審計(jì)信息安全管理精選(五篇)

序言：作為思想的載體和知識(shí)的探索者，寫(xiě)作是一種獨(dú)特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇審計(jì)信息安全管理，期待它們能激發(fā)您的靈感。

篇1

關(guān)鍵詞：網(wǎng)絡(luò)審計(jì)　歷史財(cái)務(wù)報(bào)表審計(jì)　信息安全管理　風(fēng)險(xiǎn)評(píng)估

一、引言

從審計(jì)的角度，風(fēng)險(xiǎn)評(píng)估是現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的核心理念。無(wú)論是在歷史財(cái)務(wù)報(bào)表審計(jì)還是在網(wǎng)絡(luò)審計(jì)中，現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)均要求審計(jì)師在執(zhí)行審計(jì)工作過(guò)程中應(yīng)以風(fēng)險(xiǎn)評(píng)估為中心，通過(guò)對(duì)被審計(jì)單位及其環(huán)境的了解，評(píng)估確定被審計(jì)單位的高風(fēng)險(xiǎn)領(lǐng)域，從而確定審計(jì)的范圍和重點(diǎn)，進(jìn)一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù)，以便更有效地控制和提高審計(jì)效果及審計(jì)效率。從企業(yè)管理的角度，企業(yè)風(fēng)險(xiǎn)管理將風(fēng)險(xiǎn)評(píng)估作為其基本的要素之一進(jìn)行規(guī)范，要求企業(yè)在識(shí)別和評(píng)估風(fēng)險(xiǎn)可能對(duì)企業(yè)產(chǎn)生影響的基礎(chǔ)上，采取積極的措施來(lái)控制風(fēng)險(xiǎn)，降低風(fēng)險(xiǎn)為企業(yè)帶來(lái)?yè)p失的概率或縮小損失程度來(lái)達(dá)到控制目的。信息安全風(fēng)險(xiǎn)評(píng)估作為企業(yè)風(fēng)險(xiǎn)管理的一部分，是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此，風(fēng)險(xiǎn)評(píng)估在網(wǎng)絡(luò)審計(jì)、歷史財(cái)務(wù)報(bào)表審計(jì)和企業(yè)信息安全管理等工作中的運(yùn)用卻不盡相同，本文在分析計(jì)算機(jī)信息系統(tǒng)環(huán)境下所有特定風(fēng)險(xiǎn)和網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)基本要素的基礎(chǔ)上，從風(fēng)險(xiǎn)評(píng)估中應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍、風(fēng)險(xiǎn)評(píng)估的目的、內(nèi)容、程序及實(shí)施流程等內(nèi)容展開(kāi)，將網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)和信息安全管理的風(fēng)險(xiǎn)評(píng)估進(jìn)行對(duì)比分析，以期深化對(duì)網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估的理解。

二、網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估比較

(一)審計(jì)風(fēng)險(xiǎn)要素根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的第47號(hào)審計(jì)標(biāo)準(zhǔn)說(shuō)明中的審計(jì)風(fēng)險(xiǎn)模型，審計(jì)風(fēng)險(xiǎn)又由固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)構(gòu)成。其中，固有風(fēng)險(xiǎn)是指不考慮被審計(jì)單位相關(guān)的內(nèi)部控制政策或程序的情況下，其財(cái)務(wù)報(bào)表某項(xiàng)認(rèn)定產(chǎn)生重大錯(cuò)報(bào)的可能性；控制風(fēng)險(xiǎn)是被審計(jì)單位內(nèi)部控制未能及時(shí)防止或發(fā)現(xiàn)財(cái)務(wù)報(bào)表上某項(xiàng)錯(cuò)報(bào)或漏報(bào)的可能性；檢查風(fēng)險(xiǎn)是審計(jì)人員通過(guò)預(yù)定的審計(jì)程序未能發(fā)現(xiàn)被審計(jì)單位財(cái)務(wù)報(bào)表上存在重大錯(cuò)報(bào)或漏報(bào)的可能性。在網(wǎng)絡(luò)審計(jì)中，審計(jì)風(fēng)險(xiǎn)仍然包括固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)要素，但其具體內(nèi)容直接受計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險(xiǎn)的影響。計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營(yíng)活動(dòng)的效率，為企業(yè)的經(jīng)營(yíng)管理帶來(lái)很大的優(yōu)越性，但同時(shí)也為企業(yè)帶來(lái)了一些新的風(fēng)險(xiǎn)。這些新的風(fēng)險(xiǎn)主要表現(xiàn)為：(1)數(shù)據(jù)與職責(zé)過(guò)于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計(jì)算機(jī)系統(tǒng)自動(dòng)處理過(guò)程中去了，這些集中的數(shù)據(jù)庫(kù)技術(shù)無(wú)疑會(huì)增加數(shù)據(jù)縱和破壞的風(fēng)險(xiǎn)。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計(jì)算機(jī)系統(tǒng)有較高的技術(shù)要求，非專(zhuān)業(yè)人員難以察覺(jué)計(jì)算機(jī)舞弊的線索，這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過(guò)批準(zhǔn)的系統(tǒng)使用人員濫用系統(tǒng)，或者說(shuō)，企業(yè)對(duì)接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯(cuò)誤程序的風(fēng)險(xiǎn)，例如程序中的差錯(cuò)反復(fù)和差錯(cuò)級(jí)聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯(cuò)誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計(jì)接口，使得審計(jì)人員在審計(jì)工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù)，從而無(wú)法正常開(kāi)展審計(jì)工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險(xiǎn)，如計(jì)算機(jī)信息系統(tǒng)所依賴(lài)的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障，或者信息系統(tǒng)所依賴(lài)的物理工作環(huán)境可能對(duì)整個(gè)信息系統(tǒng)的運(yùn)行效能帶來(lái)影響等。相對(duì)應(yīng)地，網(wǎng)絡(luò)審計(jì)的固有風(fēng)險(xiǎn)主要是指系統(tǒng)環(huán)境風(fēng)險(xiǎn)，即財(cái)務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險(xiǎn)，它可分為硬件環(huán)境風(fēng)險(xiǎn)和軟件環(huán)境風(fēng)險(xiǎn)?？刂骑L(fēng)險(xiǎn)包括系統(tǒng)控制風(fēng)險(xiǎn)和財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)，其中，系統(tǒng)控制風(fēng)險(xiǎn)是指會(huì)計(jì)電算化系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險(xiǎn)，財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)是指電磁性財(cái)務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險(xiǎn)包括審計(jì)軟件風(fēng)險(xiǎn)和人員操作風(fēng)險(xiǎn)，審計(jì)軟件風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)軟件本身缺陷原因造成的風(fēng)險(xiǎn)，人員操作風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)系統(tǒng)的操作人員、技術(shù)人員和開(kāi)發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險(xiǎn)。

(二)風(fēng)險(xiǎn)評(píng)估目的無(wú)論在網(wǎng)絡(luò)審計(jì)還是歷史財(cái)務(wù)報(bào)表審計(jì)中，風(fēng)險(xiǎn)評(píng)估只是審計(jì)的一項(xiàng)重要程序，貫穿于審計(jì)的整個(gè)過(guò)程。與其他審計(jì)程序緊密聯(lián)系而不是一項(xiàng)獨(dú)立的活動(dòng)。盡管如此，兩者所關(guān)注的風(fēng)險(xiǎn)范圍則有所不同。歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估要求審計(jì)人員主要關(guān)注的是被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)――財(cái)務(wù)報(bào)表在審計(jì)前存在重大錯(cuò)報(bào)的可能性。由于網(wǎng)絡(luò)審計(jì)的審計(jì)對(duì)象包括被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息和網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)兩類(lèi)，因此審計(jì)人員關(guān)注的風(fēng)險(xiǎn)應(yīng)是被審計(jì)單位經(jīng)營(yíng)過(guò)程中與該兩類(lèi)審計(jì)對(duì)象相關(guān)的風(fēng)險(xiǎn)。(1)對(duì)于與企業(yè)網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)，審計(jì)人員應(yīng)該從信息系統(tǒng)生命周期的各個(gè)階段和信息系統(tǒng)的各組成部分及運(yùn)行環(huán)境兩方面出發(fā)進(jìn)行評(píng)估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進(jìn)入維護(hù)的各個(gè)階段及其活動(dòng)，無(wú)論是在早期的線性開(kāi)發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中，一個(gè)信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動(dòng)、設(shè)計(jì)開(kāi)發(fā)或采購(gòu)、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄等五個(gè)基本階段。由于信息系統(tǒng)在不同階段的活動(dòng)內(nèi)容不同，企業(yè)在不同階段的控制目標(biāo)和控制行為也會(huì)有所不同，因此，審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)該貫穿于信息系統(tǒng)的整個(gè)生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等，信息系統(tǒng)的運(yùn)行環(huán)境是指信息系統(tǒng)正常運(yùn)行使用所依托的物理和管理平臺(tái)。具體可將其分為五個(gè)層面：物理層，即信息系統(tǒng)運(yùn)行所必備的機(jī)房、設(shè)備、辦公場(chǎng)所、系統(tǒng)線路及相關(guān)環(huán)境；網(wǎng)絡(luò)層，即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等；系統(tǒng)層，即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況；應(yīng)用層，即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況；管理層，即被審計(jì)單位在該信息系統(tǒng)的運(yùn)行使用過(guò)程中的組織、策略、技術(shù)管理等方面的情況。(2)對(duì)于與企業(yè)基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn)，審計(jì)人員應(yīng)著重關(guān)注財(cái)務(wù)信息的重大錯(cuò)報(bào)風(fēng)險(xiǎn)和信息的安全風(fēng)險(xiǎn)。重大錯(cuò)報(bào)風(fēng)險(xiǎn)主要指被審計(jì)單位基于網(wǎng)絡(luò)的相關(guān)財(cái)務(wù)信息存在重大錯(cuò)報(bào)的可能性，它是針對(duì)企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對(duì)有關(guān)賬戶(hù)、交易或事項(xiàng)進(jìn)行確認(rèn)、計(jì)量或披露而言。網(wǎng)絡(luò)審計(jì)中關(guān)注的重大錯(cuò)報(bào)風(fēng)險(xiǎn)與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的，審計(jì)人員在審計(jì)時(shí)應(yīng)當(dāng)考慮被審計(jì)單位的行業(yè)狀況、經(jīng)營(yíng)性質(zhì)、法律及監(jiān)管環(huán)境、會(huì)計(jì)政策和會(huì)計(jì)方法的選用、財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)等方面的情況對(duì)財(cái)務(wù)信息錯(cuò)報(bào)可能的影響。信息安全風(fēng)險(xiǎn)涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險(xiǎn)，主要針對(duì)企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺(tái)來(lái)存儲(chǔ)、傳輸、披露相關(guān)財(cái)務(wù)信息而言。在審計(jì)過(guò)程中，審eta員應(yīng)當(dāng)主要關(guān)注相關(guān)財(cái)務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當(dāng)然，這兩類(lèi)風(fēng)險(xiǎn)并非完全分離的，評(píng)估時(shí)審計(jì)人員應(yīng)將兩者結(jié)合起來(lái)考慮。

(三)風(fēng)險(xiǎn)評(píng)估內(nèi)容　廣泛意義的風(fēng)險(xiǎn)評(píng)估是指考慮潛在事件對(duì)目標(biāo)實(shí)現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)風(fēng)險(xiǎn)評(píng)估的目的并不完全相同，因此兩者在風(fēng)險(xiǎn)評(píng)估的內(nèi)容上也是存在區(qū)別的?？偟膩?lái)說(shuō)，網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容比歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容更廣泛和深入。根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)――了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)

險(xiǎn)》，在歷史財(cái)務(wù)報(bào)表審計(jì)中，審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)以了解被審計(jì)單位及其環(huán)境為內(nèi)容。為識(shí)別和評(píng)價(jià)重大錯(cuò)報(bào)風(fēng)險(xiǎn)，審計(jì)人員了解的具體內(nèi)容包括被審計(jì)單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計(jì)單位的性質(zhì)、被審計(jì)單位對(duì)會(huì)計(jì)政策的選擇和運(yùn)用、被審計(jì)單位的目標(biāo)、戰(zhàn)略以及相關(guān)經(jīng)營(yíng)風(fēng)險(xiǎn)、被審計(jì)單位財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計(jì)中。為了識(shí)別和評(píng)估上文所述的兩類(lèi)風(fēng)險(xiǎn)，審計(jì)人員除了從以上方面了解被審計(jì)單位及其環(huán)境外，還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響，尤其是企業(yè)的財(cái)務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面l臨的威脅或存在的脆弱點(diǎn)。其中，威脅是指對(duì)信息系統(tǒng)及財(cái)務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件，它可能是一些如工作人員缺乏責(zé)任心、專(zhuān)業(yè)技能不足或惡意篡改等人為因素，也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點(diǎn)是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息所存在的薄弱環(huán)節(jié)，它是系統(tǒng)或網(wǎng)絡(luò)財(cái)務(wù)信息本身固有的，包括物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬軟件及信息等各方面的弱點(diǎn)。一般來(lái)說(shuō)，脆弱點(diǎn)本身不會(huì)帶來(lái)?yè)p失或信息錯(cuò)報(bào)，威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點(diǎn)來(lái)成功地引起破壞。因此，我們認(rèn)為網(wǎng)絡(luò)審計(jì)申風(fēng)險(xiǎn)評(píng)估的內(nèi)容應(yīng)包括以下幾方面：(1)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面臨的威脅，并分析威脅發(fā)生的可能性；(2)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的脆弱點(diǎn)，并分析脆弱點(diǎn)的嚴(yán)重程度；(3)根據(jù)威脅發(fā)生的可能性和脆弱點(diǎn)發(fā)生的嚴(yán)重程度，判斷風(fēng)險(xiǎn)發(fā)生的可能性；(4)根據(jù)風(fēng)險(xiǎn)發(fā)生的可能性，評(píng)價(jià)風(fēng)險(xiǎn)對(duì)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能帶來(lái)的影響；(5)若被審計(jì)單位存在風(fēng)險(xiǎn)防范或化解措施，審計(jì)人員在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)還應(yīng)該考慮相應(yīng)措施的可行性及有效性。

(四)風(fēng)險(xiǎn)評(píng)估程序《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211-----了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》中要求，審計(jì)人員應(yīng)當(dāng)實(shí)施詢(xún)問(wèn)、分析程序、觀察和檢查等程序，以獲取被審計(jì)單位的信息，進(jìn)而評(píng)估被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)。這些程序同樣適用于網(wǎng)絡(luò)審計(jì)中的風(fēng)險(xiǎn)評(píng)估。但在具體運(yùn)用時(shí)網(wǎng)絡(luò)審計(jì)中更加注重了解和分析被審計(jì)單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項(xiàng)。在實(shí)施詢(xún)問(wèn)程序時(shí)，審計(jì)人員的詢(xún)問(wèn)對(duì)象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可大致分為管理人員、系統(tǒng)開(kāi)發(fā)和維護(hù)人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問(wèn)及其他外部相關(guān)人員(如律師)等五類(lèi)，分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的威脅和脆弱點(diǎn)。在實(shí)施分析程序時(shí)，除了研究財(cái)務(wù)數(shù)據(jù)及與財(cái)務(wù)信息相關(guān)的非財(cái)務(wù)數(shù)據(jù)可能的異常趨勢(shì)外，審計(jì)人員應(yīng)格外關(guān)注對(duì)信息系統(tǒng)及網(wǎng)絡(luò)的特性情況，被審計(jì)單位對(duì)信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實(shí)施觀察和檢查時(shí)，除執(zhí)行常規(guī)程序外，審計(jì)人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外，針對(duì)特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險(xiǎn)的評(píng)估，審計(jì)人員還需要實(shí)施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測(cè)試、工具掃描、安全策略分析等；管理方面如風(fēng)險(xiǎn)問(wèn)卷調(diào)查、風(fēng)險(xiǎn)顧問(wèn)訪談、風(fēng)險(xiǎn)策略分析、文檔審核等。其中，IDS取樣分析是指通過(guò)在核心網(wǎng)絡(luò)采樣監(jiān)聽(tīng)通信數(shù)據(jù)方式，獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲(chóng)行為，并對(duì)通信流量進(jìn)行分析；滲透測(cè)試是指在獲取用戶(hù)授權(quán)后，通過(guò)真實(shí)模擬黑客使用的工具、方法來(lái)進(jìn)行實(shí)際漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法；工具掃描是指通過(guò)評(píng)估工具軟件或?qū)Ｓ冒踩u(píng)估系統(tǒng)自動(dòng)獲取評(píng)估對(duì)象的脆弱性信息，包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫(kù)掃描等，用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見(jiàn)漏洞。風(fēng)險(xiǎn)問(wèn)卷調(diào)查與風(fēng)險(xiǎn)顧問(wèn)訪談要求審計(jì)人員分別采用問(wèn)卷和面談的方式向有關(guān)主體了解被審計(jì)單位的風(fēng)險(xiǎn)狀況，使用時(shí)關(guān)鍵是要明確問(wèn)卷或訪談的對(duì)象情況風(fēng)險(xiǎn)策略分析要求審計(jì)人員對(duì)企業(yè)所設(shè)定的風(fēng)險(xiǎn)管理和應(yīng)對(duì)策略的有效性進(jìn)行分析，進(jìn)而評(píng)價(jià)企業(yè)相關(guān)風(fēng)險(xiǎn)發(fā)生的概率以及可能帶來(lái)的損失；文檔審核是一種事前評(píng)價(jià)方法，屬于前置軟件測(cè)試的一部分，主要包括需求文檔測(cè)試和設(shè)計(jì)文檔測(cè)試。這些特定程序主要是針對(duì)被審計(jì)單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面進(jìn)行評(píng)價(jià)，審計(jì)人員在具體使用時(shí)應(yīng)結(jié)合被審計(jì)單位的業(yè)務(wù)性質(zhì)選擇合適的程序。

三、網(wǎng)絡(luò)審計(jì)與信息安全管理的風(fēng)險(xiǎn)評(píng)估比較

(一)風(fēng)險(xiǎn)評(píng)估的目的信息安全管理中的風(fēng)險(xiǎn)評(píng)估(即信息安全風(fēng)險(xiǎn)評(píng)估)是指根據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程。作為信息安全保障體系建立過(guò)程中的重要的評(píng)價(jià)方法和決策機(jī)制，信息安全風(fēng)險(xiǎn)評(píng)估是企業(yè)管理的組成部分，它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征，其主要目的在于從企業(yè)內(nèi)部風(fēng)險(xiǎn)管理的角度，在系統(tǒng)分析和評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及帶來(lái)的損失的基礎(chǔ)上，提出有針對(duì)性的防護(hù)和整改措施，將企業(yè)面臨或遭遇的風(fēng)險(xiǎn)控制在可接受水平，最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計(jì)是由獨(dú)立審計(jì)人員向企業(yè)提供的一項(xiàng)鑒證服務(wù)，其風(fēng)險(xiǎn)評(píng)估的目的在于識(shí)別和評(píng)價(jià)潛在事件對(duì)被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度，從而指導(dǎo)進(jìn)一步審計(jì)程序。因此，兩者風(fēng)險(xiǎn)評(píng)估的目的是不一樣。從評(píng)估所應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍來(lái)看，兩者具有一致性，即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險(xiǎn)。但是，具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險(xiǎn)評(píng)估要評(píng)估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響，它要求評(píng)估人員關(guān)注與企業(yè)整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn)，包括實(shí)體安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)、軟件安全風(fēng)險(xiǎn)、運(yùn)行安全風(fēng)險(xiǎn)等。網(wǎng)絡(luò)審計(jì)中，審計(jì)人員是對(duì)被審計(jì)單位的網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息發(fā)表意見(jiàn)，因此，風(fēng)險(xiǎn)評(píng)估時(shí)審計(jì)人員主要關(guān)注的是與企業(yè)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn)，而不是與企業(yè)的整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn)。根據(jù)評(píng)估實(shí)施者的不同，信息安全風(fēng)險(xiǎn)評(píng)估形式包括自評(píng)估和他評(píng)估。自評(píng)估是由組織自身對(duì)所擁有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)；他評(píng)估通常是由組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的具有強(qiáng)制意味的檢查。自評(píng)估和他評(píng)估都可以通過(guò)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)進(jìn)行咨詢(xún)、服務(wù)、培訓(xùn)以及風(fēng)險(xiǎn)評(píng)估有關(guān)工具的提供。因此。對(duì)審計(jì)人員而言，受托執(zhí)行的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)歸屬于管理咨詢(xún)類(lèi)，即屬于非鑒證業(yè)務(wù)，與網(wǎng)絡(luò)審計(jì)嚴(yán)格區(qū)分開(kāi)來(lái)。

(二)風(fēng)險(xiǎn)評(píng)估的內(nèi)容在我國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局的《信息安全風(fēng)險(xiǎn)評(píng)估指南》(征求意見(jiàn)稿)國(guó)家標(biāo)準(zhǔn)中，它將信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容分為兩部分：基本要素和相關(guān)屬性，提出信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)圍繞其基本要素展開(kāi)，并充分考慮與這些基本要素相關(guān)的其他屬性。其中，風(fēng)險(xiǎn)評(píng)估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險(xiǎn)和安全措施；相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等。在此基礎(chǔ)上的風(fēng)險(xiǎn)計(jì)算過(guò)程是：(1)對(duì)信息資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)賦值；(2)對(duì)威脅進(jìn)行分析，并對(duì)威

脅發(fā)生的可能性賦值；(3)識(shí)別信息資產(chǎn)的脆弱性，并對(duì)弱點(diǎn)的嚴(yán)重程度賦值；(4)根據(jù)威脅和脆弱性計(jì)算安全事件發(fā)生的可能性；(5)根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失；(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。結(jié)合上文網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估五個(gè)方面的內(nèi)容可以看出，網(wǎng)絡(luò)審計(jì)和信息安全風(fēng)險(xiǎn)評(píng)估在內(nèi)容上有相近之處，即都需要針對(duì)信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點(diǎn)進(jìn)行識(shí)別。但是，信息安全管理作為企業(yè)的一項(xiàng)內(nèi)部管理，其風(fēng)險(xiǎn)評(píng)估工作需要從兩個(gè)層次展開(kāi)：一是評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及其影響；二是提出防護(hù)或整改措施以控制風(fēng)險(xiǎn)。第一個(gè)層次的工作實(shí)質(zhì)上是為第二層次工作服務(wù)的，其重點(diǎn)在第二層次?！缎畔踩L(fēng)險(xiǎn)評(píng)估指南》(征求意見(jiàn)稿)提出，企業(yè)在確定出風(fēng)險(xiǎn)水平后，應(yīng)對(duì)不可接受的風(fēng)險(xiǎn)選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧?，并形成風(fēng)險(xiǎn)處理計(jì)劃。其中，風(fēng)險(xiǎn)處理的方式包括回避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)，而控制措施的選擇應(yīng)兼顧管理和技術(shù)，考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì)，并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡。網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估工作主要集中在第一個(gè)層次，即審計(jì)人員通過(guò)風(fēng)險(xiǎn)評(píng)估，為進(jìn)一步審計(jì)中做出合理的職業(yè)判斷、有效地實(shí)施網(wǎng)絡(luò)審計(jì)程序和實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)目標(biāo)提供重要基礎(chǔ)。因此，兩者的評(píng)估內(nèi)容是存在區(qū)別的。

篇2

［關(guān)鍵詞］ 大壩安全監(jiān)測(cè)； 設(shè)備； 選型

1工程概況

新立城水庫(kù)位于吉林省伊通河中上游，距長(zhǎng)春市區(qū)16km，控制流域面積1 970平方公里，總庫(kù)容5．92億立方米，是一座以防洪、供水為主的大型水庫(kù)。水庫(kù)按百年一遇洪水設(shè)計(jì)，按可能最大洪水校核。樞紐工程包括大壩、輸水洞和溢洪道等主要建筑物。

2大壩滲流監(jiān)測(cè)系統(tǒng)建設(shè)必要性

雖然新立城水庫(kù)大壩現(xiàn)有安全監(jiān)測(cè)設(shè)施對(duì)揭示水庫(kù)存在的問(wèn)題和保證大壩安全運(yùn)行發(fā)揮了重要作用，但監(jiān)測(cè)項(xiàng)目設(shè)置仍存在不足，不能適應(yīng)新立城水庫(kù)工程管理技術(shù)進(jìn)步的要求；本次除險(xiǎn)加固后，原設(shè)滲流監(jiān)測(cè)設(shè)施無(wú)法全部保留，也不滿(mǎn)足《土石壩安全監(jiān)測(cè)技術(shù)規(guī)范》（SL60—1994）的要求，主要表現(xiàn)為：

（1） 大壩壩基壩體滲流監(jiān)測(cè)雖已建立包括輸水洞滲漏監(jiān)測(cè)在內(nèi)的6個(gè)監(jiān)測(cè)斷面，但監(jiān)測(cè)儀器的布設(shè)基于當(dāng)時(shí)大壩滲流狀態(tài)，一是壩基高噴灌漿施工勢(shì)必導(dǎo)致壩頂及上游監(jiān)測(cè)設(shè)施損壞，二是原監(jiān)測(cè)儀器布置難以滿(mǎn)足建立灌漿體后的滲流監(jiān)測(cè)要求。在灌漿體有效作用下，壩軸線下游布設(shè)的監(jiān)測(cè)儀器尤其是壩體滲流監(jiān)測(cè)儀器可能處于非有效工作狀態(tài)，應(yīng)針對(duì)大壩新的防滲體系布設(shè)和完善滲流監(jiān)測(cè)測(cè)點(diǎn)。

（2） 在目前條件下減壓井能起到一定的排水減壓作用，但灌漿體建立后，減壓井功效將發(fā)生根本的改變，應(yīng)視具體情況更新監(jiān)測(cè)方案。滲流量監(jiān)測(cè)將以總堰為主進(jìn)行監(jiān)測(cè)。

3滲流監(jiān)測(cè)系統(tǒng)技術(shù)方案設(shè)計(jì)

3．1滲流監(jiān)測(cè)斷面及測(cè)點(diǎn)設(shè)計(jì)

大壩除險(xiǎn)加固主體工程為壩基高噴灌漿，其主旨為根治大壩壩基滲透隱患。對(duì)于灌漿完工后的防滲效果以及大壩滲流場(chǎng)的變化情況，均需要有針對(duì)性地在特定的位置安裝監(jiān)測(cè)設(shè)施，對(duì)其工程效果進(jìn)行監(jiān)測(cè)。

本次滲流監(jiān)測(cè)設(shè)計(jì)充分考慮壩基地質(zhì)情況及此次除險(xiǎn)加固工程的工程內(nèi)容，并結(jié)合原滲流監(jiān)測(cè)系統(tǒng)的布置及系統(tǒng)運(yùn)行成果，共布設(shè)14個(gè)監(jiān)測(cè)斷面，分別為0＋405、0＋605、0＋805、1＋005、1＋205、1＋405、1＋591、1＋805、1＋911、2＋005、2＋201、2＋401、2＋525。下面以幾個(gè)典型斷面為例闡述一下監(jiān)測(cè)系統(tǒng)的布點(diǎn)原則。

（1） 0＋405斷面。大壩0＋000~0＋400樁號(hào)處于壩址河道岸坡段，此壩段滲流隱患屬于次要部位，建壩時(shí)未清至壩基風(fēng)化巖石，基礎(chǔ)仍為強(qiáng)透水層。盡管庫(kù)區(qū)天然及淤積覆蓋深厚，但了解壩基灌漿效果還是必要的。因此，此斷面僅在灌漿斷面前后各布置一個(gè)測(cè)點(diǎn)，監(jiān)測(cè)其灌漿效果。

（2） 1＋205、1＋405、1＋591、1＋805、1＋911、2＋005斷面。大壩1＋200~2＋200樁號(hào)處于壩址河床段，壩高超過(guò)15米。此壩段是大壩變形較大的壩段，也是壩基滲透隱患嚴(yán)重的壩段，應(yīng)予以重點(diǎn)監(jiān)測(cè)。因此，在1＋205、1＋405、1＋591、1＋805、1＋911、2＋005樁號(hào)各布置一個(gè)監(jiān)測(cè)斷面。其中，1＋405和2＋005斷面布置及監(jiān)測(cè)目的與0＋405斷面相同；1＋205斷面布置3條監(jiān)測(cè)垂線，分別位于灌漿斷面前、后及下游馬道，每條垂線壩基壩體各布置一個(gè)測(cè)點(diǎn)，監(jiān)測(cè)高壓灌漿在壩基壩體防滲效果、壩基滲流壓力分布和壩體浸潤(rùn)線。1＋591斷面布置4條監(jiān)測(cè)垂線，灌漿斷面前、后各一個(gè)鉆孔，每孔壩基壩體各設(shè)一個(gè)測(cè)點(diǎn)，監(jiān)測(cè)高壓灌漿效果，每條垂線壩基壩體各布置一個(gè)測(cè)點(diǎn)，監(jiān)測(cè)灌漿在壩基壩體防滲效果、壩基滲流壓力分布和壩體浸潤(rùn)線。下游馬道和壩腳下游的兩條垂線均沿用原滲流監(jiān)測(cè)系統(tǒng)測(cè)點(diǎn)，監(jiān)測(cè)壩基滲流壓力分布和壩體浸潤(rùn)線；1＋805斷面布置4條監(jiān)測(cè)垂線，灌漿斷面前、后布置與1＋591斷面布置和監(jiān)測(cè)目的相同，下游馬道垂線上布置一個(gè)壩體測(cè)點(diǎn)，監(jiān)測(cè)壩體浸潤(rùn)線，下游壩腳外壩基布置一個(gè)測(cè)點(diǎn)，與灌漿斷面前、后壩基測(cè)點(diǎn)形成壩基監(jiān)測(cè)斷面，監(jiān)測(cè)本斷面壩基滲流壓力分布情況；1＋911斷面灌漿斷面前壩基設(shè)一個(gè)測(cè)點(diǎn)，下游馬道和壩腳下游的兩條垂線均沿用原滲流監(jiān)測(cè)系統(tǒng)測(cè)點(diǎn)，本斷面3測(cè)點(diǎn)均為壩基測(cè)點(diǎn)，旨在監(jiān)測(cè)灌漿在壩基的防滲效果。

（3） 2＋201、2＋401、2＋525斷面。大壩2＋200~2＋600樁號(hào)為壩址主河槽段，亦即最大壩高段，是大壩滲流監(jiān)測(cè)的重點(diǎn)壩段。為此，在2＋201、2＋401、2＋525斷面各布置一個(gè)完整監(jiān)測(cè)斷面，監(jiān)測(cè)壩基壩體滲流壓力狀態(tài)。其中2＋201、2＋401斷面基于原滲流斷面布置，并盡量利用原系統(tǒng)有效測(cè)點(diǎn)。

上述滲流監(jiān)測(cè)斷面及布設(shè)滲流測(cè)點(diǎn)構(gòu)成大壩滲流監(jiān)測(cè)體系，基于其監(jiān)測(cè)成果，對(duì)大壩壩基、壩體滲流壓力平面分布狀態(tài)進(jìn)行總體評(píng)價(jià)。

3．2大壩滲流監(jiān)測(cè)系統(tǒng)儀器選型

大壩滲流安全監(jiān)測(cè)和管理自動(dòng)化系統(tǒng)，采用分布式自動(dòng)化數(shù)據(jù)采集系統(tǒng)，各斷面測(cè)點(diǎn)滲流監(jiān)測(cè)數(shù)據(jù)傳入從站的MCU，從站MCU數(shù)據(jù)無(wú)線傳輸?shù)皆O(shè)在水庫(kù)管理局工程管理處總控制室控制主站。

3．2．1儀器選型原則

掌握儀器的使用條件，了解其應(yīng)用歷史，包括儀器應(yīng)用歷史、正常使用年限、使用環(huán)境、故障率、準(zhǔn)確度、精度等；考察生產(chǎn)廠家的生產(chǎn)能力，售后保證條件；足夠的可靠性、耐久性及滿(mǎn)足工程需要的使用精度要求；必須根據(jù)工程性態(tài)的預(yù)測(cè)結(jié)果、物理量的變化范圍、使用條件、使用年限及性?xún)r(jià)比確定儀器類(lèi)型、型號(hào)、量程及精度等級(jí)等。

3．2．2滲流壓力監(jiān)測(cè)儀器

滲流壓力監(jiān)測(cè)儀器品種和類(lèi)型較多，有振弦式、差動(dòng)電阻式、電阻應(yīng)變片式以及電感式、氣動(dòng)式等類(lèi)型，國(guó)內(nèi)外生產(chǎn)廠家知名的就有20余家。各孔隙水壓力計(jì)的性能指標(biāo)和穩(wěn)定性各有特點(diǎn)，通過(guò)性能價(jià)格比的綜合比較，新立城水庫(kù)大壩滲流監(jiān)測(cè)所用孔隙水壓力計(jì)選用美國(guó)GEOKON公司生產(chǎn)的振弦式4500系列孔隙水壓力計(jì)。該類(lèi)傳感器全部采用受溫度影響最小的不銹鋼元件制造，振弦元件設(shè)在焊接成的真空密封腔內(nèi)，鋼弦的兩端采用特殊鍛壓工藝技術(shù)固定，標(biāo)準(zhǔn)透水石是用帶50微米小孔的不銹鋼制成，從而保證了產(chǎn)品的高穩(wěn)定性和微型化，具有堅(jiān)固耐用、外形尺寸小、安裝簡(jiǎn)便、測(cè)值穩(wěn)定可靠、精度和分辨率高等特點(diǎn)，因而在國(guó)內(nèi)許多大型水利工程中得到應(yīng)用，如二灘水電站、三峽水利樞紐、丹江口水電站、葛洲壩樞紐、官?gòu)d水庫(kù)、黃碧莊水庫(kù)、潘家口水利樞紐、萬(wàn)家寨引黃入晉工程、豐滿(mǎn)水電站等近百個(gè)水利工程的安全監(jiān)測(cè)，取得了較好的監(jiān)測(cè)效果。

3．3測(cè)控單元（MCU）選型

3．3．1選型原則

大壩安全監(jiān)測(cè)自動(dòng)化系統(tǒng)起步于20世紀(jì)80年代，在90年代得到較大的發(fā)展，國(guó)內(nèi)外均有成熟的產(chǎn)品問(wèn)世并在實(shí)際應(yīng)用中日臻完善?？紤]到進(jìn)口產(chǎn)品雖在性能上具有較大的優(yōu)勢(shì)，但其價(jià)位高、維護(hù)不及時(shí)且對(duì)操作管理人員要求高（英文操作軟件），建議大壩測(cè)控單元選用國(guó)內(nèi)產(chǎn)品。

3．3．2本系統(tǒng)建議MCU選型

依據(jù)新立城水庫(kù)大壩滲流監(jiān)測(cè)系統(tǒng)工程的特點(diǎn)以及系統(tǒng)建設(shè)先進(jìn)性的要求，數(shù)據(jù)采集單元（MCU），選用基康儀器（北京）有限公司生產(chǎn)的測(cè)量控制單元BGK－MICRO－40MCU。

篇3

【關(guān)鍵詞】保密意識(shí) 審計(jì)信息安全

審計(jì)信息是審計(jì)人員在工作中運(yùn)用一定的技術(shù)、方法、手段，收集加工提煉整理的業(yè)務(wù)信息，是反映和體現(xiàn)審計(jì)工作成果的重要載體，主要包括審計(jì)工作信息和審計(jì)項(xiàng)目信息，涉及銀行敏感信息及經(jīng)營(yíng)決策管理的商業(yè)秘密。審計(jì)人員泄密風(fēng)險(xiǎn)如影隨形，無(wú)時(shí)不在，審計(jì)信息保密事關(guān)銀行信息安全和審計(jì)聲譽(yù)。因此，審計(jì)人員肩負(fù)審計(jì)數(shù)據(jù)及信息安全的重任，牢固樹(shù)立保密意識(shí)、嚴(yán)格履行保密職責(zé)、執(zhí)行保密紀(jì)律是每個(gè)審計(jì)人員義不容辭的責(zé)任。

一、審計(jì)信息渠道

審計(jì)信息主要來(lái)源于審計(jì)管理系統(tǒng)及平臺(tái)信息和審計(jì)業(yè)務(wù)信息收集兩個(gè)方面：

第一，審計(jì)管理系統(tǒng)及平臺(tái)信息是審計(jì)人員在實(shí)施審計(jì)項(xiàng)目、進(jìn)行審計(jì)管理的過(guò)程中，通過(guò)審計(jì)應(yīng)用系統(tǒng)及平臺(tái)獲取審計(jì)業(yè)務(wù)操作與管理的業(yè)務(wù)和數(shù)據(jù)信息，包括非現(xiàn)場(chǎng)審計(jì)系統(tǒng)（OAS系統(tǒng)）信息、審計(jì)管理信息系統(tǒng)（AMIS系統(tǒng)）信息、審計(jì)知識(shí)庫(kù)系統(tǒng)信息、任期經(jīng)濟(jì)責(zé)任審計(jì)信息資料庫(kù)信息、總審計(jì)室信息平臺(tái)等信息。

第二，審計(jì)業(yè)務(wù)信息是審計(jì)項(xiàng)目和日常審計(jì)工作中由各級(jí)機(jī)構(gòu)提供的業(yè)務(wù)信息以及審計(jì)項(xiàng)目信息。業(yè)務(wù)信息包括審計(jì)機(jī)構(gòu)審計(jì)計(jì)劃、審計(jì)研究成果、被審計(jì)機(jī)構(gòu)經(jīng)營(yíng)計(jì)劃及業(yè)務(wù)指標(biāo)、客戶(hù)及其賬戶(hù)信息、業(yè)務(wù)管理信息等，以及通過(guò)Notes郵箱、辦公自動(dòng)化系統(tǒng)（OA系統(tǒng)）、檔案管理信息系統(tǒng)等收集整理的各類(lèi)業(yè)務(wù)信息。審計(jì)項(xiàng)目信息包括審計(jì)方案、審計(jì)報(bào)告、審計(jì)模型、審計(jì)證據(jù)、審計(jì)工作底稿，以及審計(jì)過(guò)程中通過(guò)會(huì)計(jì)檔案管理系統(tǒng)、UAAP統(tǒng)一報(bào)表平臺(tái)、對(duì)公信貸業(yè)務(wù)流程系統(tǒng)（CLPM系統(tǒng)）、個(gè)人信貸管理系統(tǒng)（A+P系統(tǒng)）、信貸管理系統(tǒng)（CMISII系統(tǒng)）、ODSB二期及ERPF報(bào)表查詢(xún)等收集加工整理的各類(lèi)信息。

二、主要問(wèn)題和風(fēng)險(xiǎn)

（一）審計(jì)信息未集中管理，存在泄密的潛在風(fēng)險(xiǎn)隱患

便攜式計(jì)算機(jī)是審計(jì)人員的必備工具，其中存儲(chǔ)大量重要信息，實(shí)施審計(jì)項(xiàng)目按照審計(jì)方案要求分組開(kāi)展，審計(jì)現(xiàn)場(chǎng)點(diǎn)多面廣，審計(jì)資料不便于集中，審計(jì)人員注重信息資料使用忽視保密管理，對(duì)敏感及信息未經(jīng)加密處理采取保密措施，形成審計(jì)信息安全隱患。一是項(xiàng)目實(shí)施過(guò)程中審計(jì)信息處于分散失控狀態(tài)，缺乏安全管理；二是審計(jì)項(xiàng)目結(jié)束后，由于未明確和指定專(zhuān)人負(fù)責(zé)歸集審計(jì)項(xiàng)目信息，致使審計(jì)人員未及時(shí)清理、歸集移除審計(jì)項(xiàng)目電子信息資料，長(zhǎng)久滯留審計(jì)人員計(jì)算機(jī)中將可能導(dǎo)致審計(jì)信息流失和泄密。

（二）計(jì)算機(jī)上網(wǎng)導(dǎo)致審計(jì)信息失密，造成損失形成銀行聲譽(yù)風(fēng)險(xiǎn)

計(jì)算機(jī)上網(wǎng)成為信息泄露的主要途徑，計(jì)算機(jī)使用無(wú)線鍵盤(pán)或鼠標(biāo)上網(wǎng)、移動(dòng)存儲(chǔ)介質(zhì)與聯(lián)網(wǎng)計(jì)算機(jī)交叉使用將會(huì)導(dǎo)致失泄密。一是審計(jì)人員因工作需要，有時(shí)通過(guò)互聯(lián)網(wǎng)傳送或下載工作信息，或上網(wǎng)查詢(xún)信貸客戶(hù)企業(yè)注冊(cè)登記等信息，如果客戶(hù)敏感信息被不法分子截獲并利用，給客戶(hù)帶來(lái)不利影響的同時(shí)，將會(huì)導(dǎo)致銀行聲譽(yù)風(fēng)險(xiǎn)的嚴(yán)重后果。二是審計(jì)人員使用的計(jì)算機(jī)、U盤(pán)等磁介質(zhì)若不采取保密措施，未經(jīng)加密在互聯(lián)網(wǎng)上傳輸行內(nèi)重要數(shù)據(jù)或信息，被竊密者運(yùn)用技術(shù)軟件竊取，無(wú)意中將泄露銀行敏感信息或商業(yè)秘密，給銀行造成無(wú)可估量的損失。

（三）審計(jì)管理系統(tǒng)用戶(hù)認(rèn)證安全機(jī)制低、對(duì)客戶(hù)敏感信息訪問(wèn)無(wú)控制

由于非現(xiàn)場(chǎng)審計(jì)系統(tǒng)對(duì)相關(guān)敏感數(shù)據(jù)字段未能加密，在審計(jì)項(xiàng)目實(shí)施過(guò)程中，審計(jì)人員登錄系統(tǒng)可任意查詢(xún)導(dǎo)出相關(guān)的信息及數(shù)據(jù)，存在敏感信息和商業(yè)秘密泄漏的風(fēng)險(xiǎn)。

三、審計(jì)信息安全管理措施

第一，健全制度，落實(shí)責(zé)任。為加強(qiáng)審計(jì)信息安全保密，對(duì)于計(jì)算機(jī)設(shè)備使用管理、審計(jì)管理系統(tǒng)運(yùn)行管理及數(shù)據(jù)信息安全保密管理，制定信息安全管理制度，明確責(zé)任，落實(shí)保密職責(zé)。

第二，加強(qiáng)安全保密培訓(xùn)和教育，筑牢審計(jì)人員的安全和風(fēng)險(xiǎn)意識(shí)。一是要警鐘長(zhǎng)鳴，加強(qiáng)警示教育，做到防患于未然。二是建立信息安全的長(zhǎng)效機(jī)制，將審計(jì)信息安全保密作為審計(jì)人員培訓(xùn)教育的重要內(nèi)容，使之深刻認(rèn)識(shí)安全無(wú)小事，牢記“失之毫厘、謬以千里”道理，始終繃緊安全保密意識(shí)的弦，嚴(yán)守保密紀(jì)律，自覺(jué)履行保密職責(zé)。

第三，加強(qiáng)審計(jì)系統(tǒng)用戶(hù)管理，嚴(yán)格用戶(hù)操作權(quán)限，禁止將用戶(hù)口令及UKEY轉(zhuǎn)借他人使用。在未開(kāi)展審計(jì)項(xiàng)目階段限制非現(xiàn)場(chǎng)審計(jì)系統(tǒng)操作用戶(hù)，使用系統(tǒng)必須經(jīng)過(guò)申請(qǐng)批準(zhǔn)，以防止敏感信息泄露。搭建開(kāi)放的非現(xiàn)場(chǎng)審計(jì)系統(tǒng)學(xué)習(xí)培訓(xùn)環(huán)境，提供審計(jì)人員用于學(xué)習(xí)操作非現(xiàn)場(chǎng)系統(tǒng)。

第四，利用管理信息平臺(tái)FTP服務(wù)器對(duì)審計(jì)重要信息進(jìn)行管理，實(shí)現(xiàn)遠(yuǎn)程資源共享，審計(jì)人員可查詢(xún)相關(guān)工作信息，本機(jī)不再保存敏感信息和數(shù)據(jù)，切實(shí)防范便攜機(jī)或移動(dòng)硬盤(pán)存儲(chǔ)審計(jì)信息失泄密的風(fēng)險(xiǎn)隱患。

第五，落實(shí)安全管理責(zé)任，簽訂《審計(jì)崗位人員保密協(xié)議》，強(qiáng)化保密意識(shí)，約束審計(jì)信息保密行為。

第六，加強(qiáng)計(jì)算機(jī)管理，嚴(yán)防信息失泄密。設(shè)置屏幕保護(hù)的時(shí)間和密碼，確保在長(zhǎng)時(shí)間不使用計(jì)算機(jī)時(shí)對(duì)屏幕上和系統(tǒng)內(nèi)的敏感信息進(jìn)行安全保護(hù)。計(jì)算機(jī)做到專(zhuān)機(jī)專(zhuān)用，與互聯(lián)網(wǎng)物理隔離，禁止通過(guò)電子郵箱或互聯(lián)網(wǎng)傳輸及重要工作信息，避免移動(dòng)存儲(chǔ)介質(zhì)交叉使用。

第七，應(yīng)用技術(shù)手段加強(qiáng)信息安全管理，審計(jì)條線全員推廣使用Windows7（企業(yè)版）操作系統(tǒng)，應(yīng)用全盤(pán)加密（BitLocker）功能，能夠有效降低因設(shè)備物理丟失導(dǎo)致的審計(jì)信息泄露風(fēng)險(xiǎn)，有助于加強(qiáng)審計(jì)信息安全管理。

篇4

關(guān)鍵詞:安全審計(jì)系統(tǒng);網(wǎng)絡(luò)安全管理;措施

互聯(lián)網(wǎng)時(shí)代信息技術(shù)雖然使人們的生活更加便捷，卻帶來(lái)了網(wǎng)絡(luò)安全問(wèn)題。盡管網(wǎng)絡(luò)外部檢測(cè)技術(shù)和防御系統(tǒng)已經(jīng)持續(xù)建設(shè)，在某種程度抵御外部網(wǎng)絡(luò)的入侵，保護(hù)網(wǎng)絡(luò)數(shù)據(jù)信息的安全，但是內(nèi)部網(wǎng)絡(luò)的違規(guī)操作、非法訪問(wèn)等造成的網(wǎng)絡(luò)安全問(wèn)題在外部網(wǎng)絡(luò)的防御措施得不到有效解決。因此可以利用安全審計(jì)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全管理，檢測(cè)訪問(wèn)網(wǎng)絡(luò)內(nèi)部系統(tǒng)的用戶(hù)，監(jiān)控其網(wǎng)絡(luò)行為，記錄其異常網(wǎng)絡(luò)行為，針對(duì)記錄結(jié)果解決網(wǎng)絡(luò)安全問(wèn)題，對(duì)網(wǎng)絡(luò)安全隱患的評(píng)判具有重要作用。本文主要介紹安全審計(jì)系統(tǒng)以及作用，闡述其在網(wǎng)絡(luò)安全管理的必要性以及實(shí)際應(yīng)用。

1網(wǎng)絡(luò)安全管理的安全審計(jì)系統(tǒng)

1.1安全審計(jì)系統(tǒng)的組成

①事件產(chǎn)生器；②事件數(shù)據(jù)庫(kù)；③事件分析器；④響應(yīng)單元。事件產(chǎn)生器的作用：將單位網(wǎng)絡(luò)獲得的事件提供給網(wǎng)絡(luò)安全審計(jì)系統(tǒng)；事件分析器的作用：詳細(xì)地分析所得到的數(shù)據(jù)；事件響應(yīng)單元的作用：根據(jù)時(shí)間分析器得到的分析結(jié)果做出相應(yīng)的反映；事件數(shù)據(jù)庫(kù)的作用：保存時(shí)間分析器得到的分析結(jié)果。

1.2安全審計(jì)系統(tǒng)的要求

1.2.1記錄與再現(xiàn)記錄安全審計(jì)系統(tǒng)中全部違規(guī)操作、非法行為，再現(xiàn)系統(tǒng)某種狀態(tài)的主要行為。1.2.2入侵檢測(cè)審計(jì)系統(tǒng)檢查出大多數(shù)常見(jiàn)的系統(tǒng)入侵的意圖，設(shè)計(jì)相應(yīng)程序阻止入侵行為。1.2.3記錄入侵行為審計(jì)系統(tǒng)記錄所有的入侵企圖，對(duì)于成功入侵用戶(hù)，可以根據(jù)入侵記錄恢復(fù)系統(tǒng)。1.2.4系統(tǒng)本身的安全性安全審計(jì)系統(tǒng)必須保證自身系統(tǒng)操作系統(tǒng)和軟件安全以及審計(jì)數(shù)據(jù)安全才可以發(fā)揮其在網(wǎng)絡(luò)安全管理的作用。

2網(wǎng)絡(luò)安全審計(jì)的必要性

2.1提高企業(yè)數(shù)據(jù)安全管理績(jī)效

高新科技技術(shù)已經(jīng)滲透到社會(huì)方方面面，有利也有弊，其中企業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)信息安全的問(wèn)題頻頻出現(xiàn)，這對(duì)于企業(yè)網(wǎng)絡(luò)運(yùn)營(yíng)和實(shí)際經(jīng)營(yíng)造成很大的沖擊、帶來(lái)經(jīng)濟(jì)損失。防火墻、防病毒軟件、反入侵系統(tǒng)雖然可以解決部分內(nèi)部用戶(hù)的非法違規(guī)網(wǎng)絡(luò)行為導(dǎo)致的網(wǎng)絡(luò)信息安全問(wèn)題，某種程度也保障了網(wǎng)絡(luò)信息安全。網(wǎng)絡(luò)信息外部的防衛(wèi)無(wú)法抵御內(nèi)部用戶(hù)在沒(méi)有網(wǎng)絡(luò)監(jiān)管時(shí)對(duì)網(wǎng)絡(luò)內(nèi)部的不合法操作，網(wǎng)絡(luò)外部的安全防衛(wèi)措施無(wú)法解決網(wǎng)絡(luò)內(nèi)部出現(xiàn)的故障。所以企業(yè)網(wǎng)絡(luò)要正常運(yùn)營(yíng)、企業(yè)經(jīng)營(yíng)要得到持續(xù)發(fā)展，必須要建立企業(yè)內(nèi)部的安全審計(jì)系統(tǒng)，對(duì)內(nèi)部用戶(hù)訪問(wèn)網(wǎng)絡(luò)系統(tǒng)進(jìn)行嚴(yán)格監(jiān)控和審計(jì)，有必要時(shí)可以采取相應(yīng)措施懲戒造成網(wǎng)絡(luò)安全問(wèn)題的人員，讓網(wǎng)絡(luò)信息安全事件不再發(fā)生。

2.2提高網(wǎng)絡(luò)信息安全性

（1）安全審計(jì)系統(tǒng)采取訪問(wèn)控制手段對(duì)網(wǎng)絡(luò)信息進(jìn)行安全審計(jì)和監(jiān)控，從而提高網(wǎng)絡(luò)信息安全；（2）對(duì)網(wǎng)絡(luò)信息加密實(shí)現(xiàn)網(wǎng)絡(luò)信息安全審計(jì)的目的，實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)私有，做到網(wǎng)絡(luò)安全管理，為了提高網(wǎng)絡(luò)信息安全水平要經(jīng)常維護(hù)與檢查安全日志；（3）安全審計(jì)網(wǎng)絡(luò)中傳輸?shù)男畔?，監(jiān)控網(wǎng)絡(luò)操作行為，提高網(wǎng)絡(luò)信息安全性，提供社會(huì)組織的網(wǎng)絡(luò)化行為安全性保障。

3安全審計(jì)系統(tǒng)在網(wǎng)絡(luò)安全管理的應(yīng)用

安全審計(jì)系統(tǒng)和基礎(chǔ)網(wǎng)絡(luò)病毒防護(hù)產(chǎn)品相互結(jié)合，共同保護(hù)網(wǎng)絡(luò)的整體安全。企業(yè)傳統(tǒng)的網(wǎng)絡(luò)安全體系建設(shè)只注重網(wǎng)絡(luò)邊界的安全，重點(diǎn)建設(shè)針對(duì)外部網(wǎng)絡(luò)向企業(yè)內(nèi)網(wǎng)攻擊的防護(hù)措施，沒(méi)有考慮到內(nèi)網(wǎng)自身存在的安全隱患，企業(yè)的網(wǎng)絡(luò)信息安全無(wú)法得到有效保障。因此，借助安全審計(jì)系統(tǒng)對(duì)企業(yè)網(wǎng)絡(luò)安全進(jìn)行審計(jì)和評(píng)估，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的全面安全監(jiān)督。隨著互聯(lián)網(wǎng)科技快速發(fā)展，銀行金融行業(yè)處于信息化時(shí)代，信息化推動(dòng)銀行智能化發(fā)展，銀行網(wǎng)絡(luò)信息安全對(duì)銀行安全穩(wěn)定發(fā)展非常重要，如銀行數(shù)據(jù)集中處理有風(fēng)險(xiǎn)、網(wǎng)絡(luò)金融服務(wù)容易受到黑客、病毒攻擊等。由于銀行涉及到金錢(qián)等財(cái)務(wù)利益上的交易，而且銀行作為信息化時(shí)代以客戶(hù)為主導(dǎo)的服務(wù)行業(yè)，必須嚴(yán)格地對(duì)客戶(hù)信息進(jìn)行保密，保障客戶(hù)信息安全。不僅銀行關(guān)系到國(guó)計(jì)民生、對(duì)社會(huì)經(jīng)濟(jì)發(fā)展也具有重要意義，所以控制銀行信息化風(fēng)險(xiǎn)的最有效方法就是建立銀行網(wǎng)絡(luò)信息安全審計(jì)系統(tǒng)。網(wǎng)絡(luò)的廣泛應(yīng)用給教育行業(yè)帶來(lái)很大便利，目前很多高校和發(fā)達(dá)地區(qū)中小學(xué)都建立自己的校園網(wǎng)，但是網(wǎng)絡(luò)問(wèn)題作為信息化水平發(fā)展的附屬品，給校園網(wǎng)安全管理造成很大困擾。雖然校園網(wǎng)已經(jīng)加大網(wǎng)絡(luò)外部病毒防御系統(tǒng)建設(shè)，但是網(wǎng)絡(luò)內(nèi)部檢測(cè)和審計(jì)更需要引起重視，為了減少網(wǎng)絡(luò)有害信息和侵權(quán)行為，規(guī)范師生上網(wǎng)行為，維護(hù)校園網(wǎng)安全穩(wěn)定運(yùn)行，非常有必要建立校園網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。

4結(jié)語(yǔ)

本文詳細(xì)介紹了網(wǎng)絡(luò)安全管理的安全審計(jì)系統(tǒng)以及功能，并且闡述了網(wǎng)絡(luò)安全審計(jì)的必要性，安全審計(jì)系統(tǒng)的使用，使網(wǎng)絡(luò)監(jiān)控力度大大加強(qiáng)，讓網(wǎng)絡(luò)監(jiān)控效率得到顯著提高，為信息化建設(shè)提供了良好的保障。

參考文獻(xiàn)

[1]付曉坤.網(wǎng)絡(luò)安全審計(jì)技術(shù)的運(yùn)用[J].中國(guó)水運(yùn),2013(09):50-51.

[2]張文穎.探討網(wǎng)絡(luò)安全中安全審計(jì)與監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù),2013(16):3738.

篇5

研究院的安全服務(wù)主要包含四大獨(dú)立服務(wù)：安全服務(wù)、監(jiān)測(cè)服務(wù)、睿眼通和信息安全應(yīng)急響應(yīng)指揮平臺(tái)。服務(wù)內(nèi)容主要包括以下幾個(gè)方面：

首先是安全咨詢(xún)。以“業(yè)務(wù)需求管理”為核心出發(fā)點(diǎn)，依托ISO27001、ISO17799等國(guó)際信息安全標(biāo)準(zhǔn)和法規(guī)及行業(yè)規(guī)范，融合自上而下的指導(dǎo)方針、管理策略、業(yè)務(wù)流程運(yùn)行規(guī)則、系統(tǒng)操作指南，建立信息安全管理體系。

其次是安全培訓(xùn)。安全培訓(xùn)旨在提高客戶(hù)的信息安全意識(shí)和技能，為最大程度上提高客戶(hù)的整體安全防衛(wèi)意識(shí)和安全防衛(wèi)技能，真正把信息安全管理體系落到實(shí)處，提供強(qiáng)力有效的技術(shù)支撐保障。

再次是安全評(píng)估。對(duì)信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用所帶來(lái)風(fēng)險(xiǎn)的可能性評(píng)估，為客戶(hù)信息安全管理體系策劃提供基礎(chǔ)。

最后是安全加固。結(jié)合等級(jí)保護(hù)國(guó)家政策及行業(yè)規(guī)范，通過(guò)現(xiàn)場(chǎng)調(diào)研，合理使用安全加固工具等為客戶(hù)提供安全加固服務(wù)，主要提供主機(jī)加固、系統(tǒng)加固、數(shù)據(jù)庫(kù)加固、應(yīng)用服務(wù)器加固、應(yīng)用加固等服務(wù)，安全補(bǔ)丁、安全策略調(diào)優(yōu)、配置優(yōu)化等服務(wù)。

七大監(jiān)測(cè)服務(wù)主要包括下幾個(gè)方面：

第一，“睿眼”外網(wǎng)安全監(jiān)測(cè)預(yù)警服務(wù)平臺(tái)是一套軟硬件一體化監(jiān)測(cè)平臺(tái)，以大數(shù)據(jù)技術(shù)為依托，集成了Web漏洞掃描檢測(cè)技術(shù)、采用遠(yuǎn)程監(jiān)測(cè)對(duì)外網(wǎng)網(wǎng)站提供7×24小時(shí)實(shí)時(shí)安全監(jiān)測(cè)服務(wù)。通過(guò)對(duì)網(wǎng)站的不間斷監(jiān)測(cè)服務(wù)及時(shí)發(fā)現(xiàn)威脅，從而提升網(wǎng)站的安全防護(hù)能力和網(wǎng)站服務(wù)質(zhì)量，并通過(guò)安全監(jiān)測(cè)平臺(tái)的事件跟蹤功能建立起一種長(zhǎng)效的安全保障機(jī)制。

第二，“睿眼”移動(dòng)安全監(jiān)測(cè)預(yù)警服務(wù)平臺(tái)，為政府和企事業(yè)單位搭建一個(gè)應(yīng)用App統(tǒng)一存放、統(tǒng)一管理、統(tǒng)一安全監(jiān)測(cè)的AppStroe平臺(tái)，通過(guò)此平臺(tái)進(jìn)一步提升用戶(hù)辦事體驗(yàn)，同時(shí)方便國(guó)家、省部級(jí)對(duì)下級(jí)單位進(jìn)行移動(dòng)App管理和統(tǒng)計(jì)。

第三，“睿眼”內(nèi)網(wǎng)安全監(jiān)測(cè)預(yù)警服務(wù)平臺(tái)，基于對(duì)內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的考慮，平臺(tái)提供對(duì)內(nèi)網(wǎng)的實(shí)時(shí)安全監(jiān)測(cè)、分析和預(yù)警功能。

睿眼通

睿眼通是七大監(jiān)測(cè)預(yù)警服務(wù)平臺(tái)提供給客戶(hù)的一款智能移動(dòng)終端，基于客戶(hù)對(duì)信息安全情況的即時(shí)需求，以七大監(jiān)測(cè)預(yù)警服務(wù)平臺(tái)監(jiān)測(cè)結(jié)果為主線，可以成為客戶(hù)處理信息安全問(wèn)題、了解安全狀態(tài)趨勢(shì)、掌握最新安全資訊的貼心助手，隨時(shí)隨地了解網(wǎng)站及信息系統(tǒng)等的整體運(yùn)行情況。

信息安全應(yīng)急響應(yīng)指揮平臺(tái)

應(yīng)急響應(yīng)指揮平臺(tái)通過(guò)各大監(jiān)測(cè)預(yù)警服務(wù)平臺(tái)實(shí)時(shí)監(jiān)測(cè)結(jié)果，對(duì)告警的安全故障或安全威脅，以最短的時(shí)間進(jìn)行故障排查定位和應(yīng)急處理。

安全產(chǎn)品

公司安全產(chǎn)品包括堡壘主機(jī)系統(tǒng)、系統(tǒng)安全加固、審計(jì)系統(tǒng)和信息共享管理系統(tǒng)。

（1）堡壘主機(jī)系統(tǒng)。堡壘主機(jī)是一種被加固的可以防御進(jìn)攻的計(jì)算機(jī)，具備堅(jiān)強(qiáng)的安全防護(hù)能力。堡壘主機(jī)系統(tǒng)軟件扮演著看門(mén)者的職責(zé)，所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要從這扇大門(mén)經(jīng)過(guò)。

（2）系統(tǒng)安全加固。系統(tǒng)安全加固V1.0產(chǎn)品是軟硬件相結(jié)合的產(chǎn)品，通過(guò)硬件USB-KEY，提高了服務(wù)器系統(tǒng)的安全性，克服單純使用軟件防護(hù)的局限性；軟件部分包括服務(wù)器操作系統(tǒng)安全增強(qiáng)軟件、服務(wù)器安全，以及統(tǒng)一安全管理平臺(tái)軟件。

（3）審計(jì)系統(tǒng)

①日志審計(jì)系統(tǒng)。日志審計(jì)系統(tǒng)一方面可以集中收集、長(zhǎng)時(shí)間存放所有的記錄日志，避免日志遭到惡意篡改或刪除而在安全事件發(fā)生時(shí)無(wú)據(jù)可查的狀況發(fā)生，另一方面日志審計(jì)系統(tǒng)強(qiáng)大的日志審計(jì)功能可以為組織審計(jì)人員提供日志實(shí)時(shí)監(jiān)控、高效檢索、審計(jì)報(bào)表等日志審計(jì)手段，從而使原本不可能完成的海量日志審計(jì)工作可以在短時(shí)間內(nèi)輕松完成，大大減少信息部門(mén)的工作量。

②網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要通過(guò)旁路監(jiān)視并記錄對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各類(lèi)操作行為，通過(guò)對(duì)各類(lèi)網(wǎng)絡(luò)行為的分析，實(shí)時(shí)地、智能地監(jiān)控審計(jì)，并將審計(jì)數(shù)據(jù)存儲(chǔ)，以便日后進(jìn)行查詢(xún)、分析，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境內(nèi)的操作訪問(wèn)行為的監(jiān)控和審計(jì)。