网络安全符合性评测报告篇1
经济作为社会生活中最活跃的因素,也迅速地与网络联系了起来。电子商务的迅速发展,虚拟企业的出现,网络财务的广泛应用等基于internet的经济活动,在给注册会计师行业带来巨大冲击的同时,也为其提供了许多新的发展机遇。
一、发展新的审计技术
(一)网上实时报告审计
网络经营环境下,审计的总体目标和范围没有改变。但是,网络与计算机改变了财务会计信息的输入,处理,输出和存储方式,改变了内部控制和组织结构等。在网络条件下,数据由计算机处理,改变了帐务处理程序,摆脱了会计人员的直接干涉,使许多原来的内部控制职能丧失。而且审计线索发生改变,可视审计线索消失。审计证据的形式也由纸质变为磁介质。此外,审计范围的扩大及审计时间间隔的变化等各种因素都要求注册会计师提供实时报告审计。而从根本上来说,实时报告审计的出现是由于网络经济环境下,对信息的时效性要求大大提高了。
在实时审计模型中,通过建立注册会计师与被审单位之间的实时连接,对企业交易,内部控制,企业业务进行实时监督,随时对企业异常情况进行检测,获得实时审计证据;对审计报告随时更新,提供实时的审计报告。审计项目负责人可以在网上制订审计计划,给各审计人员分配审计任务;在网上复核助理人员的工作底稿,随时了解审计项目进展情况,协调各审计人员的工作;草拟和签发审计报告。注册会计师可以通过网络审查远距离的计算机信息系统功能;调用系统的审计功能或使用审计软件,对系统的磁性经济与会计信息进行抽样、审查、核对和分析;使用电子邮件向被审单位的银行、客户和供应商等进行函证;在网上复制有关文件或数据等审计证据,编写工作底稿等。若在系统开发时嵌入了审计程序,计算机还可以自动对经济业务进行实时的监控,自动完成部分审计任务。
(二)计算机辅助审计技术
网络经济条件下,很多企业都采用了网络财务软件,对审计工作提出了新的要求。基于网络技术和远程通讯技术的计算机辅助审计技术(Computeraidedauditingtechnique)为注册会计师提供了一种有效的,方便于网上实时报告审计的工具。
1.利用计算机进行审计管理
注册会计师事务所可以利用计算机完善审计行政管理和内部控制,可以利用计算机编制年度审计计划,记录审计计划的执行情况,安排审计任务和资金分配。
2.建立审计数据库
建立审计数据库可以使审计机构更有效地利用审计资料,完成审计任务。注册会计师可以利用审计数据库随时检索,查询,调阅有关审计管理的历史资料,历年的审计报告和审计工作底稿,国家有关法规、规章和制度。独立审计准则和有关审计规范,企业的内部控制制度等,建立审计数据库能极大地稳定审计效率。
3.利用审计软件进行审计
对企业的系统,注册会计师可以使用各种Caat软件进行符合性测试和实质性测试。Caat软件大致上分为三大类,项目测试辅助软件、系统测试辅助软件和系统模拟软件。
(l)项目测试辅助软件。它是审计人员为完成个别的审计项目的测试而编制、使用的Caat软件,一般包括帮助审计人员进行分析性复核的财务指标计算、分析软件,帮助审计人员进行抽样审计的样本提取、计算、评价的软件,问卷调查表统计、计算、分析软件等。
(2)系统测试辅助软件。它是审计人员为完成对企业使用的计算机会计系统而编制、使用的Caat软件。这些软件一般包括两种类型:一种是对比测试软件,即审计人员从企业计算机会计系统中的原始数据中抽取一个样本数据,将样本数据输入到与企业会计系统类似的Caat软件中进行处理,把Caat软件的结果与企业计算机会计系统产生的结果进行对比分析,以判定企业计算机会计系统的可靠性和安全性。另一种是将用于测试的Caat软件联接到企业的计算机会计系统中,审计人员检查一些特别准备的测试数据,由企业计算机会计系统进行处理,并将处理结果转移到Caat软件的一个测试文件中去,审计人员检查这一测试文件是否符合预期的结果,从而判断企业计算机会计系统的可靠性,安全性。系统测试软件也可以把两种类型的Caat软件结合在一起使用。
(3)系统模拟软件。它是审计人员运用已建立的数学模型在计算机上对企业的经营活动进行模拟,以判断企业经营活动可能产生的结果,从而审查企业各项措施、决策的有效性和合理性。审计人员也可以模拟企业日常经营活动,并将模拟结果与企业实际成果进行比较分析,找出存在的差异,分析差异产生的原因。
二、开拓所的业务领域
(一)网誉认证业务
网誉认证业务,即注册会计师按照严格的标准对从事网上商业活动的网址进行检查,评判它是否与自称的商业活动及安全标准相符。若相符,注册会计师就签发表示相符的报告,那么,该网址就拥有注册会计师网上信托的“许可章”。若不相符或与事先对公众所做的承诺协议的内容有出入,则注册会计师拒绝相符的认证报告。因此,凡是能获得并持有网誉认证的个人、企业和其他经济实体,则其资信度、服务质量好,其相应的网址访问率高,客户可信任其进行网上交易。
网誉认证业务最早起步于1998年初,当初主要由美国、加拿大注册会计师协会联合共同创办,主要为两国电子商务交易的主体间提供审计验证服务,
其效果非常显著。目前,五大会计公司——普华水道、德勤、毕马威,安永和安达信均已面向全球开展了网誉认证业务,为其开辟全球会计市场迈出了坚实的一步。我国电子商务正处于起步阶段,许多问题还处于探索之中,因而大力开展网誉认证业务,必将
对我国的注册会计师行业产生事半功倍的效果。大力开展网管认证业务,一方面,有助于扩展会计事务所的业务范围,为其走出国门,抢占海外市场份额打下坚实基础;另一方面,开展网誉认证,也将促进我国电子商务环境更加完善,电子商务市场如若更加健全,健康的方向发展。
(二)对网络财务软件系统的评审服务
网络财务是电子商务的重要组成部分,网络财务能够从财务上整合企业电子商务的各项功能。而对国内外各软件厂商纷纷推出的网络软件产品,企业面临着如何选择适宜软件的问题。因此,注册会计师可凭借第三者的身份为企业提供软件评审服务,协助企业选购合适的财务软件。
注册会计师参加信息系统设计和评审验收时,针对审计可视线索消失的趋势,强调在会计数据处理流程中,设置审计控制点,由计算机自动记录有关审计所需线索,提供测试数据和比较标准。注册会计师有权审查系统的全部技术文档资料,以及进行系统测试和评价。在系统总体设计过程中,主要审查系统的合法合规性,安全可靠性,可审计性及可维护性。在系统测试过程中,主要测试形成系统核心的程序功能是否达到原定要求,内部控制制度是否严密,程序编写是否符合要求,以及测试数据运行结果是否正确。并应对非法数据的容错功能,以及系统抗干扰和对付突然事故的能力,发生非常事件,遭到破坏后的恢复能力做特别测试。在系统评价过程中,关键是评价系统是否达到了原定设计与开发的目标,其中可审性最重要,如果达不到,有权否决整个系统,即授予在系统设计中的审计一票否决权。在做好事前和事中审计的基础上,也要做好系统设计的事后审计,主要是通过各种符合性和实质性测试的方法,对系统的运算结果进行审计。特别是,在被审系统的程序有所修改和输入、处理、输出的条件发出变化时,更要做好符合性和实质性测试,并对已经改变了的系统功能再次做出审计评价。
由于软件在最终用户正式启用时已经经过了事前审计,事实上注册会计师为开发南端和用户端分拍了系统审计风险。因此,注册会计师的软件系统评审服务对网络财务的推广具有重要意义。
(三)建立网上虚拟会计师事务所
所谓“虚拟会计师事务所”,即首先由会计师事务所在internet上申请一个。网址,利用超文本技术和多媒体技术在该网址上建立一个web主页,将事务所的有关信息及业务资料输到上面,信息可以是图片,声音,文档等。虚拟会计师事务所内一般包括:公司概况、电子邮箱、产品介绍、业务范围和用户反馈等栏目。
虚拟会计师事务所可以由顾客在任何时间根据自己的需要在internet上访问。这种优势可在更大范围上满足用户的需要。它向会计师事务所提供了一种与顾客交流信息的新手段。注册会计师只需在计算机终端上利用电子邮件(e-mail)和交互式对话技术就可以与顾客进行深入细致地交谈,了解其对服务的不同需求。这种顾客主导,非强迫性的循序渐进的,同时也是低成本的,人性化的促销是顾主双方都非常愿意接受的。这也给那些规模较小的会计师事务所提供了一个广阔的天地。三、利用网络发展壮大我国的Cpa行业
在网络时代的今天,国际大会计公司均有自己的独立网站,作为公司的有机组成部分之一,网站的形象也是统一的。在网络上,他们宣传自己的历史,实力,全球发展分布,行业信息,单位动态;自己在全世界各地分支机构的工作机会以便在网络上直接吸引优秀人才加入或将其作为自己的储备人才;凭借自己的技术优势,给客户提供各种咨询服务.为事务所带来丰厚的收人。相比而言,那些商业化的会计,审计站点内容更加丰富。他们提供的资讯包括行业新闻,新的法规动态,电子杂志,专业书箱销售等相当广泛的内容。通过提供全员服务以及广告服务,在线销售,在线培训,在线咨询和财务赞助,这些商业会计、审计站点能获得足够的现金流量来生存和发展。
网络安全符合性评测报告篇2
设备器材是有线数字电视网络的“心脏”,其重要性是毋庸置疑的。据有关调查数据显示,80%有线数字电视网络故障都是由于设备器材的问题造成的,因此有线数字电视网络的设备器材在使用前必须经过质量验收,出具验收合格报告后方能使用。即使合格的设备器材在长途运输中也会出现包装损坏等质量问题,因此根据《建筑工程质量管理条例》的要求和相关规定,必须对进场前的设备器材进行严格的验收工作。具体测试验收标准如下:1)同轴电缆:外包装完好,外保护套厚度均匀无破损,长度符合要求;电缆无扭曲、压扁、折断;断面芯线、环路电阻符合要求。2)光缆:外包装完好,保护套光滑无缺陷;规格型号标识齐全且符合质量标准;光缆长度和传输损耗符合相关要求。3)线路供电器:外包装完好,铭牌、附件齐全且符合国家安全质量标准。4)电缆连接头:连接头外包装完好,防雨橡胶无破损;连接头的金属部分无缺陷,绝缘介质部分无污损;连接头具有符合出厂规定检验证明及国家现有相关标准合格证书。5)光发射机和光接收机:设备外包装完好,表面无明显划痕、裂纹、变形、锈蚀等,镀层光滑均匀无脱落;各个操作活动部件能灵活操作,整机结构及零部件无松动;光发射机的光输出功率偏离范围在±0.1dB以内;光接收机的射频输出电平变化在±1.0dB以内;具有符合出厂规定检验证明及国家现有相关标准合格证书。
传输网络的施工验收
有线数字电视传输网络工程完工后,各工程队必须自行进行检查和评定,自检合格后报分公司进行初验,最后由分公司报总公司进行终验。有线数字电视传输网络工程施工质量验收的基本程序如图1所示。按照先审核图纸,再测试设备和系统,检查施工工艺,最后综合评定的原则进行。1)竣工资料验收。竣工资料验收主要包括3部分:竣工技术文件、竣工图纸和竣工测试资料。竣工技术文件包括设计依据、工程技术指标及要求、开工申请、施工批准通知书、初验报告、监理报告、变更通知等。竣工图纸必须齐全且图面整齐、美观、布局合理,图例及标注使用标准详细,有设计说明和材料明细表,设计人员和审核人员要签字确认,并将所有图纸装订成册存档。竣工测试资料包括主要设备和器材的合格证以及进场验收测试报告、分配网技术指标测试记录表、接地电阻测试表、光站和放大器运行时的主要测试指标。2)工程施工工艺的验收。a)现场查看设备箱及设备安装工艺是否符合规定,设备箱安装距地面30cm左右且应保证安全可靠。b)光站设备箱内设备安装牢固可靠、摆放自然整齐。c)电缆线上引时需要做镀锌钢管套管,钢管需封堵上端口并紧靠支撑物固定好。d)架空缆线的电缆需平直不弯曲,每0.5m设置一个挂钩。钢绞线与电力线交越时钢绞线需加保护套管。e)按照设计图检查地下埋线的长度、井位、埋深和检查孔尺寸及质量。f)查看管井内是否有其他管线,如有其他管线,应该在管线上悬挂标签。检查管井内是否渗水,如果渗水应及时进行排查返修。
传输网络的测试验收
网络安全符合性评测报告篇3
关键词:前提;审计内容;审计程序
一、会计电算化条件下,审计工作开展的前提(一)提高电脑应用水平和审计业务素质在会计电算化条件下,审计工作能否顺利进行取决于审计人员的计算机技能、网络知识和较系统的审计理论等多方面的综合运用水平。在会计电算化条件下,不懂得电脑的审计人员因审计数据的异化就无法有效地进行审计;不懂得电算化会计系统的特点和风险就不能识别和审查其内部控制;不懂得使用计算机,就无法对计算机内存储的会计资料进行审查或利用计算机进行审计。这就要求审计人员不仅要具备会计、审计理论和会计实务知识,而且要掌握计算机和电算化会计方面的知识和技能。由于会计电算化在不断向前发展,审计人员必须经常更新知识结构,以适应新形式下新技论文术应用的企业审计工作的需要。(二)引进审计电脑辅助软件在会计电算化条件下,会计资料的归集和反映与手工处理系统时发生了巨大变化,使得传统的内部安全控制方式有所减弱,这就要求引进电脑辅助软件的应用,完善企业内部控制职能。审计电脑辅助系统较之于会计电算化系统,二者既有联系又相互独立。会计电算化系统主要是为企业内部的管理人员提供财务信息,审计电脑辅助系统主要是辅助审计人员完管理会计软件商品化通用化比较困难,只能有针对性地开发研究。但是,管理会计电算化是以财务会计电算化为基础的,因为它们的数据同源,财务会计电算化能为管理会计电算化提供所需的财会信息。因此,企业应在实现财务会计电算化的基础上不失时机地推进管理会计电算化,解决管理会计手工操作难的问题,这样才能促进管理会计在企业中的推广应用,真正实现会计的核算职能、管理职能和控制职能。同时,也为企业管理信息系统的开发奠定扎实的基础。(五)在发展电算化会计的同时更要重视对电算化审计的研究,使二者相互配合相互促进,共同发展特别在网络时代,网络技术的应用给电算化审计的发展带来了契机与挑战,网络时代审计的创新远远不应局限于审计对象、审计技术、审计业务上,应是整个审计理论框架与实务的全方位的创新。网络时代号召审计理论和实务工作者,在互联网连接起来的全球化经济中,掌握现代化信息技术(包括计算机技术、通信技术、信息处理技术),对网络时代的审计创新进行全方位的开拓,以保证与电算化会计的发展同步。(六)随着管理会计电算化的发展,财务软件智能化必将提到议事日程上来利用决策支持系统,在系统中除了设计有数据库外,还有方法库,其中预先放置了各种决策方法,可以快速运用这些决策方法处理数据库中的数据,得出在不同决策方法下的系统运行结果,从而为用户得出决策提供参考信息。从理论上未说,如果方法库中放置了足够多的方法,那么,系统便能提供足够多的决策帮助。(七)加强网络环境下电算系统的管理设立防火墙、电子密钥,采用网上公证,分高监控与操作等办法来实现系统内部的有效牵制。
三、会计电算化的发展要顺应信息时代潮流(一)会计电算化向网络化的进一步发展会计软件的网络化目前大多限于局域网,信息传输的范围小,制约电算化会计效能的发挥,未来的电算化会计将向着广域网的方向发展,信息传输范围大大增加,使会计数据的异地共享成为可能。会计电算网络化将从原来企业内部的会计信息共享,上、下级单位之间的财务信息的传递转变到与外部相关机构的信息共享、与全世界进行信息交流。网络会计环境是一个集供应商、生产商、经销商、用户和银行等机构为一体的网络体系。(二)会计电算的发展要适应电于商务发展的要求电子商务指利用计算机网络和各类电子工具进行的一切商业贸易活动。电于商务是21世纪贸易方式发展的方向:企业经济活动中的业务数据能够自主地进行双向交流,企业建设自己的电子账簿和电于银行账户划拨资金,企业采购、发货可以通过网络直接进行确认。它正以其低成本、高效率等特征吸引着大多数企业。电算化会计就是要充分利用计算机及网络技术,从不同的来源和渠道收集企业经营活动中的会计数据、会计资料,按照经济法规和会计制度的要求予以存储、加工,并生成会计信息,向企业内外部各方面传递,以帮助信息使用者改进经营管理,加强财务决策和有效控制经济活动。在网络时代,电算化会计在实现其基本目标的基础上将顺应电子商务的发展。(三)会计电算化新领域———在线财务报告在线报告是指企业在国际互联网上设置站点,向信息使用者提供定期更新的财务报告。其特点是利用国际互联网作为传播媒体,将网络页面数据采用“超文本”的形式,增强了会计信息的时效性、交互性。在线报告的出现改变了传统的财务报告顺序结构,它的各个组成部分之间建立了超链接,人们可以借助相关链接主动而迅速地搜寻所需信息,企业还可根据不同用户的要求提供更加个性化的财务报告。在线报告改变了信息披露方式。由于信息链的建立并不局限于财务信息本身,其范围可以覆盖所有与企业经营有关的方面,提高了不同信息处理部门之间信息资源共享的程度。在线报告在美国应用较为广泛,从其现有的在线报告来看,它们往往不是作为一个独立的部分出现在互联网上,而是融合于整个企业的经营情况介绍之中,与各种营销统计数据及其他非数量化信息一起向关心企业的公众展示企业的综合经营情况,有利于准确地把握企业的财务脉搏以及业务活动。总之,在线报告实现了会计信息的实时追踪,便于财务报告的需求者及时掌握相关企业的第一手资料,为本企业的理性决策提供了方便,实现了企业的在线管理,并利于会计信息系统的社会监督和政府监督。二、会计电算化条件下的审计内容电算化会计系统与手工会计系统不同,它是由会计数据体系、计算机硬件和软件以及系统工作和维护人员组成,所以电算化会计的审计内容与手工会计系统也存在着较大的差别,电算化会计审计的内容主要包括以下内容:(一)对会计电算化系统的内部控制的审计一方面是企业的内部控制能在多大程度上确保会计电算化系统中会计记录的正确性和可靠性,如输入、输出的授权控制,业务处理的审核等;另一方面是内部控制的有效执行能在多大程度上保护资产的完整性。通过以上两方面的评价,可以判断企业内部控制系统能在何种程度上防止或发现会计报表中的错误及经营过程的舞弊。(二)对会计电算化系统程序的审计会计电算化系统的核心就是会计软件,程序质量的高低直接决定了会计电算化系统整体水平的高低,在这部分里主要审计会计软件程序对数据进行处理和控制的及时性、正确性和可靠性,以及程序的纠错能力和容错能力。会计软件程序的审计可采用通过计算机审计的方法及利用计算机辅助审计中的数据转换功能的方法来完成。(三)对会计电算化系统的处理对象即会计数据的审计会计数据处理的真实性、正确性、可靠性,直接影响到会计信息的真实性、正确性和可靠性,所以这一部分的审计是至关重要的,审计人员可采用抽查原始凭证与机内凭证相对比,抽查打印日记账和机内日记账相核对等方法,同时也可采用利用计算机辅助审计软件的功能来完成审计,从而降低审计风险。三、会计电算化条件下的审计程序按照《审计法》的规定,一般审计程序可分为四个阶段,即准备阶段、实施阶段、审计结论和执行阶段、异议和复审阶段。电算化会计审计结合自身的特殊要求,运用本身特有的方法也可以分为这四个阶段。(一)准备阶段在此阶段主要是初步调查被审计单位会计电算化系统的基本状况并拟定科学合理的计划,一般包括以下主要工作。1.调查了解被审计单位电算化系统的基本情况,如电算化系统的硬件配置、系统软件的选用、应用软件的范围、网络结构、系统的管理结构和职能分工、文档资料等。2.与被审计单位签订审计业务约定书,明确彼此的责任、权利和义务。3.初步评价被审计单位的内部控制制度,以便确定符合性测试的范围和重点。4.确定审计重要性,确定审计范围。5.分析审计风险。6.制定审计计划。在审计计划中除了对时间、人员、工作步骤及任务分配等方面作出安排以外,还要合理确定符合性测试、实质性测试的时间和范围,以及测试时的审计方法和测试数据。(二)实施阶段实施阶段是审计工作的核心,也是电算化审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见。实施阶段的主要工作应包括以下两个方面的内容。1.符合性测试。进行符合性测试应以系统安全可靠性的检查结果为前提。如果系统安全可靠性非常差,不值得审计人员信赖,则应当根据实际情况决定是否取消内控制度的符合性测试,而直接进行实质性测试并加大实质性测试的样本量。在会计电算化系统的符合性测试项目中,主要内容应该是确认输入资料是否正确完整,计算机处理过程是否符合要求。如果系统安全可靠性比较高,则应对该系统给予较高的信赖;在实质性测试时,就可以相应地减少实质性测试的样本量。2.实质性测试。实质性测试应该是对被审计单位会计电算化系统的程序、数据、文件进行测试,并根据测试结果进行评价和鉴定。进行实质性测试须依赖于符合性测试的结果,如果符合性测试结果得出的审计风险偏高,而且委托人有利用会计电算化系统进行舞弊的动机与可能,并且委托人又不能提供完整的会计文字资料,此时审计人员应考虑对会计报表发表保留意见或拒绝表示意见的审计报告。进行实质性测试时,可考虑采用通过计算机和利用计算机进行审计的方法,具体包括:(1)“测试数据法”,就是将测试数据或模拟数据分别由审计人员进行手工核算和被审计单位电算化系统进行处理,比较处理结果,作出评价;(2)“受控处理法”,就是选择被审计单位一定时期(最好是12月份)实际业务的数据分别由审计师和会计电算化系统同时处理,比较结果,作出评价。3.利用辅助审计软件直接审查会计电算化系统的数据文件。审计人员可利用通用或专用审计软件直接在会计电算化系统下进行数据转换,数据查询,抽样审计,查账,账务分析等测试,得出结论,作出评价。(三)审计结论和执行阶段审计人员对会计电算化系统进行符合性测试和实质性测试后,整理审计工作底稿,编制审计报告时,除对被审单位会计报表的合理性、公允性、一贯性发表意见,作出审计结论外,还要对被审单位的会计电算化系统的处理功能和内部控制进行评价,并提出改进意见。审计报告完成后,先要征求被审单位的意见,并报送审计机关和有关部门。审计报告一经审定,所作的审计结论和决定需通知并监督被审单位执行。(四)异议和复审阶段被审单位对审计结论和决定若有异议,可提出复审要求,审计部门可组织复审并作出复审结论和决定。特别是被审单位会计电算化系统有了新的改进时,还需组织后续审计。总的来看,随着会计电算化的快速发展,同样要加快审计电脑辅助软件的引用和应用,努力提高审计人员的会计电算化及审计电脑辅助软件的应用水平。及时地、准确地、全面地对企业的财务信息和业务信息作出审核和评价,监督企业管理和经营活动,使其得以良性运行和发展。
【参考文献】
[1]张朝晖.电算化环境下会计人员的困惑和思考[J].工业会计,2003,(5).
网络安全符合性评测报告篇4
【关键词】物联网;信息安全;检测体系
1引言
随着国家信息网络基础设施基本完成,信息化应用全面展开,物联网广泛应用于公共事业/服务、交通运输、个人用户、批发零售、工业、制造业、商业、服务业、农业、建筑业、金融业等。目前来看,物联网虽然给人们带来便利,但物联网在信息安全方面还存在一定的局限性。一是存在信号受到干扰的可能。如果安置在物品上的传感设备信号受到恶意干扰,很容易造成重要物品损失以及重要信息被篡改、丢失的隐患。二是恶意入侵的隐患。如果病毒、黑客、恶意软件绕过了相关安全技术的防范,对物联网的授权管理进行恶意操作,掌控他人的物品,就会造成对用户隐私权的侵犯。如果爆炸物、枪支等危险物品被其它人掌控,后果会十分严重。因此,物联网安全问题如果得不到有效解决,将严重阻碍物联网产业发展。由于物联网感知节点和传输设备具有能量低、计算能力差、运行环境恶劣、通信协议庞杂等特点,使得传统安全技术无法直接应用于物联网,由此引发物联网特有的安全问题,而物联网安全技术和安全状况缺乏有效的检测和评价手段。
我国政策环境较好,物联网已成为国家发展战略,初步明确了未来发展方向和重点领域。国家高度重视物联网安全建设。2013年初,国务院了《关于推进物联网有序健康发展的指导意见》(国发[2013]7号)中明确提出以工业和信息化部、发展改革委、公安部牵头承担物联网安全保障专项行动计划:提高物联网信息安全管理与数据保护水平,建立健全监督、检查和安全评估机制。加强物联网重要应用和系统的安全测评、风险评估和安全防护工作。加快物联网相关标准、检测、认证等公共服务建设,完善支撑服务体系,有效保障物联网信息采集、传输、处理、应用等各环节的安全可控。
2物联网一体化安全检测体系
各类物联网示范工程进行大规模应用之前,应充分考虑和评测其安全性,从源头保证物联网安全措施有效性、功能符合性、安全管理的全面性以及给出安全防护评估。在建设实施阶段,将所有的安全功能模块(产品)集成为一个完整的系统后,需要检查集成出的系统是否符合要求,测试并评估安全措施在整个系统中实施的有效性,跟踪安全保障机制并发现漏洞,完成系统的运行程序和全生命期安的安全风险评估报告。在运行维护阶段,要定期进行安全性检测和风险评估以保证系统的安全水平在运行期间不会下降,包括检查产品的升级和系统打补丁情况,检测系统的安全性能,检测新安全攻击、新威胁以及其它与安全风险有关的因素,评估系统改动对安全系统造成的影响。
物联网关键安全问题:一是感知设备安全;二是物联网系统安全和风险评估,重点是接入问题;三是业务应用安全。目前,各行业均提出了相应的安全防护体系,如智能电网系统、工业控制系统等。本文依据相关的安全防护体系提出物联网一体化安全检测体系,即“一中心、两库、五平台”,如图1所示。即开放式场景检测支撑平台、感知设备安全检测服务平台、物联网系统安全检测服务平台、物联网系统风险评估服务平台、物联网集成化安全管理检查服务平台、物联网安全检测标准及指标库、物联网信息安全漏洞与补丁库以及一体化安全检测管理中心。在此基础上,结合物联网具体业务需求,进行物联网安全检测方法、规范、指标体系、专业化检测技术研究与积累。同时,形成一支服务于物联网安全检测的多层次、复合型、专业化人才队伍,全面保障物联网系统安全稳定运行。
3“五平台”
“五平台”提供检测、检查和评估三类专业化服务,其中物联网集成化安全管理检查服务平台可作为独立平台对外提供检查服务;开放式场景检测支撑平台为感知设备安全检测服务平台与物联网系统安全检测服务平台提供安全符合性检测环境,此三个平台提供技术检测服务;物联网系统风险评估服务平台在前述四个平台基础上,关联外在威胁,分析自身脆弱性,提供风险评估服务。“五平台”结构关系如图2所示,“五平台”既可独立提供检测服务,也可互为补充,为用户提供定制化的检测服务,形成开放式检测服务体系架构。
3.1开放式场景检测支撑平台
开放式场景检测支撑平台实现物联网感知设备、接入系统、业务应用三层检测环境,如图3所示。通过多部件的灵活组建,实现其感、传、知、用的安全功能检测,灵活支持用户个性化的检测需求。
3.2感知设备安全检测服务平台
感知设备安全检测服务平台实现一个通用的感知设备安全检测系统,由开放式场景检测支撑平台为被测设备提供运行检测环境,其从感知操作安全、感知数据处理安全、感知数据存储安全和感知节点设备安全、感知节点通信安全等五方面检测安全功能和性能,其检测框架如图4所示。
3.3物联网系统安全检测服务平台
物联网系统安全检测服务平台以系统、整体的视角对智能感知层访问控制、身份认证等策略配置进行符合性测试;对接入传输层的aKa机制的一致性或兼容性、跨域认证和跨网络认证等进行检测;对业务应用层数据库安全、应用系统和网站安全、应用系统稳定性、业务连续性等进行符合性和有效性检测。检测框架如图5所示。
3.4物联网系统风险评估服务平台
物联网系统风险评估服务平台对可能遭受到的威胁和自身脆弱性进行安全分析,然后根据安全事件的可能性以及安全事件造成的损失计算出风险值、对安全事件进行风险等级定级,最后结合安全事件所涉及的资产价值来判断安全事件一旦发生对物联网系统造成的影响。风险评估框架如图6所示。
3.5集成化安全管理检查服务平台
集成化安全管理检查服务基于物联网多类型终端、多网融合、海量数据处理和全面感知等特点。从防范阻止、检测发现、应急处置、审计追查和集中管控五个方面,对物联网系统智能感知层、接入传输层和业务应用层的安全管理情况进行检查,其安全管理检查框架如图7所示。
4“两库”
4.1标准及指标库
基础库“标准及指标库”通过构建物联网安全检测标准子库与指标子库为“五平台”提供支撑。标准子库建设来源:一是从物联网国际标准组织ieee、iSo、etSi、itU-t、3Gpp、3Gpp2了解国际最新标准,研究制订适合国情的物联网标准;二是从国内标准组织:wGSn、CCSa和RFiD标准工作组获取最新标准;三是随着业务开展,编制了物联网安全标准。物联网一体化安全检测标准体系框架,按照标准服务性质的区分,分为物联网产品安全检测标准、物联网系统安全检测标准、物联网风险评估标准以及集成化安全管理检查标准。其框架如图8所示。
指标库为各种类型的被测设备和系统提供相应的检测指标项目,同时支持用户自定义新的检测指标。指标库依据各服务平台检测内容划分四类,即物联网产品检测指标、物联网系统安全检测指标、物联网风险评估指标以及集成化管理检查指标。其涵盖功能检测、性能检测、抗毁性检测、符合性检测、有效性检测和可用性检测等指标。
4.2漏洞与补丁库
漏洞与补丁库采用云存储方式,包括海量数据融合漏洞,tinyoS操作系统漏洞,异构网络认证协议漏洞,感知信息传输协议漏洞等。漏洞与补丁库一方面为产品、系统检测,风险评估、安全检查提供支撑服务,另一方面对外提供咨询服务,网上漏洞信息,定制客户漏洞处理方案,提供漏洞补丁和专用杀毒工具下载等。
5“一中心”
一体化安全检测管理中心完成上述“二库、五平台”的互联互通和信息共享,实现检测项目统一管理,检测数据统一汇总,检测结果统一判定,形成感知设备检测报告、物联网系统检测报告、物联网系统风险评估报告以及集成化安全管理检查报告等。
一体化安全检测管理中心由项目管理、场景管理、感知设备检测、系统检测、风险评估、集成化安全管理检查、工具集、基础库管理八个核心模块组成,整个平台由项目库、标准及指标库、方法库、漏洞与补丁库四个数据库支撑,管理中心框架设计如图9所示。
6技术特点
(1)提供开放式检测环境
物联网应用的广泛性和复杂性,仅依赖单一场景无法满足客户的多层次需求,通过开放式检测环境,可实现感知设备、接入方式、业务应用的检测环境,使得检测手段更丰富、更精准。
(2)提供多类型、多元化的检测
一体化安全检测体系通过感知设备检测、系统检测、风险评估、管理检查的一体化检测服务,提品检测和系统检测、实验室检测和现场检测服务,满足物联网复杂多变的检测需求,使得安全检测更全面性,帮助客户准确评估物联网安全性。
(3)提供技术与管理全方位检测
物联网安全包含技术与管理两方面,技术与管理并重,本体系通过“五平台”实现产品、系统技术类检测/风险评估与安全管理检查,全方位、整体评估物联网安全性。
(4)提供技术符合性和关联外在风险评估相支撑的检测
物联网安全问题是动态发展的,在安全技术符合性检测的基础上,提供适用于动态评估物联网工程的风险评估服务。风险评估旨在通过关联外在风险,结合自身脆弱性评估系统和工程的安全性,与技术符合性检测相支撑。
(5)提供一体化服务模式
提供一个灵活、规范的信息组织管理平台和全网范围的网络协作环境,实现集成的信息采集、内容管理、信息搜索,能够直接组织各类共享信息和内部业务基础信息,实现信息整合应用,同时也提供管理中心支撑下的统一项目管理、统一数据汇总、统一结果判定的一体化服务系统。
7结束语
目前,我国政策环境好,物联网已成为国家发展战略,初步明确了未来发展方向和重点领域,但产业和行业标准正在建立,是机遇也是挑战。经济环境上,中国企业正在随着国家的快速发展,持续提升竞争力和国际影响力,对物联网安全性的需求逐步增强,企业对物联网安全问题的认知提高,经济支付能力也在增强。通过对各行业物联网建设方面的调查发现,当前已有的物联网应用对其安全性的检测和技术支持需求十分迫切,物联网安全检测产业市场前景乐观。
上述“一中心、二库、五平台”形成专业的平台,加上精专的人才、全面的服务内容和敏捷的反应,构建物联网一体化安全检测专业化服务体系架构。从而提升价值、方便客户、节约成本、提高效率,满足物联网安全检测集成化、规模化的需求。
参考文献
[1]tGrobler,profBLouwrens.newinformationSecurityarchitecture[J].2005,UniversityofJohannesburg.
[2]范红,邵华等.物联网安全技术体系研究[J].第26次全国计算机安全学术交流会,2011(09),5-8.
[3]谭建平,柔卫国等.基于物联网的一体化安全防范技术体系研究[J].湖南理工学院学报,2011,第24卷第4期46-51.
[4]JackieRees,SubhajyotiBandyopadhyayetc.apolicyframeworkforinformationsecurity.CommunicationoftheaCm,Volume46issue7,2003,p101-106.
[5]郎为民,杨德鹏,李虎生.智能电网wCSn安全体系架构研究[J].信息网络安全,2012,(04):19-22.
[6]余勇,林为民.工业控制SCaDa系统的信息安全防护体系研究[J].信息网络安全,2012,(05):74-77.
基金项目:
国家863高技术研究发展计划资助项目(2009aa01Z437)和国家863高技术研究发展计划资助项目(2009aa01Z439)。
网络安全符合性评测报告篇5
关键词:电雷管;网络全电阻测试仪;JJG(皖)30-2010
中图分类号:tD235文献标识码:a文章编号:1009-2374(2013)19-0053-02
在工矿企业的爆破工程中,电雷管的应用很普遍,但其安全性一直备受关注。由于在矿山中架线式电力机车与照明电网不可避免地存在漏电现象,各种杂散电流就有可能引起电雷管的的早爆,因此,爆破前必须进行单只电雷管直流电阻测量与爆破网络全电阻的测量。按照规定要求,电雷管在使用前必须做全电阻测量,严禁用发爆器打火放电来检测网络导通状态,因此,网络电雷管电阻测试仪(以下简称网阻仪)在安全生产中至关重要,其计量性能的准确性、可靠性直接影响着安全生产,加强网阻仪的检定是实现工矿企业持续健康发展的重要保障,也是加强工矿企业安全生产的迫切要求。为了确保网阻仪计量性能的准确性,安徽省淮南市起草编写了JJG(皖)30-2010《网络电雷管电阻测试仪检定规程》,为网阻仪的法制计量提供了技术支持,从而政府部门可以更方便地服务于工矿企业,同时可以更有效地对其进行监督管理。
网阻仪的检定周期一般不超过一年,但其使用环境的恶劣就要求我们使用人员在检定周期内对其计量性能进行确认,从而预防采用了超过误差范围的结果,现在我们就从不确定度评定和稳定性考核上来举例说明。
1建立数学模型
在符合检定规程要求的实验室进行校准工作,直流电阻箱的温度阻值偏移可忽略不计,则网络电雷管电阻测试仪的示值误差:
R=Rx-Rn
式中:
Rx——被检表网络电雷管电阻测试仪上的示值
Rn——直流电阻箱上的示值
2方差和灵敏系数
灵敏系数:
则:
3数字式网阻仪测量不确定度的评定
被检表选用淮南市松江电子有限责任公司生产的1.0级CHB-2000型数字式网络电雷管电阻测试仪,0~199.9Ω量程的分辨力为0.1Ω;以检定示值100Ω为例来讨论。
3.1标准电阻箱引入的不确定度u(Rn)
3.1.1标准电阻箱阻值误差限引起的标准不确定度分量u(Rn)为均匀分布:
e=±(100×0.02%)=±0.02Ωu1(Rn)=0.02Ω/=0.0115Ωv1(Rn)=∞
3.1.2标准电阻箱年稳定性引入的不确定度u2(Rn):
由技术说明书,0.02级电阻箱电阻的年变化为40ppm,即e=±(100×40×10-6)=±0.004Ω,视为均匀分布,则:u2(Rn)=0.0004Ω/=0.0023Ω
v2(Rn)=∞
3.1.3由以上二项合成:
u(Rn)==0.0117Ω
自由度:v(Rn)=∞
3.2被校表读数引起的标准不确定度分量u(RX)
3.2.1被校表示值分辨力引起的标准不确定度分量
u1(RX):
被校表分辨力为0.1Ω,视为均匀分布,则:u1(RX)=0.1Ω/2=0.0289Ω
v1(RX)=∞
3.2.2测量重复性引起的标准不确定度分量u2(RX):
标准电阻箱设定为100Ω标准电阻值,对其200Ω量程100Ω点进行重复10次测量,得到的测量列如下(每次测量均重新接线,且预先将可调数字网络电雷管电阻测试仪进行调零,直流电阻箱置于零位):100.1Ω、100.2Ω、100.3Ω、100.3Ω、100.2Ω、100.2Ω、100.1Ω、100.2Ω、100.2Ω、100.2Ω。
计算得实验标准差s=0.066Ω
标准不确定度:u2(RX)=s/=0.021Ω
自由度:v2(RX)=10-1=9
3.2.3以上二项合成:
u(RX)==0.0357Ω
自由度:
veff(RX)==75
4合成不确定度
uc(Δ)==0.0376Ω
5有效自由度
veff==(0.0376)4
/[(0.0357)4/75+(0.0117)4/∞]=92
6扩展不确定度
检测数字式网络电雷管电阻测试仪的扩展不确定度的评定。
取置信概率p=95%,有效自由度eff=92,查t分布表并将有效自由度近似取整为92得到:
kp=t95(92)=2.01
扩展不确定度U95=t95(92)×uC(R)=2.01×0.0376=0.076Ω
7测量不确定度的报告与表示
网络电雷管电阻测试仪测量不确定度的报告与表示。
测量电阻值为100Ω时其示值误差测量结果的扩展不确定度为:
U95=0.076Ω(k=2)veff=92
由此可见,用此方法测量网络电雷管电阻测试仪示值误差总不确定度小于被测仪表允误差的1/3;符合检测
要求。
在工作中,工程技术人员在检定周期内必须做好稳定性考核,xi选择同一台型号为CHB-2000网络电雷管电阻测试仪进行稳定性测量,每一个星期测量十次,结果的稳定性数据如表2所示。
连续5个星期观察,最大漂移为0.0667%,小于评定的扩展不确定度,合格。
网络安全符合性评测报告篇6
【关键词】建筑智能化系统检测信息技术网络系统消防联动
中图分类号:G267文献标识码:a文章编号:
建筑智能化系统,是指以建筑为平台,利用现代通信技术、信息技术、计算机网络技术、监控技术等,实现对建筑物的智能管理,以满足建筑物的监控功能、管理功能和信息共享的需求,通过对建筑物和建筑设备的自动检测与优化控制,实现信息资源的优化管理和对使用者提供最佳的信息服务,使智能建筑达到投资合理、适应信息社会需要的目标,并具有安全、舒适、高效和环保的特点。
建筑智能化系统分为通信网络系统、信息网络系统、建筑设备监控系统、火灾自动报警及消防联动系统、安全防范系统、综合布线系统、智能化系统集成、电源与接地、环境和住宅(小区)智能化等10个子系统。根据设计和需要,实际的建筑智能化系统可以为其中的一个或者多个子系统和系统集成。
建筑智能化系统的检测是指对建筑智能化系统的功能、性能和可能存在的缺陷进行全面检查和测试。建筑智能化系统的检测分为检查项和检测项,检查项指在现场通过功能检查或主观评价确定合格的项目,检测项指在现场通过仪器定量测试确定是否合格的项目。
建筑智能化系统检测应在工程完工后并经运行(试)后进行检测。在委托方办理检测委托手续时,应向检测单位提供系统的设计文件、竣工文件、运行报告、工程合同。检测单位在接受委托手续后应进行现场调查和收集资料,收集的资料包括:设备材料进场验收记录、隐蔽工程验收记录、工程安装质量和观感质量验收记录、设计变更文件、工程洽商记录、设备和系统自检记录、系统试运行记录,并审查文件的真实性和完整性;明确委托方的检测目的,具体要求和重点检测部位,系统是否已进行专项检测等。检测单位根据国家相关标准和具体的项目情况编写检测方案或检测大纲,在检测方案或检测大纲中应明确检测项目、检测数量、检测方法、检测仪器及时间和步骤安排,并根据检测方案或检测大纲的要求进行现场检测。检测现场记录和检测报告应符合国家相关规定。
建筑智能化系统检测包含的检测项目与建筑智能化系统包含的内容相对应,对不同的子系统采用不同的检测方法和仪器。主要的系统如下:
一、通信网络系统
通信网络系统主要包括电话交换系统、会议电视系统、接入网设备、卫星数字电视和有线电视系统、公共广播和紧急广播系统及其他相关系统组成。电话交换系统、会议电视系统、接入网设备、卫星数字电视接收部分、有线电视频道输出电平、公共广播和紧急广播系统主机设备应全数进行检测,其余部分按照10%进行抽检,检测结果应符合设计要求,设备合格率应为100%合格。
1、电话交换系统的检测分为系统检查测试、初验测试和试运行验收测试三个阶段。系统检查测试应包括安装环境和设备安装验收检查、通电测试前硬件检查、硬件测试、系统工程测试、系统维护管理、网路支撑、模拟测试等内容;初验测试应包括基本功能、接通率、可靠性测试;试运行验收测试应在每个局间中继抽测2~3条电路的信令、接口及呼叫接续,进行联网运行测试,自动或人工进行故障诊断测试。
2、会议电视系统的检测包括安装环境检查、设备安装质量、系统测试、监测管理员系统和系统效果质量等。
3、接入网设备检测包括安装环境检查、设备安装验收检查、系统检测。
4、公共广播和紧急广播系统包括系统的安装质量、输出不平衡度和阻抗匹配,放声系统的合理分布,最高输出电平、输出信噪比、声压级和频宽,对响度、音色和音质的主观评价和系统音响效果的评价,系统功能检测。
5、其它系统的检测应符合国家相关标准及功能要求。
二、信息网络系统
信息网络系统主要包括计算机网络系统、应用系统和网络安全系统,该系统应全数进行检测,符合设计要求为合格,被检项目合格率为100%。
1、计算机网络系统检测应包括网络设备的质量、网络布线的质量、网络连通性质量、网络系统布局、网络系统设备参数配置、路由检测、容错功能、网络管理功能检测。
2、应用系统检测应包括应用系统硬件设备的检测、专用系统网络的布线和连通性检测、应用软件的检测。
3、网络安全系统的检测包括物理层安全检测、网络层安全检测、系统层安全检测、应用层安全检测和应用系统安全测试等内容。
三、建筑设备监控系统
建筑设备监控系统检测应在建筑给排水和暖通空调工程、建筑电气安装工程、电梯安装工程验收合格后进行。空调与通风系统检测应按照总数的20%抽检,且不得少于5台;每类机组不足5台时,应全数检测。变配电检测系统检测应按照20%抽检,且不得小于20点,当某类参数小于20点时,应全数检测;公共照明监控系统检测应按照照明回路总数的20%抽检,且数量不少于10路,当少于10路时,应全数检测;给排水系统检测应按照每类系统的50%抽检,且不得少于5套,当总数少于5套时应全数检测;热源与热交换系统、冷冻和冷却水系统、电梯和自动扶梯系统应全数进行检测;建筑设备监控系统与子系统的数据通信接口检测应全数进行检测,数据通信接口的检测应包括机电设备通信接口检测、子系统的通信接口检测、数据传输的准确性和实时性检测、对可控的子系统,检测系统对控制命令的响应情况;中央管理工作站和操作分站检测应全数检测,采用在中央管理工作站和操作分站观察和操作,现场设备运行状态合适的方法检测。对整个系统的检测要求符合设计要求,要求检测项目的合格率为100%
四、火灾自动报警和消防联动系统
火灾自动报警和消防联动系统的检测项目分为关键项、主要项和一般项。关键项是指直接关系到系统功能以及可能对人身安全造成危害的项目;主要项是指对系统的工程质量有重要影响,可能间接影响系统功能和可靠性的项目;一般项是指对系统的工程质量有轻微影响的项目。火灾自动报警和消防联动系统的检测包括系统布线的检查,火灾探测器和手动报警按钮检测,火灾报警控制器检测,消防通信和联动设备检测,消防水系统检测,气体灭火系统检测,泡沫灭火系统检测,防排烟和通风设备检测,钢质防火卷帘、挡烟垂壁和防火门检测,系统监控计算机和消防控制室检测。
五、安全防范系统
安全防范系统检测包括系统防范功能的综合评测,设防时候满足功能要求,重点防护目标的设防情况;系统设备的完好率、接入率和系统设备的运行等;安全防范系统各子系统间的联动响应;各子系统的图象和数据记录的完整性、存储图像的质量、存储时间等。包含视频监控系统检测、入侵报警系统检测、出入口控制(门禁)系统检测、巡更管理系统检测、停车场(库)管理系统检测、安全检查系统检测、安全防范综合管理系统检测。同时需要对设备的安装质量进行检查。
网络安全符合性评测报告篇7
21世纪将是一个网络的时代。在网络时代整个社会经济成为与电子商务紧密相连的网络经济。这种全球化、高速度、低成本、虚拟化、不断创新的经济模式改变了传统的企业管理模式、经营模式、会计模式,从而必然影响审计模式,导致新审计流程的产生。
一、网络经济下审计流程再造理论的构建
审计流程再造是指利用先进的网络技术手段,重塑现有的审计制度和审计组织体系、创造新的审计流程,它是审计创新的重要内容,也是本文研究的重点和归宿。
笔者认为,适应网络经济的新型审计流程可以如下构建:
(一)数据准备阶段
建立三大审计功能数据库:即审计对象数据库、审计程序数据库、审计文书数据库。
审计对象数据库包括属于该审计部门审计范围内各个单位的有关资料。将这些单位的基本情况备份,每次对这些单位审计后,将资料存入审计对象数据库,一方面备查,另一方面为下次审计提供资料,避免重复劳动。
审计程序数据库主要是输入、处理、输出数据。审计程序数据库根据审计信息使用者的需要设计若干审计程序,将这些审计程序分门别类的按照相应的地址存放,审计时根据需要输入指令提取。
审计文书数据库可按照各种可能的审计目的、审计信息需求者的各种可能要求,尽量多而完备地设计各种表格,使不同审计信息需求者能查阅格式相同、规范的审计结果,在各个表格的扩展部分再根据客户的需要灵活选择所需报告格式,制作出个性化的审计报告。
(二)审计准备阶段
审计准备阶段是整个审计工作的起点。对于任何一项审计工作,为了如期实现审计目标,审计人员都必须在实施审计程序之前,制定科学、合理的计划。一般来说,审计准备阶段的主要工作包括:调查了解被审计客户的基本情况;与其签订业务约定书;初步评价被审计客户的内部控制制度;确定审计重点和审计风险。
(三)审计实施阶段
审计实施阶段是根据审计计划确定的范围、要点、步骤和方法,运用审计程序数据库的处理程序进行取证评价,据以形成审计结论,实现审计目标的中间过程。主要包括符合性测试和实质性测试。具体程序构建如下:
1.获取充分、适当的审计证据。以互联网为基础,利用外部网访问审计客户所在网站,在取得被审企业的网络管理权限后可查询并复制重要的财务信息,为实施网络审计提供账项基础;访问审计客户的上游供应商、下游购货商及关联企业所在网站,取得往来单位的相关资料,为网上审计提供辅助信息;访问与审计客户相关的银行、税务、工商、邮政等部门网站,了解审计客户的支付能力和资信状况,并将重要会计信息返回审计对象数据库。
2.评价审计客户的内部控制体系。运用审计程序数据库的处理程序对被审系统内部控制体系的建立及遵守情况进行符合性测试;对系统处理功能及处理结果的正确性进行实质性测试;从制度和技术两方面对被审系统的软件开发、系统维护、操作管理、数据保密及计算机病毒的预防与清除等进行全面审查,最终对内部控制体系的有效性和可靠性做出正确评价。
3.利用现代化通信技术和决策分析方法,通过建立数据库和分析模型对审计客户的业务及财务数据进行量化的汇总统计、分析与论证,将处理结果输入审计文书数据库,编制审计工作底稿,辅助审计决策和结论的形成。
(四)审计终结阶段
审计终结阶段是实质性项目审计工作的结束。其主要工作有:整理评价审计证据、复核审计工作底稿;审计期后事项,汇总审计差异,提请审计客户调整相关事项,正确运用专业判断,形成正确审计意见;利用审计文书数据库出具规范化的审计报告文书,并通过网络向审计客户实时传输;被审计单位再在规定的时间通过网络将意见返回给审计单位;审计单位将最后修订结果输入审计文书数据库,形成正式的审计文件返回给委托人。
二、网络经济下审计流程存在的风险
全新审计流程的风险是指在网络经济下,对于会计报表存在的重大错报和漏报,审计人员运用全新审计流程审计后发表不恰当审计意见的可能性。全新审计流程依靠网络进行,相对传统审计流程,存在着以下风险。
(一)信息失窃、计算机病毒、黑客的入侵
信息丢失主要有三种原因:一是运行间的断电和死机等故障;二是计算机病毒破坏;三是人为的毁损。由于电子商务实行无纸化贸易,如果账务系统设计时考虑不周,可能到审计时才发现只留下业务处理的结果而不能追溯其来源,缺少审计线索。网络的安全问题包括软、硬件的安全、信息的安全和保密问题。一旦网络故障使会计信息丢失或受到人为的毁损又无法恢复,将无法进行审计。计算机黑客为了获取重要的商业秘密、数据资源,经常用ip地址欺骗攻击网络系统。黑客伪装为源自内部主机的一个外部站点,利用一定的技术进入目标系统窃取或破坏数据。计算机病毒和黑客攻击都可以从地球上任何一个角落通过网络威胁到会计信息系统的数据安全,使新型审计流程的固有风险增大。
(二)审计软件不完善
审计软件是审计人员开展具体审计工作的有效工具。目前,我国的审计软件尚处在开发阶段,从事审计软件(下转第48页)(上接第46页)开发的公司很少,并且在涉及到审计软件与财会软件的接口问题上、网络操作系统与应用系统的兼容问题上,还没有取得实质性的突破。而国外的审计软件在我国由于多种原因也得不到很好的运用,这些都在很大程度上阻碍了新型审计流程的应用。
(三)审计对象多,审计取证困难
在新型审计流程下,由于审计数量众多,审计内容比传统审计更加难以把握。一是审计的对象除手工环境下的审计对象外,还包括磁盘等信息载体,审计人员还要对会计信息系统本身进行审计,提高了审计工作的难度。二是审计内容的变化给审计工作带来巨大的冲击。如现金收付制将代替权责发生制,可变现净值将代替历史成本等都将增加审计风险,提高了审计工作的难度。同时,在传统审计中,审计证据都以纸质介质的形式存储,而在网络环境下,业务信息和财务信息都通过网络传输,电子符号代替了会计数据,磁介质代替了纸介质,审计人员通过在线访问、查询,获取无纸化审计线索的真实性、完整性、可靠性难以保证,审计取证更加困难,必将形成审计风险。
三、网络经济下审计流程风险的防范
在新型审计流程下,将出现比手工环境下更多的审计风险,审计机关和审计人员必须采取相应的防范措施对可能出现的风险进行防范。
(一)加强网络系统的安全控制评价
在网络运行中,信息的安全性和保密性构成审计风险防范和控制的重点,要加强对网站的审计。通过网站进行网上交易的安全问题是制约电子商务发展的关键,审计人员可以向进行电子商务的网站提供鉴证服务,即网站审计。对计算机会计信息系统的职责分离情况进行审查所遵循的原则仍为不相容职务必须分离,但是侧重数据输入、输出,软件开发和维护及系统程序修改和管理等之间的关系处理进行审计。对被审计单位网络结构进行分析和评价,是否设置外部访问区域,是否建立防火墙,是否实时监控,以确认防范篡改数据、黑客入侵、计算机病毒的能力。审计人员应在了解企业网络的基本情况、安全控制情况及潜在漏洞等基础上,对企业现存的安全控制措施进行测试。对被审计单位计算机会计系统容错处理机制,安全管理体制和安全保密技术等做深入了解,如是否有有效的口令控制,数据是否加密,职能权限的管理是否恰当,是否有持续的供电设备和有关的备份设备,从而正确评估控制风险。
(二)加快审计网络建设,编制适用的审计软件
要实施网络审计,必须先进行审计网络建设,审计网络是新型审计流程得以实施的基础。我国的网络经济、网络财务研究、软件开发和发达国家相比仍很落后,因此,审计网络建设不能一蹴而就。应该从易于实现的部分入手,有计划地在一段时间内逐步实现全面的网络审计;从经济较发达的地区开始,逐步试验、推广。此外,要充分利用计算机审计软件进行辅助审计。随着现代化技术在网络系统中的普及和应用,审计人员在实施审计的过程中,应根据网络的特点,选择科学合理的审计技术,充分利用各种计算机审计软件,有效地降低审计风险。一是利用审计法规管理软件对系统的合法性与合规性进行全面检查;二是利用审计接口软件获取充分适当的审计证据,减少审计风险;三是利用审计抽样软件进行符合性测试的属性抽样和实质性的变量抽样,根据样本测试结果,推断总体特征,提高审计工作效率。
(三)多渠道收集审计证据
网络安全符合性评测报告篇8
安全评估管理规定
第一条为规范开展互联网新闻信息服务新技术新应用安全评估工作,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《互联网新闻信息服务管理规定》,制定本规定。
第二条国家和省、自治区、直辖市互联网信息办公室组织开展互联网新闻信息服务新技术新应用安全评估,适用本规定。
本规定所称互联网新闻信息服务新技术新应用(以下简称“新技术新应用”),是指用于提供互联网新闻信息服务的创新性应用(包括功能及应用形式)及相关支撑技术。
本规定所称互联网新闻信息服务新技术新应用安全评估(以下简称“新技术新应用安全评估”),是指根据新技术新应用的新闻舆论属性、社会动员能力及由此产生的信息内容安全风险确定评估等级,审查评价其信息安全管理制度和技术保障措施的活动。
第三条互联网新闻信息服务提供者调整增设新技术新应用,应当建立健全信息安全管理制度和安全可控的技术保障措施,不得、传播法律法规禁止的信息内容。
第四条国家互联网信息办公室负责全国新技术新应用安全评估工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内新技术新应用安全评估工作。
国家和省、自治区、直辖市互联网信息办公室可以委托第三方机构承担新技术新应用安全评估的具体实施工作。
第五条鼓励支持新技术新应用安全评估相关行业组织和专业机构加强自律,建立健全安全评估服务质量评议和信用、能力公示制度,促进行业规范发展。
第六条互联网新闻信息服务提供者应当建立健全新技术新应用安全评估管理制度和保障制度,按照本规定要求自行组织开展安全评估,为国家和省、自治区、直辖市互联网信息办公室组织开展安全评估提供必要的配合,并及时完成整改。
第七条有下列情形之一的,互联网新闻信息服务提供者应当自行组织开展新技术新应用安全评估,编制书面安全评估报告,并对评估结果负责:
(一)应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能的;
(二)新技术、新应用功能在用户规模、功能属性、技术实现方式、基础资源配置等方面的改变导致新闻舆论属性或社会动员能力发生重大变化的。
国家互联网信息办公室适时新技术新应用安全评估目录,供互联网新闻信息服务提供者自行组织开展安全评估参考。
第八条互联网新闻信息服务提供者按照本规定第七条自行组织开展新技术新应用安全评估,发现存在安全风险的,应当及时整改,直至消除相关安全风险。
按照本规定第七条规定自行组织开展安全评估的,应当在应用新技术、调整增设应用功能前完成评估。
第九条互联网新闻信息服务提供者按照本规定第八条自行组织开展新技术新应用安全评估后,应当自安全评估完成之日起10个工作日内报请国家或者省、自治区、直辖市互联网信息办公室组织开展安全评估。
第十条报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,报请主体为中央新闻单位或者中央新闻宣传部门主管的单位的,由国家互联网信息办公室组织开展安全评估;报请主体为地方新闻单位或者地方新闻宣传部门主管的单位的,由省、自治区、直辖市互联网信息办公室组织开展安全评估;报请主体为其他单位的,经所在地省、自治区、直辖市互联网信息办公室组织开展安全评估后,将评估材料及意见报国家互联网信息办公室审核后形成安全评估报告。
第十一条互联网新闻信息服务提供者报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,应当提供下列材料,并对提供材料的真实性负责:
(一)服务方案(包括服务项目、服务方式、业务形式、服务范围等);
(二)产品(服务)的主要功能和主要业务流程,系统组成(主要软硬件系统的种类、品牌、版本、部署位置等概要介绍);
(三)产品(服务)配套的信息安全管理制度和技术保障措施;
(四)自行组织开展并完成的安全评估报告;
(五)其他开展安全评估所需的必要材料。
第十二条国家和省、自治区、直辖市互联网信息办公室应当自材料齐备之日起45个工作日内组织完成新技术新应用安全评估。
国家和省、自治区、直辖市互联网信息办公室可以采取书面确认、实地核查、网络监测等方式对报请材料进行进一步核实,服务提供者应予配合。
国家和省、自治区、直辖市互联网信息办公室组织完成安全评估后,应自行或委托第三方机构编制形成安全评估报告。
第十三条新技术新应用安全评估报告载明的意见认为新技术新应用存在信息安全风险隐患,未能配套必要的安全保障措施手段的,互联网新闻信息服务提供者应当及时进行整改,直至符合法律法规规章等相关规定和国家强制性标准相关要求。在整改完成前,拟调整增设的新技术新应用不得用于提供互联网新闻信息服务。
服务提供者拒绝整改,或整改后未达法律法规规章等相关规定和国家强制性标准相关要求,而导致不再符合许可条件的,由国家和省、自治区、直辖市互联网信息办公室依据《互联网新闻信息服务管理规定》第二十三条的规定,责令服务提供者限期改正;逾期仍不符合许可条件的,暂停新闻信息更新;《互联网新闻信息服务许可证》有效期届满仍不符合许可条件的,不予换发许可证。
第十四条组织开展新技术新应用安全评估的相关单位和人员应当对在履行职责中知悉的国家秘密、商业秘密和个人信息严格保密,不得泄露、出售或者非法向他人提供。
第十五条国家和省、自治区、直辖市互联网信息办公室应当建立主动监测管理制度,对新技术新应用加强监测巡查,强化信息安全风险管理,督导企业主体责任落实。
第十六条互联网新闻信息服务提供者未按照本规定进行安全评估,违反《互联网新闻信息服务管理规定》的,由国家和地方互联网信息办公室依法予以处罚。
网络安全符合性评测报告篇9
(1)培养学生综合运用所学知识,结合实际独立完成课题的工作能力.
(2)对学生的知识面,掌握知识的深度,运用理论结合实际去处理问题的能力,实验能力,外语水平,计算机运用水平,书面及口头表达能力进行考核.
2.要求
(1)要求一定要有结合实际的某项具体项目的设计或对某具体课题进行有独立见解的论证,并要求技术含量较高.
(2)设计或论文应该在教学计划所规定的时限内完成.
(3)书面材料:框架及字数应符合规定
3.成绩评定
(1)一般采用优秀,良好,及格和不及格四级计分的方法.
(2)评阅人和答辩委员会成员对学生的毕业设计或毕业论文的成绩给予评定.
4.评分标准
优秀:按期圆满完成任务书中规定的项目;能熟练地综合运用所学理论和专业知识;有结合实际的某项具体项目的设计或对某具体课题进行有独立见解的论证,并有较高技术含量.
立论正确,计算,分析,实验正确,严谨,结论合理,独立工作能力较强,科学作风严谨;毕业设计(论文)有一些独到之处,水平较高.
文字材料条理清楚,通顺,论述充分,符合技术用语要求,符号统一,编号齐全,书写工整.图纸完备,整洁,正确.
答辩时,思路清晰,论点正确,回答问题基本概念清楚,对主要问题回答正确,深入.
(2)良好:按期圆满完成任务书中规定的项目;能较好地运用所学理论和专业知识;有一定的结合实际的某项具体项目的设计或对某具体课题进行有独立见解的论证,并有一定的技术含量.立论正确,计算,分析,实验正确,结论合理;有一定的独立工作能为,科学作风好;设计〈论文〉有一定的水平.
文字材料条理清楚,通顺,论述正确,符合技术用语要求,书写工整.设计图纸完备,整洁,正确.
答辩时,思路清晰,论点基本正确,能正确地回答主要问题.
(3)及格:在指导教师的具体帮助下,能按期完成任务,独立工作能力较差且有一些小的疏忽和遗漏;能结合实际的某项具体项目的设计或对某具体课题进行有独立见解的论证,但技术含量不高.在运用理论和专业知识中,没有大的原则性错误;论点,论据基本成立,计算,分析,实验基本正确.毕业设计(论文)基本符合要求.
文字材料通顺,但叙述不够恰当和清晰;词句,符号方面的问题较少i图纸质量不高,工作不够认真,个别错误明显.
答辩时,主要问题能答出,或经启发后能答出,回答问题较肤浅.
(5)不及格:任务书规定的项目未按期完成;或基本概念和基本技能未掌握.没有本人结合实际的具体设计内容或独立见解的论证,只是一些文件,资料内容的摘抄.毕业设计(论文)未达到最低要求.
文字材料不通顺,书写潦草,质量很差.图纸不全,或有原则性错误.
答辩时,对毕业设计(论文)的主要内容阐述不清,基本概念糊涂,对主要问题回答有错误,或回答不出.
对毕业设计(论文)质量要求
----论文内容符合任务书要求
1.对管理类论文要求:
·对毕业论文的要求是一定要有结合实际的本人独立论证的内容.
·要求论点明确,立论正确,论证准确,结论确切
·论证内容要求有调查研究,有统计数据,对统计数据要有分析,归纳,总结,
·根据总结得出结论.
·最后有例证说明
管理类论文毕业论文行文的逻辑要领
增强毕业论文行文的逻辑力量,达到概念明确,论证充分,条理分明,思路畅通,是写好毕业论文的关键.提高毕业论文行文的逻辑性,需把握以下几点:
(1)要思路畅通
写毕业论文时,思维必须具有清晰性,连贯性,周密性,条理性和规律性,才能构建起严谨,和谐的逻辑结构.
(2)要层次清晰,有条有理写毕业论文,先说什么,后说什么,一层一层如何衔接,这一点和论文行文的逻辑性很有关系.
(3)要论证充分,以理服人,写毕业论文,最常用的方法是归纳论证,即用对事实的科学分析和叙述来证明观点,或用基本的史实,科学的调查,精确的数字来证明观点.
(4)毕业论文行文要注意思维和论述首尾一贯,明白确切.
(5)文字书写规范,语言准确,简洁.
2.对工程设计性论文要求:
·有设计地域的自然状况说明和介绍
·有原有通信网概况介绍及运行参数的说明
·有设计需求,业务预测
·有具体的设计方案
·有相应性能及参数设计和计算
·有完整的设计图纸
例如:a市本地SDH传输网设计方案
一,a市概况简介
二,a市电信局SDH传输网络现状(或pDH传输网络现状)
1,a市本地网网络结构,交换局数量及位置,传输设备类型及容量
2,存在的问题及扩大SDH网的必要性(或建设SDH网的必要性)----需求及业务预测
三,a市电信局SDH传输网络结构设计方案
1,网络拓扑结构设计
2,设备简介
3,局间中继电路的计算与分配
4,局间中继距离的计算
四,SDH网络保护方式
1,SDH网络保护的基本原理
2,a市电信局SDH网网络保护方式的选择及具体设计
五,SDH网同步
1,同步网概念与结构
2,定时信号的传送方式
3,a市电信局SDH网络同步方式具体设计
六,方案论证,评估
3.计算机类型题目论文要求:
管理信息系统
·需求分析(含设计目标)
·总体方案设计(总体功能框图,软件平台的选择,运行模式等)
·数据库设计(需求分析,概念库设计,逻辑库设计,物理库设计,e-R图,数据流图,数据字典,数据库表结构及关系),
·模块软件设计(各模块的设计流程),
·系统运行与调试.
·附主要程序清单(与学生设计相关的部分,目的是检测是否是学生自己作的).
校园网,企业网等局域网设计
·功能需求
·对通信量的分析
·网络系统拓扑设计
·设备选型,配置
·软件配置
·子网及VLan的划分
·ip地址规划
·接入internet
·网络安全
例如:××人事劳资管理信息系统的开发与设计
1,开发人事劳资管理信息系统的设想
(1)人事劳资管理信息系统简介
(2)人事劳资管理信息系统的用户需求
2,人事劳资管理信息系统的分析设计
(1)系统功能模块设计
(2)数据库设计
—数据库概念结构设计
—数据库逻辑结构设计
(3)系统开发环境简介
3,人事劳资管理信息系统的具体实现
(1)数据库结构的实现
(2)应用程序对象的创建
(3)应用程序的主窗口
(4)菜单结构
(5)数据窗口对象的创建
(6)登录程序设计
(7)输入程序设计
(8)查询程序设计
(9)报表程序设计
4,总结
设计报告格式与书写要求
·设计报告应按统一格式装订成册,其顺序为:封面,任务书,指导教师评语,内容摘要(200~400字),目录,报告正文,图纸,测试数据及计算机程序清单.
·报告构思,书写要求是:逻辑性强,条理清楚;语言通顺简练,文字打印清楚;插图清晰准确;文字字数要求1万字以上例如:(1)a市本地SDH传输网设计方案
一,a市概况简介
二,a市电信局SDH传输网络现状(或pDH传输网络现状)
1,a市本地网网络结构,交换局数量及位置,传输设备类型及容量
2,存在的问题及扩大SDH网的必要性(或建设SDH网的必要性)----需求及业务预测
三,a市电信局SDH传输网络结构设计方案
1,网络拓扑结构设计
2,设备简介
3,局间中继电路的计算与分配
4,局间中继距离的计算
四,SDH网络保护方式
1,SDH网络保护的基本原理
2,a市电信局SDH网网络保护方式的选择及具体设计
五,SDH网同步
1,同步网概念与结构
2,定时信号的传送方式
3,a市电信局SDH网络同步方式具体设计
六,方案论证,评估
(2)a地区GSm数字蜂窝移动通信系统网络优化设计方案
一,a地区GSm数字蜂窝移动通信现状
1,a地区概况;人口,地形,发展情况
2,系统现状;现有基站,话务状况
3,现行网络运行中存在的问题及分析
①接通率数据采集与分析
②掉话率数据采集与分析
③拥塞率数据采集与分析
4,话务预测分析计算
二,a地区GSm数字蜂窝移动通信系统网络优化设计方案
1,优化网络拓扑图设计
2,硬件配置及参数的优化
3,基站勘测设计及安装
4,交换局容量及基站数量
5,传输线路的设计
三,网络性能及分析对比
1,优化前网络运行情况
2,数据采集与分析
3,拨打测试
四,网络优化方案评价
(3)a市无线市话系统无线侧网络规划设计
一,无线市话网络概述
1,a市通信网络发展情况
2,ipaS网络特点
二,a市本地电活网络现状
1,现有传输网络结构
2,传统无线网络规划
三,无线网络规划设计方案
1,a市自然概况介绍
2,总体话务预测计算
3,ipaS网络结构设计及说明
4,覆盖区域划分,基站数量预测计算
(l〉每个覆盖区话务预测计算
(2)基站容量频道设计
5,基站选址,计算覆盖区域内信号覆盖情况
6,寻呼区的划分
(1〉各个网关寻呼区的划分
(2〉各个基站控制器寻呼区的划分
7,网关及CSC的规划
(1)网关到CSC侧2m链路设计
(2)CSC到CS线路设计
四,基站同步规划
(4)a市GSm无线网络优化
一,GSm网络概述
二,a市GSm网络情况介绍
2.1网络结构
2.2网元配置
2.3现网突出问题表现
三,GSm网络优化工作分类及流程
3.1GSm网络优化工作分类
3.2交换网络优化流程
3.3无线网络优化流程
3.3.1无线网络优化流程
3.3.2无线网络优化流程的实际应用
四,网络优化的相关技术指标
4.1接通率
4.2掉话率
4.3话务量
4.4长途来话接通率
4.5拥塞率
4.6其它
五,无线网络优化设计及调整
5.1网络运行质量数据收集
5.2网络质量优化及参数调整
网络安全符合性评测报告篇10
在过去的几年里,政府问责办公室对国土安全部能充分履行国家网络安全战略责任感到满意。但在谈到一些不足之处时,政府问责办公室对网络安全的关键领域提出了包括下表所列5个方面的30项建议。
虽然国土安全部尽最大努力满足网络安全职责各方面要求,但仍不能完全达到建议的要求,因此在这些领域需要采取进一步的行动。
由政府问责办公室确定的对网络安全关键领域需要改进的地方
1、加强网络的分析和预警能力。
2、行动期间严格完成网上演习。
3、改善网络安全控制系统的基础设施。
4、加强国土安全部恢复互联网中断的能力。
5、解决网络犯罪。
在涉及政府问责办公室的建议以及其他方面的关键战略时,政府问责办公室网络安全专家小组确定了12个需要改进的关键领域(见下表)。政府问责办公室发现,这些建议在很大程度上符合其报告,也很符合其在这方面大量的调查和经验。
由网络安全专家拟定的战略关键改进
1、确定具有明确战略目标、目的和重点的国家战略。
2、为领导和监督国家网络安全政策,建立白宫责任制和问责制。
3、建立战略执行的管理结构。
4、普及网络安全知识,提高网络安全意识。
5、建立负责任、有效的网络安全组织。
6、集中加强资产和职能的优化,评估网络安全存在的弱点,减少网络安全攻击,而不是发展更多额外计划。
7、通过改进价值观念和奖励机制加强政府和私人的合作关系。
8、多加重视解决全球的网络空间的问题。
9、加大对网络空间恶意破坏行活动的执法力度。
10、进一步加强于网络安全的研究和开发工作,包括考虑如何更好的协调政府和私营部门各方面的力量。
11、培养网络安全方面的骨干人才。
12、为联邦政府构建安全的网络模式,包括利用它已有的机能提升产品和服务的网络安全。
在政府问责办公室的建议之前,已经考虑了以上方面的建议。但政府和私人机构的基础设施仍不能得到充分的保护。因此,除了全面落实政府问责办公室的建议外,新政府在对国家网络安全战略做出决定时,他所考虑的改进方法是至关重要的。
政府问责办公室进行这项研究的意义
普遍且持续的网络攻击,使得联邦政府和私营部门的系统和业务以及一些关键的基础设施存在着潜在风险。考虑到这些威胁,布什总统了着力于改善全国网络安全的“2003年国家网络安全战略”及相关的政策指令。国会和相关部门,包括新内阁,随后都对战略进行了充分的审查,并指出需要改进之处。尽管如此,政府问责办公室认为这些领域依旧存在着高风险,而且,他们还作了有关执行全国网络安全战略所需的改良报告。
在这份材料中,政府问责办公室做出如下总结:(1)关于全国网络安全战略的报告和建议(2)专家对如何加强战略的观点。
政府问责办公室的建议
政府问责办公室之前已经提出了30项建议,大多数直接与国家领土安全局相关,重点在于增进我国的网络安全战略执行力度。国家领土安全局在很大程度上已经同意了政府问责办公室的建议,而且在某些方面对这一战略采取了措施。
尊敬的主席女士,委员会委员们:
谢谢你们给我一个机会,让我参加今天的关于讨论努力保护我们国家,以摆脱网络安全的威胁的听证会。普遍且持续的网络攻击,使得联邦政府和私营部门的系统和业务以及一些关键的基础设施存在着潜在风险。考虑到这些威胁,布什总统了着力于改善全国网络安全的“2003年国家网络安全战略”及相关的政策指令,包括政府系统和这些网络关键基础设施的持有和经营权的私营部门。由于这些威胁长期存在并有可能继续增加,我们于2007年8月成立了一个委员会-----第44届网络安全委员会,主席由两个国会议员和业界官员主持,其目的为了审查战略的充分性,确定在哪些领域需要改进。与此同时,布什政府开始提出包括联邦政府在内的旨在加强网络安全的一系列倡议。最近,在2009年2月,奥巴马总统开始了政府的整体网络安全战略审查和支持活动。
现在,应要求,我将谈谈以下几个问题:(1)关于国家网络安全的30项建议和相关成果的报告。(2)我们召集的专家小组讨论的关于如何加强我国战略及网络安全意识的相关结果。在准备这些材料的过程中,我们依据的是之前关于联邦政府履行国家网络安全职责的报告。这些报告对之前使用的方法和范围做出了详细概述。我们的观点是在讨论国家网络安全战略的效力和改良建议问题中达成一致的,并得到了网络安全专家的广泛认可。在小组讨论的综述中也提到,我们为所有的小组成员提供一次对我们的书面摘要进行评论的机会,而且他们的评论也将作为摘要的一部分。小组成员名单和他们的职位见目录i。我们的工作是2009年的2月和3月向华盛顿提交这些材料。这些材料中所进行的工作将按照政府普遍接受的审计标准进行的。
背景
政府官员都担心那些带有恶意攻击的个人或团体,比如罪犯、恐怖分子和外国的敌对势力。例如,在2009年2月,国家情报局局长表态说,一些国家和罪犯已经盯上了政府和私营部门的网络,以此获得竞争优势或对其进行潜在的破坏,恐怖组织也想利用网络手段来攻击美国。
联邦政府将制定了一项战略,以解决诸如此类的网络的威胁。具体来说,布什总统颁布了“2003年国家网络空间安全战略”和相关的政策指令,例如国土安全部总统第七号命令,这关系到是国家如何确保以计算机为基础的系统安全,包括政府系统和那些支持关键基础设施的持有和经营权的私营部门。这一战略和相关政策也将使国土安全部成为信息网络Cip的一个焦点,在这一领域他扮演多个领导角色,承担起应尽的责任。其中包括:(1)为Cip制定一个综合性的国家计划,包括网络安全在内;(2)培养和加强国家网络分析和预警能力;(3)提供和协调事件应对和恢复的规划,包括开展事故应变演习;(4)查明,评估和协助各方力量,以减少包括那些基础设施控制系统的网络威胁和脆弱性;(5)加强国家网络空间安全。另外,这一战略和相关政策指令指导国土安全部和其他利益相关者利用风险管理原则,将以整体和协调方式优化18个相关的重要基础设施部门的保护措施。
由于威胁持续和发展,布什总统在2008年2月开始采取一系列举措,通常称之为称为“综合国家网络安全计划(CnCi)”,其主要目的是为了提高国土安全部和其他的联邦机构抗干扰和预测未来威胁的能力。虽然这些倡议还没有公布,但国家情报局局长声称倡议包括了防御、进攻、研发、反间谍所取得的成就以及一个加强政府和个人合作关系的方案。随后,在2008年12月,网络安全委员会第44期主席报告指出,网络空间是一个紧迫的国家安全问题,报告还对战略和其执行方案的修改提出了25项建议。从那时起,奥巴马总统(2009年2月)对网络安全战略进行评估,并对此采取积极的行动。此次评价预计在2009年4月完成。
政府问责办公室对国家网络安全战略和其执行的关键方面的不足提出几点建议
在过去的几年里,我们已经就我国在完成网络安全战略的重要方面所作的努力提交了报告。特别是,从2005年到现在,我们不断报告国土安全部还没有完全履行它在战略中所指派的网络安全责任。为弥补这些不足,我们就表1所列的五个网络安全的关键领域提出了30项建议。国土安全部已经制定并采取了一些具体措施,以履行其网络安全各方面的义务,但该部还没有完全达到我们建议的要求,因此需要进一步采取行动来解决这些领域所存在的问题。
政府问责办公室确定的对网络安全关键领域需要改进的地方
1、加强网络的分析和预警能力
2、行动期间确保完成网上演习
3、改善网络安全控制系统的基础设施
4、加强国土安全部恢复互联网中断的能力
5、解决网络犯罪
报告指出,在2008年7月,国土安全部的计算机应急准备小组(US-CeRt)没有很好地解决15个关键网络分析和预警有关的问题,其中包括(1)监测网络异常活动,(2)对异常情况进行分析调查,确认它们是否受到威胁,(3)实时监控威胁,(4)应对威胁,(5)反击威胁。因此,我们认为,这15项建议,能充分提高国家战略的网络分析和预警能力。国土安全部很大程度上也认同我们的意见。
2008年9月,通过进行重大的网络攻击演练,即网络风暴,国土安全部在这次演习中已经取得了8项重要的进展。然而,此次行动的经验教训表明,问题尚未完全解决。具体来说,66项行动计划已经完成42项,安全局已经确定有16项正在进行,另外7项在不久也将施行。因此,我们建议,国土安全部安排并完成所有的纠正行动,以加强协调就重大网络事件问题上的公共部门和私营部门伙伴关系,国土安全部也认可我们的建议。到目前为止,国土安全部将继续完成一些相关工作,但也仅仅局限于安全部内部。
在2007年9月的报告和2007年10月所提供的材料中,我们指出,为确保国家战略需求,减少威胁和安全漏洞,国土安全部提出多种控制系统的安全措施,包括通过脆弱性评价和应急响应来提高网络使用的安全性。然而,国土安全部并没有制定出一项战略,以协调参与的各种控制系统活动的联邦政府和私营机构,而且它并不能有效共享联邦政府和私营机构控制系统的漏洞信息。因此,我们建议国土安全部制定出能确保控制系统安全的战略,建立一个快速和安全分享敏感控制系统漏洞信息的操作程序。国土安全部目前已经开始制定该计划并共享敏感漏洞信息。
我们的报告指出,为制定一个综合的政府和私营互联网复苏计划,安全部已经开始了展开国家安全战略任务的各种行动,这在2006年也得到证实。然而,这些努力是不够的。因此,我们建议国土安全部实施9个行动以改善安全局的能力,保障在遭到干扰时,能帮助政府和私人恢复互联网的使用。2007年10月,国家安全局开始执行我们的建议,但是只完成了其中的两项。到目前为止,政府和私营部门互联网恢复计划已经不复存在。
在2007年,我们认为,政府和私营部门在追捕网络犯罪方面面临着许多挑战,包括确保法律执行,对调查的充分分析和技术支持,以及对国内和跨国互联网犯罪的起诉。网络安全专家强调需出台重要举措以加强国家网络安全态势
除了我们建议改善国家网络安全战略及其执行情况外,还有专家对于这些问题和其他关键战略方面的意见,其中包括提出可改良的各个领域。包括前任联邦政府官员、学者、私营部门执行官在内的专家,提出了12个主要改良方案,他们认为,必须改善我国战略和网络安全态势。这些改善在很大程度上是符合我们的材料,也符合在这方面进行的广泛研究和经验。包括:
1、确定具有明确战略目标、目的和重点的国家战略。此战略应该包括(1)明确的战略目的,(2)为政府和私营部门提供可行的目标,(3)突出网络安全这一重点,(4)为将来安全网络空间提供一个设想,(5)争取联合联邦政府各部得力量,(6)量化战略进展过程,(7)进展不大时,为行动的执行和责任提供一个有效的保障。专家小组成员认为,CnCi提供了一套战略举措,以集中加强联邦政府网络安全的战略活动;然而,它并没有作为一个整体为国家提供战略目标、目的和重点。
2、为领导和监督国家网络安全政策,建立白宫责任制和问责制----该战略使国土安全部成为网络安全保障核心部门;然而,专家小组成员认为,国土安全部没起到预期的作用,对全国关注的网络安全提升也没有提供足够的指导。因此,小组成员指出,要取得成功,就要给国家和网络关键基础设施的私营业主表明,网络安全是一个重点项目,并由白宫亲自领导实行。另外,为了有效发挥其效用,政府必须树立权威----例如,对预算和资源采取适当的奖励办法,以刺激行动的进行。
3、建立战略执行的管理机构----管理机构包括18个关键的基础设施部门,相应的政府部门和协调理事会,跨部门委员会等。然而,根据小组成员的意见,管理机构是以政府为中心,很大程度上依赖个人以达到信息共享和行动的实行。此外,虽然所有行业就网络功能而言并不具有同等重要性,但管理机构应对他们同等对待。为了确保战略改良计划的有效执行,专家建议,管理机构应该包括高级管理委员会代表(例如,国防部,国土安全部、司法局、州政府、财政部和白宫)和关键网络资产和功能的私营部门领导。专家小组成员也建议委员会的责任应该包括衡量和定期报告目标、任务和战略重点的进展,在进展不大时,督促各方面加快进度。
4、普及网络安全知识,提高网络安全意识----虽然该战略确定网络空间安全意识作为重点,专家指出,许多在商业和政府任职的,包括在国会就职的国家领导人,他们有能力为网络安全提供资金帮助,但大多数人网络安全意识不高,没有认识到网络安全引发国家和经济安全风险的严重性。专家组成员建议,应积极向领导者和普通民众宣传网络安全的重要性。
5、建立负责任的有效的网络安全组织----国土安全部创立了国家网络安全局(下属于网络安全部和通信部),负责领导国家日常的网络安全。然而,小组成员认为,这个部门并不能使国土安全部成为预期核心力量。小组成员声称,目前,国防部和其他情报部门有能力左右联邦的决定。他们说,他们也需要一个独立的网络安全组织来促进和联合私营部门、政府、执法机构、军队和情报部门以及国际盟友,合力解决全国重要的网络系统和职能问题。但是,网络安全组织应该如何处理这个问题,我们专家组成员没有达成共识。
6、集中加强资产和职能的优化,评估网络安全存在的弱点,减少网络安全攻击,而不是发展更多额外计划----该战略建议采取更多的行动来查明重要的网络资产和职能,但是专家组成员声称对国家重要的网络资产和职能进行检查的力度还不够。小组成员认为,对网络关键基础设施保护工作所作的努力,列出重要资产的清单,就目前而言是基于个人或团体意愿进行的。此外,目前的战略将以减少弱点作为重中之重;可是,评定和减少现有的弱点所做出的努力还是不够的。他们认为,必须采取更多行动才能识别和消除常见的弱点,而且对关键网络资产和职能应该具备有效的评估手段。
7、通过改进价值观念和奖励机制加强政府和私人的合作关系----虽然该战略激发了重要网络资产和职能的所有者和控制者采取行动,但是小组成员认为,网络安全工程需要更多的投资和更多人参与进来,目前的经济及其他激励制度远远不够。因此,小组成员指出,联邦政府应该提供有价值的服务(例如提供有用的威胁或是预警分析信息)或是奖励(例如发放津贴或是减免税款)来鼓励私人参与合作。他们还建议政府和私营部门能够使用一些像成本-利润分析这样的方法,来确保网络安全相关有限资源的高效利用。
8、多重视解决全球的网络空间的问题----该战略包括处理国际方面的网络空间安全问题。但是根据小组专家所说,美国并没有涉及网络空间如何管理和控制这一全球问题。他们认为,当其他国家正在积极参与制定条约、建立标准、以及推行国际协定(如隐私权)时,美国没有积极协作来确保国际协定符合美国的利益,有利于解决网络安全和网络犯罪问题。小组成员认为,美国应该摆出更加积极合作的姿态,这样可以让美国在国际合作中有一席之地,并能加强政府部门之间的合作,其中包括法律的实施。此外,一名成员还说,美国在网络安全战略上应该与全球应达成共识。
9、加大对网络空间恶意破坏行活动的执法力度----战略倡议加强国内外审查合作和促进各国就追捕网络犯罪达成一致意见。据一个小组成员所说,在国内,相关法律已经做出修改(例如,2008年通过的“未成年儿童行为保护法”),但是这只是整个工作过程中的一小部分。他还说,目前国内外的法律实行,包括行动、手续、方法和法律本身,已经太过时,不能适应现在高技术犯罪个人或团体,例如罪犯、恐怖分子和恶意目的的敌对国家。有必要加大法律的实施力度,加大对进行恶意破坏行为的个人或团体的打击力度。
10、进一步加强于网络安全的研究和开发工作,包括考虑如何更好的协调政府和私营部门各方面的力量----虽然该战略建议采取措施,实现进一步的研究和开发工作,努力协调政府和私营部门各方面力量,但专家指出,美国对此没有将充分投入资金集中进行研究,没有集中考虑新一代的网络空间及网络空间安全问题。另外,对正在进行的研究和开发工作,目前没有协调好政府和私营机构的各方力量。
11、培养网络安全骨干人才----该战略的任务包括增加网络安全专业人员的数量和提高他们的技能。但是,根据小组成员认为,目前此方面的专业人员人数还是不够,包括信息安全专家和网络犯罪侦探。专家组成员指出,要采取进一步的行动,增加符合网络安全技能要求的专业人才,包括(1)加大现有的奖学金的规模(例如增加服务奖学金)(2)通过测试和批准进行网络安全专业训练。
12、为联邦政府构建安全的网络模式,包括利用它已有的机能提升产品和服务的网络安全----战略将确保政府的网络空间的安全作为重点,并通过联邦政府现有的资产来实现。虽然联邦政府逐步加强各部门的网络安全,但小组成员认为,这还算不上是一个网络安全模型。此外,他们表示,联邦政府没转变现有资产的功能,在这方面对政府官员也没有进行有效的训练,因此其购买、使用的产品和服务的网络安全效率没有得到提升。
总的来说,我国正在遭受着计算机网络攻击,目前的战略以及改良措施在缓解威胁方面没有起到很大的作用,这正是国土安全部需采取进一步行动,充分履行我们的建议,以解决关键网络安全领域问题的原因之一。另外,旨在改进计算机网络安全的改进方案也得到权威专家的肯定,但是重要的国家部门和私营部门基础设施系统依旧处于网络安全威胁之中。关键性的改良,包括制定国家战略,这一战略要求能清楚体现出战略的目的,目标和重点;建立白宫领导权;加强管理;创立一个有能力负责任的领导组织。即使这些建议及改进措施实施后,联邦政府和私营部门的重要基础设施系统仍是敌对分子的攻击的目标。因此,除了充分执行我们的建议外,至关重要的是,奥巴马当局在重新审视网络安全战略时应对此做出改进,并下决心向前迈进。
主席女士,我的发言到此结束。我很乐意回答您和小组委员会成员的相关提问。
如果您对上述报告有任何疑问的话,请联系(202)512-9286,或发送电子邮件至pownerd@gao.gov。这份报告的其他主要贡献者包括布拉德利·贝克,尔卡米·查尔斯,迈克尔·吉尔莫,南希·格罗乌尔,库什·马罗特拉,加里·蒙乔伊,李麦·克拉肯和安德鲁斯·塔维斯基。