高效通信方案与信息系统审计:挑战与合作需求
高效通信方案相关内容
在通信网络领域,对于一些知名的互连网络,尽管已证明不存在高效的确定性(即全对全单最短路径)区间路由方案(IRS),但仍存在高效的无死锁多维区间路由方案(MIRS)。相关研究结果可转化为类似的虫孔路由模型。不过,对于更广泛类别的图,如顶点对称图、平面图等,是否存在高效的无死锁 MIRS 仍是一个有待解决的主要问题。
研究人员对点对点网络中无感知紧凑通信方案的复杂性进行了综述。进一步研究路径系统的组合特性,有助于设计出在各种效率参数方面都高效的通信方案。但很遗憾,该领域还有一些重要的研究方向未被涉及,比如点对点网络中的通用通信方案和自适应通信方案。
以下是一些相关研究成果的列举:
1. B. Awerbuch 等人研究了高效无死锁路由。
2. E. Bakker 等人探讨了线性区间路由方案。
3. P.E. Berman 等人提出了环面网络中具有所有最短路径的自适应无死锁和无活锁路由。
mermaid 流程图展示通信方案研究的大致流程:
graph LR
A[通信网络研究] --> B[确定互连网络类型]
B --> C{是否存在高效 IRS}
C -- 否 --> D[探索无死锁 MIRS]
D --> E[转化为虫孔路由模型]
C -- 是 --> F[优化现有方案]
E --> G[研究路径系统组合特性]
F --> G
G --> H[设计高效通信方案]
信息系统审计相关内容
信息系统审计的目的是为组织管理层等评估系统是否按预期运行。随着技术发展速度加快以及基础设施和信息系统日益复杂,信息系统审计变得越来越困难。审计人员需要具备信息技术多个方面的知识,才能对信息系统的质量发表意见。由于几乎不可能让一个人掌握所有这些专业知识,因此不同学科之间的合作是必要的。
1. IT 审计概述
IT 审计是一个相对较新的职业,存在多种定义。其中一种定义为:“IT 审计是对自动化信息系统的可靠性、安全性(包括隐私)、有效性和效率,自动化部门的组织以及自动化信息处理的技术和组织基础设施进行独立、公正的评估。该活动适用于运营系统和正在开发的系统。”这个定义包含三组关键词:
- 独立和公正:执行审计的人员不能与被审计对象有层级关系或在其他方面依赖他们(如经济上)。
- 可靠性、安全性、有效性和效率:这些是所谓的质量方面,在审计和安全文献中有许多不同的术语集,通常它们涵盖的方面相同,只是分解方式不同。
- 信息系统、自动化部门和基础设施:这是审计的三个可能对象,基础设施包括技术和组织基础设施。
2. 质量方面
信息技术的质量方面有很多不同的术语集。例如,荷兰注册电子数据处理审计师协会(NOREA)认为 IT 审计师应评估和建议信息技术的以下方面:有效性、效率、排他性、完整性、可审计性、连续性、可控性。更常见的术语集是 CIA(保密性、完整性和可用性),通常还会加上可审计性。组织必须定义自己的术语集,以确保每个人都清楚每个术语所涵盖的内容。在每次审计的目标和范围中,都要说明将考虑哪些质量方面,例如只考虑效率或安全术语的一个子集。
3. 审计对象/审计类型
审计的三个对象(信息系统、自动化部门和基础设施)可以进一步细化。根据审计对象的不同,将执行不同类型的审计,对审计人员的技能和专业知识要求也不同。可以区分以下几种审计类型:
- 计算机中心(或数据处理中心)审计,由计算机中心审计师执行。
- 技术(硬件、系统软件、中间件、数据通信组件)审计,由技术审计师执行。
- 系统开发审计和软件包选择审计,由信息系统审计师执行。
- 应用系统实施前和实施后审计,也由信息系统审计师执行。
表格展示不同审计类型及所需审计师:
| 审计类型 | 所需审计师 |
| ---- | ---- |
| 计算机中心审计 | 计算机中心审计师 |
| 技术审计 | 技术审计师 |
| 系统开发及软件包选择审计 | 信息系统审计师 |
| 应用系统实施前后审计 | 信息系统审计师 |
4. 信息处理环境
审计对象之间的关系可以通过一个源自荷兰皇家注册会计师协会出版物的图来展示。该图最初源于集中式(大型机)信息处理环境,但通过引用功能而非部门,也适用于分散式或分布式信息处理环境。
信息处理环境包含 IT 功能、用户功能、系统开发功能、电子数据处理功能等。各功能之间相互关联,共同构成信息系统的运行环境。
5. 控制类型
组织为满足安全要求而采取的措施通常分为三种类型:
- 一般控制:适用于所有(或至少大多数)应用程序的措施,存在于自动化部门(包括开发功能和数据处理中心)和基础设施中,包括组织控制以及硬件和系统软件(包括中间件、工具和数据通信组件)中的技术控制。
- 应用控制:特定应用系统中的特定编程控制,通常针对该应用支持的业务流程。
- 用户控制:通常也针对一个应用(或一组支持一个业务流程的应用),是用户部门行政组织和内部控制结构中的控制。
mermaid 流程图展示控制类型的关系:
graph LR
A[安全要求] --> B[确定控制类型]
B --> C{一般控制}
B --> D{应用控制}
B --> E{用户控制}
C --> F[组织控制]
C --> G[技术控制]
D --> H[编程控制]
E --> I[行政组织控制]
E --> J[内部控制结构控制]
IT 审计师面临的困难
1. 专业要求
IT 审计师是信息技术和控制理论领域的独立专家。为了达到专业审计组织设定的标准,审计师必须具备以下知识:
- 内部控制理论和概念。
- 安全原则和措施。
- 信息技术(硬件、软件、基础设施)。
- 组织内部控制过程的财务/经济方面(特别是规划、预算编制、决策等)。
- 管理和组织理论。
- 行政组织及其模型和系统。
- 进行有效 IT 审计的方法和技术。
- 普遍接受的审计标准和控制方法及技术。
- 业务流程知识。
由于这些领域的发展速度极快,审计师很难跟上自己专业领域的发展,更不可能跟上所有领域的发展。
2. 信息技术和控制理论的趋势
IT 审计师最重要的两个知识领域近年来有了重大发展。信息技术的发展大家都很熟悉,如互联网、万维网、电子商务、Java、SET、客户端/服务器应用程序、面向对象编程、数据挖掘、集成系统管理工具、数据通信、新芯片技术等。
在控制理论和审计方面,国际上关于内部控制和公司治理的发展表明,管理层必须更加意识到并承担更多对组织控制和内部控制系统报告的责任。趋势是从控制产品/组件转向控制过程。
3. 合作的必要性
从上述专业要求和发展趋势可以明显看出,即使在一个组织内,一个 IT 审计师也不可能具备所有必要的知识。因此,根据审计对象的不同,需要与以下人员合作:
- 其他 IT 审计师。
- 财务审计师(注册会计师)。
- IT 专家。
- 安全专家。
- 软件开发人员/工程师等。
电子商务审计示例
以跨境电子商务贸易交易为例,展示 IT 审计师面临的困难。该交易涉及多个参与方和组件,从组织 X 发起电子订单开始,订单转化为电子订单消息,通过内部和外部网络发送给贸易伙伴。贸易伙伴交付货物并发送电子发票,组织 X 通过电子银行支付发票。
当组织 X 的管理层询问贸易交易及其处理是否可靠时,审计师需要将“可靠”分解为其他质量方面,如授权、正确和及时,以便将质量方面与威胁联系起来,并确定必要的措施。在整个交易过程中,存在多种威胁,以下是一些威胁及其分析:
- 未经授权创建或更改订单(消息)、发票(消息)、付款(消息):如果组织结构中职责分离不充分,就存在未经授权创建或更改订单的风险。审计师在处理外部消息创建和贸易伙伴创建的消息时会遇到特殊问题,数字签名可用于检查消息是否由授权的贸易伙伴发送,但贸易伙伴内部的授权创建检查由其自身负责,审计师需与贸易伙伴的审计师合作获取相关信息。
- 未经授权披露订单(消息)、发票(消息)、付款(消息):组织内信息访问应基于“需要知道”原则,可通过组织结构中的授权矩阵、数据处理中心的访问控制措施、业务应用程序中的访问控制措施以及消息加密来保护信息。审计师特别关注贸易伙伴组织内采取的措施,需与对方审计师合作。
- 未经授权删除订单(消息)、发票(消息)、付款(消息):在记录和消息存储的多个环节,存在未经授权删除的风险,可能是故意的(如掩盖欺诈交易)或意外的(如保留期参数设置错误)。审计师要确保有适当的措施防止、检测和恢复此类删除。
- 未经授权处理消息:收到授权消息并不意味着可以直接处理,消息不能重复接收,所有必要的数据元素必须正确等。审计师需检查 EDI 软件和业务应用程序中的相关控制是否正确构建和运行。
- 否认发送消息:组织 X 和贸易伙伴都需要有手段证明对方发送了消息。若发生争议,技术措施和贸易协议中的程序措施可用于解决,保留期也很重要。
- 否认接收消息:可能是为了延迟流程或技术原因导致。审计师要关注确认机制和地址翻译的正确性。
- 声称收到未发送的消息:可通过数字签名判断对错,审计师需评估数字签名方案的设置和运行情况。
- 消息传递延迟/服务拒绝(网络和其他组件的可用性):硬件或软件组件故障可能导致延迟或服务拒绝,审计师要确保所有组件有必要的备份和回退措施。
- 不符合法律/财政要求:在电子贸易文件具有法律效力且不再需要原始纸质文件的情况下,审计师需检查业务应用程序是否符合法律和财政要求,如记录保留期和记录可访问性。
mermaid 流程图展示电子商务审计流程:
graph LR
A[管理层询问交易可靠性] --> B[分解可靠为质量方面]
B --> C[识别交易中的威胁]
C --> D{不同威胁类型}
D -- 未经授权创建等 --> E[检查职责分离和数字签名]
D -- 未经授权披露 --> F[检查访问控制和加密]
D -- 未经授权删除 --> G[确保防删和恢复措施]
D -- 未经授权处理 --> H[检查软件和应用控制]
D -- 否认发送等 --> I[评估证明手段和协议]
D -- 不符合要求 --> J[检查法律财政合规性]
E --> K[与贸易伙伴审计师合作]
F --> K
G --> K
H --> K
I --> K
J --> K
K --> L[完成审计报告]
综上所述,无论是通信方案的研究还是信息系统审计工作,都面临着诸多挑战,需要不断探索和合作,以实现更高效的通信和更可靠的信息系统运行。
高效通信方案与信息系统审计:挑战与合作需求
电子商务审计中的具体应对措施
在电子商务审计中,面对诸多威胁,审计师需要采取一系列具体的应对措施。以下是针对不同威胁的详细应对方法:
1.
未经授权创建或更改消息
-
职责分离审查
:审计师首先要审查组织结构中的职责分离情况,查看是否有正式化和批准的职责分离制度。例如,检查应用开发和数据处理中心之间是否有明确的职责划分,确保业务应用程序的开发和操作不会出现未经授权的更改。
-
数字签名验证
:对于外部消息,审计师要评估数字签名的使用情况。验证数字签名的正确性,确保消息是由授权的贸易伙伴发送的。具体操作可以包括检查数字证书的有效性,验证签名算法是否符合标准等。
-
与贸易伙伴审计师合作
:由于贸易伙伴内部的授权创建过程审计师无法直接控制,因此需要与贸易伙伴的审计师进行沟通。可以通过交换审计报告、共同开展审计项目等方式,获取关于贸易伙伴内部授权创建的信息。
2.
未经授权披露消息
-
访问控制检查
:审计师要检查组织内的访问控制措施,包括组织结构中的授权矩阵、数据处理中心的访问控制规则以及业务应用程序中的访问控制功能。例如,查看是否只有授权人员能够访问敏感信息,访问权限是否根据“需要知道”原则进行分配。
-
加密评估
:评估消息加密的使用情况,检查加密算法的安全性和密钥管理的有效性。确保消息在传输和存储过程中得到了充分的保护。
-
贸易伙伴措施审查
:与贸易伙伴的审计师合作,了解其组织内采取的信息保护措施。审查贸易伙伴的访问控制、加密等措施是否符合安全要求。
3.
未经授权删除消息
-
防删措施检查
:审计师要检查是否有适当的措施防止未经授权的删除,例如设置访问权限、使用版本控制等。同时,要确保这些措施得到了有效执行。
-
检测和恢复机制评估
:评估是否有检测和恢复删除操作的机制,例如日志记录、备份恢复等。检查日志记录的完整性和准确性,确保能够及时发现删除操作并进行恢复。
4.
未经授权处理消息
-
软件控制检查
:检查 EDI 软件和业务应用程序中的控制措施,确保消息的处理符合规定。例如,检查消息是否有重复接收的检查机制,数据元素是否正确等。
-
测试和验证
:可以通过模拟测试等方式,验证软件控制的有效性。向系统发送不同类型的消息,检查系统的处理结果是否符合预期。
5.
否认发送或接收消息
-
证明机制评估
:评估组织和贸易伙伴是否有有效的证明机制,例如数字签名、确认机制等。确保在发生争议时能够证明消息的发送和接收情况。
-
协议审查
:审查贸易协议中关于消息发送和接收的规定,包括争议解决的程序和保留期的设置。确保协议能够保障双方的权益。
6.
声称收到未发送的消息
-
数字签名验证
:通过验证数字签名,判断消息的真实性。检查数字签名的生成和验证过程是否正确,确保能够准确判断消息的发送方。
-
系统日志分析
:分析系统日志,查看消息的发送和接收记录。通过对比日志记录和数字签名,确定消息是否真实发送。
7.
消息传递延迟/服务拒绝
-
备份和回退措施检查
:审计师要检查所有组件是否有必要的备份和回退措施,例如硬件的备用设备、软件的备份数据等。确保在出现故障时能够及时恢复服务。
-
性能监测评估
:评估系统的性能监测机制,查看是否能够及时发现延迟和服务拒绝的情况。检查监测指标的设置是否合理,是否能够准确反映系统的运行状态。
8.
不符合法律/财政要求
-
法规研究
:审计师要了解相关的法律和财政要求,例如记录保留期、记录可访问性等。研究不同地区和行业的法规差异,确保业务应用程序符合所有适用的法规。
-
合规性检查
:对业务应用程序进行合规性检查,查看是否有符合法规要求的功能和设置。例如,检查系统是否能够按照规定的保留期保存记录,是否能够提供符合法规要求的报告。
表格展示不同威胁的应对措施:
| 威胁类型 | 应对措施 |
| ---- | ---- |
| 未经授权创建或更改消息 | 职责分离审查、数字签名验证、与贸易伙伴审计师合作 |
| 未经授权披露消息 | 访问控制检查、加密评估、贸易伙伴措施审查 |
| 未经授权删除消息 | 防删措施检查、检测和恢复机制评估 |
| 未经授权处理消息 | 软件控制检查、测试和验证 |
| 否认发送或接收消息 | 证明机制评估、协议审查 |
| 声称收到未发送的消息 | 数字签名验证、系统日志分析 |
| 消息传递延迟/服务拒绝 | 备份和回退措施检查、性能监测评估 |
| 不符合法律/财政要求 | 法规研究、合规性检查 |
通信方案与审计合作的未来展望
在通信方案研究和信息系统审计领域,合作将成为未来发展的关键。随着技术的不断进步,通信网络和信息系统将变得更加复杂,单一学科的知识和技能已经无法满足需求。以下是对未来合作的一些展望:
1.
跨学科团队的建立
:建立由通信专家、审计师、安全专家、软件开发人员等组成的跨学科团队。团队成员可以发挥各自的专业优势,共同解决通信方案和审计中的复杂问题。例如,在设计高效通信方案时,通信专家可以提供网络架构和路由算法的建议,审计师可以从安全和合规的角度进行评估,软件开发人员可以实现具体的方案。
2.
数据共享和交流
:加强不同领域之间的数据共享和交流。通信方案研究人员可以将网络性能数据、路由信息等提供给审计师,帮助审计师更好地了解系统的运行情况。审计师可以将发现的安全问题和合规问题反馈给通信方案研究人员,促进方案的优化和改进。
3.
标准和规范的制定
:共同制定通信方案和审计的标准和规范。通过统一的标准和规范,可以提高通信方案的效率和安全性,也可以使审计工作更加规范化和标准化。例如,制定通信协议的安全标准、审计报告的格式和内容要求等。
4.
技术创新和应用
:鼓励技术创新和应用,将新的技术如人工智能、区块链等应用到通信方案和审计中。人工智能可以用于网络性能预测、安全威胁检测等,区块链可以用于保证数据的完整性和不可篡改。通过技术创新,可以提高通信方案和审计的效率和准确性。
mermaid 流程图展示未来合作的流程:
graph LR
A[跨学科团队建立] --> B[数据共享和交流]
B --> C[标准和规范制定]
C --> D[技术创新和应用]
D --> E[通信方案优化]
D --> F[审计工作改进]
E --> G[高效通信实现]
F --> H[可靠信息系统运行]
总结
通信方案的研究和信息系统审计都面临着诸多挑战,需要不同学科之间的合作和协同。在通信方案方面,虽然已经取得了一些成果,但对于更广泛类别的图,仍需要进一步探索高效的无死锁多维区间路由方案。在信息系统审计方面,随着技术的发展和系统的复杂化,审计师需要具备更多的知识和技能,与不同领域的人员合作,共同应对各种威胁和问题。
通过电子商务审计的示例可以看出,审计师在面对复杂的交易过程时,需要采取一系列具体的应对措施,确保交易的可靠性和合规性。同时,未来的通信方案和审计工作需要加强跨学科合作,实现数据共享、制定标准规范、应用新技术等,以提高通信效率和信息系统的可靠性。只有通过不断的探索和合作,才能在通信和审计领域取得更好的成果,满足日益增长的业务需求。
扫一扫
11万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
