信息安全審計

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇信息安全審計范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

信息安全審計范文第1篇

    信息安全綜合審計工作涉及的對象和場景很多,其全過程是一個非常復雜的多維集合體,為形成體系化的綜合審計框架,十分有必要建立一個多維的綜合審計模型,并通過模型確定達到信息安全綜合審計治理預期目標需要涉及的詳細研究對象和研究內容,確定綜合審計體系包含的具體審計模式,確定各研究內容間的具體依賴關系,為信息安全綜合審計工作的開展提供科學合理的全局視圖[2]。多維信息安全綜合審計模型的建立,旨在對系統保密性、完整性、可用性、可控性、不可否認性和可核查性這6個方面的要求,最終的目標是對信息安全的整體性保障。在此目標下,根據信息安全審計全過程所涉及的各要素特征,劃分為審計對象、審計模式和審計管理3個維度,同時為各維度確立了4個屬性,體現各維度的信息構成完整性,以立方體形式對信息安全綜合審計體系全過程進行描述。

    1.1審計對象維度

    審計對象是信息安全活動的核心標識載體,是描述信息安全事件不可或缺的要素,根據信息安全活動的特點,將審計對象劃分為人員、時間、地點、資源4個屬性。人員人員是信息安全活動產生的源頭,除了廣義上的人員姓名、性別、年齡等基本信息外,還需延伸到其在信息安全活動中使用的賬號、令牌、證書等個人標識信息。時間時間是信息安全活動的窗口,任何信息安全活動都會產生時間戳,可用以標識信息安全活動的開始、結束及其中間過程。地點地點是信息安全活動發生的位置,不僅包括傳統意義上的地理位置信息,還包括網絡空間中源IP、目的IP等位置信息。資源資源是信息安全活動所依賴的先決條件,包括計算機硬件、操作系統、工具軟件等一切必要的資產。

    1.2審計模式維度

    審計模式是綜合審計的具體運用,是綜合審計模型的關鍵集成點,根據信息安全活動的具體類型和場景,將審計模式劃分為運維操作、數據庫應用、網絡應用、終端應用4個屬性。運維操作運維工作是支撐網絡和信息系統穩定運行的重要前提,但運維人員掌握著系統的高級權限,由此帶來的運維風險壓力也越來越大,因此必須引入運維操作審計管理機制。運維操作審計的核心是加強對運維人員賬號和權限的管控,即在集中運維模式下實現運維人員與目標系統的邏輯分離,構建“運維人員主賬號(集中運維賬號)授權從賬號(目標系統賬號)目標系統”的管理架構,并對具有唯一身份標識的集中運維賬號設置相應的權限,在此架構下實現精細化運維操作審計管理[3]。數據庫應用在大數據時代,數據庫是最具有戰略性的資產,其黃金價值不言而喻,數據一旦被非法竊取,將造成難以估量的損失。運維層面的數據庫安全可通過運維操作審計來實現,數據庫審計的核心應是加強業務應用對數據庫訪問合規性的管控,建立“業務系統SQL語句數據實例返回結果”的識別監聽架構,將采集到的業務系統信息、目標實例對象、SQL操作動作等信息進行基于正常操作規則的模式匹配,并對應用層訪問和數據庫操作請求進行多層業務關聯審計,實現業務系統對數據庫訪問的全追溯[4]。網絡應用無論數據中心內的信息系統還是辦公區內的辦公終端都會產生大量的網絡流量,加強對網絡流量的識別和分析,是發現違規行為的重要途徑。網絡應用審計的核心是通過網絡監聽技術,建立“用戶(業務系統)交互對象網絡流量分類識別”的管理架構,對各類網絡數據包進行協議分析,其重點是要對網站訪問、郵件收發、文件傳輸、即時通信、論壇博客、在線視頻、網絡游戲等典型應用進行區分和記錄,達到對用戶及業務系統間雙向網絡應用的跟蹤審計[5]。終端應用終端是信息安全的最后一道防線,同時也是最薄弱的一個環節,無論是服務器還是辦公機,要么是應用的發起者要么是接受者,是信息安全事件的落腳點。終端應用審計的核心是通過掃描和監控收單,建立“主機安全基線+介質數據交換”的管控架構,對終端補丁安裝、防病毒軟件、文件下載、文檔內容的安全基線進行記錄審查,并對移動存儲介質與外界發生的數據交換進行跟蹤記錄,實現對終端各類行為審計的全覆蓋。

    1.3審計管理維度

    綜合審計管理的目的是要實現對信息安全風險的全面治理,需包括事前規劃預防,事中實時監控、違規行為阻斷響應,事后追蹤回溯、改進保護措施,根據綜合審計管理事前、事中、事后三個階段的特點,將控制、監控、響應、保護定義為該維度的4個屬性。控制指按照權限最小化原則,采取措施對一切必要的信息資產訪問權限進行嚴格控制,僅對合法用戶按需求授權的管理規則。監測指對各類交互行為進行實時監控,以便及時發現信息安全事件的管理規則。響應指對監測過程中發現的違規行為進行及時阻斷、及時處理的管理規則。保護指對監測到的各類交互行為進行記錄回放、并積極采取改進保護措施的管理規則。

    2信息安全綜合審計治理閉環管理機制

    在多維信息安全綜合審計模型基礎之上,按照全過程的管理思路,應以綜合治理為目標導向,對存在的信息安全問題進行閉環管理,研究事前、事中、事后各環節的關聯關系,形成相互補充、層層遞進的閉環管理機制。

    2.1事前階段

    制定統一的安全審計策略,以保證信息系統的可用性、完整性和保密性為核心,實現對用戶身份和訪問入口的集中管理,嚴格權限管理,堅持用戶權限最小化原則,注重將用戶身份信息與網絡和信息系統中的各種應用與操作行為相結合,保證審計過程與審計結果的可靠性與有效性。

    2.2事中階段

    實時監測運維操作、數據庫應用、網絡應用和終端應用產生的數據,通過規則及時發現違規信息安全事件,做到實時響應、實時處理,并通過多個維度將各種基礎審計后的安全事件有機地整合起來,做到信息安全事件的全記錄、全審計。

    2.3事后階段

    對各類審計數據進行標準化處理及歸檔入庫,為安全事件的準確追蹤和回溯提供有力支持。同時,對信息安全事件進行深度分析,查找事件發生的深層次原因,執行有針對性的彌補措施,并更新信息安全審計策略,形成良性的管理機制。

    3信息安全綜合審計系統架構設計

    3.1技術架構

    信息安全綜合審計系統面臨的一大問題就是各業務系統與網絡設備運行獨立,信息集成和交互程度較低,服務器、交換機、辦公終端都是獨立的審計對象,均會產生大量的審計數據,但又缺乏集中統一的審計數據管理視角,構建對審計數據的統一處理能力應是綜合審計體系建設的核心思路,信息安全綜合審計體系有效運行的關鍵就在于對可審計數據的采集,以及對數據分析處理的能力。因此必須在多維信息安全綜合審計模型框架下,建設“原始數據收集數據標準化處理審計事件分析事件響應與展現”的全過程處理過程,實現從采集到展現的一體化綜合審計系統,包括數據采集、數據處理、事件分析和事件響應4大功能模塊。數據采集對網絡中的數據包、主機中的重要數據的操作行為、操作系統日志、安全設備日志、網絡設備日志等原始數據進行收集;數據處理將采集到的原始數據進行標準化處理,將處理后的數據變為日志,存儲到數據庫中,并交付“事件分析”模塊;事件分析對標準化處理后的事件進行分析、匯總,同時結合人員信息做出綜合判斷,有選擇地將分析結果發送到“事件響應”單元,并進行存儲與展現;事件響應對分析后的結果做出反應的單元,可以結合其他的安全措施對事件做出中斷會話、改變文件屬性、限制流量等操作。

    3.2業務架構

    安全綜合審計應保證審計范圍的完整性,只有范圍覆蓋得合理且全面,才能保證信息安全審計的充分性和有效性,才能達到綜合治理的目的。同時,過大的系統覆蓋維度又會使審計點過多,導致審計體系無法貫徹落實。因此,應在多維信息安全綜合審計模塊框架下對運維操作、數據庫應用、網絡應用和終端應用開展審計工作。通過對運維操作、數據庫應用、網絡應用、終端應用等各類審計關鍵技術的整合,充分運用數據統計、數據分析、數據展現等手段,構建完備的綜合審計知識庫,再結合信息安全實際環境和治理策略,制定科學合理的審計規則,實現信息安全治理工作技術與管理的統一,從根本上提高信息安全綜合治理能力[6]。

信息安全審計范文第2篇

國內外一些公司和研究單位分別從信息內容本身安全角度展開研究，提出了一些網絡信息安全的整體解決方案，嚴格規范建立了一些網絡信息的安全機制，但總體上仍處于分散和新興的階段，并未產生一個被廣為接受的技術方案。

2002年華東師范大學計算機應用研究所與上海市國家保密局簽訂項目合同，致力該方面研究，力求通過研究和實驗解決以下問題：如何確保信息內容整個生命周期的安全，對信息內容進行全程跟蹤以改善信息產品在網絡中分發無序的現狀；如何滿足用戶對信息內容保護中的不同保護粒度的需求；以及如何支持不同DRM系統之間的協作。同時，基于解決上述問題的技術策略實現信息全程跟蹤及應用安全審計保護系統。

研究內容：

本項目提出了安全容器技術，顆粒技術，DRM系統協作服務架構：

（1）安全容器技術－既可以保證信息的存儲和傳輸安全，又可以保證信息內容本身的應用審計安全，還可以對信息的分發路徑進行全程跟蹤，從而能保證網絡中信息在其整個生命周期內的全面安全性。

（2）顆粒技術－細化受保護信息內容的粒度，靈活支持用戶更細粒度的保護要求以及和保護要求的變更。從信息內容本身的安全性出發，以任意大小信息內容（可以為整個信息內容）為受保護對象，在確保被保護內容表示形式安全性的同時定義其上操作的安全策略，兩者結合形成的獨立受保護單元。

（3）DRM系統協作研究－提出通用的安全服務架構，該架構提供基礎（用戶管理、服務發現、身份認證等服務）、事務服務（翻譯、轉換、協調服務等）和安全服務（定義安全策略、跟蹤、審計等服務），實際中各種應用（如電子商務、電子政務）可以根據需求直接利用這些服務、對現有服務進行調制得到所需服務或直接創建自己所需的服務。現有不同廠商推出的信息內容保護解決方案和各種DRM系統可依托該服務架構實現彼此間的協作。

查新結果：

由華東師范大學信息學院計算機應用研究所委托查新的信息全程跟蹤及應用安全審計保護課題具有如下的特點：

1）項目提出了安全容器技術，顆粒技術以及支持不同DRM系統協作的安全服務架構。

2）其安全容器技術既可以保證信息的存儲和傳輸安全，又可以保證信息內容本身的應用審計安全，還可以對信息的分發路徑進行全程跟蹤，從而保證信息在其生命周期內的安全性。

3）顆粒技術細化了受保護信息內容的粒度，靈活支持用戶更細粒度的保護要求和保護要求的變更，從信息內容安全性出發，以任意大小信息內容為受保護對象，在確保被保護內容表示形式安全性的同時，定義其上操作的安全策略，兩者結合形成的獨立受保護單元。

4）DRM系統協作研究提出了

信息安全審計范文第3篇

關鍵詞 信息安全；縱深防護體系；計算機網絡；關鍵技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2013）11-0000-00

現代社會中信息具有重要的價值，保障信息傳輸、存儲以及應用的安全已經成為當前計算機領域的一個重點問題。在信息安全防御中存在多種防御技術和防御層次，隨著所使用的技術和層次逐漸增多，網絡應用及信息傳輸所需要經過的監控和檢查次數也就會越來越多，這樣就能夠在某一層次失守的情況下仍然能夠保護信息不被竊取或破壞，這種信息保護方式就被稱為縱深防御思想。應用縱深安全防護思想可以對計算機網絡系統的各個層面應用多種安全防護技術，這些防護技術組成一個異構網絡結構，可以對網絡信息進行聯動聯防，極大的提高計算機信息網絡的安全性能。

1 計算機網絡信息安全縱深防御模型分析

1.1 功能模型

計算機網絡縱深安全防御模型是動態多層次的，其最早由NSA起草生成，經過多次修改后最新版本的信息防護模塊由保護、檢測、響應以及恢復四個部分組成。如圖1所示

圖1 PDRR模型

由圖1可以看出，四個模塊組成一個有機的整體對計算機網絡中的信息進行保護。

其中，保護是指應用特定的安全防護技術對信息網絡進行加固和控制，該部分的內容通常為靜態的，包括防火墻技術、用戶訪問控制及身份驗證技術、數據信息加密技術的等。

檢測是指按照所制定的安全防護策略對用戶行為、信息傳輸方式和內容等進行監控和檢查。該部分內容由于涉及主動防御部分內容還需要向用戶或防護體系提供響應依據，故其是動態的。該模塊會主動對計算機網絡信息系統相關內容進行掃描和監測，及時發現系統中存在的安全威脅和安全漏洞，將其反饋給安全防護體系，以便用戶在沒有發生信息損失的情況下及時作出響應。

響應是指對檢測過程中發現的問題進行實時處理，消除潛在的安全隱患，保證信息網絡和信息系統運行在穩定、安全狀態。

恢復是指為防止信息網絡或信息系統被攻破后為用戶帶來損失，按照一定的備份恢復機制對網絡中的數據信息進行保存和備份，即便發生信息破壞等事件，也能夠盡快從故障狀態恢復，將損失降到最低。

1.2 多層縱深安全防護模型

由上節可知，完整的計算機網絡縱深安全防護模型包含四部分內容，每部分內容又包含若干種計算機技術，這些技術相互搭配即可實現對計算機網絡的縱深保護。一個完整的，配置適當的縱深安全防護模型如下圖2所示。

圖2 多層縱深安全防護模型

由圖2可以看出，第一節中提出的安全防護模塊已經按照其防護和作用位置進行了具體化處理，四個防護內容被有機融合成為一個整體。在計算機網絡和外網進行通信時首先需要經由防火墻對通信規則進行過濾。之后在網絡內部則需要綜合使用多種防御技術如身份驗證、入侵檢測、安全協議控制等對網絡用戶和網絡行為進行控制。在最底層的信息保護中，一方面需要對信息采取必要的加密處理，讓其由明文信息變為不可識別的密文信息；另一方面則需要對計算機網絡中的重要信息進行備份處理，以防信息發生破壞后還能夠被恢復使用。此外，在信息應用的各個層面還應該使用必需的殺毒軟件。

2 縱深安全防護模塊中的關鍵技術分析

2.1 防火墻技術

防火墻將計算機內部網絡和外部網絡分成兩個部分，內網和外網之間進行數據通信時只有符合通信規則和用戶所制定的安全策略的信息內容才能夠通過防火墻。

目前防火墻按照功能的不同可以分為包過濾和防火墻兩種。前者會對信息的承載單位即數據包進行檢查，包括收發地址、TCP端口號等，只有允許范圍內的數據包才能夠通過。后者則是將防火墻充當一個服務器，內外網之間的數據通信都需要通過服務器進行轉發，這樣就可以將被保護的網絡結構很好的隱藏起來，提升安全性能。

2.2 用戶身份認證及訪問控制策略

當用戶需要對網絡進行訪問時，若能夠對用戶的身份進行認證，根據認證結果向用戶分配具體的網絡訪問權限，則可以很大程度的提升計算機網絡的信息安全性。

用戶身份認證技術可以判斷用戶是否具有網絡使用權限并向用戶分配可應用于網絡的安全密鑰或口令，用戶只能在權限范圍內訪問或使用網絡信息資源。這樣就有效避免了非法用戶的網絡接入。

訪問控制技術則是將網絡內容劃分為多個等級，只有符合等級要求的用戶才能夠對限制的資源進行訪問和使用，即便用戶經過了網絡內的身份認證，若沒有足夠的權限也無法獲取相應的內容。這樣就可以極大的保證網絡信息資源在安全可控范圍內。

2.3 入侵檢測技術

入侵檢測技術是一種主動防御技術。部署該技術的系統會主動收集所在網絡的多種數據和用戶行為，同時程序執行過程和數據使用過程進行記錄，然后再利用數據分析工具對所收集到的信息進行分析和檢測，若發現異常行為或入侵行為，則出發報警系統并向控制中樞提供警報信息供用戶或安全監控系統指定和采取適當的應對措施。

2.4 數據加密技術

數據加密技術是保護計算機網絡信息安全的核心技術，可以利用多種加密算法和加密密鑰等將明文信息轉變為無法識別的密文信息，只有使用對應的解密算法和解密密鑰才能夠將信息回復出來。這樣就可以保證信息傳輸和存儲的安全性，即便發生了信息泄露也無法確切知道信息內容，實現對網絡信息的保密。

3 總結

總之，計算機網絡存在多個層次和多種結構，若只使用一種或少數幾種安全防護技術很難做到為網絡信息的全面防護。為切實保障網絡信息的安全，必須綜合應用多種信息安全技術形成完整的計算機網絡縱深防護體系，對計算機網絡中各個層面的信息進行保護，切實增強信息的安全性。

參考文獻

[1]張雨.計算機網絡信息安全縱深防護模型分析[J].電子制作，2013（6）.

[2]李海燕，王艷萍.計算機網絡安全問題與防范方法的探討[J].煤炭技術，2011，30（9）.

信息安全審計范文第4篇

【 關鍵詞 】 身份認證；計算機；信息安全；動態驗證碼

1 引言

隨著各單位對信息化技術要求的提高，網絡業務系統逐漸成熟。各類業務系統都具備身份認證技術和機制，以確保計算機信息安全。操作者要牢記十多個業務系統的用戶名和密碼，反復登錄多個業務系統才能開展工作。現在，各個高校都在建設數字化校園網，校園網信息安全成為當前的重要工作之一。高校建設數字校園網絡時，既要統一標準建設新業務平臺，還有整合、集成原有業務系統，打造統一完整、功能齊全、安全網點的統一的用戶身份認證系統，這已成為校園網的基礎。因此，要在多個網絡業務系統中融入單點身份認證技術。用戶登錄一次，認證一遍，就可以訪問該平臺上的多個業務系統，在各系統中轉移時，也不需要受到限制。

2 身份認證系統設計目標

用戶身份認證依托Web Service封裝為網絡服務，將數據庫中倉儲的各個業務系統的信息和用戶身份信息進行統一，按需調用，進而統一認證、管理和授權。其設計目標有幾個方面。

（1）為用戶帶來方便，統一、集中、有效管理用戶，借助已有的業務系統的用戶設置和權限分配，縮減重新開放用戶數據庫的開發成本，并且減少對已有業務系統的修改影響。

（2）凸顯身份認證單點登錄，登錄后，在各系統中切換時，不需要退出。

（3）信息平臺上的各個業務系統均基于同一個數據庫設計。

（4）認證系統的可整合性和擴展性良好，既能兼容已有的業務系統和用戶數據庫，也能支持新建設的業務系統，可以將其以身份認證的集成模塊嵌入新系統。

（5）在應用上要靈活便捷，該身份認證系統要能以多種方式加以運用。在設計用戶的統一管理和認證身份時，在設計思想上要注重角色的分級權限管理、業務系統的安全維護、證書的統一管理和資源的統一匹配，以強化集中數據、資源和應用。

3 基于PHP 的互聯網身份認證系統的原理及設計

秉承計算機信息安全的理念，按照統一身份認證的原則，來分析基于PHP 的互聯網身份認證系統的原理及實現。

Apache系統 作為網絡服務底層主系統，借助PHP 程序通過網頁表單與客戶端進行直接通信，是軟件的使用不受限制。該系統主在計算機信息安全方面的表現有兩個方面：一是基于PHP的驗證碼對身份的驗證模塊；二是基于MD5的加密模塊。

管理員具備識別系統管理員的用戶名、密碼以及IP信息的功能。該模塊主要用PHP 程序通過網絡表單操作數據庫，從而實現用戶的添加、刪除、修改等功能。

在密碼驗證模塊中，用戶的密碼經過MD5 散列處理后，在數據庫中記錄的是加密的信息。用戶登錄時，程序是對加密信息的驗證，不易被外界破解，增加了安全性。該模塊作為系統的前臺模塊，可以連接系統與客戶端，實現有效認證身份信息。用戶身份認證的過程，是通過在系統中驗證一次性用戶口令，對用戶的身份進行識別，依照用戶的不同權限，參與相關種類的服務內容。

動態口令用戶身份驗證流程。這種驗證方式的流程是認證雙方對密鑰共享，借助該種子密鑰對密碼的算法進行驗證，借助對稱算法等驗證計算值的一致性。動態口令每一次都不一樣，登錄后，改密碼就實效。密碼通常是8-10位的字符串，應用便捷。這與常規的靜態口令的認證方法相同，和系統的整合性好，所以，動態密碼的應用越來越廣泛，可以在網絡應用、手機業務等多個領域應用。動態密碼有事件模式、時間模式和應答模式等幾種。

（1）登錄網絡系統的注冊網址，鍵入用戶名和密碼，服務器程序按MD5散列模式把密碼加密，存儲在數據庫中。

（2）網絡服務器接收用戶名后，在MD5模組與客戶端校驗。校驗通過，服務器把登錄時間、隨機字符串和客戶端網址通過網絡傳輸協議傳遞到瀏覽器端。用戶以此輸入用戶名和密碼，以及隨機配給的動態字符串，客戶端把該信息傳遞到服務器端。

（3）服務器獲取數據后，先驗證傳遞的數據是否在約定的時間內，如果超期，則此次驗證實效。接著，對客戶端發回的時間與隨機動態字符串與系統核對，如果校驗錯誤則終止。然后，服務器對用戶名和密碼進行驗證。如果通過，就將用戶帶至相關權限的頁面中。

4 身份認證的技術應用

4.1 依托圖片動態驗證碼實現身份認證

以PHP為例實現圖片驗證。

4.1.1生成驗證文件yanzheng.php

（1）第一步，在session變量中存入數字或字符為組合的8位隨機數。

session_start（）；

$yanzhengma=""；

$chars = 'abcdefghijklmnopqrstuvwxyz0123456789'；

$password = ''；

for （ $i = 0； $i

{

$password = substr（$chars， mt_rand（0， strlen（$chars）-1）， 1）；

$_SESSION["yanzhengma"]=$ yanzhengma。

（2）產生圖片

$img=imagecreate（100，50）； //新建一個基于調色板的圖像

$blackys=imagecolorallocate（$im，0，0，0）； //為一幅圖像分配顏色

$whitebj=imagecolorallocate（$im，255，255，255）； //為一幅圖像分配顏色

$grayys=imagecolorallocate（$im，200，200，200）； //為一幅圖像分配顏色

imagefill（$im，0，0，$grayys）； //填充顏色。

（3）將字符串繪入圖片中

for（$i=0；$i

$chicun=mt_rand（5，8）；

imagestring（$im，$ chicun，（2 + $i*10）， $str， $ yanzhengma [$i]， imagecolorallocate（$im， rand（0，130）， rand（0，130），rand（0，130）））；}//將字符串橫向顯示出來。

（4）將驗證碼的背景做模糊處理，增加干擾信息

for（$i=0；$i

$suijiyanse=imagecolorallocate（$im，rand（0，200），rand（0，200），rand（0，200））；

imagesetpixel（$im，rand（）%70，rand（）%30，$ suijiyanse）；}。

（5）建立PNG格式的驗證圖像

header（"Content-type：image/png"）；

imagepng（$im）；

imagedestroy（$im）； //將圖像銷毀。

4.1.2 登錄頁面denglu.php

在瀏覽器端頁面denglu.php 文件上顯示驗證碼圖片，登錄者開始登錄時，就顯示新的驗證碼，提交驗證碼后，程序進行核對。代碼為：

……

輸入驗證碼：

……

4.1.3 登錄檢查文件jianyan.php

驗證變量session中的驗證碼信息和登陸頁提交的驗證碼信息是否一致，如果輸入字符與圖片相同，則通過驗證。

if（strcmp（$_post["author "]，$_SESSION["yanzhengma "]）==0）{

echo"通過驗證."；

} else{ echo"請重新輸入驗證碼！"；}。

4.2 應用MD5 算法實現身份驗證

在PHP 中有很多加密算法。例如使用異或（ XOR）運算， 將明文與密鑰進行異或運算得到密文， 再將密文與密鑰進行異或運算還原成明文。

還可以利用PHP提供的crypt（1）函數完成簡單的單向加密功能。單向加密可以加密一些明碼， 但不能夠將密碼轉換為最原始明碼。單向加密的口令一旦落入第三方人的手里， 由于不能被還原為明文，因此對第三方來說也是沒有什么用處的。

如果需要較高的安全性， 可以采用MD5（Message Digest Algorithm 5）散列加密算法。散列算法是指將任意長度的二進制值映射為固定長度的較二進制，，二進制值比值稱為散列值法。散列一段明文后， 哪怕只更改一個字母， 生成的散列值都將變化很大。已經證明， 要找到散列為同一個值的兩個不同的輸入， 在計算上是不可行的。MD5的作用是讓大容量信息在用數字簽名軟件簽署私人密鑰前被/壓縮0成一種保密格式， 即使用一個散列函數，。

將一個可變長度的信息變換為具有固定長度被散列過的輸出， 也被稱作/信息文摘0。固定長度的字符串可以用來檢查文件的完整性和驗證數字簽名與用戶身份。PHP 內置的md5（ ） 散列函數把一個可變長度的信息轉換為128位（ 32個字符）的信息文摘 。可以看出MD5算法是一種較復雜的單向加密算法，加密程度較高。

MD5加密算法在PHP中的應用模式為：

$miwen=”yonghuming1”；

Echo “原文：$miwen”.”

”；

$encrypt_jiami=md5（$miwen）；

Echo “加密后：$encrypt_jiami”；

？>

這里的PHP代碼應用了嵌套的MD5加密模式，把明文編譯散列為密文，長度為32字符。編譯后輸出為：

原文：yonghuming1

加密后：d53862742a272e95a8e7576b87deb121

修改原文中的yonghuming1為yonghuming2，輸出為：

原文：yonghuming1

加密后：0835e7098a4e975b92ee30f072416fe7

以上可見，細微的差別，經過MD5加密后結果大不相同，也體現了MD5機制的加密可靠性。

現在許多系統都用MD5算法對密碼進行保護：用戶登錄系統時，在入口處鍵入用戶名和密碼，程序把密碼經過MD5加密后的值與儲存在數據庫中的密文相較驗，如果相符，就通過驗證。

//首先連接數據庫

if（$yonghu！=0）//數據庫中存在該用戶

{……

if （$mima==$cunmima）

//通過驗證

Else ……//重新輸入密碼

}

？>

5 結束語

依據身份認證技術原理采用PHP腳本語言自動提供動態驗證碼，為用戶校驗賬號和密碼，是計算機信息安全理念的具體體現。模擬用戶登錄應用系統的身份認證模型，使用戶只須完成最初的驗證過程就可以直接訪問應用系統，無須每次訪問一個應用資源都登錄一次，大大提高了工作效率。這個模型與應用系統無關，應用系統無須修改就可使用，具有高度擴展性和延生性。

參考文獻

[1] 王萍利.基于J2EEWeb服務的統一身份認證系統的設計與實現.電子設計工程，2012年24期.

[2] 劉建良.淺談網絡安全身份認證技術的研究分析.數字技術與應用，2012年11期.

[3] 王一平.再論數字化校園中統一身份認證平臺的建設和管理.中國電子商務，2012年15期.

[4] 陶玉龍，盧凱，王小平等.面向云服務的高性能計算柔平臺[J].信息網絡安全，2012，（06）：57-60.

[5] 吳志軍，王娟.基于IPSec的大型機場無線局域網接入認證方法研究[J].信息網絡安全，2012，（06）：14-17.

信息安全審計范文第5篇

關鍵詞：審計視角　信息安全意識

1　發現的問題主要表現形式及成因分析

1.1　發現的問題主要表現形式

筆者曾參加對某一級分行的辦公設備審計檢查，現場隨機抽取多個部門的辦公電腦進行設備安全管理、用戶安全管理及通訊安全管理等三個方面的檢查，結果發現沒有一臺電腦在對上述安全管理的執行方面完全到位，不合規現象較普遍存在。

如電腦上未裝防病毒軟件或病毒庫更新不及時，下載并安裝了不安全軟件或與工作無關的非授權軟件，未設置用戶登錄密碼、開機密碼、屏保密碼或密碼為“111111”、“888888”等簡單數字、密碼長時間未更改過，來賓賬戶未設置禁用，擅自通過撥號（有線/無線）、ADSL等方式直接接入和訪問互聯網以及登陸不安全網站等，同時還關注到部分電腦非工作時間不關機、員工間互相借辦公電腦使用、存有重要數據的移動、設備隨意亂放等現象。

1.2　成因分析

上述普遍存在的不合規現象，究其原因，固然有員工對信息安全風險不識別、制度執行不到位及檢查監督不力、責任追究不深入等方面的因素，但是更深層次的原因還是員工信息安全意識淡薄，對信息安全風險認識不足所造成。如設置用戶開機密碼，本是一個簡單的合規操作問題，無任何復雜度可言，但是就是不執行、做不好，為什么？這恐怕就是員工的信息安全意識上的問題。

2　員工的信息安全意識薄弱的原因分析

造成員工的信息安全意識薄弱的原因是多方面的。一是信息安全價值未具體顯現。因為信息安全價值不能有效量化并分解到每一位員工，并且與員工自己的具體工作相比，信息安全不能對他們的工作成果產生直接影響，因此，在具體工作過程中，很多員工經常把信息安全管理放在次要位置，一切均為方便完成具體工作讓路。二是員工對負面影響的感受效果不明顯。盡管存在客戶資料泄密、機構主機癱瘓，黑客入侵等負面報道，但是真實事件發生在某一員工身上的很少，或者就算由于病毒入侵使該員工電腦癱瘓，但只要主要資料有備份，剩下的完全交給信息技術部門處理，因此，員工感同不深。三是信息安全傳導不到位，思想上認識不足。由于缺乏持續深入的信息安全傳導或者傳導方式、形式不夠靈活，不容易感受和接受，使員工對信息安全的認識處于較模糊的狀態，甚至認為這是領導和信息技術部門的事情，主動信息安全的風險意識不高。四是責任追究不深入，違規成本低。除了出現大的責任事故，否則對員工信息安全方面存在的問題一般處罰較輕或者不處罰。如，用戶密碼為“111111”太簡單，不合規，審計指出后，立即改正，過后又改回來。理由很充分，復雜的密碼不容易記住，又不能記在筆記本上，所以還是簡單的可靠，同時這個問題又不影響日常工作，其領導往往也不會深究，違規成本為零，也間接造成員工思想上的忽視。

3　員工具備信息安全意識的重要性

目前信息技術已經滲透到商業銀行業務的各個層面，信息也逐漸成為各商業銀行的重要資產，其安全管理也引起了金融業高管層的高度重視。為此，各商業銀行紛紛出臺政策、制度等建立健全信息安全管理體系，強化信息資產保護。而銀行員工作為政策、制度及流程的具體執行者，其執行力的高低直接決定了信息資產安全管理的強弱，而其思想上對信息資產安全的重視程度更是成為執行制度規定是否到位的關鍵因素，因此，員工信息安全意識的強弱在信息資產安全管理方面起著至關重要的作用，值得管理層關注。

4　提高員工信息安全意識的建議

4.1　加強信息安全文化建設，提高員工的認同感

一個企業需要一個文化，以提高企業員工的凝聚力，同樣，要提高員工信息安全意識也離不開其文化建設，通過強化信息安全文化建設，將信息安全文化根植于每一個員工的腦海中，以提高其認同感和責任感。

4.2　強化信息安全知識的教育和培訓，提高員工安全防范技能

靈活教育和培訓的角度、方式和形式，強化教育和培訓的全面性、針對性。如利用各種媒體在公司內部宣傳安全問題（定期刊物、公司主頁、錄像錄音、在線培訓）等，同時，為達到較高的教育和培訓效果，可以在培訓過程中插入案例，提高員工的感受度，以便更好地理解和接受。

4.3　強化書面安全策略的推行，提高員工的重視程度

如與員工簽訂遵守銀行安全政策與程序的協議、簽訂保密協議等，讓員工感受到信息安全就在身邊，“從我做起，從現在做起”，以促使員工在思想上引起重視。