安全审计机制8篇

时间：2023-08-31 09:21:10

安全审计机制

安全审计机制篇1

关键词：涉密网络；安全审计；主机审计；系统设计

1　引　言

随着网络与信息系统的广泛使用，网络与信息系统安全问题逐渐成为人们关注的焦点。

涉密网与因特网之间一般采取了物理隔离的安全措施，在一定程度上保证了内部网络的安全性。然而，网络安全管理人员仍然会对所管理网络的安全状况感到担忧，因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应，单个用户计算机的安全性不足时刻威胁着整个网络的安全[1]。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。

本文从系统的、整体的、动态的角度，参照国家对安全审计产品的技术要求和对部分主机审计软件的了解，结合实际的信息安全管理需求，讨论主机审计系统的设计，达到对终端用户的有效管理和控制。

2　安全审计概念。

计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性，简称“五性”，安全审计是这“五性”的重要保障之一[2]。

凡是对于网络信息系统的薄弱环节进行测试、评估和分析，以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段，都可以叫做安全审计[3]。wWW.lw881.com

传统的安全审计多为“日志记录”，注重事后的审计，强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变，美国首先在信息保障技术框架（iatf）中提出在信息基础设置中进行所谓“深层防御策略（defense2in2depthstrategy）”，对安全审计系统提出了参与主动保护和主动响应的要求[4]。这就是现代网络安全审计的雏形，突破了以往“日志记录”

等浅层次的安全审计概念，是全方位、分布式、多层次的强审计概念，符合信息保障技术框架提出的保护、检测、反应和恢复（pdrr）动态过程的要求，在提高审计广度和深度的基础上，做到对信息的主动保护和主动响应。

3　主机审计系统设计。

安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作，并从已有的主机系统审计记录中提取信息，依据审计规则分析判断是否有违规行为。

一般网络系统的主机审计多采用传统的审计，涉密系统的主机审计应采用现代综合审计，做到对信息的主动保护和主动响应。因此，涉密网络的主机审计在设计时就应该全方位进行考虑。

3.1　体系架构。

主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为b/s架构，管理端通过浏览器访问控制中心。对于管理端，其操作系统应不限于windows,浏览器也不是只有ie。管理端地位重要，应有一定保护措施，同时管理端和控制中心的通讯应有安全保障，可考虑隔离措施和shttp协议。

主机审计能够分不同的角色来使用，至少划分安全策略管理员、审计管理员、系统管理员。

安全策略管理员按照制定的监控审计策略进行实施；审计管理员负责定期审计收集的信息，根据策略判断用户行为（包括三个管理员的行为）是否违规，出审计报告；系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录，对系统的操作互相配合，同时互相监督，既方便管理，又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心，所有信息都保存在控制中心。因此，控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警，提醒管理员及时备份并删除信息，保证审计系统能够采集新的信息。

3.2　安全策略管理。

不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩，体现安全管理意志。在审计系统上实施安全策略前，应根据安全管理思想，结合审计系统能够实现的技术途径，制定详细的安全策略，由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善，审计越彻底，越能反映主机的安全状态。

主机审计的安全策略由控制中心统一管理，策略发放采取推拉结合的方式，即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时，控制中心可以及时将策略发给受控端。但是，当受控端安装了防火墙时，推送方式将受阻，安全策略发送不到受控端。由受控端向控制中心定期拉策略，可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机（服务器、联网pc机）通过网络接收控制中心的管理策略向控制中心传递审计信息。单机（桌面pc或笔记本）通过外置磁介质（如u盘、移动硬盘）接收控制中心管理策略。审计信息存放在主机内，由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用ssl加密方式传输，确保数据在传输过程中不会被篡改或欺骗。

为了防止受控端脱离控制中心管理，受控端程序应由安全员统一安装在受控主机，并与受控主机的网卡地址、ip地址绑定。该程序做到不可随意卸载，不能随意关闭审计服务，且不影响受控端的运行性能。受控端一旦安装受控程序，只有重装操作系统或由安全员卸载，才能脱离控制中心的管理。联网时自动将信息传到控制中心，以保证审计服务不会被绕过。

3.3　审计主机范围。

涉密信息系统中的主机有联网主机、单机等。常用操作系统包括windows98,windows2000,windowsxp,linux,unix等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等，实现使用同一软件解决联网机、单机、笔记本的审计问题。

根据国家有关规定，涉密信息系统划分为不同安全域。安全域可通过划分虚拟网实现，也可通过设置安全隔离设备（如防火墙）实现。主机审计系统应考虑不同安全域中主机的管理和控制，即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心，以便统一进行审计。同时能给出简单网络拓扑，为管理人员提供方便。

3.4　主机行为监控。

一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多，不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能，主要用于检查终端的安全策略执行情况，包括补丁安装、弱口令、软件安装、杀毒软件安装等，形成检查报告，让使用人员对本机的安全状况有一个清楚的认识，从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。

主机审计系统对使用受控端主机人员的行为进行限制、监控和记录，包括对文档的修改、拷贝、打印的监控和记录，拨号上网行为的监控和记录，各种外置接口的禁止或启用（并口、串口、usb接口等）,对usb设备进行分类管理，如usb存储设备（u盘，活动硬盘）、usb输入设备（usb键盘、鼠标）、usb2key以及自定义设备。通过分类和灵活设置，增强实用性，对受控主机添加和删除设备进行监控和记录，对未安装受控端的主机接入网络拒绝并报警，防止非法主机的接入。

主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息；未通过认证的非法介质只能将信息拷入主机内，不能从主机拷出信息到介质内，否则产生报警信息，防止信息被有意或者无意从存储设备（尤其是移动存储设备）泄漏出去。在认证时，把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时，判断信息密级（国家有关部门规定，涉密信息必须有密级标识）,拒绝低密级介质拷贝高密级信息。

在认证时，把移动介质编号，编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号，以便审计时介质与人对应。涉密信息被拷贝时会自动加密存储在移动介质上，加密存储在移动介质上的信息也只能在装有受控端的主机上读写，读写时自动解密。认证信息只有在移动介质被格式化时才能清除，否则无法删除。有防止系统自动读取介质内文档的功能，避免移动介质接在计算机上（无论是合法还是非法计算机）被系统自动将所有文档读到计算机上。

3.5　综合审计及处理措施。

要达到综合审计，主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理，如主机ids、主机防火墙、防病毒软件等，将这些安全产品的日志、安全事件集中收集管理，实现日志的集中分析、审计与报告。同时，通过对安全事件的关联分析，发现潜在的攻击征兆和安全趋势，确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体，实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应，从而有效提升用户主机的可管理性和安全水平，为整体安全策略制定和实施提供可靠依据。

系统的安全隐患可以从审计报告反映出来，因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计，按要求显示并打印出来，能用图形说明问题，能按标准格式（word、html、文本文件等）输出。但是，审计信息数据多，直接将收集的信息分类整理形成的报告不能很好的说明问题，还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密，恢复时自动解密。审计信息也可以删除，但是删除操作只能由审计员发起，经安全员确认后才执行，以保证审计信息的安全性、完整性。

审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理，通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统，由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突，会影响终端用户的工作。针对这种情况，只能采取专门的解决方案。

在复杂的网络环境中，一个涉密网往往由不同的操作系统、服务器，防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后，专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准，会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务，将控制中心设置为标准时间，受控端在接收管理的同时，与控制中心保持时间同步，实现审计系统的时间一致性，从而提供有效的入侵检测和事后追查机制。

4　结束语

涉密系统的终端安全管理是一个非常重要的问题，也是一个复杂的问题，涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想，旨在与广大同行交流，共同推进主机审计系统的开发和研究，最终开发出一个全方位的符合涉密系统终端安全管理需求的系统。

参考文献：

[1]　网络安全监控平台技术白皮书。北京理工大学信息安全与对抗技术研究中心，2005.

[2]　王雪来。涉密计算机信息系统的安全审计。见：中国计算机学会信息保密专业委员会论文集，13:67-72.

安全审计机制篇2

（一）拓展受托经济责任使基层审计机关维护国家经济安全成为现实需要由审计学说――受托经济责任观，可知审计是随着受托经济责任的产生而产生，并随受托经济责任的发展而发展，基层审计机关是由于公共受托经济责任关系的确立而设立的，其主要目的是促进政府公共受托经济责任的切实履行。随着社会政治经济的发展，维护国家经济安全已经成为公共受托经济责任的一项重要内容，并且公共受托经济责任的拓展要求政府承担保障和维护国家经济安全的责任，基层审计机关作为促进政府全面履行公共受托经济责任的一种监控机制，其功能也随着公共受托经济责任的拓展而不断拓展。

（二）维护国家经济安全是基层审计机关的法定职责《宪法》第九十一条规定：“国务院设立审计机关，对国务院各部门、地方各级政府的财政收支，对国家的财政金融机构和企业事业组织的财务收支，进行审计监督”。2006年新修订颁布的《审计法》规定：“为了加强国家的审计监督，维护国家财政经济秩序，提高财政资金使用效益，促进廉政建设，保障国民经济和社会健康发展”，“国家财政经济秩序”与“廉政建设”是国家经济安全的重要方面，“财政资金使用效益”关系到国家成本与国家效能，对国家经济安全有着重要的影响，“国民经济和社会健康发展”的基础条件就是国家经济安全，因此，基层审计机关的一个重要的职责就是维护国家的经济安全，基层审计依法负有认真履行审计监督职责，维护经济秩序，保障国民经济又好又快发展的重大任务，只有基层审计机关正确履行维护国家经济安全的职责，才能促进国民经济的有序、平稳、高速、健康地发展。

（三）国家经济安全离不开基层审计机关的监督随着我国融入经济全球化的进程，我国与世界的联系日益密切，然而，处于对外开放中的我国仍作为一个发展中国家，各种机制并不健全，在我国经济的高速发展的过程中也必然存在一定的风险以及对于我国的国家经济安全问题应日益受到高度关注，因此，要保障和维护国家经济安全，必然离不开基层审计机关的监督；另一方面，金融安全作为国家经济安全的核心，是指有货币资金融通的安全和稳定的金融体系，基层审计机关的审计监督可以披露真实、客观的金融运行信息，为金融管理部门的决策提供信息服务，基层审计机关通过对审计暴露问题的分析，评价金融安全的程度，发挥审计免疫系统的功能，并且建议管理部门及时调整金融政策，降低金融风险，从而避免金融危机的发生。

（四）国家经济安全为基层审计机关提供了良好的外部环境国家经济安全为基层审计机关提供了良好的外部环境，如果国家经济安全能够得到有效地维护，并且有一个稳定、和谐发展的社会环境，基层审计机关的外部环境才能得以优化，反之，基层审计机关的外部环境得不到优化，也不利于促进审计事业的发展，可见，只有国家的政治、经济安全得到维护，基层审计的环境才得以优化，才能更进一步地促进审计事业的发展，形成良好的互动，保持社会和谐健康的发展。

（五）基层审计是国家经济安全的“防火墙” 基层审计是国家经济安全的“防火墙”，因为基层审计具有“抵御功能”，是国家经济安全、社会安全的屏障，能够自动隔断、拦截、缓释风险的侵袭力和影响度，防御风险对经济发展和社会运行的袭扰、腐蚀和侵害，保护经济社会肌体健康，保护社会经济秩序稳定，保护国家利益不受侵害，依据《审计法》，基层审计机关充分履行其职责，监督国家经济安全的运行，基层审计通过其职能作用的发挥，进行事前、事中、事后的监督，为国家经济安全提供了有效的防范和纠偏保证。

二、基层审计机关维护国家经济安全的作用

（一）有利于维护财政资金的安全使用，防止国有资产流失基层审计机关通过审计工作，可以揭露各种弄虚作假行为和重大违法违规的问题，也可以通过进行财务数据分析，降低决策失误给企业造成的损失浪费，基层审计机关正式通过查处一系列大案、要案，防止国有资产的流失，维护国有资产的安全，另外，国家审计机关也可以通过进行经济责任审计，使干部队伍的责任意识和管理水平提高，从而预防和治理腐败。

（二）有利于抵御国家经济安全的风险国家经济发展的过程中，不可能是完全顺利地发展的，必然存在来自危害国家经济安全的风险等诸多方面，基层审计机关通过对政府部门财政财务收支、国家预算执行和国有企业的审计，使国家经济的运行得到进一步规范；基层审计机关也可以通过对国家宏观经济政策的实施和效果审计来抵御风险的发生或继续蔓延，从而促进国民经济的健康发展；对于可能存在的引起国家和社会不稳定的重大风险，基层审计机关可以通过对关系国计民生的行业和资金的审计等来预防这些重大风险的发生。近年来，银行和资产管理公司在不良资产剥离、管理、处置等环节存在着一些突出的问题，如审计署以审计结果公告等方式向社会提示了银行承兑汇票、城市建设贷款、关联企业贷款、消费信贷、担保公司贷款业务、高校贷款、公路贷款、委托贷款等银行业务存在的风险，揭示了金融企业基层分支机构在管理方面存在的薄弱环节，因此，通过基层审计，可以揭露金融机构在风险、管理、效益等方面存在的突出问题，促进金融运行机制的建立健全以及高效、稳健的发展，维护国家的金融安全。

（三）对国家经济安全具有信息监测和预警作用基层审计机关是国家经济的监督者，各地区、各部门、以及各行业所关系到的国民经济中所获取的经济信息和其他相关信息，既有宏观的信息，也有微观的信息，并且这些信息具有真实性、权威性和可开发利用性，基层审计机关通过对这些信息进行系统性、专业性和综合性的分析评价，可以发现经济运行的内在规律、普遍存在的问题以及经济发展态势等方面的问题，也可以监测威胁国家经济安全的各种因素，此时，基层审计机关通过公布或通报审计的结果，以对国家经济安全各种不利因素的产生起到预防和警示作用，或者基层审计机关将对这些信息分析评价的结果，提供给不同的管理层和决策机构，使其能及时发现和调整偏离目标的行为，提高决策的正确性。

（四）有利于维护民生安全，抵御民生风险当今，各种危害国家民生安全的现象时有发生，如：、挪用或挤占民生资金、过度投资等，针对这些现象，基层审计机关可以通过审计民生资金和重大民生工程，查处、损失浪费、挤占挪用、虚报冒领、破坏资源环境和严重污染等问题，也可以查处城乡最低生活保障资金、县乡医疗服务体系建设、饮水用水安全、政府投资建设保障性住房情况等方面的投资和管理状况，基层审计机关通过审计，可以揭示对国家政策落实不到位、政策目标未实现以及严重影响和损害群众利益的突出问题，从而有利于促进各项国家民生政策落到实处，为国家经济社会的平稳较快发展创造良好的环境。

（五）有利于加强环境资源审计，抵御生态风险虽然经济的发展取得了一些成果，但也带来了越来越严重的环境污染的现象，如：为了地方经济的发展，一些地方政府部门非法使用土地、乱挖乱采稀有矿山资源，建设污染严重的产业等等，基层审计机关可以通过审计国土资源、水资源、矿产资源、森林资源，揭露存在的一些问题，向政府提出好的政策和建议，采取有力的措施，使地方经济的可持续发展得到维护，从而有利于促进经济、人口、资源、环境的协调发展。

（六）通过内部控制审计，确保区域内部控制制度安全有效运行作为一种控制机制的内部控制，在一定程度上，决定了企业的经营好坏，它已经受到了大多数企业和政府相关部门的高度重视，内部控制在经济发展中的地位也越来越高，基层审计机关可以通过内部控制审计，对各地各部门现行的内部控制制度进行控制测试和实质性测试，找出内部控制制度的漏洞或管理方面的不足，提出改进建议，有利于促使内部控制制度的完善，减少因内部控制制度在设计或运行方面的不足而产生的管理风险，以确保区域内部控制制度安全的有效运行。

三、基层审计机关维护国家经济安全的具体途径

（一）关注地方财政安全，防范财政风险国家财政安全在国家经济安全中处于重要地位，而基层审计机关要维护地方财政安全，就必须以抓住财政预算执行为中心，开展财政审计工作，要全方位的审计地方财政资金的来源、运用、债权债务，对于大笔单项财政专项资金，要搞清楚其可行性、工程进度、完工验收、效益效果，确保有限的财政资金恰当运用。基层审计机关要通过财政审计，了解政府担保债务、外资借款、县市、乡镇、村、各级学校以及行政事业单位的债权债务等情况，尤其是要弄清楚地方融资平台情况和问题，进行偿债能力分析，向各级政府提供真实，准确的财政资金信息，保证各地财政资金的安全运行，从而防范财政风险。

（二）关注国有资产安全，防范国有资产流失风险基层审计机关要在财务收支真实性审计的基础上从机制、制度和管理层面发现深层次问题，防止国有资产的严重损失，促进经济增长方式的转变和国有资产的保值增值，基层审计机关要重点审查国有资产的安全完整和各种重大经营决策的科学性、合规性、民主性和效益性，如：重点了解国有企业的经营现状，国有资本金的利用效率，国有资产的保值增值情况；重点审计监督国有企业的资产保值增值情况，减少国有资产在产权交易中严重流失；对于境外国有企业，要充分关注资本的来源和转出情况，防范国有资产流失风险。

（三）关注区域金融安全，防范区域金融风险金融安全是国家经济安全和社会安全的第一道“防火墙”，金融安全审计是基层审计机关维护国家经济安全的核心职责内容，基层审计机关要搞好区域金融审计，必须抓住金融企业的资产负债损益重点，对同行间拆借、投资、衍生金融工具交易（债券、票据、存款证明等）、流动性管理、利息管理等进行审计，了解金融企业的不良资产及所占比重，特别是要弄清楚违规贷款和不良贷款数额占总资产的比重，分析资本充足率，以风险导向审计为基础，对重要账户、敏感业务、异常事项等重大项目进行详细的实质性测试，防范区域金融风险。

（四）关注信息安全，防范信息风险信息化的高速发展，使国家的经济安全也越来越依赖于信息基础设施的安全程度，必然要求基层审计机关深入探索信息系统审计，在审查和评估信息系统产生的信息的同时，还要对信息系统的完整性、安全性、可靠性进行审查，将审计业务范围和内容从传统的财务报表等有形信息，扩大到信息处理系统的完整性、安全性及其内部控制等无形信息。

（五）关注民生安全，防范民生风险基层审计机关要以树立民本审计为理念，加大对民生资金的审计监督力度。基层审计要重点审计民生资金和重大民生工程，重点关注种粮直补等支农资金、城乡最低生活保障资金、县乡医疗服务体系建设、饮水用水安全、政府投资建设保障性住房情况等方面的投资和管理状况，重点查处、损失浪费、挤占挪用、虚报冒领、破坏资源环境和严重污染等问题，重点揭示对国家政策落实不到位、政策目标未实现以及严重影响和损害群众利益的突出问题，促进各项国家民生政策落到实处，为经济社会平稳较快的发展创造良好的环境。

（六）关注环境安全，防范生态风险基层审计机关在关注环境安全方面，要从生态环境建设和环境治理这两大方面着眼，以重点区域环境保护投入和重大环境保护项目为切入点，逐步推进全方位的包括生态、资源、环保等在内的环境审计，促进经济、人口、资源、环境的协调发展。

（七）关注内部控制制度审计，确保区域内部控制制度安全有效运行内部控制制度是政府内部各种形式管理控制的总称，内部控制设计和良好运行有助于在合理的程度上提高政府各部门的业绩，保护国家资产，确保财政策略的可行性以及法律法规的遵循，然而，当今一些基层审计机关的内部控制的意识比较薄弱，以及组织机构设置也不够合理，制度不健全等一些问题的出现，使完善内部控制成为必须，在企业内部设立内部审计部门和专职的内部审计人员，可以促进内部控制的完善，基层审计机关应深入分析各个机构存在的内部控制薄弱的症结所在，并通过内部审计的检查和评价不断促进内部控制的建立和完善，因此，基层审计要加强内部控制的意识，建立内部审计部门，建立健全内部控制机制，促进我国政府管理模式的完善。

四、维护区域经济安全是基层审计机关与国家经济安全联系的桥梁

国家经济是一个国家的宏观经济主体，是各区域经济的总和，国家经济的好坏，直接关系到各区域经济的好坏，各区域经济产生的风险，也可能引起宏观经济的风险，当今，经济面临的多元化，以及复杂的竞争环境，使得世界经济风险越来越大，不安全因素也越来越多，如：前几年亚洲的金融危机、美国的次贷危机，现阶段欧洲债务危机等表明世界经济在动荡中，中国经济也受到了世界经济危机的影响，为确保我国经济平稳，健康和可持续发展，就必须举全国之力，齐心协力，共同奋斗。作为维护国家经济发展的基层审计机关，就必须利用自己的职能，搞好审计监督，在维护区域经济安全运行、促进区域经济平稳较快发展以及经济发展方式转变等方面充分发挥“免疫系统”的功能。

对于基层审计机关而言，通过发挥审计“免疫系统”的功能，维护好区域经济安全，就是为维护国家经济安全做出了贡献，具体而言，基层审计机关要着力防范的风险包括地方金融机构风险、地方政府债务风险、就业和社会保障压力、中央调控措施不能切实执行的风险、财政风险转化为金融风险、地方产业安全问题等，要从区域经济安全的角度，通过审计监督，构建科学、协调、高效的工作机制，增强地方经济实力，以完善内部机制、体制来强化抵御各种经济风险的能力，将增强经济实力视为维护国家经济安全的坚实基础，以增强地方经济实力作为地方审计维护经济安全的着力点，基层审计机关通过正确履行自己的职责，抑制过度投资，防止经济泡沫，增强地方经济实力，维护好区域经济安全，才能使国家的经济安全得到保障，因此，维护区域经济安全是基层审计机关维护国家经济安全的切入点，即维护区域经济安全是基层审计机关与国家经济安全联系的桥梁。

参考文献：

安全审计机制篇3

摘要：从系统的、整体的、动态的角度，参照国家对主机审计产品的技术要求和对部分主机审计软件的了解，结合实际的终端信息安全管理需求，从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想，达到对终端用户的有效管理和控制。

关键词：网络；安全审计；主机审计；系统设计

1引言

随着网络与信息系统的广泛使用，网络与信息系统安全问题逐渐成为人们关注的焦点。

网与因特网之间一般采取了物理隔离的安全措施，在一定程度上保证了内部网络的安全性。然而，网络安全管理人员仍然会对所管理网络的安全状况感到担忧，因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应，单个用户计算机的安全性不足时刻威胁着整个网络的安全[1]。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。

2安全审计概念。

计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性，简称“五性”，安全审计是这“五性”的重要保障之一[2]。

凡是对于网络信息系统的薄弱环节进行测试、评估和分析，以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段，都可以叫做安全审计[3]。

传统的安全审计多为“日志记录”，注重事后的审计，强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变，美国首先在信息保障技术框架（IATF）中提出在信息基础设置中进行所谓“深层防御策略（Defense2in2DepthStrategy）”，对安全审计系统提出了参与主动保护和主动响应的要求[4]。这就是现代网络安全审计的雏形，突破了以往“日志记录”

等浅层次的安全审计概念，是全方位、分布式、多层次的强审计概念，符合信息保障技术框架提出的保护、检测、反应和恢复（PDRR）动态过程的要求，在提高审计广度和深度的基础上，做到对信息的主动保护和主动响应。

3主机审计系统设计。

一般网络系统的主机审计多采用传统的审计，系统的主机审计应采用现代综合审计，做到对信息的主动保护和主动响应。因此，网络的主机审计在设计时就应该全方位进行考虑。

3.1体系架构。

主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为B/S架构，管理端通过浏览器访问控制中心。对于管理端，其操作系统应不限于Windows,浏览器也不是只有IE。管理端地位重要，应有一定保护措施，同时管理端和控制中心的通讯应有安全保障，可考虑隔离措施和SHTTP协议。

主机审计能够分不同的角色来使用，至少划分安全策略管理员、审计管理员、系统管理员。

3.2安全策略管理。

主机审计的安全策略由控制中心统一管理，策略发放采取推拉结合的方式，即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时，控制中心可以及时将策略发给受控端。但是，当受控端安装了防火墙时，推送方式将受阻，安全策略发送不到受控端。由受控端向控制中心定期拉策略，可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机（服务器、联网PC机）通过网络接收控制中心的管理策略向控制中心传递审计信息。单机（桌面PC或笔记本）通过外置磁介质（如U盘、移动硬盘）接收控制中心管理策略。审计信息存放在主机内，由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用SSL加密方式传输，确保数据在传输过程中不会被篡改或欺骗。

为了防止受控端脱离控制中心管理，受控端程序应由安全员统一安装在受控主机，并与受控主机的网卡地址、IP地址绑定。该程序做到不可随意卸载，不能随意关闭审计服务，且不影响受控端的运行性能。受控端一旦安装受控程序，只有重装操作系统或由安全员卸载，才能脱离控制中心的管理。联网时自动将信息传到控制中心，以保证审计服务不会被绕过。

3.3审计主机范围。

信息系统中的主机有联网主机、单机等。常用操作系统包括Windows98,Windows2000,WindowsXP,Linux,Unix等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等，实现使用同一软件解决联网机、单机、笔记本的审计问题。

根据国家有关规定，信息系统划分为不同安全域。安全域可通过划分虚拟网实现，也可通过设置安全隔离设备（如防火墙）实现。主机审计系统应考虑不同安全域中主机的管理和控制，即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心，以便统一进行审计。同时能给出简单网络拓扑，为管理人员提供方便。

3.4主机行为监控。

主机审计系统对使用受控端主机人员的行为进行限制、监控和记录，包括对文档的修改、拷贝、打印的监控和记录，拨号上网行为的监控和记录，各种外置接口的禁止或启用（并口、串口、USB接口等）,对USB设备进行分类管理，如USB存储设备（U盘，活动硬盘）、USB输入设备（USB键盘、鼠标）、USB2KEY以及自定义设备。通过分类和灵活设置，增强实用性，对受控主机添加和删除设备进行监控和记录，对未安装受控端的主机接入网络拒绝并报警，防止非法主机的接入。

主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息；未通过认证的非法介质只能将信息拷入主机内，不能从主机拷出信息到介质内，否则产生报警信息，防止信息被有意或者无意从存储设备（尤其是移动存储设备）泄漏出去。在认证时，把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时，判断信息密级（国家有关部门规定，信息必须有密级标识）,拒绝低密级介质拷贝高密级信息。

在认证时，把移动介质编号，编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号，以便审计时介质与人对应。信息被拷贝时会自动加密存储在移动介质上，加密存储在移动介质上的信息也只能在装有受控端的主机上读写，读写时自动解密。认证信息只有在移动介质被格式化时才能清除，否则无法删除。有防止系统自动读取介质内文档的功能，避免移动介质接在计算机上（无论是合法还是非法计算机）被系统自动将所有文档读到计算机上。

3.5综合审计及处理措施。

要达到综合审计，主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理，如主机IDS、主机防火墙、防病毒软件等，将这些安全产品的日志、安全事件集中收集管理，实现日志的集中分析、审计与报告。同时，通过对安全事件的关联分析，发现潜在的攻击征兆和安全趋势，确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体，实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应，从而有效提升用户主机的可管理性和安全水平，为整体安全策略制定和实施提供可靠依据。

系统的安全隐患可以从审计报告反映出来，因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计，按要求显示并打印出来，能用图形说明问题，能按标准格式（WORD、HTML、文本文件等）输出。但是，审计信息数据多，直接将收集的信息分类整理形成的报告不能很好的说明问题，还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密，恢复时自动解密。审计信息也可以删除，但是删除操作只能由审计员发起，经安全员确认后才执行，以保证审计信息的安全性、完整性。

在复杂的网络环境中，一个网往往由不同的操作系统、服务器，防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后，专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准，会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务，将控制中心设置为标准时间，受控端在接收管理的同时，与控制中心保持时间同步，实现审计系统的时间一致性，从而提供有效的入侵检测和事后追查机制。

4结束语

系统的终端安全管理是一个非常重要的问题，也是一个复杂的问题，涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想，旨在与广大同行交流，共同推进主机审计系统的开发和研究，最终开发出一个全方位的符合系统终端安全管理需求的系统。

参考文献：

[1]网络安全监控平台技术白皮书。北京理工大学信息安全与对抗技术研究中心，2005.

安全审计机制篇4

一、信息安全概况

随着信息技术的飞速发展，金融机构生产、使用和共享的信息呈现几何增长的态势，信息传递的方式和渠道急剧增加，在为金融机构带来收益和效率的同时，也使信息安全问题更加凸显。在全球范围内，信息安全事件频发，给银行和客户造成经济损失的同时，也带来了巨大的声誉损失。如何有效提升信息安全管理水平，成为银行关注的焦点。信息安全审计作为信息安全保障工作中的重要一环，能够促进信息安全控制措施的落实，规范信息安全管理，提高全员信息安全意识，从而有利于保持和持续改进银行信息安全能力和水平。

根据当前的信息安全管理体系国家标准GB/T22080-2008（等同采用ISO/IEC27001:2005），信息安全保障工作从整体看应包括四个阶段：一是规划和建设阶段（Plan，简称“P阶段”）；二是实施和运行阶段（Do，简称“D阶段”）；三是监视和评审阶段（Check，简称“C阶段”）；四是保持和改进（Act，简称“A阶段”）。这四个阶段按顺序循环往复，从而使信息安全得到持续改进。这种方法也被称为“PDCA循环”，如图1所示。

经过近十几年的努力，金融行业信息安全保障工作已经普遍走过了“P阶段”和“D阶段”，金融行业的信息安全需求已基本明确，满足信息安全需求的基础设施也基本具备。经过大范围的规划建设，各金融机构已经建立了相对完备的信息安全软硬件环境，初步形成了信息安全保障体系。尽管如此，作为关系国计民生的重要基础产业，金融行业对信息安全有着更高的要求，也面临着更大的信息安全风险挑战。近年来，金融行业频繁发生的信息安全事件表明，金融行业信息安全保障工作还存在很多缺陷和不足。导致这一局面的因素很多，其中一个重要的原因就是大家普遍重视信息安全的建设和运行，而忽视了信息安全工作的检查和改进。从整体上看，金融行业信息安全保障工作已经走过“P阶段”和“D阶段”，尚未进入“C阶段”和“A阶段”，还没有形成完整的基于“PDCA”过程方法的持续改进机制。接下来金融行业信息安全工作的重心应该转向检查和改进。信息安全审计是“C阶段”的主要手段。它利用传统财务审计和审计工作的规范与严谨，结合信息和保密技术的工具与手段，对金融机构信息安全工作的成效和不足给出客观、确定的审计结论，并根据审计结果，对金融机构的信息安全保障工作提出改进措施、给出合理化建议。

为了对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等主要方面提出高标准、高要求，满足商业银行信息科技风险管理的需要，银监会2009年了《商业银行信息科技风险管理指引》，其中第六十五条规定：“商业银行应根据业务性质、规模和复杂程度，信息科技应用情况，以及信息科技风险评估结果，决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”

二、国内外信息安全审计现状

（一）国外信息安全审计发展与现状

在建立信息安全审计制度，开展信息安全审计研究方面，美国走在了世界前列。早在计算机进入实用阶段时，美国就开始提出系统审计（SYSTEMAUDIT）概念。1969年在洛杉矶成立了电子数据处理审计师协会（EDPAA），1994年该协会更名为信息系统审计与控制协会（ISACA），总部设在美国芝加哥。自1978年以来，由ISACA发起的注册信息系统审计师（CISA）认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的被广泛认可的标准。目前该组织在世界上100多个国家设有160多个分会，现有会员两万多人。

1999年，美国国家审计署（GAO）《联邦信息系统控制审计手册》（第一版），为美国联邦政府实施信息安全审计提供基本准则和方法。2001年，GAO《联邦信息系统安全审计管理的计划指南》，用于为美国联邦政府实施信息安全审计提供具体指导；2009年，GAO《联邦信息系统控制审计手册》（第二版），该手册成为现阶段美国联邦政府实施信息安全审计的事实标准。

近年来，美国通过立法赋予信息安全审计新的意义，并对企业实施信息安全审计产生重大影响。2002年，美国安然公司和世通财务欺诈案爆发后，美国国会和政府紧急通过了《萨班斯——奥克斯利法案》（Sarbanes-OxleyAct，简称萨班斯法案）。萨班斯法案第302条款和第404条款明确要求“，通过内部控制加强公司治理，包括加强与财务报表相关的IT系统内部控制，而信息安全审计正是IT系统内部控制的核心。”2006年底生效的《巴塞尔新资本协议（》BaselII），要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备，迫使各银行必须做好风险控管，而这一“金融作业风险”的防范也正是需要业务信息安全审计为依托。

近一段时期，以美国、加拿大、澳大利亚为主的西方国家，针对不同的组织机构，以不同的信息安全审计方式，卓有成效地开展了包括信息系统计划与技术构架、信息安全保护与灾难恢复、软件系统开发、获得、实施及维护、商业流程评估及风险管理等方面的信息安全审计。

具体来说，针对各类企业的信息安全审计，采取了以内部审计为主，从关注安全向关注业务目标过渡，一般控制审计与应用控制审计相结合的方式；针对政府机构的信息安全审计，强调外部审计与政府内部审计结合，融入绩效预算管理体系，关注系统最终效果。

在亚洲，日本的信息安全审计始于20世纪80年代。1983年，通产省公开发表了《系统审计标准》，并在全国软件水平考试中增加了“系统审计师”一级的考试，着手培养从事信息系统审计的骨干队伍。近几年，东南亚各国也开始制定电子商务法规，成立专门机构开展信息系统审计业务，并制定技术标准。

（二）我国信息安全审计发展与现状

近年来，我国的信息安全审计日益受到重视，审计署以及一些大型国有银行也相继开展了信息安全方面的审计工作。信息系统审计规范的研究和制定方面，我国已建成了一套比较成熟规范的法规、准则体系，但在信息系统及信息安全审计方面，虽有《内部审计具体准则第28号——信息系统审计》（中国内部审计协会2008年）以及审计署对信息系统审计相关法规、准则的规划及研究，但尚未形成系统的法规、准则和技术标准体系。

三、金融行业信息安全审计组织与实施

金融行业的信息安全审计（InformationSecurityAudit），是指金融机构为了掌握其信息安全保障工作的有效性，根据事先确定的审计依据，在规定的审计范围内，通过文件审核、记录检查、技术测试、现场访谈等活动，获得审计证据，并对其进行客观的评价，以确定被审计对象满足审计依据的程度所进行的系统的、独立的并形成文件的过程。金融机构可以单独实施信息安全审计，也可以将信息安全审计作为其他相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。审计的工作流程和内容大致包括六个方面的活动（如图2所示）。

1．确定审计目的和范围。金融机构实施信息安全审计，首先要明确审计目的，确定审计范围。审计目的是信息安全审计工作的出发点。审计目的可以从满足监管部门的要求、满足信息安全国际国内标准的要求、满足机构自身信息安全工作要求等合规性方面考虑。明确了审计目的，然后要确定审计范围。审计范围是影响审计工作量的一个重要因素。确定审计范围，可以从组织机构考虑，如仅对个别部门实施审计，或者在组织全部范围实施审计；也可以从业务和系统角度考虑，如仅对核心系统实施审计，或者仅对信贷业务实施审计等。

2.明确审计依据。审计依据就像一把“尺子”，审计人员用它来衡量信息安全工作的“长短”。审计目的不同，审计依据就可能不同，如表1中所示。

3.组建审计组。审计组是具体实施信息安全审计工作的基本组织单位，应由审计组长和审计员组成。管理良好的审计组是信息安全审计工作顺利实施并达成审计目的的保障。审计组长应由金融机构内部审计部门的管理者任命。负责编制审计方案和审计计划，选择审计员，管理审计小组，与被审计对象沟通等。审计组长应具备较强的项目管理能力，熟悉被审计对象的业务和系统，了解被审计对象面临的信息安全风险和常用的风险控制措施。审计员应选择责任心强、公正、独立、熟悉业务的人员担任，避免审计员与被审计对象存在利害关系，以免影响审计结果的公正性。正式实施信息安全审计前，应对审计组成员进行培训。

4.实施现场审计。审计准备工作就绪后，则可以实施现场审计。现场审计是一项复杂的系统工程，具有较强的不确定性。因此，现场审计应根据事先编制的审计方案和审计计划执行，审计过程中还要做好变更控制。现场审计往往由首次会议开始，至末次会议结束。在首次会议上，审计组长应向被审计单位阐明此次审计的目的、范围、依据和审计计划，并提出需要被审计单位配合的事项。末次会议上，审计组长向被审计单位说明审计发现，报告审计初步结果，并与被审计单位就初步审计结果达成一致。现场审计方法通常包括：现场访谈、审阅文件、查看记录、系统检查和测试等。在系统检查和测试过程中，可能需要相关的审计工具，如系统漏洞扫描器、数据库安全审计系统、桌面终端配置检查工具、网络安全检查工具、恶意软件扫描器等。现场审计过程中，应做好文档化工作。对所发现的审计证据应进行详细记录，并与被审计单位人员进行现场确认。现场审计应注意方式方法，就意见不一致的问题先做好记录，避免现场与被审计单位人员发生争执。

安全审计机制篇5

论文摘要：本文强调审计工作的安全、高效和信息化，从审计工作的现状、发展瓶颈到信息化审计的制度健全、引入主机系统安全审计、业务系统安全审计等相关管理办法、新技术或新理念和待解决的问题等方面，论述构建安全高效的审计信息化安全保障体系的措施。

审计是客观评价个人，组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息，还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见，审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表，通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为，检查、考证目标的完整性、准确性，以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化，有利于管理层迅速准确的做出决定，对于政企业发展、社会经济的进步都具有重要作用。目前，我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题，有待进一步加强和改进。

审计的基础工作是内部审计，内审是审计监督体系中不可或缺的重要组成部分，是全面经济管理必不可少的手段，是加强任何机构内部管理的必要，推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的，促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中，在防范风险中发挥着重要作用，也有助于领导层做出正确决策。

一、审计工作的现状及存在的问题

随着我国经济迅猛发展，审计监督力度不断增强，审计范围也不断扩大。当前，审计方式已由财政财务审计向效益审计发展，由账项基础审计向制度基础审计、风险基础审计发展，由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系，要求审计机关把审计管理工作前移，把质量控制体系贯穿与审计工作中。在此趋势下，传统的审计方法暴露出其效率低、审计范围小等劣势，使得完成审计任务，达到审计目标越发缺乏及时性。

(一)内部审计性质认定较为模糊。内部审计是市场经济条件下，基于加强经营管理的内在需要，也是内部审计赖以存在的客观基础。但是，现代内部审计的产生却是一个行政命令产物，强调外向性服务。这种审计模式使人们对内部审计在性质认定上产生模糊，阻碍了内部审计的发展。内部审计很难融入经营管理中，审计工作很难正常开展，很难履行监督评价职能和开展保证咨询活动，因此就不能充分发挥其应有的内向性服务的作用。

(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率，其职能是监督和服务。但是，我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能，而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素，影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高，也有不重视法律、法规的因素，还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段，停留在调账、纠正错误上，还不能多角度、深层次分析问题，没有较国际先进的审计理念，我国内部审计的作用尚待开发。审计人员的计算机知识匮乏，不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练，软件知识了解也不足，因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同，功能也不完整，因此全面推广计算机辅助审计就有一定难度，导致审计人员的知识和审计手段滞后于信息化的发展。

二、信息化审计体系的健全

当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化，逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进，国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的，三个“公共”的主旨是：国家财政资金的使用更注重民生；使用重点更注重服务；使用效益更注重民意。

信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标，同时能更经济的使用资源。信息安全审计与信息安全管理密切相关，信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全，从而达到安全审计的目的，提高信息系统的安全性。由此，国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织iso的认可，正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件，基本规范了内部审计机制，健全了内部审计机构；强调机构应加强内审工作，机构内部要形成有权就有责、用权受监督的最佳氛围；审计委员会直接对领导班子负责，其成员需具有相应的独立性，委员会成员具良好的职业操守和能力，内审人员应当具备内审人员从业资格，其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题，视具体情况，可以直接向审计委员会或者领导层报告。

　三、主机系统安全审计

信息技术审计，或信息系统审计，是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。

以技术划分，信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计，综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计，主机审计可以从已有的系统审计记录中提取相关信息，并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之，为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段，而对计算机信息系统的薄弱环节进行检测、评估及分析，都可称作安全审计。

主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上，并按照设计思路监视用户操作行为，同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。

四、待解决的若干问题

计算机与信息系统广泛使用，如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系，也就是建立安全策略体系、安全管理体系和安全技术体系。

保护网络设备、设施、介质，对操作系统、数据库及服务系统进行漏洞修补和安全加固，对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理，形成一套比较完备的信息系统安全管理保障体系。

防火墙是保证网络安全的重要屏障，也是降低网络安全风险的重要因素。vpn可以通过一个公用网络建立一个临时的、安垒的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防ddos系统，可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的，需要从技术、管理等方面进行全面的安全设计和建设，有效提高信息系统的防护、检侧、响应、恢复能力，以抵御不断出现的安全威胁与风险，保证系统长期稳定可靠的运行。严格的安全管理制度，明确的安全职责划分，合理的人员角色定义，都可以在很大程度上减少网络的安全隐患。

从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系，明确安全管理的相关组织、机构和职责，建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时，能得到及时的响应和支援，信息系统必须建立和逐步完善应急响应支援体系，确保整个信息系统的安全稳定运行。

参考文献：

[1]宋新月，内部审计在经济管理中的重要作用浅析[j]，知识经济，2009

安全审计机制篇6

一、梳理问题，摸清底数，“五到”工作法紧贴审计整改工作

一是整改方案到单位。公安厅党委两次召开专题会议听取全省公安机关审计整改情况汇报，部署全省公安审计整改工作；公安厅审计整改工作领导小组三次组织全省范围工作会议，研究解决审计整改问题；专门制定《江西省公安机关开展“审计整改年”活动实施方案》，在全省各级公安机关和各警种部门间宣传、发动，把审计整改活动精神深入到各民警大脑中，贯彻到各单位行动上。

二是书面督办到单位。公安厅审计整改工作领导小组直接向被审计单位发出《督办通知书》，明确整改要求和整改时限。验收总结阶段，公安厅审计整改领导小组又制定了《审计整改检查验收方案》，明确整改验收具体内容。公安厅审计处每月汇总全省审计整改情况，下发《审计整改通报》；根据各地整改信息，编发《审计整改简报》。截至目前为止，已印发了七期通报、十五期简报。

三是网络管理到单位。公安厅审计处充分利用公安内网，开辟“审计整改年”活动专栏，宣传审计整改精神和各地整改经验；在此基础上，创新自主研发了简便易行的“审计整改督办系统”，将全省需整改的988个问题全部录入到系统中，通过系统实时、动态管理，全面直观地掌握所有问题整改情况。为保证“审计整改督办系统”信息录入的准确性，公安厅审计处专门举办“全省公安审计整改督办系统”应用远程培训班；每周组织人员开展地毯式网上巡查纠错，防止各级公安审计部门为追求整改数量而忽视整改质量。

四是短信提示到单位。“××领导，您好！贵单位×个问题需要整改，请按要求认真落实，厅审计处温馨提示。”这是公安厅审计处向需整改单位一把手发送短信提示的内容之一。短短数语，既达到了提醒有关单位按时保质认真整改的目的，又加强了彼此之间的沟通，缩短了审计处与被整改单位之间的距离。

五是跟踪问效到单位。公安厅审计整改工作领导小组派出五个督导组，适时赴各地现场督导审计整改情况，就督导发现的问题专门召开现场会和视频会。公安厅审计处采取电话提醒、上门服务等方式跟踪有整改任务的单位。对于在整改期限内没有完成“规定动作”的单位，对其主要负责人启动“约谈问责制”。

二、找准难点，借助外力，齐心协力共同推进审计整改工作

在全部审计整改问题中，有一些问题属于地方财政保障不到位或体制机制原因造成的，仅仅依靠公安机关自身无法整改到位。江西省委政法委书记、公安厅厅长舒晓琴同志批示：“审计调查中发现的属于地方政府和财政部门的问题，整理移送政法经费保障组；属于公安内部管理使用中的问题，逐一下发整改督办单，限期整改并跟踪问效。”公安厅审计处将公安机关不能解决的问题，主动上门向江西省委政法委汇报，并提交了《关于建立和完善公安机关政法转移支付资金检查督办机制的报告》。江西省委政法委高度重视，同意建立健全联合检查工作机制和完善审计问题督办整改方法。为了配合全省公安机关审计整改工作，江西省委政法委联合省财政厅、省审计厅和省监察厅了《关于对全省政法机关经费保障情况开展督察的通知》，组织7个督察组分赴全省各县，重点核查、督办公安厅移送问题。省公安厅分管账财工作的副厅长梁小康同志亲自带领人员参加省委政法委组织的督导工作。梁副厅长在督导过程中强调“两个一分不能少”，即上级转移支付的资金一分不能少；本级财政应保障的资金一分不能少。在江西省委政法委的检查督导下，截至目前为止，各个移送问题正在得到逐步解决。例如，审计整改问题中包括三个县级公安机关存在当地财政拨付2009年度中央转移支付资金不到位、不及时问题，经过督导，三地均已全部解决到位。

三、研发软件，创新方法，应用科技手段建立审计整改长效机制

公安厅审计处创新自主研发了“江西省公安机关审计整改督办管理软件”。该软件依托公安内网，遵循“一次录入、一键操作、一网总揽”的设计原理，以审计发现问题和整改情况作为主要录入信息，《审计意见》以及完成整改的凭据作为主要录入附件，同时兼顾审计项目、审计类别、被审计单位等多种要素。该系统不仅是促进“审计整改年”活动扎实开展的有效抓手，更是推动全省各级公安审计部门提高审计质量、注重审计意见执行的一项长效机制。“审计整改年”活动结束后，全省各级公安审计部门从2012年1月起需将2011年度审计发现的问题、审计意见执行情况及时录入本系统，审计发现问题的能力和审计意见执行情况将作为全省各级公安审计部门工作考评的重要参考依据。系统使用范围涵盖全省各级公安审计部门，分别按省、市、县三级权限设置用户。通过使用该软件，全省各级公安审计部门可以加强纵向管理、横向比较，全省公安审计工作形成了“你追我赶”的良好氛围。

四、以整改助审计，以审计促整改，江西公安审计工作亮点纷呈

（一）全省公安审计整改工作成效显著

截至目前为止，江西省公安审计整改工作进展顺利，全部问题988个，已整改953个，整改完成率达96.46%；通过三次网上巡查，整改合格率从36.4%提高至目前的97.32%。下图反映了截至目前为止全省公安审计整改活动达到的效果：

附：全省审计整改督办系统网络截频图

各地、各部门在审计整改过程中注重审计整改实效，针对存在的薄弱环节和管理漏洞，建立健全了一批规章制度。公安厅监管总队借助审计整改契机完善公安监管场所各项财务管理制度。抚州市公安局出台了《抚州市公安机关审计工作暂行规定》和《抚州市公安审计工作流程》，初步形成了抚州市公安审计工作标准化管理体系。南昌市公安局自“审计整改年”活动开展以来，新建制度73个；吉安市公安局建立规章制度11个；武宁县公安局建立规章制度5个，其中包括对县局各部门开展定期审计制度。据统计审计整改活动开展以来，各地累计建立健全规章制度117个。

（二）全省公安审计工作基础进一步夯实

审计机构和审计人员是开展公安审计工作的组织保障。在省公安厅党委的高位推动下，江西省、市两级公安机关审计机构设置齐全、专业人员配备到位。全省十一个设区、市公安局全部设立了正科级审计机构，统称审计处。公安厅审计处内设两个正科级机构，实有10名专职审计人员，涉及审计、财务、计算机、法律、工民建等专业，平均年龄34岁。抚州、萍乡两市公安局审计处分别配备了副县级一把手；九江市公安局党委在地方换届、人事冻结的大环境下，选配一名副处长主持审计处工作，并为审计处优先配备了5名专业审计人员，还将配备1名工民建专业人员，正在挑选过程中。宜春市公安局党委在目前4名审计人员的基础上，决定再增配2名懂信息技术、财务管理的审计人员。据统计，“审计整改年”活动开展以来，省、市两级公安机关新增专业审计人员26人，增幅达216%。对于县级公安机关审计机构人员问题，江西省公安厅党委也作出了明确指示，要求在规定时间内达到公安部标准。

（三）全省公安审计工作整体推进

全省各级公安审计部门以审计整改工作为载体，紧密结合日常审计工作，以整改助审计，以审计促整改，全省公安审计整改工作和日常公安审计工作整体推进。据统计，今年1至8月，全省公安审计部门共开展审计项目446个，审计金额约15亿元，其中公安厅审计处累计审计项目58个，审计资金约7.9亿元。为了加强县级公安审计工作，公安厅审计处在今年7月确立了三个县级工作联系点（瑞金市公安局审计室、丰城市公安局审计股、鄱阳县公安局审计科），直接指导联系点开展县级公安审计工作。鄱阳县公安局在省厅推动下，出台了《鄱阳县公安局2011年审计工作意见》。宜春市公安局逐步建立起“领导重视，机构健全，上下协调，内控严密”的内审工作机制，建立了“宜春市公安局审计人员信息库”。萍乡市公安局审计处开展基建审计取得好成绩，上半年为局机关节约了近600万元。

安全审计机制篇7

1利用网络及安全治理的漏洞窥探用户口令或电子帐号，冒充合法用户作案，篡改磁性介质记录窃取资产。

2利用网络远距离窃取企业的商业秘密以换取钱财，或利用网络传播计算机病毒以破坏企业的信息系统。

3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”，越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单，就有可能将公私财产的所有权进行转移。

计算机网络带来会计系统的开放与数据共享，而开放与共享的基础则是安全。企业一方面通过网络开放自己，向全世界推销自己的形象和产品，实现电子贸易、电子信息交换，但也需要守住自己的商业秘密、治理秘密和财务秘密，而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境，抵抗来自系统内外的各种干扰和威协，做到该开放的放开共享，该封闭的要让黑客无奈。

一、网络安全审计及基本要素

安全审计是一个新概念，它指由专业审计人员根据有关的法律法规、财产所有者的委托和治理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并作出相应评价。

没有网络安全，就没有网络世界。任何一个建立网络环境计算机会计系统的机构，都会对系统的安全提出要求，在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢？这是一般人心中无数也最不放心的问题。应该肯定，一个系统运行的安全与否，不能单从双方当事人的判定作出结论，而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识，而且具有丰富的安全审计经验，只有他们才能作出客观、公正、公平和中立的评价。

安全审计涉及四个基本要素：控制目标、安全漏洞、控制措施和控制测试。其中，控制目标是指企业根据详细的计算机应用，结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节，容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较，确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效，评价企业安全措施的可依赖程度。显然，安全审计作为一个专门的审计项目，要求审计人员必须具有较强的专业技术知识与技能。

安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危，更涉及到企业的经济利益。因此，我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中，国家安全审计机关应依据国家法律，非凡是针对计算机网络本身的各种安全技术要求，对广域网上企业的信息安全实施年审制。另外，应该发展社会中介机构，对计算机网络环境的安全提供审计服务，它与会计师事务所、律师事务所一样，是社会对企业的计算机网络系统的安全作出评价的机构。当企业治理当局权衡网络系统所带来的潜在损失时，他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家，他们对网络的安全控制作出评价，帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判定。

二、网络安全审计的程序安全

审计程序是安全监督活动的详细规程，它规定安全审计工作的详细内容、时间安排、详细的审计方法和手段。与其它审计一样，安全审计主要包括三个阶段：审计预备阶段、实施阶段以及终结阶段。

安全审计预备阶段需要了解审计对象的详细情况、安全目标、企业的制度、结构、一般控制和应用控制情况，并对安全审计工作制订出详细的工作计划。在这一阶段，审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。

1了解企业网络的基本情况。例如，应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网（VPN）？

2了解企业的安全控制目标。安全控制目标一般包括三个方面：第一，保证系统的运转正常，数据的可靠完整；第二，保障数据的有效备份与系统的恢复能力；第三，对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及治理当局的要求而有所差异。

3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划，了解所有有关的控制对上述的控制目标的实现情况，系统还有哪些潜在的漏洞。

安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试，以明确企业是否为安全采取了适当的控制措施，这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品，如网络安全测试产品、网络监视产品、安全审计分析器。

安全审计终结阶段应对企业现存的安全控制系统作出评价，并提出改进和完善的方法和其他意见。安全审计终结的评价，按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级：危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患（如缺乏合理的数据备份机制与有效的病毒防范措施）和系统的盲目开放性（如有意和无意用户常常能闯入系统，对系统数据进行查阅或删改）。不安全是指系统尚存在一些较常见的问题和漏洞，如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标，其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等，其他小问题发生时不影响系统运行，也不会造成大的损失，且具有随时发现问题并纠正的能力。

三、网络安全审计的主要测试

测试是安全审计实施阶段的主要任务，一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。

下面是对网络环境会计信息系统的主要测试。

1数据通讯的控制测试数据通讯控制的总目标是数据通道的安全与完整。详细说，能发现和纠正设备的失灵，避免数据丢失或失真，能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标，审计人员应执行以下控制测试：（1）抽取一组会计数据进行传输，检查由于线路噪声所导致数据失真的可能性。（2）检查有关的数据通讯记录，证实所有的数据接收是有序及正确的。（3）通过假设系统外一个非授权的进入请求，测试通讯回叫技术的运行情况。（4）检查密钥治理和口令控制程序，确认口令文件是否加密、密钥存放地点是否安全。（5）发送一测试信息测试加密过程，检查信息通道上在各不同点上信息的内容。（6）检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障，其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如，防火墙应具有拒绝任何不正确的申请者的过滤能力，只有授权用户才能通过防火墙访问会计数据。

2硬件系统的控制测试硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括：实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾害恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。

3软件系统的控制测试软件系统包括系统软件和应用软件，其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为，保障系统正常运行。对软件系统的测试主要包括：（1）检查软件产品是否从正当途径购买，审计人员应对购买订单进行抽样审查。（2）检查防治病毒措施，是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。（3）证实只有授权的软件才安装到系统里。

4数据资源的控制测试数据控制目标包括两方面：一是数据备份，为恢复被丢失、损坏或扰的数据，系统应有足够备份；二是个人应当经授权限制性地存取所需的数据，未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能，以及在日常工作中是否真正实施了这些功能。根据系统的授权表，检查存取控制的有效性。

5系统安全产品的测试随着网络系统安全的日益重要，各种用于保障网络安全的软、硬件产品应运而生，如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全，安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如，检查安全产品是否经过认证机构或公安部部门的认征，产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。

四、应该建立内部安全审计制度

安全审计机制篇8

1 利用网络及安全管理的漏洞窥探用户口令或帐号，冒充合法用户作案，篡改磁性介质记录窃取资产。

2 利用网络远距离窃取的商业秘密以换取钱财，或利用网络传播计算机病毒以破坏企业的信息系统。

3 建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”，越来越多的业务的原始记录以电子凭证的方式

存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单，就有可能将公私财产的所有权进行转移。

计算机网络带来会计系统的开放与数据共享，而开放与共享的基础则是安全。企业一方面通过网络开放自己，向全世界推销自己的形象和产品，实现电子贸易、电子信息交换，但也需要守住自己的商业秘密、管理秘密和财务秘密，而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境，抵抗来自系统内外的各种干扰和威协，做到该开放的放开共享，该封闭的要让黑客无奈。

一、网络安全审计及基本要素

安全审计是一个新概念，它指由专业审计人员根据有关的法规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并作出相应评价。

没有网络安全，就没有网络世界。任何一个建立网络环境计算机会计系统的机构，都会对系统的安全提出要求，在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢？这是一般人心中无数也最不放心的。应该肯定，一个系统运行的安全与否，不能单从双方当事人的判断作出结论，而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识，而且具有丰富的安全审计经验，只有他们才能作出客观、公正、公平和中立的评价。

安全审计涉及四个基本要素：控制目标、安全漏洞、控制措施和控制测试。其中，控制目标是指企业根据具体的计算机应用，结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节，容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较，确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效，评价企业安全措施的可依赖程度。显然，安全审计作为一个专门的审计项目，要求审计人员必须具有较强的专业技术知识与技能。

安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危，更涉及到企业的经济利益。因此，我们认为必须迅速建立起国家、、企业三位一体的安全审计体系。其中，国家安全审计机关应依据国家法律，特别是针对计算机网络本身的各种安全技术要求，对广域网上企业的信息安全实施年审制。另外，应该社会中介机构，对计算机网络环境的安全提供审计服务，它与会计师事务所、律师事务所一样，是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时，他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家，他们对网络的安全控制作出评价，帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。

二、网络安全审计的程序

安全审计程序是安全监督活动的具体规程，它规定安全审计工作的具体、时间安排、具体的审计方法和手段。与其它审计一样，安全审计主要包括三个阶段：审计准备阶段、实施阶段以及终结阶段。

安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况，并对安全审计工作制订出具体的工作计划。在这一阶段，审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。

1 了解企业网络的基本情况。例如，应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网（VPN）？

2 了解企业的安全控制目标。安全控制目标一般包括三个方面：第一，保证系统的运转正常，数据的可靠完整；第二，保障数据的有效备份与系统的恢复能力；第三，对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。

3 了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得企业对网络环境的安全保密计划，了解所有有关的控制对上述的控制目标的实现情况，系统还有哪些潜在的漏洞。

安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试，以明确企业是否为安全采取了适当的控制措施，这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品，如网络安全测试产品、网络监视产品、安全审计器。

安全审计终结阶段应对企业现存的安全控制系统作出评价，并提出改进和完善的方法和其他意见。安全审计终结的评价，按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级：危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患（如缺乏合理的数据备份机制与有效的病毒防范措施）和系统的盲目开放性（如有意和无意用户经常能闯入系统，对系统数据进行查阅或删改）。不安全是指系统尚存在一些较常见的问题和漏洞，如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标，其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等，其他小问题发生时不影响系统运行，也不会造成大的损失，且具有随时发现问题并纠正的能力。

三、安全审计的主要测试

测试是安全审计实施阶段的主要任务，一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。

下面是对网络环境信息系统的主要测试。

1 数据通讯的控制测试

数据通讯控制的总目标是数据通道的安全与完整。具体说，能发现和纠正设备的失灵，避免数据丢失或失真，能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标，审计人员应执行以下控制测试：（1）抽取一组会计数据进行传输，检查由于线路噪声所导致数据失真的可能性。（2）检查有关的数据通讯记录，证实所有的数据接收是有序及正确的。（3）通过假设系统外一个非授权的进入请求，测试通讯回叫技术的运行情况。（4）检查密钥管理和口令控制程序，确认口令文件是否加密、密钥存放地点是否安全。（5）发送一测试信息测试加密过程，检查信息通道上在各不同点上信息的。（6）检查防火墙是否控制有效。防火墙的作用是在Internet与内部网之间建立一道屏障，其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如，防火墙应具有拒绝任何不准确的申请者的过滤能力，只有授权用户才能通过防火墙访问会计数据。

2 硬件系统的控制测试

硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括：实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。

3 软件系统的控制测试

软件系统包括系统软件和软件，其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、机黑客、病毒感染、具有特权职员的各种破坏行为，保障系统正常运行。对软件系统的测试主要包括：（1）检查软件产品是否从正当途径购买，审计人员应对购买订单进行抽样审查。（2）检查防治病毒措施，是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。（3）证实只有授权的软件才安装到系统里。

4 数据资源的控制测试

数据控制目标包括两方面：一是数据备份，为恢复被丢失、损坏或被干扰的数据，系统应有足够备份；二是个人应当经授权限制性地存取所需的数据，未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能，以及在日常工作中是否真正实施了这些功能。根据系统的授权表，检查存取控制的有效性。

5 系统安全产品的测试

随着网络系统安全的日益重要，各种用于保障网络安全的软、硬件产品应运而生，如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断的安全产品市场上购买各种产品以保障系统的安全，安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如，检查安全产品是否经过认证机构或公安部部门的认征，产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。

四、应该建立内部安全审计制度

推荐范文