安全審計的類型精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的安全審計的類型主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：安全審計的類型范文

三《條例》限制賠償政策的事實根據論?答記者問見解的問題性

(一)“特殊立法政策”的內容和事實根據

(二)“特殊立法政策”的事實根據論的問題性

(三) 對其他相關問題的評論

四 放棄現行法律適用原則的必要性和解決法律適用問題的代替方案

(一) 放棄“區分不同案件分別適用法律”原則的必要性

(二) 解決醫療侵權賠償案件法律適用問題的代替方案

結論

三 《條例》限制賠償政策的事實根據論?答記者問見解的問題性[44]

如前所述,答記著問強調, 條例“體現了國家對醫療事故處理及其損害賠償的特殊立法政策”。那么, 答記者問所說的特殊立法政策的內容是什么呢? 在損害賠償問題的處理上, 條例所體現的立法政策與民法通則所體現的立法政策有什么不同呢? 條例所體現的特殊立法政策又是以什么事實為根據的呢? 被作為根據的那些“事實”是否符合客觀現實呢? 即便符合客觀現實, 以這些事實為根據, 是否能夠證明條例對醫療事故損害賠償的限制性規定具有政策上的合理性呢? 這些就是本節要檢討的問題。

(一) 條例所體現的特殊立法政策的內容及該政策的事實根據

條例第1條規定,制定條例的目的是“正確處理醫療事故,保護患者和醫療機構及其醫務人員的合法權益,維護醫療秩序,保障醫療安全,促進醫學科學的發展”。條例起草者衛生部的匯報指出, 修改辦法的經濟補償制度的原則是“既要使受損害的患者得到合理賠償,也要有利于我國醫療衛生事業和醫學科學的健康發展”[45]。答記者問的表述與衛生部匯報的見解基本相同, 但更為直截了當。它指出, 條例之所以要對賠償金額作出限制, 就是“為了推動醫療衛生事業的發展和醫療技術的進步”, 換言之, 如果不對醫療事故的賠償范圍和標準作出現行條例所作出的限制, 如果法院對醫療事故引起的賠償案件適用體現了實際賠償原則的民法通則的規定, 那么, 我國醫療事業的發展和醫療技術的進步就會受到不利的影響[46]。由此可見, 答記者問所強調的特殊立法政策的“特殊”之處, 亦即在賠償政策上條例與民法通則的不同之處,在于條例以保障和促進醫療事業的發展這一公共利益來限制患者或其遺屬原本根據民法通則所體現的實際賠償原則所可能得到的賠償這一個別利益。筆者在此將該政策簡稱為“公益限制賠償政策”。

根據答記者問的說明, 條例所體現的公益限制賠償政策是以下述被政策制定者所認定的四項事實為根據的。① 醫療行為具有較高的風險性, ② 我國醫療行業具有公共福利性, ③ 我國醫療機構的承受能力有限, ④ 我國的經濟發展水平較低。對照條例起草者衛生部的匯報可以發現, 答記者問所提出的事實根據論,除了其中的第①項似乎是答記者問自己的看法(筆者不知道衛生部是否在其他正式場合表達過這樣的見解)以外,基本上反映了衛生部在匯報中所表達的見解[47]。

以下, 筆者對“公益限制賠償政策”的事實根據論進行分析和評論。

(二) “公益限制賠償政策”的事實根據論的問題性

1． 醫療行為的高風險性不能說明條例限制賠償的正當性。

答記者問沒有說明醫療行為的高風險性與限制賠償到底有何關系。筆者在此姑且作出兩種推測[48],然后分別加以評論。

(1) 答記者問也許是想說: 高風險性這一客觀因素的存在, 降低了過失這一醫療侵權的主觀因素在賠償責任構成中的意義。人們應當承認以下兩個事實, ① 在醫療過程中, 即使醫務人員充分履行了注意義務, 也未必能夠完全回避診療的失敗及由此引起的患者人身損害的發生; ② 即使醫務人員在實施醫療行為方面確實存在過失, 損害后果的發生也往往在一定程度上與該項醫療行為固有的風險性存在一定的關系。因此, 在設計醫療事故損害賠償制度時, 應當考慮到醫療風險這一客觀因素在損害形成中所起的作用, 不應當把在客觀上應當歸因于醫療風險的那部分損失也算在醫療機構的頭上。條例對賠償數額作出限制反映了醫療事故損害與醫療風險之間存在一定程度的關系這一事實, 因此是合情合理的,是正當的。

筆者基于下述理由認為, 上述推論是不能成立的。① 醫療行為具有較高的風險性這一事實認定本身不能反映現實中的醫療行為與醫療風險的關系的多樣性。現實情況是,醫療行為不僅種類極其繁多而且存在于醫療過程的各個階段各個環節,有的可能具有高度的風險( 比如確診率極低的沒有典型早期癥狀的某些疾病的早期診斷, 成功率極低的涉及人體某一重要器官的復雜手術,對搶救患者生命雖然必要但嚴重副作用的發生可能性極高的急救措施)，有的則可能幾乎沒有風險（比如在遵守操作規范的情況下的一般注射，常規檢驗，醫療器械消毒，藥房配藥，病房發藥等）② 這種推論誤解了醫療風險與醫療事故民事責任的關系, 因而是根本說不通的。眾所周知, 我國的醫療侵權責任制度實行過錯責任原則, 而非嚴格責任原則。既然如此, 那么在醫療損害的發生被證明為與醫療過錯和醫療風險(特指與醫療過錯無關的風險)[49] 二者都有關系的場合, 醫療機構只應承擔與其醫療過錯在損害形成中所起的作用相應的賠償責任。在醫療侵權法上, 風險因素與民事責任不是成正比而是成反比, 風險因素對損害的形成所起的作用越大, 醫療機構因其醫療過錯所承擔的賠償責任就越小。醫療行為的高風險性不是增加而是可能減輕醫療機構民事責任的因素。只有在適用嚴格責任原則的侵權領域, 高風險性才可能成為增加民事責任的因素。

(2) 答記者問也許是想說, 如果事先不通過制定法(比如條例)對賠償范圍和數額作出必要的限制, 那么醫療機構就會因害怕承擔其不愿意承擔或難以承擔的高額賠償責任而指示其醫務人員以風險的有無或大小作為選擇治療方案的主要標準,盡可能選擇無風險或較小風險的治療方案; 醫務人員在治療患者時就會縮手縮腳,不敢為了搶救患者的生命而冒必要的風險, 患者的生命健康利益因此就可能得不到原本應當得到的醫療保障。所以, 條例限制賠償標準,有助于調動醫師救死扶傷的職業積極性, 最終將有利于患者疾病的救治。筆者認為, 這是一個似是而非的、嚴重脫離實際的推論, 因而也是沒有說服力的。

① 在對賠償數額不作限制(尤其是不作低標準限制), 實行實際賠償原則的情況下,醫師果真會從積極變為消極, 對患者該治的不治, 該救的不救, 該冒的險不敢冒嗎? 限制了賠償數額,醫師果真就會因此而積極工作, 勇于擔負起治病救人的重任嗎? 這一推論符合醫療侵權的實際狀況嗎? 依筆者之見, 在適用民法通則的實際賠償原則或賠償標準高于條例的人身損害賠償解釋的情況下, 醫師未必會因害怕出差錯•承擔較高的賠償責任而該治的不敢治, 該救的不敢救, 該冒的險不敢冒。因為在許多場合, 采取這種消極回避態度反而會導致醫療不作為或不完全作為所構成的侵權。不僅如此, 因為這種消極態度可能具有放任的性質, 因而在其導致的侵權的違法性程度上也許比工作馬虎或醫術不良所引起的延誤診療致人損害的侵權更為嚴重。② 醫療的宗旨是治病救人, 因而是不考慮風險違規亂干不行, 顧忌風險違規不干也不行的典型行業。醫師必須遵循診療規范,充分履行注意義務,盡善管理。③ 限制或降低賠償標準, 就算可能有調動醫師積極性減少消極行醫的效果, 也免不了產生降低醫師的責任感, 縱容違規亂干的嚴重副作用。④ 按照風險論的邏輯, 條例規定的賠償制度還不如辦法規定的一次性經濟補償制度; 對廣大患者而言, 他們的生命健康利益獲得醫療保障的程度在條例時代反而會降低, 因為醫務人員的救死扶傷的積極性由于條例( 較之辦法)加重醫療事故賠償責任而降低了。

2． 即使我國醫療行業具有公共福利性質, 以此為據限制賠償也是根本沒有說服力的。

答記者問沒有(衛生部匯報也沒有)具體說明我國醫療行業的公共福利性有何含意, 更未具體說明醫療行業的公共福利性與條例的限制賠償政策之間有何關系。筆者在此參考有關的政策法規文件和一些文章中的議論[50], 分別對這兩個問題的內容作出以下的推測。

(1) 我國醫療行業的公共福利性主要表現在以下幾個方面。① 在我國醫療服務體系中占主導地位的公立醫療機構,是非營利性醫療機構,是公益事業單位,它們所提供的醫療服務對患者而言, 具有一定的福利性質。② 政府對公共醫療事業的財政投入將隨著經濟的發展逐年增加。政府的財政投入為公共醫療事業的發展和醫療技術的進步, 從而為廣大患者能夠享受到更好的醫療服務創造了一定的物質條件。政府對非營利性醫療機構實行稅收優惠和合理補助的政策,為這些機構的福利性醫療服務提供了一定的支持。③ 政府為了增進廣大人民群眾的醫療福利, 減輕患者個人的醫療費用負擔, 在城鎮為職工建立作為社會保障的基本醫療保險制度, 在農村推行和資助合作醫療制度, 邦助越來越多的農村居民在當地也能得到基本的醫療服務。④ 政府考慮到廣大人民群眾的負擔能力, 對醫藥品市場價格和非營利性醫療機構的醫療服務價格進行適當的控制。

(2) 醫療行業具有公共福利性這一事實, 決定了因醫療事故而發生的醫患之間的法律關系具有以下的特點。① 它是在非自愿( 公共醫療服務的提供者在法律上有義務向需要的患者提供醫療服務, 無正當理由不得拒絕)的并且是非完全等價( 公共醫療服務的提供不以完全的等價有償為原則 ) 的基礎上進行利益交換( 患者仍需支付一定的醫療費用) 的當事者之間發生的賠償關系, 不同于在完全自愿•等價有償的基礎上進行利益交換的當事人即通常的民事活動當事人之間發生的賠償關系。② 它是提供醫療服務利益的醫療機構和接受醫療服務利益的患者之間因前者的利益提供行為發生錯誤導致后者受到損失而引起的賠償關系, 換言之, 是好心人辦錯事引起的賠償關系, 不同于通常的侵犯他人合法權利所引起的賠償關系。③ 它在事實上又是以作為公共醫療的投資者的政府為第三人( 賠償問題不僅可能影響到政府投資的效益,而且可能使政府投資本身受到損失)同時以利用該醫療機構的廣大患者為第三人( 賠償問題可能影響到該醫療機構的服務能力,從而影響到利用該醫療機構的廣大患者的利益)的賠償關系, 不同于僅僅涉及當事者雙方利益或至多涉及特定私人第三者利益的賠償關系。

(3) 正是因為醫療行業具有公共福利性這一事實決定了因醫療事故而引起的醫患之間的賠償關系具有不同于通常的債務不履行或通常的侵權所引起的賠償關系的特征, 所以條例起草者才將該事實作為調整這種賠償關系的特殊政策的依據之一。如果不考慮醫療行業的公共福利性, 如果不以該事實為依據制定特殊的賠償政策, 而是完全根據或照搬民法通則所體現的實際賠償原則, 那么, 醫療事故賠償的結果, 不僅對于賠償義務人醫療機構可能是不公正或不公平的, 而且會使國家利益和廣大患者群眾的利益受到不應有的損害。

筆者認為, 上述見解（假定確實存在）, 根本不能說明條例限制賠償政策的合理性。

(1) 答記者問在論證限制賠償政策具有合理性時, 只提“我國醫療行業具有公共福利性”這一“事實”,不提我國的醫療行業和醫療服務在相當范圍和相當程度上已經市場化和商品化, 我國的絕大多數公民還得不到醫療費負擔方面的最基本的社會保障這兩個有目共睹的現實。這種論法很難說是實事求是的。“我國醫療行業具有公共福利性”這一事實認定，本身就是非常片面的; 這一“事實”作為答記者問所支持的條例限制賠償政策的前提之一, 本身就是在很大程度上難以成立的。

① 眾所周知, 在條例起草和出臺之時, 更不用說在答記者問發表之時, 我國的醫療行業已經在相當范圍內和相當程度上實現了市場化。第一, 從我國醫療行業的主體來看, 被官方文件定性為“非營利性公益事業”[51] 單位的公立醫療機構,在我國醫療服務體系中確實依然占據主導地位,它們所提供的基本醫療服務項目, 據說因其價格受到政府的控制, 所以對接受該服務的患者而言,具有一定程度的福利性。但是,在我國的醫療行業, 非公立的完全營利性的醫療機構早已出現, 其數量以及其提供的醫療服務所占有的市場分額均有明顯的增長趨勢; 民間資本或外資與公立醫療機構的各種形式的合資經營也已經成為常見的現象。它們擴大了完全商品化的醫療服務市場。由于它們所提供的醫療服務, 在價格上是放開的, 所以對接受其服務的患者而言, 沒有福利性 ( 除非將來有一天把這類醫療服務也納入作為社會保障的醫療保險的范圍)。此外, 只有非營利性公立醫療機構才是中央或地方財政投入及有關的財稅優惠政策的實施對象。營利性醫療機構當然是自籌資金、完全自負盈虧的企業[52] 。第二, 從公立醫療機構提供的醫療服務的價格來看, 首先, 公立醫療機構配售給患者的藥品和消耗性材料的價格往往高于或明顯高于市場零售價(換言之,實際上往往高于或明顯高于醫院采購成本和管理成本的總和), 具有明顯的營利性(據說其目的在于“以藥養醫”); 盡管醫療機構所采購的一定范圍的藥品的市場價格受到政府價格政策的控制(以政府定價或政府指導價的方式), 但這種控制是為了保證基本醫藥商品的質價相符, 防止生產或銷售企業設定虛高價格 (明顯高于生產經營成本和合理利潤的總和的價格即暴利價格) 謀取不適當的高額利潤[53]。因此這種政府控制價格與計劃經濟時代的計劃價格有本質的不同, 并非像有些人所說的那樣是低于市場價格的價格即所謂“低價”, 而是比較合理的市場價格。所以, 這種價格控制, 雖然有利于消費者或患者正當利益的保障, 但并沒有任何意義上的福利性。其次, 基本診療服務項目( 比如普通門診和急診; 一定范圍的檢驗和手術; 普通病房等一定范圍的醫療設施及設備的利用)的價格, 雖然在一定程度上受到政府價格政策的控制, 因而也許可以被認為具有一定程度的福利性, 但具有明顯的收益性或營利性( 即所謂創收 )的醫保對象外的五花八門的高收費醫療服務( 比如高級專家門診、特約診療卡服務、特需病房、外賓病房等)在較高等級的許多公立醫療機構（尤其是三級甲等醫院）中早已出現并有擴大的趨勢。此外, 在許多醫療機構中, 原本屬于護理業務范圍內的一部分工作也已經由完全按市場價格向患者收費的護工服務所替代。所以, 被官方定性為非營利性公益事業單位的公立醫療機構,在事實上正在愈益廣泛地向患者提供沒有福利性的甚至完全收益性或營利性的醫療服務。

② 從患者負擔醫療費用的情況來看,第一, 加入了基本醫保的患者,一般除了必須自付一定比例的醫療費用外,還須支付超出其醫保限額的醫療費用。他們選擇醫保定點醫療機構所提供的醫保對象外的醫療服務,或選擇定點醫保醫療機構以外的醫療機構（包括營利性醫療機構）所提供的醫療服務,因而完全自付醫療費的情況并不少見。同樣是享受醫保的患者,其享受醫保的程度即自付醫療費占實際醫療費的比例可能不同; 符合特殊條件的一小部分患者,則可能基本上或完全免付遠遠大于一般醫?；颊咚苊飧兜姆秶尼t療費[54]。第二, 更為重要的事實是, 我國所建立的社會基本醫保制度,不是以全體居民為對象的醫療保險制度(比如日本的國民健康保險制度),而是僅僅以城鎮的職工(城鎮中的所有用人單位的職工)本人為對象的醫保制度[55],加入者的人數至今還不滿我國總人口的十分之一[56]。換言之, 我國城鎮的相當數量的居民和農村的所有居民是不能享受基本醫保的(即完全自費的或幾乎完全自費的)社會群體(除非加入了商業醫保,但商業醫保不具有福利性)。政府雖然已決定在農村建立由農民個人繳費•集體扶持•政府資助的合作醫療制度,但由于種種原因,且不說這一制度才剛剛開始進行個別的試點(更不用說在一些貧困地區,甚至連最基本的醫療服務設施也不存在),就是全面鋪開,它為廣大農村居民所可能提供的醫療保障的程度也是極其微薄的[57]。要言之, 答記者問和衛生部匯報所強調的醫療行業的公共福利性,對于我國的絕大多數居民來說, 即使在某種意義上(比如公立醫療機構的部分診療服務的價格受到政府的控制)也許可以被理解為存在,也只是非常有限的,微不足道的。

筆者之所以強調上述兩個方面的事實, 并非為了批評現行的醫療福利政策, 而僅僅是為了指出以下兩個多樣性的存在。第一個多樣性是醫療行業或醫療服務與醫療福利的關系的多樣性。醫療行業既存在福利因素又存在非福利因素, 既存在公益因素又存在營利因素; 有的醫療服務具有福利性,有的醫療服務則沒有福利性; 有的醫療服務具有較高程度的福利性, 有的醫療服務只有較低程度的福利性。第二個多樣性是患者與醫療福利政策的關系的多樣性。有的患者能夠享受較多的醫療福利, 有的患者則只能享受較少的醫療福利, 有的患者則完全不能享受醫療福利; 能夠享受醫療福利的患者既有可能選擇具有福利性的醫療服務, 也有可能選擇沒有福利性的醫療服務; 享受基本醫保的不同患者所享受的醫保利益又可能存在種種差別甚至是巨大的差別。據此, 我們應當承認, 支持醫療事故賠償限制政策的公共福利論無視這兩個方面的多樣性, 嚴重脫離了現實, 因而沒有充分的說服力。

(2) 即使醫療行業所具有的公共福利性能夠成為限制福利性醫療服務享受者的醫療事故賠償請求權的正當理由之一, 現行條例關于醫療事故賠償的規定, 由于沒有反映以上筆者所指出的患者與醫療福利政策的關系的多樣性這一有目共睹的客觀事實, 所以它不僅違反了條例起草者衛生部所主張的公共福利論的邏輯, 而且從公共福利論的觀點看, 它又是顯失公正和公平的。

① 根據公共福利論的邏輯, 條例原本應當將患者所接受的引起醫療事故的醫療服務與醫療福利的關系(即是否具有福利性, 具有多少程度的福利性)作為確定醫療事故的具體賠償數額的考慮因素之一, 原本應當采取賠償數額與自費程度成正比•與福利程度成反比的原則,使得自費程度較低的被害人較之自費程度較高的被害人,部分自費的被害人較之完全自費的被害人,在其他條件同等的情況下,獲得較低比例的賠償數額。換言之, 使后者能夠獲得較高比例的賠償數額。令人感到難以理解的是,條例竟然沒有作出這樣的規定(條例僅將醫療事故等級、醫療過失行為在醫療事故損害后果中的責任程度、醫療事故損害后果與患者原有疾病狀況之間的關系作為確定具體賠償金額時應當考慮的因素(第49條第1款))。

② 公正性是良好的法律制度的基本標準之一。如果答記者問和衛生部匯報所主張的公共福利論, 從所謂“患者能夠獲得的賠償數額與該患者自付的醫療費用應當實現某種程度的等價性”的觀點看, 確實還帶有那么點“公正性或公平性”的意味的話, 那么, 衛生部在以我國醫療具有公共福利性為事實根據之一設計醫療事故的賠償制度時, 就應當充分注意患者與醫療服務福利性的關系的多樣性, 所設計的賠償制度就應當能夠保證各個醫療事故的被害患者都有可能按照所謂“等價性”原則獲得相應數額的賠償。很可惜, 現行條例的賠償規定在這個問題上犯了嚴重的一刀切的錯誤。說的極端一點, 它使得醫療費用自付率百分之百的患者, 在其他條件相同的情況下, 只能獲得醫療費用自付率幾乎接近于零的患者所能夠獲得的賠償數額。

③ 從立法技術論上看, 衛生部的失誤在于, 她將醫療服務的福利性這個因案而異•極具多樣化和個別化的事實,因而只能在各個案件的處理或裁判時才可能確定的事實,當作她在制定統一適用的賠償標準時所依據的事實即所謂“立法事實”(具有一般性或唯一性并且在立法之時能夠確定或預見的事實)。衛生部顯然沒有分清什么樣的事實屬于立法事實,可以被選擇作為立法的依據, 什么樣的事實不屬于立法事實, 因而不應當被作為立法的依據,只能被選擇作為法的實施機關在將法規范適用于特定案件時認定或考慮的事實。混淆二者,是立法上的大忌。如果將后者作為前者加以利用而不是作為一個因素或情節指示法的實施機關在處理具體案件時加以認定或考慮, 那么,制定出來的法就不僅會因其事實根據的不可靠而可能成為脫離實際的有片面性的法, 而且在其適用中可能成為不公正的法。如前所述,為了避免條例制定的賠償標準在適用中引起明顯的不公正后果, 衛生部原本(如果她認為在政策上確實有此必要的話)應當將涉及福利性的問題作為醫療事故處理機關在具體確定賠償數額時應當考慮的因素之一,同醫療事故等級等因素一起,在條例第49條第1款中加以規定。 (3) 即使我國醫療行業具有相當高度的、相當廣泛的、對不同的患者而言相當均等的福利性( 比如達到了日本或一些歐州國家的程度), 以其為據限制醫療事故賠償也是沒有說服力的。

① 生命健康權是人的最基本的權利, 理所當然地受到現行憲法和一系列相關法律的保護。充分保障這一權利, 建立具有適當程度的公共福利性的醫療制度和社會保障制度, 使每一位居民, 不論其經濟能力如何, 都能得到相當質量的必要的醫療服務, 是政府在憲法上的責任。我國醫療行業保留一定范圍和一定程度的公共福利性，政府從財政上給予醫療事業必要的支持, 應當被理解為是人民權利的要求, 是政府對其憲法責任的履行, 而不應當被看成是政府對人民的恩惠。財政對醫療事業的投入, 并非來自政府自己的腰包, 而是人民自己創造的財富。在筆者看來, 以醫療行業的公共福利性為理由的醫療事故賠償限制論, 似乎缺少人民的憲法權利和政府的憲法義務這一基本的憲法意識, 自覺或不自覺地把醫療行業的公共福利性看成是政府通過醫療機構的服務對百姓患者實施的恩惠。

② 如果說社會福利在有些資本主義國家(比如美國)的一個時期內, 曾被僅僅視為國家對社會的弱勢群體的特殊照顧或恩惠(不是被視為福利享受者的法律上的權利)的話, 那么就應當說在社會主義國家,它當然應當被首先理解為國家性質的必然要求。我國只要還堅持宣告自己是社會主義性質的國家, 就必須堅持這種理解。以醫療行業的公共福利性為理由的醫療事故賠償限制論, 似乎缺少鮮明的社會主義觀念, 自覺或不自覺地把醫療福利僅僅理解為政府所采取的一種愛民利民政策。

③ 任何社會福利政策,只有獲得了完全意義上的法律保障才可能真正為人民帶來切實可靠的福利。筆者在此所說的完全意義上的法律保障是指,不僅福利的提供要有法律保障, 而且在福利的享受者因福利的具體提供者的過錯而受到損害的情況下也要有充分的法律救濟的保障。 否則, 提供福利的法律保障就失去了充分的現實意義, 人民享受的福利就只能是殘缺不全的福利。以醫療行業的公共福利性為理由的醫療事故賠償限制論, 似乎缺少全面法律保障的觀點, 它弱化了法律救濟的機能, 使本來就程度很低•范圍很窄的醫療福利退化為殘缺不全的福利。

④ 治病救人是醫療行業的根本宗旨, 嚴格遵守醫療規范、盡職盡責為患者服務、關愛患者、 救死扶傷是醫務人員的神圣職責和法定義務(執業醫師法第3條,第22條)?；颊咄懈督o醫療機構和醫務人員的是他們作為人的最為寶貴的健康和生命的命運。醫療事故恰恰是起因于醫療機構或醫務人員的違規失職, 恰恰是背離了患者的期待和信賴, 恰恰是危害了患者的健康或生命。對性質在總體上如此嚴重的侵權損害, 如果認為有必要設定賠償的范圍或標準的話, 毫無疑問, 至少不應當在范圍上小于、在標準上低于其它侵權損害賠償的范圍和標準。筆者百思不得其解的是, 醫療事故賠償限制論怎么會如此的“理性”, 理性到無視醫療事故侵權在總體上的嚴重性質, 理性到搬出諸如醫療的公共福利性、醫療服務的不等價性之類的似是而非的理論( 無論是土產的還是進口的)。這些理論又怎么能夠證明限制醫療事故賠償的合理性或正當性呢?

第2篇：安全審計的類型范文

行業信息化

最佳產品獎

臻璟運維安全審計堡壘機，能夠對運維人員的訪問過程進行細粒度的授權，記錄和控制其操作過程，進行全方位的操作審計并支持事后操作過程回放功能，以實現IT運維的“事前預防、事中控制、事后審計”。

IT系統在各領域的作用正變得越來越重要，運營商、金融證券商、政府、大型工業企業都高度依賴IT系統進行生產和服務。然而隨著IT系統規模擴大，IT系統資產價值提升，相應的安全風險也不斷增加。除了來自外部的黑客攻擊之外，更多的威脅是由于企業內部運維管理水平不足而產生的，例如IT人員的惡意破壞操作、誤操作，第三方人員的越權訪問或竊取數據等行為。而這些安全事件對企業造成更大的負面影響和帶來的損失往往是不可估量的。

為此，山東臻璟軟件有限公司推出了新一代運維安全審計產品臻璟運維安全審計堡壘機，能夠對運維人員的訪問過程進行細粒度的授權，記錄和控制其操作過程，進行全方位的操作審計并支持事后操作過程回放功能，以實現IT運維的“事前預防、事中控制、事后審計”，不僅簡化運維操作，而且能解決各種復雜環境下的運維安全問題，提升企業IT運維管理水平。

臻璟運維安全審計堡壘機通過旁路方式接入網絡，在系統中錄入目標主機的IP地址、系統類型、賬戶、密碼等信息后，運維人員可以通過臻璟運維安全審計堡壘機實現對目標主機的遠程運維操作。該系統可以實現運維操作的訪問授權、過程監控、事后錄像審計、檢索、報表等功能，同時能對用戶需要訪問的遠程設備代填密碼賬戶等信息，實現運維過程單點登錄功能。

臻璟運維安全審計堡壘機主要功能如下：

第一，實現運維訪問細粒度授權，可根據運維用戶的不同權限等級設置不同的訪問授權規則，運維人員只能訪問與權限相當的目標資源。系統會自動中斷非授權訪問過程。

第二，實現運維操作的實時監控與事后審計。管理員可以實時查看正在進行的運維操作畫面，實現與操作過程同步的圖形監控。管理員可以手工中斷違規操作，對于已經結束的運維會話可以通過回放運維操作錄像進行審計，并且能夠根據運維用戶控制臺輸入的關鍵字進行事件定位。

第三，系統支持遠程設備、服務器用戶名與密碼的代填，能對所有錄入運維管理審計系統的設備資源為運維用戶代填密碼。

第3篇：安全審計的類型范文

關鍵詞：電力企業；信息系統；安全技術

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 16-0000-01

Power Enterprise Information System Security Technology Study

Shang Wen

(Datong Electric Power Supply Company Technology Information Center,Datong037008,China)

Abstract:In recent years,information technology development,a variety of attack techniques,network intrusion technical level has also been rapid development,which requires electric power industry,computer information systems there is a corresponding change in the structure,the establishment of defense in depth security system that can effective against various types of attack,to improve the power industry the security of information systems.

Keywords:Power Enterprise;Information system;Security technology

一、防火墻技術

防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根掘倉業的安全政策控制（允許、拒絕、監測）出入網絡的信息流。它是提供信息安全服務，實現網絡和信息安全的基礎設施。防火墻按使用的技術原理可分為包過濾防火墻和應用層網關級防火墻。

防火墻系統可以是路由器，也可以是個人主機、主系統和一批主系統，用于把網絡或子網同那些可能被子網外的主系統濫用的協議和服務隔絕。防火墻系統通常位于等級較高的網關（或網點）與Internet的連接處，但是防火墻系統也可以位于等級較低的網關，以便為某些數量較少的主系統或子網提供保護。

防火墻的局限性：（1）不能防范惡意的知情者；（2）不能防范不通過它的連接；（3）不能防范全部的威脅；（4）不能防范病毒。由此可見，要想建立一個真正行之有效的安全的信息系統，僅使用防火墻還是不夠，在實際的應用中，防火墻常與其它安全措施，比如，訪問控制技術、防病毒技術等綜合應用。

二、VLAN技術

VLAN中的每個端點用戶可直接與同一VLAN中的其它用戶通信。VLAN之間的網絡交通必須通過某種策略管理設備來管理，如路由器。這就允許網管人員為安全原因設置防火墻保護，在工作組問建立安全策略。在同一個物理網絡中，可分割出多種不同的VLAN組。這就使得VLAN的成員可根據系統應用實際的需要而決定，而不是根據它們在網上的物理位置決定。不同物理位置的用戶可以進入同一個工作組工作，就像在同一個辦公室內共同工作一樣，工作組成員關系可隨組織變化而動態地變化。單個VLAN的操作就如同一個子網一樣，子網上的用戶可彼此直接通信，當跨越子網邊界時要通過路由器。虛擬LAN與子網的唯一區別就是單個子網是彼此重疊在單一的公共物理設施上的。

VLAN能夠大大加強網絡安全性，體現為可以控制進入網絡的用戶連接。由于具有了對移動、加入以及變更用戶的網絡連接的控制能力，即網絡的連接控制得到加強，網絡系統了解虛擬網中所有的終端用戶，并可對連接哪些用戶、在何處需要存取何種服務來實行各種策略及控制；虛擬網絡還可控制用戶通信對象及控制特定應用的啟用權。這些能力大部分在網絡中都是以路由過濾及策略表形式提供的。由于虛擬網絡去掉于網成員的物理限制，一個工作組中的所有成員都在同一個VLAN中，而且路由器用來控制出入工作組的存取。由于路由器的交通負載減少了，其帶寬可以用在更迫切的安全性要求上。

三、數據加密技術

加密是提供保密性、真實性、完整性和數據存取權限的強有力工具。對數據進行加密，都有其實現的方法，這種加密的方法稱為加密算法，它通常是完全公開的，這些加密的算法將用戶要保護的原始信息（明文），使用一種稱為密鑰的數值操作進行編碼，生成的結果稱為密文。雖然，加密算法是公開的，但對密文解密需要的密鑰是非公開的。加密技術不僅提供保密通信，也是許多其它安全機制的基礎，是保障網絡安全的基石。

四、安全審計技術

保證安全管理制度實現的重要手段是監控和審計。從技術角度來看的審計指對用戶和程序使用資源事件進行記錄和審查，它是提高安全性的重要工具。審計信息對于確定問題和攻擊源很重要，能記錄和識別事件發生的日期和時間，涉及的用戶、事件的類型和事件的成功或失敗，能判斷違反安全的事件是否發生，以保證系統安全、幫助查出原因，并且它是后面階段事故處理的重要依據。

因此安全審計跟蹤是一種很有價值的安全技術，可通過事后的安全審計來檢測和調查安全策略執行的情況以及安全遭到的破壞情況。安全審計是對系統記錄和活動的獨立評估、考核，以測試系統控制是否充分，確保與既定策略和操作規程相一致，有助于對入侵進行評估，并指出控制、策略和程序的變化。安全審計需要安全審計跟蹤中與安全有關的記錄信息，和從安全審計跟蹤中得到的分析和報告信息。日志或記錄被視為一種安全機制，而分析和報告生成則被視為一種安命管理功能。通過指明所記錄的與安全有關的事件的類別，安全審計跟蹤信息的收復可適應各種需要。安全審計跟蹤的存在對潛在的安全攻擊源可以起到威懾作用。安全審計跟蹤應考慮選擇那些信息將被記錄，在什么條件下對信息進行記錄以及用于交換安傘審計跟蹤信息的語法和語義定義。

五、RBAC模型

計算機信息系統訪問控制技術最早產生于六十年代，隨后出現了兩種重要的訪問控制技術：自主型訪問控制（Discretionary Access Control，DAC）和強制型訪問控制（Mandal ory Access Control，MAC）。它們在多用戶系統中得到了廣泛的應用，對計算機信息系統的安全做出了很大的貢獻。然而傳統的訪問控制技術遠遠落后于當代系統安全的需求，各國學者開始探索新型的訪問控制技術，基于角色的訪問控制技術引起了極大的關注，RBAC以其顯著的優勢被認為是自主型訪問控制和強制型訪問控制的替代者。所謂訪問控制，就是通過某種途徑顯式地準許或限制訪問能力及范圍的一種方法。通過訪問控制服務，可以限制對關鍵資源的訪問，防止非法用戶的侵入或者因合法用戶的不慎操作所造成的破壞。簡單的說，即：“哪些用戶可以使用哪些資源”。

總之，根據電力企業不同層面上的安全要求，本文研究和分析了多種先進安全技術，保障著整個系統的安全。

參考文獻：

第4篇：安全審計的類型范文

電子數據安全是建立在計算機網絡安全基礎上的一個子項安全系統，它既是計算機網絡安全概念的一部分，但又和計算機網絡安全緊密相連，從一定意義上講，計算機網絡安全其實質即是電子數據安全。國際標準化組織(iso)對計算機網絡安全的定義為：“計算機系統有保護計算機系統的硬件、軟件、數據不被偶然或故意地泄露、更改和破壞?！睔W洲幾個國家共同提出的“信息技術安全評級準則”，從保密性、完整性和可用性來衡量計算機安全。對電子數據安全的衡量也可借鑒這三個方面的內容，保密性是指計算機系統能防止非法泄露電子數據；完整性是指計算機系統能防止非法修改和刪除電子數據；可用性是指計算機系統能防止非法獨占電子數據資源，當用戶需要使用計算機資源時能有資源可用。

二、電子數據安全的性質

電子數據安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統對外部威脅的防范，而廣義的安全是計算機系統在保證電子數據不受破壞并在給定的時間和資源內提供保證質量和確定的服務。在電子數據運行在電子商務等以計算機系統作為一個組織業務目標實現的核心部分時，狹義安全固然重要，但需更多地考慮廣義的安全。在廣義安全中，安全問題涉及到更多的方面，安全問題的性質更為復雜。

(一)電子數據安全的多元性

在計算機網絡系統環境中，風險點和威脅點不是單一的，而存在多元性。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關鍵設施、設備的安全和硬件資產存放地點的安全等內容；邏輯安全涉及到訪問控制和電子數據完整性等方面；安全管理包括人員安全管理政策、組織安全管理政策等內容。電子數據安全出現問題可能是其中一個方面出現了漏洞，也可能是其中兩個或是全部出現互相聯系的安全事故。

(二)電子數據安全的動態性

由于信息技術在不斷地更新，電子數據安全問題就具有動態性。因為在今天無關緊要的地方，在明天就可能成為安全系統的隱患；相反，在今天出現問題的地方，在將來就可能已經解決。例如，線路劫持和竊聽的可能性會隨著加密層協議和密鑰技術的廣泛應用大大降低，而客戶機端由于b0這樣的黑客程序存在，同樣出現了安全需要。安全問題的動態性導致不可能存在一勞永逸的解決方案。

(三)電子數據安全的復雜性

安全的多元性使僅僅采用安全產品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外，因為黑客常常利用防火墻的隔離性，持續幾個月在防火墻外試探系統漏洞而未被發覺，并最終攻入系統。另外，攻擊者通常會從不同的方面和角度，例如對物理設施或協議、服務等邏輯方式對系統進行試探，可能繞過系統設置的某些安全措施，尋找到系統漏洞而攻入系統。它涉及到計算機和網絡的硬件、軟件知識，從最底層的計算機物理技術到程序設計內核，可以說無其不包，無所不在，因為攻擊行為可能并不是單個人的，而是掌握不同技術的不同人群在各個方向上展開的行動。同樣道理，在防范這些問題時，也只有掌握了各種入侵技術和手段，才能有效的將各種侵犯拒之門外，這樣就決定了電子數據安全的復雜性。

(四)電子數據安全的安全悖論

目前，在電子數據安全的實施中，通常主要采用的是安全產品。例如防火墻、加密狗、密鑰等，一個很自然的問題會被提出：安全產品本身的安全性是如何保證的?這個問題可以遞歸地問下去，這便是安全的悖論。安全產品放置點往往是系統結構的關鍵點，如果安全產品自身的安全性差，將會后患無窮。當然在實際中不可能無限層次地進行產品的安全保證，但一般至少需要兩層保證，即產品開發的安全保證和產品認證的安全保證。

(五)電子數據安全的適度性

由以上可以看出，電子數據不存在l00％的安全。首先由于安全的多元性和動態性，難以找到一個方法對安全問題實現百分之百的覆蓋；其次由于安全的復雜性，不可能在所有方面應付來自各個方面的威脅；再次，即使找到這樣的方法，一般從資源和成本考慮也不可能接受。目前，業界普遍遵循的概念是所謂的“適度安全準則”，即根據具體情況提出適度的安全目標并加以實現。

三、電子數據安全審計

電子數據安全審計是對每個用戶在計算機系統上的操作做一個完整的記錄，以備用戶違反安全規則的事件發生后，有效地追查責任。電子數據安全審計過程的實現可分成三步：第一步，收集審計事件，產生審記記錄；第二步，根據記錄進行安全違反分析；第三步，采取處理措施。

電子數據安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統上的活動、上機下機時間，與計算機信息系統內敏感的數據、資源、文本等安全有關的事件，可隨時記錄在日志文件中，便于發現、調查、分析及事后追查責任，還可以為加強管理措施提供依據。

（一）審計技術

電子數據安全審計技術可分三種：了解系統，驗證處理和處理結果的驗證。

1．了解系統技術

審計人員通過查閱各種文件如程序表、控制流程等來審計。

2．驗證處理技術

這是保證事務能正確執行，控制能在該系統中起作用。該技術一般分為實際測試和性能測試，實現方法主要有：

（1）事務選擇

審計人員根據制訂的審計標準，可以選擇事務的樣板來仔細分析。樣板可以是隨機的，選擇軟件可以掃描一批輸入事務，也可以由操作系統的事務管理部件引用。

（2）測試數據

這種技術是程序測試的擴展，審計人員通過系統動作準備處理的事務。通過某些獨立的方法，可以預見正確的結果，并與實際結果相比較。用此方法，審計人員必須通過程序檢驗被處理的測試數據。另外，還有綜合測試、事務標志、跟蹤和映射等方法。

（3）并行仿真。審計人員要通過一應用程序來仿真操作系統的主要功能。當給出實際的和仿真的系統相同數據后，來比較它們的結果。仿真代價較高，借助特定的高級語音可使仿真類似于實際的應用。

（4）驗證處理結果技術

這種技術，審計人員把重點放在數據上，而不是對數據的處理上。這里主要考慮兩個問題：

一是如何選擇和選取數據。將審計數據收集技術插入應用程序審計模塊（此模塊根據指定的標準收集數據，監視意外事件）；擴展記錄技術為事務（包括面向應用的工具）建立全部的審計跟蹤；借用于日志恢復的備份庫（如當審計跟蹤時，用兩個可比較的備份去檢驗賬目是否相同）；通過審計庫的記錄抽取設施（它允許結合屬性值隨機選擇文件記錄并放在工作文件中，以備以后分析），利用數據庫管理系統的查詢設施抽取用戶數據。

二是從數據中尋找什么？一旦抽取數據后，審計人員可以檢查控制信息（含檢驗控制總數、故障總數和其他控制信息）；檢查語義完整性約束；檢查與無關源點的數據。

（二）審計范圍

在系統中，審計通常作為一個相對獨立的子系統來實現。審計范圍包括操作系統和各種應用程序。

操作系統審計子系統的主要目標是檢測和判定對系統的滲透及識別誤操作。其基本功能為：審計對象（如用戶、文件操作、操作命令等）的選擇；審計文件的定義與自動轉換；文件系統完整性的定時檢測；審計信息的格式和輸出媒體；逐出系統、報警閥值的設置與選擇；審計日態記錄及其數據的安全保護等。

應用程序審計子系統的重點是針對應用程序的某些操作作為審計對象進行監視和實時記錄并據記錄結果判斷此應用程序是否被修改和安全控制，是否在發揮正確作用；判斷程序和數據是否完整；依靠使用者身份、口令驗證終端保護等辦法控制應用程序的運行。

（三）審計跟蹤

通常審計跟蹤與日志恢復可結合起來使用，但在概念上它們之間是有區別的。主要區別是日志恢復通常不記錄讀操作；但根據需要，日記恢復處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結合起來，就可以在違反安全規則的事件發生時，或在威脅安全的重要操作進行時，及時向安檢員發出告警信息，以便迅速采取相應對策，避免損失擴大。審計記錄應包括以下信息：事件發生的時間和地點；引發事件的用戶；事件的類型；事件成功與否。

審計跟蹤的特點是：對被審計的系統是透明的；支持所有的應用；允許構造事件實際順序；可以有選擇地、動態地開始或停止記錄；記錄的事件一般應包括以下內容：被審訊的進程、時間、日期、數據庫的操作、事務類型、用戶名、終端號等；可以對單個事件的記錄進行指定。

按照訪問控制類型，審計跟蹤描述一個特定的執行請求，然而，數據庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密，因為審計人員可以限制時間，但代價比較昂貴。

（四）審計的流程

電子數據安全審計工作的流程是：收集來自內核和核外的事件，根據相應的審計條件，判斷是否是審計事件。對審計事件的內容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時，則向審計人員發送報警信息并記錄其內容。當事件在一定時間內連續發生，滿足逐出系統閥值，則將引起該事件的用戶逐出系統并記錄其內容。

常用的報警類型有：用于實時報告用戶試探進入系統的登錄失敗報警以及用于實時報告系統中病毒活動情況的病毒報警等。

第5篇：安全審計的類型范文

關鍵詞：安全審計；數據挖掘；異常檢測；關聯分析；關鍵業務

中圖分類號：TP311.131文獻標識碼：A 文章編號：1009-3044(2008)23-950-04

Design on Outlier Detection Model Based on Security Audit

Shi Hai-feng

(College of Software, Nanjing College of Information Technology, Nanjing 210046, China)

Abstract: From one data mining systerm on the security audit, this paper presents one outlier detection model, the model picks up the association patterns of the normal action by association analysis, defines every action pattern by the essentiality of the properties, and codes the patterns, then uses a dissimilarity-function getting the dissimilarity between one association pattern and current pattern, and estimate the current pattern by dissimilarity, last describes the working process of the model by given audit data. The model has be applied successfully in some monitor and intrusion detection systems of the key operation domain.

Key words: security audit; data mine; outlier detection; association analysis; key operation

1 引言

目前安全審計已越來越多地成為防火墻、入侵檢測和網絡監控等系統支持的功能特性，特別當這些系統應用在關鍵業務領域（如銀行，證券等）中時。安全審計的一個重要目的是發現系統或用戶行為中的入侵或異常。而如何在大量的審計數據中提取出具有共性的系統特征模式，用于對程序或用戶行為作出全面、準確的描述，是實現安全審系統的關鍵。作為數據挖掘的一個重要部分，異常檢測可以從大量冗余信息的數據中提取出隱藏的、有效的模式，如果將其應用于安全審計數據的處理，可以有效地解決海量審計數據的分析問題，為系統和用戶行為的判定提供依據。

異常是在數據集中與眾不同的數據，使人懷疑這些數據并非隨機偏差，而是產生于完全不同的機制[1]。異常檢測中對異常的定義是：異常是既不屬于聚類也不屬于背景噪聲的點，他們的行為與正常的行為有很大不同。異常檢測通常建立在聚類分析和關聯分析的基礎上，從方法上可以分為基于統計（statistical-based）、基于距離 (distance-based) [2,3]、基于偏離(deviation-based) [4]和基于密度(density-based) [5]的方法。另外針對異常在高維空間中難以確定，有人提出一個高維數據異常檢測的方法[6]，該方法采用遺傳優化算法，把高維數據集映射到低維子空間，根據子空間映射數據的稀疏程度來確定異常數據是否存在，算法獲得良好的計算性能。

本文提出一個基于安全審計的異常檢測模型，該模型中異常檢測方法借鑒基于偏離的算法，將該算法中未知的“序列異?！敝懈鱾€子集間的相異度計算轉化為已知的正常行為模式和未知行為模式的相異度計算，算法為每個判定對象定義一個行為模式，模式中各屬性按其重要性降序排列，并利用模式中字段值在審計數據庫中的信息，對每個模式進行編碼，再通過定義一個相異度函數來計算模式間的相異度，根據相異度和設定閾值的比較來判斷模式是否為異常。

下面首先介紹在一個基于安全審計的數據挖掘系統中構建異常檢測模型的構建過程，并詳細分析該模型的工作過程，最后通過一個特定的審計數據來描述異常檢測的處理過程。

2 異常檢測模型設計

2.1 數據挖掘系統框架

本模型是基于一個安全審計的數據挖掘系統的基礎上實現，該系統結構圖如圖1所示。由于傳統的安全審計系統在數據采集規則和報警規則等方面，都是采用預先定義的規則庫，自適應性較差，該數據挖掘系統針對此而提出，另外該系統應用于關鍵業務應用領域里，通常產生的審計數據都比較完整、可靠和高質量，這使得數據源的預處理比較簡易。

系統中數據挖掘源數據為業務數據庫，分析器可以完成特定的分析功能，可看作是對源數據必要的預處理，分析器通常歸類特定數據，提取重點數據，使數據挖掘數據選擇更有針對性。分析器一般提供以下幾種類型的分析：數據值范圍、大小和長度分析；審計事件發生的頻率分析；事件發生的地點和屬主分析(比如數據生成點和作案地點)；事件發生的時間段和時間點分析。根據各個分析器功能，可分為通用、頻率、閾值和時間分析器等。

2.2 異常檢測設計

異常檢測關鍵在于正常模式的建立及利用該模式對當前行為進行比較和判斷。正常模式的建立可以通過關聯規則挖掘實現，比如在對用戶行為的異常檢測，可以對用戶審計數據進行關聯模式的挖掘，在規則庫中建立每個用戶的歷史行為模式，再利用該歷史行為模式與當前用戶操作行為進行模式比較，通過兩者的相異程度來判斷用戶行為是否為異常行為，并通過檢測過程進行模式學習，更新模式庫中用戶模式。模式庫的更新通過待學習知識庫經過交互完成。結合上述各種分析器，該異常檢測流程如圖2所示。

3 異常檢測實現原理

3.1 關聯模式挖掘

異常檢測的前提是正常行為的關聯模式的獲取，這一步通過關聯分析完成。關聯分析主要任務是挖掘關聯模式知識，目前關聯模式挖掘算法的研究已取得了很多研究成果，眾多算法中以Agrawal等人提出的Apriori[7]算法最為著名，其后的算法大多數建立在Apriori算法基礎上，或進行改進，或衍生變種。本模型采用了Apriori算法。算法分為兩個步驟：第一步，從事務數據庫或安全審計數據庫D中找出所有支持度不小于用戶指定的最小支持度閉值(min_sup)的頻繁項目集；第二步，使用頻繁項目集產生所期望的關聯模式，產生關聯模式的基本原則是其置信度必須不小于用戶指定的最小置信度閉值(min_conf)。

由于第二步較為容易和直觀，因此挖掘出所有頻繁項目集是該算法的核心，占據整個計算量的大部分，因此，有時僅考慮挖掘頻繁項目集。

3.2 異常檢測設計

系統通過根據審計數據各屬性重要性的次序定義用戶行為關聯模式AMi的集合，并為每個模式進行編碼，同時對當前待分析用戶操作行為模式AM進行相應的編碼，再通過定義一個相異度函數計算每個AMi和AM的相異度，相異度函數是通過對AMi和AM相應的編碼來進行計算的。如果任意AMi和AM的相異度值都大于某一個閾值 ，則認為AM行為可能是異常行為，下面詳細描述該設計過程。

3.2.1 行為模式

定義行為模式AM=(AM1=v1,AM2=v2,…,AMk=vk)，AMi(i=1,2,…k)為待挖掘審計事件的記錄表中的某一屬性。如果k=n-1(n為記錄表的屬性數)，則稱AM是完備模式。如果AM的屬性是按其重要性降序排列的，則稱模式AM是有序模式。同時滿足上述兩條件的模式稱為有序完備模式。顯然，對于模式庫中的任意模式AM=(AM1=v1,AM2=v2,…,AMk=vk)，AMi(i=1,2,…k)，均可以通過以下兩步將其轉換成有序完備模式：1）對于任何不屬于AM的屬性Ai(i=1,2,…n-1),令Ai=null，并將其插入到AM中；2）將AM的屬性按其重要性降序列排列。因此，在以下的討論中可以僅考慮有序完備模式。

3.2.2 模式編碼

每個用戶模式相應的編碼過程如下：

設定v_seti存放屬性Ai值的集合，v_propi存放v_seti中每個Ai值的在數據庫中的比例值，即包含該Ai值的記錄數與所有記錄數的比值，該值表達了該Ai值在表中出現的頻繁度，這樣v_seti中每個值根據其對應的比例值由大到小排放，每個v_seti對應一個c_seti，記錄v_seti中元素的個數。v_seti的初始值由初始的關聯模式的值決定。

用戶模式AMi每個屬性值vj都對應一個編碼vj_code，AMi對應的編碼值通過AMi中每個屬性值vj求得，vj_code計算過程如下：

1）若vj=0，則vj_code=0；

2）判斷vj是否在對應的v_setj中，如果在，則計算vj對應的編碼值，設vj在v_setj的順序為sj，則對應vj的編碼值計算過程如下：

3）若vj不在v_setj中，則判斷vj值在在數據庫中的比例值p_vj是否大于某個比例值MinProp，若p_vj小于MinProp，則vj=9；若p_vj大于則將vvj根據p_vj在v_propi的順序加入到v_setj相應的位置中，同時根據公式(1)計算vj對應的編碼值vj_code。

這樣每個屬性值對應的編碼值為[0,9]內的整數值，模式AMi對應的編碼值由v1_code、v2_code … vn-1_code組成。(n為記錄表表屬性數)

3.2.3 相異度函數

相異度函數可以是滿足如下條件的任意函數：當給定一組對象時，如果對象間相似，返回值就較小；對象間的相異度越大，函數返回值就越大?？赡艿南喈惗群瘮涤屑现袑ο蟮姆讲?，或者模式字符串的形式(例如包含通配符)，根據審計表中各個屬性的重要性定義相異度函數為：

該函數計算的相異度由模式編碼各位的編碼值的差值和屬性個數決定，取值范圍為[0,1]，該函數對兩類數據非常敏感，(1)編碼值的差值比較大；(2)存在差值的編碼在模式中對應的屬性的重要性比較大。

4 數據分析

4.1 審計數據

下面通過審計端審計人員的操作行為數據描述關聯模式的挖掘過程，首先通過審計數據庫中審計員操作記錄表來約定待挖掘審計事件的記錄表的定義，如表1所示，該表中每個屬性都是根據其在審計事件重要性降序排列的，表2對各個屬性進行了描述。

其中A2（操作類型）取值為1/2/3/4/5/6/7，分別代表：1查看終端錄像，2修改或刪除終端信息，3修改或刪除主機信息，4新增、修改或刪除控制碼信息，5新增、修改或刪除用戶信息，6授權、修改或刪除某用戶權限，7其他操作。

為了使實驗數據具有代表性，隨機地從數據庫中抽取兩個用戶的審計記錄，數據如表3，并使用算法Apriori分別對這二個用戶的行為模式進行了挖掘，部分挖掘結果如表3所示。

4.2 關聯模式數據

4.3 異常檢測數據及分析結論

通過表3中User1的操作行為記錄，以及User1的關聯模式，設定MinProp=0.01，計算User1用戶模式的編碼值，如表4所示。

其中：v_set1=(172.16.15.5)，v_prop1=(99.900%)，c_set1=1；

v_set2=(1,2)，v_prop2=(91.000%,8.400%)，c_set2=2；

v_set3=(Check,Modify)，v_prop3=(91.000%,8.100%)，c_set3=2；

v_set4=(002)，v_prop4=(99.900%)，c_set4=1；

v_set5=(012, 011)，v_prop5=(51.100%,48.700%)，c_set5=2；

v_set6=(am,pm,after)，v_prop6=(44.600%,40.400%,10.900%)，c_set6=3。

設定閾值?著=0.2，下面給出兩個當前行為模式判斷該行為是否為異常行為。表5給出了比較情況及異常分析的結論。

5 結束語

本文在一個安全審計的數據挖掘系統的基礎上實現了異常檢測模型的構建過程，同時通過審計數據的分析來描述模型工作的過程。針對關鍵業務領域審計數據特征，異常檢測可以用于多種規則的挖掘，比如用戶操作行為順序規則、本地用戶非法提升權限規則和遠程用戶獲取本地權限規則等。目前該模型已成功應用在幾個關鍵業務領域的監控系統和入侵檢測系統中。

參考文獻：

[1] Hawkins D. Identification of Outliers[M]. Chapman and Hall, London, 1980.

[2] Knorr E M, Ng E T. Algorithms for Mining Distance-based Outliers in Large Datasets[A]. In:24th Int. Conf. on Very Large Data Bases[C]. New York, NY, 1998: 392-403.

[3] Ramaswamy S, Rastogi R, Shim K. Efficient Algorithms for Mining Outliers from Large Data Sets[A]. In:ACM SIGMOD Conference Proceedings[C], 2000.

[4] Agrawal R, Ragaran P. A Linear Method for Deviation Detection in Large Databases[A]. In:KDD Conference Proceedings[C], 1995.

[5] Breunig M M, Kriegel H P, Ngetal R. LOF:Identifying Density-Based Local Outliers[A]. In: Proc of ACM SIGMOD Conference Proceedings[C], 2000.

[6] Aggarwal C C, Yu P. Outlier Detection for Hight Dimensional Data[A]. In:Proc of ACM SIGMOD Conference Proceedings[C], 2001.

[7] Agrawal R, Srikant R. Mining Association Rules Between sets of Items in Large Databases,[A] In: Proc of ACM SIGMOD International Conference Management of Date[C], Washington DC,1993,207-216.

第6篇：安全審計的類型范文

功能設計如下：1)審計信息記錄模塊。通過提供通用的審計信息記錄接口，完成云平臺上用戶操作的日志信息的標準化處理，并存儲到審計數據庫的功能，該模塊使得系統具有良好的可移植性。2)審計信息簽名模塊。日志信息處理后存儲至審計數據庫中時，在審計信息中加入兩次簽名——元組簽名和分片簽名，以保護審計數據庫自身的安全和審計信息的完整性、完備性。3)審計信息管理模塊。實現通過Web管理頁面對審計信息進行瀏覽、刪除、導出等操作，為審計人員提供便利的審計信息分析和管理。審計管理員可在審計信息管理平臺上下發已制定的審計策略，篩選出可疑事件信息。

2工作流程

2.1審計信息記錄流程

審計信息記錄是對云平臺上用戶的操作信息進行獲取、分類、存儲至審計數據庫中的一個過程(見圖2)。審計信息記錄的流程如下：1)當云平臺上的用戶使用正確的賬號口令登錄云平臺系統后，便可進行日常的操作行為，例如修改密碼、數據的上傳和下載、用戶之間數據的傳遞、啟動并使用一個遠程軟件等。云平臺通過日志采集引擎采集到日志信息，并向審計信息記錄模塊發起審計服務請求。2)在眾多的用戶日常操作行為中，找出審計重點關注的事件及屬性，劃分平臺事件類型，即對審計事件分類。這樣的好處是：篩選出重要的平臺事件，使得審計更加有效；將來若擴展系統，添加關聯分析模塊，可直接對審計數據庫中的事件分類信息審計事件分析，而不是對冗長雜亂的日志信息分析，提高了關聯分析的效率。例如：將平臺事件分為以下4類，并確定相關屬性如下：①用戶事件，表示用戶的各種基本操作行為，包括用戶登錄和注銷、密碼修改、個人信息修改等事件，需要記錄的信息有用戶名、登錄IP、操作時間、操作是否成功。②數據傳輸，表示用戶對文件等數據的傳輸行為，包括上傳數據開始和結束，下載數據開始和結束、刪除數據，重命名數據事件，需要記錄的信息有用戶名、登錄IP、操作(上傳、下載、刪除、重命名)時間等。③軟件使用，表示用戶啟動了某一個遠程軟件的行為，需要記錄的信息有用戶名、操作時間、軟件是否啟動成功。④工程計算，表示用戶提交了一個工程計算作業的行為，需要記錄的信息有用戶名、作業名、操作時間、提交操作是否成功等。對平臺事件的分類和屬性確定可以根據云平臺的具體用途確定。將4類信息的處理作為4個審計記錄接口，這4個接口相互獨立，能夠并行處理來自云平臺的海量日志信息，對用戶事件、數據傳輸、軟件使用、工程計算4類事件進行記錄。將審計記錄接口在WebServices服務上，后，當WebServices收到請求后，就可以完成審計信息接口的功能。3)日志信息經過處理后，發送至數據庫訪問接口，數據庫訪問接口會將數據寫入審計數據庫。至此，審計信息記錄的流程完成。

2.2審計信息簽名流程

審計信息記錄模塊使用4個不同的接口分別接收4類用戶日志信息數據，并將其發送給數據庫訪問接口，由其通過數字簽名技術完成對日志信息的安全存儲，主要包括對日志信息進行元組簽名和分片簽名。數字簽名，簡稱簽名，是一種基于對稱密碼或非對稱密碼(公鑰密碼體制)的算法。大部分簽名算法都是基于非對稱密碼體制實現的，常見的數字簽名方法如RSA、DSA等。簽名具有以下幾個特征：簽名是可信的、不可偽造的、不可重用的；簽名的文件是不可篡改的；簽名是不可抵賴的[8]。(1)元組簽名數據庫訪問接口接收審計數據，對其接收到的每一條數據，將其各記錄項合并成一段連續的數據，根據MD5算法計算該段數據的MD5值，作為該條日志信息的唯一元組簽名項，具體流程如圖3所示。隨后將計算出的元組簽名項與該條日志信息的各記錄項存儲到審計信息數據庫中，通過數據庫訪問接口，完成日志信息的存儲操作。(2)分片簽名每當審計數據庫中插入100條數據時，對這100條數據進行簽名，將簽名保存在一張簽名表中，即完成對文件的分片加密(見圖4)。將數字簽名應用到審計數據庫中，原因是審計數據庫對數據的安全性有較高的需求。審計數據庫中的數據需要保證每個元組都是來自真實的審計日志，數據的完整性正是利用數字簽名這些特征來確保查詢結果來自真實的原始數據，沒有任何篡改。當審計數據庫受到安全威脅攻擊時，要能夠驗證該攻擊的真實性。審計數據庫采用了對元組簽名而不是對其加密是因為：加密能夠保證數據庫的機密性，但是對審計查詢工作時進行模糊匹配、多表查詢造成了很大的困難，同時，響應時間的加大和解密時間的增多，都影響了系統的可用性。審計數據庫簽名的粒度有4種：元組屬性值、元組、字段、表。為了保證數據完整性，采用對元組簽名和分片簽名的方法。在審計數據庫中的數據以明文形式存儲，當懷疑審計數據的有效性時，即可檢查審計數據庫返回的是不是審計日志的原始數據。通過重新計算該元組MD5的值，如果當前的簽名和該元組里的簽名對比，若兩個MD5的值不相同，則說明該元組已被篡改，是不可信的，用戶和管理員可拒絕接受該元組信息。由于對元組的簽名只能保證該元組是可信的，沒有隨意地篡改數據，但是不能保證日志信息的連續性，即數據沒有被刪除和添加。通過分片簽名的方法，可以保證所有數據的完整性。

2.3審計信息管理流程

審計信息管理主要為云平臺管理人員以可視化界面的形式提供信息審查的平臺，為其進行審計信息的瀏覽、導出、刪除等管理操作提供方便快捷的操作途徑。(1)審計信息瀏覽通過審計信息管理模塊與數據庫訪問模塊的交互，能夠將存儲在安全審計數據庫中的審計信息取出并在瀏覽器中展示，管理人員能夠從瀏覽器中獲取云環境下各主機所對應用戶的行為操作描述，便于對云平臺的安全狀況進行審查和評價，及時發現云平臺安全性威脅行為。管理員也可根據相應的審計策略給出審計信息的篩選條件，找出可疑信息。(2)審計信息導出對當前用戶日志信息記錄表以文件形式導出，并加密保存在本地，實現對云平臺日志信息的永久性保存，同時保證了其安全性。(3)審計信息刪除管理人員能夠通過用戶界面操作刪除用戶日志信息，通過審計信息管理模塊與數據庫訪問模塊，將存儲在安全審計數據庫中的該條記錄刪除。用戶界面的設計是為了幫助管理人員或專業機構了解整個云平臺上用戶日常行為操作的具體內容，及時發現威脅安全的用戶操作，實時維護整個云平臺的系統安全與數據安全。用戶界面不對管理人員提供主動增加用戶日志信息及修改用戶日志信息的功能。

3性能測試

3.1安全性測試

安全審計系統具有較強的安全保障，具體體現在以下兩個方面：1)審計數據庫自身的安全保護。對安全審計系統進行訪問控制，由專門的審計管理員負責審計數據庫的管理、審計策略的下發、審計信息的分析、審計數據庫信息的備份和故障恢復等操作，其他人員無權執行上述操作。2)審計數據的完整性安全保護。日志信息在經過審計接口進行存儲時，需經過信息分類、格式標準化、簽名處理。元組數據的簽名確保了單條數據的完整性，分片數據的簽名確保了整個審計數據庫的審計數據來自連續的審計日志信息。雙重簽名機制能夠確保審計數據完整性的安全保護，同時也能夠讓平臺用戶信服于審計結果的準確性。在測試過程中，隨機選取審計數據庫中1條測試數據，統計其元組簽名以及被劃分到片(100條數據)后得到的分片簽名，然后修改該條測試數據的內容，再次得到以上兩組簽名，并進行比對，實驗結果如表1所示。安全性測試結果表明，當審計數據庫中的某一條數據被非法修改時，通過比對分片簽名是否改變，可以確定具體被修改的數據在哪一片中，進一步比對元組簽名是否改變，便可以確定被修改數據的具置。

3.2算法效率測試

安全審計系統通過雙重簽名機制保障安全性的同時，也應具備良好的運行速度。而分片簽名是基于100條數據進行的簽名算法，其執行效率將影響到安全審計系統的整體執行效率。在排除系統其他操作的情況下，針對分片簽名計算進行速度估算測試，測試結果如表2所示。算法效率測試結果表明，當同時插入10000條數據時，需要進行100次分片簽名算法，簽名計算操作仍然耗時較短，考慮到實際運行環境中，同一時間插入的數據均遠小于10000條，可以認為簽名算法在運行效率上不會影響安全審計系統的整體運行率。

4進一步研究工作

下一步的研究重點將是在本方案的基礎上實現以下兩點，來提高審計系統的審計能力和審計效率。(1)審計系統中關聯分析、報警功能的實現關聯分析(AssociationAnalysis)是指在數據記錄的數據項之間挖掘關聯關系，某些數據項的出現預示著該記錄中其他一些數據項出現的可能。進一步研究關聯分析方法對審計信息進行關聯分析，以發現攻擊的規律和趨勢，甚至是預測即將發生的攻擊。在審計系統中添加報警功能，并可由審計管理員自定義報警策略及響應措施，當發現云平臺有嚴重的侵害事件發生時，即可啟動響應措施，對平臺進行保護。(2)研究分析審計數據完整性保護措施方案本方案采用了基于簡單簽名的數據完整性保護措施。這種方法實現比較簡單，能夠保證數據的完整性。但是簽名數量較多時就會給系統帶來較大的時間和空間開銷。文獻[9]提出了完整性審計方法，即通過在需要委托的數據庫中插入少量的偽造元組來驗證審計數據庫的完整性。文獻[10]提出了雙重加密方法，這種方法是一種低耗費的可證明安全性的雙重加密方法，能夠保證實現數據元組的完整性認證。因此，可以對不同的審計數據完整性保護措施方案進行對比分析，根據具體云平臺的功能總數、用戶量選擇合適的方案。

5結語

第7篇：安全審計的類型范文

關鍵詞：互聯網 安全防護 網絡邊界 應用安全 數據安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-098X（2017）03（b）-0130-02

1 安全防護的概念

隨著互聯網技術的發展，信息安全問題日益嚴峻。信息系統的安全防護，實質就是以系統的概念，從信息系統的物理、邊界、應用、數據、主機、網絡、終端7個層次進行統一的安全設計，最大限度地保障系統的安全、可靠和穩定運行。

2 能源互聯網綜合服務平臺概況

筆者參與的能源互聯網綜合服務平臺，采用集中部署、分布式計算模式，平臺系統主體：采集服務器、SCADA服務器、歷史服務器及交換機等設備部署于信息內網，WEB服務器部署于互聯網，同時滿足從信息內網采集、提取、分析數據，以及通過互聯網與用戶進行數據交互的需求。

3 平臺采取的安全防護措施

3.1 物理安全

能源互網綜合服務平臺物理安全，主要是按照A級信息機房標準進行建設，配備UPS電源、精密空調及新風系統、動環監控、門禁、消防等分系統，從機房位置選擇、機房出入控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫度、濕度控制、電力供應、電磁防護等方面開展防護。

3.2 網絡邊界安全

邊界防護通常采用部署正反向隔離裝置和防火墻，實現網絡邊界的訪問控制和安全隔離，通過網絡設備安全防護、網絡安全審計、入侵防范、抵御來自外部的攻擊的目的，實現入侵事件的審計與追蹤。

能源互聯網綜合服務平臺存在4類網絡邊界：信息內網橫向域邊界、信息內網縱向邊界、信息內外網邊界、信息外網與第三方網絡邊界。針對性安全防護措施包括，信息外網第三方邊界：網絡訪問控制、網絡入侵檢測、日志記錄與審計；信息內網橫向域邊界：網絡訪問控制、網絡入侵檢測；信息內外網邊界：邏輯強隔離裝置、網絡入侵檢測；信息內網縱向邊界：網絡訪問控制、網絡入侵檢測、邊界流量監測。

3.3 應用安全

應用安全通常采用面向應用系統的身份驗證、訪問權限控制、安全審計等措施，保證應用系統及子系統間通信的完整性和保密性，保障應用的可用性。能源互聯網綜合服務平臺主要從以下10個方面進行安全防護。

身份認證：單點登錄跳轉、高強度密碼策略、密碼加密存儲、cookie不存密碼，認證信息及時銷毀策略；支持鎖定賬戶、實施登錄三次失敗鎖定賬戶策略；限制同一賬號同時在多個IP登錄。

授權：基于角色控制訪問，細度權限控制{修改、只讀、隱藏}。

輸入輸出驗證：URL過濾；正則表達式輸入驗證；sql注入參數驗證。

配置管理：只允許管理員授權；禁止Web頁面直接瀏覽服務端的目錄和文件；賬戶口令加密保存。

會話管理：服務端存儲會話認證信息和有效期；會話ID隨機；登錄信息憑證加密傳輸，post方式傳輸會話憑證；網頁的頭部擁有登出鏈接；注銷即刻清除會話，限制會話時間，超時自動清除。

加密技術：基于DES對稱加密算法；密鑰通過MD5或DES對稱加密算法保存在數據庫中。

參數操作：隨機會話id標識用戶；基于POST方式提交頁面表單；客戶端js驗證和服務端驗證兩種方式對客戶端的輸入值校驗。

異常管理：統一出錯頁面，異常出錯信息記入日志。

日志與審計：關鍵操作自動審計；審計日志記錄在數據庫中；敏感數據強制審計，非敏感數據通過配置方式來開啟審計功能；審計信息的頁面只能瀏覽和查詢。

應用交互安全：通過WebService接口與第三方系統集成；基于xml方式與第三方系統交互數據，通過WebService方式傳輸。

3.4 數據安全

數據安全防護主要是采用MD5加密算法處理，實現業務數據在傳輸過程中的完整性保護。能源互聯網綜合服務平臺數據安全主要從以下3方面進行安全防護。

（1）數據存儲安全：用戶賬號及鑒別信息采用MD5加密算法處理后在數據庫中加密存儲；用戶賬號及鑒別信息不在客戶端存儲；設備臺賬信息通過程序邏輯校驗及數據庫約束條件實現完整性，避免非法字符；業務信息存儲在數據庫中；系統配置信息（用戶口令等）采用MD5加密算法處理后在配置文件中存儲；移動終端業務數據通過程序邏輯校驗及數據庫約束條件實現完整性，避免非法數據。

（2）數據傳輸安全：用戶賬號及鑒別信息采用MD5加密算法處理后傳輸；客戶端加密后將設備臺賬信息傳輸到服務器端；系統配置信息（用戶口令等）傳輸過程中使用MD5加密算法處理；移動終端業務數據通過終端安全?？剀浖用芎髠鬏斨涟踩尤肫脚_，解密后傳輸至業務系統。

（3）數據備份安全：用戶賬號及鑒別信息、設備臺賬信息、業務信息，實時同步到災備中心并周期備份；系統配置信息（用戶口令等）、移動終端數據進行周期備份。

3.5 主機安全

主機安全主要針對操作系統、數據庫系統進行安全防護設計。操作系統安全主要措施是：身份認證、訪問控制、病毒、入侵防范、漏洞掃描、更新安全補丁、資源控制、安全審計、數據備份、安全加固；數據庫安全措施主要是：身份認證、訪問控制、漏洞掃描、數據安全網關、更新補丁。

能源互聯網綜合服務平臺采取的措施主要有：使用國產操作系統及數據庫，并采用操作系統賬號唯一性機制實現主機身份鑒別、訪問控制防護，入侵防范、惡意代碼、病毒防護，以及主機安全加固，安全審計等。

3.6 網絡安全

城市能源互聯網綜合服務平臺系統的網絡環境，包括核心交換設備、匯聚交換設備、接入交換設備、邊界防火墻等網絡設備。主要從網絡設備安全和通道安全兩方面進行安全防護。

網絡設備安全主要從設備安全管理、設備鏈路冗余、網絡設備處理能力保證、漏洞掃描、設備安全加固、配置文件備份6個方面進行安全管控。

通道安全依據通道類型采用不同的安全防護措施。

電力光纖專網：通道專用；限制終端接入IP地址；開啟網絡訪問控制措施。

運營商無線網絡：采用無線APN專網，與公用網絡隔離；終端使用安全加密卡與安全接入平臺建立加密傳輸通道。

WiFi：禁用SNMP服務；限制信號覆蓋范圍；禁止SSID廣播；配置MAC地址過濾，使用訪問控制列表；禁用DHCP服務；開啟WIFI終端審計；開啟802.1x認證和密鑰管理；使用WPA1或WPA2協議加密機制，對WIFI無線接入的數據流進行加密。

WiMax：開啟WiMax終端審計；開啟PKM協議，采用公鑰密碼技術實現身份認證、接入授權以及會話密鑰的發放和更新。

3.7 終端安全

通過安全接入平臺實現各類接入終端的身份鑒別、數據加密傳輸安全接入需求。

4 結語

作為溝通企業內部信息系統，面向互聯網客戶，提供實時精準化定制服務的互聯網綜合服務平臺，在建設之初就必須高度重視信息安全問題。信息系統安全適用“木桶”理論，必須以系統的觀念，統籌規劃并落實各項信息安全防護設計，才能補齊短板，最大限度地保障系統的安全、可靠和穩定運行。

參考文獻

第8篇：安全審計的類型范文

[摘 要] 信息安全審計系統針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。從管理層面提供互聯網的有效監督，預防、制止數據泄密。滿足用戶對互聯網行為審計備案及安全保護措施的要求，提供完整的上網記錄，便于信息追蹤、系統安全管理和風險防范。

[關鍵詞] 安全；信息系統；審計；虛擬化

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 07. 028

[中圖分類號] F239.1 [文獻標識碼] A [文章編號] 1673 - 0194（2017）07- 0058- 04

1 引 言

隨著信息技術的高速發展，企業業務對于IT系統的依賴性不斷增強，信息和業務交付的靈活性與信息安全保護、防止泄露成為實際工作中的矛盾，企業IT運營既要滿足業務發展對業務交付靈活性的要求，又要防止信息泄露，因為信息安全問題關系到企業的聲譽，同時關系到企業的經營風險，更關系到國家的機密信息安全。

2 目前化工行業信息安全風險分析

2.1 化工行業信息化發展趨勢

石油化學工業是基礎性產業，在國民經濟中占有舉足輕重的地位，是我國的支柱產業部門之一，化工行業之所以重視信息化工作，首先與2015年總理提出的“互聯網+”的大發展背景密不可分，工藝流程的制定、化工裝置的運行、化工產品的銷售都高度依賴于信息化、互聯網技術；其次是從化工行業的自身特點衍生出來的，其產品數量多、種類多，產品各個環節的各個控制點特別多，這就要求用信息化技術能夠對化工生產中的各個環節產生積極和促進作用。

2.2 化工行業信息安全管理的現狀和挑戰

因為信息安全管理的要求，在網絡管理層面，石油系統內的企業已經建立了完善的內、外網隔離的管理平臺，兩個網絡完全物理隔離，不能互相訪問；石油系統內還部署了病毒防御、主動攻擊防御系統（Symantec Endpoint Protection），保密安全，漏洞防護等一系列安全防護系統，看似已經建立了一個信息非常安全、固若金湯的基礎架構。但在實際業務發展中，仍然存在一些隱患，不容忽視，面臨挑戰。

一方面企業的業務已經非常依賴信息系統，因為業務發展需要急需把內網系統交付到外網去，即人員在出差過程中能處理內網的業務?，F有的內外網隔離架構，只有特權用戶能夠進行辦公，為新的用戶授權又需要經過一系列嚴格的程序，交付周期相對較長，因此不具備實現業務交付的靈活性。

另一方面，即使建立了內外網隔離的架構，也不能從根本阻止信息泄露，而且對于信息泄露事件也不能做到追本溯源，以避免類似事件發生。據全球權威的調查機構報告顯示客戶發生的信息泄露75%來自系統內部網絡，而且超過50%的信息泄露沒有找到信息泄露的源頭。外網通過入侵，只能獲得企業非關鍵信息；而對內網進行的各種違規操作，才是最致命的，給企業帶來巨大的經營風險。所以即使進行了完全隔離，也不能杜絕信息泄露，內部網絡的信息泄露主要來自于以下三個方面（見圖1）：

（1）由外包服務公司員工引起信息泄露。伴隨著IT系統越來越復雜，客戶本身很難成為各種應用系統、各種管理系統的專家，往往采用服務外包方式進行管理，現實的問題在于，由于沒有一套完善的監控、審計機制，外包服務公司人員究竟在管理平臺上修改了什么，平臺上的數據被是否被保存到了IT服務外包人員本地電腦上并被泄漏出去，是否有危及系統安全和數據保密的操作都不得而知，出現人為操作故障后，追溯問題根源存在爭執，追究責任困難，這就成為了信息泄露的最大漏洞。

（2）由內部IT人員引起信息泄露。在IT系統管理過程中，IT管理人員通常有非常大的權限，如何管理和評估這些人員在日常工作中是否有超過權限的操作，怎么清晰地知道哪個IT人員什么時間做過什么操作，都是擺在企業面前的現實問題。

（3）由內部業務人員引起信息泄露。業務人員因為直接掌握了企業財務、設備、銷售、物料、物流等各個方面的數據，也是信息泄露的關鍵因素之一。

3 建設審計系統的意義

由于企業信息安全管理存在外包服務公司員工引起信息泄露、炔IT人員引起信息泄露、內部業務人員引起信息泄露的情況，因此圍繞業務系統需要建立可控的、有序的安全架構，以防止和杜絕任何企業數據泄漏的隱患，通過使用信息內容審計系統能夠在已建立起的網絡安全平臺上再增加一道安全防護屏障，從而實現真正完善的信息安全防護體系，這對企業的信息化發展具有重要意義，使用信息內容審計系統的具體價值體現在以下幾點：

（1）審計敏感信息接觸者，如IT管理員、業務人員、外包公司員工，他們都需要通過審計管控平臺，才能獲得信息系統的訪問、管理權限，獲得其需要的應用和數據，如此便可實現從源頭上防范信息數據的泄露。

（2）IT管理員、業務人員、外包公司員工的所有操作行為可以通過回放錄像的方式進行檢索，從而捕捉到關鍵行為、操作，對于出現的信息泄露等重大問題，責任范圍可追溯，做到有依可循、有據可查。

（3）對于系統故障，誤刪除等操作造成的數據丟失可以通過操作行為錄像回放，找出故障原因，找回丟失的重要數據，從而保證企業的財產不受損失，保證企業的名譽不受損失。

4 審計的方法、特點

審計系統綜合了核心系統運維和安全審計管控兩大主干功能，從技術實現上講，通過切斷終端計算機對網絡和服務器資源的直接訪問，而采用協議的方式，接管了終端計算機對網絡和服務器的訪問。目前普遍采用的審計方式有兩種，一種采用一體堡壘機的方法，一種采用服務器、審計軟件兩層架構的方法。

4.1 一體堡壘機功能

（1）單點登錄功能：支持對Windows、LINUX、UNIX、數據庫、網絡設備、安全設備等一系列授權賬號進行密碼的自動化周期更改，簡化密碼管理，讓使用者無需記憶眾多系統密碼，即可實現自動登錄目標設備，便捷安全。

（2）統一的賬號管理：能夠對所有服務器、網絡設備、安全設備等賬號進行集中管理，化繁為簡，實現對維護管理員的統一審核。

（3）資源授權：設備提供基于用戶、目標設備、時間、協議類型IP、行為等要素實現細粒度的操作授權，最大限度保護用戶資源的安全。

（4）訪問控制：設備支持對不同用戶進行不同策略的制定，細粒度的訪問控制能夠最大限度的保護用戶資源的安全，嚴防非法、越權訪問事件的發生。

（5）操作審計：能夠對字符、圖形、文件傳輸、數據庫等全程操作行為審計；通過設備錄像方式實時監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作，對違規行為進行事中控制。對終端指令信息能夠進行精確搜索，進行錄像精確定位。

4.2 審計軟件功能

新一代的審計軟件克服了傳統堡壘機的很多不足，如專用硬件不易維修、升級困難、不能實現應用和數據管控、不能對圖像操作進行檢索等，在繼承了傳統堡壘機的基礎上又具備以下優點：

（1）應用管控。實現獨立管控，不同人員獲得使用不同應用程序的權限。

（2）數據管控。無論局域網操作者還是廣域網遠程操作者，在審計環境下可以看到數據，使用數據，但無法下載數據。

（3）高安全性。以客戶端/服務器方式運行，將用戶行為變為可視、可跟蹤、可鑒定，保護重要數據的安全。

（4）集中審計，審計無盲點。實現集中審計、集中訪問控制，對于企業重要系統和數據的管理，有非常重要的價值；

（5）準確追溯歷史。在服務器上部署審計軟件的科學方式能夠將來訪人員的行為完整的記錄，并保存在服務器上，審計人員能夠按照其想調查的時間點、調查的操作人、調查的內容進行選擇，通過清晰的視頻回放準確的定位操作行為。

（6）行為分析報表。能夠提供準確、詳細的審計報表，直觀的展現歷史過程。

此外，新一代的審計軟件還具備更為可靠、先進的核心業務非法訪問監測、惡意程序篡改進程、關鍵數據的訪問監測、多維度的行為分析和查詢、云終端用戶操作等行為審計等功能。

5 審計系統的建設

鑒于石油化工系統的信息安全、數據保密的重要性，在設計企業信息安全防護系統時要充分考慮到架構是否能夠有效的起到安全防護作用、規范作用，是否能夠為企業運營節省成本、提升企業運營效率等因素，因此在設計架構時要打破傳統安全防護的壁壘，在創新發展與嚴密管控之間找到平衡點，充分發揮出架構的優勢。

5.1 架構組成

架構由三個部分組成，分別是客戶部分、集中訪問控制部分、信息系統部分（見圖2）。

（1）客戶部分，包括IT管理人員、IT運維人員、IT外包人員、審計人員等。

（2）集中訪問控制部分，這里是審計系統的核心控制區，包括行為審計應用產品、審計數據存儲產品、訪問控制程序區（SSH、Putty、SecureCRT、遠程桌面等）。

（3）信息系統部分，包含企業的各個生產、銷售、物料等信息系統。

5.2 架構設計

方案采用應用虛擬化技術+智能審計解決方案，采用行業中技術領先的CitrixXenapp+AuditSys審計產品，構建一個安全的集中訪問平臺，將用戶與信息系統分隔開。

首先建立XenApp平臺，將遠程服務器和客戶機上的應用程序部署到XenApp平臺上，客戶端設備只需通過IE就可以運行應用系統，多用戶同時訪問時，由XenApp管理應用客戶端軟件的多進程訪問，并控制向不同用戶的權限，服務器與客戶端之間的數據傳輸只是屏幕變化和鼠標鍵盤的指令信息，而不傳輸任何實際操作數據，真實的數據傳輸發生在XenApp平臺與信息系統部分之間，從安全性角度分析，這種安全性接近于物理環境隔離。

然后在XenApp平臺上部署AuditSys產品，實現審計任何通過Xenapp平臺訪問的用戶會話，也可以審計任何通過遠程桌面、終端服務、PCANYWHERE等遠程協議訪問過來的會話，也可以審計通過KVM或者通過本地登的用戶會話，通過與Citrix XenApp的無縫集成，不僅可以構建一個安全的遠程集中訪問平臺，還可以對所有的用戶會話，管理員維護操作等用戶行為進行審計。

所有的行為審計過程需要完整的記錄并保存，這里部署了Auditsys App Server，保存了Auditsys記錄的完整的行為過程，為檢查人員、審核人員的安全檢查提供可靠依據。

5.3 架構優勢

XenApp集中化方法將所有應用程序和數據存儲都集中在數據中心服務器上，并把數據的管理嚴格控制在數據中心。

該方法從安全角度和先進角度出發，在安全防護方面做到了數據的不可復制，在該架構下，只有用戶界面、鍵盤敲擊和鼠標操作等小量交互信息通過網絡傳輸，且都是經過加密處理的。

XenApp上的應用程序需要上層管理者授權才能使用，保證了應用的管控和規范使用。

客戶部分使用計算機在完成數據操作時，只能夠看到所使用的數據，真正的數據依然存放在集中訪問控制部分和信息系統中，充分做到了數據的安全防護。

AuditSys具備功能強大的數據搜索引擎，支持細化的組合查詢、多條件選擇查詢，幫助用戶快速完成記錄搜索。

6 總 結

信息化是企業工業生產的重要驅動力，是企業可持續發展的重要因素，互聯網+工業是未來工業發展的方向，且工業信息化發展的前提又是信息安全，因此，企業信息安全防護系統做的好不好，企業信息安全管理規范，直接作用于企業的工業信息化發展，進而影響企業的發展動力、產品創新、技術產品等多個方面。而信息安全體系中，人員的管控的是最復雜、最困難的，信息工作中，能否通過有效的安全系統及時有效的發現、制止信息泄密事件，做到未雨綢繆；能否在發生泄密事件后，準確的查出泄密原因，找出泄密人員，亡羊補牢，這尤其需要企業在信息安全工作中重點考慮，以保證企業的信息安全防護系統堅固、夯實，以保證企業的信息化發展健康、穩步。

主要參考文獻

[1]鄧小榕，陳龍.安全審計數據的綜合審計分析方法[J].重慶郵電學院學報：自然科學版，2005（5）.

[2]許霆，袁萌，史美林.網絡監控審計系統的設計與實現[J].計算機工程與應用，2002（18）.

[3]鄧瑛，常國岑.網絡安全監控與審計系統的設計與實現[J]，計算機工程，2002（12）.

[4]張俊良.基于信息過濾的網絡安全審計系統的研究與實現[D].西安：西北大學，2009.

[5]曹暉，王青青.新型數據庫安全審計系統[J].計算機工程與應用，2007，43（5）：163-165.

[6]王淵，馬駿.一種基于入侵檢測的數據庫安全審計[J].計算機仿真，2007，24（2）：33-36.

[7]高彩容.基于數據挖掘的網絡安全審計技術研究[D].西安：西安電子科技大學，2008.

[8]韋猛，程克非.基于主機信息內容審計系統的設計與實現[J].重慶郵電大學學報，2008，20（6）：725-728.

[9]范紅，邵華.應用系統安全審計檢測研究[J].信息網絡安全，2012（8）：170-172.

第9篇：安全審計的類型范文

關鍵詞:信息安全;網格安全管理;SNMP

中圖分類號:TP393.08文獻標識碼:A文章編號:1009-3044(2009)13-3360-02

1 引言

當今信息安全技術主要包括密碼技術、身份認證、訪問控制、入侵檢測、風險分析與評估等諸多方面。在實際運用中,這些安全技術相互支持與協作,各自解決安全問題的某一方面。目前人們關注的重點在入侵檢測、密碼技術等,作為訪問控制沒有得到應有的重視,事實上訪問控制是一個安全信息系統下不可或缺的安全措施。訪問控制就是通過某種途徑顯式地限制對關鍵資源的訪問[1-2]。防止因非法用戶的侵入或合法用戶的不慎操作所造成的破壞。本文主要討論了主動式網絡安全監控系統,在分析主動式網絡監控系統設計基礎上,針對企業網非法接入防范子系統采用的SNMP協議進行相關分析。

2 網絡管理概述

隨著網絡技術的發展,網絡規模增大,復雜性也增加,以前的網絡管理技術已經無法適應這一情況,特別是由于以往的網絡管理系統往往是生產制造廠商在自已的網絡系統中開發的應用系統,很難對其它廠商的網絡系統、通信設備等進行管理,這種狀況很不適應網絡異構互聯的發展趨勢。網絡管理一般采用管理―的管理結構。網絡管理站是實施網絡管理的處理實體,駐留在管理工作站上,它是整個網絡系統的核心,完成復雜網絡管理的各項功能,如排除網絡故障、配置網絡等,一般位于網絡中的一個主機節點上。被管(簡稱)是配合網絡管理的處理實體,駐留在被管理對象上。被管監測所在網絡部件的工作狀況,收集有關網絡信息。公共網絡管理協議描述了管理器與被管之間的數據通信機制。

3 主動式網絡安全監控系統

3.1 需求分析

一般企業網內部資源的安全策略(諸如訪問權限、存取控制等)是基于IP地址進行的,如果入侵者利用管理方面的漏洞,盜取合法用戶的權限或IP地址,將會對企業內部造成重大損失,因此,系統主要從以下幾個方面考慮安全監控問題:

1)企業網內部主機資源的安全。 企業網內部主機除了應用傳統的防火墻、入侵檢測系統以外,還可應用強制訪問控制機制對本機內部的重要資源實施強制訪問控制保護;

2)入侵檢測。在發現非法攻擊或者非法用戶企圖操作主機文件時,可通過入侵檢測機制發現入侵者來源,阻斷入侵者的非法操作,記錄入侵主機相關信息等;

3)企業網的接入安全 企業網安全監控的另一主要目的即對企業網內部的非法接入進行監控,發現非法入網者,主動地采取相關措施避免和阻止類似情況的發生,實現企業網安全的外部屏障;

4)安全審計,監控系統應當具備記錄監控信息的能力;

5)通訊機制,除了各子系統本身的主動式的反應機制、通訊機制和控制機制以外,監控系統還應當建立通訊體系,向上級監控模塊提供安全監控信息,為管理機構制定相關策略提供有價值的參考。

3.2 ANSMS 系統設計方案

主動式網絡安全監控系統(ANSMS,Active Network Security Monitor System)從功能上可分為兩個子系統:主機強制訪問控制監控子系統(MACMS,Mandatory Access Control Monitor Subsystem)和企業網非法接入防范子系統(ICMS,Illegal Connection Monitor Subsystem)。主機強制訪問控制監控子系統主要分為四個模塊:強制訪問控制模塊、入侵檢測模塊、審計模塊和通訊模塊。

1)強制訪問控制模塊:建立和管理安全標簽庫,實現對用戶進程和文件安全標簽的管理,在對進程和文件的安全標簽進行比較后,根據相關規則決定進程對文件的操作權限和操作方式;

2)入侵檢測模塊,檢測網絡入侵操作并進行阻斷,記錄入侵主機的IP地址和入侵時間,將其記入安全日志當中;

3)安全審計模塊 對強制訪問控制的監控信息進行安全審計,記錄入侵主機和非法操作進程,統計和審核,對高危險性和頻繁多發的操作進行分類和統計;

4)通訊模塊 與安全監控模塊實現通訊,及時地通報和匯總安全信息。企業網非法接入防范子系統主要分為四個模塊:非法接入的檢測模塊、非法接入的處理模塊和審計模塊。

4 企業網防范非法接入監控子系統

4.1 非法接入防范策略

非法接入是指沒有經過科技部門允許直接將各類計算機和移動設備接入內聯網的行為。網絡上出現不經常使用的IP、IP和MAC映射表與科技部門認定的不一致等現象,都可以認為是非法接入。這類非法事件雖不是暴力入侵,但可能在內聯網傳播病毒、移植木馬和泄露內聯網業務機密信息等嚴重的后果,而且發生的主要原因是內控措施不利和內部人員的安全意識不夠,所以很難預防和控制。

非法接入的主要途徑――IP 地址盜用侵害了 Internet 網絡的中正常用戶的權益,并且給網絡計費、網絡安全和網絡運行帶來巨大的負面影響,因此解決 IP地址盜用成為當前一個迫切的問題。基于IP盜用的非法接入的形式繁多,常見的主要有以下幾種:不經過系統分配自己配置IP地址;修改 IP-MAC 地址對為合法用戶的地址;收發數據包時修改IP 地址。

在上述防范措施的基礎上,結合用戶認證和IP-MAC-PORT三者綁定的技術,首先確保合法用戶通過認證,再通過SNMP協議編寫相關的網絡管理軟件,輪詢交換機等網絡設備,獲取當前網絡中主機的IP地址和MAC地址等信息,與原始IP-MAC對照表進行比對,進而發現非法的IP地址和接入點。企業網監控著重于監控網絡當前主機狀況,發現非法接入點,采取相關行動阻止非法用戶接入網內。具體的設計方案為:用戶注冊模塊,IP盜用檢測模塊,IP盜用處理模塊,安全審計模塊,通訊模塊和安全監控模塊。

4.2 簡單網絡管理協議 SNMP

SNMP 的網絡管理模型包括以下關鍵元素:管理站、者、管理信息庫、網絡管理協議。管理站一般是一個分立的設備,也可以利用共享系統實現。管理站被作為網絡管理員與網絡管理系統的接口。SNMP 中的對象是表示被管資源某一方面的數據變量。對象被標準化為跨系統的類,對象的集合被組織為管理信息庫(MIB,Management Information Base)。MIB 作為設在者處的管理站訪問點的集合,管理站通過讀取 MIB 中對象的值來進行網絡監控。管理站可以在者處產生動作,也可以通過修改變量值改變者處的配置。

SNMP 的規范 SMI(Structure of Management Information)為定義和構造MIB提供了一個通用的框架。同時也規定了可以在MIB中使用的數據類型,說明了資源在 MIB 中怎樣表示和命名。SMI 避開復雜的數據類型是為了降低實現的難度和提高互操作性。MIB 中的每個對象類型都被賦予一個對象標識符(OID),以此來命名對象。另外,由于對象標識符的值是層次結構的,因此命名方法本身也能用于確認對象類型的結構。

在 TCP/IP 網絡管理的建議標準中,提出了多個相互獨立的 MIB,其中包含為 Internet 的網絡管理而開發的 MIB-II。管理站和者之間以傳送 SNMP 消息的形式交換信息。每個消息包含一個指示 SNMP 版本號的版本號,一個用于本次交換的共同體名,和一個指出 5 種協議數據單元之一的消息類型。

4.3 非法接入防范子系統

SNMP++是一套 C++類的集合,它為網絡管理應用的開發者提供了 SNMP 服務。SNMP++并非是現有的 SNMP 引擎的擴充或者封裝。事實上為了效率和方便移植,它只用到了現有的 SNMP 庫里面極少的一部分。SNMP++也不是要取代其他已有的 SNMPAPI,比如 WinSNMP。SNMP++只是通過提供強大靈活的功能,降低管理和執行的復雜性,把面向對象的優點帶到了網絡編程中?？梢岳肧NMP++來實現非法接入防范子系統的設計相關工作。在具體過程中需要考慮:

1)非法用戶只修改IP地址,通過比較原始IP地址分配表可發現非法的IP地址,進而關閉其端口,阻止其接入企業網;

2)非法用戶成對修改 IP-MAC 地址方面。

5 結束語

隨著 Internet 的運用愈加廣泛,網絡安全和信息安全的問題日益突出,入侵主機通過修改相關設置入侵企業網并在網內主機上安置木馬程序,對企業網內部資源造成很大的危害,嚴重影響了企業網內部資源的共享和保密性要求。論文提出的主動式網絡安全監控可有效的解決本地和網絡入侵以及外部非法接入的隱患,具有較高的安全性、易用性和可擴展性。

參考文獻: