摘要：基于對基層央行信息安全審計難點及對策的研究，首先，闡述基層央行信息安全審計主要內容，包括計算機場地審計、業務網資源與結構的審計。然后，分析基層央行信息安全審計中制度落實不到位、硬件投入不足等難點工作。最后，為保證基層央行信息安全審計工作順利展開，給出落實規章制度、加強硬件投入力度、構建運維平臺、制定應急預案、加強風險識別工作、做好教育培訓工作等有效措施。

關鍵詞：基層央行；信息安全審計；計算機

近年來，基層央行更加重視信息安全管理工，所以針對信息安全管理展開一系列信息安全審計工作。通過對相應設備設施以及計算機場地等有效性與安全性的審查，提高基層央行相關工作人員的信息安全意識，提高基層央行的管理水平與管理效率。雖然基層央行在展開信息安全審計工作時，能夠從各個方面入手，但是在其中仍然存在問題與工作難點，對信息安全審計造成一定影響。所以，本文見針對基層央行信息安全審計難點及對策等內容進行相應闡述。

1.基層央行信息安全審計主要內容

1.1計算機場地審計

基層央行的信息安全審計工作的主要內容包括對計算機場地的管理，檢查計算機場地是否設置在本行的辦公樓當中，計算機場地所在位置以及所在樓層設計的科學性與合理性是否得到保障；檢查計算機場地墻立面、頂棚是否存在滲水現象與漏水現象，場地結構與計算機場地裝修所使用材料是否存在一定的防火性，防火性能夠滿足正常標準；計算機場地中的門、窗防護性能是否良好，并且檢查在門、窗位置是否堆放易燃易爆物品或者其他物品，物品堆放是否存在風險；關鍵的設備設施是否做好相應的物理接觸控制工作。

1.2業務網資源與結構的審計

摘要：企業網絡信息安全關系著企業發展的命脈，而信息安全審計是企業信息安全的保護盾。防止企業內部人員對機密文件的竊取和泄漏，以及員工在互聯網上訪問和非法內容，進而保障企業的合法利益。信息安全審計幫助企業更加有效地管理自身軟硬件安金。針對安全審計系統的發展，本文研究分析了不同匹配技術的算法，為系統的開發和應用提供了技術方向。

關鍵詞：信息安全；審計技術；發展

隨著互聯網的蓬勃發展，世界已經進入了網絡信息時代，網絡已經成為完成工作不可或缺的方式之一。并且眾多的企業、銀行、政府份份將核心業務基于網絡來實現，大數據為我們帶來便利的同時，也帶來許多隱患。不斷有企業信息被泄漏，不斷有企業的財產受到侵害。一方面企業需要加強對員工的管理機制，另一方面企業需要建立必要的防御措施。而信息安全審計技術的發展和應用為當今的企業信息安全提供保障。

1信息安全審計的定義

信息安全審計是針對網絡用戶行為進行的管理，揭示信息的安全風險，改進信息安全的現狀，滿足信息安全的合規要求。運用網絡數據包獲取、分析、阻斷等技術實現對網絡信息傳插的有效監管，它能對網絡動態進行監控，記錄網絡中發生的一切，尋找違法和違規的行為，為用戶提供事后取證依據。防火墻就好比保護內部系統的城墻，而信息安全審計就是巡警，它一直在城墻內巡邏檢查，監視著城堡內發生的一切，并會對突發狀況做及時處理。

2信息安全審計的作用

伴隨著信息技術的發展，許多部門和單位對信息系統的依賴性日益嚴重，一旦信息系統出現問題，就會對單位部門造成較大損失。同時，許多單位的信息安全系統都會面臨來自內部或外部的攻擊，這些攻擊都是為了竊取信息，如果信息安全系統的不完善，就容易造成各種信息泄漏問題。在信息安全問題中，很多是由于內部員工違規操作導致的，一部分是內部員工有目的地竊取信息資源，用以謀取個人利益，而另一部分是由于內部員工不小心的違規操作導致信息泄漏，這些操作都會影響系統的安全運行，會給企業造成巨大損失。信息安全審計與一般的審計相比，信息安全審計不僅增強了信息的處理功能，而且全面提升了審計深度性和針對性。但是目前的網絡安全仍舊注重對外部入侵的防護，而忽略了內部防護措施的構建，很多企業是通過建立防火墻來抵御外部入侵，這樣容易造成內部資料的丟失。因此，信息安全審計應當從企業內部入手，解決內部人員違規操作，規范內部人員的上網行為，提高網絡系統的安全性。同時，良好的安全審計并非簡單的“日志記錄”，而是通過分布式的安全審計，對操作系統和網絡系統進行監控，對各種未授權的活動進行阻斷和報警，從而防止內部網絡信息的泄漏和非法傳插。同時信息安全審計系統能確定問題和鎖定攻擊源，為調查取證提供必要資料。

[摘要]2019年，德勤企業管理咨詢有限公司（以下簡稱德勤咨詢）官網《全球風險管理調查（第11版）》（GlobalRiskManagementSurvey11th），再次強調了網絡安全的重要性。隨著互聯網時代的深入發展，互聯網以其方便、快捷、及時的特點在各個領域應用開來，但“科技是把雙刃劍”，互聯網在帶來諸多益處的同時，也不可避免地帶來一些網絡安全問題。

[關鍵詞]網絡安全;內部審計;風險管理;啟示

為有效應對不斷升級的全球網絡安全風險，美國、澳大利亞審計署在網絡安全審計方面進行了研究和探索，并形成一套行之有效的審計方法。德勤咨詢調查顯示，67%的受訪者認為網絡安全將成為影響業務開展最主要的三種風險之一，但是只有50%的受訪者對網絡安全持樂觀態度。為此，筆者編譯了美國、澳大利亞審計署、安永公司和德勤咨詢的部分審計報告，總結了其關于網絡安全審計的主要做法，并結合中國人民銀行（以下簡稱人民銀行）網絡安全現狀，提出加強和改進人民銀行網絡安全審計工作的建議。

一、主要觀點綜述

（一）網絡安全的重要性日益增加

德勤咨詢認為，對于機構而言，網絡安全風險管理在防止破壞性攻擊、經濟損失、來自客戶的網絡安全風險、敏感數據的丟失及惡意攻擊等方面作用較大。當面對來自國家行動方的威脅或來自第三方的安全風險時，德勤咨詢指出，機構的風險管理制度缺乏有效性,目前具有挑戰性的問題是如何保持超前于不斷變換的業務需求(如移動社交、云計算)和有效應對來自高級黑客的威脅。

（二）解決數據風險和IT系統風險是首要任務

1定級的標準及其依據

根據《基本要求》的規定，二級要求的系統防護能力為：信息系統具有抵御一般攻擊的能力，能防范常見計算機病毒和惡意代碼危害的能力，系統遭受破壞后，具有恢復系統主要功能的能力。數據恢復的能力要求為：系統具有一定的數據備份功能和設備冗余，在遭受破壞后能夠在有限的時間內恢復部分功能。按照二級的要求，一般情況下分為技術層面和管理層面的兩個層面對信息系統安全進行全面衡量，技術層面主要針對機房的物理條件、安全審計、入侵防范、邊界、主機安全審計、主機資源控制、應用資源控制、應用安全審計、通信完整性和數據保密性等多個控制點進行測評，而管理層面主要針對管理制度評審修訂、安全管理機構的審核和檢查、人員安全管理、系統運維管理、應急預案等方面進行綜合評測。其中技術類安全要求按照其保護的側重點不同分為業務信息安全類（S類）、系統服務安全類（A類）、通用安全防護類（G類）三類。水利信息系統通常以S和G類防護為主，既關注保護業務信息的安全性，又關注保護系統的連續可用性。

2水利科研院所信息安全現狀分析

水利科研院所信息系統結構相對簡單，在管理制度上基本建立了機房管控制度、人員安全管理制度等，技術上也都基本達到了一級防護的要求。下面以某水利科研單位為例分析。某水利科研單位主機房選址為大樓低層(3層以下)，且不臨街。機房大門為門禁電磁防盜門，機房內安裝多部監控探頭。機房內部劃分為多個獨立功能區，每個功能區均安裝門禁隔離。機房鋪設防靜電地板，且已與大樓防雷接地連接。機房內按照面積匹配自動氣體消防，能夠對火災發生進行自動報警，人工干預滅火。機房內已安裝溫度濕度監控探頭，對機房內溫濕度自動監控并具有報警功能，機房配備較大功率UPS電源，能夠保障關鍵業務系統在斷電后2小時正常工作。機房采用通信線路上走線，動力電路下走線方式。以上物理條件均滿足二級要求。網絡拓撲結構分為外聯區、對外服務區、業務處理區和接入區4大板塊，對外服務區部署有VPN網關，外部人員可通過VPN網關進入加密SSL通道訪問業務處理區，接入區用戶通過認證網關訪問互聯網。整個網絡系統未部署入侵檢測（IDS）系統、非法外聯檢測系統、網絡安全審計系統以及流量控制系統。由上述拓撲結構可以看出，現有的安全防護手段可基本保障信息網絡系統的安全，但按照二級要求，系統內缺少IDS系統、網絡安全審計系統和非法外聯檢測系統，且沒有獨立的數據備份區域，給整個信息網安全帶來一定的隱患。新的網絡系統在外聯區邊界防火墻下接入了入侵檢測系統（IDS），新規劃了獨立的數據備份區域，在核心交換機上部署了網絡審計系統，并在接入區安裝了非法外聯檢測系統。形成了較為完整的信息網絡安全防護體系。

3信息系統安全等級測評的內容

3.1信息系統等級保護的總體規劃

信息系統從規劃到建立是一個復雜漫長的過程，需要做好規劃。一般情況下,信息系統的安全規劃分為計算機系統、邊界區域、通信系統的安全設計。相應的技術測評工作也主要圍繞這3個模塊展開。

1智能電網網絡安全面臨的威脅

1.1信息通信技術的廣泛應用將網絡信息安全問題傳導到電網系統

大數據、云計算、物聯網、移動互聯網、寬帶無線等信息通信技術的普遍應用，加大了智能電網遭受病毒、木馬、系統漏洞、拒絕服務等安全攻擊的幾率，這也給傳統以物理防護為主的電力信息安全防護體系帶來了挑戰。尤其是美國大面積網絡癱瘓事件，為關鍵信息基礎設施的安全防護提出了更高的要求。

1.2智能電網雙向互動模式增加了信息安全風險

隨著物聯網、互聯網等新一代信息技術與智能電網的有效融合，促使傳統電網逐步向智能電網雙向互動服務模式轉型，用戶側能夠借助智能終端及時掌握與了解自己的用電情況以及供電能力、停電信息等內容，從而對用電時間進行合理安排。但在智能電網給電力運行及控制帶來便利的同時，也使得無線公網的接入增加了原有電網的信息安全風險。此時，攻擊者就會攻擊電網業務邏輯等環節的漏洞，并且，隨著時間的遞增攻擊方式也會更加趨于多樣化、定制化以及組織化，這種具有較強潛伏性及危害性的網絡威脅，直接影響著智能電網的正常運行與電力服務。

1.3海量異構終端加大了安全接入風險

與傳統電網相比新型電網的異構智能終端多樣化、網絡安全防護邊界泛在化、業務安全接入需求多樣化，這也直接增加了用電側終端信息泄露、非法接入以及失控等一系列安全風險，加大了異構智能終端的安全防護難度，致使異構終端的漏洞挖掘、完整性保護、機密性保護以及攻擊防御難度顯著增加，同時對不同種類的智能終端以及移動終端的接入方式與安全防護提出了更加嚴格的要求。在對智能電網進行安全檢查時發現，很多電力信息系統終端由于弱口令的安全脆弱性、遠程服務防護不足等，使得終端安全防護存在一定的不足之處。

1體系模型

信息安全體系模型由基礎安全設施、信息安全管理、安全技術支撐和安全保障服務四個層面構成，為事后數據處理系統提供全面的安全體系保障。•基礎安全設施：基礎安全設施為數據處理系統信息安全體系建立一個可相互信任的環境，是其他安全技術實施的基礎。基礎安全設施以PKI（公鑰基礎設施）／PMI（特權管理基礎設施）／KMI（密鑰基礎設施）技術為核心，實現證書認證、權限管理、密鑰管理、可信時間戳、密碼服務等功能。•信息安全管理：在數據處理系統信息安全體系中，管理占有相當大的比重。信息安全管理包括策略管理、組織管理、制度管理、網絡管理、設備管理、系統管理、病毒管理、介質管理、安全審計管理等功能。•安全技術支撐：利用各類安全產品和技術建立起事后數據處理安全技術支撐平臺。安全技術支撐包括物理安全、運行安全和信息安全。物理安全包括環境安全、設備安全和介質安全；運行安全采用防病毒、入侵檢測和代碼防護等成熟技術對網絡進行防護；信息安全包括訪問控制、信息加密、電磁泄漏發射防護、安全審計、數據庫安全等功能。•安全保障服務：安全保障服務確保在出現自然災害、系統崩潰、網絡攻擊或硬件故障下，事后數據處理系統得以快速響應和恢復，并定期進行安全培訓服務，建立安全可靠的服務保障機制。

2體系劃分

2.1基礎安全設施

事后數據處理系統基礎安全設施是以PKI／PMI／KMI技術為基礎而構建的證書認證、權限管理、密鑰管理和密碼服務等基礎設施。基礎安全設施提供的技術支撐適用于整個事后數據處理系統，具有通用性。基礎安全設施的技術運行和管理具有相對的獨立性。1）證書認證證書認證是對數字證書進行全過程的安全管理。由證書簽發、密鑰管理、證書管理、本地注冊、證書／證書撤銷列表查詢、遠程注冊等部分構成。2）權限管理權限管理是信息安全體系基礎安全設施的重要組成部分。它采用基于角色的訪問控制技術，通過分級的、自上而下的權限管理職能的劃分和委派，建立統一的特權管理基礎設施，在統一的授權管理策略的指導下實現分布式的權限管理。權限管理能夠按照統一的策略實現層次化的信息資源結構和關系的描述和管理，提供統一的、基于角色和用戶組的授權管理，對授權管理和訪問控制決策策略進行統一的描述、管理和實施。建立統一的權限管理，不僅能夠解決面向單獨業務系統或軟件平臺設計的權限管理機制帶來的權限定義和劃分不統一、各訪問控制點安全策略不一致、管理操作冗余、管理復雜等問題，還能夠提高授權的可管理性，降低授權管理的復雜度和管理成本，方便應用系統的開發，提高整個系統的安全性和可用性。3）密鑰管理密鑰管理是指密鑰管理基礎設施，為基礎安全設施提供支持，并提供證書密鑰的生成、存儲、認證、分發、查詢、注銷、歸檔及恢復等管理服務。密鑰管理與證書認證服務按照“統一規劃、同步建設、獨立設置、分別管理、有機結合”的原則進行建設和管理，由指定專人維護管理。密鑰管理與證書認證是分別設立，各自管理，緊密聯系，共同組成一個完整的數字證書認證系統。密鑰管理主要為證書認證提供用戶需要的加密用的公／私密鑰對，并為用戶提供密鑰恢復服務。4）密碼服務密碼服務要構建一個相對獨立的、可信的計算環境，進行安全密碼算法處理。根據系統規模，可采用集中式或分布式計算技術，系統性能動態可擴展。事后數據處理系統采用集中式計算技術。

2.2安全技術支撐

安全技術支撐是利用各類安全產品和技術建立起安全技術支撐平臺。安全技術支撐包括物理安全、運行安全和信息安全。物理安全包括環境安全、設備安全和介質安全；運行安全包括防病毒、入侵檢測和代碼防護等；信息安全包括訪問控制、信息加密、電磁泄漏發射防護、安全審計、數據庫安全等功能。

第一篇：科技計劃管理機制研究

1德國科技計劃體系

長期以來，德國聯邦政府主要通過制定和實施重點科技領域的科技計劃實現對科技的引領、指導與宏觀管理;德國科學基金會(DFG)通過資助科學家自由探索研究、特殊領域研究、重大研究計劃以及青年人才和團隊建設來促進基礎研究和前沿科學研究的發展。為應對競爭日益激烈的全球經濟社會形勢，2006年，德國聯邦政府出臺了第一個全國性、跨部門和跨領域的科技發展戰略———“高技術戰略”，以此為抓手，聚焦尖端技術未來重點發展領域，以提升國家整體創新能力，確保在未來重要市場的領先地位。隨著氣候變化、人口結構轉變、疾病傳播、原材料緊缺等全球性挑戰的日益嚴峻，聯邦政府強調技術變革應為人類利益服務，在2010年將“高技術戰略”的重點從原先的17個技術領域的開發調整為面向氣候/能源、健康/營養、交通、安全和通信5大需求領域的創新。2014年，聯邦政府再次調整“高技術戰略”，使其更加注重技術創新與社會需求的結合，并將創新范圍擴展到社會創新。目前，“高技術戰略”確定了6個重點領域的科技計劃，促進技術轉移和知識產權保護、扶持中小企業研發等政策引導類科技計劃以及10個針對重大需求、需提出系統解決方案的專項計劃。目前，德國形成了由領域科技計劃、政策引導類科技計劃、專項科技計劃和國家科學基金計劃四類計劃為主體的、層次清晰、重點突出的科技計劃體系。德國聯邦科技計劃由聯邦各部門按照職能分工進行組織實施與管理，其中，聯邦教研部(BMBF)是聯邦政府最主要的科技主管部門，掌管近60%的聯邦政府研發經費，主要負責基礎研究、關鍵技術、生命科學和可持續發展研究領域的科技計劃。目前由聯邦教研部負責的科技計劃主要有“可持續發展能源研究框架計劃”、“健康研究框架計劃”、“原材料經濟戰略計劃”和“安全研究計劃”等。聯邦經濟與能源部(BMWi，原聯邦經濟與技術部)是聯邦政府第二大科技主管部門，主要負責創新政策和產業相關研究，管理能源和航空領域的科學研究以及面向中小企業的科技計劃。目前由聯邦經濟與能源部負責的科技計劃包括“第6能源研究計劃”、“電動汽車信息通訊技術資助計劃”、“聯邦政府航空戰略”、“中小企業創新促進計劃”以及“風險資本補助計劃”等。聯邦其它有關部委，如聯邦農業部、交通部、環境部等管理與本部門職能相關的科技計劃。目前由農業部負責的科技計劃主要有“生物經濟政治戰略”、“可再生資源替代石油”、交通部負責“可持續交通計劃”、環境部負責“氣候保護2020行動計劃”等科技計劃。除部門各自負責的科技計劃外，聯邦政府跨部委科技計劃采用聯合管理、聯合資助的組織實施方式，參與部門按領域分工管理計劃中某一部分，主管該計劃的部門負責組織協調。德國聯邦16個州政府在科技事業方面均享有自主管理權，可組織實施針對本州的科技創新計劃，也可在協議基礎上與聯邦政府共同承擔對科技計劃的資助，例如“精英大學計劃”、“高等教育公約”等。各州的科技計劃由各州科技主管部門負責;對于聯邦和州共同資助的科技計劃，德國科學聯席會(GWK)負責協商、確定雙方資助比例和組織實施方式。

2德國科技計劃預算與管理機制

2．1德國科技計劃的預算機制

德國科技計劃預算納入政府財政預算，經費經議會批準通過，議會批準的預算經費由財政部撥付給各部門。具體而言，德國聯邦科技預算的流程可分為三個階段，體現了自下而上、上下協調及獨立監管的特點:(1)聯邦部門預算草案編制階段。由財政部下達預算編制指導與要求各部門在3月1日前將本部門科技支出需求上報財政部財政部第一次匯總各部門支出需求形成聯邦科技預算草案。(2)審計與修改階段。財政部將聯邦預算草案提交聯邦審計局審計局對預算草案的合規性和效益性進行審計財政部與各部門協商對審計后的預算草案進行修改財政部第二次形成聯邦預算草案，待提交聯邦政府。(3)聯邦預算案的審議與決議。財政部向聯邦政府提交預案算草案聯邦內閣通過后，議會對預算草案進行審議(包括“三讀”審議和兩院通過)議會批準預算案財政部向各聯邦部門撥付預算款。

2．2德國科技計劃的委托管理機制

摘要：計算機信息管理技術在網絡安全中的有效應用對廣大用戶以及社會整體發展有重要的作用，筆者對該問題進行探究。首先概述了計算機信息管理技術與網絡安全的內容；其次指出網絡安全及計算機信息管理技術在網絡安全中的應用現狀；再次分析應用中存在的問題，即信息安全性檢測能力欠缺、處理模式固定不靈活以及信息訪問安全性控制不當；最后提出利用計算機信息管理技術加強網絡安全防御的措施。

關鍵詞：計算機；信息管理技術；網絡安全

隨著計算機的普及以及網絡覆蓋率的提升，計算機信息管理技術的應用范圍也日漸擴大，尤其是在網絡安全方面起到重要的作用。在科技的飛速發展下，人們對互聯網網絡安全的要求也有較大的提升，因而計算機信息管理技術也應隨之變化以滿足使用者的需求。因此，本文對該問題進行探析，提出如何利用計算機信息管理技術來加強網絡安全防御，以期為相關人員提供一定的參考。

1計算機信息管理技術與網絡安全概述

1.1計算機信息管理技術

計算機信息管理技術通常是指管理基礎性的網絡信息的技術，如對IP地址、用戶個人的賬號密碼等的管理。隨著科技的發展，計算機信息管理技術的內容逐漸增多、日益完善，這些使得計算機信息管理除卻其固有的性能外，又增添了一些新的更加適合使用者使用的新特性，如動態適應性等[1]。計算機信息管理技術實際上是多個技術領域的交叉部分，包括計算機技術領域、互聯網技術領域、電子技術領域等，這些技術中與信息管理相關的，能夠對網絡信息起到管理作用的技術在交叉融合之后形成了計算機信息管理技術。

1.2網絡安全