序論:在您撰寫安全審計(jì)機(jī)制時(shí),參考他人的優(yōu)秀作品可以開(kāi)闊視野�����,小編為您整理的7篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度����。
第1篇
信息安全綜合審計(jì)工作涉及的對(duì)象和場(chǎng)景很多,其全過(guò)程是一個(gè)非常復(fù)雜的多維集合體,為形成體系化的綜合審計(jì)框架,十分有必要建立一個(gè)多維的綜合審計(jì)模型,并通過(guò)模型確定達(dá)到信息安全綜合審計(jì)治理預(yù)期目標(biāo)需要涉及的詳細(xì)研究對(duì)象和研究?jī)?nèi)容,確定綜合審計(jì)體系包含的具體審計(jì)模式,確定各研究?jī)?nèi)容間的具體依賴關(guān)系,為信息安全綜合審計(jì)工作的開(kāi)展提供科學(xué)合理的全局視圖[2]。多維信息安全綜合審計(jì)模型的建立,旨在對(duì)系統(tǒng)保密性���、完整性�、可用性���、可控性����、不可否認(rèn)性和可核查性這6個(gè)方面的要求,最終的目標(biāo)是對(duì)信息安全的整體性保障。在此目標(biāo)下,根據(jù)信息安全審計(jì)全過(guò)程所涉及的各要素特征,劃分為審計(jì)對(duì)象��、審計(jì)模式和審計(jì)管理3個(gè)維度,同時(shí)為各維度確立了4個(gè)屬性,體現(xiàn)各維度的信息構(gòu)成完整性,以立方體形式對(duì)信息安全綜合審計(jì)體系全過(guò)程進(jìn)行描述�����。
1.1審計(jì)對(duì)象維度
審計(jì)對(duì)象是信息安全活動(dòng)的核心標(biāo)識(shí)載體,是描述信息安全事件不可或缺的要素,根據(jù)信息安全活動(dòng)的特點(diǎn),將審計(jì)對(duì)象劃分為人員�����、時(shí)間����、地點(diǎn)、資源4個(gè)屬性��。人員人員是信息安全活動(dòng)產(chǎn)生的源頭,除了廣義上的人員姓名����、性別、年齡等基本信息外,還需延伸到其在信息安全活動(dòng)中使用的賬號(hào)�����、令牌、證書等個(gè)人標(biāo)識(shí)信息����。時(shí)間時(shí)間是信息安全活動(dòng)的窗口,任何信息安全活動(dòng)都會(huì)產(chǎn)生時(shí)間戳,可用以標(biāo)識(shí)信息安全活動(dòng)的開(kāi)始、結(jié)束及其中間過(guò)程�。地點(diǎn)地點(diǎn)是信息安全活動(dòng)發(fā)生的位置,不僅包括傳統(tǒng)意義上的地理位置信息,還包括網(wǎng)絡(luò)空間中源IP、目的IP等位置信息����。資源資源是信息安全活動(dòng)所依賴的先決條件,包括計(jì)算機(jī)硬件、操作系統(tǒng)���、工具軟件等一切必要的資產(chǎn)����。
1.2審計(jì)模式維度
審計(jì)模式是綜合審計(jì)的具體運(yùn)用,是綜合審計(jì)模型的關(guān)鍵集成點(diǎn),根據(jù)信息安全活動(dòng)的具體類型和場(chǎng)景,將審計(jì)模式劃分為運(yùn)維操作�����、數(shù)據(jù)庫(kù)應(yīng)用��、網(wǎng)絡(luò)應(yīng)用�、終端應(yīng)用4個(gè)屬性��。運(yùn)維操作運(yùn)維工作是支撐網(wǎng)絡(luò)和信息系統(tǒng)穩(wěn)定運(yùn)行的重要前提,但運(yùn)維人員掌握著系統(tǒng)的高級(jí)權(quán)限,由此帶來(lái)的運(yùn)維風(fēng)險(xiǎn)壓力也越來(lái)越大,因此必須引入運(yùn)維操作審計(jì)管理機(jī)制。運(yùn)維操作審計(jì)的核心是加強(qiáng)對(duì)運(yùn)維人員賬號(hào)和權(quán)限的管控,即在集中運(yùn)維模式下實(shí)現(xiàn)運(yùn)維人員與目標(biāo)系統(tǒng)的邏輯分離,構(gòu)建“運(yùn)維人員主賬號(hào)(集中運(yùn)維賬號(hào))授權(quán)從賬號(hào)(目標(biāo)系統(tǒng)賬號(hào))目標(biāo)系統(tǒng)”的管理架構(gòu),并對(duì)具有唯一身份標(biāo)識(shí)的集中運(yùn)維賬號(hào)設(shè)置相應(yīng)的權(quán)限,在此架構(gòu)下實(shí)現(xiàn)精細(xì)化運(yùn)維操作審計(jì)管理[3]���。數(shù)據(jù)庫(kù)應(yīng)用在大數(shù)據(jù)時(shí)代,數(shù)據(jù)庫(kù)是最具有戰(zhàn)略性的資產(chǎn),其黃金價(jià)值不言而喻,數(shù)據(jù)一旦被非法竊取,將造成難以估量的損失�����。運(yùn)維層面的數(shù)據(jù)庫(kù)安全可通過(guò)運(yùn)維操作審計(jì)來(lái)實(shí)現(xiàn),數(shù)據(jù)庫(kù)審計(jì)的核心應(yīng)是加強(qiáng)業(yè)務(wù)應(yīng)用對(duì)數(shù)據(jù)庫(kù)訪問(wèn)合規(guī)性的管控,建立“業(yè)務(wù)系統(tǒng)SQL語(yǔ)句數(shù)據(jù)實(shí)例返回結(jié)果”的識(shí)別監(jiān)聽(tīng)架構(gòu),將采集到的業(yè)務(wù)系統(tǒng)信息��、目標(biāo)實(shí)例對(duì)象�、SQL操作動(dòng)作等信息進(jìn)行基于正常操作規(guī)則的模式匹配,并對(duì)應(yīng)用層訪問(wèn)和數(shù)據(jù)庫(kù)操作請(qǐng)求進(jìn)行多層業(yè)務(wù)關(guān)聯(lián)審計(jì),實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的全追溯[4]���。網(wǎng)絡(luò)應(yīng)用無(wú)論數(shù)據(jù)中心內(nèi)的信息系統(tǒng)還是辦公區(qū)內(nèi)的辦公終端都會(huì)產(chǎn)生大量的網(wǎng)絡(luò)流量,加強(qiáng)對(duì)網(wǎng)絡(luò)流量的識(shí)別和分析,是發(fā)現(xiàn)違規(guī)行為的重要途徑�����。網(wǎng)絡(luò)應(yīng)用審計(jì)的核心是通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù),建立“用戶(業(yè)務(wù)系統(tǒng))交互對(duì)象網(wǎng)絡(luò)流量分類識(shí)別”的管理架構(gòu),對(duì)各類網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行協(xié)議分析,其重點(diǎn)是要對(duì)網(wǎng)站訪問(wèn)�����、郵件收發(fā)��、文件傳輸����、即時(shí)通信、論壇博客���、在線視頻�����、網(wǎng)絡(luò)游戲等典型應(yīng)用進(jìn)行區(qū)分和記錄,達(dá)到對(duì)用戶及業(yè)務(wù)系統(tǒng)間雙向網(wǎng)絡(luò)應(yīng)用的跟蹤審計(jì)[5]�����。終端應(yīng)用終端是信息安全的最后一道防線,同時(shí)也是最薄弱的一個(gè)環(huán)節(jié),無(wú)論是服務(wù)器還是辦公機(jī),要么是應(yīng)用的發(fā)起者要么是接受者,是信息安全事件的落腳點(diǎn)�����。終端應(yīng)用審計(jì)的核心是通過(guò)掃描和監(jiān)控收單,建立“主機(jī)安全基線+介質(zhì)數(shù)據(jù)交換”的管控架構(gòu),對(duì)終端補(bǔ)丁安裝���、防病毒軟件、文件下載�、文檔內(nèi)容的安全基線進(jìn)行記錄審查,并對(duì)移動(dòng)存儲(chǔ)介質(zhì)與外界發(fā)生的數(shù)據(jù)交換進(jìn)行跟蹤記錄,實(shí)現(xiàn)對(duì)終端各類行為審計(jì)的全覆蓋。
1.3審計(jì)管理維度
綜合審計(jì)管理的目的是要實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的全面治理,需包括事前規(guī)劃預(yù)防,事中實(shí)時(shí)監(jiān)控�����、違規(guī)行為阻斷響應(yīng),事后追蹤回溯���、改進(jìn)保護(hù)措施,根據(jù)綜合審計(jì)管理事前��、事中�����、事后三個(gè)階段的特點(diǎn),將控制�����、監(jiān)控���、響應(yīng)、保護(hù)定義為該維度的4個(gè)屬性�。控制指按照權(quán)限最小化原則,采取措施對(duì)一切必要的信息資產(chǎn)訪問(wèn)權(quán)限進(jìn)行嚴(yán)格控制,僅對(duì)合法用戶按需求授權(quán)的管理規(guī)則���。監(jiān)測(cè)指對(duì)各類交互行為進(jìn)行實(shí)時(shí)監(jiān)控,以便及時(shí)發(fā)現(xiàn)信息安全事件的管理規(guī)則���。響應(yīng)指對(duì)監(jiān)測(cè)過(guò)程中發(fā)現(xiàn)的違規(guī)行為進(jìn)行及時(shí)阻斷、及時(shí)處理的管理規(guī)則�����。保護(hù)指對(duì)監(jiān)測(cè)到的各類交互行為進(jìn)行記錄回放、并積極采取改進(jìn)保護(hù)措施的管理規(guī)則���。
2信息安全綜合審計(jì)治理閉環(huán)管理機(jī)制
在多維信息安全綜合審計(jì)模型基礎(chǔ)之上,按照全過(guò)程的管理思路,應(yīng)以綜合治理為目標(biāo)導(dǎo)向,對(duì)存在的信息安全問(wèn)題進(jìn)行閉環(huán)管理,研究事前����、事中����、事后各環(huán)節(jié)的關(guān)聯(lián)關(guān)系,形成相互補(bǔ)充、層層遞進(jìn)的閉環(huán)管理機(jī)制���。
2.1事前階段
制定統(tǒng)一的安全審計(jì)策略,以保證信息系統(tǒng)的可用性��、完整性和保密性為核心,實(shí)現(xiàn)對(duì)用戶身份和訪問(wèn)入口的集中管理,嚴(yán)格權(quán)限管理,堅(jiān)持用戶權(quán)限最小化原則,注重將用戶身份信息與網(wǎng)絡(luò)和信息系統(tǒng)中的各種應(yīng)用與操作行為相結(jié)合,保證審計(jì)過(guò)程與審計(jì)結(jié)果的可靠性與有效性�。
2.2事中階段
實(shí)時(shí)監(jiān)測(cè)運(yùn)維操作��、數(shù)據(jù)庫(kù)應(yīng)用���、網(wǎng)絡(luò)應(yīng)用和終端應(yīng)用產(chǎn)生的數(shù)據(jù),通過(guò)規(guī)則及時(shí)發(fā)現(xiàn)違規(guī)信息安全事件,做到實(shí)時(shí)響應(yīng)�����、實(shí)時(shí)處理,并通過(guò)多個(gè)維度將各種基礎(chǔ)審計(jì)后的安全事件有機(jī)地整合起來(lái),做到信息安全事件的全記錄�、全審計(jì)����。
2.3事后階段
對(duì)各類審計(jì)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理及歸檔入庫(kù),為安全事件的準(zhǔn)確追蹤和回溯提供有力支持。同時(shí),對(duì)信息安全事件進(jìn)行深度分析,查找事件發(fā)生的深層次原因,執(zhí)行有針對(duì)性的彌補(bǔ)措施,并更新信息安全審計(jì)策略,形成良性的管理機(jī)制��。
3信息安全綜合審計(jì)系統(tǒng)架構(gòu)設(shè)計(jì)
3.1技術(shù)架構(gòu)
信息安全綜合審計(jì)系統(tǒng)面臨的一大問(wèn)題就是各業(yè)務(wù)系統(tǒng)與網(wǎng)絡(luò)設(shè)備運(yùn)行獨(dú)立,信息集成和交互程度較低,服務(wù)器��、交換機(jī)���、辦公終端都是獨(dú)立的審計(jì)對(duì)象,均會(huì)產(chǎn)生大量的審計(jì)數(shù)據(jù),但又缺乏集中統(tǒng)一的審計(jì)數(shù)據(jù)管理視角,構(gòu)建對(duì)審計(jì)數(shù)據(jù)的統(tǒng)一處理能力應(yīng)是綜合審計(jì)體系建設(shè)的核心思路,信息安全綜合審計(jì)體系有效運(yùn)行的關(guān)鍵就在于對(duì)可審計(jì)數(shù)據(jù)的采集,以及對(duì)數(shù)據(jù)分析處理的能力�����。因此必須在多維信息安全綜合審計(jì)模型框架下,建設(shè)“原始數(shù)據(jù)收集數(shù)據(jù)標(biāo)準(zhǔn)化處理審計(jì)事件分析事件響應(yīng)與展現(xiàn)”的全過(guò)程處理過(guò)程,實(shí)現(xiàn)從采集到展現(xiàn)的一體化綜合審計(jì)系統(tǒng),包括數(shù)據(jù)采集�、數(shù)據(jù)處理��、事件分析和事件響應(yīng)4大功能模塊���。數(shù)據(jù)采集對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包����、主機(jī)中的重要數(shù)據(jù)的操作行為、操作系統(tǒng)日志�、安全設(shè)備日志、網(wǎng)絡(luò)設(shè)備日志等原始數(shù)據(jù)進(jìn)行收集;數(shù)據(jù)處理將采集到的原始數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理,將處理后的數(shù)據(jù)變?yōu)槿罩?存儲(chǔ)到數(shù)據(jù)庫(kù)中,并交付“事件分析”模塊;事件分析對(duì)標(biāo)準(zhǔn)化處理后的事件進(jìn)行分析�����、匯總,同時(shí)結(jié)合人員信息做出綜合判斷,有選擇地將分析結(jié)果發(fā)送到“事件響應(yīng)”單元,并進(jìn)行存儲(chǔ)與展現(xiàn);事件響應(yīng)對(duì)分析后的結(jié)果做出反應(yīng)的單元,可以結(jié)合其他的安全措施對(duì)事件做出中斷會(huì)話��、改變文件屬性���、限制流量等操作��。
3.2業(yè)務(wù)架構(gòu)
安全綜合審計(jì)應(yīng)保證審計(jì)范圍的完整性,只有范圍覆蓋得合理且全面,才能保證信息安全審計(jì)的充分性和有效性,才能達(dá)到綜合治理的目的��。同時(shí),過(guò)大的系統(tǒng)覆蓋維度又會(huì)使審計(jì)點(diǎn)過(guò)多,導(dǎo)致審計(jì)體系無(wú)法貫徹落實(shí)����。因此,應(yīng)在多維信息安全綜合審計(jì)模塊框架下對(duì)運(yùn)維操作��、數(shù)據(jù)庫(kù)應(yīng)用��、網(wǎng)絡(luò)應(yīng)用和終端應(yīng)用開(kāi)展審計(jì)工作�。通過(guò)對(duì)運(yùn)維操作、數(shù)據(jù)庫(kù)應(yīng)用���、網(wǎng)絡(luò)應(yīng)用��、終端應(yīng)用等各類審計(jì)關(guān)鍵技術(shù)的整合,充分運(yùn)用數(shù)據(jù)統(tǒng)計(jì)��、數(shù)據(jù)分析�、數(shù)據(jù)展現(xiàn)等手段,構(gòu)建完備的綜合審計(jì)知識(shí)庫(kù),再結(jié)合信息安全實(shí)際環(huán)境和治理策略,制定科學(xué)合理的審計(jì)規(guī)則,實(shí)現(xiàn)信息安全治理工作技術(shù)與管理的統(tǒng)一,從根本上提高信息安全綜合治理能力[6]�����。
第2篇
關(guān)鍵詞:系統(tǒng)日志���;回調(diào)機(jī)制���;松耦合
中圖分類號(hào):TP309文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)24-1150-02
The Application of Callback Mechanism in the Security System Log
LI Jian-hui1, DENG Zhao-hui2
(1.Yueyang Radio and TV University,Yueyang 414000,China;2.Chenzhou Vocational Technical College,Chenzhou 423000,China)
Abstract: Inside a complete information system, the diary system is an extremely important function constituent. Under it may record all behaviors which the system produces, and defers to some way to preserve. We may use the information which the diary system records for the system to carry on misprinting, the optimized system performance. In the security domain, the diary system status is more important, it is one of safe audit aspect most main tools. This article introduced adjusts callback utilization in the diary system.
Key words: systems log;call-back;lax-coupling
系統(tǒng)的日志記錄提供了對(duì)系統(tǒng)活動(dòng)的詳細(xì)審計(jì),這些日志用于評(píng)估�、審查系統(tǒng)的運(yùn)行環(huán)境和各種操作。對(duì)于一般情況����,日志記錄包括記錄用戶登錄時(shí)間、登錄地點(diǎn)�、操作內(nèi)容等項(xiàng)目,在一個(gè)完整的安全審計(jì)系統(tǒng)里面�����,日志系統(tǒng)是一個(gè)非常重要的功能組成部分。
1 問(wèn)題地提出
通常�,借助于面向?qū)ο蟮姆治觥⒃O(shè)計(jì)和實(shí)現(xiàn)技術(shù)����,開(kāi)發(fā)者可以將用戶的需求轉(zhuǎn)換為軟件系統(tǒng)中的模塊,從而很自然地完成從需求到軟件的轉(zhuǎn)換�����。但是�,在軟件系統(tǒng)中,往往有很多模塊�,或者很多類共享某個(gè)行為,或者是某個(gè)行為存在于軟件的各個(gè)模塊中�����,這個(gè)行為可以看作是“橫向”存在于軟件之中��,它所關(guān)注的是軟件的各個(gè)部分的一些共有的行為�����,而且,這種行為在很多情況下不屬于業(yè)務(wù)邏輯的一部分(如圖1)����,系統(tǒng)日志的記錄就屬于這種行為。這種操作并不是業(yè)務(wù)邏輯調(diào)用的必須部分�����,但是���,開(kāi)發(fā)者卻往往不得不在代碼中顯式進(jìn)行調(diào)用,并承擔(dān)由此帶來(lái)的后果(例如�,當(dāng)日志記錄的接口發(fā)生變化時(shí),必須對(duì)調(diào)用代碼進(jìn)行修改)���。這種問(wèn)題����,使用傳統(tǒng)的面向?qū)ο蟮姆椒ㄊ呛茈y解決的�。本文就討論在Delphi中如何將這些“橫切面”與業(yè)務(wù)邏輯代碼相分離,從而得到松耦合軟件結(jié)構(gòu)以及更好的性能�、穩(wěn)定性等方面的好處。
圖1 業(yè)務(wù)邏輯示意圖
2 分析問(wèn)題
對(duì)于日志系統(tǒng)�����,為了得到好的程序結(jié)構(gòu),通常使用面向?qū)ο蟮姆椒?,將系統(tǒng)日志過(guò)程封裝在一個(gè)類中,這個(gè)類包含了一個(gè)系統(tǒng)日志的代碼�����,例如:
TLog=class//日志類
procedure exepre(Sender: TObject);//執(zhí)行業(yè)務(wù)邏輯前的系統(tǒng)日志
procedure exeback(Sender: TObject);//執(zhí)行業(yè)務(wù)邏輯后的系統(tǒng)日志end;
TBusiness =class(TLog)//業(yè)務(wù)邏輯類
procedure Business (Sender: TObject);//業(yè)務(wù)邏輯
end;
……//處理業(yè)務(wù)邏輯
exeback(Sender);//處理業(yè)務(wù)邏輯后記錄系統(tǒng)日志
end;
procedure TForm1.Button1Click(Sender: TObject);
begin
mybusiness:= TBusiness.Create();
mybusiness. Business (Memo1);//調(diào)用業(yè)務(wù)邏輯
end;
procedure TLog.exepre(Sender: TObject);
begin
TMemo(Sender).Lines. Add('業(yè)務(wù)邏輯開(kāi)始')
end;
procedure TLog.exeback(Sender: TObject);
begin
TMemo(Sender).Lines. Add('業(yè)務(wù)邏輯結(jié)束')
end;
end.
通常情況下��,實(shí)現(xiàn)日志系統(tǒng)的最直接的方法:創(chuàng)建一個(gè)類���,將日志功能放在其中�����,并讓所有需要日志功能的類繼承這個(gè)類����。這樣的方法有如下問(wèn)題:
1) 如果這個(gè)需求是后期提出的�����,需要修改的地方就會(huì)分散在多達(dá)數(shù)十個(gè)分散的文件中。巨大的修改量�,無(wú)疑會(huì)增加出錯(cuò)的幾率,并且加大系統(tǒng)維護(hù)的難度�。
2) 代碼混亂:軟件系統(tǒng)中的模塊可能要同時(shí)兼顧幾個(gè)方面的需要。舉例來(lái)說(shuō)���,開(kāi)發(fā)者經(jīng)常要同時(shí)考慮業(yè)務(wù)邏輯和日志問(wèn)題��,兼顧各方面的需要會(huì)導(dǎo)致兩種實(shí)現(xiàn)元素同時(shí)出現(xiàn)���,從而引起代碼混亂。
3) 緊耦合:使用這種方法�����,我們必須在業(yè)務(wù)邏輯代碼必須繼承自TLog類���,這就造成了業(yè)務(wù)邏輯代碼同TLog類的緊耦合,這意味著�����,當(dāng)TLog發(fā)生變化時(shí)����,例如��,當(dāng)系統(tǒng)進(jìn)化需要對(duì)exepre和exeback的方法進(jìn)行改動(dòng)時(shí)��,可能會(huì)影響到所有引用代碼����。
3 解決方案
為了解決上述問(wèn)題�����,考慮引入Delphi中的回調(diào)機(jī)制[1]��?�;卣{(diào)機(jī)制的基本思想就是調(diào)用者在初始化一個(gè)對(duì)象(這里的對(duì)象是泛指���,包括OOP中的對(duì)象�、全局函數(shù)等)時(shí)���,將一些參數(shù)傳遞給對(duì)象�,同時(shí)將一個(gè)調(diào)用者可以訪問(wèn)的函數(shù)地址傳遞給該對(duì)象����。這個(gè)函數(shù)就是調(diào)用者和被調(diào)用者之間的一種通知約定�����,當(dāng)約定的事件發(fā)生時(shí)����,被調(diào)用者(一般會(huì)包含一個(gè)工作線程)就會(huì)按照回調(diào)函數(shù)地址調(diào)用該函數(shù)��。如下是回調(diào)函數(shù)的一個(gè)簡(jiǎn)單實(shí)例:
1) 回調(diào)函數(shù)類型定義:
TCalcFunc=function (a:integer;b:integer):integer;
2) 按照回調(diào)函數(shù)的格式自定義函數(shù)的實(shí)現(xiàn)���,如
function Add(a:integer;b:integer):integer
begin
result:=a+b;
end;
function Sub(a:integer;b:integer):integer
begin
result:=a-b;
end;
3) 回調(diào)的使用
function Calc(mycalc:TcalcFunc;a:integer;b:integer):integer
begin
mycalc(a,b);……………………………..③
end;
4) 下面��,我們就可以在我們的程序里按照需要調(diào)用這兩個(gè)函數(shù)了
c:=calc(@add,a,b);//c=a+b…………………①
c:=calc(@sub,a,b);//c=a-b………………….②
通過(guò)上面的實(shí)例我們可以看出:程序中在①②處分別兩次調(diào)用了calc()函數(shù)���,第一次采用add()函數(shù)的地址和兩個(gè)數(shù)作為參數(shù),第二次采用sub()函數(shù)的地址和兩個(gè)數(shù)作為參數(shù)����。相當(dāng)于通過(guò)調(diào)用一個(gè)函數(shù)calc()�����,傳遞了不同的函數(shù)地址參數(shù),得到了不同函數(shù)的調(diào)用����。
以上是回調(diào)函數(shù)的的基本思想,如果將系統(tǒng)日志操作語(yǔ)句放在③處的上面和下面���,這樣在不改動(dòng)業(yè)務(wù)邏輯add()����、sub()函數(shù)的基礎(chǔ)上增加了系統(tǒng)日志����。下面將本文第一個(gè)例子采用回調(diào)機(jī)制重新改寫,結(jié)果如下���。
為了實(shí)現(xiàn)松散耦合結(jié)構(gòu)�,利用兩個(gè)類分別實(shí)現(xiàn)日志功能和業(yè)務(wù)邏輯��。
type
THDProcedure = procedure(Sender: TObject) of object;
TLog=class//日志類
procedure Mylog(mypro:THDProcedure;Sender: TObject);//處理系統(tǒng)日志
end;
TBusiness=class //業(yè)務(wù)邏輯類
…….. //處理業(yè)務(wù)邏輯
End;
procedure TForm1.FormCreate(Sender: TObject);
begin
rz:=TLog.Create();
dz:=TBusiness.Create();
end;
end.(下轉(zhuǎn)第1154頁(yè))
(上接第1151頁(yè))
以上日志類和業(yè)務(wù)邏輯類的定義中��,需要說(shuō)明的是:
1) 回調(diào)函數(shù)類型定義:THDProcedure = procedure(Sender: TObject) of object��,這個(gè)定義中的參數(shù)必須與業(yè)務(wù)邏輯類中的處理業(yè)務(wù)邏輯方法的參數(shù)一致���。
2) 因?yàn)槎x的回調(diào)函數(shù)不是一個(gè)普通的函數(shù)��,它是業(yè)務(wù)邏輯類對(duì)象的方法��,所以of object關(guān)鍵字是表示這個(gè)方法屬于對(duì)象方法(不是類方法)���,也就是說(shuō)這個(gè)函數(shù)類型的參數(shù)列表中將包括隱含的self參數(shù)(其中參數(shù)為對(duì)象方法中要使用的對(duì)象指針)�����。
3) 業(yè)務(wù)邏輯類中的處理業(yè)務(wù)邏輯方法必須聲明為Published[2]�,否則就會(huì)發(fā)生錯(cuò)誤�,這是為什么呢?因?yàn)閷?duì)象方法的地址不能簡(jiǎn)單的通過(guò)“@”符號(hào)得到�,必須使用TObject.MethodAddress方法,MethodAddress 使用RTTI通過(guò)對(duì)象方法名獲取一個(gè)對(duì)象方法的地址�����,但MethodAddress方法只能取出Published型的方法���,如果沒(méi)有聲明為Published�����,則MethodAddress(對(duì)象方法名)會(huì)返回空�����,導(dǎo)致錯(cuò)誤�����。
4) Routine變量是方法指針�,它實(shí)際上是一對(duì)指針:第一個(gè)存儲(chǔ)方法的地址�����,第二個(gè)存儲(chǔ)方法所屬的對(duì)象的引用����。
通過(guò)利用回調(diào)機(jī)制的重新改寫,系統(tǒng)主要由三個(gè)大模塊組成:日志模塊(Tlog類)�、業(yè)務(wù)邏輯模塊(Tbusiness類)和組合模塊(TForm1類)。那么系統(tǒng)的開(kāi)發(fā)包括三個(gè)清晰的開(kāi)發(fā)步驟:
第一步:功能分解:本步驟中�,把核心模塊級(jí)和系統(tǒng)模塊級(jí)的功能分離開(kāi)來(lái),就上述的例子來(lái)說(shuō)明����,即可以分解出兩個(gè)功能模塊:核心級(jí)的業(yè)務(wù)邏輯功能模塊�、系統(tǒng)級(jí)的日志功能模塊�。
第二步:功能實(shí)現(xiàn):各自獨(dú)立的實(shí)現(xiàn)這些功能模塊,仍然沿用上面的例子����,即實(shí)現(xiàn)業(yè)務(wù)邏輯處理單元和日志單元。
第三步:功能的重新組合:本步驟中�����,通過(guò)創(chuàng)建一個(gè)模塊單元�,一方面來(lái)指定重組的規(guī)則,另一方面則使用這些信息來(lái)構(gòu)建最終系統(tǒng)�����。以上述例子說(shuō)明���,即指定哪些操作需要記錄����。
4 結(jié)論
總而言之����,回調(diào)機(jī)制不僅可幫助我們解決傳統(tǒng)方法對(duì)系統(tǒng)日志操作中出現(xiàn)的代碼后期維護(hù)�����、代碼混亂、緊耦合等問(wèn)題����,它還有更多的優(yōu)勢(shì):
1) 系統(tǒng)容易擴(kuò)展:由于日志功能模塊和業(yè)務(wù)邏輯功能模塊根本不知道彼此的存在,所以很容易通過(guò)建立新的功能模塊加入新的功能����,使系統(tǒng)易于擴(kuò)展。
2) 更好的代碼重用性:把每個(gè)功能實(shí)現(xiàn)為獨(dú)立的模塊����,模塊之間是松散耦合的。舉例來(lái)說(shuō)���,我們可以用另外一個(gè)獨(dú)立的日志寫入器功能來(lái)替換當(dāng)前的模塊�,用于把日志寫入數(shù)據(jù)庫(kù)�����,以滿足不同的日志寫入要求���。松散藕合的實(shí)現(xiàn)通常意味著更好的代碼重用性��。
回調(diào)機(jī)制不僅僅可以在系統(tǒng)日志中發(fā)揮重要作用�,而且它還可以運(yùn)用在系統(tǒng)安全、模式匹配的性能分析[3-4]��、驗(yàn)證等方面���。
參考文獻(xiàn):
[1] Steve Teixeira,Xavier Pacheco.Delphi 5開(kāi)發(fā)人員指南[M].北京:機(jī)械工業(yè)出版社,2001.
[2] 耿宏運(yùn),陳站林,趙宗福,等.Delphi6組件大全[M].北京:電子工業(yè)出版社,2002.
第3篇
關(guān)鍵詞:網(wǎng)絡(luò)安全審計(jì)����;日志�����;日志格式
中圖分類號(hào):TP311文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)14-20803-02
1 引言
防火墻�����、入侵檢測(cè)系統(tǒng)和安全審計(jì)系統(tǒng)等安全產(chǎn)品為內(nèi)部網(wǎng)絡(luò)提供了良好的保護(hù)作用�。安全審計(jì)系統(tǒng)提供了一種通過(guò)收集各種網(wǎng)絡(luò)信息從而發(fā)現(xiàn)有用信息的機(jī)制,將這種機(jī)制應(yīng)用于局域網(wǎng)內(nèi)部�,從多種網(wǎng)絡(luò)安全產(chǎn)品中收集日志和警報(bào)信息并分析,從而實(shí)現(xiàn)效能的融合,與防火墻�、入侵檢測(cè)系統(tǒng)等安全產(chǎn)品形成合力,為局域網(wǎng)的安全提供強(qiáng)有力的保障����。
如何高效的從各種網(wǎng)絡(luò)設(shè)備所生成的海量的日志數(shù)據(jù)信息中提取有用信息,通過(guò)格式的統(tǒng)一整合后為安全審計(jì)系統(tǒng)提供統(tǒng)一接口�,這是安全審計(jì)系統(tǒng)一項(xiàng)十分關(guān)鍵的工作��,也是影響整個(gè)系統(tǒng)性能的一個(gè)重要因素�,本文就此進(jìn)行探討。
2 安全審計(jì)系統(tǒng)的功能需求
安全監(jiān)控與審計(jì)技術(shù)通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)��,分析用戶和系統(tǒng)的行為���、審計(jì)系統(tǒng)配置和漏洞�����、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性�、識(shí)別攻擊行為����、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、跟蹤識(shí)別違反安全法則的行為等功能,使系統(tǒng)管理員可以有效地監(jiān)控�����、評(píng)估自己的系統(tǒng)和網(wǎng)絡(luò)���。監(jiān)控審計(jì)技術(shù)是對(duì)防火墻和入侵檢測(cè)系統(tǒng)的有效補(bǔ)充��,彌補(bǔ)了傳統(tǒng)防火墻對(duì)網(wǎng)絡(luò)傳輸內(nèi)容粗粒度(傳輸層以下)的控制不足��,同時(shí)作為一種重要的網(wǎng)絡(luò)安全防范手段�����,對(duì)檢測(cè)手段單一的入侵檢測(cè)系統(tǒng)也是有益的補(bǔ)充�����,能及時(shí)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控�,規(guī)范網(wǎng)絡(luò)的使用[1]�����。
目前��,安全審計(jì)系統(tǒng)是網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)研究熱點(diǎn),許多研究者都提出了不同的系統(tǒng)模型�,這包括對(duì)內(nèi)容進(jìn)行審計(jì)的安全審計(jì)系統(tǒng)、對(duì)用戶行為進(jìn)行審計(jì)的安全審計(jì)系統(tǒng)以及對(duì)各種安全設(shè)備生成的日志進(jìn)行審計(jì)的安全審計(jì)系統(tǒng)等等��。
基于日志的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是一個(gè)日志接收與日志分析的審計(jì)系統(tǒng)�,該系統(tǒng)能夠接收、分析審計(jì)局域網(wǎng)內(nèi)的防火墻�、入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品生成的日志,審計(jì)局域網(wǎng)內(nèi)的網(wǎng)絡(luò)信息安全����。基于日志的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的功能需求如下:
(1) 集中管理:審計(jì)系統(tǒng)通過(guò)提供一個(gè)統(tǒng)一的集中管理平臺(tái)����,實(shí)現(xiàn)對(duì)日志���、安全審計(jì)中心�����、日志數(shù)據(jù)庫(kù)的集中管理�,包括對(duì)日包更新����、備份和刪除等操作�。
(2) 能采集各種操作系統(tǒng)的日志����,防火墻系統(tǒng)日志,入侵檢測(cè)系統(tǒng)日志��,網(wǎng)絡(luò)交換及路由設(shè)備的日志�����,各種服務(wù)和應(yīng)用系統(tǒng)日志���,并且具備處理多日志來(lái)源��、多種不同格式日志的能力���。
(3) 審計(jì)系統(tǒng)不僅要能對(duì)不同來(lái)源的日志進(jìn)行識(shí)別、歸類和存儲(chǔ)��,還應(yīng)能自動(dòng)將其收集到的各種日志轉(zhuǎn)換為統(tǒng)一的日志格式��,以供系統(tǒng)調(diào)用��。并且能以多種方式查詢網(wǎng)絡(luò)中的日志記錄信息,以報(bào)表的形式顯示����。
(4) 能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全問(wèn)題并通知管理員采取相應(yīng)措施。系統(tǒng)必須從海量的數(shù)據(jù)信息中找出可疑或危險(xiǎn)的日志信息�����,并及時(shí)以響鈴���、E-mail或其他方式報(bào)警�,通知管理員采取應(yīng)對(duì)措施及修復(fù)漏洞���。
(5) 審計(jì)系統(tǒng)的存在應(yīng)盡可能少的占用網(wǎng)絡(luò)資源�,不對(duì)網(wǎng)絡(luò)造成任何不良的影響�����。
(6) 具備一定的隱蔽性和自我保護(hù)能力�。具有隱蔽性是說(shuō)系統(tǒng)的存在應(yīng)該合理“隱藏”起來(lái)����,做到對(duì)于入侵者來(lái)說(shuō)是透明而不易察覺(jué)系統(tǒng)的存在����。
(7) 保證安全審計(jì)系統(tǒng)使用的各種數(shù)據(jù)源的安全性和有效性���。若采用未經(jīng)加密的明文進(jìn)行數(shù)據(jù)傳輸�,很容易被截獲�����、篡改和偽造���,工作站與服務(wù)器之間的通訊應(yīng)進(jìn)行加密傳輸����,可采用SSL�����、AES�、3DES等加密方式。
(8) 具有友好的操作界面�。
3 安全審計(jì)系統(tǒng)的模型概述
如圖1所示,基于日志的安全審計(jì)系統(tǒng)主要包含如下模塊:
(1) :負(fù)責(zé)收集各種日志數(shù)據(jù)���,包括各種操作系統(tǒng)的日志����,防火墻系統(tǒng)日志、入侵檢測(cè)系統(tǒng)日志�����、網(wǎng)絡(luò)交換及路由設(shè)備的日志��、各種服務(wù)和應(yīng)用系統(tǒng)日志等��。定時(shí)或?qū)崟r(shí)發(fā)送到審計(jì)中心�。其間,日志數(shù)據(jù)的傳送采用加密方式進(jìn)行發(fā)送�����,防止數(shù)據(jù)被截獲�、篡改和偽造。
(2) 數(shù)據(jù)預(yù)處理模塊:將采集到的日志數(shù)據(jù)經(jīng)過(guò)解密后按照數(shù)據(jù)來(lái)源存入相應(yīng)的數(shù)據(jù)庫(kù)中����。
(3) 系統(tǒng)管理模塊:負(fù)責(zé)對(duì)日志�、安全審計(jì)中心�、日志數(shù)據(jù)庫(kù)的集中管理�,包括對(duì)日志數(shù)據(jù)的更新、備份和刪除等操作�。
(4) 數(shù)據(jù)處理模塊:負(fù)責(zé)自動(dòng)將收集到的各種日志轉(zhuǎn)換為統(tǒng)一的日志格式,并且從海量的數(shù)據(jù)中通過(guò)模式匹配�,發(fā)現(xiàn)并找出可疑或危險(xiǎn)的日志信息,交由“日志報(bào)警處理模塊”進(jìn)行處理�����。
(5) 日志報(bào)警處理模塊:處理已發(fā)現(xiàn)的問(wèn)題��,以響鈴����、E-mail或其他方式報(bào)警通知管理員采取應(yīng)對(duì)措施。
(6) 數(shù)據(jù)庫(kù)模塊:負(fù)責(zé)接收�、保存各種日志數(shù)據(jù),包括策略庫(kù)也存放其中�。
(7) 接口模塊:供用戶訪問(wèn)、查詢����。
4 安全審計(jì)系統(tǒng)中有用數(shù)據(jù)整合的方法
4.1 安全審計(jì)系統(tǒng)的數(shù)據(jù)源
安全審計(jì)系統(tǒng)可以利用的日志大致分為以下四類[2]:
4.1.1 操作系統(tǒng)日志
a) Windows系統(tǒng)日志。Windows NT/2K/XP的系統(tǒng)日志文件有應(yīng)用程序日志、安全日志和系統(tǒng)日志等���,日志默認(rèn)位置在%systemroot%\system32\config目錄下�����。Windows是使用一種特殊的格式存放它的日志文件��,這種格式的文件通常只可以通過(guò)事件查看器EVENT VIEWER讀取�����。
b) Linux/Unix系統(tǒng)日志�����。在Linux/Unix系統(tǒng)中�,有三個(gè)主要的日志子系統(tǒng):連接時(shí)間日志�����、進(jìn)程統(tǒng)計(jì)日志和錯(cuò)誤日志��。錯(cuò)誤日志――由syslogd(8)執(zhí)行�。各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過(guò)syslog向文件/var/log/messages報(bào)告值得注意的事件。
4.1.2 安全設(shè)備日志
安全設(shè)備日志主要是指防火墻���,入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志。這部分日志格式?jīng)]有統(tǒng)一標(biāo)準(zhǔn)�。目前,國(guó)內(nèi)多數(shù)防火墻支持WELF(Web Trends Enhanced Log Format)的日志格式����,而多數(shù)入侵檢測(cè)系統(tǒng)的日志兼容Snort產(chǎn)生日志格式。
4.1.3 網(wǎng)絡(luò)設(shè)備日志
網(wǎng)絡(luò)設(shè)備日志是指網(wǎng)絡(luò)中交換機(jī)�、路由器等網(wǎng)絡(luò)設(shè)備產(chǎn)生的日志,這些設(shè)備日志通常遵循RFC3164(TheBSD syslog Protocol)規(guī)定的日志格式,可以通過(guò)syslogd實(shí)現(xiàn)方便的轉(zhuǎn)發(fā)和處理����。一個(gè)典型的syslog記錄包括生成該記錄的進(jìn)程名字、文本信息�����、設(shè)備和優(yōu)先級(jí)范圍等��。
4.1.4 應(yīng)用系統(tǒng)日志
應(yīng)用系統(tǒng)日志包含由各種應(yīng)用程序記錄的事件���。應(yīng)用系統(tǒng)的程序開(kāi)發(fā)員決定記錄哪一個(gè)事件�。Web應(yīng)用程序日志往往是系統(tǒng)管理員最關(guān)心的應(yīng)用系統(tǒng)日志之一。
a) Apache日志���。Apache日志記錄Apache服務(wù)器處理的所有請(qǐng)求和出錯(cuò)信息��,它支持兩種格式的日志:普通記錄格式(Common Log Format)����,組合記錄格式(Combined Log Format)�����。
b) IIS日志��。IIS日志文件記錄了所有訪問(wèn)IIS服務(wù)程序的信息���,IIS日志文件一般位于如下路徑:%systemroot%\system32\LogFiles��。IIS支持“W3C擴(kuò)充日志文件格式”��、“NCSA通用日志格式”和“ODBC數(shù)據(jù)庫(kù)日志格式”�����。
第4篇
論文關(guān)鍵詞:安全審計(jì) 日志 數(shù)據(jù)挖掘
論文摘要:該文提出了無(wú)線網(wǎng)關(guān)安全審計(jì)系統(tǒng)的系統(tǒng)模型�����,詳細(xì)介紹了該系統(tǒng)的設(shè)計(jì)思想和流程����。在系統(tǒng)中通過(guò)改進(jìn)syslog機(jī)制�����,引入有學(xué)習(xí)能力的數(shù)據(jù)挖掘技術(shù)����,實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)關(guān)的安全審計(jì)。
無(wú)線網(wǎng)關(guān)作為無(wú)線網(wǎng)絡(luò)與布線網(wǎng)絡(luò)之間的橋梁����,所有的通信都必須經(jīng)過(guò)無(wú)線網(wǎng)關(guān)的審計(jì)與控制。在無(wú)線網(wǎng)絡(luò)中��,無(wú)線網(wǎng)關(guān)放置在無(wú)線網(wǎng)絡(luò)的邊緣�����,相當(dāng)于無(wú)線網(wǎng)絡(luò)的大門�����,當(dāng)無(wú)線網(wǎng)關(guān)遭到攻擊和入侵時(shí),災(zāi)難會(huì)殃及整個(gè)無(wú)線網(wǎng)絡(luò)��,使無(wú)線網(wǎng)絡(luò)不能工作或異常工作�����,由此可見(jiàn)�����,對(duì)無(wú)線網(wǎng)關(guān)進(jìn)行安全審計(jì)是十分有意義的�。
一、系統(tǒng)概述
本文研究的安全審計(jì)系統(tǒng)是北京市重點(diǎn)實(shí)驗(yàn)室科研項(xiàng)目智能化無(wú)線安全網(wǎng)關(guān)的一部分�����。智能化無(wú)線安全網(wǎng)關(guān)在無(wú)線網(wǎng)關(guān)上集成具有IDS和防火墻功能的模塊����,以及控制和阻斷模塊,這些功能模塊在統(tǒng)一操作系統(tǒng)的基礎(chǔ)上���,既各司其職��,又密切合作���,共同完成防范��、預(yù)警��、響應(yīng)和自學(xué)習(xí)的功能����,構(gòu)成一個(gè)有機(jī)的安全體系�����。
無(wú)線網(wǎng)關(guān)的安全審計(jì)系統(tǒng)���,其主要功能就是在事后通過(guò)審計(jì)分析無(wú)線安全網(wǎng)關(guān)的日志信息,識(shí)別系統(tǒng)中的異?��;顒?dòng)����,特別是那些被其他安全防范措施所遺漏的非法操作或入侵活動(dòng)�,并采取相應(yīng)的報(bào)告��,以有利于網(wǎng)絡(luò)管理員及時(shí)有效地對(duì)入侵活動(dòng)進(jìn)行防范���,確保網(wǎng)絡(luò)的安全。無(wú)線網(wǎng)關(guān)安全審計(jì)系統(tǒng)是針對(duì)無(wú)線網(wǎng)絡(luò)的安全運(yùn)作而提出的����,主要包括數(shù)據(jù)控制、數(shù)據(jù)采集���、日志歸類����、日志的審計(jì)與報(bào)警等幾大基本功能����。
首先��,審計(jì)系統(tǒng)的數(shù)據(jù)控制模塊對(duì)進(jìn)出的數(shù)據(jù)信息進(jìn)行嚴(yán)格的控制����,根據(jù)預(yù)定義的規(guī)則進(jìn)行必要的限制�,適當(dāng)?shù)亟档惋L(fēng)險(xiǎn)。其次�,安全審計(jì)系統(tǒng)的數(shù)據(jù)采集模塊收集無(wú)線安全網(wǎng)關(guān)的網(wǎng)絡(luò)日志���、系統(tǒng)日志、及用戶和應(yīng)用日志��。隨后�����,采集部件收集到的日志記錄被送到日志歸類模塊���,根據(jù)日志記錄行為的不同層次來(lái)進(jìn)行分類�。最后��,使用審計(jì)與報(bào)警模塊對(duì)日志記錄進(jìn)行審計(jì)分析�。這時(shí)可以根據(jù)預(yù)先定義好的安全策略對(duì)海量的日志數(shù)據(jù)進(jìn)行對(duì)比分析��,以檢測(cè)出無(wú)線網(wǎng)關(guān)中是否存在入侵行為���、異常行為或非法操作��。管理員可以初始化或變更系統(tǒng)的配置和運(yùn)行參數(shù)����,使得安全審計(jì)系統(tǒng)具有良好的適應(yīng)性和可操作性。
二��、系統(tǒng)設(shè)計(jì)
1�����、系統(tǒng)結(jié)構(gòu)組成
2��、設(shè)計(jì)思想
系統(tǒng)從數(shù)據(jù)采集點(diǎn)采集數(shù)據(jù)�,將數(shù)據(jù)進(jìn)行處理后放入審計(jì)數(shù)據(jù)庫(kù),采用有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法����,從“正常”的日志數(shù)據(jù)中發(fā)掘“正?���!钡木W(wǎng)絡(luò)通信模式,并和常規(guī)的一些攻擊規(guī)則庫(kù)進(jìn)行關(guān)聯(lián)分析�,達(dá)到檢測(cè)網(wǎng)絡(luò)入侵行為和非法操作的目的。
3���、系統(tǒng)的詳細(xì)設(shè)計(jì)
(1)數(shù)據(jù)的控制
數(shù)據(jù)控制模塊使用基于Netfilter架構(gòu)的防火墻軟件iptables對(duì)進(jìn)出的數(shù)據(jù)信息進(jìn)行嚴(yán)格的控制���,適當(dāng)?shù)亟档惋L(fēng)險(xiǎn)�����。
(2)數(shù)據(jù)的采集
數(shù)據(jù)采集模塊�����,即日志的采集部件���,為了實(shí)現(xiàn)日志記錄的多層次化,即需記錄網(wǎng)絡(luò)�、系統(tǒng)、應(yīng)用和用戶等各種行為來(lái)全面反映黑客的攻擊行為����,所以在無(wú)線安全網(wǎng)關(guān)中設(shè)置了多個(gè)數(shù)據(jù)捕獲點(diǎn),其主要有系統(tǒng)審計(jì)日志����、安全網(wǎng)關(guān)日志�、防火墻日志和入侵檢測(cè)日志4種。
(3)日志的歸類
日志歸類模塊主要是為了簡(jiǎn)化審計(jì)時(shí)的工作量而設(shè)計(jì)的���,它的主要功能是根據(jù)日志記錄行為的不同層次來(lái)進(jìn)行分類���,將其歸為網(wǎng)絡(luò)行為��、系統(tǒng)行為�����,應(yīng)用行為���、用戶行為中的一種,同時(shí)進(jìn)行時(shí)間歸一化�����。進(jìn)行日志分類目的是對(duì)海量信息進(jìn)行區(qū)分�,以提高日志審計(jì)時(shí)的分析效率。
(4)日志審計(jì)與報(bào)警
日志審計(jì)與報(bào)警模塊側(cè)重對(duì)日志信息的事后分析��,該模塊的主要功能是對(duì)網(wǎng)關(guān)日志信息進(jìn)行審計(jì)分析�����,即將收到的日志信息通過(guò)特定的策略進(jìn)行對(duì)比�,以檢測(cè)出不合規(guī)則的異常事件。隨著審計(jì)過(guò)程的進(jìn)行,若該異常事件的可疑度不斷增加以致超過(guò)某一閾值時(shí)���,系統(tǒng)產(chǎn)生報(bào)警信息����。該模塊包括日志信息的接收����、規(guī)則庫(kù)的生成、日志數(shù)據(jù)的預(yù)處理�����、日志審計(jì)等幾個(gè)功能����。
三、系統(tǒng)的實(shí)現(xiàn)
1���、系統(tǒng)的開(kāi)發(fā)環(huán)境
智能無(wú)線安全網(wǎng)關(guān)安全審計(jì)系統(tǒng)是基于linux操作系統(tǒng)開(kāi)發(fā)的B/S模式的日志審計(jì)系統(tǒng)�。開(kāi)發(fā)工具為前臺(tái):Windows XPprofessional+html+php后臺(tái):Linux+Apache+Mysql+C++�。
2���、系統(tǒng)的處理流程
前面已經(jīng)詳細(xì)介紹了該系統(tǒng)的設(shè)計(jì)思想����,系統(tǒng)的處理流程如圖2所示:
3、日志歸類模塊的實(shí)現(xiàn)
無(wú)線網(wǎng)關(guān)的日志采用linux的syslog機(jī)制進(jìn)行記錄����,syslog記錄的日志中日期只包含月和日,沒(méi)有年份���。在本模塊中����,對(duì)日志記錄的syslog機(jī)制進(jìn)行一些改進(jìn)��,克服其在日志中不能記錄年的問(wèn)題����。
下面以無(wú)線網(wǎng)關(guān)的日志為例,說(shuō)明其實(shí)現(xiàn)過(guò)程��。網(wǎng)關(guān)日志的保存文件為gw.log��,用一個(gè)shell腳本�,在每月的第一天零點(diǎn)��,停止syslogd進(jìn)程�����,在原來(lái)的文件名后面加上上一個(gè)月的年和月���,如gw.log200603,再新建一個(gè)gw.log用于記錄當(dāng)月的日志����,再重啟syslogd記錄日志。這樣就把每月的日志存放在有標(biāo)志年月的文件中����,再利用C++處理一下,在記錄中加入文件名中的年份��。
4��、日志審計(jì)與報(bào)警模塊的實(shí)現(xiàn)
(1)日志審計(jì)模塊的處理流程
(2)規(guī)則庫(kù)生成的實(shí)現(xiàn)
安全審計(jì)系統(tǒng)所采用的審計(jì)方法主要是基于對(duì)日志信息的異常檢測(cè)��,即通過(guò)對(duì)當(dāng)前日志描述的用戶行為是否與已建立的正常行為輪廓相背離來(lái)鑒別是否有非法入侵或者越權(quán)操作的存在�。該方法的優(yōu)點(diǎn)是無(wú)需了解系統(tǒng)的缺陷,有較強(qiáng)的適應(yīng)性��。
這里所說(shuō)的規(guī)則庫(kù)就是指存儲(chǔ)在檢測(cè)異常數(shù)據(jù)時(shí)所要用到的正常的網(wǎng)絡(luò)通信及操作規(guī)則的數(shù)據(jù)庫(kù)。規(guī)則庫(kù)的建立主要是對(duì)正常的日志信息通過(guò)數(shù)據(jù)挖掘的相關(guān)算法進(jìn)行挖掘來(lái)完成�。首先系統(tǒng)從數(shù)據(jù)采集點(diǎn)采集數(shù)據(jù)���,將數(shù)據(jù)進(jìn)行處理后放入審計(jì)數(shù)據(jù)庫(kù)�����,通過(guò)執(zhí)行安全審計(jì)讀入規(guī)則庫(kù)來(lái)發(fā)現(xiàn)入侵事件�,將入侵時(shí)間記錄到入侵時(shí)間數(shù)據(jù)庫(kù)�����,而將正常日志數(shù)據(jù)的訪問(wèn)放入安全的歷史日志庫(kù)����,并通過(guò)數(shù)據(jù)挖掘來(lái)提取正常的訪問(wèn)模式。最后通過(guò)舊的規(guī)則庫(kù)�����、入侵事件以及正常訪問(wèn)模式來(lái)獲得最新的規(guī)則庫(kù)�。可以不停地重復(fù)上述過(guò)程����,不斷地進(jìn)行自我學(xué)習(xí)的過(guò)程���,同時(shí)不斷更新規(guī)則庫(kù),直到規(guī)則庫(kù)達(dá)到穩(wěn)定�。
(3)日志信息審計(jì)的實(shí)現(xiàn)
日志審計(jì)主要包括日志信息的預(yù)處理和日志信息的異常檢測(cè)兩個(gè)部分。在對(duì)日志進(jìn)行審計(jì)之前���,我們首先要對(duì)其進(jìn)行處理��,按不同的類別分別接收到日志信息數(shù)據(jù)庫(kù)的不同數(shù)據(jù)表中�。此外����,由于我們所捕獲的日志信息非常龐大,而系統(tǒng)中幾乎所有的分析功能都必須建立在對(duì)這些數(shù)據(jù)記錄進(jìn)行處理的基礎(chǔ)上���。而這些記錄中存在的大量冗余信息�,在對(duì)它們進(jìn)行的操作處理時(shí)必將造成巨大的資源浪費(fèi)�,降低了審計(jì)的效率。因此有必要在進(jìn)行審計(jì)分析之前盡可能減少這些冗余信息��。所以���,我們?cè)诋惓z測(cè)之前首先要剔除海量日志中對(duì)審計(jì)意義不大及相似度很大的冗余記錄���,從而大大減少日志記錄的數(shù)目�,同時(shí)大大提高日志信息的含金量�����,以提高系統(tǒng)的效率�。采用的方式就是將收集到的日志分為不同類別的事件��,各個(gè)事件以不同的標(biāo)識(shí)符區(qū)分���,在存放日志的數(shù)據(jù)庫(kù)中將事件標(biāo)識(shí)設(shè)為主鍵���,如有同一事件到來(lái)則計(jì)數(shù)加一,這樣就可以大大降低日志信息的冗余度���。
在日志信息經(jīng)過(guò)預(yù)處理之后�,我們就可以對(duì)日志信息進(jìn)行審計(jì)了���。審計(jì)的方法主要是將日志信息與規(guī)則庫(kù)中的規(guī)則進(jìn)行對(duì)比��,如圖3所示�,對(duì)于檢測(cè)出的不合規(guī)則的記錄,即違反規(guī)則的小概率事件����,我們記錄下其有效信息,如源����,目的地址等作為一個(gè)標(biāo)識(shí),并對(duì)其設(shè)置一懷疑度�����。隨著日志審計(jì)的進(jìn)行��,如果屬于該標(biāo)識(shí)的異常記錄數(shù)目不斷增加而達(dá)到一定程度�����,即懷疑度超過(guò)一定閾值�,我們則對(duì)其產(chǎn)生報(bào)警信息。
四���、數(shù)據(jù)挖掘相關(guān)技術(shù)
數(shù)據(jù)挖掘是一個(gè)比較完整地分析大量數(shù)據(jù)的過(guò)程���,它一般包括數(shù)據(jù)準(zhǔn)備���、數(shù)據(jù)預(yù)處理、建立數(shù)據(jù)挖掘模型�、模型評(píng)估和解釋等,它是一個(gè)迭代的過(guò)程����,通過(guò)不斷調(diào)整方法和參數(shù)以求得到較好的模型����。
本系統(tǒng)中的有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法,主要采用了三個(gè)算法:
(1)分類算法 該算法主要將數(shù)據(jù)影射到事先定義的一個(gè)分類之中����。這個(gè)算法的結(jié)果是產(chǎn)生一個(gè)以決策樹(shù)或者規(guī)則形式存在的“判別器”。本系統(tǒng)中先收集足夠多的正常審計(jì)數(shù)據(jù)�,產(chǎn)生一個(gè)“判別器”來(lái)對(duì)將來(lái)的數(shù)據(jù)進(jìn)行判別,決定哪些是正常行為�,哪些是入侵或非法操作。
(2)相關(guān)性分析 主要用來(lái)決定數(shù)據(jù)庫(kù)里的各個(gè)域之間的相互關(guān)系�����。找出被審計(jì)數(shù)據(jù)間的相互關(guān)聯(lián),為決定安全審計(jì)系統(tǒng)的特征提供很重要的依據(jù)����。
(3)時(shí)間序列分析 該算法用來(lái)建立本系統(tǒng)的時(shí)間順序模型。這個(gè)算法幫助我們理解審計(jì)事件的時(shí)間序列一般是如何產(chǎn)生的��,這些所獲取的常用時(shí)間標(biāo)準(zhǔn)模型可以用來(lái)定義網(wǎng)絡(luò)事件是否正常�����。
本系統(tǒng)通過(guò)改進(jìn)syslog機(jī)制�,使無(wú)線網(wǎng)關(guān)的日志記錄更加完善,采用有學(xué)習(xí)能力的數(shù)據(jù)挖掘技術(shù)對(duì)無(wú)線網(wǎng)關(guān)正常日志數(shù)據(jù)進(jìn)行學(xué)習(xí)�,獲得正常訪問(wèn)模式的規(guī)則庫(kù),檢測(cè)網(wǎng)絡(luò)入侵行為和非法操作�����,減少人為的知覺(jué)和經(jīng)驗(yàn)的參與�����,減少了誤報(bào)出現(xiàn)的可能性�。該系統(tǒng)結(jié)構(gòu)靈活�����,易于擴(kuò)展����,具有一定的先進(jìn)性和創(chuàng)新性��。此外����,使用規(guī)則合并可以不斷更新規(guī)則庫(kù),對(duì)新出現(xiàn)的攻擊方式也可以在最快的時(shí)間內(nèi)做出反應(yīng)�。下一步的工作是進(jìn)一步完善規(guī)則庫(kù)的生成以及審計(jì)的算法,增強(qiáng)系統(tǒng)對(duì)攻擊的自適應(yīng)性���,提高系統(tǒng)的執(zhí)行效率。
參考文獻(xiàn)
[1]Branch���,JW�,Petroni���,NL��,VanDoorn�����,L.�,Safford,D.���,Auto-nomic802.11WirelessLANSecurityAuditing�����,IEEESecurity&Privacy�����,May/June 2004��,pp.56-65.
[2]李承��,王偉釗. 基于防火墻日志的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)研究與實(shí)現(xiàn).計(jì)算機(jī)工程 2002.6.
第5篇
經(jīng)過(guò)近幾年的努力��,中國(guó)礦山企業(yè)的安全生產(chǎn)狀況總體上呈現(xiàn)出相對(duì)穩(wěn)定�、趨于好轉(zhuǎn)的態(tài)勢(shì)��。但重、特大事故時(shí)有發(fā)生���,事故總量仍然偏大����,礦山安全生產(chǎn)形勢(shì)依然嚴(yán)峻�。實(shí)踐證明,要實(shí)現(xiàn)礦山安全生產(chǎn)的長(zhǎng)治久安��,就必須建立礦山安全生產(chǎn)長(zhǎng)效機(jī)制��。積極有效地開(kāi)展礦山安全審計(jì)工作�,發(fā)揮審計(jì)的監(jiān)督檢查作用,促進(jìn)礦山切實(shí)落實(shí)安全生產(chǎn)主體責(zé)任�����,認(rèn)真執(zhí)行安全生產(chǎn)的各項(xiàng)法律法規(guī)��,保證安全生產(chǎn)的必要投入����,落實(shí)各項(xiàng)安全防范措施���,不斷改善安全生產(chǎn)條件����。使礦山生產(chǎn)的運(yùn)行方式、管理形式和監(jiān)督體制等走上正軌���,才能使礦山安全生產(chǎn)狀況實(shí)現(xiàn)真正意義上的根本好轉(zhuǎn)���。安全審計(jì)作為一項(xiàng)專門針對(duì)企業(yè)安全生產(chǎn)進(jìn)行監(jiān)督和評(píng)價(jià)的獨(dú)立審計(jì)活動(dòng),有助于督促企業(yè)遵守安全生產(chǎn)法律法規(guī)��,有助于督促企業(yè)執(zhí)行安全設(shè)施“三同時(shí)”�,有助于督促企業(yè)生產(chǎn)責(zé)任事故賠償及時(shí)到位,有助于督促企業(yè)安全投入及時(shí)�����、足額等��。從而保證安全生產(chǎn)形勢(shì)根本好轉(zhuǎn)���。借鑒相關(guān)學(xué)科知識(shí)建立完善的評(píng)價(jià)指標(biāo)體系�����,是開(kāi)展安全審計(jì)的關(guān)鍵��。
一��、構(gòu)建礦山安全審計(jì)評(píng)價(jià)指標(biāo)體系應(yīng)遵循的原則
安全審計(jì)有別于常規(guī)的財(cái)政�、財(cái)務(wù)審計(jì),安全審計(jì)是企業(yè)安全生產(chǎn)主體責(zé)任的人格化���,審計(jì)客體由靜態(tài)的會(huì)計(jì)資料��,到動(dòng)態(tài)審計(jì)對(duì)象(企業(yè))的主體責(zé)任和社會(huì)責(zé)任��,從有形到無(wú)形��,從客觀反映到抽象分析����。安全審計(jì)評(píng)價(jià)指標(biāo)體系是度量企業(yè)安全生產(chǎn)活動(dòng)的有效工具����。為了提高這一測(cè)度工具的信度與效度,構(gòu)建該評(píng)價(jià)體系時(shí)��,必須滿足以下幾個(gè)原則:
(一)重要性原則
在中國(guó)礦山企業(yè)開(kāi)展安全審計(jì)工作還僅僅處于探討階段�����,筆者認(rèn)為與要求評(píng)價(jià)指標(biāo)體系的全面性相比較�,強(qiáng)調(diào)重要性原則對(duì)實(shí)踐工作的開(kāi)展更具有指導(dǎo)意義。同時(shí)����,重要性原則也是在指標(biāo)設(shè)定過(guò)程中對(duì)安全審計(jì)工作重點(diǎn)、成本與效率的綜合考慮����。當(dāng)然,隨著中國(guó)安全審計(jì)工作的發(fā)展與完善����,該指標(biāo)評(píng)價(jià)體系將進(jìn)一步改進(jìn),以滿足全面性原則的要求��。
(二)責(zé)任性原則
礦山安全審計(jì)評(píng)價(jià)指標(biāo)體系應(yīng)準(zhǔn)確考評(píng)被審計(jì)單位及內(nèi)部各部門和個(gè)人必須履行的安全生產(chǎn)責(zé)任�,即所衡量、評(píng)價(jià)的安全生產(chǎn)活動(dòng)及其結(jié)果應(yīng)是審計(jì)對(duì)象的職責(zé)范圍�����,是其應(yīng)當(dāng)全部或部分負(fù)責(zé),是可以控制和調(diào)節(jié)的�����,是其通過(guò)主觀努力可以改變的結(jié)果和過(guò)程���。事故的發(fā)生具有偶然性����、不確定性及外部不經(jīng)濟(jì)性等特點(diǎn)�����,進(jìn)一步造成一些企業(yè)盲目追求經(jīng)濟(jì)效益�����,重生產(chǎn)輕安全����,安全管理薄弱;無(wú)證或證照不全非法生產(chǎn)�����,超能力、超強(qiáng)度�、超定員違法違規(guī)生產(chǎn)。所有這些安全生產(chǎn)主體責(zé)任不落實(shí)是礦山事故易發(fā)���、多發(fā)、頻發(fā)��,重特大事故集中����、長(zhǎng)期以來(lái)尚未得到切實(shí)有效遏制的根源。責(zé)任性原則是保證安全審計(jì)評(píng)價(jià)結(jié)論切實(shí)有效必須遵循原則之一��。
(三)簡(jiǎn)明性原則
安全審計(jì)評(píng)價(jià)指標(biāo)體系中應(yīng)選擇具有代表性�����、能夠準(zhǔn)確清楚反映問(wèn)題的指標(biāo)����。由于安全審計(jì)評(píng)價(jià)涉及的領(lǐng)域非常廣泛,評(píng)價(jià)指標(biāo)雖然要求全面�,但并不是越多越好。如果所選指標(biāo)變量過(guò)多�����,一方面資料難以獲取,另一方面綜合分析過(guò)程也很困難���。同時(shí)不便于決策者應(yīng)用���,而且大大增加了安全審計(jì)工作的復(fù)雜性和冗余度。如果所選指標(biāo)變量過(guò)少�����,就有可能不足以或不能充分表征系統(tǒng)的真實(shí)行為或真實(shí)的行為軌跡�。所以指標(biāo)的設(shè)置要圍繞評(píng)價(jià)的目的有針對(duì)性地加以選擇,每個(gè)指標(biāo)的含義要求明確��,代表特征要求清楚��,無(wú)相互交叉重疊現(xiàn)象�����。
(四)相關(guān)性原則
評(píng)價(jià)體系應(yīng)與礦山安全審計(jì)的目標(biāo)緊密相關(guān)��,評(píng)價(jià)標(biāo)準(zhǔn)能夠反映信息使用者的需求�,能揭示被審計(jì)對(duì)象的具體安全生產(chǎn)狀況及被審單位安全生產(chǎn)主體責(zé)任實(shí)現(xiàn)程度�����。相關(guān)性原則與簡(jiǎn)明性原則具有內(nèi)在一致性要求��。
(五)動(dòng)態(tài)性原則
安全審計(jì)評(píng)價(jià)是一個(gè)隨著審計(jì)項(xiàng)目的發(fā)展而發(fā)展以及安全生產(chǎn)形勢(shì)變化而變化的動(dòng)態(tài)過(guò)程����,客觀上要求設(shè)置的指標(biāo)體系具有動(dòng)態(tài)特點(diǎn)���,既能反映該審計(jì)項(xiàng)目的歷史狀況和現(xiàn)狀,在一定的時(shí)期內(nèi)保持相對(duì)的穩(wěn)定性��,又能對(duì)未來(lái)的變化發(fā)展做出評(píng)價(jià)����。同時(shí)能夠適應(yīng)安全生產(chǎn)形勢(shì)變化、安全監(jiān)管工作要求做出相應(yīng)調(diào)整����。
(六)地域性原則
不同地區(qū)的自然環(huán)境和社會(huì)環(huán)境不同,所處地區(qū)的地理位置��、經(jīng)濟(jì)狀況��、水文地質(zhì)等條件不同,對(duì)安全的影響因子也不同�,因此應(yīng)按照因地制宜原則,針對(duì)所研究地區(qū)及其主要問(wèn)題選擇評(píng)價(jià)指標(biāo)��。礦山安全評(píng)價(jià)指標(biāo)體系的構(gòu)建尤其注意遵循地域性原則�����。
二����、構(gòu)建礦山安全審計(jì)評(píng)價(jià)指標(biāo)體系設(shè)計(jì)思路
(一)評(píng)價(jià)指標(biāo)體系的維度定位
根據(jù)建立礦山安全審計(jì)評(píng)價(jià)體系的目標(biāo)與原則,從范圍層次上劃分����,安全審計(jì)評(píng)價(jià)標(biāo)準(zhǔn)分為總體評(píng)價(jià)標(biāo)準(zhǔn)和具體評(píng)價(jià)標(biāo)準(zhǔn)。所以在試圖建立安全審計(jì)評(píng)價(jià)標(biāo)準(zhǔn)時(shí)���,也分別從這兩個(gè)方面考慮�����,先確立總體評(píng)價(jià)標(biāo)準(zhǔn)���,再逐步完善具體標(biāo)準(zhǔn)�。在指標(biāo)體系架構(gòu)中����,不僅在礦山安全生產(chǎn)的規(guī)范性、效用管理以及外部效應(yīng)三個(gè)維度進(jìn)行了體系的構(gòu)建(如圖1所示)�����。并且從安全生產(chǎn)法律法規(guī)�、安全內(nèi)控制度、安全設(shè)施“三同時(shí)”�����、事故處理���、安全投入等五個(gè)層面進(jìn)行了體系的設(shè)計(jì)。當(dāng)然���,安全審計(jì)評(píng)價(jià)指標(biāo)體系應(yīng)該是動(dòng)態(tài)的����、可擴(kuò)充的�����,審計(jì)人員可以隨時(shí)按照實(shí)際情況增減,以增強(qiáng)其科學(xué)性���、有效性���,但主要指標(biāo)需保留。
(二)評(píng)價(jià)權(quán)重的分配
評(píng)價(jià)權(quán)重的分配涉及到各評(píng)價(jià)維度的權(quán)重分配以及每一維度內(nèi)各評(píng)價(jià)指標(biāo)之間的權(quán)重分配��。在構(gòu)建安全審計(jì)評(píng)價(jià)指標(biāo)體系過(guò)程中�,要確定評(píng)價(jià)指標(biāo)的權(quán)重值。各項(xiàng)指標(biāo)的權(quán)重值��,反映了該指標(biāo)在整個(gè)安全審計(jì)評(píng)價(jià)指標(biāo)體系中所占的比重���。權(quán)重值應(yīng)根據(jù)該指標(biāo)對(duì)企業(yè)安全生產(chǎn)水平的影響程度及其實(shí)施的難易程度來(lái)確定�����。指標(biāo)權(quán)重的確定有主觀法和客觀法兩大類��,主觀法主要包括專家調(diào)查法�����、層次分析法等�����,客觀法主要包括主成分分析法��、熵值法和數(shù)據(jù)包絡(luò)法等��。
安全審計(jì)評(píng)價(jià)指標(biāo)體系的構(gòu)建過(guò)程����,應(yīng)該是主觀分析法和客觀分析法相結(jié)合的過(guò)程。此外����,指標(biāo)體系的構(gòu)造過(guò)程可分為指標(biāo)體系框架的構(gòu)建和指標(biāo)篩選兩個(gè)階段,即指標(biāo)初選和指標(biāo)完善的過(guò)程�����。該過(guò)程可以概述為:分解總目標(biāo)�、構(gòu)造層次結(jié)構(gòu)����、建立預(yù)選指標(biāo)集篩選指標(biāo)���、最終確立評(píng)價(jià)指標(biāo)體系。
在構(gòu)建安全審計(jì)評(píng)價(jià)指標(biāo)體系過(guò)程中��,要確定定量指標(biāo)的評(píng)價(jià)基準(zhǔn)值���。并應(yīng)按照下列原則確定:凡是國(guó)家或行業(yè)管理部門在有關(guān)政策���、規(guī)劃等文件中對(duì)該指標(biāo)已有明確要求值的就應(yīng)選用國(guó)家要求的數(shù)值;凡是國(guó)家或行業(yè)管理部門對(duì)該指標(biāo)尚無(wú)明確要求值的����,則選用國(guó)內(nèi)重點(diǎn)大型企業(yè)近年來(lái)滿足安全管理要求所實(shí)際達(dá)到的中上等以上水平的指標(biāo)值。確保定量指標(biāo)的基準(zhǔn)值代表了行業(yè)安全生產(chǎn)活動(dòng)的平均水平�����。
需要說(shuō)明的是���,評(píng)價(jià)權(quán)重的分配會(huì)因不同階段����、發(fā)展重點(diǎn)、礦山生產(chǎn)特點(diǎn)的不同而有所差別�。而對(duì)情況各異的礦山安全生產(chǎn)管理,我們不可能確定一成不變的安全審計(jì)評(píng)價(jià)指標(biāo)體系�,也不存在統(tǒng)一的指標(biāo)權(quán)重,即使同一評(píng)價(jià)對(duì)象在不同的歷史時(shí)期也會(huì)有所不同����。盡管卓越的績(jī)效評(píng)價(jià)系統(tǒng)對(duì)每個(gè)組織都是獨(dú)特的,即按每個(gè)組織的需要和特點(diǎn)“量體裁衣”����,但是反映社會(huì)滿意度的指標(biāo),應(yīng)該在安全審計(jì)評(píng)價(jià)體系中占據(jù)絕對(duì)的比重���,社會(huì)評(píng)議信息應(yīng)是評(píng)價(jià)結(jié)論的主要證據(jù)資料���。
三、構(gòu)建礦山安全審計(jì)評(píng)價(jià)指標(biāo)體系
(一)安全審計(jì)內(nèi)容
安全審計(jì)評(píng)價(jià)指標(biāo)體系應(yīng)緊緊圍繞安全審計(jì)內(nèi)容設(shè)定���??紤]到中國(guó)礦山安全生產(chǎn)實(shí)際以及政府安全監(jiān)管過(guò)程中存在的突出問(wèn)題����,筆者主張礦山安全審計(jì)主要內(nèi)容應(yīng)包括以下五部分:
1.安全生產(chǎn)法律法規(guī)遵守和執(zhí)行情況審計(jì)
該審計(jì)主要是對(duì)礦山企業(yè)在生產(chǎn)經(jīng)營(yíng)過(guò)程中遵守相關(guān)安全生產(chǎn)法律法規(guī)的情況進(jìn)行評(píng)價(jià),包括定性指標(biāo)和定量指標(biāo)�。評(píng)價(jià)時(shí)只需考慮法律法規(guī)的執(zhí)行情況及效果,而不對(duì)法律法規(guī)本身進(jìn)行過(guò)多地評(píng)價(jià)��。評(píng)價(jià)時(shí)需遵循兩條原則:首先���,企業(yè)能否執(zhí)行相關(guān)安全生產(chǎn)法律法規(guī)�����;其次�����,企業(yè)能否做到持續(xù)�、全面執(zhí)行安全生產(chǎn)法律法規(guī)�。這也符合性測(cè)試重點(diǎn)之一。
2.安全內(nèi)部控制制度設(shè)計(jì)及運(yùn)行情況審計(jì)
該審計(jì)主要是對(duì)礦山企業(yè)安全內(nèi)控制度是否健全���,能否保證整個(gè)業(yè)務(wù)處理系統(tǒng)控制目標(biāo)的實(shí)現(xiàn)�����,制度與制度之間的銜接是否緊密協(xié)調(diào)以及內(nèi)控制度是否有效執(zhí)行進(jìn)行評(píng)價(jià)�。從而判定礦山企業(yè)各種安全內(nèi)控制度的履行結(jié)果是否達(dá)到預(yù)期目標(biāo),是否結(jié)合企業(yè)安全生產(chǎn)實(shí)際及時(shí)自查修訂完善��。為進(jìn)一步確定安全審計(jì)的重點(diǎn)提供決策依據(jù)���。
3.安全設(shè)施“三同時(shí)”情況審計(jì)
在安全設(shè)施“三同時(shí)”審計(jì)中����,應(yīng)該重點(diǎn)審查和評(píng)價(jià)與被審計(jì)單位安全設(shè)施“三同時(shí)”相關(guān)的下列內(nèi)容:(1)被審計(jì)單位在生產(chǎn)經(jīng)營(yíng)過(guò)程中對(duì)相關(guān)的安全生產(chǎn)法律法規(guī)�����、規(guī)章制度����、政策、計(jì)劃�����、預(yù)算��、程序����、合同等的遵守情況����;(2)安全設(shè)施項(xiàng)目風(fēng)險(xiǎn)的識(shí)別���、評(píng)估及應(yīng)對(duì)措施;(3)相關(guān)安全控制活動(dòng)的適當(dāng)性和有效性��;(4)有關(guān)安全資產(chǎn)����、安全負(fù)債、安全支出項(xiàng)目等財(cái)務(wù)信息和非財(cái)務(wù)信息的獲取���、處理����、傳遞情況����。
4.事故損失及事故責(zé)任履行情況審計(jì)
該審計(jì)主要是對(duì)礦山企業(yè)事故損失及事故責(zé)任履行情況進(jìn)行評(píng)價(jià)。為事故責(zé)任認(rèn)定及事故賠償提供決策依據(jù)�。工傷事故賠償審計(jì)主要集中在兩點(diǎn):(1)賠償標(biāo)準(zhǔn)是否合法合規(guī)。(2)賠償額度是否足額��、及時(shí)。這一點(diǎn)往往也是事故雙方爭(zhēng)執(zhí)的焦點(diǎn)����。有第三方出具相應(yīng)審計(jì)意見(jiàn),有助于安全監(jiān)管部門執(zhí)法�,切實(shí)保障受傷員工合法權(quán)益。
5.安全投入情況審計(jì)
安全投入情況審計(jì)是安全審計(jì)的重點(diǎn)���。眾所周知�,安全投入不足是造成中國(guó)安全生產(chǎn)形勢(shì)依然嚴(yán)峻的主要原因之一�����。造成企業(yè)安全投入不足重要原因之一就在于缺乏有效監(jiān)督�����。近幾年�,中國(guó)為擴(kuò)大礦山企業(yè)安全投入資金來(lái)源及數(shù)量,建立穩(wěn)定的安全保障資金渠道�,頒布了一系列規(guī)定制度。由于安全投入效益的隱蔽性����、滯后性���、不確定性及其他原因(經(jīng)濟(jì)效益不佳、領(lǐng)導(dǎo)不重視�����、短期行為等)�,一些企業(yè)(尤其小型礦山企業(yè))往往在安全投入方面“勤儉節(jié)約”��。企業(yè)為了應(yīng)付針對(duì)安全投入狀況的檢查弄虛作假�����。通過(guò)安全投入審計(jì)����,能夠有效監(jiān)督礦山企業(yè)安全生產(chǎn)費(fèi)用提取及使用情況,確保安全投入足額�、及時(shí)。
(二)分級(jí)設(shè)立評(píng)價(jià)指標(biāo)
礦山安全審計(jì)評(píng)價(jià)體系的建立是一項(xiàng)系統(tǒng)工程�,需要花很大力氣進(jìn)行研究和實(shí)踐。在這里我們先構(gòu)思一個(gè)指標(biāo)框架���,許多指標(biāo)還有待于討論和完善����。安全審計(jì)評(píng)價(jià)指標(biāo)體系包括一級(jí)評(píng)價(jià)指標(biāo)和二級(jí)評(píng)價(jià)指標(biāo)兩個(gè)層次。一級(jí)評(píng)價(jià)指標(biāo)包括安全生產(chǎn)法律法規(guī)執(zhí)行情況評(píng)價(jià)指標(biāo)��、企業(yè)安全內(nèi)部控制情況評(píng)價(jià)指標(biāo)�����、安全設(shè)施“三同時(shí)”���、事故損失及事故責(zé)任履行情況評(píng)價(jià)指標(biāo)和安全投入情況評(píng)價(jià)指標(biāo)���。二級(jí)評(píng)價(jià)指標(biāo)是一級(jí)評(píng)價(jià)指標(biāo)的具體化。具體內(nèi)容(見(jiàn)表1)�����。
安全審計(jì)的綜合評(píng)價(jià)�����,應(yīng)該以評(píng)價(jià)年度各項(xiàng)二級(jí)定量指標(biāo)的實(shí)際數(shù)據(jù)和各項(xiàng)二級(jí)定性指標(biāo)的專家評(píng)分為基礎(chǔ)�,按照各二級(jí)指標(biāo)的基準(zhǔn)值和權(quán)重值計(jì)算各單項(xiàng)指標(biāo)得分,再綜合得出該企業(yè)安全管理水平的評(píng)價(jià)總分值����。
單項(xiàng)指標(biāo)評(píng)價(jià)分值=權(quán)重值× (1)
當(dāng)>1時(shí)�,按1計(jì)算�。
二級(jí)定性指標(biāo)和定量指標(biāo)都采用百分制測(cè)評(píng)。定性指標(biāo)采用專家評(píng)分平均值��。
第6篇
論文關(guān)鍵詞:安全審計(jì) 日志 數(shù)據(jù)挖掘
論文摘要:提出了無(wú)線網(wǎng)關(guān)安全審計(jì)系統(tǒng)的系統(tǒng)模型�����,介紹了該系統(tǒng)的設(shè)計(jì)思想��,從數(shù)據(jù)的控制��、數(shù)據(jù)的采集����、日志的歸類�、日志的審計(jì)與報(bào)警4個(gè)方面描述了設(shè)計(jì)流程.在系統(tǒng)中通過(guò)改進(jìn)syslog機(jī)制,引入有學(xué)習(xí)能力的數(shù)據(jù)挖掘技術(shù)�,實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)關(guān)的安全審計(jì).
0 引言
無(wú)線網(wǎng)關(guān)是無(wú)線網(wǎng)絡(luò)與布線網(wǎng)絡(luò)之間的橋梁,所有的通信都必須經(jīng)過(guò)無(wú)線網(wǎng)關(guān)的審計(jì)與控制.在無(wú)線網(wǎng)絡(luò)中�����,無(wú)線網(wǎng)關(guān)放置在無(wú)線網(wǎng)絡(luò)的邊緣,相當(dāng)于無(wú)線網(wǎng)絡(luò)的大門�����,當(dāng)無(wú)線網(wǎng)關(guān)遭到攻擊和入侵時(shí)�,災(zāi)難會(huì)殃及整個(gè)無(wú)線網(wǎng)絡(luò),使無(wú)線網(wǎng)絡(luò)不能工作或異常工作��,由此可見(jiàn)��,對(duì)無(wú)線網(wǎng)關(guān)進(jìn)行安全審計(jì)是十分有意義的.
本文中研究的安全審計(jì)系統(tǒng)是北京市重點(diǎn)實(shí)驗(yàn)室科�����、研項(xiàng)目“智能化無(wú)線安全網(wǎng)關(guān)”的一部分.智能化無(wú)線安全網(wǎng)關(guān)在無(wú)線網(wǎng)關(guān)上集成具有IDS和防火墻功能的模塊�����,以及控制和阻斷模塊�����,這些功能模塊在統(tǒng)一操作系統(tǒng)的基礎(chǔ)上����,既各司其職���,又密切合作,共同完成防范�����、預(yù)警�、響應(yīng)和自學(xué)習(xí)的功能,構(gòu)成一個(gè)有機(jī)的安全體系.
無(wú)線網(wǎng)關(guān)的安全審計(jì)系統(tǒng)���,其主要功能就是在事后通過(guò)審計(jì)分析無(wú)線安全網(wǎng)關(guān)的日志信息���,識(shí)別系統(tǒng)中的異?��;顒?dòng)���,特別是那些被其它安全防范措施所遺漏的非法操作或入侵活動(dòng),并采取相應(yīng)的報(bào)告�,以有利于網(wǎng)絡(luò)管理員及時(shí)有效地對(duì)入侵活動(dòng)進(jìn)行防范,確保網(wǎng)絡(luò)的安全[1].
1 系統(tǒng)功能概述
無(wú)線網(wǎng)關(guān)安全審計(jì)系統(tǒng)是針對(duì)無(wú)線網(wǎng)絡(luò)的安全運(yùn)作而提出的�,主要包括數(shù)據(jù)控制、數(shù)據(jù)采集、日志歸類���、日志的審計(jì)與報(bào)警等幾大基本功能.首先�,審計(jì)系統(tǒng)的數(shù)據(jù)控制模塊對(duì)進(jìn)出的數(shù)據(jù)信息進(jìn)行嚴(yán)格的控制�,根據(jù)預(yù)定義的規(guī)則進(jìn)行必要的限制,適當(dāng)?shù)亟档惋L(fēng)險(xiǎn).其次���,安全審計(jì)系統(tǒng)的數(shù)據(jù)采集模塊收集無(wú)線安全網(wǎng)關(guān)的網(wǎng)絡(luò)日志��、系統(tǒng)日志及用戶和應(yīng)用日志.隨后����,采集部件收集到的日志記錄被送到日志歸類模塊��,根據(jù)日志記錄行為的不同層次來(lái)進(jìn)行分類.最后�����,使用審計(jì)與報(bào)警模塊對(duì)日志記錄進(jìn)行審計(jì)分析.這時(shí)可以根據(jù)預(yù)先定義好的安全策略對(duì)海量的日志數(shù)據(jù)進(jìn)行對(duì)比分析���,以檢測(cè)出無(wú)線網(wǎng)關(guān)中是否存在入侵行為����、異常行為或非法操作.管理員可以初始化或變更系統(tǒng)的配置和運(yùn)行參數(shù),使得安全審計(jì)系統(tǒng)具有良好的適應(yīng)性和可操作性.
2 系統(tǒng)設(shè)計(jì)
2.1 系統(tǒng)結(jié)構(gòu)組成(見(jiàn)圖1)
2.2 設(shè)計(jì)思想
系統(tǒng)從數(shù)據(jù)采集點(diǎn)采集數(shù)據(jù)����,將數(shù)據(jù)進(jìn)行處理后放入審計(jì)數(shù)據(jù)庫(kù),采用有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法���,從“正?����!钡娜罩緮?shù)據(jù)中發(fā)掘“正?�!钡木W(wǎng)絡(luò)通信模式���,并和常規(guī)的一些攻擊規(guī)則庫(kù)進(jìn)行關(guān)聯(lián)分析,達(dá)到檢測(cè)網(wǎng)絡(luò)入侵行為和非法操作的目的.
2.3 系統(tǒng)的詳細(xì)設(shè)計(jì)
系統(tǒng)的處理流程如圖2所示:
2.3.1 數(shù)據(jù)的控制.數(shù)據(jù)控制模塊使用基于Netfilter架構(gòu)的防火墻軟件iptables對(duì)進(jìn)出的數(shù)據(jù)信息進(jìn)行嚴(yán)格的控制�����,適當(dāng)?shù)亟档惋L(fēng)險(xiǎn).
2.3.2 數(shù)據(jù)的采集.數(shù)據(jù)采集模塊���,即日志的采集部件.為了實(shí)現(xiàn)日志記錄的多層次化,需要記錄網(wǎng)絡(luò)�、系統(tǒng)、應(yīng)用和用戶等各種行為來(lái)全面反映黑客的攻擊行為,所以在無(wú)線安全網(wǎng)關(guān)中設(shè)置了多個(gè)數(shù)據(jù)捕獲點(diǎn)����,其中主要有系統(tǒng)審計(jì)日志、安全網(wǎng)關(guān)日志�����、防火墻日志和入侵檢測(cè)日志4種.2.3.3 日志的歸類.日志歸類模塊主要是為了簡(jiǎn)化審計(jì)時(shí)的工作量而設(shè)計(jì)的���,它的主要功能是根據(jù)日志記錄行為的不同層次來(lái)進(jìn)行分類�����,將其歸為網(wǎng)絡(luò)行為�、系統(tǒng)行為�、應(yīng)用行為、用戶行為中的一種�,同時(shí)進(jìn)行時(shí)間歸一化.進(jìn)行日志分類目的是對(duì)海量信息進(jìn)行區(qū)分,以提高日志審計(jì)時(shí)的分析效率.
2.3.4 日志審計(jì)與報(bào)警.日志審計(jì)與報(bào)警模塊側(cè)重對(duì)日志信息的事后分析.該模塊的主要功能是對(duì)網(wǎng)關(guān)日志信息進(jìn)行審計(jì)分析���,即將收到的日志信息通過(guò)特定的策略進(jìn)行對(duì)比�,以檢測(cè)出不合規(guī)則的異常事件.隨著審計(jì)過(guò)程的進(jìn)行��,若該異常事件的可疑度不斷增加以致超過(guò)某一閾值時(shí),系統(tǒng)產(chǎn)生報(bào)警信息.該模塊包括日志信息的接收����、規(guī)則庫(kù)的生成、日志數(shù)據(jù)的預(yù)處理�����、日志審計(jì)等幾個(gè)功能.
3 系統(tǒng)的實(shí)現(xiàn)
3.1 系統(tǒng)的開(kāi)發(fā)環(huán)境
智能無(wú)線安全網(wǎng)關(guān)安全審計(jì)系統(tǒng)是基于linux操作系統(tǒng)開(kāi)發(fā)的B/S模式的日志審計(jì)系統(tǒng).開(kāi)發(fā)工具為:前臺(tái):Windows XP professional+html+php��,后臺(tái):Linux+Apache+Mysql + C++.
3.2 日志歸類模塊的實(shí)現(xiàn)[2-3]
無(wú)線網(wǎng)關(guān)的日志采用linux的syslog機(jī)制進(jìn)行記錄��,sys-log記錄的日志中日期只包含月和日���,沒(méi)有年份.在該模塊中�,對(duì)日志記錄的syslog機(jī)制進(jìn)行一些改進(jìn)����,克服其在日志中不能記錄年的問(wèn)題.
下面以無(wú)線網(wǎng)關(guān)的日志為例,說(shuō)明其實(shí)現(xiàn)過(guò)程.網(wǎng)關(guān)日志的保存文件為gw.log�,用一個(gè)shell腳本,在每月的第一天零點(diǎn)�����,停止syslogd進(jìn)程���,在原來(lái)的文件名后面加上上一個(gè)月的年和月��,如gw.log200603���,再新建一個(gè)gw.log用于記錄當(dāng)月的日志,再重啟syslogd記錄日志.這樣就把每月的日志存放在有標(biāo)志年月的文件中���,再利用C++處理一下��,在記錄中加入文件名中的年份.
3.3 日志審計(jì)與報(bào)警模塊的實(shí)現(xiàn)
3.3.1 日志審計(jì)模塊的處理流程(見(jiàn)圖3).
3.3.2 規(guī)則庫(kù)生成的實(shí)現(xiàn).安全審計(jì)系統(tǒng)所采用的審計(jì)方法主要是基于對(duì)日志信息的異常檢測(cè)�����,即通過(guò)對(duì)當(dāng)前日志描述的用戶行為是否與已建立的正常行為輪廓相背離來(lái)鑒別是否有非法入侵或者越權(quán)操作的存在.該方法的優(yōu)點(diǎn)是無(wú)需了解系統(tǒng)的缺陷�,有較強(qiáng)的適應(yīng)性.這里所說(shuō)的規(guī)則庫(kù)就是指存儲(chǔ)在檢測(cè)異常數(shù)據(jù)時(shí)所要用到的正常的網(wǎng)絡(luò)通信及操作規(guī)則的數(shù)據(jù)庫(kù).規(guī)則庫(kù)的建立主要是對(duì)正常的日志信息通過(guò)數(shù)據(jù)挖掘的相關(guān)算法進(jìn)行挖掘來(lái)完成.
首先系統(tǒng)從數(shù)據(jù)采集點(diǎn)采集數(shù)據(jù)�����,將數(shù)據(jù)進(jìn)行處理后放入審計(jì)數(shù)據(jù)庫(kù)�,通過(guò)執(zhí)行安全審計(jì)讀入規(guī)則庫(kù)來(lái)發(fā)現(xiàn)入侵事件,將入侵時(shí)間記錄到入侵時(shí)間數(shù)據(jù)庫(kù)����,而將正常日志數(shù)據(jù)的訪問(wèn)放入安全的歷史日志庫(kù)�,并通過(guò)數(shù)據(jù)挖掘來(lái)提取正常的訪問(wèn)模式.最后通過(guò)舊的規(guī)則庫(kù)����、入侵事件以及正常訪問(wèn)模式來(lái)獲得最新的規(guī)則庫(kù).可以不停地重復(fù)上述過(guò)程,不斷地進(jìn)行自我學(xué)習(xí)的過(guò)程��,同時(shí)不斷更新規(guī)則庫(kù)�,直到規(guī)則庫(kù)達(dá)到穩(wěn)定.
3.3.3 日志信息審計(jì)的實(shí)現(xiàn).日志審計(jì)主要包括日志信息的預(yù)處理和日志信息的異常檢測(cè)兩個(gè)部分.在對(duì)日志進(jìn)行審計(jì)之前,首先要對(duì)其進(jìn)行處理��,按不同的類別分別接收到日志信息數(shù)據(jù)庫(kù)的不同數(shù)據(jù)表中.此外�,由于所捕獲的日志信息非常龐大,系統(tǒng)中幾乎所有的分析功能都必須建立在對(duì)這些數(shù)據(jù)記錄進(jìn)行處理的基礎(chǔ)上��,而這些記錄中存在的大量冗余信息�,在對(duì)它們進(jìn)行的操作處理時(shí)必將造成巨大的資源浪費(fèi),降低了審計(jì)的效率�,因此有必要在進(jìn)行審計(jì)分析之前盡可能減少這些冗余信息.所以,在異常檢測(cè)之前首先要剔除海量日志中對(duì)審計(jì)意義不大及相似度很大的冗余記錄���,從而大大減少日志記錄的數(shù)目�,同時(shí)大大提高日志信息的含金量,以提高系統(tǒng)的效率.采用的方式就是將收集到的日志分為不同類別的事件�,各個(gè)事件以不同的標(biāo)識(shí)符區(qū)分,在存放日志的數(shù)據(jù)庫(kù)中將事件標(biāo)識(shí)設(shè)為主鍵���,如有同一事件到來(lái)則計(jì)數(shù)加一,這樣就可以大大降低日志信息的冗余度.
在日志信息經(jīng)過(guò)預(yù)處理之后��,就可以對(duì)日志信息進(jìn)行審計(jì).審計(jì)的方法主要是將日志信息與規(guī)則庫(kù)中的規(guī)則進(jìn)行對(duì)比�,如圖3所示.對(duì)于檢測(cè)出的不合規(guī)則的記錄,即違反規(guī)則的小概率事件����,記錄下其有效信息,如源����、目的地址等作為一個(gè)標(biāo)識(shí),并對(duì)其設(shè)置一懷疑度.隨著日志審計(jì)的進(jìn)行�,如果屬于該標(biāo)識(shí)的異常記錄數(shù)目不斷增加而達(dá)到一定程度,即懷疑度超過(guò)一定閾值���,則對(duì)其產(chǎn)生報(bào)警信息.
4 數(shù)據(jù)挖掘相關(guān)技術(shù)
數(shù)據(jù)挖掘是一個(gè)比較完整地分析大量數(shù)據(jù)的過(guò)程�,一般包括數(shù)據(jù)準(zhǔn)備�、數(shù)據(jù)預(yù)處理、建立數(shù)據(jù)挖掘模型�、模型評(píng)估和解釋等��,是一個(gè)迭代的過(guò)程�����,通過(guò)不斷調(diào)整方法和參數(shù)以求得到較好的模型[4].
本系統(tǒng)中的有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法主要采用了3種算法:
1)分類算法.該算法主要將數(shù)據(jù)影射到事先定義的一個(gè)分類之中.這個(gè)算法的結(jié)果是產(chǎn)生一個(gè)以決策樹(shù)或者規(guī)則形式存在的“判別器”.本系統(tǒng)中先收集足夠多的正常審計(jì)數(shù)據(jù)����,產(chǎn)生一個(gè)“判別器”來(lái)對(duì)將來(lái)的數(shù)據(jù)進(jìn)行判別����,決定哪些是正常行為,哪些是入侵或非法操作.
2)相關(guān)性分析.主要用來(lái)決定數(shù)據(jù)庫(kù)里的各個(gè)域之間的相互關(guān)系.找出被審計(jì)數(shù)據(jù)間的相互關(guān)聯(lián)�,為決定安全審計(jì)系統(tǒng)的特征集提供很重要的依據(jù).
3)時(shí)間序列分析.該算法用來(lái)建立本系統(tǒng)的時(shí)間順序模型.這個(gè)算法有利于理解審計(jì)事件的時(shí)間序列一般是如何產(chǎn)生的,這些所獲取的常用時(shí)間標(biāo)準(zhǔn)模型可以用來(lái)定義網(wǎng)絡(luò)事件是否正常.
5 結(jié)束語(yǔ)
該系統(tǒng)通過(guò)改進(jìn)syslog機(jī)制�,使無(wú)線網(wǎng)關(guān)的日志記錄更加完善.采用有學(xué)習(xí)能力的數(shù)據(jù)挖掘技術(shù)對(duì)無(wú)線網(wǎng)關(guān)正常日志數(shù)據(jù)進(jìn)行學(xué)習(xí),獲得正常訪問(wèn)模式的規(guī)則庫(kù)�����,檢測(cè)網(wǎng)絡(luò)入侵行為和非法操作�����,減少人為的知覺(jué)和經(jīng)驗(yàn)的參與,減少了誤報(bào)出現(xiàn)的可能性.該系統(tǒng)結(jié)構(gòu)靈活��,易于擴(kuò)展����,具有一定的先進(jìn)性和創(chuàng)新性,此外�����,使用規(guī)則合并可以不斷更新規(guī)則庫(kù)����,對(duì)新出現(xiàn)的攻擊方式也可以在最快的時(shí)間內(nèi)做出反應(yīng).下一步的工作是進(jìn)一步完善規(guī)則庫(kù)的生成以及審計(jì)的算法�,增強(qiáng)系統(tǒng)對(duì)攻擊的自適應(yīng)性,提高系統(tǒng)的執(zhí)行效率.
參考文獻(xiàn):
[1] Branch J W����, Petroni N L, Doorn Van L����, et al.Autonomic802.11 Wireless LAN Security Auditing[J]. IEEE Security&Privacy, 2004(5/6):56-65.
[2] 李承��,王偉釗,程立.基于防火墻日志的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程�,2002,28(6):17-19.
[3] 劉.無(wú)線網(wǎng)絡(luò)安全防護(hù)[M].北京:機(jī)械工業(yè)出版社�����,2003.
第7篇
Abstract: With the rapid development of China's economy���, the living environment causes people's more and more attention�, which is a big challenge for the development of coal enterprises. The production of Chinese enterprises is not inseparable from the coal�, and the coal enterprises production safety situation is still very grim nowadays. Internal audit system, as an important component of supervision system in coal enterprises����, plays a crucial role. From the current development of coal mining enterprises, this paper talks about the importance of internal audit�����, and carries out the internal audit system design for coal mine safe production.
關(guān)鍵詞: 煤礦企業(yè)���;安全生產(chǎn)�;內(nèi)部審計(jì)�;制度設(shè)計(jì)
Key words: coal mining enterprises�;safe production��;internal audit����;system design
中圖分類號(hào):F239.45 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-4311(2014)14-0153-02
0 引言
我國(guó)當(dāng)前的煤礦安全生產(chǎn)問(wèn)題仍然十分嚴(yán)峻,安全事故的發(fā)生率雖然有所下降��,但是還沒(méi)到完全有效控制的地步��。要想實(shí)現(xiàn)煤礦企業(yè)的安全生產(chǎn)�,企業(yè)內(nèi)部機(jī)制上需要下很大的功夫�����,對(duì)安全管理方面進(jìn)一步加強(qiáng)�。內(nèi)部審計(jì)作為內(nèi)部監(jiān)督系統(tǒng)中重要的組成部分,對(duì)煤礦企業(yè)的結(jié)構(gòu)優(yōu)化和企業(yè)的安全發(fā)展起著至關(guān)重要的作用��。
1 我國(guó)煤礦企業(yè)發(fā)展現(xiàn)狀
隨著經(jīng)濟(jì)的快速發(fā)展���,為煤炭企業(yè)帶來(lái)了機(jī)遇與挑戰(zhàn)�����,在全球經(jīng)濟(jì)一體化的發(fā)展前景下�����,我國(guó)各大企業(yè)的快速發(fā)展��,如:鋼鐵企業(yè)����、電力公司等,這些企業(yè)快速發(fā)展的同時(shí)所需的基礎(chǔ)物質(zhì)有一種就是煤炭���。相對(duì)的�,這些企業(yè)的快速發(fā)展也帶動(dòng)了煤炭企業(yè)的發(fā)展與煤炭的生產(chǎn)�。在目前社會(huì)中,人們生活注重環(huán)保�����,對(duì)煤炭的排放污染物比較在意���,在不斷的提倡低碳和環(huán)保�����,所以����,新能源應(yīng)運(yùn)而生,對(duì)煤礦企業(yè)是強(qiáng)有力的競(jìng)爭(zhēng)對(duì)手�����。煤礦企業(yè)在激烈的競(jìng)爭(zhēng)之下���,有所改良�����,在資源綜合利用與節(jié)能減排方面有突破性的進(jìn)展,這也促進(jìn)了煤礦企業(yè)的進(jìn)一步發(fā)展��。
2 我國(guó)煤礦企業(yè)開(kāi)展內(nèi)部審計(jì)重要性
2.1 是煤炭企業(yè)提高安全管理的需要 我國(guó)對(duì)煤炭企業(yè)的安全問(wèn)題日益重視���,通過(guò)一系列的整治力度�����,近些年來(lái)安全事故發(fā)生率總體呈現(xiàn)下降的趨勢(shì)�,但是并沒(méi)有徹底地保證煤炭安全生產(chǎn)事故零發(fā)生,安全事故給國(guó)家和人民生命帶來(lái)了巨大的威脅與損失����,我國(guó)煤炭企業(yè)的安全生產(chǎn)基礎(chǔ)較薄弱,法規(guī)上存在一定漏洞���,對(duì)隱患的排查不徹底���,對(duì)安全的投入掉以輕心,都會(huì)引起重大安全事故的發(fā)生�����。那么����,建立安全生產(chǎn)內(nèi)部審計(jì)制度,能夠有效的保障安全法律的貫徹和落實(shí)��,督促及時(shí)排除安全隱患�����,進(jìn)一步實(shí)現(xiàn)企業(yè)的安全生產(chǎn)����,是煤礦企業(yè)提高自身價(jià)值的新舉措�����。
2.2 是煤炭企業(yè)提高內(nèi)部控制的需要 在《企業(yè)內(nèi)部控制配套指引》中���,提出將安全生產(chǎn)列入企業(yè)內(nèi)部范疇,企業(yè)內(nèi)部審計(jì)是內(nèi)部控制體系中的重要部分���,行使著監(jiān)督的責(zé)任���,針對(duì)企業(yè)內(nèi)部控制發(fā)表檢查的意見(jiàn)。煤礦企業(yè)內(nèi)部審計(jì)部門對(duì)企業(yè)在生產(chǎn)經(jīng)營(yíng)中的安全控制制度和措施開(kāi)展監(jiān)督和評(píng)價(jià)��,是內(nèi)部審計(jì)完善企業(yè)的內(nèi)部控制和安全隱患發(fā)生的重要行為�。
2.3 是風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)方法的需要 對(duì)與煤礦企業(yè)而言,其審計(jì)風(fēng)險(xiǎn)主要來(lái)源于財(cái)務(wù)舞弊和安全生產(chǎn)����,現(xiàn)在的內(nèi)部審計(jì)要在傳統(tǒng)的“查錯(cuò)防弊”基礎(chǔ)上有了更好的要求�����,風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)方法是保證風(fēng)險(xiǎn)評(píng)估的整個(gè)審計(jì)流程,對(duì)財(cái)務(wù)信息的真實(shí)性和完整性開(kāi)展評(píng)價(jià)����。煤礦企業(yè)的發(fā)展應(yīng)時(shí)應(yīng)時(shí)代的腳步,所以需要應(yīng)用風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)方法����,提高安全生產(chǎn)意識(shí),將工作重心前移�。
3 煤炭企業(yè)安全生產(chǎn)的內(nèi)部審計(jì)制度設(shè)計(jì)
3.1 目標(biāo)方面的設(shè)計(jì)
3.1.1 煤礦企業(yè)內(nèi)部審計(jì)總體目標(biāo)的設(shè)計(jì) 內(nèi)部審計(jì)在企業(yè)內(nèi)部是獨(dú)立的、客觀的監(jiān)督和評(píng)價(jià)體系��,通過(guò)審查和評(píng)價(jià)企業(yè)經(jīng)營(yíng)和企業(yè)內(nèi)部控制的合法性���、有效性以及適當(dāng)性來(lái)推動(dòng)企業(yè)目標(biāo)的實(shí)現(xiàn)���。內(nèi)部審計(jì)實(shí)施的目的就是協(xié)助企業(yè)在管理上要履行自己的職責(zé),改善企業(yè)的運(yùn)營(yíng)�。因此,內(nèi)部審計(jì)會(huì)審核并評(píng)價(jià)活動(dòng)���,對(duì)其提出建議�、分析等。內(nèi)部審計(jì)的總體目標(biāo)就是企業(yè)的安全生產(chǎn)��,推動(dòng)企業(yè)目標(biāo)的實(shí)現(xiàn)�,在煤礦企業(yè)中推動(dòng)煤礦企業(yè)在安全生產(chǎn)的前提基礎(chǔ)上,實(shí)現(xiàn)利益最大化�、企業(yè)價(jià)值最大化。所以��,內(nèi)部審計(jì)的總體目標(biāo)就是保證企業(yè)的安全生產(chǎn)��,實(shí)現(xiàn)企業(yè)價(jià)值最大化��。
3.1.2 煤礦企業(yè)內(nèi)部審計(jì)具體目標(biāo)的設(shè)計(jì) 首先���,在煤礦企業(yè)的安全生產(chǎn)投入方面�����,來(lái)審計(jì)安全生產(chǎn)的資金是否充足�、合法�����、真實(shí)�;在安全生產(chǎn)資金用途上進(jìn)行追蹤和監(jiān)督����。其次�,在煤礦安全生產(chǎn)制度和措施上的有效性�、充分性、適宜性進(jìn)行審計(jì)��。第三�,在安全生產(chǎn)合規(guī)性方面來(lái)審計(jì)職能部門獲取安全生產(chǎn)法規(guī)標(biāo)準(zhǔn)等方面的及時(shí)性,也審計(jì)企業(yè)是否將安全生產(chǎn)法律法規(guī)傳達(dá)給工作人員的及時(shí)性���,有效性��;審計(jì)企業(yè)能否及時(shí)遵循守法并貫徹落實(shí)到各個(gè)階層的工作中去����。第四����,通過(guò)安全生產(chǎn)責(zé)任的有效履行,來(lái)對(duì)涉及到安全生產(chǎn)的執(zhí)行人員和部門管理機(jī)構(gòu)的審計(jì)��。
3.2 職能方面的設(shè)計(jì) 煤礦企業(yè)內(nèi)部審計(jì)職能是在審計(jì)本身固有的功能之上�,反映出內(nèi)部審計(jì)部門的本質(zhì)。由于內(nèi)部審計(jì)的職能為審計(jì)的目標(biāo)服務(wù),隨著審計(jì)的目標(biāo)的變化而變化�。在煤炭企業(yè)中的安全生產(chǎn)的內(nèi)部審計(jì)目標(biāo)是在煤炭企業(yè)的安全生產(chǎn)基礎(chǔ)上,來(lái)實(shí)現(xiàn)社會(huì)效益�����。與其他的內(nèi)部審計(jì)職能有點(diǎn)區(qū)別��。
3.2.1 監(jiān)督職能�����,國(guó)務(wù)院提出了加強(qiáng)煤炭企業(yè)監(jiān)管的方針和政策��,煤炭企業(yè)自己本身也應(yīng)該加強(qiáng)安全生產(chǎn)的內(nèi)部監(jiān)管機(jī)制��,最大力度上實(shí)現(xiàn)安全生產(chǎn)��。內(nèi)部審計(jì)對(duì)企業(yè)的經(jīng)營(yíng)管理進(jìn)行監(jiān)督��,如:安全生產(chǎn)活動(dòng)���、安全生產(chǎn)內(nèi)部的控制���。在企業(yè)內(nèi)部如果發(fā)現(xiàn)內(nèi)部控制的偏差可直接��、間接的糾正���。
3.2.2 防范職能�����,煤礦企業(yè)中的內(nèi)部審計(jì)是在事前����、事中進(jìn)行的審計(jì),主要針對(duì)煤炭生產(chǎn)的安全設(shè)計(jì)��、人員安全培訓(xùn)�����、安全設(shè)施的維護(hù)等來(lái)進(jìn)行審計(jì)��,更加偏向預(yù)防風(fēng)險(xiǎn)事故的發(fā)生��,把生產(chǎn)中的安全隱患消除�����。
3.2.3 評(píng)價(jià)職能,內(nèi)部審計(jì)為煤炭企業(yè)的正常運(yùn)行生產(chǎn)經(jīng)營(yíng)活動(dòng)和提高經(jīng)濟(jì)效益來(lái)提供服務(wù)��,煤炭企業(yè)的安全生產(chǎn)是企業(yè)一切活動(dòng)的基礎(chǔ)���,也是內(nèi)部審計(jì)所評(píng)價(jià)的對(duì)象��。內(nèi)部審計(jì)的評(píng)價(jià)職能是針對(duì)煤礦企業(yè)安全生產(chǎn)的目標(biāo)��、操作流程��、制度等進(jìn)行評(píng)價(jià)�,從而促進(jìn)不完善的地方進(jìn)行修改�,來(lái)達(dá)到提高企業(yè)安全生產(chǎn)的目標(biāo)。
3.3 內(nèi)部審計(jì)方法設(shè)計(jì) 傳統(tǒng)的報(bào)表���、賬冊(cè)����、記錄方法已經(jīng)不再適用于煤炭企業(yè)內(nèi)部安全生產(chǎn)的內(nèi)部審計(jì)�����。內(nèi)部審計(jì)的方法可以分為以下幾種:
①內(nèi)部審計(jì)方法����。在煤炭企業(yè)內(nèi)部審計(jì)更注重工作人員親自在現(xiàn)場(chǎng)的檢查����,這種模式也是源于煤炭安全生產(chǎn)方面具有很強(qiáng)的針對(duì)性�����,在傳統(tǒng)的方法中不足以表現(xiàn)出來(lái)�,而在工作人員現(xiàn)場(chǎng)的審計(jì)中將所能影響安全生產(chǎn)的因素現(xiàn)場(chǎng)進(jìn)行審計(jì)�,可以有效的杜絕安全隱患的發(fā)生。那么����,內(nèi)部審計(jì)的方法可以采取兩種,既詳細(xì)檢查法�、現(xiàn)場(chǎng)鑒定法。②內(nèi)部審計(jì)后的分析方法�。在科學(xué)性的前提下,內(nèi)部審計(jì)人員就煤礦企業(yè)安全生產(chǎn)的書面資料��,在分類�����、比較等手段下,根據(jù)現(xiàn)有的安全生產(chǎn)標(biāo)準(zhǔn)來(lái)進(jìn)行分析和評(píng)價(jià)的一種方法�。③內(nèi)部審計(jì)查詢法。是內(nèi)部審計(jì)的工作人員面對(duì)面詢問(wèn)����、提問(wèn)、質(zhì)疑等行為方式來(lái)獲取安全生產(chǎn)的和書面資料和客觀事實(shí)���,在此基礎(chǔ)上又分為口頭查詢和書面查詢兩種方法����。
4 結(jié)語(yǔ)
現(xiàn)階段我國(guó)經(jīng)濟(jì)體制改革不斷加深����,這就需要煤礦企業(yè)去適用改革的腳步,并隨著改革來(lái)進(jìn)行自身的制度完善��。健全的制度對(duì)任何的企業(yè)來(lái)講都非常重要��,內(nèi)部審計(jì)在煤礦企業(yè)中起著至關(guān)重要的作用�,是控制企業(yè)內(nèi)部穩(wěn)定的有效手段。內(nèi)部審計(jì)本身有非常強(qiáng)大的功能�����,煤礦企業(yè)中在利用內(nèi)部審計(jì)的同時(shí),也應(yīng)該加強(qiáng)內(nèi)部審計(jì)人員的專業(yè)素養(yǎng)����,使內(nèi)部審計(jì)在煤礦企業(yè)安全生產(chǎn)中發(fā)揮最大作用,更好的預(yù)防安全隱患�����,促進(jìn)煤礦企業(yè)的健康平穩(wěn)發(fā)展��。
參考文獻(xiàn):
[1]劉云金.礦產(chǎn)資源企業(yè)安全生產(chǎn)內(nèi)部審計(jì)初探[J].現(xiàn)代經(jīng)濟(jì)信息��,2012.
[2]吳進(jìn)華�,肖興祥.開(kāi)展安全生產(chǎn)內(nèi)部審計(jì)相關(guān)問(wèn)題思考[J].財(cái)會(huì)月刊�,2011.
[3].煤礦安全審計(jì)研究[A].中國(guó)煤炭經(jīng)濟(jì)研究(2005~2008)(上冊(cè))[C].2009.
