第一篇:金融与审计系统
金融与审计系统一、中国人民银行主要职责
中国人民银行的主要职责为:
(一)起草有关法律和行政法规;完善有关金融机构运行规则;发布与履行职责有关的命令和规章。
(二)依法制定和执行货币政策。
(三)监督管理银行间同业拆借市场和银行间债券市场、外汇市场、黄金市场。
(四)防范和化解系统性金融风险,维护国家金融稳定。
(五)确定人民币汇率政策;维护合理的人民币汇率水平;实施外汇管理;持有、管理和经营国家外汇储备和黄金储备。
(六)发行人民币,管理人民币流通。
(七)经理国库。
(八)会同有关部门制定支付结算规则,维护支付、清算系统的正常运行。
(九)制定和组织实施金融业综合统计制度,负责数据汇总和宏观经济分析与预测。
(十)组织协调国家反洗钱工作,指导、部署金融业反洗钱工作,承担反洗钱的资金监测职责。
(十一)管理信贷征信业,推动建立社会信用体系。
(十二)作为国家的中央银行,从事有关国际金融活动。
(十三)按照有关规定从事金融业务活动。
(十四)承办国务院交办的其他事项。
二、审计署主要职责
中华人民共和国审计署是根据1982年12月4 日五届全国人民代表大会第四次会议通过的《中华人民共和国宪法》第91条的规定,于1983年9月15日正式成立的。审计署是国务院28个组成部门之一,在国务院总理领导下,主管全国的审计工作。审计长是审计署的行政首长,是国务院组成人员。按照九届全国人民代表大会第一次会议批准的国务院机构改革方案和国务院办公厅关于审计署职能配置、内设机构和人员编制的规定,审计署的主要职责是:
一、拟定审计方针政策,参与制定审计、财经方面的法律、法规;制定审计规章制度并监督执行情况;办理地方性审计法规和规章的备案审查;组织领导、协调监督各级审计机关的业务。
二、向国务院报告和向国务院有关部门通报审计情况,提出制定和完善有关政策法规、宏观调控措施的建议。
三、依据《中华人民共和国审计法》的规定,直接进行下列审计:
(一)中央财政预算执行情况和其他财政收支。
(二)中央各部门、事业单位及下属单位的财务收支。
(三)省级人民政府预算的执行情况和决算。
(四)中央银行的财务收支和中央金融机构的资产、负债和损益状况。
(五)国务院各部门管理的和受国务院委托由社会团体管理的社会保障基金、环境保护资金、社会捐赠资金及其他有关基金、资金的财务收支。
(六)国际组织和外国政府援助、贷款项目的财务收支。
(七)其他法律法规规定应由审计署进行的审计。
四、向国务院总理提交中央预算执行情况的审计结果报告;受国务院委托向全国人大常委会提出中央预算执行情况和其他财政财务收支审计工作报告。
五、组织实施对贯彻执行国家财经方针政策和宏观调控措施情况的行业审计、专项审计和审计调查;组织地方审计机关对党政领导干部进行任期经济责任审计;依法受理被审计单位对审计机关审计决定的复议申请。
六、与省级人民政府共同领导省级审计机关,协同办理省级审计机关负责人的任免事项;管理派驻地方的审计特派员办事处。
七、根据有关法律法规和国务院规定,配合稽察特派员对国有重点大型企业和国家重点建设项目进行审计监督;组织对其他国有企业和国家建设项目的审计监督。
八、组织实施对内部审计的指导与监督;监督社会审计组织的审计业务质量;组织审计专业培训。
九、组织开展审计领域的国际交流活动。
十、承办国务院交办的其他事项。
三、审计署的机构设置
为履行职责,审计署设置了下列机构:
14个职能司(厅):办公厅、法制司、财政审计司、金融审计司、行政事业审计司、经贸审计司、农业与资源环保审计司、社会保障审计司、固定资产投资审计司、外资运用审计司、外事司、人事教育司、直属机关党委、离退休干部局。
(另有:中央纪委、监察部驻审计署纪检组、监察局)
7个直属事业单位:计算机技术中心、机关服务局、审计科研所、干部培训中心、中国时代经济出版社、中国审计报社、国外贷款项目审计服务中心。
25个派出审计局:外交外事审计局、发展计划审计局、经济审计一局、经济审计二局、贸易审计局、国防工业审计局、教育审计局、科学技术审计局、政法审计局、民族宗教审计局、监察人事审计局、资源环保审计局、社会保障审计局、建设建材审计局、交通运输审计局、信息邮政审计局、农林水审计局、文化体育审计局、卫生药品审计局、海关审计局、经济执法审计局、新闻通讯审计局、旅游侨务审计局、科学工程审计局、地震气象审计局。
18个审计特派员办事处: 京津冀特派员办事处、太原特派员办事处、沈阳特派员办事处、哈尔滨特派员办事处、上海特派员办事处、南京特派员办事处、武汉特派员办事处、广州特派员办事处、郑州特派员办事处、济南特派员办事处、西安特派员办事处、兰州特派员办事处、昆明特派员办事处、成都特派员办事处、长沙特派员办事处、深圳特派员办事处、长春特派员办事处、重庆特派员办事处。
审计署主管《中国审计报》、《中国审计》、《审计研究》、《中国内部审计》及《中华人民共和国审计署审计结果公告》等报刊杂志。
审计署历任审计长是:于明涛、吕培俭、郭振乾、李金华。
第二篇:金融审计习题
金融审计作业
一、判断题
1.审计分析的方法有定量分析和定性分析,应注重定量分析与定性的结合2.审计人员为了收集证据,完成审计任务,无论在什么情况下都不应该考虑取得证据的成本。
3.审计工作的核心环节是在审计实施阶段收集证据和核实问题。
4.如果某金融机构的内部控制设计良好,健全有效,且能认真遵照执行,那么该单位不可能存在什么违规违章问题。
5.审计依据的时效性,是指经济业务发生时该项审计依据是否适用,而不是指审计时是否适用。
6.审计的目的就是对商业银行的业务和财务活动的真实性、合法性、安全性和效益性等作出判断。
7.对商业银行贷款“三查”制度执行情况的稽核重点在于检查是否建立了“三查”制度。
8.稽核报告定稿后,其内容应向被稽核单位全部公开,有利于其改进工作。
9.金融审计的内容是指银行及非银行金融机构。
10.被审计单位在接到“稽核结论和处理决定”后,若对结论有意见和处理决定不服,可以在15日内向上级金融机构申请复议。
11.对结算账户使用情况的审计,应特别注意审查存款人的工资、奖金等现金的支取是否通过基本存款账户办理的。
12.对商业银行的存贷款比例一般控制在85%,如果超过这一警戒线,说明该行已经在超负荷运转,应对其坚决监督。
二、填空题
1.审计证据按其形态分类,可分为实物证据、证据和证据。
2.审计的性质是一种独立性的活动。
3.为避免因某个借款户经营不善、资金周转不灵而造成银行信贷资金大量损失,分散风险,保障银行资产安全,规定对同一个借款户贷款比例不能超
过,对最大十家借款户贷款比例不能超过。
4.审查贷款政策的执行情况,主要应检查贷款的贷款的量
和贷款的执行情况。
5.描述内部控制制度的方法主要有三种,即法和法。
6.审计具有经济监督、、的职能。
7.审计工作程序分为四个阶段:准备阶段、处理阶段。
三、单项选择题
1. 下列各项中属于实物证据的是
A、会计凭证B、现金
C、账簿D、揭发材料
2.审计准备阶段中最重要工作是__________
A、发出调查问卷B、确定项目
C、收集资料D、制定和审定方案
3.下列各项指标中,哪一个是检查贷款投量的指标
A、存贷款之比不得超过75%
B、一年以上的中长期贷款与一年期以上的存款之比不超过120%
C、贷款资产占总资产的比例不得超过65%
D、表外科目核算不规范流动性资产与流动性负债的比例不低于25%
4.资金营运部门对银行营运资金进行的高度和余缺调剂,涉及、系统
内备付金存款、系统内借款、系统内定存款、法定存款准备金、二级存款准备金,库存现金、拆借现金、债券资金等。
A、人民银行备付金存款B、汇出汇款
C、银行存款
5.以下检查银行资金流动性的指标中,哪个指标必须超过A、资本充足率B、中央银行存款备付金率
C、存贷款率D、法定存款准备金率
E、呆滞贷款率
6.审计过去的经济业务,应当以_________的法规、制度、规范来衡量。
A、当时的B、现行的C、当时的结合现行的7.进行全面审计时,一般采用__________法。
A、抽查法B、译查法C、观察法
8.审计依据的种类繁多,各种法规、规定,如有相互抵触的,应该_________依据为准。
A、以发布时间最早的B、不论层次高低,都要先后采用
C、以高层次的9.拆借资金业务的最长期限是
A、90天B、60天C、30天
D、10天E、7天
10.金融机构的资金拆借一律要通过账户进行清算资金。
A、存放系统内款项B、系统内存放款项
C、存放中央银行款项D、存放同业款项
11.以下违规表现,哪一种属于财务违规
A、担保不实,流于形式
B、违规收费,帐外私设小金库
C、呆帐准备金的计提及使用不规范
D、表外科目核算不规范
12.审计证据的证据力大小,您认为下述哪一个排列是正确的A、实物证据>口头证据>书面证据
B、实物证据>书面证据>口头证据
C、口头证据>书面证据>实物证据
D、书面证据>实物证据>口头证据
四、多项选择题
1.审查贷款政策的执行情况,主要应检查____________的执行情况。
A、贷款的投向B、贷款的次数
C、贷款的投放量D、贷款的日期
E、贷款的利率
2.金融企业的利润总额,按规定应等于____________之和,因此,利润计算审计,就是对上述的真实性、完整性及利润总额调整的审计。
A、营业利润B、额外利润C、投资收益
D、营业外收支净额E、保险给付
3.盘点的方法一般有____________
A、审阅B、点数C、测量
D、核帐E、过秤
4.利率执行情况的审查,主要审查以下内容____________
A、基准利率审查B、加息罚息的审查
C、巧立名目变相提高利率D、浮动利率的审查
E、对于贷款停息、减息、缓息和免息的审查
5.对贷款利息收入的审计的要点是
A、贷款期限和利率是否合规
B、利息计算方法是否正确
C、利息是否入账
D、应收未收利息是否执行权责发生制原则
6.对存款业务审计的主要内容包括
A、单位存款管理情况B、单位存款真实性检查
C、储蓄存款政策和原则执行情况D、存款支付能力情况
7.支付结算的三个原则是
A、有效性B、恪守信用,履约付款
C、全面性D、相对独立性
E、谁的钱进谁的帐,由谁支配F、银行不垫款
8.下列审计中,属于内部审计。
A、某总公司对下属一支公司的审计
B、某银行的分行审计处对下属一支行的审计
C、会计师事务所进行的审计
D、国家审计署对某商业银行进行的审计
9.审计的对象包括
A、会计资料B、经济合同
C、统计资料D、账外资料
10.对单位存款制度执行情况的审计主要是对
A、一般存款存入,支取及余额的稽核
B、现金管理制度执行情况的稽核
C、账户开立及使用情况的稽核
五、简答题
1.资本充足率如何计算?《巴塞尔协议》规定其限额是多少?
2.为什么要对存款备付金进行审计?
3.对兑付银行汇票的审计应注意哪些问题?
4.什么是金融审计?
5.对储蓄账务核算基本要求执行情况的审查有哪些内容?
6.对支票业务审计要注意哪些问题?
六、实务题
根据《关于对商业银行信贷资产质量进行现场检查的通知》要求,我们检查组于2009年6月11日――-7月6日对所辖的支行机构进行了抽查,人民币贷款630亿元,不良贷款总额上升明显,由2008年的225亿元上升到2009年的270亿元,升幅为20%,检查中发现:
1、某支行对某开发公司2008年发放了500万元的贷款属借新还旧,贷款实 际上在2008年以前已发放。
2、某支行给10户企业贷款,金额39000万元属于无效抵押贷款,贷给47 户,金额199000万元的款项为无效担保贷款。
3、某支行对地产公司发放的1.7亿元的保证贷款风险较大,一是借款人目 前财务状况差,处于亏损,二是发放的贷款为短期贷款,但实际上投入了回收期
较长的房地产项目。而且担保人财务状况不理想。
4、某分行贷款审查和发放未分设两个部门。
5、某支行向某房地产有限公司发放短期贷款4000万元,期限1年,但实际 上,该笔贷款是对一个开发时间长达8-10年的项目发放的首期贷款。
根据提供的资料,写出一份简明扼要的稽核报告(简单写出基本情况,存在的问题,产生问题的原因及提出整改意见或建议)
第三篇:金融审计论文
我国商业银行内部审计现状及分析
【摘要】随着社会经济的发展,我国商业银行内部审计虽然得到不断发展,但仍然存在很多不足,这些都在一定程度制约着商业银行的发展。商业银行对内部审计机构改善经营管理提高经营效益。
【关键词】商业银行;内部审计;现状;对策
国际金融市场的迅速发展以及世界经济的增长,在为商业银行带来了史无前例的机遇的同时也使其面临严峻的考验,这时商业银行内部审计的建立和完善就显得很重要,内部审计通过运用科学系统的方法进行评价,发现企业管理中的问题,及时有效制定相应对策来改善管理水平和经营业绩。目前商业银行审计需要不断改善内部审计环境,提高内部审计质量和水平,为商业银行发展提供更好地平台。
一、我国商业银行内部审计存在的主要问题
虽然我国商业银行的内部审计已初步建立并得到不断发展,但仍然有很多不足和缺陷,以下几方面是我国商业银行内部审计普遍存在的问题:
(一)内部机构设置不合理,内部审计工作缺乏独立性和权威性
国外商业银行大多成立独立的内部审计机构,一些商行设董事会为最高权力机构,其下设审计委员会来进行内部审计工作并直接对董事会负责,以此来保证商业银行内部监管机构的独立性和权威性,也有一些国外商行让各地的分行的内部稽核不再受分行管辖,以此来加强内部监管机构的独立性和权威性。而我国商业银行及其各分支机构在内部设置了与其他业务部门平行的内部审计机构,直接归领导分管和负责,内审部门由总行和各级支行行长管理,内部审计部门不是直接向董事会负责,内部审计人员与被审计部门的各种利益有着密切的关系,这就直接影响了内部审计机构及其审计人员的工作开展,使内部审计工作在客观上、公正等方面都受到制约,这样的内部审计机构设置缺乏应有的独立性和权威性。
(二)审计方法落后,审计手段单一
目前,国际上先进的商业银行实行的是风险基础为导向的审计而我国的商业银行内部审计基本是以账目为基础的审计,通过详细审计、抽样审计或者通过主观的经验判断等方法来进行审计工作。这些落后陈旧的审计方法不仅成本高而且审计效率低下,审计结果缺乏科学性客观性。此外,随着电子信息技术的不断进步以及商业银行业务的不断复杂,计算机技术的运用更加普遍,几乎所有业务都需通过计算机完成。然而我国商业银行的计算机审计并未发挥其应有的作用,大多依赖手工操作,这使得内部审计工作的开展存在很大难度,严重制约着内部审计职能的发挥。
(三)内部审计人员专业水平较低,能力不足
内部审计人员的整体素质决定着内部审计机构工作的质量,我国商业银行内部审计机构普遍存在内审人员数量不足、综合素质差,业务能力较低等现象。银行业务的日益复杂化对是内部审计人员的专业技术水平提出来更高的要求,内部审计是一项综合性强、涉及面广的工作,不仅要求审计人员具备专业知识还需掌握必须的法律知识、计算机等相关知识。由于审计人员缺乏必要的专业培训,综合素质整体较低商行审计业务开展起来就困难重重,极大影响了审计结果的准确性,成为制约商业银行内部审计发展的一大难题。此外,我国商业银行没有对审计人员的进行经常性的考核,在西方的国家商业银行这是一项重要的程序,他们对会对审计人员进行考核,对违反职业道德的行为做出相应的处罚,这有利于内部审计工作质量的保证。
(四)内审工作范围过窄,内部审计的内容不全面
我国商业银行的内部审计工作主要是单纯的检查会计凭证、报表等资料的真实性、完整性,以及业务操作的合规合法等,查处一些具体违法违规问题,审计报告的出具也仅仅是单纯发表意见而没有为被审计部门提出相应的解决意见和方案,对其他方面的审计不够,比如经济效益、风险责任、信贷资产质量等。内部审计范围不能随着商行业务发展而不断扩大,跟不能及时顺应发展的需要。内部审计要通过系统化、规范化的方法来评价和改善风险管理、内部控制的效率,帮助实现组织目标,扩大内部审计范围,提升内部审计在商业银行治理中的地位。
二、对我国商业银行内部审计的对策和建议
(一)改善内部机构的设置,使内部审计的具有独立性和权威性。对于这方面我们可以借鉴国外先进的商业银行内部机构设置经验,让审计机构独立于其他部门并赋予其较高地位,商业银行可以实行审计委员会直接领导的垂直组织管理机制,对人员编制、工资费用、人事考核任免等实行垂直管理,审计部门人员不会在很大程度上受制于其他因素,这样也有利于审计机构独立性的加强,也会大大增强审计结果的公正性客观性。
(二)改革审计方法,创新审计手段
首先内部审计应当信息化,运用计算机技术作为审计工具,突破传统的审计方法,开发高技术含量的审计软件,将实际应用的专业技术和审计经验转化为数据分析模型录入到计算机系统中。然后,对会计凭证到报表逐项检查、复核,同时对银行各项业务实行不定期经常性的监测。最后,运用数学模型对被审计对象进行数据分析,得出风险评估报告。内部审计的重点也应由合规性审计向风险性审计转变,对合规性审计发现的问题要站在防范风险的高度,全面客观地分析、评价被审计单位的风险状况。其次,坚持科技先行原则,提高审计效率。在当今银行业金融工具、手段、品种快速更新和飞速发展情况下,内部审计也要充分运用科技信息设备和技术,以便使内部审计与银行业务经营电子化、网络化水平相适应。最后,扩大审计范围,切实保证审计效果。要借鉴国际先进银行的最新发展,拓展内部审计的范围,在全事后检查的基础之上加强风险的事前分析和事中监控,并充分履行好内部审计的咨询和服务功能
(三)注重内部审计人员培训,提高综合素质
商业银行内部审计工作人员综合素质较低,一些工作人员缺乏必要的计算机技术,专业知识匮乏,不能适应内部审计工作的需要。首先商业银行应当加强内部审计工作人员的业务学习和培训,积极调动审计人员学习的积极性,加强对计算机技术知识和专业知识的培训,优化工作人员的知识结构,全面提高内部审计人员的综合素质,培养综合型人才。与此同时,也需要加强审计人员的职业道德建设和责任观念,提高审计人员职业操守,来营造诚信健康的工作环境。此外,商业银行还需要设立激励机制,吸引优秀人员加入内部审计队伍,妥善解决好审计人员的工资福利待遇等问题,提高审计人员工作积极性,这样会更有利于审计人员充分发挥自己的专业技能;还需调整配备好领导班子,将专业水平高、业务工作能力强的复合型人才配备到审计队伍中去。
(四)扩大审计范围,充实审计内容
商业银行要加强对创新业务的审计,在对创新业务审计中应明确防范金融风险依然是当前内部审计监督的基本目标,要通过审计寻求防范金融风险和促进金融创新的平衡点;加强商业银行的混业经营业务的审计,商业银行混业发展要求内部审计对象范围的扩大;商业银行要注重将业务经营检查与财务收支审计相结合,内部审计范围从财务报表扩展到整个业务流程,从过去的仅对财务数字准确性、日常经营合法合规性扩展至具备咨询功能,审计报告也从单纯的发表意见到提出管理意见,为管理层提供相关业务培训,为业务部门提供改进内部控制和咨询。参考文献:
1、孙壮《国有商业银行内部审计问题及对策》[J]吉林广播电视大学学报;2010年12期
2、黄海《风险导向内部审计框架构建及应用研究》[D]西南财经大学;2009年
3、
第四篇:金融审计
我国商业银行审计现状及对策
王通
js0947636 09金融6班
【摘要】:随着经济的发展,我国商业银行也得到了发展迅速,但同时其面临的经营环境也变得日趋复杂,面临着严峻的考验。同时我国商业银行内部审计内容不断深化,得到很大发展。因此内部审计成为商业银行提高自身竞争力的有效手段和重要保障,然而目前我国众多商业银行的内部审计管理还存在着许多问题。本文就此浅要分析我国商业银行内部审计的现状和存在的问题,并提出了相应的应对措施和建议。
【关键词】:商业银行;内部审计;独立性;有效性
一、引言
随着国内经济的持续增长和国际金融市场的逐步开放,中国银行业面临着巨大的机遇和挑战。国内众多商业银行都成功上市,许多国外大型跨国银行也涌入我国,国内银行业内竞争日趋激烈,为了增强在国内外市场上的竞争力,我国商业银行迫切提高自身管理水平,对能够影响经营业绩的一切因素进行深入分析、客观评价和严密控制。因此商业银行必须引入科学系统的方法对银行内部进行评价,及时有效的揪出经营管理中的漏洞和薄弱环节,并采取各种防范对策来避免风险损失,从而改善内部控制和风险管理。而内部审计作为一项独立公正的客观评价体系,是商业银行系统运转正常的重要保障。近年来,我国商业银行内部审计得到飞速发展,但与国外先进的内部审计制度相比,仍然存在很多缺陷和不足。只有不断地学习国外先进的内部审计理念,更新审计方式,提升内部审计在我国商业银行中的地位,才能完善我国商业银行内部审计制度,从而更好地开展审计工作,提高商业银行的经济效益。
二、我国商业银行内部审计工作现状
(一)内部审计体系不合理, 缺乏独立性和权威性
独立性和权威性是内部审计中两项最重要的原则。独立性在于确保内部审计结果的客观公正,主要指银行的内部审计要独立于银行的日常经营活动。当内部审计部门被赋予一定地位,拥有相应的职权时,独立性和权威性才能很好的结合起来,从而对银行的经营状况作出真实合理的评价。但我国众多商业银行的内部审计体系是以“在银行高级管理层领导下开展稽核监督工作”为主的层级管理模式,而非由董事会或监事会及其下设审计委员会直接领导,各家股份制商业银行的审计部门,大多直接向高级管理层报告,而不是向董事会或审计委员
会报告,而且内部审计部门由总行和各级支行行长管理,审计人员的组织关系、工资报酬、晋升由管辖的行长决定。更有的商业银行将审计部门同监察部门混岗,有的对内部审计部门的人员选配不够合理,没有把精兵强将选配到内审岗位上来。如此混乱的隶属关系和人员安排导致内部审计机构散失了独立性,从而缺乏权威性。银行是自主盈亏的特殊企业,行长的决策很可能因注重盈利而忽略高风险,董事会得到的信息经过了管理层的过滤,及时性和真实性自然得不到保证。而审计部门和被审计对象同属银行的组成部分,存在着千丝万缕、不可避免的利益关系。二者的地位不相上下,内部审计机构权限受到限制,无法以客观的“第三者”身份对被审计对象进行监督指导,从而流于形式。
(二)内部审计理念和技术落后,内部审计手段不能适应新的要求
我国商业银行内部审计的重心仍是合规性审计,对公司治理、内部控制和风险管理尚无过多涉及。内部审计业务仍停留在传统的查错防弊及对财务活动的监督检查上,缺乏对信贷资产质量、风险责任、经济效益进行事前和动态的审计和监督, 更缺乏对银行内部管理结构、内部控制状况、各岗位业务规范状况等做出事前的总体评价和建议。目前我国商业银行的内部审计基本上是账目基础审计, 主要采用详细审计或依赖于审计者个人经验判断的抽样审计方法。而国外先进商业银行内部审计都是采用风险基础审计,这就使得我国商业银行内部审计随意性较大,缺乏科学性,审计的内容完全凭审计人员经验判断,容易造成审计期长,审计成本高,审计效率低下等问题。同时,随着计算机技术的发展,几乎所有的商业银行业务都要通过计算机完成,银行业务方式的变化使得部分内部控制环节向客户端发生了转移, 例如网上银行业务,这就对商业银行的内部审计形成了新的挑战。然而我国商业银行计算机审计运用得不够,并且在利用计算机审计过程中,存在不评价计算机系统、不测试数据真实性、就数据审数据的现象,审计技术方法的陈旧制约着我国商业银行内部审计的发展。近年来屡次发生银行人员利用电脑挪用,贪污,盗窃资金的案件,这些都说明了目前我国商业银行内部审计技术和方法的落后。
(三)内部审计力量薄弱,审计人员专业水平较低,综合素质不高
我国商业银行机构众多,网点分散,其内部控制和审计任务非常繁重。而我国商业银行普遍存在内部审计力量薄弱的情况,导致审计监督不连续,审计面窄和间隔时间长等问题。我国很多商业银行内部审计人员占全部员工的比例只有1%左右,人员配备严重不足。有的分行一级的内审部门仅配备10人左右,除了专项审计任务外,他们还要承担所辖几十家支行的审计任务,工作量巨大,人手不足,这也直接导致了审计监督的作用无法充分发挥。另外,我国商业银行内部审计人员的专业素质和水平普遍不高,业务能力较低。商业银行业务越来
越复杂化,金融产品不断创新,企业需要的是一批能够适应现代银行业发展要求,拥有较高的专业技术水平、丰富的审计工作经验,同时具备法律、计算机和国际贸易等相关知识的高素质复合型人才。但我国商业银行对内部审计工作不够重视,加之日常工作繁忙,导致银行内部审计人员缺乏专业培训,业务知识面较窄,专业能力下降,不能适应新形势下内部审计工作任务要求的需要。国外商业银行对内部审计人员的要求普遍较高,还经常对内部审计人员的素质和职业道德进行考核。但目前我国商业银行还没建立完善的内部审计人员考核机制,从而难以保证银行审计队伍的素质。
三、完善我国商业银行内部审计制度的对策
(一)改进和完善内部审计方式方法,完善内部控制机制
首先,内部审计的重点应由合规性审计向风险性审计转变。对合规性审计发现的问题要站在防范风险的高度,全面客观地分析、评价被审计单位的风险状况,以达到现场检查在防范风险方面的作用和效果。其次,坚持科技先行原则,提高审计效率。在当今银行业金融工具、手段、品种快速更新和飞速发展情况下,内部审计也要充分运用科技信息设备和技术,以便使内部审计与银行业务经营电子化、网络化水平相适应。最后,扩大审计范围,切实保证审计效果。要借鉴国际先进银行的最新发展,拓展内部审计的范围,在健全事后检查的基础之上加强风险的事前分析和事中监控,并充分履行好内部审计的咨询和服务功能。全面运用各种审计方法和手段,明确定位管理职能边界,增强对审计风险的控制,对重要经营活动实施专项审计,同时不断完善考核激励机制,创新内部控制模式,有针对性的提出改进意见,进一步发挥内部控制的整合优势。
(二)科学构建内部审计部门,保证内部审计的独立性和有效性
针对商业银行内部审计缺乏至关重要的独立性和权威性问题,必须加强和完善作为董事会激励约束机制的内部审计体系建设。要积极借鉴国际上各大银行普遍采取的在董事会下设置集权化的内部审计组织模式和建立独立的内部审计体系的先进经验,切实设立直接对银行董事会负责的审计委员会,并建立健全基于流程管理的独立垂直的内部审计体系,实行垂直管理的审计体制,即实行人员编制、人事考核任免、工资费用、业绩考核和信息渠道的垂直管理,彻底切断内部审计与派驻行的利益关系。并且要学习西方先进经验,经常性地对内部审计人员进行专业素质和职业道德的考核,同时不断完善考核激励机制,创新内部控制模式,有针对性的提出改进意见,进一步发挥内部控制的整合优势。形成内部良好风气,更有利于内部审计工作的开展。
(三)建立完备的内审制度体系,严格依“法”审计
首先,在内审工作所有环节都要制定严密的业务流程和操作规则,并根据金融业的发展变化而定期加以补充、修订和完善。同时,依据风险为本的审计理念,要把事前、事中、事后审计及后续审计等作为整个审计过程中相互连接的不同阶段,对每个阶段也分别制定相应的操作性很强的工作程序和规则,保证各级内审派出机构能够正确履职尽责。其次,要严格依“法”审计。这是指内审部门在实施审计过程中必须做到有法必依、执法必严和违法必究。有法必依是依“法”审计的关键。执法必严是依“法”审计的必然要求,其关键在于内审部门履行好自身神圣职责,严格执行有关法律法规和内部规章制度,对违规经营和风险问 题及时予以警示和惩戒,确保法律法规及内部规章制度贯彻到位。违法必究是依“法”审计的重要保障。为此要实行对违法违规的被审计单位及其负责人的“双线”检查监督和责任追究,同时要建立健全内部审计责任制,通过有效的激励约束机制,体现内审责权利相统一。
【结束语】:商业银行内部审计制度, 是商业银行内在的监督约束机制的有机组成部分, 是商业银行建立现代企业制度的重要内容。我国商业银行应当充分认识到内部审计工作的重要性,不断完善商业银行内部审计制度,认真开展内部审计工作,从而提高自身竞争力。
【参考文献】
1、沈瑞丽《浅析我国商业银行现状及对策 》,时代金融,2008年,第2 期.
2、吴越、胡若涛《我国商业银行的内部会计监管》,浙江金融,2007 年第2期.
3、钟海燕《加强内部审计沟通,建立新型审计关系》,现代商业银行导刊,2007 年第5 期.
第五篇:主机监控与审计系统设计方案
主机监控与审计系统
设计方案
北京市爱威电子技术公司
2010年5月
目录
1.系统简介.......................................................................................................................1 2.系统总体结构................................................................................................................2 2.1系统架构及基本工作原理.....................................................................................2 2.2系统功能结构......................................................................................................3 3.系统功能.......................................................................................................................4 3.1代理端功能..........................................................................................................4 3.1.1数据采集功能.............................................................................................4 3.1.2控制功能....................................................................................................5 3.1.3其它功能....................................................................................................6 3.2控制管理中心功能...............................................................................................7 3.2.1系统管理功能.............................................................................................7 3.2.2计算机软硬件资产管理功能........................................................................9 3.2.3监视管理功能...........................................................................................10 3.2.4策略管理功能............................................................................................11 3.2.5文件/补丁程序管理功能............................................................................13 3.2.6审计管理功能...........................................................................................14 3.2.7报警管理功能...........................................................................................15 3.2.8日志管理功能...........................................................................................16 3.3用户浏览功能....................................................................................................16 4系统特点.....................................................................................................................17 4.1 CPU占用少.......................................................................................................17 4.2网络资源占用少.................................................................................................18 4.3非法内联监控效率高..........................................................................................19
1.系统简介
随着网络信息化的高速推进,人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作、管理模式“映射”到网络环境中,极大地提高了研究、工作和管理效率。人们对于内部网络系统,曾经假定 “内部环境是安全的”,但自从网络系统采用了开放互连的TCP/IP协议后,这种假设条件在事实上已经不能完全成立了。各类单位(尤其是涉密单位)为了保证员工能通过网络(包括互联网)共享信息的同时,确保不会因为使用网络而有意或无意的泄漏敏感信息,都采取了相应的行政手段对本单位内部局域网的使用和操作规范进行强制性的、非技术性的管理,这些管理措施在特定时期和特定环境下是可用的,但仅依靠非技术性管理却是有悖于信息化初衷的,是不利于信息化进程发展的。
主机监控与审计系统的目的是:按照国家标准和保密局标准,结合长峰集团的实际情况,研制开发一套完善的、可持续扩展的安全保密信息审计系统。
该系统的实现,对于在信息化高速发展的同时,严格保证涉密信息系统及其审计系统的特殊性、安全性、可靠性、可控性、及时性、可扩展性有着积极的促进作用。
2.系统总体结构
2.1系统架构及基本工作原理
系统结构图
从统一管理的角度出发,主机监控与审计系统采用多极构架组成(如图),其基本工作原理描述如下:
第一层为计算机端机,通过安装的主机监控与审计系统的代理端软件,根据CMC对该端机的审计策略要求,对硬件设备的使用经行控制,对用户的操作行为进行数据采集,并将采集到的各类数据上传到CMC。在系统管理员授权的情况下可通过IE对数据进行查询。
第二层为各子、分公司的CMC、UB管理层,负责对各代理端进行管理、数据收集及数据的统计、查询、分析。
第三层为集团CMC、UB管理层,可对下属各子、分公司的审计策略、数据进行统计、查询、分析。各单位CMC把严重报警提交给第三层的CMC,第三层CMC履行监督报警的处理情况的职责。
2.2系统功能结构
主机监控与审计系统是对计算机及网络的各种事件及行为实行信息采集、监测、控制和审计的应用系统。
客户端主要由BA、PA两部分组成:
BA(Base Agent)基本代理:指在计算机中驻留的基本代理模块,负责基本信息的采集及发送、存活状态信息的发送、其他代理的加载和卸载等功能实现的软件。
PA(Policy Agent)策略代理:指按照计算机实际情况制定的策略生成的代理模块,它通过基本代理进行加载和卸载,并和基本代理进行安全认证,保证代理端软件自身安全性。
服务器端即CMC(Control and Manager Center)控制管理中心,是安装于中心控制台的软件,它收集各代理发送的采集信息,根据报警策略产生报警,并推荐响应控制建议,管理各个计算机(组)策略并生成策略代理,产生审计报表等。
3.系统功能
3.1代理端功能
代理端软件指安装于各端机上的主机监控与审计系统,由BA和PA模块组成。其主要功能是根据CMC对端机审计要求和控制要求,对用户的操作行为进行审计,对端机的软、硬件使用进行控制,并对违规行为进行报警。
3.1.1数据采集功能
代理端数据采集是指对端机的环境信息、软、硬信息及操作、使用行为进行数据采集,具体包括以下几方面:
1)基本信息数据采集:采集计算机操作系统的基础配置数据,其中包括:用户名、主机名、域名、网络名、操作系统、MAC地址、CPU型号、IE版本号等。
2)软件信息数据采集:采集该系统已经安装的软件信息。
3)设备信息数据采集:采集该计算机的设备配置情况,包括:DVD/CD-ROM驱动器、IDE ATA/ATAPI控制器、处理器、磁盘驱动器、端口、键盘、软盘控制器、软盘驱动器、鼠标和其它指针设备、通用串行总线控制器、网络适配器、显示卡等。
4)日志信息数据采集:对系统生成的日志信息进行数据采集,其中包括:应用程序错误记录、安全审核记录、系统错误记录。
5)磁盘文件操作数据采集:对用户对文件的增、删、改、重命名进行审计,同时对计算机IP地址、操作时间、文件操作类型、文件路径、文件名等数据进行提取、保存。
6)注册表操作数据采集:对注册表项的“增、删、改”操作行为进行数据采集,采集的基本信息包括:计算机名(IP地址)、用户名、程序名、键名、键值、操作时间等信息。
7)应用/进程信息数据采集:对系统的应用程序和进程的启动及运行情况进行数据采集,包括:计算机名(IP地址)、用户名、进程映像名称、进程ID、程序名称等。
8)打印信息数据采集:对计算机进行的打印信息进行采集,采集的基本信息包括:计算机名(IP地址)、用户名、打印机名、打印时间、打印文档名、打印页数、打印份数等信息。
9)网络行为数据采集:对用户的上网行为进行数据采集,采集的基本信息包括:计算机名(IP地址)、用户名、上网时间、网址名等信息。10)非法外联行为数据采集:对CMC允许以外的外联行为定义为非法外联行为,此操作威胁到涉密文件的安全,因此要产生报警信息,采集的基本信息包括:计算机名(IP地址)、用户名、上网时间、网址名等信息。11)非法内联行为数据采集:进入内网的计算机是经过严格审批手续的,对没有进行审批就进入内网的计算机认为是非法内联行为,对计算机的非法内联行为的数据采集包括:计算机名(IP地址)、用户名、时间等信息。
3.1.2控制功能
为了保证计算机上的数据安全,防止泄密事件的发生,要禁止用户在未经许可的情况下私自将涉密文件拷出,禁止进入不安全的网络,防止被他人恶意攻击,窃取涉密文件。因此在对文件进行审计的同时,要对文件的出口加以控制。为了保证数据的有效性,对系统的关键数据的修改权利也加以控制。
控制功能包括两部分设备使用的控制和操作系统参数设置的控制。
1)设备包括本机已有设备和外围设备两部分,控制主要指对设备的可用性进行控制,分为启用和禁用两种状态,设备启用时用户可以对设备正常使用,禁用时用户将无法使用该设备,如果用户采用其他技术手段改变了CMC对设备的控制属性,代理端检测到后将依据CMC对设备的使用权重新进行设置,并产生报警信息,通知CMC。要进行控制的设备包括以下几方面:
光驱 软驱 USB设备 USB存储设备 串、并口 打印机 拨号上网 无线网卡上网 网络共享服务
2)操作系统部分功能使用的控制权
IP/MAC地址的更改:为了保证数据的有效性,同时有效防止非法内联事件的发生,在未经审批、管理员授权的情况下禁止修改IP/MAC地址。 通过网络的文件、打印和命名管道共享:为了保证计算机上的数据安全,防止他人的恶意窃取,严禁共享功能。
3.1.3其它功能
1)报警功能:
代理端报警策略的设置及事件的报警级别由CMC负责管理,管理员根据不同端机的工作要求可设置不同报警策略,并下发到各端机。代理端软件则根据本机的报警策略对违规事件产生相应的报警信息,并立即上传到控制台,通知管理员有违规事件发生。
2)自动升级功能:
代理由BA基本代理和PA策略代理组成,BA运行于OS级,常驻内存,PA则动态加载。当收到新版本PA后,BA动态卸载旧的PA,再加载新版本PA,这一切动作对用户透明,从而达到动态自动升级的目的,也无须管理人员在大规模实施后需要跑到每一个客户端去升级的大工作量行为。
3)自我防护功能:
BA代理是一个短小强悍的监控程序,驻留在涉密计算机的内存中,体积非常小,隐蔽性强,一但驻留,除SCMCA-HT安全管理员外,将无法删除,因此,可确保监控功能的持续、正常执行。
同时,PA和BA互相监视,并隐蔽存储多副本于计算机中,当监视到对方依托文件不存在时,快速从副本处复制一个依托文件到安装目录。
CMC中心也存储涉密计算机的BA和PA,一旦发现有恶意攻击行为攻击BA或者PA,CMC将产生报警,由响应的管理制度来制止这种恶意攻击行为。
3.2控制管理中心功能
CMC控制管理中心是该系统的核心,实现对所管辖计算机代理采集信息的统一管理、审计和报警功能,同时负责该系统本身的管理功能的实现,功能如下图所示:
CMC功能示意图
3.2.1系统管理功能
系统功能主要完成系统本身的系统设置和维护功能,保证系统访问的用户安全性、系统登录和注销的合法性、系统配置的合理性、系统数据的安全备份与恢复、系统本身的操作日志记录的完整性。
1)登录与注销
管理员使用默认用户名和密码登录到CMC后,分别创建日志查看员和系统日志监督员,并赋予默认密码。
管理员、日志查看员和系统日志监督员分别使用自己的用户名和默认密码登录CMC,但是根据其权限显示不同的CMC界面。
所有用户在第一次使用默认密码登录后,CMC自动强制各用户更改默认密码为新密码。
所有用户空闲超过一定时间后,系统自动锁定,进入锁定界面。
2)用户及组管理
系统用户管理是对系统本身的用户进行管理的工具。系统用户管理支持多管理员角色,可区分超级管理员、管理员、日志查看员、系统日志监督员。
用户管理员具备创建下级用户的权限;
管理员只具备系统进行配置、数据备份和恢复的权限,但是不具备下级管理员的权限具备。
日志查看员可以操作CMC查阅各代理采集信息、制定策略、进行控制等功能;
系统日志监督员负责对超级管理员、管理员、日志查看员的行为日志进行查阅和监督。
如果用户需要,还可在4类角色中再细分级别。4两种角色的组合使用由用户自己决定。
用户管理主要包括管理人员的帐号、口令管理、人员信息的增、删、改、查等操作。
3)参数配置
管理员可以对系统本身的运行参数进行配置,包括:系统显示方式、系统等待时间、计算机安全扫描时间间隔等。
4)数据备份与恢复
管理员可对数据进行备份和恢复,数据库中的数据超过数据保存最大容量之
后或者超过数据最长保存时间之后,系统会强制管理员对数据作备份操作,备份数据存放于指定目录下,备份后数据库中的记录才可以删除,备份目录和记录的删除操作都会自动记录到系统日志中,由系统日志监督员进行监督。
所有数据不提供单条记录删除的功能。
系统万一出现崩溃,或者硬件原因造成了数据丢失,管理员可以把最近的一次备份数据恢复到系统中。
5)系统日志维护
系统日志记录管理员对CMC的操作,主要包括:登录、退出、用户管理操作、部门管理操作、策略操作、控制操作等。
系统日志监督员可以对系统日志数据库表/记录进行备份/恢复等维护操作。日志在备份后可以删除,不提供单条删除功能。
3.2.2计算机软硬件资产管理功能
计算机资源是指单位内部的计算机,这些计算机是单位信息网络的重要组成部分,通常来说,某台计算机会有明确的任务、使用范围和使用人。目前,并没有效的措施指定计算机的使用者,计算机资源的使用难以控制,从而造成一定的信息安全隐患,比如财务部的计算机就不能允许非财务人员使用等等。另外,计算机资源是一个单位非常重要的资产,一般包括硬件资产和软件资产。
CMC利用其超强的硬件获取能力使信息人员和资产管理人员可以很方便的查看到网络内部的硬件的分配情况,可以极大地方便了资产统计人员,避免了过去做资产统计必须拆机箱的做法,利用先进的自动捕获技术,及时的收集到所有的硬件信息,提高工作人员的效率。
CMC利用其强大的软件信息获取能力将单位所拥有的软件纳入资产的正常管理程序,以便掌握单位信息化的投资状况,包括采购、安装、分发、升级、维护、删除等整个软件使用的生命周期。它经由一系列有效的管理措施,配合系统管理的使用,就可以合理地控制软件购置的经费支出,以此提升软件资产的利用率与整体效益,并且确保软件使用的合法性。1)计算机单机资产管理
单机资产管理负责将网络内合法的计算机添加到本系统内,作为合法用户使用。功能包括:计算机信息的增、删、改、查。
单机资产管理功能包括硬件资产管理和软件资产管理两部分,并且提供强大的统计功能。
硬件资产管理
安装硬件信息:在涉密计算机用户注册后,记录下计算机的所有硬件安装信息(处理器CPU,光驱,内存,软驱,声卡,显卡,硬盘的类型及其种类),同时把该信息和用户信息、固定资产编号信息进行关联形成该用户的硬件资产信息并且进行日志记录;
变动硬件信息:检测计算机发生变动的硬件信息,并且记录日志。 软件资产管理
安装软件信息:在计算机用户注册后,记录下涉密计算机的所有软件安装信息并且进行日志记录;
变动软件信息:检测计算机发生变动的软件信息,并且记录日志。
2)组/部门资产管理
CMC支持群组/部门管理,即将被监控计算机群按照传统的业务组/工作组/部门进行划分,并按照组/部门的方式进行策略管理,组内的成员的计算机全部自动遵守该组的安全策略。组的成员可随时添加或删除。这一功能对于管理人员快速、准确识别涉密信息和安全状态很有帮助,并且可以大大减轻管理员的策略配置管理负担。
3.2.3监视管理功能
监视管理功能这部分是日志查看员的日常管理任务,他可以使日志查看员可实时掌握内部网络计算机的运行和安全状态,保证内部网络管理策略的正确执行。
1)在线状态监视
日志查看员可从查看全部主机的联网状态。如果选择网络方式查看,则在CMC的监视界面上显示全部涉密计算机的联网状态。其中,闪亮的表示在线,灰色的表示离线。
如果选择组/部门方式,则在CMC的监视界面上按部门显示,展开部门后,显示部门所辖涉密计算机的联网状态。
2)非法入网监视
CMC按照“安装了代理 + IP/MAC地址白名单”的排除法发现非法计算机。“安装了代理 + IP/MAC 地址白名单”是指:定义安装了SCMCA-HT代理的、并且IP/MAC地址在白名单中的涉密计算机称为合法,只有这样的涉密计算机才能使用内网资源,否则强行禁止其使用内网,并且及时报警。
非法入网计算机在CMC中以非法入网计算机为组名称的进行拓扑显示,可以列出所有非法接入内部网络的主机(IP/MAC地址),而在监视界面中显示这些主机的入网行为记录。
3)安全扫描
CMC可以对指定网段内的涉密计算机进行安全检查,如果发现有未安装本代理以及IP/MAC地址不属于白名单的涉密计算机在线则报警。
3.2.4策略管理功能
主机监控与审计系统的策略是指代理对涉密计算机监视和控制规则的集合。策略的制定、修改、添加、删除、存储/导入、下发和执行情况监督都由CMC完成,通过CMC统一或部分下发至各个代理。
1)策略模板管理
根据策略分级和继承原则,所有策略以模版形式生成后,才可以下发到代理。策略模板管理可以制定4个级别的多种模板:
默认策略——本系统发行时提供,随基本代理一同安装于被监控涉密计算机上,该策略为最严格策略;
全局策略——一个单位全局范围的策略,对所有用户有效; 部门策略——部门范围内的策略,对该部门的所有用户有效; 用户策略——特定用户策略,只对该用户有效。
策略模板管理包括:
策略模板制定:制定以上4级模板; 策略模板修改:对指定好的模板进行修改;
策略模板添加:同一级别下具有多个模板时,添加模板; 策略模板删除:对不再有效的策略模板进行删除;
策略模板存储及导入:所有模板可以以单位或者个人名称方式单独生成一个,并可以存储(或者打印),再遇到特殊情况重装系统后可以把先前存储的模板导入到系统中,方便策略的备份和恢复,减轻工作量。
策略模板的内容主要包括以下方面:
基本信息的采集策略:对代理采集计算机的方式、提交频率等进行配置。 文件监控策略:对磁盘文件的监控方式、过滤方式、操作方式、文件保护方式进行配置。
注册表监控策略:对注册表监控方式、扫描频率、提交方式和频率进行配置。
打印监控策略:对涉密计算机的打印行策略为进行配置。
应用程序/进程监控策略:对应用程序/进程的启动、运行策略进行配置。 设备监控策略:对涉密计算机所辖设备和新增的未知设备使用策略进行配置。
网络应用行为监控策略:对网页浏览-HTTP、文件传输-FTP、发邮件-SMTP、收邮件-POP3、远程登录-Telnet,以及外部主动联接、IP/MAC地址绑定、非法外联、非法内联等的行为策略进行配置。
2)策略下发
针对不同的计算机用户和组,对计算机的审计行为、端口控制行为各不相同,CMC可根据实际情况制定不同的审计、控制策略模板,在下发审计策略时选择相应的模板即可。这样对管理人员而言便于管理,方便使用。
策略下发方式分为立即执行和重新启动后执行两种模式,由管理人员在下发时根据实际情况进行选择,也可以采用策略模版中制定的选择。
立即执行模式:代理收到CMC发送的策略更新命令,立即终止现行程序,按照新的策略去重新分配线程,在终止原策略启用新策略过程中,可能会造成部分数据的丢失。
重新启动后执行模式:代理收到CMC发送的策略更新命令后,暂时不进行相应而只是把新策略存储于本地,强制计算机重新启动或者待计算机自然重新启动后,再加载新策略。代理在计算机启动后和控制台进行通讯,如果要更新策略模板,则下载新的模板后继续运行。策略的下发对用户透明,不会对用户的自然操作产生影响。
3)策略执行和状态监督
策略执行由代理完成,执行过程不会对用户自然操作产生影响。 策略下发成功或者失败时,代理会把策略更新记录提交给CMC。 CMC可以对所有涉密计算机的:策略执行状态(成功/失败)、策略模板名称、策略模板内容、策略执行时间及有效时间等内容进行查看和监督。
3.2.5文件/补丁程序管理功能
1)文件/补丁管理
随着软件的不断完善,功能的不断增多,新的软件版本将不断发布,文件/补丁管理就是将每一版本软件保存到数据库中,并通过软件的启用、停用标志控制软件的可用性,通过文件/补丁分发功能,将新的软件下发到各代理端。如果软件下发时发现该版本的软件已经是停用标志,将不再下发。
2)文件/补丁分发
代理的升级采用“静默式安装”方式自动升级,对用户透明,由CMC控制对全部涉密计算机进行统一在线升级。
在线升级是在涉密计算机已安装代理的前提下,可以实现软件的在线升级。升级方式分为主动升级、下发后立即升级两种模式,具体升级方式同样由管理人员通过系统设置功能进行设置。
主动升级:每次开机后代理主动和CMC进行通讯,如果有高于本机的软件版本发布,则主动下载,并自动升级。
下发后立即升级:CMC向代理发送软件立即升级的命令,代理收到命令后,进行软件版本的判定,如果新版本确实高于现行版本,则进行新版本软件的下载,下载完毕后,立即执行软件更新。在软件更新过程中可能会造成部分审计数据的丢失。
3.2.6审计管理功能
CMC审计管理功能基于已收到的各代理端采集到审计记录对各种的操作行为进行审计,审计内容包括:
1)磁盘文件操作行为审计 2)注册表审计 3)应用/进程使用审计 4)日志审计 5)账户信息审计 6)USB介质使用行为审计 7)外部设备使用行为审计 8)打印行为审计
9)主动网络连接操作行为审计 10)非法外联行为审计
为了方便管理员的审计操作,提高管理效率,系统对以上各审计内容提供多种审计方式:
按部门审计:对该部门下的所有人员的某一操作行为进行审计。 按人员审计:由于工作需要,存在大量一人多机的情况,为了方便对某人的所有操作行为进行审计,系统提供按人员进行审计的功能,即审计该人员管理下所有计算机的操作行为。
按IP地址审计:按IP地址对某一台计算机的操作行为进行审计。按时间段进行审计:在以上某一条件下,有针对性的审计一段时间内操作行为。
3.2.7报警管理功能
管理人员面对数量巨大的审计日志的时候,如果没有合理的报警,将对其管理工作带来巨大的困难。
CMC将提供基础的报警策略,并提供报警定义、修改、删除、存储/导入等管理功能,使系统在得到和报警规则相匹配的操作行为的时候,自动产生报警,并向管理人员发出提示。
1)报警策略定义及管理
报警分为单一来源报警、组合报警和用户自定义报警:
单一来源报警:由日志分级方式产生,即系统每产生的一条日志都有个安全等级字段,安全等级在制定安全策略时指定。日志安全等级的目的是提高日志审计的效率,同时突出了报警的概念,如日志分为1~5 共5个安全等级,5 为最高等级,可定义安全等级>=3 的日志产生预警。
组合报警:对于不能由单一来源确定的恶意行为,这种报警可能需要依据多条日志进行分析才能产生。系统会提供组合报警模板供用户参考,其安全等级由用户根据实际情况自己确定。
用户自定义报警:对本系统没有规定的报警,用户可以根据实际情况就其所关心的日志设置安全级别产生报警。
报警策略的定义及其管理也采用策略模板的方式。
2)报警处理
当有符合报警策略的违规事件发生时,代理会在涉密计算机上给出提示,同时会把该日志记录发送到CMC。
CMC会在计算机浏览管理视图上产生色彩鲜艳的警示性报警信号,管理人员可以查看报警详细信息,CMC会给出对该类报警信息的处理建议。
管理人员可以选择忽略该报警,或者在处理完该报警之后代理自动监测到无违规记录时,报警取消。
3)报警查询和统计
对报警事件进行查询统计,管理方式同审计信息的查询和统计。
3.2.8日志管理功能
1)日志过滤查询
管理人员能够方便地定制过滤查询本系统产生的所有日志,可以灵活地设置查询条件,包括:用户信息、日志等级、日志产生时间、日志内容等。支持组合查询、模糊匹配查询等技术。
2)日志统计及报表输出
具备日志统计分析功能,能够展现一段时间内的日志趋势,安全管理员可以据此考虑调整相应的安全策略。
统计报表表现方式灵活,除了最基本的列表方式之外,还应该具备图形表现功能,包括饼图、柱状图以及曲线图等。
统计报表可以采用打印、存储、导出等方式输出。
3.3用户浏览功能
审计数据的查询、统计、分析功能采用B/S方式完成,管理员通过IE浏览器在网络内的任何一台端机上可对数据进行浏览。
数据查询:对审计数据、用户信息按照任意条件进行查询。
数据统计:对审计数据按要求进行统计,并以饼状图、柱状图等直观形式表示出来。
数据分析:对审计数据进行综合分析及事件追踪,找出其中可疑事件,提高系统的安全性。
4系统特点
4.1 CPU占用少
CPU资源的占用率也称为占有率,是外部设备使用时对CPU的占用时间。如果CPU长期占用率过高,可造成CPU温度过高,从而影响CPU及周围的电路,降低电脑的使用寿命,同时也对CPU的并发处理能力造成影响,降低其它软件运行、处理速度。
一台计算机即使用户在不作任何操作时,操作系统为维持其正常运行在进行大量的操作,如动态库调用、注册表的修改、文件的建立、文件的修改、文件的删除等工作。用户工作时在对各种应用软件的使用过程中,除了会产生所需要文件外,应用软件还会大量修改系统文件并生成临时文件,如何提高数据的有效性、降低CPU的占用率成为一个技术难点。
很多软件针对审计事件的采集采用轮寻方式,即定时扫描方式。间隔时间过长会引起事件的漏记,间隔时间过短会引起CPU占有率过高。
对此采用以下两方面解决以下问题:
审计事件的产生:事件的产生采用触发方式,即只有该事件发生了,才触发对该事件的审计,符合审计策略要求的保存、上传,不符合的丢弃。与轮询方式相比其优点在于即可以防止在两次轮询期间产生审计数据的漏审情况的发生,又可以避免在没有审计事件发生时对事件进行查询,造成不必要的资源浪费。
审计策略的制定:按照管理员对该机审计策略的要求对各审计模块进行加载,如果不需要监控的功能则不予以加载。避免了模块加载后,在检测到审计事件时再按策略要求对事件不予记录造成系统资源浪费。
CPU占用率比较
4.2网络资源占用少
代理端软件要根据审计策略、报警策略的要求对相应的事件产生不同信息,这些信息均要通过网络上传到服务器。在端机数据多,审计数据量大时,必然会占用大量的网络资源,同时也会对服务器处理能力产生过大的压力。
涉密计算机监控与审计系统采用以下方式在保证数据的可靠传输的情况下减少对网络的压力。
CMC对上传审计数据的端机的控制:代理端要上传审计数据前先向CMC发出传输请求,在得到CMC的许可信息后方可进行数据的上传。CMC在得到端机的上传审计数据的许可后,要对当前正在上传审计数据的端机数进行统计,如果已经达到管理员规定的数目,则通知其排队等候,如果正在上传审计数据的端机数未达到要求,同时网络流量又未达到限值时,通知其进行数据上传,并对数据进行接收。同时CMC还将预留出部分可连接数量用于处理紧急事件的发生。4.3非法内联监控效率高
为了确保涉密文件的安全,在防止端机非法外联同时也要保证内网的安全,防止非法内联事件的发生。非法计算机指在本系统内没有注册登记的计算机。非法内联指没有注册的计算机连接入网。
在发现有非法计算机连接入网时要及时报警,通知管理员有非法事件发生。非法内联行为的发现可通过服务器定时扫描方式实现,即定时对网段内所有计算机进行扫描。此方法存在以下缺点:
1)服务器要对整个网段的所有IP地址进行扫描,轮询一次必要花费一定的时间,如果非法计算机在其服务器扫描时间间隔内上网并断网,服务器根本无法检测到。
2)非法计算机可以通过端口禁用、安装防火墙等软件方式对系统进行设置,对服务器的扫描不予任何回应,这样服务器也无法检测到非法内联行为的发生。
为了防止以上现象的发生,涉密计算机监控与审计系统在服务器进行定时扫描的功能同时,利用代理端的网络民兵功能进行非法内联计算机的扫描,可有效的对非法内联行为进行检测。
1)指定网络民兵进行定时扫描:服务器通过对在线计算机的检测,在每一网段指定一台计算机对该网段内的计算机进行安全扫描,如果发现非法计算机入网则产生报警信息。网络民兵只扫描本网段内的计算机,被控计算机数量大幅下降,可大量缩短扫描时间间隔,减少未检测到的非法内联行为的发生。
2)通过截获进出本机的数据包分析:代理端软件可以截获进出本机的数据包,通过对TCP/IP数据包的分析可以得到要访问本机的客户机的IP地址。如果该IP 地址已经注册,则认为是合法的,如果没有注册则认为是非法内联计算机,产生报警信息。
点击咨询 