网络安全审计报告范文篇1

传统审计是由独立的专职机构或人员接受委托或授权，对被审单位特定时期的会计报表及其他有关资料的公允性、真实性以及经济活动的合规性、合法性和效益性进行审查、监督、评价和鉴证的活动，其目的在于确定或解除被审单位的受托经济责任。随着网络技术的发展，企业的经营方式和管理模式发生了重大变化，财务管理系统逐渐由手工模式向网络自动模式发展，在自动化、无纸化、数据化的电子商务和高度信息化的网络财务系统下，传统审计面临巨大的挑战。

(一)审计内外环境的改变

传统审计是在企业的手工会计信息系统环境下进行的。由经济业务产生纸性的原始凭证，会计人员根据原始凭证编制记账凭证，根据记账凭证登记明细账和总账，期末根据账簿编制会计报表。企业从原始凭证到报表每一步都有文字记录，都有经手人签字，整套账务系统都有纸介质保存，以便审阅。在传统经营条件下，企业资产和经营的安全可以通过建立健全的内控制度得以保证，企业根据《企业会计准则》和本单位实际情况所制定的会计政策中，明文规定内控制度，并可由审计人员通过盘询、模拟等方法进行内控制度的评审。

电子商务环境下，客户可以从网上了解商品、询问价格、签订合同、发送订单，企业可以通过网络确认交易、出口报关、发送商品（仅限于信息产品）、传递发货单，划账结汇等。经济业务产生的原始凭证以电磁信息的形式在网上传递并存储于磁性介质中，会计的确认、计量、记录和报告都集中由计算机按程序指令执行。因此审计人员面对的是企业的电算化会计信息系统和网络账务系统，企业的账务系统以程序语言的形式存放于计算机中，肉眼难以对会计处理流程及内控制度形成全面的感性认识。网络审计面对的企业内部环境是一整套电算化会计信息系统，它的合理有效性、安全程度直接影响到审计工作的质量和效率，如硬件设备的稳定性，上下兼容性，软件本身质量的高低及对企业实际情况的适应性等。而这些又受技术和人为的诸多因素影响，审计环境中不定因素增加。

我国目前已基本形成了以《中华人民共和国会计法》为中心，国家统一的会计制度为基础的相对较完整的法规体系，各行各业的会计处理都有一定的准则为指导，因此传统审计面对的是相对有序的外部环境。而网络经济时代，传统企业纷纷上网开展电子商务，参于竞争，甚至出现了没有经营场地，没有物理实体，没有确定办公地点的虚拟企业。这些企业只要在Internet的一个结点上租用一定的空间经过数字认证机构的认证即可在网上接受订单、寻找货源、进行买卖。正是由于市场准入条件的放宽和有关商务法律的不健全，外部环境的不稳定因素剧增，来自企业外部经营风险凸现，原有的内控制度效果减弱，从而增加了审计的风险。

(二)对审计目标的影响

根据我国独立审计准则，独立审计的目标是对被审单位会计报表的合法性、公允性及会计处理方法的一贯性表示意见。注册会计师收集证据的惟一目的就在于使自已能够对会计报表的合法性，公允性和一贯性表示意见并出具真实合法的审计报告。高质量的信息必须具备可靠性、及时性、相关性。在以历史成本和权责发生制为原则的传统会计中，会计报表作为对企业经济状况和经营成果的事后反映，主要考虑了可靠性，而及时性与相关性不足。

电子商务环境下，企业可以把公司简介、产品信息等放在企业网页上，普通客户随时上网查询，了解情况，且由于网络账务系统的共享性，投资者、有关特定信息使用者可随时通过获得授权上网查询企业的财务状况和经营成果，信息的及时性大大提高。作为事后反映的会计报表对投资者、信息使用者的重要性大大降低。在信息技术飞速发展的电子商务环境下，传统审计已不适应信息时代审计要求。

(三)审计风险复杂化

审计风险是指会计报表存在重大错报、漏报而审计人员审计后发表不恰当审计意见的可能性。传统审计中，注册会计师主要通过评审被审单位内控制度来确定实质性测试的性质、时间和范围，以此将审计风险降到最低，由于企业内控制度的有效性、完善性在传统会计系统中有据可查，较易检测。

电子商务环境下，传统的会计岗位职责被打破，内部控制制度发生了变更与转移，安全已不是企业内部所能完全控制的。以数据库为基础的实时审计发展使审计风险中包含的固有风险、控制风险、检查风险日益复杂化。计算机病毒和黑客攻击都可以从地球上任何一个角落通过网络威胁到会计信息系统的数据安全，网络审计的固有风险增大；由于在计算机中可以人为篡改数据且不留痕迹，企业在电子商务中要面对如何确认没有白纸黑字和签字盖章的电子订单交易，网上信息传递的保密等问题，控制风险更难确定，检查风险增大。且由于电子商务实行无纸化贸易，如果账务系统设计时考虑不周，可能到审计时才发现只留下业务处理的结果而不能追溯其来源，缺少审计线索。主要的审计证据来自于系统网络，属间接证据，其可靠性依赖于网络内控制度的健全有效性，审计人员仅仅通过常规的审计测试程序，难以确定企业有多少重大错报或漏报，会计报表的部分或全部认定是否真实、公允，审计风险难以控制。

(四)审计报告时效性滞后

传统的审计一般是在企业会计报表完成后进行，审计人员完成外勤工作后经过一段时间的整理，编制审计报告。从企业会计报表报送到审计报告完稿，往往间隔几个月，其时效性不强，且往往发生期后事项，必须在审计报告中加以披露，而在电子商务环境下，由于企业的会计信息随时可通过授权获取，滞后几个月的审计报告对信息使用者用处已不大，为发挥审计报告的应有作用，必须加快审计报告的报告速度。

(五)传统审计业务受冲击

传统审计中，国内审计机构的主要业务是报表审计和验资，而会计咨询、会计服务业务发展缓慢。在电子商务环境下，由于信息实时性特点，信息使用者可随时通过获得授权查询相关信息，报表审计的作用下降。而同时信息使用者直接上网查询必然会遇到许多专业化问题，因而如何在网络中准确、及时地提供专业咨询服务成为审计机构的主要问题。并且其他行业利用网络也正逐步提供类似的信息咨询服务，如银行联网咨询等，审计业务受到前所未有的冲击。

(六)审计人员素质问题

传统审计的账账核对、账证核对、帐表核对等重要的审计工作，必须由有丰富财会知识和经验的审计人员完成，而这些工作在网络化条件下将失去意义，因为在计算机信息系统中，原始凭证、记账凭证、各种帐簿、会计报表等只是系统中同一个数据库，甚至是同一个数据表的数据按不同方式的输出，这些会计信息的正确与否，首先确定于计算机系统功能的正确性，因此网络审计对审计人员的计算机应用水平提出很高要求。

目前国内的审计人员不论在数量上还是质量上仍有较大不足，审计人员老龄化现象突出，部分审计人员虽在财会审计领域经验丰富，但对计算机技术、网络知识了解不多，这造成审计人员因为不懂网络经营与网络财会的特点，缺少应有的风险意识和安全控制知识，而不能识别审查和评价企业的风险与内控制度，难以对复杂的网络会计系统进行有效的评审，难以应付电子商务环境下的审计风险。而计算机专家可能不懂审计，审计人员之外的辅助人员越多，越依赖于他们，审计人员的独立性、客观公正受到威胁。因此迫切需要一大批既懂审计、又懂计算机网络技术的复合型人才。

二、网络审计理论体系的构建

（一）网络审计的目标

审计目标经历了详细审计、资产负债表审计、会计报表审计三个阶段后，停留在鉴定被审单位一定时期内的会计报表是否公正地反映其财务状况和经营业绩，以及所采用的会计政策和会计处理方法是否符合国家的会计准则，即仅是查错防弊目标上。在电子商务环境下，网络审计将由揭露会计资料的错弊转向包括揭露并指出其根源与后果，增加相关利益审计的多元化目标。

具体来说，原先的查错防弊目标仍存在，但应增加指出在系统中产生差错的根源以便完善系统和分析对利益相关者产生何种影响等内容。网络财务报告产生差错，有两种可能性。一是由于经济业务本身的处理差错，如记帐凭证出错、人为漏帐、多记业务等，这些出错原因与传统审计出现差错一致，需通过内控制度评测和抽样检查等传统方法，加以审计并作相应调整即可；另一种情况是经济业务本身处理是正确的，且不存在人为过失，而是由于网络财务系统中存在程序错误或安全漏洞使运行中产生错误结果。因为记账凭证输入后，入账、汇总、结账到产生报表都是由计算机在设定的程序指令下自动完成，因此财务系统设计的完善性及在使用过程中程序指令是否被改变等问题直接影响到最终网络财务报告的正确性。对后一种错误原因，审计人员应指出在哪段程序指令中出错或哪个财务子系统中有问题，找出差错源头，以便完善系统。

由于网络环境中，会计主体具有多元化和不确定性，被审单位的经济状况与其他利益相关者有着互动的联系，股东、合作企业、投资机构等成了相关利益群体，他们关注被审企业的财务状况，分析被审单位的经营业绩和发展趋势，并据以调整与被审单位之间的各种互动联系，因此需要在网络审计报告中分析对相关利益产生的影响。

(一)网络审计的假设

1.被审主体假设

电子商务环境下有两大类企业，一类是传统企业实现信息化，通过构建网站等方式参与电子商务，其财务系统是在原有手工财务系统的基础上发展起来的。另一类是虚拟企业，这些企业只是在Internet上租用空间，寻找资源、广告，或是整合信息并出售或是与网下的生产企业、运输企业等联合；或是“1＋1”型网网联合。虚拟企业通过合作进行竞争，具有高度的弹性与灵活性，在网络空间中迅速重构和解散，导致会计主体的多元化和不确定性。针对这类虚拟企业，被审单位主体应假设为“经济利益相关的独立体”。

2.审计环境假设

实现网络审计必须要有一个良好的环境，一是被审单位网络财务体系的建立和完善,企业内部实现数据一体化管理，建立网上交易活动的授权、确认制度以及相应的电子文件接受、签定、验证制度。并建立网上信息功能，实现网上在线信息披露机制，企业外部信息使用者可随时登录企业网站读取网页上的信息或根据授权通过防火墙身份检查，合法地利用数据库中心获取所需数据。二是企业网络财务系统中建立了审计子程序和审计接口。审计子程序中提供审计管理程序、审计执行工具、审计档案库，即在系统中建立内部审计系统；审计接口是指从被审单位的财务系统向审计应用软件中传送审计数据的规范和程序，即信息交换的通道。包括传送数据的格式、规范和完成传送作业的程序。

3.货币结算假设

电子货币是实施电子商务的重要条件，它采用电子技术和通讯手段，在信用卡市场上流通，以法定货币单位去反映和实现商品的价值。电子货币的运用大大加快了资金流通速度，使资本市场交易更活跃，各种现实货币之间汇率变动更频繁。因此需要一个网上结算中心：网上银行。自从1996年美国纽约的安全第一网络银行（SFNB）成为全球首家Internet电子银行至今，已有1500多家网络银行在开展业务。网络企业的交易范围涉及全球，各种货币汇率不同，因此需要由一种统一计量单位，即电子货币来进行交易，网络审计要正常开展必须有一个完善的网络银行体系支持。

(三)网络审计的对象

电子商务环境下，网上经济交易、资本决策均可以瞬间完成，网络系统中各工作站同时使用一个信息来源，资源共享造成对网络系统的依赖性增大，因此网络审计的对象应从传统审计的会计报表及其他资料转为原始资料和系统功能。包括经济业务本身的合法性和真实性、原始凭证的录入工作准确性、网络会计信息系统的可靠性，系统研制开发的合理性、应用程序与数据文件的安全性等。并从侧重对历史评价转为对未来预测即从事后审计转为实时审计、全方位评价财务报告存在重大错误的风险要素等。

知识作为一种资本，逐渐超越了传统意义上的资本和劳动力两大生产要素，成为经济发展的第一要素，网络企业的主要资产也由传统的生产资料变成知识及其载体，会计信息使用者为满足竞争需要，关注无形资产的价值构成、收益情况和增值能力方面的信息，以及要求审计为经济决策的正确性和监控手段的有效性进行监督和评价，因而审计的工作重心转向无形资产，服务功能大为提高。

(四)网络审计组织

审计机构建立网络审计中心，配备功能强大的服务器、中继器等硬件设备和系统审计软件，开发面向不同对象信息系统的审计接口，并在审计机构和签字确认的单位同时形成原始数据的备份，在不同部门各自生成相关数据库，形成互相监督和牵制，保证审计线索的完整。审计组织内可分设工程技术部、程序检测部、财务审计部等。工程技术部负责被审单位网络财务系统硬件环境的审查；程序检测部负责对被审单位网络财务系统的运行情况审查；财务审计部在前面部门工作的基础上，完成对具体业务的审查。接到审计任务时，由各审计部门派员组成审计小组协作完成工作。

(五)审计方法程序

1.接受委托

连接网络审计中心与被审单位网络财务系统的审计接口，进行数据传输初测，了解被审单位基本情况。

2.对被审单位网络财务系统功能进行评测

由工程技术部人员对网络硬件环境审查，包括各部件的兼容性，信息通道的畅通性，有无可疑的多余接口等；由程序检测部人员对系统功能检测，包括程序设计的合理性、可行性，操作的权限问题，实时监测系统的完善性等。结合两部门工作系统地分析审核客户服务器环境，进行风险评测。

3.对被审单位网络财务系统进行数据通讯的控制测试

(1)抽取一组会计数据进行传输，检查由于线路噪音造成数据失真的可能性。(2)检查有关的数据通讯记录，证实所有的数据接受是否有序、正确。(3)通过假设系统外一个非授权的进入请求，测试通讯回应技术的运行情况。(4)针对系统的安全性，对本次审计风险进行估测，决定下步审计工作的重心。

4.对原始资料进行实质性测试

在前几步骤中确定了财务系统的可信赖性后，由财务审计部人员调用审计系统的审计功能或使用审计软件对原始数据库审计，利用计算机强大的计算功能，对每笔重要业务审查、核对和分析；测试其原始凭证、入账、汇总的正确性，使用电子邮件向网络银行中心、客房单位进行函证，取得有关数据文件作为审计证据。对无形资产进行审计时，从无形资产的取得、保护、创新等方面入手，审查其经济性和效益性。

网络安全审计报告范文篇2

关键词：网络财务报告问题成因

随着互联网的普及，网络报告作为一种新的披露方式，已经引起了众多财务报告需求者的关注，传统的财务报告披露形式已逐渐被网络财务报告所取代。然而，现行的网络财务报告也存在诸多局限。

现行网络财务报告存在的问题及成因

更新不及时。从理论上讲，利用计算机强大的运算和传输功能，企业可以随时在网上更新报告，用户可以及时获得相关信息，特别是一些无需独立审计且自愿性披露的信息以及非财务信息。但是，由于企业对增加网络披露的内容缺乏积极性，并且无意改变目前的财务呈报模式，致使网络财务报告更新速度慢，信息使用者不能及时得到相关信息。

内容缺乏可靠性。首先，在传统会计环境下导致会计信息失真的原因，也同样会导致网络环境下的会计信息失真；其次，网上财务信息披露没有注册会计师出具的审计报告，信息使用者无法了解网上财务信息的准确性；最后，竞争对手和电脑黑客入侵，对信息进行恶意篡改和伪造，以及计算机病毒的感染，甚至是企业恶意或过失的行为，均可导致网络财务报告信息的不可靠。

缺乏可比性。到目前为止，除要求在证监会指定的国际互联网网站上刊载年度报告外，我国针对网络财务信息没有一套规范的政策法规，这就会造成公司披露财务信息以及非财务信息无章可循，有一定的任意性，造成披露的信息不可比。

披露方式和技术较简单。我国现有的网络财务报告形式还处在发展的初级阶段。公司在网上的财务报告多为PDF和HTML形式，基本还是纸制报告的翻版或替代品。某些上市公司在网络上仅以文字形式摘要说明财务状况，有的则重新选取部分主要财务指标进行披露，报告的方式和技术的简单，使其处在界面的定期报告状态，没有充分体现出信息技术带给会计的快速和便捷，网络的互动功能还有待开发。

数据分析处理不易。信息使用者所获得的信息格式经常是多种多样的，由于信息提供者未能提供使用者网上进行自动分析的工具，使用者即使成功下载信息，其后续分析处理也很不容易，这将加大数据分析和处理的成本，使许多信息使用者望而却步。

路标设置不明显。对于很多公司而言，网站仅是公司宣传新产品和信息的工具，许多公司在主页上把“财务报告”放在“投资者关系”一栏里，要经过几个链接才能找到目标文件，而且在链接过程中不断有公司新产品的广告出现，干扰链接。

信息安全维护成本大。网站的安全问题对于在网上财务信息的公司来说至关重要，因为在信息前，公司内部人员可能会出于利己的目的，对原始会计数据及系统程序进行非法篡改或泄密，造成信息失真；信息后，网络黑客和竞争对手可能会非法修改或恶意篡改网上信息。公司必须花费高额费用设立多层防护屏障的防火墙和入侵监测系统，以及自动恢复系统，防范黑客的侵入，确保公司的年报在网上准确而及时地。

政策法规滞后。财务信息在网上披露的时间、内容、范围及程度等方面，还没有可操作的指南性文件，所以在比较不同公司的网上财务报告时会有很大的差别。同时，报告在网上披露后，对擅自改动报告内容的公司或当事人如何界定其法律责任，目前还没有正式的法规。

披露行为受公司业绩影响大。经研究发现，盈利水平对公司是否披露财务信息以及披露信息的质量成正比关系。业绩好的公司愿意如实披露财务信息。在对上海30家指数公司与ST和PT公司的对比中发现，这30家指数公司年报和中报披露率明显高于一般上市公司，而ST和PT公司年报和中报披露率明显低于一般上市公司，披露的积极性也较差。

完善网络财务报告质量的思路

制定网络财务报告准则。网络财务报告的广泛使用及发展要求制定新的相关会计准则，以解决网络环境下的新问题，规范网络财务报告披露的时间、内容、形式、信息质量标准等。至今，网络财务报告还没有一个国际整理的规范模式，也没有形成体系的规范对其进行约束，这使网络财务报告的质量受到一定的置疑，若相关会计准则不及时出台，网络财务报告的发展将大大受到阻碍。相关机构应尽快制定网络财务报告准则框架，建立电子报告模型，使公司披露信息有章可循，达到规范网络财务报告的目的，克服信息披露的任意性而带来的信息不可比等问题。

加强网上财务信息的监管。传统财务报告不仅要遵循企业会计准则，而且信息内容和格式方面也有诸多的规定。这些有关财务报告格式和披露的规定，其本质是为了避免信息不对称，保护广大投资者的利益并维护证券市场秩序。纵观目前网上财务信息披露的实际，基本仍为企业的自愿行为而缺乏监管机构的介入。因此信息内容的不完整性与不一致性无法避免。目前我国企业在其网上披露财务信息已经十分普遍，所以在我国必须加强对网上财务信息披露的监管，监管部门应加快制定有关网络财务报告的法规和制度，一方面确保网络财务报告的健康发展，另一方面中介机构也应出台相应的措施来保证网上披露内容的真实与可靠。

网络安全审计报告范文篇3

摘要：从系统的、整体的、动态的角度，参照国家对主机审计产品的技术要求和对部分主机审计软件的了解，结合实际的终端信息安全管理需求，从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想，达到对终端用户的有效管理和控制。

关键词：网络；安全审计；主机审计；系统设计

1引言

随着网络与信息系统的广泛使用，网络与信息系统安全问题逐渐成为人们关注的焦点。

网与因特网之间一般采取了物理隔离的安全措施，在一定程度上保证了内部网络的安全性。然而，网络安全管理人员仍然会对所管理网络的安全状况感到担忧，因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应，单个用户计算机的安全性不足时刻威胁着整个网络的安全[1]。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。

本文从系统的、整体的、动态的角度，参照国家对安全审计产品的技术要求和对部分主机审计软件的了解，结合实际的信息安全管理需求，讨论主机审计系统的设计，达到对终端用户的有效管理和控制。

2安全审计概念。

计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性，简称“五性”，安全审计是这“五性”的重要保障之一[2]。

凡是对于网络信息系统的薄弱环节进行测试、评估和分析，以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段，都可以叫做安全审计[3]。

传统的安全审计多为“日志记录”，注重事后的审计，强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变，美国首先在信息保障技术框架（IATF）中提出在信息基础设置中进行所谓“深层防御策略（Defense2in2DepthStrategy）”，对安全审计系统提出了参与主动保护和主动响应的要求[4]。这就是现代网络安全审计的雏形，突破了以往“日志记录”

等浅层次的安全审计概念，是全方位、分布式、多层次的强审计概念，符合信息保障技术框架提出的保护、检测、反应和恢复（PDRR）动态过程的要求，在提高审计广度和深度的基础上，做到对信息的主动保护和主动响应。

3主机审计系统设计。

安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作，并从已有的主机系统审计记录中提取信息，依据审计规则分析判断是否有违规行为。

一般网络系统的主机审计多采用传统的审计，系统的主机审计应采用现代综合审计，做到对信息的主动保护和主动响应。因此，网络的主机审计在设计时就应该全方位进行考虑。

3.1体系架构。

主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为B/S架构，管理端通过浏览器访问控制中心。对于管理端，其操作系统应不限于Windows,浏览器也不是只有IE。管理端地位重要，应有一定保护措施，同时管理端和控制中心的通讯应有安全保障，可考虑隔离措施和SHTTP协议。

主机审计能够分不同的角色来使用，至少划分安全策略管理员、审计管理员、系统管理员。

安全策略管理员按照制定的监控审计策略进行实施；审计管理员负责定期审计收集的信息，根据策略判断用户行为（包括三个管理员的行为）是否违规，出审计报告；系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录，对系统的操作互相配合，同时互相监督，既方便管理，又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心，所有信息都保存在控制中心。因此，控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警，提醒管理员及时备份并删除信息，保证审计系统能够采集新的信息。

3.2安全策略管理。

不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩，体现安全管理意志。在审计系统上实施安全策略前，应根据安全管理思想，结合审计系统能够实现的技术途径，制定详细的安全策略，由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善，审计越彻底，越能反映主机的安全状态。

主机审计的安全策略由控制中心统一管理，策略发放采取推拉结合的方式，即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时，控制中心可以及时将策略发给受控端。但是，当受控端安装了防火墙时，推送方式将受阻，安全策略发送不到受控端。由受控端向控制中心定期拉策略，可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机（服务器、联网PC机）通过网络接收控制中心的管理策略向控制中心传递审计信息。单机（桌面PC或笔记本）通过外置磁介质（如U盘、移动硬盘）接收控制中心管理策略。审计信息存放在主机内，由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用SSL加密方式传输，确保数据在传输过程中不会被篡改或欺骗。

为了防止受控端脱离控制中心管理，受控端程序应由安全员统一安装在受控主机，并与受控主机的网卡地址、IP地址绑定。该程序做到不可随意卸载，不能随意关闭审计服务，且不影响受控端的运行性能。受控端一旦安装受控程序，只有重装操作系统或由安全员卸载，才能脱离控制中心的管理。联网时自动将信息传到控制中心，以保证审计服务不会被绕过。

3.3审计主机范围。

信息系统中的主机有联网主机、单机等。常用操作系统包括Windows98,Windows2000,WindowsXP,Linux,Unix等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等，实现使用同一软件解决联网机、单机、笔记本的审计问题。

根据国家有关规定，信息系统划分为不同安全域。安全域可通过划分虚拟网实现，也可通过设置安全隔离设备（如防火墙）实现。主机审计系统应考虑不同安全域中主机的管理和控制，即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心，以便统一进行审计。同时能给出简单网络拓扑，为管理人员提供方便。

3.4主机行为监控。

一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多，不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能，主要用于检查终端的安全策略执行情况，包括补丁安装、弱口令、软件安装、杀毒软件安装等，形成检查报告，让使用人员对本机的安全状况有一个清楚的认识，从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。

主机审计系统对使用受控端主机人员的行为进行限制、监控和记录，包括对文档的修改、拷贝、打印的监控和记录，拨号上网行为的监控和记录，各种外置接口的禁止或启用（并口、串口、USB接口等）,对USB设备进行分类管理，如USB存储设备（U盘，活动硬盘）、USB输入设备（USB键盘、鼠标）、USB2KEY以及自定义设备。通过分类和灵活设置，增强实用性，对受控主机添加和删除设备进行监控和记录，对未安装受控端的主机接入网络拒绝并报警，防止非法主机的接入。

主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息；未通过认证的非法介质只能将信息拷入主机内，不能从主机拷出信息到介质内，否则产生报警信息，防止信息被有意或者无意从存储设备（尤其是移动存储设备）泄漏出去。在认证时，把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时，判断信息密级（国家有关部门规定，信息必须有密级标识）,拒绝低密级介质拷贝高密级信息。

在认证时，把移动介质编号，编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号，以便审计时介质与人对应。信息被拷贝时会自动加密存储在移动介质上，加密存储在移动介质上的信息也只能在装有受控端的主机上读写，读写时自动解密。认证信息只有在移动介质被格式化时才能清除，否则无法删除。有防止系统自动读取介质内文档的功能，避免移动介质接在计算机上（无论是合法还是非法计算机）被系统自动将所有文档读到计算机上。

3.5综合审计及处理措施。

要达到综合审计，主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理，如主机IDS、主机防火墙、防病毒软件等，将这些安全产品的日志、安全事件集中收集管理，实现日志的集中分析、审计与报告。同时，通过对安全事件的关联分析，发现潜在的攻击征兆和安全趋势，确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体，实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应，从而有效提升用户主机的可管理性和安全水平，为整体安全策略制定和实施提供可靠依据。

系统的安全隐患可以从审计报告反映出来，因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计，按要求显示并打印出来，能用图形说明问题，能按标准格式（WORD、HTML、文本文件等）输出。但是，审计信息数据多，直接将收集的信息分类整理形成的报告不能很好的说明问题，还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密，恢复时自动解密。审计信息也可以删除，但是删除操作只能由审计员发起，经安全员确认后才执行，以保证审计信息的安全性、完整性。

审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理，通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统，由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突，会影响终端用户的工作。针对这种情况，只能采取专门的解决方案。

在复杂的网络环境中，一个网往往由不同的操作系统、服务器，防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后，专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准，会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务，将控制中心设置为标准时间，受控端在接收管理的同时，与控制中心保持时间同步，实现审计系统的时间一致性，从而提供有效的入侵检测和事后追查机制。

4结束语

系统的终端安全管理是一个非常重要的问题，也是一个复杂的问题，涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想，旨在与广大同行交流，共同推进主机审计系统的开发和研究，最终开发出一个全方位的符合系统终端安全管理需求的系统。

参考文献：

[1]网络安全监控平台技术白皮书。北京理工大学信息安全与对抗技术研究中心，2005.