安全审计管理范例

[摘要]2019年，德勤企业管理咨询有限公司（以下简称德勤咨询）官网《全球风险管理调查（第11版）》（GlobalRiskManagementSurvey11th），再次强调了网络安全的重要性。随着互联网时代的深入发展，互联网以其方便、快捷、及时的特点在各个领域应用开来，但“科技是把双刃剑”，互联网在带来诸多益处的同时，也不可避免地带来一些网络安全问题。

[关键词]网络安全;内部审计;风险管理;启示

为有效应对不断升级的全球网络安全风险，美国、澳大利亚审计署在网络安全审计方面进行了研究和探索，并形成一套行之有效的审计方法。德勤咨询调查显示，67%的受访者认为网络安全将成为影响业务开展最主要的三种风险之一，但是只有50%的受访者对网络安全持乐观态度。为此，笔者编译了美国、澳大利亚审计署、安永公司和德勤咨询的部分审计报告，总结了其关于网络安全审计的主要做法，并结合中国人民银行（以下简称人民银行）网络安全现状，提出加强和改进人民银行网络安全审计工作的建议。

一、主要观点综述

（一）网络安全的重要性日益增加

德勤咨询认为，对于机构而言，网络安全风险管理在防止破坏性攻击、经济损失、来自客户的网络安全风险、敏感数据的丢失及恶意攻击等方面作用较大。当面对来自国家行动方的威胁或来自第三方的安全风险时，德勤咨询指出，机构的风险管理制度缺乏有效性,目前具有挑战性的问题是如何保持超前于不断变换的业务需求(如移动社交、云计算)和有效应对来自高级黑客的威胁。

（二）解决数据风险和IT系统风险是首要任务

摘要：基于对基层央行信息安全审计难点及对策的研究，首先，阐述基层央行信息安全审计主要内容，包括计算机场地审计、业务网资源与结构的审计。然后，分析基层央行信息安全审计中制度落实不到位、硬件投入不足等难点工作。最后，为保证基层央行信息安全审计工作顺利展开，给出落实规章制度、加强硬件投入力度、构建运维平台、制定应急预案、加强风险识别工作、做好教育培训工作等有效措施。

关键词：基层央行；信息安全审计；计算机

近年来，基层央行更加重视信息安全管理工，所以针对信息安全管理展开一系列信息安全审计工作。通过对相应设备设施以及计算机场地等有效性与安全性的审查，提高基层央行相关工作人员的信息安全意识，提高基层央行的管理水平与管理效率。虽然基层央行在展开信息安全审计工作时，能够从各个方面入手，但是在其中仍然存在问题与工作难点，对信息安全审计造成一定影响。所以，本文见针对基层央行信息安全审计难点及对策等内容进行相应阐述。

1.基层央行信息安全审计主要内容

1.1计算机场地审计

基层央行的信息安全审计工作的主要内容包括对计算机场地的管理，检查计算机场地是否设置在本行的办公楼当中，计算机场地所在位置以及所在楼层设计的科学性与合理性是否得到保障；检查计算机场地墙立面、顶棚是否存在渗水现象与漏水现象，场地结构与计算机场地装修所使用材料是否存在一定的防火性，防火性能够满足正常标准；计算机场地中的门、窗防护性能是否良好，并且检查在门、窗位置是否堆放易燃易爆物品或者其他物品，物品堆放是否存在风险；关键的设备设施是否做好相应的物理接触控制工作。

1.2业务网资源与结构的审计

摘要：企业网络信息安全关系着企业发展的命脉，而信息安全审计是企业信息安全的保护盾。防止企业内部人员对机密文件的窃取和泄漏，以及员工在互联网上访问和非法内容，进而保障企业的合法利益。信息安全审计帮助企业更加有效地管理自身软硬件安金。针对安全审计系统的发展，本文研究分析了不同匹配技术的算法，为系统的开发和应用提供了技术方向。

关键词：信息安全；审计技术；发展

随着互联网的蓬勃发展，世界已经进入了网络信息时代，网络已经成为完成工作不可或缺的方式之一。并且众多的企业、银行、政府份份将核心业务基于网络来实现，大数据为我们带来便利的同时，也带来许多隐患。不断有企业信息被泄漏，不断有企业的财产受到侵害。一方面企业需要加强对员工的管理机制，另一方面企业需要建立必要的防御措施。而信息安全审计技术的发展和应用为当今的企业信息安全提供保障。

1信息安全审计的定义

信息安全审计是针对网络用户行为进行的管理，揭示信息的安全风险，改进信息安全的现状，满足信息安全的合规要求。运用网络数据包获取、分析、阻断等技术实现对网络信息传插的有效监管，它能对网络动态进行监控，记录网络中发生的一切，寻找违法和违规的行为，为用户提供事后取证依据。防火墙就好比保护内部系统的城墙，而信息安全审计就是巡警，它一直在城墙内巡逻检查，监视着城堡内发生的一切，并会对突发状况做及时处理。

2信息安全审计的作用

伴随着信息技术的发展，许多部门和单位对信息系统的依赖性日益严重，一旦信息系统出现问题，就会对单位部门造成较大损失。同时，许多单位的信息安全系统都会面临来自内部或外部的攻击，这些攻击都是为了窃取信息，如果信息安全系统的不完善，就容易造成各种信息泄漏问题。在信息安全问题中，很多是由于内部员工违规操作导致的，一部分是内部员工有目的地窃取信息资源，用以谋取个人利益，而另一部分是由于内部员工不小心的违规操作导致信息泄漏，这些操作都会影响系统的安全运行，会给企业造成巨大损失。信息安全审计与一般的审计相比，信息安全审计不仅增强了信息的处理功能，而且全面提升了审计深度性和针对性。但是目前的网络安全仍旧注重对外部入侵的防护，而忽略了内部防护措施的构建，很多企业是通过建立防火墙来抵御外部入侵，这样容易造成内部资料的丢失。因此，信息安全审计应当从企业内部入手，解决内部人员违规操作，规范内部人员的上网行为，提高网络系统的安全性。同时，良好的安全审计并非简单的“日志记录”，而是通过分布式的安全审计，对操作系统和网络系统进行监控，对各种未授权的活动进行阻断和报警，从而防止内部网络信息的泄漏和非法传插。同时信息安全审计系统能确定问题和锁定攻击源，为调查取证提供必要资料。

1定级的标准及其依据

根据《基本要求》的规定，二级要求的系统防护能力为：信息系统具有抵御一般攻击的能力，能防范常见计算机病毒和恶意代码危害的能力，系统遭受破坏后，具有恢复系统主要功能的能力。数据恢复的能力要求为：系统具有一定的数据备份功能和设备冗余，在遭受破坏后能够在有限的时间内恢复部分功能。按照二级的要求，一般情况下分为技术层面和管理层面的两个层面对信息系统安全进行全面衡量，技术层面主要针对机房的物理条件、安全审计、入侵防范、边界、主机安全审计、主机资源控制、应用资源控制、应用安全审计、通信完整性和数据保密性等多个控制点进行测评，而管理层面主要针对管理制度评审修订、安全管理机构的审核和检查、人员安全管理、系统运维管理、应急预案等方面进行综合评测。其中技术类安全要求按照其保护的侧重点不同分为业务信息安全类（S类）、系统服务安全类（A类）、通用安全防护类（G类）三类。水利信息系统通常以S和G类防护为主，既关注保护业务信息的安全性，又关注保护系统的连续可用性。

2水利科研院所信息安全现状分析

水利科研院所信息系统结构相对简单，在管理制度上基本建立了机房管控制度、人员安全管理制度等，技术上也都基本达到了一级防护的要求。下面以某水利科研单位为例分析。某水利科研单位主机房选址为大楼低层(3层以下)，且不临街。机房大门为门禁电磁防盗门，机房内安装多部监控探头。机房内部划分为多个独立功能区，每个功能区均安装门禁隔离。机房铺设防静电地板，且已与大楼防雷接地连接。机房内按照面积匹配自动气体消防，能够对火灾发生进行自动报警，人工干预灭火。机房内已安装温度湿度监控探头，对机房内温湿度自动监控并具有报警功能，机房配备较大功率UPS电源，能够保障关键业务系统在断电后2小时正常工作。机房采用通信线路上走线，动力电路下走线方式。以上物理条件均满足二级要求。网络拓扑结构分为外联区、对外服务区、业务处理区和接入区4大板块，对外服务区部署有VPN网关，外部人员可通过VPN网关进入加密SSL通道访问业务处理区，接入区用户通过认证网关访问互联网。整个网络系统未部署入侵检测（IDS）系统、非法外联检测系统、网络安全审计系统以及流量控制系统。由上述拓扑结构可以看出，现有的安全防护手段可基本保障信息网络系统的安全，但按照二级要求，系统内缺少IDS系统、网络安全审计系统和非法外联检测系统，且没有独立的数据备份区域，给整个信息网安全带来一定的隐患。新的网络系统在外联区边界防火墙下接入了入侵检测系统（IDS），新规划了独立的数据备份区域，在核心交换机上部署了网络审计系统，并在接入区安装了非法外联检测系统。形成了较为完整的信息网络安全防护体系。

3信息系统安全等级测评的内容

3.1信息系统等级保护的总体规划

信息系统从规划到建立是一个复杂漫长的过程，需要做好规划。一般情况下,信息系统的安全规划分为计算机系统、边界区域、通信系统的安全设计。相应的技术测评工作也主要围绕这3个模块展开。

第一篇：科技计划管理机制研究

1德国科技计划体系

长期以来，德国联邦政府主要通过制定和实施重点科技领域的科技计划实现对科技的引领、指导与宏观管理;德国科学基金会(DFG)通过资助科学家自由探索研究、特殊领域研究、重大研究计划以及青年人才和团队建设来促进基础研究和前沿科学研究的发展。为应对竞争日益激烈的全球经济社会形势，2006年，德国联邦政府出台了第一个全国性、跨部门和跨领域的科技发展战略———“高技术战略”，以此为抓手，聚焦尖端技术未来重点发展领域，以提升国家整体创新能力，确保在未来重要市场的领先地位。随着气候变化、人口结构转变、疾病传播、原材料紧缺等全球性挑战的日益严峻，联邦政府强调技术变革应为人类利益服务，在2010年将“高技术战略”的重点从原先的17个技术领域的开发调整为面向气候/能源、健康/营养、交通、安全和通信5大需求领域的创新。2014年，联邦政府再次调整“高技术战略”，使其更加注重技术创新与社会需求的结合，并将创新范围扩展到社会创新。目前，“高技术战略”确定了6个重点领域的科技计划，促进技术转移和知识产权保护、扶持中小企业研发等政策引导类科技计划以及10个针对重大需求、需提出系统解决方案的专项计划。目前，德国形成了由领域科技计划、政策引导类科技计划、专项科技计划和国家科学基金计划四类计划为主体的、层次清晰、重点突出的科技计划体系。德国联邦科技计划由联邦各部门按照职能分工进行组织实施与管理，其中，联邦教研部(BMBF)是联邦政府最主要的科技主管部门，掌管近60%的联邦政府研发经费，主要负责基础研究、关键技术、生命科学和可持续发展研究领域的科技计划。目前由联邦教研部负责的科技计划主要有“可持续发展能源研究框架计划”、“健康研究框架计划”、“原材料经济战略计划”和“安全研究计划”等。联邦经济与能源部(BMWi，原联邦经济与技术部)是联邦政府第二大科技主管部门，主要负责创新政策和产业相关研究，管理能源和航空领域的科学研究以及面向中小企业的科技计划。目前由联邦经济与能源部负责的科技计划包括“第6能源研究计划”、“电动汽车信息通讯技术资助计划”、“联邦政府航空战略”、“中小企业创新促进计划”以及“风险资本补助计划”等。联邦其它有关部委，如联邦农业部、交通部、环境部等管理与本部门职能相关的科技计划。目前由农业部负责的科技计划主要有“生物经济政治战略”、“可再生资源替代石油”、交通部负责“可持续交通计划”、环境部负责“气候保护2020行动计划”等科技计划。除部门各自负责的科技计划外，联邦政府跨部委科技计划采用联合管理、联合资助的组织实施方式，参与部门按领域分工管理计划中某一部分，主管该计划的部门负责组织协调。德国联邦16个州政府在科技事业方面均享有自主管理权，可组织实施针对本州的科技创新计划，也可在协议基础上与联邦政府共同承担对科技计划的资助，例如“精英大学计划”、“高等教育公约”等。各州的科技计划由各州科技主管部门负责;对于联邦和州共同资助的科技计划，德国科学联席会(GWK)负责协商、确定双方资助比例和组织实施方式。

2德国科技计划预算与管理机制

2．1德国科技计划的预算机制

德国科技计划预算纳入政府财政预算，经费经议会批准通过，议会批准的预算经费由财政部拨付给各部门。具体而言，德国联邦科技预算的流程可分为三个阶段，体现了自下而上、上下协调及独立监管的特点:(1)联邦部门预算草案编制阶段。由财政部下达预算编制指导与要求各部门在3月1日前将本部门科技支出需求上报财政部财政部第一次汇总各部门支出需求形成联邦科技预算草案。(2)审计与修改阶段。财政部将联邦预算草案提交联邦审计局审计局对预算草案的合规性和效益性进行审计财政部与各部门协商对审计后的预算草案进行修改财政部第二次形成联邦预算草案，待提交联邦政府。(3)联邦预算案的审议与决议。财政部向联邦政府提交预案算草案联邦内阁通过后，议会对预算草案进行审议(包括“三读”审议和两院通过)议会批准预算案财政部向各联邦部门拨付预算款。

2．2德国科技计划的委托管理机制

1智能电网网络安全面临的威胁

1.1信息通信技术的广泛应用将网络信息安全问题传导到电网系统

大数据、云计算、物联网、移动互联网、宽带无线等信息通信技术的普遍应用，加大了智能电网遭受病毒、木马、系统漏洞、拒绝服务等安全攻击的几率，这也给传统以物理防护为主的电力信息安全防护体系带来了挑战。尤其是美国大面积网络瘫痪事件，为关键信息基础设施的安全防护提出了更高的要求。

1.2智能电网双向互动模式增加了信息安全风险

随着物联网、互联网等新一代信息技术与智能电网的有效融合，促使传统电网逐步向智能电网双向互动服务模式转型，用户侧能够借助智能终端及时掌握与了解自己的用电情况以及供电能力、停电信息等内容，从而对用电时间进行合理安排。但在智能电网给电力运行及控制带来便利的同时，也使得无线公网的接入增加了原有电网的信息安全风险。此时，攻击者就会攻击电网业务逻辑等环节的漏洞，并且，随着时间的递增攻击方式也会更加趋于多样化、定制化以及组织化，这种具有较强潜伏性及危害性的网络威胁，直接影响着智能电网的正常运行与电力服务。

1.3海量异构终端加大了安全接入风险

与传统电网相比新型电网的异构智能终端多样化、网络安全防护边界泛在化、业务安全接入需求多样化，这也直接增加了用电侧终端信息泄露、非法接入以及失控等一系列安全风险，加大了异构智能终端的安全防护难度，致使异构终端的漏洞挖掘、完整性保护、机密性保护以及攻击防御难度显著增加，同时对不同种类的智能终端以及移动终端的接入方式与安全防护提出了更加严格的要求。在对智能电网进行安全检查时发现，很多电力信息系统终端由于弱口令的安全脆弱性、远程服务防护不足等，使得终端安全防护存在一定的不足之处。

1体系模型

信息安全体系模型由基础安全设施、信息安全管理、安全技术支撑和安全保障服务四个层面构成，为事后数据处理系统提供全面的安全体系保障。•基础安全设施：基础安全设施为数据处理系统信息安全体系建立一个可相互信任的环境，是其他安全技术实施的基础。基础安全设施以PKI（公钥基础设施）／PMI（特权管理基础设施）／KMI（密钥基础设施）技术为核心，实现证书认证、权限管理、密钥管理、可信时间戳、密码服务等功能。•信息安全管理：在数据处理系统信息安全体系中，管理占有相当大的比重。信息安全管理包括策略管理、组织管理、制度管理、网络管理、设备管理、系统管理、病毒管理、介质管理、安全审计管理等功能。•安全技术支撑：利用各类安全产品和技术建立起事后数据处理安全技术支撑平台。安全技术支撑包括物理安全、运行安全和信息安全。物理安全包括环境安全、设备安全和介质安全；运行安全采用防病毒、入侵检测和代码防护等成熟技术对网络进行防护；信息安全包括访问控制、信息加密、电磁泄漏发射防护、安全审计、数据库安全等功能。•安全保障服务：安全保障服务确保在出现自然灾害、系统崩溃、网络攻击或硬件故障下，事后数据处理系统得以快速响应和恢复，并定期进行安全培训服务，建立安全可靠的服务保障机制。

2体系划分

2.1基础安全设施

事后数据处理系统基础安全设施是以PKI／PMI／KMI技术为基础而构建的证书认证、权限管理、密钥管理和密码服务等基础设施。基础安全设施提供的技术支撑适用于整个事后数据处理系统，具有通用性。基础安全设施的技术运行和管理具有相对的独立性。1）证书认证证书认证是对数字证书进行全过程的安全管理。由证书签发、密钥管理、证书管理、本地注册、证书／证书撤销列表查询、远程注册等部分构成。2）权限管理权限管理是信息安全体系基础安全设施的重要组成部分。它采用基于角色的访问控制技术，通过分级的、自上而下的权限管理职能的划分和委派，建立统一的特权管理基础设施，在统一的授权管理策略的指导下实现分布式的权限管理。权限管理能够按照统一的策略实现层次化的信息资源结构和关系的描述和管理，提供统一的、基于角色和用户组的授权管理，对授权管理和访问控制决策策略进行统一的描述、管理和实施。建立统一的权限管理，不仅能够解决面向单独业务系统或软件平台设计的权限管理机制带来的权限定义和划分不统一、各访问控制点安全策略不一致、管理操作冗余、管理复杂等问题，还能够提高授权的可管理性，降低授权管理的复杂度和管理成本，方便应用系统的开发，提高整个系统的安全性和可用性。3）密钥管理密钥管理是指密钥管理基础设施，为基础安全设施提供支持，并提供证书密钥的生成、存储、认证、分发、查询、注销、归档及恢复等管理服务。密钥管理与证书认证服务按照“统一规划、同步建设、独立设置、分别管理、有机结合”的原则进行建设和管理，由指定专人维护管理。密钥管理与证书认证是分别设立，各自管理，紧密联系，共同组成一个完整的数字证书认证系统。密钥管理主要为证书认证提供用户需要的加密用的公／私密钥对，并为用户提供密钥恢复服务。4）密码服务密码服务要构建一个相对独立的、可信的计算环境，进行安全密码算法处理。根据系统规模，可采用集中式或分布式计算技术，系统性能动态可扩展。事后数据处理系统采用集中式计算技术。

2.2安全技术支撑

安全技术支撑是利用各类安全产品和技术建立起安全技术支撑平台。安全技术支撑包括物理安全、运行安全和信息安全。物理安全包括环境安全、设备安全和介质安全；运行安全包括防病毒、入侵检测和代码防护等；信息安全包括访问控制、信息加密、电磁泄漏发射防护、安全审计、数据库安全等功能。

摘要：计算机信息管理技术在网络安全中的有效应用对广大用户以及社会整体发展有重要的作用，笔者对该问题进行探究。首先概述了计算机信息管理技术与网络安全的内容；其次指出网络安全及计算机信息管理技术在网络安全中的应用现状；再次分析应用中存在的问题，即信息安全性检测能力欠缺、处理模式固定不灵活以及信息访问安全性控制不当；最后提出利用计算机信息管理技术加强网络安全防御的措施。

关键词：计算机；信息管理技术；网络安全

随着计算机的普及以及网络覆盖率的提升，计算机信息管理技术的应用范围也日渐扩大，尤其是在网络安全方面起到重要的作用。在科技的飞速发展下，人们对互联网网络安全的要求也有较大的提升，因而计算机信息管理技术也应随之变化以满足使用者的需求。因此，本文对该问题进行探析，提出如何利用计算机信息管理技术来加强网络安全防御，以期为相关人员提供一定的参考。

1计算机信息管理技术与网络安全概述

1.1计算机信息管理技术

计算机信息管理技术通常是指管理基础性的网络信息的技术，如对IP地址、用户个人的账号密码等的管理。随着科技的发展，计算机信息管理技术的内容逐渐增多、日益完善，这些使得计算机信息管理除却其固有的性能外，又增添了一些新的更加适合使用者使用的新特性，如动态适应性等[1]。计算机信息管理技术实际上是多个技术领域的交叉部分，包括计算机技术领域、互联网技术领域、电子技术领域等，这些技术中与信息管理相关的，能够对网络信息起到管理作用的技术在交叉融合之后形成了计算机信息管理技术。

1.2网络安全