網絡安全審計報告范例6篇

前言：中文期刊網精心挑選了網絡安全審計報告范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全審計報告范文1

作為我國電子政務重要基礎設施的電子政務外網，為了實現服務各級黨政部門，滿足各級政務部門社會管理、公共服務等方面需要的重要功能，要求具有互聯網出口，并且與互聯網邏輯隔離。因此，電子政務外網面臨來自互聯網和內部網用戶兩大急需解決的安全難題。

二、設計思路

本方案按照《國家電子政務外網安全保障體系總體規劃建議》進行設計，規劃范圍以市級電子政務外網為主，以市級電子政務外網運維中心為重點，覆蓋市委、市政府、市人大、市政協和多個委辦局單位以及市屬各個縣區，根據國家電子政務外網安全保障體系的規劃，市級電子政務外網安全體系包括如下三個方面的內容:

(一)安全管理體系。主要包括:按照國家安全保障體系建設標準，建設市級安全管理中心(SOC);以《國家電子政務外網安全標準指南》為標準貫徹執行國家已有安全法規標準，同時制訂符合本市電子政務外網自身特點和要求的有關規定和技術規范。

(二)網絡安全基礎防護體系。主要包括:網絡防護與隔離系統、入侵防御系統、接入認證系統、業務隔離和加密傳輸系統、防病毒、漏洞掃描系統等。

(三)網絡信任體系。主要包括:PKI/CA系統、權限管理系統和認證授權審計系統。

三、方案設計

(一)安全管理中心。市級安全管理中心是市級電子政務外網安全的規劃、實施、協調和管理機構，上聯省級電子政務外網安全管理中心，把各類安全事件以標準格式上報到省中心，同時對縣區管理中心下發安全策略，并接收縣區的日志、事件?？h級安全管理中心在市中心的授權下，具有一定的管理權限，并對縣級安全策略及日志、事件進行采集和上報。市級安全管理中心也是市級網絡安全設施的管理維護機構，為使安全設施能夠最大限度地發揮其安全保障功能，需要建立一個良好的安全綜合管理平臺，以實現業務流程分析，并對業務系統在安全監控、安全審計、健康性評估等方面的運行進行有效的管控，從全局角度進行安全策略的管理，對各類安全事件作出實時的監控及響應，為管理者提供及時的運行情況報告、問題報告、事件報告、安全審計報告、健康性報告和風險分析報告，從而使決策者能及時調整安全防護策略，恰當地進行網絡優化，及時地部署安全措施，消除各類安全隱患。

(二)基礎防護平臺建設?；A防護平臺主要是以確定的安全防護模型框架為依據，結合政府業務的實際安全需求，在原有互聯網安全設施基礎上進行安全基礎防護體系的新建或擴充、延伸與擴展。包括邊界隔離與控制、身份鑒別、認證與授權、入侵檢測與防御、安全審計與記錄、流量監測與清洗、數據加密傳輸、病毒監測與防護、安全掃描與評估、安全策略集中管理、安全監控管理和安全審計管理等基礎安全防護措施。最終達到提升系統的整體抗攻擊能力，確保電子政務外網能夠更好地支撐各類政務應用系統的運轉。

(三)邊界隔離與控制。防火墻是實現網絡邊界隔離的首選設備，防火墻是運行于軟件和硬件上的，安裝在特定網絡邊界的，實施網間訪問控制的一組組件的集合。它在內部網絡與外部網絡之間形成一道安全保護屏障，防止非法用戶訪問內部網絡上的資源和非法向外傳遞內部信息，同時也防止這類非法和惡意的網絡行為破壞內部網絡。它可以讓用戶在一個安全屏障后接入互聯網，還可以把單位的公共網絡服務器和企業內部網絡隔開，同時也可以通過防火墻將網絡中的服務器與網絡邏輯分離，進行重點防護。部署防火墻能夠保護一個網絡不受來自另外網絡的攻擊。

(四)入侵檢測與防御。在整體的網絡安全中，依靠安全策略的指導，對信息系統防護有積極的意義。但是，無論網絡防護得多么牢固，依舊不能說“網絡是安全的”。因為隨著技術的發展，任何防護措施都不能保證網絡不出現新的安全事件，不被手段高超的人員成功入侵。在攻擊與防御的較量中，實時監測處在一個核心的地位。

(五)安全審計與記錄。安全審計系統記錄了網絡使用者的全部上網行為，是支撐網絡安全事件調查的基礎，是審計信息的重要來源，在電子政務外網的建設中，應當盡量延伸安全審計系統部署的范圍，并采用多種的安全審計系統類型(如網絡審計、主機審計、數據庫審計等)擴展安全審計的層面。

(六)流量檢測與清洗。流量檢測與清洗服務是針對網絡傳輸信息流類型、大小以及諸如DOS/DDOS等安全攻擊行為的監控、告警和防護的一種網絡安全服務。該服務對進出內部網絡的業務數據流量進行實時監控，及時發現包括DOS攻擊在內的異常流量。在不影響正常業務的前提下，清洗掉異常流量。有效滿足各業務系統運作連續性的要求。同時該服務通過時間通告、分析報表等服務內容提升客戶網絡流量的可見性和安全狀況的清晰性。

(七)統一病毒防護平臺。根據電子政務外網省、市、縣三級分布的特點，可采用多級、多種的方式進行病毒防護系統的綜合部署，包括在網絡邊界安裝硬件防病毒網關、針對特定應用布署網絡防病毒系統、針對多數工作終端布署單機版病毒查殺軟件等方式。

(八)終端管理。利用桌面終端管理系統，對于終端電腦從以下四方面進行進行標準化管理:

1．網絡準入。通過網絡邊界部署的防火墻設備、網絡交換機設備與終端管理服務器配合，實現終端用戶的802．1x準入認證，使得所有終端用戶接入電子政務外網網絡必須提出申請，并對接入機器做防病毒等安全審核，在安裝了準入客戶端軟件(Agent)并分配了用戶名/密碼后，才能合法接入網絡并使用信息資源，開展業務工作，實現了對終端用戶的有效管理。

2．網絡切換。通過實現終端用戶訪問互聯網和電子政務外網兩網切換使用功能，實現對兩網資源使用的嚴格管理，避免安全隱患的發生。

3．文件保險箱。利用“文件保險箱”功能，在終端用戶處于“政務外網”訪問狀態時可以使用“文件保險箱”功能，并創建、修改、使用加密文件或文件夾，在終端用戶處于“互聯網”狀態時無法使用此功能，不能創建、修改、使用加密文件或文件夾，從而保證工作文件的安全。

4．補丁管理。利用桌面系統補丁管理的功能，幫助管理員對網內基于Windows平臺的系統快速部署最新的安全更新和重要功能更新。系統能檢測用戶已安裝的補丁和需要安裝的補丁，管理員能通過管理平臺對桌面系統下發安裝補丁的命令。補丁服務器可自動從微軟網站更新補丁庫，管理員負責審核是否允許補丁在終端系統安裝。通過策略定制，終端系統可以自動檢測、下載和安裝已審核的補丁。

(九)采用2+N的業務模式。對于利用互聯網接入的業務系統，必須采用VPN接入，建設互聯網接入區，隔離互聯網與政務外網的數據包，將互聯網業務進行封裝，確?；ヂ摼W業務在專網的VPN通道內進行傳輸，對于需要與互聯網聯接的為公眾服務的業務，通過邏輯隔離的安全防范措施，采用防火墻系統、入侵防御系統和網絡防病毒系統，對互聯網接入業務提供必要安全防護，保障電子政務外網的信息安全。

(十)信任體系設計。建立了基于PKI/CA公鑰基礎設施的數字證書認證體系。完善、推廣、促進數字證書體系的發展和根據業務需要建立相應CA機構，并實現某些應用和管理需要的單點登錄要求。

網絡安全審計報告范文2

電子數據安全是建立在計算機網絡安全基礎上的一個子項安全系統，它既是計算機網絡安全概念的一部分，但又和計算機網絡安全緊密相連，從一定意義上講，計算機網絡安全其實質即是電子數據安全。國際標準化組織(ISO)對計算機網絡安全的定義為：“計算機系統有保護計算機系統的硬件、軟件、數據不被偶然或故意地泄露、更改和破壞。”歐洲幾個國家共同提出的“信息技術安全評級準則”，從保密性、完整性和可用性來衡量計算機安全。對電子數據安全的衡量也可借鑒這三個方面的內容，保密性是指計算機系統能防止非法泄露電子數據；完整性是指計算機系統能防止非法修改和刪除電子數據；可用性是指計算機系統能防止非法獨占電子數據資源，當用戶需要使用計算機資源時能有資源可用。

二、電子數據安全的性質

電子數據安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統對外部威脅的防范，而廣義的安全是計算機系統在保證電子數據不受破壞并在給定的時間和資源內提供保證質量和確定的服務。在電子數據運行在電子商務等以計算機系統作為一個組織業務目標實現的核心部分時，狹義安全固然重要，但需更多地考慮廣義的安全。在廣義安全中，安全問題涉及到更多的方面，安全問題的性質更為復雜。

(一)電子數據安全的多元性

在計算機網絡系統環境中，風險點和威脅點不是單一的，而存在多元性。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關鍵設施、設備的安全和硬件資產存放地點的安全等內容；邏輯安全涉及到訪問控制和電子數據完整性等方面；安全管理包括人員安全管理政策、組織安全管理政策等內容。電子數據安全出現問題可能是其中一個方面出現了漏洞，也可能是其中兩個或是全部出現互相聯系的安全事故。

(二)電子數據安全的動態性

由于信息技術在不斷地更新，電子數據安全問題就具有動態性。因為在今天無關緊要的地方，在明天就可能成為安全系統的隱患；相反，在今天出現問題的地方，在將來就可能已經解決。例如，線路劫持和竊聽的可能性會隨著加密層協議和密鑰技術的廣泛應用大大降低，而客戶機端由于B0這樣的黑客程序存在，同樣出現了安全需要。安全問題的動態性導致不可能存在一勞永逸的解決方案。

(三)電子數據安全的復雜性

安全的多元性使僅僅采用安全產品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外，因為黑客常常利用防火墻的隔離性，持續幾個月在防火墻外試探系統漏洞而未被發覺，并最終攻入系統。另外，攻擊者通常會從不同的方面和角度，例如對物理設施或協議、服務等邏輯方式對系統進行試探，可能繞過系統設置的某些安全措施，尋找到系統漏洞而攻入系統。它涉及到計算機和網絡的硬件、軟件知識，從最底層的計算機物理技術到程序設計內核，可以說無其不包，無所不在，因為攻擊行為可能并不是單個人的，而是掌握不同技術的不同人群在各個方向上展開的行動。同樣道理，在防范這些問題時，也只有掌握了各種入侵技術和手段，才能有效的將各種侵犯拒之門外，這樣就決定了電子數據安全的復雜性。

(四)電子數據安全的安全悖論

目前，在電子數據安全的實施中，通常主要采用的是安全產品。例如防火墻、加密狗、密鑰等，一個很自然的問題會被提出：安全產品本身的安全性是如何保證的?這個問題可以遞歸地問下去，這便是安全的悖論。安全產品放置點往往是系統結構的關鍵點，如果安全產品自身的安全性差，將會后患無窮。當然在實際中不可能無限層次地進行產品的安全保證，但一般至少需要兩層保證，即產品開發的安全保證和產品認證的安全保證。

(五)電子數據安全的適度性

由以上可以看出，電子數據不存在l00％的安全。首先由于安全的多元性和動態性，難以找到一個方法對安全問題實現百分之百的覆蓋；其次由于安全的復雜性，不可能在所有方面應付來自各個方面的威脅；再次，即使找到這樣的方法，一般從資源和成本考慮也不可能接受。目前，業界普遍遵循的概念是所謂的“適度安全準則”，即根據具體情況提出適度的安全目標并加以實現。

三、電子數據安全審計

電子數據安全審計是對每個用戶在計算機系統上的操作做一個完整的記錄，以備用戶違反安全規則的事件發生后，有效地追查責任。電子數據安全審計過程的實現可分成三步：第一步，收集審計事件，產生審記記錄；第二步，根據記錄進行安全違反分析；第三步，采取處理措施。

電子數據安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統上的活動、上機下機時間，與計算機信息系統內敏感的數據、資源、文本等安全有關的事件，可隨時記錄在日志文件中，便于發現、調查、分析及事后追查責任，還可以為加強管理措施提供依據。

（一）審計技術

電子數據安全審計技術可分三種：了解系統，驗證處理和處理結果的驗證。

1．了解系統技術

審計人員通過查閱各種文件如程序表、控制流程等來審計。

2．驗證處理技術

這是保證事務能正確執行，控制能在該系統中起作用。該技術一般分為實際測試和性能測試，實現方法主要有：

（1）事務選擇

審計人員根據制訂的審計標準，可以選擇事務的樣板來仔細分析。樣板可以是隨機的，選擇軟件可以掃描一批輸入事務，也可以由操作系統的事務管理部件引用。

（2）測試數據

這種技術是程序測試的擴展，審計人員通過系統動作準備處理的事務。通過某些獨立的方法，可以預見正確的結果，并與實際結果相比較。用此方法，審計人員必須通過程序檢驗被處理的測試數據。另外，還有綜合測試、事務標志、跟蹤和映射等方法。

（3）并行仿真。審計人員要通過一應用程序來仿真操作系統的主要功能。當給出實際的和仿真的系統相同數據后，來比較它們的結果。仿真代價較高，借助特定的高級語音可使仿真類似于實際的應用。

（4）驗證處理結果技術

這種技術，審計人員把重點放在數據上，而不是對數據的處理上。這里主要考慮兩個問題：

一是如何選擇和選取數據。將審計數據收集技術插入應用程序審計模塊（此模塊根據指定的標準收集數據，監視意外事件）；擴展記錄技術為事務（包括面向應用的工具）建立全部的審計跟蹤；借用于日志恢復的備份庫（如當審計跟蹤時，用兩個可比較的備份去檢驗賬目是否相同）；通過審計庫的記錄抽取設施（它允許結合屬性值隨機選擇文件記錄并放在工作文件中，以備以后分析），利用數據庫管理系統的查詢設施抽取用戶數據。

二是從數據中尋找什么？一旦抽取數據后，審計人員可以檢查控制信息（含檢驗控制總數、故障總數和其他控制信息）；檢查語義完整性約束；檢查與無關源點的數據。

（二）審計范圍

在系統中，審計通常作為一個相對獨立的子系統來實現。審計范圍包括操作系統和各種應用程序。

操作系統審計子系統的主要目標是檢測和判定對系統的滲透及識別誤操作。其基本功能為：審計對象（如用戶、文件操作、操作命令等）的選擇；審計文件的定義與自動轉換；文件系統完整性的定時檢測；審計信息的格式和輸出媒體；逐出系統、報警閥值的設置與選擇；審計日態記錄及其數據的安全保護等。

應用程序審計子系統的重點是針對應用程序的某些操作作為審計對象進行監視和實時記錄并據記錄結果判斷此應用程序是否被修改和安全控制，是否在發揮正確作用；判斷程序和數據是否完整；依靠使用者身份、口令驗證終端保護等辦法控制應用程序的運行。

（三）審計跟蹤

通常審計跟蹤與日志恢復可結合起來使用，但在概念上它們之間是有區別的。主要區別是日志恢復通常不記錄讀操作；但根據需要，日記恢復處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結合起來，就可以在違反安全規則的事件發生時，或在威脅安全的重要操作進行時，及時向安檢員發出告警信息，以便迅速采取相應對策，避免損失擴大。審計記錄應包括以下信息：事件發生的時間和地點；引發事件的用戶；事件的類型；事件成功與否。

審計跟蹤的特點是：對被審計的系統是透明的；支持所有的應用；允許構造事件實際順序；可以有選擇地、動態地開始或停止記錄；記錄的事件一般應包括以下內容：被審訊的進程、時間、日期、數據庫的操作、事務類型、用戶名、終端號等；可以對單個事件的記錄進行指定。

按照訪問控制類型，審計跟蹤描述一個特定的執行請求，然而，數據庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密，因為審計人員可以限制時間，但代價比較昂貴。

（四）審計的流程

電子數據安全審計工作的流程是：收集來自內核和核外的事件，根據相應的審計條件，判斷是否是審計事件。對審計事件的內容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時，則向審計人員發送報警信息并記錄其內容。當事件在一定時間內連續發生，滿足逐出系統閥值，則將引起該事件的用戶逐出系統并記錄其內容。

常用的報警類型有：用于實時報告用戶試探進入系統的登錄失敗報警以及用于實時報告系統中病毒活動情況的病毒報警等。

網絡安全審計報告范文3

課題研究主要內容包括智慧信息化整體架構特征、安全框架，安全保障管理要求、技術要求及保障機制等。

概述

智慧信息化整體架構與主要特征

智慧信息化整體架構模型主要包括物聯感知層，網絡通信層，計算與存儲層，數據及服務支撐層，智慧應用層，安全保障體系，運維管理體系，建設質量管理體系等。具有開放性、移動化、集中化、協同化、高滲透等主要特征。

智慧信息系統安全風險分析

根據智慧信息化特征，結合信息安全體系層次模式，逐層分析智慧信息化帶來新的安全風險。

物理屏障層，主要包括場地門禁、設備監控、警衛等。移動性特點帶來物理介質的安全新風險。移動設備和智能終端自身防御能力弱、數量大、分布散、采用無線連接、缺少有效監控等帶來的風險。

安全技術層，主要包括防火墻、防病毒、過濾等安全技術。云計算、物聯網、移動互聯網等技術的開放性、協同性等特征帶來的安全新風險。

管理制度層，主要包括信息安全人事、操作和設備等。智慧信息化環境下信息資源高度集中、服務外包等新模式帶來的管理制度上的新風險。

政策法規層，主要包括信息安全法律、規章和政策等。對各類海量數據整合、共享和智能化的挖掘利用等深度開發帶來的信息管理政策法規上的新風險。

安全素養層，主要包括民眾信息安全意識、方法、經驗等。智慧信息化帶來威脅快速傳播、波及范圍倍增擴大的風險，信息安全威脅的主體發生轉換，社會公眾的高度參與，用戶、技術與管理人員的安全意識和素養帶來的風險比傳統系統更大。

智慧信息系統安全框架

智慧信息系統安全框架如圖2所示。管理終端和其他經過認證授權的可信終端作為智慧信息系統可信組成部分，需要進行邊界防護，防止越權訪問，互聯網用戶等非可信組成部分，要采取安全隔離措施，使其只能訪問受限資源，防止內部數據非法流出。對數據區域、物聯網感知區域、物聯網控制區域以及基礎設施的管理區域進行嚴格的安全域劃分，針對不同的安全域實施安全產品的監測、防護、審計等不同的安全策略以保護數據安全，再配合同步進行的體系建設、安全培訓等安全服務措施，實現智慧信息系統的深度防御。

管理要求

安全保障規劃。信息化主管部門負責智慧信息化發展總體安全保障規劃，各相關領域主管部門負責專項領域安全保障規劃。確定安全目標，提出與業務戰略相一致的安全總體方針及方案。

安全保障需求分析。項目單位分析系統的安全保護等級并通過論證、審核、備案；根據安全目標，分析系統運行環境、潛在威脅、資產重要性、脆弱性等，找出現有安全保護水平的差距，提出安全保障需求。

安全保障設計。項目單位根據系統總體安全方案中要求的安全策略、安全技術體系結構、安全措施和要求落實到產品功能、物理形態和具體規范上。并形成指導安全實施的指導性文件。

安全保障實施。建立安全管理職能部門，通過崗位設置、授權分工及資源配備，為系統安全實施提供組織保障。對項目質量、進度和變更等進行全過程管控及評估。

安全檢測驗收。系統運行前進行安全審查，關注系統的安全控制、權限設置等的正確性、連貫性、完整性、可審計性和及時性等。上線進行安全測試和評估，包括安全符合性查驗，軟件代碼安全測試，漏洞掃描，系統滲透性測試等，確保系統安全性。

運維安全保障。建立系統安全管理行為規范和操作規程，包括機房安全管理制度，資產安全管理制度，介質安全管理制度，網絡安全管理制度，個人桌面終端安全管理制度等并嚴格按照制度監督執行。

優化與持續改進。在系統運行一段時間或重大結構調整后進行評估，對系統各項風險控制是否恰當，能否實現預定目標提出改進建議。

技術要求

計算環境安全要求

服務器、網絡設備、安全設備、終端及機房安全、操作系統、數據庫管理系統應遵循GB/T 22239-2008對應安全保護等級中相關安全控制項要求，并對重要設備的安全配置和安全狀態等進行嚴格的監控與檢測。

網絡虛擬化資源池應支持基于虛擬化實例的獨立的安全管理。多租戶環境下，租戶之間的網絡支持虛擬化安全隔離，各個租戶可以同時對自身的安全資源進行管理。

應提供以密碼技術為前提的安全接入服務，保證終端能夠選擇加密通信方式安全接入云計算平臺。

通信網絡安全要求

對應安全保護等級中網絡安全控制項要求，覆蓋結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護等控制項要求。

虛擬網絡資源間的訪問，應實施網絡邏輯隔離并提供訪問控制手段。從區域邊界訪問控制、包過濾、安全審計及完整性保護等方面保護虛擬邊界安全。

智慧網絡應具備網絡接入認證能力，確?？尚攀跈嘟K端接入網絡。采取數據加密、信道加密等措施加強無線網絡及其他信道的安全，防止敏感數據泄漏，保證傳輸數據完整性。

終端安全要求

對應安全保護等級中終端安全及GAT671-2006的安全控制項要求，覆蓋物理安全、身份鑒別、訪問控制、安全審計、惡意代碼防范、入侵防范、資源控制等內容。

建設統一的終端安全管理體系，規范終端的各類訪問、操作及使用行為，確保接入終端的安全合規、可管理、可控制、可審計。在重要終端中嵌入帶有密碼性安全子系統的終端芯片。

應用安全要求

滿足對應安全保護等級中應用安全控制項要求，覆蓋身份鑒別、訪問控制、安全控制、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等內容。

進行可信執行保護，構建從操作系統到上層應用的信任鏈，實現可執行程序的完整性檢驗，防范惡意代碼等攻擊，并在受破壞時恢復。建立統一帳號、認證授權和審計系統，實現訪問可溯。

遵循安全最小化原則，關閉未使用服務組件和端口；加強內存管理，防止駐留剩余信息被非授權獲??；加強安全加固，對補丁與現有系統的兼容性進行測試；限制匿名用戶的訪問權限，支持設置用戶并發連接次數、連接超時限制等，采用最小授權原則。

數據安全要求

滿足對應安全保護等級中數據安全控制項要求，覆蓋數據完整性、數據保密性、備份與恢復等內容。

將信息部署或遷移到云計算平臺之前，明確信息類型及安全屬性進行分類分級，對不同類別信息采取不同保護措施，重點防范用戶越權訪問、篡改敏感信息。

在多租戶云計算環境下，通過物理隔離、虛擬化和應用支持多租戶架構等實現不同租戶之間數據和配置安全隔離，保證每個租戶數據安全隱私。確保法律監管部門要求的數據可被找回。

虛擬存儲系統應支持按照數據安全級別建立容錯和容災機制，防止數據損失；建立災備中心，保證數據副本存儲在合同法規允許的位置。

全面有效定位云計算數據、擦除/銷毀數據，并保證數據已被完全消除或使其無法恢復。

密碼技術要求

物理要求。在系統平臺基礎設施方面使用密碼技術。

網絡要求。在安全訪問路徑、訪問控制和身份鑒別方面使用密碼技術。

主機要求。在身份鑒別、訪問控制、審計記錄等方面使用密碼技術。

應用要求。在身份鑒別、訪問控制、審計記錄和通信安全方面應當使用密碼技術。

數據要求。在數據傳輸安全、數據存儲安全和安全通信協議方面使用密碼技術。

安全域劃分與管理研究

智慧信息系統安全域可以分為安全計算域、安全用戶域、安全網絡域。

安全計算域：由一個或多個主機/服務器經局域網連接組成的存儲和處理數據信息的區域，是需要進行相同安全保護的主機/服務器的集合。安全計算域可以細分為核心計算域和安全支撐域。

安全用戶域：由一個或多個用戶終端計算機組成的存儲、處理和使用數據信息的區域。

安全網絡域：支撐安全域的網絡設備和網絡拓撲，防護重點是保障網絡性能和進行各子域的安全隔離與邊界防護。連接安全計算域和安全計算域、安全計算域和安全用戶域之間的網絡系統組成的區域。安全網絡域可以進一步細分為感知網接入域、互聯網接入域、外聯網接入域、內聯網接入域、備份網絡接入域。

安全管理平臺技術要求

對安全事件進行集中收集、高度聚合存儲及分析，實時監控全網安全狀況，并可根據需求提供各種網絡安全狀況審計報告。

智慧監測。針對大數據，通過預警平臺對流量監測分析，為管理者提前預警，避免安全事件擴大化；監聽無線數據包，進行網絡邊界控制，對智慧信息系統內部網絡實施安全保護。

智慧審計。通過運維審計與風險控制系統對系統運維人員的集中賬號和訪問通道管控；通過數據庫審計系統對數據庫訪問流量進行數據報文字段級解析操作，應對來自運維人員或外部入侵的數據威脅；通過綜合日志審計系統實現對違規行為監控，追蹤非法操作的直接證據，推動監測防護策略、管理措施的提升，實現信息安全閉環管理；針對應用層的實時審計、監測及自動防護。

智慧日志分析。對海量原始日志，按照策略進行過濾歸并，減輕日志數據傳輸存儲壓力。對來自各資源日志信息，提供多維關聯分析功能，包括基于源、目的、協議、端口、攻擊類型等多種統計項目報表。多租戶環境支持，支持虛擬化實例，能夠區分不同租戶的日志以及為不同租戶提供統計報表。

智慧協同。根據開放性及應急響應技術要求，安全管理平臺需考慮和周邊系統互聯互通，支持開放的API，相互傳遞有價值安全信息，以進行協同聯動。

除了以上八個技術方面的要求外，智慧信息化安全保障體系還對安全產品、產品安全接口等方面也做出了相關要求。

保障機制

建立責任人體制。建設單位指定信息安全保障第一責任人，明確各環節主體責任，制定安全保障崗位責任制度，并監督落實。

建立追溯查證體系。建立全流程追溯查證體系，對存在的違法入侵進行有效取證，保證證據數據不被改變和刪除。參照ISO/IEC 27037：2012、ISO/IEC27042。

建立監督檢查機制。由信息安全監管部門，通過備案、檢查、督促整改等方式，對建設項目的信息安全保護工作進行指導監督。

建立應急處理機制。參照GB/Z 20986-2007將安全事件依次進行分級，按照分級情況制定應急預案，定期對應急預案進行演練。

建立服務外包安全責任機制。安全服務商的選擇符合國家有關規定，確保提供服務的數據中心、云計算服務平臺等設在境內。

建立風險評估測評機制。對總體規劃、設計方案等的合理性和正確性以及安全控制的有效性進行評估。委托符合條件的風險評估服務機構，對重要信息系統檢查評估。定期對系統進行安全自查與測評。

網絡安全審計報告范文4

【關鍵詞】電力監控系統 內網安全監視 閉環管控

1 引言

隨著電力監控系統安全防護工作和信息系統安全等級保護工作的深入開展，各級電力公司部署了大量監控系統安全防護設備（系統）。上述安全防護設備的運行和管理一直處于松散狀態，產生海量的運行數據及安全事件使管理人員疲于應對，無法做到對電力監控系統安全狀態的全面掌控，同時缺乏集中監控和統計分析手段，難以及時發現安全隱患。為解決安全防護設備缺乏有效集中監管的現狀，本文對電力監控系統內網安全監視閉關管控技術進行研究，實現了全省電力監控系統安防設備（系統）實時在線監控及量化管理。

本文根據閉環管理相關理論為基礎，結合電力監控系統內網安全事件的特點，在電力系統內率先提出了“監視分析管理解決總結”的安全事件閉環管控機制，有效地解決了內網安全事件分析結果不直觀、處理過程無監控、處理結果無歸檔等問題。該系統將安全事件按照七個基本程序進行管理，即事件發現、事件分析、事件處理、事件變更、事件管控、事件關閉、事件總結。七個環節環環緊扣，缺一不可。

為實現對安全事件的科學分類和有效管理，湖北省電力調控中心針對安全告警事件開展了深入研究，同時也借鑒了一些先進的理論和模型。

2 閉環管控系統

2.1 閉環管控相關理論及模型

2.1.1 PDCA循環

PDCA循環又名戴明環，是管理學中的一個通用模型[1]。最早由休哈特（Walter A. Shewhart）于1930年構想，后來被美國質量管理專家戴明（Edwards Deming）博士在1950年再度挖掘出來，并加以廣泛宣傳和運用于持續改善產品質量的過程中。它是全面質量管理所應遵循的科學程序，包括質量管理活動的全部過程，這個過程按照PDCA循環，不停頓地運轉。它不僅在質量管理體系中運用，也適用于一切循序漸進的管理工作，可以使管理工作能夠不斷創新發展，理順管理者的工作思路。在管理的過程中，注重檢查及反饋，以達到不斷改進策略，提升管理水平的目的[2]。PDCA循環，如圖1所示。

其中P （Plan） 計劃，包括方針和目標的確定，以及活動規劃的制定；D （Do） 執行，根據已知的信息，設計具體的方法、方案和計劃布局；再根據設計和布局，進行具體運作，實現計劃中的內容；C （Check） 檢查，總結執行計劃的結果，分清哪些對了，哪些錯了，明確效果，找出問題；A （Action） 處理，對檢查的結果進行處理，對成功的經驗加以肯定，并予以標準化；對于失敗的教訓也要總結，引起重視。對于沒有解決的問題，應提交給下一個PDCA循環中去解決。

2.1.2 IDEAL模型

IDEALSM是SEI推出的過程改進模型。該模型將過程改進分為五個階段來完成，形成一個螺旋推進、循環往復的改進策略。而且該模型還強調每個改進周期內的閉環機制，即：改進問題有被識別、具體的改進措施有被納入計劃，且被執行、被驗證和總結。IDEAL[3]模型結構，如圖2所示。

其中I代表Initiating（初始化），確定改進的目標并獲得改進的基礎結構；D代表Diagnosing（診斷），確定現狀與改進目標之間的差異；E代表Establishing（建設），計劃如何達成目標；A代表Acting（行動），根據計劃開展工作；L代表Learning（學習），從經驗中學習，以提高未來過程的效能。

上V理論及模型廣泛應用于各行各業，得到了充分的驗證，以及普遍的認可。本文提出的電力監控系統內網安全監視閉環管控系統充分繼承了PDCA循環和IDEAL模型的精髓，實現了從事件發現、事件分析、事件定位、事件處理、事件控制、事件提升的閉環管理。

2.2 閉環管控系統架構

電力監控系統內網安全監視閉環管控系統是集安全監視、安全分析、安全運維、安全執行、安全審計于一體的管理中心[4，5]，其系統架構如圖3所示。

2.2.1 數據采集

數據采集是閉環管控的基礎，其實現了對電力專用安全防護設備（橫向物理隔離設備、縱向加密認證裝置）、防火墻、入侵監測系統（IDS/IPS）、防病毒系統，以及電力調度系統內部關鍵應用的數據采集。

其中，事件獲取是采用Syslog方式獲取各種安全防護設備的事件內容；事件過濾是將大量無需關注、不重要的安全事件過濾掉；事件歸并和聚合是對重復事件進行歸并，所有重復事件只記錄其第一次發生時間、最后一次發生時間和發生的次數；事件轉發是將初步處理后得到的安全事件提交分析引擎。

2.2.2 通信管理

通信管理是整個系統架構中的重要組成部分，主要實現對原始信息的監聽以及上下級協同告警信息的。

其中原始信息監聽主要通過標準的514端口對各類安全防護裝置（系統）的syslog告警信息進行監聽，為數據采集功能提供重要支撐；同時，閉環管理系統可以采用多級部署，利用信息加密隧道實現對于上下級事件的同步感知，使全網的安全防護及閉環管理工作形成有機的整體，避免安全防護工作出現短板導致安全事件的發生。

2.2.3 分析引擎

該系統實現了事件類型關聯、事件內容關聯、資產信息關聯，能夠通過特定算法從大量安全事件數據中挖掘當前的安全趨勢和規律[6，7]。關聯分析類型如下：

①基本關聯，根據事件的基本屬性信息關聯分析結果；

②攻擊關聯，根據安全設備發出的告警事件，結合目標資產的類型生成關聯分析結果；

③位置關聯，根據事件來源的位置或者目標資產的物理位置，生成關聯分析結果；

④角色關聯，根據事件相關用戶名結合事件基本屬性，生成關聯分析結果；

⑤因果關聯，根據事件類型結合事件行為結果，生成關聯分析結果。

2.2.4 閉環管控

該系統通過安全監視發現問題，通過事件統計分析問題，通過策略執行處理問題，通過權限管理和安全審計控制問題處理過程，通過知識管理總結問題，提升安全事件處理能力。

其中，安全監視主要是指內網安全監視平臺，主要實現對安全事件的采集、分析及告警；問題跟蹤是對安全事件進行管理，使安全事件管理的質量評定與工作績效相結合，提高維護人員的主動性；權限管理對事件處理的人員、權限、時限、內容及步驟進行嚴格控制，加強在操作過程中的安全防護，減少因非法操作和誤操作而帶來的系統性風險；執行管控是對解決問題過程進行全程監督和審計，形成事中、事后的審查機制，從而提高運維人員的自律性；知識管理是建立內網安全事件的專家知識庫，實現知識的統一搜集、整理、管理[8，9]。

2.3 閉環管控流程

電力監控系統內網安全監視閉環管控系統將安全事件的發現、分析、處理、控制、提升形成管理閉環，整個過程可分為7個階段，分別是“事件監視與告警”、“事件分析與診斷”、“事件處理”、“變更管理”、“配置管控”、“恢復與確認”、“總結與改進”[10，11]。如圖4所示。

第1階段-事件監視與報警。

值班人員通過內網安全監視應用對電力監控系統安全情況進行監視，及時發現安全事件，并通知相關人員進行處理。值班人員采用二種方式（即內網安全監視的事件告警和值班電話）集中發現和記錄內網安全事件，通過創建安全事件工單對事件進行集中流程化處理。

閉環管控系統會對收集上來的事件之間相關性采用過濾、合并、關聯的技術手段分析出有效的事件處理切入點，將多個相關事件合并生成一個流程工單處理解決，簡化值班人員處理安全事件流程，提高其工作效率。在生成事件工單后，值班人員將工單轉給相關系統管理員，由系統管理員對事件信息進行核實后進行進一步處理。

第2階段-事件分析與診斷。

系統管理員在分析事件的過程中可以與相關的運維人員一起協同分析，并由系統管理員根據事件緊急度、優先級、及影響范圍再次確定事件級別合理性。系統管理員可以使用內網安全監視閉環管控提供的事件分析工具，通過過濾、合并、匯總、分析等規則，采用圖形化分析手段，直觀解析事件關系，幫助運維人員理清思路、找到解決方法。在事件原因和解決思路明確后，系統管理員將事件工單指派給相應的運維人員處理。（如圖4）

第3階段-事件處理。

在運維人員明確解決方案后，將開展事件的處理工作。據事件具體情況進一步由二線、三線運維人員介入處理。

運維人員處理過程中，可以借助知識庫管理系統直接提供類似關聯事件處理經驗以供參考。如果處理事件不涉及到資產配置的變更，則直接處理并將處理完的結果提交值班人員確認；如果處理事件涉及到資產配置的變更時，則要提出變更申請，執行相關變更流程，完成變更后再提交處理結果由值班人員確認。

第4階段-變更管理。

在事件處理的過程中，如果涉及到資產配置的變更，則需要啟動變更管理流程。由運維人員提出變更方案，方案中包括涉及資產、變更內容、風險評估、應急預案、回退措施等子項，變更方案提交給系統管理員審批，經審批后指派相關運維人員進行處理，如果變更方案不通過則重新由運維人員提交新的變更方案。在系統管理員審核通過后，系統將自動關聯管控機策略，開啟相關資源的“操作通道”，授權相關運維人員完成配置變更操作。

第5階段-配置變更操作管控。

運維人員在獲得資產配置變更操作授權之后，將使用運維專用機對相關資產進行配置修改，同時系統管理員可以實時監視運維人員操作行為，并對不合規操作強制阻斷。在強制阻斷后，運維人員需要重新考慮變更方案，重新開始新的變更流程。對于運維人員操作全過程采用內容錄像方式保存，提高操作全程記錄審計能力。

運維專用機對資源帳號密a采用統一記錄與管理，運維人員無法獲取系統資源帳號及密碼，只有“系統管理員”根據具體事件工單涉及的相關設備進行“動態式”授權，后臺自動建立訪問控制策略后，運維人員才能操作和修改資源配置。這樣能夠有效的防止密碼外泄，加強相關人員操作訪問的權限、時限控制，減少因非法操作和誤操作而帶來的系統性風險。

第6階段-恢復與確認。

在運維人員事件處理完畢，系統恢復正常工作后，運維人員將事件工單提交給發現事件的值班人員，由值班人員對事件處理結果進行確認，采用檢查資源狀態、電話回訪等方式確認事件是否解決。同時，值班人員將進行事件處理的滿意度調查，由值班人員填寫事件處理滿意度調查結果和評價。

第7階段-總結與改進。

在事件恢復后，運維人員對處理內容、方法進行總結，系統自動將處理經驗生成事件處理報告并提交系統管理員，系統管理員對事件處理報告進行審核，對滿足經典經驗的知識進行標注，將經驗納入知識庫中。通過對搜集、整理的內網安全事件處理經驗進行專家評審，提高知識專業性，形成專家知識庫。

3 應用效果

本文提出的閉環管理模式進一步規范了事件管理的程序和標準，豐富和發展了適用于電力監控系統內網安全事件的管理方法，使安全管理工作邁上規范化、程序化的運行軌道。湖北省電力調控中心通過內網安全監視閉環管控系統的建設，使系統管理員可以跟蹤事件處理流程，能夠及時了解事件處理進度；另外，每周定期查看事件處理操作記錄，也可以審計處理操作的合規性。同時，通過建立健全良性的激勵約束機制，發揮系統管理人員在工作中的主觀能動性，促進了執行效果和執行效率的同步提升。以內網安全監視的閉環管控為例，2015年安全事件數量與去年相比下降較為明顯，湖北電網每日安全事件數量基本控制在10個以內。安全事件曲線，如圖5所示。

另外，系統管理員生成運維人員績效報告和事件全程審計報告?？冃蟾鎸\維人員績效進行統計，包括對事件請求量、事件解決量、事件解決率、事件平均解決時間、事件滿意度平均值、事件處理及時率等指標，通過統計分析對安全狀態、安全工作進行全面的評估分析，為進一步提高業務能力，進一步改進監視策略提供依據。事件全程審計報告記錄事件整個處理過程，對從事件發生、到流程處理、到操作過程、到解決完畢進行全程監督和審計，提高對問題在事中、事后的掌控力度。

4 結語

通過理論和實踐證明，電力監控系統內網安全監視閉環管控系統有助于電力監控系統安全防護體系由邊界防護向縱深防御發展，解決了電網調度系統對關鍵安全設備、服務器的日志集中采集和統一管理問題，實現了對安全設備的實時告警與運行狀態監測，為電網調度系統提供全面的安全基礎支撐，能夠及時掌握電力監控系統存在的安全隱患，采取有效措施阻止惡意攻擊行為，保障電網的內網運行安全。

參考文獻：

[1]宋華明，韓玉啟.PDCA模式下的一體化管理體系.南京理工大學[J]，2002（2）：10-12.

[2]陳建亞.現代通信網監控與管理[M].北京郵電大學出版社，2000.

[3]McFeeley Bob. IDEAL： A User's Guide for Software Process Improvement[M] Software Engineering Institute， CMU/SEI-96-HB-001， February 1996.

[4]胡炎，董名垂，n英鐸.電力工業信息安全的思考[J].電力系統自動化，2002（7）：1-4.

[5]高雷，肖政，韋衛.安全關聯分析相關技術的研究.計算機應用，2002（7）：1526-1528.

[6]劉雪飛，馬恒太，張秉權.NIDS報警信息關聯分析進展研究.計算機科學，2004，3（12）：61-64.

[7]李亞琴.網絡安全事件關聯分析方法的研究與實現[D].華中科技大學，2006.

[8]王保義，張少敏.電力企業信息網絡系統的綜合安全策略[J].華北電力技術， 2003（4）：19-22.

[9]劉康平，李增智.網絡告警序列中的頻繁情景規則挖掘算法閉[J].小型微型計算機系統，2003，24（5）：891-894.

網絡安全審計報告范文5

關鍵詞：網絡審計；電子商務；內部控制

中圖分類號：F239 文獻標識碼：A 文章編號：1003－3890（2008）01－0065-04

一、網絡審計及其社會背景

隨著網絡經濟時代的到來，網絡信息技術引發的全球信息化浪潮迅速改變著人類的傳統社會生活，日益滲透到人們的工作、生活、學習和娛樂之中。在網絡環境下，電子商務的大規模發展，使得企業的經營模式、管理模式和會計模式都發生了重大的變化，使得信息的處理和傳遞突破了時空的限制。電子商務集信息流、資金流、物流于一體的商務交易模式處處體現出高效、快捷的顯著特點。它的高速發展及廣泛應用徹底改變了傳統商務的架構和流程，從本質和表象兩方面深刻影響著審計的對象和環境，使審計的對象逐步呈現隱性化、數字化、網絡化的新特征。新的模式必然帶來新的運作機制，而新的運作機制又勢必需要一種新的監督機制來維護和保障市場的正常運行。網絡經濟的發展以及會計電算化的實現，無疑使被譽為“經濟看門人”的審計遭遇了空前嚴峻的挑戰，引致審計工作由傳統的手工審計向新興的網絡審計變革。

網絡審計一般來說，有廣義和狹義之分。廣義的網絡審計是指在網絡環境下，借助大容量的信息數據庫，運用專業的審計軟件對共享資源和授權資源進行實時、在線的個性化審計服務。而狹義的網絡審計則是指借助電子計算機的先進數據處理技術和聯網技術，以磁性介質作為主要載體來存儲數據以便于用網絡來處理、傳送、查閱這些數據，使審計工作與計算機網絡組成一個有機的整體，從而提高審計的現代化水平。筆者著重從狹義網絡審計的角度來探討網絡審計的發展問題。網絡審計要求審計人員借助現代網絡信息技術，運用專門的審計方法，對被審計單位的會計信息系統進行整體審計工作。它是對以往電算化審計的又一次突破，是現代審計在電子商務時代的新發展，也是電子商務發展的必然趨勢。

二、網絡審計的優勢及其應用中存在的問題

（一）網絡審計的優勢

1． 拓展審計空間。在網絡會計環境下，由于會計信息系統的開放性和網絡化，使得會計信息資源在極大的范圍內得以交流和共享。利用網絡會計系統，可實現各業務之間數據的傳遞和共享，使得會計系統和其他信息系統的信息傳遞關系更為密切。由于網絡、計算機、現代通信技術在審計中的運用，審計空間得到拓展，擺脫了傳統地域觀念的束縛，開拓了新的審計領域。隨著網絡經濟給現有經濟模式帶來的挑戰，網絡審計服務市場也隨之進一步擴大。網絡的應用使被審計單位的會計信息系統成為一個開放的系統，審計部門可以通過網絡主動獲取會計信息，還可以對與審計對象有業務聯系的各單位會計資料進行查詢、分析，使審計信息的來源更直接，內容更豐富。審計人員可以充分利用網絡所特有的先進信息技術，共享網絡數據信息資源，從而使審計資源得到更廣泛而有效的配置和運用。

2． 提高審計效率。網絡審計通過互聯網、計算機與審計軟件可以充分發揮其快捷、高效、準確的優勢。審計部門在獲得相關授權后，可利用審計接口隨時對被審計單位進行審查，準確快速地獲取被審計單位的經濟業務數據，及時全面地收集掌握被審計單位的最新會計信息，審計的時效性大大提高。審計從事后審計轉變為實時審計，并從靜態走向動態。

3． 降低審計成本。網絡審計與傳統審計相比在提高審計效率的同時，更降低了審計成本。利用網絡收集審計信息、審計證據，大大節約了審計人員的搜尋成本、聯系費用等，利用計算機進行分析、復核，大大減輕了審計人員的勞動強度，節省了人力、物力。

除此之外，網絡審計的優勢還表現在很多方面。例如審計機構在獲得相關授權后，即可通過網絡直接進入被審計單位的網絡信息系統，開展審計工作，使得被審計單位無法事先做好應付審計檢查的準備，減少了審計工作的阻力，提高了審計效率和質量。

（二）網絡審計應用中存在的有關問題

1． 被審計單位內部控制問題。內部控制是任何企業和事業單位進行有效管理和經營的基礎，無論該單位的會計資料是手工處理還是計算機處理，內部控制都是必不可少的。而現代審計是以系統為基礎的審計，即注冊會計師要對會計系統的內部控制進行審查和評價，以其作為制定審計方案和決定抽查范圍的依據。實現會計電算化后，現代會計信息系統的特殊性更需要加強內部控制制度。授權、批準控制是一種常見的、基礎的內部控制。在手工會計系統中，對于一項經濟業務的每個環節都要經過某些具有相應權限人員的審核和簽章。計算機網絡的集成化處理使傳統手工會計中制單、審核、記賬等不相容崗位相互牽制制度的效力逐步削弱，傳統的組織控制功能減弱。隨著會計電算化系統所產生的會計信息的日益增多，如果沒有健全的內部控制制度，就很難保證會計信息收集、傳遞和處理的及時、準確。為了系統的安全可靠，保證系統處理、存儲會計信息的準確完整，必須考慮現代會計信息系統的特點，針對其固有的風險，建立新的適合其的內部控制制度。

2． 被審計單位信息風險問題。網絡審計的信息風險越來越成為審計工作中必須要考慮的一個中心問題。網絡審計借助計算機和網絡對電子商務經濟活動及其相關信息進行審計，則必然對網絡的安全性、可靠性、準確性產生極大的依賴。無論是被審計單位的財務信息系統還是審計部門的審計分析系統，均以電子信息技術為基礎，借助于計算機和互聯網實現，因此審計環境變化帶來的信息安全風險更多的是由于信息技術問題引起的風險。（1）網絡系統的弱點和漏洞直接影響著信息安全風險的大小。一個網絡系統中的漏洞大致包括實現漏洞、設計漏洞、配置漏洞三種類型。在審計過程中注冊會計師應通過對以上漏洞進行分析并根據被審計單位的系統狀況對被審計單位的財務會計信息系統的安全性作出評價。（2）會計信息系統的開放性也成為影響信息安全的一大重要因素。會計信息系統的開放性指能夠接觸到會計信息系統的終端用戶的范圍。一個會計信息系統的終端使用者越多，那么它所面臨的網絡風險也越大。尤其是計算機聯機實施系統的出現和使用，將使會計業務或數據在發生的同時即可實時地記錄和處理，信息使用者可通過聯機的方式直接進入企業的管理信息系統，及時、有效地選取、分析自己所需要的信息，滿足其決策需要。信息網絡這種開放式、分布式的特點，在大規模計算和資源共享等方面有著無可匹敵的優勢，但其在安全性、可靠性方面面臨著極大的威脅。（3）被審計單位防火墻性能的優劣也成為審計風險的評判標準之一。如果被審計單位的防火墻性能良好，則可以避免會計信息系統開放性及黑客病毒攻擊等問題，從而從整體上降低財務信息系統的網絡審計風險。因此，如何確保審計信息的安全性已然成為網絡審計必須面對的棘手問題。

3． 審計單位自身安全問題。在網絡審計環境下，注冊會計師在關注被審計單位安全狀況的同時，對審計單位自身的信息處理系統進行安全性評價也成為審計工作中不可忽視的一個重要方面。由于網絡風險涉及的對象是雙向的，一方面涉及被審計單位的狀況，另一方面又涉及審計部門的自身狀況，這樣就使得網絡風險的決定因素十分復雜。在網絡審計環境下，審計人員的審計手段更多地借助于網絡技術，計算機信息處理系統在審計過程中得以廣泛應用，這使得審計人員及審計單位同樣面臨著網絡風險的沖擊。所以審計單位在對被審計單位風險進行精確評價的同時還應對自身的網絡風險水平進行系統的評價。這是傳統審計工作中所不存在的問題。

綜上所述，網絡審計在其應用過程中確實存在著一些問題。除了以上提及的三方面外，其應用過程中存在的問題還表現在其他一些方面。例如審計人員的專業素質不高，網絡審計相關的法律法規和準則制度的不完善等等，都成為了網絡審計發展路上的“絆腳石”。

三、促進網絡審計發展的相關建議

（一）加強被審計單位的內部控制系統

在網絡財務軟件中，會計信息的處理和存儲高度集中于計算機系統，企業的信息系統控制的安全可靠必然成為網絡審計中審計風險防范和控制的重點。網絡環境下手工會計處理系統中的某些職責分工、權限分離、相互制約、相互聯系的內部控制制度失效，為保證網絡財務軟件處理和存儲會計信息完整準確，必須建立適應網絡特性的網絡財務系統的控制程序和方法。在新信息系統的開發階段，審計人員應參與系統的開發和財務軟件的評審工作，出具系統開發審計報告，對系統的可靠性、效率性、內部控制的適當性、系統開發的成本效益性等作出評價。將錯誤消滅在萌芽階段。同時，在設計開發過程中，還可以考慮在被審計單位的計算機系統中嵌入審計程序。這些程序可以執行審計監督，建立審計跟蹤文件，記錄符合指定條件的會計事項及其操作處理的有關信息，以便日后審計人員跟蹤追查。除了在新信息系統的開發階段應改進內控之外，在財務軟件的運用階段完善相應的內控制度更為重要。例如可在網絡財務軟件的使用中劃分管理權限，防止越權操作和計算機舞弊行為的發生。此外，可采取一些相應的措施。如在賬務處理過程中要求會計人員留下每筆經濟業務的詳細記錄，而不能只留下更新后的當前余額；設置網絡財務軟件自動記錄操作人員的使用情況，包括進入與退出系統的時間及進行的操作等；要求將所有維護和改進系統的內容、時間等記錄在案；除應保證會計數據文件的打印輸出外，還應將會計數據文件以可審計的形式進行存儲保留。

（二）加快網絡審計軟件的開發與審計網絡的建設

信息安全風險是網絡審計中必須要考慮的一個中心問題。要從根本上解決這個問題，完善相應的審計軟件開發和審計網絡建設是關鍵。首先應加快中國網絡審計軟件的開發與應用。網絡審計是借助網絡審計軟件進行的，加強網絡審計軟件的研究與開發是發展網絡審計重要舉措。提高中國網絡審計軟件的質量和實用性，要求軟件開發人員深入到審計工作實踐中去，同時網絡審計軟件的分析設計也應有經驗豐富的審計人員參加。加快會計審計軟件行業標準的制訂，建立統一的數據格式和外部接口，開發出來的通用審計軟件能使審計人員從被審計單位準確及時地獲取各種數據，實現有效的遠程審計。加強使用者與開發者之間的交流與溝通，使開發者能廣泛地收集使用者的反饋意見，更好地總結出審計的算法模型，不斷優化升級審計軟件。應加快中國審計網絡的建設進程。網絡審計面臨的不再是傳統的交易模式和經營管理理念，而是全新的網絡空間。審計網絡是網絡審計得以開展的物質載體，審計人員只有通過互聯網進行網絡審計，才能隨時捕捉審計信息，及時提供審計信息。因此要發展網絡審計，必須先建設審計網絡，建立審計信息數據庫。通過網絡管理系統，錄入被審計單位的背景資料、行業動態和以前年度審計資料等相關信息，建立一個完善的大容量的信息數據庫并不斷更新，為以后年度審計隨時調閱使用提供便利，提高審計信息的真實性及審計的效率。

（三）提高網絡審計人才素質

培養精通網絡、計算機及審計業務的審計人員隊伍是網絡審計發展的關鍵。由于網絡審計已遠遠超出了計算機和局域網的運用范疇，加上被審計單位的財務及管理信息系統的日益復雜，構成了對審計人員的全新挑戰。在現階段，審計人員必須經常更新自身的知識結構，才能適應網絡審計工作的需要。通過不斷學習和參加培訓，提高創新能力和對信息技術的使用能力，從而提高自身的價值。注冊會計師不僅要轉變觀念，充分認識和利用網絡的優勢，更要精通網絡技術，不斷提高網絡審計技能，確保網絡審計的高效率和高質量。中國可以考慮在將來的CPA資格考試中適當增加有關計算機、網絡的理論及操作知識的考核，并在從業人員的后續教育中強制加入相關內容。以國際注冊信息系統審計師（CISA）資格考試為參考，通過培訓和考試，培養具備較高深的計算機軟硬件和網絡知識、信息系統審計技術的較高層次的IT審計人才。另一方面，加快引進高層次的計算機專業人才，改善現有審計人員的組織結構也是非常有效的途徑之一。因為注冊會計師不可能人人都成為計算機與網絡的專家。所以，計算機與網絡專家、信息系統與電子商務專家參與網絡審計將是必然趨勢。

（四）完善中國網絡審計的法律法規與準則制度

加強網絡審計立法，制定相關法律法規與準則制度。網絡審計立法是保障網絡審計正常發展的關鍵性措施。加強與電子商務、網絡經濟相關的立法，要在立足中國國情的基礎上借鑒國際上相關示范法或其他國家相關法律法規，制定與網絡審計有關的法律規章，使人們在開展網絡審計工作時有法可依、有章可循。中國應盡快制訂有關電子商務的法律、法規，把電子憑證、電子合同和數字簽名的法律效力及保管要求，數字認證機構的管理，電子信息與網絡系統的安全等相關問題以法律法規的形式明確下來。另一方面，進一步完善與網絡審計有關的審計準則與審計標準的制定。由于網絡審計的對象、線索、方法、流程、結果等各方面較傳統審計都發生了變化，以往的審計標準和準則已經不能完全適用。因此對目前已有的不適應網絡審計的相關法律法規應及時地進行修改和補充，如在法律法規上確定審計機構和審計人員有權審查被審計單位的信息系統功能與安全措施，加快建立一套符合網絡經濟發展特征的新審計準則體系，以促進網絡審計的健康發展。

參考文獻：

［1］舒海霞.網絡審計論［J］.企業研究，2006，（8）.

［2］王萍.網絡審計的對象創新和業務創新［J］.會計天地，2004，（8）.

［3］邱曉娜.對推動我國網絡審計發展的思考［J］.審計與理財，2006，（5）.

［4］宋榮臻，李悅.網絡審計及其方法的完善［J］.科技與經濟，2005，（4）.

［5］張強.未來發展的網絡審計［J］.現代審計與經濟，2005，（7）.

［6］張霆軍.淺析網絡審計結構及發展對策［J］.交通科技與經濟，2006，（5）.

［7］王新建.計算機審計風險防范研究［J］.科技資訊，2006，（31）.