前言:中文期刊网精心挑选了网络安全审计报告范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全审计报告范文1
作为我国电子政务重要基础设施的电子政务外网,为了实现服务各级党政部门,满足各级政务部门社会管理、公共服务等方面需要的重要功能,要求具有互联网出口,并且与互联网逻辑隔离。因此,电子政务外网面临来自互联网和内部网用户两大急需解决的安全难题。
二、设计思路
本方案按照《国家电子政务外网安全保障体系总体规划建议》进行设计,规划范围以市级电子政务外网为主,以市级电子政务外网运维中心为重点,覆盖市委、市政府、市人大、市政协和多个委办局单位以及市属各个县区,根据国家电子政务外网安全保障体系的规划,市级电子政务外网安全体系包括如下三个方面的内容:
(一)安全管理体系。主要包括:按照国家安全保障体系建设标准,建设市级安全管理中心(SOC);以《国家电子政务外网安全标准指南》为标准贯彻执行国家已有安全法规标准,同时制订符合本市电子政务外网自身特点和要求的有关规定和技术规范。
(二)网络安全基础防护体系。主要包括:网络防护与隔离系统、入侵防御系统、接入认证系统、业务隔离和加密传输系统、防病毒、漏洞扫描系统等。
(三)网络信任体系。主要包括:PKI/CA系统、权限管理系统和认证授权审计系统。
三、方案设计
(一)安全管理中心。市级安全管理中心是市级电子政务外网安全的规划、实施、协调和管理机构,上联省级电子政务外网安全管理中心,把各类安全事件以标准格式上报到省中心,同时对县区管理中心下发安全策略,并接收县区的日志、事件。县级安全管理中心在市中心的授权下,具有一定的管理权限,并对县级安全策略及日志、事件进行采集和上报。市级安全管理中心也是市级网络安全设施的管理维护机构,为使安全设施能够最大限度地发挥其安全保障功能,需要建立一个良好的安全综合管理平台,以实现业务流程分析,并对业务系统在安全监控、安全审计、健康性评估等方面的运行进行有效的管控,从全局角度进行安全策略的管理,对各类安全事件作出实时的监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告、健康性报告和风险分析报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除各类安全隐患。
(二)基础防护平台建设。基础防护平台主要是以确定的安全防护模型框架为依据,结合政府业务的实际安全需求,在原有互联网安全设施基础上进行安全基础防护体系的新建或扩充、延伸与扩展。包括边界隔离与控制、身份鉴别、认证与授权、入侵检测与防御、安全审计与记录、流量监测与清洗、数据加密传输、病毒监测与防护、安全扫描与评估、安全策略集中管理、安全监控管理和安全审计管理等基础安全防护措施。最终达到提升系统的整体抗攻击能力,确保电子政务外网能够更好地支撑各类政务应用系统的运转。
(三)边界隔离与控制。防火墙是实现网络边界隔离的首选设备,防火墙是运行于软件和硬件上的,安装在特定网络边界的,实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为破坏内部网络。它可以让用户在一个安全屏障后接入互联网,还可以把单位的公共网络服务器和企业内部网络隔开,同时也可以通过防火墙将网络中的服务器与网络逻辑分离,进行重点防护。部署防火墙能够保护一个网络不受来自另外网络的攻击。
(四)入侵检测与防御。在整体的网络安全中,依靠安全策略的指导,对信息系统防护有积极的意义。但是,无论网络防护得多么牢固,依旧不能说“网络是安全的”。因为随着技术的发展,任何防护措施都不能保证网络不出现新的安全事件,不被手段高超的人员成功入侵。在攻击与防御的较量中,实时监测处在一个核心的地位。
(五)安全审计与记录。安全审计系统记录了网络使用者的全部上网行为,是支撑网络安全事件调查的基础,是审计信息的重要来源,在电子政务外网的建设中,应当尽量延伸安全审计系统部署的范围,并采用多种的安全审计系统类型(如网络审计、主机审计、数据库审计等)扩展安全审计的层面。
(六)流量检测与清洗。流量检测与清洗服务是针对网络传输信息流类型、大小以及诸如DOS/DDOS等安全攻击行为的监控、告警和防护的一种网络安全服务。该服务对进出内部网络的业务数据流量进行实时监控,及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下,清洗掉异常流量。有效满足各业务系统运作连续性的要求。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。
(七)统一病毒防护平台。根据电子政务外网省、市、县三级分布的特点,可采用多级、多种的方式进行病毒防护系统的综合部署,包括在网络边界安装硬件防病毒网关、针对特定应用布署网络防病毒系统、针对多数工作终端布署单机版病毒查杀软件等方式。
(八)终端管理。利用桌面终端管理系统,对于终端电脑从以下四方面进行进行标准化管理:
1.网络准入。通过网络边界部署的防火墙设备、网络交换机设备与终端管理服务器配合,实现终端用户的802.1x准入认证,使得所有终端用户接入电子政务外网网络必须提出申请,并对接入机器做防病毒等安全审核,在安装了准入客户端软件(Agent)并分配了用户名/密码后,才能合法接入网络并使用信息资源,开展业务工作,实现了对终端用户的有效管理。
2.网络切换。通过实现终端用户访问互联网和电子政务外网两网切换使用功能,实现对两网资源使用的严格管理,避免安全隐患的发生。
3.文件保险箱。利用“文件保险箱”功能,在终端用户处于“政务外网”访问状态时可以使用“文件保险箱”功能,并创建、修改、使用加密文件或文件夹,在终端用户处于“互联网”状态时无法使用此功能,不能创建、修改、使用加密文件或文件夹,从而保证工作文件的安全。
4.补丁管理。利用桌面系统补丁管理的功能,帮助管理员对网内基于Windows平台的系统快速部署最新的安全更新和重要功能更新。系统能检测用户已安装的补丁和需要安装的补丁,管理员能通过管理平台对桌面系统下发安装补丁的命令。补丁服务器可自动从微软网站更新补丁库,管理员负责审核是否允许补丁在终端系统安装。通过策略定制,终端系统可以自动检测、下载和安装已审核的补丁。
(九)采用2+N的业务模式。对于利用互联网接入的业务系统,必须采用VPN接入,建设互联网接入区,隔离互联网与政务外网的数据包,将互联网业务进行封装,确保互联网业务在专网的VPN通道内进行传输,对于需要与互联网联接的为公众服务的业务,通过逻辑隔离的安全防范措施,采用防火墙系统、入侵防御系统和网络防病毒系统,对互联网接入业务提供必要安全防护,保障电子政务外网的信息安全。
(十)信任体系设计。建立了基于PKI/CA公钥基础设施的数字证书认证体系。完善、推广、促进数字证书体系的发展和根据业务需要建立相应CA机构,并实现某些应用和管理需要的单点登录要求。
网络安全审计报告范文2
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
网络安全审计报告范文3
课题研究主要内容包括智慧信息化整体架构特征、安全框架,安全保障管理要求、技术要求及保障机制等。
概述
智慧信息化整体架构与主要特征
智慧信息化整体架构模型主要包括物联感知层,网络通信层,计算与存储层,数据及服务支撑层,智慧应用层,安全保障体系,运维管理体系,建设质量管理体系等。具有开放性、移动化、集中化、协同化、高渗透等主要特征。
智慧信息系统安全风险分析
根据智慧信息化特征,结合信息安全体系层次模式,逐层分析智慧信息化带来新的安全风险。
物理屏障层,主要包括场地门禁、设备监控、警卫等。移动性特点带来物理介质的安全新风险。移动设备和智能终端自身防御能力弱、数量大、分布散、采用无线连接、缺少有效监控等带来的风险。
安全技术层,主要包括防火墙、防病毒、过滤等安全技术。云计算、物联网、移动互联网等技术的开放性、协同性等特征带来的安全新风险。
管理制度层,主要包括信息安全人事、操作和设备等。智慧信息化环境下信息资源高度集中、服务外包等新模式带来的管理制度上的新风险。
政策法规层,主要包括信息安全法律、规章和政策等。对各类海量数据整合、共享和智能化的挖掘利用等深度开发带来的信息管理政策法规上的新风险。
安全素养层,主要包括民众信息安全意识、方法、经验等。智慧信息化带来威胁快速传播、波及范围倍增扩大的风险,信息安全威胁的主体发生转换,社会公众的高度参与,用户、技术与管理人员的安全意识和素养带来的风险比传统系统更大。
智慧信息系统安全框架
智慧信息系统安全框架如图2所示。管理终端和其他经过认证授权的可信终端作为智慧信息系统可信组成部分,需要进行边界防护,防止越权访问,互联网用户等非可信组成部分,要采取安全隔离措施,使其只能访问受限资源,防止内部数据非法流出。对数据区域、物联网感知区域、物联网控制区域以及基础设施的管理区域进行严格的安全域划分,针对不同的安全域实施安全产品的监测、防护、审计等不同的安全策略以保护数据安全,再配合同步进行的体系建设、安全培训等安全服务措施,实现智慧信息系统的深度防御。
管理要求
安全保障规划。信息化主管部门负责智慧信息化发展总体安全保障规划,各相关领域主管部门负责专项领域安全保障规划。确定安全目标,提出与业务战略相一致的安全总体方针及方案。
安全保障需求分析。项目单位分析系统的安全保护等级并通过论证、审核、备案;根据安全目标,分析系统运行环境、潜在威胁、资产重要性、脆弱性等,找出现有安全保护水平的差距,提出安全保障需求。
安全保障设计。项目单位根据系统总体安全方案中要求的安全策略、安全技术体系结构、安全措施和要求落实到产品功能、物理形态和具体规范上。并形成指导安全实施的指导性文件。
安全保障实施。建立安全管理职能部门,通过岗位设置、授权分工及资源配备,为系统安全实施提供组织保障。对项目质量、进度和变更等进行全过程管控及评估。
安全检测验收。系统运行前进行安全审查,关注系统的安全控制、权限设置等的正确性、连贯性、完整性、可审计性和及时性等。上线进行安全测试和评估,包括安全符合性查验,软件代码安全测试,漏洞扫描,系统渗透性测试等,确保系统安全性。
运维安全保障。建立系统安全管理行为规范和操作规程,包括机房安全管理制度,资产安全管理制度,介质安全管理制度,网络安全管理制度,个人桌面终端安全管理制度等并严格按照制度监督执行。
优化与持续改进。在系统运行一段时间或重大结构调整后进行评估,对系统各项风险控制是否恰当,能否实现预定目标提出改进建议。
技术要求
计算环境安全要求
服务器、网络设备、安全设备、终端及机房安全、操作系统、数据库管理系统应遵循GB/T 22239-2008对应安全保护等级中相关安全控制项要求,并对重要设备的安全配置和安全状态等进行严格的监控与检测。
网络虚拟化资源池应支持基于虚拟化实例的独立的安全管理。多租户环境下,租户之间的网络支持虚拟化安全隔离,各个租户可以同时对自身的安全资源进行管理。
应提供以密码技术为前提的安全接入服务,保证终端能够选择加密通信方式安全接入云计算平台。
通信网络安全要求
对应安全保护等级中网络安全控制项要求,覆盖结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等控制项要求。
虚拟网络资源间的访问,应实施网络逻辑隔离并提供访问控制手段。从区域边界访问控制、包过滤、安全审计及完整性保护等方面保护虚拟边界安全。
智慧网络应具备网络接入认证能力,确保可信授权终端接入网络。采取数据加密、信道加密等措施加强无线网络及其他信道的安全,防止敏感数据泄漏,保证传输数据完整性。
终端安全要求
对应安全保护等级中终端安全及GAT671-2006的安全控制项要求,覆盖物理安全、身份鉴别、访问控制、安全审计、恶意代码防范、入侵防范、资源控制等内容。
建设统一的终端安全管理体系,规范终端的各类访问、操作及使用行为,确保接入终端的安全合规、可管理、可控制、可审计。在重要终端中嵌入带有密码性安全子系统的终端芯片。
应用安全要求
满足对应安全保护等级中应用安全控制项要求,覆盖身份鉴别、访问控制、安全控制、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。
进行可信执行保护,构建从操作系统到上层应用的信任链,实现可执行程序的完整性检验,防范恶意代码等攻击,并在受破坏时恢复。建立统一帐号、认证授权和审计系统,实现访问可溯。
遵循安全最小化原则,关闭未使用服务组件和端口;加强内存管理,防止驻留剩余信息被非授权获取;加强安全加固,对补丁与现有系统的兼容性进行测试;限制匿名用户的访问权限,支持设置用户并发连接次数、连接超时限制等,采用最小授权原则。
数据安全要求
满足对应安全保护等级中数据安全控制项要求,覆盖数据完整性、数据保密性、备份与恢复等内容。
将信息部署或迁移到云计算平台之前,明确信息类型及安全属性进行分类分级,对不同类别信息采取不同保护措施,重点防范用户越权访问、篡改敏感信息。
在多租户云计算环境下,通过物理隔离、虚拟化和应用支持多租户架构等实现不同租户之间数据和配置安全隔离,保证每个租户数据安全隐私。确保法律监管部门要求的数据可被找回。
虚拟存储系统应支持按照数据安全级别建立容错和容灾机制,防止数据损失;建立灾备中心,保证数据副本存储在合同法规允许的位置。
全面有效定位云计算数据、擦除/销毁数据,并保证数据已被完全消除或使其无法恢复。
密码技术要求
物理要求。在系统平台基础设施方面使用密码技术。
网络要求。在安全访问路径、访问控制和身份鉴别方面使用密码技术。
主机要求。在身份鉴别、访问控制、审计记录等方面使用密码技术。
应用要求。在身份鉴别、访问控制、审计记录和通信安全方面应当使用密码技术。
数据要求。在数据传输安全、数据存储安全和安全通信协议方面使用密码技术。
安全域划分与管理研究
智慧信息系统安全域可以分为安全计算域、安全用户域、安全网络域。
安全计算域:由一个或多个主机/服务器经局域网连接组成的存储和处理数据信息的区域,是需要进行相同安全保护的主机/服务器的集合。安全计算域可以细分为核心计算域和安全支撑域。
安全用户域:由一个或多个用户终端计算机组成的存储、处理和使用数据信息的区域。
安全网络域:支撑安全域的网络设备和网络拓扑,防护重点是保障网络性能和进行各子域的安全隔离与边界防护。连接安全计算域和安全计算域、安全计算域和安全用户域之间的网络系统组成的区域。安全网络域可以进一步细分为感知网接入域、互联网接入域、外联网接入域、内联网接入域、备份网络接入域。
安全管理平台技术要求
对安全事件进行集中收集、高度聚合存储及分析,实时监控全网安全状况,并可根据需求提供各种网络安全状况审计报告。
智慧监测。针对大数据,通过预警平台对流量监测分析,为管理者提前预警,避免安全事件扩大化;监听无线数据包,进行网络边界控制,对智慧信息系统内部网络实施安全保护。
智慧审计。通过运维审计与风险控制系统对系统运维人员的集中账号和访问通道管控;通过数据库审计系统对数据库访问流量进行数据报文字段级解析操作,应对来自运维人员或外部入侵的数据威胁;通过综合日志审计系统实现对违规行为监控,追踪非法操作的直接证据,推动监测防护策略、管理措施的提升,实现信息安全闭环管理;针对应用层的实时审计、监测及自动防护。
智慧日志分析。对海量原始日志,按照策略进行过滤归并,减轻日志数据传输存储压力。对来自各资源日志信息,提供多维关联分析功能,包括基于源、目的、协议、端口、攻击类型等多种统计项目报表。多租户环境支持,支持虚拟化实例,能够区分不同租户的日志以及为不同租户提供统计报表。
智慧协同。根据开放性及应急响应技术要求,安全管理平台需考虑和周边系统互联互通,支持开放的API,相互传递有价值安全信息,以进行协同联动。
除了以上八个技术方面的要求外,智慧信息化安全保障体系还对安全产品、产品安全接口等方面也做出了相关要求。
保障机制
建立责任人体制。建设单位指定信息安全保障第一责任人,明确各环节主体责任,制定安全保障岗位责任制度,并监督落实。
建立追溯查证体系。建立全流程追溯查证体系,对存在的违法入侵进行有效取证,保证证据数据不被改变和删除。参照ISO/IEC 27037:2012、ISO/IEC27042。
建立监督检查机制。由信息安全监管部门,通过备案、检查、督促整改等方式,对建设项目的信息安全保护工作进行指导监督。
建立应急处理机制。参照GB/Z 20986-2007将安全事件依次进行分级,按照分级情况制定应急预案,定期对应急预案进行演练。
建立服务外包安全责任机制。安全服务商的选择符合国家有关规定,确保提供服务的数据中心、云计算服务平台等设在境内。
建立风险评估测评机制。对总体规划、设计方案等的合理性和正确性以及安全控制的有效性进行评估。委托符合条件的风险评估服务机构,对重要信息系统检查评估。定期对系统进行安全自查与测评。
网络安全审计报告范文4
【关键词】电力监控系统 内网安全监视 闭环管控
1 引言
随着电力监控系统安全防护工作和信息系统安全等级保护工作的深入开展,各级电力公司部署了大量监控系统安全防护设备(系统)。上述安全防护设备的运行和管理一直处于松散状态,产生海量的运行数据及安全事件使管理人员疲于应对,无法做到对电力监控系统安全状态的全面掌控,同时缺乏集中监控和统计分析手段,难以及时发现安全隐患。为解决安全防护设备缺乏有效集中监管的现状,本文对电力监控系统内网安全监视闭关管控技术进行研究,实现了全省电力监控系统安防设备(系统)实时在线监控及量化管理。
本文根据闭环管理相关理论为基础,结合电力监控系统内网安全事件的特点,在电力系统内率先提出了“监视分析管理解决总结”的安全事件闭环管控机制,有效地解决了内网安全事件分析结果不直观、处理过程无监控、处理结果无归档等问题。该系统将安全事件按照七个基本程序进行管理,即事件发现、事件分析、事件处理、事件变更、事件管控、事件关闭、事件总结。七个环节环环紧扣,缺一不可。
为实现对安全事件的科学分类和有效管理,湖北省电力调控中心针对安全告警事件开展了深入研究,同时也借鉴了一些先进的理论和模型。
2 闭环管控系统
2.1 闭环管控相关理论及模型
2.1.1 PDCA循环
PDCA循环又名戴明环,是管理学中的一个通用模型[1]。最早由休哈特(Walter A. Shewhart)于1930年构想,后来被美国质量管理专家戴明(Edwards Deming)博士在1950年再度挖掘出来,并加以广泛宣传和运用于持续改善产品质量的过程中。它是全面质量管理所应遵循的科学程序,包括质量管理活动的全部过程,这个过程按照PDCA循环,不停顿地运转。它不仅在质量管理体系中运用,也适用于一切循序渐进的管理工作,可以使管理工作能够不断创新发展,理顺管理者的工作思路。在管理的过程中,注重检查及反馈,以达到不断改进策略,提升管理水平的目的[2]。PDCA循环,如图1所示。
其中P (Plan) 计划,包括方针和目标的确定,以及活动规划的制定;D (Do) 执行,根据已知的信息,设计具体的方法、方案和计划布局;再根据设计和布局,进行具体运作,实现计划中的内容;C (Check) 检查,总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题;A (Action) 处理,对检查的结果进行处理,对成功的经验加以肯定,并予以标准化;对于失败的教训也要总结,引起重视。对于没有解决的问题,应提交给下一个PDCA循环中去解决。
2.1.2 IDEAL模型
IDEALSM是SEI推出的过程改进模型。该模型将过程改进分为五个阶段来完成,形成一个螺旋推进、循环往复的改进策略。而且该模型还强调每个改进周期内的闭环机制,即:改进问题有被识别、具体的改进措施有被纳入计划,且被执行、被验证和总结。IDEAL[3]模型结构,如图2所示。
其中I代表Initiating(初始化),确定改进的目标并获得改进的基础结构;D代表Diagnosing(诊断),确定现状与改进目标之间的差异;E代表Establishing(建设),计划如何达成目标;A代表Acting(行动),根据计划开展工作;L代表Learning(学习),从经验中学习,以提高未来过程的效能。
上V理论及模型广泛应用于各行各业,得到了充分的验证,以及普遍的认可。本文提出的电力监控系统内网安全监视闭环管控系统充分继承了PDCA循环和IDEAL模型的精髓,实现了从事件发现、事件分析、事件定位、事件处理、事件控制、事件提升的闭环管理。
2.2 闭环管控系统架构
电力监控系统内网安全监视闭环管控系统是集安全监视、安全分析、安全运维、安全执行、安全审计于一体的管理中心[4,5],其系统架构如图3所示。
2.2.1 数据采集
数据采集是闭环管控的基础,其实现了对电力专用安全防护设备(横向物理隔离设备、纵向加密认证装置)、防火墙、入侵监测系统(IDS/IPS)、防病毒系统,以及电力调度系统内部关键应用的数据采集。
其中,事件获取是采用Syslog方式获取各种安全防护设备的事件内容;事件过滤是将大量无需关注、不重要的安全事件过滤掉;事件归并和聚合是对重复事件进行归并,所有重复事件只记录其第一次发生时间、最后一次发生时间和发生的次数;事件转发是将初步处理后得到的安全事件提交分析引擎。
2.2.2 通信管理
通信管理是整个系统架构中的重要组成部分,主要实现对原始信息的监听以及上下级协同告警信息的。
其中原始信息监听主要通过标准的514端口对各类安全防护装置(系统)的syslog告警信息进行监听,为数据采集功能提供重要支撑;同时,闭环管理系统可以采用多级部署,利用信息加密隧道实现对于上下级事件的同步感知,使全网的安全防护及闭环管理工作形成有机的整体,避免安全防护工作出现短板导致安全事件的发生。
2.2.3 分析引擎
该系统实现了事件类型关联、事件内容关联、资产信息关联,能够通过特定算法从大量安全事件数据中挖掘当前的安全趋势和规律[6,7]。关联分析类型如下:
①基本关联,根据事件的基本属性信息关联分析结果;
②攻击关联,根据安全设备发出的告警事件,结合目标资产的类型生成关联分析结果;
③位置关联,根据事件来源的位置或者目标资产的物理位置,生成关联分析结果;
④角色关联,根据事件相关用户名结合事件基本属性,生成关联分析结果;
⑤因果关联,根据事件类型结合事件行为结果,生成关联分析结果。
2.2.4 闭环管控
该系统通过安全监视发现问题,通过事件统计分析问题,通过策略执行处理问题,通过权限管理和安全审计控制问题处理过程,通过知识管理总结问题,提升安全事件处理能力。
其中,安全监视主要是指内网安全监视平台,主要实现对安全事件的采集、分析及告警;问题跟踪是对安全事件进行管理,使安全事件管理的质量评定与工作绩效相结合,提高维护人员的主动性;权限管理对事件处理的人员、权限、时限、内容及步骤进行严格控制,加强在操作过程中的安全防护,减少因非法操作和误操作而带来的系统性风险;执行管控是对解决问题过程进行全程监督和审计,形成事中、事后的审查机制,从而提高运维人员的自律性;知识管理是建立内网安全事件的专家知识库,实现知识的统一搜集、整理、管理[8,9]。
2.3 闭环管控流程
电力监控系统内网安全监视闭环管控系统将安全事件的发现、分析、处理、控制、提升形成管理闭环,整个过程可分为7个阶段,分别是“事件监视与告警”、“事件分析与诊断”、“事件处理”、“变更管理”、“配置管控”、“恢复与确认”、“总结与改进”[10,11]。如图4所示。
第1阶段-事件监视与报警。
值班人员通过内网安全监视应用对电力监控系统安全情况进行监视,及时发现安全事件,并通知相关人员进行处理。值班人员采用二种方式(即内网安全监视的事件告警和值班电话)集中发现和记录内网安全事件,通过创建安全事件工单对事件进行集中流程化处理。
闭环管控系统会对收集上来的事件之间相关性采用过滤、合并、关联的技术手段分析出有效的事件处理切入点,将多个相关事件合并生成一个流程工单处理解决,简化值班人员处理安全事件流程,提高其工作效率。在生成事件工单后,值班人员将工单转给相关系统管理员,由系统管理员对事件信息进行核实后进行进一步处理。
第2阶段-事件分析与诊断。
系统管理员在分析事件的过程中可以与相关的运维人员一起协同分析,并由系统管理员根据事件紧急度、优先级、及影响范围再次确定事件级别合理性。系统管理员可以使用内网安全监视闭环管控提供的事件分析工具,通过过滤、合并、汇总、分析等规则,采用图形化分析手段,直观解析事件关系,帮助运维人员理清思路、找到解决方法。在事件原因和解决思路明确后,系统管理员将事件工单指派给相应的运维人员处理。(如图4)
第3阶段-事件处理。
在运维人员明确解决方案后,将开展事件的处理工作。据事件具体情况进一步由二线、三线运维人员介入处理。
运维人员处理过程中,可以借助知识库管理系统直接提供类似关联事件处理经验以供参考。如果处理事件不涉及到资产配置的变更,则直接处理并将处理完的结果提交值班人员确认;如果处理事件涉及到资产配置的变更时,则要提出变更申请,执行相关变更流程,完成变更后再提交处理结果由值班人员确认。
第4阶段-变更管理。
在事件处理的过程中,如果涉及到资产配置的变更,则需要启动变更管理流程。由运维人员提出变更方案,方案中包括涉及资产、变更内容、风险评估、应急预案、回退措施等子项,变更方案提交给系统管理员审批,经审批后指派相关运维人员进行处理,如果变更方案不通过则重新由运维人员提交新的变更方案。在系统管理员审核通过后,系统将自动关联管控机策略,开启相关资源的“操作通道”,授权相关运维人员完成配置变更操作。
第5阶段-配置变更操作管控。
运维人员在获得资产配置变更操作授权之后,将使用运维专用机对相关资产进行配置修改,同时系统管理员可以实时监视运维人员操作行为,并对不合规操作强制阻断。在强制阻断后,运维人员需要重新考虑变更方案,重新开始新的变更流程。对于运维人员操作全过程采用内容录像方式保存,提高操作全程记录审计能力。
运维专用机对资源帐号密a采用统一记录与管理,运维人员无法获取系统资源帐号及密码,只有“系统管理员”根据具体事件工单涉及的相关设备进行“动态式”授权,后台自动建立访问控制策略后,运维人员才能操作和修改资源配置。这样能够有效的防止密码外泄,加强相关人员操作访问的权限、时限控制,减少因非法操作和误操作而带来的系统性风险。
第6阶段-恢复与确认。
在运维人员事件处理完毕,系统恢复正常工作后,运维人员将事件工单提交给发现事件的值班人员,由值班人员对事件处理结果进行确认,采用检查资源状态、电话回访等方式确认事件是否解决。同时,值班人员将进行事件处理的满意度调查,由值班人员填写事件处理满意度调查结果和评价。
第7阶段-总结与改进。
在事件恢复后,运维人员对处理内容、方法进行总结,系统自动将处理经验生成事件处理报告并提交系统管理员,系统管理员对事件处理报告进行审核,对满足经典经验的知识进行标注,将经验纳入知识库中。通过对搜集、整理的内网安全事件处理经验进行专家评审,提高知识专业性,形成专家知识库。
3 应用效果
本文提出的闭环管理模式进一步规范了事件管理的程序和标准,丰富和发展了适用于电力监控系统内网安全事件的管理方法,使安全管理工作迈上规范化、程序化的运行轨道。湖北省电力调控中心通过内网安全监视闭环管控系统的建设,使系统管理员可以跟踪事件处理流程,能够及时了解事件处理进度;另外,每周定期查看事件处理操作记录,也可以审计处理操作的合规性。同时,通过建立健全良性的激励约束机制,发挥系统管理人员在工作中的主观能动性,促进了执行效果和执行效率的同步提升。以内网安全监视的闭环管控为例,2015年安全事件数量与去年相比下降较为明显,湖北电网每日安全事件数量基本控制在10个以内。安全事件曲线,如图5所示。
另外,系统管理员生成运维人员绩效报告和事件全程审计报告。绩效报告对运维人员绩效进行统计,包括对事件请求量、事件解决量、事件解决率、事件平均解决时间、事件满意度平均值、事件处理及时率等指标,通过统计分析对安全状态、安全工作进行全面的评估分析,为进一步提高业务能力,进一步改进监视策略提供依据。事件全程审计报告记录事件整个处理过程,对从事件发生、到流程处理、到操作过程、到解决完毕进行全程监督和审计,提高对问题在事中、事后的掌控力度。
4 结语
通过理论和实践证明,电力监控系统内网安全监视闭环管控系统有助于电力监控系统安全防护体系由边界防护向纵深防御发展,解决了电网调度系统对关键安全设备、服务器的日志集中采集和统一管理问题,实现了对安全设备的实时告警与运行状态监测,为电网调度系统提供全面的安全基础支撑,能够及时掌握电力监控系统存在的安全隐患,采取有效措施阻止恶意攻击行为,保障电网的内网运行安全。
参考文献:
[1]宋华明,韩玉启.PDCA模式下的一体化管理体系.南京理工大学[J],2002(2):10-12.
[2]陈建亚.现代通信网监控与管理[M].北京邮电大学出版社,2000.
[3]McFeeley Bob. IDEAL: A User's Guide for Software Process Improvement[M] Software Engineering Institute, CMU/SEI-96-HB-001, February 1996.
[4]胡炎,董名垂,n英铎.电力工业信息安全的思考[J].电力系统自动化,2002(7):1-4.
[5]高雷,肖政,韦卫.安全关联分析相关技术的研究.计算机应用,2002(7):1526-1528.
[6]刘雪飞,马恒太,张秉权.NIDS报警信息关联分析进展研究.计算机科学,2004,3(12):61-64.
[7]李亚琴.网络安全事件关联分析方法的研究与实现[D].华中科技大学,2006.
[8]王保义,张少敏.电力企业信息网络系统的综合安全策略[J].华北电力技术, 2003(4):19-22.
[9]刘康平,李增智.网络告警序列中的频繁情景规则挖掘算法闭[J].小型微型计算机系统,2003,24(5):891-894.
网络安全审计报告范文5
关键词:网络审计;电子商务;内部控制
中图分类号:F239 文献标识码:A 文章编号:1003-3890(2008)01-0065-04
一、网络审计及其社会背景
随着网络经济时代的到来,网络信息技术引发的全球信息化浪潮迅速改变着人类的传统社会生活,日益渗透到人们的工作、生活、学习和娱乐之中。在网络环境下,电子商务的大规模发展,使得企业的经营模式、管理模式和会计模式都发生了重大的变化,使得信息的处理和传递突破了时空的限制。电子商务集信息流、资金流、物流于一体的商务交易模式处处体现出高效、快捷的显著特点。它的高速发展及广泛应用彻底改变了传统商务的架构和流程,从本质和表象两方面深刻影响着审计的对象和环境,使审计的对象逐步呈现隐性化、数字化、网络化的新特征。新的模式必然带来新的运作机制,而新的运作机制又势必需要一种新的监督机制来维护和保障市场的正常运行。网络经济的发展以及会计电算化的实现,无疑使被誉为“经济看门人”的审计遭遇了空前严峻的挑战,引致审计工作由传统的手工审计向新兴的网络审计变革。
网络审计一般来说,有广义和狭义之分。广义的网络审计是指在网络环境下,借助大容量的信息数据库,运用专业的审计软件对共享资源和授权资源进行实时、在线的个性化审计服务。而狭义的网络审计则是指借助电子计算机的先进数据处理技术和联网技术,以磁性介质作为主要载体来存储数据以便于用网络来处理、传送、查阅这些数据,使审计工作与计算机网络组成一个有机的整体,从而提高审计的现代化水平。笔者着重从狭义网络审计的角度来探讨网络审计的发展问题。网络审计要求审计人员借助现代网络信息技术,运用专门的审计方法,对被审计单位的会计信息系统进行整体审计工作。它是对以往电算化审计的又一次突破,是现代审计在电子商务时代的新发展,也是电子商务发展的必然趋势。
二、网络审计的优势及其应用中存在的问题
(一)网络审计的优势
1. 拓展审计空间。在网络会计环境下,由于会计信息系统的开放性和网络化,使得会计信息资源在极大的范围内得以交流和共享。利用网络会计系统,可实现各业务之间数据的传递和共享,使得会计系统和其他信息系统的信息传递关系更为密切。由于网络、计算机、现代通信技术在审计中的运用,审计空间得到拓展,摆脱了传统地域观念的束缚,开拓了新的审计领域。随着网络经济给现有经济模式带来的挑战,网络审计服务市场也随之进一步扩大。网络的应用使被审计单位的会计信息系统成为一个开放的系统,审计部门可以通过网络主动获取会计信息,还可以对与审计对象有业务联系的各单位会计资料进行查询、分析,使审计信息的来源更直接,内容更丰富。审计人员可以充分利用网络所特有的先进信息技术,共享网络数据信息资源,从而使审计资源得到更广泛而有效的配置和运用。
2. 提高审计效率。网络审计通过互联网、计算机与审计软件可以充分发挥其快捷、高效、准确的优势。审计部门在获得相关授权后,可利用审计接口随时对被审计单位进行审查,准确快速地获取被审计单位的经济业务数据,及时全面地收集掌握被审计单位的最新会计信息,审计的时效性大大提高。审计从事后审计转变为实时审计,并从静态走向动态。
3. 降低审计成本。网络审计与传统审计相比在提高审计效率的同时,更降低了审计成本。利用网络收集审计信息、审计证据,大大节约了审计人员的搜寻成本、联系费用等,利用计算机进行分析、复核,大大减轻了审计人员的劳动强度,节省了人力、物力。
除此之外,网络审计的优势还表现在很多方面。例如审计机构在获得相关授权后,即可通过网络直接进入被审计单位的网络信息系统,开展审计工作,使得被审计单位无法事先做好应付审计检查的准备,减少了审计工作的阻力,提高了审计效率和质量。
(二)网络审计应用中存在的有关问题
1. 被审计单位内部控制问题。内部控制是任何企业和事业单位进行有效管理和经营的基础,无论该单位的会计资料是手工处理还是计算机处理,内部控制都是必不可少的。而现代审计是以系统为基础的审计,即注册会计师要对会计系统的内部控制进行审查和评价,以其作为制定审计方案和决定抽查范围的依据。实现会计电算化后,现代会计信息系统的特殊性更需要加强内部控制制度。授权、批准控制是一种常见的、基础的内部控制。在手工会计系统中,对于一项经济业务的每个环节都要经过某些具有相应权限人员的审核和签章。计算机网络的集成化处理使传统手工会计中制单、审核、记账等不相容岗位相互牵制制度的效力逐步削弱,传统的组织控制功能减弱。随着会计电算化系统所产生的会计信息的日益增多,如果没有健全的内部控制制度,就很难保证会计信息收集、传递和处理的及时、准确。为了系统的安全可靠,保证系统处理、存储会计信息的准确完整,必须考虑现代会计信息系统的特点,针对其固有的风险,建立新的适合其的内部控制制度。
2. 被审计单位信息风险问题。网络审计的信息风险越来越成为审计工作中必须要考虑的一个中心问题。网络审计借助计算机和网络对电子商务经济活动及其相关信息进行审计,则必然对网络的安全性、可靠性、准确性产生极大的依赖。无论是被审计单位的财务信息系统还是审计部门的审计分析系统,均以电子信息技术为基础,借助于计算机和互联网实现,因此审计环境变化带来的信息安全风险更多的是由于信息技术问题引起的风险。(1)网络系统的弱点和漏洞直接影响着信息安全风险的大小。一个网络系统中的漏洞大致包括实现漏洞、设计漏洞、配置漏洞三种类型。在审计过程中注册会计师应通过对以上漏洞进行分析并根据被审计单位的系统状况对被审计单位的财务会计信息系统的安全性作出评价。(2)会计信息系统的开放性也成为影响信息安全的一大重要因素。会计信息系统的开放性指能够接触到会计信息系统的终端用户的范围。一个会计信息系统的终端使用者越多,那么它所面临的网络风险也越大。尤其是计算机联机实施系统的出现和使用,将使会计业务或数据在发生的同时即可实时地记录和处理,信息使用者可通过联机的方式直接进入企业的管理信息系统,及时、有效地选取、分析自己所需要的信息,满足其决策需要。信息网络这种开放式、分布式的特点,在大规模计算和资源共享等方面有着无可匹敌的优势,但其在安全性、可靠性方面面临着极大的威胁。(3)被审计单位防火墙性能的优劣也成为审计风险的评判标准之一。如果被审计单位的防火墙性能良好,则可以避免会计信息系统开放性及黑客病毒攻击等问题,从而从整体上降低财务信息系统的网络审计风险。因此,如何确保审计信息的安全性已然成为网络审计必须面对的棘手问题。
3. 审计单位自身安全问题。在网络审计环境下,注册会计师在关注被审计单位安全状况的同时,对审计单位自身的信息处理系统进行安全性评价也成为审计工作中不可忽视的一个重要方面。由于网络风险涉及的对象是双向的,一方面涉及被审计单位的状况,另一方面又涉及审计部门的自身状况,这样就使得网络风险的决定因素十分复杂。在网络审计环境下,审计人员的审计手段更多地借助于网络技术,计算机信息处理系统在审计过程中得以广泛应用,这使得审计人员及审计单位同样面临着网络风险的冲击。所以审计单位在对被审计单位风险进行精确评价的同时还应对自身的网络风险水平进行系统的评价。这是传统审计工作中所不存在的问题。
综上所述,网络审计在其应用过程中确实存在着一些问题。除了以上提及的三方面外,其应用过程中存在的问题还表现在其他一些方面。例如审计人员的专业素质不高,网络审计相关的法律法规和准则制度的不完善等等,都成为了网络审计发展路上的“绊脚石”。
三、促进网络审计发展的相关建议
(一)加强被审计单位的内部控制系统
在网络财务软件中,会计信息的处理和存储高度集中于计算机系统,企业的信息系统控制的安全可靠必然成为网络审计中审计风险防范和控制的重点。网络环境下手工会计处理系统中的某些职责分工、权限分离、相互制约、相互联系的内部控制制度失效,为保证网络财务软件处理和存储会计信息完整准确,必须建立适应网络特性的网络财务系统的控制程序和方法。在新信息系统的开发阶段,审计人员应参与系统的开发和财务软件的评审工作,出具系统开发审计报告,对系统的可靠性、效率性、内部控制的适当性、系统开发的成本效益性等作出评价。将错误消灭在萌芽阶段。同时,在设计开发过程中,还可以考虑在被审计单位的计算机系统中嵌入审计程序。这些程序可以执行审计监督,建立审计跟踪文件,记录符合指定条件的会计事项及其操作处理的有关信息,以便日后审计人员跟踪追查。除了在新信息系统的开发阶段应改进内控之外,在财务软件的运用阶段完善相应的内控制度更为重要。例如可在网络财务软件的使用中划分管理权限,防止越权操作和计算机舞弊行为的发生。此外,可采取一些相应的措施。如在账务处理过程中要求会计人员留下每笔经济业务的详细记录,而不能只留下更新后的当前余额;设置网络财务软件自动记录操作人员的使用情况,包括进入与退出系统的时间及进行的操作等;要求将所有维护和改进系统的内容、时间等记录在案;除应保证会计数据文件的打印输出外,还应将会计数据文件以可审计的形式进行存储保留。
(二)加快网络审计软件的开发与审计网络的建设
信息安全风险是网络审计中必须要考虑的一个中心问题。要从根本上解决这个问题,完善相应的审计软件开发和审计网络建设是关键。首先应加快中国网络审计软件的开发与应用。网络审计是借助网络审计软件进行的,加强网络审计软件的研究与开发是发展网络审计重要举措。提高中国网络审计软件的质量和实用性,要求软件开发人员深入到审计工作实践中去,同时网络审计软件的分析设计也应有经验丰富的审计人员参加。加快会计审计软件行业标准的制订,建立统一的数据格式和外部接口,开发出来的通用审计软件能使审计人员从被审计单位准确及时地获取各种数据,实现有效的远程审计。加强使用者与开发者之间的交流与沟通,使开发者能广泛地收集使用者的反馈意见,更好地总结出审计的算法模型,不断优化升级审计软件。应加快中国审计网络的建设进程。网络审计面临的不再是传统的交易模式和经营管理理念,而是全新的网络空间。审计网络是网络审计得以开展的物质载体,审计人员只有通过互联网进行网络审计,才能随时捕捉审计信息,及时提供审计信息。因此要发展网络审计,必须先建设审计网络,建立审计信息数据库。通过网络管理系统,录入被审计单位的背景资料、行业动态和以前年度审计资料等相关信息,建立一个完善的大容量的信息数据库并不断更新,为以后年度审计随时调阅使用提供便利,提高审计信息的真实性及审计的效率。
(三)提高网络审计人才素质
培养精通网络、计算机及审计业务的审计人员队伍是网络审计发展的关键。由于网络审计已远远超出了计算机和局域网的运用范畴,加上被审计单位的财务及管理信息系统的日益复杂,构成了对审计人员的全新挑战。在现阶段,审计人员必须经常更新自身的知识结构,才能适应网络审计工作的需要。通过不断学习和参加培训,提高创新能力和对信息技术的使用能力,从而提高自身的价值。注册会计师不仅要转变观念,充分认识和利用网络的优势,更要精通网络技术,不断提高网络审计技能,确保网络审计的高效率和高质量。中国可以考虑在将来的CPA资格考试中适当增加有关计算机、网络的理论及操作知识的考核,并在从业人员的后续教育中强制加入相关内容。以国际注册信息系统审计师(CISA)资格考试为参考,通过培训和考试,培养具备较高深的计算机软硬件和网络知识、信息系统审计技术的较高层次的IT审计人才。另一方面,加快引进高层次的计算机专业人才,改善现有审计人员的组织结构也是非常有效的途径之一。因为注册会计师不可能人人都成为计算机与网络的专家。所以,计算机与网络专家、信息系统与电子商务专家参与网络审计将是必然趋势。
(四)完善中国网络审计的法律法规与准则制度
加强网络审计立法,制定相关法律法规与准则制度。网络审计立法是保障网络审计正常发展的关键性措施。加强与电子商务、网络经济相关的立法,要在立足中国国情的基础上借鉴国际上相关示范法或其他国家相关法律法规,制定与网络审计有关的法律规章,使人们在开展网络审计工作时有法可依、有章可循。中国应尽快制订有关电子商务的法律、法规,把电子凭证、电子合同和数字签名的法律效力及保管要求,数字认证机构的管理,电子信息与网络系统的安全等相关问题以法律法规的形式明确下来。另一方面,进一步完善与网络审计有关的审计准则与审计标准的制定。由于网络审计的对象、线索、方法、流程、结果等各方面较传统审计都发生了变化,以往的审计标准和准则已经不能完全适用。因此对目前已有的不适应网络审计的相关法律法规应及时地进行修改和补充,如在法律法规上确定审计机构和审计人员有权审查被审计单位的信息系统功能与安全措施,加快建立一套符合网络经济发展特征的新审计准则体系,以促进网络审计的健康发展。
参考文献:
[1]舒海霞.网络审计论[J].企业研究,2006,(8).
[2]王萍.网络审计的对象创新和业务创新[J].会计天地,2004,(8).
[3]邱晓娜.对推动我国网络审计发展的思考[J].审计与理财,2006,(5).
[4]宋荣臻,李悦.网络审计及其方法的完善[J].科技与经济,2005,(4).
[5]张强.未来发展的网络审计[J].现代审计与经济,2005,(7).
[6]张霆军.浅析网络审计结构及发展对策[J].交通科技与经济,2006,(5).
[7]王新建.计算机审计风险防范研究[J].科技资讯,2006,(31).
