随着我国互联网技术的快速发展,基础的网络设施得到进一步完善,互联网在各企事业单位中得到充分利用。
【1】学校网络安全审计系统的研究与探索
近几年,学校投入大量人力、物力、财力进行信息化建设,利用网络来管理校园工作、发布信息,提高了学校的工作效率。
在信息系统快速发展的同时,网络管理的安全问题日益突出。
因为学校的工作人员除了利用网络办公外,还有利用网络购物等一些与办公无关的行为,这之间可能有意无意地泄露了学校的机密,学校很难追查是谁泄密的。
因此,如果对网络不进行监管,网络安全问题将成为学校的效率的杀手,并给学校带来很多麻烦。
1 网络审计功能特性概述
1.1 机器分组管理
网络审计可以实现对局域网内IP地址和机器名的搜索,并对搜索到的机器信息进行分组管理。
自动分组功能可实现对指定IP段机器的自动分组,可生成多级树形结构的组织架构,针对不同级别来进行分组管理。
1.2 上网人员控制
网络审计支持12种认证和识别方式,包括邮箱认证、AD域认证、本地Web认证等,可以设定部分或全部机器须用账号上网,通过对账号的分组管理,可实现在同一机器上不同用户具有不同的上网活动权限。
1.3 丰富的策略分配机制
网络审计支持针对组织全局和部分的控制,支持对组织内用户账号、IP、MAC、分组的策略分配根据上网人员的账号或机器及上机范围来对其网络活动权限进行控制。
1.4 全系列娱乐应用封堵
网络审计系统支持对魔兽世界、QQ游戏等近百个市场上主流的网络游戏,大智慧、指南针等二十几个财经股票软件,以及MSN、QQ等常用的即时通讯工具进行实时的封堵,保障组织人员的工作学习效率。
1.5 针对关键字的封堵控制
网络审计支持针对内容关键字的各种应用封堵,包括文件传输、远程登陆、邮件收发、即时通讯等,支持针对用户名的关键字模糊匹配,支持对文件传输的文件类型以及文件内容关键字进行封堵控制,支持邮件内容、标题、附件名、附件内容以及发送、抄送、暗送的地址进行关键字封堵,保障组织内部的敏感信息不外泄。
1.6 URL地址关键字过滤
根据上网请求,对URL中的关键字进行智能模糊匹配过滤,与关键字匹配的网址将被限制访问。
1.7 流量封堵控制
网络审计支持对用户的日、周、月流量进行上网控制,支持对上行、下行流量进行分别统计控制,用户在每日、周、月流量限额用完后将无法正常上网,控制组织内用户的外网访问流量。
1.8 用户自定义协议控制
对于系统未知的协议类型和网络应用,用户可根据自己的需要,添加相应的协议特征实现对自定义协议的审计和控制。
1.9 审计网络行为
系统的网络数据包通过捕获来分析,不仅可以还原完整原始信息协议,还可以准确地记录关键信息的网络访问。
网络审计系统支持几乎所有的网络行为的审计,能识别所有常用网络协议的应用,支持对几乎所有网络搜索引擎关键字的审计,支持对网页登录、聊天工具登录、网络游戏登录等应用登录的账号审计。
1.10 深度内容审计
网络审计系统可获取邮件、论坛发帖、聊天记录等所有内容,支持所有Web邮件、SMTP/POP3邮件的内容和附件审计,支持对热点论坛、博客、微博的发帖、留言等的内容及附件审计,支持对网页聊天室、MSN、飞信等聊天工具的聊天内容审计。
1.11 敏感信息告警
网络审计系统可设置行为报警策略和内容关键字审计策略,对触发敏感信息的网络行为进行行为告警处理,对触发敏感内容关键字的论坛发帖、网络聊天、邮件收发等行为进行相应报警处理,支持邮箱和短信的报警方式。
1.12 报表统计与数据分析
网络审计系统支持对用户、行为、关键字、流量及趋势等的数据统计,生成报表及数据分析和展示。
通过数据的柱形统计图清晰明了地展现出组织内用户的网络行为情况,IT决策人员通过图形情况了解用户上网行为趋势、了解组织带宽利用分布,可以提出整改网络带宽方案作为参考之用。
2 网络审计部署概述
网络审计系统部署通过分布式部署和串接部署这两种方式进行灵活的结合,如果在不同的网络的环境,可以实现不同的管理模式以及不同的目的控制。
下面简单地介绍3种典型的部署方案及其示意图。
2.1 单台旁路铜纤镜像
第一种部署方案是单台旁路铜纤镜像,用户的交换机必须对端口镜像进行支持,它们之间的连接必须以铜缆为介质,这是它的适用环境。
该方案主要用于简单的学校和企业的二层和三层网络,审计设备主要是从交换机的镜像端口获取数据,并且该方案旁路部署接入的是最有代表的方案。
该方案对原有网络的性能没有影响,而且部署简单、容易维护,如图1所示。
图1 单台旁路铜纤镜像
2.2 单台旁路光纤镜像
第二种部署方案是单台旁路光纤镜像,它适用的环境是用户的交换机必须支持端口的镜像,它们之间必须以光纤作为介质来连接。
该方案是审计设备使用光纤作为介质来用于端口镜像最典型的方案,它主要用在学校及企业的二层或三层网络上,和第一种方案一样都是通过镜像端口来获取数据,获取的数据要使用相应的协议对它进行还原分析。
该方案部署方便且简单,维护也非常容易,对原来的网络没有影响,如图2所示。
2.3 光纤网络双链路分光
第三种部署方案是光纤网络双链路分光,用户使用的交换机不能用来做端口镜像,必须具备2个或以上,并且独立的物理网络,还有就是在一个逻辑的网络中,使用具有核心功能的两台交换机建立一个均衡或热备的网络,通过上面描述的条件才能使用该方案。
该方案是在对千兆线路解决的情况下,交换机不能做端口镜像的时候采用的分光的方案,该分光器采用双向的链路对两组分别进行分光,然后使用4个光口捕获审计数据,并对获得的数据进行还原及更深层次地分析。
该方案使用一台审计设备可以同时捕获一个很冗余或两个不通的网络数据,此方案是光纤部署最典型的方案,如图3所示。
图2 单台旁路光纤镜像
图3 光纤网络双链路分光
3 结 语
本文介绍了网络审计系统的功能特性及其部署方式,网络审计系统主要包括上网人的控制、全面的网络行为审计、深度内容审计、敏感信息告警等功能;部署方式主要介绍了单台旁路铜纤镜像、单台旁路光纤镜像及光纤网络双链路分光等三种部署方式。
学校安装审计系统和使用设计系统,能帮助管理人员对学校上网的人员进行审计、记录及分析,使管理员有针对性地对网络进行管理。
【2】高等学校预算控制审计的模式及分析
一、实施预算控制活动审计的必要性
高等学校预算(以下简称:高校预算)是国家整体教育经费预算当中的一个重要组成部分,搞好高校预算的控制与管理,不仅仅是学校本身财务管理的职责所在,更是国家整体教育经费预算管理的根本要求。
因此,加强高校预算控制与管理,积极实施对预算控制活动的全方位审计,对于保证合理筹措、分配和使用辦学资金,提高教育资金使用效率,加强和促进高校事业健康快速发展,保障国家教育经费宏观调控管理有着极其重要的作用和现实意义。
主要体现在:实施预算的控制与管理,有利于完善高校财务收支及经济业务活动监督管理,更加有效保障了学校各项资金的规范化使用。
实施预算的控制与管理,有利于加强国家宏观政策指导层面的调节控制,充分明确国家与学校之间的关系,有利于促进国家教育体制的改革和完善。
实施预算的控制与管理,进一步强化了预算的约束性,增强了学校预算管理的责任。
二、预算控制活动审计的业务流程模式
高校预算控制活动审计是依据学校整体预算程序来进行的,主要包括预算编制、预算执行、预算调整等方面控制情况进行审查和评价,并提出审计建议或意见。
(一)预算编制
高校预算编制环节控制活动审计是指审计人员对预算编制内容、方法及原则性等方面进行审查。
1.预算编制内容包括业务预算、投资预算和筹资预算。
预算编制内容审查应着重关注编制的学校预算是否完全符合当时学校整体发展规划需求、教育事业经费要求、投资和筹资计划以及重大项目决策需要。