网络信息安全自查评估报告精选(九篇)

第1篇：网络信息安全自查评估报告范文

关键词：网络安全；风险评估；实施流程

中图文分类号：TP393.08文献标识码：A文章编号：1009-3044(2008)29-0366-02

Research on Network Security Risk Assessment Appraisal Flow

XING Zhi-jun

(Railway Wagon Transport Branch Co. of China Shenhua Energy, Yulin 719316, China)

Abstract： Along with the network information age development, the Internet becomes people’s work gradually and lives the essential constituent, but also let the people face the multitudinous secret network threat at the same time. In the network security problem is not allow to neglect. This paper introduced the network security risk assessment appraisal flow in detail.

Key words： network security;risk assessment;appraisal flow

1 引言

网络安全风险评估就是通过对计算机网络系统的安全状况进行安全性分析，及时发现并指出存在的安全漏洞，以保证系统的安全。网络安全风险评估在网络安全技术中具有重要的地位，其基本原理是采用多种方法对网络系统可能存在的已知安全漏洞进行检测，找出可能被黑客利用的安全隐患，并根据检测结果向系统管理员提供详细可靠的安全分析报告与漏洞修补建议，以便及早采取措施，保护系统信息资源。

风险评估过程就是在评估标准的指导下，综合利用相关评估技术、评估方法、评估工具，针对信息系统展开全方位的评估工作的完整历程。对信息系统进行风险评估，首先应确保风险分析的内容与范围应该覆盖信息系统的整个体系，应包括：系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等。

2 风险评估的准备

风险评估的准备过程是组织进行风险评估的基础，是整个风险评估过程有效性的保证。机构对自身信息及信息系统进行风险评估是一种战略性的考虑，其结果将受到机构的业务需求及战略目标、文化、业务流程、安全要求、规模和结构的影响。不同机构对于风险评估的实施过程可能存在不同的要求，因此在风险评估的准备阶段，应该完成以下工作。

1） 确定风险评估的目标

首先应该明确风险评估的目标，为风险评估的过程提供导向。支持机构的信息、系统、应用软件和网络是机构重要的资产。资产的机密性、完整信和可用性对于维持竞争优势、获利能力、法规要求和一个机构的形象是必要的。机构要面对来自四面八方日益增长的安全威胁。一个机构的系统、应用软件和网络可能是严重威胁的目标。同时，由于机构的信息化程度不断提高，对基于信息系统和服务技术的依赖日益增加，一个机构则可能出现更多的脆弱性。机构的风险评估的目标基本上来源于机构业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。

2） 确定风险评估的范围

机构进行风险评估可能是由于自身业务要求及战略目标的要求、相关方的要求或者其他原因。因此应根据上述具体原因确定分险评估范围。范围可能是机构全部的信息和信息系统，可能是单独的信息系统，可能是机构的关键业务流程，也可能是客户的知识产权。

3） 建立适当的组织结构

在风险评估过程中，机构应建立适当的组织结构，以支持整个过程的推进，如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。组织结构的建立应考虑其结构和复杂程度，以保证能够满足风险评估的目标、范围。

4） 建立系统型的风险评估方法

风险评估方法应考虑评估的范围、目的、时间、效果、机构文化、人员素质以及具体开展的程度等因素来确定，使之能够与机构的环境和安全要求相适应。

5） 获得最高管理者对风险评估策划的批准

上述所有内容应得到机构的最高管理者的批准，并对管理层和员工进行传达。由于风险评估活动涉及单位的不同领域和人员，需要多方面的协调，必要的、充分的准备是风险评估成功的关键。因此，评估前期准备工作中还应签订合同和机密协议以及选择评估模式。

3 信息资产识别

资产是企业、机构直接赋予了价值因而需要保护的东西，它可能是以多种形式存在的，无形的、有形的，硬件、软件，文档、代码，或者服务、企业形象等。在一般的评估体中，资产大多属于不同的信息系统，如OA系统、网管系统、业务生产系统等，而且对于提供多种业务的机构，业务生产系统的数量还可能会很多。

资产赋值是对资产安全价值的估价，不是以资产的帐面价格来衡量的。在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是要考虑资产对于机构业务的安全重要性，即由资产损失所引发的潜在的影响来决定。为确保资产估价时的一致性和准确定，机构应按照上述原则，建立一个资产价值尺度（资产评估标准），以明确如何对资产进行赋值。资产赋值包括机密性赋值、完整性赋值和可用性赋值。

4 威胁识别

安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或者时间。无论对于多么安全的信息系统，安全威胁是一个客观存在的事物，它是风险评估的重要因素之一。

5 脆弱性识别

脆弱性评估也称为弱点评估，是风险评估中的重要内容。弱点是资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、机构、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。

6 已有安全措施的确认

机构应对已采取的控制措施进行识别并对控制措施的有效性进行确认，将有效的安全控制措施继续保持，以避免不必要的工作和费用，防止控制措施的重复实施。对于那些被认为不适当的控制应核查是否应被取消，或者用更合适的控制代替。安全控制可以分为预防性控制措施和保护性控制措施两种。预防性控制措施可以降低威胁发生的可能性和减少安全脆弱性；而保护性控制措施可以减少因威胁发生所造成的影响。

7 风险识别

根据策划的机构，由评估的人员按照相应的职责和程序进行资产评估、威胁评估、脆弱性评估，在考虑已有安全措施的情况下，利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性，并结合资产的安全属性受到破坏后的影响来得出资产的安全风险。

8 风险评估结果记录

根据评估实施情况和所搜集到的信息，如资产评估数据、威胁评估数据、脆弱性评估数据等，完成评估报告撰写。评估报告是风险评估结果的记录文件，是机构实施风险管理的主要依据，是对风险评估活动进行评审和认可的基础资料，因此，报告必须做到有据可查，报告内容一般主要包括风险评估范围、风险计算方法、安全问题归纳以及描述、风险级数、安全建议等。风险评估报告还可以包括风险控制措施建议、参与风险描述等。

由于信息系统及其所在环境的不断变化，在信息系统的运行过程中，绝对安全的措施是不存在的。攻击者不断有新的方法绕过或扰乱系统中的安全措施，系统的变化会带来新的脆弱点，实施的安全措施会随着时间而过时等等，所有这些表明，信息系统的风险评估过程是一个动态循环的过程，应周期性的对信息系统安全进行重新评估。

参考文献：

[1] Solomon D A, Russinovich M E. Inside Microsoft Windows 2000[M]. Microsoft Press, 2000.

第2篇：网络信息安全自查评估报告范文

地址：_________

法定代表人：_________

乙方：中国信息安全产品测评认证中心_________测评中心

地址：_________

法定代表人：_________

受_________委托，由乙方即中国信息安全产品测评认证中心_________测评中心（该中心系由国家授权履行对信息安全产品，信息系统及信息安全服务进行测评认证的第三方权威，公证机构。）对甲方即进行测评。为保证信息系统检测评估过程的顺利进行，提高信息系统的安全性，现经甲、乙双方平等协商，自愿签订本协议，共同遵守如下条款：

1．经甲乙双方协商，于_________年_________月_________日起（时间约为_________周）由乙方对甲方网络系统的安全性进行检测评估。

2．测评范围为_________。

3．在检测评估过程中，甲方应协助并向乙方提供有关网络系统检测评估所需的文档。

4．乙方在对甲方的网络系统进行检测评估中必须严格依照信息系统检测评估要求与标准执行。信息系统检测评估过程如下：

（1）甲方向乙方提交系统检测评估申请文档；

（2）乙方对甲方提交的文档进行形式化审查；

（3）乙方对甲方提交的文档进行技术审查；

（4）乙方确定现场核查方案及计划；

（5）乙方对甲方申请检测的系统进行现场核查检测；

（6）乙方整理分析检测数据并撰写检测报告；

（7）乙方向甲方提交系统检测报告。

5．乙方在检测评估完毕后_________个工作日内向甲方提交网络系统检测评估报告。

6．乙方有义务对甲方提交的任何文档资料以及检测评估数据与结果保密，严格依照《中华人民共和国保密法》相关事宜执行，以确保任何相关技术及业务文档不得泄露。

7．甲方应在本协议生效之日起_________个工作日内将系统检测评估费用人民币_________元转入乙方指定的银行账户中。

8．本协议未尽事宜，双方协商解决，与国家法律法规相抵触的按国家规定执行。

9．本协议自签订之日起生效，一式三份，甲方持一份，乙方持两份。

甲方（盖章）：_________乙方（盖章）：_________

第3篇：网络信息安全自查评估报告范文

一、电子商务系统审计的必然性和必要性

在商业活动实现网络化之前，采购是面对面或通过纸质文件进行的，有迹可查，即使是电子交易，其设备结构是专用的，一般只限于已知用户使用，任何外部用户必须是已知的、身份明确的、可追踪的；系统通常是主机结构方式，相对易于监督、控制和审计。与传统商业相比，万维网客户/服务器系统的特点是高度分散，资源共享、服务分散、顾客透明度高等，而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产，财务报告不能充分提供企业的状况和价值方面的信息，特别是网络企业的无形资产，如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法，需要一些新的核查和审计方法，更有效地评价无形资产，如知识、品牌等。因此，电子商务系统审计就成为历史的必然。由于，电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险，都可能会影响其生存和发展。风险因素包括：商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此，进行必要和客观的审计，才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。

二、网络风险和风险管理

网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估，风险评估就是要分析和衡量风险事件发生的概率及后果，引起风险的因素及其关联因素，出现风险的关键点采取什么方法能够减缓风险，风险出现造成后果如何，以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率，计算各种风险的影响后果，根据影响和后果排序，对高风险因素作进一步的分析。

通过风险评估，可以认识到潜在风险（威胁）及其影响，以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本，主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。

三、电子商务系统审计中网站的合法性证明

网络终端用户都会关注网站是否来自一个真实的、可靠的机构，提供的信息是否准确真实，机构背景是否正当合法，个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平，必须用于某一特定、公开的目的，必须取得该个人的同意并受到保护，本人必须有权进入系统进行修改或删除，信息的越域流动和将来的使用、披露必须予以安全保证和限制等。

解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明，以使网络终端用户能对网站提供的电子商务放心。如Verisign，TRUSTe，BBBOnline，WebTrust，SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录，获得确认被访问网站的名称、有效状态、服务器标识等信息。

四、内部审计和电子商务系统审计

美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性，建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计，电子商务的实时性要求审计人员应对其进行连续不断的评估，按特定的审核标准对已发生的交易进行追踪，而系统内设置的自动登录记录可作为相应的审计轨迹，在系统内部实施对事件监督和控制。

尽管当前许多人认为核实查证通常与外部审计人员相关，内部审计人员则在公司内部出具审计报告。然而，国际内部审计师协会对电子商务系统审计的要求则是：审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如，内部审计对网络企业控制水平的独立评价，使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如，企业目标是建立电子商务以降低成本、提高市场占有率，那么电子商务风险是随着网络交易的增加而增加，以至于不能确保交易的安全性或分辨用户的可靠性，因此，所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。

电子商务系统审计的成功与否在于审计人员是否掌握相关的技术知识，了解商业风险及风险管理策略，是否有现成的策略随时应付出现的风险。因此，作为一个成功内部审计人员应了解企业的业务，以服务为宗旨并努力增值，积极提高专业技能，关注系统的效率和效益，建立对电脑领域发展的职业敏感性。

第4篇：网络信息安全自查评估报告范文

关键词 二次系统；网络；安全防护；预案

中图分类号TP39 文献标识码A 文章编号 1674-6708（2010）33-0228-02

Region Scheduling Data Network Security Assessment and Emergency System

CAO Jianfeng

AbstractSecondary power system in accordance with the national security of the relevant requirements of the Fuzhou region of the second grid system to assess network security, in view of the Fuzhou region of the second grid system issues of network security defense research, practice, and to identify areas of Fuzhou, the second grid weak point of the safety of the system, and scientific solutions. For the safety assessment report to study the formulation of security policy, the implementation of pilot programs and practice, and then test it again to build and improve the regional power network security defense system to system, and summed up the defense system the formation of the standard model.

KeyWordSecondary system；networking；security

0 引言

电力监控系统及调度数据网作为电力系统的重要基础设施，不仅与电力系统生产、经营和服务相关，而且与电网调度、与控制系统的安全运行紧密关联，是电力系统安全的重要组成部分。电力生产直接关系到国计民生，其安全问题一直是国家有关部门关注的重点之一。

随着通信技术和网络技术的发展，接入电力调度数据网的电力控制系统越来越多。电力系统一次设备的改善，其可控性已满足闭环的要求。随着变电集控所模式的建立、变电站减人增效，大量采用远方控制，这对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面，Internet技术和因特网已得到广泛使用，使得病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变电站在规划、设计、建设控制系统和数据网络时，对网络安全问题重视不够，构成了对电网安全运行的严重隐患。除此之外，还存在黑客在调度数据网中采用“搭接”的手段对传输的电力控制信息进行“窃听”和“篡改”，进而对电力一次设备进行非法破坏性操作的威胁。因此电力监控系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。

1福州地区电网二次系统网络安全评估概述

1.1 概况

福州地调二次系统安全评估包括：二次系统资产评估、网络与业务构架评估、节点间通信关系分析、二次系统威胁评估、现有防护措施评估、主机安全性评估、网络系统评估、安全管理评估、业务系统安全评估、二次系统风险计算和分析、安全建议等评估内容，评估之后针对系统的薄弱点进行安全加固，并制定《福州局电力调度自动化系统应急预案体系》，提高调度自动化系统运行的可靠性，安全性，有效预防和正确、快速处置电力调度自动化系统瘫痪事件，不断提高福州电网预防和控制调度自动化事件的能力，最大限度地减少其影响和损失，保障电网的安全运行。安全评估的实施基本流程如图1所示。

1.2 网络安全评估的过程

1.2.1资产调查

资产调查作为信息收集的一个关键步骤，是开始安全评估工作的第一步，也是安全加固工作的基础，其主要目的是准确全面的获得被评估系统的信息资产清单。

因此，在进行评估项目实施时，我们很重视资产调查的过程和方法，以期收集到准确、全面的信息资产清单。对于每一个资产来说，都需要比较准确的收集各项属性，因此我们计划整个资产调查过程如下，以确保我们的资产调查目标的实现。

1.2.2采用了正向测试与逆向渗透相结合的漏洞深度检测方法

在本项目中，安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。应用正向测试与逆向渗透相结合的漏洞深度检测方法，对电力二次系统主机信息安全进行分析。

1.2.3采用了远程漏洞扫描与本地主机自动化脚本检测相结合的脆弱性获取方法

渗透测试主要依据安全专家已经掌握的安全漏洞，模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试。所有的测试将在授权和监督下进行。渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业机能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。

1.2.险计算和分析

信息安全风险评估的风险计算部分主要以业务系统作为风险计算和分析的对象，以福州电业局本部为例，本次对福州电业局SCADA系统、电能量采集系统、OMS系统和DMIS网站共4个业务系统进行了评估和测试，各个业务系统的信息资产价值、威胁发生可能性和脆弱性严重程度的进行赋值，并通过风险计算，得出风险计算结果，确定各个系统的危险程度，找到业务系统的安全薄弱点。

1.2.5安全建议

根据计算出来的安全结果，通过管理和技术等两方面来加强网络设备和安全设备的安全性，对访问重要设备的用户应遵循一定规章制度，对网络配置的更改、权限的分配要及时进行记录备份归档。

对重要业务系统和服务器进行定期的漏洞病毒扫描，对扫描结果进行分析记录并归档。对新系统上线前应进行扫描和加固，对扫描的日志及时进行安全审计并归档。

对网络运行日志、操作系统运行日志、数据库运行日志、业务系统运行日志进行定期的安全审计并提交安全审计记录和报告，对报告中的非法行为应及时报告并处理。

对于网络设备和安全设备的配置日志应另存储在日志服务器中，而非存储在本地路由器或是交换机上，并定期的进行备份归档。对于日志的种类应当包括所有用户对网络设备和安全设备的查看、更改等。

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文

2地区电网自动化系统整体应急预案体系建设

2.1应急预案体系的出现

现阶段地区调度自动化各系统联系紧密，单个系统的故障将连锁影响多个其他系统运行，电力调度数据网建设向县调及110kV变电站延伸，接入系统种类日趋复杂，二次安全防护木桶效应日趋明显。由于系统风险主要来自于病毒及相关联系统的故障，故障类型复杂并存在触发或并况，应急预案的思路逐步摆脱了自动化单个系统预案的思路，慢慢向以自动化二次整体应急预案体系进行转变。该思路面对系统出现严重故障时，整体地考虑恢复手段及措施，隔离故障区域，屏蔽受影响系统的部分功能，将日常人工或自动备份的硬件及软件快速导入故障设备，恢复系统。在日常备份及演练过程中，综合考虑各系统间的互补能力和约束条件，并切合地调实际，高效率低成本地实现该预案体系。该体系重视系统整体恢复的效率和日常投入成本的二维标准，兼收并蓄各种技术手段和管理手段的优势。

2.2 应急预案体系的特点

该预案体系适应自动化系统日益联系紧密的特点，摆脱之前针对某一系统制定预案的思路，采用“整体考虑，互为备用,分散管理,集中恢复”总体思路，避免出现系统孤岛，综合考虑，兼顾各个系统及全面事故预想，具有兼容性强，各子系统预案操作性强，入门要求低，恢复手段有效快速，投资成本低，日常维护工作量少，实用化推广价值高的特点。

预案体系总体框架图各子预案关联关系图

2.3 预案体系各个子预案之间的关系

2.3.1共存关系

各预案体系间存在互相引用，互为补充关系。简化了对预案编写的复杂程度，将复杂的系统问题转化成为多个专项问题来解决。

集控系统资源成为EMS预案中的备用设备，将整体自动化系统一体化考虑，互为备用，充分利用资源，降低预案成本。

2.3.2互斥关系

预案体系中的电源子预案和其他预案间存在互斥关系，当涉及到整体电源异常时，就要考虑牺牲小系统，保全大系统的整体

3 结论

本项目对地区电网二次系统网络安全防御体系开展了专题研究与实践，研究结果有效提高了地区电网二次系统网络的安全防御能力，对网省调度中心乃地市电业局的二次系统安全建设都起到了重要的指导意义。项目根据研究结果构建了调度自动化应急预案体系以及与之相配套开发的快速备份恢复系统，投资少，效益高，为电网的安全可靠运行提供坚强的技术支撑。该项目的开展促进了调度中心对现有二次系统安全现状和存在的各种安全风险有了深入的了解 ，确保调度中心对二次系统中存在的各种安全风险采取相应的网络安全手段和部署选用必要的安全产品 ，对今后全省乃至全国地区电网二次系统网络安全建设具有重要的指导意义。

参考文献

[1]张王俊，唐跃中，顾立新.上海电网调度二次系统安全防护策略分析.电网技术，2004(18).

[2]王治华.安全运营中心及其在调度中心二次系统中的应用.电力系统自动化，2007(22).

[3]陈文斌.电力二次系统网络与信息安全技术研究.电工技术，2008(11).

[4]民，辛耀中，向力，卢长燕，邹国辉，彭清卿.调度自动化系统及数据网络的安全防护.电力系统自动化，2001(21).

[5]葛海慧，卢潇，周振宇.网络安全管理平台中的数据融合技术 .电力系统自动化，2004(24).

[6]胡炎，辛耀中.韩英铎 二次系统安全体系结构化设计方法.电工技术，2003(21).

[7]程碧祥，电力调度自动化系统中物理隔离技术的研究与应用.电工技术，2008(1).

第5篇：网络信息安全自查评估报告范文

房屋征收管理工作是城市建设的重要基础性工作，“房屋征收信息化”，就是利用计算机技术、网络技术和通信技术等手段，实现政府对上述房屋征收过程的信息化、数字化管理，并通过公告公示、网络服务等平台为被征收人提供公共服务。按照国家规定房屋征收拆迁档案移交包括下列主要档案资料:（1）综合资料：拆迁许可证；拆迁申请书；建设项目批准文件；建设用地规划许可证(含规划定点红线图)；国有土地使用权批准文件；选择评估公司征求意见表；意见汇总表；选定评估公司公告；拆迁调查通知书；委托拆迁合同；委托评估合同；房屋拆迁公告；拆迁安置补偿汇总表(明细目录)；直管公房拆迁补偿协议；直管公房拆迁注销通知书；其他相关材料（2）被拆迁户档案资料：拆迁补偿安置协议；房屋拆迁评估报告；房屋装修评估表；房屋所有权证；房屋租赁协议；国有土地使用权证；听证、行政裁决、行政强拆、法院判决、司法强拆等相关材料（由市拆管办单独移交）；照片（评估报告中附照片）；其他相关材料。

2拆迁档案移交要求

（1）综合资料：拆迁许可证；拆迁申请书；选择评估公司征求意见表；意见汇总表；选定评估公司公告；拆迁调查通知书；委托拆迁合同；委托评估合同；房屋拆迁公告；拆迁安置补偿汇总表(明细目录)；直管公房拆迁补偿协议；直管公房拆迁注销通知书。（2）户档资料：拆迁补偿安置协议；房屋拆迁评估报告；房屋装修评估表；房屋租赁协议；听证、行政裁决、行政强拆、法院判决、司法强拆等相关材料（由市拆管办单独移交）；照片（评估报告中附照片）。以上移交文件应为原件，应采用耐久性强的书写材料，如碳素墨水、蓝黑墨水，不得使用易褪色的书写材料，如：红色墨水、纯蓝墨水、圆珠笔、复写纸、铅笔等；文件应字迹清楚，图样清晰，图表整洁，签字盖章手续完备；破损皱折的文件要修复和整平。

3房屋征收档案管移交时限及流程

（1）各拆迁单位和拆迁实施单位应在拆迁工作结束3个月内向市城建档案馆移交拆迁项目档案。（2）移交拆迁档案时，应先报市城市房屋拆迁管理办公室办理查阅无误并盖章后方可移交。

4房屋征收档案管移交手续

移交档案时，各移交单位应认真填写档案移交清单，清单一式三份，经交接双方签字盖章后各留存一份，另一份交市城市房屋拆迁管理办公室。

5房屋征收档案管理信息化建设技术问题

第6篇：网络信息安全自查评估报告范文

关键词：蓝盾 ；信息安全；SOC

1.前言

为了解决网络不断出现的安全问题，政府和企业先后部署了安全设备，甚至建立了自己的专业技术队伍，对信息系统进行安全维护和保障。但是由于IT环境中存在较多的安全设备和大量的日志信息，安全管理人员面对众多的控制台界面、告警窗口和日志信息，往往束手无策，导致工作效率低，难以发现真正的安全隐患。并且这些安全设备都仅仅防堵来自某个方面的安全威胁，形成了一个个的安全防御孤岛，无法产生协同效应。

2.需求分析

在越来越多安全设备使用的情况下，面对复杂的网络环境，信息安全事件变化多端，政府和企业的信息安全管理者责任也就越来越重，在日常管理工作中，出现了以下新的需求：

一.安全设备需要进行统一管理。在实际网络中，为了保障网络安全，政府或企业都部署了大量的安全设备（这些安全设备可能来自于不同的厂商），但这些安全设备相对孤立，各负其责，要管理起来非常不方便。设备运行状态、设备稳定性等都没法得到及时把控，严重时会影响整个网络的应用，甚至中断业务。

二.安全策略需要统一部署，维护人员在面对大量且不断变化的外部威胁时，需要在安全设备上配置安全策略以保障网络安全，但在大量的安全设备中进行逐台配置，给维护人员带来了极大的不便和大量的重复性作业。并且在面对网络突发事件时，可能会影响维护人员处理时间的响应速度，给政府或企业带来重大的损失。

三.安全事件需要集中分析管理。在实际网络中，各种应用和安全设备在运行过程中各自产生大量的日志，如果单靠专业人员手动去分析判断这些分散在各个设备中的日志信息是很困难的，因此需要一种把安全事件集中收集并自动分析的方法来迅速地在这些大量日志信息中准确地发现有害事件。

四.需要提高网络系统的风险管理和脆弱性评估能力。网络系统存在的脆弱性是网络攻击发生的前提，但是在实际网络中，很少有自动化的风险管理和脆弱性评估的方法，只能通过人工分析找出安全隐患和可能被不法人员利用的系统缺陷。这样一种被动的方式使维护人员很容易漏掉一些安全隐患，给政府或企业的网络带来很大的风险。

3.SOC系统建设意义

信息安全的发展随着网络建设经历了三个阶段：一是防病毒、防火墙+IDS（入侵检测系统）部署的初级阶段。二是随着信息系统速度发展，各种业务信息化推进，对信息安全产生巨大的需求（包括网关防护、安全审计管理、终端安全和应用安全），并大量的使用区域边界防护与脆弱性扫描与用户接入控制技术等，此时的安全技术分为防护、监控、审计、认证、扫描等多种体系，纷繁复杂，称为安全建设阶段。三是随着业务高度信息化，信息安全管理成为信息建设的必要组成部分，把分散的安全设备、安全策略、安全事件统一管理与统一运营，成为安全管理阶段，最典型的就是综合性的安全管理中心（Security Operation Center）SOC的建设。

蓝盾公司开发的安全综合管理平台系统（BD-SOC），由“四个中心、六个功能模块”组成，实现了信息采集、分析处理、响应管理、风险评估、流程规范、综合展示等网络安全管理需具备的所有功能。

“四个中心”：网络管理中心、风险评估中心、安全事件监控中心和预警与响应中心。

“六个功能模块”：资产管理、日志管理、配置策略管理、报表管理、安全知识管理和报修管理。

4.BD-SOC系统应用特征

蓝盾的SOC系统根据用户切实的需求，以方便用户对安全设备和安全事件进行集中管理，保障用户网络安全可靠为前提，在应用上体现了以下四方面的特色：

一.协助用户对安全设备进行集中管理

1 统一的资源监控，提供一个全方位监控的统一管理平台，确保资源的可用性以及业务的特殊性。

2 拓扑图形显示，能自动识别和发现新加入的安全产品。

3 安全设备的实时性能分析，能够实时查看设备的CPU利用率，内存利用率等情况。

4 网络故障的直观图形显示，当设备发生故障时，可以通过图标颜色的变化在网络拓扑中显示出来，可以一目了然地发现网络和设备的故障所在。

5 提供多种安全信息查询、报表分析及网络安全报告，并以表格和图形的形式呈现出来。

6提供灵活查询功能和分析规则，能够根据用户的需求生成日报表，周报表，月报表和年报表等，报表可以另存为HTML、Excel、文本、PDF等多种格式。

二.方便用户统一配置安全策略

BD-SOC系统采用安全策略的集中编辑及下发来统一对安全设备进行配置。以前在配置安全策略时，需要登录网络中的每台设备，对其进行安全策略的配置，这是一种“登录—配置”的过程。BD-SOC系统能够对全网安全设备的安全规则进行统一的集中编辑，并进行策略下发，把配置安全策略的过程转变为“编辑——下发”的过程，极大的降低了维护人员的工作量、减少了安全策略的冲突和漏洞、增强了全网的整体安全性。

三.帮助用户集中管理安全事件

1统一日志监控。BD—SOC把网络安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来，使得用户通过单一的管理控制台对IT计算环境的安全信息（日志）进行统一监控。

2 日志归一化与实时关联分析。收集并归一化所有安全日志和告警信息，然后通过智能事件关联分析，帮助安全管理员实时进行日志分析，迅速识别安全事件，从而及时做出相应。

3可视化日志分析。BD—SOC具备强大的事件可视化能力，事件可视化可以是柱图、饼图、曲线图等统计趋势图表的展示。

四.帮助用户找出网络脆弱点，提高网络安全风险管理水平

蓝盾安全综合管理平台系统（BD--SOC）风险管理对资产的价值、脆弱性、威胁进行统一的分析、管理和评估。BD—SOC主要思想就是通过降低风险来减少安全事件的发生，有效提升组织的安全性，帮助管理员对脆弱点做出正面积极的响应，预防可以发生的损害。风险管理为组织对IT维护人员的日常工作管理提供了依据，为评价安全决策、安全工作的成果提供了量化的衡量指标。

5.小结

随着Internet/Intranet 技术的飞速发展，网络安全问题愈来愈引起人们的重视，具有功能齐全、部署方便、可管性和可视化特点的BD-SOC系统，迎合了信息安全管理阶段发展的要求，希望通过借鉴其系统研发的主要思想及应用特征，推进网络信息安全技术的发展。

参考文献

[1] 戴红，王海泉，黄坚计算机网络安全【M】.电子工业出版社.2004.9

[2] Bace RG .Intrusion Detection [M]. Technology Series. Macmillan, London,2000.

第7篇：网络信息安全自查评估报告范文

【 关键词 】 中小商业银行；等级保护；信息科技风险管理；信息安全体系框架

1 中小银行等级保护咨询服务的背景

随着信息技术的不断进步与发展，信息系统的安全建设显得尤为重要。2012年6月29日人民银行下发了“银发【2012】163号”文件，为进一步落实《信息安全等级保护管理办法》（公通字〔2007〕 43号文印发），加强对银行业信息安全等级保护工作的指导，结合近年来银行业信息安全等级保护工作开展情况，人民银行给出了银行业金融机构信息系统安全等级保护定级的指导意见，至此，正式的拉开了中小商业银行等级保护建设和整改工作的序幕。

2 等级保护咨询服务的项目目标

国内中小银行在信息安全的发展程度，大部分处于自我认知的阶段，一边忙于业务发展的保障需要，一边又要应对上级监管部门的监督检查，对于安全建设来说，大部分没有纳入到战略的层面来考虑。因此，借助于等级保护咨询服务来建立的这样一套信息安全体系，必须同时满足公安部等级保护基本要求、人民银行等级保护的测评要求和银监会关于IT风险管理的要求。这些目标相辅相承，互为补充。只有将通用的要求、标准、规范落实到自己IT风险管理体系的各方面，建立适合自己业务特点与发展需求的信息安全体系，才能达到有效管理风险、进行IT治理的目的，并最终通过等级测评。

3 等级保护咨询服务的总体思路

中小银行在咨询服务项目需要主动地全面的考量自身情况，综合分析人民银行、银监会和等级保护的要求，在现有的安全工作基础之上，建立统一的信息安全体系，同时满足这些主要的监管要求。这样面临检查时，只要客观反映出当前状态就可以，有效降低临时的材料组织工作。

同时满足三方面监管要求的信息安全体系，这个信息安全体系将以公安部的等级保护《基本要求》、人民银行的《等保测评指南》和银监会《管理指引》为主要依据来搭建起框架，以各专项监管指引为各个领域的具体工作指导，以ISO27000为代表的国内外信息安全标准为补充。

4 等级保护咨询服务的内容

等级保护的咨询服务具体实施过程可参考公安部下发的《信息系统安全等级保护实施指南》，“指南”中将等级保护工作分为了定级备案、规划设计、建设整改和等级测评四大过程。

4.1 系统定级

系统定级阶段需要完成的工作。

1） 等级保护的导入培训：在进行咨询服务之前，需要对银行相关科室信息人员进行等级保护的内容培训。只要讲清楚等保是什么，需要各级人员配合的工作点是什么就可以了。

2） 系统业务安全域划分：这个阶段需要进行信息搜集和资产调研。明确业务系统的范围、边界、功能、以及重要性等。

3） 编写系统定级报告和备案表：定级报告和备案表都是按照公安部等保办公室的通用模版来编写的，内容包含了系统功能描述、网络拓扑、定级的理由和依据等。

4） 召开专家评审会、获得备案证明：召开专家评审会并获得备案证明可视为一个里程碑式的阶段性成果，因为定级和备案是等级保护工作开展的前提，如果级别定错了，或者专家有不同的评审意见，则后续的设计方案、整改方案均无法执行。同时，对于银行信息科技部门的领导而言，服务工作做的怎么样无法量化，但是备案证书是看的见，摸的着的，如果能在评审会现场当场颁发，则意义更加重大。

4.2 规划与设计

规划与设计阶段的主要工作就是进行等级差距分析和风险评估。

1） 技术层面可直接参考人民银行关于金融行业的“测评指南”来完成，可操作性较强。可分物理、网络、主机、应用、数据五个层面进行差距评估，同时对网络流量和网络协议进行简单的分析，通过漏洞扫描设备、配置核查设备、渗透工具等进行风险分析，输出风险评估报告和技术层面的差距评估报告。

2） 管理层面上，等保的管理要求相对薄弱，集中体现在运维管理等方面，如果要达到人民银行和银监会的标准，还有很多需要加强和补充的地方，可以对现有的制度文档进行一个简单的梳理，用最短的时间完成等保的管理制度调研。

4.3 实施与整改

实施与整改阶段需要按照规划阶段的设计方案进行实施，以满足等级保护安全体系的建设要求。

1） 组织体系整改：安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式。可参考已成立的《等保领导小组》设立模式，但应具体到管理员岗位。

2） 管理体系整改：按照等级保护的要求补充或重新制定管理制度，根据咨询方提供的制度模版，银行可根据自身的实际业务需求进行修改，并经内部讨论修订后，下文试运行。

3） 技术体系整改：技术体系整改应从三个层面进行考虑。

制定技术规范：包括windows、AIX、Informix、tuxedo、cisco等主流设备的安全配置规范；可考虑聘请专业安全公司进行咨询服务，制定适合银行长期发展的安全策略和技术安全规范。

安全配置加固：根据已制定的技术规范进行主机、服务器、网络设备、安全设备的全面的安全加固。

安全设备采购：在安全技术体系的具体实现过程中，需要落实安全技术详细设计方案中的具体技术要求，将先进的信息安全技术落实到具体安全产品中，形成合理、有效、可靠的安全防护体系。

4.4 等级测评

根据人民银行的《金融行业信息安全等级保护测评服务安全指引》选择具有资质的第三方测评机构进行等级测评，一般当地公安机关会指定2-3家评估中心进行等级测评，如果银行自行联系省外的测评机构，可能需要事先跟当地省公安厅取得联系，确保该测评机构的测评报告在本省是受到认可的。

实际上做了咨询服务之后，等级测评的工作就变的非常简单，因为咨询方会在规划与设计阶段就会与测评中心取得联系，确保其设计方案和整改实施方案得到专家和测评中心的认可，保障其顺利实施。所以在等级测评的时候，测评师从进场到出具评测报告大概只需一周左右的时间。

5 结束语

关于金融业等级保护的建设工作，是今后两年的一个重点工作，尤其是中小银行可借助合规要求，由信息科技部门立项，向行内申请更多的资源来完善自身的安全体系建设工作。

参考文献

[1] 武冬立.银行业安全防范建设指南.长安出版社，2008-11-1.

[2]李宗怡. 中国银行安全网构建基础研究.经济管理出版社，2006-6-1.

[3] 刘志友.商业银行安全问题研究.中国金融出版社， 2010-3-1.

[4] 曹子建，赵宇峰，容晓峰.网络入侵检测与防火墙联动平台设计[J].信息网络安全，2012，（09）：12-14.

[5] 傅慧.动态包过滤防火墙规则优化研究[J].信息网络安全，2012，（12）：12-14.

第8篇：网络信息安全自查评估报告范文

当前，网络信息安全形势严峻，国内有关评估工作还处于起步阶段，云南电信在这方面作了积极的探索。云南电信2013年成立信息安全评估专家项目组，项目组经过研究工业和信息化部以及集团总部相关文件，一致认为要在集团规范指导下抓细节、治痛点，不能流于形式，应通过创新，完善评估流程和方法，真正使信息安全评估为新技术新业务的运营保驾护航，所做工作要对800多万云南电信用户负责，要能有效地防范用户隐私泄露和恶意扣费的风险。

2云南电信的创新实践

云南电信公司新技术新业务信息安全评估的创新性实践，主要从机制、管理和技术手段方面进行执行细化，具体创新点如下。

2.1基于二加一多层次的信息安全评估模式创新

项目依据新技术信息安全评估的总体原则，从解决业务运营中可能出现的安全技术风险和安全管理风险出发，采用机制设计、管理控制和技术监测建立一套新型多维度的信息安全评估模式。该模式包含两个内部评估机制，即输出新业务项目组自评估报告和信息安全专家评估报告；一个外部技术测评，即输出第三方安全测评系列报告，故称为二加一评估模式。新业务项目组自评估报告重点要求开发方承诺在产品中没有无关后门程序存在，同时要求电信业务管理部门、维护支撑部门及开发方组成的项目组对产品按模板条款进行全面梳理，保证产品上线和运营营销后，其信息安全从技术、管理措施方面按模板要求合法合规，且项目组所有成员应达成共识，签字确认。由业务管理和建设维护、IT支撑部门组成的专家组对新技术新业务的自评估报告、新业务的安全管理措施和第三方安全测评报告共同进行审查，各方面达标则出具信息安全评估报告，不达标则对项目组提出整改要求。此外，本评估模式还包括年度业务评估计划统计、已评估档案管理和评估数据积累机制，以确保评估工作的严谨和权威性。

2.2基于新业务平台测评手段的评估技术集成创新

通过具有安全服务能力评定资质的第三方机构对新技术新业务进行平台安全脆弱性扫描，出具第三方安全测评系列报告，报告新业务的平台漏洞状态、账户弱口令状态、主机安全危险状态等信息。如果新产品有移动APP客户端，则通过国家信息产业通信软件测评中心的移动互联网应用测试服务平台和手机应用安全测试仪，对业务加测移动恶意代码程序和手机病毒进行扫描，出具相应的测评报告。有安全隐患的发回整改，复查达标才算报告完结。同时，业务上线运营后还将定期对业务进行跟踪复测，出现安全漏洞或病毒的出具复测通知书，限期整改。项目在技术手段方面的集成创新，充分保障了新技术新业务运营的可靠性和安全性，为电信运营商业务的长期应用和持续发展提供了重要的技术支撑。

3推广效果

本项目实施从2013年第四季度正式启动，选定了涵盖前后端的专家组成员，初步确定了评估流程和方式，开始进行评估实践。2014年3月，根据实践，在评估工作中细分出项目组自评估报告和专家评估报告，重点要求产品开发方签字承诺在产品中没有无关后门和恶意程序存在，并要求所有省级新技术新业务必须进行信息安全评估，通过评估后方能上线运营。2014年7月，随着手机恶意吸费、用户隐私泄露等移动互联网安全事件的增多，为了更加严谨评估移动类新业务的安全状况，引入了技术量化测评，云南电信开始针对新业务移动APP客户端，委托具有安全评定资质的第三方单位进行移动恶意程序和手机病毒的扫描测评，不达标的要求整改复测。从2015年1月开始，云南电信开始委托具有安全资质的第三方单位进行新业务平台安全扫描测评，同样，不达标的要求整改加固，完成后再次复测，达标后专家组才签字通过。至此，完善而成体系化的云南电信评估流程基本建成，新技术新业务信息安全评估的创新实践对云南电信新技术新业务运营管理起到了质的提升作用。自2014年以来，信息安全评估工作已覆盖云南电信所有部门和单位的新技术新业务，业务类型包括信息服务类、视频监控类、娱乐类、移动即时通信类，产品形式包括Web、WAP、APP、iTV等类型。在评估过程中通过安全测评确实发现多起安全漏洞，甚至是高危漏洞，有些业务管理账号存在弱口令设置，有些信息功能审查缺失等。通过严格评估后，上线运营的新技术新业务目前均工作稳定正常，未出现过任何信息安全事故，这无形中为企业和用户挽回了潜在的经济损失。因此，云南电信的评估工作也得到了集团总部和政府管理部门的肯定。今后本项目提供的评估流程将继续严格实施，并有望在中国电信全国体系中推广。

4信息安全评估创造性工作的思考

在信息安全评估创造性工作过程中，有以下几点思考。第一，今后的评估工作应分级分类，根据不同的等级和风险程度，执行不同的评估措施。如对于涉及视频监控、位置服务和用户自媒体发送功能的技术业务，应提升测评审查等级。第二，应加大对评估测评技术的研究和应用，黑客的技术手段在不断翻新发展，因此，安全评估测评的技术和方式也应与时俱进。同时，信息安全评估过程并不代表一劳永逸，定期业务抽查复测也非常必要。第三，应加大对安全评估和安全技术人员的培养。人才是信息时代的第一要素，不仅要培养通信和互联网人才，还要重视信息安全专业人才的培养；同时，信息安全人员的稳定性也不容忽视。第四，对信息安全评估的建立档案管理和评估数据积累机制也至关重要，这既是为新技术新业务安全建档，也是信息安全工作管理和经验的积累过程。第五，信息安全评估是对业务运营的事前进行安全防范，与此同时，事中安全监控和技术拦截、事后的应急处置能力也是电信运营商必须同等重视的环节。

5结束语

第9篇：网络信息安全自查评估报告范文

关键词：电子商务；企业审计；流程

当前信息化建设飞速发展，各行各业信息化、数据化的程度水涨船高。信息技术的发展为建立一个跨时空的实时商务系统提供了技术平台，电子商务应运而生。电子商务环境下的企业审计对传统的审计模式是巨大的冲击，它改变了企业的管理理念和会计模式，一定程度上给审计人员带来了便利，但也带来了很大的挑战。以下，就电子商务环境下企业审计要素、审计流程、审计报告的变化展开分析。

一、企业审计变化的几个方面

1.审计目标

传统的审计目标主要是查错防弊。会计工作人员收集证据主要是使自己能在真实合法的环境中对会计报表的合法性、公允性、一贯性表达客观公正的意见，生成审计报告。在传统的会计行业中，会计报表对企业经营状况和经营成果反馈的及时性和相关性不足，而主要考虑了准确性和可靠性。随着电子商务、网络财务等新技术的涌现，经济活动更加开放，企业审计的目标也向更深更广扩展。企业把公司简介、产品信息、企业财务等放到企业网站上共享，大大提高了信息传递的及时性。在大数据、信息大爆炸时代，企业审计更加注重及时性，传统审计已经完全不能适应电子商务环境下的审计要求。

2.审计对象

通过对电子商务环境下的审计的观察，我们发现互联网将企业的资金、物资、信息等资源融合在一起。不同企业之间可在各自的网站平台上了解相关产品，并在网络上达成共识，召开视频会议，签订电子合同，进行电子支付一整套的商务活动和流程[1]。可见电子凭证已成为电子商务环境下企业审计的重点对象。电子商务的交易一般是在网络中完成的，因此交易的安全性必须得到高度重视，所以与传统审计不同，电子商务环境下的审计对象也包括对企业内外环境安全性的检查。

3.审计方法

传统的企业审计，会计人员核账方式基本以账账核对、账实核对、账证核对为主。会计人员根据原始凭证来编制记账凭证[2]，根据凭证登记明细账和总账，最终根据账簿编制会计报表。在经济高度发展的今天，传统审计方法已失去意义。会计信息系统在电子商务中的广泛运用，使财务信息的同步性大大提高。审计人员可通过一些接口来获取相关资料，凭借发达的信息网络来实现远程操作。部分审计软件也使得审计人员在分析数据工作时，通过对这些软件的利用对信息进行加工，得出最终的审计结果。如运用数据库采集原始信息，选取样本，有针对性地分析调查。

4.审计环境

电子商务改变了企业审计的环境要素，大体涉及地理环境、法律环境、审计技术等。电子商务对企业地理环境审计的改变主要在于，传统的企业与企业间进行面面交易，一切经济活动都是线下完成。电子商务的出现从根本上改变了企业的交易方式。企业不再局限于面面交易，而通过网络完成整个经济活动，大大缩减了交易环节和程序。再者，审计人员也不用亲自到达审计现场，可在电子平台上对企业信息进行整合分析和远程操作，这一环境下的审计大大提高了审计人员工作的时效性。电子商务对企业法律环境审计的改变在于，电子商务环境下的企业经济活动将会面临更大风险，不稳定因素随时存在[3]。而我国当前在电子商务方面的法律法规还不够完善。因此，建立一套完整的法律制度体系成为当务之急。电子商务对企业技术审计的改变主要在于，当前各种新技术不断涌现，企业要把握机遇，将新技术运用到经济活动中。然而，新技术虽好，也有利有弊，它在提升企业审计时效的同时，给审计安全带来巨大的挑战。

二、电子商务环境下企业审计的流程

1.企业的电子商务情况

电子商务采用全球网络化信息系统，企业一方面面临系统自身的风险，另一方面要面临网络黑客和病毒的入侵。审计人员须如实掌握企业电子商务情况，在此基础上开展企业审计，这是评估企业电子商务风险、财务信息可靠性的必要环节。对企业情况的掌握，包括对企业电子商务类型的掌握（纯粹电子商务企业，以电子商务做补充的实物贸易）；对企业产品的掌握（虚拟产品如点卡、实物产品如服饰）；对企业电子商务应用范畴的掌握（部分实体交易、全部线上交易）；对企业收入来源的掌握（由传统的提供产品到向技术服务、广告的转变）。

2.内部控制

对企业的内部控制，可从以下两个方面展开：一是对安全性的控制，考察信息的安全性，需要分析信息是否安全、可获、完整、保密、真实。企业一般会建立安全基础架构来确保其电子商务系统的安全，通过对信息安全进行风险评估、政策分析、引入维护时的标准防控。如：运用病毒防护软件、网络防火墙、加密技术等。二是对交易完备性的控制。企业为了评估信息的可靠性，会对电子商务交易中的信息的完备性进行有效检验。审计人员需要对企业的各种状况有全面的把握，才能判断企业的内部控制是合理的、稳定的、可靠的。

3.符合性测试

在审计人员对企业内部控制情况全面掌控的情况下，展开符合性测试，通过符合性测试来判断企业日常运营中是否真正落实了对其控制的初衷。一般而言，企业的符合性测试包括两方面：一是安全性测试，此部分包括检测系统是否只能被授权企业访问；通过对防护墙的攻击测试，检查系统的实际可靠性；对企业合作伙伴进行抽样审查，检查其数字证书的合法性。二是对交易完备性的控制。对企业交易行为进行抽样检查，看其是否有少记漏记的现象，检测在同一网络环境下的企业交易信息是否一致[4]。

4.实质性测试

审计人员通过对会计报表的真实性、合法性做出科学的检测，获取直接的审计数据，运用观察、检查、函证、查询、计算等方法综合分析，得出最终的审计结论。审计人员在审计过程中通过电子函证来证实交易的完整性和真实性，通过系统运行结果和人工计算结果，来分析数据处理的正确与否。

5.电子商务环境下的审计报告

审计人员在掌握企业内部控制情况的前提下，做出符合性测试和实质性测试，最终通过对收集到的审计资料进行汇总，编制成审计报告。电子商务环境下的网络审计，可采用在线实时报告。研究表明，提高企业信息披露的宽泛度和报告频率可给企业带来经济效益[5]。在审计报告的内容、形式以及审计报告编制和使用方式上，实时审计报告体现出传统审计报告不可比拟的优势。审计报告首先要能反映企业的经营状况，其次要能对企业的控制系统做出合理有效的评价，再次要揭示审计中发现的问题，最后提出相应的改进措施和意见。