安全審計(jì)培訓(xùn)范文

時(shí)間:2023-06-16 17:39:22

導(dǎo)語(yǔ):如何才能寫好一篇安全審計(jì)培訓(xùn),這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

安全審計(jì)培訓(xùn)

篇1

為進(jìn)一步加強(qiáng)對(duì)安全培訓(xùn)機(jī)構(gòu)的監(jiān)督管理,促進(jìn)安全培訓(xùn)機(jī)構(gòu)提高培訓(xùn)質(zhì)量和管理水平,根據(jù)《行政許可法》及《安全生產(chǎn)培訓(xùn)管理辦法》(原國(guó)家安全監(jiān)管局令第20號(hào))、《國(guó)家安全監(jiān)管總局關(guān)于印發(fā)〈一、二級(jí)安全培訓(xùn)機(jī)構(gòu)認(rèn)定標(biāo)準(zhǔn)(試行)〉的通知》(安監(jiān)總培訓(xùn)〔*〕226號(hào),以下簡(jiǎn)稱《標(biāo)準(zhǔn)》),決定對(duì)*年資質(zhì)到期的安全培訓(xùn)機(jī)構(gòu)進(jìn)行復(fù)審檢查?,F(xiàn)將有關(guān)事宜通知如下:

一、復(fù)審檢查目的及原則

通過(guò)復(fù)審檢查,進(jìn)一步加強(qiáng)對(duì)培訓(xùn)機(jī)構(gòu)的監(jiān)督管理,健全培訓(xùn)質(zhì)量評(píng)估機(jī)制,完善培訓(xùn)網(wǎng)絡(luò)基地,促進(jìn)培訓(xùn)機(jī)構(gòu)加大投入、改善條件、健全制度、改進(jìn)方法,提高培訓(xùn)質(zhì)量。

復(fù)審檢查堅(jiān)持公開(kāi)、公平、公正和總量控制、合理布局、資源整合、動(dòng)態(tài)管理的原則,嚴(yán)格按照《標(biāo)準(zhǔn)》對(duì)培訓(xùn)機(jī)構(gòu)進(jìn)行復(fù)審考核和監(jiān)督檢查,做到硬件與軟件相結(jié)合、定量與定性相結(jié)合、選樹(shù)示范與鞭策落后相結(jié)合。

二、復(fù)審檢查范圍

*年資質(zhì)到期的91家一、二級(jí)安全培訓(xùn)機(jī)構(gòu)。

三、復(fù)審檢查內(nèi)容

1.復(fù)審考核主要內(nèi)容。培訓(xùn)機(jī)構(gòu)設(shè)置、注冊(cè)資金或開(kāi)辦費(fèi)、管理人員及辦公場(chǎng)所、教師、教學(xué)及生活設(shè)施等必備條件情況,以及培訓(xùn)師資隊(duì)伍、教學(xué)研究、組織實(shí)施、業(yè)績(jī)和規(guī)章制度建設(shè)等情況。

2.監(jiān)督檢查主要內(nèi)容。培訓(xùn)機(jī)構(gòu)貫徹落實(shí)安全培訓(xùn)有關(guān)規(guī)定、培訓(xùn)收費(fèi)、資質(zhì)管理、合作辦班以及公務(wù)員在培訓(xùn)機(jī)構(gòu)兼職等情況。

四、復(fù)審檢查安排

1.培訓(xùn)機(jī)構(gòu)自查階段(7月1日至20日)。培訓(xùn)機(jī)構(gòu)按照《標(biāo)準(zhǔn)》進(jìn)行自查,總結(jié)成績(jī)與經(jīng)驗(yàn),查擺問(wèn)題與差距,形成自查報(bào)告和現(xiàn)場(chǎng)復(fù)審檢查備查材料(見(jiàn)附件2)。

2.現(xiàn)場(chǎng)復(fù)審檢查階段(7月21日至8月31日)。國(guó)家安全監(jiān)管總局人事培訓(xùn)司組織現(xiàn)場(chǎng)評(píng)審專家組(每組設(shè)組長(zhǎng)1人,成員2名)會(huì)同機(jī)構(gòu)所在地省級(jí)安全監(jiān)管監(jiān)察部門,按照《標(biāo)準(zhǔn)》對(duì)培訓(xùn)機(jī)構(gòu)進(jìn)行現(xiàn)場(chǎng)復(fù)審檢查。

3.評(píng)審結(jié)果確定階段?,F(xiàn)場(chǎng)復(fù)審檢查結(jié)束后,國(guó)家安全監(jiān)管總局組織召開(kāi)由培訓(xùn)管理、紀(jì)檢監(jiān)察等部門、現(xiàn)場(chǎng)評(píng)審專家組組長(zhǎng)及其他有關(guān)專家參加的綜合評(píng)審會(huì)議,對(duì)培訓(xùn)機(jī)構(gòu)進(jìn)行綜合評(píng)審,并將評(píng)審結(jié)果在國(guó)家安全監(jiān)管總局網(wǎng)站上進(jìn)行公示。公示期滿,對(duì)社會(huì)無(wú)異議、符合條件的,按照有關(guān)規(guī)定延期換發(fā)相應(yīng)資質(zhì)證書(shū)。

五、復(fù)審檢查方式

1.聽(tīng)取匯報(bào),座談交流。現(xiàn)場(chǎng)評(píng)審專家組要全面聽(tīng)取復(fù)審機(jī)構(gòu)自查情況匯報(bào)和當(dāng)?shù)厥〖?jí)安全監(jiān)管監(jiān)察部門意見(jiàn),組織召開(kāi)由復(fù)審機(jī)構(gòu)主管策劃、管理、財(cái)務(wù)、后勤等工作的負(fù)責(zé)人以及培訓(xùn)學(xué)員參加的座談會(huì),聽(tīng)取意見(jiàn)和建議。

2.查閱資料,現(xiàn)場(chǎng)檢查。現(xiàn)場(chǎng)評(píng)審專家組要深入現(xiàn)場(chǎng)進(jìn)行實(shí)地檢查,既要核查培訓(xùn)設(shè)施、培訓(xùn)場(chǎng)地、后勤保證等硬件,又要核查文件資料、培訓(xùn)檔案、管理制度等軟件,多渠道了解培訓(xùn)情況。

3.反饋意見(jiàn),整改提高?,F(xiàn)場(chǎng)復(fù)審檢查結(jié)束后,專家組要向復(fù)審機(jī)構(gòu)通報(bào)現(xiàn)場(chǎng)復(fù)審檢查情況,提出整改建議和要求。復(fù)審機(jī)構(gòu)要按照專家組意見(jiàn)制定整改措施,并組織落實(shí)。

4.發(fā)現(xiàn)典型,總結(jié)推廣。復(fù)審檢查中,要注意發(fā)現(xiàn)各單位在安全培訓(xùn)方面的好經(jīng)驗(yàn)好做法,以便總結(jié)推廣。

六、復(fù)審檢查工作要求

1.有關(guān)培訓(xùn)機(jī)構(gòu)要高度重視復(fù)審檢查工作,加強(qiáng)領(lǐng)導(dǎo),認(rèn)真制定自查方案,深入細(xì)致地開(kāi)展自查,發(fā)現(xiàn)問(wèn)題及時(shí)解決,做好各方面準(zhǔn)備工作。

2.現(xiàn)場(chǎng)評(píng)審專家要嚴(yán)格執(zhí)行黨風(fēng)廉政建設(shè)的有關(guān)規(guī)定,輕車簡(jiǎn)從,廉潔自律,出發(fā)前要簽署《現(xiàn)場(chǎng)復(fù)審檢查公正、廉潔、保密承諾書(shū)》(見(jiàn)附件3)。

3.現(xiàn)場(chǎng)評(píng)審專家組要認(rèn)真履行職責(zé),本著公平、公正、廉潔、高效的原則,嚴(yán)格按照《標(biāo)準(zhǔn)》中的各項(xiàng)指標(biāo),逐條逐項(xiàng)進(jìn)行檢查打分,不得泄露復(fù)審機(jī)構(gòu)的商業(yè)秘密和復(fù)審分?jǐn)?shù)。

4.現(xiàn)場(chǎng)評(píng)審專家與復(fù)審機(jī)構(gòu)之間存在關(guān)聯(lián)的,應(yīng)主動(dòng)提出回避;復(fù)審機(jī)構(gòu)發(fā)現(xiàn)本單位與現(xiàn)場(chǎng)復(fù)審檢查人員存在關(guān)聯(lián)的,有權(quán)提請(qǐng)其回避,對(duì)復(fù)審檢查工作存在疑義的,可向國(guó)家安全監(jiān)管總局人事培訓(xùn)司提出質(zhì)詢,必要時(shí),將組織專家重新復(fù)審。

篇2

一、信息安全概況

隨著信息技術(shù)的飛速發(fā)展,金融機(jī)構(gòu)生產(chǎn)、使用和共享的信息呈現(xiàn)幾何增長(zhǎng)的態(tài)勢(shì),信息傳遞的方式和渠道急劇增加,在為金融機(jī)構(gòu)帶來(lái)收益和效率的同時(shí),也使信息安全問(wèn)題更加凸顯。在全球范圍內(nèi),信息安全事件頻發(fā),給銀行和客戶造成經(jīng)濟(jì)損失的同時(shí),也帶來(lái)了巨大的聲譽(yù)損失。如何有效提升信息安全管理水平,成為銀行關(guān)注的焦點(diǎn)。信息安全審計(jì)作為信息安全保障工作中的重要一環(huán),能夠促進(jìn)信息安全控制措施的落實(shí),規(guī)范信息安全管理,提高全員信息安全意識(shí),從而有利于保持和持續(xù)改進(jìn)銀行信息安全能力和水平。

根據(jù)當(dāng)前的信息安全管理體系國(guó)家標(biāo)準(zhǔn)GB/T22080-2008(等同采用ISO/IEC27001:2005),信息安全保障工作從整體看應(yīng)包括四個(gè)階段:一是規(guī)劃和建設(shè)階段(Plan,簡(jiǎn)稱“P階段”);二是實(shí)施和運(yùn)行階段(Do,簡(jiǎn)稱“D階段”);三是監(jiān)視和評(píng)審階段(Check,簡(jiǎn)稱“C階段”);四是保持和改進(jìn)(Act,簡(jiǎn)稱“A階段”)。這四個(gè)階段按順序循環(huán)往復(fù),從而使信息安全得到持續(xù)改進(jìn)。這種方法也被稱為“PDCA循環(huán)”,如圖1所示。

經(jīng)過(guò)近十幾年的努力,金融行業(yè)信息安全保障工作已經(jīng)普遍走過(guò)了“P階段”和“D階段”,金融行業(yè)的信息安全需求已基本明確,滿足信息安全需求的基礎(chǔ)設(shè)施也基本具備。經(jīng)過(guò)大范圍的規(guī)劃建設(shè),各金融機(jī)構(gòu)已經(jīng)建立了相對(duì)完備的信息安全軟硬件環(huán)境,初步形成了信息安全保障體系。盡管如此,作為關(guān)系國(guó)計(jì)民生的重要基礎(chǔ)產(chǎn)業(yè),金融行業(yè)對(duì)信息安全有著更高的要求,也面臨著更大的信息安全風(fēng)險(xiǎn)挑戰(zhàn)。近年來(lái),金融行業(yè)頻繁發(fā)生的信息安全事件表明,金融行業(yè)信息安全保障工作還存在很多缺陷和不足。導(dǎo)致這一局面的因素很多,其中一個(gè)重要的原因就是大家普遍重視信息安全的建設(shè)和運(yùn)行,而忽視了信息安全工作的檢查和改進(jìn)。從整體上看,金融行業(yè)信息安全保障工作已經(jīng)走過(guò)“P階段”和“D階段”,尚未進(jìn)入“C階段”和“A階段”,還沒(méi)有形成完整的基于“PDCA”過(guò)程方法的持續(xù)改進(jìn)機(jī)制。接下來(lái)金融行業(yè)信息安全工作的重心應(yīng)該轉(zhuǎn)向檢查和改進(jìn)。信息安全審計(jì)是“C階段”的主要手段。它利用傳統(tǒng)財(cái)務(wù)審計(jì)和審計(jì)工作的規(guī)范與嚴(yán)謹(jǐn),結(jié)合信息和保密技術(shù)的工具與手段,對(duì)金融機(jī)構(gòu)信息安全工作的成效和不足給出客觀、確定的審計(jì)結(jié)論,并根據(jù)審計(jì)結(jié)果,對(duì)金融機(jī)構(gòu)的信息安全保障工作提出改進(jìn)措施、給出合理化建議。

為了對(duì)商業(yè)銀行信息科技整個(gè)生命周期內(nèi)的信息安全、業(yè)務(wù)連續(xù)性管理和外包等主要方面提出高標(biāo)準(zhǔn)、高要求,滿足商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的需要,銀監(jiān)會(huì)2009年了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》,其中第六十五條規(guī)定:“商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度,信息科技應(yīng)用情況,以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果,決定信息科技內(nèi)部審計(jì)范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計(jì)?!?/p>

二、國(guó)內(nèi)外信息安全審計(jì)現(xiàn)狀

(一)國(guó)外信息安全審計(jì)發(fā)展與現(xiàn)狀

在建立信息安全審計(jì)制度,開(kāi)展信息安全審計(jì)研究方面,美國(guó)走在了世界前列。早在計(jì)算機(jī)進(jìn)入實(shí)用階段時(shí),美國(guó)就開(kāi)始提出系統(tǒng)審計(jì)(SYSTEMAUDIT)概念。1969年在洛杉磯成立了電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)(EDPAA),1994年該協(xié)會(huì)更名為信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA),總部設(shè)在美國(guó)芝加哥。自1978年以來(lái),由ISACA發(fā)起的注冊(cè)信息系統(tǒng)審計(jì)師(CISA)認(rèn)證計(jì)劃已經(jīng)成為涵蓋信息系統(tǒng)審計(jì)、控制與安全等專業(yè)領(lǐng)域的被廣泛認(rèn)可的標(biāo)準(zhǔn)。目前該組織在世界上100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì),現(xiàn)有會(huì)員兩萬(wàn)多人。

1999年,美國(guó)國(guó)家審計(jì)署(GAO)《聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)》(第一版),為美國(guó)聯(lián)邦政府實(shí)施信息安全審計(jì)提供基本準(zhǔn)則和方法。2001年,GAO《聯(lián)邦信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南》,用于為美國(guó)聯(lián)邦政府實(shí)施信息安全審計(jì)提供具體指導(dǎo);2009年,GAO《聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)》(第二版),該手冊(cè)成為現(xiàn)階段美國(guó)聯(lián)邦政府實(shí)施信息安全審計(jì)的事實(shí)標(biāo)準(zhǔn)。

近年來(lái),美國(guó)通過(guò)立法賦予信息安全審計(jì)新的意義,并對(duì)企業(yè)實(shí)施信息安全審計(jì)產(chǎn)生重大影響。2002年,美國(guó)安然公司和世通財(cái)務(wù)欺詐案爆發(fā)后,美國(guó)國(guó)會(huì)和政府緊急通過(guò)了《薩班斯——奧克斯利法案》(Sarbanes-OxleyAct,簡(jiǎn)稱薩班斯法案)。薩班斯法案第302條款和第404條款明確要求“,通過(guò)內(nèi)部控制加強(qiáng)公司治理,包括加強(qiáng)與財(cái)務(wù)報(bào)表相關(guān)的IT系統(tǒng)內(nèi)部控制,而信息安全審計(jì)正是IT系統(tǒng)內(nèi)部控制的核心。”2006年底生效的《巴塞爾新資本協(xié)議(》BaselII),要求全球銀行必須針對(duì)其市場(chǎng)、信用及營(yíng)運(yùn)等三種金融作業(yè)風(fēng)險(xiǎn)提供相應(yīng)水準(zhǔn)的資金準(zhǔn)備,迫使各銀行必須做好風(fēng)險(xiǎn)控管,而這一“金融作業(yè)風(fēng)險(xiǎn)”的防范也正是需要業(yè)務(wù)信息安全審計(jì)為依托。

近一段時(shí)期,以美國(guó)、加拿大、澳大利亞為主的西方國(guó)家,針對(duì)不同的組織機(jī)構(gòu),以不同的信息安全審計(jì)方式,卓有成效地開(kāi)展了包括信息系統(tǒng)計(jì)劃與技術(shù)構(gòu)架、信息安全保護(hù)與災(zāi)難恢復(fù)、軟件系統(tǒng)開(kāi)發(fā)、獲得、實(shí)施及維護(hù)、商業(yè)流程評(píng)估及風(fēng)險(xiǎn)管理等方面的信息安全審計(jì)。

具體來(lái)說(shuō),針對(duì)各類企業(yè)的信息安全審計(jì),采取了以內(nèi)部審計(jì)為主,從關(guān)注安全向關(guān)注業(yè)務(wù)目標(biāo)過(guò)渡,一般控制審計(jì)與應(yīng)用控制審計(jì)相結(jié)合的方式;針對(duì)政府機(jī)構(gòu)的信息安全審計(jì),強(qiáng)調(diào)外部審計(jì)與政府內(nèi)部審計(jì)結(jié)合,融入績(jī)效預(yù)算管理體系,關(guān)注系統(tǒng)最終效果。

在亞洲,日本的信息安全審計(jì)始于20世紀(jì)80年代。1983年,通產(chǎn)省公開(kāi)發(fā)表了《系統(tǒng)審計(jì)標(biāo)準(zhǔn)》,并在全國(guó)軟件水平考試中增加了“系統(tǒng)審計(jì)師”一級(jí)的考試,著手培養(yǎng)從事信息系統(tǒng)審計(jì)的骨干隊(duì)伍。近幾年,東南亞各國(guó)也開(kāi)始制定電子商務(wù)法規(guī),成立專門機(jī)構(gòu)開(kāi)展信息系統(tǒng)審計(jì)業(yè)務(wù),并制定技術(shù)標(biāo)準(zhǔn)。

(二)我國(guó)信息安全審計(jì)發(fā)展與現(xiàn)狀

近年來(lái),我國(guó)的信息安全審計(jì)日益受到重視,審計(jì)署以及一些大型國(guó)有銀行也相繼開(kāi)展了信息安全方面的審計(jì)工作。信息系統(tǒng)審計(jì)規(guī)范的研究和制定方面,我國(guó)已建成了一套比較成熟規(guī)范的法規(guī)、準(zhǔn)則體系,但在信息系統(tǒng)及信息安全審計(jì)方面,雖有《內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)——信息系統(tǒng)審計(jì)》(中國(guó)內(nèi)部審計(jì)協(xié)會(huì)2008年)以及審計(jì)署對(duì)信息系統(tǒng)審計(jì)相關(guān)法規(guī)、準(zhǔn)則的規(guī)劃及研究,但尚未形成系統(tǒng)的法規(guī)、準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)體系。

三、金融行業(yè)信息安全審計(jì)組織與實(shí)施

金融行業(yè)的信息安全審計(jì)(InformationSecurityAudit),是指金融機(jī)構(gòu)為了掌握其信息安全保障工作的有效性,根據(jù)事先確定的審計(jì)依據(jù),在規(guī)定的審計(jì)范圍內(nèi),通過(guò)文件審核、記錄檢查、技術(shù)測(cè)試、現(xiàn)場(chǎng)訪談等活動(dòng),獲得審計(jì)證據(jù),并對(duì)其進(jìn)行客觀的評(píng)價(jià),以確定被審計(jì)對(duì)象滿足審計(jì)依據(jù)的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過(guò)程。金融機(jī)構(gòu)可以單獨(dú)實(shí)施信息安全審計(jì),也可以將信息安全審計(jì)作為其他相關(guān)工作的一部分內(nèi)容聯(lián)合實(shí)施。如IT審計(jì)、信息安全等級(jí)保護(hù)建設(shè)、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全管理體系建設(shè)等。審計(jì)的工作流程和內(nèi)容大致包括六個(gè)方面的活動(dòng)(如圖2所示)。

1.確定審計(jì)目的和范圍。金融機(jī)構(gòu)實(shí)施信息安全審計(jì),首先要明確審計(jì)目的,確定審計(jì)范圍。審計(jì)目的是信息安全審計(jì)工作的出發(fā)點(diǎn)。審計(jì)目的可以從滿足監(jiān)管部門的要求、滿足信息安全國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)的要求、滿足機(jī)構(gòu)自身信息安全工作要求等合規(guī)性方面考慮。明確了審計(jì)目的,然后要確定審計(jì)范圍。審計(jì)范圍是影響審計(jì)工作量的一個(gè)重要因素。確定審計(jì)范圍,可以從組織機(jī)構(gòu)考慮,如僅對(duì)個(gè)別部門實(shí)施審計(jì),或者在組織全部范圍實(shí)施審計(jì);也可以從業(yè)務(wù)和系統(tǒng)角度考慮,如僅對(duì)核心系統(tǒng)實(shí)施審計(jì),或者僅對(duì)信貸業(yè)務(wù)實(shí)施審計(jì)等。

2.明確審計(jì)依據(jù)。審計(jì)依據(jù)就像一把“尺子”,審計(jì)人員用它來(lái)衡量信息安全工作的“長(zhǎng)短”。審計(jì)目的不同,審計(jì)依據(jù)就可能不同,如表1中所示。

3.組建審計(jì)組。審計(jì)組是具體實(shí)施信息安全審計(jì)工作的基本組織單位,應(yīng)由審計(jì)組長(zhǎng)和審計(jì)員組成。管理良好的審計(jì)組是信息安全審計(jì)工作順利實(shí)施并達(dá)成審計(jì)目的的保障。審計(jì)組長(zhǎng)應(yīng)由金融機(jī)構(gòu)內(nèi)部審計(jì)部門的管理者任命。負(fù)責(zé)編制審計(jì)方案和審計(jì)計(jì)劃,選擇審計(jì)員,管理審計(jì)小組,與被審計(jì)對(duì)象溝通等。審計(jì)組長(zhǎng)應(yīng)具備較強(qiáng)的項(xiàng)目管理能力,熟悉被審計(jì)對(duì)象的業(yè)務(wù)和系統(tǒng),了解被審計(jì)對(duì)象面臨的信息安全風(fēng)險(xiǎn)和常用的風(fēng)險(xiǎn)控制措施。審計(jì)員應(yīng)選擇責(zé)任心強(qiáng)、公正、獨(dú)立、熟悉業(yè)務(wù)的人員擔(dān)任,避免審計(jì)員與被審計(jì)對(duì)象存在利害關(guān)系,以免影響審計(jì)結(jié)果的公正性。正式實(shí)施信息安全審計(jì)前,應(yīng)對(duì)審計(jì)組成員進(jìn)行培訓(xùn)。

4.實(shí)施現(xiàn)場(chǎng)審計(jì)。審計(jì)準(zhǔn)備工作就緒后,則可以實(shí)施現(xiàn)場(chǎng)審計(jì)?,F(xiàn)場(chǎng)審計(jì)是一項(xiàng)復(fù)雜的系統(tǒng)工程,具有較強(qiáng)的不確定性。因此,現(xiàn)場(chǎng)審計(jì)應(yīng)根據(jù)事先編制的審計(jì)方案和審計(jì)計(jì)劃執(zhí)行,審計(jì)過(guò)程中還要做好變更控制?,F(xiàn)場(chǎng)審計(jì)往往由首次會(huì)議開(kāi)始,至末次會(huì)議結(jié)束。在首次會(huì)議上,審計(jì)組長(zhǎng)應(yīng)向被審計(jì)單位闡明此次審計(jì)的目的、范圍、依據(jù)和審計(jì)計(jì)劃,并提出需要被審計(jì)單位配合的事項(xiàng)。末次會(huì)議上,審計(jì)組長(zhǎng)向被審計(jì)單位說(shuō)明審計(jì)發(fā)現(xiàn),報(bào)告審計(jì)初步結(jié)果,并與被審計(jì)單位就初步審計(jì)結(jié)果達(dá)成一致?,F(xiàn)場(chǎng)審計(jì)方法通常包括:現(xiàn)場(chǎng)訪談、審閱文件、查看記錄、系統(tǒng)檢查和測(cè)試等。在系統(tǒng)檢查和測(cè)試過(guò)程中,可能需要相關(guān)的審計(jì)工具,如系統(tǒng)漏洞掃描器、數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)、桌面終端配置檢查工具、網(wǎng)絡(luò)安全檢查工具、惡意軟件掃描器等?,F(xiàn)場(chǎng)審計(jì)過(guò)程中,應(yīng)做好文檔化工作。對(duì)所發(fā)現(xiàn)的審計(jì)證據(jù)應(yīng)進(jìn)行詳細(xì)記錄,并與被審計(jì)單位人員進(jìn)行現(xiàn)場(chǎng)確認(rèn)。現(xiàn)場(chǎng)審計(jì)應(yīng)注意方式方法,就意見(jiàn)不一致的問(wèn)題先做好記錄,避免現(xiàn)場(chǎng)與被審計(jì)單位人員發(fā)生爭(zhēng)執(zhí)。

篇3

【 關(guān)鍵詞 】 互聯(lián)網(wǎng);安全;防御;威脅

Key Measures of the "Internet +" Under the New Normal, Safe Operation of the Internet

Xiong Wei

(CPC Hunan Provincial Committee Party School HunanXiangtan 410006 )

【 Abstract 】 With cloud computing, distributed computing, rapid development of mobile computing technology and improve the development of a new generation of computer technology gave birth to the "Internet +" era, to achieve widespread popularity of the Internet in industrial production, commerce, and virtual reality in and achieved remarkable results. "Internet +" era of many types of network applications, applications scale complex and require strict network security management system and preventive measures, in order to be able to improve network security defense capabilities to ensure the normal application of network security.

【 Keywords 】 internet; security; defense; threats

1 引言

目前,隨著新一代信息技術(shù)地發(fā)展和改進(jìn),其催生了物聯(lián)網(wǎng)、社會(huì)計(jì)算、云計(jì)算、大數(shù)據(jù)、移動(dòng)計(jì)算等技術(shù),進(jìn)而實(shí)現(xiàn)了網(wǎng)絡(luò)創(chuàng)新2.0,推動(dòng)了創(chuàng)新2.0的改革和演變,形成了體驗(yàn)實(shí)驗(yàn)區(qū)、個(gè)人創(chuàng)造實(shí)驗(yàn)室、應(yīng)用創(chuàng)新園區(qū)、維基模式等應(yīng)用系統(tǒng)的誕生,實(shí)現(xiàn)了傳統(tǒng)行業(yè)與互聯(lián)網(wǎng)融合發(fā)展,形成了“互聯(lián)網(wǎng)+”時(shí)代的新業(yè)態(tài)和新形態(tài)?!盎ヂ?lián)網(wǎng)+”時(shí)代促進(jìn)了各類基于網(wǎng)絡(luò)的應(yīng)用系統(tǒng)誕生和普及,以云計(jì)算、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、大數(shù)據(jù)為代表的新一代信息技術(shù)與工業(yè)制造、生產(chǎn)服務(wù)、金融經(jīng)濟(jì)融合創(chuàng)新,打造了新的產(chǎn)業(yè)增長(zhǎng)點(diǎn),為大眾創(chuàng)業(yè)、萬(wàn)眾創(chuàng)新提供了新的環(huán)境,支撐產(chǎn)業(yè)智能化、經(jīng)濟(jì)發(fā)展創(chuàng)新化發(fā)展。隨著人類信息化社會(huì)進(jìn)入“互聯(lián)網(wǎng)+”時(shí)代,互聯(lián)網(wǎng)應(yīng)用規(guī)模迅速上升,復(fù)雜程度也大幅度增加,互聯(lián)網(wǎng)新常態(tài)下面臨了更多的安全威脅,具體表現(xiàn)在幾個(gè)方面。

(1)“互聯(lián)網(wǎng)+”時(shí)代安全威脅更加智能?!盎ヂ?lián)網(wǎng)+”時(shí)代的到來(lái),促進(jìn)了網(wǎng)絡(luò)木馬、病毒和黑客攻擊技術(shù)的提升,導(dǎo)致網(wǎng)絡(luò)安全威脅日趨智能化,能夠發(fā)現(xiàn)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)存在的、更加隱蔽的風(fēng)險(xiǎn)和漏洞進(jìn)行攻擊。

(2)“互聯(lián)網(wǎng)+”時(shí)代安全威脅傳播范圍廣、速度快。“互聯(lián)網(wǎng)+”時(shí)代,云計(jì)算技術(shù)、分布式計(jì)算技術(shù)、移動(dòng)計(jì)算技術(shù)使更多的網(wǎng)絡(luò)節(jié)點(diǎn)通過(guò)光纖網(wǎng)絡(luò)連接在一起,如果一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)存在漏洞被安全威脅攻擊,則將在更短的時(shí)間內(nèi)感染其他節(jié)點(diǎn),產(chǎn)生更大的損失。

因此,為了能夠提高“互聯(lián)網(wǎng)+”時(shí)代網(wǎng)絡(luò)安全管理成效,需要?jiǎng)?chuàng)新網(wǎng)絡(luò)安全管理體系和模式,全方位實(shí)現(xiàn)網(wǎng)絡(luò)安全漏洞掃描和風(fēng)險(xiǎn)評(píng)估,對(duì)“互聯(lián)網(wǎng)+”安全管理涉及的節(jié)點(diǎn)資源進(jìn)行審計(jì),采用主動(dòng)防御技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全管理,具有重要的作用和意義。

2 互聯(lián)網(wǎng)安全管理體系創(chuàng)新及其模式

2.1 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估可以有效評(píng)估網(wǎng)絡(luò)軟硬件資源受到的威脅,以便能夠?qū)踩{控制在可接受的范圍內(nèi)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是確定計(jì)算機(jī)網(wǎng)絡(luò)中是否存在潛在威脅和攻擊事件的重要工具。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估包括五種基本要素,分別是資產(chǎn)、威脅、脆弱性、信息安全風(fēng)險(xiǎn)和安全措施。資產(chǎn)是指計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)使用的、有價(jià)值的固定設(shè)備、軟件系統(tǒng)等有形或無(wú)形的資產(chǎn)。威脅是指可能對(duì)資產(chǎn)造成損害的一些潛在的攻擊事件或非法事件,威脅可以使用主體、動(dòng)機(jī)、資源和途徑等多個(gè)屬性進(jìn)行聯(lián)合刻畫(huà)。脆弱性是指可能被威脅利用的薄弱環(huán)節(jié)或漏洞,其可以對(duì)資產(chǎn)造成損失。信息安全風(fēng)險(xiǎn)包括自熱因素造成的風(fēng)險(xiǎn)或人為因素造成的風(fēng)險(xiǎn),能夠利用計(jì)算機(jī)軟硬件存在的漏洞攻擊計(jì)算機(jī)網(wǎng)絡(luò),破壞網(wǎng)絡(luò)的安全性。安全措施是指為了能夠防御計(jì)算機(jī)信息系統(tǒng)遭到破壞,以便能夠采用入侵檢測(cè)、防火墻等具體的措施,保護(hù)資產(chǎn)安全,防御安全攻擊事件發(fā)生,并且能夠用來(lái)打擊犯罪,其包括各類規(guī)范、防御技術(shù)等。

2.2 網(wǎng)絡(luò)安全審計(jì)

網(wǎng)絡(luò)安全審計(jì)可以通過(guò)數(shù)據(jù)采集、數(shù)據(jù)分析、安全審計(jì)響應(yīng)等過(guò)程,能夠獲取網(wǎng)絡(luò)操作系統(tǒng)的使用狀況和設(shè)備狀態(tài)信息,并且可以將采集到的數(shù)據(jù)進(jìn)行統(tǒng)一變換,實(shí)施預(yù)處理,接著使用數(shù)據(jù)分析技術(shù),按照既定的安全審計(jì)規(guī)則,鑒別數(shù)據(jù)中存在的異常行為、非法行為。安全審計(jì)分析完成之后,可以根據(jù)安全審計(jì)的結(jié)果做出相關(guān)的響應(yīng)操作,安全審計(jì)響應(yīng)主要包括主動(dòng)響應(yīng)和被動(dòng)響應(yīng)。安全審計(jì)系統(tǒng)檢測(cè)到網(wǎng)絡(luò)中存在的異常行為之后,安全審計(jì)系統(tǒng)不主動(dòng)做出響應(yīng);安全審計(jì)系統(tǒng)通過(guò)發(fā)出異常檢測(cè)報(bào)警,可以通過(guò)告警彈窗、發(fā)送短消息、郵件等到管理員處,由其他人員或者安全設(shè)備采取預(yù)防或改進(jìn)措施。

2.3 網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)

傳統(tǒng)的網(wǎng)絡(luò)安全通常采用訪問(wèn)控制列表、防火墻、包過(guò)濾、入侵檢測(cè)等技術(shù),雖然能夠阻止網(wǎng)絡(luò)木馬、病毒和黑客的攻擊。但是隨著“互聯(lián)網(wǎng)+”時(shí)代的到來(lái),網(wǎng)絡(luò)安全威脅技術(shù)日趨智能,傳播速度越來(lái)越快,感染范圍也越來(lái)越廣泛,傳統(tǒng)網(wǎng)絡(luò)安全防御已經(jīng)無(wú)法滿足“互聯(lián)網(wǎng)+”時(shí)代網(wǎng)絡(luò)安全管理需求,因此在網(wǎng)絡(luò)安全管理過(guò)程中,可以采用網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)提高網(wǎng)絡(luò)安全管理能力。網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)主要包括預(yù)警、防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)和反擊六種,將這六種技術(shù)有機(jī)集成在一起,分布于網(wǎng)絡(luò)安全防御的不同層次,構(gòu)建深度防御體系,能夠及時(shí)地發(fā)現(xiàn)大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)中非法入侵信息和不正常數(shù)據(jù),以便能夠及時(shí)地對(duì)攻擊行為進(jìn)行阻斷、反擊,恢復(fù)網(wǎng)絡(luò)至正常的運(yùn)行狀態(tài)。

3 互聯(lián)網(wǎng)安全運(yùn)營(yíng)的關(guān)鍵措施

3.1 管理措施

“互聯(lián)網(wǎng)+”時(shí)代,網(wǎng)絡(luò)應(yīng)用系統(tǒng)使用制度具有較為重要的作用,許多計(jì)算機(jī)網(wǎng)絡(luò)安全專家提出,網(wǎng)絡(luò)安全七分防御、三分管理,因此可以甚至網(wǎng)絡(luò)安全管理制度在安全管理過(guò)程中,具有不可替代的作用。網(wǎng)絡(luò)安全應(yīng)用用戶越來(lái)越多,網(wǎng)絡(luò)安全操作用戶大部分非計(jì)算機(jī)專業(yè)人才,因此需要建立健全管理制度,以便能夠規(guī)范網(wǎng)絡(luò)用戶操作,強(qiáng)化用戶網(wǎng)絡(luò)安全防御技術(shù)培訓(xùn),定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全漏洞掃描和評(píng)估,并且制定網(wǎng)絡(luò)安全防御策略,使得網(wǎng)絡(luò)安全管理制度融入到工作、生活和學(xué)習(xí)過(guò)程中,通過(guò)學(xué)習(xí)、培訓(xùn),提高用戶的安全意識(shí),增強(qiáng)用戶的警覺(jué)性。

3.2 技術(shù)措施

網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)主要包括安全預(yù)警、安全保護(hù)、安全監(jiān)測(cè)、安全響應(yīng)、網(wǎng)絡(luò)恢復(fù)和網(wǎng)絡(luò)反攻擊等六種。網(wǎng)絡(luò)安全預(yù)警可以有效地對(duì)網(wǎng)絡(luò)中可能發(fā)生的攻擊進(jìn)行警告,包括漏洞預(yù)警、行為預(yù)警、攻擊趨勢(shì)預(yù)警等措施,預(yù)知網(wǎng)絡(luò)未來(lái)可能發(fā)生的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全保護(hù)可以采用多種手段,保護(hù)網(wǎng)絡(luò)安全系統(tǒng)的機(jī)密性、可用性、完整性、不可否認(rèn)性和可控性,網(wǎng)絡(luò)安全保護(hù)措施主要包括防病毒軟件、防火墻服務(wù)器、虛擬專用網(wǎng)等技術(shù)。網(wǎng)絡(luò)安全監(jiān)測(cè)的主要目的是能夠及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中存在的攻擊信息,以便能夠檢測(cè)網(wǎng)絡(luò)中是否存在非法信息流,檢測(cè)網(wǎng)絡(luò)服務(wù)系統(tǒng)是否存在安全漏洞等,以便能夠?qū)崟r(shí)地應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊,網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)包括入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)安全掃描技術(shù)和網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控技術(shù)。

網(wǎng)絡(luò)安全響應(yīng)能夠?qū)W(wǎng)絡(luò)中存在的病毒、木馬等安全威脅做出及時(shí)的反應(yīng),以便進(jìn)一步阻止網(wǎng)絡(luò)攻擊,將網(wǎng)絡(luò)安全威脅阻斷或者引誘到其他的備用主機(jī)上。網(wǎng)絡(luò)恢復(fù)技術(shù)可以為了保證網(wǎng)絡(luò)受到攻擊之后,能夠及時(shí)地恢復(fù)系統(tǒng),需要在平時(shí)做好備份工作,常用的備份技術(shù)包括現(xiàn)場(chǎng)外備份、現(xiàn)場(chǎng)內(nèi)備份和冷熱備份等。網(wǎng)絡(luò)安全反擊技術(shù)是主動(dòng)防御系統(tǒng)最為重要的特征之一,其可以對(duì)網(wǎng)絡(luò)攻擊源進(jìn)行有效的反擊,網(wǎng)絡(luò)安全反擊綜合采用各類網(wǎng)絡(luò)攻擊手段,確保網(wǎng)絡(luò)高效服務(wù)用戶。

4 結(jié)束語(yǔ)

隨著“互聯(lián)網(wǎng)+”時(shí)代的到來(lái),網(wǎng)絡(luò)安全攻擊技術(shù)更加智能、傳播速度更快、影響范圍更加廣泛,構(gòu)建和實(shí)現(xiàn)新的網(wǎng)絡(luò)安全管理系統(tǒng),可以全方位實(shí)現(xiàn)網(wǎng)絡(luò)安全防御。

參考文獻(xiàn)

[1] 郭威,曾濤,劉偉霞.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與安全管理維護(hù)的研究[J]. 信息通信, 2014, 32(10):164-164.

[2] 田紅廣.如何加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的安全管理和安全防范[J].軟件, 2014, 26(1):92-93.

[3] 蔡艷.探討數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)信息安全管理中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2013, 21(10):58-58.

篇4

一、 道路交通安全長(zhǎng)效管理機(jī)制內(nèi)涵

道路交通事故通常指人、車在道路上通行時(shí),由于違反交通規(guī)則或其它原因發(fā)生人員、牲畜和車、物損失的事件。《中華人民共和國(guó)道路交通安全法》中對(duì)“交通事故”的定義是指車輛在道路上因過(guò)錯(cuò)或者意外造成的人身傷亡或者財(cái)產(chǎn)損失的事件。由法律定義引申,筆者認(rèn)為道路交通安全長(zhǎng)效管理機(jī)制的內(nèi)涵應(yīng)該為:在道路交通的執(zhí)行、管理過(guò)程中能有效預(yù)防事故,保證道路交通的順利進(jìn)行,并能對(duì)今后一段時(shí)期的道路交通安全工作產(chǎn)生積極影響的運(yùn)行方式、管理模式和監(jiān)督體制的總和。而這種長(zhǎng)效管理機(jī)制首先是切實(shí)可行,而又長(zhǎng)期有效的;它所形成的規(guī)范性條款和規(guī)定,并不只局限于現(xiàn)任,無(wú)需隨人員的流動(dòng)或機(jī)構(gòu)的變遷而動(dòng)。因此它必須具有以下五個(gè)特性:

長(zhǎng)期性在立法思路、管理策略和采取的措施上,管理效應(yīng)會(huì)對(duì)今后相當(dāng)長(zhǎng)一段時(shí)期的工作產(chǎn)生影響,而不是一種短期行為。

系統(tǒng)通安全長(zhǎng)效管理機(jī)制豐富的內(nèi)涵決定了必須有多項(xiàng)的措施保證其功能的實(shí)現(xiàn)。這是一個(gè)系統(tǒng)共同作用而產(chǎn)生的效果,不是單一的措施就能完成的。

根本性立足防范,從治本上研究和考慮立法思路、管理策略和采取的措施。

自主性這種機(jī)制所產(chǎn)生的效果能使生產(chǎn)經(jīng)營(yíng)主體真正形成自我管理的意識(shí),形成自我約束的機(jī)制。

有效性有效性是建立長(zhǎng)效管理機(jī)制的最終目的,只有在實(shí)踐的過(guò)程中,才能檢驗(yàn)其存在的真正價(jià)值。

二、道路交通安全長(zhǎng)效管理機(jī)制的構(gòu)建

筆者認(rèn)為,構(gòu)建福建省道路交通安全長(zhǎng)效管理機(jī)制應(yīng)從七個(gè)層面加以思考,即建立健全四個(gè)體系、引進(jìn)一個(gè)制度、實(shí)現(xiàn)兩個(gè)創(chuàng)新。

(一)建立健全交通安全相關(guān)的法律法規(guī)體系

當(dāng)前,應(yīng)盡快做好道路交通安全主法的配套和細(xì)化工作。一要盡快制定和出臺(tái)有關(guān)單行法規(guī)、條例;二要結(jié)合實(shí)際,通過(guò)地方立法,補(bǔ)充和完善道路交通安全法律體系,如對(duì)交通主管部門機(jī)構(gòu)設(shè)置和人員配置及對(duì)交通安全行政執(zhí)法和處罰進(jìn)行細(xì)化等;三要加強(qiáng)交通安全立法理論研究和司法總結(jié),擴(kuò)大交通安全立法的公開(kāi)性、民主性和廣泛性。

(二)建立健全安全目標(biāo)管理體系

1、加強(qiáng)各級(jí)人員對(duì)道路交通安全目標(biāo)管理的認(rèn)識(shí)。道路交通企業(yè)領(lǐng)導(dǎo)對(duì)安全目標(biāo)管理要有深刻的認(rèn)識(shí),要深入調(diào)查研究,結(jié)合本單位實(shí)際情況,制定企業(yè)的總目標(biāo),并參加全過(guò)程的管理;加強(qiáng)對(duì)中層和基層干部的思想教育,提高他們對(duì)安全目標(biāo)管理重要性的認(rèn)識(shí)和組織協(xié)調(diào)能力;還要加強(qiáng)對(duì)職工的宣傳教育,普及安全目標(biāo)管理的基本知識(shí)與方法。

2、安全目標(biāo)管理需要全員參與。安全目標(biāo)管理是以目標(biāo)責(zé)任者為主的自主管理,因此,必須充分發(fā)動(dòng)群眾,將企業(yè)的全體員工科學(xué)地組織起來(lái),實(shí)行全員、全過(guò)程參與,才能保證安全目標(biāo)的有效實(shí)施。

3、安全目標(biāo)管理需要責(zé)、權(quán)、利相結(jié)合。實(shí)施安全目標(biāo)管理時(shí)要明確職工在目標(biāo)管理中的職責(zé)。同時(shí),要賦予他們?cè)谌粘9芾砩系臋?quán)力,還要給予他們應(yīng)得的利益,責(zé)、權(quán)、利的有機(jī)結(jié)合才能調(diào)動(dòng)廣大職工的積極性和持久性。

4、安全目標(biāo)管理要與其他安全管理方法相結(jié)合。在實(shí)現(xiàn)安全目標(biāo)過(guò)程中,要依靠和發(fā)揮各種安全管理方法的作用,如建立安全生產(chǎn)責(zé)任制、制定安全技術(shù)措施計(jì)劃、開(kāi)展安全教育和安全檢查等。只有兩者有機(jī)結(jié)合,才能使企業(yè)的安全管理工作做得更好。

(三)建立健全交通部門的預(yù)警體系

長(zhǎng)期以來(lái),道路交通安全部門的安全管理基本是單一的反饋控制模式。這種模式主要體現(xiàn)了事后把關(guān)的安全管理思想,即主要通過(guò)對(duì)已發(fā)生的事故和事故苗子等進(jìn)行分析,找出原因,然后制定實(shí)施對(duì)策。隨著道路里程的增加和交通工具密度日益增大,交通運(yùn)輸生產(chǎn)的系統(tǒng)復(fù)雜度和風(fēng)險(xiǎn)度顯著提高。這種單一的管理模式,已經(jīng)遠(yuǎn)遠(yuǎn)不能適應(yīng)現(xiàn)代安全管理的需求。

因此有必要構(gòu)建先進(jìn)的交通安全預(yù)警系統(tǒng),綜合利用現(xiàn)有的交通運(yùn)輸系統(tǒng)安全信息,針對(duì)交通運(yùn)輸生產(chǎn)系統(tǒng)本身或其輸入發(fā)生的變化,在其影響運(yùn)輸生產(chǎn)安全之前就事先將對(duì)其可能造成的影響進(jìn)行分析評(píng)價(jià),開(kāi)展事故安全預(yù)測(cè),及時(shí)向交通安全部門反饋信息,使其能夠根據(jù)得到的前饋信息,科學(xué)預(yù)見(jiàn)交通運(yùn)輸生產(chǎn)系統(tǒng)及其要素的安全態(tài)勢(shì),采取合理措施對(duì)交通運(yùn)輸生產(chǎn)系統(tǒng)的人、機(jī)、環(huán)境、管理等四個(gè)要素進(jìn)行事前協(xié)調(diào),把事故消滅在萌芽之中,防患于未然。

(四)建立健全道路交通信息化體系

1994年,福建省交通信息化工作開(kāi)始實(shí)施"三步走"的發(fā)展戰(zhàn)略。目前已經(jīng)實(shí)現(xiàn)了第一步:普及計(jì)算機(jī)和推廣應(yīng)用信息技術(shù)的基礎(chǔ)工作;第二步也基本完成:部份數(shù)據(jù)庫(kù)和局域網(wǎng)的建設(shè),基本實(shí)現(xiàn)《福建省道路、水運(yùn)交通信息化1998-2000發(fā)展規(guī)劃》中提出的目標(biāo),全行業(yè)信息技術(shù)應(yīng)用達(dá)到一定水平。

作為第三步任務(wù)目標(biāo)是建設(shè)“數(shù)字交通”。它是以我省交通為對(duì)象的數(shù)字化、網(wǎng)絡(luò)化、可視化和智能化的信息集成及應(yīng)用系統(tǒng)。著力在五個(gè)領(lǐng)域取得進(jìn)展,實(shí)現(xiàn)交通政務(wù)信息化;交通基礎(chǔ)設(shè)施建設(shè)與管理信息化;交通運(yùn)輸生產(chǎn)管理信息化;交通產(chǎn)品營(yíng)銷信息化;交通科學(xué)技術(shù)信息化。重點(diǎn)實(shí)施交通信息化"123重點(diǎn)工程":抓好電子政務(wù)建設(shè);力爭(zhēng)在智能運(yùn)輸系統(tǒng)(ITS)和物流兩個(gè)領(lǐng)域有實(shí)質(zhì)性突破;開(kāi)發(fā)、推廣、應(yīng)用高速道路聯(lián)網(wǎng)收費(fèi)、交通基礎(chǔ)設(shè)施建設(shè)質(zhì)量安全監(jiān)控、交通公共信息服務(wù)三個(gè)系統(tǒng)。

(五)引進(jìn)道路安全審計(jì)制度

道路安全審計(jì)是有效預(yù)防和降低交通事故的重要手段之一。首先,“預(yù)防重于治理”,道路建設(shè)項(xiàng)目的各個(gè)階段實(shí)行安全審計(jì)是從源頭預(yù)防交通事故的重要措施,;其次應(yīng)盡快開(kāi)展道路安全審計(jì)的法規(guī)研究,明確道路安全審計(jì)的程序和安全審計(jì)人員的責(zé)任、義務(wù)及權(quán)益;第三,要加緊加快道路安全審計(jì)指標(biāo)體系的研究,從而形成一套較完善的評(píng)價(jià)標(biāo)準(zhǔn);第四,培育道路安全審計(jì)隊(duì)伍及建立相應(yīng)機(jī)構(gòu),保證審計(jì)人員獨(dú)立公正地開(kāi)展工作。

(六)實(shí)現(xiàn)交通科技創(chuàng)新

未來(lái)交通發(fā)展的重點(diǎn)是擴(kuò)充能力、優(yōu)化結(jié)構(gòu)、提高質(zhì)量、改善服務(wù)、保障安全、保護(hù)環(huán)境,任務(wù)十分艱巨??茖W(xué)技術(shù)是第一生產(chǎn)力,是交通發(fā)展的重要推動(dòng)力量,對(duì)交通發(fā)展將產(chǎn)生重大影響。充分依靠科技進(jìn)步,全面提升交通行業(yè)的科技含量,是走新型工業(yè)化道路、實(shí)現(xiàn)交通更快更好發(fā)展的必然選擇。

構(gòu)建智能交通管理指揮系統(tǒng)結(jié)構(gòu),其總體目標(biāo)應(yīng)為:以信息技術(shù)為主導(dǎo),以計(jì)算機(jī)通信網(wǎng)絡(luò)和智能化指揮控制管理為基礎(chǔ),初步建成集高新技術(shù)應(yīng)用為一體的智能化道路交通管理體系,基本實(shí)現(xiàn)交通指揮現(xiàn)代化、管理數(shù)字化、信息網(wǎng)絡(luò)化、辦公自動(dòng)化,進(jìn)而實(shí)現(xiàn)交通管理決策科學(xué)化、交通指揮調(diào)度信息化、城市快速路網(wǎng)交通管理智能化、交通信號(hào)控制自動(dòng)化以及實(shí)現(xiàn)交通管理電子警務(wù)和電子政務(wù)。

(七)推進(jìn)安全文化創(chuàng)新

1、進(jìn)行安全知識(shí)教育。安全教育包括新工人上崗教育、事故案例教育、違章教育等等。進(jìn)行職工的安全知識(shí)教育一是要堅(jiān)持全員教育和重點(diǎn)教育相結(jié)合的原則,根據(jù)不同的教育對(duì)象,授以不同的教育內(nèi)容和提出不同的要求。

篇5

十幾年來(lái),勤勞智慧的藍(lán)盾人憑借高度民族使命感和責(zé)任感,自主研發(fā)出十個(gè)系列、近50個(gè)型號(hào)的產(chǎn)品,多項(xiàng)產(chǎn)品通過(guò)公安、保密、軍隊(duì)等權(quán)威主管部門的檢測(cè)認(rèn)證。

藍(lán)盾擁有AAA級(jí)企業(yè)信用等級(jí),在經(jīng)營(yíng)活動(dòng)中始終堅(jiān)持“誠(chéng)信服務(wù)”,追求細(xì)致卓越,高效服務(wù)客戶,以客戶需求為導(dǎo)向,在發(fā)展過(guò)程中逐步形成了涵蓋安全產(chǎn)品研發(fā)及銷售、安全集成及安全服務(wù)的完整業(yè)務(wù)體系,形成了強(qiáng)大的綜合服務(wù)能力。藍(lán)盾已成為一家安全產(chǎn)品、安全服務(wù)、安全集成多業(yè)務(wù)齊頭并進(jìn)的綜合性信息安全企業(yè)。

藍(lán)盾建立了以廣州營(yíng)銷總部為中心,以北京、上海、重慶為支點(diǎn),輻射全國(guó)的營(yíng)銷和技術(shù)服務(wù)體系。作為華南地區(qū)信息安全第一品牌,藍(lán)盾目前已擁有覆蓋全國(guó),涉及政府、電信、金融、軍隊(duì)、能源、交通、教育、流通、郵政、制造等行業(yè)的近千余家客戶。藍(lán)盾雄厚的實(shí)力和一流的服務(wù)為公司贏得了廣大客戶的高度贊譽(yù)。

1.安全產(chǎn)品

藍(lán)盾擁有包括安全網(wǎng)關(guān)、安全審計(jì)、應(yīng)用安全在內(nèi)的三大類、十大系列、50多個(gè)品種的安全產(chǎn)品線,可基本滿足客戶在網(wǎng)絡(luò)邊界安全、安全審計(jì)與合規(guī)、應(yīng)用安全等方面的信息安全需求。

2.安全集成

作為主營(yíng)業(yè)務(wù)之一,藍(lán)盾安全集成業(yè)務(wù)包括自有的和第三方的信息系統(tǒng)安全產(chǎn)品銷售、基礎(chǔ)信息系統(tǒng)建設(shè)、應(yīng)用信息系統(tǒng)開(kāi)發(fā)、信息系統(tǒng)運(yùn)維服務(wù)、信息系統(tǒng)安全運(yùn)營(yíng)等。藍(lán)盾已為政府、教育、金融、電力、醫(yī)療等行業(yè)的多家客戶提供了信息安全系統(tǒng)整體解決方案。

有別于傳統(tǒng)的系統(tǒng)集成業(yè)務(wù),藍(lán)盾安全集成業(yè)務(wù)以公司自有信息安全產(chǎn)品和業(yè)務(wù)整合為基礎(chǔ),以信息系統(tǒng)安全運(yùn)營(yíng)服務(wù)平臺(tái)為基礎(chǔ)結(jié)構(gòu),建立了覆蓋產(chǎn)品研發(fā)、方案設(shè)計(jì)、銷售和集成、工程實(shí)施、管網(wǎng)建設(shè)和運(yùn)營(yíng)服務(wù)的一整套信息系統(tǒng)安全運(yùn)營(yíng)業(yè)務(wù)支持體系,成功實(shí)現(xiàn)了從傳統(tǒng)信息系統(tǒng)集成業(yè)務(wù)到以信息安全產(chǎn)品為基礎(chǔ)、提供信息系統(tǒng)安全運(yùn)營(yíng)整體服務(wù)的戰(zhàn)略跨越,從而確立了公司整體解決方案在信息安全市場(chǎng)中的領(lǐng)先地位。

3.安全服務(wù)

藍(lán)盾提供的安全服務(wù)主要包括安全咨詢與評(píng)估、專業(yè)化安全檢測(cè)與防護(hù)、安全認(rèn)證培訓(xùn)服務(wù)、安全運(yùn)營(yíng)及管理、安全技術(shù)支持等。經(jīng)過(guò)多年積累,藍(lán)盾已為上百家客戶提供了專業(yè)化的服務(wù),構(gòu)建了覆蓋不同行業(yè)客戶及客戶不同發(fā)展階段的信息安全服務(wù)體系。

信息安全產(chǎn)品的研發(fā)、生產(chǎn)和銷售是藍(lán)盾業(yè)務(wù)體系的基礎(chǔ)。它對(duì)信息安全集成及信息安全服務(wù)的發(fā)展起著至關(guān)重要的作用。安全產(chǎn)品業(yè)務(wù)能夠有效促進(jìn)公司安全集成與安全服務(wù)業(yè)務(wù)的實(shí)現(xiàn)和業(yè)務(wù)量的提升。安全集成與安全服務(wù)業(yè)務(wù)同時(shí)還會(huì)促進(jìn)安全產(chǎn)品技術(shù)和應(yīng)用水平的提升。隨著技術(shù)實(shí)力和安全產(chǎn)品競(jìng)爭(zhēng)力的提高,藍(lán)盾提供整體解決方案的能力也在逐漸增強(qiáng)。在安全集成業(yè)務(wù)收入快速增長(zhǎng)的同時(shí),藍(lán)盾自有安全產(chǎn)品的銷售額也在快速增加。

技術(shù)創(chuàng)新 締造優(yōu)勢(shì)

藍(lán)盾始終以自主創(chuàng)新為發(fā)展原動(dòng)力,以領(lǐng)先的技術(shù)研發(fā)搶占市場(chǎng)。經(jīng)過(guò)多年的探索和積累,藍(lán)盾已掌握了信息安全領(lǐng)域內(nèi)的主要核心技術(shù),并擁有該領(lǐng)域內(nèi)近百項(xiàng)軟件著作權(quán)。藍(lán)盾目前掌握的主要技術(shù)處于國(guó)內(nèi)領(lǐng)先地位,其中藍(lán)盾DDoS防御網(wǎng)關(guān)采用的零積累智能識(shí)別技術(shù)達(dá)到了國(guó)際先進(jìn)水平。

憑借領(lǐng)先的技術(shù)實(shí)力,藍(lán)盾先后實(shí)施了包括公安部科技攻關(guān)項(xiàng)目在內(nèi)的多項(xiàng)國(guó)家級(jí)、部級(jí)、省市區(qū)級(jí)的重點(diǎn)信息安全科研項(xiàng)目,并在公安部等部委制定服務(wù)器安全類產(chǎn)品和安全審計(jì)類產(chǎn)品行業(yè)技術(shù)標(biāo)準(zhǔn)的過(guò)程種發(fā)揮了重要作用。

此外,藍(lán)盾還成功地為北京奧運(yùn)會(huì)和殘奧會(huì)提供了信息安全產(chǎn)品和服務(wù),并因此獲得了北京奧組委頒發(fā)的榮譽(yù)獎(jiǎng)?wù)隆?/p>

專業(yè)資質(zhì) 彰顯實(shí)力

安全行業(yè)是國(guó)家強(qiáng)制性保護(hù)的行業(yè),獲得資質(zhì)或許可的多少是衡量信息安全企業(yè)競(jìng)爭(zhēng)實(shí)力的重要標(biāo)準(zhǔn)。

藍(lán)盾具有技術(shù)優(yōu)勢(shì)及綜合服務(wù)能力,已擁有商用密碼產(chǎn)品銷售許可證、軍隊(duì)網(wǎng)絡(luò)采購(gòu)信息資格認(rèn)證、信息系統(tǒng)產(chǎn)品檢測(cè)證書(shū)、軍用信息安全產(chǎn)品認(rèn)證證書(shū)、產(chǎn)品銷售許可證、中國(guó)信息安全認(rèn)證中心產(chǎn)品認(rèn)證證書(shū)、廣州市自主創(chuàng)新產(chǎn)品證書(shū),并取得了計(jì)算機(jī)信息系統(tǒng)安全服務(wù)一級(jí)資質(zhì)證書(shū)、計(jì)算機(jī)信息系統(tǒng)集成一級(jí)資質(zhì)證書(shū)、計(jì)算機(jī)信息系統(tǒng)集成乙級(jí)證書(shū)、信息安全應(yīng)急處理服務(wù)資質(zhì)、信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)等業(yè)務(wù)資質(zhì),還獲得了包括信息安全產(chǎn)品、信息安全集成及信息安全服務(wù)在內(nèi)的所有業(yè)務(wù)類別的較高級(jí)別資質(zhì)和許可,是業(yè)內(nèi)獲得資質(zhì)和許可最全的企業(yè)之一。

綜合服務(wù) 鑄就品牌

藍(lán)盾的各業(yè)務(wù)模塊能相互促進(jìn),共同發(fā)展,從而形成了較強(qiáng)的綜合服務(wù)能力。

藍(lán)盾的信息安全產(chǎn)品可滿足客戶在網(wǎng)絡(luò)邊界安全、安全審計(jì)與合規(guī)、應(yīng)用安全等方面的信息安全需求,并能為客戶設(shè)計(jì)和實(shí)施信息安全方面的整體解決方案,滿足客戶系統(tǒng)化、個(gè)性化的安全需求。

此外,藍(lán)盾還可以為客戶提供安全咨詢與評(píng)估、安全檢測(cè)與防護(hù)、安全認(rèn)證培訓(xùn)服務(wù)等專業(yè)化的安全服務(wù)。藍(lán)盾完整的業(yè)務(wù)體系及豐富的產(chǎn)品種類可滿足不同行業(yè)客戶的信息安全需求,增強(qiáng)公司的綜合競(jìng)爭(zhēng)力。

藍(lán)盾建立了輻射全國(guó)的營(yíng)銷和技術(shù)服務(wù)體系,這為公司掌握信息安全領(lǐng)域的最新市場(chǎng)動(dòng)態(tài)、及時(shí)響應(yīng)客戶需求提供了重要保證。

客戶穩(wěn)定 促進(jìn)增長(zhǎng)

信息安全行業(yè)的特殊性決定了下游客戶對(duì)信息安全提供商存在一定的依賴性。隨著社會(huì)各界對(duì)信息安全要求的逐步提高,下游客戶在信息安全系統(tǒng)建設(shè)和升級(jí)的過(guò)程中會(huì)對(duì)安全產(chǎn)品、安全集成及安全服務(wù)產(chǎn)生交叉消費(fèi)和重復(fù)消費(fèi)。

因此,下游用戶對(duì)信息安全領(lǐng)域的投入是持續(xù)性的。藍(lán)盾現(xiàn)有的客戶資源既是穩(wěn)定的業(yè)務(wù)來(lái)源,也是宣傳品牌、擴(kuò)大影響力的最好載體,這有利于新市場(chǎng)及新客戶的開(kāi)拓,也為公司的持續(xù)盈利提供了重要保障。

精英匯聚 引領(lǐng)成功

篇6

關(guān)鍵詞:信息管理系統(tǒng) 信息安全 系統(tǒng)安全建設(shè)

中圖分類號(hào):TP39 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1003-9082(2014)03-0001-02

一、引言

隨著全球信息化不斷在我國(guó)深化和發(fā)展,我國(guó)各地區(qū)、各行業(yè)使用信息系統(tǒng)開(kāi)展工作的比例越來(lái)越大。一般來(lái)說(shuō),信息化程度越高,對(duì)信息管理系統(tǒng)的依賴性就越強(qiáng),信息安全問(wèn)題就越為突顯和嚴(yán)重。而信息安全問(wèn)題也正逐漸成為影響各企事業(yè)單位業(yè)務(wù)能否正常運(yùn)行、生產(chǎn)力能否快速發(fā)展的重要因素之一。但是由于我國(guó)信息化建設(shè)起步相對(duì)較晚,與國(guó)外先進(jìn)國(guó)家相比,無(wú)論在信息安全意識(shí)還是信息安全防護(hù)技術(shù)等諸多方面都還存在較大差距,各企事業(yè)單位的信息安全基本上均處于一個(gè)相對(duì)較為薄弱的環(huán)節(jié)。一旦信息管理系統(tǒng)中的個(gè)人信息和敏感數(shù)據(jù)發(fā)生丟失或者泄漏,可能會(huì)對(duì)自身造成無(wú)可估量的損失。因此,重點(diǎn)保障信息管理系統(tǒng)安全已成為各行各業(yè)的首要任務(wù)。信息管理系統(tǒng)安全建設(shè)應(yīng)該系統(tǒng)地、有條理地進(jìn)行全面規(guī)劃,充分地、全方位地考慮安全需求和特性,從而達(dá)到各種安全產(chǎn)品、安全管理、整體安全策略和外部安全服務(wù)的統(tǒng)一,發(fā)揮其最大的效率,給予信息管理系統(tǒng)以最大保障。

二、信息管理系統(tǒng)安全建設(shè)原則

1.安全體系兼容性

安全體系有一個(gè)重要的思想是安全技術(shù)的兼容性,安全措施能夠和目前主流、標(biāo)準(zhǔn)的安全技術(shù)和產(chǎn)品兼容。

2.信息管理系統(tǒng)體系架構(gòu)安全性

系統(tǒng)的系統(tǒng)架構(gòu)已經(jīng)成為保護(hù)系統(tǒng)安全的重要防線,一個(gè)優(yōu)秀的系統(tǒng)體系架構(gòu)除了能夠保證系統(tǒng)的穩(wěn)定性以外,還能夠封裝不同層次的業(yè)務(wù)邏輯。各種業(yè)務(wù)組件之間的“黑盒子”操作,能夠有效地保護(hù)系統(tǒng)邏輯隱蔽性和獨(dú)立性。

3.傳輸安全性

由于計(jì)算機(jī)網(wǎng)絡(luò)涉及很多用戶的接入訪問(wèn),因此如何保護(hù)數(shù)據(jù)在傳輸過(guò)程中不被竊聽(tīng)和撰改就成為重點(diǎn)考慮內(nèi)的問(wèn)題,建議采用傳輸協(xié)議的加密保護(hù)。

4.軟硬件結(jié)合的防護(hù)體系

系統(tǒng)應(yīng)支持和多種軟硬件安全設(shè)備結(jié)合,構(gòu)成一個(gè)立體防護(hù)體系,主要安全軟硬件設(shè)備為防火墻系統(tǒng)、防病毒軟件等。

5.可跟蹤審計(jì)

系統(tǒng)應(yīng)內(nèi)置多粒度的日志系統(tǒng),能夠按照需要把各種不同操作粒度的動(dòng)作都記錄在日志中,用于跟蹤和審計(jì)用戶的歷史操作。

6.身份確認(rèn)及操作不可抵賴

身份確認(rèn)對(duì)于系統(tǒng)來(lái)說(shuō)有兩重含義,一是用戶身份的確認(rèn),二是服務(wù)器身份的確認(rèn),兩者在信息安全體系建設(shè)中必不可少。

7.數(shù)據(jù)存儲(chǔ)的安全性

系統(tǒng)中數(shù)據(jù)存儲(chǔ)方面可以采取兩道機(jī)制進(jìn)行的保護(hù),一是系統(tǒng)提供的訪問(wèn)權(quán)限控制,二是數(shù)據(jù)的加密存放。

三、信息管理系統(tǒng)安全建設(shè)內(nèi)容

按照系統(tǒng)安全體系結(jié)構(gòu),結(jié)合安全需求、安全策略和安全措施,并充分利用安全設(shè)備包括防火墻、入侵檢測(cè)、主機(jī)審計(jì)等,其建設(shè)內(nèi)容主要有:

1.物理安全

機(jī)房要求保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故(如電磁污染、電源故障、設(shè)備被盜、被毀等)破壞。

2.網(wǎng)絡(luò)安全

利用現(xiàn)有的防火墻、路由器,實(shí)行訪問(wèn)控制,按用戶與系統(tǒng)間的訪問(wèn)規(guī)則,決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)。同時(shí)加強(qiáng)端口、拒絕服務(wù)攻擊、網(wǎng)絡(luò)蠕蟲(chóng)等的監(jiān)控,保障系統(tǒng)網(wǎng)絡(luò)運(yùn)行的暢通。

2.1使用防火墻技術(shù)

通過(guò)使用防火墻技術(shù),建立系統(tǒng)的第二道安全屏障。例如,防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的未授權(quán)訪問(wèn),建立系統(tǒng)的對(duì)外安全屏障。最好是采用不同技術(shù)的防火墻,增加黑客擊穿防火墻的難度。

2.2使用入侵監(jiān)測(cè)系統(tǒng)

使用入侵監(jiān)測(cè)系統(tǒng),建立系統(tǒng)的第三道安全屏障,提高系統(tǒng)的安全性能,主要包括:監(jiān)測(cè)分析用戶和系統(tǒng)的活動(dòng)、核查系統(tǒng)配置和漏洞、評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性、識(shí)別已知的攻擊行為、統(tǒng)計(jì)分析異常行為、操作系統(tǒng)日志管理,并識(shí)別違反安全策略的用戶活動(dòng)等功能。

3.主機(jī)安全

系統(tǒng)主機(jī)安全從主機(jī)身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范和資源控制等方面考慮。

3.1主機(jī)身份鑒別

對(duì)登錄操作系統(tǒng)的用戶進(jìn)行身份設(shè)別和鑒別,對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)設(shè)置復(fù)雜的登錄口令,并且定期進(jìn)行更換。同時(shí)對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)用戶分配不同的用戶分配不同用戶名。

3.2訪問(wèn)控制

通過(guò)三層交換機(jī)和防火墻設(shè)置對(duì)系統(tǒng)服務(wù)器的訪問(wèn)控制權(quán)限。對(duì)服務(wù)器實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離,限制默認(rèn)賬號(hào)的訪問(wèn)權(quán)限,重命名系統(tǒng)默認(rèn)賬戶,修改默認(rèn)密碼。

3.3安全審計(jì)

服務(wù)器操作系統(tǒng)本身帶有審計(jì)功能,要求審計(jì)范圍覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶,審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源異常使用并進(jìn)行記錄。

信息管理系統(tǒng)也應(yīng)考慮安全審計(jì)功能,記錄系統(tǒng)用戶行為,系統(tǒng)用戶操作事件日期、時(shí)間、類型、操作結(jié)果等。

3.4入侵防范

利用入侵檢測(cè)系統(tǒng)和防火墻相應(yīng)功能,檢測(cè)對(duì)服務(wù)器入侵行為,記錄入侵源IP、攻擊的類型、攻擊的目標(biāo)、攻擊時(shí)間,并在發(fā)生嚴(yán)重的入侵事件時(shí)提供報(bào)警。

3.5惡意代碼防范

在服務(wù)器上安裝服務(wù)器端防病毒系統(tǒng),以提供對(duì)病毒的檢測(cè)、清除、免疫和對(duì)抗能力。

3.6資源控制

在核心交換機(jī)與防火墻配置詳細(xì)訪問(wèn)控制策略,限制非法訪問(wèn)。

4.應(yīng)用安全

4.1安全審計(jì)

信息管理系統(tǒng)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能,對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì),審計(jì)記錄內(nèi)容至少包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等,保證無(wú)法刪除、修改或覆蓋審計(jì)記錄。

4.2資源控制

信息管理系統(tǒng)應(yīng)限制用戶對(duì)系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)、限制單個(gè)賬戶的多重并發(fā)會(huì)話、限制某一時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)。

5.數(shù)據(jù)安全

系統(tǒng)數(shù)據(jù)安全要求確保管理數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)等重要信息在傳輸過(guò)程和存儲(chǔ)過(guò)程中的完整性和保密性。對(duì)于數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù),需對(duì)數(shù)據(jù)項(xiàng)進(jìn)行加密,保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程與存儲(chǔ)過(guò)程中完整性不受到破壞。

對(duì)數(shù)據(jù)進(jìn)行定期備份,確保存儲(chǔ)過(guò)程中檢測(cè)到數(shù)據(jù)完整性錯(cuò)誤時(shí),具有數(shù)據(jù)恢復(fù)能力。必須采用至少兩種手段進(jìn)行備份,備份手段以整體安全備份系統(tǒng)為主,配合其他備份手段,如GHOST、TRUE IMAGE或操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)本身的備份服務(wù)等。備份具體要求如下:

5.1各服務(wù)器專職管理員根據(jù)所管服務(wù)器的具體情況與整體安全備份系統(tǒng)專職管理員協(xié)調(diào)制訂好所管服務(wù)器的備份計(jì)劃及備份策略。

5.2整體安全備份系統(tǒng)專職管理人員必須組織各服務(wù)器專職管理員對(duì)各服務(wù)器每個(gè)季度進(jìn)行一次整體災(zāi)備(冷備)。若某臺(tái)服務(wù)器的配置需要發(fā)生較大變更,該服務(wù)器的專職管理員應(yīng)在對(duì)該服務(wù)器實(shí)施變更前和圓滿完成變更后,分別對(duì)該服務(wù)器做一次整體災(zāi)備,必要時(shí)整體安全備份系統(tǒng)專職管理員需對(duì)整體災(zāi)備提供協(xié)助。

5.3數(shù)據(jù)備份主要分為月備份、周備份、日備份及日志(增量)備份。月備份每月對(duì)各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫(kù)做一次全備(熱備)。周備份每周對(duì)各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫(kù)做一次全備(熱備)。日備份每天對(duì)各服務(wù)器的重要目錄及數(shù)據(jù)庫(kù)做一次備份。日志(增量)備份針對(duì)數(shù)據(jù)更新較頻繁的服務(wù)器,每天進(jìn)行多次增量備份。

5.4除日志(增量)備份外,其它各種備份以每一次獨(dú)立執(zhí)行的備份作為一個(gè)獨(dú)立版本。每個(gè)獨(dú)立版本的備份必須存儲(chǔ)在獨(dú)立的備份介質(zhì)上,不能混合存儲(chǔ)在同一套備份介質(zhì)。整體災(zāi)備(冷備)和月備份一般要求保留至少能覆蓋當(dāng)年及上一年全年時(shí)間的所有版本,周備份要求保留至少最近5個(gè)版本,日備份要求保留至少最近4個(gè)版本,日志(增量)備份保留至少自上一次周備份以來(lái)的所有版本。

5.5備份介質(zhì)應(yīng)放在機(jī)房以外安全的地方保管。所有備份介質(zhì)必須有明確、詳盡的標(biāo)簽文字說(shuō)明。

5.6整體安全備份系統(tǒng)專職管理員必須定時(shí)檢查備份作業(yè)的運(yùn)行情況,備份異常情況應(yīng)盡快查明原因,解決問(wèn)題并在值班登記本上詳細(xì)記錄。

四、安全制度建設(shè)

建設(shè)嚴(yán)格、完整的基本管理制度包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理機(jī)制幾個(gè)方面。

安全管理制度:包括安全策略、安全制度、操作規(guī)程等的管理制度;管理制度的制定和;管理制度的評(píng)審和修訂。

安全管理機(jī)構(gòu):包括職能部門崗位設(shè)置;系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員的人員配備;授權(quán)和審批;管理人員、內(nèi)部機(jī)構(gòu)和職能部門間的溝通和合作;定期的安全審核和安全檢查。

人員安全管理:包括人員錄用;人員離崗;人員考核;安全意識(shí)教育和培訓(xùn);外部人員訪問(wèn)管理。

系統(tǒng)建設(shè)管理:包括系統(tǒng)定級(jí);安全方案設(shè)計(jì);產(chǎn)品采購(gòu)和使用;自行軟件開(kāi)發(fā);外包軟件開(kāi)發(fā);工程實(shí)施;測(cè)試驗(yàn)收;系統(tǒng)交付;系統(tǒng)備案;等級(jí)測(cè)評(píng);安全服務(wù)商選擇。

系統(tǒng)運(yùn)維管理:包括機(jī)房環(huán)境管理;信息資產(chǎn)管理;介質(zhì)管理;設(shè)備管理;監(jiān)控管理和安全管理中心;網(wǎng)絡(luò)安全管理;系統(tǒng)安全管理;惡意代碼防范管理;密碼管理;變更管理;備份與恢復(fù)管理;安全事件處置;應(yīng)急預(yù)案管理。

五、結(jié)束語(yǔ)

信息化建設(shè)已經(jīng)涉及到國(guó)民經(jīng)濟(jì)和社會(huì)生活的各個(gè)領(lǐng)域,信息管理系統(tǒng)也成為各行各業(yè)信息化建設(shè)發(fā)展中的重要工具。如何保障信息管理系統(tǒng)安全從而保證信息安全是關(guān)系到國(guó)家安全、社會(huì)安全和行業(yè)安全的大問(wèn)題。我們只有在實(shí)現(xiàn)信息安全的條件下,才能有效利用信息管理系統(tǒng)這個(gè)有力的工具提高生產(chǎn)力,推動(dòng)社會(huì)的發(fā)展。本文通過(guò)對(duì)信息系統(tǒng)安全建設(shè)原則、安全建設(shè)內(nèi)容和安全制度建設(shè)三方面較為詳細(xì)的探討,應(yīng)該對(duì)于各企事業(yè)單位信息管理系統(tǒng)的安全建設(shè)有所幫助和借鑒。

參考文獻(xiàn)

[1] 林國(guó)恩,李建彬,信息系統(tǒng)安全,電子工業(yè)出版社,2010-03

[2] Dieter Gollmann, Computer Security 2 edition, Wiley, 2006

[3]《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn),GB/T 22239-2008

[4] 尚邦治等,做好信息安全等級(jí)保護(hù)工作,中國(guó)衛(wèi)生信息管理雜志,2012.5

篇7

【關(guān)鍵詞】 醫(yī)院信息化建設(shè) IT運(yùn)維與安全管理

引言:

目前,隨著信息技術(shù)的日新月異和網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的發(fā)展,醫(yī)院、企業(yè)網(wǎng)絡(luò)技術(shù)的應(yīng)用層次正在從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。面對(duì)日趨復(fù)雜的IT系統(tǒng),不同背景的運(yùn)維人員已給企事業(yè)信息系統(tǒng)安全運(yùn)行帶來(lái)較大的潛在風(fēng)險(xiǎn),如醫(yī)院信息系統(tǒng)是醫(yī)院日常工作的重要應(yīng)用,存儲(chǔ)著重要的數(shù)據(jù)資源,是醫(yī)院正常運(yùn)行必不可少的組成部分,所以必須加強(qiáng)安全保障體系的建設(shè)。于是,堡壘機(jī)在醫(yī)院中的應(yīng)用,為醫(yī)院工作的應(yīng)用提供了安全可靠的運(yùn)行環(huán)境。

傳統(tǒng)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)給醫(yī)院的的運(yùn)維安全問(wèn)題帶來(lái)了很多風(fēng)險(xiǎn),如:賬號(hào)管理無(wú)秩序,暗藏巨大隱患;粗放式權(quán)限管理的安全性難以保證;設(shè)備自身陳舊,無(wú)法審計(jì)運(yùn)維加密協(xié)議、遠(yuǎn)程桌面內(nèi)容等,從而難以有效定位安全事件。

以上所面臨的風(fēng)險(xiǎn)嚴(yán)重破壞政府、醫(yī)院、企業(yè)等的信息系統(tǒng)安全,已經(jīng)成為其信息系統(tǒng)安全運(yùn)行的嚴(yán)重隱患,尤其是醫(yī)院,將影響其效益。尤其醫(yī)院信息系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)工程,涉及人、技術(shù)、操作等要素,單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。

因此在考慮安全保障體系時(shí),必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。

如何有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問(wèn)行為和敏感信息的傳播,準(zhǔn)確掌握網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài),及時(shí)發(fā)現(xiàn)違反安全策略的事件并實(shí)時(shí)告警、記錄,同時(shí)進(jìn)行安全事件定位分析,事后追查取證,滿足合規(guī)性審計(jì)要求,是企事業(yè)迫切需要解決的問(wèn)題,即IT運(yùn)維安全管理的變革已刻不容緩!

堡壘機(jī)提供一套先進(jìn)的運(yùn)維安全管控與審計(jì)解決方案,它通過(guò)網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識(shí)別,實(shí)時(shí)動(dòng)態(tài)監(jiān)測(cè)通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量,發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為,實(shí)時(shí)報(bào)警響應(yīng),全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會(huì)話和事件,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評(píng)估及安全事件的準(zhǔn)確全程跟蹤定位,為整體網(wǎng)絡(luò)安全策略的制定提供權(quán)威可靠的支持。

隨著堡壘機(jī)在醫(yī)院中的應(yīng)用,其主要實(shí)現(xiàn)了以下功能:

1)賬號(hào)管理集中

堡壘機(jī)建立于唯一身份標(biāo)識(shí)的全局實(shí)名制管理,支持統(tǒng)一賬號(hào)管理策略,實(shí)現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無(wú)縫連接,集中管理主賬號(hào)(普通用戶)、從賬號(hào)(目標(biāo)設(shè)備系統(tǒng)賬號(hào))及相關(guān)屬性。

2)訪問(wèn)控制集中

堡壘機(jī)通過(guò)集中對(duì)應(yīng)用系統(tǒng)的訪問(wèn)控制,通過(guò)對(duì)主機(jī)、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等網(wǎng)絡(luò)中所有資源的統(tǒng)一訪問(wèn)控制,確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限,實(shí)現(xiàn)集中有序的運(yùn)維操作管理,防止非法、越權(quán)訪問(wèn)事件的發(fā)生。

3)安全審計(jì)集中

基于唯一身份標(biāo)識(shí),堡壘機(jī)通過(guò)對(duì)用戶從登錄到退出的全程操作行為審計(jì),監(jiān)控用戶對(duì)被管理設(shè)備的所有敏感的關(guān)鍵操作,提供分級(jí)告警,聚焦關(guān)鍵事件,能完成對(duì)醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控和對(duì)安全事件及時(shí)預(yù)警發(fā)現(xiàn)、準(zhǔn)確可查的功能。

通過(guò)此體系監(jiān)控到的數(shù)據(jù)能對(duì)醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量、應(yīng)用提供比例、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動(dòng)作情況、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡(luò)整體風(fēng)險(xiǎn)情況等這些情況有較全面的了解。

信息安全是一個(gè)動(dòng)態(tài)的過(guò)程,要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施,適應(yīng)新的網(wǎng)絡(luò)環(huán)境,M足新的網(wǎng)絡(luò)安全需求。

安全管理制度也有一個(gè)不斷完善的過(guò)程,經(jīng)過(guò)安全事件的處理和安全風(fēng)險(xiǎn)評(píng)估,會(huì)發(fā)現(xiàn)原有的安全管理制定中存在的不足之處。根據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)估的結(jié)果,對(duì)信息安全管理策略進(jìn)行修改,對(duì)信息安全管理范圍進(jìn)行調(diào)整。

參 考 文 獻(xiàn)

[1]趙瑞霞.構(gòu)建堡壘主機(jī)抵御網(wǎng)絡(luò)攻擊[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2010,08.

篇8

鄧高峰:國(guó)內(nèi)信息安全產(chǎn)業(yè)經(jīng)歷了十多年的發(fā)展積累了一批中堅(jiān)力量,大多分布在信息安全產(chǎn)品提供商和服務(wù)提供商以及第三方機(jī)構(gòu),但從信息安全責(zé)任單位以及為其提供各類信息技術(shù)服務(wù)外包的更廣泛的IT行業(yè)來(lái)看,大部分行業(yè)和組織還沒(méi)有專門的信息安全崗位設(shè)置和專業(yè)的信息安全人才配置,據(jù)權(quán)威機(jī)構(gòu)估算,我國(guó)信息安全人才的需要量在50多萬(wàn)。目前,信息安全專業(yè)在國(guó)內(nèi)仍是高等教育的二級(jí)學(xué)科,全國(guó)有將近80家高校設(shè)置了信息安全類本科專業(yè),通過(guò)高校培養(yǎng)的信息安全人才不到4萬(wàn)人,這些青年軍無(wú)論在整體數(shù)量還是在實(shí)踐實(shí)戰(zhàn)上,距離國(guó)家健全信息安全保障體系、上海市智慧城市所要求的信息安全總體可控,還有很大缺口,亟需通過(guò)專業(yè)的職業(yè)培訓(xùn)來(lái)補(bǔ)充和提升。

我理解的信息安全是暫時(shí)的,不安全是永恒的;信息安全的系統(tǒng)建設(shè)是一個(gè)持續(xù)進(jìn)行的過(guò)程,其實(shí)就是指信息安全的“新四化”。以上海這樣信息化程度很高的城市為例,無(wú)論是政府還是企業(yè),一方面其業(yè)務(wù)對(duì)信息技術(shù)的依賴程度很大,另一方面這些改革開(kāi)放的前沿也是各方關(guān)注的焦點(diǎn),信息安全和業(yè)務(wù)連續(xù)的保障需求自然就十分迫切,信息安全不應(yīng)成為信息化發(fā)展瓶頸,而應(yīng)成為趨利避害的重要手段。全面提高各單位各企業(yè)的信息安全意識(shí),有效提升信息安全專業(yè)技能水平,包括重點(diǎn)培育信息安全專業(yè)服務(wù)機(jī)構(gòu),這些工作都離不開(kāi)信息安全人才培養(yǎng)和集聚,因此在各行業(yè)大力開(kāi)展CISP等相關(guān)培訓(xùn)將為建設(shè)上海信息安全人才高地打下堅(jiān)實(shí)的基礎(chǔ)。

《上海信息化》:三零衛(wèi)士在CISP培訓(xùn)體系建設(shè)上,又有哪些新的創(chuàng)新與思考?

鄧高峰:CISP培訓(xùn)一直致力于培養(yǎng)信息安全的組織者、推動(dòng)者和管理者。信息安全體系建設(shè),不只是用信息安全產(chǎn)品搭建一個(gè)堡壘,更重要的是組織自身需建立一套完善的信息安全制度,只有硬件(技術(shù))和軟件(人才)相互結(jié)合,才能保障信息的機(jī)密性、完整性和可用性。對(duì)于公司的培訓(xùn)來(lái)說(shuō),則是將安全知識(shí)體系和實(shí)際工作中的應(yīng)用一起納入了信息安全體系建設(shè)。組織面臨的安全問(wèn)題多種多樣,除了常見(jiàn)的系統(tǒng)漏洞、黑客入侵、掛馬和釣魚(yú)網(wǎng)站、木馬下載器等一些技術(shù)性威脅外,一些安全意識(shí)薄弱同樣也會(huì)產(chǎn)生安全問(wèn)題,比如:沒(méi)有專業(yè)的安全培訓(xùn)嚴(yán)重缺乏安全意識(shí);不知道組織存在哪些安全隱患;出現(xiàn)突發(fā)安全事故無(wú)法第一時(shí)間了解等等。對(duì)于那些沒(méi)有經(jīng)過(guò)專門的安全培訓(xùn)、沒(méi)有配備專業(yè)的技術(shù)人才、沒(méi)有設(shè)定合理安全流程的企業(yè)來(lái)講,只靠采購(gòu)安裝軟、硬件安全產(chǎn)品來(lái)避免威脅或在遇到威脅時(shí)應(yīng)急處理,是非常不現(xiàn)實(shí)的。

對(duì)此,CISP全面覆蓋全球信息安全知識(shí),充分貼合中國(guó)信息安全國(guó)情,具有非常系統(tǒng)化的知識(shí)體系,使用組件模塊化的結(jié)構(gòu),包括知識(shí)類、知識(shí)體、知識(shí)域和知識(shí)子域四個(gè)層次,更注重全面性、前沿性和實(shí)用性。

《上海信息化》:國(guó)際上也有CISSP等信息安全培訓(xùn),與之相比CISP有什么優(yōu)勢(shì)或特點(diǎn)?

鄧高峰:國(guó)際上除了(ISC)2的CISSP(信息系統(tǒng)安全專家)培訓(xùn)之外,還有ISACA的CISA(注冊(cè)信息安全審計(jì)師)、ISO27001的主任審核員等與信息安全相關(guān)的人員培訓(xùn),但分別側(cè)重技術(shù)、審計(jì)和管理體系,參與培訓(xùn)的人員也未必是信息安全從業(yè)人員。國(guó)內(nèi)有公安部的信息安全師、工信部網(wǎng)絡(luò)信息安全師、國(guó)家信息安全認(rèn)證中心的CISAW(信息安全保障從業(yè)人員)等培訓(xùn),還有不少社會(huì)化IT培訓(xùn)中也有所謂的信息安全模塊,但是無(wú)論從專業(yè)人員定位、培訓(xùn)體系構(gòu)成還是從與國(guó)家信息安全保障工作的關(guān)聯(lián)度來(lái)看,均遜色于CISP。

CISP最初是瞄準(zhǔn)CISSP所設(shè)計(jì)的高端專業(yè)培訓(xùn),十年來(lái)結(jié)合國(guó)家信息安全保障的需求,不斷得到更新和充實(shí),現(xiàn)在已形成由CISM(注冊(cè)信息安全人員)、CISO(注冊(cè)信息安全管理人員)、CISE(注冊(cè)信息安全工程師)、CISP-AUDIT(注冊(cè)信息安全審計(jì)師)、CISP-DRP(注冊(cè)信息安全災(zāi)難恢復(fù)工程師)、CISD(注冊(cè)信息安全專業(yè)開(kāi)發(fā)人員)所構(gòu)成的系列培訓(xùn)和人員認(rèn)證。所以說(shuō),如果希望在信息安全行業(yè)長(zhǎng)期發(fā)展,就目前而言,CISP專業(yè)培訓(xùn)具有不可替代性。

《上海信息化》:今年上海針對(duì)信息安全教育培訓(xùn)有什么具體的政策和要求?

鄧高峰:“發(fā)展以安全為重,安全以人才為本”是CISP培訓(xùn)的宗旨,信息化的成效很大程度上取決于信息安全保障水平,而信息安全保障的關(guān)鍵在于人,CISP培訓(xùn)的初衷就是在最大范圍建立大家的信息安全意識(shí),并針對(duì)信息安全相關(guān)人員普及信息安全知識(shí),掌握必要的信息安全技能。就目前來(lái)看,CISP不僅是申請(qǐng)信息安全服務(wù)資質(zhì)的必備條件,并在越來(lái)越多的行業(yè)成為信息安全崗位的“上崗證”,上海市也開(kāi)始要求IT服務(wù)外包企業(yè)將信息安全專業(yè)人員納入技術(shù)團(tuán)隊(duì)標(biāo)準(zhǔn)配置。

篇9

【關(guān)鍵詞】網(wǎng)絡(luò)經(jīng)濟(jì);審計(jì);存在問(wèn)題;安全防范

一、網(wǎng)絡(luò)經(jīng)濟(jì)對(duì)財(cái)務(wù)審計(jì)的影響分析

(1)審計(jì)目的的影響。財(cái)務(wù)審計(jì)在網(wǎng)絡(luò)環(huán)境的影響下,會(huì)計(jì)報(bào)表與傳統(tǒng)手工報(bào)表表現(xiàn)出了很大的差異,具有及時(shí)性、實(shí)時(shí)性、高效率等特征。在審計(jì)目標(biāo)和指標(biāo)方面,網(wǎng)絡(luò)環(huán)境下的財(cái)務(wù)審計(jì)更全面,更真實(shí),表現(xiàn)出一定的動(dòng)態(tài)性和靈活性。(2)審計(jì)模式的影響。傳統(tǒng)的財(cái)務(wù)審計(jì)受到物質(zhì)、環(huán)境以及人的主觀能動(dòng)性等方面影響比較突出,網(wǎng)絡(luò)環(huán)境下財(cái)務(wù)審計(jì)主要是基于無(wú)紙化辦公以及電子化信息處理。財(cái)務(wù)審計(jì)工作變得更加規(guī)范和合理,這在無(wú)形當(dāng)中增加了財(cái)務(wù)審計(jì)的規(guī)范性和可操作性。(3)對(duì)財(cái)務(wù)審計(jì)主體的影響。傳統(tǒng)財(cái)務(wù)審計(jì)的重點(diǎn)主要是審計(jì)管理人員及審計(jì)專業(yè)人員,對(duì)于審計(jì)人員素質(zhì)要求高,要求審計(jì)人員具備專業(yè)的審計(jì)素質(zhì)和水平。

二、網(wǎng)絡(luò)經(jīng)濟(jì)環(huán)境中財(cái)務(wù)審計(jì)的主要方向

(1)網(wǎng)絡(luò)審計(jì)具有多部門聯(lián)合作業(yè)的優(yōu)勢(shì)。審計(jì)的內(nèi)容不僅僅局限于作業(yè)的經(jīng)濟(jì)活動(dòng)和財(cái)務(wù)記錄,而且可以聯(lián)合其它的審計(jì)管理部門、職能部門等通過(guò)網(wǎng)絡(luò)加大溝通交流、協(xié)作配合、分析討論、交流經(jīng)驗(yàn)、分享心得體會(huì)等,加強(qiáng)審計(jì)過(guò)程的透明性和權(quán)威性,合理配置審計(jì)資源;審計(jì)機(jī)構(gòu)在接受委托人或授權(quán)人的委托或授權(quán)后的,提高了審計(jì)管理工作的時(shí)效性和準(zhǔn)確性,提高了審計(jì)的效率和質(zhì)量。(2)安全性和保密性的財(cái)務(wù)審計(jì)。在審計(jì)過(guò)程中,要加強(qiáng)對(duì)財(cái)務(wù)審計(jì)的保密性和安全性管理,通過(guò)職責(zé)分離而又有保持必要的溝通協(xié)作機(jī)構(gòu),對(duì)被審計(jì)單位的容錯(cuò)處理、安全管理、安全保密技術(shù)等進(jìn)行深入的調(diào)研和了解,以評(píng)價(jià)其財(cái)務(wù)審計(jì)工作的工作性和完備性。(3)加強(qiáng)內(nèi)部控制、降低管理風(fēng)險(xiǎn)。內(nèi)部控制是新形勢(shì)下財(cái)務(wù)審計(jì)過(guò)程中的重要組成部分。主要集中于內(nèi)部的管理、運(yùn)行、維護(hù)、監(jiān)控、風(fēng)險(xiǎn)防范等方面的相關(guān)管理技術(shù)以及由這些管理可能帶來(lái)的風(fēng)險(xiǎn)措施。通過(guò)加強(qiáng)系統(tǒng)的安全審計(jì),可以及時(shí)有效地防范潛在的安全隱患,增加內(nèi)部控制的審計(jì)的安全性。(4)加強(qiáng)風(fēng)險(xiǎn)管理。財(cái)務(wù)風(fēng)險(xiǎn)審計(jì)是審計(jì)管理中的重點(diǎn)和難點(diǎn),要加強(qiáng)對(duì)審計(jì)人員的風(fēng)險(xiǎn)管理意識(shí)培訓(xùn),用最新審計(jì)知識(shí)更新頭腦,有效指導(dǎo)審計(jì)工作,提高審計(jì)效率和水平,降低審計(jì)風(fēng)險(xiǎn)。

三、財(cái)務(wù)審計(jì)相關(guān)內(nèi)容分析

(1)會(huì)計(jì)報(bào)表的審計(jì)。會(huì)計(jì)報(bào)表的審計(jì)主要是對(duì)企業(yè)資產(chǎn)負(fù)債表、損益表、現(xiàn)金流量表等的真實(shí)性、完整性、合法性和準(zhǔn)確性等的審計(jì),而網(wǎng)絡(luò)條件下的審計(jì)可以滿足以上這些審計(jì)要求。(2)資產(chǎn)審計(jì)分析。網(wǎng)絡(luò)環(huán)境下的資產(chǎn)審計(jì)可以對(duì)被審計(jì)單位的資產(chǎn)進(jìn)行整合,與傳統(tǒng)的方式相比,具有動(dòng)態(tài)管理性,可以真實(shí)性、完整性等反映出記錄在有關(guān)賬簿及會(huì)計(jì)報(bào)表的資產(chǎn)的真實(shí)存在。(3)所有者權(quán)益審計(jì)。企業(yè)的實(shí)收資本、資本公積、盈余公積、未分配利潤(rùn)等都是所有者權(quán)益審計(jì)的重點(diǎn)和關(guān)鍵點(diǎn)。網(wǎng)絡(luò)環(huán)境下的所有者權(quán)益,變得全面、權(quán)威、準(zhǔn)確,同時(shí)又具有時(shí)效性強(qiáng)、方便快捷等特點(diǎn)。

四、網(wǎng)絡(luò)審計(jì)存在問(wèn)題及防范措施

(1)接受委托風(fēng)險(xiǎn)問(wèn)題。客戶在經(jīng)營(yíng)管理過(guò)程中,由于自身利益考慮,通過(guò)人為制造虛假業(yè)績(jī)數(shù)據(jù),加上審計(jì)內(nèi)控機(jī)制不健全,管理存在漏洞,致使操作過(guò)程存在較大的風(fēng)險(xiǎn)。對(duì)于此類風(fēng)險(xiǎn),審計(jì)人員可以通過(guò)查詢往年工作底稿、詢問(wèn)相關(guān)工作人員、調(diào)閱相關(guān)資料等方式增強(qiáng)對(duì)審計(jì)風(fēng)險(xiǎn)的評(píng)估分析能力來(lái)決定是否接受該項(xiàng)業(yè)務(wù)。(2)信息系統(tǒng)風(fēng)險(xiǎn)問(wèn)題。由于網(wǎng)絡(luò)存在的脆弱性,審計(jì)過(guò)程中系統(tǒng)風(fēng)險(xiǎn)在所難免。由于信息系統(tǒng)涉及面廣,內(nèi)容龐大,審計(jì)人員很難全面掌握信息系統(tǒng)風(fēng)險(xiǎn)問(wèn)題,這就使得審計(jì)人員在審計(jì)過(guò)程中加強(qiáng)與專業(yè)人員溝通和交流,同時(shí)根據(jù)審計(jì)需要,聘請(qǐng)外部IT專業(yè)人士加強(qiáng)對(duì)信息系統(tǒng)的安全審計(jì)。(3)審計(jì)取證風(fēng)險(xiǎn)。由于計(jì)算機(jī)網(wǎng)絡(luò)及數(shù)據(jù)加密技術(shù)在應(yīng)用過(guò)程存在的缺陷和漏洞??赡軒?lái)的數(shù)據(jù)傳輸丟失、非法篡改、非法竊聽(tīng)等問(wèn)題,這加大了審計(jì)取證的難度,降低了審計(jì)結(jié)果的可靠性,加大了審計(jì)風(fēng)險(xiǎn)。(4)審計(jì)評(píng)價(jià)風(fēng)險(xiǎn)。對(duì)于審計(jì)過(guò)程發(fā)現(xiàn)的問(wèn)題,能否根據(jù)科學(xué)的模式和方法對(duì)存在的問(wèn)題做出合理的評(píng)估和分析,使審計(jì)過(guò)程中既遵循科學(xué)合理的程序和規(guī)范,又能客觀真實(shí)性地再現(xiàn)審計(jì)過(guò)程中的問(wèn)題,這在某種程度上構(gòu)成了審計(jì)的評(píng)價(jià)風(fēng)險(xiǎn)。為了提升審計(jì)的科學(xué)性和準(zhǔn)確性,審計(jì)人員在審計(jì)過(guò)程中需要出具嚴(yán)謹(jǐn)?shù)膶徲?jì)報(bào)告,審計(jì)報(bào)告既要體現(xiàn)出審計(jì)的靈活性和有效性,還要能夠針對(duì)具體的問(wèn)題做出合理的評(píng)價(jià)。

參 考 文 獻(xiàn)

[1]于寧.網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息的披露與監(jiān)管[J].安徽工業(yè)大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版).2005(3)

篇10

總的來(lái)講,我們目前對(duì)信息系統(tǒng)的安全保障工作處在初級(jí)階段,主要表現(xiàn)在信息系統(tǒng)安全建設(shè)和管理的目標(biāo)不明確,信息安全保障工作的重點(diǎn)不突出,信息安全監(jiān)管體系尚待完善。為了實(shí)施信息系統(tǒng)的安全保護(hù),我國(guó)制定頒布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)和《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》(GB/T18336-2001)等基本標(biāo)準(zhǔn),隨后又制定了一系列相關(guān)的國(guó)家標(biāo)準(zhǔn),對(duì)信息等級(jí)保護(hù)工作的定級(jí)、建設(shè)、測(cè)評(píng)、安全管理等進(jìn)行規(guī)范。信息安全等級(jí)保護(hù)制度一個(gè)很重要的思想就是對(duì)各領(lǐng)域的重要信息系統(tǒng)依照其對(duì)國(guó)家的重要程度進(jìn)行分類分級(jí),針對(duì)不同的安全等級(jí)采取不同的保護(hù)措施,以此來(lái)指導(dǎo)不同領(lǐng)域的信息安全工作[1]。99年頒布的《等級(jí)劃分準(zhǔn)則》對(duì)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分了五個(gè)等級(jí)[2],保護(hù)能力隨著安全保護(hù)等級(jí)的增高,逐漸增強(qiáng)。第一級(jí)為用戶自主保護(hù)級(jí)。使用戶具備自主安全保護(hù)的能力。第二級(jí)為系統(tǒng)審計(jì)保護(hù)級(jí)。在繼承前面安全級(jí)別安全功能的基礎(chǔ)上,需要?jiǎng)?chuàng)建和維護(hù)訪問(wèn)的審計(jì)跟蹤記錄。第三級(jí)為安全標(biāo)記保護(hù)級(jí)。在繼承前面安全級(jí)別安全功能的基礎(chǔ)上,要求依據(jù)訪問(wèn)安全級(jí)別限制訪問(wèn)權(quán)限。第四級(jí)為結(jié)構(gòu)化保護(hù)級(jí)。繼承前面安全級(jí)別安全功能的基礎(chǔ)上,劃分安全保護(hù)機(jī)制為兩部分,關(guān)鍵部分和非關(guān)鍵部分,對(duì)關(guān)鍵部分訪問(wèn)者直接控制訪問(wèn)對(duì)象的存取。第五級(jí)為訪問(wèn)驗(yàn)證保護(hù)級(jí)。按要求增設(shè)訪問(wèn)驗(yàn)證的功能,負(fù)責(zé)訪問(wèn)者對(duì)所有訪問(wèn)對(duì)象的訪問(wèn)活動(dòng)進(jìn)行仲裁。

2.企業(yè)信息安全等級(jí)保護(hù)的實(shí)施流程

在實(shí)施企業(yè)信息安全等級(jí)保護(hù)流程時(shí),主要得工作可以分為信息系統(tǒng)定級(jí)、規(guī)劃與設(shè)計(jì)和實(shí)施、等級(jí)評(píng)估與改進(jìn)三個(gè)主要的階段。

2.1信息系統(tǒng)定級(jí)

系統(tǒng)定級(jí)是根據(jù)整個(gè)系統(tǒng)要求達(dá)到的防護(hù)水平,確定信息系統(tǒng)和各個(gè)子系統(tǒng)的安全防護(hù)等級(jí)。需要由專業(yè)人員評(píng)估企業(yè)的信息系統(tǒng)、各種軟硬件設(shè)備及企業(yè)業(yè)務(wù)支撐的各個(gè)環(huán)節(jié),根據(jù)其重要性和復(fù)雜性劃分為各個(gè)子系統(tǒng),描述子系統(tǒng)的組成和邊界,以此確定總系統(tǒng)和子系統(tǒng)的安全等級(jí)。2.2安全規(guī)劃和設(shè)計(jì)安全規(guī)劃和設(shè)計(jì)是根據(jù)系統(tǒng)定級(jí)的結(jié)果,對(duì)信息系統(tǒng)及其子系統(tǒng)制定全套的安全防護(hù)解決方案,并根據(jù)方案選取相應(yīng)的軟、硬件防護(hù)產(chǎn)品進(jìn)行具體實(shí)施的階段,這個(gè)階段的工作主要可以歸納為以下三個(gè)方面的內(nèi)容:

2.2.1系統(tǒng)對(duì)象的分類劃分及相應(yīng)保護(hù)框架的確立。

企業(yè)需要對(duì)信息系統(tǒng)進(jìn)行保護(hù)對(duì)象進(jìn)行分類和劃分,建立起一個(gè)企業(yè)信息系統(tǒng)保護(hù)的框架,根據(jù)系統(tǒng)功能的差異和安全要求不同對(duì)系統(tǒng)進(jìn)行分域、分級(jí)防護(hù)。

2.2.2選擇安全措施并根據(jù)需要進(jìn)行調(diào)整。

在確定了企業(yè)信息系統(tǒng)及各個(gè)子系統(tǒng)的安全等級(jí)以后,根據(jù)需要選擇相應(yīng)的等級(jí)安全要求。根據(jù)對(duì)系統(tǒng)評(píng)估的結(jié)果,確定出主系統(tǒng)、子系統(tǒng)和各保護(hù)對(duì)象的安全措施,并根據(jù)項(xiàng)目實(shí)施過(guò)程中的需要進(jìn)行適當(dāng)?shù)恼{(diào)整。

2.2.3安全措施規(guī)劃和安全方案實(shí)施。

確定需要的安全措施以后,定制相應(yīng)安全解決方案和運(yùn)維管理方案,以此為依據(jù)采購(gòu)必要的安全保護(hù)軟、硬件及安全服務(wù)。

2.3實(shí)施、等級(jí)評(píng)估和改進(jìn)[4]

依照此前確定的安全措施和解決方案,在企業(yè)中進(jìn)行方案實(shí)施。實(shí)施完畢之后,對(duì)照“信息安全等級(jí)保護(hù)”相關(guān)標(biāo)準(zhǔn),評(píng)估所部署的方案是否達(dá)到了預(yù)想的防護(hù)要求,如果評(píng)估未能通過(guò),則需對(duì)部分安全方案進(jìn)行改進(jìn)后再進(jìn)行評(píng)估,直至符合等級(jí)保護(hù)要求。

3.企業(yè)信息安全等級(jí)保護(hù)體系的主要內(nèi)容

3.1安全體系設(shè)計(jì)的原則及設(shè)計(jì)目標(biāo)

信息系統(tǒng)安全體系的設(shè)計(jì)需要按照合規(guī)可行、全局均衡、體系化和動(dòng)態(tài)發(fā)展原則,達(dá)到并實(shí)現(xiàn)“政策合規(guī)、資源可控、數(shù)據(jù)可信、持續(xù)發(fā)展”的生存管理與安全運(yùn)維目的。系統(tǒng)安全等級(jí)保護(hù)體系的技術(shù)指標(biāo),可以分為信息技術(shù)測(cè)評(píng)指標(biāo)和非信息技術(shù)測(cè)評(píng)指標(biāo)兩類。所以整個(gè)安全等級(jí)保護(hù)體系應(yīng)包含基本技術(shù)措施和基本管理措施兩個(gè)組成部分。

3.2基本技術(shù)措施

3.2.1物理安全

物理安全是信息系統(tǒng)安全的基礎(chǔ),物理安全主要內(nèi)容包括環(huán)境安全(防火、防水、防雷擊等)、設(shè)備和介質(zhì)的防盜竊、防破壞等方面。

3.2.2網(wǎng)絡(luò)安全

網(wǎng)絡(luò)是若干網(wǎng)絡(luò)設(shè)備組成的可用于數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)環(huán)境,是信息系統(tǒng)安全運(yùn)行的基礎(chǔ)設(shè)施。對(duì)于內(nèi)網(wǎng)未通過(guò)準(zhǔn)許聯(lián)到外網(wǎng)的行為,可以使用終端安全管理系統(tǒng)來(lái)檢測(cè)。對(duì)登錄網(wǎng)絡(luò)設(shè)備和服務(wù)器的用戶進(jìn)行基本的身份識(shí)別,使網(wǎng)絡(luò)最基本具備基本的防護(hù)能力。[5]

3.2.3主機(jī)安全

主機(jī)安全主要是指服務(wù)器和終端系統(tǒng)層面的安全風(fēng)險(xiǎn)。主機(jī)的安全風(fēng)險(xiǎn)主要包括兩個(gè)方面:一是操作系統(tǒng)的脆弱性,二是來(lái)自系統(tǒng)配置管理和使用過(guò)程??梢酝ㄟ^(guò)建立一套完善安全審計(jì)系統(tǒng)實(shí)現(xiàn)系統(tǒng)層、網(wǎng)絡(luò)層以及應(yīng)用層的安全審計(jì)。

3.2.4應(yīng)用系統(tǒng)安全

應(yīng)用系統(tǒng)是提供給用戶真正可使用的功能,是以物理層、網(wǎng)絡(luò)層和主機(jī)層為基礎(chǔ)的,是用戶與系統(tǒng)底層的接口。應(yīng)用安全首先要考慮身份驗(yàn)證、通訊加密、信息保護(hù)和抗抵賴性等安全風(fēng)險(xiǎn),對(duì)應(yīng)用系統(tǒng)方面應(yīng)關(guān)注系統(tǒng)資源控制、應(yīng)用代碼安全、系統(tǒng)安全審計(jì)和系統(tǒng)容錯(cuò)等內(nèi)容,一般需要通過(guò)安全審計(jì)系統(tǒng)和專業(yè)的安全服務(wù)來(lái)實(shí)現(xiàn)。

3.2.5數(shù)據(jù)安全

數(shù)據(jù)是指用戶真正的數(shù)據(jù),信息系統(tǒng)數(shù)據(jù)安全所面臨的主要風(fēng)險(xiǎn)包括:數(shù)據(jù)遭到盜竊;數(shù)據(jù)被惡意刪除或篡改。在考慮數(shù)據(jù)安全方案時(shí),除了使用從物理層到應(yīng)用層的各種層次的安全產(chǎn)品,更重要的是考慮對(duì)數(shù)據(jù)的實(shí)時(shí)備份。目前主要使用數(shù)據(jù)庫(kù)技術(shù)來(lái)保證數(shù)據(jù)私密性和完整性,制定好數(shù)據(jù)存儲(chǔ)與備份方案,來(lái)完成日常的數(shù)據(jù)備份與恢復(fù)。這部分工作可以考慮引入專業(yè)安全服務(wù)。

3.3基本管理措施

3.3.1安全管理制度

安全管理制度的制定、、審核和修訂等工作,需要在信息安全領(lǐng)導(dǎo)小組的統(tǒng)籌下,按照安全工作的總體方案,根據(jù)系統(tǒng)應(yīng)用安全的實(shí)際情況,組織相關(guān)人員進(jìn)行,并進(jìn)行定期的審核和修訂。

3.3.2安全管理機(jī)構(gòu)

要根據(jù)要求建立專門的安全職能部門,配置專門的安全管理人員,并對(duì)安全管理人員進(jìn)行日?;顒?dòng)的監(jiān)督指導(dǎo)。同時(shí)要對(duì)安全職能部門進(jìn)行全面的設(shè)計(jì),內(nèi)容包括的人員和崗位的配置、日常工作流程、與其他部門的溝通和合作、系統(tǒng)安全的審核和檢查等方面。

3.3.3人員安全管理

人員的入職、離職、績(jī)效考核、業(yè)務(wù)培訓(xùn)等環(huán)節(jié)都要考慮安全因素。對(duì)第三方人員管理上也要考慮安全風(fēng)險(xiǎn)。

3.3.4系統(tǒng)建設(shè)過(guò)程管理

要在系統(tǒng)建設(shè)的各個(gè)階段貫徹系統(tǒng)安全等級(jí)保護(hù)體系的思想和內(nèi)容。主要是對(duì)系統(tǒng)建設(shè)從方案設(shè)計(jì)、采購(gòu)、開(kāi)發(fā)、實(shí)施、測(cè)試驗(yàn)收、交付到系統(tǒng)備案、安全測(cè)評(píng)等環(huán)節(jié)進(jìn)行全流程的監(jiān)控,對(duì)所有涉及安全保護(hù)的方面提出具體要求。

3.3.5系統(tǒng)運(yùn)行和維護(hù)管理

信息系統(tǒng)運(yùn)維安全管理涉包括日常管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心等幾方面內(nèi)容,可以是內(nèi)部人員管理維護(hù),也可以根據(jù)需要采用內(nèi)部人員和專業(yè)安全廠商相結(jié)合的方式。

4.總結(jié)