| 标题 | 关于军队网络审计系统框架组网模式的研究 |
| 范文 | 郭文骏 [摘 要] 从军队网络审计流程的角度可以将军队网络审计系统划分为五个子系统,数据采集系统、数据转换系统、数据分析与处理系统、数据存储系统和安全系统,但由于组网模式在军队网络审计系统中占有重要地位,在研究时将组网模式也作为一个子课题纳入研究范围。 [关键词] 网络;审计;框架 doi : 10 . 3969 / j . issn . 1673 - 0194 . 2018. 03. 024 [中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194(2018)03- 0058- 02 1 组网模式的概念 军队网络审计系统是集数据审查、数据分析处理、实时监控、经济预警等功能于一体的综合性管理信息系统。军队审计网络包括两部分,一是审计内网,审计内网是涉及军队机密的审计管理系统网络;二是审计专网,审计专网是涉及审计作业信息的审计业务系统网络,是审计机构局域网或审计软件系统与被审计单位局域网或数据库之间连接形成的网络,在军队网络审计中审计专网主要依托全军综合信息网建立,而组网模式主要研究的就是这一部分的组建方式。 组网模式是指审计机构为实施网络审计,对记录被审计单位财务收支活动的经济信息系统采取的数据采集、数据传输、数据存储与处理的审计网络的组建方式。组网模式应根据被审计单位的系统状态和实际需求而定。组网模式是一项基础性课题,直接决定着各子系统中技术和方法的选择;而数据采集是军队网络审计的第一步。 2 组网模式的选择 简单地说,组网模式研究的是如何将被审计单位局域网和审计局域网有效地连接起来,最大程度地满足网络审计的需求。由于审计机构管辖范围内的被审计单位众多,各单位地域环境、信息化程度等因素都不尽相同,因此必须根据具体情况选择组网模式。 2.1 组网模式的类型 根据国家“863”计划审计署课题组的研究成果,审计对象系统具有3种数据分布类型,相应地可以确定3种组网模式。 (1)集中式组网模式。这种模式适用于审计对象系统呈数据集中状态的情况,通过单一数据采集点的设置,就能采集到审计所需要的全部数据。 (2)分布式组网模式。这种模式适用于审计对象系统呈数据分布状态的情况,需要通过多级数据采集点才能采集到审计所需的所有数据。 (3)独立式组网模式。这种模式适用于审计对象系统独立性较强的情况,审计所需要的数据在一个单位内就可以采集到。 2.2 组网模式的选择 由于军队财务数据具有分散性,即每个单位的财务数据都由自己单位保存,并不是集中存放,而且各单位财务数据之间又具有相对独立性,虽然有业务来往,但仅限于报表数据的往来。因此,笔者认为可采取独立式组网模式,即审计机构在对被审计单位进行网络审计时,实施单独的一对一的连接。独立式组网模式具有形式灵活,节约审计成本,保护其他单位数据的安全等优点。特殊情况下,可选择现场组网的模式。 3 独立式组网模式设计 3.1 独立式组网模式的逻辑结构 按照系统需求分析以及设计原则,可将军队网络审计组网模式的逻辑结构定义为3个分区,即数据采集区、数据传输区以及数据存储区。 其中,数据采集区的主要工作是将被审计单位信息系统的财务数据和相关经济业务数据,采集到审计数据采集前置机中,并进行相应的数据转换和预处理。数据传输区的主要工作是将审计数据采集前置机中的数据,传输到军委审计署或各审计局(处)中心机房的数据中心。数据存储区是军委审计署或各审计局(处)中心机房数据中心,其主要工作是将采集到的或经过预处理的数据进行集中存储和集中管理,并对审计证据进行归档存储管理。 3.2 独立式组网模式 独立式组网模式的目的就是审计机构能方便、快捷、安全、完整地获取所需要的数据。无论采用何种组网模式,数据在网络中的流向总是确定的,即首先在被审计单位获取审计所需数据,通过网络传送到审计机构内部局域网,然后通过审计机构之间的专网传输到上级审计机构数据中心。本文在设计组网模式时,按照组网的逻辑结构组成来研究,即分别按照数据采集区、数据传输区和数据存储区设计。 3.3 数据采集区设计 数据采集区的结构除了上述网络拓扑图中所描述的以外,还包括安全采集卡和控制服务器。数据采集区设计所要研究的正是如何将这些设备有效连接。笔者认为有两种方案。 第一种方案是设置前置数据采集机,并放置在被审计单位一端,使用安全卡保证前置机与被审计单位数据库、前置机与传输网之间的物理隔离。 这种方法的优点是:能够加强采集系统的安全性,保证被审计单位内部局域网不受外网的安全威胁;缺点是:对前置采集机的控制技术比较复杂,数据经过的流程太多对数据的完整性有影响,采集的效率也有所降低。 第二种方案是不需要前置数据采集机,而是在被审计单位内部局域网内,设置专用数据库服务器,直接与传输网连接,并在被审计单位内部局域网内设置安全卡保证专用数据库服务器与内部局域网、专用数据库服务器与传输网之间的物理隔离。 这种方法的优点是:可以不影响被审计单位的正常工作,并减弱对被审计单位内部网络的安全威胁,可以节约成本并提高采集的效率;缺点是安全风险加大,被审计单位内部局域网与外网的直接连通可能会带来安全隐患。 3.4 数据传输区设计 数据传输区是指从数据采集完毕到审计机构数据中心接收之前数据所经过的网络区域。数据传输区设计要考虑两大内容:一是数据的传输方式,二是数据传输的安全需求。 数据的传输方式有多种,军队网络审计主要依托全军综合信息网,但由于全军综合信息网还正在建设和完善当中,并没有在全军普及,而且随着网络技术的发展,采取无线和其他方式进行网络审计也不是遥不可及的事情,加上由于一些部队地处偏远地区,要进行专线连接也是浪费成本,因此数据的接入方式要做好多样性的准备,至少审计机构接入路由器应支持多种接入方式。数据传输中的安全威胁主要来自于外部攻击和外部截获。防范的主要对策有两种:一是对源数据进行加密,主要靠加密机来实现;二是采用对传输中的数据加密,主要靠传输技术如VPN技术、SSL技术等来实现。 3.5 数据存储区设计 数据存储区属于审计机构内部网络区域,因此进行军队网络审计数据存储区设计需要对审计机构内部网络进行改造和更新。 数据存储区的设计主要考虑以下几方面内容:一是网络接入方式,在独立式组网模式下,由于其传输方式的多样性,网络接入方式可能有多种,因此路由器、交换机等设备必须支持光纤、有线、无线等接入方式;二是存储需求及设备的配置,存储设备的配置要根据各审计机构实际的存储量需求确定,在本着成本效益原则的同时又要考虑数据的积累性和系统的可扩展性。 4 现场组网模式设计 网络审计按照实施方式的不同可以将其分为远程网络审计和现场网络审计两种,在没有特殊说明的情况下,本文中网络审计一般指的是远程网络审计。现场网络审计是指审计人员在被审计单位现场参与组网,并利用被审计单位现有网络资源与审计人员工作使用的计算机进行连接而形成局域网,在局域网中对被审计单位数据库进行数据采集和分析处理的一种网络审计模式。现场组网模式中,由于审计人员要参与到被审计单位现场,使得网络审计的跨时空优势得不到发挥,但与现场手工审计相比现场组网审计仍然具有快捷方便高效的特点,特别是对于某些地位偏远、通信不畅的被审计单位来说不失为一种好的方法。现场组网模式与远程组网模式相比,省去了传输区域,从网络拓扑上看,审计人员可以看作是被审计单位局域网的一部分,即审计人员工作站直接接入被审计單位内部局域网,这样对安全的要求大大降低,消除了外来的安全威胁;并且不需要昂贵的安全体系设备,可以大大降低审计成本,在现场组网中可以充分发挥网络优势,形成审计资源共享、多人协同、分工协作的优势,而且技术上相对简单。另外,根据“军审工程”作业系统的设计,审计人员可以在同一台服务器上根据不同的分工对同一审计项目进行审计,还可以在多台服务器上通过制作分工盘的方式分工协作,这与现场网络审计的优点恰好一致,因此笔者认为在网络审计的推广过程中,现场组网模式有可能成为运用较为广泛的一种方式。 主要参考文献 [1]陕西省审计课题组.政府预算执行联网审计研究[J].审计与经济,2006(3). [2]颜峻.网络环境下审计理论的构建[J].现代管理科学,2005(1). |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。