時間:2022-12-15 23:01:54
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇安全審計論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
電子數據安全是建立在計算機網絡安全基礎上的一個子項安全系統,它既是計算機網絡安全概念的一部分,但又和計算機網絡安全緊密相連,從一定意義上講,計算機網絡安全其實質即是電子數據安全。國際標準化組織(ISO)對計算機網絡安全的定義為:“計算機系統有保護計算機系統的硬件、軟件、數據不被偶然或故意地泄露、更改和破壞。”歐洲幾個國家共同提出的“信息技術安全評級準則”,從保密性、完整性和可用性來衡量計算機安全。對電子數據安全的衡量也可借鑒這三個方面的內容,保密性是指計算機系統能防止非法泄露電子數據;完整性是指計算機系統能防止非法修改和刪除電子數據;可用性是指計算機系統能防止非法獨占電子數據資源,當用戶需要使用計算機資源時能有資源可用。
二、電子數據安全的性質
電子數據安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統對外部威脅的防范,而廣義的安全是計算機系統在保證電子數據不受破壞并在給定的時間和資源內提供保證質量和確定的服務。在電子數據運行在電子商務等以計算機系統作為一個組織業務目標實現的核心部分時,狹義安全固然重要,但需更多地考慮廣義的安全。在廣義安全中,安全問題涉及到更多的方面,安全問題的性質更為復雜。
(一)電子數據安全的多元性
在計算機網絡系統環境中,風險點和威脅點不是單一的,而存在多元性。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關鍵設施、設備的安全和硬件資產存放地點的安全等內容;邏輯安全涉及到訪問控制和電子數據完整性等方面;安全管理包括人員安全管理政策、組織安全管理政策等內容。電子數據安全出現問題可能是其中一個方面出現了漏洞,也可能是其中兩個或是全部出現互相聯系的安全事故。
(二)電子數據安全的動態性
由于信息技術在不斷地更新,電子數據安全問題就具有動態性。因為在今天無關緊要的地方,在明天就可能成為安全系統的隱患;相反,在今天出現問題的地方,在將來就可能已經解決。例如,線路劫持和竊聽的可能性會隨著加密層協議和密鑰技術的廣泛應用大大降低,而客戶機端由于B0這樣的黑客程序存在,同樣出現了安全需要。安全問題的動態性導致不可能存在一勞永逸的解決方案。
(三)電子數據安全的復雜性
安全的多元性使僅僅采用安全產品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外,因為黑客常常利用防火墻的隔離性,持續幾個月在防火墻外試探系統漏洞而未被發覺,并最終攻入系統。另外,攻擊者通常會從不同的方面和角度,例如對物理設施或協議、服務等邏輯方式對系統進行試探,可能繞過系統設置的某些安全措施,尋找到系統漏洞而攻入系統。它涉及到計算機和網絡的硬件、軟件知識,從最底層的計算機物理技術到程序設計內核,可以說無其不包,無所不在,因為攻擊行為可能并不是單個人的,而是掌握不同技術的不同人群在各個方向上展開的行動。同樣道理,在防范這些問題時,也只有掌握了各種入侵技術和手段,才能有效的將各種侵犯拒之門外,這樣就決定了電子數據安全的復雜性。
(四)電子數據安全的安全悖論
目前,在電子數據安全的實施中,通常主要采用的是安全產品。例如防火墻、加密狗、密鑰等,一個很自然的問題會被提出:安全產品本身的安全性是如何保證的?這個問題可以遞歸地問下去,這便是安全的悖論。安全產品放置點往往是系統結構的關鍵點,如果安全產品自身的安全性差,將會后患無窮。當然在實際中不可能無限層次地進行產品的安全保證,但一般至少需要兩層保證,即產品開發的安全保證和產品認證的安全保證。
(五)電子數據安全的適度性
由以上可以看出,電子數據不存在l00%的安全。首先由于安全的多元性和動態性,難以找到一個方法對安全問題實現百分之百的覆蓋;其次由于安全的復雜性,不可能在所有方面應付來自各個方面的威脅;再次,即使找到這樣的方法,一般從資源和成本考慮也不可能接受。目前,業界普遍遵循的概念是所謂的“適度安全準則”,即根據具體情況提出適度的安全目標并加以實現。
三、電子數據安全審計
電子數據安全審計是對每個用戶在計算機系統上的操作做一個完整的記錄,以備用戶違反安全規則的事件發生后,有效地追查責任。電子數據安全審計過程的實現可分成三步:第一步,收集審計事件,產生審記記錄;第二步,根據記錄進行安全違反分析;第三步,采取處理措施。
電子數據安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統上的活動、上機下機時間,與計算機信息系統內敏感的數據、資源、文本等安全有關的事件,可隨時記錄在日志文件中,便于發現、調查、分析及事后追查責任,還可以為加強管理措施提供依據。
(一)審計技術
電子數據安全審計技術可分三種:了解系統,驗證處理和處理結果的驗證。
1.了解系統技術
審計人員通過查閱各種文件如程序表、控制流程等來審計。
2.驗證處理技術
這是保證事務能正確執行,控制能在該系統中起作用。該技術一般分為實際測試和性能測試,實現方法主要有:
(1)事務選擇
審計人員根據制訂的審計標準,可以選擇事務的樣板來仔細分析。樣板可以是隨機的,選擇軟件可以掃描一批輸入事務,也可以由操作系統的事務管理部件引用。
(2)測試數據
這種技術是程序測試的擴展,審計人員通過系統動作準備處理的事務。通過某些獨立的方法,可以預見正確的結果,并與實際結果相比較。用此方法,審計人員必須通過程序檢驗被處理的測試數據。另外,還有綜合測試、事務標志、跟蹤和映射等方法。
(3)并行仿真。審計人員要通過一應用程序來仿真操作系統的主要功能。當給出實際的和仿真的系統相同數據后,來比較它們的結果。仿真代價較高,借助特定的高級語音可使仿真類似于實際的應用。
(4)驗證處理結果技術
這種技術,審計人員把重點放在數據上,而不是對數據的處理上。這里主要考慮兩個問題:
一是如何選擇和選取數據。將審計數據收集技術插入應用程序審計模塊(此模塊根據指定的標準收集數據,監視意外事件);擴展記錄技術為事務(包括面向應用的工具)建立全部的審計跟蹤;借用于日志恢復的備份庫(如當審計跟蹤時,用兩個可比較的備份去檢驗賬目是否相同);通過審計庫的記錄抽取設施(它允許結合屬性值隨機選擇文件記錄并放在工作文件中,以備以后分析),利用數據庫管理系統的查詢設施抽取用戶數據。
二是從數據中尋找什么?一旦抽取數據后,審計人員可以檢查控制信息(含檢驗控制總數、故障總數和其他控制信息);檢查語義完整性約束;檢查與無關源點的數據。
(二)審計范圍
在系統中,審計通常作為一個相對獨立的子系統來實現。審計范圍包括操作系統和各種應用程序。
操作系統審計子系統的主要目標是檢測和判定對系統的滲透及識別誤操作。其基本功能為:審計對象(如用戶、文件操作、操作命令等)的選擇;審計文件的定義與自動轉換;文件系統完整性的定時檢測;審計信息的格式和輸出媒體;逐出系統、報警閥值的設置與選擇;審計日態記錄及其數據的安全保護等。
應用程序審計子系統的重點是針對應用程序的某些操作作為審計對象進行監視和實時記錄并據記錄結果判斷此應用程序是否被修改和安全控制,是否在發揮正確作用;判斷程序和數據是否完整;依靠使用者身份、口令驗證終端保護等辦法控制應用程序的運行。
(三)審計跟蹤
通常審計跟蹤與日志恢復可結合起來使用,但在概念上它們之間是有區別的。主要區別是日志恢復通常不記錄讀操作;但根據需要,日記恢復處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結合起來,就可以在違反安全規則的事件發生時,或在威脅安全的重要操作進行時,及時向安檢員發出告警信息,以便迅速采取相應對策,避免損失擴大。審計記錄應包括以下信息:事件發生的時間和地點;引發事件的用戶;事件的類型;事件成功與否。
審計跟蹤的特點是:對被審計的系統是透明的;支持所有的應用;允許構造事件實際順序;可以有選擇地、動態地開始或停止記錄;記錄的事件一般應包括以下內容:被審訊的進程、時間、日期、數據庫的操作、事務類型、用戶名、終端號等;可以對單個事件的記錄進行指定。
按照訪問控制類型,審計跟蹤描述一個特定的執行請求,然而,數據庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密,因為審計人員可以限制時間,但代價比較昂貴。
(四)審計的流程
電子數據安全審計工作的流程是:收集來自內核和核外的事件,根據相應的審計條件,判斷是否是審計事件。對審計事件的內容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時,則向審計人員發送報警信息并記錄其內容。當事件在一定時間內連續發生,滿足逐出系統閥值,則將引起該事件的用戶逐出系統并記錄其內容。
常用的報警類型有:用于實時報告用戶試探進入系統的登錄失敗報警以及用于實時報告系統中病毒活動情況的病毒報警等。
[論文摘要]計算機網絡日益成為重要信息交換手段,認清網絡的脆弱性和潛在威脅以及現實客觀存在的各種安全問題,采取強有力的安全策略,保障網絡信息的安全,是每一個國家和社會以及個人必須正視的事情。本文針對計算機網絡應用相關的基本信息安全問題和解決方案進行了探討。
隨著計算機網絡技術的不斷發展,全球信息化己成為人類發展的大趨勢,計算機網絡已經在同防軍事領域、金融、電信、證券、商業、教育以及日常生活巾得到了大量的應用。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。所以網上信息的安全和保密是一個至關重要的問題。因此,網絡必須有足夠強的安全措施,否則網絡將是尤用的,相反會給使用者帶來各方面危害,嚴重的甚至會危及周家安全。
一、信息加密技術
網絡信息發展的關鍵問題是其安全性,因此,必須建立一套有效的包括信息加密技術、安全認證技術、安全交易議等內容的信息安全機制作為保證,來實現電子信息數據的機密性、完整性、不可否認性和交易者身份認證忡,防止信息被一些懷有不良用心的人看到、破壞,甚至出現虛假信息。
信息加密技術是保證網絡、信息安全的核心技術,是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉換成不可直接讀取的秘文,阻止非法用戶扶取和理解原始數據,從而確保數據的保密忭。ⅱ月文變成秘文的過程稱為加密,南秘文還原成明文的過程稱為解密,加密、解密使用的町變參數叫做密鑰。
傳統上,幾種方法町以用來加密數據流,所有這些方法都町以用軟件很容易的實現,當只知道密文的時候,是不容易破譯這些加密算法的。最好的加密算法塒系統性能幾乎沒有影響,并且還可以帶來其他內在的優點。例如,大家郜知道的pkzip,它既壓縮數據義加密數據。義如,dbms的一些軟件包包含一些加密方法使復制文件這一功能對一些敏感數據是尢效的,或者需要用戶的密碼。所有這些加密算法都要有高效的加密和解密能力。
二、防火墻技術
“防火墻”是一個通用術i五,是指在兩個網絡之間執行控制策略的系統,是在網絡邊界上建立的網絡通信監控系統,用來保障計算機網絡的安全,它是一種控制技術,既可以是一種軟件產品,又可以制作或嵌入到某種硬什產品中。防火墻通常是巾軟什系統和硬什設備組合而成,在內部網和外部網之間構建起安全的保護屏障。
從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強intranet(內部網)之間安全防御的一個或一組系統,它南一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自intemet的傳輸信息或發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件傳輸、遠程登錄、布特定的系統問進行信息交換等安全的作用。
防火墻可以被看成是阻塞點。所有內部網和外部網之間的連接郝必須經過該阻塞點,在此進行檢查和連接,只有被授權的通信才能通過該阻塞點。防火墻使內部網絡與外部網絡在一定條件下隔離,從而防止非法入侵及非法使用系統資源。同時,防火墻還日,以執行安全管制措施,記錄所以可疑的事件,其基本準則有以下兩點:
(1)一切未被允許的就是禁止的。基于該準則,防火墑應封鎖所有信息流,然后對希單提供的服務逐項丌放。這是一種非常災用的方法,可以造成一種十分安全的環境,為只有經過仔細挑選的服務才被允許使用。其弊端是,安全件高于片j戶使片j的方便件,用戶所能使用的服務范同受到限制。
(2)一切未被禁止的就是允許的。基于該準則,防火埔轉發所有信息流,然后逐項屏蔽可能有害的服務。這種方法構成了一種更為靈活的應用環境,可為用戶提供更多的服務。其弊端是,在口益增多的網絡服務面前,網管人員疲于奔命,特別是受保護的網絡范嗣增大時,很難提供町靠的安全防護。
較傳統的防火墻來說,新一代防火墻具有先進的過濾和體系,能從數據鏈路層到應用層進行全方位安全處理,協議和的直接相互配合,提供透明模式,使本系統的防欺騙能力和運行的健壯件都大大提高;除了訪問控制功能外,新一代的防火墻還集成了其它許多安全技術,如nat和vpn、病毒防護等、使防火墻的安全性提升到義一高度。
三、網絡入侵檢測與安全審計系統設計
在網絡層使用了防火墻技術,經過嚴格的策略配置,通常能夠在內外網之問提供安全的網絡保護,降低了網絡安全風險。但是,儀儀使用防火墻、網絡安全還遠遠不夠。因為日前許多入侵手段如icmp重定向、盯p反射掃描、隧道技術等能夠穿透防火墑進入網絡內部;防火墻無法防護不通過它的鏈接(如入侵者通過撥號入侵);不能防范惡意的知情者、不能防范來自于網絡內部的攻擊;無法有效地防范病毒;無法防范新的安全威脅;南于性能的限制,防火墻通常不能提供實時動態的保護等。
因此,需要更為完善的安全防護系統來解決以上這些問題。網絡入侵監測與安全審計系統是一種實時的網絡監測包括系統,能夠彌補防火墑等其他系統的不足,進一步完善整個網絡的安全防御能力。網絡中部署網絡入侵檢測與安全審計系統,可以在網絡巾建立完善的安全預警和安全應急反應體系,為信息系統的安全運行提供保障。
在計算機網絡信息安全綜合防御體系巾,審計系統采用多agent的結構的網絡入侵檢測與安全審計系統來構建。整個審計系統包括審計agent,審計管理中心,審計管理控制臺。審計agent有軟什和硬什的形式直接和受保護網絡的設備和系統連接,對網絡的各個層次(網絡,操作系統,應用軟件)進行審計,受審計巾心的統一管理,并將信息上報到各個巾心。審計巾心實現對各種審計agent的數據收集和管理。審計控制會是一套管理軟件,主要實現管理員對于審計系統的數據瀏覽,數據管理,規則沒置功能。管理員即使不在審計中心現場也能夠使用審計控制臺通過遠程連接審計中心進行管理,而且多個管理員可以同時進行管理,根據權限的不同完成不同的職責和任務。
四、結論
關鍵詞:網絡安全,入侵檢測
隨著計算機技術以及網絡信息技術的高速發展, 許多部門都利用互聯網建立了自己的信息系統, 以充分利用各類信息資源。但在連接信息能力、流通能力提高的同時,基于網絡連接的安全問題也日益突出。在現今的網絡安全技術中,常用的口令證、防火墻、安全審計及及加密技術等等,都屬于靜態防御技術,而系統面臨的安全威脅越來越多,新的攻擊手段也層出不窮,僅僅依靠初步的防御技術是遠遠不夠的,需要采取有效的手段對整個系統進行主動監控。入侵檢測系統是近年來網絡安全領域的熱門技術,是保障計算機及網絡安全的有力措施之一。
1 入侵檢測和入侵檢測系統基本概念
入侵檢測(Intrusion Detection)是動態的跟蹤和檢測方法的簡稱, 是對入侵行為的發覺,它通過旁路偵聽的方式,對計算機網絡和計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。
入侵檢測的軟件和硬件組成了入侵檢測系統(IDS:Intrusion Detection System),IDS是繼防火墻之后的第二道安全閘門,它在不影響網絡性能的情況下依照一定的安全策略,對網絡的運行狀況進行監測。它能夠幫助網絡系統快速發現網絡攻擊的發生,對得到的數據進行分析,一旦發現入侵,及進做出響應,包括切斷網絡連接、記錄或者報警等。由于入侵檢測能在不影響網絡性能的情況下對網絡進行監測,為系統提供對內部攻擊、外部攻擊和誤操作的有效保護。因此,為網絡安全提供高效的入侵檢測及相應的防護手段,它以探測與控制為技術本質,能彌補防火墻的不足,起著主動防御的作用,是網絡安全中極其重要的部分。免費論文。
2 入侵檢測系統的分類
入侵檢測系統根據其檢測數據來源分為兩類:基于主機的入侵檢測系統和基于網絡的入侵檢測系統。
基于主機的入侵檢測系統的檢測目標是主機系統和系統本地用戶。其原理是根據主機的審計數據和系統日志發現可疑事件。該系統通常運行在被監測的主機或服務器上,實時檢測主機安全性方面如操作系統日志、審核日志文件、應用程序日志文件等情況,其效果依賴于數據的準確性以及安全事件的定義。基于主機的入侵檢測系統具有檢測效率高,分析代價小,分析速度快的特點,能夠迅速并準確地定位入侵者,并可以結合操作系統和應用程序的行為特征對入侵進行進一步分析、響應。基于主機的入侵檢測系統只能檢測單個主機系統。
基于網絡的入侵檢測系統搜集來自網絡層的信息。這些信息通常通過嗅包技術,使用在混雜模式的網絡接口獲得。基于網絡的入侵檢測系統可以監視和檢測網絡層的攻擊。它具有較強的數據提取能力。在數據提取的實時性、充分性、可靠性方面優于基于主機日志的入侵檢測系統。基于網絡的入侵檢測系統可以對本網段的多個主機系統進行檢測,多個分布于不同網段上的基于網絡的入侵檢測系統可以協同工作以提供更強的入侵檢測能力。
3 入侵檢測方法
入侵檢測方法主要分為異常入侵檢測和誤用入侵檢測。
異常入侵檢測的主要前提條件是將入侵性活動作為異常活動的子集,理想狀況是異常活動集與入侵性活動集等同,這樣,若能檢測所有的異常活動,則可檢測所有的入侵活動。但是,入侵性活動并不總是與異常活動相符合。這種活動存在4種可能性:(1)入侵性而非異常;(2)非入侵性且異常;(3)非入侵性且非異常;(4)入侵且異常。異常入侵要解決的問題是構造異常活動集,并從中發現入侵性活動子集。異常入侵檢測方法依賴于異常模型的建立。不同模型構成不同的檢測方法,異常檢測是通過觀測到的一組測量值偏離度來預測用戶行為的變化,然后作出決策判斷的檢測技術。
誤用入侵檢測是通過將預先設定的入侵模式與監控到的入侵發生情況進行模式匹配來檢測。它假設能夠精確地將入侵攻擊按某種方式編碼,并可以通過捕獲入侵攻擊將其重新分析整理,確認該入侵行為是否為基于對同一弱點進行入侵攻擊方法的變種,入侵模式說明導致安全事件或誤用事件的特征、條件、排列和關系。免費論文。根據匹配模式的構造和表達方式的不同,形成了不同的誤用檢測模型。誤用檢測模型能針對性地建立高效的入侵檢測系統,檢測精度高,誤報率低,但它對未知的入侵活動或已知入侵活動的變異檢測的性能較低。
4 入侵檢測系統的評估
對于入侵檢測系統的評估,主要的性能指標有:(1)可靠性,系統具有容錯能力和可連續運行;(2)可用性,系統開銷要最小,不會嚴重降低網絡系統性能;(3)可測試,通過攻擊可以檢測系統運行;(4)適應性,對系統來說必須是易于開發的,可添加新的功能,能隨時適應系統環境的改變;(5)實時性,系統能盡快地察覺入侵企圖以便制止和限制破壞;(6)準確性,檢測系統具有較低的誤警率和漏警率;(7)安全性,檢測系統必須難于被欺騙和能夠保護自身安全。免費論文。
5 入侵檢測的發展趨勢
入侵檢測作為一種積極主動的安全防護技術,提供了對攻擊和誤操作的實時保護,在網絡系統受到危險之前攔截和響應入侵,但它存在的問題有:誤報率和漏報率高、檢測速度慢,對IDS自身的攻擊,缺乏準確定位與處理機制、缺乏性能評價體系等。在目前的入侵檢測技術研究中,其主要的發展方向可概括為:
(1)大規模分布式入侵檢測
(2)寬帶高速網絡的實時入侵檢測技術
(3)入侵檢測的數據融合技術
(4)與網絡安全技術相結合
6 結束語
隨著計算機技術以及網絡信息技術的高速發展,入侵檢測技術已成為計算機安全策略中的核心技術之一。它作為一種積極主動的防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,為網絡安全提供高效的入侵檢測及相應的防護手段。入侵檢測作為一個新的安全機制開始集成到網絡系統安全框架中。
[參考文獻]
[1]張杰,戴英俠.入侵檢測系統技術現狀及其發展趨勢[J].計算機與通信,2002,96]:28-32.
[2]陳明.網絡安全教程[M].北京:清華大學出版社,2004,1.
[3]羅守山.入侵檢測[M].北京:北京郵電大學出版社,2004.
[4]戴云,范平志,入侵檢測系統研究綜述[J].計算機工程與應用,2002,4.
SharePoint是微軟推出的企業級綜合門戶平臺,提供內容管理(ECM)、企業信息集成、社區等一系列功能,并具有可擴展性[4]。自微軟推出SharePointServer2013,其功能越來越強大,例如其內容查詢Webpart部件可以查詢SharePoint平臺以外的數據并在SharePoint平臺中展示;集成了挪威FAST公司的FAST搜索技術,可以為企業提供安全的、多視角的企業搜索平臺等[5]。基于SharePoint技術,本系統將科技信息進行分類整理,利用SharePointECM元數據技術對科技信息進行多維度分類和搜索精簡,利用FAST搜索技術實現對SharePoint平臺數據的搜索和SharePoint平臺以外數據的搜索、并且搜索支持多種格式。考慮信息安全的需求,本系統利用SharePoint權限控制機制對科技信息進行細致的安全控制,對用戶角色進行管理,保證用戶只能訪問到其權限范圍內的數據。利用SharePointECM的高級路由功能,基于元數據讓系統決定由哪個文檔庫來保存文檔。同時企業人員經常會遇到多人文檔協作的情況,傳統的方式是由一個人負責分發任務和整合文檔,協作效率低下,本系統利用officewebapps技術實現多人共同編輯一份文檔、自動整合的功能,并且可以對文檔進行版本控制和權限控制,集成office的版本比對功能查看版本差異等,大大提高了團隊文檔協作效率。制造企業的某些科技信息需要進行流程管理,比如科研論文投稿之前需要經過多道審批手續,發表成功后還需要論文主管部門審查才能正式進入其科研論文庫,本系統利用SharePoint工作流技術實現文檔的審批功能。
2系統整體架構
本系統建立在WindowsServer2008R2上,通過擴展的.NETFramework、IIS7.0以及AD域等集成SharePointServer2013解決方案來實現。系統架構如圖1所示。1)最底層為操作系統層,為科技信息管理提供Web服務、數據庫服務、基于Windows活動目錄(AD域)提供用戶管理服務、基于Exchange提供郵件服務和基于LCS提供即時消息服務等。2)基礎服務層建立在操作系統層之上,與操作系統層共同構成SharePoint支撐平臺。為科技信息管理提供權限管理服務、搜索服務、工作流管理服務和文檔存儲服務等,并且支持二次開發以提供更復雜和個性化的服務。3)應用層即為科技信息管理平臺,建立在SharePoint支撐平臺之上。包括用戶管理模塊、文檔管理模塊、權限管理模塊、文檔審批模塊、文檔協作模塊、信息檢索模塊和信息統計模塊。4)最上面一層為表示層,與應用層、基礎服務層和操作系統層共同構成科技信息管理系統。Webpart部件提供前端可視化操作界面,最終通過瀏覽器進行訪問。
3系統關鍵流程設計
3.1文檔創建/上傳流程設計
系統為不同類型的文檔創建了模板,例如期刊論文模板、經驗總結模板等等。用戶可以根據模板創建文檔,也可以選擇直接上傳文檔。文檔上傳時用戶不需要關心將文檔上傳到哪個文檔庫,只需要為文檔填寫擴展屬性(如文檔產生部門、作者職稱等)并提交即可。系統利用SharePoint的高級路由功能預先定義規則,根據文檔元數據決定將文檔路由到哪個文檔庫。文檔創建/上傳流程如圖2所示。同時SharePoint與office高度集成,用戶也可以不登陸系統,直接在office中將文檔一鍵到本系統。
3.2文檔審批流程設計
系統需要對一些文檔的流程進行管理,比如科研人員公開,首先要經過基層領導審批,基層領導審批通過后送到保密部門進行保密審查,保密審查通過后才能投稿,如果發表成功,再送到論文主管部門歸檔。以往制造企業采用紙質跑簽的方式實現論文審批。這樣做不但效率低,而且只對發表成功的論文進行了歸檔管理,那些沒有發表成功但同樣有參考價值的論文則由科研人員自己保管,隨時都有可能丟失或者誤刪除。科研論文管理流程如圖3所示。由于SharePoint的工作流設計工具SharePointDesigner,只能設計順序工作流,不支持流程回退功能。對于業務邏輯稍微復雜的工作流實現起來非常困難。本系統中采用VisualStudio+quickflow來進行流程開發,采用InfoPath進行表單開發。實現了流程可視化監控和管理、任務/轉發、郵件提醒和超時提醒等功能。并且將任務鏈接嵌入郵件中,這樣審批者收到郵件提醒后,打開郵件并點擊任務鏈接就可以執行任務。
4系統功能設計
4.1用戶管理
SharePoint平臺與WindowsAD域高度集成,利用其UserProfileServiceApplication應用程序實現與AD域進行用戶同步,同步方式可以選擇增量同步或完全同步,管理員可以設置同步策略。本系統登錄采用Windows集成認證方式,無需為用戶單獨建立賬戶。
4.2文檔管理
文檔管理模塊包括文檔分類、文檔操作和版本控制等功能。4.2.1文檔分類由于制造企業的科技信息種類繁多、形式多樣并且專業性強,一個好的分類可以提高科技信息的檢索效率。本系統中,首先根據科研人員使用文檔的習慣,將文檔分為不同的內容類型(如科研論文、技術標準與規范、經驗總結、專利等),每種內容類型都包含基本屬性(如標題、創建者、創建時間、大小等)和根據制造企業實際情況定義的擴展屬性(如文檔產生部門、作者職稱等)。基本屬性由系統自動識別,擴展屬性由文檔創建/上傳者從系統提供的元數據字典中選擇。利用SharePoint的ManagedMetadataService服務為系統創建元數據字典。圖4為系統元數據字典部分截圖。從圖中可以看出,按照內容類型可以將科技信息分為技術標準與規范、經驗總結、科研論文和專利等;也可以按照文檔產生部門分類,從而實現對數據的多維度分類。4.2.2文檔操作和版本控制文檔操作包括文檔創建/上傳、下載、刪除、修改等功能。系統利用簽出/簽入操作創建文檔版本。集成office的版本比對功能對比版本之間的差異,并可以隨時查看任何一個版本的文檔。
4.3權限管理
由于制造企業人員密級不同,科技信息也由不同的密級組成,因此需要對科技信息進行嚴格的安全控制,保證每個用戶只能訪問其權限范圍內的信息。權限管理模塊包括用戶角色管理和文檔權限管理兩個子模塊。4.3.1用戶角色管理SharePoint包括32項細分權限用于對用戶進行權限管理,利用這些細分權限的組合可以建立不同的角色組。本系統中建立四類角色:1)管理員:制造企業要求系統中“三員”必須為不同的人員,因此分別設置系統管理員、安全管理員和安全審計員三種角色。系統管理員可以設計、修改系統,建立角色組;安全管理員管理角色組的用戶和權限;安全審計員擁有查看系統日志的權利。2)系統成員:可以查看、添加、更新和刪除列表項和文檔。3)系統訪問者:可查看頁面和列表項并下載文檔。4)審批者:審批者包括基層領導等多個組,用于文檔流程執行過程中,將文檔傳送到相應的角色組進行審批。4.3.2文檔權限管理對一些密級比較高或者只能由某幾個用戶訪問的文檔或文件夾/文檔庫,需要為其單獨設置訪問權限。系統利用SharePoint細致的權限控制機制實現了這一點。單獨為某一文檔或者文件夾/文檔庫設置權限時,首先需要斷開其與父級的權限繼承,然后為其單獨設置訪問權限。可以將訪問權限授予某些角色組,也可以為單獨的人員授予訪問權限。
4.4文檔協作
文檔協作在日常科研生產過程中隨處可見,而且團隊成員可能來自不同的部門。傳統的方式是必須有一個人通過郵件等方式負責分配任務和整合文檔,這樣做不但效率低、版本難以控制而且安全也難以保障。系統利用officewebapps技術為團隊成員提供多人文檔協作的平臺,團隊成員可以在文檔協作平臺上共同編輯文檔,文檔會自動整合并可以方便的進行版本控制和權限控制。
4.5信息檢索
制造企業科技信息不但形式多樣、專業性強,而且對信息的安全要求高。因此用戶不但要能快速、準確的查找到所需要的信息,還要保證查找到的信息在其權限范圍內。在SharePoint管理中心打開SearchServiceApplication,配置內容源和爬網計劃,并新建搜索范圍,添加范圍規則。即啟動了搜索功能。SharePointServer2013集成了FAST搜索解決方案,支持全文搜索、元數據搜索、搜索結果預覽、權限匹配等多種功能,并且可以根據元數據和搜索范圍等對搜索結果進行精簡,利用精簡面板Webpart進行展示。在精簡面板Webpart中設置ShowCounts=”Count”,即可顯示出精確的文檔個數。
4.6信息統計
SharePoint的計時器作業(timerjob),可以在規定的時間點及時間范圍內完成某種操作。系統中利用WSS對象模型開發timerjob實現了文檔的下載次數和評論次數統計功能。為了綜合考慮系統性能,該計時器作業每5分鐘統計一次文檔的下載次數和評論次數。最后根據下載次數和評論次數,對文檔進行排序,并利用LINQtoSharePoint技術開發“熱門文檔”Webpart進行展示。
5原型系統實現
基于上述平臺的體系結構和關鍵技術,以某制造企業為應用背景,實現了科技信息管理系統,系統部分界面如圖5所示。
6結束語
【論文摘 要】安全問題是電力變電運行的咽喉,隨著信息管理技術在變電運行中的應用,先進的安全不僅包括物理安全,也涉及到了由互聯網帶來的各種來自外界的侵犯,如果電力系統被利用或是遭到攻擊,將會造成難以估計的損失。有效的提高信息管理技術在電力變電運行中的應用是擺在我們面前亟待解決的重要課題。
一、信息管理與電力信息化概述
1.信息管理概念
信息管理是實現組織目標、滿足組織要求、解決組織環境問題而開發、規劃、集成、控制、利用信息資源,以提高信息利用率,使信息效用價值最大化的一種實現的一種戰略管理。
2.電力信息化
電力企業信息化建設更趨向于科學性、實用性、安全性以及效益性,電力企業開發了一系列企業管理和經濟運行有關的應用系統,目的在于提高生產和管理效益以及信息系統的實際使用效果。電能可以瞬間完成發電、輸電、配電直到用電,電力的生產和使用具有連續性、等量以及同時的特點,要想確保電力的安全生產以及資源的合理配置生產,必須要根據調度指令對電力系統的所有環節瞬時作出反應,電力系統的控制中心、調度中心要同時對發電、配電、輸電以及用電的各種數據進行全面掌握,并及時地分析、調度和處理,對生產運行進行科學的安排,要及時的處理大而廣、紛繁復雜的信息量,這使得信息處理工作面臨著一定的挑戰。而信息管理技術的出現正好為信息的處理帶來了極大的便利,它結合了gis技術,能實現多源數據的迅速整合,便于電力系統的信息化管理,可以綜合管理大量的屬性數據和地理信息數據,可以為經營管理提供科學的決策支持以及現代化的管理手段,結合了網絡技術,更有利于提高信息的共享程度,促進信息管理系統實現電力信息的共享,有利于電力系統信息管理更加的透明。電力系統涉及到了十分廣泛的地理區域,需要多個部門對同一圖層進行編輯,傳統的gis圖層數據不支持多用并發操作,只適合單用戶使用,它采用的是文件格式,采用文件服務器的方式來共享圖層,若不進行特殊處理,多用戶同時更新同一圖層文件時就會發生沖突。而新型的ordbms技術可以彌補這一缺陷,不會發生共享沖突,它采用的是面向對象的數據庫技術,可以集中式管理地理屬性數據和信息空間數據,支持版本管理以及并發操作,還支持完全數據庫存儲模式,能夠解決數據安全機制、存儲管理大量的數據、數據完整性以及多用戶編輯等方面的問題。
二、電力變電運行中運用信息管理的優勢
1.先進性和開放性
數據倉庫技術使數據有了更加廣泛的來源,便于使用,方便與mis等系統接口,系統的構造和internet模式進行了結合,應有前景良好。
2.實用性強
信息管理技術有利于變電運行中二次部分各類數據源的共享和使用,尤其是對于變電保護技術工作人員來說,有利于提高系統分析和數據統計的工作效率,有利于提高保護運行水平。
3.可靠性高,易于維護和升級
方法庫和數據倉庫的采用使得整個信息管理系統運行集中于網絡中心規則庫和數據庫,不再在各級用戶之間分散可靠性,即使其中一個客戶的工作站突然損壞了,也不會對系統其他部分的性能造成影響,并且很容易恢復,軟件開發人員只需改變方法庫就可以進行升級換代,既方便又快捷。
三、電力變電運行中采用的安全策略
1.安全技術策略
為了確保信息的安全,采取的必不可少的安全技術措施有:1)病毒防護技術。應該建立健全管理制度,統一管理計算機病毒庫的升級分發以及病毒的預防、檢測等環節,應該采取全面的防病毒策略應用于信息系統的各個環節,有效的防治和避免受到病毒的侵害;2)防火墻技術。防火墻技術主要用于隔離信任網絡與非信任網絡,它的檢查方式是通過單一集中的安全檢查點,強制實施安全策略來實現,避免非法存取和訪問重要的信息資源;3)數據與系統備份技術。電力企業必須制定數據備份策略,定期對數據庫進行備份,按照重要程度劃分數據備份等級,建立企業數據備份中心,采用災難恢復技術來備份應用系統以及關鍵業務的數據,并制定詳細的數據庫故障恢復預案以及應用數據庫備份,并定期的進行預演,以防止在數據遭到破壞或是系統崩潰時能夠及時的修復,從而使信息系統具有更好的可靠性和可用性;4)安全審計技術。在系統規模的不斷擴大以及安全設施不斷完善的背景下,電氣企業應該引進集中智能的安全審計系統,采取行之有效的技術手段來自動統一審計網絡設備日志、業務應用系統運行日志、操作系統運行日志以及安全設施運行日志等,迅速自動的對系統安全事件進行分析,安全管理系統的運行。另外建立信息安全身份認證體系以及虛擬局域網技術也十分重要。
2.組織管理策略
組織管理措施以及技術措施統一在信息安全的范疇之內,由于管理方面的原因為造成的計算機安全事件的比重達到了70%以上,所以應采取必要的組織管理策略:1)安全策略和制度。電氣企業應該制定相關的政策方針來指導企業整體的信息安全工作,只有制定統一的、具有指導性的安全策略和制度才能有效的衡量信息的安全,才能形成安全的防護體系以及遵循信息安全制度,只有制定有效的安全策略和制度,才能實現具體化、形式化的法律管理,才能將法規與管理聯系在一起,確保信息的安全。2)安全意識和安全技能。電氣企業應該組織員工進行培訓,普及他們的安全知識,強化職工的安全意識,使他們具備安全防范意識并具備基本的安全技能,能夠處理常見的安全問題。通過安全培訓來提高職工的安全操作技能,再結合第三方安全技術和產品來提升信息安全保障;3)安全組織和崗位。本著保障企業信息安全的目的,電氣企業應該設立獨立的信息安全部門來管理企業信息的安全,實行“統一組織、分散管理”的方式來使信息安全部門全面負責企業的信息安全管理和維護。安全崗位是是根據系統安全需要設立的信息系統安全管理機構,這個職位主要負責某一個或是幾個安全事務,在全企業形成專門的信息安全管理工作,使各個信息技術部門也能配合和推行信息安全工作。
參考文獻
[1]覃郁培.信息管理技術在電力變電運行中的應用[j].民營科技,2010,(8)
論文摘要:世界已進入了信息化時代,信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準。但由于信息資源不同于其他資源的特殊性質,如何保證信息的安全性成為我國信息化建設過程中需要解決的重要問題。
論文關鍵詞:信息安全;保護
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
1我國信息安全的現狀
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
①網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
②對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
③我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
2我國信息安全保護的策略
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
①加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
②發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
③創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
1 引言
新時期,結合信息安全技能培訓現狀,構建完善的教學體系,明確技能培訓目標,完善教學管理體制,改進人才考核方式,加強質量保障建設,有利于提高信息安全人才培養的規范化、科學化和標準化,提高信息安全人才隊伍整體質量和水平,對保障國家信息安全都有著非常重要的現實意義。
2 信息安全技能培訓的現狀分析
信息安全人才培養對社會發展意義重大,它不僅是企業正常運營與發展的根本前提,而且是國家信息安全保障體系構建的先決條件。但就現狀來講,我國信息安全人才技能培訓還存在著認識度不高和人才短缺的問題,嚴重制約了我國信息安全的現代化建設步伐。
信息化時代。企業的業務和管理已經離不開互聯網,這也決定了信息安全對企業生存與發展的重要性。據調查,有九成以上的企業完全或高度以來互聯網開展業務,企業安全問題十分常見,大到企業商業機密,小到個人隱私信息。
但即便如此,大部分企業決策者依然沒有充分意識到信息安全保障的重要性,錯誤地認為一個殺毒軟件、一道防火墻、一個IT部門,就可以完全解除這種風險存在。可以說,信息化時代企業的“生產”安全指標通常是個未知數。
此外,信息安全人才短缺是當前普遍存在的一個問題。當企業逐步意識到信息安全保障重要性,并開始著手進行體系構建的時候。卻“意外”地發現信息安全人才是異常短缺。
保障信息系統的安全,人才始終是根本,信息安全人才培養是為適應信息化時展的現實要求,是一種時代催生的全新職業導向。當前,全球各國都急需業務能力過硬、綜合素養較高的信息安全人才。
拿美國來講,信息安全人才供需比為1:4,而我國在這方面的人才缺口更是驚人。據最新的權威數據調查顯示,2015年我國網絡安全人才缺口高達上百萬。截止2014年,我國高校設有信息安全專業的才僅僅103所,而碩士點和博士點更是少得可憐,總人數不到50個,而每年我國信息安全專業畢業的人才數量不足1萬人。由此可見,人才供需存在著嚴重失衡。
但是,人才需求與人才數量是不能劃等號的,信息安全教育因其專業獨特性,企業在信息安全人才的引進方面也存在許多問題:信息安全人才技能培訓體系不健全,人才引進機制不合理,高校教育重理論輕實踐,安全人員大部分都是“紙上談兵”等。可以說,面對社會認識度不足和信息安全人才短缺等問題,信息安全人才培訓體系的構建已迫在眉睫。
3 信息安全技能培訓的體系構建
3.1 教學內容體系構建
信息安全培訓教學體系的構建,主要包括基本概念、操作系統安全、防火墻技術、應用密碼技術、入侵檢測技術、網絡服務安全技能、病毒分析與防御和安全審計等方面,這是結合信息安全專業特征,在充分教學目標的基礎上所確定的內容,具有非常強的適用性。
首先,合理選擇培訓教學內容。通過對信息安全職業的全面分析,并基于信息安全的職業導向,明確各個工作環節的任務。然后針對具體任務確定相應的教學內容,包括病毒特點與機制、安全數據庫設計、掃描軟件的使用、安全審計的基本概念、Web應用服務等。
其次。合理安排培訓教學內容。結合不同行業對安全信息保障的不同要求,構建靈活、開放、多元的教學模塊,并將其分為前導性模塊和獨立性教學模塊,前者主要是信息安全的基本概念和法律法規,后者則主要上述所講的不同工作環節所涉及的教學點。這些教學點的課時與順序是由教師自行安排的,以更為全面的滿足不同行業領域的個性需求。
3.2 教學管理體系構建
信息安全技能培訓的管理體系,主要包括組織結構的管理和檔案信息的管理。一方面,信息安全人才技能培訓組織要在統一規劃、分級實施的原則指導下,按照國家相關部門的部署和計劃有步驟地開展相關培訓工作。此外,要成立培訓工作指導委員會,對安全信息人才技能培訓進行質量管理,以確保其高效、規范、合理地開展。
各級信息安全人才技能培訓機構要負責組織和知道相關工作的開展;行業主管部門則負責制定培訓標準、發展計劃,指導運營使用單位相關工作的順利開展,以確保上級政策的全面貫徹與執行;而信息系統運營使用單位則負責具體的培訓工作,確保信息安全人才按計劃參加具體培訓活動,同時保證經費投入。
另一方面,要構建完善的培訓檔案管理機制。做好信息安全技能培訓的檔案管理,不僅是技能培訓規范化開展的有力保障,而且是對培訓教育重視程度的具體體現,也是后續教學經驗總結和管理策略調整的重要依據。
具體地說,檔案管理主要包括培訓規章制度資料管理、培訓理論教材管理、培訓教學計劃管理、培訓考核管理、培訓輔助資料管理等。在培訓檔案管理過程中,要注重對相關檔案的搜集、整理、保存,并成立專門的資料庫,以便后續的開發與利用。
3.3 教學評價體系構建
信息安全培訓既要強調理論教學,又要做好實訓教學,所以其評價方式也分為兩部分,即理論知識考核和實踐操作考核,兩者所占比應為4:6。
理論知識考核主要是基本知識點掌握程度的考核,并結合重難點進行考核權重的合理分配,如操作系統安全和網絡應用技術都是需要熟練掌握的內容,因此其考核權重各占6%,數據庫安全、入侵檢測技術和安全審計技術是需要掌握的內容,其考核權重可設為5%,信息安全的基本概念、基本法規和密碼技術是需要理解的內容,其考核權重可設為2%,而剩下知識點則可酌情分配。
這樣一來,就構建了層次分明、靈活性強的評價體系,有利于幫助信息安全人員理解信息安全的內涵,提高培訓教學的針對性和實效性。
3.4 教學保障體系構建
信息安全技能培訓教學的保障體系構建,主要是指培訓的質量監督和評估體系構建。培訓的質量監督主要包括,對各類人員培訓考核情況的監督、對計劃實施情況的監督、對檔案管理情況的監督、對技能培訓機構的監督、對技能培訓制度制定和落實的監督等。而培訓的質量評估。
就是在公正公平的原則指導下,結合相關制度標準和發了法規,合理制定質量評估標準。信息安全技能培訓教學的質量評估,是一種對培訓效果的綜合性評估,可通過直接評估、間接評估和現場評估等形式,對參訓人員的行為態度、學習效果、實際改進等方面展開動態評估。可以說,完善的教學保障體系很大程度上決定著信息安全技能培訓能否達到預期效果。
4 結束語
為推進國家信息安全保障建設的深入開展,也為提高信息安全從業人員的整體水平,以及降低信息安全事件的發生率。
本文初步構建了信息安全技能培訓的教學體系,希望能夠為信息安全保障建設提供實際幫助。信息安全技能培訓是一項復雜的工程,還有很長的一段路要走,我們必須加強創新,不斷探索,以促進信息安全教育的可持續發展。
摘要:本文簡要介紹了信息系統審計的相關概念,歸納了信息系統審計的方法、技術與工具,最后針對信息系統審計在信息化過程中的應用,總結出了其應用價值。
關鍵詞:信息系統審計;企業信息化;信息系統
信息化是國家現代化的基本標志,也是一個國家綜合國力的集中體現。信息化建設是一項長期的、綜合的系統工程,在改善企業運作管理水平、提高工作效率的同時,也產生了巨大的風險。因此,建立信息系統審計制度,發展信息系統審計是信息化過程中必不可少的制度保證和手段。
一、信息系統審計的概述
1.信息系統審計的定義
信息系統審計(InformationSystemAudit信息系統,簡稱ISA)目前還沒有公認的通用定義,國際信息系統審計領域的權威專家RonWeber將它定義為:收集并評估證據,以判斷一個計算機系統(信息系統)是否有效做到保護資產、維護數據完整、完成組織目標,同時最經濟地使用資源。可通俗的理解為是對信息系統的規劃、開發、實施、運行和維護等各個環節進行評價,確保其符合企業經營目標的過程。
2.信息系統審計的業務內容
信息系統審計的業務內容包括計算機資源管理審計、軟硬件等獲取審計、系統軟件審計、程序審計、數據完整性審計、系統生命周期審計、應用系統開發審計、系統維護審計、操作審計和安全審計。
信息系統審計項目按生命周期來劃分,一般分為信息系統開發過程的審計、信息系統運行維護過程的審計和信息系統生命周期共同業務的審計。
信息系統開發過程中的審計是伴隨著系統規劃、系統分析、系統設計、編碼、測試和系統試運行這幾個階段同步進行的。信息系統運行過程中的審計包括系統輸入審計、通信過程審計、處理過程審計、數據庫審計、系統輸出審計和運行管理審計;信息系統維護過程中的審計包括維護組織審計、維護順序審計、維護計劃審計、維護實施審計、維護確認審計、改良系統試運行審計和舊信息系統報廢審計。
3.信息系統審計的流程
信息系統審計流程包括三個階段即:審計計劃階段、審計實施階段和審計完成階段。
計劃階段是信息系統審計流程的第一步,主要任務是了解被審系統的基本情況;與委托單位簽訂業務約定書;初步評價被審系統的內部控制及外部控制;確定重要性水平;分析審計風險和編制審計計劃。
實施階段的主要任務是根據重要性水平、風險和計劃獲取有關資料;進行符合性測試和實質性測試;對測試結果進行分析;找出導致結果的原因。
完成階段的主要任務是整理、評價審計證據;復核工作底稿,完成二級復核,匯總審計差異,同被審系統管理層交流;對重要性水平和風險進行最終評價,形成審計意見,編制審計報告,完成三級復核。
二、信息系統審計的方法、技術與工具
由于信息系統本身的多樣性和復雜性,信息系統審計的難度也隨之增加。面對錯綜復雜的信息系統和審計環境,要求審計師可以根據審計組織及信息系統的實際情況,結合審計目標、成本效益、審計小組的人員與設備配置情況等,采用多種方法、技術和工具來幫助他們進行審計工作。
1.常規的審計方法、技術與工具
常規的審計方法包括面談法、問卷調查法、系統評審會、流程圖檢查、程序代碼檢查、程序代碼比較和測試等。但在高度計算機化的信息系統中,只采用常規審計法顯然是不夠的,無論是審計證據的收集、評價,還是實現審計工作的現代化,都需要借助計算機來高效完成。
2.計算機輔助審計的技術與工具
信息系統被普遍應用與企業生產、管理及經營活動的各個環節,審計師為達到審計目的,必須要收集大量儲存于計算機中的數據,并借助于計算機對這些數據進行分析,以得出審計的結論。因此審計師在收集證據并分析證據時,必需利用計算機輔助審計工作,計算機輔助審計技術(ComputerAssistedAuditTechniques,簡稱CAAT)越來越成為審計師不可或缺的手段。
計算機輔助審計技術可以使信息系統審計師獨立收集審計信息,按照預定審計目標訪問和分析數據、報告系統產生和維護的記錄的可靠性等審計發現。所用信息來源的可靠性為得出審計結論提供了再保證。
常用的計算機輔助審計軟件與技術:共用軟件、測試數據、應用程序檢查、審計專家系統、整體測試、快照、系統控制審計審核文檔、其他特殊的審計軟件等。
三、信息系統審計的應用價值
關鍵詞: 安全隱患; 全網動態安全體系模型; 信息安全化; 安全防御
中圖分類號:TP393 文獻標志碼:A 文章編號:1006-8228(2016)12-46-03
Abstract: This paper studies the modern campus network information security, the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model (APPDRR), through the research of the mainstream network information security technology of the modern campus network, puts forward the solution of each layer of the modern campus network security, and applies it to all aspects of the modern campus network, to build a modern campus network of the overall security defense system.
Key words: hidden danger; APPDRR; information security; security defense
0 引言
隨著現代校園網接入互聯網以及各種應用急劇增加,在享受高速互聯網帶來無限方便的同時,我們也被各種層次的安全問題困擾著。現代校園網絡安全是一個整體系統工程,必須要對現代校園網進行全方位多層次安全分析,綜合運用先進的安全技術和產品,制定相應的安全策略,建立一套深度防御體系[1],以自動適應現代校園網的動態安全需求。
1 現代校園網絡的安全隱患分析
現代校園網作為信息交換平臺重要的基礎設施,承擔著教學、科研、辦公等各種應用,信息安全隱患重重,面臨的安全威脅可以分為以下幾個層面。
⑴ 物理層的安全分析:物理層安全指的是網絡設備設施、通信線路等遭受自然災害、意外或人為破壞,造成現代校園網不能正常運行。在考慮現代校園網安全時,首先要考慮到物理安全風險,它是整個網絡系統安全的前提保障。
⑵ 網絡層的安全分析:網絡層處于網絡體系結構中物理層和傳輸層之間,是網絡入侵者進入信息系統的渠道和通路,網絡核心協議TCP/IP并非專為安全通信而設計,所以網絡系統存在大量安全隱患和威脅。
⑶ 系統層的安全分析:現代校園網中采用的各類操作系統都不可避免地存在著安全脆弱性,并且當今漏洞被發現與漏洞被利用之間的時間差越來越小,這就使得所有操作系統本身的安全性給整個現代校園網系統帶來巨大的安全風險。
⑷ 數據層的安全分析:數據審計平臺的原始數據來源各種應用系統及設備,采集引擎實現對網絡設備、安全設備、操作系統、應用服務等事件收集,采用多種方式和被收集設備進行數據交互,主要面臨著基于應用層數據的攻擊。
⑸ 應用層的安全分析[2]:為滿足學校教學、科研、辦公等需要,在現代校園網中提供了各層次的網絡應用,用戶提交的業務信息被監聽或篡改等存在很多的信息安全隱患,主機系統上運行的應用軟件系統采購自第三方,直接使用造成諸多安全要素。
⑹ 管理層的安全分析:人員有各種層次,對人員的管理和安全制度的制訂是否有效,影響由這一層次所引發的安全問題。
⑺ 非法入侵后果風險分析:非法入侵者一旦獲得對資源的控制權,就可以隨意對數據和文件進行刪除和修改,主要有篡改或刪除信息、公布信息、盜取信息、盜用服務、拒絕服務等。
2 現代校園網安全APPDRR模型提出
全網動態安全體系模型[3](APPDRR)從建立全網自適應的、動態安全體系的角度出發,充分考慮了涉及網絡安全技術的六方面,如風險分析(Analysis)、安全策略(Policy)、安全防護(Protection)、安全檢測(Detection)、實時響應(Response)、數據恢復(Recovery)等,并強調各個方面的動態聯系與關聯程度。現代校園網安全模型如圖1所示,該模型緊緊圍繞安全策略構建了五道防線:第一道防線是風險分析,這是整體安全的前提和基礎;第二道防線是安全防護,阻止對現代校園網的入侵和破壞;第三道防線是安全監測,及時跟蹤發現;第四道防線是實時響應,保證現代校園網的可用性和可靠性;第五道防線是數據恢復,保證有用的數據在系統被入侵后能迅速恢復,并把災難降到最低程度。
3 現代校園網主流網絡信息安全化的技術研究
為了保護現代校園網的信息安全,結合福建農業職業技術學院網絡的實際需求,現代校園網信息中心將多種安全措施進行整合,建立一個立體的、完善的、多層次的現代校園網安全防御體系,主要技術有加解密技術、防火墻技術、防病毒系統、虛擬專用網、入侵防護技術、身份認證系統、數據備份系統和預警防控系統等,如圖2所示。
3.1 加解密技術
現代校園網中將部署各種應用系統,許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開信息。為確保特殊信息在各校區和部門之間交換過程中的保密性、完整性、可用性、真實性和可控性,需運用先進的對稱密碼算法、公鑰密碼算法、數字簽名技術、數字摘要技術和密鑰管理分發等加解密技術。
3.2 防火墻技術
防火墻技術是網絡基礎設施必要的不可分割的組成元素,是構成現代校園網信息安全化不可缺少的關鍵部分。它按照預先設定的一系列規則,對進出內外網之間的信息數據流進行監測、限制和過濾,只允許匹配規則的數據通過,并能夠記錄相關的訪問連接信息、通信服務量以及試圖入侵事件,以便管理員分析檢測、迅速響應和反饋調整。
3.3 防病毒系統
抗病毒技術可以及時發現內外網病毒的入侵和破壞,并通過以下兩種有效的手段進行相應地控制:一是有效阻止網絡病毒的廣泛傳播,采用蜜罐技術、隔離技術等;二是殺毒技術,使用網絡型防病毒系統進行預防、實時檢測和殺毒技術,讓現代校園網系統免受其危害。
3.4 虛擬專用網
虛擬專用網(全稱為Virtual Private NetWork,簡稱VPN)指的是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對現代校園網內部網的擴展,由若干個不同的站點組成的集合,一個站點可以屬于不同的VPN,站點具有IP連通性,VPN間可以實現防問控制[4]。使用VPN的學校不僅提升了效率,而且學校各校區間的連接更加靈活。只要能夠上網,各校區均可以安全訪問到主校區網。使用VPN數據加密傳輸,保證信息在公網中傳輸的私密性和安全性。VPN按OSI參考模型分層來分類有:①數據鏈路層有PPTP、L2F和L2TP;②網絡層有GRE、IPSEC、 MPLS和DMVPN;③應用層有SSL。
3.5 入侵防護技術
入侵防護技術包含入侵檢測系統(IDS)和入侵防御系統(IPS)。IDS可以識別針對現代校園網資源或計算機的惡意企圖和不良行為,并能對此及時作出防控。IDS不僅能夠檢測未授權對象(人或程序)針對系統的入侵企圖或行為,同時能監控授權對象對系統資源的非法操作,提高了現代校園網的動態安全保護。IPS幫助系統應對現代校園網的有效攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和及時響應),提高現代校園網基礎結構的完整性。
3.6 身份認證系統
現代校園網殊部門(如檔案、財務、招生等)要建設成系統。要采用身份認證系統[5],應建立相應的身份認證基礎平臺,加強用戶的身份認證,防止對網絡資源的非授權訪問以及越權操作,加強口令的管理。
3.7 數據備份系統
在現代校園網系統中建立安全可靠的數據備份系統是保證現代校園網系統數據安全和整體網絡可靠運行的必要手段,可保證在災難突發時,系統及業務有效恢復。現代校園網的數據備份系統平臺能實時對整個校園網的數據及系統進行集中統一備份,備份策略采用完全備份與增量備份相結合的方式。
3.8 預警防控系統
現代校園網絡安全管理人員必須對整個校園網體系的安全防御策略及時地進行檢測、修復和升級,嚴格履行國家標準的信息安全管理制度,構建現代校園網統一的安全管理與監控機制,能實行現代校園網統一安全配置,調控多層面分布式的安全問題,提高現代校園網的安全預警能力,加強對現代校園網應急事件的處理能力,切實建立起一個方便快捷、安全高效的現代校園網預警防控系統,實現現代校園網信息安全化的可控性。
4 現代校園網絡安全問題的解決方案
通過對現代校園網主流網絡信息安全化技術的深入研究,針對現代校園網的安全隱患,提出現代校園網絡安全問題的各層解決方案。
⑴ 物理層安全:主要指物理設備的安全,機房的安全等,包括物理層的軟硬件設備安全性、設備的備份、防災害能力、防干擾能力、設備的運行環境和不間斷電源保障等。相關環境建設和硬件產品必須按照我國相關國家標準執行。
⑵ 網絡層安全:針對現代校園網內部不同的業務部門及應用系統安全需求進行安全域劃分,并按照這些安全功能需求設計和實現相應的安全隔離與保護措施[6],采用核心交換機的訪問控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實現信息安全化。
⑶ 系統層安全:現代校園網管理平臺的主機選擇安全可靠的操作系統,采取以下技術手段進行安全防護:補丁分發技術、系統掃描技術、主機加固技術、網絡防病毒系統。
⑷ 數據層安全:主要使用數據庫審計系統進行監控管理,對審計記錄結果進行保存,檢索和查詢,按需審計;同時還能夠對危險行為進行報警及阻斷,并提供對數據庫訪問的統計和分析,實現分析結果的可視化,能夠針對數據庫性能進行改進提供參考依據。
⑸ 應用層安全:應用層安全的安全性策略包括用戶和服務器間的雙向身份認證、信息和服務資源的訪問控制和訪問資源的加密,并通過審計和記錄機制,確保服務請求和資源訪問的防抵賴。
⑹ 管理層安全:現代校園網應依法來制訂安全管理制度,提供數據審計平臺。一方面,對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。另一方面,當事故發生后,提供黑客攻擊行為的追蹤線索及破案依據,實現對網絡的可控性與可審查性。
5 構筑現代校園網的整體安全防御體系
現代校園網絡安全問題的各層解決方案綜合應用到實際工作環境中,在配套安全管理制度規范下[7],現代校園網可實現全方位多層次的信息安全化管理,配有一整套完備的現代校園網安全總需求分析、校園網風險分析、風險控制及安全風險評估、安全策略和布署處置、預警防控系統、安全實時監控系統、數據審計平臺、數據存儲備份與恢復等動態自適應的防御體系,可有效防范、阻止和切斷各種入侵者,構筑現代校園網的整體安全屏障。
6 結束語
信息安全化是現代校園網實施安全的有效舉措,并建立一套切實可行的現代校園網絡安全保護措施,提高現代校園網信息和應急處置能力,發揮現代校園網服務教學、科研和辦公管理的作用。現代網絡的高速發展同時伴隨著種種不確定的安全因素,時時威脅現代校園網的健康發展,要至始至終保持與時俱進的思想,適時調整相應的網絡安全設備。
參考文獻(Reference):
[1] [美]Sean Convery著,王迎春,謝琳,江魁譯.網絡安全體系結
構[M].人民郵電出版社,2005.
[2] Cbris McNab著,王景新譯.網絡安全評估[M].中國電力出版
社,2006.
[3] 陳杰新.校園網絡安全技術研究與應用[J].吉林大學碩士學
位論文,2010.
[4] Teare D.著,袁國忠譯.Cisco CCNP Route學習指南[M].北京
人民郵電出版社.2011.
[5] 張彬.高校數字化校園安全防護與管理系統設計與實現[D].
電子科技大學碩士學位論文,2015.5.
[6] 彭勝偉.高校校園計算機網絡設計與實現[J].無線互聯技術,
2012.11.
論文提要:當今世界已進入了信息化時代,信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準。黨的十七大明確提出了一條“以信息化帶動工業化,以工業化促進信息化”的具有中國特色的信息化道路。信息資源隨之成為社會資源的重要組成部分,但由于信息資源不同于其他資源的特殊性質,如何保證信息的安全性和保密性成為我國信息化建設過程中需要解決的重要問題。
一、信息化的內涵、信息資源的性質及信息的安全問題
“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經過40多年的發展,信息化已成為各國社會發展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質,主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統的不安全性,給國家的信息化建設帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:
一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點,從網絡架到協議以及操作系統等都具有開放性的特點,通過網絡主體之間的聯系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。
二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統,造成了病毒極易滋生和傳播,從而導致信息危害。
三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為,而網絡環境下的安全問題常常表現為一種技術對抗,對信息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
二、我國信息化中的信息安全問題
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
1、信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
3、我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
4、信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊,國內也有部分人利用系統漏洞進行網絡犯罪,例如傳播病毒、竊取他人網絡銀行賬號密碼等。
5、在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。
造成以上問題的相關因素在于:首先,我國的經濟基礎薄弱,在信息產業上的投入還是不足,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
三、相關解決措施
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
1、加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。超級秘書網
2、發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
3、創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
4、高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業,應大力培養信息安全專業人才,建立信息安全人才培養體系。
5、加強國際防范,創造良好的安全外部環境。由于網絡與生俱有的開放性、交互性和分散性等特征,產生了許多安全問題,要保證信息安全,必須積極參與國際合作,通過吸收和轉化有關信息網絡安全管理的國際法律規范,防范來自世界各地的黑客入侵,加強信息網絡安全。
1.
本課題所涉及的問題在國內(外)的研究現狀綜述
1.1.課題背景簡介
隨著WWW應用領域的不斷拓展,人們已不滿足于只用Web服務器瀏覽和靜態的信息,人們需要通過它發表意見、查詢數據甚至進行網上購物。原來的靜態Web頁面已經滿足不了用戶對信息服務的動態性、交互性的要求。這就迫切需要實現Web與數據庫的交互。
Web與數據庫這兩者結合意味Web數據庫將存儲和管理大量重要數據,然兒一但它們被盜用或篡改,可能會帶來巨大的政治和經濟損失。基于廣域網的Web數據庫訪問會帶來很大的安全問題。首先是數據庫的非法訪問;另一方面數據通過網絡傳輸,可能被截取、篡改。還有黑客的攻擊可能使系統癱瘓。
在動態Web不斷發展的今天,人們對其依賴性也越來越強,但由于其開放性,在設計時對與信息的保密和系統的安全考慮不完備,及人們對保護數據庫的安全意識薄弱,造成現在數據庫攻擊與破壞事件層出不窮,給人們的日常生活和經濟活動造成了很大麻煩。因此,研究網絡環境下的Web數據庫系統的安全保障已經成為了重要的課題。
1.2.課題發展現狀
目前Web技術與數據庫管理系統(DBMS)相互融合的研究已成為熱點研究方向之一。但是由于Internet本身并沒有提供任何安全機制,所以Web數據庫系統對于外界攻擊的防衛能力顯得十分脆弱,以至Web數據庫被攻擊事件屢有發生。
1.2.1.Web數據庫系統的產生與發展
隨著互聯網Internet的不斷發展,以及網上信息呈幾何級數的增加,同時由于傳統的數據庫管理系統中的數據庫資源不能被Web直接訪問,影響了數據庫資源的共享。如何將分布在Internet上的大量信息有效的管理起來,如何使現有的數據庫中的信息到Internet上,而且使的信息具有交互性、動態性和實時性,也就是將Web技術和數據庫技術想結合,開發動態的Web數據庫應用,成為當今Web技術研究的熱點所在。數據庫技術適于對大量的數據進行組織管理,Web技術擁有較好的信息途徑,這兩種技術天然的互補性決定其相互融合成為技術發展的必然趨勢。
1.2.2.Web數據庫應用系統安全威脅分析
為了讓數據庫能為處于網絡上的用戶服務而暴露在網絡中,網絡上的任何用戶都可以訪問這個數據庫,這種情況下對數據庫訪問的控制只能通過用戶控制既用戶名/密碼來進行。任何知道密碼的擁護都可以訪問,這增加了密碼保護管理的難度,同時用戶名/密碼通過Internet傳輸很容易被人竊取。
其次,數據應用放讀取的數據是通過Web傳輸,而這些數據缺乏有效的安全措施保護,從而可能被截取、篡改。
另外,Web數據庫中存儲著大量的數據信息,往往成為信息系統的關鍵,這就需要數據庫及數據庫所在的計算機能夠安全運行。數據庫放在Internet中很容易受到黑客的各種攻擊。
隨著網絡信息系統的應用,數據庫遠程訪問的安全問題日益突出。這個問題可采用網絡傳輸加密,用戶身份認證等安全措施解決。但由于日前的主
審計
防
認
數
訪
用戶
火
證
據
問
墻
服
加
控
Web數據庫服務器
務
密
制
備份
圖1數據庫安全模型
流數據的網絡傳輸部分都由數據庫廠家來完成,恰恰缺少這些安全措施,因此上述安全技術在普通的數據庫系統中難以直接應用。另外利用操作系統和數據庫管理系統提供的安全保護功能是常用的數據庫安全解決方案。但是Internet本身并沒有提供任何安全機制,只要Web站點和Internet連通,就可能被任何人訪問。
Web數據庫受到的威脅大致包括泄漏、竊取、竄改、冒充、延遲、重傳、遺失、越權存取數據、否認已收送數據及侵犯隱私權等。
1.2.3.數據庫安全結構模型
Web數據庫安全威脅涉及許多方面,我們認為安全措施應綜合考慮,具體可以采用下列技術措施:(1)安裝防火墻;(2)身份認證和數據完整性認證服務;(3)對機密敏感的數據進行加密存儲和傳輸;(4)訪問控制機制;(5)安全審計和監視追蹤技術;(6)數據庫備份與故障恢復。Web數據庫安全模型見圖5。
1.3.文獻綜述
文獻一:竇麗華,蔣慶華,等.基于Web的信息系統安全研究.北京理工大學學報.2002.6,22(3):361-363.
摘要:研究基于Web的信息系統的安全問題及如何充分并合理地利用操作系統、Web服務器和數據庫管理系統所提供的安全設置,以有效地保證信息系統的安全性.利用應用程序所具有的靈活性,可以彌補操作系統、Web服務器和數據庫管理系統的安全漏洞,結合某單位業務信息系統的案例,分別從操作系統、Web服務器、數據庫管理系統、應用程序4個方面對安全問題進行分析,同時給出了建議.
文獻二:曾愛林.基于Web的網絡數據安全體系的建立與完善.湘潭師范學院學報.2004.6,26(2):69-72.
摘要:隨著Web數據庫的應用越來越廣泛,Web數據庫的安全問題日益突出.本文從介紹幾種流行的Web數據庫訪問技術出發,針對Web數據庫的安全問題,建立一個Web數據庫安全體系的初步模型,并指出安全問題應以預防為主,應該在構建Web數據庫服務器時,及時進行漏洞檢測、風險評估,根據檢測結果,有意識地加強數據庫服務器某方面的防范措施.
文獻三:王惠琴,李明,王燕.基于Web的數據庫安全管理技術與實現.2001.4.27
(3):61-67.
摘要:隨著
Internet/Intranet
技術的發展和普及,Web數據庫已逐步取代基于傳統的
Client/Server
模式的數據庫系統,因此對于基于Web的數據庫安全管理技術的研究具有實際意義.介紹了目前常用的幾種Web數據庫的連接技術,并結合ASP技術對如何利用防火墻、身份認證、授權控制、監視跟蹤、存儲過程、審計、備份與故障恢復等技術來實現數據庫的安全管理進行了詳細的闡述.
文獻四:王燕,李明,王惠琴.Web數據庫的連接技術及安全控制.計算機工程與應用.2001.2,P126-128.
摘要:隨著
Internet/Intranet
技術的發展和普及,Web
數據庫必將逐步取代基于傳統的
Client/Server
模式的數據庫系統.對于數據庫與Web技術融合的研究具有實際意義.文章就目前常用的幾種Web數據庫的連接技術進行對比分析,并對利用ASP技術實現Web與數據庫的連接和Web數據庫系統的安全控制進行了詳細闡述.
文獻五:吳春明,鄭志強.基于Web數據庫加密研究.西南農業大學學報.2004.4,26(2):121-126.
摘要:計算機和網絡技術的廣泛應用,給信息安全提出了更高的要求,在信息系統開發設計過程中,安全性能總是被放在首要的位置,成為信息系統生存的關鍵.數據庫是基于WEB信息系統的核心組成部分,面臨來自外部和內部的雙重威脅,對其進行加密處理,是進行數據保護的有效手段.文章提出了一種基于JCE的WEB數據庫加密模型,并對模型進行了行為分析及安全性分析.
文獻六:帥兵.Web數據庫系統開發技術研究.安徽機電學院學報.2001.6,16(2):29-32.
摘要:利用Web服務器的信息服務能力和數據庫服務器的數據管理能力來構造信息服務系統已成為人們關注的熱點,其開發技術的關鍵是數據庫網關的實現.介紹了目前采用的傳統Web數據庫解決方案中數據庫網關實現幾種技術:CGI、IDC、ASP、JDBC,并分析了其缺點,提出了一種的新的Web數據庫解決方案.
文獻七:徐鋒,呂建.Web安全中的信任管理研究與進展.軟件學報.2002.13.(11):2058-2064.
摘要:信任管理是當前
Web
安全研究的熱點.介紹了信任管理思想的出現,給出了信任管理的概念和模型,并概述了幾個典型的信任管理系統和信任度評估模型.討論了當前研究存在的問題以及今后的研究方向.
文獻八:韓效鵬,官法明,等.關于Web數據庫安全性問題探討.勝利油田師范專科學校學報.2004.12.18(4)83-85.
摘要:按照DBMS對數據庫安全管理的思想,在基于Windows環境的Web數據庫應用中,安全控制問題主要包括如何有效地對通過頁面訪問的數據庫中的數據進行保護,實現數據庫級別的分權限訪問等.在實施過程中,可使用用戶身份認證、授權控制、使用日志監視數據庫、參數化存儲過程等安全管理技術來構筑管理信息系統的安全體系.
文獻九:楊成,王恒山,張乾宇.Web數據庫在線維護方法研究.
上海理工大學學報.2003.6.27(4):40-43.
摘要:本文討論了結合互聯網數據中心(IDC)的服務器托管形式下對網站Web數據庫在線維護的形式和內容.并以上海理工大學管理學院學院網站為例,介紹了如何利用JSP動態網頁編程語言和JavaBeans來方便、快捷地實現對學院網站Web數據庫在線維護功能.
文獻十:賀紅,徐寶文.Web信息系統的安全隱患與網絡管理員對策.計算機工程與應用.2005.18,P151-153.
摘要:基于Web的信息系統安全性體系大致分為網絡系統、操作系統、Web服務器及應用程序和Web數據庫等多個層次,該文分別闡述了造成各層次安全隱患的主要原因,以及從網絡管理員的角度出發,在各安全層次上消除和減少安全隱患的實用性安全對策.
2.設計(論文)要解決的問題和擬采用的研究方法(論文框架)
2.1.Web數據庫應用系統要解決的問題
2.1.1.用戶身份認證
基于Web的數據庫應用系統中包含大量的敏感數據和機密數據,為保證系統數據在存儲時和網絡傳輸時不被未經授權的用戶訪問或解讀,可以利用用戶名來標明用戶身份,經系統鑒別用戶的合法性后,再利用口令進一步核實用戶身份。為保證口令的安全性,在口令的提交過程中,可以利用安全套接字協議(SSL),通過使用公共密鑰和對稱性加密提供非公開通信、身份驗證和消息集成。
2.1.2.授權控制
經身份認證的合法用戶根據自己的權限來訪問系統,因此用戶的授權管理機制甚為重要,其嚴密性將直接影響整個系統的安全性。在該安全體系中,可以利用Windows
NT的NTFS和DBMS的用戶角色在不同層次分別對用戶權限進行限制。
2.1.3.監視跟蹤
日志系統具有綜合數據記錄功能和自動分類檢索能力。完整的日志不僅要包括用戶的各項操作,而且還要包括網絡中數據接受的正確性、有效性及合法性的檢查結果,為日后網絡安全分析提供可靠的依據。
2.1.4.存儲過程
在基于Web的數據庫應用系統中,可通過建立參數化的存儲過程實現數據庫的訪問,這通常是增強Web安全的一個最佳方案。
2.1.5.輸出數據HTML編碼
輸出數據HTML編碼是指在將任何數據返回給用戶前應采用HTML編碼,以防止跨站點的腳本攻擊。因為攻擊一旦破壞了數據庫,便可向記錄中輸入腳本,次腳本隨后返回給用戶并在瀏覽器中執行。通過HTML編碼,可將大數腳本命令自動轉換為無害文本。
2.1.6.中間件技術
隨著網絡數據庫朝分布式方向的深入發展,加上Internet上異構數據庫的普遍存在,上述單獨的數據庫管理系統的安全管理能力越發顯示出它的局限性。因此需要有在邏輯層次位于DBMS之上能覆蓋具體差異、邏輯功能上能同意管理、同時可與用戶進行交互的中間件部分。
最基本的中間件技術有通用網關接口(CGI)、Internet數據庫連接器(IDC),Microsoft最近開發的ActiveXDataObject技術(ADO),它提供了高效率的ODBC數據庫或OLE-DB數據庫來源的鏈接功能。
基于數據庫訪問數據庫的原理如圖1所示。
2.2.研究方法
本課題采用以文獻資料法和比較研究法相結合,以文章的全面性,系統性,專業性為目標,讓讀者清楚的知道Web數據庫的含義,發展現狀,以及如何更好的保證Web數據庫的安全。
3.本課題需要重點研究的、關鍵的問題及解決的思路
本課題主要討論Web數據庫產生與發展和存在的安全性問題,重點研究Web數據庫保護的具體方法。以縱向且全面的方式分析Web數據庫的安全問題。
主要涉及內容:
1對身份認證的加密方法
2如何安全地設置Web和數據庫權限
3如何更好地對CGI應用程序進行編程
Web瀏覽器
Web服務器
中間件
Web數據庫
圖2基于中間件技術訪問數據庫
論文研究內容確定
安全解決方案的研究
研究工作總結,形成論文
Web數據庫安全性分析
文獻檢索
課題調研
4.完成本課題所必須的工作條件(如工具書、實驗設備或實驗環境條件、某類市場調研、計算機輔助設計條件等等)及解決的辦法
4.1.具備一定的實驗設備和實驗條件:
有專業知識作為基礎,有文獻資源豐富的網站,擁有自己的電腦及為實驗提供的機房,并有專業的老師進行輔導。
4.2.參考文獻:
[1].
許龍飛.基于Web的數據庫技術與應用.現代計算機,2000(2):14-15.
[2].
王國榮,朱琳杰,王偉.Active
Server
Pages&數據庫.北京:人民郵電出版社,1999:139-269.
[3].
道焰,朱世挺等.CGI技術及其安全性研究
[J].計算機系統應用,1997
(12).
[4].
周世雄編.IIS4.0超級網站速成.青島:青島出版社,1999:33-299.
[5].
蔡丹媚利用ASP輕松實現Web的動態交互訪問.計算機應用研究,1999
(2):62-63.
[6].
Arman
Danesh,Wes
Tatters著,陳卓,張知一等譯.Java
Script
1.1開發指南.清華大學出版社,1998.
[7].
宵金秀,馮沃輝,盧國旺.中文Dreamweaver3網頁設計大制作.北京:中國民航出版社,2000.5:117-130.
[8].Palo
Alto.Overview
of
Control
Network.CA
94304.
[9].張國祥.基于Apache的Web安全技術的應用研究[J].武漢理工大學學報,2004,(3).
[10].Java
2
Platform
[M].Enterprise
Edition
By
Anne
Thomas.
[11].刑春曉,潘泉,張洪才.通用Web數據庫系統體系結構研究[J].計算機工程與應用,1999.9:35(9):90-93.
[12].
[美]
Curt
Jang,Jeff
Chow
著,周志英等譯.Web網和INTRANET上的信息出版技術.電子工業出版社,1997.
[13].Gunnit
S.Khunrana等,Web數據庫的建立與管理.機械工業出版社,1997.
[14].羅明宇,等.計算機網絡安全技術[J].計算機科學,2000,(10):55-58.
[15].王英凱.證券交易系統中的數據庫安全性[J].蘭州大學學報,35:531-533.
[16].張少敏,王保義.基于Web的MIS中的數據庫安全性策略[J].華北電力技術,2002,P45-90.
[17].羅昌隆,李玲娟.基于Web的數據庫訪問技術[J].南京郵電學院學報,2001.7,P30-32.
[18].呂峰,劉曉東等.基于Web的網絡數據庫安全系統研究[J].武漢工業學院學報,2003.6,P51-54.
[19].程萬軍
張霞
劉積仁.基于擴展客體層次結構的安全數據庫策略模型[J].軟件學報,2002.9,P40-42.
[20].李建中.日新月異的數據庫研究領域——數據庫技術的回顧與展望[J].黑龍江大學自然科學學報,2002,19(2):43-52.
5.設計(論文)完成進度計劃
第1—3周:課題調研、資料收集,完成開題報告
第4—6周:結合課題開展畢業實習
第7—11周:實驗研究
第12—13周:完成論文初稿
第14—16周:完成論文終稿并答辯
6.指導教師審閱意見
指導教師(簽字):
年
月
日
7.教研室主任意見
教研室主任(簽字):
系(簽章)
年
月
日
論文摘要:隨著經濟的不斷發展,公司文化與公司治理的關系具有比以往更緊密的聯系。內部審計作為現代公司治理的一種手段應關注公司道德文化環境,內部審計活動可以多方面發揮其在公司道德文化中的作用。
隨著中國經濟的發展,以及公司治理的不斷健全,內部審計的重要性越來越被認識,內部審計在檢查企業制定與遵守有關道德規范、行為準則,倡導道德理念,充當道德衛士,促進和評估道德措施等方面為企業道德氛圍建設中扮演重要角色,從而為改善公司治理發揮重要作用。內部審計作為現代公司治理的一種手段應關注公司道德文化環境,內部審計師應該充當道德倡導者的角色。
1內部審計與公司道德文化的關系
1)依照公司章程,在公司治理過程事務中,董事會負責公司戰略計劃的制定和實施,開展風險管理活動,堅持公司道德和價值的取向。所以,公司的治理是否有效很大程度上取決于組織的道德文化,包括董事會的道德氛圍和組織的道德環境。內部審計是由于企業為了在日益發展的市場經濟大潮中求生存、謀發展,不斷提高自身經營治理水平,約束其經營行為,尋找新的利潤增長點而形成和發展的。內部審計通過融入監督機制對公司治理起著監督和預防參謀作用。
2)從公司內部控制上看,控制是公司治理的基礎,內部控制環境為實現控制系統的基本目標提供了紀律和框架。按照COSO控制框架理論,內部控制的首要部分是控制環境,而控制環境第一要素便是誠信和職業道德價值觀。因此,公司治理從內部控制上需要內部審計活動評價公司道德文化的必要。內部審計已經進入了更具前瞻性、咨詢性的發展階段,要關注組織治理、風險發現和風險管理,特別要關注組織治理中的決策風險和經營風險,關注組織經營的前景。內部審計既是內部控制的重要組成部分,又是監督與評價內部控制的主要手段,內部審計通過獨立的檢查和評價活動,針對控制的缺陷、治理的漏洞,提出切實可行的富有建設性的意見和改進措施,促使治理者進一步改善經營治理,提高組織的盈利能力和經濟效益水平,現代內部審計實際上成為了企業治理的延伸。因此,內部審計在企業內部控制體系的建立與不斷完善中起著不可替代的作用。
3)從公司形象信譽上看,一個好公司需要良好的誠信品質和更高的信譽度。公司不只對廣大股東和投資者負責,還肩負著社會廣大民眾的期望,“牛奶摻三聚氰胺”事件給企業的教訓是深刻的。在美國2002年通過了《薩班斯-奧克斯利法案》,其第406條職業道德規則要求在紐約所有公開的上市公司要有《道德規范》,內部審計通過進行一系列的專項審計活動,如通過監督領導干部,起到反腐敗、反舞弊的作用;評價公司宗旨、精神和經營、治理理念,起到企業文化宣傳者的作用;評價企業形象與員工形象,公司領導的表率,以及與業務客戶的信譽關系,由此來敦促治理者和員工忠于職守、遵守法律、道德規范和社會責任,在公司逐步形成一種良好向上的道德文化氛圍,起到良好道德倡導者的作用,為公司治理過程發揮不同作用。
2內部審計活動在公司道德文化中的作用
內部審計的定位是“管理+效益”。加強管理和提高效益,是一個組織的永恒主題。從某種意義上講,效益也就體現了企業的價值和目標,而管理則是達到這個目標的重要手段。
內部審計通過應用系統化、規范化的方法,評價并改善風險管理、控制和治理過程的效果,幫助組織實現其目標。內部審計活動應對公司文化與道德相關的目標、項目及活動的設計、實施及效果進行評價,不僅有利于改善公司的組織文化環境,促進公司的運營管理,同時也幫助公司塑造一個積極的形象,這種積極形象可能會給公司帶來更多的商業機會。
2.1發揮內部審計活動在公司道德文化中的監督評價作用
由于各個公司的文化氛圍、治理理念和工作目標不同,風險治理的實施也有很大差別。內部審計機構有責任定期評估整個公司的道德狀況包括董事會的道德氛圍。可以在評價公司的風險管理、控制和治理過程的效果時考慮公司道德文化因素影響,也可以單獨開展與道德相關的目標、項目及活動的設計、實施及效果的審計計劃內容,從而發揮內部審計活動對公司道德文化的監督、評價作用,幫助公司改進治理過程。內部審計人員的職責是評價公司風險治理方式與公司活動的性質是否適當。
在開展第三方審計與合同審計、質量審計、盡職調查、安全審計、隱私審計、信息技術審計、績效審計、經營審計、財務審計以及合規性審計等審計確認業務過程中,審計人員在工作中要保持足夠的職業審慎,警惕可能引起舞弊的機會,對引起徇私舞弊的內部控制進行測試和評價,評價公司有沒有清楚易懂的正式道德規范以及相關的說明、政策,包括預防舞弊和腐敗的程序以及其它期望員工做到的理想的道德標準;評價管理層有沒有采取相關規定,要求員工、供應商和客戶知道在與組織進行交易時應該遵守的道德行為規范。專項控制環境審計還應評價管理層有沒有采取積極的措施支持和提高道德文化,對違反道德規范、政策的行為有沒有得到報告并被調查等。通過審計評價建議公司建立明確的職業道德行為規范,培養良好的控制環境。審計表明,在商業禮節、利益沖突、出行和娛樂方面,強調職業道德可能比報銷制度更能控制公司不合理的費用支出。
2.2發揮內部審計活動在公司道德文化中倡導者的角色作用
CIA《職業道德規范》促進了內部審計職業道德文化的發展,也是內部審計對公司風險管理、控制和治理作出客觀確認以信任的基礎。在提請領導層、管理人員和員工遵守法律、道德規范和社會責任的同時,內部審計人員作為本公司的員工,更應該發揮內部審計活動在公司道德文化中倡導者的角色作用。
內部審計人員能夠經常深入到生產、經營第一線,了解到基層單位和部門的先進經驗和思想狀況,能夠及時將信息反饋到治理層,同時利用工作之便推廣先進經驗,宣傳好人好事。尤其是在建議企業完善內控制度的同時,倡導良好道德,通過健全制度,弘揚正氣,提高廣大員工的道德水平,使其積極支持與主動配合內部審計工作,形成良性循環的企業環境。
另外,審計人員以身作則展現愛崗敬業的職業修養:要誠實、審慎和盡責地開展工作,遵守法律法規、避免利益沖突、維護公司利益,對非公開信息保密;廉潔自律的職業紀律:不接受可能會削弱,或據測會削弱其專業判斷的任何東西,工作及生活作風正派、言行一致、以身作則、謙虛謹慎;團結協作的職業品質:審計人員之間不僅在工作產生合作協調的團隊效應,還與被審計項目領導、員工之間產生溝通效應與和諧效應;持續學習的職業精神:社會在發展,時代在進步,只有不斷持續學習才能不斷提高審計工作的熟練性、效率和質量。
總之,在現代企業的發展中,內部審計從單一的監督職能逐漸轉向集監督、評價、控制、咨詢為一體的綜合職能,同時日益需要企業道德文化的進一步發展,二者殊途同歸,最終均指向一個目的,為現代企業的發展提供強有力的監督保障和精神支柱。
參考文獻
[1]CIA考試指南。內部審計活動在治理、風險和控制中的作用.
