安全審計的類型
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇安全審計的類型范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
安全審計的類型范文第1篇
目次
三《條例》限制賠償政策的事實根據論―答記者問見解的問題性
(一)“特殊立法政策”的內容和事實根據
(二)“特殊立法政策”的事實根據論的問題性
(三) 對其他相關問題的評論
四 放棄現行法律適用原則的必要性和解決法律適用問題的代替方案
(一) 放棄“區分不同案件分別適用法律”原則的必要性
(二) 解決醫療侵權賠償案件法律適用問題的代替方案
結論
三 《條例》限制賠償政策的事實根據論―答記者問見解的問題性[44]
如前所述,答記著問強調, 條例“體現了國家對醫療事故處理及其損害賠償的特殊立法政策”。那么, 答記者問所說的特殊立法政策的內容是什么呢? 在損害賠償問題的處理上, 條例所體現的立法政策與民法通則所體現的立法政策有什么不同呢? 條例所體現的特殊立法政策又是以什么事實為根據的呢? 被作為根據的那些“事實”是否符合客觀現實呢? 即便符合客觀現實, 以這些事實為根據, 是否能夠證明條例對醫療事故損害賠償的限制性規定具有政策上的合理性呢? 這些就是本節要檢討的問題。
(一) 條例所體現的特殊立法政策的內容及該政策的事實根據
條例第1條規定,制定條例的目的是“正確處理醫療事故,保護患者和醫療機構及其醫務人員的合法權益,維護醫療秩序,保障醫療安全,促進醫學科學的發展”。條例起草者衛生部的匯報指出, 修改辦法的經濟補償制度的原則是“既要使受損害的患者得到合理賠償,也要有利于我國醫療衛生事業和醫學科學的健康發展”[45]。答記者問的表述與衛生部匯報的見解基本相同, 但更為直截了當。它指出, 條例之所以要對賠償金額作出限制, 就是“為了推動醫療衛生事業的發展和醫療技術的進步”, 換言之, 如果不對醫療事故的賠償范圍和標準作出現行條例所作出的限制, 如果法院對醫療事故引起的賠償案件適用體現了實際賠償原則的民法通則的規定, 那么, 我國醫療事業的發展和醫療技術的進步就會受到不利的影響[46]。由此可見, 答記者問所強調的特殊立法政策的“特殊”之處, 亦即在賠償政策上條例與民法通則的不同之處,在于條例以保障和促進醫療事業的發展這一公共利益來限制患者或其遺屬原本根據民法通則所體現的實際賠償原則所可能得到的賠償這一個別利益。筆者在此將該政策簡稱為“公益限制賠償政策”。
根據答記者問的說明, 條例所體現的公益限制賠償政策是以下述被政策制定者所認定的四項事實為根據的。① 醫療行為具有較高的風險性, ② 我國醫療行業具有公共福利性, ③ 我國醫療機構的承受能力有限, ④ 我國的經濟發展水平較低。對照條例起草者衛生部的匯報可以發現, 答記者問所提出的事實根據論,除了其中的第①項似乎是答記者問自己的看法(筆者不知道衛生部是否在其他正式場合表達過這樣的見解)以外,基本上反映了衛生部在匯報中所表達的見解[47]。
以下, 筆者對“公益限制賠償政策”的事實根據論進行分析和評論。
(二) “公益限制賠償政策”的事實根據論的問題性
1. 醫療行為的高風險性不能說明條例限制賠償的正當性。
答記者問沒有說明醫療行為的高風險性與限制賠償到底有何關系。筆者在此姑且作出兩種推測[48],然后分別加以評論。
(1) 答記者問也許是想說: 高風險性這一客觀因素的存在, 降低了過失這一醫療侵權的主觀因素在賠償責任構成中的意義。人們應當承認以下兩個事實, ① 在醫療過程中, 即使醫務人員充分履行了注意義務, 也未必能夠完全回避診療的失敗及由此引起的患者人身損害的發生; ② 即使醫務人員在實施醫療行為方面確實存在過失, 損害后果的發生也往往在一定程度上與該項醫療行為固有的風險性存在一定的關系。因此, 在設計醫療事故損害賠償制度時, 應當考慮到醫療風險這一客觀因素在損害形成中所起的作用, 不應當把在客觀上應當歸因于醫療風險的那部分損失也算在醫療機構的頭上。條例對賠償數額作出限制反映了醫療事故損害與醫療風險之間存在一定程度的關系這一事實, 因此是合情合理的,是正當的。
筆者基于下述理由認為, 上述推論是不能成立的。① 醫療行為具有較高的風險性這一事實認定本身不能反映現實中的醫療行為與醫療風險的關系的多樣性。現實情況是,醫療行為不僅種類極其繁多而且存在于醫療過程的各個階段各個環節,有的可能具有高度的風險( 比如確診率極低的沒有典型早期癥狀的某些疾病的早期診斷, 成功率極低的涉及人體某一重要器官的復雜手術,對搶救患者生命雖然必要但嚴重副作用的發生可能性極高的急救措施),有的則可能幾乎沒有風險(比如在遵守操作規范的情況下的一般注射,常規檢驗,醫療器械消毒,藥房配藥,病房發藥等)② 這種推論誤解了醫療風險與醫療事故民事責任的關系, 因而是根本說不通的。眾所周知, 我國的醫療侵權責任制度實行過錯責任原則, 而非嚴格責任原則。既然如此, 那么在醫療損害的發生被證明為與醫療過錯和醫療風險(特指與醫療過錯無關的風險)[49] 二者都有關系的場合, 醫療機構只應承擔與其醫療過錯在損害形成中所起的作用相應的賠償責任。在醫療侵權法上, 風險因素與民事責任不是成正比而是成反比, 風險因素對損害的形成所起的作用越大, 醫療機構因其醫療過錯所承擔的賠償責任就越小。醫療行為的高風險性不是增加而是可能減輕醫療機構民事責任的因素。只有在適用嚴格責任原則的侵權領域, 高風險性才可能成為增加民事責任的因素。
(2) 答記者問也許是想說, 如果事先不通過制定法(比如條例)對賠償范圍和數額作出必要的限制, 那么醫療機構就會因害怕承擔其不愿意承擔或難以承擔的高額賠償責任而指示其醫務人員以風險的有無或大小作為選擇治療方案的主要標準,盡可能選擇無風險或較小風險的治療方案; 醫務人員在治療患者時就會縮手縮腳,不敢為了搶救患者的生命而冒必要的風險, 患者的生命健康利益因此就可能得不到原本應當得到的醫療保障。所以, 條例限制賠償標準,有助于調動醫師救死扶傷的職業積極性, 最終將有利于患者疾病的救治。筆者認為, 這是一個似是而非的、嚴重脫離實際的推論, 因而也是沒有說服力的。① 在對賠償數額不作限制(尤其是不作低標準限制), 實行實際賠償原則的情況下,醫師果真會從積極變為消極, 對患者該治的不治, 該救的不救, 該冒的險不敢冒嗎? 限制了賠償數額,醫師果真就會因此而積極工作, 勇于擔負起治病救人的重任嗎? 這一推論符合醫療侵權的實際狀況嗎? 依筆者之見, 在適用民法通則的實際賠償原則或賠償標準高于條例的人身損害賠償解釋的情況下, 醫師未必會因害怕出差錯•承擔較高的賠償責任而該治的不敢治, 該救的不敢救, 該冒的險不敢冒。因為在許多場合, 采取這種消極回避態度反而會導致醫療不作為或不完全作為所構成的侵權。不僅如此, 因為這種消極態度可能具有放任的性質, 因而在其導致的侵權的違法性程度上也許比工作馬虎或醫術不良所引起的延誤診療致人損害的侵權更為嚴重。② 醫療的宗旨是治病救人, 因而是不考慮風險違規亂干不行, 顧忌風險違規不干也不行的典型行業。醫師必須遵循診療規范,充分履行注意義務,盡善管理。③ 限制或降低賠償標準, 就算可能有調動醫師積極性減少消極行醫的效果, 也免不了產生降低醫師的責任感, 縱容違規亂干的嚴重副作用。④ 按照風險論的邏輯, 條例規定的賠償制度還不如辦法規定的一次性經濟補償制度; 對廣大患者而言, 他們的生命健康利益獲得醫療保障的程度在條例時代反而會降低, 因為醫務人員的救死扶傷的積極性由于條例( 較之辦法)加重醫療事故賠償責任而降低了。
2. 即使我國醫療行業具有公共福利性質, 以此為據限制賠償也是根本沒有說服力的。
答記者問沒有(衛生部匯報也沒有)具體說明我國醫療行業的公共福利性有何含意, 更未具體說明醫療行業的公共福利性與條例的限制賠償政策之間有何關系。筆者在此參考有關的政策法規文件和一些文章中的議論[50], 分別對這兩個問題的內容作出以下的推測。
(1) 我國醫療行業的公共福利性主要表現在以下幾個方面。① 在我國醫療服務體系中占主導地位的公立醫療機構,是非營利性醫療機構,是公益事業單位,它們所提供的醫療服務對患者而言, 具有一定的福利性質。② 政府對公共醫療事業的財政投入將隨著經濟的發展逐年增加。政府的財政投入為公共醫療事業的發展和醫療技術的進步, 從而為廣大患者能夠享受到更好的醫療服務創造了一定的物質條件。政府對非營利性醫療機構實行稅收優惠和合理補助的政策,為這些機構的福利性醫療服務提供了一定的支持。③ 政府為了增進廣大人民群眾的醫療福利, 減輕患者個人的醫療費用負擔, 在城鎮為職工建立作為社會保障的基本醫療保險制度, 在農村推行和資助合作醫療制度, 邦助越來越多的農村居民在當地也能得到基本的醫療服務。④ 政府考慮到廣大人民群眾的負擔能力, 對醫藥品市場價格和非營利性醫療機構的醫療服務價格進行適當的控制。
(2) 醫療行業具有公共福利性這一事實, 決定了因醫療事故而發生的醫患之間的法律關系具有以下的特點。① 它是在非自愿( 公共醫療服務的提供者在法律上有義務向需要的患者提供醫療服務, 無正當理由不得拒絕)的并且是非完全等價( 公共醫療服務的提供不以完全的等價有償為原則 ) 的基礎上進行利益交換( 患者仍需支付一定的醫療費用) 的當事者之間發生的賠償關系, 不同于在完全自愿•等價有償的基礎上進行利益交換的當事人即通常的民事活動當事人之間發生的賠償關系。② 它是提供醫療服務利益的醫療機構和接受醫療服務利益的患者之間因前者的利益提供行為發生錯誤導致后者受到損失而引起的賠償關系, 換言之, 是好心人辦錯事引起的賠償關系, 不同于通常的侵犯他人合法權利所引起的賠償關系。③ 它在事實上又是以作為公共醫療的投資者的政府為第三人( 賠償問題不僅可能影響到政府投資的效益,而且可能使政府投資本身受到損失)同時以利用該醫療機構的廣大患者為第三人( 賠償問題可能影響到該醫療機構的服務能力,從而影響到利用該醫療機構的廣大患者的利益)的賠償關系, 不同于僅僅涉及當事者雙方利益或至多涉及特定私人第三者利益的賠償關系。
(3) 正是因為醫療行業具有公共福利性這一事實決定了因醫療事故而引起的醫患之間的賠償關系具有不同于通常的債務不履行或通常的侵權所引起的賠償關系的特征, 所以條例起草者才將該事實作為調整這種賠償關系的特殊政策的依據之一。如果不考慮醫療行業的公共福利性, 如果不以該事實為依據制定特殊的賠償政策, 而是完全根據或照搬民法通則所體現的實際賠償原則, 那么, 醫療事故賠償的結果, 不僅對于賠償義務人醫療機構可能是不公正或不公平的, 而且會使國家利益和廣大患者群眾的利益受到不應有的損害。
筆者認為, 上述見解(假定確實存在), 根本不能說明條例限制賠償政策的合理性。
(1) 答記者問在論證限制賠償政策具有合理性時, 只提“我國醫療行業具有公共福利性”這一“事實”,不提我國的醫療行業和醫療服務在相當范圍和相當程度上已經市場化和商品化, 我國的絕大多數公民還得不到醫療費負擔方面的最基本的社會保障這兩個有目共睹的現實。這種論法很難說是實事求是的。“我國醫療行業具有公共福利性”這一事實認定,本身就是非常片面的; 這一“事實”作為答記者問所支持的條例限制賠償政策的前提之一, 本身就是在很大程度上難以成立的。
① 眾所周知, 在條例起草和出臺之時, 更不用說在答記者問發表之時, 我國的醫療行業已經在相當范圍內和相當程度上實現了市場化。第一, 從我國醫療行業的主體來看, 被官方文件定性為“非營利性公益事業”[51] 單位的公立醫療機構,在我國醫療服務體系中確實依然占據主導地位,它們所提供的基本醫療服務項目, 據說因其價格受到政府的控制, 所以對接受該服務的患者而言,具有一定程度的福利性。但是,在我國的醫療行業, 非公立的完全營利性的醫療機構早已出現, 其數量以及其提供的醫療服務所占有的市場分額均有明顯的增長趨勢; 民間資本或外資與公立醫療機構的各種形式的合資經營也已經成為常見的現象。它們擴大了完全商品化的醫療服務市場。由于它們所提供的醫療服務, 在價格上是放開的, 所以對接受其服務的患者而言, 沒有福利性 ( 除非將來有一天把這類醫療服務也納入作為社會保障的醫療保險的范圍)。此外, 只有非營利性公立醫療機構才是中央或地方財政投入及有關的財稅優惠政策的實施對象。營利性醫療機構當然是自籌資金、完全自負盈虧的企業[52] 。第二, 從公立醫療機構提供的醫療服務的價格來看, 首先, 公立醫療機構配售給患者的藥品和消耗性材料的價格往往高于或明顯高于市場零售價(換言之,實際上往往高于或明顯高于醫院采購成本和管理成本的總和), 具有明顯的營利性(據說其目的在于“以藥養醫”); 盡管醫療機構所采購的一定范圍的藥品的市場價格受到政府價格政策的控制(以政府定價或政府指導價的方式), 但這種控制是為了保證基本醫藥商品的質價相符, 防止生產或銷售企業設定虛高價格 (明顯高于生產經營成本和合理利潤的總和的價格即暴利價格) 謀取不適當的高額利潤[53]。因此這種政府控制價格與計劃經濟時代的計劃價格有本質的不同, 并非像有些人所說的那樣是低于市場價格的價格即所謂“低價”, 而是比較合理的市場價格。所以, 這種價格控制, 雖然有利于消費者或患者正當利益的保障, 但并沒有任何意義上的福利性。其次, 基本診療服務項目( 比如普通門診和急診; 一定范圍的檢驗和手術; 普通病房等一定范圍的醫療設施及設備的利用)的價格, 雖然在一定程度上受到政府價格政策的控制, 因而也許可以被認為具有一定程度的福利性, 但具有明顯的收益性或營利性( 即所謂創收 )的醫保對象外的五花八門的高收費醫療服務( 比如高級專家門診、特約診療卡服務、特需病房、外賓病房等)在較高等級的許多公立醫療機構(尤其是三級甲等醫院)中早已出現并有擴大的趨勢。此外, 在許多醫療機構中, 原本屬于護理業務范圍內的一部分工作也已經由完全按市場價格向患者收費的護工服務所替代。所以, 被官方定性為非營利性公益事業單位的公立醫療機構,在事實上正在愈益廣泛地向患者提供沒有福利性的甚至完全收益性或營利性的醫療服務。
② 從患者負擔醫療費用的情況來看,第一, 加入了基本醫保的患者,一般除了必須自付一定比例的醫療費用外,還須支付超出其醫保限額的醫療費用。他們選擇醫保定點醫療機構所提供的醫保對象外的醫療服務,或選擇定點醫保醫療機構以外的醫療機構(包括營利性醫療機構)所提供的醫療服務,因而完全自付醫療費的情況并不少見。同樣是享受醫保的患者,其享受醫保的程度即自付醫療費占實際醫療費的比例可能不同; 符合特殊條件的一小部分患者,則可能基本上或完全免付遠遠大于一般醫保患者所能免付的范圍的醫療費[54]。第二, 更為重要的事實是, 我國所建立的社會基本醫保制度,不是以全體居民為對象的醫療保險制度(比如日本的國民健康保險制度),而是僅僅以城鎮的職工(城鎮中的所有用人單位的職工)本人為對象的醫保制度[55],加入者的人數至今還不滿我國總人口的十分之一[56]。換言之, 我國城鎮的相當數量的居民和農村的所有居民是不能享受基本醫保的(即完全自費的或幾乎完全自費的)社會群體(除非加入了商業醫保,但商業醫保不具有福利性)。政府雖然已決定在農村建立由農民個人繳費•集體扶持•政府資助的合作醫療制度,但由于種種原因,且不說這一制度才剛剛開始進行個別的試點(更不用說在一些貧困地區,甚至連最基本的醫療服務設施也不存在),就是全面鋪開,它為廣大農村居民所可能提供的醫療保障的程度也是極其微薄的[57]。要言之, 答記者問和衛生部匯報所強調的醫療行業的公共福利性,對于我國的絕大多數居民來說, 即使在某種意義上(比如公立醫療機構的部分診療服務的價格受到政府的控制)也許可以被理解為存在,也只是非常有限的,微不足道的。
筆者之所以強調上述兩個方面的事實, 并非為了批評現行的醫療福利政策, 而僅僅是為了指出以下兩個多樣性的存在。第一個多樣性是醫療行業或醫療服務與醫療福利的關系的多樣性。醫療行業既存在福利因素又存在非福利因素, 既存在公益因素又存在營利因素; 有的醫療服務具有福利性,有的醫療服務則沒有福利性; 有的醫療服務具有較高程度的福利性, 有的醫療服務只有較低程度的福利性。第二個多樣性是患者與醫療福利政策的關系的多樣性。有的患者能夠享受較多的醫療福利, 有的患者則只能享受較少的醫療福利, 有的患者則完全不能享受醫療福利; 能夠享受醫療福利的患者既有可能選擇具有福利性的醫療服務, 也有可能選擇沒有福利性的醫療服務; 享受基本醫保的不同患者所享受的醫保利益又可能存在種種差別甚至是巨大的差別。據此, 我們應當承認, 支持醫療事故賠償限制政策的公共福利論無視這兩個方面的多樣性, 嚴重脫離了現實, 因而沒有充分的說服力。
(2) 即使醫療行業所具有的公共福利性能夠成為限制福利性醫療服務享受者的醫療事故賠償請求權的正當理由之一, 現行條例關于醫療事故賠償的規定, 由于沒有反映以上筆者所指出的患者與醫療福利政策的關系的多樣性這一有目共睹的客觀事實, 所以它不僅違反了條例起草者衛生部所主張的公共福利論的邏輯, 而且從公共福利論的觀點看, 它又是顯失公正和公平的。
① 根據公共福利論的邏輯, 條例原本應當將患者所接受的引起醫療事故的醫療服務與醫療福利的關系(即是否具有福利性, 具有多少程度的福利性)作為確定醫療事故的具體賠償數額的考慮因素之一, 原本應當采取賠償數額與自費程度成正比•與福利程度成反比的原則,使得自費程度較低的被害人較之自費程度較高的被害人,部分自費的被害人較之完全自費的被害人,在其他條件同等的情況下,獲得較低比例的賠償數額。換言之, 使后者能夠獲得較高比例的賠償數額。令人感到難以理解的是,條例竟然沒有作出這樣的規定(條例僅將醫療事故等級、醫療過失行為在醫療事故損害后果中的責任程度、醫療事故損害后果與患者原有疾病狀況之間的關系作為確定具體賠償金額時應當考慮的因素(第49條第1款))。
② 公正性是良好的法律制度的基本標準之一。如果答記者問和衛生部匯報所主張的公共福利論, 從所謂“患者能夠獲得的賠償數額與該患者自付的醫療費用應當實現某種程度的等價性”的觀點看, 確實還帶有那么點“公正性或公平性”的意味的話, 那么, 衛生部在以我國醫療具有公共福利性為事實根據之一設計醫療事故的賠償制度時, 就應當充分注意患者與醫療服務福利性的關系的多樣性, 所設計的賠償制度就應當能夠保證各個醫療事故的被害患者都有可能按照所謂“等價性”原則獲得相應數額的賠償。很可惜, 現行條例的賠償規定在這個問題上犯了嚴重的一刀切的錯誤。說的極端一點, 它使得醫療費用自付率百分之百的患者, 在其他條件相同的情況下, 只能獲得醫療費用自付率幾乎接近于零的患者所能夠獲得的賠償數額。
③ 從立法技術論上看, 衛生部的失誤在于, 她將醫療服務的福利性這個因案而異•極具多樣化和個別化的事實,因而只能在各個案件的處理或裁判時才可能確定的事實,當作她在制定統一適用的賠償標準時所依據的事實即所謂“立法事實”(具有一般性或唯一性并且在立法之時能夠確定或預見的事實)。衛生部顯然沒有分清什么樣的事實屬于立法事實,可以被選擇作為立法的依據, 什么樣的事實不屬于立法事實, 因而不應當被作為立法的依據,只能被選擇作為法的實施機關在將法規范適用于特定案件時認定或考慮的事實。混淆二者,是立法上的大忌。如果將后者作為前者加以利用而不是作為一個因素或情節指示法的實施機關在處理具體案件時加以認定或考慮, 那么,制定出來的法就不僅會因其事實根據的不可靠而可能成為脫離實際的有片面性的法, 而且在其適用中可能成為不公正的法。如前所述,為了避免條例制定的賠償標準在適用中引起明顯的不公正后果, 衛生部原本(如果她認為在政策上確實有此必要的話)應當將涉及福利性的問題作為醫療事故處理機關在具體確定賠償數額時應當考慮的因素之一,同醫療事故等級等因素一起,在條例第49條第1款中加以規定。
(3) 即使我國醫療行業具有相當高度的、相當廣泛的、對不同的患者而言相當均等的福利性( 比如達到了日本或一些歐州國家的程度), 以其為據限制醫療事故賠償也是沒有說服力的。
① 生命健康權是人的最基本的權利, 理所當然地受到現行憲法和一系列相關法律的保護。充分保障這一權利, 建立具有適當程度的公共福利性的醫療制度和社會保障制度, 使每一位居民, 不論其經濟能力如何, 都能得到相當質量的必要的醫療服務, 是政府在憲法上的責任。我國醫療行業保留一定范圍和一定程度的公共福利性,政府從財政上給予醫療事業必要的支持, 應當被理解為是人民權利的要求, 是政府對其憲法責任的履行, 而不應當被看成是政府對人民的恩惠。財政對醫療事業的投入, 并非來自政府自己的腰包, 而是人民自己創造的財富。在筆者看來, 以醫療行業的公共福利性為理由的醫療事故賠償限制論, 似乎缺少人民的憲法權利和政府的憲法義務這一基本的憲法意識, 自覺或不自覺地把醫療行業的公共福利性看成是政府通過醫療機構的服務對百姓患者實施的恩惠。
② 如果說社會福利在有些資本主義國家(比如美國)的一個時期內, 曾被僅僅視為國家對社會的弱勢群體的特殊照顧或恩惠(不是被視為福利享受者的法律上的權利)的話, 那么就應當說在社會主義國家,它當然應當被首先理解為國家性質的必然要求。我國只要還堅持宣告自己是社會主義性質的國家, 就必須堅持這種理解。以醫療行業的公共福利性為理由的醫療事故賠償限制論, 似乎缺少鮮明的社會主義觀念, 自覺或不自覺地把醫療福利僅僅理解為政府所采取的一種愛民利民政策。
③ 任何社會福利政策,只有獲得了完全意義上的法律保障才可能真正為人民帶來切實可靠的福利。筆者在此所說的完全意義上的法律保障是指,不僅福利的提供要有法律保障, 而且在福利的享受者因福利的具體提供者的過錯而受到損害的情況下也要有充分的法律救濟的保障。 否則, 提供福利的法律保障就失去了充分的現實意義, 人民享受的福利就只能是殘缺不全的福利。以醫療行業的公共福利性為理由的醫療事故賠償限制論, 似乎缺少全面法律保障的觀點, 它弱化了法律救濟的機能, 使本來就程度很低•范圍很窄的醫療福利退化為殘缺不全的福利。
安全審計的類型范文第2篇
關鍵詞:計算機;網絡安全;安全審計系統;設計;應用
0 引言
自人類發明第一臺計算機以來,計算機技術以飛快的速度發展,并在短時間內在各行各業中得到普及。計算機技術的普及,在很大程度上推動了人類文明前進的步伐。計算機網絡已經成為我們生活不可或缺的工具之一,正因為計算機網絡的存在,使得我們生活更加方便快捷。但是計算機網絡是一把雙刃劍,它在給我們生活帶來巨大便利的同時,也給我們的信息安全構成了巨大威脅。正因為這些威脅的存在,使得人們對網絡安全審計系統的正常功能產生了質疑。針對這種情況,本文在闡述網絡安全審計系統特點及功能的基礎上,對網絡安全審計系統的設計進行了研究。希望本文的提出,能為提高網絡安全管理提供強有力的參考依據。
1 安全審計系統的功能應用研究
1.1 系統的實際應用情況
一般來講,只要安全審計系統投入使用,該系統便能非常準確的、全面的將用戶在網上的各項操作以及數據庫服務器的運行狀況記錄下來。如果出現以下類型事件如企業員工利用電子郵箱或網絡共享的方式進行文件傳遞時,遇到文件信息泄露情況;企業員工借助論壇平臺,發表一些對社會可能造成不良影響的言論時;網絡維護人員在對計算機網絡進行維護的過程中,使用違規炒作對系統數據庫進行操作,致使業務系統的安全性得不到有效維護。只要出現上述類型的事件,安全審計系統都能實行快速定位功能,找出事件的主要負責人,從而為網絡違規事件的處理善后工作提供便利條件。除此之外,網絡安全審計系統還能實時掌控網絡的運行狀況,防止那些重要的機密性信息的泄漏,通過對內部網絡數據信息進行實時的監控,以智能化的手段對信息進行分析、預估及檢測,準確定位那些可能影響系統安全運行的因素,為營造一個更加健康、更加和諧、更加穩定的網絡信息環境提供保障。
1.2 安全審計系統的運行方式及部署
不可否認,安全審計系統主要致力于審計網絡安全行為,因此,旁路無疑是一種非常可行的部署策略。通常來講,安全審計系統都必須具備一定數量的以太網接口,而且網絡傳輸速度應保證大于200Mbps,其中一個以太網接口用作設備控管,其它的以太網接口用作數據收集、分析、處理、回收接口。就目前來講,應用最普遍的以太網接口主要有兩個,它們分別用于接入局域網服務器的交換機及關鍵部位的交換機中。通過局域網服務器的操作行為以及審計數據庫的運行狀況,對互聯網用戶的上網信息進行實時審計。通常來講,安全審計系統的指揮中心都設置在同一臺服務器上,它的主要功能是對安全審計系統的日志進行接收及存放。
2 網絡安全審計系統的設計
本文在CC標準體系的指導下,設計了一套較為完整的網絡安全審計系統,該系統具有多層次的結構特點,現將系統結構及設計方案分析如下。
2.1 系統結構
在某種程度上可以將網絡安全審計系統看作是一種多層次上的審計,它既能滿足低層次網絡通信的審計要求,又能滿足高層次網絡應用服務的審計要求。因此,網絡安全審計系統的目標是實現多層次的審計,其結構圖如圖1所示。
不同層次的審計結構完成不同層次的審計要求,對于那些數量較多且比較分散的大規模網絡,整個網絡系統都應覆蓋安全審計系統,即實現安全審計系統的全方位審計,只有這樣,才能保證網絡的整體安全性。從這方面來講,網絡安全審計系統是一種全面審計的系統。
通過在網絡上建立一支有效的“巡警隊伍”,該“巡警隊伍”能夠對整個網絡系統進行審計。網絡安全審計系統主要由網絡審計設備、網絡審計軟件以及網絡審計中心三部分構成。網絡審計設備的主要作用是將網絡上傳送的信息進行還原,并分析其入侵性,即所謂的低層次審計環節,網絡審計設備能以旁路的方式接入系統中;網絡審計軟件則以嵌入的方式計入主機操作系統中,它的主要功能是收集異常事件,完成中層審計環節,此外網絡審計軟件還配備高層應用接口,因此具備一定的高層審計功能;網絡審計設備及軟件通常安置在所需監視網絡的關鍵節點上,起到數據信息接收及發送的作用。網絡審計中心則能夠分析處理數據,起到控制管理網絡審計設備、軟件的作用。
2.2 功能的設計
網絡安全設計系統主要由探測器及審計主機構成,首先,它既不用作網絡串聯設備;其次,它也不影響網絡結構構成;最后,它不會妨礙業務的正常運行。本文以下內容就對網絡安全審計系統的設計問題進行分析。
2.2.1 數據庫管理及審計模塊
在該模塊中,通過對數據庫的關鍵性操作行為進行審計,現對信息系統中每一位用戶的訪問狀況進行跟蹤、分析,對這些用戶的登陸及退出操作進行審計,從而實現準確回顧SQL語句的作用,從根本上保證數據庫運行狀況的安全可靠性。
2.2.2 主機審計模塊
主機審計模塊主要用戶對關鍵區域內的客戶機進行審計訪問,它的主要工作內容是設定必要的計算機終端訪問權限,提高終端訪問門檻。此外,該模塊還會對那些安全系數較低的軟件進行審計,為配置審計對策以及網絡的安全運行提供保障。
2.2.3 網絡審計模板
該模板能夠起到加強系統的控制及審計能力,在強化系統信息控制管理方面發揮著重要作用。網絡審計模板的正常運行,能夠有效地防止非法內外連接現象,實現對網絡信息的實時監控,通過采取雄厚的技術力量防止信息泄露事故的出現。
2.2.4 運行維護審計模板
運行維護審計模板的主要作用是對第三方的運行維護員工進行監控,它的工作重點在于對系統各項操作行為進行科學細膩的審計。另外,針對于所有遠程訪問設備的會話連接,從而實現同步過程監控的目標,在系統監控畫面上,系統運行維護員工執行的每一項操作都會清楚的顯示出來。系統管理員能夠根據系統實際情況,及時阻斷那些違反操作規定的操作會話,并把訪問者以及被訪問人員的訪問時間段以及與之相對應的 IP/MAC 地址記錄下來。
3 結束語
安全問題隨著計算機的問世而隨著產生,尤其是在網絡盛行的今天,許多部門及企業更是將網絡安全問題提到了議事日程。因此,構建一個科學合理的計算機網絡安全審計系統,對于銀行、大型企業、證券公司以及科研院校等對網絡安全有較高要求的地方顯得尤為重要。本文在闡述網絡安全審計系統功能應用的基礎上,設計出了一套較為完整的網絡安全審計系統。實踐證明,該系統能夠對網絡運行狀態進行實時監視,極大地提高了計算機網絡的安全防范能力。但是需要指出的是,由于筆者水平有限,希望本文能夠起到拋磚引玉的作用,相關研究人員繼續深化這方面的研究,為設計出更加高效的網絡安全審計系統而不懈努力[4]。
參考文獻
[1] 吳承榮,謬健,張世永. 網絡安全審計系統的設計和實現[J].計算機工程,1999, (25):171-174.
[2] 石 彪, 胡華平,劉利枚. 網絡環境下的日志監控與安全審計系統設計與實現[J].福建電腦,2004,(12):43-44.
安全審計的類型范文第3篇
【關鍵詞】網絡安全 審計 態勢預測
目前網絡已經在各行業中被廣泛地普及,人們對網絡的依賴日益增加。然而網絡攻擊事件卻也是愈發頻繁。面對大量的病毒入侵,傳統的防火墻、入侵檢測等技術逐漸呈現出疲態,已滿足不了現階段的網絡安全防御需求。
1 網絡安全審計技術
1.1 網絡安全審計系統的問題
1.1.1 日志格式無法兼容
不同廠商的系統產生的日志格式一般是無法兼容的,這就對集中網絡安全事件進行分析,增加了難度。
1.1.2 日志數據管理困難
日志的數據會隨著時間不斷地增加,但日志容量有限,一旦超出容量,數據不能輕易地處理掉。
1.1.3 日志數據集中分析困難
如果攻擊者針對多個網絡進行攻擊,由于日志不能兼容,就只能單個進行分析,這樣不僅工作量大,而且很難發現攻擊者的蹤跡。
1.1.4 缺少數據分析和統計報表自動生成機制
日志數據每天都會有所增加,工作內容過多,管理者就只能一個個查看下去,所以數據分析和統計報表的自動生成機制是必要的,能夠最大程度減少管理者的工作量。
1.2 網絡安全審計系統的主要功能
1.2.1 采集日志數據類型多樣化
如入侵檢測日志、防火墻系統日志、操作系統日志、應用和服務系統日志等。
1.2.2 多種日志統一管理
便于將采集的各種復雜的日志格式轉化為統一日志格式,實現多種日志信息的統一管理目標。
1.2.3 日志查詢
可以支持大部分查詢方式對網絡的日志記錄信息進行查詢,并將信息以報表的形式顯示。
1.2.4 入侵檢測
利用多種相關規則對網絡產生的日志和報警信息進行分析,能夠有效地檢測出較為隱蔽的安全事件。
1.2.5 集中管理
審計系統建立統一的集中管理平臺,將日志數據庫、日志、安全審計中心集中起來進行管理。
1.2.6 安全事件響應機制
根據事件類型,可以選擇相應的報警響應方式。
1.2.7 實時監控網絡動態
對有的特定設備可以實施監控到日志內容、網絡行為等。
1.2.8 安全分析報告自動生成
通過分析數據庫中的日志數據、網絡安全性,自動輸出分析報告。
2 網絡安全態勢預測技術
2.1 網絡安全態勢預測技術的作用
大數據時代互聯網可以利用光纖、無線網絡接入終端、服務器設備,實現信息化系統共享數據、傳輸的目的。但隨著科技不斷發展,網絡面臨的攻擊力度和方式愈發強了,以致網絡隨時面臨著病毒的侵入。然而網絡安全事件發生動態不明,所以需要采用態勢預測措施,其通過分析過去以及現在網絡安全事件的走勢,預測未來網絡安全事件的走勢,以此協助安全管理人員作出正確的判斷。目前,態勢預測技術屬于網絡安全防御手段中最有效的技術之一,其采用了先進的分析技術,能夠隨時對不確定的信息進行統計,建立科學、高效的網絡安全態勢預測趨勢圖,進而彰顯安全態勢預測的實用性。
2.2 網絡安全態勢預測技術的研究
態勢預測技術的效果獲得了國內外許多學者的認可,目前已經在很多領域中廣泛的應用和研究,從而延伸出許多態勢預測技術,其中最為關鍵的技術有自回歸移動平均模型、神經網絡預測模型。
2.2.1 自回歸移動平均模型
自回歸移動平均模型體現方式是非常常用的隨機序列構建而成的模型,其建模過程包括序列檢驗、序列處理、模型識別、參數估計以及模型檢驗。識別序列中存在的相關性以及只通過數學模型詳細記錄序列的連續性是自回歸移動平均模型的主要目標。在執行自回歸移動平均模型中,序列檢驗主要針對數據的隨機性和平穩性進行檢測;序列處理通常采用差分運算法、函數變換方法、周期差分法等對序列進行處理;常用的參數估計方法有矩估計、最小二乘估計等;模型檢驗的目的是為了檢驗參數的序列類型,若是屬于白噪聲序列,則可以通過檢驗。自回歸移動平均模型在應用過程中,需要存在態勢序列滿足平穩性假設的條件,但要完成這個條件極為困難,所以限制了該模型的使用范圍。
2.2.2 神經網絡預測模型
神經網絡采用學習算法模仿正常的網絡數據行為,能夠利用模仿數據提取查詢相關正常數據,并儲存在網絡數據庫里,方便識別不正常的數據行為,所以神經網絡預測模型是一種網絡安全態勢預測算法,且非常具有有效性。神經網絡能夠訓練數據學習的自主性、自適應性,且能夠區分正常數據以及掌握最流行的網絡攻擊行為特征,進而掌握正常的安全事件行為模式。完成訓練后,神經網絡可以對網絡事件行為特征進行分析和識別,并記錄行為特征的變化,從而檢驗出可能存在的異常行為。由此可見,神經網絡可以在訓練時通過調整神經網絡參數權值實現分布式存儲、并行處理和容錯的能力,其還具有較強的適應能力和非常強的抗干擾能力。神經網絡在網絡安全審計系統應用過程中,存在一些問題,如樣本數據獲取困難、檢驗精度對神經網絡訓練次數的依賴性強等。
3 結語
態勢預測技術作為新興的網絡安全防御技術,可以通過分析過去以及現在安全事件走勢,進而預測未來一定時期網絡安全事件的走勢。而安全審計系統雖然存在一些需要考慮的問題,但其具有很好的兼容性,能與其他防御系統聯合運用,以此配合態勢預測技術,必定能夠協助安全管理員解決問題,從而降低網絡攻擊次數。
參考文獻
[1]薛麗敏,李忠,藍灣灣.基于在線學習RBFNN的網絡安全態勢預測技術研究[J].信息網絡安全,2016(04):23-30.
[2]鄭士芹.大數據時代網絡安全態勢預測關鍵技術探討[J].黑龍江科技信息,2015(32):204.
作者簡介
黃瑜帥(1982-),男,廣東省惠州市人。碩士研究生學歷。現供職于惠州市公安局網絡警察支隊(惠州市電子數據檢驗鑒定中心)。
安全審計的類型范文第4篇
網絡現在已經廣泛運用于人類生活和工作的各個方面,因此也受到了學校的關注。校園網絡管理者一直都關注著學校中的網絡,因為在校園中的使用網絡的用戶比較多,其規模也相當大,所以管理起來就非常困難。筆者從網絡安全審計的角度入手,對目前大部分學校網絡的安全現狀進行了分析,然后對校園網絡安全審計的具體應用作了闡述,隨后總結出網絡安全審計在校園網安全管理中的作用
關鍵詞:
校園網;安全管理;網絡安全審計
在計算機與網絡迅速發展的當代,互聯網已經為人類做出了不可小覷的貢獻,尤其是在教學方面,教師已經習慣運用信息化手段來教學,但是就在互聯網盛行的時代,出現了很多負面的非法信息,這使學生的人生觀以及價值觀都受到了影響,更有甚者非法站點介入了校園內部的網站,竊取了某些信息,將其泄漏出去,使學生的學習以及教師的工作受到了嚴重的影響。由此看來,規范校園網絡使用行為,保證校園網絡能夠健康、穩定地運行是目前我國大多數學校應該重視的問題。
1校園網網絡管理現狀
從我國大部分校園網絡使用情況來看,校園網絡中出現了以下幾種狀況:(1)首先校園內部網絡使用者沒有經過嚴格的用前培訓,因此有很多校園內部使用者都會對校園網絡產生供給威脅;(2)校園外部互聯網接入內部,校園內部網絡出現了很多的病毒,同時也受到了攻擊性的威脅;(3)很多來自外部的移動終端以及計算機帶來了很大的隱患;(4)網絡上不良信息以及垃圾郵件對校園網絡產生的威脅。
2校園網網絡安全審計的功能及內容
2.1網絡安全審計其指的是依照制定的策略,使用審計工具,來對用戶以及系統活動進行記錄,并分析數據等,以此來審查網絡的安全,避免出現一些人為錯誤,這樣就能夠掌握系統是否有漏洞,對資源進行科學、合理地調配,保證系統能夠健康、穩定地運行。
2.2網絡安全審計的要點在管理校園網的過程中,對網絡的審計內容主要包括以下這么幾點:
2.2.1實時審計也就是說對正在發生的網絡行為進行監督,爭取能夠在第一時間內將非法操作以及不良網站進行封堵,或者報警,監督的內容不僅包括上網時間、下載文件的類型,還有上網流量等。
2.2.2日志審計將網絡運行的日志記錄下來,全面管理操作系統的運行日志和數據訪問日志,并對其進行分析和處理。
2.2.3內容審計此審計也可以在實時審計以及日志審計當中使用,審計聊天、發帖以及電子郵件中的信息。實時審計主要是對信息的出入口進行嚴密的監測,分析和對比信息中的關鍵字,對非法文字或者敏感字段進行報警,在這些工作進行的過程中,將整個過程記錄在日志當中,以此作為審查的原始材料。
2.2.4實時跟蹤這是對那些進發生并且有追溯、挽回可能的活動信息進行實時跟蹤,將之后的活動信息記錄下來,以便追溯非法行為或者犯罪行為。
3網絡安全審計在校園網安全管理中的作用
網絡安全管理中最為重要的一部分就是網絡安全審計,這可以幫助校園維護網絡安全穩定運行,師生上網行為得以規范等工作更加順利地進行。
(1)網絡安全審計在過濾URL地址等關鍵字之后,既能阻止不良網站中的不良信息接入校園網絡,與此同時能夠使網絡得以很大程度的保護,保護其不受外來網絡中病毒的侵害,使系統中最基本的安全能夠達到相應的標準。除此之外,因為日志審計能夠保存系統運行過程當中的相關信息和日志,因此就能夠在事后進行查詢,將內部攻擊的可能性降到最低,并且能夠使潛在的隱患得以震懾。
(2)實時審計能夠有效規范校內師生上網過程中的審計內容,監督并阻止教職工利用職務之便或者上班時間濫用網絡資源,阻止學生不規范上網的行為,將校園網的有效資源的價值發揮到最大限度。
(3)內容審計能夠將關鍵詞與敏感詞有效地阻止在外,避免了垃圾郵件,以及不良信息在校園網絡中擴散,這樣一來就能夠對校園網絡中的犯罪行為實施有效監控,使學校的名譽不被破壞。
(4)系統分析哪些有價值的日志信息,能夠使系統管理員及時發現并修復系統中隱藏的漏洞,除此之外,系統運行統計日志能夠將系統性能中存在的問題反應出來,使系統管理員有了觀察、處理網絡系統的工具。如此一來,對網絡性能實施及時調整,為關鍵應用提供充足的資源,還能使系統管理員具有針對性地進行系統維護,這對提高工作效率有很大的幫助。
(5)有效追查已經發生,但還有可能挽回的行為,不僅能夠追溯違法犯罪的行為,還能夠追溯系統性能的好與壞,這對追查已發生行為具有非常重要的意義。
4結語
近年來,互聯網的飛度發展,使校園有了更加豐富的教學資源,給教師帶來了便利的辦公方式和多種多樣的教學手段,讓學生們的課余生活更加精彩,但是卻也給校園網絡帶來了很大隱患。因為校園網用戶多、規模大、使用者的活躍度較高等特點,所以非常難管理,但是因為其涉及到教師與學生的日常工作與學習中,所以對其進行嚴格管理也是極其重要的一項工作。使用校園網絡安全系統,能夠使網絡監控效率得以提高,所以說在學校具體的使用中,應該根據校園網的實際情況,對其設計科學的審計計策,讓審計內容變得多樣化,爭取使校園網的有效資源的價值發揮到最大限度。
參考文獻
[1]楊克領.IDS技術及其在校園安全管理中的應用[J].商丘師范學院學報,2014(09).
[2]汪楊,王艷瑋.ISO/IEC17799在校園網信息安全管理中的應用[J].科學與管理,2010(05).
安全審計的類型范文第5篇
1利用網絡及安全管理的漏洞窺探用戶口令或電子帳號,冒充合法用戶作案,篡改磁性介質記錄竊取資產。
2利用網絡遠距離竊取企業的商業秘密以換取錢財,或利用網絡傳播計算機病毒以破壞企業的信息系統。
3建立在計算機網絡基礎上的電子商貿使貿易趨向“無紙化”,越來越多的經濟業務的原始記錄以電子憑證的方式
存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結算單及其它帳單,就有可能將公私財產的所有權進行轉移。
計算機網絡帶來會計系統的開放與數據共享,而開放與共享的基礎則是安全。企業一方面通過網絡開放自己,向全世界推銷自己的形象和產品,實現電子貿易、電子信息交換,但也需要守住自己的商業秘密、管理秘密和財務秘密,而其中已實現了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創造一個安全的環境,抵抗來自系統內外的各種干擾和威協,做到該開放的放開共享,該封閉的要讓黑客無奈。
一、網絡安全審計及基本要素
安全審計是一個新概念,它指由專業審計人員根據有關的法律法規、財產所有者的委托和管理當局的授權,對計算機網絡環境下的有關活動或行為進行系統的、獨立的檢查驗證,并作出相應評價。
沒有網絡安全,就沒有網絡世界。任何一個建立網絡環境計算機會計系統的機構,都會對系統的安全提出要求,在運行和維護中也都會從自己的角度對安全作出安排。那么系統是否安全了呢?這是一般人心中無數也最不放心的問題。應該肯定,一個系統運行的安全與否,不能單從雙方當事人的判斷作出結論,而必須由第三方的專業審計人員通過審計作出評價。因為安全審計人員不但具有專門的安全知識,而且具有豐富的安全審計經驗,只有他們才能作出客觀、公正、公平和中立的評價。
安全審計涉及四個基本要素:控制目標、安全漏洞、控制措施和控制測試。其中,控制目標是指企業根據具體的計算機應用,結合單位實際制定出的安全控制要求。安全漏洞是指系統的安全薄弱環節,容易擾或破壞的地方。控制措施是指企業為實現其安全控制目標所制定的安全控制技術、配置方法及各種規范制度。控制測試是將企業的各種安全控制措施與預定的安全標準進行一致性比較,確定各項控制措施是否存在、是否得到執行、對漏洞的防范是否有效,評價企業安全措施的可依賴程度。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業技術知識與技能。
安全審計是審計的一個組成部分。由于計算機網絡環境的安全將不僅涉及國家安危,更涉及到企業的經濟利益。因此,我們認為必須迅速建立起國家、社會、企業三位一體的安全審計體系。其中,國家安全審計機關應依據國家法律,特別是針對計算機網絡本身的各種安全技術要求,對廣域網上企業的信息安全實施年審制。另外,應該發展社會中介機構,對計算機網絡環境的安全提供審計服務,它與會計師事務所、律師事務所一樣,是社會對企業的計算機網絡系統的安全作出評價的機構。當企業管理當局權衡網絡系統所帶來的潛在損失時,他們需要通過中介機構對安全性作出檢查和評價。此外財政、財務審計也離不開網絡安全專家,他們對網絡的安全控制作出評價,幫助注冊會計師對相應的信息處理系統所披露信息的真實性、可靠性作出正確判斷。
二、網絡安全審計的程序
安全審計程序是安全監督活動的具體規程,它規定安全審計工作的具體內容、時間安排、具體的審計方法和手段。與其它審計一樣,安全審計主要包括三個階段:審計準備階段、實施階段以及終結階段。
安全審計準備階段需要了解審計對象的具體情況、安全目標、企業的制度、結構、一般控制和應用控制情況,并對安全審計工作制訂出具體的工作計劃。在這一階段,審計人員應重點確定審計對象的安全要求、審計重點、可能的漏洞及減少漏洞的各種控制措施。
1了解企業網絡的基本情況。例如,應該了解企業內部網的類型、局域網之間是否設置了單向存取限制、企業網與Internet的聯接方式、是否建立了虛擬專用網(VPN)?
2了解企業的安全控制目標。安全控制目標一般包括三個方面:第一,保證系統的運轉正常,數據的可靠完整;第二,保障數據的有效備份與系統的恢復能力;第三,對系統資源使用的授權與限制。當然安全控制目標因企業的經營性質、規模的大小以及管理當局的要求而有所差異。
3了解企業現行的安全控制情況及潛在的漏洞。審計人員應充分取得目前企業對網絡環境的安全保密計劃,了解所有有關的控制對上述的控制目標的實現情況,系統還有哪些潛在的漏洞。
安全審計實施階段的主要任務是對企業現有的安全控制措施進行測試,以明確企業是否為安全采取了適當的控制措施,這些措施是否發揮著作用。審計人員在實施環節應充分利用各種技術工具產品,如網絡安全測試產品、網絡監視產品、安全審計分析器。
安全審計終結階段應對企業現存的安全控制系統作出評價,并提出改進和完善的方法和其他意見。安全審計終結的評價,按系統的完善程度、漏洞的大小和存在問題的性質可以分為三個等級:危險、不安全和基本安全。危險是指系統存在毀滅性數據丟失隱患(如缺乏合理的數據備份機制與有效的病毒防范措施)和系統的盲目開放性(如有意和無意用戶經常能闖入系統,對系統數據進行查閱或刪改)。不安全是指系統尚存在一些較常見的問題和漏洞,如系統缺乏監控機制和數據檢測手段等。基本安全是指各個企業網絡應達到的目標,其大漏洞僅限于不可預見或罕預見性、技術極限性以及窮舉性等,其他小問題發生時不影響系統運行,也不會造成大的損失,且具有隨時發現問題并糾正的能力。
三、網絡安全審計的主要測試
測試是安全審計實施階段的主要任務,一般應包括對數據通訊、硬件系統、軟件系統、數據資源以及安全產品的測試。
下面是對網絡環境會計信息系統的主要測試。
1數據通訊的控制測試
數據通訊控制的總目標是數據通道的安全與完整。具體說,能發現和糾正設備的失靈,避免數據丟失或失真,能防止和發現來自Internet及內部的非法存取操作。為了達到上述控制目標,審計人員應執行以下控制測試:(1)抽取一組會計數據進行傳輸,檢查由于線路噪聲所導致數據失真的可能性。(2)檢查有關的數據通訊記錄,證實所有的數據接收是有序及正確的。(3)通過假設系統外一個非授權的進入請求,測試通訊回叫技術的運行情況。(4)檢查密鑰管理和口令控制程序,確認口令文件是否加密、密鑰存放地點是否安全。(5)發送一測試信息測試加密過程,檢查信息通道上在各不同點上信息的內容。(6)檢查防火墻是否控制有效。防火墻的作用是在Internet與企業內部網之間建立一道屏障,其有效性主要包括靈活性以及過濾、分離、報警等方面的能力。例如,防火墻應具有拒絕任何不準確的申請者的過濾能力,只有授權用戶才能通過防火墻訪問會計數據。
2硬件系統的控制測試
硬件控制測試的總目標是評價硬件的各項控制的適當性與有效性。測試的重點包括:實體安全、火
災報警防護系統、使用記錄、后備電源、操作規程、災害恢復計劃等。審計人員應確定實物安全控制措施是否適當、在處理日常運作及部件失靈中操作員是否作出了適當的記錄與定期分析、硬件的災難恢復計劃是否適當、是否制定了相關的操作規程、各硬件的資料歸檔是否完整。
3軟件系統的控制測試
軟件系統包括系統軟件和應用軟件,其中最主要的是操作系統、數據庫系統和會計軟件系統。總體控制目標應達到防止來自硬件失靈、計算機黑客、病毒感染、具有特權職員的各種破壞行為,保障系統正常運行。對軟件系統的測試主要包括:(1)檢查軟件產品是否從正當途徑購買,審計人員應對購買訂單進行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。(3)證實只有授權的軟件才安裝到系統里。
4數據資源的控制測試
數據控制目標包括兩方面:一是數據備份,為恢復被丟失、損壞或擾的數據,系統應有足夠備份;二是個人應當經授權限制性地存取所需的數據,未經授權的個人不能存取數據庫。審計測試應檢查是否提供了雙硬盤備份、動態備份、業務日志備份等功能,以及在日常工作中是否真正實施了這些功能。根據系統的授權表,檢查存取控制的有效性。
5系統安全產品的測試
隨著網絡系統安全的日益重要,各種用于保障網絡安全的軟、硬件產品應運而生,如VPN、防火墻、身份認證產品、CA產品等等。企業將在不斷發展的安全產品市場上購買各種產品以保障系統的安全,安全審計機構應對這些產品是否有效地使用并發揮其應有的作用進行測試與作出評價。例如,檢查安全產品是否經過認證機構或公安部部門的認征,產品的銷售商是否具有銷售許可證產品的安全保護功能是否發揮作用。
四、應該建立內部安全審計制度
