引論：我們?yōu)槟砹?3篇審計(jì)信息安全管理范文，供您借鑒以豐富您的創(chuàng)作。它們是您寫(xiě)作時(shí)的寶貴資源，期望它們能夠激發(fā)您的創(chuàng)作靈感，讓您的文章更具深度。

篇1

從審計(jì)的角度，風(fēng)險(xiǎn)評(píng)估是現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的核心理念。無(wú)論是在歷史財(cái)務(wù)報(bào)表審計(jì)還是在網(wǎng)絡(luò)審計(jì)中，現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)均要求審計(jì)師在執(zhí)行審計(jì)工作過(guò)程中應(yīng)以風(fēng)險(xiǎn)評(píng)估為中心，通過(guò)對(duì)被審計(jì)單位及其環(huán)境的了解，評(píng)估確定被審計(jì)單位的高風(fēng)險(xiǎn)領(lǐng)域，從而確定審計(jì)的范圍和重點(diǎn)，進(jìn)一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù)，以便更有效地控制和提高審計(jì)效果及審計(jì)效率。從企業(yè)管理的角度，企業(yè)風(fēng)險(xiǎn)管理將風(fēng)險(xiǎn)評(píng)估作為其基本的要素之一進(jìn)行規(guī)范，要求企業(yè)在識(shí)別和評(píng)估風(fēng)險(xiǎn)可能對(duì)企業(yè)產(chǎn)生影響的基礎(chǔ)上，采取積極的措施來(lái)控制風(fēng)險(xiǎn)，降低風(fēng)險(xiǎn)為企業(yè)帶來(lái)?yè)p失的概率或縮小損失程度來(lái)達(dá)到控制目的。信息安全風(fēng)險(xiǎn)評(píng)估作為企業(yè)風(fēng)險(xiǎn)管理的一部分，是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此，風(fēng)險(xiǎn)評(píng)估在網(wǎng)絡(luò)審計(jì)、歷史財(cái)務(wù)報(bào)表審計(jì)和企業(yè)信息安全管理等工作中的運(yùn)用卻不盡相同，本文在分析計(jì)算機(jī)信息系統(tǒng)環(huán)境下所有特定風(fēng)險(xiǎn)和網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)基本要素的基礎(chǔ)上，從風(fēng)險(xiǎn)評(píng)估中應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍、風(fēng)險(xiǎn)評(píng)估的目的、內(nèi)容、程序及實(shí)施流程等內(nèi)容展開(kāi)，將網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)和信息安全管理的風(fēng)險(xiǎn)評(píng)估進(jìn)行對(duì)比分析，以期深化對(duì)網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估的理解。

二、網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估比較

(一)審計(jì)風(fēng)險(xiǎn)要素根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的第47號(hào)審計(jì)標(biāo)準(zhǔn)說(shuō)明中的審計(jì)風(fēng)險(xiǎn)模型，審計(jì)風(fēng)險(xiǎn)又由固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)構(gòu)成。其中，固有風(fēng)險(xiǎn)是指不考慮被審計(jì)單位相關(guān)的內(nèi)部控制政策或程序的情況下，其財(cái)務(wù)報(bào)表某項(xiàng)認(rèn)定產(chǎn)生重大錯(cuò)報(bào)的可能性；控制風(fēng)險(xiǎn)是被審計(jì)單位內(nèi)部控制未能及時(shí)防止或發(fā)現(xiàn)財(cái)務(wù)報(bào)表上某項(xiàng)錯(cuò)報(bào)或漏報(bào)的可能性；檢查風(fēng)險(xiǎn)是審計(jì)人員通過(guò)預(yù)定的審計(jì)程序未能發(fā)現(xiàn)被審計(jì)單位財(cái)務(wù)報(bào)表上存在重大錯(cuò)報(bào)或漏報(bào)的可能性。在網(wǎng)絡(luò)審計(jì)中，審計(jì)風(fēng)險(xiǎn)仍然包括固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)要素，但其具體內(nèi)容直接受計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險(xiǎn)的影響。計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營(yíng)活動(dòng)的效率，為企業(yè)的經(jīng)營(yíng)管理帶來(lái)很大的優(yōu)越性，但同時(shí)也為企業(yè)帶來(lái)了一些新的風(fēng)險(xiǎn)。這些新的風(fēng)險(xiǎn)主要表現(xiàn)為：(1)數(shù)據(jù)與職責(zé)過(guò)于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計(jì)算機(jī)系統(tǒng)自動(dòng)處理過(guò)程中去了，這些集中的數(shù)據(jù)庫(kù)技術(shù)無(wú)疑會(huì)增加數(shù)據(jù)縱和破壞的風(fēng)險(xiǎn)。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計(jì)算機(jī)系統(tǒng)有較高的技術(shù)要求，非專(zhuān)業(yè)人員難以察覺(jué)計(jì)算機(jī)舞弊的線索，這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過(guò)批準(zhǔn)的系統(tǒng)使用人員濫用系統(tǒng)，或者說(shuō)，企業(yè)對(duì)接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯(cuò)誤程序的風(fēng)險(xiǎn)，例如程序中的差錯(cuò)反復(fù)和差錯(cuò)級(jí)聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯(cuò)誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計(jì)接口，使得審計(jì)人員在審計(jì)工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù)，從而無(wú)法正常開(kāi)展審計(jì)工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險(xiǎn)，如計(jì)算機(jī)信息系統(tǒng)所依賴(lài)的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障，或者信息系統(tǒng)所依賴(lài)的物理工作環(huán)境可能對(duì)整個(gè)信息系統(tǒng)的運(yùn)行效能帶來(lái)影響等。相對(duì)應(yīng)地，網(wǎng)絡(luò)審計(jì)的固有風(fēng)險(xiǎn)主要是指系統(tǒng)環(huán)境風(fēng)險(xiǎn)，即財(cái)務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險(xiǎn)，它可分為硬件環(huán)境風(fēng)險(xiǎn)和軟件環(huán)境風(fēng)險(xiǎn)。控制風(fēng)險(xiǎn)包括系統(tǒng)控制風(fēng)險(xiǎn)和財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)，其中，系統(tǒng)控制風(fēng)險(xiǎn)是指會(huì)計(jì)電算化系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險(xiǎn)，財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)是指電磁性財(cái)務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險(xiǎn)包括審計(jì)軟件風(fēng)險(xiǎn)和人員操作風(fēng)險(xiǎn)，審計(jì)軟件風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)軟件本身缺陷原因造成的風(fēng)險(xiǎn)，人員操作風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)系統(tǒng)的操作人員、技術(shù)人員和開(kāi)發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險(xiǎn)。

(二)風(fēng)險(xiǎn)評(píng)估目的無(wú)論在網(wǎng)絡(luò)審計(jì)還是歷史財(cái)務(wù)報(bào)表審計(jì)中，風(fēng)險(xiǎn)評(píng)估只是審計(jì)的一項(xiàng)重要程序，貫穿于審計(jì)的整個(gè)過(guò)程。與其他審計(jì)程序緊密聯(lián)系而不是一項(xiàng)獨(dú)立的活動(dòng)。盡管如此，兩者所關(guān)注的風(fēng)險(xiǎn)范圍則有所不同。歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估要求審計(jì)人員主要關(guān)注的是被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)――財(cái)務(wù)報(bào)表在審計(jì)前存在重大錯(cuò)報(bào)的可能性。由于網(wǎng)絡(luò)審計(jì)的審計(jì)對(duì)象包括被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息和網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)兩類(lèi)，因此審計(jì)人員關(guān)注的風(fēng)險(xiǎn)應(yīng)是被審計(jì)單位經(jīng)營(yíng)過(guò)程中與該兩類(lèi)審計(jì)對(duì)象相關(guān)的風(fēng)險(xiǎn)。(1)對(duì)于與企業(yè)網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)，審計(jì)人員應(yīng)該從信息系統(tǒng)生命周期的各個(gè)階段和信息系統(tǒng)的各組成部分及運(yùn)行環(huán)境兩方面出發(fā)進(jìn)行評(píng)估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進(jìn)入維護(hù)的各個(gè)階段及其活動(dòng)，無(wú)論是在早期的線性開(kāi)發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中，一個(gè)信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動(dòng)、設(shè)計(jì)開(kāi)發(fā)或采購(gòu)、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄等五個(gè)基本階段。由于信息系統(tǒng)在不同階段的活動(dòng)內(nèi)容不同，企業(yè)在不同階段的控制目標(biāo)和控制行為也會(huì)有所不同，因此，審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)該貫穿于信息系統(tǒng)的整個(gè)生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等，信息系統(tǒng)的運(yùn)行環(huán)境是指信息系統(tǒng)正常運(yùn)行使用所依托的物理和管理平臺(tái)。具體可將其分為五個(gè)層面：物理層，即信息系統(tǒng)運(yùn)行所必備的機(jī)房、設(shè)備、辦公場(chǎng)所、系統(tǒng)線路及相關(guān)環(huán)境；網(wǎng)絡(luò)層，即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等；系統(tǒng)層，即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況；應(yīng)用層，即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況；管理層，即被審計(jì)單位在該信息系統(tǒng)的運(yùn)行使用過(guò)程中的組織、策略、技術(shù)管理等方面的情況。(2)對(duì)于與企業(yè)基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn)，審計(jì)人員應(yīng)著重關(guān)注財(cái)務(wù)信息的重大錯(cuò)報(bào)風(fēng)險(xiǎn)和信息的安全風(fēng)險(xiǎn)。重大錯(cuò)報(bào)風(fēng)險(xiǎn)主要指被審計(jì)單位基于網(wǎng)絡(luò)的相關(guān)財(cái)務(wù)信息存在重大錯(cuò)報(bào)的可能性，它是針對(duì)企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對(duì)有關(guān)賬戶、交易或事項(xiàng)進(jìn)行確認(rèn)、計(jì)量或披露而言。網(wǎng)絡(luò)審計(jì)中關(guān)注的重大錯(cuò)報(bào)風(fēng)險(xiǎn)與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的，審計(jì)人員在審計(jì)時(shí)應(yīng)當(dāng)考慮被審計(jì)單位的行業(yè)狀況、經(jīng)營(yíng)性質(zhì)、法律及監(jiān)管環(huán)境、會(huì)計(jì)政策和會(huì)計(jì)方法的選用、財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)等方面的情況對(duì)財(cái)務(wù)信息錯(cuò)報(bào)可能的影響。信息安全風(fēng)險(xiǎn)涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險(xiǎn)，主要針對(duì)企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺(tái)來(lái)存儲(chǔ)、傳輸、披露相關(guān)財(cái)務(wù)信息而言。在審計(jì)過(guò)程中，審eta員應(yīng)當(dāng)主要關(guān)注相關(guān)財(cái)務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當(dāng)然，這兩類(lèi)風(fēng)險(xiǎn)并非完全分離的，評(píng)估時(shí)審計(jì)人員應(yīng)將兩者結(jié)合起來(lái)考慮。

(三)風(fēng)險(xiǎn)評(píng)估內(nèi)容　廣泛意義的風(fēng)險(xiǎn)評(píng)估是指考慮潛在事件對(duì)目標(biāo)實(shí)現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)風(fēng)險(xiǎn)評(píng)估的目的并不完全相同，因此兩者在風(fēng)險(xiǎn)評(píng)估的內(nèi)容上也是存在區(qū)別的。總的來(lái)說(shuō)，網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容比歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容更廣泛和深入。根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)――了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)

險(xiǎn)》，在歷史財(cái)務(wù)報(bào)表審計(jì)中，審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)以了解被審計(jì)單位及其環(huán)境為內(nèi)容。為識(shí)別和評(píng)價(jià)重大錯(cuò)報(bào)風(fēng)險(xiǎn)，審計(jì)人員了解的具體內(nèi)容包括被審計(jì)單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計(jì)單位的性質(zhì)、被審計(jì)單位對(duì)會(huì)計(jì)政策的選擇和運(yùn)用、被審計(jì)單位的目標(biāo)、戰(zhàn)略以及相關(guān)經(jīng)營(yíng)風(fēng)險(xiǎn)、被審計(jì)單位財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計(jì)中。為了識(shí)別和評(píng)估上文所述的兩類(lèi)風(fēng)險(xiǎn)，審計(jì)人員除了從以上方面了解被審計(jì)單位及其環(huán)境外，還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響，尤其是企業(yè)的財(cái)務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面l臨的威脅或存在的脆弱點(diǎn)。其中，威脅是指對(duì)信息系統(tǒng)及財(cái)務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件，它可能是一些如工作人員缺乏責(zé)任心、專(zhuān)業(yè)技能不足或惡意篡改等人為因素，也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點(diǎn)是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息所存在的薄弱環(huán)節(jié)，它是系統(tǒng)或網(wǎng)絡(luò)財(cái)務(wù)信息本身固有的，包括物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬軟件及信息等各方面的弱點(diǎn)。一般來(lái)說(shuō)，脆弱點(diǎn)本身不會(huì)帶來(lái)?yè)p失或信息錯(cuò)報(bào)，威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點(diǎn)來(lái)成功地引起破壞。因此，我們認(rèn)為網(wǎng)絡(luò)審計(jì)申風(fēng)險(xiǎn)評(píng)估的內(nèi)容應(yīng)包括以下幾方面：(1)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面臨的威脅，并分析威脅發(fā)生的可能性；(2)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的脆弱點(diǎn)，并分析脆弱點(diǎn)的嚴(yán)重程度；(3)根據(jù)威脅發(fā)生的可能性和脆弱點(diǎn)發(fā)生的嚴(yán)重程度，判斷風(fēng)險(xiǎn)發(fā)生的可能性；(4)根據(jù)風(fēng)險(xiǎn)發(fā)生的可能性，評(píng)價(jià)風(fēng)險(xiǎn)對(duì)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能帶來(lái)的影響；(5)若被審計(jì)單位存在風(fēng)險(xiǎn)防范或化解措施，審計(jì)人員在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)還應(yīng)該考慮相應(yīng)措施的可行性及有效性。

(四)風(fēng)險(xiǎn)評(píng)估程序《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211-----了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》中要求，審計(jì)人員應(yīng)當(dāng)實(shí)施詢問(wèn)、分析程序、觀察和檢查等程序，以獲取被審計(jì)單位的信息，進(jìn)而評(píng)估被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)。這些程序同樣適用于網(wǎng)絡(luò)審計(jì)中的風(fēng)險(xiǎn)評(píng)估。但在具體運(yùn)用時(shí)網(wǎng)絡(luò)審計(jì)中更加注重了解和分析被審計(jì)單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項(xiàng)。在實(shí)施詢問(wèn)程序時(shí)，審計(jì)人員的詢問(wèn)對(duì)象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可大致分為管理人員、系統(tǒng)開(kāi)發(fā)和維護(hù)人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問(wèn)及其他外部相關(guān)人員(如律師)等五類(lèi)，分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的威脅和脆弱點(diǎn)。在實(shí)施分析程序時(shí)，除了研究財(cái)務(wù)數(shù)據(jù)及與財(cái)務(wù)信息相關(guān)的非財(cái)務(wù)數(shù)據(jù)可能的異常趨勢(shì)外，審計(jì)人員應(yīng)格外關(guān)注對(duì)信息系統(tǒng)及網(wǎng)絡(luò)的特性情況，被審計(jì)單位對(duì)信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實(shí)施觀察和檢查時(shí)，除執(zhí)行常規(guī)程序外，審計(jì)人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外，針對(duì)特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險(xiǎn)的評(píng)估，審計(jì)人員還需要實(shí)施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測(cè)試、工具掃描、安全策略分析等；管理方面如風(fēng)險(xiǎn)問(wèn)卷調(diào)查、風(fēng)險(xiǎn)顧問(wèn)訪談、風(fēng)險(xiǎn)策略分析、文檔審核等。其中，IDS取樣分析是指通過(guò)在核心網(wǎng)絡(luò)采樣監(jiān)聽(tīng)通信數(shù)據(jù)方式，獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲(chóng)行為，并對(duì)通信流量進(jìn)行分析；滲透測(cè)試是指在獲取用戶授權(quán)后，通過(guò)真實(shí)模擬黑客使用的工具、方法來(lái)進(jìn)行實(shí)際漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法；工具掃描是指通過(guò)評(píng)估工具軟件或?qū)Ｓ冒踩u(píng)估系統(tǒng)自動(dòng)獲取評(píng)估對(duì)象的脆弱性信息，包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫(kù)掃描等，用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見(jiàn)漏洞。風(fēng)險(xiǎn)問(wèn)卷調(diào)查與風(fēng)險(xiǎn)顧問(wèn)訪談要求審計(jì)人員分別采用問(wèn)卷和面談的方式向有關(guān)主體了解被審計(jì)單位的風(fēng)險(xiǎn)狀況，使用時(shí)關(guān)鍵是要明確問(wèn)卷或訪談的對(duì)象情況風(fēng)險(xiǎn)策略分析要求審計(jì)人員對(duì)企業(yè)所設(shè)定的風(fēng)險(xiǎn)管理和應(yīng)對(duì)策略的有效性進(jìn)行分析，進(jìn)而評(píng)價(jià)企業(yè)相關(guān)風(fēng)險(xiǎn)發(fā)生的概率以及可能帶來(lái)的損失；文檔審核是一種事前評(píng)價(jià)方法，屬于前置軟件測(cè)試的一部分，主要包括需求文檔測(cè)試和設(shè)計(jì)文檔測(cè)試。這些特定程序主要是針對(duì)被審計(jì)單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面進(jìn)行評(píng)價(jià)，審計(jì)人員在具體使用時(shí)應(yīng)結(jié)合被審計(jì)單位的業(yè)務(wù)性質(zhì)選擇合適的程序。

三、網(wǎng)絡(luò)審計(jì)與信息安全管理的風(fēng)險(xiǎn)評(píng)估比較

(一)風(fēng)險(xiǎn)評(píng)估的目的信息安全管理中的風(fēng)險(xiǎn)評(píng)估(即信息安全風(fēng)險(xiǎn)評(píng)估)是指根據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程。作為信息安全保障體系建立過(guò)程中的重要的評(píng)價(jià)方法和決策機(jī)制，信息安全風(fēng)險(xiǎn)評(píng)估是企業(yè)管理的組成部分，它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征，其主要目的在于從企業(yè)內(nèi)部風(fēng)險(xiǎn)管理的角度，在系統(tǒng)分析和評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及帶來(lái)的損失的基礎(chǔ)上，提出有針對(duì)性的防護(hù)和整改措施，將企業(yè)面臨或遭遇的風(fēng)險(xiǎn)控制在可接受水平，最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計(jì)是由獨(dú)立審計(jì)人員向企業(yè)提供的一項(xiàng)鑒證服務(wù)，其風(fēng)險(xiǎn)評(píng)估的目的在于識(shí)別和評(píng)價(jià)潛在事件對(duì)被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度，從而指導(dǎo)進(jìn)一步審計(jì)程序。因此，兩者風(fēng)險(xiǎn)評(píng)估的目的是不一樣。從評(píng)估所應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍來(lái)看，兩者具有一致性，即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險(xiǎn)。但是，具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險(xiǎn)評(píng)估要評(píng)估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響，它要求評(píng)估人員關(guān)注與企業(yè)整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn)，包括實(shí)體安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)、軟件安全風(fēng)險(xiǎn)、運(yùn)行安全風(fēng)險(xiǎn)等。網(wǎng)絡(luò)審計(jì)中，審計(jì)人員是對(duì)被審計(jì)單位的網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息發(fā)表意見(jiàn)，因此，風(fēng)險(xiǎn)評(píng)估時(shí)審計(jì)人員主要關(guān)注的是與企業(yè)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn)，而不是與企業(yè)的整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn)。根據(jù)評(píng)估實(shí)施者的不同，信息安全風(fēng)險(xiǎn)評(píng)估形式包括自評(píng)估和他評(píng)估。自評(píng)估是由組織自身對(duì)所擁有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)；他評(píng)估通常是由組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的具有強(qiáng)制意味的檢查。自評(píng)估和他評(píng)估都可以通過(guò)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)進(jìn)行咨詢、服務(wù)、培訓(xùn)以及風(fēng)險(xiǎn)評(píng)估有關(guān)工具的提供。因此。對(duì)審計(jì)人員而言，受托執(zhí)行的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)歸屬于管理咨詢類(lèi)，即屬于非鑒證業(yè)務(wù)，與網(wǎng)絡(luò)審計(jì)嚴(yán)格區(qū)分開(kāi)來(lái)。

(二)風(fēng)險(xiǎn)評(píng)估的內(nèi)容在我國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局的《信息安全風(fēng)險(xiǎn)評(píng)估指南》(征求意見(jiàn)稿)國(guó)家標(biāo)準(zhǔn)中，它將信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容分為兩部分：基本要素和相關(guān)屬性，提出信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)圍繞其基本要素展開(kāi)，并充分考慮與這些基本要素相關(guān)的其他屬性。其中，風(fēng)險(xiǎn)評(píng)估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險(xiǎn)和安全措施；相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等。在此基礎(chǔ)上的風(fēng)險(xiǎn)計(jì)算過(guò)程是：(1)對(duì)信息資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)賦值；(2)對(duì)威脅進(jìn)行分析，并對(duì)威

篇2

隨著現(xiàn)代經(jīng)濟(jì)社會(huì)的發(fā)展，人們生活水平得到提高的同時(shí)，生活的節(jié)奏越來(lái)越快，生活壓力也越來(lái)越大，幸福指數(shù)下降。心理疾病越來(lái)越多，不良情緒帶來(lái)了各種各樣的軀體不適，嚴(yán)重影響了患者的生活質(zhì)量。筆者對(duì)我院心內(nèi)科2008年1月—2011年8月住院的明確心臟神經(jīng)官能癥診斷的110例患者用穩(wěn)心顆粒治療，并追蹤隨訪觀察，治療效果顯著，安全有效，現(xiàn)總結(jié)報(bào)道如下。

1 資料與方法

1.1 病例選擇 選擇心內(nèi)科2008年1月—2011年8月住院的明確心臟神經(jīng)官能癥診斷的患者110例，其中男35例，女75例，年齡20歲～75歲。臨床表現(xiàn)為發(fā)作性心慌，胸悶，煩躁易怒，失眠，焦慮等。患者入選條件：明確診斷非器質(zhì)性心臟病患者。心臟B超正常，88例運(yùn)動(dòng)平板實(shí)驗(yàn)為陰性結(jié)果，32例冠狀動(dòng)脈造影排除冠心病。110例均行動(dòng)態(tài)心電圖檢查，30例大致正常，55例提示頻發(fā)房性早搏，20例合并短陣房性心動(dòng)過(guò)速，35例提示頻發(fā)室性早搏。

1.2 用藥方法 停用其他抗心律失常藥物及其他鎮(zhèn)靜安神藥物至少5個(gè)半衰期，給予穩(wěn)心顆粒治療，每次一包，每日3次，溫開(kāi)水沖服，4周～8周為1個(gè)療程。

1.3 觀察療效指標(biāo) 觀察患者自覺(jué)癥狀是否好轉(zhuǎn)，心慌胸悶癥狀減輕或消失，失眠焦慮情緒改善，睡眠質(zhì)量提高，復(fù)查動(dòng)態(tài)心電圖心律失常數(shù)目有無(wú)消失或顯著減少。 同時(shí)觀察藥物的安全性，復(fù)查血、尿、便常規(guī)，肝腎功能，血脂，血糖，凝血功能。

2 結(jié) 果

2.1 臨床療效及實(shí)驗(yàn)室檢查 治療4周后，110例患者中94例（85%）心悸癥狀顯著減少或消失，85例失眠，焦慮明顯改善（77%）；13例患者合用艾司唑侖癥狀明顯改善；3例患者改為黛力新口服后癥狀改善。總有效率為88%。監(jiān)測(cè)血常規(guī)，大小便常規(guī)、肝腎功能、血脂、血糖、凝血功能與用藥前無(wú)明顯變化。

2.2 心電圖改變 治療前后心率、PR間期、QRS波時(shí)限等無(wú)明顯變化。

2.3 動(dòng)態(tài)心電圖變化 55例房性早搏患者服藥兩周后49例房性早搏明顯減少，總有效率90%，20例合并短陣房速患者17例房速消失，有效率85%。33例室性早搏患者28例室性早博次數(shù)明顯減少，有效率84%。穩(wěn)心顆粒對(duì)非器質(zhì)性心臟病合并心律失常療效明顯。

2.4 不良反應(yīng) 5例患者嫌藥物氣味難以接收停用，1例患者出現(xiàn)過(guò)敏反應(yīng)，全身皮膚出現(xiàn)散在紅色丘疹，皮膚瘙癢，停藥1周后痊愈。未見(jiàn)其他藥物不良反應(yīng)。

3 討 論

篇3

建立良好的信息安全管理模式是鐵路信息系統(tǒng)安全穩(wěn)定運(yùn)行的根本保障，有利于鐵路行業(yè)信息系統(tǒng)的發(fā)展。針對(duì)上述鐵路信息安全管理面臨的挑戰(zhàn)，建立鐵路行業(yè)信息安全管理新模式，結(jié)合鐵路行業(yè)現(xiàn)有組織管理架構(gòu)，借鑒已有的信息安全管理制度，明確信息安全工作的地位、目標(biāo)、原則以及策略，從組織管理、制度及應(yīng)急管理、運(yùn)行維護(hù)管理和等級(jí)保護(hù)管理幾個(gè)方面來(lái)深入考慮和分析，采用體系化管理方式保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

2.1健全組織管理機(jī)構(gòu)

信息安全組織管理方面，建立并逐步健全一套自上而下的安全組織機(jī)構(gòu)，成立鐵路信息系統(tǒng)安全管理領(lǐng)導(dǎo)機(jī)構(gòu)，作為系統(tǒng)安全管理的常設(shè)組織。同時(shí)，采用分層結(jié)構(gòu)，以適應(yīng)鐵路行業(yè)鐵路總公司、鐵路局、站段3級(jí)管理機(jī)制。鐵路總公司領(lǐng)導(dǎo)機(jī)構(gòu)作為全路信息系統(tǒng)安全管理的常設(shè)領(lǐng)導(dǎo)機(jī)構(gòu)，負(fù)責(zé)制定全路信息系統(tǒng)安全管理制度及辦法，鐵路信息系統(tǒng)安全防護(hù)技術(shù)的標(biāo)準(zhǔn)，制定安全管理制度。區(qū)域安全管理機(jī)構(gòu)主要職責(zé)有：負(fù)責(zé)各鐵路局的信息安全管理中心的日常管理工作，及時(shí)與安全專(zhuān)家協(xié)商討論安全執(zhí)行方案，執(zhí)行安全響應(yīng)中心制定的具體安全策略，定期向上級(jí)匯報(bào)信息安全管理相關(guān)工作，下設(shè)多個(gè)安全管理決策小組和管理執(zhí)行小組，管理執(zhí)行小組主要負(fù)責(zé)監(jiān)督和協(xié)調(diào)鐵路局下設(shè)各車(chē)站的信息安全管理執(zhí)行工作。車(chē)站級(jí)信息安全執(zhí)行分組包括安全監(jiān)督員、安全檢查員、安全執(zhí)行員3類(lèi)安全工作人員。

2.2強(qiáng)化制度建設(shè)及工作流程管理

2.2.1管理制度

鐵路信息系統(tǒng)安全不僅要強(qiáng)化系統(tǒng)建設(shè)，更要做好內(nèi)部安全管理建設(shè)，具體要做好以下工作：

（1）建立專(zhuān)門(mén)的安全防御組織：針對(duì)鐵路信息系統(tǒng)整體安全，鐵路總公司應(yīng)成立專(zhuān)門(mén)的機(jī)構(gòu)，負(fù)責(zé)網(wǎng)絡(luò)的安全管理和應(yīng)急響應(yīng)。鐵路局、基層站段相應(yīng)的部門(mén)，對(duì)鐵路基礎(chǔ)網(wǎng)實(shí)施自頂向下的實(shí)時(shí)監(jiān)控與管理。

（2）建立健全安全保密制度：各部門(mén)應(yīng)制定嚴(yán)格的安全保密條例，杜絕不必要的人員接觸和了解鐵路核心網(wǎng)絡(luò)設(shè)備與技術(shù)，防止敏感信息泄露。對(duì)有權(quán)了解、處理關(guān)鍵信息的內(nèi)部人員制定更嚴(yán)格、更詳細(xì)的安全責(zé)任制度，明確個(gè)人在信息安全方面應(yīng)該承擔(dān)的職責(zé)以及發(fā)生責(zé)任事故后的處罰。

（3）建立健全數(shù)據(jù)安全保護(hù)措施：針對(duì)鐵路核心業(yè)務(wù)系統(tǒng)的關(guān)鍵數(shù)據(jù)，需要建立完備的本地和異地備份制度，同時(shí)，采用雙機(jī)備份、物理隔離的技術(shù)方案，定時(shí)增量備份。

（4）定期實(shí)施漏洞掃描和系統(tǒng)補(bǔ)丁升級(jí)：系統(tǒng)管理人員需定期對(duì)網(wǎng)絡(luò)進(jìn)行掃描，以檢測(cè)和評(píng)估網(wǎng)絡(luò)漏洞。檢測(cè)范圍包括所有的網(wǎng)絡(luò)設(shè)備和終端設(shè)備，同時(shí)掃描網(wǎng)絡(luò)內(nèi)所有主機(jī)系統(tǒng)的配置及安全漏洞。

（5）定期實(shí)施計(jì)算機(jī)安全檢查：針對(duì)處理關(guān)鍵數(shù)據(jù)的計(jì)算機(jī)，應(yīng)建立完善的日志，記錄所有與安全有關(guān)的事件。安全日志不僅要完整的記錄安全事件，而且需要具備防篡改、抗抵賴(lài)功能。

2.2.2標(biāo)準(zhǔn)制度

以信息安全相關(guān)管理和技術(shù)規(guī)范及不同層次的信息安全制度為重點(diǎn)，構(gòu)建科學(xué)嚴(yán)謹(jǐn)、有效適用、系統(tǒng)規(guī)范的信息安全管理標(biāo)準(zhǔn)制度體系。制定相應(yīng)的技術(shù)標(biāo)準(zhǔn)、作業(yè)辦法等，明確工作標(biāo)準(zhǔn)，流程，落實(shí)管理責(zé)任，規(guī)范作業(yè)行為。按照信息安全風(fēng)險(xiǎn)管理的要求，對(duì)各項(xiàng)管理規(guī)章制度進(jìn)行全面的清理和完善，不斷加強(qiáng)鐵路信息安全標(biāo)準(zhǔn)制度體系建設(shè)，使鐵路信息安全風(fēng)險(xiǎn)管理工作制度化、規(guī)范化和標(biāo)準(zhǔn)化。

2.2.3工作流程管理

信息安全管理流程包括信息安全培訓(xùn)工作流程、信息安全運(yùn)行維護(hù)工作流程、信息安全風(fēng)險(xiǎn)控制流程、信息安全應(yīng)急處置流程、信息安全監(jiān)督檢查與改進(jìn)流程等各項(xiàng)管理工作流程。應(yīng)根據(jù)工作實(shí)際情況，建立健全、持續(xù)改進(jìn)、推廣應(yīng)用先進(jìn)的信息安全管理工作流程，使鐵路信息安全管理和運(yùn)行維護(hù)工作專(zhuān)業(yè)化、標(biāo)準(zhǔn)化、規(guī)范化。

2.3建立信息安全運(yùn)行維護(hù)管理體系

2.3.1安全風(fēng)險(xiǎn)管理

鐵路信息系統(tǒng)安全管理中心采用風(fēng)險(xiǎn)評(píng)估的方法，分析和評(píng)估系統(tǒng)的風(fēng)險(xiǎn)源和安全威脅源，并根據(jù)各類(lèi)信息資產(chǎn)的重要程度和價(jià)值，選擇適當(dāng)?shù)目刂拼胧p緩風(fēng)險(xiǎn)。鐵路局要組織建立安全風(fēng)險(xiǎn)管理體系，進(jìn)行信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理。從理論上，風(fēng)險(xiǎn)只能降低或減少而不能完全消除。選擇控制措施的原則是既能使鐵路信息系統(tǒng)受到與其價(jià)值和保密等級(jí)相符的保護(hù)，將其所受的風(fēng)險(xiǎn)降低到可接受的水準(zhǔn)，又能使所需要的費(fèi)用在預(yù)算范圍之內(nèi)，使鐵路行業(yè)能夠保持良好的競(jìng)爭(zhēng)力和成功運(yùn)作的狀態(tài)。另外，系統(tǒng)的風(fēng)險(xiǎn)是動(dòng)態(tài)的，風(fēng)險(xiǎn)評(píng)估活動(dòng)應(yīng)定期進(jìn)行，特別是在系統(tǒng)的核心功能及技術(shù)發(fā)生重大變化和內(nèi)外環(huán)境發(fā)生重大變化時(shí)，風(fēng)險(xiǎn)評(píng)估應(yīng)重新進(jìn)行。

2.3.2安全運(yùn)行維護(hù)

鐵路信息系統(tǒng)安全運(yùn)行維護(hù)管理依托安全管理中心實(shí)現(xiàn)系統(tǒng)的安全運(yùn)行維護(hù)。鐵路總公司信息系統(tǒng)安全管理中心運(yùn)行維護(hù)平臺(tái)可實(shí)現(xiàn)對(duì)系統(tǒng)中的網(wǎng)絡(luò)、主機(jī)、安全系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、存儲(chǔ)備份設(shè)備和應(yīng)用系統(tǒng)的可視、可控、可管理，協(xié)助運(yùn)行維護(hù)人員監(jiān)控系統(tǒng)和及時(shí)發(fā)現(xiàn)問(wèn)題。各鐵路局安全管理部門(mén)運(yùn)行維護(hù)人員應(yīng)通過(guò)使用運(yùn)行維護(hù)平臺(tái)，積極開(kāi)展運(yùn)行維護(hù)管理工作，實(shí)現(xiàn)鐵路局安全監(jiān)管監(jiān)察部門(mén)與鐵路總公司安全運(yùn)行維護(hù)工作的有效連接。對(duì)各地區(qū)安全管理部門(mén)能夠處理的事件，按照路局區(qū)域內(nèi)管理流程執(zhí)行，并定時(shí)向鐵路總公司安全管理中心上報(bào)故障情況并提交運(yùn)行維護(hù)處理單。

2.3.3安全應(yīng)急響應(yīng)

鐵路信息系統(tǒng)安全應(yīng)急響應(yīng)體系的建立應(yīng)做好以下5個(gè)階段工作。

（1）保護(hù)階段：制定應(yīng)急反應(yīng)工作流程計(jì)劃、確定預(yù)警和報(bào)警的方法、建立備份的體系和流程、建立安全的系統(tǒng)、進(jìn)行應(yīng)急反應(yīng)事件處理的預(yù)演。

（2）預(yù)警與報(bào)警：識(shí)別和發(fā)現(xiàn)各種安全的緊急事件。在緊急情況發(fā)生前，產(chǎn)生安全的預(yù)警報(bào)告，在緊急情況發(fā)生時(shí)，產(chǎn)生安全警報(bào)給應(yīng)急反應(yīng)中心。應(yīng)急反應(yīng)中心將根據(jù)事件的級(jí)別，采取相應(yīng)措施。

（3）牽制與反饋：在確認(rèn)緊急事件發(fā)生的情況下，應(yīng)急反應(yīng)中心將根據(jù)預(yù)先制定的反應(yīng)計(jì)劃，進(jìn)入應(yīng)急反應(yīng)流程。同時(shí)，應(yīng)急反應(yīng)系統(tǒng)本身將根據(jù)預(yù)先制定的規(guī)則，采取相應(yīng)的措施，把緊急事件的影響降到最小。

（4）消除階段：對(duì)于系統(tǒng)內(nèi)部病毒，應(yīng)該采用最新的病毒專(zhuān)殺工具清除。對(duì)于系統(tǒng)的外部入侵和非法授權(quán)訪問(wèn)等，應(yīng)該通過(guò)專(zhuān)用的漏洞掃描工具發(fā)現(xiàn)系統(tǒng)存在哪些漏洞，然后采用相應(yīng)的手段消除漏洞安全隱患。對(duì)于入侵攻擊或超量訪問(wèn)要采用有效的攔截和限量訪問(wèn)措施，使系統(tǒng)資源處于可控范圍。

（5）恢復(fù)階段：在數(shù)據(jù)或者系統(tǒng)被破壞，無(wú)法修復(fù)的情況下，應(yīng)進(jìn)行系統(tǒng)的恢復(fù)，且恢復(fù)要依據(jù)預(yù)先制定的恢復(fù)流程嚴(yán)格進(jìn)行。

2.3.4安全策略優(yōu)化

制定有效的安全策略，當(dāng)原有安全策略無(wú)法滿足現(xiàn)有系統(tǒng)的安全需求時(shí)，要結(jié)合實(shí)際情況對(duì)系統(tǒng)安全管理策略進(jìn)行調(diào)整優(yōu)化，以適應(yīng)新的安全管理制度。制定出符合鐵路信息系統(tǒng)的安全管理策略，以確保系統(tǒng)的信息安全保密性為主，采用多層次保護(hù)、最小授權(quán)、綜合保護(hù)和嚴(yán)格管理等措施。

2.3.5安全檢查審計(jì)

安全檢查審計(jì)依托安全管理平臺(tái)，通過(guò)對(duì)鐵路信息系統(tǒng)中相關(guān)信息的收集、分析和報(bào)告，判定現(xiàn)有系統(tǒng)安全控制手段的有效性，檢查系統(tǒng)的誤用和濫用行為，統(tǒng)計(jì)系統(tǒng)的安全事件，并按照安全事件的影響和危害程度進(jìn)行等級(jí)劃分，從而驗(yàn)證當(dāng)前安全策略的合規(guī)性，為以后的歸納總結(jié)，安全系統(tǒng)的進(jìn)一步改善提供依據(jù)。安全管理平臺(tái)根據(jù)從專(zhuān)項(xiàng)的日志審計(jì)產(chǎn)品、終端審計(jì)產(chǎn)品、數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品和應(yīng)用審計(jì)產(chǎn)品中收集上來(lái)的信息進(jìn)行關(guān)聯(lián)分析，進(jìn)行審計(jì)規(guī)則匹配，發(fā)現(xiàn)違規(guī)行為并進(jìn)行告警和響應(yīng)。通過(guò)安全審計(jì)與安全管理平臺(tái)的融合，使得安全審計(jì)體系的建設(shè)與安全管理平臺(tái)的建設(shè)目標(biāo)達(dá)成了一致，有助于鐵路信息系統(tǒng)整體安全體系的形成和完善，并通過(guò)對(duì)安全事件的分析，把握系統(tǒng)安全威脅的發(fā)展趨勢(shì)，形成日?qǐng)?bào)告或周報(bào)告進(jìn)行定期安全信息通報(bào)，為系統(tǒng)的安全策略優(yōu)化提供決策性指導(dǎo)。

2.4建立等級(jí)保護(hù)管理制度

為切實(shí)做好信息安全管理工作，鐵路行業(yè)需要借助等級(jí)保護(hù)這一安全抓手，將等級(jí)保護(hù)與信息安全日常管理緊密結(jié)合，將信息安全管理全面納入鐵路運(yùn)輸安全生產(chǎn)管理體系，按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)維護(hù)”和屬地化管理原則，逐級(jí)落實(shí)信息安全責(zé)任，建立地方與總公司信息化發(fā)展相適應(yīng)的信息安全監(jiān)督管理機(jī)制。同時(shí)，為了在縱向上實(shí)現(xiàn)對(duì)等級(jí)保護(hù)的控制，鐵路行業(yè)主管部門(mén)在國(guó)家文件政策指導(dǎo)下，應(yīng)制定符合本行業(yè)安全需求的等級(jí)保護(hù)行業(yè)標(biāo)準(zhǔn)、行業(yè)等級(jí)保護(hù)實(shí)施方法等文件，用以指導(dǎo)本行業(yè)的等級(jí)保護(hù)工作，保障鐵路運(yùn)輸及生產(chǎn)安全管理。

2.5建設(shè)鐵路信息安全綜合管理平臺(tái)

為保證鐵路信息安全等級(jí)保護(hù)工作的有序展開(kāi)，需要建設(shè)信息安全綜合管理平臺(tái)，旨為鐵路總公司及下屬單位開(kāi)展與信息安全管理相關(guān)工作的綜合工作平臺(tái)，功能將覆蓋鐵路總公司及其下屬單位的信息安全管理工作的主要內(nèi)容，并支持公安部等級(jí)保護(hù)管理工作。平臺(tái)主要提供以下3類(lèi)功能：

（1）以信息系統(tǒng)定級(jí)、備案、整改、測(cè)評(píng)和檢查等規(guī)定步驟為主線，實(shí)現(xiàn)等級(jí)保護(hù)工作任務(wù)的下發(fā)、執(zhí)行、進(jìn)度監(jiān)控和督辦；

（2）風(fēng)險(xiǎn)管理、應(yīng)急管理、安全檢查和事故通報(bào)等專(zhuān)項(xiàng)管理功能；（3）日常辦公的綜合管理、培訓(xùn)教育、標(biāo)準(zhǔn)管理等。

篇4

1網(wǎng)絡(luò)安全管理的安全審計(jì)系統(tǒng)

1.1安全審計(jì)系統(tǒng)的組成

①事件產(chǎn)生器；②事件數(shù)據(jù)庫(kù)；③事件分析器；④響應(yīng)單元。事件產(chǎn)生器的作用：將單位網(wǎng)絡(luò)獲得的事件提供給網(wǎng)絡(luò)安全審計(jì)系統(tǒng)；事件分析器的作用：詳細(xì)地分析所得到的數(shù)據(jù)；事件響應(yīng)單元的作用：根據(jù)時(shí)間分析器得到的分析結(jié)果做出相應(yīng)的反映；事件數(shù)據(jù)庫(kù)的作用：保存時(shí)間分析器得到的分析結(jié)果。

1.2安全審計(jì)系統(tǒng)的要求

1.2.1記錄與再現(xiàn)記錄安全審計(jì)系統(tǒng)中全部違規(guī)操作、非法行為，再現(xiàn)系統(tǒng)某種狀態(tài)的主要行為。1.2.2入侵檢測(cè)審計(jì)系統(tǒng)檢查出大多數(shù)常見(jiàn)的系統(tǒng)入侵的意圖，設(shè)計(jì)相應(yīng)程序阻止入侵行為。1.2.3記錄入侵行為審計(jì)系統(tǒng)記錄所有的入侵企圖，對(duì)于成功入侵用戶，可以根據(jù)入侵記錄恢復(fù)系統(tǒng)。1.2.4系統(tǒng)本身的安全性安全審計(jì)系統(tǒng)必須保證自身系統(tǒng)操作系統(tǒng)和軟件安全以及審計(jì)數(shù)據(jù)安全才可以發(fā)揮其在網(wǎng)絡(luò)安全管理的作用。

2網(wǎng)絡(luò)安全審計(jì)的必要性

2.1提高企業(yè)數(shù)據(jù)安全管理績(jī)效

高新科技技術(shù)已經(jīng)滲透到社會(huì)方方面面，有利也有弊，其中企業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)信息安全的問(wèn)題頻頻出現(xiàn)，這對(duì)于企業(yè)網(wǎng)絡(luò)運(yùn)營(yíng)和實(shí)際經(jīng)營(yíng)造成很大的沖擊、帶來(lái)經(jīng)濟(jì)損失。防火墻、防病毒軟件、反入侵系統(tǒng)雖然可以解決部分內(nèi)部用戶的非法違規(guī)網(wǎng)絡(luò)行為導(dǎo)致的網(wǎng)絡(luò)信息安全問(wèn)題，某種程度也保障了網(wǎng)絡(luò)信息安全。網(wǎng)絡(luò)信息外部的防衛(wèi)無(wú)法抵御內(nèi)部用戶在沒(méi)有網(wǎng)絡(luò)監(jiān)管時(shí)對(duì)網(wǎng)絡(luò)內(nèi)部的不合法操作，網(wǎng)絡(luò)外部的安全防衛(wèi)措施無(wú)法解決網(wǎng)絡(luò)內(nèi)部出現(xiàn)的故障。所以企業(yè)網(wǎng)絡(luò)要正常運(yùn)營(yíng)、企業(yè)經(jīng)營(yíng)要得到持續(xù)發(fā)展，必須要建立企業(yè)內(nèi)部的安全審計(jì)系統(tǒng)，對(duì)內(nèi)部用戶訪問(wèn)網(wǎng)絡(luò)系統(tǒng)進(jìn)行嚴(yán)格監(jiān)控和審計(jì)，有必要時(shí)可以采取相應(yīng)措施懲戒造成網(wǎng)絡(luò)安全問(wèn)題的人員，讓網(wǎng)絡(luò)信息安全事件不再發(fā)生。

2.2提高網(wǎng)絡(luò)信息安全性

（1）安全審計(jì)系統(tǒng)采取訪問(wèn)控制手段對(duì)網(wǎng)絡(luò)信息進(jìn)行安全審計(jì)和監(jiān)控，從而提高網(wǎng)絡(luò)信息安全；（2）對(duì)網(wǎng)絡(luò)信息加密實(shí)現(xiàn)網(wǎng)絡(luò)信息安全審計(jì)的目的，實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)私有，做到網(wǎng)絡(luò)安全管理，為了提高網(wǎng)絡(luò)信息安全水平要經(jīng)常維護(hù)與檢查安全日志；（3）安全審計(jì)網(wǎng)絡(luò)中傳輸?shù)男畔ⅲO(jiān)控網(wǎng)絡(luò)操作行為，提高網(wǎng)絡(luò)信息安全性，提供社會(huì)組織的網(wǎng)絡(luò)化行為安全性保障。

3安全審計(jì)系統(tǒng)在網(wǎng)絡(luò)安全管理的應(yīng)用

安全審計(jì)系統(tǒng)和基礎(chǔ)網(wǎng)絡(luò)病毒防護(hù)產(chǎn)品相互結(jié)合，共同保護(hù)網(wǎng)絡(luò)的整體安全。企業(yè)傳統(tǒng)的網(wǎng)絡(luò)安全體系建設(shè)只注重網(wǎng)絡(luò)邊界的安全，重點(diǎn)建設(shè)針對(duì)外部網(wǎng)絡(luò)向企業(yè)內(nèi)網(wǎng)攻擊的防護(hù)措施，沒(méi)有考慮到內(nèi)網(wǎng)自身存在的安全隱患，企業(yè)的網(wǎng)絡(luò)信息安全無(wú)法得到有效保障。因此，借助安全審計(jì)系統(tǒng)對(duì)企業(yè)網(wǎng)絡(luò)安全進(jìn)行審計(jì)和評(píng)估，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的全面安全監(jiān)督。隨著互聯(lián)網(wǎng)科技快速發(fā)展，銀行金融行業(yè)處于信息化時(shí)代，信息化推動(dòng)銀行智能化發(fā)展，銀行網(wǎng)絡(luò)信息安全對(duì)銀行安全穩(wěn)定發(fā)展非常重要，如銀行數(shù)據(jù)集中處理有風(fēng)險(xiǎn)、網(wǎng)絡(luò)金融服務(wù)容易受到黑客、病毒攻擊等。由于銀行涉及到金錢(qián)等財(cái)務(wù)利益上的交易，而且銀行作為信息化時(shí)代以客戶為主導(dǎo)的服務(wù)行業(yè)，必須嚴(yán)格地對(duì)客戶信息進(jìn)行保密，保障客戶信息安全。不僅銀行關(guān)系到國(guó)計(jì)民生、對(duì)社會(huì)經(jīng)濟(jì)發(fā)展也具有重要意義，所以控制銀行信息化風(fēng)險(xiǎn)的最有效方法就是建立銀行網(wǎng)絡(luò)信息安全審計(jì)系統(tǒng)。網(wǎng)絡(luò)的廣泛應(yīng)用給教育行業(yè)帶來(lái)很大便利，目前很多高校和發(fā)達(dá)地區(qū)中小學(xué)都建立自己的校園網(wǎng)，但是網(wǎng)絡(luò)問(wèn)題作為信息化水平發(fā)展的附屬品，給校園網(wǎng)安全管理造成很大困擾。雖然校園網(wǎng)已經(jīng)加大網(wǎng)絡(luò)外部病毒防御系統(tǒng)建設(shè)，但是網(wǎng)絡(luò)內(nèi)部檢測(cè)和審計(jì)更需要引起重視，為了減少網(wǎng)絡(luò)有害信息和侵權(quán)行為，規(guī)范師生上網(wǎng)行為，維護(hù)校園網(wǎng)安全穩(wěn)定運(yùn)行，非常有必要建立校園網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。

4結(jié)語(yǔ)

本文詳細(xì)介紹了網(wǎng)絡(luò)安全管理的安全審計(jì)系統(tǒng)以及功能，并且闡述了網(wǎng)絡(luò)安全審計(jì)的必要性，安全審計(jì)系統(tǒng)的使用，使網(wǎng)絡(luò)監(jiān)控力度大大加強(qiáng)，讓網(wǎng)絡(luò)監(jiān)控效率得到顯著提高，為信息化建設(shè)提供了良好的保障。

參考文獻(xiàn)

[1]付曉坤.網(wǎng)絡(luò)安全審計(jì)技術(shù)的運(yùn)用[J].中國(guó)水運(yùn),2013(09):50-51.

篇5

隨著信息化技術(shù)的高速發(fā)展和深入應(yīng)用，企業(yè)對(duì)信息系統(tǒng)的依賴(lài)性越來(lái)越強(qiáng)，絕大部分的業(yè)務(wù)從紙面遷移到信息系統(tǒng)當(dāng)中，如何建立穩(wěn)固的信息安全管理體系已經(jīng)成為各企業(yè)信息管理部門(mén)甚至管理層的重要課題。本文將通過(guò)對(duì)目前國(guó)際信息安全行業(yè)發(fā)展的分析，提出企業(yè)構(gòu)建穩(wěn)固的信息安全管理架構(gòu)，提高信息安全水平的初步構(gòu)想。

1企業(yè)信息安全政策

信息安全政策作為信息安全工作的重中之重，直接展現(xiàn)了企業(yè)的信息安全工作的思路。其應(yīng)當(dāng)由企業(yè)信息安全工作的使命和遠(yuǎn)景，實(shí)施準(zhǔn)則等幾部分組成。

1.1信息安全工作的使命

信息安全工作的核心意義是將企業(yè)所面臨的風(fēng)險(xiǎn)管理至一個(gè)可接受的水平。

當(dāng)前主流的風(fēng)險(xiǎn)控制包含以下四個(gè)步驟：通過(guò)風(fēng)險(xiǎn)評(píng)估方法來(lái)評(píng)估風(fēng)險(xiǎn)；制定安全策略來(lái)降低風(fēng)險(xiǎn)；通過(guò)監(jiān)控控制惡意未授權(quán)行為；有效地審計(jì)。

1.2信息安全工作的愿景

安全的企業(yè)信息化環(huán)境可以為任何企業(yè)用戶提供安全便捷的信息化服務(wù)，應(yīng)用，基礎(chǔ)設(shè)施，并保護(hù)用戶的隱私。讓用戶有安全的身份驗(yàn)證；能安全便捷的使用需要的數(shù)據(jù)和應(yīng)用資源；保證通訊和數(shù)據(jù)的保密性；明確自身的角色，了解角色在企業(yè)中的信息安全責(zé)任；身邊出現(xiàn)的信息安全風(fēng)險(xiǎn)和威脅能得到迅速響應(yīng)。

要達(dá)到上述目的，企業(yè)需要進(jìn)行有效的風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理是一個(gè)識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)的過(guò)程。在這個(gè)過(guò)程中，需要權(quán)衡降低風(fēng)險(xiǎn)的成本和業(yè)務(wù)的需求，確定風(fēng)險(xiǎn)的優(yōu)先級(jí)別，為管理層的決策提供有效的支持。

1.3信息安全準(zhǔn)則

信息安全準(zhǔn)則是風(fēng)險(xiǎn)評(píng)估和制定最優(yōu)解決方案的關(guān)鍵，優(yōu)秀的信息安全準(zhǔn)則包括：根據(jù)企業(yè)業(yè)務(wù)目標(biāo)執(zhí)行風(fēng)險(xiǎn)管理；有組織的確定員工角色和責(zé)任；對(duì)用戶和數(shù)據(jù)實(shí)行最小化權(quán)限管理；在應(yīng)用和系統(tǒng)的計(jì)劃和開(kāi)發(fā)過(guò)程中就考慮安全防護(hù)的問(wèn)題；在應(yīng)用中實(shí)施逐層防護(hù)；建立高度集成的安全防護(hù)框架；將監(jiān)控、審計(jì)和快速反應(yīng)結(jié)合為一體。

良好信息安全準(zhǔn)則可以讓企業(yè)內(nèi)外部用戶了解企業(yè)信息安全理念，從而讓企業(yè)信息管理部門(mén)更好地對(duì)風(fēng)險(xiǎn)進(jìn)行管控。

2企業(yè)信息安全管理的主要手段

2.1網(wǎng)絡(luò)安全

（1）保證安全的外部人員連接。在日常工作中，外部合作伙伴經(jīng)常會(huì)提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求，由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標(biāo)準(zhǔn)，因此存在信息安全隱患。控制此類(lèi)風(fēng)險(xiǎn)的手段主要有：對(duì)用戶賬戶使用硬件KEY等強(qiáng)驗(yàn)證手段；全面管控外部單位的網(wǎng)絡(luò)接入等。

（2）遠(yuǎn)程接入控制。隨著VPN[2-3]技術(shù)的不斷發(fā)展，遠(yuǎn)程接入的風(fēng)險(xiǎn)已降低到企業(yè)的可控范圍，而近年來(lái)移動(dòng)辦公的興起更是推動(dòng)了遠(yuǎn)程接入技術(shù)的發(fā)展。企業(yè)采用USB KEY，動(dòng)態(tài)口令牌等硬件認(rèn)證方式的遠(yuǎn)程接入要更加的安全。

（3）網(wǎng)絡(luò)劃分。在過(guò)去，企業(yè)內(nèi)部以開(kāi)放式的網(wǎng)絡(luò)為主。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟，非受控終端給企業(yè)內(nèi)網(wǎng)帶來(lái)的安全壓力越來(lái)越大。這些不受信任的終端為攻擊者提供了訪問(wèn)企業(yè)網(wǎng)絡(luò)的路徑。信息管理部門(mén)可以利用IPSec[4]技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全，實(shí)現(xiàn)對(duì)位于公司防火墻內(nèi)部終端的完全管控。

（4）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)作為防火墻的補(bǔ)充，主要用于監(jiān)控網(wǎng)絡(luò)傳輸，在檢測(cè)到可疑傳輸行為時(shí)報(bào)警。作為企業(yè)信息安全架構(gòu)的必備設(shè)備，入侵檢測(cè)系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為，隨著信息技術(shù)的發(fā)展，各大安全廠商如賽門(mén)鐵克，思科等均研發(fā)出來(lái)成熟的入侵檢測(cè)系統(tǒng)產(chǎn)品。

（5）無(wú)線網(wǎng)絡(luò)安全。無(wú)線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域，給企業(yè)和用戶帶來(lái)便利的同時(shí)也存在信息安全的隱患。要保證企業(yè)內(nèi)部無(wú)線網(wǎng)絡(luò)的安全，信息管理部門(mén)需要使用更新更安全的協(xié)議（如無(wú)線保護(hù)接入WPA或WPA2）；使用VLAN劃分和域提供互相隔離的無(wú)線網(wǎng)絡(luò)；利用802.1x和EAP技術(shù)加強(qiáng)對(duì)無(wú)線網(wǎng)絡(luò)的訪問(wèn)控制。

2.2訪問(wèn)控制

（1）密碼策略。高強(qiáng)度的密碼需要幾年時(shí)間來(lái)破解，而脆弱的密碼在一分鐘內(nèi)就可以被破解。提高企業(yè)用戶的密碼強(qiáng)度是訪問(wèn)控制的必要手段。為避免弱密碼可能對(duì)公司造成的危害，企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行。

（2）用戶權(quán)限管理。企業(yè)的員工從進(jìn)入公司到離職是一個(gè)完整的生命周期，要便捷有效地在這個(gè)生命周期中對(duì)員工的權(quán)限進(jìn)行管理，需要企業(yè)具有完善的身份管理平臺(tái)，從而實(shí)現(xiàn)授權(quán)流程的自動(dòng)化，并實(shí)現(xiàn)企業(yè)內(nèi)應(yīng)用的單點(diǎn)登陸。

（3）公鑰系統(tǒng)[5]。公鑰系統(tǒng)是訪問(wèn)控制乃至信息安全架構(gòu)的核心模塊，無(wú)線網(wǎng)絡(luò)訪問(wèn)授權(quán)，VPN接入，文件加密系統(tǒng)等均可以通過(guò)公鑰系統(tǒng)提升安全水平，因此企業(yè)應(yīng)當(dāng)部署PKI/CA系統(tǒng)。

2.3監(jiān)控與審計(jì)

（1）病毒掃描與補(bǔ)丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng)，在終端定期更新病毒定義，進(jìn)行病毒自掃描，自動(dòng)更新操作系統(tǒng)補(bǔ)丁，以減少桌面終端的安全風(fēng)險(xiǎn)。此類(lèi)管控手段通常需要在用戶的終端上安裝客戶端，或?qū)K端進(jìn)行定制，在終端接入企業(yè)內(nèi)網(wǎng)時(shí)，終端管理系統(tǒng)會(huì)在隔離區(qū)域?qū)υ摻K端進(jìn)行綜合評(píng)估打分，通過(guò)評(píng)估后方能接入內(nèi)網(wǎng)。才能保證系統(tǒng)的安全策略被有效執(zhí)行。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構(gòu)成：防病毒系統(tǒng)；內(nèi)容過(guò)濾網(wǎng)關(guān)；郵件過(guò)濾網(wǎng)關(guān)；惡意網(wǎng)頁(yè)過(guò)濾網(wǎng)關(guān)和入侵檢測(cè)軟件。

（3）安全事件記錄和審計(jì)。企業(yè)應(yīng)當(dāng)配置日志審計(jì)系統(tǒng)，收集信息安全事件，產(chǎn)生審計(jì)記錄，根據(jù)記錄進(jìn)行安全事件分析，并采取相應(yīng)的處理措施。

2.4培訓(xùn)與宣傳

提高企業(yè)管理層和員工的信息安全意識(shí)，是信息安全管理工作的基礎(chǔ)。了解信息安全的必要性，管理層才會(huì)支持信息安全管理建設(shè)，用戶才會(huì)配合信息管理部門(mén)工作。利用定期培訓(xùn)，宣傳海報(bào)，郵件等方式定期反復(fù)對(duì)企業(yè)用戶進(jìn)行信息安全培訓(xùn)和宣傳，能有效提高企業(yè)信息安全管理水平。

3總結(jié)

當(dāng)前，越來(lái)越多的企業(yè)已經(jīng)把信息安全看做影響業(yè)務(wù)發(fā)展的核心因素之一，信息安全管理已經(jīng)成為企業(yè)管理的重點(diǎn)。本文對(duì)信息安全政策，安全管理手段等方面進(jìn)行了剖析，結(jié)合當(dāng)前國(guó)際主流的信息安全解決辦法，為企業(yè)做好，做強(qiáng)信息安全管理體系給出了一些通用性的標(biāo)準(zhǔn)，對(duì)企業(yè)構(gòu)建信息安全管理體系，消除信息安全隱患，避免信息安全事件造成的損失，確保信息系統(tǒng)安全、穩(wěn)定運(yùn)行具有探索意義。

參考文獻(xiàn)：

[1]何劍虹,白曉穎,李潤(rùn)玲,崔智社.基于SLA的面向服務(wù)的基礎(chǔ)設(shè)施[J].電訊技術(shù),2011,51(9):100-105.

[2]胡道元,閡京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.

篇6

2.1網(wǎng)絡(luò)安全

（1）保證安全的外部人員連接。在日常工作中，外部合作伙伴經(jīng)常會(huì)提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求，由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標(biāo)準(zhǔn)，因此存在信息安全隱患。控制此類(lèi)風(fēng)險(xiǎn)的手段主要有：對(duì)用戶賬戶使用硬件KEY等強(qiáng)驗(yàn)證手段；全面管控外部單位的網(wǎng)絡(luò)接入等。

（2）遠(yuǎn)程接入控制。隨著VPN技術(shù)的不斷發(fā)展，遠(yuǎn)程接入的風(fēng)險(xiǎn)已降低到企業(yè)的可控范圍，而近年來(lái)移動(dòng)辦公的興起更是推動(dòng)了遠(yuǎn)程接入技術(shù)的發(fā)展。企業(yè)采用USBKEY，動(dòng)態(tài)口令牌等硬件認(rèn)證方式的遠(yuǎn)程接入要更加的安全。

（3）網(wǎng)絡(luò)劃分。在過(guò)去，企業(yè)內(nèi)部以開(kāi)放式的網(wǎng)絡(luò)為主。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟，非受控終端給企業(yè)內(nèi)網(wǎng)帶來(lái)的安全壓力越來(lái)越大。這些不受信任的終端為攻擊者提供了訪問(wèn)企業(yè)網(wǎng)絡(luò)的路徑。信息管理部門(mén)可以利用IPSec技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全，實(shí)現(xiàn)對(duì)位于公司防火墻內(nèi)部終端的完全管控。

（4）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)作為防火墻的補(bǔ)充，主要用于監(jiān)控網(wǎng)絡(luò)傳輸，在檢測(cè)到可疑傳輸行為時(shí)報(bào)警。作為企業(yè)信息安全架構(gòu)的必備設(shè)備，入侵檢測(cè)系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為，隨著信息技術(shù)的發(fā)展，各大安全廠商如賽門(mén)鐵克，思科等均研發(fā)出來(lái)成熟的入侵檢測(cè)系統(tǒng)產(chǎn)品。

（5）無(wú)線網(wǎng)絡(luò)安全。無(wú)線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域，給企業(yè)和用戶帶來(lái)便利的同時(shí)也存在信息安全的隱患。要保證企業(yè)內(nèi)部無(wú)線網(wǎng)絡(luò)的安全，信息管理部門(mén)需要使用更新更安全的協(xié)議（如無(wú)線保護(hù)接入WPA或WPA2）；使用VLAN劃分和域提供互相隔離的無(wú)線網(wǎng)絡(luò)；利用802.1x和EAP技術(shù)加強(qiáng)對(duì)無(wú)線網(wǎng)絡(luò)的訪問(wèn)控制。

2.2訪問(wèn)控制

（1）密碼策略。高強(qiáng)度的密碼需要幾年時(shí)間來(lái)破解，而脆弱的密碼在一分鐘內(nèi)就可以被破解。提高企業(yè)用戶的密碼強(qiáng)度是訪問(wèn)控制的必要手段。為避免弱密碼可能對(duì)公司造成的危害，企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行。

（2）用戶權(quán)限管理。企業(yè)的員工從進(jìn)入公司到離職是一個(gè)完整的生命周期，要便捷有效地在這個(gè)生命周期中對(duì)員工的權(quán)限進(jìn)行管理，需要企業(yè)具有完善的身份管理平臺(tái)，從而實(shí)現(xiàn)授權(quán)流程的自動(dòng)化，并實(shí)現(xiàn)企業(yè)內(nèi)應(yīng)用的單點(diǎn)登陸。

（3）公鑰系統(tǒng)。公鑰系統(tǒng)是訪問(wèn)控制乃至信息安全架構(gòu)的核心模塊，無(wú)線網(wǎng)絡(luò)訪問(wèn)授權(quán)，VPN接入，文件加密系統(tǒng)等均可以通過(guò)公鑰系統(tǒng)提升安全水平，因此企業(yè)應(yīng)當(dāng)部署PKI/CA系統(tǒng)。

2.3監(jiān)控與審計(jì)

（1）病毒掃描與補(bǔ)丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng)，在終端定期更新病毒定義，進(jìn)行病毒自掃描，自動(dòng)更新操作系統(tǒng)補(bǔ)丁，以減少桌面終端的安全風(fēng)險(xiǎn)。此類(lèi)管控手段通常需要在用戶的終端上安裝客戶端，或?qū)K端進(jìn)行定制，在終端接入企業(yè)內(nèi)網(wǎng)時(shí)，終端管理系統(tǒng)會(huì)在隔離區(qū)域?qū)υ摻K端進(jìn)行綜合評(píng)估打分，通過(guò)評(píng)估后方能接入內(nèi)網(wǎng)。才能保證系統(tǒng)的安全策略被有效執(zhí)行。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構(gòu)成：防病毒系統(tǒng)；內(nèi)容過(guò)濾網(wǎng)關(guān)；郵件過(guò)濾網(wǎng)關(guān)；惡意網(wǎng)頁(yè)過(guò)濾網(wǎng)關(guān)和入侵檢測(cè)軟件。

（3）安全事件記錄和審計(jì)。企業(yè)應(yīng)當(dāng)配置日志審計(jì)系統(tǒng)，收集信息安全事件，產(chǎn)生審計(jì)記錄，根據(jù)記錄進(jìn)行安全事件分析，并采取相應(yīng)的處理措施。

2.4培訓(xùn)與宣傳提高企業(yè)管理層和員工的信息安全意識(shí)，是信息安全管理工作的基礎(chǔ)。了解信息安全的必要性，管理層才會(huì)支持信息安全管理建設(shè)，用戶才會(huì)配合信息管理部門(mén)工作。利用定期培訓(xùn)，宣傳海報(bào)，郵件等方式定期反復(fù)對(duì)企業(yè)用戶進(jìn)行信息安全培訓(xùn)和宣傳，能有效提高企業(yè)信息安全管理水平。

篇7

第27卷第3期2012年5月審計(jì)與經(jīng)濟(jì)研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012

［摘要］在分析中觀信息系統(tǒng)風(fēng)險(xiǎn)與損失的成因基礎(chǔ)上，借鑒BS7799標(biāo)準(zhǔn)，一方面從物理層次與邏輯層次兩個(gè)方面研究中觀信息系統(tǒng)固有風(fēng)險(xiǎn)的評(píng)價(jià)模式；另一方面從一般控制與應(yīng)用控制兩個(gè)層面探索中觀信息系統(tǒng)內(nèi)部控制的評(píng)價(jià)機(jī)制。基于BS7799標(biāo)準(zhǔn)對(duì)中觀信息系統(tǒng)審計(jì)進(jìn)行研究，旨在為IT審計(jì)師有效實(shí)施中觀信息系統(tǒng)審計(jì)提供應(yīng)用指南。

［關(guān)鍵詞］BS7799標(biāo)準(zhǔn)；中觀審計(jì)；信息系統(tǒng)審計(jì)；內(nèi)部控制；中觀信息系統(tǒng)；中觀信息系統(tǒng)風(fēng)險(xiǎn)

［中圖分類(lèi)號(hào)］F239.4［文獻(xiàn)標(biāo)識(shí)碼］A［文章編號(hào)］10044833(2012)03005007

所謂中觀信息系統(tǒng)審計(jì)就是指審計(jì)主體依據(jù)特定的規(guī)范，運(yùn)用科學(xué)系統(tǒng)的程序方法，對(duì)中觀信息系統(tǒng)網(wǎng)絡(luò)的運(yùn)行規(guī)程與應(yīng)用政策實(shí)施的一種監(jiān)督活動(dòng)，旨在增強(qiáng)中觀經(jīng)濟(jì)主體特定信息網(wǎng)絡(luò)的有效性、安全性、機(jī)密性與一致性，以保障中觀信息系統(tǒng)的高效運(yùn)行［1］。中觀信息系統(tǒng)的審計(jì)主體即IT審計(jì)師需要重視中觀信息系統(tǒng)審計(jì)的復(fù)雜性，且有必要借助BS7799標(biāo)準(zhǔn)，構(gòu)建并完善中觀信息系統(tǒng)審計(jì)的實(shí)施流程，優(yōu)化中觀信息系統(tǒng)審計(jì)工作，提高審計(jì)質(zhì)量。之所以需要借助BS7799標(biāo)準(zhǔn)，是因?yàn)锽S7799標(biāo)準(zhǔn)的眾多功能可以滿足中觀信息系統(tǒng)審計(jì)工作的需求。在尚未有詳細(xì)信息系統(tǒng)審計(jì)（以下簡(jiǎn)稱(chēng)“IS審計(jì)”）規(guī)范的條件下，中觀信息系統(tǒng)審計(jì)對(duì)信息安全管理策略的需求巨大，而B(niǎo)S7799標(biāo)準(zhǔn)恰恰是問(wèn)世較早且相對(duì)成熟的信息安全管理標(biāo)準(zhǔn)，它能夠確保在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行自動(dòng)通信、信息處理和利用時(shí)，在各個(gè)物理位置、邏輯區(qū)域、存儲(chǔ)和傳媒介質(zhì)中，較好地實(shí)現(xiàn)保密性、完整性、有效性與可用性，能夠在信息管理與計(jì)算機(jī)科學(xué)兩個(gè)層面加強(qiáng)信息安全管理向中觀信息系統(tǒng)審計(jì)的理論轉(zhuǎn)化，中觀信息系統(tǒng)審計(jì)的需求與BS7799標(biāo)準(zhǔn)的功能具備整合的可行性。

一、 BS7799標(biāo)準(zhǔn)

1995年，英國(guó)貿(mào)工部制定了世界首部信息安全管理體系標(biāo)準(zhǔn)“BS77991：1995《信息安全管理實(shí)施規(guī)則》”，并作為各類(lèi)組織實(shí)施信息安全管理的指南［2］，由于該標(biāo)準(zhǔn)采用建議和指導(dǎo)的方式編寫(xiě)，因而不作為認(rèn)證標(biāo)準(zhǔn)使用；1998年，英國(guó)又制定了信息安全管理體系認(rèn)證標(biāo)準(zhǔn)“BS77992：1998《信息安全管理體系規(guī)范》”，作為對(duì)組織信息安全管理體系進(jìn)行評(píng)審認(rèn)證的標(biāo)準(zhǔn)［3］；1999年，英國(guó)再次對(duì)信息安全管理體系標(biāo)準(zhǔn)進(jìn)行了修訂，形成“BS77991：1999”與“BS77992：1999”這一對(duì)配套標(biāo)準(zhǔn)；2000年12月，“BS77991：1999”被ISO/IEC正式采納為國(guó)際標(biāo)準(zhǔn)“ISO/IEC17799：2000《信息技術(shù)：信息安全管理實(shí)施規(guī)則》”，此外，“BS77992：1999”也于2002年底被ISO/IEC作為藍(lán)本修訂，成為可用于認(rèn)證的“ISO/IEC《信息安全管理體系規(guī)范》”；2005年，BS77991與BS77992再次改版，使得體系更為完善。BS7799標(biāo)準(zhǔn)體系包含10個(gè)管理要項(xiàng)、36個(gè)管理目標(biāo)、127個(gè)控制目標(biāo)及500多個(gè)管理要點(diǎn)。管理要項(xiàng)如今已成為組織實(shí)施信息安全管理的實(shí)用指南；安全控制目標(biāo)能夠幫助組織識(shí)別運(yùn)作過(guò)程中影響信息安全的因素。BS77991幾乎涵蓋了所有的安全議題，它主要告訴IT審計(jì)師安全管理的注意事項(xiàng)與安全制度。BS77992詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理的要求，指出組織在實(shí)施過(guò)程中需要遵循的風(fēng)險(xiǎn)評(píng)估等級(jí)，從而識(shí)別最應(yīng)該控制的對(duì)象并對(duì)自身需求進(jìn)行適當(dāng)控制。BS77991為信息系統(tǒng)提供了通用的控制措施，BS77992則為BS77991的具體實(shí)施提供了應(yīng)用指南。

國(guó)外相對(duì)成熟的信息安全管理理論較多，它們各有千秋，彼此之間相互補(bǔ)充且有交叉。BS7799標(biāo)準(zhǔn)僅是眾多信息安全管理理論中的一種，與傳統(tǒng)審計(jì)方法相比，僅適用于IS審計(jì)范疇。然而，BS7799標(biāo)準(zhǔn)的特別之處表現(xiàn)在：其一，它是一部通用的信息安全管理指南，呈現(xiàn)了較為全面的系統(tǒng)安全控制措施，闡述了安全策略和優(yōu)秀的、具有普遍意義的安全操作方法，能夠?yàn)镮T審計(jì)師開(kāi)展審計(jì)工作提供全程支持；其二，它遵循“計(jì)劃-行動(dòng)-控制-改善方案”的風(fēng)險(xiǎn)管理思想，首先幫助IT審計(jì)師規(guī)劃信息安全審計(jì)的方針和范圍，其次在審計(jì)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上選擇適當(dāng)?shù)膶徲?jì)方法及風(fēng)險(xiǎn)控制策略并予以實(shí)施，制定持續(xù)性管理規(guī)劃，建立并運(yùn)行科學(xué)的中觀信息系統(tǒng)審計(jì)執(zhí)行體系。

二、 中觀信息系統(tǒng)的風(fēng)險(xiǎn)與損失

中觀信息系統(tǒng)風(fēng)險(xiǎn)是指成功利用中觀信息系統(tǒng)的脆弱性或漏洞，并造成系統(tǒng)損害的可能性。中觀信息系統(tǒng)風(fēng)險(xiǎn)極其龐雜且非常普遍，每個(gè)中觀信息系統(tǒng)面臨的風(fēng)險(xiǎn)都是不同的，這種風(fēng)險(xiǎn)可能是單一的，也可能是組合的［4］。中觀信息系統(tǒng)風(fēng)險(xiǎn)包括：人員風(fēng)險(xiǎn)、組織風(fēng)險(xiǎn)、物理環(huán)境風(fēng)險(xiǎn)、信息機(jī)密性風(fēng)險(xiǎn)、信息完整性風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、通信操作風(fēng)險(xiǎn)、設(shè)施風(fēng)險(xiǎn)、業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)及黏合風(fēng)險(xiǎn)（見(jiàn)圖1），它們共同構(gòu)成了中觀信息系統(tǒng)的風(fēng)險(xiǎn)體系，各種風(fēng)險(xiǎn)除具有各自的特性外，有時(shí)還可能相互作用。

中觀信息系統(tǒng)風(fēng)險(xiǎn)的成因離不開(kāi)外來(lái)威脅與系統(tǒng)自身的脆弱性，且風(fēng)險(xiǎn)的最終后果就是損失。圖1中的“a.威脅性”是系統(tǒng)的“風(fēng)險(xiǎn)源”，它是由于未授權(quán)訪問(wèn)、毀壞、數(shù)據(jù)修改以及拒絕服務(wù)等給系統(tǒng)造成潛在危害的任何事件。中觀信息系統(tǒng)的威脅來(lái)自于人為因素及非人為因素兩個(gè)方面。人為因素是對(duì)中觀信息系統(tǒng)造成威脅的決定性力量，人為因素造成威脅的主體有競(jìng)爭(zhēng)對(duì)手、網(wǎng)絡(luò)黑客、不滿員工或正常員工。圖1中的“b.脆弱性”是指在系統(tǒng)安全程序、管理控制、物理設(shè)計(jì)中存在的、可能被攻擊者利用來(lái)獲得未授權(quán)信息或破壞關(guān)鍵處理的弱點(diǎn)，由物理環(huán)境、技術(shù)問(wèn)題、管理問(wèn)題、法律問(wèn)題四個(gè)方面組成。圖1中的“d.風(fēng)險(xiǎn)承受力”是指在中觀信息系統(tǒng)遭遇風(fēng)險(xiǎn)或受到攻擊時(shí)，維持業(yè)務(wù)運(yùn)行最基本的服務(wù)和保護(hù)信息資產(chǎn)的抵抗力、識(shí)別力、恢復(fù)力和自適應(yīng)能力。

中觀信息系統(tǒng)風(fēng)險(xiǎn)的產(chǎn)生有兩種方式：一是遵循“abc”路徑，這條路徑形成的風(fēng)險(xiǎn)為中觀信息系統(tǒng)“固有風(fēng)險(xiǎn)”，即假定中觀信息系統(tǒng)中不存在內(nèi)部控制制度，從而造成系統(tǒng)存在嚴(yán)重錯(cuò)誤與不法行為的可能性。該路徑的作用形式為人為因素或非人為因素是風(fēng)險(xiǎn)源，對(duì)中觀信息系統(tǒng)構(gòu)成威脅，該威脅產(chǎn)生后尋找并利用系統(tǒng)的脆弱點(diǎn)（假定中觀信息系統(tǒng)對(duì)該脆弱點(diǎn)沒(méi)有設(shè)計(jì)內(nèi)控制度），當(dāng)威脅成功作用于脆弱點(diǎn)后，就對(duì)系統(tǒng)進(jìn)行有效攻擊，進(jìn)而產(chǎn)生中觀信息系統(tǒng)風(fēng)險(xiǎn)。二是遵循“abPc”路徑，該路徑所形成的風(fēng)險(xiǎn)為中觀信息系統(tǒng)的“控制風(fēng)險(xiǎn)”，即內(nèi)部控制制度體系未能及時(shí)預(yù)防或發(fā)現(xiàn)系統(tǒng)中的某些錯(cuò)誤或不法行為，以致中觀信息系統(tǒng)遭受損失的可能性。與“abc”路徑比較，該路徑多出“P.內(nèi)部控制”過(guò)程，這說(shuō)明當(dāng)威脅已產(chǎn)生并將利用系統(tǒng)的脆弱點(diǎn)時(shí)，中觀經(jīng)濟(jì)主體已經(jīng)對(duì)該脆弱點(diǎn)設(shè)計(jì)了內(nèi)控制度體系，但是由于內(nèi)部控制制度設(shè)計(jì)的不科學(xué)、不完善或沒(méi)有得到有效執(zhí)行，從而造成內(nèi)部控制未能阻止“威脅”，致使中觀信息系統(tǒng)形成風(fēng)險(xiǎn)。中觀信息系統(tǒng)損失的形成遵循“cde”路徑。然而，由于中觀信息系統(tǒng)自身具有一定的風(fēng)險(xiǎn)防御能力（即“d.風(fēng)險(xiǎn)承受力”），因而并非所有風(fēng)險(xiǎn)都將造成損失。當(dāng)中觀信息系統(tǒng)識(shí)別并抵抗部分風(fēng)險(xiǎn)后，最終未能消除的風(fēng)險(xiǎn)通過(guò)對(duì)系統(tǒng)的負(fù)面作用，會(huì)給中觀信息系統(tǒng)造成間接或直接的損失。

三、 中觀信息系統(tǒng)固有風(fēng)險(xiǎn)的評(píng)價(jià)模式

圖1中的“abc”路徑是中觀信息系統(tǒng)固有風(fēng)險(xiǎn)產(chǎn)生的路徑，固有風(fēng)險(xiǎn)形成的條件是“假定不存在內(nèi)部控制制度”。評(píng)價(jià)固有風(fēng)險(xiǎn)是中觀信息系統(tǒng)審計(jì)準(zhǔn)備階段的一項(xiàng)基礎(chǔ)工作，只有正確評(píng)價(jià)固有風(fēng)險(xiǎn)，才能合理評(píng)估審計(jì)風(fēng)險(xiǎn)，準(zhǔn)確確定審計(jì)范圍并制定審計(jì)計(jì)劃［56］。筆者認(rèn)為，BS7799標(biāo)準(zhǔn)之所以能夠有效評(píng)價(jià)中觀信息系統(tǒng)的固有風(fēng)險(xiǎn)，是因?yàn)锽S7799標(biāo)準(zhǔn)的管理要項(xiàng)、管理目標(biāo)，控制措施與管理要點(diǎn)組成了信息安全管理體系，這個(gè)體系為IT審計(jì)師確定與評(píng)價(jià)系統(tǒng)固有風(fēng)險(xiǎn)提供了指南［7］。BS7799標(biāo)準(zhǔn)對(duì)IT審計(jì)師評(píng)價(jià)固有風(fēng)險(xiǎn)的貢獻(xiàn)見(jiàn)上表1。

(一) 物理層次的風(fēng)險(xiǎn)評(píng)價(jià)

物理層次的內(nèi)容包括物理環(huán)境安全與物理環(huán)境設(shè)備［7］，其中，物理環(huán)境安全包括硬件接觸控制、預(yù)防災(zāi)難措施和網(wǎng)絡(luò)環(huán)境安全；物理環(huán)境設(shè)備包括支持設(shè)施、硬件設(shè)備和網(wǎng)絡(luò)物理環(huán)境。針對(duì)上述分類(lèi)，下面對(duì)物理層次風(fēng)險(xiǎn)評(píng)價(jià)進(jìn)行具體分析。

首先是物理環(huán)境安全風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)物理環(huán)境安全風(fēng)險(xiǎn)時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、D1、D3、E、G8、H5、I、J。例如，IT審計(jì)師在了解被審中觀信息系統(tǒng)的“預(yù)防災(zāi)難措施”時(shí)，可參照“A.安全方針”，依據(jù)BS7799對(duì)“安全方針”進(jìn)行闡述，了解被審系統(tǒng)的“信息安全方針”，關(guān)注被審系統(tǒng)在相關(guān)的“方針與策略”中是否估計(jì)到了系統(tǒng)可能遭遇的所有內(nèi)外部威脅；當(dāng)威脅發(fā)生時(shí)，是否有具體的安全保護(hù)規(guī)定及明確的預(yù)防措施；對(duì)于方針的執(zhí)行，是否對(duì)每位員工都有所要求。假若IT審計(jì)師在審計(jì)中未找到被審系統(tǒng)的“安全方針”，或找到了但“安全方針”并未涉及有關(guān)“災(zāi)難預(yù)防”方面的安全措施，則IT審計(jì)師可直接認(rèn)定被審系統(tǒng)在這方面存在固有風(fēng)險(xiǎn)。其次，物理環(huán)境設(shè)備風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)物理環(huán)境設(shè)備風(fēng)險(xiǎn)時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如，IT審計(jì)師在了解被審系統(tǒng)有關(guān)“硬件設(shè)備”的情況時(shí)，可參照“C1.資產(chǎn)責(zé)任”。BS7799標(biāo)準(zhǔn)對(duì)“資產(chǎn)責(zé)任”的說(shuō)明有“組織可根據(jù)運(yùn)作流程與系統(tǒng)結(jié)構(gòu)識(shí)別資產(chǎn)，列出清單”，“組織的管理者應(yīng)該確定專(zhuān)人負(fù)責(zé)相關(guān)資產(chǎn)，防止資產(chǎn)的被盜、丟失與濫用”。借鑒C1的信息安全管理目標(biāo)與措施，IT審計(jì)師可以關(guān)注被審單位是否列出了系統(tǒng)硬件設(shè)備的清單，是否有專(zhuān)人對(duì)資產(chǎn)負(fù)責(zé)。如果相關(guān)方面的管理完備，則說(shuō)明“硬件設(shè)備”在責(zé)任方面不存在固有風(fēng)險(xiǎn)，IT審計(jì)師也不需要再對(duì)此方面的固有風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)。再如，IT審計(jì)師在確認(rèn)“硬件設(shè)備”方面的固有風(fēng)險(xiǎn)時(shí)，還可參照“E3.通用控制”。BS7799標(biāo)準(zhǔn)對(duì)“通用控制”的說(shuō)明有“定期進(jìn)行資產(chǎn)清查”，“未經(jīng)授權(quán)，資產(chǎn)不能隨便遷移”等。借鑒這一措施，IT審計(jì)師需要了解被審系統(tǒng)的有關(guān)資產(chǎn)清查記錄以及資產(chǎn)轉(zhuǎn)移登記手續(xù)，如果相關(guān)記錄不完整或手續(xù)不完備，則IT審計(jì)師可直接認(rèn)定“硬件設(shè)備”在控制方面存在固有風(fēng)險(xiǎn)。

(二) 邏輯層次的風(fēng)險(xiǎn)評(píng)價(jià)

邏輯層次的內(nèi)容包括軟件環(huán)境、系統(tǒng)生命周期和邏輯安全［7］。其中，軟件環(huán)境包括系統(tǒng)軟件、網(wǎng)絡(luò)軟件與應(yīng)用軟件；系統(tǒng)生命周期包括系統(tǒng)規(guī)劃、分析、設(shè)計(jì)、編碼、測(cè)試、試運(yùn)行以及維護(hù)；邏輯安全包括軟件與數(shù)據(jù)接觸、數(shù)據(jù)加密機(jī)制、數(shù)據(jù)完整性、入侵檢測(cè)、病毒與惡意代碼以及防火墻。針對(duì)以上分類(lèi)，下面對(duì)邏輯層次風(fēng)險(xiǎn)評(píng)價(jià)進(jìn)行具體分析。

首先是軟件環(huán)境風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)軟件環(huán)境風(fēng)險(xiǎn)時(shí)可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E1、E3、F、G、H、I、J。例如，IT審計(jì)師在掌握被審系統(tǒng)有關(guān)“網(wǎng)絡(luò)軟件”的情況時(shí)，可借鑒“G2.用戶訪問(wèn)管理”標(biāo)準(zhǔn)。BS7799對(duì)該標(biāo)準(zhǔn)的闡述包括“建立用戶登記過(guò)程，對(duì)用戶訪問(wèn)實(shí)施授權(quán)”，“對(duì)特權(quán)實(shí)行嚴(yán)格管理”，“對(duì)用戶口令進(jìn)行嚴(yán)格管理”等。借鑒G2下相關(guān)信息安全管理措施，IT審計(jì)師可以詳細(xì)核查被審網(wǎng)絡(luò)軟件是否建立了用戶注冊(cè)與登記過(guò)程、被審軟件的特權(quán)管理是否嚴(yán)格、是否要求用戶秘密保守口令。假若IT審計(jì)師發(fā)現(xiàn)用戶并未得到訪問(wèn)網(wǎng)絡(luò)軟件的權(quán)限卻可以輕易訪問(wèn)網(wǎng)絡(luò)軟件，則該軟件必然存在風(fēng)險(xiǎn)，IT審計(jì)師就可通過(guò)與BS7799標(biāo)準(zhǔn)比照并發(fā)表評(píng)價(jià)結(jié)論。又如，IT審計(jì)師在評(píng)價(jià)“系統(tǒng)軟件”固有風(fēng)險(xiǎn)時(shí)，可借鑒“G5.系統(tǒng)訪問(wèn)與使用的監(jiān)控”標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)的闡述有“使用終端安全登陸程序來(lái)訪問(wèn)信息服務(wù)”，“對(duì)高風(fēng)險(xiǎn)的不活動(dòng)終端采取時(shí)限措施”。IT審計(jì)師在評(píng)價(jià)“系統(tǒng)軟件”自身風(fēng)險(xiǎn)時(shí)，可套用上述安全措施，逐項(xiàng)分析被審系統(tǒng)軟件是否完全達(dá)到上述標(biāo)準(zhǔn)并作出合理的風(fēng)險(xiǎn)評(píng)價(jià)。其次是系統(tǒng)生命周期的風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)系統(tǒng)生命周期風(fēng)險(xiǎn)時(shí)，可借鑒BS7799標(biāo)準(zhǔn)A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT審計(jì)師在檢查被審系統(tǒng)的“系統(tǒng)設(shè)計(jì)”時(shí)，可參照“H1.系統(tǒng)安全要求”。H1的解釋為“系統(tǒng)設(shè)計(jì)階段應(yīng)該充分考慮系統(tǒng)安全性，組織在項(xiàng)目開(kāi)始階段需要識(shí)別所有的安全要求，并將其作為系統(tǒng)設(shè)計(jì)開(kāi)發(fā)不可或缺的一部分進(jìn)行調(diào)整與確認(rèn)”。因而，IT審計(jì)師在檢查系統(tǒng)設(shè)計(jì)有關(guān)資料時(shí)，需要分析被審單位是否把上述解釋融入系統(tǒng)設(shè)計(jì)中，或是否全面、有效地融入設(shè)計(jì)過(guò)程，如果被審單位考慮了諸因素，IT審計(jì)師就可以確認(rèn)被審系統(tǒng)的設(shè)計(jì)環(huán)節(jié)在此方面不存在風(fēng)險(xiǎn)。假若IT審計(jì)師發(fā)現(xiàn)在系統(tǒng)設(shè)計(jì)階段被審單位沒(méi)有考慮到需要“引入控制”，且在系統(tǒng)運(yùn)營(yíng)期間對(duì)系統(tǒng)的“控制”也不夠重視，則IT審計(jì)師可以作出系統(tǒng)自身安全及系統(tǒng)設(shè)計(jì)開(kāi)發(fā)過(guò)程存在風(fēng)險(xiǎn)的結(jié)論。第三是邏輯安全的風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)邏輯安全風(fēng)險(xiǎn)時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT審計(jì)師在檢查被審系統(tǒng)的“病毒與惡意代碼”時(shí)，可借鑒“G4.網(wǎng)絡(luò)訪問(wèn)控制”。BS7799對(duì)該標(biāo)準(zhǔn)的闡述有“建立并實(shí)施網(wǎng)絡(luò)用戶服務(wù)使用方針”，“從用戶終端到網(wǎng)絡(luò)服務(wù)的路徑必須受到控制”以及“對(duì)外部鏈接的用戶進(jìn)行身份鑒別”等。IT審計(jì)師在審計(jì)過(guò)程中，應(yīng)該關(guān)注被審系統(tǒng)在上述方面的執(zhí)行思路與執(zhí)行程度，假若被審單位對(duì)上述方面缺乏重視，則惡意用戶未經(jīng)授權(quán)或未受限制就能輕易訪問(wèn)系統(tǒng)，系統(tǒng)遭受病毒或惡意代碼損害的風(fēng)險(xiǎn)會(huì)相應(yīng)加大。再如，IT審計(jì)師在評(píng)價(jià)系統(tǒng)“數(shù)據(jù)完整性”的風(fēng)險(xiǎn)時(shí)，可借鑒“F1.操作程序與職責(zé)”。該標(biāo)準(zhǔn)的描述有“在執(zhí)行作業(yè)的過(guò)程中，提供差錯(cuò)處理及例外情況的指導(dǎo)”，“進(jìn)行職責(zé)分離，減少出現(xiàn)非授權(quán)更改與數(shù)據(jù)信息濫用的機(jī)會(huì)”等。結(jié)合上述措施，IT審計(jì)師應(yīng)該關(guān)注被審單位是否通過(guò)外鍵、約束、規(guī)則等方式保障數(shù)據(jù)的完整性，如果被審單位沒(méi)有按照上述方法操作，則被審系統(tǒng)將會(huì)在“數(shù)據(jù)完整性”方面存在風(fēng)險(xiǎn)。

需要強(qiáng)調(diào)的是中觀信息系統(tǒng)固有風(fēng)險(xiǎn)的評(píng)價(jià)較為復(fù)雜。在理論研究中，本文僅選取BS7799的某些標(biāo)準(zhǔn)舉例進(jìn)行闡述，但在實(shí)踐中，IT審計(jì)師不應(yīng)只借鑒BS7799標(biāo)準(zhǔn)的單個(gè)或部分標(biāo)準(zhǔn)，就做出某方面存在“固有風(fēng)險(xiǎn)”的結(jié)論。如僅從C1看，“硬件設(shè)備”無(wú)固有風(fēng)險(xiǎn)，但從E3看，“硬件設(shè)備”確實(shí)存在固有風(fēng)險(xiǎn)。鑒于此，IT審計(jì)師應(yīng)由“點(diǎn)”及“面”，全面借鑒BS7799標(biāo)準(zhǔn)的整個(gè)體系。只有如此，才能更科學(xué)具體地進(jìn)行物理及邏輯層次的風(fēng)險(xiǎn)評(píng)價(jià)。

四、 中觀信息系統(tǒng)內(nèi)部控制的評(píng)價(jià)機(jī)制

圖1中的“abPc”路徑是中觀信息系統(tǒng)控制風(fēng)險(xiǎn)產(chǎn)生的路徑，控制風(fēng)險(xiǎn)的形成條件是“假定存在內(nèi)部控制制度，但是內(nèi)控制度不科學(xué)、不健全或執(zhí)行不到位”，產(chǎn)生控制風(fēng)險(xiǎn)最主要的原因是內(nèi)部控制機(jī)制失效，即“P”過(guò)程出現(xiàn)問(wèn)題。評(píng)價(jià)內(nèi)部控制是IT審計(jì)師防范審計(jì)風(fēng)險(xiǎn)的關(guān)鍵，也是中觀信息系統(tǒng)審計(jì)實(shí)施階段的一項(xiàng)重要工作。然而，當(dāng)前我國(guó)信息系統(tǒng)審計(jì)方面的標(biāo)準(zhǔn)與規(guī)范僅有四項(xiàng)，因而IT審計(jì)師對(duì)信息系統(tǒng)內(nèi)部控制的評(píng)價(jià)還處于摸索階段，急需詳細(xì)的流程與規(guī)范進(jìn)行指導(dǎo)。筆者認(rèn)為，BS77991《信息安全管理實(shí)施細(xì)則》與BS77992《信息安全管理體系規(guī)范》能夠?yàn)镮T審計(jì)師評(píng)價(jià)中觀信息系統(tǒng)的內(nèi)部控制提供思路。BS7799是一套完備的信息安全管理體系，IT審計(jì)師完全可以借鑒其體系與框架來(lái)設(shè)計(jì)中觀信息系統(tǒng)內(nèi)部控制評(píng)價(jià)流程，構(gòu)建適用于中觀信息系統(tǒng)的審計(jì)流程。BS7799標(biāo)準(zhǔn)的具體借鑒思路見(jiàn)表1，具體闡述如下。

(一) 一般控制的評(píng)價(jià)

1. 組織管理的內(nèi)部控制評(píng)價(jià)

在評(píng)價(jià)組織管理的內(nèi)控時(shí)，可借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D1、D3、E、F、G、H、I、J。IT審計(jì)師可將BS7799標(biāo)準(zhǔn)體系作為信息系統(tǒng)組織管理內(nèi)部控制的衡量標(biāo)準(zhǔn)，并以此確認(rèn)被審系統(tǒng)組織管理內(nèi)控制度的科學(xué)性與健全性。假若某中觀經(jīng)濟(jì)主體將信息系統(tǒng)的部分管理活動(dòng)外包，則IT審計(jì)師可借鑒BS7799中的“B3.外包控制”標(biāo)準(zhǔn)，檢查外包合同的全面性與合理性。如果被審單位在外包合同中規(guī)定了信息系統(tǒng)的風(fēng)險(xiǎn)、承包主客體各自的系統(tǒng)安全控制程序，并明確規(guī)定了“哪些措施必須到位，以保證涉及外包的所有各方關(guān)注各自的安全責(zé)任”，“哪些措施用以確定與檢測(cè)信息資產(chǎn)的完整性和保密性”，“采取哪些實(shí)物的和邏輯的控制以限制和限定授權(quán)用戶對(duì)系統(tǒng)敏感信息的訪問(wèn)”以及“發(fā)生災(zāi)難時(shí)，采用怎樣的策略來(lái)維持服務(wù)可用性”，則IT審計(jì)師就可確認(rèn)被審系統(tǒng)在外包方面的控制設(shè)計(jì)具有科學(xué)性與全面性，只需再對(duì)外包控制條款的執(zhí)行效果進(jìn)行評(píng)價(jià)就可以得出對(duì)被審單位外包活動(dòng)評(píng)價(jià)的整體結(jié)論。

2. 數(shù)據(jù)資源管理的內(nèi)部控制評(píng)價(jià)

在評(píng)價(jià)數(shù)據(jù)資源管理的內(nèi)控時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C、D、E1、E3、F、G、H、I、J。信息系統(tǒng)數(shù)據(jù)包括數(shù)據(jù)字典、權(quán)限設(shè)置、存儲(chǔ)分配、網(wǎng)絡(luò)地址、硬件配置與系統(tǒng)配置參數(shù)，系統(tǒng)數(shù)據(jù)資源管理有數(shù)據(jù)存放、備份、恢復(fù)等，內(nèi)容相對(duì)復(fù)雜。IT審計(jì)師在評(píng)價(jià)數(shù)據(jù)資源管理的內(nèi)部控制時(shí)，也需要借鑒BS7799標(biāo)準(zhǔn)體系。例如，IT審計(jì)師可借鑒“F1.操作程序與職責(zé)”或“G6.應(yīng)用訪問(wèn)控制”評(píng)價(jià)數(shù)據(jù)資源管理。F1與G6的闡述有“識(shí)別和記錄重要數(shù)據(jù)的更改”、“對(duì)數(shù)據(jù)更改的潛在影響作出評(píng)估”、“向所有相關(guān)人員傳達(dá)更改數(shù)據(jù)的細(xì)節(jié)”、“數(shù)據(jù)更改不成功的恢復(fù)措施”、“控制用戶的數(shù)據(jù)訪問(wèn)權(quán)，如對(duì)讀、寫(xiě)、刪除等進(jìn)行限制”、“在系統(tǒng)共享中，對(duì)敏感的數(shù)據(jù)實(shí)施高級(jí)別的保護(hù)”。IT審計(jì)師在審計(jì)時(shí)，有必要根據(jù)上述思路對(duì)系統(tǒng)數(shù)據(jù)管理的控制制度進(jìn)行深層次評(píng)價(jià)。在當(dāng)前缺乏信息系統(tǒng)審計(jì)規(guī)范的情況下，以BS7799體系作為評(píng)價(jià)數(shù)據(jù)資源管理內(nèi)部控制的指南，不失為一種好的審計(jì)策略。

3. 環(huán)境安全管理的內(nèi)部控制評(píng)價(jià)

在評(píng)價(jià)環(huán)境安全管理的內(nèi)控時(shí)可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E、F、G、H、I、J。信息系統(tǒng)的環(huán)境安全管理包括物理環(huán)境安全管理與軟件環(huán)境安全管理，系統(tǒng)環(huán)境是否安全決定著危險(xiǎn)因素對(duì)脆弱性的攻擊程度，進(jìn)而決定著信息系統(tǒng)風(fēng)險(xiǎn)。IT審計(jì)師在審計(jì)系統(tǒng)環(huán)境的安全管理過(guò)程時(shí)，需要關(guān)注設(shè)備、網(wǎng)絡(luò)、軟件以及硬件等方面。在評(píng)價(jià)系統(tǒng)環(huán)境安全管理的內(nèi)部控制時(shí)，IT審計(jì)師有必要借助上述BS7799標(biāo)準(zhǔn)體系。例如，BS7799的“E1.安全區(qū)域”標(biāo)準(zhǔn)與“E2.設(shè)備安全”標(biāo)準(zhǔn)的解釋有“信息處理設(shè)施可能受到非法物理訪問(wèn)、盜竊、泄密等威脅，通過(guò)建立安全區(qū)域、嚴(yán)格進(jìn)入控制等控制措施對(duì)重要的系統(tǒng)設(shè)施進(jìn)行全面保護(hù)”，“應(yīng)該對(duì)信息處理設(shè)施運(yùn)作產(chǎn)生不良影響的環(huán)境條件加以監(jiān)控，如，濕度與溫度的影響”。類(lèi)似上述的BS7799系列標(biāo)準(zhǔn)都為IT審計(jì)師如何確認(rèn)環(huán)境安全管理的內(nèi)控提供了審計(jì)指導(dǎo)，且其指導(dǎo)思路清晰、全面。IT審計(jì)師通過(guò)借鑒BS7799系列標(biāo)準(zhǔn)，可以深層次挖掘系統(tǒng)環(huán)境安全管理規(guī)章制度中存在的疏漏以及執(zhí)行中存在的問(wèn)題，從而有效評(píng)判環(huán)境安全管理的控制風(fēng)險(xiǎn)。

4. 系統(tǒng)運(yùn)行管理的內(nèi)部控制評(píng)價(jià)

在評(píng)價(jià)系統(tǒng)運(yùn)行管理的內(nèi)控時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E1、E3、F、G、H、I、J。中觀經(jīng)濟(jì)主體對(duì)運(yùn)行系統(tǒng)的管理相對(duì)復(fù)雜，涉及到系統(tǒng)組織、系統(tǒng)維護(hù)、系統(tǒng)完善等多個(gè)方面。由于系統(tǒng)運(yùn)行中需要管理的環(huán)節(jié)繁多，而且目前也沒(méi)有規(guī)范與流程可以參考，因而，評(píng)價(jià)系統(tǒng)運(yùn)行管理的內(nèi)控也有必要借鑒上述BS7799標(biāo)準(zhǔn)體系。例如，BS7799標(biāo)準(zhǔn)“D2.設(shè)備安全”與“H5.開(kāi)發(fā)與支持過(guò)程中的安全”的闡述有“信息系統(tǒng)操作者需要接受安全意識(shí)培訓(xùn)，熟悉與系統(tǒng)運(yùn)行相關(guān)的安全職責(zé)、安全程序與故障制度”，“系統(tǒng)運(yùn)行中，建立并實(shí)施更改控制程序”以及“對(duì)操作系統(tǒng)的更改進(jìn)行技術(shù)評(píng)審”等方面。IT審計(jì)師采用詢問(wèn)、觀察、檢查、穿行測(cè)試等方法評(píng)審系統(tǒng)運(yùn)行管理的內(nèi)部控制，需要有上述明細(xì)的、清晰的信息安全管理規(guī)則予以指導(dǎo)，這些標(biāo)準(zhǔn)可以指導(dǎo)IT審計(jì)師了解被審系統(tǒng)是否有健全的運(yùn)行管理規(guī)范及是否得到有效運(yùn)行，借此，IT審計(jì)師可以作出全面的內(nèi)控判斷，進(jìn)而出具正確的審計(jì)結(jié)論。

(二) 應(yīng)用控制的評(píng)價(jià)

信息系統(tǒng)的應(yīng)用控制包括輸入控制、處理控制與輸出控制。在評(píng)價(jià)系統(tǒng)輸入控制、處理控制以及輸出控制三者的內(nèi)控時(shí)，同樣有必要借鑒BS7799標(biāo)準(zhǔn)，且BS7799標(biāo)準(zhǔn)中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相對(duì)應(yīng)的信息安全管理目標(biāo)與措施能夠在IT審計(jì)師對(duì)三者進(jìn)行內(nèi)控評(píng)價(jià)時(shí)提供相對(duì)詳盡的審計(jì)框架。為確保信息系統(tǒng)輸入、處理與輸出的信息完整、正確，中觀經(jīng)濟(jì)主體需要加強(qiáng)對(duì)信息系統(tǒng)的應(yīng)用控制。IT審計(jì)師在中觀信息系統(tǒng)審計(jì)的過(guò)程中，需要做到對(duì)被審系統(tǒng)應(yīng)用控制進(jìn)行正確評(píng)價(jià)。

在IT審計(jì)師對(duì)應(yīng)用控制的符合性測(cè)試過(guò)程中，上述BS7799標(biāo)準(zhǔn)體系可以對(duì)應(yīng)用控制評(píng)價(jià)進(jìn)行全程指導(dǎo)。例如，BS7799標(biāo)準(zhǔn)中“H2.應(yīng)用系統(tǒng)的安全”提到“數(shù)據(jù)輸入的錯(cuò)誤，可以通過(guò)雙重輸入或其他輸入檢查偵測(cè)，建立用于響應(yīng)輸入錯(cuò)誤的程序”，“已正確輸入的數(shù)據(jù)可因處理錯(cuò)誤或故意行為而被破壞，系統(tǒng)應(yīng)有確認(rèn)檢查功能以探測(cè)數(shù)據(jù)的破壞”，“為確保所存儲(chǔ)的信息相對(duì)于各種情況的處理是正確而恰當(dāng)?shù)模瑏?lái)自應(yīng)用系統(tǒng)的輸出數(shù)據(jù)應(yīng)該得到確認(rèn)”等控制策略，并提出了相對(duì)詳細(xì)的控制措施。應(yīng)用控制環(huán)節(jié)是信息處理的脆弱集結(jié)點(diǎn)，IT審計(jì)師在進(jìn)行應(yīng)用控制的符合性測(cè)試環(huán)節(jié)時(shí)有必要考慮周全，詳盡規(guī)劃。IT審計(jì)師可以遵循H2全面實(shí)施針對(duì)應(yīng)用控制的審計(jì)，依照BS7799標(biāo)準(zhǔn)體系，檢查被審系統(tǒng)對(duì)于超范圍數(shù)值、數(shù)據(jù)區(qū)中的無(wú)效字符、丟失的數(shù)據(jù)、未經(jīng)認(rèn)可的控制數(shù)據(jù)等系統(tǒng)輸入問(wèn)題的控制措施以及應(yīng)急處理能力；檢查是否對(duì)系統(tǒng)產(chǎn)生的數(shù)據(jù)進(jìn)行了確認(rèn)，系統(tǒng)的批處理控制措施、平衡控制措施等，以及相關(guān)控制行為的執(zhí)行力度；檢查信息輸出是否實(shí)施了可信性檢查、一致性控制等措施，如果有相關(guān)措施，那么執(zhí)行力度如何。BS7799標(biāo)準(zhǔn)體系較為全面，對(duì)于IT審計(jì)師評(píng)價(jià)系統(tǒng)的應(yīng)用控制貢獻(xiàn)很大，如果IT審計(jì)師能夠創(chuàng)造性借鑒該標(biāo)準(zhǔn)，必可做好符合性測(cè)試，為實(shí)質(zhì)性測(cè)試夯實(shí)基礎(chǔ)，也定會(huì)提高審計(jì)質(zhì)量。

五、 結(jié)束語(yǔ)

表1是筆者在分析某商業(yè)銀行信息系統(tǒng)與某區(qū)域物流信息系統(tǒng)的基礎(chǔ)上，對(duì)“BS7799標(biāo)準(zhǔn)如何應(yīng)用于信息系統(tǒng)審計(jì)”所進(jìn)行的設(shè)計(jì)，當(dāng)針對(duì)其他行業(yè)時(shí)，或許需要對(duì)表1進(jìn)行適當(dāng)調(diào)整。不同行業(yè)、不同特性的中觀經(jīng)濟(jì)主體在信息系統(tǒng)審計(jì)中運(yùn)用BS7799標(biāo)準(zhǔn)時(shí)側(cè)重點(diǎn)會(huì)有所不同。本文以分析中觀信息系統(tǒng)風(fēng)險(xiǎn)為著手點(diǎn)，沿用BS7799標(biāo)準(zhǔn)對(duì)中觀信息系統(tǒng)審計(jì)進(jìn)行研究，旨在拋磚引玉。

參考文獻(xiàn)：

［1］王會(huì)金,劉國(guó)城.中觀經(jīng)濟(jì)主體信息系統(tǒng)審計(jì)的理論分析及實(shí)施路徑探索［J］.審計(jì)與經(jīng)濟(jì)研究,2009(5):2731.

［2］BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management［S］. London:British Standards Institation,2000:179202.

［3］BSI.BS779922002 information security managementspecification for information security management systems［S］. London: British Standards Institation,2002:267280

［4］孫強(qiáng).信息系統(tǒng)審計(jì)［M］.北京:機(jī)械工業(yè)出版社,2003.

［5］劉國(guó)城,王會(huì)金.中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的理論探索與體系構(gòu)架［J］.審計(jì)研究,2011(2):2128.

［6］王會(huì)金.中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系研究――以COBIT框架與數(shù)據(jù)挖掘技術(shù)相結(jié)合為視角［J］.審計(jì)與經(jīng)濟(jì)研究，2012（1）：1623.

［7］科飛管理咨詢公司.信息安全管理概論-BS7799理解與實(shí)施［M］.北京:機(jī)械工業(yè)出版社, 2002.

BS7799 Criterion and Its Application in Mesoinformation Systems Audit

LIU Guocheng

篇8

信息安全等級(jí)保護(hù)工作是解決信息安全問(wèn)題的基本方法，而信息安全不僅靠物理安全、網(wǎng)絡(luò)安全、主機(jī)安全等具體技術(shù)上的實(shí)現(xiàn)，還需要建立健全的信息安全機(jī)構(gòu)管理制度，貫徹信息安全工作和維持信息安全的建設(shè)成果，在技術(shù)和管理兩個(gè)維度下保障信息安全保護(hù)體系在持續(xù)的運(yùn)營(yíng)工作中發(fā)揮應(yīng)有的信息安全保護(hù)作用[1]。

2信息安全機(jī)構(gòu)管理思路

2.1加強(qiáng)安全管理建設(shè)是實(shí)現(xiàn)等級(jí)保護(hù)組織機(jī)構(gòu)管理的基礎(chǔ) 醫(yī)院信息安全管理需要由醫(yī)院信息化領(lǐng)導(dǎo)機(jī)構(gòu)協(xié)調(diào)進(jìn)行。為了完成和強(qiáng)化信息安全的管理，需要建立相應(yīng)的信息安全管理機(jī)構(gòu)，這是醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的必要條件[2]。同時(shí)，安全組織管理建設(shè)也是重要組成內(nèi)容，包括健全組織體系，明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門(mén)、技術(shù)支持部門(mén)和宣傳部門(mén)，制定系統(tǒng)安全保障方案，實(shí)施安全宣傳教育、安全監(jiān)管和安全服務(wù)等。

2.2相關(guān)管理辦法制定是規(guī)范等級(jí)保護(hù)組織機(jī)構(gòu)管理的根本保證 醫(yī)院信息系統(tǒng)存在著來(lái)自社會(huì)環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險(xiǎn)，其安全威脅無(wú)時(shí)無(wú)處不在。對(duì)于醫(yī)院信息系統(tǒng)的安全問(wèn)題，不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來(lái)解決，而必須配合等級(jí)保護(hù)的信息系統(tǒng)安全保障體系，制定相關(guān)管理辦法，全方位綜合解決系統(tǒng)安全問(wèn)題。

2.3定期審查監(jiān)控是實(shí)施等級(jí)保護(hù)組織機(jī)構(gòu)管理的具體表現(xiàn) 根據(jù)醫(yī)院對(duì)于信息安全等級(jí)保護(hù)的要求，安全等級(jí)保護(hù)除重視技術(shù)解決方案外，更應(yīng)明確定期審查、檢查和監(jiān)控的必要性。包括：指定專(zhuān)員定期對(duì)系統(tǒng)進(jìn)行安全巡查，檢查的內(nèi)容包含例如系統(tǒng)運(yùn)行情況、系統(tǒng)漏洞確認(rèn)、系統(tǒng)數(shù)據(jù)備份、現(xiàn)有安全技術(shù)措施有效性、安全配置與安全策略一致性、安全管理制度的執(zhí)行情況等等。

3信息安全機(jī)構(gòu)管理措施

醫(yī)院信息安全管理體系依賴(lài)于信息安全等級(jí)保護(hù)管理建設(shè)的機(jī)構(gòu)管理。根據(jù)醫(yī)院當(dāng)前信息安全管理需要和機(jī)構(gòu)管理特點(diǎn)，和信息安全等級(jí)保護(hù)管理所要求的系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)、安全管理制度和人員安全管理，筆者從崗位設(shè)置、人員配備、授權(quán)、審批、審查和溝通交流等方面分析醫(yī)院信息管理機(jī)構(gòu)建設(shè)，切實(shí)做到提升醫(yī)院信息等級(jí)保護(hù)管理的能力。

3.1崗位設(shè)置 信息中心內(nèi)部根據(jù)崗位劃分不同，設(shè)置多個(gè)安全管理崗位包括系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、安全審計(jì)員崗位，各崗位人員應(yīng)按照自己的崗位職責(zé)，落實(shí)本崗位的信息安全工作[3]。

以我院為例，我院信息安全管理工作由院領(lǐng)導(dǎo)負(fù)責(zé)指導(dǎo)和管理，同時(shí)成立了醫(yī)院級(jí)別的信息安全工作領(lǐng)導(dǎo)小組，由黨委書(shū)記擔(dān)任領(lǐng)導(dǎo)小組組長(zhǎng)，由信息中心負(fù)責(zé)管理工作的具體落實(shí)，制定各信息系統(tǒng)相關(guān)崗位的崗位職責(zé)和工作標(biāo)準(zhǔn)并形成文件。

3.2人員配備 信息中心采用安全責(zé)任層層落實(shí)制，中心主任對(duì)醫(yī)院所有信息化相關(guān)系統(tǒng)負(fù)責(zé)，網(wǎng)絡(luò)工程師對(duì)醫(yī)院所有網(wǎng)絡(luò)建設(shè)及維護(hù)負(fù)責(zé)，系統(tǒng)工程師對(duì)醫(yī)院服務(wù)器、數(shù)據(jù)庫(kù)、存儲(chǔ)和信息系統(tǒng)負(fù)責(zé)，信息安全工程師對(duì)醫(yī)院網(wǎng)絡(luò)安全、信息安全、機(jī)房物理安全負(fù)責(zé)，安全審計(jì)工程師對(duì)所有人的信息安全工作進(jìn)行監(jiān)督和審計(jì)，保證信息安全工作層層做實(shí)。

3.3授權(quán)和審批 醫(yī)院信息中心對(duì)于外部廠商人員的相關(guān)操作均需進(jìn)行審批流程，通過(guò)軟件記錄其所有操作行為，并保存進(jìn)檔。對(duì)于中心內(nèi)部工作人員執(zhí)行嚴(yán)格的離崗流程，由所在部門(mén)主管負(fù)責(zé)回收本部門(mén)負(fù)責(zé)的相關(guān)權(quán)限，所有權(quán)限回收后方可辦理正常的離職手續(xù)。

信息中心對(duì)于客戶端操作系統(tǒng)權(quán)限、應(yīng)用系統(tǒng)操作權(quán)限、數(shù)據(jù)庫(kù)操作權(quán)限進(jìn)行分級(jí)控制。內(nèi)網(wǎng)客戶端硬盤(pán)分區(qū)全部使用NTFS，管理員密碼由信息中心網(wǎng)絡(luò)組每月定時(shí)更換；對(duì)所有應(yīng)用系統(tǒng)功能進(jìn)行編號(hào)，對(duì)功能進(jìn)行模塊化管理，并對(duì)模塊進(jìn)行分級(jí)控制；同時(shí)，設(shè)置數(shù)據(jù)庫(kù)用戶，將不同應(yīng)用的數(shù)據(jù)分別管理，賦予創(chuàng)建、修改、刪除表及表內(nèi)數(shù)據(jù)權(quán)限。

3.4審查和檢查 醫(yī)院信息中心日常檢查由信息安全管理員進(jìn)行，自檢內(nèi)容包括終端安全自檢和軟件管理自檢，終端安全自檢包括檢查是否每臺(tái)計(jì)算機(jī)安裝防病毒軟件，病毒庫(kù)是否為最新版本，終端操作系統(tǒng)是否安裝最新補(bǔ)丁，是否設(shè)置6位以上口令；軟件管理自檢包括檢查軟件是否為正版軟件，軟件管理的各項(xiàng)記錄是否完整等。

構(gòu)建信息安全綜合防護(hù)體系保證醫(yī)院各系統(tǒng)能夠長(zhǎng)期穩(wěn)定安全運(yùn)行，滿足了醫(yī)院不斷擴(kuò)展的業(yè)務(wù)應(yīng)用和管理需要。本文對(duì)信息安全機(jī)構(gòu)管理的目的、思路和措施進(jìn)行了詳細(xì)的分析闡述，對(duì)相關(guān)工作人員和機(jī)構(gòu)具有一定的啟示意義。同時(shí)，通過(guò)梳理分析業(yè)務(wù)特點(diǎn)和管理流程，依據(jù)等級(jí)保護(hù)相關(guān)政策和標(biāo)準(zhǔn)，明確安全管理需求，筆者所在醫(yī)院信息管理中心整理并制定出符合醫(yī)院信息系統(tǒng)實(shí)際情況的一套信息安全管理體系文件，并在2012年公安局等級(jí)保護(hù)測(cè)評(píng)中被評(píng)為三級(jí)。

參考文獻(xiàn)：

篇9

雖然世界各國(guó)早已開(kāi)始實(shí)踐信息安全的相關(guān)活動(dòng)，然而一直到上世紀(jì)四十年代學(xué)術(shù)界才開(kāi)始出現(xiàn)“通信保密”的概念。上世紀(jì)五十年代，“信息安全”等用詞才開(kāi)始進(jìn)入相關(guān)的科技文獻(xiàn)。國(guó)際信息系統(tǒng)安全認(rèn)證組織（InternationalInformationSystemsSecurityConsor-tium）將信息安全劃分為十大領(lǐng)域，包括物理安全、商務(wù)連續(xù)和災(zāi)害重建計(jì)劃、安全結(jié)構(gòu)和模式、應(yīng)用和系統(tǒng)開(kāi)發(fā)、通信和網(wǎng)絡(luò)安全、訪問(wèn)控制領(lǐng)域、密碼學(xué)領(lǐng)域、安全管理實(shí)踐、操作安全、法律偵察和道德規(guī)劃。由此可知，信息安全所包含的領(lǐng)域十分廣泛。“通信與網(wǎng)絡(luò)安全”的內(nèi)容開(kāi)始逐漸與各類(lèi)物理安全的內(nèi)容一樣得到同等重視。21世紀(jì)以來(lái)，“信息安全”出現(xiàn)的頻率不斷增加，使用的范圍和領(lǐng)域也不斷擴(kuò)大，并且進(jìn)入了各個(gè)國(guó)家、地區(qū)的各類(lèi)組織機(jī)構(gòu)的政策法規(guī)之中，受到人們?cè)絹?lái)越多的關(guān)注與重視。本文中所涉及的信息安全主要限制于高校科研項(xiàng)目管理過(guò)程中的“信息空間、信息載體和信息資源不受來(lái)自內(nèi)外各種形式的危險(xiǎn)、威脅、侵害和誤導(dǎo)。”高校科研管理系統(tǒng)包括其硬件、軟件、數(shù)據(jù)。保障高校科研信息安全就是保障其軟硬件不受非法侵害、破壞，其數(shù)據(jù)不受非法更改、泄露，系統(tǒng)及其服務(wù)維持正常運(yùn)行不中斷。

三、高校科研項(xiàng)目管理的信息安全需求

高校科研項(xiàng)目管理信息安全問(wèn)題較為突出。首先，這是由高校科研活動(dòng)自身特點(diǎn)所決定的。高校作為我國(guó)科研力量最為集中的單位，同時(shí)也是集科研、教學(xué)為一體的單位，其公開(kāi)性與保密性并存。第一，辦學(xué)的公開(kāi)性導(dǎo)致人員的流動(dòng)性，交流與引進(jìn)人才的同時(shí)也造成信息的流動(dòng)；此外，學(xué)生也具有較大的流動(dòng)性，包括學(xué)生參與不同教師的科研項(xiàng)目，出國(guó)交流學(xué)習(xí)、畢業(yè)、就業(yè)等，增加保密信息泄露的風(fēng)險(xiǎn)。第二，科研項(xiàng)目本身具有公開(kāi)性，科研項(xiàng)目產(chǎn)生成果時(shí)需要進(jìn)行及時(shí)的應(yīng)用和轉(zhuǎn)化。由此可知，科研項(xiàng)目從產(chǎn)生到應(yīng)用的過(guò)程就是一個(gè)信息傳遞、交流與共享的過(guò)程。其次，從高校科研項(xiàng)目管理過(guò)程角度出發(fā)，主要分為科研項(xiàng)目立項(xiàng)管理、項(xiàng)目實(shí)施管理、項(xiàng)目驗(yàn)收管理三個(gè)階段。其中科研項(xiàng)目立項(xiàng)管理又包括項(xiàng)目建議書(shū)、項(xiàng)目可行性論證、簽訂項(xiàng)目合同等內(nèi)容；項(xiàng)目實(shí)施管理包括科研項(xiàng)目計(jì)劃、項(xiàng)目跟蹤管理、項(xiàng)目中期評(píng)估等；項(xiàng)目驗(yàn)收管理包括合同考核指標(biāo)、項(xiàng)目組織與管理、項(xiàng)目績(jī)效管理等。科研項(xiàng)目管理的這些環(huán)節(jié)在高校中大部分已實(shí)現(xiàn)系統(tǒng)化、信息化、網(wǎng)絡(luò)化管理。由此可知，高校的科研管理部門(mén)在進(jìn)行科研項(xiàng)目管理的過(guò)程中有以下三個(gè)方面的安全需求。

第一，科研項(xiàng)目保密性的安全需求。

由于高校人員的流動(dòng)性、頻繁的交流活動(dòng)以及科研活動(dòng)本身具有一定的公開(kāi)性，對(duì)項(xiàng)目的保密工作提出了更高的要求。一是出于對(duì)涉及國(guó)家安全與經(jīng)濟(jì)安全的科研項(xiàng)目的保護(hù)；二是出于對(duì)知識(shí)產(chǎn)權(quán)的保護(hù)，因此如何加強(qiáng)項(xiàng)目保密性與保密范圍的管理至關(guān)重要。

第二，管理人員的信息安全需求。

據(jù)統(tǒng)計(jì)，在所有計(jì)算機(jī)安全事件中，人為因素造成的約占52％，而組織內(nèi)部人員作案占10％，由外部不法人員的攻擊造成的安全事件僅有3％左右。可見(jiàn)，項(xiàng)目管理人員自身的安全意識(shí)淡薄，安全素質(zhì)較低，有可能導(dǎo)致科研項(xiàng)目管理過(guò)程出現(xiàn)安全事故，例如保密信息外泄，訪問(wèn)不受控制，系統(tǒng)崩潰后無(wú)法修復(fù)，甚至導(dǎo)致科研活動(dòng)停滯。

第三，新技術(shù)的發(fā)展對(duì)信息安全提出了更高要求。

目前信息技術(shù)發(fā)展突飛猛進(jìn)，已進(jìn)入云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)等廣泛應(yīng)用的新階段。滯后的信息技術(shù)，脆弱的信息網(wǎng)絡(luò)注定無(wú)法在利用信息技術(shù)破壞基礎(chǔ)網(wǎng)絡(luò)，攻擊網(wǎng)絡(luò)節(jié)點(diǎn)等不法行為日益猖獗的今天得以生存。然而，在及時(shí)應(yīng)用如超級(jí)計(jì)算機(jī)及其網(wǎng)格技術(shù)、云服務(wù)等新技術(shù)的同時(shí)，科研項(xiàng)目管理同樣會(huì)面臨一系列新的問(wèn)題，例如使用第三方云服務(wù)商所提供的產(chǎn)品，進(jìn)行海量數(shù)據(jù)獲取、分析、處理的過(guò)程中所存在的安全隱患等。

四、高校科研項(xiàng)目管理信息安全實(shí)施策略

通過(guò)分析高校科研項(xiàng)目管理的特點(diǎn)及其對(duì)信息安全方面的需求可知，高校科研項(xiàng)目信息安全管理是一項(xiàng)復(fù)雜的系統(tǒng)工程。本文從管理、人員、技術(shù)、審計(jì)四個(gè)角度為保障高校科研項(xiàng)目管理的信息安全提供策略。

1.管理。

基于信息安全的科研項(xiàng)目管理工作，也是高校信息化建設(shè)的一部分。為打破“信息孤島”的局面，應(yīng)將科研項(xiàng)目信息安全管理納入到高校信息化的整體規(guī)劃中去。從體制機(jī)制的角度出發(fā)，應(yīng)重點(diǎn)關(guān)注信息安全管理制度的建立和健全以及信息安全管理組織或人員的設(shè)立。高校科研項(xiàng)目的信息安全管理制度應(yīng)通過(guò)相應(yīng)規(guī)章制度的制定，實(shí)現(xiàn)項(xiàng)目過(guò)程管理、人員管理、組織管理、風(fēng)險(xiǎn)管理等。同時(shí)，高校科研管理部門(mén)還應(yīng)設(shè)立專(zhuān)門(mén)的信息安全管理組織或人員，負(fù)責(zé)對(duì)信息進(jìn)行及時(shí)、全面、準(zhǔn)確的甄別、篩選、收集、掌握、保管、分析、運(yùn)用。

2.人員。

科研項(xiàng)目信心安全管理活動(dòng)中存在著一般行政管理人員以及專(zhuān)業(yè)信息技術(shù)人員。提升這兩類(lèi)人員的信息安全素養(yǎng)的方式方法既有相同點(diǎn)，也有不同點(diǎn)。相同點(diǎn)在于都需要對(duì)其進(jìn)行充分的信息安全知識(shí)教育與培訓(xùn)，可采用多種形式的輿論宣傳，崗前培訓(xùn)與在職培訓(xùn)、商業(yè)培訓(xùn)與公益培訓(xùn)相結(jié)合的方式。同時(shí)，可將員工的信息安全教育培訓(xùn)納入到個(gè)人績(jī)效考核體系中去。不同點(diǎn)在于對(duì)一般行政管理人員應(yīng)加強(qiáng)其信息技術(shù)基本知識(shí)、實(shí)踐技能方面的教育與培訓(xùn)，對(duì)專(zhuān)業(yè)信息技術(shù)人員應(yīng)加強(qiáng)法律法規(guī)，規(guī)章制度方面的知識(shí)普及。

3.技術(shù)。

如何掌握和運(yùn)用較為先進(jìn)和成熟的計(jì)算機(jī)信息技術(shù)，是保障科研項(xiàng)目管理過(guò)程中信息安全的重要支撐和基礎(chǔ)保障條件。目前在較為廣泛使用的項(xiàng)目管理信息技術(shù)包括科研管理系統(tǒng)（MIS）、決策支持系統(tǒng)（DSS）、辦公自動(dòng)化（OAS/OA）;信息安全管理技術(shù)包括防火墻技術(shù)、VPN技術(shù)、入侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、安全服務(wù)器等。選擇適合于高校科研管理部門(mén)的信息安全技術(shù)，需要綜合評(píng)估成本與安全風(fēng)險(xiǎn)，同時(shí)需要保證優(yōu)先和重點(diǎn)，優(yōu)化信息安全資源配置。此外，還應(yīng)對(duì)已有的信息安全軟、硬件不斷進(jìn)行優(yōu)化、升級(jí)，引進(jìn)和應(yīng)用國(guó)際先進(jìn)技術(shù)，擁有和掌握自己的核心技術(shù)。

4.審計(jì)。

信息安全審計(jì)是對(duì)高校科研項(xiàng)目管理過(guò)程中的風(fēng)險(xiǎn)進(jìn)行評(píng)估以及提出應(yīng)對(duì)措施的系統(tǒng)過(guò)程。在選擇了合適的信息安全技術(shù)，建立了信息安全保障體系之后，這并不意味著信息安全管理工作已經(jīng)結(jié)束。它是一個(gè)需要不斷完善的長(zhǎng)期過(guò)程。信息安全審計(jì)包括對(duì)人員身份與訪問(wèn)審計(jì)、網(wǎng)絡(luò)訪問(wèn)控制審計(jì)、入侵防御審計(jì)、漏洞管理審計(jì)。首先，應(yīng)對(duì)訪問(wèn)信息系統(tǒng)的人員身份進(jìn)行核準(zhǔn)，并依據(jù)信息保密層級(jí)對(duì)準(zhǔn)入人員進(jìn)行分級(jí)；其次，應(yīng)使用可以對(duì)訪問(wèn)者以及系統(tǒng)安全性進(jìn)行檢查的網(wǎng)絡(luò)訪問(wèn)控制審計(jì)；最后，應(yīng)對(duì)網(wǎng)絡(luò)入侵及系統(tǒng)防御情況進(jìn)行審計(jì)監(jiān)控，以便于發(fā)現(xiàn)系統(tǒng)、管理的漏洞，并對(duì)風(fēng)險(xiǎn)進(jìn)行分析和處理。

篇10

審計(jì)的基礎(chǔ)工作是內(nèi)部審計(jì)，內(nèi)審是審計(jì)監(jiān)督體系中不可或缺的重要組成部分，是全面經(jīng)濟(jì)管理必不可少的手段，是加強(qiáng)任何機(jī)構(gòu)內(nèi)部管理的必要，推動(dòng)經(jīng)濟(jì)管理向科學(xué)化方向發(fā)展的重要環(huán)節(jié)也是審計(jì)。因此說(shuō)審計(jì)部門(mén)是其他監(jiān)督部門(mén)不能代替的，促進(jìn)黨風(fēng)廉政建設(shè)、加強(qiáng)對(duì)黨政領(lǐng)導(dǎo)干部及管理人員的監(jiān)督都可以通過(guò)審計(jì)來(lái)完成。審計(jì)應(yīng)用與高新技術(shù)機(jī)構(gòu)中，在防范風(fēng)險(xiǎn)中發(fā)揮著重要作用，也有助于領(lǐng)導(dǎo)層做出正確決策。

一、審計(jì)工作的現(xiàn)狀及存在的問(wèn)題

隨著我國(guó)經(jīng)濟(jì)迅猛發(fā)展，審計(jì)監(jiān)督力度不斷增強(qiáng)，審計(jì)范圍也不斷擴(kuò)大。當(dāng)前，審計(jì)方式已由財(cái)政財(cái)務(wù)審計(jì)向效益審計(jì)發(fā)展，由賬項(xiàng)基礎(chǔ)審計(jì)向制度基礎(chǔ)審計(jì)、風(fēng)險(xiǎn)基礎(chǔ)審計(jì)發(fā)展，由事后審計(jì)向事中、事前審計(jì)發(fā)展。審計(jì)管理上建立審計(jì)質(zhì)量控制體系，要求審計(jì)機(jī)關(guān)把審計(jì)管理工作前移，把質(zhì)量控制體系貫穿與審計(jì)工作中。在此趨勢(shì)下，傳統(tǒng)的審計(jì)方法暴露出其效率低、審計(jì)范圍小等劣勢(shì)，使得完成審計(jì)任務(wù)，達(dá)到審計(jì)目標(biāo)越發(fā)缺乏及時(shí)性。

(一)內(nèi)部審計(jì)性質(zhì)認(rèn)定較為模糊。內(nèi)部審計(jì)是市場(chǎng)經(jīng)濟(jì)條件下，基于加強(qiáng)經(jīng)營(yíng)管理的內(nèi)在需要，也是內(nèi)部審計(jì)賴(lài)以存在的客觀基礎(chǔ)。但是，現(xiàn)代內(nèi)部審計(jì)的產(chǎn)生卻是一個(gè)行政命令產(chǎn)物，強(qiáng)調(diào)外向。這種審計(jì)模式使人們對(duì)內(nèi)部審計(jì)在性質(zhì)認(rèn)定上產(chǎn)生模糊，阻礙了內(nèi)部審計(jì)的發(fā)展。內(nèi)部審計(jì)很難融入經(jīng)營(yíng)管理中，審計(jì)工作很難正常開(kāi)展，很難履行監(jiān)督評(píng)價(jià)職能和開(kāi)展保證咨詢活動(dòng)，因此就不能充分發(fā)揮其應(yīng)有的內(nèi)向的作用。

(二)內(nèi)部審計(jì)工作范圍過(guò)于狹窄。內(nèi)部審計(jì)的目的在于為組織增加價(jià)值并提高組織的運(yùn)作效率，其職能是監(jiān)督和服務(wù)。但是，我國(guó)內(nèi)部審計(jì)工作的重心局限在財(cái)務(wù)收支的真實(shí)性及合規(guī)性審計(jì)。長(zhǎng)久以來(lái)內(nèi)部審計(jì)突出了監(jiān)督職能，而忽視了服務(wù)職能。內(nèi)部審計(jì)認(rèn)識(shí)水平、思想觀念的束縛以及管理體制等諸多因素，影響和阻礙著內(nèi)審作用的有效發(fā)揮。原因有會(huì)計(jì)人員知識(shí)水平、業(yè)務(wù)素質(zhì)不高，也有不重視法律、法規(guī)的因素，還有監(jiān)管不力、查處不嚴(yán)的原因。目前內(nèi)部審計(jì)尚處在查錯(cuò)階段，停留在調(diào)賬、糾正錯(cuò)誤上，還不能多角度、深層次分析問(wèn)題，沒(méi)有較國(guó)際先進(jìn)的審計(jì)理念，我國(guó)內(nèi)部審計(jì)的作用尚待開(kāi)發(fā)。審計(jì)人員的計(jì)算機(jī)知識(shí)匱乏，不適應(yīng)電算化、信息化的迅速發(fā)展。目前多數(shù)審計(jì)人員硬件知識(shí)掌握不熟練，軟件知識(shí)了解也不足，因此不能有效地評(píng)估信息系統(tǒng)的安全性、效益性。由于計(jì)算機(jī)審計(jì)軟件開(kāi)發(fā)標(biāo)準(zhǔn)不同，功能也不完整，因此全面推廣計(jì)算機(jī)輔助審計(jì)就有一定難度，導(dǎo)致審計(jì)人員的知識(shí)和審計(jì)手段滯后于信息化的發(fā)展。

二、信息化審計(jì)體系的健全

當(dāng)前國(guó)家審計(jì)信息化發(fā)展的趨勢(shì)是建立審計(jì)信息資源的標(biāo)準(zhǔn)化、共享化、公開(kāi)化，逐步達(dá)到向現(xiàn)代審計(jì)方式的轉(zhuǎn)變。這一趨勢(shì)是隨著當(dāng)前科學(xué)發(fā)展、和諧社會(huì)的推進(jìn)，國(guó)家確立的公共財(cái)政建設(shè)、公共服務(wù)的實(shí)施、公共產(chǎn)品的提供應(yīng)運(yùn)而生的，三個(gè)“公共”的主旨是：國(guó)家財(cái)政資金的使用更注重民生；使用重點(diǎn)更注重服務(wù)；使用效益更注重民意。

信息安全審計(jì)是任何機(jī)構(gòu)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險(xiǎn)控制等不可或缺的關(guān)鍵手段。收集并評(píng)估證據(jù)以決定一個(gè)計(jì)算機(jī)系統(tǒng)是否有效地做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成目標(biāo)，同時(shí)能更經(jīng)濟(jì)的使用資源。信息安全審計(jì)與信息安全管理密切相關(guān)，信息安全審計(jì)的主要依據(jù)是出于不同的角度提出的控制體系的信息安全管理相關(guān)的標(biāo)準(zhǔn)。這些控制體系下的信息化審計(jì)可以有效地控制信息安全，從而達(dá)到安全審計(jì)的目的，提高信息系統(tǒng)的安全性。由此，國(guó)際組織也制定了相關(guān)文件規(guī)范填補(bǔ)信息系統(tǒng)審計(jì)方面的某些空白。例如《信息安全管理業(yè)務(wù)規(guī)范》通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)。我國(guó)法律也針對(duì)信息安全審計(jì)制定出了《中華人民共和國(guó)審計(jì)法》、《國(guó)務(wù)院辦公廳關(guān)利用計(jì)算機(jī)信息系統(tǒng)開(kāi)展審計(jì)工作有關(guān)的通知》等文件，基本規(guī)范了內(nèi)部審計(jì)機(jī)制，健全了內(nèi)部審計(jì)機(jī)構(gòu)；強(qiáng)調(diào)機(jī)構(gòu)應(yīng)加強(qiáng)內(nèi)審工作，機(jī)構(gòu)內(nèi)部要形成有權(quán)就有責(zé)、用權(quán)受監(jiān)督的最佳氛圍；審計(jì)委員會(huì)直接對(duì)領(lǐng)導(dǎo)班子負(fù)責(zé)，其成員需具有相應(yīng)的獨(dú)立性，委員會(huì)成員具良好的職業(yè)操守和能力，內(nèi)審人員應(yīng)當(dāng)具備內(nèi)審人員從業(yè)資格，其工作范圍不應(yīng)受到人為限制。內(nèi)部審計(jì)機(jī)構(gòu)對(duì)審計(jì)過(guò)程中發(fā)現(xiàn)的重大問(wèn)題，視具體情況，可以直接向?qū)徲?jì)委員會(huì)或者領(lǐng)導(dǎo)層報(bào)告。 轉(zhuǎn)貼于 　三、主機(jī)系統(tǒng)安全審計(jì)

信息技術(shù)審計(jì)，或信息系統(tǒng)審計(jì)，是一個(gè)信息技術(shù)基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計(jì)是一個(gè)通過(guò)收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過(guò)程。

以技術(shù)劃分，信息化安全審計(jì)主要分為主機(jī)審計(jì)、網(wǎng)絡(luò)審計(jì)、應(yīng)用審計(jì)、數(shù)據(jù)庫(kù)審計(jì)，綜合審計(jì)。簡(jiǎn)單的說(shuō)獲取、記錄被審計(jì)主機(jī)的狀態(tài)信息和敏感操作就是主機(jī)審計(jì)，主機(jī)審計(jì)可以從已有的系統(tǒng)審計(jì)記錄中提取相關(guān)信息，并以審計(jì)規(guī)則為標(biāo)準(zhǔn)來(lái)分析判斷被審計(jì)主機(jī)是否存在違規(guī)行為。總之，為了在最大限度保障安全的基礎(chǔ)上找到最佳途徑使得業(yè)務(wù)正常工作的一切行為及手段，而對(duì)計(jì)算機(jī)信息系統(tǒng)的薄弱環(huán)節(jié)進(jìn)行檢測(cè)、評(píng)估及分析，都可稱(chēng)作安全審計(jì)。

主機(jī)安全審計(jì)系統(tǒng)中事件產(chǎn)生器、分析器和響應(yīng)單元已經(jīng)分別以智能審計(jì)主機(jī)、系統(tǒng)中心、管理與報(bào)警處置控制臺(tái)來(lái)替代。實(shí)現(xiàn)主機(jī)安全系統(tǒng)的審計(jì)包括系統(tǒng)安全審計(jì)、主機(jī)應(yīng)用安全審計(jì)及用戶行為審計(jì)。智能審計(jì)替代主機(jī)安裝在網(wǎng)絡(luò)計(jì)算機(jī)用戶上，并按照設(shè)計(jì)思路監(jiān)視用戶操作行為，同時(shí)智能分析事件安全。從面向防護(hù)的對(duì)象可將主機(jī)安全審計(jì)系統(tǒng)分為系統(tǒng)安全審計(jì)、主機(jī)應(yīng)用安全審計(jì)、用戶行為審計(jì)、移動(dòng)數(shù)據(jù)防護(hù)審計(jì)等方面。

四、待解決的若干問(wèn)題

計(jì)算機(jī)與信息系統(tǒng)廣泛使用，如何加強(qiáng)對(duì)終端用戶計(jì)算機(jī)的安全管理成為一個(gè)急需解決的問(wèn)題。這就需要建立一個(gè)信息安全體系，也就是建立安全策略體系、安全管理體系和安全技術(shù)體系。

保護(hù)網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì)，對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)及服務(wù)系統(tǒng)進(jìn)行漏洞修補(bǔ)和安全加固，對(duì)服務(wù)器建立嚴(yán)格審核。在安全管理上完善人員管理、資產(chǎn)管理、站點(diǎn)維護(hù)管理、災(zāi)難管理、應(yīng)急響應(yīng)、安全服務(wù)、人才管理，形成一套比較完備的信息系統(tǒng)安全管理保障體系。

防火墻是保證網(wǎng)絡(luò)安全的重要屏障，也是降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要因素。VPN可以通過(guò)一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安壘的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。借助專(zhuān)業(yè)的防DDos系統(tǒng)，可以有效的阻止惡意攻擊。信息系統(tǒng)的安全需求是全方位的、系統(tǒng)的、整體的，需要從技術(shù)、管理等方面進(jìn)行全面的安全設(shè)計(jì)和建設(shè)，有效提高信息系統(tǒng)的防護(hù)、檢側(cè)、響應(yīng)、恢復(fù)能力，以抵御不斷出現(xiàn)的安全威脅與風(fēng)險(xiǎn)，保證系統(tǒng)長(zhǎng)期穩(wěn)定可靠的運(yùn)行。嚴(yán)格的安全管理制度，明確的安全職責(zé)劃分，合理的人員角色定義，都可以在很大程度上減少網(wǎng)絡(luò)的安全隱患。

從戰(zhàn)略高度充分認(rèn)識(shí)信息安全的重要性和緊迫性。健全安全管理組織體系，明確安全管理的相關(guān)組織、機(jī)構(gòu)和職責(zé)，建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責(zé)任機(jī)制。為了確保突發(fā)重大安全事件時(shí)，能得到及時(shí)的響應(yīng)和支援，信息系統(tǒng)必須建立和逐步完善應(yīng)急響應(yīng)支援體系，確保整個(gè)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

參考文獻(xiàn)：

篇11

在實(shí)踐中，信息安全不但與通常的監(jiān)理對(duì)象一樣具有規(guī)劃、實(shí)施、運(yùn)營(yíng)等等清晰的工作周期，而且由于信息安全工作在變更、響應(yīng)、教育方面的高要求，使得信息安全監(jiān)理在開(kāi)展過(guò)程中需要關(guān)注更多的問(wèn)題。處理好這些問(wèn)題，信息安全才能真正保障。

認(rèn)識(shí)篇：安全監(jiān)理 并不遙遠(yuǎn)

基于多年對(duì)信息技術(shù)產(chǎn)業(yè)的關(guān)心和促進(jìn)，我國(guó)已經(jīng)形成一系列的法規(guī)、條例和標(biāo)準(zhǔn)用于信息領(lǐng)域相關(guān)工作的規(guī)范和管理。針對(duì)信息安全領(lǐng)域，于1994年2月18日的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，是我國(guó)信息系統(tǒng)安全體系的核心法律依據(jù)；而作為GB17859-1999國(guó)家標(biāo)準(zhǔn)的《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》則為我國(guó)的信息安全工作提供了標(biāo)準(zhǔn)上的支持。特別是2006年上旬公安部的《信息安全等級(jí)保護(hù)管理辦法(試行)》，也稱(chēng)7號(hào)文件，其中針對(duì)不同等級(jí)的信息系統(tǒng)明確的在監(jiān)管和監(jiān)管資質(zhì)方面進(jìn)行了規(guī)定。這些法規(guī)標(biāo)準(zhǔn)的出臺(tái)和實(shí)施為信息安全的監(jiān)理工作提供了有效的生長(zhǎng)環(huán)境，同時(shí)也預(yù)示著信息安全監(jiān)理的大幕正在拉開(kāi)，通過(guò)第三方的監(jiān)理手段提高信息安全工作有效性正成為產(chǎn)業(yè)中一股新的力量。

重視實(shí)施

在信息安全工作體系當(dāng)中，監(jiān)理可以發(fā)揮極為重要的作用，有效的監(jiān)理工作可以節(jié)約資源并保障信息安全工作的順利開(kāi)展。

在實(shí)施信息安全的過(guò)程中，監(jiān)理機(jī)制可以保障安全特性與系統(tǒng)核心的工作目標(biāo)適配，避免安全目標(biāo)與系統(tǒng)目標(biāo)之間發(fā)生沖突。即使對(duì)于信息安全本身，其保密性、完整性和可用性三大基本要求之間也存在著潛在的沖突，例如,在很多時(shí)候?yàn)榱颂岣弑Ｃ苄缘囊蠖赡軙?huì)損害到信息的可用性，這些問(wèn)題的權(quán)衡和建議體現(xiàn)了監(jiān)理工作在整個(gè)系統(tǒng)體系設(shè)計(jì)層次的作用。

基于資源有限這一基本原理，在實(shí)施信息安全工作的過(guò)程中一個(gè)非常重要的問(wèn)題在于使用合適的資源對(duì)不同類(lèi)型的信息資產(chǎn)進(jìn)行保護(hù)。很多信息安全工程或是沒(méi)有分清保護(hù)的重點(diǎn)，或是對(duì)某些信息資產(chǎn)投放了過(guò)度的資源，這對(duì)于系統(tǒng)的安全乃至系統(tǒng)本身的運(yùn)轉(zhuǎn)都會(huì)造成不良影響。監(jiān)理機(jī)制能夠在資源調(diào)配上起到監(jiān)管作用，從設(shè)計(jì)階段就發(fā)現(xiàn)信息安全系統(tǒng)中潛藏的缺陷。

作為監(jiān)理機(jī)制最重要的作用之一，監(jiān)督信息安全的實(shí)施過(guò)程是信息安全監(jiān)管的重中之重。即使擁有完善的信息安全系統(tǒng)設(shè)計(jì)也并不能保證信息安全工作的成功，保證實(shí)施方按照設(shè)計(jì)方案正確的進(jìn)行實(shí)施與對(duì)設(shè)計(jì)方案的分析一樣重要。在很多信息安全工程中存在著執(zhí)行不利的問(wèn)題，監(jiān)理工作非常適合在執(zhí)行過(guò)程中的發(fā)揮保障作用，在這類(lèi)相對(duì)確定且可變性較低的層面可以充分發(fā)揮監(jiān)理的標(biāo)準(zhǔn)化能力及管理能力。

從規(guī)范到管理

眾所周知，在信息安全體系中管理制度和人員的因素與其它信息工程相比要占據(jù)更重要的地位。從信息安全制度規(guī)范的實(shí)施到安全意識(shí)技能培訓(xùn)，往往受制于企業(yè)內(nèi)部的阻力。通過(guò)監(jiān)理的形式促進(jìn)這些工作的開(kāi)展，除了可以有效的提高信息安全工作的質(zhì)量，同時(shí)還可以推進(jìn)整套工作的進(jìn)展。

一個(gè)容易被忽視的信息安全問(wèn)題是信息安全體系建設(shè)完成之后的管理，在一個(gè)信息安全系統(tǒng)建設(shè)完成之后并不代表著工作的結(jié)束，運(yùn)營(yíng)過(guò)程中的監(jiān)管是不容忽視的。一個(gè)應(yīng)用系統(tǒng)層面的變更帶來(lái)的往往是生產(chǎn)力的促進(jìn)和提高，而這種變更所帶來(lái)的安全層面的變更往往會(huì)對(duì)信息安全體系造成巨大的破壞。所以在信息安全體系建設(shè)之后的生命周期當(dāng)中，監(jiān)理機(jī)制仍能夠起到重要作用，保證信息安全工作的延續(xù)性。

對(duì)比篇：撥開(kāi)安全監(jiān)理與審計(jì)的迷霧

審計(jì)通常是指審計(jì)方在接受委托后，通過(guò)收集各種信息和證據(jù)從而對(duì)審計(jì)目標(biāo)是否達(dá)到了預(yù)先設(shè)定的目標(biāo)進(jìn)行判斷和指導(dǎo)，延伸到信息安全領(lǐng)域就是通過(guò)對(duì)計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)進(jìn)行記錄和檢驗(yàn)從而了解系統(tǒng)是否達(dá)到了要求的安全指標(biāo)。而依照《信息系統(tǒng)工程監(jiān)理暫行辦法》，信息系統(tǒng)監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的監(jiān)理單位受托依據(jù)國(guó)家有關(guān)法規(guī)和標(biāo)準(zhǔn)對(duì)信息系統(tǒng)工程項(xiàng)目實(shí)施監(jiān)督及管理。從概念上分析，這兩種服務(wù)的目的都在于降低信息系統(tǒng)工程實(shí)施過(guò)程中的風(fēng)險(xiǎn)，從基本出發(fā)點(diǎn)上是完全相同的。

走出概念的誤區(qū)

在實(shí)際的工作范疇以及作用等方面，監(jiān)理和審計(jì)并不完全相同。

就一個(gè)信息安全體系來(lái)說(shuō)，本身就需要記錄充分的信息予以存檔留待需要時(shí)分析，這也是審計(jì)機(jī)制中最核心的鑒證功能。但是一個(gè)成熟的信息審計(jì)過(guò)程并不僅僅如此，更重要的是通過(guò)第三方的力量對(duì)目標(biāo)信息的真實(shí)性、完整性、可靠性進(jìn)行驗(yàn)證，從而為決策行為提供充分有效的證明。從不同的視角對(duì)一個(gè)安全系統(tǒng)進(jìn)行分析，可以更加真實(shí)的還原信息系統(tǒng)的安全現(xiàn)狀，同時(shí)可以利用審計(jì)機(jī)構(gòu)所具備的知識(shí)和經(jīng)驗(yàn)，完善系統(tǒng)設(shè)計(jì)，以提高實(shí)施成功率。

從這一點(diǎn)來(lái)看，信息安全審計(jì)服務(wù)與信息安全監(jiān)理服務(wù)的作用有一定的交叉性。而在此基礎(chǔ)之上，信息安全監(jiān)理還具有一些信息安全審計(jì)不具備的職能。首先信息安全監(jiān)理需要履行監(jiān)管的職責(zé)，也即不僅僅象信息安全審計(jì)過(guò)程一樣要進(jìn)行咨詢、分析、建議，還要對(duì)整個(gè)安全體系的實(shí)施乃至運(yùn)行采取強(qiáng)于審計(jì)工作的控制，以第三方的力量穩(wěn)定項(xiàng)目發(fā)展的軌道。另外，信息安全監(jiān)理還需要在項(xiàng)目開(kāi)展過(guò)程中協(xié)調(diào)客戶與實(shí)施方等多方之間的關(guān)系，保證參與方確實(shí)的履行合同條款，去除隱藏的欺詐行為。也就是說(shuō)信息安全監(jiān)理更側(cè)重于項(xiàng)目成功的保障，而信息安全審計(jì)更側(cè)重于信息的可信性。

值得一提的是，在針對(duì)項(xiàng)目范疇的信息審計(jì)在關(guān)注信息可信的基礎(chǔ)上也包含了對(duì)信息系統(tǒng)有效性的審計(jì)，集中體現(xiàn)于對(duì)項(xiàng)目完成后系統(tǒng)運(yùn)營(yíng)狀態(tài)的審計(jì)，在對(duì)于這一生命周期的關(guān)注上信息安全審計(jì)要強(qiáng)于信息安全監(jiān)理。

正確實(shí)踐

在實(shí)際的信息安全項(xiàng)目當(dāng)中，信息安全監(jiān)理與信息安全審計(jì)也有很多區(qū)別，集中體現(xiàn)于工作主體上的差異。

對(duì)于監(jiān)理來(lái)說(shuō)，必須由第三方完成相關(guān)工作，否則就失去了公正性和監(jiān)管力。而對(duì)于審計(jì)來(lái)說(shuō)，除了聘用外部機(jī)構(gòu)對(duì)系統(tǒng)的安全性開(kāi)展審計(jì)工作之外，很多情況下審計(jì)工作也可以由組織內(nèi)部的信息安全團(tuán)隊(duì)完成。在通常情況下，基本的信息安全審計(jì)都是由內(nèi)部人員定期執(zhí)行并向管理層進(jìn)行反饋，利用外部力量進(jìn)行審計(jì)的情況相對(duì)較少，這也與國(guó)內(nèi)用戶對(duì)第三方審計(jì)的認(rèn)知不夠有關(guān)。

另外，審計(jì)和監(jiān)理服務(wù)所面向的服務(wù)對(duì)象也有一定的差異。信息審計(jì)所具有的公證性目標(biāo)，在執(zhí)行信息安全審計(jì)時(shí)往往服務(wù)于類(lèi)似管理層這樣發(fā)起審計(jì)要求的局部對(duì)象。而信息安全監(jiān)理則往往服務(wù)于用戶和實(shí)施方兩方，即使在特定情況下監(jiān)理機(jī)制作用于組織內(nèi)部的不同部門(mén)和層級(jí)，也具有作用多個(gè)對(duì)象的特征。

總體來(lái)看，在作用方面信息安全監(jiān)理與信息安全審計(jì)處于相互融合、互相支撐的關(guān)系。在一個(gè)成功的信息安全項(xiàng)目當(dāng)中，兩者的作用都不容忽視，應(yīng)該根據(jù)具體需要進(jìn)行具體選擇，并開(kāi)展符合實(shí)際應(yīng)用環(huán)境的具體應(yīng)用。

實(shí)踐篇：安全規(guī)劃 重在督導(dǎo)

缺乏規(guī)劃性是很多信息安全項(xiàng)目失敗的主因，所以監(jiān)理機(jī)構(gòu)有責(zé)任向用戶提出實(shí)施規(guī)劃方面的建議。建議的方面有很多，而主要的原則面則基于成熟的信息安全項(xiàng)目操作經(jīng)驗(yàn)。

安全原則不容忽視

首先我們要在規(guī)劃制訂過(guò)程中樹(shù)立以人為本的意識(shí)，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行安全管理要充分結(jié)合對(duì)人的管理。授權(quán)最小化是安全管理的核心原則之一，保障權(quán)限授予的合理并減少冗余是任何安全體系成功的基礎(chǔ)。

另外，在安全規(guī)劃中不能忽視卻常常被忽視的一個(gè)問(wèn)題就是物理安全，協(xié)助用戶分析如何管理各種存儲(chǔ)介質(zhì)，完善用戶所在建筑物的安全管理，都是在監(jiān)理工作過(guò)程中需要注意的問(wèn)題。

對(duì)于安全事件的響應(yīng)也是監(jiān)理應(yīng)該重點(diǎn)關(guān)心的方向，很多用戶的信息安全體系具有完善的保護(hù)計(jì)劃，但是在執(zhí)行保護(hù)工作的過(guò)程中卻常常因?yàn)槿狈∪捻憫?yīng)計(jì)劃而導(dǎo)致信息資產(chǎn)的損失。特別是對(duì)于那些服務(wù)范圍只涉及建設(shè)過(guò)程的監(jiān)理，如果在規(guī)劃階段忽視了運(yùn)營(yíng)過(guò)程中的響應(yīng)機(jī)制，就會(huì)給客戶遺留一個(gè)缺乏后續(xù)保障的安全體系。

除此以外，還有很多問(wèn)題值得關(guān)注，但相對(duì)來(lái)說(shuō)有更多的范例可以借鑒，同時(shí)也更加容易通過(guò)規(guī)范來(lái)保障。信息安全監(jiān)理應(yīng)該在全局掌握的基礎(chǔ)上，重點(diǎn)關(guān)注那些相對(duì)容易忽視、可變性較高、人員協(xié)調(diào)需要較強(qiáng)的范疇。

有效溝通是保障

規(guī)劃的建立只是開(kāi)始，在整個(gè)信息安全監(jiān)理工作過(guò)程中，應(yīng)該通過(guò)與用戶的充分溝通，形成一套切實(shí)可行的安全管理制度。一般常見(jiàn)的安全管理制度包括了權(quán)限管理、操作規(guī)章、定期檢測(cè)制度、信息分級(jí)、信息銷(xiāo)毀、介質(zhì)管理、響應(yīng)計(jì)劃、變更管理、員工培訓(xùn)等等。在形成制度的同時(shí)，一個(gè)更加不容忽視的問(wèn)題在于制度的學(xué)習(xí)和實(shí)踐，這也是監(jiān)理機(jī)構(gòu)發(fā)揮督管作用的重要陣地。

在實(shí)際工作過(guò)程中，制度的推行往往在客戶方遇到一定的阻礙，而面對(duì)這種阻礙，往往會(huì)導(dǎo)致實(shí)施方降低項(xiàng)目的推進(jìn)力。在這種情況下，監(jiān)理方應(yīng)該及時(shí)、確實(shí)的把握雙方的思維動(dòng)向，緩沖雙方之間的矛盾，以便于達(dá)到項(xiàng)目協(xié)調(diào)的作用。

另外，監(jiān)理方還應(yīng)該對(duì)照雙方確認(rèn)完成的制度條款，通過(guò)檢驗(yàn)手段保證安全管理工作能夠順利實(shí)施。這樣既能夠保證用戶得到有效的安全保護(hù)系統(tǒng)，同時(shí)也是對(duì)實(shí)施方的工作成果負(fù)責(zé)，在此基礎(chǔ)上監(jiān)理方才能對(duì)雙方的利益開(kāi)展協(xié)調(diào)。在監(jiān)理工作當(dāng)中還有一個(gè)需要高度重視的問(wèn)題，那就是監(jiān)理方本身對(duì)于制度的遵守和執(zhí)行。

作為用戶與實(shí)施方的媒介，監(jiān)理方必須嚴(yán)格依照實(shí)現(xiàn)制訂的標(biāo)準(zhǔn)完成監(jiān)理工作，這是獲得信任的基礎(chǔ)。同時(shí)監(jiān)理方也應(yīng)該盡力遵守用戶和實(shí)施方之間的協(xié)議以及制訂出的制度（例如進(jìn)場(chǎng)制度），只有得到兩方的尊重，才能順利保證監(jiān)理工作的開(kāi)展。

篇12

21世紀(jì)是信息的時(shí)代，一方面，信息科學(xué)和技術(shù)正處于空前繁榮的階段，信息產(chǎn)業(yè)成為世界第一大產(chǎn)業(yè)，另一方面，危害信息安全的事件不斷發(fā)生，信息安全的形勢(shì)是嚴(yán)峻的。因此在信息社會(huì)中，只有厘清信息系統(tǒng)的安全需求，才能確切地把握各類(lèi)信息系統(tǒng)及計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)等所面臨的風(fēng)險(xiǎn)，并使信息安全風(fēng)險(xiǎn)處于可控范圍之內(nèi)。該文的研究旨在從信息系統(tǒng)安全等級(jí)保護(hù)的角度，系統(tǒng)地分析信息系統(tǒng)的安全需求，從而為切實(shí)保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施與業(yè)務(wù)系統(tǒng)安全、可靠運(yùn)行提供理論依據(jù)。

1 信息系統(tǒng)安全威脅

要保證信息系統(tǒng)的安全可靠，必須全面了解信息系統(tǒng)可能面臨的所有安全威脅和風(fēng)險(xiǎn)。威脅是指可能對(duì)信息系統(tǒng)資產(chǎn)或所在組織造成損害事故的潛在原因；威脅雖然有各種各樣的存在形式，但其結(jié)果是一致的，都將導(dǎo)致對(duì)信息或資源的破壞，影響信息系統(tǒng)的正常運(yùn)行，破壞提供服務(wù)的有效性、可靠性和權(quán)威性。

任何可能對(duì)信息系統(tǒng)造成危害的因素，都是對(duì)系統(tǒng)的安全威脅。威脅不僅來(lái)來(lái)自人為的破壞，也來(lái)自自然環(huán)境，包括各種人員、機(jī)構(gòu)出于各自目的的攻擊行為，系統(tǒng)自身的安全缺陷以及自然災(zāi)難等。信息系統(tǒng)可能面臨的威脅見(jiàn)圖1。

2 信息系統(tǒng)安全需求分析

信息系統(tǒng)等級(jí)保護(hù)的安全需求基本分為技術(shù)需求和管理需求兩大類(lèi)。

技術(shù)類(lèi)安全需求通常與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要是通過(guò)在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來(lái)實(shí)現(xiàn)；管理類(lèi)安全需求通常與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān)，主要是通過(guò)控制各種角色的活動(dòng)，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來(lái)實(shí)現(xiàn)。

2.1 信息系統(tǒng)安全技術(shù)需求

2.1.1 物理需求

（1）當(dāng)面臨雷擊、地震、臺(tái)風(fēng)、高溫等自然災(zāi)難，需要通過(guò)對(duì)物理位置的選擇、溫濕度的控制，以及采取防雷擊措施等來(lái)解決問(wèn)題；

（2）供電系統(tǒng)故障，需要合理設(shè)計(jì)電力供應(yīng)系統(tǒng)，如：購(gòu)買(mǎi)UPS系統(tǒng)或者建立發(fā)電機(jī)機(jī)房來(lái)保障電力的供應(yīng)；

（3）網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備及其他設(shè)備使用時(shí)間過(guò)長(zhǎng)等原因?qū)е掠布收希枰ㄟ^(guò)對(duì)產(chǎn)品采購(gòu)、自行軟件開(kāi)發(fā)、外包軟件和測(cè)試驗(yàn)收進(jìn)行管理，對(duì)存儲(chǔ)介質(zhì)進(jìn)行管理，建立一套監(jiān)控管理體系；

（4）攻擊者利用非法手段進(jìn)入機(jī)房?jī)?nèi)部盜竊、破壞等，需要進(jìn)行環(huán)境管理、采取物理訪問(wèn)控制策略、實(shí)施防盜竊和防破壞等控制措施。

2.1.2 網(wǎng)絡(luò)需求

（1）內(nèi)部人員未授權(quán)接入外部網(wǎng)絡(luò)，需要通過(guò)邊界的完整性檢查、網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)、應(yīng)用審計(jì)等手段解決。

（2）設(shè)施、通信線路、設(shè)備或存儲(chǔ)介質(zhì)因使用、維護(hù)或保養(yǎng)不當(dāng)?shù)仍驅(qū)е鹿收希枰ㄟ^(guò)線路狀態(tài)檢測(cè)、線路冗余、數(shù)據(jù)備份與恢復(fù)等技術(shù)手段解決。

（3）攻擊者惡意地消耗網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源，導(dǎo)致拒絕服務(wù)，需要通過(guò)主機(jī)資源優(yōu)化、網(wǎng)絡(luò)入侵檢測(cè)與防范、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與優(yōu)化等技術(shù)手段解決。

（4）攻擊者盜用授權(quán)用戶的會(huì)話連接，需通過(guò)身份鑒別、訪問(wèn)控制、通信加密等技術(shù)手段解決。

2.1.3 系統(tǒng)需求

（1）攻擊者在軟硬件分發(fā)環(huán)節(jié)（生產(chǎn)、運(yùn)輸?shù)龋┲袗阂飧能浻布柰ㄟ^(guò)惡意代碼方法、控制臺(tái)審計(jì)等技術(shù)手段解決。

（2）攻擊者利用網(wǎng)絡(luò)擴(kuò)散病毒，需通過(guò)惡意代碼方法、控制臺(tái)審計(jì)等技術(shù)手段解決。

（3）內(nèi)部人員下載、拷貝軟件或文件，打開(kāi)可疑郵件時(shí)引入病毒。需通過(guò)惡意代碼防范技術(shù)手段解決。

（4）授權(quán)用戶對(duì)系統(tǒng)錯(cuò)誤配置或更改。需通過(guò)安全審計(jì)、數(shù)據(jù)備份和恢復(fù)等技術(shù)手段解決。

2.1.4 應(yīng)用安全需求

（1）系統(tǒng)軟件、應(yīng)用軟件運(yùn)行故障，需要通過(guò)對(duì)產(chǎn)品采購(gòu)、自行軟件開(kāi)發(fā)、外包軟件和測(cè)試驗(yàn)收進(jìn)行管理，對(duì)入侵系統(tǒng)和軟件的行為進(jìn)行監(jiān)測(cè)和報(bào)警；

（2）系統(tǒng)軟件、應(yīng)用軟件過(guò)度使用內(nèi)存、CPU等系統(tǒng)資源，需要對(duì)系統(tǒng)軟件和應(yīng)用軟件進(jìn)行入侵行為的防范，并進(jìn)行實(shí)時(shí)的監(jiān)控管理；

（3）攻擊者進(jìn)行非法訪問(wèn)，需要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行防護(hù)、對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶進(jìn)行訪問(wèn)控制、對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶身份進(jìn)行鑒別來(lái)加強(qiáng)訪問(wèn)控制措施；

（4）攻擊者提供偽造的應(yīng)用系統(tǒng)服務(wù)進(jìn)行信息的竊取，需要加強(qiáng)網(wǎng)絡(luò)邊界完整性檢查，加強(qiáng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行防護(hù)、對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶身份進(jìn)行鑒別。

2.1.5 數(shù)據(jù)安全需求

（1）內(nèi)部人員利用技術(shù)或管理漏洞，未授權(quán)修改重要系統(tǒng)數(shù)據(jù)或修改系統(tǒng)程序，需要通過(guò)網(wǎng)絡(luò)安全審計(jì)、惡意代碼防范、網(wǎng)絡(luò)訪問(wèn)控制、身份鑒別、通信完整性、入侵防范等技術(shù)手段解決；

（2）攻擊者截獲數(shù)據(jù)，進(jìn)行篡改、插入，并重發(fā)，造成數(shù)據(jù)的完整性、真實(shí)性喪失，需要通過(guò)通信完整性、數(shù)據(jù)完整性、通信保密性、數(shù)據(jù)保密性、密碼管理等技術(shù)手段解決；

（3）通信過(guò)程中受到干擾等原因發(fā)生數(shù)據(jù)傳輸錯(cuò)誤，需要通過(guò)通信完整性、數(shù)據(jù)完整性等技術(shù)手段解決；

（4）攻擊者利用通信干擾工具，故意導(dǎo)致通信數(shù)據(jù)錯(cuò)誤，需要通過(guò)結(jié)構(gòu)安全和網(wǎng)段劃分、通信完整性、數(shù)據(jù)完整性等技術(shù)手段解決。

2.2 信息系統(tǒng)安全管理需求

2.2.1 管理機(jī)構(gòu)

（1）需要建立安全職能部門(mén)，設(shè)置安全管理崗位，配備必要的安全管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員；

（2）需要配備相應(yīng)的安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員；

（3）需要建立定期和不定期的協(xié)調(diào)會(huì)，就信息安全相關(guān)的業(yè)務(wù)進(jìn)行協(xié)調(diào)處理；

（4）需要建立相應(yīng)的審核和檢查部門(mén)，安全人員定期的進(jìn)行全面的安全檢查。

2.2.2 管理制度

（1）需要制定信息安全工作的總體方針、政策性文件和安全策略等，說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等；

（2）需要建立安全管理制度，對(duì)管理活動(dòng)進(jìn)行制度化管理，制定相應(yīng)的制定和制度；

（3）需要各功能部門(mén)協(xié)調(diào)機(jī)制，進(jìn)行必要的溝通和合作；

（4）需要建立恰當(dāng)?shù)穆?lián)絡(luò)渠道，進(jìn)行必要的溝通和合作，在必要的時(shí)候，進(jìn)行事件的有效處理；

（5）需要建立備案管理制度，對(duì)系統(tǒng)的定級(jí)進(jìn)行備案。

2.2.3 人員安全

（1）需要對(duì)人員的錄用進(jìn)行必要的管理，確保人員錄用的安全；

（2）需要對(duì)人員的考核進(jìn)行嚴(yán)格的管理，提高人員的安全技能和安全意識(shí)；

（3）需要對(duì)人員進(jìn)行安全意識(shí)的教育和培訓(xùn)，提高人員的安全意識(shí)；

（4）需要對(duì)第三方人員訪問(wèn)進(jìn)行嚴(yán)格的控制，確保第三方人員訪問(wèn)的安全。

2.2.4 系統(tǒng)建設(shè)

（1）需要具有設(shè)計(jì)合理、安全網(wǎng)絡(luò)結(jié)構(gòu)的能力；

（2）需要密碼算法和密鑰的使用符合國(guó)家有關(guān)法律、法規(guī)的規(guī)定；

（3）需要任何變更控制和設(shè)備重用要申報(bào)和審批，并對(duì)其實(shí)行制度化的管理；

（4）需要對(duì)信息系統(tǒng)進(jìn)行合理定級(jí)，并進(jìn)行備案管理；

（5）需要自行開(kāi)發(fā)過(guò)程和工程實(shí)施過(guò)程中的安全；

（6）需要對(duì)軟硬件的分發(fā)過(guò)程進(jìn)行控制；

（7）需要信息安全事件實(shí)行分等級(jí)響應(yīng)、處置。

2.2.5 系統(tǒng)運(yùn)維

（1）需要各種網(wǎng)絡(luò)設(shè)備、服務(wù)器正確使用和維護(hù)；

（2）需要用戶具有鑒別信息使用的安全意識(shí)；

（3）需要硬件設(shè)備、存儲(chǔ)介質(zhì)存放環(huán)境安全，并對(duì)其的使用進(jìn)行控制和保護(hù)；

（4）需要提供足夠的使用手冊(cè)、維護(hù)指南等資料；

（5）需要在事件發(fā)生后能采取積極、有效的應(yīng)急策略和措施。

3 結(jié)論與建議

3.1 以信息系統(tǒng)安全需求促進(jìn)系統(tǒng)安全等級(jí)保護(hù)，建立信息安全管理的長(zhǎng)效機(jī)制

信息安全等級(jí)保護(hù)是國(guó)家信息安全保障工作的基礎(chǔ)制度，信息安全需求的研究是從系統(tǒng)風(fēng)險(xiǎn)管理角度最大限度地為保障信息安全提供科學(xué)依據(jù)，作為信息系統(tǒng)使用機(jī)構(gòu)，開(kāi)展信息安全等級(jí)保護(hù)定級(jí)和信息安全需求研究工作，其最終目標(biāo)就是建立“量身定做”的信息安全管理體系。按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”和“適度安全、保護(hù)重點(diǎn)”的原則，準(zhǔn)確進(jìn)行安全等級(jí)定級(jí)，并在信息化建設(shè)整個(gè)生命周期中構(gòu)建好信息安全管理體系，并緊緊圍繞“信息系統(tǒng)安全需求”這個(gè)等級(jí)保護(hù)主要抓手，結(jié)合國(guó)家規(guī)范、行業(yè)規(guī)范和系統(tǒng)工作實(shí)際，認(rèn)真探索、大膽創(chuàng)新。

3.2 信息系統(tǒng)安全需求分析是信息安全管理的重要環(huán)節(jié)

信息系統(tǒng)安全需求的研究是信息安全管理的一個(gè)階段，是信息安全風(fēng)險(xiǎn)管理的重要環(huán)節(jié)，是信息安全保障體系建立過(guò)程中的重要決策機(jī)制。信息安全管理要依靠是否滿足系統(tǒng)安全的需求來(lái)確定隨后的風(fēng)險(xiǎn)控制和審核批準(zhǔn)活動(dòng)。信息系統(tǒng)安全需求的提出使得機(jī)構(gòu)能夠準(zhǔn)確“定位”安全管理的策略、實(shí)踐和工具，能夠?qū)踩顒?dòng)的重點(diǎn)放在重要的問(wèn)題上，能夠選擇成本效益合理的和適用的安全對(duì)策。因此，系統(tǒng)安全需求是信息安全管理體系和信息管理管理的基礎(chǔ)，是對(duì)現(xiàn)有網(wǎng)絡(luò)的安全性進(jìn)行分析的第一手資料，也是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)最重要的內(nèi)容之一，它為實(shí)施風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)控制提供了直接依據(jù)。

參考文獻(xiàn)

篇13

(3)網(wǎng)絡(luò)通信安全較為脆弱。網(wǎng)絡(luò)通信安全五項(xiàng)指標(biāo)中，網(wǎng)絡(luò)攻擊防護(hù)與業(yè)務(wù)文檔記錄方面，醫(yī)院相對(duì)比較重視，比例分別達(dá)到94%與84%，但實(shí)地調(diào)查發(fā)現(xiàn)其網(wǎng)絡(luò)攻擊防護(hù)還處于低水平狀態(tài)。實(shí)行網(wǎng)絡(luò)隔離與訪問(wèn)控制的醫(yī)院僅占30%，大多數(shù)醫(yī)院網(wǎng)絡(luò)訪問(wèn)隨意性大，醫(yī)院網(wǎng)絡(luò)可隨意互訪，信息流通和共享暢通無(wú)阻，這給醫(yī)院信息安全帶來(lái)極大的安全隱患。實(shí)行入侵檢測(cè)的醫(yī)院不到30%，說(shuō)明中國(guó)數(shù)字化醫(yī)院還處于被動(dòng)防御階段，遠(yuǎn)未達(dá)到主動(dòng)防御水平，同時(shí)信息系統(tǒng)的縱深防護(hù)水平不高，由此導(dǎo)致數(shù)字化醫(yī)院以計(jì)算機(jī)病毒、黑客攻擊等為代表的安全事件頻繁發(fā)生。實(shí)行密鑰管理的醫(yī)院則僅13%，說(shuō)明醫(yī)院網(wǎng)絡(luò)密鑰其實(shí)幾乎還處于無(wú)人監(jiān)管狀態(tài)。

(4)人員安全隱患重重。人員安全四項(xiàng)指標(biāo)調(diào)查結(jié)果都不容樂(lè)觀，尤其是進(jìn)行第三方合作合同的控制和管理的醫(yī)院僅占10%，說(shuō)明中國(guó)數(shù)字化醫(yī)院在人員安全管理方面還遠(yuǎn)未重視，由此導(dǎo)致醫(yī)院內(nèi)部存在大量網(wǎng)絡(luò)操作違規(guī)現(xiàn)象。如，網(wǎng)絡(luò)操作人員隨意將自己的登錄賬號(hào)轉(zhuǎn)借他人，隨意將一些存儲(chǔ)介質(zhì)接入信息系統(tǒng)，未經(jīng)授權(quán)同時(shí)訪問(wèn)外網(wǎng)與內(nèi)網(wǎng)，一些人員為了謀取個(gè)人私利，非法訪問(wèn)內(nèi)部網(wǎng)絡(luò)，竊取、偽造、篡改醫(yī)療數(shù)據(jù)等，這使得中國(guó)數(shù)字化醫(yī)院信息安全事故頻頻發(fā)生。

(5)組織管理安全有待加強(qiáng)。組織管理安全四項(xiàng)指標(biāo)中，160家醫(yī)院都設(shè)置了安全管理組織機(jī)構(gòu)，說(shuō)明所有醫(yī)院都很重視信息安全管理工作，但安全管理制度完整的醫(yī)院僅114家，且多數(shù)在應(yīng)急管理制度制定方面較為欠缺，而安全管理制度實(shí)施情況調(diào)查顯示，只有40%的醫(yī)院安全管理制度得到實(shí)施，這意味著60%的醫(yī)院的安全管理制度形同虛設(shè)。在人力財(cái)力保障方面給予充分保障的醫(yī)院不到50%，由于缺乏人力財(cái)力的保障，目前許多醫(yī)院信息安全系統(tǒng)建設(shè)難以為繼。綜上所述，中國(guó)數(shù)字化醫(yī)院還存在著極大的信息安全隱患。因此，數(shù)字化醫(yī)院信息安全建設(shè)已迫在眉睫。

2動(dòng)態(tài)網(wǎng)絡(luò)安全模型的比較分析

面對(duì)復(fù)雜多樣的信息安全風(fēng)險(xiǎn)以及日益嚴(yán)峻的信息安全局勢(shì)，動(dòng)態(tài)網(wǎng)絡(luò)安全模型為中國(guó)數(shù)字化醫(yī)院信息安全建設(shè)提供了理論基礎(chǔ)。典型的動(dòng)態(tài)網(wǎng)絡(luò)安全模型有PPDR模型、PDRR模型、MPDRR模型和WPDRRC模型等，這些安全模型各有特點(diǎn)，各有側(cè)重，已廣泛應(yīng)用于多個(gè)領(lǐng)域的信息安全建設(shè)實(shí)踐。環(huán)節(jié)。它強(qiáng)調(diào)在安全策略的指導(dǎo)下，綜合采用防火墻、VPN等安全技術(shù)進(jìn)行防護(hù)的同時(shí)，利用入侵檢測(cè)系統(tǒng)等檢測(cè)工具，發(fā)現(xiàn)系統(tǒng)的異常情況，以及可能的攻擊行為，并通過(guò)關(guān)閉端口、中斷連接、中斷服務(wù)等響應(yīng)措施將系統(tǒng)調(diào)整到一個(gè)比較安全的狀態(tài)。其中，安全策略是核心，防護(hù)、檢測(cè)和響應(yīng)環(huán)節(jié)組成了一個(gè)完整、動(dòng)態(tài)的安全循環(huán)，它們共同保證網(wǎng)絡(luò)系統(tǒng)的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基礎(chǔ)上增加恢復(fù)(Recovery)環(huán)節(jié)發(fā)展而來(lái)，由防護(hù)(Protection)、檢測(cè)(Detection)、響應(yīng)(Re-sponse)和恢復(fù)(Recovery)四個(gè)環(huán)節(jié)組成(見(jiàn)圖2)。其核心思想是在安全策略的指導(dǎo)下，通過(guò)采取各種措施對(duì)需要保護(hù)的對(duì)象進(jìn)行安全防護(hù)，并隨時(shí)進(jìn)行安全跟蹤和檢測(cè)以了解其安全狀態(tài)，一旦發(fā)現(xiàn)其安全受到攻擊或存在安全隱患，則馬上采取響應(yīng)措施，直至恢復(fù)安全保護(hù)對(duì)象的安全狀態(tài)。與PPDR模型相比，PDRR模型更強(qiáng)調(diào)一種故障的自動(dòng)恢復(fù)能力，即系統(tǒng)在被入侵后，能迅速采取相應(yīng)措施將系統(tǒng)恢復(fù)到正常狀態(tài)，從而保障系統(tǒng)的信息安全。因此，PDRR模型中的安全概念已經(jīng)從信息安全擴(kuò)展到了信息保障，信息保障內(nèi)涵已超出傳統(tǒng)的信息安全保密，是防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)的有機(jī)結(jié)合。

3基于動(dòng)態(tài)網(wǎng)絡(luò)安全模型的中國(guó)數(shù)字化醫(yī)院信息安全體系構(gòu)建

結(jié)合動(dòng)態(tài)網(wǎng)絡(luò)安全模型，并依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239—2008)、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T25070—2010)等標(biāo)準(zhǔn)規(guī)范，本文試構(gòu)建一個(gè)以信息安全組織機(jī)構(gòu)為核心，以信息安全策略、信息安全管理、信息安全技術(shù)為維度的數(shù)字化醫(yī)院信息安全體系三維立體框架。即，在進(jìn)行數(shù)字化醫(yī)院信息安全建設(shè)時(shí)，我們應(yīng)成立一個(gè)信息安全組織機(jī)構(gòu)，并以此為中心，通過(guò)制定信息安全總體策略、加強(qiáng)信息安全管理，利用各項(xiàng)信息安全技術(shù)，并將其貫徹在預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)和反擊6個(gè)環(huán)節(jié)中，針對(duì)不同的安全威脅，采用不同的安全措施，從而對(duì)系統(tǒng)物理設(shè)備、系統(tǒng)軟件、數(shù)據(jù)信息等受保護(hù)對(duì)象進(jìn)行全方位多層次保護(hù)。

(1)信息安全組織機(jī)構(gòu)是數(shù)字化醫(yī)院信息安全體系構(gòu)成要素中最重要的因素，在信息安全體系中處于核心地位。它由決策機(jī)構(gòu)、管理機(jī)構(gòu)與執(zhí)行機(jī)構(gòu)三部分組成。其中，決策機(jī)構(gòu)是醫(yī)院信息安全工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)，負(fù)責(zé)對(duì)醫(yī)院信息安全工作進(jìn)行總體規(guī)劃與宏觀領(lǐng)導(dǎo)，其成員由醫(yī)院主要領(lǐng)導(dǎo)及其他相關(guān)職能部門(mén)主要負(fù)責(zé)人組成。管理機(jī)構(gòu)在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)信息安全體系建設(shè)規(guī)劃的制定，以及信息安全的日常管理工作，其成員主要來(lái)自于信息化工作部門(mén)，也包括行政、人事等部門(mén)相關(guān)人員參與。執(zhí)行機(jī)構(gòu)在管理機(jī)構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)保證信息安全技術(shù)的有效運(yùn)行及日常維護(hù)，其成員主要由信息化工作部門(mén)相關(guān)技術(shù)人員及其他相關(guān)職能部門(mén)的信息安全員組成。信息安全組織機(jī)構(gòu)應(yīng)對(duì)醫(yī)院信息安全工作進(jìn)行科學(xué)規(guī)劃，經(jīng)常進(jìn)行不定期的信息安全檢查、評(píng)估和應(yīng)急安全演練。其中對(duì)那些嚴(yán)重危及醫(yī)院信息安全的行為應(yīng)進(jìn)行重點(diǎn)管理和監(jiān)督，明確信息安全責(zé)任制，從而保證信息安全各項(xiàng)工作的有效貫徹與落實(shí)。

(2)信息安全策略是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的基礎(chǔ)。其具體制定應(yīng)依據(jù)國(guó)家信息安全戰(zhàn)略的方針政策、法律法規(guī)，遵循指導(dǎo)性、原則性、可行性、動(dòng)態(tài)性等原則，按照醫(yī)療行業(yè)標(biāo)準(zhǔn)規(guī)范要求，并結(jié)合醫(yī)院自身的具體情況來(lái)進(jìn)行，由總體方針與分項(xiàng)策略兩個(gè)層次組成，內(nèi)容涵蓋技術(shù)層、管理層等各個(gè)層面的安全策略，最終實(shí)現(xiàn)“進(jìn)不來(lái)、拿不走、看不懂、改不了、逃不掉”的安全防御目的，即在訪問(wèn)控制機(jī)制方面做到“進(jìn)不來(lái)”、授權(quán)機(jī)制方面做到“拿不走”、加密機(jī)制方面做到“看不懂”、數(shù)據(jù)完整性機(jī)制方面做到“改不了”、審計(jì)/監(jiān)控/簽名機(jī)制方面做到“逃不掉”。

(3)信息安全管理是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的保障。它包括人員管理、技術(shù)管理和操作管理等方面。當(dāng)前中國(guó)數(shù)字化醫(yī)院在信息安全管理中普遍存在的問(wèn)題:在安全管理中對(duì)人的因素重視不夠、缺乏懂得管理的信息安全技術(shù)人員、信息安全意識(shí)不強(qiáng)、員工接受的教育和培訓(xùn)不夠、安全管理中被動(dòng)應(yīng)付的較多等。因此，數(shù)字化醫(yī)院一方面應(yīng)加強(qiáng)全員信息安全意識(shí)，加大信息安全人員的引進(jìn)、教育與培訓(xùn)力度，提高信息安全管理水平;另一方面應(yīng)制定具體的信息安全管理制度，以規(guī)范與約束相關(guān)人員行為，保證信息安全總體策略的貫徹與信息安全技術(shù)的實(shí)施。

(4)信息安全技術(shù)是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的關(guān)鍵。數(shù)字化醫(yī)院信息安全建設(shè)涉及防火墻、防病毒、黑客追蹤、日志分析、異地容災(zāi)、數(shù)據(jù)加密、安全加固和緊急響應(yīng)等技術(shù)手段，它們貫穿于信息安全預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)與反擊六個(gè)環(huán)節(jié)。數(shù)字化醫(yī)院應(yīng)切實(shí)加強(qiáng)這六個(gè)環(huán)節(jié)的技術(shù)力量，確保其信息安全得以實(shí)現(xiàn)，具體體現(xiàn)在:①預(yù)警。醫(yī)院應(yīng)通過(guò)部署系統(tǒng)監(jiān)控平臺(tái)，實(shí)現(xiàn)對(duì)路由器、交換機(jī)、服務(wù)器、存儲(chǔ)、加密機(jī)等系統(tǒng)硬件、操作系統(tǒng)和數(shù)據(jù)庫(kù)等系統(tǒng)軟件以及各種應(yīng)用軟件的監(jiān)控和預(yù)警，實(shí)現(xiàn)設(shè)備和應(yīng)用監(jiān)控預(yù)警;或采用入侵防御系統(tǒng)，分析各種安全報(bào)警、日志信息，結(jié)合使用網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)，實(shí)現(xiàn)對(duì)各種安全威脅與安全事件的預(yù)警;并將這些不同層面的預(yù)警，統(tǒng)一到一套集中的監(jiān)控預(yù)警平臺(tái)或運(yùn)維管理平臺(tái)，實(shí)現(xiàn)統(tǒng)一展現(xiàn)和集中預(yù)警。②保護(hù)。主要包括物理安全、系統(tǒng)安全與網(wǎng)絡(luò)通信安全等方面的安全保護(hù)。對(duì)于中心機(jī)房、交換機(jī)、工作站、服務(wù)器等物理設(shè)備的安全防護(hù)，主要注意防水、防雷、防靜電以及雙機(jī)熱備等安全防護(hù)工作。系統(tǒng)安全主要包括操作系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)等的安全防護(hù)。操作系統(tǒng)的主要風(fēng)險(xiǎn)在于系統(tǒng)漏洞和文件病毒等。為此，醫(yī)院需運(yùn)用防火墻技術(shù)控制和管理用戶訪問(wèn)權(quán)限，并定期做好監(jiān)視、審計(jì)和事件日志記錄和分析。所有工作站應(yīng)取消光驅(qū)軟驅(qū)，屏蔽USB接口，同時(shí)為各個(gè)客戶端安裝殺毒軟件，并及時(shí)更新，從源頭上預(yù)防系統(tǒng)感染病毒。數(shù)據(jù)庫(kù)安全涉及用戶安全、數(shù)據(jù)保密與數(shù)據(jù)安全等。為此，需對(duì)數(shù)據(jù)庫(kù)進(jìn)行權(quán)限設(shè)置。對(duì)于關(guān)鍵數(shù)據(jù)，應(yīng)進(jìn)行加密存儲(chǔ)。對(duì)于重要數(shù)據(jù)庫(kù)應(yīng)做好多種形式的備份工作，如本地備份與異地備份、全量備份與增量備份等，以保證數(shù)據(jù)萬(wàn)無(wú)一失。對(duì)于網(wǎng)絡(luò)通信安全防護(hù)，醫(yī)院網(wǎng)絡(luò)應(yīng)采用物理隔離的雙網(wǎng)架構(gòu)，如果內(nèi)網(wǎng)確需開(kāi)展對(duì)外的WWW等服務(wù)，應(yīng)單獨(dú)設(shè)置VLAN，結(jié)合防火墻設(shè)備，通過(guò)設(shè)置DMZ的方式實(shí)現(xiàn)與外界的安全相連。同時(shí)，醫(yī)院應(yīng)合理的設(shè)置網(wǎng)絡(luò)使用權(quán)限，嚴(yán)格進(jìn)行用戶網(wǎng)絡(luò)密碼管理，防止越權(quán)操作。③檢測(cè)。檢測(cè)是從監(jiān)視、分析、審計(jì)信息網(wǎng)絡(luò)活動(dòng)的角度，發(fā)現(xiàn)對(duì)于信息網(wǎng)絡(luò)的攻擊、破壞活動(dòng)，提供預(yù)警、實(shí)時(shí)響應(yīng)、事后分析和系統(tǒng)恢復(fù)等方面的支持，使安全防護(hù)從單純的被動(dòng)防護(hù)演進(jìn)到積極的主動(dòng)防御。前述防護(hù)系統(tǒng)能阻止大部分入侵事件的發(fā)生，但是它不能阻止所有的入侵。因此安全策略的另一個(gè)重要屏障就是檢測(cè)。常用工具是入侵檢測(cè)系統(tǒng)(IDS)和漏洞掃描工具。利用入侵檢測(cè)系統(tǒng)(IDS)對(duì)醫(yī)院系統(tǒng)信息安全狀況進(jìn)行實(shí)時(shí)監(jiān)控，并定期查看入侵檢測(cè)系統(tǒng)生成的報(bào)警日志，可及時(shí)發(fā)現(xiàn)信息系統(tǒng)是否受到安全攻擊。而通過(guò)漏洞掃描工具，可及時(shí)檢測(cè)信息系統(tǒng)中關(guān)鍵設(shè)備是否存在各種安全漏洞，并針對(duì)漏洞掃描結(jié)果，對(duì)重要信息系統(tǒng)及時(shí)進(jìn)行安全加固。④響應(yīng)。主要包括審計(jì)跟蹤、事件報(bào)警、事件處理等。醫(yī)院應(yīng)在信息系統(tǒng)中部署安全監(jiān)控與審計(jì)設(shè)備以及帶有自動(dòng)響應(yīng)機(jī)制的安全技術(shù)或設(shè)備，當(dāng)系統(tǒng)受到安全攻擊時(shí)能及時(shí)發(fā)出安全事故告警，并自動(dòng)終止信息系統(tǒng)中發(fā)生的安全事件。為了確保醫(yī)院正常的醫(yī)療服務(wù)和就醫(yī)秩序，提高醫(yī)院應(yīng)對(duì)突發(fā)事件的能力，醫(yī)院還應(yīng)成立信息安全應(yīng)急響應(yīng)小組，專(zhuān)門(mén)負(fù)責(zé)突發(fā)事件的處理，當(dāng)醫(yī)院信息系統(tǒng)出現(xiàn)故障時(shí)，能迅速做出響應(yīng)，從而將各種損失和社會(huì)影響降到最低。其他事件處理則可通過(guò)咨詢、培訓(xùn)和技術(shù)支持等得到妥善解決。⑤恢復(fù)。主要包括系統(tǒng)恢復(fù)和信息恢復(fù)兩個(gè)方面。系統(tǒng)恢復(fù)可通過(guò)系統(tǒng)重裝、系統(tǒng)升級(jí)、軟件升級(jí)和打補(bǔ)丁等方式得以實(shí)現(xiàn)。信息恢復(fù)主要針對(duì)丟失數(shù)據(jù)的恢復(fù)。數(shù)據(jù)丟失可能來(lái)自于硬件故障、應(yīng)用程序或數(shù)據(jù)庫(kù)損壞、黑客攻擊、病毒感染、自然災(zāi)害或人為錯(cuò)誤。信息恢復(fù)跟數(shù)據(jù)備份工作密切相關(guān)，數(shù)據(jù)備份做得是否充分影響到信息恢復(fù)的程度。在信息恢復(fù)過(guò)程中要注意信息恢復(fù)的優(yōu)先級(jí)別。直接影響日常生活和工作的信息必須先恢復(fù)，這樣可提高信息恢復(fù)的效率。另外，恢復(fù)工作中如果涉及機(jī)密數(shù)據(jù)，需遵照機(jī)密系統(tǒng)的恢復(fù)要求。⑥反擊。醫(yī)院可采用入侵防御技術(shù)、黑客追蹤技術(shù)、日志自動(dòng)備份技術(shù)、安全審計(jì)技術(shù)、計(jì)算機(jī)在線調(diào)查取證分析系統(tǒng)和網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)等手段，進(jìn)行證據(jù)收集、追本溯源，實(shí)現(xiàn)醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)遭遇不法侵害時(shí)對(duì)各種安全威脅源的反擊。