前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇信息安全審計(jì)范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

信息安全審計(jì)范文第1篇

    信息安全綜合審計(jì)工作涉及的對(duì)象和場(chǎng)景很多,其全過(guò)程是一個(gè)非常復(fù)雜的多維集合體,為形成體系化的綜合審計(jì)框架,十分有必要建立一個(gè)多維的綜合審計(jì)模型,并通過(guò)模型確定達(dá)到信息安全綜合審計(jì)治理預(yù)期目標(biāo)需要涉及的詳細(xì)研究對(duì)象和研究?jī)?nèi)容,確定綜合審計(jì)體系包含的具體審計(jì)模式,確定各研究?jī)?nèi)容間的具體依賴關(guān)系,為信息安全綜合審計(jì)工作的開(kāi)展提供科學(xué)合理的全局視圖[2]。多維信息安全綜合審計(jì)模型的建立,旨在對(duì)系統(tǒng)保密性、完整性、可用性、可控性、不可否認(rèn)性和可核查性這6個(gè)方面的要求,最終的目標(biāo)是對(duì)信息安全的整體性保障。在此目標(biāo)下,根據(jù)信息安全審計(jì)全過(guò)程所涉及的各要素特征,劃分為審計(jì)對(duì)象、審計(jì)模式和審計(jì)管理3個(gè)維度,同時(shí)為各維度確立了4個(gè)屬性,體現(xiàn)各維度的信息構(gòu)成完整性,以立方體形式對(duì)信息安全綜合審計(jì)體系全過(guò)程進(jìn)行描述。

    1.1審計(jì)對(duì)象維度

    審計(jì)對(duì)象是信息安全活動(dòng)的核心標(biāo)識(shí)載體,是描述信息安全事件不可或缺的要素,根據(jù)信息安全活動(dòng)的特點(diǎn),將審計(jì)對(duì)象劃分為人員、時(shí)間、地點(diǎn)、資源4個(gè)屬性。人員人員是信息安全活動(dòng)產(chǎn)生的源頭,除了廣義上的人員姓名、性別、年齡等基本信息外,還需延伸到其在信息安全活動(dòng)中使用的賬號(hào)、令牌、證書(shū)等個(gè)人標(biāo)識(shí)信息。時(shí)間時(shí)間是信息安全活動(dòng)的窗口,任何信息安全活動(dòng)都會(huì)產(chǎn)生時(shí)間戳,可用以標(biāo)識(shí)信息安全活動(dòng)的開(kāi)始、結(jié)束及其中間過(guò)程。地點(diǎn)地點(diǎn)是信息安全活動(dòng)發(fā)生的位置,不僅包括傳統(tǒng)意義上的地理位置信息,還包括網(wǎng)絡(luò)空間中源IP、目的IP等位置信息。資源資源是信息安全活動(dòng)所依賴的先決條件,包括計(jì)算機(jī)硬件、操作系統(tǒng)、工具軟件等一切必要的資產(chǎn)。

    1.2審計(jì)模式維度

    審計(jì)模式是綜合審計(jì)的具體運(yùn)用,是綜合審計(jì)模型的關(guān)鍵集成點(diǎn),根據(jù)信息安全活動(dòng)的具體類(lèi)型和場(chǎng)景,將審計(jì)模式劃分為運(yùn)維操作、數(shù)據(jù)庫(kù)應(yīng)用、網(wǎng)絡(luò)應(yīng)用、終端應(yīng)用4個(gè)屬性。運(yùn)維操作運(yùn)維工作是支撐網(wǎng)絡(luò)和信息系統(tǒng)穩(wěn)定運(yùn)行的重要前提,但運(yùn)維人員掌握著系統(tǒng)的高級(jí)權(quán)限,由此帶來(lái)的運(yùn)維風(fēng)險(xiǎn)壓力也越來(lái)越大,因此必須引入運(yùn)維操作審計(jì)管理機(jī)制。運(yùn)維操作審計(jì)的核心是加強(qiáng)對(duì)運(yùn)維人員賬號(hào)和權(quán)限的管控,即在集中運(yùn)維模式下實(shí)現(xiàn)運(yùn)維人員與目標(biāo)系統(tǒng)的邏輯分離,構(gòu)建“運(yùn)維人員主賬號(hào)(集中運(yùn)維賬號(hào))授權(quán)從賬號(hào)(目標(biāo)系統(tǒng)賬號(hào))目標(biāo)系統(tǒng)”的管理架構(gòu),并對(duì)具有唯一身份標(biāo)識(shí)的集中運(yùn)維賬號(hào)設(shè)置相應(yīng)的權(quán)限,在此架構(gòu)下實(shí)現(xiàn)精細(xì)化運(yùn)維操作審計(jì)管理[3]。數(shù)據(jù)庫(kù)應(yīng)用在大數(shù)據(jù)時(shí)代,數(shù)據(jù)庫(kù)是最具有戰(zhàn)略性的資產(chǎn),其黃金價(jià)值不言而喻,數(shù)據(jù)一旦被非法竊取,將造成難以估量的損失。運(yùn)維層面的數(shù)據(jù)庫(kù)安全可通過(guò)運(yùn)維操作審計(jì)來(lái)實(shí)現(xiàn),數(shù)據(jù)庫(kù)審計(jì)的核心應(yīng)是加強(qiáng)業(yè)務(wù)應(yīng)用對(duì)數(shù)據(jù)庫(kù)訪問(wèn)合規(guī)性的管控,建立“業(yè)務(wù)系統(tǒng)SQL語(yǔ)句數(shù)據(jù)實(shí)例返回結(jié)果”的識(shí)別監(jiān)聽(tīng)架構(gòu),將采集到的業(yè)務(wù)系統(tǒng)信息、目標(biāo)實(shí)例對(duì)象、SQL操作動(dòng)作等信息進(jìn)行基于正常操作規(guī)則的模式匹配,并對(duì)應(yīng)用層訪問(wèn)和數(shù)據(jù)庫(kù)操作請(qǐng)求進(jìn)行多層業(yè)務(wù)關(guān)聯(lián)審計(jì),實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的全追溯[4]。網(wǎng)絡(luò)應(yīng)用無(wú)論數(shù)據(jù)中心內(nèi)的信息系統(tǒng)還是辦公區(qū)內(nèi)的辦公終端都會(huì)產(chǎn)生大量的網(wǎng)絡(luò)流量,加強(qiáng)對(duì)網(wǎng)絡(luò)流量的識(shí)別和分析,是發(fā)現(xiàn)違規(guī)行為的重要途徑。網(wǎng)絡(luò)應(yīng)用審計(jì)的核心是通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù),建立“用戶(業(yè)務(wù)系統(tǒng))交互對(duì)象網(wǎng)絡(luò)流量分類(lèi)識(shí)別”的管理架構(gòu),對(duì)各類(lèi)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行協(xié)議分析,其重點(diǎn)是要對(duì)網(wǎng)站訪問(wèn)、郵件收發(fā)、文件傳輸、即時(shí)通信、論壇博客、在線視頻、網(wǎng)絡(luò)游戲等典型應(yīng)用進(jìn)行區(qū)分和記錄,達(dá)到對(duì)用戶及業(yè)務(wù)系統(tǒng)間雙向網(wǎng)絡(luò)應(yīng)用的跟蹤審計(jì)[5]。終端應(yīng)用終端是信息安全的最后一道防線,同時(shí)也是最薄弱的一個(gè)環(huán)節(jié),無(wú)論是服務(wù)器還是辦公機(jī),要么是應(yīng)用的發(fā)起者要么是接受者,是信息安全事件的落腳點(diǎn)。終端應(yīng)用審計(jì)的核心是通過(guò)掃描和監(jiān)控收單,建立“主機(jī)安全基線+介質(zhì)數(shù)據(jù)交換”的管控架構(gòu),對(duì)終端補(bǔ)丁安裝、防病毒軟件、文件下載、文檔內(nèi)容的安全基線進(jìn)行記錄審查,并對(duì)移動(dòng)存儲(chǔ)介質(zhì)與外界發(fā)生的數(shù)據(jù)交換進(jìn)行跟蹤記錄,實(shí)現(xiàn)對(duì)終端各類(lèi)行為審計(jì)的全覆蓋。

    1.3審計(jì)管理維度

    綜合審計(jì)管理的目的是要實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的全面治理,需包括事前規(guī)劃預(yù)防,事中實(shí)時(shí)監(jiān)控、違規(guī)行為阻斷響應(yīng),事后追蹤回溯、改進(jìn)保護(hù)措施,根據(jù)綜合審計(jì)管理事前、事中、事后三個(gè)階段的特點(diǎn),將控制、監(jiān)控、響應(yīng)、保護(hù)定義為該維度的4個(gè)屬性?？刂浦赴凑諜?quán)限最小化原則,采取措施對(duì)一切必要的信息資產(chǎn)訪問(wèn)權(quán)限進(jìn)行嚴(yán)格控制,僅對(duì)合法用戶按需求授權(quán)的管理規(guī)則。監(jiān)測(cè)指對(duì)各類(lèi)交互行為進(jìn)行實(shí)時(shí)監(jiān)控,以便及時(shí)發(fā)現(xiàn)信息安全事件的管理規(guī)則。響應(yīng)指對(duì)監(jiān)測(cè)過(guò)程中發(fā)現(xiàn)的違規(guī)行為進(jìn)行及時(shí)阻斷、及時(shí)處理的管理規(guī)則。保護(hù)指對(duì)監(jiān)測(cè)到的各類(lèi)交互行為進(jìn)行記錄回放、并積極采取改進(jìn)保護(hù)措施的管理規(guī)則。

    2信息安全綜合審計(jì)治理閉環(huán)管理機(jī)制

    在多維信息安全綜合審計(jì)模型基礎(chǔ)之上,按照全過(guò)程的管理思路,應(yīng)以綜合治理為目標(biāo)導(dǎo)向,對(duì)存在的信息安全問(wèn)題進(jìn)行閉環(huán)管理,研究事前、事中、事后各環(huán)節(jié)的關(guān)聯(lián)關(guān)系,形成相互補(bǔ)充、層層遞進(jìn)的閉環(huán)管理機(jī)制。

    2.1事前階段

    制定統(tǒng)一的安全審計(jì)策略,以保證信息系統(tǒng)的可用性、完整性和保密性為核心,實(shí)現(xiàn)對(duì)用戶身份和訪問(wèn)入口的集中管理,嚴(yán)格權(quán)限管理,堅(jiān)持用戶權(quán)限最小化原則,注重將用戶身份信息與網(wǎng)絡(luò)和信息系統(tǒng)中的各種應(yīng)用與操作行為相結(jié)合,保證審計(jì)過(guò)程與審計(jì)結(jié)果的可靠性與有效性。

    2.2事中階段

    實(shí)時(shí)監(jiān)測(cè)運(yùn)維操作、數(shù)據(jù)庫(kù)應(yīng)用、網(wǎng)絡(luò)應(yīng)用和終端應(yīng)用產(chǎn)生的數(shù)據(jù),通過(guò)規(guī)則及時(shí)發(fā)現(xiàn)違規(guī)信息安全事件,做到實(shí)時(shí)響應(yīng)、實(shí)時(shí)處理,并通過(guò)多個(gè)維度將各種基礎(chǔ)審計(jì)后的安全事件有機(jī)地整合起來(lái),做到信息安全事件的全記錄、全審計(jì)。

    2.3事后階段

    對(duì)各類(lèi)審計(jì)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理及歸檔入庫(kù),為安全事件的準(zhǔn)確追蹤和回溯提供有力支持。同時(shí),對(duì)信息安全事件進(jìn)行深度分析,查找事件發(fā)生的深層次原因,執(zhí)行有針對(duì)性的彌補(bǔ)措施,并更新信息安全審計(jì)策略,形成良性的管理機(jī)制。

    3信息安全綜合審計(jì)系統(tǒng)架構(gòu)設(shè)計(jì)

    3.1技術(shù)架構(gòu)

    信息安全綜合審計(jì)系統(tǒng)面臨的一大問(wèn)題就是各業(yè)務(wù)系統(tǒng)與網(wǎng)絡(luò)設(shè)備運(yùn)行獨(dú)立,信息集成和交互程度較低,服務(wù)器、交換機(jī)、辦公終端都是獨(dú)立的審計(jì)對(duì)象,均會(huì)產(chǎn)生大量的審計(jì)數(shù)據(jù),但又缺乏集中統(tǒng)一的審計(jì)數(shù)據(jù)管理視角,構(gòu)建對(duì)審計(jì)數(shù)據(jù)的統(tǒng)一處理能力應(yīng)是綜合審計(jì)體系建設(shè)的核心思路,信息安全綜合審計(jì)體系有效運(yùn)行的關(guān)鍵就在于對(duì)可審計(jì)數(shù)據(jù)的采集,以及對(duì)數(shù)據(jù)分析處理的能力。因此必須在多維信息安全綜合審計(jì)模型框架下,建設(shè)“原始數(shù)據(jù)收集數(shù)據(jù)標(biāo)準(zhǔn)化處理審計(jì)事件分析事件響應(yīng)與展現(xiàn)”的全過(guò)程處理過(guò)程,實(shí)現(xiàn)從采集到展現(xiàn)的一體化綜合審計(jì)系統(tǒng),包括數(shù)據(jù)采集、數(shù)據(jù)處理、事件分析和事件響應(yīng)4大功能模塊。數(shù)據(jù)采集對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包、主機(jī)中的重要數(shù)據(jù)的操作行為、操作系統(tǒng)日志、安全設(shè)備日志、網(wǎng)絡(luò)設(shè)備日志等原始數(shù)據(jù)進(jìn)行收集;數(shù)據(jù)處理將采集到的原始數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理,將處理后的數(shù)據(jù)變?yōu)槿罩?存儲(chǔ)到數(shù)據(jù)庫(kù)中,并交付“事件分析”模塊;事件分析對(duì)標(biāo)準(zhǔn)化處理后的事件進(jìn)行分析、匯總,同時(shí)結(jié)合人員信息做出綜合判斷,有選擇地將分析結(jié)果發(fā)送到“事件響應(yīng)”單元,并進(jìn)行存儲(chǔ)與展現(xiàn);事件響應(yīng)對(duì)分析后的結(jié)果做出反應(yīng)的單元,可以結(jié)合其他的安全措施對(duì)事件做出中斷會(huì)話、改變文件屬性、限制流量等操作。

    3.2業(yè)務(wù)架構(gòu)

    安全綜合審計(jì)應(yīng)保證審計(jì)范圍的完整性,只有范圍覆蓋得合理且全面,才能保證信息安全審計(jì)的充分性和有效性,才能達(dá)到綜合治理的目的。同時(shí),過(guò)大的系統(tǒng)覆蓋維度又會(huì)使審計(jì)點(diǎn)過(guò)多,導(dǎo)致審計(jì)體系無(wú)法貫徹落實(shí)。因此,應(yīng)在多維信息安全綜合審計(jì)模塊框架下對(duì)運(yùn)維操作、數(shù)據(jù)庫(kù)應(yīng)用、網(wǎng)絡(luò)應(yīng)用和終端應(yīng)用開(kāi)展審計(jì)工作。通過(guò)對(duì)運(yùn)維操作、數(shù)據(jù)庫(kù)應(yīng)用、網(wǎng)絡(luò)應(yīng)用、終端應(yīng)用等各類(lèi)審計(jì)關(guān)鍵技術(shù)的整合,充分運(yùn)用數(shù)據(jù)統(tǒng)計(jì)、數(shù)據(jù)分析、數(shù)據(jù)展現(xiàn)等手段,構(gòu)建完備的綜合審計(jì)知識(shí)庫(kù),再結(jié)合信息安全實(shí)際環(huán)境和治理策略,制定科學(xué)合理的審計(jì)規(guī)則,實(shí)現(xiàn)信息安全治理工作技術(shù)與管理的統(tǒng)一,從根本上提高信息安全綜合治理能力[6]。

信息安全審計(jì)范文第2篇

國(guó)內(nèi)外一些公司和研究單位分別從信息內(nèi)容本身安全角度展開(kāi)研究，提出了一些網(wǎng)絡(luò)信息安全的整體解決方案，嚴(yán)格規(guī)范建立了一些網(wǎng)絡(luò)信息的安全機(jī)制，但總體上仍處于分散和新興的階段，并未產(chǎn)生一個(gè)被廣為接受的技術(shù)方案。

2002年華東師范大學(xué)計(jì)算機(jī)應(yīng)用研究所與上海市國(guó)家保密局簽訂項(xiàng)目合同，致力該方面研究，力求通過(guò)研究和實(shí)驗(yàn)解決以下問(wèn)題：如何確保信息內(nèi)容整個(gè)生命周期的安全，對(duì)信息內(nèi)容進(jìn)行全程跟蹤以改善信息產(chǎn)品在網(wǎng)絡(luò)中分發(fā)無(wú)序的現(xiàn)狀；如何滿足用戶對(duì)信息內(nèi)容保護(hù)中的不同保護(hù)粒度的需求；以及如何支持不同DRM系統(tǒng)之間的協(xié)作。同時(shí)，基于解決上述問(wèn)題的技術(shù)策略實(shí)現(xiàn)信息全程跟蹤及應(yīng)用安全審計(jì)保護(hù)系統(tǒng)。

研究?jī)?nèi)容：

本項(xiàng)目提出了安全容器技術(shù)，顆粒技術(shù)，DRM系統(tǒng)協(xié)作服務(wù)架構(gòu)：

（1）安全容器技術(shù)－既可以保證信息的存儲(chǔ)和傳輸安全，又可以保證信息內(nèi)容本身的應(yīng)用審計(jì)安全，還可以對(duì)信息的分發(fā)路徑進(jìn)行全程跟蹤，從而能保證網(wǎng)絡(luò)中信息在其整個(gè)生命周期內(nèi)的全面安全性。

（2）顆粒技術(shù)－細(xì)化受保護(hù)信息內(nèi)容的粒度，靈活支持用戶更細(xì)粒度的保護(hù)要求以及和保護(hù)要求的變更。從信息內(nèi)容本身的安全性出發(fā)，以任意大小信息內(nèi)容（可以為整個(gè)信息內(nèi)容）為受保護(hù)對(duì)象，在確保被保護(hù)內(nèi)容表示形式安全性的同時(shí)定義其上操作的安全策略，兩者結(jié)合形成的獨(dú)立受保護(hù)單元。

（3）DRM系統(tǒng)協(xié)作研究－提出通用的安全服務(wù)架構(gòu)，該架構(gòu)提供基礎(chǔ)（用戶管理、服務(wù)發(fā)現(xiàn)、身份認(rèn)證等服務(wù)）、事務(wù)服務(wù)（翻譯、轉(zhuǎn)換、協(xié)調(diào)服務(wù)等）和安全服務(wù)（定義安全策略、跟蹤、審計(jì)等服務(wù)），實(shí)際中各種應(yīng)用（如電子商務(wù)、電子政務(wù)）可以根據(jù)需求直接利用這些服務(wù)、對(duì)現(xiàn)有服務(wù)進(jìn)行調(diào)制得到所需服務(wù)或直接創(chuàng)建自己所需的服務(wù)?，F(xiàn)有不同廠商推出的信息內(nèi)容保護(hù)解決方案和各種DRM系統(tǒng)可依托該服務(wù)架構(gòu)實(shí)現(xiàn)彼此間的協(xié)作。

查新結(jié)果：

由華東師范大學(xué)信息學(xué)院計(jì)算機(jī)應(yīng)用研究所委托查新的信息全程跟蹤及應(yīng)用安全審計(jì)保護(hù)課題具有如下的特點(diǎn)：

1）項(xiàng)目提出了安全容器技術(shù)，顆粒技術(shù)以及支持不同DRM系統(tǒng)協(xié)作的安全服務(wù)架構(gòu)。

2）其安全容器技術(shù)既可以保證信息的存儲(chǔ)和傳輸安全，又可以保證信息內(nèi)容本身的應(yīng)用審計(jì)安全，還可以對(duì)信息的分發(fā)路徑進(jìn)行全程跟蹤，從而保證信息在其生命周期內(nèi)的安全性。

3）顆粒技術(shù)細(xì)化了受保護(hù)信息內(nèi)容的粒度，靈活支持用戶更細(xì)粒度的保護(hù)要求和保護(hù)要求的變更，從信息內(nèi)容安全性出發(fā)，以任意大小信息內(nèi)容為受保護(hù)對(duì)象，在確保被保護(hù)內(nèi)容表示形式安全性的同時(shí)，定義其上操作的安全策略，兩者結(jié)合形成的獨(dú)立受保護(hù)單元。

4）DRM系統(tǒng)協(xié)作研究提出了

信息安全審計(jì)范文第3篇

關(guān)鍵詞 信息安全；縱深防護(hù)體系；計(jì)算機(jī)網(wǎng)絡(luò)；關(guān)鍵技術(shù)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2013）11-0000-00

現(xiàn)代社會(huì)中信息具有重要的價(jià)值，保障信息傳輸、存儲(chǔ)以及應(yīng)用的安全已經(jīng)成為當(dāng)前計(jì)算機(jī)領(lǐng)域的一個(gè)重點(diǎn)問(wèn)題。在信息安全防御中存在多種防御技術(shù)和防御層次，隨著所使用的技術(shù)和層次逐漸增多，網(wǎng)絡(luò)應(yīng)用及信息傳輸所需要經(jīng)過(guò)的監(jiān)控和檢查次數(shù)也就會(huì)越來(lái)越多，這樣就能夠在某一層次失守的情況下仍然能夠保護(hù)信息不被竊取或破壞，這種信息保護(hù)方式就被稱為縱深防御思想。應(yīng)用縱深安全防護(hù)思想可以對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的各個(gè)層面應(yīng)用多種安全防護(hù)技術(shù)，這些防護(hù)技術(shù)組成一個(gè)異構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)，可以對(duì)網(wǎng)絡(luò)信息進(jìn)行聯(lián)動(dòng)聯(lián)防，極大的提高計(jì)算機(jī)信息網(wǎng)絡(luò)的安全性能。

1 計(jì)算機(jī)網(wǎng)絡(luò)信息安全縱深防御模型分析

1.1 功能模型

計(jì)算機(jī)網(wǎng)絡(luò)縱深安全防御模型是動(dòng)態(tài)多層次的，其最早由NSA起草生成，經(jīng)過(guò)多次修改后最新版本的信息防護(hù)模塊由保護(hù)、檢測(cè)、響應(yīng)以及恢復(fù)四個(gè)部分組成。如圖1所示

圖1 PDRR模型

由圖1可以看出，四個(gè)模塊組成一個(gè)有機(jī)的整體對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的信息進(jìn)行保護(hù)。

其中，保護(hù)是指應(yīng)用特定的安全防護(hù)技術(shù)對(duì)信息網(wǎng)絡(luò)進(jìn)行加固和控制，該部分的內(nèi)容通常為靜態(tài)的，包括防火墻技術(shù)、用戶訪問(wèn)控制及身份驗(yàn)證技術(shù)、數(shù)據(jù)信息加密技術(shù)的等。

檢測(cè)是指按照所制定的安全防護(hù)策略對(duì)用戶行為、信息傳輸方式和內(nèi)容等進(jìn)行監(jiān)控和檢查。該部分內(nèi)容由于涉及主動(dòng)防御部分內(nèi)容還需要向用戶或防護(hù)體系提供響應(yīng)依據(jù)，故其是動(dòng)態(tài)的。該模塊會(huì)主動(dòng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)相關(guān)內(nèi)容進(jìn)行掃描和監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的安全威脅和安全漏洞，將其反饋給安全防護(hù)體系，以便用戶在沒(méi)有發(fā)生信息損失的情況下及時(shí)作出響應(yīng)。

響應(yīng)是指對(duì)檢測(cè)過(guò)程中發(fā)現(xiàn)的問(wèn)題進(jìn)行實(shí)時(shí)處理，消除潛在的安全隱患，保證信息網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)行在穩(wěn)定、安全狀態(tài)。

恢復(fù)是指為防止信息網(wǎng)絡(luò)或信息系統(tǒng)被攻破后為用戶帶來(lái)?yè)p失，按照一定的備份恢復(fù)機(jī)制對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行保存和備份，即便發(fā)生信息破壞等事件，也能夠盡快從故障狀態(tài)恢復(fù)，將損失降到最低。

1.2 多層縱深安全防護(hù)模型

由上節(jié)可知，完整的計(jì)算機(jī)網(wǎng)絡(luò)縱深安全防護(hù)模型包含四部分內(nèi)容，每部分內(nèi)容又包含若干種計(jì)算機(jī)技術(shù)，這些技術(shù)相互搭配即可實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的縱深保護(hù)。一個(gè)完整的，配置適當(dāng)?shù)目v深安全防護(hù)模型如下圖2所示。

圖2 多層縱深安全防護(hù)模型

由圖2可以看出，第一節(jié)中提出的安全防護(hù)模塊已經(jīng)按照其防護(hù)和作用位置進(jìn)行了具體化處理，四個(gè)防護(hù)內(nèi)容被有機(jī)融合成為一個(gè)整體。在計(jì)算機(jī)網(wǎng)絡(luò)和外網(wǎng)進(jìn)行通信時(shí)首先需要經(jīng)由防火墻對(duì)通信規(guī)則進(jìn)行過(guò)濾。之后在網(wǎng)絡(luò)內(nèi)部則需要綜合使用多種防御技術(shù)如身份驗(yàn)證、入侵檢測(cè)、安全協(xié)議控制等對(duì)網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)行為進(jìn)行控制。在最底層的信息保護(hù)中，一方面需要對(duì)信息采取必要的加密處理，讓其由明文信息變?yōu)椴豢勺R(shí)別的密文信息；另一方面則需要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的重要信息進(jìn)行備份處理，以防信息發(fā)生破壞后還能夠被恢復(fù)使用。此外，在信息應(yīng)用的各個(gè)層面還應(yīng)該使用必需的殺毒軟件。

2 縱深安全防護(hù)模塊中的關(guān)鍵技術(shù)分析

2.1 防火墻技術(shù)

防火墻將計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分成兩個(gè)部分，內(nèi)網(wǎng)和外網(wǎng)之間進(jìn)行數(shù)據(jù)通信時(shí)只有符合通信規(guī)則和用戶所制定的安全策略的信息內(nèi)容才能夠通過(guò)防火墻。

目前防火墻按照功能的不同可以分為包過(guò)濾和防火墻兩種。前者會(huì)對(duì)信息的承載單位即數(shù)據(jù)包進(jìn)行檢查，包括收發(fā)地址、TCP端口號(hào)等，只有允許范圍內(nèi)的數(shù)據(jù)包才能夠通過(guò)。后者則是將防火墻充當(dāng)一個(gè)服務(wù)器，內(nèi)外網(wǎng)之間的數(shù)據(jù)通信都需要通過(guò)服務(wù)器進(jìn)行轉(zhuǎn)發(fā)，這樣就可以將被保護(hù)的網(wǎng)絡(luò)結(jié)構(gòu)很好的隱藏起來(lái)，提升安全性能。

2.2 用戶身份認(rèn)證及訪問(wèn)控制策略

當(dāng)用戶需要對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)時(shí)，若能夠?qū)τ脩舻纳矸葸M(jìn)行認(rèn)證，根據(jù)認(rèn)證結(jié)果向用戶分配具體的網(wǎng)絡(luò)訪問(wèn)權(quán)限，則可以很大程度的提升計(jì)算機(jī)網(wǎng)絡(luò)的信息安全性。

用戶身份認(rèn)證技術(shù)可以判斷用戶是否具有網(wǎng)絡(luò)使用權(quán)限并向用戶分配可應(yīng)用于網(wǎng)絡(luò)的安全密鑰或口令，用戶只能在權(quán)限范圍內(nèi)訪問(wèn)或使用網(wǎng)絡(luò)信息資源。這樣就有效避免了非法用戶的網(wǎng)絡(luò)接入。

訪問(wèn)控制技術(shù)則是將網(wǎng)絡(luò)內(nèi)容劃分為多個(gè)等級(jí)，只有符合等級(jí)要求的用戶才能夠?qū)ο拗频馁Y源進(jìn)行訪問(wèn)和使用，即便用戶經(jīng)過(guò)了網(wǎng)絡(luò)內(nèi)的身份認(rèn)證，若沒(méi)有足夠的權(quán)限也無(wú)法獲取相應(yīng)的內(nèi)容。這樣就可以極大的保證網(wǎng)絡(luò)信息資源在安全可控范圍內(nèi)。

2.3 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是一種主動(dòng)防御技術(shù)。部署該技術(shù)的系統(tǒng)會(huì)主動(dòng)收集所在網(wǎng)絡(luò)的多種數(shù)據(jù)和用戶行為，同時(shí)程序執(zhí)行過(guò)程和數(shù)據(jù)使用過(guò)程進(jìn)行記錄，然后再利用數(shù)據(jù)分析工具對(duì)所收集到的信息進(jìn)行分析和檢測(cè)，若發(fā)現(xiàn)異常行為或入侵行為，則出發(fā)報(bào)警系統(tǒng)并向控制中樞提供警報(bào)信息供用戶或安全監(jiān)控系統(tǒng)指定和采取適當(dāng)?shù)膽?yīng)對(duì)措施。

2.4 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的核心技術(shù)，可以利用多種加密算法和加密密鑰等將明文信息轉(zhuǎn)變?yōu)闊o(wú)法識(shí)別的密文信息，只有使用對(duì)應(yīng)的解密算法和解密密鑰才能夠?qū)⑿畔⒒貜?fù)出來(lái)。這樣就可以保證信息傳輸和存儲(chǔ)的安全性，即便發(fā)生了信息泄露也無(wú)法確切知道信息內(nèi)容，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的保密。

3 總結(jié)

總之，計(jì)算機(jī)網(wǎng)絡(luò)存在多個(gè)層次和多種結(jié)構(gòu)，若只使用一種或少數(shù)幾種安全防護(hù)技術(shù)很難做到為網(wǎng)絡(luò)信息的全面防護(hù)。為切實(shí)保障網(wǎng)絡(luò)信息的安全，必須綜合應(yīng)用多種信息安全技術(shù)形成完整的計(jì)算機(jī)網(wǎng)絡(luò)縱深防護(hù)體系，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中各個(gè)層面的信息進(jìn)行保護(hù)，切實(shí)增強(qiáng)信息的安全性。

參考文獻(xiàn)

[1]張雨.計(jì)算機(jī)網(wǎng)絡(luò)信息安全縱深防護(hù)模型分析[J].電子制作，2013（6）.

[2]李海燕，王艷萍.計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題與防范方法的探討[J].煤炭技術(shù)，2011，30（9）.

信息安全審計(jì)范文第4篇

【 關(guān)鍵詞 】 身份認(rèn)證；計(jì)算機(jī)；信息安全；動(dòng)態(tài)驗(yàn)證碼

1 引言

隨著各單位對(duì)信息化技術(shù)要求的提高，網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)逐漸成熟。各類(lèi)業(yè)務(wù)系統(tǒng)都具備身份認(rèn)證技術(shù)和機(jī)制，以確保計(jì)算機(jī)信息安全。操作者要牢記十多個(gè)業(yè)務(wù)系統(tǒng)的用戶名和密碼，反復(fù)登錄多個(gè)業(yè)務(wù)系統(tǒng)才能開(kāi)展工作。現(xiàn)在，各個(gè)高校都在建設(shè)數(shù)字化校園網(wǎng)，校園網(wǎng)信息安全成為當(dāng)前的重要工作之一。高校建設(shè)數(shù)字校園網(wǎng)絡(luò)時(shí)，既要統(tǒng)一標(biāo)準(zhǔn)建設(shè)新業(yè)務(wù)平臺(tái)，還有整合、集成原有業(yè)務(wù)系統(tǒng)，打造統(tǒng)一完整、功能齊全、安全網(wǎng)點(diǎn)的統(tǒng)一的用戶身份認(rèn)證系統(tǒng)，這已成為校園網(wǎng)的基礎(chǔ)。因此，要在多個(gè)網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)中融入單點(diǎn)身份認(rèn)證技術(shù)。用戶登錄一次，認(rèn)證一遍，就可以訪問(wèn)該平臺(tái)上的多個(gè)業(yè)務(wù)系統(tǒng)，在各系統(tǒng)中轉(zhuǎn)移時(shí)，也不需要受到限制。

2 身份認(rèn)證系統(tǒng)設(shè)計(jì)目標(biāo)

用戶身份認(rèn)證依托Web Service封裝為網(wǎng)絡(luò)服務(wù)，將數(shù)據(jù)庫(kù)中倉(cāng)儲(chǔ)的各個(gè)業(yè)務(wù)系統(tǒng)的信息和用戶身份信息進(jìn)行統(tǒng)一，按需調(diào)用，進(jìn)而統(tǒng)一認(rèn)證、管理和授權(quán)。其設(shè)計(jì)目標(biāo)有幾個(gè)方面。

（1）為用戶帶來(lái)方便，統(tǒng)一、集中、有效管理用戶，借助已有的業(yè)務(wù)系統(tǒng)的用戶設(shè)置和權(quán)限分配，縮減重新開(kāi)放用戶數(shù)據(jù)庫(kù)的開(kāi)發(fā)成本，并且減少對(duì)已有業(yè)務(wù)系統(tǒng)的修改影響。

（2）凸顯身份認(rèn)證單點(diǎn)登錄，登錄后，在各系統(tǒng)中切換時(shí)，不需要退出。

（3）信息平臺(tái)上的各個(gè)業(yè)務(wù)系統(tǒng)均基于同一個(gè)數(shù)據(jù)庫(kù)設(shè)計(jì)。

（4）認(rèn)證系統(tǒng)的可整合性和擴(kuò)展性良好，既能兼容已有的業(yè)務(wù)系統(tǒng)和用戶數(shù)據(jù)庫(kù)，也能支持新建設(shè)的業(yè)務(wù)系統(tǒng)，可以將其以身份認(rèn)證的集成模塊嵌入新系統(tǒng)。

（5）在應(yīng)用上要靈活便捷，該身份認(rèn)證系統(tǒng)要能以多種方式加以運(yùn)用。在設(shè)計(jì)用戶的統(tǒng)一管理和認(rèn)證身份時(shí)，在設(shè)計(jì)思想上要注重角色的分級(jí)權(quán)限管理、業(yè)務(wù)系統(tǒng)的安全維護(hù)、證書(shū)的統(tǒng)一管理和資源的統(tǒng)一匹配，以強(qiáng)化集中數(shù)據(jù)、資源和應(yīng)用。

3 基于PHP 的互聯(lián)網(wǎng)身份認(rèn)證系統(tǒng)的原理及設(shè)計(jì)

秉承計(jì)算機(jī)信息安全的理念，按照統(tǒng)一身份認(rèn)證的原則，來(lái)分析基于PHP 的互聯(lián)網(wǎng)身份認(rèn)證系統(tǒng)的原理及實(shí)現(xiàn)。

Apache系統(tǒng) 作為網(wǎng)絡(luò)服務(wù)底層主系統(tǒng)，借助PHP 程序通過(guò)網(wǎng)頁(yè)表單與客戶端進(jìn)行直接通信，是軟件的使用不受限制。該系統(tǒng)主在計(jì)算機(jī)信息安全方面的表現(xiàn)有兩個(gè)方面：一是基于PHP的驗(yàn)證碼對(duì)身份的驗(yàn)證模塊；二是基于MD5的加密模塊。

管理員具備識(shí)別系統(tǒng)管理員的用戶名、密碼以及IP信息的功能。該模塊主要用PHP 程序通過(guò)網(wǎng)絡(luò)表單操作數(shù)據(jù)庫(kù)，從而實(shí)現(xiàn)用戶的添加、刪除、修改等功能。

在密碼驗(yàn)證模塊中，用戶的密碼經(jīng)過(guò)MD5 散列處理后，在數(shù)據(jù)庫(kù)中記錄的是加密的信息。用戶登錄時(shí)，程序是對(duì)加密信息的驗(yàn)證，不易被外界破解，增加了安全性。該模塊作為系統(tǒng)的前臺(tái)模塊，可以連接系統(tǒng)與客戶端，實(shí)現(xiàn)有效認(rèn)證身份信息。用戶身份認(rèn)證的過(guò)程，是通過(guò)在系統(tǒng)中驗(yàn)證一次性用戶口令，對(duì)用戶的身份進(jìn)行識(shí)別，依照用戶的不同權(quán)限，參與相關(guān)種類(lèi)的服務(wù)內(nèi)容。

動(dòng)態(tài)口令用戶身份驗(yàn)證流程。這種驗(yàn)證方式的流程是認(rèn)證雙方對(duì)密鑰共享，借助該種子密鑰對(duì)密碼的算法進(jìn)行驗(yàn)證，借助對(duì)稱算法等驗(yàn)證計(jì)算值的一致性。動(dòng)態(tài)口令每一次都不一樣，登錄后，改密碼就實(shí)效。密碼通常是8-10位的字符串，應(yīng)用便捷。這與常規(guī)的靜態(tài)口令的認(rèn)證方法相同，和系統(tǒng)的整合性好，所以，動(dòng)態(tài)密碼的應(yīng)用越來(lái)越廣泛，可以在網(wǎng)絡(luò)應(yīng)用、手機(jī)業(yè)務(wù)等多個(gè)領(lǐng)域應(yīng)用。動(dòng)態(tài)密碼有事件模式、時(shí)間模式和應(yīng)答模式等幾種。

（1）登錄網(wǎng)絡(luò)系統(tǒng)的注冊(cè)網(wǎng)址，鍵入用戶名和密碼，服務(wù)器程序按MD5散列模式把密碼加密，存儲(chǔ)在數(shù)據(jù)庫(kù)中。

（2）網(wǎng)絡(luò)服務(wù)器接收用戶名后，在MD5模組與客戶端校驗(yàn)。校驗(yàn)通過(guò)，服務(wù)器把登錄時(shí)間、隨機(jī)字符串和客戶端網(wǎng)址通過(guò)網(wǎng)絡(luò)傳輸協(xié)議傳遞到瀏覽器端。用戶以此輸入用戶名和密碼，以及隨機(jī)配給的動(dòng)態(tài)字符串，客戶端把該信息傳遞到服務(wù)器端。

（3）服務(wù)器獲取數(shù)據(jù)后，先驗(yàn)證傳遞的數(shù)據(jù)是否在約定的時(shí)間內(nèi)，如果超期，則此次驗(yàn)證實(shí)效。接著，對(duì)客戶端發(fā)回的時(shí)間與隨機(jī)動(dòng)態(tài)字符串與系統(tǒng)核對(duì)，如果校驗(yàn)錯(cuò)誤則終止。然后，服務(wù)器對(duì)用戶名和密碼進(jìn)行驗(yàn)證。如果通過(guò)，就將用戶帶至相關(guān)權(quán)限的頁(yè)面中。

4 身份認(rèn)證的技術(shù)應(yīng)用

4.1 依托圖片動(dòng)態(tài)驗(yàn)證碼實(shí)現(xiàn)身份認(rèn)證

以PHP為例實(shí)現(xiàn)圖片驗(yàn)證。

4.1.1生成驗(yàn)證文件yanzheng.php

（1）第一步，在session變量中存入數(shù)字或字符為組合的8位隨機(jī)數(shù)。

session_start（）；

$yanzhengma=""；

$chars = 'abcdefghijklmnopqrstuvwxyz0123456789'；

$password = ''；

for （ $i = 0； $i

{

$password = substr（$chars， mt_rand（0， strlen（$chars）-1）， 1）；

$_SESSION["yanzhengma"]=$ yanzhengma。

（2）產(chǎn)生圖片

$img=imagecreate（100，50）； //新建一個(gè)基于調(diào)色板的圖像

$blackys=imagecolorallocate（$im，0，0，0）； //為一幅圖像分配顏色

$whitebj=imagecolorallocate（$im，255，255，255）； //為一幅圖像分配顏色

$grayys=imagecolorallocate（$im，200，200，200）； //為一幅圖像分配顏色

imagefill（$im，0，0，$grayys）； //填充顏色。

（3）將字符串繪入圖片中

for（$i=0；$i

$chicun=mt_rand（5，8）；

imagestring（$im，$ chicun，（2 + $i*10）， $str， $ yanzhengma [$i]， imagecolorallocate（$im， rand（0，130）， rand（0，130），rand（0，130）））；}//將字符串橫向顯示出來(lái)。

（4）將驗(yàn)證碼的背景做模糊處理，增加干擾信息

for（$i=0；$i

$suijiyanse=imagecolorallocate（$im，rand（0，200），rand（0，200），rand（0，200））；

imagesetpixel（$im，rand（）%70，rand（）%30，$ suijiyanse）；}。

（5）建立PNG格式的驗(yàn)證圖像

header（"Content-type：image/png"）；

imagepng（$im）；

imagedestroy（$im）； //將圖像銷(xiāo)毀。

4.1.2 登錄頁(yè)面denglu.php

在瀏覽器端頁(yè)面denglu.php 文件上顯示驗(yàn)證碼圖片，登錄者開(kāi)始登錄時(shí)，就顯示新的驗(yàn)證碼，提交驗(yàn)證碼后，程序進(jìn)行核對(duì)。代碼為：

……

輸入驗(yàn)證碼：

……

4.1.3 登錄檢查文件jianyan.php

驗(yàn)證變量session中的驗(yàn)證碼信息和登陸頁(yè)提交的驗(yàn)證碼信息是否一致，如果輸入字符與圖片相同，則通過(guò)驗(yàn)證。

if（strcmp（$_post["author "]，$_SESSION["yanzhengma "]）==0）{

echo"通過(guò)驗(yàn)證."；

} else{ echo"請(qǐng)重新輸入驗(yàn)證碼！"；}。

4.2 應(yīng)用MD5 算法實(shí)現(xiàn)身份驗(yàn)證

在PHP 中有很多加密算法。例如使用異或（ XOR）運(yùn)算， 將明文與密鑰進(jìn)行異或運(yùn)算得到密文， 再將密文與密鑰進(jìn)行異或運(yùn)算還原成明文。

還可以利用PHP提供的crypt（1）函數(shù)完成簡(jiǎn)單的單向加密功能。單向加密可以加密一些明碼， 但不能夠?qū)⒚艽a轉(zhuǎn)換為最原始明碼。單向加密的口令一旦落入第三方人的手里， 由于不能被還原為明文，因此對(duì)第三方來(lái)說(shuō)也是沒(méi)有什么用處的。

如果需要較高的安全性， 可以采用MD5（Message Digest Algorithm 5）散列加密算法。散列算法是指將任意長(zhǎng)度的二進(jìn)制值映射為固定長(zhǎng)度的較二進(jìn)制，，二進(jìn)制值比值稱為散列值法。散列一段明文后， 哪怕只更改一個(gè)字母， 生成的散列值都將變化很大。已經(jīng)證明， 要找到散列為同一個(gè)值的兩個(gè)不同的輸入， 在計(jì)算上是不可行的。MD5的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密鑰前被/壓縮0成一種保密格式， 即使用一個(gè)散列函數(shù)，。

將一個(gè)可變長(zhǎng)度的信息變換為具有固定長(zhǎng)度被散列過(guò)的輸出， 也被稱作/信息文摘0。固定長(zhǎng)度的字符串可以用來(lái)檢查文件的完整性和驗(yàn)證數(shù)字簽名與用戶身份。PHP 內(nèi)置的md5（ ） 散列函數(shù)把一個(gè)可變長(zhǎng)度的信息轉(zhuǎn)換為128位（ 32個(gè)字符）的信息文摘 ?？梢钥闯鯩D5算法是一種較復(fù)雜的單向加密算法，加密程度較高。

MD5加密算法在PHP中的應(yīng)用模式為：

$miwen=”yonghuming1”；

Echo “原文：$miwen”.”

”；

$encrypt_jiami=md5（$miwen）；

Echo “加密后：$encrypt_jiami”；

？>

這里的PHP代碼應(yīng)用了嵌套的MD5加密模式，把明文編譯散列為密文，長(zhǎng)度為32字符。編譯后輸出為：

原文：yonghuming1

加密后：d53862742a272e95a8e7576b87deb121

修改原文中的yonghuming1為yonghuming2，輸出為：

原文：yonghuming1

加密后：0835e7098a4e975b92ee30f072416fe7

以上可見(jiàn)，細(xì)微的差別，經(jīng)過(guò)MD5加密后結(jié)果大不相同，也體現(xiàn)了MD5機(jī)制的加密可靠性。

現(xiàn)在許多系統(tǒng)都用MD5算法對(duì)密碼進(jìn)行保護(hù)：用戶登錄系統(tǒng)時(shí)，在入口處鍵入用戶名和密碼，程序把密碼經(jīng)過(guò)MD5加密后的值與儲(chǔ)存在數(shù)據(jù)庫(kù)中的密文相較驗(yàn)，如果相符，就通過(guò)驗(yàn)證。

//首先連接數(shù)據(jù)庫(kù)

if（$yonghu！=0）//數(shù)據(jù)庫(kù)中存在該用戶

{……

if （$mima==$cunmima）

//通過(guò)驗(yàn)證

Else ……//重新輸入密碼

}

？>

5 結(jié)束語(yǔ)

依據(jù)身份認(rèn)證技術(shù)原理采用PHP腳本語(yǔ)言自動(dòng)提供動(dòng)態(tài)驗(yàn)證碼，為用戶校驗(yàn)賬號(hào)和密碼，是計(jì)算機(jī)信息安全理念的具體體現(xiàn)。模擬用戶登錄應(yīng)用系統(tǒng)的身份認(rèn)證模型，使用戶只須完成最初的驗(yàn)證過(guò)程就可以直接訪問(wèn)應(yīng)用系統(tǒng)，無(wú)須每次訪問(wèn)一個(gè)應(yīng)用資源都登錄一次，大大提高了工作效率。這個(gè)模型與應(yīng)用系統(tǒng)無(wú)關(guān)，應(yīng)用系統(tǒng)無(wú)須修改就可使用，具有高度擴(kuò)展性和延生性。

參考文獻(xiàn)

[1] 王萍利.基于J2EEWeb服務(wù)的統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).電子設(shè)計(jì)工程，2012年24期.

[2] 劉建良.淺談網(wǎng)絡(luò)安全身份認(rèn)證技術(shù)的研究分析.數(shù)字技術(shù)與應(yīng)用，2012年11期.

[3] 王一平.再論數(shù)字化校園中統(tǒng)一身份認(rèn)證平臺(tái)的建設(shè)和管理.中國(guó)電子商務(wù)，2012年15期.

[4] 陶玉龍，盧凱，王小平等.面向云服務(wù)的高性能計(jì)算柔平臺(tái)[J].信息網(wǎng)絡(luò)安全，2012，（06）：57-60.

[5] 吳志軍，王娟.基于IPSec的大型機(jī)場(chǎng)無(wú)線局域網(wǎng)接入認(rèn)證方法研究[J].信息網(wǎng)絡(luò)安全，2012，（06）：14-17.

信息安全審計(jì)范文第5篇

關(guān)鍵詞：審計(jì)視角　信息安全意識(shí)

1　發(fā)現(xiàn)的問(wèn)題主要表現(xiàn)形式及成因分析

1.1　發(fā)現(xiàn)的問(wèn)題主要表現(xiàn)形式

筆者曾參加對(duì)某一級(jí)分行的辦公設(shè)備審計(jì)檢查，現(xiàn)場(chǎng)隨機(jī)抽取多個(gè)部門(mén)的辦公電腦進(jìn)行設(shè)備安全管理、用戶安全管理及通訊安全管理等三個(gè)方面的檢查，結(jié)果發(fā)現(xiàn)沒(méi)有一臺(tái)電腦在對(duì)上述安全管理的執(zhí)行方面完全到位，不合規(guī)現(xiàn)象較普遍存在。

如電腦上未裝防病毒軟件或病毒庫(kù)更新不及時(shí)，下載并安裝了不安全軟件或與工作無(wú)關(guān)的非授權(quán)軟件，未設(shè)置用戶登錄密碼、開(kāi)機(jī)密碼、屏保密碼或密碼為“111111”、“888888”等簡(jiǎn)單數(shù)字、密碼長(zhǎng)時(shí)間未更改過(guò)，來(lái)賓賬戶未設(shè)置禁用，擅自通過(guò)撥號(hào)（有線/無(wú)線）、ADSL等方式直接接入和訪問(wèn)互聯(lián)網(wǎng)以及登陸不安全網(wǎng)站等，同時(shí)還關(guān)注到部分電腦非工作時(shí)間不關(guān)機(jī)、員工間互相借辦公電腦使用、存有重要數(shù)據(jù)的移動(dòng)、設(shè)備隨意亂放等現(xiàn)象。

1.2　成因分析

上述普遍存在的不合規(guī)現(xiàn)象，究其原因，固然有員工對(duì)信息安全風(fēng)險(xiǎn)不識(shí)別、制度執(zhí)行不到位及檢查監(jiān)督不力、責(zé)任追究不深入等方面的因素，但是更深層次的原因還是員工信息安全意識(shí)淡薄，對(duì)信息安全風(fēng)險(xiǎn)認(rèn)識(shí)不足所造成。如設(shè)置用戶開(kāi)機(jī)密碼，本是一個(gè)簡(jiǎn)單的合規(guī)操作問(wèn)題，無(wú)任何復(fù)雜度可言，但是就是不執(zhí)行、做不好，為什么？這恐怕就是員工的信息安全意識(shí)上的問(wèn)題。

2　員工的信息安全意識(shí)薄弱的原因分析

造成員工的信息安全意識(shí)薄弱的原因是多方面的。一是信息安全價(jià)值未具體顯現(xiàn)。因?yàn)樾畔踩珒r(jià)值不能有效量化并分解到每一位員工，并且與員工自己的具體工作相比，信息安全不能對(duì)他們的工作成果產(chǎn)生直接影響，因此，在具體工作過(guò)程中，很多員工經(jīng)常把信息安全管理放在次要位置，一切均為方便完成具體工作讓路。二是員工對(duì)負(fù)面影響的感受效果不明顯。盡管存在客戶資料泄密、機(jī)構(gòu)主機(jī)癱瘓，黑客入侵等負(fù)面報(bào)道，但是真實(shí)事件發(fā)生在某一員工身上的很少，或者就算由于病毒入侵使該員工電腦癱瘓，但只要主要資料有備份，剩下的完全交給信息技術(shù)部門(mén)處理，因此，員工感同不深。三是信息安全傳導(dǎo)不到位，思想上認(rèn)識(shí)不足。由于缺乏持續(xù)深入的信息安全傳導(dǎo)或者傳導(dǎo)方式、形式不夠靈活，不容易感受和接受，使員工對(duì)信息安全的認(rèn)識(shí)處于較模糊的狀態(tài)，甚至認(rèn)為這是領(lǐng)導(dǎo)和信息技術(shù)部門(mén)的事情，主動(dòng)信息安全的風(fēng)險(xiǎn)意識(shí)不高。四是責(zé)任追究不深入，違規(guī)成本低。除了出現(xiàn)大的責(zé)任事故，否則對(duì)員工信息安全方面存在的問(wèn)題一般處罰較輕或者不處罰。如，用戶密碼為“111111”太簡(jiǎn)單，不合規(guī)，審計(jì)指出后，立即改正，過(guò)后又改回來(lái)。理由很充分，復(fù)雜的密碼不容易記住，又不能記在筆記本上，所以還是簡(jiǎn)單的可靠，同時(shí)這個(gè)問(wèn)題又不影響日常工作，其領(lǐng)導(dǎo)往往也不會(huì)深究，違規(guī)成本為零，也間接造成員工思想上的忽視。

3　員工具備信息安全意識(shí)的重要性

目前信息技術(shù)已經(jīng)滲透到商業(yè)銀行業(yè)務(wù)的各個(gè)層面，信息也逐漸成為各商業(yè)銀行的重要資產(chǎn)，其安全管理也引起了金融業(yè)高管層的高度重視。為此，各商業(yè)銀行紛紛出臺(tái)政策、制度等建立健全信息安全管理體系，強(qiáng)化信息資產(chǎn)保護(hù)。而銀行員工作為政策、制度及流程的具體執(zhí)行者，其執(zhí)行力的高低直接決定了信息資產(chǎn)安全管理的強(qiáng)弱，而其思想上對(duì)信息資產(chǎn)安全的重視程度更是成為執(zhí)行制度規(guī)定是否到位的關(guān)鍵因素，因此，員工信息安全意識(shí)的強(qiáng)弱在信息資產(chǎn)安全管理方面起著至關(guān)重要的作用，值得管理層關(guān)注。

4　提高員工信息安全意識(shí)的建議

4.1　加強(qiáng)信息安全文化建設(shè)，提高員工的認(rèn)同感

一個(gè)企業(yè)需要一個(gè)文化，以提高企業(yè)員工的凝聚力，同樣，要提高員工信息安全意識(shí)也離不開(kāi)其文化建設(shè)，通過(guò)強(qiáng)化信息安全文化建設(shè)，將信息安全文化根植于每一個(gè)員工的腦海中，以提高其認(rèn)同感和責(zé)任感。

4.2　強(qiáng)化信息安全知識(shí)的教育和培訓(xùn)，提高員工安全防范技能

靈活教育和培訓(xùn)的角度、方式和形式，強(qiáng)化教育和培訓(xùn)的全面性、針對(duì)性。如利用各種媒體在公司內(nèi)部宣傳安全問(wèn)題（定期刊物、公司主頁(yè)、錄像錄音、在線培訓(xùn)）等，同時(shí)，為達(dá)到較高的教育和培訓(xùn)效果，可以在培訓(xùn)過(guò)程中插入案例，提高員工的感受度，以便更好地理解和接受。

4.3　強(qiáng)化書(shū)面安全策略的推行，提高員工的重視程度

如與員工簽訂遵守銀行安全政策與程序的協(xié)議、簽訂保密協(xié)議等，讓員工感受到信息安全就在身邊，“從我做起，從現(xiàn)在做起”，以促使員工在思想上引起重視。