安全審計(jì)的類型
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇安全審計(jì)的類型范文,相信會為您的寫作帶來幫助,發(fā)現(xiàn)更多的寫作思路和靈感。
安全審計(jì)的類型范文第1篇
目次
三《條例》限制賠償政策的事實(shí)根據(jù)論―答記者問見解的問題性
(一)“特殊立法政策”的內(nèi)容和事實(shí)根據(jù)
(二)“特殊立法政策”的事實(shí)根據(jù)論的問題性
(三) 對其他相關(guān)問題的評論
四 放棄現(xiàn)行法律適用原則的必要性和解決法律適用問題的代替方案
(一) 放棄“區(qū)分不同案件分別適用法律”原則的必要性
(二) 解決醫(yī)療侵權(quán)賠償案件法律適用問題的代替方案
結(jié)論
三 《條例》限制賠償政策的事實(shí)根據(jù)論―答記者問見解的問題性[44]
如前所述,答記著問強(qiáng)調(diào), 條例“體現(xiàn)了國家對醫(yī)療事故處理及其損害賠償?shù)奶厥饬⒎ㄕ摺薄D敲? 答記者問所說的特殊立法政策的內(nèi)容是什么呢? 在損害賠償問題的處理上, 條例所體現(xiàn)的立法政策與民法通則所體現(xiàn)的立法政策有什么不同呢? 條例所體現(xiàn)的特殊立法政策又是以什么事實(shí)為根據(jù)的呢? 被作為根據(jù)的那些“事實(shí)”是否符合客觀現(xiàn)實(shí)呢? 即便符合客觀現(xiàn)實(shí), 以這些事實(shí)為根據(jù), 是否能夠證明條例對醫(yī)療事故損害賠償?shù)南拗菩砸?guī)定具有政策上的合理性呢? 這些就是本節(jié)要檢討的問題。
(一) 條例所體現(xiàn)的特殊立法政策的內(nèi)容及該政策的事實(shí)根據(jù)
條例第1條規(guī)定,制定條例的目的是“正確處理醫(yī)療事故,保護(hù)患者和醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員的合法權(quán)益,維護(hù)醫(yī)療秩序,保障醫(yī)療安全,促進(jìn)醫(yī)學(xué)科學(xué)的發(fā)展”。條例起草者衛(wèi)生部的匯報(bào)指出, 修改辦法的經(jīng)濟(jì)補(bǔ)償制度的原則是“既要使受損害的患者得到合理賠償,也要有利于我國醫(yī)療衛(wèi)生事業(yè)和醫(yī)學(xué)科學(xué)的健康發(fā)展”[45]。答記者問的表述與衛(wèi)生部匯報(bào)的見解基本相同, 但更為直截了當(dāng)。它指出, 條例之所以要對賠償金額作出限制, 就是“為了推動(dòng)醫(yī)療衛(wèi)生事業(yè)的發(fā)展和醫(yī)療技術(shù)的進(jìn)步”, 換言之, 如果不對醫(yī)療事故的賠償范圍和標(biāo)準(zhǔn)作出現(xiàn)行條例所作出的限制, 如果法院對醫(yī)療事故引起的賠償案件適用體現(xiàn)了實(shí)際賠償原則的民法通則的規(guī)定, 那么, 我國醫(yī)療事業(yè)的發(fā)展和醫(yī)療技術(shù)的進(jìn)步就會受到不利的影響[46]。由此可見, 答記者問所強(qiáng)調(diào)的特殊立法政策的“特殊”之處, 亦即在賠償政策上條例與民法通則的不同之處,在于條例以保障和促進(jìn)醫(yī)療事業(yè)的發(fā)展這一公共利益來限制患者或其遺屬原本根據(jù)民法通則所體現(xiàn)的實(shí)際賠償原則所可能得到的賠償這一個(gè)別利益。筆者在此將該政策簡稱為“公益限制賠償政策”。
根據(jù)答記者問的說明, 條例所體現(xiàn)的公益限制賠償政策是以下述被政策制定者所認(rèn)定的四項(xiàng)事實(shí)為根據(jù)的。① 醫(yī)療行為具有較高的風(fēng)險(xiǎn)性, ② 我國醫(yī)療行業(yè)具有公共福利性, ③ 我國醫(yī)療機(jī)構(gòu)的承受能力有限, ④ 我國的經(jīng)濟(jì)發(fā)展水平較低。對照條例起草者衛(wèi)生部的匯報(bào)可以發(fā)現(xiàn), 答記者問所提出的事實(shí)根據(jù)論,除了其中的第①項(xiàng)似乎是答記者問自己的看法(筆者不知道衛(wèi)生部是否在其他正式場合表達(dá)過這樣的見解)以外,基本上反映了衛(wèi)生部在匯報(bào)中所表達(dá)的見解[47]。
以下, 筆者對“公益限制賠償政策”的事實(shí)根據(jù)論進(jìn)行分析和評論。
(二) “公益限制賠償政策”的事實(shí)根據(jù)論的問題性
1. 醫(yī)療行為的高風(fēng)險(xiǎn)性不能說明條例限制賠償?shù)恼?dāng)性。
答記者問沒有說明醫(yī)療行為的高風(fēng)險(xiǎn)性與限制賠償?shù)降子泻侮P(guān)系。筆者在此姑且作出兩種推測[48],然后分別加以評論。
(1) 答記者問也許是想說: 高風(fēng)險(xiǎn)性這一客觀因素的存在, 降低了過失這一醫(yī)療侵權(quán)的主觀因素在賠償責(zé)任構(gòu)成中的意義。人們應(yīng)當(dāng)承認(rèn)以下兩個(gè)事實(shí), ① 在醫(yī)療過程中, 即使醫(yī)務(wù)人員充分履行了注意義務(wù), 也未必能夠完全回避診療的失敗及由此引起的患者人身損害的發(fā)生; ② 即使醫(yī)務(wù)人員在實(shí)施醫(yī)療行為方面確實(shí)存在過失, 損害后果的發(fā)生也往往在一定程度上與該項(xiàng)醫(yī)療行為固有的風(fēng)險(xiǎn)性存在一定的關(guān)系。因此, 在設(shè)計(jì)醫(yī)療事故損害賠償制度時(shí), 應(yīng)當(dāng)考慮到醫(yī)療風(fēng)險(xiǎn)這一客觀因素在損害形成中所起的作用, 不應(yīng)當(dāng)把在客觀上應(yīng)當(dāng)歸因于醫(yī)療風(fēng)險(xiǎn)的那部分損失也算在醫(yī)療機(jī)構(gòu)的頭上。條例對賠償數(shù)額作出限制反映了醫(yī)療事故損害與醫(yī)療風(fēng)險(xiǎn)之間存在一定程度的關(guān)系這一事實(shí), 因此是合情合理的,是正當(dāng)?shù)摹?/p>
筆者基于下述理由認(rèn)為, 上述推論是不能成立的。① 醫(yī)療行為具有較高的風(fēng)險(xiǎn)性這一事實(shí)認(rèn)定本身不能反映現(xiàn)實(shí)中的醫(yī)療行為與醫(yī)療風(fēng)險(xiǎn)的關(guān)系的多樣性。現(xiàn)實(shí)情況是,醫(yī)療行為不僅種類極其繁多而且存在于醫(yī)療過程的各個(gè)階段各個(gè)環(huán)節(jié),有的可能具有高度的風(fēng)險(xiǎn)( 比如確診率極低的沒有典型早期癥狀的某些疾病的早期診斷, 成功率極低的涉及人體某一重要器官的復(fù)雜手術(shù),對搶救患者生命雖然必要但嚴(yán)重副作用的發(fā)生可能性極高的急救措施),有的則可能幾乎沒有風(fēng)險(xiǎn)(比如在遵守操作規(guī)范的情況下的一般注射,常規(guī)檢驗(yàn),醫(yī)療器械消毒,藥房配藥,病房發(fā)藥等)② 這種推論誤解了醫(yī)療風(fēng)險(xiǎn)與醫(yī)療事故民事責(zé)任的關(guān)系, 因而是根本說不通的。眾所周知, 我國的醫(yī)療侵權(quán)責(zé)任制度實(shí)行過錯(cuò)責(zé)任原則, 而非嚴(yán)格責(zé)任原則。既然如此, 那么在醫(yī)療損害的發(fā)生被證明為與醫(yī)療過錯(cuò)和醫(yī)療風(fēng)險(xiǎn)(特指與醫(yī)療過錯(cuò)無關(guān)的風(fēng)險(xiǎn))[49] 二者都有關(guān)系的場合, 醫(yī)療機(jī)構(gòu)只應(yīng)承擔(dān)與其醫(yī)療過錯(cuò)在損害形成中所起的作用相應(yīng)的賠償責(zé)任。在醫(yī)療侵權(quán)法上, 風(fēng)險(xiǎn)因素與民事責(zé)任不是成正比而是成反比, 風(fēng)險(xiǎn)因素對損害的形成所起的作用越大, 醫(yī)療機(jī)構(gòu)因其醫(yī)療過錯(cuò)所承擔(dān)的賠償責(zé)任就越小。醫(yī)療行為的高風(fēng)險(xiǎn)性不是增加而是可能減輕醫(yī)療機(jī)構(gòu)民事責(zé)任的因素。只有在適用嚴(yán)格責(zé)任原則的侵權(quán)領(lǐng)域, 高風(fēng)險(xiǎn)性才可能成為增加民事責(zé)任的因素。
(2) 答記者問也許是想說, 如果事先不通過制定法(比如條例)對賠償范圍和數(shù)額作出必要的限制, 那么醫(yī)療機(jī)構(gòu)就會因害怕承擔(dān)其不愿意承擔(dān)或難以承擔(dān)的高額賠償責(zé)任而指示其醫(yī)務(wù)人員以風(fēng)險(xiǎn)的有無或大小作為選擇治療方案的主要標(biāo)準(zhǔn),盡可能選擇無風(fēng)險(xiǎn)或較小風(fēng)險(xiǎn)的治療方案; 醫(yī)務(wù)人員在治療患者時(shí)就會縮手縮腳,不敢為了搶救患者的生命而冒必要的風(fēng)險(xiǎn), 患者的生命健康利益因此就可能得不到原本應(yīng)當(dāng)?shù)玫降尼t(yī)療保障。所以, 條例限制賠償標(biāo)準(zhǔn),有助于調(diào)動(dòng)醫(yī)師救死扶傷的職業(yè)積極性, 最終將有利于患者疾病的救治。筆者認(rèn)為, 這是一個(gè)似是而非的、嚴(yán)重脫離實(shí)際的推論, 因而也是沒有說服力的。① 在對賠償數(shù)額不作限制(尤其是不作低標(biāo)準(zhǔn)限制), 實(shí)行實(shí)際賠償原則的情況下,醫(yī)師果真會從積極變?yōu)橄麡O, 對患者該治的不治, 該救的不救, 該冒的險(xiǎn)不敢冒嗎? 限制了賠償數(shù)額,醫(yī)師果真就會因此而積極工作, 勇于擔(dān)負(fù)起治病救人的重任嗎? 這一推論符合醫(yī)療侵權(quán)的實(shí)際狀況嗎? 依筆者之見, 在適用民法通則的實(shí)際賠償原則或賠償標(biāo)準(zhǔn)高于條例的人身損害賠償解釋的情況下, 醫(yī)師未必會因害怕出差錯(cuò)•承擔(dān)較高的賠償責(zé)任而該治的不敢治, 該救的不敢救, 該冒的險(xiǎn)不敢冒。因?yàn)樵谠S多場合, 采取這種消極回避態(tài)度反而會導(dǎo)致醫(yī)療不作為或不完全作為所構(gòu)成的侵權(quán)。不僅如此, 因?yàn)檫@種消極態(tài)度可能具有放任的性質(zhì), 因而在其導(dǎo)致的侵權(quán)的違法性程度上也許比工作馬虎或醫(yī)術(shù)不良所引起的延誤診療致人損害的侵權(quán)更為嚴(yán)重。② 醫(yī)療的宗旨是治病救人, 因而是不考慮風(fēng)險(xiǎn)違規(guī)亂干不行, 顧忌風(fēng)險(xiǎn)違規(guī)不干也不行的典型行業(yè)。醫(yī)師必須遵循診療規(guī)范,充分履行注意義務(wù),盡善管理。③ 限制或降低賠償標(biāo)準(zhǔn), 就算可能有調(diào)動(dòng)醫(yī)師積極性減少消極行醫(yī)的效果, 也免不了產(chǎn)生降低醫(yī)師的責(zé)任感, 縱容違規(guī)亂干的嚴(yán)重副作用。④ 按照風(fēng)險(xiǎn)論的邏輯, 條例規(guī)定的賠償制度還不如辦法規(guī)定的一次性經(jīng)濟(jì)補(bǔ)償制度; 對廣大患者而言, 他們的生命健康利益獲得醫(yī)療保障的程度在條例時(shí)代反而會降低, 因?yàn)獒t(yī)務(wù)人員的救死扶傷的積極性由于條例( 較之辦法)加重醫(yī)療事故賠償責(zé)任而降低了。
2. 即使我國醫(yī)療行業(yè)具有公共福利性質(zhì), 以此為據(jù)限制賠償也是根本沒有說服力的。
答記者問沒有(衛(wèi)生部匯報(bào)也沒有)具體說明我國醫(yī)療行業(yè)的公共福利性有何含意, 更未具體說明醫(yī)療行業(yè)的公共福利性與條例的限制賠償政策之間有何關(guān)系。筆者在此參考有關(guān)的政策法規(guī)文件和一些文章中的議論[50], 分別對這兩個(gè)問題的內(nèi)容作出以下的推測。
(1) 我國醫(yī)療行業(yè)的公共福利性主要表現(xiàn)在以下幾個(gè)方面。① 在我國醫(yī)療服務(wù)體系中占主導(dǎo)地位的公立醫(yī)療機(jī)構(gòu),是非營利性醫(yī)療機(jī)構(gòu),是公益事業(yè)單位,它們所提供的醫(yī)療服務(wù)對患者而言, 具有一定的福利性質(zhì)。② 政府對公共醫(yī)療事業(yè)的財(cái)政投入將隨著經(jīng)濟(jì)的發(fā)展逐年增加。政府的財(cái)政投入為公共醫(yī)療事業(yè)的發(fā)展和醫(yī)療技術(shù)的進(jìn)步, 從而為廣大患者能夠享受到更好的醫(yī)療服務(wù)創(chuàng)造了一定的物質(zhì)條件。政府對非營利性醫(yī)療機(jī)構(gòu)實(shí)行稅收優(yōu)惠和合理補(bǔ)助的政策,為這些機(jī)構(gòu)的福利性醫(yī)療服務(wù)提供了一定的支持。③ 政府為了增進(jìn)廣大人民群眾的醫(yī)療福利, 減輕患者個(gè)人的醫(yī)療費(fèi)用負(fù)擔(dān), 在城鎮(zhèn)為職工建立作為社會保障的基本醫(yī)療保險(xiǎn)制度, 在農(nóng)村推行和資助合作醫(yī)療制度, 邦助越來越多的農(nóng)村居民在當(dāng)?shù)匾材艿玫交镜尼t(yī)療服務(wù)。④ 政府考慮到廣大人民群眾的負(fù)擔(dān)能力, 對醫(yī)藥品市場價(jià)格和非營利性醫(yī)療機(jī)構(gòu)的醫(yī)療服務(wù)價(jià)格進(jìn)行適當(dāng)?shù)目刂啤?/p>
(2) 醫(yī)療行業(yè)具有公共福利性這一事實(shí), 決定了因醫(yī)療事故而發(fā)生的醫(yī)患之間的法律關(guān)系具有以下的特點(diǎn)。① 它是在非自愿( 公共醫(yī)療服務(wù)的提供者在法律上有義務(wù)向需要的患者提供醫(yī)療服務(wù), 無正當(dāng)理由不得拒絕)的并且是非完全等價(jià)( 公共醫(yī)療服務(wù)的提供不以完全的等價(jià)有償為原則 ) 的基礎(chǔ)上進(jìn)行利益交換( 患者仍需支付一定的醫(yī)療費(fèi)用) 的當(dāng)事者之間發(fā)生的賠償關(guān)系, 不同于在完全自愿•等價(jià)有償?shù)幕A(chǔ)上進(jìn)行利益交換的當(dāng)事人即通常的民事活動(dòng)當(dāng)事人之間發(fā)生的賠償關(guān)系。② 它是提供醫(yī)療服務(wù)利益的醫(yī)療機(jī)構(gòu)和接受醫(yī)療服務(wù)利益的患者之間因前者的利益提供行為發(fā)生錯(cuò)誤導(dǎo)致后者受到損失而引起的賠償關(guān)系, 換言之, 是好心人辦錯(cuò)事引起的賠償關(guān)系, 不同于通常的侵犯他人合法權(quán)利所引起的賠償關(guān)系。③ 它在事實(shí)上又是以作為公共醫(yī)療的投資者的政府為第三人( 賠償問題不僅可能影響到政府投資的效益,而且可能使政府投資本身受到損失)同時(shí)以利用該醫(yī)療機(jī)構(gòu)的廣大患者為第三人( 賠償問題可能影響到該醫(yī)療機(jī)構(gòu)的服務(wù)能力,從而影響到利用該醫(yī)療機(jī)構(gòu)的廣大患者的利益)的賠償關(guān)系, 不同于僅僅涉及當(dāng)事者雙方利益或至多涉及特定私人第三者利益的賠償關(guān)系。
(3) 正是因?yàn)獒t(yī)療行業(yè)具有公共福利性這一事實(shí)決定了因醫(yī)療事故而引起的醫(yī)患之間的賠償關(guān)系具有不同于通常的債務(wù)不履行或通常的侵權(quán)所引起的賠償關(guān)系的特征, 所以條例起草者才將該事實(shí)作為調(diào)整這種賠償關(guān)系的特殊政策的依據(jù)之一。如果不考慮醫(yī)療行業(yè)的公共福利性, 如果不以該事實(shí)為依據(jù)制定特殊的賠償政策, 而是完全根據(jù)或照搬民法通則所體現(xiàn)的實(shí)際賠償原則, 那么, 醫(yī)療事故賠償?shù)慕Y(jié)果, 不僅對于賠償義務(wù)人醫(yī)療機(jī)構(gòu)可能是不公正或不公平的, 而且會使國家利益和廣大患者群眾的利益受到不應(yīng)有的損害。
筆者認(rèn)為, 上述見解(假定確實(shí)存在), 根本不能說明條例限制賠償政策的合理性。
(1) 答記者問在論證限制賠償政策具有合理性時(shí), 只提“我國醫(yī)療行業(yè)具有公共福利性”這一“事實(shí)”,不提我國的醫(yī)療行業(yè)和醫(yī)療服務(wù)在相當(dāng)范圍和相當(dāng)程度上已經(jīng)市場化和商品化, 我國的絕大多數(shù)公民還得不到醫(yī)療費(fèi)負(fù)擔(dān)方面的最基本的社會保障這兩個(gè)有目共睹的現(xiàn)實(shí)。這種論法很難說是實(shí)事求是的。“我國醫(yī)療行業(yè)具有公共福利性”這一事實(shí)認(rèn)定,本身就是非常片面的; 這一“事實(shí)”作為答記者問所支持的條例限制賠償政策的前提之一, 本身就是在很大程度上難以成立的。
① 眾所周知, 在條例起草和出臺之時(shí), 更不用說在答記者問發(fā)表之時(shí), 我國的醫(yī)療行業(yè)已經(jīng)在相當(dāng)范圍內(nèi)和相當(dāng)程度上實(shí)現(xiàn)了市場化。第一, 從我國醫(yī)療行業(yè)的主體來看, 被官方文件定性為“非營利性公益事業(yè)”[51] 單位的公立醫(yī)療機(jī)構(gòu),在我國醫(yī)療服務(wù)體系中確實(shí)依然占據(jù)主導(dǎo)地位,它們所提供的基本醫(yī)療服務(wù)項(xiàng)目, 據(jù)說因其價(jià)格受到政府的控制, 所以對接受該服務(wù)的患者而言,具有一定程度的福利性。但是,在我國的醫(yī)療行業(yè), 非公立的完全營利性的醫(yī)療機(jī)構(gòu)早已出現(xiàn), 其數(shù)量以及其提供的醫(yī)療服務(wù)所占有的市場分額均有明顯的增長趨勢; 民間資本或外資與公立醫(yī)療機(jī)構(gòu)的各種形式的合資經(jīng)營也已經(jīng)成為常見的現(xiàn)象。它們擴(kuò)大了完全商品化的醫(yī)療服務(wù)市場。由于它們所提供的醫(yī)療服務(wù), 在價(jià)格上是放開的, 所以對接受其服務(wù)的患者而言, 沒有福利性 ( 除非將來有一天把這類醫(yī)療服務(wù)也納入作為社會保障的醫(yī)療保險(xiǎn)的范圍)。此外, 只有非營利性公立醫(yī)療機(jī)構(gòu)才是中央或地方財(cái)政投入及有關(guān)的財(cái)稅優(yōu)惠政策的實(shí)施對象。營利性醫(yī)療機(jī)構(gòu)當(dāng)然是自籌資金、完全自負(fù)盈虧的企業(yè)[52] 。第二, 從公立醫(yī)療機(jī)構(gòu)提供的醫(yī)療服務(wù)的價(jià)格來看, 首先, 公立醫(yī)療機(jī)構(gòu)配售給患者的藥品和消耗性材料的價(jià)格往往高于或明顯高于市場零售價(jià)(換言之,實(shí)際上往往高于或明顯高于醫(yī)院采購成本和管理成本的總和), 具有明顯的營利性(據(jù)說其目的在于“以藥養(yǎng)醫(yī)”); 盡管醫(yī)療機(jī)構(gòu)所采購的一定范圍的藥品的市場價(jià)格受到政府價(jià)格政策的控制(以政府定價(jià)或政府指導(dǎo)價(jià)的方式), 但這種控制是為了保證基本醫(yī)藥商品的質(zhì)價(jià)相符, 防止生產(chǎn)或銷售企業(yè)設(shè)定虛高價(jià)格 (明顯高于生產(chǎn)經(jīng)營成本和合理利潤的總和的價(jià)格即暴利價(jià)格) 謀取不適當(dāng)?shù)母哳~利潤[53]。因此這種政府控制價(jià)格與計(jì)劃經(jīng)濟(jì)時(shí)代的計(jì)劃價(jià)格有本質(zhì)的不同, 并非像有些人所說的那樣是低于市場價(jià)格的價(jià)格即所謂“低價(jià)”, 而是比較合理的市場價(jià)格。所以, 這種價(jià)格控制, 雖然有利于消費(fèi)者或患者正當(dāng)利益的保障, 但并沒有任何意義上的福利性。其次, 基本診療服務(wù)項(xiàng)目( 比如普通門診和急診; 一定范圍的檢驗(yàn)和手術(shù); 普通病房等一定范圍的醫(yī)療設(shè)施及設(shè)備的利用)的價(jià)格, 雖然在一定程度上受到政府價(jià)格政策的控制, 因而也許可以被認(rèn)為具有一定程度的福利性, 但具有明顯的收益性或營利性( 即所謂創(chuàng)收 )的醫(yī)保對象外的五花八門的高收費(fèi)醫(yī)療服務(wù)( 比如高級專家門診、特約診療卡服務(wù)、特需病房、外賓病房等)在較高等級的許多公立醫(yī)療機(jī)構(gòu)(尤其是三級甲等醫(yī)院)中早已出現(xiàn)并有擴(kuò)大的趨勢。此外, 在許多醫(yī)療機(jī)構(gòu)中, 原本屬于護(hù)理業(yè)務(wù)范圍內(nèi)的一部分工作也已經(jīng)由完全按市場價(jià)格向患者收費(fèi)的護(hù)工服務(wù)所替代。所以, 被官方定性為非營利性公益事業(yè)單位的公立醫(yī)療機(jī)構(gòu),在事實(shí)上正在愈益廣泛地向患者提供沒有福利性的甚至完全收益性或營利性的醫(yī)療服務(wù)。
② 從患者負(fù)擔(dān)醫(yī)療費(fèi)用的情況來看,第一, 加入了基本醫(yī)保的患者,一般除了必須自付一定比例的醫(yī)療費(fèi)用外,還須支付超出其醫(yī)保限額的醫(yī)療費(fèi)用。他們選擇醫(yī)保定點(diǎn)醫(yī)療機(jī)構(gòu)所提供的醫(yī)保對象外的醫(yī)療服務(wù),或選擇定點(diǎn)醫(yī)保醫(yī)療機(jī)構(gòu)以外的醫(yī)療機(jī)構(gòu)(包括營利性醫(yī)療機(jī)構(gòu))所提供的醫(yī)療服務(wù),因而完全自付醫(yī)療費(fèi)的情況并不少見。同樣是享受醫(yī)保的患者,其享受醫(yī)保的程度即自付醫(yī)療費(fèi)占實(shí)際醫(yī)療費(fèi)的比例可能不同; 符合特殊條件的一小部分患者,則可能基本上或完全免付遠(yuǎn)遠(yuǎn)大于一般醫(yī)保患者所能免付的范圍的醫(yī)療費(fèi)[54]。第二, 更為重要的事實(shí)是, 我國所建立的社會基本醫(yī)保制度,不是以全體居民為對象的醫(yī)療保險(xiǎn)制度(比如日本的國民健康保險(xiǎn)制度),而是僅僅以城鎮(zhèn)的職工(城鎮(zhèn)中的所有用人單位的職工)本人為對象的醫(yī)保制度[55],加入者的人數(shù)至今還不滿我國總?cè)丝诘氖种籟56]。換言之, 我國城鎮(zhèn)的相當(dāng)數(shù)量的居民和農(nóng)村的所有居民是不能享受基本醫(yī)保的(即完全自費(fèi)的或幾乎完全自費(fèi)的)社會群體(除非加入了商業(yè)醫(yī)保,但商業(yè)醫(yī)保不具有福利性)。政府雖然已決定在農(nóng)村建立由農(nóng)民個(gè)人繳費(fèi)•集體扶持•政府資助的合作醫(yī)療制度,但由于種種原因,且不說這一制度才剛剛開始進(jìn)行個(gè)別的試點(diǎn)(更不用說在一些貧困地區(qū),甚至連最基本的醫(yī)療服務(wù)設(shè)施也不存在),就是全面鋪開,它為廣大農(nóng)村居民所可能提供的醫(yī)療保障的程度也是極其微薄的[57]。要言之, 答記者問和衛(wèi)生部匯報(bào)所強(qiáng)調(diào)的醫(yī)療行業(yè)的公共福利性,對于我國的絕大多數(shù)居民來說, 即使在某種意義上(比如公立醫(yī)療機(jī)構(gòu)的部分診療服務(wù)的價(jià)格受到政府的控制)也許可以被理解為存在,也只是非常有限的,微不足道的。
筆者之所以強(qiáng)調(diào)上述兩個(gè)方面的事實(shí), 并非為了批評現(xiàn)行的醫(yī)療福利政策, 而僅僅是為了指出以下兩個(gè)多樣性的存在。第一個(gè)多樣性是醫(yī)療行業(yè)或醫(yī)療服務(wù)與醫(yī)療福利的關(guān)系的多樣性。醫(yī)療行業(yè)既存在福利因素又存在非福利因素, 既存在公益因素又存在營利因素; 有的醫(yī)療服務(wù)具有福利性,有的醫(yī)療服務(wù)則沒有福利性; 有的醫(yī)療服務(wù)具有較高程度的福利性, 有的醫(yī)療服務(wù)只有較低程度的福利性。第二個(gè)多樣性是患者與醫(yī)療福利政策的關(guān)系的多樣性。有的患者能夠享受較多的醫(yī)療福利, 有的患者則只能享受較少的醫(yī)療福利, 有的患者則完全不能享受醫(yī)療福利; 能夠享受醫(yī)療福利的患者既有可能選擇具有福利性的醫(yī)療服務(wù), 也有可能選擇沒有福利性的醫(yī)療服務(wù); 享受基本醫(yī)保的不同患者所享受的醫(yī)保利益又可能存在種種差別甚至是巨大的差別。據(jù)此, 我們應(yīng)當(dāng)承認(rèn), 支持醫(yī)療事故賠償限制政策的公共福利論無視這兩個(gè)方面的多樣性, 嚴(yán)重脫離了現(xiàn)實(shí), 因而沒有充分的說服力。
(2) 即使醫(yī)療行業(yè)所具有的公共福利性能夠成為限制福利性醫(yī)療服務(wù)享受者的醫(yī)療事故賠償請求權(quán)的正當(dāng)理由之一, 現(xiàn)行條例關(guān)于醫(yī)療事故賠償?shù)囊?guī)定, 由于沒有反映以上筆者所指出的患者與醫(yī)療福利政策的關(guān)系的多樣性這一有目共睹的客觀事實(shí), 所以它不僅違反了條例起草者衛(wèi)生部所主張的公共福利論的邏輯, 而且從公共福利論的觀點(diǎn)看, 它又是顯失公正和公平的。
① 根據(jù)公共福利論的邏輯, 條例原本應(yīng)當(dāng)將患者所接受的引起醫(yī)療事故的醫(yī)療服務(wù)與醫(yī)療福利的關(guān)系(即是否具有福利性, 具有多少程度的福利性)作為確定醫(yī)療事故的具體賠償數(shù)額的考慮因素之一, 原本應(yīng)當(dāng)采取賠償數(shù)額與自費(fèi)程度成正比•與福利程度成反比的原則,使得自費(fèi)程度較低的被害人較之自費(fèi)程度較高的被害人,部分自費(fèi)的被害人較之完全自費(fèi)的被害人,在其他條件同等的情況下,獲得較低比例的賠償數(shù)額。換言之, 使后者能夠獲得較高比例的賠償數(shù)額。令人感到難以理解的是,條例竟然沒有作出這樣的規(guī)定(條例僅將醫(yī)療事故等級、醫(yī)療過失行為在醫(yī)療事故損害后果中的責(zé)任程度、醫(yī)療事故損害后果與患者原有疾病狀況之間的關(guān)系作為確定具體賠償金額時(shí)應(yīng)當(dāng)考慮的因素(第49條第1款))。
② 公正性是良好的法律制度的基本標(biāo)準(zhǔn)之一。如果答記者問和衛(wèi)生部匯報(bào)所主張的公共福利論, 從所謂“患者能夠獲得的賠償數(shù)額與該患者自付的醫(yī)療費(fèi)用應(yīng)當(dāng)實(shí)現(xiàn)某種程度的等價(jià)性”的觀點(diǎn)看, 確實(shí)還帶有那么點(diǎn)“公正性或公平性”的意味的話, 那么, 衛(wèi)生部在以我國醫(yī)療具有公共福利性為事實(shí)根據(jù)之一設(shè)計(jì)醫(yī)療事故的賠償制度時(shí), 就應(yīng)當(dāng)充分注意患者與醫(yī)療服務(wù)福利性的關(guān)系的多樣性, 所設(shè)計(jì)的賠償制度就應(yīng)當(dāng)能夠保證各個(gè)醫(yī)療事故的被害患者都有可能按照所謂“等價(jià)性”原則獲得相應(yīng)數(shù)額的賠償。很可惜, 現(xiàn)行條例的賠償規(guī)定在這個(gè)問題上犯了嚴(yán)重的一刀切的錯(cuò)誤。說的極端一點(diǎn), 它使得醫(yī)療費(fèi)用自付率百分之百的患者, 在其他條件相同的情況下, 只能獲得醫(yī)療費(fèi)用自付率幾乎接近于零的患者所能夠獲得的賠償數(shù)額。
③ 從立法技術(shù)論上看, 衛(wèi)生部的失誤在于, 她將醫(yī)療服務(wù)的福利性這個(gè)因案而異•極具多樣化和個(gè)別化的事實(shí),因而只能在各個(gè)案件的處理或裁判時(shí)才可能確定的事實(shí),當(dāng)作她在制定統(tǒng)一適用的賠償標(biāo)準(zhǔn)時(shí)所依據(jù)的事實(shí)即所謂“立法事實(shí)”(具有一般性或唯一性并且在立法之時(shí)能夠確定或預(yù)見的事實(shí))。衛(wèi)生部顯然沒有分清什么樣的事實(shí)屬于立法事實(shí),可以被選擇作為立法的依據(jù), 什么樣的事實(shí)不屬于立法事實(shí), 因而不應(yīng)當(dāng)被作為立法的依據(jù),只能被選擇作為法的實(shí)施機(jī)關(guān)在將法規(guī)范適用于特定案件時(shí)認(rèn)定或考慮的事實(shí)。混淆二者,是立法上的大忌。如果將后者作為前者加以利用而不是作為一個(gè)因素或情節(jié)指示法的實(shí)施機(jī)關(guān)在處理具體案件時(shí)加以認(rèn)定或考慮, 那么,制定出來的法就不僅會因其事實(shí)根據(jù)的不可靠而可能成為脫離實(shí)際的有片面性的法, 而且在其適用中可能成為不公正的法。如前所述,為了避免條例制定的賠償標(biāo)準(zhǔn)在適用中引起明顯的不公正后果, 衛(wèi)生部原本(如果她認(rèn)為在政策上確實(shí)有此必要的話)應(yīng)當(dāng)將涉及福利性的問題作為醫(yī)療事故處理機(jī)關(guān)在具體確定賠償數(shù)額時(shí)應(yīng)當(dāng)考慮的因素之一,同醫(yī)療事故等級等因素一起,在條例第49條第1款中加以規(guī)定。
(3) 即使我國醫(yī)療行業(yè)具有相當(dāng)高度的、相當(dāng)廣泛的、對不同的患者而言相當(dāng)均等的福利性( 比如達(dá)到了日本或一些歐州國家的程度), 以其為據(jù)限制醫(yī)療事故賠償也是沒有說服力的。
① 生命健康權(quán)是人的最基本的權(quán)利, 理所當(dāng)然地受到現(xiàn)行憲法和一系列相關(guān)法律的保護(hù)。充分保障這一權(quán)利, 建立具有適當(dāng)程度的公共福利性的醫(yī)療制度和社會保障制度, 使每一位居民, 不論其經(jīng)濟(jì)能力如何, 都能得到相當(dāng)質(zhì)量的必要的醫(yī)療服務(wù), 是政府在憲法上的責(zé)任。我國醫(yī)療行業(yè)保留一定范圍和一定程度的公共福利性,政府從財(cái)政上給予醫(yī)療事業(yè)必要的支持, 應(yīng)當(dāng)被理解為是人民權(quán)利的要求, 是政府對其憲法責(zé)任的履行, 而不應(yīng)當(dāng)被看成是政府對人民的恩惠。財(cái)政對醫(yī)療事業(yè)的投入, 并非來自政府自己的腰包, 而是人民自己創(chuàng)造的財(cái)富。在筆者看來, 以醫(yī)療行業(yè)的公共福利性為理由的醫(yī)療事故賠償限制論, 似乎缺少人民的憲法權(quán)利和政府的憲法義務(wù)這一基本的憲法意識, 自覺或不自覺地把醫(yī)療行業(yè)的公共福利性看成是政府通過醫(yī)療機(jī)構(gòu)的服務(wù)對百姓患者實(shí)施的恩惠。
② 如果說社會福利在有些資本主義國家(比如美國)的一個(gè)時(shí)期內(nèi), 曾被僅僅視為國家對社會的弱勢群體的特殊照顧或恩惠(不是被視為福利享受者的法律上的權(quán)利)的話, 那么就應(yīng)當(dāng)說在社會主義國家,它當(dāng)然應(yīng)當(dāng)被首先理解為國家性質(zhì)的必然要求。我國只要還堅(jiān)持宣告自己是社會主義性質(zhì)的國家, 就必須堅(jiān)持這種理解。以醫(yī)療行業(yè)的公共福利性為理由的醫(yī)療事故賠償限制論, 似乎缺少鮮明的社會主義觀念, 自覺或不自覺地把醫(yī)療福利僅僅理解為政府所采取的一種愛民利民政策。
③ 任何社會福利政策,只有獲得了完全意義上的法律保障才可能真正為人民帶來切實(shí)可靠的福利。筆者在此所說的完全意義上的法律保障是指,不僅福利的提供要有法律保障, 而且在福利的享受者因福利的具體提供者的過錯(cuò)而受到損害的情況下也要有充分的法律救濟(jì)的保障。 否則, 提供福利的法律保障就失去了充分的現(xiàn)實(shí)意義, 人民享受的福利就只能是殘缺不全的福利。以醫(yī)療行業(yè)的公共福利性為理由的醫(yī)療事故賠償限制論, 似乎缺少全面法律保障的觀點(diǎn), 它弱化了法律救濟(jì)的機(jī)能, 使本來就程度很低•范圍很窄的醫(yī)療福利退化為殘缺不全的福利。
安全審計(jì)的類型范文第2篇
關(guān)鍵詞:計(jì)算機(jī);網(wǎng)絡(luò)安全;安全審計(jì)系統(tǒng);設(shè)計(jì);應(yīng)用
0 引言
自人類發(fā)明第一臺計(jì)算機(jī)以來,計(jì)算機(jī)技術(shù)以飛快的速度發(fā)展,并在短時(shí)間內(nèi)在各行各業(yè)中得到普及。計(jì)算機(jī)技術(shù)的普及,在很大程度上推動(dòng)了人類文明前進(jìn)的步伐。計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為我們生活不可或缺的工具之一,正因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)的存在,使得我們生活更加方便快捷。但是計(jì)算機(jī)網(wǎng)絡(luò)是一把雙刃劍,它在給我們生活帶來巨大便利的同時(shí),也給我們的信息安全構(gòu)成了巨大威脅。正因?yàn)檫@些威脅的存在,使得人們對網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的正常功能產(chǎn)生了質(zhì)疑。針對這種情況,本文在闡述網(wǎng)絡(luò)安全審計(jì)系統(tǒng)特點(diǎn)及功能的基礎(chǔ)上,對網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的設(shè)計(jì)進(jìn)行了研究。希望本文的提出,能為提高網(wǎng)絡(luò)安全管理提供強(qiáng)有力的參考依據(jù)。
1 安全審計(jì)系統(tǒng)的功能應(yīng)用研究
1.1 系統(tǒng)的實(shí)際應(yīng)用情況
一般來講,只要安全審計(jì)系統(tǒng)投入使用,該系統(tǒng)便能非常準(zhǔn)確的、全面的將用戶在網(wǎng)上的各項(xiàng)操作以及數(shù)據(jù)庫服務(wù)器的運(yùn)行狀況記錄下來。如果出現(xiàn)以下類型事件如企業(yè)員工利用電子郵箱或網(wǎng)絡(luò)共享的方式進(jìn)行文件傳遞時(shí),遇到文件信息泄露情況;企業(yè)員工借助論壇平臺,發(fā)表一些對社會可能造成不良影響的言論時(shí);網(wǎng)絡(luò)維護(hù)人員在對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行維護(hù)的過程中,使用違規(guī)炒作對系統(tǒng)數(shù)據(jù)庫進(jìn)行操作,致使業(yè)務(wù)系統(tǒng)的安全性得不到有效維護(hù)。只要出現(xiàn)上述類型的事件,安全審計(jì)系統(tǒng)都能實(shí)行快速定位功能,找出事件的主要負(fù)責(zé)人,從而為網(wǎng)絡(luò)違規(guī)事件的處理善后工作提供便利條件。除此之外,網(wǎng)絡(luò)安全審計(jì)系統(tǒng)還能實(shí)時(shí)掌控網(wǎng)絡(luò)的運(yùn)行狀況,防止那些重要的機(jī)密性信息的泄漏,通過對內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行實(shí)時(shí)的監(jiān)控,以智能化的手段對信息進(jìn)行分析、預(yù)估及檢測,準(zhǔn)確定位那些可能影響系統(tǒng)安全運(yùn)行的因素,為營造一個(gè)更加健康、更加和諧、更加穩(wěn)定的網(wǎng)絡(luò)信息環(huán)境提供保障。
1.2 安全審計(jì)系統(tǒng)的運(yùn)行方式及部署
不可否認(rèn),安全審計(jì)系統(tǒng)主要致力于審計(jì)網(wǎng)絡(luò)安全行為,因此,旁路無疑是一種非常可行的部署策略。通常來講,安全審計(jì)系統(tǒng)都必須具備一定數(shù)量的以太網(wǎng)接口,而且網(wǎng)絡(luò)傳輸速度應(yīng)保證大于200Mbps,其中一個(gè)以太網(wǎng)接口用作設(shè)備控管,其它的以太網(wǎng)接口用作數(shù)據(jù)收集、分析、處理、回收接口。就目前來講,應(yīng)用最普遍的以太網(wǎng)接口主要有兩個(gè),它們分別用于接入局域網(wǎng)服務(wù)器的交換機(jī)及關(guān)鍵部位的交換機(jī)中。通過局域網(wǎng)服務(wù)器的操作行為以及審計(jì)數(shù)據(jù)庫的運(yùn)行狀況,對互聯(lián)網(wǎng)用戶的上網(wǎng)信息進(jìn)行實(shí)時(shí)審計(jì)。通常來講,安全審計(jì)系統(tǒng)的指揮中心都設(shè)置在同一臺服務(wù)器上,它的主要功能是對安全審計(jì)系統(tǒng)的日志進(jìn)行接收及存放。
2 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的設(shè)計(jì)
本文在CC標(biāo)準(zhǔn)體系的指導(dǎo)下,設(shè)計(jì)了一套較為完整的網(wǎng)絡(luò)安全審計(jì)系統(tǒng),該系統(tǒng)具有多層次的結(jié)構(gòu)特點(diǎn),現(xiàn)將系統(tǒng)結(jié)構(gòu)及設(shè)計(jì)方案分析如下。
2.1 系統(tǒng)結(jié)構(gòu)
在某種程度上可以將網(wǎng)絡(luò)安全審計(jì)系統(tǒng)看作是一種多層次上的審計(jì),它既能滿足低層次網(wǎng)絡(luò)通信的審計(jì)要求,又能滿足高層次網(wǎng)絡(luò)應(yīng)用服務(wù)的審計(jì)要求。因此,網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的目標(biāo)是實(shí)現(xiàn)多層次的審計(jì),其結(jié)構(gòu)圖如圖1所示。
不同層次的審計(jì)結(jié)構(gòu)完成不同層次的審計(jì)要求,對于那些數(shù)量較多且比較分散的大規(guī)模網(wǎng)絡(luò),整個(gè)網(wǎng)絡(luò)系統(tǒng)都應(yīng)覆蓋安全審計(jì)系統(tǒng),即實(shí)現(xiàn)安全審計(jì)系統(tǒng)的全方位審計(jì),只有這樣,才能保證網(wǎng)絡(luò)的整體安全性。從這方面來講,網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是一種全面審計(jì)的系統(tǒng)。
通過在網(wǎng)絡(luò)上建立一支有效的“巡警隊(duì)伍”,該“巡警隊(duì)伍”能夠?qū)φ麄€(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行審計(jì)。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要由網(wǎng)絡(luò)審計(jì)設(shè)備、網(wǎng)絡(luò)審計(jì)軟件以及網(wǎng)絡(luò)審計(jì)中心三部分構(gòu)成。網(wǎng)絡(luò)審計(jì)設(shè)備的主要作用是將網(wǎng)絡(luò)上傳送的信息進(jìn)行還原,并分析其入侵性,即所謂的低層次審計(jì)環(huán)節(jié),網(wǎng)絡(luò)審計(jì)設(shè)備能以旁路的方式接入系統(tǒng)中;網(wǎng)絡(luò)審計(jì)軟件則以嵌入的方式計(jì)入主機(jī)操作系統(tǒng)中,它的主要功能是收集異常事件,完成中層審計(jì)環(huán)節(jié),此外網(wǎng)絡(luò)審計(jì)軟件還配備高層應(yīng)用接口,因此具備一定的高層審計(jì)功能;網(wǎng)絡(luò)審計(jì)設(shè)備及軟件通常安置在所需監(jiān)視網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)上,起到數(shù)據(jù)信息接收及發(fā)送的作用。網(wǎng)絡(luò)審計(jì)中心則能夠分析處理數(shù)據(jù),起到控制管理網(wǎng)絡(luò)審計(jì)設(shè)備、軟件的作用。
2.2 功能的設(shè)計(jì)
網(wǎng)絡(luò)安全設(shè)計(jì)系統(tǒng)主要由探測器及審計(jì)主機(jī)構(gòu)成,首先,它既不用作網(wǎng)絡(luò)串聯(lián)設(shè)備;其次,它也不影響網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)成;最后,它不會妨礙業(yè)務(wù)的正常運(yùn)行。本文以下內(nèi)容就對網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的設(shè)計(jì)問題進(jìn)行分析。
2.2.1 數(shù)據(jù)庫管理及審計(jì)模塊
在該模塊中,通過對數(shù)據(jù)庫的關(guān)鍵性操作行為進(jìn)行審計(jì),現(xiàn)對信息系統(tǒng)中每一位用戶的訪問狀況進(jìn)行跟蹤、分析,對這些用戶的登陸及退出操作進(jìn)行審計(jì),從而實(shí)現(xiàn)準(zhǔn)確回顧SQL語句的作用,從根本上保證數(shù)據(jù)庫運(yùn)行狀況的安全可靠性。
2.2.2 主機(jī)審計(jì)模塊
主機(jī)審計(jì)模塊主要用戶對關(guān)鍵區(qū)域內(nèi)的客戶機(jī)進(jìn)行審計(jì)訪問,它的主要工作內(nèi)容是設(shè)定必要的計(jì)算機(jī)終端訪問權(quán)限,提高終端訪問門檻。此外,該模塊還會對那些安全系數(shù)較低的軟件進(jìn)行審計(jì),為配置審計(jì)對策以及網(wǎng)絡(luò)的安全運(yùn)行提供保障。
2.2.3 網(wǎng)絡(luò)審計(jì)模板
該模板能夠起到加強(qiáng)系統(tǒng)的控制及審計(jì)能力,在強(qiáng)化系統(tǒng)信息控制管理方面發(fā)揮著重要作用。網(wǎng)絡(luò)審計(jì)模板的正常運(yùn)行,能夠有效地防止非法內(nèi)外連接現(xiàn)象,實(shí)現(xiàn)對網(wǎng)絡(luò)信息的實(shí)時(shí)監(jiān)控,通過采取雄厚的技術(shù)力量防止信息泄露事故的出現(xiàn)。
2.2.4 運(yùn)行維護(hù)審計(jì)模板
運(yùn)行維護(hù)審計(jì)模板的主要作用是對第三方的運(yùn)行維護(hù)員工進(jìn)行監(jiān)控,它的工作重點(diǎn)在于對系統(tǒng)各項(xiàng)操作行為進(jìn)行科學(xué)細(xì)膩的審計(jì)。另外,針對于所有遠(yuǎn)程訪問設(shè)備的會話連接,從而實(shí)現(xiàn)同步過程監(jiān)控的目標(biāo),在系統(tǒng)監(jiān)控畫面上,系統(tǒng)運(yùn)行維護(hù)員工執(zhí)行的每一項(xiàng)操作都會清楚的顯示出來。系統(tǒng)管理員能夠根據(jù)系統(tǒng)實(shí)際情況,及時(shí)阻斷那些違反操作規(guī)定的操作會話,并把訪問者以及被訪問人員的訪問時(shí)間段以及與之相對應(yīng)的 IP/MAC 地址記錄下來。
3 結(jié)束語
安全問題隨著計(jì)算機(jī)的問世而隨著產(chǎn)生,尤其是在網(wǎng)絡(luò)盛行的今天,許多部門及企業(yè)更是將網(wǎng)絡(luò)安全問題提到了議事日程。因此,構(gòu)建一個(gè)科學(xué)合理的計(jì)算機(jī)網(wǎng)絡(luò)安全審計(jì)系統(tǒng),對于銀行、大型企業(yè)、證券公司以及科研院校等對網(wǎng)絡(luò)安全有較高要求的地方顯得尤為重要。本文在闡述網(wǎng)絡(luò)安全審計(jì)系統(tǒng)功能應(yīng)用的基礎(chǔ)上,設(shè)計(jì)出了一套較為完整的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。實(shí)踐證明,該系統(tǒng)能夠?qū)W(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)視,極大地提高了計(jì)算機(jī)網(wǎng)絡(luò)的安全防范能力。但是需要指出的是,由于筆者水平有限,希望本文能夠起到拋磚引玉的作用,相關(guān)研究人員繼續(xù)深化這方面的研究,為設(shè)計(jì)出更加高效的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)而不懈努力[4]。
參考文獻(xiàn)
[1] 吳承榮,謬健,張世永. 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)[J].計(jì)算機(jī)工程,1999, (25):171-174.
[2] 石 彪, 胡華平,劉利枚. 網(wǎng)絡(luò)環(huán)境下的日志監(jiān)控與安全審計(jì)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].福建電腦,2004,(12):43-44.
安全審計(jì)的類型范文第3篇
【關(guān)鍵詞】網(wǎng)絡(luò)安全 審計(jì) 態(tài)勢預(yù)測
目前網(wǎng)絡(luò)已經(jīng)在各行業(yè)中被廣泛地普及,人們對網(wǎng)絡(luò)的依賴日益增加。然而網(wǎng)絡(luò)攻擊事件卻也是愈發(fā)頻繁。面對大量的病毒入侵,傳統(tǒng)的防火墻、入侵檢測等技術(shù)逐漸呈現(xiàn)出疲態(tài),已滿足不了現(xiàn)階段的網(wǎng)絡(luò)安全防御需求。
1 網(wǎng)絡(luò)安全審計(jì)技術(shù)
1.1 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的問題
1.1.1 日志格式無法兼容
不同廠商的系統(tǒng)產(chǎn)生的日志格式一般是無法兼容的,這就對集中網(wǎng)絡(luò)安全事件進(jìn)行分析,增加了難度。
1.1.2 日志數(shù)據(jù)管理困難
日志的數(shù)據(jù)會隨著時(shí)間不斷地增加,但日志容量有限,一旦超出容量,數(shù)據(jù)不能輕易地處理掉。
1.1.3 日志數(shù)據(jù)集中分析困難
如果攻擊者針對多個(gè)網(wǎng)絡(luò)進(jìn)行攻擊,由于日志不能兼容,就只能單個(gè)進(jìn)行分析,這樣不僅工作量大,而且很難發(fā)現(xiàn)攻擊者的蹤跡。
1.1.4 缺少數(shù)據(jù)分析和統(tǒng)計(jì)報(bào)表自動(dòng)生成機(jī)制
日志數(shù)據(jù)每天都會有所增加,工作內(nèi)容過多,管理者就只能一個(gè)個(gè)查看下去,所以數(shù)據(jù)分析和統(tǒng)計(jì)報(bào)表的自動(dòng)生成機(jī)制是必要的,能夠最大程度減少管理者的工作量。
1.2 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的主要功能
1.2.1 采集日志數(shù)據(jù)類型多樣化
如入侵檢測日志、防火墻系統(tǒng)日志、操作系統(tǒng)日志、應(yīng)用和服務(wù)系統(tǒng)日志等。
1.2.2 多種日志統(tǒng)一管理
便于將采集的各種復(fù)雜的日志格式轉(zhuǎn)化為統(tǒng)一日志格式,實(shí)現(xiàn)多種日志信息的統(tǒng)一管理目標(biāo)。
1.2.3 日志查詢
可以支持大部分查詢方式對網(wǎng)絡(luò)的日志記錄信息進(jìn)行查詢,并將信息以報(bào)表的形式顯示。
1.2.4 入侵檢測
利用多種相關(guān)規(guī)則對網(wǎng)絡(luò)產(chǎn)生的日志和報(bào)警信息進(jìn)行分析,能夠有效地檢測出較為隱蔽的安全事件。
1.2.5 集中管理
審計(jì)系統(tǒng)建立統(tǒng)一的集中管理平臺,將日志數(shù)據(jù)庫、日志、安全審計(jì)中心集中起來進(jìn)行管理。
1.2.6 安全事件響應(yīng)機(jī)制
根據(jù)事件類型,可以選擇相應(yīng)的報(bào)警響應(yīng)方式。
1.2.7 實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)動(dòng)態(tài)
對有的特定設(shè)備可以實(shí)施監(jiān)控到日志內(nèi)容、網(wǎng)絡(luò)行為等。
1.2.8 安全分析報(bào)告自動(dòng)生成
通過分析數(shù)據(jù)庫中的日志數(shù)據(jù)、網(wǎng)絡(luò)安全性,自動(dòng)輸出分析報(bào)告。
2 網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù)
2.1 網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù)的作用
大數(shù)據(jù)時(shí)代互聯(lián)網(wǎng)可以利用光纖、無線網(wǎng)絡(luò)接入終端、服務(wù)器設(shè)備,實(shí)現(xiàn)信息化系統(tǒng)共享數(shù)據(jù)、傳輸?shù)哪康摹5S著科技不斷發(fā)展,網(wǎng)絡(luò)面臨的攻擊力度和方式愈發(fā)強(qiáng)了,以致網(wǎng)絡(luò)隨時(shí)面臨著病毒的侵入。然而網(wǎng)絡(luò)安全事件發(fā)生動(dòng)態(tài)不明,所以需要采用態(tài)勢預(yù)測措施,其通過分析過去以及現(xiàn)在網(wǎng)絡(luò)安全事件的走勢,預(yù)測未來網(wǎng)絡(luò)安全事件的走勢,以此協(xié)助安全管理人員作出正確的判斷。目前,態(tài)勢預(yù)測技術(shù)屬于網(wǎng)絡(luò)安全防御手段中最有效的技術(shù)之一,其采用了先進(jìn)的分析技術(shù),能夠隨時(shí)對不確定的信息進(jìn)行統(tǒng)計(jì),建立科學(xué)、高效的網(wǎng)絡(luò)安全態(tài)勢預(yù)測趨勢圖,進(jìn)而彰顯安全態(tài)勢預(yù)測的實(shí)用性。
2.2 網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù)的研究
態(tài)勢預(yù)測技術(shù)的效果獲得了國內(nèi)外許多學(xué)者的認(rèn)可,目前已經(jīng)在很多領(lǐng)域中廣泛的應(yīng)用和研究,從而延伸出許多態(tài)勢預(yù)測技術(shù),其中最為關(guān)鍵的技術(shù)有自回歸移動(dòng)平均模型、神經(jīng)網(wǎng)絡(luò)預(yù)測模型。
2.2.1 自回歸移動(dòng)平均模型
自回歸移動(dòng)平均模型體現(xiàn)方式是非常常用的隨機(jī)序列構(gòu)建而成的模型,其建模過程包括序列檢驗(yàn)、序列處理、模型識別、參數(shù)估計(jì)以及模型檢驗(yàn)。識別序列中存在的相關(guān)性以及只通過數(shù)學(xué)模型詳細(xì)記錄序列的連續(xù)性是自回歸移動(dòng)平均模型的主要目標(biāo)。在執(zhí)行自回歸移動(dòng)平均模型中,序列檢驗(yàn)主要針對數(shù)據(jù)的隨機(jī)性和平穩(wěn)性進(jìn)行檢測;序列處理通常采用差分運(yùn)算法、函數(shù)變換方法、周期差分法等對序列進(jìn)行處理;常用的參數(shù)估計(jì)方法有矩估計(jì)、最小二乘估計(jì)等;模型檢驗(yàn)的目的是為了檢驗(yàn)參數(shù)的序列類型,若是屬于白噪聲序列,則可以通過檢驗(yàn)。自回歸移動(dòng)平均模型在應(yīng)用過程中,需要存在態(tài)勢序列滿足平穩(wěn)性假設(shè)的條件,但要完成這個(gè)條件極為困難,所以限制了該模型的使用范圍。
2.2.2 神經(jīng)網(wǎng)絡(luò)預(yù)測模型
神經(jīng)網(wǎng)絡(luò)采用學(xué)習(xí)算法模仿正常的網(wǎng)絡(luò)數(shù)據(jù)行為,能夠利用模仿數(shù)據(jù)提取查詢相關(guān)正常數(shù)據(jù),并儲存在網(wǎng)絡(luò)數(shù)據(jù)庫里,方便識別不正常的數(shù)據(jù)行為,所以神經(jīng)網(wǎng)絡(luò)預(yù)測模型是一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測算法,且非常具有有效性。神經(jīng)網(wǎng)絡(luò)能夠訓(xùn)練數(shù)據(jù)學(xué)習(xí)的自主性、自適應(yīng)性,且能夠區(qū)分正常數(shù)據(jù)以及掌握最流行的網(wǎng)絡(luò)攻擊行為特征,進(jìn)而掌握正常的安全事件行為模式。完成訓(xùn)練后,神經(jīng)網(wǎng)絡(luò)可以對網(wǎng)絡(luò)事件行為特征進(jìn)行分析和識別,并記錄行為特征的變化,從而檢驗(yàn)出可能存在的異常行為。由此可見,神經(jīng)網(wǎng)絡(luò)可以在訓(xùn)練時(shí)通過調(diào)整神經(jīng)網(wǎng)絡(luò)參數(shù)權(quán)值實(shí)現(xiàn)分布式存儲、并行處理和容錯(cuò)的能力,其還具有較強(qiáng)的適應(yīng)能力和非常強(qiáng)的抗干擾能力。神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)安全審計(jì)系統(tǒng)應(yīng)用過程中,存在一些問題,如樣本數(shù)據(jù)獲取困難、檢驗(yàn)精度對神經(jīng)網(wǎng)絡(luò)訓(xùn)練次數(shù)的依賴性強(qiáng)等。
3 結(jié)語
態(tài)勢預(yù)測技術(shù)作為新興的網(wǎng)絡(luò)安全防御技術(shù),可以通過分析過去以及現(xiàn)在安全事件走勢,進(jìn)而預(yù)測未來一定時(shí)期網(wǎng)絡(luò)安全事件的走勢。而安全審計(jì)系統(tǒng)雖然存在一些需要考慮的問題,但其具有很好的兼容性,能與其他防御系統(tǒng)聯(lián)合運(yùn)用,以此配合態(tài)勢預(yù)測技術(shù),必定能夠協(xié)助安全管理員解決問題,從而降低網(wǎng)絡(luò)攻擊次數(shù)。
參考文獻(xiàn)
[1]薛麗敏,李忠,藍(lán)灣灣.基于在線學(xué)習(xí)RBFNN的網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù)研究[J].信息網(wǎng)絡(luò)安全,2016(04):23-30.
[2]鄭士芹.大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全態(tài)勢預(yù)測關(guān)鍵技術(shù)探討[J].黑龍江科技信息,2015(32):204.
作者簡介
黃瑜帥(1982-),男,廣東省惠州市人。碩士研究生學(xué)歷。現(xiàn)供職于惠州市公安局網(wǎng)絡(luò)警察支隊(duì)(惠州市電子數(shù)據(jù)檢驗(yàn)鑒定中心)。
安全審計(jì)的類型范文第4篇
網(wǎng)絡(luò)現(xiàn)在已經(jīng)廣泛運(yùn)用于人類生活和工作的各個(gè)方面,因此也受到了學(xué)校的關(guān)注。校園網(wǎng)絡(luò)管理者一直都關(guān)注著學(xué)校中的網(wǎng)絡(luò),因?yàn)樵谛@中的使用網(wǎng)絡(luò)的用戶比較多,其規(guī)模也相當(dāng)大,所以管理起來就非常困難。筆者從網(wǎng)絡(luò)安全審計(jì)的角度入手,對目前大部分學(xué)校網(wǎng)絡(luò)的安全現(xiàn)狀進(jìn)行了分析,然后對校園網(wǎng)絡(luò)安全審計(jì)的具體應(yīng)用作了闡述,隨后總結(jié)出網(wǎng)絡(luò)安全審計(jì)在校園網(wǎng)安全管理中的作用
關(guān)鍵詞:
校園網(wǎng);安全管理;網(wǎng)絡(luò)安全審計(jì)
在計(jì)算機(jī)與網(wǎng)絡(luò)迅速發(fā)展的當(dāng)代,互聯(lián)網(wǎng)已經(jīng)為人類做出了不可小覷的貢獻(xiàn),尤其是在教學(xué)方面,教師已經(jīng)習(xí)慣運(yùn)用信息化手段來教學(xué),但是就在互聯(lián)網(wǎng)盛行的時(shí)代,出現(xiàn)了很多負(fù)面的非法信息,這使學(xué)生的人生觀以及價(jià)值觀都受到了影響,更有甚者非法站點(diǎn)介入了校園內(nèi)部的網(wǎng)站,竊取了某些信息,將其泄漏出去,使學(xué)生的學(xué)習(xí)以及教師的工作受到了嚴(yán)重的影響。由此看來,規(guī)范校園網(wǎng)絡(luò)使用行為,保證校園網(wǎng)絡(luò)能夠健康、穩(wěn)定地運(yùn)行是目前我國大多數(shù)學(xué)校應(yīng)該重視的問題。
1校園網(wǎng)網(wǎng)絡(luò)管理現(xiàn)狀
從我國大部分校園網(wǎng)絡(luò)使用情況來看,校園網(wǎng)絡(luò)中出現(xiàn)了以下幾種狀況:(1)首先校園內(nèi)部網(wǎng)絡(luò)使用者沒有經(jīng)過嚴(yán)格的用前培訓(xùn),因此有很多校園內(nèi)部使用者都會對校園網(wǎng)絡(luò)產(chǎn)生供給威脅;(2)校園外部互聯(lián)網(wǎng)接入內(nèi)部,校園內(nèi)部網(wǎng)絡(luò)出現(xiàn)了很多的病毒,同時(shí)也受到了攻擊性的威脅;(3)很多來自外部的移動(dòng)終端以及計(jì)算機(jī)帶來了很大的隱患;(4)網(wǎng)絡(luò)上不良信息以及垃圾郵件對校園網(wǎng)絡(luò)產(chǎn)生的威脅。
2校園網(wǎng)網(wǎng)絡(luò)安全審計(jì)的功能及內(nèi)容
2.1網(wǎng)絡(luò)安全審計(jì)其指的是依照制定的策略,使用審計(jì)工具,來對用戶以及系統(tǒng)活動(dòng)進(jìn)行記錄,并分析數(shù)據(jù)等,以此來審查網(wǎng)絡(luò)的安全,避免出現(xiàn)一些人為錯(cuò)誤,這樣就能夠掌握系統(tǒng)是否有漏洞,對資源進(jìn)行科學(xué)、合理地調(diào)配,保證系統(tǒng)能夠健康、穩(wěn)定地運(yùn)行。
2.2網(wǎng)絡(luò)安全審計(jì)的要點(diǎn)在管理校園網(wǎng)的過程中,對網(wǎng)絡(luò)的審計(jì)內(nèi)容主要包括以下這么幾點(diǎn):
2.2.1實(shí)時(shí)審計(jì)也就是說對正在發(fā)生的網(wǎng)絡(luò)行為進(jìn)行監(jiān)督,爭取能夠在第一時(shí)間內(nèi)將非法操作以及不良網(wǎng)站進(jìn)行封堵,或者報(bào)警,監(jiān)督的內(nèi)容不僅包括上網(wǎng)時(shí)間、下載文件的類型,還有上網(wǎng)流量等。
2.2.2日志審計(jì)將網(wǎng)絡(luò)運(yùn)行的日志記錄下來,全面管理操作系統(tǒng)的運(yùn)行日志和數(shù)據(jù)訪問日志,并對其進(jìn)行分析和處理。
2.2.3內(nèi)容審計(jì)此審計(jì)也可以在實(shí)時(shí)審計(jì)以及日志審計(jì)當(dāng)中使用,審計(jì)聊天、發(fā)帖以及電子郵件中的信息。實(shí)時(shí)審計(jì)主要是對信息的出入口進(jìn)行嚴(yán)密的監(jiān)測,分析和對比信息中的關(guān)鍵字,對非法文字或者敏感字段進(jìn)行報(bào)警,在這些工作進(jìn)行的過程中,將整個(gè)過程記錄在日志當(dāng)中,以此作為審查的原始材料。
2.2.4實(shí)時(shí)跟蹤這是對那些進(jìn)發(fā)生并且有追溯、挽回可能的活動(dòng)信息進(jìn)行實(shí)時(shí)跟蹤,將之后的活動(dòng)信息記錄下來,以便追溯非法行為或者犯罪行為。
3網(wǎng)絡(luò)安全審計(jì)在校園網(wǎng)安全管理中的作用
網(wǎng)絡(luò)安全管理中最為重要的一部分就是網(wǎng)絡(luò)安全審計(jì),這可以幫助校園維護(hù)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行,師生上網(wǎng)行為得以規(guī)范等工作更加順利地進(jìn)行。
(1)網(wǎng)絡(luò)安全審計(jì)在過濾URL地址等關(guān)鍵字之后,既能阻止不良網(wǎng)站中的不良信息接入校園網(wǎng)絡(luò),與此同時(shí)能夠使網(wǎng)絡(luò)得以很大程度的保護(hù),保護(hù)其不受外來網(wǎng)絡(luò)中病毒的侵害,使系統(tǒng)中最基本的安全能夠達(dá)到相應(yīng)的標(biāo)準(zhǔn)。除此之外,因?yàn)槿罩緦徲?jì)能夠保存系統(tǒng)運(yùn)行過程當(dāng)中的相關(guān)信息和日志,因此就能夠在事后進(jìn)行查詢,將內(nèi)部攻擊的可能性降到最低,并且能夠使?jié)撛诘碾[患得以震懾。
(2)實(shí)時(shí)審計(jì)能夠有效規(guī)范校內(nèi)師生上網(wǎng)過程中的審計(jì)內(nèi)容,監(jiān)督并阻止教職工利用職務(wù)之便或者上班時(shí)間濫用網(wǎng)絡(luò)資源,阻止學(xué)生不規(guī)范上網(wǎng)的行為,將校園網(wǎng)的有效資源的價(jià)值發(fā)揮到最大限度。
(3)內(nèi)容審計(jì)能夠?qū)㈥P(guān)鍵詞與敏感詞有效地阻止在外,避免了垃圾郵件,以及不良信息在校園網(wǎng)絡(luò)中擴(kuò)散,這樣一來就能夠?qū)π@網(wǎng)絡(luò)中的犯罪行為實(shí)施有效監(jiān)控,使學(xué)校的名譽(yù)不被破壞。
(4)系統(tǒng)分析哪些有價(jià)值的日志信息,能夠使系統(tǒng)管理員及時(shí)發(fā)現(xiàn)并修復(fù)系統(tǒng)中隱藏的漏洞,除此之外,系統(tǒng)運(yùn)行統(tǒng)計(jì)日志能夠?qū)⑾到y(tǒng)性能中存在的問題反應(yīng)出來,使系統(tǒng)管理員有了觀察、處理網(wǎng)絡(luò)系統(tǒng)的工具。如此一來,對網(wǎng)絡(luò)性能實(shí)施及時(shí)調(diào)整,為關(guān)鍵應(yīng)用提供充足的資源,還能使系統(tǒng)管理員具有針對性地進(jìn)行系統(tǒng)維護(hù),這對提高工作效率有很大的幫助。
(5)有效追查已經(jīng)發(fā)生,但還有可能挽回的行為,不僅能夠追溯違法犯罪的行為,還能夠追溯系統(tǒng)性能的好與壞,這對追查已發(fā)生行為具有非常重要的意義。
4結(jié)語
近年來,互聯(lián)網(wǎng)的飛度發(fā)展,使校園有了更加豐富的教學(xué)資源,給教師帶來了便利的辦公方式和多種多樣的教學(xué)手段,讓學(xué)生們的課余生活更加精彩,但是卻也給校園網(wǎng)絡(luò)帶來了很大隱患。因?yàn)樾@網(wǎng)用戶多、規(guī)模大、使用者的活躍度較高等特點(diǎn),所以非常難管理,但是因?yàn)槠渖婕暗浇處熍c學(xué)生的日常工作與學(xué)習(xí)中,所以對其進(jìn)行嚴(yán)格管理也是極其重要的一項(xiàng)工作。使用校園網(wǎng)絡(luò)安全系統(tǒng),能夠使網(wǎng)絡(luò)監(jiān)控效率得以提高,所以說在學(xué)校具體的使用中,應(yīng)該根據(jù)校園網(wǎng)的實(shí)際情況,對其設(shè)計(jì)科學(xué)的審計(jì)計(jì)策,讓審計(jì)內(nèi)容變得多樣化,爭取使校園網(wǎng)的有效資源的價(jià)值發(fā)揮到最大限度。
參考文獻(xiàn)
[1]楊克領(lǐng).IDS技術(shù)及其在校園安全管理中的應(yīng)用[J].商丘師范學(xué)院學(xué)報(bào),2014(09).
[2]汪楊,王艷瑋.ISO/IEC17799在校園網(wǎng)信息安全管理中的應(yīng)用[J].科學(xué)與管理,2010(05).
安全審計(jì)的類型范文第5篇
1利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或電子帳號,冒充合法用戶作案,篡改磁性介質(zhì)記錄竊取資產(chǎn)。
2利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)的商業(yè)秘密以換取錢財(cái),或利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒以破壞企業(yè)的信息系統(tǒng)。
3建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無紙化”,越來越多的經(jīng)濟(jì)業(yè)務(wù)的原始記錄以電子憑證的方式
存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結(jié)算單及其它帳單,就有可能將公私財(cái)產(chǎn)的所有權(quán)進(jìn)行轉(zhuǎn)移。
計(jì)算機(jī)網(wǎng)絡(luò)帶來會計(jì)系統(tǒng)的開放與數(shù)據(jù)共享,而開放與共享的基礎(chǔ)則是安全。企業(yè)一方面通過網(wǎng)絡(luò)開放自己,向全世界推銷自己的形象和產(chǎn)品,實(shí)現(xiàn)電子貿(mào)易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財(cái)務(wù)秘密,而其中已實(shí)現(xiàn)了電子化且具有貨幣價(jià)值的會計(jì)秘密、理財(cái)秘密是最重要的。我們有必要為它創(chuàng)造一個(gè)安全的環(huán)境,抵抗來自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開放的放開共享,該封閉的要讓黑客無奈。
一、網(wǎng)絡(luò)安全審計(jì)及基本要素
安全審計(jì)是一個(gè)新概念,它指由專業(yè)審計(jì)人員根據(jù)有關(guān)的法律法規(guī)、財(cái)產(chǎn)所有者的委托和管理當(dāng)局的授權(quán),對計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的有關(guān)活動(dòng)或行為進(jìn)行系統(tǒng)的、獨(dú)立的檢查驗(yàn)證,并作出相應(yīng)評價(jià)。
沒有網(wǎng)絡(luò)安全,就沒有網(wǎng)絡(luò)世界。任何一個(gè)建立網(wǎng)絡(luò)環(huán)境計(jì)算機(jī)會計(jì)系統(tǒng)的機(jī)構(gòu),都會對系統(tǒng)的安全提出要求,在運(yùn)行和維護(hù)中也都會從自己的角度對安全作出安排。那么系統(tǒng)是否安全了呢?這是一般人心中無數(shù)也最不放心的問題。應(yīng)該肯定,一個(gè)系統(tǒng)運(yùn)行的安全與否,不能單從雙方當(dāng)事人的判斷作出結(jié)論,而必須由第三方的專業(yè)審計(jì)人員通過審計(jì)作出評價(jià)。因?yàn)榘踩珜徲?jì)人員不但具有專門的安全知識,而且具有豐富的安全審計(jì)經(jīng)驗(yàn),只有他們才能作出客觀、公正、公平和中立的評價(jià)。
安全審計(jì)涉及四個(gè)基本要素:控制目標(biāo)、安全漏洞、控制措施和控制測試。其中,控制目標(biāo)是指企業(yè)根據(jù)具體的計(jì)算機(jī)應(yīng)用,結(jié)合單位實(shí)際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易擾或破壞的地方。控制措施是指企業(yè)為實(shí)現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)、配置方法及各種規(guī)范制度。控制測試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較,確定各項(xiàng)控制措施是否存在、是否得到執(zhí)行、對漏洞的防范是否有效,評價(jià)企業(yè)安全措施的可依賴程度。顯然,安全審計(jì)作為一個(gè)專門的審計(jì)項(xiàng)目,要求審計(jì)人員必須具有較強(qiáng)的專業(yè)技術(shù)知識與技能。
安全審計(jì)是審計(jì)的一個(gè)組成部分。由于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國家安危,更涉及到企業(yè)的經(jīng)濟(jì)利益。因此,我們認(rèn)為必須迅速建立起國家、社會、企業(yè)三位一體的安全審計(jì)體系。其中,國家安全審計(jì)機(jī)關(guān)應(yīng)依據(jù)國家法律,特別是針對計(jì)算機(jī)網(wǎng)絡(luò)本身的各種安全技術(shù)要求,對廣域網(wǎng)上企業(yè)的信息安全實(shí)施年審制。另外,應(yīng)該發(fā)展社會中介機(jī)構(gòu),對計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全提供審計(jì)服務(wù),它與會計(jì)師事務(wù)所、律師事務(wù)所一樣,是社會對企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全作出評價(jià)的機(jī)構(gòu)。當(dāng)企業(yè)管理當(dāng)局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來的潛在損失時(shí),他們需要通過中介機(jī)構(gòu)對安全性作出檢查和評價(jià)。此外財(cái)政、財(cái)務(wù)審計(jì)也離不開網(wǎng)絡(luò)安全專家,他們對網(wǎng)絡(luò)的安全控制作出評價(jià),幫助注冊會計(jì)師對相應(yīng)的信息處理系統(tǒng)所披露信息的真實(shí)性、可靠性作出正確判斷。
二、網(wǎng)絡(luò)安全審計(jì)的程序
安全審計(jì)程序是安全監(jiān)督活動(dòng)的具體規(guī)程,它規(guī)定安全審計(jì)工作的具體內(nèi)容、時(shí)間安排、具體的審計(jì)方法和手段。與其它審計(jì)一樣,安全審計(jì)主要包括三個(gè)階段:審計(jì)準(zhǔn)備階段、實(shí)施階段以及終結(jié)階段。
安全審計(jì)準(zhǔn)備階段需要了解審計(jì)對象的具體情況、安全目標(biāo)、企業(yè)的制度、結(jié)構(gòu)、一般控制和應(yīng)用控制情況,并對安全審計(jì)工作制訂出具體的工作計(jì)劃。在這一階段,審計(jì)人員應(yīng)重點(diǎn)確定審計(jì)對象的安全要求、審計(jì)重點(diǎn)、可能的漏洞及減少漏洞的各種控制措施。
1了解企業(yè)網(wǎng)絡(luò)的基本情況。例如,應(yīng)該了解企業(yè)內(nèi)部網(wǎng)的類型、局域網(wǎng)之間是否設(shè)置了單向存取限制、企業(yè)網(wǎng)與Internet的聯(lián)接方式、是否建立了虛擬專用網(wǎng)(VPN)?
2了解企業(yè)的安全控制目標(biāo)。安全控制目標(biāo)一般包括三個(gè)方面:第一,保證系統(tǒng)的運(yùn)轉(zhuǎn)正常,數(shù)據(jù)的可靠完整;第二,保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力;第三,對系統(tǒng)資源使用的授權(quán)與限制。當(dāng)然安全控制目標(biāo)因企業(yè)的經(jīng)營性質(zhì)、規(guī)模的大小以及管理當(dāng)局的要求而有所差異。
3了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計(jì)人員應(yīng)充分取得目前企業(yè)對網(wǎng)絡(luò)環(huán)境的安全保密計(jì)劃,了解所有有關(guān)的控制對上述的控制目標(biāo)的實(shí)現(xiàn)情況,系統(tǒng)還有哪些潛在的漏洞。
安全審計(jì)實(shí)施階段的主要任務(wù)是對企業(yè)現(xiàn)有的安全控制措施進(jìn)行測試,以明確企業(yè)是否為安全采取了適當(dāng)?shù)目刂拼胧@些措施是否發(fā)揮著作用。審計(jì)人員在實(shí)施環(huán)節(jié)應(yīng)充分利用各種技術(shù)工具產(chǎn)品,如網(wǎng)絡(luò)安全測試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計(jì)分析器。
安全審計(jì)終結(jié)階段應(yīng)對企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評價(jià),并提出改進(jìn)和完善的方法和其他意見。安全審計(jì)終結(jié)的評價(jià),按系統(tǒng)的完善程度、漏洞的大小和存在問題的性質(zhì)可以分為三個(gè)等級:危險(xiǎn)、不安全和基本安全。危險(xiǎn)是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患(如缺乏合理的數(shù)據(jù)備份機(jī)制與有效的病毒防范措施)和系統(tǒng)的盲目開放性(如有意和無意用戶經(jīng)常能闖入系統(tǒng),對系統(tǒng)數(shù)據(jù)進(jìn)行查閱或刪改)。不安全是指系統(tǒng)尚存在一些較常見的問題和漏洞,如系統(tǒng)缺乏監(jiān)控機(jī)制和數(shù)據(jù)檢測手段等。基本安全是指各個(gè)企業(yè)網(wǎng)絡(luò)應(yīng)達(dá)到的目標(biāo),其大漏洞僅限于不可預(yù)見或罕預(yù)見性、技術(shù)極限性以及窮舉性等,其他小問題發(fā)生時(shí)不影響系統(tǒng)運(yùn)行,也不會造成大的損失,且具有隨時(shí)發(fā)現(xiàn)問題并糾正的能力。
三、網(wǎng)絡(luò)安全審計(jì)的主要測試
測試是安全審計(jì)實(shí)施階段的主要任務(wù),一般應(yīng)包括對數(shù)據(jù)通訊、硬件系統(tǒng)、軟件系統(tǒng)、數(shù)據(jù)資源以及安全產(chǎn)品的測試。
下面是對網(wǎng)絡(luò)環(huán)境會計(jì)信息系統(tǒng)的主要測試。
1數(shù)據(jù)通訊的控制測試
數(shù)據(jù)通訊控制的總目標(biāo)是數(shù)據(jù)通道的安全與完整。具體說,能發(fā)現(xiàn)和糾正設(shè)備的失靈,避免數(shù)據(jù)丟失或失真,能防止和發(fā)現(xiàn)來自Internet及內(nèi)部的非法存取操作。為了達(dá)到上述控制目標(biāo),審計(jì)人員應(yīng)執(zhí)行以下控制測試:(1)抽取一組會計(jì)數(shù)據(jù)進(jìn)行傳輸,檢查由于線路噪聲所導(dǎo)致數(shù)據(jù)失真的可能性。(2)檢查有關(guān)的數(shù)據(jù)通訊記錄,證實(shí)所有的數(shù)據(jù)接收是有序及正確的。(3)通過假設(shè)系統(tǒng)外一個(gè)非授權(quán)的進(jìn)入請求,測試通訊回叫技術(shù)的運(yùn)行情況。(4)檢查密鑰管理和口令控制程序,確認(rèn)口令文件是否加密、密鑰存放地點(diǎn)是否安全。(5)發(fā)送一測試信息測試加密過程,檢查信息通道上在各不同點(diǎn)上信息的內(nèi)容。(6)檢查防火墻是否控制有效。防火墻的作用是在Internet與企業(yè)內(nèi)部網(wǎng)之間建立一道屏障,其有效性主要包括靈活性以及過濾、分離、報(bào)警等方面的能力。例如,防火墻應(yīng)具有拒絕任何不準(zhǔn)確的申請者的過濾能力,只有授權(quán)用戶才能通過防火墻訪問會計(jì)數(shù)據(jù)。
2硬件系統(tǒng)的控制測試
硬件控制測試的總目標(biāo)是評價(jià)硬件的各項(xiàng)控制的適當(dāng)性與有效性。測試的重點(diǎn)包括:實(shí)體安全、火
災(zāi)報(bào)警防護(hù)系統(tǒng)、使用記錄、后備電源、操作規(guī)程、災(zāi)害恢復(fù)計(jì)劃等。審計(jì)人員應(yīng)確定實(shí)物安全控制措施是否適當(dāng)、在處理日常運(yùn)作及部件失靈中操作員是否作出了適當(dāng)?shù)挠涗浥c定期分析、硬件的災(zāi)難恢復(fù)計(jì)劃是否適當(dāng)、是否制定了相關(guān)的操作規(guī)程、各硬件的資料歸檔是否完整。
3軟件系統(tǒng)的控制測試
軟件系統(tǒng)包括系統(tǒng)軟件和應(yīng)用軟件,其中最主要的是操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和會計(jì)軟件系統(tǒng)。總體控制目標(biāo)應(yīng)達(dá)到防止來自硬件失靈、計(jì)算機(jī)黑客、病毒感染、具有特權(quán)職員的各種破壞行為,保障系統(tǒng)正常運(yùn)行。對軟件系統(tǒng)的測試主要包括:(1)檢查軟件產(chǎn)品是否從正當(dāng)途徑購買,審計(jì)人員應(yīng)對購買訂單進(jìn)行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。(3)證實(shí)只有授權(quán)的軟件才安裝到系統(tǒng)里。
4數(shù)據(jù)資源的控制測試
數(shù)據(jù)控制目標(biāo)包括兩方面:一是數(shù)據(jù)備份,為恢復(fù)被丟失、損壞或擾的數(shù)據(jù),系統(tǒng)應(yīng)有足夠備份;二是個(gè)人應(yīng)當(dāng)經(jīng)授權(quán)限制性地存取所需的數(shù)據(jù),未經(jīng)授權(quán)的個(gè)人不能存取數(shù)據(jù)庫。審計(jì)測試應(yīng)檢查是否提供了雙硬盤備份、動(dòng)態(tài)備份、業(yè)務(wù)日志備份等功能,以及在日常工作中是否真正實(shí)施了這些功能。根據(jù)系統(tǒng)的授權(quán)表,檢查存取控制的有效性。
5系統(tǒng)安全產(chǎn)品的測試
隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要,各種用于保障網(wǎng)絡(luò)安全的軟、硬件產(chǎn)品應(yīng)運(yùn)而生,如VPN、防火墻、身份認(rèn)證產(chǎn)品、CA產(chǎn)品等等。企業(yè)將在不斷發(fā)展的安全產(chǎn)品市場上購買各種產(chǎn)品以保障系統(tǒng)的安全,安全審計(jì)機(jī)構(gòu)應(yīng)對這些產(chǎn)品是否有效地使用并發(fā)揮其應(yīng)有的作用進(jìn)行測試與作出評價(jià)。例如,檢查安全產(chǎn)品是否經(jīng)過認(rèn)證機(jī)構(gòu)或公安部部門的認(rèn)征,產(chǎn)品的銷售商是否具有銷售許可證產(chǎn)品的安全保護(hù)功能是否發(fā)揮作用。
四、應(yīng)該建立內(nèi)部安全審計(jì)制度
