首页 资料文库 期刊中心 杂志订阅 投稿指南 SCI期刊
美章网 精品范文 安全审计培训范文

安全审计培训范文

前言:我们精心挑选了数篇优质安全审计培训文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。

安全审计培训

第1篇

在探讨培训课程设计之前,先对什么是真正的培训需求问题作一下分析:作为开发某一岗位(专业)培训的组织者即培训项目主持人,要想成功地开设一个培训班,他的首要工作应该从确定培训需求分析开始。我们在以往的办班过程中常听到学员说一些:“这个教师讲的内容我不感兴趣”“这次所学的知识对我回岗位后用途不大”“这次来学习是在浪费我的时间”等等,部分学员产生满腹牢骚的现象很可能就象“由于燃料油的原因而引起的火灾,这时你去用貌似灭火的材料‘水’去扑灭火,而不分析灭这火的真正需求是什么。”开展岗位安全培训工作,就要了解受训人员的真正需求,要按照“干什么学什么,缺什么补什么”的原则进行培训立项,进行培训课程的开发与设计。要使受训人员的培训效果达到理想的状态,培训项目主持人就要深入到用人单位,深入生产、工作实际,采取访谈、问卷调查等形式,与各单位的有关职能部门、领导、职工一起扎扎实实地搞好调研,依据岗位职责和工作目标,界定适应岗位的必备知识和能力,预测组织、个人未来发展的需求,分析具体情况,从一些表面的现象中摸准受培训者的真正需求,有针对性地制定培训计划和进行培训课程设计,只有这样才能保证培训的实效性。

从培训需求的调查与分析出发,明确了将要开展的培训所要达到的目标和要求,在此前提下,进行培训课程的设计。企业内开展的岗位安全培训课程的设计,在课程要素的界定与选择上与一般意义上的课程要素有所不同,突出不同的要素主要有三个。

一、教师

一般课程设计的要素中并不包括教师,因为它认为教师只不过是课程的执行者,于是不可能在设计中考虑教师的因素。而在岗位安全培训课程设计中,教师是根据课程的目标和内容要求提出标准进行选择。因此,对所选定教师的能力要求是广域的。能者为师,是一个基本的原则。但是,这里的“能者”,并不一定是课程内容的专家学者,是有能力去驾驭课程的人,去引导学习者达到课程目标的人,他更应象是一位“导演”。当然,如果二者的能力都具备,则是最理想的。正是由于这种选人标准,培训项目的主持人就要打破传统的一个教师上一门课的概念,从课程执行者(教师)的可选人群范围内,挑选在课程内容的各个侧面有不同优势者来组成课程组,执行“上课”的职能。同时课程组的成员应清楚:我们面对的学员不是孩童,成人有区别于未成年人的认知心理,要认识这些区别,要按照成人的认知规律去授课。成人学员多年来己经形成了自己的学习习惯,不同学员具有不同的学习模式。要提高学习效率,最好的方法是尊重各位的习惯,允许他们按自己习惯的模式去学,才能提高安全培训质量,达到培训效果。

二、学员

在培训活动中,学员是岗位安全培训课程活动的主体,是带着丰富实践经验的成人。他们在整个培训活动过程中不仅仅是学习资源的摄取者,同时也是经验的携带者,是学习资源的贡献者,是一种可以开发利用的宝贵教学资源。开发学员的资源可以采用以下几种方式:一是通过参与,合理开发学员工作中积累的经验资源。如:围绕培训目标,确定讨论主题,提供必要的背景资料,进行专题讨论,在讨论中思想撞击、见仁见智、各受启发,开发学员解决实际问题的经验资源;创设情境,运用角色扮演,学员们通过观看扮演者的表现,参与演出后的讨论、点评,学到其他学员处理问题的方法,开发学员处理问题的经验资源等。二是注重培训资源市场化,开发学员单位的现场资源。学员单位的现场资源包括两个方面:一方面是学员单位的硬件教学资源。培训所涉及的各种先进设施和设备等教学资源,对培训单位来说很难完全自有,那么培训活动就会受到很多制约,很难向培训市场的广度和深度运行。而进行现场教学,请培训学员联系现场教学场地,并且担当讲解员,在培训教师的指导下让他围绕培训目标,结合授课内容,选择合理的教学场地,进行现场讲解,实现教学资源共享,提高培训效果。另一方面是学员单位的软件教学资源。软件资源包括信息、资料、制度、工艺操作程序和现场管理方法等内容。培训学员将获取到的软件资源,可以带回本单位参考使用。三是采用多种形式,充分挖掘学员中蕴藏的案例资源。如:布置学前作业,积累学员带来的教学案例;培训课堂上启发学员,讲述案例;批改作业,评审论文(学习心得),收集学员写出的案例;跟踪调查,收集和完善案例。

三、培训教材

岗位安全培训课程设计中的教材,必须是事先精心准备的,是切合学习者实际需要的,是足够能反映该领域内最新信息的材料。要以形成能力为中心,以“必须”和“够用”为原则,由选定的教师进行自编或对市面上现有的材料进行加工与处理,形成一套符合本次培训的教材。培训的目标是对着岗位,直接目的是为了形成上岗的必备能力。那么,在岗位安全培训活动中,所教理论并不是越多越好,知识体系也并不是越完整、越深奥越好。为了本次培训要形成的几项能力,必须具备的知识一定要教,而且要教会。以够用为度,决不要为了学科的系统性而斗进升出。那种“不给学员打下雄厚的理论基础,将来怎么能有大的发展”的说法,在岗位安全培训活动中是不适用的,也与岗位安全培训的特点是不相符合的。

第2篇

在集团公司的高度重视和正确领导下,集团公司于2001年取得省煤矿三级安全培训机构资质,经过多年的建设和发展,安全培训机构现已成为一个以信息技术为主要手段,应用电视文字、计算机课件、计算机网络等多媒体教学和安全培训为一体的多形式、多层次、多功能的新型教育培训实体。安全培训机构成立以来,培训了一大批煤矿负责人和安全生产管理人员,极大地增强了集团公司的安全生产管理水平,顺利通过上级部门的安全生产检查,有效保障了集团公司的正常生产秩序,为维护集团公司财产安全和职工生命安全提供了坚实的屏障。在当前全国煤矿安全形势严峻的情况下,国家对煤矿安全生产提出越来越高的要求,煤矿安全生产检查将越来越严格。国家要求各级煤矿不断加大安全培训任务,建立一支坚强有力的安全生产管理队伍。为适应国家对煤矿安全生产不断提出新要求的形势,提高集团公司的安全培训能力与水平,我们特地考察了2家煤矿的二级安全培训机构,考察了永煤、兖煤等煤矿的安全培训情况,认真听取二级安全培训机构资质的申报介绍,详细了解二级安全培训机构的运作情况,仔细测算二级安全培训机构的经济效益。通过考察,我们深感到集团公司现有的培训规模和办学层次与先进煤矿企业存在较大差距,无法满足集团公司发展的需求,需要申报煤矿二级安全培训机构资质,有关情况具体报告如下:

一、申报煤矿二级安全培训机构资质理由

1.国家对煤矿安全生产提出越来越高的要求,要满足国家对煤矿安全生产的要求,必须建立更高层次的安全培训机构,能够培养更多的煤矿负责人和安全生产管理人员,建立强有力的安全生产管理队伍,提高集团公司的安全生产管理水平,确保不出安全生产事故,促进集团公司的可持续发展。

2.容易通过国家安全生产检查,根据考察单位经验,安全培训机构资质高的煤矿企业,各项安全生产指标容易达标,比起安全培训机构资质低的煤矿企业,安全生产检查容易通过。

3.二级安全培训机构资质申报成功,提高了集团公司办学层次,可以举办煤矿总工程师培训,这极大方便了集团公司的工作,不必去求别人,既可以完成培训煤矿总工程师的任务,又可以不影响集团公司的正常工作。

4.节省培训费用,如果集团公司具有二级安全培训机构资质,可以提高办学层次,煤矿企业负责人、安全管理人员、总工程师等相关人员不需要外出培训,可直接在集团公司内部培训,大大减少本企业“外培”人员输出,按年培训煤矿企业负责人与安全管理人员500余人、总工程师50多人计算,每年可为集团公司节省培训费用80多万元,从经济效益考虑较为合算。

二、申报煤矿二级安全培训机构资质条件

按照《安全生产培训管理办法》(国家安全生产监督管理总局令第44号)、《国家安全监管总局关于实施〈安全生产培训管理办法〉有关事项的通知》(安监总厅培训〔2012〕50号)等有关文件精神,申报煤矿二级安全培训机构资质需要具备以下基本条件:、

1.具有独立法人资格;注册资金或者开办费300万元以上;固定资产100万元以上。

2.有3名以上具有大专以上学历的专职管理人员。

3.有健全的机构章程、管理制度、工作规则。

4.有10名以上具有本科以上学历的专职或者兼职教师,其中至少有6名具有中级以上职称并且经省安全监管局考核合格的专职教师,专职教师中至少有3名取得注册安全工程师执业资格;教师所学专业应与申请的培训范围相适应。

5.有固定、独立和相对集中并且能够满足同期80人以上规模培训需要的教学及生活设施,其中专用教室使用面积120平方米以上;能够适应计算机在线考试的需要。

6.配备能够满足培训教学需要的教学仪器设备和图书资料。

同时,安全培训机构申请承担特种作业人员安全技术培训的,还应当具备下列基本条件:

1.每个作业类别不得少于2名专科以上学历、相应专业的专职教师,从事实际操作教学的教师应当有相应专业技师以上等级证书。

2.具备相应作业类别的有安全保障的实际操作设施、设备和场地条件。

3.理论考试具备可实施远程视频监视的计算机在线考试设施和相关条件。

三、申报煤矿二级安全培训机构资质要做的工作和所需专项资金

第3篇

关键词: 坪山新区安全培训对策

目前,我国的安全生产形势非常严峻,在大安全的背景下,如何做好坪山新区的安全生产工作,是时刻摆在新区安全专业工作者面前的一项艰巨任务。

一、坪山新区开展安全培训工作的重要性

从现有安全事故的统计和分析来看,导致安全事故发生的原因多元化但存在一定的规律,归纳起来表现为四个方面:一是环境的不安全条件;二是管理上存在的缺陷;三是物(或机器)的不安全状态;四是人的不安全行为。对于事故的预防和控制,就是消除或改变环境的不安全条件、管理上的缺陷,消除物(或机器)的不安全状态和人的不安全行为,因此,应从工程技术、管理控制和培训教育入手,采取相应对策。其中培训教育对策着重解决的是人的不安全行为问题。

据统计,新区安全生产领域近期几起死亡事故都是由于人的不安全行为引起。人往往会成为事故的受害者和承担者,其某种行为的发生与人的性别、年龄、性格、所处环境、受教育或培训程度有密切的关系。大量事故案例证明,加强安全培训是减少或消除人的不安全行为最直接、最有效的方式。

通过安全培训,可以引导新区企业和个体树立正确的安全意识和安全理念,增强人的安全技能,改善不良安全习惯,达到避免和减少各类生产安全事故发生的目的。

二、坪山新区安全培训存在问题剖析

(一)从培训广度看,安全培训覆盖面不足

新区目前仅安全生产培训机构1家,即坪山新区化技术学院,现有专职教师(大学本科)5人(其中高级技师2人,技师3人,经省安监局考核合格的专职老师2人),兼职教师(大学本科)2人,均为技师。2010年实际培训800人,其种作业人员600人,安全培训缺乏应有的力度。

(二)从企业类型看,中小企业安全培训工作薄弱

新区经济效益较好,规模较大、成立时间较长的大企业安全生产管理基础较好,安全培训工作相对比较健全。而中小型企业由于经济效益和规模的制约,安全规章制度不够健全,安全培训工作差强人意。随着中小企业的迅速发展,薄弱的安全培训工作使广大从业人员安全意识淡薄,缺乏应有的安全技能和安全知识,给新区安全生产工作造成严重的安全隐患。

(三)从培训自主性看,安全培训缺乏积极性和主动性

新区成立以来加大了安全生产宣传培训教育力度,利用新闻媒体等各种渠道和方式,对安全生产法律法规和安全培训的重要性进行了广泛而深入的宣传。但是,仍然存在部分生产经营单位对应参加的安全培训不能按要求参加,在思想上对安全培训工作不够重视,缺乏必要的工作力度和支持措施,导致培训率不足的问题,使安全培训工作一定程度上处于被动应付状态。

三、完善坪山新区安全培训的对策分析

(一)加大安全宣传力度,强化安全意识

安全意识在安全生产中至关重要,强化安全意识的重要手段就是加强安全理念的宣传,用先进的安全理念引导职工日常工作和生活。"预防为主、安全第一"、"安全就是效益"、"生产服从安全"等安全观念,使新区企业树立安全目标,职工树立安全方向。

同时,安全理念能否倡导下去,需要全体职工的认同理解和接受执行,要充分利用新闻媒体,组织开展对安全理念的宣传学习活动,掀起新区学习理念、践行理念。要通过开展"安全生产月"、"安全警示日"、"消防宣传日"等活动,加强宣传力度,以各种宣传教育活动为载体,不断提高企业职工的安全素养,改进其安全意识和行为,从而使职工从被动服从管理的状态,转变成自觉主动地按要求采取行动,形成良好的安全氛围。

(二)成立宣教培训中心,提升培训水平

根据新区安全培训实际,要加速整合新区安全生产教育培训资源,搭建新区安全生产公共教育培训平台,探索建立新区安全生产公共教育培训模式和工作机制,充分发挥安全生产宣教培训中心职能,全面提升新区安全生产培训水平。

一是制定并组织实施全区安全生产宣传教育计划。根据新区年度安全生产宣教培训计划,开展全区性重大安全生产宣传教育活动,总结、推广安全生产科学技术、先进典型和先进经验。二是有序开展新区分类分批培训工作。根据不同群体的培训需求,编制印发公共培训教材,组织新区、办事处、社区安监系统内工作人员依法行政的培训学习,以及生产经营单位企业负责人、安全管理人员、安全主任培训、再培训的组织和管理及协助发证工作。三是做好沟通协调、数据报送工作。按照市、区有关事权划分,对辖区内安全生产培训教育社会办学机构进行指导,同时加强与上级职能部门、兄弟单位的沟通协调,及时报送和安全生产管理方面的重要信息。

(三)落实企业主体责任,夯实培训体系

我国现行的是"政府统一领导、部门依法监管、企业全面负责、群众参与监督、全社会广泛支持"的安全生产体制。根据法律法规相关规定,企业是安全生产的责任主体,必须依法落实安全生产责任,履行安全生产义务,对预防事故的发生承担相应的责任,对本单位的安全生产管理工作全面负责。

在安全培训方面,要建立以企业为基础的安全培训体系,主要加强以下几方面的工作:一是加强安全培训的组织领导。企业要把安全培训教育纳入企业的发展战略中,企业的负责人、安全管理人员要自觉成为安全培训的模范和榜样,带头参加培训,熟悉相关法律、法规、规章制度及安全管理、事故救援要点;二是制定企业安全培训规划。企业要根据本单位生产发展的总体战略目标和阶段性工作目标,按照不同级别、不同类别人员,制定符合企业实际需要的安全培训长期和短期规划;三是加强企业安全培训制度建设。企业要对安全培训工作登记建档,严格培训考核奖惩制度,把全员安全培训的理念落实到每个职工身上;四是加大企业安全培训投入。企业要充分认识到培训投入是效益最大的投入、人力资源是第一资源,高度重视安全培训,加强对培训设施、师资、教材的投入,为企业安全培训工作提供坚实的物质保障。

(四)加强安全培训考核,完善监督机制

安全培训机构是开展安全培训活动的主要载体,新区安全培训的质量很大程度上取决于新区安全培训机构的师资及水平。

第4篇

一、信息安全概况

随着信息技术的飞速发展,金融机构生产、使用和共享的信息呈现几何增长的态势,信息传递的方式和渠道急剧增加,在为金融机构带来收益和效率的同时,也使信息安全问题更加凸显。在全球范围内,信息安全事件频发,给银行和客户造成经济损失的同时,也带来了巨大的声誉损失。如何有效提升信息安全管理水平,成为银行关注的焦点。信息安全审计作为信息安全保障工作中的重要一环,能够促进信息安全控制措施的落实,规范信息安全管理,提高全员信息安全意识,从而有利于保持和持续改进银行信息安全能力和水平。

根据当前的信息安全管理体系国家标准GB/T22080-2008(等同采用ISO/IEC27001:2005),信息安全保障工作从整体看应包括四个阶段:一是规划和建设阶段(Plan,简称“P阶段”);二是实施和运行阶段(Do,简称“D阶段”);三是监视和评审阶段(Check,简称“C阶段”);四是保持和改进(Act,简称“A阶段”)。这四个阶段按顺序循环往复,从而使信息安全得到持续改进。这种方法也被称为“PDCA循环”,如图1所示。

经过近十几年的努力,金融行业信息安全保障工作已经普遍走过了“P阶段”和“D阶段”,金融行业的信息安全需求已基本明确,满足信息安全需求的基础设施也基本具备。经过大范围的规划建设,各金融机构已经建立了相对完备的信息安全软硬件环境,初步形成了信息安全保障体系。尽管如此,作为关系国计民生的重要基础产业,金融行业对信息安全有着更高的要求,也面临着更大的信息安全风险挑战。近年来,金融行业频繁发生的信息安全事件表明,金融行业信息安全保障工作还存在很多缺陷和不足。导致这一局面的因素很多,其中一个重要的原因就是大家普遍重视信息安全的建设和运行,而忽视了信息安全工作的检查和改进。从整体上看,金融行业信息安全保障工作已经走过“P阶段”和“D阶段”,尚未进入“C阶段”和“A阶段”,还没有形成完整的基于“PDCA”过程方法的持续改进机制。接下来金融行业信息安全工作的重心应该转向检查和改进。信息安全审计是“C阶段”的主要手段。它利用传统财务审计和审计工作的规范与严谨,结合信息和保密技术的工具与手段,对金融机构信息安全工作的成效和不足给出客观、确定的审计结论,并根据审计结果,对金融机构的信息安全保障工作提出改进措施、给出合理化建议。

为了对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等主要方面提出高标准、高要求,满足商业银行信息科技风险管理的需要,银监会2009年了《商业银行信息科技风险管理指引》,其中第六十五条规定:“商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”

二、国内外信息安全审计现状

(一)国外信息安全审计发展与现状

在建立信息安全审计制度,开展信息安全审计研究方面,美国走在了世界前列。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEMAUDIT)概念。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(ISACA),总部设在美国芝加哥。自1978年以来,由ISACA发起的注册信息系统审计师(CISA)认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的被广泛认可的标准。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人。

1999年,美国国家审计署(GAO)《联邦信息系统控制审计手册》(第一版),为美国联邦政府实施信息安全审计提供基本准则和方法。2001年,GAO《联邦信息系统安全审计管理的计划指南》,用于为美国联邦政府实施信息安全审计提供具体指导;2009年,GAO《联邦信息系统控制审计手册》(第二版),该手册成为现阶段美国联邦政府实施信息安全审计的事实标准。

近年来,美国通过立法赋予信息安全审计新的意义,并对企业实施信息安全审计产生重大影响。2002年,美国安然公司和世通财务欺诈案爆发后,美国国会和政府紧急通过了《萨班斯——奥克斯利法案》(Sarbanes-OxleyAct,简称萨班斯法案)。萨班斯法案第302条款和第404条款明确要求“,通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,而信息安全审计正是IT系统内部控制的核心。”2006年底生效的《巴塞尔新资本协议(》BaselII),要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备,迫使各银行必须做好风险控管,而这一“金融作业风险”的防范也正是需要业务信息安全审计为依托。

近一段时期,以美国、加拿大、澳大利亚为主的西方国家,针对不同的组织机构,以不同的信息安全审计方式,卓有成效地开展了包括信息系统计划与技术构架、信息安全保护与灾难恢复、软件系统开发、获得、实施及维护、商业流程评估及风险管理等方面的信息安全审计。

具体来说,针对各类企业的信息安全审计,采取了以内部审计为主,从关注安全向关注业务目标过渡,一般控制审计与应用控制审计相结合的方式;针对政府机构的信息安全审计,强调外部审计与政府内部审计结合,融入绩效预算管理体系,关注系统最终效果。

在亚洲,日本的信息安全审计始于20世纪80年代。1983年,通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。近几年,东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。

(二)我国信息安全审计发展与现状

近年来,我国的信息安全审计日益受到重视,审计署以及一些大型国有银行也相继开展了信息安全方面的审计工作。信息系统审计规范的研究和制定方面,我国已建成了一套比较成熟规范的法规、准则体系,但在信息系统及信息安全审计方面,虽有《内部审计具体准则第28号——信息系统审计》(中国内部审计协会2008年)以及审计署对信息系统审计相关法规、准则的规划及研究,但尚未形成系统的法规、准则和技术标准体系。

三、金融行业信息安全审计组织与实施

金融行业的信息安全审计(InformationSecurityAudit),是指金融机构为了掌握其信息安全保障工作的有效性,根据事先确定的审计依据,在规定的审计范围内,通过文件审核、记录检查、技术测试、现场访谈等活动,获得审计证据,并对其进行客观的评价,以确定被审计对象满足审计依据的程度所进行的系统的、独立的并形成文件的过程。金融机构可以单独实施信息安全审计,也可以将信息安全审计作为其他相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。审计的工作流程和内容大致包括六个方面的活动(如图2所示)。

1.确定审计目的和范围。金融机构实施信息安全审计,首先要明确审计目的,确定审计范围。审计目的是信息安全审计工作的出发点。审计目的可以从满足监管部门的要求、满足信息安全国际国内标准的要求、满足机构自身信息安全工作要求等合规性方面考虑。明确了审计目的,然后要确定审计范围。审计范围是影响审计工作量的一个重要因素。确定审计范围,可以从组织机构考虑,如仅对个别部门实施审计,或者在组织全部范围实施审计;也可以从业务和系统角度考虑,如仅对核心系统实施审计,或者仅对信贷业务实施审计等。

2.明确审计依据。审计依据就像一把“尺子”,审计人员用它来衡量信息安全工作的“长短”。审计目的不同,审计依据就可能不同,如表1中所示。

3.组建审计组。审计组是具体实施信息安全审计工作的基本组织单位,应由审计组长和审计员组成。管理良好的审计组是信息安全审计工作顺利实施并达成审计目的的保障。审计组长应由金融机构内部审计部门的管理者任命。负责编制审计方案和审计计划,选择审计员,管理审计小组,与被审计对象沟通等。审计组长应具备较强的项目管理能力,熟悉被审计对象的业务和系统,了解被审计对象面临的信息安全风险和常用的风险控制措施。审计员应选择责任心强、公正、独立、熟悉业务的人员担任,避免审计员与被审计对象存在利害关系,以免影响审计结果的公正性。正式实施信息安全审计前,应对审计组成员进行培训。

4.实施现场审计。审计准备工作就绪后,则可以实施现场审计。现场审计是一项复杂的系统工程,具有较强的不确定性。因此,现场审计应根据事先编制的审计方案和审计计划执行,审计过程中还要做好变更控制。现场审计往往由首次会议开始,至末次会议结束。在首次会议上,审计组长应向被审计单位阐明此次审计的目的、范围、依据和审计计划,并提出需要被审计单位配合的事项。末次会议上,审计组长向被审计单位说明审计发现,报告审计初步结果,并与被审计单位就初步审计结果达成一致。现场审计方法通常包括:现场访谈、审阅文件、查看记录、系统检查和测试等。在系统检查和测试过程中,可能需要相关的审计工具,如系统漏洞扫描器、数据库安全审计系统、桌面终端配置检查工具、网络安全检查工具、恶意软件扫描器等。现场审计过程中,应做好文档化工作。对所发现的审计证据应进行详细记录,并与被审计单位人员进行现场确认。现场审计应注意方式方法,就意见不一致的问题先做好记录,避免现场与被审计单位人员发生争执。

第5篇

论文摘要:随着世界航空运输的快速发展,空中交通日趋繁忙,空管安全管理体系中安全评估与审计越来越受到民航界的关注。本文首先对空管安全管理体系进行了概述,描述了当今空管安全管理的现状及中国民航安全管理的目标和空管安全管理体系的构成,然后对空管安全审计进行了概述,最后研究了空管安全管理体系中安全审计的方法与应用。

1.空管安全管理体系概述

空管安全管理体系包括空域管理、空中交通流量管理和空中交通服务(包括空中交通管制服务)在内的系统性的安全管理问题。

空管安全管理体系研究现状

安全始终是民航界的首要问题,在民航界具有重要影响的组织或国家都几乎一致地将空中交通管理系统的安全管理问题升级为一个具有现代管理学科意味的系统性安全管理问题来对待,在继承传统安全管理经验(尤其是其中所包含的安全管理文化精髓)的同时,人们已经更加重视依托现代安全管理理念、策略和科学方法(包括基于电子计算机技术的安全管理决策支持工具)去全面解决空管系统的安全管理问题。目前,还没有一个标准统一的体系来对空管单位进行安全评估和审计,各单位的标准不一,审计手段也各不相同。随着民航业的飞速发展,空中交通流量的剧增,工作压力越来越大,造成空管单位的安全隐患与日俱增。

2.空管安全审计

2.1 空管安全审计概述

空管安全审计可以让管理层有效掌握空中交通服务系统的安全状况和需要改进的缺陷,它是一种识别潜在问题的有效手段,是一项未雨绸缪的预防性安全管理活动。

作为安全管理体系的一部分,内部安全审计所体现的内部安全管理作用在于:确保运行安全风险得以识别,导致安全问题的诱因得以辨识;通过强化安全指令和程序的遵守、人力资源配置、提高人员素质和培训等,确保具有良好的安全管理体系架构;确保应对突发紧急情况的安全措施得当;确保设备性能能够满足保证安全所需;在促进安全、监测安全性能和处理安全问题方面,保证各项管理措施切实有效。

2.2空管安全审计原则

(1)安全审计的目的在于了解实际情况,不得有任何指责和惩罚方面的暗示。

(2)被审计者应当给审计者提供一切相关安全管理实证或文件,安排必要人员供审计者了解情况。

(3)安全审计应当客观地调查取证。

(4)应当在规定的时间内给被审计单位提供书面报告,阐述发现的问题并提出建议。

(5)应当向被审计单位提供有关审计结果的反馈意见。反馈意见应当突出审计中所观察到的问题,必须找出不足之处,但也要尽可能回避消极的批评。

2.3空管安全审计计划

简介:说明这是哪一项安全审计的正式文件,介绍报告的各章。

参考文件列表:列出审计中使用的所有文件依据背景:描述审计原因,说明这是正常审计还是由于特殊原因(例如:发现安全风险,观察到不安全事件等)而进行的审计。

目的:按照审计计划描述审计的目标和范围。如果在审计过程中发生了影响审计目标完成的事件,应当在此描述,并且阐述事件造成的后果。

人员:列出参加审计的人员

受审计的单位:列出受审计的单位名称

计划日期:注上当日日期

2.4在空中交通服务系统的安全审计应当遵循以下原则:

(1) 观察结果和建议的内容应与最后讨论会、审计报告草案及最终审计报告中的谈论或称述保持一致。

(2) 审计结论应当有充分的证据支撑;对观察结果和建议的阐述应当清晰简要。

(3) 观察结果应当具体明确,并客观地陈述观察结果。

(4)要应用广泛接受的航空术语而不要用缩略语和俗语。

(5)避免直接批评某个人或某个职位。

2.5审计员应当在访谈时应当遵照以下原则:

(1)聆听——让讲话的人知道你在听他讲;

(2)保持中立——不要当面表达不一致的意见,不要随意打断对方的陈述或甚至给予批评;

(3)理解不透彻时——可向对方核实,以获得对方对访谈记要的认可;

(4)使用“什么,为什么,在哪里,什么时候,谁,如何”等特殊疑问句,以引出事实情况;

(5)询问一些深入的问题,比如“假设…”,“如果…,会怎样”“请给我演示一下…”,让对方给出解释和例证。

2.6 安全审计情况的后续跟踪

(1) 后续跟踪的主要目的在于核实受审计单位是否落实了改进计划。后续跟踪可以通过对改进计划实施情况的监督来进行,也可通过随访跟踪来进行。

(2)如果进行了跟踪随访,还应当编制一份随访报告,说明改进计划的落实情况。

如果不符合规章的情况和隐患尚未消除,审计组长应当在跟踪报告中着重说明,并直接给相关空中交通服务单位的高层管理者发送一本报告副本。

(3) 审计组长应主动向所属空中交通管理机构报告阶段性的审计情况和提交审计报告、跟踪随访报告。

3.结论

本文首先对空管安全管理体系进行了概述,描述了当今空管安全管理的现状及中国民航安全管理的目标和空管安全管理体系的构成。

综上所述,本文的研究目的是如何通过有效、科学的手段对空中交通管制单位运行安全审计,找出安全隐患,通过一系列的运行管理手段,消除安全隐患,使“人─机─环境”系统中的运行关键因素有机地结合,共同作用于空管运行的各个阶段,切实提高航空安全运行质量,从而进一步完善我国民航安全运行管理,切实提高民航安全运行质量,最大限度地降低航空事故,提高空中交通管制单位的自身系统控制能力和安全管理水平。

参考文献

[1]空管在线收集整理

[2]骆慈孟.以人为本,确保飞行安全,空中交通管理, 2000.5

[13]施和平.空中交通系统安全管理.厦门大学出版社.

第6篇

    论文摘要:随着世界航空运输的快速发展,空中交通日趋繁忙,空管安全管理体系中安全评估与审计越来越受到民航界的关注。本文首先对空管安全管理体系进行了概述,描述了当今空管安全管理的现状及中国民航安全管理的目标和空管安全管理体系的构成,然后对空管安全审计进行了概述,最后研究了空管安全管理体系中安全审计的方法与应用。 

1.空管安全管理体系概述 

空管安全管理体系包括空域管理、空中交通流量管理和空中交通服务(包括空中交通管制服务)在内的系统性的安全管理问题。 

空管安全管理体系研究现状 

安全始终是民航界的首要问题,在民航界具有重要影响的组织或国家都几乎一致地将空中交通管理系统的安全管理问题升级为一个具有现代管理学科意味的系统性安全管理问题来对待,在继承传统安全管理经验(尤其是其中所包含的安全管理文化精髓)的同时,人们已经更加重视依托现代安全管理理念、策略和科学方法(包括基于电子计算机技术的安全管理决策支持工具)去全面解决空管系统的安全管理问题。目前,还没有一个标准统一的体系来对空管单位进行安全评估和审计,各单位的标准不一,审计手段也各不相同。随着民航业的飞速发展,空中交通流量的剧增,工作压力越来越大,造成空管单位的安全隐患与日俱增。 

2.空管安全审计 

2.1 空管安全审计概述 

空管安全审计可以让管理层有效掌握空中交通服务系统的安全状况和需要改进的缺陷,它是一种识别潜在问题的有效手段,是一项未雨绸缪的预防性安全管理活动。 

作为安全管理体系的一部分,内部安全审计所体现的内部安全管理作用在于:确保运行安全风险得以识别,导致安全问题的诱因得以辨识;通过强化安全指令和程序的遵守、人力资源配置、提高人员素质和培训等,确保具有良好的安全管理体系架构;确保应对突发紧急情况的安全措施得当;确保设备性能能够满足保证安全所需;在促进安全、监测安全性能和处理安全问题方面,保证各项管理措施切实有效。 

2.2空管安全审计原则 

(1)安全审计的目的在于了解实际情况,不得有任何指责和惩罚方面的暗示。 

(2)被审计者应当给审计者提供一切相关安全管理实证或文件,安排必要人员供审计者了解情况。 

(3)安全审计应当客观地调查取证。 

(4)应当在规定的时间内给被审计单位提供书面报告,阐述发现的问题并提出建议。 

(5)应当向被审计单位提供有关审计结果的反馈意见。反馈意见应当突出审计中所观察到的问题,必须找出不足之处,但也要尽可能回避消极的批评。 

2.3空管安全审计计划 

简介:说明这是哪一项安全审计的正式文件,介绍报告的各章。 

参考文件列表:列出审计中使用的所有文件依据背景:描述审计原因,说明这是正常审计还是由于特殊原因(例如:发现安全风险,观察到不安全事件等)而进行的审计。 

目的:按照审计计划描述审计的目标和范围。如果在审计过程中发生了影响审计目标完成的事件,应当在此描述,并且阐述事件造成的后果。 

人员:列出参加审计的人员 

受审计的单位:列出受审计的单位名称 

计划日期:注上当日日期 

2.4在空中交通服务系统的安全审计应当遵循以下原则: 

(1) 观察结果和建议的内容应与最后讨论会、审计报告草案及最终审计报告中的谈论或称述保持一致。 

(2) 审计结论应当有充分的证据支撑;对观察结果和建议的阐述应当清晰简要。 

(3) 观察结果应当具体明确,并客观地陈述观察结果。 

(4)要应用广泛接受的航空术语而不要用缩略语和俗语。 

(5)避免直接批评某个人或某个职位。 

2.5审计员应当在访谈时应当遵照以下原则: 

(1)聆听——让讲话的人知道你在听他讲; 

(2)保持中立——不要当面表达不一致的意见,不要随意打断对方的陈述或甚至给予批评; 

(3)理解不透彻时——可向对方核实,以获得对方对访谈记要的认可; 

(4)使用“什么,为什么,在哪里,什么时候,谁,如何”等特殊疑问句,以引出事实情况; 

(5)询问一些深入的问题,比如“假设…”,“如果…,会怎样”“请给我演示一下…”,让对方给出解释和例证。 

2.6 安全审计情况的后续跟踪 

(1) 后续跟踪的主要目的在于核实受审计单位是否落实了改进计划。后续跟踪可以通过对改进计划实施情况的监督来进行,也可通过随访跟踪来进行。 

(2)如果进行了跟踪随访,还应当编制一份随访报告,说明改进计划的落实情况。 

如果不符合规章的情况和隐患尚未消除,审计组长应当在跟踪报告中着重说明,并直接给相关空中交通服务单位的高层管理者发送一本报告副本。 

(3) 审计组长应主动向所属空中交通管理机构报告阶段性的审计情况和提交审计报告、跟踪随访报告。 

3.结论 

本文首先对空管安全管理体系进行了概述,描述了当今空管安全管理的现状及中国民航安全管理的目标和空管安全管理体系的构成。 

综上所述,本文的研究目的是如何通过有效、科学的手段对空中交通管制单位运行安全审计,找出安全隐患,通过一系列的运行管理手段,消除安全隐患,使“人─机─环境”系统中的运行关键因素有机地结合,共同作用于空管运行的各个阶段,切实提高航空安全运行质量,从而进一步完善我国民航安全运行管理,切实提高民航安全运行质量,最大限度地降低航空事故,提高空中交通管制单位的自身系统控制能力和安全管理水平。  

 

参考文献: 

[1]空管在线收集整理 

[2]骆慈孟.以人为本,确保飞行安全,空中交通管理, 2000.5 

[13]施和平.空中交通系统安全管理.厦门大学出版社. 

第7篇

【 关键词 】 互联网;安全;防御;威胁

Key Measures of the "Internet +" Under the New Normal, Safe Operation of the Internet

Xiong Wei

(CPC Hunan Provincial Committee Party School HunanXiangtan 410006 )

【 Abstract 】 With cloud computing, distributed computing, rapid development of mobile computing technology and improve the development of a new generation of computer technology gave birth to the "Internet +" era, to achieve widespread popularity of the Internet in industrial production, commerce, and virtual reality in and achieved remarkable results. "Internet +" era of many types of network applications, applications scale complex and require strict network security management system and preventive measures, in order to be able to improve network security defense capabilities to ensure the normal application of network security.

【 Keywords 】 internet; security; defense; threats

1 引言

目前,随着新一代信息技术地发展和改进,其催生了物联网、社会计算、云计算、大数据、移动计算等技术,进而实现了网络创新2.0,推动了创新2.0的改革和演变,形成了体验实验区、个人创造实验室、应用创新园区、维基模式等应用系统的诞生,实现了传统行业与互联网融合发展,形成了“互联网+”时代的新业态和新形态。“互联网+”时代促进了各类基于网络的应用系统诞生和普及,以云计算、物联网、车联网、大数据为代表的新一代信息技术与工业制造、生产服务、金融经济融合创新,打造了新的产业增长点,为大众创业、万众创新提供了新的环境,支撑产业智能化、经济发展创新化发展。随着人类信息化社会进入“互联网+”时代,互联网应用规模迅速上升,复杂程度也大幅度增加,互联网新常态下面临了更多的安全威胁,具体表现在几个方面。

(1)“互联网+”时代安全威胁更加智能。“互联网+”时代的到来,促进了网络木马、病毒和黑客攻击技术的提升,导致网络安全威胁日趋智能化,能够发现互联网应用系统存在的、更加隐蔽的风险和漏洞进行攻击。

(2)“互联网+”时代安全威胁传播范围广、速度快。“互联网+”时代,云计算技术、分布式计算技术、移动计算技术使更多的网络节点通过光纤网络连接在一起,如果一个网络节点存在漏洞被安全威胁攻击,则将在更短的时间内感染其他节点,产生更大的损失。

因此,为了能够提高“互联网+”时代网络安全管理成效,需要创新网络安全管理体系和模式,全方位实现网络安全漏洞扫描和风险评估,对“互联网+”安全管理涉及的节点资源进行审计,采用主动防御技术实现网络安全管理,具有重要的作用和意义。

2 互联网安全管理体系创新及其模式

2.1 网络安全风险评估

网络安全风险评估可以有效评估网络软硬件资源受到的威胁,以便能够将安全威胁控制在可接受的范围内。网络安全风险评估是确定计算机网络中是否存在潜在威胁和攻击事件的重要工具。网络安全风险评估包括五种基本要素,分别是资产、威胁、脆弱性、信息安全风险和安全措施。资产是指计算机网络节点使用的、有价值的固定设备、软件系统等有形或无形的资产。威胁是指可能对资产造成损害的一些潜在的攻击事件或非法事件,威胁可以使用主体、动机、资源和途径等多个属性进行联合刻画。脆弱性是指可能被威胁利用的薄弱环节或漏洞,其可以对资产造成损失。信息安全风险包括自热因素造成的风险或人为因素造成的风险,能够利用计算机软硬件存在的漏洞攻击计算机网络,破坏网络的安全性。安全措施是指为了能够防御计算机信息系统遭到破坏,以便能够采用入侵检测、防火墙等具体的措施,保护资产安全,防御安全攻击事件发生,并且能够用来打击犯罪,其包括各类规范、防御技术等。

2.2 网络安全审计

网络安全审计可以通过数据采集、数据分析、安全审计响应等过程,能够获取网络操作系统的使用状况和设备状态信息,并且可以将采集到的数据进行统一变换,实施预处理,接着使用数据分析技术,按照既定的安全审计规则,鉴别数据中存在的异常行为、非法行为。安全审计分析完成之后,可以根据安全审计的结果做出相关的响应操作,安全审计响应主要包括主动响应和被动响应。安全审计系统检测到网络中存在的异常行为之后,安全审计系统不主动做出响应;安全审计系统通过发出异常检测报警,可以通过告警弹窗、发送短消息、邮件等到管理员处,由其他人员或者安全设备采取预防或改进措施。

2.3 网络主动防御系统

传统的网络安全通常采用访问控制列表、防火墙、包过滤、入侵检测等技术,虽然能够阻止网络木马、病毒和黑客的攻击。但是随着“互联网+”时代的到来,网络安全威胁技术日趋智能,传播速度越来越快,感染范围也越来越广泛,传统网络安全防御已经无法满足“互联网+”时代网络安全管理需求,因此在网络安全管理过程中,可以采用网络安全主动防御技术提高网络安全管理能力。网络安全主动防御技术主要包括预警、防护、检测、响应、恢复和反击六种,将这六种技术有机集成在一起,分布于网络安全防御的不同层次,构建深度防御体系,能够及时地发现大数据时代网络中非法入侵信息和不正常数据,以便能够及时地对攻击行为进行阻断、反击,恢复网络至正常的运行状态。

3 互联网安全运营的关键措施

3.1 管理措施

“互联网+”时代,网络应用系统使用制度具有较为重要的作用,许多计算机网络安全专家提出,网络安全七分防御、三分管理,因此可以甚至网络安全管理制度在安全管理过程中,具有不可替代的作用。网络安全应用用户越来越多,网络安全操作用户大部分非计算机专业人才,因此需要建立健全管理制度,以便能够规范网络用户操作,强化用户网络安全防御技术培训,定期对网络系统进行安全漏洞扫描和评估,并且制定网络安全防御策略,使得网络安全管理制度融入到工作、生活和学习过程中,通过学习、培训,提高用户的安全意识,增强用户的警觉性。

3.2 技术措施

网络安全主动防御技术主要包括安全预警、安全保护、安全监测、安全响应、网络恢复和网络反攻击等六种。网络安全预警可以有效地对网络中可能发生的攻击进行警告,包括漏洞预警、行为预警、攻击趋势预警等措施,预知网络未来可能发生的网络攻击。网络安全保护可以采用多种手段,保护网络安全系统的机密性、可用性、完整性、不可否认性和可控性,网络安全保护措施主要包括防病毒软件、防火墙服务器、虚拟专用网等技术。网络安全监测的主要目的是能够及时地发现网络中存在的攻击信息,以便能够检测网络中是否存在非法信息流,检测网络服务系统是否存在安全漏洞等,以便能够实时地应对网络安全攻击,网络安全监测技术包括入侵检测技术、网络安全扫描技术和网络实时监控技术。

网络安全响应能够对网络中存在的病毒、木马等安全威胁做出及时的反应,以便进一步阻止网络攻击,将网络安全威胁阻断或者引诱到其他的备用主机上。网络恢复技术可以为了保证网络受到攻击之后,能够及时地恢复系统,需要在平时做好备份工作,常用的备份技术包括现场外备份、现场内备份和冷热备份等。网络安全反击技术是主动防御系统最为重要的特征之一,其可以对网络攻击源进行有效的反击,网络安全反击综合采用各类网络攻击手段,确保网络高效服务用户。

4 结束语

随着“互联网+”时代的到来,网络安全攻击技术更加智能、传播速度更快、影响范围更加广泛,构建和实现新的网络安全管理系统,可以全方位实现网络安全防御。

参考文献

[1] 郭威,曾涛,刘伟霞.计算机网络技术与安全管理维护的研究[J]. 信息通信, 2014, 32(10):164-164.

[2] 田红广.如何加强计算机网络的安全管理和安全防范[J].软件, 2014, 26(1):92-93.

[3] 蔡艳.探讨数据挖掘技术在网络信息安全管理中的应用[J]. 网络安全技术与应用, 2013, 21(10):58-58.

第8篇

21世纪是信息化的社会,计算机技术不断进步,并在生产领域得到深入应用。特别是会计电算化的推广,把以电子计算机为代表的现代化数据处理工具及以信息论、系统论、数据库、计算机网络等新兴理论和技术应用于会计核算、财务管理工作中以提高财务管理水平和经济效益,实现会计工作的现代化。目前,越来越多的企业开始全业务的采用信息系统,形成了一个网络经济时代,各个企业、事业单位的信息化情况表现出了前所未有的综合性和开放性。这种信息化的高度集中带来了高效益,但同时,也带来了高度的风险,信息系统审计也就在这种历史背景下应运而生。

一、信息系统审计的内涵和外延难以把握

随着信息技术的发展,信息系统在财务、管理领域的应用程度不断提高,功能日趋完善,其软硬件结构的复杂性和涉及领域的广泛性以及信息处理技术更新的频繁性使得审计人员难以同步把握信息系统审计的内涵和外延。从外延上看,信息系统审计主要包括两个部分,一是对信息系统主体的审计,二是对信息系统应用环境的审计,包括网络环境、使用环境、管理使用情况等。一般说来,审计信息系统本身相对容易,但审计信息系统的应用环境却存在较多不确定因素,比如某公司的信息系统通过防火墙连接到互联网,而在防火墙内还存在其它系统,其它系统是不是也在审计范围之内?

从内涵上看,信息系统审计主要是对信息系统的安全性和可靠性进行评估、评价。安全性、可靠性是一个比较广泛的概念,以系统安全性为例,它包括:ISO开放系统互连安全体系结构、TCP/IP安全体系、开放系统互连的安全管理、安全服务和功能配置;系统安全涉及的信息安全技术包括:密码技术、访问控制技术、机密性和完整性保护技术、数字签名技术、抗抵赖技术、预(报)警机制、公证技术、防火墙技术、漏洞检测技术、网络隔离技术、计算机病毒防范等。由于信息技术本身的限制性,绝大部分信息系统本身均存在安全性问题(如防护级别最高、防护技术最好的美国国防部也常有被攻击的情况)。

把握不准信息系统审计的外延和内涵,就难以解决以下三个问题:一是难以解决审计力量与审计任务之间的矛盾,难以控制审计风险,即不该审的审了,该审的却未审;二是由于绝大部分信息系统本身均存在安全性问题,信息系统审计很容易演变成“信息系统是否存在问题源自于审计人员的技术水平,而不是系统本身的安全性和可靠性”,即,绝大部分信息系统均存在不安全、不可靠因素,就看审计人员能否发现由于信息系统的安全性问题是绝对的,而审计人员的视角和技术水平是相对的,信息系统审计的成果部分取决于审计人员对信息系统审计内容的把握程度;三是由于审计需要大量的证据支撑,对于未造成损失但信息系统存在不安全隐患的问题难以定性,即便是造成了损失,也难以界定这些损失与信息系统不安全、不可靠因素之间联系。

因此,审计部门应根据“全面审计、突出重点”及“先易后难”、“先系统本身后系统环境”的原则,参照国家信息技术部的有关标准,界定信息系统工作的外延和内涵,将信息系统审计的主要方向定在:被审计单位的信息系统的安全性、可靠性是否达到应有的水平或标准,而不是系统是否有安全性和可靠性问题。

二、信息系统审计评价标准很难确定

信息系统安全审计,涉及会计信息处理自动化、表示代码化、信息处理与存储集中化、内部控制程序化等诸多广泛、复杂的计算机专业技术环节,其技术性较高。而我国信息系统审计正处于起步阶段,对审计机关如何开展信息系统审计尚在积极探索中,因此,目前尚没有一个完整的、成熟的具有示范作用的审计案例,也缺少具备实际指导意义的相关信息系统审计准则和操作指南。

近年来,国家安全部门相继出台了多个安全标准,例如公安部出台的《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息安全等级保护管理办法》,还有相应的安全技术规范《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准。但在实际操作中,这些标准在可操作性上还有待提高,一是信息系统安全等级的确定,缺乏一个等级认定的部门,目前是由各个单位自己定级报送,会存在低报等级风险;二是等级要求没有量化和详细解释,等级认定存在困难。这些都给具体的审计实务工作带来极大的困难。

因此建议审计部门及时组织总结实践经验,规范信息系统安全审计的有关概念、审计内容、工作流程和技术方法、形成信息系统安全审计准则、操作指南或实务公告的准则体系,这是信息系统安全审计得以健康发展的基础。

三、信息系统审计缺乏相应的人才

我国目前尚缺乏既熟悉审计业务又掌握计算机技术同时了解国内标准信息系统流程的复合型人才,进行信息系统审计所涉及的知识面非常广,涉及会计、审计、管理和计算机等知识,而进行信息系统安全性审计主要从系统总体安全、系统运行安全、数据中心安全、硬件设备安全和网络安全情况五个方面来进行,每个方面都涉及不同的知识点。当对系统总体安全进行审计时,则要求审计人员具有系统总体分析、系统设计和系统安全分析的知识;当对系统运行进行审计时,则要求审计人员具有系统运行管理、系统维护和系统安全管理的知识;当对数据中心安全进行审计时,则要求审计人员具有工程建设、数据中心安全维护和灾备等知识;当对硬件设备安全进行审计时,则要求审计人员具有设备采购、设备维护和设备安全分析等知识;当对网络安全情况进行审计时,则要求审计人员具有网络安全分析和网络防范等知识。但在当前情况下,审计人员能够掌握上述某一方面的知识都已经难能可贵,更不用说要掌握所有的知识面。

建议审计部门加强对审计人员理论培训,并组织审计人员进行实践,通过实践经验来巩固理论知识,培养出更多的信息系统审计复合型人才和相应的专业性人才。

四、信息系统审计需要相应的法规支持和成果考核标准

我们通常依据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》及《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》(〔2001〕88号)的规定:“被审计单位应当按照审计机关的要求,提供与财政收支、财务收支有关的电子数据和必要的计算机技术文档等资料”,要求被审计单位提供电子数据,开展电子数据式审计工作。但开展信息系统安全审计的方法、步骤要求我们必须获取被审计单位信息系统底层数据库的数据字典、程序开发文档、甚至程序源代码等核心文档已经高级管理用户的权限。但事实上大多数被审计单位也不掌握这些核心文档,软件开发公司又以知识产权应收保护为由拒绝提供文档。特别是要求SAP、Oracle等国外软件开发商提供开发文档非常困难。因此,应出台更为明确的法规以支持信息系统安全审计工作。其次,信息系统审计的实施需要耗费大量的人力物力,在目前审计机关工作繁重的背景下,开展此项工作需要审计工作方案以及考评指标的支撑。因此,审计相关部门应该考虑把信息系统审计纳入年初审计工作计划,并出台相应的考评标准。

五、信息系统审计自身风险较大

数据分析式计算机辅助审计是要求被审计单位按照审计的需求提供电子数据,审计人员将数据转换后导入计算机进行分析。这种过程避免了直接操作被审计单位信息系统所带来的风险。然而,信息系统安全性审计的很多步骤必须要在被审计单位信息系统上直接执行,这种在真实系统上的操作必然存在安全风险。如对电信公司计费系统的审计,如果测试时间不当或测试用例不完善都可能影响计费系统的正常运行。

第9篇

21世纪是信息化的社会,计算机技术不断进步,并在生产领域得到深入应用。特别是会计电算化的推广,把以电子计算机为代表的现代化数据处理工具及以信息论、系统论、数据库、计算机网络等新兴理论和技术应用于会计核算、财务管理工作中以提高财务管理水平和经济效益,实现会计工作的现代化。目前,越来越多的企业开始全业务的采用信息系统,形成了一个网络经济时代,各个企业、事业单位的信息化情况表现出了前所未有的综合性和开放性。这种信息化的高度集中带来了高效益,但同时,也带来了高度的风险,信息系统审计也就在这种历史背景下应运而生。

一、信息系统审计的内涵和外延难以把握

随着信息技术的发展,信息系统在财务、管理领域的应用程度不断提高,功能日趋完善,其软硬件结构的复杂性和涉及领域的广泛性以及信息处理技术更新的频繁性使得审计人员难以同步把握信息系统审计的内涵和外延。从外延上看,信息系统审计主要包括两个部分,一是对信息系统主体的审计,二是对信息系统应用环境的审计,包括网络环境、使用环境、管理使用情况等。一般说来,审计信息系统本身相对容易,但审计信息系统的应用环境却存在较多不确定因素,比如某公司的信息系统通过防火墙连接到互联网,而在防火墙内还存在其它系统,其它系统是不是也在审计范围之内?从内涵上看,信息系统审计主要是对信息系统的安全性和可靠性进行评估、评价。安全性、可靠性是一个比较广泛的概念,以系统安全性为例,它包括:ISO开放系统互连安全体系结构、TCP/IP安全体系、开放系统互连的安全管理、安全服务和功能配置;系统安全涉及的信息安全技术包括:密码技术、访问控制技术、机密性和完整性保护技术、数字签名技术、抗抵赖技术、预(报)警机制、公证技术、防火墙技术、漏洞检测技术、网络隔离技术、计算机病毒防范等。由于信息技术本身的限制性,绝大部分信息系统本身均存在安全性问题(如防护级别最高、防护技术最好的美国国防部也常有被攻击的情况)。

把握不准信息系统审计的外延和内涵,就难以解决以下三个问题:一是难以解决审计力量与审计任务之间的矛盾,难以控制审计风险,即不该审的审了,该审的却未审;二是由于绝大部分信息系统本身均存在安全性问题,信息系统审计很容易演变成“信息系统是否存在问题源自于审计人员的技术水平,而不是系统本身的安全性和可靠性”,即,绝大部分信息系统均存在不安全、不可靠因素,就看审计人员能否发现由于信息系统的安全性问题是绝对的,而审计人员的视角和技术水平是相对的,信息系统审计的成果部分取决于审计人员对信息系统审计内容的把握程度;三是由于审计需要大量的证据支撑,对于未造成损失但信息系统存在不安全隐患的问题难以定性,即便是造成了损失,也难以界定这些损失与信息系统不安全、不可靠因素之间联系。因此,审计部门应根据“全面审计、突出重点”及“先易后难”、“先系统本身后系统环境”的原则,参照国家信息技术部的有关标准,界定信息系统工作的外延和内涵,将信息系统审计的主要方向定在:被审计单位的信息系统的安全性、可靠性是否达到应有的水平或标准,而不是系统是否有安全性和可靠性问题。

二、信息系统审计评价标准很难确定

信息系统安全审计,涉及会计信息处理自动化、表示代码化、信息处理与存储集中化、内部控制程序化等诸多广泛、复杂的计算机专业技术环节,其技术性较高。而我国信息系统审计正处于起步阶段,对审计机关如何开展信息系统审计尚在积极探索中,因此,目前尚没有一个完整的、成熟的具有示范作用的审计案例,也缺少具备实际指导意义的相关信息系统审计准则和操作指南。

近年来,国家安全部门相继出台了多个安全标准,例如公安部出台的《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息安全等级保护管理办法》,还有相应的安全技术规范《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准。但在实际操作中,这些标准在可操作性上还有待提高,一是信息系统安全等级的确定,缺乏一个等级认定的部门,目前是由各个单位自己定级报送,会存在低报等级风险;二是等级要求没有量化和详细解释,等级认定存在困难。这些都给具体的审计实务工作带来极大的困难。因此建议审计部门及时组织总结实践经验,规范信息系统安全审计的有关概念、审计内容、工作流程和技术方法、形成信息系统安全审计准则、操作指南或实务公告的准则体系,这是信息系统安全审计得以健康发展的基础。

三、信息系统审计缺乏相应的人才

我国目前尚缺乏既熟悉审计业务又掌握计算机技术同时了解国内标准信息系统流程的复合型人才,进行信息系统审计所涉及的知识面非常广,涉及会计、审计、管理和计算机等知识,而进行信息系统安全性审计主要从系统总体安全、系统运行安全、数据中心安全、硬件设备安全和网络安全情况五个方面来进行,每个方面都涉及不同的知识点。当对系统总体安全进行审计时,则要求审计人员具有系统总体分析、系统设计和系统安全分析的知识;当对系统运行进行审计时,则要求审计人员具有系统运行管理、系统维护和系统安全管理的知识;当对数据中心安全进行审计时,则要求审计人员具有工程建设、数据中心安全维护和灾备等知识;当对硬件设备安全进行审计时,则要求审计人员具有设备采购、设备维护和设备安全分析等知识;当对网络安全情况进行审计时,则要求审计人员具有网络安全分析和网络防范等知识。但在当前情况下,审计人员能够掌握上述某一方面的知识都已经难能可贵,更不用说要掌握所有的知识面。建议审计部门加强对审计人员理论培训,并组织审计人员进行实践,通过实践经验来巩固理论知识,培养出更多的信息系统审计复合型人才和相应的专业性人才。

四、信息系统审计需要相应的法规支持和成果考核标准

我们通常依据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》及《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》(〔2001〕88号)的规定:“被审计单位应当按照审计机关的要求,提供与财政收支、财务收支有关的电子数据和必要的计算机技术文档等资料”,要求被审计单位提供电子数据,开展电子数据式审计工作。但开展信息系统安全审计的方法、步骤要求我们必须获取被审计单位信息系统底层数据库的数据字典、程序开发文档、甚至程序源代码等核心文档已经高级管理用户的权限。但事实上大多数被审计单位也不掌握这些核心文档,软件开发公司又以知识产权应收保护为由拒绝提供文档。特别是要求SAP、Oracle等国外软件开发商提供开发文档非常困难。因此,应出台更为明确的法规以支持信息系统安全审计工作。其次,信息系统审计的实施需要耗费大量的人力物力,在目前审计机关工作繁重的背景下,开展此项工作需要审计工作方案以及考评指标的支撑。因此,审计相关部门应该考虑把信息系统审计纳入年初审计工作计划,并出台相应的考评标准。

第10篇

一、 道路交通安全长效管理机制内涵

道路交通事故通常指人、车在道路上通行时,由于违反交通规则或其它原因发生人员、牲畜和车、物损失的事件。《中华人民共和国道路交通安全法》中对“交通事故”的定义是指车辆在道路上因过错或者意外造成的人身伤亡或者财产损失的事件。由法律定义引申,笔者认为道路交通安全长效管理机制的内涵应该为:在道路交通的执行、管理过程中能有效预防事故,保证道路交通的顺利进行,并能对今后一段时期的道路交通安全工作产生积极影响的运行方式、管理模式和监督体制的总和。而这种长效管理机制首先是切实可行,而又长期有效的;它所形成的规范性条款和规定,并不只局限于现任,无需随人员的流动或机构的变迁而动。因此它必须具有以下五个特性:

长期性在立法思路、管理策略和采取的措施上,管理效应会对今后相当长一段时期的工作产生影响,而不是一种短期行为。

系统通安全长效管理机制丰富的内涵决定了必须有多项的措施保证其功能的实现。这是一个系统共同作用而产生的效果,不是单一的措施就能完成的。

根本性立足防范,从治本上研究和考虑立法思路、管理策略和采取的措施。

自主性这种机制所产生的效果能使生产经营主体真正形成自我管理的意识,形成自我约束的机制。

有效性有效性是建立长效管理机制的最终目的,只有在实践的过程中,才能检验其存在的真正价值。

二、道路交通安全长效管理机制的构建

笔者认为,构建福建省道路交通安全长效管理机制应从七个层面加以思考,即建立健全四个体系、引进一个制度、实现两个创新。

(一)建立健全交通安全相关的法律法规体系

当前,应尽快做好道路交通安全主法的配套和细化工作。一要尽快制定和出台有关单行法规、条例;二要结合实际,通过地方立法,补充和完善道路交通安全法律体系,如对交通主管部门机构设置和人员配置及对交通安全行政执法和处罚进行细化等;三要加强交通安全立法理论研究和司法总结,扩大交通安全立法的公开性、民主性和广泛性。

(二)建立健全安全目标管理体系

1、加强各级人员对道路交通安全目标管理的认识。道路交通企业领导对安全目标管理要有深刻的认识,要深入调查研究,结合本单位实际情况,制定企业的总目标,并参加全过程的管理;加强对中层和基层干部的思想教育,提高他们对安全目标管理重要性的认识和组织协调能力;还要加强对职工的宣传教育,普及安全目标管理的基本知识与方法。

2、安全目标管理需要全员参与。安全目标管理是以目标责任者为主的自主管理,因此,必须充分发动群众,将企业的全体员工科学地组织起来,实行全员、全过程参与,才能保证安全目标的有效实施。

3、安全目标管理需要责、权、利相结合。实施安全目标管理时要明确职工在目标管理中的职责。同时,要赋予他们在日常管理上的权力,还要给予他们应得的利益,责、权、利的有机结合才能调动广大职工的积极性和持久性。

4、安全目标管理要与其他安全管理方法相结合。在实现安全目标过程中,要依靠和发挥各种安全管理方法的作用,如建立安全生产责任制、制定安全技术措施计划、开展安全教育和安全检查等。只有两者有机结合,才能使企业的安全管理工作做得更好。

(三)建立健全交通部门的预警体系

长期以来,道路交通安全部门的安全管理基本是单一的反馈控制模式。这种模式主要体现了事后把关的安全管理思想,即主要通过对已发生的事故和事故苗子等进行分析,找出原因,然后制定实施对策。随着道路里程的增加和交通工具密度日益增大,交通运输生产的系统复杂度和风险度显著提高。这种单一的管理模式,已经远远不能适应现代安全管理的需求。

因此有必要构建先进的交通安全预警系统,综合利用现有的交通运输系统安全信息,针对交通运输生产系统本身或其输入发生的变化,在其影响运输生产安全之前就事先将对其可能造成的影响进行分析评价,开展事故安全预测,及时向交通安全部门反馈信息,使其能够根据得到的前馈信息,科学预见交通运输生产系统及其要素的安全态势,采取合理措施对交通运输生产系统的人、机、环境、管理等四个要素进行事前协调,把事故消灭在萌芽之中,防患于未然。

(四)建立健全道路交通信息化体系

1994年,福建省交通信息化工作开始实施"三步走"的发展战略。目前已经实现了第一步:普及计算机和推广应用信息技术的基础工作;第二步也基本完成:部份数据库和局域网的建设,基本实现《福建省道路、水运交通信息化1998-2000发展规划》中提出的目标,全行业信息技术应用达到一定水平。

作为第三步任务目标是建设“数字交通”。它是以我省交通为对象的数字化、网络化、可视化和智能化的信息集成及应用系统。着力在五个领域取得进展,实现交通政务信息化;交通基础设施建设与管理信息化;交通运输生产管理信息化;交通产品营销信息化;交通科学技术信息化。重点实施交通信息化"123重点工程":抓好电子政务建设;力争在智能运输系统(ITS)和物流两个领域有实质性突破;开发、推广、应用高速道路联网收费、交通基础设施建设质量安全监控、交通公共信息服务三个系统。

(五)引进道路安全审计制度

道路安全审计是有效预防和降低交通事故的重要手段之一。首先,“预防重于治理”,道路建设项目的各个阶段实行安全审计是从源头预防交通事故的重要措施,;其次应尽快开展道路安全审计的法规研究,明确道路安全审计的程序和安全审计人员的责任、义务及权益;第三,要加紧加快道路安全审计指标体系的研究,从而形成一套较完善的评价标准;第四,培育道路安全审计队伍及建立相应机构,保证审计人员独立公正地开展工作。

(六)实现交通科技创新

未来交通发展的重点是扩充能力、优化结构、提高质量、改善服务、保障安全、保护环境,任务十分艰巨。科学技术是第一生产力,是交通发展的重要推动力量,对交通发展将产生重大影响。充分依靠科技进步,全面提升交通行业的科技含量,是走新型工业化道路、实现交通更快更好发展的必然选择。

构建智能交通管理指挥系统结构,其总体目标应为:以信息技术为主导,以计算机通信网络和智能化指挥控制管理为基础,初步建成集高新技术应用为一体的智能化道路交通管理体系,基本实现交通指挥现代化、管理数字化、信息网络化、办公自动化,进而实现交通管理决策科学化、交通指挥调度信息化、城市快速路网交通管理智能化、交通信号控制自动化以及实现交通管理电子警务和电子政务。

(七)推进安全文化创新

1、进行安全知识教育。安全教育包括新工人上岗教育、事故案例教育、违章教育等等。进行职工的安全知识教育一是要坚持全员教育和重点教育相结合的原则,根据不同的教育对象,授以不同的教育内容和提出不同的要求。

第11篇

根据《基本要求》的规定,二级要求的系统防护能力为:信息系统具有抵御一般攻击的能力,能防范常见计算机病毒和恶意代码危害的能力,系统遭受破坏后,具有恢复系统主要功能的能力。数据恢复的能力要求为:系统具有一定的数据备份功能和设备冗余,在遭受破坏后能够在有限的时间内恢复部分功能。按照二级的要求,一般情况下分为技术层面和管理层面的两个层面对信息系统安全进行全面衡量,技术层面主要针对机房的物理条件、安全审计、入侵防范、边界、主机安全审计、主机资源控制、应用资源控制、应用安全审计、通信完整性和数据保密性等多个控制点进行测评,而管理层面主要针对管理制度评审修订、安全管理机构的审核和检查、人员安全管理、系统运维管理、应急预案等方面进行综合评测。其中技术类安全要求按照其保护的侧重点不同分为业务信息安全类(S类)、系统服务安全类(A类)、通用安全防护类(G类)三类。水利信息系统通常以S和G类防护为主,既关注保护业务信息的安全性,又关注保护系统的连续可用性。

2水利科研院所信息安全现状分析

水利科研院所信息系统结构相对简单,在管理制度上基本建立了机房管控制度、人员安全管理制度等,技术上也都基本达到了一级防护的要求。下面以某水利科研单位为例分析。某水利科研单位主机房选址为大楼低层(3层以下),且不临街。机房大门为门禁电磁防盗门,机房内安装多部监控探头。机房内部划分为多个独立功能区,每个功能区均安装门禁隔离。机房铺设防静电地板,且已与大楼防雷接地连接。机房内按照面积匹配自动气体消防,能够对火灾发生进行自动报警,人工干预灭火。机房内已安装温度湿度监控探头,对机房内温湿度自动监控并具有报警功能,机房配备较大功率UPS电源,能够保障关键业务系统在断电后2小时正常工作。机房采用通信线路上走线,动力电路下走线方式。以上物理条件均满足二级要求。网络拓扑结构分为外联区、对外服务区、业务处理区和接入区4大板块,对外服务区部署有VPN网关,外部人员可通过VPN网关进入加密SSL通道访问业务处理区,接入区用户通过认证网关访问互联网。整个网络系统未部署入侵检测(IDS)系统、非法外联检测系统、网络安全审计系统以及流量控制系统。由上述拓扑结构可以看出,现有的安全防护手段可基本保障信息网络系统的安全,但按照二级要求,系统内缺少IDS系统、网络安全审计系统和非法外联检测系统,且没有独立的数据备份区域,给整个信息网安全带来一定的隐患。新的网络系统在外联区边界防火墙下接入了入侵检测系统(IDS),新规划了独立的数据备份区域,在核心交换机上部署了网络审计系统,并在接入区安装了非法外联检测系统。形成了较为完整的信息网络安全防护体系。

3信息系统安全等级测评的内容

3.1信息系统等级保护的总体规划

信息系统从规划到建立是一个复杂漫长的过程,需要做好规划。一般情况下,信息系统的安全规划分为计算机系统、边界区域、通信系统的安全设计。相应的技术测评工作也主要围绕这3个模块展开。

3.2测评的要素

信息系统是个复杂工程,设备的简单堆叠并不能有效保障系统的绝对安全,新建系统应严格按照等保规划设计,已建系统要对信息系统进行安全测试,对于测评不合格项对照整改。信息系统安全测试范围很广,主要在网络安全、主机安全、应用安全、数据安全、物理安全、管理安全六大方面展开测评。本文仅对测评内容要素进行描述,对具体测试方法及工具不作描述。

3.2.1网络安全的测评

水利科研院所网络安全的测评主要参照公安部编制《信息安全等级测评》条件对网络全局、路由和交换设备、防火墙、入侵检测系统展开测评。但应结合科研院所实际有所侧重。水利科研院所信息系统数据传输量大,网络带宽占用比例相对较高,因此,在网络全局中主要测试网络设备是否具备足够的数据处理能力,网络设备资源占用情况,确保网络设备的业务处理能力冗余性。科研院所地理位置相对分散,因此,需要合理的VLAN划分,确保局部网络攻击不会引发全局瘫痪。科研院所拥有大量的研究生,这类人群对于制度的约束相对较差,网络应用多伴有P2P应用,对出口带宽影响极大,因此除了用经济杠杆的手段外,在技术上要求防火墙配置带宽控制策略。同时对“非法接入和外联”行为进行检查。网络中应配置IDS对端口扫描,对木马、后门攻击、网络蠕虫等常见攻击行为监视等等。

3.2.2主机安全测评

主机安全的测评主要对操作系统、数据库系统展开测评。通常水利科研院所服务器种类繁多,从最多见的机架式服务器到曙光一类的大型并行服务器均有部署,同时操作系统有window系列、Linux、Unix、Solaris等多种操作系统,数据库以主流SQLSERVER、ORACLE为主,早期开发的系统还有Sybase,DB2等数据库。对于window操作系统是容易被攻击的重点,因为二级等保为审计级保护所以重点在于身份鉴别、访问控制、安全审计、入侵防范、恶意代码4个方面进行测评,主要审计重要用户行为、系统资源的异常使用和重要信息的命令使用等系统内重要的安全相关事件。对于LINUX等其他系统和数据库,主要审计操作系统和数据库系统的身份标识唯一性,口令应复杂程度以及限制条件等。

3.2.3应用安全测评

水利科研院所内部业务种类繁多,如OA系统,科研管理系统,内部财务系统、网站服务器群,邮件服务器等,测评的重点主要是对这些业务系统逐个测评身份验证,日志记录,访问控制、安全审计等功能。

3.2.4数据安全的测评

数据安全的测评主要就数据的完整性、保密性已及备份和恢复可靠性、时效性展开测评。水利科研院所数据量十分庞大,一般达到上百TB级数据量,一旦遭受攻击,恢复任务十分艰巨,因此备份区和应用区应该选用光纤直连的方式,避免电缆数据传输效率的瓶颈。日常情况下应做好备份计划,采用增量备份的方式实时对数据备份。

3.2.5物理安全测评

机房的物理安全测评主要是选址是否合理,机房大门防火防盗性能,机房的防雷击、防火、防水防潮防静电设施是否完好达标,温湿度控制、电力供应以及电磁防护是否符合规定等物理条件。

3.2.6安全管理测评

安全管理主要就制定的制度文档和记录文档展开评测。制度文档主要分为3类,流程管理,人员管理和设备管理。记录文档主要为制度文档的具体实施形式。在满足二级的条件下,一般需要制度文档有《信息安全管理办法》、《安全组织及职责管理规定》、《安全审核与检查管理制度》、《授权和审批管理规定》、《信息安全制度管理规范》、《内部人员安全管理规定》、《外部人员安全管理规定》、《系统设计和采购安全管理规定》、《系统实施安全管理规定》、《系统测试验收和交付安全管理规定》、《软件开发安全管理规定》、《系统运维和监控安全管理规定》、《网络安全管理规定》、《系统安全管理规定》、《账号密码管理规定》等基本规章制度。同时对管理制度本身进行也要规范管理,如版本控制,评审修订流程等。需要制定的记录文档有《机房出入登记记录》、《机房基础设施维护记录》、《各类评审和修订记录》、《人员考核、审查、培训记录》、《各项审批和批准执行记录》、《产品的测试选型测试结果记录》、《系统验收测试记录报告》、《介质归档查询等的等级记录》、《主机系统,网络,安全设备等的操作日志和维护记录》、《机房日常巡检记录》、《安全时间处理过程记录》、《应急预案培训,演练,审查记录》等。

4测评的方式方法

按照《基本要求》在等级测评中,对二级及二级以上的信息系统应进行工具测试。

4.1测试目的工具测试

是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,查看分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。工具测试种类繁多,这里特指适用于等保测评过程中的工具测试。利用工具测试不仅可以直接获得系统本身存在的漏洞,同时也可以通过不同的区域接入测试工具所得到的测试结果判断出不同区域之间的访问控制情况。利用工具测试并结合其他的核查手段能为测试结果提供客观准确的保障。

4.2测试流程

收集信息→规划接入点→编制《工具测试作业指导书》→现场测试→结果整理。收集信息主要是对网络设备、安全设备、主机设备型号、IP地址、操作系统以及网络拓扑结构等信息进行收集。规划接入点是保证不影响整个信息系统网络正常运行的前提下严格按照方案选定范围进行测试。接入点的规划随着网络结构,访问控制,主机位置等情况的不同而不同,但应该遵循以下规则。(1)由低级别系统向高级别系统探测。(2)同一系统同等重要程度功能区域之间要互相探测。(3)由外联接口向系统内部探测。(4)跨网络隔离设备(包括网络设备和安全设备)要分段探测。

4.3测试手段

利用漏洞扫描器、渗透测试工具集、协议分析仪、网络拓扑结构生成工具更能迅速可靠地找到系统的薄弱环节,为整改方案的编制提供依据。

5云计算与等级保护

近年来,随着水利科研院各自的云计算中心相继建立,云计算与以往的计算模式安全风险差异很大,面临的风险也更大,因为以往的系统多数为集中式管理范围较小,安全管理和设备资源是可控的,而云计算是分布式管理,是一个动态变化的计算环境,这种环境在某种意义上是无序的,这种虚拟动态的运行环境更不可控,传统的安全边界消失。同时,云计算在认证、授权、访问控制和数据保密这些方面这对于信息网络安全也提出了更高的要求。由云安全联盟和惠普公司列出了云计算面临的7宗罪(风险),说明云安全的状况变化非常快,现有的技术和管理体系并不完全适应于云计算的模式,如何结合自身特点制定出适合云计算的等级保护体系架构是今后研究的方向。

6结语

第12篇

今年以来,我院领导非常重视医院信息化建设工作,通过增加医院信息化建设资金投入,在全院员工的努力下,取得了一定的成绩,现总结如下:

一、主要成绩:

1、加强信息化建设,今年以来已投入资金余约250万元,进行了机房服务器、核心交换机及全院旧计算机、打印机的更新工作,已正常投入运行。目前正在进行医院信息系统升级和电子病历系统上线、调试和人员培训工作,下月初将进行汇集交换机、接入层交换机安装和全院的千兆网络改造、安装检验系统和中科美仑公司的影像系统,初步实现以电子病历为中心的医院信息化建设。

2、加强网络维护,保证全院信息系统和医保系统、农保系统,居民健康档案系统、妇幼信息系统、财务管理系统正常运行。移动公司已在我院安装了无线网络,基本实现全院的外网的无线网络覆盖。

3、加强医院信息系统安全等级保护工作,已安装防火墙、桌面管理软件,下月初将安装数据库安全审计系统,确保信息系统安全,防止信息泄密。

二、目前存在的问题:

1、我院目前正在进行医院信息系统升级和上电子病历系统,目前新旧系统都在运行,因数据库不相同,无法同时上传新旧系统的数据,可能造成上传数据不完整,要到8月底才能完成改成。

2、检验系统要下月才能安装,暂时不能上传检验检测结果。

三、下半年信息化建设工作计划:

1、下月初将进行全院的网络改造、安装检验系统和中科美仑公司的影像系统,初步实现以电子病历为中心的医院信息化建设。

2、下月初将安装数据库安全审计系统。

第13篇

十几年来,勤劳智慧的蓝盾人凭借高度民族使命感和责任感,自主研发出十个系列、近50个型号的产品,多项产品通过公安、保密、军队等权威主管部门的检测认证。

蓝盾拥有AAA级企业信用等级,在经营活动中始终坚持“诚信服务”,追求细致卓越,高效服务客户,以客户需求为导向,在发展过程中逐步形成了涵盖安全产品研发及销售、安全集成及安全服务的完整业务体系,形成了强大的综合服务能力。蓝盾已成为一家安全产品、安全服务、安全集成多业务齐头并进的综合性信息安全企业。

蓝盾建立了以广州营销总部为中心,以北京、上海、重庆为支点,辐射全国的营销和技术服务体系。作为华南地区信息安全第一品牌,蓝盾目前已拥有覆盖全国,涉及政府、电信、金融、军队、能源、交通、教育、流通、邮政、制造等行业的近千余家客户。蓝盾雄厚的实力和一流的服务为公司赢得了广大客户的高度赞誉。

1.安全产品

蓝盾拥有包括安全网关、安全审计、应用安全在内的三大类、十大系列、50多个品种的安全产品线,可基本满足客户在网络边界安全、安全审计与合规、应用安全等方面的信息安全需求。

2.安全集成

作为主营业务之一,蓝盾安全集成业务包括自有的和第三方的信息系统安全产品销售、基础信息系统建设、应用信息系统开发、信息系统运维服务、信息系统安全运营等。蓝盾已为政府、教育、金融、电力、医疗等行业的多家客户提供了信息安全系统整体解决方案。

有别于传统的系统集成业务,蓝盾安全集成业务以公司自有信息安全产品和业务整合为基础,以信息系统安全运营服务平台为基础结构,建立了覆盖产品研发、方案设计、销售和集成、工程实施、管网建设和运营服务的一整套信息系统安全运营业务支持体系,成功实现了从传统信息系统集成业务到以信息安全产品为基础、提供信息系统安全运营整体服务的战略跨越,从而确立了公司整体解决方案在信息安全市场中的领先地位。

3.安全服务

蓝盾提供的安全服务主要包括安全咨询与评估、专业化安全检测与防护、安全认证培训服务、安全运营及管理、安全技术支持等。经过多年积累,蓝盾已为上百家客户提供了专业化的服务,构建了覆盖不同行业客户及客户不同发展阶段的信息安全服务体系。

信息安全产品的研发、生产和销售是蓝盾业务体系的基础。它对信息安全集成及信息安全服务的发展起着至关重要的作用。安全产品业务能够有效促进公司安全集成与安全服务业务的实现和业务量的提升。安全集成与安全服务业务同时还会促进安全产品技术和应用水平的提升。随着技术实力和安全产品竞争力的提高,蓝盾提供整体解决方案的能力也在逐渐增强。在安全集成业务收入快速增长的同时,蓝盾自有安全产品的销售额也在快速增加。

技术创新 缔造优势

蓝盾始终以自主创新为发展原动力,以领先的技术研发抢占市场。经过多年的探索和积累,蓝盾已掌握了信息安全领域内的主要核心技术,并拥有该领域内近百项软件著作权。蓝盾目前掌握的主要技术处于国内领先地位,其中蓝盾DDoS防御网关采用的零积累智能识别技术达到了国际先进水平。

凭借领先的技术实力,蓝盾先后实施了包括公安部科技攻关项目在内的多项国家级、部级、省市区级的重点信息安全科研项目,并在公安部等部委制定服务器安全类产品和安全审计类产品行业技术标准的过程种发挥了重要作用。

此外,蓝盾还成功地为北京奥运会和残奥会提供了信息安全产品和服务,并因此获得了北京奥组委颁发的荣誉奖章。

专业资质 彰显实力

安全行业是国家强制性保护的行业,获得资质或许可的多少是衡量信息安全企业竞争实力的重要标准。

蓝盾具有技术优势及综合服务能力,已拥有商用密码产品销售许可证、军队网络采购信息资格认证、信息系统产品检测证书、军用信息安全产品认证证书、产品销售许可证、中国信息安全认证中心产品认证证书、广州市自主创新产品证书,并取得了计算机信息系统安全服务一级资质证书、计算机信息系统集成一级资质证书、计算机信息系统集成乙级证书、信息安全应急处理服务资质、信息安全风险评估服务资质等业务资质,还获得了包括信息安全产品、信息安全集成及信息安全服务在内的所有业务类别的较高级别资质和许可,是业内获得资质和许可最全的企业之一。

综合服务 铸就品牌

蓝盾的各业务模块能相互促进,共同发展,从而形成了较强的综合服务能力。

蓝盾的信息安全产品可满足客户在网络边界安全、安全审计与合规、应用安全等方面的信息安全需求,并能为客户设计和实施信息安全方面的整体解决方案,满足客户系统化、个性化的安全需求。

此外,蓝盾还可以为客户提供安全咨询与评估、安全检测与防护、安全认证培训服务等专业化的安全服务。蓝盾完整的业务体系及丰富的产品种类可满足不同行业客户的信息安全需求,增强公司的综合竞争力。

蓝盾建立了辐射全国的营销和技术服务体系,这为公司掌握信息安全领域的最新市场动态、及时响应客户需求提供了重要保证。

客户稳定 促进增长

信息安全行业的特殊性决定了下游客户对信息安全提供商存在一定的依赖性。随着社会各界对信息安全要求的逐步提高,下游客户在信息安全系统建设和升级的过程中会对安全产品、安全集成及安全服务产生交叉消费和重复消费。

因此,下游用户对信息安全领域的投入是持续性的。蓝盾现有的客户资源既是稳定的业务来源,也是宣传品牌、扩大影响力的最好载体,这有利于新市场及新客户的开拓,也为公司的持续盈利提供了重要保障。

精英汇聚 引领成功

第14篇

【关键词】信息系统 网络安全 评价指标

根据国家网络和信息系统的安全性要求,结合多年的网络管理经验,从以下五个指标对信息系统网络安全进行评价:

1.实体与环境安全

实体与环境指计算机设备及计算机网管人员工作的场所,这个场所内外的环境条件必须满足计算机设备和网管人员的要求。对于各种灾害、故障要采取充分的预防措施,万一发生灾害或故障,应能采取应急措施,将损失降到最低限度。可以从以下几个方面来检查:

(1)机房周围环境

机房是否建在电力、水源充足、自然环境清洁、通讯、交通运输方便的地方。

(2)机房周围100m内有无危险建筑

危险建筑:指易燃、易爆、有害气体等存在的场所,如加油站、煤气站、煤气管道等。

(3)有无监控系统

监控系统:指对系统运行的外围环境、操作环境实施监控(视)的设施,及时发现异常,可根据使用目的不同配备以下监视设备,如红外线传感器、监视摄像机等设备。

(4)有无防火、防水措施

防火:指机房内安装有火灾自动报警系统,或有适用于计算机机房的灭火器材,如卤代烷1211和1301自动消防系统或灭火器。

防水:指机房内无渗水、漏水现象,如机房上层有用水设施需加防水层,有暖气装置的机房沿机房地面周围应设排水沟,应注意对暖气管道定期检查和维修。是否装有漏水传感器。

(5)机房有无环境测控设施(温度、湿度和洁净度),如温湿度传感器

温度控制:指机房有空调设备,机房温度保持在18—24摄氏度。

湿度控制:指相对湿度保持在40%—60%。

洁净度控制:机房和设备应保持清洁、卫生,进出机房换鞋,机房门窗具有封闭性能。

(6)有无防雷措施(具有防雷装置,接地良好)

计算机机房是否符合GB 157《建筑防雷设计规范》中的防雷措施。

在雷电频繁区域,是否装设有浪涌电压吸收装置。

(7)有无备用电源和自备发电机

(8)是否使用UPS

UPS:(Uninterruptible Power System),即不间断电源,是一种含有储能装置,以逆变器为主要组成部分的恒压频的不间断电源。主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。

(9)是否有防静电措施(采用防静电地板,设备接地良好)

当采用地板下布线方式时,可铺设防静电活动地板。

当采用架空布线方式时,应采用静电耗散材料作为铺垫材料。

通信设备的静电地板、终端操作台地线应分别接到总地线母体汇流排上定期(如一周)对防静电设施进行维护和检验。

(10)是否保证持续供电

设备是否采用双路市电供电,提供冗余备份,并配有实时告警监控设备。是否与空调、照明用电分开,专线供电。

(11)是否有防盗措施

中心有人值班,出入口安装防盗安全门,窗户安装金属防护装置,机房装有无线电遥控防盗联网设施。

2.组织管理与安全制度

(1)有无专门的信息安全组织机构和专职的信息安全人员

信息安全组织机构的成立与信息安全人员的任命必须有有关单位的正式文件。

(2)有无健全的信息安全管理的规章制度

是否有健全的规章制度,而且规章制度上墙;是否严格执行各项规章制度和操作规程,有无违章操作的情况。

(3)是否有信息安全人员的配备,调离有严格的管理制度

(4)设备与数据管理制度是否完备

设备实行包干管理负责制,每台设备都应有专人负责保管(包括说明书及有关附件);在使用设备前,应掌握操作规程,阅读有关手册,经培训合格后方可进行相关操作;禁止在计算上运行与业务无关的程序,未经批准,不得变更操作系统和网络设置,不得任意加装设备。

(5)是否有登记建档制度

登记建档是做好网络安全工作的前提,一些技术资料对网络安全工作很重要,要注意收集和保存。可从以下几个方面检查相关文档:

策略文档(如,法规文件、指示)、系统文档(如,系统用指南、系统管理员手册、系统设计和需求文档、采购文档)、及安全相关的文档(如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略)都可提供系统使用的或计划的安全控制方面的信息。任务影响分析或资产重要性评估可提供有关系统和数据重要性及敏感性的信息。

设计资料,如网络拓扑结构图,综合布线结构图等。

安装资料,包括安装竣工及验收的技术文件和资料。

设备升级维修记录等。

(6)是否有紧急事故处理预案

为减少计算机系统故障的影响,尽快恢复系统,应制定故障的应急措施和恢复规程以及自然灾害时的措施,制成手册,以备参考。

(7)是否有完整的信息安全培训计划和培训制度

开展网络安全教育是为了使所有人员了解网络安全的基本常识及网络安全的重要性,要坚持经常的、多样化的安全教育工作,广播、图片、标语、报告培训班都是可以采用的宣传教育方式。

(8)各类人员的安全职责是否明确,能否胜任网络安全管理工作

应对网络管理人员严格分工,使其职责分明,要对网络管理人员定期进行安全培训及考核,对关键岗位人员,应该持有相应的认证。

3.安全技术措施

(1)是否有灾难恢复的技术对策

是否为网络中断和灾难做好准备,以及如何快速反应将中断和损失降至最小。灾难恢复措施包括灾难预防制度、灾难演习制度及灾难恢复制度。

(2)是否有系统安全审计功能

安全审计功能主要是监控来自网络内部和外部的用户活动,侦察系统中存在现有和潜在的威胁,对与安全有关的活动的相关信息进行识别,记录,存储和分析,安全审计系统往往对突发事件进行报警和响应。

(3)是否有系统操作日志

系统操作日志:指每天开、关机,设备运行状况等文字记录。

(4)是否有服务器备份措施

服务器数据备份是预防灾难的必要手段。随着对网络应用的依赖性越来越强和网络数据量的日益增加,企业对数据备份的要求也在不断提高。许多数据密集型的网络,重要数据往往存储在多个网络节点上,除了对中心服务器备份之外,还需要对其他服务器或工作站进行备份,有的甚至要对整个网络进行数据备份,即全网备份。网络备份需要专业备份软件,Backup Exec就是其中的一种,是为中小企业提供的基于Windows平台的网络备份与恢复解决方案。

(5)是否有防黑客入侵设施

防黑客入侵设施主要是设置防火墙和入侵检测等设施。

防火墙是为了监测并过滤所有内部网与外部网之间的信息交换,保护着内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关状态信息日志。防火墙有三种类型,包括过滤防火墙、型防火墙和状态监测型防火墙。

入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。它通过对计算机网络或计算机系统中若干关键点收集信息并对其分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

(6)是否有计算机病毒防范措施

计算机病毒防范措施:备有病毒预防及消除的软、硬件产品,并能定期的升级。设置客户端级防护、邮件服务器级防护和应用服务器级防护。

4.网络与通信安全

(1)放置通信设施的场所是否设有醒目标志

从安全防范的角度考虑,安装有关通信设备的地方不应加标志。配线架或MODEM柜应加锁,禁止无关人员入内。

(2)重要通信线路及通信控制装置是否均有备份

重要的通信线双重化以及线路故障时采用DDN通信线或电话线ISDN等后备功能;从计算中心连出的重要通信线路应采用不同路径备份方式。

(3)是否采取加密措施

数据加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变只有授权接收者才能还原并阅读的编码。其过程就是取得原始信息并用发送者和接收者都知道的一种特殊信息来制作编码信息形成密文。

(4)系统运行状态有无安全审计跟踪措施

安全审计是模拟社会检察机构在计算机系统中监视、记录和控制用户活动的一种机制。它是影响系统安全的访问和访问企图留下线索,以便事后分析和追查,其目标是检测和判定对系统的恶意攻击和误操作,对用户的非法活动起到威慑作用,为系统提供进一步的安全可靠性。

(5)网络与信息系统是否加有访问控制措施

访问控制措施:指能根据工作性质和级别高低,划分系统用户的访问权限。对用户进行分组管理,并且应该是针对安全性问题而考虑的分组。

5.软件与信息安全

(1)操作系统及数据库是否有访问控制措施

把整个系统的用户根据需要分为不同级别;不同级别的用户享有对系统的文件、数据、网络、进程等资源的权限,并进行记费管理;还可根据不同的用户设置不同的安全策略,将超级用户的权限细化(可分为系统管理员、安全管理员、数据库管理员、用户管理员等)。

(2)应用软件是否有防破坏措施

对应用程序安全的考虑可以遵循如下的方向:对通用应用,如消息传递、文件保护、软硬件交付等,制定通用技术要求;对于特定的复杂应用,可分解为通用应用,同时考虑互操作性问题。一般来讲,应用程序的安全机制应该包括以下内容:身份标识与鉴别、数据保密性、数据完整性、数据可用性、配置管理等。

(3)对数据库及系统状态有无监控设施

可以使用系统安全检测工具来定期扫描系统,查看系统是否存在各种各样的漏洞。

(4)是否有用户身份识别措施

身份认证与数字签名策略,身份认证是证明某人或某物身份的过程,当用户之间建立连接时,为了防止非法连接或被欺骗,就可实施身份确认,以确保只有合法身份的用户才能与之建立连接。

(5)系统用户信息是否采用备份

第15篇

关键词:消防;通信;信息安全

中图分类号:TP393.08

全国消防计算机通信网络以公安信息网为依托,由消防信息网和指挥调度网构成,分别形成三级网络结构。消防信息网是各级消防部门的日常办公网络,作为消防业务传输网;指挥调度网主要用于部局、总队、支队、大队(中队)等单位的视频会议、远程视频监控、灭火救援指挥调度系统应用等业务,作为消防指挥调度专用传输网。随着网络规模的不断扩大,来自内部网络的威胁也日渐增多,必须利用信息安全基础设施和信息系统防护手段,构建与基础网络相适应的信息安全保障体系。

1 计算机网络安全防护措施

计算机网络安全防护措施主要有防火墙、入侵防护、病毒防护、攻击防护、入侵检测、网络审计和统一威胁管理系统等几项(如下图)。

1.1 防火墙。防火墙主要部署在网络边界,可以实现安全的访问控制与边界隔离,防范攻击行为。防火墙的规则库定义了源IP地址、目的IP地址、源端口和目的端口,一般攻击通常会有很多征兆,可以及时将这些征兆加入规则库中。目前网上部署的防火墙主要是网络层防火墙,可实时在各受信级网络间执行网络安全策略,且具备包过滤、网络地址转换、状态性协议检测、VPN等技术。

1.2 入侵防御系统(Intrusion Prevention System,IPS)。IPS串接在防火墙后面,在防火墙进行访问控制,保证了访问的合法性之后,IPS动态的进行入侵行为的保护,对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。防火墙降低了恶意流量进出网络的可能性,并能确保只有与协议一致的流量才能通过防火墙。如果恶意流量伪装成正常的流量,并且与协议的行为一致,这样的情况,IPS设备能够在关键点上对网络和主机进行监视并防御,以防止恶意行为。

1.3 防病毒网关。防病毒网关部署在病毒风险最高、最接近病毒发生源的安全边界处,如内网终端区和防火墙与路由器之间,可以对进站或进入安全区的数据进行病毒扫描,把病毒完全拦截在网络的外部,以减少病毒渗入内网后造成的危害。为使得达到最佳防毒效果,防病毒网关设备和桌面防病毒软件应为不同的厂家产品。网络版杀毒软件的病毒扫描和处理方式主要是通过客户端杀毒,通过企业版防毒软件统一对已经进入内部网络的病毒进行处理。

1.4 网络安全审计系统。网络安全审计系统作为一个完整安全框架中的一个必要环节,作为对防火墙系统和入侵防御系统的一个补充,其功能:首先它能够检测出某些特殊的IPS无法检测的入侵行为(比如时间跨度很大的长期攻击特征);其次它可以对入侵行为进行记录、报警和阻断等,并可以在任何时间对其进行再现以达到取证的目的;最后它可以用来提取一些未知的或者未被发现的入侵行为模式等。网络安全审计系统与防火墙、入侵检测的区别主要是对网络的应用层内容进行审计与分析。

1.5 统一威胁管理系统(UTM)。UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。UTM设备具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。虽然UTM集成了多种功能,但却不一定会同时开启。根据不同用户的不同需求以及不同的网络规模,UTM产品分为不同的级别。UTM部署在安全域边界上,可以根据保护对象所需的安全防护措施,灵活的开启防火墙、IPS、防病毒、内容过滤等防护模块,实现按需防护、深度防护的建设目标。采用UTM设备来构成本方案的核心产品,可有效节约建设资金,又能达到更好的防护效果。

2 消防指挥网络安全设备部署

市级消防指挥网络是市支队与各区(县)大队或中队之间部署的专网,规模相对较小,主要用途为视频会议、远程视频监控、接处警终端和灭火救援指挥调度应用系统等业务,可按需选择部署防火墙、入侵防护系统、防病毒网关、统一威胁管理系统、入侵检测系统、网络安全审计七类设备。(如图)

2.1 计算机安全防护软件:在网内计算机终端统一安装防病毒软件、终端安全软件、一机两用监控软件。补丁分发管理系统和终端漏洞扫描系统统一由省级指挥中心部署,用来管理市级指挥调度网内计算机。这样,可以防止安全风险扩散,保障由终端、服务器及应用系统等构成的计算环境的安全。

2.2 指挥调度网安全边界:在市级指挥调度网与省级指挥调度网联网边界部署统一威胁管理系统(UTM),开启防火墙、入侵防护、网关防病毒、VPN等功能模块,在专网安全边界对各种风险统一防护。在核心交换机上部署网络审计系统对内网中的网络通信进行记录和分析,及时发现可能存在的网络事件。

2.3 内网终端区:内网终端区主要有计算机接处警终端、视频会议终端、视频监控终端等,操作应用人员比较复杂,随意使用移动存储设备的可能性大,在内网终端区安全边界区部署一台防病毒网关进行病毒过滤,防止病毒向其他区域扩散。

2.4 核心业务处理区:主要包括灭火救援指挥调度相关的业务系统、综合统计分析、综合报表管理等业务系统。部署一台防火墙对核心业务处理区进行访问控制,阻断对安全区内的业务服务的非法访问;再部署一台IPS,实时发现并阻断针对核心业务处理区的入侵和攻击行为。

2.5 指挥中心边界:部署一台防火墙对支队指挥中心与上级指挥中心之间的业务访问进行访问控制和攻击防御。

2.6 内网管理区:区中主要有各类管理服务器,用于集中进行安全策略的定制、下发、集中监控各类系统的运行状态。主要包括设备管理、终端管理、防病毒管理等。

如果市级指挥中心规模较小,可以将核心业务处理区、内网管理区和指挥中心区合并为同一个安全域,共同部署一台IPS和防火墙。

3 总结

总之,网络安全是一项综合性的课题,它涉及技术、管理、应用等许多方面,既包括信息系统本身的安全问题,又有网络防护的技术措施。我们必须综合考虑安全因素,在采用各种安全技术控制措施的同时,制定层次化的安全策略,完善安全管理组织机构和人员配备,才能有效地实现网络信息的相对安全。

参考文献:

[1]杨义先,任金强.信息安全新技术[M].北京:北京邮电大学出版社,2002.

[2]公安部.信息安全等级保护培训教材[M].2007.

扩展阅读
推荐期刊
精品推荐