前言:中文期刊网精心挑选了安全审计总结范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
安全审计总结范文1
杭州帕拉迪网络科技有限公司(简称帕拉迪)从金融行业的实际信息安全需求出发,充分吸收近年来信息系统安全保障理论模型和技术架构(如IATF等),全面参考《信息安全等级保护基本要求》、《银行业银行机构内部审计指引》、《商业银行信息科技风险管理指引》等相关指引及法规要求,结合帕拉迪多年的攻击防护经验,为金融行业提供IT运维的统一安全管理与综合审计解决方案。该方案主要解决金融机构信息中心运维管理面对系统复杂性、网络安全性、IT内控外审等而产生的相关问题。这一方案实现了按照行业标准进行金融机构的精确管理、实时监控和警告、事后追溯审计等,为管理人员的运维和决策提供了有效的技术手段。
金融IT内部的运维风险
1. IT内部对服务器的维护和管理依赖于操作系统的口令认证,口令易被转授、窥探以及遗忘等弱点,以及授权不方便等问题造成管理困难,成本较高。
2. 第三方厂商技术支持人员、项目服务商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效地记录其操作过程和维护内容,核心机密数据容易泄露或遭到恶意破坏。
3. 研发部门在系统上线运行后,经常会通过普通的权限登录系统分析软件查看问题,从信息安全角度考虑,这些查询过程必须留有记录。
解决方案技术优势
1. 独创的数据库运维操作审计平台,覆盖主流商业数据库的企业应用和运维操作。
2. 支持RDP图形实时文字识别和文字提取功能。
3. 带来无缝应用的用户体验,所有应用均可本地化展示。
4. 提供文件传输内容审计记录。
5. 契合金融行业安全的三级会同功能(接入会同、密码会同、命令会同)。
解决方案部署收益
1. 规范运维管理。建立统一安全管理和综合审计平台,统一入口、统一认证、统一授权、统一审计;用户可以在平台上基于权限进行访问控制,提高了系统安全性,同时减轻了管理员工作压力,提高了工作效率,确保管理制度的顺利实施。
安全审计总结范文2
[关键词] 安全审计;审计手段;异构环境审计
0引言
随着社会信息化程度的加深,各大中型企事业单位逐渐形成了科学化、多样化的各类信息系统,往往一个企业的信息化系统就多达十余个,在这种复杂的多系统条件下,如何实现细粒度的精准安全审计已成为审计领域一个热点问题。
本文首先对目前信息化环境下的细粒度安全审计进行了概要描述,接下来详细分析了各种安全审计方法特点,最后对异构性多信息化系统环境下的有效审计手段进行分析总结。
1信息系统安全审计简介
1.1 信息系统安全审计定义
信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等[1]。
1.2 信息系统主要安全审计手段
对信息化系统环境下用户操作行为的安全审计可以通过以下几种典型手段实现:
(1)基础日志层面审计:对信息化系统的基础it支撑硬件环境内设备的自身日志进行分析的手段。
(2)网络层面审计:通过采集网络数据包后进行协议解析还原来分析信息系统网络活动的审计手段。
(3)业务层面审计:对信息化系统中业务操作行为日志进行记录审计的手段。
(4)敏感数据专项审计:针对信息化系统定义的具有高风险的企业敏感数据进行细粒度审计的手段。
2安全审计技术特点分析
2.1 概述
基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计是4种比较典型的对信息化系统的审计手段,本文将对各种审计手段的特点进行分析。
2.2安全审计手段特点分析
2.2.1基础层面日志审计
基础层面日志审计面向it支撑系统中的设备层面,是安全审计的基础手段之一,通过对设备自身运行日志、配置变更日志等底层设备日志的审计分析,可对目前设备的自身安全运行状态得出基础判断。
2.2.2网络层面审计
网络层面审计需利用网络抓包分析手段对网络中的数据流进行分析。在分析过程中,主要需重点关注访问源地址异常、访问协议异常、访问次数异常的数据流[2]。
2.2.3业务层面审计
业务层面审计需依赖于良好的业务梳理,形成业务合规操作定义。进行业务审计前,需对信息化系统中业务操作进行日志记录,结合合规操作定义进行比对审计。
2.2.4 敏感数据专项审计
信息化环境下保有的大量数据中存在着对企业来讲极为重要的数据,这些重要的、涉及企业较大利益的敏感数据在安全审计层面需要通过专项审计来满足审计需求。敏感数据审计通过定义需审计的具体数据内容、数据具体存放位置、数据可被访问的手段等具体内容,针对违反上述定义的情况对数据进行逐一的细粒度重点审计。
3安全审计手段整合技术
用基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计等手段虽然可对信息化系统进行安全审计,但复杂多信息化系统环境下大量的审计数据的获取、过滤、关联,必然耗费较大的人力且容易出现审计风险[3]。为避免上述问题,本文综合现有安全审计需求,提出如图1所示的安全审计手段整合架构。首先将各信息化系统的全量日志送入多日志采集平台,由平台统一将各类日志进行标准化处理、过滤后送往不同的二次分析模块(分为网络类与设备类及业务数据类两种),由分析模块根据自己的审计策略进行关联分析,最后将各自模块处理后的数据送入综合审计平台,由综合审计平台对各层面日志进行关联化的综合审计。
4结 论
多信息化系统环境下安全审计的精准实现,需要采用精准化的日志处理及多级关联审计策略,将日志处理为标准可读日志后按照信息化系统的审计需求,横向关联多层面日志、纵向关联多时间段日志,最终满足灵活多变的安全审计需求。
主要参考文献
[1]国际标准化组织. 信息技术安全性评估准则(iso/iec15408-2:1999)[s].1999.
安全审计总结范文3
关键词:政府审计;经济安全;预警系统架构
中图分类号:F201 文献标识码:A 文章编号:1006-4311(2012)02-0145-02
0 引言
后金融危机时代,美国采取一系列刺激经济的扩张性财政政策,诸如大规模发行货币来刺激消费来达到经济复苏的目的,这使中国改革开放三十年积累千亿的外汇储备财富随美元的贬值灰飞烟灭。随着全球经济一体化引发的国际经济战争愈加频繁,越来越多的国家开始关注军事安全以外的经济安全问题。而我国在融入全球一体化进程中,由于缺乏实践操作经验,在深化经济改革和完善法律法规时导致过多依赖国际金融服务机构的指导,结果都或多或少渗透着国外经济团体的决策诱导,这导致我国经济不断遭受隐形侵害。而在不良影响显现出来之前却不被关注,直到经济受到侵蚀的相关案例越来越多才引起我们重视。2009年力拓间谍案就充分暴露了我国对经济安全战略性防御的薄弱。
1 经济安全审计预警系统基本概念
1.1经济安全经济安全是指国家经济在发展中不受破坏、侵蚀和震荡的健康运行状态,主要是指一国经济在整体上基础稳固、健康运行、稳健增长、持续发展,在国际经济生活中具有一定的自主性、自卫力和竞争力,不致于因为某些问题的演化而使整个经济受到过大的打击和(或)损失过多的国民经济利益,能够避免或化解可能发生的局部性或全局性的经济危机。
1.2经济安全审计经济安全审计是由政府审计机构主导,民间审计组织协同,审计科研院所提供技术支持,共同以维护国家经济安全为目的,对特定的、潜在地影响国家经济安全的经济行为为审计对象,通过审计技术手段和方法查找危害国家安全的经济风险,把审计结果报送相关使用部门来达到防范、预警经济风险的作用。
1.3经济安全审计对象在微观上有外资或国外组织参与的国内经济事项或在国外的国有资产投资项目,在宏观上要关注国家经济体制变化和经济危机的风险积聚因素。
1.4经济安全审计预警系统国家经济安全审计预警系统是为了对国家经济安全进行审计,警示宏观经济运行和具体经济事件中的不良影响来达到维护国家经济安全目的而建设的软硬件设施,包括组织机构、人力资源、审计方法设计、网络运行建设,理论研究等相配套的软硬件构成总体运行系统。
2 经济安全审计预警系统架构设计
2.1经济安全审计预警系统的组织架构设计经济安全审计预警系统作为国家监控经济运行的机构,在体制上应隶属国家审计署,在其下设独立的审计监察部门。经济安全审计预警系统的组织结构如图1所示。
2.2经济安全审计预警系统运行的制度设计通过立法形式明确审计机关进行经济安全审计的权力。在《中华人民共和国宪法》、《中华人民共和国审计法》中赋予国家审计机关维护经济安全的权力。以法律政策支持经济安全审计预警系统有效运转,各个部门在法律框架内分工协作:①宏观经济检测部门实时监控影响国家宏观经济发展的因素来防范经济风险,并定期向主管部门上报宏观经济运行状况的分析专项报告来警示宏观经济风险来达到防患于未燃;②经济安全分析部门有权利对具体的重大经济行为进行实时审计监控、对国际贸易或者某行业发展不均衡进行专项审计调研,评估其发展对国家经济安全的影响,排除损害国家经济安全因素,从而保障国家经济利益不受损害;③审计结果报告部门对审计评估结果以定期报告或专项报告的形式汇报给后续使用部门的同时,还需要对具体经济行为的后续跟踪审计,实时监控来维护国家经济安全:④数据信息处理中心技术支持部门负责从国家其他部门或组织采集数据,作为数据储备以供监管分析使用。
2.3经济安全审计预警系统运行的技术支持设计
2.3.1完善经济安全审计预警系统的软硬件设施预警系统管理模式按照审计执行和审计科研两大机构脉络,在审计执行层面由政府审计工作人员整合现有资源进行国家经济安全审计,拓宽审计范围、制定审计方案,在宏观经济领域和具体经济事项的审计监控中维护国家经济安全。在审计科研层面不断开发创新审计理论、审计方法来提高审计技术,一方面,可通过成立学术委员会,鼓励和支持业务和技术人员深化事前审计理论体系研究,丰富预警研究方法,实现保证审计评估经济安全预警的工作物质基础和智力结构。另一方面,通过加强与专业审计机构、民间科研团体及高校审计研究部门机构的合作,以科研课题、项目创新等形式共同开发审计资源。让审计预警平台参与各方在具备审计执行力的同时加强学术研究以及审计技术的创新完善来保证审计操作理论的不断更新,相互促进理论与实践的联动效应,加深双方对维护国家经济安全领域和方法的理解。并吸收更多社会力量加入到维护国家经济安全的工作中来。
2.3_2建立和完善数据采集汇总子系统构建的经济安全审计预警系统在维护国家经济安全要对国家运行的经济数据进行采集和汇总分析。所以建设完善、强大的数据库是先决条件。首先,由国家审计署对目前各省地方审计机构已经构建的网络审计平台进行功能拓宽改造,进行数据互联共享等审计资源整合,形成包含系统管理、数据采集转换、数据管理、审计查询、审计分析等多项基本功能的审计网络平台,并利用资源共享、数据互通的优势,完成各类宏观数据库建设。其次,数据信息处理中心与其他政府职能部门建立数据传输接口,运用网络平台对国家经济运行数据进行采集汇总,对财政局、统计局、发展及改革委员会、国家信息中心等部门的数据接口进行对接,丰富数据来源,并对采集得到的数据形成数据储备库来满足多角度审计评估的需要。第三,在数据库系统的开发和使用上要能保证数据库软硬件的安全性、保密性、稳定性和开放性,数据库的设计原理要方便数据分类查找并实现智能查询功能。
2.3.3建立和完善采集汇总数据检测子系统数据采集子系统是基于硬件资源的有效整合而平稳运行的子系统,数据检测子系统是基于数据检验而运行的子系统。为要保证审计机关取得数据的准确性,一致性、持续性、可验证性要经得起考验,按以下程序对数据进行检测:①对采集汇总数据进行初步审计,对有疑点的数据要根据数据来源进行审计核实,检测异常数据对经济安全的影响程度。②对取得的数据应按照一般数据和专项数据的机密程度设置查询权限,对专项数据进行在政府审计机构监测预警的同时,可采用例如对相应的不涉机密的通用数据采取对外开放接受社会各界的检查,用全员审计来监督各个部门数据的真实性和准确性,来改变目前我国统计数据被全社会普遍质疑的现状,把维护国家经济安全的工作与整体国民互通,满足社会各界维护国家利益的诉求,发动全民监控来达到共同治理国家的愿望。审计机构自己的数据采集部门
可以通过此类相应措施达到审计数据真实准确,从而完善判断国家经济安全基础经济数据的采集工作。
2.4经济安全审计预警系统运行的主要功能设计国家经济安全审计预警系统工作的重点,是对采集的经济数据通过数据整合分析技术、经济系统建模技术和政策模拟技术的多门类科学的综合运用,对包括宏观经济动态、重点行业经济安全及具体经济行为审计等多角度监控经济运行来维护经济安全。其工作主要分三个层次:
2.4.1监测宏观经济发展趋势工作重点是对目前国家基本经济制度是否受到侵害审查、经济是否受到威胁和经济危机是否已经开始产生,政府政策是否符合国家可持续发展战略等。①监测国家基本经济制度是否发生变化。对经济深化改革创新中的发展变化实时监控评估,保证其发展没有偏离社会主义市场经济的轨道。主要监控指标领域为社会主义公有制经济总量占社会经济比重、国有资本控股企业在国家经济运行中所占比重和决策影响力的大小等指标。②监测国家经济安全是否受到侵害。对内主要表现为经济发展方针政策的自主制定权、经济活动的管辖权、重要资源和战略产业的控制权等,对外主要表现为国际经济秩序的平等制定权、国际市场的自由利用权等。经济发展不等于经济安全,如果一国经济受到严重损害导致经济不安全,就迟早会影响经济发展。评估经济是否收到威胁的主要指标为经济方针政策的自主制定率、重要国际经济组织的投票权重、重要海峡无危险通过率、重要资源的外资勘探率和开采率、战略产业中的外资比重、被歧视性反倾销率、被歧视性反补贴率、对外投资的非国民待遇率等指标。③监测经济危机是否开始显现。主要监控指标有GDP增长率、固定资产投资增长率、财政赤字率、通货膨胀率、物价指数、金融资产缩水率、贸易收支赤字率、资本收支赤字率、外汇资产安全率、外债偿付安全率等指标。国家经济出现不稳定并不等于经济出现危机。由于经济危机的风险小不等于经济没有遭到损害,又使我们不再认为经济迅速发展或者经济基本稳定就是经济安全。
2.4.2监控重点行业发展态势
①确定待监控的重点行业。要根据国内经济不同发展时的发展侧重,确定特定时期的重点行业。且前根据“十二五”战略部署:国有经济要对“关系国家安全和国民经济命脉的重要行业和关键领域”保持绝对控制力,即国有资本要对军工、电网电力、石油石化、电信、煤炭、民航、航运等七大行业保持“绝对控制力”,并且国有资本要在装备制造、汽车、电子信息、建筑、钢铁、有色金属、化工、勘察设计、科技等九大行业保持“较强控制力”。这一部署表明上述行业是中国目前控制的重点行业,是关系我国经济安全的部门和行业。所以在经济安全审计中,就要对上述行业进行重点风险监测。
国家金融安全作为国家经济安全的核心,维护国家经济安全应着重对国家金融行业的安全状况进行风险监控。重点监控如何防止外资银行通过向中国企业和个人提供信贷将直接介入中国的货币发行领域:如何防范外资银行透过部分准备金制度,大举推进中国国家、企业和个人的债务的货币化进程;如何防范外资银行增发的“信贷人民币”,将通过银行支票、银行票据、信用卡、房地产按揭贷款、企业流动资金贷款、金融衍生产品等多种方式进入中国的经济体内。经济安全审计预警机构要与金融监管机构共同努力,提高监管力度和知识储备,在理论和实践上有效防范潜在的金融攻击,增强金融体系的坚实防御能力,抵御国家层面的、国与国之间游离于正常金融秩序视线之外的政治热钱的博弈。
②对重点行业定期监控的内容。经济安全分析部门对重点行业定期监控主要采用指标分析法来确定其运行是否存在风险。经济安全分析部门要对财政金融风险、产业风险、能源风险、市场风险、收入分配风险、投资风险、域外风险等方面的进行审计,其风险评估要根据特定行业选取特定指标进行评估,指标的选择更复杂,方法需要更多组合。譬如对国家金融安全指标选取包括:国际储备指标、外债指标、流出、流入资本的构成和期限结构指标、利率和汇率指标、价格变化指标、期限指标、资本充足指标、资产质量指标、盈利能力指标、流动风险指标、质量管理指标等等。
在国家金融系统安全方面,需要对金融机构建立的对内金融防火墙和对外金融防洪墙两条防御体系进行监控。经济安全分析部门通过指标检测的方式监控国家金融安全。选择的指标主要有:银行股权比例、银行股东的性质及持股比例、金融衍生品市场比重、信贷发行规模的控制比例等。
2.4.3实时监察具体涉外经济行为重点是对重点行业企业的国际间购并行为进行审计评估、国有企业改革进行监管审查、不良经济事件产生的后果进行审计后评价。例如国有企业海外投资风险评估、引入外资的投资目的审计、国有资产在购并中的保值增值审计等等。在政府审计工作上,对具体经济事项的审计工作最为频繁,也是运用常规审计方法最为显著的。其审计行为应在经济业务发生时,审计工作就实时跟进,监控整个事件的发展进度,以维护国家安全的标准来衡量具体经济事项中是否存在危害经济安全的迹象发生。在审计程序上:①了解该经济行为涉及行业、国家或地区、哪些民间组织,参与各方的背景及企业性质,该经济行为的潜在影响、最终目的;②掌握对该事项的审批情况,各上级部门的审批意见,检查审批漏洞:③跟踪监控事项的发展是否按照初始计划进行,有无改动的操作,改动部分有无偏离既定方针:④对整个事件操作记录在册,形成工作底稿备查,并总结经验规律,不断提高审计效率,提高审计技巧,有助于丰富理论研究成果。
2.5经济安全审计预警报告子系统设计该系统主要负责将审计结果向上级主管部门报送的执行子系统,其功主要包括:①监督被审项目按预期整改。对审计项目纠正调整是否达到预期整改效果进行跟踪监控,与被审单位主管部门协作,负责审计后项目整改后评价工作。②复核审计结果。经济安全审计涉及的利益方和相关部门较多,并且审计项目对经济安全的影响较为深远,随着时间的推移,影响结果可能不同,由报告子系统负责对审计结果进行复核,完善审计后整改制度。③推进审计问责制度建设。由于目前我国法律赋予审计机关处理处罚权,但没有赋予其对责任人的处理权,因而审计机关不宜直接去进行审计问责。这将是今后我国审计法制建设需要研究解决的问题,也是审计报告子系统功能的拓展提供更广阔的空间。
3 结论
要构建经济安全审计预警系统平台,其制度保证是法律法规及相关配套设施的健全完备;其工作重点是有效地将审计范围覆盖到能影响国家经济安全的领域,实现实时监控:其运行前提是完善经济安全审计预警平台的建设,及其他部门的支持和通力协作;其难点在于探索创新出适合评价经济安全的技术方法。
综合利用预警指标是国家经济安全预警的常用技术方法,所以在对经济风险分析上,如何通过设计经济指标对经济行为进行准确的审计评价,重点是对采集数据质量进行复核和对审计预警评价技术的可靠性进行不断测试改进,经济安全审计预警系统各个环节在运行中要不断完善和升级,使其作为开放性、学习型的系统不断丰富其内核。
参考文献:
[1]雷家啸.关于基于经济安全的信息安全问题[J].清华大学学报(哲学社会科学版),2000,(1):36-42
[2]王素梅,李兆东,陈艳娇.中南财经政法大学学报[J]论政府审计与国家经济安全,2009,(1):95-99
安全审计总结范文4
工程师、硕士,工业和信息化部信息中心工程建设处副处长,研究方向:电子政务建设管理
章铎
北京邮电大学计算机学院计算机科学与技术专业,研究方向:计算机科学与技术
随着通信技术的不断发展,移动通信已经渗透到我们工作和生活的各个方面。通过移动通信的短信息服务(Short Message Service,SMS,以下简称短信)获取和沟通信息,由于其具有的便捷性、间接性、非实时性等特点,已经成为最受欢迎的基础通信服务之一,在教育、医疗、农业、物流等行业中都得到了较好应用。
工业和信息化部自2008年成立以来,大力推动电子政务系统的建设,满足构建服务型政府的需要。随着业务应用系统的不断建设和增多,有必要统一建设短信平台,并作为部电子政务基础设施之一,满足部电子政务建设的发展需要。一是避免重复建设。每个新建的电子政务系统都希望具有短信发送的功能,以便提醒系统用户及时处理业务数据。如果每个系统都独立建设一套短信收发功能,无疑将产生巨大的重复建设,浪费许多不必要的建设资金和精力。二是合理利用。部电子政务外网中已经购置一套基于中国移动的网关服务器,通过其提供的网关接口和Web页面,机关工作人员已经实现了较为便捷的短信批量收发功能。该网关服务器支持二次开发的接口,可以通过其实现电子政务系统“多对一”式的短信收发。三是保证安全保密。部电子政务网络分为外网和内网。外网通过防火墙与国际互联网逻辑隔离。内网与外网物理隔离。在内网运行的电子政务系统,例如:办公(OA)、智能文件交换、远程公文传输、信息上报、运行监测、码号资源管理等系统,无法直接连接移动网关,需要采用光盘刻录的方式,由系统运维人员定时集中进行内外网的短信数据交换。
总体设计
工业和信息化部短信平台分为短信服务接口模块、数据交换模块、统计日志模块、短信管理模块、安全审计模块、系统管理模块、发送与接收等模块。
短信服务接口模块主要实现短信服务平台与各应用系统的交互。应用系统通过短信服务平台的WebService接口实现短信的发送,通过调用各应用系统的webservice接口实现了信息发送的反馈。
数据交换模块主要实现内、外网短信收发数据的交换,定义数据导入、导出的数据格式,通过定时的数据导出与导入功能,实现内、外网短信数据的同步,保证数据的一致性。
统计日志模块主要实现系统在短信发送过程中日志记录功能,建立短信发送日志数据库,实现系统中对各个应用系统发送短信情况的跟踪,并且利用日志数据实现针对短信发送情况的各种统计分析、查询汇总、资费计算等功能。
短信管理模块主要实现各应用系统利用短信服务平台对其发送和接收的短信数据进行查看、管理和维护。
安全审计模块主要实现系统管理员、安全保密员、安全审计员相关操作的安全审计功能。采用“三员分立”的用户管理机制,提供安全审计模块,对短信服务平台中用户登录、系统设置、数据交换等操作进行审计查询。
系统管理模块主要实现系统管理员的管理功能,支持对系统的角色、权限、短信策略、配置管理等的基本管理与维护。
发送与接收模块实现与短信服务器的集成,调用中国移动嘉讯服务器网关接口提供的java软件开发包,实现与短信的真正发送和接收。
在上述总体设计中,对于需要使用短信收发功能的电子政务业务系统来说,只需要在本系统的开发和建设中按照短信平台的短信服务接口要求对接,即可实现完成短信收发功能。省去了数据交换、统计日志、短信管理、安全审计、系统管理、发送与接收等模块的开发和建设,避免了重复建设。
几大关键问题
内网短信发送。由于内、外网物理隔离,必须在内外网环境中分别部署短信平台系统,用于收集各自网络中业务系统推送的短信数据。外网短信平台可以直接连接网关实时发送。内网短信平台只能采用收集短信数据,定期导出数据交换文件,通过人工光盘刻录的方式,交由外网短信平台读取交换文件,连接网关发出的流程。其中,内网短信提示信息的有效性就取决于人工数据交换的周期。在日常工作中,一般安排运维人员,每2小时交换一次短信数据。
短信收发缓冲。在实际应用中发现,有时各个业务系统相对集中地向短信平台推送待发送短信数据。短信平台如果简单的直接转发给网关,会造成网关的拥堵,导致短信发送不稳定。短信数据的收集,由多个业务系统推送而至,速度相对较快。短信数据的实际发送仅通过网关单个系统完成,速度相对较慢。为此,我们采用了基于多线程的生产者/消费者模式,通过短信平台的数据库作为缓冲,将短信的收集和发送分开处理,实现了解耦、支持并发和忙闲调度。
采用压力测试工具软件JMete测试,以500条短信并发计算,短信平台短信发送的平均处理时间为0.632秒,90%(绝大部分)数据的处理时间在2秒以内,平均数据吞吐量为每秒31.2条。能够满足部电子政务系统的短信发送性能需求。
接口验证机制。部机关电子政务短信平台的调用接口是公开的,然而实际推送并发送短信又涉及权限管理和资费结算等管理问题。为此,我们在短信接口调用中,增加了业务系统注册、验证的机制。业务系统如需使用部短信平台在完成相应的审批流程后,由短信平台的管理员为该业务系统进行注册,并提供一个系统接口编码。业务系统向短信平台推送待发送短信数据时,需要同时提供接口编码作为验证。当接口编码验证一致时,短信平台才处理相关的短信数据,并将其所发送的短信数量和时间计入该业务系统。
安全审计总结范文5
校园网络是学校整个信息化的基础设施,其安全是网络信息安全的基石。校园网络安全主要包含校园网络运行安全、网络接入安全、网络安全审计三大部分。
1.1网络运行安全
校园网络运行安全是指校园网络运行稳定,服务正常,并具有一定的网络防攻击能力。网络运行安全是校园网络的最基本网络安全保障,结合网络设备、网络链路和网络策略等实现对校园网络安全稳定运行。大多数情况下,校园网络根据网络拓扑结构划分核心层、汇聚层和接入层。核心层是整个校园网络的核心,一般采用网络设备物理级别的冗余和多物理链路冗余的方式保证网络的运行稳定;汇聚层一般位于楼宇的链路的汇合点,由于重要程度比核心层低,采用网络设备板卡级冗余即能满足网络稳定行要求,同时,与核心层设备采用双链路或多链路实现网络链路的冗余;接入层则服务范围小,网络设备数量多,重要程度低,只需提供设备冗余备份即可。除了网络拓扑结构的稳定外,校园网络还必须有一定的抗网络攻击能力,一般通过在设备上配置ACL、网络端口隔离、QOS等网络安全策略,并在关键部位配备网络防火墙、入侵检测等安全设备对网络攻击进行过滤和防护。为了保障网络设备管理安全,网络设备访问权限(包括本地和远程)需要进行严格控制,只能运行指定的人员、指定的机器才能访问网络设备,并设置符合复杂度要求的密码且定期更换。
1.2网络接入安全
网络接入安全是指网络有一定的安全接入管理能力,防止非授权用户获取网络接入权限,而对于授权用户只能按照权限接入网络并访问相应权限的网络资源。校园网络承担着大量的用户接入服务,服务对象有教职工、学生、外来人员等,有有线、无线等多种接入方式,接入网络复杂。为了保障接入网络安全,校园网需要有网络认证系统,实现对用户的校园网络准入准出控制,针对不同类型的用户实施不同的准入准出策略,达到用户根据自己的权限访问不同的网络资源。
1.3网络安全审计
网络安全审计要求网络有可追溯的能力,通过对用户的上网痕迹进行记录并留存,在一定的时间内根据IP地址等信息反查定位到具体用户。为了保障校园网络政治安全,校园网络出口位置需要部署网络审计设备,对校园网用户上网行为进行记录并保存一定时间。结合网络认证系统,网络审计系统应完成基于用户、时间、IP、MAC、内容五维元素的完整记录,做到信息可追溯。
2校园信息安全
校园信息安全是校园信息化建设中需要重点考虑的对象,信息安全无法保障,校园信息化几乎为零。为了保障信息安全,可以采取如下几步措施:
2.1信息安全分级
根据信息的重要性进行分类,主要分成三类:(1)核心数据:主要指一卡通数据库、数字平台核心数据库、教务系统数据库等学校不能停运的核心系统及数据库,此类数据会在丢失后给学校带来巨大的损失。核心数据需要进行重点安全保护,包括软硬件冗余,系统符合安全访问权限,提供数据冗余备份等。(2)重要数据:主要指办公系统、二级单位网站等,此类数据丢失带来局部损失,影响范围在二级单位内或非学校关键部门。此类数据需进行次级安全保护,提供一定的安全访问控制,根据系统的重要程度提供一定的冗余措施;(3)一般数据:主要指视频网站、缓存、个人数据等,数据丢失可以恢复或影响范围很小或仅限个人等,只需提供简单的保护,主要依靠单机保护机制。
2.2安全机制
(1)安全检测校园信息系统是校园信息的重要铸成部分,是对外服务的窗口,也是网络攻击威胁的主要目标。校园信息系统的程序安全性决定了系统的抗攻击入侵能力,甚至影响服务器系统安全。为了保障安全,新信息系统在上线之前必须经过安全检测,检查密码口令的安全性和网络策略的安全性,任何存在安全漏洞和隐患的系统坚决不允许上线运行。另外,系统后期软件升级和版本更新均须重新进行检测。在日常运行中,学校信息安全部门应不定期对校内所有网站和信息系统进行安全漏洞扫描,并将漏洞检测结果分发到网站管理人员和安全责任人,监督其对系统安全漏洞修复,保证系统的安全漏洞能及时处理。(2)安全策略信息系统的安全策略主要保证网络访问权限和用户权限在允许范围内。信息系统的网络访问权限必须根据系统的服务范围严格控制,只对校内服务的服务器尽可能分配校内私网IP地址或在使用公网IP地址的情况下必须在学校出口位置进行网络阻断,而对互联网开放的服务器应严格根据系统对外提供服务的情况进行网络端口的控制,保证外网的不能访问非服务端口,同时开启操作系统级网络防火墙,根据系统重要程度配备物理防火墙、应用防火墙、网页防火墙、入侵检测等安全设备,加强对信息系统的安全防护能力。与网络攻击入侵不同,用户越权操作带来的安全威胁更为严重,所以,保证用户的操作权限至关重要。在信息系统的前期采购过程中必须重点考虑系统的权限控制问题,必须做到权限控制与实际业务管理相匹配。在运行中,信息系统必须根据工作人员的工作权限分配合理的访问操作权限,特别是核心系统的权限控制要求有安全工作小组评估后进行授权。(3)冗余与备份数据的物理安全是数据安全的最基本的保证,所以数据冗余备份必不可少。根据重要程度,数据的备份也分为物理备份、卷备份、操作系统备份和信息系统备份等,对于特别重要的数据,如一卡通,校园数据基础平台的数据必须保证完全的物理冗余,有条件的甚至跨校区的物理完全备份。(4)日志审计信息系统的日志审计是为了信息系统出现安全问题的事后追查。在网络攻击和入侵的情况下,黑客删除服务器和信息系统日志是对自己最基本的保护,故信息系统的日志保存不能放在本机。网络信息中心一般需要配备独立的日志系统,记录操作系统、信息系统、网络系统的所有访问日志,一方面对网络攻击的时候追查,同时也为网络信息系统日常维护提供安全保障。
3总结
安全审计总结范文6
关键字:广东电信DCN网;信息安全;安全防护管控
一、背景
随着人们生活信息化水平的提高与通信技术的不断发展,人们对通信业务的需求越来越大,质量要求越来越高,使得移动、电信、联通三大运营商的业务竞争越来越激烈。广东电信运营商在扩展业务之余,不断地调整运营模式,以适应市场的发展需求。同时,随着3G业务的快速增长,客户的要求越来越高,这都要求电信运营商提供更多的服务内容和更好的服务质量,也促使网络与信息安全管控技术要到达新的高度。
二、广东电信DCN网络安全防护现状
DCN网是广东电信的神经中枢网络,承载了BSS、OSS、MSS三个专业的包括计费帐务系统、资源管理系统、电子运维系统及各专业网管系统,其重要性不言而喻。广东电信越来越多的IT系统承载在DCN网络上,其用途不再单一,既承载网管,也承载业务,并越来越多地应用WEB技术,使得广东电信把DCN网络安全防护工作放到越来越重要的位置。
为了保障DCN网络安全通畅运行,广东电信已陆续开展和实施了一系列的安全工程和安全服务项目,但随着各项安全工作的深入开展,也发现了一些问题和隐患。同时,还缺乏一套完善的安全防护标准、流程及作业指导书。具体体现在如下方面:
安全检测方面。部分主机、服务器或维护终端开放了不必要的端口或提供了不必要的服务,如FTP文件共享,部分网络设备的系统版本过低,未能及时升级或者没有安装安全补丁,存在风险漏洞。
身份鉴别方面。部分系统存在弱口令或系统的用户账号与口令相同,部分维护终端Guest用户未禁用,部分系统使用明文传输用户名和密码,部分设备系统没有针对用户登录的安全措施,使网络单元较容易遭到攻击并导致网络重要信息数据外泄。
边界防护方面。部分设备尤其是外网防火墙过期,临时配置未及时清理,边界防护及访问控制策略薄弱,对于外部网络突发的攻击和入侵的检测和过滤能力不足,易受到外部攻击的威胁。
访问控制方面。部分主机没有对访问进行精确限制和过滤,可导致远程代码执行漏洞 不同安全域间未实现边界控制,主机设备可互访部分系统的本地安全策略,系统内部访问控制策略存在缺陷 对发自内部的各类嗅探、侦听、非授权访问不能提供有效的防护。
安全审计方面。部分系统及设备不具备或者未启用完备的安全日志及审计措施,难以按统一的安全策略落实用户鉴权和安全审计的要求,系统安全性存在风险。
终端管理方面。部分终端同时具备维护操作网络设备,访问OA及公众互联网的能力,增加了内网相关网络设备和生产系统被入侵的风险。[1]
三、做好广东电信DCN网络的安全防护的手段方法
硬件手段
要做好电信网络的安全防护工作,首先是要增加防火墙进行网络加固。由于DCN网的出换机能连通至公网,防火墙要安装在DCN网络的边界,即出口节点。这样能够对外界的入侵起到阻挡的作用,实现保护网络的目的。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部。所以,防火墙是网络安全的重要一环。[2]
为避免网络中断影响业务的正常使用,防火墙可采用出换机旁挂的方式,这样即使出换机连接到防火墙的链路中断了,也不会影响到数据的正常传输。
通过使用防火墙,可以验证进入者的身份是否合法,保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,攻击者还是可以伪装成为合法的客户身份或者绕过防火墙进入客户系统。IDS/IPS设备对发生在广东电信DCN网的安全攻击进行监听和阻断,提高广东电信DCN网络的主动防护能力。
此外,还可以部署 VPN server 设备,通过拨号和数据加密的方式进行远程维护。在维护人员使用时,由VPN server分配,并通过VPN server对接入用户的网络访问行为进行安全审计。为了保障DCN网的安全性,DCN 网和生产网段在路由上不互通,DCN网的防火墙网关只允许维护终端主机访问有限的几个生产系统。
采取以上的方式,能有效地加强DCN网络的安全性。
数据手段
进行安全扫描。对交换设备、系统服务器设备等在网设备定期进行安全扫描,并出具安全扫描报告,对系统的漏洞要及时打补丁,或者更新版本。对于新入网的设备,在上线使用前,要对设备的端口关闭相关的服务,完成补丁安装。检测是否安装最新的版本。
解决在用系统BUG。
采取数据监控手段。如CPU使用情况监控,日志监控等。
采用身份鉴别功能。对不同的用户、维护人员设置不同的权限。
进行网段隔开。把网段分为网管网段,办公网段,维护网段和访客网段。
采用文件加密技术。通过对文件信息进行置换和变换后再进行传输,这样能够加强对文件的保密性,保护信息稳健的安全,实现安全传输。
添加密钥和口令。对在网络上传输的数据进行加密,增加信息的安全性。
定期进行安全巡检。及时发现和消除网络和系统上的安全隐患。
建立安全管理团队。负责网络信息的安全管理,责任落实到人。
建立应急流程。编制系统的维护手册,包括有系统的应急预案,当设备或系统遭到安全攻击的时候,业务受到影响时,如何在最短的时间内,确保硬件环境和业务的恢复。
建立网络安全机制。制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。因此,网络管理与网络安全管理相结合将使电信运营商能更有效地保障电信网络的安全。[3]
