精华内容
下载资源
问答
  • 大势至共享文件审计系统

    热门讨论 2012-12-24 14:56:52
    通过大势至共享文件审计系统你可以详细审计局域网电脑访问服务器共享资源的情况,包括新建、拷贝、修改、删除、重命名等操作,也即:某个电脑访问共享文件后的一切操作、访问日志都被详细地记录下来(并且通过一定的...
  • 信息系统安全

    2016-09-21 08:35:34
    信息系统的安全,包括计算机实体及其信息的机密性 、完整性 、抗否认性、可用性和可审计性。 机密性----信息不被非授权访问 完整性----信息不可被非授权篡改 抗否认性-----保障用户无法再事后否认曾经对信息进行...

    信息系统的安全,包括计算机实体及其信息的机密性 、完整性 、抗否认性、可用性和可审计性。

    机密性----信息不被非授权访问

    完整性----信息不可被非授权篡改

    抗否认性-----保障用户无法再事后否认曾经对信息进行的生成、签发、接收等行为

    可用性-----保障信息资源随时可提供服务

    可审计性-----可对计算机系统工作过程进行详细的跟踪

    展开全文
  • 涉密信息系统“三员”是指系统管理员、安全保密管理员和安全审计员。系统管理员主要负责系统的日常运行维护工作;安全保密管理员主要负责系统的日常安全保密管理工作包括用户账号管理以及安全保密设备和系统所产生...

    涉密信息系统建设管理
    涉密信息系统“三员”是指系统管理员、安全保密管理员和安全审计员。系统管理员主要负责系统的日常运行维护工作;安全保密管理员主要负责系统的日常安全保密管理工作,包括用户账号管理以及安全保密设备和系统所产生日志的审查分析;安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计、跟踪、分析和监督检查,以及时发现违规行为,并定期向安全保密管理机构汇报相关情况。“三员”权限设置应相互独立,相互制约,相互之间不得兼任或者替代。 [6]
    涉密信息系统“三员”应具备信息安全保密知识和业务技能,认真履行岗位职责,积极完成与职责相关的工作,按照有关保密标准的要求建立健全工作记录和日志文档,并妥善保存;“三员”应掌握常见安全产品的适用方法和技术手段,熟悉数据库、操作系统、网络设备和应用系统的安全知识和技术防护措施;“三员”应当定期接受管理和业务方面的集中培训,熟练掌握国家保密法规和标准要求,不断提高技术技能和管理水平。 [6]
    管理改进
    1、根据实际工作需要足额配备“三员”
    “三员”应当设置独立的工作权限,实现相互监督、相互制约,相互之间不得兼任或者替代;单位“三员”应该设立A、B角,互为备份;单位应该按照最大化原则配备“三员”以满足日常运维工作;无涉密信息系统仅使用涉密计算机的单位,应当配备安全保密管理员。
    2、扎实做好“三员”上岗前及上岗后的技能培训
    “三员”上岗前需要参加有关部门组织的培训,具备上岗能力后方可上岗;“三员”上岗后要定期参加安全保密管理和专业技能方面的培训,熟练掌握国家信息安全保密法规和标准要求,不断提高技术技能和管理水平。
    3、从技术和管理上做好对“三员”的监督工作
    在系统运行维护过程中,如果可以从技术上实现配置变更两人操作方可生效,则将该项配置的变更职责分属于两人;如果从技术上不能实现,则通过管理手段实现:要求一人完成配置变更,其操作日志由另一人负责审计。还可以通过部署堡垒主机等技术手段加强对“三员”的监督。
    4、相关管理员也应该纳入“三员”管理范畴
    网络管理员、数据库管理员、应用系统管理员不是“三员”,不在单位的正式“三员”名单中,但是应当纳入“三员”的管理范畴。以涉密应用系统为例,可以参照“三员”模式分别设立系统管理员、安全保密管理员、安全审计员。系统管理员注册用户账号、注册角色名称;安全保密管理员为用户和角色赋权并使账号生效,审计用户操作;安全审计员审计系统管理员和安全保密管理员的操作。
    管理原则
    (1)适度安全的原则:由于信息泄露、溢用、非法访问或非法修改而造成的危险和损害相适应的安全。没有绝对安全的信息系统(网络),任何安全措施都是有限度的。关键在于“实事求是”、“因地制宜”地去确定安全措施的“度”,即根据信息系统因缺乏安全性造成损害后果的严重程度来决定采取什么样的安全措施。
    (2)按最高密级防护的原则:涉密信息系统处理多种密级的信息时,应当按照最高密级采取防护措施。
    (3)最小化授权的原则:涉密信息系统的建设规模要最小化,非工作所必需的单位和岗位,不得建设政务内网和设有内网终端;其次,涉密信息系统中涉密信息的访问权限要最小化,非工作必需知悉的人员,不得具有关涉密信息的访问权限。
    (4)同步建设、严格把关的原则:涉密信息系统的建设必须要与安全保密设施的建设同步规划、同步实施、同步发展。要对涉密信息系统建设的全过程(各个环节)进行保密审查、审批、把关。要防止并纠正“先建设,后防护,重使用,轻安全”的倾向,建立健全涉密信息系统使用审批制度。不经过保密部门的审批和论证,信息系统不得处理国家秘密信息。
    (5)内、外网物理隔离的原则。即“涉及国家秘密的通信、办公自动化和计算机信息系统不得直接或间接与国际互联网或其他公共信息网络相连接,必须实行物理隔离。
    (6)安全保密措施与信息密级一致的原则。涉密信息系统应当采取安全保密措施,并保证所采取措施的力度与所处理信息的秘密等级相一致。
    (7)资格认证的原则。涉密信息系统安全保密全面解决方案的设计、系统集成及系统维修工作,应委托经过国家保密部门批准授予资质证书的单位承担。涉密系统不得采用未经国家主管部门鉴定、认可的保密技术设备,更不准使用国外进口的各类安全防范产品包括软件。
    (8)以人为本、注重管理的原则:涉密信息系统的安全保密三分靠技术,七分靠管理。加强管理可以弥补技术上的不足;而放弃管理则再好的技术也不安全。
    在这里插入图片描述
    保密规定
    编辑
    1、规划和建设计算机信息系统,应当同步规划落实相应的保密设施。
    2、计算机信息系统的研制、安装和使用,必须符合保密要求。
    3、计算机信息系统应当采取有效的保密措施,配置合格的保密专用设备,防泄密、防窃密。所采取的保密措施应与所处理信息的密级要求相一致。
    4、计算机信息系统联网应当采取系统访问控制、数据保护和系统安全保密监控管理等技术措施。
    5、计算机信息系统的访问应当按照权限控制,不得进行越权操作。未采取技术安全保密措施的数据库不得联网。
    系统建设
    涉密信息系统的建设应当选择具有“涉密信息系统集成资质”的单位承担或者参与涉密信息系统的设计与实施。
    涉密信息系统使用的信息安全产品原则上应当选用国产产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
    涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构,依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对建成的涉密信息系统进行安全保密测评。
    涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。

    分级保护
    通常情况下对涉密信息系统施以保护都是按照分级原则进行分级实施的。涉密系统的安全管理级别分为绝密级、机密级、秘密级,有效分级后,才能更进一步实施分级保护,提升管理效能,提升安全标准。
    1、秘密级
    信息系统当中包含有秘密级的国家秘密,其总体的防护水平不应该低于国家信息安全等级保护三级的要求,信息系统应该达到分级保护的技术标准。
    2、机密级
    信息系统当中包含有机密级国家秘密,其防护水平不应低于国家信息安全等级保护四级要求,同时,还需要符合分级保护的保密技术要求。
    3、绝密级
    信息系统当中包含有绝密级国家秘密,其防护水平应不低于国家信息安全等级保护五级要求,需符合分级保护的保密技术要求。同时,绝密级涉密信息系统应该被建设并应用到封闭的场地建筑之内,不能与外网连接。

    展开全文
  • ——记南海审计信息化来源:信息化建设 日前,国家审计署对55个中央部门和单位的2003年度预算执行情况进行了审计,此次审计工作中显现的诸多问题引发了人们对完善审计工作的深入思考。“工欲善其用,必先利其器”,...

    ——记南海审计信息化<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

    来源:信息化建设

        日前,国家审计署对55个中央部门和单位的2003年度预算执行情况进行了审计,此次审计工作中显现的诸多问题引发了人们对完善审计工作的深入思考。“工欲善其用,必先利其器”,“审计透明”的浪潮呼唤着审计信息化的成熟。
        对金审工程而言,应用系统建设是重点和难点。它主要包括行政办公系统、计算机辅助审计系统、审计支持系统、审计决策系统、政务公开系统等五部分。作为国内领先的电子政务应用软件提供商,用友政务积蓄研发实力推出“联网审计”这一高端应用软件产品,2002年起至今已经规划实施了南海审计、深圳审计、宜昌审计等实效卓越的信息化项目。


    酝 酿

    南海---珠江三角洲腹地中国最富庶的县,国家级电子政务应用试点城市之一,建有中国最完善的电子政务平台,并在此基础上完成了基于提高政府办事效率的一站式办公的建设;基于政务透明的政府网站建设;从源头控制财政资金提高资金使用效率的结算中心建设;让农民看得见、摸的着的村务公开建设等……在中国电子政务应用领域,南海取得了诸多骄人业绩。
        2001年的南海审计局仅有18个在编人员,经过多次的讨论和考察,在年底南海审计做出了一个令人难以相信的决定:由一个副局长和五个业务骨干组成审计信息化领导小组,不再负责其他审计业务,全职负责信息化工作。南海审计局的改革决心和愿望很快得到了来自来自省厅和政府的支持,2002年3月,广东省审计厅将南海市审计局列入广东省审计信息化试点单位;2002年4月,南海市政府审批同意南海审计信息化项目,并下达了项目立项文件。2002年6月,南海市审计局通过政府采购中心进行了软件公开采购,最终确定了北京用友政务软件公司为合作伙伴共同进行审计信息化开发。


    变 革

                                  人才建设
    “信息化的建设,归根结底在于人才的建设”,建设一流的审计信息化,必须有一流的审计信息化人才。南海审计局从一开始就注重人才的培养,采取了走出去,请进来等多种方式进行公务员培训;譬如组织项目组成员参加了东北大学在当地的信息化远程教育课程,并要求所有人员参加英语培训等,并邀请用友政务公司的计算机专家进行信息化方面的相关培训,并组织项目组到信息化先进的地区进行考察学习等等。
                                      系统建设
        关于系统建设,审计局项目组和用友政务公司项目组共同坚持高起点、高质量、高标准的建设原则,严格按照审计署关于金审工程的统一规划,并结合国家电子政务建设大环境的要求进行。从模式上采用目前流行的“B/S”技术架构和“网络审计”模式。
        在系统设计时为了更好地实现金审工程的统一规划,将整个审计机关信息化系统设计为数据采集与转换系统、审计预警系统、审计作业系统和审计信息系统四个子系统,在应用上很好地解决了计算机在审计工作中的“管”与“用”的协调。一方面利用互联网络技术和大型数据库技术实现了对分散信息的统一管理,另一方面通过审计数据采集与转换以及审计作业系统的建设又满足了审计人员在审计作业中的“用”的需求。
                                 网络安全建设
        南海拥有我国第一个电子政务平台,南海市审计全面信息化系统正是基于该平台进行建设的,目前该系统已经平稳地运行在该平台上,并实现了和会计核算中心的实时在线数据采集。从网络安全上考虑,南海审计局在进行网络建设时参照国家电子政务建设的“两网一站四库十二金”的要求,单位局域网和电子政务专网实现了物理隔离,并采用了防火墙、隔离卡等多种安全手段来保证系统和数据的安全。
                                   基础标准建设
        南海审计局在进行信息化建设的同时,非常注意基础标准和经验的积累,在收集国家相关标准和编码的同时,自己整理了一套完整的审计信息化基础标准,包括行业代码、会计制度、底稿代码等等。


                                     成功
        一份耕耘、一份收获!在广东省审计厅、南海市审计局、用友政务公司的共同努力下,南海审计联网审计暨机关全面信息化工程在2004年4月28日进行了全面验收。该项目填补了国内基层单位在联网审计暨机关全面信息化的空白,很好地实现了金审工程所提出的“一个模式、三个转变”的原则;实现了“预算跟踪+联网核查”,实现了从单一的事后审计向事后审计与事中审计相结合的转变、从单一的静态审计向静态与动态审计相结合的转变、从单一的现场审计向现场审计与远程审计相结合的转变。
    应用效果
        实现了从被审计单位电子数据到审计数据的转换;通过审计预警分析系统与作业系统的的巧妙结合应用,借助互联网络技术,有效地实现了“金审工程”建设要求的“一个模式”和“三个转变”;通过审计作业系统的应用,提供了大量的审计工具,提高了审计实施的效率,并将审计项目质量控制贯穿始终;通过审计信息系统的应用,将分散的信息统一的管理起来,促进了审计信息集合,形成共享;通过办公自动化系统,实现业务系统和办公系统的数据交互,实现了审计业务和行政办公的协同;提供政务公开功能,接受群众和相关领导监督,加强了廉政建设;建成审计对象库、审计法规库、审计案例库等系列审计数据库,提高了计算机的审计支持力度,提高了审计效率;五个系统全面运行,信息化全面覆盖审计机关各业务部门,消除了各业务部门信息壁垒,局内办公信息交互共享;实现从数据采集到作业、信息管理全过程联网的模式,完全符合金审工程的整体规划;软件采用B/S、“平台/部件”等技术架构,具有非常长的技术生命期;与电子政务平台连为一体,具备充分的可扩展性。
    众所瞩目
        “不积跬步,无以致千里;不积小河,无以成江海”,每一点成绩的取得都离不开项目团队的努力和各级领导的指导。2003年2月,该项目上报审计署和国信办,一个月后审计署批复“南海区审计局作为基层审计机关联网审计试点,列入审计署金审工程试点单位”。2004年2月,国务院信息化工作领导小组办公室副主任杨学山在广东省信息产业厅和审计厅,佛山市、南海区党政领导的陪同下,视察南海区审计局审计信息化建设情况。此外,在此期间,南海审计局多次接待同行的信息化参观和考察。
    (项目实施单位:北京用友政务软件技术有限公司)

     

    展开全文
  • 配置审核(配置审计)的任务是验证配置项对配置标识的一致性。实施配置审计以维护配置...这种验证包括: 配置审核工作主要集中在两个方面,一是功能配置审核,即验证配置项的实际功效是与其信息系统需求是一致的;二是
        配置审核(配置审计)的任务是验证配置项对配置标识的一致性。实施配置审计以维护配置基线的完整性,配置审计确认最终的基线和文件有遵照特定标准或需求,并适当记录审计结果。信息系统开发的实践表明,尽管对配置项做了标识,实施了变更控制和版本控制,但如果不做检查或验证,仍然会出现混乱。这种验证包括:
        配置审核工作主要集中在两个方面,一是功能配置审核,即验证配置项的实际功效是与其信息系统需求是一致的;二是物理配置审核,即确定配置项符合预期的物理特性。
        功能配置审核包括按测试数据审核正式测试文档、审核验证和确认报告、评审所有批准的变更、评审对以前交付的文档的更新、抽查设计评审的输出、对比代码和文档化的需求、进行评审以确保所有测试已执行。另外,功能配置审核还可以包括依据功能和性能需求进行额外的和抽样的测试。
        物理配置审核是进行审核以验证每个构建的配置项符合相应的技术文档,以及配置项与配置状态报告中的信息相对应。物理配置审核包括审核系统规格说明书的完整性,审核功能和审核报告,了解不符合时采取的措施,比较架构设计和详细设计构件的一致性,评审模块列表以确定符合已批准的编码标准,审核手册(例如,用户手册、操作手册等)的格式、完整性和与系统功能描述的符合性等。
        更多知识点及相关历年考题请在应用宝找简练,项目忙还想过软考,您需要简练!
    展开全文
  • Nmap以新颖的方式使用原始IP报文来发现网络上有哪些主机,那些主机提供什么服务(应用程序名和版本),那些服务运行在什么操作系统(包括版本信息), 它们使用什么类型的报文过滤器/防火墙,以及一堆其它功能。...
  • 配置管理的目的在于运用配置标识、配置控制、配置状态统计和配置审计,建立和维护工作产品的完整性。 配置管理过程包括七个管理过程: 1、制订配置管理计划:说明配置管理相关的人员职责、进度安排以及配置管理...
  • 其它:1、质量保证开展的工作包括预防和检查,能够影响产品的质量。2、质量保证部门(QA)或类似部门,属于单独部门,经常要对质量保证活动进行监督。 2、IPO图(如下) 3、输入依据 质量管理计划—指.
  • 主要内容包括数据仓库的设计与建造步骤,传统系统到数据仓库的迁移,数据仓库的数据粒度、数据分割、元数据管理、外部数据与非结构化数据,分布式数据仓库、高级管理人员信息系统和数据仓库的设计评审等。...
  • CISA 国际注册信息系统审计师 信息安全演练培训服务 网络渗透测试能力实践课程 网络攻防技术实践培训课程 云计算架构与实践高级课程 重大安全事件应急响应服务 应急预案及演练服务 编制重大安全事件应急...
  • 三、实施质量保证1、概述(对象:工作的过程,保证过程符合要求以及进行过程改进)概念:1、又称质量管理...其它:1、质量保证开展的工作包括预防和检查,能够影响产品的质量。2、质量保证部门(QA)或类似部门,属于...
  • 三、实施质量保证 1、概述(对象:工作的过程,保证过程符合要求以及进行过程改进)概念:1、又称...其它:1、质量保证开展的工作包括预防和检查,能够影响产品的质量。2、质量保证部门(QA)或类似部门,属于单独部门...
  • 信息技术服务标准(ITSS)

    千次阅读 2018-10-16 16:27:25
    信息技术服务标准(ITTS)定义了IT服务的核心要素由:人员、过程、技术和资源组成,并对这些IT服务的组成要素进行标准化。 人员(正确选人)、过程(正确做事)、技术(高效做事)、...ISACA公告是信息系统审计与...
  • 深入解析WINDOWS操作系统(第4版).pdf

    热门讨论 2012-12-04 16:41:15
    《深入解析:Windows操作系统》(第4版)全书内容丰富、信息全面,主要包括的Windows操作系统深度知识有:理解Windows的关键机制,包括系统服务分发和调度机制、启动和停机,以及注册表;挖掘Windows的安全模型,包括...
  • 附件2 信息系统安全等级(分级)保护工作责任书 9 附件3 信息安全保密工作责任书 11 附件4 信息安全风险评估工作责任书 13 附件5 信息安全应急响应工作责任书 15 附件6 安全管理员职责说明书 17 附件7 ...
  • 系统运行阶段的主要任务是进行系统的日常运行管理、评价、审计工作。 2.2 原型开发方法 2.2.1 原型的概念 原型开发方法首先有用户提出开发要求,开发人员识别和归纳用户需求,根据识别、归纳的结果,构造出一个原型...
  • 包括许多端口扫描机制(包括TCP和UDP),操作系统检测,版本检测,ping扫描,等等。请参阅文档页面。 功能强大:Nmap的已被用来扫描字面上机数十万庞大的网络。 便携性:大多数操作系统都支持,包括Linux,微软的...
  • 为规范信息安全管理工作,加强过程管理和基础设施管理的风险分析及防范,建立安全责任制,健全安全内控制度,保证信息系统的机密性、完整性、可用性,特制定本规定。 第3条 管理对象指组成计算机信息系统的系统、...
  • 系统包括密文生成模式和密文使用模式: 密文生成模式与目前市场上同类产品相同,采用强制加密技术将符合系统策略的机密文件进行加密,密文使用模式则由“鸿智安科”创新推出,采用选择性加解密技术只对原本是密文的...
  • 千里马酒店前台管理系统V7使用手册

    热门讨论 2011-06-16 14:09:38
    V7.2前台系统包括客房预订、客人接待、收银管理、夜间稽核、客房管家、问讯留言、礼宾服务、公关销售、报表系统、基本设置、系统管理、外围接口、常用工具等功能模块。 酒店前台管理是一个流程复杂、实时性强的系统...
  • 全书内容丰富、信息全面,主要包括的Windows操作系统深度知识有:理解Windows的关键机制,包括系统服务分发和调度机制、启动和停机,以及注册表;挖掘Windows的安全模型,包括访问控制、特权和审计;利用内核调试器...
  • 基本信息 原书名: Fundamentals of Database Systems (5th Edition) 原出版社: Addison Wesley 作者: (美)Ramez Elmasri Shamkant B. Navathe [作译者介绍] 译者: 邵佩英 徐俊刚 王文杰 丛书名: 图灵计算机科学...
  • 国家指定信息安全监管职能部门通过备案指导检查督促整改等方式对重要信息和信息系统的信息安全保护工作进行指导监督国家重点保护涉及国家安全经济命脉社会稳定的基础信息网络和重要信息系统主要包括国家事务处理信息...
  • 日志文件可以记录系统在什么时间、哪个主机、哪个服务、出现了什么信息等内容,这些信息包括用户识别数据。系统故障排除须知等信息,善于利用这些日志信息,当系统出现出现错误时,可以从日志信息定位问题找到解决...
  • 内审与内控

    2010-06-20 14:08:24
    主要满足中国移动进行内部控制和管理的需求、对内控工作人员提供系统支撑的需求以及外部审计师的审计需求,旨在减少手工操作,提高工作效率,降低公司内控风险,实现内控管理工作的自动化、常态化。  内控系统...
  • 在本教程中,我已经收集了10个给 Linux 用户的有用工具,其中包括各种网络监控,系统审计和一些其它实用的命令,它可以帮助用户提高工作效率。我希望你会喜欢他们。 1. w 显示谁登录了系统并执行了哪些...
  • 在本教程中,我已经收集了10个给 Linux 用户的有用工具,其中包括各种网络监控,系统审计和一些其它实用的命令,它可以帮助用户提高工作效率。我希望你会喜欢他们。 1. w 显示谁登录了系统并执行了哪些...

空空如也

空空如也

1 2 3
收藏数 59
精华内容 23
关键字:

信息系统审计工作包括