[关键词] 安全审计;审计手段;异构环境审计
0引言
随着社会信息化程度的加深,各大中型企事业单位逐渐形成了科学化、多样化的各类信息系统,往往一个企业的信息化系统就多达十余个,在这种复杂的多系统条件下,如何实现细粒度的精准安全审计已成为审计领域一个热点问题。
本文首先对目前信息化环境下的细粒度安全审计进行了概要描述,接下来详细分析了各种安全审计方法特点,最后对异构性多信息化系统环境下的有效审计手段进行分析总结。
1信息系统安全审计简介
1.1 信息系统安全审计定义
信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等[1]。
1.2 信息系统主要安全审计手段
对信息化系统环境下用户操作行为的安全审计可以通过以下几种典型手段实现:
(1)基础日志层面审计:对信息化系统的基础IT支撑硬件环境内设备的自身日志进行分析的手段。
(2)网络层面审计:通过采集网络数据包后进行协议解析还原来分析信息系统网络活动的审计手段。
(3)业务层面审计:对信息化系统中业务操作行为日志进行记录审计的手段。
(4)敏感数据专项审计:针对信息化系统定义的具有高风险的企业敏感数据进行细粒度审计的手段。
2安全审计技术特点分析
2.1 概述
基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计是4种比较典型的对信息化系统的审计手段,本文将对各种审计手段的特点进行分析。
2.2安全审计手段特点分析
2.2.1基础层面日志审计
基础层面日志审计面向IT支撑系统中的设备层面,是安全审计的基础手段之一,通过对设备自身运行日志、配置变更日志等底层设备日志的审计分析,可对目前设备的自身安全运行状态得出基础判断。
2.2.2网络层面审计
网络层面审计需利用网络抓包分析手段对网络中的数据流进行分析。在分析过程中,主要需重点关注访问源地址异常、访问协议异常、访问次数异常的数据流[2]。
2.2.3业务层面审计
业务层面审计需依赖于良好的业务梳理,形成业务合规操作定义。进行业务审计前,需对信息化系统中业务操作进行日志记录,结合合规操作定义进行比对审计。
2.2.4 敏感数据专项审计
信息化环境下保有的大量数据中存在着对企业来讲极为重要的数据,这些重要的、涉及企业较大利益的敏感数据在安全审计层面需要通过专项审计来满足审计需求。敏感数据审计通过定义需审计的具体数据内容、数据具体存放位置、数据可被访问的手段等具体内容,针对违反上述定义的情况对数据进行逐一的细粒度重点审计。
3安全审计手段整合技术
用基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计等手段虽然可对信息化系统进行安全审计,但复杂多信息化系统环境下大量的审计数据的获取、过滤、关联,必然耗费较大的人力且容易出现审计风险[3]。为避免上述问题,本文综合现有安全审计需求,提出如图1所示的安全审计手段整合架构。首先将各信息化系统的全量日志送入多日志采集平台,由平台统一将各类日志进行标准化处理、过滤后送往不同的二次分析模块(分为网络类与设备类及业务数据类两种),由分析模块根据自己的审计策略进行关联分析,最后将各自模块处理后的数据送入综合审计平台,由综合审计平台对各层面日志进行关联化的综合审计。
4结 论
多信息化系统环境下安全审计的精准实现,需要采用精准化的日志处理及多级关联审计策略,将日志处理为标准可读日志后按照信息化系统的审计需求,横向关联多层面日志、纵向关联多时间段日志,最终满足灵活多变的安全审计需求。
主要参考文献
[1]国际标准化组织. 信息技术安全性评估准则(ISO/IEC15408-2:1999)[S].1999.
【关键词】 信息化; 组织变革; 机会主义行为; 内部审计定位; 内部审计重点
一、引言
信息化是各种组织发展的重要方向,研究表明,信息化会引起组织变革,而组织改革又会改变组织内部的治理构造,而治理构造的改变又会对组织内部的机会主义行为产生重要影响。内部审计是组织内部抑制机会主义行为的重要制度安排,所以,信息化可能对内部审计产生重要影响。本文研究信息化对内部审计定位和工作重点的影响。
二、信息化、机会主义和内部审计定位
(一)内部审计定位
国际内部审计师协会(IIA)对内部审计的界定经过了一个发展的过程。1947年第1号《内部审计职责说明书》(SRIANo.1)认为,内部审计是组织内部检查会计、财务及其他业务的独立评价活动。2001年《内部审计专业实务标准》(Standards for the Professional Practice of Internal Auditing,SPPI)认为,内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。2009年《内部审计专业实务框架》(International Professional Practice Framework,IPPF)承袭了上述理论,进一步指出,确认服务是指为独立评估组织的治理、风险管理和控制过程而对证据进行的客观检查,例如,财务、绩效、合规性、系统安全和尽职调查等业务;咨询服务是指咨询及相关的客户服务活动,其性质和范围需与客户协调确定,目的是在内部审计师不承担管理职责的前提下,为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询活动。
总体来说,从SPPI开始,内部审计定位为增加价值和改善组织的运营,帮助组织实现其目标,一般称为增值型内部审计。如何增值呢?主要路径是抑制机会主义行为,也就是说,在鉴证机会主义行为是否存在的基础上,找出机会主义行为出现的原因并协助改进相关的治理、风险管理和控制过程。正是由于相关的治理、风险管理和控制过程存在弊端,人机会主义行为才会发生。内部审计如果只是鉴证机会主义行为是否存在,这种审计就是批判性审计,如果在鉴证机会主义行为是否存在的基础上,再分析机会主义行为存在的原因,找出相关的治理、风险管理和控制过程存在弊端,进而推动或协助改进相关的治理、风险管理和控制过程,这种内部审计就是增值型内部审计(郑石桥、陈丹萍,2011)。
(二)信息化不会改变内部审计定位
前面已经分析了内部审计的定位,信息化是否会改变内部审计的上述定位呢?首先,信息化会改变相关的治理、风险管理和控制过程,在信息化背景下,组织构架、信息沟通方式、权力和责任的配置都可能发生变化。但是,这种变化是否会消灭机会主义行为呢?信息化背景下的治理、风险管理和控制过程与非信息化下肯定会有重大区别,但是,这种重大区别,并不能消灭机会主义行为。因为,信息化并不能消除机会主义行为存在的前提条件,这些前提条件包括信息不对称和激励不相容。激励不相容是激励相容的对立面,激励相容是指每个理性经济人都会有自利的一面,其个人行为会按自利的规则行动,如果能有一种制度安排,使人追求个人利益的行为,正好与委托人的目标相吻合,这一制度安排就是激励相容。信息不对称是指人拥有委托人无法拥有的信息或拥有的信息数量或质量高于委托人。信息化对激励不相容没有作用,信息化可以降低但不能消除信息不对称。所以,在信息化背景下,机会主义行为的前提条件仍然存在,从而机会主义行为仍然存在,所以,内部审计定位对机会主义行为的抑制之定位仍然没有变化,也就是说,在信息化背景下,内部审计仍然定位为增值型内部审计。
三、信息化、机会主义和内部审计工作重点
(一)内部审计工作重点
从内部审计内容来说,现实生活中有多种类型,例如,合规性审计、财务审计、管理审计、经营审计、内部控制评价、风险管理审计、公司治理审计等。为什么会有多种内部审计业务类型呢?为什么不同组织的内部审计业务不同?这其中的原因是机会主义行为类型决定内部审计业务类型,有什么样的机会主义行为类型就会有什么样的内部审计业务类型,正是人的机会主义行为类型决定了内部审计业务类型。
虽然是机会主义行为类型决定内部审计业务类型,为什么不同单位的内部审计业务类型会不同?这其中的原因就是人的机会主义行为类型不同。如果人的机会主义行为主要是财务机会主义甚至是财务机会主义的某一方面,则内部审计业务当然就是以真实性、合法性审计为主;如果人机会主义行为主要是管理机会主义,则管理审计就会成为主要审计业务。那么,为什么不同人的机会主义行为类型会不同呢?一般来说,相关的治理、风险管理和控制过程在某些方面越是不健全,这些方面越是可能产生机会主义行为。所以,总体来说,人机会行为严重的领域就是审计工作的重点,内部审计工作的重点是由本单位不同类型机会主义行为的严重程度决定的。某类机会主义行为越是严重,针对该类机会主义行为的审计就可能成为审计工作重点(郑石桥,2012)。
(二)信息化会改变内部审计工作重点
信息化是否会改变审计工作重点呢?关键要看信息化是否会改变人不同类型机会主义行为的严重程度,如果不改变,则审计工作重点也不变;如果信息化改变了人不同类型机会主义行为的严重程度,则审计工作重点也会随之改变。
那么,信息化是否会改变人不同类型机会主义行为的严重程度呢?企业信息化将明显优化企业组织中的信息收集、加工、存储、传递、利用和反馈等信息过程,从而对企业组织形式产生巨大的影响,引发企业组织结构出现扁平化、柔性化、网络化、虚拟化、模糊化(程刚、陈传明,2004)。组织结构的上述变化是组织原有层级的变革,会引至组织权力配置及组织行为发生变化(汪淼军、张维迎、周黎安,2007)。事实上,上述组织结构的变化,用内部审计的语言来说,就是相关的治理、风险管理和控制过程发生了变化,而这些制度装置,正是应对机会主义行为的治理构造,这些治理构造的变化,势必会使得机会主义行为发生变化,原来机会主义行为较为严重的领域,可能在信息化背景下就不严重了;而原来机会主义行为不严重的领域,在信息化背景下,成为机会主义行为严重的领域;在某些情形下,甚至可能产生新的机会主义行为。正是由于机会主义行为的类型及严重程度发生了变化,内部审计工作的重点需要随之变革。否则,内部审计工作就偏离了抑制机会主义的定位。
例如,国家电网公司推行的“三集五大”管理模式,“三集”是指人力资源集约化管理;财务集约化管理;物资集约化管理。“五大”是指大规划体系;大建设体系;大生产体系;大运行体系;大营销体系。“三集五大”管理模式是以信息化为基础的,没有信息化,“三集五大”管理模式将难以运行。信息化改变了组织业务流程、权力配置和制衡机制,从而改变了组织内部机会主义行为的类型和不同类型机会主义行为的严重程度,从而对改变委托人的问责需求,从而会改变内部审计工作重点。具体来说,信息化背景下,国家电网公司内部审计工作重点主要包括:
(1)信息系统内部控制审计。信息系统本身的有效、安全成为信息化背景下的重要审计内容。系统安全受到很多方面的威胁,未经授权的访问、黑客攻击、网络病毒入侵等等。因此审计工作应当继续以维护信息系统安全作为工作的重点之一。
(2)在信息系统内部“嵌入”审计机制。集成信息化阶段,企业业务处理、数据核算等程序没有人为参与,全靠计算机独立运行。但是这就会产生新的机会主义行为,即恶意更改系统程序导致处理运算的错误。因此审计工作应当嵌入信息系统内部进行监督,可以通过在程序中嵌入带有记录、存储处理过程的芯片(类似于黑匣子),将信息、数据处理过程“录制”下来以备审计。
(3)站在组织治理的高度重塑审计职能。审计工作已经不能局限于传统的会计领域,在信息化时代,企业内部的边界、企业之间的边界已经变得模糊,信息网络将企业包围,任何信息已经不再单独属于某个领域,而审计的职能也应该从防弊纠错中拓展出来,服务于整个企业。因此审计要从组织治理的角度重新审视自身,成为企业管理、治理的工具。
(4)风险预警审计。根据海量业务营运及财务数据,对各类风险进行实时监测和预警,及时发现风险隐患,防患于未然。
(5)管理审计。在信息化背景下,一般性的财务违规会大大降低,委托人关心的重点会转移到绩效,从而,管理审计会成为审计重点。
(6)责任审计。在信息化背景下,可用于责任评价的数据将更容易获得,所以,对于各内部单位责任履行情况进行审计将更容易实现。
(7)遵循性审计。为实现“三集五大”管理模式,总部统一制定各项政策和流程,内部所属单位要遵守总部制定的政策和流程。内部审计部门对各所属单位的遵守情况进行审计。
四、结论
信息化会引起组织变革,进而对组织内部的机会主义行为产生重要影响。内部审计是组织内部抑制机会主义行为的重要制度安排,所以,信息化可能对内部审计产生重要影响。本文研究信息化对内部审计定位和工作重点的影响。分析表明,信息化并没有消除机会主义行为的产生前提,所以,信息化背景下,机会主义行为同样存在。因此,内部审计抑制机会主义行为的定位不变。但是,信息化改变了人不同类型机会主义行为的严重程度,从而审计工作重点也会随之改变。例如,国家电网公司在推行的“三集五大”管理模式,国家电网公司内部审计工作重点主要包括:信息系统内部控制审计;风险预警审计;管理审计;责任审计;遵循性审计。
【参考文献】
[1] 郑石桥,陈丹萍.机会主义、问责机制和审计[J].中南财经政法大学学报,2011(4).
[2] 郑石桥.组织治理、机会主义和内部审计[J].中国内部审计,2012(1).
关键词:堡垒机;运维操作审计;工作原理
中图分类号:TQ016.5+5 文献标识码:A 文章编号:1007-9599 (2012) 18-0000-02
1 堡垒机的概念和种类
“堡垒”一词的含义是指用于防守的坚 固建筑物或比喻难于攻破的事物,因此从字面的意思来看,“堡垒机”是指用于防御攻击的计算机。在实际应用中堡垒机又被称为“堡垒主机”,是一个主机系统,其自身通常经过了一定的加固,具有较高的安全性,可抵御一定的攻击,其作用主要是将需要保护的信息系统资源与安全威胁的来源进行隔离,从而在被保护的资源前面形成一个坚固的“堡垒”,并且在抵御威胁的同时又不影响普通用户对资源的正常访问。基于其应用场景,堡垒机可分为两种类型:
1.1 网关型堡垒机
网关型的堡垒机被部署在外部网络和内部网络之间,其本身不再直接向外部提供服务,而是作为进入内部网络的一个检查点,用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能,将内 外网从网络层隔离开来,因此除非授权访问外,还可以过滤掉一些针对内网的来自应用层以下的攻击,为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用 层的数据内容,性能消耗很大,所以随着网络进出口处流量越来越大,部署在网关位置的堡垒机逐渐成为了性能瓶颈,因此网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。
1.2 运维审计型堡垒机
运维审计型堡垒机的原理与网关型堡垒机类似,但其部署位置与应用场景不同,且更为复杂。运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面,对运维人员的操作权限进行控制和操作行为审计;运维审计型堡垒机既解决了运维人员权限难以控制的混乱局面,又可对违规操作行为进行控制和审计,而且由于运维操作本身不会产生大规模的流量,堡垒机不会成为性能的瓶颈,所以堡垒机作为运维操作审计的手段得到了快速发展。
2 堡垒机运维操作审计的工作原理
在实际使用场景中,堡垒机的使用人员通常可分为管理人员、运维操作人员、审计人员三类用户。
管理员最重要的职责是根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。堡垒机管理员登录堡垒机后,在堡垒机内部,“策略管理”组件负责与管理员进行交互,并将管理 员输入的安全策略存储到堡垒机内部的策略配置库中。
“应用”组件是堡垒机的核心,负责中转运维操作用户的操作,并与堡垒机内部其他组件进行交互。“应用”组件收到运维人员的操作请求后,调用“策略管理”组件对该操作行为进行核查,核查依据便是管理员已经配置好的策略配置库,如此次操作不符合安全策略,”组件将拒绝该操作行为的执行。
运维人员的操作行为通过“策略管理”组件的核查之后,“应用”组件则代替运维人员连接目标设备完成相应操作,并将操作返回结果返回给对应的运维操作人员;同时此次操作过程被提交给堡垒机内部的“审计模块”,然后此次操作过程被记录到审计日志数据库中。
最后,当需要调查运维人员的历史操作记录时,由审计员登录堡垒机进行查询,然后“审计模块”从审计日志数据库中读取相应日志记录,并展示在审计员交互界面上。
3 如何选择一款好的堡垒机产品
对于信息系统的管理者来说,除了工作原理以外,可能更关心如何选择一款好的运维审计堡垒机产品。一个好的运维审计堡垒机产品应实现对服务器、网络设备、安全设备等核心资产的运维管理账号的集中账号管理、集中认证和授权,通过单点登录,提供对操作行为的精细化管理和审计,达到运维 管理简单、方便、可靠的目的。
3.1 管理方便
应提供一套简单直观的账号管理、授权 管理策略,管理员可快速方便地查找某个用户,查询修改访问权限 ;同时用户能够方便的通过登录堡垒机对自己的基本信息进行管理,包括账号、口令等进行修改更新。
3.2 可扩展性
当进行新系统建设或扩容时,需要增加 新的设备到堡垒机时,系统应能方便的增加 设备数量和设备种类
3.3 精细审计
针对传统网络安全审计产品无法对通过加密、图形运维操作协议进行审计的缺陷,系统应能实现对RDP、VNC、X-Window、SSH、SFTP、HTTPS 等协议进行集中审计,提供对各种操作的精细授权管理和实时监控审计。
3.4 审计可查
可实时监控和完整审计记录所有维护人员的操作行为;并能根据需求,方便快速的 查找到用户的操作行为日志,以便追查取证。
3.5 安全性
堡垒机自身需具备较高的安全性,须有冗余、备份措施,如日志自动备份等。
3.6 部署方便
系统采用物理旁路,逻辑串联的模式,不需要改变网络拓扑结构,不需要在终端安装客户端软件,不改变管理员、运维人员的 操作习惯,也不影响正常业务运行。
4 结束语
本文简要分析了堡垒机的概念以及其运维操作审计的主要工作原理。随着信息安全的快速发展,来自内部的安全威胁日益增多,综合防护、内部威胁防护等思想越来越受到重视,而各个层面的政策合规,如“萨班斯法案”、“信息系统等级保护”等等也纷纷对运维人员的操作行为审计提出明确要求。堡垒机作为运维安全审计产品将成为信息系统安全的最后一道防线,其作用也将越来越重要,应用范围势必会快速扩展到各个行业的信息系统。因此在当前的形势之下,让大家更加清楚的了解堡垒机也就十分必要了。
参考文献:
[1]赵瑞霞,王会平.构建堡垒主机抵御网络攻击[J].网络安全技术与应用,2010,08.
[2]闫文耀,王志晓.基于堡垒主机防火墙的安全模型研究[J].网络安全技术与应用,2008,06.
[3]徐改萍.网络攻击与防范实践问题研究[J].电脑知识与技术(学术交流),2007,10.
[4]桂鑫.浅谈网络安全之漏洞[J].科学之友,2010,06.
[5]朱朝霞.Linux网络系统攻击的防范[J].计算机与数字工程,2006,10.
关键词:建筑安装工程;企业内部;控制审计体系;构建近年来,我国建筑行业蓬勃发展,建筑安装工程企业之间的竞争日益激烈,建筑安装工程企业通过在内部构建控制审计体系,可以有效地规范企业的各项运营行为,防范运营风险,提升建筑安装工程企业的经济效益和社会效益。
一、建筑安装工程企业内部控制审计的涵义
内部控制审计是一种特殊的审计项目,其具有独立的项目组织形式,主要用来完善企业的内部管理和控制,并且可以为开展其他审计项目提供系统化的方法或者程序,确定内部审计的方法、重点、范围以及依赖程度,提高企业的审计质量和审计效率[1]。企业内部控制审计的主要目的是评价和测试企业内部控制的有效性、合理性、符合性和健全性,企业内部控制审计和其他类型的审计项目具有相同的地位,内部控制审计是对企业内部控制体系的优化和完善,有利于企业推陈出新,加快新陈代谢的速度,彻底执行企业的各项内部控制措施,实现其功能。
二、建筑安装工程企业内部控制审计体系的构建
1、建筑安装工程企业内部控制审计体系
和普通的工业企业相比,建筑安装工程企业有着自己的特点,其主要的生产运营业务包括筹资业务、投资业务、安装施工业务、付款业务、采购业务以及收款业务等,同时拥有现金、在建工程项目、银行存款、固定资产等资产类型,建筑安装工程企业的资产管理是非常复杂,结合建筑安装工程企业的自身特点,构建一套适合建筑安装工程企业的内部控制审计体系[2]。建筑安装工程企业内部控制审计体系图如图1所示。图1内部控制审计体系
2、内部控制审计的程序和方法
建筑安装工程企业构建内部控制审计体系,在审计方法和审计程序方面和其他类型审计项目有很大的不同,内部控制审计体系主要包含七个步骤:首先建筑工程安装企业要确定审计类型,接着制定审计计划、全面了解情况、符合性测试、对不同模块和关键点进行评价、编写审计建议书和审计报告反馈评价意见,最后跟踪评价[3]。
(1)确定内部控制审计的类型和目的
建筑工程安装企业可以将内部控制审计作为一种完整、独立的审计项目来运行,完善企业内部的控制体系,也可以用内部控制审计体系来实施其他类型的审计项目,合理确定建筑工程安装企业内部控制审计体系的方法、重点和范围以及企业自身对内部控制审计体系的依赖程度,从而提高企业内部控制审计质量和审计效率。
(2)制定审计方案和审计计划
建筑工程安装企业通过制定审计方案和审计计划,明确内部控制审计的分工、重点、范围、对象和目的,指导企业的内部控制审计项目。
(3)全面了解企业内部控制情况
在建筑工程安装企业中开展审计调查,全面了解企业内部控制情况,对内部控制体系的遵循性、有效性和健全性做出初步评价,确定后续审计计划的重点,提高审计质量和审计效率。在这个阶段,可以广泛查阅内部控制审计相关的政策、方针以及、规章制度等文件,分析企业的组织机构,编写详细的审前调查表和审计报告,和相关工作人员加强沟通交流,对建筑安装工程现场进行实地勘察等,为科学评价建筑安装工程企业内部控制体系奠定基础。
(4)抽取样本进行符合性测试
建筑工程安装企业抽取样本之后,科学分析和评审企业内部控制体系的实施情况,对内部控制审计体系进行审计测试,进一步评价内部控制体系的遵循性、有效性和健全性,最终判定企业对内部控制体系的依赖程度。建筑安装工程企业的审计测试主要包括实质性的审计测试和符合性的审计测试,对于建筑安装工程企业来说,可以通过跟踪、审查、询问和观察等方面开展符合性测试,
(5)内部控制审计测试评价
内部控制审计测试评价的主要目的是深入分析审计工作报告和审计测试记录,定量评价内部控制体系。首先,确定内部控制审计的评价标准,根据不同评价模块和关键点的权重以及评价分值,确定内部控制审计评价的重点内容,对于关键的重点环节,在内部控制审计测试标准中要分配尽量大的权重。另外,要根据内部控制点的权重和评分结果,进行最后的汇总评分。
(6)反馈内部控制审计结果
建筑安装工程企业根据内部控制审计测试评价,形成内部控制审计结果,主要包括建议书和评价报告两方面内容。建议书根据内部控制审计的不同评价类型,主要有审计建议书和管理建议书,审计建议书根据内部审计的评价结果和审计需要,有针对性地分析内部控制审计的评价对象和薄弱环节,指导内部控制审计人员下一步工作的重点和方向。管理建议书通过深入分析内部控制审计评价结构,找出内部控制存在的问题和薄弱环节。评价报告主要是总结整个评价过程,定量和定性的分析评分结果,总体评价分析企业内部控制的准确性和可靠程度。
(7)审计整改
建筑安装工程企业在审计整改阶段,结合企业自身的实际情况,严格落实审计建议书和意见书,完善企业内部控制体系,控制和处置企业运营风险,有针对性的进行后续审计和专项审计,提高企业内部控制审计管理水平。
结束语:
建筑安装工程企业要结合自己的特点,构建适用于自身企业的内部控制审计体系,并且在日常运营过程中严格落实内部控制审计计划,不断提高内部控制审计质量和审计效率。
参考文献:
[1]李岩.工业企业内部控制审计体系的构建与实施[D].天津大学,2011.
可扩展商业报告语言简称XBRL,是基于XML的标准应用模式,它提供一种标准化的方法编制、公司财务报告和其他信息,并通过对有关财务信息内容增加标记的方法,使公司内部和外部对财务信息的收集、处理、转换变得更加方便、有效。它是一种新兴的电子财务报告模式,它产生的目的在于解决传统电子财务报告的低效率。
二、XBRL对审计的影响
XBRL技术应用对审计范围,审计重点,审计目标,审计发展都产生了重大的影响,其对审计的影响主要体现在以下四个方面:1、审计的具体职能将进一步扩大。应用XBRL的审计不仅需要审计传统的财务报表还需要对生成XBRL数据的会计信息系统的可靠性进行验证,审计范围进一步扩大。同时基于XBRL的审计不仅针对财务数据也针对企业的非财务数据进行审计,也进一步扩大审计范围。
2、审计的重心将倾向于符合性审计。在XBRL环境下,审计师的审计重点将倾向于XBRL规范、分类标准和实例文档。3、审计质量和效率的提高。在XBRL环境下,会计信息标准化,不同数据库不同类型的数据都可以识别利用和转化,审计师不必重复录入数据信息,减少二次数据的录入不仅可以减少审计人员的时间同时减少和避免重复录入过程中错误。XBRL技术解放审计人员大量的时间和精力,使其致力于更加关键的分析性复核中,提升审计的质量和效率。4、XBRL促进持续审计的实现。XBRL技术的应用,使实时在线生成财务报告成为可能,同时展现在审计师面前的是全球通用的标准的财务报告,不必考虑数据库是否兼容的问题,此时审计师可以将审计软件嵌入被审计单位信息系统,实时获取其相关信息,并将数据导入审计数据库中对其进行实时的审计,XBRL技术促进持续审计的实现。
三、XBRL给审计带来的挑战
XBRL在给审计带来机遇的同时也带来新的挑战,该技术的应用增加了审计风险,增加了审计成本。1、增加审计风险。(1)应用XBRL技术后,审计范围进一步扩大不仅包括财务报表本身还包括生成XBRL的信息系统,在传统审计风险的基础上增加信息系统的检查风险。(2)由于XBRL技术在我国的应用尚不规范,企业应用XBRL技术能力有限,增加被审计单位应用该技术的重大错报风险。主要包括被审计单位正确理解XBRL规范,正确选择和运用分类标准,标签的唯一性,标签与数据的映射是否准确完整等。(3)网络安全性风险。基于XBRL的审计高度依赖生成XBRL报告的信息系统,该系统被恶意篡改和攻击将大大增加实施审计的风险。2、增加审计成本。XBRL的应用,给审计提出新的挑战,需要审计才用新的技术和手段,新的技术和手段又必然对审计师的素质提出更高的要求,XBRL增加审计成本主要体现在对审计人员的培训提高和新型技术进一步研发应用两个方面。3、审计软件不能满足需求。基于XBRL的审计,更多的是对信息系统和电子数据进行审计,大量的审计需要审计软件的辅助才能更好的发挥其效用,但目前我国的审计软件并不适应该环境下的审计。
四、解决建议
XBRL的应用对审计而言既是机遇也是挑战,为了促进XBRL技术的进一步应用促使审计进一步完善发展,我们需要从以下几个方面努力。
1、加强XBRL技术研究与推广
实现XBRL技术在审计中的进一步应用和发展,就必须对其相关理论,工作流程,规范,分类标准有深入的了解和认识。一方面,XBRL是全球通用的标准和技术,我国应该成立XBRL协会及研究机构,加强与国际相关组织的交流和合作,促进国际化进程,同时针对我国的具体现状开展XBRL审计实务工作的研究和管理,指导审计人员参与审计鉴证工作。
另一方面,加强XBRL的宣传和教育。国家相关组织可以通过讲座,学术研讨会,网上课堂等方式传输相关知识。事务所应该通过XBRL技术实务操作比赛和模拟操作系统等方式增强其在审计人员之间的影响力,其实逐渐树立应用XBRL的意识。
2、构建信息安全体系降低风险
XBRL格式信息将其全部内容以数字形式流通与网络之上,但XBRL技术本身并不能对数据本身的安全性和完整性提供保证,其受到非法篡改的风险,在网络环境下,数据的安全关系到各利益相关者的利益,影响深远,故构建信息安全体系降低风险势在必行。一方面要保障数据存储安全,建立包括访问控制,数据库安全,防火墙等保证措施。另一方面保障信息通讯安全,可以通过构建事务所与被审计企业之间的VPN通信网络实现。同时,应该做好XBRL数据库的备份,以应对网络环境下内外数据资源和信息系统的隐患。
降低安全风险不仅需要从技术角度努力,更应该使企业人员和审计人员认识到网络风险的危害性和严重性,树立起安全防护意识,在日常操作中时刻防护网络和信息系统的安全。
3、培养复合型审计人才,建设复合型审计团队
在XBRL环境下审计,审计范围和审计手段都发展显著的变化,传统的精通会计、审计、经济、税务的注册会计师后已无法胜任目前的工作,需要培养集会计领域,计算机领域和网络技术领域知识技能于一身的复合型人才,只有这种人才才能适应XBRL环境下审计的需要。本文认为可以通过高校教育,在职培训的方式增加复合型人才数量。但高校课程体制改革的时间过长,很难满足现阶段审计发展的需要。在职培训时间较短,很难对新涉入领域的知识有全面深入的理解。本文认为,从短期看,最优的选择路径是对目前在职的注册会计师和审计人员进行计算机和网络技术领域的技能进行培训,使其对此有一定的了解,同时建设复合型团队,该团队中有注册会计师,税务师,计算机领域的专家和网络信息化得相关人才,利用团队工作,分工合作以提高审计质量和效率。从长期看,高校应该进行课程体制的改革,培养集会计,计算机,网络信息化技能于一身的复合型人才,以降低审计成本,促进审计的发展。
4、促进审计技术的研发创新
XBRL技术的应用必然促使审计技术的创新,促进审计技术的创新是提高审计质量和效率,降低审计的人力成本,促进持续审计实现的必然选择。本文认为应该从以下三个角度促进审计技术的创新,审计数据采集与处理技术,审计分析复核技术和网络计技术。国家相关组织机构应该重点鼓励新兴审计技术的创新与发展,促进网络公司与会计师事务所合作,研发适合XBRL审计的审计技术,我国也充分借鉴国外的先进技术,以促进审计工作的顺利进行。
5、加强软件开发
一、做好调查摸底,建立准入制度
2014年以来,安康市审计局按照审计法规定的义务与赋予的权利,结合审计法实施条例规定的国家审计程序要求,认真拟定了《社会中介参与国家审计管理办法》,以开放的眼光面向全国审计中介组织进行遴选招聘,共遴选中介组织30余家。遴选既突出资质、业绩、诚信、操守等刚性标准要求,又体现公开、公平、公正的原则要求,着力把注重内外兼修、社会公认的优秀中介组织纳入国家审计后备队伍。在对中介组织的管理上,做好科学分类,即按照资质、专业优势、业绩等基本方面进行摸底评估后进行A、B、C分类。列为A类的可作为国家重大项目、重点项目审计候选对象,B类的可作为一般性国家项目的审计候选对象,C类的可作为千万元以下国家项目的审计候选对象。分类管理采用动态化工作方法,每年通过对各类中介组织在国家审计中的业绩进行综合考核后进行再分类。业绩优良的中介组织可以晋级作为项目的候选对象、业绩差的降级作为小项目的候选对象;在国家审计中因工作失误出现纰漏造成损失或因违反依法从审、廉洁从审规定造成不良影响的从国家审计候选队伍中剔除拉黑并向社会公示。在对中介的使用上,切实体现公平竞争,凡不涉及国家安全或党和国家秘密的可以交由中介组织完成的审计项目,一般采用在A、B、c同一级次类型中采取公开竞争的方法选择,国家重大项目、重点项目或投资额度较大的项目可聘请专家对中介组织的竞聘方案进行打分择优确定,一般性或较小的审计项目也可采取抽签或抓阄的办法确定中介组织。在工作实践中坚持“公开、公平、公正”的原则,充分体现了国家审计机关在项目管理与项目实施中的监督与透明。
二、加强教育培训,提升中介职业操守
审计署《政府投资项目审计管理办法》规定:“审计机关实施政府投资项目审计,遇有审计力量不足或者相关专业知识局限等情况时,可根据有关经费预算情况,聘请具有法定资格的注册会计师或者其他具有与审计事项相关专业知识的人员参加审计。审计机关应对审计结果的真实性、合法性负责。”中介组织追求经济效益的天然属性与审计应对审计结果的真实性、合法性负责之间的矛盾构成了“审计风险”,化解风险的方法措施有两个,一是强化中介的职业操守;二是认真落实日常工作监管。安康市审计局在强化中介组织职业操守方面,首先从加强学习培训人手,通过对国家审计应遵循的法律法规制度以及审计程序要求,在审计认知上实现角色的转变。同时学会正确处理国家责任与经济利益之间的关系,国家审计要把各项法律、法规与纪律挺在前面,让“责任、忠诚、清廉、依法、独立、奉献”核心价值观自觉融入审计工作实践,时刻摆正与审计机关和被审计对象之间的位置。建立明确的约束机制,让每个参与国家审计的中介成员知道哪些事不能作、不应作、不敢作,真正发挥国家审计应有的监督作用。在日常工作监督管理方面,既对执行“八不准”等廉政纪律情况的监督,又对落实国家审计原汁原味揭示问题、反映问题等关于审计质量的工作情况进行监督。日常监督管理工作,充分发挥纪检监察、廉政监督员的作用,确保国家审计横向到边、纵向到底,对不能严格遵守审计工作纪律、恪守审计职业操守、特别是见利忘义以及与被审计单位搞幕后交易,为施工、建设等单位申辩开脱、共同对付审计机关的监督检查。凡向被审单位提出过分要求,甚至“吃、拿、卡、要”等影响审计形象的形为,一经发现要及时查处。用铁的纪律,努力保证国家审计队伍的纯洁性。
三、统筹项目审计,加强质量控制
严格按照《中华人民共和国审计法实施条例》组织项目审计工作,出台了《安康市审计局市本级聘请社会中介机构参与政府投资建设项目审计质量管理办法》,在对中介组织安排的审计项目中认真做好综合分析与全面统筹。对具体审计项目的安排而言,准确把握适当与适度两个要点。所谓适当,就是符合党和国家政策、法律法规要求,可以交由中介承担的项目;所谓适度,就是能够满足项目审计工作需求的专业技术资格、人力资源配置等条件。除在项目统筹中自始至终牢牢把握适当与适度两个要件外,在具体项目的组织实施上,为体现国家审计的权威与严肃性,保证审计的真实、完整、准确,特别是审计工作全程的管理与质量的控制,凡中介组织负责的审计项目,除主审可以由中介组织人员担任外,重点项目的审计组长必须由局领导担任、小项目也必须由审计机关副科级以上人员担任。审计中发现的重大问题,特别是重大违纪违规线索要及时向审计机关负责人报告。审计组长除对审计报告复核意见书出具评价意见外,对中介组织参与项目审计工作中审计质量及遵守法律法规、审计工作纪律情况进行总体评价,评价意见作为审计机关对中介组织年度考核的重要依据之一。在采取上述质量控制措施的同时,审计机关可随时对中介组织的审计项目进行复审抽查。抽查中凡发现有“跑、冒、滴、漏”问题的,年终考核予以严肃处理。对在政策法规理解认知、审计力量配置方面存在的问题要及时予以指导。对有借鉴意义的指导意见、震慑作用的处理意见及时予以通报,不断促进中介组织按照国家审计的工作要求规范审计行为。
关键词:县级供电公司 内审 转型
一、前言
自2014年来,安徽县级供电公司积极促进审计工作转型,审计工作转型体现在以加强控制、防范风险、提高效益为目标,将内部审计范围从传统的财务收支扩展到经营管理各个方面,评价公司资源利用的经济性和有效性、内部控制制度的健全性和有效性。通过推进审计工作转型基本实现了县级供电公司内部资源优化配置,建立完善了内控机制,促进了县公司干部经济双平安。
二、县级供电公司内审工作转型的提出
如何推进县公司审计工作的转型,实现县公司内部资源优化配置,建立完善内控风险规僻机制,安徽县级供电公司注重提炼工作思路、找准审计对策和方法,以“触深水、改习惯、入正轨”循序渐进的手段,促进规范化管理。
三、县级供电公司内审工作转型的主要做法
(一)内部审计工作流程实现模板化
1、审计常态化管理
县公司健全和完善公司内部审计监督体系,在组织建设和管理机制上,出台相关制度和工作细则,为规范内审工作提供一个程序化、规范化的“操作平台”。
(1)机构设置:县公司在组织机构上监察审计合并设置监察审计室,为开展审计工作提供良好环境。
(2)人员配备:在县公司人力资源紧缺的情况下,利用开展全员岗位梳理的契机,为审计室配备一名审计专职人员。
(3)落实审计经费:在财务预算化管理时,县公司领导批准审计专项经费,为审计工作顺利开展提供经费保障。
(4)审计机制:县公司定期召开审计季员会,学习审计文件、制订审计工作计划、讨论审计报告,通过多种形式解决和协调审计重大事项。县公司根据实际,定期召开网络成员会,学习相关审计业务,沟通和配合各类项目审计的开展。
2、审计规范化管理
(1)审计计划:明确工作思路排定工作计划,围绕县公司年度审计工作思路和计划安排草案进行讨论和修改,最后明确县公司每年度的审计工作思路,排定审计工作计划,为县公司审计工作指明方向。
(2)审计档案:严格按照《安徽省电力公司审计档案管理办法》规定,加强审计资料的整理及归档等各项基础管理工作,保证审计档案资料完整、真实、准确,逐步实现县公司档案管理的制度化、规范化。
(3)审计台帐:建立动态的审计管理台账,通过审计台账具体化、多元化、动态化的指标,将日常无时序的管理工作与有时序的审计台账相结合,从而及时、充分地掌握县公司审计工作信息。
(4)审计制度:建立健全县公司各项规章制度,县公司结合自己的实际情况,建立多项最基本审计制度,为开展各类审计提供依据。
3、审计项目实施管理
(1)审计项目管理:县公司按照“谁任命、谁审计”的原则,对下属企业的领导干部及供电所长任期经济责任进行审计,确保审计覆盖面达100%。按照“统一管理、分级实施”的原则,对本单位工程项目进行审计,确保县公司管理范围内的工程审计覆盖面达100%。加强项目管理,力求审计项目类型多样化,重点项目覆盖面达100%。
(2)审计成果运用管理:积极开展审计成果运用管理,确保审计项目实施有成效。县公司在开展审计项目中,对审计意见进行跟踪检查,确保整改到边到角。县公司为做好项目整改工作,召开审计意见整改专题会,统一思想,明确整改内容;制定整改时间表。就具体内容制定出整改责任分解表,建立一把手总督办工作机制。
(二)控制流程,提高审计项目质量
1、基本流程控制
在省公司审计部的大力指导下,县公司内部审计工作流程实现模板化,规范化,具体为:审前调查实施;审前调查;审前调查分析;审计方案编制;审前培训;审前业务会;审计进点会;审训业务交流会;审计报告初稿审定会;审计意见交换会;审计报告修订;审计项目总结分析;审计意见落实情况分析;审计档案归档管理;审计项目实施管理。
2、审计流程控制图(见表1)
(三)积极推进风险管理(经济平安)工作
实施风险管理,大力宣传“做干净事”的经济平安工程核心理念,在梳理企业经济活动中所有重要部位、重要环节的基础上,确定企业经济活动关键控制点,通过对关键控制点的内部控制制度是否建立健全、是否有效执行两个方面的判断来识别风险。
开展好经济平安一线风险控制项目,以点带面促进经济平安到边到角。根据《关于下达“安徽省电力公司‘经济平安’一线风险控制项目”的通知》文件精神,结合县公司实际,认真开展“平安工程” 风险管理工作,将“经济平安”的风险管理融入日常的经营工作中,确保实现县公司经济风险的可控、在控和能控。县公司成立了“经济平安工程”风险管理工作领导小组,将责任进行分解,明确责任领导和牵头责任部门的风险管理范围;召开了“经济平安”领导小组风险管理工作会议,进一步强化“平安工程”建设,推动“经济平安”、“干部自律”风险管理工作的有效开展。为配合开展“经济平安”活动,县公司关键岗位人员积极参加警示教育活动,编写经济平安简报,营造廉洁文化氛围。
着手监审联动推进风险控制管理的新型工作模式。近几年县公司将物资管理作为效能监察项目进行立项,按照程序_展标准化监察工作,废旧物资管理是物资管理中重要的组成部分,结合县公司废旧物资管理存在的短板,县公司突出重点,对症下药,开展废旧物资专项清理工作。成立工作领导组,明确责任部门和工作要求,在专项清理工作中引进了监审联动的工作方式。这一方式呈现出新特点,与当前风险管理工作机制紧密结合起来,达到一点带面的风险管理工作成效;监察审计双向职能齐发挥,在废旧物资专项清理过程中,县公司监察室对物管中心进入废旧物资处理程序后实施了严格的监督,公司财务部门、物资部门、监察、审计四个部门联合到场认真对照台帐进行处理,确保公司废旧物资处理颗粒归仓。
风险管理延伸到供电所,并与绩效考核挂钩。县公司审计部门作为经济平安工程的牵头部门,在风险管理上应当充分发挥审计应有的能。尤其近年来,小金库是网省公司关注的热点,也是风险管理的热点。针对小金库问题隐蔽性强的自身特点,县公司对小金库的审计采取内查外调的方式,寻找风险突破点:建立大政工监督网络,设立举报电话,及时获取信息;建立监审联动机制,营造高压氛围,制订县公司红线制度,给小金库治理工作提供了惩治依据,让违规者不敢抬头;加大廉洁文化的推进力度,开展警示教育活动,提高人员抵制小金库的免疫力。通过对小金库的治理,县公司健全了供电所财务制度、物资管理制度、所务公开制度,确保阳光理财。
(四)不断拓宽审计类型,将绩效的理念引入审计项目中
国网公司在历年工作报告中强调,“要强化内部审计监督,实现审计工作由查错纠弊向绩效型、风险型审计转变”。为此县公司审计委员会召开专题会,研究如何适时开展绩效审计,拓宽审计类型,通过调研,县公司就农网工程开展绩效审计,重点关注资金规模和社会影响。主要审计以下方面:一是否按照省公司农网工程建设的标准规划好、设计好、施工好;二是施工工艺一定要高标准、严要求,节约材料、不浪费;三是否有经济效益和社会效益,通过绩效审计既要查处问题,又在宏观分析问题。
(五)努力构建经济安全文化,加快审计工作信息化建设工作
努力构建经济安全文化,县公司注重对经济安全文化的营造,通过领导干部和重点岗位人员参观看守所警示教育活动,将所有参加人员撰写的心得体会编成《经济安全文化简报》挂网宣传;认真组织内审人员及公司中层干部及重点岗位人员就《审计工作视点》中的典型案例进行学习,以例说理,效果显著;同时县公司将经济安全文化纳入到廉洁文化总体工作中进行推进。
加快审计工作信息化建设工作。县公司注重审计信息的报送,营造良好的审计工作氛围;县公司在开展审计项目的同时,认真做好审计信息发送工作,通过多种形式县公司审计工作动态,为县公司审计工作开展提供了较好的外部环境。
[关键词]企业信息 网络安全体系
一、企业信息网络安全现状概述
进入21世纪后,随着国内信息化程度的快速提高,信息网络信息安全越来越多受到关注,信息网络安全产品和厂商短短几年内大量涌现。但是,令人担忧的是,虽然众多的产品和厂商都以信息网络安全的概念在提供服务,但其中包含的实际技术和内容却千差万别。这样的情况,一方面对市场和用户形成了误导,不利于解决用户的实际信息网络安全问题,造成投资浪费;另一方面也不利于创造良性的竞争环境,阻遏了信息网络安全市场的发展。
鉴于此,有必要对信息网络安全进行成体系的理论探讨,形成统一的共识和标准,这样才能让信息网络安全产品和厂商真正满足用户的需求,解决用户的实际问题,推动国家信息化的发展。
二、信息网络安全问题的本质探讨
1.信息网络安全问题的形成原因
信息网络安全问题的提出跟国家信息化的进程息息相关,信息化程度的提高,使得内部信息网络具备了以下三个特点:
(1)随着ERP、OA和CAD等生产和办公系统的普及,单位的日程运转对内部信息网络的依赖程度越来越高,信息网络已经成了各个单位的生命线,对信息网络稳定性、可靠性和可控性提出高度的要求。
(2)内部信息网络由大量的终端、服务器和网络设备组成,形成了统一有机的整体,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪,对信息网络各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。
(3)由于生产和办公系统的电子化,使得内部网络成为单位信息和知识产权的主要载体,传统的对信息的控制管理手段不再使用,新的信息管理控制手段成为关注的焦点。
上述三个问题,都是依赖于信息网络,与信息网络的安全紧密相连的,信息网络安全受到广泛的高度重视也就不以为奇。
2.信息网络安全问题的威胁模型
相对于信息网络安全概念,传统意义上的网络安全更加为人所熟知和理解,事实上,从本质来说,传统网络安全考虑的是防范互联网对信息网络的攻击,即可以说是互联网安全,包括传统的防火墙、入侵检察系统和VPN都是基于这种思路设计和考虑的。互联网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内互联网边界出口。所以,在互联网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。
而信息网络安全的威胁模型与互联网安全模型相比,更加全面和细致,它即假设信息网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自互联网,也可能来自信息网络的任何一个节点上。所以,在信息网络安全的威胁模型下,需要对内部网络中所有组成节点和参与者的细致管理,实现一个可管理、可控制和可信任的信息网络。由此可见,相比于互联网安全,企业的信息网络安全具有以下特点:
(1)要求建立一种更加全面、客观和严格的信任体系和安全体系;
(2)要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理;
(3)要求对信息进行生命周期的完善管理。
三、现有信息网络安全产品和技术分析
自从信息网络安全概念提出到现在,有众多的厂商纷纷自己的信息网络安全解决方案,由于缺乏标准,这些产品和技术各不相同,但是总结起来,应该包括监控审计类、桌面管理类、文档加密类、文件加密类和磁盘加密类等。下面分别对这些产品和技术类型的特性做了简单的分析和说明。
1.监控审计类
监控审计类产品是最早出现的信息网络安全产品, 50%以上的信息网络安全厂商推出的信息网络安全产品都是监控审计类的。监控审计类产品主要对计算机终端访问网络、应用使用、系统配置、文件操作,以及外设使用等提供集中监控和审计功能,并可以生成各种类型的报表。
监控审计产品一般基于协议分析、注册表监控和文件监控等技术,具有实现简单和开发周期短的特点,能够在信息网络发生安全事件后,提供有效的证据,实现事后审计的目标。监控审计类产品的缺点是不能做到事情防范,不能从根本上实现提高信息网络的可控性和可管理性。
2.桌面管理类
桌面管理类产品主要针对计算机终端实现一定的集中管理控制策略,包括外设管理、应用程序管理、网络管理、资产管理以及补丁管理等功能,这类型产品通常跟监控审计产品有类似的地方,也提供了相当丰富的审计功能,
桌面监控审计类产品除了使用监控审计类产品的技术外,还可能需要对针对Windows系统使用钩子技术,对资源进行控制,总体来说,技术难度也不是很大。桌面监控审计类产品实现了对计算机终端资源的有效管理和授权,其缺点不能实现对信息网络信息数据提供有效的控制。
3.文档加密类
文档加密类产品也是信息网络安全产品中研发厂商相对较多的信息网络安全产品类型,其主要解决特定格式主流文档的权限管理和防泄密问题,可以部分解决专利资料、财务资料、设计资料和图纸资料的泄密问题。
文档加密技术一般基于文件驱动和应用程序的API钩子技术结合完成,具有部署灵活的特点。但是,因为文档加密技术基于文件驱动钩子、临时文件和API钩子技术,也具有软件兼容性差、应用系统适应性差、安全性不高以及维护升级工作量大的缺点。
4.文件加密类
文件加密类产品类型繁多,有针对单个文件加密,也有针对文件目录的加密,但是总体来说,基本上是提供了一种用户主动的文件保护措施。
文件加密类产品主要基于文件驱动技术,不针对特定类型文档,避免了文档加密类产品兼容性差等特点,但是由于其安全性主要依赖于使用者的喜好和习惯,难以实现对数据信息的强制保护和控制。
5.磁盘加密类
磁盘加密类产品在磁盘驱动层对部分或者全部扇区进行加密,对所有文件进行强制的保护,结合用户或者客户端认证技术,实现对磁盘数据的全面保护。
磁盘加密技术由于基于底层的磁盘驱动和内核驱动技术,具有技术难度高、研发周期长的特点。此外,由于磁盘加密技术对于上层系统、数据和应用都是透明的,要实现比较好的效果,必须结合其他信息网络安全管理控制措施。
四、构建完整的信息网络安全体系
从前面的介绍可以看出,上述的信息网络安全产品,都仅仅解决了信息网络安全部分的问题,并且由于其技术的限制,存在各自的缺点。事实上,要真正构建一个可管理、可信任和可控制的信息网络安全体系,应该统一规划,综合上述各种技术的优势,构建整体一致的信息网络安全管理平台。
根据上述分析和信息网络安全的特点,一个整体一致的信息网络安全体系,应该包括身份认证、授权管理、数据保密和监控审计四个方面,并且,这四个方面应该是紧密结合、相互联动的统一平台,才能达到构建可信、可控和可管理的安全信息网络的效果。
身份认证是信息网络安全管理的基础,不确认实体的身份,进一步制定各种安全管理策略也就无从谈起。信息网络的身份认证,必须全面考虑所有参与实体的身份确认,包括服务器、客户端、用户和主要设备等。其中,客户端和用户的身份认证尤其要重点关注,因为他们具有数量大、环境不安全和变化频繁的特点。
授权管理是以身份认证为基础的,其主要对内部信息网络各种信息资源的使用进行授权,确定“谁”能够在那些“计算机终端或者服务器”使用什么样的“资源和权限”。授权管理的信息资源应该尽可能全面,应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。
数据保密是信息网络信息安全的核心,其实质是要对信息网络信息流和数据流进行全生命周期的有效管理,构建信息和数据安全可控的使用、存储和交换环境,从而实现对信息网络核心数据的保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样,所以要求数据保密技术必须具有通用性和应用无关性。
监控审计是信息网络安全不可缺少的辅助部分,可以实现对信息网络安全状态的实时监控,提供信息网络安全状态的评估报告,并在发生信息网络安全事件后实现有效的取证。
需要再次强调的是,上述四个方面,必须是整体一致的,如果只简单实现其中一部分,或者只是不同产品的简单堆砌,都难以建立和实现有效信息网络安全管理体系。
购物车(0)
