1.引言

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡逐漸成為完成業(yè)務工作不可或缺的手段，很多政府、銀行、企業(yè)紛紛將核心業(yè)務基于網(wǎng)絡來實現(xiàn)。然而，網(wǎng)絡的不斷普及帶來了大量的安全問題。目前全球數(shù)據(jù)泄密事件53.7%的是由于人為疏忽造成，15.8%是由內(nèi)部惡意竊密，23.3%是由于黑客等外部攻擊行為造成，7.2%是由于意外造成的數(shù)據(jù)丟失。根據(jù)IDC數(shù)據(jù)顯示，內(nèi)部泄密事件從46%上升到了67%，而病毒入侵從20%，下降到5%。

2.信息安全審計定義及作用

2.1信息安全審計定義

信息安全審計是針對網(wǎng)絡用戶行為進行管理[1]，綜合運用網(wǎng)絡數(shù)據(jù)包獲取、協(xié)議分析、信息處理、不良流量阻斷等技術實現(xiàn)對網(wǎng)絡信息內(nèi)容傳播的有效監(jiān)管。它能夠幫助用戶對網(wǎng)絡進行動態(tài)實時監(jiān)控，記錄網(wǎng)絡中發(fā)生的一切，尋找非法和違規(guī)行為，為用戶提供事后取證手段。

2.2信息安全審計的作用

摘要：隨著IT系統(tǒng)不斷成熟及廣泛的應用，給電網(wǎng)企業(yè)中的工作帶來規(guī)范、便捷、高效的辦公流程和業(yè)務模式之余，安全問題也隨之而來，預防難、控制難、追溯難等問題威脅著電網(wǎng)企業(yè)信息中心的安全。因此，為了預防、控制、追溯這些不安全因素，運維安全審計的建設在電網(wǎng)企業(yè)中提上了日程。

關鍵詞：安全審計；應用；建設

一、概述

運維安全審計是為企業(yè)各類應用提供統(tǒng)一的賬號管理平臺，同時建立包含賬號創(chuàng)建、變更、刪除等整個生命周期在內(nèi)的管理制度和技術手段，以改變目前各應用系統(tǒng)自行管理賬號、政出多門的情況,，以及能夠跟蹤行為人的操作記錄并以日志和視頻方式記錄。

二、系統(tǒng)特征

（一）技術路線。運維安全審計采用了MVC分層設計及SOA的設計思想，使用web程序與組件結合發(fā)方式，web程序在框架設計上采用SSH框架結構，并在此基礎上使用了ICA、UDP等協(xié)議作為層間交互。為了系統(tǒng)的靈活部署和特定功能實現(xiàn)，軟堡壘機、密碼代填等組件的技術選型使用了C++開發(fā)語言。（二）體系結構。運維安全審計從物理部署上采用三層架構，客戶端辦公域、虛擬化資源池及實際機房，其中虛擬化資源池承載著應用服務器、citrix服務器及審計組件。（三）技術難點。運維安全審計除物理機其他服務器均為虛擬機，因此在Hypervisor核心虛擬化技術上存在一定難點。如：I/O指令或其他特權指令引發(fā)的處理器異常、虛擬化應用中斷等。

【摘要】在社會發(fā)展建設的過程中，企業(yè)應當順應行業(yè)發(fā)展的趨勢，引進計算機信息系統(tǒng)，對可能出現(xiàn)的信息安全問題進行全面管控。本文分析了企業(yè)在搭建計算機信息系統(tǒng)過程中容易遇到的安全問題，基于數(shù)據(jù)安全審計的目標完善計算機系統(tǒng)的構建，在技術上拓展企業(yè)信息管理的先進性和可持續(xù)性。

【關鍵詞】企業(yè)；計算機信息系統(tǒng)；數(shù)據(jù)安全；審計

1引言

企業(yè)的發(fā)展應當順應社會趨勢。信息時代，計算機信息系統(tǒng)的運用給企業(yè)帶來了便捷的管理形式，在管理便利的過程中，信息數(shù)據(jù)安全就成了企業(yè)搭建計算機信息系統(tǒng)非常重要的問題[1-2]。在數(shù)據(jù)庫建立的過程中，做好數(shù)據(jù)信息安全審計，有助于提升數(shù)據(jù)管理，提高企業(yè)的管理水平。

2數(shù)據(jù)安全審計在企業(yè)計算機信息系統(tǒng)中的重要作用

在計算機系統(tǒng)搭建的過程中，軟件、硬件以及數(shù)據(jù)安全都影響著企業(yè)的整體安全管理，做好數(shù)據(jù)安全審計，防止企業(yè)的電子數(shù)據(jù)泄露，也能夠做好數(shù)據(jù)保密性，防止數(shù)據(jù)被非法修改以及刪除。通過數(shù)據(jù)的安全審計，企業(yè)可以在信息管理的過程中做好數(shù)據(jù)的安全保障，包括數(shù)據(jù)保密、數(shù)據(jù)完整以及數(shù)據(jù)綜合管理的需要[1]。在綜合數(shù)據(jù)管理的過程中，計算機網(wǎng)絡信息系統(tǒng)建立在一個安全的子系統(tǒng)上，全系統(tǒng)對數(shù)據(jù)合法性進行甄別，對所有的非法篡改操作進行鑒別。數(shù)據(jù)安全設計既是安全防范的最后環(huán)節(jié)，也是安全防護的重要環(huán)節(jié)。數(shù)據(jù)安全審計在信息系統(tǒng)安全防范過程中，對惡意以及非惡意的操作進行數(shù)據(jù)甄別以及補救。數(shù)據(jù)安全審計的應用可以降低計算機系統(tǒng)受到內(nèi)外威脅的概率，及時補救數(shù)據(jù)錯誤甄別，優(yōu)化信息系統(tǒng)的管理，確保企業(yè)管理質(zhì)量。

計算機會計信息系統(tǒng)實現(xiàn)網(wǎng)絡處理后,由于系統(tǒng)的入口增多,操作人員和信息使用者干預系統(tǒng)的機會增大,系統(tǒng)面臨的安全隱患也必然增多。尤其隨著Internet/Intranet的應用,外部日益擴大的網(wǎng)絡環(huán)境對會計信息系統(tǒng)本身及其安全又將產(chǎn)生更大的影響,不僅影響傳統(tǒng)的會計業(yè)務處理及信息的披露方式,而且安全方面會產(chǎn)生更多的不確定因素。除了計算機軟硬件的不安全因素之外,會計信息系統(tǒng)還將面臨人文方面的更大風險,例如來自不法之徒的風險就有:

1利用網(wǎng)絡及安全管理的漏洞窺探用戶口令或電子帳號,冒充合法用戶作案,篡改磁性介質(zhì)記錄竊取資產(chǎn)。

2利用網(wǎng)絡遠距離竊取企業(yè)的商業(yè)秘密以換取錢財,或利用網(wǎng)絡傳播計算機病毒以破壞企業(yè)的信息系統(tǒng)。

3建立在計算機網(wǎng)絡基礎上的電子商貿(mào)使貿(mào)易趨向“無紙化”,越來越多的經(jīng)濟業(yè)務的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結算單及其它帳單,就有可能將公私財產(chǎn)的所有權進行轉(zhuǎn)移。

計算機網(wǎng)絡帶來會計系統(tǒng)的開放與數(shù)據(jù)共享,而開放與共享的基礎則是安全。企業(yè)一方面通過網(wǎng)絡開放自己,向全世界推銷自己的形象和產(chǎn)品,實現(xiàn)電子貿(mào)易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財務秘密,而其中已實現(xiàn)了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創(chuàng)造一個安全的環(huán)境,抵抗來自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開放的放開共享,該封閉的要讓黑客無奈。

一、網(wǎng)絡安全審計及基本要素

計算機會計信息系統(tǒng)實現(xiàn)網(wǎng)絡處理后,由于系統(tǒng)的入口增多,操作人員和信息使用者干預系統(tǒng)的機會增大,系統(tǒng)面臨的安全隱患也必然增多。尤其隨著Internet/Intranet的應用,外部日益擴大的網(wǎng)絡環(huán)境對會計信息系統(tǒng)本身及其安全又將產(chǎn)生更大的影響,不僅影響傳統(tǒng)的會計業(yè)務處理及信息的披露方式,而且安全方面會產(chǎn)生更多的不確定因素。除了計算機軟硬件的不安全因素之外,會計信息系統(tǒng)還將面臨人文方面的更大風險,例如來自不法之徒的風險就有:

1利用網(wǎng)絡及安全管理的漏洞窺探用戶口令或電子帳號,冒充合法用戶作案,篡改磁性介質(zhì)記錄竊取資產(chǎn)。

2利用網(wǎng)絡遠距離竊取企業(yè)的商業(yè)秘密以換取錢財,或利用網(wǎng)絡傳播計算機病毒以破壞企業(yè)的信息系統(tǒng)。

3建立在計算機網(wǎng)絡基礎上的電子商貿(mào)使貿(mào)易趨向“無紙化”,越來越多的經(jīng)濟業(yè)務的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結算單及其它帳單,就有可能將公私財產(chǎn)的所有權進行轉(zhuǎn)移。

計算機網(wǎng)絡帶來會計系統(tǒng)的開放與數(shù)據(jù)共享,而開放與共享的基礎則是安全。企業(yè)一方面通過網(wǎng)絡開放自己,向全世界推銷自己的形象和產(chǎn)品,實現(xiàn)電子貿(mào)易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財務秘密,而其中已實現(xiàn)了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創(chuàng)造一個安全的環(huán)境,抵抗來自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開放的放開共享,該封閉的要讓黑客無奈。

一、網(wǎng)絡安全審計及基本要素

摘要：介紹道路安全審計的定義、目標、作用、審計內(nèi)容和要素等，通過對山區(qū)道路安全審計現(xiàn)狀的分析，提出了一些解決方法與步驟，為預防和減少山區(qū)道路中的事故發(fā)生頻率提供了一些理論依據(jù)。

關鍵詞：山區(qū)道路；安全審計；內(nèi)容；步驟

道路安全審計(RoadSafelyAudits,簡稱RSA)是從預防交通事故、降低事故產(chǎn)生的可能性和嚴重性人手，對道路項目建設的全過程，即規(guī)劃、設計、施工和服務期進行全方位的安全審核，從而揭示道路發(fā)生事故的潛在危險因素及安全性能，是國際上近期興起的以預防交通事故和提高道路交通安全為目的的一項新技術手段。其目標是：確定項目潛在的安全隱患；確保考慮了合適的安全對策；使安全隱患得以消除或以較低的代價降低其負面影響，避免道路成為事故多發(fā)路段；保障道路項目在規(guī)劃、設計、施工和運營各階段都考慮了使用者的安全需求，從而保證現(xiàn)已運營或?qū)⒔ㄔO的道路項目能為使用者提供最高實用標準的交通安全服務。

一、道路安全審計的起源與發(fā)展

1991年，英國版的《公路安全審計指南》問世，這標志著安全審計有了系統(tǒng)的體系。從1991年4月起，安全審計成為英國全境主干道、高速公路建設與養(yǎng)護工程項目必須進行的程序，使英國成為安全審計的重要發(fā)起與發(fā)展國。而我國則是在20世紀90年代中期開始發(fā)展安全審計，主要有兩個渠道：①以高等院校為主的學者通過國際學術交流與檢索國外文獻，從理論體系的角度引入道路安全審計的理論；②通過世界銀行貸款項目的配套科研課題。在工程領域開展道路安全審計的實踐。

目前，在澳大利亞、丹麥、英國、冰島、新西蘭和挪威等國已定期地執(zhí)行道路安全審計，德國、芬蘭、法國、意大利、加拿大、荷蘭、葡萄牙、泰國以及美國正處于實驗或試行階段，其他許多國家也在就道路安全審計的引入進行檢驗，比如希臘等國家。國外研究表明，道路安全審計可有效地預防交通事故，降低交通事故數(shù)量及其嚴重度，減少道路開通后改建完善和運營管理費用，提升交通安全文化，其投資回報是15～40倍。

編者按：本文主要從引言；安全審計概念；主機審計系統(tǒng)設計；結束語四個方面進行論述。其中，主要包括：網(wǎng)絡與信息系統(tǒng)安全問題逐漸成為人們關注的焦點、整個網(wǎng)絡安全的薄弱環(huán)節(jié)往往出現(xiàn)在終端用戶、傳統(tǒng)的安全審計多為“日志記錄”、體系架構：主機審計能夠分不同的角色來使用、安全策略管理：不同的安全策略得到的審計信息不同；主機審計的安全策略由控制中心統(tǒng)一管理、審計主機范圍：涉密信息系統(tǒng)劃分為不同安全域、主機行為監(jiān)控、綜合審計及處理措施：系統(tǒng)的安全隱患可以從審計報告反映出來;一個涉密網(wǎng)往往由不同的操作系統(tǒng)、服務器、涉密系統(tǒng)的終端安全管理是一個非常重要的問題等，具體材料請詳見。

摘要：從系統(tǒng)的、整體的、動態(tài)的角度，參照國家對主機審計產(chǎn)品的技術要求和對部分主機審計軟件的了解，結合實際的終端信息安全管理需求，從體系架構、安全策略管理、審計主機范圍、主機行為監(jiān)控、綜合審計及處理措施等方面提出主機審計系統(tǒng)的設計思想，達到對終端用戶的有效管理和控制。

關鍵詞：涉密網(wǎng)絡；安全審計；主機審計；系統(tǒng)設計

1引言

隨著網(wǎng)絡與信息系統(tǒng)的廣泛使用，網(wǎng)絡與信息系統(tǒng)安全問題逐漸成為人們關注的焦點。

涉密網(wǎng)與因特網(wǎng)之間一般采取了物理隔離的安全措施，在一定程度上保證了內(nèi)部網(wǎng)絡的安全性。然而，網(wǎng)絡安全管理人員仍然會對所管理網(wǎng)絡的安全狀況感到擔憂，因為整個網(wǎng)絡安全的薄弱環(huán)節(jié)往往出現(xiàn)在終端用戶。網(wǎng)絡安全存在著“木桶”效應，單個用戶計算機的安全性不足時刻威脅著整個網(wǎng)絡的安全[1]。如何加強對終端用戶計算機的安全管理成為一個急待解決的問題。

摘要：從系統(tǒng)的、整體的、動態(tài)的角度，參照國家對主機審計產(chǎn)品的技術要求和對部分主機審計軟件的了解，結合實際的終端信息安全管理需求，從體系架構、安全策略管理、審計主機范圍、主機行為監(jiān)控、綜合審計及處理措施等方面提出主機審計系統(tǒng)的設計思想，達到對終端用戶的有效管理和控制。

關鍵詞：涉密網(wǎng)絡；安全審計；主機審計；系統(tǒng)設計

一、引言

隨著網(wǎng)絡與信息系統(tǒng)的廣泛使用，網(wǎng)絡與信息系統(tǒng)安全問題逐漸成為人們關注的焦點。

涉密網(wǎng)與因特網(wǎng)之間一般采取了物理隔離的安全措施，在一定程度上保證了內(nèi)部網(wǎng)絡的安全性。然而，網(wǎng)絡安全管理人員仍然會對所管理網(wǎng)絡的安全狀況感到擔憂，因為整個網(wǎng)絡安全的薄弱環(huán)節(jié)往往出現(xiàn)在終端用戶。網(wǎng)絡安全存在著“木桶”效應，單個用戶計算機的安全性不足時刻威脅著整個網(wǎng)絡的安全。如何加強對終端用戶計算機的安全管理成為一個急待解決的問題。

本文從系統(tǒng)的、整體的、動態(tài)的角度，參照國家對安全審計產(chǎn)品的技術要求和對部分主機審計軟件的了解，結合實際的信息安全管理需求，討論主機審計系統(tǒng)的設計，達到對終端用戶的有效管理和控制。

1營銷安全的含義及必要性分析

1.1營銷安全從營銷工程的角度來看，營銷安全是指營銷線上的營銷流不會因為來自企業(yè)內(nèi)部和外部的某些因素的沖擊而使流量減少、流速減慢。從普通營銷學角度來看，是指在企業(yè)營銷過程中，企業(yè)不會因為受來自企業(yè)內(nèi)部和外部的營銷風險或營銷威脅的影響，引發(fā)嚴重的營銷事故或營銷危機，造成企業(yè)的營銷損失或營銷失敗，從而保持的可持續(xù)營銷狀態(tài)。

企業(yè)營銷活動，實質(zhì)上是營銷流在營銷線上的運動過程。這個過程，有其自身的運動規(guī)律，并由一系列要素支撐著。當這些要素保持穩(wěn)定時，營銷流就能正常地運行，而當這些要素發(fā)生變化時，企業(yè)就必須采取相應的應變措施，以適應新的形勢，保持營銷活動的正常運行。若這些要素發(fā)生變化時，企業(yè)并未明顯的意識到，或曾意識到了，卻未果斷采取措施，就會形成營銷危機。因此，企業(yè)必須加強營銷安全管理。

1.2加強營銷安全管理的必要性企業(yè)在營銷過程中加強營銷安全管理，可以降低營銷危機和營銷事故的產(chǎn)生。營銷危機是來自企業(yè)內(nèi)部或外部的某些要素對營銷流正常運行過程中的一種威脅狀態(tài)。這種狀態(tài)一旦產(chǎn)生作用，營銷流的正常運動就會受到影響，就會演變成營銷事故。營銷事故是營銷流運動過程中出現(xiàn)的破壞性事件。

僅08年上半年，我國就有6.7萬家規(guī)模以上的中小企業(yè)倒閉，破產(chǎn)企業(yè)數(shù)量較去年同期有大幅增長，可見我國企業(yè)面對危機時在營銷過程中的不足。與我國類似的，全球破產(chǎn)企業(yè)數(shù)量也呈持續(xù)上漲趨勢，這就告訴我們在企業(yè)營銷過程中推行營銷安全管理已成必然趨勢。系統(tǒng)分析影響營銷安全的基本因素，全面建立企業(yè)營銷安全的預警系統(tǒng)和防護系統(tǒng)，從而即可防止營銷危機和營銷事故的發(fā)生。

2營銷安全的基本內(nèi)容

1信息安全的組成

1.1網(wǎng)絡安全

網(wǎng)絡安全主要通過硬件防火墻及防病毒系統(tǒng)來實現(xiàn)。硬件防火墻可以將整個網(wǎng)絡有效分隔為內(nèi)部網(wǎng)絡、外部網(wǎng)絡以及中立區(qū)，通過對每個區(qū)域配置不同的安全級別，可以保證核心業(yè)務系統(tǒng)的安全。防病毒系統(tǒng)用于保護整個網(wǎng)絡避免受到病毒的入侵。

1.2數(shù)據(jù)安全

數(shù)據(jù)安全包括數(shù)據(jù)備份恢復、數(shù)據(jù)庫安全管理、訪問控制以及系統(tǒng)數(shù)據(jù)加密。數(shù)據(jù)存儲以及關鍵應用服務器均按照硬件冗余和數(shù)據(jù)備份方式配置。數(shù)據(jù)庫系統(tǒng)通過數(shù)據(jù)庫權限控制、身份認證、審計以及檢查數(shù)據(jù)完整性和一致性加以保護。訪問控制通過劃分不同的VLAN以及設置訪問控制列表，對主機之間的訪問進行控制。系統(tǒng)數(shù)據(jù)加密考慮備份數(shù)據(jù)及傳輸數(shù)據(jù)進行加密，保證系統(tǒng)專有信息的安全及保護。

2系統(tǒng)現(xiàn)狀