财政信息化建设中的计算机安全审计探索.pdfVIP

黼麟掰 审计垂龋 财政信息化建设中的计算机安全审计探索 蓝娟娟 海口市财政信息中心 【摘 要】信息技术的发展不仅影响着人们的生活方式，而且也影响着社会生活，相应地，政府部门的运作方式也发生了变化。在 “信 息高速公路”的应用领域中，电子政务首当其冲，而实现社会信息化的基础性条件则是实现国家政务的信息化。在当今高速发展的信息 化时代，电子政务作为一种政务活动的新型表现方式，其安全性更应受到重视。 【关键词】财政信息化 ；计算机安全审计 ；探索 近年来，财政信息化建设不仅为财政改革提供了重要的基础和 得企图入侵的不法分子产生畏惧心理从而慎行，也使得一般用户由 条件，更有力地支撑和促进了财政改革。随着财政改革的不断向纵 于无心导致的影响系统安全性的行为大大减少。 深推进，财政业务系统的规模不断增加，功能越复杂，风险也就 (4)要保证审计系统自身的安全性 越大，对计算机系统和应用系统的安全较高。因此，有必要为财政 要想保证系统本身的安全陛，需要从两个方面着手 ：首先，要 系统配备专门的安全审计系统，切实保障财政信息化的发展。 保证操作系统和操作软件处于安全的状态 ；其次，也要保证审计信 文章分析了计算机系统安全审计的层次和要求，同时还总结了 息处于安全的状态。通常情况下，审计系统要与其他的安全策略相 计算机安全审计的方法和问题，希望能够提供相应的指导。 结合来实现保证 自身安全性的目的。 一 、 有关计算机安全审计的涵义 三、常见的计算机安全审计的方法 计算机安全审计包含两个层次的涵义 ：第一，是将现代社会的 1．以规则库作为参照物的方法 科学信息技术与国家审计技术相结合，系统地、全面地检验、证实 采用这种方法的安全审计比较普遍，其工作原理为 ：首先， 和评价产生经济信息的信息系统，是对所有的经济信息进行鉴别、 提取入侵行为的基本特征 ；其次，用脚本语言对这些特征进行编 核实的一种审计活动。第二，是相关的审计人员对这些经济信息的 程入库 ；最后，将收集到的信息、数据等与规则库中已存入的入 来源——计算机信息系统的安全度以及可靠度进行检验、证实和评 侵行为特征进行对比，则与库中类似的特征信息可能就是潜在的 价的一种审计活动。 不法行为。这种类型的计算机安全审计采用对比法和匹配法将一 二、计算机系统安全审计的层次与基本要求 些信息和数据进行过滤，这种方法检测入侵行为的准确率相对来 1．计算机安全审计的层次 说比较高，其运作思路类似于一些预防病毒入侵的软件和防火墙 根据安全要求和安全策略的不同，所采取的计算机系统安全审 的运作思路。 计技术也有所不同。通常情况下，计算机系统安全审计分为三个层 2．以数理统计为基础的方法 次 ：针对网络层、系统层以及信息内容的安全审计工作。 这种方法的工作原理是 ：首先，要对网络流量平均值或者方差 (1)网络层审计工作的安全问题 等统计量进行一个具体的描述，并将这些统计量的正常数值进行统 有关该层次的安全审计问题的核心体现是网络的安全性，其安 计 ；其次，将实际的网络数据包与统计出的数值与进行比较，当二 全性的保障主要依靠防火墙、网络的监控系统以及病毒入侵的检测 者之间产生了差值时，则认为存在攻击现象发生的可能性。当然， 系统来实现。网络方面的安全性包括诸多方面，比如说 ：身份的认 数理统计也具有局限性，其最大的不足在于无法科学公正地设定统 证，资源的访问受控以及数据的完整保存与秘密传输等。 计数值正常与非正常的分界线。通常情况下，管理人员都是凭借自 (2)系统层审计工作的安全问题 己的过往经验来界定统计量的阈值，容易出现对信息的漏报或者误 有关该层次的安全审计问题的核心体现是网络中操