前言:中文期刊网精心挑选了安全审计的类型范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
安全审计的类型范文1
目次
三《条例》限制赔偿政策的事实根据论―答记者问见解的问题性
(一)“特殊立法政策”的内容和事实根据
(二)“特殊立法政策”的事实根据论的问题性
(三) 对其他相关问题的评论
四 放弃现行法律适用原则的必要性和解决法律适用问题的代替方案
(一) 放弃“区分不同案件分别适用法律”原则的必要性
(二) 解决医疗侵权赔偿案件法律适用问题的代替方案
结论
三 《条例》限制赔偿政策的事实根据论―答记者问见解的问题性[44]
如前所述,答记着问强调, 条例“体现了国家对医疗事故处理及其损害赔偿的特殊立法政策”。那么, 答记者问所说的特殊立法政策的内容是什么呢? 在损害赔偿问题的处理上, 条例所体现的立法政策与民法通则所体现的立法政策有什么不同呢? 条例所体现的特殊立法政策又是以什么事实为根据的呢? 被作为根据的那些“事实”是否符合客观现实呢? 即便符合客观现实, 以这些事实为根据, 是否能够证明条例对医疗事故损害赔偿的限制性规定具有政策上的合理性呢? 这些就是本节要检讨的问题。
(一) 条例所体现的特殊立法政策的内容及该政策的事实根据
条例第1条规定,制定条例的目的是“正确处理医疗事故,保护患者和医疗机构及其医务人员的合法权益,维护医疗秩序,保障医疗安全,促进医学科学的发展”。条例起草者卫生部的汇报指出, 修改办法的经济补偿制度的原则是“既要使受损害的患者得到合理赔偿,也要有利于我国医疗卫生事业和医学科学的健康发展”[45]。答记者问的表述与卫生部汇报的见解基本相同, 但更为直截了当。它指出, 条例之所以要对赔偿金额作出限制, 就是“为了推动医疗卫生事业的发展和医疗技术的进步”, 换言之, 如果不对医疗事故的赔偿范围和标准作出现行条例所作出的限制, 如果法院对医疗事故引起的赔偿案件适用体现了实际赔偿原则的民法通则的规定, 那么, 我国医疗事业的发展和医疗技术的进步就会受到不利的影响[46]。由此可见, 答记者问所强调的特殊立法政策的“特殊”之处, 亦即在赔偿政策上条例与民法通则的不同之处,在于条例以保障和促进医疗事业的发展这一公共利益来限制患者或其遗属原本根据民法通则所体现的实际赔偿原则所可能得到的赔偿这一个别利益。笔者在此将该政策简称为“公益限制赔偿政策”。
根据答记者问的说明, 条例所体现的公益限制赔偿政策是以下述被政策制定者所认定的四项事实为根据的。① 医疗行为具有较高的风险性, ② 我国医疗行业具有公共福利性, ③ 我国医疗机构的承受能力有限, ④ 我国的经济发展水平较低。对照条例起草者卫生部的汇报可以发现, 答记者问所提出的事实根据论,除了其中的第①项似乎是答记者问自己的看法(笔者不知道卫生部是否在其他正式场合表达过这样的见解)以外,基本上反映了卫生部在汇报中所表达的见解[47]。
以下, 笔者对“公益限制赔偿政策”的事实根据论进行分析和评论。
(二) “公益限制赔偿政策”的事实根据论的问题性
1. 医疗行为的高风险性不能说明条例限制赔偿的正当性。
答记者问没有说明医疗行为的高风险性与限制赔偿到底有何关系。笔者在此姑且作出两种推测[48],然后分别加以评论。
(1) 答记者问也许是想说: 高风险性这一客观因素的存在, 降低了过失这一医疗侵权的主观因素在赔偿责任构成中的意义。人们应当承认以下两个事实, ① 在医疗过程中, 即使医务人员充分履行了注意义务, 也未必能够完全回避诊疗的失败及由此引起的患者人身损害的发生; ② 即使医务人员在实施医疗行为方面确实存在过失, 损害后果的发生也往往在一定程度上与该项医疗行为固有的风险性存在一定的关系。因此, 在设计医疗事故损害赔偿制度时, 应当考虑到医疗风险这一客观因素在损害形成中所起的作用, 不应当把在客观上应当归因于医疗风险的那部分损失也算在医疗机构的头上。条例对赔偿数额作出限制反映了医疗事故损害与医疗风险之间存在一定程度的关系这一事实, 因此是合情合理的,是正当的。
笔者基于下述理由认为, 上述推论是不能成立的。① 医疗行为具有较高的风险性这一事实认定本身不能反映现实中的医疗行为与医疗风险的关系的多样性。现实情况是,医疗行为不仅种类极其繁多而且存在于医疗过程的各个阶段各个环节,有的可能具有高度的风险( 比如确诊率极低的没有典型早期症状的某些疾病的早期诊断, 成功率极低的涉及人体某一重要器官的复杂手术,对抢救患者生命虽然必要但严重副作用的发生可能性极高的急救措施),有的则可能几乎没有风险(比如在遵守操作规范的情况下的一般注射,常规检验,医疗器械消毒,药房配药,病房发药等)② 这种推论误解了医疗风险与医疗事故民事责任的关系, 因而是根本说不通的。众所周知, 我国的医疗侵权责任制度实行过错责任原则, 而非严格责任原则。既然如此, 那么在医疗损害的发生被证明为与医疗过错和医疗风险(特指与医疗过错无关的风险)[49] 二者都有关系的场合, 医疗机构只应承担与其医疗过错在损害形成中所起的作用相应的赔偿责任。在医疗侵权法上, 风险因素与民事责任不是成正比而是成反比, 风险因素对损害的形成所起的作用越大, 医疗机构因其医疗过错所承担的赔偿责任就越小。医疗行为的高风险性不是增加而是可能减轻医疗机构民事责任的因素。只有在适用严格责任原则的侵权领域, 高风险性才可能成为增加民事责任的因素。
(2) 答记者问也许是想说, 如果事先不通过制定法(比如条例)对赔偿范围和数额作出必要的限制, 那么医疗机构就会因害怕承担其不愿意承担或难以承担的高额赔偿责任而指示其医务人员以风险的有无或大小作为选择治疗方案的主要标准,尽可能选择无风险或较小风险的治疗方案; 医务人员在治疗患者时就会缩手缩脚,不敢为了抢救患者的生命而冒必要的风险, 患者的生命健康利益因此就可能得不到原本应当得到的医疗保障。所以, 条例限制赔偿标准,有助于调动医师救死扶伤的职业积极性, 最终将有利于患者疾病的救治。笔者认为, 这是一个似是而非的、严重脱离实际的推论, 因而也是没有说服力的。① 在对赔偿数额不作限制(尤其是不作低标准限制), 实行实际赔偿原则的情况下,医师果真会从积极变为消极, 对患者该治的不治, 该救的不救, 该冒的险不敢冒吗? 限制了赔偿数额,医师果真就会因此而积极工作, 勇于担负起治病救人的重任吗? 这一推论符合医疗侵权的实际状况吗? 依笔者之见, 在适用民法通则的实际赔偿原则或赔偿标准高于条例的人身损害赔偿解释的情况下, 医师未必会因害怕出差错•承担较高的赔偿责任而该治的不敢治, 该救的不敢救, 该冒的险不敢冒。因为在许多场合, 采取这种消极回避态度反而会导致医疗不作为或不完全作为所构成的侵权。不仅如此, 因为这种消极态度可能具有放任的性质, 因而在其导致的侵权的违法性程度上也许比工作马虎或医术不良所引起的延误诊疗致人损害的侵权更为严重。② 医疗的宗旨是治病救人, 因而是不考虑风险违规乱干不行, 顾忌风险违规不干也不行的典型行业。医师必须遵循诊疗规范,充分履行注意义务,尽善管理。③ 限制或降低赔偿标准, 就算可能有调动医师积极性减少消极行医的效果, 也免不了产生降低医师的责任感, 纵容违规乱干的严重副作用。④ 按照风险论的逻辑, 条例规定的赔偿制度还不如办法规定的一次性经济补偿制度; 对广大患者而言, 他们的生命健康利益获得医疗保障的程度在条例时代反而会降低, 因为医务人员的救死扶伤的积极性由于条例( 较之办法)加重医疗事故赔偿责任而降低了。
2. 即使我国医疗行业具有公共福利性质, 以此为据限制赔偿也是根本没有说服力的。
答记者问没有(卫生部汇报也没有)具体说明我国医疗行业的公共福利性有何含意, 更未具体说明医疗行业的公共福利性与条例的限制赔偿政策之间有何关系。笔者在此参考有关的政策法规文件和一些文章中的议论[50], 分别对这两个问题的内容作出以下的推测。
(1) 我国医疗行业的公共福利性主要表现在以下几个方面。① 在我国医疗服务体系中占主导地位的公立医疗机构,是非营利性医疗机构,是公益事业单位,它们所提供的医疗服务对患者而言, 具有一定的福利性质。② 政府对公共医疗事业的财政投入将随着经济的发展逐年增加。政府的财政投入为公共医疗事业的发展和医疗技术的进步, 从而为广大患者能够享受到更好的医疗服务创造了一定的物质条件。政府对非营利性医疗机构实行税收优惠和合理补助的政策,为这些机构的福利性医疗服务提供了一定的支持。③ 政府为了增进广大人民群众的医疗福利, 减轻患者个人的医疗费用负担, 在城镇为职工建立作为社会保障的基本医疗保险制度, 在农村推行和资助合作医疗制度, 邦助越来越多的农村居民在当地也能得到基本的医疗服务。④ 政府考虑到广大人民群众的负担能力, 对医药品市场价格和非营利性医疗机构的医疗服务价格进行适当的控制。
(2) 医疗行业具有公共福利性这一事实, 决定了因医疗事故而发生的医患之间的法律关系具有以下的特点。① 它是在非自愿( 公共医疗服务的提供者在法律上有义务向需要的患者提供医疗服务, 无正当理由不得拒绝)的并且是非完全等价( 公共医疗服务的提供不以完全的等价有偿为原则 ) 的基础上进行利益交换( 患者仍需支付一定的医疗费用) 的当事者之间发生的赔偿关系, 不同于在完全自愿•等价有偿的基础上进行利益交换的当事人即通常的民事活动当事人之间发生的赔偿关系。② 它是提供医疗服务利益的医疗机构和接受医疗服务利益的患者之间因前者的利益提供行为发生错误导致后者受到损失而引起的赔偿关系, 换言之, 是好心人办错事引起的赔偿关系, 不同于通常的侵犯他人合法权利所引起的赔偿关系。③ 它在事实上又是以作为公共医疗的投资者的政府为第三人( 赔偿问题不仅可能影响到政府投资的效益,而且可能使政府投资本身受到损失)同时以利用该医疗机构的广大患者为第三人( 赔偿问题可能影响到该医疗机构的服务能力,从而影响到利用该医疗机构的广大患者的利益)的赔偿关系, 不同于仅仅涉及当事者双方利益或至多涉及特定私人第三者利益的赔偿关系。
(3) 正是因为医疗行业具有公共福利性这一事实决定了因医疗事故而引起的医患之间的赔偿关系具有不同于通常的债务不履行或通常的侵权所引起的赔偿关系的特征, 所以条例起草者才将该事实作为调整这种赔偿关系的特殊政策的依据之一。如果不考虑医疗行业的公共福利性, 如果不以该事实为依据制定特殊的赔偿政策, 而是完全根据或照搬民法通则所体现的实际赔偿原则, 那么, 医疗事故赔偿的结果, 不仅对于赔偿义务人医疗机构可能是不公正或不公平的, 而且会使国家利益和广大患者群众的利益受到不应有的损害。
笔者认为, 上述见解(假定确实存在), 根本不能说明条例限制赔偿政策的合理性。
(1) 答记者问在论证限制赔偿政策具有合理性时, 只提“我国医疗行业具有公共福利性”这一“事实”,不提我国的医疗行业和医疗服务在相当范围和相当程度上已经市场化和商品化, 我国的绝大多数公民还得不到医疗费负担方面的最基本的社会保障这两个有目共睹的现实。这种论法很难说是实事求是的。“我国医疗行业具有公共福利性”这一事实认定,本身就是非常片面的; 这一“事实”作为答记者问所支持的条例限制赔偿政策的前提之一, 本身就是在很大程度上难以成立的。
① 众所周知, 在条例起草和出台之时, 更不用说在答记者问发表之时, 我国的医疗行业已经在相当范围内和相当程度上实现了市场化。第一, 从我国医疗行业的主体来看, 被官方文件定性为“非营利性公益事业”[51] 单位的公立医疗机构,在我国医疗服务体系中确实依然占据主导地位,它们所提供的基本医疗服务项目, 据说因其价格受到政府的控制, 所以对接受该服务的患者而言,具有一定程度的福利性。但是,在我国的医疗行业, 非公立的完全营利性的医疗机构早已出现, 其数量以及其提供的医疗服务所占有的市场分额均有明显的增长趋势; 民间资本或外资与公立医疗机构的各种形式的合资经营也已经成为常见的现象。它们扩大了完全商品化的医疗服务市场。由于它们所提供的医疗服务, 在价格上是放开的, 所以对接受其服务的患者而言, 没有福利性 ( 除非将来有一天把这类医疗服务也纳入作为社会保障的医疗保险的范围)。此外, 只有非营利性公立医疗机构才是中央或地方财政投入及有关的财税优惠政策的实施对象。营利性医疗机构当然是自筹资金、完全自负盈亏的企业[52] 。第二, 从公立医疗机构提供的医疗服务的价格来看, 首先, 公立医疗机构配售给患者的药品和消耗性材料的价格往往高于或明显高于市场零售价(换言之,实际上往往高于或明显高于医院采购成本和管理成本的总和), 具有明显的营利性(据说其目的在于“以药养医”); 尽管医疗机构所采购的一定范围的药品的市场价格受到政府价格政策的控制(以政府定价或政府指导价的方式), 但这种控制是为了保证基本医药商品的质价相符, 防止生产或销售企业设定虚高价格 (明显高于生产经营成本和合理利润的总和的价格即暴利价格) 谋取不适当的高额利润[53]。因此这种政府控制价格与计划经济时代的计划价格有本质的不同, 并非像有些人所说的那样是低于市场价格的价格即所谓“低价”, 而是比较合理的市场价格。所以, 这种价格控制, 虽然有利于消费者或患者正当利益的保障, 但并没有任何意义上的福利性。其次, 基本诊疗服务项目( 比如普通门诊和急诊; 一定范围的检验和手术; 普通病房等一定范围的医疗设施及设备的利用)的价格, 虽然在一定程度上受到政府价格政策的控制, 因而也许可以被认为具有一定程度的福利性, 但具有明显的收益性或营利性( 即所谓创收 )的医保对象外的五花八门的高收费医疗服务( 比如高级专家门诊、特约诊疗卡服务、特需病房、外宾病房等)在较高等级的许多公立医疗机构(尤其是三级甲等医院)中早已出现并有扩大的趋势。此外, 在许多医疗机构中, 原本属于护理业务范围内的一部分工作也已经由完全按市场价格向患者收费的护工服务所替代。所以, 被官方定性为非营利性公益事业单位的公立医疗机构,在事实上正在愈益广泛地向患者提供没有福利性的甚至完全收益性或营利性的医疗服务。
② 从患者负担医疗费用的情况来看,第一, 加入了基本医保的患者,一般除了必须自付一定比例的医疗费用外,还须支付超出其医保限额的医疗费用。他们选择医保定点医疗机构所提供的医保对象外的医疗服务,或选择定点医保医疗机构以外的医疗机构(包括营利性医疗机构)所提供的医疗服务,因而完全自付医疗费的情况并不少见。同样是享受医保的患者,其享受医保的程度即自付医疗费占实际医疗费的比例可能不同; 符合特殊条件的一小部分患者,则可能基本上或完全免付远远大于一般医保患者所能免付的范围的医疗费[54]。第二, 更为重要的事实是, 我国所建立的社会基本医保制度,不是以全体居民为对象的医疗保险制度(比如日本的国民健康保险制度),而是仅仅以城镇的职工(城镇中的所有用人单位的职工)本人为对象的医保制度[55],加入者的人数至今还不满我国总人口的十分之一[56]。换言之, 我国城镇的相当数量的居民和农村的所有居民是不能享受基本医保的(即完全自费的或几乎完全自费的)社会群体(除非加入了商业医保,但商业医保不具有福利性)。政府虽然已决定在农村建立由农民个人缴费•集体扶持•政府资助的合作医疗制度,但由于种种原因,且不说这一制度才刚刚开始进行个别的试点(更不用说在一些贫困地区,甚至连最基本的医疗服务设施也不存在),就是全面铺开,它为广大农村居民所可能提供的医疗保障的程度也是极其微薄的[57]。要言之, 答记者问和卫生部汇报所强调的医疗行业的公共福利性,对于我国的绝大多数居民来说, 即使在某种意义上(比如公立医疗机构的部分诊疗服务的价格受到政府的控制)也许可以被理解为存在,也只是非常有限的,微不足道的。
笔者之所以强调上述两个方面的事实, 并非为了批评现行的医疗福利政策, 而仅仅是为了指出以下两个多样性的存在。第一个多样性是医疗行业或医疗服务与医疗福利的关系的多样性。医疗行业既存在福利因素又存在非福利因素, 既存在公益因素又存在营利因素; 有的医疗服务具有福利性,有的医疗服务则没有福利性; 有的医疗服务具有较高程度的福利性, 有的医疗服务只有较低程度的福利性。第二个多样性是患者与医疗福利政策的关系的多样性。有的患者能够享受较多的医疗福利, 有的患者则只能享受较少的医疗福利, 有的患者则完全不能享受医疗福利; 能够享受医疗福利的患者既有可能选择具有福利性的医疗服务, 也有可能选择没有福利性的医疗服务; 享受基本医保的不同患者所享受的医保利益又可能存在种种差别甚至是巨大的差别。据此, 我们应当承认, 支持医疗事故赔偿限制政策的公共福利论无视这两个方面的多样性, 严重脱离了现实, 因而没有充分的说服力。
(2) 即使医疗行业所具有的公共福利性能够成为限制福利性医疗服务享受者的医疗事故赔偿请求权的正当理由之一, 现行条例关于医疗事故赔偿的规定, 由于没有反映以上笔者所指出的患者与医疗福利政策的关系的多样性这一有目共睹的客观事实, 所以它不仅违反了条例起草者卫生部所主张的公共福利论的逻辑, 而且从公共福利论的观点看, 它又是显失公正和公平的。
① 根据公共福利论的逻辑, 条例原本应当将患者所接受的引起医疗事故的医疗服务与医疗福利的关系(即是否具有福利性, 具有多少程度的福利性)作为确定医疗事故的具体赔偿数额的考虑因素之一, 原本应当采取赔偿数额与自费程度成正比•与福利程度成反比的原则,使得自费程度较低的被害人较之自费程度较高的被害人,部分自费的被害人较之完全自费的被害人,在其他条件同等的情况下,获得较低比例的赔偿数额。换言之, 使后者能够获得较高比例的赔偿数额。令人感到难以理解的是,条例竟然没有作出这样的规定(条例仅将医疗事故等级、医疗过失行为在医疗事故损害后果中的责任程度、医疗事故损害后果与患者原有疾病状况之间的关系作为确定具体赔偿金额时应当考虑的因素(第49条第1款))。
② 公正性是良好的法律制度的基本标准之一。如果答记者问和卫生部汇报所主张的公共福利论, 从所谓“患者能够获得的赔偿数额与该患者自付的医疗费用应当实现某种程度的等价性”的观点看, 确实还带有那么点“公正性或公平性”的意味的话, 那么, 卫生部在以我国医疗具有公共福利性为事实根据之一设计医疗事故的赔偿制度时, 就应当充分注意患者与医疗服务福利性的关系的多样性, 所设计的赔偿制度就应当能够保证各个医疗事故的被害患者都有可能按照所谓“等价性”原则获得相应数额的赔偿。很可惜, 现行条例的赔偿规定在这个问题上犯了严重的一刀切的错误。说的极端一点, 它使得医疗费用自付率百分之百的患者, 在其他条件相同的情况下, 只能获得医疗费用自付率几乎接近于零的患者所能够获得的赔偿数额。
③ 从立法技术论上看, 卫生部的失误在于, 她将医疗服务的福利性这个因案而异•极具多样化和个别化的事实,因而只能在各个案件的处理或裁判时才可能确定的事实,当作她在制定统一适用的赔偿标准时所依据的事实即所谓“立法事实”(具有一般性或唯一性并且在立法之时能够确定或预见的事实)。卫生部显然没有分清什么样的事实属于立法事实,可以被选择作为立法的依据, 什么样的事实不属于立法事实, 因而不应当被作为立法的依据,只能被选择作为法的实施机关在将法规范适用于特定案件时认定或考虑的事实。混淆二者,是立法上的大忌。如果将后者作为前者加以利用而不是作为一个因素或情节指示法的实施机关在处理具体案件时加以认定或考虑, 那么,制定出来的法就不仅会因其事实根据的不可靠而可能成为脱离实际的有片面性的法, 而且在其适用中可能成为不公正的法。如前所述,为了避免条例制定的赔偿标准在适用中引起明显的不公正后果, 卫生部原本(如果她认为在政策上确实有此必要的话)应当将涉及福利性的问题作为医疗事故处理机关在具体确定赔偿数额时应当考虑的因素之一,同医疗事故等级等因素一起,在条例第49条第1款中加以规定。
(3) 即使我国医疗行业具有相当高度的、相当广泛的、对不同的患者而言相当均等的福利性( 比如达到了日本或一些欧州国家的程度), 以其为据限制医疗事故赔偿也是没有说服力的。
① 生命健康权是人的最基本的权利, 理所当然地受到现行宪法和一系列相关法律的保护。充分保障这一权利, 建立具有适当程度的公共福利性的医疗制度和社会保障制度, 使每一位居民, 不论其经济能力如何, 都能得到相当质量的必要的医疗服务, 是政府在宪法上的责任。我国医疗行业保留一定范围和一定程度的公共福利性,政府从财政上给予医疗事业必要的支持, 应当被理解为是人民权利的要求, 是政府对其宪法责任的履行, 而不应当被看成是政府对人民的恩惠。财政对医疗事业的投入, 并非来自政府自己的腰包, 而是人民自己创造的财富。在笔者看来, 以医疗行业的公共福利性为理由的医疗事故赔偿限制论, 似乎缺少人民的宪法权利和政府的宪法义务这一基本的宪法意识, 自觉或不自觉地把医疗行业的公共福利性看成是政府通过医疗机构的服务对百姓患者实施的恩惠。
② 如果说社会福利在有些资本主义国家(比如美国)的一个时期内, 曾被仅仅视为国家对社会的弱势群体的特殊照顾或恩惠(不是被视为福利享受者的法律上的权利)的话, 那么就应当说在社会主义国家,它当然应当被首先理解为国家性质的必然要求。我国只要还坚持宣告自己是社会主义性质的国家, 就必须坚持这种理解。以医疗行业的公共福利性为理由的医疗事故赔偿限制论, 似乎缺少鲜明的社会主义观念, 自觉或不自觉地把医疗福利仅仅理解为政府所采取的一种爱民利民政策。
③ 任何社会福利政策,只有获得了完全意义上的法律保障才可能真正为人民带来切实可靠的福利。笔者在此所说的完全意义上的法律保障是指,不仅福利的提供要有法律保障, 而且在福利的享受者因福利的具体提供者的过错而受到损害的情况下也要有充分的法律救济的保障。 否则, 提供福利的法律保障就失去了充分的现实意义, 人民享受的福利就只能是残缺不全的福利。以医疗行业的公共福利性为理由的医疗事故赔偿限制论, 似乎缺少全面法律保障的观点, 它弱化了法律救济的机能, 使本来就程度很低•范围很窄的医疗福利退化为残缺不全的福利。
安全审计的类型范文2
关键词:网络;安全;管理;协议;审计
中图分类号:TP183文献标识码:A文章编号:1009-3044(2009)36-10443-02
Network Security Management
YANG Wei-zhong
(Shanxi Prouincial Expressway Construction Group CO, Xi'an 710054, China)
Abstract: the basic aim of network security management is to ensure availability of network and system, it involves many factors, such as personnel, hardware, software, data and documentation, laws and regulations, etc. But here we have to consider from the global network security management, but only from the point of technology introduced two kinds of typical network security management protocol. Network management, network management system for the agreement provides methods and network components. They support such as configuration management and audit and management function, the event log for diagnosis of network problems and provides tools.
Key words: network; security; management; protocol; audit
1 安全审计追踪对确保任何网络安全都起了重要的作用
它可以用来检测一个安全策略的正确性,确认与安全策略的一致性,帮助分析攻击,并且收集用于攻击者的证据。安全审计追踪记录了任何可疑的事件(可以产生一个安全警报),也可以记录许多日常事件,如建立和终止连接、使用安全机制和访问敏感资源。同类或不同类的系统都可以检测到被审计的事件,并由系统中的安全审计追踪日志来维护。安全审计追踪功能为将事件信息传递给维护日志并创建和恢复日志实体的系统提供了必要的支持。
在这里讲述的主要标准是安全审计追踪功能(1SO/IEC 10164-8)。因为管理一个安全审计追踪日志的机制基本上与网络管理中的管理任何其他类型的事件日志一样。该标准依赖于以下两个标准――事件报告管理功能(1SO/IEC 10164-5)和日志控制功能(1SO/IEC 10164―6)。
通知一个安全审计追踪的事件的过程类似于产生一个安全警报报告的过程。它包括一些受管对象对一个M-EVENT-REPORT的调用。一个安全审计追踪日志可以记录事件类型参数指示的几乎任何管理通知,包括ISO/IECl0164―7中定义的安全警报报告通知。
安全审计追踪功能标准另外定义了两个特殊的通知,分别与服务报告和使用报告对应。服务报告表明了与一些服务的提供、拒绝或恢复有关的事件。使用报告用于有安全意义的日志统计信息。传递的参数和这些事件类型基本上与安全警报报告中使用的一样,其中包括任何M-EVENT-REPORT通用的参数和任何管理警报通用的参数。服务报告事件类型中定义了一个额外的参数,称为服务报告原因,用于表明报告的原因。这个参数是一个ASN.1对象标识符,也就是说任何人可以定义并注册其值。该标准还定义了一些通用的值:服务请求、拒绝服务、来自服务的回答、服务失败、服务恢复和其他原因。
审计追踪过程的控制和从安全审计追踪中检索实体都独立于上面的通知过程。它们利用了定义在其他标准中的通用过程。事件报告管理功能(1SO/IECl0164―5)为两个系统之间的联系建立了一个长期的事件报告。日志控制功能(1SO/IECl0164―6)支持用于安全审计追踪和其他目的的日志的创建和删除以及这些日志记录的检索。
2 管理资源的访问控制
网络管理有它自己的访问控制要求,有必要控制谁能调用管理功能,谁能创建、删除、修改、或读取管理信息。这样的访问控制在任何使用网络管理协议的网络中都是至关重要的,因为对网络管理资源的破坏也就等于破坏了整个网络。
ISO/IECl0164―9标准中讲述了这种类型的访问控制(访问控制中命名了对象和属性)。该标准给出了一个访问控制模型,以及支持系统之间传递访问控制信息所需要的信息对象定义,并使用了访问控制框架标准(1SO/IEC 10181―3)中的术语和概念模型。包括各种访问控制策略以及各种访问控制机制(如访问控制列表、能力、安全标识和基于内容的控制)。
访问控制决策应用于管理操作的调用例如M-GET或M=SET。包括的体系结构的部件。发起者是管理系统(或系统中的管理员),目标是受管系统的信息资源。一个目标可以是受管对象、受管对象的属性、受管对象的属性值或受管对象的行为。因此,可能为管理员提供了一个非常精确的控制级,在这个控制级上管理员可以为某一目的访问某一管理信息。
基于访问控制规则来决定是允许还是拒绝访问请求。访问规则本身可以表示成管理信息条目并且使用CMIP协议来管理(例如,读或写)。
访问控制规则的三种不同类型是有区别的。一个安全区域权威机构根据特定的发起者或发起者类(例如,区域中可辨认的特定角色)用全局规则来保护区域中的所有对象。条目规则是用于特殊目标的特殊规则。当没有合适的全局或条目规则使用时,可使用缺省规则来做访问决策。
当有许多规则用于一个特定的访问请求时,这些规则的优先级如下:
① 拒绝访问的全局规则;
② 拒绝访问的条目规则;
③ 允许访问的全局规则;
④ 允许访问的条目规则;
⑤ 缺省规则。
一个访问控制规则能够基于安全策略所要求的任何决策过程。一个规则的说明书中包含了许多要素,如:
① 访问的许可:指明是与拒绝服务有关还是与允许访问有关的规则;
② 发起者列表:可应用的发起者列表,以访问控制列表、能力、或安全标签形式表示;
③ 目标列表(只用于条目规则):可用的目标(例如,受管对象,属性和属性值)和作用在这些目标上的操作的列表;
④ 时间表:指明这些规则使用的时间点(如只能在规定的上班时间,或从星期一到星期五);
⑤ 状态条件:指明使用规则的受管对象的属性的状态(例如,在系统处于诊断状态时才可用);
⑥ 认证内容:当要认证发起者时,指明需要认证的等级。
访问控制决策过程如下:首先,需要验证伴随访问请求出现的任何访问控制信息。需要标识发起者和目标使用的任何访问规则的身份,并根据他们的全局/条目/缺省的意义进行归组。然后根据优先级的限制来使用这些规则。
使用规则的方法取决于所使用的特定的访问控制机制。在访问控制列表机制中,将发起者的标识符与使用的访问控制列表进行比较。在能力机制中,将发起者提供的能力与规则中陈述的能力进行比较。在基于标识的机制中,将与发起者相关的标识与规则所识别的标识集进行比较。还需使用基于内容的检测,如时间表、状态条件或认证级别。作出访问决策后,就有其他一系列的行为发生。决策使用的信息需要暂时保存起来用于以后为相同的发起者作决策(这样的信息被称为保留的访问控制决策信息或保留的ADI)。与目标有关的访问控制信息需要修改,例如如果管理操作导致受管对象的建立或删除。由于依赖于安全策略,因此也有必要生成一个安全警报和安全审计追踪通知。
如果访问被拒绝,则有各式各样的方式来应答发起者。安全策略规定了下列类型的应答:指示出拒绝访问的错误、没有响应、错误的响应(例如,发起者看起来已经允许访问)或中断相关的应用。
为支持上面的过程,需要远程管理(例如,创建、更新)来存储用于决策访问控制的信息。为此,标准提供了几个受管对象类和属性类型定义,用于表示访问控制规则和支持信息结构。这些定义能够使用ISO/IEC l0164―1中定义的过程来远程控制访问控制信息。
参考文献:
[1] 李晋平.局域网络络组建和安全治理的实用技术[J].电脑开发与应用,2002,15(10):33-35.
安全审计的类型范文3
关键词:Oracle;数据库;安全策略;安全审计
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)21-5057-02
当前,随着国内信息化的大力发展,政府和企业的网站建设进展迅速,网站建设趋向大型化、综合化,网站建设中对数据库的要求与日俱增。Oracle数据库由于其出色的行业特性,成为网站建设中数据库的首先。出于安全性的考虑,Oracle数据库提供了较为广泛的安全特性,但其自身机制仍无法保证信息的安全,出于对传统静态防护不足的认识,以安全审计为代表的动态防护成为保障数据库安全的有效途径。
1 Oracle网站数据库系统简介
Oracle数据库是由全球最大的数据库厂商美国甲骨文公司(即Oracle)设计研发的一组软件系统产品,其核心是分布式数据库,基础是高级结构化查询语言(SQL)。自Oracle问世以来,市场占有率逐步攀升,据相关统计,全世界有90%以上的上市公司、65%的“全球100强”公司都运用Oracle数据库进行电子商务,绝大部分大型网站运行的都是Oracle数据库。Oracle之所以取得这样的成就,与他的以下特点密不可分:
1)Oracle数据库是一个通用系统,它的数据管理功能是非常完整的。
2)Oracle数据库是一个关系数据库,具有关系完备的特点。
3)Oracle数据库是一种分布式数据库,可实现分布式处理的功能。
4)适用于各种硬件平台,如PC机、大型机和服务器等。
5)适用于各种操作系统,如UNIX、Linux、Windows、Windows NT、VAX/VMS,和VM/CMS等。
6)能够处理多媒体信息,如图片、音频和视频等。
7)提供了广泛的安全特性。Oracle数据库设有多个安全层,访问控制、数据完整性验证、授权机制、视图机制、审计机制及加密机制。
2 Oracle在网站数据库应用中的安全威胁
目前,许多政府部门、企事业单位、银行、证券交易中心等都使用Oracle数据库作为其网站的信息载体,网站中最具价值的部分均集成在数据库里,其安全性就显得尤为重要。如前所述,Oracle数据库本身为保证信息安全,已提供了若干安全防护技术,但任何防护都不是绝对万无一失。数据库厂商在加强产品安全性的同时,计算机犯罪分子及相关组织的攻击手段也日益多样化,Oracle数据库同样会受到各种威胁和攻击,主要有对Oracle数据库信息进行窃取、破坏和篡改、病毒入侵、黑客攻击等等。
2.1 通过SQL语句注入进行攻击
通过SQL语句注入进行攻击是目前黑客的常用攻击手段。Oracle数据库大多采用B/S模式进行开发,基于这种模式进行编程的程序员数量众多,而各个程序员经验、水平上的差异较大,有许多程序员在编程时,没有对输入的数据进行合法性判断,给数据库应用埋下了安全隐患。非法用户通过提交查询代码,依据程序的返回值,就能够非法得到数据,这就是SQL注入。比如在某个网站中,要求用户输入用户名和密码,然后方能登陆,假定该网站有一个用户kitty,其密码是hk0936,有一黑客不知道其密码,却想通过其身份进行登陆,在通常情形下,用户在用户名框里输入kitty,密码框里输入密码hk0936,输入正确则登陆进入,否则无法登陆。如果程序员的查询语句是:
Sql="select*from client where clientname='"&name. values&"'and password= ' "&pass. values&"' "
那么在Oracle数据库系统中执行的程序语句如下:
select* from client where clientname ='kitty' and password=' hk0936'
如果黑客在密码框中输入的不是hk0936, 而是hk0936' "&"' or 0=0,这时在Oracle数据库数据库系统中执行的语句就成为了select* from client where clientname ='kitty' and password=' hk0936' or 0=0,这时,由于0=0一直为真,就会造成where条件为真,黑客成功以kitty为用户名登陆系统。
2.2 默认密码
Oracle数据库自带如scott, ys等初始用户和对应的默认密码。假如网站的管理员缺乏经验,未修改初始密码,黑客就会与普通用户一样,顺利登陆网站数据库。
2.3 暴力破解法
暴力破解法也是黑客破解密码的主要方法之一,对Oracle来讲,是通过非法进程,尝试全部字母、数字的组合来破解密码。由于当前密码已经较为复杂,这种破解方法通常需要很长时间,但黑客往往配备专业的密码字典,并借助计算机程序辅助推算,提高匹配性。这种攻击主要通过密码输入次数受限的方法来防护,另外要提醒用户定时更新密码。
2.4 文件系统的非法访问
对Oracle文件系统的非法访问是一个非常难以解决的问题。在Oracle网站系统中,除Oracle用户外,其他的特权用户也有权限访问数据库中的文件,这就可能造成恶意访问;此外,如果把一台服务器中的文件复制到另一台服务器中,则复制过去的文件也可以由Oracle进行访问,因此,一旦出现存储介质失窃,文件被非法复制等情况,就会造成安全隐患。
3 Oracle网站数据库的安全策略――基于安全审计
在该文上一节指出,在网站中,数据库本身的安全机制及静态的安全防护措施并不能保证系统的绝对安全,仍有被黑客突破的可能。为解决该问题,首先,需要知道Oracle数据库是如何受到攻击的;第二,要弄明白Oracle数据库存在哪些漏洞;第三,在Oracle数据库系统被攻击时需马上警觉;第四,要把黑客的攻击证据留下。安全审计的概念正是基于上述目的而提出,网站数据库的安全审计,简单的说是对网站数据库中与信息安全有关系的事件进行综合处理的系统。
3.1 Oracle数据库的安全审计机制
事实上,安全审计已经成为数据库的安全标准核心,Oracle数据库作为当前市场占有率极高的网络数据库,也有自己的安全审计机制,且功能较为强大,它可以审计Oracle数据库里的全部操作,能够将所形成的审计记录写到操作系统或者SYS. AUD$表。Oracle自身提供的审计记录里包含以下内容:操作、进行操作的用户、时间、类型。对于操作的类型,Oracle审计机制主要针对以下3种,即:登陆企业、操作行为和对象访问。
登陆企图:如前所述,网络黑客经常会采用暴力破解密码的方法,不断尝试其猜测的密码是否正确,试图登陆进系统,这时,Oracle的审计机制能够把这种登陆企图全都记录下来,包括成功的和不成功的。
对象审计:Oracle数据库的审计机制能够对影响对象(如表、链接、同义词、回退段、索引)的所有操作均进行审计。
操作行为:Oracle数据库的审计机制即可以对系统级的操作行为审计,也能对具体的数据操作行为审计。
3.2 Oracle数据库安全审计的优化实现
从应用的角度考虑,一个全面实用的数据库审计应至少具有下列功能:收集、过滤、日志的维护、查询、行为分析以及控制。但是,Oracle数据库自身的审计机制倾向于记录大量的操作,自己并不分析这些操作,而是交给数据库管理员进行人工分析,由于数据量大,人工分析极可能造成漏报、误报等情况,而且往往分析不全面,浪费掉许多记录。因此,需要对Oracle数据库审计进行优化实现。
基于上述功能的实现及对Oracle审计机制的补充,图1给出了一种实用的数据库审计系统框图,该Oracle数据库审计系统包括了5个模块,即登陆模块、审计策略模块、预处理模块、分析模块和异常检测模块。
该Oracle数据库审计系统的具体实现是首先通过对审计的数据进行预处理,然后采用数据挖掘优化算法分析上述处理过的审计数据,继而提取出合法用户的正常操作行为特征,生成正常行为规则库,最后,通过审计系统的异常检测,对数据库操作进行实时监测和动态分析。其实现的流程图如图2所示。
4 结论
该文提出的基于安全审计的Oracle网站数据库的安全策略,一方面实现了对Oracle网站数据库的动态安全策略,克服了静态防护的不足;另一方面,加入了对审计记录的实时分析,弥补了Oracle自身审计机制的不足。具有良好的实用性,且便于动态升级更新。
参考文献:
[1] 赵大力,靳其兵,赵梅.Oracle数据库优化解决方案[J].计算机应用,2005(3).
[2] 庞洋.基于数据挖掘的园区网综合安全审计系统研究与设计[D].郑州:中国人民信息工程大学,2005.
[3] 刘海峰,卿斯汉,刘文清.安全操作系统审计的设计与实现[J].计算机研究与发展,2001,38(10).
安全审计的类型范文4
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
安全审计的类型范文5
1利用网络及安全管理的漏洞窥探用户口令或电子帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。
2利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。
3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。
计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。
一、网络安全审计及基本要素
安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的问题。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。
二、网络安全审计的程序
安全审计程序是安全监督活动的具体规程,它规定安全审计工作的具体内容、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。
安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。
1了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?
2了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。
3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。
安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计分析器。
安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。
三、网络安全审计的主要测试
测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
下面是对网络环境会计信息系统的主要测试。
1数据通讯的控制测试
数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文
件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的内容。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。
2硬件系统的控制测试
硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
3软件系统的控制测试
软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。
4数据资源的控制测试
数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。
5系统安全产品的测试
随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。
四、应该建立内部安全审计制度
安全审计的类型范文6
作为我国电子政务重要基础设施的电子政务外网,为了实现服务各级党政部门,满足各级政务部门社会管理、公共服务等方面需要的重要功能,要求具有互联网出口,并且与互联网逻辑隔离。因此,电子政务外网面临来自互联网和内部网用户两大急需解决的安全难题。
二、设计思路
本方案按照《国家电子政务外网安全保障体系总体规划建议》进行设计,规划范围以市级电子政务外网为主,以市级电子政务外网运维中心为重点,覆盖市委、市政府、市人大、市政协和多个委办局单位以及市属各个县区,根据国家电子政务外网安全保障体系的规划,市级电子政务外网安全体系包括如下三个方面的内容:
(一)安全管理体系。主要包括:按照国家安全保障体系建设标准,建设市级安全管理中心(SOC);以《国家电子政务外网安全标准指南》为标准贯彻执行国家已有安全法规标准,同时制订符合本市电子政务外网自身特点和要求的有关规定和技术规范。
(二)网络安全基础防护体系。主要包括:网络防护与隔离系统、入侵防御系统、接入认证系统、业务隔离和加密传输系统、防病毒、漏洞扫描系统等。
(三)网络信任体系。主要包括:PKI/CA系统、权限管理系统和认证授权审计系统。
三、方案设计
(一)安全管理中心。市级安全管理中心是市级电子政务外网安全的规划、实施、协调和管理机构,上联省级电子政务外网安全管理中心,把各类安全事件以标准格式上报到省中心,同时对县区管理中心下发安全策略,并接收县区的日志、事件。县级安全管理中心在市中心的授权下,具有一定的管理权限,并对县级安全策略及日志、事件进行采集和上报。市级安全管理中心也是市级网络安全设施的管理维护机构,为使安全设施能够最大限度地发挥其安全保障功能,需要建立一个良好的安全综合管理平台,以实现业务流程分析,并对业务系统在安全监控、安全审计、健康性评估等方面的运行进行有效的管控,从全局角度进行安全策略的管理,对各类安全事件作出实时的监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告、健康性报告和风险分析报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除各类安全隐患。
(二)基础防护平台建设。基础防护平台主要是以确定的安全防护模型框架为依据,结合政府业务的实际安全需求,在原有互联网安全设施基础上进行安全基础防护体系的新建或扩充、延伸与扩展。包括边界隔离与控制、身份鉴别、认证与授权、入侵检测与防御、安全审计与记录、流量监测与清洗、数据加密传输、病毒监测与防护、安全扫描与评估、安全策略集中管理、安全监控管理和安全审计管理等基础安全防护措施。最终达到提升系统的整体抗攻击能力,确保电子政务外网能够更好地支撑各类政务应用系统的运转。
(三)边界隔离与控制。防火墙是实现网络边界隔离的首选设备,防火墙是运行于软件和硬件上的,安装在特定网络边界的,实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为破坏内部网络。它可以让用户在一个安全屏障后接入互联网,还可以把单位的公共网络服务器和企业内部网络隔开,同时也可以通过防火墙将网络中的服务器与网络逻辑分离,进行重点防护。部署防火墙能够保护一个网络不受来自另外网络的攻击。
(四)入侵检测与防御。在整体的网络安全中,依靠安全策略的指导,对信息系统防护有积极的意义。但是,无论网络防护得多么牢固,依旧不能说“网络是安全的”。因为随着技术的发展,任何防护措施都不能保证网络不出现新的安全事件,不被手段高超的人员成功入侵。在攻击与防御的较量中,实时监测处在一个核心的地位。
(五)安全审计与记录。安全审计系统记录了网络使用者的全部上网行为,是支撑网络安全事件调查的基础,是审计信息的重要来源,在电子政务外网的建设中,应当尽量延伸安全审计系统部署的范围,并采用多种的安全审计系统类型(如网络审计、主机审计、数据库审计等)扩展安全审计的层面。
(六)流量检测与清洗。流量检测与清洗服务是针对网络传输信息流类型、大小以及诸如DOS/DDOS等安全攻击行为的监控、告警和防护的一种网络安全服务。该服务对进出内部网络的业务数据流量进行实时监控,及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下,清洗掉异常流量。有效满足各业务系统运作连续性的要求。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。
(七)统一病毒防护平台。根据电子政务外网省、市、县三级分布的特点,可采用多级、多种的方式进行病毒防护系统的综合部署,包括在网络边界安装硬件防病毒网关、针对特定应用布署网络防病毒系统、针对多数工作终端布署单机版病毒查杀软件等方式。
(八)终端管理。利用桌面终端管理系统,对于终端电脑从以下四方面进行进行标准化管理:
1.网络准入。通过网络边界部署的防火墙设备、网络交换机设备与终端管理服务器配合,实现终端用户的802.1x准入认证,使得所有终端用户接入电子政务外网网络必须提出申请,并对接入机器做防病毒等安全审核,在安装了准入客户端软件(Agent)并分配了用户名/密码后,才能合法接入网络并使用信息资源,开展业务工作,实现了对终端用户的有效管理。
2.网络切换。通过实现终端用户访问互联网和电子政务外网两网切换使用功能,实现对两网资源使用的严格管理,避免安全隐患的发生。
3.文件保险箱。利用“文件保险箱”功能,在终端用户处于“政务外网”访问状态时可以使用“文件保险箱”功能,并创建、修改、使用加密文件或文件夹,在终端用户处于“互联网”状态时无法使用此功能,不能创建、修改、使用加密文件或文件夹,从而保证工作文件的安全。
4.补丁管理。利用桌面系统补丁管理的功能,帮助管理员对网内基于Windows平台的系统快速部署最新的安全更新和重要功能更新。系统能检测用户已安装的补丁和需要安装的补丁,管理员能通过管理平台对桌面系统下发安装补丁的命令。补丁服务器可自动从微软网站更新补丁库,管理员负责审核是否允许补丁在终端系统安装。通过策略定制,终端系统可以自动检测、下载和安装已审核的补丁。
(九)采用2+N的业务模式。对于利用互联网接入的业务系统,必须采用VPN接入,建设互联网接入区,隔离互联网与政务外网的数据包,将互联网业务进行封装,确保互联网业务在专网的VPN通道内进行传输,对于需要与互联网联接的为公众服务的业务,通过逻辑隔离的安全防范措施,采用防火墙系统、入侵防御系统和网络防病毒系统,对互联网接入业务提供必要安全防护,保障电子政务外网的信息安全。
(十)信任体系设计。建立了基于PKI/CA公钥基础设施的数字证书认证体系。完善、推广、促进数字证书体系的发展和根据业务需要建立相应CA机构,并实现某些应用和管理需要的单点登录要求。
