要写好一篇逻辑清晰的论文,离不开文献资料的查阅,小编为大家找来了《电信公司审计信息化建设论文(精选3篇)》,欢迎阅读,希望大家能够喜欢。W市是个地级市,市数据中心一期工程是去年年底完成的,一期建成的计算机网络、软件应用平台、提高了政府部门的办事效率,通过视频会议,网上访谈、网上论坛等方式增强了市各级领导与普通老百姓间的联系。
电信公司审计信息化建设论文 篇1:
数据库安全审计技术及应用探讨
摘要:随着计算机和网络技术的发展,网络信息系统的应用越来越广泛。数据库作为业务平台信息技术的核心和基础,承载着越来越多的关键数据,其安全性也越来越重要。因此对于数据库安全技术的研究及应用也受到我们的高度重视,本文主要阐述数据库安全审计技术的研究应用情况。
关键词:数据库;安全;审计
1 概述
随着政府部门、金融机构、企事业单位、商业组织等对重要数据库业务系统和数据库应用系统依赖程度的日益增强,数据库安全及数据安全的问题受到普遍关注。
数据库是存储很多重要数据和一些敏感数据的系统,且会对很多用户开放增删改查等权限。由于访问者众多,所以泄露的路径也会变多,且泄露后无法溯源泄露路径,重要数据和敏感数据的泄露会给企事业单位造成重大损失,所以必须采取适当的措施进行数据库内数据的防护。
同时由于信息化建设、业务增长、系统上云等因素,在各系统中的数据库服务器也不断增加,对数据库的管理的方式和通道也日趋复杂多样,数据安全问题日益突出,引发了诸如滥用特权账号、滥用合法权限、身份验证不规范、敏感数据泄露、安全防护措施不足等各类安全问题,并加大了安全管理的难度。
以威瑞森电信公司(Verizon)发布的《2019年数据泄露调查报告》统计:
受害者范围:16%的受害者是公共部门实体;15%为医疗行业单位;10%是金融行业;43%是小企业受害者。
在违规行为的使用策略方面:28%涉及恶意软件;15%的安全事件与被授权用户滥用有关;21%的违规行为是触发式的;4%的违规行为中存在肢体动作。33%的安全事件包括社交攻击;52%的漏洞以黑客攻击为特点。
在幕后黑客方面:69%的安全事件是外部人员所为;34%的安全事件是内部参与者违规操作所为;39%的违法行为是有组织的犯罪集团所为;23%的违规行为被确定为民族国家或国有企业的角色参与。2%的安全事件是合作伙伴所为;5%为多方当事人。
在其他共同点方面:71%的数据泄露事件是出于经济动机;25%的数据泄露事件是间谍活动,为了获得战略优势。32%的数据泄露事件涉及钓鱼网络;29%的数据泄露事件涉及账号信息被盗;56%的数据泄露事件需要数月或更长时间才能发现。
数据安全任重道远,如何在互联网发展的大潮下同时确保信息安全,已经成为全世界各行业普遍关注的焦点问题。目前市场上有很多的网络安全产品,也可以对通过网络泄露数据起到一些防护作用,但是由于这些技术只能对网络进行安全防护,距离数据库较远,无法从根本上防止这些数据库泄密风险。只有在现有的安全防护体系中,补充对数据库的防护这一环节,部署“术业有专攻”的数据安全管理系统,才能从根本上解决数据安全问题。
2 数据库安全的功能需求
1)了解数据资产的分布。需要通过技术手段对数据的资产进行分类分级,定位出敏感数据并标识。
2)数据库状态监控。需要能对数据库的运行状态进行实时的监控,了解数据库的并发量等状态,在状态不正常时进行提前预警,防止业务瘫痪,保障业务系统的连续可用性。
3)数据库风险监控。需要能通过系统漏洞、配置风险等扫描的方式,评估出数据库系统的风险。
4)数据活动情况监控。需要实时监控数据的活动情况,记录数据的增、删、改、查等行为,能实现对数据库的直接访问和通过Web和应用对数据库的间接访问对敏感数据进行全面监控。
3 数据库安全审计技术的总体设计与功能实现
3.1 总体设计
数据库审计以旁路方式部署于网络中靠近数据库服务器的位置,根据5W原则—— Who、Where、When、How、What,实时监控业务系统及管理员等用户对数据库的所有操作行为,根据多种安全策略判定访问操作的风险等级,并根据风险等级选择性的告警,实现完全独立于数据库的审计与追溯功能,便于事后查因定责,为数据安全筑起最后一道防线。功能实现示意图如下:
3.2 功能实现
3.2.1 技术概述
数据库审计系统以旁路部署侦听的工作模式,能对主流数据库进行深度解析与审计分析,可以提升数据库运行监控的透明度,真正实现数据库全业务运行状态的可视化、各种数据库日常操作可监控、对于高风险操作实时阻断、安全事件事后可追溯。
數据库审计系统基于五“W”理念,即:什么人在什么时间在数据库的什么地方做了什么操作是如何操作的。设计出针对数据库安全的专业解决能力,可以解决以下问题:识别越权使用、权限滥用,管理数据库帐号权限;自动跟踪敏感数据访问行为,及时发现敏感数据泄漏;自动检测数据库系统运行弱点、发现SQL注入等漏洞;自动创建数据库业务模型、及时发现异常SQL;实时监测SQL交互量、TCP会话、风险行为等态势;为数据库管理与优化提供决策依据满足法律、法规要求,提供符合性报告;低成本且有效推行IT管理制度。
数据库审计系统还提供灵活的告警策略、细粒度的审计日志和合规性的报表,解决数据库面临的“越权操作、权限盗用、权限滥用”等数据泄露安全事件的威胁。
3.2.2 数据库采用技术
数据库审计系统采用了SQL语法分析技术,分析、过滤发往数据库的SQL语句。根据预先制定的策略决定是否对某SQL语句或访问行为进行记录,这种审计方式可以避免记录大量无用的、无风险的日志,减少占用空间并提高发现问题的准确度。预先制定的策略包括:
白名单规则,即遇到该名单认可的SQL语句时,防火墙就将其看作正常语句,不做记录。
黑名单规则,即专门记录该名单未授权的SQL语句。
例外规则,即可以灵活地让适用的安全策略无效。
属性规则,即通过主客体的属性记录访问行为,如一天中的时间、IP地址、用户和SQL类等属性。
3.2.3 数据库状态监控
数据库状态监控的目的是保证数据库系统一直处于健康、稳定的运行状态。通过监控数据库系统的内存使用状况、缓冲区管理统计、连接统计、Cache信息、锁信息、SQL统计信息、数据库信息、计划任务、线程信息、键效率、缓冲区命中率等信息来判断数据库系统运行是否出现异常,出现任何异常会立刻告警通知管理员,防止数据库系统崩溃。
3.2.4 数据库风险扫描
数据库风险扫描中将数据库中潜在的风险或漏洞,进行全面的扫描,以减少数据库被攻击或数据泄露的风险。功能包括:
弱口令检测,即保证数据库账号的口令强度和更换周期,确保不存在缺省口令、弱口令和长期口令。
软件漏洞扫描,即检测数据库系统存在的各种软件漏洞,如缓冲区溢出漏洞。
权限分配风险,即对各个数据库账号的权限进行分析,及时发现权限分配不合理的情况。
数据库配置风险,即根据安全策略检测数据库系统中各种配置参数的安全性。
操作系统相关风险,即根据安全策略检测操作系统中各种配置参数(与数据库相关配置)的安全性。
通过数据库风险扫描功能可以减少、弱化大多数人为与非人为造成的数据库风险,提高数据库的安全性。
4 数据库安全审计技术的应用
1)实时会话展现。不仅可以实时展现实时在线的会话,而且可以实时展现会话中的风险级别数据,让数据库的访问和数据库的风险“一目了然”。
2)细粒度的SQL审计日志。通过5“W”的设计理念,最终实现能审计详细的SQL日志信息,包括但不限于支持对执行时间、数据库账号、来源IP、来源端口、来源MAC、客户端工具、目标IP、目标端口、目标MAC、数据库实例名、SQL语句、执行时长、SQL类型、SQL命令、操作对象、二级操作对象、SQL行数、SQL状态等至少25个条件进行审计。
3)多条件的全文检索机制。数据库审计系统不仅可以做细粒度的审计,而且提供了丰富的检索条件,包括但不限于:来源信息、目标信息、操作类型、操作内容、关键字、响应时间、返回行数、风险级别等。
4)智能的数据分析技术。数据库审计系统利用secsmart审计引擎,内置了智能的自动建模机制,最终实现正常与异常的数据分析能力;不仅帮助客户梳理常态化的数据类型,而且可以有效快速地发现异常访问;一旦发现异常则及时告警并通知管理员。
5)数据自发现、自告警功能。数据库审计系统中内置了丰富多样的威胁特征库和风险规则库,可以有效地对SQL注入、缓冲区溢出、暴力破解数据库等行为进行及时告警,为管理层提供风险分析依据。
5 数据库安全审计技术的价值意义
通过上述解决方案,将有效解决用户所面临的数据安全治理的需求:使数据安全可视、使数据安全合规。可以带来如下价值:
1)实现对数据库的全面监控。用户通过部署审计系统可以了解数据资产的分布情况,对数据系统的可用性、风险性以及对数据的操作都一目了然;并结合企业对于数据安全的管理要求加以监督,从而达到提高员工安全意识,强化员工操作规范目的。
2)满足法律法规的要求。随着竞争压力的不断提高以及客户的法律意识不断加强,各监管机构也出台了与信息安全特别是敏感数据保护相关的各种合规要求,因此需要通过相应的技术手段合规落地。
3)便于责任认定。对于出现的违规事件可以完整记录,并在必要时加以追溯,同时记录的事件可确保其完整性、防篡改性及不可否认性,以满足审计部門的要求。
4)提升数据安全管理能力。简化业务治理,提高数据安全管理能力。完善纵深防御体系,提升整体安全防护能力。减少核心数据泄漏,保障业务连续性。
参考文献:
[1] 贺桂英,周杰,王旅.数据库安全技术[M].北京:人民邮电出版社,2018.
[2] 黄水萍,马振超.数据库安全技术[M].北京:机械工业出版社,2019.
[3] 刘昉.数据库应用与安全管理[M].北京:机械工业出版社,2020.
[4] 杨茹.计算机网络数据库的安全管理技术探讨[J].内蒙古科技与经济,2019(23):57.
[5] 洪亚兰.计算机网络数据库的安全管理技术分析[J].电脑编程技巧与维护,2019(11):84-86.
[6] 陶然,张苏炯.大数据技术下安全审计系统的研究分析[J].中国信息化,2020(4):90-91.
【通联编辑:唐一东】
作者:王彦
电信公司审计信息化建设论文 篇2:
拖期过程如何了结
W市是个地级市,市数据中心一期工程是去年年底完成的,一期建成的计算机网络、软件应用平台、提高了政府部门的办事效率,通过视频会议,网上访谈、网上论坛等方式增强了市各级领导与普通老百姓间的联系。
数据中心第一期工程的成果为W市的信息化建设带来了新的生机,今年年初,市里要将这一成果进一步推广,使全市各区县、乡镇、村、居民小区都能享用到信息化建设的成果,市里着手规划信息化第二期工程的建设。
鉴于W市信息化建设的积极成果,省里相关部门经过慎重考虑,决定拨款近千万元,用于W市的信息化推广。
柯主任和他的团队兴奋极了,他们在原有的规划方案上进行细化。信息中心全体加班加点,很快一幅W市及其下辖十多个县区、近百个乡镇的信息化二期建设蓝图出来了,经过多次论证、修改,市委领导十分满意,即报请省信息化建设主管部门审定。
随即,W市组建了由王副市长牵头,纪检委、财务、信息中心等相关领导参加的项目领导小组,信息中心柯主任担任了副组长兼项目实施现场负责人。通过正常政府采购招标流程,于四月初确定了承建单位与项目监理单位,四月中旬开始了项目实施。
由用户方、承建方及监理方组成的项目实施小组,按部就班,从方案审定、设备进场调试、相关软件本地化开发、人员培训等,进展顺利,W市附近的区县、乡镇的机房、设备及相关应用软件均已安装调试完毕,各区县、乡镇的局域网建成并与市数据中心相连,实现了市数据中心与这些区县、乡镇的数据交换,试运行反应良好,到10月底,还有两个离职较远的县及其所属乡镇,尚未接入数据中心的网络。
这两个县、地处山区,与市相隔几十公里,交通不便,如直接采用光纤专网连接,建设经费及以后维护费用较大,考虑到该两县人口较少,数据量也少,所以,实施方案中的网络连接采用了VPN+IP的方式,即通过互联网来实现数据交换。为确保数据安全,该方式不同于通常的VPN的方式,还需要电信公司的配合,将用户的IP专用化。
因此,实施中要面对多个电信分公司,反复解释方案,多次进行商务谈判,实施环节颇多,致使工作进展不尽人意;另外,为确保W市整个网络的数据安全,规定了这两个县的终端,除了与市数据中心进行信息交换外,不得作其他用途,更不能随意上网,这也造成了有些用户热情不高,配合不力;加上山道弯弯,每次去现场都很不易。种种原因,严重地影响了工程的总体进度。
出现上述情况,在年初进行项目经费预算时,确实没有预计到,没有向省上财政部门预先说明此事,现在该怎么办?要想在年底前实现这两个区县、乡镇的网络连接,投入正常运行,难度确实很大。
柯主任想让数据中心的二期工程作为一个特例,先进行总体验收,把这两个县的剩余工作作为遗留问题来处理,监理方的总监理工程师老张固执地认为,项目没有全部完成,就不能验收,至于财政审计等事,甲方应自己解决。
马上到年底了,政府部门的事情特别多,对剩余工作的完成,肯定会带来一定的影响,柯主任心中真是着急,王副市长让柯主任尽快提交一个工程进度情况报告,对工程进行全面分析,供领导小组开会时讨论,以便形成一个正式意见,向省信息部门与财政部门报告,这个报告该如何写呢?柯主任想到自己从年初忙到年尾,却是这样的结果,他很是郁闷。
作者:翁沧南
电信公司审计信息化建设论文 篇3:
基于内控建设的通信企业价值提升探析
【摘要】 美国《萨班斯法案》(又称SOX法案)生效以来,国内外大型企业对内控建设纷纷重视起来,其中不乏像中国移动、中国联通和中国电信这样的在美国本土上市的电信运营企业。而作为影响百姓日常生活和国家信息安全的重要行业,加强对通信企业的内控建设、提升通信行业的企业价值对于推动通信产业健康发展、保障国家信息安全具有重要意义。本文将以此出发,重点探讨通信企业的内控建设面临的现状及问题,研究提出相应解决方案,以供参考。
【关键词】 内控建设 通信企业 价值
一、通信企业内控体系建设的必要性
1、内控建设是完善公司治理的内在要求
现代企业发展到今天,企业的组织结构和管理形态均发生了重大的变化,一些企业的规模呈巨型化、集团化、全球化,随之而来的是各种各样的内部管理问题,管理不慎出现漏洞,就会出现诸如材料耗费严重、经费使用超标、人浮于事等现象,严重影响企业的正常运营和长久发展,威胁企业的生命。因此,加强内控体系建设,完善现代企业的内部治理殊为重要。内控体系建设能够帮助企业加强内部控制管理,完善企业治理结构,健全企业制度体系,改进管理漏洞,提高企业的内部管理水平和效果。
2、内控建设是增强企业核心竞争力的必然要求
当今企业面临的竞争环境日益复杂,面对全球一体化和经济危机的双重压力,加上国家对通信行业尤其是增值业务行业的大力整顿,通信企业的生存环境不容乐观。虽然,经济全球化也带来了发展机遇和国际业务,然而通信企业却不得不面临诸如沃达丰、苹果、三星、索尼等通信巨头的竞争,而人力成本高企、专利费用等则导致企业生产成本居高不下,经济危机又引发市场转冷,产品销售受挫,通信企业雪上加霜。目前,我国通信企业的技术实力与发达国家相比还有差距,通信企业只有通过加强内部控制体系建设,从管理上提高自己,缩短与国外企业的差距。同时,内部管理的提高也能为企业降低生产成本,积蓄成本竞争优势,进而能够有更多的资金加大对技术科研的投入力度,补齐技术短板,增强自身核心竞争力。
3、内控建设是三网融合背景下通信企业实现发展的客观要求
三网融合是指电信网、广播电视网、互联网之间的技术改造和融合,以实现为用户提供语音、数据和广播电视等多种服务的最终目标。三网融合是国家为未来信息产业指明的发展方向,既有利于通信行业的整体良性发展,也为消费者提供了便利和实惠。然而,三网融合过程中,原来电信、广电和互联网的行业壁垒将被打破,各企业不再划疆而治,而是逐步融向大的三网平台,届时企业所面临的竞争环境和业务主导方向也更为复杂和多元,如当前移动公司仅负责电信和固网业务,一旦实现三网融合,其必然面临企业重组,业务范围扩大至三网,企业所面临的经营管理压力也将增大,内部管理矛盾将逐步凸显。因此,在三网融合过程中,企业只有加强内控建设,理顺业务关系和发展方向,才能争取发展先机,在三网融合后取得竞争优势,实现更大的发展。
二、通信企业的内部管理现状
1、缺乏正确的内控意识
我国企业多数是“轻管理、重生产”,通信行业企业也不外如是。很多通信企业认为内控建设是大企业、大集团的事情,目前与自身无关,等自己以后发展大了再进行内控建设也不迟;有的通信企业认为内控束缚了企业生产经营的自由,容易使得企业缺乏灵活性和创新性;有的企业则认为内控就是简单的制定公司内部章程,然后执行即可。这些片面的、错误的认识导致很多通信企业的管理者不愿推行内控体系建设,即使企业内部管理真的出现了漏洞,也仅仅是简单处理、就事论事,而不考虑从管理上根本解决,导致很多问题一再重复发生,给企业造成了巨大的损失。领导尚且如此,下面的员工可想而知,大多对内控存在错误、片面的认识,怀有抵触情绪,在工作中不配合、不支持,导致企业内控工作难以开展。
2、企业管理制度不完善
一些电信企业如联通、移动和电信等,还存在较浓厚的行政色彩,尤其是集团和省一级的公司,行政色彩更为浓厚,企业产权制度贯彻不明显,内部管理行政手段过多、企业意识不足,存在一些官僚主义现象,机构臃肿、人浮于事、办事效率低等,降低了企业的生产经营能力。同时,这些电信企业过多的管理层级也带来了管理上的不便和信息沟通的困难,影响了企业的经营效率。另外,有的通信企业机构岗位设置不合理,导致权责不清,出现多头管理或无人管理的怪象,各部门之间推诿扯皮现象严重。有的企业没有遵循职位不相容制度,导致一些领导既分管财务和审计,又分管投资和采购,有的人员既担任会计又担任出纳,财务风险相当大。此外,一些企业的操作流程不规范、不合理,导致员工在执行过程中难以执行,制度流于形式。
3、风险管理意识不强
风险贯穿于企业生产经营活动的全过程,是客观存在的,不以企业的意志为转移。企业应该树立正确的风险观念,增强风险防范意识,以积极有效地防范和应对企业风险。由于通信行业技术更新速度快,又涉及信息安全,面临更多的技术风险和政策风险,如三大电信公司花费巨额人力、财力、物力投入建设3G网络后,4G甚至5G网络技术已经开始成型了。然而,很多通信企业缺乏风险意识,对自己所处环境面临的风险没有察觉、或是察觉了但无动于衷,结果只能在风险来临之际仓皇应对,使本来可以减小甚至避免的损失扩大化,甚至造成难以挽回的影响。
三、构建价值提升导向的内控体系
1、提高领导和员工意识,树立正确的内控观念
通信企业管理层应该提高内控意识,改变过去“轻管理、重生产”的片面思想,将认为内控是应付监管要求、是对企业经营自由的约束等错误思想转变为认识到内控能够增强企业对内部的控制能力和管理能力、降低企业生产经营成本和增强核心竞争力上来,提高对内控建设的重视程度和支持力度。同时,管理者也要避免“内控就是一切,内控就是万灵药”的极端思想,认识到内控是一个不断优化、不断改进和不断完善以适应企业内外部经营环境的动态过程,不能将一切问题解决和希望寄托于内控建设,也不能操之过急,欲速则不达,妄图一蹴而就而匆匆上马必然导致内控管理实效,反而挫伤企业和员工的信心。同时,企业应该加强宣传力度,在内部印发宣传内控制度的员工手册,营造内控文化,形成上下齐心的合力。
2、完善公司治理结构,建立严密清晰的管理体系
内控建设离不开组织机构保障,同时,健全的内控体系也能促进组织机构维持良性高速运转,避免出现权责不清、推诿扯皮、管理混乱等现象。因此,企业在内控建设过程中,应该注意完善公司的治理结构,建立严密清晰的管理体系,尤其是像联通、电信和移动这些行政色彩比较浓厚的国有企业。企业应加强组织机构设计,注意机构的扁平化管理和职能的集中化管理。如移动集团公司目前采用集团、省、市、县四级管理层级,管理层级过多,影响了企业的灵活性和信息畅通。移动集团可以通过缩减市县公司数量和职能,只保留其营销和服务职能,将其他管理职能集中到省一级,减少职能重复设置。在内部岗位设置和人员安排上,根据SOX法案要求,应明确企业的岗位设置和要求,对企业生产经营流程进行梳理,并编制流程文档与流程图。例如中国移动集团为了应对SOX法案的审查要求,就通过对自身经营流程进行再优化和设计,突出关键控制点,对手册内容优化、简化,便于内控执行与评估。
3、构建风险管理体系,推进全面风险管理
首先,建立风险预判体系。应根据企业的战略目标和所处经营环境,研究分析企业当前可能面临的风险,风险无外乎是经营风险、财务风险、政策风险、行业风险和管理风险等,企业可以从这几方面着手进行研究分析,根据当前通信行业的发展情况,结合企业自身实际研究确定。其次,建立风险评估体系。进行风险预判后,企业应该针对预判风险进行科学、合理的评估,结合风险发生的可能性、损益性和对企业经营的重要性等进行评估分类,划分出不同等级的风险,明确核心风险、重要风险和一般风险,以便集中精力应对核心风险和重要风险。最后,建立风险应对体系。风险应对体系应包含风险预警和风险处理两个方面,通信企业应该加强对关键领域和重要部门的风险追踪监控,及时发现苗头。同时,制定风险应对预案,以充分应对可能发生的风险。此外,企业还应加强信息化建设,健全风险处理能力和提高企业管理能力。
4、加强内部监督管理,充分发挥审计监督职能
审计是对内控管理的再监督,又分为内部审计和外部审计。内部审计上,企业应该健全独立的审计组织机构,确保其能够独立充分的行使审计职能。同时,企业还应注重加强对内部审计人员的培养力度,增强审计人员的观察力和分析能力,避免审计结果不全面、不深入,流于形式和表面化。企业应定期开展内部审计,并完善审计形式,如实行季度审计、年度审计等,加强对重点领域和关键部门的审计。企业还应健全审计报告制度和结果问询制度,审计机构将审计过程中发现的问题及时报告,以便管理层进行研究和分析解决。在外部审计过程中,SOX法案要求上市通信企业必须聘请外部审计机构进行审计,企业应配合外部审计机构的审计工作,并对相应的法律责任作出明确规定。企业应注重对外部审计机构的选择,注重选择口碑好、实力强、行业经验丰富的外部审计机构,同时加强同外部审计机构的沟通,内部审计资料可与外部审计机构共享,以减少资源浪费。
四、结论
通信产业未来还面临着巨大的发展空间,通信企业应该立足于自身内控建设,抓好思想管理,抓好制度管理,抓好风险管理,抓好监督管理,以进一步提升企业价值,增强企业的经济效益,实现企业的健康稳定发展。
【参考文献】
[1] 林志强、胡日东:我国电信运营商全面风险评价指标体系研究[J].科技管理研究,2012(15).
[2] 刘玉芹、胡汉辉:电信产业链网状化与电信市场竞争[J].中国工业经济,2011(10).
作者:朱裕妹