前言:中文期刊网精心挑选了信息安全审计范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全审计范文1
随着互联网的发展,网络逐渐成为完成业务工作不可或缺的手段,很多政府、银行、企业纷纷将核心业务基于网络来实现。然而,网络的不断普及带来了大量的安全问题。目前全球数据泄密事件53.7%的是由于人为疏忽造成,15.8%是由内部恶意窃密,23.3%是由于黑客等外部攻击行为造成,7.2%是由于意外造成的数据丢失。根据IDC数据显示,内部泄密事件从46%上升到了67%,而病毒入侵从20%,下降到5%。
2.1信息安全审计定义
信息安全审计是针对网络用户行为进行管理[1],综合运用网络数据包获取、协议分析、信息处理、不良流量阻断等技术实现对网络信息内容传播的有效监管。它能够帮助用户对网络进行动态实时监控,记录网络中发生的一切,寻找非法和违规行为,为用户提供事后取证手段。
2.2信息安全审计的作用
跟踪检测。以旁路、透明的方式实时对进出内部网络的电子邮件和传输信息等进行数据截取和还原,并可根据用户需求对通信内容进行审计,提供敏感关键词检索和标记功能,从而防止内部网络敏感信息的泄漏以及非法信息的传播。取证监控。还原系统的相关协议,完整记录各种信息的起始地址和使用者,识别谁访问了系统,访问时间,确定是否有网络攻击的情况,确定问题和攻击源,为调查取证提供第一手的资料。
3.其他安全产品安全审计方面的缺陷
防火墙只是内外部网络之间建立起隔离,控制外部对受保护网络的访问,通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。入侵检测对网络中的数据包进行监测,对一些有入侵嫌疑的包进行报警,准实时性较强,但采用的数据分析算法不能过于复杂,通常只是对单个数据包或者一小段时间内的数据包进行简单分析判断,误报率和漏报率较高。漏洞扫描、防病毒等设备主要发现网络、应用软件、操作系统的逻辑缺陷和错误,提早防范网络、系统被非法入侵、攻击;发现处理病毒。
4.信息安全审计系统的分类
主机审计:审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;统一安全策略,实现集中审计等。网络审计:应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;应能够根据记录数据进行分析,并生成审计报表;应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。数据库审计:审计对数据库的操作行为,如增、删、改等,发现各种非法、违规操作。业务审计:对业务系统的操作行为进行审计,如提交、修改业务数据等,满足管理部门运维管理和风险内控需要。日至审计:审计网络设备、安全设备、应用系统、操作系统的日志,发现安全事件,保存证据。
5.信息安全审计系统的设计
主流的信息安全审计系统分为探针引擎和管理应用平台两部分组成[2]。探针引擎的主要功能:监听网络数据,并将数据临时保存。将不同的数据流汇聚,形成一个应用链接;根据设定的规则,对采集的数据进行初步过滤,并对采集的数据进行协议分析,提取内容信息。如在Smtp,pop3协议中,提取邮件体和附件;将采集后的数据按规定格式存储和传输。根据需要,进行传输加密。管理应用平台是由web管理平台+控制中心+数据库组成的三层结构。WEB管理控制平台主要功能:业务逻辑展现,系统管理、日志管理、策略管理、报表管理、查询统计分析。控制中心主要功能:文件中心主要是用于系统报警原始文件存储、文件读取;统计中心主要是用于定期对系统关键词报警信息、行为日志数据、网络流量数据、系统操作行为进行分类统计;数据中心主要是实现数据库与探针引擎之间的桥梁,实现策略下发、探针引擎接入控制、数据转存功能。数据库主要功能:用于结构化数据的存储。
6.信息安全审计技术在工作中的基本应用
HTTP敏感信息检测:HTTP协议的网页浏览、网页发帖监测,记录中标网页的URL、浏览时间、源IP、目的IP、源端口、目的端口以及源、目的MAC地址,并还原、保存原始网页文件到本地磁盘。通过IP地址、域名、时间范围、协议类型等组合查询查看报警信息并输出报表,通过“查看文件”链接查看原始浏览网页文件内容,通过“查看详细”链接监测报警信息的数据来源、报警协议类型、文件存放路径等信息。邮件敏感信息检测:SMTP,POP3中的敏感信息监测,记录中标网页的信息摘要、关键词、接收用户、发送用户、IP地址,并还原、保存原始邮件到本地磁盘,系统默认收、发邮件端口分别为110、25。可以通过接收用户名、发送用户名、时间范围、IP地址查询条件检索邮件敏感信息并输出报表,通过“查看文件”链接打开查看原始邮件主题、正文内容,通过“查看详细”链接监测报警信息的数据来源、报警协议类型、文件存放路径等信息。IP流量监测:监测IP主机数据流向、流量大小,按总计流量从高到低排序,并可清零流量重新统计。数据库日志检测:监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作日志记录,并记录数据库服务器及操作用户的IP、登录用户名、MAC地址、操作时间等信息。
7.结语
如何保证网络行为、信息内容的合规性、合法性、健康性已成为网络安全研究领域中的热点问题。信息安全审计技术是对网络行为进行检测与防范,也是对信息系统建设的重要补充,将继续在信息安全中发挥重要的作用。
作者:张楠 单位:吉林省统计局数据管理中心
参考文献:
信息安全审计范文2
一、信息系统安全性审计基本概述
20世纪60年代,由于计算机被应用于财务会计领域,从而产生了电子数据处理审计(EDP Auditing)。信息系统审计是在电子数据处理审计基础上逐渐发展起来的。目前,信息系统审计的定义还在争论当中,罗恩·韦伯(Ron Weber)在《信息系统控制与审计》一书中对信息系统审计概念做出了如下描述:“信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效实现、使组织的资源得到高效使用等方面做出判断的过程。”这一概念包括了信息系统审计的目标、内容、过程、方法和结果,是对信息系统审计比较全面的概括。审计署印发的《信息系统审计指南》(以下简称《指南》)则定义为“国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动”。
信息系统审计从具体内容讲,包括信息系统的可信性目标审计、系统效益性目标审计和安全性目标审计。笔者认为,信息系统的不真实、不可信也是系统存在安全风险的体现,所以信息系统可信性目标审计和安全性目标审计可归为维护信息系统安全而进行的信息系统审计,本文主要对该部分审计内容展开探讨。
同志说过:信息安全是个大问题,必须把信息安全问题放到至关重要的位置上,认真加以考虑和解决。信息已成为社会发展的重要战略资源,信息的获取、处理和信息保障能力成为综合国力的重要组成部分,信息安全事关国家安全,事关社会稳定。目前,我国的信息系统安全不容乐观。全社会的信息安全意识不强,高端和基础信息技术受控于国外,感染计算机病毒的比例逐年上升,网络和信息系统的防护水平不高,信息安全管理和技术人才缺乏且流动性大,信息安全管理薄弱,数据不准确、不完整等情况突出。审计工作要发挥维护经济社会健康发展的“免疫系统”功能,推动国家治理的完善,就应高度关注信息系统安全性问题,从数据、信息系统和系统内控等角度,揭示影响信息系统存在的安全隐患。
二、信息系统存在安全风险的主要体现
(一)信息系统的控制风险。
COSO(全国虚假财务报告委员会下属的发起人委员会,“The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting”的缩写)内部控制框架中提出信息系统控制分为一般控制和应用控制。一般控制,指信息系统总体控制,信息安全技术控制,信息安全管理控制;应用控制,指信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同。简单理解,信息系统控制包括对信息系统的控制和信息系统对业务的控制。《指南》中所称的项目管理审计,不属于信息系统安全性审计范畴,本文不做探讨。目前,通过了解、描述和测试三个审计阶段,采取资料审查、系统检查、数据测试、数据验证等审计方法,信息系统控制主要揭示的有以下方面风险:
一是物理环境控制风险。这类风险主要体现为未经授权的人或设备直接接触到信息系统相关硬件设备,属于传统的安全领域。包括信息系统的相关硬件设备、设备所在机房等硬件环境是否为符合规范标准的物理场所,是否做到容灾异地数据备份,是否在机房等所有必要区域内安装监控和防盗设施,以及其它硬件相关要求。如对某大型国企信息所机房及办公场所实地查看审计发现,该企业机房环境不符合国有企业计算机设备安全管理相关制度,机房入口安装了防盗门,但未配备门禁系统,内部也未按机房相关规范标准设置有效的物理隔离装置。
二是软件环境控制风险。这类风险主要存在于软件层面访问控制、权限控制、操作控制等。体现在信息系统程序的无权限运行,数据输入、输出的不准确、不完整,未经允许或授权的访问、泄漏、修改、删除数据,系统完整性受到的破坏。如某大学使用的财务软件权限设置,会计科科长、网络管理员、数据库管理员、系统管理员、记账员等岗位由同一人担任。同时,系统管理员在实施数据库数据修改、会计人员岗位分工、权限设置等具体操作时,缺乏必要的审批和监督程序。权限高度集中,监控制约不力,财务信息系统存在安全隐患。此外,当业务流程涉及多个信息系统时,还体现为信息系统数据流不衔接、各系统整合不科学、不完善,业务数据在不同信息系统之间传递没能做到真实、完整和准确等。如某省财政厅自行开发的预算编审系统、指标管理系统、国库集中支付系统等财政核心业务系统都是单独运行,各业务系统未实现有效整合,未能实现“形成以预算编制为源头,以收支管理为过程、以预算及执行分析为回路接点的财政业务管理流程通畅、操作规范的信息化处理闭环”的“金财工程”系统设计要求。
三是制度控制风险。这类风险主要存在于制度层面,体现在保证信息系统软件、硬件良好运行相关制度规范不健全。如某大型国企未制定信息安全教育及技能培训和考核管理办法;某省财政厅委托软件公司开发的信息系统“数据字典”不完整,并且软件开发公司技术人员大量流失,未建立信息系统软件开发文档等基础资料,信息系统中部分功能已经无法进行升级、维护。这些都是制度层面不完善给信息系统带来的安全隐患。
(二)系统设计完整性风险。
这种风险主要体现在信息系统功能设计缺陷,信息系统不能保证真实、完整、准确地反映业务情况。如对某市新型农村合作医疗(以下简称“新农合”)信息系统的软件设计审计发现,虽然该信息系统软件基本具备国家规范要求的八个基本功能模块,但参合管理模块对不规范、错误、重复录入参合人员信息的情况缺乏差错、重复数据提醒功能,导致系统内大量不准确、不真实参合人员数据存在,影响各级财政以此数据拨付至县级新农合的补贴款的准确性。
(三)系统外包服务安全风险。
这种风险主要体现在信息系统开发维护等相关服务外包过程中,由于相应的控制机制不健全,导致信息系统数据存在安全风险。如对某市新农合信息系统审计,发现该市新农合应用软件主要由某软件工程有限公司以软件免费、服务有偿的方式提供。延伸该软件公司发现,该公司人员在系统维护中可不受权限限制,远程登录并操作由其提供技术服务的新农合信息系统服务器,系统数据存在未经授权就被修改或删除风险。
(四)网络和信息传输风险。
这种风险主要体现在传输信息数据的介质环境不符合相应规范标准,数据传输中存在出错、被窃取、被篡改等隐患。如对某市新农合信息系统审计发现,管理单位从运营费用角度考虑,降低数据传输介质安全要求,选择网络运营商提供的普通线路,而不是价格较高的专线。普通线路是新农合数据与互联网信息数据共同的传输介质,在虚拟专用网络(VPN)、数字证书认证、电子签名、电子印章等信息安全措施方面几乎没有投入,安全性差,在此环境下传输的新农合数据,在传输过程中存在较大安全隐患。
三、信息系统安全性审计存在的突出问题及应对策略
一是审计内容凌乱。目前所出具的信息系统审计报告内容有的以保证系统数据输入、输出的准确性为主,有些以信息系统物理环境控制的审计内容为主,有些以信息系统设计完整性的相关内容为主,有些则涉及了信息系统数据文档健全、系统开发公司的技术力量、系统维护稳定性等多方面内容,等等,总之,如何保证信息系统安全,关注什么,重点揭示什么,建议什么,报告规范的写法怎么还没规范。
出现上述情况,这与我国信息系统审计的发展阶段有关。信息系统审计还处于探索发展的阶段,相应的信息系统审计法律依据还不充分,审计署出台的《指南》内容庞杂,针对性不强,还没有真正起到指导审计人员实务工作的效果。此外,信息系统审计人才队伍还不能完全满足审计需要,审计规范性要求还未成型,等等。
这就要求我们在信息系统数据安全审计的探索中,以一种科学的态度,不断总结经验,不断积累,按照计划、实施、报告三个阶段实施信息系统审计,逐步形成信息系统数据安全审计操作规范。按照《指南》总的流程规范,有针对性地对不同的信息系统的特点,如按行政事业单位、企业等分类,明确不同系统必要的审计内容和常规的审计流程是什么,以什么标准进行。逐步将成熟、有效的信息系统审计方法,固化到现场审计实施系统当中或开发成标准的审计模块,来规范信息系统审计。
二是审计数据分割。基于被审计单位信息系统数据安全考虑,审计人员一般不会在被审计单位原始信息系统中直接进行审计分析,而是将被审计单位信息系统部分数据提取后,导入SQL等其它数据库分析软件进行审计。有目的地提取数据库并进行分析,可以提高工作效率,但脱离了被审计单位的网络环境和系统平台,部分数据则无法实现模拟流转,一些在数据流转中才能发现的舞弊行为则较难发现。如基于ERP(Enterprise Resource Planning企业资源计划)管理理念所开发出的大型企业管理软件,是按照有关规定、财务准则开发的,具有严谨的流程,购、产、销、存相关程度很高。一些企业为了做假,会在ERP软件中录入虚假数据,导致账实不符。企业为了让虚假数据通过软件验证功能,会人为打断ERP软件一些业务流程设计。如果审计人员对个别数据库进行分析,舞弊行为一般较难发现。但如果在模拟业务平台中按流程测试,执行到某一环节,软件某一模块缺乏或参数设置异常,则应作为审计重点。
这就要求面对较为复杂的信息系统,审计人员应当尽可能恢复被审计的信息系统环境,通过符合性测试和实质性测试审计方法,顺着数据流检验信息系统的完整性,查找可能存在的舞弊行为。
三是对信息系统前瞻评价困难。审计实务中常常遇到某部门或单位投巨资开发的信息系统因不能满足业务需要或者不符行业设计规范而停止使用,新旧信息系统间数据进行大量迁移,甚至原信息系统数据则无法再进行查询、利用,这对信息数据安全也产生很大影响。而与之相对照,审计人员对信息系统功能和数据关注较多,对该信息系统发展前瞻性评价较少。
这就要求审计人员在充分熟悉被审计单位信息系统的基础上,结合被审计单位业务特点、行业的信息系统开发设计规范要求,对被审计单位信息系统建设提出战略性的发展建议。
四是整改困难。信息系统审计中发现的一些安全隐患,有些是可以让被审计单位加强管理或以技术手段弥补漏洞的,但有些问题可能会影响到整个信息系统的架构,整改成本高,被审计单位接受难度大。加上审计目前还没有对信息系统定性的规范,也没有强制手段让其对信息系统进行完善,这就使整改难度大。这就要求审计人员更加深入了解被审计的信息系统,提出针对性强、科学的整改建议,推动被审计单位以最小的成本进行审计整改。
信息安全审计范文3
国家审计是在国家开展宏观经济综合监督体系的重要环节,实现其运行系统和整体信息安全的有效性是极为必要的。通过审计信息化系统建设项目有效结合了审计基本业务特征环节的信息安全防护以及实现系统健康运行的监控运维服务体系,在实现系统化的体系建设且开展综合性的防护保障措施之后,以有效保障国家审计在进行信息系统建设整体系统的健康安全运行[1]。
一、结合审计业务特征所开展的信息安全防护工作
信息安全防护在国家电子政务活动中进行应用时,需要严格遵守国家在相关方面的政策制定和规划性要求,更需要明确政务职能环节业务信息的风险和特征,然后从根本实际出发开展有针对性的信息安全防护规划工作,保障所采取的措施能够有效解决实际问题,确保安全防护工作的顺利有效。
1.1对审计信息和业务的流转型特征展开研究
一般而言,国际审计中包络初期的数据采集及有效形成核查环节的审计信息记录和证据整合,并通过互联网的应用将相关信息报送审计机关的非涉密专网中,这就涉及到业务活动中的信息安全性,如果在流转环节出现审计信息的泄露,因为国家审计所具有的设密性和权威性,将构成重大的安全风险[2]。
1.2针对审计业务的整体特征开展有效的安全防护规划
在国家审计要求范围之下,对国家电子政务信息安全和信息化的协调发展给出了总体性的规划要求,实现审计信息化系统项目建设的三网安全规范,通过审计门户网、审计专网、审计内网三个环节实现对电子政务信息的安全防护,有效保障涉密信息的安全性。此外,还需要根据四级互联审计专网对于信息安全防护的要求,在有效倚仗外网的信息信任体系来实现覆盖全国的信息系统建设,构建有效的病毒中心防御系统,为信息的安全防护提供基础环节的保障。
1.3根据国家审计的信息特征出发进行安全防护策略的研究
国家审计业务具有一定的流转性,这就需要对该环节的信息安全进行有效的风险评估,以避免出现泄漏状况,在国家信息保密和安全主管部门的支持和指导管理下,在进行信息化系统建设项目时采取了信息交换和安全交互以及三网隔离的主体策略,以有效保障审计信息在流转环节的安全性。
二、保障国家审计信息安全的运维服务体系建设
通过实现运维服务体系的建设有效保障了国家审计信息的整体安全性。在审计信息化系统建设项目中,运维体系的建设主要在整体队伍、方式、系统和制度以及资金等方面,在这个过程中要有效保障整体建设同运维服务的关系。
2.1运维服务系统
在审计信息化系统建设项目中,运行监管系统和信息服务系统构成了运维服务的整体系统。其中信息服务系统中的现场审计和审计管理系统已经面向全国的审计系统,以更好地实现两项系统应用的有效性,另外,审计署还建立了面向全国审计系统的热线电话和服务网站的整体服务体系,而且国家审计系统还发行了同信息安全建设运维系统相关的指导性信息和文件,以保障信息系统应用的有效性。运行监管系统侧重于对整体系统建设中的各项子系统的运行状态实现有效的监管控制,以有效纳入整体的安全系统实现统一的管理,整体性的满足了多层级的系统运维监管任务,极大地提升了监管力度,使得国家审计信息系统以及所属子系统的运行都能够具有稳定、安全的整体环境。
2.2运维服务队伍
审计信息化系统建设项目实现了国家审计总数的服务部门和省级的工程服务办的两级服务系统构建,并建设完成了中央省市县的四级审计机关的信息系统的整体运行服务队伍。在进行子系统集中管理的基础前提下,审计署建立了面向下属各个机关和部门及全国性地方审计的“呼叫中心”运维服务队伍,有效保障了热线电话和服务网站的整体有效性运行,将疑难问题和咨询答复等交由运行后台专家,并得到专业性的确定答案之后予以恢复,有效实现了整体运维服务体系的建设。
2.3运维服务制度
就审计信息化系统建设项目的相关制度而言,均是由审计署所制定的相关指导办法和体系,以有效明确运维过程中的职责分工和机构设置,有效实现对运维内容和机制的执行。另外,在进行运维资金的使用和管理方面也制定了一定的制度规范和要求,以确定在运行中经费使用的有效性以及利用的最大化。通过各项管理制度确定,使得整体的运维体系科学、合理,并能够在制度的支持下实现对相关专业人员的专业素质和技能培训以及使用经费和规范化服务等相关内容的引导,进一步强化了整体的运维服务体系建设[3]。
2.4运维服务外包方式
在实际的发展过程中,审计署将审计信息化系统建设项目中的“呼叫中心”服务队伍建设实行了外包政策,并在逐渐的发展中,在运维服务系统的整体性要求性下,将该环节在内的网络系统和应用系统通过集成商的方式通过外包服务实现有效的运维服务体系建设。另外在运维服务体系的信息系统建设中,也实现了政府对技术人员队伍建设的外包服务组建方式。
2.5完善整体系统与运维服务的体系构建
在国家审计信息系统建设环节中,运维保障和信息系统建设是支撑前进的两大驱动力量,这就需要正视两者之间的关系,在启动运维保应用的基础上开设有效的指导性栏目或者咨询通道。此外,还可以构建全国性的运维体系效能保障,实现普及性的管理建设,并在运维体系的支撑下强化整体系统的集中统一管理。最后,需要实现有效的监控运维提下,实现对整体运维服务的监控和管理,确保整体运行的安全性和有效性。
三、结束语
审计信息系统建设项目需要有效的网络效能支持,这就需要保障在管理应用中的安全有效性,尤其是国家审计环节中的涉密文件,因其本身所具有的严肃性和影响性,在这样的基本认知下,就需要从根本实际现状出发开展有效的安全防护工作以及相应的运维服务体系的完善和建设,以保障国家审计信息的整体安全性。
信息安全审计范文4
摘要:在对企事业单位的安全防护中,用户身份认证作为其中的第一道关卡,在防护工作中起着首要作用,本文就身份认证技术所起的重要作用以及如何在计算机信息安全中应用用户身份认证技术进行阐述。
关键词:身份认证;计算机信息安全
中图分类号:TP39 文献标识码:A随着科技的进步,计算机网络已经广泛应用于企事业单位中,如何做好企事业单位中的计算机信息安全是困扰着用户的难题,因此,身份认证技术在确保计算机信息安全中起到了重要的作用。
1 身份认证系统简介
身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。 计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题。作为防护网络资产的第一道关口,身份认证有着举足轻重的作用,对用户的身份认证基本方法可以分为三种:(1)基于信息秘密的身份认证;(2)基于信任物体的身份认证;(3)基于生物特征的身份认证。
近些年来,企事业单位的信息化程度进一步提高,伴随而来的是对于计算机信息安全的担忧,而身份认证技术作为计算机信息安全的大门,起着相当重要的作用。因此,在企事业单位中推进身份认证机制,对计算机信息起到了有效的保护作用。在以往的信息安全防护中,由于各个电脑可能是不同的权限需要不同的密码,使用者必须熟记多个账户名和密码并需要重复登录才能完成操作,相当繁琐。为了简化登录同时提高计算机信息安全防护的能力,可以采用用户身份认证技术,通过在企事业单位建设的数字办公网中加入身份认证技术,将原有的计算机网络资源整合成一套统一完整的系统,从而使用户身份认证技术在这一统一的系统简化登录、提高效率和信息安全防护水平方面做出贡献。
2 用户身份认证技术在计算机信息安全中的应用
目前,计算机及网络常用的身份认证方式主要如下:(1)用户名+密码的登录方式,这种方式是最简单也是最常用的方法;(2)通过IC卡认证的方式;(3)使用动态口令卡进行身份认证的方式;(4)生物特征认证的方式:(5)USB Key认证认证的方式。以上这些都是身份认证中较常采用的方式。
基于PHP的用户身份认证将会通过Web Service来使其能够通过网络进行使用,即将原来的各个分散的登录系统与数据库进行链接,使其能够统一认证、管理和授权。采用这种身份认证技术的优点如下:(1)基于原有的认证系统进行二次开发,使其能够将原来分散的管理进行统一、集中、有效的管理,这种在原来的系统上进行开发的方式不但能够大幅降低开发成本而且在原来的系统进行开发能够减少修改原有系统造成的影响。(2)在登陆系统中只需要认证一次,在进行不同的权限的系统操作时不需用再次登陆。(3)将原先各个分散独立的系统整合成一个统一的数据库。(4)这种整合后的认证系统在整合性和扩展性方面具有良好的性能,在兼容性方面,能够对原有的业务和原有的用户数据库进行良好的整合,在以后如果需要增加新的功能,只需要将现在的身份认证的集成集中导入即可。(5)在设计身份认证技术时,其应用设计灵活,该身份认证系统要能以多种方式加以运用。
3 通过使用PHP作为基础程序来设计互联网身份认证系统
基于PHP用户身份认证系统按照保障计算机信息安全的原则,将原有的身份认证系统进行整合,建立起统一的身份认证系统,通过使用PHP技术来设计用户身份认证系统。管理对 Web 页面和应用程序的安全访问是一个常见问题,管理者希望允许哪些受信任的用户访问数据,同时防止未经授权的用户获得数据的访问权。大多数情况下,基于数据库的身份验证是此类问题的解决方案。
身份验证系统包含一个访问控制列表 (ACL),该列表可列出用户凭证并将其匹配到指定的系统权限。凭证通常是一个用户名/口令对,凭证可以将用户链接到系统权限。系统权限允许帐户访问或修改数据,以及执行子系统或子例行程序,帐户可以是用户、组或系统。如何在基于 PHP 的 Web 应用程序中实现身份验证、如何设计和实现身份验证数据库模型,以及在基于浏览器的应用程序中计划和管理用户交互的过程如下:从 Web 页获得凭证,并根据 ACL 对其进行验证。无论浏览器是否接受 Cookie,它们都可让使用者正常工作。基本 HTTP/HTTPS 和摘要 HTTP 方法都针对领域进行验证(而不使用 Cookie),而会话管理至少需要写入一个会话 ID Cookie。当使用者将会话 ID 作为URL的一部分发送时,URL重写会带来一些安全风险,因为某些用户即时消息会URL发送给其他人,这样其他人就可以劫持授权,以访问或泄漏机密数据。URL 重写的替代方法是,将会话 ID 置于呈现的 Web 页面中作为隐藏域,尽管这会带来某些漏洞,但比将会话附加到 URL的风险小。PHP 验证脚本接收用户名和口令的名称/值对,然后脚本将该名称/值对与 ACL 中存储的数据进行比较。构建身份管理数据模型可以很简单,也可以很复杂,最简单的模型是一个包含应用程序 ACL 的表,更有效的身份验证解决方案应该支持捕获和挖掘用户交互,这不同于为单个事件调用的 Web 页面列表。较大的模型可让使用者根据对模块的运行时调用来跟踪已定义模块的版本,实现模型的具体细节视使用者的目标而异。如果 ACL 存储在数据库中,则意味着最初登录和后续连接时需要执行不同的身份验证。最初登录时,将连接到数据库,并从数据库表中读取用户名和加密口令值;然后,将结果与已提交的明文用户名和加密口令进行比较;执行后续 Web 请求时,将连接到数据库,读取会话 ID,然后将结果与已提交的会话 ID 进行比较。
本文就用户身份认证系统在计算机信息安全中应用的必要性进行了阐述,依据身份认证技术原理,采用PHP脚本语言自动提供动态验证码为用户校验账号和密码,进而实现了用户身份认证技术在计算机信息安全中的应用。
信息安全审计范文5
关键词:审计角度 员工 信息安全意识
随着信息科学技术在当前企事业单位的广泛运用,在生产率的提高上以及总产值的增加上是显而易见的。同时也大幅度地减少了劳动时间,降低了劳动成本。信息技术对于我们越来越重要。根据马克思的观点,凡事都有两面性。信息安全问题正在不断地影响着我们的日常生活,甚至是防不胜防,所以目前的主要工作就是找出问题的症结所在,分析存在的原因,并且做好预防的工作。
信息是一种资产,是企业总资产和个人隐私的重要载体,是企业或者组织进行正常商务活动或者是管理的不可或缺的财富。信息安全在当前社会中的重要性越来越大,从宏观上讲,信息安全关系到国家的稳定;信息安全关系到组织机构的正常运作与持续发展;从微观上来说,信息安全能够保护个人隐私,关系到个人财产。
一、信息安全的内涵
信息安全有广义和狭义之分。从广义上讲,主要指在一定领域范围内,涉及到信息的保密性、可用性以及完整性、真实性、可控性等的相关理论和技术。从狭义上说,信息安全就是系统的硬件、软件以及数据的保护,预防系统和数据遭到破坏和更改,保证系统连续可靠正常地运行。信息安全可以分为两个层面,意识技术层面,防止外部用户的非法入侵;在管理层面,主要是对内部员工进行管理和培训。
当前的某些企事业单位,尤其是具有高度机密性的银行、保险等单位,他们的办公电脑设备容易成为黑客的目标并且在预防性方面仍旧存在着严重的情况。从总体上来说,信息安全问题比较普遍,并且也不是大多数企业的主要责任,他们忙于自身的关键业务,忙于市场调查,在计算机安全管理以及员工的安全意识执行力上没有过多的关注。首先,员工经常会出现在电脑上一键下载某些浏览器和办公软件,并且毫无警惕的意识,在没有相关技术人员的指导下,没有在电脑上安装阻止病毒或非法侵入的软件,又或者是病毒库没有及时更新,甚或是下载安装了不安全的软件和与工作关系不大的非授权软件;其次,对于存有机密的电脑,没有设置相应的密码,如开机密码、用户登录密码、屏保密码等等,这就增加了外界对该台电脑的入侵程度,又或者是密码设置得过于简单,要么是六个“1”,要么是六个“8”,又或者是生日、电话号码,这些都很容易被猜中;再次,没有设置相应的局域网。在某些单位,例如法院、公安局等,有些涉及到管理对象的身份信息,不能没有采取措施就直接接入互联网或者是身份不明的网站;最后一个问题是,部分员工平时没有养成良好的习惯,在下班时间忘记关电脑,随意借给别人使用,或者是设备随意乱放。
二、审计对信息安全问题的影响
我们把矛头指向了员工,是因为员工作为信息的拥有者,具有对保密性信息进行维护的义务。可以分析为员工不懂得识别信息安全风险,或者是对培训的内容和公司的制度没有认真履行,或者是相关监督部门的问题,没有做好审计工作,对于出现问题的职员没有采取有效的措施进行惩罚和遏制。但是究其根源,是员工的信息安全意识浅薄的问题。
审计对信息安全有什么影响呢?我觉得影响是多方面的:第一,如果将员工的信息安全意识问题引入到审计工作事项中,企业就会加强员工信息安全意识方面的培训,许多员工就能认识到信息安全问题的重要性。否则,他们可能处于企业的底层,没有涉及到企业的最终利益,没有深刻体会到,一个职员的行为会牵扯到一个公司的命运,没有深刻意识到,整体可能会受到局部的影响。他们可能会看到技术部通报说:公司存在客户资料泄密、黑客入侵以及机构的主机瘫痪等现象,但是在他们身上发生的很少,员工觉得这种事情的责任不会落在自己身上;第二,如果将员工的信息安全意识问题引入到审计工作事项中,信息安全的隐性价值就能更好的得到体现。信息安全是一件比较隐性的东西,它比较抽象,不能量化、直观地展示在员工面前,同时员工的受教育程度也是不同的,他们对这些问题的认识可能不会感同身受;第三,如果将员工的信息安全意识问题引入到审计工作事项中,信息安全的观念在员工中就会得到更好的传递。可能只在职工入职时,在培训课上稍微提了一下,在之后的工作中没有做好强调的工作。正因为缺乏了持续深入的信息安全传导,或者是传导的形式太刻板,没有深入员工的内心,导致员工对信息安全问题的认识是“仁者见仁,智者见智”,有些先入为主地以为这些高技术的问题由技术部解决就可以了。
三、在审计报告中,应对员工信息安全意识方面的问题多提建议
从以上内容可知,从审计的角度来提高员工信息安全意识是非常必要的。目前的信息技术是无孔不入,已经渗透到了银行、医院的各个层面,就连取票排号都是高度的自动化。同时,信息也逐渐地成为了各个企业的重要资产,特别是在金融管理领域,安全问题事关重大。一旦发生,后果不堪设想。因此,各个企业纷纷制定出相应的制度,以建立健全的信息安全体系,强化信息资产的保护。例如银行,银业员是政策、流程以及制度的具体执行者,他们的执行力直接影响到信息资产,影响到信息安全管理。
(一)在审计建议中,应将员工的信息安全意识教育与培训方面的问题考虑在内
培训和教育可以是事前的工作,也是事后的弥补工作。由于审计部门对信息安全问题比较熟悉,关注信息安全的重要性,审计人员现身说法能够得到良好的效果,所以在审计建议中,可以考虑把这些知识引入到教育与培训中。采用的教育方式可以是灵活的,比如可以是集中培训和在线培训相结合,减少时间成本,可以制作公司内部的宣传册,可以在公司的主页上多设置相关的内容。同时,有必要的话可以加入一些案例,使得分析结果更加透明和形象,对员工的说服力也更高。
(二)在审计建议中,应将员工的信息安全意识约束机制方面的问题考虑在内
众所周知,每个企业都有自己的企业文化以及品牌形象。一个企业只有拥有了企业文化,才能拧成一股绳朝着一个方向不断地努力。信息安全意识本身就是一个企业的重要内容。在信息泛滥的今天,如果快速、准确地做好决策也需要对你信息的正确有效地收集和保存。如果将信息安全文化的观念植入员工的内心,就能快速地提高其文化认同感和增强自身的责任感。因此,员工需要与公司签订相关的信息安全保证协议,以此作为公司和员工双方遵守约定的凭证,并把它当作员工的信用档案存入员工的人事档案中,在一定程度上,限制员工的胡作非为和随意散漫的行为。让员工从入职开始就意识到信息安全就在身边,意识到“保护信息安全,从我做起”,从而促使员工加强思想重视。
(三)在审计建议中,应将对员工的监督控制考虑在内
审计工作应当始终贯穿于公司的管理过程中,包括领导层面的计划、组织、指挥、领导,也包括对员工的管理过程中。审计的方法可以是多方面的。不可失阶段性的审计,可以是定期的审查,可以是突击检查。这些审计的意识一旦在员工心中形成固定的模式,他们也就会认真地去执行,久而久之,这些意识就会在潜移默化中影响到员工个人。[3]审计工作进行过程中,如果发现有问题,不能睁一只眼闭一只眼,需要严格督促其改正,同时对于严重违规或者是舞弊的行为给公司,给银行造成经济损失的,要追求他们的相关责任。
四、结束语
总而言之,审计对于信息安全非常重要,许多企业领导需要高度重视,信息安全问题涉及到每一个企业员工的具体工作,信息安全问题是企业文化建设的一个重要问题。领导者除了要抓好技术部门和信息安全部门的保密工作外,还要意识到员工的信息安全意识薄弱也是企业信息泄密或者是企业存在安全隐患的重要一环。
参考文献:
[1]万建辉.信息系统信息安全风险评估管理[J].通讯学报,2012(10)
信息安全审计范文6
关键词:安全审计系统;网络安全管理;措施
互联网时代信息技术虽然使人们的生活更加便捷,却带来了网络安全问题。尽管网络外部检测技术和防御系统已经持续建设,在某种程度抵御外部网络的入侵,保护网络数据信息的安全,但是内部网络的违规操作、非法访问等造成的网络安全问题在外部网络的防御措施得不到有效解决。因此可以利用安全审计系统进行网络安全管理,检测访问网络内部系统的用户,监控其网络行为,记录其异常网络行为,针对记录结果解决网络安全问题,对网络安全隐患的评判具有重要作用。本文主要介绍安全审计系统以及作用,阐述其在网络安全管理的必要性以及实际应用。
1网络安全管理的安全审计系统
1.1安全审计系统的组成
①事件产生器;②事件数据库;③事件分析器;④响应单元。事件产生器的作用:将单位网络获得的事件提供给网络安全审计系统;事件分析器的作用:详细地分析所得到的数据;事件响应单元的作用:根据时间分析器得到的分析结果做出相应的反映;事件数据库的作用:保存时间分析器得到的分析结果。
1.2安全审计系统的要求
1.2.1记录与再现记录安全审计系统中全部违规操作、非法行为,再现系统某种状态的主要行为。1.2.2入侵检测审计系统检查出大多数常见的系统入侵的意图,设计相应程序阻止入侵行为。1.2.3记录入侵行为审计系统记录所有的入侵企图,对于成功入侵用户,可以根据入侵记录恢复系统。1.2.4系统本身的安全性安全审计系统必须保证自身系统操作系统和软件安全以及审计数据安全才可以发挥其在网络安全管理的作用。
2网络安全审计的必要性
2.1提高企业数据安全管理绩效
高新科技技术已经渗透到社会方方面面,有利也有弊,其中企业来说,网络信息安全的问题频频出现,这对于企业网络运营和实际经营造成很大的冲击、带来经济损失。防火墙、防病毒软件、反入侵系统虽然可以解决部分内部用户的非法违规网络行为导致的网络信息安全问题,某种程度也保障了网络信息安全。网络信息外部的防卫无法抵御内部用户在没有网络监管时对网络内部的不合法操作,网络外部的安全防卫措施无法解决网络内部出现的故障。所以企业网络要正常运营、企业经营要得到持续发展,必须要建立企业内部的安全审计系统,对内部用户访问网络系统进行严格监控和审计,有必要时可以采取相应措施惩戒造成网络安全问题的人员,让网络信息安全事件不再发生。
2.2提高网络信息安全性
(1)安全审计系统采取访问控制手段对网络信息进行安全审计和监控,从而提高网络信息安全;(2)对网络信息加密实现网络信息安全审计的目的,实现网络数据私有,做到网络安全管理,为了提高网络信息安全水平要经常维护与检查安全日志;(3)安全审计网络中传输的信息,监控网络操作行为,提高网络信息安全性,提供社会组织的网络化行为安全性保障。
3安全审计系统在网络安全管理的应用
安全审计系统和基础网络病毒防护产品相互结合,共同保护网络的整体安全。企业传统的网络安全体系建设只注重网络边界的安全,重点建设针对外部网络向企业内网攻击的防护措施,没有考虑到内网自身存在的安全隐患,企业的网络信息安全无法得到有效保障。因此,借助安全审计系统对企业网络安全进行审计和评估,实现企业网络的全面安全监督。随着互联网科技快速发展,银行金融行业处于信息化时代,信息化推动银行智能化发展,银行网络信息安全对银行安全稳定发展非常重要,如银行数据集中处理有风险、网络金融服务容易受到黑客、病毒攻击等。由于银行涉及到金钱等财务利益上的交易,而且银行作为信息化时代以客户为主导的服务行业,必须严格地对客户信息进行保密,保障客户信息安全。不仅银行关系到国计民生、对社会经济发展也具有重要意义,所以控制银行信息化风险的最有效方法就是建立银行网络信息安全审计系统。网络的广泛应用给教育行业带来很大便利,目前很多高校和发达地区中小学都建立自己的校园网,但是网络问题作为信息化水平发展的附属品,给校园网安全管理造成很大困扰。虽然校园网已经加大网络外部病毒防御系统建设,但是网络内部检测和审计更需要引起重视,为了减少网络有害信息和侵权行为,规范师生上网行为,维护校园网安全稳定运行,非常有必要建立校园网络安全审计系统。
4结语
本文详细介绍了网络安全管理的安全审计系统以及功能,并且阐述了网络安全审计的必要性,安全审计系统的使用,使网络监控力度大大加强,让网络监控效率得到显著提高,为信息化建设提供了良好的保障。
参考文献
[1]付晓坤.网络安全审计技术的运用[J].中国水运,2013(09):50-51.
[2]张文颖.探讨网络安全中安全审计与监控系统的设计与实现[J].电脑知识与技术,2013(16):3738.
