日韩天堂视频,成人福利在线观看,国产一区二区影院,欧美啪啪精品,免费一级成人毛片

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全審計(jì)報(bào)告主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全審計(jì)報(bào)告范文

作為我國(guó)電子政務(wù)重要基礎(chǔ)設(shè)施的電子政務(wù)外網(wǎng)，為了實(shí)現(xiàn)服務(wù)各級(jí)黨政部門(mén)，滿足各級(jí)政務(wù)部門(mén)社會(huì)管理、公共服務(wù)等方面需要的重要功能，要求具有互聯(lián)網(wǎng)出口，并且與互聯(lián)網(wǎng)邏輯隔離。因此，電子政務(wù)外網(wǎng)面臨來(lái)自互聯(lián)網(wǎng)和內(nèi)部網(wǎng)用戶兩大急需解決的安全難題。

二、設(shè)計(jì)思路

本方案按照《國(guó)家電子政務(wù)外網(wǎng)安全保障體系總體規(guī)劃建議》進(jìn)行設(shè)計(jì)，規(guī)劃范圍以市級(jí)電子政務(wù)外網(wǎng)為主，以市級(jí)電子政務(wù)外網(wǎng)運(yùn)維中心為重點(diǎn)，覆蓋市委、市政府、市人大、市政協(xié)和多個(gè)委辦局單位以及市屬各個(gè)縣區(qū)，根據(jù)國(guó)家電子政務(wù)外網(wǎng)安全保障體系的規(guī)劃，市級(jí)電子政務(wù)外網(wǎng)安全體系包括如下三個(gè)方面的內(nèi)容:

(一)安全管理體系。主要包括:按照國(guó)家安全保障體系建設(shè)標(biāo)準(zhǔn)，建設(shè)市級(jí)安全管理中心(SOC);以《國(guó)家電子政務(wù)外網(wǎng)安全標(biāo)準(zhǔn)指南》為標(biāo)準(zhǔn)貫徹執(zhí)行國(guó)家已有安全法規(guī)標(biāo)準(zhǔn)，同時(shí)制訂符合本市電子政務(wù)外網(wǎng)自身特點(diǎn)和要求的有關(guān)規(guī)定和技術(shù)規(guī)范。

(二)網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)體系。主要包括:網(wǎng)絡(luò)防護(hù)與隔離系統(tǒng)、入侵防御系統(tǒng)、接入認(rèn)證系統(tǒng)、業(yè)務(wù)隔離和加密傳輸系統(tǒng)、防病毒、漏洞掃描系統(tǒng)等。

(三)網(wǎng)絡(luò)信任體系。主要包括:PKI/CA系統(tǒng)、權(quán)限管理系統(tǒng)和認(rèn)證授權(quán)審計(jì)系統(tǒng)。

三、方案設(shè)計(jì)

(一)安全管理中心。市級(jí)安全管理中心是市級(jí)電子政務(wù)外網(wǎng)安全的規(guī)劃、實(shí)施、協(xié)調(diào)和管理機(jī)構(gòu)，上聯(lián)省級(jí)電子政務(wù)外網(wǎng)安全管理中心，把各類安全事件以標(biāo)準(zhǔn)格式上報(bào)到省中心，同時(shí)對(duì)縣區(qū)管理中心下發(fā)安全策略，并接收縣區(qū)的日志、事件。縣級(jí)安全管理中心在市中心的授權(quán)下，具有一定的管理權(quán)限，并對(duì)縣級(jí)安全策略及日志、事件進(jìn)行采集和上報(bào)。市級(jí)安全管理中心也是市級(jí)網(wǎng)絡(luò)安全設(shè)施的管理維護(hù)機(jī)構(gòu)，為使安全設(shè)施能夠最大限度地發(fā)揮其安全保障功能，需要建立一個(gè)良好的安全綜合管理平臺(tái)，以實(shí)現(xiàn)業(yè)務(wù)流程分析，并對(duì)業(yè)務(wù)系統(tǒng)在安全監(jiān)控、安全審計(jì)、健康性評(píng)估等方面的運(yùn)行進(jìn)行有效的管控，從全局角度進(jìn)行安全策略的管理，對(duì)各類安全事件作出實(shí)時(shí)的監(jiān)控及響應(yīng)，為管理者提供及時(shí)的運(yùn)行情況報(bào)告、問(wèn)題報(bào)告、事件報(bào)告、安全審計(jì)報(bào)告、健康性報(bào)告和風(fēng)險(xiǎn)分析報(bào)告，從而使決策者能及時(shí)調(diào)整安全防護(hù)策略，恰當(dāng)?shù)剡M(jìn)行網(wǎng)絡(luò)優(yōu)化，及時(shí)地部署安全措施，消除各類安全隱患。

(二)基礎(chǔ)防護(hù)平臺(tái)建設(shè)。基礎(chǔ)防護(hù)平臺(tái)主要是以確定的安全防護(hù)模型框架為依據(jù)，結(jié)合政府業(yè)務(wù)的實(shí)際安全需求，在原有互聯(lián)網(wǎng)安全設(shè)施基礎(chǔ)上進(jìn)行安全基礎(chǔ)防護(hù)體系的新建或擴(kuò)充、延伸與擴(kuò)展。包括邊界隔離與控制、身份鑒別、認(rèn)證與授權(quán)、入侵檢測(cè)與防御、安全審計(jì)與記錄、流量監(jiān)測(cè)與清洗、數(shù)據(jù)加密傳輸、病毒監(jiān)測(cè)與防護(hù)、安全掃描與評(píng)估、安全策略集中管理、安全監(jiān)控管理和安全審計(jì)管理等基礎(chǔ)安全防護(hù)措施。最終達(dá)到提升系統(tǒng)的整體抗攻擊能力，確保電子政務(wù)外網(wǎng)能夠更好地支撐各類政務(wù)應(yīng)用系統(tǒng)的運(yùn)轉(zhuǎn)。

(三)邊界隔離與控制。防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)邊界隔離的首選設(shè)備，防火墻是運(yùn)行于軟件和硬件上的，安裝在特定網(wǎng)絡(luò)邊界的，實(shí)施網(wǎng)間訪問(wèn)控制的一組組件的集合。它在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成一道安全保護(hù)屏障，防止非法用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息，同時(shí)也防止這類非法和惡意的網(wǎng)絡(luò)行為破壞內(nèi)部網(wǎng)絡(luò)。它可以讓用戶在一個(gè)安全屏障后接入互聯(lián)網(wǎng)，還可以把單位的公共網(wǎng)絡(luò)服務(wù)器和企業(yè)內(nèi)部網(wǎng)絡(luò)隔開(kāi)，同時(shí)也可以通過(guò)防火墻將網(wǎng)絡(luò)中的服務(wù)器與網(wǎng)絡(luò)邏輯分離，進(jìn)行重點(diǎn)防護(hù)。部署防火墻能夠保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另外網(wǎng)絡(luò)的攻擊。

(四)入侵檢測(cè)與防御。在整體的網(wǎng)絡(luò)安全中，依靠安全策略的指導(dǎo)，對(duì)信息系統(tǒng)防護(hù)有積極的意義。但是，無(wú)論網(wǎng)絡(luò)防護(hù)得多么牢固，依舊不能說(shuō)“網(wǎng)絡(luò)是安全的”。因?yàn)殡S著技術(shù)的發(fā)展，任何防護(hù)措施都不能保證網(wǎng)絡(luò)不出現(xiàn)新的安全事件，不被手段高超的人員成功入侵。在攻擊與防御的較量中，實(shí)時(shí)監(jiān)測(cè)處在一個(gè)核心的地位。

(五)安全審計(jì)與記錄。安全審計(jì)系統(tǒng)記錄了網(wǎng)絡(luò)使用者的全部上網(wǎng)行為，是支撐網(wǎng)絡(luò)安全事件調(diào)查的基礎(chǔ)，是審計(jì)信息的重要來(lái)源，在電子政務(wù)外網(wǎng)的建設(shè)中，應(yīng)當(dāng)盡量延伸安全審計(jì)系統(tǒng)部署的范圍，并采用多種的安全審計(jì)系統(tǒng)類型(如網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)等)擴(kuò)展安全審計(jì)的層面。

(六)流量檢測(cè)與清洗。流量檢測(cè)與清洗服務(wù)是針對(duì)網(wǎng)絡(luò)傳輸信息流類型、大小以及諸如DOS/DDOS等安全攻擊行為的監(jiān)控、告警和防護(hù)的一種網(wǎng)絡(luò)安全服務(wù)。該服務(wù)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的業(yè)務(wù)數(shù)據(jù)流量進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)包括DOS攻擊在內(nèi)的異常流量。在不影響正常業(yè)務(wù)的前提下，清洗掉異常流量。有效滿足各業(yè)務(wù)系統(tǒng)運(yùn)作連續(xù)性的要求。同時(shí)該服務(wù)通過(guò)時(shí)間通告、分析報(bào)表等服務(wù)內(nèi)容提升客戶網(wǎng)絡(luò)流量的可見(jiàn)性和安全狀況的清晰性。

(七)統(tǒng)一病毒防護(hù)平臺(tái)。根據(jù)電子政務(wù)外網(wǎng)省、市、縣三級(jí)分布的特點(diǎn)，可采用多級(jí)、多種的方式進(jìn)行病毒防護(hù)系統(tǒng)的綜合部署，包括在網(wǎng)絡(luò)邊界安裝硬件防病毒網(wǎng)關(guān)、針對(duì)特定應(yīng)用布署網(wǎng)絡(luò)防病毒系統(tǒng)、針對(duì)多數(shù)工作終端布署單機(jī)版病毒查殺軟件等方式。

(八)終端管理。利用桌面終端管理系統(tǒng)，對(duì)于終端電腦從以下四方面進(jìn)行進(jìn)行標(biāo)準(zhǔn)化管理:

1．網(wǎng)絡(luò)準(zhǔn)入。通過(guò)網(wǎng)絡(luò)邊界部署的防火墻設(shè)備、網(wǎng)絡(luò)交換機(jī)設(shè)備與終端管理服務(wù)器配合，實(shí)現(xiàn)終端用戶的802．1x準(zhǔn)入認(rèn)證，使得所有終端用戶接入電子政務(wù)外網(wǎng)網(wǎng)絡(luò)必須提出申請(qǐng)，并對(duì)接入機(jī)器做防病毒等安全審核，在安裝了準(zhǔn)入客戶端軟件(Agent)并分配了用戶名/密碼后，才能合法接入網(wǎng)絡(luò)并使用信息資源，開(kāi)展業(yè)務(wù)工作，實(shí)現(xiàn)了對(duì)終端用戶的有效管理。

2．網(wǎng)絡(luò)切換。通過(guò)實(shí)現(xiàn)終端用戶訪問(wèn)互聯(lián)網(wǎng)和電子政務(wù)外網(wǎng)兩網(wǎng)切換使用功能，實(shí)現(xiàn)對(duì)兩網(wǎng)資源使用的嚴(yán)格管理，避免安全隱患的發(fā)生。

3．文件保險(xiǎn)箱。利用“文件保險(xiǎn)箱”功能，在終端用戶處于“政務(wù)外網(wǎng)”訪問(wèn)狀態(tài)時(shí)可以使用“文件保險(xiǎn)箱”功能，并創(chuàng)建、修改、使用加密文件或文件夾，在終端用戶處于“互聯(lián)網(wǎng)”狀態(tài)時(shí)無(wú)法使用此功能，不能創(chuàng)建、修改、使用加密文件或文件夾，從而保證工作文件的安全。

4．補(bǔ)丁管理。利用桌面系統(tǒng)補(bǔ)丁管理的功能，幫助管理員對(duì)網(wǎng)內(nèi)基于Windows平臺(tái)的系統(tǒng)快速部署最新的安全更新和重要功能更新。系統(tǒng)能檢測(cè)用戶已安裝的補(bǔ)丁和需要安裝的補(bǔ)丁，管理員能通過(guò)管理平臺(tái)對(duì)桌面系統(tǒng)下發(fā)安裝補(bǔ)丁的命令。補(bǔ)丁服務(wù)器可自動(dòng)從微軟網(wǎng)站更新補(bǔ)丁庫(kù)，管理員負(fù)責(zé)審核是否允許補(bǔ)丁在終端系統(tǒng)安裝。通過(guò)策略定制，終端系統(tǒng)可以自動(dòng)檢測(cè)、下載和安裝已審核的補(bǔ)丁。

(九)采用2+N的業(yè)務(wù)模式。對(duì)于利用互聯(lián)網(wǎng)接入的業(yè)務(wù)系統(tǒng)，必須采用VPN接入，建設(shè)互聯(lián)網(wǎng)接入?yún)^(qū)，隔離互聯(lián)網(wǎng)與政務(wù)外網(wǎng)的數(shù)據(jù)包，將互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行封裝，確保互聯(lián)網(wǎng)業(yè)務(wù)在專網(wǎng)的VPN通道內(nèi)進(jìn)行傳輸，對(duì)于需要與互聯(lián)網(wǎng)聯(lián)接的為公眾服務(wù)的業(yè)務(wù)，通過(guò)邏輯隔離的安全防范措施，采用防火墻系統(tǒng)、入侵防御系統(tǒng)和網(wǎng)絡(luò)防病毒系統(tǒng)，對(duì)互聯(lián)網(wǎng)接入業(yè)務(wù)提供必要安全防護(hù)，保障電子政務(wù)外網(wǎng)的信息安全。

(十)信任體系設(shè)計(jì)。建立了基于PKI/CA公鑰基礎(chǔ)設(shè)施的數(shù)字證書(shū)認(rèn)證體系。完善、推廣、促進(jìn)數(shù)字證書(shū)體系的發(fā)展和根據(jù)業(yè)務(wù)需要建立相應(yīng)CA機(jī)構(gòu)，并實(shí)現(xiàn)某些應(yīng)用和管理需要的單點(diǎn)登錄要求。

第2篇：網(wǎng)絡(luò)安全審計(jì)報(bào)告范文

電子數(shù)據(jù)安全是建立在計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)上的一個(gè)子項(xiàng)安全系統(tǒng)，它既是計(jì)算機(jī)網(wǎng)絡(luò)安全概念的一部分，但又和計(jì)算機(jī)網(wǎng)絡(luò)安全緊密相連，從一定意義上講，計(jì)算機(jī)網(wǎng)絡(luò)安全其實(shí)質(zhì)即是電子數(shù)據(jù)安全。國(guó)際標(biāo)準(zhǔn)化組織(iso)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的定義為：“計(jì)算機(jī)系統(tǒng)有保護(hù)計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞。”歐洲幾個(gè)國(guó)家共同提出的“信息技術(shù)安全評(píng)級(jí)準(zhǔn)則”，從保密性、完整性和可用性來(lái)衡量計(jì)算機(jī)安全。對(duì)電子數(shù)據(jù)安全的衡量也可借鑒這三個(gè)方面的內(nèi)容，保密性是指計(jì)算機(jī)系統(tǒng)能防止非法泄露電子數(shù)據(jù)；完整性是指計(jì)算機(jī)系統(tǒng)能防止非法修改和刪除電子數(shù)據(jù)；可用性是指計(jì)算機(jī)系統(tǒng)能防止非法獨(dú)占電子數(shù)據(jù)資源，當(dāng)用戶需要使用計(jì)算機(jī)資源時(shí)能有資源可用。

二、電子數(shù)據(jù)安全的性質(zhì)

電子數(shù)據(jù)安全包括了廣義安全和狹義安全。狹義安全僅僅是計(jì)算機(jī)系統(tǒng)對(duì)外部威脅的防范，而廣義的安全是計(jì)算機(jī)系統(tǒng)在保證電子數(shù)據(jù)不受破壞并在給定的時(shí)間和資源內(nèi)提供保證質(zhì)量和確定的服務(wù)。在電子數(shù)據(jù)運(yùn)行在電子商務(wù)等以計(jì)算機(jī)系統(tǒng)作為一個(gè)組織業(yè)務(wù)目標(biāo)實(shí)現(xiàn)的核心部分時(shí)，狹義安全固然重要，但需更多地考慮廣義的安全。在廣義安全中，安全問(wèn)題涉及到更多的方面，安全問(wèn)題的性質(zhì)更為復(fù)雜。

(一)電子數(shù)據(jù)安全的多元性

在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)環(huán)境中，風(fēng)險(xiǎn)點(diǎn)和威脅點(diǎn)不是單一的，而存在多元性。這些威脅點(diǎn)包括物理安全、邏輯安全和安全管理三個(gè)主要方面。物理安全涉及到關(guān)鍵設(shè)施、設(shè)備的安全和硬件資產(chǎn)存放地點(diǎn)的安全等內(nèi)容；邏輯安全涉及到訪問(wèn)控制和電子數(shù)據(jù)完整性等方面；安全管理包括人員安全管理政策、組織安全管理政策等內(nèi)容。電子數(shù)據(jù)安全出現(xiàn)問(wèn)題可能是其中一個(gè)方面出現(xiàn)了漏洞，也可能是其中兩個(gè)或是全部出現(xiàn)互相聯(lián)系的安全事故。

(二)電子數(shù)據(jù)安全的動(dòng)態(tài)性

由于信息技術(shù)在不斷地更新，電子數(shù)據(jù)安全問(wèn)題就具有動(dòng)態(tài)性。因?yàn)樵诮裉鞜o(wú)關(guān)緊要的地方，在明天就可能成為安全系統(tǒng)的隱患；相反，在今天出現(xiàn)問(wèn)題的地方，在將來(lái)就可能已經(jīng)解決。例如，線路劫持和竊聽(tīng)的可能性會(huì)隨著加密層協(xié)議和密鑰技術(shù)的廣泛應(yīng)用大大降低，而客戶機(jī)端由于b0這樣的黑客程序存在，同樣出現(xiàn)了安全需要。安全問(wèn)題的動(dòng)態(tài)性導(dǎo)致不可能存在一勞永逸的解決方案。

(三)電子數(shù)據(jù)安全的復(fù)雜性

安全的多元性使僅僅采用安全產(chǎn)品來(lái)防范難以奏效。例如不可能用一個(gè)防火墻將所有的安全問(wèn)題擋在門(mén)外，因?yàn)楹诳统３＠梅阑饓Φ母綦x性，持續(xù)幾個(gè)月在防火墻外試探系統(tǒng)漏洞而未被發(fā)覺(jué)，并最終攻入系統(tǒng)。另外，攻擊者通常會(huì)從不同的方面和角度，例如對(duì)物理設(shè)施或協(xié)議、服務(wù)等邏輯方式對(duì)系統(tǒng)進(jìn)行試探，可能繞過(guò)系統(tǒng)設(shè)置的某些安全措施，尋找到系統(tǒng)漏洞而攻入系統(tǒng)。它涉及到計(jì)算機(jī)和網(wǎng)絡(luò)的硬件、軟件知識(shí)，從最底層的計(jì)算機(jī)物理技術(shù)到程序設(shè)計(jì)內(nèi)核，可以說(shuō)無(wú)其不包，無(wú)所不在，因?yàn)楣粜袨榭赡懿⒉皇菃蝹€(gè)人的，而是掌握不同技術(shù)的不同人群在各個(gè)方向上展開(kāi)的行動(dòng)。同樣道理，在防范這些問(wèn)題時(shí)，也只有掌握了各種入侵技術(shù)和手段，才能有效的將各種侵犯拒之門(mén)外，這樣就決定了電子數(shù)據(jù)安全的復(fù)雜性。

(四)電子數(shù)據(jù)安全的安全悖論

目前，在電子數(shù)據(jù)安全的實(shí)施中，通常主要采用的是安全產(chǎn)品。例如防火墻、加密狗、密鑰等，一個(gè)很自然的問(wèn)題會(huì)被提出：安全產(chǎn)品本身的安全性是如何保證的?這個(gè)問(wèn)題可以遞歸地問(wèn)下去，這便是安全的悖論。安全產(chǎn)品放置點(diǎn)往往是系統(tǒng)結(jié)構(gòu)的關(guān)鍵點(diǎn)，如果安全產(chǎn)品自身的安全性差，將會(huì)后患無(wú)窮。當(dāng)然在實(shí)際中不可能無(wú)限層次地進(jìn)行產(chǎn)品的安全保證，但一般至少需要兩層保證，即產(chǎn)品開(kāi)發(fā)的安全保證和產(chǎn)品認(rèn)證的安全保證。

(五)電子數(shù)據(jù)安全的適度性

由以上可以看出，電子數(shù)據(jù)不存在l00％的安全。首先由于安全的多元性和動(dòng)態(tài)性，難以找到一個(gè)方法對(duì)安全問(wèn)題實(shí)現(xiàn)百分之百的覆蓋；其次由于安全的復(fù)雜性，不可能在所有方面應(yīng)付來(lái)自各個(gè)方面的威脅；再次，即使找到這樣的方法，一般從資源和成本考慮也不可能接受。目前，業(yè)界普遍遵循的概念是所謂的“適度安全準(zhǔn)則”，即根據(jù)具體情況提出適度的安全目標(biāo)并加以實(shí)現(xiàn)。

三、電子數(shù)據(jù)安全審計(jì)

電子數(shù)據(jù)安全審計(jì)是對(duì)每個(gè)用戶在計(jì)算機(jī)系統(tǒng)上的操作做一個(gè)完整的記錄，以備用戶違反安全規(guī)則的事件發(fā)生后，有效地追查責(zé)任。電子數(shù)據(jù)安全審計(jì)過(guò)程的實(shí)現(xiàn)可分成三步：第一步，收集審計(jì)事件，產(chǎn)生審記記錄；第二步，根據(jù)記錄進(jìn)行安全違反分析；第三步，采取處理措施。

電子數(shù)據(jù)安全審計(jì)工作是保障計(jì)算機(jī)信息安全的重要手段。凡是用戶在計(jì)算機(jī)系統(tǒng)上的活動(dòng)、上機(jī)下機(jī)時(shí)間，與計(jì)算機(jī)信息系統(tǒng)內(nèi)敏感的數(shù)據(jù)、資源、文本等安全有關(guān)的事件，可隨時(shí)記錄在日志文件中，便于發(fā)現(xiàn)、調(diào)查、分析及事后追查責(zé)任，還可以為加強(qiáng)管理措施提供依據(jù)。

（一）審計(jì)技術(shù)

電子數(shù)據(jù)安全審計(jì)技術(shù)可分三種：了解系統(tǒng)，驗(yàn)證處理和處理結(jié)果的驗(yàn)證。

1．了解系統(tǒng)技術(shù)

審計(jì)人員通過(guò)查閱各種文件如程序表、控制流程等來(lái)審計(jì)。

2．驗(yàn)證處理技術(shù)

這是保證事務(wù)能正確執(zhí)行，控制能在該系統(tǒng)中起作用。該技術(shù)一般分為實(shí)際測(cè)試和性能測(cè)試，實(shí)現(xiàn)方法主要有：

（1）事務(wù)選擇

審計(jì)人員根據(jù)制訂的審計(jì)標(biāo)準(zhǔn)，可以選擇事務(wù)的樣板來(lái)仔細(xì)分析。樣板可以是隨機(jī)的，選擇軟件可以掃描一批輸入事務(wù)，也可以由操作系統(tǒng)的事務(wù)管理部件引用。

（2）測(cè)試數(shù)據(jù)

這種技術(shù)是程序測(cè)試的擴(kuò)展，審計(jì)人員通過(guò)系統(tǒng)動(dòng)作準(zhǔn)備處理的事務(wù)。通過(guò)某些獨(dú)立的方法，可以預(yù)見(jiàn)正確的結(jié)果，并與實(shí)際結(jié)果相比較。用此方法，審計(jì)人員必須通過(guò)程序檢驗(yàn)被處理的測(cè)試數(shù)據(jù)。另外，還有綜合測(cè)試、事務(wù)標(biāo)志、跟蹤和映射等方法。

（3）并行仿真。審計(jì)人員要通過(guò)一應(yīng)用程序來(lái)仿真操作系統(tǒng)的主要功能。當(dāng)給出實(shí)際的和仿真的系統(tǒng)相同數(shù)據(jù)后，來(lái)比較它們的結(jié)果。仿真代價(jià)較高，借助特定的高級(jí)語(yǔ)音可使仿真類似于實(shí)際的應(yīng)用。

（4）驗(yàn)證處理結(jié)果技術(shù)

這種技術(shù)，審計(jì)人員把重點(diǎn)放在數(shù)據(jù)上，而不是對(duì)數(shù)據(jù)的處理上。這里主要考慮兩個(gè)問(wèn)題：

一是如何選擇和選取數(shù)據(jù)。將審計(jì)數(shù)據(jù)收集技術(shù)插入應(yīng)用程序?qū)徲?jì)模塊（此模塊根據(jù)指定的標(biāo)準(zhǔn)收集數(shù)據(jù)，監(jiān)視意外事件）；擴(kuò)展記錄技術(shù)為事務(wù)（包括面向應(yīng)用的工具）建立全部的審計(jì)跟蹤；借用于日志恢復(fù)的備份庫(kù)（如當(dāng)審計(jì)跟蹤時(shí)，用兩個(gè)可比較的備份去檢驗(yàn)賬目是否相同）；通過(guò)審計(jì)庫(kù)的記錄抽取設(shè)施（它允許結(jié)合屬性值隨機(jī)選擇文件記錄并放在工作文件中，以備以后分析），利用數(shù)據(jù)庫(kù)管理系統(tǒng)的查詢?cè)O(shè)施抽取用戶數(shù)據(jù)。

二是從數(shù)據(jù)中尋找什么？一旦抽取數(shù)據(jù)后，審計(jì)人員可以檢查控制信息（含檢驗(yàn)控制總數(shù)、故障總數(shù)和其他控制信息）；檢查語(yǔ)義完整性約束；檢查與無(wú)關(guān)源點(diǎn)的數(shù)據(jù)。

（二）審計(jì)范圍

在系統(tǒng)中，審計(jì)通常作為一個(gè)相對(duì)獨(dú)立的子系統(tǒng)來(lái)實(shí)現(xiàn)。審計(jì)范圍包括操作系統(tǒng)和各種應(yīng)用程序。

操作系統(tǒng)審計(jì)子系統(tǒng)的主要目標(biāo)是檢測(cè)和判定對(duì)系統(tǒng)的滲透及識(shí)別誤操作。其基本功能為：審計(jì)對(duì)象（如用戶、文件操作、操作命令等）的選擇；審計(jì)文件的定義與自動(dòng)轉(zhuǎn)換；文件系統(tǒng)完整性的定時(shí)檢測(cè)；審計(jì)信息的格式和輸出媒體；逐出系統(tǒng)、報(bào)警閥值的設(shè)置與選擇；審計(jì)日態(tài)記錄及其數(shù)據(jù)的安全保護(hù)等。

應(yīng)用程序?qū)徲?jì)子系統(tǒng)的重點(diǎn)是針對(duì)應(yīng)用程序的某些操作作為審計(jì)對(duì)象進(jìn)行監(jiān)視和實(shí)時(shí)記錄并據(jù)記錄結(jié)果判斷此應(yīng)用程序是否被修改和安全控制，是否在發(fā)揮正確作用；判斷程序和數(shù)據(jù)是否完整；依靠使用者身份、口令驗(yàn)證終端保護(hù)等辦法控制應(yīng)用程序的運(yùn)行。

（三）審計(jì)跟蹤

通常審計(jì)跟蹤與日志恢復(fù)可結(jié)合起來(lái)使用，但在概念上它們之間是有區(qū)別的。主要區(qū)別是日志恢復(fù)通常不記錄讀操作；但根據(jù)需要，日記恢復(fù)處理可以很容易地為審計(jì)跟蹤提供審計(jì)信息。如果將審計(jì)功能與告警功能結(jié)合起來(lái)，就可以在違反安全規(guī)則的事件發(fā)生時(shí)，或在威脅安全的重要操作進(jìn)行時(shí)，及時(shí)向安檢員發(fā)出告警信息，以便迅速采取相應(yīng)對(duì)策，避免損失擴(kuò)大。審計(jì)記錄應(yīng)包括以下信息：事件發(fā)生的時(shí)間和地點(diǎn)；引發(fā)事件的用戶；事件的類型；事件成功與否。

審計(jì)跟蹤的特點(diǎn)是：對(duì)被審計(jì)的系統(tǒng)是透明的；支持所有的應(yīng)用；允許構(gòu)造事件實(shí)際順序；可以有選擇地、動(dòng)態(tài)地開(kāi)始或停止記錄；記錄的事件一般應(yīng)包括以下內(nèi)容：被審訊的進(jìn)程、時(shí)間、日期、數(shù)據(jù)庫(kù)的操作、事務(wù)類型、用戶名、終端號(hào)等；可以對(duì)單個(gè)事件的記錄進(jìn)行指定。

按照訪問(wèn)控制類型，審計(jì)跟蹤描述一個(gè)特定的執(zhí)行請(qǐng)求，然而，數(shù)據(jù)庫(kù)不限制審計(jì)跟蹤的請(qǐng)求。獨(dú)立的審計(jì)跟蹤更保密，因?yàn)閷徲?jì)人員可以限制時(shí)間，但代價(jià)比較昂貴。

（四）審計(jì)的流程

電子數(shù)據(jù)安全審計(jì)工作的流程是：收集來(lái)自內(nèi)核和核外的事件，根據(jù)相應(yīng)的審計(jì)條件，判斷是否是審計(jì)事件。對(duì)審計(jì)事件的內(nèi)容按日志的模式記錄到審計(jì)日志中。當(dāng)審計(jì)事件滿足報(bào)警閥的報(bào)警值時(shí)，則向?qū)徲?jì)人員發(fā)送報(bào)警信息并記錄其內(nèi)容。當(dāng)事件在一定時(shí)間內(nèi)連續(xù)發(fā)生，滿足逐出系統(tǒng)閥值，則將引起該事件的用戶逐出系統(tǒng)并記錄其內(nèi)容。

常用的報(bào)警類型有：用于實(shí)時(shí)報(bào)告用戶試探進(jìn)入系統(tǒng)的登錄失敗報(bào)警以及用于實(shí)時(shí)報(bào)告系統(tǒng)中病毒活動(dòng)情況的病毒報(bào)警等。

第3篇：網(wǎng)絡(luò)安全審計(jì)報(bào)告范文

20世紀(jì)60年代隨著第二代晶體管機(jī)的出現(xiàn)和計(jì)算機(jī)的普及，特別是電算化之后，開(kāi)始設(shè)立數(shù)據(jù)處理審計(jì)及安全辦公室，出現(xiàn)了信息技術(shù)審計(jì)（IT審計(jì)）-EDP審計(jì)，當(dāng)時(shí)稱之為計(jì)算機(jī)審計(jì)，到70年代，利用計(jì)算機(jī)犯罪的案件開(kāi)始出現(xiàn)，在上引起了強(qiáng)烈反響，人們開(kāi)始認(rèn)識(shí)到信息技術(shù)審計(jì)的必要性。進(jìn)入80年代后，發(fā)達(dá)國(guó)家大力發(fā)展信息產(chǎn)業(yè)，加上計(jì)算機(jī)與通信相結(jié)合，使計(jì)算機(jī)的應(yīng)用更加普及，同時(shí)也導(dǎo)致了利用計(jì)算機(jī)犯罪的比率升高，犯罪率的急劇上升引起了有關(guān)政府的極大重視，1984年日本政府公開(kāi)發(fā)表了《IT審計(jì)標(biāo)準(zhǔn)》，在全日本的軟件水平中增添了“IT審計(jì)師”一級(jí)的考試（在系統(tǒng)員考試之上的最高一級(jí)），培養(yǎng)從事信息技術(shù)審計(jì)的骨干隊(duì)伍，信息技術(shù)審計(jì)逐步走向成熟。至20世紀(jì)90年代，信息系統(tǒng)向大型化、多樣化及化發(fā)展，信息技術(shù)審計(jì)作為信息社會(huì)的安全對(duì)策進(jìn)入普及時(shí)期。

二、信息系統(tǒng)審計(jì)（ISA）與信息技術(shù)審計(jì)（ITA）

信息系統(tǒng)審計(jì)（Information Systems Audit簡(jiǎn)稱ISA）是指以某個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)為中心的審計(jì)，即對(duì)計(jì)算機(jī)信息系統(tǒng)的開(kāi)發(fā)建設(shè)、運(yùn)行環(huán)境、使用和維護(hù)、內(nèi)部控制等情況進(jìn)行監(jiān)督、檢查，并作出評(píng)價(jià)，提出意見(jiàn)和建議，它包括對(duì)新系統(tǒng)的開(kāi)發(fā)審計(jì)和對(duì)現(xiàn)有系統(tǒng)的審計(jì)。而信息技術(shù)審計(jì)（Information Technology Audit簡(jiǎn)稱ITA）則是側(cè)重于對(duì)信息技術(shù)基礎(chǔ)設(shè)施的審計(jì)，主要是對(duì)技術(shù)的安全性進(jìn)行審計(jì)，重點(diǎn)在于網(wǎng)絡(luò)安全和通訊安全。包括對(duì)防火墻的安全和公共密鑰系統(tǒng)（PKI）的安全性的評(píng)價(jià)，以及對(duì)非法入侵進(jìn)行檢測(cè)等。在部分西方國(guó)家央行內(nèi)部審計(jì)中，信息系統(tǒng)審計(jì)和信息技術(shù)審計(jì)有嚴(yán)格的區(qū)分，分別設(shè)置信息系統(tǒng)和信息技術(shù)審計(jì)機(jī)構(gòu)，我國(guó)人民銀行信息技術(shù)審計(jì)處于起步階段，一般認(rèn)為信息技術(shù)審計(jì)既包括對(duì)應(yīng)用系統(tǒng)的審計(jì)，也包括對(duì)計(jì)算機(jī)基礎(chǔ)設(shè)施的審計(jì)，二者是一個(gè)包含與被包含的關(guān)系，是可以通用的概念。

三、人民銀行信息技術(shù)審計(jì)的發(fā)展方向

人民銀行2000年開(kāi)始提出信息技術(shù)審計(jì)的概念，在充分了美國(guó)、德國(guó)、英國(guó)、加拿大、荷蘭、日本等國(guó)中央銀行信息技術(shù)審計(jì)的基礎(chǔ)上，2000年8月在貴陽(yáng)首次召開(kāi)了人民銀行信息技術(shù)審計(jì)工作座談會(huì)，以此次會(huì)議為標(biāo)志，人民銀行正式將信息系統(tǒng)安全納入內(nèi)部審計(jì)范疇，并相繼開(kāi)展了一系列信息系統(tǒng)專項(xiàng)審計(jì)。經(jīng)過(guò)幾年的探索，人民銀行對(duì)信息技術(shù)審計(jì)有了明確的定位，信息技術(shù)審計(jì)逐步走向正規(guī)化、日常化。從這幾年的實(shí)踐來(lái)看，人民銀行信息技術(shù)審計(jì)雖然引起了各級(jí)領(lǐng)導(dǎo)的高度重視，但受人員素質(zhì)等各種因素的制約，信息技術(shù)審計(jì)層次較低，基本上側(cè)重于規(guī)章制度的執(zhí)行和基礎(chǔ)設(shè)施的安全，離信息技術(shù)審計(jì)的定義相差較遠(yuǎn)，筆者認(rèn)為人民銀行信息技術(shù)審計(jì)應(yīng)向以下幾個(gè)方向發(fā)展：

1、在審計(jì)策略上向參與式審計(jì)發(fā)展。西方內(nèi)部審計(jì)理念的核心是，內(nèi)審人員不僅要善于發(fā)現(xiàn)，而且更要善于解決問(wèn)題，并要將所提建議當(dāng)作本部門(mén)的服務(wù)產(chǎn)品向管理當(dāng)局積極推銷(xiāo)，以大大提高審計(jì)的效果。而現(xiàn)代內(nèi)部審計(jì)方式的精髓則是參與式審計(jì)，即在整個(gè)審計(jì)過(guò)程中與被審人員維持良好的關(guān)系，共同分析問(wèn)題的實(shí)際情況及潛在，一起探討改進(jìn)的可行性和應(yīng)采取的措施，從而加強(qiáng)內(nèi)部控制、改善經(jīng)營(yíng)管理，防范和化解潛在的風(fēng)險(xiǎn)。

信息技術(shù)審計(jì)不僅僅是傳統(tǒng)審計(jì)業(yè)務(wù)的簡(jiǎn)單擴(kuò)展，它是在傳統(tǒng)審計(jì)、信息系統(tǒng)管理理論、行為理論和計(jì)算機(jī)科學(xué)四個(gè)理論基礎(chǔ)上形成的一門(mén)邊緣性學(xué)科，完全依靠自身的力量完成所有審計(jì)工作是不現(xiàn)實(shí)的，也是不符合成本效益原則的。西方國(guó)家信息技術(shù)審計(jì)普遍采用的做法是從外部咨詢機(jī)構(gòu)聘請(qǐng)信息技術(shù)專家、安全專家以及各種具體應(yīng)用系統(tǒng)的專家參與審計(jì)。

參與式審計(jì)主要體現(xiàn)在以下幾個(gè)方面：（1）在審計(jì)開(kāi)始時(shí)，就對(duì)被審部門(mén)抱著信任態(tài)度，與他們討論審計(jì)目標(biāo)、審計(jì)、計(jì)劃采取某些審計(jì)程序和的理由，以取得他們的理解和支持；（2）征求被審部門(mén)的意見(jiàn)，尋求他們的合作；（3）及時(shí)與當(dāng)事人討論審計(jì)中發(fā)現(xiàn)的問(wèn)題，共同分析改進(jìn)的必要性，并探討改進(jìn)的可行措施；（4）向被審部門(mén)報(bào)告期中審計(jì)結(jié)果，其中審計(jì)報(bào)告可以是口頭的，非正式的，以便及時(shí)就地解決和改正存在的問(wèn)題，避免發(fā)生更大的損失；（5）提出最終審計(jì)報(bào)告時(shí)，采用建設(shè)性的語(yǔ)調(diào)，重點(diǎn)放在問(wèn)題產(chǎn)生的原因和可能造成的影響、改進(jìn)的可能性和改進(jìn)措施上，被審部門(mén)已經(jīng)采取的改進(jìn)行動(dòng)也可以包括在審計(jì)報(bào)告中，以反映他們對(duì)審計(jì)工作的積極態(tài)度。

參與式審計(jì)的基礎(chǔ)是信任被審部門(mén)，而我國(guó)人民銀行內(nèi)審脫胎于原稽核部門(mén)，沿襲了傳統(tǒng)審計(jì)的思路和模式，在審計(jì)中持著懷疑一切的態(tài)度，將自己放在了被審單位的對(duì)立面，這樣既不便于內(nèi)審工作的開(kāi)展，也了審計(jì)的質(zhì)量和效果。

2、在審計(jì)對(duì)象上向安全審計(jì)。隨著機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，在人總行司的統(tǒng)一部署下，人民銀行系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)過(guò)近10年的建設(shè)已初具規(guī)模，形成了以內(nèi)聯(lián)網(wǎng)為核心，縱向覆蓋至縣支行，橫向與各機(jī)構(gòu)、財(cái)政、稅務(wù)及海關(guān)、外匯交易中心等單位相聯(lián)的大型網(wǎng)絡(luò)。在人民銀行系統(tǒng)內(nèi)同時(shí)存在內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和國(guó)際互聯(lián)網(wǎng)三套網(wǎng)絡(luò)系統(tǒng)，計(jì)算機(jī)網(wǎng)絡(luò)成為人民銀行業(yè)務(wù)系統(tǒng)運(yùn)行、信息傳輸?shù)闹匾脚_(tái)和紐帶，其運(yùn)行狀況直接關(guān)系到資金安全和政務(wù)信息的安全。網(wǎng)絡(luò)在加快信息傳播、加大資源共享、提高辦公效率的同時(shí)也成為了人民銀行系統(tǒng)內(nèi)最大的潛在風(fēng)險(xiǎn)點(diǎn)。

目前人民銀行系統(tǒng)正在運(yùn)行的計(jì)算機(jī)系統(tǒng)共有二十多個(gè)，涉及支付結(jié)算，金融服務(wù)以及辦公自動(dòng)化等各個(gè)方面，在這種情況下，處于起步階段的信息技術(shù)審計(jì)以各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)為中心有其合理性：一是審計(jì)人員對(duì)各業(yè)務(wù)系統(tǒng)缺乏了解，對(duì)各系統(tǒng)還需要一個(gè)熟悉的過(guò)程，以系統(tǒng)為中心的審計(jì)有助于審計(jì)人員全面系統(tǒng)地了解業(yè)務(wù)系統(tǒng)的情況；二是計(jì)算機(jī)專業(yè)人員的缺乏，使以安全性為中心目標(biāo)的信息技術(shù)審計(jì)難以有效開(kāi)展；三是目前對(duì)計(jì)算機(jī)業(yè)務(wù)應(yīng)用系統(tǒng)的監(jiān)督檢查環(huán)節(jié)還很薄弱，對(duì)于保證控制的各項(xiàng)制度措施不能很好地貫徹執(zhí)行，合規(guī)性審計(jì)在一定時(shí)期內(nèi)將是信息技術(shù)審計(jì)的主要。但是隨著信息技術(shù)審計(jì)工作的不斷開(kāi)展，審計(jì)人員經(jīng)驗(yàn)的豐富和技術(shù)的提高，信息技術(shù)審計(jì)應(yīng)該走出以系統(tǒng)為中心的審計(jì)，向以保證組織網(wǎng)絡(luò)與信息的安全方向發(fā)展，充分發(fā)揮信息技術(shù)審計(jì)技術(shù)性、專業(yè)性特點(diǎn)。

3、在審計(jì)內(nèi)容上向系統(tǒng)開(kāi)發(fā)審計(jì)發(fā)展。信息系統(tǒng)之所以風(fēng)險(xiǎn)較高，是因?yàn)樗粌H涉及數(shù)據(jù)的安全和保護(hù)，而且涉及計(jì)算機(jī)網(wǎng)絡(luò)的一致性和適用性，涉及系統(tǒng)建立和開(kāi)發(fā)過(guò)程中的巨額資金流出。應(yīng)用系統(tǒng)的開(kāi)發(fā)不僅在開(kāi)發(fā)階段要花費(fèi)大量的人力、物力和財(cái)力，而且對(duì)已經(jīng)完成了的應(yīng)用系統(tǒng)進(jìn)行修改也將花費(fèi)大量的時(shí)間和資金，相對(duì)傳統(tǒng)業(yè)務(wù)審計(jì)而言，對(duì)信息系統(tǒng)僅僅進(jìn)行事后審計(jì)意義不大，所以，內(nèi)審部門(mén)對(duì)系統(tǒng)開(kāi)發(fā)應(yīng)在項(xiàng)目計(jì)劃階段就要介入，對(duì)其開(kāi)況進(jìn)行全過(guò)程審計(jì)監(jiān)督。

對(duì)系統(tǒng)開(kāi)況進(jìn)行審計(jì)關(guān)鍵是要求內(nèi)審人員“一開(kāi)始就介入”。通過(guò)提前介入，內(nèi)審部門(mén)對(duì)項(xiàng)目的概算、項(xiàng)目的必要性、招投標(biāo)情況、建設(shè)工期執(zhí)行情況、系統(tǒng)的“可審計(jì)性”等進(jìn)行監(jiān)督，保證系統(tǒng)的合理投資、合理設(shè)計(jì)開(kāi)發(fā)和有效運(yùn)行，及早發(fā)現(xiàn)系統(tǒng)在風(fēng)險(xiǎn)控制、質(zhì)量保證和成本效益等方面存在的問(wèn)題，避免走彎路，防止出現(xiàn)浪費(fèi)和損失。同時(shí)，通過(guò)提前介入，也將信息系統(tǒng)的開(kāi)發(fā)、購(gòu)買(mǎi)、重大修改、委托運(yùn)營(yíng)、轉(zhuǎn)讓和退出使用等管理工作置于內(nèi)審的有效監(jiān)督之下。

在西方各國(guó)，一般要求信息系統(tǒng)管理部門(mén)在進(jìn)行系統(tǒng)開(kāi)發(fā)、購(gòu)買(mǎi)、轉(zhuǎn)讓、重大修改和退出使用時(shí)要通知內(nèi)審部門(mén)，內(nèi)審部門(mén)根據(jù)系統(tǒng)的重要性決定審計(jì)的方式，可以要求提供相關(guān)資料，也可以派人參與開(kāi)發(fā)過(guò)程，對(duì)于大型系統(tǒng)一般成立由財(cái)務(wù)審計(jì)人員和信息技術(shù)審計(jì)人員共同組成的聯(lián)合工作組進(jìn)行新系統(tǒng)開(kāi)發(fā)審計(jì)。目前人民銀行正準(zhǔn)備進(jìn)行應(yīng)用系統(tǒng)開(kāi)發(fā)審計(jì)的嘗試。

4、在審計(jì)重點(diǎn)上向風(fēng)險(xiǎn)導(dǎo)向型審計(jì)發(fā)展。信息技術(shù)審計(jì)不同于我們以往的業(yè)務(wù)審計(jì)，以往的業(yè)務(wù)審計(jì)往往以發(fā)現(xiàn)已經(jīng)發(fā)生的損失，已經(jīng)實(shí)施的舞弊和違規(guī)為目的，屬于以損失為基礎(chǔ)的審計(jì)；而信息技術(shù)審計(jì)則具有一定的事前性，其目的在于發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)和可能發(fā)生的損失。這種目的上的變化要求信息技術(shù)審計(jì)不可能以損失為基礎(chǔ)，而應(yīng)該以風(fēng)險(xiǎn)為基礎(chǔ)，因此，信息技術(shù)審計(jì)部門(mén)必須借鑒風(fēng)險(xiǎn)評(píng)估的，由對(duì)系統(tǒng)運(yùn)行的合規(guī)性審計(jì)逐漸轉(zhuǎn)變?yōu)轱L(fēng)險(xiǎn)導(dǎo)向型審計(jì)：根據(jù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估結(jié)果，確定審計(jì)計(jì)劃，根據(jù)對(duì)固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的測(cè)算，確定審計(jì)重點(diǎn)、制定審計(jì)方案。這種以風(fēng)險(xiǎn)為基礎(chǔ)的審計(jì)也是當(dāng)前國(guó)際審計(jì)界通行的觀念和做法，也是今后我國(guó)審計(jì)的發(fā)展方向。

第4篇：網(wǎng)絡(luò)安全審計(jì)報(bào)告范文

從現(xiàn)代企業(yè)制度的構(gòu)成來(lái)看,會(huì)計(jì)內(nèi)部控制不僅是建立現(xiàn)代企業(yè)制度的需要,同時(shí)也是現(xiàn)代企業(yè)制度的重要組成部分。內(nèi)部控制的主要目標(biāo)是控制企業(yè)風(fēng)險(xiǎn),有些單位監(jiān)督評(píng)審主要依靠?jī)?nèi)部審計(jì)部門(mén)來(lái)實(shí)現(xiàn),而內(nèi)部審計(jì)部門(mén)隸屬于財(cái)務(wù)部門(mén),企業(yè)與財(cái)務(wù)部門(mén)同屬一人領(lǐng)導(dǎo),內(nèi)部審計(jì)在形式上就缺乏應(yīng)有的獨(dú)立性,使得企業(yè)內(nèi)部控制不能全方位防范和控制企業(yè)經(jīng)營(yíng)風(fēng)險(xiǎn)。控制范圍涉及時(shí)間和空間,內(nèi)部控制延伸的空間存在較大的隨意性,而受時(shí)間、人力和控制成本所限,開(kāi)展全面內(nèi)部詳查顯然是不可能的,內(nèi)部控制只能采取重點(diǎn)抽查,這樣無(wú)疑影響到對(duì)權(quán)力制約和監(jiān)督的廣度與深度。為了獲得利潤(rùn),一些部門(mén)掌權(quán)者操縱和調(diào)節(jié)單位收入、成本的時(shí)間和金額,出具失真的會(huì)計(jì)信息。另外,有些部門(mén)雖然建立了內(nèi)部控制制度,但重經(jīng)營(yíng),輕管理,對(duì)外部環(huán)境和經(jīng)濟(jì)業(yè)務(wù)等變化缺乏預(yù)見(jiàn)性,導(dǎo)致其管理滯后,內(nèi)部控制制度缺乏科學(xué)性和連貫性,難以發(fā)揮應(yīng)有的功效。為此,必須加強(qiáng)對(duì)經(jīng)營(yíng)者的管理,建立完善一系列的管理制度和措施。

一、部門(mén)財(cái)務(wù)審計(jì)松懈的成因

1.知識(shí)經(jīng)濟(jì)對(duì)財(cái)務(wù)審計(jì)假設(shè)的沖擊。部門(mén)財(cái)務(wù)審計(jì)假設(shè)需要以會(huì)計(jì)假設(shè)作為重要參照依據(jù),然而,在知識(shí)經(jīng)濟(jì)條件下,會(huì)計(jì)理論中的四大假設(shè)正面臨著嚴(yán)重沖擊。第一,會(huì)計(jì)主體假設(shè)面臨的沖擊。當(dāng)前,以信息網(wǎng)絡(luò)為依托的虛擬企業(yè)大量興起,不僅突破了地域空間對(duì)企業(yè)經(jīng)濟(jì)交往的限制,而且也使得企業(yè)的外延界定更為困難,導(dǎo)致會(huì)計(jì)主體假定不清晰。第二,持續(xù)經(jīng)營(yíng)假設(shè)面臨的沖擊,會(huì)計(jì)主體在知識(shí)經(jīng)濟(jì)環(huán)境下,處于競(jìng)爭(zhēng)日趨激烈、風(fēng)險(xiǎn)日益加大的境地,使得企業(yè)受外部環(huán)境影響較大,隨時(shí)可能出現(xiàn)中止、清算、破產(chǎn)的狀況。第三,會(huì)計(jì)分期假設(shè)面臨的沖擊。會(huì)計(jì)分期假設(shè)難以滿足現(xiàn)階段信息使用者對(duì)會(huì)計(jì)信息隨時(shí)、及時(shí)使用的需求,無(wú)法充分發(fā)揮會(huì)計(jì)信息為決策及時(shí)提供依據(jù)的重要作用。第四,會(huì)計(jì)貨幣計(jì)量假設(shè)面臨的沖擊。因貨幣種類不同而發(fā)展的物價(jià)變動(dòng)會(huì)計(jì)和外幣業(yè)務(wù)會(huì)計(jì),對(duì)會(huì)計(jì)貨幣計(jì)量假設(shè)帶來(lái)了威脅,同時(shí)預(yù)測(cè)非貨幣性信息對(duì)于衡量企業(yè)發(fā)展?jié)摿υ絹?lái)越顯其重要性,這也在一定程度上動(dòng)搖了貨幣計(jì)量假設(shè)。根據(jù)以上分析可知,知識(shí)經(jīng)濟(jì)對(duì)會(huì)計(jì)假設(shè)造成了嚴(yán)重沖擊,同時(shí)也間接地影響了財(cái)務(wù)審計(jì)假設(shè)的建立。

2.財(cái)務(wù)審計(jì)內(nèi)容滯后于財(cái)務(wù)會(huì)計(jì)的發(fā)展。知識(shí)經(jīng)濟(jì)時(shí)代下,企業(yè)在生產(chǎn)經(jīng)營(yíng)中的無(wú)形資產(chǎn)比例不斷提高,如商譽(yù)、知識(shí)產(chǎn)權(quán)、人力資源等均成為了企業(yè)重要的無(wú)形資產(chǎn),對(duì)于提高企業(yè)核心競(jìng)爭(zhēng)力和經(jīng)濟(jì)效益起著不可忽視的作用。同時(shí),由于金融工具的不斷創(chuàng)新以及社會(huì)責(zé)任會(huì)計(jì)的產(chǎn)生與發(fā)展,致使知識(shí)經(jīng)濟(jì)不僅增加了審計(jì)工作內(nèi)容,而且對(duì)審計(jì)工作提出了更高的要求。然而,當(dāng)前財(cái)務(wù)審計(jì)明顯滯后于財(cái)務(wù)會(huì)計(jì)的發(fā)展,沒(méi)有針對(duì)財(cái)務(wù)會(huì)計(jì)的變化及時(shí)作出審計(jì)內(nèi)容的調(diào)整和拓展,從而導(dǎo)致財(cái)務(wù)審計(jì)工作不完善,出現(xiàn)審計(jì)松懈。

3.計(jì)算機(jī)的運(yùn)用模糊了財(cái)務(wù)審計(jì)線索。財(cái)務(wù)審計(jì)線索是審計(jì)工作順利開(kāi)展的基礎(chǔ),審計(jì)人員通過(guò)跟蹤審計(jì)線索,遵循審計(jì)程序,審核相關(guān)經(jīng)濟(jì)業(yè)務(wù),收集審計(jì)證據(jù)。知識(shí)經(jīng)濟(jì)時(shí)代轉(zhuǎn)變了傳統(tǒng)的手工會(huì)計(jì)核算方式,會(huì)計(jì)人員只需將財(cái)務(wù)原始數(shù)據(jù)及其相關(guān)信息輸入財(cái)務(wù)軟件,便可以利用計(jì)算機(jī)完成從記賬憑證生成到財(cái)務(wù)報(bào)表輸出的全過(guò)程,其中產(chǎn)生的全部數(shù)據(jù)均可以由計(jì)算機(jī)進(jìn)行自動(dòng)處理。這種方式模糊了財(cái)務(wù)審計(jì)線索,不僅增加了審計(jì)調(diào)查取證的難度,而且也容易造成部門(mén)財(cái)務(wù)審計(jì)的松懈。

4.財(cái)務(wù)審計(jì)制度的局限。在信息化條件下,財(cái)務(wù)審計(jì)的方式方法和審計(jì)內(nèi)容均發(fā)生了變化,致使整個(gè)審計(jì)工作流程也必須重新調(diào)整。然而,當(dāng)前審計(jì)制度沒(méi)有針對(duì)這些新情況、新變化及時(shí)進(jìn)行完善和修訂,從而導(dǎo)致部分審計(jì)工作出現(xiàn)無(wú)章可循的狀況,沒(méi)有給予審計(jì)工作充足的制度保障和約束,造成了財(cái)務(wù)審計(jì)松懈。審計(jì)制度作為整個(gè)權(quán)力制約和監(jiān)督體系中的重要一環(huán),受其職能所限,對(duì)權(quán)力的制約和監(jiān)督不可能面面俱到,在對(duì)權(quán)力的審計(jì)監(jiān)督中遇到的問(wèn)題形形,目前仍無(wú)完善的法律條文來(lái)評(píng)判,對(duì)行使權(quán)力應(yīng)負(fù)的經(jīng)濟(jì)責(zé)任也無(wú)法作出規(guī)范的審計(jì)評(píng)價(jià)。

二、治理部門(mén)財(cái)務(wù)審計(jì)松懈的對(duì)策

1.轉(zhuǎn)變部門(mén)財(cái)務(wù)審計(jì)觀念。知識(shí)經(jīng)濟(jì)時(shí)代,部門(mén)財(cái)務(wù)審計(jì)應(yīng)當(dāng)轉(zhuǎn)變傳統(tǒng)的審計(jì)觀念,以應(yīng)對(duì)財(cái)務(wù)會(huì)計(jì)的發(fā)展,滿足財(cái)務(wù)審計(jì)信息使用者的新需求。第一,樹(shù)立部門(mén)財(cái)務(wù)審計(jì)服務(wù)觀念。現(xiàn)階段,我國(guó)大部分企業(yè)的內(nèi)部管理日趨規(guī)范,內(nèi)部審計(jì)工作也在不斷完善。為此,部門(mén)財(cái)務(wù)審計(jì)工作不能僅局限在核查賬目這一范圍內(nèi),而是要立足于企業(yè)內(nèi)部管理的實(shí)際需要,積極為企業(yè)管理和效益服務(wù),并將監(jiān)督與評(píng)價(jià)工作的開(kāi)展建立在服務(wù)的基礎(chǔ)之上。這就要求財(cái)務(wù)審計(jì)人員不斷強(qiáng)化自身的服務(wù)意識(shí),更新觀念并拓寬審計(jì)領(lǐng)域,以此來(lái)幫助企業(yè)實(shí)現(xiàn)價(jià)值的再增值。第二,增強(qiáng)部門(mén)財(cái)務(wù)審計(jì)的導(dǎo)向作用。部門(mén)財(cái)務(wù)審計(jì)工作還應(yīng)開(kāi)展多項(xiàng)管理審計(jì),如成本控制審計(jì)、投資項(xiàng)目效益審計(jì)、全面預(yù)算管理審計(jì)等等,借助對(duì)部門(mén)財(cái)務(wù)管理的分析和評(píng)價(jià),為部門(mén)提出實(shí)現(xiàn)經(jīng)濟(jì)效益最大化的建議,這有助于部門(mén)財(cái)務(wù)審計(jì)向服務(wù)型、增值型和導(dǎo)向型審計(jì)的跨越。第三,發(fā)揮部門(mén)財(cái)務(wù)審計(jì)信息預(yù)測(cè)功能。隨著財(cái)務(wù)審計(jì)信息使用者日趨多元化,如投資者、債權(quán)人、企業(yè)員工、工商稅務(wù)部門(mén)、金融證券機(jī)構(gòu)、銀行等,他們對(duì)信息的需求復(fù)雜多變,既要求審計(jì)報(bào)告信息具備公允性和真實(shí)性,又要求審計(jì)信息具備評(píng)價(jià)性,滿足公眾對(duì)信息的需要。

2.轉(zhuǎn)移部門(mén)財(cái)務(wù)審計(jì)重點(diǎn)。知識(shí)經(jīng)濟(jì)時(shí)代,信息網(wǎng)絡(luò)和全球經(jīng)濟(jì)一體化的進(jìn)程不斷加快,在這樣的背景下,為了進(jìn)一步適應(yīng)會(huì)計(jì)信息化和網(wǎng)絡(luò)實(shí)體化,有必要轉(zhuǎn)移部門(mén)財(cái)務(wù)審計(jì)重點(diǎn),具體可從以下兩個(gè)方面著手:第一,部門(mén)財(cái)務(wù)審計(jì)應(yīng)當(dāng)從原本的僅重視財(cái)務(wù)審計(jì)向財(cái)務(wù)審計(jì)與管理審計(jì)并重方向轉(zhuǎn)變。大部分審計(jì)團(tuán)體本身都擁有審計(jì)、會(huì)計(jì)、稅務(wù)等方面的專家,他們對(duì)客戶的內(nèi)控制度和財(cái)務(wù)管理系統(tǒng)也都比較了解。為此,審計(jì)工作除了應(yīng)當(dāng)做好對(duì)財(cái)務(wù)報(bào)表的審計(jì)之外,還應(yīng)滲透到相關(guān)的管理活動(dòng)中去,這將會(huì)成為未來(lái)時(shí)期部門(mén)財(cái)務(wù)審計(jì)工作的主要發(fā)展趨勢(shì)。第二,應(yīng)將審計(jì)工作的重點(diǎn)從有形資產(chǎn)審計(jì)向無(wú)形資產(chǎn)審計(jì)轉(zhuǎn)變。目前,人力資源、信息和知識(shí)已經(jīng)逐步成為經(jīng)濟(jì)發(fā)展的關(guān)鍵要素,同時(shí)總資產(chǎn)中無(wú)形資產(chǎn)的比例也越來(lái)越大,其地位和作用也越來(lái)越明顯,這使得信息使用者對(duì)這部分資產(chǎn)的關(guān)注程度越來(lái)越高,其已經(jīng)成為會(huì)計(jì)核算的重點(diǎn),財(cái)務(wù)審計(jì)工作也必須將此作為重點(diǎn),確保信息使用者的利益。

第5篇：網(wǎng)絡(luò)安全審計(jì)報(bào)告范文

論文摘要:隨著計(jì)算機(jī)的飛速發(fā)展以及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用，隨著信息時(shí)代的來(lái)臨，信息作為一種重要的資源正得到了人們的重視與應(yīng)用。因特網(wǎng)是一個(gè)發(fā)展非常活躍的領(lǐng)域，可能會(huì)受到黑客的非法攻擊，所以在任何情況下，對(duì)于各種事故，無(wú)意或有意的破壞，保護(hù)數(shù)據(jù)及其傳送、處理都是非常必要的。計(jì)劃如何保護(hù)你的局域網(wǎng)免受因特網(wǎng)攻擊帶來(lái)的危害時(shí)，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。本文介紹了防火墻技術(shù)的基本概念、系統(tǒng)結(jié)構(gòu)、原理、構(gòu)架、入侵檢測(cè)技術(shù)及VPN等相關(guān)問(wèn)題。

Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....

第一章緒論

§1.1概述

隨著以Internet為代表的全球信息化浪潮的來(lái)臨，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域也從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，其中以黨政系統(tǒng)、大中院校網(wǎng)絡(luò)系統(tǒng)、銀行系統(tǒng)、商業(yè)系統(tǒng)、管理部門(mén)、政府或軍事領(lǐng)域等為典型。伴隨網(wǎng)絡(luò)的普及，公共通信網(wǎng)絡(luò)傳輸中的數(shù)據(jù)安全問(wèn)題日益成為關(guān)注的焦點(diǎn)。一方面，網(wǎng)絡(luò)化的信息系統(tǒng)提供了資源的共享性、用戶使用的方便性，通過(guò)分布式處理提高了系統(tǒng)效率和可靠性，并且還具備可擴(kuò)充性。另一方面，也正是由于具有這些特點(diǎn)增加了網(wǎng)絡(luò)信息系統(tǒng)的不安全性。

開(kāi)放性的網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊可能是多方面的，例如:可能來(lái)自物理傳輸線路的攻擊，也可以對(duì)網(wǎng)絡(luò)通信協(xié)議和實(shí)現(xiàn)實(shí)施攻擊，可以是對(duì)軟件實(shí)施攻擊，也可以對(duì)硬件實(shí)施攻擊。國(guó)際性的網(wǎng)絡(luò)，意味著網(wǎng)絡(luò)的攻擊不僅僅來(lái)自本地網(wǎng)絡(luò)的用戶，也可以來(lái)自linternet上的任何一臺(tái)機(jī)器，也就是說(shuō)，網(wǎng)絡(luò)安全所面臨的是一個(gè)國(guó)際化的挑戰(zhàn)。開(kāi)放的、國(guó)際化的Internet的發(fā)展給政府機(jī)構(gòu)、企事業(yè)單位的工作帶來(lái)了革命性的變革和開(kāi)放，使得他們能夠利用Internet提高辦事效率、市場(chǎng)反應(yīng)能力和競(jìng)爭(zhēng)力。通過(guò)Internet，他們可以從異地取回重要數(shù)據(jù)，同時(shí)也面臨Internet開(kāi)放所帶來(lái)的數(shù)據(jù)安全的挑戰(zhàn)與危險(xiǎn)。如何保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵，己成為政府機(jī)構(gòu)、企事業(yè)單位信息化建設(shè)健康發(fā)展所要考慮的重要因素之一。廣泛分布的企業(yè)內(nèi)部網(wǎng)絡(luò)由公共網(wǎng)絡(luò)互聯(lián)起來(lái)，這種互聯(lián)方式面臨多種安全威脅，極易受到外界的攻擊，導(dǎo)致對(duì)網(wǎng)絡(luò)的非法訪問(wèn)和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。

雖然國(guó)內(nèi)己有許多成熟的防火墻及其他相關(guān)安全產(chǎn)品，并且這些產(chǎn)品早已打入市場(chǎng)，但是對(duì)于安全產(chǎn)品來(lái)說(shuō)，要想進(jìn)入我軍部隊(duì)。我們必須自己掌握安全測(cè)試技術(shù)，使進(jìn)入部隊(duì)的安全產(chǎn)品不出現(xiàn)問(wèn)題，所以對(duì)網(wǎng)絡(luò)安全測(cè)試的研究非常重要，具有深遠(yuǎn)的意義。

§1.2本文主要工作

了解防火墻的原理、架構(gòu)、技術(shù)實(shí)現(xiàn)

了解防火墻的部署和使用配置

熟悉防火墻測(cè)試的相關(guān)標(biāo)準(zhǔn)

掌握防火墻產(chǎn)品的功能、性能、安全性和可用性的測(cè)試方法

掌握入侵檢測(cè)與VPN的概念及相關(guān)測(cè)試方法

第二章防火墻的原理、架構(gòu)、技術(shù)實(shí)現(xiàn)

§2.1什么是防火墻？

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

§2.2防火墻的原理

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和開(kāi)放性的增強(qiáng)，網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動(dòng)和被動(dòng)的人為攻擊。一種解決辦法是為需要保護(hù)的網(wǎng)絡(luò)上的每個(gè)工作站和服務(wù)器裝備上強(qiáng)大的安全特征(例如入侵檢測(cè))，但這幾乎是一種不切合實(shí)際的方法，因?yàn)閷?duì)具有幾百個(gè)甚至上千個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)，它們可能運(yùn)行著不同的操作系統(tǒng)，當(dāng)發(fā)現(xiàn)了安全缺陷時(shí)，每個(gè)可能被影響的節(jié)點(diǎn)都必須加以改進(jìn)以修復(fù)這個(gè)缺陷。另一種選擇就是防火墻(Firewall)，防火墻是用來(lái)在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個(gè)設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點(diǎn)存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障，它可以實(shí)施比較廣泛的安全策略來(lái)控制信息流，防止不可預(yù)料的潛在的入侵破壞.DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。

§2.3防火墻的架構(gòu)

防火墻產(chǎn)品的三代體系架構(gòu)主要為：

第一代架構(gòu)：主要是以單一cpu作為整個(gè)系統(tǒng)業(yè)務(wù)和管理的核心，cpu有x86、powerpc、mips等多類型，產(chǎn)品主要表現(xiàn)形式是pc機(jī)、工控機(jī)、pc-box或risc-box等；

第二代架構(gòu)：以np或asic作為業(yè)務(wù)處理的主要核心，對(duì)一般安全業(yè)務(wù)進(jìn)行加速，嵌入式cpu為管理核心，產(chǎn)品主要表現(xiàn)形式為box等；

第三代架構(gòu)：iss（integratedsecuritysystem）集成安全體系架構(gòu)，以高速安全處理芯片作為業(yè)務(wù)處理的主要核心，采用高性能cpu發(fā)揮多種安全業(yè)務(wù)的高層應(yīng)用，產(chǎn)品主要表現(xiàn)形式為基于電信級(jí)的高可靠、背板交換式的機(jī)架式設(shè)備，容量大性能高，各單元及系統(tǒng)更為靈活。

§2.4防火墻的技術(shù)實(shí)現(xiàn)

從Windows軟件防火墻的誕生開(kāi)始，這種安全防護(hù)產(chǎn)品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭(zhēng)，不斷的進(jìn)化與升級(jí)。從最早期的只能分析來(lái)源地址，端口號(hào)以及未經(jīng)處理的報(bào)文原文的封包過(guò)濾防火墻，后來(lái)出現(xiàn)了能對(duì)不同的應(yīng)用程序設(shè)置不同的訪問(wèn)網(wǎng)絡(luò)權(quán)限的技術(shù)；近年來(lái)由ZoneAlarm等國(guó)外知名品牌牽頭，還開(kāi)始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻；最后，由于近來(lái)垃圾插件和流氓軟件的盛行，很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上，Windows軟件防火墻從開(kāi)始的時(shí)候單純的一個(gè)截包丟包，堵截IP和端口的工具，發(fā)展到了今天功能強(qiáng)大的整體性的安全套件。

第三章防火墻的部署和使用配置

§3.1防火墻的部署

雖然監(jiān)測(cè)型防火墻安全性上已超越了包過(guò)濾型和服務(wù)器型防火墻，但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高，也不易管理，所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主，但在某些方面也已經(jīng)開(kāi)始使用監(jiān)測(cè)型防火墻。基于對(duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求，同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

實(shí)際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì)，大多數(shù)服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包過(guò)濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的，應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過(guò)濾。例如，它可以過(guò)濾掉FTP連接中的PUT命令，而且通過(guò)應(yīng)用，應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn)，使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。

----那么我們究竟應(yīng)該在哪些地方部署防火墻呢？

----首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，以阻擋來(lái)自外部網(wǎng)絡(luò)的入侵；其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)(VLAN)，則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻；第三，通過(guò)公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件，還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。

----安裝防火墻的基本原則是：只要有惡意侵入的可能，無(wú)論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

§3.2防火墻的使用配置

一、防火墻的配置規(guī)則：

沒(méi)有連接的狀態(tài)(沒(méi)有握手或握手不成功或非法的數(shù)據(jù)包)，任何數(shù)據(jù)包無(wú)法穿過(guò)防火墻。(內(nèi)部發(fā)起的連接可以回包。通過(guò)ACL開(kāi)放的服務(wù)器允許外部發(fā)起連接)

inside可以訪問(wèn)任何outside和dmz區(qū)域。

dmz可以訪問(wèn)outside區(qū)域。

inside訪問(wèn)dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)。

outside訪問(wèn)dmz需要配合acl(訪問(wèn)控制列表)。

二、防火墻設(shè)備的設(shè)置步驟：

1、確定設(shè)置防火墻的部署模式；

2、設(shè)置防火墻設(shè)備的IP地址信息（接口地址或管理地址（設(shè)置在VLAN1上））；

3、設(shè)置防火墻設(shè)備的路由信息；

4、確定經(jīng)過(guò)防火墻設(shè)備的IP地址信息（基于策略的源、目標(biāo)地址）；

5、確定網(wǎng)絡(luò)應(yīng)用（如FTP、EMAIL等應(yīng)用）；

6、配置訪問(wèn)控制策略。

第四章防火墻測(cè)試的相關(guān)標(biāo)準(zhǔn)

防火墻作為信息安全產(chǎn)品的一種，它的產(chǎn)生源于信息安全的需求。所以防火墻的測(cè)試不僅有利于提高防火墻的工作效率，更是為了保證國(guó)家信息的安全。依照中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T18019-1999《信息技術(shù)包過(guò)濾防火墻安全技術(shù)要求》、GB/T18020-1999《信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求》和GB/T17900-1999《網(wǎng)絡(luò)服務(wù)器的安全技術(shù)要求》以及多款防火墻隨機(jī)提供的說(shuō)明文檔，中國(guó)軟件評(píng)測(cè)中心軟件產(chǎn)品測(cè)試部根據(jù)有關(guān)方面的標(biāo)準(zhǔn)和不同防火墻的特點(diǎn)整理出以下軟件防火墻的測(cè)試標(biāo)準(zhǔn)：

4.1規(guī)則配置方面

要使防火墻軟件更好的服務(wù)于用戶，除了其默認(rèn)的安全規(guī)則外，還需要用戶在使用過(guò)程中不斷的完善其規(guī)則；而規(guī)則的設(shè)置是否靈活方便、實(shí)際效果是否理想等方面，也是判斷一款防火墻軟件整體安全性是否合格的重要標(biāo)準(zhǔn)。簡(jiǎn)單快捷的規(guī)則配置過(guò)程讓防火墻軟件具備更好的親和力，一款防火墻軟件如果能實(shí)施在線檢測(cè)所有對(duì)本機(jī)的訪問(wèn)并控制它們、分別對(duì)應(yīng)用程序、文件或注冊(cè)表鍵值實(shí)施單獨(dú)的規(guī)則添加等等，這將成為此款軟件防火墻規(guī)則配置的一個(gè)特色。

§4.2防御能力方面

對(duì)于防火墻防御能力的表現(xiàn)，由于偶然因素太多，因此無(wú)法從一個(gè)固定平等的測(cè)試環(huán)境中來(lái)得出結(jié)果。但是可以使用了X-Scan等安全掃描工具來(lái)測(cè)試。雖然得出的結(jié)果可能仍然有一定的出入，但大致可以做為一個(gè)性能參考。

§4.3主動(dòng)防御提示方面

對(duì)于網(wǎng)絡(luò)訪問(wèn)、系統(tǒng)進(jìn)程訪問(wèn)、程序運(yùn)行等本機(jī)狀態(tài)發(fā)生改變時(shí)，防火墻軟件一般都會(huì)有主動(dòng)防御提示出現(xiàn)。這方面主要測(cè)試軟件攔截或過(guò)濾時(shí)是否提示用戶做出相應(yīng)的操作選擇。

§4.4自定義安全級(jí)別方面

用戶是否可以參照已有安全級(jí)別的安全性描述來(lái)設(shè)置符合自身特殊需要的規(guī)則。防火墻可設(shè)置系統(tǒng)防火墻的安全等級(jí)、安全規(guī)則，以防止電腦被外界入侵。一般的防火墻共有四個(gè)級(jí)別：

高級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，用戶可以上網(wǎng)，收發(fā)郵件；l

中級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，用戶可以上網(wǎng)，收發(fā)郵件，網(wǎng)絡(luò)聊天，F(xiàn)TP、Telnet等；l

低級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，只對(duì)已知的木馬進(jìn)行攔截，對(duì)于其它的訪問(wèn)，只是給于提示用戶及記錄；l

自定義：用戶可自定義防火墻的安全規(guī)則，可以根據(jù)需要自行進(jìn)行配置。l

§4.5其他功能方面

這主要是從軟件的擴(kuò)展功能表現(xiàn)、操作設(shè)置的易用性、軟件的兼容性和安全可靠性方面來(lái)綜合判定。比如是否具有過(guò)濾網(wǎng)址、實(shí)施木馬掃描、阻止彈出廣告窗口、將未受保護(hù)的無(wú)線網(wǎng)絡(luò)“學(xué)習(xí)”為規(guī)則、惡意軟件檢測(cè)、個(gè)人隱私保護(hù)等豐富的功能項(xiàng)，是否可以滿足用戶各方面的需要。

§4.6資源占用方面

這方面的測(cè)試包括空閑時(shí)和瀏覽網(wǎng)頁(yè)時(shí)的CPU占用率、內(nèi)存占有率以及屏蔽大量攻擊時(shí)的資源占用和相應(yīng)速度。總的來(lái)是就是資源占用率越低越好，啟動(dòng)的速度越快越好。

§4.7軟件安裝方面

這方面主要測(cè)試軟件的安裝使用是否需要重啟系統(tǒng)、安裝過(guò)程是不是方便、安裝完成后是否提示升級(jí)本地?cái)?shù)據(jù)庫(kù)的信息等等。

§4.8軟件界面方面

軟件是否可切換界面皮膚和語(yǔ)言、界面是否簡(jiǎn)潔等等。簡(jiǎn)潔的界面并不代表其功能就不完善，相反地，簡(jiǎn)化了用戶的操作設(shè)置項(xiàng)也就帶來(lái)了更智能的安全防護(hù)功能。比如有的防護(hù)墻安裝完成后會(huì)在桌面生成簡(jiǎn)單模式和高級(jí)模式兩個(gè)啟動(dòng)項(xiàng)，這方便用戶根據(jù)不同的安全級(jí)別啟動(dòng)相應(yīng)的防護(hù)

第五章防火墻的入侵檢測(cè)

§5.1什么是入侵檢測(cè)系統(tǒng)？

入侵檢測(cè)可被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)的處理過(guò)程，它不僅檢測(cè)來(lái)自外部的入侵行為，同時(shí)也檢測(cè)內(nèi)部用戶的未授權(quán)活動(dòng)。

入侵檢測(cè)系統(tǒng)(IDS)是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認(rèn)為是防火墻之后的第二道安全閘門(mén)，它作為一種積極主動(dòng)的安全防護(hù)技術(shù)，從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，對(duì)防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù)，從而能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵

§5.2入侵檢測(cè)技術(shù)及發(fā)展

自1980年產(chǎn)生IDS概念以來(lái)，已經(jīng)出現(xiàn)了基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，出現(xiàn)了基于知識(shí)的模型識(shí)別、異常識(shí)別和協(xié)議分析等入侵檢測(cè)技術(shù)，并能夠?qū)Π僬住⑶д咨踔粮吡髁康木W(wǎng)絡(luò)系統(tǒng)執(zhí)行入侵檢測(cè)。

入侵檢測(cè)技術(shù)的發(fā)展已經(jīng)歷了四個(gè)主要階段：

第一階段是以基于協(xié)議解碼和模式匹配為主的技術(shù)，其優(yōu)點(diǎn)是對(duì)于已知的攻擊行為非常有效，各種已知的攻擊行為可以對(duì)號(hào)入座，誤報(bào)率低;缺點(diǎn)是高超的黑客采用變形手法或者新技術(shù)可以輕易躲避檢測(cè)，漏報(bào)率高。

第二階段是以基于模式匹配+簡(jiǎn)單協(xié)議分析+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是能夠分析處理一部分協(xié)議，可以進(jìn)行重組;缺點(diǎn)是匹配效率較低，管理功能較弱。這種檢測(cè)技術(shù)實(shí)際上是在第一階段技術(shù)的基礎(chǔ)上增加了部分對(duì)異常行為分析的功能。

第三階段是以基于完全協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是誤報(bào)率、漏報(bào)率和濫報(bào)率較低，效率高，可管理性強(qiáng)，并在此基礎(chǔ)上實(shí)現(xiàn)了多級(jí)分布式的檢測(cè)管理;缺點(diǎn)是可視化程度不夠，防范及管理功能較弱。

第四階段是以基于安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是入侵管理和多項(xiàng)技術(shù)協(xié)同工作，建立全局的主動(dòng)保障體系，具有良好的可視化、可控性和可管理性。以該技術(shù)為核心，可構(gòu)造一個(gè)積極的動(dòng)態(tài)防御體系，即IMS——入侵管理系統(tǒng)。

新一代的入侵檢測(cè)系統(tǒng)應(yīng)該是具有集成HIDS和NIDS的優(yōu)點(diǎn)、部署方便、應(yīng)用靈活、功能強(qiáng)大、并提供攻擊簽名、檢測(cè)、報(bào)告和事件關(guān)聯(lián)等配套服務(wù)功能的智能化系統(tǒng)§5.3入侵檢測(cè)技術(shù)分類

從技術(shù)上講，入侵檢測(cè)技術(shù)大致分為基于知識(shí)的模式識(shí)別、基于知識(shí)的異常識(shí)別和協(xié)議分析三類。而主要的入侵檢測(cè)方法有特征檢測(cè)法、概率統(tǒng)計(jì)分析法和專家知識(shí)庫(kù)系統(tǒng)。

(1)基于知識(shí)的模式識(shí)別

這種技術(shù)是通過(guò)事先定義好的模式數(shù)據(jù)庫(kù)實(shí)現(xiàn)的，其基本思想是：首先把各種可能的入侵活動(dòng)均用某種模式表示出來(lái)，并建立模式數(shù)據(jù)庫(kù)，然后監(jiān)視主體的一舉一動(dòng)，當(dāng)檢測(cè)到主體活動(dòng)違反了事先定義的模式規(guī)則時(shí)，根據(jù)模式匹配原則判別是否發(fā)生了攻擊行為。

模式識(shí)別的關(guān)鍵是建立入侵模式的表示形式，同時(shí)，要能夠區(qū)分入侵行為和正常行為。這種檢測(cè)技術(shù)僅限于檢測(cè)出已建立模式的入侵行為，屬已知類型，對(duì)新類型的入侵是無(wú)能為力的，仍需改進(jìn)。

(2)基于知識(shí)的異常識(shí)別

這種技術(shù)是通過(guò)事先建立正常行為檔案庫(kù)實(shí)現(xiàn)的，其基本思想是：首先把主體的各種正常活動(dòng)用某種形式描述出來(lái)，并建立“正常活動(dòng)檔案”，當(dāng)某種活動(dòng)與所描述的正常活動(dòng)存在差異時(shí)，就認(rèn)為是“入侵”行為，進(jìn)而被檢測(cè)識(shí)別。

異常識(shí)別的關(guān)鍵是描述正常活動(dòng)和構(gòu)建正常活動(dòng)檔案庫(kù)。

利用行為進(jìn)行識(shí)別時(shí)，存在四種可能：一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據(jù)異常識(shí)別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測(cè)技術(shù)可以檢測(cè)出未知行為，并具有簡(jiǎn)單的學(xué)習(xí)功能。

以下是幾種基于知識(shí)的異常識(shí)別的檢測(cè)方法：

1)基于審計(jì)的攻擊檢測(cè)技術(shù)

這種檢測(cè)方法是通過(guò)對(duì)審計(jì)信息的綜合分析實(shí)現(xiàn)的，其基本思想是：根據(jù)用戶的歷史行為、先前的證據(jù)或模型，使用統(tǒng)計(jì)分析方法對(duì)用戶當(dāng)前的行為進(jìn)行檢測(cè)和判別，當(dāng)發(fā)現(xiàn)可疑行為時(shí)，保持跟蹤并監(jiān)視其行為，同時(shí)向系統(tǒng)安全員提交安全審計(jì)報(bào)告。

2)基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)

由于用戶的行為十分復(fù)雜，要準(zhǔn)確匹配一個(gè)用戶的歷史行為和當(dāng)前的行為是相當(dāng)困難的，這也是基于審計(jì)攻擊檢測(cè)的主要弱點(diǎn)。

而基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)則是一個(gè)對(duì)基于傳統(tǒng)統(tǒng)計(jì)技術(shù)的攻擊檢測(cè)方法的改進(jìn)方向，它能夠解決傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)所面臨的若干問(wèn)題，例如，建立確切的統(tǒng)計(jì)分布、實(shí)現(xiàn)方法的普遍性、降低算法實(shí)現(xiàn)的成本和系統(tǒng)優(yōu)化等問(wèn)題。

3)基于專家系統(tǒng)的攻擊檢測(cè)技術(shù)

所謂專家系統(tǒng)就是一個(gè)依據(jù)專家經(jīng)驗(yàn)定義的推理系統(tǒng)。這種檢測(cè)是建立在專家經(jīng)驗(yàn)基礎(chǔ)上的，它根據(jù)專家經(jīng)驗(yàn)進(jìn)行推理判斷得出結(jié)論。例如，當(dāng)用戶連續(xù)三次登錄失敗時(shí)，可以把該用戶的第四次登錄視為攻擊行為。

4)基于模型推理的攻擊檢測(cè)技術(shù)

攻擊者在入侵一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序，如猜測(cè)口令的程序，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖，盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠?yàn)槟承┬袨榻⑻囟ǖ哪Ｐ停瑥亩軌虮O(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測(cè)出非法的用戶行為。一般為了準(zhǔn)確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。

使用基于知識(shí)的模式識(shí)別和基于知識(shí)的異常識(shí)別所得出的結(jié)論差異較大，甚至得出相反結(jié)論。這是因?yàn)榛谥R(shí)的模式識(shí)別的核心是維護(hù)一個(gè)入侵模式庫(kù)，它對(duì)已知攻擊可以詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類型，但對(duì)未知攻擊卻無(wú)能為力，而且入侵模式庫(kù)必須不斷更新。而基于知識(shí)的異常識(shí)別則是通過(guò)對(duì)入侵活動(dòng)的檢測(cè)得出結(jié)論的，它雖無(wú)法準(zhǔn)確判斷出攻擊的手段，但可以發(fā)現(xiàn)更廣泛的、甚至未知的攻擊行為。

§5.4入侵檢測(cè)技術(shù)剖析

1）信號(hào)分析

對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。

2）模式匹配

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化）。一般來(lái)講，一種進(jìn)攻模式可以用一個(gè)過(guò)程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來(lái)表示。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過(guò)的黑客攻擊手段。

3）統(tǒng)計(jì)分析

統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。在比較這一點(diǎn)上與模式匹配有些相象之處。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。例如，本來(lái)都默認(rèn)用GUEST帳號(hào)登錄的，突然用ADMINI帳號(hào)登錄。這樣做的優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點(diǎn)和迅速發(fā)展之中。

4）完整性分析

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特咯伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如MD5），它能識(shí)別哪怕是微小的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，用于事后分析而不用于實(shí)時(shí)響應(yīng)。盡管如此，完整性檢測(cè)方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個(gè)特定時(shí)間內(nèi)開(kāi)啟完整性分析模塊，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。

§5.5防火墻與入侵檢測(cè)的聯(lián)動(dòng)

網(wǎng)絡(luò)安全是一個(gè)整體的動(dòng)態(tài)的系統(tǒng)工程，不能靠幾個(gè)產(chǎn)品單獨(dú)工作來(lái)進(jìn)行安全防范。理想情況下，整個(gè)系統(tǒng)的安全產(chǎn)品應(yīng)該有一個(gè)響應(yīng)協(xié)同，相互通信，協(xié)同工作。其中入侵檢測(cè)系統(tǒng)和防火墻之間的聯(lián)動(dòng)就能更好的進(jìn)行安全防護(hù)。圖8所示就是入侵檢測(cè)系統(tǒng)和防火墻之間的聯(lián)動(dòng)，當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到入侵后，通過(guò)和防火墻通信，讓防火墻自動(dòng)增加規(guī)則，以攔截相關(guān)的入侵行為，實(shí)現(xiàn)聯(lián)動(dòng)聯(lián)防。

§5.6什么是VPN?

VPN的英文全稱是“VirtualPrivateNetwork”，翻譯過(guò)來(lái)就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。它可以通過(guò)特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)買(mǎi)路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或Windows2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

虛擬專用網(wǎng)（VPN）被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

§5.7VPN的特點(diǎn)

1.安全保障雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。

2.服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

3.可擴(kuò)充性和靈活性

VPN必須能夠支持通過(guò)Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

4.可管理性

從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、QoS管理等內(nèi)容。

§5.8VPN防火墻

VPN防火墻就是一種過(guò)濾塞（目前你這么理解不算錯(cuò)），你可以讓你喜歡的東西通過(guò)這個(gè)塞子，別的玩意都統(tǒng)統(tǒng)過(guò)濾掉。在網(wǎng)絡(luò)的世界里，要由VPN防火墻過(guò)濾的就是承載通信數(shù)據(jù)的通信包。

最簡(jiǎn)單的VPN防火墻是以太網(wǎng)橋。但幾乎沒(méi)有人會(huì)認(rèn)為這種原始VPN防火墻能管多大用。大多數(shù)VPN防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門(mén)。這些VPN防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨(dú)立的一套操作系統(tǒng)。還有一些應(yīng)用型的VPN防火墻只對(duì)特定類型的網(wǎng)絡(luò)連接提供保護(hù)（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的VPN防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類。以上的產(chǎn)品都可以叫做VPN防火墻，因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈隫PN防火墻的數(shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀?/p>

所有的VPN防火墻都具有IP地址過(guò)濾功能。這項(xiàng)任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定。看看下面這張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)VPN防火墻，VPN防火墻的一端有臺(tái)UNIX計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺(tái)PC客戶機(jī)。

當(dāng)PC客戶機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請(qǐng)求時(shí)，PC的telnet客戶程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來(lái)，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里，然后通過(guò)PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。在這個(gè)例子里，這個(gè)IP包必須經(jīng)過(guò)橫在PC和UNIX計(jì)算機(jī)中的VPN防火墻才能到達(dá)UNIX計(jì)算機(jī)。

現(xiàn)在我們“命令”（用專業(yè)術(shù)語(yǔ)來(lái)說(shuō)就是配制）VPN防火墻把所有發(fā)給UNIX計(jì)算機(jī)的數(shù)據(jù)包都給拒了，完成這項(xiàng)工作以后，比較好的VPN防火墻還會(huì)通知客戶程序一聲呢！既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒(méi)法轉(zhuǎn)發(fā)，那么只有和UNIX計(jì)算機(jī)同在一個(gè)網(wǎng)段的用戶才能訪問(wèn)UNIX計(jì)算機(jī)了。

還有一種情況，你可以命令VPN防火墻專給那臺(tái)可憐的PC機(jī)找茬，別人的數(shù)據(jù)包都讓過(guò)就它不行。這正是VPN防火墻最基本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場(chǎng)面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計(jì)算機(jī)就可以穿越信任這個(gè)地址的VPN防火墻了。不過(guò)根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。另外要注意的一點(diǎn)是，不要用DNS主機(jī)名建立過(guò)濾表，對(duì)DNS的偽造比IP地址欺騙要容易多了。

后記：

入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)系統(tǒng)面臨的最主要挑戰(zhàn)有兩個(gè)：一個(gè)是虛警率太高，一個(gè)是檢測(cè)速度太慢。現(xiàn)有的入侵檢測(cè)系統(tǒng)還有其他技術(shù)上的致命弱點(diǎn)。因此，可以這樣說(shuō)，入侵檢測(cè)產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來(lái)講，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識(shí)別和完整性檢測(cè)）外，應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。

但無(wú)論如何，入侵檢測(cè)不是對(duì)所有的入侵都能夠及時(shí)發(fā)現(xiàn)的，即使擁有當(dāng)前最強(qiáng)大的入侵檢測(cè)系統(tǒng)，如果不及時(shí)修補(bǔ)網(wǎng)絡(luò)中的安全漏洞的話，安全也無(wú)從談起。

同樣入侵檢測(cè)技術(shù)也存在許多缺點(diǎn)，IDS的檢測(cè)模型始終落后于攻擊者的新知識(shí)和技術(shù)手段。主要表現(xiàn)在以下幾個(gè)方面：

1)利用加密技術(shù)欺騙IDS;

2)躲避IDS的安全策略;

3)快速發(fā)動(dòng)進(jìn)攻，使IDS無(wú)法反應(yīng);

4)發(fā)動(dòng)大規(guī)模攻擊，使IDS判斷出錯(cuò);

5)直接破壞IDS;

6)智能攻擊技術(shù)，邊攻擊邊學(xué)習(xí)，變IDS為攻擊者的工具。

我認(rèn)為在與防火墻技術(shù)結(jié)合中應(yīng)該注意擴(kuò)大檢測(cè)范圍和類別、加強(qiáng)自學(xué)習(xí)和自適應(yīng)的能力方面發(fā)展。

參考文獻(xiàn)：

1..MarcusGoncalves著。宋書(shū)民，朱智強(qiáng)等譯。防火墻技術(shù)指南[M]。機(jī)械工業(yè)出版社

2.梅杰，許榕生。Internet防火墻技術(shù)新發(fā)展。微電腦世界.