安全审计范文

安全审计范文第1篇

关键词：道路；交通；安全；审计

引言

我国每年的道路交通事故总量及损失非常大，道路交通安全已成为重要的民生问题。随着大规模国家高速公路网和干线公路网的建设，作为公路本质属性之一的道路安全问题日益受到各界关注。

从道路自身入手，努力探寻有效的技术举措，切实提高交通安全水平，具有重要的现实意义。最新《公路工程技术标准》（JTG B01-2014）中明确“二级及二级以上的干线公路应在设计时进行交通安全评价，其他公路在有条件时也可进行交通安全评价。”这无疑会对干线公路安全水平的提高起到重要作用。但笔者认为，一些发达国家率先提出的道路交通安全审计措施因其实际应用效果良好、实施范围灵活方便、投入收益比可观，对我国道路安全、尤其是暂未纳入国家强制性道路安全评价要求的较低等级公路及城市道路的交通安全非常值得借鉴，或可作为我国现行道路安全评价工作的有益补充。

1 概念

道路交通安全审计是由符合相关资质条件的专业团队对道路、交通项目潜在的安全隐患进行独立、客观地调查，给出正式的审计报告，列明安全隐患、提出消除或减轻隐患的措施，力求提升项目的安全水平。

道路安全审计旨在通过专业人士的职业判断，帮助把安全的理念融入具体项目之中，有几点需要明确：

（1）道路安全审计不同于事故多发点段调查，事故多发点段调查是事后行为，而道路安全审计是预防行为。（2）道路安全审计不是对设计标准的检查，其仅限于道路安全范畴。（3）道路安全审计实施范围灵活方便，审计项目可以大到整条公路或城市道路，也可以小至一处平交道口。（4）道路安全审计并不为项目出现的安全事故承担责任，责任仍由项目管理方或设计方承担。审计人员致力于发现问题，而解决问题则是工程师（管理或设计方）的责任。

2 工作程序

道路安全审计由拟建或既有项目的主管机构委托有资质的、专业化的审计队伍按照规定的程序实施，一般步骤如下：

（1）选择审计队伍。择优选择审计单位和人员，审计人员必须经验丰富、严谨认真且与设计无关，确保客观、公正、可靠。（2）提供项目背景资料。包括道路的勘察、设计资料，以及与道路交通安全相关的各种调查统计资料。（3）召开启动会议。与会各方商讨具体目标、阶段安排、沟通渠道等事项。（4）开展审计工作。根据收集资料进行分析评价，以及现场实地观测，发现可能存在的安全问题。内外业应同步、交叉进行。（5）编写审计报告。主要对发现的不安全因素进行逐项阐明，并提出修正建议。（6）召开完工会议。主要工作是各方讨论审计报告，需要注意的是，审计的目的在于帮助提升项目安全，对于审计提出的问题，不应进行删减或弱化。（7）书面回复。委托方对审计报告中提出的问题予以回复，可以有不同意见，但应列明充分的理由。（8）采取行动。根据书面回复的内容，修改设计或动工消除隐患。为提高时效，第3、6步的两次会议，现今常以电子邮件或网络会议方式进行，重在各方充分沟通意见、取得一致。

3 实施阶段

审计工作在各国大都分为可行性研究、初步设计、施工图设计、预通车和运营等五个阶段，文章借鉴有关文献论述，将施工阶段的审计也单独划分开来。

3.1 可行性研究阶段审计

结合路网规划、项目建议书或可行性研究报告，从安全角度查找、提出问题。

3.2 初步设计阶段审计

针对设计指标进行安全评价，同时对工程施工中可能出现的安全问题进行分析预测。

3.3 施工图设计阶段审计

相比初步设计阶段审计，本阶段的审计内容更加细化，主要考虑的是道路设计细节问题的安全性，同时要对施工中的交通管制设计方案进行安全审计。

3.4 施工阶段审计

对施工现场、施工准备与实施方案、临时交通管控、交通疏导方案进行安全审计，充分重视现场施工人员与车辆、施工区域道路使用者的安全保障问题。

3.5 预通车阶段审计

对于一般道路项目，在项目完工后开通前，为确保所有道路使用者的安全需求能等到满足，应采取驾车、骑行及步行等多种方式进行现场检查，而且应分别在白天与夜晚、晴天与雨天进行。

3.6 通车后审计

随着道路的使用，许多安全隐患可能会更直观地暴露出来，所以这一阶段的审计不论对于新建项目或是既有道路均十分重要。在着力从道路自身挖掘问题的同时，还应收集道路交通事故资料进行分析。

并非每个审计项目都包含以上各阶段，根据被审计项目的性质和规模的不同，可以选择其中的一个或几个阶段进行审计。

对于一条道路，安全审计进行得越早越好。及早发现问题，修正起来必然相对容易，在设计图纸上改动几条线要远比凿除成型的混凝土容易得多。及早消除隐患，就能减少更多的事故，减少更多的损失。

4 成本与收益

项目成本是委托方最关心的问题之一。因为目前在我国还没有比较系统、规范地进行道路安全审计工作，所以这方面的资料比较匾乏。国外部分资料显示，道路安全审计费用约为道路设计费用的5-10%，或按道路建设总费用计，不足0.5%。

开展道路安全审计的收益主要体现在有效预防交通事故的发生和减少相关损失上。国外有研究表明，经安全审计后，一条道路的碰撞事故可以减少逾1/3，节约的事故赔偿和道路设施修复费用亦相当可观。

所以相对于项目总费用，开展道路安全审计增加的费用很少而收益可能非常显著。

5 结束语

（1）道路交通安全审计是通过专业人士的职业判断，帮助把安全的理念融入具体的项目之中，有助于消除或减轻道路安全隐患。（2）道路安全审计程序严谨、规范，择优选择审计队伍、提供充足的项目背景资料、全面有效地开展现场考察和提供清晰准确的审计报告，是一个成功的项目审计之关键。（3）道路安全审计实施范围灵活方便，公路、城市道路均可适用，实施范围亦可大可小。（4）道路安全审计成本很低而收益可能非常显著。

参考文献

[1]JTG B01-2014.公路工程技术标准[S].

[2]JTG/T B05-2004.公路项目安全性评价指南[S].

[3]Asian Development Bank. Road Safety Audit Guidelines for the Asian and Pacific Region[S].

[4]Philip Jordan. The Key Steps in a Road Safety Audit. Road Safety Audit Workshop in Ningxia China， World Bank[Z].

[5]郭应时，袁伟，付锐.道路安全审计及其应用[J].长安大学学报，2005，7.

[6]宇仁德，祁素升，田启华.城市道路安全审计探讨[J].山东交通学院学报，2007，6.

安全审计范文第2篇

关键词：信息安全；运维管理；文件备份

依据国家信息安全等级保护基本技术要求，结合公司信息安全现状和当前信息安全审计先进技术，建设运维权限集中管理与审计系统，规范和完善公司信息系统运维审计，落实信息系统运维人员实名制，加强对主机、网络、数据库等系统的运维操作审计，规范信息系统运维人员操作行为，提升对信息系统运维操作的监管能力，提高公司网络与信息安全管理与运维水平。

⑴实现维护接入的集中化管理。对运行维护进行统一管理，包括设备账号管理、运维人员身份管理。⑵实现运维人员统一权限管理，解决操作者合法访问操作资源的问题，避免可能存在的越权访问，建立有效的访问控制。⑶实现运维日志记录，记录运维操作的日志信息，包括对被管理资源的详细操作行为。⑷实现运维操作审计，对运维人员的操作进行全程监控和记录，实现运维操作的安全审计满足信息安全审计要求。

1 主要技术创新点

⑴网络安全性：运维权限集中管理与审计系统的部署对整个网络结构影响应尽可能小。系统对现有网络不应有特殊要求。对系统故障有完善的保护机制，系统故障后不会影响业务系统正常运营，并能够快速恢复达到保障运维正常进行的要求。⑵信息安全性：运维权限集中管理与审计系统提供完善的用户管理、账号管理、行为审计等多种安全手段的同时，确保系统本身的信息收集、处理和保存过程的安全，系统提供保存信息的加密存储确保敏感信息不能泄露或被窃取，系统提供严格的自审计系统，保证对设备操作的完整记录。⑶准确性：运维权限集中管理与审计系统应保证数据处理的准确性和一致性。⑷开放性：运维权限集中管理与审计系统采用符合河南有线现有的、规范的、开放的接口协议，以保证系统对各种外部系统的互连能力。⑸扩展性：运维权限集中管理与审计系统具备平滑扩容的能力，扩容时应不改变组网结构，不降低系统性能，能满足河南有线业务发展的需求。⑹易用性：运维权限集中管理与审计系统具有良好的人机操作界面、更好的提示信息，方便系统管理人员使用。⑺技术领先以及后续支持能力保证原则：能够提供开放和完整的API接口供二次开发使用，并在业内同类型产品中处于领先地位并有持续的研发技术团队，能够满足河南有线的特色化需求。

2 系统主要功能

⑴身份认证与授权：身份认证采取设置不同账号，来区分自然人的身份，从而将谁使用共享账号的情况准确定位到自然人身上；授权，能够将维护不同设备的管理员严格划分，使管理员只能看到自己维护的设备资源。系统提供基于用户、运维协议、目标主机、运维时间段、会话时长、运维客户端IP等组合的授权功能，实现细粒度授权功能，满足用户实际授权的需求。

⑵用户管理：可以根据具体的维护人员添加唯一与其身份对应的用户，实现维护人员身份的唯一性管理。可以划分多种用户角色，以实现账号权限的三权分立（使用权、管理权、监督权）；提供临时用户账号功能，临时帐号可定期自动回收；提供账号有效期管理，设置用户账号的有效时间，时间精确到天。

⑶访问控制：可实现基于用户、目标设备、系统帐号、登陆规则、访问协议类型，设定比较详细的访问控制列表，可以对用户访问权限进行查看、变更、删除等操作；针对每条访问控制，可以设置一条或者多条基于时间段、地址范围的登录规则，以方便对用户接入的限制管理。针对采用http/https协议的访问，可以做到基于URL访问控制；

⑷密码管理：以静态口令登录的服务器，可以用运维权限集中管理与审计系统统一管理，这样可以控制将设备口令透露给第三方人员。通过对目标设备密码的托管，实现对后台设备的自动登录；可以实现对后台windows、unix、linux设备系统密码的定期自动修改。

⑸设备访问：可以通过运维操作管理系统的WEB页面直接登录到后台各类设备，不再依赖任何客户端程序；字符类型操作设备，也可以同时支持常用客户端软件登陆；字符设备访问支持账号间的自动切换登录和不同设备间的自动切换登录；windows的远程登录要支持磁盘映射功能。

⑹实时监控：可以通过网络连接查看当前正在运维人员对设备的实时操作情况。

监控正在运维的会话，信息包括运维用户、运维客户端地址、资源地址、协议、开始时间等；

监控后台资源被访问情况；提供在线运维操作的实时监控功能。针对命令交互性协议可以图像方式实时监控正在运维的各种操作，其信息与运维客户端所见完全一致。

⑺文件传输：对于Windows设备，还可以支持磁盘映射功能，将本地磁盘映射到目标服务器上去，以方便文件的传输操作。用户可以通过运维操作管理系统，进行文件的FTP/SFTP/SCP方式的传输操作；

⑻报表功能：运维权限集中管理与审计系统提供多种报表展示的同时还能够提供客户自定义报表生成；审计员可导出报表后发邮件给相关负责人，可以将用户信息、设备信息、系统用户和权限列表生成表格，并以excel格式导出备份。

[参考文献]

[1]徐茂智.信息安全概论.人民邮电出版社.北京： 2007.8.

[2]楚狂，等，编著.《网络安全与防火墙技术》.北京：人民邮电出版社，2000.4.

安全审计范文第3篇

1利用网络及安全治理的漏洞窥探用户口令或电子帐号，冒充合法用户作案，篡改磁性介质记录窃取资产。

2利用网络远距离窃取企业的商业秘密以换取钱财，或利用网络传播计算机病毒以破坏企业的信息系统。

3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”，越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单，就有可能将公私财产的所有权进行转移。

计算机网络带来会计系统的开放与数据共享，而开放与共享的基础则是安全。企业一方面通过网络开放自己，向全世界推销自己的形象和产品，实现电子贸易、电子信息交换，但也需要守住自己的商业秘密、治理秘密和财务秘密，而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境，抵抗来自系统内外的各种干扰和威协，做到该开放的放开共享，该封闭的要让黑客无奈。

一、网络安全审计及基本要素

安全审计是一个新概念，它指由专业审计人员根据有关的法律法规、财产所有者的委托和治理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并作出相应评价。

没有网络安全，就没有网络世界。任何一个建立网络环境计算机会计系统的机构，都会对系统的安全提出要求，在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢？这是一般人心中无数也最不放心的问题。应该肯定，一个系统运行的安全与否，不能单从双方当事人的判定作出结论，而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识，而且具有丰富的安全审计经验，只有他们才能作出客观、公正、公平和中立的评价。

安全审计涉及四个基本要素：控制目标、安全漏洞、控制措施和控制测试。其中，控制目标是指企业根据详细的计算机应用，结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节，容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较，确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效，评价企业安全措施的可依赖程度。显然，安全审计作为一个专门的审计项目，要求审计人员必须具有较强的专业技术知识与技能。

安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危，更涉及到企业的经济利益。因此，我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中，国家安全审计机关应依据国家法律，非凡是针对计算机网络本身的各种安全技术要求，对广域网上企业的信息安全实施年审制。另外，应该发展社会中介机构，对计算机网络环境的安全提供审计服务，它与会计师事务所、律师事务所一样，是社会对企业的计算机网络系统的安全作出评价的机构。当企业治理当局权衡网络系统所带来的潜在损失时，他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家，他们对网络的安全控制作出评价，帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判定。

二、网络安全审计的程序安全

审计程序是安全监督活动的详细规程，它规定安全审计工作的详细内容、时间安排、详细的审计方法和手段。与其它审计一样，安全审计主要包括三个阶段：审计预备阶段、实施阶段以及终结阶段。

安全审计预备阶段需要了解审计对象的详细情况、安全目标、企业的制度、结构、一般控制和应用控制情况，并对安全审计工作制订出详细的工作计划。在这一阶段，审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。

1了解企业网络的基本情况。例如，应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网（VPN）？

2了解企业的安全控制目标。安全控制目标一般包括三个方面：第一，保证系统的运转正常，数据的可靠完整；第二，保障数据的有效备份与系统的恢复能力；第三，对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及治理当局的要求而有所差异。

3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划，了解所有有关的控制对上述的控制目标的实现情况，系统还有哪些潜在的漏洞。

安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试，以明确企业是否为安全采取了适当的控制措施，这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品，如网络安全测试产品、网络监视产品、安全审计分析器。

安全审计终结阶段应对企业现存的安全控制系统作出评价，并提出改进和完善的方法和其他意见。安全审计终结的评价，按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级：危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患（如缺乏合理的数据备份机制与有效的病毒防范措施）和系统的盲目开放性（如有意和无意用户常常能闯入系统，对系统数据进行查阅或删改）。不安全是指系统尚存在一些较常见的问题和漏洞，如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标，其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等，其他小问题发生时不影响系统运行，也不会造成大的损失，且具有随时发现问题并纠正的能力。

三、网络安全审计的主要测试

测试是安全审计实施阶段的主要任务，一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。

下面是对网络环境会计信息系统的主要测试。

1数据通讯的控制测试数据通讯控制的总目标是数据通道的安全与完整。详细说，能发现和纠正设备的失灵，避免数据丢失或失真，能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标，审计人员应执行以下控制测试：（1）抽取一组会计数据进行传输，检查由于线路噪声所导致数据失真的可能性。（2）检查有关的数据通讯记录，证实所有的数据接收是有序及正确的。（3）通过假设系统外一个非授权的进入请求，测试通讯回叫技术的运行情况。（4）检查密钥治理和口令控制程序，确认口令文件是否加密、密钥存放地点是否安全。（5）发送一测试信息测试加密过程，检查信息通道上在各不同点上信息的内容。（6）检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障，其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如，防火墙应具有拒绝任何不正确的申请者的过滤能力，只有授权用户才能通过防火墙访问会计数据。

2硬件系统的控制测试硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括：实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾害恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。

3软件系统的控制测试软件系统包括系统软件和应用软件，其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为，保障系统正常运行。对软件系统的测试主要包括：（1）检查软件产品是否从正当途径购买，审计人员应对购买订单进行抽样审查。（2）检查防治病毒措施，是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。（3）证实只有授权的软件才安装到系统里。

4数据资源的控制测试数据控制目标包括两方面：一是数据备份，为恢复被丢失、损坏或扰的数据，系统应有足够备份；二是个人应当经授权限制性地存取所需的数据，未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能，以及在日常工作中是否真正实施了这些功能。根据系统的授权表，检查存取控制的有效性。

5系统安全产品的测试随着网络系统安全的日益重要，各种用于保障网络安全的软、硬件产品应运而生，如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全，安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如，检查安全产品是否经过认证机构或公安部部门的认征，产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。

四、应该建立内部安全审计制度

为提高会计信息处理的正确性、真实性和合法性，强化企业的内部控制制度的落实，防止会计信息系统出现各种安全隐患，应建立起计算机网络环境下对会计信息系统实施监督的内部审计制度。内部审计是在单位最高负责人的直接领导下，对集网络、计算机及信息处理为一体的会计信息系统进行职能治理，依照有关法律、法规及内部治理制度，对其合法性、真实性、可靠性和效益性进行相对独立的监督、检查与评价的活动。其主要目的是保护企业计算机会计信息系统所产生的会计记录的真实与可靠，保证网络上数据的传输的数据的安全，并对系统安全情况作出评价。

安全审计范文第4篇

关键词：道路；交通；安全审计

Abstract: with the rapid growth of China's national economy, China's transportation construction has entered a rapid development stage. Traffic accidentsincrease gradually. In order to improve the level of road traffic safety of the whole traffic system, need to "road traffic safety audit" into the road network planning and design, to prevent traffic accidents, reduce the likelihood and severity of accidents caused.

Keywords: road; traffic safety audit;

中图分类号：E232.6文献标识码：A文章编号：2095-2104（2013）

一、引言

随着我国国民经济的迅速增长, 我国的交通建设也进入了快速发展阶段。到2012年底，全国已建成通车的公路总里程达到423.75万公里，其中高速公路通车里程已达9.6万公里。与此同时, 公路、特大型桥梁的整体设计施工技术水平也有了跨越式的提高, 并广受世人瞩目。公路交通已由制约国民经济发展的阶段向基本适应转化。我国的公路建设只用10 余年的时间就走过了西方发达国家几十年的发展里程, 成绩斐然。

但是, 与西方发达国家经过的历程一样, 伴随着经济的迅猛增长, 我国的道路交通安全形势也十分严峻。随着机动车数量的不断增长，公路交通事故频发已成为社会的一大公害。以2011年为例，全国共接报涉及人员伤亡的道路交通事故210812起，共造成62387人死亡，直接财产损失达数十亿元。交通死亡事故总数近几年一直排名世界第一。而对于治理道路交通安全问题的措施，在道路建设中实行道路安全审计则是有效预防交通事故的重要手段之一。

二、交通安全审计的定义

道路安全审计是从预防交通事故、降低事故产生的可能性和严重性入手，对道路项目建设的全过程，即规划、设计、施工和服务期进行全方位的安全审核，从而揭示道路发生事故的潜在危险因素及安全性能。道路安全审计可定义为；由公正独立、有资质的人员对涉及使用者的道路项目(已建或将建项目)进行的正式审查，以确定对道路使用者任何潜在的不安全特性或构成威胁的运营安排。安全审计的目标是：确定项目潜在的安全隐患；确保考虑了合适的安全对策；使安全隐患得以消除或以较低的代价降低其负面影响，避免道路成为事故多发路段；保证道路项目在规划、设计、施工和运营各阶段都考虑了使用者的安全需求。因而可以说道路安全审计的目的就是：保证现已运营或将建设的道路项目都能为使用者提供较高实用标准的交通安全服务。

三、道路安全审计的意义和经济效益

国内外大量研究表明，道路安全审计可有效地预防交通事故，降低交通事故数量及其严重程度，降低道路交通事故的人身赔偿费用，减少道路开通后改建完善和运营管理费用，提高路网的安全性；提升交通安全文化，提高道路管理部门和设计者的安全意识。

道路安全审计的最大效益在于“只需用铅笔改变设计线，而不是到建成后再去搬动混凝土；即使是建成后的道路需要搬动混凝土，那么至少可以避免或减少搬动撞毁的汽车和伤亡的人员”。道路安全审计的费用和改变设计所花的费用，要远远低于在项目建成以后才采取治理措施所需的费用。如果一条道路设计中有明显的安全问题，那么事故耗费将可能成为该项目的整个经济寿命中费用的最主要部分；如果一条新建道路有安全问题，又因为采取改动措施耗资巨大，而采取了其他的补救措施，这将带来一些不良后果——要么是持续的事故损失，要么是由于通行量和车速受到限制而带来的持续的经济损失。对社会而言，在建造之前就避免问题的发生将是最经济的。对于公路建设项目，尽可能减少治理措施。将会降低预算开支，并且使资金的使用更为有效。另外，对现有道路的安全评价将会大大降低事故的损失代价，从而明显地节省开支。工程规范及指南为一个好的设计提供了一个好的开端。

道路安全审计，应当被视为用来减少事故风险的整个道路安全工程的一部分。资料表明，审计1个大型的新建工程，会增加设计成本的 4 %～10 %。由于设计成本仅占工程投资的 5 %～6 %，所以这部分投资的增加是很小的。道路安全审计的收益表现在减少交通事故上，这些收益主要是指因为交通事故的避免和事故严重程度的减轻，大大降低了交通事故的赔偿费用和道路建成后的维护改进费用。

四、道路安全审计的内容及步骤

（一）道路安全审计是从道路因素方面着手,预防交通事故、降低事故产生的可能性和严重性 ,对道路项目建设的全过程进行全方位的安全审核 ,从而揭示道路发生事故的潜在危险因素及安全性能 ,是国际上近期兴起的以预防交通事故和提高道路交通安全为目的的一项新技术手段.

（二）道路安全审计是指对现有道路、未来道路、交通工程以及与道路使用者有关的工程进行正式的审计。审计的对象既包括拟建的道路项目，又包括已有各种不同类型的道路及设施；既可以是大型的、综合性的高速公路项目，又可以是小型的，如1个道路交叉口或1个限速槛。

（三）道路安全审计要贯穿于项目的规划、设计、施工和营运期的整个过程中。道路设计建设程序可将拟建道路安全审计划分为五个阶段：可行性阶段、初步设计阶段、施工图设计阶段、预通车阶段和通车后安全审计。其中每个阶段审计均是一次完整的审计过程，每个阶段都应严格按照安全审计的实施步骤并参照审计条目来执行。审计清单是作为道路安全审计的辅助手段，是有关道路方面知识和经验的综合产物，可使审计者在安全审计时免于遗漏某些重要的东西，同时也可使设计者在设计时发现潜在安全问题。道路安全审计表单内容的关联因素具体表现为道路及其环境因素对交通安全的影响，与交通安全相关的道路及其环境因素有许多，项目通过不同等级公路、在不同道路影响因素的各个方面进行了分析与研究。研究结果表明：道路的种类与规格、路线和线形、路基路面、交通工程设施等与道路交通安全的关联紧密。因此，对道路进行安全审计时，应当分别从工程的整体情况、路线线形、路基路面、桥梁涵洞、平面交叉、立体交叉、隧道、交通工程及沿线设施、环境因素、道路使用者、出入口和周边开发地区等方面来进行。

（四）道路安全审计的每个实施阶段都是一个完整的审计过程，应当依次执行选择审计队伍、收集背景信息、开工会议、评价分析、现场考察、编写审计报告、完工会议、跟踪测评的步骤。每个步骤中的工作内容必须与具体审计项目的性质和规模相适应。对于规模较小、交通安全问题较清楚的项目，有的步骤可以简化，但不能省略，且总的流程次序不能改变。例如，对一些小规模项目的审计就不需要召开专门的开工会议，只需几个电话通知联络一下即可，而且审计组提交的书面报告也应当尽可能的简洁；而对于一个大型道路项目的安全审计，其过程可能会包括若干次会议、大量的计划以及详细的最终审计报告。

五、结语

安全审计范文第5篇

功能设计如下：1)审计信息记录模块。通过提供通用的审计信息记录接口，完成云平台上用户操作的日志信息的标准化处理，并存储到审计数据库的功能，该模块使得系统具有良好的可移植性。2)审计信息签名模块。日志信息处理后存储至审计数据库中时，在审计信息中加入两次签名——元组签名和分片签名，以保护审计数据库自身的安全和审计信息的完整性、完备性。3)审计信息管理模块。实现通过Web管理页面对审计信息进行浏览、删除、导出等操作，为审计人员提供便利的审计信息分析和管理。审计管理员可在审计信息管理平台上下发已制定的审计策略，筛选出可疑事件信息。

2工作流程

2.1审计信息记录流程

审计信息记录是对云平台上用户的操作信息进行获取、分类、存储至审计数据库中的一个过程(见图2)。审计信息记录的流程如下：1)当云平台上的用户使用正确的账号口令登录云平台系统后，便可进行日常的操作行为，例如修改密码、数据的上传和下载、用户之间数据的传递、启动并使用一个远程软件等。云平台通过日志采集引擎采集到日志信息，并向审计信息记录模块发起审计服务请求。2)在众多的用户日常操作行为中，找出审计重点关注的事件及属性，划分平台事件类型，即对审计事件分类。这样的好处是：筛选出重要的平台事件，使得审计更加有效；将来若扩展系统，添加关联分析模块，可直接对审计数据库中的事件分类信息审计事件分析，而不是对冗长杂乱的日志信息分析，提高了关联分析的效率。例如：将平台事件分为以下4类，并确定相关属性如下：①用户事件，表示用户的各种基本操作行为，包括用户登录和注销、密码修改、个人信息修改等事件，需要记录的信息有用户名、登录IP、操作时间、操作是否成功。②数据传输，表示用户对文件等数据的传输行为，包括上传数据开始和结束，下载数据开始和结束、删除数据，重命名数据事件，需要记录的信息有用户名、登录IP、操作(上传、下载、删除、重命名)时间等。③软件使用，表示用户启动了某一个远程软件的行为，需要记录的信息有用户名、操作时间、软件是否启动成功。④工程计算，表示用户提交了一个工程计算作业的行为，需要记录的信息有用户名、作业名、操作时间、提交操作是否成功等。对平台事件的分类和属性确定可以根据云平台的具体用途确定。将4类信息的处理作为4个审计记录接口，这4个接口相互独立，能够并行处理来自云平台的海量日志信息，对用户事件、数据传输、软件使用、工程计算4类事件进行记录。将审计记录接口在WebServices服务上，后，当WebServices收到请求后，就可以完成审计信息接口的功能。3)日志信息经过处理后，发送至数据库访问接口，数据库访问接口会将数据写入审计数据库。至此，审计信息记录的流程完成。

2.2审计信息签名流程

审计信息记录模块使用4个不同的接口分别接收4类用户日志信息数据，并将其发送给数据库访问接口，由其通过数字签名技术完成对日志信息的安全存储，主要包括对日志信息进行元组签名和分片签名。数字签名，简称签名，是一种基于对称密码或非对称密码(公钥密码体制)的算法。大部分签名算法都是基于非对称密码体制实现的，常见的数字签名方法如RSA、DSA等。签名具有以下几个特征：签名是可信的、不可伪造的、不可重用的；签名的文件是不可篡改的；签名是不可抵赖的[8]。(1)元组签名数据库访问接口接收审计数据，对其接收到的每一条数据，将其各记录项合并成一段连续的数据，根据MD5算法计算该段数据的MD5值，作为该条日志信息的唯一元组签名项，具体流程如图3所示。随后将计算出的元组签名项与该条日志信息的各记录项存储到审计信息数据库中，通过数据库访问接口，完成日志信息的存储操作。(2)分片签名每当审计数据库中插入100条数据时，对这100条数据进行签名，将签名保存在一张签名表中，即完成对文件的分片加密(见图4)。将数字签名应用到审计数据库中，原因是审计数据库对数据的安全性有较高的需求。审计数据库中的数据需要保证每个元组都是来自真实的审计日志，数据的完整性正是利用数字签名这些特征来确保查询结果来自真实的原始数据，没有任何篡改。当审计数据库受到安全威胁攻击时，要能够验证该攻击的真实性。审计数据库采用了对元组签名而不是对其加密是因为：加密能够保证数据库的机密性，但是对审计查询工作时进行模糊匹配、多表查询造成了很大的困难，同时，响应时间的加大和解密时间的增多，都影响了系统的可用性。审计数据库签名的粒度有4种：元组属性值、元组、字段、表。为了保证数据完整性，采用对元组签名和分片签名的方法。在审计数据库中的数据以明文形式存储，当怀疑审计数据的有效性时，即可检查审计数据库返回的是不是审计日志的原始数据。通过重新计算该元组MD5的值，如果当前的签名和该元组里的签名对比，若两个MD5的值不相同，则说明该元组已被篡改，是不可信的，用户和管理员可拒绝接受该元组信息。由于对元组的签名只能保证该元组是可信的，没有随意地篡改数据，但是不能保证日志信息的连续性，即数据没有被删除和添加。通过分片签名的方法，可以保证所有数据的完整性。

2.3审计信息管理流程

审计信息管理主要为云平台管理人员以可视化界面的形式提供信息审查的平台，为其进行审计信息的浏览、导出、删除等管理操作提供方便快捷的操作途径。(1)审计信息浏览通过审计信息管理模块与数据库访问模块的交互，能够将存储在安全审计数据库中的审计信息取出并在浏览器中展示，管理人员能够从浏览器中获取云环境下各主机所对应用户的行为操作描述，便于对云平台的安全状况进行审查和评价，及时发现云平台安全性威胁行为。管理员也可根据相应的审计策略给出审计信息的筛选条件，找出可疑信息。(2)审计信息导出对当前用户日志信息记录表以文件形式导出，并加密保存在本地，实现对云平台日志信息的永久性保存，同时保证了其安全性。(3)审计信息删除管理人员能够通过用户界面操作删除用户日志信息，通过审计信息管理模块与数据库访问模块，将存储在安全审计数据库中的该条记录删除。用户界面的设计是为了帮助管理人员或专业机构了解整个云平台上用户日常行为操作的具体内容，及时发现威胁安全的用户操作，实时维护整个云平台的系统安全与数据安全。用户界面不对管理人员提供主动增加用户日志信息及修改用户日志信息的功能。

3性能测试

3.1安全性测试

安全审计系统具有较强的安全保障，具体体现在以下两个方面：1)审计数据库自身的安全保护。对安全审计系统进行访问控制，由专门的审计管理员负责审计数据库的管理、审计策略的下发、审计信息的分析、审计数据库信息的备份和故障恢复等操作，其他人员无权执行上述操作。2)审计数据的完整性安全保护。日志信息在经过审计接口进行存储时，需经过信息分类、格式标准化、签名处理。元组数据的签名确保了单条数据的完整性，分片数据的签名确保了整个审计数据库的审计数据来自连续的审计日志信息。双重签名机制能够确保审计数据完整性的安全保护，同时也能够让平台用户信服于审计结果的准确性。在测试过程中，随机选取审计数据库中1条测试数据，统计其元组签名以及被划分到片(100条数据)后得到的分片签名，然后修改该条测试数据的内容，再次得到以上两组签名，并进行比对，实验结果如表1所示。安全性测试结果表明，当审计数据库中的某一条数据被非法修改时，通过比对分片签名是否改变，可以确定具体被修改的数据在哪一片中，进一步比对元组签名是否改变，便可以确定被修改数据的具置。

3.2算法效率测试

安全审计系统通过双重签名机制保障安全性的同时，也应具备良好的运行速度。而分片签名是基于100条数据进行的签名算法，其执行效率将影响到安全审计系统的整体执行效率。在排除系统其他操作的情况下，针对分片签名计算进行速度估算测试，测试结果如表2所示。算法效率测试结果表明，当同时插入10000条数据时，需要进行100次分片签名算法，签名计算操作仍然耗时较短，考虑到实际运行环境中，同一时间插入的数据均远小于10000条，可以认为签名算法在运行效率上不会影响安全审计系统的整体运行率。

4进一步研究工作

下一步的研究重点将是在本方案的基础上实现以下两点，来提高审计系统的审计能力和审计效率。(1)审计系统中关联分析、报警功能的实现关联分析(AssociationAnalysis)是指在数据记录的数据项之间挖掘关联关系，某些数据项的出现预示着该记录中其他一些数据项出现的可能。进一步研究关联分析方法对审计信息进行关联分析，以发现攻击的规律和趋势，甚至是预测即将发生的攻击。在审计系统中添加报警功能，并可由审计管理员自定义报警策略及响应措施，当发现云平台有严重的侵害事件发生时，即可启动响应措施，对平台进行保护。(2)研究分析审计数据完整性保护措施方案本方案采用了基于简单签名的数据完整性保护措施。这种方法实现比较简单，能够保证数据的完整性。但是签名数量较多时就会给系统带来较大的时间和空间开销。文献[9]提出了完整性审计方法，即通过在需要委托的数据库中插入少量的伪造元组来验证审计数据库的完整性。文献[10]提出了双重加密方法，这种方法是一种低耗费的可证明安全性的双重加密方法，能够保证实现数据元组的完整性认证。因此，可以对不同的审计数据完整性保护措施方案进行对比分析，根据具体云平台的功能总数、用户量选择合适的方案。

5结语

目前云平台在取得不断发展的同时也得到了大量的推广，导致用户日益增多，云平台的安全问题已经成为时下重要的课题。在对不同用户的日常操作行为进行采集、分析、处理与存储等技术进行研究的基础上，设计云平台上的安全审计系统，对当前云计算环境下实现对用户日志的安全审计及管理提出解决的思路与可行性路线，能够基本满足管理人员对用户系统的安全情况进行审查与评价。考虑到云平台下的网络拓扑规模的增大，安全审计问题的复杂性也不断增加，对更加完备的安全审计体系的研究仍需继续探索。

安全审计范文第6篇

国家经济安全运行系统是一个复杂的人工合成系统。而审计监督系统是国家经济安全运行“免疫系统”中的重要组成部分，是该“免疫系统”中开放的子系统。它由相应的组织形式，法规制度，人、财、物等软硬件及其该系统周围的外系统主客观课件所构成。政府审计作为国家经济安全运行开放的免疫系统而存在时，其免疫应该是双向的。姑且将其取名为“免他疫”和“自免疫”。“免他疫”，是指审计监督的客体，即审计监督的对象；“自免疫”是指政府审计系统内部的组织形式、审计人员的思想理念、道德标准、专业知识等要素的组合、调整与完善。金融审计也要通过“免他疫”和“自免疫”双免疫系统，大力开展金融安全审计。

一、树立“免他疫”的科学金融审计理念，开展金融安全审计

（一）我国的金融安全概述。

金融业在市场经济体系中担负着基本的资源配置任务，是整个经济体系中的命脉部门。加强金融监管，防范金融风险，保持金融稳定，是顺利推进金融改革和发展的基础，是贯彻执行国家宏观调控政策的必要条件，是维护国家经济安全的重要保证。金融安全的主要内容包括三个方面：一是在整体上独立、基础稳固、运行健康、增长稳定、发展持续；二是在国际金融业中具有一定的自主性、防卫力和竞争力，不至于因为某些问题的演化而使整个金融业受到过大的打击和遭受过多的损失；三是能够避免或化解可能发生的局部性或全局性的金融危机。一般来说，金融危机主要有货币危机、银行危机、债务危机、经济危机甚至社会危机等形式。

现阶段我国金融安全面临的主要问题是，风险隐患较为严重，微观经济基础薄弱，金融机构内控不力，金融资产质量较差，金融机构以资抵债的能力较差，国际金融环境、金融开放影响我国金融安全等。

对我国来说，维护金融稳定和金融安全，既要妥善应对国际金融危机的变化，严密防范外来冲击，也要加强防范和化解内部风险，始终保持我国金融业的稳健运行。现阶段，我国经济金融运行中长期积累的一些突出矛盾和问题依然存在，国际国内经济金融领域又出现了一些新情况、新问题，不确定因素增加，必须采取措施切实维护金融体系稳定，主要是：要密切关注国际经济金融形势变化，防范国际金融市场动荡引发的传染性风险；继续完善宏观调控，防止经济结构不合理产生的风险；改善国际收支状况，建立健全跨境资本流动监测预警机制；改进资产市场运行机制，防范资产价格大幅波动的风险；加快推进金融改革和创新，增强金融机构风险管理能力和竞争力；加强投资风险教育，增强投资者自我保护能力等。

（二）现阶段开展金融安全审计的思路。

国家审计的本质是经济运行的“免疫系统”，用于解决影响经济发展突出矛盾，维护国家经济安全。金融审计作为国家审计的重要组成部分，也必须体现这一本质特征，在现阶段，就是要紧紧围绕十七大提出“加强和改进金融监管，防范和化解金融风险”的目标，把维护国家金融安全、防范金融风险为中心，促进金融改革的深化，作为金融审计现阶段的战略任务，这就决定了开展金融安全审计的必要性。

1．金融安全审计应着眼于促进金融业的全面、协调可持续发展

近两年来，从国内经济形势看，房地产和股票市场价格大幅波动，并通过信贷等方式，传导到金融企业，金融风险开始凸现；另一方面，世界范围看，美国次级贷款危机、粮食危机等问题，将严肃考验今后很长一段时间世界经济的发展，对我国经济和金融业的发展也将产生很大影响。为此，金融安全审计必须发挥 “免疫系统”作用，树立系统的审计理念、协作的审计理念、绩效的审计理念、创新的审计理念、依法审计的理念，促进金融业的全面、协调可持续发展，更好地服务于维护金融稳定和安全、防范金融风险和宏观调控的重大决策。

2．金融安全审计应着眼于从体制、绩效等方面发挥作用

金融安全审计应重点关注社会经济发展质量、环境和金融业制度、体制和机制的完善情况，努力推动国家宏观调控政策的落实，从宏观层面构筑金融业发展的经济基础；努力推动金融体制改革的深化和构建现代金融体系，从微观层面构筑金融业发展的制度基础。具体来说：

（1）关注国家宏观调控政策贯彻实施情况。金融安全与金融业对国家宏观政策的认识程度、执行力度息息相关，金融业越坚决、有效地执行国家宏观政策，金融安全就越有保证。为此，金融安全审计必须关注金融业贯彻落实国家宏观调控政策的情况，如20__年中央经济会议提出，严格控制货币信贷总量和投放节奏，控制高耗能、高排放和产能过剩企业贷款，抑制房地产价格过快上涨，防范股市大幅度波动等，金融审计就相应地开展国外热钱流入渠道、违规取得贷款从事房地产开发、违规发放两高行业贷款等问题的专项调查，向国家提出相关政策建议后，有效地抑制了经济过热等问题进一步发生，从而维护了金融安全。20__年的中央经济会议提出，金融业要为扩大内需服务、大力扶持中小企业贷款，金融安全审计就要转变重点，关注此方面的问题。

（2）促进金融企业的风险管理体系完善。要确保金融安全，我国金融业就必须尽快建立现代化的风险管理体系，由原来基于交易的风险合规审查，向基于收益、资产组合、风险的现代风险管理体系转变。我国金融企业目前的风险管理体系还不系统、不完整，金融安全审计要在分析金融企业风险管理体系不足的基础上，尽快推动、促进我国金融业建立健全完整的风险管理体系。

（3）对金融机构的内控、绩效进行评价。首先，要重点检查加强金融机构内部控制制度的健全和有效性，不断督促金融机构加强内部控制制度建设，完善金融安全的内部监管制度；其次，要全面评价金融机构的整体经营效益情况，并对重要项目和环节的效益情况进行具体分析，重点关注金融企业合规经营、发展质量和效益等方面情况。具体实施过程时，不但需要对金融企业经营状况、企业内部控制系统状况作出评价，还要对国家金融、货币政策的落实状况，对政策本身是否完善作出评价。

3．金融安全审计应着眼于对监管体系审计

（1）促进金融业监管体系的综合监督与协调。我国现行的金融监管组织体系是以金融行业划分的分业监管模式，银监会、证监会、保监会分别对银行业、证券业、 保险业实施监管。不同的金融监管部门由于监管范围的不同，在监管资源共享等方面，还存在着一些摩擦，所谓分业监管的功能尚未充分发挥。以次贷危机为例，在迅速发展的金融创新产品面前，基于权力分散和组织独立的监管体系并不能有效地实施功能性监管，主要表现为各监管部门对市场的监控信息是支离破碎的，即使在交流过程中也会大量流失、扭曲，调控行动的一致性更会由于权力机构固有的利益属性而失去效率，造成监管滞后。依据法律赋予的职责，政府审计在金融领域有着其他部门所没有的综合监督优势，金融安全审计要把金融业作为一个有机的整体进行监督，降低不同金融机构业务交叉时监管部门产生的较高的协调监管成本，减少多重监管制度对金融创新的阻碍，实现监管规模经济最大化。

（2）关注金融监管体系的健全与有效情况。重点关注以“一行三会”依法监管为基础的金融监管机制的监管绩效情况；以金融机构内控为基础的内部自律机制的完善；建立以政府积极支持为基础的参与协调机制情况；金融行业相互制约为基础的金融行业自制机制健全完善情况；金融同业自律机制的建立健全情况。金融安全审计，一方面，通过对监管运行的合规性、科学性和有效性进行监督和评价，可以不断促进监管体系的完善和监管职能的改进。另一方面，通过检查并向有关利害关系人提供金融监管责任履行情况的信息，促进被监管者——政府金融监督和管理部门改进工作，更好地履行金融监管经济责任。

4．金融安全审计应着眼于信息系统安全审计

从国外银行发展经验看，信息系统缺陷给金融业带来的损失，远远大于传统业务，担任世界最大衍生交易市场领导角色的法国第二大银行兴业银行30多岁的交易员热罗姆?盖维耶尔通过银行“5道安全关”，在未经授权情况下大量购买欧洲股指期货，最终给银行造成49亿欧元（约合71.4亿美元）损失的案例，就已经充分证明了这一点，金融信息系统安全审计迫在眉捷。具体来说，一是从确认金融机构数据完整性和真实性着手，针对金融机构计算机备份文件和日志文件进行审计；二是采用模拟数据法，确定计算机信息系统控制是否存在并有效执行；三是对被审计单位计算机系统的全面审计、客观评价，实现系统审计、数据分析审计结合。

三、强化“自免疫”功能，切实保障金融安全审计开展

（一）现阶段我国金融安全审计还存在很多难点。

1．金融国际化、投资多元化给审计带来难度

由于金融开放，我国金融机构逐步实现国际化，而金融机构也开始了多元化投资、混业经营的尝试，这增加了金融审计的深度、广度和难度。

2．金融安全审计还未规范化

金融安全审计是20__年才正式提出来的，目前并未有规范的审计程序和评价体系，尚须摸着石头过河，审计难度较大。

3．审计人员素质难以适应金融安全审计的需要

近几年是我国金融业发生重大变革的时期，无论是金融改革、金融制度、金融创新还是金融理念都有着日新月异的变化，金融审计人员常年在外审计，接受教育、培训严重不足，难以适应金融安全审计的需要。

（二）加强对金融安全审计的人法技建设。

1．提升金融审计人员的综合素质

金融安全审计工作质量高低在很大程度上取决于审计人员的综合素质。金融安全审计要高质量地开展，审计人员必须高度关注和掌握国内外国家宏观经济发展态势、金融体制和金融企业改革步骤情况等各种金融最新发展动态、政策，因此，重视金融审计人员素质的提高是开展金融安全审计的当务之急，特别强调审计人员具备更加专门的专业知识，使用多样化和创新的方法，能够作出深刻而中肯的金融安全判断。

2．制订金融安全审计准则、标准和审计操作指南

金融安全审计的目标，是评价金融企业和监管机构管理活动的效益、效率和效果，它要求审计人员要有严格独立性、规范性和客观性。而我国审计准则体系中关于金融安全审计方面的准则还是个空白。因此，要形成以审计法为核心、审计准则和审计操作指南为基础的既符合我国国情又体现国际惯例的金融安全审计法律法规体系。通过制订金融安全审计准则以及金融安全审计操作指南，明确国家审计机关开展金融管理金融安全审计的审计标准、原则以及执业规范和道德准则。

3．不断夯实金融安全审计的技术基础

金融安全审计没有统一标准的方法和技术，审计人员应当采取定性分析与定量方法相结合，建立评估模型，合理确定指标体系和指标的权重。为此，国家金融审计要利用现代科技手段（包括计算机、计量经济学等技术）作为金融安全审计的必要手段，以增强评估结果的真实性、可信性。

4．培养金融信息系统安全审计队伍

安全审计范文第7篇

关键词：安全审计；评价；指标；矿山

中图分类号：F239.0 文献标志码：A 文章编号：1673-291X（2014）27-0144-04

经过近几年的努力，中国矿山企业的安全生产状况总体上呈现出相对稳定、趋于好转的态势。但重、特大事故时有发生，事故总量仍然偏大，矿山安全生产形势依然严峻。实践证明，要实现矿山安全生产的长治久安，就必须建立矿山安全生产长效机制。积极有效地开展矿山安全审计工作，发挥审计的监督检查作用，促进矿山切实落实安全生产主体责任，认真执行安全生产的各项法律法规，保证安全生产的必要投入，落实各项安全防范措施，不断改善安全生产条件。使矿山生产的运行方式、管理形式和监督体制等走上正轨，才能使矿山安全生产状况实现真正意义上的根本好转。安全审计作为一项专门针对企业安全生产进行监督和评价的独立审计活动，有助于督促企业遵守安全生产法律法规，有助于督促企业执行安全设施“三同时”，有助于督促企业生产责任事故赔偿及时到位，有助于督促企业安全投入及时、足额等。从而保证安全生产形势根本好转。借鉴相关学科知识建立完善的评价指标体系，是开展安全审计的关键。

一、构建矿山安全审计评价指标体系应遵循的原则

安全审计有别于常规的财政、财务审计，安全审计是企业安全生产主体责任的人格化，审计客体由静态的会计资料，到动态审计对象（企业）的主体责任和社会责任，从有形到无形，从客观反映到抽象分析。安全审计评价指标体系是度量企业安全生产活动的有效工具。为了提高这一测度工具的信度与效度，构建该评价体系时，必须满足以下几个原则：

（一）重要性原则

在中国矿山企业开展安全审计工作还仅仅处于探讨阶段，笔者认为与要求评价指标体系的全面性相比较，强调重要性原则对实践工作的开展更具有指导意义。同时，重要性原则也是在指标设定过程中对安全审计工作重点、成本与效率的综合考虑。当然，随着中国安全审计工作的发展与完善，该指标评价体系将进一步改进，以满足全面性原则的要求。

（二）责任性原则

矿山安全审计评价指标体系应准确考评被审计单位及内部各部门和个人必须履行的安全生产责任，即所衡量、评价的安全生产活动及其结果应是审计对象的职责范围，是其应当全部或部分负责，是可以控制和调节的，是其通过主观努力可以改变的结果和过程。事故的发生具有偶然性、不确定性及外部不经济性等特点，进一步造成一些企业盲目追求经济效益，重生产轻安全，安全管理薄弱；无证或证照不全非法生产，超能力、超强度、超定员违法违规生产。所有这些安全生产主体责任不落实是矿山事故易发、多发、频发，重特大事故集中、长期以来尚未得到切实有效遏制的根源。责任性原则是保证安全审计评价结论切实有效必须遵循原则之一。

（三）简明性原则

安全审计评价指标体系中应选择具有代表性、能够准确清楚反映问题的指标。由于安全审计评价涉及的领域非常广泛，评价指标虽然要求全面，但并不是越多越好。如果所选指标变量过多，一方面资料难以获取，另一方面综合分析过程也很困难。同时不便于决策者应用，而且大大增加了安全审计工作的复杂性和冗余度。如果所选指标变量过少，就有可能不足以或不能充分表征系统的真实行为或真实的行为轨迹。所以指标的设置要围绕评价的目的有针对性地加以选择，每个指标的含义要求明确，代表特征要求清楚，无相互交叉重叠现象。

（四）相关性原则

评价体系应与矿山安全审计的目标紧密相关，评价标准能够反映信息使用者的需求，能揭示被审计对象的具体安全生产状况及被审单位安全生产主体责任实现程度。相关性原则与简明性原则具有内在一致性要求。

（五）动态性原则

安全审计评价是一个随着审计项目的发展而发展以及安全生产形势变化而变化的动态过程，客观上要求设置的指标体系具有动态特点，既能反映该审计项目的历史状况和现状，在一定的时期内保持相对的稳定性，又能对未来的变化发展做出评价。同时能够适应安全生产形势变化、安全监管工作要求做出相应调整。

（六）地域性原则

不同地区的自然环境和社会环境不同，所处地区的地理位置、经济状况、水文地质等条件不同，对安全的影响因子也不同，因此应按照因地制宜原则，针对所研究地区及其主要问题选择评价指标。矿山安全评价指标体系的构建尤其注意遵循地域性原则。

二、构建矿山安全审计评价指标体系设计思路

（一）评价指标体系的维度定位

根据建立矿山安全审计评价体系的目标与原则，从范围层次上划分，安全审计评价标准分为总体评价标准和具体评价标准。所以在试图建立安全审计评价标准时，也分别从这两个方面考虑，先确立总体评价标准，再逐步完善具体标准。在指标体系架构中，不仅在矿山安全生产的规范性、效用管理以及外部效应三个维度进行了体系的构建（如图1所示）。并且从安全生产法律法规、安全内控制度、安全设施“三同时”、事故处理、安全投入等五个层面进行了体系的设计。当然，安全审计评价指标体系应该是动态的、可扩充的，审计人员可以随时按照实际情况增减，以增强其科学性、有效性，但主要指标需保留。

（二）评价权重的分配

评价权重的分配涉及到各评价维度的权重分配以及每一维度内各评价指标之间的权重分配。在构建安全审计评价指标体系过程中，要确定评价指标的权重值。各项指标的权重值，反映了该指标在整个安全审计评价指标体系中所占的比重。权重值应根据该指标对企业安全生产水平的影响程度及其实施的难易程度来确定。指标权重的确定有主观法和客观法两大类，主观法主要包括专家调查法、层次分析法等，客观法主要包括主成分分析法、熵值法和数据包络法等。

安全审计评价指标体系的构建过程，应该是主观分析法和客观分析法相结合的过程。此外，指标体系的构造过程可分为指标体系框架的构建和指标筛选两个阶段，即指标初选和指标完善的过程。该过程可以概述为：分解总目标、构造层次结构、建立预选指标集筛选指标、最终确立评价指标体系。

在构建安全审计评价指标体系过程中，要确定定量指标的评价基准值。并应按照下列原则确定：凡是国家或行业管理部门在有关政策、规划等文件中对该指标已有明确要求值的就应选用国家要求的数值；凡是国家或行业管理部门对该指标尚无明确要求值的，则选用国内重点大型企业近年来满足安全管理要求所实际达到的中上等以上水平的指标值。确保定量指标的基准值代表了行业安全生产活动的平均水平。

需要说明的是，评价权重的分配会因不同阶段、发展重点、矿山生产特点的不同而有所差别。而对情况各异的矿山安全生产管理，我们不可能确定一成不变的安全审计评价指标体系，也不存在统一的指标权重，即使同一评价对象在不同的历史时期也会有所不同。尽管卓越的绩效评价系统对每个组织都是独特的，即按每个组织的需要和特点“量体裁衣”，但是反映社会满意度的指标，应该在安全审计评价体系中占据绝对的比重，社会评议信息应是评价结论的主要证据资料。

三、构建矿山安全审计评价指标体系

（一）安全审计内容

安全审计评价指标体系应紧紧围绕安全审计内容设定。考虑到中国矿山安全生产实际以及政府安全监管过程中存在的突出问题，笔者主张矿山安全审计主要内容应包括以下五部分：

1.安全生产法律法规遵守和执行情况审计

该审计主要是对矿山企业在生产经营过程中遵守相关安全生产法律法规的情况进行评价，包括定性指标和定量指标。评价时只需考虑法律法规的执行情况及效果，而不对法律法规本身进行过多地评价。评价时需遵循两条原则：首先，企业能否执行相关安全生产法律法规；其次，企业能否做到持续、全面执行安全生产法律法规。这也符合性测试重点之一。

2.安全内部控制制度设计及运行情况审计

该审计主要是对矿山企业安全内控制度是否健全，能否保证整个业务处理系统控制目标的实现，制度与制度之间的衔接是否紧密协调以及内控制度是否有效执行进行评价。从而判定矿山企业各种安全内控制度的履行结果是否达到预期目标，是否结合企业安全生产实际及时自查修订完善。为进一步确定安全审计的重点提供决策依据。

3.安全设施“三同时”情况审计

在安全设施“三同时”审计中，应该重点审查和评价与被审计单位安全设施“三同时”相关的下列内容：（1）被审计单位在生产经营过程中对相关的安全生产法律法规、规章制度、政策、计划、预算、程序、合同等的遵守情况；（2）安全设施项目风险的识别、评估及应对措施；（3）相关安全控制活动的适当性和有效性；（4）有关安全资产、安全负债、安全支出项目等财务信息和非财务信息的获取、处理、传递情况。

4.事故损失及事故责任履行情况审计

该审计主要是对矿山企业事故损失及事故责任履行情况进行评价。为事故责任认定及事故赔偿提供决策依据。工伤事故赔偿审计主要集中在两点：（1）赔偿标准是否合法合规。（2）赔偿额度是否足额、及时。这一点往往也是事故双方争执的焦点。有第三方出具相应审计意见，有助于安全监管部门执法，切实保障受伤员工合法权益。

5.安全投入情况审计

安全投入情况审计是安全审计的重点。众所周知，安全投入不足是造成中国安全生产形势依然严峻的主要原因之一。造成企业安全投入不足重要原因之一就在于缺乏有效监督。近几年，中国为扩大矿山企业安全投入资金来源及数量，建立稳定的安全保障资金渠道，颁布了一系列规定制度。由于安全投入效益的隐蔽性、滞后性、不确定性及其他原因（经济效益不佳、领导不重视、短期行为等），一些企业（尤其小型矿山企业）往往在安全投入方面“勤俭节约”。企业为了应付针对安全投入状况的检查弄虚作假。通过安全投入审计，能够有效监督矿山企业安全生产费用提取及使用情况，确保安全投入足额、及时。

（二）分级设立评价指标

矿山安全审计评价体系的建立是一项系统工程，需要花很大力气进行研究和实践。在这里我们先构思一个指标框架，许多指标还有待于讨论和完善。安全审计评价指标体系包括一级评价指标和二级评价指标两个层次。一级评价指标包括安全生产法律法规执行情况评价指标、企业安全内部控制情况评价指标、安全设施“三同时”、事故损失及事故责任履行情况评价指标和安全投入情况评价指标。二级评价指标是一级评价指标的具体化。具体内容（见表1）。

安全审计的综合评价，应该以评价年度各项二级定量指标的实际数据和各项二级定性指标的专家评分为基础，按照各二级指标的基准值和权重值计算各单项指标得分，再综合得出该企业安全管理水平的评价总分值。

单项指标评价分值=权重值× （1）

当>1时，按1计算。

二级定性指标和定量指标都采用百分制测评。定性指标采用专家评分平均值。

四、结论

（1）借鉴相关学科知识建立完善的评价指标体系，是开展安全审计的关键。（2）矿山安全审计评价指标体系的构建应遵循重要性、责任性、简明性、相关性、动态性、地域性等原则。（3）安全审计指标体系设计过程中需要把握好维度定位、评价权重分配等关键问题。（4）依据矿山安全审计主要内容，构建了相应的指标体系。其有效运行依赖于矿山安全审计标准的制定以及安全审计方法的创新。

参考文献：

[1] 王世成，武国.大规模投资绩效审计评价指标体系研究[J].审计研究，2005，（10）：42-47.

[2] 夏鑫，俞宏.煤矿环境审计评价指标体系初探[J].中国煤炭，2007，（7）：36-37.

[3] 王如燕.煤炭企业安全工程建设项目安全绩效审计评价指标研究[J].中国管理信息化，2009，（3）：53-56.

[4] 蒋伟，王如燕.重大突发危机事件紧急救助专项资金绩效审计评价指标体系研究[J].中国管理信息化，2011，（8）：46-48.

[5] 贾云洁，王会金.价值取向与政府绩效审计评价体系构建研究[J].山东社会科学，2012，（1）：146-149.

[6] 姬霖，吴安平.中国政府环境绩效审计评价指标体系构建初探[J].中国矿业，2012，（12）：44-47.

[7] 徐泓，曲蜻.自然资源绩效审计的目标、内容和评价指标体系初探[J].审计研究，2012，（2）：14-19.

[8] 房巧玲，刘长翠，肖振东.环境保护支出绩效评价指标体系构建研究[J].审计研究，2010，（3）：22-27.

安全审计范文第8篇

关键词：军队；安全审计；战略定位；实践价值

安全不仅是经济社会发展的基础和前提，也是军队建设顺利发展的基础和前提条件。随着经济社会改革逐步深化，传统和非传统安全威胁相互交织，对军队安全防范工作产生重大影响。如何确保经济社会和军队建设安全发展，离不开审计部门的监督作用。军队安全审计就是指由军队审计机关根据有关法律法规和首长指示精神，对部队建设发展过程中涉及安全问题的一切活动或行为进行系统的、独立的检查验证，并作出相应评价的活动。在军民融合式发展道路上，军队审计部门积极创造条件实施安全审计，不仅是顺应经济社会发展大趋势所为，也是军队各项活动面临日益严峻的安全形势所迫。

安全审计既是一项全新的理论课题，也是一项全新的实践探索。目前，国内外对安全审计都还只是局限于生产领域。近几年来地方审计部门虽然扩展了有关安全审计业务，但也只是在网络安全方面进行初步尝试。所以，军队开展安全审计是一个全新的创造。这种创造的实践意义主要表现在以下几方面：

一是有利于促进广大官兵安全理念的形成。安全工作是一项长期而艰巨的任务，不能一劳永逸、一蹴而就，更不能抓抓停停、边走边看，而需要年年抓、月月抓、天天抓，做打基础、管长远的工作。一句话，就是要实现安全工作的常态化。安全工作关系军队和谐稳定，关系军事斗争准备工作的顺利推进，关系官兵的生命安全和家庭幸福。安全工作做不好，一旦发生事故案件，轻则造成装备财产损失，重则造成人员伤亡，直接影响部队战斗力建设。因此，抓安全不能时紧时松，而要坚持不懈，持之以恒，抓全员额、全时段、全过程。要做到这一点，除了开展正常的安全教育和安全管理工作外，一个重要的手段就是开展安全审计，强化广大官兵的安全理念，帮助官兵学习掌握安全防范知识、增强安全意识，从思想根源上督促和保证军队建设安全发展。

二是有利于促进部队官兵安全知识的学习。各类安全事故的发生都有其偶然性，但又都有其必然性。我们在分析事故原因时，容易忽视事故背后隐藏的问题：安全常识的缺失。安全常识，是部队安全管理必备的常用知识。它是人民群众生产、生活实践的总结，是科技工作者研究的结晶，是无数人用汗水、鲜血乃至生命换取的经验。在我们身边，因为缺乏安全常识而付出惨痛代价的不在少数。某部打捞下水道中的潜水泵，一名战士跳下去后不吭一声倒下了，官兵们没有意识到是毒气所致，继续往下跳，结果接二连三被“放倒”；某部组织扑打山火，因对山火的发展趋势判断不清，盲目投入兵力，6名战士险些被大火吞噬…… 既然无知会导致牺牲，我们就要告别无知；既然知识能够带来安全，那我们就应该捧起书本。开展安全审计工作，必将会对部队官兵运用安全知识进行作战训练、完成应急任务形成正面促进效应，促使广大官兵在不断掌握科学知识的基础上，规避生活和工作中遇到的各种各样的不安全因素，实现部队建设真正的安全发展。

三是有利于促进战斗力和保障力的提高。审计本质上是服务保证，以服务军队建设发展而获得自身运转。联想到我军战斗力建设、保障力提升，审计的功能作用就更加重要。在党的创新理论引领下，全军广大官兵以极大的创新精神与勇气，积极投身于中国特色新军事变革的热潮，由此带来了我军战斗力尤其是核心军事能力的极大提升。但是，也不能不看到，这其中也存在这样的现象：个别指挥员一味追求军事训练的所谓“反常规、反传统”，个别政治工作者在思想政治工作中过分求新求异，离开“以人为本”这个根本，机械模仿现代行为管理学中的一些做法；还有个别干部为了“创新”，被社会上所谓的一些“时尚”或“新潮”拉着走，不但没有使军队战斗力和保障力得到有效提升，反而给军队建设发展带来许多安全的隐患，制约军队建设的科学发展、安全发展。针对这种情况，开展安全审计，无疑对维护军队建设健康发展、安全运行有着十分重要的保证作用。

四是有利于促进部队可支配资源的节约。军队建设需要雄厚的国民经济资源作支撑，而经济与社会资源并不是无限供给的。在有限的可支配资源基础上又好又快地建设军营，提高部队战斗力和保障力，则是科学发展主题战略的客观要求。如何实现这种战略要求，关键措施之一就是强化节约。在现实中，有些单位长期以来十分注重节约，家底积累得也很厚实，本来日子过得很好，就因为安全方面出了问题，引发了重大事故，有的是人员伤亡，有的是爆炸火灾，导致经济补偿或赔偿的巨额支出负担骤然加剧；有的是失密泄密，有的是人员重大政治违纪，导致单位政治损失难以估量，如此等等，都极大地浪费和占用了过多的行政资源和经济资源，导致一个单位大伤元气。可见，节约行为的养成，节俭活动的开展，离不开监督机制的促进作用。开展安全审计，就有助于节约节俭成效的形成，促进各部门各单位形成有效地防范各种隐患的安全监督机制，促进各单位充分利用有限的可支配资源，为部队建设发挥应有的效益。

五是有利于促进部队事业可持续发展。安全是相对而言的。一个单位过去安全，不等于现在安全，更不能保证将来安全。一个时期影响安全稳定的因素和隐患消除了，但随着人员、时间、地点、任务和环境的变化，新的事故苗头和安全隐患又可能出现。安全工作的这种反复性特点表明，安全工作贵在经常，也难在经常。使安全工作常态化，就要把安全发展作为军队建设的重要理念确立起来，把安全工作作为部队建设的长期任务常抓不懈，把安全管理纳入审计监督的可控范围，着眼变化做工作，立足长远打基础。要通过审计监督，把安全工作中形成的经验做法上升为制度成果、理论成果，形成系统配套、科学有效的制度规范和长效机制，从组织指挥、力量组成、保障措施等方面保证安全工作的有效落实；必须用科学发展的观念，从全面协调可持续发展的高度认识和解决安全问题，使老问题解决得“不留根”，新问题解决得“不复发”，实现部队安全建设的可持续发展。

安全审计范文第9篇

关键词：电力系统；网络安全；安全审计；网络监控

中图分类号：TP393.08文献标识码：A文章编号：1009-3044(2008)25-1391-03

The Design and Realization of Network Security Audit and Monitoring System

LIU Chan-juan

(Ludong University Department of Computer Science & Technology, Yantai 264025, China)

Abstract: This paper presents a whole design of network security audit and monitoring system, including the design of monitoring module in Proxy and network capability, etc. And it also proposes the implement flow of these function models including the implement flow of security audit model and network monitoring model, it also gives the design and realization of IP address peculate model and monitoring module in Proxy. This system has greatly improved the level of safety management of network through the practice for an application case and has obtain good actual effect.

Key words: Electrical Power System; Network Security; Audit; Network Monitoring

1 引言

在物理容灾方面, 电力系统目前的防护措施已较为完善, 而在对黑客攻击与网络化病毒的防护方面, 特别是黑客攻击, 虽然已建立了初步的防护体系, 但由于电力系统数据网络在建设和管理中缺乏有效的指导, 同时也因黑客技术的不断发展, 在这方面还远远不能达到应有的效果。因此, 如何优化已有的系统软件和安全产品, 如何建立多层次的安全防护体系, 仍是电力数据网络发展中必须面对的重要问题[1]。保证电力数据网的稳定性、安全性和保密性，需要研究多层次的审计和监控手段，研发高效的网络安全审计与监控技术，研制自己的功能较完备的网络安全监控与审计系统，这是十分有意义的，所以展开对此课题的研究有重要的实用价值。

2 系统的总体设计

在系统开发初期阶段，经过反复调研，分析系统应用的软硬件环境，跟踪相关领域的研究情况，最后本系统确定了基于Unix系统平台，以B/S（Brower/Server）为开发模式，利用SNMP（简单网络管理协议）进行网络监控，运用Unix平台下的C语言的开发监控程序，利用Oracle OCI调用接口进行数据库操纵，结合PHP语言进行数据的网络的整体开发模式和方法[2]。网络安全审计和监控技术有两部分含义：系统安全审计与网络监控。系统的功能需求可归纳为两大部分：即基于日志形式的安全审计部分及基于SNMP的网络监控部分。

3 系统主要模块的设计

3.1 IP地址盗用模块的设计

在本模块开发初始，考虑到由于IP地址盗用只能发生在同一子网（Subnet）中，而网络中以太网卡MAC地址全球唯一不能改变，故通过绑定同一子网中的IP和以太网卡MAC地址便可区分合法用户与非法用户[3]。系统分四步：首先是建立一张IP地址和MAC地址的对应表，对应表中记录了合法用户的IP地址和MAC地址的对应关系。其次运行监测程序，监测子网中的各个IP地址对应的MAC地址是否与先前建立的对应表中的对应情况一致。若相同，说明合法用户正在使用。若发现不一致，说明非法用户正在盗用合法用户的IP地址，此时系统产生报警，记录非法用户的盗用信息。第三步运行阻断程序，对非法用户进行攻击。采用地址分辨协议ARP（Address Resolution Protocol）伪造技术，向非法用户主机发送ARP Spoofing攻击包，断开非法用户主机的网络连接，禁止其继续使用网络。最后是将监测的盗用信息进行网上，这样管理员可以随时通过浏览器查看IP盗用情况。

IP地址盗用监控模块功能结构见图1。数据采集模块利用UCD-SNMP网管软件，通过编写程序，每隔固定时间间隔向路由器等网络设备采集数据，并将采集数据传送给数据处理模块。数据处理模块包括数据分析模块和阻断模块两个子模块。数据分析子模块负责接收来自的数据，分析是否存在IP盗用情况，若存在则产生报警信息，随之调用阻断子模块，对非法用户进行攻击，阻止其继续使用网络。数据模块包括报警信息入库模块和数据浏览模块。入库模块完成盗用信息的存储入库，而浏览模块提供给管理员一个可视界面，用来浏览和管理报警信息，了解网络的使用情况。

3.2 服务器监控模块设计

在具备专线接入的大型局域网中，一般都采取服务器的方式接入Internet。采用服务器形式接入Internet的好处显而易见：可以充分利用现有IP实现更多用户同时访问Internet，但相应的各种各样的问题也随之到来：网络用户增多了，如何对内部用户访问外部网络情况进行统计，如何对网络用户访问的内容进行审计和监察，如何对网络流量进行统计及对数据流向进行监控，以及服务器本身服务情况统计等等。这些问题的出现，直接引出了服务器的监控问题。

在该模块设计时，根据实际需求，设计了该模块的主要功能包括三个部分：

1) 今日访问情况统计：包括最常访问网站统计，用户点击率统计，服务器访问率统计和访问成功和失败情况统计。

2) 客户机监控：包括客户机访问统计，客户机流量统计和客户机访问网站统计。

3) 服务器性能分析：包括服务响应码分析及服务传输时间统计。

为实现上述功能，结合具体的Unix平台，具体设计出了服务器监控模块的功能结构图，如图2所示，主要包含三个方面的功能：日志采集，日志分析及信息三部分。

■

图2 服务器监控功能结构图

4 系统的实现

4.1 系统功能模型的实现流程

本系统设计的主体功能包括两大部分：安全审计模型和网络监控模型。系统的安全审计功能主要基于系统的各种日志信息，如系统日志，用户操作记帐日志，服务器日志等。通过编制数据采集程序采集相关的日志信息，同时利用数据分析程序对审计跟踪文件的信息进行分析处理，经过审计得到计算机系统或网络是否受到攻击或非法访问，并对采集的审计数据进行入库操作，保留安全审计结果，同时利用保存的统计数据绘出各种统计分析图表，最终通过构建Web服务器，将审计结果进行网络，提供给用户直观的浏览界面[4]，方面管理员进行综合分析和审计，提高网络管理水平。系统中安全审计模型图如图3所示。

■

图3 安全审计模型图

在本模块开发过程中，首先要做的就是网络数据的采集，经过采集模块得到的数据经通信模块传送给分析过滤模块，经过分析和过滤得到相应的统计数据，同时将统计数据保存到数据库，以方便做数据的纵向分析比较，最后用Web数据方式将监控结果和统计分析情况到网络。网络监控功能模型如图4所示。

■

图4 网络监控模型图

4.2 IP地址盗用监控模块的实现

本模块的数据采集程序是基于UCD-SNMP软件开发平台开发的。UCD-SNMP开发平台提供了非常多封装好的库函数和链接库，这使得程序的开发得到极大方便。在IP盗用监控过程中，程序的主要任务是采集当前网络中处于活动状态的IP地址信息，包括IP地址和以太网卡MAC地址，并将他们绑定在一起，与登记的合法IP和MAC地址对相比较，作为判定IP是否合法的标准。

程序通过SNMP协议定期访问被管设备，取得当前网络中IP使用情况。通过访问设备的MIB（ManagementInformationBase）中IP接口组的IpNetToMediaPhysAddress对象值，获得当前网络中活动主机的IP地址和MAC地址的对应关系，而后将得到的信息发送到数据处理程序。系统中程序实现数据处理的算法流程图如图5所示。

当程序采集到数据后，就将数据传送给数据分析处理模块。数据分析模块负责接收和分析程序返回的数据，并将数据和合法IP和MAC对应表比较，判断是否存在IP地址盗用，此时存在多种情况。经过分析模块的分析，对于IP盗用情况，系统会自动产生报警信息，包括盗用者的原始IP和注册登记信息（在其完成网络登记的情况下）、盗用者主机网卡MAC地址，被盗用主机的IP地址、MAC地址及主机登记信息。这些数据应该妥善的保存起来，并提供给网络管理员查阅，方便其查找盗用IP者起到威慑作用。数据存储入库程序采用C语言结合Oracle OCI(Oracle Call Interface)接口，在UNIX平成了盗用信息的收集和入库工作，将盗用信息存储在Oracle数据库中，为数据的网络做铺垫[5]。

4.3 服务器监控模块的实现

在模块的实现过程中，主要利用队列技术实现高速缓冲区的设计，同时用FIFO(First In First Out)机制来控制对缓冲区的访问，使得日志写入和入库读取高速缓冲区不发生冲突。对于服务器的监控无外乎两个方面的内容，对用户访问网络的统计和对服务器本身服务的监控。本模块中，对日志的分析过程是通过对数据库的查询分析得到的，通过PHP语言，利用复杂的SQL语句操纵数据库，实现数据的统计与分析，最终将结果返回给管理员。

5 结束语

电力营销管理信息系统的不安全因素是由计算机系统的脆弱性以及人为因素造成的。从系统的结构、系统资源与实施及运行环境来分析，实施一个安全的电力营销管理信息系统，需要通过管理手段将人为破坏因素降到最小，通过技术手段降低自然因素对系统的危害。

参考文献：

[1] 姚小兰, 李保奎, 董宁, 等. 网络安全管理与技术防护[M]. 北京:北京理工大学出版,2002.

[2] Peter Kuo. 最新UNIX开发使用手册[M]. 北京:机械工业出版社,2000.

[3] Hansen, Lesley. Network Infrastructure Security[J]. Network Security,1999,12(6):57-61.

[4] 王琛, 等. Unix分布式身份认证和审计系统的设计和实现[M]. 北京:机械工业出版社,1998.

安全审计范文第10篇

关键词：安全审计；监控系统；系统设计；系统应用；信息网络

中图分类号：TP39；F239文献标识码：A文章编号：1003-5168（2015）08-0006-3

随着计算机技术、信息技术不断推陈出新，各类威胁到网络信息安全的因素越来越多，虽然防火墙与外部检测技术等能够在某种程度上防止网络的外部入侵，保护数据信息不受侵犯［1］。但也会因入侵技术的更新和漏洞的长期存在而无法彻底保障网络处于安全状态。因此，在现有技术的基础上，通过引入安全审计系统对用户的网络行为加以记录，对网络安全隐患给出评判具有重要的现实意义。

1网络安全审计的必要性

1.1提高企业数据安全管理绩效

近年来，我国信息化程度不断加深，尤其新媒体技术和自媒体技术的出现，企业信息的网络化、无边界化趋势越来越明显，也使得网络信息安全问题不断突显。在这种情况下，无论是企业本身还是参与网络信息提供和维护的第三方，在端口和信息通道内都加强了对信息安全策略的部署，无论是信息的控制还是数据的授权，都在大量管理制度和规则下运行。即便如此，与网络信息安全相关的各类故障还是不断出现，甚至会给企业的网络运营和实际经营都造成了消极影响。但是，当我们对信息安全漏洞进行分析和查验时发现，一些严重的信息安全问题之所以会由于不合规、不合法而给利益相关者造成经济损失，其中一个重要原因便是一些内部“合法”用户的“非法”操作。这是因为，对于一般的网络信息或者数据，借助防火墙、防病毒软件、反入侵系统等都能够解决，在一定程度上能够保证信息安全。可是一旦内部人员在缺乏监管的情况下进行违规操作，就会使在信息外部建立起来的防线无能为力［2］。一项最新的调查显示，企业内部人员是对企业网络信息进行攻击最为严重也最难防范的。在这种情况下，亟须提高企业的内部审计能力，对内部用户的误用、滥用信息行为进行审计和监管，对那些可能或者已经造成各种安全事故的人员，在要求其协助网管人员找出原因外，还对其按照相关法律法规进行严肃处理，以杜绝此类事件再次发生。

1.2提高网络运维绩效

当前，在网络环境中构建统一的安全审计平台，提高网络运维绩效，是十分必要的。在这一平台之上，能够对重要设备系统的安全信息进行统一监管，以便能够在海量数据中挖掘出有价值的信息，使信息的获取和使用更加有效。可见，提高网络信息的可靠性和真实性，借助网络信息安全审计提供网络运维管理绩效，是网络化运营需要认真思考的问题［3］。实际上，信息的安全防御是信息安全审计的一种，都是要在信息生产的源头对其进行管理和监控，并对可能对信息安全造成威胁的因素加以防范。而即便在信息源头未能做到完全的安全防范，在事后也可以借助各种技术手段及时分析安全防御系统中可能存在的各类漏洞。甚至能够在安全防御的过程中，对非法操作行为和动作进行还原，使违法、违规用户的不当操作暴露出来，为认定其非法行为提供真实有效的客观证据。因此，对网络信息进行安全审计是一项复杂的系统工程，不但要规范网络、主机以及数据库的访问行为，还要对用户的使用习惯、信息内容形成和改变进行监控和审计，以便有效地完成对各类信息的监管，提高信息质量，为企事业单位的信息运用和网络运营提供安全保障。

1.3提高网络信息安全性

在网络空间中，有以下安全问题值得用户关注并予以重视：①通过访问控制机制强化对网络信息进行安全审计和信息监控是十分必要的，这种做法不但能提高网络信息的安全性，还能在访问控制的作用下，限制外来用户对关键资源的访问，以保证非法用户对信息或数据的入侵，同时也能对合法用户的行为进行规范，防止因操作不当而造成破坏［4］。需要注意的，访问控制系统不但界定了访问主体还界定了访问，其目的在于检测与防止系统中的非法访问。而借助对访问控制机制的管理和设计，能在很大程度上实现对网络信息的安全审计，使网络信息处在安全状态；②虽然网络是开放的，但网络数据却具有私有性，只有在被授权的情况下才能让非用户或者原始使用者访问，否则将被控制在不可见的范围。为了实现这一点，就需要进行网络安全管理，包括网络安全审计，通过信息加密，比如加密关键字或者授权机制、访问控制等。为了提高网络信息安全水平，还要维护与检查安全日志；③提高网络信息安全性，为社会组织的网络化行为提供安全保障，除了要对现实中传输的信息进行安全审查外，对网络中传输的信息也要进行安全审计，通过对网络操作行为的监控，评判信息的安全等级，有针对性地对网络加以控制。

2信息时代网络安全审计的关键技术与监控范畴

在网络信息安全审计的过程中，为了最大限度地提高审计效果，不但需要借助多种信息、网络和计算机技术，还应进一步界定网络审计的监控范围，使网络信息安全审计能够在更为广阔的领域得到应用。

2.1网络安全审计的关键技术

在前文的分析中可知，在当前网络环境中，网络信息安全的直接威胁主要来自网络内部，要建立切实有效的监督体制，对有破坏信息安全倾向的员工进行监督，以保障信息安全。为了实现这个目标，除了要在制度上加以制约外，还应借助以下网络安全审计技术：①基于的网络安全审计技术。借助该技术构建起来的信息安全系统以网络主机为载体，以分布式方式运行。这一技术虽然能够很好地防范信息安全威胁，但是由于监视器是这一信息系统的核心模块，需要高度保护，一旦出现故障，就会引发其他转发器都陷入被动境地，无法正常提交结果；②基于数据挖掘的网络安全审计技术。数据挖掘是近几年被广泛采用的信息安全技术，以此为基础建立起来的网络安全审计系统能够借助数据挖掘技术或者大数据技术，以大量日志行为为样本，对数据中体现出来的行为进行描述、判断与比较，特征模型，并最终对用户行为特征和行为结果进行界定；③基于神经网络的审计技术。神经网络是计算机应用领域中广泛采用的技术，该关键技术的使用能够改变网络单元状态，使连接权值处在动态之中，一旦加入一个连接或者移去一个连接，就能够向管理者指示出现了事件异常，需要果断采取行动保证信息安全。单纯使用该技术所产生的作用是十分有限的。一般情况下，要将多种技术配合使用，以便能对出现的异常情况做出解释，这对确认用户或者事故责任人是有明显帮助的；④借助专家系统构建的网络安全审计技术。该技术较于其他技术能够将信息系统的控制推理独立出来，使问题的解决能够借助输入的信息。为了评估这些事实，在运行审计系统之前，需要编写规则代码，而这也恰是能够有效防范网络信息安全威胁的有效手段。

2.2网络信息安全审计的监控范畴

2.2.1信息安全审计方法。经验表明，一些网络信息安全审计系统可以借助远程登录完成对服务器的管理和对应用系统、数据库系统的记录等，用户的操作行为和操作习惯会在服务器上留下痕迹。该类安全审计一般要按照以下步骤进行：采集对被审计单位的相关信息数据，以保证数据的全面性与完整性；对采集到的数据信息进行综合分析与处理，使之能够转换成对于审计工作对应的数据形式；借助计算机审计软件完成对审计数据的复核。按照业内的经验，在网络信息安全审计的设计过程中，需要将数据采集环节作为整个审计工作的前提与基础，是其中的核心环节，否则，将无法保证数据的完整性、全面性和准确性以及及时性，后面的审计工作也就无法正常开展。一般而言，借助互联网进行审计数据的采集主要有直接读取数据和记住数据库连接件读取两种方式，它们之间具有相似性。按照这两种方式完成数据采集，一旦其中一方数据的存储格式改变，就应及时对数据采集全部存储格式进行调整。这样就会导致数据采集效率和效果受到影响，降低信息安全审计的灵活性。因此，在实际操作中，要保证数据存储格式的一致性，防止审计低效。

2.2.2信息安全审计设备。在网络信息安全审计中，只要将需要管理的网络设备（比如出口路由器、核心交换机、汇聚交换机与接入交换机等）添加到相关安全审计系统之中，就能够获得发送过来的SNMP数据包。随后，信息安全审计系统就会对数据包依据事件的等级和重要性予以分类，以便在后续的查询和使用中更加方便。实际上，网络的信息安全设备种类繁多，具体操作方法也大同小异。只要按照不同厂商设备的设置步骤和原则，开启对应的SNMP功能之后，将相关设备添加到网络中安全审计系统之后，就能够进行相关操作。当然，在这一过程中，要对串联在网络中的设备予以重点关注，要保证甚至能够允许SNMP数据包通过。由此可以看出，借助安全设备实现对网络信息的监控和审计，能够为网络信息安全提供必要保障。当然，由于监控信息会不断更新，加之由于海量数据造成的压力，要依照实际需求确定监控信息可以被记录，以便能够缩小记录范围，为信息安全审计提供更有价值、更具针对性的数据。

2.2.3信息安全审计流程。通过指派权限，设备管理员能够更为直观和真实地了解对应设备的操作过程。如果在这一过程中出现了故障，可以对应地分析和查找问题，找到解决问题的途径。此外，网络信息系统的类别较多，以不同平台或者中间件定制开发的系统也不尽相同。在这种情况下，就需要以信息手册为蓝本，在与开发人员进行沟通之后，确定开放日志接口，并将其纳入到网络信息安全审计的范畴。

3网络信息安全审计监控系统的设计与应用

3.1网络信息安全审计系统的运行设计

当前，网络信息安全审计系统经常使用两个端口，其主要任务便是对联入局域网系统的核心部位交换机与服务器进行数据和信息交换。而为了更好地收集与存放信息安全审计数据，无论是系统日志还是安全审计系统的安全管控中心，都要设在同一服务器之上。这样一来，基于网络的信息安全审计系统就能够在搜集安全审计系统内部数据的同时，按照要求从相关子系统模块中获取数据，以保证各个系统内的信息实现共享，提高信息安全审计的效率。

3.2网络信息安全审计系统的实现

网络信息安全审计系统不但是一个能够帮助企业完成内部经济管理与效益控制的系统，社会组织还能借助网络安全监控体系，实现对网络操作对象的实时监控，保证网络操作中相关文件与数据的安全。这一审计系统的工作原理为：①借助网络文件监控能够实现消息的安全传递，借助标签维护可实现对安全标签的及时、正确处理；②借助多线程技术，构建网络信息安全监控系统的驱动程序消息控制模块，实现对驱动程序的全程监视，并保证信息接收与发送过程处在安全保护之中；③借助系统程序中的文件对用户进程中的相关文件操作予以过滤、监视和拦截，以保证网络数据访问处在全面审核与严格控制之中，使网络环境中文件的安全得到保障。

3.3网络信息安全审计系统的实际应用

通常而言，网络信息安全审计系统的实际应用需要在动态管理的状态下进行。只有这样，才能在投入使用之后，完全、精准地记录用户的网上操作行为，也能对数据库服务器的运行予以全面监控。比如，一旦企业员工通过“合法手段”对业务系统的安全性造成了威胁，那么这类“非法操作”等网络行为就会被记录和禁止。这是因为用户的相关行为能够映射到网络信息安全审计系统之中，管理者能够借此对用户信息和相关操作进行快速定位，在极短的时间内就能够查出事故责任人，为信息安全运行和非法行为的处置都提供极大便利。此外，基于先进技术建立起来的网络信息安全审计系统，还可以在全局层面上监视网络安全状况，对出现的任何问题都能够予以有效把控，对那些可能造成企业重大变故或者机密、核心信息的外泄行为，能够借助网络信息实时动态监控系统做出积极反应。

参考文献：

［1］付晓坤.网络安全审计技术的运用［J］.中国水运，2013（9）：50-51.

［2］张文颖.探讨网络安全中安全审计与监控系统的设计与实现［J］.电脑知识与技术，2013（16）：37-38.

［3］伍闽敏.建设企业计算机网络安全审计系统的必要性及其技术要求［J］.信息安全与技术，2011（12）：34-36.

［4］刘慧蓉.网络安全审计系统的应用研究［J］.中国教育技术装备，2013（6）：28-29.