導語：如何才能寫好一篇安全審計服務(wù)規(guī)范，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

    電子業(yè)務(wù)系統(tǒng)安全審計體系的研究與建設(shè)

    結(jié)合山東局綜合管理體系建設(shè)要求,首先,對各業(yè)務(wù)系統(tǒng)從管理者和使用者兩個層面明確職責,規(guī)定相應(yīng)的口令管理制度、授權(quán)管理制度、系統(tǒng)操作規(guī)程(作業(yè)指導書)等業(yè)務(wù)系統(tǒng)運行規(guī)章制度及有關(guān)記錄表格。二是,針對各業(yè)務(wù)系統(tǒng)制定安全審計規(guī)范,利用內(nèi)部審計及外部審計來評估業(yè)務(wù)系統(tǒng)安全漏洞,規(guī)劃審計策略,明確審計目標,確定日常安全審計及集中安全審計任務(wù)和手段,并對審計結(jié)果進行評估分析,制定糾正措施。三是,結(jié)合山東局績效考核管理辦法,將安全審計結(jié)果納入績效考核,已達到從制度上約束行為的目的。各電子業(yè)務(wù)系統(tǒng)的開發(fā)應(yīng)按照我們制定的安全審計規(guī)范要求建立安全審計模塊,每個用戶登錄系統(tǒng)、進入應(yīng)用,一直到使用各個應(yīng)用模塊都可以進行訪問日志記錄,安全審計模塊可以調(diào)用日志SDK的API,根據(jù)應(yīng)用規(guī)則來記錄各種日志。日志可以是分為安全日志、系統(tǒng)日志、數(shù)據(jù)變更日志等等可以由系統(tǒng)安全管理人員隨時調(diào)閱,以達到安全審計的目的。針對業(yè)務(wù)系統(tǒng)具體環(huán)節(jié)分析風險點,根據(jù)制定的安全控制規(guī)范,應(yīng)用于各電子業(yè)務(wù)系統(tǒng),開發(fā)安全審計系統(tǒng),進行風險布控、監(jiān)控設(shè)定、自動預警與自動核查,對業(yè)務(wù)系統(tǒng)全過程監(jiān)控。由于目前業(yè)務(wù)系統(tǒng)數(shù)量眾多,數(shù)據(jù)處理不同,進行安全審計系統(tǒng)開發(fā)時需針對各業(yè)務(wù)系統(tǒng)進行分析歸納,特別是CIQ2000綜合業(yè)務(wù)管理系統(tǒng)作為檢驗檢疫電子業(yè)務(wù)的主干系統(tǒng),數(shù)據(jù)處理過程的質(zhì)量決定著業(yè)務(wù)工作的質(zhì)量,我們首先從CIQ2000業(yè)務(wù)管理系統(tǒng)入手試點,對CIQ2000綜合業(yè)務(wù)管理系統(tǒng)實施全過程監(jiān)控,監(jiān)控賬戶的合法性、權(quán)限的合理性、登錄及操作行為的可追溯性、數(shù)據(jù)修改的安全性等,對用戶行為實施有效監(jiān)督、約束,規(guī)范行為,保證工作質(zhì)量。對CIQ2000綜合業(yè)務(wù)系統(tǒng)進行安全審計主要分以下幾方面:1)用戶操作行為日志審查常規(guī)監(jiān)測及時收集和分析CIQ2000系統(tǒng)本身提供的系統(tǒng)登錄、業(yè)務(wù)操作、流程控制、權(quán)限等信息,通過設(shè)定邏輯嚴密、科學合理的審計規(guī)則,根據(jù)用戶登錄時間、狀態(tài)和業(yè)務(wù)操作記錄等數(shù)據(jù),發(fā)現(xiàn)異常登錄和非法操作,在系統(tǒng)界面進行展示,并形成報表。特殊監(jiān)測根據(jù)業(yè)務(wù)和系統(tǒng)管理需要,對特殊時間段、特殊業(yè)務(wù)操作進行特殊監(jiān)測,通過觸發(fā)器收集關(guān)鍵業(yè)務(wù)對象、關(guān)鍵數(shù)據(jù)的變更情況,記錄操作人的登錄信息和操作信息。如對關(guān)鍵業(yè)務(wù)數(shù)據(jù)的操作及修改過程(如計收費數(shù)據(jù)的修改、不合格結(jié)果登記修改為合格結(jié)果登記、未經(jīng)檢務(wù)操作擅自添加證書、攔截數(shù)據(jù)人工干預放行等)進行過程記錄。2)用戶密碼審查根據(jù)制訂的密碼審計規(guī)則,自動檢查指定機構(gòu)下的用戶及密碼,查找密碼為空或者密碼設(shè)置不符合安全規(guī)范的用戶,在系統(tǒng)界面展示并可形成報表。3)重復用戶檢查根據(jù)同一用戶在統(tǒng)一機構(gòu)下不得同時擁有兩個可以同時使用的用戶賬號原則,自動檢查指定機構(gòu)下的用戶,檢查是否在同一機構(gòu)具有同時在崗的重名用戶。4)用戶權(quán)限檢查自動檢查指定機構(gòu)下的用戶及使用權(quán)限,查找具有分配全業(yè)務(wù)流程的用戶,也可查找具有指定權(quán)限的用戶。5)安全事件警告根據(jù)對業(yè)務(wù)系統(tǒng)各關(guān)鍵環(huán)節(jié)和關(guān)鍵對象數(shù)據(jù)的采集和分析,對可能存在信息安全隱患的環(huán)節(jié)給予相應(yīng)級別的告警。告警方式包括:界面查看、短信預警、郵件預警。6)系統(tǒng)服務(wù)用戶管理選項設(shè)置安全審計告警策略安全事件確認審計對象配置助手對于以上審計內(nèi)容,通過布控,可以實現(xiàn)實時監(jiān)控,發(fā)現(xiàn)違規(guī)操作及時報警,也可以進行統(tǒng)計查詢、數(shù)據(jù)分析,防患于未然。通過安全審計系統(tǒng)的運行,特別是對CIQ2000綜合業(yè)務(wù)管理系統(tǒng)的安全審計,發(fā)現(xiàn)高風險監(jiān)控點,進一步對體系進行驗證完善,通過兩方面的互補,保證業(yè)務(wù)系統(tǒng)的安全合規(guī)運行。通過以上步驟,制定我局電子業(yè)務(wù)系統(tǒng)安全審計規(guī)范并正式下發(fā)執(zhí)行,建立檢驗檢疫電子業(yè)務(wù)系統(tǒng)安全審計體系。并通過CIQ2000綜合業(yè)務(wù)安全審計系統(tǒng)應(yīng)用實例進行驗證優(yōu)化,并以此成功案例進行推廣、全面開展對山東局電子業(yè)務(wù)安全審計系統(tǒng)的建設(shè)與發(fā)展。

    電子業(yè)務(wù)系統(tǒng)安全審計體系研究技術(shù)方面

    電子業(yè)務(wù)安全審計系統(tǒng)建設(shè)技術(shù)方面1)使用統(tǒng)一開發(fā)平臺的UIP-SDP框架開發(fā)。該框架提供輕量級的框架,框架遵照MVC的通用設(shè)計模式;采用面向服務(wù)體系結(jié)構(gòu)(SOA)及組件化的設(shè)計思想,便于系統(tǒng)的復用和集成;包含大量公共的、實用性的組件和控件,并且提供了一般業(yè)務(wù)系統(tǒng)底層的最基本模塊,可以輕松集成到業(yè)務(wù)系統(tǒng)之中。2)框架提供了通用的前后臺校驗機制、統(tǒng)一的分頁處理、基于AJAX的局部刷新功能、多文件上載的功能、基于數(shù)字證書的認證方式、靈活、實用的規(guī)則引擎、基于配置的任務(wù)調(diào)度功能、基于配置的事務(wù)處理、統(tǒng)一的日志管理、方便快捷的單元測試、子模塊基于XML的單獨配置3)系統(tǒng)由數(shù)據(jù)采集層、事件管理層、運行管理層構(gòu)成。山東檢驗檢疫電子業(yè)務(wù)系統(tǒng)安全審計體系(圖略)。電子業(yè)務(wù)安全審計系統(tǒng)建設(shè)技術(shù)規(guī)范方面采用標準的Linux、Unix操作系統(tǒng)建立基礎(chǔ)平臺采用統(tǒng)一的Oracle數(shù)據(jù)庫建立數(shù)據(jù)中心平臺采用先進的軟件工程設(shè)計方法,滿足系統(tǒng)的先進性、可靠性、可伸縮性、可擴展性復雜的商業(yè)規(guī)則的實現(xiàn)集中由應(yīng)用服務(wù)器實現(xiàn),可隨業(yè)務(wù)量增長而輕松擴展采用流行的B/S架構(gòu),實現(xiàn)零客戶端采用先進AJAX、WebService技術(shù)采用XML技術(shù),規(guī)范信息交換格式和數(shù)據(jù)交換流程采用統(tǒng)一的消息中間件實現(xiàn)數(shù)據(jù)交換可以采用CA認證及SSL128位加密技術(shù),確保通訊的安全性4結(jié)論通過建設(shè)安全審計體系建設(shè),可以從制度上規(guī)范行為;審計系統(tǒng)的開發(fā)運行可以利用技術(shù)手段實現(xiàn)業(yè)務(wù)監(jiān)控、工作質(zhì)量稽查及用戶行為審計,自動查找違規(guī)現(xiàn)象,及時通知相關(guān)單位整改,以查促管,防患于未然;審計的結(jié)果反過來促進制度的建設(shè),最終保證檢驗檢疫業(yè)務(wù)的正常運轉(zhuǎn)。

篇2

[關(guān)鍵詞]信息安全審計；審計應(yīng)用；審計實現(xiàn) ；APP

doi：10.3969/j.issn.1673 - 0194.2015.08.012

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2015）08-0019-01

近年來，隨著辦公業(yè)務(wù)對手機軟件相關(guān)信息系統(tǒng)的依賴越來越高，APP應(yīng)用軟件信息系統(tǒng)存在的風險對業(yè)務(wù)的潛在影響也越來越大。解決針對業(yè)務(wù)信息內(nèi)容的篡改操作行為的監(jiān)控管理的問題，必須要有一種有效的安全技術(shù)手段對內(nèi)部員工、運行維護人員以及第三方人員的上網(wǎng)行為、內(nèi)網(wǎng)行為、操作行為等進行有效的監(jiān)控和管理，并對其行為趨勢進行分析和總結(jié)。

1 APP應(yīng)用信息安全審計定義

為了APP應(yīng)用信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的IT審計師，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向IT審計對象的最高領(lǐng)導，提出問題與建議的一連串的活動稱為IT審計。IT審計就是信息系統(tǒng)審計，也稱IT監(jiān)查。

2 APP應(yīng)用信息安全審計的實現(xiàn)

要實現(xiàn)APP應(yīng)用信息安全審計，保障計算機信息系統(tǒng)中信息的機密性、完整性、可控性、可用性和不可否認性（抗抵賴），需要對計算機信息系統(tǒng)中的所有網(wǎng)絡(luò)資源（包括數(shù)據(jù)庫、主機、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）進行安全審計，記錄所有發(fā)生的事件，提供給系統(tǒng)管理員作為系統(tǒng)維護以及安全防范的依據(jù)。

2.1 合規(guī)性審計

做到有效控制IT風險，尤其是操作風險，對業(yè)務(wù)的安全運營至關(guān)重要。因此，合規(guī)性審計成為被行業(yè)推崇的有效方法。安全合規(guī)性審計指在建設(shè)與運行IT系統(tǒng)中的過程是否符合相關(guān)的法律、標準、規(guī)范、文件精神的要求一種檢測方法。這作為風險控制的主要內(nèi)容之一，是檢查安全策略落實情況的一種手段。

2.2 日志審計

基于日志的安全審計技術(shù)是通過SNMP、SYSLOG或者其他的日志接口從網(wǎng)絡(luò)設(shè)備、主機服務(wù)器、用戶終端、數(shù)據(jù)庫、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志，對收集的日志進行格式標準化、統(tǒng)一分析和報警，并形成多種格式和類型的審計報表。

2.3 網(wǎng)絡(luò)行為審計

基于網(wǎng)絡(luò)技術(shù)的安全審計是通過旁路和串接的方式實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲，進行協(xié)議分析和還原，可達到審計服務(wù)器、用戶終端、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的安全漏洞，審計合法、非法或入侵操作，監(jiān)控上網(wǎng)行為和內(nèi)容，監(jiān)控用戶非工作行為等目的。網(wǎng)絡(luò)行為審計更偏重于網(wǎng)絡(luò)行為，具備部署簡單等優(yōu)點。

2.4 主機審計

主機安全審計是通過在主機服務(wù)器、用戶終端、數(shù)據(jù)庫或其他審計對象中安裝客戶端的方式來進行審計，可達到審計安全漏洞、審計合法和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容以及向外拷貝文件行為、監(jiān)控用戶非法行為等目的。主機審計包括主機的漏洞掃描產(chǎn)品、主機防火墻和主機IDS/IPS的安全審計功能、主機上網(wǎng)和上機行為監(jiān)控、終端管理等類型的產(chǎn)品。

2.5 應(yīng)用系統(tǒng)審計

應(yīng)用系統(tǒng)安全審計是對用戶在業(yè)務(wù)應(yīng)用過程中的登錄、操作、退出的一切行為通過內(nèi)部截取和跟蹤等相關(guān)方式進行監(jiān)控和詳細記錄，并對這些記錄按時間段、地址段、用戶、操作命令、操作內(nèi)容等分別進行審計。

2.6 集中操作運維審計

集中操作運維審計側(cè)重于對網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、數(shù)據(jù)庫的運行維護過程中的風險審計。

運維審計的方式不同于其他審計，尤其是維護人員為了安全的要求，開始大量采用加密方式，如遠程桌面協(xié)議（Remote Desktop Protocol，RDP）、SSL等，加密口令在連接建立的時候動態(tài)生成，一般的針對網(wǎng)絡(luò)行為進行審計的技術(shù)是無法實現(xiàn)的。

3 審計系統(tǒng)的實現(xiàn)

通過對6類審計產(chǎn)品的綜合應(yīng)用，可以形成較完備的APP應(yīng)用信息系統(tǒng)安全審計應(yīng)用系統(tǒng)，對整個網(wǎng)絡(luò)與信息系統(tǒng)中的網(wǎng)絡(luò)、主機、應(yīng)用系統(tǒng)、數(shù)據(jù)庫及安全設(shè)備等進行安全審計，且可以支持分布式跨網(wǎng)審計，并進行集中統(tǒng)一管理，達到對審計數(shù)據(jù)綜合的統(tǒng)計與分析，更有效地防御外部的入侵和內(nèi)部的非法違規(guī)操作，最終起到保護信息和資源的作用。

參考網(wǎng)絡(luò)與信息系統(tǒng)安全審計應(yīng)用模型，企業(yè)既可以采取單項逐一建設(shè)方式，也可以采用多項綜合建設(shè)方式建立內(nèi)部審計應(yīng)用系統(tǒng)。對于擁有分（子）公司且不在同一地區(qū)的企業(yè)，也可以通過城域網(wǎng)絡(luò)把多個分（子）公司統(tǒng)一起來，進行集中建設(shè)，統(tǒng)一管理。

4 結(jié) 論

通過整合市面上多種不同類型的審計產(chǎn)品，按照網(wǎng)絡(luò)與信息系統(tǒng)安全審計應(yīng)用模型，采用“統(tǒng)一規(guī)劃、分步實施”的方式，可以在企業(yè)內(nèi)部建立起嚴格監(jiān)控的網(wǎng)絡(luò)與信息系統(tǒng)安全審計應(yīng)用平臺，提升企業(yè)信息化日常運維及操作的安全性。

主要參考文獻

[1]胡克瑾.IT審計[M].北京：電子工業(yè)出版社，2002.

篇3

【關(guān)鍵詞】計算機信息系統(tǒng);安全

隨著計算機技術(shù)和網(wǎng)絡(luò)通信技術(shù)的飛速發(fā)展，計算機信息系統(tǒng)規(guī)模的不斷擴大，成為了一個龐大的復雜系統(tǒng)。而信息的共享程度越來越高，使系統(tǒng)安全涉及的技術(shù)面非常廣，保密性、完整性、真實性和可用性，使我國的計算機信息系統(tǒng)安全體系必須建立統(tǒng)一的框架和實施標準。

1動態(tài)縱深防御安全體系模型

1．1計算機信息系統(tǒng)安全發(fā)展

計算機信息系統(tǒng)安全涉及的技術(shù)面非常廣，其中3D安全框架是一個通用的框架，它提出了一個概念性的框架，涉及ISO/OSI的七個協(xié)議層次，應(yīng)用安全平臺等都是重要的安全“零部件”，是一個立體的、多方位、多層次的系統(tǒng)問題，但并不是簡單地將它們疊加在一起。隨著網(wǎng)絡(luò)的深入發(fā)展，三維計算機信息系統(tǒng)不能完全適應(yīng)動態(tài)變化的網(wǎng)絡(luò)環(huán)境，提出了PZDR動態(tài)模型，比傳統(tǒng)靜態(tài)安全方案有突破性提高，其中引進了時間的概念，特點就是動態(tài)性和基于時間的特性，但它忽略了內(nèi)在的變化因素。這樣，又提出了信息保障技術(shù)框架概念，對信息基礎(chǔ)設(shè)施進行“深層防御策略”，提供了強健性策略描述，把信息的價值劃分成5級，對無線應(yīng)用的安全保障方面不足。目前國內(nèi)外相繼提出了很多安全標準，比如美國TcsEc(桔皮書)，歐洲ITSEC，加拿大CTCPEC，聯(lián)合公共準則(C)C等，現(xiàn)有標準/規(guī)范己經(jīng)相當細致和深入，但仍有不盡人意的地方，比如有些屬于特定行業(yè)規(guī)范，有些標準/規(guī)范側(cè)重于系統(tǒng)安全的某個方面，未包含行政管理安全的評價準則等，沒有針對廣泛存在和應(yīng)用的網(wǎng)絡(luò)環(huán)境安全等，因此，分析計算機信息系統(tǒng)安全體系，可以推動我國信息安全產(chǎn)業(yè)的發(fā)展。

1．2動態(tài)縱深防御安全體系模型

在設(shè)計安全體系時，安全組件必須根據(jù)需要分層次、分布式部署，安全體系應(yīng)貫徹積極防御的思想，功能模塊應(yīng)構(gòu)成一個閉環(huán)的動態(tài)控制系統(tǒng)，當系統(tǒng)遭到破壞時能及時進行恢復。安全組件之間能夠協(xié)同作戰(zhàn)，隨時處置可能出現(xiàn)的黑客或病毒攻擊，進行安全組件的組合與集成。安全體系模型應(yīng)從多方面考慮，對安全域劃分出不同安全防護層次，以安全域和安全防護層次實現(xiàn)縱深防御，配置入侵檢測系統(tǒng)、脆弱性分析系統(tǒng)等，在設(shè)計時應(yīng)首先考慮邏輯層次的劃分，根據(jù)信息的安全級別和服務(wù)的重要性來劃分，安全域的劃分不改變系統(tǒng)的任何部分，每個安全域可按物理或邏輯位置的不同劃分，保護計算環(huán)境的安全目標。在安全策略的指導下，依靠技術(shù)進行操作。明確系統(tǒng)可能出現(xiàn)的安全事件，引進“風險分析”概念，強調(diào)信息安全技術(shù)的綜合使用，將安全風險降低到預期的范圍內(nèi)。人員素質(zhì)是信息安全體系的基石，應(yīng)努力提高人員的安全意識，各部門要遵守的規(guī)范及應(yīng)負的責任，提供一個集成的安全管理環(huán)境，使得安全部件之間能夠協(xié)同作戰(zhàn)，風險分析是有效保證信息安全的前提條件，大規(guī)模減少安全管理員的手工勞動，避免非法攻擊的進行。

2計算機信息系統(tǒng)安全

安全分析的目的是為不同安全需求的用戶，在普通計算機信息系統(tǒng)、安全系統(tǒng)間建立聯(lián)系，為滿足不同的用戶安全需求，根據(jù)數(shù)據(jù)在丟失、破壞及泄露時的不同影響，提出相對應(yīng)的安全保障級別的概念，根據(jù)信息類別和威脅級別的定義，選擇安全防護機制及技術(shù)，為不同安全要求的用戶提供解決方案。確定系統(tǒng)中的信息和服務(wù)的用途，概括計算機信息系統(tǒng)的業(yè)務(wù)流程，將計算機信息系統(tǒng)劃分成不同的安全域，當威脅和策略都確定后，通過評價每一種威脅成功實施的可能性，需要制定相應(yīng)的安全目的。安全功能應(yīng)清晰地表達，每種安全產(chǎn)品都有一組安全功能，在計算機信息系統(tǒng)安全需求分析中，應(yīng)以表的形式將安全目的分配，并應(yīng)適于對抗所有已知的威脅，安全功能的強度要符合相應(yīng)的保障級別，并通過文檔化的形式單獨列出安全制度。

3安全設(shè)計

安全管理是安全體系的保障，建立并保持文件化的安全管理體系，這與安全技術(shù)和安全策略密切相關(guān)，相應(yīng)技術(shù)要求包括防火墻、服務(wù)器、路由器等。防火墻主要有包過濾防火墻和應(yīng)用級防火墻，路由器是一類專用的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)服務(wù)器以各種服務(wù)為基礎(chǔ)。安全檢測系統(tǒng)控制的充分程度，它包括自動響應(yīng)的分級要求。安全審計數(shù)據(jù)產(chǎn)生的分級要求都必須包括用戶自主選擇，能生成實時報警信息，使用身份鑒別機制，審計記錄應(yīng)包含客體名及客體的安全級別;安全審計分析的分級要求應(yīng)能用一系列規(guī)則去監(jiān)控審計事件，應(yīng)維護用戶所具有的質(zhì)疑等級，檢測對安全功能實施有重大威脅的簽名事件;安全審計查閱的分級要求提供從審計記錄中讀取信息的能力，提供從審計記錄中讀取信息的能力，選擇要查閱的審計數(shù)據(jù)的功能;安全審計事件存儲的分級要求審計蹤跡的存儲受到應(yīng)有的保護;網(wǎng)絡(luò)環(huán)境安全審計的分級要求建立分布式安全審計系統(tǒng)，實時收集各安全程序的審計信息，設(shè)置跨平臺的安全審計機制，給出智能化審計報告及趨向報告。防止計算機和網(wǎng)絡(luò)病毒的入侵，嚴格控制各種外來介質(zhì)的使用，應(yīng)設(shè)置病毒管理中心，應(yīng)將防病毒與網(wǎng)絡(luò)管理相結(jié)合，阻止病毒的擴散和傳播。提供數(shù)據(jù)加解密和密鑰管理，確定相應(yīng)的密碼分級，應(yīng)對不同級別的密鑰實施不同管理。

參考文獻:

［1］段云所，陳鐘．信息網(wǎng)絡(luò)安全目標、技術(shù)和方法［J］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2001(01)．

［2］胡華平，黃遵國，龐立會．網(wǎng)絡(luò)安全縱深防御與保障體系［J］．計算機工程與科學，2002(6)．

［3］胡華平，陳海濤，黃辰林．入侵檢測系統(tǒng)的研究現(xiàn)狀與發(fā)展趨勢［J］．計算機工程與科學，2001，23(02)．

［4］GA/TT389－2002．計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求［S］．2006．

篇4

1利用網(wǎng)絡(luò)及安全治理的漏洞窺探用戶口令或電子帳號，冒充合法用戶作案，篡改磁性介質(zhì)記錄竊取資產(chǎn)。

2利用網(wǎng)絡(luò)遠距離竊取企業(yè)的商業(yè)秘密以換取錢財，或利用網(wǎng)絡(luò)傳播計算機病毒以破壞企業(yè)的信息系統(tǒng)。

3建立在計算機網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無紙化”，越來越多的經(jīng)濟業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結(jié)算單及其它帳單，就有可能將公私財產(chǎn)的所有權(quán)進行轉(zhuǎn)移。

計算機網(wǎng)絡(luò)帶來會計系統(tǒng)的開放與數(shù)據(jù)共享，而開放與共享的基礎(chǔ)則是安全。企業(yè)一方面通過網(wǎng)絡(luò)開放自己，向全世界推銷自己的形象和產(chǎn)品，實現(xiàn)電子貿(mào)易、電子信息交換，但也需要守住自己的商業(yè)秘密、治理秘密和財務(wù)秘密，而其中已實現(xiàn)了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創(chuàng)造一個安全的環(huán)境，抵抗來自系統(tǒng)內(nèi)外的各種干擾和威協(xié)，做到該開放的放開共享，該封閉的要讓黑客無奈。

一、網(wǎng)絡(luò)安全審計及基本要素

安全審計是一個新概念，它指由專業(yè)審計人員根據(jù)有關(guān)的法律法規(guī)、財產(chǎn)所有者的委托和治理當局的授權(quán)，對計算機網(wǎng)絡(luò)環(huán)境下的有關(guān)活動或行為進行系統(tǒng)的、獨立的檢查驗證，并作出相應(yīng)評價。

沒有網(wǎng)絡(luò)安全，就沒有網(wǎng)絡(luò)世界。任何一個建立網(wǎng)絡(luò)環(huán)境計算機會計系統(tǒng)的機構(gòu)，都會對系統(tǒng)的安全提出要求，在運行和維護中也都會從自己的角度對安全作出安排。那么系統(tǒng)是否安全了呢？這是一般人心中無數(shù)也最不放心的問題。應(yīng)該肯定，一個系統(tǒng)運行的安全與否，不能單從雙方當事人的判定作出結(jié)論，而必須由第三方的專業(yè)審計人員通過審計作出評價。因為安全審計人員不但具有專門的安全知識，而且具有豐富的安全審計經(jīng)驗，只有他們才能作出客觀、公正、公平和中立的評價。

安全審計涉及四個基本要素：控制目標、安全漏洞、控制措施和控制測試。其中，控制目標是指企業(yè)根據(jù)詳細的計算機應(yīng)用，結(jié)合單位實際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié)，容易擾或破壞的地方?？刂拼胧┦侵钙髽I(yè)為實現(xiàn)其安全控制目標所制定的安全控制技術(shù)、配置方法及各種規(guī)范制度?？刂茰y試是將企業(yè)的各種安全控制措施與預定的安全標準進行一致性比較，確定各項控制措施是否存在、是否得到執(zhí)行、對漏洞的防范是否有效，評價企業(yè)安全措施的可依賴程度。顯然，安全審計作為一個專門的審計項目，要求審計人員必須具有較強的專業(yè)技術(shù)知識與技能。

安全審計是審計的一個組成部分。由于計算機網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國家安危，更涉及到企業(yè)的經(jīng)濟利益。因此，我們認為必須迅速建立起國家、社會、企業(yè)三位一體的安全審計體系。其中，國家安全審計機關(guān)應(yīng)依據(jù)國家法律，非凡是針對計算機網(wǎng)絡(luò)本身的各種安全技術(shù)要求，對廣域網(wǎng)上企業(yè)的信息安全實施年審制。另外，應(yīng)該發(fā)展社會中介機構(gòu)，對計算機網(wǎng)絡(luò)環(huán)境的安全提供審計服務(wù)，它與會計師事務(wù)所、律師事務(wù)所一樣，是社會對企業(yè)的計算機網(wǎng)絡(luò)系統(tǒng)的安全作出評價的機構(gòu)。當企業(yè)治理當局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來的潛在損失時，他們需要通過中介機構(gòu)對安全性作出檢查和評價。此外財政、財務(wù)審計也離不開網(wǎng)絡(luò)安全專家，他們對網(wǎng)絡(luò)的安全控制作出評價，幫助注冊會計師對相應(yīng)的信息處理系統(tǒng)所披露信息的真實性、可靠性作出正確判定。

二、網(wǎng)絡(luò)安全審計的程序安全

審計程序是安全監(jiān)督活動的詳細規(guī)程，它規(guī)定安全審計工作的詳細內(nèi)容、時間安排、詳細的審計方法和手段。與其它審計一樣，安全審計主要包括三個階段：審計預備階段、實施階段以及終結(jié)階段。

安全審計預備階段需要了解審計對象的詳細情況、安全目標、企業(yè)的制度、結(jié)構(gòu)、一般控制和應(yīng)用控制情況，并對安全審計工作制訂出詳細的工作計劃。在這一階段，審計人員應(yīng)重點確定審計對象的安全要求、審計重點、可能的漏洞及減少漏洞的各種控制措施。

1了解企業(yè)網(wǎng)絡(luò)的基本情況。例如，應(yīng)該了解企業(yè)內(nèi)部網(wǎng)的類型、局域網(wǎng)之間是否設(shè)置了單向存取限制、企業(yè)網(wǎng)與Internet的聯(lián)接方式、是否建立了虛擬專用網(wǎng)（VPN）？

2了解企業(yè)的安全控制目標。安全控制目標一般包括三個方面：第一，保證系統(tǒng)的運轉(zhuǎn)正常，數(shù)據(jù)的可靠完整；第二，保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復能力；第三，對系統(tǒng)資源使用的授權(quán)與限制。當然安全控制目標因企業(yè)的經(jīng)營性質(zhì)、規(guī)模的大小以及治理當局的要求而有所差異。

3了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計人員應(yīng)充分取得目前企業(yè)對網(wǎng)絡(luò)環(huán)境的安全保密計劃，了解所有有關(guān)的控制對上述的控制目標的實現(xiàn)情況，系統(tǒng)還有哪些潛在的漏洞。

安全審計實施階段的主要任務(wù)是對企業(yè)現(xiàn)有的安全控制措施進行測試，以明確企業(yè)是否為安全采取了適當?shù)目刂拼胧?，這些措施是否發(fā)揮著作用。審計人員在實施環(huán)節(jié)應(yīng)充分利用各種技術(shù)工具產(chǎn)品，如網(wǎng)絡(luò)安全測試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計分析器。

安全審計終結(jié)階段應(yīng)對企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評價，并提出改進和完善的方法和其他意見。安全審計終結(jié)的評價，按系統(tǒng)的完善程度、漏洞的大小和存在問題的性質(zhì)可以分為三個等級：危險、不安全和基本安全。危險是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患（如缺乏合理的數(shù)據(jù)備份機制與有效的病毒防范措施）和系統(tǒng)的盲目開放性（如有意和無意用戶常常能闖入系統(tǒng)，對系統(tǒng)數(shù)據(jù)進行查閱或刪改）。不安全是指系統(tǒng)尚存在一些較常見的問題和漏洞，如系統(tǒng)缺乏監(jiān)控機制和數(shù)據(jù)檢測手段等?；景踩侵父鱾€企業(yè)網(wǎng)絡(luò)應(yīng)達到的目標，其大漏洞僅限于不可預見或罕預見性、技術(shù)極限性以及窮舉性等，其他小問題發(fā)生時不影響系統(tǒng)運行，也不會造成大的損失，且具有隨時發(fā)現(xiàn)問題并糾正的能力。

三、網(wǎng)絡(luò)安全審計的主要測試

測試是安全審計實施階段的主要任務(wù)，一般應(yīng)包括對數(shù)據(jù)通訊、硬件系統(tǒng)、軟件系統(tǒng)、數(shù)據(jù)資源以及安全產(chǎn)品的測試。

下面是對網(wǎng)絡(luò)環(huán)境會計信息系統(tǒng)的主要測試。

1數(shù)據(jù)通訊的控制測試數(shù)據(jù)通訊控制的總目標是數(shù)據(jù)通道的安全與完整。詳細說，能發(fā)現(xiàn)和糾正設(shè)備的失靈，避免數(shù)據(jù)丟失或失真，能防止和發(fā)現(xiàn)來自Internet及內(nèi)部的非法存取操作。為了達到上述控制目標，審計人員應(yīng)執(zhí)行以下控制測試：（1）抽取一組會計數(shù)據(jù)進行傳輸，檢查由于線路噪聲所導致數(shù)據(jù)失真的可能性。（2）檢查有關(guān)的數(shù)據(jù)通訊記錄，證實所有的數(shù)據(jù)接收是有序及正確的。（3）通過假設(shè)系統(tǒng)外一個非授權(quán)的進入請求，測試通訊回叫技術(shù)的運行情況。（4）檢查密鑰治理和口令控制程序，確認口令文件是否加密、密鑰存放地點是否安全。（5）發(fā)送一測試信息測試加密過程，檢查信息通道上在各不同點上信息的內(nèi)容。（6）檢查防火墻是否控制有效。防火墻的作用是在Internet與企業(yè)內(nèi)部網(wǎng)之間建立一道屏障，其有效性主要包括靈活性以及過濾、分離、報警等方面的能力。例如，防火墻應(yīng)具有拒絕任何不正確的申請者的過濾能力，只有授權(quán)用戶才能通過防火墻訪問會計數(shù)據(jù)。

2硬件系統(tǒng)的控制測試硬件控制測試的總目標是評價硬件的各項控制的適當性與有效性。測試的重點包括：實體安全、火災(zāi)報警防護系統(tǒng)、使用記錄、后備電源、操作規(guī)程、災(zāi)害恢復計劃等。審計人員應(yīng)確定實物安全控制措施是否適當、在處理日常運作及部件失靈中操作員是否作出了適當?shù)挠涗浥c定期分析、硬件的災(zāi)害恢復計劃是否適當、是否制定了相關(guān)的操作規(guī)程、各硬件的資料歸檔是否完整。

3軟件系統(tǒng)的控制測試軟件系統(tǒng)包括系統(tǒng)軟件和應(yīng)用軟件，其中最主要的是操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和會計軟件系統(tǒng)。總體控制目標應(yīng)達到防止來自硬件失靈、計算機黑客、病毒感染、具有特權(quán)職員的各種破壞行為，保障系統(tǒng)正常運行。對軟件系統(tǒng)的測試主要包括：（1）檢查軟件產(chǎn)品是否從正當途徑購買，審計人員應(yīng)對購買訂單進行抽樣審查。（2）檢查防治病毒措施，是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。（3）證實只有授權(quán)的軟件才安裝到系統(tǒng)里。

4數(shù)據(jù)資源的控制測試數(shù)據(jù)控制目標包括兩方面：一是數(shù)據(jù)備份，為恢復被丟失、損壞或擾的數(shù)據(jù)，系統(tǒng)應(yīng)有足夠備份；二是個人應(yīng)當經(jīng)授權(quán)限制性地存取所需的數(shù)據(jù)，未經(jīng)授權(quán)的個人不能存取數(shù)據(jù)庫。審計測試應(yīng)檢查是否提供了雙硬盤備份、動態(tài)備份、業(yè)務(wù)日志備份等功能，以及在日常工作中是否真正實施了這些功能。根據(jù)系統(tǒng)的授權(quán)表，檢查存取控制的有效性。

5系統(tǒng)安全產(chǎn)品的測試隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要，各種用于保障網(wǎng)絡(luò)安全的軟、硬件產(chǎn)品應(yīng)運而生，如VPN、防火墻、身份認證產(chǎn)品、CA產(chǎn)品等等。企業(yè)將在不斷發(fā)展的安全產(chǎn)品市場上購買各種產(chǎn)品以保障系統(tǒng)的安全，安全審計機構(gòu)應(yīng)對這些產(chǎn)品是否有效地使用并發(fā)揮其應(yīng)有的作用進行測試與作出評價。例如，檢查安全產(chǎn)品是否經(jīng)過認證機構(gòu)或公安部部門的認征，產(chǎn)品的銷售商是否具有銷售許可證產(chǎn)品的安全保護功能是否發(fā)揮作用。

四、應(yīng)該建立內(nèi)部安全審計制度

篇5

作為我國電子政務(wù)重要基礎(chǔ)設(shè)施的電子政務(wù)外網(wǎng)，為了實現(xiàn)服務(wù)各級黨政部門，滿足各級政務(wù)部門社會管理、公共服務(wù)等方面需要的重要功能，要求具有互聯(lián)網(wǎng)出口，并且與互聯(lián)網(wǎng)邏輯隔離。因此，電子政務(wù)外網(wǎng)面臨來自互聯(lián)網(wǎng)和內(nèi)部網(wǎng)用戶兩大急需解決的安全難題。

二、設(shè)計思路

本方案按照《國家電子政務(wù)外網(wǎng)安全保障體系總體規(guī)劃建議》進行設(shè)計，規(guī)劃范圍以市級電子政務(wù)外網(wǎng)為主，以市級電子政務(wù)外網(wǎng)運維中心為重點，覆蓋市委、市政府、市人大、市政協(xié)和多個委辦局單位以及市屬各個縣區(qū)，根據(jù)國家電子政務(wù)外網(wǎng)安全保障體系的規(guī)劃，市級電子政務(wù)外網(wǎng)安全體系包括如下三個方面的內(nèi)容:

(一)安全管理體系。主要包括:按照國家安全保障體系建設(shè)標準，建設(shè)市級安全管理中心(SOC);以《國家電子政務(wù)外網(wǎng)安全標準指南》為標準貫徹執(zhí)行國家已有安全法規(guī)標準，同時制訂符合本市電子政務(wù)外網(wǎng)自身特點和要求的有關(guān)規(guī)定和技術(shù)規(guī)范。

(二)網(wǎng)絡(luò)安全基礎(chǔ)防護體系。主要包括:網(wǎng)絡(luò)防護與隔離系統(tǒng)、入侵防御系統(tǒng)、接入認證系統(tǒng)、業(yè)務(wù)隔離和加密傳輸系統(tǒng)、防病毒、漏洞掃描系統(tǒng)等。

(三)網(wǎng)絡(luò)信任體系。主要包括:PKI/CA系統(tǒng)、權(quán)限管理系統(tǒng)和認證授權(quán)審計系統(tǒng)。

三、方案設(shè)計

(一)安全管理中心。市級安全管理中心是市級電子政務(wù)外網(wǎng)安全的規(guī)劃、實施、協(xié)調(diào)和管理機構(gòu)，上聯(lián)省級電子政務(wù)外網(wǎng)安全管理中心，把各類安全事件以標準格式上報到省中心，同時對縣區(qū)管理中心下發(fā)安全策略，并接收縣區(qū)的日志、事件?？h級安全管理中心在市中心的授權(quán)下，具有一定的管理權(quán)限，并對縣級安全策略及日志、事件進行采集和上報。市級安全管理中心也是市級網(wǎng)絡(luò)安全設(shè)施的管理維護機構(gòu)，為使安全設(shè)施能夠最大限度地發(fā)揮其安全保障功能，需要建立一個良好的安全綜合管理平臺，以實現(xiàn)業(yè)務(wù)流程分析，并對業(yè)務(wù)系統(tǒng)在安全監(jiān)控、安全審計、健康性評估等方面的運行進行有效的管控，從全局角度進行安全策略的管理，對各類安全事件作出實時的監(jiān)控及響應(yīng)，為管理者提供及時的運行情況報告、問題報告、事件報告、安全審計報告、健康性報告和風險分析報告，從而使決策者能及時調(diào)整安全防護策略，恰當?shù)剡M行網(wǎng)絡(luò)優(yōu)化，及時地部署安全措施，消除各類安全隱患。

(二)基礎(chǔ)防護平臺建設(shè)。基礎(chǔ)防護平臺主要是以確定的安全防護模型框架為依據(jù)，結(jié)合政府業(yè)務(wù)的實際安全需求，在原有互聯(lián)網(wǎng)安全設(shè)施基礎(chǔ)上進行安全基礎(chǔ)防護體系的新建或擴充、延伸與擴展。包括邊界隔離與控制、身份鑒別、認證與授權(quán)、入侵檢測與防御、安全審計與記錄、流量監(jiān)測與清洗、數(shù)據(jù)加密傳輸、病毒監(jiān)測與防護、安全掃描與評估、安全策略集中管理、安全監(jiān)控管理和安全審計管理等基礎(chǔ)安全防護措施。最終達到提升系統(tǒng)的整體抗攻擊能力，確保電子政務(wù)外網(wǎng)能夠更好地支撐各類政務(wù)應(yīng)用系統(tǒng)的運轉(zhuǎn)。

(三)邊界隔離與控制。防火墻是實現(xiàn)網(wǎng)絡(luò)邊界隔離的首選設(shè)備，防火墻是運行于軟件和硬件上的，安裝在特定網(wǎng)絡(luò)邊界的，實施網(wǎng)間訪問控制的一組組件的集合。它在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成一道安全保護屏障，防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息，同時也防止這類非法和惡意的網(wǎng)絡(luò)行為破壞內(nèi)部網(wǎng)絡(luò)。它可以讓用戶在一個安全屏障后接入互聯(lián)網(wǎng)，還可以把單位的公共網(wǎng)絡(luò)服務(wù)器和企業(yè)內(nèi)部網(wǎng)絡(luò)隔開，同時也可以通過防火墻將網(wǎng)絡(luò)中的服務(wù)器與網(wǎng)絡(luò)邏輯分離，進行重點防護。部署防火墻能夠保護一個網(wǎng)絡(luò)不受來自另外網(wǎng)絡(luò)的攻擊。

(四)入侵檢測與防御。在整體的網(wǎng)絡(luò)安全中，依靠安全策略的指導，對信息系統(tǒng)防護有積極的意義。但是，無論網(wǎng)絡(luò)防護得多么牢固，依舊不能說“網(wǎng)絡(luò)是安全的”。因為隨著技術(shù)的發(fā)展，任何防護措施都不能保證網(wǎng)絡(luò)不出現(xiàn)新的安全事件，不被手段高超的人員成功入侵。在攻擊與防御的較量中，實時監(jiān)測處在一個核心的地位。

(五)安全審計與記錄。安全審計系統(tǒng)記錄了網(wǎng)絡(luò)使用者的全部上網(wǎng)行為，是支撐網(wǎng)絡(luò)安全事件調(diào)查的基礎(chǔ)，是審計信息的重要來源，在電子政務(wù)外網(wǎng)的建設(shè)中，應(yīng)當盡量延伸安全審計系統(tǒng)部署的范圍，并采用多種的安全審計系統(tǒng)類型(如網(wǎng)絡(luò)審計、主機審計、數(shù)據(jù)庫審計等)擴展安全審計的層面。

(六)流量檢測與清洗。流量檢測與清洗服務(wù)是針對網(wǎng)絡(luò)傳輸信息流類型、大小以及諸如DOS/DDOS等安全攻擊行為的監(jiān)控、告警和防護的一種網(wǎng)絡(luò)安全服務(wù)。該服務(wù)對進出內(nèi)部網(wǎng)絡(luò)的業(yè)務(wù)數(shù)據(jù)流量進行實時監(jiān)控，及時發(fā)現(xiàn)包括DOS攻擊在內(nèi)的異常流量。在不影響正常業(yè)務(wù)的前提下，清洗掉異常流量。有效滿足各業(yè)務(wù)系統(tǒng)運作連續(xù)性的要求。同時該服務(wù)通過時間通告、分析報表等服務(wù)內(nèi)容提升客戶網(wǎng)絡(luò)流量的可見性和安全狀況的清晰性。

(七)統(tǒng)一病毒防護平臺。根據(jù)電子政務(wù)外網(wǎng)省、市、縣三級分布的特點，可采用多級、多種的方式進行病毒防護系統(tǒng)的綜合部署，包括在網(wǎng)絡(luò)邊界安裝硬件防病毒網(wǎng)關(guān)、針對特定應(yīng)用布署網(wǎng)絡(luò)防病毒系統(tǒng)、針對多數(shù)工作終端布署單機版病毒查殺軟件等方式。

(八)終端管理。利用桌面終端管理系統(tǒng)，對于終端電腦從以下四方面進行進行標準化管理:

1．網(wǎng)絡(luò)準入。通過網(wǎng)絡(luò)邊界部署的防火墻設(shè)備、網(wǎng)絡(luò)交換機設(shè)備與終端管理服務(wù)器配合，實現(xiàn)終端用戶的802．1x準入認證，使得所有終端用戶接入電子政務(wù)外網(wǎng)網(wǎng)絡(luò)必須提出申請，并對接入機器做防病毒等安全審核，在安裝了準入客戶端軟件(Agent)并分配了用戶名/密碼后，才能合法接入網(wǎng)絡(luò)并使用信息資源，開展業(yè)務(wù)工作，實現(xiàn)了對終端用戶的有效管理。

2．網(wǎng)絡(luò)切換。通過實現(xiàn)終端用戶訪問互聯(lián)網(wǎng)和電子政務(wù)外網(wǎng)兩網(wǎng)切換使用功能，實現(xiàn)對兩網(wǎng)資源使用的嚴格管理，避免安全隱患的發(fā)生。

3．文件保險箱。利用“文件保險箱”功能，在終端用戶處于“政務(wù)外網(wǎng)”訪問狀態(tài)時可以使用“文件保險箱”功能，并創(chuàng)建、修改、使用加密文件或文件夾，在終端用戶處于“互聯(lián)網(wǎng)”狀態(tài)時無法使用此功能，不能創(chuàng)建、修改、使用加密文件或文件夾，從而保證工作文件的安全。

4．補丁管理。利用桌面系統(tǒng)補丁管理的功能，幫助管理員對網(wǎng)內(nèi)基于Windows平臺的系統(tǒng)快速部署最新的安全更新和重要功能更新。系統(tǒng)能檢測用戶已安裝的補丁和需要安裝的補丁，管理員能通過管理平臺對桌面系統(tǒng)下發(fā)安裝補丁的命令。補丁服務(wù)器可自動從微軟網(wǎng)站更新補丁庫，管理員負責審核是否允許補丁在終端系統(tǒng)安裝。通過策略定制，終端系統(tǒng)可以自動檢測、下載和安裝已審核的補丁。

(九)采用2+N的業(yè)務(wù)模式。對于利用互聯(lián)網(wǎng)接入的業(yè)務(wù)系統(tǒng)，必須采用VPN接入，建設(shè)互聯(lián)網(wǎng)接入?yún)^(qū)，隔離互聯(lián)網(wǎng)與政務(wù)外網(wǎng)的數(shù)據(jù)包，將互聯(lián)網(wǎng)業(yè)務(wù)進行封裝，確?；ヂ?lián)網(wǎng)業(yè)務(wù)在專網(wǎng)的VPN通道內(nèi)進行傳輸，對于需要與互聯(lián)網(wǎng)聯(lián)接的為公眾服務(wù)的業(yè)務(wù)，通過邏輯隔離的安全防范措施，采用防火墻系統(tǒng)、入侵防御系統(tǒng)和網(wǎng)絡(luò)防病毒系統(tǒng)，對互聯(lián)網(wǎng)接入業(yè)務(wù)提供必要安全防護，保障電子政務(wù)外網(wǎng)的信息安全。

(十)信任體系設(shè)計。建立了基于PKI/CA公鑰基礎(chǔ)設(shè)施的數(shù)字證書認證體系。完善、推廣、促進數(shù)字證書體系的發(fā)展和根據(jù)業(yè)務(wù)需要建立相應(yīng)CA機構(gòu)，并實現(xiàn)某些應(yīng)用和管理需要的單點登錄要求。

篇6

各縣區(qū)、各部門要把信息安全和保密工作列入重要議事日程，加強領(lǐng)導，落實責任，完善措施，切實抓緊抓好。要按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則，健全信息安全和保密責任制，把責任落實到具體部門、具體崗位和個人。一是各級行政機關(guān)要明確一名主管領(lǐng)導，負責本單位信息系統(tǒng)安全和保密管理工作，根據(jù)國家法律和有關(guān)要求，結(jié)合實際組織制訂信息安全和保密管理制度、防護措施，協(xié)調(diào)處理本單位重大信息安全和泄密事件。二是各級行政機關(guān)要指定一個機構(gòu)具體承擔信息安全和保密管理工作，負責組織落實本單位信息安全和保密管理制度，加強防護手段建設(shè)，開展信息安全、保密教育和監(jiān)督檢查等。三是行政機關(guān)中的各內(nèi)設(shè)機構(gòu)都要指定一位安全觀念強、富有責任心、懂安全防護技術(shù)的工作人員擔任專職或兼職信息系統(tǒng)安全員，負責日常督促、檢查、指導工作。四是建立健全崗位信息安全和保密責任制度，明確信息安全和保密責任。

二、強化教育培訓，提高安全意識和防護意識

各縣區(qū)、各部門要認真組織信息安全和保密基本技能培訓，開展信息安全和保密形勢分析、典型安全分析和警示教育，并做到經(jīng)?；?、制度化。要把信息安全和保密教育作為工作人員上崗、干部培訓、業(yè)務(wù)學習的重要內(nèi)容，提高安全和保密意識，使主動做好信息安全和保密工作成為每個工作人員的自覺行動，把信息安全防護基本技能作為應(yīng)知應(yīng)會內(nèi)容納入工作考核范圍，并作為考核干部的重要依據(jù)。加快研究建立行政機關(guān)工作人員信息安全技能考試制度，逐步做到工作人員持證上崗。當前，要針對存在的突出問題，深入學習宣傳信息安全“五禁止”規(guī)定：一是禁止將信息系統(tǒng)接入國際互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)；二是禁止在計算機與非計算機之間交叉使用U盤等移動存儲設(shè)備；三是禁止在沒有防護措施的情況下將國際互聯(lián)網(wǎng)等公共信息網(wǎng)絡(luò)上的數(shù)據(jù)拷貝到信息系統(tǒng)；四是禁止計算機、移動存儲設(shè)備與非計算機、非移動存儲設(shè)備混用；五是禁止使用具有無線互聯(lián)功能的設(shè)備處理信息。行政機關(guān)及其工作人員要切實遵守信息安全和保密管理各項規(guī)定，做到令行禁止，杜絕安全隱患。

三、完善安全措施和手段，夯實安全工作基礎(chǔ)

一是加強對信息、人員、場所和設(shè)備的管理。嚴格執(zhí)行保密要害部門、要害部位管理制度；嚴格執(zhí)行人員管理和資格審查制度；嚴格執(zhí)行計算機、設(shè)備登記管理和定期檢查制度；嚴格執(zhí)行計算機、信息系統(tǒng)軟件和維護服務(wù)提供者資質(zhì)審查及監(jiān)管制度。

二是實行計算機配置管理和安全審計。加快對辦公用計算機和移動存儲設(shè)備實行配置管理，統(tǒng)一編號、統(tǒng)一標志、統(tǒng)一登記；對辦公用計算機逐步加裝安全審計工具，定期進行安全審計。信息安全主管部門要會同有關(guān)部門和單位抓緊制訂行政機關(guān)辦公用計算機配置指南、安全使用規(guī)范和安全審計辦法。

三是規(guī)范電子文檔的管理。統(tǒng)一電子文檔命名規(guī)則，根據(jù)文件內(nèi)容在文件名中標明密級、類別，便于識別和管理。建立并保留電子文檔的創(chuàng)建、復制、傳遞，電子文檔必須在信息系統(tǒng)中存儲、處理，復制和傳遞電子文檔要嚴格按照同等密級紙質(zhì)文件的有關(guān)規(guī)定進行。逐步采用加密技術(shù)手段對電子文檔的存儲和傳輸進行保護。

四是加快信息安全防護設(shè)施建設(shè)。行政機關(guān)在規(guī)劃建設(shè)政府信息系統(tǒng)時，要嚴格遵循同步規(guī)劃、同步建設(shè)、同步運行的原則，按照國家有關(guān)法律法規(guī)和標準同步規(guī)劃、設(shè)計、建設(shè)、運行、管理信息安全防護設(shè)施。要將信息安全防護設(shè)施建設(shè)、運行、維護、檢查和管理費用納入預算，保證資金落實。項目審批部門要將擬建政府信息系統(tǒng)是否具備信息安全防護設(shè)施作為重要審核內(nèi)容。政府信息系統(tǒng)建成后，必須經(jīng)保密工作部門審批后方可投入使用。

五是切實增強政府業(yè)務(wù)網(wǎng)絡(luò)安全保障能力。政府業(yè)務(wù)網(wǎng)絡(luò)是政府信息系統(tǒng)的重要組成部分，是推行電子政務(wù)的重要基礎(chǔ)，必須采取切實有效的安全措施。要加快建立健全以身份認證、訪問控制、安全審計、責任認定、病毒防護等為主要內(nèi)容的網(wǎng)絡(luò)安全體系，完善網(wǎng)絡(luò)安全技術(shù)防護手段。抓緊制訂網(wǎng)絡(luò)對接、信息交換、安全技術(shù)及運行管理標準規(guī)范，實行嚴格的網(wǎng)絡(luò)接入審批制度。行政機關(guān)要督促、指導業(yè)務(wù)網(wǎng)絡(luò)管理單位完善相應(yīng)的辦法，保證網(wǎng)絡(luò)安全運行。

六是嚴格信息技術(shù)產(chǎn)品的采購管理。按照政府采購法和有關(guān)政策要求，行政機關(guān)要帶頭使用國產(chǎn)信息技術(shù)產(chǎn)品和服務(wù)，確保信息系統(tǒng)安全可控。其中，辦公用計算機、公文處理軟件、信息安全產(chǎn)品等應(yīng)使用國產(chǎn)產(chǎn)品，信息安全服務(wù)應(yīng)選擇有相應(yīng)資質(zhì)的國內(nèi)廠商，因特殊原因必須選用國外信息技術(shù)產(chǎn)品和信息安全服務(wù)的，應(yīng)進行安全審查，并報本單位主管信息安全工作的領(lǐng)導同志批準。政府信息系統(tǒng)、保密要害部門和部位使用信息技術(shù)產(chǎn)品及服務(wù)，必須嚴格執(zhí)行國家有關(guān)保密規(guī)定和標準。政府信息系統(tǒng)以及關(guān)系國家安全的重要信息系統(tǒng)的數(shù)據(jù)中心，災(zāi)難備份中心不得設(shè)立在境外，原則上不得接受在線遠程服務(wù)。

四、做好信息安全檢查工作，依法追究責任

篇7

衛(wèi)生監(jiān)督信息系統(tǒng)信息安全技術(shù)體系建設(shè)，嚴格遵循等級保護第三級的技術(shù)要求進行詳細設(shè)計、技術(shù)選擇、產(chǎn)品選型、產(chǎn)品部署。技術(shù)體系從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復等5個方面進行設(shè)計。

1.物理安全

衛(wèi)生監(jiān)督中心現(xiàn)有南北兩個機房，機房及相關(guān)配套設(shè)施面積總計160平方米。北機房部署等級保護第三級信息系統(tǒng)，南機房部署等級保護第二級信息系統(tǒng)，實現(xiàn)了第三級系統(tǒng)與第二級系統(tǒng)物理環(huán)境隔離。根據(jù)等級保護有關(guān)要求，機房均采用了精密空調(diào)、門禁系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)等設(shè)備設(shè)施及技術(shù)手段，有效地保證了機房的物理安全。

2.網(wǎng)絡(luò)安全

主干網(wǎng)絡(luò)鏈路均采用雙鏈路連接，關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備均采用雙機冗余方式，避免單點故障。采用防火墻、入侵防護系統(tǒng)、DDoS系統(tǒng)進行邊界防護，各網(wǎng)絡(luò)區(qū)域之間采用防火墻進行區(qū)域隔離，在對外服務(wù)區(qū)部署了入侵檢測系統(tǒng)，在交換服務(wù)區(qū)部署了網(wǎng)絡(luò)審計系統(tǒng)。在核心數(shù)據(jù)區(qū)部署了數(shù)據(jù)庫審計系統(tǒng)，對網(wǎng)絡(luò)行為進行監(jiān)控和記錄。在安全管理區(qū)部署安全管理系統(tǒng)，實現(xiàn)設(shè)備日志的統(tǒng)一收集及分析。

3.主機安全

所有服務(wù)器和管理終端配置了密碼安全策略；禁止用戶遠程管理，管理用戶必須進入機房通過KVM進行本地管理；所有服務(wù)器和管理終端進行了補丁更新，刪除了多余賬戶，關(guān)閉了不必要的端口和服務(wù)；所有服務(wù)器和管理終端開啟了安全審計功能；通過對數(shù)據(jù)庫的安全配置，實現(xiàn)管理用戶和特權(quán)用戶的分離，并實現(xiàn)最小授權(quán)要求。

4.應(yīng)用安全

衛(wèi)生監(jiān)督中心7個應(yīng)用系統(tǒng)均完成了定級備案，并按照等級保護要求開展了測評工作。應(yīng)用服務(wù)器采取了集群工作部署，保證了系統(tǒng)的高可用性，同時建立了安全審計功能模塊，記錄登錄日志、業(yè)務(wù)操作日志、系統(tǒng)操作日志3種日志，并實現(xiàn)查詢和審計統(tǒng)計功能，配置了獨立的審計賬戶。門戶網(wǎng)站也采用了網(wǎng)頁防篡改、DDoS等系統(tǒng)。信息安全等級保護第三級系統(tǒng)管理人員及高權(quán)限用戶均使用CA證書登錄相應(yīng)系統(tǒng)。

5.數(shù)據(jù)安全及備份恢復

衛(wèi)生監(jiān)督信息報告系統(tǒng)數(shù)據(jù)庫服務(wù)器使用了雙機熱備，應(yīng)用服務(wù)器采用多機負載均衡，每天本地備份，保證了業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定和可靠運行。其余等級保護第三級信息系統(tǒng)使用了雙機備份，無論是軟件還是硬件問題，都可以及時準確地進行恢復并正常提供服務(wù)。同時，衛(wèi)生監(jiān)督中心在云南建立了異地數(shù)據(jù)備份中心，每天進行增量備份，每周對數(shù)據(jù)進行一次全備份。備份數(shù)據(jù)在一定時間內(nèi)進行恢復測試，保證備份的有效性。

二、信息安全管理體系

在開展信息安全等級保護工作中，我們深刻體會到，信息安全工作“三分靠技術(shù)，七分靠管理”。為保證信息安全等級保護工作順利進行，參考ISO/IEC27001《信息安全管理體系要求》，衛(wèi)生監(jiān)督中心建立了符合實際工作情況的信息安全管理制度體系，明確了“統(tǒng)一領(lǐng)導，技管并重；預防為主，責權(quán)分明；重點防護，適度安全”的安全方針，涵蓋等級保護管理要求中安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五大方面的要求。衛(wèi)生監(jiān)督中心建立了較為完善的信息安全責任制，設(shè)立了信息安全領(lǐng)導小組，領(lǐng)導小組組長由衛(wèi)生監(jiān)督中心主任擔任，成員由衛(wèi)生監(jiān)督中心有關(guān)處室負責人組成，信息處作為信息安全工作辦公室負責衛(wèi)生監(jiān)督中心日常信息安全管理工作。信息處設(shè)立了信息安全管理崗位，分別為網(wǎng)絡(luò)管理員、系統(tǒng)管理員、應(yīng)用管理員、安全管理員、安全審計員、機房管理員，并建立了信息安全崗位責任制度。此外，衛(wèi)生監(jiān)督中心依據(jù)上年度運維中存在的信息安全隱患每年對其進行修訂，確保信息安全工作落到實處。

三、信息安全運維體系

在信息安全工作中，建立信息安全管理制度不是目的，要以信息安全等級保護有關(guān)要求指導信息安全運維實踐。衛(wèi)生監(jiān)督中心結(jié)合實際情況，編制了《國家級衛(wèi)生監(jiān)督信息系統(tǒng)運行維護工作規(guī)范》，從運行維護流程、資源管理和環(huán)境管理三個方面進行了規(guī)范，將安全運維理念落到實處。運維人員在實際工作中，嚴格按照工作規(guī)范要求。利用衛(wèi)生監(jiān)督中心OA系統(tǒng)，建立了統(tǒng)一的服務(wù)臺，實現(xiàn)了事件、問題的全流程閉環(huán)管理（即：發(fā)現(xiàn)問題、登記問題、解決問題、解決反饋、解決確認）。年均處理信息安全事件近百件，將信息安全問題消滅在萌芽階段，有效地保證了信息系統(tǒng)穩(wěn)定運行，保證了衛(wèi)生監(jiān)督中心信息安全目標和方針的實現(xiàn)。

四、信息安全等級保護實踐經(jīng)驗

1.規(guī)范管理，細化流程

衛(wèi)生監(jiān)督中心從安全管理制度、安全管理組織機構(gòu)及人員、安全建設(shè)管理和安全運維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設(shè)，為國家級衛(wèi)生監(jiān)督信息系統(tǒng)運維管理工作中安全管理提供了重要指導。國家級衛(wèi)生監(jiān)督信息系統(tǒng)運維工作從安全管理體系的建設(shè)中吸取了很多有益經(jīng)驗，不僅合理調(diào)配了運維管理人員，落實了運維管理組織機構(gòu)和崗位職責，而且細化了運維管理流程，形成了“二級三線”的運維處理機制。

2.循序漸進，持續(xù)完善

篇8

關(guān)鍵詞：防護體系；醫(yī)院信息系統(tǒng)；立體安全

現(xiàn)如今，醫(yī)院已經(jīng)可以采用電子信息技術(shù)實現(xiàn)對整個醫(yī)院各個環(huán)節(jié)的覆蓋，其中包括設(shè)備物資管理、HIS、PASS、LIS、PACS、醫(yī)療統(tǒng)計分析，全面覆蓋管理、研究、護理、醫(yī)療、教學、后勤等，在遠程醫(yī)療、合作醫(yī)療的條件下，醫(yī)院信息系統(tǒng)無法脫離網(wǎng)絡(luò)的客觀因素來實現(xiàn)操作。而在復雜、龐大的網(wǎng)絡(luò)結(jié)構(gòu)背景下，如何保證醫(yī)院的信息系統(tǒng)能在安全穩(wěn)定的環(huán)境下展開有序的運行，是醫(yī)療服務(wù)正常開展的重要前提與保障，并且醫(yī)院信息系統(tǒng)的安全性也關(guān)系到患者和醫(yī)院的隱私、是維護患者和醫(yī)院基本權(quán)益的重要基礎(chǔ)。我們要引起高度的重視。

1 醫(yī)院信息系統(tǒng)立體安全防護系統(tǒng)的設(shè)計需求

在醫(yī)院運行信息系統(tǒng)的過程中，具有良好的安全手段、安全管理、安全策略、安全環(huán)境等良好的特性，所以在開放的網(wǎng)絡(luò)背景下，醫(yī)院信息系統(tǒng)的安全問題主要是由于黑客等人為的故意入侵與破壞，造成數(shù)據(jù)泄露、醫(yī)院信息系統(tǒng)配置問題等隱患。針對這樣的安全風險，我們主要通過建立科學合理的安全防護體系來確保其正常運行，可以分為以下4個環(huán)節(jié)：網(wǎng)絡(luò)安全、物理級安全、系統(tǒng)級安全、應(yīng)用級安全。安全管理標準和制度是整個信息系統(tǒng)防護體系的中心任務(wù)。對數(shù)據(jù)安全起到多角度、多方位、多層次的立體防護。

2 醫(yī)院信息系統(tǒng)立體安全防護系統(tǒng)的設(shè)計構(gòu)想

為了更好的應(yīng)對上訴提到的安全風險，我們應(yīng)該建立安全可靠的安全防護體系，堅持以多角度、多方位為體系設(shè)計的基本原則，制定網(wǎng)絡(luò)安全策略、應(yīng)用安全策略、系統(tǒng)安全策略、安全管理策略等，更好的完善整個防護體系。在等級保護的作用指引下，應(yīng)該采用P2DR（防護、響應(yīng)、檢測）安全模型作為系統(tǒng)建設(shè)和安全規(guī)劃的基本方針和思路。防護體系根據(jù)事中檢測、事前防護、時候?qū)徲嫷茸鳛楦局笇Р呗浴?/p>

3 醫(yī)院信息系統(tǒng)立體安全防護系統(tǒng)的全面設(shè)計

3.1物理層安全 物理安全主要包括物理訪問控制、防破壞、電磁防護、物理位置選擇、防火、防潮、溫濕度控制、防雷擊、防盜竊、防水電力供應(yīng)等。

3.2網(wǎng)絡(luò)層面的安全防護 關(guān)于網(wǎng)絡(luò)層面的安全防護控制主要內(nèi)容有訪問安全控制、入侵防范、結(jié)構(gòu)安全、惡意代碼防范、網(wǎng)絡(luò)防備防護等。其中通過幾個方面進行具體的操作：

3.2.1劃分安全區(qū)域 對安全區(qū)域的劃分主要包括以下幾項基本原則：結(jié)構(gòu)簡化原則、立體防護原則、業(yè)務(wù)保障原則、生命周期原則、等級保護原則。

3.2.2對邊界訪問進行控制 在網(wǎng)絡(luò)體系中，對個區(qū)域的邊界訪問進行控制是很有效的防護手段，主要是對醫(yī)院信息防護系統(tǒng)的各個邊界進行安全防護措施，例如部署防火墻、運行入侵檢測系統(tǒng)、隔離網(wǎng)閘、對vlan進行劃分等高級別的網(wǎng)絡(luò)控制手段。

3.2.3開展網(wǎng)絡(luò)審計 在開展信息系統(tǒng)網(wǎng)絡(luò)維護的過程中，在交換機的旁邊布置網(wǎng)絡(luò)審計和網(wǎng)絡(luò)監(jiān)控系統(tǒng)，對網(wǎng)絡(luò)流量數(shù)據(jù)展開相應(yīng)的網(wǎng)絡(luò)審計，與此同時，將其他網(wǎng)絡(luò)設(shè)備的監(jiān)控數(shù)據(jù)收集起來共同為整個防護體系提供檢測數(shù)據(jù)。

3.2.4開展網(wǎng)絡(luò)入侵防范措施 交換機是信息系統(tǒng)的核心設(shè)備，可以在交換機的旁邊部開展對網(wǎng)絡(luò)入侵的檢測測試系統(tǒng)。將計算機網(wǎng)絡(luò)收集的信息進行具體全面的檢測與分析，一旦發(fā)現(xiàn)有安全隱患的行為就要及時進行處理。例如木馬、病毒、間諜軟件、蠕蟲、可以代碼等。同時在發(fā)現(xiàn)嚴重危險信號時應(yīng)該馬上報警。

3.3對主機層的安全防護 對主機層面進行安全防護的內(nèi)容主要包括訪問控制、入侵防護、身份鑒別、安全審計、資源控制、對惡意代碼防護等。我們具體介紹下其中幾個方面的防護內(nèi)容。

3.3.1身份鑒別 為了更好的提高網(wǎng)絡(luò)防護的性能要求，保證運行的穩(wěn)定性和安全性，我們對主機系統(tǒng)采用身份鑒別的方式加以鞏固，相關(guān)的步驟為：首先對網(wǎng)絡(luò)操作的用戶進行身份識別，確保用戶名不重復的登陸。然后根據(jù)口令要求，采用長度高于8位數(shù)、3種不同字符的口令。最后，如果登陸失敗，應(yīng)該立即關(guān)鍵會話窗口，并對關(guān)鍵的主機系統(tǒng)進行重新驗證。

3.3.2主機入侵防護 通過掃描、檢測等多種手段對有可能出現(xiàn)的主機入侵情況進行防護，在操作過程中應(yīng)該注意以最小安裝為基本原則，降低在服務(wù)和程序中可能出現(xiàn)的漏洞。

3.4應(yīng)用層的防護

3.4.1安全審計 對應(yīng)用層進行安全審計主要是針對業(yè)務(wù)管理系統(tǒng)來說的，業(yè)務(wù)管理與應(yīng)用應(yīng)該和信息安全系統(tǒng)相聯(lián)系起來。將應(yīng)用功能和審計功能放在同等重要的位置上。可以對醫(yī)院里一些比較重大的事情發(fā)生時間、發(fā)生情況、主要人物等進行相關(guān)的記錄和描述。并且做好相應(yīng)的保護措施，禁止非法修改、刪除等[1-3]。信息系統(tǒng)可以對收集到的數(shù)據(jù)進行分析、統(tǒng)計、查詢等操作。審計系統(tǒng)要對每個具體的事件狀態(tài)進行安全審計，確保數(shù)據(jù)庫的穩(wěn)定性。

3.4.2通信的完整 可以通過加密的方式對整個信息的傳輸過程進行保護，可以采用密碼機等相關(guān)的防護措施來確保數(shù)據(jù)遠程交換的完整性。

4 結(jié)束語

要完善醫(yī)院信息系統(tǒng)的安全防護體系是醫(yī)院開展正常工作的重要保障與條件，但是面對復雜多變的網(wǎng)絡(luò)環(huán)境，信息系統(tǒng)還存在很多的安全隱患需要我們及時的進行維護與改善，除了加強相應(yīng)的技術(shù)手段外，還要建立安全的信息管理體系對信息系統(tǒng)進行全面的管理，加強規(guī)范化的操作手段，要提升技術(shù)與管理的相互合作、相互協(xié)調(diào)性，確保信息系統(tǒng)的穩(wěn)定性。

參考文獻：

[1]劉金長，賴征田，楊成月，等.面向智能電網(wǎng)的信息安全防護體系建設(shè)[J].電力信息化，2013（09）.

篇9

一、廉潔自律，嚴修為政之德

20**年，我很好地遵守了黨的四大紀律和八項要求，廉潔自律，嚴于律已，很好地把握自己。無論財經(jīng)紀律還是其他經(jīng)濟方面，個人都能堅持原則，沒有利用職務(wù)之便為自己謀私利，對吃喝送請堅決進行回絕。主要作法是：

1、堅持學習，用尚方寶劍來警示自己。本時始終堅持看書讀報，對黨的方針政策作到心中有數(shù)。充分利用黨委中心組學習和討論的機會，增強對政策的熟悉和理解。認真學習集團下發(fā)的各項文件和規(guī)定，作到心中有數(shù)。

2、涉及重大經(jīng)濟合同方面的事項嚴格按公司規(guī)定辦。20**年公司新增固定資產(chǎn)投資2000多萬元，涉及我分管的部門資金就占了一半，對于這些項目的采購，我以宏觀把握為主，具體采購則是由公司采購小組來完成。這樣就避免了領(lǐng)導一言堂，使采購走過場的可能，從而有效地發(fā)揮了采購小組貨比三家的原則，達到了按優(yōu)采購的目的。

3、堅持民-主集中制原則。對于重大問題多請示，常匯報，把自己分管的工作進行通報，做到在位不越位，分工不分家;使工作大家一起作，困難一起幫。

二、礪志勤勉，緊緊圍繞三條主線開展工作

1、圍繞黨委分工協(xié)助總經(jīng)理抓好落實。

20**年黨委分工中明確，我主管經(jīng)營管理工作，協(xié)助總經(jīng)理抓好財務(wù)工作，兼管地勤保障部、安全檢查站，聯(lián)系公安、口岸工作。

公司的財務(wù)工作一直走在集團的前列，這是有目共睹的，多年來，形成了一整套行之有效的規(guī)章制度，特別是20**年度，企劃財務(wù)部的工作除了作好了日常工作，如財務(wù)指標的下達、年中的財務(wù)檢查與考核、以及年未財務(wù)兌現(xiàn)工作、集團財務(wù)規(guī)定的各項工作，充分為了公司的兩大審計工作和文明機場的準備工作積極籌措資金，快速上報各項固定資產(chǎn)投資計劃。此外，還圓滿地完成了湖南審計廳對包括對我分公司在內(nèi)的機場集團的經(jīng)濟責任審計工作，這既是一場硬仗，又是一場大勝仗。

地勤保障部和安全檢查站都是一線生產(chǎn)單位，直接面對旅客和機組人員，每一個人的工作都代表了機場的形象，兩個部門在公司的員工總數(shù)中占到了二分之一，但相對于目前公司的生產(chǎn)量和場地來說，其工作崗位還欠缺人手。我是從05年開始分管地勤保障部的，從一開始，我不是特別熟悉其工作，因此買了一些服務(wù)禮儀方面的書籍來充實自己，平時注意到基層多問、多看，漸漸地熟悉了這個部門的工作性質(zhì)，崗位流程，以及員工歡快的笑聲與委屈的淚水。地保部的工作是安全與服務(wù)兩大主題，但更多地是服務(wù)工作。采取了不少形式來提高服務(wù)質(zhì)量。我是從去年開始分管安檢站的工作的，由于國際形勢日益復雜，空防安全凸現(xiàn)壓力。只有從技術(shù)手段不斷提升才能有效降低安全風險，同時也必須注重服務(wù)質(zhì)量，才能取得旅客的配合與滿意。

地保部和安檢站還在公司的文藝和體育方面充當著積極的主力軍,他們克服工作壓力,擠出時間,積極參與,涌現(xiàn)出了不少明星或中堅骨干.

2、圍繞公司重點工作搞好督促工作;

應(yīng)該說，機場分公司2013年有三件大事：即文明機場的創(chuàng)建，安保審計和安全審計。如果說我的分管工作更多地是從塊塊出發(fā)的話，那2013年我在督促公司的重點工作方面更多地是從條條出發(fā)，兼顧塊塊的。2013年公司的這三件大事，集團都給予了高度的重視，集團領(lǐng)導多次來公司指導工作。公司黨委也是下定決心，集中精力辦大事，出臺了一系列的舉措來確保這三件大事的順利完成。我也正是基于公司的統(tǒng)一部署不折不扣的抓落實的。

在文明機場創(chuàng)建時，我主要負責環(huán)境衛(wèi)生的督察工作。我機場在創(chuàng)建前，基礎(chǔ)工作相對薄弱，環(huán)境秩序檔次較低，集團公司秦書記幾次親臨公司指導工作時，對我公司的創(chuàng)建工作從很高的角度出發(fā)，除了給候機樓更換了座椅，同意安排專門的改造費用，新增了人手，此外，對工作區(qū)的環(huán)境衛(wèi)生的整改也提出了很高的標準。正是由于上級領(lǐng)導的支持與關(guān)心，文明機場的創(chuàng)建工作進展比較順利。各部門把各自責任區(qū)的環(huán)境衛(wèi)生按照高標準完成了，對于機關(guān)下達的整改通知也都能按時完成。

安保審計工作的意義在于嚴把空防安全關(guān)口，規(guī)范進入隔離區(qū)的人、車和物品的程序，消除進入隔離區(qū)的人、車和物品可能存在的不安全性因素，完善機場應(yīng)急救援程序。在審計前，我主要針對機場坪秩序和進入隔離區(qū)的證件辦理進行了督促，重點加強了對公安和安檢的檢查工作。在陪同審計組檢查時，不失時機地把公司上下齊心協(xié)力地作準備工作的感人經(jīng)歷介紹給審計人員，讓審計組能更動態(tài)地了解我公司的安保審計工作的認真對待的態(tài)度和爭取達標的迫切心理。此外，由于安檢員人數(shù)和執(zhí)證上崗率都難以達到標準，安檢站也充分利用同學關(guān)系，積極作工作，爭取審計員理解我們的工作，使其相信我們今后會作得更好!

通過文明機場和安保審計工作的順利完成，公司的環(huán)境秩序明顯變化了，各種規(guī)章和臺賬也建立健全了，迎審工作經(jīng)驗也豐富了。因此，對于安全審計工作也作到了心中有數(shù)。安全審計工作包含七大部分，我主要負責對各部門的進度情況進行掌握，重點是帶領(lǐng)人事部對各部門的人員培訓進行檢查。由于大家的準備工作充分，加上審計過程中積極熱情，把一個充滿活力，富有朝氣的荷花機場展現(xiàn)在審計組全體人員和觀摩人員面前了，因此，審計工作相當順利地通過了。

3、圍繞公司對外關(guān)系作好協(xié)調(diào)工作;

篇10

為了應(yīng)對各種安全風險,保障公安網(wǎng)絡(luò)及其信息資源的安全,四川省公安選用了啟明星辰的全系安全產(chǎn)品來為其提供全面、可靠的安全保障。

安全域劃分

遵循IATF的縱深防御思想和IA原則,結(jié)合四川省公安信息網(wǎng)絡(luò)的實際情況,啟明星辰對整個網(wǎng)絡(luò)進行了安全域劃分。啟明星辰將整個網(wǎng)絡(luò)劃分為邊界接入域、計算環(huán)境域、網(wǎng)絡(luò)設(shè)施域和支撐設(shè)施域四個安全域;每個安全域又分為不同的安全區(qū),如根據(jù)接入的現(xiàn)狀將邊界接入域劃分為外聯(lián)網(wǎng)接入?yún)^(qū)、內(nèi)部接入?yún)^(qū)、內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)和邊界接入平臺四個不同的接入?yún)^(qū)。

在這四個安全域中,所面臨的風險和風險的危害程度是各不相同的,防護的重點也不一樣,需要根據(jù)每個安全域的特點制定相應(yīng)的安全策略,部署相應(yīng)的安全產(chǎn)品。

邊界接入域

網(wǎng)絡(luò)邊界的綜合安全防護

邊界接入域所面臨的主要威脅包括非授權(quán)訪問、來自外部的入侵、蠕蟲病毒等,因此在邊界接入域上需要采取訪問控制(防火墻)、安全遠程接入(VPN)、防病毒和網(wǎng)絡(luò)入侵防御等多種安全防護措施,全面應(yīng)對網(wǎng)絡(luò)安全風險。

針對邊界接入域的防護需求,啟明星辰在邊界接入域各接入?yún)^(qū)的邊界位置部署天清漢馬USG一體化安全網(wǎng)關(guān),以提供綜合的安全防御。

天清漢馬USG一體化安全網(wǎng)關(guān)是國內(nèi)領(lǐng)先的UTM產(chǎn)品,市場份額在2007年和2008年連續(xù)兩年位居國內(nèi)廠商前茅。天清漢馬USG除具備防火墻的狀態(tài)檢測和訪問控制功能外,還具備VPN、網(wǎng)關(guān)防病毒、網(wǎng)絡(luò)入侵防御(IPS)、抗拒絕服務(wù)(DoS)攻擊等高級安全功能,能夠為網(wǎng)絡(luò)邊界提供立體化的縱深防御,并大大簡化網(wǎng)絡(luò)邊界的安全部署。天清漢馬USG采用了高性能的硬件架構(gòu)和一體化的軟件設(shè)計,在開啟多種安全防護功能之后,仍然能夠確保高性能和低延遲,可謂是邊界防御的理想之選。

計算環(huán)境域

核心業(yè)務(wù)安全防御和合規(guī)保障

計算環(huán)境域包含了公安信息網(wǎng)中核心的業(yè)務(wù)平臺和業(yè)務(wù)服務(wù)器,其所面臨的主要威脅是外界對應(yīng)用系統(tǒng)的攻擊和入侵行為,尤其是SQL注入攻擊和跨站腳本(XSS)攻擊對網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)所帶來的嚴重危害。另外,內(nèi)部人員越權(quán)、濫用、操作失誤和抵賴等行為所帶來的安全風險,也需要進行積極的防范。

以核心計算域核心服務(wù)器區(qū)的防護為例,針對外部的攻擊和入侵行為,可以通過部署千兆天清NDP入侵防御系統(tǒng)(IPS)來提供深層防御。天清IPS可以防御傳統(tǒng)防火墻發(fā)現(xiàn)不了的4~7層深層攻擊行為,如緩沖溢出、木馬后門、蠕蟲病毒等,能夠進一步提升對關(guān)鍵業(yè)務(wù)和數(shù)據(jù)的防御能力。針對日益泛濫的SQL注入攻擊、跨站腳本攻擊等網(wǎng)絡(luò)攻擊行為,天清IPS采用了攻擊機理分析的檢測技術(shù)。與傳統(tǒng)的基于數(shù)據(jù)特征匹配和基于異常模型構(gòu)建的檢測方相比,基于攻擊機理分析的檢測技術(shù)有著更低的漏報率和誤報率,能夠?qū)W(wǎng)絡(luò)攻擊行為進行精確的判斷和阻斷,不會因為誤警而影響網(wǎng)絡(luò)的正常應(yīng)用。

針對內(nèi)部合規(guī)審計和管理的需求,通過部署啟明星辰天h網(wǎng)絡(luò)安全審計系統(tǒng),可以做到對重要數(shù)據(jù)庫和關(guān)鍵業(yè)務(wù)應(yīng)用的行為審計。天h網(wǎng)絡(luò)安全審計系統(tǒng)是對業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進行細粒度審計的合規(guī)性管理系統(tǒng)。它通過對被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進行解析、分析、記錄、匯報,能夠幫助用戶實現(xiàn)事前規(guī)劃預防、事中實時監(jiān)控和違規(guī)響應(yīng),以及事后合規(guī)報告和追蹤回放,從而加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管,避免核心資產(chǎn)(數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)損失,保障業(yè)務(wù)系統(tǒng)的正常運營。

網(wǎng)絡(luò)設(shè)施域

網(wǎng)絡(luò)行為和流量監(jiān)控

網(wǎng)絡(luò)設(shè)施域內(nèi)的各種網(wǎng)絡(luò)設(shè)備,承載著公安信息網(wǎng)內(nèi)所有的業(yè)務(wù)和通信流量,面臨著漏洞利用、數(shù)據(jù)竊聽、通信鏈路故障等風險。除了通過各種措施保證通信鏈路的可靠性以外,還需要對網(wǎng)絡(luò)中的各種安全事件、網(wǎng)絡(luò)流量的分布情況進行監(jiān)測,并根據(jù)監(jiān)測到的信息及時調(diào)整安全策略。

針對網(wǎng)絡(luò)設(shè)施域的防護需求,啟明星辰在信息網(wǎng)的核心交換機上旁路部署天闐入侵檢測系統(tǒng)(IDS),來對全網(wǎng)的安全事件和流量信息進行監(jiān)控。

啟明星辰的天闐IDS連續(xù)六年(2003~2008年)蟬聯(lián)國內(nèi)IDS市場領(lǐng)先地位,是名副其實的中國IT安全市場入侵檢測知名品牌。天闐IDS可以監(jiān)視端口掃描、木馬后門攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等各種入侵事件,并在發(fā)生嚴重入侵事件時通過屏幕提示、郵件告警、E-mail告警等多種方式向管理員提供報警。天闐IDS還可以對全網(wǎng)的流量情況進行全局分析,提供實時的流量統(tǒng)計圖,幫助網(wǎng)絡(luò)管理員直觀地掌握網(wǎng)絡(luò)中各種應(yīng)用的分布情況。

支撐設(shè)施域

脆弱性評估和內(nèi)網(wǎng)安全

支撐設(shè)施域范圍很廣,包含了信息網(wǎng)中所使用的業(yè)務(wù)應(yīng)用運維系統(tǒng)、公用秘鑰體系、安全管理體系等各種支撐體系。支撐域所面臨的風險主要有兩方面:一方面是支撐域中的各種終端、網(wǎng)絡(luò)設(shè)備、服務(wù)器可能存在的漏洞和脆弱性,這些漏洞和脆弱性能夠被不法分子利用以進入內(nèi)部網(wǎng)絡(luò),非法獲取內(nèi)部信息資產(chǎn);另一方面來自于內(nèi)部人員,員工的不規(guī)范操作、終端隨意接入、權(quán)限私自共享等行為,往往會導致傳輸泄密、網(wǎng)絡(luò)癱瘓、文件破壞等嚴重后果。

對于資產(chǎn)的脆弱性風險,通過在支撐域中部署天鏡脆弱性掃描和管理系統(tǒng),可以快速發(fā)現(xiàn)網(wǎng)絡(luò)中的各種資產(chǎn),并對資產(chǎn)進行識別;對網(wǎng)絡(luò)中的核心服務(wù)器、各種終端、重要的網(wǎng)絡(luò)設(shè)備,包括服務(wù)器、交換機等進行安全漏洞檢測和分析;對于發(fā)現(xiàn)的漏洞,給出修復建議和預防措施,并對風險控制策略進行有效審核,從而幫助客戶在弱點全面評估的基礎(chǔ)上實現(xiàn)安全自主掌控。

對于內(nèi)部人員風險,通過在業(yè)務(wù)和運維終端部署天內(nèi)網(wǎng)風險控制和安全管理系統(tǒng),能夠?qū)θW(wǎng)的接入主機進行補丁自動分發(fā)和終端合規(guī)檢查,杜絕不安全的終端接入內(nèi)網(wǎng)。使用天獨有的內(nèi)核加密技術(shù),可實時動態(tài)加解密,以及基于用戶角色的關(guān)鍵數(shù)據(jù)受控共享,結(jié)合完善的防非法外聯(lián)技術(shù),能夠有效切斷數(shù)據(jù)非法傳播途徑,從根本上解決數(shù)據(jù)防泄密問題,保護用戶關(guān)鍵信息資產(chǎn)。