计算机审计技术在财政系统中应用分析.docVIP

计算机审计技术在财政系统中应用分析 　　摘 要 本文分析了系统设计与计算机系统的审计和业务系统的审计两个方面，对计算机审计技术在财政系统中的应用方法进行了探究，以期为保障财政系统与操作系统的安全性，提高财政系统审计工作的效率提供参考价值。 　　关键词 计算机审计技术；财政系统；应用方法 　　中图分类号：TP311 文献标识码：A 文章编号：1671-7597（2015）03-0129-02 　　我国财政系统传统的审计方法主要为手工操作，不仅操作过程复杂繁琐，工作效率低下，而且存在严重的安全隐患，给审计工作的顺利实施造成较大阻碍，而将计算机审计技术应用于财政系统，既可以提高审计工作的效率，又可以加强财政业务系统的安全性。因此，分析计算机审计技术在财政系统中的应用方法，对提高财政系统的审计质量有着积极的现实作用。 　　1 系统设计与计算机系统的审计 　　依据财政系统特点，设计时应重点考虑两方面内容：对计算机系统安全实施的审计以及业务系统安全实施的审计，其中后者将数据的操作性当做审计的重点。 　　1.1 计算机系统的审计 　　通过windows操作系统的内审功能，在参考windows日志的基础上，可完成好对很多事件的审计操作，原因在于日志很好的记录了相关事件发生的全部信息。 　　NT审计的完成需要操作系统中事件记录器、安全中心和安全参考监视器等原件的支撑，其可完成包含进程跟踪、账号管理、策略更改等在内的八种可进行审计的事件组。审计策略为安全中心进行管理，并通过安全中心提交到安全参考监视器。审计记录是通过安全中心或者安全参考监视器，以及对应子系统或者服务器要求而完成，并在产生事件时发送至安全参考监视器。产生的审计记录先传输至安全中心，经由安全中心的处理后，被转发给不同的事件记录器，以确保存储工作的完成。 　　Windows中标准日志事件的ID是唯一确定的，例如，事件528表示用户登录计算机成功。审计事件由失败和成功事件之分，所谓成功事件指代用户获取了访问相关资源的权限，反之，则说明未成功访问相关资源。对大多数审计成功的事件而言，仅仅表明活动的正常。但是不可否认一些攻击系统访问权的行为同样会产生一个成功事件。例如，失败事件多次出现后，其后突然出现一个成功事件，可能表明攻击成功。 　　财政系统审计的目标在于对每次进行的操作进行详细的记录，为后期的审查提供有价值的参考，即实施操作时，记录操作对象、操作时间、操作地点、操作过程和操作数据信息等。目前财政审计系统主要分为基于网络、基于模式匹配和基于数据挖掘等，而基于日志确定有穷自动机审计模型则是本文讨论的重点。 　　1.2 基于日志确定有穷自动机审计模型 　　为对日志实施审计操作，并对用户行为进行准确的描述，技术人员需要构建相关的模型，以更好的进行记录与警告。研究表明基于日志确定有穷自动审计模型基本可满足实际审计 　　要求。 　　确定有穷自动机通常分为初始态、中间态和终结态。技术人员通过审查日志数据，分析其特征参数，判断系统是否出现异常或者与外来攻击模式相互匹配等情况。一旦发现状态异常，系统则由初始状态移动至终结状态，在终结态判定外来攻击情况。初始态为攻击者在进行攻击前系统所处的状态，攻击者在进行攻击操作后，会促使中间状态发生转移，以获得访问系统的权限，此时系统会移动至终结状态。而入侵状态正是由诸多由初始状态至终结状态移动的行为组成。 　　基于确定有穷自动机模型设计而成的检测引擎，本质上有一系列状态转换图构成，不同的状态转换图指代特定的侵入系统行为，在每个确定的时间点，技术人员则认为用户行为导致系统得到状态转移图中的某一特定状态。一旦发现新行为的出现，就会逐一检查引擎中包含的状态转换图，以发现是否出现系统状态转移的情况，如新出现的行为促使系统向终结状态移动，就会将转移信息传送至检测引擎，记录日志后将其通知响应的部件：如果新行为没有导致系统转移至终结态，检测引擎则会回溯到未出现终结态之前的初始态。 　　基于日志有穷自动机审计模型核心为规则集构造，事件源则是对系统日志进行筛选以后，会使系统状态出现变化行为的日志。由于筛选的日志数量众多，技术人员可以采用数据挖掘技术或者运用专门的工具。基于负责模型部件有大量的活动规则组成，而相应部件则在参考规则部件的基础上，有所审计的用户行为构成。对审计过程中发现异常情况作出的回应加以说明，并产生相关的记录和报告。 　　该操作系统由以下几个重要部分构成：数据源的采集部分，主要以记录的安全日志为数据源；检测引擎与规则集部分，分析和匹配转移状态，发现潜在威胁；响应部分在规则集出现异常的操作行为时采取报警响应。 　　1.3 计算机安全审计的实现 　　有穷自动机可使用状态转换图表示，而状态转换图可将事件序列间的先后关系充分反映出来，在