序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇安全審計培訓范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

關鍵詞：山區道路；安全審計；內容；步驟

道路安全審計(RoadSafelyAudits,簡稱RSA)是從預防交通事故、降低事故產生的可能性和嚴重性人手，對道路項目建設的全過程，即規劃、設計、施工和服務期進行全方位的安全審核，從而揭示道路發生事故的潛在危險因素及安全性能，是國際上近期興起的以預防交通事故和提高道路交通安全為目的的一項新技術手段。其目標是：確定項目潛在的安全隱患；確保考慮了合適的安全對策；使安全隱患得以消除或以較低的代價降低其負面影響，避免道路成為事故多發路段；保障道路項目在規劃、設計、施工和運營各階段都考慮了使用者的安全需求，從而保證現已運營或將建設的道路項目能為使用者提供最高實用標準的交通安全服務。

1道路安全審計的起源與發展

1991年，英國版的《公路安全審計指南》問世，這標志著安全審計有了系統的體系。從1991年4月起，安全審計成為英國全境主干道、高速公路建設與養護工程項目必須進行的程序，使英國成為安全審計的重要發起與發展國。而我國則是在20世紀90年代中期開始發展安全審計，主要有兩個渠道：①以高等院校為主的學者通過國際學術交流與檢索國外文獻，從理論體系的角度引入道路安全審計的理論；②通過世界銀行貸款項目的配套科研課題。在工程領域開展道路安全審計的實踐。

目前，在澳大利亞、丹麥、英國、冰島、新西蘭和挪威等國已定期地執行道路安全審計，德國、芬蘭、法國、意大利、加拿大、荷蘭、葡萄牙、泰國以及美國正處于實驗或試行階段，其他許多國家也在就道路安全審計的引入進行檢驗，比如希臘等國家。國外研究表明，道路安全審計可有效地預防交通事故，降低交通事故數量及其嚴重度，減少道路開通后改建完善和運營管理費用，提升交通安全文化，其投資回報是15～40倍。

道路安全審計在我們道路建設中的重要性，不僅僅是在提高安全性方面，對經濟性也有幫助。而山區道路的安全比起一般道路來講，就更應該引起我們的注意，畢竟山區道路的崎嶇以及地勢的高低相對與一般道路對駕駛者來說是一個很大的挑戰，而且其發生事故的死亡率也比其他道路高很多，因此，審計對于山區道路來說是至關重要的。

2山區道路安全審計內容

加拿大等國家認為，在項目建設的初步設計階段進行道路安全審計最重要、最有效，因而早期的道路安全審計主要重點是在項目建設的初步設計階段。現世界各國都普遍認為可在已運營的道路和擬建道路項目建設期的全過程實行安全審計，即在規劃或可行性研究、初步設計、施工圖設計、道路通車前期(預開通)和開通服務期(后評估階段)都有所側重地實行審計。山區道路安全審計同樣與其他道路的安全審計工作內容一樣。

3審計要素

典型的道路安全審計過程為：組建審計組+設計隊介紹項目情況及提供資料+項目實施考察－安全性分析研究－編寫安全審計報告+審計組介紹項目審計結果+設計隊研究、編寫響應報告－審計報告及響應報告共同構成項目安全文件。

整個安全審計的時間一般為兩周左右。為保證安全審計的質量，審計組人員的構成至關重要。審計組的人數依項目的規模大小一般由26人組成，審計組應由不同背景、不同經歷、受過培訓、經驗豐富、獨立的人員(與設計隊無直接關聯)組成。審計人員一般應具備交通安全、交通工程、交通運行分析、交通心理、道路設計、道路維護、交通運營及管理、交通法律法規等方面的知識，應保證審計組人員相互間能平等、自由地交流、討論和商議安全問題。審計人員應本著對社會(用戶)負責的態度、安全第一的觀點，依據道路標準規范，對項目各種設計參數、弱勢用戶、氣候環境等的綜合組合，展開道路安全審計。道路安全審計人員(審計組)與設計人員(設計隊)的區別在于：設計人員需要綜合考慮項目投資、土地、政治、地理、地形、環境、交通、安全等方方面面的因數，限于經驗、時間的約束，對安全問題難免有所偏頗。而安全審計人員不考慮項目投資、建設背景等因數，僅僅考慮安全問題，只提安全建議，最后由設計人員決定：采納、改進或不采納。因而可以說道路安全審計的關鍵點為：它是一個正式的、獨立進行的審計過程，須由有經驗的、有資格的人員從事這一工作，要考慮到道路的各種用戶，最重要的一點是只考慮安全問題。

安全審計報告一般應包括：設計人及審計組簡述、審計過程及日期、項目背景及簡況、圖紙等，對確認的每一個潛在危險因素都應闡述其地點、詳細特征、可能引發的事故(類型)、事故的頻率及嚴重度評估、改進建議及該建議的可操作性(實用性)等。審計報告應易于被設計人員接受并實施。響應報告應由項目設計人員編寫，其內容—般應包括：對審計報告指出的安全缺陷是否接受，如不接受應闡述理由，對每一改進建議應一一響應，采納、部分采納或不采納，并闡明原因。

4現有山區道路的安全審計

對現狀山區道路進行安全審計，主要評估現狀道路潛在事故危險性，同時提出改進措施以降低未來發生事故的可能性。現狀道路的安全審計與新建道路相類似，也需進行上面所提到的工作，但現場調查以及評估資料及文件這兩步與新建道路有所不同。此時事故資料被作為欲審計資料的重要組成部分，同時該資料也包括可能導致事故發生潛在性的一些不利因素的詳細資料。

理想的關于現狀道路網的安全審計應該建立在有規律的基礎之上。它可以以連續幾年審計的結果為基礎，采用滾動式的審計方式對路網中的每條道路都進行評估。對于里程較長的道路(一般>100km)，其安全審計工作可按兩階段進行，即初步審計階段和詳細審計階段。前者主要對道路總體上進行粗略審計，給出存在的主要問題及所處位置，后者則對找到的問題進行進一步的詳細分析并提出相應的改進建議。對里程較短的道路(<30km)可直接進行第二階段的工作。而對里程在30km～100km的道路，兩階段審計工作可根據具體情況靈活進行。

由于欲審計道路已修建完成并已經運營，此時現場調查就顯得非常重要。不管是擬建道路或已建道路、線內工程還是線外工程，安全審計工作必須全方位細致地進行。要考慮不同道路使用者對道路安全性能的不同需求。例如：①由于坡度太大或海拔高而使得駕駛員的心理產生恐懼；②半徑太小可能使得駕駛員無法在規定視距范圍內看到對方；③山體的穩定性也可能會影響到駕駛員。

另外，現狀山區道路的安全審計工作還要調查不同的道路類型，例如白天、黑夜、干燥、潮濕等情況對道路的影響。此外，對現有道路網絡的安全審計可結合養護工作同時進行，這樣可減少相應的成本費用。

5我國山區道路的審計現狀及問題和解決方法

5.1審計現狀及問題

由于目前審計這個名詞在國內還算比較新鮮，國外從起步發展到現在也不過十來年的時間，各方面都只是處于實驗或者是試行階段，并沒有固定的一套理論依據。而我國相對外國來說又是落后了好幾年，因此我國現在總體的審計現狀也就處于探索階段，各個方面也是處于起步階段，不可能對各個方面的審計工作做到非常的完善。而道路的審計不過是眾多審計工作中的一小部分，由于其本身的“新鮮性”，又對審計人員的要求較高，西部一些貧困地區教育跟不上，審計的人才缺乏也不是沒有可能，設備等亦未全部到位。山區道路安全審計工作的開展較一般道路可能要更加的困難，因為山區道路多是停山臨崖，彎道又多，坡度又大等各方面因素是其工作的開展要難與一般道路；更有甚者像那些偏僻地區的山區道路，可能路面的質量都無法保證，更不要提進行什么安全審計。

5.2解決方法

要改善我國目前的這種安全審計情況，需要全國各個方面的努力與配合，不過政府要有所規定，我們民間也要有這方面的意識。筆者簡單列出幾項：①國家應該頒布相關的法律制度，嚴格要求進行安全審計；②地方政府部門要加強管理；③加強對審計人員的培訓；④提高我國的教育水平和人們的交通安全意識；⑤交通安全部門要深入到偏僻的山區；⑥提高我國的經濟實力。

6結束語

山區道路的安全審計工作與其他道路的安全審計總體上應該說差不多，當然山區的那種獨特的環境使得審計工作的重點可能不僅僅局限與一般的道路，不要認為山區道路的流量沒有城市道路那么多而忽視它，我國是個多山的國家，山區道路對于我國各個地區的經濟往來的作用不言而譽。通過安全審計，加強了全國各地交流。對于我國的經濟發展有百利而無一害。國內山區道路建設的實際情況對道路安全審計進行了較為系統的分析研究并得出以下結論：

(1)道路安全審計獨立于設計和標準。是以安全為核心的審計，其對象為一切與交通安全相關的工程和設施，它可分階段、按步驟的實施，審計的結果為安全審計報告。

篇(2)

盡管針對信息系統的監理工作已經開展了多個年頭，但是其主要的工作目標仍然集中在以系統集成為代表的信息基礎設施建設以及以軟件研發為代表的應用系統建設，對于認知度和重要性日益提高的信息安全，監理體系的發展尚有很長的路要走。

作為信息監理體系中的一個分支和必要組成部分，信息安全監理既保有信息監理的基本特征，同時又有很多個性特質，這主要是信息安全本身的特性使然。

在實踐中，信息安全不但與通常的監理對象一樣具有規劃、實施、運營等等清晰的工作周期，而且由于信息安全工作在變更、響應、教育方面的高要求，使得信息安全監理在開展過程中需要關注更多的問題。處理好這些問題，信息安全才能真正保障。

認識篇：安全監理 并不遙遠

基于多年對信息技術產業的關心和促進，我國已經形成一系列的法規、條例和標準用于信息領域相關工作的規范和管理。針對信息安全領域，于1994年2月18日的《中華人民共和國計算機信息系統安全保護條例》，是我國信息系統安全體系的核心法律依據；而作為GB17859-1999國家標準的《計算機信息系統安全等級保護劃分準則》則為我國的信息安全工作提供了標準上的支持。特別是2006年上旬公安部的《信息安全等級保護管理辦法(試行)》，也稱7號文件，其中針對不同等級的信息系統明確的在監管和監管資質方面進行了規定。這些法規標準的出臺和實施為信息安全的監理工作提供了有效的生長環境，同時也預示著信息安全監理的大幕正在拉開，通過第三方的監理手段提高信息安全工作有效性正成為產業中一股新的力量。

重視實施

在信息安全工作體系當中，監理可以發揮極為重要的作用，有效的監理工作可以節約資源并保障信息安全工作的順利開展。

在實施信息安全的過程中，監理機制可以保障安全特性與系統核心的工作目標適配，避免安全目標與系統目標之間發生沖突。即使對于信息安全本身，其保密性、完整性和可用性三大基本要求之間也存在著潛在的沖突，例如,在很多時候為了提高保密性的要求而可能會損害到信息的可用性，這些問題的權衡和建議體現了監理工作在整個系統體系設計層次的作用。

基于資源有限這一基本原理，在實施信息安全工作的過程中一個非常重要的問題在于使用合適的資源對不同類型的信息資產進行保護。很多信息安全工程或是沒有分清保護的重點，或是對某些信息資產投放了過度的資源，這對于系統的安全乃至系統本身的運轉都會造成不良影響。監理機制能夠在資源調配上起到監管作用，從設計階段就發現信息安全系統中潛藏的缺陷。

作為監理機制最重要的作用之一，監督信息安全的實施過程是信息安全監管的重中之重。即使擁有完善的信息安全系統設計也并不能保證信息安全工作的成功，保證實施方按照設計方案正確的進行實施與對設計方案的分析一樣重要。在很多信息安全工程中存在著執行不利的問題，監理工作非常適合在執行過程中的發揮保障作用，在這類相對確定且可變性較低的層面可以充分發揮監理的標準化能力及管理能力。

從規范到管理

眾所周知，在信息安全體系中管理制度和人員的因素與其它信息工程相比要占據更重要的地位。從信息安全制度規范的實施到安全意識技能培訓，往往受制于企業內部的阻力。通過監理的形式促進這些工作的開展，除了可以有效的提高信息安全工作的質量，同時還可以推進整套工作的進展。

一個容易被忽視的信息安全問題是信息安全體系建設完成之后的管理，在一個信息安全系統建設完成之后并不代表著工作的結束，運營過程中的監管是不容忽視的。一個應用系統層面的變更帶來的往往是生產力的促進和提高，而這種變更所帶來的安全層面的變更往往會對信息安全體系造成巨大的破壞。所以在信息安全體系建設之后的生命周期當中，監理機制仍能夠起到重要作用，保證信息安全工作的延續性。

對比篇：撥開安全監理與審計的迷霧

審計通常是指審計方在接受委托后，通過收集各種信息和證據從而對審計目標是否達到了預先設定的目標進行判斷和指導，延伸到信息安全領域就是通過對計算機系統的數據進行記錄和檢驗從而了解系統是否達到了要求的安全指標。而依照《信息系統工程監理暫行辦法》，信息系統監理是指依法設立且具備相應資質的監理單位受托依據國家有關法規和標準對信息系統工程項目實施監督及管理。從概念上分析，這兩種服務的目的都在于降低信息系統工程實施過程中的風險，從基本出發點上是完全相同的。

走出概念的誤區

在實際的工作范疇以及作用等方面，監理和審計并不完全相同。

就一個信息安全體系來說，本身就需要記錄充分的信息予以存檔留待需要時分析，這也是審計機制中最核心的鑒證功能。但是一個成熟的信息審計過程并不僅僅如此，更重要的是通過第三方的力量對目標信息的真實性、完整性、可靠性進行驗證，從而為決策行為提供充分有效的證明。從不同的視角對一個安全系統進行分析，可以更加真實的還原信息系統的安全現狀，同時可以利用審計機構所具備的知識和經驗，完善系統設計，以提高實施成功率。

從這一點來看，信息安全審計服務與信息安全監理服務的作用有一定的交叉性。而在此基礎之上，信息安全監理還具有一些信息安全審計不具備的職能。首先信息安全監理需要履行監管的職責，也即不僅僅象信息安全審計過程一樣要進行咨詢、分析、建議，還要對整個安全體系的實施乃至運行采取強于審計工作的控制，以第三方的力量穩定項目發展的軌道。另外，信息安全監理還需要在項目開展過程中協調客戶與實施方等多方之間的關系，保證參與方確實的履行合同條款，去除隱藏的欺詐行為。也就是說信息安全監理更側重于項目成功的保障，而信息安全審計更側重于信息的可信性。

值得一提的是，在針對項目范疇的信息審計在關注信息可信的基礎上也包含了對信息系統有效性的審計，集中體現于對項目完成后系統運營狀態的審計，在對于這一生命周期的關注上信息安全審計要強于信息安全監理。

正確實踐

在實際的信息安全項目當中，信息安全監理與信息安全審計也有很多區別，集中體現于工作主體上的差異。

對于監理來說，必須由第三方完成相關工作，否則就失去了公正性和監管力。而對于審計來說，除了聘用外部機構對系統的安全性開展審計工作之外，很多情況下審計工作也可以由組織內部的信息安全團隊完成。在通常情況下，基本的信息安全審計都是由內部人員定期執行并向管理層進行反饋，利用外部力量進行審計的情況相對較少，這也與國內用戶對第三方審計的認知不夠有關。

另外，審計和監理服務所面向的服務對象也有一定的差異。信息審計所具有的公證性目標，在執行信息安全審計時往往服務于類似管理層這樣發起審計要求的局部對象。而信息安全監理則往往服務于用戶和實施方兩方，即使在特定情況下監理機制作用于組織內部的不同部門和層級，也具有作用多個對象的特征。

總體來看，在作用方面信息安全監理與信息安全審計處于相互融合、互相支撐的關系。在一個成功的信息安全項目當中，兩者的作用都不容忽視，應該根據具體需要進行具體選擇，并開展符合實際應用環境的具體應用。

實踐篇：安全規劃 重在督導

缺乏規劃性是很多信息安全項目失敗的主因，所以監理機構有責任向用戶提出實施規劃方面的建議。建議的方面有很多，而主要的原則面則基于成熟的信息安全項目操作經驗。

安全原則不容忽視

首先我們要在規劃制訂過程中樹立以人為本的意識，對計算機系統進行安全管理要充分結合對人的管理。授權最小化是安全管理的核心原則之一，保障權限授予的合理并減少冗余是任何安全體系成功的基礎。

另外，在安全規劃中不能忽視卻常常被忽視的一個問題就是物理安全，協助用戶分析如何管理各種存儲介質，完善用戶所在建筑物的安全管理，都是在監理工作過程中需要注意的問題。

對于安全事件的響應也是監理應該重點關心的方向，很多用戶的信息安全體系具有完善的保護計劃，但是在執行保護工作的過程中卻常常因為缺乏健全的響應計劃而導致信息資產的損失。特別是對于那些服務范圍只涉及建設過程的監理，如果在規劃階段忽視了運營過程中的響應機制，就會給客戶遺留一個缺乏后續保障的安全體系。

除此以外，還有很多問題值得關注，但相對來說有更多的范例可以借鑒，同時也更加容易通過規范來保障。信息安全監理應該在全局掌握的基礎上，重點關注那些相對容易忽視、可變性較高、人員協調需要較強的范疇。

有效溝通是保障

規劃的建立只是開始，在整個信息安全監理工作過程中，應該通過與用戶的充分溝通，形成一套切實可行的安全管理制度。一般常見的安全管理制度包括了權限管理、操作規章、定期檢測制度、信息分級、信息銷毀、介質管理、響應計劃、變更管理、員工培訓等等。在形成制度的同時，一個更加不容忽視的問題在于制度的學習和實踐，這也是監理機構發揮督管作用的重要陣地。

在實際工作過程中，制度的推行往往在客戶方遇到一定的阻礙，而面對這種阻礙，往往會導致實施方降低項目的推進力。在這種情況下，監理方應該及時、確實的把握雙方的思維動向，緩沖雙方之間的矛盾，以便于達到項目協調的作用。

另外，監理方還應該對照雙方確認完成的制度條款，通過檢驗手段保證安全管理工作能夠順利實施。這樣既能夠保證用戶得到有效的安全保護系統，同時也是對實施方的工作成果負責，在此基礎上監理方才能對雙方的利益開展協調。在監理工作當中還有一個需要高度重視的問題，那就是監理方本身對于制度的遵守和執行。

作為用戶與實施方的媒介，監理方必須嚴格依照實現制訂的標準完成監理工作，這是獲得信任的基礎。同時監理方也應該盡力遵守用戶和實施方之間的協議以及制訂出的制度（例如進場制度），只有得到兩方的尊重，才能順利保證監理工作的開展。

教育在信息安全體系中的重要性已無需多言。信息安全所包含的知識跨越了很多領域，既有計算機技術，又覆蓋了安防意識的范疇，而且還包含了諸如物理安全、社交工程學等很多與計算機科學沒有直接聯系的內容。

篇(3)

三亞鳳凰國際機場航班流量隨著三亞知名度的擴大而不斷增加。xx年更是達到了創紀錄的年旅客吞吐量1000萬人次，本場航班量不斷突破歷史新高。面對航班量大，全國天氣條件復雜，航行通告量大增，該同志每天接班后，及時了解本場的飛行計劃和飛行動態，針對外航臨時包機，公務機飛行，提前準備，按照站調崗位提供的 fpl電報，制作提供pib。

安全審計工作是今年各項工作的重中之重，它直接關系到空管站全年安全責任目標的落實。在安全審計準備階段，該同志一心撲在工作上，犧牲了很多休息時間，做了大量的資料分類歸檔工作，協助飛服室領導健全了航行情報崗位各項規章制度，使得飛服室航行情報崗位以優異成績順利通過安全審計。

今年以來，由于航班量大增，需要上機延伸服務的航班量也大增，所需要的pib同時大量增加。該同志認真做好cnms系統的報文檢查，及時修改報文，作到所提供的航行資料及時、準確、完整。

在專機和重要飛行保障工作中，該同志能夠認真完成專機和重要飛行的保障工作。收到每一項重要飛行計劃，該同志都能及時了解飛行動態，根據飛行計劃提前制作pib航線數據，為專機和重要飛行任務提供了航行情報保障。

除了完成航行通告處理工作外，還及時給塔臺、站調提供三XX情報區內的數據資料（包括一級航行通告，三亞航線光盤數據，明語摘要，三亞飛行程序換頁資料等）。當遇到特殊航行通告時（如機場關閉、跑道關閉、禁航等通告），該同志在信息通報工作方面，及時、準確地向塔臺、站調等部門提供 重要信息的航行通告。

在做好本職工作的前提下，積極配合飛行報告席位的工作。做到互相提醒，互相彌補。航行情報工作對航行資料的準確性、及時性和完整性要求極高，該同志在每次收到總局下發的換頁資料時，都能在第一時間及時修訂航行資料，保證了航行資料的準確、完整。

這兩年新進同志較多，該同志在和新同志一起工作時，能夠做好傳幫帶，把自己多年的工作經驗與新同志進行分享，幫助新同志較快地勝任了航行情報崗位工作。節假日，航班量增多，工作量也隨之增大。為了保障節假日的飛行安全，該同志把渴望與家人團聚的念頭深深地埋在心底，從未在這時候提出休假，都能以工作為重。

篇(4)

研究院的安全服務主要包含四大獨立服務：安全服務、監測服務、睿眼通和信息安全應急響應指揮平臺。服務內容主要包括以下幾個方面：

首先是安全咨詢。以“業務需求管理”為核心出發點，依托ISO27001、ISO17799等國際信息安全標準和法規及行業規范，融合自上而下的指導方針、管理策略、業務流程運行規則、系統操作指南，建立信息安全管理體系。

其次是安全培訓。安全培訓旨在提高客戶的信息安全意識和技能，為最大程度上提高客戶的整體安全防衛意識和安全防衛技能，真正把信息安全管理體系落到實處，提供強力有效的技術支撐保障。

再次是安全評估。對信息資產所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性評估，為客戶信息安全管理體系策劃提供基礎。

最后是安全加固。結合等級保護國家政策及行業規范，通過現場調研，合理使用安全加固工具等為客戶提供安全加固服務，主要提供主機加固、系統加固、數據庫加固、應用服務器加固、應用加固等服務，安全補丁、安全策略調優、配置優化等服務。

七大監測服務主要包括下幾個方面：

第一，“睿眼”外網安全監測預警服務平臺是一套軟硬件一體化監測平臺，以大數據技術為依托，集成了Web漏洞掃描檢測技術、采用遠程監測對外網網站提供7×24小時實時安全監測服務。通過對網站的不間斷監測服務及時發現威脅，從而提升網站的安全防護能力和網站服務質量，并通過安全監測平臺的事件跟蹤功能建立起一種長效的安全保障機制。

第二，“睿眼”移動安全監測預警服務平臺，為政府和企事業單位搭建一個應用App統一存放、統一管理、統一安全監測的AppStroe平臺，通過此平臺進一步提升用戶辦事體驗，同時方便國家、省部級對下級單位進行移動App管理和統計。

第三，“睿眼”內網安全監測預警服務平臺，基于對內網網絡系統安全運行的考慮，平臺提供對內網的實時安全監測、分析和預警功能。

睿眼通

睿眼通是七大監測預警服務平臺提供給客戶的一款智能移動終端，基于客戶對信息安全情況的即時需求，以七大監測預警服務平臺監測結果為主線，可以成為客戶處理信息安全問題、了解安全狀態趨勢、掌握最新安全資訊的貼心助手，隨時隨地了解網站及信息系統等的整體運行情況。

信息安全應急響應指揮平臺

應急響應指揮平臺通過各大監測預警服務平臺實時監測結果，對告警的安全故障或安全威脅，以最短的時間進行故障排查定位和應急處理。

安全產品

公司安全產品包括堡壘主機系統、系統安全加固、審計系統和信息共享管理系統。

（1）堡壘主機系統。堡壘主機是一種被加固的可以防御進攻的計算機，具備堅強的安全防護能力。堡壘主機系統軟件扮演著看門者的職責，所有對網絡設備和服務器的請求都要從這扇大門經過。

（2）系統安全加固。系統安全加固V1.0產品是軟硬件相結合的產品，通過硬件USB-KEY，提高了服務器系統的安全性，克服單純使用軟件防護的局限性；軟件部分包括服務器操作系統安全增強軟件、服務器安全，以及統一安全管理平臺軟件。

（3）審計系統

①日志審計系統。日志審計系統一方面可以集中收集、長時間存放所有的記錄日志，避免日志遭到惡意篡改或刪除而在安全事件發生時無據可查的狀況發生，另一方面日志審計系統強大的日志審計功能可以為組織審計人員提供日志實時監控、高效檢索、審計報表等日志審計手段，從而使原本不可能完成的海量日志審計工作可以在短時間內輕松完成，大大減少信息部門的工作量。

②網絡安全審計系統。網絡安全審計系統主要通過旁路監視并記錄對數據庫服務器的各類操作行為，通過對各類網絡行為的分析，實時地、智能地監控審計，并將審計數據存儲，以便日后進行查詢、分析，實現對整個網絡環境內的操作訪問行為的監控和審計。

篇(5)

在武漢洪山監獄服刑的蘭世立自從今年2月以來，就沒見過他的親人和律師。

四年前，被稱為“中國民營航空第一人”的蘭世立，曾和王石、馮侖一起到武漢洪山監獄看望同時背負“首富”和“首騙”名號的牟其中。他當時肯定想不到，三年后他也會監居于此。

2009年3月14日，民航中南局用明傳電報的方式，要求東星航空公司停飛；在多次申請行政復議無果之后，東星航空的實際控制人東星集團在今年2月8日向廣州市白云區人民法院提起行政訴訟，請求判令民航中南局的行政處罰決定無效。2月24日，廣州市白云區法院正式受理此案，5月9日開庭審理。

這是中國民航史上首個民告官案例，本刊曾在3月25日以《蘭世立：首富的絕筆》為題報道。

為何延期舉證？

在東星集團總裁助理、蘭世立的侄女蘭劍敏眼里，事情早該有個了斷。

5月9日是第一天庭審。這場主角缺席的庭審進行了將近四個小時，雙方各有一名代表和一名律師出席庭審。

法庭審判員表示，此案爭議的主要問題有六個：一是東星集團作為東星航空股東是否具備行政訴訟主體資格，二是時間是否在法定訴訟時效內，三是民航中南局作出的停飛決定屬于行政強制措施還是行政處罰，四是停飛的事實依據是否充分，五是這一行政行為的法律依據何在，六是執行停飛決定的程序是否合理合法。

民航中南局代表認為，東星航空公司已經破產清算，東星集團沒有行政主體資格。對此，蘭劍敏向《中國經濟和信息化》記者表示，東星集團是東星航空的全盤出資人，作為東星航空公司的股東和直接利害關系人，它在法律上均可以作為東星航空的行政主體對被告進行行政訴訟。

2009年8月26日，湖北省武漢市中級人民法院裁定東星航空有限公司破產清算，東星航空由此成為中國航空業界首個破產企業。但是，直到當年年底破產清算才正式結束。這也是東星集團兩年后才提訟的原因。按照法律規定，直到這時，東星航空的股東才能落實主體資格，取代破產管理人來代表東星航空。

然而，這個案子的開庭審理還是比預期晚了兩個月。這是因為民航中南局“申請延期兩個月舉證”。這是庭審的另外一個焦點。法庭上，東星集團看到民航中南局要求逾期舉證的申請。民航中南局逾期舉證的理由是：分級管理路程較遠導致收集證據困難。

“行政訴訟法第一條第一款，被告不提供或者無正當理由逾期提供證據的，視為被訴具體行政行為沒有相應的證據。”非法律專業出身的蘭劍敏，因為打這場官司，對法律條文出口成章。她理解不了，這次是在民航中南局注冊地，何以還會有“路程較遠”的問題。

她還提到，行政處罰法要求處罰之前就應有相應證據，民航中南局作為行政單位作出行政處罰決定應當是依照法律程序查明事實，搜集了足夠的證據之后才對被處罰機構進行行政處罰，不應該出現需要延期舉證的情況。

針對民航中南局所下的停飛決定是否有充分的法律依據和事實依據，民航中南局方面表示，要求東星航空停飛的決定屬于行政強制措施，其法律依據是安全生產法的相關規定。此外，民航中南局在勒令東星航空停飛前的一段時間內，就已經確認東星航空存在不少安全隱患問題，如超時飛行、身體有缺陷的飛行員駕機飛行等。再加上公司因經營不善而瀕臨破產邊緣，所以民航中南局才會下這個停飛決定。

民航中南局人認為，在作出暫停飛行的決定之前，東星航空已嚴重資不抵債，瀕臨破產。公司董事全部缺位，員工思想極不穩定，安全投入無法保證。東星航空2009年初發生了包括員工摔傷在內的多起事故，東星航空在適航飛行、飛行員穩定、對人員培訓投入、公司管理流程方面存在諸多問題。根據《安全生產法》第56條規定，民航主管部門在緊急情況下可以采取行政強制措施。當時東星航空的亂象已經危及到飛行安全，必須馬上停飛。

對于民航中南局提到的東星航空員工思想不穩定的情況，蘭劍敏解釋了其中的原因：2009年3月7日，武漢市交委下了一個文件，要求飛行員簽訂降薪協議，薪水降到國航的普通薪金標準。員工便產生思想波動。當時武漢市交委曾經讓蘭世立來做飛行員的工作。蘭劍敏還指出，民航中南局發出停飛行政行為的時候，并未對東星航空的任何工作作業進行檢查。

對于民航中南局所下停飛決定的程序問題，東興集團律師嚴義明認為，其操作程序值得商榷，畢竟停飛事關重大，民航中南局應派人直接找到東星航空相關責任人進行交辦，而不應該使用明傳電報。

武漢的沉默

2009年3月14日，星期六，武漢結束了持續多日的陰雨，天氣轉晴，溫度適宜。政府部門一般在周末都不上班。但就在這一天，東星航空與民航中南局的矛盾集中爆發。

當天，武漢市政府辦公廳給民航中南局發出一封《關于停飛東星航空公司航班的函》；民航中南局稱，應武漢市人民政府請求，暫停東星航空公司航線航班經營許可；武漢市地稅局稽查局出具稅務稽查報告，認定東星航空涉嫌隱匿資金、逃避追繳欠稅款共計5000余萬元；武漢市公安局經偵處于當天立案偵查，在廣東珠海將準備出關的蘭世立抓獲。

第二天，周日。武漢市交委和中航集團接管了東星航空有限公司。東星走入破產重組程序。

自從蘭世立入獄以來，蘭劍敏一直在想方設法讓他擺脫囹圄。她每次探監聊起公司的事情就會很生氣，這個時候，以個性剛烈知名的蘭世立卻反過來勸她：“做大事的人是沒時間生氣的，你有更多的事情要做。”

蘭劍敏告訴本刊記者，自東星集團對民航中南局提訟后，湖北省洪山監獄就不再允許蘭世立的親人和律師去探望蘭世立。今年1月24日，她最后一次見到蘭世立時，他的狀況很不好，人變得又黑又瘦。

自從東星航空被停飛，輿論就十分關注此事。很多人認為，從某種角度講，東星航空“死得有些冤”。

“和國有航空公司這個嫡長子相比，東星航空等民營航空企業真是姥姥不疼、舅舅不愛。”一位業內專家在接受本刊記者采訪時如是說。民營航空在我們國家發展過程中，政策和政府支持的力度很小，比如在資源分配上就極不平衡。

“僅是申請航線，東星航空遭遇的困難就不是你能想象到的。”蘭劍敏說，包括航時，這些東西都不是輕易能夠拿得到的。實際上除了飛行員以外，民營航空公司根本就不能公平地去跟國營航空公司競爭。為了拿到航線，東星航空的高管曾經天天住在審批部門附近，求爺爺告奶奶，去爭取國營民航企業輕而易舉就能到手的東西。

至于東星航空被停飛，還有一個特殊背景，2008年下半年，金融危機蔓延全球，東星航空陷入了困境。蘭劍敏告訴本刊記者，2009年2月11日，由武漢市政府牽頭，財政局、稅務局、國土局等多個部門組成一個工作組，商量如何促進中航集團對東星航空的收購。各部門什么時間干完什么工作幾乎都以軍令狀的形式下達。

但在2009年3月13日，東星航空發表聲明，拒絕被中航集團收購。有分析人士指出，此舉顯然觸怒了中航集團和武漢市政府。

針對這個問題，當記者致電相關部門時，武漢市市長秘書袁善臘手機關機，交委新聞發言人覃詩章的手機直接進入手機秘書服務臺，交委主任彭俊的手機通了但一直無人接聽，市交委副主任鄧萬想兩部手機皆暢通但無人接聽。武漢市交委辦公室一位不愿透露姓名的工作人員告訴《中國經濟和信息化》記者：“你別找彭主任了，現在這個事情統一由市宣傳部管，彭主任不會接受采訪的。”截至發稿時，記者給交委主任等人發去的短信仍無回復。

據蘭劍敏透露，民航中南局曾申請不公開審理，法院沒有批準。蘭劍敏對庭審結果很樂觀。她告訴記者，目前一審暫停，如果雙方沒有最新的證據或者突破性的證據提供，一般不會有二審。雖然法院尚未宣判，具體結果仍未可知，但若根據庭審表現判定，東星集團勝訴的把握比較大，正常情況下會在五月底前有結果。嚴義明也表示，東星集團有信心獲勝。

但是，中國政法大學刑事訴訟法教授洪道德告訴《中國經濟和信息化》記者，這類行政訴訟的勝率很小。這倒不是說明民告官一定告不贏，而是民航中南局應該能夠承擔得了證明責任。也有業內人士表示，民航管理局以安全問題停飛一家航空公司完全說得過去，當時東星航空資金短缺必然會影響到飛行航材、飛行人員等方面，這些都和安全息息相關。因此，這次東星航空勝訴的可能性不大。

究竟是否安全？

5月9日的庭審過程中，民航中南局為證明當時其作出停飛決定的依據是東星航空存在安全隱患問題，將所有東星航空成立以來的違規案例向法庭出示。對此，蘭劍敏向本刊記者說，東星航空自2008年12月12日獲得民航局的安全審計報告，拿到了94.6%的得分。“是民航局自己做的安全審計報告，讓我們每個航空公司去參加，同意我們飛了我們才飛的。現在又說這不代表安全，可笑不可笑？”

東星集團認為，安全審計之前的安全隱患不至于停飛。而且，從民航中南局提交的每日安全審計報告可以看出，安全審計后到民航中南局下停飛決定之日，沒有一起安全審計是足以構成停飛決定的。因此，民航中南局的停飛決定是毫無依據的行政行為。

“被告方提出了一個非常語出驚人的觀點：安全審計報告的94.6%不能說明飛行安全問題，并舉例說，川航當年的得分超過97%，而在審計報告出來的第三天就出了一起安全事故。那么到底什么條件可以說明航空公司無安全問題？”東星集團提出的這個問題，也在拷問民航監管部門：安全的標準是什么？航空局安全審核的參考價值有多大？這些問題都伴隨中國航空史上首例民告官事件一起出現。

法庭上，主審法官多次問民航中南局律師：“除了安全生產法以外，相關法律法規有沒有規定，民航主管部門可以在哪些情況下做出停飛決定？”、“民航方面的法律法規有沒有規定哪些情況下做出停飛決定？”民航中南局代表三次表示“沒有非常明確的法律條文”。他還表示：“至于到底怎么認定該不該停飛？這是個世界性難題，我們發展中國家的法律不可能規定到這么細。”

上海泛洋律師事務所高級合伙人劉春泉律師在接受《中國經濟和信息化》記者采訪時表示，民航中南局拿出的理由是安全，這是無法反駁的理由。但這里面有個問題，就是安全的標準認定問題，東航、南航、國航就不存在這些問題嗎？如果他們也存在這些問題，民航局也會讓他們停飛嗎？

此外，監管部門的工作程序也值得商榷。

北京市藍鵬律師事務所主任律師張起淮曾表示，民航中南局的做法沒有按照政府職能部門依法行政的規定實施，其中可能還摻雜了一些個人的恩怨，在程序上存在著諸多的漏洞和問題。不管民航中南局的停飛決定是否有充分依據，都應該依法行政，否則民營航空企業的頭上將永遠懸著一把劍。

劉春泉律師稱，民航史上的首例民告官不是壞事，會使民航系統優化，民航系統應積極配合，而不是抵觸。即便敗訴，也是申張法制的表現。

篇(6)

【關鍵詞】 社保基金； 聯網審計； 應用困境； 實踐對策

一、研究現狀述評

實施社保基金聯網審計，是社保基金審計方式的創新，更是信息化時代對社保基金實現動態監督管理的客觀要求。基于信息化環境下，對社保基金聯網審計的研究述評大致可歸納為以下三個方面：

（一）關于社保基金計算機聯網審計的研究

我國開展計算機聯網審計比較晚，尤其是對社會保障基金聯網審計的研究，目前仍然處于試點探索階段。2001年3月審計署在信息化建設總體目標和構想中提出了審計系統信息化建設的總體目標是用五年左右時間，建成對財政、稅務、海關等部門和國有企事業單位的財務信息系統、電子數據系統實施有效監督的聯網審計信息化系統，改變目前審計手工作業的現狀。2004年國家審計署以“金審工程”建設為背景，在計算機審計實踐和相關軟件技術研究的基礎上設立的“聯網審計技術研究與應用”項目通過了中科院組織的可行性技術專家論證，標志著我國聯網審計研究工作的正式啟動，進入了科研攻關階段。張平（2006）依據現代軟件新技術理論，深入研究了聯網模式下的計算機輔助審計，從社保聯網審計（SNA）系統需求分析出發，完成了聯網審計系統的總體設計，并研究認為SNA系統的目標是將手工審計與計算機審計相結合，在聯網模式下進行審計。由勝勇（2007）對數據約簡及其在社保聯網審計中的應用進行了研究，使用Java等工具開發了一個基于數據庫系統的數據約簡工具D.B.Reduced，并將該工具應用于社保聯網審計中，對社保業務數據進行約簡，預期效果較好。寶曉娜（2009）重點研究了基于CGSP的社保審計網格及門戶技術，對社保審計網格的虛擬數據庫和網格文件系統展開了深入研究，并指出社保審計網格門戶繼承了Grid sphere框架提供的核心Port let基本功能。

（二）關于社保基金計算機聯網審計技術的研究

計算機審計技術是開展聯網審計的重要保證。2005年初，山東青島市審計局對社保計算機審計的技術方法進行了探討，編寫了《社會保障計算機審計實務》一書，系統闡述了信息化環境下養老保險等各項社保基金審計技術。浙江省審計廳聯合浙江大學計算機系進行過計算機技術在社保審計中的應用研究，初步實現了對養老保險業務的聯網監督。為解決計算機審計技術要求高的難題，青島市審計局運用PB9.0+SQL SERVER2000技術，自主開發了對養老、醫療等五項社保基金征繳環節的計算機審計技術。李媛媛（2007）在現有安全審計系統的基礎上，結合廣州市財政系統功能和業務特點，提出了一種新型的計算機安全審計系統—財政安全審計系統（Finance Security Audit System，簡稱FSAS），并根據財政業務系統面臨的問題，提出了FSAS系統的應用、體系結構設計和關鍵審計模塊的審計技術。陳偉（2008）認為，計算機審計技術是為了滿足信息化環境下審計的需要，以計算機為基礎對信息系統數據進行審計的技術，聯網審計技術主要由數據采集、數據傳輸、數據存儲和數據分析這四部分組成。謝岳山（2009）對聯網環境下的電子簽章、網絡數據庫和電子商務軟件系統三大類關鍵要素的審計技術展開了探討，認為聯網環境下信息系統的審計需要多種計算機審計技術支持。李春洋（2011）研究發現，計算機審計技術在信息化環境下存在審計業務能力與信息化發展水平不均衡、審計機關信息化程度與被審計對象不對稱、計算機審計系統操作性不強等問題，并提出了加強理論研究、推進審計軟件開發、加快數據庫建設，完善聯網審計體系等推進審計技術發展的建議。

（三）關于社保基金計算機聯網審計軟件的研究

目前我國有部分審計機關對社保基金計算機聯網審計軟件開展了相關研究，如江蘇南通市成功開發部署AO系統，將審計經驗和計算機語言有機結合，極大提高了審計效率；山東青島市審計局在社保基金審計中探索運用計算機輔助審計，開發了養老、醫療等五項社保基金征繳計算機審計軟件系統，成為山東省審計機關自主開發成功的首個社保基金計算機審計軟件系統；黑龍江省審計廳進行了養老保險聯網審計軟件研發，系統順利上線并通過審計署驗收；江蘇太倉市審計局建立了幾十個養老保險審計指標，通過構建方法模型研發聯網審計應用軟件，進行養老保險業務聯網審計。鈕銘鋼（2011）探索了運用審計軟件AO實施養老保險基金審計，研究認為被審計單位的財務數據由業務數據自動生成，取得憑證表，通過AO軟件“采集轉換—業務數據”功能導入。岳桂云（2010）對計算機審計軟件流程標準化進行了探討，研究指出審計軟件的流程標準化包括業務流程和數據流程兩大部分。陳偉（2009）闡析了目前國內流行的審計軟件有：現場審計實施系統（AO軟件）、北京通審軟件技術公司開發的通審2000、金劍審計系統2005和中審法規軟件等。汪孝竹（2006）認為，由于軟件公司的開發人員僅從自身專業角度出發，并不了解審計實務，既精通計算機編程又熟悉審計業務的復合型人才很少，導致審計軟件不實用，因而審計系統計算機人才缺乏問題，是制約審計軟件開發的因素之一。

二、現階段我國開展社保基金聯網審計面臨的現實困境

社保基金聯網審計實現了“預算跟蹤+聯網核查”相結合，是一種新型的審計方式。與傳統的審計方法相比，該審計方式突出的優勢體現在快速采集與準確轉換相結合，采集數據和分析數據的效率極大提高；實時監控與動態預警相結合，能及時發現并查處違規操作問題；遠程審計與現場審計相結合，拓展了審計范圍等方面。根據前文的研究現狀述評可知，我國在聯網審計方面已取得了一定成果，部分審計機關也開始了對聯網審計的試點探索工作，但在實際應用中推廣聯網審計之路仍然漫長曲折，諸多困境制約著該審計模式的運行和發展：

（一）數據安全與網絡安全保障措施不足，聯網審計存在較大的審計風險

由于社保中心數據庫的數據涉及機密，不能輕易暴露在外網，但當前審計單位審計信息系統的網絡化卻威脅著社保基金聯網審計系統的數據安全與網絡安全，網絡資源共享更使聯網審計信息面臨著安全威脅。在聯網審計環境下，社保業務信息的電子化以磁介質為主要存儲載體，這使攻擊者對原始數據進行非法修改或刪除，且不留篡改痕跡成為現實，這將無法保護數據的完整性，大大增加了審計風險。由于聯網審計系統數據安全控制不足，或因審計單位不嚴格遵守審計信息保密規定，使得信息被竊取，更常見的是由于審計人員操作失誤，導致業務數據丟失，或由于審計人員擅自更改微機設置，使聯網審計操作系統被破壞，造成數據損失。各種各樣的審計風險（如圖1所示），使社保基金業務數據的安全性難以得到保證。再加上計算機病毒的肆意侵襲，也威脅到聯網審計的數據安全和網絡安全，甚至破壞整個聯網審計系統，審計風險即隨之增加。

（二）聯網審計缺乏專門的技術規范，尚未建立起統一的法律法規制度體系

我國在社保審計領域中運用聯網審計技術還處于試點階段，目前國家尚未出臺專門的聯網審計技術規范，相關的法律制度很欠缺。聯網審計是審計方式的創新，以往的社保基金審計法律法規體系，已不能完全指導和規范聯網審計的實踐與操作，也不能完全解決聯網審計實務中出現的所有新問題。雖然有些實現聯網審計的地方出臺了相關的地方性規章制度，但還缺乏統一的聯網審計法律法規體系，造成了審計機關能否具有與被審計單位聯網取得數據的權力、有沒有隨時獲取被審計單位數據并進行審計的權力等一系列阻礙聯網審計應用的問題。此外，聯網審計尚缺乏一套標準的審計程序及與此相配套的審計文書，在聯網審計的技術規范、操作流程及分析模型方面尚未建立起統一的標準，致使審計人員無法根據相對統一的標準對社保基金展開審計工作，不同地區不同審計人員使用的審計方法與技術各不相同，聯網審計效果得不到根本保證。

（三）審計人員的綜合素質難以滿足聯網審計工作需要，缺乏復合型審計人才

聯網審計是一項對計算機技術和審計業務知識要求很高的工作，這就要求審計人員不但要具備豐富的財務及審計知識，并熟悉審計政策、法規和其他審計依據，而且又要掌握計算機基礎知識和網絡技術，并對被審計單位計算機軟硬件系統有充分的了解。在審計實務中，很多審計人員停留在傳統的審計模式上，無法適應信息化環境下新形勢的發展要求，特別是在基層審計部門，有些審計人員盡管財會審計經驗豐富，但對計算機技術與網絡知識了解不多；而有些審計人員的計算機技術水平較高，但與審計相關的財務知識不夠扎實。由此可見，目前我國很缺乏復合型審計人才，能夠完全勝任聯網審計的專業技術人才也非常稀缺。

三、社保基金聯網審計應用困境的實踐對策探討

結合信息化環境下社保基金聯網審計的應用困境，運用計算機、審計、社會保障等相關學科的專業知識，借助現代審計體系和技術方法探討解決社保基金聯網審計困境的實踐對策，以推進社保基金聯網審計向更深層次發展，提升社保基金審計監管的技術水平。

（一）強化安全防范措施，保障聯網審計的數據安全與網絡安全

⒈建立數據安全控制規程。為保證聯網系統中數據的安全性，建立數據安全規程，強化數據安全控制，對系統中的數據應規定審計人員的使用權限，規定哪些人員可以查閱哪些審計數據，審計人員只有經過授權才能訪問系統數據。

⒉采取數據專網傳輸措施。考慮到社保中心數據在網絡傳輸中的安全性，應采用專網傳輸方式進行社保中心財務、業務數據采集，為數據安全保駕護航。

⒊依靠技術設備保障網絡安全。社保聯網審計專網與社保中心內部使用的業務系統網絡不能夠聯通，應嚴格實施審計專網與互聯網物理隔離措施。同時強化外網安全保護措施，采取先進的防火墻技術，安裝網絡版殺毒軟件，防止病毒入侵，保護聯網審計網絡安全。

（二）強化技術規范與制度建設，為聯網審計提供制度保障

⒈完善社保基金聯網審計立法體系。審計機關應在總結聯網審計探索經驗的基礎上，結合聯網審計實踐情況，出臺有關社保基金聯網審計的規章制度，制定《社保基金聯網審計實施辦法》、出臺《社保基金聯網審計網絡化管理實施辦法》，增強聯網審計單位的法律制度意識。同時，審計機關應從優化外部環境和建立內部控制制度兩方面著手為社保基金聯網審計提供制度保障。

⒉加快社保基金聯網審計規范化建設。規范化建設就是從社保基金聯網審計系統的整體出發，對各地區開展聯網審計的操作流程、審計程序、軟件要求等各個環節制訂規程，規范管理。審計署可以在系統技術層面上出臺建設標準及社保基金聯網審計操作指南，明確崗位權限、聯網審計程序等操作要求，不斷促進社保基金聯網審計規范化發展。

⒊構建社保基金聯網審計標準化管理體系。標準化管理體系的建設分三個階段進行：首先，提出聯網審計標準化管理需求；其次，為聯網審計系統的運行制定具體標準；最后，組織監督聯網審計單位落實標準。社保基金聯網審計系統的標準化體現在硬件與軟件兩方面。在硬件方面，統一聯網審計單位的數據中心機房建設標準，配備全國統一的硬件設備；在軟件方面，使用統一技術支持的聯網審計軟件標準，完善聯網審計軟件研發與技術支持商管理制度等。

（三）強化技能培訓并革新教育模式，不斷提高聯網審計自主創新能力

⒈加強知識技能培訓。一方面，社保基金審計機構應強化對審計人員的繼續教育，加強財會知識及社保知識培訓；另一方面，對審計人員進行計算計技能培訓與社保基金信息化技術培訓，通過開展“聯網審計專業技術培訓月”等形式，提高審計人員的聯網審計工作能力。

⒉引進復合型審計人才。首先加強對現有審計人員的培訓，制定審計人員在職學習規劃；其次采用招聘政府雇員等人才引進方式，引進聯網審計所需的復合型人才，滿足聯網審計長期發展需要。

⒊強化培訓與激勵。具體的做法有：建立專門的聯網審計工作領導小組；對熟練掌握聯網審計技術者、在聯網審計專業技術知識年度考核中表現優秀者及在聯網審計工作中取得突出業績者等頒發獎勵；對“社保基金聯網審計運用能手”實行“三個優先”（評先評優、職務晉升、學習培訓）的激勵機制。

【參考文獻】

[1] 錢潤紅，崔云.社會保險基金審計方式探討[J].貴州大學學報（社會科學版），2010（4）：21-24.

[2] 喻婷.社會保險基金績效審計評價體系研究[D].西南財經大學碩士學位論文，2010：15-22.

[3] 李蕊愛.企業職工基本養老保險資金的審計探索[J].中國審計，2010（22）：35-37.

篇(7)

[論文摘要]通過對電力系統計算機網絡存在的網絡安全問廈的分析，提出相應的安全對策，并介紹應用于電力系統計算機網絡的網絡安全技術。

[論文關鍵詞】電力信息安全策略

在全球信息化的推動下，計算機信息網絡作用不斷擴大的同時，信息網絡的安全也變得日益重要，一旦遭受破壞，其影響或損失也十分巨大，電力系統信息安全是電力系統安全運行和對社會可靠供電的保障，是一項涉及電網調度自動化、繼電保護及安全裝置、廠站自動化、配電網自動化、電力負荷控制、電力營銷、信息網絡系統等有關生產、經營和管理方面的多領域、復雜的大型系統工程。應結合電力工業特點，深入分析電力系統信息安全存在的問題，探討建立電力系統信息安全體系，保證電網安全穩定運行，提高電力企業社會效益和經濟效益，更好地為國民經濟高速發展和滿足人民生活需要服務。

研究電力系統信息安全問題、制定電力系統信息遭受內部外部攻擊時的防范與系統恢復措施等信息安全戰略是當前信息化工作的重要內容。

一、電力系統的信息安全體系

信息安全指的是為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實性、可靠性、責任性等幾個方面。

信息安全涉及的因素有，物理安全、信息安全、網絡安全、文化安全。

作為全方位的、整體的信息安全體系是分層次的，不同層次反映了不同的安全問題。

信息安全應該實行分層保護措施，有以下五個方面，

①物理層面安全，環境安全、設備安全、介質安全，②網絡層面安全，網絡運行安全，網絡傳輸安全，網絡邊界安全，③系統層面安全，操作系統安全，數據庫管理系統安全，④應用層面安全，辦公系統安全，業務系統安全，服務系統安全，⑤管理層面安全，安全管理制度，部門與人員的組織規則。

二、電力系統的信息安全策略

電力系統的信息安全具有訪問方式多樣，用戶群龐大、網絡行為突發性較高等特點。信息安全問題需從網絡規劃設計階段就仔細考慮，并在實際運行中嚴格管理。為了保障信息安全，采取的策略如下：

(一)設備安全策略

這是在企業網規劃設計階段就應充分考慮安全問題。將一些重要的設備，如各種服務器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空，并有明顯標記，防止意外損壞。對于終端設備，如工作站、小型交挾機、集線器和其它轉接設備要落實到人，進行嚴格管理。

(一)安全技術策略

為了達到保障信息安全的目的，要采取各種安全技術，其不可缺少的技術層措施如下：

1．防火墻技術。防火墻是用于將信任網絡與非信任網絡隔離的一種技術，它通過單一集中的安全檢查點，強制實糟相應的安全策略進行檢查，防止對重要信息資源進行非法存取和訪問。電力系統的生產、計量、營銷、調度管理等系統之間，信息的共享、整合與調用，都需要在不同網段之間對這些訪問行為進行過濾和控制，阻斷攻擊破壞行為，分權限合理享用信息資源。

2．病毒防護技術。為免受病毒造成的損失，要采用的多層防病毒體系。即在每臺Pc機上安裝防病毒軟件客戶端，在服務器上安裝基于服務器的防病毒軟件，在網關上安裝基于網關的防病毒軟件。必須在信息系統的各個環節采用全網全面的防病毒策略，在計算機病毒預防、檢測和病毒庫的升級分發等環節統一管理，建立較完善的管理制度，才能有效的防止和控制病毒的侵害。

3．虛擬局域網技術(VLAN技術)。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域，每一個VLAN都包含1組有著相同需求的計算機工作站，與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分，所以同一個LAN內的各工作站無須放置在同一物理空間里，既這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，有助于控制流量、控制廣播風暴、減少設備投資、簡化網絡管理、提高網絡的安全性。

4．數據與系統備份技術。電力企業的數據庫必須定期進行備份，按其重要程度確定數據備份等級。配置數據備份策略，建立企業數據備份中心，采用先進災難恢復技術，對關鍵業務的數據與應用系統進行備份，制定詳盡的應用數據備份和數據庫故障恢復預案，并進行定期預演。確保在數據損壞或系統崩潰的情況下能快速恢復數據與系統，從而保證信息系統的可用性和可靠性。

5．安全審計技術。隨著系統規模的擴展與安全設施的完善，應該引入集中智能的安全審計系統，通過技術手段，實現自動對網絡設備日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行統一安全審計，及時自動分析系統安全事件，實現系統安全運行管理。

6．建立信息安全身份認證體系。CA是CertificateAuthority的縮寫，即證書授權。在電子商務系統中，所有實體的證書都是由證書授權中心(CA中心)分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場交易系統就其實質來說，是一個典型的電子商務系統，它必須保證交易數據安全。在電力市場技術支持系統中，作為市場成員交易各方的身份確認、物流控制、財務結算、實時數據交換系統中，均需要權威、安全的身份認證系統。在電力系統中，電子商務逐步擴展到電力營銷系統、電力物質采購系統、電力燃料供應系統等許多方面。因此，建立全國和網、省公司的cA機構，對企業員工上網用戶統一身份認證和數字簽名等安全認證，對系統中關鍵業務進行安全審計，并開展與銀行之間、上下級CA機構之間、其他需要CA機構之間的交叉認證的技術研究及試點工作。

(三)組織管理策略

信息安全是技術措施和組織管理措施的統一，“三分技術、七分管理”。據統計，在所有的計算機安全事件中，屬于管理方面的原因比重高達70%以上。沒有管理，就沒有安全。再好的第三方安全技術和產品，如果沒有科學的組織管理配合，都會形同虛設。

1．安全意識與安全技能。通過普及安全知識的培訓，可以提高電力企業職員安全知識和安全意識，使他們具備一些基本的安全防護意識和發現解決某些常見安全問題的能力。通過專業安全培訓提高操作維護者的安全操作技能，然后再配合第三方安全技術和產品，將使信息安全保障工作得到提升。

2．安全策略與制度。電力企業應該從企業發展角度對整體的信息安全工作提供方針性指導，制定一套指導性的、統一的安全策略和制度。沒有標準，無法衡量信息的安全，沒有法規，無從遵循信息安全的制度，沒有策略，無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化，是法規與管理的接口和信息安全得以實現的重要保證。

3．安全組織與崗位。電力企業的組織體系應實行“統一組織、分散管理”的方式，建立一個有效、獨立的信息安全部門作為企業的信息安全管理機構，全面負責企業范圍內的信息安全管理和維護工作。安全崗位是信息系統安全管理機構，根據系統安全需要設定的負責某一個或某幾個安全事務的職位，崗位在系統內部可以是具有垂直領導關系的若干層次的一個序列。這樣在全企業范圍內形成信息安全管理的專一工作，使各級信息技術部門也因此會很好配合信息安全推行工作。