安全审计的类型

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇安全审计的类型范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

安全审计的类型范文第1篇

目次

三《条例》限制赔偿政策的事实根据论―答记者问见解的问题性

(一)“特殊立法政策”的内容和事实根据

(二)“特殊立法政策”的事实根据论的问题性

(三) 对其他相关问题的评论

四 放弃现行法律适用原则的必要性和解决法律适用问题的代替方案

(一) 放弃“区分不同案件分别适用法律”原则的必要性

(二) 解决医疗侵权赔偿案件法律适用问题的代替方案

结论

三 《条例》限制赔偿政策的事实根据论―答记者问见解的问题性[44]

如前所述,答记着问强调, 条例“体现了国家对医疗事故处理及其损害赔偿的特殊立法政策”。那么, 答记者问所说的特殊立法政策的内容是什么呢? 在损害赔偿问题的处理上, 条例所体现的立法政策与民法通则所体现的立法政策有什么不同呢? 条例所体现的特殊立法政策又是以什么事实为根据的呢? 被作为根据的那些“事实”是否符合客观现实呢? 即便符合客观现实, 以这些事实为根据, 是否能够证明条例对医疗事故损害赔偿的限制性规定具有政策上的合理性呢? 这些就是本节要检讨的问题。

(一) 条例所体现的特殊立法政策的内容及该政策的事实根据

条例第1条规定,制定条例的目的是“正确处理医疗事故,保护患者和医疗机构及其医务人员的合法权益,维护医疗秩序,保障医疗安全,促进医学科学的发展”。条例起草者卫生部的汇报指出, 修改办法的经济补偿制度的原则是“既要使受损害的患者得到合理赔偿,也要有利于我国医疗卫生事业和医学科学的健康发展”[45]。答记者问的表述与卫生部汇报的见解基本相同, 但更为直截了当。它指出, 条例之所以要对赔偿金额作出限制, 就是“为了推动医疗卫生事业的发展和医疗技术的进步”, 换言之, 如果不对医疗事故的赔偿范围和标准作出现行条例所作出的限制, 如果法院对医疗事故引起的赔偿案件适用体现了实际赔偿原则的民法通则的规定, 那么, 我国医疗事业的发展和医疗技术的进步就会受到不利的影响[46]。由此可见, 答记者问所强调的特殊立法政策的“特殊”之处, 亦即在赔偿政策上条例与民法通则的不同之处,在于条例以保障和促进医疗事业的发展这一公共利益来限制患者或其遗属原本根据民法通则所体现的实际赔偿原则所可能得到的赔偿这一个别利益。笔者在此将该政策简称为“公益限制赔偿政策”。

根据答记者问的说明, 条例所体现的公益限制赔偿政策是以下述被政策制定者所认定的四项事实为根据的。① 医疗行为具有较高的风险性, ② 我国医疗行业具有公共福利性, ③ 我国医疗机构的承受能力有限, ④ 我国的经济发展水平较低。对照条例起草者卫生部的汇报可以发现, 答记者问所提出的事实根据论,除了其中的第①项似乎是答记者问自己的看法(笔者不知道卫生部是否在其他正式场合表达过这样的见解)以外,基本上反映了卫生部在汇报中所表达的见解[47]。

以下, 笔者对“公益限制赔偿政策”的事实根据论进行分析和评论。

(二) “公益限制赔偿政策”的事实根据论的问题性

1． 医疗行为的高风险性不能说明条例限制赔偿的正当性。

答记者问没有说明医疗行为的高风险性与限制赔偿到底有何关系。笔者在此姑且作出两种推测[48],然后分别加以评论。

(1) 答记者问也许是想说: 高风险性这一客观因素的存在, 降低了过失这一医疗侵权的主观因素在赔偿责任构成中的意义。人们应当承认以下两个事实, ① 在医疗过程中, 即使医务人员充分履行了注意义务, 也未必能够完全回避诊疗的失败及由此引起的患者人身损害的发生; ② 即使医务人员在实施医疗行为方面确实存在过失, 损害后果的发生也往往在一定程度上与该项医疗行为固有的风险性存在一定的关系。因此, 在设计医疗事故损害赔偿制度时, 应当考虑到医疗风险这一客观因素在损害形成中所起的作用, 不应当把在客观上应当归因于医疗风险的那部分损失也算在医疗机构的头上。条例对赔偿数额作出限制反映了医疗事故损害与医疗风险之间存在一定程度的关系这一事实, 因此是合情合理的,是正当的。

笔者基于下述理由认为, 上述推论是不能成立的。① 医疗行为具有较高的风险性这一事实认定本身不能反映现实中的医疗行为与医疗风险的关系的多样性。现实情况是,医疗行为不仅种类极其繁多而且存在于医疗过程的各个阶段各个环节,有的可能具有高度的风险( 比如确诊率极低的没有典型早期症状的某些疾病的早期诊断, 成功率极低的涉及人体某一重要器官的复杂手术,对抢救患者生命虽然必要但严重副作用的发生可能性极高的急救措施)，有的则可能几乎没有风险（比如在遵守操作规范的情况下的一般注射，常规检验，医疗器械消毒，药房配药，病房发药等）② 这种推论误解了医疗风险与医疗事故民事责任的关系, 因而是根本说不通的。众所周知, 我国的医疗侵权责任制度实行过错责任原则, 而非严格责任原则。既然如此, 那么在医疗损害的发生被证明为与医疗过错和医疗风险(特指与医疗过错无关的风险)[49] 二者都有关系的场合, 医疗机构只应承担与其医疗过错在损害形成中所起的作用相应的赔偿责任。在医疗侵权法上, 风险因素与民事责任不是成正比而是成反比, 风险因素对损害的形成所起的作用越大, 医疗机构因其医疗过错所承担的赔偿责任就越小。医疗行为的高风险性不是增加而是可能减轻医疗机构民事责任的因素。只有在适用严格责任原则的侵权领域, 高风险性才可能成为增加民事责任的因素。

(2) 答记者问也许是想说, 如果事先不通过制定法(比如条例)对赔偿范围和数额作出必要的限制, 那么医疗机构就会因害怕承担其不愿意承担或难以承担的高额赔偿责任而指示其医务人员以风险的有无或大小作为选择治疗方案的主要标准,尽可能选择无风险或较小风险的治疗方案; 医务人员在治疗患者时就会缩手缩脚,不敢为了抢救患者的生命而冒必要的风险, 患者的生命健康利益因此就可能得不到原本应当得到的医疗保障。所以, 条例限制赔偿标准,有助于调动医师救死扶伤的职业积极性, 最终将有利于患者疾病的救治。笔者认为, 这是一个似是而非的、严重脱离实际的推论, 因而也是没有说服力的。① 在对赔偿数额不作限制(尤其是不作低标准限制), 实行实际赔偿原则的情况下,医师果真会从积极变为消极, 对患者该治的不治, 该救的不救, 该冒的险不敢冒吗? 限制了赔偿数额,医师果真就会因此而积极工作, 勇于担负起治病救人的重任吗? 这一推论符合医疗侵权的实际状况吗? 依笔者之见, 在适用民法通则的实际赔偿原则或赔偿标准高于条例的人身损害赔偿解释的情况下, 医师未必会因害怕出差错•承担较高的赔偿责任而该治的不敢治, 该救的不敢救, 该冒的险不敢冒。因为在许多场合, 采取这种消极回避态度反而会导致医疗不作为或不完全作为所构成的侵权。不仅如此, 因为这种消极态度可能具有放任的性质, 因而在其导致的侵权的违法性程度上也许比工作马虎或医术不良所引起的延误诊疗致人损害的侵权更为严重。② 医疗的宗旨是治病救人, 因而是不考虑风险违规乱干不行, 顾忌风险违规不干也不行的典型行业。医师必须遵循诊疗规范,充分履行注意义务,尽善管理。③ 限制或降低赔偿标准, 就算可能有调动医师积极性减少消极行医的效果, 也免不了产生降低医师的责任感, 纵容违规乱干的严重副作用。④ 按照风险论的逻辑, 条例规定的赔偿制度还不如办法规定的一次性经济补偿制度; 对广大患者而言, 他们的生命健康利益获得医疗保障的程度在条例时代反而会降低, 因为医务人员的救死扶伤的积极性由于条例( 较之办法)加重医疗事故赔偿责任而降低了。

2． 即使我国医疗行业具有公共福利性质, 以此为据限制赔偿也是根本没有说服力的。

答记者问没有(卫生部汇报也没有)具体说明我国医疗行业的公共福利性有何含意, 更未具体说明医疗行业的公共福利性与条例的限制赔偿政策之间有何关系。笔者在此参考有关的政策法规文件和一些文章中的议论[50], 分别对这两个问题的内容作出以下的推测。

(1) 我国医疗行业的公共福利性主要表现在以下几个方面。① 在我国医疗服务体系中占主导地位的公立医疗机构,是非营利性医疗机构,是公益事业单位,它们所提供的医疗服务对患者而言, 具有一定的福利性质。② 政府对公共医疗事业的财政投入将随着经济的发展逐年增加。政府的财政投入为公共医疗事业的发展和医疗技术的进步, 从而为广大患者能够享受到更好的医疗服务创造了一定的物质条件。政府对非营利性医疗机构实行税收优惠和合理补助的政策,为这些机构的福利性医疗服务提供了一定的支持。③ 政府为了增进广大人民群众的医疗福利, 减轻患者个人的医疗费用负担, 在城镇为职工建立作为社会保障的基本医疗保险制度, 在农村推行和资助合作医疗制度, 邦助越来越多的农村居民在当地也能得到基本的医疗服务。④ 政府考虑到广大人民群众的负担能力, 对医药品市场价格和非营利性医疗机构的医疗服务价格进行适当的控制。

(2) 医疗行业具有公共福利性这一事实, 决定了因医疗事故而发生的医患之间的法律关系具有以下的特点。① 它是在非自愿( 公共医疗服务的提供者在法律上有义务向需要的患者提供医疗服务, 无正当理由不得拒绝)的并且是非完全等价( 公共医疗服务的提供不以完全的等价有偿为原则 ) 的基础上进行利益交换( 患者仍需支付一定的医疗费用) 的当事者之间发生的赔偿关系, 不同于在完全自愿•等价有偿的基础上进行利益交换的当事人即通常的民事活动当事人之间发生的赔偿关系。② 它是提供医疗服务利益的医疗机构和接受医疗服务利益的患者之间因前者的利益提供行为发生错误导致后者受到损失而引起的赔偿关系, 换言之, 是好心人办错事引起的赔偿关系, 不同于通常的侵犯他人合法权利所引起的赔偿关系。③ 它在事实上又是以作为公共医疗的投资者的政府为第三人( 赔偿问题不仅可能影响到政府投资的效益,而且可能使政府投资本身受到损失)同时以利用该医疗机构的广大患者为第三人( 赔偿问题可能影响到该医疗机构的服务能力,从而影响到利用该医疗机构的广大患者的利益)的赔偿关系, 不同于仅仅涉及当事者双方利益或至多涉及特定私人第三者利益的赔偿关系。

(3) 正是因为医疗行业具有公共福利性这一事实决定了因医疗事故而引起的医患之间的赔偿关系具有不同于通常的债务不履行或通常的侵权所引起的赔偿关系的特征, 所以条例起草者才将该事实作为调整这种赔偿关系的特殊政策的依据之一。如果不考虑医疗行业的公共福利性, 如果不以该事实为依据制定特殊的赔偿政策, 而是完全根据或照搬民法通则所体现的实际赔偿原则, 那么, 医疗事故赔偿的结果, 不仅对于赔偿义务人医疗机构可能是不公正或不公平的, 而且会使国家利益和广大患者群众的利益受到不应有的损害。

笔者认为, 上述见解（假定确实存在）, 根本不能说明条例限制赔偿政策的合理性。

(1) 答记者问在论证限制赔偿政策具有合理性时, 只提“我国医疗行业具有公共福利性”这一“事实”,不提我国的医疗行业和医疗服务在相当范围和相当程度上已经市场化和商品化, 我国的绝大多数公民还得不到医疗费负担方面的最基本的社会保障这两个有目共睹的现实。这种论法很难说是实事求是的。“我国医疗行业具有公共福利性”这一事实认定，本身就是非常片面的; 这一“事实”作为答记者问所支持的条例限制赔偿政策的前提之一, 本身就是在很大程度上难以成立的。

① 众所周知, 在条例起草和出台之时, 更不用说在答记者问发表之时, 我国的医疗行业已经在相当范围内和相当程度上实现了市场化。第一, 从我国医疗行业的主体来看, 被官方文件定性为“非营利性公益事业”[51] 单位的公立医疗机构,在我国医疗服务体系中确实依然占据主导地位,它们所提供的基本医疗服务项目, 据说因其价格受到政府的控制, 所以对接受该服务的患者而言,具有一定程度的福利性。但是,在我国的医疗行业, 非公立的完全营利性的医疗机构早已出现, 其数量以及其提供的医疗服务所占有的市场分额均有明显的增长趋势; 民间资本或外资与公立医疗机构的各种形式的合资经营也已经成为常见的现象。它们扩大了完全商品化的医疗服务市场。由于它们所提供的医疗服务, 在价格上是放开的, 所以对接受其服务的患者而言, 没有福利性 ( 除非将来有一天把这类医疗服务也纳入作为社会保障的医疗保险的范围)。此外, 只有非营利性公立医疗机构才是中央或地方财政投入及有关的财税优惠政策的实施对象。营利性医疗机构当然是自筹资金、完全自负盈亏的企业[52] 。第二, 从公立医疗机构提供的医疗服务的价格来看, 首先, 公立医疗机构配售给患者的药品和消耗性材料的价格往往高于或明显高于市场零售价(换言之,实际上往往高于或明显高于医院采购成本和管理成本的总和), 具有明显的营利性(据说其目的在于“以药养医”); 尽管医疗机构所采购的一定范围的药品的市场价格受到政府价格政策的控制(以政府定价或政府指导价的方式), 但这种控制是为了保证基本医药商品的质价相符, 防止生产或销售企业设定虚高价格 (明显高于生产经营成本和合理利润的总和的价格即暴利价格) 谋取不适当的高额利润[53]。因此这种政府控制价格与计划经济时代的计划价格有本质的不同, 并非像有些人所说的那样是低于市场价格的价格即所谓“低价”, 而是比较合理的市场价格。所以, 这种价格控制, 虽然有利于消费者或患者正当利益的保障, 但并没有任何意义上的福利性。其次, 基本诊疗服务项目( 比如普通门诊和急诊; 一定范围的检验和手术; 普通病房等一定范围的医疗设施及设备的利用)的价格, 虽然在一定程度上受到政府价格政策的控制, 因而也许可以被认为具有一定程度的福利性, 但具有明显的收益性或营利性( 即所谓创收 )的医保对象外的五花八门的高收费医疗服务( 比如高级专家门诊、特约诊疗卡服务、特需病房、外宾病房等)在较高等级的许多公立医疗机构（尤其是三级甲等医院）中早已出现并有扩大的趋势。此外, 在许多医疗机构中, 原本属于护理业务范围内的一部分工作也已经由完全按市场价格向患者收费的护工服务所替代。所以, 被官方定性为非营利性公益事业单位的公立医疗机构,在事实上正在愈益广泛地向患者提供没有福利性的甚至完全收益性或营利性的医疗服务。

② 从患者负担医疗费用的情况来看,第一, 加入了基本医保的患者,一般除了必须自付一定比例的医疗费用外,还须支付超出其医保限额的医疗费用。他们选择医保定点医疗机构所提供的医保对象外的医疗服务,或选择定点医保医疗机构以外的医疗机构（包括营利性医疗机构）所提供的医疗服务,因而完全自付医疗费的情况并不少见。同样是享受医保的患者,其享受医保的程度即自付医疗费占实际医疗费的比例可能不同; 符合特殊条件的一小部分患者,则可能基本上或完全免付远远大于一般医保患者所能免付的范围的医疗费[54]。第二, 更为重要的事实是, 我国所建立的社会基本医保制度,不是以全体居民为对象的医疗保险制度(比如日本的国民健康保险制度),而是仅仅以城镇的职工(城镇中的所有用人单位的职工)本人为对象的医保制度[55],加入者的人数至今还不满我国总人口的十分之一[56]。换言之, 我国城镇的相当数量的居民和农村的所有居民是不能享受基本医保的(即完全自费的或几乎完全自费的)社会群体(除非加入了商业医保,但商业医保不具有福利性)。政府虽然已决定在农村建立由农民个人缴费•集体扶持•政府资助的合作医疗制度,但由于种种原因,且不说这一制度才刚刚开始进行个别的试点(更不用说在一些贫困地区,甚至连最基本的医疗服务设施也不存在),就是全面铺开,它为广大农村居民所可能提供的医疗保障的程度也是极其微薄的[57]。要言之, 答记者问和卫生部汇报所强调的医疗行业的公共福利性,对于我国的绝大多数居民来说, 即使在某种意义上(比如公立医疗机构的部分诊疗服务的价格受到政府的控制)也许可以被理解为存在,也只是非常有限的,微不足道的。

笔者之所以强调上述两个方面的事实, 并非为了批评现行的医疗福利政策, 而仅仅是为了指出以下两个多样性的存在。第一个多样性是医疗行业或医疗服务与医疗福利的关系的多样性。医疗行业既存在福利因素又存在非福利因素, 既存在公益因素又存在营利因素; 有的医疗服务具有福利性,有的医疗服务则没有福利性; 有的医疗服务具有较高程度的福利性, 有的医疗服务只有较低程度的福利性。第二个多样性是患者与医疗福利政策的关系的多样性。有的患者能够享受较多的医疗福利, 有的患者则只能享受较少的医疗福利, 有的患者则完全不能享受医疗福利; 能够享受医疗福利的患者既有可能选择具有福利性的医疗服务, 也有可能选择没有福利性的医疗服务; 享受基本医保的不同患者所享受的医保利益又可能存在种种差别甚至是巨大的差别。据此, 我们应当承认, 支持医疗事故赔偿限制政策的公共福利论无视这两个方面的多样性, 严重脱离了现实, 因而没有充分的说服力。

(2) 即使医疗行业所具有的公共福利性能够成为限制福利性医疗服务享受者的医疗事故赔偿请求权的正当理由之一, 现行条例关于医疗事故赔偿的规定, 由于没有反映以上笔者所指出的患者与医疗福利政策的关系的多样性这一有目共睹的客观事实, 所以它不仅违反了条例起草者卫生部所主张的公共福利论的逻辑, 而且从公共福利论的观点看, 它又是显失公正和公平的。

① 根据公共福利论的逻辑, 条例原本应当将患者所接受的引起医疗事故的医疗服务与医疗福利的关系(即是否具有福利性, 具有多少程度的福利性)作为确定医疗事故的具体赔偿数额的考虑因素之一, 原本应当采取赔偿数额与自费程度成正比•与福利程度成反比的原则,使得自费程度较低的被害人较之自费程度较高的被害人,部分自费的被害人较之完全自费的被害人,在其他条件同等的情况下,获得较低比例的赔偿数额。换言之, 使后者能够获得较高比例的赔偿数额。令人感到难以理解的是,条例竟然没有作出这样的规定(条例仅将医疗事故等级、医疗过失行为在医疗事故损害后果中的责任程度、医疗事故损害后果与患者原有疾病状况之间的关系作为确定具体赔偿金额时应当考虑的因素(第49条第1款))。

② 公正性是良好的法律制度的基本标准之一。如果答记者问和卫生部汇报所主张的公共福利论, 从所谓“患者能够获得的赔偿数额与该患者自付的医疗费用应当实现某种程度的等价性”的观点看, 确实还带有那么点“公正性或公平性”的意味的话, 那么, 卫生部在以我国医疗具有公共福利性为事实根据之一设计医疗事故的赔偿制度时, 就应当充分注意患者与医疗服务福利性的关系的多样性, 所设计的赔偿制度就应当能够保证各个医疗事故的被害患者都有可能按照所谓“等价性”原则获得相应数额的赔偿。很可惜, 现行条例的赔偿规定在这个问题上犯了严重的一刀切的错误。说的极端一点, 它使得医疗费用自付率百分之百的患者, 在其他条件相同的情况下, 只能获得医疗费用自付率几乎接近于零的患者所能够获得的赔偿数额。

③ 从立法技术论上看, 卫生部的失误在于, 她将医疗服务的福利性这个因案而异•极具多样化和个别化的事实,因而只能在各个案件的处理或裁判时才可能确定的事实,当作她在制定统一适用的赔偿标准时所依据的事实即所谓“立法事实”(具有一般性或唯一性并且在立法之时能够确定或预见的事实)。卫生部显然没有分清什么样的事实属于立法事实,可以被选择作为立法的依据, 什么样的事实不属于立法事实, 因而不应当被作为立法的依据,只能被选择作为法的实施机关在将法规范适用于特定案件时认定或考虑的事实。混淆二者,是立法上的大忌。如果将后者作为前者加以利用而不是作为一个因素或情节指示法的实施机关在处理具体案件时加以认定或考虑, 那么,制定出来的法就不仅会因其事实根据的不可靠而可能成为脱离实际的有片面性的法, 而且在其适用中可能成为不公正的法。如前所述,为了避免条例制定的赔偿标准在适用中引起明显的不公正后果, 卫生部原本(如果她认为在政策上确实有此必要的话)应当将涉及福利性的问题作为医疗事故处理机关在具体确定赔偿数额时应当考虑的因素之一,同医疗事故等级等因素一起,在条例第49条第1款中加以规定。

(3) 即使我国医疗行业具有相当高度的、相当广泛的、对不同的患者而言相当均等的福利性( 比如达到了日本或一些欧州国家的程度), 以其为据限制医疗事故赔偿也是没有说服力的。

① 生命健康权是人的最基本的权利, 理所当然地受到现行宪法和一系列相关法律的保护。充分保障这一权利, 建立具有适当程度的公共福利性的医疗制度和社会保障制度, 使每一位居民, 不论其经济能力如何, 都能得到相当质量的必要的医疗服务, 是政府在宪法上的责任。我国医疗行业保留一定范围和一定程度的公共福利性，政府从财政上给予医疗事业必要的支持, 应当被理解为是人民权利的要求, 是政府对其宪法责任的履行, 而不应当被看成是政府对人民的恩惠。财政对医疗事业的投入, 并非来自政府自己的腰包, 而是人民自己创造的财富。在笔者看来, 以医疗行业的公共福利性为理由的医疗事故赔偿限制论, 似乎缺少人民的宪法权利和政府的宪法义务这一基本的宪法意识, 自觉或不自觉地把医疗行业的公共福利性看成是政府通过医疗机构的服务对百姓患者实施的恩惠。

② 如果说社会福利在有些资本主义国家(比如美国)的一个时期内, 曾被仅仅视为国家对社会的弱势群体的特殊照顾或恩惠(不是被视为福利享受者的法律上的权利)的话, 那么就应当说在社会主义国家,它当然应当被首先理解为国家性质的必然要求。我国只要还坚持宣告自己是社会主义性质的国家, 就必须坚持这种理解。以医疗行业的公共福利性为理由的医疗事故赔偿限制论, 似乎缺少鲜明的社会主义观念, 自觉或不自觉地把医疗福利仅仅理解为政府所采取的一种爱民利民政策。

③ 任何社会福利政策,只有获得了完全意义上的法律保障才可能真正为人民带来切实可靠的福利。笔者在此所说的完全意义上的法律保障是指,不仅福利的提供要有法律保障, 而且在福利的享受者因福利的具体提供者的过错而受到损害的情况下也要有充分的法律救济的保障。 否则, 提供福利的法律保障就失去了充分的现实意义, 人民享受的福利就只能是残缺不全的福利。以医疗行业的公共福利性为理由的医疗事故赔偿限制论, 似乎缺少全面法律保障的观点, 它弱化了法律救济的机能, 使本来就程度很低•范围很窄的医疗福利退化为残缺不全的福利。

安全审计的类型范文第2篇

关键词：计算机；网络安全；安全审计系统；设计；应用

0 引言

自人类发明第一台计算机以来，计算机技术以飞快的速度发展，并在短时间内在各行各业中得到普及。计算机技术的普及，在很大程度上推动了人类文明前进的步伐。计算机网络已经成为我们生活不可或缺的工具之一，正因为计算机网络的存在，使得我们生活更加方便快捷。但是计算机网络是一把双刃剑，它在给我们生活带来巨大便利的同时，也给我们的信息安全构成了巨大威胁。正因为这些威胁的存在，使得人们对网络安全审计系统的正常功能产生了质疑。针对这种情况，本文在阐述网络安全审计系统特点及功能的基础上，对网络安全审计系统的设计进行了研究。希望本文的提出，能为提高网络安全管理提供强有力的参考依据。

1 安全审计系统的功能应用研究

1.1 系统的实际应用情况

一般来讲，只要安全审计系统投入使用，该系统便能非常准确的、全面的将用户在网上的各项操作以及数据库服务器的运行状况记录下来。如果出现以下类型事件如企业员工利用电子邮箱或网络共享的方式进行文件传递时，遇到文件信息泄露情况；企业员工借助论坛平台，发表一些对社会可能造成不良影响的言论时；网络维护人员在对计算机网络进行维护的过程中，使用违规炒作对系统数据库进行操作，致使业务系统的安全性得不到有效维护。只要出现上述类型的事件，安全审计系统都能实行快速定位功能，找出事件的主要负责人，从而为网络违规事件的处理善后工作提供便利条件。除此之外，网络安全审计系统还能实时掌控网络的运行状况，防止那些重要的机密性信息的泄漏，通过对内部网络数据信息进行实时的监控，以智能化的手段对信息进行分析、预估及检测，准确定位那些可能影响系统安全运行的因素，为营造一个更加健康、更加和谐、更加稳定的网络信息环境提供保障。

1.2 安全审计系统的运行方式及部署

不可否认，安全审计系统主要致力于审计网络安全行为，因此，旁路无疑是一种非常可行的部署策略。通常来讲，安全审计系统都必须具备一定数量的以太网接口，而且网络传输速度应保证大于200Mbps，其中一个以太网接口用作设备控管，其它的以太网接口用作数据收集、分析、处理、回收接口。就目前来讲，应用最普遍的以太网接口主要有两个，它们分别用于接入局域网服务器的交换机及关键部位的交换机中。通过局域网服务器的操作行为以及审计数据库的运行状况，对互联网用户的上网信息进行实时审计。通常来讲，安全审计系统的指挥中心都设置在同一台服务器上，它的主要功能是对安全审计系统的日志进行接收及存放。

2 网络安全审计系统的设计

本文在CC标准体系的指导下，设计了一套较为完整的网络安全审计系统，该系统具有多层次的结构特点，现将系统结构及设计方案分析如下。

2.1 系统结构

在某种程度上可以将网络安全审计系统看作是一种多层次上的审计，它既能满足低层次网络通信的审计要求，又能满足高层次网络应用服务的审计要求。因此，网络安全审计系统的目标是实现多层次的审计，其结构图如图1所示。

不同层次的审计结构完成不同层次的审计要求，对于那些数量较多且比较分散的大规模网络，整个网络系统都应覆盖安全审计系统，即实现安全审计系统的全方位审计，只有这样，才能保证网络的整体安全性。从这方面来讲，网络安全审计系统是一种全面审计的系统。

通过在网络上建立一支有效的“巡警队伍”，该“巡警队伍”能够对整个网络系统进行审计。网络安全审计系统主要由网络审计设备、网络审计软件以及网络审计中心三部分构成。网络审计设备的主要作用是将网络上传送的信息进行还原，并分析其入侵性，即所谓的低层次审计环节，网络审计设备能以旁路的方式接入系统中；网络审计软件则以嵌入的方式计入主机操作系统中，它的主要功能是收集异常事件，完成中层审计环节，此外网络审计软件还配备高层应用接口，因此具备一定的高层审计功能；网络审计设备及软件通常安置在所需监视网络的关键节点上，起到数据信息接收及发送的作用。网络审计中心则能够分析处理数据，起到控制管理网络审计设备、软件的作用。

2.2 功能的设计

网络安全设计系统主要由探测器及审计主机构成，首先，它既不用作网络串联设备；其次，它也不影响网络结构构成；最后，它不会妨碍业务的正常运行。本文以下内容就对网络安全审计系统的设计问题进行分析。

2.2.1 数据库管理及审计模块

在该模块中，通过对数据库的关键性操作行为进行审计，现对信息系统中每一位用户的访问状况进行跟踪、分析，对这些用户的登陆及退出操作进行审计，从而实现准确回顾SQL语句的作用，从根本上保证数据库运行状况的安全可靠性。

2.2.2 主机审计模块

主机审计模块主要用户对关键区域内的客户机进行审计访问，它的主要工作内容是设定必要的计算机终端访问权限，提高终端访问门槛。此外，该模块还会对那些安全系数较低的软件进行审计，为配置审计对策以及网络的安全运行提供保障。

2.2.3 网络审计模板

该模板能够起到加强系统的控制及审计能力，在强化系统信息控制管理方面发挥着重要作用。网络审计模板的正常运行，能够有效地防止非法内外连接现象，实现对网络信息的实时监控，通过采取雄厚的技术力量防止信息泄露事故的出现。

2.2.4 运行维护审计模板

运行维护审计模板的主要作用是对第三方的运行维护员工进行监控，它的工作重点在于对系统各项操作行为进行科学细腻的审计。另外，针对于所有远程访问设备的会话连接，从而实现同步过程监控的目标，在系统监控画面上，系统运行维护员工执行的每一项操作都会清楚的显示出来。系统管理员能够根据系统实际情况，及时阻断那些违反操作规定的操作会话，并把访问者以及被访问人员的访问时间段以及与之相对应的 IP/MAC 地址记录下来。

3 结束语

安全问题随着计算机的问世而随着产生，尤其是在网络盛行的今天，许多部门及企业更是将网络安全问题提到了议事日程。因此，构建一个科学合理的计算机网络安全审计系统，对于银行、大型企业、证券公司以及科研院校等对网络安全有较高要求的地方显得尤为重要。本文在阐述网络安全审计系统功能应用的基础上，设计出了一套较为完整的网络安全审计系统。实践证明，该系统能够对网络运行状态进行实时监视，极大地提高了计算机网络的安全防范能力。但是需要指出的是，由于笔者水平有限，希望本文能够起到抛砖引玉的作用，相关研究人员继续深化这方面的研究，为设计出更加高效的网络安全审计系统而不懈努力[4]。

参考文献

[1] 吴承荣，谬健，张世永. 网络安全审计系统的设计和实现[J].计算机工程，1999， （25）：171-174.

[2] 石 彪， 胡华平，刘利枚. 网络环境下的日志监控与安全审计系统设计与实现[J].福建电脑，2004，（12）：43-44.

安全审计的类型范文第3篇

【关键词】网络安全 审计 态势预测

目前网络已经在各行业中被广泛地普及，人们对网络的依赖日益增加。然而网络攻击事件却也是愈发频繁。面对大量的病毒入侵，传统的防火墙、入侵检测等技术逐渐呈现出疲态，已满足不了现阶段的网络安全防御需求。

1 网络安全审计技术

1.1 网络安全审计系统的问题

1.1.1 日志格式无法兼容

不同厂商的系统产生的日志格式一般是无法兼容的，这就对集中网络安全事件进行分析，增加了难度。

1.1.2 日志数据管理困难

日志的数据会随着时间不断地增加，但日志容量有限，一旦超出容量，数据不能轻易地处理掉。

1.1.3 日志数据集中分析困难

如果攻击者针对多个网络进行攻击，由于日志不能兼容，就只能单个进行分析，这样不仅工作量大，而且很难发现攻击者的踪迹。

1.1.4 缺少数据分析和统计报表自动生成机制

日志数据每天都会有所增加，工作内容过多，管理者就只能一个个查看下去，所以数据分析和统计报表的自动生成机制是必要的，能够最大程度减少管理者的工作量。

1.2 网络安全审计系统的主要功能

1.2.1 采集日志数据类型多样化

如入侵检测日志、防火墙系统日志、操作系统日志、应用和服务系统日志等。

1.2.2 多种日志统一管理

便于将采集的各种复杂的日志格式转化为统一日志格式，实现多种日志信息的统一管理目标。

1.2.3 日志查询

可以支持大部分查询方式对网络的日志记录信息进行查询，并将信息以报表的形式显示。

1.2.4 入侵检测

利用多种相关规则对网络产生的日志和报警信息进行分析，能够有效地检测出较为隐蔽的安全事件。

1.2.5 集中管理

审计系统建立统一的集中管理平台，将日志数据库、日志、安全审计中心集中起来进行管理。

1.2.6 安全事件响应机制

根据事件类型，可以选择相应的报警响应方式。

1.2.7 实时监控网络动态

对有的特定设备可以实施监控到日志内容、网络行为等。

1.2.8 安全分析报告自动生成

通过分析数据库中的日志数据、网络安全性，自动输出分析报告。

2 网络安全态势预测技术

2.1 网络安全态势预测技术的作用

大数据时代互联网可以利用光纤、无线网络接入终端、服务器设备，实现信息化系统共享数据、传输的目的。但随着科技不断发展，网络面临的攻击力度和方式愈发强了，以致网络随时面临着病毒的侵入。然而网络安全事件发生动态不明，所以需要采用态势预测措施，其通过分析过去以及现在网络安全事件的走势，预测未来网络安全事件的走势，以此协助安全管理人员作出正确的判断。目前，态势预测技术属于网络安全防御手段中最有效的技术之一，其采用了先进的分析技术，能够随时对不确定的信息进行统计，建立科学、高效的网络安全态势预测趋势图，进而彰显安全态势预测的实用性。

2.2 网络安全态势预测技术的研究

态势预测技术的效果获得了国内外许多学者的认可，目前已经在很多领域中广泛的应用和研究，从而延伸出许多态势预测技术，其中最为关键的技术有自回归移动平均模型、神经网络预测模型。

2.2.1 自回归移动平均模型

自回归移动平均模型体现方式是非常常用的随机序列构建而成的模型，其建模过程包括序列检验、序列处理、模型识别、参数估计以及模型检验。识别序列中存在的相关性以及只通过数学模型详细记录序列的连续性是自回归移动平均模型的主要目标。在执行自回归移动平均模型中，序列检验主要针对数据的随机性和平稳性进行检测；序列处理通常采用差分运算法、函数变换方法、周期差分法等对序列进行处理；常用的参数估计方法有矩估计、最小二乘估计等；模型检验的目的是为了检验参数的序列类型，若是属于白噪声序列，则可以通过检验。自回归移动平均模型在应用过程中，需要存在态势序列满足平稳性假设的条件，但要完成这个条件极为困难，所以限制了该模型的使用范围。

2.2.2 神经网络预测模型

神经网络采用学习算法模仿正常的网络数据行为，能够利用模仿数据提取查询相关正常数据，并储存在网络数据库里，方便识别不正常的数据行为，所以神经网络预测模型是一种网络安全态势预测算法，且非常具有有效性。神经网络能够训练数据学习的自主性、自适应性，且能够区分正常数据以及掌握最流行的网络攻击行为特征，进而掌握正常的安全事件行为模式。完成训练后，神经网络可以对网络事件行为特征进行分析和识别，并记录行为特征的变化，从而检验出可能存在的异常行为。由此可见，神经网络可以在训练时通过调整神经网络参数权值实现分布式存储、并行处理和容错的能力，其还具有较强的适应能力和非常强的抗干扰能力。神经网络在网络安全审计系统应用过程中，存在一些问题，如样本数据获取困难、检验精度对神经网络训练次数的依赖性强等。

3 结语

态势预测技术作为新兴的网络安全防御技术，可以通过分析过去以及现在安全事件走势，进而预测未来一定时期网络安全事件的走势。而安全审计系统虽然存在一些需要考虑的问题，但其具有很好的兼容性，能与其他防御系统联合运用，以此配合态势预测技术，必定能够协助安全管理员解决问题，从而降低网络攻击次数。

参考文献

[1]薛丽敏，李忠，蓝湾湾.基于在线学习RBFNN的网络安全态势预测技术研究[J].信息网络安全，2016（04）：23-30.

[2]郑士芹.大数据时代网络安全态势预测关键技术探讨[J].黑龙江科技信息，2015（32）：204.

作者简介

黄瑜帅（1982-），男，广东省惠州市人。硕士研究生学历。现供职于惠州市公安局网络警察支队（惠州市电子数据检验鉴定中心）。

安全审计的类型范文第4篇

网络现在已经广泛运用于人类生活和工作的各个方面，因此也受到了学校的关注。校园网络管理者一直都关注着学校中的网络，因为在校园中的使用网络的用户比较多，其规模也相当大，所以管理起来就非常困难。笔者从网络安全审计的角度入手，对目前大部分学校网络的安全现状进行了分析，然后对校园网络安全审计的具体应用作了阐述，随后总结出网络安全审计在校园网安全管理中的作用

关键词：

校园网；安全管理；网络安全审计

在计算机与网络迅速发展的当代，互联网已经为人类做出了不可小觑的贡献，尤其是在教学方面，教师已经习惯运用信息化手段来教学，但是就在互联网盛行的时代，出现了很多负面的非法信息，这使学生的人生观以及价值观都受到了影响，更有甚者非法站点介入了校园内部的网站，窃取了某些信息，将其泄漏出去，使学生的学习以及教师的工作受到了严重的影响。由此看来，规范校园网络使用行为，保证校园网络能够健康、稳定地运行是目前我国大多数学校应该重视的问题。

1校园网网络管理现状

从我国大部分校园网络使用情况来看，校园网络中出现了以下几种状况：（1）首先校园内部网络使用者没有经过严格的用前培训，因此有很多校园内部使用者都会对校园网络产生供给威胁；（2）校园外部互联网接入内部，校园内部网络出现了很多的病毒，同时也受到了攻击性的威胁；（3）很多来自外部的移动终端以及计算机带来了很大的隐患；（4）网络上不良信息以及垃圾邮件对校园网络产生的威胁。

2校园网网络安全审计的功能及内容

2.1网络安全审计其指的是依照制定的策略，使用审计工具，来对用户以及系统活动进行记录，并分析数据等，以此来审查网络的安全，避免出现一些人为错误，这样就能够掌握系统是否有漏洞，对资源进行科学、合理地调配，保证系统能够健康、稳定地运行。

2.2网络安全审计的要点在管理校园网的过程中，对网络的审计内容主要包括以下这么几点：

2.2.1实时审计也就是说对正在发生的网络行为进行监督，争取能够在第一时间内将非法操作以及不良网站进行封堵，或者报警，监督的内容不仅包括上网时间、下载文件的类型，还有上网流量等。

2.2.2日志审计将网络运行的日志记录下来，全面管理操作系统的运行日志和数据访问日志，并对其进行分析和处理。

2.2.3内容审计此审计也可以在实时审计以及日志审计当中使用，审计聊天、发帖以及电子邮件中的信息。实时审计主要是对信息的出入口进行严密的监测，分析和对比信息中的关键字，对非法文字或者敏感字段进行报警，在这些工作进行的过程中，将整个过程记录在日志当中，以此作为审查的原始材料。

2.2.4实时跟踪这是对那些进发生并且有追溯、挽回可能的活动信息进行实时跟踪，将之后的活动信息记录下来，以便追溯非法行为或者犯罪行为。

3网络安全审计在校园网安全管理中的作用

网络安全管理中最为重要的一部分就是网络安全审计，这可以帮助校园维护网络安全稳定运行，师生上网行为得以规范等工作更加顺利地进行。

（1）网络安全审计在过滤URL地址等关键字之后，既能阻止不良网站中的不良信息接入校园网络，与此同时能够使网络得以很大程度的保护，保护其不受外来网络中病毒的侵害，使系统中最基本的安全能够达到相应的标准。除此之外，因为日志审计能够保存系统运行过程当中的相关信息和日志，因此就能够在事后进行查询，将内部攻击的可能性降到最低，并且能够使潜在的隐患得以震慑。

（2）实时审计能够有效规范校内师生上网过程中的审计内容，监督并阻止教职工利用职务之便或者上班时间滥用网络资源，阻止学生不规范上网的行为，将校园网的有效资源的价值发挥到最大限度。

（3）内容审计能够将关键词与敏感词有效地阻止在外，避免了垃圾邮件，以及不良信息在校园网络中扩散，这样一来就能够对校园网络中的犯罪行为实施有效监控，使学校的名誉不被破坏。

（4）系统分析哪些有价值的日志信息，能够使系统管理员及时发现并修复系统中隐藏的漏洞，除此之外，系统运行统计日志能够将系统性能中存在的问题反应出来，使系统管理员有了观察、处理网络系统的工具。如此一来，对网络性能实施及时调整，为关键应用提供充足的资源，还能使系统管理员具有针对性地进行系统维护，这对提高工作效率有很大的帮助。

（5）有效追查已经发生，但还有可能挽回的行为，不仅能够追溯违法犯罪的行为，还能够追溯系统性能的好与坏，这对追查已发生行为具有非常重要的意义。

4结语

近年来，互联网的飞度发展，使校园有了更加丰富的教学资源，给教师带来了便利的办公方式和多种多样的教学手段，让学生们的课余生活更加精彩，但是却也给校园网络带来了很大隐患。因为校园网用户多、规模大、使用者的活跃度较高等特点，所以非常难管理，但是因为其涉及到教师与学生的日常工作与学习中，所以对其进行严格管理也是极其重要的一项工作。使用校园网络安全系统，能够使网络监控效率得以提高，所以说在学校具体的使用中，应该根据校园网的实际情况，对其设计科学的审计计策，让审计内容变得多样化，争取使校园网的有效资源的价值发挥到最大限度。

参考文献

[1]杨克领.IDS技术及其在校园安全管理中的应用[J].商丘师范学院学报,2014(09).

[2]汪杨,王艳玮.ISO/IEC17799在校园网信息安全管理中的应用[J].科学与管理,2010(05).

安全审计的类型范文第5篇

1利用网络及安全管理的漏洞窥探用户口令或电子帐号，冒充合法用户作案，篡改磁性介质记录窃取资产。

2利用网络远距离窃取企业的商业秘密以换取钱财，或利用网络传播计算机病毒以破坏企业的信息系统。

3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”，越来越多的经济业务的原始记录以电子凭证的方式

存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单，就有可能将公私财产的所有权进行转移。

计算机网络带来会计系统的开放与数据共享，而开放与共享的基础则是安全。企业一方面通过网络开放自己，向全世界推销自己的形象和产品，实现电子贸易、电子信息交换，但也需要守住自己的商业秘密、管理秘密和财务秘密，而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境，抵抗来自系统内外的各种干扰和威协，做到该开放的放开共享，该封闭的要让黑客无奈。

一、网络安全审计及基本要素

安全审计是一个新概念，它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并作出相应评价。

没有网络安全，就没有网络世界。任何一个建立网络环境计算机会计系统的机构，都会对系统的安全提出要求，在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢？这是一般人心中无数也最不放心的问题。应该肯定，一个系统运行的安全与否，不能单从双方当事人的判断作出结论，而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识，而且具有丰富的安全审计经验，只有他们才能作出客观、公正、公平和中立的评价。

安全审计涉及四个基本要素：控制目标、安全漏洞、控制措施和控制测试。其中，控制目标是指企业根据具体的计算机应用，结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节，容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较，确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效，评价企业安全措施的可依赖程度。显然，安全审计作为一个专门的审计项目，要求审计人员必须具有较强的专业技术知识与技能。

安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危，更涉及到企业的经济利益。因此，我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中，国家安全审计机关应依据国家法律，特别是针对计算机网络本身的各种安全技术要求，对广域网上企业的信息安全实施年审制。另外，应该发展社会中介机构，对计算机网络环境的安全提供审计服务，它与会计师事务所、律师事务所一样，是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时，他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家，他们对网络的安全控制作出评价，帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。

二、网络安全审计的程序

安全审计程序是安全监督活动的具体规程，它规定安全审计工作的具体内容、时间安排、具体的审计方法和手段。与其它审计一样，安全审计主要包括三个阶段：审计准备阶段、实施阶段以及终结阶段。

安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况，并对安全审计工作制订出具体的工作计划。在这一阶段，审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。

1了解企业网络的基本情况。例如，应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网（VPN）？

2了解企业的安全控制目标。安全控制目标一般包括三个方面：第一，保证系统的运转正常，数据的可靠完整；第二，保障数据的有效备份与系统的恢复能力；第三，对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。

3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划，了解所有有关的控制对上述的控制目标的实现情况，系统还有哪些潜在的漏洞。

安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试，以明确企业是否为安全采取了适当的控制措施，这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品，如网络安全测试产品、网络监视产品、安全审计分析器。

安全审计终结阶段应对企业现存的安全控制系统作出评价，并提出改进和完善的方法和其他意见。安全审计终结的评价，按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级：危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患（如缺乏合理的数据备份机制与有效的病毒防范措施）和系统的盲目开放性（如有意和无意用户经常能闯入系统，对系统数据进行查阅或删改）。不安全是指系统尚存在一些较常见的问题和漏洞，如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标，其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等，其他小问题发生时不影响系统运行，也不会造成大的损失，且具有随时发现问题并纠正的能力。

三、网络安全审计的主要测试

测试是安全审计实施阶段的主要任务，一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。

下面是对网络环境会计信息系统的主要测试。

1数据通讯的控制测试

数据通讯控制的总目标是数据通道的安全与完整。具体说，能发现和纠正设备的失灵，避免数据丢失或失真，能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标，审计人员应执行以下控制测试：（1）抽取一组会计数据进行传输，检查由于线路噪声所导致数据失真的可能性。（2）检查有关的数据通讯记录，证实所有的数据接收是有序及正确的。（3）通过假设系统外一个非授权的进入请求，测试通讯回叫技术的运行情况。（4）检查密钥管理和口令控制程序，确认口令文件是否加密、密钥存放地点是否安全。（5）发送一测试信息测试加密过程，检查信息通道上在各不同点上信息的内容。（6）检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障，其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如，防火墙应具有拒绝任何不准确的申请者的过滤能力，只有授权用户才能通过防火墙访问会计数据。

2硬件系统的控制测试

硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括：实体安全、火

灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。

3软件系统的控制测试

软件系统包括系统软件和应用软件，其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为，保障系统正常运行。对软件系统的测试主要包括：（1）检查软件产品是否从正当途径购买，审计人员应对购买订单进行抽样审查。（2）检查防治病毒措施，是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。（3）证实只有授权的软件才安装到系统里。

4数据资源的控制测试

数据控制目标包括两方面：一是数据备份，为恢复被丢失、损坏或扰的数据，系统应有足够备份；二是个人应当经授权限制性地存取所需的数据，未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能，以及在日常工作中是否真正实施了这些功能。根据系统的授权表，检查存取控制的有效性。

5系统安全产品的测试

随着网络系统安全的日益重要，各种用于保障网络安全的软、硬件产品应运而生，如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全，安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如，检查安全产品是否经过认证机构或公安部部门的认征，产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。

四、应该建立内部安全审计制度