2023-06-26 11:15:25 来源 : 文秘帮
关键词:安全审计系统;网络安全管理;措施
互联网时代信息技术虽然使人们的生活更加便捷,却带来了网络安全问题。尽管网络外部检测技术和防御系统已经持续建设,在某种程度抵御外部网络的入侵,保护网络数据信息的安全,但是内部网络的违规操作、非法访问等造成的网络安全问题在外部网络的防御措施得不到有效解决。因此可以利用安全审计系统进行网络安全管理,检测访问网络内部系统的用户,监控其网络行为,记录其异常网络行为,针对记录结果解决网络安全问题,对网络安全隐患的评判具有重要作用。本文主要介绍安全审计系统以及作用,阐述其在网络安全管理的必要性以及实际应用。
(资料图片仅供参考)
1网络安全管理的安全审计系统
1.1安全审计系统的组成
①事件产生器;②事件数据库;③事件分析器;④响应单元。事件产生器的作用:将单位网络获得的事件提供给网络安全审计系统;事件分析器的作用:详细地分析所得到的数据;事件响应单元的作用:根据时间分析器得到的分析结果做出相应的反映;事件数据库的作用:保存时间分析器得到的分析结果。
1.2安全审计系统的要求
1.2.1记录与再现记录安全审计系统中全部违规操作、非法行为,再现系统某种状态的主要行为。1.2.2入侵检测审计系统检查出大多数常见的系统入侵的意图,设计相应程序阻止入侵行为。1.2.3记录入侵行为审计系统记录所有的入侵企图,对于成功入侵用户,可以根据入侵记录恢复系统。1.2.4系统本身的安全性安全审计系统必须保证自身系统操作系统和软件安全以及审计数据安全才可以发挥其在网络安全管理的作用。
2网络安全审计的必要性
2.1提高企业数据安全管理绩效
高新科技技术已经渗透到社会方方面面,有利也有弊,其中企业来说,网络信息安全的问题频频出现,这对于企业网络运营和实际经营造成很大的冲击、带来经济损失。防火墙、防病毒软件、反入侵系统虽然可以解决部分内部用户的非法违规网络行为导致的网络信息安全问题,某种程度也保障了网络信息安全。网络信息外部的防卫无法抵御内部用户在没有网络监管时对网络内部的不合法操作,网络外部的安全防卫措施无法解决网络内部出现的故障。所以企业网络要正常运营、企业经营要得到持续发展,必须要建立企业内部的安全审计系统,对内部用户访问网络系统进行严格监控和审计,有必要时可以采取相应措施惩戒造成网络安全问题的人员,让网络信息安全事件不再发生。
2.2提高网络信息安全性
(1)安全审计系统采取访问控制手段对网络信息进行安全审计和监控,从而提高网络信息安全;(2)对网络信息加密实现网络信息安全审计的目的,实现网络数据私有,做到网络安全管理,为了提高网络信息安全水平要经常维护与检查安全日志;(3)安全审计网络中传输的信息,监控网络操作行为,提高网络信息安全性,提供社会组织的网络化行为安全性保障。
3安全审计系统在网络安全管理的应用
安全审计系统和基础网络病毒防护产品相互结合,共同保护网络的整体安全。企业传统的网络安全体系建设只注重网络边界的安全,重点建设针对外部网络向企业内网攻击的防护措施,没有考虑到内网自身存在的安全隐患,企业的网络信息安全无法得到有效保障。因此,借助安全审计系统对企业网络安全进行审计和评估,实现企业网络的全面安全监督。随着互联网科技快速发展,银行金融行业处于信息化时代,信息化推动银行智能化发展,银行网络信息安全对银行安全稳定发展非常重要,如银行数据集中处理有风险、网络金融服务容易受到黑客、病毒攻击等。由于银行涉及到金钱等财务利益上的交易,而且银行作为信息化时代以客户为主导的服务行业,必须严格地对客户信息进行保密,保障客户信息安全。不仅银行关系到国计民生、对社会经济发展也具有重要意义,所以控制银行信息化风险的最有效方法就是建立银行网络信息安全审计系统。网络的广泛应用给教育行业带来很大便利,目前很多高校和发达地区中小学都建立自己的校园网,但是网络问题作为信息化水平发展的附属品,给校园网安全管理造成很大困扰。虽然校园网已经加大网络外部病毒防御系统建设,但是网络内部检测和审计更需要引起重视,为了减少网络有害信息和侵权行为,规范师生上网行为,维护校园网安全稳定运行,非常有必要建立校园网络安全审计系统。
4结语
本文详细介绍了网络安全管理的安全审计系统以及功能,并且阐述了网络安全审计的必要性,安全审计系统的使用,使网络监控力度大大加强,让网络监控效率得到显著提高,为信息化建设提供了良好的保障。
参考文献
[1]付晓坤.网络安全审计技术的运用[J].中国水运,2013(09):50-51.
[2]张文颖.探讨网络安全中安全审计与监控系统的设计与实现[J].电脑知识与技术,2013(16):3738.
[3]伍闽敏.建设企业计算机网络安全审计系统的必要性及其技术要求[J].信息安全与技术,2011(12):34-36.
[4]刘慧蓉.网络安全审计系统的应用研究[J].中国教育技术装备,2013(06):28-29.
【关键词】校园网 安全管理 网络安全审计
在计算机与网络迅速发展的当代,互联网已经为人类做出了不可小觑的贡献,尤其是在教学方面,教师已经习惯运用信息化手段来教学,但是就在互联网盛行的时代,出现了很多负面的非法信息,这使学生的人生观以及价值观都受到了影响,更有甚者非法站点介入了校园内部的网站,窃取了某些信息,将其泄漏出去,使学生的学习以及教师的工作受到了严重的影响。由此看来,规范校园网络使用行为,保证校园网络能够健康、稳定地运行是目前我国大多数学校应该重视的问题。
1 校园网网络管理现状
从我国大部分校园网络使用情况来看,校园网络中出现了以下几种状况:
(1)首先校园内部网络使用者没有经过严格的用前培训,因此有很多校园内部使用者都会对校园网络产生供给威胁;
(2)校园外部互联网接入内部,校园内部网络出现了很多的病毒,同时也受到了攻击性的威胁;
(3)很多来自外部的移动终端以及计算机带来了很大的隐患;
(4)网络上不良信息以及垃圾邮件对校园网络产生的威胁。
2 校园网网络安全审计的功能及内容
2.1 网络安全审计
其指的是依照制定的策略,使用审计工具,来对用户以及系统活动进行记录,并分析数据等,以此来审查网络的安全,避免出现一些人为错误,这样就能够掌握系统是否有漏洞,对资源进行科学、合理地调配,保证系统能够健康、稳定地运行。
2.2 网络安全审计的要点
在管理校园网的过程中,对网络的审计内容主要包括以下这么几点:
2.2.1 实时审计
也就是说对正在发生的网络行为进行监督,争取能够在第一时间内将非法操作以及不良网站进行封堵,或者报警,监督的内容不仅包括上网时间、下载文件的类型,还有上网流量等。
2.2.2 日志审计
将网络运行的日志记录下来,全面管理操作系统的运行日志和数据访问日志,并对其进行分析和处理。
2.2.3 内容审计
此审计也可以在实时审计以及日志审计当中使用,审计聊天、发帖以及电子邮件中的信息。实时审计主要是对信息的出入口进行严密的监测,分析和对比信息中的关键字,对非法文字或者敏感字段进行报警,在这些工作进行的过程中,将整个过程记录在日志当中,以此作为审查的原始材料。
2.2.4 实时跟踪
这是对那些进发生并且有追溯、挽回可能的活动信息进行实时跟踪,将之后的活动信息记录下来,以便追溯非法行为或者犯罪行为。
3 网络安全审计在校园网安全管理中的作用
网络安全管理中最为重要的一部分就是网络安全审计,这可以帮助校园维护网络安全稳定运行,师生上网行为得以规范等工作更加顺利地进行。
(1)网络安全审计在过滤URL地址等关键字之后,既能阻止不良网站中的不良信息接入校园网络,与此同时能够使网络得以很大程度的保护,保护其不受外来网络中病毒的侵害,使系统中最基本的安全能够达到相应的标准。除此之外,因为日志审计能够保存系统运行过程当中的相关信息和日志,因此就能够在事后进行查询,将内部攻击的可能性降到最低,并且能够使潜在的隐患得以震慑。
(2)实时审计能够有效规范校内师生上网过程中的审计内容,监督并阻止教职工利用职务之便或者上班时间滥用网络资源,阻止学生不规范上网的行为,将校园网的有效资源的价值发挥到最大限度。
(3)内容审计能够将关键词与敏感词有效地阻止在外,避免了垃圾邮件,以及不良信息在校园网络中扩散,这样一来就能够对校园网络中的犯罪行为实施有效监控,使学校的名誉不被破坏。
(4)系统分析哪些有价值的日志信息,能够使系统管理员及时发现并修复系统中隐藏的漏洞,除此之外,系统运行统计日志能够将系统性能中存在的问题反应出来,使系统管理员有了观察、处理网络系统的工具。如此一来,对网络性能实施及时调整,为关键应用提供充足的资源,还能使系统管理员具有针对性地进行系统维护,这对提高工作效率有很大的帮助。
(5)有效追查已经发生,但还有可能挽回的行为,不仅能够追溯违法犯罪的行为,还能够追溯系统性能的好与坏,这对追查已发生行为具有非常重要的意义。
4 结语
近年来,互联网的飞度发展,使校园有了更加丰富的教学资源,给教师带来了便利的办公方式和多种多样的教学手段,让学生们的课余生活更加精彩,但是却也给校园网络带来了很大隐患。因为校园网用户多、规模大、使用者的活跃度较高等特点,所以非常难管理,但是因为其涉及到教师与学生的日常工作与学习中,所以对其进行严格管理也是极其重要的一项工作。使用校园网络安全系统,能够使网络监控效率得以提高,所以说在学校具体的使用中,应该根据校园网的实际情况,对其设计科学的审计计策,让审计内容变得多样化,争取使校园网的有效资源的价值发挥到最大限度。
参考文献
[1]杨克领.IDS技术及其在校园安全管理中的应用[J].商丘师范学院学报,2014(09).
[2]汪杨,王艳玮.ISO/IEC 17799在校园网信息安全管理中的应用[J].科学与管理,2010(05).
模式。
关键词: 网络安全 数据库 审计技术
随着科技信息化技术的迅速发展,各类网络应用系统也融入日常工作生活中,网络作为各项网络应用的基础凸显出其重要性,网络安全管理是保障网络正常运行的重要工作,在网络安全管理中除了通过设备和配置实现安全防护,对于各种操作行为的安全审计不可忽视,合理运用网络安全审计技术相当于为网络开启“监视系统”,不仅能实现实时监控,对出现的高风险行为及时警示提醒,同时完成设定时间段内的操作行为存档以备分析取证,更重要的是系统中积累的历史数据通过统计和分析,能够为管理者提供真实准确的网络健康报告,为未来建设规划提供依据,在长航局网络建设中运用到网络安全审计技术。
网络安全审计技术概况
在国家出台的信息安全等级保护标准中对网络安全审计提出明确要求,包括对网络设备、安全设备、服务器、应用系统、数据库系统以及相关设备进行安全审计。网络安全审计技术主要可分为日志审计、网络审计和主机审计,通过启用硬件设备和软件系统的日志接口,获取系统广播的日志信息;对于核心网络设备,通过旁路模式开启数据镜像端口或直接串联在网络中,获取网络数据包进行解析;对于用户行为审计可通过安装客户端,直接获取用户行为信息。
在实际使用中,根据网络管理需要运用相应手段获取必要的审计信息,在长航局网络管理中对网络设备、安全设备、重要服务器、重要应用系统、重要数据库系统的安全审计是重点,未采取安装客户端方式获取用户行为信息。
网络安全审计技术实际运用
在长航局网络中网络安全审计主要包括:网络设备日志和操作过程记录、安全设备日志和操作过程记录、重要服务器日志、重要应用系统日志及操作痕迹、重要数据库系统日志及操作痕迹。
1、网络设备和安全设备安全审计
网络设备主要包括出口路由器、核心交换机、汇聚交换机和接入交换机,除部分接入交换机外,大部分网络设备属于可管理网络设备,进入网络设备配置模式,配置只读权限用户,启用SNMP功能,不同厂商设备略有不同。将需要管理的网络设备添加到网络中安全审计系统中,就可以获取到网络设备发送的SNMP数据包,安全审计系统会对收到的数据包按照事件等级进行分类,以便查询。
网络安全设备种类较多,如防火墙、入侵防护设备、防病毒网关、VPN设备、行为管理设备、流量控制设备等,根据各个厂商设备的设置,开启对应的SNMP功能,添加到网络中安全审计系统中操作和网络设备类似,需要注意的是串联在网络中的设备应设置允许SNMP数据包通过。安全设备通过安全策略和监控功能实现对网络安全保障,其监控信息实时更新,数据量较大,应根据需求确定需要记录的监控信息。
部分安全审计系统能够通过其登录管理网络设备和安全设备,并且记录下用户的操作痕迹,通过指派权限,设备管理员对对应设备的操作能够直观的展现出现,以便出现故障时分析查找问题。
2、服务器、应用系统及数据库安全审计
服务器由于硬件类别不同(如小型机、PC服务器、刀片服务器),安装的操作系统不同(如Windows、Linux),用途不同(如单机、集群、服务器虚拟化),开启SNMP功能方式有所不同,应根据具体情况进行操作。开启SNMP功能的服务器按照安全审计系统对于类别登记并纳入管理。
应用系统类别也比较多,基于不同平台、中间件定制开发的系统各不相同,应按照其提供的手册或通过开发人员沟通,开放日志接口,纳入安全审计系统管理。
数据库主要分为Orcale、MSSQL、DB2等几类,有统一规范的操作方法,按照对应数据库类别的操作方法,将其纳入安全审计系统,实现对数据库查询、读写、会话情况的记录和审计。
对服务器、应用系统、数据库的操作行为安全审计一般通过设置所在网络设备数据镜像接口方式实现。同样,部分安全审计系统能够通过远程登录方式去管理服务器及应用系统、数据库系统,记录下用户的操作痕迹,通过指派权限,设备管理员对对应被管理对象的操作能够直观的展现出现,以便出现故障时分析查找问题。
3、安全审计设备管理
按照网络结构特点,安全审计设备(系统)部署到合适的位置,数量有可能是一台或多台,超过一台时应根据其特点进行功能分工,接入方式以旁路为主。配置好网络后,登录管理安全审计设备,除添加各个被管理对象外,应对各类事件按照重要程度定义好级别或阀值,设置报警相关配置,定义好报表模板和报送方式,形成周期性报表以便保存和分析用。对于审计设备自身管理也应严格权限,按照管理需要分配不同类别管理权限,同时按照设备存储空间设置合理记录保存周期,或定期导出存储的记录。
网络安全审计参考模式
综合网络安全审计技术在实际中的运用方式方法,可以列出网络安全审计的使用参考模式,如图1所示。
对网络设备、安全设备、服务器、应用系统、数据库系统等相关对象可以通过开启日志功能管理。
通过获取网络数据包,可以深入记录分析更多行为操作。
对网络安全设备的分权限管理实现事件定级、分类、报警、形成统计分析报表。
图1
结束语
关键词:军队;安全审计;基本模式
军队安全审计就是指由军队审计机关根据有关法律法规和首长指示精神,对部队建设发展过程中涉及安全问题的一切活动或行为进行系统的、独立的检查验证,并作出相应评价的活动。建立安全审计模式是一个全新的课题,既没有现成的理论指导,也缺乏可资借鉴的实践经验。为开辟军队安全审计道路提供参考经验,我们从研究探索的角度,试图构建一个以风险预防为导向,以战训需求为牵引,以提升战斗力和保障力为目标,以最终结果为评审依据,以“三访六查一评”为方法,以行政问责为推手的风险导向型安全审计模式。
一、以风险预防为导向
部队工作千头万绪,安全管理是绝不能无序无规的,预防事故更应放在首位予以高度重视。军队审计部门有职责通过安全审计工作,促进各部门各单位加强对各种事故的预防管理,通过安全审计这个监督杠杆,促使各部门各单位按照安全管理和事故预防等法律法规和行政规定,建立健全分级分工责任制、安全监督管理体制和安全问题举报、事故隐患排查、事故应急预案等制度,狠抓安全管理岗位制、安全奖罚和安全事故责任追究制度的落实,把安全责任真正落实到具体部门和个人,使安全工作做到“凡事有章可循、凡事有人负责、凡事有人检查、凡事有人监督”。
二、以战训需求为牵引
以作战训练需求为牵引组织开展安全审计,就是要对部队作战训练活动中存在的安全隐患、事故苗头、影响安全的因素进行分析评价,寻求有效解决安全问题的对策措施,确保部队作战训练活动顺利进行,并取得最佳成效。以作战训练需求为牵引,还要善于用战时要求“倒推”平时建设,用战时牵引平时,决不能满足于平时看着好看、管着好管、用着好用,结果方便了平时,贻误了战时。军队审计部门必须抓住部队作战训练这项核心工作,从各个方面做好安全审计工作,确保部队作战训练真正达到应有的目的要求。
三、以提升“两力”(战斗力和保障力)为目标
战斗力和保障力要素中任何一方面的素质与状态发生变化,都会对战斗力和保障力的生成模式与能量聚集产生重大的甚至是变革性的影响。而战斗力和保障力要素的素质与状态的提升,无不与安全因素息息相关。如果安全管理跟不上,就会导致人和武器(保障装备)要素的损毁、报废和效能下降,重大事故可能会直接导致部队战斗力和保障力大幅衰减,影响作战训练任务的完成。就这个意义说,安全就是战斗力,安全就是保障力,安全管理水平高,战斗力和保障力水平就高,安全是提升部队战斗力和保障力的基础。军队开展安全审计,虽然是一项前所未有的新事物,但作为审计部门开展这项活动并不是为了图有创新之名,而是脚踏实地的为了追求提高部队战斗力和保障力这一根本目标。
四、以最终结果为依据
安全审计虽然作为一种专项审计,但涉及的内容却是全面的综合的,这种审计必须以一个单位一个部门对安全管理工作的最终结果作为评审的客观依据,即突出结果、以果寻因、因果对应,从而确定一个单位或部门安全工作的成效和实绩。这种审计不是一开始就检查被审计单位的管理过程,而是直接检查安全管理的结果,并且将此作为安全审计的核心。但是对于个别重要的领域,则需要对被审计单位的控制系统(工作流程)进行分析、检查和测试。审计人员根据对实现关键结果的重要性来选择一些控制环节进行审计,如果确定了主要的缺陷,审计人员将采取进一步的措施确定问题的原因和对预期结果的影响或潜在影响。
采用以最终结果为审评依据的审计模式,主要是因为这种模式比较容易操作,因为它只要取得被审计单位安全管理工作的结果,同被审计单位应该遵守的既定的规范(目标、规则或其它审计标准)进行比较,并针对比较的结果进行分析查找原因,确定责任就可以了,相对比较简单,同传统的财务收支审计方法比较类似,只不过财务审计依据的是财务法规制度,评价对象是经费的收支,而安全审计依据的是有关安全管理规定和标准等,评价对象是涉及安全管理的各种人和事。
五、以“三访六查一评”为方法
安全审计模式的构建最终要体现在审计方法上,这是确立安全审计模式的核心所在。根据安全管理的性质特点,考虑部队安全工作实际,我们认为应以“三访六查一评”作为安全审计的基本方法。
三访:走访领导成员,走访机关职能部门,走访基层广大官兵。
安全工作涉及面广,隐含的利益关系有时十分复杂,仅仅通过个别领导或个别人的了解是不能全面反映真实情况的,必须通过走访不同人员进行全方位调查,才能获得安全审计的真实信息。通过走访领导成员,可以获得安全管理决策层次的有关情况;走访机关职能部门,可以获得安全管理有关业务与技术方面的情况;走访基层广大(下转第65页)(上接第63页)官兵,可以倾听到安全管理工作实践一线官兵的心声,把握住安全管理工作的实际走向。
六查:查人的主观行为,查安全管理的客观条件,查规章制度建设情况,查已经发生的事故状况与概率,查潜在的不安全因素与不良倾向苗头,查既成事故的物质性损失与间接性价值损失。
安全及安全管理工作,既有主观因素影响,也受制于客观因素左右;既有硬件设施设备建设方面的问题,也有规章制度等软件管理方面的因素;既有表现于各种不同事故的征候,又有隐含于事物发展背后的深层次原因;既有直接物质性损失,也有不同货币价值的考量,如此等等,这些都直接或间接决定和影响安全及安全管理的运行与结果。因此,以风险预防为导向的安全审计模式,必须注重于对上述各种情况的调查了解,细细查明引发安全问题的不同诱因、不同隐患、不同行为、不同结果等等情况,为判断一个单位一个部门的安全形势和安全管理成效提供准确真实的依据。
一评:综合评判一个单位或一个部门的安全形势与安全管理绩效。
在全国上下、全军上下大抓安全管理的形势下,判断一个单位或一个部门政绩如何,关键一点就是看安全管理绩效。军队开展安全审计所得出的结论,可以说是对一个单位或部门政绩认定的权威依据。鉴于此,在安全审计结论的认定上,审计部门必须认真对待,综合评判,谨防以点代面,一好遮百丑,或者是以坏代好等。对好的方面要充分肯定,问题也要讲透。对出现的安全问题,既不能大事化小,小事化了,也不能主观臆断,妄自猜测。要熟练地掌握政策法规的尺度.准确地确定问题的性质。这样得出的结论才可靠可信,有参考和证明作用。
六、以行政问责为推手
引入行政问责制是构建安全审计模式的重要内容。安全审计工作搞得再好,审出来的问题却不能得到有效解决,则就失去了审计的意义。因此,通过引入行政问责制,可以较好地解决安全管理工作问责不力、执行无力的问题。
在安全审计中引入行政问责制度,与实施领导干部经济责任审计密不可分,相辅相成。经济责任审计侧重于责任的界定,行政问责侧重于责任的追究。如果没有行政问责制的支撑,经济责任审计的效用将大打折扣,反之如果经济责任审计未按照行政问责制的要求进行,也难以发挥其作用。安全审计中的问责比领导经济责任审计中的问责范围更大,内容更丰富。领导经济责任审计中的问责主要是针对领导干部,问责的范围也主要限于财务经济问题,主要关注是否有贪污受贿、挪用公款等违法违纪问题。而安全审计针对的是在安全及安全管理中负有责任的责任人,领导、相关的部门负责人和管理人员都可以是问责的对象,另外安全审计问责的范围是没有履行职责或而造成事故损失的行为,主要关注是否有、等问题。
电子业务系统安全审计体系的研究与建设
结合山东局综合管理体系建设要求,首先,对各业务系统从管理者和使用者两个层面明确职责,规定相应的口令管理制度、授权管理制度、系统操作规程(作业指导书)等业务系统运行规章制度及有关记录表格。二是,针对各业务系统制定安全审计规范,利用内部审计及外部审计来评估业务系统安全漏洞,规划审计策略,明确审计目标,确定日常安全审计及集中安全审计任务和手段,并对审计结果进行评估分析,制定纠正措施。三是,结合山东局绩效考核管理办法,将安全审计结果纳入绩效考核,已达到从制度上约束行为的目的。各电子业务系统的开发应按照我们制定的安全审计规范要求建立安全审计模块,每个用户登录系统、进入应用,一直到使用各个应用模块都可以进行访问日志记录,安全审计模块可以调用日志SDK的API,根据应用规则来记录各种日志。日志可以是分为安全日志、系统日志、数据变更日志等等可以由系统安全管理人员随时调阅,以达到安全审计的目的。针对业务系统具体环节分析风险点,根据制定的安全控制规范,应用于各电子业务系统,开发安全审计系统,进行风险布控、监控设定、自动预警与自动核查,对业务系统全过程监控。由于目前业务系统数量众多,数据处理不同,进行安全审计系统开发时需针对各业务系统进行分析归纳,特别是CIQ2000综合业务管理系统作为检验检疫电子业务的主干系统,数据处理过程的质量决定着业务工作的质量,我们首先从CIQ2000业务管理系统入手试点,对CIQ2000综合业务管理系统实施全过程监控,监控账户的合法性、权限的合理性、登录及操作行为的可追溯性、数据修改的安全性等,对用户行为实施有效监督、约束,规范行为,保证工作质量。对CIQ2000综合业务系统进行安全审计主要分以下几方面:1)用户操作行为日志审查常规监测及时收集和分析CIQ2000系统本身提供的系统登录、业务操作、流程控制、权限等信息,通过设定逻辑严密、科学合理的审计规则,根据用户登录时间、状态和业务操作记录等数据,发现异常登录和非法操作,在系统界面进行展示,并形成报表。特殊监测根据业务和系统管理需要,对特殊时间段、特殊业务操作进行特殊监测,通过触发器收集关键业务对象、关键数据的变更情况,记录操作人的登录信息和操作信息。如对关键业务数据的操作及修改过程(如计收费数据的修改、不合格结果登记修改为合格结果登记、未经检务操作擅自添加证书、拦截数据人工干预放行等)进行过程记录。2)用户密码审查根据制订的密码审计规则,自动检查指定机构下的用户及密码,查找密码为空或者密码设置不符合安全规范的用户,在系统界面展示并可形成报表。3)重复用户检查根据同一用户在统一机构下不得同时拥有两个可以同时使用的用户账号原则,自动检查指定机构下的用户,检查是否在同一机构具有同时在岗的重名用户。4)用户权限检查自动检查指定机构下的用户及使用权限,查找具有分配全业务流程的用户,也可查找具有指定权限的用户。5)安全事件警告根据对业务系统各关键环节和关键对象数据的采集和分析,对可能存在信息安全隐患的环节给予相应级别的告警。告警方式包括:界面查看、短信预警、邮件预警。6)系统服务用户管理选项设置安全审计告警策略安全事件确认审计对象配置助手对于以上审计内容,通过布控,可以实现实时监控,发现违规操作及时报警,也可以进行统计查询、数据分析,防患于未然。通过安全审计系统的运行,特别是对CIQ2000综合业务管理系统的安全审计,发现高风险监控点,进一步对体系进行验证完善,通过两方面的互补,保证业务系统的安全合规运行。通过以上步骤,制定我局电子业务系统安全审计规范并正式下发执行,建立检验检疫电子业务系统安全审计体系。并通过CIQ2000综合业务安全审计系统应用实例进行验证优化,并以此成功案例进行推广、全面开展对山东局电子业务安全审计系统的建设与发展。
电子业务系统安全审计体系研究技术方面
电子业务安全审计系统建设技术方面1)使用统一开发平台的UIP-SDP框架开发。该框架提供轻量级的框架,框架遵照MVC的通用设计模式;采用面向服务体系结构(SOA)及组件化的设计思想,便于系统的复用和集成;包含大量公共的、实用性的组件和控件,并且提供了一般业务系统底层的最基本模块,可以轻松集成到业务系统之中。2)框架提供了通用的前后台校验机制、统一的分页处理、基于AJAX的局部刷新功能、多文件上载的功能、基于数字证书的认证方式、灵活、实用的规则引擎、基于配置的任务调度功能、基于配置的事务处理、统一的日志管理、方便快捷的单元测试、子模块基于XML的单独配置3)系统由数据采集层、事件管理层、运行管理层构成。山东检验检疫电子业务系统安全审计体系(图略)。电子业务安全审计系统建设技术规范方面采用标准的Linux、Unix操作系统建立基础平台采用统一的Oracle数据库建立数据中心平台采用先进的软件工程设计方法,满足系统的先进性、可靠性、可伸缩性、可扩展性复杂的商业规则的实现集中由应用服务器实现,可随业务量增长而轻松扩展采用流行的B/S架构,实现零客户端采用先进AJAX、WebService技术采用XML技术,规范信息交换格式和数据交换流程采用统一的消息中间件实现数据交换可以采用CA认证及SSL128位加密技术,确保通讯的安全性4结论通过建设安全审计体系建设,可以从制度上规范行为;审计系统的开发运行可以利用技术手段实现业务监控、工作质量稽查及用户行为审计,自动查找违规现象,及时通知相关单位整改,以查促管,防患于未然;审计的结果反过来促进制度的建设,最终保证检验检疫业务的正常运转。
作者:田建荣 宋琳琳 陈鹏 王宏志 郭曙超 单位:山东出入境检验检疫局
关键词:安全审计;监控系统;系统设计;系统应用;信息网络
中图分类号:TP39;F239文献标识码:A文章编号:1003-5168(2015)08-0006-3
随着计算机技术、信息技术不断推陈出新,各类威胁到网络信息安全的因素越来越多,虽然防火墙与外部检测技术等能够在某种程度上防止网络的外部入侵,保护数据信息不受侵犯[1]。但也会因入侵技术的更新和漏洞的长期存在而无法彻底保障网络处于安全状态。因此,在现有技术的基础上,通过引入安全审计系统对用户的网络行为加以记录,对网络安全隐患给出评判具有重要的现实意义。
1网络安全审计的必要性
1.1提高企业数据安全管理绩效
近年来,我国信息化程度不断加深,尤其新媒体技术和自媒体技术的出现,企业信息的网络化、无边界化趋势越来越明显,也使得网络信息安全问题不断突显。在这种情况下,无论是企业本身还是参与网络信息提供和维护的第三方,在端口和信息通道内都加强了对信息安全策略的部署,无论是信息的控制还是数据的授权,都在大量管理制度和规则下运行。即便如此,与网络信息安全相关的各类故障还是不断出现,甚至会给企业的网络运营和实际经营都造成了消极影响。但是,当我们对信息安全漏洞进行分析和查验时发现,一些严重的信息安全问题之所以会由于不合规、不合法而给利益相关者造成经济损失,其中一个重要原因便是一些内部“合法”用户的“非法”操作。这是因为,对于一般的网络信息或者数据,借助防火墙、防病毒软件、反入侵系统等都能够解决,在一定程度上能够保证信息安全。可是一旦内部人员在缺乏监管的情况下进行违规操作,就会使在信息外部建立起来的防线无能为力[2]。一项最新的调查显示,企业内部人员是对企业网络信息进行攻击最为严重也最难防范的。在这种情况下,亟须提高企业的内部审计能力,对内部用户的误用、滥用信息行为进行审计和监管,对那些可能或者已经造成各种安全事故的人员,在要求其协助网管人员找出原因外,还对其按照相关法律法规进行严肃处理,以杜绝此类事件再次发生。
1.2提高网络运维绩效
当前,在网络环境中构建统一的安全审计平台,提高网络运维绩效,是十分必要的。在这一平台之上,能够对重要设备系统的安全信息进行统一监管,以便能够在海量数据中挖掘出有价值的信息,使信息的获取和使用更加有效。可见,提高网络信息的可靠性和真实性,借助网络信息安全审计提供网络运维管理绩效,是网络化运营需要认真思考的问题[3]。实际上,信息的安全防御是信息安全审计的一种,都是要在信息生产的源头对其进行管理和监控,并对可能对信息安全造成威胁的因素加以防范。而即便在信息源头未能做到完全的安全防范,在事后也可以借助各种技术手段及时分析安全防御系统中可能存在的各类漏洞。甚至能够在安全防御的过程中,对非法操作行为和动作进行还原,使违法、违规用户的不当操作暴露出来,为认定其非法行为提供真实有效的客观证据。因此,对网络信息进行安全审计是一项复杂的系统工程,不但要规范网络、主机以及数据库的访问行为,还要对用户的使用习惯、信息内容形成和改变进行监控和审计,以便有效地完成对各类信息的监管,提高信息质量,为企事业单位的信息运用和网络运营提供安全保障。
1.3提高网络信息安全性
在网络空间中,有以下安全问题值得用户关注并予以重视:①通过访问控制机制强化对网络信息进行安全审计和信息监控是十分必要的,这种做法不但能提高网络信息的安全性,还能在访问控制的作用下,限制外来用户对关键资源的访问,以保证非法用户对信息或数据的入侵,同时也能对合法用户的行为进行规范,防止因操作不当而造成破坏[4]。需要注意的,访问控制系统不但界定了访问主体还界定了访问,其目的在于检测与防止系统中的非法访问。而借助对访问控制机制的管理和设计,能在很大程度上实现对网络信息的安全审计,使网络信息处在安全状态;②虽然网络是开放的,但网络数据却具有私有性,只有在被授权的情况下才能让非用户或者原始使用者访问,否则将被控制在不可见的范围。为了实现这一点,就需要进行网络安全管理,包括网络安全审计,通过信息加密,比如加密关键字或者授权机制、访问控制等。为了提高网络信息安全水平,还要维护与检查安全日志;③提高网络信息安全性,为社会组织的网络化行为提供安全保障,除了要对现实中传输的信息进行安全审查外,对网络中传输的信息也要进行安全审计,通过对网络操作行为的监控,评判信息的安全等级,有针对性地对网络加以控制。
2信息时代网络安全审计的关键技术与监控范畴
在网络信息安全审计的过程中,为了最大限度地提高审计效果,不但需要借助多种信息、网络和计算机技术,还应进一步界定网络审计的监控范围,使网络信息安全审计能够在更为广阔的领域得到应用。
2.1网络安全审计的关键技术
在前文的分析中可知,在当前网络环境中,网络信息安全的直接威胁主要来自网络内部,要建立切实有效的监督体制,对有破坏信息安全倾向的员工进行监督,以保障信息安全。为了实现这个目标,除了要在制度上加以制约外,还应借助以下网络安全审计技术:①基于的网络安全审计技术。借助该技术构建起来的信息安全系统以网络主机为载体,以分布式方式运行。这一技术虽然能够很好地防范信息安全威胁,但是由于监视器是这一信息系统的核心模块,需要高度保护,一旦出现故障,就会引发其他转发器都陷入被动境地,无法正常提交结果;②基于数据挖掘的网络安全审计技术。数据挖掘是近几年被广泛采用的信息安全技术,以此为基础建立起来的网络安全审计系统能够借助数据挖掘技术或者大数据技术,以大量日志行为为样本,对数据中体现出来的行为进行描述、判断与比较,特征模型,并最终对用户行为特征和行为结果进行界定;③基于神经网络的审计技术。神经网络是计算机应用领域中广泛采用的技术,该关键技术的使用能够改变网络单元状态,使连接权值处在动态之中,一旦加入一个连接或者移去一个连接,就能够向管理者指示出现了事件异常,需要果断采取行动保证信息安全。单纯使用该技术所产生的作用是十分有限的。一般情况下,要将多种技术配合使用,以便能对出现的异常情况做出解释,这对确认用户或者事故责任人是有明显帮助的;④借助专家系统构建的网络安全审计技术。该技术较于其他技术能够将信息系统的控制推理独立出来,使问题的解决能够借助输入的信息。为了评估这些事实,在运行审计系统之前,需要编写规则代码,而这也恰是能够有效防范网络信息安全威胁的有效手段。
2.2网络信息安全审计的监控范畴
2.2.1信息安全审计方法。经验表明,一些网络信息安全审计系统可以借助远程登录完成对服务器的管理和对应用系统、数据库系统的记录等,用户的操作行为和操作习惯会在服务器上留下痕迹。该类安全审计一般要按照以下步骤进行:采集对被审计单位的相关信息数据,以保证数据的全面性与完整性;对采集到的数据信息进行综合分析与处理,使之能够转换成对于审计工作对应的数据形式;借助计算机审计软件完成对审计数据的复核。按照业内的经验,在网络信息安全审计的设计过程中,需要将数据采集环节作为整个审计工作的前提与基础,是其中的核心环节,否则,将无法保证数据的完整性、全面性和准确性以及及时性,后面的审计工作也就无法正常开展。一般而言,借助互联网进行审计数据的采集主要有直接读取数据和记住数据库连接件读取两种方式,它们之间具有相似性。按照这两种方式完成数据采集,一旦其中一方数据的存储格式改变,就应及时对数据采集全部存储格式进行调整。这样就会导致数据采集效率和效果受到影响,降低信息安全审计的灵活性。因此,在实际操作中,要保证数据存储格式的一致性,防止审计低效。
2.2.2信息安全审计设备。在网络信息安全审计中,只要将需要管理的网络设备(比如出口路由器、核心交换机、汇聚交换机与接入交换机等)添加到相关安全审计系统之中,就能够获得发送过来的SNMP数据包。随后,信息安全审计系统就会对数据包依据事件的等级和重要性予以分类,以便在后续的查询和使用中更加方便。实际上,网络的信息安全设备种类繁多,具体操作方法也大同小异。只要按照不同厂商设备的设置步骤和原则,开启对应的SNMP功能之后,将相关设备添加到网络中安全审计系统之后,就能够进行相关操作。当然,在这一过程中,要对串联在网络中的设备予以重点关注,要保证甚至能够允许SNMP数据包通过。由此可以看出,借助安全设备实现对网络信息的监控和审计,能够为网络信息安全提供必要保障。当然,由于监控信息会不断更新,加之由于海量数据造成的压力,要依照实际需求确定监控信息可以被记录,以便能够缩小记录范围,为信息安全审计提供更有价值、更具针对性的数据。
2.2.3信息安全审计流程。通过指派权限,设备管理员能够更为直观和真实地了解对应设备的操作过程。如果在这一过程中出现了故障,可以对应地分析和查找问题,找到解决问题的途径。此外,网络信息系统的类别较多,以不同平台或者中间件定制开发的系统也不尽相同。在这种情况下,就需要以信息手册为蓝本,在与开发人员进行沟通之后,确定开放日志接口,并将其纳入到网络信息安全审计的范畴。
3网络信息安全审计监控系统的设计与应用
3.1网络信息安全审计系统的运行设计
当前,网络信息安全审计系统经常使用两个端口,其主要任务便是对联入局域网系统的核心部位交换机与服务器进行数据和信息交换。而为了更好地收集与存放信息安全审计数据,无论是系统日志还是安全审计系统的安全管控中心,都要设在同一服务器之上。这样一来,基于网络的信息安全审计系统就能够在搜集安全审计系统内部数据的同时,按照要求从相关子系统模块中获取数据,以保证各个系统内的信息实现共享,提高信息安全审计的效率。
3.2网络信息安全审计系统的实现
网络信息安全审计系统不但是一个能够帮助企业完成内部经济管理与效益控制的系统,社会组织还能借助网络安全监控体系,实现对网络操作对象的实时监控,保证网络操作中相关文件与数据的安全。这一审计系统的工作原理为:①借助网络文件监控能够实现消息的安全传递,借助标签维护可实现对安全标签的及时、正确处理;②借助多线程技术,构建网络信息安全监控系统的驱动程序消息控制模块,实现对驱动程序的全程监视,并保证信息接收与发送过程处在安全保护之中;③借助系统程序中的文件对用户进程中的相关文件操作予以过滤、监视和拦截,以保证网络数据访问处在全面审核与严格控制之中,使网络环境中文件的安全得到保障。
3.3网络信息安全审计系统的实际应用
通常而言,网络信息安全审计系统的实际应用需要在动态管理的状态下进行。只有这样,才能在投入使用之后,完全、精准地记录用户的网上操作行为,也能对数据库服务器的运行予以全面监控。比如,一旦企业员工通过“合法手段”对业务系统的安全性造成了威胁,那么这类“非法操作”等网络行为就会被记录和禁止。这是因为用户的相关行为能够映射到网络信息安全审计系统之中,管理者能够借此对用户信息和相关操作进行快速定位,在极短的时间内就能够查出事故责任人,为信息安全运行和非法行为的处置都提供极大便利。此外,基于先进技术建立起来的网络信息安全审计系统,还可以在全局层面上监视网络安全状况,对出现的任何问题都能够予以有效把控,对那些可能造成企业重大变故或者机密、核心信息的外泄行为,能够借助网络信息实时动态监控系统做出积极反应。
参考文献:
[1]付晓坤.网络安全审计技术的运用[J].中国水运,2013(9):50-51.
[2]张文颖.探讨网络安全中安全审计与监控系统的设计与实现[J].电脑知识与技术,2013(16):37-38.
[3]伍闽敏.建设企业计算机网络安全审计系统的必要性及其技术要求[J].信息安全与技术,2011(12):34-36.
[4]刘慧蓉.网络安全审计系统的应用研究[J].中国教育技术装备,2013(6):28-29.
关键词:道路安全;审计;基本原理
中图分类号:F239 文献标识码:A
收录日期:2013年8月1日
一、道路安全审计的起源与目的
道路安全审计(简称RSA)的实践开始于英国,最初是在铁路工程师检查铁路安全的方法上发展而来,这里所指的道路包括公路和城市道路。上世纪七十年代,英国就在1974年道路交通条例中,笼统地提出了对新建道路进行安全审计的必要性。1990年英国运输部颁布了道路安全审计标准,以规范道路安全审计的基本内容、方法和基本步骤。1993年英国把有关道路安全审计的要求,写进其道路桥梁设计手册,其相关条款同时适用于其他道路项目,并在其中提出了道路安全审计的目的:
1、使道路运营管理人员对道路工程项目中的安全隐患有一个清醒认识,意识到安全审计是进一步改善安全的有效措施。
2、使设计人员认识到,尽管道路设计的有关标准和规范中已经考虑了安全因素,但由于设计人员可能缺乏事故分析或道路安全工程经验,仍然可能在设计上出现问题而留下事故隐患。
3、使道路管理部门充分认识改善道路安全的重要性,并利用该手册提出的要求来提高道路的安全性。
4、道路安全审计就是要在设计和施工过程中,充分考虑道路安全运行经验,把可能发生的事故数降低到最低水平。
5、道路设计小组应包含具有道路安全工程经验的人员。当然,这些人员不能再担任该项目的安全审计人员。
二、我国道路安全审计现状
我国较早的有关道路安全审计方法研究等基础性工作,主要是由同济大学、长安大学、交通部公路科学研究院等单位进行的。近年来,在世界银行和亚洲银行的推动下,我国许多省份陆续开展了道路安全审计工作,这极大地推动了道路安全审计在我国的发展和应用。为了进一步规范我国的道路安全审计工作,交通部2004年正式颁布了《公路项目安全性评价指南》。2005年交通部与世界道路协会在北京举办了国际公路安全研讨会。与会代表重点讨论了怎样发挥各级政府的作用,推动道路安全工作社会化、法制化,进一步加强交通安全宣传,更好预防和减少交通事故的方法,探求预防特大交通事故的有效措施,并建议引入国外道路安全审计模式,加强对道路交通安全的监管。
三、道路安全审计基本原理
道路交通安全一般采用事故总数、事故严重程度和事故率等指标共同来表征,不能单单使用单个指标,如果只使用单一的指标,往往不能客观、准确地反映道路的交通安全问题。当然,不管道路安全用什么指标来度量,这种安全智能是相对的,绝对的道路安全是不存在的。道路安全审计就是设计辅助程序来帮助项目管理人员和设计人员预计可能发生的安全问题,并提出可行的解决方案。道路安全审计基于两个基本假设:1、道路运营安全与道路设计是直接相关。改进设计或在设计中充分考虑交通运营可以改善道路安全,从而避免成为运营事故的黑点。道路设计不只是提供甲乙两地之间的连接线,更重要的是要保证道路使用时的交通安全。事实上,融合了使用安全理念的道路设计能够大大降低驾驶员失误的可能性;2、道路安全审计即使完全按照现行的设计标准进行设计,也不一定完全保证道路安全。这是因为设计标准的不完善,同时由于道路使用环境千差万别,而设计中对方案的安全评价主要是定性的、不系统的、不全面的或是粗略的。道路安全设计的理念可以归纳为以下几个方面:
(一)满足用户期望。用户期望是用户对道路这种公共产品使用性能的预计和期望。由于道路本身的用户覆盖整个社会,用户主体非常多,不同用户对道路设计的期望是不同的,即使同一用户在不同条件下,其期望也会发生变化;另一方面用户期望也很复杂,这种复杂性是和道路使用环境分不开的。由于道路分为不同的功能和等级,交通控制和管理措施则包括各种与道路硬件相匹配的交通指示、诱导和控制设施,这样对动态的驾驶人员来说,其期望也会变化的。道路安全审计的基本任务就是从设施的规划、设计和运营等角度寻找那些对用户期望考虑不周或遗漏,从而有可能使用户尤其是不熟悉路况的用户迷惑的不安全情况。所以,怎样使实施开发更好地满足用户期望就成为道路安全审计的标准和最基本的任务。运营车速是用户驾驶期望的一个集中反映,评价运营车速是安全审计的一个可行的办法;另一个道路安全审计的办法就是判断设施设计是否符合用户的使用习惯。所以在道路安全审计中,要重点检查新型设计是否与人们传统的使用习惯相符。比如,人们在使用高速公路时习惯于右侧出口,假如出口在左侧但没有充分的交通指示设施,就不能满足人们的期望。道路安全审计中还必须考虑不同用户的不同使用期望。比如,交通信号灯的间隔时间不仅要考虑正常行人的通过速度,而且还要考虑老年人的通过速度。所以,在道路设施开发中应采用多用户的综合服务水平进行评价及改善,从而更好地满足各种用户的使用期望,即全用户服务水平的概念。
(二)满足视距要求。视距是具有指定标准视线高度的驾驶员对路上标准高度障碍物连续可见的道路长度。包括停车视距、超车视距、分流视距、合流视距和各种交叉口视距。停车视距是所有视距中最小的,包括停车反应时间所走距离和必需的制动距离。分流视距是周围环境复杂,感知信息困难,驾驶员容易做出错误决定的地方应提供的视距。我国《公路项目安全性评价指南》中规定高速公路出口匝道处的分流视距为10~13秒不减速行程。相关研究表明,视距不良是造成交通事故的主要原因之一。货运汽车尤为如此。所以,视距是道路设计中的重要设计项目,是道路是否安全运营的关键因素,也是安全审核的重要内容之一。
(三)减小速度差。速度差是指同一车道不同车辆之间运行速度的不同。速度差往往迫使跟驶驾驶员以明显低于正常期望速度行驶。这常常诱使跟驶车辆因急于达到期望车速而强超硬会,这就会增大事故隐患。研究发现,很多交通事故特别是追尾事故几乎都与运行速度差有关。不同道路用户在分享道路空间时,由于他们的驾驶期望、能力、方式、习惯以及年龄、性别、出行目的不同,必然会导致即使他们在相同的道路条件下也会采用不同的行驶速度,造成速度差。例如,本地驾驶员和第一次来本地的外地驾驶员的驾驶速度就可能不同。还有不同等级、功能的道路衔接过渡段、平面交叉口、交通控制路口、收费点、突发事件造成的拥挤车流等都会产生速度差。所以,见效速度差是设计必须遵守的原则之一,也是安全审计的重要依据之一。通常认为,速度差超过15km/h就成为安全隐患。《公路项目安全性评价指南》建议设计速度与预测运行速度要保持协调,并指出当同一路段设计速度和预测运行速度的差超过20km/h时,应对该路段的相关技术指标进行安全性验算。笔者认为,高速公路设计速度与预测运行速度差审核重点应放在进出口匝道及匝道与地方道路的交叉点。
(四)利用交通控制设施管理冲突点。交通冲突泛指车流之间如果不加控制就可能同时同地争抢统一道路设施的交通现象。一个普通的十字交叉路口就有8个合流、8个分流和16个交叉,合计32个冲突点。交通冲突是交通事故的必要条件。因此,道路设施的交通设计中必须采取措施对冲突点采取时空分隔。信号灯、停牌、让牌等禁令性质的控制设施从时间上分隔交通冲突,交通岛、专用转弯车道、单行道等特殊交通设计从空间上分隔交通冲突,减少冲突点,保障交通安全。作为基本的交通工程原理,控制设施的安装使用通常奉行渐进的原则,即较不严格的控制先行原则。而只有在它还不能解决问题时,才考虑更加严格的控制。很多冲突点的管理控制可以追溯到道路的设计阶段,好的交通设计在主体工程设计中充分考虑了未来交通运营的安全因素。比如,高速公路的中央分隔带就是这种好的设计的代表。
(五)路测安全设计。路测安全设计主要在于容错设计,也就是说即使事故的主要原因在于用户,而道路设施也可以帮助减轻事故的严重程度。路测安全设计是指行车道以外空间的安全设计,其根本目的是要通过工程手段尽量减少车辆冲出路外的事故数量,降低交通事故的严重程度从而减少事故损失。设置路测护栏是路测安全设计的重要措施之一,其目的是防止失控车辆驶离路面并与路边障碍物或其他车辆相撞,设置路测护栏的主要依据包括事故的可能性、严重性、事故的历史和路测净空等,同时还要考虑一些特殊因素,如相邻两段护栏之间小于60米的空档应该封闭;相邻两过渡段之间如果小于8米,则该过渡段应连续设置等。在安全审计中,审计人员主要根据这些路测安全原理来判断设计的符合性。
(六)道路开口管理。所谓道路开口管理就是通过减少主要道路对次要道路的开口数量、增加开口距离、优化开口的形式来减少对主要道路的横向干扰,从而提高主要道路服务水平的一系列技术与方法。道路开口管理一般通过两大措施来实现,一是结合土地利用规划的开口规划;二是开口本身交通运营的工程设计。就道路安全审计来说,开口管理的主要审核标准是就开口的设置条件,即开口可否关、停、并、转和开口设置形式是否符合基本的交通工程原理。众所周知,交通安全问题的防治永远是防大于治,就是说主动预防为上,被动处置为下。因此,充分利用开口管理和土地利用规划手段,尽量避免后续的运营管理阶段的安全问题是开口管理审计的精髓。
(七)风险管理。风险管理是除道路开口管理外另一个主要安全管理措施。它不仅涉及到道路的规划和设计,还涉及道路的正常运营和管理。其实质是依据设施使用中可以预见的紧急状态的管理需求进行设施硬件设计,同时,紧急管理方案的制定本身也受到设施设计制约因素的影响。针对风险管理的安全审计,就是要求在设施开发过程中具有足够的风险防范意识,对于确认的风险提出切实可行的处理办法,并反馈到设施的设计中去。同时,还要求在设计阶段就具体可能的道路设施应急反应的各个方面,从而避免后续补救工作的困难。
以上从道路安全审计的原理做了分析,实施道路安全审计还要得到道路管理部门的有力支持。同时必须强调的是,对某一阶段的安全审计结果只适用于该阶段。由于道路安全审计是在事故发生前所采取的主动和预防性措施,它不同于传统上的事故评价。道路安全审计的最终目的是从道路用户的角度来确定道路交通安全隐患,便于有关部门采纳消除交通事故隐患的措施,最大限度地减少交通事故发生率和降低事故的严重性。
主要参考文献:
[1]王剑.交通安全与可持续发展.决策探索,2005.5.
[2]王忠仁.路测安全设计.上海公路,2005.
关键词:网络安全审计;日志;日志格式
中图分类号:TP311文献标识码:A文章编号:1009-3044(2008)14-20803-02
1 引言
防火墙、入侵检测系统和安全审计系统等安全产品为内部网络提供了良好的保护作用。安全审计系统提供了一种通过收集各种网络信息从而发现有用信息的机制,将这种机制应用于局域网内部,从多种网络安全产品中收集日志和警报信息并分析,从而实现效能的融合,与防火墙、入侵检测系统等安全产品形成合力,为局域网的安全提供强有力的保障。
如何高效的从各种网络设备所生成的海量的日志数据信息中提取有用信息,通过格式的统一整合后为安全审计系统提供统一接口,这是安全审计系统一项十分关键的工作,也是影响整个系统性能的一个重要因素,本文就此进行探讨。
2 安全审计系统的功能需求
安全监控与审计技术通过实时监控网络活动,分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、跟踪识别违反安全法则的行为等功能,使系统管理员可以有效地监控、评估自己的系统和网络。监控审计技术是对防火墙和入侵检测系统的有效补充,弥补了传统防火墙对网络传输内容粗粒度(传输层以下)的控制不足,同时作为一种重要的网络安全防范手段,对检测手段单一的入侵检测系统也是有益的补充,能及时对网络进行监控,规范网络的使用[1]。
目前,安全审计系统是网络安全领域的一个研究热点,许多研究者都提出了不同的系统模型,这包括对内容进行审计的安全审计系统、对用户行为进行审计的安全审计系统以及对各种安全设备生成的日志进行审计的安全审计系统等等。
基于日志的网络安全审计系统是一个日志接收与日志分析的审计系统,该系统能够接收、分析审计局域网内的防火墙、入侵检测系统等网络安全产品生成的日志,审计局域网内的网络信息安全。基于日志的网络安全审计系统的功能需求如下:
(1) 集中管理:审计系统通过提供一个统一的集中管理平台,实现对日志、安全审计中心、日志数据库的集中管理,包括对日包更新、备份和删除等操作。
(2) 能采集各种操作系统的日志,防火墙系统日志,入侵检测系统日志,网络交换及路由设备的日志,各种服务和应用系统日志,并且具备处理多日志来源、多种不同格式日志的能力。
(3) 审计系统不仅要能对不同来源的日志进行识别、归类和存储,还应能自动将其收集到的各种日志转换为统一的日志格式,以供系统调用。并且能以多种方式查询网络中的日志记录信息,以报表的形式显示。
(4) 能及时发现网络存在的安全问题并通知管理员采取相应措施。系统必须从海量的数据信息中找出可疑或危险的日志信息,并及时以响铃、E-mail或其他方式报警,通知管理员采取应对措施及修复漏洞。
(5) 审计系统的存在应尽可能少的占用网络资源,不对网络造成任何不良的影响。
(6) 具备一定的隐蔽性和自我保护能力。具有隐蔽性是说系统的存在应该合理“隐藏”起来,做到对于入侵者来说是透明而不易察觉系统的存在。
(7) 保证安全审计系统使用的各种数据源的安全性和有效性。若采用未经加密的明文进行数据传输,很容易被截获、篡改和伪造,工作站与服务器之间的通讯应进行加密传输,可采用SSL、AES、3DES等加密方式。
(8) 具有友好的操作界面。
3 安全审计系统的模型概述
如图1所示,基于日志的安全审计系统主要包含如下模块:
(1) :负责收集各种日志数据,包括各种操作系统的日志,防火墙系统日志、入侵检测系统日志、网络交换及路由设备的日志、各种服务和应用系统日志等。定时或实时发送到审计中心。其间,日志数据的传送采用加密方式进行发送,防止数据被截获、篡改和伪造。
(2) 数据预处理模块:将采集到的日志数据经过解密后按照数据来源存入相应的数据库中。
(3) 系统管理模块:负责对日志、安全审计中心、日志数据库的集中管理,包括对日志数据的更新、备份和删除等操作。
(4) 数据处理模块:负责自动将收集到的各种日志转换为统一的日志格式,并且从海量的数据中通过模式匹配,发现并找出可疑或危险的日志信息,交由“日志报警处理模块”进行处理。
(5) 日志报警处理模块:处理已发现的问题,以响铃、E-mail或其他方式报警通知管理员采取应对措施。
(6) 数据库模块:负责接收、保存各种日志数据,包括策略库也存放其中。
(7) 接口模块:供用户访问、查询。
4 安全审计系统中有用数据整合的方法
4.1 安全审计系统的数据源
安全审计系统可以利用的日志大致分为以下四类[2]:
4.1.1 操作系统日志
a) Windows系统日志。Windows NT/2K/XP的系统日志文件有应用程序日志、安全日志和系统日志等,日志默认位置在%systemroot%\system32\config目录下。Windows是使用一种特殊的格式存放它的日志文件,这种格式的文件通常只可以通过事件查看器EVENT VIEWER读取。
b) Linux/Unix系统日志。在Linux/Unix系统中,有三个主要的日志子系统:连接时间日志、进程统计日志和错误日志。错误日志――由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。
4.1.2 安全设备日志
安全设备日志主要是指防火墙,入侵检测系统等网络安全设备产生的日志。这部分日志格式没有统一标准。目前,国内多数防火墙支持WELF(Web Trends Enhanced Log Format)的日志格式,而多数入侵检测系统的日志兼容Snort产生日志格式。
4.1.3 网络设备日志
网络设备日志是指网络中交换机、路由器等网络设备产生的日志,这些设备日志通常遵循RFC3164(TheBSD syslog Protocol)规定的日志格式,可以通过syslogd实现方便的转发和处理。一个典型的syslog记录包括生成该记录的进程名字、文本信息、设备和优先级范围等。
4.1.4 应用系统日志
应用系统日志包含由各种应用程序记录的事件。应用系统的程序开发员决定记录哪一个事件。Web应用程序日志往往是系统管理员最关心的应用系统日志之一。
a) Apache日志。Apache日志记录Apache服务器处理的所有请求和出错信息,它支持两种格式的日志:普通记录格式(Common Log Format),组合记录格式(Combined Log Format)。
b) IIS日志。IIS日志文件记录了所有访问IIS服务程序的信息,IIS日志文件一般位于如下路径:%systemroot%\system32\LogFiles。IIS支持“W3C扩充日志文件格式”、“NCSA通用日志格式”和“ODBC数据库日志格式”。
4.2 日志数据的特点
[关键词] 高校信息化; IT资源; 运维安全审计
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015. 05. 050
[中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194(2015)05- 0093- 03
高校信息化经过多年的迅速发展,建成了大量的校务管理信息系统及相对完善的校园网络环境,建设成果在高校校务管理中发挥了重要作用,积累了丰富的系统建设及运维经验,同时这些系统的充分应用集聚了大量的学生、教学、科研、人事、财务等业务数据和工作成果。信息已成为高校组织业务至关重要的资产,信息的安全对高校的管理乃至今后的发展至关重要,一旦发生信息数据泄露和信息安全事件,将对高校造成不可估量的损失。因此,保障关键信息的安全成为高校信息化建设新的挑战。
1 高校运维安全审计系统建设的必要性
1.1 高校高度依赖信息系统,必须杜绝信息安全事件发生
高校信息化经历了初创期,发展期,目前已进入成熟期,学校师生及各级管理层、各职能管理部门对信息化给高校教学、科研、管理带来的变革及效应充分肯定,对管理信息系统建设热情高涨,摒弃原有落后的办公模式,全面基于信息平台开展日常办公,学校各个方面的管理业务都建设相应的管理信息系统,特别是移动应用的开发,更是给师生带来全新的人性化服务和体验,所以高校已经对信息系统应用产生前所未有的依赖。一旦由于管理或技术原因发生信息泄露或信息安全事件,将对师生及学校造成不可估量的损失。近年来,高校的各种信息安全事故不断见诸报端,充分说明高校必须提升信息安全保障工作的水平。
1.2 运维人员管理权限过高,内部安全威胁日益突出
上海财经大学管理信息系统所有应用系统、数据库及服务器等IT资源全部由一两个后台系统管理员集中管理,部分信息系统建设及运维采用服务外包模式,服务承包方技术人员也掌握后台服务器部分操作权限,包括应用服务及业务数据库操作权限。这种管理模式,势必导致来自单位内部的安全威胁日益增多,学校信息化管理层已经意识到综合防护、防范内部威胁的重要性,同时,信息化领域相关管理规范,如信息系统等级保护等也对运维人员的操作行为审计提出明确要求。因此,如何化解后台系统管理员过高的管理权限带来的内部信息安全风险,是高校信息化技术管理层必须解决的问题。
1.3 粗放式IT资源管理方式,导致安全事故责任难以追究
高校信息化的多年建设,积累了大量的各类软硬件IT资源,如操作系统、数据库、网络设备、应用服务等,管理庞大的IT资源库对后台系统管理员来讲,是一项复杂的工程,管理不善,容易出错,甚至造成严重后果,手段不先进,容易造成管理漏洞。特别是运维服务承包方技术人员掌握着学校的相当一部分IT资源的访问权,这些技术人员经常频繁流动,往往已经离开公司的技术人员权限不能及时清理,对学校造成极大信息安全隐患。同时,后台运维人员由于业务能力或责任心等原因导致误操作也时有发生。因此,对IT资源进行精细化管理,做到安全事故责任可追究,成为高校提升IT运维管理水平的必由之路[1]。
1.4 完善运维安全技术体系,适应新形势发展要求
上海财经大学经过几年的努力,已经在信息安全管理体系方面形成了一系列管理规范,组织体系方面设立了具有一定层次关系的信息安全虚拟组织机构及人员安排,负责全校信息安全工作的正常开展。在技术体系方面虽建立并加固了安全防护网,初步开展了一些安全常规工作。但新形势下,国家、教育部及上海市等上级主管部门在信息安全方面不断提出更高的要求,特别是美国斯诺登事件之后,信息安全形势严峻,学校需根据这些新的要求进一步完善运维安全软硬件建设,完善相关管理体系和技术体系。据此,建设并实施运维安全审计系统作为完善信息安全管理与技术体系的手段之一,显得尤为重要[2]。
针对以上问题,上海财经大学历时几个月,经过充分的调研与分析,在全校层面设计并建设了运维安全审计系统,从而达到监控正在运维的会话及后台资源被访问情况,实时监控在线运维操作,实施细粒度的安全管控策略,实时告警与阻断违规操作,拦截非法访问、恶意攻击,阻断不合法命令,过滤所有对目标设备的非法访问行为的目的。
2 运维安全审计系统解决方案
上海财经大学运维安全审计系统的整体建设目标是通过构建统一的运维安全审计平台,集中解决敏感IT资源及数据安全问题,同时为后期统一安全管理平台建设打好基础。
2.1 系统审计原理
运维安全审计系统之所以能够达到审计目的,主要是依靠截获运维人员的操作,并能够分析出其操作的内容。特殊的部署方式,确保系统能够截获运维人员的所有操作行为,分析出其中的操作内容以实现权限控制和行为审计的目的。同时该类系统还采用了应用的技术,对于运维操作人员来说运维审计型系统相当于一台服务器(Proxy Server)。因此,运维安全审计系统访问的基本原理是,运维人员在操作过程中首先连接到审计系统,然后向审计系统提交操作请求;该请求通过系统的权限审核后,系统的应用模块以用户身份连接到目标设备并完成相应操作,随后目标设备将操作结果反馈给审计系统,最后系统再将操作结果反馈给运维操作人员。
2.2 系统角色功能
运维安全审计系统的使用对象包括3类人员,审计系统管理员、系统运维管理员及审计人员。审计系统管理员主要职责是根据安全策略和系统运维管理员所需的操作权限来配置系统的安全策略。审计系统通过“策略管理”组件与审计系统管理员进行交互,并将审计系统管理员输入的安全策略存储到系统内部的策略配置库中。系统运维管理员的操作请求通过系统审核后,系统的应用组件负责完成相应操作,并将操作结果反馈给运维管理员,同时操作过程被记录至系统审计日志数据库,备日后调阅。审计人员则可在需要调查运维管理员的历史操作记录时,读取审计日志数据库,开展信息安全审计工作[3]。
2.3 系统实施方案
2.3.1 IT资源访问操作管理
当运维系统管理员对操作系统、数据库、防火墙、交换机、应用服务等操作进行命令和图形界面操作时,运维安全审计系统全程对所有操作界面进行文字记录和视频截图,便于出现问题后进行追踪。针对上海财经大学的情况,该审计系统可通过操作命令记录和录屏的方式对现有Linux、Unix、Windows操作系统、Oracle数据库、OracleAS等相关操作系统、数据库和应用服务的操作日志进行记录。实时监控通过SSH、SFTP、RDP、VNC、Telnet、FTP等协议的操作行为,对监控到的非法操作,可实时手工切断。可以对使用PLSQL、Toad等数据库客户端的应用服务系统数据库管理员数据操作和数据库对象操作进行记录,同时,可以记录服务器管理员对Linux、Unix操作系统的命令操作,同时可以对Windows操作系统、负载均衡、虚拟化平台客户端、交换机、防火墙等服务器操作界面进行视频截图,做到任何操作事前权限可分级,事后可追踪[4]。
2.3.2 IT资源访问权限管理
针对学校IT资源庞大,管理网络复杂,安全事故责任难以追究的问题,建设完成的运维安全审计系统,可对各类IT资源对象权限进行精细管理。对用户有权限管理的目标设备,可按部门、设备类型、业务类型等分组管理,对不同类型的用户设置不同的访问权限。如可限制数据库管理员对特定数据库对象的数据操作权限,避免数据库管理员的越权操作,同时可记录数据访问情况,从而真正提高资源访问安全。
2.3.3 IT资源访问账号管理
以往的操作中,经常存在多人共用一个IT资源访问账号的问题, 如应用系统数据库账号, 一旦操作失误,系统管理员将无法确定具体操作人员,无法追究相关责任。建设完成的运维安全审计系统则可向不同数据库操作员发放不同动态口令卡,做到用户与口令卡唯一对应, 从而识别数据和数据对象的操作人员,操作人员只有同时输入静态口令和动态口令,才能访问数据库对象和数据。一旦出现失误操作, 可准确定位到具体操作人员。
2.3.4 IT资源访问密码管理
服务器密码重置是一项运维常规工作,以往一直只能通过人工操作或通过编写代码实现,存在操作不稳定和误操作的风险。通过该审计系统的实施,可设置自动定期修改目标设备密码,且非专业的密码管理员不需要掌握修改后的具体密码。运维安全审计系统会自动代填服务器密码,所有服务器管理员都通过审计系统统一入口直接访问服务器资源,提高密码重置工作效率的同时,提高了服务器管理员访问操作的效率,也避免了服务器密码人为泄露的风险[5]。
运维安全审计系统的实施,特别对外包型项目的公司方技术人员访问系统数据库和应用服务操作的审计,发挥了重要作用。公司人员仅能通过统一入口访问权限内的数据库及应用服务资源,且校方不会告知其具体用户和密码。
运维安全审计系统从密码管理相关角色可分为普通运维人员、密码管理员和权限管理员。其中普通运维人员只能访问有权限的资源,且不掌握该资源密码;密码管理员只掌握所有服务器密码,但无操作服务器权限;权限管理员负责向不同运维人员分配不同资源,但不掌握具体密码。通过以上角色和权限的设置,可以达到相互制约的效果,从而大大提高服务器人员操作层面的安全。
3 建设成效
通过运维安全审计系统的实施,上海财经大学IT运维部门实现了对各个业务系统以及操作系统、数据库、网络设备等各种IT资源的账号、认证、授权和审计的集中控制和管理;实现了集中化、基于角色的主从账号管理,实现了角色属性级别的细粒度权限分配和管理;实现了集中化的身份认证和访问入口;实现了集中访问授权,基于集中管控安全策略的访问控制和角色的授权管理;实现了集中安全审计管理,收集、记录用户对业务支撑系统关键重要资源的使用情况。
4 结 语
高校信息安全和信息防护工作是一项长期的无止境的任务,实施运维安全审计系统是信息安全管理手段的延伸,是安全技术体系的有益补充。通过该系统的建设,上海财经大学IT运维部门有效控制了技术维护工作中的越权操作、误操作、恶意破坏等安全风险,实现了对维护操作的控制和约束,并做到了在问题发生后能够定位追查和取证定责,提升了IT运维管理能力与水平,为学校信息资产筑起一道安全屏障,同时也为其他高校信息资源安全防护提供有益借鉴。
主要参考文献
[1]曹伟峰.高校服务器运维安全审计系统的研究[J].电脑知识与技术,2014
(16):3734-3736.
[2]王延明,许宁.高校信息安全风险分析与保障策略研究[J].情报科学,
2014(10):134-138.
[3]宗波.浅析堡垒机概念及工作原理[J].计算机光盘软件与应用,2012(18):
124-126.
[4]张顺喜.运维安全审计系统[J].无线互联科技,2013(7):10.
[5]西安交大捷普网络科技有限公司.打造综合化的网络安全审计与管理
关键词:山区道路;安全审计;内容;步骤
道路安全审计(road safely audits,简称rsa)是从预防交通事故、降低事故产生的可能性和严重性人手,对道路项目建设的全过程,即规划、设计、施工和服务期进行全方位的安全审核,从而揭示道路发生事故的潜在危险因素及安全性能,是国际上近期兴起的以预防交通事故和提高道路交通安全为目的的一项新技术手段。其目标是:确定项目潜在的安全隐患;确保考虑了合适的安全对策;使安全隐患得以消除或以较低的代价降低其负面影响,避免道路成为事故多发路段;保障道路项目在规划、设计、施工和运营各阶段都考虑了使用者的安全需求,从而保证现已运营或将建设的道路项目能为使用者提供最高实用标准的交通安全服务。
1 道路安全审计的起源与发展
1991年,英国版的《公路安全审计指南》问世,这标志着安全审计有了系统的体系。从1991年4月起,安全审计成为英国全境主干道、高速公路建设与养护工程项目必须进行的程序,使英国成为安全审计的重要发起与发展国。而我国则是在20世纪90年代中期开始发展安全审计,主要有两个渠道:①以高等院校为主的学者通过国际学术交流与检索国外文献,从理论体系的角度引入道路安全审计的理论;②通过世界银行贷款项目的配套科研课题。在工程领域开展道路安全审计的实践。
目前,在澳大利亚、丹麦、英国、冰岛、新西兰和挪威等国已定期地执行道路安全审计,德国、芬兰、法国、意大利、加拿大、荷兰、葡萄牙、泰国以及美国正处于实验或试行阶段,其他许多国家也在就道路安全审计的引入进行检验,比如希腊等国家。国外研究表明,道路安全审计可有效地预防交通事故,降低交通事故数量及其严重度,减少道路开通后改建完善和运营管理费用,提升交通安全文化,其投资回报是15~40倍。
道路安全审计在我们道路建设中的重要性,不仅仅是在提高安全性方面,对经济性也有帮助。而山区道路的安全比起一般道路来讲,就更应该引起我们的注意,毕竟山区道路的崎岖以及地势的高低相对与一般道路对驾驶者来说是一个很大的挑战,而且其发生事故的死亡率也比其他道路高很多,因此,审计对于山区道路来说是至关重要的。
2 山区道路安全审计内容
加拿大等国家认为,在项目建设的初步设计阶段进行道路安全审计最重要、最有效,因而早期的道路安全审计主要重点是在项目建设的初步设计阶段。现世界各国都普遍认为可在已运营的道路和拟建道路项目建设期的全过程实行安全审计,即在规划或可行性研究、初步设计、施工图设计、道路通车前期(预开通)和开通服务期(后评估阶段)都有所侧重地实行审计。山区道路安全审计同样与其他道路的安全审计工作内容一样。
3 审计要素
典型的道路安全审计过程为:组建审计组+设计队介绍项目情况及提供资料+项目实施考察-安全性分析研究-编写安全审计报告+审计组介绍项目审计结果+设计队研究、编写响应报告-审计报告及响应报告共同构成项目安全文件。
整个安全审计的时间一般为两周左右。为保证安全审计的质量,审计组人员的构成至关重要。审计组的人数依项目的规模大小一般由26人组成,审计组应由不同背景、不同经历、受过培训、经验丰富、独立的人员(与设计队无直接关联)组成。审计人员一般应具备交通安全、交通工程、交通运行分析、交通心理、道路设计、道路维护、交通运营及管理、交通法律法规等方面的知识,应保证审计组人员相互间能平等、自由地交流、讨论和商议安全问题。审计人员应本着对社会(用户)负责的态度、安全第一的观点,依据道路标准规范,对项目各种设计参数、弱势用户、气候环境等的综合组合,展开道路安全审计。道路安全审计人员(审计组)与设计人员(设计队)的区别在于:设计人员需要综合考虑项目投资、土地、政治、地理、地形、环境、交通、安全等方方面面的因数,限于经验、时间的约束,对安全问题难免有所偏颇。而安全审计人员不考虑项目投资、建设背景等因数,仅仅考虑安全问题,只提安全建议,最后由设计人员决定:采纳、改进或不采纳。因而可以说道路安全审计的关键点为:它是一个正式的、独立进行的审计过程,须由有经验的、有资格的人员从事这一工作,要考虑到道路的各种用户,最重要的一点是只考虑安全问题。
安全审计报告一般应包括:设计人及审计组简述、审计过程及日期、项目背景及简况、图纸等,对确认的每一个潜在危险因素都应阐述其地点、详细特征、可能引发的事故(类型)、事故的频率及严重度评估、改进建议及该建议的可操作性(实用性)等。审计报告应易于被设计人员接受并实施。响应报告应由项目设计人员编写,其内容—般应包括:对审计报告指出的安全缺陷是否接受,如不接受应阐述理由,对每一改进建议应一一响应,采纳、部分采纳或不采纳,并阐明原因。
4 现有山区道路的安全审计
对现状山区道路进行安全审计,主要评估现状道路潜在事故危险性,同时提出改进措施以降低未来发生事故的可能性。现状道路的安全审计与新建道路相类似,也需进行上面所提到的工作,但现场调查以及评估资料及文件这两步与新建道路有所不同。此时事故资料被作为欲审计资料的重要组成部分,同时该资料也包括可能导致事故发生潜在性的一些不利因素的详细资料。
理想的关于现状道路网的安全审计应该建立在有规律的基础之上。它可以以连续几年审计的结果为基础,采用滚动式的审计方式对路网中的每条道路都进行评估。对于里程较长的道路(一般>100km),其安全审计工作可按两阶段进行,即初步审计阶段和详细审计阶段。前者主要对道路总体上进行粗略审计,给出存在的主要问题及所处位置,后者则对找到的问题进行进一步的详细分析并提出相应的改进建议。对里程较短的道路(<30km)可直接进行第二阶段的工作。而对里程在30km~100km的道路,两阶段审计工作可根据具体情况灵活进行。
由于欲审计道路已修建完成并已经运营,此时现场调查就显得非常重要。不管是拟建道路或已建道路、线内工程还是线外工程,安全审计工作必须全方位细致地进行。要考虑不同道路使用者对道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得驾驶员的心理产生恐惧;②半径太小可能使得驾驶员无法在规定视距范围内看到对方;③山体的稳定性也可能会影响到驾驶员。
另外,现状山区道路的安全审计工作还要调查不同的道路类型,例如白天、黑夜、干燥、潮湿等情况对道路的影响。此外,对现有道路网络的安全审计可结合养护工作同时进行,这样可减 少相应的成本费用。
5 我国山区道路的审计现状及问题和解决方法
5.1审计现状及问题
由于目前审计这个名词在国内还算比较新鲜,国外从起步发展到现在也不过十来年的时间,各方面都只是处于实验或者是试行阶段,并没有固定的一套理论依据。而我国相对外国来说又是落后了好几年,因此我国现在总体的审计现状也就处于探索阶段,各个方面也是处于起步阶段,不可能对各个方面的审计工作做到非常的完善。而道路的审计不过是众多审计工作中的一小部分,由于其本身的“新鲜性”,又对审计人员的要求较高,西部一些贫困地区教育跟不上,审计的人才缺乏也不是没有可能,设备等亦未全部到位。山区道路安全审计工作的开展较一般道路可能要更加的困难,因为山区道路多是停山临崖,弯道又多,坡度又大等各方面因素是其工作的开展要难与一般道路;更有甚者像那些偏僻地区的山区道路,可能路面的质量都无法保证,更不要提进行什么安全审计。
5.2解决方法
要改善我国目前的这种安全审计情况,需要全国各个方面的努力与配合,不过政府要有所规定,我们民间也要有这方面的意识。笔者简单列出几项:①国家应该颁布相关的法律制度,严格要求进行安全审计;②地方政府部门要加强管理;③加强对审计人员的培训;④提高我国的教育水平和人们的交通安全意识;⑤交通安全部门要深入到偏僻的山区;⑥提高我国的经济实力。
6 结束语
山区道路的安全审计工作与其他道路的安全审计总体上应该说差不多,当然山区的那种独特的环境使得审计工作的重点可能不仅仅局限与一般的道路,不要认为山区道路的流量没有城市道路那么多而忽视它,我国是个多山的国家,山区道路对于我国各个地区的经济往来的作用不言而誉。通过安全审计,加强了全国各地交流。对于我国的经济发展有百利而无一害。国内山区道路建设的实际情况对道路安全审计进行了较为系统的分析研究并得出以下结论:
(1)道路安全审计独立于设计和标准。是以安全为核心的审计,其对象为一切与交通安全相关的工程和设施,它可分阶段、按步骤的实施,审计的结果为安全审计报告。
(2)道路安全审计表单体系是进行道路安全审计的参照调查表,表的建立是交通工程公路工程、交通特征、事故特征与交通安全关联因素的集成。
标签: