安全审计机制范文第1篇

关键词：涉密网络；安全审计；主机审计；系统设计

1　引　言

随着网络与信息系统的广泛使用，网络与信息系统安全问题逐渐成为人们关注的焦点。

涉密网与因特网之间一般采取了物理隔离的安全措施，在一定程度上保证了内部网络的安全性。然而，网络安全管理人员仍然会对所管理网络的安全状况感到担忧，因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应，单个用户计算机的安全性不足时刻威胁着整个网络的安全[1]。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。

本文从系统的、整体的、动态的角度，参照国家对安全审计产品的技术要求和对部分主机审计软件的了解，结合实际的信息安全管理需求，讨论主机审计系统的设计，达到对终端用户的有效管理和控制。

2　安全审计概念。

计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性，简称“五性”，安全审计是这“五性”的重要保障之一[2]。

凡是对于网络信息系统的薄弱环节进行测试、评估和分析，以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段，都可以叫做安全审计[3]。wWW.lw881.com

传统的安全审计多为“日志记录”，注重事后的审计，强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变，美国首先在信息保障技术框架（iatf）中提出在信息基础设置中进行所谓“深层防御策略（defense2in2depthstrategy）”，对安全审计系统提出了参与主动保护和主动响应的要求[4]。这就是现代网络安全审计的雏形，突破了以往“日志记录”

等浅层次的安全审计概念，是全方位、分布式、多层次的强审计概念，符合信息保障技术框架提出的保护、检测、反应和恢复（pdrr）动态过程的要求，在提高审计广度和深度的基础上，做到对信息的主动保护和主动响应。

3　主机审计系统设计。

安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作，并从已有的主机系统审计记录中提取信息，依据审计规则分析判断是否有违规行为。

一般网络系统的主机审计多采用传统的审计，涉密系统的主机审计应采用现代综合审计，做到对信息的主动保护和主动响应。因此，涉密网络的主机审计在设计时就应该全方位进行考虑。

3.1　体系架构。

主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为b/s架构，管理端通过浏览器访问控制中心。对于管理端，其操作系统应不限于windows,浏览器也不是只有ie。管理端地位重要，应有一定保护措施，同时管理端和控制中心的通讯应有安全保障，可考虑隔离措施和shttp协议。

主机审计能够分不同的角色来使用，至少划分安全策略管理员、审计管理员、系统管理员。

安全策略管理员按照制定的监控审计策略进行实施；审计管理员负责定期审计收集的信息，根据策略判断用户行为（包括三个管理员的行为）是否违规，出审计报告；系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录，对系统的操作互相配合，同时互相监督，既方便管理，又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心，所有信息都保存在控制中心。因此，控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警，提醒管理员及时备份并删除信息，保证审计系统能够采集新的信息。

3.2　安全策略管理。

不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩，体现安全管理意志。在审计系统上实施安全策略前，应根据安全管理思想，结合审计系统能够实现的技术途径，制定详细的安全策略，由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善，审计越彻底，越能反映主机的安全状态。

主机审计的安全策略由控制中心统一管理，策略发放采取推拉结合的方式，即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时，控制中心可以及时将策略发给受控端。但是，当受控端安装了防火墙时，推送方式将受阻，安全策略发送不到受控端。由受控端向控制中心定期拉策略，可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机（服务器、联网pc机）通过网络接收控制中心的管理策略向控制中心传递审计信息。单机（桌面pc或笔记本）通过外置磁介质（如u盘、移动硬盘）接收控制中心管理策略。审计信息存放在主机内，由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用ssl加密方式传输，确保数据在传输过程中不会被篡改或欺骗。

为了防止受控端脱离控制中心管理，受控端程序应由安全员统一安装在受控主机，并与受控主机的网卡地址、ip地址绑定。该程序做到不可随意卸载，不能随意关闭审计服务，且不影响受控端的运行性能。受控端一旦安装受控程序，只有重装操作系统或由安全员卸载，才能脱离控制中心的管理。联网时自动将信息传到控制中心，以保证审计服务不会被绕过。

3.3　审计主机范围。

涉密信息系统中的主机有联网主机、单机等。常用操作系统包括windows98,windows2000,windowsxp,linux,unix等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等，实现使用同一软件解决联网机、单机、笔记本的审计问题。

根据国家有关规定，涉密信息系统划分为不同安全域。安全域可通过划分虚拟网实现，也可通过设置安全隔离设备（如防火墙）实现。主机审计系统应考虑不同安全域中主机的管理和控制，即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心，以便统一进行审计。同时能给出简单网络拓扑，为管理人员提供方便。

3.4　主机行为监控。

一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多，不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能，主要用于检查终端的安全策略执行情况，包括补丁安装、弱口令、软件安装、杀毒软件安装等，形成检查报告，让使用人员对本机的安全状况有一个清楚的认识，从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。

主机审计系统对使用受控端主机人员的行为进行限制、监控和记录，包括对文档的修改、拷贝、打印的监控和记录，拨号上网行为的监控和记录，各种外置接口的禁止或启用（并口、串口、usb接口等）,对usb设备进行分类管理，如usb存储设备（u盘，活动硬盘）、usb输入设备（usb键盘、鼠标）、usb2key以及自定义设备。通过分类和灵活设置，增强实用性，对受控主机添加和删除设备进行监控和记录，对未安装受控端的主机接入网络拒绝并报警，防止非法主机的接入。

主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息；未通过认证的非法介质只能将信息拷入主机内，不能从主机拷出信息到介质内，否则产生报警信息，防止信息被有意或者无意从存储设备（尤其是移动存储设备）泄漏出去。在认证时，把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时，判断信息密级（国家有关部门规定，涉密信息必须有密级标识）,拒绝低密级介质拷贝高密级信息。

在认证时，把移动介质编号，编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号，以便审计时介质与人对应。涉密信息被拷贝时会自动加密存储在移动介质上，加密存储在移动介质上的信息也只能在装有受控端的主机上读写，读写时自动解密。认证信息只有在移动介质被格式化时才能清除，否则无法删除。有防止系统自动读取介质内文档的功能，避免移动介质接在计算机上（无论是合法还是非法计算机）被系统自动将所有文档读到计算机上。

3.5　综合审计及处理措施。

要达到综合审计，主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理，如主机ids、主机防火墙、防病毒软件等，将这些安全产品的日志、安全事件集中收集管理，实现日志的集中分析、审计与报告。同时，通过对安全事件的关联分析，发现潜在的攻击征兆和安全趋势，确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体，实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应，从而有效提升用户主机的可管理性和安全水平，为整体安全策略制定和实施提供可靠依据。

系统的安全隐患可以从审计报告反映出来，因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计，按要求显示并打印出来，能用图形说明问题，能按标准格式（word、html、文本文件等）输出。但是，审计信息数据多，直接将收集的信息分类整理形成的报告不能很好的说明问题，还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密，恢复时自动解密。审计信息也可以删除，但是删除操作只能由审计员发起，经安全员确认后才执行，以保证审计信息的安全性、完整性。

审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理，通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统，由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突，会影响终端用户的工作。针对这种情况，只能采取专门的解决方案。

在复杂的网络环境中，一个涉密网往往由不同的操作系统、服务器，防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后，专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准，会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务，将控制中心设置为标准时间，受控端在接收管理的同时，与控制中心保持时间同步，实现审计系统的时间一致性，从而提供有效的入侵检测和事后追查机制。

4　结束语

涉密系统的终端安全管理是一个非常重要的问题，也是一个复杂的问题，涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想，旨在与广大同行交流，共同推进主机审计系统的开发和研究，最终开发出一个全方位的符合涉密系统终端安全管理需求的系统。

参考文献：

[1]　网络安全监控平台技术白皮书。北京理工大学信息安全与对抗技术研究中心，2005.

[2]　王雪来。涉密计算机信息系统的安全审计。见：中国计算机学会信息保密专业委员会论文集，13:67-72.

安全审计机制范文第2篇

一、信息安全概况

随着信息技术的飞速发展，金融机构生产、使用和共享的信息呈现几何增长的态势，信息传递的方式和渠道急剧增加，在为金融机构带来收益和效率的同时，也使信息安全问题更加凸显。在全球范围内，信息安全事件频发，给银行和客户造成经济损失的同时，也带来了巨大的声誉损失。如何有效提升信息安全管理水平，成为银行关注的焦点。信息安全审计作为信息安全保障工作中的重要一环，能够促进信息安全控制措施的落实，规范信息安全管理，提高全员信息安全意识，从而有利于保持和持续改进银行信息安全能力和水平。

根据当前的信息安全管理体系国家标准GB/T22080-2008（等同采用ISO/IEC27001:2005），信息安全保障工作从整体看应包括四个阶段：一是规划和建设阶段（Plan，简称“P阶段”）；二是实施和运行阶段（Do，简称“D阶段”）；三是监视和评审阶段（Check，简称“C阶段”）；四是保持和改进（Act，简称“A阶段”）。这四个阶段按顺序循环往复，从而使信息安全得到持续改进。这种方法也被称为“PDCA循环”，如图1所示。

经过近十几年的努力，金融行业信息安全保障工作已经普遍走过了“P阶段”和“D阶段”，金融行业的信息安全需求已基本明确，满足信息安全需求的基础设施也基本具备。经过大范围的规划建设，各金融机构已经建立了相对完备的信息安全软硬件环境，初步形成了信息安全保障体系。尽管如此，作为关系国计民生的重要基础产业，金融行业对信息安全有着更高的要求，也面临着更大的信息安全风险挑战。近年来，金融行业频繁发生的信息安全事件表明，金融行业信息安全保障工作还存在很多缺陷和不足。导致这一局面的因素很多，其中一个重要的原因就是大家普遍重视信息安全的建设和运行，而忽视了信息安全工作的检查和改进。从整体上看，金融行业信息安全保障工作已经走过“P阶段”和“D阶段”，尚未进入“C阶段”和“A阶段”，还没有形成完整的基于“PDCA”过程方法的持续改进机制。接下来金融行业信息安全工作的重心应该转向检查和改进。信息安全审计是“C阶段”的主要手段。它利用传统财务审计和审计工作的规范与严谨，结合信息和保密技术的工具与手段，对金融机构信息安全工作的成效和不足给出客观、确定的审计结论，并根据审计结果，对金融机构的信息安全保障工作提出改进措施、给出合理化建议。

为了对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等主要方面提出高标准、高要求，满足商业银行信息科技风险管理的需要，银监会2009年了《商业银行信息科技风险管理指引》，其中第六十五条规定：“商业银行应根据业务性质、规模和复杂程度，信息科技应用情况，以及信息科技风险评估结果，决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”

二、国内外信息安全审计现状

（一）国外信息安全审计发展与现状

在建立信息安全审计制度，开展信息安全审计研究方面，美国走在了世界前列。早在计算机进入实用阶段时，美国就开始提出系统审计（SYSTEMAUDIT）概念。1969年在洛杉矶成立了电子数据处理审计师协会（EDPAA），1994年该协会更名为信息系统审计与控制协会（ISACA），总部设在美国芝加哥。自1978年以来，由ISACA发起的注册信息系统审计师（CISA）认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的被广泛认可的标准。目前该组织在世界上100多个国家设有160多个分会，现有会员两万多人。

1999年，美国国家审计署（GAO）《联邦信息系统控制审计手册》（第一版），为美国联邦政府实施信息安全审计提供基本准则和方法。2001年，GAO《联邦信息系统安全审计管理的计划指南》，用于为美国联邦政府实施信息安全审计提供具体指导；2009年，GAO《联邦信息系统控制审计手册》（第二版），该手册成为现阶段美国联邦政府实施信息安全审计的事实标准。

近年来，美国通过立法赋予信息安全审计新的意义，并对企业实施信息安全审计产生重大影响。2002年，美国安然公司和世通财务欺诈案爆发后，美国国会和政府紧急通过了《萨班斯——奥克斯利法案》（Sarbanes-OxleyAct，简称萨班斯法案）。萨班斯法案第302条款和第404条款明确要求“，通过内部控制加强公司治理，包括加强与财务报表相关的IT系统内部控制，而信息安全审计正是IT系统内部控制的核心。”2006年底生效的《巴塞尔新资本协议（》BaselII），要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备，迫使各银行必须做好风险控管，而这一“金融作业风险”的防范也正是需要业务信息安全审计为依托。

近一段时期，以美国、加拿大、澳大利亚为主的西方国家，针对不同的组织机构，以不同的信息安全审计方式，卓有成效地开展了包括信息系统计划与技术构架、信息安全保护与灾难恢复、软件系统开发、获得、实施及维护、商业流程评估及风险管理等方面的信息安全审计。

具体来说，针对各类企业的信息安全审计，采取了以内部审计为主，从关注安全向关注业务目标过渡，一般控制审计与应用控制审计相结合的方式；针对政府机构的信息安全审计，强调外部审计与政府内部审计结合，融入绩效预算管理体系，关注系统最终效果。

在亚洲，日本的信息安全审计始于20世纪80年代。1983年，通产省公开发表了《系统审计标准》，并在全国软件水平考试中增加了“系统审计师”一级的考试，着手培养从事信息系统审计的骨干队伍。近几年，东南亚各国也开始制定电子商务法规，成立专门机构开展信息系统审计业务，并制定技术标准。

（二）我国信息安全审计发展与现状

近年来，我国的信息安全审计日益受到重视，审计署以及一些大型国有银行也相继开展了信息安全方面的审计工作。信息系统审计规范的研究和制定方面，我国已建成了一套比较成熟规范的法规、准则体系，但在信息系统及信息安全审计方面，虽有《内部审计具体准则第28号——信息系统审计》（中国内部审计协会2008年）以及审计署对信息系统审计相关法规、准则的规划及研究，但尚未形成系统的法规、准则和技术标准体系。

三、金融行业信息安全审计组织与实施

金融行业的信息安全审计（InformationSecurityAudit），是指金融机构为了掌握其信息安全保障工作的有效性，根据事先确定的审计依据，在规定的审计范围内，通过文件审核、记录检查、技术测试、现场访谈等活动，获得审计证据，并对其进行客观的评价，以确定被审计对象满足审计依据的程度所进行的系统的、独立的并形成文件的过程。金融机构可以单独实施信息安全审计，也可以将信息安全审计作为其他相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。审计的工作流程和内容大致包括六个方面的活动（如图2所示）。

1．确定审计目的和范围。金融机构实施信息安全审计，首先要明确审计目的，确定审计范围。审计目的是信息安全审计工作的出发点。审计目的可以从满足监管部门的要求、满足信息安全国际国内标准的要求、满足机构自身信息安全工作要求等合规性方面考虑。明确了审计目的，然后要确定审计范围。审计范围是影响审计工作量的一个重要因素。确定审计范围，可以从组织机构考虑，如仅对个别部门实施审计，或者在组织全部范围实施审计；也可以从业务和系统角度考虑，如仅对核心系统实施审计，或者仅对信贷业务实施审计等。

2.明确审计依据。审计依据就像一把“尺子”，审计人员用它来衡量信息安全工作的“长短”。审计目的不同，审计依据就可能不同，如表1中所示。

3.组建审计组。审计组是具体实施信息安全审计工作的基本组织单位，应由审计组长和审计员组成。管理良好的审计组是信息安全审计工作顺利实施并达成审计目的的保障。审计组长应由金融机构内部审计部门的管理者任命。负责编制审计方案和审计计划，选择审计员，管理审计小组，与被审计对象沟通等。审计组长应具备较强的项目管理能力，熟悉被审计对象的业务和系统，了解被审计对象面临的信息安全风险和常用的风险控制措施。审计员应选择责任心强、公正、独立、熟悉业务的人员担任，避免审计员与被审计对象存在利害关系，以免影响审计结果的公正性。正式实施信息安全审计前，应对审计组成员进行培训。

4.实施现场审计。审计准备工作就绪后，则可以实施现场审计。现场审计是一项复杂的系统工程，具有较强的不确定性。因此，现场审计应根据事先编制的审计方案和审计计划执行，审计过程中还要做好变更控制。现场审计往往由首次会议开始，至末次会议结束。在首次会议上，审计组长应向被审计单位阐明此次审计的目的、范围、依据和审计计划，并提出需要被审计单位配合的事项。末次会议上，审计组长向被审计单位说明审计发现，报告审计初步结果，并与被审计单位就初步审计结果达成一致。现场审计方法通常包括：现场访谈、审阅文件、查看记录、系统检查和测试等。在系统检查和测试过程中，可能需要相关的审计工具，如系统漏洞扫描器、数据库安全审计系统、桌面终端配置检查工具、网络安全检查工具、恶意软件扫描器等。现场审计过程中，应做好文档化工作。对所发现的审计证据应进行详细记录，并与被审计单位人员进行现场确认。现场审计应注意方式方法，就意见不一致的问题先做好记录，避免现场与被审计单位人员发生争执。

安全审计机制范文第3篇

1利用网络及安全治理的漏洞窥探用户口令或电子帐号，冒充合法用户作案，篡改磁性介质记录窃取资产。

2利用网络远距离窃取企业的商业秘密以换取钱财，或利用网络传播计算机病毒以破坏企业的信息系统。

3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”，越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单，就有可能将公私财产的所有权进行转移。

计算机网络带来会计系统的开放与数据共享，而开放与共享的基础则是安全。企业一方面通过网络开放自己，向全世界推销自己的形象和产品，实现电子贸易、电子信息交换，但也需要守住自己的商业秘密、治理秘密和财务秘密，而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境，抵抗来自系统内外的各种干扰和威协，做到该开放的放开共享，该封闭的要让黑客无奈。

一、网络安全审计及基本要素

安全审计是一个新概念，它指由专业审计人员根据有关的法律法规、财产所有者的委托和治理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并作出相应评价。

没有网络安全，就没有网络世界。任何一个建立网络环境计算机会计系统的机构，都会对系统的安全提出要求，在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢？这是一般人心中无数也最不放心的问题。应该肯定，一个系统运行的安全与否，不能单从双方当事人的判定作出结论，而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识，而且具有丰富的安全审计经验，只有他们才能作出客观、公正、公平和中立的评价。

安全审计涉及四个基本要素：控制目标、安全漏洞、控制措施和控制测试。其中，控制目标是指企业根据详细的计算机应用，结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节，容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较，确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效，评价企业安全措施的可依赖程度。显然，安全审计作为一个专门的审计项目，要求审计人员必须具有较强的专业技术知识与技能。

安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危，更涉及到企业的经济利益。因此，我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中，国家安全审计机关应依据国家法律，非凡是针对计算机网络本身的各种安全技术要求，对广域网上企业的信息安全实施年审制。另外，应该发展社会中介机构，对计算机网络环境的安全提供审计服务，它与会计师事务所、律师事务所一样，是社会对企业的计算机网络系统的安全作出评价的机构。当企业治理当局权衡网络系统所带来的潜在损失时，他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家，他们对网络的安全控制作出评价，帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判定。

二、网络安全审计的程序安全

审计程序是安全监督活动的详细规程，它规定安全审计工作的详细内容、时间安排、详细的审计方法和手段。与其它审计一样，安全审计主要包括三个阶段：审计预备阶段、实施阶段以及终结阶段。

安全审计预备阶段需要了解审计对象的详细情况、安全目标、企业的制度、结构、一般控制和应用控制情况，并对安全审计工作制订出详细的工作计划。在这一阶段，审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。

1了解企业网络的基本情况。例如，应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网（VPN）？

2了解企业的安全控制目标。安全控制目标一般包括三个方面：第一，保证系统的运转正常，数据的可靠完整；第二，保障数据的有效备份与系统的恢复能力；第三，对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及治理当局的要求而有所差异。

3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划，了解所有有关的控制对上述的控制目标的实现情况，系统还有哪些潜在的漏洞。

安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试，以明确企业是否为安全采取了适当的控制措施，这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品，如网络安全测试产品、网络监视产品、安全审计分析器。

安全审计终结阶段应对企业现存的安全控制系统作出评价，并提出改进和完善的方法和其他意见。安全审计终结的评价，按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级：危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患（如缺乏合理的数据备份机制与有效的病毒防范措施）和系统的盲目开放性（如有意和无意用户常常能闯入系统，对系统数据进行查阅或删改）。不安全是指系统尚存在一些较常见的问题和漏洞，如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标，其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等，其他小问题发生时不影响系统运行，也不会造成大的损失，且具有随时发现问题并纠正的能力。

三、网络安全审计的主要测试

测试是安全审计实施阶段的主要任务，一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。

下面是对网络环境会计信息系统的主要测试。

1数据通讯的控制测试数据通讯控制的总目标是数据通道的安全与完整。详细说，能发现和纠正设备的失灵，避免数据丢失或失真，能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标，审计人员应执行以下控制测试：（1）抽取一组会计数据进行传输，检查由于线路噪声所导致数据失真的可能性。（2）检查有关的数据通讯记录，证实所有的数据接收是有序及正确的。（3）通过假设系统外一个非授权的进入请求，测试通讯回叫技术的运行情况。（4）检查密钥治理和口令控制程序，确认口令文件是否加密、密钥存放地点是否安全。（5）发送一测试信息测试加密过程，检查信息通道上在各不同点上信息的内容。（6）检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障，其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如，防火墙应具有拒绝任何不正确的申请者的过滤能力，只有授权用户才能通过防火墙访问会计数据。

2硬件系统的控制测试硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括：实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾害恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。

3软件系统的控制测试软件系统包括系统软件和应用软件，其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为，保障系统正常运行。对软件系统的测试主要包括：（1）检查软件产品是否从正当途径购买，审计人员应对购买订单进行抽样审查。（2）检查防治病毒措施，是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。（3）证实只有授权的软件才安装到系统里。

4数据资源的控制测试数据控制目标包括两方面：一是数据备份，为恢复被丢失、损坏或扰的数据，系统应有足够备份；二是个人应当经授权限制性地存取所需的数据，未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能，以及在日常工作中是否真正实施了这些功能。根据系统的授权表，检查存取控制的有效性。

5系统安全产品的测试随着网络系统安全的日益重要，各种用于保障网络安全的软、硬件产品应运而生，如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全，安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如，检查安全产品是否经过认证机构或公安部部门的认征，产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。

四、应该建立内部安全审计制度

安全审计机制范文第4篇

关键词:政府审计;金融安全;预警功能

一、引言

金融安全是指在金融全球化条件下,一国在其金融发展过程中具备抵御国内外各种威胁、侵袭的能力,确保金融体系、金融主权不受侵害,使金融体系保持正常运行与发展的一种态势(王元龙,2000)。国家安全包括军事安全、政治安全和经济安全。国家经济安全又包括国家金融安全、国家经济信息安全和国家产业安全。其中,金融安全是国家经济安全的核心,经济信息安全是国家经济安全的基础环节,而产业安全是国家经济安全的基本内容。在经济全球化背景下,国家金融安全问题日益突出,如何更好地维护国家金融安全,保障国家经济正常、有效地运行是目前大多数学者关注和探讨的热点问题。然而,在我国国家金融安全保障体系中,政府审计要不要发挥作用、能不能发挥作用、怎样发挥作用?这些问题以往的研究不多。我们认为,国家金融审计具有坚实的理论基础,政府审计是国家金融安全保障体系的重要组成部分,政府审计能够维护国家金融安全。

二、政府审计和国家金融安全的关系

《中华人民共和国宪法》第九十一条规定:“国务院设立审计机关,对国务院各部门、地方各级政府的财政收支,对国家的财政金融机构和企业事业组织的财政收支,进行审计监督”。wwW.133229.cOM《中华人民共和国审计法》在1995年和2006年的修订中将立法的目的规定为:“为加强国家的审计监督,维护国家的财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康发展。”这一规定将政府审计的服务对象直接界定为国家经济发展。

《中华人民共和国审计法》第二十一条和《中华人民共和国审计法实施条例》第十九条赋予了政府审计机关对金融机构审计的权利,审计机关对国有资本占资本总额的比例超过50%,以及国有资本占资本总额的50%(含)以下,但是国有资本投资者实质上拥有控制权的金融机构的资产、负债、损益,依法进行审计监督。一方面,通过政府审计监督和规范金融机构的经济行为,保证国家金融体系的健康发展,防止金融系统的极端情况的发生;另一方面,政府审计机关的独立监督,可以披露真实、客观的国家金融运行的信息,为国家金融管理部门的决策提供有利的信息服务。通过对政府审计中发现问题的分析,评价国家金融安全程度,发挥审计免疫功能,建议相关管理部门及时调整国家金融政策,降低金融风险,避免金融危机的发生。

现任国家审计署总审计长刘家义指出,现代政府审计作为国家的免疫系统,有责任更早地感受风险,有责任更准确地发现问题,有责任提出调动国家资源和能力去解决问题、抵御“病害”的建议,有责任在永不停留地抵御一时、一事、单个“病害”的同时,促进其健全机能、改进机制、筑牢防线。正是由于现代政府审计的这一本质的要求,决定了政府审计工作的基本职能是维护国家安全特别是国家的金融安全,保障国家的利益,保护人民的利益,促进经济社会全面、协调、可持续和谐的发展。因此,维护我国的经济安全特别是我国的金融安全是我国政府审计的主要任务。

三、政府审计维护国家金融安全的理论基础

为什么政府审计要介入国家金融安全的维护中?这一问题是做好国家金融安全审计工作的基本问题。社会契约理论认为,政府源于社会契约。社会契约指政府及其行政行为一旦存在于社会公众的期望中,就必须履行一定的权利和义务,这些权利和义务是政府与社会之间契约的结果。政府必须保障公民的政治自由和生命财产安全,维护社会的共同利益,这其中当然就包括维护国家金融安全。在经济全球化的今天,特别是要保障国家金融安全。“民主政治观”认为,民主政治是指民众享有管理国家权力的政治制度。然而,在实际的政治生活中,人民享有管理国家的权力只是一种原则,人民不可能全部参与管理国家的具体事务,只能将这种管理国家的权力交给一个机构——政府,这使得政府成为人民行使权力的主要人,由此,人民和政府之间形成了一种委托关系。人民是委托人,而掌握行政权力的政府则是受托责任人。为了确保民主政治,防止权力滥用,人民必须建立有效的监督机制,使受托实施国家行政权力的少数人的行为符合人民或国家的利益。社会契约论和受托责任观构成国家金融安全审计的理论基础。

政府履行维护国家金融安全职能时效果怎样?这需要代表人民利益的独立审计机构来评价。更为重要的是,由于存在政府“失效”、信息不对称以及官僚主义行为,政府在维护国家金融安全方面往往受到很大的制约,这更需要政府审计发挥其重要作用。首先,政府失效使得有关保障国家金融安全的政策和措施得不到有效贯彻执行。其次,信息不对称使得政府难以制定有效的维护国家金融安全的政策。政府审计机关的基本职能是经济监督,并不直接参与国家金融安全决策和政策实施。但是,政府审计是整个国家金融安全保障体系中监督保证系统的重要组成部分,因此,政府审计在维护国家金融安全方面能够发挥重要作用。

四、政府审计维护国家金融安全预警机制的功能定位

政府审计维护国家金融安全预警机制的功能定位可以从宏观层面、中观层面和微观层面这三个层面进行相应的功能定位。

(一)政府审计维护国家金融安全预警机制宏观层面的功能定位

1.政府审计在宏观层面对金融系统的“免疫防御”功能

“免疫防御”也称为“抗感染免疫”,主要指机体针对外来抗原(如微生物及其毒素)侵袭的免疫保护作用。目前,对我国金融业进行业务监管,具有防范金融风险、维护金融安全职能的主要是中国人民银行、银监会、保监会、证监会四大监督机构。财政和税务部门可以对金融行业和企业进行专项业务工作检查,国家审计机关作为专门的经济监督部门对金融企业的经济活动和金融监管机构的职能履行情况进行审计监督。与其他监管部门相比,国家审计机关作为上层建筑的重要组成部分,通过法定的依法审计活动,及时发现和抵御各种违法犯罪分子的侵蚀和腐败行为,维护宏观政策的安全性和法纪规章的严肃性,维护良好的财经秩序和发展环境,从而实现“保护”国民经济健康、有序、又好又快和可持续发展的目的。因此,政府审计在宏观层面对金融系统具有系统免疫功能的优势。

2.政府审计在宏观层面对金融系统的“免疫预警”功能

政府审计对金融系统的宏观预警功能是政府审计对宏观金融运行实行全方位的监管,旨在分析研究金融与财政、物价、经济的相互关系,发挥早期预测报警功能,为制定和实施货币政策提供依据。每年的全国人民代表大会上审计署审计长都要对上年的政府审计工作做政府审计报告,将去年审计中发现的问题进行总结汇报给国务院,就政府审计中发现的重大审计问题做出具体的审计意见和审计建议,为国家制定宏观经济政策提供参考,把握国民经济的发展方向。

(二)政府审计维护国家金融安全预警机制中观层面的“免疫自稳”功能定位

“免疫自稳”是指免疫系统能及时识别、清除体内损伤或衰老的细胞,但对机体正常的细胞不发生攻击,以维持自身内环境稳定的一种生理功能。政府审计机关作为国家经济的“看门人”,有义务及时和准确地发现我国国家经济体系中的“损伤”和“衰老”的经济细胞体,并及时报告国家经济各上级部门和社会公众。《中华人民共和国审计法》和《中华人民共和国审计法实施条例》规定,政府审计有权对我国的金融机构和国有企业进行审计,并公布相应的审计结果。

(三)政府审计维护国家金融安全预警机制微观层面的“免疫监视”功能定位

“免疫监视”是指由于各种体内外因素影响,正常个体的组织细胞不断发生畸变和突变,免疫系统及时识别此类复制错误或突变细胞并将其清除,保护正常个体的系统功能。经济监督是政府审计的基本职能之一。政府审计主要通过审计、检查和监督被审计单位的经济活动在规定范围内沿着正常的轨道健康运行;检查受托经济责任人忠实履行经济责任的情况,借以揭露违法违纪行为,制止损失浪费,查明错误弊端,判断管理缺陷,追究经济责任。政府审计机关通过依法严格执行政府审计,对审计中发现的制度性缺陷和问题进行反馈,比如,问责制度、审计结果公告制度等,促进对相关制度进行创新与重构,从而促进相关管理制度的建立和完善,在更高层面上实现财政财务等财经制度的规范化和制度化。

参考文献:

[1]刘家义.以科学发展观为指导 推动审计工作全面发展[j].审计研究,2008,(3).

[2]刘英来.用“免疫系统”论指导审计的科学发展[j].审计研究简报,2008,(17).

[3]沈言.国家审计“免疫系统”功能的基本内涵和实现路径[j].现代审计与经济,2008,(6).

安全审计机制范文第5篇

【关键词】国家审计 国家经济安全

一、我国政府审计在维护国家经济安全方面的现状

（一）金融安全方面。我国的政府审计目前只对中央银行，国有银行，国有非银行金融机构和国有资本占控股地位和主导地位的金融机构的资产、负债、损益进行审计，而其他类型的金融机构，如非国有控股金融机构和外资银行则不在审计范围内。因此对于国家经济安全中的非国有控股金融机构的监督尚需通过政府审计以外的途径解决。

（二）财政安全方面。财政安全可以保证政府合理使用财政资金，控制政府债券风险，从而保障一国经济的良好运行。目前我国的政府审计能够做到通过对本级各部门和下级政府的预算和决算以及其他财政收支情况进行审计监督，从而控制了财政债务风险，保障了中央和地方财政的安全。

（三）产业经济安全。目前我国的政府审计主要是对国有企业和国有资本占控股地位或主导地位企业进行审计和监督，而在我国经济发展中也占据重要地位的民营企业则不在审计范围之列，随着市场经济的完善，民营企业也可能在某一行业占据重要地位，因此就必须借助政府审计以外的方式解决，如民间审计等。

二、从政府审计承担的责任看与国家经济安全的关系

（一）从审计的本质的角度看。审计的本质就是经济监督。按照审计主题性质不同，审计可划分为国家审计、社会审计和内部审计。由于国家审计机关和社会审计组织各自的性质不同，其承担的责任各有不同，发挥的效果也各不相同。国家审计内生于政治制度，从古至今，都伴随着政治制度的变化而变化，因此，国家审计主要是维护和促进国家政治制度中的责任关系的履行。经济基础决定上层建筑，上层建筑反作用于经济基础。也就是说，国家审计是上层建筑作用于经济基础的工具。

（二）从审计职能的角度看。国家审计的基本职能就是维护国有资产、公共资金的安全和有效，维护广大人民群众的根本利益。根据《最高审计机关国际组织审计准则》，“无论作出何种安排，最高审计机关的基本功能是维护和促进公共责任，维持国家机器的有效运行”。作为政府的组成部门之一，审计承担着国家内部审计监督工作职能，因此维护国家经济安全、保障政府有效运行成为国家审计的基本职能。

（三）从审计的根本目的看。国家审计的根本目的就是维护国家利益。国家审计必须关注政府责任，而政府责任的核心就是国家利益。而在我国，国家审计的目的是维护群众的根本利益，推进依法行政，维护社会公平正义。当前和今后一个时期，我们的审计工作必须从这个目标出发，紧紧围绕“民主、民生、改革、发展、法治、绩效”来开展工作（刘家义，2008），为改革开放服务、为经济发展服务、为贯彻落实科学发展观服务、为推动民主和法制建设服务、为全面建设小康社会服务，评价各级财政财务收支及有关经济活动的真实、合法与效益。

三、政府审计如何在维护国家经济安全方面发挥更大作用

（一）创新审计理念。在经济全球化的背景下，政府审计必须立足现有的政治管理体制和经济管理体制，同时站在维护国家经济安全的高度开展工作，通过审计理念创新，提出政府审计在维护国家经济安全方面的作用类型，以此寻求在维护国家经济安全方面发挥审计监督作用的有效途径。首先必须在政府审计机关和广大审计干部中创新审计理念，切实树立国家经济安全新观念、增强经济安全意识、维护国家经济安全。其次，要积极探索政府审计与维护国家经济安全有机结合的新路子，把为维护国家经济安全变为国家审计机关和审计人员的自觉行动，真正发挥好政府审计的职能作用。

（二）创新审计管理体制。根据《审计法》的规定和国际国内形势发展的需要，按照精简、统一、效能的原则和决策、执行、监督相协调的要求，积极推进审计管理体制改革，建立决策科学、权责对等、分工合理、执行顺畅、监督有力的审计管理体制。包括围绕维护国家经济安全创新审计计划管理方法;创新审计资源（包括信息资源、人力资源、物质资源）配置方法;创新审计组织方式，如实施审计署和地方审计机关联合审计。

四、政府审计在维护国家经济安全中应注意的问题

（一）处理好监督促进与提高预警能力的关系。审计在维护国家经济安全中的现实意义，更在于如何变被动为主动，从传统的“剔肤剜骨”到更具积极作用的“防患于未然”。建立健全审计预警机制，应成为现代审计的着力方向。不仅揭露问题，促进整改，而且要从科学角度，对涉及国家经济安全的问题提出准确、及时、全面、可靠的决策依据，发挥预警作用，从而采取措施，加以防范。这也正是审计“免疫系统”的重要功能。