信息安全审计报告篇1

防火墙、UTM、防病毒软件、防后门、防蠕虫各种安全技术和产品层出不穷，但是他们只能防范外部安全问题，对于企业组织中内部人员所造成的严重攻击，这些是无能为力的，此时，网络安全审计系统的作用就显得尤为重要。

通过使用网络安全审计系统，可以将管理人员从繁杂、枯燥的IT内审中解放出来，最大程度上降低IT内审工作的工作量、以满足组织机构内外部合规性要求、全面体现管理者对业务系统信息资源的全局把控和调度能力。

决策部门在系统的帮助下可以寻找到治理业务系统的决策依据，并且定夺治理业务系统的先后顺序，以及重要紧急程度等等一系列审计工作。

为什么需要面向业务的信息安全审计?

面向业务的信息安全审计系统，顾名思义，是对用户业务的安全审计，与用户的各项应用业务有密切的关系，是信息安全审计系统中重要的组成部分，它从用户的业务安全角度出发，思考和分析用户的网络业务中存在的脆弱和风险。

我们不妨先看两个鲜活的案例。不久前，中国青年报报道，上海一电脑高手，方某今年25岁，学的是计算机专业，曾是某超市分店资讯组组长。方某利用职务之便，设计非法软件程序，进入超市业务系统，即超市收银系统的数据库，通过修改超市收银系统的数据库数据信息，每天将超市的销售记录的20％营业款自动删除，并将收入转存入自己的账户。从2004年6月至2005年8月期间，方某等人截留侵吞超市3家门店营业款共计397万余元之多。

程某31岁，是X公司资深软件研发工程师，从2005年2月，他由A地运营商系统进入B地运营商的业务系统――充值中心数据库，获得最高系统权限，根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥，然后把“已充值”状态改为“未充值”，并修改其有效日期，激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出，非法获利380万。

通过上述两个案例，我们不难发现，内部人员，包括内部员工或者提供第三方IT支持的维护人员等，他们利用职务之便，违规操作导致的安全问题日益频繁和突出，这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题，但是，对于这类与业务息息相关的操作行为、违规行为的安全问题，必须要有强力的手段来防范和阻止，这就是针对业务的信息安全审计系统所能够带给我们的价值。

用户需求

事实上，一项针对业务系统的审计产品的评价手段有很多，理论上讲，有从审计准确精确度人手做评价的，也有从审计行为的广度入手做评价的，可是，无论以什么方式评价一款针对业务系统的审计产品，从审计行为的结果一报告来评价是比较科学的。比如，我们以银行的业务为例，银行的业务主页有银行传统业务、银行中间业务、电子银行业务三大类业务，第一类业务，是银行传统业务，主要包括了会计业务，即主要受理对公业务、面向工商客户、以转账业务为主等；出纳业务，即包括了受理现金业务等；对私业务、还有授信业务，即包括了工商客户和个人客户贷款的发放和收回逾期、呆账、呆滞账务的处理和追溯等。第二类，银行的中间业务包括了：代收、电信公司的各类费用；代付企业的工资、基金购买、银行承兑等业务；第三类，电子银行业务主要包括了：网上银行、电话银行等，他们都是银行作为电子商务中资金流的一方，所有的这些业务都有大量的后台IT信息支撑系统作为支撑。

技术视野

业务网络审计系统是基于应用层内容十本技术衍生出的一种强化IT风险管理的应用模式，它需要对应用层的协议、网络行为等信息进行解析、识别、判断、记录、呈现，以达到监控违规网络行为、降低IT操作风险的目的。

显然，一个针对业务系统的审计必须承担鉴证、保护和证明三方面的作用，从技术角度看，审计系统需要审计的信息量人，采集的数据量多，比如对基本网络应用协议审计进行详细的实时监控、审计，并可以对操作过程进行回放，对各类操作系统也需要审计，同时，还有一些OA操作的审计，在这些庞杂的信息量下，如果系统呈现的信息缺失、失真或错误，往往会给用户轻则带来决策失误，重则带来安全事件无法追究的窘境。由于报告成为了取证、追查、建立制度的重要依据，报告应该越细越好，因此，报告的细粒度就成为业务网络审计系统发展的必然。

政策推动

随着中国国际化程度的日益提高，国内许多规范也正在顺应国际化的趋势上发展，以SOX法案为例，在美上市的中资企业如中国移动集团公司以及下属分公司就面临着该法案的合规性要求，而商业银行同样也面临Basel协议的合规性要求，政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。

从2001年起，政府、电信业、金融业、大企业等都已经先后制定了相关的法律法规，这些规范、文件的出台，是对IT合规建设的必然选择，不得不让面向业务的审计系统应该向这些法律法规的“合规性要求”方向发展，这些也促成了报告在审计系统中扮演的角色。

面向业务的信息安全审计，正在被越来越多的行业和机构所重视，它代表着由传统信息安全向业务信息安全领域纵深发展的必然的趋势。

当今信息安全领域，我们已经不能简单地认为，只要有防火墙、IDS、IPS、内网管理等系统的上线就可以解决网络安全问题，我们更不能简单地认为，由于各类业务系统应用在安全防护下就不会有任何安全风险。事实上，正是面向业务的信息系统安全审计系统开启了我们从传统安全领域向业务安全领域思考的一扇窗户，它把我们理解的信息安全思路引向了一个更加贴合业务应用、更加贴合业务管理的角度来看待信息安全。

信息安全审计报告篇2

一、项目的开发背景及公安消防部队审计现状

(一)项目开发背景

随着计算机和网络技术的快速发展，信息时代已经到来，在审计领域，会计信息化使审计信息、审计方法、审计技术发生了根本性变化，传统的审计方式和手段已不能适应会计信息电子化的形势，如何不辜负各级党委领导对审计工作的希望，切实在全面建设小康社会、全面加强部队建设等方面更好发挥审计监督作用，是摆在审计部门面前的首要课题。按照国家审计署审计信息化发展规划，审计信息化应逐步形成“预算跟踪+联网核查”的审计模式，实现审计监督的“三个转变”，即从单一事后审计转变为事后审计与事中审计相结合，从单一静态审计转变为静态审计与动态审计相结合，从单一现场审计转变为现场审计与远程审计相结合的总体要求，进一步提高审计质量和工作效率，规避审计风险，切实发挥审计部门“出效益、保廉政、促管理”作用。在此背景下，笔者认为应该把审计信息化建设纳入部队建设的重要议事日程，并提出了依托公安三级网络构建审计信息化平台的构想，通过研发审计软件推动全省消防部队审计工作的全面发展，不断加强审计监督，实现审计工作的信息化、网络化建设。

(二)公安消防部队审计现状

经过调查研究，公安消防部队主要设有公安部消防局、省总队两级审计机构，市支队没有审计机构，仅有部分专兼职审计员，存在着监督网络不健全，审计人员偏少、审计任务繁重、审计资源整合度不高的问题，计算机辅助审计和运用网络远程审计作业与管理的现代审计基本没有开展。尤其是消防部队财务信息化建设走在审计信息化建设的前列，早在十年前就开始使用会计软件进行核算与管理，而长期以来审计人员采用老式的审计查帐方法，不仅审计工作效率和质量较低，而且对审计工作风险的预见和控制程度不高，迫切需要以先进的审计信息化系统改变审计工作现状。

(三)公安消防部队审计信息化建设可行性分析

1.硬件环境

目前全国公安消防总队以上专职审计人员全部实现人手一台微机或笔记本电脑的配备，部分总队、支队专兼职审计人员实现了笔记本、台式机双配备，具备外出就地审计和在办公室远程审计的基础。尤其是近几年来，公安消防部队实施科技强警战略，加大了对基层基础设施建设的投入，各消防总队、支队硬件环境良好，拥有专用计算机机房和专用软件服务器，并且有专人负责管理，具有较高的稳定性和安全性。

2.软件和网络环境

各总队服务器软件平台主要依托WindowsServer操作系统，数据库采用SQLServer2000数据库系统。单机主要采用windowsxp或windows2000操作系统。各消防总队网络运行依托公安三级网络，省、市、县网络健全，基于BS架构的办公网络系统依托三级网运行良好，各总队自行开发的基于cs架构的消防业务相关软件也在正常运行。总队级软件环境和网络环境已经十分稳定和成熟。

3.财务软件运行状况

目前公安消防部队支队级以上单位大都使用财务软件主要包括武警部队财务管理信息系统、武警消防票据管理系统、银行账户管理系统、用友NC、用友U8、事行财务软件等，其中用友NC财务软件是在各总队服务器上使用，武警部队财务管理信息系统和武警消防票据管理系统已在部局、总队、支队和独立核算的大队四级单位应用(一些大队也在使用票据管理系统)。消防部队正在对各省财务软件进行统一和规范，逐步实现以武警部队财务管理信息系统为主的财务软件运行模式，目前武警部队财务管理信息系统已经开发了部队行政经费账套、消防业务经费账套、基建经费账套，基本满足了消防部队财务工作现状。武警部队财务管理信息系统是基于SQLserver数据库设计开发的财务应用软件，对于审计所需基础数据的采集极为有利。

目前消防部队各级单位硬件软件环境配备和财务软件应用、网络运行状况，可以实现远程财务数据和业务数据采集、远程审计和联网监控等审计功能，已经具备了审计信息化建设的基本条件。

二、项目的预期目标及效益分析

(一)项目的预期目标

在金盾工程的整体规划下，全面推进信息技术在消防部队审计工作中的应用，进一步将审计人员从繁重的手工审计中解放出来，促进审计工作的规范化建设，提高审计工作效率，节约审计资源，完成审计工作机制和体制创新，更好的发挥审计监督职能作用。

(二)审计软件开发的效益

通过开发审计作业系统、审计信息管理系统和联网审计系统，实现网上审计、远程审计、远程审计指导与管理、实时监控、网上数据传输等功能，完成审计监督的“三个转变”，保证各类审计业务数据采集、传输的顺畅、有效，同时推进消防审计管理和消防审计行为的透明、规范、高效，进一步提高审计质量，规避审计风险，从源头上预防和遏制经济活动违法违纪行为，避免资金使用损失浪费，发挥预警监督和保障作用。

三、项目的主要建设内容

公安消防部队计算机审计信息系统按照审计作业系统、审计信息管理系统、联网审计系统三部分进行设计，分别满足审计工作业务、管理和联网审计的需要。

(一)审计作业系统

审计作业系统主要是为满足日常审计需要而设计的。作业系统按照审计工作开展顺序设计了审计工作流程，分别为数据采集转换、审计项目建立和审计项目作业。审计工作流程设计能够引导审计人员按照流程步骤实施审计项目，操作起来更加直观、方便、快捷。在数据采集转换上，系统提供了强大的采集转换工具，数据采集不仅支持总队、支队目前常用的财务软件，同时还提供了市面上流行的常用200余种财务软件采集接口，能够满足采集工作需要;数据转换全面支持国家标准数据的引入，以及消防部队支队以上单位目前使用的财务软件的现状，较为智能化地完成数据转换、科目库处理、分类账处理、自动生成科目余额表和会计报表，能够实现自动账证核对、账表核对、账账核对、凭证检查等功能。系统还提供了功能强大的审计查账工具和查账专家功能，审计人员可以根据业务工作需要定制各种查账方案，也可以根据实地检查需要自行设定查账条件，充分利用软件内置的计算、对比和分析功能，账务查询分析更加科学。同时作业系统具备合同审计、预算审计、固定资产审计、专项审计调查等功能，进一步拓展了审计工作范围，基本涵盖了审计工作的方方面面。对审计作业系统具体内容分别从以下三个方面进行具体说明。

1.数据的获取和数据转换设计

针对目前消防部队使用的财务软件，审计信息系统可以提供多种数据获取的方式。一是能实现联网取数(见图1)，即通过公安网络实现取数接口直接连接财务软件数据库，完成取数工作;二是能实现利用定期备份的数据取数。即通过将备份数据恢复到本地计算机，再通过审计软件从本机取数;三是能够单机取数(见图2)，即使用审计软件的取数工具在财务服务器上将数取出来之后利用移动存储工具拷贝到审计服务器上。四是利用智能客户端取数。即在被取数单位的机器上安装智能客户端。客户端可以按照设定的时间自动采集数据，数据采集完成后客户端将采集的数据自动上传至审计服务器。

2.审计项目的建立设计

审计项目建立是审计作业工作的一项重要内容，审计信息系统按照设计了方便实用的项目建立流程。审计人员可以按照流程顺利完成建项工作，建项过程中审计人员可以选择项目类别、项目阶段、参与项目的人员及相关职责、所需要的账套数据等。项目建立完成后所选人员可以按照不同的职责权限对项目下挂的账套数据实施审计查账。

3.审计项目作业功能设计

审计作业系统按照审计工作流程分为“审前准备阶段”、“审计实施阶段”和“审计终结阶段”。

①审计准阶段

审计准备阶段包括：“计划管理”、“项目管理”两项功能，对审计项目的开展，提供“资料准备”、“项目准备”、“历史资料查看”、“审前调查”的服务功能。

②审计实施阶段

审计实施阶段功能模块为审计人员提供了在现场作业过程中对审计对象财务数据运用“审计工具”相关功能实施分析、查询、复算等操作支持服务。同时定制了三项审计工作流程，即：“审计工作流程”、“审计程序流程”、“审计底稿流程”。审计工作流程的定制加强了对审计工作的管理，充分发挥审计软件的管理作用。

审计实施阶段的功能设置包括八个方面：即“获取资料管理”、“审计会议管理”、“审计谈话管理”、“内控测评管理”、“审计程序管理”、“工作底稿管理”、“工作底稿汇总管理”、“审计组交叉复核”

③审计终结阶段

审计终结功能模块主要提供对审计报告的制作、审计对象意见管理、审计报告呈批、审计报告批复的管理服务。

审计报告阶段的功能设置包括七个方面：即：“审计报告管理”、“征求意见管理”、“组外意见管理”、“审计报告呈批、“审计报告审批”、“审计作业结果管理”、“跟踪审计”。

(二)审计信息管理系统

审计信息管理系统主要为满足审计工作中对审计项目、审计档案、审计资源和审计业务工作的管理需要而设计的。其主要功能包括：基本信息管理、审计对象管理、业务计划管理;审计准备、审计实施、审计复核、审计终结阶段模板管理;审计档案管理管理、领导查询功能、台帐报表功能、审计支持功能、审计信息管理功能、公共信息管理、业务办公功能、网络教育功能、软件系统管理功能。以下分别说明。

基本信息：包括计划类别、审计方式、文书管理、项目类别;

审计对象：包括对象管理、行业信息;

业务计划：包括项目计划、计划列表、计划变更、备用计划、编号维护;

审计准备：包括工作方案、实施方案、审计通知书、下达项目数据;

审计实施：包括工作底稿、审计日记、其他实施文书、编号维护、提取作业数据;

审计复核：包括数据提取、复核管理、提交归档;

审计终结：包括审计报告、审计结果报告、审计报告征求意见书等;

档案管理：包括档案管理、借阅审批、可阅文档、档案案卷目录管理、档案目录分类维护;

领导查询：包括应上交、已上交、罚没查询、进度查询;

台帐报表：包括台帐录入、报表查询、设置(台帐字典、报表字典、单位信息、报表分类、报表插件);

审计支持：包括法律法规库、审计专家库、审计案例库、审计经验库、审计方法库;

审计信息管理：包括审计工作信息、审计信息通报、审计要情、大事月报、其它;

公共信息：包括公告栏、公共论坛、内部制度、通讯录、电子刊物、局内主页;

业务办公：包括未办事宜、在办事宜、已办事宜、阅件、外出代办、常用意见网络教育：提供多种培训方式，保证审计人员可以全天候，不受地域和空间限制地多层次培训。培训材料支持视频、培训文件和业务资料，实现网上远程培训教育;

网络教育：提供多种培训方式，保证审计人员可以全天候，不受地域和空间限制地多层次培训。培训材料支持视频、培训文件和业务资料，实现网上远程培训教育;

系统管理：系统配置、数据维护、数据接口、数据备份、部门定义、人员定义、流程定义、流向定义、角色定义、权限维护。

(三)联网审计系统

联网审计系统，要求实现作业的联网、审计对象的联网。实现从大队、支队到总队的财务数据联网。对于在网的财务系统可以实时的获取财物数据并进行在线的审计，对于不在线的财务数据建立报送通道，可以通过在线下达审计通知书的方式获得。

1.数据远程采集与传输

通过全国公安互联网络，公安部消防局与各省消防总队、总队与支队服务器等进行逐级网络互连，实行定期或实时采集审计需要的被审计单位或下一级单位数据，完成被审计单位数据的分配、权限管理以及加强监管的需要。

通过数据安全认证模块，保证数据采集、转输、存储的安全，数据采集仅仅采集与审计相关的账务系统数据。

2.数据转换系统

数据采集至联网审计系统中，由数据转换系统完成数据转换。数据转换不但全面支持消防部队内部使用的财务软件系统，如军财系统，还支持市面上流行的财务管理软件，如用友、金蝶、浪潮等，便于各级审计部门更好开展工作，进一步增强针对性。

3.联网审计业务基础平台

联网审计的远程取数与审计作业是全面联网审计信息化建设的基础，是实现各级审计部门管理应用的切入点。要建设一个可扩展性、功能强、标准化、高度集成的软件工作平台，满足与审计部门各类信息管理系统的互通协同、与审计作业软件数据交互的要求，为实现业务事务一体化管理模式打下基础。

架构能承载总队、支队各项业务的作业平台，整合总队现有信息资源、硬件、网络资源，建设一整套优秀的服务器及网络设备、搭建一个内部信息沟通及工作信息沟通的优秀网络。

4.审计预警监控

基于安全、经济、便捷的网络条件，建设各省对所属部队财务活动进行实时审计监控系统，实现监督的无“缝隙”。各省消防总队审计部门随时可以对所属消防支队的财务的核算执行情况进行监督，及时收集掌握被审计单位的最新会计信息和有关经济业务信息，并实时审计监督，审计的时效性将大大提高。审计从事后审计转变为实时审计，并从静态审计走向动态审计。

审计预警监控主要包括为七大功能，即：预警初始化、科目使用规范性预警、科目余额方向正确性预警、挂帐科目预警、大额支出预警、较大增幅支出预警、资产负债表预警。在获得必要权限的前提下，利用审计接口软件实施网络审计，可以完整、快速地获取被审计单位会计和经济业务数据，并作进一步的计算、分析、检查和核对，大大减少审计人员的审计工作量和审计成本，提高审计效率。

信息安全审计报告篇3

关键词：涉密网络；安全审计；主机审计；系统设计

1引言

随着网络与信息系统的广泛使用，网络与信息系统安全问题逐渐成为人们关注的焦点。

涉密网与因特网之间一般采取了物理隔离的安全措施，在一定程度上保证了内部网络的安全性。然而，网络安全管理人员仍然会对所管理网络的安全状况感到担忧，因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应，单个用户计算机的安全性不足时刻威胁着整个网络的安全[1]。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。

本文从系统的、整体的、动态的角度，参照国家对安全审计产品的技术要求和对部分主机审计软件的了解，结合实际的信息安全管理需求，讨论主机审计系统的设计，达到对终端用户的有效管理和控制。

2安全审计概念。

计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性，简称“五性”，安全审计是这“五性”的重要保障之一[2]。

凡是对于网络信息系统的薄弱环节进行测试、评估和分析，以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段，都可以叫做安全审计[3]。

传统的安全审计多为“日志记录”，注重事后的审计，强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变，美国首先在信息保障技术框架（iatf）中提出在信息基础设置中进行所谓“深层防御策略（defense2in2depthstrategy）”，对安全审计系统提出了参与主动保护和主动响应的要求[4]。这就是现代网络安全审计的雏形，突破了以往“日志记录”

等浅层次的安全审计概念，是全方位、分布式、多层次的强审计概念，符合信息保障技术框架提出的保护、检测、反应和恢复（pdrr）动态过程的要求，在提高审计广度和深度的基础上，做到对信息的主动保护和主动响应。

3主机审计系统设计。

安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作，并从已有的主机系统审计记录中提取信息，依据审计规则分析判断是否有违规行为。

一般网络系统的主机审计多采用传统的审计，涉密系统的主机审计应采用现代综合审计，做到对信息的主动保护和主动响应。因此，涉密网络的主机审计在设计时就应该全方位进行考虑。

3.1体系架构。

主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为b/s架构，管理端通过浏览器访问控制中心。对于管理端，其操作系统应不限于windows,浏览器也不是只有ie。管理端地位重要，应有一定保护措施，同时管理端和控制中心的通讯应有安全保障，可考虑隔离措施和shttp协议。

主机审计能够分不同的角色来使用，至少划分安全策略管理员、审计管理员、系统管理员。

安全策略管理员按照制定的监控审计策略进行实施；审计管理员负责定期审计收集的信息，根据策略判断用户行为（包括三个管理员的行为）是否违规，出审计报告；系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录，对系统的操作互相配合，同时互相监督，既方便管理，又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心，所有信息都保存在控制中心。因此，控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警，提醒管理员及时备份并删除信息，保证审计系统能够采集新的信息。

3.2安全策略管理。

不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩，体现安全管理意志。在审计系统上实施安全策略前，应根据安全管理思想，结合审计系统能够实现的技术途径，制定详细的安全策略，由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善，审计越彻底，越能反映主机的安全状态。

主机审计的安全策略由控制中心统一管理，策略发放采取推拉结合的方式，即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时，控制中心可以及时将策略发给受控端。但是，当受控端安装了防火墙时，推送方式将受阻，安全策略发送不到受控端。由受控端向控制中心定期拉策略，可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机（服务器、联网pc机）通过网络接收控制中心的管理策略向控制中心传递审计信息。单机（桌面pc或笔记本）通过外置磁介质（如u盘、移动硬盘）接收控制中心管理策略。审计信息存放在主机内，由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用ssl加密方式传输，确保数据在传输过程中不会被篡改或欺骗。

为了防止受控端脱离控制中心管理，受控端程序应由安全员统一安装在受控主机，并与受控主机的网卡地址、ip地址绑定。该程序做到不可随意卸载，不能随意关闭审计服务，且不影响受控端的运行性能。受控端一旦安装受控程序，只有重装操作系统或由安全员卸载，才能脱离控制中心的管理。联网时自动将信息传到控制中心，以保证审计服务不会被绕过。

3.3审计主机范围。

涉密信息系统中的主机有联网主机、单机等。常用操作系统包括windows98,windows2000,windowsxp,linux,unix等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等，实现使用同一软件解决联网机、单机、笔记本的审计问题。

根据国家有关规定，涉密信息系统划分为不同安全域。安全域可通过划分虚拟网实现，也可通过设置安全隔离设备（如防火墙）实现。主机审计系统应考虑不同安全域中主机的管理和控制，即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心，以便统一进行审计。同时能给出简单网络拓扑，为管理人员提供方便。

3.4主机行为监控。

一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多，不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能，主要用于检查终端的安全策略执行情况，包括补丁安装、弱口令、软件安装、杀毒软件安装等，形成检查报告，让使用人员对本机的安全状况有一个清楚的认识，从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。

主机审计系统对使用受控端主机人员的行为进行限制、监控和记录，包括对文档的修改、拷贝、打印的监控和记录，拨号上网行为的监控和记录，各种外置接口的禁止或启用（并口、串口、usb接口等）,对usb设备进行分类管理，如usb存储设备（u盘，活动硬盘）、usb输入设备（usb键盘、鼠标）、usb2key以及自定义设备。通过分类和灵活设置，增强实用性，对受控主机添加和删除设备进行监控和记录，对未安装受控端的主机接入网络拒绝并报警，防止非法主机的接入。

主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息；未通过认证的非法介质只能将信息拷入主机内，不能从主机拷出信息到介质内，否则产生报警信息，防止信息被有意或者无意从存储设备（尤其是移动存储设备）泄漏出去。在认证时，把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时，判断信息密级（国家有关部门规定，涉密信息必须有密级标识）,拒绝低密级介质拷贝高密级信息。

在认证时，把移动介质编号，编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号，以便审计时介质与人对应。涉密信息被拷贝时会自动加密存储在移动介质上，加密存储在移动介质上的信息也只能在装有受控端的主机上读写，读写时自动解密。认证信息只有在移动介质被格式化时才能清除，否则无法删除。有防止系统自动读取介质内文档的功能，避免移动介质接在计算机上（无论是合法还是非法计算机）被系统自动将所有文档读到计算机上。

3.5综合审计及处理措施。

要达到综合审计，主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理，如主机ids、主机防火墙、防病毒软件等，将这些安全产品的日志、安全事件集中收集管理，实现日志的集中分析、审计与报告。同时，通过对安全事件的关联分析，发现潜在的攻击征兆和安全趋势，确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体，实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应，从而有效提升用户主机的可管理性和安全水平，为整体安全策略制定和实施提供可靠依据。

系统的安全隐患可以从审计报告反映出来，因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计，按要求显示并打印出来，能用图形说明问题，能按标准格式（word、html、文本文件等）输出。但是，审计信息数据多，直接将收集的信息分类整理形成的报告不能很好的说明问题，还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密，恢复时自动解密。审计信息也可以删除，但是删除操作只能由审计员发起，经安全员确认后才执行，以保证审计信息的安全性、完整性。

审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理，通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统，由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突，会影响终端用户的工作。针对这种情况，只能采取专门的解决方案。

在复杂的网络环境中，一个涉密网往往由不同的操作系统、服务器，防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后，专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准，会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务，将控制中心设置为标准时间，受控端在接收管理的同时，与控制中心保持时间同步，实现审计系统的时间一致性，从而提供有效的入侵检测和事后追查机制。

4结束语

涉密系统的终端安全管理是一个非常重要的问题，也是一个复杂的问题，涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想，旨在与广大同行交流，共同推进主机审计系统的开发和研究，最终开发出一个全方位的符合涉密系统终端安全管理需求的系统。

参考文献：

[1]网络安全监控平台技术白皮书。北京理工大学信息安全与对抗技术研究中心，2005.

[2]王雪来。涉密计算机信息系统的安全审计。见：中国计算机学会信息保密专业委员会论文集，13:67-72.

信息安全审计报告篇4

政府审计预警机制应该由预警系统、信息系统、干预系统及反馈调节机制构成，具体构成如下图所示。

二、预警系统

（一）预警指标

在政府审计对国家经济安全信息进行分析之前，需要建立一套可靠的预警指标体系。以此为依据，方可对获得的审计信息进行标准化的评估，得出准确的结论。指标的选取必须全面精准，科学有效，从本质上认清各种经济安全问题发生的原理以及各类因素对经济安全的影响和作用。

1.指标选取的原则。

（1）覆盖全面，可靠性高。国家经济安全影响因素复杂多样，指标在构建时需要从各个方面对其进行反映，缺少某个方面极有可能导致预测结果与事实有很大偏差。因此，指标选择时必须全面覆盖各个方面，范围必须要宽。同时，指标选取时应尽可能与经济安全关系密切。通过确保指标的可靠性，防止由其他非经济因素对指标的变动造成过大影响。

（2）相互独立，突出重点。指标在选取时应保证每个预警指标的独立性，防止指标之间相互重复，相互影响，确保在数据统计时指标之间的相关性较低，能独立的反应经济安全状况。同时，不同指标对经济安全的影响程度不同，指标选取应该主次分明，重要指标重点关注，影响较小的指标尽可能忽略以精简指标体系，从而节约大量人力物力财力，提高预警效率，使每一个指标发挥出最大效用。

（3）数据规范，可测性强。指标设计时应与国际国内中央银行预警采用的指标相一致，以便审计数据的分析比较和研究，同时应参考现行的相关制度，保证与国际国内最新指标接轨。可测性就是指标的数据便于量化，可以对国家经济安全进行准确预警，主要表现在监测指标的数据可以通过相应的统计方法来获取，统计数据与国家经济安全之间的关系可以通过统计学方法进行测算。

（4）灵敏度高，实时更新。国家经济安全面临形势复杂多样，经济环境快速变化，不同指标对经济变化的敏感性不同，应该保证所选取的指标灵敏度高，对经济环境变化的细微变化能从数据上及时体现。同时要强调指标的及时更新，对金融环境和经济活动的发展应及时完善添加新的指标，对落后过时的旧指标进行过滤淘汰。

2.指标内容选取。

根据以上原则，结合现阶段经济形势，设立以下预警指标：

（1）财政金融指标。包括财政和金融两个方面的内容，从宏观层面上对经济安全进行反映。财政金融指标主要通过货币流通失控、金融机构营运风险、经济泡沫风险、政府债务风险和外汇储备风险等指标进行反映。

（2）社会人员指标。包括社会和人员两个方面的内容，对社会矛盾比较尖锐的经济问题和与人民群众联系紧密的民生问题密切关注。主要通过收入分配风险、社会保障风险、就业率等指标反映。

（3）外贸经济指标。对对外贸易经济进行评价与考查，主要通过外资风险、外贸依存度和外贸摩擦等指标反映。

（4）资源安全指标。包括与日常生活密切相关的资源，主要通过能源安全、粮食安全、水安全和生产资料安全等指标反映。

（5）生态环境指标。根据习主席“绿水青山就是金山银山的生态指示精神，对生态环境建设加大关注力度，主要通过环境监测、污染治理、生态建设等指标反应。

（6）其他安全指标。以上指标并未包括的指标，如信息安全、国有资产安全等指标。

（二）安全等级及警级设定

预警指标确定之后，需要对数据进行分析处理，并确定经济安全危机等级。对不同程度的危机实行不同程度的判定，可以更有效的找到对应的解决办法，提高危机处理效率。通过借鉴国内外关于危机分级管理相关研究，将经济安全等级分为以下5个等级，并同时对应5个预警警级，如表1所示。

1.安全：各方面指标均显示正常状态，不存在任何安全隐患。对应的预警警级为无警级，用绿色表示。

2.比较安全：存在安全隐患，但问题影响不大，如果引发问题，造成的损失在可承受范围内，各方面维持水平较好。对应的预警警级为较轻，用蓝色表示。

3.相对安全：大部分情况下处于安全情况，但当经济中发生严重危害安全的重大事件时，有引发重大损失的可能性，但概率不高。对应的预警警级为一般，用黄色表示。

4.缺乏安全：存在大量不安全隐患，若不能及时消除，必将引发重大损失。对应预警警级为严重，用橙色表示。

5.十分不安全：危险等级达到最高等级，安全隐患达到危急的程度，随时都有可能引发重大危机。对应预警警级为特别严重，用红色表示。

三、信息系统

信息化是当今社会的鲜明主题，政府审计本身就是经济信息连续运行的一个过程，一旦脱离信息将寸步难行。因此，政府审计必须紧跟社会经济发展的步伐，时刻掌握社会最新经济动向；同时要对获得的信息进行评估处理，将最终结论提供给决策机构，以方便管理层对经济问题进行决策，充分发挥出政府审计对国家经济安全的事前维护功能，从而有效改善国民经济运行状况。

政府审计信息系统集信息收集、信息评估、信息处理为一体，根据预警系统制定的预警指标，具体问题的安全度及预警警级。

（一）信息收集

政府审计部门根据信息收集的计划去收集所需信息，在收集过程中，通常会出现计划之外的新情况、新问题，需要及时调整计划方案，在原有的基础上对信息采取补充收集以及更进一步的追踪收集；在直接调查收集信息的同时，还要通过间接手段收集资料，之后对直接资料和间接资料进行整合，如将政府审计与社会审计的结果相结合，以尽力确保审计信息的完整性、全面性、有效性。

（二）信息评估

政府审计部门对上一步收集来的审计信息采取分析活动。信息评估人员先要对审计信息进行描述，通过统计报表、调查报告、资料汇编等形式进行书面整理；之后将审计信息进行分类处理，避免遗漏审计信息并判断审计信息的重要程度，再对重要信息进一步分析；同时要对信息的真伪以及是否具有代表性进行鉴定与筛选，可以通过对信息来源以及信息本身的可靠性进行判别。

（三）信息处理

政府审计部门对评估后的信息进行处理，将分析汇总后的数据和建立的预警系统进行匹配，对各个预警指标进行计算，之后把计算所得数据与安全度和预警警级相对应，最终得出具体问题的经济安全度与预警警级。

四、干预系统

确定安全度和警级后，政府审计部门要采取相应手段对经济运行机制中的对应环节进行干预，以发挥政府审计预警效能。

（一）审计报告

在对经济信息进行分析处理后，政府审计部门应定期国家经济安全评估报告。定期报告中应包括一份对国家经济安全总体形势的判断评估，包含各方面指标的简要数据分析，最终整合得出国家整体经济安全状况；同时对国家经济安全稳定影响较大的部分指标出具详细的专项报告，呈现一个评估周期内数据的具体变化情况，并分析走势情况，预测下阶段经济安全动向；对于波动较小的指标，可以二至三个周期出具一次审计报告，以确保指标的长期性和稳定性。

同时，由于经济环境的不稳定性和复杂性，政府审计部门在遇到如金融危机等特殊情况时，应立即采取应急预案，针对受影响产生大幅度波动的指标进行深入调查，出具不定期安全评估报告，以协助政府相关部门及时出台相应措施办法，并对问题环节进一步跟踪调查，直到问题解决，指标恢复正常水平。

（二）向政府提供意见和建议

目前，政府审计面临的经济安全环境日趋多变，相应的职能机能也需要根据形势变化而变化，不仅从微观上对财务财政进行具体的检测监督，同时也要从宏观角度对国家经济安全整体进行权衡、评价、提供决策建议等。政府审计部门在出具国家经济安全总体评估概况及专项审计报告后，应根据报告数据及内容得出的结论对政府部门进行预警，根据经济安全度和预警警级，按不同优先度对政府相关部门提出解决问题和完善安全管理系统的意见和建议，并从规章制度建立角度积极敦促立法机关进行改进，提出预防措施。

（三）对相关单位部门提出改进方案

政府审计部门在向政府层面建言献策的同时，应该根据评估报告中出现问题的倾向和苗头进行预警和预防，对具体环节寻责问责，指出该单位或部门具体违规违法情况，并结合行业特殊性对其提出实用性强的整改措施及改进方案，确保该单位或部门以后不会发生类似安全问题，以提高政府效能，达到政府审计预警效果。

五、反馈调节机制

在政府审计预警机制运行过后，应对运行结果进行相应评价并与以往运行效果进行对比，从而形成反馈调节机制。通过根据实际工作情况反映并总结经验教训，在反馈调节过程中需对预警系统、信息系统、干预系统的不完善之处进行修改。预警机制可以从修订预警指标、精确预警阈值、完善安全度及警级设定等方面提高；信息系统可以从加大信息收集渠道、优化信息评估方式、提高信息处理效率等方面加强；干预系统可以从调整报告周期、参与法规制度修改、加强与部门之间联系等方面改进。

政府审计与国家经济安全二者属于相互依存、相互影响的关系，政府审计功能发挥完善，国家经济安全状况得到有效维护，形成良好的经济环境，有助于经济运行健康有序、社会和谐，反过来同样改善政府审计的内外部环境，提高审计机构工作效率，促进审计事业的快速发展。因此，作为维护国家经济安全的最前沿阵地，加大政府审计预警机制建设至关重要。

参考文献：

[1]安广实,叶凡青.基于维护国家经济安全的审计预警机制构建[J].电子科技大学学报（社科版）,2011(05):59-64

[2]年志远,李丹.国家经济安全预警指标体系的构建[J].东北亚论坛，2008(06):75-76

[3]顾海兵,刘玮,周智高,刘陈杰.中国经济安全预警的指标系统[J].国家行政学院学报,2007(01):49-52

[4]李兆华，施泽军.政府审计维护国家金融安全预警体系构建及联动性分析[J].经济研究导刊，2010(02):139-140

信息安全审计报告篇5

一、对传统财务报告模式的分析

传统的财务报告模式是以三大财务报表（资产负债表、损益表、现金流量表）及其附注为主干，年报和中报为主要形式的分期财务报告模式。在这种模式下，企业会计以财务报告为内容、资产报告为核心、财务报表为主要表现形式对企业的资产使用。经营收益、现金流量状况财务信息进行确认表述和披露。这种传统的报告模式基本能适应工业经济时代经济发展的要求，能起到对经济的反映和监督作用，但是随着经济的发展，传统会计报告模式已经不适应知识经济特别是网络经济时代人们对会计信息的需求。

首先，由于企业经营活动的连续性，其会计信息的产生必然是连续不间断的，但是由于受到技术手段和信息生产成本、传输成本的限制，传统的会计报告模式只能以中报、年报等分期的形式来提供，这样，会计信息的披露只能是间断的。生产运动的连续性和财务信息披露的间断性之间的矛盾，使得会计信息的及时性受到了严重的挑战，其结果是：一方面当用户看到财务报告时，许多会计信息已是“遥远的历史”，从而失去了决策的相关性，而在网络时代，由干企业产品生产周期的缩短，企业原有市场份额或竞争优势可能在较短的时间内消失殆尽，加上衍生金融工具的广泛运用，一些表面财务状况良好的企业都有可能在短期内出现财务困难，甚至破产清算，以巴林银行破产案为例，1995年2月巴林银行因投机日经期货指数失败而宣布破产，而此时，巴林银行连1994年度的财务报告都尚未完成。在此环境下，传统财务报告模式的局限性可见一斑；另一方面，由于占信息优势的人可以利用信息披露的时间间隔进行内幕交易，造成投资者之间的信息不对称，破坏了证券市场信息公开、公平、公正的基本原则，损害了中小投资者的利益，同时使得证券市场的有效性大打折扣。这一点，从我国证券市场上很多庄股在中报年报公布前后的反常走势即可得到印证。

其次，网络经济的到来，使得传统财务报告模式下单纯用货币计量提供的会计信息越来越不能满足信息使用者的要求，信息使用者们期望财务报告能够提供更多的面向未来的非货币信息，这些信息对于信息使用者的投资决策有着重要的参考价值。如：人力资源信息、企业外部环境、地理环境等等，如果单纯用货币计量。这些信息都只能排除在财务报告之外。因此，必须改进计量手段，扩大财务报告的信息容量，增加非货币化的信息，为使用者提供完整、全面的财务信息。

二、实时财务报告系统的实现及特点

企业要实现网上实时财务报告系统，首先要在企业内部局域网（intranet）中实现企业的会计信息系统和管理信息系统的信息集成，这可以通过建立企业的中心数据库或称信息中心来实现，各信息子系统用户在终端上对企业经营活动和会计信息的记录，都将会在中心数据库中做出添加记录、更新记录、修改记录等操作；其次是将企业内部局域网（intranet）与国际互联网（internet）相连，建立自己的网站，网站中安装实时财务报告系统，而实时财务报告系统中所用到数据信息刚来源于企业内部局域网的中心数据库。这样就可以实现企业内部局域网和国际互联网上企业的网站之间的数据共享和同步更新。实时财务报告信息由网站技术人员对数据库信息进行网页化处理后上传到网站上供用户浏览，同时用户也可根据需求自己定制所需信息，通过asp（activeseverpages）等动态页面生成技术即时生成所需的财务信息页面。这样的网络实时财务系统具有以下的特点：

（1）信息提供的及时性。在信息高速公路上，由于企业网站上的财务信息直接来源于企业内部局域网中的中心数据库，这样，在任何时点，信息使用者都可以从网络上获得企业最新的财务报告，而不必等到一个会计期间结束后才可获得，即信息使用者可以实时了解到企业财务信息的变化情况，企业经营活动的延续性和信息披露的滞后性的矛盾也将不复存在。

（2）信息提供的全面性。随着网络经济的飞速发展，会计信息使用者已经不再满足于仅仅了解企业过去的财务信息，他们还要了解企业未来的以及非财务的信息。实时财务报告系统可以提供全方位的财务信息和非财务信息，既要对传统财务报告中涉及到但没有详细披露的财务信息作进一步的丰富充实，比如金融工具及无形资产、人力资源等信息，又要对传统财务报告中没有涉及到的非财务信息作出披露，这些非财务信息主要包括：经营业绩信息、前瞻性信息、背景信息等等。这些信息对于信息使用者评价企业过去，了解现在和预测企业未来是非常有用的。

（3）信息提供的多样性；在企业未来的网上实时财务报告系统中，将是一个精美多彩的多媒体界面，提供的信息形式也将是多种多样，在企业网站的超文本（html）格式的网页上，既有文本格式的文字信息和各种图片信息可供浏览，也有pdf格式的年报中报供下载，甚至可以提供视频流和音频流信息，比如，公司的介绍、重大财务活动可以以视频新闻的形式，一目了然，可听可视。

（4）信息分析的便利性。网上实时财务报告系统所提供的财务信息数据，可以被随意移植使用分析，并且可以直接使用网站上提供的财务分析软件加工出所需的财务分析指标，并且企业同期和历史的财务资料数据或同行业资料、表中某一数据所相关的其他数据，也可以按需求调出供分析使用。网上的实时财务报告系统，超越了传统财务报告披露方式在分析便利性上的局限性。

三、面临的问题

（1）网络实时财务报告系统在系统安全上的风险

财务报告系统的网络实时，实现了会计信息资源的共享，但同时也将自身暴露于风险之中，这些风险主要来自于企业内部的计算机舞弊的风险和网上黑客的恶意攻击。要对网上实时财务报告系统提供足够的安全保障，无疑应当从企业内部和外部双管齐下。首先要从制度上入手，在企业内部必须加强网络化电算化条件下的内部控制，加强用户权限管理，对输入、处理、输出环节要设定特定的控制程序。其次要从网络软硬件设备入手，在企业内部局域网（intranet）和国际互联网（internet）中安装设置防火墙（firewall），建立虚拟专网（vpn）系统，保存详细的系统操作日志，设计授权和身份认证（ca）系统等。