安全审计的类型合集12篇
安全审计的类型篇1
从审计恢复之初的1985年实施的《审计工作暂行规定》到《中华人民共和国审计法》及于2010年5月1日起实施《中华人民共和国审计法实施条例》,“真实、合法、效益”一直是审计工作的重要内容,贯串于始终,它高度概括了国家对审计的本质要求和审计目标所在,与此相适应,审计类型应以实现上述审计目标而设置。审计类型的发展是审计发展的一个缩影,本文拟从审计目标与审计类型的关系中,探究国家审计类型的演进趋势及审计体制、工作创新方法,以适应我国经济的发展对国家审计工作的要求。
一、真实、合法和效益内涵与审计主要类型
(一)真实、合法和效益内涵与外延
真实:是指会计信息与实际的财政收支、财务收支状况和业务经营活动成果相符合。
合法:是指财政收支、财务收支是否符合相关法律、法规、规章、制度和其他规范性文件,二层含义:一是经济活动符合法律法规;二是会计核算符合法律法规;也就是说经济活动是否遵循国家法律法规。
效益:是指对被审计单位的财政收支、财务收支及其经济活动的经济、效率和效果,也就是说是否达到了预期目的。
从其外延看,一个企事业单位、或者是政府组织的与财政、财务收支的有关经济活动,是否符合国家的相关政策、是否是真实存在的经济活动;是否实现了其预期目标,及效果如何,是否符合经济效益的同时,符合社会效益包括环境效益,政府组织的行政行为、政策法规是否实现、是否有效、是否达到预期目标都应是效益范围。例如:一个学校支出的教学经费是多少,是否有损失浪费是审计的范围,财务收支审计既是为此而设置;而其教育成果如何、教学质量在全国、全世界是什么水平,是否实现公众所关心教育目标;是否存在管理问题;一个项目从财政、财务收支上真实、合法、效益可能没有问题,但从其立项合法性上是否有问题?是否是实际需要?是否实现了专项资金的预定目标?是否实现了原定规划的要求?因此,财政或者财务收支是审计的范围,而这一部门所担负的职责履行如何,所制定的政策是否实现了预期目标、取得了预期效果,是否存在问题,同样是审计范畴,而且是更重要的“效益”范畴。
(二)财政、财务收支审计和经济效益、经济责任、绩效审计是我国审计的主要类型。
这是进行审计工作职责范围,这要求审计在审计方式的运用上,以此为基础,从审计工作恢复时起,财政、财务收支审计和经济效益审计、经济责任审计就是审计工作的重要内容:
一九八三年国务院转发审计署《关于开展审计工作几个问题的请示》关于审计机关的任务第三和第四条规定,“对国营企业、基本建设单位、金融保险机构,以及县以上人民政府管理的相当于国营的集体经济组织的财务收支,进行审计监督,并考核其经济效益。维护国家财经法纪,对严重的贪污盗窃、侵占国家资财、严重损失浪费、损害国家利益等行为,进行专案审计。”
《国务院关于审计工作的暂行规定》(1985年8月29日国务院 )第二条:“审计机关是代表国家执行审计监督的机关。通过对国务院各部门和地方各级人民政府的财政收支,财政金融机构、企事业组织以及其他同国家财政有关的单位的财务收支及其经济效益,进行审计监督,以严肃财经纪律,提高经济效益,加强宏观控制和管理,保证经济体制改革的顺利进行。”
《关于开展厂长离任经济责任审计工作几个问题得通知》(一九八六年审计署文件)中明确规定了审计的内容:厂长任期内企业的财务收支是否合规合法,盈亏是否真实,经济效益是否达到任期目标,国家资财有无损失浪费等。一九八八年审计署得《关于全民所有制工业企业承包经营责任审计得若干规定》中也把承包经营目标得实现情况及企业经营者得经济责任、国家资产得维护和增值、重大损失浪费等作为审计得重要内容。
《中华人民共和国审计条例》(实施日期1989/01/01 -1995/01/01 )“第二条 国家设立审计机关,实行审计监督制度。审计机关对本级人民政府各部门、下级人民政府、国家金融机构、全民所有制企业事业单位以及其他有国家资产单位的财政、财务收支的真实、合法、效益,进行审计监督。”
《中华人民共和国审计法》1994年8月31日第八届全国人民代表大会常务委员会第九次会议通过根据2006年2月28日第十届全国人民代表大会常务委员会第二十次会议《关于修改〈中华人民共和国审计法〉的决定》修正)“第二条国家实行审计监督制度。国务院和县级以上地方人民政府设立审计机关。国务院各部门和地方各级人民政府及其各部门的财政收支,国有的金融机构和企业事业组织的财务收支,以及其他依照本法规定应当接受审计的财政收支、财务收支,依照本法规定接受审计监督。审计机关对前款所列财政收支或者财务收支的真实、合法和效益,依法进行审计监督”。
《中华人民共和国审计法实施条例》(1997年10月21日中华人民共和国国务院令第231号公布2010年2月2日国务院第100次常务会议修订通过)“第二条 审计法所称审计,是指审计机关依法独立检查被审计单位的会计凭证、会计账簿、财务会计报告以及其他与财政收支、财务收支有关的资料和资产,监督财政收支、财务收支真实、合法和效益的行为。”
由此看出,从上世纪八十年初起,政府机关和国有企事业经济活动的真实、合法、效益的监督就是国家审计机关的重要内容。从1989年1月1日执行的《中华人民共和国审计条例》起明确提出了对“财政、财务收支的真实、合法、效益,进行审计监督。”这一时期审计的主要类型是财政财务收支审计和经济效益审计(包括经济责任和绩效审计)。
二.审计类型的演进与展望
(一)、我国审计类型中存在的问题
1.中央及省直与县市审计对象在规模上的差距应在审计目标上有不同审计类型。
中央及省直审计机关审计对象规模较大,一般在审计目标设定时,考虑审计成本和风险因素而只设定一、二个目标,比如只对真实、合法性进行审计,而市县审计机关审计对象相对较小,如果在设定审计目标时还比照上级审计机关的审计目标,则会出现浪费审计资源,降低审计效率。比如财务收支审计,在市县一级审计机关应增加效益审计目标,审计类型应定为财务综合审计。
2.我国经济发展需要开展新类型的审计项目。
我国现阶段的审计类型可归纳为以财务管理为审计内容的财务审计(包括行政、事业、企业财务审计);以及财务管理与经济管理为审计内容的管理审计(经济效益审计、经济责任审计、绩效审计、管理审计),①其中绩效审计包括政府责任审计越来越成为国家审计的主要类型。
随着社会主义市场经济的发展,涉及到部门、行业、地方的经济利益的矛盾与联系会越来越多,如有的产业的发展布局、战略的选择;维护国家安全;政策对社会、经济影响的评估等等,这必然会拓展审计领域,增加审计类型。环境、“三E”、“五E”、政府绩效、产业政策、教育文化政策、国家安全中的财政安全、金融安全、环境安全、民生安全、食品安全等也必然成为审计工作的重要内容,创新出适应中国特色社会主义需要的新的审计类型。
《审计署2008至2012年审计工作发展规划》中明确规定审计工作的主要任务:“把审计工作更好地融入全面建设小康社会发展全局,推进民主法治,维护国家安全,保障国家利益,促进国家经济社会全面协调可持续发展”。 要求探索创新审计方式,在深入总结我国审计实践的基础上,不断探索符合我国发展实际的审计方式和方法,增加新的审计类型。审计长刘家义指出“审计工作一定要关注国家安全。它是我们的一项重要任务。国家安全是政府责任的首要环节,是民主民生的根本保障。我们审计工作要关注国家财政安全、金融安全、环境安全、民生安全等。在维护国家安全方面,我们要积极探索,坚持不懈地抓下去。”包括国家安全在内的的政府的重要职能,事关全国人民切身利益的大事,国家重大政策的执行效果与效率,理应是人民大众关注的焦点与热点,因此必然是审计工作的“重要任务”。
(二)、在审计体制内进行统筹安排、创新工作方法的探讨
1.完善现有审计类型,实现审计新技术的历史性突破
虽然我国的国家审计工作恢复只有二十六年的时间,但是取得了很大成绩,财务审计、管理审计、经济责任审计、绩效审计取得了丰硕成果;缩小了与发达国家的差距的同时,充分利用我国审计工作全国“一盘棋”的整体优势,创造了具有中国特色的审计类型,如行业(项目)审计,通过对某一行业或者某一项目的审计,与效果审计相结合,揭露出存在的问题,具备其他审计类型所不具备的优势,这一我国独有的审计类型,为我国的社会主义建设事业,做出了重大贡献。
从八十年代初审计工作恢复至今已有二十七年,如何完善现有审计类型,总结经验,找出不足,才能建立有中国特色的社会主义审计体制。
一是要针对不同的审计对象的规模,合理确定审计目标,如果是规模较小可将“真实、合法、效益”作为审计目标,如市县一级的财务收支审计类型改为综合审计。
二是发挥我国审计的特点,适应当前新的要求,多在行业(项目)审计与效益审计、绩效审计结合上进行审计。
三是充分发挥计算机网络审计的优势,完成从人工审计到计算机管理网络系统审计的历史性跨越。
安全审计的类型篇2
一、引言
信息化是各种组织发展的重要方向,研究表明,信息化会引起组织变革,而组织改革又会改变组织内部的治理构造,而治理构造的改变又会对组织内部的机会主义行为产生重要影响。内部审计是组织内部抑制机会主义行为的重要制度安排,所以,信息化可能对内部审计产生重要影响。本文研究信息化对内部审计定位和工作重点的影响。
二、信息化、机会主义和内部审计定位
(一)内部审计定位
国际内部审计师协会(IIA)对内部审计的界定经过了一个发展的过程。1947年第1号《内部审计职责说明书》(SRIANo.1)认为,内部审计是组织内部检查会计、财务及其他业务的独立评价活动。2001年《内部审计专业实务标准》(Standards for the Professional Practice of Internal Auditing,SPPI)认为,内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。2009年《内部审计专业实务框架》(International Professional Practice Framework,IPPF)承袭了上述理论,进一步指出,确认服务是指为独立评估组织的治理、风险管理和控制过程而对证据进行的客观检查,例如,财务、绩效、合规性、系统安全和尽职调查等业务;咨询服务是指咨询及相关的客户服务活动,其性质和范围需与客户协调确定,目的是在内部审计师不承担管理职责的前提下,为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询活动。
总体来说,从SPPI开始,内部审计定位为增加价值和改善组织的运营,帮助组织实现其目标,一般称为增值型内部审计。如何增值呢?主要路径是抑制机会主义行为,也就是说,在鉴证机会主义行为是否存在的基础上,找出机会主义行为出现的原因并协助改进相关的治理、风险管理和控制过程。正是由于相关的治理、风险管理和控制过程存在弊端,人机会主义行为才会发生。内部审计如果只是鉴证机会主义行为是否存在,这种审计就是批判性审计,如果在鉴证机会主义行为是否存在的基础上,再分析机会主义行为存在的原因,找出相关的治理、风险管理和控制过程存在弊端,进而推动或协助改进相关的治理、风险管理和控制过程,这种内部审计就是增值型内部审计(郑石桥、陈丹萍,2011)。
(二)信息化不会改变内部审计定位
前面已经分析了内部审计的定位,信息化是否会改变内部审计的上述定位呢?首先,信息化会改变相关的治理、风险管理和控制过程,在信息化背景下,组织构架、信息沟通方式、权力和责任的配置都可能发生变化。但是,这种变化是否会消灭机会主义行为呢?信息化背景下的治理、风险管理和控制过程与非信息化下肯定会有重大区别,但是,这种重大区别,并不能消灭机会主义行为。因为,信息化并不能消除机会主义行为存在的前提条件,这些前提条件包括信息不对称和激励不相容。激励不相容是激励相容的对立面,激励相容是指每个理性经济人都会有自利的一面,其个人行为会按自利的规则行动,如果能有一种制度安排,使人追求个人利益的行为,正好与委托人的目标相吻合,这一制度安排就是激励相容。信息不对称是指人拥有委托人无法拥有的信息或拥有的信息数量或质量高于委托人。信息化对激励不相容没有作用,信息化可以降低但不能消除信息不对称。所以,在信息化背景下,机会主义行为的前提条件仍然存在,从而机会主义行为仍然存在,所以,内部审计定位对机会主义行为的抑制之定位仍然没有变化,也就是说,在信息化背景下,内部审计仍然定位为增值型内部审计。
三、信息化、机会主义和内部审计工作重点
(一)内部审计工作重点
从内部审计内容来说,现实生活中有多种类型,例如,合规性审计、财务审计、管理审计、经营审计、内部控制评价、风险管理审计、公司治理审计等。为什么会有多种内部审计业务类型呢?为什么不同组织的内部审计业务不同?这其中的原因是机会主义行为类型决定内部审计业务类型,有什么样的机会主义行为类型就会有什么样的内部审计业务类型,正是人的机会主义行为类型决定了内部审计业务类型。
虽然是机会主义行为类型决定内部审计业务类型,为什么不同单位的内部审计业务类型会不同?这其中的原因就是人的机会主义行为类型不同。如果人的机会主义行为主要是财务机会主义甚至是财务机会主义的某一方面,则内部审计业务当然就是以真实性、合法性审计为主;如果人机会主义行为主要是管理机会主义,则管理审计就会成为主要审计业务。那么,为什么不同人的机会主义行为类型会不同呢?一般来说,相关的治理、风险管理和控制过程在某些方面越是不健全,这些方面越是可能产生机会主义行为。所以,总体来说,人机会行为严重的领域就是审计工作的重点,内部审计工作的重点是由本单位不同类型机会主义行为的严重程度决定的。某类机会主义行为越是严重,针对该类机会主义行为的审计就可能成为审计工作重点(郑石桥,2012)。
(二)信息化会改变内部审计工作重点
信息化是否会改变审计工作重点呢?关键要看信息化是否会改变人不同类型机会主义行为的严重程度,如果不改变,则审计工作重点也不变;如果信息化改变了人不同类型机会主义行为的严重程度,则审计工作重点也会随之改变。
那么,信息化是否会改变人不同类型机会主义行为的严重程度呢?企业信息化将明显优化企业组织中的信息收集、加工、存储、传递、利用和反馈等信息过程,从而对企业组织形式产生巨大的影响,引发企业组织结构出现扁平化、柔性化、网络化、虚拟化、模糊化(程刚、陈传明,2004)。组织结构的上述变化是组织原有层级的变革,会引至组织权力配置及组织行为发生变化(汪淼军、张维迎、周黎安,2007)。事实上,上述组织结构的变化,用内部审计的语言来说,就是相关的治理、风险管理和控制过程发生了变化,而这些制度装置,正是应对机会主义行为的治理构造,这些治理构造的变化,势必会使得机会主义行为发生变化,原来机会主义行为较为严重的领域,可能在信息化背景下就不严重了;而原来机会主义行为不严重的领域,在信息化背景下,成为机会主义行为严重的领域;在某些情形下,甚至可能产生新的机会主义行为。正是由于机会主义行为的类型及严重程度发生了变化,内部审计工作的重点需要随之变革。否则,内部审计工作就偏离了抑制机会主义的定位。
例如,国家电网公司推行的“三集五大”管理模式,“三集”是指人力资源集约化管理;财务集约化管理;物资集约化管理。“五大”是指大规划体系;大建设体系;大生产体系;大运行体系;大营销体系。“三集五大”管理模式是以信息化为基础的,没有信息化,“三集五大”管理模式将难以运行。信息化改变了组织业务流程、权力配置和制衡机制,从而改变了组织内部机会主义行为的类型和不同类型机会主义行为的严重程度,从而对改变委托人的问责需求,从而会改变内部审计工作重点。具体来说,信息化背景下,国家电网公司内部审计工作重点主要包括:
(1)信息系统内部控制审计。信息系统本身的有效、安全成为信息化背景下的重要审计内容。系统安全受到很多方面的威胁,未经授权的访问、黑客攻击、网络病毒入侵等等。因此审计工作应当继续以维护信息系统安全作为工作的重点之一。
(2)在信息系统内部“嵌入”审计机制。集成信息化阶段,企业业务处理、数据核算等程序没有人为参与,全靠计算机独立运行。但是这就会产生新的机会主义行为,即恶意更改系统程序导致处理运算的错误。因此审计工作应当嵌入信息系统内部进行监督,可以通过在程序中嵌入带有记录、存储处理过程的芯片(类似于黑匣子),将信息、数据处理过程“录制”下来以备审计。
(3)站在组织治理的高度重塑审计职能。审计工作已经不能局限于传统的会计领域,在信息化时代,企业内部的边界、企业之间的边界已经变得模糊,信息网络将企业包围,任何信息已经不再单独属于某个领域,而审计的职能也应该从防弊纠错中拓展出来,服务于整个企业。因此审计要从组织治理的角度重新审视自身,成为企业管理、治理的工具。
(4)风险预警审计。根据海量业务营运及财务数据,对各类风险进行实时监测和预警,及时发现风险隐患,防患于未然。
(5)管理审计。在信息化背景下,一般性的财务违规会大大降低,委托人关心的重点会转移到绩效,从而,管理审计会成为审计重点。
(6)责任审计。在信息化背景下,可用于责任评价的数据将更容易获得,所以,对于各内部单位责任履行情况进行审计将更容易实现。
(7)遵循性审计。为实现“三集五大”管理模式,总部统一制定各项政策和流程,内部所属单位要遵守总部制定的政策和流程。内部审计部门对各所属单位的遵守情况进行审计。
四、结论
信息化会引起组织变革,进而对组织内部的机会主义行为产生重要影响。内部审计是组织内部抑制机会主义行为的重要制度安排,所以,信息化可能对内部审计产生重要影响。本文研究信息化对内部审计定位和工作重点的影响。分析表明,信息化并没有消除机会主义行为的产生前提,所以,信息化背景下,机会主义行为同样存在。因此,内部审计抑制机会主义行为的定位不变。但是,信息化改变了人不同类型机会主义行为的严重程度,从而审计工作重点也会随之改变。例如,国家电网公司在推行的“三集五大”管理模式,国家电网公司内部审计工作重点主要包括:信息系统内部控制审计;风险预警审计;管理审计;责任审计;遵循性审计。
【参考文献】
[1] 郑石桥,陈丹萍.机会主义、问责机制和审计[J].中南财经政法大学学报,2011(4).
安全审计的类型篇3
1.1审计对象维度
审计对象是信息安全活动的核心标识载体,是描述信息安全事件不可或缺的要素,根据信息安全活动的特点,将审计对象划分为人员、时间、地点、资源4个属性。人员人员是信息安全活动产生的源头,除了广义上的人员姓名、性别、年龄等基本信息外,还需延伸到其在信息安全活动中使用的账号、令牌、证书等个人标识信息。时间时间是信息安全活动的窗口,任何信息安全活动都会产生时间戳,可用以标识信息安全活动的开始、结束及其中间过程。地点地点是信息安全活动发生的位置,不仅包括传统意义上的地理位置信息,还包括网络空间中源IP、目的IP等位置信息。资源资源是信息安全活动所依赖的先决条件,包括计算机硬件、操作系统、工具软件等一切必要的资产。
1.2审计模式维度
审计模式是综合审计的具体运用,是综合审计模型的关键集成点,根据信息安全活动的具体类型和场景,将审计模式划分为运维操作、数据库应用、网络应用、终端应用4个属性。运维操作运维工作是支撑网络和信息系统稳定运行的重要前提,但运维人员掌握着系统的高级权限,由此带来的运维风险压力也越来越大,因此必须引入运维操作审计管理机制。运维操作审计的核心是加强对运维人员账号和权限的管控,即在集中运维模式下实现运维人员与目标系统的逻辑分离,构建“运维人员主账号(集中运维账号)授权从账号(目标系统账号)目标系统”的管理架构,并对具有唯一身份标识的集中运维账号设置相应的权限,在此架构下实现精细化运维操作审计管理[3]。数据库应用在大数据时代,数据库是最具有战略性的资产,其黄金价值不言而喻,数据一旦被非法窃取,将造成难以估量的损失。运维层面的数据库安全可通过运维操作审计来实现,数据库审计的核心应是加强业务应用对数据库访问合规性的管控,建立“业务系统SQL语句数据实例返回结果”的识别监听架构,将采集到的业务系统信息、目标实例对象、SQL操作动作等信息进行基于正常操作规则的模式匹配,并对应用层访问和数据库操作请求进行多层业务关联审计,实现业务系统对数据库访问的全追溯[4]。网络应用无论数据中心内的信息系统还是办公区内的办公终端都会产生大量的网络流量,加强对网络流量的识别和分析,是发现违规行为的重要途径。网络应用审计的核心是通过网络监听技术,建立“用户(业务系统)交互对象网络流量分类识别”的管理架构,对各类网络数据包进行协议分析,其重点是要对网站访问、邮件收发、文件传输、即时通信、论坛博客、在线视频、网络游戏等典型应用进行区分和记录,达到对用户及业务系统间双向网络应用的跟踪审计[5]。终端应用终端是信息安全的最后一道防线,同时也是最薄弱的一个环节,无论是服务器还是办公机,要么是应用的发起者要么是接受者,是信息安全事件的落脚点。终端应用审计的核心是通过扫描和监控收单,建立“主机安全基线+介质数据交换”的管控架构,对终端补丁安装、防病毒软件、文件下载、文档内容的安全基线进行记录审查,并对移动存储介质与外界发生的数据交换进行跟踪记录,实现对终端各类行为审计的全覆盖。
1.3审计管理维度
综合审计管理的目的是要实现对信息安全风险的全面治理,需包括事前规划预防,事中实时监控、违规行为阻断响应,事后追踪回溯、改进保护措施,根据综合审计管理事前、事中、事后三个阶段的特点,将控制、监控、响应、保护定义为该维度的4个属性。控制指按照权限最小化原则,采取措施对一切必要的信息资产访问权限进行严格控制,仅对合法用户按需求授权的管理规则。监测指对各类交互行为进行实时监控,以便及时发现信息安全事件的管理规则。响应指对监测过程中发现的违规行为进行及时阻断、及时处理的管理规则。保护指对监测到的各类交互行为进行记录回放、并积极采取改进保护措施的管理规则。
2信息安全综合审计治理闭环管理机制
在多维信息安全综合审计模型基础之上,按照全过程的管理思路,应以综合治理为目标导向,对存在的信息安全问题进行闭环管理,研究事前、事中、事后各环节的关联关系,形成相互补充、层层递进的闭环管理机制。
2.1事前阶段
制定统一的安全审计策略,以保证信息系统的可用性、完整性和保密性为核心,实现对用户身份和访问入口的集中管理,严格权限管理,坚持用户权限最小化原则,注重将用户身份信息与网络和信息系统中的各种应用与操作行为相结合,保证审计过程与审计结果的可靠性与有效性。
2.2事中阶段
实时监测运维操作、数据库应用、网络应用和终端应用产生的数据,通过规则及时发现违规信息安全事件,做到实时响应、实时处理,并通过多个维度将各种基础审计后的安全事件有机地整合起来,做到信息安全事件的全记录、全审计。
2.3事后阶段
对各类审计数据进行标准化处理及归档入库,为安全事件的准确追踪和回溯提供有力支持。同时,对信息安全事件进行深度分析,查找事件发生的深层次原因,执行有针对性的弥补措施,并更新信息安全审计策略,形成良性的管理机制。
3信息安全综合审计系统架构设计
3.1技术架构
信息安全综合审计系统面临的一大问题就是各业务系统与网络设备运行独立,信息集成和交互程度较低,服务器、交换机、办公终端都是独立的审计对象,均会产生大量的审计数据,但又缺乏集中统一的审计数据管理视角,构建对审计数据的统一处理能力应是综合审计体系建设的核心思路,信息安全综合审计体系有效运行的关键就在于对可审计数据的采集,以及对数据分析处理的能力。因此必须在多维信息安全综合审计模型框架下,建设“原始数据收集数据标准化处理审计事件分析事件响应与展现”的全过程处理过程,实现从采集到展现的一体化综合审计系统,包括数据采集、数据处理、事件分析和事件响应4大功能模块。数据采集对网络中的数据包、主机中的重要数据的操作行为、操作系统日志、安全设备日志、网络设备日志等原始数据进行收集;数据处理将采集到的原始数据进行标准化处理,将处理后的数据变为日志,存储到数据库中,并交付“事件分析”模块;事件分析对标准化处理后的事件进行分析、汇总,同时结合人员信息做出综合判断,有选择地将分析结果发送到“事件响应”单元,并进行存储与展现;事件响应对分析后的结果做出反应的单元,可以结合其他的安全措施对事件做出中断会话、改变文件属性、限制流量等操作。
3.2业务架构
安全综合审计应保证审计范围的完整性,只有范围覆盖得合理且全面,才能保证信息安全审计的充分性和有效性,才能达到综合治理的目的。同时,过大的系统覆盖维度又会使审计点过多,导致审计体系无法贯彻落实。因此,应在多维信息安全综合审计模块框架下对运维操作、数据库应用、网络应用和终端应用开展审计工作。通过对运维操作、数据库应用、网络应用、终端应用等各类审计关键技术的整合,充分运用数据统计、数据分析、数据展现等手段,构建完备的综合审计知识库,再结合信息安全实际环境和治理策略,制定科学合理的审计规则,实现信息安全治理工作技术与管理的统一,从根本上提高信息安全综合治理能力[6]。
安全审计的类型篇4
1.1审计对象维度
审计对象是信息安全活动的核心标识载体,是描述信息安全事件不可或缺的要素,根据信息安全活动的特点,将审计对象划分为人员、时间、地点、资源4个属性。人员人员是信息安全活动产生的源头,除了广义上的人员姓名、性别、年龄等基本信息外,还需延伸到其在信息安全活动中使用的账号、令牌、证书等个人标识信息。时间时间是信息安全活动的窗口,任何信息安全活动都会产生时间戳,可用以标识信息安全活动的开始、结束及其中间过程。地点地点是信息安全活动发生的位置,不仅包括传统意义上的地理位置信息,还包括网络空间中源IP、目的IP等位置信息。资源资源是信息安全活动所依赖的先决条件,包括计算机硬件、操作系统、工具软件等一切必要的资产。
1.2审计模式维度
审计模式是综合审计的具体运用,是综合审计模型的关键集成点,根据信息安全活动的具体类型和场景,将审计模式划分为运维操作、数据库应用、网络应用、终端应用4个属性。运维操作运维工作是支撑网络和信息系统稳定运行的重要前提,但运维人员掌握着系统的高级权限,由此带来的运维风险压力也越来越大,因此必须引入运维操作审计管理机制。运维操作审计的核心是加强对运维人员账号和权限的管控,即在集中运维模式下实现运维人员与目标系统的逻辑分离,构建“运维人员主账号(集中运维账号)授权从账号(目标系统账号)目标系统”的管理架构,并对具有唯一身份标识的集中运维账号设置相应的权限,在此架构下实现精细化运维操作审计管理[3]。数据库应用在大数据时代,数据库是最具有战略性的资产,其黄金价值不言而喻,数据一旦被非法窃取,将造成难以估量的损失。运维层面的数据库安全可通过运维操作审计来实现,数据库审计的核心应是加强业务应用对数据库访问合规性的管控,建立“业务系统SQL语句数据实例返回结果”的识别监听架构,将采集到的业务系统信息、目标实例对象、SQL操作动作等信息进行基于正常操作规则的模式匹配,并对应用层访问和数据库操作请求进行多层业务关联审计,实现业务系统对数据库访问的全追溯[4]。网络应用无论数据中心内的信息系统还是办公区内的办公终端都会产生大量的网络流量,加强对网络流量的识别和分析,是发现违规行为的重要途径。网络应用审计的核心是通过网络监听技术,建立“用户(业务系统)交互对象网络流量分类识别”的管理架构,对各类网络数据包进行协议分析,其重点是要对网站访问、邮件收发、文件传输、即时通信、论坛博客、在线视频、网络游戏等典型应用进行区分和记录,达到对用户及业务系统间双向网络应用的跟踪审计[5]。终端应用终端是信息安全的最后一道防线,同时也是最薄弱的一个环节,无论是服务器还是办公机,要么是应用的发起者要么是接受者,是信息安全事件的落脚点。终端应用审计的核心是通过扫描和监控收单,建立“主机安全基线+介质数据交换”的管控架构,对终端补丁安装、防病毒软件、文件下载、文档内容的安全基线进行记录审查,并对移动存储介质与外界发生的数据交换进行跟踪记录,实现对终端各类行为审计的全覆盖。
1.3审计管理维度
综合审计管理的目的是要实现对信息安全风险的全面治理,需包括事前规划预防,事中实时监控、违规行为阻断响应,事后追踪回溯、改进保护措施,根据综合审计管理事前、事中、事后三个阶段的特点,将控制、监控、响应、保护定义为该维度的4个属性。控制指按照权限最小化原则,采取措施对一切必要的信息资产访问权限进行严格控制,仅对合法用户按需求授权的管理规则。监测指对各类交互行为进行实时监控,以便及时发现信息安全事件的管理规则。响应指对监测过程中发现的违规行为进行及时阻断、及时处理的管理规则。保护指对监测到的各类交互行为进行记录回放、并积极采取改进保护措施的管理规则。
2信息安全综合审计治理闭环管理机制
在多维信息安全综合审计模型基础之上,按照全过程的管理思路,应以综合治理为目标导向,对存在的信息安全问题进行闭环管理,研究事前、事中、事后各环节的关联关系,形成相互补充、层层递进的闭环管理机制。
2.1事前阶段
制定统一的安全审计策略,以保证信息系统的可用性、完整性和保密性为核心,实现对用户身份和访问入口的集中管理,严格权限管理,坚持用户权限最小化原则,注重将用户身份信息与网络和信息系统中的各种应用与操作行为相结合,保证审计过程与审计结果的可靠性与有效性。
2.2事中阶段
实时监测运维操作、数据库应用、网络应用和终端应用产生的数据,通过规则及时发现违规信息安全事件,做到实时响应、实时处理,并通过多个维度将各种基础审计后的安全事件有机地整合起来,做到信息安全事件的全记录、全审计。
2.3事后阶段
对各类审计数据进行标准化处理及归档入库,为安全事件的准确追踪和回溯提供有力支持。同时,对信息安全事件进行深度分析,查找事件发生的深层次原因,执行有针对性的弥补措施,并更新信息安全审计策略,形成良性的管理机制。
3信息安全综合审计系统架构设计
3.1技术架构
信息安全综合审计系统面临的一大问题就是各业务系统与网络设备运行独立,信息集成和交互程度较低,服务器、交换机、办公终端都是独立的审计对象,均会产生大量的审计数据,但又缺乏集中统一的审计数据管理视角,构建对审计数据的统一处理能力应是综合审计体系建设的核心思路,信息安全综合审计体系有效运行的关键就在于对可审计数据的采集,以及对数据分析处理的能力。因此必须在多维信息安全综合审计模型框架下,建设“原始数据收集数据标准化处理审计事件分析事件响应与展现”的全过程处理过程,实现从采集到展现的一体化综合审计系统,包括数据采集、数据处理、事件分析和事件响应4大功能模块。数据采集对网络中的数据包、主机中的重要数据的操作行为、操作系统日志、安全设备日志、网络设备日志等原始数据进行收集;数据处理将采集到的原始数据进行标准化处理,将处理后的数据变为日志,存储到数据库中,并交付“事件分析”模块;事件分析对标准化处理后的事件进行分析、汇总,同时结合人员信息做出综合判断,有选择地将分析结果发送到“事件响应”单元,并进行存储与展现;事件响应对分析后的结果做出反应的单元,可以结合其他的安全措施对事件做出中断会话、改变文件属性、限制流量等操作。
3.2业务架构
安全审计的类型篇5
二、XBRL对审计的影响
XBRL技术应用对审计范围,审计重点,审计目标,审计发展都产生了重大的影响,其对审计的影响主要体现在以下四个方面:1、审计的具体职能将进一步扩大。应用XBRL的审计不仅需要审计传统的财务报表还需要对生成XBRL数据的会计信息系统的可靠性进行验证,审计范围进一步扩大。同时基于XBRL的审计不仅针对财务数据也针对企业的非财务数据进行审计,也进一步扩大审计范围。
2、审计的重心将倾向于符合性审计。在XBRL环境下,审计师的审计重点将倾向于XBRL规范、分类标准和实例文档。3、审计质量和效率的提高。在XBRL环境下,会计信息标准化,不同数据库不同类型的数据都可以识别利用和转化,审计师不必重复录入数据信息,减少二次数据的录入不仅可以减少审计人员的时间同时减少和避免重复录入过程中错误。XBRL技术解放审计人员大量的时间和精力,使其致力于更加关键的分析性复核中,提升审计的质量和效率。4、XBRL促进持续审计的实现。XBRL技术的应用,使实时在线生成财务报告成为可能,同时展现在审计师面前的是全球通用的标准的财务报告,不必考虑数据库是否兼容的问题,此时审计师可以将审计软件嵌入被审计单位信息系统,实时获取其相关信息,并将数据导入审计数据库中对其进行实时的审计,XBRL技术促进持续审计的实现。
三、XBRL给审计带来的挑战
XBRL在给审计带来机遇的同时也带来新的挑战,该技术的应用增加了审计风险,增加了审计成本。1、增加审计风险。(1)应用XBRL技术后,审计范围进一步扩大不仅包括财务报表本身还包括生成XBRL的信息系统,在传统审计风险的基础上增加信息系统的检查风险。(2)由于XBRL技术在我国的应用尚不规范,企业应用XBRL技术能力有限,增加被审计单位应用该技术的重大错报风险。主要包括被审计单位正确理解XBRL规范,正确选择和运用分类标准,标签的唯一性,标签与数据的映射是否准确完整等。(3)网络安全性风险。基于XBRL的审计高度依赖生成XBRL报告的信息系统,该系统被恶意篡改和攻击将大大增加实施审计的风险。2、增加审计成本。XBRL的应用,给审计提出新的挑战,需要审计才用新的技术和手段,新的技术和手段又必然对审计师的素质提出更高的要求,XBRL增加审计成本主要体现在对审计人员的培训提高和新型技术进一步研发应用两个方面。3、审计软件不能满足需求。基于XBRL的审计,更多的是对信息系统和电子数据进行审计,大量的审计需要审计软件的辅助才能更好的发挥其效用,但目前我国的审计软件并不适应该环境下的审计。
四、解决建议
XBRL的应用对审计而言既是机遇也是挑战,为了促进XBRL技术的进一步应用促使审计进一步完善发展,我们需要从以下几个方面努力。
1、加强XBRL技术研究与推广
实现XBRL技术在审计中的进一步应用和发展,就必须对其相关理论,工作流程,规范,分类标准有深入的了解和认识。一方面,XBRL是全球通用的标准和技术,我国应该成立XBRL协会及研究机构,加强与国际相关组织的交流和合作,促进国际化进程,同时针对我国的具体现状开展XBRL审计实务工作的研究和管理,指导审计人员参与审计鉴证工作。
另一方面,加强XBRL的宣传和教育。国家相关组织可以通过讲座,学术研讨会,网上课堂等方式传输相关知识。事务所应该通过XBRL技术实务操作比赛和模拟操作系统等方式增强其在审计人员之间的影响力,其实逐渐树立应用XBRL的意识。
2、构建信息安全体系降低风险
XBRL格式信息将其全部内容以数字形式流通与网络之上,但XBRL技术本身并不能对数据本身的安全性和完整性提供保证,其受到非法篡改的风险,在网络环境下,数据的安全关系到各利益相关者的利益,影响深远,故构建信息安全体系降低风险势在必行。一方面要保障数据存储安全,建立包括访问控制,数据库安全,防火墙等保证措施。另一方面保障信息通讯安全,可以通过构建事务所与被审计企业之间的VPN通信网络实现。同时,应该做好XBRL数据库的备份,以应对网络环境下内外数据资源和信息系统的隐患。
降低安全风险不仅需要从技术角度努力,更应该使企业人员和审计人员认识到网络风险的危害性和严重性,树立起安全防护意识,在日常操作中时刻防护网络和信息系统的安全。
3、培养复合型审计人才,建设复合型审计团队
在XBRL环境下审计,审计范围和审计手段都发展显著的变化,传统的精通会计、审计、经济、税务的注册会计师后已无法胜任目前的工作,需要培养集会计领域,计算机领域和网络技术领域知识技能于一身的复合型人才,只有这种人才才能适应XBRL环境下审计的需要。本文认为可以通过高校教育,在职培训的方式增加复合型人才数量。但高校课程体制改革的时间过长,很难满足现阶段审计发展的需要。在职培训时间较短,很难对新涉入领域的知识有全面深入的理解。本文认为,从短期看,最优的选择路径是对目前在职的注册会计师和审计人员进行计算机和网络技术领域的技能进行培训,使其对此有一定的了解,同时建设复合型团队,该团队中有注册会计师,税务师,计算机领域的专家和网络信息化得相关人才,利用团队工作,分工合作以提高审计质量和效率。从长期看,高校应该进行课程体制的改革,培养集会计,计算机,网络信息化技能于一身的复合型人才,以降低审计成本,促进审计的发展。
4、促进审计技术的研发创新
XBRL技术的应用必然促使审计技术的创新,促进审计技术的创新是提高审计质量和效率,降低审计的人力成本,促进持续审计实现的必然选择。本文认为应该从以下三个角度促进审计技术的创新,审计数据采集与处理技术,审计分析复核技术和网络计技术。国家相关组织机构应该重点鼓励新兴审计技术的创新与发展,促进网络公司与会计师事务所合作,研发适合XBRL审计的审计技术,我国也充分借鉴国外的先进技术,以促进审计工作的顺利进行。
安全审计的类型篇6
中图分类号:F239 文献标识码:A
文章编号:1004-4194(2015)07-122-02
大数据是以云计算为基础,通过信息存储、分享和挖掘,将大量、高速、多变的终端数据存储下来并分析计算,寻求解决问题的有效方法。随着军队信息化建设的不断推进,未来军事经济活动都将以数据信息流的形式展现和保存,产生的数据量增长迅速,数据种类和格式日渐丰富。面对一个个数量庞大、种类繁杂的数据信息源,审计机关不仅要具备对海量数据的采集和存储的能力,更重要的是能够迅速分析和挖掘数据,从中找出审计线索、发现问题、寻求对策。
一、大数据的定义与特征
根据维基百科的定义,大数据是指无法在可承受的时间范围内用常规软件工具进行捕捉、管理和处理的数据集合。对于大数据,美国著名的顾能公司给出了这样的定义:是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。随着大数据研究的深入,大数据概念的内涵和外延不断地产生变化,业界对其定义尚未完全统一。目前主流的定义基本是从大数据的特征出发,试图通过阐述和归纳这些特征来给出大数据的定义,其中比较有代表性的是4V。大数据的4个“V”有四个层面:一是数据体量巨大。从TB级别,跃升到PB级别。二是数据类型繁多。包括网络日志、视频、图片、地理位置等信息。三是处理速度快。1秒定律,可从各种类型的数据中快速获得高价值的信息,这一点也是和传统的数据挖掘技术有着本质的不同。四是只要合理利用数据并对其进行正确、准确的分析,将会带来很高的价值回报。业界将其归纳为4个“V”――Volume(数据体量大)、Variety(数据类型繁多)、Velocity(处理速度快)、Value(价值密度低)。大数据分析相比于传统的数据仓库应用,具有数据量大、查询分析复杂等特点,强调将数据结合到业务流程和决策过程中,部分类型的数据必须实时分析才能对业务产生价值。
二、大数据背景给军队审计数据分析带来的机遇和挑战
(一)大数据背景给军队审计数据分析带来的机遇
1.军队审计数据分析的认同感大为增强。军队审计部门作为综合性的经济监督部门,一直秉承数据说话的传统。审计报告中无论是综合评价,还是揭示问题,无一不是以数据为支撑的。在大数据背景下,海量数据离散地存储于不同信息系统中。可充分利用数据仓库、联机分析、数据挖掘和数据可视化等技术,对这些数据进行关联并深度挖掘分析,科学评估经费的使用情况和法规的实施效果,从而得出客观的审计结论。所有这一切都将得到各级党委和被审计单位的高度认同,从而进一步提升军队审计自身的地位。
2.军队审计数据分析所需的基础数据的获取将变得更为便利。在破除了军队内部协同思想理念上的障碍后,随着大数据技术发展,跨越系统、跨越平台、跨越数据流结构的技术将使军队内部纵向、横向部门得以流畅协同。军队审计部门不再需要“点对点”地与被审计单位进行联网,在内部局域网设定的许可权限内,可以直接查询和利用相关数据信息,极大地节约了审计成本;同时由于利用大数据技术,数据处理及分析响应时间将大幅减少,审计工作的效率将明显提高,可以同时对多个类别、多种领域的数据进行分析、处理。
3.军队审计数据分析将有助于提高党委决策的科学性和准确性,推动预测预警和应急响应机制建设,更加有效地规范军事经济活动。审计人员可以通过对历年海量数据的统计分析,挖掘出军事经济活动的特点规律,对各类违规违纪行为进行总结归纳,为党委建章立制提供参考依据;同时还能科学地评估管理规章的执行效果,从而帮助各级党委不断发现问题、整改落实。随着审计分析的进一步深化,审计分析将超越传统的数据分析方法,不但是对纯数据可以进行分析挖掘,对财务账表、报告等都可以进行深度挖掘、人工智能。
(二)大数据背景给军队审计数据分析带来的挑战
大数据在给军队审计信息化带来机遇的同时,也带来前所未有的挑战:一是实现资源统一规划和使用,必须以数据编码和信息标准统一、相互之间兼容互联为前提。由于目前缺乏制度依据,部门间横向协同难,原有的“信息孤岛”将给审计机关获取审计数据以及进行持续化审计造成困难。二是面对数量庞大、种类繁杂的数据信息源,审计机关不仅要具备对海量数据的采集和存储的能力,更重要的是能够迅速分析和挖掘数据,从传统的“经验依赖”转化为“数据依赖”,审计人员的数据驾驭能力将受到考验。三是审计业务流程大多以数据信息形式展现,资金流向更多体现为数据信息流的交换,使得违规违纪行为更加隐蔽和多样,微小的数据变动就可能造成经济损失。以往仅限于重点人员和财务的审计已经不能满足需要,抽样分析以及单一的财务账目分析也难以发现微小数据异常,这就要求审计机关对审计对象进行全面覆盖。四是审计机关作为军事经济运行安全的免疫系统,不仅要对已存在的问题进行查处和修补,还要对潜在的风险进行及时的揭示和抵御,更要通过大数据这个金矿,从更高层面、更全范围、更广视角为上级党委提供系统性、综合性、前瞻性的审计建议。
三、大数据背景下军队审计数据分析的策略
(一)明确工作目标导向,实施数据基础式审计
传统的以审计组划分的分散式审计模式已不能适应大数据背景下审计数据分析工作要求。首先,当前军队审计工作要建立健全制度、整合审计资源,结合审计人员的专业理论素养、实践工作经验、数据处理能力等因素,着手组建数据集中分析模式团队。其次,明确审计工作目标导向,按照“总体全面分析、重点业务分析、重点事项分析”逐层递进的思路,以系统全面的数据信息源为基础,坚持“面向业务需求、指导审计实践、推动数据分析”的原则开展审计数据分析工作。最后,要理清军队审计数据分析的工作思路,运用信息系统实施数据基础式审计方法,全面分析被审计单位在经济活动中存在的问题与不足,为军队审计工作的顺利开展提供数据支撑和技术保证。
(二)研判后台数据结构,掌握重点数据资源
在大数据时代,军事经济数据将呈现指数增长,挖掘重点及敏感数据审计的难度日益加大。做好审计数据的掘取、存储、处理与应用,对提高审计效率、实现分析结果的精准化具有重要作用。通过检查被审计单位内部控制制度,审查单位内部对不同业务数据的使用管理是否到位,数据库管理和安全操作制度是否完善,重点领域数据库常态监管措施是否严格,移动设备安全使用规程是否执行;依据数据库设计文档和数据注释等媒介,研究论证后台数据结构,确定重点、敏感信息数据库范围;采取穿行测试法、重新执行法、代码审查法、文档审查法等技术手段深入挖掘,切实掌握重点事项、信息、账表和报告间的勾稽关系。
(三)运用挖掘型分析技术,开展数据深度分析
目前军队审计中应用较多的是查询型分析和验证型分析,无法满足深刻揭示军事经济活动内在规律的现实需要,必须要引入挖掘型分析技术。挖掘型分析是利用数据仓库和数据挖掘工具进行的审计分析,主要有分类、回归分析、聚类、关联规则等方法。运用挖掘型数据分析技术,首先要做好审计数据的分类、存储、快速调用等工作,整合分析数据资源,搭建云数据存储平台,完善数据整理和研判机制,实现重点数据库间的兼容互联,共享审计云平台服务器运算能力资源。其次,要研发数据审计方法和分析工具,运用移动办公、云计算等技术对海量数据进行远程分析,深度分析审计疑点及问题线索,进而实现数据分析结果的精确化。
(四)把握系统运行特点,构建数据安全体系
大数据在给军队审计工作创新发展带来机遇的同时,也为信息资源安全带来了挑战。军队审计部门掌握了大量关系到国家安全和国防实力的经济数据,这些宝贵的数据资源一旦损失,将会对国家安全造成无法挽回的损失和后果。要确保数据资源安全,必须全面了解被审计单位信息系统的管理体制、总体架构、规划设计、管理水平等特点,重点调研审计信息系统的数据资源,尤其是清楚掌握后台数据库的的项目、数量、功能模块、版本、管理维护部门、访问模式、数据存储和备份等信息。要重视审计数据及其信息安全系统的建设,创新大数据信息安全审计技术的研发,加强对重点领域敏感审计数据的监管,运用大数据技术应对高级可持续攻击,并精心培养一大批既具备军队审计业务知识又具备数据挖掘和应用开发能力的专业技术人才,着力构建完善的数据安全体系。
参考文献:
[1] 肖俊华,论大数据时代军队财务数据与信息化建.军事经济研究,2014(3)
[2] 丁继明.公安现役部队审计.广东经济出版社,2013
安全审计的类型篇7
近年来,医院信息化建设快速推进,以军卫一号、军财工程、财经管理信息平台数据集成融合为基础的财务业务一体化集成系统也被全军医院广泛应用,审计人员面对的是功能复杂的大型信息系统,是增长迅速的海量电子数据,违规违纪问题也呈现出完全不同的表现形式,手法更多样和隐蔽。在信息化环境下,审计最关注的纸质文件、报表、账册和凭证已变成了电子数据,因此,缺乏采集、整理、分析电子数据技术方法的传统审计方式很难获取审计所关注的数据,这就为医院审计管理模式、流程、方式的改变提供了全新的、充满挑战的信息化环境。
1.2计算机审计是信息化环境下审计方式的新选择
为适应我国信息化快速发展的形势,《审计署2008至2012年审计工作发展规划》提出,要“以数字化为基础,积极推进计算机审计,总结推广先进的审计技术方法,进一步探索和完善信息化环境下的审计方式”。运用信息化手段,数据式审计可以深入到计算机系统底层数据库,获取更多、更广泛的数据,快速便捷地分析处理海量数据,取得大量、多种类型的有用信息。将审计的视角转向数据审计模式,探索适应信息化环境下军队医院内部审计技术方法是新的历史时期,适应外部环境变化和内部发展需求的必然选择。
1.3医院持续发展对内部审计技术方法提出新要求
目前各种电子文档、数据库、音频视频文件等数字化资源成为全面真实记录一个单位活动的介质,传统方式下,孤立分析数据,单靠经验发现问题,片面反映个别问题的技术方法已经无法适应医院审计发展的要求,审计人员需要掌握科学全面分析数据的技术方法,充分发挥审计免疫系统功能。这就要求审计人员在审计中站在更高层面,占有更多数据,能够利用分析程序审计技术方法,结合专业判断能力,在全面把握和分析数据的基础上突出重点,通过信息之间的内在联系,揭示异常变动,在问题发生之前揭示风险隐患。
2国内外审计管理信息系统研究应用情况
2.1国外审计软件研究
目前比较流行的国外审计软件主要有IDEA和ACL等。IDEA是由加拿大的CaseWare公司(快思维国际有限公司)开发并推出的数据审计软件产品,特点是交互式数据抽取与分析,体现了强大的分析功能与Windows下友好的用户界面的组合。ACL是由加拿大ACL公司开发的面向大中型企业的审计软件,特别适合金融、电信、保险等行业海量数据的分析。2.2国内审计软件研究近年来我国开发使用的审计软件主要包括审计作业软件、审计管理软件、专用审计软件、法规软件、联网审计软件等5种类型。在政府审计中比较流行的软件还有现场审计实施系统、审计数据采集分析系统、企业财务审计软件等,主要用来帮助完成面向数据的计算机辅助审计。
2.3国内医院审计软件研究
通过“中国知网”近五年检索,选择从2010到2014年,以“医院、审计、信息系统”为联合关键词进行跨库高级检索,检索出5篇相关文章。通过文献内容分析,安徽财经大学会计学院吴强军所发表的《HRP环境下医院计算机审计的应用研究》内容与本文研究方向一致。
3军队医院内部审计信息系统的构建
3.1系统开发运行环境
系统运用J2EE技术,采用B/S(Browser/Server)架构,运行平台为Unix/Windows操作系统,基于“军字一号”工程、“军财工程”数据库,最大限度地利用医院现有主机存储资源,结合HTML语言、JavaScript脚本语言等技术,通过网页形式呈现给用户。①服务器系统:Windows2003/2008Server;②工作站系统:Windows98/2000/XP/Win7等,浏览器IE8以上;③后台数据库:采用Oracle10g以上;④应用服务器:支持IIS、Tomcat6、Jboss;⑤设计文件工具:IBMRationRose2003enterprisesuite;⑥开发工具:VS2010/Eclipseandmyeclipse;⑦项目文件管理器:SVN1.4.3。
3.2系统运行安全策略
系统进行统一的身份认证、权限管理、有限操作、保存痕迹;应用层与基础数据层有访问限制,保密信息与公开信息有严密隔离等安全管理体系;提供数据修改全程监控、提供错误日志、提供系统运行日志;包括从物理安全、网络安全、服务器安全、数据安全、应用安全等,以形成符合医院信息系统合理、完善的信息安全体系。
3.3多层业务架构设计
医院内部审计信息系统为多层架构设计,依据不同的功能划分为不同的业务逻辑层:系统基础层—提供底层服务,业务基础数据;数据接口层—接口数据定义,接口数据处理;参数适配层—系统控制参数,个性参数设定;业务处理层—业务流程控制,业务数据处理;数据展现层—提供数据维护,统计报表输出。
3.4研发技术业务路线
军队医院内部审计信息系统通过对医院内部审计管理需求调研,结合医院“一号工程”、“军财工程”、“财经管理平台”对现有收费、物资、固定资产、预算、合同、人力等系统数据进行全面稽核,保证医院数据完整性、准确性、统一性。系统通过建立审计关键指标,并依据医院自身的审计业务特点,对三大数据平台,进行DW(DataWarehouse)数据仓库的建立或对医院现有DW的直联操作,通过DM数据挖掘方式,进行全面、客观、准确的数据采集工作。同时三大数据平台以外的外部数据源,通过配置SQL语句、XML接口方式、ETL工具等采集方式,进行关键指标数据的采集工作,全面的完成审计基础数据从来源端经过抽取、转换、加载到本系统数据库中,不会数据源数据造成影响,同时提升了审计工作真实性、实时性。最后依据医院现行审计实施细则要求,对设定的关键指标数据进行对比、分析达到对审计稽核目的。系统将对稽核结果,以及抽查过程中的方式、方法、查询凭证等以及备注的纸质文档内容,进行底稿记录并进行存档,便于日后查询。并建立审计资料库,将各级审计法规、审计方法及经验存储到审计资料库里,建立审计作业流程库,随时查阅借鉴、分析和指导应用。
4审计信息系统的功能实现
4.1内部审计的主要内容
军队医院内部审计信息系统是作为一个子系统同步于医院信息化建设,是与医院信息数据库系统相匹配的通用内部审计、数据提取及分析软件。系统建设在财务收支审计、预算执行和决算审计、经济责任审计、建设工程项目审计、经济合同审计,以及财务、固定资产、采购等内部控制审计的基础上,建立审计内容关键指标库,设计合理的医院审计管理流程,明确数据采集源头,通过网络随时取得所需的数据信息和资料,并对其进行实时跟踪、分析和审查,实现对关键指标数据的在线审计。通过信息平台,使审计的对象和目标从财经信息扩展到了医院信息系统之中所有的业务信息,同时拓展了系统数据安全的审计和决策服务职能。结合“军队医院内部审计管理标准化体系”的构建,在系统中同时建立独立的以存储审计档案、审计底稿、数据分析、审计法规等内容的集数据、理论知识、审计文档为一体的审计重要管理数据库。
4.2审计分析模型的构建
审计分析模型是审计人员用于数据分析的数学公式或逻辑表达式,是按照审计事项应该具有的性质或数量关系,由审计人员通过设定计算、判断或限制条件建立起来的,用于验证审计事项实际的性质或数量关系,从而对被审计单位经济活动的真实性、合法性和效益性做出科学的判断。构建审计分析模型的相关技术主要有SQL查询技术、多维分析技术和数据挖掘技术,主要按照“系统分析模型-类别分析模型-个体分析模型”的流程来构建审计分析模型。
4.2.1系统分析模型
通过对医院资产、负债、损益、现金流情况的分析和对主要财务、业务等指标的计算分析,从整体层次上全面的、系统的分析、评估、把握单位的总体情况,对其主要特点、运营规律和发展趋势形成一个总体上的概念和认识,同时初步确定审计重点范围。
4.2.2类别分析模型
对医院主要业务类别分别建立起类别分析模型,从业务类别的层次上进行分析,查找医院经营管理中的薄弱环节,锁定各主要业务类别重点审计的内容、范围。
4.2.3个体分析模型
在锁定审计重点的基础上,需构建不同的个体分析模型,通过对审计重点进行不同角度的深入分析,达到核查问题、筛选线索的目的,从而为下一步的延伸取证提供明确、具体的目标。
4.3分析性程序审计方法应用
分析性程序是指审计人员为了提高审计工作效率,通过对被审计单位重要业务和经济信息进行对比分析,并根据相关信息之间的关系,包括因果关系、逻辑关系、比率或趋势关系等,发现异常,获得审计证据并得出审计结论的一种审计取证技术方法。数字化条件下,审计人员利用已编好的程序,借助有关数字和统计方法,能够很快提取数据并自动进行计算分析得出差异结果,结合审计专业经验,帮助发现相关资料存在的错弊,并提供整体合理性证据。
安全审计的类型篇8
一、企业信息网络安全现状概述
进入21世纪后,随着国内信息化程度的快速提高,信息网络信息安全越来越多受到关注,信息网络安全产品和厂商短短几年内大量涌现。但是,令人担忧的是,虽然众多的产品和厂商都以信息网络安全的概念在提供服务,但其中包含的实际技术和内容却千差万别。这样的情况,一方面对市场和用户形成了误导,不利于解决用户的实际信息网络安全问题,造成投资浪费;另一方面也不利于创造良性的竞争环境,阻遏了信息网络安全市场的发展。
鉴于此,有必要对信息网络安全进行成体系的理论探讨,形成统一的共识和标准,这样才能让信息网络安全产品和厂商真正满足用户的需求,解决用户的实际问题,推动国家信息化的发展。
二、信息网络安全问题的本质探讨
1.信息网络安全问题的形成原因
信息网络安全问题的提出跟国家信息化的进程息息相关,信息化程度的提高,使得内部信息网络具备了以下三个特点:
(1)随着ERP、OA和CAD等生产和办公系统的普及,单位的日程运转对内部信息网络的依赖程度越来越高,信息网络已经成了各个单位的生命线,对信息网络稳定性、可靠性和可控性提出高度的要求。
(2)内部信息网络由大量的终端、服务器和网络设备组成,形成了统一有机的整体,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪,对信息网络各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。
(3)由于生产和办公系统的电子化,使得内部网络成为单位信息和知识产权的主要载体,传统的对信息的控制管理手段不再使用,新的信息管理控制手段成为关注的焦点。
上述三个问题,都是依赖于信息网络,与信息网络的安全紧密相连的,信息网络安全受到广泛的高度重视也就不以为奇。
2.信息网络安全问题的威胁模型
相对于信息网络安全概念,传统意义上的网络安全更加为人所熟知和理解,事实上,从本质来说,传统网络安全考虑的是防范互联网对信息网络的攻击,即可以说是互联网安全,包括传统的防火墙、入侵检察系统和VPN都是基于这种思路设计和考虑的。互联网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内互联网边界出口。所以,在互联网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。
而信息网络安全的威胁模型与互联网安全模型相比,更加全面和细致,它即假设信息网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自互联网,也可能来自信息网络的任何一个节点上。所以,在信息网络安全的威胁模型下,需要对内部网络中所有组成节点和参与者的细致管理,实现一个可管理、可控制和可信任的信息网络。由此可见,相比于互联网安全,企业的信息网络安全具有以下特点:
(1)要求建立一种更加全面、客观和严格的信任体系和安全体系;
(2)要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理;
(3)要求对信息进行生命周期的完善管理。
三、现有信息网络安全产品和技术分析
自从信息网络安全概念提出到现在,有众多的厂商纷纷自己的信息网络安全解决方案,由于缺乏标准,这些产品和技术各不相同,但是总结起来,应该包括监控审计类、桌面管理类、文档加密类、文件加密类和磁盘加密类等。下面分别对这些产品和技术类型的特性做了简单的分析和说明。
1.监控审计类
监控审计类产品是最早出现的信息网络安全产品, 50%以上的信息网络安全厂商推出的信息网络安全产品都是监控审计类的。监控审计类产品主要对计算机终端访问网络、应用使用、系统配置、文件操作,以及外设使用等提供集中监控和审计功能,并可以生成各种类型的报表。
监控审计产品一般基于协议分析、注册表监控和文件监控等技术,具有实现简单和开发周期短的特点,能够在信息网络发生安全事件后,提供有效的证据,实现事后审计的目标。监控审计类产品的缺点是不能做到事情防范,不能从根本上实现提高信息网络的可控性和可管理性。
2.桌面管理类
桌面管理类产品主要针对计算机终端实现一定的集中管理控制策略,包括外设管理、应用程序管理、网络管理、资产管理以及补丁管理等功能,这类型产品通常跟监控审计产品有类似的地方,也提供了相当丰富的审计功能,
桌面监控审计类产品除了使用监控审计类产品的技术外,还可能需要对针对Windows系统使用钩子技术,对资源进行控制,总体来说,技术难度也不是很大。桌面监控审计类产品实现了对计算机终端资源的有效管理和授权,其缺点不能实现对信息网络信息数据提供有效的控制。
3.文档加密类
文档加密类产品也是信息网络安全产品中研发厂商相对较多的信息网络安全产品类型,其主要解决特定格式主流文档的权限管理和防泄密问题,可以部分解决专利资料、财务资料、设计资料和图纸资料的泄密问题。
文档加密技术一般基于文件驱动和应用程序的API钩子技术结合完成,具有部署灵活的特点。但是,因为文档加密技术基于文件驱动钩子、临时文件和API钩子技术,也具有软件兼容性差、应用系统适应性差、安全性不高以及维护升级工作量大的缺点。
4.文件加密类
文件加密类产品类型繁多,有针对单个文件加密,也有针对文件目录的加密,但是总体来说,基本上是提供了一种用户主动的文件保护措施。
文件加密类产品主要基于文件驱动技术,不针对特定类型文档,避免了文档加密类产品兼容性差等特点,但是由于其安全性主要依赖于使用者的喜好和习惯,难以实现对数据信息的强制保护和控制。
5.磁盘加密类
磁盘加密类产品在磁盘驱动层对部分或者全部扇区进行加密,对所有文件进行强制的保护,结合用户或者客户端认证技术,实现对磁盘数据的全面保护。
磁盘加密技术由于基于底层的磁盘驱动和内核驱动技术,具有技术难度高、研发周期长的特点。此外,由于磁盘加密技术对于上层系统、数据和应用都是透明的,要实现比较好的效果,必须结合其他信息网络安全管理控制措施。
四、构建完整的信息网络安全体系
从前面的介绍可以看出,上述的信息网络安全产品,都仅仅解决了信息网络安全部分的问题,并且由于其技术的限制,存在各自的缺点。事实上,要真正构建一个可管理、可信任和可控制的信息网络安全体系,应该统一规划,综合上述各种技术的优势,构建整体一致的信息网络安全管理平台。
根据上述分析和信息网络安全的特点,一个整体一致的信息网络安全体系,应该包括身份认证、授权管理、数据保密和监控审计四个方面,并且,这四个方面应该是紧密结合、相互联动的统一平台,才能达到构建可信、可控和可管理的安全信息网络的效果。
身份认证是信息网络安全管理的基础,不确认实体的身份,进一步制定各种安全管理策略也就无从谈起。信息网络的身份认证,必须全面考虑所有参与实体的身份确认,包括服务器、客户端、用户和主要设备等。其中,客户端和用户的身份认证尤其要重点关注,因为他们具有数量大、环境不安全和变化频繁的特点。
授权管理是以身份认证为基础的,其主要对内部信息网络各种信息资源的使用进行授权,确定“谁”能够在那些“计算机终端或者服务器”使用什么样的“资源和权限”。授权管理的信息资源应该尽可能全面,应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。
数据保密是信息网络信息安全的核心,其实质是要对信息网络信息流和数据流进行全生命周期的有效管理,构建信息和数据安全可控的使用、存储和交换环境,从而实现对信息网络核心数据的保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样,所以要求数据保密技术必须具有通用性和应用无关性。
监控审计是信息网络安全不可缺少的辅助部分,可以实现对信息网络安全状态的实时监控,提供信息网络安全状态的评估报告,并在发生信息网络安全事件后实现有效的取证。
安全审计的类型篇9
随着业务发展及管理要求提高,内部审计职能由单纯监督向监督与服务并重转变。内审的工作向内部控制及管理的各个领域拓展,在拓展内部审计实施深度方面,审计活动中逐步需要增加具有管理审计性质的内容,由简单的“对与错”评价向更多地关注控制强弱、风险高低、危害大小以及效率、效果情况转变。
当前人民银行内审部门无法满足转型工作的需要,尤其是基层地市的实际工作中,由于编制和经费的限制,整体力量严重不足,高素质员工大多被安排到维持业务正常运转必不可少的岗位,而工作质量相对弹性较大的内审部门,则成了收留老弱病人员的所谓“闲职”,即使是能够参加审计项目的人员,在理解和掌握风险评估技术、统计分析方法、计算机辅助审计手段等方面也存在着一定困难。
优化审计资源配置是解决审计任务繁重与审计力量不足矛盾的关键。工作领域拓展和工作任务增加是内部审计转型中无法改变的趋势,内审部门的力量受制于编制和费用的限制在短期内也无法大幅度增加,只能通过改善内审部门自身管理,优化已有资源配置,来解决这一矛盾。
二、现有审计计划与组织实施方式影响了审计资源的配置效率
根据《中国人民银行内审工作制度》,人民银行内审工作实行统一领导、分级管理。总行内审司年初内审工作要点,各级内审部门根据要点确定年度审计计划,基层内审部门在审计项目确定中的决定权有限。虽然制度规定内审部门可以根据实际需要,经本行行长授权安排审计项目,但由于完成上级行安排的项目已经使内审部门超负荷运转,自选项目在年度审计计划中所占比重其实很小。按照审计工作涉及的具体业务范围,人民银行内审项目分为履职/离任审计、内部控制审计,财务专项审计、业务专项审计及信息技术专项审计五种类型,针对每种业务类型,总行设相应的处,分行和省会设相应的科,中心支行设相应的小组来分别负责。具体到每个项目的实施,根据审计主体和被审计单位的行政级别,有下查一级和同级监督两种方式。这种“统一计划、分别组织、下查一级为主”的审计计划与组织实施方式存在以下弊端:
(一)统一安排的审计计划与被审计对象具体情况脱节
总行内审司统一确定的年度审计要点,是根据全国人民银行系统整体情况确定的,审计的内容或者是总行领导及社会公众关注的重点领域,或者是一段时期内的重点工作。而具体到每个中心支行,由于当地经济发展水平、业务开展情况、改革推进程度的不同,开展相同审计项目可能会出现完全不同的效果。
(二)各自为战的组织方式造成对同一被审计单位的多次重复审计
根据现有制度,每种专项审计都要求一定的覆盖面,履职审计要求四年一个轮回,离任审计则根据一把手的调整而随时开展。由于内审部门下设的每个处或者科都要组织开展自己的审计项目,而被审计单位数量则是固定的,常常出现“前年查履职、去年查专项、今年查内控、明年行长又离任”的局面。连续几年对相同业务查了又查,问题只是表述方式和归类不同,实际还是同样的问题。
(三)下查一级为主的审计实施方式影响了内审项目的有效开展
下查一级在传统的合规性审计中非常有效,但对于内部控制审计和绩效审计等转型中新出现的业务类型,下查一级方式却在一定程度上影响了项目的实际效果。
1.从审计实施主体看,证据收集的困难影响了审计项目的实施质量
内部控制和绩效管理本身是一个过程概念,对其进行评价除了关注结果外,更要关注控制运行和绩效管理的过程。审计证据的收集是内审工作的一个难题。以基本建设管理绩效审计为例,为了评价采购过程的经济性,需要获取建设当时市场上同类材料和人工价格的信息,这种信息在几年后很难获取。
2.从被审计对象的客体看,具体情况的差别影响了绩效评价的客观公正
内部控制审计和绩效审计的核心都在于评价,评价标准的确定是影响审计效果的关键因素。基于相同的组织目标和相似的组织结构,内部控制评价标准在人民银行内部比较容易确定,而绩效评价则由于被审计客体具体情况的差别而很难做到客观公正。
三、创新审计计划和组织实施方式的措施
人民银行内部审计要由查错纠弊功能,向更多发挥顾问咨询作用、更具建设性的增加价值功能转变,由单纯关注制度执行,转变为更多关注风险管理和内部控制,更多关注资源配置和整体目标实现。这不仅是对内部审计功能目标的重新定位,也是对审计管理目标的重新定位。通过审计计划和组织实施方式的创新,实现审计管理过程的优化,才能引导审计资源的合理配置。
安全审计的类型篇10
为适应经济和提高企业自身管理水平,许多企业迫切需要会计软件能具有资金管理、核算、项目管理核算、财务分析、辅助决策的功能,这就形成了管理型会计软件,管理型会计软件突破了会计软件只局限于会计核算的界限,向全面参予管理决策发展。
(二)核算型会计软件
随着电算化的普及,财务软件也从帐务、工资等单项处理,过渡到深入全面的会计核算,如往来、存货、成本等,形成了以核算为体系的会计软件。目前国内主要会计软件,都具有这些功能。但核算型会计软件缺乏管理思想,很难与企业管理信息系统(MIS)融为一体。
(三)ERP会计软件(战略型会计软件)
随着我国企业从重视内部管理,以提高生产效率、降低成本为核心的生产管理时代,到面向市场的,以建立全面竞争优势为核心的新管理时代,会计软件从管理型发展到战略型、实现企业内部物流、资金流与信息流的一体化管理,实现管理与决策有机统一,并将适应在Internet/Intranet/Extranet上,实现与外部资源的统一,会计软件从离散的部门级应用走向整体的企业级应用。企业信息化建设的一个重要阶段是建设企业核心的业务管理和应用系统阶段。而在这个阶段最有代表性的是企业内部的资源计划系统ERP。ERP是一种科学管理思想的计算机实现,他对产品研发和设计、作业控制、生产计划、投入品采购、市场营销、销售、库存、财务和人事等方面以及相应的模块组成部分,采取集成优化的方式进行管理。ERP不是机械的适应企业现有的流程,而是对企业流程中不合理的部分提出改进和优化建议,并可能导致组织机构的重新设计和业务流程重组。
从实际应用分析,我国企业电子化的水平不一,有的企业尚未电子化,有的还处于或者单一模型会计软件阶段或者核算型会计软件阶段。另外,同样是在ERP级的企业,其应用水平也有较大差异,有的只是部分甚至单一模块的应用,有的只是将其作为原有信息管理系统的补充,有的网络管理相当薄弱。但是,企业电子化发展的趋势是不可逆转的,现在只要有企业要建设信息化系统,他就会超越会计软件发展的低级阶段,而将瞄准其最新的研究成果上,也就是说,一旦企业进行电子化的再造,其涉及的领域将空前广泛,不仅仅是会计电算化,而是产、供、销、设备、仓储、运输、设计、质量乃至人教劳资等企业管理的各个领域。目前越来越多的企业在加紧企业管理信息系统的建设,这从我国财务及企业管理软件开发供应商的规模上也可反映出来。我国财务及企业管理软件开发供应商已涌现出了包括用友、金蝶、安易等一大批公司,据用友公司介绍,仅用友截止2000年年初,其地区分、子公司50余家,商500余家,客户服务中心100余家,行业覆盖率100%,用户数约20万家,除此之外,还有大量上规模的企业在自行开发应用。由此可见,企业电子审计的环境已逐步形成,且其电子化的色彩将伴随着电子商务的产生和发展而变得越来越浓。
二、现行电子审计轨迹分析
审计轨迹,是指在经济业务和会计制度核算中通过编码、交叉索引和连接帐户余额与原始交易数据的书面资料所提供的一连串的信息企业的会计系统应为每笔业务、每项经济活动提供一个完整的审计轨迹。审计轨迹对企业管理当局和审计人员都很重要,企业管理当局可使用审计轨迹来答复客户对有关资料的询问或质疑,审计人员可使用审计轨迹来验证和追查经济活动。没有审计轨迹,审计工作将难以开展。在电子环境下,那些原来审计人员常见的记帐凭证、明细帐表、科目汇总表、有个性的笔迹等有的已消失,有的发生了变化,变得更加隐藏、更加复杂,从而加大了审计工作的难度。当前,我国会计软件的开发正处于从起步到形成产业的阶段,由于考虑到会计处理系统的效率和研制成本等原因,软件开发在设计开发中,对如何充分保留并提供审计轨迹却未给予足够重视。换句话说,更加详细地描述审计轨迹的会计软件的开发还需进一步努力补缺。因此,国家有关部门应尽快出台有关制度、标准,使设计者有章可循,审计人员有标准可依。
(一)应用软件层
目前由国内企业开发的知名财务软件产品包括金蝶、用友和安易、新中大等,其软件产品也较丰富,一种较为流行的审计轨迹安排就是上机日志。各系统随时对各个产品或模块的每个操作员的上下机时间、操作的具体功能等情况都进行登记,形成上机日志,以便使所有的操作都有所记录、有迹可寻。由于上机日志数量庞大,为了便于审计人员有重点地进行选择,迅速发现问题,通常系统还会提供过滤功能,这样,审计人员就可以选择那些在符合性测试中发现的较薄弱的内部控制环节进行有重点的实质性测试,提高工作效率。另外,系统还提供了从报表到凭证和从凭证到报表的双向查询功能,从而建立了一条应用程序内的审计轨迹。
(二)数据库层
1、MicrosoftSQLServer2000
MicrosoftSqlServer是企业信息管理系统中应用较为广泛的一种数据库管理系统,从版本上看,其产品主要有SYBASESQLSERVER,MicrosoftSQLSERVER4,MicrosoftSQLSERVER6,MicrosoftSQLSERVER6.5,MicrosoftSQLSERVER7.0,MicrosoftSQLSERVER2000。微软公司最新推出的关系型数据库管理系统MicrosoftSQLSERVER2000是一个面向下一代的数据库和数据分析系统,具有很高的可靠性、可伸缩性、可用性、可管理性等特点。MicrosoftSQLSERVER2000是一种典型的具有客户机/服务器体系结构的关系型数据库管理系统,他使用TRANS-ACT-SQL语句在客户机和服务器之间传送请求和回应。MicrosoftSQLSERVER2000带有的常用工具包括SQLSERVERENTERPRISEMANAGER、SQLSERVEROUERYANALYZER、各类向导工具和SQLSERVERPROFILER。其中我们在创建审计轨迹中可以利用的工具是SQLSERVERPROFILER。
设计者开发SQLSERVERPROFILER工具的目的是为了捕捉系统的活动,用于分析、诊断和审计系统的性能。可以利用其跟踪事件的功能,通过适当的设置来安排我们的审计轨迹。为了使用这一工具,必须创建一个跟踪定义,一旦定义了跟踪,我们就可以启动、停止、暂停和继续运行跟踪。当其运行时,SQLSERVERPROFILER监测指定服务器上的SQLSERVER事件,并且为所选的事件捕捉满足过滤条件的指定数据。当这种跟踪数据被捕捉时可以交互显示,并且将跟踪结果存储在指定的表或文件中。例如,我们可以在TRACEPROPERTIES窗口的GENERAL选项卡中指定跟踪服务器的名称(应当将其设置成财务软件运行的数据库服务器名),跟踪文件保存的地点(应当是一个相对安全的地点),跟踪失效的时间点等;在EVENTS选项卡中指定希望使用该跟踪捕捉的事件(如将TSQL事件分类中的STMTCOMPLETED事件选入,则将对已经完成的TRANSACT-SQL语句进行捕捉):在DATACOLUMNS选项卡中设置需要捕捉的数据列(如将DATABASENAME,STARTTIME,ENDTIME,TEXT,LOGINNAME,OBJECTNAME等选入数据列,则将对语句正在其中运行的数据库名、事件开始的时间、事件结束的时间、当前指定的对象名、用户登录系统的名称、捕捉到跟踪中的事件类的文本值等进行捕捉)。
一旦设置完成,就可以运行跟踪了。跟踪可以是持续运行的,为了不影响系统的性能,我们应当及时将相应的跟踪文件备份。当然,审计人员应当根据被审计方的实际情况作出运行跟踪最佳时间的职业判断以便提高系统的运行效率。
SQLSERVERPROFIIER提供了由用户定义跟踪事件数据的功能,但这一功能是有限的。一个更可行更灵活的方案是利用MicrosoftSQLSERVER2000提供的触发器技术。
2、ORACLE8
ORACLE8数据库从其安全性考虑,设有多个安全层,并且可以对各层进行审计,利用ORACLE8自带的这种审计功能,我们可以安排所需的财务审计轨迹。ORACLE8具有审计发生在其内部所有动作的能力,审计记录可以写入SYS.AUD$的审计踪迹,可以被审计的三种不同的操作类型包括:注册企图、对象访问和数据库操作,利用其中的对对象的数据交换操作审计功能,就可以获得相应的审计轨迹。
首先我们使数据库允许审计,必须在INIT.ORA文件中的AUDITTRAIL值设为DB(允许审计,并将审计结果写入SYS.AUD$表),对于特定的表(如ACCOUNT表),我们所需要的审计轨迹主要是插入(INSERT、删除(DELETE)和更新(UPDATE)操作,可以利用以下的语句来进行:AUDITINSERTONACCOUNTBYACCESS;AUDITUPDATEONACCOUNTBYACCESS;AUDITDELETEONACCOUNTBYACCESS;上述语句指定了一个审计记录在每次插入、删除和更新ACCOUNT表时写入,审计记录结果可以通过对DBA-AUDIT-OBJECT视图的查询进行显示。
如果在SYS.AUD$上储存信息,就必须先保护该表,否则用户可通过非法操作来删除审计踪迹,由于SYS.AUD$是存在数据库内的,可通过以下命令来保护该表:AUDITALLONSYSAUD$BYACCESS;而且对该表的操作只能由具有CONNECTINTERNAL能力的用户来删除(例如,在DBA组中)。
另外,ORACLE8的触发器功能也是较强大的,如可以建立A和B两个触发器来对TABI表设置审计轨迹,并将轨迹记录在TAB2、TAB3表中。
CREATTRIGGERA
AFTERINSERTORUPDATEORDELETEONTAB1
DECLARE
STATEMENTTYPECHAR(1);
BEGIN
IFINSERTINGTHEN
STATEMENTTYPE:=‘I’;
ELSIFUPDATINGTHEN
STATEMENTTYPE:=‘U’;
ELSE
STATEMENTTYPE:‘D’;
ENDIF;
INSERTINTOTAB2
VALUES(SYSDATE,STATEMENTTYPE,USER);
ENDA;
CREATTRIGGERB
BEFOREINSERTORUPDATEORDELETEONTAB1
FOREACHROW
BEGIN
INSERTINTOTAB3
VALUES(SYSDATE,USER,
NEW.ID,:NEW.RECORDER,:OLD.ID,:OLD,RECORDER);
ENDB;
3、其他数据库
ACCESS、FOXPRO等数据库可以通过设置密码等方式来限制访问,但直接利用数据库本身来设置审计轨迹是很困难的。
(三)操作系统层
1、Windows2000操作系统
Windows2000是微软最近推出的操作系统,其覆盖的用户面之广是史无前例的:从家庭用户、商业用户、笔记本用户、工作组服务器、部门服务器到提供企业计算和安全环境的高级服务器到可以提供全球联机电子交易服务的数据中心服务器。尽管可以分为四个版本:PROFESSIONAL(专业版)、SERVER(服务器版)、ADVANCEDSERVER(高级服务器版)和DATACENTERSERVER(数据中心服务器版),然而内核和界面是一样的,区别仅在于支持的CPU数量和某些高级功能和服务。作为单用户多任务的内置网络功能操作系统,Windows2000拥有一个健全的用户帐户和工作环境,利用其固有的安全机制,可以安排我们的审计轨迹。
Windows2000使用“本地安全设置”更精确地管理工作组中的用户和资源,它将安全策略地分成两类:帐户策略和本地策略。其中,本地策略包括审核策略、用户权利指派和安全选项,其中的审核策略就是用来指定要记录的事件类型,这些类型涉及从系统范围的事件(例如用户登录)到指定事件(例如某用户试图读取某个特定文件),这些事件包括成功事件、不成功事件或兼而有之。审核记录写入计算机的安全日志,通过“事件查看器”我们可以获得部分审计轨迹。
为了控制各种审计轨迹文件的数量,同时为了保护重要文件(包括审计踪迹文件)不被非法删除、修改,Windows2000新的“加密文件系统”(EFS提供了一种核心文件加密技术,该技术用于在NTFS文件系统卷上存储已加密文件。对已加密的文件的用户,加密是透明的。但是,试图访问已加密文件的入侵者将被禁止这些操作。具体操作时既可以通过为文件设置加密属性,也可以用命令行功能CIPHER加密文件。当然,利用Windows2000的文件和文件夹权限设置功能,也可以控制各种审计轨迹文件的数量。
2、UNIX操作系统
从安全性来讲,普遍的观点是UNIX操作系统的安全性能高于Windows操作系统,正因为如此,UNIX操作系统也为我们提供了获取更多,更精确的审计轨迹的可能性。UNIX能自动生成很多日志文件,这些日志文件可以形成我们的审计轨迹。
UNIX的日志分为三类:
(1)连接时间日志——由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/Utmp,login等程序更新wtmp和utmp文件,使我们能够跟踪谁在何时登录到系统。
(2)进程统计——由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录,进程统计的目的是为系统中的基本服务提供命令使用统计。
(3)错误日志——由syslogd执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志,像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
这三类日志中,连接时间日志是我们从中发现审计轨迹的最重要的一类,其中的utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键——保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中:登录进入和退出纪录在文件wtmp中:最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中,所有的纪录都包含时间戳。
另外,一旦启动进程统计子系统,UNIX可以跟踪每个用户运行的每条命令,从中也可以建立我们的审计轨迹。
(四)网络环境(网络安全)
电子数据是通过计算机网络进行传输的,传输的数据是否准确和安全,涉及计算机网络技术的可靠性和网络系统的安全管理问题。计算机网络技术已经基本成熟,但网络上的数据传递的安全仍然是一个重要的问题,需要审计人员关注的是系统数据的安全评价问题。
对等网络虽然具有廉价、易于建立、运行和维护等优点,但对于企业级的联网选择来说,这绝对不是一个最佳选择,由于网络中每台计算机地位均等,要对整个网络进行管理就缺乏手段,同样要设置有效的审计轨迹就较为困难了。
对企业来说,客户机一服务器网络是一种较好的选择,通过服务器上的网络管理软件或应用软件,是可以设置审计轨迹的。另外,利用网络的其他外部设备,如路由器,也可以安排相应的审计轨迹。
三、电子审计轨迹标准的设想
(一)应用软件层
首先,应设置相应的安全访问控制,记录各种访问,尤其是数据更改、删除和新增的记录必须保留。其次,从报表审计角度,必须提供从凭证到报表数据和从报表数据到凭证以及凭证与凭证之间的查询工具。最后,各种电子凭证必须具备防抵赖、防伪造和可追溯性,如可采用可靠的电子签名来代替原有的手签。
(二)数据库层、操作系统层和网络环境
在这些层面,主要是考虑安全访问控制,必须严禁各种非法的未经授权的数据访问,必须记录数据更改、删除和新增的操作,同时应能自动保护记录审计轨迹的文件。
(三)保护审计轨迹
1、从硬件上保护审计轨迹
一旦系统投入运行,如出于某种原因需要对某些设备更换、更改布局、更改设置或升级,必须将其对审计轨迹的影响纳入产品选择或更改的考核范围。
2、从软件上保护审计轨迹
必须进行系统开发审计,系统开发审计是对被审单位的会计电算化系统的开发、修改及日常维护过程的审计。对系统开发进行审计的主要目的是确保开发经过授权,开发过程遵循正确的标准,修改部分在使用前经过充分的测试和记录。系统开发审计的内容:系统开发审计包括应用程序开发审计、程序修改审计和系统维护及记录审计。其中,应将审计轨迹的保护作为审计的一项重要内容。
3、从网络应用上保护审计轨迹
应加强网络安全管理,保护审计轨迹。安全管理是网络管理中极其重要的内容,它涉及法规、人事、设备、技术、环境等诸多因素,是一项难度很大的工作;单就技术性方面的管理而言,依据OSI安全体系结构,可分为:系统安全管理、安全服务管理和特定的安全机制管理。其中,后两类管理分别是针对涉及某种特定、具体的安全服务与安全机制的管理;而系统安全管理则又包括总体安全策略的管理(维护与修改)、事件处理管理、安全审计管理、安全恢复管理以及与其他两类安全管理的交互和协调。
(四)内部控制制度
1、职责分离
除传统的业务执行、记录、批准职能分离外,程序设计、系统维护、业务操作和内部审计各类职责也应分离。
2、内部审计
除传统审计业务外,还应设置系统安全审计、系统开发审计等岗位。
安全审计的类型篇11
The Research of Security Assessment System based on Windows Server 2003
Li Bing-bing 1 Wang Shuang 2
( 1.Foshan Polytechnic GuangdongFoshan 528137;2. Zhengzhou Technical College HenanZhengzhou 450121 )
【 Abstract 】 the rapid development in information technology , computer security has become a potentially huge problem. In order to effectively protect the host system security, avoid an attack, and appeared to security assessment system, its purpose is to host malicious attacks before, with the host security status was assessed, allow users to understand the host security condition, so that take corresponding preventive measures and setting the corresponding security strategy. Host security assessment system is a safety assessment platform, through the invocation of each module, system to complete the overall assessment. This paper from the system requirements analysis, followed by the object oriented design method to complete the module design and implementation process.
【 Keywords 】 windows server 2003; safety assessment; audit
0 引言
随着计算机网络的发展,计算机网络安全成为人们关注的话题,越来越多的个人用户参与到互联网络的活动中来。在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏。随着Windows Server 2003操作系统使用的范围越来越广,被发现的漏洞越来越多,这就需要网络管理员不断地对系统进行修补,但由于Windows Server 2003系统的复杂性,新的安全漏洞总是层出不穷。因此,除了对安全漏洞进行修补之外,还要对系统的运行状态进行实时监视,以便及时发现利用各种漏洞的入侵行为。如果已有安全漏洞但还没有全部得到修补时,这种监视就显得尤其重要。我们可以通过安全审核功[2]能来实现这一监视。其实这是Windows自带的一项非常有用的功能。因此,用安全技术、安全策略、安全模型和安全法规等安全措施来保证网络安全成为当前信息领域的研究热点,并受到了人们的广泛关注和极大重视。
1 需求分析
审核是指“为获得审核证据并对其进行客观评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程”。 审核是一种评价过程.这种评价是以审核准则为依据,以审核证据为前提,然后进行客观的评价。并通过评价来确定评价对象的符合性和有效性,从而找出可以改进的方面。审核准则可以是要求或规范标准。适用的法律法规,也可以是组织自己编写的管理体系文件;审核证据可以是审核员观察到的活动事实、文件或记录等。
1.1 基于主机的安全需求
每当用户执行了指定的某些操作,审核日志就会记录一个审核项。计算机上的操作系统和应用程序的状态是动态变化的。作为企业风险管理项目的一部分,定期分析可以使管理员跟踪并确保每个计算机有足够的安全级别。分析的重点是专门指定的、与安全有关的所有系统方面的信息。这使管理员可以调整安全级别,而且最重要的是,可以检测到系统中随着时间的推移而有可能产生的所有安全威胁。
1.2 基于评估系统的安全需求
从本论文角度上来讲,当前对评估系统的研究工作,主要存在几个问题:(1)插件个数不够细化;(2)并无单一的插件是关于审核策略评估的,甚至在则策略扫描中也没有关于审核策略评估;(3)一些企业更侧重于对审核策略的研究。
根据以上的分析,可以得知要对评估系统进行细化的方法之一是专门添加一块审核策略的评估。这是对评估系统的完善,同时也对一些企业的需求做了一下补充。为了对审核策略便于管理,要收集9个审核策略类型的所有安全事件信息,设计自己的安全评估库,并且要对所有的审核策略进行原理分析。安全评估库中存放了审核策略的9个类型、相关配置情况和配置安全等级。只有这样系统管理员才能真正得知主机的审核策略配置情况。
1.3 运行环境
本系统运行在Windows Server 2003 服务器 环境下,装有ACCESS数据库。
2 总体分析和关键技术
2.1 研究方案
源于审核策略评估是安全评估系统的新模块,在了解主机评估系统的功能设计的基础上,需要了解审核策略的配置类型。在经过研究后,发现主机评估系统是基于插件(形式为动态链接库,DLL库),而且审核策略在注册表中很难查出相关配置。但是审核策略的配置一定会产生相关的安全事件,并记录在安全日志中。因此需要研究安全日志的数据存储格式和如何获取相关信息。
在获取“事件类型”和“事件ID”之后,先让“事件ID”与已知的安全事件库比对获取安全事件库的值。然后刚获取的“事件类型”(成功、失败)与值进行“&”运算,得出审核策略的配置情况。最后根据审核策略配置与安全评估库的比对,得出安全配置的等级。
2.2 关键技术
(1)插件的机制
在于不修改程序主体(平台)的情况下对软件功能进行扩展与加强,当插件的接口公开后,任何公司或个人都可以制作自己的插件来解决一些操作上的不便或增加新的功能,也就是实现真正意义上的“即插即用”软件开发。 这里主要是通过DLL库的使用实现的。
(2)动态链接库(DLL库)
在Windows中存在一种叫做DLL(Dynamic Linkable Library)的文件,这种文件可以提供一些应用程序可以导入的数据、函数和类。
一般情况下DLL主要是为外部应用程序提供可调用的函数,因此在DLL中必须定义一些函数。DLL中的函数如果是外部应用程序可以调用的,那么这种函数叫做导出函数,导出函数在客户端叫做导入函数。
DEF(Module Definition File)文件又叫模块定义文件,这是一个用于描述DLL属性的文本文件,每个DEF文件一般要包含以下模块的定义语句:LIBRARY语句,指出DLL的名字,将把这个名字放到DLL库中;EXPORTS语句,列出库中导出函数的名称及导出函数的序号。DISCRIPTION描述语句。
在创建DLL时,编译链接器将要使用DEF 文件创建两个文件:一个导出文件(.exp)和一个导入文件(.lib),然后使用导出文件(.exp) 再创建DLL文件。
(3)数据库的使用
考虑到网络安全评估系统工作在Windows平台,且该系统所使用的数据库规模不是特别大,但要求该系统在其他操作系统上的适应性要好,而且有合理的数据库的访问技术,对于提高整个安全评估系统的性能是至关重要的,故采用Windows平台上ACCESS数据库。
(4)扫描安全日志的审核事件技术
MFC封装了决大多数的API函数,因此利用相应的API函数可以对安全日志的相应信息进行读写操作。
3 详细设计
3.1 系统的相关算法
这里的算法主要是研究评估标准。源于目前并无有关审核策略评估规范的评估标准,根据微软“Microsoft TechNet”网站提供的“创建Windows Server 2003 服务器的成员服务器基准”,本文自定义审核策略评估标准。其中,“成功审核”是个安全事件,“失败审核”也是个安全事件;换言之,没发现“成功审核”和“失败审核”则是不安全的。其设置如 表1和表2所示.
3.2 库设计
本文中用到三个库:AuditPingGu表、Auditshijian表和Vulnerability表,主要设计了AuditPingGu表和Auditshijian表。其中,AuditPingGu表定义和保存了审核策略评估信息,Auditshijian表定义和保存了审核事件的信息。如表3 Auditshijian表定义和表4 AuditPingGu表定义。
3.3 核心代码
_RecordsetPtr serset;
CString serSQL;
ADOConn m_AdoConn;
_variant_t var;
// variant_t类封闭了VARIANT数据类型,VARIANT是一个结构体类型,
CString strName;
serSQL="SELECT sheheleixing FROM Auditshijian
WHERE shijianID ='"+sTrEventID+"' ";
//已经找到与事件ID相匹配的
_bstr_t sql=(_bstr_t)serSQL;
serset=m_AdoConn.GetRecordSet(sql);
try
{
while(!serset->adoEOF)
{
var = serset->GetCollect("sheheleixing");
if(var.vt != NULL) //.vt是变体类型
{
strName = (LPCSTR)_bstr_t(var); if(strName=="审核系统事件"&&
event_category=="失败审核"&& shdx[0].failure=="假")
{
shdx[0].failure="真"; //shdx[0] :失败 审核系统事件;
serset->MoveNext(); break;
}
else if(strName=="审核系统事件"&&
event_category=="成功审核"&&shdx[0].success=="假")
{
shdx[0].success="真";//shdx[0] :成功审核系统事件; serset->MoveNext();
break;
}
}
4 总结
本文针对Windows Server 2003的安全问题展开研究,设计其安全评估系统,首先根据当前社会的需求进行了需求分析,其次又对系统进行总体分析和关键技术的介绍,最后对系统进行了详细的分析,对系统采用的算法,库的设计和核心代码都进行了细致的描述。由于篇幅不足,本文对整个系统的描述难免有不足之处,希望此方面研究的同行,共同研究和探讨。
参考文献
[1] 苗军民,张彬,刘劲松.Windows Server 2003的安全机制分析[D].网络安全与应用,2007.
[2] 王静.主机安全风险评估方法研究[D].软件导刊,2007-08.
[3] 杨忠仪,蔡志平,肖侬.插件技术在安全扫描中的应用[D] .中国科技信息,2006,8.
[4] 吴金平等.Visual C++编程与实践[M] .北京:中国水利水电出版社,2004.
安全审计的类型篇12
由于BIM技术的本质就是模型加信息,故其优势在于:①可视性:所见即所得;②协调性:避免或减少冲突;③模拟性:事前把控现场情况;④造价精确与可控性;⑤优化性:管理优化、图纸优化、工序优化。有数据表明设计、施工、运营全过程使用BIM技术,建筑成本可节省10%甚至更多,经济效益是非常可观的。
BIM技术在机电安装工程全过程造价控制中的运用
BIM技术也贯穿在机电安装工程全过程造价控制中。
1.前期招标阶段
在招标阶段对于造价咨询单位而言最大的工作量莫过于编制工程量清单,往往要投入大量的人力来计算工程量,常规方法是通过设计院提供的纸质蓝图经过专业的算量软件自己建模,手动算量,或直接在蓝图上手动算量。在此阶段由于业主留给造价咨询单位编制清单的时间非常紧迫,需要配置足量的人力,而且算量速度慢,也容易漏算、错算。此外,设计院提供的CAD图纸也可能本身存在错误导致的算量错误。现在通过BIM技术,算量所需的材料设备名称、规格型号和数量都可在模型中生成。如这些信息与设计院的BIM模型保持一致,则只要根据招标策划方案按工程类别分为给排水工程、消防喷淋工程、电气工程、弱电配管工程、空调通风工程等工程,按其材料设备分类、设备属性以及对应的清单项目,通过BIM信息集成整合功能自动汇总各类工程管线、材料设备,通过BIM可视化和参数化设计的能力,使得成果文件直观真实,大大减少重复工作,减少了人力成本、时间成本,算量结果也更加准确。
2.施工阶段
在施工阶段主要工作是对机电安装工程各分类工程的变更管理和中期付款管理工作。在传统造价管理中,一旦发生设计变更,就会要求造价人员针对不同版次的施工图检查核对相关设计变更,找出对造价的影响因素。但在这一阶段,工程量计算复杂费时,多次性计价很难做到,各专业间冲突不断,项目各方之间缺乏行之有效的沟通协调机制,往往效率不高,可靠性不强,造价控制往往脱节。针对上述变更管理弊端,结合BIM三维建模技术在施工前就可对设计图纸校核和深化,对建筑、结构、机电安装及精装修各专业图纸进行碰撞审核,从而在施工前解决图纸的错漏问题。对机电安装工程进行管线综合,保证精准的管线综合布置,再结合三维碰撞检查,实现零碰撞。特别是五星级酒店、三甲医院、大型交通枢纽、会展中心等大型复杂建筑,各类管线覆盖面广,管线密度大的项目更需要通过与BIM模型校核,对风口、喷淋、烟感等末端设备提前精确定位,对给排水管、电线管、电气桥架、空调冷冻水管的放线标高进行精确定位,施工过程中采用三维激光扫描仪把控安装精度,从源头上解决不同专业间的定位干涉问题,这就大大减少施工过程中发生设计变更的数量。即便发生变更,可将涉及设计变更内容导入BIM模型中,模型支持构建几何运算和空间拓扑关系,可与三维空间数据进行数据关联,就能够对图纸自动调整识别,快速汇总工程变更所引起的相关的工程量变化、造价变化及进度影响就会自动反映出来,对发生变更的内容可直观的显示变更结果,相应的费用补偿或工期延误可一目了然,从而可大大提高造价人员的复核效率,减少人为错误的几率,提高了造价人员的工作效率。对业主而言,可少返工、少整改,大大减少项目的质量问题、安全问题,从而提高项目的经济效益。在中期月度付款审核过程中可结合BIM在模型量化的基础上,将三维模型与施工进度计划连接,根据工程监理审定批复的工程形象进度,将空间信息与时间信息反映到模型中,通过划分的当月已完成的进度,输出当月已完工程量,可实现快速审核施工单位工程进度产值,直接对现场进度情况进行分析诊断,更直观、可视、清晰。改变了施工单位提前报进度工程量或虚报工程量的情况,从而确保月度付款审核的合理性和可行性。
