設備管理審計報告

Ⅰ 審計報告求寫法 急急急急

保留意見審計報告
審計報告
萬科股份有限公司全體股東：
我們審計了後附的ABC股份有限公司（以下簡稱萬科公司）財務報表，包括2011年12月31日的資產負債表，2011年度的利潤表、股東權益變動表和現金流量表以及財務報表附註。
一、管理層對財務報表的責任
編制和公允列報財務報表是x公司管理層的責任，這種責任包括：（1）按照企業會計准則的規定編制財務報表，並使其實現公允反映；（2）設計、實施和維護必要的內部控制，以使財務報表不存在由於舞弊或錯誤導致的重大錯報。
二、注冊會計師的責任
我們的責任是在實施審計工作的基礎上對財務報表發表審計意見。我們按照中國注冊會計師審計准則的規定執行了審計工作。中國注冊會計師審計准則要求我們遵守職業道德規范，計劃和實施審計工作以對財務報表是否不存在重大錯報獲取合理保證。
審計工作涉及實施審計程序，以獲取有關財務報表金額和披露的審計證據。選擇的審計程序取決於注冊會計師的判斷，包括對由於舞弊或錯誤導致的財務報表重大錯報風險的評估。在進行風險評估時，我們考慮與財務報表編制相關的內部控制，以設計恰當的審計程序，但目的並非對內部控制的有效性發表意見。審計工作還包括評價管理層選用會計政策的恰當性和作出會計估計的合理性，以及評價財務報表的總體列報。
我們相信，我們獲取的審計證據是充分、適當的，為發表審計意見提供了基礎。
三 導致保留意見的事項
2011年萬科公司採用分期收款的方式銷售給D企業一台大型中央空調，設備已發出，D企業已驗收合格，萬科股份有限公司確認了20萬元的收入，而企業准則規定按照合同或協議的公允價值確定收入，所以這不符合企業會計准則的規定，如果按照合同或協議的公允價值確認收入，會計分錄將顯示收入80萬元，所得稅費用將增加15萬元，凈利潤增加45萬元，所有者權益增加45萬元。
四 保留意見
我們認為，除「三，導致保留意見的事項」段所述事項產生的影響外，萬科公司財務報表在所有重大方面按照企業會計准則的規定編制，公允反映了萬科公司2011年12月31日的財務狀況以及2011年度的經營成果和現金流量。
會計師事務所 中國注冊會計師：霍亮
中國注冊會計師：王傑
中國XX市 二O一二年三月五日

Ⅱ 企業內部審計部如何對設備管理進行審計

內部審計不僅可以幫助企業加強內部控制，改善經營管理，提高經濟效益，同樣，在企業建設項目控制工程成本中也可以發揮重要作用。浙江富春江通信集團有限公司審計部多年來對集團公司工程建設項目的審計實踐和成果也證實了這一點。
浙江富春江通信集團有限公司(以下簡稱「集團」)是一家國家大型信息製造企業，創立於1985年。集團順應國際潮流，謀求多元化發展。2000年以來，集團發展迅猛，每年新上項目投資數億元。為了有效地控制工程成本，集團專門設置了審計監督部門—集團審計部。2001年至2005年，通過對建設項目的內部控制審計，工程成本每年比預算下降約25%，大大降低了集團建設項目的支出費用，內部審計在控制工程成本中發揮了非常突出的作用。其具體做法如下：
一、配備專職審計人員，努力提高專業審計水平和職業素質，這是內部審計發揮重要作用的根本保證
2001年初，浙江富春江通信集團有限公司設立獨立的審計部，賦予了審計部較高的審計獨立性，在組織機構上為內部審計創造了良好的外部環境。審計部人員雖然不多，但知識結構搭配合理，工作效率高。有專業從事過中介審計的注冊會計師、造價工程師，也有專業從事建設工程項目管理的工程師，還有從事企業管理多年的企業管理人員，等等。內部審計人員除參加集團內部舉辦的業務學習外，審計部門還鼓勵他們參加行業管理部門舉辦的業務培訓和新知識學習，加強內部審計人員的誠實性、道德觀教育，提高審計人員的業務水平和工作勝任能力。
二、積極參與項目招投標全過程，為工程項目的過程式控制制和決算審計打好基礎
由於集團公司建設項目多，如果控制不嚴，工程項目投資浪費、工程質量低劣以及權錢交易的腐敗行為必然隨之而來。因此，如何使工程造價更加合理地確定和有效控制，減少投資決策失誤，如何發揮內部審計在工程項目建設過程中的最有效和最直接的監督，使其真正做到「事前控制、事中介入、事後把關」的全過程審計監督，就成為內部審計工作的迫切任務。
集團公司對投資項目的招投標非常重視，專門成立以集團董事長為組長的招投標領導小組，下設專門的招標辦公室，審計部參與項目招投標全過程。內部審計人員則重點審查以下幾個方面：
(一)設計方案招投標的審查。
1.審查設計單位是否具有相當資質等級，設計單位是否經過多家比較，設計結果是否符合國家建設主管部門制定的各項標准和可行性研究報告批復的規模、標准和要求；
2.競標方案是否經專家在三個以上方案中進行評議，並選擇最佳方案，是否按集團公司的審批許可權確定，審查是否存在專斷的現象和腐敗行為；
3.審查設計費是否按國家有關規定標准。
(二)工程施工招投標審查。
1.結合集團公司的實際情況，審查招投標工作是否符合招投標文件的有關規定。
2.檢查是否對施工隊伍的資質進行了審查，是否有施工隊伍資質審查報告以及施工單位相關的情況報告等。設備采購招標方面，檢查是否對製造商或供應商進行過詢查、考察和對比分析，審查考察分析報告等；
3.審查招投標工作是否符合工作程序和工作紀律，是否實行了迴避制度，有無存在各種關系的干預，是否存在泄漏標底的情況；
4.審查招投標過程中招投標的資料、會議記錄是否齊全；
5.審查施工總包方是否存在未經同意而層層轉包的現象。
審計部自成立至2005年底，共參與招投標268次，與預算價相比，共節約資金4600萬元，降低率達10%左右。審計部在參與招投標的基礎上，還不定期的對有關子公司的項目招標情況進行抽查，聽取匯報、查看資料、審查賬目，發現問題及時指出，並限期整改。審計部通過全程參與項目招投標過程，為工程項目的過程式控制制和決算審計打下了堅實的基礎。
三、組織參與工程建設過程式控制制，監督工程款項支付，控制工程實際造價。
審計部在參與建設項目過程式控制制中，主要開展下列工作：
(一)經濟合同的審查
經濟合同審計從立項開始，對合同項目的必要性、可行性及效益性，合同條款的合法性、嚴密性和准確性，當事人雙方的權利和義務關系的對等性進行全面審計，防止發生風險損失和簽訂不平等條約，防止合同條款不嚴密而產生合同糾紛。對於重大經濟合同，審計人員還直接參加合同招標、評標和議標，參與合同談判，進行同步把關。在合同簽訂後，在合同履行過程中進行跟蹤審計，檢查合同糾紛，提出處理意見和措施。在合同終結時監督合同的執行結果，核實違約責任，維護自身的合法權益。
(二)項目管理過程審查
管理過程審計應重點審查以下幾個問題：
1.審查超過一定規模的建設項目是否實行了監理制度，選擇監理單位是否採取了招標的辦法；
2.審查委託監理是否簽訂了委託監理合同，在工程的承包合同中是否明確了建設監理的許可權和責任，建設監理委託合同與承包合同對建設監理單位的許可權和責任的約定是否一致；
3.審查監督在各項工程施工過程中現場施工代表是否執行了現場監督的任務，是否制止了施工人員的違法違規行為；
4.監督檢查現場施工人員是否及時掌握施工進度和質量，是否按圖紙、規范施工，檢查施工單位使用材料、構件、設備的規格和質量是否符合規定。
自2004年下半年起，集團採取派駐形式，審計人員成為工程建設的參與者，熟悉情況，而且職能清晰，實施過程式控制制，及時有效地進行審計監督，大大提高了審計力度。
(三)工程款支付的監督審查
集團公司在資金支付方面對工程款支付有明確的規定，並且根據執行情況每年作相應調整，如2002年初制訂的《關於支出管理的若干規定》對項目工程款支付的規定程序是：
集團公司一切項目投資，由項目實施部門（或子公司）負責編制具體實施方案和項目預算，送集團投資發展部審核後，報總裁辦公會議審定。計劃內用款，由項目負責人按審批程序審批，並送投資發展部、審計部審核後，集團執行董事簽字付款；超計劃外用款，需按以上程序審批，並報總裁批准後支付。項目完工後，由項目實施部門（或子公司）編制項目投資決算，送投資發展部、審計部共同審核，報總裁辦公會議審定。
集團採取派駐形式後，對工程款支付程序進行了相應調整，即在審計部審核前由派駐人員先行簽署意見。由於內部審計注重對工程款支付的監督審查，幾年來沒有發生工程款超付現象，同時嚴格控制了工程的實際造價，發揮了內部審計應有的作用。
四、選擇好中介審計機構，內部審計全力配合，共同完成工程項目的決算審計工作
工程竣工決算審計是合理確定工程造價，控制建設資金實際支出，檢查高估冒算的重要環節。審計部對中介機構的選擇非常重視，對於1000萬元以上項目的決算審計，都要通過招標選擇中介審計機構進行審計。
審計部對中介審計機構的選擇程序為：
一是對外發布工程審計招標信息；
二是進行投標開標，確定審計入圍中介機構2-3家；
三是對入圍審計中介機構進行考察；
四是根據考察情況向董事會提交報告（含建議）；
五是由董事會確定審計單位，內部審計配合進入工程審計階段。
內部審計配合中介審計機構進行工程竣工決算審計時，重點審查以下幾個方面的內容：
1.竣工決算編制的依據。
2.項目概算預算的執行情況。
3.設計變更是否經過有關人員批准簽證；
4.依據竣工圖紙審核工程量計算是否真實、正確；
5.審核所列各分項工程有無錯套定額、高估冒算現象；
6.依據結算匯編的規定，審查各項取費是否正確。
7.審核材料的價格、用量是否真實、合理。
8.檢查是否按規定管好用好質保金。
由於有內部審計人員的全力配合，經審計部精心選聘的中介機構的嚴格審計，幾年來，集團項目決算審計工作成效顯著，審計核減率達到20%左右。值得一提的是，2005年度集團兩大工程項目的審計成效突出，其中：永通信息廣場項目中僅主項目就核減了750萬元，核減率為16.9%；下屬子公司浙江富春江環保熱電有限公司二標段核減了699萬元，核減率為21.99%。這些成績的取得，傾注了內部審計人員的心血和汗水，也充分體現了內部審計工作的重要性。
由此可見，加強內部審計在工程建設項目中的全面審查，不僅可以為集團節約大量資金，降低工程造價，使資金得到更加合理的利用，並且可以有效地杜絕或減少腐敗現象，為集團公司的快速、健康發展發揮內部審計獨特的作用。

Ⅲ 審計報告求寫法急急急急

保留意見審計報告 審計報告 萬科股份有限公司全體股東： 我們審計了後附的ABC股份有限公司（以下簡稱萬科公司）財務報表，包括2011年12月31日的資產負債表，2011年度的利潤表、股東權益變動表和現金流量表以及財務報表附註。
一、管理層對財務報表的責任 編制和公允列報財務報表是x公司管理層的責任，這種責任包括：（1）按照企業會計准則的規定編制財務報表，並使其實現公允反映；（2）設計、實施和維護必要的內部控制，以使財務報表不存在由於舞弊或錯誤導致的重大錯報。
二、注冊會計師的責任 我們的責任是在實施審計工作的基礎上對財務報表發表審計意見。
我們按照中國注冊會計師審計准則的規定執行了審計工作。
中國注冊會計師審計准則要求我們遵守職業道德規范，計劃和實施審計工作以對財務報表是否不存在重大錯報獲取合理保證。
審計工作涉及實施審計程序，以獲取有關財務報表金額和披露的審計證據。
選擇的審計程序取決於注冊會計師的判斷，包括對由於舞弊或錯誤導致的財務報表重大錯報風險的評估。
在進行風險評估時，我們考慮與財務報表編制相關的內部控制，以設計恰當的審計程序，但目的並非對內部控制的有效性發表意見。
審計工作還包括評價管理層選用會計政策的恰當性和作出會計估計的合理性，以及評價財務報表的總體列報。
我們相信，我們獲取的審計證據是充分、適當的，為發表審計意見提供了基礎。
三導致保留意見的事項 2011年萬科公司採用分期收款的方式銷售給D企業一台大型中央空調，設備已發出，D企業已驗收合格，萬科股份有限公司確認了20萬元的收入，而企業准則規定按照合同或協議的公允價值確定收入，所以這不符合企業會計准則的規定，如果按照合同或協議的公允價值確認收入，會計分錄將顯示收入80萬元，所得稅費用將增加15萬元，凈利潤增加45萬元，所有者權益增加45萬元。
四保留意見 我們認為，除「三，導致保留意見的事項」段所述事項產生的影響外，萬科公司財務報表在所有重大方面按照企業會計准則的規定編制，公允反映了萬科公司2011年12月31日的財務狀況以及2011年度的經營成果和現金流量。
會計師事務所中國注冊會計師：霍亮 中國注冊會計師：王傑 中國XX市二O一二年三月五日

Ⅳ 管理審計的內容包括那些

管理審計的內容包括：
1、對企業戰略的審查；
2、對企業組織結構的審查；
3、對企業計劃的審查；
4、對企業內部控制的審查

擴展閱讀：
管理審計是現代審計一種新的審計類別，它是經濟發展的必然結果，也是審計事業發展的必然結果，是審計人員對被審計單位經濟管理行為進行監督、檢查及評價並深入剖析的一種活動。它的目的是使被審計單位的資源配置更加富有效率。從管理審計的輔助手段上來說，它是相對於財務審計的一個概念，從被審計單位經濟活動的外延來看，管理審計又是相對於經營審計的一種認知。對企業而言，經營講的是市場，管理講的是效率。從這個意義上講，管理審計又可以稱之為效率審計。
管理審計是以改善企業的管理素質和提高管理水平為目的，審查被審計事項在計劃，組織，領導控制，決策等管理職能上的表現，促使被審計單位提高管理水平以提高經營活動的經濟性，效率性和效果性的一項管理活動
管理過程審計
管理過程審計是指以計劃、組織、決策和控制等管理職能為對象的一種經濟效益審計。它通過對各種管理職能的健全性和有效性的評估，以考查管理水平的高低，管理素質的優劣以及管理活動的經濟性、效率性，並針對管理中所存在的問題，提出改進的建議和意見。如對決策職能的審查，主要應查明是否制定科學的決策和程序，是否遵守合理的決策原則；決策的方法是否科學、恰當，決策的結果是否正確等。對控制職能的審查，主要應查明有無健全和科學的內部控制制度，各項控制制度是否嚴格執行，其實際效果如何等。
管理部門審計
管理部門審計，是以企業的各管理部門為基本對象，通過對企業各管理部門應承擔的經濟責任及其履行狀況以及管理人員素質的審計，促進企業提高經濟效益的一種審計活動。如對設備物資管理部門的審計，應查明是否履行了對物資消耗和存儲定額的制訂、采購、保管、收發和維護等職責。對財務部門的審查，應查明會計工作是否遵循了會計法規，有無嚴格的成本控制制度；是否採取了有效措施進行資金的籌措，減少資金佔用，提高資金使用效率等。 企業內部審計部門開展管理審計後，從過去的糾錯防弊、扮演「警察」角色為主向高層次的「參謀、耳目、助手」方向發展；從真實性、合規性審計為主向注重效益審計方向發展；從以財務報表為中心的財務收支審計向以內部控制為中心的財務基礎審計的方向發展；從事後審計向事前、事中審計方向發展。

Ⅳ 年度審計報告必須包含哪些內容，附註過於簡單行不

會計報表附註是財務報告必不可少的組成部分，它包括所有與公司財務狀況、經營成果和現金流量有關的，有助於報表使用者更好地了解會計報表的重要信息。公司會計報表附註至少應當包括下列內容：

(一)公司主要會計政策和會計估計

1．會計制度。

2．會計年度。

3．記帳本位幣。

4．記帳基礎和計價原則。

5．會計報表的編制基礎。

6．營業部的資金管理、交易清算原則。

7．外幣業務核算方法。說明發生外幣業務時採用的折算匯率、期末對外幣帳戶的外幣余額進行折算所採用的匯率，以及匯兌差額的處理方法。

8．壞帳核算方法。說明壞帳的確認標准、壞帳准備的計提方法和比例，以及壞帳損失的會計核算方法。

9．客戶保證金的管理與核算方法。

10．質押品的管理與核算方法。

11．實物交割的核算方法。

12．風險准備資產的管理與核算方法。

13．結算差異核算辦法。分別按平倉盈虧與持倉盈虧說明結算差異的確認與核算方法。

14．長期投資核算方法。對於長期股權投資，應說明其計價、收(權)益確認方法和股權投資差額的攤銷方法；對於長期債權投資，應說明其計價、收益確認方法以及債券投資溢價和折價的攤銷方法。

15．固定資產計價和折舊方法。說明固定資產的標准、分類、計價方法和折舊方法，各類固定資產的估計經濟使用年限、預計凈殘值率和折舊率。

16．在建工程核算方法，包括利息資本化的核算方法和在建工程結轉為固定資產的時點。

17．無形資產、開辦費和長期待攤費用的攤銷方法。

18．風險准備金核算方法。說明風險准備金的計提方法和計提比例，風險損失的確認標准及核算方法。

19．收入確認原則。分別說明公司手續費收入和其他業務收入的確認方法。

20．現金等價物的確定標准。說明公司在編制現金流量表時確定現金等價物的標准。

21．如果本年度會計政策和會計估計發生變更，應當披露變更的內容、理由和變更對公司財務狀況或經營成果的影響數。

注冊會計師應對公司會計政策或會計估計變更的理由予以適當關注。如果變更理由不合理或不充分，注冊會計師不應當發表公司財務報告滿足合法性、公允性和一貫性要求的審計意見。

(二)稅項

應披露主要稅種和稅率，如增值稅、所得稅等。若有稅負減免的，應說明批准機關、文號、減免幅度及有效期限。

(三)會計報表主要項目注釋

公司至少應披露會計報表(匯總營業部以後的會計報表)的如下項目注釋(如兩個期間的數據變動幅度達50%以上，還應在該項目下明確說明增減變動的原因)。

(四)或有事項

對於資產負債表日存在的或有事項(如涉及訴訟、仲裁等)，應在會計報表附註中說明項目的性質、金額及對報告期及報告期後公司財務狀況和經營成果的影響。

(五)承諾事項

對於資產負債表日存在的重大承諾事項(如對外擔保金額等)，應說明其存在情況、金額及影響。

(六)資產負債表日後事項中的非調整事項。

凡涉及資產負債表日後事項中的非調整事項(如巨額虧損、停業整頓、嚴重違規等)，應按照《企業會計准則-資產負債表日後事項》的要求予以披露。

(5)設備管理審計報告擴展閱讀：

內容格式：

(一)簡要介紹公司的法定中英文名稱，公司法定代表人，總經理或總裁，注冊資本，注冊地址、辦公地址、電話及郵政編碼。

(二)簡要介紹公司的歷史演變情況、主要職能部門，以及職員人數和年齡、學歷、職稱結構。

(三)簡要介紹公司營業部情況，包括各營業部名稱、地址、負責人、職工人數、設立時間、營運資金及聯系電話等。若年度內增加或減少營業部，簡述其新設或撤銷的原因。

(四)公司年報負責人及聯系人的姓名、聯系地址、電話、傳真、電子信箱等。

二、經營情況

(一)經紀業務情況

(二)主要財務指標

參考資料來源：網路——年度審計報告

Ⅵ 請問計算機安全審計報告應該如何去寫，是否有範文可以參考。

一、引言

隨著網路的發展，網路信息的安全越來越引起世界各國的重視，防病毒產品、防火牆、入侵檢測、漏洞掃描等安全產品都得到了廣泛的應用，但是這些信息安全產品都是為了防禦外部的入侵和竊取。隨著對網路安全的認識和技術的發展，發現由於內部人員造成的泄密或入侵事件佔了很大的比例，所以防止內部的非法違規行為應該與抵禦外部的入侵同樣地受到重視，要做到這點就需要在網路中實現對網路資源的使用進行審計。

在當今的網路中各種審計系統已經有了初步的應用，例如：資料庫審計、應用程序審計以及網路信息審計等，但是，隨著網路規模的不斷擴大，功能相對單一的審計產品有一定的局限性，並且對審計信息的綜合分析和綜合管理能力遠遠不夠。功能完整、管理統一，跨地區、跨網段、集中管理才是綜合審計系統最終的發展目標。

本文對涉密信息系統中安全審計系統的概念、內容、實現原理、存在的問題、以及今後的發展方向做出了討論。

二、什麼是安全審計

國內通常對計算機信息安全的認識是要保證計算機信息系統中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴)，簡稱「五性」。安全審計是這「五性」的重要保障之一，它對計算機信息系統中的所有網路資源(包括資料庫、主機、操作系統、安全設備等)進行安全審計，記錄所有發生的事件，提供給系統管理員作為系統維護以及安全防範的依據。安全審計如同銀行的監控系統，不論是什麼人進出銀行，都進行如實登記，並且每個人在銀行中的行動，乃至一個茶杯的挪動都被如實的記錄，一旦有突發事件可以快速的查閱進出記錄和行為記錄，確定問題所在，以便採取相應的處理措施。

近幾年，涉密系統規模不斷擴大，系統中使用的設備也逐漸增多，每種設備都帶有自己的審計模塊，另外還有專門針對某一種網路應用設計的審計系統，如：操作系統的審計、資料庫審計系統、網路安全審計系統、應用程序審計系統等，但是都無法做到對計算機信息系統全面的安全審計，另外審計數據格式不統一、審計分析規則無法統一定製也給系統的全面綜合審計造成了一定的困難。如果在當前的系統條件下希望全面掌握信息系統的運行情況，就需要對每種設備的審計模塊熟練操作，並且結合多種專用審計產品才能夠做到。

為了能夠方便地對整個計算機信息系統進行審計，就需要設計綜合的安全審計系統。它的目標是通過數據挖掘和數據倉庫等技術，實現在不同網路環境中對網路設備、終端、數據資源等進行監控和管理，在必要時通過多種途徑向管理員發出警告或自動採取排錯措施，並且能夠對歷史審計數據進行分析、處理和追蹤。主要作用有以下幾個方面：

1. 對潛在的攻擊者起到震懾和警告的作用;

2. 對於已經發生的系統破壞行為提供有效的追究證據;

3. 為系統管理員提供有價值的系統使用日誌，從而幫助系統管理員及時發現系統入侵行為或潛在的系統漏洞;

4. 為系統管理員提供系統的統計日誌，使系統管理員能夠發現系統性能上的不足或需要改進和加強的地方。

三、涉密信息系統安全審計包括的內容

《中華人民共和國計算機信息系統安全保護條例》中定義的計算機信息系統，是指由計算機及其相關的和配套的設備、設施(含網路)構成的，按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。涉密計算機信息系統(以下簡稱「涉密信息系統」)在《計算機信息系統保密管理暫行規定》中定義為：採集、存儲、處理、傳遞、輸出國家秘密信息的計算機信息系統。所以針對涉密信息系統的安全審計的內容就應該針對涉密信息系統的每一個方面，應該對計算機及其相關的和配套的設備、設施(含網路)，以及對信息的採集、加工、存儲、傳輸和檢索等方面進行審計。

具體來說，應該對一個涉密信息系統中的以下內容進行安全審計：

被審計資源安全審計內容

網路通信系統網路流量中典型協議分析、識別、判斷和記錄，Telnet、HTTP、Email、FTP、網上聊天、文件共享等的檢測，流量監測以及對異常流量的識別和報警、網路設備運行的監測等。

重要伺服器主機操作系統系統啟動、運行情況，管理員登錄、操作情況，系統配置更改(如注冊表、配置文件、用戶系統等)以及病毒或蠕蟲感染、資源消耗情況的審計，硬碟、CPU、內存、網路負載、進程、操作系統安全日誌、系統內部事件、對重要文件的訪問等。

重要伺服器主機應用平台軟體重要應用平台進程的運行、Web Server、Mail Server、Lotus、Exchange Server、中間件系統、健康狀況(響應時間等)等。

重要資料庫操作資料庫進程運轉情況、繞過應用軟體直接操作資料庫的違規訪問行為、對資料庫配置的更改、數據備份操作和其他維護管理操作、對重要數據的訪問和更改、數據完整性等的審計。

重要應用系統辦公自動化系統、公文流轉和操作、網頁完整性、相關業務系統(包括業務系統正常運轉情況、用戶開設/中止等重要操作、授權更改操作、數據提交/處理/訪問/發布操作、業務流程等內容)等。

重要網路區域的客戶機病毒感染情況、通過網路進行的文件共享操作、文件拷貝/列印操作、通過Modem擅自連接外網的情況、非業務異常軟體的安裝和運行等的審計

四、安全審計系統使用的關鍵技術

根據在涉密信息系統中要進行安全審計的內容，我們可以從技術上分為以下幾個模塊：

1.網路審計模塊：主要負責網路通信系統的審計;

2.操作系統審計模塊：主要負責對重要伺服器主機操作系統的審計;

3.資料庫審計模塊：主要負責對重要資料庫操作的審計;

4.主機審計模塊：主要負責對網路重要區域的客戶機進行審計;

5.應用審計模塊：主要負責重要伺服器主機的應用平台軟體，以及重要應用系統進行審計。

還需要配備一個資料庫系統，負責以上審計模塊生成的審計數據的存儲、檢索、數據分析等操作，另外，還需要設計一個統一管理平台模塊，負責接收各審計模塊發送的審計數據，存入資料庫，以及向審計模塊發布審計規則。如下圖所示：

安全審計系統中應解決如下的關鍵技術：

1.網路監聽：

是安全審計的基礎技術之一。它應用於網路審計模塊，安裝在網路通信系統的數據匯聚點，通過抓取網路數據包進行典型協議分析、識別、判斷和記錄，Telnet、HTTP、Email、FTP、網上聊天、文件共享等的檢測，流量監測以及對異常流量的識別和報警、網路設備運行的監測等，另外也可以進行資料庫網路操作的審計。

2.內核驅動技術：

是主機審計模塊、操作系統審計模塊的核心技術，它可以做到和操作系統的無縫連接，可以方便的對硬碟、CPU、內存、網路負載、進程、文件拷貝/列印操作、通過Modem擅自連接外網的情況、非業務異常軟體的安裝和運行等進行審計。

3.應用系統審計數據讀取技術：

大多數的多用戶操作系統(Windows、UNIX等)、正規的大型軟體(資料庫系統等)、多數安全設備(防火牆、防病毒軟體等)都有自己的審計功能，日誌通常用於檢查用戶的登錄、分析故障、進行收費管理、統計流量、檢查軟體運行情況和調試軟體，系統或設備的審計日誌通常可以用作二次開發的基礎，所以如何讀取多種系統和設備的審計日誌將是解決操作系統審計模塊、資料庫審計模塊、應用審計模塊的關鍵所在。

4.完善的審計數據分析技術：

審計數據的分析是一個安全審計系統成敗的關鍵，分析技術應該能夠根據安全策略對審計數據具備評判異常和違規的能力，分為實時分析和事後分析：

實時分析：提供或獲取審計數據的設備和軟體應該具備預分析能力，並能夠進行第一道篩選;

事後分析：統一管理平台模塊對記錄在資料庫中的審計記錄進行事後分析，包括統計分析和數據挖掘。

五、安全審計系統應該注意的問題

安全審計系統的設計應該注意以下幾個問題：

1.審計數據的安全：

在審計數據的獲取、傳輸、存儲過程中都應該注意安全問題，同樣要保證審計信息的「五性」。在審計數據獲取過程中應該防止審計數據的丟失，應該在獲取後盡快傳輸到統一管理平台模塊，經過濾後存入資料庫，如果沒有連接到管理平台模塊，則應該在本地進行存儲，待連接後再發送至管理平台模塊，並且應該採取措施防止審計功能被繞過;在傳輸過程中應該防止審計數據被截獲、篡改、丟失等，可以採用加密演算法以及數字簽名方式進行控制;在審計數據存儲時應注意資料庫的加密，防止資料庫溢出，當資料庫發生異常時，有相應的應急措施，而且應該在進行審計數據讀取時加入身份鑒別機制，防止非授權的訪問。

2.審計數據的獲取

首先要把握和控制好數據的來源，比如來自網路的數據截取;來自系統、網路、防火牆、中間件等系統的日誌;通過嵌入模塊主動收集的系統內部信息;通過網路主動訪問獲取的信息;來自應用系統或安全系統的審計數據等。有數據源的要積極獲取;沒有數據源的要設法生成數據。對收集的審計數據性質也要分清哪些是已經經過分析和判斷的數據，哪些是沒有分析的原始數據，要做出不同的處理。

另外，應該設計公開統一的日誌讀取API，使應用系統或安全設備開發時，就可以將審計日誌按照日誌讀取API的模式進行設計，方便日後的審計數據獲取。

3.管理平台分級控制

由於涉密信息系統的迅速發展，系統規模也在不斷擴大，所以在安全審計設計的初期就應該考慮分布式、跨網段，能夠進行分級控制的問題。也就是說一個涉密信息系統中可能存在多個統一管理平台，各自管理一部分審計模塊，管理平台之間是平行關系或上下級關系，平級之間不能互相管理，上級可以向下級發布審計規則，下級根據審計規則向上級匯報審計數據。這樣能夠根據網路規模及安全域的劃分靈活的進行擴充和改變，也有利於整個安全審計系統的管理，減輕網路的通信負擔。

4.易於升級維護

安全審計系統應該採用模塊設計，這樣有利於審計系統的升級和維護。

專家預測，安全審計系統在2003年是最熱門的信息安全技術之一。國內很多信息安全廠家都在進行相關技術的研究，有的已經推出了成型的產品，另一方面，相關的安全審計標准也在緊鑼密鼓的制定當中，看來一個安全審計的春天已經離我們越來越近了。

但是信息系統的安全從來都是一個相對的概念，只有相對的安全，而沒有絕對的安全。安全也是一個動態發展的過程，隨著網路技術的發展，安全審計還有很多值得關注的問題，如：

1. 網路帶寬由現在的100兆會增加到1G，安全審計如何對千兆網路進行審計就是值得關注的問題;

2. 當前還沒有一套為各信息安全廠商承認的安全審計介面標准，標準的制定與應用將會使安全審計跨上一個新的台階;

3. 現在的安全審計都建立在TCP/IP協議之上，如果有系統不採用此協議，那麼如何進行安全審計。

六、小結

安全審計作為一門新的信息安全技術，能夠對整個計算機信息系統進行監控，如實記錄系統內發生的任何事件，一個完善的安全審計系統可以根據一定的安全策略記錄和分析歷史操作事件及數據，有效的記錄攻擊事件的發生，提供有效改進系統性能和的安全性能的依據。本文從安全審計的概念、在涉密信息系統中需要審計的內容、安全審計的關鍵技術及安全審計系統應該注意的問題等幾個方面討論了安全審計在涉密信息系統中的應用。安全審計系統應該全面地對整個涉密信息系統中的網路、主機、應用程序、資料庫及安全設備等進行審計，同時支持分布式跨網段審計，集中統一管理，可對審計數據進行綜合的統計與分析，從而可以更有效的防禦外部的入侵和內部的非法違規操作，最終起到保護機密信息和資源的作用。

Ⅶ 涉密計算機安全審計報告怎麼寫有一樣文么

一、引言

隨著網路的發展，網路信息的安全越來越引起世界各國的重視，防病毒產品、防火牆、入侵檢測、漏洞掃描等安全產品都得到了廣泛的應用，但是這些信息安全產品都是為了防禦外部的入侵和竊取。隨著對網路安全的認識和技術的發展，發現由於內部人員造成的泄密或入侵事件佔了很大的比例，所以防止內部的非法違規行為應該與抵禦外部的入侵同樣地受到重視，要做到這點就需要在網路中實現對網路資源的使用進行審計。

在當今的網路中各種審計系統已經有了初步的應用，例如：資料庫審計、應用程序審計以及網路信息審計等，但是，隨著網路規模的不斷擴大，功能相對單一的審計產品有一定的局限性，並且對審計信息的綜合分析和綜合管理能力遠遠不夠。功能完整、管理統一，跨地區、跨網段、集中管理才是綜合審計系統最終的發展目標。

本文對涉密信息系統中安全審計系統的概念、內容、實現原理、存在的問題、以及今後的發展方向做出了討論。

二、什麼是安全審計

國內通常對計算機信息安全的認識是要保證計算機信息系統中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴)，簡稱「五性」。安全審計是這「五性」的重要保障之一，它對計算機信息系統中的所有網路資源(包括資料庫、主機、操作系統、安全設備等)進行安全審計，記錄所有發生的事件，提供給系統管理員作為系統維護以及安全防範的依據。安全審計如同銀行的監控系統，不論是什麼人進出銀行，都進行如實登記，並且每個人在銀行中的行動，乃至一個茶杯的挪動都被如實的記錄，一旦有突發事件可以快速的查閱進出記錄和行為記錄，確定問題所在，以便採取相應的處理措施。

近幾年，涉密系統規模不斷擴大，系統中使用的設備也逐漸增多，每種設備都帶有自己的審計模塊，另外還有專門針對某一種網路應用設計的審計系統，如：操作系統的審計、資料庫審計系統、網路安全審計系統、應用程序審計系統等，但是都無法做到對計算機信息系統全面的安全審計，另外審計數據格式不統一、審計分析規則無法統一定製也給系統的全面綜合審計造成了一定的困難。如果在當前的系統條件下希望全面掌握信息系統的運行情況，就需要對每種設備的審計模塊熟練操作，並且結合多種專用審計產品才能夠做到。

為了能夠方便地對整個計算機信息系統進行審計，就需要設計綜合的安全審計系統。它的目標是通過數據挖掘和數據倉庫等技術，實現在不同網路環境中對網路設備、終端、數據資源等進行監控和管理，在必要時通過多種途徑向管理員發出警告或自動採取排錯措施，並且能夠對歷史審計數據進行分析、處理和追蹤。主要作用有以下幾個方面：

1. 對潛在的攻擊者起到震懾和警告的作用;

2. 對於已經發生的系統破壞行為提供有效的追究證據;

3. 為系統管理員提供有價值的系統使用日誌，從而幫助系統管理員及時發現系統入侵行為或潛在的系統漏洞;

4. 為系統管理員提供系統的統計日誌，使系統管理員能夠發現系統性能上的不足或需要改進和加強的地方。

三、涉密信息系統安全審計包括的內容

《中華人民共和國計算機信息系統安全保護條例》中定義的計算機信息系統，是指由計算機及其相關的和配套的設備、設施(含網路)構成的，按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。涉密計算機信息系統(以下簡稱「涉密信息系統」)在《計算機信息系統保密管理暫行規定》中定義為：採集、存儲、處理、傳遞、輸出國家秘密信息的計算機信息系統。所以針對涉密信息系統的安全審計的內容就應該針對涉密信息系統的每一個方面，應該對計算機及其相關的和配套的設備、設施(含網路)，以及對信息的採集、加工、存儲、傳輸和檢索等方面進行審計。

具體來說，應該對一個涉密信息系統中的以下內容進行安全審計：

被審計資源安全審計內容

網路通信系統網路流量中典型協議分析、識別、判斷和記錄，Telnet、HTTP、Email、FTP、網上聊天、文件共享等的檢測，流量監測以及對異常流量的識別和報警、網路設備運行的監測等。

重要伺服器主機操作系統系統啟動、運行情況，管理員登錄、操作情況，系統配置更改(如注冊表、配置文件、用戶系統等)以及病毒或蠕蟲感染、資源消耗情況的審計，硬碟、CPU、內存、網路負載、進程、操作系統安全日誌、系統內部事件、對重要文件的訪問等。

重要伺服器主機應用平台軟體重要應用平台進程的運行、Web Server、Mail Server、Lotus、Exchange Server、中間件系統、健康狀況(響應時間等)等。

重要資料庫操作資料庫進程運轉情況、繞過應用軟體直接操作資料庫的違規訪問行為、對資料庫配置的更改、數據備份操作和其他維護管理操作、對重要數據的訪問和更改、數據完整性等的審計。

重要應用系統辦公自動化系統、公文流轉和操作、網頁完整性、相關業務系統(包括業務系統正常運轉情況、用戶開設/中止等重要操作、授權更改操作、數據提交/處理/訪問/發布操作、業務流程等內容)等。

重要網路區域的客戶機病毒感染情況、通過網路進行的文件共享操作、文件拷貝/列印操作、通過Modem擅自連接外網的情況、非業務異常軟體的安裝和運行等的審計

四、安全審計系統使用的關鍵技術

根據在涉密信息系統中要進行安全審計的內容，我們可以從技術上分為以下幾個模塊：

1.網路審計模塊：主要負責網路通信系統的審計;

2.操作系統審計模塊：主要負責對重要伺服器主機操作系統的審計;

3.資料庫審計模塊：主要負責對重要資料庫操作的審計;

4.主機審計模塊：主要負責對網路重要區域的客戶機進行審計;

5.應用審計模塊：主要負責重要伺服器主機的應用平台軟體，以及重要應用系統進行審計。

還需要配備一個資料庫系統，負責以上審計模塊生成的審計數據的存儲、檢索、數據分析等操作，另外，還需要設計一個統一管理平台模塊，負責接收各審計模塊發送的審計數據，存入資料庫，以及向審計模塊發布審計規則。如下圖所示：

安全審計系統中應解決如下的關鍵技術：

1.網路監聽：

是安全審計的基礎技術之一。它應用於網路審計模塊，安裝在網路通信系統的數據匯聚點，通過抓取網路數據包進行典型協議分析、識別、判斷和記錄，Telnet、HTTP、Email、FTP、網上聊天、文件共享等的檢測，流量監測以及對異常流量的識別和報警、網路設備運行的監測等，另外也可以進行資料庫網路操作的審計。

2.內核驅動技術：

是主機審計模塊、操作系統審計模塊的核心技術，它可以做到和操作系統的無縫連接，可以方便的對硬碟、CPU、內存、網路負載、進程、文件拷貝/列印操作、通過Modem擅自連接外網的情況、非業務異常軟體的安裝和運行等進行審計。

3.應用系統審計數據讀取技術：

大多數的多用戶操作系統(Windows、UNIX等)、正規的大型軟體(資料庫系統等)、多數安全設備(防火牆、防病毒軟體等)都有自己的審計功能，日誌通常用於檢查用戶的登錄、分析故障、進行收費管理、統計流量、檢查軟體運行情況和調試軟體，系統或設備的審計日誌通常可以用作二次開發的基礎，所以如何讀取多種系統和設備的審計日誌將是解決操作系統審計模塊、資料庫審計模塊、應用審計模塊的關鍵所在。

4.完善的審計數據分析技術：

審計數據的分析是一個安全審計系統成敗的關鍵，分析技術應該能夠根據安全策略對審計數據具備評判異常和違規的能力，分為實時分析和事後分析：

實時分析：提供或獲取審計數據的設備和軟體應該具備預分析能力，並能夠進行第一道篩選;

事後分析：統一管理平台模塊對記錄在資料庫中的審計記錄進行事後分析，包括統計分析和數據挖掘。

五、安全審計系統應該注意的問題

安全審計系統的設計應該注意以下幾個問題：

1.審計數據的安全：

在審計數據的獲取、傳輸、存儲過程中都應該注意安全問題，同樣要保證審計信息的「五性」。在審計數據獲取過程中應該防止審計數據的丟失，應該在獲取後盡快傳輸到統一管理平台模塊，經過濾後存入資料庫，如果沒有連接到管理平台模塊，則應該在本地進行存儲，待連接後再發送至管理平台模塊，並且應該採取措施防止審計功能被繞過;在傳輸過程中應該防止審計數據被截獲、篡改、丟失等，可以採用加密演算法以及數字簽名方式進行控制;在審計數據存儲時應注意資料庫的加密，防止資料庫溢出，當資料庫發生異常時，有相應的應急措施，而且應該在進行審計數據讀取時加入身份鑒別機制，防止非授權的訪問。

2.審計數據的獲取

首先要把握和控制好數據的來源，比如來自網路的數據截取;來自系統、網路、防火牆、中間件等系統的日誌;通過嵌入模塊主動收集的系統內部信息;通過網路主動訪問獲取的信息;來自應用系統或安全系統的審計數據等。有數據源的要積極獲取;沒有數據源的要設法生成數據。對收集的審計數據性質也要分清哪些是已經經過分析和判斷的數據，哪些是沒有分析的原始數據，要做出不同的處理。

另外，應該設計公開統一的日誌讀取API，使應用系統或安全設備開發時，就可以將審計日誌按照日誌讀取API的模式進行設計，方便日後的審計數據獲取。

3.管理平台分級控制

由於涉密信息系統的迅速發展，系統規模也在不斷擴大，所以在安全審計設計的初期就應該考慮分布式、跨網段，能夠進行分級控制的問題。也就是說一個涉密信息系統中可能存在多個統一管理平台，各自管理一部分審計模塊，管理平台之間是平行關系或上下級關系，平級之間不能互相管理，上級可以向下級發布審計規則，下級根據審計規則向上級匯報審計數據。這樣能夠根據網路規模及安全域的劃分靈活的進行擴充和改變，也有利於整個安全審計系統的管理，減輕網路的通信負擔。

4.易於升級維護

安全審計系統應該採用模塊設計，這樣有利於審計系統的升級和維護。

專家預測，安全審計系統在2003年是最熱門的信息安全技術之一。國內很多信息安全廠家都在進行相關技術的研究，有的已經推出了成型的產品，另一方面，相關的安全審計標准也在緊鑼密鼓的制定當中，看來一個安全審計的春天已經離我們越來越近了。

但是信息系統的安全從來都是一個相對的概念，只有相對的安全，而沒有絕對的安全。安全也是一個動態發展的過程，隨著網路技術的發展，安全審計還有很多值得關注的問題，如：

1. 網路帶寬由現在的100兆會增加到1G，安全審計如何對千兆網路進行審計就是值得關注的問題;

2. 當前還沒有一套為各信息安全廠商承認的安全審計介面標准，標準的制定與應用將會使安全審計跨上一個新的台階;

3. 現在的安全審計都建立在TCP/IP協議之上，如果有系統不採用此協議，那麼如何進行安全審計。

六、小結

安全審計作為一門新的信息安全技術，能夠對整個計算機信息系統進行監控，如實記錄系統內發生的任何事件，一個完善的安全審計系統可以根據一定的安全策略記錄和分析歷史操作事件及數據，有效的記錄攻擊事件的發生，提供有效改進系統性能和的安全性能的依據。本文從安全審計的概念、在涉密信息系統中需要審計的內容、安全審計的關鍵技術及安全審計系統應該注意的問題等幾個方面討論了安全審計在涉密信息系統中的應用。安全審計系統應該全面地對整個涉密信息系統中的網路、主機、應用程序、資料庫及安全設備等進行審計，同時支持分布式跨網段審計，集中統一管理，可對審計數據進行綜合的統計與分析，從而可以更有效的防禦外部的入侵和內部的非法違規操作，最終起到保護機密信息和資源的作用。