夠進入該系統(tǒng)進行服務和維修的人員，對于這部分人員的管理包括旁站陪同控制、攜帶物品限制、安全控制區(qū)域隔離、保密要求知會等幾方面。

（二）安全管理制度的制定

系統(tǒng)安全策略和安全管理制度的制定能夠提高系統(tǒng)運行的可靠性和安全性。安全管理制度主要包括：人員安全管理、應急響應措施、安全審計管理、開發(fā)與運行管理、恢復與備份管理、惡意代碼防護措施、病毒防護措施、移動設備管理措施和運行環(huán)境管理措施等。系統(tǒng)安全策略主要包括：應急響應策略、保護信息完整性策略、系統(tǒng)安全管理策略、系統(tǒng)安全檢測策略、運行管理策略、身份鑒別策略、惡意代碼防護策略、病毒防護策略、恢復與備份策略和安全審計策略等。

（三）設置安全管理機構

安全管理機構的設置目的主要在于：第一，對信息系統(tǒng)的保密性和安全性進行定期的檢測和提升。第二，安全保密措施的制定和實施管理。第三，制定和實施信息系統(tǒng)的安全策略和保密管理制度，主要包括管理策略和技術策略兩部分。

三、總結

綜上所述，信息系統(tǒng)通常主要由網絡通信、共享服務和應用操作三個基本部分組成，全過程的網絡通信保護系統(tǒng)、資源共享的邊界保護和可靠的操作應用平臺，三方面共同組成了具有固定工作和使用流程的生產和信息管理系統(tǒng)，能為信息的安全性提供充分的保障。在今后的信息系統(tǒng)開發(fā)中，還可在檢測引擎中適當加入檢測隱通道，從而避免信息生產系統(tǒng)存在隱蔽通道的問題，這也是今后信息系統(tǒng)開發(fā)工作的重點內容。

參考文獻：

[1]閆樹.信息系統(tǒng)的安全策略及若干技術研究[D].武漢理工大學碩士學位論文,2009

[2]薛麗.綜合信息管理系統(tǒng)中的安全策略及其應用研究[D].大連理工大學碩士學位論文,2008

第4篇：安全審計論文范文

[論文摘要]通過對電力系統(tǒng)計算機網絡存在的網絡安全問廈的分析，提出相應的安全對策，并介紹應用于電力系統(tǒng)計算機網絡的網絡安全技術。

[論文關鍵詞】電力信息安全策略

在全球信息化的推動下，計算機信息網絡作用不斷擴大的同時，信息網絡的安全也變得日益重要，一旦遭受破壞，其影響或損失也十分巨大，電力系統(tǒng)信息安全是電力系統(tǒng)安全運行和對社會可靠供電的保障，是一項涉及電網調度自動化、繼電保護及安全裝置、廠站自動化、配電網自動化、電力負荷控制、電力營銷、信息網絡系統(tǒng)等有關生產、經營和管理方面的多領域、復雜的大型系統(tǒng)工程。應結合電力工業(yè)特點，深入分析電力系統(tǒng)信息安全存在的問題，探討建立電力系統(tǒng)信息安全體系，保證電網安全穩(wěn)定運行，提高電力企業(yè)社會效益和經濟效益，更好地為國民經濟高速發(fā)展和滿足人民生活需要服務。

研究電力系統(tǒng)信息安全問題、制定電力系統(tǒng)信息遭受內部外部攻擊時的防范與系統(tǒng)恢復措施等信息安全戰(zhàn)略是當前信息化工作的重要內容。

一、電力系統(tǒng)的信息安全體系

信息安全指的是為數據處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實性、可靠性、責任性等幾個方面。

信息安全涉及的因素有，物理安全、信息安全、網絡安全、文化安全。

作為全方位的、整體的信息安全體系是分層次的，不同層次反映了不同的安全問題。

信息安全應該實行分層保護措施，有以下五個方面，

①物理層面安全，環(huán)境安全、設備安全、介質安全，②網絡層面安全，網絡運行安全，網絡傳輸安全，網絡邊界安全，③系統(tǒng)層面安全，操作系統(tǒng)安全，數據庫管理系統(tǒng)安全，④應用層面安全，辦公系統(tǒng)安全，業(yè)務系統(tǒng)安全，服務系統(tǒng)安全，⑤管理層面安全，安全管理制度，部門與人員的組織規(guī)則。

二、電力系統(tǒng)的信息安全策略

電力系統(tǒng)的信息安全具有訪問方式多樣，用戶群龐大、網絡行為突發(fā)性較高等特點。信息安全問題需從網絡規(guī)劃設計階段就仔細考慮，并在實際運行中嚴格管理。為了保障信息安全，采取的策略如下：

(一)設備安全策略

這是在企業(yè)網規(guī)劃設計階段就應充分考慮安全問題。將一些重要的設備，如各種服務器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空，并有明顯標記，防止意外損壞。對于終端設備，如工作站、小型交挾機、集線器和其它轉接設備要落實到人，進行嚴格管理。

(一)安全技術策略

為了達到保障信息安全的目的，要采取各種安全技術，其不可缺少的技術層措施如下：

1．防火墻技術。防火墻是用于將信任網絡與非信任網絡隔離的一種技術，它通過單一集中的安全檢查點，強制實糟相應的安全策略進行檢查，防止對重要信息資源進行非法存取和訪問。電力系統(tǒng)的生產、計量、營銷、調度管理等系統(tǒng)之間，信息的共享、整合與調用，都需要在不同網段之間對這些訪問行為進行過濾和控制，阻斷攻擊破壞行為，分權限合理享用信息資源。

2．病毒防護技術。為免受病毒造成的損失，要采用的多層防病毒體系。即在每臺Pc機上安裝防病毒軟件客戶端，在服務器上安裝基于服務器的防病毒軟件，在網關上安裝基于網關的防病毒軟件。必須在信息系統(tǒng)的各個環(huán)節(jié)采用全網全面的防病毒策略，在計算機病毒預防、檢測和病毒庫的升級分發(fā)等環(huán)節(jié)統(tǒng)一管理，建立較完善的管理制度，才能有效的防止和控制病毒的侵害。

3．虛擬局域網技術(VLAN技術)。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域，每一個VLAN都包含1組有著相同需求的計算機工作站，與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分，所以同一個LAN內的各工作站無須放置在同一物理空間里，既這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發(fā)到其他VLAN中，有助于控制流量、控制廣播風暴、減少設備投資、簡化網絡管理、提高網絡的安全性。

4．數據與系統(tǒng)備份技術。電力企業(yè)的數據庫必須定期進行備份，按其重要程度確定數據備份等級。配置數據備份策略，建立企業(yè)數據備份中心，采用先進災難恢復技術，對關鍵業(yè)務的數據與應用系統(tǒng)進行備份，制定詳盡的應用數據備份和數據庫故障恢復預案，并進行定期預演。確保在數據損壞或系統(tǒng)崩潰的情況下能快速恢復數據與系統(tǒng)，從而保證信息系統(tǒng)的可用性和可靠性。

5．安全審計技術。隨著系統(tǒng)規(guī)模的擴展與安全設施的完善，應該引入集中智能的安全審計系統(tǒng)，通過技術手段，實現自動對網絡設備日志、操作系統(tǒng)運行日志、數據庫訪問日志、業(yè)務應用系統(tǒng)運行日志、安全設施運行日志等進行統(tǒng)一安全審計，及時自動分析系統(tǒng)安全事件，實現系統(tǒng)安全運行管理。

6．建立信息安全身份認證體系。CA是CertificateAuthority的縮寫，即證書授權。在電子商務系統(tǒng)中，所有實體的證書都是由證書授權中心(CA中心)分發(fā)并簽名的。一個完整、安全的電子商務系統(tǒng)必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場交易系統(tǒng)就其實質來說，是一個典型的電子商務系統(tǒng)，它必須保證交易數據安全。在電力市場技術支持系統(tǒng)中，作為市場成員交易各方的身份確認、物流控制、財務結算、實時數據交換系統(tǒng)中，均需要權威、安全的身份認證系統(tǒng)。在電力系統(tǒng)中，電子商務逐步擴展到電力營銷系統(tǒng)、電力物質采購系統(tǒng)、電力燃料供應系統(tǒng)等許多方面。因此，建立全國和網、省公司的cA機構，對企業(yè)員工上網用戶統(tǒng)一身份認證和數字簽名等安全認證，對系統(tǒng)中關鍵業(yè)務進行安全審計，并開展與銀行之間、上下級CA機構之間、其他需要CA機構之間的交叉認證的技術研究及試點工作。

(三)組織管理策略

信息安全是技術措施和組織管理措施的統(tǒng)一，“三分技術、七分管理”。據統(tǒng)計，在所有的計算機安全事件中，屬于管理方面的原因比重高達70%以上。沒有管理，就沒有安全。再好的第三方安全技術和產品，如果沒有科學的組織管理配合，都會形同虛設。

1．安全意識與安全技能。通過普及安全知識的培訓，可以提高電力企業(yè)職員安全知識和安全意識，使他們具備一些基本的安全防護意識和發(fā)現解決某些常見安全問題的能力。通過專業(yè)安全培訓提高操作維護者的安全操作技能，然后再配合第三方安全技術和產品，將使信息安全保障工作得到提升。

2．安全策略與制度。電力企業(yè)應該從企業(yè)發(fā)展角度對整體的信息安全工作提供方針性指導，制定一套指導性的、統(tǒng)一的安全策略和制度。沒有標準，無法衡量信息的安全，沒有法規(guī)，無從遵循信息安全的制度，沒有策略，無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化，是法規(guī)與管理的接口和信息安全得以實現的重要保證。

3．安全組織與崗位。電力企業(yè)的組織體系應實行“統(tǒng)一組織、分散管理”的方式，建立一個有效、獨立的信息安全部門作為企業(yè)的信息安全管理機構，全面負責企業(yè)范圍內的信息安全管理和維護工作。安全崗位是信息系統(tǒng)安全管理機構，根據系統(tǒng)安全需要設定的負責某一個或某幾個安全事務的職位，崗位在系統(tǒng)內部可以是具有垂直領導關系的若干層次的一個序列。這樣在全企業(yè)范圍內形成信息安全管理的專一工作，使各級信息技術部門也因此會很好配合信息安全推行工作。

第5篇：安全審計論文范文

關鍵詞:信息安全;網格安全管理;SNMP

中圖分類號:TP393.08文獻標識碼:A文章編號:1009-3044(2009)13-3360-02

1 引言

當今信息安全技術主要包括密碼技術、身份認證、訪問控制、入侵檢測、風險分析與評估等諸多方面。在實際運用中,這些安全技術相互支持與協(xié)作,各自解決安全問題的某一方面。目前人們關注的重點在入侵檢測、密碼技術等,作為訪問控制沒有得到應有的重視,事實上訪問控制是一個安全信息系統(tǒng)下不可或缺的安全措施。訪問控制就是通過某種途徑顯式地限制對關鍵資源的訪問[1-2]。防止因非法用戶的侵入或合法用戶的不慎操作所造成的破壞。本文主要討論了主動式網絡安全監(jiān)控系統(tǒng),在分析主動式網絡監(jiān)控系統(tǒng)設計基礎上,針對企業(yè)網非法接入防范子系統(tǒng)采用的SNMP協(xié)議進行相關分析。

2 網絡管理概述

隨著網絡技術的發(fā)展,網絡規(guī)模增大,復雜性也增加,以前的網絡管理技術已經無法適應這一情況,特別是由于以往的網絡管理系統(tǒng)往往是生產制造廠商在自已的網絡系統(tǒng)中開發(fā)的應用系統(tǒng),很難對其它廠商的網絡系統(tǒng)、通信設備等進行管理,這種狀況很不適應網絡異構互聯(lián)的發(fā)展趨勢。網絡管理一般采用管理―的管理結構。網絡管理站是實施網絡管理的處理實體,駐留在管理工作站上,它是整個網絡系統(tǒng)的核心,完成復雜網絡管理的各項功能,如排除網絡故障、配置網絡等,一般位于網絡中的一個主機節(jié)點上。被管(簡稱)是配合網絡管理的處理實體,駐留在被管理對象上。被管監(jiān)測所在網絡部件的工作狀況,收集有關網絡信息。公共網絡管理協(xié)議描述了管理器與被管之間的數據通信機制。

3 主動式網絡安全監(jiān)控系統(tǒng)

3.1 需求分析

一般企業(yè)網內部資源的安全策略(諸如訪問權限、存取控制等)是基于IP地址進行的,如果入侵者利用管理方面的漏洞,盜取合法用戶的權限或IP地址,將會對企業(yè)內部造成重大損失,因此,系統(tǒng)主要從以下幾個方面考慮安全監(jiān)控問題:

1)企業(yè)網內部主機資源的安全。 企業(yè)網內部主機除了應用傳統(tǒng)的防火墻、入侵檢測系統(tǒng)以外,還可應用強制訪問控制機制對本機內部的重要資源實施強制訪問控制保護;

2)入侵檢測。在發(fā)現非法攻擊或者非法用戶企圖操作主機文件時,可通過入侵檢測機制發(fā)現入侵者來源,阻斷入侵者的非法操作,記錄入侵主機相關信息等;

3)企業(yè)網的接入安全 企業(yè)網安全監(jiān)控的另一主要目的即對企業(yè)網內部的非法接入進行監(jiān)控,發(fā)現非法入網者,主動地采取相關措施避免和阻止類似情況的發(fā)生,實現企業(yè)網安全的外部屏障;

4)安全審計,監(jiān)控系統(tǒng)應當具備記錄監(jiān)控信息的能力;

5)通訊機制,除了各子系統(tǒng)本身的主動式的反應機制、通訊機制和控制機制以外,監(jiān)控系統(tǒng)還應當建立通訊體系,向上級監(jiān)控模塊提供安全監(jiān)控信息,為管理機構制定相關策略提供有價值的參考。

3.2 ANSMS 系統(tǒng)設計方案

主動式網絡安全監(jiān)控系統(tǒng)(ANSMS,Active Network Security Monitor System)從功能上可分為兩個子系統(tǒng):主機強制訪問控制監(jiān)控子系統(tǒng)(MACMS,Mandatory Access Control Monitor Subsystem)和企業(yè)網非法接入防范子系統(tǒng)(ICMS,Illegal Connection Monitor Subsystem)。主機強制訪問控制監(jiān)控子系統(tǒng)主要分為四個模塊:強制訪問控制模塊、入侵檢測模塊、審計模塊和通訊模塊。

1)強制訪問控制模塊:建立和管理安全標簽庫,實現對用戶進程和文件安全標簽的管理,在對進程和文件的安全標簽進行比較后,根據相關規(guī)則決定進程對文件的操作權限和操作方式;

2)入侵檢測模塊,檢測網絡入侵操作并進行阻斷,記錄入侵主機的IP地址和入侵時間,將其記入安全日志當中;

3)安全審計模塊 對強制訪問控制的監(jiān)控信息進行安全審計,記錄入侵主機和非法操作進程,統(tǒng)計和審核,對高危險性和頻繁多發(fā)的操作進行分類和統(tǒng)計;

4)通訊模塊 與安全監(jiān)控模塊實現通訊,及時地通報和匯總安全信息。企業(yè)網非法接入防范子系統(tǒng)主要分為四個模塊:非法接入的檢測模塊、非法接入的處理模塊和審計模塊。

4 企業(yè)網防范非法接入監(jiān)控子系統(tǒng)

4.1 非法接入防范策略

非法接入是指沒有經過科技部門允許直接將各類計算機和移動設備接入內聯(lián)網的行為。網絡上出現不經常使用的IP、IP和MAC映射表與科技部門認定的不一致等現象,都可以認為是非法接入。這類非法事件雖不是暴力入侵,但可能在內聯(lián)網傳播病毒、移植木馬和泄露內聯(lián)網業(yè)務機密信息等嚴重的后果,而且發(fā)生的主要原因是內控措施不利和內部人員的安全意識不夠,所以很難預防和控制。

非法接入的主要途徑――IP 地址盜用侵害了 Internet 網絡的中正常用戶的權益,并且給網絡計費、網絡安全和網絡運行帶來巨大的負面影響,因此解決 IP地址盜用成為當前一個迫切的問題。基于IP盜用的非法接入的形式繁多,常見的主要有以下幾種:不經過系統(tǒng)分配自己配置IP地址;修改 IP-MAC 地址對為合法用戶的地址;收發(fā)數據包時修改IP 地址。

在上述防范措施的基礎上,結合用戶認證和IP-MAC-PORT三者綁定的技術,首先確保合法用戶通過認證,再通過SNMP協(xié)議編寫相關的網絡管理軟件,輪詢交換機等網絡設備,獲取當前網絡中主機的IP地址和MAC地址等信息,與原始IP-MAC對照表進行比對,進而發(fā)現非法的IP地址和接入點。企業(yè)網監(jiān)控著重于監(jiān)控網絡當前主機狀況,發(fā)現非法接入點,采取相關行動阻止非法用戶接入網內。具體的設計方案為:用戶注冊模塊,IP盜用檢測模塊,IP盜用處理模塊,安全審計模塊,通訊模塊和安全監(jiān)控模塊。

4.2 簡單網絡管理協(xié)議 SNMP

SNMP 的網絡管理模型包括以下關鍵元素:管理站、者、管理信息庫、網絡管理協(xié)議。管理站一般是一個分立的設備,也可以利用共享系統(tǒng)實現。管理站被作為網絡管理員與網絡管理系統(tǒng)的接口。SNMP 中的對象是表示被管資源某一方面的數據變量。對象被標準化為跨系統(tǒng)的類,對象的集合被組織為管理信息庫(MIB,Management Information Base)。MIB 作為設在者處的管理站訪問點的集合,管理站通過讀取 MIB 中對象的值來進行網絡監(jiān)控。管理站可以在者處產生動作,也可以通過修改變量值改變者處的配置。

SNMP 的規(guī)范 SMI(Structure of Management Information)為定義和構造MIB提供了一個通用的框架。同時也規(guī)定了可以在MIB中使用的數據類型,說明了資源在 MIB 中怎樣表示和命名。SMI 避開復雜的數據類型是為了降低實現的難度和提高互操作性。MIB 中的每個對象類型都被賦予一個對象標識符(OID),以此來命名對象。另外,由于對象標識符的值是層次結構的,因此命名方法本身也能用于確認對象類型的結構。

在 TCP/IP 網絡管理的建議標準中,提出了多個相互獨立的 MIB,其中包含為 Internet 的網絡管理而開發(fā)的 MIB-II。管理站和者之間以傳送 SNMP 消息的形式交換信息。每個消息包含一個指示 SNMP 版本號的版本號,一個用于本次交換的共同體名,和一個指出 5 種協(xié)議數據單元之一的消息類型。

4.3 非法接入防范子系統(tǒng)

SNMP++是一套 C++類的集合,它為網絡管理應用的開發(fā)者提供了 SNMP 服務。SNMP++并非是現有的 SNMP 引擎的擴充或者封裝。事實上為了效率和方便移植,它只用到了現有的 SNMP 庫里面極少的一部分。SNMP++也不是要取代其他已有的 SNMPAPI,比如 WinSNMP。SNMP++只是通過提供強大靈活的功能,降低管理和執(zhí)行的復雜性,把面向對象的優(yōu)點帶到了網絡編程中。可以利用SNMP++來實現非法接入防范子系統(tǒng)的設計相關工作。在具體過程中需要考慮:

1)非法用戶只修改IP地址,通過比較原始IP地址分配表可發(fā)現非法的IP地址,進而關閉其端口,阻止其接入企業(yè)網;

2)非法用戶成對修改 IP-MAC 地址方面。

5 結束語

隨著 Internet 的運用愈加廣泛,網絡安全和信息安全的問題日益突出,入侵主機通過修改相關設置入侵企業(yè)網并在網內主機上安置木馬程序,對企業(yè)網內部資源造成很大的危害,嚴重影響了企業(yè)網內部資源的共享和保密性要求。論文提出的主動式網絡安全監(jiān)控可有效的解決本地和網絡入侵以及外部非法接入的隱患,具有較高的安全性、易用性和可擴展性。

參考文獻:

第6篇：安全審計論文范文

論文摘要：針對一般網絡應用系統(tǒng)的特征，融合了數據加密、身份認證和訪問控制三種安全技術和機制，并充分考慮了系統(tǒng)安全性需求與可用性、成本之間的平衡，提出了一個以信息資源傳輸和存儲安全保護，身份認證安全管理和資源訪問安全控制為基本要素的網絡應用系統(tǒng)信息安全模型，為加強中小型企業(yè)網絡應用系統(tǒng)安全性提供了一個比較簡單可行的方案。

0引言

由于網絡環(huán)境的特殊性，每一個投人使用的網絡應用系統(tǒng)都不可避免地面臨安全的威脅，因此，必須采取相應的安全措施。國內在信息安全方面已做了很多相關研究，但大多是單獨考慮資源保護或身份認證等某一方面，而對如何構建一個相對完善且通用的網絡應用系統(tǒng)信息安全解決方案研究不多。本文在ISO提出的安全服務框架下，融合了數據加密、身份認證和訪問控制三種安全技術和機制，并充分考慮了系統(tǒng)安全性需求與可用性、成本等特性之間的平衡，提出了一個以信息資源傳輸和存儲安全保護、身份認證安全管理和資源訪問安全控制為基本要素的網絡應用系統(tǒng)信息安全模型，為加強中小型企業(yè)網絡應用系統(tǒng)安全性提供了一個比較簡單可行的方案。

1網絡應用系統(tǒng)信息安全模型設計

1.1信息安全模型總體設想

本文提出的網絡應用系統(tǒng)信息安全模型主要基于三個要素:信息資源傳輸和存儲安全保護，身份認證安全管理以及用戶對資源訪問的安全控制。整個信息安全模型如圖1所示。模型利用過濾器來區(qū)分敏感數據與非敏感數據，對于非敏感數據直接以明文形式進人信息資源層處理，而對敏感數據則采用加密傳輸通道進行傳輸，且需要經過身份認證層與訪問控制層的控制后才能進人信息資源層。這樣的設計在保證了信息傳輸和存儲較高的安全性的同時，減少了身份認證層與訪問控制層的系統(tǒng)開銷，大大提高了系統(tǒng)的運行效率。而在信息資源層，則是通過備份機制、事務日志和使用常用加密算法對數據庫中數據進行處理，來保障信息傳輸和存儲的安全。

1.2身份認證層的設計

身份認證層主要包括兩部分:用戶身份認證和用戶注冊信息管理，采用了基于改進的挑戰(zhàn)/應答式動態(tài)口令認證機制。

目前使用比較普遍的是挑戰(zhàn)/應答式動態(tài)口令認證機制，每次認證時服務器端都給客戶端發(fā)送一個不同的“挑戰(zhàn)”字串，客戶端收到這個字串后，作出相應的”應答”。但是，標準的挑戰(zhàn)/應答動態(tài)口令認證機制具有攻擊者截獲隨機數從而假冒服務器和用戶，以及口令以明文形式存放在數據庫中易受攻擊兩個缺點。在本模型采用的改進的挑戰(zhàn)/應答式動態(tài)口令認證機制中，通過1.4節(jié)中論述的敏感數據加密通道對隨機數進行加密傳輸解決了上述第一個問題;通過在客戶端將用戶口令經M DS算法散列運算并保存在服務器端數據庫解決了上述第二個問題，使得服務器在認證時只需要比對客戶端處理后傳來的加密字符串即可。方案的具體流程如下:

1)服務器端口令的保存當用戶在服務器端錄人注冊信息時，將用戶的密碼進行K次M DS散列運算放在數據庫中。

2)用戶請求登錄服務器端開始執(zhí)行口令驗證:當用戶請求登錄服務器時，Web服務器在送出登錄頁面的同時產生一個隨機數并將其通過敏感數據加密傳輸通道發(fā)給客戶端。

3)客戶端M DS口令的生成客戶端首先重復調用與服務器端同樣的MDS運算K次，得到與保存在服務器端數據庫中的口令一致的消息摘要。然后，將從服務器傳來的隨機數與該口令相加后再調用客戶端的M DS散列運算函數，將結果(M DS口令)通過敏感數據加密傳輸通道傳送給服務器。

4)服務器端對MDS口令的驗證服務器端收到客戶端傳來的用戶名和MDS口令后，通過查詢數據庫，將已存儲的經過K次M DS散列運算的口令與隨機數相加后同樣進行M DS散列運算，并比較兩個結果是否相同，如相同則通過驗證，否則拒絕請求。整個用戶口令的生成和驗證過程如圖2所示。

1.3基于RBAC的訪問控制層的設計

訪問控制層主要包括兩部分:權限驗證與授權和資源限制訪問，采用了基于角色的訪問控制機制。在RBAC中引人角色的概念主要是為了分離用戶和訪間權限的直接聯(lián)系，根據組織中不同崗位及其職能，一個角色可以擁有多項權限，可以被賦予多個用戶;而一個權限也可以分配給多個角色。在這里，約束機制對角色和權限分配來說非常重要，本模型設計的約束機制主要包括以下幾方面:一是限制一個角色可以支持的最大用戶容量。如超級管理員這個角色對于應用系統(tǒng)非常重要，只允許授權給一個用戶，該角色的用戶容量就是1。二是設置互斥角色。即不允許將互相排斥的角色授權給同一個用戶。如客戶類的角色和管理員類的角色是互斥的。三是設置互斥功能權限。即不允許將互相排斥的功能權限授權給同一個角色。如客戶類角色查看自己銀行賬戶余額信息的權限與修改自己賬戶余額的權限就是互斥的。

數據庫結構設計是實現RBAC的重要環(huán)節(jié)，良好的數據庫結構設計本身就可以表述RBAC的要求。具體設計如下:

1)用戶信息表(User_info)保存用戶基本信息。其字段有用戶ID ( User ID )、用戶名稱(Username )、密碼(Passw )、用戶類型( Kind )。定義表中的Kind數據項與Role表中Kind數據項具有相同的形式。將用戶進行分類后，當分配給用戶角色時可以指定用戶只能被分派到與其Kind屬性相同的角色，這樣就可以實現角色的互斥約束。

2)角色信息表(Role )、保存各個等級的角色定義信息。其字段有角色ID ( Role_ID )、角色名稱(Rolename )、角色種類( Kind)和角色描述(Role_ Desc ) o Kind數據項代表指定角色集合中的類別。

3)用戶/角色關系信息表(User_Role)保存用戶和角色的對應關系，其字段有用戶ID和角色ID。當向User_Role表中添加數據即給用戶分配角色時，要求User_ info表中要分配角色的用戶數據元組中的Kind數據項與Role表中相應角色的元組Kind數據項相同，以實現一定尺度上的角色互斥，避免用戶被賦予兩個不能同時擁有的角色類型。

4)權限信息表(Permission)保存系統(tǒng)中規(guī)定的對系統(tǒng)信息資源所有操作權限集合。其字段有權限ID ( Per_ID )，操作許可(Per)，資源ID( Pro_ID)和權限描述(Per Desc )。

5)角色/權限信息表(Role_ Per)保存各個角色應擁有權限的集合。其字段有角色ID和權限ID。

6)系統(tǒng)信息資源秘密級別表(SecretLevel)保存規(guī)定的系統(tǒng)信息資源的秘密級別。其字段有資源ID，密級ID ( SecrLev_ID)和密級信息描述(Secr_Desc )。在客戶端和服務器端傳輸數據和存儲的過程中，通過查詢該表可以判斷哪些信息資源為敏感數據，從而決定對其實施相應的安全技術和機制。

7)角色繼承關系表(Role_ Heir)存放表述各種角色之間繼承關系的信息。其字段有角色ID，被繼承角色ID ( H_Role_ID )。角色繼承關系可以是一對一，一對多或多對多的，通過遍歷整個角色繼承關系表，就可以知道所有的角色繼承關系。

8)權限互斤表(MutexPer)保存表述角色對應權限互斥關系的信息，其字段有權限ID和互斥權限ID。

1.4敏感數據加密傳輸通道的設計

設計敏感數據加密傳輸通道的目的是保障敏感信息在傳輸過程中的保密性與完整性。針對中小型企業(yè)網絡應用系統(tǒng)的特點，在充分對比各種數據加密傳輸解決方案的基礎上，從成本和效果兩方面出發(fā)，我們選擇3DES加密算法對敏感數據進行加密。同時又結合了RSA算法對密鑰進行傳輸，從而解決了對稱加密算法缺乏非對稱加密算法}/}/公鑰的安全性這個問題。具體工作流程如下:

1)服務器端由RSA加密算法生成公鑰KSpub和私鑰KSpriv;

2)服務器端將公鑰KSpub傳送給客戶端;

3)客戶端接收公鑰KSpub，然后由3DES加密算法生成對稱密鑰Ksym，用KSpub加密Ksym ;

4)客戶端將加密后的Ksym傳送給服務器端;

5)服務器端用KSpriv解密得到Ksym ;

6)敏感數據加密傳輸通道建立成功，服務器端和客戶端以Ksym作為密鑰對敏感數據加/解密并傳輸。

1.5安全審計部分的設計

本模型中的安全審計記錄內容包括三個方面:一是用戶信息，包括用戶名、用戶IP地址等;二是用戶行為信息，包括用戶訪問系統(tǒng)敏感資源的內容、訪問系統(tǒng)資源的方式等;三是時間信息，包括用戶登錄和注銷的時間、特定行為發(fā)生的時間等。值得注意的是，安全審計跟蹤不僅要記錄一般用戶的行為，同時也要記錄系統(tǒng)管理員的行為。

第7篇：安全審計論文范文

在信息化時代，我們擁有極大的信息系統(tǒng)審計需求市場，信息系統(tǒng)審計已成為審計發(fā)展的新動力和新方向。然而我國信息系統(tǒng)審計的發(fā)展現狀還不能適應時勢的需要，尤其是在推行基于國際性的標準COBIT 上的研究和實踐缺乏。為此，我們應在全面把握我國信息系統(tǒng)存在問題的前提下，采取有效的對策，以適應大規(guī)模的信息化建設的需要。

一、問題的提出信息及相關技術控制目標標準(Control Ob2jectives for Information and related Technology ， CO2BIT) 是美國信息系統(tǒng)審計與控制協(xié)會( InformationSystem Audit and Control Association ， ISACA) 的信息技術治理學會( Information Technology GovernanceInstitute ，ITGI) 基于其原有的控制目標體系，結合并改進現有的正在發(fā)展中的其他國際技術標準和工業(yè)標準而制定的控制目標體系，為IT 的治理、安全與控制提供了一個一般適用的公認標準。自1996 年問世以來，目前已經更新至第四版，是國際上最先進、最權威的安全與信息技術管理和控制的標準，已在全世界100 多個國家的重要組織與企業(yè)中運用，指導這些組織有效利用信息資源，有效管理與信息相關的風險。最新版本COBIT 4. 0 更注重幫助董事會和員工應對不斷增加的職責，包括面向公司董事會和各級管理層適用的指引，由四部分組成，即管理人員概述、框架、核心內容(控制目標、管理方針和成熟模式) 和附錄(圖表、前后參照和術語表) 。核心內容依據34 項IT 流程來劃分，全面介紹了如何控制、管理和測量每個流程。另外，COBIT 4. 0 分析如何將具體的控制目標劃入五項IT 管理領域，以識別潛在缺口; 令COBIT 標準與其他標準( ITIL 、CMM、COSO、PMBOK、ISF 和ISO17799) 協(xié)調一致;闡述關鍵目標指標(key Goal Indicator ，KGI)和關鍵績效指標(key performance indicator ，KPI) 之間的關系，說明KPI 如何推動實現KGI ;結合業(yè)務目標、IT 目標和IT 流程。COBIT 標準不僅為人們提供了信息系統(tǒng)控制目標和IT 標準，而且提供了信息系統(tǒng)的審計指南。它為信息系統(tǒng)審計師提供了較為系統(tǒng)的評估指標，從而規(guī)范信息系統(tǒng)審計師的審計思路，而且它提供的控制矩陣、管理明確診斷表和風險評估表等科學的手段，讓信息系統(tǒng)審計師合理評估審計風險，從而大大降低審計風險，提高審計質量。COBIT 標準對我國開展信息系統(tǒng)審計有很好的啟示和指導作用，我國應大力推行基于COBIT 標準的信息系統(tǒng)審計。

二、我國信息系統(tǒng)審計存在的問題

1. 審計人才缺乏信息系統(tǒng)審計是會計、審計、信息系統(tǒng)、網絡技術與計算機應用的交叉學科。開展信息系統(tǒng)審計，要求審計人員具有復合型的知識結構，既要掌握財會、審計知識，又要掌握信息系統(tǒng)、計算機與網絡技術。但我國現在大部分審計人員并不熟悉計算機是如何進行經濟與會計業(yè)務處理的，不知道計算機處理與網絡技術的運用有什么風險、怎么樣的控制才能有效降低這些風險，也不掌握如何對計算機信息系統(tǒng)進行審計或利用計算機和網絡技術進行審計。計算機技術人員雖然對計算機和網絡技術比較熟悉，但他們又不熟悉會計、審計知識，不知道要審什么、該怎樣審。而開發(fā)實用性和通用性較強的審計軟件所需要的高層次、高水平的人員也很缺乏。

2. 法律法規(guī)不完備在信息化條件下，審計方法、對象、技術都發(fā)生了很大的變化，傳統(tǒng)的審計準則體系、法律法規(guī)體系已不能完全適應、指導和規(guī)范信息系統(tǒng)審計的實踐，而新的關于信息系統(tǒng)審計的程序標準、準則和法律還沒有出臺或并不完備，有些甚至還是完全空白。例如，電子憑證、電子合同、數字簽名等的法律效力和保存要求;數字認證機構的認定及其法律責任;計算機犯罪適用的法律;在信息系統(tǒng)審計中審計機構的權力、責任和被審計單位的義務等。從近年情況看，我國的信息系統(tǒng)審計制度建設工作才剛起步，盡管國務院辦公廳、審計署、注冊會計師協(xié)會等機關和組織頒布或制定了一些準則和規(guī)范，但是，這些準則和規(guī)范還不完善，沒有形成系統(tǒng)性和結構性。不僅缺乏對信息系統(tǒng)開發(fā)和系統(tǒng)功能審計方面的規(guī)范，還比較概括、籠統(tǒng)，沒有相應的實施細則。對信息系統(tǒng)審計尚處于摸索階段的我國審計人員來說，顯然還缺乏具體的指南。

3. 技術水平落后信息技術的高速發(fā)展與廣泛應用使企業(yè)交易事項的大部分內容由系統(tǒng)自動運作完成，人工軌跡遺留較少，傳統(tǒng)審計線索蕩然無存。這就要求信息系統(tǒng)審計必須參與和融入信息系統(tǒng)的設計過程，在執(zhí)行測試時必須穿越信息系統(tǒng)，以確保對連續(xù)監(jiān)督程序和輸出結果的控制。在我國信息系統(tǒng)的設計與開發(fā)中，尚不具備充分的保留和提供審計線索的功能。審計人員完全處于被動地位，難以獲取充足的審計證據支持其審計結論，難以保證信息系統(tǒng)環(huán)境下的審計質量。

三、發(fā)展我國信息系統(tǒng)審計的對策從上述對我國信息系統(tǒng)審計存在的問題的概要分析中，作者認為，響應國際發(fā)展趨勢，在信息系統(tǒng)控制和審計領域推行COBIT 標準無疑具有美好的發(fā)展前景。具體實施時可針對以下幾個方面進行改進。 1. 注重專業(yè)人才的培養(yǎng)COBIT 標準具有系統(tǒng)的和完備的框架體系，它的運用首先定位于信息及其相關技術的控制和管理，因此，它在整體上表現出IT 業(yè)的大量相關技術。這就意味著運用COBIT 標準實施信息系統(tǒng)審計的審計人員應具有復合型的知識結構，既要掌握現代審計理論與實務，又要掌握信息系統(tǒng)、計算機與網絡技術。目前，審計署干部培訓中心開展的注冊信息系統(tǒng)審計師培養(yǎng)及與之相關的在審計人員中進行計算機知識的培訓工作，正是為了適應這一現實需要。在人員培訓上，要求對低層次人員培訓與高層次人才的培養(yǎng)、在職人員的培訓與未來人才的培養(yǎng)進行統(tǒng)籌規(guī)劃。對較高層次的人才培養(yǎng)，重點可放在信息系統(tǒng)的開發(fā)審計、系統(tǒng)的功能或應用程序審計、網絡安全審計和審計軟件的開發(fā)等方面;對未來審計人才的培養(yǎng)，應在高校會計專業(yè)教學計劃中增加IT 和電子商務等內容，不僅要把信息系統(tǒng)審計列為必修課，而且應對這門課的要求或大綱達成共識。審計機構的管理人員也應意識到，信息系統(tǒng)審計人才的培養(yǎng)不僅僅是對審計人員的培養(yǎng)。我們可以培訓審計師成為掌握必要IT 技能的人員，但很難要求他們成為計算機、信息系統(tǒng)和網絡技術方面的專家。因此，審計機構要改變以往由會計師獨唱主角的情況，計算機與網絡專家、信息系統(tǒng)與電子商務專家將在審計組織中擔任越來越重要的角色。審計機構應注意吸收這方面的人才，并進行審計知識和技能培訓，使他們能與會計師良好合作，更好地執(zhí)行信息系統(tǒng)審計任務。

2. 完善審計準則從國際同業(yè)的實踐看，COBIT 標準已經逐步成為通行準則。我國應遵循國際標準或規(guī)范，把COBIT 標準作為核心標準， 同時， 借鑒ISOPIEC17799、ITIL 、PRINCE2、COSO、SOX 法案等其他國際標準和原則，進而確立適合自己的信息系統(tǒng)審計目標、對象、范圍、方法、流程等。進一步完善與信息系統(tǒng)審計有關的法規(guī)和準則，要在法律法規(guī)上，確定審計機構和審計人員有權審查被審計算機的信息系統(tǒng)的功能與安全措施，有權利用網絡和審計軟件進行審計，被審單位應對審計人員的信息系統(tǒng)審計給予積極的協(xié)助。在建設信息系統(tǒng)審計準則體系時，可以借鑒ISACA 的做法，也采用三個層次體系結構，以基本準則為核心，統(tǒng)領具體準則和執(zhí)業(yè)指南，從而使整個準則體系不斷擴展、完善。內容劃分方式可分為審計的權利、義務與責任，審計人員和審計工作三大類，并按這些類別來制定準則。信息系統(tǒng)審計準則作為一個完整的準則體系，各項具體準則要相互依存、相互配合。在準則的制定、上，應當遵循務實原則、接軌原則、配套原則和科學原則。ISACA 的做法是，先規(guī)劃出基本準則的內容，在此基礎上，有計劃、有步驟、按照現實需要出臺各項具體準則、指南和程序。準則采用分項制定，完成一項，一項，實施一項。這有利于信息系統(tǒng)審計準則的全面順利的實施，也有利于信息系統(tǒng)審計人員循序漸進地正確掌握這一系列準則，從而促進信息系統(tǒng)審計準則在實務中迅速發(fā)揮作用。我們在信息系統(tǒng)審計準則的制定、上，可參照ISACA 做法。同時，對國際上已有的成文準則、習慣做法、專業(yè)術語，應當盡可能與國際慣例保持一致，盡量做到與國際慣例接軌。

3. 加強審計方面的IT 技術對于審計領域來說，COBIT 只是一套成文的信息技術控制標準，它只是向信息系統(tǒng)審計人員指明了前進的道路，但究竟如何才能成功通向勝利的彼岸，卻有待審計人員自身去開發(fā)高效快捷的通向目標的方式，尤其是在信息系統(tǒng)審計這樣一個高專業(yè)化、高技術性的審計業(yè)務領域。首先，應注重軟件的開發(fā)，如開發(fā)數據采集軟件，建立一種能夠容易訪問被審計單位不同介質、不同編碼、不同類型的數據庫，以便打通采集信息系統(tǒng)所需原始數據的瓶頸;在軟件的研制方面，還要考慮審計作業(yè)發(fā)展趨勢，如在現有審計軟件基礎上開發(fā)、研制新的適用信息系統(tǒng)審計的分析工具。其次，聯(lián)網審計的加強，它是方便快捷地運用COBIT 標準的有力舉措。這種審計方式成功實現的關鍵是被審計單位的信息系統(tǒng)提供標準化的審計接口，因此，信息化的管理部門和審計部門應加強宣傳，提倡甚至是嚴令監(jiān)督企業(yè)提供數據接口，以便聯(lián)網審計的展開。最后，就是專家系統(tǒng)的構建，它能將基于COBIT 標準的成功案例進行積累和專業(yè)化，更好地為我們的信息系統(tǒng)審計工作服務。放眼未來之路，如何借鑒COBIT 標準開展適應國際趨勢的而又探索有中國特色的信息系統(tǒng)審計道路，需要新時代的審計人員的不懈努力。我們只有充分認識存在的問題的基礎上，才能有針對性地改進。中國審計人員將以倍增的熱情，迎接新技術革命的挑戰(zhàn)，充滿豪情地投入到審計技術創(chuàng)新的洪流中。

[參考文獻]

[1 ]李　丹. 信息系統(tǒng)審計———傳統(tǒng)審計的一場革命[J ] .中國審計，2002 (1) :57 - 58.

[2 ] 錢　艷. 信息系統(tǒng)審計———網絡架構、測試與評價[D] . 重慶大學碩士學位論文，2003.

[3 ]管亞梅. 信息系統(tǒng)審計———一種全新的審計模式的構建思路[J ] . 科技進步與對策，2005 (12) :78 - 80.

[4 ]陳婉玲，楊文杰. ISACA 信息系統(tǒng)管理準則及其啟示[J ] . 審計研究，2006 (增刊) .

[5 ]董　霞. 會計信息系統(tǒng)審計研究[D] . 天津財經大學碩士學位論文，2006.

第8篇：安全審計論文范文

論文摘要：隨著當代信息技術的發(fā)展，互聯(lián)網的共享性、開放性以及互聯(lián)程度也在不斷擴大。internet的廣泛普及，商業(yè)數字貨幣、網絡銀行等一部分網絡新業(yè)務的迅速興起，使得計算機網絡的安全問題越來越顯得重要，通過歸納總結，提出網絡信息中的一些安全防護策略。

1．引言

網絡環(huán)境的復雜性、多變性以及信息系統(tǒng)的脆弱性，決定了網絡安全威脅的客觀存在。當前，隨著計算機技術的飛速發(fā)展，利用因特網高科技手段進行經濟商業(yè)犯罪的現象已經屢見不鮮了，因此，如何采用更加安全的數據保護及加密技術，成為當前計算機工作者的研究熱點與重點。網絡安全技術，尤其是網絡信息的安全，關系到網民、企業(yè)甚至是國家的信息安全。因此，發(fā)展更加安全的網絡安全技術，是關系到社會經濟穩(wěn)定繁榮發(fā)展的關鍵，成為當前計算機安全工作的重點。

2．網絡信息安全的風險來源

影響計算機網絡安全的因索很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結起來豐要以下幾個方面：

(1)病毒感染

從“蠕蟲”病毒開始到cih、愛蟲病毒，病毒一直是計算機系統(tǒng)安全最直接的威脅。病毒依靠網絡迅速傳播，它很容易地通過服務器以軟件下載、郵件接收等方式進入網絡，竊取網絡信息，造成很人的損失。

(2)來自網絡外部的攻擊

這是指來自局域網外部的惡意攻擊，例如：有選擇地破壞網絡信息的有效性和完整性；偽裝為合法用戶進入網絡并占用大量資源；修改網絡數據、竊取、破譯機密信息、破壞軟件執(zhí)行；在中間站點攔截和讀取絕密信息等。

（3)來自網絡內部的攻擊

在局域網內部，一些非法用戶冒用合法用戶的口令以合法身份登陸網站后。竊取機密信息，破壞信息內容，造成應用系統(tǒng)無法運行。

（4)系統(tǒng)的漏洞及“后門”

操作系統(tǒng)及網絡軟件不可能是百分之百的無缺陷、無漏洞的。編程人員有時會在軟件中留有漏洞。一旦這個疏漏被不法分子所知，就會借這個薄弱環(huán)節(jié)對整個網絡系統(tǒng)進行攻擊，大部分的黑客入侵網絡事件就是由系統(tǒng)的“漏洞” 和“后門”所造成的。

3．網絡信息安全的防護策略

現在網絡信息安全的防護措施必不可少。從技術上來說，計算機網絡安全主要由防病毒、入侵檢測等多個安全組件組成，就此對我們常用的幾項防護技術分別進行分析。

3．1防火墻技術

防火墻(ifrewal1)是指設置在不同網絡或網絡安全域之間的系列部件的組合，它越來越多地應用于專用網絡與公用網絡的互聯(lián)環(huán)境之中，尤其以接入internet網絡為甚。不同網絡或網絡安拿域之間信息都會經過它的過濾，防火墻就會根據自身的安全政策控制(允許、拒絕、監(jiān)測)出入網絡的信息流，而且它本身也具有較強的抗攻擊能力，不會被病毒控制。防火墻可以阻j網絡中的黑客來訪問你的機器，防止他們篡改、拷貝、毀壞你的重要信息。它為網絡信息的安全提供了很好的服務，為我們更安全地使用網絡提供了很好的保障。

“防火墻”技術是指假設被保護網絡具有明確定義的邊界和服務而采取的一種安全保障技術，它通過監(jiān)測、限制和更改通過“防火墻”的數據流，一方面盡可能地對外部網絡屏蔽被保護網絡的信息、結構，實現對內部網絡的保護，以防“人放火”；另一方面對內屏蔽外部某些危險站點，防止“引火燒身”。因而，比較適合于相對獨立、與外部網絡互聯(lián)單一、明確并且網絡服務種類相對集中的統(tǒng)一互聯(lián)網絡系統(tǒng)。防火墻可對網絡存取和訪問進行監(jiān)控審計，如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統(tǒng)計數據。

通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用，有的防火墻還支持具有internet服務特性的企業(yè)內部網絡技術體系vpn。vpn，可以將分部在世界各地的lan或專用電子網有機地聯(lián)成一個整體。這樣一方面省去了專用通信線路，也達到了信息共享的目的。

3．2數據加密技術

數據加密技術是網絡中最藎木的安傘技術，主要是通過對網絡傳輸的信息進行數據加密來保障其安全性。加密是對網絡上傳輸數據的訪問權加強限制的一種技術。原始數據(也稱為明文，plaintext)被加密設備(硬件或軟件)和密鑰加密而產生的經過編碼的數據稱為密文(ciphertext)。解密是加密的反向處理，是將密文還原為原始明文，但解秘者必須利用相同類型的加密設備和密鑰，才能對密文進行解密。

3．3入侵檢測技術

入侵檢測系統(tǒng)(intrusiondetectionsystem，ids)是從多種計算機系統(tǒng)及網絡系統(tǒng)中收集信息，再通過這些信息分析，對計算機和網絡資源的惡意使用行為進行識別的網絡信息安全系統(tǒng)。入侵檢測系統(tǒng)具有多方面的功能：威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持等。入侵檢測技術是為保證計算機信息系統(tǒng)安全而設計與配置的一種能夠及時發(fā)現并報告系統(tǒng)中朱授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

3．4病毒防護

可采用如下的方法或措施：

(1)合理設置殺毒軟什，如果安裝的殺毒軟什具備掃描電郵件的功能，盡量將這些功能傘部打開；

（2)定期檢查敏感文件；

(3)采取必要的病毒檢測和監(jiān)控措施；

(4)對新購的硬盤、軟盤、軟件等資源，使用前應先用病毒測試軟件檢查已知病毒，硬盤可以使用低級格式化(dos中的format格式化可以去抻軟盤中的病毒，但不能清除硬盤引導的病毒)；

（5)慎重對待郵件附件，如果收到郵件中有可執(zhí)行文件(如．exe、．com等)或者帶有“宏”的文殺一遍，確認沒有病毒后再打開；

（6)及時升級郵件程序和操作系統(tǒng)，以修補所有已知的安全漏洞。

3．5身份認證技術

身份認證(authentication)是系統(tǒng)核查用戶身份證明的過程，其實質是查明用戶是否具仃它所請求資源的存儲使用權。身份識別(identificaiion)是指用戶向系統(tǒng)出示自己的身份證明的過程。這兩項上作通常被稱為身份認證。

身份認證至少應包括驗證協(xié)議和授權協(xié)議。網絡中的各種應用和計算機系統(tǒng)都需要通過身份認證來確認合法性，然后確定它的個人數據和特定權限。對于身份認證系統(tǒng)來說，合法用戶的身份是否易于被別人冒充足它最重要的技術指標。用戶身份被冒充不儀可能損害用戶自身的利益，也可能損害其他用戶的利益或整個系統(tǒng)。因此，身份認證是授權控制的基礎。只有有效的身份認證，才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。

安裝必要的安全軟件，殺毒軟件和防火墻這些都是必備的，而且還要安裝并使用必要的防黑軟件。我們一定要把這些安全防護措施及時應在電腦中，在上網時一定要打開它們。最后要及時給系統(tǒng)打補丁，建議人家下載自己的操作系統(tǒng)對應的補丁程序，這是我們網絡安全的恭礎。

第9篇：安全審計論文范文

【關鍵詞】內部審計；信息化環(huán)境；審計技能；觀念意識

一、現代內部審計的涵義

來自國家內部審計協(xié)會（CIIA）《內部審計基本準則》的定義：“內部審計是組織內部的一種獨立客觀的監(jiān)督和評價活動，它通過審計和評價經營活動及內部控制的適當性、合法性和效益性來促使目標的實現。”來自國家審計署《關于加強內部審計工作的規(guī)定》的定義：“內部審計是獨立監(jiān)督和評價本單位及所屬單位財政收支、財務收支、經濟活動的真實、合法效益的行為，以促進加強經濟管理和實現經濟目標。”來自國際內部審計師協(xié)會（IIA）《內部審計專業(yè)實務標準》的定義：“內部審計是一種獨立、客觀的確認和咨詢活動，旨在增加價值和改善組織的運營。它通過系統(tǒng)、規(guī)范的方法，評價并改善風險管理、控制和治理過程成的效果，幫助組織實現其目標。

該定義以幫助組織增加價值為目標，以關注組織風險為主線，以組織的風險管理、內部控制和組織治理為內部審計業(yè)務的三大領域。這表明內部審計的職能是站在組織整體利益的立場上，發(fā)揮增加組織價值和提高組織效率的作用。

二、現代內部審計的特點

現代企業(yè)的內部審計已經不僅僅是事后的傳統(tǒng)意義上的財務審計，其職能也不僅僅是提供保證服務；而是向事中審計、事后審計發(fā)展，其職能更側重于監(jiān)督、評價和咨詢。并且，高質量的企業(yè)內部審計總是把經營審計放在財務審計之上。

根據《內部審計專業(yè)實務標準》所體現的觀點，“內部審計是一種獨立、客觀的保證與咨詢活動，目的是為機構增加價值并提高機構的運作效率。它采取系統(tǒng)化、規(guī)范化的方法來對風險管理、控制及治理程序進行評估和改善，從而幫助機構實現其目標。”內部審計是管理審計，它具有以下幾個特點：

1.內部審計是一種獨立、客觀的保證與咨詢活動。

2.內部審計服務于企業(yè)整體價值的提高，具有增值作用。

3.內部審計遵循成本與效益原則。

4.內部審計的內容具有廣泛性和全面性。

內部審計的內容涉及企業(yè)經營管理的方方面面，按業(yè)務內容可將其分為：經營審計、績效審計、質量審計、合同審計、安全審計、保密審計、財務審計、IT信息系統(tǒng)審計、合規(guī)性審計、經濟責任審計等。正是因為內部審計具有上述的廣泛性和全面性的特點，所以內部審計人員作為一個集體應該具備開展審計業(yè)務所需的知識技能、邏輯思維能力、分析判斷能力和其他能力；如果內部審計人缺乏從事工作所需要的知識或經驗，可以通過職業(yè)培訓、后續(xù)教育，或通過實踐鍛煉得以提升。

三、“十二五”審計發(fā)展規(guī)劃提出的信息化要求

加大對國家信息化建設情況的審計力度，建立和完善電子審計體系；深入總結審計實踐經驗，創(chuàng)新審計方式和方法，不斷探索符合我國發(fā)展實際的審計方式和方法。

以數字化為基礎，創(chuàng)新計算機審計的形式和內容，總結推廣數字化審計模式，探索形成適應信息化環(huán)境的審計方式。大力推進電子審計體系建設，努力提高審計工作的信息化水平，不斷完善以審計業(yè)務信息化和審計管理數字化為主要內容的審計信息化系統(tǒng)。

提高審計業(yè)務信息化水平。完善并推廣現場審計實施系統(tǒng)，積極開展信息系統(tǒng)審計；組織開展對重要單位的聯(lián)網審計；積極探索統(tǒng)一組織項目、聯(lián)網跟蹤等審計組織方式。提高審計管理數字化水平，創(chuàng)新信息化環(huán)境下的審計管理方式。

整合審計資源，實現聯(lián)互通、資源共享，促進審計業(yè)務協(xié)同，提升審計資源的配置效率。發(fā)揮內部審計與外部審計的協(xié)調的作用，統(tǒng)籌安排相關審計工。

四、信息化與審計人員應具備的新技能

信息化數據處理環(huán)境下，審計對象的經濟業(yè)務運作方式、控制措施及作為審計線索和審計證據的財務、非財務數據，要求審計人員不僅要有審計方面的專業(yè)知識，還應具備信息化數據處理方面的知識。為適應信息化環(huán)境的需要，應當培養(yǎng)復合型審計人才。通常，現代審計人員應具備以下能力：

一是全面運用信息系統(tǒng)辦公的能力。特別是能掌握應當掌握常用的財務軟件，如：用友財務軟件、金蝶財務軟件等，打開被審計單位數據庫；能把數據下載到審計人員的計算機，并轉換成為審計人員可閱讀的數據格式。

二是精通使用審計業(yè)務軟件能力。審計人員應掌握通用軟件或專用審計業(yè)務軟件進行數據采集、數據處理、數據分析能力。

三是運用聯(lián)網審計能力，審計人員應具備在審計現場搭建聯(lián)網審計平臺、實現資源共享和網絡化審計、應用信息化手段對資金實現過程化的相對實時的監(jiān)控能力，并能發(fā)現和排除常見的軟件、硬件故障。

四是開展信息系統(tǒng)審計的能力。培養(yǎng)審計人員懂得信息系統(tǒng)審計程序、信息技術治理、系統(tǒng)和基礎建設生命周期管理、IT服務支持、信息資產的保護、災難恢復和業(yè)務持續(xù)能力。

信息化環(huán)境下，業(yè)務處理過程包括了人員手工處理、計算機系統(tǒng)處理、人與計算機進行交互處理，內部控制的重點變成了人及其處理的業(yè)務、人機交互處理過程、計算機系統(tǒng)業(yè)務處理過程和不同系統(tǒng)之間的傳遞過程，內部控制的重點和環(huán)節(jié)發(fā)生了很大變化。對信息系統(tǒng)的審計，應做到一般控制審查和應用控制審查相結合；只有對系統(tǒng)的內部控制實施審計，才能了解內部控制運行狀況并確定后續(xù)實質性測試的重點和審計程序的范圍。

五、新時期審計人員應具有的新意識或新觀念

一是樹立服務理念。服務是內部審計人員的職責，內部審計人員應當始終樹立服務理念，當好領導決策的參謀和助手，發(fā)揮建設性作用。