安全审计的类型范文
时间:2023-11-21 12:49:37
安全审计的类型篇1
[关键词] 安全审计;审计手段;异构环境审计
0引言
随着社会信息化程度的加深,各大中型企事业单位逐渐形成了科学化、多样化的各类信息系统,往往一个企业的信息化系统就多达十余个,在这种复杂的多系统条件下,如何实现细粒度的精准安全审计已成为审计领域一个热点问题。
本文首先对目前信息化环境下的细粒度安全审计进行了概要描述,接下来详细分析了各种安全审计方法特点,最后对异构性多信息化系统环境下的有效审计手段进行分析总结。
1信息系统安全审计简介
1.1 信息系统安全审计定义
信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等[1]。
1.2 信息系统主要安全审计手段
对信息化系统环境下用户操作行为的安全审计可以通过以下几种典型手段实现:
(1)基础日志层面审计:对信息化系统的基础it支撑硬件环境内设备的自身日志进行分析的手段。
(2)网络层面审计:通过采集网络数据包后进行协议解析还原来分析信息系统网络活动的审计手段。
(3)业务层面审计:对信息化系统中业务操作行为日志进行记录审计的手段。
(4)敏感数据专项审计:针对信息化系统定义的具有高风险的企业敏感数据进行细粒度审计的手段。
2安全审计技术特点分析
2.1 概述
基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计是4种比较典型的对信息化系统的审计手段,本文将对各种审计手段的特点进行分析。
2.2安全审计手段特点分析
2.2.1基础层面日志审计
基础层面日志审计面向it支撑系统中的设备层面,是安全审计的基础手段之一,通过对设备自身运行日志、配置变更日志等底层设备日志的审计分析,可对目前设备的自身安全运行状态得出基础判断。
2.2.2网络层面审计
网络层面审计需利用网络抓包分析手段对网络中的数据流进行分析。在分析过程中,主要需重点关注访问源地址异常、访问协议异常、访问次数异常的数据流[2]。
2.2.3业务层面审计
业务层面审计需依赖于良好的业务梳理,形成业务合规操作定义。进行业务审计前,需对信息化系统中业务操作进行日志记录,结合合规操作定义进行比对审计。
2.2.4 敏感数据专项审计
信息化环境下保有的大量数据中存在着对企业来讲极为重要的数据,这些重要的、涉及企业较大利益的敏感数据在安全审计层面需要通过专项审计来满足审计需求。敏感数据审计通过定义需审计的具体数据内容、数据具体存放位置、数据可被访问的手段等具体内容,针对违反上述定义的情况对数据进行逐一的细粒度重点审计。
3安全审计手段整合技术
用基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计等手段虽然可对信息化系统进行安全审计,但复杂多信息化系统环境下大量的审计数据的获取、过滤、关联,必然耗费较大的人力且容易出现审计风险[3]。为避免上述问题,本文综合现有安全审计需求,提出如图1所示的安全审计手段整合架构。首先将各信息化系统的全量日志送入多日志采集平台,由平台统一将各类日志进行标准化处理、过滤后送往不同的二次分析模块(分为网络类与设备类及业务数据类两种),由分析模块根据自己的审计策略进行关联分析,最后将各自模块处理后的数据送入综合审计平台,由综合审计平台对各层面日志进行关联化的综合审计。
4结 论
多信息化系统环境下安全审计的精准实现,需要采用精准化的日志处理及多级关联审计策略,将日志处理为标准可读日志后按照信息化系统的审计需求,横向关联多层面日志、纵向关联多时间段日志,最终满足灵活多变的安全审计需求。
主要参考文献
[1]国际标准化组织. 信息技术安全性评估准则(iso/iec15408-2:1999)[s].1999.
[2]黄荣荣,舒继武,肖达,陈康.基于安全审计日志的网络文件系统数据完整性保护方法[j].计算机研究与发展,2009,46(z2).
安全审计的类型篇2
[关键词]信息安全审计;审计应用;审计实现 ;APP
doi:10.3969/j.issn.1673 - 0194.2015.08.012
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2015)08-0019-01
近年来,随着办公业务对手机软件相关信息系统的依赖越来越高,APP应用软件信息系统存在的风险对业务的潜在影响也越来越大。解决针对业务信息内容的篡改操作行为的监控管理的问题,必须要有一种有效的安全技术手段对内部员工、运行维护人员以及第三方人员的上网行为、内网行为、操作行为等进行有效的监控和管理,并对其行为趋势进行分析和总结。
1 APP应用信息安全审计定义
为了APP应用信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动称为IT审计。IT审计就是信息系统审计,也称IT监查。
2 APP应用信息安全审计的实现
要实现APP应用信息安全审计,保障计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),需要对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、网络设备、安全设备等)进行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。
2.1 合规性审计
做到有效控制IT风险,尤其是操作风险,对业务的安全运营至关重要。因此,合规性审计成为被行业推崇的有效方法。安全合规性审计指在建设与运行IT系统中的过程是否符合相关的法律、标准、规范、文件精神的要求一种检测方法。这作为风险控制的主要内容之一,是检查安全策略落实情况的一种手段。
2.2 日志审计
基于日志的安全审计技术是通过SNMP、SYSLOG或者其他的日志接口从网络设备、主机服务器、用户终端、数据库、应用系统和网络安全设备中收集日志,对收集的日志进行格式标准化、统一分析和报警,并形成多种格式和类型的审计报表。
2.3 网络行为审计
基于网络技术的安全审计是通过旁路和串接的方式实现对网络数据包的捕获,进行协议分析和还原,可达到审计服务器、用户终端、数据库、应用系统的安全漏洞,审计合法、非法或入侵操作,监控上网行为和内容,监控用户非工作行为等目的。网络行为审计更偏重于网络行为,具备部署简单等优点。
2.4 主机审计
主机安全审计是通过在主机服务器、用户终端、数据库或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非法行为等目的。主机审计包括主机的漏洞扫描产品、主机防火墙和主机IDS/IPS的安全审计功能、主机上网和上机行为监控、终端管理等类型的产品。
2.5 应用系统审计
应用系统安全审计是对用户在业务应用过程中的登录、操作、退出的一切行为通过内部截取和跟踪等相关方式进行监控和详细记录,并对这些记录按时间段、地址段、用户、操作命令、操作内容等分别进行审计。
2.6 集中操作运维审计
集中操作运维审计侧重于对网络设备、服务器、安全设备、数据库的运行维护过程中的风险审计。
运维审计的方式不同于其他审计,尤其是维护人员为了安全的要求,开始大量采用加密方式,如远程桌面协议(Remote Desktop Protocol,RDP)、SSL等,加密口令在连接建立的时候动态生成,一般的针对网络行为进行审计的技术是无法实现的。
3 审计系统的实现
通过对6类审计产品的综合应用,可以形成较完备的APP应用信息系统安全审计应用系统,对整个网络与信息系统中的网络、主机、应用系统、数据库及安全设备等进行安全审计,且可以支持分布式跨网审计,并进行集中统一管理,达到对审计数据综合的统计与分析,更有效地防御外部的入侵和内部的非法违规操作,最终起到保护信息和资源的作用。
参考网络与信息系统安全审计应用模型,企业既可以采取单项逐一建设方式,也可以采用多项综合建设方式建立内部审计应用系统。对于拥有分(子)公司且不在同一地区的企业,也可以通过城域网络把多个分(子)公司统一起来,进行集中建设,统一管理。
4 结 论
通过整合市面上多种不同类型的审计产品,按照网络与信息系统安全审计应用模型,采用“统一规划、分步实施”的方式,可以在企业内部建立起严格监控的网络与信息系统安全审计应用平台,提升企业信息化日常运维及操作的安全性。
主要参考文献
[1]胡克瑾.IT审计[M].北京:电子工业出版社,2002.
[2]徐正旦.审计研究前沿[M].上海:上海财经大学出版社,2011.
安全审计的类型篇3
一、AMIS和OAS的应用成效
随着审计系统的升级、优化以及审计人员越来越熟练地掌握和运用,AMIS和OAS两大信息系统已经成为审计人员必备的审计工具,被广泛应用于审计各个环节和各类项目之中,取得可观的成效。1.AMIS发挥的功效。一是提高审计工作效率。作为审计信息的管理工具,AMIS对信息的采集、分析、记录和存储有利于提高审计业务的整体效率和管理水平,节约人力和财务成本,促进审计工作更加高效。二是规范审计操作流程。AMIS对审计项目操作流程规范化提出了刚性要求,要求审计项目的管理和实施必须遵从系统的既定流程和规则,而不能主观随意地操作,规避了审计风险。三是促进审计跟踪成效。通过筛查AMIS存储的以往审计发现,跟踪审计事项,督促被审计单位及时整改,并对整改的真实性、持续性和系统性做出评价,更好地发挥审计的职能作用。四是成为审计人员的良师益友。由于AMIS涵盖了审计人员需要的大部分知识和信息,且操作方法简便,其中的知识库子系统已成为审计人员的知识宝库,是学习和实施审计项目的典籍,在审计条线得到广泛使用和认可。2.OAS取得的效果。一是实现业务全面检查和常态化监测。由OAS获得较全面的业务数据,通过统计分析,对经营管理的整体情况进行全面的评价;同时,OAS定期加载被审计单位的交易数据,依据动态信息,实行常态化审计监测,及时发现、揭示关键控制环节的风险苗头和经营管理中存在的问题,为管理层预警信号、提供决策支持,实现对风险的防预性控制,提高审计的时效性,充分体现审计的价值。二是增强审计抽样的科学性。审计抽样是审计活动的重要环节,通过样本推断总体,进而判断出总体情况,样本质量的高低及其代表性的强弱,对审计结论的合理性和可靠性、审计目标的实现尤为重要。OAS具有强大的审计抽样功能,统一抽样标准和样本规模,有效避免人为偏差,大大提高审计样本的质量和审计查证的准确度。三是形成资源共享。内部审计机构秉承为建设银行经营发展保驾护航的审计理念,对驻地的一级分行开放使用OAS,实现了资源的共享。近年来,已对主要的条线管理部门开放了OAS的外部用户使用权限,并且对业务部门直接提出的数据需求,及时给予支持和满足,取得了一定的成效,得到驻地分行的肯定。
二、建设银行内部审计信息系统存在的问题
(一)AMIS存在的主要问题
自AMIS上线以来,虽然几经优化和改进,不断增强其应用性能,但是随着审计工作精细化管理要求的不断提升,该系统的部分应用功能仍有优化和拓展的空间。其主要问题表现为:一是检索功能有待提高。AMIS未采用智能搜索引擎技术,虽设置了高级搜索,但需要准确地输入“关键字”,查询效率低,影响了使用效率。二是审计发现的归纳整理有待细化。以往审计发现的问题未进行细致的整理,尤其针对屡查屡犯的问题未加以梳理和归纳,影响了审计成果的充分利用和深入研究,不利于跟踪审计的深度开展。三是经济责任审计资料库建设尚未纳入子模块。经济责任审计已成为内部审计一项重要的业务内容,而且受到企业高管层及外部监管机构的高度重视,审计流程建设快速,投入的资源较充足。建设银行各审计机构虽采取一定的技术方法,定期地搜集、存储了大量的文字和数据资料,但尚未将其纳入AMIS之中,不便于对资源的挖掘和利用。
(二)OAS凸现的主要问题
在内部审计充分应用OAS的同时,随着审计要求的不断提高,逐渐凸现系统运行效率低、应用管理制度不健全等问题,具体表现为:一是项目需求与资源有限的供给矛盾突出。审计项目对OAS的依赖程度越来越高,按审计计划实施的审计项目、非项目任务下发的模型、为满足日常非现场系统的使用需求进行研究的试运行模型等,使服务器运行承载着重负,进而导致模型运行时间相对集中,即使审计人员加班加点夜以继日地完成运行任务,由于多用户争用资源出现的运行错误,难以保证运行结果的正确性。因此,审计项目需求与服务器资源供给之间日益突出的矛盾,已经成为当前非现场服务器运行管理亟待解决的问题。二是信息安全制度建设不健全。OAS的数据信息在采集、传递、加工、存储、销毁等数据生命周期过程中产生的安全风险,需要建立制度予以规范和防控,但审计机构尚未全部建立数据安全管理制度。同时,信息安全管理是一项持续性的体系化工作,如果仅关注具体信息风险安全控制则很难弥补过程中的缺陷,还应强化信息安全的全流程管理,并根据风险环境变化不断加以完善。三是应用能力有待提高。OAS已成为内部审计的重要工具,但是要使用的得心应手,能够灵活地创建审计模型,还需要具有一定的应用技能,如具备计算机编程基础、熟悉各项业务流程、解读文件制度的能力。审计机构通过对信息系统应用能力的考评结果显示,那些从事审计工作时间较长、年龄偏大的审计人员虽业务经验丰富,但计算机编程能力不足;而新招入的年轻审计人员学习能力较强,通过强化训练能很快达到技能等级,但是业务经验不足。这种现象在各审计机构普遍存在,影响了审计质量。
三、加强建设银行信息系统建设的对策
(一)完善AMIS的对策
在AMIS系统现有结构的基础上,增强审计数据的维护和审计成果的利用,拓展知识生产、管理和应用。优化方案的核心内容应包括:一是引入智能搜索引擎,便于知识库快速检索。如引用Lucene等技术,以支持Office文档、PDF、网页文档等多种格式文档的搜索。应配置高级搜索功能,支持关键字的逻辑运算搜索,能同时含有两个关键字文档筛选。输入关键字时,可以识别拼音、汉字和联想最常用的词组,并按照搜索频率的高低排序。搜索结果应能显示文档名称、更新日期、部分摘要,查找的关键字在摘要和显示文档中以高亮突出。还可配置分类搜索功能,支持多维度分类方法,包括按文件所有者、文档类型、审计依据、审计成果、最新更新等维度搜索。其中最新更新维度,需按照更新时间顺序排列最近更新的文档,便于用户了解最新知识状态。二是优化审计发现库子模块功能,促进跟踪审计。跟踪审计已成为检验审计成效、提高审计质量的一项重要工作,应在审计发现库中增加对“整改三性”问题的提示功能。按照同类问题的出现次数、前后时间差、营业机构分布等情况进行计算、转换为系统的程序代码,使系统在接收整改信息时,能够自动识别并提示整改真实性、持续性和系统性的问题,同时支持相关信息的查询和统计。三是增设任期资料库,加大信息扩载量。将任期资料库纳入AMIS后台系统,增建为一个三级模块,再配置不同级别的开放权限,便于跨区域的经济责任审计项目及跟踪审计项目的开展。四是创建接口,加大知识信息的获取力度。采用文档管理技术,将原先要由不同系统处理的各类文档集中在一个平台统一管理,实现文档的分类归档、外部特征管理、关键词管理等。同时,采用自动维护和手工维护等多种方式,通过接口实现审计知识库系统与OA、NOTES等相关信息系统的交互,通过搜索引擎访问总行企业网门户、建设银行知识库系统、档案管理系统等自动获取知识,还能以链接访问其他的信息资讯系统,实时获取信息,加大知识积累。
(二)优化OAS的策略
为满足日益提高的监管要求,需加快OAS功能的优化进程,其主要内容应包括:一是打破瓶颈,创新系统运行模式。审计项目与服务资源之间的供需矛盾,已成为OAS使用和管理过程中的瓶颈,审计机构可以开展“中间件”的技术创新。即在OAS源数据和审计人员之间构建一个可扩展的中间数据平台,并通过一套整合系统、模型、审计项目需求的管理方法使之有效运行,使OAS能更好地服务于现场审计项目。“中间件”的关键作用是合理配置服务器资源,缓解负载压力。一方面,针对重复和错误步骤带来的资源浪费问题,“中间件”通过集中处理重复步骤和提高模型质量来减少模型运行对资源的消耗总量;另一方面,针对审计项目集中时资源严重透支以及部分时段资源闲置的不均衡状态,通过有计划地运行后台模型,将“高耗能模型”在服务器资源宽裕的时候集中处理,起到“削峰填谷”的作用,以减轻运行高峰时服务器的负担,提高使用效率。二是健全信息安全管理制度,防范制度风险。审计机构应完善、改进信息安全管理工作,加强制度建设,制定有关非现场系统运行与数据安全管理的实施细则。“实施细则”应以“信息安全管理”为中心,沿“数据信息生命周期”的主线,确定信息安全管理在数据信息管理、非现场审计系统管理方面的适用范围及信息安全管理体系架构、信息安全等级划分标准和保护策略;明确数据信息生命周期各阶段的信息安全保护策略及操作实务,有效防范信息技术的制度风险。三是注重实效,改进培训方式。应用技能的日常培训可以采取新老搭配的小团队形式,优势互补,相互传授业务经验、讲解演示应用技能。学习时间不限于项目的间歇期,而是融入审计项目之中,将每一个审计项目视为一次实战演习,把学习团队成员配设为AB角,在审计模型的优化、创建过程中活学活用,深化学习成果,注重学习成效。还可以开展交流式的培训授课。采取聘请培训教师的形式,邀请驻地分行业务部门专家骨干讲授相关领域的业务知识,重点讲解业务发展变化及操作流程的最新要求,或者按期参加驻地分行举办的业务培训,深入研究制度依据、操作流程,学会换位思考,独立分析处理各项业务,努力提高审计人员对银行业务的理解和认知水平,进一步拓宽审计思路,切实提高审计质量。
安全审计的类型篇4
关键词:XBRL 审计 影响 应对措施
中国XBRL系列国家标准自2011年1月1日起全面实施,企业会计通用分类标准在美国纽约证券交易所上市的我国部分公司、部分证券期货资格会计师事务所首先执行,自此我国已全面启动XBRL建设。XBRL的应用和推广将会给财务报告供应链各个环节带来深刻变革,审计作为其中一环势必会受到这一变革的深远影响。
一、XBRL对审计的影响
XBRL对审计的影响主要体现在以下几个方面:
1、 审计对象范围扩大
XBRL环境下审计人员首先面对的是鉴证对象在存在形式、结构组成及传输形态上的改变。被审单位财务信息的XBRL文档可经XBRL格式转换器转换得到或由内嵌XBRL适配器的会计软件、ERP系统直接生成。此时审计人员不仅要关注XBRL财务数据本身的公允性、合法性,还应审计包括生成XBRL数据的整个企业会计信息系统可靠性,这使得审计对象范围扩大。
2、 审计风险增加
XBRL环境下除了传统审计风险外,还包括:一、XBRL文档由被审单位企业财务信息系统生成,审计范围已不限于财务数据,增加了XBRL生成系统的检查风险;二、源自被审单位能否正确运用分类标准,标签与数据的映射是否完整、准确的重大错报风险;三、由于XBRL和企业财务信息系统置于网络环境中,XBRL实例文档面临被非法篡改而导致的安全风险。
3、 审计技术改进
随着XBRL的广泛应用,XBRL成为审计的强大助力。基于XBRL的会计系统审计中,审计人员可以利用XBRL数据接口采集原始数据至审计数据库,变分散数据为数据聚集,利用聚类关联、统计分析等数据挖掘方法从海量数据中发现隐含的、潜在的规律或蛛丝马迹。数据分析广泛应用于审计过程中,而不仅限于实质性测试程序。借助XBRL数据库平台,审计人员既可以“下钻”到被审单位财务信息系统的底层数据,也可以便利地查阅他人利用已公布的财务与业务数据编制的分析报告。
借助于网络,审计取证模式实现了审计资料收集与不同企业信息系统的平台无关性,具有广阔的适用范围。审计人员无需深入了解不同信息系统的具体数据结构即可获得所需审计证据,减少人工干预,从而提高审计效率和正确性。
4、审计报告模式变革
传统的审计从企业会计报告完成到审计报告完稿,往往间隔几个月,时效性不强,且往往发生期后事项,须在审计报告中追加披露。XBRL和网络技术的应用,使随时获取会计信息成为可能,为实时审计的实现铺平了道路。从报告内容和结构来看,现行审计报告对被审单位的预测信息披露较少,随着XBRL应用于审计,审计人员更容易找出企业经营中的“规律”,对企业经营预测做出可靠的判断,使事前预测和控制成为可能,未来预测信息及会计事项在XBRL环境下成为审计鉴证的重点之一。
5、对审计人员的全新要求
XBRL对审计人员的素质和知识技能提出了全新的要求。XBRL的实施需要的是跨会计、IT的复合型人才,审计人员除了要求精通经济、财会、企业管理等多方面的知识,还需要掌握信息系统应用技术、数据库应用技术、互联网环境下的财务报告和鉴证技术(如XML、XBRL、XARL)等;虽然大部分审计工作可能通过相关软件工具即可完成,但拥有复合型知识无疑更有利于对审计工作的展开以及业务的扩展升级。
二、应对措施
XBRL给审计带来了新的发展机遇,同时也提出了挑战,面对挑战需要从技术、资源、人员素质及理论与法规等方面加强建设。
1、 加强软件开发支持
XBRL数据转换及生成、XBRL文档的审核和管理以及自动分析是审计能否应对新变化的关键技术。相关财务软件商应大力开发XBRL嵌入式应用的财务软件,增加ERP或会计软件的XBRL生成能力,实现开发、扩展和管理分类标准、创建和管理报表,以及开发网上电子填报至XBRL数字报告生成一体化解决方案的XBRL平台。进而将研究重点转至数据挖掘、专家系统等方向,从而整体提高审计的智能化应用和整体水平。
2、 建立基于XBRL的公共信息平台
该平台包括公司财务信息、审计信息、税务信息、工商信息等,这些信息在统一的数据库或数据仓库中相互援引,一方面可以实现审计系统与其他监督系统的信息交流,实现数据共享,发挥数据发掘潜力,提高审计效率,降低审计成本。另一方面也可以组建战略合作性的审计网络,强化审计领域的纵向和横向数据传输,资源共享。例如普华永道的内部数据平台可以实现跨界服务,对来自全球超过7万5千家上市公司的信息披露文档进行评估的时候,其员工能够快速地获取、创建、分享和调整用于分析的模型、数据和可视化选项。可想该技术推广到整个注册会计师行业的巨大潜力。
3、 构建多层次的信息安全体系
XBRL格式信息其所有内容都是以数字形式流通于互联网上,因此要保证交流双方进行安全数据传输,需要建立安全保障体系。一是要保障数据存储安全,建立包括如访问控制、数据库安全、防火墙等保障措施。二是要保障信息通讯安全。可以构建审计机构和被审计单位之间安全的VPN通信网络,不但提供及时的安全信息交流而且可以大大节约通信双方的费用,还可通过该VPN网络,配置相应的软件,实现对被审单位的实时监控。此外,切实做好XBRL数据库的备份,以应对网络环境下内外数据资源和信息系统安全隐患。
4、 加强人员的培训和复合型团队建设
为应对XBRL审计的挑战,一方面加强人员的培训工作,培养复合型人才;另一方面构建复合型团队,通过经济、财会、计算机、企业管理等多方面人才的通力配合、默契协作,应对XBRL审计需求。
5、 构建信息系统审计概念框架
XBRL为审计信息化建设搭建了一个平台,然而信息系统审计目前还没有形成规范理论,应当从实践出发,研究XBRL环境下信息系统审计的审计风险、业务流程和智能审计的技术方法。在理论的指导下结合审计实践加强计算机审计准则的确立与完善。例如对xbrl文件和分类标准应用的审计准则、对生成xbrl信息系统的审计准则等。应尽快构建以理论为基础,以准则为指导的计算机审计概念框架。
三、结语
可以预见,XBRL的推广应用将会提高审计效率,减轻审计人员工作负荷,使审计 人员更多地投入对被审单位的深度分析,提高审计工作的附加价值,提高审计信息化水平。XBRL的推广应用为审计智能化、实时化发展提供了良好契机,只有抓住机会,应对挑战,审计才能在新的环境下提升自身的价值,向更高更深远的方向发展。
参考文献:
安全审计的类型篇5
1.审计学专业地位。2011年,我国开设审计学专业本科教育的60所高校中,据有案可查的38所高校,独立设置审计学院的高校仅南京审计学院1所,占2.63%;设置审计系的高校10所,占26.31%;将审计专业作为会计专业下级学科的高校27所,约占72%;对审计专业分方向教学的高校12所,约占32%;其余高校将审计专业命名为“审计学”不细分方向,接近68%。分方向教学的高校中,有的按照审计主体划分方向(如石河子大学、四川大学锦城学院、山东财经大学等),有的按照审计客体或方法分方向(如山东交通学院、北京信息科技大学),还有的既按主题又按客体分方向(如南京审计学院)。2.审计学专业建设特色和质量。(1)特色专业建设点。截至2012年4月,全国共有7批3405个国家级特色专业建设点,其中:会计学专业有6批47个国家级特色专业建设点(占会计学专业总数的8.45%);而审计学专业只有南京审计学院(第2批)和郑州航空工业管理学院(第6批)2个国家级特色专业建设点,占设置审计专业高校数量的3.33%,分别占国家级特色专业总数和会计学国家级特色专业总数的0.587‰和4.26%。与审计学同为“工商管理类”目录外专业的“电子商务”专业(110209W)有国家级特色专业建设点5个“,物流管理”(110210W)有国家级特色专业建设点10个“,审计学”专业国家级特色专业数仅比“商品学”(110207W)和“国际商务”(110211W)(二者都是0个)略多一点,远低于“工商管理类”其他专业。从国家级层面来看,接近97%的高校“审计学”专业还没有特色,在所有国家级特色专业中所占比例也非常少。从省级特色专业来看,以南京审计学院所在的江苏省和郑州航空工业管理学校所处的河南省为例,江苏省目前拥有本科省级特色专业295个,其中“会计学”7个,占2.37%,“电子商务”有省级特色专业1个,占0.34%,“审计学”省级特色专业0个,占0%。河南省目前拥有本科省级特色专业223个,其中,“会计学”4个,占1.79%,“审计学”1个,占0.45%。两省的“审计学”省级特色专业合计只有1个,占0.19%。显然,无论从国家级还是从省级来看“,审计学”专业建设还缺乏特色。(2)重点学科数目。根据2007年公布的第三次评估结果,有677个二级学科(专业)成为国家级重点学科,有217个二级学科(专业)获得国家重点培育学科。其中,有5所高校会计学专业是国家级重点学科,占0.74%,而审计学和物流专业没有国家级重点学科高校。获得国家重点培育学科中,会计、审计和物流都是0。从省级品牌专业数量来看,江苏省目前建设有省级品牌专业187个,其中“,会计学”2个,占1.07%,“审计学”1个,占0.53%。审计学专业还没有真正找到自己的学科规律,学科专业建设还不够成熟,有待进一步发展。
审计学专业课程建设现状
1.审计学专业课程设置类型。通过查阅资料和调查有关高校审计院(系),剔除偏向某个方向———如CPA审计、内部审计或工程审计———的高校信息,在设置“审计学”专业高校中,搜集到有效审计课程设置信息的高校有30所,可以分为以下三种类型。(1)主要按照审计主体设置课程的高校有9所,约占30%,包括:中山大学、南京审计学院、天津财经大学、山西财经大学、中华女子学院、湖北经济学院、石河子大学、浙江工商大学、贵州财经大学。(2)主要按照审计客体开设审计课程的高校15所(院系),占50%。包括:郑州航空工业管理学院、南京财经大学、安徽财经大学商学院、安徽财经大学会计学院、上海立信会计学院、北京信息科技大学、兰州商学院、河南财经政法大学、山东经济学院———山东财经大学、山东财政学院———山东财经大学、安徽工业大学、广西财经学院、内蒙古财经大学、吉林财经大学、西安邮电学院。(3)同时按照主体和客体并列设置课程的高校有6所,占20%。包括:四川大学锦城学院、山东工商学院、浙江财经学院、河北金融学院、湘潭大学、广东培正学院。设置“审计学”专业的高校中有半数高校按照审计内容设置和划分审计课程,只有30%的学校按照审计主体设置审计课程。2.审计学专业课程数量及频次。按照审计主体开设课程的高校设置的专业课数量最多,平均6.25门,其次是同时按照主体和客体设置课程,平均5.75门,按照客体分设专业课程的高校开设审计专业课程的数量较少,平均开设审计专业课5.21门。总平均设置审计专业课5.73门。在以上30所设置“审计学”专业的高校中,从必修课课程开设频次上看,开设“审计学”课程27所,占96.67%;开设“财务审计”22所,占73.33%;开设“内部审计”17所(剔除1所将“内部审计”作为选修课高校),占56.67%;开设“社会审计”(注册会计师审计)10所,占33.33%;开设“经济效益审计”10所,占33.33%;开设“内部控制(学)”8所,占26.67%;开设“投资(工程项目或建设项目)审计”8所,占26.67%;开设“政府审计”7所,占23.33%;开设“管理审计”课程高校7所,占23.33%;开设“内部控制审计(评价)”3所,占10%;开设“舞弊审计”2所,占6.67%;开设“职业道德”课程的1所,占3.33%;开设“责任审计”1所,占3.33%。“审计学(基础或原理)”作为核心专业基础课开设得比较普遍。从以上可以看出,“审计学”专业在60所高校中,多数已开设“审计学原理”、“财务审计”、“内部审计”、“内部控制审计”、“管理审计”、“经济效益审计”、“经济责任审计”、“投资(建设项目)审计”“、舞弊审计”等课程。但是,“审计学”专业课程的设置并不统一,也不规范,特别是独立开设“职业道德”课程的较少,只占3.33%,还有些属于“审计学”专业内容的课程如“政府审计”、“经济责任审计”“、财经法纪或专案审计”“、财政审计”等大部分高校尚没有开设。3.审计学专业课程质量分析。总体看,审计学专业课程质量档次不高。根据“国家精品课程资源网”统计,2003~2010年本科国家级精品课程共有2582门,课程名称包含“会计”的有7门,占0.27%;课程名称包含“审计”的有1门,占0.039%;课程名称包含“物流”的有9门,占0.35%。据“高等学校本科教育质量与改革工程”网站披露,属于“审计”类本科国家级精品课程有4种,全部是“审计学”课程,占100%,且都是2007年前批设的。属于“会计”类的本科国家级精品课程有25门,包括“会计学”、“基础会计”、“会计学原理”“、企业会计学”“、中级财务计”“、高级财务会计”“、财务会计学”、“管理会计学”、“成本会计学”、“会计信息系统”等,2007年后批设的超过50%。省市级本科精品课程中,“审计”类只有10种,“审计学”课程有9种。而“会计”课程有81种,除以上所有会计主干课程以外,还有“农业会计”、“林业会计”“、旅游会计”等课程。相对来说,开设审计学专业精品课程的高校数量较少,且内容较陈旧。普遍来看,审计学专业课程建设质量不高,除“审计学”课程一枝独秀以外,审计专业课程建设称得上“乏善可陈”。4.审计学专业双语教学课程现状。为了培养具有国际化视野人才,在国外课程资源和教师资源稀缺的情况下,开设双语课程是一种较为理想的选择,目前,绝大多数有审计学专业的高校都开设了审计学专业双语课程,但是无论是数量还是质量都非常有限。作为国家本科教学质量攻坚工程的一部分,2007~2010年,我国安排国家级双语教学示范课程503门,其中属于“审计学”专业的国家级双语教学示范课程只有1门,仅占0.2%,而“会计学”专业有14门,占2.78%,其他财经类目录外专业如“电子商务”、“物流管理”、“国际商务”分别安排国家级双语示范课程4门、3门、6门,分别占总数的0.8%、0.6%、1.19%,都高于“审计学”专业,该指标说明了“审计学”专业在培养国际化人才的课程手段方面还较为欠缺。5.审计学专业实践教学课程现状分析。在设置审计学专业本科的60所高校中,综合实践课程大多数包括军政训练、社会实践、毕业论文、毕业实习。作为专业实践课程,在随意抽选的20所开设“审计学”专业的高校中,79.33%的学校开设了各类审计实验实训课程。按照课程划分,开设“审计综合实验(实训)”的占52.22%,开设“审计学实验”的占25.16%,开设“财务审计实验”的占10.05%。开设“计算机审计实验(审计软件应用或信息系统审计)”的占20%,开设“审计手工(模拟)实验”的占20%,开设“专业实验”的高校2所,占10%。目前,有近80%设置审计学专业的本科高校开设了审计实验实训课程,基本上满足了审计应用人才培养的需要,但审计实验实训课程的开设比较简单,课程设置不够深入、细致、具体,实验实训课程名称和内容不够规范。
审计学专业本科教材与图书建设情况
1.审计学专业本科教材建设。“全国普通高等教育教材网”教材总数17084种,其中“,审计”类教材共20种,占0.12%;“会计”类教材253种,占2.35%“;物流”类教材87种,占0.81%。20种“审计”类教材中“,审计学”教材10种“,基础审计”3种,“审计原理”1种“,审计”2种,以上合计占审计类教材80%。另外,还有《商业银行审计》、《战略资源审计》、《审计案例》、《审计实务》各1种。总之,审计类教材数量比较少,品种也比较单一。,除引进教材外,审计学科优质教材数量占比与会计学科优质教材占比悬殊较大,而且也低于同为目录外专业的物流学科优质教材占比。2009年和2011年审计学科精品教材都是0,可见其相当缺乏。2.审计学专业本科图书建设。除教材之外,图书资料数量也影响着审计专业的建设发展水平,根据超星数字图书馆南京大学图书馆镜像站点数据,“审计”类图书有1256本,“会计”类图书有7278本,“物流”类图书有351本。“审计”类图书中“,审计学”类图书最多,占14.09%。按照审计主体划分,政府审计类图书最少,只占0.88%;内部审计类图书占3.82%;社会审计类图书最多,占4.3%。按照审计内容和目的划分:财政财务审计类图书占3.26%;经济效益审计类图书占3.35%;责任审计类图书占1.43%;工程审计类图书1.91%;计算机审计类图书占0.96%;审计案例类图书占2.87%;国际审计类图书占0.48%;西方审计类图书占0.64%;环境审计类图书占0.24%;审计史类图书占0.48%;审计理论类图书占2.15%。按照时间进行分析,2000年前的审计类图书占73.71%,2000年以后(包括2000年)的审计类图书占26.29%,虽然图书资料较陈旧,没有近5年的图书资料。五、审计学专业本科人才培养模式1.本科审计学专业人才培养目标。根据随机选取的26所开设审计专业的高校进行网络搜索发现,83.35%的高校把审计专业的培养目标定位为“应用型人才”,98%的高校要求培养对象从事审计实务工作。其中,要求“应用型人才”的占38.34%,具有“创新精神和国际视野应用型人才”的占11.67%,定位为“复合型、应用型”人才的占40%(其中,要求“复合型、应用型”的占15%,“创新性、复合型、应用型”的占10%,具有“创新精神且复合型、应用型”的占15%)。在26所高校中,将培养目标定位为“高级专门人才”的有16所,占61.53%,定位为“高素质应用型人才”的有5所,占19.23%。2.本科审计学专业人才能力素质要求。在上述设置本科审计学专业高校中,明确提及“语言文字表达与沟通能力、协调能力”标准的占40%,仅提及“文字写作和文字表达能力”标准的占6.67%,明确提及具有研究能力条件的占40%,提及文献检索、获取信息能力标准的占46.67%,明确要求“实际工作能力”标准的占26.67%,提及具有“创新能力”条件的占13.33%。东部高校侧重沟通、协调能力,中部高校侧重分析研究能力。对基本研究能力和文献检索提出要求的高校数量比对沟通协调能力提出要求的高校数量略多。3.本科审计学专业人才人文素养要求。在上述设置本科审计学专业高校中,明确提及“诚信和职业道德”要求的占60%;仅要求具有“责任意识”的占20%;要求有“为祖国和民族奋斗志向”或“树立远大理想”的占26.67%;要求树立正确“世界观和方法论”的占6.67%;仅要求通过思品、科学、人文和艺术类课程的占6.67%。要求具有“团队意识”、“合作精神”的占40%,提出“艰苦奋斗”“、艰苦朴素”、“热爱劳动”的占33.33%,要求“遵纪守法”占26.67%。值得注意的是,对职业道德提出要求的高校是大多数,其占比为60%。4.审计学专业培养模式改革现状。为了鼓励和支持高校在教学内容、教学方法、课程体系、实践环节、教学运行和管理机制、教学组织形式等方面进行人才培养模式的综合改革,努力形成有利于多样化创新人才的培养体系,满足国家对复合型拔尖创新人才和应用型人才的需要,扭转应试教育和知识教育的偏向,我国自2007年开始实施人才培养模式创新实验区资助项目,要求被资助项目必须培养目标明确,有较为完整和独特的人才培养方案,创新点突出,特色鲜明,对本领域复合拔尖创新或应用型人才培养具有较为深刻的认识和理解,有明确的工作思路和解决问题的方法。人才培养预期效果好,对本领域复合拔尖创新型人才或应用型人才培养模式改革中具有示范带动作用。2007~2009年,共有421个人才培养模式创新实验区获得资助,其中会计学类7个,占1.66%,物流管理类1个,占0.24%,审计学类为0。六、师资队伍现状分析从师资队伍建设方面来看,在60所设置审计学专业的高校中,根据各高校网站师资披露情况,按照审计学、会计学师资信息配比原则,剔除最大值和最小值,检索并筛选了16所高校的师资信息,基本情况是:从师资规模看,16所高校有会计学全职教师376人,每校平均近24人;审计学专业有全职教师197人,平均每校12人。根据前文30所高校的统计结果,平均开设专业必修课5.73门,专业选修课5门,总计不超过10门,平均每门课程需要1.2人,审计学师资队伍基本能够满足需要。从师资职称结构看,16所高校的会计学教授职称占21%,副教授占40%,审计学专业教授职称占22%,副教授占40%,差异并不显著。从学位结构看,16所高校会计学专业教师中,拥有博士学位的占24%,拥有硕士学位的占60%,而同样这些学校的审计学专业教师拥有博士学位的占49%,拥有硕士学位的占43%;审计学专业稍强一些。但是,由于开设审计学专业的高校层次偏低,与之配对的会计学专业高校也只能选择层次偏低的高校,如果把中国人民大学、中央财经大学、上海财经大学、厦门大学、东北财经大学等没有明确开设审计学专业高校的会计学专业师资也统计在内,结果会有所变化。如加上中央财经大学和天津财经大学,会计学专业教授比例就达到23%,这个结果超过了审计学专业的22%。与其他相近专业相比,根据可以搜集到的信息,物流专业博士比例高达76%,教授比例占13%,显然,审计学专业职称比例相对较好,但博士比例偏低。根据教育部网站2010年统计,2010年全国普通本科高校正高职称占14%,副高职称占29%,与之相比,审计学专业职称结构明显高于全国平均水平。从质量工程维度看,根据高等学校本科教学质量与教学改革工程网站统计,2007~2010年国家级教学团队共1043个,其中会计学6个,占0.59%;审计学2个,占0.2%;电子商务2个,占0.2%;物流1个,占0.1%。相对于会计学、电子商务和物流管理专业来说,审计学专业国家级教学团队建设也有了一定规模,但远低于会计学专业教学团队。七、总结总之,我国普通高校审计学专业招生的规模较小,而招生数量在不断增加;开设审计学专业的高校数量远少于会计学专业本科的高校数量,层次也偏低,但开设审计学专业的高校数量在逐年增加;72%的高校审计学专业设置在会计学院(系)下;近70%高校在审计学专业下不细分方向;绝大多数高校(90%以上)设置的审计学专业没有特色;形成品牌的审计学专业数量也很少;本科审计学专业国家级精品课程只有4所高校的《审计学》课程;专业课程体系不统一;双语教学课程数量少、质量不高;审计实验实训课程开课较普遍,但内容种类不统一,且较单一;优质教材贫乏,图书资料较陈旧;培养目标、规格、模式等较为传统,创新性培养模式欠缺。而师资规模和质量基本上能满足人才培养需要。
安全审计的类型篇6
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
审计人员可以查询、检查审计日志以形成审计报告。检查的内容包括:审计事件类型;事件安全级;引用事件的用户;报警;指定时间内的事件以及恶意用户表等,上述内容可结合使用。
安全审计的类型篇7
Abstract: First we defined the indicators of traffic safety audit. Then we used the u- weight analysis to determine the their weight and established the traffic safety audit indicator system.
关键词: 交通安全审计 指标体系 U型权重分析法
中图分类号:C913 文献标识码: A
Keyword: traffic safety audit; indicator system; u-weight analysis
1 研究背景与内容
交通安全审计是对已有或拟建的道路建设项目、交通工程项目及其它任何将与用路者发生相互影响的工程项目的项目方案所进行的正式的安全性能测试[1]。对现有道路的安全状况进行审计,可以全面地分析影响道路安全的因素,有针对性的消除安全隐患,有效地扩展道路的安全空间和“宽容度”。然而要进行交通安全审计,首先要有完备的审计的指标体系。而建立审计指标体系的重点是确定各指标的权重。
2 确定交通安全审计指标
本着科学、客观、完备、可行、实用、明确的原则,通过参考大量文献和笔者的经验初定指标如下:
交通量:车头间距
横断面:行车道宽度、路肩宽度、路拱横坡度、净空;
平面线形:平曲线半径、超高、加宽、平曲线长度、曲线转角、直线长度;
纵断面:纵坡坡度、坡长、竖曲线半径、竖曲线长度;
视距:停车视距、超车视距
路面:平整度、抗滑能力;
交叉口:类型、相邻交叉口间距、信号灯、冲突点;
交通设施:护栏、交通标线、照明设施、交通标志、渠化;
共分8个大类28个指标。
3 基于U型权重分析法计算各指标权重[2]
3.1 用系统比较法建立指标重要性判断矩阵
系统比较法就是以指标的重要性为参照标准,由多位评判者同时对各指标的重要性多值估量的评判方法[3]。下面由不同的专家对这些交通安全审计指标进行评分,评分的标准(自信程度)如下表所示:
表1 评分的自信程度描述
完全 绝大部分 大部分 基本 半数 小半数 完全不
10 9 8 7 5 3 0
由此构造的各指标权重评判表如下所示,笔者请三位专家针对西安市道路情况对所选指标进行评判,评判结果如下表所示:
表2 自信度评判表
指标 专家A 专家B 专家C
很重要 重要 一般 不重要 很重要 重要 一般 不重要 很重要 重要 一般 不重要
1 0.75 0.5 0.25 1 0.75 0.5 0.25 1 0.75 0.5 0.25
车头间距 8 8 10
行车道宽度 9 9 7
路肩宽度 7 9 9
路拱横坡度 8 9 7
净空 8 8 8
平曲线半径 8 8 8
超高 7 8 8
加宽 7 8 7
平曲线长度 5 8 8
曲线转角 5 8 8
直线长度 7 9 8
纵坡坡度 7 8 8
坡长 7 7 7
竖曲线半径 7 8 8
竖曲线长度 5 7 7
停车视距 8 9 9
超车视距 8 9 9
平整度 8 9 9
抗滑能力 8 9 7
类型 5 7 7
相邻交叉口间距 5 7 8
视距 7 8 7
冲突点 8 8 8
护栏 5 8 8
交通标线 8 9 8
交通标志 8 9 9
照明设施 7 9 9
渠化 10 10 7
3.2自信度分数向秩次转化
完成将自信度分数到秩次的转化,转化规则是:
(1)各大于0的量化分数,其等级越高,秩次越小;
(2)同属于一个等级的量化分数,其分数值越高,秩次越小;
(3)几个指标等级与量化分数相等,则用它们的秩次位置的平均数来表示他们的秩次[5]。转化结果如下表所示:
表3 秩次转化结果
指标 专家 R R2
A B C
车头间距 3.5 8.5 1 13 169
行车道宽度 10 11.5 18.5 40 1600
路肩宽度 23 21 21 65 4225
路拱横坡度 13 11.5 18.5 43 1849
净空 13 15.5 13.5 42 1764
平曲线半径 21 23 23 67 4489
超高 23 27 26.5 76.5 5852.25
加宽 26 27 28 81 6561
平曲线长度 27.5 27 26.5 81 6561
曲线转角 27.5 23 23 73.5 5402.25
直线长度 23 11.5 13.5 48 2304
纵坡坡度 17 15.5 13.5 46 2116
坡长 17 19 18.5 54.5 2970.25
竖曲线半径 17 15.5 13.5 46 2116
竖曲线长度 19.5 19 18.5 57 3249
停车视距 3.5 4 2.5 10 100
超车视距 13 4 2.5 19.5 380.25
平整度 3.5 4 2.5 10 100
抗滑能力 3.5 4 8 15.5 240.25
类型 19.5 25 25 69.5 4830.25
相邻交叉口间距 9 19 13.5 41.5 1722.25
视距 7.5 8.5 8 24 576
冲突点 13 15.5 13.5 42 1764
护栏 24 23 23 70 4900
交通标线 3.5 4 5.5 13 169
交通标志 13 11.5 10 34.5 1190.25
照明设施 7.5 4 2.5 14 196
渠化 1 1 8 10 100
3.3 计算肯德尔和谐系数
计算方法如下:
(1)
其中:表示R的离差平方和。
所以可得
A专家在对28个指标进行打分过程产生了20个相同的秩次,B专家产生了22个相同的秩次,C专家产生了22个相同的秩次。所以:
(2)
其中:i表示第i个专家,m表示以为专家在构造评判矩阵时产生的秩次。所以可得:
所以:
由公式
(3)
得:
其中:K表示所邀请的专家的位数,n表示指标的个数,在这里n=28。
3.4 进行肯德尔和谐系数检验
,查值表可以得到
因为
根据显著性检验的理论[5],当,,则在0.01显著水平上拒绝H0,采取H1,属于极其显著。可知所邀请的这几位专家对所选取的这28个交通安全审计指标的判断结果具有较高的一致性。所以,下面可以计算各指标的权重。
3.5 指标权重的计算
(1)将专家的自信度矩阵相加
(4)
其中为各个专家的评判矩阵,C为3位专家的评判矩阵之和。得
(2)计算指标的隶属度
(=1,2…,n)(5)
其中:为第个指标相对于很重要的隶属度,为第个指标重要性隶属于各等级的自信度,K为专家人数,是等级参数的转置矩阵,即:所以由公式可得:
表4 各指标相对于很重要的隶属度:
e1 e2 e3 e4 e5 e6 e7
0.8667 0.6250 0.4167 0.6000 0.6000 0.4000 0.2500
e8 e9 e10 e11 e12 e13 e14
0.1833 0.1750 0.3083 0.5417 0.5750 0.5250 0.5750
e15 e16 e17 e18 e19 e20 e21
0.4750 0.8667 0.8000 0.8667 0.8000 0.3583 0.5417
e22 e23 e24 e25 e26 e27 e28
0.7333 0.6000 0.3500 0.8333 0.6500 0.8333 0.9000
(3)将其正规化得到各个指标的权重如下表所示:
(4)组合构建交通安全审计指标体系如下:
表5 交通安全审计指标体系
交通量0.0533 车头间距 w10.0533 视距
0.1025 停车视距 w160.0533
横断面 0.1379 行车道宽度 w2 0.0385
路肩宽度 w3 0.0256 超车视距 w170.0492
路拱横坡度 w4 0.0369 路面
0.1025 平整度 w180.0533
净空 w5 0.0369 抗滑能力 w190.0492
平面线形0.1144 平曲线半径 w6 0.0246 交叉口
0.1025 类型 w200.0221
超高 w7 0.0154 相邻交叉口间距w210.0333
加宽 w8 0.0113 信号灯 w220.0451
平曲线长度 w9 0.0108 冲突点w23 0.0369
曲线转角 w100.0190 交通设施0.2195 护栏w24 0.0215
直线长度 w100.0333 交通标线w25 0.0513
纵断面0.1323 纵坡坡度 w120.0354 照明设施w26 0.0400
坡长 w130.0323 交通标志w27 0.0513
竖曲线半径 w140.0354 渠化w28 0.0554
竖曲线长度 w150.0292
其中:wi表示各指标的权重。
4 结论:
本文研究了基于U型权重分析法建立交通安全审计指标体系的方法与过程,具有可行性及一定的实用价值,但在实际应用中还有待完善。
参考文献
[1] 刘运通.道路交通安全指南[M].北京市朝阳区:人民交通出版社,2004-07:147-160.
[2] 王孝玲.教育评价的理论与技术[M].上海:上海教育出版社,1999.
[3] 金书滨,潘海.三种系统评价方法在交通项目综合评价中的对比研究[J].重庆交通学院学报,1998(2):66-71.
[4] 秦英.利用U型权重分析法确定教学质量评价指标权重[Z].2004-9:12-15.
安全审计的类型篇8
【关键词】大型长货设备 吊装方案 编制 审查
在化工、冶金等诸多工程项目的施工建设过程之中均会牵涉到对大型长货设备的吊装。同时此类货物也经常是相关工程项目的绝对核心,因此对于吊装作业而言常常是各方面所重点关注的一个环节。因而,就加强对大型长货设备吊装方案的科学化编制及细致化审查工作将至关重要。科学、合理的编制,严谨、细致的审查,可以有力的保障项目建设质量的全面提升,这将对于促进工程施工的全面统筹,保障施工安全及效率意义重大。
1 吊装工程特点
在大型长货设备的类型方面主要是以压力容器为主,且特指重量超过100t亦或是安装高程在60m以上的设备。在具体的吊装施工过程当中目前所大量应用的吊装方式包括有机械提升与液压机械滑移两类。伴随着现代科学技术水平的不断提升,促使吊装工艺的发展也逐渐趋向于成熟化。针对大吨位吊装设备的开发及应用、液压提升系统的日趋完善均促使大型长货设备的吊装作业水平越来越高,由硬件设备层面便有力的保障了吊装作业的安全性。选用计算机设备进行辅助决策,针对施工设计、平面图像绘制甚至是3D动画模拟能够确保吊装施工作业更加安全、可靠。并且,在吊装方案的编制以及审查方面需依据实际的工程进展、对各个方面的吊装内容进行统筹与修订,充分利用好吊装方案的指导价值,并由整体上实现对工程成本的有效控制。
2 吊装方案编制
在开展大型长货设备的吊装方案编制之时,首先应当加强对工作的充分准备。对此不仅需要能够依据工程项目建设的具体情况来选取出适宜的工程顺序、工程进度,明确出吊装时机。针对吊装作业场地进行实地勘察,在全面掌握大型设备以及吊装设备的特性后,同时结合相应的施工要求来制定出具体的施工方案,并以此来保障在方案实施吊装时的安全性与高效性。另外,还应当对运输长或设备的车辆、所采取的运输方式以及车辆进出通信路基要求等进行明确的了解。确定出相应的实际吊装作业车辆、设备、人力资源等这将对于吊装方案的编制至关重要。所对应的,能够满足于运输车量以及吊装设备的场地环境同样也是编制方案当中需引起注意的一个重要方案。可向业主索取关于施工现场环境以及地质条件信息的相关资料,并在方案的编制设计当中予以参考。如有需要,可委托第三方实施地质勘察,并依据勘察结果针对吊装场地采取改造设计工作,并要尽可能的确保达到吊装作业的标准。
3 吊装方案审查
3.1 审查内容
确保吊装工艺技术可行性是大型长货设备吊装方案审查的核心内容。调转工艺技术在实际的施工标准指导下同时综合考虑实际的货物、车辆以及吊装设备采取针对性的设计,并尽可能保障适宜于目前的施工环境,具备有良好的实践可操作性。在审查的过程当中应当针对吊装作业的现场环境、运输车辆以及吊装设备的性能状况、设备特性及人力资源组织等方面予以充分的掌握。针对长货设备吊装方案有无存在技术性错误予以明确的审查,准确计算出吊装工艺的正确性与否以及是否满足于有关的行业标准及操作规范,还应当满足于现场管理规范性要求。
3.2 保证吊装资质
要确保对吊装方案当中资源组织管理的良好执行,就必须要确保车辆机械的及时到位,对于各类吊装资源的利用合理性进行明确审查。
(1)审查大型吊装设备、运输车辆以及所需应用到的各类器械设备的只有及租赁状况,明确审查其是否是完全依据方案的技术标注及时间要求来制定的,同时将机械设备的具体使用计划落到实处。(2)针对吊装发难之中涉及到有关组织管理、HSE管理标准,相关人员是否到位于本旨岗位,以及确保对设备的使用规划能够落到具体的吊装细节之中。(3)对吊装单位同业主、运输、项目部、以及监理等相关方面的合作情况进行审查,以确保其能够达到积极协作,保障吊装效率。
4 编制与审查存在的主要问题及处理措施
4.1 项目投标
在工程项目的投标环节当中会遭受到多方面的因素影响,由于针对工程项目具体情况不确定便会造成技术数据的丢失并由此使得整体施工进度受到极大的干扰,同时对于施工环境也将产生极为不利的影响。在招投标方案当中应当将施工方的资质水平明显的体现出来。在进行施工吊装方案的设计之时应当确保全面、细致,针对施工吊装状况予以必要的指导,从而实现良好的可操作性。并且在针对具体内容的落实方面还应当开展好相应的施工安全措施手段同时将具体的施工技术落实于具体的吊装作业过程之中,确保吊装作业的安全、顺利实施。
4.2 统筹规划
在工程建设项目管理当中所牵涉到的内容十分众多,并且其大型长货设备吊装统筹规划时所需花费的施工周期也相对偏长。只有有力的保障对施工管理模式与技术采取科学性的整体规划方可确保吊装作业的顺利进行。
4.3 作业规划及安装次序
一般进行大型长货设备的吊装作业所需用到的吊装机械体积往往偏大,在施工现场要对其进行移动十分困难。因而就应当加强对施工计划的周密安排,确保工序进度的合理性。并且还应当同时考虑到其他的施工要求,在施工间隙安排人员进行交叉作业,从而实现对现场施工进程的全面优化。
5 结语
总而言之,不断增强对大型长货设备的吊装方案编制及审查工作,是提升施工单位市场竞争力最为重要的手段之一,对此相关的施工单位应当予以足够的重视程度,不断加强对吊装工艺的创新力度,实现对于市场需求的良好满足。大型长货设备吊装工程的施工过程难度较大,必须要确保相关的工作人员具备有扎实的专业知识与技能水平后方可确保吊装施工的顺利实施。加强对吊装方案的编制与审查工作可以有力的促进施工单位经济效益的全面性提升。
参考文献:
[1]王艳艳,吴耀华,吴颖颖,等.自动补货系统补货缓存优化[J].机械工程学报,2012(24).