前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全審計主題范文,僅供參考,歡迎閱讀并收藏。
最后,外發(fā)信息的管理是管理里面比較核心的一個方面。尤其是高校學(xué)生利用郵件、QQ、BBS、微博等通訊軟件宣揚傳播一些不正確頹廢庸俗的內(nèi)容;通過網(wǎng)絡(luò)實行詐騙他人財物的事情也是有發(fā)生,是校園網(wǎng)絡(luò)建設(shè)必須解決的問題。上網(wǎng)行為審計設(shè)置的URL庫,可以將這些不健康甚至是違法犯罪的惡意信息或者網(wǎng)站進行攔截和阻止。
用戶上網(wǎng)行為的日志、報表分析功能為安全上網(wǎng)保駕護航
高校內(nèi)計算機的使用數(shù)量較多,產(chǎn)生的互聯(lián)網(wǎng)訪問日志也比較多,為為了加強對這個校園網(wǎng)絡(luò)資源應(yīng)用的了解,這就需要取得比較完整的訪問記錄,以方更加全面更加透徹的分析,這就需要日志報表來執(zhí)行,它可以用文字圖形等方式反應(yīng)出網(wǎng)絡(luò)寬帶應(yīng)用的詳細(xì)數(shù)據(jù),為網(wǎng)絡(luò)管理提供了可靠地依據(jù)。上網(wǎng)行為審計能夠提供強大的日志存儲作用,可以對校園網(wǎng)絡(luò)行為進行監(jiān)控??梢钥吹剿行@網(wǎng)絡(luò)上的上網(wǎng)記錄。上網(wǎng)行為審計具有生成日志,記錄下來以便查詢之用。用戶上網(wǎng)行為日志還具有移植行,可以將數(shù)據(jù)移植到任意的存儲設(shè)備上,日后可以通過Web訪問查詢、導(dǎo)出、打印,大大減輕了上網(wǎng)行為管理的工作量。
對特殊電腦的使用權(quán)限的設(shè)置和實名制
“上網(wǎng)行為審計管理”的日志作用可以檢測到所有校園網(wǎng)絡(luò)內(nèi)傳輸?shù)南?,包括聊天郵件等,這牽扯到了校內(nèi)網(wǎng)使用者的隱私,不許加以保密不能第二次泄露,所以權(quán)限設(shè)置是很有必要的,這就需要校園網(wǎng)網(wǎng)絡(luò)管理員要有較高的職業(yè)素質(zhì),同時也需要使用一些權(quán)限保密設(shè)置功能,來保證“上網(wǎng)行為審計管理”的順利進行。校園內(nèi)各個崗位的電腦必須設(shè)置登入密碼,實名登入,如檔案室、圖書室、教師電腦、學(xué)校網(wǎng)站等電腦的登入,這可以有效的防范資料的篡改和丟失,使學(xué)校工作能夠正常有序安全的進行。同時也能責(zé)任到人,誰的區(qū)域誰負(fù)責(zé)的原則,當(dāng)出現(xiàn)問題時也能及時準(zhǔn)確的查找到人。
在全校范圍內(nèi)普及網(wǎng)絡(luò)安全知識,工作人員做好安全檢查工作
現(xiàn)在大多是教師學(xué)生都會使用電腦,但對電腦安全知識使用上的知識還不是很了解,這就需要在全校范圍內(nèi)大力宣傳網(wǎng)絡(luò)及信息安全的知識,提高計算機使用水平,安全上網(wǎng)。建立健全校園網(wǎng)網(wǎng)絡(luò)病毒的檢測工作。學(xué)校的計算機應(yīng)當(dāng)全部安裝殺毒軟件、防火墻等軟件,工作人員要定期對這些軟件進行升級管理同時校網(wǎng)絡(luò)工作人員也要落實工作職責(zé),加強日常監(jiān)督檢查,及時發(fā)現(xiàn)問題解決問題。
除此之外,校園網(wǎng)網(wǎng)絡(luò)的硬件也要到位,只是網(wǎng)絡(luò)安全實施的前提條件和有力保證,殺毒軟件、客戶端、防火墻及其網(wǎng)站的管理都要及時更新和檢查。校園網(wǎng)網(wǎng)絡(luò)建設(shè)可以和學(xué)校計費系聯(lián)系起來,采用實名制的登錄方式,在使用者達到規(guī)定的時間后會主動斷線,這樣可以保證校學(xué)生有規(guī)律的學(xué)習(xí)娛樂;同時也可以設(shè)計上網(wǎng)審計報警功能,當(dāng)打開一些不正當(dāng)?shù)木W(wǎng)頁或者發(fā)放一些非健康的郵件登時,可以主動攔截關(guān)閉報警。
[關(guān)鍵詞]智能油田;信息安全;綜合審計;關(guān)聯(lián)分析
doi:10.3969/j.issn.1673-0194.2020.22.028
[中圖分類號]TP393.08;F239.4[文獻標(biāo)識碼]A[文章編號]1673-0194(2020)22-00-02
1智能油田信息安全風(fēng)險
在數(shù)字化轉(zhuǎn)型發(fā)展背景下,智能油田建設(shè)與應(yīng)用進程逐漸加快,網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用不斷增強,而保證核心數(shù)據(jù)資產(chǎn)的安全對油田業(yè)務(wù)的高質(zhì)量發(fā)展至關(guān)重要。當(dāng)前國內(nèi)外網(wǎng)絡(luò)安全形勢嚴(yán)峻,境內(nèi)外惡意分子以及被政治、經(jīng)濟利益裹挾的黑客組織,對能源行業(yè)加劇進行網(wǎng)絡(luò)滲透,攻擊關(guān)鍵信息基礎(chǔ)設(shè)施、竊取商業(yè)機密等敏感信息,對油田信息安全構(gòu)成了極大的外部威脅。此外,內(nèi)部員工違規(guī)訪問不良網(wǎng)站內(nèi)容,使智能系統(tǒng)面臨著嚴(yán)重法律風(fēng)險,加上員工有意識或無意識的網(wǎng)絡(luò)泄密事件與系統(tǒng)運維人員違規(guī)操作事件頻發(fā),嚴(yán)重威脅了智能油田發(fā)展。目前,我國油田信息安全建設(shè)思路已經(jīng)從防外為主,逐步轉(zhuǎn)為以內(nèi)外兼顧的策略,信息安全審計成為縱深安全防御延伸和安全體系建設(shè)的重要環(huán)節(jié)。為遵循國家網(wǎng)絡(luò)強國戰(zhàn)略、達到網(wǎng)絡(luò)安全合規(guī)要求,有效避免黑客攻擊、網(wǎng)絡(luò)泄密、違規(guī)上網(wǎng)、數(shù)據(jù)竊取等安全風(fēng)險,我國急需建立智能油田信息安全綜合審計平臺,實現(xiàn)信息內(nèi)容實時檢查、網(wǎng)絡(luò)行為全面監(jiān)測、安全事件追溯取證,為油田高質(zhì)量發(fā)展保駕護航。
2信息安全綜合審計關(guān)鍵技術(shù)
信息安全綜合審計是企業(yè)內(nèi)控管理、安全風(fēng)險治理不可或缺的保障措施,主要指對網(wǎng)絡(luò)運行過程中與安全有關(guān)的活動、數(shù)據(jù)、日志以及人員行為等關(guān)鍵要素進行識別、記錄及分析,發(fā)現(xiàn)并評估安全風(fēng)險。針對智能油田業(yè)務(wù)需求場景,重點解決3項技術(shù)難題:一是如何基于縱深防御理論通過大數(shù)據(jù)、云計算等技術(shù),對油田不同防御層級的日志、流量等信息進行關(guān)聯(lián)分析建模,有效預(yù)防黑客隱蔽型攻擊;二是如何通過建立面向油田具體業(yè)務(wù)場景的敏感信息指紋庫、安全策略庫、行為特征庫,構(gòu)建覆蓋敏感文件信息處理、存儲、外發(fā)等關(guān)鍵環(huán)節(jié)的縱深防護與事件溯源取證機制;三是如何通過深度網(wǎng)絡(luò)業(yè)務(wù)流量識別與數(shù)據(jù)建模分析技術(shù),建立面向油田具體業(yè)務(wù)場景的員工上網(wǎng)行為監(jiān)管審計機制,實現(xiàn)對員工違規(guī)網(wǎng)絡(luò)行為的全面管控。
2.1多源異構(gòu)網(wǎng)絡(luò)日志信息統(tǒng)一標(biāo)準(zhǔn)化方法與關(guān)聯(lián)分析模型
設(shè)計多源異構(gòu)網(wǎng)絡(luò)日志信息格式標(biāo)準(zhǔn)化方法,利用基于大數(shù)據(jù)處理的日志過濾與關(guān)聯(lián)分析建模技術(shù),整合網(wǎng)絡(luò)泄密、違規(guī)上網(wǎng)、黑客攻擊等網(wǎng)絡(luò)風(fēng)險事件日志信息,建立油田信息安全風(fēng)險關(guān)聯(lián)分析模型。
2.2信息安全審計敏感信息指紋庫、行為特征庫、審計策略庫
結(jié)合油田具體業(yè)務(wù)需求場景,運用數(shù)據(jù)分類分級與指紋識別技術(shù)、深度業(yè)務(wù)流量識別與建模方法,建立滿足國家合規(guī)要求及油田特有應(yīng)用場景需求的敏感信息指紋庫、網(wǎng)絡(luò)行為特征庫及安全審計策略庫。
2.3數(shù)據(jù)防泄露與敏感信息內(nèi)容檢查機制
基于操作系統(tǒng)底層驅(qū)動過濾的數(shù)據(jù)通道防護技術(shù)、基于智能語義分析的敏感信息內(nèi)容審計技術(shù),實現(xiàn)對員工通過云盤、郵件、即時通信、移動介質(zhì)等方式外發(fā)涉密信息的實時檢測與控制,徹底解決員工有意識或無意識地違規(guī)存儲、處理、外發(fā)涉密信息問題。
3智能油田信息安全綜合審計平臺建設(shè)及應(yīng)用
信息安全綜合審計平臺是一個綜合利用云計算、大數(shù)據(jù)、人工智能、數(shù)據(jù)指紋、異構(gòu)數(shù)據(jù)采集等技術(shù),實現(xiàn)網(wǎng)絡(luò)行為監(jiān)控、信息內(nèi)容審計、數(shù)據(jù)庫操作審計、網(wǎng)絡(luò)異常流量監(jiān)測預(yù)警的審計溯源系統(tǒng),在滿足網(wǎng)絡(luò)合規(guī)性要求的同時,為信息安全管理與系統(tǒng)運維人員提供了網(wǎng)絡(luò)安全監(jiān)測、事件追溯取證的基本手段,提升了油田對敏感數(shù)據(jù)的監(jiān)測預(yù)警和傳輸阻斷能力,防止了敏感信息泄露,增強了對外部黑客隱蔽性網(wǎng)絡(luò)攻擊行為與內(nèi)部運維人員違規(guī)業(yè)務(wù)操作的防御能力。其中,圖1是智能油田信息安全綜合審計平臺總體架構(gòu)。
基于信息安全綜合審計關(guān)鍵技術(shù)研究與集成創(chuàng)新,相關(guān)單位研發(fā)建立了智能油田信息安全綜合審計平臺,以縱深防御理論為指導(dǎo),通過網(wǎng)絡(luò)層面的行為和流量審計、信息系統(tǒng)層面日志和數(shù)據(jù)庫審計、終端層面的信息內(nèi)容審計等,實現(xiàn)對網(wǎng)絡(luò)風(fēng)險事件的事前防范、事中告警、事后追溯,形成上網(wǎng)行為全面管控、網(wǎng)絡(luò)保密實時防護、網(wǎng)絡(luò)攻擊深度發(fā)現(xiàn)的主動治理新模式。貫穿數(shù)據(jù)信息的產(chǎn)生、存儲、傳輸、應(yīng)用全生命周期的關(guān)鍵過程,自主建立油田敏感信息指紋庫,構(gòu)建基于涉密違規(guī)存儲遠(yuǎn)程檢查、終端違規(guī)外發(fā)自動阻斷、網(wǎng)絡(luò)敏感信息識別告警功能的數(shù)據(jù)安全縱深防護與事件追溯取證機制,為網(wǎng)絡(luò)保密主動治理提供技術(shù)手段。通過設(shè)計跨平臺、多協(xié)議網(wǎng)絡(luò)信息采集接口機制與多源異構(gòu)日志標(biāo)準(zhǔn)化數(shù)據(jù)模型,結(jié)合云計算與大數(shù)據(jù)處理技術(shù),建立適應(yīng)油田海量非結(jié)構(gòu)化日志信息的存儲云中心,且基于深度學(xué)習(xí)算法建立關(guān)聯(lián)模型,通過日志信息縱向聚合與橫向關(guān)聯(lián)實現(xiàn)網(wǎng)絡(luò)行為與信息內(nèi)容全面審計。
為保障智能油田核心數(shù)據(jù)安全與網(wǎng)絡(luò)系統(tǒng)運行安全,將平臺成功應(yīng)用于油田網(wǎng)絡(luò)安全保障與網(wǎng)絡(luò)攻防實戰(zhàn)演練、網(wǎng)絡(luò)保密治理與數(shù)據(jù)安全保護、員工上網(wǎng)行為管理與審計、IT基礎(chǔ)設(shè)施運維操作審計等,有效提升智能油田精細(xì)化管理水平。通過平臺網(wǎng)絡(luò)安全審計功能,將網(wǎng)絡(luò)層面防火墻、入侵檢測、高級威脅檢測、蜜罐入侵誘捕、Web應(yīng)用防火墻、流量溯源分析、漏洞掃描等網(wǎng)絡(luò)安全監(jiān)測防護設(shè)備提供的黑客網(wǎng)絡(luò)攻擊行為日志信息,應(yīng)用系統(tǒng)層面服務(wù)器操作系統(tǒng)、中間件、數(shù)據(jù)庫等產(chǎn)生的系統(tǒng)日志信息以及終端計算機層面產(chǎn)生的病毒防護、主機漏洞、基線配置等日志信息進行集中統(tǒng)一標(biāo)準(zhǔn)化處理,通過提取關(guān)鍵要素信息進行關(guān)聯(lián)建模分析,實現(xiàn)對黑客隱蔽性網(wǎng)絡(luò)攻擊行為的深度發(fā)現(xiàn)與事件追蹤溯源,為油田網(wǎng)絡(luò)安全日常防御保障提供監(jiān)測分析技術(shù)手段,為油田網(wǎng)絡(luò)攻防對抗實戰(zhàn)演習(xí)統(tǒng)一決策指揮提供平臺支撐。通過信息安全綜合審計平臺的信息內(nèi)容審計功能,實現(xiàn)對內(nèi)部員工通過電子郵件、即時通信、網(wǎng)絡(luò)云盤、網(wǎng)站上傳等方式外發(fā)敏感數(shù)據(jù)信息的實時監(jiān)測,結(jié)合平臺數(shù)據(jù)防泄露功能,實現(xiàn)對員工辦公終端計算機違規(guī)存儲、處理、外發(fā)敏感數(shù)據(jù)信息文件行為的實時告警提示與阻斷控制,同時針對油田不同業(yè)務(wù)場景,制定開發(fā)科研、生產(chǎn)、經(jīng)營、管理等不同業(yè)務(wù)敏感數(shù)據(jù)信息審計策略,實現(xiàn)對內(nèi)部員工有意識或無意識網(wǎng)絡(luò)泄密行為的事前告警提示、事中監(jiān)測阻斷、事后追溯取證,為網(wǎng)絡(luò)保密治理提供有效的技術(shù)手段,保障智能油田核心數(shù)據(jù)安全。通過信息安全綜合審計平臺的上網(wǎng)行為審計功能,實現(xiàn)對油田內(nèi)部員工上網(wǎng)行為的有效管理,對員工通過油田網(wǎng)絡(luò)進行網(wǎng)站訪問、網(wǎng)絡(luò)應(yīng)用等行為進行實時監(jiān)測審計,防止員工因訪問不良網(wǎng)站給企業(yè)帶來的法律風(fēng)險,同時避免因訪問惡意網(wǎng)站給企業(yè)帶來木馬病毒等網(wǎng)絡(luò)安全風(fēng)險,滿足網(wǎng)絡(luò)安全管理合規(guī)要求。利用信息安全綜合審計平臺提供的運維操作行為審計功能,對運維管理人員的操作日志進行集中監(jiān)測分析,整合利用日志數(shù)據(jù)價值,實現(xiàn)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫等信息基礎(chǔ)設(shè)施運維操作活動的實時監(jiān)控、記錄及告警,有效規(guī)避運維操作過程中產(chǎn)生的網(wǎng)絡(luò)安全風(fēng)險。
摘要:金融審計是國家審計機關(guān)對金融機構(gòu)財務(wù)收支活動進行監(jiān)督的行為?,F(xiàn)代商業(yè)銀行的生存和發(fā)展在很大程度上依賴于金融創(chuàng)新,而信息系統(tǒng)的普及程度及其使用范圍則直接制約著金融創(chuàng)新的手段。農(nóng)村信用社信息系統(tǒng)從無到有、從弱到強,在一定程度上促進了農(nóng)村金融體制改革的順利進行,但同時也帶來了更多的風(fēng)險,并對農(nóng)村信用社的內(nèi)部審計工作提出了更高的要求。
關(guān)鍵詞:農(nóng)村信用社 信息系統(tǒng)建設(shè) 風(fēng)險防范 內(nèi)部審計
審計作為監(jiān)督的有效手段,是農(nóng)村信用社風(fēng)險防范的一個重要工具,是風(fēng)險管理的一道防線。如何構(gòu)筑這道防線,是我們必須認(rèn)真考慮的問題,審計風(fēng)險越來越引起廣泛關(guān)注。
一、農(nóng)村信用社金融審計現(xiàn)狀
農(nóng)村信用社審計現(xiàn)在還不完善,仍存在著審計手段落后、審計力量不足等矛盾,面臨著許多風(fēng)險。農(nóng)村信用社審計風(fēng)險產(chǎn)生的原因是多方面的,既有人員素質(zhì)因素、管理因素、審計質(zhì)量因素,也有審計技術(shù)和方法的因素。
(一)審計人員素質(zhì)還不完全適應(yīng)審計發(fā)展的要求
目前,一部分從事審計的人員雖然不具備金融專業(yè)知識、任職資格、技術(shù)職稱,但具有長期從事農(nóng)村信用社審計工作的經(jīng)驗,在審計過程中能夠發(fā)現(xiàn)一些問題,解決一些問題,但對產(chǎn)生問題原因的分析,對形成風(fēng)險和造成危害的剖析,對金融和宏觀經(jīng)濟運行影響的判斷能力不足。另一部分則是具有較高的金融知識水平,又有多年審計工作經(jīng)歷和專業(yè)技術(shù)水平,還有豐富的審計經(jīng)驗并具有較強查證問題、分析問題、解決問題和綜合判斷的能力,是金融審計隊伍中的主導(dǎo)力量,但是所占比例很小。
(二)審計管理不科學(xué),缺乏質(zhì)量控制標(biāo)準(zhǔn)
就信用社而言,省聯(lián)社、地區(qū)聯(lián)社(辦事處)成立稽查部門,基層信用社配備兼職審計員,審計人員并未能嚴(yán)格遵守審計質(zhì)量控制規(guī)范,其審計行為隨意性很大。加之審計任務(wù)接二連三,時間緊、任務(wù)重,審計重點不突出,造成審計走過場,審計面沒達到,特別是專項審計項目在規(guī)定時間內(nèi)要完成,導(dǎo)致有的細(xì)節(jié)無法審計到;在質(zhì)量控制標(biāo)準(zhǔn)上,審計對象的經(jīng)濟技術(shù)指標(biāo)的評價標(biāo)準(zhǔn)沒有制定出科學(xué)的方法和內(nèi)容,審計質(zhì)量控制體系中缺乏責(zé)任的確認(rèn)和責(zé)任追究的具體內(nèi)容和標(biāo)準(zhǔn),沒有非常完善的質(zhì)量檢查制度,有些審計項目質(zhì)量問題可能只有到出現(xiàn)問題時才能發(fā)現(xiàn)。質(zhì)量責(zé)任追究僅限于查案件、追責(zé)任,失去了質(zhì)量控制的作用。
(三)技術(shù)方法不先進
面對被審計單位龐大的金融數(shù)據(jù),傳統(tǒng)的審計方法已經(jīng)不能適應(yīng)信息化的發(fā)展需求,雖然開展了計算機審計,但審計軟件技術(shù)開發(fā)還未起步,后臺數(shù)據(jù)的下載速度慢,有的數(shù)據(jù)不能隨時下載,影響了審計的效率,增加了現(xiàn)場審計時間,同時加大了審計成本。
(四)信息系統(tǒng)功能單一,信息資源獨立,無法及時滿足系統(tǒng)用戶的服務(wù)需求
雖然農(nóng)村信用社已經(jīng)建立了比較先進的信息系統(tǒng),但由于各子系統(tǒng)功能的相對獨立性,使得信息資源目前尚無法或無法全部實現(xiàn)共享。
二、農(nóng)村信用社信息系統(tǒng)風(fēng)險防范的內(nèi)審對策
針對農(nóng)村信用社信息系統(tǒng)風(fēng)險防范問題, 內(nèi)部審計部門應(yīng)當(dāng)采取下列方面的基本對策:
(一)提高內(nèi)部審計人員對信息系統(tǒng)風(fēng)險防范工作的認(rèn)識
郭道揚教授在他的書中指出:一定歷史階段的會計環(huán)境制約著這一歷史階段人們的會計思想認(rèn)識水平,而這一歷史階段人們的思想認(rèn)識水平又制約著這一歷史階段的會計組織、制度、理論、方法的發(fā)展,以及會計工作水平。作為內(nèi)部審計工作者,將這一段話中的“會計”轉(zhuǎn)換為“內(nèi)部審計”同樣適用。審計人員只有提高了對信息系統(tǒng)風(fēng)險防范的思想意識,才會主動地去接受和吸收新的理論知識,也才能在實踐中不斷地總結(jié)經(jīng)驗,在提高自身審計技能水平的同時,提高農(nóng)村信用社信息系統(tǒng)審計的整體水平。
(二)加強對內(nèi)部審計人員信息系統(tǒng)風(fēng)險防范技能的培訓(xùn)
一項工作的成敗,除了受到外部環(huán)境的影響外,更多地取決于內(nèi)部資源的整合程度,而其中人力資源狀況則起著決定性作用。隨著農(nóng)村信用社信息系統(tǒng)建設(shè)的發(fā)展,必將對審計人員在風(fēng)險防范方面提出更高的要求。除了要求具備常規(guī)的審計基礎(chǔ)知識以外,還須掌握信息技術(shù)以及計算機管理方面的專業(yè)知識和專業(yè)技能。這些知識和能力的擁有,除了需要長期的工作實踐以外,更重要的還在于通過不斷地學(xué)習(xí)來獲得。一是通過聘請外部專業(yè)技術(shù)人員組織培訓(xùn)的方式提高審計人員的綜合素質(zhì)。二是注重內(nèi)部審計人員的傳幫帶作用,通過具體的審計案例組織審計人員進行分析、討論和講解,激發(fā)審計人員的工作熱情。
(三)建立內(nèi)部審計信息管理系統(tǒng),實現(xiàn)信息資源的實時共享
審計人員在審計過程中,往往需要通過獲取大量的數(shù)據(jù)信息,加上其職業(yè)判斷能力,作出相應(yīng)的審計結(jié)論。而目前數(shù)據(jù)信息的取得,在一定程度需要依賴于其他管理部門,由于工作性質(zhì)的不同,其他管理部門往往無法提供出審計部門所確切需要的數(shù)據(jù)。通過建立審計信息管理系統(tǒng),其重要作用主要體現(xiàn)在下列幾個方面:一是審計部門通過網(wǎng)絡(luò)或數(shù)據(jù)接口,使用中間軟件,可以從其他信息管理系統(tǒng)自主獲取相關(guān)信息,并通過獨立分析,及時提出相應(yīng)的審計意見。二是促進和加強審計部門內(nèi)部的協(xié)調(diào)和管理,實現(xiàn)從方案設(shè)計到處理決定各環(huán)節(jié)之間的相互監(jiān)督,不僅有利于提高工作效率,而且也為審計質(zhì)量考核提供了極大的方便。三是通過相應(yīng)的權(quán)限設(shè)置,可以實現(xiàn)審計工作所需要的各類法律法規(guī)、規(guī)章制度、審計方法、審計操作規(guī)程、審計報告、工作底稿、審計最新研究成果等資源的共享,不僅有利于提高審計工作質(zhì)量,而且也為審計人員提供了比較切合實際的網(wǎng)絡(luò)培訓(xùn)平臺。
(四)強化計算機技術(shù)在金融審計領(lǐng)域的應(yīng)用
一是構(gòu)建全省的金融審計信息化平臺,整合全省金融信息資源,確保全省各級審計機關(guān)在“一體化”信息平臺上開展金融審計;二是對被審計單位的業(yè)務(wù)數(shù)據(jù)和財務(wù)數(shù)據(jù)進行集中采集、集中分析,構(gòu)建農(nóng)信社審計業(yè)務(wù)數(shù)據(jù)庫,為下一步實現(xiàn)聯(lián)網(wǎng)審計打下基礎(chǔ);三是繼續(xù)突出抓好應(yīng)用,金融處將聯(lián)合計算機技術(shù)中心共同開展金融數(shù)字化審計項目,力求憑借計算機技術(shù)實現(xiàn)金融審計的新突破。
三、結(jié)束語
目前,農(nóng)村信用社新的經(jīng)營機制正在逐步建立,業(yè)務(wù)發(fā)展和金融創(chuàng)新過程不斷加快。因此,內(nèi)部審計工作也應(yīng)及時更新審計理念,轉(zhuǎn)變方式,提高審計監(jiān)督效能,使審計工作更加適應(yīng)信用社改革發(fā)展和管理的需要,以促進農(nóng)村信用社合法守規(guī)經(jīng)營為目標(biāo),充分發(fā)揮審計部門的再監(jiān)督作用。加大違規(guī)處罰力度,嚴(yán)厲查處信用社在經(jīng)營過程中存在的風(fēng)險隱患,從而遏制違規(guī)違紀(jì)現(xiàn)象的發(fā)生。促使農(nóng)村信用社各項業(yè)務(wù)活動合規(guī)經(jīng)營、健康發(fā)展,為農(nóng)村信用社的改革與發(fā)展保駕護航。同時,面對上述農(nóng)村信用社面臨的風(fēng)險,應(yīng)當(dāng)如何去應(yīng)對,是我們每個信合人都必須要認(rèn)真思考和對待的重要課題。
參考文獻:
[1]陳國銳.農(nóng)村信用社的審計風(fēng)險與防范Ⅲ.省聯(lián)社發(fā)展研究處,2010,(7).
[關(guān)鍵詞]信息 安全 保障 事件
[中圖分類號]F224-39 [文獻標(biāo)識碼]A [文章編號]1672-5158(2013)06-0238-02
華為中興遭遇美國安全調(diào)查的事件風(fēng)波過去已經(jīng)有幾個月的時間了,但其影響卻在持續(xù)發(fā)酵和擴散,對此我們必須高度警惕。近期發(fā)生的一系列事件也更加反映出這樣的趨勢:網(wǎng)絡(luò)信息安全問題正日益成為影響我國經(jīng)濟社會發(fā)展乃至外交關(guān)系的重大問題,必須積極應(yīng)對。加強對華為中興調(diào)查事件的深入研究,具有較強的現(xiàn)實意義。
一、調(diào)查事件回顧
美國此次發(fā)動對華為中興的調(diào)查,是華為中興探索謀求在發(fā)達國家市場實現(xiàn)突破并再次受挫的又一次典型事例。
(一)調(diào)查起因
美國將電信網(wǎng)絡(luò)作為國家關(guān)鍵基礎(chǔ)設(shè)施予以重點保護,加強電信網(wǎng)絡(luò)供應(yīng)鏈安全,是其推進工作的重要抓手。美中事務(wù)監(jiān)察委員會在其報告中曾指出,中國電信企業(yè)華為和中興正迅速主導(dǎo)全球電信市場,這些企業(yè)所控制的敏感設(shè)備和基礎(chǔ)設(shè)施可用于間諜活動,對美國家安全可能存在威脅。基于此認(rèn)識,2011年2月,美外商投資委員會否決了華為收購3leaf公司案。華為發(fā)表公開信,希望美國公開調(diào),澄清華為可能威脅美國家安全的不實言論。
(二)調(diào)查過程
美國眾議院情報委員會針對華為中興兩家公司的調(diào)查,前后歷時2年多,主要經(jīng)歷了預(yù)調(diào)查、尋找佐證、聽證質(zhì)詢、初步調(diào)查結(jié)果等價主要階段。
——2011年3月,啟動預(yù)調(diào)查。2011年3月,美美眾議院情報委員會以華為公開信為借口,開始了對華為的“可能危害美國家安全”的預(yù)查。2011年底,調(diào)查對象進一步擴大到中興通訊。
——2011年初至2012年5月,美方多方調(diào)查接觸,尋找佐證。主要包括與兩家公司高管直接接觸和討論、采訪相關(guān)行業(yè)專家、采訪兩家公司的雇員等。2012年2月、4月和5月,眾議院情報委員會官員還分別考察了華為和中興公司總部。
——2012年9月,公開聽證。美方在經(jīng)過多方調(diào)查后認(rèn)為,華為和中興兩家公司并未完全響應(yīng)委員會的要求,均未提供足夠的證明材料。為此9月13日,舉行公開聽證會,對調(diào)查進行補充質(zhì)詢。
——2012年10月,美初步調(diào)查報告,斷言安全威脅。10月8日,美國眾議院情報委員會了關(guān)于中興華為調(diào)查情況的初步報告——《由中國電信企業(yè)華為和中興引發(fā)的對美安全威脅》,指稱華為中興為中國情報部門提供了干預(yù)美國通信網(wǎng)絡(luò)的機會,構(gòu)成對美國國家安全的威脅。
(三)調(diào)查結(jié)論
經(jīng)過漫長調(diào)查,美國初步調(diào)查報告指稱,華為中興對調(diào)查均未充分配合,且均未提供相關(guān)文件和證據(jù)。眾議院對兩家公司能否遵守國際規(guī)則的擔(dān)心進一步增加。
主要調(diào)查結(jié)論包括5個方面:一是兩家企業(yè)與政府及軍方的關(guān)系不明。二是兩家企業(yè)的經(jīng)營或受政府及黨委影響;三是兩家企業(yè)可能獲得來自政府的支持。四是兩家企業(yè)對其在美業(yè)務(wù)信息不透明,并對在美機構(gòu)的經(jīng)營活動實施嚴(yán)格控制。五是兩企業(yè)對知識產(chǎn)權(quán)保護不力,且有違反移民法、賄賂和腐敗、歧視以及侵犯版權(quán)等違法行為。
基于以上結(jié)論,調(diào)查委員會擔(dān)心如將其產(chǎn)品部署在國家關(guān)鍵基礎(chǔ)設(shè)施上,會給美國帶來潛在安全風(fēng)險,并相應(yīng)提出了5條針對性建議。一是美國相關(guān)政府部門應(yīng)當(dāng)對中國電信企業(yè)在美的持續(xù)滲透保持懷疑,尤其在其系統(tǒng)內(nèi)不得使用華為中興設(shè)備。二是呼吁美國網(wǎng)絡(luò)和系統(tǒng)開發(fā)者們尋找其他的供應(yīng)商。三是美國國會司法委員會對中國通信行業(yè)開展不公平貿(mào)易調(diào)查。四是國會司法委員會出臺相應(yīng)的法律加強管理。五是中國企業(yè)需要更加開放、透明和守法。
二、事件背景分析
調(diào)查事件反映出較為復(fù)雜的背景,綜合來看包括以下三個方面。
(一)華為中興積極參與全球化發(fā)展
華為、中興憑借自身的比較優(yōu)勢,響應(yīng)國家改革開放政策的號召,較早實施了企業(yè)全球化發(fā)展戰(zhàn)略并取得顯著的成績。企業(yè)全球影響力逐步提高,海外市場規(guī)模不斷擴大,國際資源配置能力顯著增強,創(chuàng)新潛力不斷積聚。以華為為例,經(jīng)過10年的海外拓展,2011年實現(xiàn)海外收入1383.64億元,占總收入67.8%;其在海外已設(shè)立了22個地區(qū)部,100多個分支機構(gòu),其產(chǎn)品與解決方案已在全球150多個國家和地區(qū)得到推廣;2008年,華為公司以1737件PCT國際專利申請首次躍居世界企業(yè)首位,并連續(xù)多年居排行前4位。
(二)此前華為在美投資屢受挫折
此次調(diào)查并非華為海外投資的首次受挫,其此前在美拓展市場的活動也非一帆風(fēng)順,處處可見政府干預(yù)的影子。如2007年9月,華為聯(lián)手貝恩資本競購網(wǎng)絡(luò)公司3Com,雖然3Com同意了這筆價值22億美元的交易,但隨后貝恩資本退出,導(dǎo)致交易夭折。貝恩資本退出的主要原因在于,美國情報部門向美國外國投資委員會提交了一份威脅評估報告,稱貝恩資本和華為聯(lián)合收購3Com交易將對美國國家安全造成了威脅,因為3Com向美國國防部出售反黑客軟件并提供其他網(wǎng)絡(luò)安全服務(wù)。在此情況下,華為中興等中國企業(yè)也已有做出調(diào)整,將謀求美國市場作為一項長期戰(zhàn)略,并制定了分階段實施的規(guī)劃。
(三)美國限制外資的因素客觀存在
在我國企業(yè)華為中興大舉推進全球化的同時,美國存在著多種阻礙國外企業(yè)擴張的深層因素。一是政府謀求干預(yù)經(jīng)濟。金融危機的嚴(yán)重后果,使美國深刻意識到新自由主義經(jīng)濟政策的短板,謀求加強對經(jīng)濟發(fā)展的干預(yù),這也成為奧巴馬在第44任總統(tǒng)選舉中脫穎而出的重要因素。二是美國內(nèi)加強實體經(jīng)濟的呼聲高漲。美國“產(chǎn)業(yè)空心化”導(dǎo)致了承擔(dān)經(jīng)濟“造血”功能的制造業(yè)不斷萎縮,最終引發(fā)了肆虐全球的金融危機。美國意識到不能任由虛擬經(jīng)濟發(fā)展,而重振制造業(yè)的全球競爭力反思得出的重要結(jié)論。三是傳統(tǒng)冷戰(zhàn)思維在經(jīng)濟領(lǐng)域蔓延。中國的迅速崛起,被美國視為最大威脅,千方百計地加以遏制,并采取“虛實結(jié)合,兩手并用”的策略:虛的一手,就是夸大中國的軍事力量,散布“中國”;實的一手,就是加強經(jīng)濟遏制,在經(jīng)貿(mào)問題上對中國實施“利益圍堵”。這種遏制,已經(jīng)很現(xiàn)實的體現(xiàn)在美國對華貿(mào)易中,諸如紡織品、人民幣匯率等問題。不難預(yù)料,利用經(jīng)貿(mào)問題遏制中國將是美國對華遏制政策的重點。
三、影響與警示思考
美國此次調(diào)查活動的影響是多層面的:微觀層面,會直接影響華為中興爭取美國市場的努力;中觀層面,對于我國企業(yè)推進全球化戰(zhàn)略帶來影響;宏觀層面,對我國加強和鞏固對外關(guān)系、經(jīng)濟社會安全運行帶來影響。對此,我們須采取不同的應(yīng)對措施。
(一)對華為中興的影響及應(yīng)對建議
美國國會的調(diào)查結(jié)果和建議將對華為中興兩家企業(yè)產(chǎn)生最直接的影響。首先,就美國市場來看,華為中興或?qū)⒚媾R來自政府部門更加嚴(yán)密的監(jiān)管,以及眾多合作廠商、系統(tǒng)用戶退單的風(fēng)險。對此,因調(diào)查報告只是初步結(jié)論,華為中興應(yīng)據(jù)理力爭,堅決駁斥美方缺乏證據(jù)的指責(zé);同時繼續(xù)加強與美相關(guān)方面的溝通,謀求獲得盡量多的支持。其次,華為中興或?qū)⒚媾R其他國家的審查。此次美方的調(diào)查無疑對其他國家產(chǎn)生一定的示范效應(yīng),他們或?qū)θA為中興開展類似調(diào)查。對此,華為中興應(yīng)加強對此次調(diào)查相關(guān)情況的總結(jié),不斷完善管理,做好應(yīng)對其他國家相關(guān)調(diào)查的準(zhǔn)備。第三,從好的方面來看,國外開展此類調(diào)查,其對象或?qū)⒉幌抻谌A為中興兩家中國企業(yè),對諸如思科、谷歌等企業(yè)進行安全調(diào)查的呼聲近來也日益高漲,這對華為中興而言,或是超越競爭對手的機遇。對此,華為中興應(yīng)充分發(fā)揮在成本、配套能力等方面的比較優(yōu)勢,提升在當(dāng)前競爭格局中的地位。
(二)對中國企業(yè)的影響和應(yīng)對建議
美國以國家安全為由進行調(diào)查和限制,正成為中國企業(yè)面臨的共同問題。一是,美國開展類似調(diào)查的對象范圍在向傳統(tǒng)企業(yè)擴展,已經(jīng)不再局限于信息技術(shù)企業(yè),如2012年7月美國對中國三一集團關(guān)聯(lián)公司收購禁令就是典型例證。對此,我國企業(yè)界應(yīng)發(fā)揮相關(guān)協(xié)會、聯(lián)盟的作用,聯(lián)合應(yīng)對。二是,國家安全將會被更多的作為限制競爭的手段。以安全為由對相關(guān)貿(mào)易和投資行為進行限制,可以繞開國際規(guī)則,將國際貿(mào)易問題轉(zhuǎn)化為國內(nèi)法律范疇,為某些國家推行貿(mào)易歧視大開方便之門。對此,企業(yè)應(yīng)加強對美國相關(guān)法律規(guī)范的研究,做到知已知彼,有序應(yīng)對。三是,盡管開展調(diào)查的國家不同,但應(yīng)對方案或具有一定共性。以歐盟為例,在美國此次調(diào)查期間,歐盟暫停了原本擬啟動的對華為反補貼調(diào)查。究其用意,不排除在行動上欲保持與美一致。因此,我國企業(yè)間建立和完善溝通機制,尋求共性解決方案是必要的。
(三)對中國的影響和應(yīng)對建議
關(guān)鍵詞:信號系統(tǒng) 安全門 接口功能 接口時序
1. 概述現(xiàn)代城市軌道交通信號系統(tǒng)是整個城市軌道交通自動控制系統(tǒng)中的重要部分,其功能在于保證列車和乘客安全,實現(xiàn)快速、高密度、有序運行功能的同時,為乘客提供一個舒適安全的乘車環(huán)境。 同時為了降低空調(diào)能耗,降低運營成本,在現(xiàn)代城市軌道交通建設(shè)中普遍考慮采用安全 門(PSD)系統(tǒng)。安全門是安裝于站臺邊緣、在軌道與站臺公共區(qū)域之間提供安全可靠隔離 、由一系列 自動控制的滑動門組成的屏障。信號系統(tǒng)通過發(fā)出“開門”和“關(guān)門” 信號命令控制列車車門和安全門,實現(xiàn)安全門和列車車門同步動作。
2. 信號系統(tǒng)與安全門系統(tǒng)接口的一般要求( 1 )在確定列車停在規(guī)定的停車窗內(nèi)或者司機按壓強行開門按鈕后,車載ATP設(shè)備方允許ATO開車門和安全門,打開、關(guān)閉命令經(jīng)由車地通信傳送到室內(nèi)信號設(shè)備; ( 2 )只有不問斷地接收到安全門關(guān)閉信息的情況下,列車才能進入站臺區(qū)域或從站臺區(qū)域發(fā)車; ( 3 )車門和站臺安全門均已關(guān)閉且鎖閉后,在ATP給出允許啟動列車信號后,車載ATO自動或人工啟動列車; ( 4 )安全門在 “ 故障開門”狀態(tài),列車應(yīng)可以采用一種特定的方式進/出站,并可以通過特定命令解除安全門與信號系統(tǒng)的聯(lián)鎖關(guān)系; ( 5 )站臺安全門因故失去狀態(tài)表示,應(yīng)對有關(guān)列車采取常用或緊急制動以防止列車進入站臺或在站臺 內(nèi)移動;( 6 )信號系統(tǒng)提供安全門的開、關(guān)控制信號,安全門系統(tǒng)向信號系統(tǒng)提供全部門關(guān)閉狀態(tài)信息和互鎖解除信息。
3. 信號系統(tǒng)與安全門系統(tǒng)接口的實現(xiàn)
3.1車地通信。在 ATO駕駛模式下,開門允許燈點亮后,司機可以辦理開關(guān)列車門手續(xù),車載控制器捕捉到列車電路開/關(guān)安全門脈沖,編碼后通過通信器傳輸至地面控制器,地面控制器控制安全門控制器輸出開/關(guān)安全門命令,安全門控制器通過繼電接口把開/關(guān)安全門命令傳輸至安全門系統(tǒng)如圖1所示。
3.2接口功能詳細(xì)描述。( 1 )開門指令。 發(fā)送條件:收到來自VOBC的開啟安全門請求后,聯(lián)鎖系統(tǒng)即向PSD系統(tǒng)發(fā)送開門指令。必須要滿足以下條件VOBC才能夠執(zhí)行開啟站臺安全門的操作 :①相關(guān)的站臺屏蔽門必須符合站臺的位置及操作方向;②接近傳感器必須要檢測到列車已在站臺上準(zhǔn)確定位 ;③列車的速度是零,列車停在規(guī)定的停車點內(nèi);④已經(jīng)執(zhí)行了停車制動;⑤已經(jīng)執(zhí)行了禁止?fàn)恳?信號持續(xù)時間:開門信號一直會維持在高電平 ,直至STC發(fā)出關(guān)門指令或收到安全門鎖閉狀 態(tài)信息。 ( 2 )關(guān)門指令 。發(fā)送條件 :收到來自VOBC的關(guān)閉安全門請求后 ( 由OCC或司機控制臺發(fā)出相關(guān)操控指令),聯(lián)鎖系統(tǒng)即向PSD系統(tǒng)發(fā)送關(guān)門指令。信號持續(xù)時間:關(guān)門指令信號會一直維持在高 電平,直至STC收到安全門鎖閉狀態(tài)信息。 ( 3 )屏蔽門鎖閉狀態(tài)信息 。發(fā)送條件:當(dāng)全部站臺安全門鎖閉后,PSD系統(tǒng)即向聯(lián)鎖系統(tǒng)發(fā)送該信息。 信號持續(xù)時間:該狀態(tài)信息信號會一直維持在高電平,直至PSD收到開門指令 。 ( 4 )自動安全門/緊急逃生門狀態(tài)信息 。發(fā)送條件:PSD系統(tǒng)使用這一信號來表示其是否工作正常。如果PSD系統(tǒng)工作不正常 ,可用 該信號將PSD置為故障忽略狀態(tài)。當(dāng)該信號電平為低(缺省設(shè)置),表示 PSD系統(tǒng)工作正常,信號系統(tǒng)收到安全門鎖閉信號后就可控制列車運行離站。當(dāng)該信號電平為高,表示無需收到屏蔽門鎖閉信號,列車就可運行離站。信號持續(xù)時間:該信號持續(xù)在高電平和低電平之間切換。
3 . 3 聯(lián)鎖/安全門的接口時序。下圖說明了一個典型的MLOK-PSD接口信號間的時序關(guān)系以及門開啟和關(guān)閉的操作 次 序 情況。 T0:起始條件,所有門關(guān)閉并鎖閉,使能信號和開門信號無效。T1:聯(lián)鎖設(shè)置使能信號為有效,門指示燈閃爍。T2:聯(lián)鎖設(shè)置開門信號有效。當(dāng)使能和開門信號都有效時,門開始打開。一旦門開始打開,“關(guān)閉并鎖閉”信號轉(zhuǎn)為“關(guān)”狀態(tài)。T3至T8:門完全打開,并保持開門狀態(tài)。T9:聯(lián)鎖設(shè)置一關(guān)閉信號(開門信號將無效)。安全門核實使能信號有效并且開門信號無效,然后開始關(guān)門。T10:門完全關(guān)閉,門關(guān)閉并鎖閉信號轉(zhuǎn)為高電平。T11:是最后一個時序部分,聯(lián)鎖將使能信號置為低電平(無效)。
使能信號(安全信號)在門從開始打開到再次“關(guān)閉并鎖閉”(并且列車也剛出發(fā))期間保持在有效狀態(tài)。列車監(jiān)測安全門的狀態(tài)(依據(jù)“關(guān)閉并鎖閉”信號,為安全信號),并且只在所有安全門關(guān)閉的情況下才發(fā)車離站。
4. 結(jié)束語
安全門系統(tǒng)與信號系統(tǒng)的結(jié)合提高了安全門的自動性和安全性,在保證列車和乘客安全 ,實現(xiàn)快速、高密度、有序運行等功能的同時,為乘客提供了一個舒適安全的乘車環(huán)境。因此無論是新線建設(shè)還是舊線改造,設(shè)置站臺安全門都將是未來發(fā)展的趨勢,而與之密切相關(guān)的控制技術(shù)也將起到重要作用。
【 關(guān)鍵詞 】 管控;校園網(wǎng);信息安全;安全策略;安全審計
Research on Campus Network Management and Control of Information Security
Wu Shao-jia Liao Li
(Zhaoqing Radio & Television University Guangdong Zhaoqing 526060)
【 Abstract 】 Protection of campus network security is the focus and key points on the information work, As the ongoing in-depth information security management and monitoring processes, The problems of Potential Network Information Security is exposed, You can construction out the strategy of security applies to campus Information Network System, and take effective measures solution its security problem, Improves the network operation level , Supply the information and data protection with safety measure of reached the security requirements and construction target for campus network.
【 Keywords 】 management and control; campus network; information security ; security strategy; security audit
0 引言
數(shù)字校園是推進實現(xiàn)我國教育信息化的重點建設(shè)目標(biāo)之一,數(shù)字信息化應(yīng)用在我國教育現(xiàn)代化的進程中起到了強大的推動力。校園網(wǎng)是學(xué)校數(shù)字信息化建設(shè)重要的基礎(chǔ)設(shè)施,是學(xué)校實現(xiàn)數(shù)字信息化的重要組成平臺,在教學(xué)支持服務(wù)、教學(xué)教務(wù)管理、科學(xué)研究、行政管理和校內(nèi)外信息交流等許多方面都起到了重大作用。許多學(xué)校的工作已經(jīng)完全通過信息網(wǎng)絡(luò)系統(tǒng)來運轉(zhuǎn),隨著信息化建設(shè)規(guī)模的擴大深入以及計算機信息網(wǎng)絡(luò)技術(shù)的不斷擴展和增強,在校園網(wǎng)中潛在威脅安全問題暴露無遺,校園網(wǎng)絡(luò)安全的形勢日益嚴(yán)峻。如何保障學(xué)校內(nèi)部重要信息的安全,使得重要數(shù)據(jù)信息不被竊取,是學(xué)校信息安全工作當(dāng)前要面臨的首要挑戰(zhàn)。
1 校園網(wǎng)信息安全需求
隨著校園網(wǎng)應(yīng)用的深入,校園網(wǎng)上各種信息數(shù)據(jù)急劇增加,結(jié)構(gòu)性不斷提高,用戶對網(wǎng)絡(luò)性能要求的不斷提高,網(wǎng)絡(luò)信息安全成為網(wǎng)絡(luò)技術(shù)發(fā)展中一個極其關(guān)鍵的任務(wù)。校園網(wǎng)信息安全的需求概括有四個方面。
(1)用戶安全:用戶安全分成管理員用戶安全和業(yè)務(wù)用戶安全。
(2)網(wǎng)絡(luò)硬環(huán)境安全 :網(wǎng)絡(luò)連接安全,校園網(wǎng)中的子網(wǎng)與其他網(wǎng)絡(luò)連接的網(wǎng)絡(luò)安全,各個專用的業(yè)務(wù)子網(wǎng)的安全。
(3)網(wǎng)絡(luò)軟環(huán)境安全:即校園網(wǎng)的應(yīng)用環(huán)境安全。
(4)傳輸安全:數(shù)據(jù)的傳輸安全,主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與公網(wǎng)(教科網(wǎng))之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與分校區(qū)之間的數(shù)據(jù)傳輸安全。
校園網(wǎng)絡(luò)系統(tǒng)通常只是在校內(nèi)使用的教學(xué)辦公網(wǎng)絡(luò),是一個相對封閉的局域網(wǎng)系統(tǒng),可不考慮外來的入侵行為,所面臨的風(fēng)險大多始于內(nèi)部,包括來自學(xué)校內(nèi)部人員的威脅、非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)的完整性、數(shù)據(jù)篡改、泄漏與丟失等。眾多不同的安全技術(shù)和產(chǎn)品,在技術(shù)上缺乏完善的綜合管理平臺進行統(tǒng)一協(xié)調(diào)管理;而在管理上則欠缺良好的安全管理體制和策略,這就直接導(dǎo)致了整個安全體系的薄弱,造成網(wǎng)絡(luò)整體安全防御能力下降,無法真正達到安全要求和建設(shè)目標(biāo)。因此,使用訪問控制及內(nèi)外網(wǎng)的隔離,使用內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制,使用網(wǎng)絡(luò)安全檢測。解決校園網(wǎng)信息安全問題的重要方法,是在校園內(nèi)網(wǎng)中采用不同的安全產(chǎn)品和技術(shù)構(gòu)建多層次的安全防范體系,并在這個體系中部署信息安全審計措施以監(jiān)督信息系統(tǒng),發(fā)現(xiàn)和追查信息系統(tǒng)中潛在的安全問題,彌補其它安全產(chǎn)品對信息安全管控的不足。
2 管控信息安全的策略
信息安全是高技術(shù)的對抗,信息安全問題是要通過大力發(fā)展信息安全高技術(shù)來解決。但同時必須清醒地認(rèn)識到,要高效地解決信息系統(tǒng)的安全問題,除了從技術(shù)上下功夫外,還得依靠配套的安全管理措施來實現(xiàn)。一定要部署校園網(wǎng)安全審計與監(jiān)控體系配套管理措施,對信息安全審計工作必須要堅持管理與技術(shù)并重的原則,建立和完善信息安全配套管理制度和規(guī)范,加強管理落實責(zé)任,注重通過加強管理彌補技術(shù)上的不足。
首先要建立相對獨立的學(xué)校信息安全審計機構(gòu),明確管理組織內(nèi)各個角色所承擔(dān)的具體審計職能。在一個審計機構(gòu)中具體應(yīng)當(dāng)包括幾種角色。
(1)系統(tǒng)管理員:系統(tǒng)管理員主要負(fù)責(zé)對審計系統(tǒng)的配置和系統(tǒng)運行狀況的維護。
關(guān)鍵詞:等級保護;網(wǎng)絡(luò)安全;信息安全;安全防范
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1009-3044(2014)19-4433-03
隨著我國國際地位的不斷提高和經(jīng)濟的持續(xù)發(fā)展,我國的網(wǎng)絡(luò)信息和重要信息系統(tǒng)面臨越來越多的威脅,網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升,計算機病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗,犯罪分子利用一些安全漏洞,使用木馬間諜程序、網(wǎng)絡(luò)釣魚技術(shù)、黑客病毒技術(shù)等技術(shù)進行網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)賭博等違法犯罪,給用戶造成嚴(yán)重?fù)p失,因此,維護網(wǎng)絡(luò)信息安全的任務(wù)非常艱巨、繁重,加強網(wǎng)絡(luò)信息安全等級保護建設(shè)刻不容緩。
1 網(wǎng)絡(luò)信息安全等級保護
信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。網(wǎng)絡(luò)信息安全等級保護體系包括技術(shù)和管理兩大部分,如圖1所示,其中技術(shù)要求分為數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、主機安全、物理安全五個方面進行建設(shè)。
圖1 等級保護基本安全要求
1) 物理安全
物理安全主要涉及的方面包括環(huán)境安全(防火、防水、防雷擊等)設(shè)備和介質(zhì)的防盜竊防破壞等方面。
2) 主機安全
主機系統(tǒng)安全是計算機設(shè)備(包括服務(wù)器、終端/工作站等)在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全;通過部署終端安全管理系統(tǒng)(TSM),準(zhǔn)入認(rèn)證網(wǎng)關(guān)(SACG),以及專業(yè)主機安全加固服務(wù),可以實現(xiàn)等級保護對主機安全防護要求。
3) 網(wǎng)絡(luò)安全
網(wǎng)絡(luò)是保障信息系統(tǒng)互聯(lián)互通基礎(chǔ),網(wǎng)絡(luò)安全防護重點是確保網(wǎng)絡(luò)之間合法訪問,檢測,阻止內(nèi)部,外部惡意攻擊;通過部署統(tǒng)一威脅管理網(wǎng)關(guān)USG系列,入侵檢測/防御系統(tǒng)NIP,Anti-DDoS等網(wǎng)絡(luò)安全產(chǎn)品,為合法的用戶提供合法網(wǎng)絡(luò)訪問,及時發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部惡意攻擊安全威脅。
4) 應(yīng)用安全
應(yīng)用安全就是保護系統(tǒng)的各種應(yīng)用程序安全運行,包括各種基本應(yīng)用,如:消息發(fā)送、web瀏覽等;業(yè)務(wù)應(yīng)用,如:電子商務(wù)、電子政務(wù)等;部署的文檔安全管理系統(tǒng)(DSM),數(shù)據(jù)庫審計UMA-DB,防病毒網(wǎng)關(guān)AVE等產(chǎn)品。并且通過安全網(wǎng)關(guān)USG實現(xiàn)數(shù)據(jù)鏈路傳輸IPSec VPN加密,數(shù)據(jù)災(zāi)備實現(xiàn)企業(yè)信息系統(tǒng)數(shù)據(jù)防護,降低數(shù)據(jù)因意外事故,或者丟失給造成危害。
5) 數(shù)據(jù)安全
數(shù)據(jù)安全主要是保護用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的保護;通過對所有信息系統(tǒng),網(wǎng)絡(luò)設(shè)備,安全設(shè)備,服務(wù)器,終端機的安全事件日志統(tǒng)一采集,分析,輸出各類法規(guī)要求安全事件審計報告,制定標(biāo)準(zhǔn)安全事件應(yīng)急響應(yīng)工單流程。
2 應(yīng)用實例
近年來衛(wèi)生行業(yè)全面開展信息安全等級保護定級備案、建設(shè)整改和等級測評等工作,某醫(yī)院的核心系統(tǒng)按照等級保護三級標(biāo)準(zhǔn)建設(shè)信息系統(tǒng)安全體系,全面保護醫(yī)院內(nèi)網(wǎng)系統(tǒng)與外網(wǎng)系統(tǒng)的信息安全。
醫(yī)院網(wǎng)絡(luò)的安全建設(shè)核心內(nèi)容是將網(wǎng)絡(luò)進行全方位的安全防護,不是對整個系統(tǒng)進行同一等級的保護,而是針對系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進行不同等級的保護;通過安全域劃分,實現(xiàn)對不同系統(tǒng)的差異防護,并防止安全問題擴散。業(yè)務(wù)應(yīng)用以及基礎(chǔ)網(wǎng)絡(luò)服務(wù)、日常辦公終端之間都存在一定差異,各自可能具有不同的安全防護需求,因此需要將不同特性的系統(tǒng)進行歸類劃分安全域,并明確各域邊界,分別考慮防護措施。經(jīng)過梳理后的醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分如圖2所示,外網(wǎng)是一個星型的快速以太交換網(wǎng),核心為一臺高性能三層交換機,下聯(lián)內(nèi)網(wǎng)核心交換機,上聯(lián)外網(wǎng)服務(wù)器區(qū)域交換機和DMZ隔離區(qū),外聯(lián)互聯(lián)網(wǎng)出口路由器,內(nèi)網(wǎng)交換機向下連接信息點(終端計算機),外網(wǎng)核心交換機與內(nèi)網(wǎng)核心交換機之間采用千兆光纖鏈路,內(nèi)網(wǎng)交換機采用百兆雙絞線鏈路下聯(lián)終端計算機,外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計至關(guān)重要,直接影響到等級保護系統(tǒng)的安全性能。
圖 2 醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分圖
2.1外網(wǎng)網(wǎng)絡(luò)安全要求
系統(tǒng)定級為3級,且等級保護要求選擇為S3A2G3,查找《信息系統(tǒng)安全等級保護基本要求》得到該系統(tǒng)的具體技術(shù)要求選擇,外網(wǎng)網(wǎng)絡(luò)安全要求必須滿足如下要求:邊界完整性檢查(S3) 、入侵防范(G3) 、結(jié)構(gòu)安全(G3) 、訪問控制(G3) 、安全審計(G3) 、惡意代碼防范(G3) 和網(wǎng)絡(luò)設(shè)備防護(G3) 。
2.2網(wǎng)絡(luò)安全策略
根據(jù)對醫(yī)院外網(wǎng)機房區(qū)域安全保護等級達到安全等級保護3級的基本要求,制定相應(yīng)的網(wǎng)絡(luò)安全策略
1) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)策略
要合理劃分網(wǎng)段,利用網(wǎng)絡(luò)中間設(shè)備的安全機制控制各網(wǎng)絡(luò)間的訪問。要采取一定的技術(shù)措施,監(jiān)控網(wǎng)絡(luò)中存在的安全隱患、脆弱點。并利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。
2) 訪問控制策略
訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制,它控制哪些用戶能夠連入內(nèi)部網(wǎng)絡(luò),那些用戶能夠通過哪種方式登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。
3) 網(wǎng)絡(luò)入侵檢測策略
系統(tǒng)中應(yīng)該設(shè)置入侵檢測策略,動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時的響應(yīng)。
4) 網(wǎng)絡(luò)安全審計策略
系統(tǒng)中應(yīng)該設(shè)置安全審計策略,收集并分析網(wǎng)絡(luò)中的訪問數(shù)據(jù),從而發(fā)現(xiàn)違反安全策略的行為。
5) 運行安全策略
運行安全策略包括:建立全網(wǎng)的運行安全評估流程,定期評估和加固網(wǎng)絡(luò)設(shè)備及安全設(shè)備。
2.3網(wǎng)絡(luò)安全設(shè)計
根據(jù)對醫(yī)院外網(wǎng)安全保護等級達到安全等級保護3級的基本要求,外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計包括網(wǎng)絡(luò)訪問控制,網(wǎng)絡(luò)入侵防護,網(wǎng)絡(luò)安全審計和其他安全設(shè)計。
1) 網(wǎng)絡(luò)訪問控制
實現(xiàn)以上等級保護的最有效方法就是在外網(wǎng)中關(guān)鍵網(wǎng)絡(luò)位置部署防火墻類網(wǎng)關(guān)設(shè)備,采用一臺天融信網(wǎng)絡(luò)衛(wèi)士獵豹防火墻、一臺CISCO公司的PIX515和一臺網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)TopIDP。
①外網(wǎng)互聯(lián)網(wǎng)邊界防火墻:在局域網(wǎng)與互聯(lián)網(wǎng)邊界之間部署CISCO公司的PIX515百兆防火墻,該防火墻通過雙絞線連接核心交換區(qū)域和互聯(lián)網(wǎng)接入?yún)^(qū)域,對外網(wǎng)的互聯(lián)網(wǎng)接入提供邊界防護和訪問控制。
②對外服務(wù)區(qū)域邊界防火墻:對外服務(wù)區(qū)域與安全管理區(qū)域邊界部署一臺千兆防火墻(天融信NGFW4000-UF),該防火墻通過光纖連接核心交換機和對外服務(wù)區(qū)域交換機,通過雙絞線連接區(qū)域內(nèi)服務(wù)器,對其他區(qū)域向?qū)ν夥?wù)區(qū)域及安全管理區(qū)域的訪問行為進行控制,同時控制兩個區(qū)域內(nèi)部各服務(wù)器之間的訪問行為。
③網(wǎng)絡(luò)入侵防御系統(tǒng):在托管機房區(qū)域邊界部署一臺網(wǎng)絡(luò)入侵防御系統(tǒng),該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機,為托管機房區(qū)域提供邊界防護和訪問控制。
2) 網(wǎng)絡(luò)入侵防護
外網(wǎng)局域網(wǎng)的對外服務(wù)區(qū)域,防護級別為S2A2G2,重點要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測,因此在局域網(wǎng)的內(nèi)部區(qū)域邊界部署網(wǎng)絡(luò)入侵檢測系統(tǒng)(天融信網(wǎng)絡(luò)入侵防御系統(tǒng)TopIDP);對于外網(wǎng)托管機房的網(wǎng)站系統(tǒng),防護級別為S3A2G3,由于其直接與互聯(lián)網(wǎng)相連,不僅要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測,還要能夠有效防護互聯(lián)網(wǎng)進來的攻擊行為,因此在托管機房區(qū)域邊界部署網(wǎng)絡(luò)入侵防御系統(tǒng)(啟明星辰天闐NS2200)。
①網(wǎng)絡(luò)入侵防御系統(tǒng):在托管機房區(qū)域邊界部署一臺采用通明模式的網(wǎng)絡(luò)入侵防御系統(tǒng),該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機,其主要用來防御來自互聯(lián)網(wǎng)的攻擊流量。
②網(wǎng)絡(luò)入侵檢測系統(tǒng):在外網(wǎng)的核心交換機上部署一臺千兆IDS系統(tǒng),IDS監(jiān)聽端口類型需要和核心交換機對端的端口類型保持一致;在核心交換機上操作進行一對一監(jiān)聽端口鏡像操作,將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路,以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進出雙方向的數(shù)據(jù)流量,鏡像至IDS監(jiān)聽端口;IDS用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量,訪問安全管理區(qū)域的數(shù)據(jù)流量,以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進行檢測。
3) 網(wǎng)絡(luò)安全審計
信息安全審計管理應(yīng)該管理最重要的核心網(wǎng)絡(luò)邊界,在外網(wǎng)被審計對象不僅僅包括對外服務(wù)區(qū)域中的應(yīng)用服務(wù)器和安全管理區(qū)域的服務(wù)器等的訪問流量,還要對終端的互聯(lián)網(wǎng)訪問行為進行審計;此外重要網(wǎng)絡(luò)設(shè)備和安全設(shè)備也需要列為審計和保護的對象。
由于終端的業(yè)務(wù)訪問和互聯(lián)網(wǎng)訪問都需要在網(wǎng)絡(luò)設(shè)備產(chǎn)生訪問流量,因此在外網(wǎng)的核心交換機上部署網(wǎng)絡(luò)行為審計系統(tǒng)(天融信網(wǎng)絡(luò)行為審計TopAudit),交換機必需映射一個多對一抓包端口,網(wǎng)絡(luò)審計引擎通過抓取網(wǎng)絡(luò)中的數(shù)據(jù)包,并對抓到的包進行分析、匹配、統(tǒng)計,從而實現(xiàn)網(wǎng)絡(luò)安全審計功能。
①在外網(wǎng)的核心交換機上部署一臺千兆網(wǎng)絡(luò)安全審計系統(tǒng),監(jiān)聽端口類型需要和核心交換機對端的端口類型保持一致,使用光纖接口;
②在核心交換機上操作進行一對一監(jiān)聽端口鏡像操作,將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路,以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進出雙方向的數(shù)據(jù)流量,鏡像至網(wǎng)絡(luò)安全審計系統(tǒng)的監(jiān)聽端口;
③網(wǎng)絡(luò)安全審計系統(tǒng)用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量,訪問安全管理區(qū)域的數(shù)據(jù)流量,以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進行安全審計;
④開啟各區(qū)域服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志審計功能。
4) 其他網(wǎng)絡(luò)安全設(shè)計
其他網(wǎng)絡(luò)安全設(shè)計包括邊界完整性檢查,惡意代碼防范,網(wǎng)絡(luò)設(shè)備防護,邊界完整性檢查等。
①邊界完整性檢查:在托管機房的網(wǎng)絡(luò)設(shè)備上為托管區(qū)域服務(wù)器劃分獨立VLAN,并制定嚴(yán)格的策略,禁止其他VLAN的訪問,只允許來自網(wǎng)絡(luò)入侵防御系統(tǒng)外部接口的訪問行為;對服務(wù)器系統(tǒng)進行安全加固,提升系統(tǒng)自身的安全訪問控制能力;
②惡意代碼防范:通過互聯(lián)網(wǎng)邊界的入侵防御系統(tǒng)對木馬類、拒絕服務(wù)類、系統(tǒng)漏洞類、webcgi類、蠕蟲類等惡意代碼進行檢測和清除;部署服務(wù)器防病毒系統(tǒng),定期進行病毒庫升級和全面殺毒,確保服務(wù)器具有良好的防病毒能力。
③網(wǎng)絡(luò)設(shè)備防護:網(wǎng)絡(luò)設(shè)備為托管機房單位提供,由其提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù),應(yīng)進行以下的安全加固:開啟樓層接入交換機的接口安全特性,并作MAC綁定; 關(guān)閉不必要的服務(wù)(如:禁止CDP(Cisco Discovery Protocol),禁止TCP、UDP Small服務(wù)等), 登錄要求和帳號管理, 其它安全要求(如:禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件,禁止未使用或空閑的端口等)。
3 結(jié)束語
信息安全等級保護是實施國家信息安全戰(zhàn)略的重大舉措,也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設(shè)的重要依據(jù),在實行安全防護系統(tǒng)建設(shè)的過程中,應(yīng)當(dāng)按照等級保護的思想和基本要求進行建設(shè),根據(jù)分級、分域、分系統(tǒng)進行安全建設(shè)的思路,針對一個特定的信息系統(tǒng)(醫(yī)院信息管理系統(tǒng))為例,提出全面的等級保護技術(shù)建設(shè)方案,希望能夠為用戶的等級保護建設(shè)提出參考。
參考文獻:
[1] 徐寶海.市縣級國土資源系統(tǒng)信息網(wǎng)絡(luò)安全體系建設(shè)探討[J].中國管理信息化,2014(4).
[2] 李光輝.全臺網(wǎng)信息安全保障體系初探[J].電腦知識與技術(shù),2013(33).
關(guān)鍵詞:財政信息;信息安全;身份認(rèn)證;數(shù)字證書
中圖分類號:TP311.52
財政業(yè)務(wù)系統(tǒng)多為涉及面廣、多個部門協(xié)作、關(guān)鍵業(yè)務(wù)操作多、處理數(shù)據(jù)多的特點,對應(yīng)用安全保障有很高的要求;現(xiàn)有應(yīng)用系統(tǒng)主要通過“用戶名+口令” 進行用戶身份識別和訪問控制,安全級別較低;現(xiàn)有應(yīng)用系統(tǒng)各自的身份識別和訪問控制機制彼此獨立、重復(fù)設(shè)置、重復(fù)開發(fā),增加了安全隱患,也增加了管理成本和用戶負(fù)擔(dān);缺乏電子單據(jù)和數(shù)據(jù)數(shù)字簽名、時間戳、責(zé)任認(rèn)定等安全功能,業(yè)務(wù)無紙化無法推進;整體上缺失統(tǒng)一的標(biāo)準(zhǔn)和技術(shù)手段,很難適應(yīng)財政信息化的發(fā)展。本文就財政信息系統(tǒng)特點及現(xiàn)狀,介紹和討論財政身份認(rèn)證與授權(quán)管理的解決方案與建設(shè),達到保障財政業(yè)務(wù)安全應(yīng)用的目的。
1 信息安全簡介
信息安全是研究在特定的應(yīng)用環(huán)境下,依據(jù)特定的安全策越,對信息及其系統(tǒng)實施防護、檢測和恢復(fù)的科學(xué)。
信息安全主要體現(xiàn)在以下三個方面:一是保密性。保密性是指確保信息資料,特別是重要的信息資料,不流失,不被非本部門人員非法盜用。二是完整性。所謂信息資料的完整性,是指信息資料不丟失、不少缺。三是可用性??捎眯允侵府?dāng)需要某一信息資料時,可馬上拿得到。比如采取一定的措施,防止因某一資料員不在場或其它例外情況下,因為拿不到所需的資料而導(dǎo)致停工或錯失商機等。
信息安全的四個要素如下圖:
圖1
信息系統(tǒng)組成包括人員、系統(tǒng)、資產(chǎn)(終端、數(shù)據(jù)等)、網(wǎng)絡(luò)、流程、其他設(shè)備等。通過對信息系統(tǒng)安全分析我們得知“人員”是最不穩(wěn)定因素,是最大的邊界?!百Y產(chǎn)”是最被關(guān)注的因素。其他因素都是以上兩個因素的間接受害者。
因此信息安全的重點就是管理好人、保護好人到數(shù)據(jù)的路徑。
身份認(rèn)證與授權(quán)管理系統(tǒng)是信息安全的重要組成部分。身份認(rèn)證是應(yīng)用系統(tǒng)判斷用戶是否合法的重要手段,也是應(yīng)用系統(tǒng)的第一道安全防護。
2 財政應(yīng)用系統(tǒng)現(xiàn)狀及安全需求
省地市財政大平臺系統(tǒng)(以下簡稱Portal)是各地市財政業(yè)務(wù)專網(wǎng)應(yīng)用的統(tǒng)一登錄入口,它實現(xiàn)了各接入應(yīng)用系統(tǒng)的單點登錄,主要涉及的系統(tǒng)有地方國庫支付、總賬、工資統(tǒng)發(fā)等。該系統(tǒng)采用B/S結(jié)構(gòu)設(shè)計,WEB服務(wù)器為Weblogic8.16,,采用JAVA技術(shù),后臺數(shù)據(jù)庫采用Oracle10g。
目前,系統(tǒng)采用“用戶名+密碼”的身份認(rèn)證方式,用戶通過訪問Portal的登錄認(rèn)證主頁,輸入用戶的合法“用戶名”及對應(yīng)“密碼”后,系統(tǒng)連接數(shù)據(jù)庫進行驗證,驗證通過后,系統(tǒng)允許用戶登錄并進入Portal首頁,在Portal首頁內(nèi)顯示管理員授權(quán)給用戶的應(yīng)用系統(tǒng)列表和應(yīng)用中的待辦事宜等信息,用戶根據(jù)自己的權(quán)限可以進行相應(yīng)業(yè)務(wù)操作。因“用戶名+密碼”的身份認(rèn)證方式很容易因密碼泄漏、網(wǎng)絡(luò)竊聽等原因造成身份冒充,存在較大的安全隱患,因此亟需建立起合理、安全的強身份認(rèn)證機制,用于保障合法用戶的權(quán)益。
3 解決方案及實現(xiàn)
通過對財政業(yè)務(wù)系統(tǒng)和安全需求的分析,提出了實名制U盾+平臺密碼+U盾密碼+安全審計多維一體的解決方案,以實現(xiàn)身份認(rèn)證和授權(quán)管理,實現(xiàn)信息安全支撐平臺。第一:給平臺系統(tǒng)的所有用戶發(fā)放財政業(yè)務(wù)專網(wǎng)CA證書;第二:對原有平臺系統(tǒng)的身份認(rèn)證模塊進行改造,在原來的“用戶名+密碼”的基礎(chǔ)上,增加證書認(rèn)證方式;第三:在用戶屬性管理系統(tǒng)中添加“PID”屬性,用以綁定用戶證書與其平臺身份標(biāo)識的對應(yīng)關(guān)系;證書的合法性由身份認(rèn)證網(wǎng)關(guān)進行校驗,檢驗完成后將認(rèn)證結(jié)果及身份信息(PID)返回給平臺,平臺根據(jù)此結(jié)果做進一步的業(yè)務(wù)處理。
3.1 系統(tǒng)整體架構(gòu)
圖2
3.2 網(wǎng)絡(luò)拓?fù)?/p>
圖3
省地市級財政身份認(rèn)證與授權(quán)管理系統(tǒng)部署在地市級財政部門,在地市級財政的業(yè)務(wù)專網(wǎng)內(nèi)建設(shè)一個獨立的局域網(wǎng),通過防火墻從網(wǎng)絡(luò)、協(xié)議及應(yīng)用各層次上將此局域網(wǎng)與財政業(yè)務(wù)網(wǎng)絡(luò)保持隔離,用于部署安全審計查詢系統(tǒng)、身份認(rèn)證系統(tǒng)從LDAP和用戶屬性管理系統(tǒng),而直接面向應(yīng)用的身份認(rèn)證網(wǎng)關(guān)、簽名服務(wù)器、時間戳服務(wù)器,以及提供證書管理的LRA則部署在地市級財政的業(yè)務(wù)專網(wǎng)中。
3.3 功能模塊
建設(shè)中需要重點保證證書發(fā)放、身份認(rèn)證、數(shù)字簽名、時間戳、應(yīng)用級訪問控制及安全審計查詢功能即可,為此相對省級財政的功能模塊相比較,減少了授權(quán)管理模塊的權(quán)限管理系統(tǒng),并且省級財政身份認(rèn)證模塊中的發(fā)證模塊為證書注冊中心(RA),而地市級財政部門建設(shè)的LRA系統(tǒng)。為此,財政身份認(rèn)證與授權(quán)管理系統(tǒng)模塊組成如下圖:
圖4
3.4 身份認(rèn)證與授權(quán)管理系統(tǒng)建設(shè)
按照財政身份認(rèn)證與授權(quán)管理系統(tǒng)建設(shè)的要求,省地市級財政身份認(rèn)證與授權(quán)管理系統(tǒng)單獨部署在獨立的局域網(wǎng)中,并通過防火墻將局域網(wǎng)與地市級財政的業(yè)務(wù)專網(wǎng)的公共區(qū)域邏輯隔離,配置一定的安全策略向外提供訪問服務(wù)。
地市級財政身份認(rèn)證系統(tǒng)與授權(quán)管理系統(tǒng)的部署主要是身份認(rèn)證模塊、授權(quán)管理模塊、安全審計模塊及應(yīng)用安全組件四個部分的安裝配置,身份認(rèn)證模塊包括:LRA系統(tǒng)和身份認(rèn)證從LDAP;授權(quán)管理模塊主要是用戶屬性管理系統(tǒng);安全審計模塊指安全審計查詢系統(tǒng);應(yīng)用安全組件指身份認(rèn)證網(wǎng)關(guān)、簽名服務(wù)器及時間戳服務(wù)器。
3.4.1 系統(tǒng)流程
圖5
3.4.2 系統(tǒng)效果展示
應(yīng)用接入的大平臺登錄效果展現(xiàn)平臺構(gòu)建統(tǒng)一的認(rèn)證門戶,用戶需要使用USB-KEY登錄認(rèn)證成功后才能進入,主要作為各應(yīng)用系統(tǒng)的統(tǒng)一訪問入口和平臺管理的入口。
圖6
4 結(jié)束語
通過財政身份認(rèn)證與授權(quán)管理系統(tǒng)設(shè)計及建設(shè),將由原來的“用戶名+密碼”方式變?yōu)樽C書認(rèn)證方式,而數(shù)字證書的高強度身份認(rèn)證,將有效地防止身份冒充;身份認(rèn)證模塊從原系統(tǒng)中剝離,業(yè)務(wù)邏輯更加清晰,安全級別也得到了提升;通過用戶屬性管理管理中PID屬性值的傳遞,無縫地實現(xiàn)了證書的入門級訪問控制。統(tǒng)一對實體進行身份和權(quán)限管理,奠定實名制管理的基礎(chǔ)。提供獨立的高強度的認(rèn)證手段給各個層面使用。提供一種電子簽名法保護的數(shù)據(jù)保護和司法取證手段。提供一個統(tǒng)一的時間基準(zhǔn),奠定定位基礎(chǔ)。建立了一套完整的配套標(biāo)準(zhǔn)和規(guī)范便于財政信息化整體推進。
參考文獻:
[1]馬建峰,沈玉龍.信息安全[M].西安:西安電子科技大學(xué)出版社,2013.
[2]斯坦普(美)信息安全原理與實踐(第2版)[M].北京:清華大學(xué)出版社,2013.
[3]薛天龍.數(shù)字證書原理及應(yīng)用[M].北京:中國標(biāo)準(zhǔn)出版社,2014.
[4]http://.cn/tplt/index_164.jsp[OL].
21世紀(jì)是信息化的社會,計算機技術(shù)不斷進步,并在生產(chǎn)領(lǐng)域得到深入應(yīng)用。特別是會計電算化的推廣,把以電子計算機為代表的現(xiàn)代化數(shù)據(jù)處理工具及以信息論、系統(tǒng)論、數(shù)據(jù)庫、計算機網(wǎng)絡(luò)等新興理論和技術(shù)應(yīng)用于會計核算、財務(wù)管理工作中以提高財務(wù)管理水平和經(jīng)濟效益,實現(xiàn)會計工作的現(xiàn)代化。目前,越來越多的企業(yè)開始全業(yè)務(wù)的采用信息系統(tǒng),形成了一個網(wǎng)絡(luò)經(jīng)濟時代,各個企業(yè)、事業(yè)單位的信息化情況表現(xiàn)出了前所未有的綜合性和開放性。這種信息化的高度集中帶來了高效益,但同時,也帶來了高度的風(fēng)險,信息系統(tǒng)審計也就在這種歷史背景下應(yīng)運而生。
一、信息系統(tǒng)審計的內(nèi)涵和外延難以把握
隨著信息技術(shù)的發(fā)展,信息系統(tǒng)在財務(wù)、管理領(lǐng)域的應(yīng)用程度不斷提高,功能日趨完善,其軟硬件結(jié)構(gòu)的復(fù)雜性和涉及領(lǐng)域的廣泛性以及信息處理技術(shù)更新的頻繁性使得審計人員難以同步把握信息系統(tǒng)審計的內(nèi)涵和外延。從外延上看,信息系統(tǒng)審計主要包括兩個部分,一是對信息系統(tǒng)主體的審計,二是對信息系統(tǒng)應(yīng)用環(huán)境的審計,包括網(wǎng)絡(luò)環(huán)境、使用環(huán)境、管理使用情況等。一般說來,審計信息系統(tǒng)本身相對容易,但審計信息系統(tǒng)的應(yīng)用環(huán)境卻存在較多不確定因素,比如某公司的信息系統(tǒng)通過防火墻連接到互聯(lián)網(wǎng),而在防火墻內(nèi)還存在其它系統(tǒng),其它系統(tǒng)是不是也在審計范圍之內(nèi)?
從內(nèi)涵上看,信息系統(tǒng)審計主要是對信息系統(tǒng)的安全性和可靠性進行評估、評價。安全性、可靠性是一個比較廣泛的概念,以系統(tǒng)安全性為例,它包括:ISO開放系統(tǒng)互連安全體系結(jié)構(gòu)、TCP/IP安全體系、開放系統(tǒng)互連的安全管理、安全服務(wù)和功能配置;系統(tǒng)安全涉及的信息安全技術(shù)包括:密碼技術(shù)、訪問控制技術(shù)、機密性和完整性保護技術(shù)、數(shù)字簽名技術(shù)、抗抵賴技術(shù)、預(yù)(報)警機制、公證技術(shù)、防火墻技術(shù)、漏洞檢測技術(shù)、網(wǎng)絡(luò)隔離技術(shù)、計算機病毒防范等。由于信息技術(shù)本身的限制性,絕大部分信息系統(tǒng)本身均存在安全性問題(如防護級別最高、防護技術(shù)最好的美國國防部也常有被攻擊的情況)。
把握不準(zhǔn)信息系統(tǒng)審計的外延和內(nèi)涵,就難以解決以下三個問題:一是難以解決審計力量與審計任務(wù)之間的矛盾,難以控制審計風(fēng)險,即不該審的審了,該審的卻未審;二是由于絕大部分信息系統(tǒng)本身均存在安全性問題,信息系統(tǒng)審計很容易演變成“信息系統(tǒng)是否存在問題源自于審計人員的技術(shù)水平,而不是系統(tǒng)本身的安全性和可靠性”,即,絕大部分信息系統(tǒng)均存在不安全、不可靠因素,就看審計人員能否發(fā)現(xiàn)由于信息系統(tǒng)的安全性問題是絕對的,而審計人員的視角和技術(shù)水平是相對的,信息系統(tǒng)審計的成果部分取決于審計人員對信息系統(tǒng)審計內(nèi)容的把握程度;三是由于審計需要大量的證據(jù)支撐,對于未造成損失但信息系統(tǒng)存在不安全隱患的問題難以定性,即便是造成了損失,也難以界定這些損失與信息系統(tǒng)不安全、不可靠因素之間聯(lián)系。
因此,審計部門應(yīng)根據(jù)“全面審計、突出重點”及“先易后難”、“先系統(tǒng)本身后系統(tǒng)環(huán)境”的原則,參照國家信息技術(shù)部的有關(guān)標(biāo)準(zhǔn),界定信息系統(tǒng)工作的外延和內(nèi)涵,將信息系統(tǒng)審計的主要方向定在:被審計單位的信息系統(tǒng)的安全性、可靠性是否達到應(yīng)有的水平或標(biāo)準(zhǔn),而不是系統(tǒng)是否有安全性和可靠性問題。
二、信息系統(tǒng)審計評價標(biāo)準(zhǔn)很難確定
信息系統(tǒng)安全審計,涉及會計信息處理自動化、表示代碼化、信息處理與存儲集中化、內(nèi)部控制程序化等諸多廣泛、復(fù)雜的計算機專業(yè)技術(shù)環(huán)節(jié),其技術(shù)性較高。而我國信息系統(tǒng)審計正處于起步階段,對審計機關(guān)如何開展信息系統(tǒng)審計尚在積極探索中,因此,目前尚沒有一個完整的、成熟的具有示范作用的審計案例,也缺少具備實際指導(dǎo)意義的相關(guān)信息系統(tǒng)審計準(zhǔn)則和操作指南。
近年來,國家安全部門相繼出臺了多個安全標(biāo)準(zhǔn),例如公安部出臺的《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(GB17859-1999)、《信息安全等級保護管理辦法》,還有相應(yīng)的安全技術(shù)規(guī)范《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)、《信息安全技術(shù) 服務(wù)器技術(shù)要求》、《信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求》(GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)。但在實際操作中,這些標(biāo)準(zhǔn)在可操作性上還有待提高,一是信息系統(tǒng)安全等級的確定,缺乏一個等級認(rèn)定的部門,目前是由各個單位自己定級報送,會存在低報等級風(fēng)險;二是等級要求沒有量化和詳細(xì)解釋,等級認(rèn)定存在困難。這些都給具體的審計實務(wù)工作帶來極大的困難。
因此建議審計部門及時組織總結(jié)實踐經(jīng)驗,規(guī)范信息系統(tǒng)安全審計的有關(guān)概念、審計內(nèi)容、工作流程和技術(shù)方法、形成信息系統(tǒng)安全審計準(zhǔn)則、操作指南或?qū)崉?wù)公告的準(zhǔn)則體系,這是信息系統(tǒng)安全審計得以健康發(fā)展的基礎(chǔ)。
三、信息系統(tǒng)審計缺乏相應(yīng)的人才
我國目前尚缺乏既熟悉審計業(yè)務(wù)又掌握計算機技術(shù)同時了解國內(nèi)標(biāo)準(zhǔn)信息系統(tǒng)流程的復(fù)合型人才,進行信息系統(tǒng)審計所涉及的知識面非常廣,涉及會計、審計、管理和計算機等知識,而進行信息系統(tǒng)安全性審計主要從系統(tǒng)總體安全、系統(tǒng)運行安全、數(shù)據(jù)中心安全、硬件設(shè)備安全和網(wǎng)絡(luò)安全情況五個方面來進行,每個方面都涉及不同的知識點。當(dāng)對系統(tǒng)總體安全進行審計時,則要求審計人員具有系統(tǒng)總體分析、系統(tǒng)設(shè)計和系統(tǒng)安全分析的知識;當(dāng)對系統(tǒng)運行進行審計時,則要求審計人員具有系統(tǒng)運行管理、系統(tǒng)維護和系統(tǒng)安全管理的知識;當(dāng)對數(shù)據(jù)中心安全進行審計時,則要求審計人員具有工程建設(shè)、數(shù)據(jù)中心安全維護和災(zāi)備等知識;當(dāng)對硬件設(shè)備安全進行審計時,則要求審計人員具有設(shè)備采購、設(shè)備維護和設(shè)備安全分析等知識;當(dāng)對網(wǎng)絡(luò)安全情況進行審計時,則要求審計人員具有網(wǎng)絡(luò)安全分析和網(wǎng)絡(luò)防范等知識。但在當(dāng)前情況下,審計人員能夠掌握上述某一方面的知識都已經(jīng)難能可貴,更不用說要掌握所有的知識面。
建議審計部門加強對審計人員理論培訓(xùn),并組織審計人員進行實踐,通過實踐經(jīng)驗來鞏固理論知識,培養(yǎng)出更多的信息系統(tǒng)審計復(fù)合型人才和相應(yīng)的專業(yè)性人才。
四、信息系統(tǒng)審計需要相應(yīng)的法規(guī)支持和成果考核標(biāo)準(zhǔn)
我們通常依據(jù)《中華人民共和國審計法》、《中華人民共和國審計法實施條例》及《國務(wù)院辦公廳關(guān)于利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》(〔2001〕88號)的規(guī)定:“被審計單位應(yīng)當(dāng)按照審計機關(guān)的要求,提供與財政收支、財務(wù)收支有關(guān)的電子數(shù)據(jù)和必要的計算機技術(shù)文檔等資料”,要求被審計單位提供電子數(shù)據(jù),開展電子數(shù)據(jù)式審計工作。但開展信息系統(tǒng)安全審計的方法、步驟要求我們必須獲取被審計單位信息系統(tǒng)底層數(shù)據(jù)庫的數(shù)據(jù)字典、程序開發(fā)文檔、甚至程序源代碼等核心文檔已經(jīng)高級管理用戶的權(quán)限。但事實上大多數(shù)被審計單位也不掌握這些核心文檔,軟件開發(fā)公司又以知識產(chǎn)權(quán)應(yīng)收保護為由拒絕提供文檔。特別是要求SAP、Oracle等國外軟件開發(fā)商提供開發(fā)文檔非常困難。因此,應(yīng)出臺更為明確的法規(guī)以支持信息系統(tǒng)安全審計工作。其次,信息系統(tǒng)審計的實施需要耗費大量的人力物力,在目前審計機關(guān)工作繁重的背景下,開展此項工作需要審計工作方案以及考評指標(biāo)的支撐。因此,審計相關(guān)部門應(yīng)該考慮把信息系統(tǒng)審計納入年初審計工作計劃,并出臺相應(yīng)的考評標(biāo)準(zhǔn)。
五、信息系統(tǒng)審計自身風(fēng)險較大
數(shù)據(jù)分析式計算機輔助審計是要求被審計單位按照審計的需求提供電子數(shù)據(jù),審計人員將數(shù)據(jù)轉(zhuǎn)換后導(dǎo)入計算機進行分析。這種過程避免了直接操作被審計單位信息系統(tǒng)所帶來的風(fēng)險。然而,信息系統(tǒng)安全性審計的很多步驟必須要在被審計單位信息系統(tǒng)上直接執(zhí)行,這種在真實系統(tǒng)上的操作必然存在安全風(fēng)險。如對電信公司計費系統(tǒng)的審計,如果測試時間不當(dāng)或測試用例不完善都可能影響計費系統(tǒng)的正常運行。