首页 资料文库 期刊中心 杂志订阅 发表指南 个人中心
美章网 精品范文 安全审计的类型范文

安全审计的类型范文

安全审计的类型

安全审计的类型范文第1篇

关键词:安全审计;数据挖据;日志分析

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2011)35-0000-0c

Research of the Network Security Audit System Based on Data Mining

(Department of Information and Electronic, Hangzhou polytechnic, Hangzhou 311400, China)

Abstract: In this paper, network security audit was studied as a data analysis process, logs in the network environment is the important data source, some main data mining techniques was considered such as Preprocess, Association, Sequential, Classification, Clustering, a basic structure of network security audit system was proposed and the algorithms for audit data mining was discussed.

Key words: security audit; data mining; log analysis

随着信息化建设的飞速发展,金融机构、政府部门、公安国防等含有大量敏感数据的机构对信息系统的依赖性越来越高,除了采用身份认证和授权管理技术对非法用户和非法操作进行屏蔽外,对这些数据的合法操作同样有可能导致安全事故的发生,比如泄密、恶意删除、操作失误等。为此,基于操作日志的风险预警和责任认定体系的研究正成为信息安全领域的一个研究热点。据IDC统计,2007-2011年,国内风险管理解决方案市场以22.4%的复合增长率快速增长。

现有的责任认定主要通过安全审计来实现。安全审计除了能够监控来自网络内部和外部的用户活动,对与安全相关活动的信息进行识别、记录、存储和分析,并对突发事件进行报警和响应之外,还能通过对系统事件的记录,为事后处理提供重要依据,为网络犯罪行为及泄密行为提供取证基础。同时,通过对安全事件的不断收集与积累并且加以分析,能有选择性和针对性地对其中的对象进行审计跟踪,即事后分析及追查取证,以保证系统的安全。

在TCSEC和CC等安全认证体系中,网络安全审计的功能都被放在首要位置。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否真正安全的重要尺度,是一个安全的网络必须支持的功能特性[1]。

本文以安全审计领域中的数据挖掘应用为研究视角,以操作日志为数据对象,给出了基于多源日志数据挖据的网络安全审计系统的基本架构,并对研究过程中的几个关键技术点进行了分析。

1 系统架构

目前安全审计系统中普遍采用的特征检测的方法是由安全专家预先定义出一系列特征模式来识别异常操作。这种方法的问题是模式库得不到及时的更新,这样在安全审计的过程中系统不能自适应地识别出新型异常,使误报警和漏报警问题不断发生。此外,一方面随着网络应用的普及,网络数据流量急剧增加,另一方面有些审计记录本身包含了大量的无关信息,于是,数据过载与检测速度过慢的问题也不无出现。

数据挖掘本身是一项通用的知识发现技术,其目的是要从海量数据中提取出我们所感兴趣的数据信息(知识)。这恰好与当前网络安全审计的现实相吻合。目前,操作系统的日益复杂化和网络数据流量的急剧膨胀,导致了安全审计数据同样以惊人的速度递增。激增的数据背后隐藏着许多重要的信息,人们希望能够对其进行更高抽象层次的分析,以便更好地利用这些数据。将数据挖掘技术应用于对审计数据的分析可以从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,抽象出有利于进行判断和比较的特征模型。根据这些特征间量模型和行为描述模型,可以由计算机利用相应的算法判断出当前网络行为的性质。

基于数据挖据的网络安全审计系统的基本架构如下图1所示。

图1 系统架构

系统由ETL、数据仓库、元数据引擎、OLAP引擎、专家知识库、数据挖掘模型、应用接口等部分组成。ETL系统将异构、分散的审计数据日志抽取并清洗后送入数据仓库;数据仓库根据不同的数据分析特点采用星型或雪花型模式存储多维数据模型;元数据引擎负责定制与维护规范的ETL规则定义、数据仓库模型定义及业务流程定义;OLAP引擎通过MDX(Multi Dimensional Expression,多维查询表达式)语句分析器响应用户查询操作,分析器接收客户端提交的MDX语句,并对该MDX语句进行语法和语义分析,然后按照预先定义的多维数据模型转换成相应的SQL(结构化查询语句)语句,最终从关系型数据库中获取有关的数据。如果需要获取的数据已经在缓存中,则直接从缓存中获取。专家知识库记录了典型案例和审计规则,根据知识库中的规则,责任分析模型应用数据挖掘相关算法对数据进行分析,当某用户的行为与知识库中定义的异常规则相一致时,通过应用接口层给出警报信息,当出现与知识库中的任何规则都不匹配的异常规则时,利用聚类和分类挖掘技术将这些知识添加到知识库中。这样可以通过不断修改知识库来发现未知攻击或已知攻击的变种。

2 关键技术分析

2.1 多源日志处理

在信息化建设过程中,由于各业务系统建设和实施数据管理系统的阶段性、技术性以及其它经济和人为因素等影响,操作系统、网络设备、安全设备的使用日益复杂化,这导致产生了大量异构、分散的安全审计数据,包括操作系统日志、安全设备日志、网络设备日志以及应用系统日志等,这给数据分析与决策支持带来了困难。解决方案是对异质异构日志数据格式进行转换,同时使用事件合并机制对系统间相似数据进行合并,并与各案例库和各日志库一起为责任认定系统提供数据服务,为责任认定提供依据。文献2对多源日志数据的采集、范化、分析、过滤、聚类、归并等过程进行了综述,并提出了相应的算法和实例。

2.2 审计数据仓库构建

数据仓库存储模型与传统的业务数据库系统有着本质的区别,数据库技术在存储模型建设方面强调数据模型的规范性和高效存储能力,而数据仓库技术在存储模型建设方面强调数据查询的方便性和快速响应能力。目前通常采用的数据仓库存储模型有:星型模型,雪花模型[3]。星型模型将一个事实表放在中间,周围是有数据相关的维表,事实表是星型模式的核心,数据量很大。维表是事实的附属表,数据量比较小,它提供了事实表中每一条记录的描述性信息。在星型模式中,每个维只用一个表来表示,每个维表包含一组属性,从而造成了一定程度的冗余。为了避免这些冗余数据占用过大的空间,可以用多个维表来表示一个层次复杂的维,从而把数据进一步分解到附加的表中。这种规范化了的星型模式称为雪花模式。虽然雪花模式减少了数据冗余,节省了存储空间,但由于执行查询时需要进行更多的连接操作,降低了浏览的性能。在审计数据仓库中,由于浏览操作的实时性和频繁性,星型模型更为适用。

2.3 数据挖据算法应用

在安全审计中,运用数据挖掘技术,可以利用统计、分类、聚类、关联、序列分析、群集分析等方法,对网络日志中大量的数据进行深层次分析和研究,揭示其本来的特征和内在的联系,使它们转化为网络安全检测所需要的更直接、更有用的信息。

1) 分类与预测算法:分类要解决的问题是为一个事件或对象归类。在使用上,既可以用来分析已有的数据,也可以用它来预测未来的数据。安全审计可以看作是一个分类问题:我们希望能把每一个审计记录分类到可能的类别中,正常或某种特定的入侵或操作异常。一般来讲,分类根据系统特征进行,关键就是选择正确的系统特征,大多数时候还需要根据经验和实验效果确定一个合理的阀值。

2) 关联分析:关联规则挖掘是指发现大量数据中项集之间有意义的相关联系。关联规则可以从海量的日志数据集中发现不同字段之间存在的关系,这些联系反映了用户的某些操作在一段时间内频繁出现的条件,清楚地反映了用户的行为模式。利用关联规则算法挖掘出合法用户的历史正常行为模式,将当前的行为模式与历史正常行为模式进行比较,从而可以分析出用户的潜在异常行为。文献4即根据网络审计日志实时更新的特点,提出了一种基于深度优先生成树的关联规则挖掘的改进算法FIDF,改变了候选项集的产生顺序,提高了审计日志数据关联规则挖掘的效率,确保了入侵检测系统的实时性和准确性。

3) 聚类技术:聚类就是将数据对象分组成多个类或者簇,划分的原则是在同一个类(簇)中的对象之间具有较高的相似度,而不同类(簇)中的对象差别较大。在网络安全审计中,聚类模式的常规做法是通过分析网络资源的受访问情况以及访问次序,来找到用户间相似的浏览模式,并进行安全性识别。文献5针对聚类应用在日志分析中存在的主要问题,从聚类算法的选择标准、改进方向、性能分析3个方面探讨了典型聚类算法k-means算法的研究成果。

3 结束语

本文将网络安全审计与责任分析视为一种数据分析的过程,以网络环境中大量的安全责任日志数据为分析对象,综合运用数据挖掘中的预处理、关联、序列、分类、聚类等技术,提出了网络安全审计系统的基本架构,重点对适用于审计数据挖据的相关算法进行了应用分析。

参考文献:

[1] 张旭东.内网安全审计系统及审计数据挖掘研究[D].浙江工业大学,2007.

[2] 刘成山,张秀君,刘怀亮.多源日志的数据挖掘方法研究[J].情报杂志, 2009(3):154-156.

[3] Inmon, W H.数据仓库[M].4版.北京:机械工业出版社,2006.

安全审计的类型范文第2篇

随着计算机以及网络的普及和广泛应用,信息系统的安全问题也变得越来越严重.虽然有很多安全技术,如加密、访问控制、入侵检测等可以用来应对各种安全威胁,但是这些技术并不能完全保障系统的安全.事实上,在系统实际运行中,安全威胁中很大一部分都源于内部人员攻击,而入侵检查和访问控制等机制对这类攻击的防范能力非常有限;另一方面,对于很多外部入侵事件,入侵检测工具不能作出正确的响应.在这些情况下,作为安全事件追踪分析和责任追究的审计机制有着不可替代的作用.审计机制在多级安全数据库中更为重要.因为在支持多级安全的数据库系统中,隐通道可以绕过强制安全策略的限制,可能构成对系统的严重安全威胁.有些隐通道很难在系统实现中完全消除,对这些隐通道一般可以采用审计的方法【1】.通过对构成隐通道场景中操作序列进行审计,可以威慑内部人员利用隐通道进行的非授权通信,也可以在事后检查是否存在恶意代码的攻击. 因此。对多级数据库设计灵活的审计机制更加必要. 对于审计子系统来说,一个简单的审计策略是,对数据库系统中发生的所有事件都审计,可以完全满足安全分析和责任追踪的需求.然而,这样将大大降低系统的时间效率和空间效率,并且记录大量无用的事件信息.因此,对系统中所有操作事件都审计是不现实的,也是不必要的.审计系统应该具有配置审计事件的能力,灵活、有效的审计配置功能可以使得审计日志在尽量少占用时间和空间的前提下,为安全事件分析和责任追究提供足够多的信息.然而,已有的商业化数据库系统对灵活的审计设置的支持非常有限.因此,研究并提出具有灵活结构、表达能力丰富、形式化的审计策略模型对多级安全系统的设计和开发都有着重要的意义. 针对目前实际系统对审计支持的局限性,本文提出的审计策略模型主要解决以下几方面的问题:首先,对于大型的数据库管理系统,由于包括了大量的数据对象和用户,需要支持多个审计管理员进行分布式管理,如何实施全局的审计策略设置以及如何协调各个审计管理员之间的关系是值得研究的. 其次,需要研究如何为审计管理提供灵活的基于时间的审计.这种功能是很有必要的.比如,审计策略要求在下班时间或者某些重要的时段发生的事件需要更全面和详细的审计,这时就可以使用支持时间约束的审计规则.否则,需要审计管理员在不同的时段重新配置审计策略,给管理带来很大的不便. 最后是细粒度审计设置的研究.在一些数据库中,针对元组的细粒度审计一般是通过触发器机制实现的.这种方式不利于审计管理员进行全局的一致性的审计策略管理.在本文提出的模型中,我们通过引入审计对象属性谓词来实现灵活的细粒度的审计策略配置. 需要指出的是,在多级安全的数据库中,一方面要求审计子系统应该支持对隐通道的审计,另一方面,审计子系统本身在设计时也应该尽量避免引入新的隐通道.本模型提出的细粒度审计策略设置可以用来辅助对隐通道的审计.本模型还规定审计策略的安全级别满足一定的性质以防止引入新的隐通道. 本文第1节详细描述基于多级安全数据库管理系统的通用审计策略模型的框架结构.第2节讨论审计策略模型的核心结构审计策略规则库的组成以及策略表达语言.第3节给出保证模型安全性必须满足的不变量.第4节讨论审计策略规则库的可判定性问题并给出了判定算法.第5节介绍与本文相关的研究工作.第6节总结全文.1多级审计策略模型基本框架多级安全数据库是实施多级强制安全策略(比如BellLaPadula模型【21)的数据库管理系统.从抽象的模型层次来看,数据库与操作系统的不同之处主要是数据库中引入了事务以及数据模型,因此,在审计策略模型中包括了事务类型和会话类型.我们的审计策略模型中对客体对象抽象为树状结构,与具体数据模型无关,因此既可以用于关系数据模型,也可以用于对象数据模型以及半结构化数据模型,如XML文档数据库.多级安全的数据库中所有的主客体都有相应的安全级别标签,并且树状结构的客体对象的安全级别满足从树根到叶子的升序关系.这样,根据BLP模型的简单安全特性(任何用户只允许读该用户的安全级别支配的客体),任何级别的用户看到的对象视图也构成一棵树.用户的安全标签可以是TRUSTED,表明该用户是可信的,可以违反强制安全策略. 引入可信主体的目的是为了方便管理员的操作.用户也属于一种特殊的客体对象,因为用户属性修改、删除用户等操作的对象就是用户名.审计策略模型的核心是审计策略规则库,实施审计的子系统将根据审计策略规则库决定是否对一个事件审计. 2审计策略规则库 审计策略规则库是审计策略模型的核心部分,根据审计策略规则库可以确定对任何一个事件是否应该审计以及审计的频度.实施审计的子系统将根据上述判定结果实施审计或者不审计.本节我们将依次给出审计策略规则库各个组成部分的定义. 由于本模型支持时间约束的审计策略,我们先给出时间约束的定义.文献[3】引入了周期时间的概念,由于该定义直观上易于理解,并且能够表达常见的时间约束。因此本模型也采用这种时间描述形式. 在审计策略中,我们可以根据一个操作的执行结果决定是否进行审计.常用的操作执行结果有操作成功和操作失败.为了进一步控制对某些类型操作结果的审计,我们还定义了自主访问控制不允许导致的操作失败、强制访问控制不允许导致的失败,以及在系统禁止多实例时用户企图创建多实例对象导致的失败.通过对操作失败原因的细分,可以方便地按照违反安全策略的类型对操作进行审计策略定义. 定义4(操作执行结果ges).操作执行结果是操作执行是否成功或者失败以及失败类型.操作执行结果集合RES={fi,r2,吩,...),并且基本操作执行结果集合{SUCCESSFUL,uNSucCESSFUL,BOTH)cRES,以及操作失败类型集合FRES={EDAC,EMAC,EPOL,...}cRES.其中SUCCESSFUL表示操作成功执行,uNsuccEssFuL表示操作失败,BOTH表示操作成功或者失败,EDAC表示自主访问失败,EMAC表示强制访问失败,EPOL表示多实例失败(当系统禁止多实例时创建导致多实例的对象).除了基本操作执行结果以外,RES还可以包括其他类型的操作执行结果.#p#分页标题#e# 在一次会话中,同一个用户对同一个对象进行同一个操作,而且操作结果也相同,那么审计策略可以规定审计次数(审计频度),即每次访问都进行审计或者整个会话只审计一次.由于在数据库系统中一个会话可以相对于多个事务,因此审计策略还有一个选择是:规定每个事务审计一次.审计频度的引入可以帮助审计管理员在配置审计策略时,在审计记录信息的充分性和审计效率之间进行平衡. 定义5(审计频度FREQ).审计频度是相同类型的事件(用户、操作、操作对象、操作结果相同)在一个系统运行阶段中审计的次数.集合职EQ定义为用硒Q={SESSION,TRANSACTION,ACCESS),其中SESSION表示审计记录等于会话频度,即在一个会话中同样的访问事件只记录一次.TRANsAcTION表示事务频度,ACCESS表示访问频度. 在数据库系统中,对象客体有很多属性,比如对象的名称、类型、宿主等.对于元组对象,还包括元组中元素属性的值.通过引入对象属性函数,就可以基于对象属性进行审计策略配置,提供灵活的细粒度的审计策略规则.比如,通过元组属性,可以控制对元组级访问的审计. 定义6(对象属性函数ATTR).对象的属性函数集合ATTR={啦,at2,at3,...),并且定义{Name,Label,Type,Owner,Elem}c-_ATTR为基本的对象属性函数.注意这些函数都是偏函数,可在某些对象上没有定义.其中Name:0jSTRING,把对象映射为对象的名称,STRING为字符串类型:Label:0斗L,返回对象的标签,Type:0一臃,返回对象的类型;Owner:0一U,返回对象的宿主;Elem:0XELEMENToVALUE,返回元组对象的元素值,其中ELEMENT是元组属性名集合,VALUE定义为值集合,是最基本的抽象数据类型,模型中其他类型都是它的子类型,如字符串类型、对象类别类型、用户类型等. 在前面定义的基础上,我们可以定义基本的审计策略项. 定义7(审计策略项).审计策略项是九元组(口,d,q,U,P,f,r,S,m),其中a∈AU{ALLACT)是需要审计的操作,ALLACT表示所有的操作;d∈0表示审计对象所在的范畴,所谓审计范畴是指被审计的对象都在以对象d为根的子树中;g是关于对象的谓词,一般形式是atil(o,...)=vfl^…^ato(o,...)=‰,v“,…,vf,∈VALUE;U∈UU{ALLUSER),ALLUSER表示所有的用户;P是区间周期时间约束,f∈FREQ,r∈RES,J={+,一},表示审计或者禁止审计.m∈UU{SYS)表示设置该审计策略规则的用户,当审计设置用户为SYS时,表示由系统设置的强制审计项.注意,审计策略项不能包含变量.该审计策略表示,对于操作SELECTTABLE,操作对象是在数据库DB】中的类型为表的对象五,所有的用户,时间从2004年-2006年每天的18点一第2天的9点,无论操作结果如何,在一个事务中审计一次.该审计策略是ALICE设置的. 下面定义审计策略闭项.与审计策略项相比,审计对象范畴和审计对象谓词两个元素被确定的审计对象取代,周期时间约束为具体时刻.因为审计策略闭项与系统事件(将在后面定义)形式上更为接近,所以,根据审计策略闭项可以方便地判定一个事件是否需要审计. 定义8(审计策略闭项).审计策略闭项定义为八元组(口,o,u,f,,,r,s,埘),其中f为时刻,其他都是常量,与审计策略项定义相同. 不同的审计策略项可能会表示相同的审计策略.下面定义的审计策略公理就是对审计策略项之间的蕴涵关系的形式化规定,用户定义的任何审计策略库都包含这些规则. 定义9(基本审计策略推衍规则).推衍规则的一般形式是疗甜q,口材破,...,口“4j口“反。,推衍规则符号与前面的审计策略项是前提,后面是推衍结果.推衍符号上的C是推衍的约束条件,当C=f时表示没有约束. 注意,推衍规则符号—旦专和逻辑蕴涵符号专的区别,前者一定会出现推衍约束条件.否定推衍规则的含义是,审计策略项的非就是审计符号J取反.下面规则的含义都非常清楚,这里不再一一说明.除了不同审计策略库都包含的基本审计策略推衍规则以外,用户还可以根据需要定义其他的审计策略推衍规则.引入这些规则可以使得审计管理员通过少量的定义生成大量的审计策略,从而方便审计管理员定义和维护审计策略,减轻审计管理员的负担.如同审计策略公理一样,在审计策略衍生公式中,审计策略项的分量可以是变量,也可以是常量.在aud中分要么是前提中出现的变量,要么是常量(LL如具体的用户,对象,操作,或者关于属性的谓词表达式).简便起见,定在蕴涵符号后边的审计策略项不包括“非”,这不影响衍生公式的表达能力. 定义2~定义10是审计策略规则库的所有组成部分的定义,下面给出审计策略库的完整组成定义,定义11(审计策略规则库APB).审计策略规则库由多个审计策略项(称为初始审计策略项),基本审计策略推衍规则和扩展审计策略推衍规则组成.其中审计策略项和扩展审计策略推衍规则可以根据需要来定义,而APB中必须包含全部基本审计策略推衍规则. 3审计策略模型不变量 本节我们给出审计策略模型应该满足的安全性质(或者称为模型不变量). 因为我们的审计策略模型是基于多级数据库管理系统,所有的审计策略项或者审计策略衍生规则也是有安全级别的,为了避免隐通道,我们规定了审计策略的安全级别应该满足的性质.通过信息流分析方法可以证明满足下列性质的审计策略模型没有隐通道. 性质1.审计策略(包括审计策略项和扩展审计策略规则)的安全级别等于设置审计的用户策略的安全级别.对于可信审计管理员设置的审计策略,审计策略的级别设置为最高的安全级别. 假设ap是用户“设置的审计策略,根据强制安全策略,只有用户的级别支配对象级别时,才可以读访问该对象.下面的性质要求非可信的审计管理员的级别应该支配审计策略中的范畴d的级别.4APB的可判定性在讨论APB的可判定性之前,我们先定义什么是审计策略项的推衍.定义12(审计策略项的推衍).#p#分页标题#e# 我们把审计策略规则库“推衍”出一个审计策略项(或者闭项)记为:APB卜÷(a,d,q,“,f,,,r,s,m)或者APBH(口,0,甜,zI,厂,r,S).审计策略项推衍关系是下面的递归关系形成的最小关系: (1)如果该审计策略项是APB中的初始审计策略项,则APB卜÷(d,d,q,z,,f,,,r,s,m). (2)如果一个推衍规则口Ⅳ碣,口”也,..棚甜瓯—三专口甜以+。前提中的审计策略项口甜碣,口“吐,...,口甜砟都可以由APB推衍,且该推衍规则的约束条件C满足,同时,当模型的3个不变量也满足时,该推衍规则结论中的审计策略项也是可以推衍的,即APBF---)口“以"从APB推衍某个审计策略项的过程可以形成一棵推衍树.推衍树的树根是目标推导审计策略项,孩子节点对应推衍规则前提的一个审计策略项,父节点对应推衍规则的结论审计策略项.对于审计策略规则库APB,一个重要的问题是,是否存在算法判定任何一个审计策略闭项能否可由审计策略库推导出来.我们知道,在一般的基于一阶谓词逻辑的系统中不存在这样的判定算法.对于本文定义的APB来说,我们将证明APB是可判定的.下面首先定义APB的可判定性,然后构造一个判定算法,并证明该算法的正确性,从而证明APB是可以判定的. 定义13(APB的可判定性).对于任意的审计策略闭项(口,0,U,f,厂,r,s),如果存在有限步骤的算法确定APB卜÷(口,0,材,『’厂,r,J)是否成立,则称APB是可判定的. 定义14(审计策略项/闭项的匹配).两个可能包含变量的审计策略项(a,d,q,U,P,f,r,s,m)和(口’,d’,q’,U’,p’,.厂7,r’,S’,m’)(或者两者前面都有否定符、)是匹配的,当且仅当对于它们中每~对参量,a,a’;d,d’;…;聊,m’,如果两者都是常量则必须是相同的;如果其中一个为常量,另一个为变量,则称该常量为变量的匹配常量.注意,在前面描述的推衍树中,已经推衍出的审计策略项如果与推衍规则前提中的审计策略项相匹配就可以推衍出新的审计策略项.因此,为了后面描述算法的需要,我们把匹配也作为一种特殊的推衍规则(类似地,有审计策略闭项的匹配,这里不再单独定义). 算法1.审计策略闭项判定算法CAPD. 本算法对于一个给定的审计策略规则库APB和一个审计策略闭项(a,o,甜,f,厂,,,s,m),判定该审计策略闭项是否可以由APB推导出来,即APB卜÷(口,0,U,f,厂,r,J)是否成立. 本算法的基本思想是,首先定义扩展审计策略项集合,其初始值包含所有的基本审计策略项;然后生成新的项并入扩展审计策略项集合,方法是判断每个扩展推衍规则的所有前提策略项是否可以由扩展审计策略项集合以及基本推衍规则推衍,如果可以,就把该扩展推衍规则生成的项加入扩展审计策略项中,重复该过程直到不能找到新的审计策略项;最后,判定扩展审计策略项和基本审计推衍规则是否可以推衍出目标的审计策略闭项. 第1步.生成扩展审计策略项集合. 11初始化扩展审计策略项集合Eap=⑦.对所有的基本审计策略项aud,Eap=EapU{aud}. 2)对一个扩展推衍规则rule,它的每一个前提审计策略项audi(f.1,2,...,∞,调用下面定义的子例程CompuSatItems(audi),计算可以从当前Eap和基本推衍规则推衍的且与audi匹配的全部审计策略项,记为Items(audi).当每个audi对应的Items(aud3都计算出来后,每次从式Items(audl)×Items(aud2)×…×Items(audk)中取一个策略项k元组,与规则rule匹配,生成一个策略项并入Eap中,直到全部的k元组都处理完. 3)对每一个扩展推衍规则rule都执行第2)步. 4)如果当前的Eap与第2)、第3)步执行前比较它的元素没有增加(我们把它称为完备Eap),算法进入下面的第2步;否则转到2)步继续循环执行. 第2步.判定审计策略闭项(口,o,u,f,.厂,,,s,m)是否可由完备Eap和基本推衍规则推衍.本步结束,输出判定结果,整个算法结束. 注意,该步计算过程与子例程CompuSatltems(audi)非常类似,不同的是只要找到一个匹配的项即可,所以算法可在CompuSatltems基础上进一步优化.具体的步骤不再详述. 子例程CompuSatItems(aud). 本子例程计算可以从当前扩展审计策略项集合Eap和基本推衍规则所能推衍的并且与输入参数aud匹配的全部审计策略项,返回值就是这些审计策略项的集合(注意,aud可能包含变量).算法的思想是宽度优先的次序扩展每一个节点,构造一棵逆向推衍树,初始化根节点为aud. 1)对已经构造的推衍树中每个未扩展节点node(对应的审计项记为audk), 1.1)首先把audk依次匹配各个基本推衍规则的结论部分,如果与某推衍规则匹配,就用audk中的常量替换该推衍规则对应变量的所有出现(包括约束条件),然后把该推衍规则前提策略项添加为以node为父节点的孩子节点. 1.2)然后把audk与Eap中所有审计策略项au4匹配,如果匹配,则把au4生成为node的孩子节点,并标记为真叶子节点. 2)上述过程结束时,把node标记为已扩展的节点.重复1),采用同样的方法扩展所有未扩展的非叶子节点,生成他们的孩子节点.没有未扩展的非叶子节点时进入本子例程的第3)步.注意,本算法对扩展一个节点使用的推衍规则有一个要求,即从该节点的孩子节点到根的路径上,任意一条推衍规则只能使用一次.后面的算法正确性证明中我们将说明这个要求的合理性.#p#分页标题#e# 3)当构造的推衍树中没有未扩展非叶子节点时,从根开始递归计算与各个节点匹配的合法审计策略项集合(所谓合法,就是可以从当前Eap和基本推衍规则推衍的不含有变量的审计策略项).每个节点匹配的合法审计策略项集合Mi的计算方法是,对它的每一个孩子节点匹配的合法审计策略项,如果满足对应的推衍规则约束条件,那么按照该规则生成的审计策略项就属于^衙;如果孩子是叶子节点,则该叶子节点的策略项属于尬. 4)当与根节点匹配的合法审计策略项集合计算完毕后就把该集合作为结果返回. 如果以后需要再次使用上面的算法判定一个审计策略闭项是否可推衍,那么第一次调用算法后就可以生成完备Eap,之后判定时算法的第1步可以不用再执行了,这样就极大地提高了效率. 引理1.对任何APB和任意的审计策略闭项(口,0,U,f,厂,r,s),算法CAPD执行有限的步后结束. 证明:因为算法的第2步与CompuSatltems类似,我们只需要分别证明子例程CompuSatltems是可以停机的,算法的第l步是可以停机的就可以了. 首先证明CompuSatItems是可以停机的.由算法可知,构造的推衍树的度不大于基本推衍规则数目和Eap元素个数之和,并且推衍树的深度不大于基本推衍规则个数之和加1(因为一条路径上每条规则最多使用一次,加上匹配Eap审计策略项的匹配规则一次).这就表明推衍树是有限的.另外我们还需证明,对于任意约束谓词,当其中的变量都用常量替换后,它是可以判定的.推衍规则中的约束条件包括:a∈A,U∈U,d’∈0^e(d,d7),P’∈P,q’一q,r∈Fe汜.Q,(d=0VP(d,D))Aq(D)^f∈巨(p)以及ULabel(m)OTRUSTED--*Label(o)=ULabel(m).显然,由于操作集合、对象集合等都是有限集合,所以,除了P’£P,f∈巨(p),q’jq,其他约束是否满足都很容易根据系统状态来加以判定.而根据周期时间的定义,P’£P,f∈量(p)也是可以判定的.对于矿_g,由前面关于对象属性谓词的推衍规则的说明中可以知道,它也是可以判定的.所以CompuSatItems是可以停机的. 其次证明算法CAPD的第1步是可以停机的.由于CompuSatItems每次返回的项集合都是有限的,且推衍规则的数目是有限的,所以易知CAPD的第1步中的第2)步以及第3)步可以在有限步内结束.第4)步循环,当Eap不再增加新的元素时才会退出,因此,我们只需要证明Eap的元素个数存在一个最大的上界即可.由算法分析可知,对Eap中的任意项,其中的常量必然来自于初始策略项或者扩展推衍规则中已有的常量,所以Eap中不同项的数目最多等于审计策略项每一个参量对应的常量数目之乘积.所以Eap是有限的. 所以,算法CAPD执行有限的步后结束.口由上面的引理可以很容易地估计算法的时间复杂度.引理2.对于任何审计策略闭项,算法CAPD输出true,当且仅当APBI--)(口,0,U,f,.厂,,,s). 证明:必要性是显然成立的.当算法输出为true时,可以根据算法,构造一棵从叶子节点为初始审计策略项到根节点为审计策略闭项的推衍树所以APBH(口,0,U,f,厂,r,s). 充分性.当APB卜÷(a,o,u,f,厂,r,s)成立时,必定存在一棵推衍树tree,树根为(a,o,u,f,^r,s),叶子为初始审计策略项(显然,该推衍树所有节点的审计策略项都不包含变量).首先证明,对于任意一个Eap,如果使用基本推衍规则可推衍的审计策略项aud,子例程CompuSatltems(aud)也可以找到相同的项.由于基本推衍规则只有一个前提、一个结论,所以推衍一个审计策略项的推衍树退化为一个推衍线性序列.我们只需证明,对于任意的推衍序列,可以等价变化为每条推衍规则只出现一次,并且变换后的序列最终推衍出同样的策略项aud.由于CompuSatltems(aud)构造的推衍树必然有一条路径与变换后的推衍序列匹配。所以子例程CompuSatltems(aud)也可以找到相同的项.我们注意到,因为审计策略闭项规则的结论是八元组的策略闭项,所以,如果推衍序列中有审计策略闭项推衍规则,则它必然只有一条,而且是最后一条规则.又因为其他基本推衍规则都是对某一个参量的变换所以可以互相交换位置,不会影响最终的推衍结果.比如,推导序列(d,d,…)I-'->f11le2(口,d’,…)I-9,。l。l(口’,d’,…). 推衍的结果是一样的.这样。我们可以把同一推衍规则的不同出现交换集中在一起.考察每一条基本推衍规则,只有关于对象层次、时间约束和对象属性谓词的推衍规则可能出现两次以上,对每条重复的规则只保留头尾两个审计策略项,它们正好用一条审计推衍规则可以进行推衍.这样得到的推衍序列每条基本推衍规则最多出现一次. 然后,可以证明,tree中每一个由扩展推衍规则生成的策略项aud都属于算法CAPD第1步执行完后的最大Eap.可用数学归纳法来证明.对于tree中每一个由扩展推衍规则生成的策略项aud,按照从它到叶子的所有路径中最多使用了i个扩展推衍规则来进行分类。对i进行归纳.若i=1,则aud的前提项到叶子只经过0个扩展推衍规则,这样,其前提项都可以由初始审计策略项和基本推衍规则来推衍,根据前面的结论,其前提项都可由子例程CompuSatltems找到,所以aud属于Eap.假设i≤k的aud都属于Eap,则推衍树上斛1的aud的前提项到叶子方向的所有推衍路径上,不经过任何扩展推衍规则都可以找到属于Eap的审计策略项.所以可以由Eap和基本推衍规则推衍.这就证明了tree中每一个由扩展推衍规则生成的策略项aud都属于算法CAPD第1步执行完后的完全Eap.所以,对于目标审计策略闭项(口,o,u,f,/,r,s),它到叶子方向的任何推衍路径上,不经过任何扩展推衍规则都可以找到属于Eap的审计策略项,所以它可以由子例程CompuSatItems找到.这样,算法CAPD的输出为true.口定理1.APB是可判定的. 根据引理1,2,显然APB是可判定的. #p#分页标题#e# 5相关工作 审计是保障信息系统安全的重要技术.关于审计的已有研究主要集中在审计系统的体系结构、审计记录的逻辑和物理储存方式f401等方面,或者研究如何通过审计记录来发现入侵行为以及内部人员权限的滥用问题[6,71.就目前公开的研究资料来看,还很缺乏关于如何配置审计方面的研究.一方面,表达能力强大的审计策略语言有现实的需求;另一方面,对于多级数据库来说,其中的客体对象和操作类型复杂,还涉及到多级安全和隐通道问题,因此,建立形式化的审计策略模型对开发多级安全数据库管理系统是非常重要的.与本文相关的研究主要包括多级安全数据库的研究、安全策略模型的研究,特别是访问控制策略的研究. 多级强制安全策略多采用BellLaPudula模型,已有的多级安全DBMS[8,91也大多基于该模型.本文的模型也是建立在采用BLP模型的DBMS之上的.本文引用的多级DBMS系统数据模型采用的是抽象的对象层次结构模型,没有对DBMS中的具体对象。如表、视图、元组等进行进一步的规定和描述.原因有两个:一是考虑到模型的通用性,较高的抽象层次描述模型可以使其能适应各种具体的数据模型,如对象的或者关系的数据模型;另一个原因是,就我们要建立的审计策略模型来说,这种抽象的对象层次模型已经足够刻画该审计策略模型的主要特性.审计策略模型一般不作为安全策略模型的一部分【l叭.因此,在已有的系统设计中,都没有为审计策略建立模型.然而,从我们的实际设计开发来看,建立审计策略模型是非常必要的.审计策略模型在内容和形式上与安全策略模型特别是访问控制策略模型有很多相似之处.因此,本文的研究借鉴了很多关于自主访问控制模型的研究成果.本文采用的基于规则的方法借鉴了Jajodia等人【11】提出的基于逻辑语言的授权的思想,它使得访问控制策略与访问控制策略模型独立开来,这样就可以在同一个策略模型中表达不同类型的访问控制策略.本文的周期时间约束来源于Bertino等人[3,121在访问控制模型中支持周期时间的授权及其时态推理的思想. 本文的审计策略模型与Bertino的支持时间约束的访问控制模型有以下几方面的不同:首先,在我们的模型中.对象采用了范畴和对象的属性谓词来描述,具有更大的灵活性.需要注意的是,如果还把审计策略项作为谓词.则相应的推导系统就是高阶谓词逻辑.本文通过引入基于推衍规则来推衍审计策略项的方法避免了这个问题.其次,审计策略项中包含了审计频度、执行结果等与审计策略相关的属性,这样导致审计策略规则的一致性和完备性与访问控制策略有很大的不同. 6结论 本文提出了一种基于多级安全数据库的灵活、通用的审计策略模型.模型中提出了审计对象的层次范畴结构以及审计禁止规则的方法来应对和解决分布式审计管理问题.该模型具有较强的表达能力,可以表达基于时问的审计策略,也可以实现基于规则的审计策略推衍.通过引入对象的属性谓词,还可以表达细粒度的审计策略.通过时间约束和细粒度的审计策略的支持,可以方便地设置对潜在隐通道的审计.本文定义的审计模型不变量可以保证审计策略模型本身不会引入隐通道.本文还证明了审计策略规则库的可判定性质,并给出了判定一个事件是否需要审计的算法.虽然本文提出的审计策略模型是基于多级安全数据库的,但是适当的修改也可以用于多级安全的操作系统或者其他应用系统,因此具有较大的适应性. 我们下一步的工作是进一步放宽对扩展审计策略推衍规则的形式限制,以便表达更为复杂、通用的策略推衍机制.还需要研究审计策略模型的语义以及审计策略规则库的动态更新算法等.

安全审计的类型范文第3篇

关键词:J2EE; 安全模型; JAAS; 设计方案

中图分类号:TN713.1 文献标识码:B

文章编号:1004-373X(2010)13-0107-03

Research and Design of Security Server Based on J2EE

YIN Feng-she,JIAO Lei

(Sh

nxi Polytechnic Institute, Xianyang 712000, China)

Abstract: The architecture and security demands of an application server based on J2EE are introducd. The security model of J2EE application server is presented. The main parts of the security model is discussed in detail. A design scheme of the scalable J2EE security server based on Java authentication and authorization service (JAAS) is proposed. The major security issues of J2EE application server were solved to meet the security requirements of J2EE.

Keywords: J2EE; security model; JAAS; design plan

J2EE应用服务器安全模型的核心是安全服务,安全服务为容器和组件提供安全认证、授权和审计服务,本文讨论了安全服务的架构,并给出了安全服务的主要部分:认证服务、授权服务、安全会话管理器和审计服务的设计。

1 安全服务架构

安全服务由以下几个主要部件构成:认证服务、访问控制服务、用户信息目录、安全策略库、审计服务、会话管理器、安全服务管理接口、安全服务管理控制台和安全服务客户。J2EE安全服务通过认证器、访问控制器和审计器3个接口向外界提供安全服务,而安全服务的安全元信息保存在用户信息目录和安全策略库中[1]。

为了让安全服务成为一个通用的客户无关的服务,安全服务独立于J2EE环境运行,这样可以为不同类型的应用服务器和应用程序提供访问控制机制。

2 认证器和用户信息目录

认证器[2]的目的是将外界提供认证信息的用户映射为系统平台内部的用户,通过认证信息标识用户的身份。为了保证认证机制的可扩展性和灵活性,认证器在设计时有以下原则:

(1) 认证器需要具备对不同类型认证机制的潜在支持,如密码认证、证书认证。

(2) 认证器对同一种认证机制必须能够支持多种不同类型的用户信息目录。

(3) 必须提供对一个用户多种认证方式的支持。

(4) 必须支持现存遗留的用户信息目录和认证机制。

由于JAAS[3]实现了标准Plugable Authentication Module(PAM)框架的可插拨认证机制,采用JAAS作为认证服务的实现机制,将JAAS的不同认证域映射为认证服务的不同认证机制,而将JAAS认证域中的LoginModule 映射为不同的用户信息目录认证支持。

认证器对不同认证机制的支持可以采用对象模型方式建模[4],对象模型如图1所示。

认证器Authenticator 的接口定义如下:

public interface Authenticator{public SessionToken authenticate(Principal principal, Credential credential) throws AuthenticationException;}

认证器的Authenticate()方法完成用户认证功能,不同的认证机制传入不同类型的Principal和Credential 值,认证器根据传入Principal 和Credential 的类型,自动选择适合的认证方式,映射到JAAS认证域,并使用JAAS进行认证。同时通过将LoginModule 的标志设置为sufficient,保证必须至少有一个用户信息目录认证通过才能通过系统认证。系统应该提供一个基础的LoginModule 基类,用于收集所有必须的用户信息,从而提供构造适合的令牌需要的用户信息。

图1 支持多种认证机制的对象模型

用户信息目录中的用户信息包含用户认证需要的特定认证的信息以及其他的信息,这些信息和一个特定的系统用户关联,系统用户通过一个全局惟一的用户标识符ID来标识。用户认证完成之后,访问系统的用户被映射为系统中惟一标识的用户,该用户标识和用户认证信息在建立安全会话过程中与安全会话建立关联。

3 安全会话和安全会话管理器

当用户认证之后,用户认证状态的安全持久保持和验证通过安全会话进行,认证器认证用户后会使用会话管理器建立一个安全会话,将所有用户的安全信息和会话绑定。会话管理器[5]负责统一管理所有用户认证之后的安全会话,会话管理功能可分为两类:操作型和管理型。会话管理对象模型如图2所示。

图2 安全会话管理对象模型

用户认证完之后,安全会话管理器给用户建立一个安全会话,安全会话通过返回给用户的会话令牌标识,会话令牌包括的信息有:认证方式、认证方式相关信息、用户标识符、认证Principal和Credential 等,安全会话上下文由用户获得的安全令牌表示。

在用户退出系统时,会话管理器撤销用户会话,并删除所有用户登录后生成的信息。在用户访问控制过程中,用户相关的安全信息可以通过用户会话的会话令牌获得。

4 访问控制器和访问控制策略

访问控制器的目的是提供对多种不同类型资源各种级别的访问控制,它使用认证之后用户的标识和安全策略库中的安全访问控制策略元信息来判断登录系统的用户有无对特定资源的特定的访问权限,它所采用的是声明式访问控制机制。

为了提供访问控制服务的可扩展性和灵活性,访问控制器的设计必须遵循以下原则[6]:

(1) 能够扩展支持多种不同类型的访问控制策略,如基于角色的访问控制、基于规则的访问控制;

(2) 必须能够提供对不同类型策略库的支持,如基于XML 文件的策略库和基于LDAP 的策略库;

(3) 必须能够提供对各种不同类型的资源进行访问控制,提供对各种定制权限和定制资源的管理;

(4) 访问控制机制必须独立于认证器所采用的认证机制,即与用户的认证方式无关。

访问控制机制的核心是访问控制策略,参考文件系统的访问控制策略[7],将资源使用目录结构按名字空间以层次型结构组织,并对层次结构中的所有的节点配置各种类型的安全访问控制策略,这样,安全访问控制策略按照资源的层次组织方式为基础进行组织。可以将资源或者按资源的类型,或者按资源所属的应用程序包划分为多个名字空间。

资源通过系统惟一的统一资源标识符URI标识,URI的名字组织方式采用资源层次结构中的资源层次名字统一组织,这样在安全策略库中每一个资源都有特定的标识符来惟一表示。

与资源相关的还有权限问题,不同的资源其可访问的权限是不一致的。对于Web资源,可访问的权限限于几种标准的HTTP方法,但是对于EJB资源[8],不同的EJB组件可以被外界调用的方法是不一致的。为了使安全访问控制系统支持不同类型的权限,提供权限的扩充,图3给出针对不同类型资源的权限模型。

图3 权限的抽象模型

Right 抽象了所有的权限,各种不同类型资源的特定权限通过扩展Right 插入安全服务系统中。所有与特定资源类型相关的权限信息被封装在特定类型的Right 扩展类中。

访问控制器AccessController 完成对资源访问的授权检查,它通过使用当前的安全会话、需要访问的资源对象和需要的权限对访问策略检查完成。访问控制器的接口定义如下:

public interface AccessController {public void check(SessionToken token,Resource resource,Right right) throws AuthorizationException; }

5 安全审计

安全审计[9]的目的是对用户的认证过程、认证之后的安全活动、对资源访问控制的安全授权过程以及管理员对安全策略库的管理过程等所有涉及到安全的活动进行记录。

安全服务支持各种类型的审计策略,通过标准的接口,可以按照访问的用户、被访问的资源或者进行的操作进行审计的控制,审计器使用安全服务上的审计策略来控制和实施审计过程。审计日志记录了所有的审计信息,通过安全管理接口,可以浏览系统所有安全相关的审计记录。通过一个标准的接口,安全服务支持各种类型的审计日志实现。审计机制的对象模型如图4所示。

图4 可扩展的审计模型

6 安全管理接口和安全管理控制台

安全管理的目的是提供对认证机制、授权机制和审计机制的相关信息进行配置和管理。对认证机制的配置和管理主要涉及JAAS域认证映射、用户信息目录配置、用户信息管理,其目的是提供针对不同应用需求为用户定制认证机制和用户信息目录。

为了提供上面提到的对认证、授权和审计机制的管理目标,安全服务管理应该能够提供如下的功能:

(1) 获得某资源相关的所有安全访问控制策略;

(2) 添加和删除安全访问控制策略;

(3) 获得某资源的所有可能的权限;

(4) 对被管理资源添加和删除权限;

(5) 添加新的资源类型;

(6) 添加、删除用户;

(7) 添加、删除审计策略。

由于所有的认证策略、访问控制策略和审计策略都存储在安全策略库中,安全管理的过程实际上就是对安全策略库的管理。安全管理接口通过安全策略库接口对各种遵循标准接口的安全策略库进行统一管理。安全管理对象模型[10]如图5所示。

图5 安全管理对象模型

PolicyManager包装了所有的安全管理相关的操作,通过PolicyManager接口可以对策略库进行操作完成上面提到的功能。

把对安全策略库及其他安全信息的管理功能包装成一个API接口,其优点是可以对这些API的访问设置安全策略,如授权策略、审计策略。这样系统的安全控制机制就可以控制和跟踪管理员对系统的安全管理过程。

7 结 语

安全访问控制是中间层应用服务器提供给运行时组件的重要功能,这里提出的J2EE应用服务器安全机制的架构解决了J2EE应用服务器的主要安全问题,满足了J2EE的安全需求。同时,该安全架构从设计上具有可移植、通用性、可扩展性和灵活性。

参考文献

[1]Taligent Inc.. Building object-oriented frameworks[ M] . [ S.l.] : Taligent Inc., 2005.

[2]PERRONE Paul J.J2EE构建企业系统专家级解决方案[ M] .张志伟,谭郁松,张明杰,译.北京:清华大学出版社,2001.

[3]LI Gong.Java 2平台安全技术――结构、API设计和实现[ M] .王韵凯,石磊,译.北京:机械工业出版社,2000.

[4]Jamie Jaworski.Java安全手册[ M] .邱仲潘,译.北京:电子工业出版社,2007.

[5]LAI Charlie, LI Gong, KOVED Larry, et al. User authentication and authorization in the Java(TM) platform[ C] //CSAC. Processings of the 15th Annual Computer Security Applications Conference. AZ: CSAC, 2008: 51-59.

[6]WOLFGANG Pree. Design patterns for object-oriented software development[ M] . [ S.l.] : Addison-Wesley Publishing, 2008.

[7]VOGEL Andreas. Enterprise application for the net with EJB, CORBA and XML[ M] . [ S.l.] : Inprise Corporation,2005.

[8]Tanenbaum A S.分布式操作系统[ M] .陆丽娜,伍卫国,刘隆国,等译.北京:电子工业出版社,1999.

安全审计的类型范文第4篇

关键词:航天型号;技术评审;有效性

中图分类号:F273 文献标识码:A

引言

2011年卫星发射将取得新的突破,在现有资源条件下对评审进行优化势在必行。在不降低评审把关作用的前提下,基于提高评审有效性的航天型号评审项目进行研究具有重要的意义。

目前各单位进行的评审涉及预先研究、产品化、型号研制等方面,本次调研针对航天型号评审进行。下文中论述的评审如无特殊说明均指型号研制技术评审。本文对调研情况进行了总结和分析,并基于提高评审的有效性提出了航天型号评审工作的改进措施。

1.航天型号评审现状

1.1评审的定义和目的

技术评审是在航天器型号研制过程中由型号内、外的同行专家对型号产品的设计、制造、总装、测试和试验工作进行的评议审查活动。技术评审是为型号技术决策和行政系统管理决策提供评审意见的一项必须进行的工作,评审不改变型号原有的技术责任和管理责任。

1.2型号技术评审分类

型号技术文件类型一般有设计类、产品保证类、工艺类、总结类、技术状态更改类、质量问题归零类、出厂评审类等。

设计类细分为:方案论证报告类、初样设计报告类、正样设计报告类、任务书/技术要求类、产品规范/技术条件类、接口类、研制技术流程类、研制计划流程类、可靠性和安全性分析设计报告类、测试覆盖性分析报告类、计算文件类、材料,元器件选用清单类、关重件及目录外材料/元器件清单类、软件产品类。

产品保证类文件包括产品保证要求、产品保证计划。

工艺类细分为:工艺文件、大纲文件(试验大纲、测试大纲和验收大纲)、细则文件(测试细则、验收细则)、测试程序文件。

总结类文件细分为:测试总结报告/试验总结报告类、技术攻关报告类、研制总结类、复核复审/复核复算类。

技术状态更改类文件指以技术状态管理相关内容为主的技术文件,如技术状态更改论证报告、技术状态更改专项报告等。

质量问题归零类文件包括质量问题技术归零、质量问题管理归零。

出厂评审类文件包括元器件出厂专项评审、软件出厂专项评审、可靠性与安全性出厂专项评审、质量问题归零出厂专项评审、技术状态更改出厂专项评审、风险分析与控制出厂专项评审、系统级出厂评审。

1.3型号技术评审的管理

目前型号承制各单位按照型号评审的要求,技术文件均开展室级、车间级审查或评审。型号技术评审实行分级管理,单机文件经过研究室和厂、所级技术把关,分系统文件经过厂、所级和总体技术把关、总体文件经过总体和项目办把关。为确保质量,部分分系统文件也由项目办进行了评审。院负责的型号评审工作主要是出厂评审、转阶段评审、共性问题归零评审。技术评审工作程序一般包括准备、评议审查和问题跟踪管理三个阶段。

1.4型号技术评审调研情况

本次调研的单位涵盖了总体、分系统和单机单位。总体以XX星总体为例,分系统以XX星热控分系统为例,单机以XX星用二次电源为例。调研采取会议、座谈、书面问卷等形式进行,调查的对象既有型号总设计师又有一线设计人员,既有机关部领导又有基层管理人员。

各单位调研的结果存在很多共性的表现。这里对单机、分系统、总体进行举例说明。涉及到的所有文件均开展室级、车间级审查或评审,开展的形式多样,评审形式包括:会议评审、函审和审查。

单机产品以XX星二次电源为例。整个研制周期共编写152份,全部进行了研究室和所级评审。其中初样阶段89份;正样阶段63份。软件以XX卫星帆板驱动机构LTU软件为例。整个研制阶段共编写29份文件,全部进行了研究室和所级评审。其中初样阶段9份,1份进行了所、厂级评审;正样阶段20份,其中1份进行了所、厂级评审。

分系统以XX星热控分系统为例。整个研制阶段共编写108份文件,全部进行了研究室和所级评审。其中初样阶段43份文件,所级评审8份,项目办级评审8份;正样阶段65份,其中所级评审6份,项目办级评审6份。

总体文件以XX星为例。整个研制阶段共编写560份文件,全部进行了研究室和所级评审。其中初样阶段211份文件,项目办评审57份,院级评审8次;正样阶段339份文件,项目办评审78份,院级评审13份。

2.存在的问题及原因

调研过程中发现:型号研制过程中进行的大量评审确保了研制质量,起到了专家咨询把关、协同设计、各方认可、集思广益的作用,但其中也存在一些问题。

2.1会议评审工作量大,参会人员多

技术责任制不充分落实,导致大量文件进行会议评审。目前大量评审会议进行的不是真正意义的评审,不符合评审的定义,而是在进行技术协调、设计优化、状态确认。会议评审数量多,导致项目办、总体人员、技术专家参会频次大。参会人员没有严格限制,导致参会人员多。

存在用评审会议代替集同设计、技术协调、复核复算的现象;报告编写者在编写报告过程中仅仅同各专业、各系统进行了局部的技术协调。利用评审会议进行充分的各专业和系统之间的协调和集同设计,导致同一份文件多次评审。真正意义上的集同设计是可以同时完成多份文件的技术协调和多个设计指标的优化。对于计算分析类文件更好的技术把关形式是复核复算。

存在用评审证明书代替文件签署责任、技术问题处理单的现象;有些文件无需专家评议审查,完全可以通过文件签署责任制保证其正确性,但仍然进行评审。造成参会人员多的原因也是多方面的,例如:型号利用评审会议争夺人力资源,调动员工工作积极性;研究室领导利用评审会议进行员工培训。

2.2评审有效性不够,管理不规范

用户对航天器的要求不断提高,型号周期短,技术难度大。需要评审的项目数量大同,有限的专家资源和紧张的研制周期之间存在矛盾。评审策划不够,评审文件准备不充分,提交到评委的时间太晚,导致评委无法认真仔细的审查。会议时间较短,报告时间较长,评委发言时间不充分等。评审组组成不够合理。会议组织者没有充分分析评审要点,没有根据评审内容确定相关专业的专家。目前,院没有专业齐全的评审专家名库。被评审方对评委提出的建议和问题没有进行充分的分析,并进行落实和解决。评审会议待办事项缺乏闭环管理。

3.解决措施

3.1落实技术责任制,严格进行两级技术把关

所有的技术文件必须开展室级、车间级的技术把关,把关的形式可以是灵活多样的,但必须形成技术把关的记录。严格执行“单机文件经过研究室和所、厂级技术把关,分系统文件经过所、厂级和总体技术把关,总体文件经过总体和项目办把关。”目前的产品保证队伍体系设置有:项目办产品保证经理(副总师)、分系统产品保证经理(副主任设计师)、各研究室或产品中心产品保证经理(副主任),确保所负责产品质量。确实落实各级产品保证经理在技术文件把关中的职责,由各级产品保证经理提出评审项目建议,并分析评审项目的评审要点,作为评审会议邀请相关专家的依据。各级产品保证经理根据文

件内容分解技术责任,并对技术责任分解的正确性负责,填写“技术分解表单”,作为技术文件的一部分进行归档。相关技术责任人均需对报告进行会签。会签的过程中可以自行组织小范围的技术协调等活动。各级产品保证经理提出复核复算项目的建议,组织工艺集中审查、会签。

3.2改变重要评审组织模式,提高评审有效性

重要技术评审采取复核复审与评审相结合的工作模式,在相对充裕的时间内,对整个设计过程进行集同复核复审,并将专家提出的意见、建议和设计师的反馈意见集中汇总,形成最终的评审结论。重要技术评审全过程所产生的所有质量记录须经设计师汇总、整理形成“XX专题总结报告”,并扫描归档。

3.3优化型号评审工作,提高评审有效性

(1)评审项目的设置,控制评审级别

由各级产品保证经理编制单机、分系统、系统级评审项目清单,相应管理部分审查评审项目的必要性。评审项目应该是技术上确有评议审查必要或管理程序要求。评审项目内容要避免重复,内容类似尽可能合并。控制评审会议级别,在充分地进行两级技术把关的基础上,能够一级完成的评审项目。尽可能不进行两级评审。

型号方案转初样前,进行产品保证策划和技术状态基线2个专项院级评审;可靠性和安全性、元器件2个专项只进行项目办级评审,不再进行院级评审,其内容在型号转初样评审总报告中反映,同时在总报告中要包含“九新”分析、FPGA产品选用及风险控制措施策划内容。直接进入正样研制阶段的型号按照方案转初样模式进行评审。

型号初样转正样前,进行产品保证策划专项院级评审;可靠性和安全性、元器件2个专项只进行项目办级评审,不再进行院级评审,其内容在型号转正样评审总报告中反映,同时在总报告中要包含“九新”分析、FPGA产品选用及风险控制措施落实情况。对于型号出厂评审,按照首飞型号、国家重大工程型号、非首飞型号、批产的装备型号等类别,采取不同的评审策略。

对于首飞型号,型号出厂前,进行在轨故障预案、地面测试设备、元器件、可靠性和安全性、软件、质量问题归零、技术状态更改、风险分析与控制8个专项院级评审;重要分系统出厂专项评审只进行项目办级评审,不再进行院级评审,其内容在风险分析与控制专项报告中反映。国家重大工程型号的评审方式按照首飞型号进行。

对于非首飞的型号(不包括批产的装备星),型号出厂前,进行元器件、可靠性和安全性、软件、质量问题归零、技术状态更改、风险分析与控制6个专项院级评审;重要分系统出厂专项评审只进行项目办级评审,不再进行院级评审,其内容在风险分析与控制专项报告中反映;在轨故障预案、地面测试设备2个专项不再进行项目办和院级评审,其内容在风险分析与控制专项报告中反映。

对于批产的装备型号,型号出厂前,进行质量问题归零、技术状态更改、风险分析与控制3个专项院级评审,若批产的装备型号同时出厂,可分别和型号对应相同专项合并进行(如xx卫星02、03、04星可合并进行3颗星质量问题归零专项院级联合评审);元器件、可靠性和安全性、软件3个专项可分别和型号对应相同专项合并进行院级联合评审;重要分系统出厂专项评审可分别和型号对应相同专项合并进行项目办级联合评审,不再进行院级评审,其内容在风险分析与控制专项报告中反映;在轨故障预案、地面测试设备2个专项不再进行项目办和院级评审,其内容在风险分析与控制专项报告中反映。

型号发射场加注暨转场前评审报告中要包含型号进场后风险分析与控制工作情况,并积极研究更加适合航天新形势的型号发射场加注暨转场前评审管理模式,引导和推行视频会议评审等方式。进一步提高评审有效性。

(2)采取多种审查手段

严格按《航天产品设计文件管理制度设计文件的签署规定》落实三级审签制度的责任制,提高技术文件设计、校对、审核、工艺、标审、会签、批准工作的有效性。

发挥集同设计会、技术协调会在研制工作中的作用,发挥技术问题通知单、更改单、现场问题处理单、技术状态更改单等的作用。

研究函审等其他专家评议审查的方式。

(3)控制参会人员数量

在确保各方认可的前提下,按照会议议题杜绝无关各方人员参会,同时严格控制相关方参会人员数量。

(4)评审时机的选择

在轨故障预案、地面测试设备、元器件、可靠性和安全性4个专项的评审时机提前到型号总装测试开始后至型号力学和热试验开始前期间进行;软件专项的评审时机提前到型号软件落焊前进行;质量问题归零、技术状态更改、风险分析与控制3个专项的评审时机在型号完成力学和热试验完成后至出厂前期间进行,其中地面测试设备、元器件、软件等专项评审后若再次发生质量问题,在质量问题归零专项报告中反映。

安全审计的类型范文第5篇

关键词:数据库;审计;入侵检测;实现

计算机技术和网络技术深入到社会各个层面的同时,也带来了极大的安全隐患,在信息产业迅猛发展的状态下,数据库成为了大量信息存储、开发和应用的重要工具,而为了确保数据库的安全使用,需要关注数据库的安全审计,科学而合理地控制用户的行为,对数据库进行入侵安全检测,并进行跟踪、追查和分析,从而确保国家和社会的安全和稳定。

1 数据库安全隐患及审计的必要性分析

数据库管理系统面临诸多的安全威胁,它来源于多个层面,有外部的安全隐患,也有内部的安全隐患,它应用于各个领域,具有极大的风险性,它处于的环境之中,存在安全机制方面的弱点,因而,需要对数据库进行安全限制,重点有:数据库宿主机的安全、用户认证的限制、访问控制的限制。然而,现有的数据库安全机制不能完全解决数据库的安全问题,由于外来访问用户的不确定性,导致数据库管理系统无法抵御外来的入侵者,如果普遍用户盗取了数据库系统管理员的身份,则可以实现对数据库的非法控制,从而造成系统安全受到威胁。这时,就需要数据库的审计系统,对外来的入侵进行访问审计,在数据库信息数据被盗取、篡改的情况下,对数据信息进行恢复和追查,在科学、先进而全面的审计系统和方案之下,实现对数据库的审计记录。我们可以这样认为,安全审计是数据库安全的有机组成部分,它与数据库系统的知识和网络安全,具有不可分割的重要意义和作用。

2 数据库的安全审计研究

在我国的《计算机信息系统安全保护等级划分准则》之中,鉴于这一安全性的考虑,我国的信息安全国家标准对于数据库系统的安全保护划分了五个等级,它们对于数据库系统使用用户的身份进行鉴别,并将使用客体导入到用户地址空间之中,安全审计机制可以实现对数据库的安全审计记录,并对身份鉴别事件进行审计删除等操作。它是对数据库系统进行安全活动的收集和记录,并进行分析、评估和审查,监测一切非正常的可疑事件记录,从而对数据库信息系统实现安全审计。同时,在等级逐步提高的安全审计中,增添了对存储型隐蔽通道的安全审计内容,添加了对安全审计事件的积累及限定预警功能等。

2.1 安全审计概念

数据库信息系统的安全审计方法主要通过数据库审计系统和审计方案加以实现,在这个审计系统之中,主要由两部分构成,即:审计数据采集器和审计数据分析器,它们分别负责对数据库系统的数据进行采集和分析,并加以存储为日志。

具体安全审计流程为:

①收集数据库用户的所有事件,包括引擎搜索、查询、逻辑操作等;

②以审计条件为依据,对用户的事件进行安全审计判定;

③将安全审计事件以日志的形式加以存储和记录;

④如果安全审计事件符合报警预定条件,则发送报警信息并自动记录;

⑤一旦审计事件重复连续出现,将被剔出数据库系统,并生成安全审计报告。

2.2 安全审计模块设计

2.2.1 安全审计模块总框架

在数据库的安全审计模块之中,主要框架由日志模块、安全事件模块、安全分析模块和安全通知模块构成。其模块框架由下图所示:

这些不同的模块负责各自不同的职能,其中:日志模块重点采集数据库用户的运作信息,加以全面的采集、独立审计和记录。安全审计分析模块则是一个数据库入侵检测系统,来源于数据库的安全事件,对这些安全事件进行阈值分析和数据库应用规则匹配,以检测数据库系统的入侵状态和安全性能。安全审计通知模块是基于报警性能的通知模块,它对于数据库操作的各种动作进行报警。

在安全审计模块之中,审计开关控制是关键基础,它分为三种:

①审计总开关。重点控制数据库安全审计的开闭,它的操作权限仅限定于安全审计管理员;

②审计分析总开关。这一开关仅是对日志信息进行采集,而不对其进行处理。是基于事后的分析功能,它的性能较实时分析强,但是丧失了即时响应的功能。

③配置开关。这是在不同开关选项的配置之下,节省了安全审计配置的工作量,用简便的开关操作替代了复杂的配置操作。

2.2.2 日志模块架构及功能

日志模块的构造由日志配置表和日志踪迹表组成,这两者是相互关联、互为因果的关系,在日志配置表的运作中,可以对数据库的各种操作进行记录,并根据日志配置表所显现的信息,写入对应的日志踪迹表之中。在日志配置表信息之中,有三种日志信息,即:用户操作日志信息、用户登陆退出日志信息、强制访问控制日志信息,对应这三种不同的日志信息,也生成了相应的日志踪迹视图,它们对于不同安全事件的时间、主客体、错误等信息都进行了追踪。

2.2.3 安全事件模块架构及功能

由于日志记录是一个信息浩瀚的海洋,因而,需要有一个模块对这些海量的信息进行过滤,针对这些原始日志信息,可以进行安全事件模块应用之下的信息过滤和“清扫处理”,在这一流程之中,可以较大地减少审计分析的噪音,清理与安全无关的事件信息,从而生成系统安全事件和用户级别的安全事件。

2.2.4 安全分析与入侵检测模块架构与功能

安全入侵检测以安全事件为数据源,在对安全事件进行响应的过程中,进行违背用户定义的规则分析,并对此做出响应。为了提升数据库系统的审计能力,需要将审计追踪与实时预警相结合,实施实时的入侵检测和跟踪,在对日志信息进行审计分析的过程也即是入侵检测的过程,对于安全审计追踪日志的分析需要借助于审计分析工具,并采用三种不同的分析方法加以实现,它们包括:

①统计分析方法。这是对合法用户的行为的统计和检验;

②数据库使用规则状态下的专家系统分析法。这是进行预定的设计之下,依照一定的规则进行“滥用检测”,它与“异常检测”相区别;

③数据库系统自动学习。这是基于数据库系统自身的主动审计分析,这是一种新型的分析方法,可以实现对访问用户的监视和学习。

2.2.5 响应模块框架及其功能

这是安全审计模型中的最末层,它对于潜在的入侵可以发出安全警报,并在监测的条件下做出对入侵事件的不同响应。例如:将对数据库系统进行攻击的用户踢出系统;对疑似的攻击用户加以锁定控制;对于异常入侵的用户禁止其登陆系统等。

3 数据库安全审计中的入侵检测实现研究

3.1 数据库入侵检测结构及分类

随着计算机数据库攻击技术的不断发展,数据库信息系统的安全受到入侵威胁,为了实现对数据库的安全审计,还需要对数据库的入侵进行检测,数据库入侵检测的体系结构主要分为集中式结构、分布式结构和分层结构三种,他们各有其特点。其中,集中式结构可以集中分析和处理数据库的入侵行为,但是面对这样的集中处理,检测主机便成为了安全“瓶颈”。分布式结构可以较好地对数据库信息数据进行监控,对于内外部入侵行为进行检测,然而,这种结构要以处于同一层次为前提,如果层次太低或太高,则无法实现对网络的入侵检测。

分层结构可以应用于日益复杂的入侵行为,它呈树形分层状态,如下图所示:

这种树状的分层结构可以处理大数据量,效率较高,同时,它还可以动态调整节点层次关系,完成数据库信息系统的动态最佳配置。

数据库入侵检测系统包涵信息数据提取、入侵分析和响应处置三大部分,其中:数据提取是检测基础和前提,它对系统运行状态下的数据进行过滤和预处理;入侵分析是关键核心内容,它对运行数据进行安全攻击分析,并将结果传递给响应模块。响应处置的功能则是对安全攻击用户进行报警与处置反应。入侵检测系统可以按照数据源的不同分为主机的入侵检测系统和网络的入侵检测系统;可以按照数据分析方法的不同分为滥用检测和异常检测;按照数据分析发生的时间可以分为离线分析和在线分析,相比较而言,在线分析对于数据库系统的资源配置要求较高,精准度和即时性较为良好。

3.2 数据库系统常用的入侵检测技术

数据库系统的入侵检测技术主要包括以下几种:

3.2.1 专家系统分析技术

这一检测技术应用于滥用检测方案,它无须用户理解或干预,是将问题推理与解决方案相分离的应用方式。但是,存在对环境的适用能力较差的问题,对于具有时序特征的入侵行为也无法实现检测。

3.2.2 模式匹配检测技术

它是将入侵特征编码与审计安全记录事件相匹配,一旦有新的审计事件,则要寻求与之相匹配的入侵模式,它的可扩展性较好,误报率较低,然而在匹配性能方面还需要进一步完善。

3.2.3 状态转移检测技术

它是一种图形化的描述方式,是以入侵渗透为对象,用节点表示系统状态,“弧”表示状态转移。这一技术是高层次的、与审计记录无关联的方式,可以检测不同状态下的相同入侵模式。

3.2.4 统计检测技术

这一技术应用于异常检测,是一种较为成熟的入侵检测方法,它无需更新规则库,操作简便。但是,这种方法无法反映审计事件的时间先后关联性。

3.2.5 数据挖掘技术

数据挖掘技术以全新的理念应用于入侵检测,是一项未来信息检测处理的骨干技术,它可以从大量模糊、随机的数据中提取隐含的有用信息,并根据各数据之间的潜在关联,做出高层次的分析和决策。常用的数据挖掘技术包括有:关联分析、序列分析、分类分析、聚类分析,它们应用于入侵检测系统之中,可以提取数据库中有效的信息,构建入侵模型库,在进行数据采集、预处理、挖掘、特征提取、入侵检测的流程之下,完成对入侵行为的检测分析。它可以有效地解决手工分析和编码入侵模型的问题,极大地提升了入侵检测的精确度。

3.3 异常检测分析

对于数据库系统的异常检测是误用检测的补充方式,它可以及时发现安全审计未定义的误用状况,在异常检测分析中,可以建立相关的异常检测模型,其模型构成由规则库、安全审计事件向量采集模块、监控模块组成,在正常状态下进行安全审计事件的采集;在监控状态下对安全审计事件进行匹配,可以实现正常匹配的即为安全,不能匹配正常的误报状况则为异常。其具体监测过程为:当安全审计事件踪迹至规定条数之后,即按序列加以分析,按照向后看的匹配规则进行配置,这种匹配规则高效而简便。

3.4 误用检测分析

在数据库入侵检测系统之中,采用阈值误用检测分析法,它的入侵误警率非常低,可以在建立误用入侵检测模型的条件下,由预警模块直接进行处置。这种入侵检测方法也即基于知识的入侵检测法,它并非使用系统统计度量,而是基于内在规则或时间上的序列关联进行检测,它更注重对安全审计事件的“必然的约束”关系,它的检测分析方法核心的问题是规则的提取,由于它牵涉到数据库系统的用户登陆、访问控制、可信通道等多方面因素,因而,在误用检测系统中只需要对特定的入侵知识进行界定,便可以实现对入侵用户的操作控制。这种检测方法主要采用两种:

①状态迁移误用检测分析技术。

这种方法可以对系统的初始状态加以迁移,根据系统某一特定时刻的应用特征进行描述,在中间的迁移状态下辨识出危及系统安全的入侵状态,并对初始状态和入侵状态之间的关键性活动进行描述,它适用于步骤相连性的全序列关系下的入侵用户操作行为检测与监控。如:数据库中的临时用户。

②模式匹配分析技术。

这种方法将入侵用户的行为检测与监控转换成操作模式匹配的方式,数据库系统对入侵用户的行为检测器进行模型匹配,这种模式识别技术较为成熟而实用,其检测模型如下图所示:

在上述检测模型之中,包含有三种阈值,即:动作类阈值、序列类阈值、整合类阈值。其中:动作类阈值指在一定时间段内的安全事件超过定义次数;序列类阈值是指一定时间段内满足系统某一全序关联的安全事件;整合类阈值与序列类阈值类似,然而区别在于它无须满足全序关联,而只要发生了相应的事件即可。

4 结束语

综上所述,在网络信息数据要求日益提升的条件下,数据库要存储海量的信息,必须以安全为前提加以利用,为此,数据库的安全审计要对日志信息进行分析,构建数据库安全审计模型,并针对入侵行为进行异常检测和处理,进一步提高实时入侵检测系统的性能,实现入侵规则的合理配置,从而确保数据库信息系统的安全。

参考文献:

[1]赵雪.基于云端的移动智能终端入侵检测机制研究[D].辽宁大学,2015.

[2]葛佳.P2P网络信誉数据存储与恢复方法的研究与实现[D].昆明理工大学,2015.

安全审计的类型范文第6篇

计算机技术和网络技术深入到社会各个层面的同时,也带来了极大的安全隐患,在信息产业迅猛发展的状态下,数据库成为了大量信息存储、开发和应用的重要工具,而为了确保数据库的安全使用,需要关注数据库的安全审计,科学而合理地控制用户的行为,对数据库进行入侵安全检测,并进行跟踪、追查和分析,从而确保国家和社会的安全和稳定。 

1 数据库安全隐患及审计的必要性分析 

数据库论文管理系统面临诸多的安全威胁,它来源于多个层面,有外部的安全隐患,也有内部的安全隐患,它应用于各个领域,具有极大的风险性,它处于裸露的环境之中,存在安全机制方面的弱点,因而,需要对数据库进行安全限制,重点有:数据库宿主机的安全、用户认证的限制、访问控制的限制。然而,现有的数据库安全机制不能完全解决数据库的安全问题,由于外来访问用户的不确定性,导致数据库管理系统无法抵御外来的入侵者,如果普遍用户盗取了数据库系统管理员的身份,则可以实现对数据库的非法控制,从而造成系统安全受到威胁。这时,就需要数据库的审计系统,对外来的入侵进行访问审计,在数据库信息数据被盗取、篡改的情况下,对数据信息进行恢复和追查,在科学、先进而全面的审计系统和方案之下,实现对数据库的审计记录。我们可以这样认为,安全审计是数据库安全的有机组成部分,它与数据库系统的知识和网络安全,具有不可分割的重要意义和作用。 

2 数据库的安全审计研究 

在我国的《计算机信息系统安全保护等级划分准则》之中,鉴于这一安全性的考虑,我国的信息安全国家标准对于数据库系统的安全保护划分了五个等级,它们对于数据库系统使用用户的身份进行鉴别,并将使用客体导入到用户地址空间之中,安全审计机制可以实现对数据库的安全审计记录,并对身份鉴别事件进行审计删除等操作。它是对数据库系统进行安全活动的收集和记录,并进行分析、评估和审查,监测一切非正常的可疑事件记录,从而对数据库信息系统实现安全审计。同时,在等级逐步提高的安全审计中,增添了对存储型隐蔽通道的安全审计内容,添加了对安全审计事件的积累及限定预警功能等。 

2.1 安全审计概念 

数据库信息系统的安全审计方法主要通过数据库审计系统和审计方案加以实现,在这个审计系统之中,主要由两部分构成,即:审计数据采集器和审计数据分析器,它们分别负责对数据库系统的数据进行采集和分析,并加以存储为日志。 

具体安全审计流程为: 

①收集数据库用户的所有事件,包括引擎搜索、查询、逻辑操作等; 

②以审计条件为依据,对用户的事件进行安全审计判定; 

③将安全审计事件以日志的形式加以存储和记录; 

④如果安全审计事件符合报警预定条件,则发送报警信息并自动记录; 

⑤一旦审计事件重复连续出现,将被剔出数据库系统,并生成安全审计报告。 

2.2 安全审计模块设计 

2.2.1 安全审计模块总框架 

在数据库的安全审计模块之中,主要框架由日志模块、安全事件模块、安全分析模块和安全通知模块构成。其模块框架由下图所示: 

这些不同的模块负责各自不同的职能,其中:日志模块重点采集数据库用户的运作信息,加以全面的采集、独立审计和记录。安全审计分析模块则是一个数据库入侵检测系统,来源于数据库的安全事件,对这些安全事件进行阈值分析和数据库应用规则匹配,以检测数据库系统的入侵状态和安全性能。安全审计通知模块是基于报警性能的通知模块,它对于数据库操作的各种动作进行报警。 

在安全审计模块之中,审计开关控制是关键基础,它分为三种: 

①审计总开关。重点控制数据库安全审计的开闭,它的操作权限仅限定于安全审计管理员; 

②审计分析总开关。这一开关仅是对日志信息进行采集,而不对其进行处理。是基于事后的分析功能,它的性能较实时分析强,但是丧失了即时响应的功能。 

③配置开关。这是在不同开关选项的配置之下,节省了安全审计配置的工作量,用简便的开关操作替代了复杂的配置操作。 

2.2.2 日志模块架构及功能 

日志模块的构造由日志配置表和日志踪迹表组成,这两者是相互关联、互为因果的关系,在日志配置表的运作中,可以对数据库的各种操作进行记录,并根据日志配置表所显现的信息,写入对应的日志踪迹表之中。在日志配置表信息之中,有三种日志信息,即:用户操作日志信息、用户登陆退出日志信息、强制访问控制日志信息,对应这三种不同的日志信息,也生成了相应的日志踪迹视图,它们对于不同安全事件的时间、主客体、错误等信息都进行了追踪。 

2.2.3 安全事件模块架构及功能 

由于日志记录是一个信息浩瀚的海洋,因而,需要有一个模块对这些海量的信息进行过滤,针对这些原始日志信息,可以进行安全事件模块应用之下的信息过滤和“清扫处理”,在这一流程之中,可以较大地减少审计分析的噪音,清理与安全无关的事件信息,从而生成系统安全事件和用户级别的安全事件。 

2.2.4 安全分析与入侵检测模块架构与功能 

安全入侵检测以安全事件为数据源,在对安全事件进行响应的过程中,进行违背用户定义的规则分析,并对此做出响应。为了提升数据库系统的审计能力,需要将审计追踪与实时预警相结合,实施实时的入侵检测和跟踪,在对日志信息进行审计分析的过程也即是入侵检测的过程,对于安全审计追踪日志的分析需要借助于审计分析工具,并采用三种不同的分析方法加以实现,它们包括:

①统计分析方法。这是对合法用户的行为的统计和检验; 

②数据库使用规则状态下的专家系统分析法。这是进行预定的设计之下,依照一定的规则进行“滥用检测”,它与“异常检测”相区别; 

③数据库系统自动学习。这是基于数据库系统自身的主动审计分析,这是一种新型的分析方法,可以实现对访问用户的监视和学习。 

2.2.5 响应模块框架及其功能 

这是安全审计模型中的最末层,它对于潜在的入侵可以发出安全警报,并在监测的条件下做出对入侵事件的不同响应。例如:将对数据库系统进行攻击的用户踢出系统;对疑似的攻击用户加以锁定控制;对于异常入侵的用户禁止其登陆系统等。 

3 数据库安全审计中的入侵检测实现研究 

3.1 数据库入侵检测结构及分类 

随着计算机数据库攻击技术的不断发展,数据库信息系统的安全受到入侵威胁,为了实现对数据库的安全审计,还需要对数据库的入侵进行检测,数据库入侵检测的体系结构主要分为集中式结构、分布式结构和分层结构三种,他们各有其特点。其中,集中式结构可以集中分析和处理数据库的入侵行为,但是面对这样的集中处理,检测主机便成为了安全“瓶颈”。分布式结构可以较好地对数据库信息数据进行监控,对于内外部入侵行为进行检测,然而,这种结构要以处于同一层次为前提,如果层次太低或太高,则无法实现对网络的入侵检测。 

分层结构可以应用于日益复杂的入侵行为,它呈树形分层状态,如下图所示: 

这种树状的分层结构可以处理大数据量,效率较高,同时,它还可以动态调整节点层次关系,完成数据库信息系统的动态最佳配置。 

数据库入侵检测系统包涵信息数据提取、入侵分析和响应处置三大部分,其中:数据提取是检测基础和前提,它对系统运行状态下的数据进行过滤和预处理;入侵分析是关键核心内容,它对运行数据进行安全攻击分析,并将结果传递给响应模块。响应处置的功能则是对安全攻击用户进行报警与处置反应。入侵检测系统可以按照数据源的不同分为主机的入侵检测系统和网络的入侵检测系统;可以按照数据分析方法的不同分为滥用检测和异常检测;按照数据分析发生的时间可以分为离线分析和在线分析,相比较而言,在线分析对于数据库系统的资源配置要求较高,精准度和即时性较为良好。 

3.2 数据库系统常用的入侵检测技术 

数据库系统的入侵检测技术主要包括以下几种: 

3.2.1 专家系统分析技术 

这一检测技术应用于滥用检测方案,它无须用户理解或干预,是将问题推理与解决方案相分离的应用方式。但是,存在对环境的适用能力较差的问题,对于具有时序特征的入侵行为也无法实现检测。 

3.2.2 模式匹配检测技术 

它是将入侵特征编码与审计安全记录事件相匹配,一旦有新的审计事件,则要寻求与之相匹配的入侵模式,它的可扩展性较好,误报率较低,然而在匹配性能方面还需要进一步完善。 

3.2.3 状态转移检测技术 

它是一种图形化的描述方式,是以入侵渗透为对象,用节点表示系统状态,“弧”表示状态转移。这一技术是高层次的、与审计记录无关联的方式,可以检测不同状态下的相同入侵模式。 

3.2.4 统计检测技术 

这一技术应用于异常检测,是一种较为成熟的入侵检测方法,它无需更新规则库,操作简便。但是,这种方法无法反映审计事件的时间先后关联性。 

3.2.5 数据挖掘技术 

数据挖掘技术以全新的理念应用于入侵检测,是一项未来信息检测处理的骨干技术,它可以从大量模糊、随机的数据中提取隐含的有用信息,并根据各数据之间的潜在关联,做出高层次的分析和决策。常用的数据挖掘技术包括有:关联分析、序列分析、分类分析、聚类分析,它们应用于入侵检测系统之中,可以提取数据库中有效的信息,构建入侵模型库,在进行数据采集、预处理、挖掘、特征提取、入侵检测的流程之下,完成对入侵行为的检测分析。它可以有效地解决手工分析和编码入侵模型的问题,极大地提升了入侵检测的精确度。 

3.3 异常检测分析 

对于数据库系统的异常检测是误用检测的补充方式,它可以及时发现安全审计未定义的误用状况,在异常检测分析中,可以建立相关的异常检测模型,其模型构成由规则库、安全审计事件向量采集模块、监控模块组成,在正常状态下进行安全审计事件的采集;在监控状态下对安全审计事件进行匹配,可以实现正常匹配的即为安全,不能匹配正常的误报状况则为异常。其具体监测过程为:当安全审计事件踪迹至规定条数之后,即按序列加以分析,按照向后看的匹配规则进行配置,这种匹配规则高效而简便。 

3.4 误用检测分析 

在数据库入侵检测系统之中,采用阈值误用检测分析法,它的入侵误警率非常低,可以在建立误用入侵检测模型的条件下,由预警模块直接进行处置。这种入侵检测方法也即基于知识的入侵检测法,它并非使用系统统计度量,而是基于内在规则或时间上的序列关联进行检测,它更注重对安全审计事件的“必然的约束”关系,它的检测分析方法核心的问题是规则的提取,由于它牵涉到数据库系统的用户登陆、访问控制、可信通道等多方面因素,因而,在误用检测系统中只需要对特定的入侵知识进行界定,便可以实现对入侵用户的操作控制。这种检测方法主要采用两种: 

①状态迁移误用检测分析技术。 

这种方法可以对系统的初始状态加以迁移,根据系统某一特定时刻的应用特征进行描述,在中间的迁移状态下辨识出危及系统安全的入侵状态,并对初始状态和入侵状态之间的关键性活动进行描述,它适用于步骤相连性的全序列关系下的入侵用户操作行为检测与监控。如:数据库中的临时用户。 

②模式匹配分析技术。 

这种方法将入侵用户的行为检测与监控转换成操作模式匹配的方式,数据库系统对入侵用户的行为检测器进行模型匹配,这种模式识别技术较为成熟而实用,其检测模型如下图所示: 

在上述检测模型之中,包含有三种阈值,即:动作类阈值、序列类阈值、整合类阈值。其中:动作类阈值指在一定时间段内的安全事件超过定义次数;序列类阈值是指一定时间段内满足系统某一全序关联的安全事件;整合类阈值与序列类阈值类似,然而区别在于它无须满足全序关联,而只要发生了相应的事件即可。 

4 结束语 

综上所述,在网络信息数据要求日益提升的条件下,数据库要存储海量的信息,必须以安全为前提加以利用,为此,数据库的安全审计要对日志信息进行分析,构建数据库安全审计模型,并针对入侵行为进行异常检测和处理,进一步提高实时入侵检测系统的性能,实现入侵规则的合理配置,从而确保数据库信息系统的安全。 

参考文献: 

[1]赵雪.基于云端的移动智能终端入侵检测机制研究[D].辽宁大学,2015. 

[2]葛佳.P2P网络信誉数据存储与恢复方法的研究与实现[D].昆明理工大学,2015. 

安全审计的类型范文第7篇

我国企业会计电算化和管理信息系统的与我国会计软件的发展是基本同步的。从1979年我国在长春一汽开始进行会计电算化系统开发探索始,我国的会计软件发展大致经历了非商品化的开发过程、单一模型会计软件阶段、核算型会计软件、管理型会计软件、ERP会计软件(战略型会计软件)这五个阶段。从应用的广泛性和前景看,后三种软件较为人们所关注。

审计轨迹

(一)核算型会计软件

随着电算化的普及,财务软件也从帐务、工资等单项处理,过渡到深入全面的会计核算,如往来、存货、成本等,形成了以核算为体系的会计软件。目前国内主要会计软件,都具有这些功能。但核算型会计软件缺乏管理思想,很难与企业管理信息系统(MIS)融为一体。

(二)管理型会计软件

为适应和提高企业自身管理水平,许多企业迫切需要会计软件能具有资金管理、核算、项目管理核算、财务分析、辅助决策的功能,这就形成了管理型会计软件,管理型会计软件突破了会计软件只局限于会计核算的界限,向全面参予管理决策发展。

(三)ERP会计软件(战略型会计软件)

随着我国企业从重视内部管理,以提高生产效率、降低成本为核心的生产管理,到面向市场的,以建立全面竞争优势为核心的新管理时代,会计软件从管理型发展到战略型、实现企业内部物流、资金流与信息流的一体化管理,实现管理与决策有机统一,并将适应在Internet/Intranet/Extranet上,实现与外部资源的统一,会计软件从离散的部门级应用走向整体的企业级应用。企业信息化建设的一个重要阶段是建设企业核心的业务管理和应用系统阶段。而在这个阶段最有代表性的是企业内部的资源计划系统ERP。ERP是一种管理思想的机实现,他对产品研发和设计、作业控制、生产计划、投入品采购、市场营销、销售、库存、财务和人事等方面以及相应的模块组成部分,采取集成优化的方式进行管理。ERP不是机械的适应企业现有的流程,而是对企业流程中不合理的部分提出改进和优化建议,并可能导致组织机构的重新设计和业务流程重组。

从实际应用分析,我国企业电子化的水平不一,有的企业尚未电子化,有的还处于或者单一模型会计软件阶段或者核算型会计软件阶段。另外,同样是在ERP级的企业,其应用水平也有较大差异,有的只是部分甚至单一模块的应用,有的只是将其作为原有信息管理系统的补充,有的管理相当薄弱。但是,企业电子化发展的趋势是不可逆转的,现在只要有企业要建设信息化系统,他就会超越会计软件发展的低级阶段,而将瞄准其最新的成果上,也就是说,一旦企业进行电子化的再造,其涉及的领域将空前广泛,不仅仅是会计电算化,而是产、供、销、设备、仓储、运输、设计、质量乃至人教劳资等企业管理的各个领域。目前越来越多的企业在加紧企业管理信息系统的建设,这从我国财务及企业管理软件开发供应商的规模上也可反映出来。我国财务及企业管理软件开发供应商已涌现出了包括用友、金蝶、安易等一大批公司,据用友公司介绍,仅用友截止2000年年初,其地区分、子公司50余家,商500余家,客户服务中心100余家,行业覆盖率100%,用户数约20万家,除此之外,还有大量上规模的企业在自行开发应用。由此可见,企业电子审计的环境已逐步形成,且其电子化的色彩将伴随着电子商务的产生和发展而变得越来越浓。

二、现行电子审计轨迹分析

审计轨迹,是指在经济业务和会计制度核算中通过编码、交叉索引和连接帐户余额与原始交易数据的书面资料所提供的一连串的信息企业的会计系统应为每笔业务、每项经济活动提供一个完整的审计轨迹。审计轨迹对企业管理当局和审计人员都很重要,企业管理当局可使用审计轨迹来答复客户对有关资料的询问或质疑,审计人员可使用审计轨迹来验证和追查经济活动。没有审计轨迹,审计工作将难以开展。在电子环境下,那些原来审计人员常见的记帐凭证、明细帐表、科目汇总表、有个性的笔迹等有的已消失,有的发生了变化,变得更加隐藏、更加复杂,从而加大了审计工作的难度。当前,我国会计软件的开发正处于从起步到形成产业的阶段,由于考虑到会计处理系统的效率和研制成本等原因,软件开发在设计开发中,对如何充分保留并提供审计轨迹却未给予足够重视。换句话说,更加详细地描述审计轨迹的会计软件的开发还需进一步努力补缺。因此,国家有关部门应尽快出台有关制度、标准,使设计者有章可循,审计人员有标准可依。

(一)应用软件层

目前由国内企业开发的知名财务软件产品包括金蝶、用友和安易、新中大等,其软件产品也较丰富,一种较为流行的审计轨迹安排就是上机日志。各系统随时对各个产品或模块的每个操作员的上下机时间、操作的具体功能等情况都进行登记,形成上机日志,以便使所有的操作都有所记录、有迹可寻。由于上机日志数量庞大,为了便于审计人员有重点地进行选择,迅速发现,通常系统还会提供过滤功能,这样,审计人员就可以选择那些在符合性测试中发现的较薄弱的内部控制环节进行有重点的实质性测试,提高工作效率。另外,系统还提供了从报表到凭证和从凭证到报表的双向查询功能,从而建立了一条应用程序内的审计轨迹。

(二)数据库层

1、Microsoft SQL Server2000

Microsoft Sql Server是企业信息管理系统中应用较为广泛的一种数据库管理系统,从版本上看,其产品主要有SYBASE SQL SERVER, Microsoft SQL SERVER4,Microsoft SQL SERVER6,Microsoft SQL SERVER6.5,Microsoft SQL SERVER7.0,Microsoft SQL SERVER2000。微软公司最新推出的关系型数据库管理系统Microsoft SQL SERVER2000是一个面向下一代的数据库和数据分析系统,具有很高的可靠性、可伸缩性、可用性、可管理性等特点。Microsoft SQL SERVER2000是一种典型的具有客户机/服务器体系结构的关系型数据库管理系统,他使用TRANS-ACT-SQL语句在客户机和服务器之间传送请求和回应。Microsoft SQL SERVER2000带有的常用工具包括SQL SERVER ENTERPRISE MANAGER、SQL SERVER OUERY ANALYZER、各类向导工具和SQLSERVER PROFILER。其中我们在创建审计轨迹中可以利用的工具是SQL SERVER PROFILER。

设计者开发SQL SERVER PROFILER工具的目的是为了捕捉系统的活动,用于分析、诊断和审计系统的性能。可以利用其跟踪事件的功能,通过适当的设置来安排我们的审计轨迹。为了使用这一工具,必须创建一个跟踪定义,一旦定义了跟踪,我们就可以启动、停止、暂停和继续运行跟踪。当其运行时,SQL SERVER PROFILER监测指定服务器上的SQL SERVER事件,并且为所选的事件捕捉满足过滤条件的指定数据。当这种跟踪数据被捕捉时可以交互显示,并且将跟踪结果存储在指定的表或文件中。例如,我们可以在TRACE PROPERTIES窗口的GENERAL选项卡中指定跟踪服务器的名称(应当将其设置成财务软件运行的数据库服务器名),跟踪文件保存的地点(应当是一个相对安全的地点),跟踪失效的时间点等;在EVENTS选项卡中指定希望使用该跟踪捕捉的事件(如将TSQL事件分类中的STMTCOMPLETED事件选入,则将对已经完成的TRANSACT-SQL语句进行捕捉):在DATA COLUMNS选项卡中设置需要捕捉的数据列(如将DATABASENAME,STARTTIME,ENDTIME,TEXT,LOGINNAME,OBJECTNAME等选入数据列,则将对语句正在其中运行的数据库名、事件开始的时间、事件结束的时间、当前指定的对象名、用户登录系统的名称、捕捉到跟踪中的事件类的文本值等进行捕捉)。

一旦设置完成,就可以运行跟踪了。跟踪可以是持续运行的,为了不系统的性能,我们应当及时将相应的跟踪文件备份。当然,审计人员应当根据被审计方的实际情况作出运行跟踪最佳时间的职业判断以便提高系统的运行效率。

SQL SERVER PROFIIER提供了由用户定义跟踪事件数据的功能,但这一功能是有限的。一个更可行更灵活的方案是利用Microsoft SQL SERVER2000提供的触发器技术。

2、ORACLE8

ORACLE8数据库从其安全性考虑,设有多个安全层,并且可以对各层进行审计,利用ORACLE8自带的这种审计功能,我们可以安排所需的财务审计轨迹。ORACLE8具有审计发生在其内部所有动作的能力,审计记录可以写入SYS.AUD$的审计踪迹,可以被审计的三种不同的操作类型包括:注册企图、对象访问和数据库操作,利用其中的对对象的数据交换操作审计功能,就可以获得相应的审计轨迹。

首先我们使数据库允许审计,必须在INIT.ORA文件中的AUDITTRAIL值设为DB(允许审计,并将审计结果写入SYS.AUD$表),对于特定的表(如ACCOUNT表),我们所需要的审计轨迹主要是插入(INSERT、删除(DELETE)和更新 (UPDATE)操作,可以利用以下的语句来进行:AUDIT INSERT ON ACCOUNT BY ACCESS;AUDIT UPDAT E ON ACCOUNT BY ACCESS;AUDIT DELETE ON ACCOUNT BY ACCESS;上述语句指定了一个审计记录在每次插入、删除和更新ACCOUNT表时写入,审计记录结果可以通过对DBA-AUDIT-OBJECT视图的查询进行显示。

如果在SYS.AUD$上储存信息,就必须先保护该表,否则用户可通过非法操作来删除审计踪迹,由于SYS.AUD$是存在数据库内的,可通过以下命令来保护该表:AUDIT ALL ON SYSAUD$ BY ACCESS;而且对该表的操作只能由具有CONNECT INTERNAL能力的用户来删除(例如,在DBA组中)。

另外,ORACLE8的触发器功能也是较强大的,如可以建立A和B两个触发器来对TABI表设置审计轨迹,并将轨迹记录在TAB2、TAB3表中。

CREAT TRIGGER A

AFTER INSERT OR UPDATE OR DELETE ON TAB1

DECLARE

STATEMENTTYPE CHAR(1);

BEGIN

IF INSERTING THEN

STATEMENTTYPE:=‘I’;

ELSIF UPDATING THEN

STATEMENTTYPE:=‘U’;

ELSE

STATEMENTTYPE:‘D’;

END IF;

INSERT INTO TAB2

VALUES(SYSDATE,STATEMENTTYPE, USER);

END A;

CREAT TRIGGER B

BEFORE INSERT OR UPDATE OR DELETE ON TAB1

FOR EACH ROW

BEGIN

INSERT INTO TAB3

VALUES(SYSDATE,USER,

NEW.ID,: NEW.RECORDER,:OLD.ID,:OLD,RECORDER);

END B;

3、其他数据库

ACCESS、FOXPRO等数据库可以通过设置密码等方式来限制访问,但直接利用数据库本身来设置审计轨迹是很困难的。

(三)操作系统层

1、Windows2000操作系统

Windows2000是微软最近推出的操作系统,其覆盖的用户面之广是史无前例的:从家庭用户、商业用户、笔记本用户、工作组服务器、部门服务器到提供企业计算和安全环境的高级服务器到可以提供全球联机电子交易服务的数据中心服务器。尽管可以分为四个版本:PROFESSIONAL(专业版)、SERVER(服务器版)、ADVANCED SERVER(高级服务器版)和DATACENTER SERVER(数据中心服务器版),然而内核和界面是一样的,区别仅在于支持的CPU数量和某些高级功能和服务。作为单用户多任务的内置网络功能操作系统,Windows2000拥有一个健全的用户帐户和工作环境,利用其固有的安全机制,可以安排我们的审计轨迹。

Windows2000使用“本地安全设置”更精确地管理工作组中的用户和资源,它将安全策略地分成两类:帐户策略和本地策略。其中,本地策略包括审核策略、用户权利指派和安全选项,其中的审核策略就是用来指定要记录的事件类型,这些类型涉及从系统范围的事件(例如用户登录)到指定事件(例如某用户试图读取某个特定文件),这些事件包括成功事件、不成功事件或兼而有之。审核记录写入计算机的安全日志,通过“事件查看器”我们可以获得部分审计轨迹。

为了控制各种审计轨迹文件的数量,同时为了保护重要文件(包括审计踪迹文件)不被非法删除、修改,Windows2000新的“加密文件系统”(EFS提供了一种核心文件加密技术,该技术用于在NTFS文件系统卷上存储已加密文件。对已加密的文件的用户,加密是透明的。但是,试图访问已加密文件的入侵者将被禁止这些操作。具体操作时既可以通过为文件设置加密属性,也可以用命令行功能CIPHER加密文件。当然,利用Windows2000的文件和文件夹权限设置功能,也可以控制各种审计轨迹文件的数量。

2、UNIX操作系统

从安全性来讲,普遍的观点是UNIX操作系统的安全性能高于Windows操作系统,正因为如此,UNIX操作系统也为我们提供了获取更多,更精确的审计轨迹的可能性。UNIX能自动生成很多日志文件,这些日志文件可以形成我们的审计轨迹。

UNIX的日志分为三类:

(1)连接时间日志——由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/Utmp,login等程序更新wtmp和utmp文件,使我们能够跟踪谁在何时登录到系统。

(2)进程统计——由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录,进程统计的目的是为系统中的基本服务提供命令使用统计。

(3)错误日志——由syslogd执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志,像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。

这三类日志中,连接时间日志是我们从中发现审计轨迹的最重要的一类,其中的utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键——保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中:登录进入和退出纪录在文件wtmp中:最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中,所有的纪录都包含时间戳。

另外,一旦启动进程统计子系统,UNIX可以跟踪每个用户运行的每条命令,从中也可以建立我们的审计轨迹。

(四)网络环境(网络安全)

电子数据是通过计算机网络进行传输的,传输的数据是否准确和安全,涉及计算机网络技术的可靠性和网络系统的安全管理问题。计算机网络技术已经基本成熟,但网络上的数据传递的安全仍然是一个重要的问题,需要审计人员关注的是系统数据的安全评价问题。

对等网络虽然具有廉价、易于建立、运行和维护等优点,但对于企业级的联网选择来说,这绝对不是一个最佳选择,由于网络中每台计算机地位均等,要对整个网络进行管理就缺乏手段,同样要设置有效的审计轨迹就较为困难了。

对企业来说,客户机一服务器网络是一种较好的选择,通过服务器上的网络管理软件或应用软件,是可以设置审计轨迹的。另外,利用网络的其他外部设备,如路由器,也可以安排相应的审计轨迹。

三、审计轨迹标准的设想

(一)软件层

首先,应设置相应的安全访问控制,记录各种访问,尤其是数据更改、删除和新增的记录必须保留。其次,从报表审计角度,必须提供从凭证到报表数据和从报表数据到凭证以及凭证与凭证之间的查询工具。最后,各种电子凭证必须具备防抵赖、防伪造和可追溯性,如可采用可靠的电子签名来代替原有的手签。

(二)数据库层、操作系统层和环境

在这些层面,主要是考虑安全访问控制,必须严禁各种非法的未经授权的数据访问,必须记录数据更改、删除和新增的操作,同时应能自动保护记录审计轨迹的文件。

(三)保护审计轨迹

1、从硬件上保护审计轨迹

一旦系统投入运行,如出于某种原因需要对某些设备更换、更改布局、更改设置或升级,必须将其对审计轨迹的纳入产品选择或更改的考核范围。

2、从软件上保护审计轨迹

必须进行系统开发审计,系统开发审计是对被审单位的电算化系统的开发、修改及日常维护过程的审计。对系统开发进行审计的主要目的是确保开发经过授权,开发过程遵循正确的标准,修改部分在使用前经过充分的测试和记录。系统开发审计的:系统开发审计包括应用程序开发审计、程序修改审计和系统维护及记录审计。其中,应将审计轨迹的保护作为审计的一项重要内容。

3、从网络应用上保护审计轨迹

应加强网络安全管理,保护审计轨迹。安全管理是网络管理中极其重要的内容,它涉及法规、人事、设备、技术、环境等诸多因素,是一项难度很大的工作;单就技术性方面的管理而言,依据OSI安全体系结构,可分为:系统安全管理、安全服务管理和特定的安全机制管理。其中,后两类管理分别是针对涉及某种特定、具体的安全服务与安全机制的管理;而系统安全管理则又包括总体安全策略的管理(维护与修改)、事件处理管理、安全审计管理、安全恢复管理以及与其他两类安全管理的交互和协调。

(四)内部控制制度

1、职责分离

除传统的业务执行、记录、批准职能分离外,程序设计、系统维护、业务操作和内部审计各类职责也应分离。

2、内部审计

除传统审计业务外,还应设置系统安全审计、系统开发审计等岗位。

3、制定各种规章制度

安全审计的类型范文第8篇

改革开放以来,我市经济社会建设较快发展。财政一般预算收入__亿元,人均GDP突破__美元,所辖6县综合实力不断增强,全部进入“全国百强县”行列。同时,公共行政管理体制、公共财政管理体制等各项改革也不断深入,如何着力建设服务型政府、不断完善监督制约机制,显得尤为迫切和重要。在这样的背景下,实行政府联网审计,提高审计效率,发挥审计“免疫系统”功能,更好地为我市经济社会又好又快发展服务十分有必要。

一、联网审计的目的和总体思路

(一)联网审计的目的

按照全部政府性资金审计理念,通过对财政收支、国资运营社会公众资金(市属各个国资公司)、社会公众资金、政府投资建设项目等全部政府性资金管理和使用的部门单位的联网,建立由审计机关负责建设的“政府资金综合监控平台”,在审计机关用于开展联网审计的同时,提供 “监察窗口”、“财政窗口”、“国资委窗口”等,使其他具有监督职能的部门也能在设定范围内利用平台中的数据和监督方法,形成政府综合监督应用格局,形成联网审计工作模式的扩展和深入的应用,实现以下总体目的:

提高监管效果与效率,实现资源共享和网络化审计;资金走向哪里,监督紧跟到哪里;政府支出到哪里,审计跟踪到哪里;资金使用到哪里,绩效评估开展到哪里;应用信息化、自动化手段,通过对政府资金进行全过程、实时监控,发挥审计在经济社会运行中的“免疫系统”作用。

(二)联网审计的总体思路

1、立足审计转型要求,突出全部政府性资金审计、绩效审计、计算机审计融为一体纳网审计系统建设要求内。

现阶段,全部政府性资金审计要求,在联网审计系统中体现为:联网范围上基本包括了管理使用政府性资金的全部部门和单位,按照职能和资金性质,总体上划分为财政分配及收支管理(财政地税部门)、部门预算执行(各预算单位)、社会公众资金(社保资金及住房公积金)、国资营运(集团化管理的国有公司)等四大类;联网审计内容上既包括财务数据,也包括重大业务管理数据,将审计经验转化为计算机技术模型开展对比与分析。

按照绩效审计要求,将绩效审计理念和方法体现在联网审计分析模型中,根据各个审计对象的审计目标、审计思路和要求,重点突出分析性审计模型的开发建设。如部门预算执行联网审计、社保基金联网审计、国资集团公司联网审计三个项目中,分析性审计模型的开发建设占有很大比率。

注重审计信息化资源的整合,在联网审计系统中不仅包括审计业务模型、通用分析查询功能、预警功能等技术,还注重联网审计系统与现有的OA管理系统、AO审计系统等信息化资源的对接,总体上要求实现:联网审计系统与OA管理系统交互;AO审计系统功能移植到联网审计系统中;预警信息到邮件系统供领导层决策等。

2、按照四大类政府性资金共性特征,面向满足横向、综合分析需求,开发联网审计业务模型。

结合每一类政府资金的审计要求,重点围绕“审什么、怎么审、审到什么程度”等思路,体现到联网审计系统业务模型构建过程中。

根据政府性资金相互关联的特征,重点突出建设各类政府性资金数据集,通过计算机技术将相互关联的不同性质的数据链接起来,在此基础上开发审计业务模型,满足横向、综合分析需求。如社保资金审计涉及到地税部门的征收数据、公安部门的户籍管理数据、工商企业登记数据等,在做联网审计数据规划时一并考虑,按照联网审计要求统一做好数据集建设。

围绕审计项目实施中需要外延调查对比、分析、取证等各项要求,按照审计事项需要实现的各个分项目标,将与审计事项紧密关联的外部门管理的业务数据,同时建设在联网审计系统数据集之中,一并规划建设数据集,便于实现审计横向、综合分析业务需求。如教育部门预算执行审计中,取得财政部门的部门预算分配系统数据后,一并搭建数据集。

3、按照“在线实时、监督有效”的要求,基本实现实时采集数据,经联网审计系统自动分析、整理数据后,通过预警功能及时疑点信息,也能满足审计人员随时开展被审计对象的审前调查、日常跟踪了解掌握对方情况、为有针对性确定审计项目计划作准备等审计管理要求,能够较好地发挥审计是经济社会运行的“免疫系统”的功能。

4、面向开放性、拓展性,规划建设联网审计系统。总体上,要求同一平台上实现各个不同单位(资金)的联网在线审计。具体体现为:全部的联网部门(单位)的业务数据、财务数据建立在同一平台下;全部的联网部门(单位)的审计分析模型,搭建在同一联网审计平台上;全部的联网部门(单位)的联网在线审计或监控,在同一平台上操作与实现。

5、实现联网审计系统体现“审计专家经验库”要求。在开发、定制各种审计业务需求的同时,根据审计人员轮岗交流,以及不同审计人员、不同审计思路、 不同审计方法等实际情况,增设了随时可以创建联网审计业务分析模型的功能,这样,不仅能积淀前人的经验,也能创新审计思路和方式方法,更够起到相互学习交流审计经验的作用。

6、结合审计项目实施过程开发联网审计业务需求模型。审计模型的开发,结合项目审计实践,更能突出针对性、有效性,也能带动审计人员更直接、更感性地提升计算机审计技术应用能力。

7、面向市县联网审计“一体化”(即1拖N模式)规划建设。总体上,探索能够满足各县区审计局和市审计局使用同一联网审计平台、建立各自数据库、在同一联网审计平台上完成联网在线审计任务的方向,规划和建设整个联网审计系统。为此,突出加强了联网审计平台强大功能的规划和建设。

8、实现政府多个部门同时共享联网审计系统的监控资源。按照市政府要求,联网审计系统要满足监察、财政、审计、国资等多个部门共同使用、共享监控资源的需求,系统建设中,在同一平台上增设了各个部门的监控窗口,通过政府网路资源,能够实现各个部门根据各自的监督职能和要求,共享数据资源、共享监控技术、共享监督方法等。

二、立足中国特色社会主义制度下的审计本质,建设和实践联网审计

审计长关于审计是国家经济社会的“免疫系统”本质的精辟论述后,给我市推进联网审计工作创新了思路。实践中,我市在建成一个具有强大支撑与拓展功能的联网审计平台的基础上,将预警功能、通用查询分析、审计模型“三位一体”确定为各个联网审计监督对象的主体功能。

预警功能:横向上突出行业性“面”的监控要求和纵向上部门(单位)的内控制度与财务收支的监控要求,开发预警功能,通过“在线、实时”联网监控,最早发现异常情况,审计监督及时跟进了解情况,若存在重大风险因素或违纪违规问题的,及时制止或向政府报告后解决问题。如市交通投资集团公司的联网审计,根据市政府加强国资公司管理的各项政策与制度,一方面开发了资产质量、债务风险、经营增长、盈利能力四大类10多个指标的行业性“面”上的监控功能;另一方面开发了资金流向结构分析、工程建设内控管理等单位特性的监控功能,对建设资金是否专项使用、工程项目管理程序是否符合规定等重大问题进行跟踪实时监控,较为有效地从源头上防止了该公司以往年度发生的挪用巨额建设资金委托理财和从事房地产业务等问题。

通用查询分析:根据审计工作思路与要求,可以对预警的信息作进一步的查询分析;可以通过日常的查询分析掌握了解一个行业或某个部门(单位)的经济管理现状和趋势,为下一步确定审计重点进行立项作准备;可以实现对已经立项的审计项目开展全面的查询分析。如部门预算执行联网审计的实施,通过联网审计方式逐步实现以下目标:由单个部门(单位)的预算执行审计向侧重于开展横向综合分析调查部门预算执行情况转变;由单纯的财务收支审计向侧重于内控管理与收支预算执行比较分析转变;由单个单位的审计向侧重于整个系统的全部资金审计转变;由轮流计划立项向根据系统日常监控分析确定重点有针对性的立项转变。

审计模型:将成功的审计思路和经验,通过开发计算机审计软件模型定制下来,其实质体现为一种“审计专家经验库”,同时,在开发、定制各种审计业务需求模型的同时,根据审计人员轮岗交流,以及不同审计人员、不同审计思路、不同审计方法等实际情况,增设了随时可以创建联网审计业务模型的功能,这样,不仅能积淀前人的经验,也能创新审计思路和方式方法,更够起到相互学习交流审计经验的作用。

联网审计系统“三位一体”的主体功能中,有效的通用查询分析、审计模型功能,根据审计监控的发展要求,可以转化、设置为审计预警功能,长期坚持下去,审计机关作为一个“免疫系统”,能够最早地感受到病害侵蚀的风险,更早地揭示病害侵蚀带来的危害,更快地运用法定权限去抵御、查处这些病害,也能建议政府和相应的权力机关,运用各种政治资源、经济资源、社会资源去消灭这些病害,从而健全制度,确保经济社会安全运行,充分发挥好审计的建设性作用。

三、部门预算联网审计在教育系统运用的探索

(一)教育系统联网审计业务思路

1、教育系统全部政府性资金总体情况分析

通过教育系统全部政府性资金总体情况分析,摸清教育系统资金总量及其分配情况,理清教育系统预算资金的来源组成和支出方向。分析实际到位资金的来源组成和支出方向,评估预算资金安排的合理性及其有效性。

2、教育系统预算执行绩效分析

从资金到位资金使用情况、未纳入预算管理资金和超预算这两方面入手,分析财政资金到位是否及时足额,资金使用是否合理有效,从而研究财政预算管理是否科学、合理、公平。

3、教育系统财务收支常规分析

对财务收支的合规性、合法性进行检查,分析财务管理上的科学性、合理性,主要对其他收入、往来款、应缴财政专户款等科目进行分析,查找不合理或不合规的操作。

(二)教育系统联网审计业务审计过程

1、教育系统联网审计流程设计

根据审计人员对部门预算执行审计的理解,结合用友审计公司开发的联网审计系统的功能,我们在教育系统联网审计建设过程中,设置了下图的审计流程和审计事项,全面的分析了整个教育系统的资金来源、使用和管理的各个环节。

2、教育系统全部政府性资金总体情况分析

为全面掌握__年度市本级教育系统全部政府性资金的总量情况,联网审计系统设计以下的几个分析模型,协助审计人员摸清教育系统的资金情况:

(1)教育系统全部政府性资金总体结构分析

第一步,确定属于教育系统全部政府性资金的范畴。根据被审计单位提供的财政预算安排的单位资料,把会计核算中心教育分中心设立的账套分成了两类,一类是纳入预算的预算单位;另一类是未纳入预算管理的非预算单位。汇总这两类资金便得到了教育系统全部政府性资金的总量。

第二步,通过分析模型计算汇总纳入预算的各单位的预算安排总数以及财政实际拨款到位数。先把年初纳入预算的各单位的整年预算安排情况,从部门预算指标数据集中通过编写分析模型结合业务规则提取并汇总出来,得到了各预算单位的预算安排总数(年初预算数、上年结转数、上年资金结余数、当年指标调整数这四类数据的总和)。

第三步,通过分析模型计算汇总未纳入预算的各单位的资金安排总数以及财政实际拨款到位数。鉴于非预算单位的特殊性,需要对其会计科目体系以及业务单独处理。

第四步,汇总预算单位的资金总量、非预算单位的资金总量以及全部政府性资金的总量。通过以上的分析,基本摸清了教育系统全部政府性资金安排的总量, 以及财政预算资金拨款是否足额到位情况;掌握了财政预算资金在各单位的分布,为财政预算资金在各单位的分布是否合理提供了分析依据。

(2)预算资金收入来源分析

第一步,分析教育部门经费主要来源的组成方式,研究目前的来源组成方式是否能满足教育事业的发展需要。通过建立审计分析模型,从指标数据集中按照财政一般预算补助、非税收入补助、单位自筹收入、经营收入四大类,计算归纳教育系统及其各单位的预算收入来源的组成,计算各种来源在总来源中的比重,从而分析财政预算来源的组成结构。

第二步,深入分析教育系统及其各预算单位各种预算支出的来源组成,以辅助分析教育部门经费支出的来源组成情况。通过建立审计分析模型,从指标数据集中,按照各单位经常性支出、项目支出、经营支出三大类,分类汇总每一项支出的来源组成,从中可看出各单位用于各项支出的经费来源组成,

通过以上分析,发现非税收入补助仍是教育部门经费主要来源,非税收入补助在经费总来源中比重过半,有的学校超过了80%,如教育学院,教育经费构成中主要是教育部门收费和学校土地出让金。但随着教育部门收费进一步规范,收费会渐渐减少,同时,学校土地出让金收入具有不确定性,因此,作为教育部门经费主要来源以后不能满足教育事业发展的需要。

(3)预算资金支出方向分析

第一步,分析教育部门经费支出的方向,研究经常性支出、项目支出在总支出中的比重,调查行政事业单位是否在严格控制和压缩日常公用经费支出,寻找资金的最优使用结构。从财务数据集中,汇总出各单位经常性支出、项目支出、经营支出的额度,并计算各种支出在总支出中所占的比例。

第二步,分析预算安排各项支出的资金类型,研究各项支出的经费来源方式。根据指标的分类有:年初预算、上年指标结余、上年资金结余、指标调整。通过建立分析模型,可以直观地分析各单位的各种支出经费来源于何种指标。

第三步,重点分析项目支出的支出结构,分析项目支出结构的合理性。通过建立分析模型,理清了各单位的项目支出组成结构。

通过以上分析,摸清了教育部门的经费支出结构,教育经费的开支中,经常性支出与项目支出的支出比例约为1:3,且不同性质的单位中的这两项支出呈现不同的比例关系,项目资金主要投资在高等教育上,教育部门专项经费主要用于基本建设支出。另外,有将近70%的项目经费集中在教育局,由教育局安排使用。在支出资金的来源上,有将近50%的项目经费是在年中调整追加的,可见,财政的预算安排编制制度有待进一步完善。

(4)财务决算实绩分析

第一步,根据预算安排的来源种类,分析单位实际到位资金的来源组成结构。通过建立分析模型,按照预算资金的来源安排方式,分单位统计各单位资金的实际收入来源,查看是否与预算安排来源相符。

第二步,分析单位实际支出结构,明细到4级科目。通过建立分析模型,从数据集中根据预算支出的明细分类,计算相应科目的支出总金额。

通过以上分析,可见单位实际收入的来源基本符合预算安排的来源,单位实际支出的结构也基本符合预算安排的支出结构。

3、教育系统预算执行情况分析

教育系统预算执行情况,通过以下两方面进行分析:

(1)财政预算资金到位使用情况:

第一步,根据财务和指标数据集建立预算指标执行总表,表内信息包含20__年教育系统18个预算单位的各项目指标的编制信息(包括年初预算指标、上年结转指标、上年资金结余、调整指标),计算当年各单位各明细项目的可用指标,并按照资金的来源性质分解可用指标。再从财务数据集中计算出每个明细项目的实际到位资金及实际支出金额,计算资金的到位情况及资金的使用情况。此外,通过模型分类标识出每一个明细专项项目的执行状态,如有年初预算安排,但资金未拨付到位的情况;再如有上年指标结余,但指标未到位的情况等。

第二步,计算04年至06年3年的资金到位率以及07年的指标到位率和资金使用率,从年度上比较分析指标到位及资金使用情况。通过建立分析模型,按单位汇总每年的指标到位总量及资金使用总量,计算指标到位率及资金的使用率。

通过以上分析,可以分析每一笔资金(尤其是专项资金)在指标安排、资金到位、资金使用的预算执行全过程中的情况。

(2)收入未纳入预算管理及超支分析

在预算执行分析总表的基础上,按照资金来源分类,对预算指标安排情况及对应的实际收入情况,查看是否有未纳入预算的收入;另外计算预算可用指标与实际支出的差额,分析超支的现象。

4、教育系统收支审计分析

教育系统常规收支分析,可从以下几方面入手:

(1)其他收入分析,检查其他收入中是否有不合规的收入

第一步,选取其他收入明细账,按年度,按单位,按明细科目分类汇总贷方和借方发生额。第二步,分析其他收入明细内容,分类检查各种其他收入的来源,各种其他收入的项目的收费连续性、合规性。通过建立分析模型,筛选出所有其他收入明细,归纳大类名称(其他收入—其他),并指定小类名称(工资,代管费、工本费等)。

通过以上分析,取得的结果中的发现有代管费结余转其他收入,有工本费、资料费转其他收入情况。有未上缴财政直接转入其他收入情况。

(2)应缴财政专户款分析

应缴财政专户款分析,主要检查是否有应收的未足额收取或多收,应缴未足额缴纳的情况。

第一步,应缴财政专户科目按单位整理分析。列出历年18个预算单位的应缴财政专户款科目的明细账。

第二步,根据上一步的明细账找到(根据单位编码、年度、月份、凭证号找)所在的凭证,列出同一张凭证中的所有会计分录。

第三步,从凭证表中筛选出摘要里包含单位名称的记录。需要事先制定好各个单位名称的可能叫法的中间表。在生成的结果表中增加一列对方单方名称,以便查看。从审计分析结果表中,发现部分应缴财政收入未及时足额上缴财政。

(3)往来款分析

往来款分析主要分析往来业务中是否有违规发放奖金、奖励等业务活动。

筛选并统计各单位各年各往来科目的借方发生额和贷方发生额。

奖励奖金及补助发生情况。据上列出其他摘要里含有“奖励”、“奖金”、“补助”的情况。

服务性收费收支情况。通过该模型查看是否有未经批准的收费项目等情况。

通过分析表分析得到,发现嘉兴教育学院教师培训存在未经批准收费情况。

(三)教育系统联网审计技术实现过程

1、建立多维数据集市

1.1建立教育系统财务数据集

教育分中心的财务数据记录和反映教育系统各单位的各项经济活动。通常,财务的多维数据集市围绕凭证记录组织,用发生额作为度量值,把时间、单位、科目、项目等属性值作为维度,建立多维的数据集,从而可以从时间、单位、科目、项目等角度去分析各单位经济业务活动,为能实现关联、对比、演变等分析技术奠定了基础。财务数据集市结构模式图如下:

1.2建立部门预算指标数据集

教育分中心的指标数据主要包含了各个单位各项指标的值,在指标值基础上附加资金性质、预算类别、预算科目、项目类别等属性,因此可以把指标作为中心主题,附加属性作为维度建立指标数据集市。指标数据集市结构模式可以用下图表示:

2、运用关联、对比、演变等技术手段进行数据分析举例

2.1年度间异常变动分析(对比分析)

目标分析:

通过此模型分析教育系统内各个单位各个科目(应缴财政专户款科目及财政补助收入、其他收入等收入类科目)从20__年开始,各科目发生额是否存在异常变动的情况,并分析异常变动的原因,从而为审计提供审计线索。

技术分析:

根据审计目标,我们可以以年度、单位、科目作为三个维度,发生额作为度量值,建立三维数据分析模型,如图:

模型分析:

上图中,每个小立方体就代表了某一个年度某一个单位某一个科目的当年发生额。例“金额4”代表了__一中__年其他收入的总额。“金额6”代表了__年财政补助收入的总额。“金额11”代表了教育考试院__年的应缴财政专户款的总额。

审计结论:从直方图中我们可以看出__一中__年、__年、__年其他收入偏大,经穿透得到这三年的其他收入明细账,发现存在代管费转收入、收教发公司返回教师值班费等疑点,如图:

经审计取证核实,确实存在这种情况,且经过查询分析及二次建模分析得知还有其他单位也有这种情况。

(四)教育系统部门预算联网审计初步成效

1、有效的揭露教育乱收费问题:

(1)市教育学院违反按《__省收费许可证管理办法》未按法律、法规和本条例规定的审批权限报经批准,擅自设立行政事业性收费项目__至__年度违规收费__万元。

(2)装备中心利用掌握的教育部门图书配发采购和音像教材采购资源,为本单位及所属县(市、区)机构非法牟取利益。*至__年度共收取音像教材返利和图书优惠款共计529.54万元。

(3)资料发行费、工本费中存在乱收费问题:市教育研究院2013年度资料费、工本费结余__万元;__年度结余180万元;__年度结余__万元;__年度结余__元。4年时间超标准多收取的资料发行费、工本费近1000万元。

(4)截留财政收入发放奖金及其它支出:__电大__至__年度收取的考务费分成收入153.53万元,直接用于冲减事业支出中的人员支出。考试院20__至20__年度将向县市区收取的考务费117.95万元,直接转作单位其它收入,未上缴财政。

2、教育投入和教育资金的使用效率

*年底,财政已安排预算支出,未使用的教育资金8771万元(留存财政资金总数6004万元,教育局可用的专项资金结余2767万元)。到(年底未使用的教育资金增加到25337万元(留存财政资金总数16864万元,教育局可用的资金结余8473万元)。近四年教育部门18个预算单位教育经费到位资金使用率呈现下降趋势,__年至20__年到位资金使用率分别98%,95%,94%,81%。2013年市教育部门预算单位预算指标到位率73%(预算指标62691.43万元,到位资金45826.97万元),到位资金使用率81.5%(到位资金45826.97万元,实际支出37354.01万元),预算资金使用率59.58%,特别是市教育局本级,预算指标到位率60.8%,到位资金使用率61%,预算资金使用率仅有36.6%。

3、地方教育投入方向存在偏差

(1)高等教育投入比例大幅度提高:__年度高等教育投入 __万元,20__年度__万元,增长__%。

(2)基建投入快速增长:嘉兴市教育系统*年度基建支出9820万元,用于归还基建贷款本息__万元。2013年度基本建设支出__万元,修缮学校基建贷款还本付息支出3348.21万元。

(3)教育投入快速增长的同时,教育日常经费投入明显不足:

近四年教育部门18个预算单位教育经费增长比较快,__年至__年的四年时间,教育经费年平均增长39.95%。但同期各学段的财政安排生均拨款经费基数未做调整。财政安排的生均经费标准未随社会经济的发展水平同步提高,从审计的情况看:财政安排的生均经费的保障水平,与各学校实际的支出水平存在一定的差距,各学校通过社会力量联合办班、课外补习班、其它收入等形式收取的费用,未纳入学校统一的财政财务收支管理,用于弥补教育日常经费的不足和提高教职工待遇。加大教育软件的投入,提高嘉兴教育的整体实力。目前嘉兴教育的硬件设施投入已达到较高水平,软件投入相对增长较慢。在目前教育经费财政投入形势下,软件投入应相应增长,达到教育经费总体投入的增长水平。

4、教育资金的筹集问题

2013年18个预算单位财政预算教育经费来源合计62691.43万元,具体为:财政一般预算补助23417.32万元,占总经费来源37.35%,;财政非税收入补助37427.24万元,占总经费来源59.7%,;单位自筹收入__万元,占总经费来源2.91%。

教育资金的筹集财政非税收入补助仍是教育经费主要来源。2013年教育部门18个预算单位教育经费主要来源是财政非税收入补助,占比为总来源60%,有的学校超过80%,如:嘉兴教育学院财政非税收入补助占经费来源83%。财政非税收入构成主要是教育部门收费,以及学校土地出让金收入。随着教育部门收费进一步规范,收费会渐渐减少,同时,学校土地出让金收入具有不确定性,因此,作为教育部门经费主要来源以后将不能满足教育事业发展需要。

5、揭露重大违法违规问题,促进反腐倡廉和依法行政;揭示行政不作为或乱作为问题,促进问责机制的建立和落实,促进提高政府行政效能;揭示重大体制,促进建立健全富有活力的体制和运行机制。

(1)教育后勤社会化中存在的问题

由于前些年提出的教育产业化的趋势,各学校的后勤均已经转入了社会化管理,专业化管理提高了教育后勤的管理能力和管理水平。在审计过程中发现,学校的后勤社会化的资产管理和产生的利益分配管理,未能制定统一的规范。以市职业技术学院为例:该院与嘉兴市经济协作集团公司联合成立了博大后勤服务公司,负责学院的后勤管理,该公司__年2年中900多万元的净收入被游离于公司和学校的收入以外。

市教育局将市属高中的学生住宿收费划入市教育发展投资有限责任公司运营。__三个年度,是教发公司以“宿舍值班费”的名义通过后勤分公司直接发放各学校教师值班费和班主任管理津贴近1000万元。收益部门化的倾向及为明显,造成一部分支出脱离正常财政监管。我们提出了审计建议:财政资金投入建设的教育后勤设施,转换为经营性资产,应按经营性资产进行规范管理,可采用委托经营、租赁经营等方式进行管理;由此而产生的收益,应作为国资收益进行管理,由财政部门统筹安排专项用于改善教育条件;有关职能部门应及时制定相关规定,规范目前的资产和收入监督管理模式,防止利益部门化。

(2)学生代管费收支中存在的问题

__年一中、三中等部分学校将学生的代管费结余合计186.4万元转作单位的收入。在审计抽查的三个中等职业技术学校和嘉兴职业技术学院所反映的情况看,学校向新华书店和其它图书资料发行单位购入的教课书和教辅资料,大部分是在图书标价的基础上7-8折购入的,而各校均按图书的标价,向学生收取,课本图书资料折扣部分未能让利于学生,而被用于学校其它支出。

(3)嘉兴市教育局将学生校服采购和住宿学生床上用品招标采购工作交由嘉兴市教育发展投资有限责任公司承担,由教发公司编制的学生床上用品和学生校服采购招标书中公然列示:“学生床上用品商务标即报价书,《报价书》可根据成本+费用+税金及附加+利润+厂方让利5%来确定。”“学生服商务书即报价书:本次招标系有底招标。投标方可根据成本+费用+税金及附加+利润+厂方让利8%来确定报价。”

审计查证发现,学生床上用品回扣5%,学生校服回扣8%。

(4)变相开展双休日办班活动形成大量帐外资金

安全审计的类型范文第9篇

1.1设计变更的概念

设计变更是指水利施工工程初步设计经过审批之后,在水利施工工程招标阶段、水利施工图设计和水利施工阶段对批准的初步设计所进行的改变。这种改变包括水利施工工程任务、规模、水利施工工程等级、建筑物级别、水利施工工程布置方案、水利施工工程结构型式和结构尺寸、水利施工工程设备型号和数量、水利施工工程施工方案等内容,水利施工工程子项目增加或减少等。引起设计变更的原因有很多,包括施工工程所在地的水文、地质等自然基础资料的变化,或者是水利施工工程所在地经济社会发展或环境要求的变化等,或是多种因素并存。

1.2水利施工中设计变更的特点

水利建设施工工程本身具有的类别多样、规模差别大、涉及面广等特点,决定了水利施工工程设计变更具有种类繁多、情况复杂、影响因素多等特点。水利施工工程涉及水库施工工程、堤防施工工程、引调水施工工程、灌溉施工工程、城市供水施工工程、河道治理施工工程、堤防施工工程、水土保持施工工程等,不同施工工程建设内容差别大,涉及设计变更的主要因子不同,对质量、投资的影响程度也不同。水利施工工程划分为大中小型,施工方式和管理模式不同,对设计变更的管理手段也不同。大中型水利施工工程具有规模大、投资高、周期长、设计复杂等特点,施工工程建设的不确定性因素较多,在建设过程中常常由于枢纽布置及主要建筑物类型、施工工程地质条件以及施工方法等变化影响,较易发生设计变更。

1.3水利施工工程设计变更管理现状

各级水行政主管部门和项目负责人非常重视施工工程建设过程中的设计变更管理,积极加强设计质量管理,严格设计变更的各个环节,规范设计变更管理程序,保证施工工程质量、安全和进度要求。但是由于缺乏水利施工工程重大设计变更的明确界定标准和相应管理办法,设计变更的约束机制不够,目前设计变更管理上还存在着不足。有的建设项目利用设计变更改变施工工程规模或增加建设项目,违背规划设计原则;有的建设项目利用优化设计改变或减少建设内容,“报大建小”,缩减地方配套资金,作为一般设计变更处理,躲避原审批单位对设计变更合理性和经济性的审查,给施工工程安全带来了隐患;有些建设项目以施工工期要求和度汛为由,不及时履行施工工程的设计变更报批手续,造成既成事实。2000年颁布的《建设施工工程勘察设计管理条例》只规定了建设施工工程勘察、设计文件内容需要作重大修改的,建设单位应当报经原审批机关批准,但是对于重大修改的界定没有明确规定,也没有相关的实施细则。因此迫切需要研究和明确水利施工工程重大设计变更的界定标准。

2设计变更的划分研究

水利施工工程建设存在着各种设计变更,包括施工工程开发任务和规模、设计标准、施工工程布置、主要建筑物结构型式等各方面,对施工工程的安全、质量、工期、投资和效益产生不同程度的影响。为加强水利施工工程设计变更管理,保证施工工程安全和质量,同时尽量减少对施工工程施工和进度的影响,简化审查、审批程序,应对设计变更审查、审批采取分级管理模式。实行分级管理,首先要根据水利施工工程特点,对设计变更类型进行划分,针对不同类型设计变更采用不同的审批程序。

2.1水利施工中设计变更类型划分应遵循的原则水利施工工程设计变更类型划分应遵循以下三个原则:

1)水利施工工程设计变更类型划分要与施工工程建设管理体制相匹配,充分发挥不同管理层次的作用,体现不同管理层次的责任和权力,降低设计变更的管理成本,促进施工工程建设进度。

2)设计变更类型划分应主要考虑设计变更对施工工程功能和效益、施工工程投资和工期、施工工程运行安全和施工工程质量等方面的影响程度。对施工工程影响较大的应由原审查审批机构批复,影响很小的则可将批复权限放在项目管理机构。

3)设计变更界定标准主要针对新建和改扩建的大中型水利施工工程特点,小型水利施工工程情况复杂,建设体制多样,可参考大中型施工工程设计变更的分类原则专项制定分类和管理办法。

2.2水利施工工程设计变更类型划分

按照2.1中的划分原则,为便于水利施工工程设计变更的分级管理,将水利施工工程设计变更按重大设计变更和一般设计变更进行划分。重大设计变更是指施工工程建设过程在施工工程开发任务、施工工程规模、设计标准、总体布局、施工工程布置、主要建筑物结构型式、重要机电金属结构设备、重大技术问题的处理措施等方面,对施工工程的工期、安全、投资、效益产生重大影响的设计变更;其他变更为一般设计变更。

2.3重大设计变更界定标准

经调查可知,典型水利施工工程设计变更情况和对施工工程建设影响,以《水利水电施工工程初步设计报告编制规程》的专业划分为主线进行重大设计变更界定,概念明确,结构清晰,可以适用各种水利施工工程。主要考虑设计标准、规模是否突破批准的初步设计,枢纽布置及主要建筑物方案是否影响到施工工程安全、工期和后期正常运用,投资去除政策性、物价因素是否超过一定额度。征地移民等其他非施工工程变化影响可单独界定设计变更。界定指标主要包括:水文,地质,施工工程任务、规模、建筑物等级及设计标准,总体布局、施工工程布置及主要建筑物,机电及金属结构,施工工程投资六项。

3加强设计变更管理的措施

3.1强化勘测设计质量意识

水利施工工程勘测设计工作是施工工程建设的龙头,是保证施工工程质量、施工工程安全和生产安全的源头。勘测设计单位应切实加强设计质量意识,提高勘测设计水平,减少不必要的设计变更。首先,要提高前期工作质量,确保合理的勘测设计周期,确保正常的资金和技术力量投入,保证勘测设计深度,加强基础工作,完善方案论证,避免设计缺项、漏项。其次要加强与业主、建设各方的协调沟通,严格执行施工工程强制性标准,坚持设计原则,强化安全意识,避免人为的设计变更。

3.2制定水利施工中设计变更管理办法

重大设计变更对施工工程建设的质量、安全等都具有重要影响,政府主管部门要根据水利施工工程实际,对设计变更类型进行划分,研究相关管理程序,明确各部门责任,尽快提出水利施工工程设计变更管理办法,促进前期工作质量提高,制定严格的基建管理程序,更好地适应水利施工工程建设的需要。

安全审计的类型范文第10篇

关键词:空管信息化;安全域;权值划分;信息安全

中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)10-2222-03

Researches on Security Domain Distribution of ATC Information system

HAN Xuan-zong

(Bureau of Guizhou air Traffic Management, Guiyang 550012, China)

Abstract: This paper is based on the basic concept of information security, which give a MSA security domain allocate system to resolve privates distribute problem in these construction of air traffic management information system and security domain system, It has an effective solution to coordination of various administrator and collaboration between security domains and information circulation, It also strengthen the ATC Security ability.

Key words: ATC information; security domain; private allocate; information security

空中交通管制作为LRI(Life related industry)生死攸关行业的一种,在航班数量飞速增加的今天,日益面临着严峻的挑战;尤其是大量基础支撑性的空管信息系统的引入,尽管有效地提升了管制工作效率,但是空管信息系统的安全管理问题却越来越成为一个潜在的隐患。

在当前空管行业应用的各类空管信息系统当中,从包括自动化系统、航行情报控制系统在内的管制直接相关系统,到日常应用的班前准备系统、设备运维管理系统等,大都采用设置超级管理员用户口令的方式进行管理,此方式尽管便于实现对系统的配置和维护,但由于权限过大,使得其可以对空管信息系统中数据进行任意操作,一旦出现超级管理员误操作或外部黑客获取到超级管理员权限,都可能造成难以估量的严重后果。

安全操作系统设计原则中包括的“最小特权”和“权值分离”的安全原则,可以有效地解决这一问题。最小特权原则思想在于控制为主体分配的每个操作的最小权限;权值分离原则思想在于实现操作由专人执行同时由第三方用户进行监管。

最小特权和权值分离两大原则的共同使用,构建出了基于角色的访问控制(Role-Based Access Control,RBAC)安全策略模型[1]。RBAC作为对用户角色权限的一种高度抽象,同一角色用户仍然拥有同样的权限,但为了能够更好的体现最小特权原则,角色下用户的权限仍必须得到进一步的控制;DTE(Domain And Type Enforcement,DTE)策略模型实现了将空管信息系统的不同进程划分为不同的域(Domain),将不同类型的资源划分为不同的类型(Type),通过对域和类型的安全属性进行限制,来实现对用户权限的控制[2]。

该文在综合了RBAC安全策略模型和DTE策略模型的基础上,提出一种对空管信息系统进行分域管理的划分机制,该机制符合最小特权和权值分离原则,实现了对系统超级管理员的权限细分,通过对权限的划分,建立管理员―域―类型的相关对应关系,分散了由于超级管理员权限过大造成的安全风险。

1系统/安全/审计管理划分机制

在任何一个构建完善的管理体系运行当中,管理人员、管理行为审计人员、安全管理人员的角色都不可或缺。空管信息系统超级管理员的权限也应依据此原则进行划分[3]。在具体实现中,应结合DTE策略中对于域和类型的管理思想,采取二维访问控制策略,强化对空管信息系统完整性和数据安全性的保护;DTE策略通过对管理权限进行控制,阻止单一用户权限造成的恶意程序扩散等情况。通过系统管理、安全管理、审计管理三方面的协同制约,保护系统资源的安全性。

1.1基于MSA的管理机制

该文依据RBAC及DTE策略遵循的最小特权和权值分离原则,将空管信息系统中超级管理员权限进行细粒度(Fine-Grain)的划分,将其权限一分为三,即管理(Management)权限、安全(Security)权限、审计(Audit)权限,构建一套基于MSA的权限管理机制。使三类管理员只具备完成所需工作的最小特权,在单项管理操作的整个生命周期中,必须历经安全权限的设置、管理权限的操作、 审计权限的审核这一流程。该文通过设立独立的系统管理员、安全管理员、审计管理员,并为其设置独立的与安全域挂勾的安全管理特权集,实现了管理-安全域-类型的二维离散对应关系。具体而言,三类管理员主要承担了以下职责:

1)系统管理特权集:归属于系统管理员,包括系统相关资源的分配,系统软件的配置、维护等权限;

2)安全管理特权集:归属于安全管理员,包括系统内部安全策略的制订,安全阙值的设置等安全相关权限;

3)审计管理特权集:归属于审计管理员,包括对系统管理员和安全管理员操作记录的审计和审批,作为一个独立的第三方监督角色出现。

MSA管理机制将系统超级管理员的权限划分为三个相互独立又相互依存的独立环节,实现了系统特权的细粒度划分,强化了系统的安全属性。图1展示了三类管理员之间的具体关系:图1 MSA管理员协作流程

如图1所示,空管信息系统用户总是会提出一定的需求,并寻求通过系统得到相应的应用来解决面临的问题。在这一过程中,首先会由系统管理员针对用户需求,判断满足用户需要调用的相应资源,如功能域和资源的类型,同时生成解决方案,并将其提交至安全管理员处。

安全管理员在接收到系统管理员产生的解决方案后,即时的会依照相关规定要求,为解决方案制定对应的安全级别,并实施可行的安全策略。如解决方案能够较好地满足安全级别和安全策略的要求,即通过安全管理员的安全评估,为其施加安全策略。

解决方案历经系统管理员、安全管理员的制定、安全策略实施等步骤后,将生成应用提交至用户,由用户验证其需求是否得到满足。

审计管理员在整个过程中,将针对从需求提出至应用的所有环节进行监控,任何系统内部的操作均需经过审计管理员的审计和监督,审计管理员有权停止任何涉及到安全的异常操作。

通过上述模式的应用,将使得空管信息系统划分为由MSA三个管理员所共同管理的系统,也形成了三大管理员之间的制约机制。该机制的建立,有效地避免了超级用户误操作和黑客入侵可能造成的危害。同时权限的细分,也使得任何一名管理员在操作自身环节事务时,都需要其它管理员的协助,无法独立完成越权操作。如当系统管理员进行用户的删除时,此操作将依据安全管理员制定的安全策略确定为较危险操作,实施的结果将由审计管理员进行审核,在确保该行为是合理有效的情况下才能实施。

1.2 MSA管理体系安全域的划分

MSA管理体系的应用使得系统、安全、审计三类管理员之间相互协作,相互制约的关系成为可能,系统的安全性得到增强。而在MSA体系上应用安全域思想及类资源的设置,将进一步隔离域间的信息和资源流动,防范非法信息泄漏现像,确保数据信息的安全。

该文在MSA体系中灵活运用了安全域的思想,实现了对空管信息系统主体域的划分,同时将空管信息系统管理的资源分为了不同的类型资源,MSA通过建立安全域和类型资源之间的关联,实现了对域间信息流动的监控,通过对安全域规则的制定,使得系统用户只能访问到所属安全域内的安全类型资源。通过对用户安全域访问行为的控制,有效的防止了误操作、恶意操作可能造成的恶意信息流的传输,进而强化空管信息系统整体安全性。在空管信息系统遭遇病毒攻击的环境下,病毒本身具有自我复制和传染未遭感染区域的特性,通过对安全域的划分和安全域内类型资源的归并,能够有效的阻止病毒的无限制复制传播,病毒只能访问所属主体的安全域及相关资源,无法传播至安全域边界之外。当系统管理资源分散于多个不同安全域时,系统将有效避免形成整体瘫痪现象。

在空管信息系统中,根据需求通常可以把资源划分到不同的安全域,同一安全域还能依据资源归属的不同,细分为不同的子域,子域在拥有部分父域特性和资源的同时,具有自身特有的特性,子域的存在不仅强化了安全域的安全管理特性,还能够真实映射现实社会的组织结构关系。

2管理机制安全规则研究

本节给出了MSA管理机制的实施规则,按照这些规则,可以根据MSA原则实施空管信息系统的管理。系统中的资源主要由主体(a),客体(c)组成,用A表示主体的集合,B表示客体的集合,D表示域(d)的集合,P表示型(p)的集合,R为权限的集合,主体、域、客体权限之间的关系如下:

1)设函数dom_a(a),是定义在主体集合A上的函数,将主体a映射到相应的域。系统中的主体至少属于1个域,即:?a∈A,? dom_a(a)≠?∧dom_a(a)?D。

2)设函数type(b),是定义在客体集合B上的函数,将客体b映射到相应的型,系统中的客体至少属于1个型,即:?b∈B,? type(b)≠?∧type(b)?B。

3)若权限映射函数R_DT(d,p),为定义在域D和型P上的函数,将域d对型p的权限映射为集合的某个子集,即为域d对型p拥有特权的集合。

为有效避免超级用户的误操作和恶意程序的攻击,安全域间的信息流动必须得到有效的控制。在每个独立的信息流动需求发起的同时,必须同步进行安全信息的验证,确保信息不会对接收安全域的安全状态造成破坏,在不影响安全域安全的前提下,才接收该信息流。信息流在由主体操作产生的同时,必须对操作本身进行检查,在操作和信息流均处于安全状态时,可视系统为安全态。依据以下分析,可得出如下关于信息流动的规则:

规则1安全域隔离规则:为有效阻止恶意操作,安全域间信息流动必须处于受监控状态,实现对安全域中数据的保护。

不同安全域间存在着干扰性,而干扰性的存在又反映了不同域间的相互作用,合理的应用安全域隔离规则,对安全域间信息的流动进行监控,是实现安全域安全的一大前提条件。

规则2安全域访问规则:安全域内部主体对客体的访问,必须满足相应的访问控制规则,包括常见的只读、读写等。具体的访问规则包括如下几类:

只读规则:单纯采用读取形式取得客体中信息,对安全域中数据进行不操作的读取,有效保证数据的完整性和不可变更性,同时在利用了数字加密技术的基础上,还保证了数据的机密性只读需求。

只写规则:主体对安全域内客体只进行单纯写入操作,不允许读取安全域中原有数据,对于主体写入数据的读取可根据具体进行进行设置其是否具有读取权限。

读写规则:包括只读和只写规则的部分安全控制因素,但主体在受控的情况下,可向安全域中客体写入并读取信息,在满足机密性和完整性的基础上,允许主体对安全域内客体进行读写。

以上几条规则只涉及安全域内部读写规则,当需要实现安全域间访问时,需要结合规则1进行控制,对于安全域间的访问控制,既要考虑到主体自身的权限要求,也要考虑到安全域之间的规则控制和系统监管因素,只有经过配置的安全策略实施后,才能允许实现域间的访问。

规则3安全域间管理规则:安全域级别可分为父域和子域两类,子域继承父域的域内资源,但采取独立的安全策略机制管理,父域通过为子域配置相应的安全策略实现子域对父域资源的安全访问,保障父域自身的数据完整性和安全性。在父域和子域同时管理同一资源时,父域具有优先级(安全策略进行特殊配置除外)。管理规则的实施,在便于调用资源的同时,实现了资源的共享和优化,也一定程度上防止了资源共享可能产生的冲突和安全患。

3结束语

最小特权原则和权值分离原则作为安全操作系统的基础原则的内容,能够有效地应用于空管信息系统超级用户权限分离问题,该文提出的MSA管理机制,通过管理权限的划分、管理员主体安全域的归属和相关资源类型的划定,有效降低了管理员误操作、黑客入侵等可能带来的对系统的破坏。在MSA管理机制的基础上,安全域的引入和资源类型的划分,有效地阻隔了各安全域间信息和资源的流动,阻止了恶意信息流的传递,增强了空管信息系统的安全。该文下一阶段将把安全域之间的流动控制作为下一步的研究重点,进一步进行开展,力图实现对空管信息安全的不断强化。

参考文献:

[1]张德银,刘连忠.多安全域下访问控制模型研究[J].计算机应用,2008,28(3):633-636.

[2]付长胜,肖侬,赵英杰.基于协商的跨社区访问的动态角色转换机制[J].软件学报,2008,10(19):2754-2761.

[3]段立娟,刘燕,沈昌祥.一种多安全域支持的管理机制[J].北京工业大学学报,2011,37(4):609-613.

[4]周伟.机场信息化规划研究及应用[J].科技创新导报,2008(21).

安全审计的类型范文第11篇

适航性可通俗理解为按适用的适航性要求进行设计、按规划的符合性方法进行验证、按确认的技术状态进行制造、按规定的用户资料进行使用与维修。针对民用航空器的研制和使用阶段,可以将适航性分为初始适航性和持续适航性两个阶段。对于初始适航性的管理,很重要的一点是适航证件的管理。对于一家民用航空产品(航空器、发动机或螺旋桨)的研发和制造企业,通过对其适航证件的管理可以很好地保障航空器的适航性,这对航空运营的安全保障是非常重要的。

航空产品的适航性可以简单分为设计批准、制造批准和单机适航批准三个层面。那么设计批准、制造批准和单机适航批准具体会颁发什么证件来保证航空产品的适航性呢?

设计批准

设计批准是对航空器设计符合适航标准的认可。如果是自主研发的航空产品,需要取得中国民航局颁发的型号合格证(TC)或者型号设计批准书(TDA);如果是引进国外的航空产品,则需要取得中国民航局颁发的型号认可证(VTC)。

型号合格证(TC)它是中国民用航空局(CAAC)对民用航空器、航空发动机和螺旋桨(滑翔机、载人气球、超轻型飞机或其他非常规航空器,以及其上安装的发动机和螺旋桨除外)设计批准的合格凭证。航空产品取得了型号合格证(TC),就意味着其设计符合适航准,是对航空产品设计研发的适航认可,我国的ARJ21飞机在2014年12月29日取得的便是型号合格证。

型号合格审定是中国民用航空局(CAAC)对申请取TC证的民用航空产品(指航空器、发动机和螺旋桨)进行设计批准的过程。

根据CCAR21部《民用航空产品合格审定规定》中的要求:具有民用航空产品设计能力的人具备申请型号合格证的资格(注:这里所说的“人”,并不是指某个具体的自然人,而是指具有正规组织机构的单位或团体)。

那什么是具有民航空产品设计能力的人呢?是指有相应航空产品设计经验,有正规完整的组织机构和管理程序,并按程序规定执行,也即有有效的设计保证系统的人。在递交TC申请后,局方将首先对申请人的设计保证系统进行审查,如果审查不通过,则无法继续进行型号合格审定活动,也就无法取证。

所谓的设计保证(Design Assurance)是指型号合格证申请人为了充分表明其具有以下能力所必需的所有有计划的、系统性的措施:

・设计的产品符合适用的适航规章和环境保护要求;

・表明并证实对适航规章和环境保护要求的符合性;

・向型号合格审定委员会(TCB)和型号合格审定审查组演示这种符合性。

设计保证系统(Design Assurance System)则是申请人为了落实以上设计保证措施所需要的组织机构、职责、程序和资源。

型号合格证申请书的有效期为5年,有效期自申请之日起计算,要求申请人在有效期内取证,否则需重新申请。如果申请人在申请时证明其民用航空产品需要更长的设计、发展和试验周期,经局方审查批准后,申请书的有效期可以延长。

民航局适航部门受理型号合格证申请后,将通过一系列的合格审定活动来审查航空产品的适航性,申请人需要做的则是在合格审定过程中向民航审定部门和人员表明航空产品对适航性要求的符合性。

AP-21-03-R4《航空器型号合格审定程序》给出了民用航空器型号合格审定的具体程序,可供申请人和审查人员使用。《程序》将典型的型号合格审定过程划分为:概念设计阶段、要求确定阶段、符合性计划制定阶段、计划实施阶段和证后阶段共5个阶段。

在型号合格审定过程中,审查方与申请人应对每个阶段进行阶段评估,完成阶段评估检查单。只有当评估结果满足相应的阶段性工作结果要求后,审定活动才能进入下一阶段。

型号设计批准书(TDA)型号设计批准书与型号合格证都是局方经过合格审定后认可相应航空产品(航空器、发动机或螺旋桨)设计的凭证,两者的区别主要体现在适用范围上的不同。

型号合格证(TC)适用于正常类、实用类、特技类、通勤类、运输类、载人自由气球或者特殊类别航空器、航空发动机或者螺旋桨。其中正常类、实用类、特技类、通勤类为CCAR23规定的航空器;运输类为CCAR25部规定的航空器;载人自由气球为CCAR31部规定的航空器。

型号设计批准书(TDA)则适用于初级类航空器和限用类航空器。

初级类航空器一般为滑翔机、超轻型飞机和其他非常规航空器,它们满足下列条件:

・无动力驱动或者由一台自然吸气式发动机驱动、在标准海平面昼间条件下失速速度不大于113公里/小时(61节);如果为旋翼航空器,主旋翼盘载荷限制值为29.3公斤/平方米(6磅/平方英尺);

・最大重量不大于1225公斤(2700磅);或者对于水上飞机,不大于1530.9公斤(3375磅);

・包括驾驶员在内,最大座位数不超过4人;

・客舱不增压。

限用类航空器指仅供专门作业用的某种类别的航空器,如轻型运动类飞机。这里的“专门作业”具体是指:

・农业(喷洒药剂和播种等);

・森林和野生动植物保护;

・航测(摄影、测绘、石油及矿藏勘探等);

・巡查(管道、电力线和水渠的巡查等);

・天气控制(人工降雨等);

・空中广告;

安全审计的类型范文第12篇

【关键词】SDH;网络数据;日志控制;会计信息安全

1.前言

针对许多外包服务商、厂商技术支持人员、项目集成商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效的记录其操作过程、维护内容,极容易泄露核心机密数据或遭到潜在的恶意破坏。

对SDH会计信息安全信息系统控制的过程中需要对网络运行维护进行全面的判断,对每个会计信息安全信息进行科学化划分,从而能够保证网络数据信息集中化控制与管理,保证数据信息审计能力提升。对SDH会计信息安全系统产生的方案进行会话管理,从而能够产生会话流,提升网络会计信息安全信息化管理水平。通过模型驱动等措施能够对网络行为进行检测,报警和记录,确保网络数据信息能够有效的控制,提升数据信息的控制与管理能力。

数据库运行维护是对数据进行有效会计信息安全和旁路侦听的重要方式,确保网络会话流能够符合网络数据信息管理的基本要求,提升网络数据接收能力,对网络数据传输活动的顺利实施产生积极的作用。通过对网络数据信息结构的优化,可以提升网络数据管理的性能要求,确保网络数据的会计信息安全性得到巩固,对可靠性管理产生重要的影响。网络数据信息管理过程中需要通过会计信息安全性和透明性控制,对日常会计信息安全维护进行处理,提高网络数据信息的控制和管理能力。支持日常维护人员针对AIX、Linux主机设备,主流网络设备、Windows服务器的进行的运行维护操作审计;日常维护人员操作Sybase数据库,通过运维审计系统可以审计到维护数据库的操作;可以支持针对外部厂商远程运行维护时,进行操作审计;审计协议支持Telnet、FTP、SSH、SFTP、RDP等;详细的权限分配功能,可以根据时间、登录IP、目标资源等进行详细授权;支持按时间、用户名、被审计设备、命令等进行的定制报表,并可以导出Excel或PDF等格式报表;设备支持硬件冗余方式,并支持HA(双机备份冗余)。

运维审计系统针对内部运维人员、厂商技术支持人员、外包服务商等对关键服务器、网络设备、会计信息安全设备操作进行会计信息安全审计,规避会计信息安全风险,减少会计信息安全事件;规范运维流程,加强会计信息安全管理,提高运维会计信息安全水平;对运维会计信息安全违规事件及时追踪,并提供可信、完整的技术依据;定时针对各类系统产生运行维护报告,审计运维内容,提交相关领导审核,并会计信息安全存档;协助完善内控机制,达到省公司的合格性要求。

2.SDH会计信息安全网络化模型设计

网络数据信息管理需要从SDH会计信息安全优化角度出发,积极稳妥的利用网络数据信息管理的基本要求,提升网络数据信息的管理能力,对网络数据信息会计信息安全目标实现产生重要的影响。

数据访问框架要提供对快速开发处于业务逻辑层与后端的DBMS之间的数据存取层的支持。主要要求有:

a.数据访问框架采用ORM技术提供业务对象到数据库的映射,对业务层屏蔽数据库的一切细节,使得DBMS的变迁不需要业务逻辑层做任何代码的变更。

b.设计时也需考虑DBMS的变更对数据存取层的影响,变更时只需最少的代码变更。

c.要实现代码和SDH语句的分离,以利于数据库管理员对数据库做配置优化。

d.支持对批处理操作的优化。

e.提供灵活方便的事务处理。

f.支持大部分需求的通用实现,又能够方便扩展。

g.要具有自成体系的异常机制。

String getSDH(Properties prop)方法接受一个Properties对象做为参数,该对象包含了参数化SDH语句SELECT * FROM table_A WHERE field1 = #PARAM1# AND field2 like "#PARAM2#"中被##符号包括的参数名PARAM1和PARAM2所对应的参数值。getSDH()方法以参数名PARAM1和PARAM2为键(key),从Properties对象中得到相应的参数值paramValue1和paramValue2,然后将它们按照在参数化SDH语句中的位置同partsOfSDH[]中的SDH语句段组合起来,构成一个标准的SDH语句返回。

PreCompiledSDH类对象在构造标准SDH语句时还要多做一样工作,就是根据映射文件中元素中定义的参数类型对得到的参数值进行包装。比如若参数PARAM1的类型为STRING型,则要将相应的参数值paramValue1包装成 ‘paramValue1’;若参数PARAM2的类型为DATE型,则要将相应的参数值paramValue2包装成to_date(‘paramValue2’,‘yyyy-MM-dd HH24:mi:ss’),等等。

数据访问对象(DAO)提供了数据访问的标准接口,把实体操作的细节封装起来。

当执行数据访问操作时,调用者以Obje-

cSignature对象(Entity和Entity-Container都是ObjectSignature的子类)和Properties对象作为参数,调用DAO的相应方法。

DAO对象根据ObjectSignature.toSign-ature()方法得到所要执行的SDH Statement的唯一标识,并根据此标识调用SDHCode单例对象的getSDHStatement()方法获得对应的SDHStatement实例对象。

DAO对象从SDHStatement中得到标识参数化SDH语句的ParameterizedSDH对象,然后将这个ParameterizedSDH对象和调用者传入的Properties对象一起作为参数调用DBWrapper对象的相应方法。

DBWrapper是数据库操作包装器类,它封装了所有的通过JDBC操作数据库的调用。DBWrapper类对象根据Properties对象将ParameterizedSDH对象转换成标准SDH语句,并通过一个JDBC Statement的实例执行该SDH语句,最后根据JDBC返回的ResultSet创建结果对象。

下面详细介绍数据访问对象类、数据库操作包装器类的设计,以及事务处理和对DBMS之间差异的屏蔽。

3.总结

SDH网络系统会计信息安全处理过程中,需要对会计信息安全信息进行管理,确保会计信息安全信息能够符合网络数据查询的具体要求,提升网络数据信息的会计信息安全控制与管理水平,对网络数据信息的优化产生积极的影响。通过对网络数据信息流的访问,全面提升网络数据的综合管理能力,确保网络数据信息能够在查询的过程中进行异常处理,从多方面解决网络数据信息会计信息安全能力,为网络数据信息会计信息安全传输提供重要的支撑。

参考文献

[1]贺艳芳,石坚.SDH会计信息安全显示预处理和会计信息安全关联分析[J].科学技术与工程,2006(04):12-13.

[2]吴蔚.利用会计信息安全关联分析技术实现网络故障定位[J].科技经济市场,2007(10):17-18.

[3]石永革,梅玉洁,石峰.通信网网管会计信息安全过滤机制的研究与应用[J].计算机工程与设计,2008(09):90-91.

[4]孙朝晖,张德运,李庆海.网络故障管理中的自动会计信息安全关联[J].计算机工程,2004(05):56-57.

安全审计的类型范文第13篇

论文关键词:安全审计 日志 数据挖掘

论文摘要:提出了无线网关安全审计系统的系统模型,介绍了该系统的设计思想,从数据的控制、数据的采集、日志的归类、日志的审计与报警4个方面描述了设计流程.在系统中通过改进syslog机制,引入有学习能力的数据挖掘技术,实现对无线网关的安全审计.

0 引言

无线网关是无线网络与布线网络之间的桥梁,所有的通信都必须经过无线网关的审计与控制.在无线网络中,无线网关放置在无线网络的边缘,相当于无线网络的大门,当无线网关遭到攻击和入侵时,灾难会殃及整个无线网络,使无线网络不能工作或异常工作,由此可见,对无线网关进行安全审计是十分有意义的.

本文中研究的安全审计系统是北京市重点实验室科、研项目“智能化无线安全网关”的一部分.智能化无线安全网关在无线网关上集成具有ids和防火墙功能的模块,以及控制和阻断模块,这些功能模块在统一操作系统的基础上,既各司其职,又密切合作,共同完成防范、预警、响应和自学习的功能,构成一个有机的安全体系.

无线网关的安全审计系统,其主要功能就是在事后通过审计分析无线安全网关的日志信息,识别系统中的异常活动,特别是那些被其它安全防范措施所遗漏的非法操作或入侵活动,并采取相应的报告,以有利于网络管理员及时有效地对入侵活动进行防范,确保网络的安全[1].

1 系统功能概述

无线网关安全审计系统是针对无线网络的安全运作而提出的,主要包括数据控制、数据采集、日志归类、日志的审计与报警等几大基本功能.首先,审计系统的数据控制模块对进出的数据信息进行严格的控制,根据预定义的规则进行必要的限制,适当地降低风险.其次,安全审计系统的数据采集模块收集无线安全网关的网络日志、系统日志及用户和应用日志.随后,采集部件收集到的日志记录被送到日志归类模块,根据日志记录行为的不同层次来进行分类.最后,使用审计与报警模块对日志记录进行审计分析.这时可以根据预先定义好的安全策略对海量的日志数据进行对比分析,以检测出无线网关中是否存在入侵行为、异常行为或非法操作.管理员可以初始化或变更系统的配置和运行参数,使得安全审计系统具有良好的适应性和可操作性.

2 系统设计

2.1 系统结构组成(见图1)

2.2 设计思想

系统从数据采集点采集数据,将数据进行处理后放入审计数据库,采用有学习能力的数据挖掘方法,从“正常”的日志数据中发掘“正常”的网络通信模式,并和常规的一些攻击规则库进行关联分析,达到检测网络入侵行为和非法操作的目的.

2.3 系统的详细设计

系统的处理流程如图2所示:

2.3.1 数据的控制.数据控制模块使用基于netfilter架构的防火墙软件iptables对进出的数据信息进行严格的控制,适当地降低风险.

2.3.2 数据的采集.数据采集模块,即日志的采集部件.为了实现日志记录的多层次化,需要记录网络、系统、应用和用户等各种行为来全面反映黑客的攻击行为,所以在无线安全网关中设置了多个数据捕获点,其中主要有系统审计日志、安全网关日志、防火墙日志和入侵检测日志4种.2.3.3 日志的归类.日志归类模块主要是为了简化审计时的工作量而设计的,它的主要功能是根据日志记录行为的不同层次来进行分类,将其归为网络行为、系统行为、应用行为、用户行为中的一种,同时进行时间归一化.进行日志分类目的是对海量信息进行区分,以提高日志审计时的分析效率.

2.3.4 日志审计与报警.日志审计与报警模块侧重对日志信息的事后分析.该模块的主要功能是对网关日志信息进行审计分析,即将收到的日志信息通过特定的策略进行对比,以检测出不合规则的异常事件.随着审计过程的进行,若该异常事件的可疑度不断增加以致超过某一阈值时,系统产生报警信息.该模块包括日志信息的接收、规则库的生成、日志数据的预处理、日志审计等几个功能.

3 系统的实现

3.1 系统的开发环境

智能无线安全网关安全审计系统是基于linux操作系统开发的b/s模式的日志审计系统.开发工具为:前台:windows xp professional+html+php,后台:linux+apache+mysql + c++.

3.2 日志归类模块的实现[2-3]

无线网关的日志采用linux的syslog机制进行记录,sys-log记录的日志中日期只包含月和日,没有年份.在该模块中,对日志记录的syslog机制进行一些改进,克服其在日志中不能记录年的问题.

下面以无线网关的日志为例,说明其实现过程.网关日志的保存文件为gw.log,用一个shell脚本,在每月的第一天零点,停止syslogd进程,在原来的文件名后面加上上一个月的年和月,如gw.log200603,再新建一个gw.log用于记录当月的日志,再重启syslogd记录日志.这样就把每月的日志存放在有标志年月的文件中,再利用c++处理一下,在记录中加入文件名中的年份.

3.3 日志审计与报警模块的实现

3.3.1 日志审计模块的处理流程(见图3).

3.3.2 规则库生成的实现.安全审计系统所采用的审计方法主要是基于对日志信息的异常检测,即通过对当前日志描述的用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或者越权操作的存在.该方法的优点是无需了解系统的缺陷,有较强的适应性.这里所说的规则库就是指存储在检测异常数据时所要用到的正常的网络通信及操作规则的数据库.规则库的建立主要是对正常的日志信息通过数据挖掘的相关算法进行挖掘来完成.

首先系统从数据采集点采集数据,将数据进行处理后放入审计数据库,通过执行安全审计读入规则库来发现入侵事件,将入侵时间记录到入侵时间数据库,而将正常日志数据的访问放入安全的历史日志库,并通过数据挖掘来提取正常的访问模式.最后通过旧的规则库、入侵事件以及正常访问模式来获得最新的规则库.可以不停地重复上述过程,不断地进行自我学习的过程,同时不断更新规则库,直到规则库达到稳定.

3.3.3 日志信息审计的实现.日志审计主要包括日志信息的预处理和日志信息的异常检测两个部分.在对日志进行审计之前,首先要对其进行处理,按不同的类别分别接收到日志信息数据库的不同数据表中.此外,由于所捕获的日志信息非常庞大,系统中几乎所有的分析功能都必须建立在对这些数据记录进行处理的基础上,而这些记录中存在的大量冗余信息,在对它们进行的操作处理时必将造成巨大的资源浪费,降低了审计的效率,因此有必要在进行审计分析之前尽可能减少这些冗余信息.所以,在异常检测之前首先要剔除海量日志中对审计意义不大及相似度很大的冗余记录,从而大大减少日志记录的数目,同时大大提高日志信息的含金量,以提高系统的效率.采用的方式就是将收集到的日志分为不同类别的事件,各个事件以不同的标识符区分,在存放日志的数据库中将事件标识设为主键,如有同一事件到来则计数加一,这样就可以大大降低日志信息的冗余度.

在日志信息经过预处理之后,就可以对日志信息进行审计.审计的方法主要是将日志信息与规则库中的规则进行对比,如图3所示.对于检测出的不合规则的记录,即违反规则的小概率事件,记录下其有效信息,如源、目的地址等作为一个标识,并对其设置一怀疑度.随着日志审计的进行,如果属于该标识的异常记录数目不断增加而达到一定程度,即怀疑度超过一定阈值,则对其产生报警信息.

4 数据挖掘相关技术

数据挖掘是一个比较完整地分析大量数据的过程,一般包括数据准备、数据预处理、建立数据挖掘模型、模型评估和解释等,是一个迭代的过程,通过不断调整方法和参数以求得到较好的模型[4].

本系统中的有学习能力的数据挖掘方法主要采用了3种算法:

1)分类算法.该算法主要将数据影射到事先定义的一个分类之中.这个算法的结果是产生一个以决策树或者规则形式存在的“判别器”.本系统中先收集足够多的正常审计数据,产生一个“判别器”来对将来的数据进行判别,决定哪些是正常行为,哪些是入侵或非法操作.

2)相关性分析.主要用来决定数据库里的各个域之间的相互关系.找出被审计数据间的相互关联,为决定安全审计系统的特征集提供很重要的依据.

3)时间序列分析.该算法用来建立本系统的时间顺序模型.这个算法有利于理解审计事件的时间序列一般是如何产生的,这些所获取的常用时间标准模型可以用来定义网络事件是否正常.

5 结束语

该系统通过改进syslog机制,使无线网关的日志记录更加完善.采用有学习能力的数据挖掘技术对无线网关正常日志数据进行学习,获得正常访问模式的规则库,检测网络入侵行为和非法操作,减少人为的知觉和经验的参与,减少了误报出现的可能性.该系统结构灵活,易于扩展,具有一定的先进性和创新性,此外,使用规则合并可以不断更新规则库,对新出现的攻击方式也可以在最快的时间内做出反应.下一步的工作是进一步完善规则库的生成以及审计的算法,增强系统对攻击的自适应性,提高系统的执行效率.

参考文献:

[1] branch j w, petroni n l, doorn van l, et al.autonomic802.11 wireless lan security auditing[j]. ieee security&privacy, 2004(5/6):56-65.

[2] 李承,王伟钊,程立.基于防火墙日志的网络安全审计系统研究与实现[j].计算机工程,2002,28(6):17-19.

安全审计的类型范文第14篇

论文关键词:安全审计 日志 数据挖掘

论文摘要:该文提出了无线网关安全审计系统的系统模型,详细介绍了该系统的设计思想和流程。在系统中通过改进syslog机制,引入有学习能力的数据挖掘技术,实现对无线网关的安全审计。

无线网关作为无线网络与布线网络之间的桥梁,所有的通信都必须经过无线网关的审计与控制。在无线网络中,无线网关放置在无线网络的边缘,相当于无线网络的大门,当无线网关遭到攻击和入侵时,灾难会殃及整个无线网络,使无线网络不能工作或异常工作,由此可见,对无线网关进行安全审计是十分有意义的。

一、系统概述

本文研究的安全审计系统是北京市重点实验室科研项目智能化无线安全网关的一部分。智能化无线安全网关在无线网关上集成具有ids和防火墙功能的模块,以及控制和阻断模块,这些功能模块在统一操作系统的基础上,既各司其职,又密切合作,共同完成防范、预警、响应和自学习的功能,构成一个有机的安全体系。

无线网关的安全审计系统,其主要功能就是在事后通过审计分析无线安全网关的日志信息,识别系统中的异常活动,特别是那些被其他安全防范措施所遗漏的非法操作或入侵活动,并采取相应的报告,以有利于网络管理员及时有效地对入侵活动进行防范,确保网络的安全。无线网关安全审计系统是针对无线网络的安全运作而提出的,主要包括数据控制、数据采集、日志归类、日志的审计与报警等几大基本功能。

首先,审计系统的数据控制模块对进出的数据信息进行严格的控制,根据预定义的规则进行必要的限制,适当地降低风险。其次,安全审计系统的数据采集模块收集无线安全网关的网络日志、系统日志、及用户和应用日志。随后,采集部件收集到的日志记录被送到日志归类模块,根据日志记录行为的不同层次来进行分类。最后,使用审计与报警模块对日志记录进行审计分析。这时可以根据预先定义好的安全策略对海量的日志数据进行对比分析,以检测出无线网关中是否存在入侵行为、异常行为或非法操作。管理员可以初始化或变更系统的配置和运行参数,使得安全审计系统具有良好的适应性和可操作性。

二、系统设计

1、系统结构组成

2、设计思想

系统从数据采集点采集数据,将数据进行处理后放入审计数据库,采用有学习能力的数据挖掘方法,从“正常”的日志数据中发掘“正常”的网络通信模式,并和常规的一些攻击规则库进行关联分析,达到检测网络入侵行为和非法操作的目的。

3、系统的详细设计

(1)数据的控制

数据控制模块使用基于netfilter架构的防火墙软件iptables对进出的数据信息进行严格的控制,适当地降低风险。

(2)数据的采集

数据采集模块,即日志的采集部件,为了实现日志记录的多层次化,即需记录网络、系统、应用和用户等各种行为来全面反映黑客的攻击行为,所以在无线安全网关中设置了多个数据捕获点,其主要有系统审计日志、安全网关日志、防火墙日志和入侵检测日志4种。

(3)日志的归类

日志归类模块主要是为了简化审计时的工作量而设计的,它的主要功能是根据日志记录行为的不同层次来进行分类,将其归为网络行为、系统行为,应用行为、用户行为中的一种,同时进行时间归一化。进行日志分类目的是对海量信息进行区分,以提高日志审计时的分析效率。

(4)日志审计与报警

日志审计与报警模块侧重对日志信息的事后分析,该模块的主要功能是对网关日志信息进行审计分析,即将收到的日志信息通过特定的策略进行对比,以检测出不合规则的异常事件。随着审计过程的进行,若该异常事件的可疑度不断增加以致超过某一阈值时,系统产生报警信息。该模块包括日志信息的接收、规则库的生成、日志数据的预处理、日志审计等几个功能。

三、系统的实现

1、系统的开发环境

智能无线安全网关安全审计系统是基于linux操作系统开发的b/s模式的日志审计系统。开发工具为前台:windows xpprofessional+html+php后台:linux+apache+mysql+c++。

2、系统的处理流程

前面已经详细介绍了该系统的设计思想,系统的处理流程如图2所示:

3、日志归类模块的实现

无线网关的日志采用linux的syslog机制进行记录,syslog记录的日志中日期只包含月和日,没有年份。在本模块中,对日志记录的syslog机制进行一些改进,克服其在日志中不能记录年的问题。

下面以无线网关的日志为例,说明其实现过程。网关日志的保存文件为gw.log,用一个shell脚本,在每月的第一天零点,停止syslogd进程,在原来的文件名后面加上上一个月的年和月,如gw.log200603,再新建一个gw.log用于记录当月的日志,再重启syslogd记录日志。这样就把每月的日志存放在有标志年月的文件中,再利用c++处理一下,在记录中加入文件名中的年份。

4、日志审计与报警模块的实现

(1)日志审计模块的处理流程

(2)规则库生成的实现

安全审计系统所采用的审计方法主要是基于对日志信息的异常检测,即通过对当前日志描述的用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或者越权操作的存在。该方法的优点是无需了解系统的缺陷,有较强的适应性。

这里所说的规则库就是指存储在检测异常数据时所要用到的正常的网络通信及操作规则的数据库。规则库的建立主要是对正常的日志信息通过数据挖掘的相关算法进行挖掘来完成。首先系统从数据采集点采集数据,将数据进行处理后放入审计数据库,通过执行安全审计读入规则库来发现入侵事件,将入侵时间记录到入侵时间数据库,而将正常日志数据的访问放入安全的历史日志库,并通过数据挖掘来提取正常的访问模式。最后通过旧的规则库、入侵事件以及正常访问模式来获得最新的规则库。可以不停地重复上述过程,不断地进行自我学习的过程,同时不断更新规则库,直到规则库达到稳定。

(3)日志信息审计的实现

日志审计主要包括日志信息的预处理和日志信息的异常检测两个部分。在对日志进行审计之前,我们首先要对其进行处理,按不同的类别分别接收到日志信息数据库的不同数据表中。此外,由于我们所捕获的日志信息非常庞大,而系统中几乎所有的分析功能都必须建立在对这些数据记录进行处理的基础上。而这些记录中存在的大量冗余信息,在对它们进行的操作处理时必将造成巨大的资源浪费,降低了审计的效率。因此有必要在进行审计分析之前尽可能减少这些冗余信息。所以,我们在异常检测之前首先要剔除海量日志中对审计意义不大及相似度很大的冗余记录,从而大大减少日志记录的数目,同时大大提高日志信息的含金量,以提高系统的效率。采用的方式就是将收集到的日志分为不同类别的事件,各个事件以不同的标识符区分,在存放日志的数据库中将事件标识设为主键,如有同一事件到来则计数加一,这样就可以大大降低日志信息的冗余度。

在日志信息经过预处理之后,我们就可以对日志信息进行审计了。审计的方法主要是将日志信息与规则库中的规则进行对比,如图3所示,对于检测出的不合规则的记录,即违反规则的小概率事件,我们记录下其有效信息,如源,目的地址等作为一个标识,并对其设置一怀疑度。随着日志审计的进行,如果属于该标识的异常记录数目不断增加而达到一定程度,即怀疑度超过一定阈值,我们则对其产生报警信息。

四、数据挖掘相关技术

数据挖掘是一个比较完整地分析大量数据的过程,它一般包括数据准备、数据预处理、建立数据挖掘模型、模型评估和解释等,它是一个迭代的过程,通过不断调整方法和参数以求得到较好的模型。

本系统中的有学习能力的数据挖掘方法,主要采用了三个算法:

(1)分类算法 该算法主要将数据影射到事先定义的一个分类之中。这个算法的结果是产生一个以决策树或者规则形式存在的“判别器”。本系统中先收集足够多的正常审计数据,产生一个“判别器”来对将来的数据进行判别,决定哪些是正常行为,哪些是入侵或非法操作。

(2)相关性分析 主要用来决定数据库里的各个域之间的相互关系。找出被审计数据间的相互关联,为决定安全审计系统的特征提供很重要的依据。

(3)时间序列分析 该算法用来建立本系统的时间顺序模型。这个算法帮助我们理解审计事件的时间序列一般是如何产生的,这些所获取的常用时间标准模型可以用来定义网络事件是否正常。

本系统通过改进syslog机制,使无线网关的日志记录更加完善,采用有学习能力的数据挖掘技术对无线网关正常日志数据进行学习,获得正常访问模式的规则库,检测网络入侵行为和非法操作,减少人为的知觉和经验的参与,减少了误报出现的可能性。该系统结构灵活,易于扩展,具有一定的先进性和创新性。此外,使用规则合并可以不断更新规则库,对新出现的攻击方式也可以在最快的时间内做出反应。下一步的工作是进一步完善规则库的生成以及审计的算法,增强系统对攻击的自适应性,提高系统的执行效率。

参考文献

[1]branch,jw,petroni,nl,vandoorn,l.,safford,d.,auto-nomic802.11wirelesslansecurityauditing,ieeesecurity&privacy,may/june 2004,pp.56-65.

[2]李承,王伟钊. 基于防火墙日志的网络安全审计系统研究与实现.计算机工程 2002.6.

安全审计的类型范文第15篇

为进一步规范煤矿建设项目安全设施设计审查与竣工验收工作,从源头上严把安全关,促进煤炭工业持续健康发展,现就有关事项通知如下:

一、煤矿建设项目必须经政府有关部门核准(或批准)。未经核准(或批准)的煤矿建设项目,煤矿安全监察机构不得受理安全设施设计审查业务。

二、合理界定项目类型,分级负责,共同做好安全设施设计审查和竣工验收工作。煤矿建设项目包括以下三种类型:

新建项目,指在新开发井田内新设计建设的煤矿建设项目;

扩建项目,指现有合法生产煤矿通过技术改造等手段,使得生产能力增加的煤矿建设项目;

改建项目,指现有合法生产煤矿改变了煤矿原有主要生产系统及安全设施,但没有增加生产能力的煤矿建设项目。主要包括:增加井筒数目或者改变井筒功能的,扩大煤层开采范围的,矿井延伸水平开拓方式与原设计不一致的项目。

新建、扩建项目的安全设施设计审查、竣工验收工作,继续按照《煤矿建设项目安全设施监察规定》(原国家局令第6号)办理;改建项目的安全设施设计审查、竣工验收工作,由项目所在地省级煤矿安全监察机构(以下简称省局)或煤矿安全监察分局(以下简称分局)负责,具体办法由省局自行确定。

三、煤矿建设单位申请安全设施设计审查或竣工验收,必须同时上报规定的各项资料,并对其真实性负责;所报资料必须完整可靠,如系复印件应加盖建设单位公章。

(一)提出安全设施设计审查申请时,应当提交下列资料:

1.安全设施设计审查申请文件及申请表;

2.政府有关部门对该建设项目核准(或批准)文件;

3.采矿许可证或者划定矿区范围批复文件;

4.安全预评价报告书;

5.井田勘探(精查)地质报告(小型煤矿必须符合《煤炭工业小型矿井设计规范》要求);

6.煤矿初步设计;

7.煤矿初步设计安全设施设计;

8.其他需要说明的材料。

(二)提出安全设施竣工验收申请时,应当提交下列资料:

1.安全设施竣工验收申请文件及申请表;

2.经批准的安全设施设计;

3.施工期间伤亡事故及其他重大工程质量事故的有关资料;

4.单项工程质量认证报告书;

5.建井地质报告(大中型项目);

6.联合试运转报告;

7.安全验收评价报告;

8.经国家授权单位鉴定的煤层自燃倾向性、煤尘爆炸危险性报告,设计为突出矿井和设计要求进行突出危险性鉴定的高瓦斯矿井已揭露煤层的突出危险性鉴定报告,本年度或上年度矿井瓦斯等级鉴定报告及审批文件;

9.《煤矿安全规程》规定的反映实际情况的图纸;

10.建设单位编写的安全预验收报告书;

11.建设单位对安全验收评价报告所提问题的整改情况说明;

12.其他需上报的资料。

四、煤矿建设单位必须按照批准的安全设施设计组织施工,不得擅自变更设计内容。遇以下情形,煤矿建设单位和设计单位必须提前对已批准的安全设施设计进行变更修改,经原审批机构审查同意后实施。

(一)矿井瓦斯、煤层自燃、煤尘爆炸危险等级以及矿井水文地质类型发生变化的;

(二)开采地质条件、采煤方法及工艺发生变化的;

(三)通风系统、排水系统、矿井供电系统、开拓方式、提升运输方式发生变化的;

(四)首采区及首采工作面布置发生变化的。

其他方面变更的,在不降低安全保障水平的前提下,建设、设计单位应提供变更依据报煤矿安全监察机构备案。

五、联合试运转工作必须严格遵守以下规定:

(一)具备以下条件的煤矿建设项目,必须在编制联合试运转方案,报经有关主管部门批准(大中型项目报省级煤炭行业管理部门审批,小型项目报市、地级煤炭行业管理部门审批),并按规定报煤矿安全监察机构备案后方可组织实施:

1.煤矿生产系统和安全设施已按设计建成完工;

2.安全管理机构及安全生产管理制度健全;

3.矿长具备安全资格、特种作业人员持证上岗、其他入井人员培训合格。

4.矿井已建立矿山救护队或已与具有资质的专业矿山救护队签订救护协议。

(二)联合试运转方案应当包括以下内容:

1.联合试运转的系统、范围和期限;

2.联合试运转的测试项目、测试方法、测试机构和人员;

3.联合试运转的预期目标和效果;

4.联合试运转期间产量计划与劳动组织;

5.应急预案与安全技术措施;

6.其他规定事项。

(三)联合试运转报告应当包含以下主要内容,且经煤矿矿长和技术负责人审签:

1.各主要系统分项运行报告;

2.主要生产安全设备故障处理记录与分析;

3.提升、排水、通风等主要生产安全设施与装备的检测、检验报告;

4.联合试运转的效果分析;

5.今后有关生产安全的建议;

6.其他应予以说明的事项。

六、煤矿安全监察机构组织开展安全设施设计审查和竣工验收工作时,选聘的专家必须涵盖该建设项目所涉及的各相关专业人员;同时应实行回避制度,凡与建设、设计和施工单位有利害关系的专家不得参加该项目安全设施设计审查和竣工验收。

七、建设项目安全设施设计审查和竣工验收工作中,要充分重视以下关键环节:

(一)高瓦斯、煤与瓦斯突出矿井,必须健全瓦斯抽采系统,立足于采前、掘前预抽,并满足《瓦斯抽采基本指标》要求。

(二)新建矿井原则上要一次设计、一次建成。如有特殊原因,只能分期投产的,也必须保证安全设施和主要生产系统一次建成一次验收,做到同时设计、同时施工、同时投入使用。

(三)设计中必须明确投产时主要巷道的长度和位置,保证形成完善的通风和排水系统,保证“三个煤量”符合国家有关规定,保证安全开采。扩建、改建项目安全设施设计中应明确扩建或改建工程的范围、工程量及与原矿井安全生产系统衔接、影响关系。

(四)煤矿企业应设立矿山救护队,不具备单独设立矿山救护队条件的煤矿企业,应与就近的救护队签订救护协议或联合建立矿山救护队。大型煤矿、灾害严重的中型煤矿、最近矿山救护队至矿井的行车时间超过30分钟的小型煤矿,必须建立矿山救护队。

(五)煤矿设计能力必须符合国家产业政策和相关规定。

(六)煤矿建设项目移交生产后原则上3年内不得申请改扩建。

精品推荐
扩展阅读
推荐期刊