公務(wù)員期刊網(wǎng) 精選范文 安全審計制度范文

安全審計制度精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全審計制度主題范文,僅供參考,歡迎閱讀并收藏。

安全審計制度

第1篇:安全審計制度范文

通過對各縣區(qū)建立社會保障基金監(jiān)督體系,開展社會保障基金監(jiān)督工作,使用社會保險基金管理,開展內(nèi)部審計工作和建設(shè)監(jiān)督機構(gòu)隊伍,以維護社?;鸬陌踩驼_\營。

關(guān)鍵詞:

社?;?;內(nèi)部審計;監(jiān)督體系

中圖分類號:C91

文獻標(biāo)識碼:A

文章編號:16723198(2012)24005501

近兩年來,隨著一些地方暴露出來的在基金管理工作中出現(xiàn)的管理不規(guī)范、監(jiān)督不到位及挪用社會保險基金的問題,社會保險基金的監(jiān)督管理成為社會各界關(guān)注的焦點。因此,完善社會保險基金監(jiān)督體系,從不同層次、不同方面對社會保險基金的運營實施有效監(jiān)督,已經(jīng)成為當(dāng)前社會保險基金監(jiān)督工作面臨的艱巨任務(wù)。

1確立政府在基金監(jiān)督中的地位和職責(zé),對社保基金進行全過程的監(jiān)督管理

社會保險基金的監(jiān)管工作是政府履行社會保障義務(wù)和責(zé)任的重要方面,是涉及到民生民計、經(jīng)濟發(fā)展與社會穩(wěn)定的大事,必須運用政府行政和法律的手段,維護社會保障體系的正常運轉(zhuǎn)。此外,當(dāng)前社?;鹆鞒?,已從單一部門的管理逐步發(fā)展為勞動保障、稅務(wù)、財政、銀行等部門和社會服務(wù)機構(gòu)多家參與的格局,基金監(jiān)管已經(jīng)不是靠某個部門的內(nèi)部監(jiān)督所能夠完成,必須由政府組織相關(guān)部門進行統(tǒng)一監(jiān)管。

2堅持行政監(jiān)督、社會監(jiān)督和內(nèi)部監(jiān)督相結(jié)合,確保社會保險基金安全

通過社會保險基金監(jiān)督三種手段的綜合運用,盡可能發(fā)揮行政監(jiān)督的權(quán)威性,社會監(jiān)督的廣泛性,內(nèi)部監(jiān)督的及時性優(yōu)勢。

(1)行政監(jiān)督。社會保障部門作為社保工作的主管部門,應(yīng)當(dāng)主動承擔(dān)起基金監(jiān)管責(zé)任,保證基金安全。在基金監(jiān)督工作中,努力當(dāng)好主角,積極爭取有關(guān)部門的配合和支持的同時,配合社會保險經(jīng)辦機構(gòu)做好工作。特別是社會保險基金監(jiān)督管理中,各級社會保障部門在方案的制定、組織清收、部門配合、溝通協(xié)調(diào)等方面發(fā)揮了主導(dǎo)作用,在財政、審計等部門的支持和配合下,工作開展順利。行政監(jiān)督應(yīng)從以下幾方面得到加強。一是社會保險經(jīng)辦機構(gòu)的監(jiān)督和指導(dǎo)。通過對社會保險經(jīng)辦機構(gòu)的監(jiān)督檢查,要分析存在問題的原因及發(fā)出整改意見書,督促和指導(dǎo)社會保險經(jīng)辦機構(gòu)完善內(nèi)部控制制度,規(guī)范基金內(nèi)部管理。二是信息網(wǎng)絡(luò)監(jiān)督。在“金保工程”信息網(wǎng)建成后,及時圍繞加強和改進基金監(jiān)管方式,建立新的基金風(fēng)險控制和防范機制為目標(biāo),在市社會保障行政部門設(shè)立社?;鸨O(jiān)管工作平臺,初步實現(xiàn)了對社?;鸬呢攧?wù)監(jiān)管。三是基金的預(yù)決算管理工作。社會保障基金預(yù)、決算工作是社會保險基金監(jiān)督的一項重要內(nèi)容,是真實反映社會保障事業(yè)發(fā)展計劃落實情況和社?;鹗褂们闆r的重要標(biāo)尺。它實現(xiàn)了數(shù)據(jù)一致,提高了數(shù)據(jù)質(zhì)量,為查找問題、分析問題提供了有效手段,為科學(xué)決策提供了有力依據(jù)。四是建立聯(lián)系制度。定期、不定期組織召開社會保險經(jīng)辦機構(gòu)的基金監(jiān)管工作調(diào)度會,掌握經(jīng)辦機構(gòu)在管理上的難點和需要盡快解決的問題,提出解決辦法和規(guī)范管理的可行措施,使基金管理更加規(guī)范。五是行政基金監(jiān)督方式要從內(nèi)部監(jiān)管向政策制度監(jiān)管轉(zhuǎn)變。從實踐來看,沒有明確的政策和規(guī)范的制度,具體的職能部門是無法履行監(jiān)督職能,難以開展監(jiān)管工作的。只有以制度來規(guī)范監(jiān)督行為,才是最根本、最可靠的辦法。因此,行政監(jiān)督部門就擔(dān)負(fù)著國家、省、市出臺的各項社會保險基金監(jiān)督方面的法津法規(guī)和規(guī)章制度的貫徹和落實工作。

(2)社會監(jiān)督。結(jié)合政務(wù)公開工作,建立舉報制度。一是開通電話、信箱、網(wǎng)絡(luò)投訴渠道等措施,為群眾參與監(jiān)督提供方便。二是對社會保險繳費基數(shù)、職工退休審批、職工特殊醫(yī)療門診審批、職工工傷鑒定等實行公示制度,讓廣大參保職工參與社會保險基金監(jiān)督工作,對企業(yè)、職工及社保工作人員起到有效制約作用,規(guī)范了社會保險行為,拓寬了監(jiān)督的信息渠道。

(3)內(nèi)部監(jiān)督。內(nèi)部監(jiān)督是基礎(chǔ),人力資源和社會保障行政部門加強內(nèi)部審計和監(jiān)督檢查,社會保險經(jīng)辦的內(nèi)部控制制度是基金監(jiān)管的關(guān)鍵環(huán)節(jié)。需建立一整套運作規(guī)范化、管理科學(xué)化、稽核檢查制度化、考評標(biāo)準(zhǔn)化的內(nèi)部監(jiān)督機制,通過建立和實施內(nèi)部監(jiān)督機制來完善社會保險基金監(jiān)督體系。

3加強行政權(quán)力公開透明、制度建設(shè)和過程控制,建立基金監(jiān)督長效機制

要按照 “三用”工作思路,在基金監(jiān)管的內(nèi)容和結(jié)構(gòu)等方面構(gòu)建完善的制度體系,從制度上解決如何監(jiān)督基金的管理使用。一是用制度來推動基金監(jiān)督工作。用制度來規(guī)范和推動基金監(jiān)督工作,使工作有序運行,一直是我們工作的重點,建立目標(biāo)考核責(zé)任、社保基金“零違紀(jì)”、“五保合一”的基金監(jiān)督、內(nèi)部控制等項制度來推動基金監(jiān)督工作。二是用制度來規(guī)范基金管理使用。從基金入口、中間流動到基金出口的各環(huán)節(jié),制定了更具操作性的基金管理使用辦法。保證了基金征收最大化、待遇審核規(guī)范化、管理使用制度化、定期報告長效化。三是用制度來保障實施監(jiān)督權(quán)和再監(jiān)督權(quán)。社會保障部門主管社會保險基金監(jiān)督工作,監(jiān)督委員會對基金監(jiān)督者實施再監(jiān)督,這為社保基金又上了一層“安全鎖”,確保監(jiān)督權(quán)和再監(jiān)督權(quán)的正確行使,避免出現(xiàn)“不作為”、“亂作為”的現(xiàn)象。

加強過程控制,突出程序監(jiān)督,規(guī)范權(quán)力運行“軌跡”,讓權(quán)力在事先設(shè)定的、規(guī)范的軌道內(nèi)合法合規(guī)的運行。并在實踐中不斷完善和提高,建立長效機制。采取專項抽查、定期檢查和不定期暗訪的形式強化督導(dǎo),對重點部門、崗位、人員加強監(jiān)督,提前介入、直接參與、全程跟蹤。

第2篇:安全審計制度范文

【關(guān)鍵詞】建筑深基坑工程施工;質(zhì)量安全;監(jiān)督管理

建筑深基坑工程包括巖土工程勘察、圍護結(jié)構(gòu)設(shè)計、圍護結(jié)構(gòu)施工與拆除、地下水控制、基坑監(jiān)測、土方挖填等內(nèi)容,是一項綜合性很強的系統(tǒng)工程,專業(yè)技術(shù)的要求非常高?;又ёo體系是臨時結(jié)構(gòu),在工程施工完成后就不再需要,施工單位應(yīng)及時進行地下結(jié)構(gòu)工程的施工,并在基坑圍護結(jié)構(gòu)有效時限內(nèi)和主體結(jié)構(gòu)滿足抗浮要求時,及時進行基坑回填工作,嚴(yán)禁基坑長時間暴露。以下就建筑深基坑工程施工質(zhì)量安全監(jiān)督管理進行探討,旨在提高建筑工程施工的質(zhì)量安全。

一、建筑深基坑工程施工發(fā)生質(zhì)量安全事故的原因

1.支護體系存在設(shè)計缺陷或施工缺陷引起支護體系失穩(wěn)。這類情況的發(fā)生,主要是由設(shè)計方案不當(dāng)或施工方法欠缺等引起的。

2.由土體失穩(wěn)而破壞支護體系引起基坑失穩(wěn)。這類情況的發(fā)生,主要是由開挖土坡過大、基坑外側(cè)超載等引起的。

3.由于圍護體系滲漏水,導(dǎo)致水土流失,由水引起對周圍環(huán)境破壞或基坑失穩(wěn)。這類情況的發(fā)生,主要是圍護體系施工存在質(zhì)量問題引起漏水造成。

4.由于基坑隆起過大失穩(wěn)。主要原因有圍護墻深度不夠,承壓水降水沒達到要求等。當(dāng)然基坑失穩(wěn)可能是由以下幾點多方面共同造成的,亦有可能是其中某一單項引起的,最終結(jié)果均會引起土體失穩(wěn)。

二、加強建筑深基坑工程施工質(zhì)量安全監(jiān)督管理的措施

1.了解施工場地的環(huán)境。建筑深基坑一般指開挖深度大于5m的基坑。建筑深基坑工程施工前,應(yīng)了解建筑場地及周邊、地表至支護結(jié)構(gòu)底面下一定深度范圍內(nèi)地層結(jié)構(gòu)、巖土性狀、含水層性質(zhì)、地下水位、滲透系數(shù)等;了解建筑場地及其附近的地下管線、地下埋設(shè)物的位置、深度、結(jié)構(gòu)形式及埋設(shè)時間等。對已有鄰近建筑的建筑深基坑工程施工,應(yīng)熟悉已存鄰近建筑的位置、層數(shù)、高度、結(jié)構(gòu)類型、基礎(chǔ)類型,此外,也應(yīng)掌握建筑深基坑工程施工的其他條件,如基坑周圍的地面排水情況,地面雨水、流水、上下水管線排人或漏人基坑的可能性以及基坑附近的地面堆載及大型車輛的動、靜荷載。

2.科學(xué)編制建筑深基坑工程施工方案。施工方案是搞好一切工程的先決條件,它包括建筑深基坑工程設(shè)計,主要有支護設(shè)計、降水或截水設(shè)計、土方開挖設(shè)計和監(jiān)測設(shè)計。支護設(shè)計主要滿足邊坡和支護結(jié)構(gòu)穩(wěn)定的要求,既不產(chǎn)生傾覆、滑移、整體或局部失穩(wěn),基坑底部不產(chǎn)生隆起、管涌,錨桿部位不致抗拔失效,同時必須滿足水平位移和地基沉降不超過允許值,支護結(jié)構(gòu)構(gòu)件本身受荷后不致彎曲折斷,剪斷和壓彎。基坑支護常用的幾種方法有坡率法、排樁支護、鋼板樁支護、地下連墻支護、土釘墻支護、深層攪拌支護等。降水設(shè)計應(yīng)控制由降水引起的地基沉降不致對鄰近的重要管線產(chǎn)生過量沉降,影響其正常使用或危及其安全;地下水控制常用的幾種方法有明溝排水、電滲降水、輕型井點降水、管井降水等。截水帷幕應(yīng)控制不致因滲漏而引起水土流失和過大的變形。常用的方法主要有高壓噴射注漿、深層攪拌;土方開挖設(shè)計應(yīng)滿足分層、分段、對稱、平衡、適時的原則,確保土方開挖安全、運輸合理;根據(jù)施工方案,施工前應(yīng)作好設(shè)計交底,針對建筑深基坑工程施工的施工工藝和作業(yè)條件,制定措施得力、針對性強、合理全面的施工方案。施工方案應(yīng)充分認(rèn)識建筑深基坑工程施工的難點、重點和施工工藝的特點,質(zhì)量安全控制目標(biāo)恰當(dāng),保證措施到位,施工組織合理,檢驗監(jiān)測嚴(yán)謹(jǐn)。對不同的基坑支護方式,施工的難點和要點有所不同,但總體要求基本一致。一是對施工工藝要熟悉,掌握基本的施工參數(shù);二是要掌握主要施工機械及配套設(shè)備的技術(shù)性能;三是對水泥、砂石、鋼筋、錨桿、鋼板樁等原材料及其制品進行質(zhì)量檢驗,并保證施工質(zhì)量。四是根據(jù)場地特點和不同的施工階段,采取合適的降水或截水措施。五是土方開挖應(yīng)分層分段進行,控制挖土進度;六是對雨季施工既要注意排除地面雨水倒流人基坑,又要注意雨季水的滲入,土體強度降低,土壓力加大造成基坑邊坡坍塌事故。

3.嚴(yán)格按施工方案組織施工?;犹氖鹿拾l(fā)生主要原因有兩大類,第一類對建筑深基坑工程施工難度認(rèn)識不足,認(rèn)為不需要進行專項的建筑深基坑支護設(shè)計,按常規(guī)建筑工程組織施工造成的。第二類是未按施工組織設(shè)計或施工方案組織施工造成的。隨著人們對建筑深基坑工程施工復(fù)雜性認(rèn)識的不斷提高,第一類事故正在不斷下降,但第二類事故時有發(fā)生,主要表現(xiàn)在以下幾個方面:第一是未按設(shè)計組織施工,因施工質(zhì)量原因造成支護結(jié)構(gòu)垮塌;第二是未按施工組織設(shè)計或施工方案組織施工,特別是對有內(nèi)支撐的基坑施工,一般順做時能做到隨挖隨撐,但對斷面不大,開挖深度不大,從下往上做結(jié)構(gòu),有的施工人員貪快求“方便”,不是隨做隨拆,而是先拆后做,釀成塌方事故;二是土方開挖時,未進行有效監(jiān)測或未根據(jù)監(jiān)測結(jié)果指導(dǎo)施工,造成挖土過快或超挖引起土體失穩(wěn)或基底涌土等,或土方開挖方式不對,甚至有“掏挖”現(xiàn)象;三是坑邊堆置土方或其他材料、設(shè)備等,甚至有大型車輛的須嚴(yán)格按設(shè)計和施工方案執(zhí)行,即不能偷工減料,也不能違章施工。

4.建立和完善應(yīng)急救援預(yù)案。建筑深基坑工程施工具有一定的危險性,針對建筑深基坑工程施工的特點,施工單位應(yīng)當(dāng)建立和完善應(yīng)急救援預(yù)案,防止突發(fā)事故的發(fā)生,做到有所防備,有所準(zhǔn)備。

結(jié)束語:

綜上所述,建筑深基坑工程是一個系統(tǒng)性的綜合工程,如何在建筑深基坑工程施工過程中加強控制、降低風(fēng)險,做好質(zhì)量安全監(jiān)督管理對于建筑企業(yè)來說意義重大。

參考文獻

第3篇:安全審計制度范文

1 利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或帳號,冒充合法用戶作案,篡改磁性介質(zhì)記錄竊取資產(chǎn)。

2 利用網(wǎng)絡(luò)遠距離竊取的商業(yè)秘密以換取錢財,或利用網(wǎng)絡(luò)傳播計算機病毒以破壞企業(yè)的信息系統(tǒng)。

3 建立在計算機網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無紙化”,越來越多的業(yè)務(wù)的原始記錄以電子憑證的方式

存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結(jié)算單及其它帳單,就有可能將公私財產(chǎn)的所有權(quán)進行轉(zhuǎn)移。

計算機網(wǎng)絡(luò)帶來會計系統(tǒng)的開放與數(shù)據(jù)共享,而開放與共享的基礎(chǔ)則是安全。企業(yè)一方面通過網(wǎng)絡(luò)開放自己,向全世界推銷自己的形象和產(chǎn)品,實現(xiàn)電子貿(mào)易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財務(wù)秘密,而其中已實現(xiàn)了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創(chuàng)造一個安全的環(huán)境,抵抗來自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開放的放開共享,該封閉的要讓黑客無奈。

一、網(wǎng)絡(luò)安全審計及基本要素

安全審計是一個新概念,它指由專業(yè)審計人員根據(jù)有關(guān)的法規(guī)、財產(chǎn)所有者的委托和管理當(dāng)局的授權(quán),對計算機網(wǎng)絡(luò)環(huán)境下的有關(guān)活動或行為進行系統(tǒng)的、獨立的檢查驗證,并作出相應(yīng)評價。

沒有網(wǎng)絡(luò)安全,就沒有網(wǎng)絡(luò)世界。任何一個建立網(wǎng)絡(luò)環(huán)境計算機會計系統(tǒng)的機構(gòu),都會對系統(tǒng)的安全提出要求,在運行和維護中也都會從自己的角度對安全作出安排。那么系統(tǒng)是否安全了呢?這是一般人心中無數(shù)也最不放心的。應(yīng)該肯定,一個系統(tǒng)運行的安全與否,不能單從雙方當(dāng)事人的判斷作出結(jié)論,而必須由第三方的專業(yè)審計人員通過審計作出評價。因為安全審計人員不但具有專門的安全知識,而且具有豐富的安全審計經(jīng)驗,只有他們才能作出客觀、公正、公平和中立的評價。

安全審計涉及四個基本要素:控制目標(biāo)、安全漏洞、控制措施和控制測試。其中,控制目標(biāo)是指企業(yè)根據(jù)具體的計算機應(yīng)用,結(jié)合單位實際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易擾或破壞的地方??刂拼胧┦侵钙髽I(yè)為實現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)、配置及各種規(guī)范制度??刂茰y試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進行一致性比較,確定各項控制措施是否存在、是否得到執(zhí)行、對漏洞的防范是否有效,評價企業(yè)安全措施的可依賴程度。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業(yè)技術(shù)知識與技能。

安全審計是審計的一個組成部分。由于計算機網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國家安危,更涉及到企業(yè)的經(jīng)濟利益。因此,我們認(rèn)為必須迅速建立起國家、、企業(yè)三位一體的安全審計體系。其中,國家安全審計機關(guān)應(yīng)依據(jù)國家法律,特別是針對計算機網(wǎng)絡(luò)本身的各種安全技術(shù)要求,對廣域網(wǎng)上企業(yè)的信息安全實施年審制。另外,應(yīng)該社會中介機構(gòu),對計算機網(wǎng)絡(luò)環(huán)境的安全提供審計服務(wù),它與會計師事務(wù)所、律師事務(wù)所一樣,是社會對企業(yè)的計算機網(wǎng)絡(luò)系統(tǒng)的安全作出評價的機構(gòu)。當(dāng)企業(yè)管理當(dāng)局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來的潛在損失時,他們需要通過中介機構(gòu)對安全性作出檢查和評價。此外財政、財務(wù)審計也離不開網(wǎng)絡(luò)安全專家,他們對網(wǎng)絡(luò)的安全控制作出評價,幫助注冊會計師對相應(yīng)的信息處理系統(tǒng)所披露信息的真實性、可靠性作出正確判斷。

二、網(wǎng)絡(luò)安全審計的程序

安全審計程序是安全監(jiān)督活動的具體規(guī)程,它規(guī)定安全審計工作的具體、時間安排、具體的審計方法和手段。與其它審計一樣,安全審計主要包括三個階段:審計準(zhǔn)備階段、實施階段以及終結(jié)階段。

安全審計準(zhǔn)備階段需要了解審計對象的具體情況、安全目標(biāo)、企業(yè)的制度、結(jié)構(gòu)、一般控制和應(yīng)用控制情況,并對安全審計工作制訂出具體的工作計劃。在這一階段,審計人員應(yīng)重點確定審計對象的安全要求、審計重點、可能的漏洞及減少漏洞的各種控制措施。

1 了解企業(yè)網(wǎng)絡(luò)的基本情況。例如,應(yīng)該了解企業(yè)內(nèi)部網(wǎng)的類型、局域網(wǎng)之間是否設(shè)置了單向存取限制、企業(yè)網(wǎng)與Internet的聯(lián)接方式、是否建立了虛擬專用網(wǎng)(VPN)?

2 了解企業(yè)的安全控制目標(biāo)。安全控制目標(biāo)一般包括三個方面:第一,保證系統(tǒng)的運轉(zhuǎn)正常,數(shù)據(jù)的可靠完整;第二,保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力;第三,對系統(tǒng)資源使用的授權(quán)與限制。當(dāng)然安全控制目標(biāo)因企業(yè)的經(jīng)營性質(zhì)、規(guī)模的大小以及管理當(dāng)局的要求而有所差異。

3 了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計人員應(yīng)充分取得企業(yè)對網(wǎng)絡(luò)環(huán)境的安全保密計劃,了解所有有關(guān)的控制對上述的控制目標(biāo)的實現(xiàn)情況,系統(tǒng)還有哪些潛在的漏洞。

安全審計實施階段的主要任務(wù)是對企業(yè)現(xiàn)有的安全控制措施進行測試,以明確企業(yè)是否為安全采取了適當(dāng)?shù)目刂拼胧?,這些措施是否發(fā)揮著作用。審計人員在實施環(huán)節(jié)應(yīng)充分利用各種技術(shù)工具產(chǎn)品,如網(wǎng)絡(luò)安全測試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計器。

安全審計終結(jié)階段應(yīng)對企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評價,并提出改進和完善的方法和其他意見。安全審計終結(jié)的評價,按系統(tǒng)的完善程度、漏洞的大小和存在問題的性質(zhì)可以分為三個等級:危險、不安全和基本安全。危險是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患(如缺乏合理的數(shù)據(jù)備份機制與有效的病毒防范措施)和系統(tǒng)的盲目開放性(如有意和無意用戶經(jīng)常能闖入系統(tǒng),對系統(tǒng)數(shù)據(jù)進行查閱或刪改)。不安全是指系統(tǒng)尚存在一些較常見的問題和漏洞,如系統(tǒng)缺乏監(jiān)控機制和數(shù)據(jù)檢測手段等?;景踩侵父鱾€企業(yè)網(wǎng)絡(luò)應(yīng)達到的目標(biāo),其大漏洞僅限于不可預(yù)見或罕預(yù)見性、技術(shù)極限性以及窮舉性等,其他小問題發(fā)生時不影響系統(tǒng)運行,也不會造成大的損失,且具有隨時發(fā)現(xiàn)問題并糾正的能力。

三、安全審計的主要測試

測試是安全審計實施階段的主要任務(wù),一般應(yīng)包括對數(shù)據(jù)通訊、硬件系統(tǒng)、軟件系統(tǒng)、數(shù)據(jù)資源以及安全產(chǎn)品的測試。

下面是對網(wǎng)絡(luò)環(huán)境信息系統(tǒng)的主要測試。

1 數(shù)據(jù)通訊的控制測試

數(shù)據(jù)通訊控制的總目標(biāo)是數(shù)據(jù)通道的安全與完整。具體說,能發(fā)現(xiàn)和糾正設(shè)備的失靈,避免數(shù)據(jù)丟失或失真,能防止和發(fā)現(xiàn)來自Internet及內(nèi)部的非法存取操作。為了達到上述控制目標(biāo),審計人員應(yīng)執(zhí)行以下控制測試:(1)抽取一組會計數(shù)據(jù)進行傳輸,檢查由于線路噪聲所導(dǎo)致數(shù)據(jù)失真的可能性。(2)檢查有關(guān)的數(shù)據(jù)通訊記錄,證實所有的數(shù)據(jù)接收是有序及正確的。(3)通過假設(shè)系統(tǒng)外一個非授權(quán)的進入請求,測試通訊回叫技術(shù)的運行情況。(4)檢查密鑰管理和口令控制程序,確認(rèn)口令文件是否加密、密鑰存放地點是否安全。(5)發(fā)送一測試信息測試加密過程,檢查信息通道上在各不同點上信息的。(6)檢查防火墻是否控制有效。防火墻的作用是在Internet與內(nèi)部網(wǎng)之間建立一道屏障,其有效性主要包括靈活性以及過濾、分離、報警等方面的能力。例如,防火墻應(yīng)具有拒絕任何不準(zhǔn)確的申請者的過濾能力,只有授權(quán)用戶才能通過防火墻訪問會計數(shù)據(jù)。

2 硬件系統(tǒng)的控制測試

硬件控制測試的總目標(biāo)是評價硬件的各項控制的適當(dāng)性與有效性。測試的重點包括:實體安全、火災(zāi)報警防護系統(tǒng)、使用記錄、后備電源、操作規(guī)程、災(zāi)害恢復(fù)計劃等。審計人員應(yīng)確定實物安全控制措施是否適當(dāng)、在處理日常運作及部件失靈中操作員是否作出了適當(dāng)?shù)挠涗浥c定期、硬件的災(zāi)難恢復(fù)計劃是否適當(dāng)、是否制定了相關(guān)的操作規(guī)程、各硬件的資料歸檔是否完整。

3 軟件系統(tǒng)的控制測試

軟件系統(tǒng)包括系統(tǒng)軟件和軟件,其中最主要的是操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和會計軟件系統(tǒng)??傮w控制目標(biāo)應(yīng)達到防止來自硬件失靈、機黑客、病毒感染、具有特權(quán)職員的各種破壞行為,保障系統(tǒng)正常運行。對軟件系統(tǒng)的測試主要包括:(1)檢查軟件產(chǎn)品是否從正當(dāng)途徑購買,審計人員應(yīng)對購買訂單進行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。(3)證實只有授權(quán)的軟件才安裝到系統(tǒng)里。

4 數(shù)據(jù)資源的控制測試

數(shù)據(jù)控制目標(biāo)包括兩方面:一是數(shù)據(jù)備份,為恢復(fù)被丟失、損壞或擾的數(shù)據(jù),系統(tǒng)應(yīng)有足夠備份;二是個人應(yīng)當(dāng)經(jīng)授權(quán)限制性地存取所需的數(shù)據(jù),未經(jīng)授權(quán)的個人不能存取數(shù)據(jù)庫。審計測試應(yīng)檢查是否提供了雙硬盤備份、動態(tài)備份、業(yè)務(wù)日志備份等功能,以及在日常工作中是否真正實施了這些功能。根據(jù)系統(tǒng)的授權(quán)表,檢查存取控制的有效性。

5 系統(tǒng)安全產(chǎn)品的測試

隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要,各種用于保障網(wǎng)絡(luò)安全的軟、硬件產(chǎn)品應(yīng)運而生,如VPN、防火墻、身份認(rèn)證產(chǎn)品、CA產(chǎn)品等等。企業(yè)將在不斷的安全產(chǎn)品市場上購買各種產(chǎn)品以保障系統(tǒng)的安全,安全審計機構(gòu)應(yīng)對這些產(chǎn)品是否有效地使用并發(fā)揮其應(yīng)有的作用進行測試與作出評價。例如,檢查安全產(chǎn)品是否經(jīng)過認(rèn)證機構(gòu)或公安部部門的認(rèn)征,產(chǎn)品的銷售商是否具有銷售許可證產(chǎn)品的安全保護功能是否發(fā)揮作用。

四、應(yīng)該建立內(nèi)部安全審計制度

第4篇:安全審計制度范文

關(guān)鍵詞:山區(qū)道路;安全審計;內(nèi)容;步驟

道路安全審計(RoadSafelyAudits,簡稱RSA)是從預(yù)防交通事故、降低事故產(chǎn)生的可能性和嚴(yán)重性人手,對道路項目建設(shè)的全過程,即規(guī)劃、設(shè)計、施工和服務(wù)期進行全方位的安全審核,從而揭示道路發(fā)生事故的潛在危險因素及安全性能,是國際上近期興起的以預(yù)防交通事故和提高道路交通安全為目的的一項新技術(shù)手段。其目標(biāo)是:確定項目潛在的安全隱患;確??紤]了合適的安全對策;使安全隱患得以消除或以較低的代價降低其負(fù)面影響,避免道路成為事故多發(fā)路段;保障道路項目在規(guī)劃、設(shè)計、施工和運營各階段都考慮了使用者的安全需求,從而保證現(xiàn)已運營或?qū)⒔ㄔO(shè)的道路項目能為使用者提供最高實用標(biāo)準(zhǔn)的交通安全服務(wù)。

一、道路安全審計的起源與發(fā)展

1991年,英國版的《公路安全審計指南》問世,這標(biāo)志著安全審計有了系統(tǒng)的體系。從1991年4月起,安全審計成為英國全境主干道、高速公路建設(shè)與養(yǎng)護工程項目必須進行的程序,使英國成為安全審計的重要發(fā)起與發(fā)展國。而我國則是在20世紀(jì)90年代中期開始發(fā)展安全審計,主要有兩個渠道:①以高等院校為主的學(xué)者通過國際學(xué)術(shù)交流與檢索國外文獻,從理論體系的角度引入道路安全審計的理論;②通過世界銀行貸款項目的配套科研課題。在工程領(lǐng)域開展道路安全審計的實踐。

目前,在澳大利亞、丹麥、英國、冰島、新西蘭和挪威等國已定期地執(zhí)行道路安全審計,德國、芬蘭、法國、意大利、加拿大、荷蘭、葡萄牙、泰國以及美國正處于實驗或試行階段,其他許多國家也在就道路安全審計的引入進行檢驗,比如希臘等國家。國外研究表明,道路安全審計可有效地預(yù)防交通事故,降低交通事故數(shù)量及其嚴(yán)重度,減少道路開通后改建完善和運營管理費用,提升交通安全文化,其投資回報是15~40倍。

道路安全審計在我們道路建設(shè)中的重要性,不僅僅是在提高安全性方面,對經(jīng)濟性也有幫助。而山區(qū)道路的安全比起一般道路來講,就更應(yīng)該引起我們的注意,畢竟山區(qū)道路的崎嶇以及地勢的高低相對與一般道路對駕駛者來說是一個很大的挑戰(zhàn),而且其發(fā)生事故的死亡率也比其他道路高很多,因此,審計對于山區(qū)道路來說是至關(guān)重要的。

二、山區(qū)道路安全審計內(nèi)容

加拿大等國家認(rèn)為,在項目建設(shè)的初步設(shè)計階段進行道路安全審計最重要、最有效,因而早期的道路安全審計主要重點是在項目建設(shè)的初步設(shè)計階段?,F(xiàn)世界各國都普遍認(rèn)為可在已運營的道路和擬建道路項目建設(shè)期的全過程實行安全審計,即在規(guī)劃或可行性研究、初步設(shè)計、施工圖設(shè)計、道路通車前期(預(yù)開通)和開通服務(wù)期(后評估階段)都有所側(cè)重地實行審計。山區(qū)道路安全審計同樣與其他道路的安全審計工作內(nèi)容一樣。

三、審計要素

典型的道路安全審計過程為:組建審計組+設(shè)計隊介紹項目情況及提供資料+項目實施考察-安全性分析研究-編寫安全審計報告+審計組介紹項目審計結(jié)果+設(shè)計隊研究、編寫響應(yīng)報告-審計報告及響應(yīng)報告共同構(gòu)成項目安全文件。

整個安全審計的時間一般為兩周左右。為保證安全審計的質(zhì)量,審計組人員的構(gòu)成至關(guān)重要。審計組的人數(shù)依項目的規(guī)模大小一般由26人組成,審計組應(yīng)由不同背景、不同經(jīng)歷、受過培訓(xùn)、經(jīng)驗豐富、獨立的人員(與設(shè)計隊無直接關(guān)聯(lián))組成。審計人員一般應(yīng)具備交通安全、交通工程、交通運行分析、交通心理、道路設(shè)計、道路維護、交通運營及管理、交通法律法規(guī)等方面的知識,應(yīng)保證審計組人員相互間能平等、自由地交流、討論和商議安全問題。審計人員應(yīng)本著對社會(用戶)負(fù)責(zé)的態(tài)度、安全第一的觀點,依據(jù)道路標(biāo)準(zhǔn)規(guī)范,對項目各種設(shè)計參數(shù)、弱勢用戶、氣候環(huán)境等的綜合組合,展開道路安全審計。道路安全審計人員(審計組)與設(shè)計人員(設(shè)計隊)的區(qū)別在于:設(shè)計人員需要綜合考慮項目投資、土地、政治、地理、地形、環(huán)境、交通、安全等方方面面的因數(shù),限于經(jīng)驗、時間的約束,對安全問題難免有所偏頗。而安全審計人員不考慮項目投資、建設(shè)背景等因數(shù),僅僅考慮安全問題,只提安全建議,最后由設(shè)計人員決定:采納、改進或不采納。因而可以說道路安全審計的關(guān)鍵點為:它是一個正式的、獨立進行的審計過程,須由有經(jīng)驗的、有資格的人員從事這一工作,要考慮到道路的各種用戶,最重要的一點是只考慮安全問題。

安全審計報告一般應(yīng)包括:設(shè)計人及審計組簡述、審計過程及日期、項目背景及簡況、圖紙等,對確認(rèn)的每一個潛在危險因素都應(yīng)闡述其地點、詳細特征、可能引發(fā)的事故(類型)、事故的頻率及嚴(yán)重度評估、改進建議及該建議的可操作性(實用性)等。審計報告應(yīng)易于被設(shè)計人員接受并實施。響應(yīng)報告應(yīng)由項目設(shè)計人員編寫,其內(nèi)容—般應(yīng)包括:對審計報告指出的安全缺陷是否接受,如不接受應(yīng)闡述理由,對每一改進建議應(yīng)一一響應(yīng),采納、部分采納或不采納,并闡明原因。

四、現(xiàn)有山區(qū)道路的安全審計

對現(xiàn)狀山區(qū)道路進行安全審計,主要評估現(xiàn)狀道路潛在事故危險性,同時提出改進措施以降低未來發(fā)生事故的可能性?,F(xiàn)狀道路的安全審計與新建道路相類似,也需進行上面所提到的工作,但現(xiàn)場調(diào)查以及評估資料及文件這兩步與新建道路有所不同。此時事故資料被作為欲審計資料的重要組成部分,同時該資料也包括可能導(dǎo)致事故發(fā)生潛在性的一些不利因素的詳細資料。

理想的關(guān)于現(xiàn)狀道路網(wǎng)的安全審計應(yīng)該建立在有規(guī)律的基礎(chǔ)之上。它可以以連續(xù)幾年審計的結(jié)果為基礎(chǔ),采用滾動式的審計方式對路網(wǎng)中的每條道路都進行評估。對于里程較長的道路(一般>100km),其安全審計工作可按兩階段進行,即初步審計階段和詳細審計階段。前者主要對道路總體上進行粗略審計,給出存在的主要問題及所處位置,后者則對找到的問題進行進一步的詳細分析并提出相應(yīng)的改進建議。對里程較短的道路(<30km)可直接進行第二階段的工作。而對里程在30km~100km的道路,兩階段審計工作可根據(jù)具體情況靈活進行。

由于欲審計道路已修建完成并已經(jīng)運營,此時現(xiàn)場調(diào)查就顯得非常重要。不管是擬建道路或已建道路、線內(nèi)工程還是線外工程,安全審計工作必須全方位細致地進行。要考慮不同道路使用者對道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得駕駛員的心理產(chǎn)生恐懼;②半徑太小可能使得駕駛員無法在規(guī)定視距范圍內(nèi)看到對方;③山體的穩(wěn)定性也可能會影響到駕駛員。

另外,現(xiàn)狀山區(qū)道路的安全審計工作還要調(diào)查不同的道路類型,例如白天、黑夜、干燥、潮濕等情況對道路的影響。此外,對現(xiàn)有道路網(wǎng)絡(luò)的安全審計可結(jié)合養(yǎng)護工作同時進行,這樣可減少相應(yīng)的成本費用。

五、我國山區(qū)道路的審計現(xiàn)狀及問題和解決方法

5.1審計現(xiàn)狀及問題

由于目前審計這個名詞在國內(nèi)還算比較新鮮,國外從起步發(fā)展到現(xiàn)在也不過十來年的時間,各方面都只是處于實驗或者是試行階段,并沒有固定的一套理論依據(jù)。而我國相對外國來說又是落后了好幾年,因此我國現(xiàn)在總體的審計現(xiàn)狀也就處于探索階段,各個方面也是處于起步階段,不可能對各個方面的審計工作做到非常的完善。而道路的審計不過是眾多審計工作中的一小部分,由于其本身的“新鮮性”,又對審計人員的要求較高,西部一些貧困地區(qū)教育跟不上,審計的人才缺乏也不是沒有可能,設(shè)備等亦未全部到位。山區(qū)道路安全審計工作的開展較一般道路可能要更加的困難,因為山區(qū)道路多是停山臨崖,彎道又多,坡度又大等各方面因素是其工作的開展要難與一般道路;更有甚者像那些偏僻地區(qū)的山區(qū)道路,可能路面的質(zhì)量都無法保證,更不要提進行什么安全審計。:

5.2解決方法

要改善我國目前的這種安全審計情況,需要全國各個方面的努力與配合,不過政府要有所規(guī)定,我們民間也要有這方面的意識。筆者簡單列出幾項:①國家應(yīng)該頒布相關(guān)的法律制度,嚴(yán)格要求進行安全審計;②地方政府部門要加強管理;③加強對審計人員的培訓(xùn);④提高我國的教育水平和人們的交通安全意識;⑤交通安全部門要深入到偏僻的山區(qū);⑥提高我國的經(jīng)濟實力。

六、結(jié)束語

山區(qū)道路的安全審計工作與其他道路的安全審計總體上應(yīng)該說差不多,當(dāng)然山區(qū)的那種獨特的環(huán)境使得審計工作的重點可能不僅僅局限與一般的道路,不要認(rèn)為山區(qū)道路的流量沒有城市道路那么多而忽視它,我國是個多山的國家,山區(qū)道路對于我國各個地區(qū)的經(jīng)濟往來的作用不言而譽。通過安全審計,加強了全國各地交流。對于我國的經(jīng)濟發(fā)展有百利而無一害。國內(nèi)山區(qū)道路建設(shè)的實際情況對道路安全審計進行了較為系統(tǒng)的分析研究并得出以下結(jié)論:

(1)道路安全審計獨立于設(shè)計和標(biāo)準(zhǔn)。是以安全為核心的審計,其對象為一切與交通安全相關(guān)的工程和設(shè)施,它可分階段、按步驟的實施,審計的結(jié)果為安全審計報告。

第5篇:安全審計制度范文

關(guān)鍵詞:審計;糧食安全;路徑選擇

中圖分類號:F239 文獻標(biāo)識碼:A

原標(biāo)題:政府審計維護糧食安全的依據(jù)及路徑選擇

收錄日期:2012年2月22日

一、政府審計維護糧食安全的基本依據(jù)

糧食安全是經(jīng)濟安全的重要組成部分,審計要維護國家經(jīng)濟安全,理所當(dāng)然包括糧食安全。我們認(rèn)為,審計維護糧食安全有以下幾個方面的基本依據(jù):從理論上分析,政府審計維護糧食安全是公共受托經(jīng)濟責(zé)任拓展的現(xiàn)實需要;從法律上的要求,維護國家糧食安全是政府審計的法定職責(zé);從現(xiàn)實層面而言,政府審計維護國家經(jīng)濟安全是充分發(fā)揮審計“免疫系統(tǒng)”功能的必然要求。

(一)政府審計維護國家糧食安全是公共受托經(jīng)濟責(zé)任拓展的現(xiàn)實需要。按照“受托經(jīng)濟責(zé)任觀”這一審計學(xué)說,審計是隨受托經(jīng)濟責(zé)任的產(chǎn)生而產(chǎn)生,并隨受托經(jīng)濟責(zé)任的發(fā)展而發(fā)展的。政府審計產(chǎn)生于公共受托經(jīng)濟責(zé)任關(guān)系的確立,其首要或根本目標(biāo)就是促進政府公共受托經(jīng)濟責(zé)任的切實有效履行。公共受托經(jīng)濟責(zé)任內(nèi)涵的拓展要求政府承擔(dān)保障和維護國民吃飯的責(zé)任。政府審計作為促進政府全面有效履行公共受托經(jīng)濟責(zé)任的一種監(jiān)控機制,其功能也隨著公共受托經(jīng)濟責(zé)任內(nèi)涵的拓展而不斷拓展。因此,政府審計維護國家糧食安全是公共受托經(jīng)濟責(zé)任拓展的現(xiàn)實需要。

(二)政府審計維護國家糧食安全是政府審計法定職責(zé)的基本要求?!吨腥A人民共和國憲法》第九十一條規(guī)定:“國務(wù)院設(shè)立審計機關(guān),對國務(wù)院各部門、地方各級政府的財政收支,對國家的財政金融機構(gòu)和企業(yè)事業(yè)組織的財務(wù)收支進行審計監(jiān)督”。2006年新修訂頒布的《中華人民共和國審計法》在第一章第一條中將立法的目的規(guī)定為:“為了加強國家的審計監(jiān)督,維護國家財政經(jīng)濟秩序,提高財政資金使用效益,促進廉政建設(shè),保障國民經(jīng)濟和社會健康發(fā)展”。糧食安全是“維護國家財政經(jīng)濟秩序”與“保障國民經(jīng)濟和社會健康發(fā)展”兩項目標(biāo)的重要基礎(chǔ);“財政資金使用效益”關(guān)系到國家成本與國家效能,對國家經(jīng)濟安全有著重要的影響;“國民經(jīng)濟和社會健康發(fā)展”的基礎(chǔ)條件就是國家經(jīng)濟安全。因此,維護國家糧食安全是政府審計法定職責(zé)的基本要求。

(三)政府審計維護國家糧食安全是充分發(fā)揮審計“免疫系統(tǒng)”功能的必然要求。2008年劉家義提出了“國家審計免疫系統(tǒng)論”這一重要觀點,指出“應(yīng)充分發(fā)揮審計保障國家經(jīng)濟社會健康運行的‘免疫系統(tǒng)’功能”。在“國家審計免疫系統(tǒng)論”這一觀點下,政府審計的功能就是通過發(fā)揮經(jīng)濟監(jiān)控作用,使國家機器能夠健康有效運行,而糧食安全是“國家機器能夠健康有效運行”的重要基礎(chǔ),理所當(dāng)然是政府審計的重要保護對象。因此,政府審計維護糧食安全是充分發(fā)揮審計“免疫系統(tǒng)”功能的必然要求。

二、政府審計如何維護糧食安全

政府審計要有效發(fā)揮在維護國家糧食安全中的監(jiān)測、預(yù)防、預(yù)警、糾偏及修復(fù)作用,必須依賴于一定的途徑;此種途徑是聯(lián)系國家糧食安全與政府審計工作之間的橋梁和紐帶。結(jié)合當(dāng)前國家糧食安全形勢,政府審計可以通過以下路徑充分發(fā)揮維護國家糧食安全的作用:

(一)明確糧食安全審計的目標(biāo)、對象和內(nèi)容

1、完善政府審計目標(biāo)。政府審計目標(biāo)是政府審計行為活動意欲達到的理想境地或狀態(tài)。政府審計目標(biāo)隨著審計環(huán)境的變化而變化,隨著審計職能的發(fā)展而發(fā)展。當(dāng)國內(nèi)外政治、經(jīng)濟形勢的變化以及公共受托經(jīng)濟責(zé)任內(nèi)涵的拓展,要求維護國家糧食安全成為政府審計的基本職能時,維護國家糧食安全就理應(yīng)成為政府審計的基礎(chǔ)目標(biāo)。

2、深化政府審計對象。政府審計部門通過開展各項審計工作,可以在不同的領(lǐng)域維護國家糧食安全。當(dāng)前,我國政府審計在維護資源環(huán)境安全、制度與政策安全等方面的作用尚未得到有效發(fā)揮。因此,通過深化政府審計對象,大力推行資源環(huán)境審計、制度合理性審計、政策執(zhí)行效果審計,橫向拓寬審計維護國家糧食安全的領(lǐng)域,能夠有效發(fā)揮政府審計在上述領(lǐng)域維護國家糧食安全的作用。

(二)政府審計維護國家糧食安全的實現(xiàn)機制

1、建設(shè)糧食安全審計預(yù)警機制

(1)構(gòu)建糧食安全審計預(yù)警系統(tǒng)。糧食安全審計預(yù)警系統(tǒng)的構(gòu)建可以綜合利用政府審計各項工作所收集到的信息,縱向深化政府審計工作成果的利用,充分發(fā)揮政府審計維護國家糧食安全的系統(tǒng)與事前維護國家糧食安全的功能。

信息收集系統(tǒng)通過審計活動,負(fù)責(zé)歸集各種經(jīng)濟安全信息;信息評估系統(tǒng)利用收集到的糧食安全信息,對國家糧食安全運行中的風(fēng)險進行評估;信息分析系統(tǒng),通過評估出來的風(fēng)險級別,對國家糧食安全進行綜合評價,并根據(jù)結(jié)果發(fā)出糧食安全警報;信息處理系統(tǒng)利用特別審計權(quán),負(fù)責(zé)對發(fā)現(xiàn)的國家糧食安全風(fēng)險因素進行處理。

(2)設(shè)計糧食安全審計預(yù)警指標(biāo)體系,構(gòu)建糧食安全審計綜合指數(shù)。我們認(rèn)為,可以設(shè)計一套糧食安全審計預(yù)警指標(biāo)體系,包括生產(chǎn)、儲存、流通和消費四大領(lǐng)域。上述四大領(lǐng)域之下,分別設(shè)計一些主要指標(biāo)。各領(lǐng)域主要指標(biāo)的選取以政府審計科學(xué)研究與實踐經(jīng)驗,設(shè)置各指標(biāo)相應(yīng)的安全值范圍,并賦予相應(yīng)的權(quán)重。通過比較審計工作中所收集到的各項指標(biāo)實際值與安全值范圍,就可以識別威脅國家糧食安全的風(fēng)險因素。

通過計算糧食安全審計綜合指數(shù),并與預(yù)先設(shè)定的安全值范圍進行比較,就可以對國家糧食安全進行評價,并根據(jù)情況進行預(yù)警。

2、完善調(diào)控、協(xié)調(diào)機制。國家糧食安全是在糧食生產(chǎn)、流通與消費之間進行有效平衡,是一個復(fù)雜的系統(tǒng)工程,影響因素眾多。政府審計維護國家糧食安全要建立與國家其他政府部門的協(xié)調(diào)機制,充分利用財政、農(nóng)業(yè)、央行和稅務(wù)等部門的監(jiān)督檢查信息,這實際上是一種調(diào)控與協(xié)調(diào)機制的體現(xiàn)。

主要參考文獻:

[1]劉家義.以科學(xué)發(fā)展觀為指導(dǎo)推動審計工作全面發(fā)展[J].審計研究,2008.3.

[2]劉英來.審計是經(jīng)濟社會運行的免疫系統(tǒng)研討會綜述[J].審計研究,2008.5.

第6篇:安全審計制度范文

關(guān)鍵詞:電力企業(yè);信息系統(tǒng);安全技術(shù)

中圖分類號:TP393.08 文獻標(biāo)識碼:A文章編號:1007-9599 (2011) 16-0000-01

Power Enterprise Information System Security Technology Study

Shang Wen

(Datong Electric Power Supply Company Technology Information Center,Datong037008,China)

Abstract:In recent years,information technology development,a variety of attack techniques,network intrusion technical level has also been rapid development,which requires electric power industry,computer information systems there is a corresponding change in the structure,the establishment of defense in depth security system that can effective against various types of attack,to improve the power industry the security of information systems.

Keywords:Power Enterprise;Information system;Security technology

一、防火墻技術(shù)

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根掘倉業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻按使用的技術(shù)原理可分為包過濾防火墻和應(yīng)用層網(wǎng)關(guān)級防火墻。

防火墻系統(tǒng)可以是路由器,也可以是個人主機、主系統(tǒng)和一批主系統(tǒng),用于把網(wǎng)絡(luò)或子網(wǎng)同那些可能被子網(wǎng)外的主系統(tǒng)濫用的協(xié)議和服務(wù)隔絕。防火墻系統(tǒng)通常位于等級較高的網(wǎng)關(guān)(或網(wǎng)點)與Internet的連接處,但是防火墻系統(tǒng)也可以位于等級較低的網(wǎng)關(guān),以便為某些數(shù)量較少的主系統(tǒng)或子網(wǎng)提供保護。

防火墻的局限性:(1)不能防范惡意的知情者;(2)不能防范不通過它的連接;(3)不能防范全部的威脅;(4)不能防范病毒。由此可見,要想建立一個真正行之有效的安全的信息系統(tǒng),僅使用防火墻還是不夠,在實際的應(yīng)用中,防火墻常與其它安全措施,比如,訪問控制技術(shù)、防病毒技術(shù)等綜合應(yīng)用。

二、VLAN技術(shù)

VLAN中的每個端點用戶可直接與同一VLAN中的其它用戶通信。VLAN之間的網(wǎng)絡(luò)交通必須通過某種策略管理設(shè)備來管理,如路由器。這就允許網(wǎng)管人員為安全原因設(shè)置防火墻保護,在工作組問建立安全策略。在同一個物理網(wǎng)絡(luò)中,可分割出多種不同的VLAN組。這就使得VLAN的成員可根據(jù)系統(tǒng)應(yīng)用實際的需要而決定,而不是根據(jù)它們在網(wǎng)上的物理位置決定。不同物理位置的用戶可以進入同一個工作組工作,就像在同一個辦公室內(nèi)共同工作一樣,工作組成員關(guān)系可隨組織變化而動態(tài)地變化。單個VLAN的操作就如同一個子網(wǎng)一樣,子網(wǎng)上的用戶可彼此直接通信,當(dāng)跨越子網(wǎng)邊界時要通過路由器。虛擬LAN與子網(wǎng)的唯一區(qū)別就是單個子網(wǎng)是彼此重疊在單一的公共物理設(shè)施上的。

VLAN能夠大大加強網(wǎng)絡(luò)安全性,體現(xiàn)為可以控制進入網(wǎng)絡(luò)的用戶連接。由于具有了對移動、加入以及變更用戶的網(wǎng)絡(luò)連接的控制能力,即網(wǎng)絡(luò)的連接控制得到加強,網(wǎng)絡(luò)系統(tǒng)了解虛擬網(wǎng)中所有的終端用戶,并可對連接哪些用戶、在何處需要存取何種服務(wù)來實行各種策略及控制;虛擬網(wǎng)絡(luò)還可控制用戶通信對象及控制特定應(yīng)用的啟用權(quán)。這些能力大部分在網(wǎng)絡(luò)中都是以路由過濾及策略表形式提供的。由于虛擬網(wǎng)絡(luò)去掉于網(wǎng)成員的物理限制,一個工作組中的所有成員都在同一個VLAN中,而且路由器用來控制出入工作組的存取。由于路由器的交通負(fù)載減少了,其帶寬可以用在更迫切的安全性要求上。

三、數(shù)據(jù)加密技術(shù)

加密是提供保密性、真實性、完整性和數(shù)據(jù)存取權(quán)限的強有力工具。對數(shù)據(jù)進行加密,都有其實現(xiàn)的方法,這種加密的方法稱為加密算法,它通常是完全公開的,這些加密的算法將用戶要保護的原始信息(明文),使用一種稱為密鑰的數(shù)值操作進行編碼,生成的結(jié)果稱為密文。雖然,加密算法是公開的,但對密文解密需要的密鑰是非公開的。加密技術(shù)不僅提供保密通信,也是許多其它安全機制的基礎(chǔ),是保障網(wǎng)絡(luò)安全的基石。

四、安全審計技術(shù)

保證安全管理制度實現(xiàn)的重要手段是監(jiān)控和審計。從技術(shù)角度來看的審計指對用戶和程序使用資源事件進行記錄和審查,它是提高安全性的重要工具。審計信息對于確定問題和攻擊源很重要,能記錄和識別事件發(fā)生的日期和時間,涉及的用戶、事件的類型和事件的成功或失敗,能判斷違反安全的事件是否發(fā)生,以保證系統(tǒng)安全、幫助查出原因,并且它是后面階段事故處理的重要依據(jù)。

因此安全審計跟蹤是一種很有價值的安全技術(shù),可通過事后的安全審計來檢測和調(diào)查安全策略執(zhí)行的情況以及安全遭到的破壞情況。安全審計是對系統(tǒng)記錄和活動的獨立評估、考核,以測試系統(tǒng)控制是否充分,確保與既定策略和操作規(guī)程相一致,有助于對入侵進行評估,并指出控制、策略和程序的變化。安全審計需要安全審計跟蹤中與安全有關(guān)的記錄信息,和從安全審計跟蹤中得到的分析和報告信息。日志或記錄被視為一種安全機制,而分析和報告生成則被視為一種安命管理功能。通過指明所記錄的與安全有關(guān)的事件的類別,安全審計跟蹤信息的收復(fù)可適應(yīng)各種需要。安全審計跟蹤的存在對潛在的安全攻擊源可以起到威懾作用。安全審計跟蹤應(yīng)考慮選擇那些信息將被記錄,在什么條件下對信息進行記錄以及用于交換安傘審計跟蹤信息的語法和語義定義。

五、RBAC模型

計算機信息系統(tǒng)訪問控制技術(shù)最早產(chǎn)生于六十年代,隨后出現(xiàn)了兩種重要的訪問控制技術(shù):自主型訪問控制(Discretionary Access Control,DAC)和強制型訪問控制(Mandal ory Access Control,MAC)。它們在多用戶系統(tǒng)中得到了廣泛的應(yīng)用,對計算機信息系統(tǒng)的安全做出了很大的貢獻。然而傳統(tǒng)的訪問控制技術(shù)遠遠落后于當(dāng)代系統(tǒng)安全的需求,各國學(xué)者開始探索新型的訪問控制技術(shù),基于角色的訪問控制技術(shù)引起了極大的關(guān)注,RBAC以其顯著的優(yōu)勢被認(rèn)為是自主型訪問控制和強制型訪問控制的替代者。所謂訪問控制,就是通過某種途徑顯式地準(zhǔn)許或限制訪問能力及范圍的一種方法。通過訪問控制服務(wù),可以限制對關(guān)鍵資源的訪問,防止非法用戶的侵入或者因合法用戶的不慎操作所造成的破壞。簡單的說,即:“哪些用戶可以使用哪些資源”。

總之,根據(jù)電力企業(yè)不同層面上的安全要求,本文研究和分析了多種先進安全技術(shù),保障著整個系統(tǒng)的安全。

參考文獻:

第7篇:安全審計制度范文

一、總體要求

以國家衛(wèi)生縣城復(fù)審?fù)ㄟ^和創(chuàng)建省級食品安全先進縣以及2019年文明城市創(chuàng)建成功為目標(biāo),加強隊伍建設(shè)、紀(jì)律作風(fēng)建設(shè),提升業(yè)務(wù)水平,建立全覆蓋的督導(dǎo)考核體系,督促各單位履職盡責(zé),樹立良好的工作作風(fēng),高標(biāo)準(zhǔn)完成“三城聯(lián)創(chuàng)”工作。

二、考核原則

堅持公開、公平、公正的原則,堅持單位管理內(nèi)容及人員全覆蓋的原則,堅持局考評和二級單位考評相結(jié)合的原則,堅持獎罰并重的原則。

三、考核對象和范圍

(一)考核對象:局屬各單位、科室。

(二)考核范圍:“三城聯(lián)創(chuàng)”期間涉及到的相關(guān)局屬單位、科室業(yè)務(wù)和人員。

四、考核方式

各單位督導(dǎo)考核人員按照各自的工作職責(zé)及行業(yè)標(biāo)準(zhǔn),制定具體的考核細則及打分表并負(fù)責(zé)解釋,在局督導(dǎo)科的統(tǒng)一領(lǐng)導(dǎo)安排下,集中力量對“三城聯(lián)創(chuàng)”期間工作人員的紀(jì)律作風(fēng)和履職盡責(zé)情況進行督導(dǎo),不再執(zhí)行日常督導(dǎo)模式(日常督導(dǎo)模式為分工負(fù)責(zé)制:執(zhí)法大隊督查科負(fù)責(zé)執(zhí)法大隊的日常督導(dǎo)工作,園林環(huán)衛(wèi)綜合服務(wù)中心督導(dǎo)考核科負(fù)責(zé)園林環(huán)衛(wèi)以及園林服務(wù)中心、美城保潔公司的日常督導(dǎo)工作,數(shù)字城管中心負(fù)責(zé)數(shù)字城管方面的督導(dǎo)工作,對發(fā)現(xiàn)的問題,各單位形成日報表,日報表電子版及問題圖片每天下午下班前發(fā)送至局督導(dǎo)科郵箱cgjddk612@163.com,局督導(dǎo)科采取抽查的方式對上報材料進行審核,并進行匯總、通報,督導(dǎo)的問題一天一通報、一周一匯總、一月一點評),對發(fā)現(xiàn)的問題,列出問題清單,并形成每日通報,報局班子領(lǐng)導(dǎo),發(fā)各相關(guān)單位,形成每日通報、分級點評的工作機制。

五、考核內(nèi)容

紀(jì)律作風(fēng)、市容市貌、環(huán)境衛(wèi)生、園林綠化、違法建設(shè)、戶外廣告、餐飲油煙及露天燒烤整治管理、城鄉(xiāng)環(huán)衛(wèi)一體化管理、建筑垃圾資源化綜合利用、城中村及社區(qū)管理、城市照明設(shè)施管理及公共自行車管理。

六、考核結(jié)果運用

(一)局督導(dǎo)科對各項工作開展情況進行逐項督導(dǎo),對工作開展進度遲緩、質(zhì)量不高、整改不力的進行嚴(yán)厲責(zé)任追究;對工作開展有力,推進快的單位予以表揚。

(二)對在連續(xù)兩次通報成績靠后的單位或科室,由局分管領(lǐng)導(dǎo)對單位或科室負(fù)責(zé)人進行約談。

(三)對連續(xù)三次及以上通報成績靠后的單位或科室,由局主要領(lǐng)導(dǎo)對分管領(lǐng)導(dǎo)、科室負(fù)責(zé)人進行約談,并取消其本年度評先樹優(yōu)資格。

七、相關(guān)要求

1、加強組織領(lǐng)導(dǎo)。“三城聯(lián)創(chuàng)”期間所有督導(dǎo)人員及車輛由局督導(dǎo)科統(tǒng)一調(diào)度,統(tǒng)一安排,集中時間,集中力量,對“三城聯(lián)創(chuàng)”工作集中攻堅。局督導(dǎo)科與二級單位執(zhí)法大隊的督查科及園林環(huán)衛(wèi)服務(wù)中心的督導(dǎo)考核科屬上下級業(yè)務(wù)領(lǐng)導(dǎo)關(guān)系,與數(shù)字城管中心及城鄉(xiāng)環(huán)衛(wèi)一體化工作領(lǐng)導(dǎo)小組辦公室屬平級配合關(guān)系。

第8篇:安全審計制度范文

關(guān)鍵詞:信息管理系統(tǒng) 信息安全 系統(tǒng)安全建設(shè)

中圖分類號:TP39 文獻標(biāo)識碼:A 文章編號:1003-9082(2014)03-0001-02

一、引言

隨著全球信息化不斷在我國深化和發(fā)展,我國各地區(qū)、各行業(yè)使用信息系統(tǒng)開展工作的比例越來越大。一般來說,信息化程度越高,對信息管理系統(tǒng)的依賴性就越強,信息安全問題就越為突顯和嚴(yán)重。而信息安全問題也正逐漸成為影響各企事業(yè)單位業(yè)務(wù)能否正常運行、生產(chǎn)力能否快速發(fā)展的重要因素之一。但是由于我國信息化建設(shè)起步相對較晚,與國外先進國家相比,無論在信息安全意識還是信息安全防護技術(shù)等諸多方面都還存在較大差距,各企事業(yè)單位的信息安全基本上均處于一個相對較為薄弱的環(huán)節(jié)。一旦信息管理系統(tǒng)中的個人信息和敏感數(shù)據(jù)發(fā)生丟失或者泄漏,可能會對自身造成無可估量的損失。因此,重點保障信息管理系統(tǒng)安全已成為各行各業(yè)的首要任務(wù)。信息管理系統(tǒng)安全建設(shè)應(yīng)該系統(tǒng)地、有條理地進行全面規(guī)劃,充分地、全方位地考慮安全需求和特性,從而達到各種安全產(chǎn)品、安全管理、整體安全策略和外部安全服務(wù)的統(tǒng)一,發(fā)揮其最大的效率,給予信息管理系統(tǒng)以最大保障。

二、信息管理系統(tǒng)安全建設(shè)原則

1.安全體系兼容性

安全體系有一個重要的思想是安全技術(shù)的兼容性,安全措施能夠和目前主流、標(biāo)準(zhǔn)的安全技術(shù)和產(chǎn)品兼容。

2.信息管理系統(tǒng)體系架構(gòu)安全性

系統(tǒng)的系統(tǒng)架構(gòu)已經(jīng)成為保護系統(tǒng)安全的重要防線,一個優(yōu)秀的系統(tǒng)體系架構(gòu)除了能夠保證系統(tǒng)的穩(wěn)定性以外,還能夠封裝不同層次的業(yè)務(wù)邏輯。各種業(yè)務(wù)組件之間的“黑盒子”操作,能夠有效地保護系統(tǒng)邏輯隱蔽性和獨立性。

3.傳輸安全性

由于計算機網(wǎng)絡(luò)涉及很多用戶的接入訪問,因此如何保護數(shù)據(jù)在傳輸過程中不被竊聽和撰改就成為重點考慮內(nèi)的問題,建議采用傳輸協(xié)議的加密保護。

4.軟硬件結(jié)合的防護體系

系統(tǒng)應(yīng)支持和多種軟硬件安全設(shè)備結(jié)合,構(gòu)成一個立體防護體系,主要安全軟硬件設(shè)備為防火墻系統(tǒng)、防病毒軟件等。

5.可跟蹤審計

系統(tǒng)應(yīng)內(nèi)置多粒度的日志系統(tǒng),能夠按照需要把各種不同操作粒度的動作都記錄在日志中,用于跟蹤和審計用戶的歷史操作。

6.身份確認(rèn)及操作不可抵賴

身份確認(rèn)對于系統(tǒng)來說有兩重含義,一是用戶身份的確認(rèn),二是服務(wù)器身份的確認(rèn),兩者在信息安全體系建設(shè)中必不可少。

7.數(shù)據(jù)存儲的安全性

系統(tǒng)中數(shù)據(jù)存儲方面可以采取兩道機制進行的保護,一是系統(tǒng)提供的訪問權(quán)限控制,二是數(shù)據(jù)的加密存放。

三、信息管理系統(tǒng)安全建設(shè)內(nèi)容

按照系統(tǒng)安全體系結(jié)構(gòu),結(jié)合安全需求、安全策略和安全措施,并充分利用安全設(shè)備包括防火墻、入侵檢測、主機審計等,其建設(shè)內(nèi)容主要有:

1.物理安全

機房要求保護計算機設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故(如電磁污染、電源故障、設(shè)備被盜、被毀等)破壞。

2.網(wǎng)絡(luò)安全

利用現(xiàn)有的防火墻、路由器,實行訪問控制,按用戶與系統(tǒng)間的訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問。同時加強端口、拒絕服務(wù)攻擊、網(wǎng)絡(luò)蠕蟲等的監(jiān)控,保障系統(tǒng)網(wǎng)絡(luò)運行的暢通。

2.1使用防火墻技術(shù)

通過使用防火墻技術(shù),建立系統(tǒng)的第二道安全屏障。例如,防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的未授權(quán)訪問,建立系統(tǒng)的對外安全屏障。最好是采用不同技術(shù)的防火墻,增加黑客擊穿防火墻的難度。

2.2使用入侵監(jiān)測系統(tǒng)

使用入侵監(jiān)測系統(tǒng),建立系統(tǒng)的第三道安全屏障,提高系統(tǒng)的安全性能,主要包括:監(jiān)測分析用戶和系統(tǒng)的活動、核查系統(tǒng)配置和漏洞、評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性、識別已知的攻擊行為、統(tǒng)計分析異常行為、操作系統(tǒng)日志管理,并識別違反安全策略的用戶活動等功能。

3.主機安全

系統(tǒng)主機安全從主機身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范和資源控制等方面考慮。

3.1主機身份鑒別

對登錄操作系統(tǒng)的用戶進行身份設(shè)別和鑒別,對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)設(shè)置復(fù)雜的登錄口令,并且定期進行更換。同時對操作系統(tǒng)和數(shù)據(jù)庫用戶分配不同的用戶分配不同用戶名。

3.2訪問控制

通過三層交換機和防火墻設(shè)置對系統(tǒng)服務(wù)器的訪問控制權(quán)限。對服務(wù)器實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離,限制默認(rèn)賬號的訪問權(quán)限,重命名系統(tǒng)默認(rèn)賬戶,修改默認(rèn)密碼。

3.3安全審計

服務(wù)器操作系統(tǒng)本身帶有審計功能,要求審計范圍覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶,審計內(nèi)容包括重要用戶行為、系統(tǒng)資源異常使用并進行記錄。

信息管理系統(tǒng)也應(yīng)考慮安全審計功能,記錄系統(tǒng)用戶行為,系統(tǒng)用戶操作事件日期、時間、類型、操作結(jié)果等。

3.4入侵防范

利用入侵檢測系統(tǒng)和防火墻相應(yīng)功能,檢測對服務(wù)器入侵行為,記錄入侵源IP、攻擊的類型、攻擊的目標(biāo)、攻擊時間,并在發(fā)生嚴(yán)重的入侵事件時提供報警。

3.5惡意代碼防范

在服務(wù)器上安裝服務(wù)器端防病毒系統(tǒng),以提供對病毒的檢測、清除、免疫和對抗能力。

3.6資源控制

在核心交換機與防火墻配置詳細訪問控制策略,限制非法訪問。

4.應(yīng)用安全

4.1安全審計

信息管理系統(tǒng)應(yīng)提供覆蓋到每個用戶的安全審計功能,對應(yīng)用系統(tǒng)重要安全事件進行審計,審計記錄內(nèi)容至少包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等,保證無法刪除、修改或覆蓋審計記錄。

4.2資源控制

信息管理系統(tǒng)應(yīng)限制用戶對系統(tǒng)的最大并發(fā)會話連接數(shù)、限制單個賬戶的多重并發(fā)會話、限制某一時間段內(nèi)可能的并發(fā)會話連接數(shù)。

5.數(shù)據(jù)安全

系統(tǒng)數(shù)據(jù)安全要求確保管理數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)等重要信息在傳輸過程和存儲過程中的完整性和保密性。對于數(shù)據(jù)庫中的敏感數(shù)據(jù),需對數(shù)據(jù)項進行加密,保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程與存儲過程中完整性不受到破壞。

對數(shù)據(jù)進行定期備份,確保存儲過程中檢測到數(shù)據(jù)完整性錯誤時,具有數(shù)據(jù)恢復(fù)能力。必須采用至少兩種手段進行備份,備份手段以整體安全備份系統(tǒng)為主,配合其他備份手段,如GHOST、TRUE IMAGE或操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)本身的備份服務(wù)等。備份具體要求如下:

5.1各服務(wù)器專職管理員根據(jù)所管服務(wù)器的具體情況與整體安全備份系統(tǒng)專職管理員協(xié)調(diào)制訂好所管服務(wù)器的備份計劃及備份策略。

5.2整體安全備份系統(tǒng)專職管理人員必須組織各服務(wù)器專職管理員對各服務(wù)器每個季度進行一次整體災(zāi)備(冷備)。若某臺服務(wù)器的配置需要發(fā)生較大變更,該服務(wù)器的專職管理員應(yīng)在對該服務(wù)器實施變更前和圓滿完成變更后,分別對該服務(wù)器做一次整體災(zāi)備,必要時整體安全備份系統(tǒng)專職管理員需對整體災(zāi)備提供協(xié)助。

5.3數(shù)據(jù)備份主要分為月備份、周備份、日備份及日志(增量)備份。月備份每月對各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫做一次全備(熱備)。周備份每周對各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫做一次全備(熱備)。日備份每天對各服務(wù)器的重要目錄及數(shù)據(jù)庫做一次備份。日志(增量)備份針對數(shù)據(jù)更新較頻繁的服務(wù)器,每天進行多次增量備份。

5.4除日志(增量)備份外,其它各種備份以每一次獨立執(zhí)行的備份作為一個獨立版本。每個獨立版本的備份必須存儲在獨立的備份介質(zhì)上,不能混合存儲在同一套備份介質(zhì)。整體災(zāi)備(冷備)和月備份一般要求保留至少能覆蓋當(dāng)年及上一年全年時間的所有版本,周備份要求保留至少最近5個版本,日備份要求保留至少最近4個版本,日志(增量)備份保留至少自上一次周備份以來的所有版本。

5.5備份介質(zhì)應(yīng)放在機房以外安全的地方保管。所有備份介質(zhì)必須有明確、詳盡的標(biāo)簽文字說明。

5.6整體安全備份系統(tǒng)專職管理員必須定時檢查備份作業(yè)的運行情況,備份異常情況應(yīng)盡快查明原因,解決問題并在值班登記本上詳細記錄。

四、安全制度建設(shè)

建設(shè)嚴(yán)格、完整的基本管理制度包括安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理機制幾個方面。

安全管理制度:包括安全策略、安全制度、操作規(guī)程等的管理制度;管理制度的制定和;管理制度的評審和修訂。

安全管理機構(gòu):包括職能部門崗位設(shè)置;系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員的人員配備;授權(quán)和審批;管理人員、內(nèi)部機構(gòu)和職能部門間的溝通和合作;定期的安全審核和安全檢查。

人員安全管理:包括人員錄用;人員離崗;人員考核;安全意識教育和培訓(xùn);外部人員訪問管理。

系統(tǒng)建設(shè)管理:包括系統(tǒng)定級;安全方案設(shè)計;產(chǎn)品采購和使用;自行軟件開發(fā);外包軟件開發(fā);工程實施;測試驗收;系統(tǒng)交付;系統(tǒng)備案;等級測評;安全服務(wù)商選擇。

系統(tǒng)運維管理:包括機房環(huán)境管理;信息資產(chǎn)管理;介質(zhì)管理;設(shè)備管理;監(jiān)控管理和安全管理中心;網(wǎng)絡(luò)安全管理;系統(tǒng)安全管理;惡意代碼防范管理;密碼管理;變更管理;備份與恢復(fù)管理;安全事件處置;應(yīng)急預(yù)案管理。

五、結(jié)束語

信息化建設(shè)已經(jīng)涉及到國民經(jīng)濟和社會生活的各個領(lǐng)域,信息管理系統(tǒng)也成為各行各業(yè)信息化建設(shè)發(fā)展中的重要工具。如何保障信息管理系統(tǒng)安全從而保證信息安全是關(guān)系到國家安全、社會安全和行業(yè)安全的大問題。我們只有在實現(xiàn)信息安全的條件下,才能有效利用信息管理系統(tǒng)這個有力的工具提高生產(chǎn)力,推動社會的發(fā)展。本文通過對信息系統(tǒng)安全建設(shè)原則、安全建設(shè)內(nèi)容和安全制度建設(shè)三方面較為詳細的探討,應(yīng)該對于各企事業(yè)單位信息管理系統(tǒng)的安全建設(shè)有所幫助和借鑒。

參考文獻

[1] 林國恩,李建彬,信息系統(tǒng)安全,電子工業(yè)出版社,2010-03

[2] Dieter Gollmann, Computer Security 2 edition, Wiley, 2006

[3]《信息系統(tǒng)安全等級保護基本要求》,中華人民共和國國家標(biāo)準(zhǔn),GB/T 22239-2008

[4] 尚邦治等,做好信息安全等級保護工作,中國衛(wèi)生信息管理雜志,2012.5

第9篇:安全審計制度范文

關(guān)鍵詞:企業(yè)安全審計系統(tǒng);模塊設(shè)計;測試模型

中圖分類號:TP311 文獻標(biāo)識碼:A 文章編號:1009-3044(2016)22-0049-02

1 概述

隨著國家改革開放的不斷深入,互聯(lián)網(wǎng)的應(yīng)用深入到了企業(yè)工作中的各個方面,企業(yè)發(fā)展面臨著前所未有的挑戰(zhàn)。企業(yè)員工通過互聯(lián)網(wǎng)辦公的行為越來越多,互聯(lián)網(wǎng)在方便企業(yè)員工的同時,也帶來了員工工作效率低下、容易泄露企業(yè)秘密,造成企業(yè)的網(wǎng)絡(luò)安全沒有保障,企業(yè)的信息資源網(wǎng)絡(luò)泄密等風(fēng)險。企業(yè)安全掃描過程漫長、排查隱患不合理、問題定位不精確、掃描缺乏深度、安全結(jié)論模糊等一系列業(yè)技術(shù)難題。這在很大程度上影響了公司的進一步發(fā)展。本系統(tǒng)正是在這種背景之下提出的。集中表現(xiàn)在以下幾個方面:

1)提高了企業(yè)的經(jīng)營質(zhì)量和效率。

2)提高企業(yè)員工辦公的工作效率,加強企業(yè)互聯(lián)網(wǎng)使用制度管理。

3)降低企業(yè)的人員管理成本,減少人為因素和管理缺失造成的關(guān)鍵業(yè)務(wù)停頓造成的損失。

4)降低企業(yè)泄密事件風(fēng)險,為企業(yè)的互聯(lián)網(wǎng)環(huán)境提供安全保障。

5)管理部門應(yīng)加強對員工互聯(lián)網(wǎng)通信數(shù)據(jù)和通話內(nèi)容的監(jiān)管、審計。

2 企業(yè)安全審計系統(tǒng)的需求分析與設(shè)計

通過調(diào)查,要求系統(tǒng)需要有以下功能;1)有良好的人機界面,有較好權(quán)限管理;2)系統(tǒng)操作簡單,容易學(xué)習(xí),容易理解,快速上手使用系統(tǒng);3)系統(tǒng)數(shù)據(jù)安全加密、系統(tǒng)具有數(shù)據(jù)備份和數(shù)據(jù)還原功能;4) 方便的全方位的數(shù)據(jù)查詢;5)審計數(shù)據(jù)的瀏覽和下載;6)企業(yè)工作電話的通話內(nèi)容錄制;7)非工作互聯(lián)網(wǎng)網(wǎng)絡(luò)站點的訪問;8)企業(yè)員工網(wǎng)絡(luò)數(shù)據(jù)瀏覽的統(tǒng)計和分析。

通過對企業(yè)需求的分析得出,需要設(shè)計的模塊為:系統(tǒng)狀態(tài)監(jiān)控、設(shè)置向?qū)?、員工網(wǎng)絡(luò)行為監(jiān)控、員工通話記錄、員工上網(wǎng)行為過濾、員工網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計分析、系統(tǒng)管理七大模塊。

3 企業(yè)安全審計系統(tǒng)的模塊規(guī)劃與詳細設(shè)計

安全審計系統(tǒng)是一個典型的數(shù)據(jù)庫開發(fā)與應(yīng)用的程序,能夠通過互聯(lián)網(wǎng)上網(wǎng)的技術(shù)手段對員工互聯(lián)網(wǎng)行為進行監(jiān)督、審計和管理,避免企業(yè)重要信息資源泄露,以及發(fā)生泄密事件后能夠溯源找到相關(guān)證據(jù)和原因提供技術(shù)層面的支持。其相關(guān)的模塊等部分是本系統(tǒng)的重要組成部分,特此規(guī)劃本系統(tǒng)的功能模塊如下:

系統(tǒng)狀態(tài)監(jiān)控模塊

該模塊主要負(fù)責(zé)系統(tǒng)的接入方式、數(shù)據(jù)來源的管理狀況;員工網(wǎng)絡(luò)行為監(jiān)控的狀態(tài)和現(xiàn)在的工作模式;員工通話記錄的監(jiān)控的啟用和停止?fàn)顟B(tài);員工上網(wǎng)行為過濾的啟用和停止?fàn)顟B(tài)。

設(shè)置向?qū)K

該模塊主要負(fù)責(zé)系統(tǒng)監(jiān)管內(nèi)容設(shè)置、系統(tǒng)互聯(lián)網(wǎng)接入方式設(shè)置、系統(tǒng)用戶使用權(quán)限設(shè)置、員工互聯(lián)網(wǎng)數(shù)據(jù)監(jiān)控設(shè)置、員工通話記錄設(shè)置、員工上網(wǎng)行為過濾設(shè)置。

員工網(wǎng)絡(luò)行為監(jiān)控

該模塊主要負(fù)責(zé)對員工網(wǎng)絡(luò)行為監(jiān)控的基本設(shè)置;啟用和停止監(jiān)控;網(wǎng)絡(luò)行為的回放、審計和下載――支持對上網(wǎng)時間、IP、URL、MAC、關(guān)鍵字、上網(wǎng)賬號、上網(wǎng)電話、郵件類型進行回放、審計和下載。支持對http上傳、http下載、https、smtp、pop3、telnet、ftp、qq、msn、skype、微信、飛信、qq傳輸文件、web郵件傳輸、web網(wǎng)站訪問、sohu微博、sina微博、其他未知協(xié)議跟蹤等具體的按協(xié)議分類的回放、審計和下載;員工上網(wǎng)身份查詢;員工網(wǎng)絡(luò)行為實時回放、審計和下載。

員工通話記錄模塊

該模塊主要負(fù)責(zé)員工辦公室固定電話通話內(nèi)容回放;通話內(nèi)容記錄啟用和停止設(shè)置。

員工上網(wǎng)行為過濾模塊

該模塊主要負(fù)責(zé)員工上網(wǎng)行為過濾規(guī)則的設(shè)置――支持對ip、mac、端口、url、http、組合策略(ip+端口、mac+端口)等規(guī)則進行過濾和放行;過濾行為啟用和停止設(shè)置。

員工網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計和分析模塊

該模塊主要負(fù)責(zé)員工網(wǎng)絡(luò)數(shù)據(jù)時間統(tǒng)計和分析――支持對ip、mac、賬號的統(tǒng)計和分析;員工網(wǎng)絡(luò)數(shù)據(jù)軌跡統(tǒng)計和分析――支持對ip、mac、賬號的統(tǒng)計和分析;

系統(tǒng)管理模塊

該模塊主要負(fù)責(zé)權(quán)限管理、數(shù)據(jù)備份、數(shù)據(jù)還原、版本升級、設(shè)備狀態(tài)、關(guān)閉設(shè)備、工具下載、操作日志審查。

其他功能模塊

該模塊主要負(fù)責(zé)系統(tǒng)版本信息、重新登錄、退出系統(tǒng)。

4 軟件開發(fā)過程

本系統(tǒng)的開發(fā)結(jié)合軟件信息系統(tǒng)的開發(fā)階段分為下面4個子階段:需求分析階段、架構(gòu)設(shè)計階段、程序編碼階段、系統(tǒng)測試和調(diào)試階段。

1)分析階段

進行需求分析(requirement analysis):理解問題需求,包括程序是否需要和用戶進行交互,是否操縱數(shù)據(jù),是否有輸出結(jié)果以及輸出結(jié)果的格式等等。如果程序需要對數(shù)據(jù)進行操作,開發(fā)人員必須了解數(shù)據(jù)類型及它們的表示方法。這時候可能會接觸一些樣本數(shù)據(jù)。如果程序有輸出信息,必須確定它們所生成的結(jié)果及輸出格式等;如果需要解決的問題過于復(fù)雜,可以把它分解為多個子問題,在對每個子問題做相應(yīng)的需求分析。

2)設(shè)計階段

結(jié)構(gòu)化設(shè)計方法

將一個問題分解為若干個子問題的方法叫做結(jié)構(gòu)化設(shè)計方法。結(jié)構(gòu)化設(shè)計方法又叫做自頂向下的設(shè)計方法、逐步求精方法和模塊化程序設(shè)計方法。在結(jié)構(gòu)化設(shè)計方法中,問題被分解為若干子問題,然后分別對每個子問題進行分析和求解。所有子問題的解合并起來就是原始問題的解。使用結(jié)構(gòu)化設(shè)計方法進行編程就叫做結(jié)構(gòu)化程序設(shè)計。

面向?qū)ο笤O(shè)計方法

在面向?qū)ο笤O(shè)計方法中,求解問題的首要步驟是識別稱為“對象”的組件(它是運用該方法求解問題的基礎(chǔ))和確定對象之間如何進行交互。對象包括數(shù)據(jù)和在數(shù)據(jù)上執(zhí)行的操作。對象可以看作數(shù)據(jù)和其上操作的統(tǒng)一體。使用面向?qū)ο蠓椒ň幊?,最終的程序是交互對象的集合。實現(xiàn)面向?qū)ο笤O(shè)計方法的編程語言叫做面向?qū)ο蟪绦蛟O(shè)計語言。

3)編程階段

在編程階段,編寫和編譯程序代碼,以實現(xiàn)在設(shè)計階段分析得到的類和函數(shù)。

4)測試和調(diào)試

系統(tǒng)測試是保證軟件開發(fā)質(zhì)量的主要手段,測試目的不在于找出錯誤,而在于遍歷軟件系統(tǒng)各功能和邊界條件,保障軟件系統(tǒng)的正常工作和運行,是評價系統(tǒng)軟件質(zhì)量的重要方法之一。

5 軟件開發(fā)模型(方法)

本系統(tǒng)開發(fā)采用增量的軟件開發(fā)模型來實現(xiàn)系統(tǒng)各功能模塊。

1)瀑布模型

該模型嚴(yán)格按照需求分析、軟件設(shè)計、程序編碼、系統(tǒng)測試、運行和維護一級一級的向下執(zhí)行,每個階段必須經(jīng)過階段性評審,并通過評審,再進入下一個開發(fā)階段。

2)原型方法模型

在開發(fā)的早期階段,系統(tǒng)需求不確定時采用。通過一個簡單的功能實現(xiàn)系統(tǒng)再進一步確認(rèn)系統(tǒng)將要實現(xiàn)的各功能的一種開發(fā)模型。

3)增量模型(漸增模型)

結(jié)合了原型方法模型和瀑布模型的基本軟件開發(fā)階段,該模型首先通過早期的原型系統(tǒng)建立的模型,再進一步按照瀑布模型的各階段完成系統(tǒng)開發(fā)。再次迭代原型系統(tǒng)模型和階段開發(fā)模型直至系統(tǒng)所有功能滿足用戶需求。

6 軟件測試與維護

1)軟件測試:

測試這個術(shù)語表示檢測程序的正確性,即檢查程序是不是完成了需要完成的工作。而調(diào)試一詞指,如果程序存在錯誤,如何找到并修改錯誤。在每寫完一個函數(shù)或算法后,接下來應(yīng)該驗證它是否正確工作。在復(fù)雜的大型程序中,錯誤是一定存在的。為了提高程序的可靠性,必須在交付用戶前發(fā)現(xiàn)并修改其中的錯誤。

測試有兩類方法,即:黑盒測試和白盒測試。使用黑盒測試方法時,您不需要知道算法或函數(shù)的內(nèi)部實現(xiàn),只需要知道程序的功能即可黑盒測試是基于輸入輸出的方法。它的測試用例通過創(chuàng)建等價類來選取。如果程序?qū)τ诘葍r類中的某個輸入的輸出結(jié)果是正確的話,那么就認(rèn)為對應(yīng)該等價類中其他輸入也會輸出同樣的正確結(jié)果。白盒測試法需要測試人員遍歷測試程序的內(nèi)部邏輯結(jié)構(gòu)和業(yè)務(wù)處理流程的一種測試方法。常見的白盒測試方法有:基本路徑測試、循環(huán)覆蓋測試、邏輯覆蓋測試,測試的重點在于檢驗內(nèi)部邏輯結(jié)構(gòu)和業(yè)務(wù)實現(xiàn)流程。

2)軟件維護:軟件開發(fā)的工作的結(jié)果就是交付一個滿足用戶需求的軟件產(chǎn)品。軟件產(chǎn)品一旦投入應(yīng)用,產(chǎn)品的缺陷就會逐漸的暴露出來,運行的環(huán)境會逐漸發(fā)生變化,新的用戶也會不斷地浮出水面。軟件維護就是要針對這些問題而對軟件產(chǎn)品進行相應(yīng)的修改或演化,從而真正的修改錯誤,改善性能或其他特征。

軟件維護是整個軟件開發(fā)生命周期歷時最長得工作,主要是為了保障軟件系統(tǒng)的正常工作和運行直至軟件使用消亡或更新?lián)Q代。軟件的維護主要可分為三種:改正性維護(糾正軟件存在的錯誤和缺陷)、適應(yīng)性維護(適應(yīng)內(nèi)、外部環(huán)境)、完善性維護(添加、擴容和升級新的軟件功能)。

參考文獻:

[1] 沈備軍.軟件工程原理[M]. 北京:高等教育出版社,2013.

[2] 張海藩,倪寧.軟件工程[M].北京:人民郵電出版社,2010.

[3] 陳明.軟件工程導(dǎo)論[M].3版.北京:機械工業(yè)出版社,2010.

[4] 錢曉明,朱健江,王曉勇.軟件工程[M].北京:中國鐵道出版社,2007.

[5] 呂云翔,王昕鵬.軟件工程[M]. 北京:人民郵電出版社,2009.

[6] Carig Larman.UML和模式應(yīng)用[M]. 3版. 北京:機械工業(yè)出版社,2006.

[7] Grady Booch.Object-Oriented Analysis and Design with Applications[M]. Addison Wesley Longman Publishing Co., Inc, 2003.