企業信息安全要求范文
時間:2023-10-13 16:56:07
導語:如何才能寫好一篇企業信息安全要求,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
由于電力企業以發電、經營電力為主,信息網絡安全問題并沒有得到足夠重視,管理方面存在重技術輕管理的問題,未建立完善的信息安全管理制度,面對上級檢查,簡單應付,腦子里輕視信息安全,信息安全觀念淡薄,這都會增加企業信息系統的安全風險。例如,缺少對企業職工的信息安全教育培訓、缺少定期對信息運維人員的安全技能的培訓等等,都會嚴重威脅企業信息網絡的安全。電力企業在針對信息系統的應用和信息網絡安全兩個方面時,更加注重的是前者。以此同時,可能部分職工還存在僥幸心理,忽視了網絡安全問題的重要性。
2電力企業網絡信息安全管理的有效策略
2.1注重建設基礎設施和管理運行環境
需要嚴格的管理配電室、信息、通信機房等關鍵性的基礎設施,對防水、防火、防盜裝置進行合理配備;對電力二次設備安全防護要做到,安全分區、網絡專用、橫向隔離、縱向認證,生產控制大區與信息管理大區要做好物理強隔離;機房需要安裝監控報警設備和動環監測系統;對桌面終端和主機等設備要做好補丁更新,控制權限;在網絡安全設備上要做好安全策略;做好流量監測和行為監測;此外,建立設備運行日志,對設備的運行狀況進行記錄,并且建立操作規程,從而保證信息系統運行的穩定性和安全性。
2.2建立并完善信息安全管理制度
建立健全信息安全管理制度,注重安全管理,確保根據安全管理制度進行操作;做好安全防護記錄、制定應急響應預案、系統操作規程、用戶應用手冊、網絡安全規范、管理好口令、落實安全保密要求、人員分工、管理機房建設方案等制度,確保信息系統運行的穩定性和安全性。由內至外,全面的貫徹,實施動態性地管理,持續提高信息安全、優化網絡拓撲結構。
2.3注重信息安全反違章督察工作的開展
建立信息安全督察隊伍,明確職責,按照信息安全要求,開展定期的督察,發現問題,限期整改。電力企業要對企業信息系統軟硬件設施、容災系統、桌面終端、防護策略等進行定期督查,實現信息安全設備加固和更新,培養信息安全督查專家隊伍,交叉互查、發現并解決問題,提高信息系統的安全性。
2.4積極探索電力企業信息安全等級保護
信息安全等級保護指的是,對涉及國計民生的基礎信息網絡和重要信息系統按照其重要程度及實際安全需求,合理投入,分級進行保護,分類指導,分階段實施,保障信息系統安全。針對電力企業信息系統,應建立相應的信息安全等級保護機制。技術上分級落實物理安全、網絡安全、主機安全、應用安全、數據安全;管理上要建立對應的安全管理制度、設置安全管理機構、做好人員安全管理、系統建設、運維管理。
2.5明確員工信息安全責任,實現企業信息安全文化建設
針對企業的所有員工,關鍵是明確自己需要擔負的安全責任、熟悉有關的安全策略,理解一系列的信息安全要求。針對信息運維人員,需要對信息安全的管理策略進行有效地把握,明確安全評估的策略,準確使用維護技術安全操作;針對管理電力企業信息網絡安全的管理人員,關鍵在于對企業的信息安全管理制度、信息安全體系的組成、信息安全目標的把握和熟悉。以上述作為基礎,實現企業信息安全文化的建設。
2.6提升人員的信息安全意識
針對電力企業信息安全而言,員工信息安全意識的提高十分關鍵。企業需要組織一系列有關的信息安全知識培訓,培養員工應用電腦的良好習慣,比如不允許在企業的電腦上使用未加密的存儲介質,不應當將無關軟件或者是游戲軟件安裝在終端上,對桌面終端進行強口令設置,以及啟用安全組策略,備份關鍵性的文件等,從而使員工的信息安全意識逐步提高。
3結語
篇2
一、運用系統的思想和方法,查找信息安全管理的“短扳”
隨著企業信息化的快速發展,信息安全管理工作顯得相對滯后。管理思想和方法落后。過去基本上是參照電網安全管理一些傳統做法,沒有體現信息化特點和要求,越來越不適應信息系統的快速發展和變革;管理不夠全面。以往只考慮硬件、軟件,忽視了人、數據和文檔、服務、無形資產等重要對象,對外來人員也缺乏有效的識別管理;管理制度不夠系統。以前雖然制訂了較多的制度和標準,當信息化發展到一定程度,這些制度就顯得很單薄,就事論事的管理方式必然會產生安全管理的盲區,有些制度內容重復、交叉、不一致,有些制度不切實際,往往束之高閣;風險評估不夠科學。以往的信息風險評估不夠系統,主觀性過強,缺乏綜合平衡,抓不住重點,或過度保護,或產生管理死角,事后控制多,事前預控少,不能涵蓋信息系統的生命周期。
上述情形是企業在信息化建設中普遍感覺到的問題。隨著科學技術的進步,企業信息運行管理模式也發生了巨大的變化,為企業采用先進管理方式、建立信息安全管理體系打下了扎實的基礎。為此,嘉興電力局根據國際上信息安全管理的最佳實踐,結合供電企業的實際,從信息安全風險評估管理入手,貫徹ISO/IEC27001:**信息安全管理標準,建立了信息安全管理體系。通過體系有效運作,達到了供電企業信息安全管理“預控、能控、可控、在控”的目的。
二、從資產識別入手,搞好信息安全風險評估
按《信息安全風險評估控制程序》,對所有的資產進行了列表識別,并識別了資產的所有者。這些資產包括硬件與設施、軟件與系統、數據與文檔、服務及人力資源。對每一項資產按自身價值、信息分類、保密性、完整性、法律法規符合性要求進行了量化賦值。在風險評估中,共識別資產2810項,其中確定的重要資產總數為312項,形成了《重要資產清單》。
圖1.《重要信息資產按部門分布圖》
對重要的信息資產,由資產的所有者(歸口管理部門)對其可能遭受的威脅及自身的薄弱點進行識別,并對威脅利用薄弱點發生安全事件的可能性以及潛在影響進行了賦值分析,確定風險等級和可接受程度,形成了《重要資產風險評估表》。針對每一項威脅、薄弱點,對資產造成的影響,考慮現有的控制措施,判定措施失效發生的可能性,計算風險等級,判斷風險為可接受的還是需要處理的。根據風險評估的結果,形成風險處理計劃。對于信息安全風險,應考慮控制措施與費用的平衡原則,選用適當的措施,確定是接受風險、避免風險,還是轉移風險。
嘉興電力局經過風險評估,確定了不可接受風險84項,其中硬件和設施52項,軟件和系統0項,文檔和數據8項,服務0項,人力資源24項。
根據風險評估的結果,對可接受風險,保持原有的控制措施,同時按ISO/IEC17799:**《信息技術-安全技術-信息安全管理實施細則》和系統應用的要求,對控制措施進行完善。針對不可接受風險,由各部門制定了相應的安全控制措施。制訂控制措施主要考慮了風險評估的結果、管理與技術上的可行性、法律法規的要求,以期達到風險降低的目的。控制措施的實施將從避免風險、降低風險、轉移風險等方面,將風險降低到可接受的水平。
圖2.《各類不可接受風險按系統分布圖》。
三、按照ISO標準要求,建立信息安全管理體系
嘉興電力局在涉及生產、經營、服務和日常管理活動的信息系統,按ISO/IEC27001:**《信息技術-安全技術-信息安全管理體系要求》規定,參照ISO/IEC17799:**《信息技術-安全技術-信息安全管理實施細則》,建立信息安全管理體系,簡稱ISMS。確定信息安全管理體系覆蓋范圍,主要是根據業務特征、組織結構、地理位置、資產分布情況,涉及電力生產、營銷、服務和日常管理的40個重要信息系統。信息安全管理的方針是:“全面、完整、務實、有效。”
為實現信息安全管理體系方針,嘉興電力局在各層次建立完整的信息安全管理組織機構,確定信息安全目標和控制措施,明確信息安全的管理職責;識別并滿足適用法律、法規和相關方信息安全要求;定期進行信息安全風險評估,采取糾正預防措施,保證體系的持續有效性;采用先進有效的設施和技術,處理、傳遞、儲存和保護各類信息,實現信息共享;對全體員工進行持續的信息安全教育和培訓,不斷增強員工的信息安全意識和能力;制定并保持完善的業務連續性計劃,實現可持續發展。按照信息安全管理方針的要求,制訂的信息安全管理目標是:2級以上信息安全事件為0;不發生信息系統的中斷、數據的丟失、敏感信息的泄密;不發生導致供電中斷的信息事故;減少有關的法律風險。
嘉興電力局根據風險評估的結果、企業的系統現狀和管理現狀,按照ISO/IEC27001:**標準要求,整合原有的企業信息安全管理標準、規章制度,形成了科學、嚴密的信息安全管理體系文件框架,包括信息安全管理手冊;《信息安全風險評估管理程序》、《業務持續性管理程序》等53個程序文件,制定了16個支撐性作業文件。
四、運用過程方法,實施信息安全管理體系
在信息安全管理過程中,重點是抓好人員安全、風險評估、信息安全事件、保持業務持續性等重要環節,采取明確職責、動態檢查、嚴格考核等措施,使信息安全走上常態管理之路。
圖3:信息安全管理體系實施過程
重視信息系統安全管理。因為信息系統支撐著企業的各項業務,信息安全管理體系實施涵蓋信息系統的生命周期,表現在信息系統的軟(硬)件購置、設備安裝、軟件開發和系統測試、上線、系統(權限)變更等方面,嚴格執行體系的相關控制程序。
強化人員安全管理。在勞動合同、崗位說明書中,明確員工信息安全職責。特殊崗位的人員規定特別的安全責任,對信息關鍵崗位實行備案制度。對崗位調動或離職人員,及時調整安全職責和權限。定期對員工進行信息安全教育和技能培訓、比武、考試。
篇3
【關鍵詞】信息化 量化 管理 流程
【中圖分類號】G647【文獻標識碼】A【文章編號】1672-5158(2013)02-0349-02
近年來,大部分企業信息化建設已初具規模,信息化基礎建設基本到位,信息系統滲透到企業生產經營的各個環節。在新的形勢下,如何使信息系統更好、更穩定、更安全運行,提高管理效率,落實有效益的信息化,是企業信息化工作的迫切需求。要實現這一目標,必然要管理與服務相結合,要求企業建立以國際行業標準為依據的較為完善的IT管控體系,提升IT運維服務水平。
企業加強IT管控,目的就是建立一個類似“輪流分粥,分者后取”的規則,明確區分母公司與各子分公司(含控股)、業務部門與IT部門和IT部門內部各崗位的責任、權力、利益。責、權、利分清后,對IT部門的約束力、執行力等會有很大的提高,其中IT管控對于組織工作的健康有序開展起到了重要作用。
一、IT管控對于IT工作的重要意義
1.IT管控能保障IT組織的穩定
有效的IT管控對IT組織的控制最主要是職責分離、合理設崗。要求完善人員管理與控制,能清晰定義IT部門相關崗位,能明顯一個人能同時給予多少相關權限,從而清楚規劃IT部門必要的崗位人數,最大程度保障IT組織的穩定。
2.IT管控能確保IT工作的有序
IT管控必然要求將建立完善的IT流程體系,制定完備服務目錄。信息化部門利用服務臺統一接收各種流程輸入的表單,根據服務級別協議(SLA)和操作級別協議(OLA),對相關需求或故障,安排不同的技術力量,進行針對性的解決,從而確保了IT工作的有序。
3.IT管控能促使IT工作強度的均勻
信息化日常運維工作量不均衡是因為有較多的突發事件,如信息基礎設施故障和信息系統故障等。要使運維工作量比較均衡,就要降低突發事件概率,使忙的時間少下來。IT管控能就是要讓“閑”的時間忙起來,要求IT部門各崗位在日常中加強監測,重視巡檢,加固系統,防患于未然;同時加強學習和演練,提高處置各種事件的能力。這樣,一旦發生突發事件,也可以有條不紊地進行處置,實現信息化日常運維工作的“削峰平谷”,強度均勻。
4.IT管控能確保IT風險的可控
IT風險主要包括IT技術風險和IT項目投資風險。隨著業務系統訪問、網絡應用行為日益頻繁,網絡被攻擊、數據被篡改、設備被入侵和信息被泄密等IT技術風險的壓力也日益增大。IT管控提供管理程序、技術和保障措施,確保信息技術服務的可用性,能適當地防御不正當操作、蓄意攻擊或自然災害,并從這些故障中盡快恢復;確保拒絕未經授權的訪問。IT管控體系要求IT項目投資必須事先經業務部門和IT部門共同把關,再報公司管理委員會決策,這樣能確保IT項目既符合業務需求,又符合IT技術規范,降低了IT投資的風險。萬物皆有規律,IT風險防范也是有規律可以把握,良好的IT管控能很好控制IT風險。
二、IT管控在企業信息化中的運用
從行業信息化發展戰略出發,從企業自身發展戰略出發,作為信息化建設到一定規模的企業,必然要求企業信息化建設的重點則從技術轉向管理,要求信息化工作必須精益求精,加強管控,夯實基礎,強化運作。
構建完整的IT管控體系是一項復雜的系統工程,涉及到人、硬件、軟件,以及管理層面的IT服務管理、風險管理和成本管理多個方面。因此,必須從更高的角度,更寬的視野,更新的理念去構建有效的IT管控體系。
1.選擇合適的IT管控模型
現今企業IT管控體系的國際標準,主要有COBIT、ITIL、ISO20000等,選擇構建一個既滿足企業的業務需要,又能夠符合國際標準的IT管控體系,是信息化工作的成功保障。就如筆者,結合企業實際、IT部門現有實際運作流程和知識框架,選擇以ITIL主要標準,采取聯邦制IT決策方式作為筆者企業的IT管控模型。
(一)IT部門內部運作的管控
要建立制度化、流程化工作機制,精益求精,穩步推進。根據ITIL/ ITSM(IT服務管理)的標準,繼續完善IT服務目錄,對各子服務定義不同的SLA(服務級別協議),建立服務臺,統一受理所有的流程輸入,建立IT服務管理體系,體系應包含事件管理、問題管理、變更管理、配置管理、管理和服務級別管理。根據IT技術標準和行業具體技術規范要求,建立先進、穩定、安全的信息通訊技術基礎設施(主要包括機房和信息化網絡),并完善巡檢、監控等基礎設施管理機制。
(二)企業信息化運作的管控
首先是加強對信息化項目的管控,必須堅持統一性、系統性、規范性、安全性原則,必須堅持“事先技術把關,事中實施監督,事后運行維護”的原則。即項目涉及的IT部門的責任或義務的,IT部門必須管控到位。事先對項目立項相關技術規范進行把關,確保項目符合行業相關技術規范;事中對項目供應商(軟件開發商)安裝實施等服務進行嚴格監督,確保項目在技術上能順利開展,保障設備(系統)能正常上線運行;事后必須將設備或系統運維維護好,確保設備(系統)安全、穩定運行。其次是加強對信息化資產的管控。加強對計算機設備調控,優化各終端計算機的配置。強化IT部門對軟件資產的歸口管理職能,堅決貫徹落實軟件正版化相關要求,統一采購正版成品軟件,規范信息系統的登記、領用、運維和報廢。規范IT設備維修保養機制,延長IT設備使用壽命。第三是加強對信息系統用戶的管控。建立操作上崗證機制,加強培訓,提升其規范操作水平,采取檢查監督等措施,促使其能正確操作,規范操作。
(三)信息安全的管控
信息安全管控體系是一項復雜的系統工程,必須采用系統工程的觀點和方法,分析信息安全問題及具體措施。結合企業實際,就是要嚴格貫徹相關信息安全要求,做好信息化安全規劃,業系統信息安全規劃,建立覆蓋日常維護,變更管理,安全監控的信息安全體系,將信息安全審計作為信息安全保障中的一項重要工作。建立三個長效保障機制:構建信息安全文化氛圍、信息安全獎懲機制和內部信息安全審計機制,以確保信息安全管控能夠有效長久運行。
2.利用合適先進工具軟件強化IT管控
對信息化日常運作層的管控,必須利用合適先進的工具軟件對信息化工作流程、設施和信息模型進行全面管控。引進先進的IT運維管理系統,建立IT服務管理監控平臺,管理IT服務所涉及的各個流程,監控信息相關基礎設施和中間件等。利用現有或將要購買的信息管理軟件,如桌面管理和軟件系統,綜合網管系統,接入管理系統和數字認證(CA)等,建立信息系統綜合管理系統,管理整個信息系統的設備、軟件等資產,管理桌面、應用等功能單元的運行,以及管理整個設備網絡和網絡上接入的各種系統的正常運行。
追根溯源,建立有效的IT管控體系,最終目的是為了提升IT部門服務水平,提高用戶的滿意度,發展有效益的企業信息化。隨著行業信息化的發展和實踐的深入,新技術的不斷應用,企業的信息化需求不斷變化,IT部門只有建立基于企業治理上的IT管控體系,才能適應不斷變化發展的信息化,為企業企業發展提供重要的信息支撐。
參考文獻
[1] [荷蘭]JanvanBon主編,章斌譯:基于ITIL的IT服務管理基礎篇[M].北京:清華大學出版社,2009.
[2] [荷蘭]JanvanBon主編,劉向暉譯:IT管理框架[M].北京:清華大學出版社,2009.
[3] 王仰富,劉繼承:中國企業的IT治理之道[M].北京:清華大學出版社,2010.
篇4
為了保障企業的信息安全,必須建立一個企業信息安全體系。信息安全體系包含信息安全策略、信息安全組織、信息安全技術和信息安全建設與運行四部分內容(如圖1所示),四者既有機結合、又相互支撐。企業的信息安全體系運作就是企業根據安全策略,由安全組織(或人員)以安全技術作為工具和手段進行操作,來維持企業網絡的安全運行,從而使網絡安全可靠。
安全體系的普遍問題
當前大多數企業的信息安全體系普遍存在以下四方面的問題:
信息安全策略方面:許多企業沒有統一的安全運行體系;公司的安全策略沒有正式的審批和過程,沒有公司的行政力度進行保障,使得安全策略在企業內的執行缺乏保障;缺乏規范的機制定期對信息安全策略、標準制度進行評審和修訂。
信息安全組織方面:缺乏完整、有效、責權統一的專門的信息安全組織,只是配有少量的兼職安全人員。信息安全工作沒有明確的責任歸屬,工作的開展與落實有困難;缺少信息安全專業人員,缺乏相應的安全知識和技能,安全培訓不足;缺乏對于全員的信息安全意識教育,桌面系統用戶的安全意識薄弱。
信息安全技術方面:用戶認證強度不夠;應用系統安全功能與強度不足;缺乏有效的信息系統安全監控與審計手段;系統配置存在安全隱患;網絡安全域劃分不夠清晰,網絡安全技術的采用缺乏一致性。
信息安全建設與運行方面:沒有建立起完善的IT項目建設過程的安全管理機制,應用系統的開發沒有同步考慮信息安全的要求,存在信息安全方面的缺陷;日常的安全運維工作常處于被動防御狀態;缺乏明確的檢查和處罰機制,多數企業在運維管理方面缺乏統一的安全要求和檢查;缺乏應急響應機制;對已有安全設施的維護、升級和管理不到位。
面對以上種種問題,企業必須認真考慮下列問題: 企業如何建立信息安全策略體系?企業信息安全組織如何建立?企業信息安全技術是否有效可靠?企業信息安全建設與運行是否有完整的制度保障?要解決這些問題,企業應充分利用成熟的信息安全理論成果,設計出兼顧整體性、具有可操作性,并且融策略、組織、運行和技術為一體的信息安全保障體系,保障企業信息系統的安全。
信息安全策略體系
信息安全策略體系規劃為三層架構,包括信息安全策略、信息安全標準及規范、信息安全操作流程和細則(如圖2所示),涉及的要素包括信息管理和技術兩個方面,覆蓋信息系統的物理層、網絡層、系統層、應用層四個層面。
技術安全體系
在IAARC信息系統安全技術模型中,包含了身份認證、內容安全、訪問控制、響應恢復和審核跟蹤五個部分,當前主要的信息安全技術或產品都可以歸結到上述五類安全技術要素(如圖3所示)。
充分利用信息安全的技術手段(包括身份認證、訪問管理、內容安全、審核跟蹤和響應恢復等五種保護措施),同時,結合信息安全所保護的對象層次,以及目前主流的信息安全產品和信息安全技術,完善企業信息安全技術體系框架。
整個企業信息安全技術體系的總體框架如圖4所示:
物理層安全
主要包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等。
網絡層安全
要建立注重安全域劃分和安全架構的設計。可以根據信任程度、受威脅的級別、需要保護的級別和安全需求,將網絡從總體上分成四個安全域,即公共區、半安全區、普通安全區和核心安全區。針對不同的安全區域采用不同的安全防范手段。
安全邊界的防護。邊界是不同網絡安全區域之間的分界線,是不同網絡安全區域間數據流動的必經之路。安全區域的邊界防護是根據不同安全區域的安全需要,采取相應的安全技術防護手段,制定合理的安全訪問控制策略,控制低安全區域的數據向高安全區域流動。
針對VPN的接入安全控制。用戶遠程VPN接入主要用于員工出差時訪問內部網絡的需求和各企業小規模分支機構訪問內部網的需求。VPN(虛擬專用網)是為通過一個公用網絡(通常是互聯網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。
網絡準入控制。網絡準入控制系統是通過對網絡用戶合法身份的驗證以及對網絡終端計算機安全狀態的檢測和評估,決定是否允許這臺網絡終端計算機接入企業網絡中。若不符合制定的準入策略,將其放入隔離區以修復,或僅允許其有限地訪問資源。降低非法用戶隨意接入企業網和不安全的計算機終端接入企業網對網絡安全帶來的潛在威脅。
做好網絡設備登錄認證。建立集中的網絡設備登錄認證系統,用于對網絡設備維護用戶的集中管理,認證用戶的身份,決定其是否可以登錄到網絡設備;通過定義不同級別的用戶,授權他們能執行的不同操作,記錄并審計用戶的登錄和操作。
系統層安全
做好系統主機的入侵檢測,針對系統主機的網絡訪問進行監測,及時發現外來入侵和系統級用戶的非法操作行為;要做好系統主機的訪問控制,系統主機訪問控制提供給系統安全管理員最有效的方法,從用戶登錄安全、訪問控制安全、系統日志安全等方面加入安全機制;要做好系統主機的安全加固,定期對服務器操作系統和數據庫系統進行安全配置和加固,在不影響業務處理能力的前提下對系統的配置進行安全優化,以提高系統自身的抗攻擊性,消除安全漏洞,降低安全風險;做好主機的安全審計工作,提供全面的安全審計日志和數據,提升主機審計保護能力,對審計數據的訪問進行嚴格控制,加強對審計數據的完整性保護。
應用層安全
隨著各種各樣的系統應用不斷深化和普及,一些應用系統安全問題不斷凸現出來。為了最大限度及時規避因應用安全問題帶來的威脅,應著力抓好六個方面的工作:建立應用安全基礎設施;健全應用安全相關規范;改進應用開發過程;組織關鍵應用安全性測試;加強應用安全相關人員管理;制定應用安全文檔及應急預案。
終端層安全
加強終端電腦的安全管理。終端安全指對接入企業網絡的終端設備(主要是臺式計算機、筆記本電腦和其他移動設備等)進行的安全管理。內容包括終端安全策略、防病毒、防入侵、防火墻、軟硬件資產管理、終端補丁管理、終端配置管理、終端準入控制以及法規遵從等內容。
備份與恢復
備份與恢復是基于安全事件發生后保證災難所造成的損失在一個可以接受的范圍內、并使災難得到有效恢復的安全機制,包括數據級、應用級和業務級三個層次。參照國際標準Share78中定義的容災系統層次劃分,對不同等級的信息系統建立不同的備份與恢復機制。主要工作包括:開發容災計劃,通過對不同等級的信息系統容災需求分析,確定容災等級、RTO\RPO等容災指標、備份策略、恢復性測試要求等,設計容災方案;備份與恢復基礎設施的建設,包括建立異地災難恢復系統和重要數據的本地備份設施。
信息安全組織
信息安全組織的角色與職責要界定清晰。信息管理層進行適當的職責劃分,能合理阻止關鍵流程的破壞。同時應加強全員的信息安全意識教育,提高員工整體信息安全意識。建立安全組織與定義安全職責是密不可分的兩項工作,組織與職責的清晰定義可以有效地促進信息安全各項工作的進行,包括信息安全教育與培訓以及人員安全。企業要建立的信息安全組織要包含決策、管理、執行與監管四個層面。
信息安全教育與培訓要覆蓋公司各個層面的人員,提升整個企業人員安全的水平,同時人員安全的相關工作在制度和機制方面為教育與培訓提供有效保障。
篇5
【關鍵詞】 信息系統; 審計; 審計目標
2007年2月國務院國有資產監督管理委員會和國務院信息化工作辦聯合印發了《關于加強中央企業信息化工作的指導意見》,加快了國有企業信息化建設的步伐。國有企業審計是中國特色社會主義國家審計的重要組成部分。由于企業與公共部門在內部控制、管理和治理方面的差異,導致了企業信息系統審計與公共部門信息系統審計的不同特點。
一、增強國有企業信息系統的可信性
審計機關的審計目標取決于法定要求。根據《中華人民共和國審計法》的規定,審計機關對國有企業財務收支的真實、合法、效益,依法進行審計監督。顯然,真實性是國有企業審計的目標之一。信息系統審計是國有企業審計的重要組成部分。國有企業審計的總體目標,決定了國有企業信息系統審計的目標。國有企業審計的真實性目標,必然要求國有企業信息系統提供真實性的信息,這意味著,審計機關的國有企業信息系統審計必須把真實性作為審計目標之一。
根據相關法律的規定,注冊會計師也可以對國有企業進行審計。根據我國公司法第165條的規定,“公司應當在每一會計年度終了時編制財務會計報告,并依法經會計師事務所審計。”而且,2008年10月通過的《中華人民共和國企業國有資產法》第六十七條明確規定,“履行出資人職責的機構根據需要,可以委托會計師事務所對國有獨資企業、國有獨資公司的年度財務會計報告進行審計,或者通過國有資本控股公司的股東會、股東大會決議,由國有資本控股公司聘請會計師事務所對公司的年度財務會計報告進行審計,維護出資人權益。”大家知道,依據注冊會計師執業審計準則的規定,會計師事務所對企業財務報表審計的目的是“提高財務報表預期使用者對財務報表的信賴程度。”①這說明,注冊會計師國有企業審計的目標是要求財務報表提供的信息具有可信性。注冊會計師所審計的國有企業財務報表中的信息是由國有企業的信息系統產生形成的,因而必須對信息系統進行審計。注冊會計師對國有企業財務報表審計的可信性目標,決定了注冊會計師對國有企業信息系統審計的可信性目標。
同樣的審計對象,不同的審計主體,導致了兩種不同的國有企業信息系統審計目標。從上述分析不難發現,無論是審計機關還是注冊會計師對國有企業進行審計,其中對企業信息系統的審計都是不可或缺的重要組成部分。根據審計法的規定,審計機關對國有企業信息系統審計的目標是真實性。而根據注冊會計師執業審計準則,對國有企業信息系統審計的目標是可信性。那么,什么是真實性?什么是可信性?這兩種目標之間有什么樣的聯系和區別?為什么說審計機關應當把增強國有企業信息系統可信性作為審計目標呢?
(一)真實性與可信性的基本涵義
我國審計法強調真實性,根據2010年9月頒布的中華人民共和國國家審計準則(以下簡稱國家審計準則)的規定,“真實性是指反映財政收支、財務收支以及有關經濟活動的信息與實際情況相符合的程度。”那么,什么是真實性呢?真實性只是對財政財務收支及有關經濟活動信息質量的最低要求。如果會計信息是真實的,但是不夠完整或者披露不及時,仍然不能滿足信息使用者的需要,甚至會導致錯誤的投資決策。事實上,就真實性本身而言,由于會計估計、核算方法等因素的影響,會計信息的真實性也只是相對的,而不是絕對的。所以,把真實性作為審計目標,具有一定的局限性。所謂可信性,從國際審計準則第200號(ISA200)可以看出,當編制的財務報表公允表達(presented fairly)或真實公允(true and fair)時,它才是可信性的。從字面上講,公允(fair)或公平的要求,強調了財務報表各種使用者之間的利益平衡。從理論上講,公允表達或真實公允的概念比真實性概念具有更多的內涵,涉及會計適當性、適當披露及審計責任等概念。在國際審計準則第200號(ISA200)中,公允表達是指財務報表是否在所有重大方面按照適用的財務報告框架編制,“公允”還意味著超出財務報告框架所要求披露范圍的必要性,以及在極端情況下必須偏離財務報告框架的可能性。適用的財務報告框架,主要是指適用的會計法律法規、會計準則、會計制度等。大家知道,我國會計法強調“保證會計資料真實、完整”。根據會計法的要求,我國的財務報表不僅要具有真實性,而且還要具有完整性。總的來說,可信性并不否認真實性,真實性是可信性的必要前提之一,但真實的并不一定是可信的,可信性的內涵更加豐富,真實性是對財務信息質量的最低要求,可信性反映了對財務信息質量更高的要求。
(二)可信性目標反映了注冊會計師審計發展的新階段
一般認為,受社會需求變化、自身技術手段及審計風險等因素的影響,注冊會計師審計目標的發展演變至今經歷了四個階段,即20世紀30年代之前的查錯糾弊階段、30年代中期至80年代驗證會計報表真實公允階段、80年代至90年代中期真實公允與查錯糾弊并重階段,及90年代后期以來的增強信息可信性階段。雖然同為注冊會計師審計的目標,然而從歷史發展演變的角度看,真實性只是注冊會計師審計的早期目標,當前注冊會計師審計準則中的可信性目標反映了注冊會計師審計的最新發展,是更高級發展階段的目標。
(三)可信性目標比“真實公允”具有更加廣泛的適用性
20世紀90年代后期,傳統的財務報表審計成為更為廣義的概念――“保證業務”(Assurance Service)的一個組成部分。我國注冊會計師協會譯為“鑒證業務”②。2004年國際會計師聯合會了《國際保證業務框架》,2005年1月1日生效。2006年我國制定了《中國注冊會計師鑒證業務基本準則》,2007年1月1日起施行。鑒證業務是指注冊會計師對鑒證對象信息提出結論,以增強除責任方之外的預期使用者對鑒證對象信息信任程度的業務。鑒證對象與鑒證對象信息具有多種形式,主要包括:當鑒證對象為財務業績或狀況時(如歷史或預測的財務狀況、經營成果和現金流量),鑒證對象信息是財務報表;當鑒證對象為非財務業績或狀況時(如企業的運營情況),鑒證對象信息可能是反映效率或效果的關鍵指標;當鑒證對象為物理特征時(如設備的生產能力),鑒證對象信息可能是有關鑒證對象物理特征的說明文件;當鑒證對象為某種系統和過程時(如企業的內部控制或信息技術系統),鑒證對象信息可能是關于其有效性的認定;當鑒證對象為一種行為時(如遵守法律法規的情況),鑒證對象信息可能是對法律法規遵守情況或執行效果的聲明。不難看出,傳統的財務報表審計只是鑒證業務中的一種。鑒證標準隨著鑒證對象的不同,也從財務報表審計中按照適用的財務報表編制框架,如編制財務報表所使用的會計準則和相關會計制度,擴展到單位內部制定的行為準則、績效水平等方面。從其定義看,鑒證業務的目的在于增強除責任方之外的預期使用者對鑒證對象信息的信任程度。真實公允目標是針對財務報表審計的審計目標,可信性目標在概念外延上具有更加廣泛的適用性。可信性目標不僅適用于對財務信息的可信性,而且還適用于非財務信息(績效信息)的可信性。對財務報表來說,如果它是真實公允的,即在所有重大方面是按照適用的財務報表框架編制的,它就是可信性;對于其他鑒證信息來說,如果它是符合適用的鑒證標準,就是可信性的。企業內部的信息系統,現在已不僅僅是財務信息系統,還包括各種業務和管理信息系統。與此同時,為滿足企業的業務需求,信息系統所提供的信息也不局限于財務信息,而且還包括許多非財務信息。所以,在國有企業信息系統審計中,把可信性作為國有企業信息系統審計的目標比真實性目標更加符合企業信息化發展的客觀要求。
(四)可信性目標反映了審計理論的深化和發展
可信性不是一個孤立的術語,它是新審計理論(或一組新的相互聯系的審計概念)中的一個關鍵性概念。隨著注冊會計師的業務從傳統的財務報表審計發展到鑒證業務,傳統的審計理論也得到了深化和發展。大家知道,審計三方關系是指審計人、被審計人、審計授權或委托人之間的關系。傳統的受托責任論,即審計動因論,是建立在傳統的審計三方關系之上的。然而,在我國現行的《注冊會計師鑒證業務基本準則》中給出了一種新的審計三方關系,即注冊會計師、責任方和預期使用者。在新的審計三方關系中,被審計人與審計授權或委托人之間責任關系的含義更加豐富,除傳統的受托責任關系外還有其他種類不帶委托性質的責任關系③。在新的審計三方關系中,預期使用者應包括企業所有的利益相關者,除了傳統受托責任關系中的股東外,還應包括經營者、員工、顧客、供應商、債權人、潛在的投資者、監管層、競爭者等。聘請注冊會計師的通常是預期使用者或其代表,但也可能是責任方。責任方、預期使用者和注冊會計師三方之間的關系,可以看作是信息提供者、信息使用者和信息可信性的保證者之間的關系④。增強信息的可信性,實際上是減少了信息提供者與預期使用者之間的信息不對稱,鑒于預期使用者的廣泛性,在市場經濟條件下,將有利于完善市場機制,提高市場資源配置效率,從而拓展了審計的社會功能。可信性不是一個空洞的概念,鑒證對象信息是否具有可信性,需要執行一定的業務程序。審計師在收集證據的基礎上,依據一定的標準,檢查責任方的鑒證對象信息在所有重大方面是否符合適當的標準后,才能為鑒證對象信息的可信性提供一定程度的保證,從而提供給預期使用者。鑒證業務的保證程度被細分為合理保證和有限保證,鑒證對象信息被劃分為財務信息和非財務信息,其中財務信息被進一步細分為歷史財務信息和預測性財務信息。可信性概念是這些新審計理論中的關鍵性概念之一,相比之下,真實性概念在新的審計理論中卻沒有相應的理論地位。
(五)可信性目標反映了國家審計的發展趨勢
在世界審計組織(INTOSAI)的道德準則(Code of Ethics)中,強調了信賴(trust)、信任(confidence)、信譽(credibility)對于審計機關的至關重要性。在南非審計署1911至2011年百年紀念的紀念品和網站首頁上有一句格言:“Auditing to build public confidence”,即“審計旨在建立公共信任”。我國審計署2011年7月15日印發的《審計署關于深化經濟責任審計工作的指導意見》中提出,要確保經濟責任審計結果的可信、可靠和可用。劉家義審計長提出,國家審計是國家治理的一個組成部分。孔子曰:“足食,足兵,民信之矣”,“民無信不立”,說明了信任、守信在國家治理中的重要性。我們知道,“誠信友愛”是構建社會主義和諧社會的基本要求之一。國家審計可以增強政府的公信力,增強整個社會的誠信。從國家治理的角度看,可信性目標比真實性目標更好地體現了國家審計在國家治理中的作用。
經過上述真實性和可信性兩種審計目標含義的對比,不難發現,雖然真實性目標是國有企業審計的傳統目標之一,但是可信性比真實性的涵義更為豐富,可信性目標中不但包含了真實性目標,而且可信性目標要求信息系統提供更高質量的信息。兩種目標都對信息系統提供的信息質量提出了要求,國家審計對信息質量的要求不應低于注冊會計師審計。因此,筆者認為,盡管現行的審計法規定了國有企業信息系統審計的真實性目標,但是,從理論上講以及從未來發展趨勢看,審計機關應當選擇可信性作為國有企業信息系統審計的目標,即國有企業信息系統審計應當促進企業信息系統提供可信的信息。
二、促進國有企業信息系統的遵循性
最高審計機關國際組織(INTOSAI)在審計基本原則(ISSAI-100)中,把政府審計業務分為兩大類,即合規審計(regularity audit)和績效審計(performance audit),并制定了相應的審計執行指南,即財務審計執行指南(Implementation Guidelines on Financial Audit)、遵循審計執行指南(implementation guidelines on compliance audit)和績效審計執行指南(Implementation Guidelines on Performance Audit)。在這個準則指南框架中,合規性審計包括了財務審計和遵循性審計。遵循性審計是指對公共部門實體的活動是否與相關法律法規及授權要求相一致的審計。在《國際審計準則第250號――財務報表審計中對法律法規的考慮》(ISA250)中,非遵循(non-compliance),是指被審計單位不履行法律法規責任或者違反法律法規的犯罪,故意地或者非故意地,與執行的法律或法規對立的行為。在COSO內部控制框架中,遵循性(compliance)作為內部控制的目標之一,是指符合適用的法律法規。由此看來,在上述準則指南中,遵循性,就是我國國家審計中的合法性。但是,在本文中,作為國有企業信息系統審計的目標之一,遵循性與合法性不同。
為滿足業務需求,對信息系統提供的信息有一般性的要求,在IT治理框架COBIT4.1中,這些要求也被稱之為信息標準(information criteria)。遵循性(compliance)作為其中的標準之一,是指“涉及業務流程與所需遵守的法律、法規及合同約定之間的符合程度的屬性,即外部的強制要求和內部政策的遵循性。”⑤在本文中,遵循性作為國有企業信息系統審計的目標之一,采用COBIT4.1中遵循性的概念,即國有企業信息系統的設計、建設、運行和監控不僅要符合來自企業外部的強制性要求(合法性),而且還應符合國有企業內部制定的各種規定的要求。
我國審計機關對國有企業的財務收支的真實、合法和效益,依法進行審計監督。合法性是國有企業審計的審計目標之一。作為國有企業審計的重要內容,信息系統審計應當促進國有企業信息系統的合法性。那么,為什么我們要把國有企業內部制定的各種規定同時也納入國有企業信息系統審計的目標呢?企業內部如何制定關于其信息系統的規定是企業自己的事情,似乎審計機關不應干預,但是,效益性也是國有企業審計的審計目標之一。當信息系統不符合國有企業某些內部規定的要求時就會影響到企業效益,這些內部規定,如內部控制、管理和治理等,也應納入國有企業信息系統審計的遵循性目標范圍。
三、改善國有企業信息系統的績效性
績效性目標是企業信息化不斷發展的產物。我國企業信息化建設已經發展到了關注績效性的階段。績效性目標也是IT管理和IT治理的重要內容。IT管理和IT治理的國際標準或良好實務,為開展信息系統績效審計提供了審計標準。
(一)企業信息系統績效性的概念
當企業信息化發展水平達到一定程度后,信息系統的績效問題逐漸引起了人們的關注。在企業信息化的早期階段,信息系統主要應用于企業的財務會計領域,這時人們對信息系統關注的焦點主要是信息系統的可信性和遵循性問題,相應的措施主要集中在內部控制方面,強調信息系統的一般控制和應用控制。隨著企業信息化水平的不斷提高,信息系統在企業中的應用范圍逐漸從財務會計領域擴展到整個業務領域和管理領域,與此同時,信息系統的建設投入和運行成本顯著提高。這時人們發現,大量的信息化投入并不一定能夠帶來預期的收益,而且還帶來巨大的潛在風險,個別企業甚至因高投入造成利潤下降或財務危機,有的企業因業務流程改造滯后,還會導致管理混亂。在這種情況下,人們對信息系統關注的焦點,逐漸從“投入”轉向“產出”,從技術和內部控制問題轉向管理和治理問題,在企業內部出現了專門的IT管理部門,IT管理和IT治理逐漸從企業的一般管理和治理中獨立出來,而“績效”是描述信息系統投入產出、管理和治理的核心概念。
信息系統的績效性是指利用IT資源提供企業信息服務的經濟性、效率性和效果性。為它的利益相關者提供價值是企業存在的基本前提。企業信息系統的目的在于利用IT資源,通過IT流程,提供企業信息服務,以滿足業務需求。信息系統要實現的績效目標必須與企業的業務需求或業務目標相一致。
(二)績效性目標的可行性
從我國企業信息化發展階段看,目前信息系統的績效問題已經成為關注的焦點。2011年2月,工信部電子一所和用友軟件股份有限公司聯合了《2010年中國企業信息化指數調研報告》。該報告將中國企業的信息技術應用分為四個階段,分別為基礎應用階段、關鍵應用階段、擴展整合及優化升級應用階段以及戰略應用階段,如圖1所示。
該報告認為,目前我國企業信息化總體上處于由基礎應用和關鍵應用向擴展整合與優化升級過渡階段。報告的主要結論之一是,2010年“信息技術應用范圍的變化主要體現在應用廣度和深度兩方面,企業基本完成了信息技術在各業務領域的應用覆蓋,已逐漸開始深度關注企業業務發展需求,著力提升信息技術的應用價值。”提高信息系統的績效,也已經成為我國企業信息化深度發展的方向。把績效性作為國有企業信息系統審計的目標,符合我國企業信息化發展的現狀,在現實中具有可行性。
(三)績效性是IT管理和IT治理的重要內容
IT管理目的在于如何降低成本,以更好的彈性及更快的響應速度,向組織內外部顧客提供高質量的IT服務,提供顧客的滿意度。IT管理的目標就是要追求信息系統的績效性,即經濟性、效率性和效果性。
信息系統的績效性也是IT治理追求的目標之一。在IT治理國際標準ISO/IEC38500(組織的信息技術治理)中規定了“績效”原則,即IT應適合于支持組織的目的并提供服務,服務等級和服務質量應滿足當前和將來的業務要求。IT治理框架COBIT4.1有四個基本特征:以業務為中心、以流程為導向、以控制為基礎、以績效測評為驅動。在該框架中,績效測評是IT治理的關鍵,并且指出,“多項調研已經表明,IT成本、價值和風險管理缺乏透明是驅動IT治理最重要的一個因素。相對于其他關注的領域,提高透明度主要通過績效測評來實現。”⑥
(四)績效審計的參照標準
IT管理和IT治理從企業管理和治理中獨立出來,為開展單獨立項的信息系統績效審計創造了條件。就像企業審計要關注被審計單位的管理和治理那樣,企業信息系統審計要關注被審計單位的IT管理和IT治理情況。IT管理和IT治理的國際標準或良好實務,則為開展信息系統績效審計提供了審計標準,也可以作為向被審計單位提出改進建議的參照標準。常見的IT管理和IT治理國際標準有:ISO/1EC20000(信息技術――服務管理)、ITIL(信息技術基礎庫)、ISO/IEC38500(組織的信息技術治理)、COBIT4.1(信息及其相關技術控制目標)等。
四、維護國有企業信息系統的安全性
維護國有企業信息系統的安全,對于維護國家經濟安全至關重要。隨著信息技術的發展和應用,人們對信息系統安全性的認識也不斷深化。正確理解信息安全的涵義,對于開展信息系統安全性審計具有重要的意義。
(一)安全性目標的重要性
根據1994年我國頒布的《中華人民共和國計算機信息系統安全保護條例》,維護計算機信息系統的安全性,就是要保障計算機及其相關的和配套的設備、設施(含網絡)的安全,運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息系統的安全運行⑦。從這里可以看出,信息系統的安全包括:信息本身的安全、系統設施設備的安全和系統運行環境的安全三個層面。就三個層面的關系而言,信息是核心,系統設施設備及其運行環境是保障,信息本身的安全是目的,系統設施設備的安全及其運行環境的安全是手段。
國有企業信息系統安全是國家信息安全和經濟安全的重要組成部分。為了保護中央企業信息系統的安全穩定運行,2010年12月,公安部和國務院國有資產監督管理委員會聯合頒布了《關于進一步推進中央企業信息安全等級保護工作的通知》。據統計,截至2010年5月,已有89.6%的中央企業開展了信息安全等級保護工作,中央企業總計建成投入使用的信息系統有16 092個,已定級14 539個,占比90.3%;應向公安機關備案的系統(二級及以上)有11 370個,已備案8 113個,占應備案系統的71.4%;列入2010年定級計劃的有1 598個。中央企業在公安機關備案的信息系統總數約占全國信息系統備案總數的21%,第三、四級重要系統約占全國重要信息系統備案總數的30%⑧。這些數據表明,國有企業信息系統已成為國家信息安全的重要組成部分。《中華人民共和國企業國有資產法》第七條規定,“國家采取措施,推動國有資本向關系國民經濟命脈和國家安全的重要行業和關鍵領域集中,優化國有經濟布局和結構,推進國有企業的改革和發展,提高國有經濟的整體素質,增強國有經濟的控制力、影響力。”由于國有企業集中在國民經濟命脈和國家安全的重要行業和關鍵領域,如電信、電力、石油、石化等重要行業,其重要信息系統已成為國家關鍵基礎設施,是國民經濟命脈之命脈,保護國有企業信息系統的安全穩定運行,對于維護國家經濟安全和社會穩定具有重要的意義。
(二)信息安全概念的演變
根據我國計算機信息系統安全保護條例中的定義,計算機信息系統的安全性,包括信息本身的安全、系統設施設備的安全和支撐環境的安全。其中,信息本身的安全,即信息安全,是信息系統安全的核心和目的。那么,究竟什么是信息安全呢?
人們對信息系統安全性的認識經歷了一個不斷深化的發展過程。20世紀80年代美國國防部制定的《可信計算機系統評估準則TCSEC》把保密性當作信息安全的重點。20世紀90年代初由英、法、德、荷四國制定的《信息技術安全評估準則ITSEC》開始把完整性、可用性與保密性作為同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐漸被普遍接受。在2002年的國際標準ISO/IEC17799:2000《信息技術――信息安全管理業務規范》中明確規定,信息安全,是指保護:“保密性(confidentiality),即確保信息只能夠由獲得授權的人訪問;完整性(integrity),即保護信息的正確性和完整性以及信息處理方法;可用性(availability),即保證經授權的用戶可以訪問到信息,如果需要的話,還能夠訪問相關資產。”然而,在2005年的該國際標準修訂版即ISO/IEC17799:2005中,信息安全的定義,包括了七種安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他屬性,如真實性(authenticity)、責任性(accountability)、不可抵賴性(non-repudiation)、可靠性(reliability)等,而且,這種修訂后的信息安全定義,被2007年的國際標準ISO/IEC27001(《信息安全管理體系――規范與使用指南》)引用。在學術界,有人認為,信息安全的特性還應進一步包括可控性(controllability)、可預測性(predictability)、可審計性(auditability)、遵循性(compliance)等。
隨著信息技術的發展與應用,信息安全的內涵越來越豐富,從最初的信息保密性發展到保密性、完整性和可用性,進而又發展到相關的真實性、責任性、抗抵賴性、可靠性等。相應地,對企業信息安全的考慮,也從最初關注企業信息安全技術層面,發展到關注企業信息安全控制、管理和治理等層面。
(三)正確理解信息安全涵義需要注意的幾個問題
1.信息安全與信息保密不同。從信息安全概念的涵義可以看出,信息保密與信息安全是兩個不同的概念,信息安全比信息保密的涵義更加豐富。盡管我國新修訂的保密法對信息系統的保密問題作出了規定,但是保密法不能代替信息安全法。目前,我國對信息安全的立法仍然比較滯后,尚無專門的信息安全法。信息安全法是國家信息安全保障體系不可或缺的組成部分。
2.微觀信息安全與宏觀信息安全的聯系。企業信息系統的安全離不開系統運行環境的支撐,系統環境包括物理環境和社會環境。從社會環境看,主要是指有關信息安全法律法規、安全意識、人才培養等。這就是說,微觀層面單個組織的信息系統安全,還離不開宏觀層面國家信息安全保障體系的構建。與此同時,微觀層面的信息安全是基礎,沒有微觀層面的信息安全,也就沒有宏觀層面的信息安全。
3.授權管理的重要性。信息安全的概念有三個核心涵義:保密性、完整性和可用性。這三個核心涵義都涉及一個共同的要素,即“授權”。保密性意味著只有獲得授權才能訪問;完整性意味著沒有授權不得對信息進行刪除或修改;可用性意味著擁有授權者隨時可以使用。這表明,授權管理是信息安全管理的一項關鍵內容。信息系統是一種人機系統,授權管理主要涉及對人員行為的安全管理。
4.安全性目標與遵循性、績效性、可信性目標的聯系。從信息安全的涵義可以看出,信息系統的安全性目標不同于其遵循性、績效性和可信性目標,但是,安全性與它們之間又是相互聯系的。首先,安全性必須滿足遵循性的要求,信息系統的設計、運行、使用和管理可能要置于法律規定的和合同約定的安全要求的約束之下,特別是各種信息安全法律法規、保密法,以及知識產權、個人隱私權方面的法律法規;其次,信息安全沒有絕對的安全,所有的信息安全都是風險可接受條件下的安全,高水平的安全保護需要大量的投入成本,因而需要在成本、收益、風險和安全之間進行權衡,即安全性與績效性的聯系;最后,在信息安全技術層面,可信計算技術是信息安全技術的一個重要研究領域,從而表明安全性與可信性之間也有內在的聯系。
筆者認為,目前國際上制定的有關信息安全等級評估、信息安全風險評估、信息安全管理體系等方面的國際標準,無論是在理論概念還是在操作實務方面,對于我國審計機關開展信息系統審計都具有重要的借鑒價值。這些國際標準或良好實務可以作為審計的參照標準,同時也可以作為審計機關向被審計單位提出改進信息系統安全性建議的依據。同時,在對國有企業信息系統的安全性進行審計時,還要立足我國實際,由于我國國有企業信息系統是國民經濟命脈之命脈,事關國家經濟安全和社會穩定,在重視企業本身信息系統安全的同時,還應當從宏觀上揭示國有企業信息系統的安全風險,維護國家經濟安全。
最后應當指出的是,在審計實踐中,根據具體情況,單個審計項目可以選取上述可信性、績效性和安全性目標中的一個或多個作為審計目標。
篇6
1信息安全總體設計及實踐
1.1網絡安全要求及問題
1.1.1信息安全的最終實現目標為應對市場競爭,提高企業生產經營效率,滿足企業信息化建設的需要,汽車制造業應借鑒國內先進的信息技術和安全管理經驗,建立一套企業信息化辦公網絡,并逐步加強網絡傳輸的安全建設,和網絡安全管理手段。以保障企業信息化的穩定運行。2.1.2系統和應用的脆弱性企業信息化辦公網絡建成后為企業經營和管理帶來了極大的便利,生產經營效率明顯提高。但同時引發了很多的技術問題:跨省專線費用太高,且鏈路發生故障之后的報修、排故、恢復程序極其繁雜,嚴重影響效率;無法滿足移動辦公的需求,無法滿足上下游供應商的使用需求;與互聯網連接時常受到攻擊導致業務中斷;內部人員未經授權許可訪問互聯網導致病毒攻擊內部辦公網等等。
1.1.3常見網絡風險通過系統的網絡安全技術學習,汽車制造業信息化人員應掌握企業網絡信息化建設過程中大量常見的網絡風險和防范手段:Backdo(各種后門和遠程控制軟件,例如BO、Netbus等)、BruteFce(各種瀏覽器相關的弱點,例如自動執行移動代碼等)、CGI-BIN(各種CGI-BIN相關的弱點,例如PHF、wwwboard等)、Daemons(服務器中各種監守程序產生弱點,例如amd,nntp等)、DCOM(微軟公司DCOM控件產生的相關弱點)、DNS(DNS服務相關弱點,例如BIND8.2遠程溢出弱點)、E-mail(各種郵件服務器、客戶端相關的安全弱點,例如Qpopper的遠程溢出弱點)、Firewalls(各種防火墻及其產生的安全弱點,例如GauntletFirewallCyberPatrol內容檢查弱點)、FTP(各種FTP服務器和客戶端相關程序或配置弱點,例如WuFTPDsiteexec弱點)、InfmationGathering(各種由于協議或配置不當造成信息泄露弱點,例如finger或rstat的輸出)、InstantMessaging(當前各種即時消息傳遞工具相關弱點,例如OICQ、IRC、Yahoomessager等相關弱點)、LDAP(LDAP服務相關的安全弱點)、Netwk(網絡層協議處理不當引發的安全弱點,例如LAND攻擊弱點)、NetwkSniffers(各種竊聽器相關的安全弱點,例如NetXRay訪問控制弱點)、NFS(NFS服務相關的安全弱點,例如NFS信任關系弱點)、NIS(NIS服務相關的安全弱點,例如知道NIS域名后可以猜測口令弱點)、NTRelated(微軟公司NT操作系統相關安全弱點)、ProtocolSpoofing(協議中存在的安全弱點,例如TCP序列號猜測弱點)、Router/Switch(各種路由器、交換機等網絡設備中存在的安全弱點,例如CiscoIOS10.3存在拒絕服務攻擊弱點)、RPC(RPC(SUN公司遠程過程調用)服務相關的弱點,例如rpc.ttdbserver遠程緩沖區溢出弱點)、Shares(文件共享服務相關的安全弱點,BIOS/Samba等相關弱點,例如Samba緩沖區溢出弱點)、SNMP(SNMP協議相關的安全弱點,例如利用“public”進行SNMP_SET操作)、UDP(UDP協議相關弱點,例如允許端口掃描等)、WebScan(Web服務器相關安全弱點,例如IISASPdot弱點)、XWindows(X服務相關安全弱點)、Management(安全管理類漏洞)等。
1.2網絡安全加固及應用拓展改造
針對上述網絡風險,汽車制造業應加強自身的網絡安全建設,強化網絡安全管理。重點進行了四個方面的技術改造:防火墻(VPN)、上網行為管理、入侵防御及桌面管理系統。
1.2.1訪問控制——防火墻部署防火墻之后,內部辦公網絡的IP地址與MAC地址捆綁,授權上網用戶實名制管理,根據工作需要申請和審批上網時間和訪問權限。內部VLAN劃分,把不同部門用VLAN劃分為不同的域以區分管理。重要數據庫服務器和存儲設備與辦公網隔離。嚴格管理和控制內外網對數據庫的訪問。
1.2.2遠程用戶加密訪問——VPN為保障企業運營效率,根據不同的工作人員分配不同的權限,可以在出差途中或家中處理緊急公務。并細化配置其VPN功能對企業內網的訪問權限,可以實現工作需要,保障企業內部流程效率
1.2.3內網用戶網絡行為監控——上網行為管理系統通過對進程的審計可以了解到當前服務器的運行情況以及客戶端的使用情況,對非法的行為可以限制非法進程(包括病毒進程、聊天軟件進程等)的運行,非法軟件的安全,隨意的修改IP地址而導致的IP沖突等;內網用戶的網絡行為監控,可以極大程度地避免企業內網的安全風險。
1.2.4外網攻擊的防護措施——入侵防御與防病毒采用入侵防御系統,具備7層檢索比對入侵防御設備需要的高速芯片,同時具備硬件BYPASS功能和自動報警功能,當設備自身出現故障時不能中斷網絡運行,最大限度地避免單點故障對網絡穩定運行的風險。
1.2.5桌面端管理通過桌面端管理套件核心服務器管理全網所有客戶端。所有的管理數據統一保存在核心服務器后臺的數據庫中。通過角色管理可以使用管理套件控制臺直接查看AD架構,而無需在管理套件中復制AD角色。同時可以分配管理套件權限給AD組或OU(ganizationunits),在分配權限時支持繼承的概念。
2結論
篇7
大數據是大小已經已經超出了經典的數據庫軟件的信息收集、存儲、管理與分析的數據集合,隨著其在企業中應用技術的漸趨成熟和海量數據的優勢突出,在互聯網發展中成為了企業經營發展的新興工具。會計信息化是是會計職能在信息技術上的應用,在信息化社會下對財務部門管理提出了會計信息化的必然要求。數據工具的出現和在會計信息化領域的使用幫助企業在財務數據的處理和分析中能夠獲取橫縱兩方面更多的對比數據,幫助財務部門對比同期企業發展狀況了解自身的企業發展水平、進度以及財務信息。伴隨會計信息化在我國的全面推開和企業占比不斷上升的發展勢頭下,互聯網、云計算和大數據在各個行業和經濟生活方面的應用也讓會計信息化的應用在前行和升級換代。傳統的會計信息化在企業追求更高的財務數據對比和財務分析的要求下已經難以再適應現代管理企業的發展需要。而與之相對比的是企業信息化系統在現代企業中的建設和大數據下以財務軟件為依托的會計信息化建設趨勢,在現代財務建設中逐漸顯現出其數據挖掘能力下對于財務分析功能貢獻支持。
互聯網的到來要求了企業在經濟快速發展前提下提升自身發展速度和管理水平,在經濟浪潮中保持自身的優勢地位和前進速度。在現代管理制度要求和企業自我提升中,在“互聯網+”浪潮掀起的傳統領域互聯網發展下的企業自我改革風暴和大數據的相對開放領域里,企業會計信息化的應用面臨著更優質的發展機遇,也面臨著風險性挑戰。
二、大數據下的會計信息化應用問題
我國會計信息化從相對薄弱的階段起步,經歷了快速發展時期,但從總體上來說,會計信息化基礎仍然是相對薄弱的,而會計信息化在大數據下的進一步運用在大多數大數據應用企業來說也往往是剛剛起步,處在大數據與會計信息化結合應用的初期,出現了初期應用中的常見的企業和財務部門的認識理念、初期使用上信息支持不足和外部環境影響等問題。
(一)企業內部對財務開放性的排斥
在大數據應用初期,容易存在著企業管理層和外部部門對大數據內容了解不全面、認識程度不深和實際應用環境上的困惑。在我國企業發展文化中,對于企業的信息數據往往持有保守、內向和非開放的態度,與大數據下要求的數據共享理念恰好背道而馳,在觀念認知上給企業財務部門會計信息化的大數據應用帶來了不小的困難。尤其在財務數據的共享上,多數企業將財務信息視為重要內部保守信息,對于財務信息的共享和企業基本財務資料的對外慎之又慎,在缺乏較強推動力量和深入了解的情況下對大數據下會計信息化應用是否應當在本企業推行思慮過多,難以抉擇。而大數據在發展初期,盡管趨勢已經漸趨明顯,但總體上對于大數據的應用和報道還欠缺,企業管理和財務的行業交流和管理交流之間沒有形成大數據應用較好的氛圍和風氣,兩者負面作用疊加交替,造成了會計信息化與大數據結合的應用發展緩慢。
(二)信息支持不足,內容單一
會計信息化的?l展在意義在要求以財務軟件記賬代替手工記賬,將會計工作人員從繁重的重復勞動中解放出來、降低錯誤率以外,還要求會計信息化應當需要在建設中與企業的信息化相關聯,相互作用。從企業角度獲取財務數據信息內容,作為企業管理的整體分析數據的一部分。從財務部門來看,在財務數據外獲取非財務信息的支持,補充財務分析內容,提供企業內部的財務角度管理分析報告,為輔助管理層進行經營決策和財務決策提供專業支持。但在實際的會計信息化應用中,大多數企業卻并沒有做好企業信息化與會計信息化的數據信息內容上的結合,導致了大數據應用中的信息支持不足和數據內容的單一。在缺乏企業整體信息內容支持的情況下,財務信息輸入內容十分有限,為財務部門對于企業內部狀況信息和具體經濟業務往來中出現的實際情況、備注和問題的了解帶來了很大程度上的局限性,在大數據利用下,僅僅從單調的財務數據比較分析中難以窺到企業數據全貌,無法充分發揮大數據海量信息篩選應用支持下的對企業信息全面分析的益處。在大數據篩選過程中,由于基礎條件支撐信息不足,信息搜索范圍過大,難以精確匹配與財務部門的確切需要信息。不僅如此,在信息支持不全面下的大數據分析還可能導致財務分析報告分析結果上的偏差,造成企業應用中的風險,或者由于大數據利用中篩選基礎條件錯誤帶來的數據分析應用在企業水土不服的情況。
(三)外部環境風險
會計信息化在大數據應用下能為企業帶來會計基礎功能之外的財務分析和企業比較應用等助力企業發展的益處,但互聯網的開放性環境也帶來了一定的外部安全性風險。一是來自財務軟件的本身風險,在軟件設計和應用上,在基礎的編程中可能就存在著一定的漏洞,如果存在著漏洞被利用或者針對軟件防護系統被破解的情況,會集體給各企業帶來財務信息上的風險。二是來自互聯網中針對企業本身的財務信息套取風險。以著名的互聯網企業的兩大巨頭谷歌和微軟為例,其電子郵件內容也曾經受到黑客攻擊,導致公司信息安全備受質疑,給企業形象和消費者信任度帶來一定程度的影響。如果企業面臨著超過企業的互聯網安保防護力度的黑客攻擊,很可能導致企業的會計信息數據的泄露和財務資料的丟失,帶來極大的企業風險和損失。
三、大數據下的會計信息化問題應對
針對企業在大數據下的企業信息化應用中考慮的因素和出現的問題,從企業管理和財務部門的角度出發,企業應當在信息化的認識理念上結合專業知識加強跨領域的交互認識。在企業內部對于信息化發展不完全的地方,完善整體化的信息發展,加強安全防護。
(一)加深對大數據與財務信息化的認識
財務部門應當首先了解行業和專業間的大數據發展情況,分析大數據與會計信息化結合利弊,聽取專家講解和建議,在大數據在會計信息化的應用上獲取專業知識和實踐指導,并結合自身企業情況和財務部門現狀進行貼合實際的分析。尤其是對于集團企業而言,大數據內容和會計信息化的結合,有利于集團企業異地辦公的協同合作,在信息共享下幫助各子公司和母公司之間借鑒財務解決方案和在相似風格下財務處理的參考,通過大數據和云服務減少人力上的非建設意義勞動,提高對賬、業務分析與指導等方面的交流效率和速度,幫助財務部門會計人員加強財務分析與綜合功能應用上的學習和研究。通過積極了解經濟的整體發展趨勢下“互聯網+”時代的到來與管理的發展趨向,企業和財務部門應當逐漸認識到互聯網應用于大數據工具的重要性,在經濟發展和企業管理上不斷自我更新發展內容,促進企業進步。
(二)企業內部信息化普及與整合
企業應當在會計信息化基礎建設完成下,推進企業內部的信息化模塊的統一和整體建設,形成企業內部的信息共享互通體系,幫助企業從宏觀上把握整體發展信息狀況。對于各個部門而言,能獲取其他部門發展信息和進展情況,促進企業內部資源的優化配置,提高企業運行效率,促進各部門信息化下的交流和配合。對于財務部門而言,非財務信息的提供能幫助財務部門在會計信息和數據的處理中對于問題點及時獲取業務部門的信息支持,排查可能存在的風險問題。企業應當認識到信息化在現代企業管理中的地位和作用,促進會計信息化的功能多樣化發展,提高財務綜合分析功能在財務部門工作中的地位和比重。以對于企業的預算管理內容為例,通過企業信息系統,財務部門能獲取各部門的過往預算使用總體情況和內容,做出部門的使用效率分析和比較,提出使用改進并依據過往情況和各部門在企業信息化系統中提交的下一年度的活動計劃給出財務部門的預算審批意見,在數據利用和分析中與部門協商盡可能優化的預算方案并提交至管理層審批,提高企業的預算資金使用效率,避免浪費。在資金管理上,利用數據分析直觀給出支持與分析原因,加快決策速度并提高了協商效率。
篇8
摘要:隨著企業信息化水平的不斷提高,移動終端設備已經廣泛應用在企業各業務層面,也帶來了巨大的安全隱患,本文針對其安全隱患提出來防范措施,具有一定的借鑒意義。
關鍵詞:移動終端設備;安全隱患;管控解決方案
0引言
隨著企業信息化水平的不斷提高,移動終端設備的廣泛使用,極大地方便了數據的信息交換,但是如何管理移動設備和其使用之間的問題,由此涉及到的是信息安全、服務整合、互操作性和組織成本控制等一系列問題。一般來說,移動終端設備除了筆記本電腦外,包括掌上電腦、智能手機、USB設備和GPS設備等,因為其移動方便的特性,對數據的安全性提出了更高的要求。
1移動終端設備面臨的安全隱患
現在筆記本電腦、智能手機、iPad、U盤等正在被越來越多地使用,尤其是企業高層、出差的業務人員或到基層檢查指導工作的管理人員、需要下班后在家加班的人員等,他們幾乎已經離不開這類移動終端。與此同時,一些合作伙伴或客戶出于某種需要,也可能需要使用移動終端接入到企業網絡或者計算機。移動終端設備可能給企業帶來以下幾大隱患:
隱患一,保管不當,導致設備丟失或被盜,損失的不只是硬件成本,更關鍵的是里面的數據。
隱患二,使用不當,在數據傳輸過程中沒有采取應有的保護措施,導致發送信息時被非法攻擊者偵聽截獲。
隱患三,沒有對設備里的數據采取足夠的保護措施,數據很可能在使用者一無所知的情況下被竊取。
隱患四,感染病毒的移動設備一旦接入內網,病毒可能很快蔓延至網絡內的每一個終端,影響整個網絡的正常運轉,嚴重時還會讓企業的關鍵業務無法開展。
隱患五,不安全的移動終端一旦接入企業內網,很可能變成黑客們攻擊內網的跳板。
2針對存在的安全隱患制定對策
通過分析移動終端設備管控的難點主要集中在以下幾個方面:①外來移動終端設備隨意接入企業內部網絡或者計算機,很難做到有效控制,無形中為病毒、木馬感染企業網絡開辟了一條捷徑;②內部移動存儲設備很難做到逐個、逐次使用時登記備案,無法對遺失的移動存儲設備以及存儲其中的數據進行監控;③內部移動存儲設備很難區分安全等級、區分場所、區分使用人,保存數據的移動存儲設備隨意拿到外部使用,很容易造成企業敏感數據外泄;④對移動存儲設備的使用缺乏全面的記錄信息,安全事故發生以后缺乏足夠的協助管理員跟蹤、定位和追溯責任人的依據和手段。
要想管控好移動終端設備,就必須做好以下四個方面:①移動終端設備使用的邊界控制:外來的筆記本電腦、智能手機等設備連入網絡,必須通過網絡準入、應用準入、客戶端準入等準入手段來解決,確保未安裝客戶端的無法連入內部網絡,其安全性得到保障。外來移動存儲設備不得隨意接人企業內部計算機,以防止惡意代碼通過移動存儲設備感染企業內部網絡。②移動存儲設備分等級使用:對移動存儲介質進行注冊認證,只有注冊認證過的才可以在內網使用。內部移動存儲介質分不同的安全等級,受控使用,做到專人專用、專盤專用,從而保證企業關鍵信息和數據不會通過移動存儲設備泄露。③強化移動存儲設備的管理,將移動存儲設備專人管理,規范操作使用,每次使用前要進行嚴格的查毒、殺毒。禁止使用個人U盤、數碼相機、數碼攝像機等存儲卡。④移動存儲設備的全生命周期管理:對內部存儲關鍵數據和信息的移動存儲設備,要有全生命周期的使用跟蹤和管理,對內部移動存儲設備的使用要有詳盡的審計,以便事后能夠進行準確的跟蹤和定位,追溯到責任人。
3移動終端設備的管控解決方案
對移動終端設備的信息安全管理,應堅持“預防為主”的方針。“三分技術,七分管理”,要充分利用技術和管理兩種手段,達到有效防范的目的。具體來說,企業可從如下三個方面著手:
3.1 加強人員培訓,構筑人員安全關通過加強保密知識培訓、網絡安全知識培訓、職業道德教育和對網絡事故案例講解,使員工充分了解計算機網絡存在的安全隱患,提高工作人員的安全保密意識和自我防范能力。
3.2 部署管控平臺,把好技術安全關通過部署綠盟終端安全管理系統,該系統涵蓋接入控制、數據防泄密、安全防護、桌面管理四大領域,在終端安全方面提供系統級安全保護,提供網絡層與應用層的準入控制,強制隔離不符合安全要求的終端主機。實現了對移動存儲設備的全面管理,移動介質被分為外來介質、內部普通介質和內部專用介質三種不同的安全等級,針對每種安全級別均可設置具體的使用權限,如只讀、可寫,實現了對移動介質的細粒度管理。
3.3 完善制度建設,健全信息管理關
3.3.1 加強內部管理,完善計算機保密制度。細化信息安全的管理規范和責任追究,明確界定信息范圍,切實落實各項具體措施。使計算機安全保密工作有章可循,逐步實現計算機信息安全保密工作的規范化管理。
3.3.2 加強對移動辦公設備管理的檢查。通過對單位的移動終端設備集中登記、授權和安全認證,全面掌握企業移動終端的使用管理情況,定期進行信息安全檢查,發現違規情況及時進行通報。對終端設備列入重點信息安全監控部位,專人專用、專人管理,不定期進行檢查防護。
3.3.3 加強對外來人員的管理。為了防范信息泄密,確保信息與網絡的安全。
4結束語
信息安全是信息發展的基礎,要建立一個安全可靠的網絡安全管控體系,既要有專業的安全產品,更要有規范和強有力的安全管理制度。移動終端設備所帶來的安全隱患必須引起各企業的高度關注,充分利用技術和管理兩種手段,提高安全保障能力,為企業各項工作順利開展提供信息保障和技術支撐。
參考文獻:
[1]楊義先.網絡信息安全與保密[M].北京:北京郵電大學出版社,2000:1-3.
篇9
關鍵詞:信息安全 數字簽名 加密 解密
今天,計算機已經十分普及。從家用到企業信息管理,都離不開計算機。隨著網絡技術、通訊技術的出現使得信息傳遞與信息共享得到質的飛躍。各種網絡應用應運而生,如:ERP系統、電子商務系統等。當人們享受著信息技術帶來的方便之時,同時必須面對信息系統存在的不安全因素。
危及信息安全的因素
企業使用計算機進行管理,要求管理的信息必須“數字化”,并以磁信號保存到磁盤中(這種信號如果不加任何處理時,可以被任何人獲取或者“不留任何痕跡”的加以修改);當我們把一臺計算機中的信息轉移到另一臺計算機時還必須通過“網絡”完成信息的“傳遞”。傳遞過程中是否帶有病毒、是否會被其他網絡客戶非法截留?這些都是我們進入網絡時代要考慮的首要問題。那么,在網絡環境下的信息管理、信息駐留與信息傳遞過程中究竟有那些因素會危及信息安全?危及“信息安全”的因素可以分為兩類:
外部因素
外部因素指和企業無關的外部人員,通過網絡,使用非法工具、采用非法手段,非法侵入企業信息系統,獲取關鍵信息、破壞內部數據。
內部因素
內部因素指企業內部工作人員,借工作之便,非法復制企業的關鍵信息,或者盜用他人賬號登陸系統,非法修改關鍵數據,從而達到個人的非法目的。
危及信息安全的形式
危及信息安全的形式有多種多樣。有些是我們知道的、有些是我們意想不到的,有些是些我們不愿意去想又確實存在的形式。正是這些意想不到或不愿意去想的形式最具威脅性。因此,我們不妨發揮充分的想象力對企業信息可能受到威脅的形式做一些假設。我們現在考慮的越多、越全面,在將來我們受到攻擊、受到危害的可能性就越小,我們的信息安全性就越高。
在80年代末,曾經有這樣一個“傳說”,國外某家銀行在日常工作中忽然發現,一個賬號的存款數額變動異常。經過一段時間的監視和調查,最后確認這個賬號的擁有者曾經參加該銀行軟件系統的開發。他在所編寫的程序中加入了一些非法代碼,在計算其他客戶的存款利息時,把舍去的利息額加入到自己的賬號下。這樣客戶的利息不會少,自己的存款額卻在不斷增加。在當時的環境下軟件開發過程不很規范、監管力度不夠才會出現這種情況。現在一些關鍵系統的開發不會重現類似情況,當然,不再重現的先決條件是要嚴格監管軟件開發的全過程。
1999-2000年,美國國內展開指控微軟進行行業壟斷的訴訟。現在回過頭來看看,把微軟分解成兩部分未嘗不是件好事。微軟公司作為世界軟件行業的“巨無霸”,如果全世界都使用一家公司提供的從操作系統、辦公工具、網絡通訊工具到系統開發工具,那些不掌握源代碼的“黑客”都能非法侵入你的系統、獲取數據,試問,掌握所有源代碼的軟件供應商它不能做什么?筆者非常欣賞微軟公司的軟件。和其他用戶一樣非常愿意使用微軟的軟件。確實微軟公司的軟件給我們提供了方便,并改變著我們的生活、工作方式。如果我們往深處想一想會發覺,我們使用微軟的軟件除了喜歡的成分外,更主要的是一種潛意識的“信任”。這種信任是建立在微軟公司用行業道德標準“自我約束”的基礎之上。
防止外部人員非法侵入企業計算機管理系統固然重要;完善企業內部控制同樣重要。“堡壘最容易從內部攻破”表述的就是一種加強內部控制、內部管理的重要性的道理。因此我們必須嚴格控制管理信息系統內部信息的處理過程,必須嚴格執行有關的管理規章制度。由于內部控制不完善、由于內部人員缺乏職業道德而引發危及信息安全的案例并不少見。
通過與企業接觸了解到,一些企業的內部管理制度非常規范、非常嚴格。然而,就是得不到認真執行。究其原因并不是內部員工有意拒絕執行,而是信息安全觀念淡薄。
通常,企業管理信息系統在儲存數據時都是將數據保存到某個數據庫文件中。由于考慮到軟件開發成本、用戶能夠接受的價格,許多小型的管理系統都采用Foxpro數據庫作為保存數據的工具。Foxpro非常簡單易用,但是,他有一個致命的弱點――缺乏一種高效、安全的數據保護功能。用戶通過正常登陸進入系統后無法訪問的數據庫文件,卻可以繞過系統通過Foxpro系統直接打開數據庫文件。一些軟件開發商意識到這個問題后采用改變關鍵數據庫文件的特征字,使用戶無法在普通的Foxpro環境下打開數據庫。這種方法仍然治標不治本,是一種“防君子不防小人”的方法。因為,這些文件中的數據如果沒有經過嚴格的加密處理我們仍可以利用類似debug工具將其打開并讀取其中的數據。
保證信息安全的方法與工具
面對種種內憂外患,我們真的束手無策嗎?保證重要數據處于一個相對安全的位置,讓那些居心叵測的人無法輕易的接觸到,即使得到數據也是經過嚴格加密的數據而無法輕易的還原。我們可以采用以下方法和手段。
增強安全意識
這句話說起來容易,真正做到這一點并非易事。一時的疏忽大意可能引發非常嚴重的后果。不要因為今天沒發生問題、這個月沒發生問題、今年沒發生問題就可以放松警惕,發生問題往往就在明天。另外,如果沒有安全意識,再好的工具得不到應用、再完善的制度得不到認真執行。我們所做的一切都沒有任何價值、沒有任何實際意義。增強安全意識首先要從規章制度做起,給使用者制訂出非常明確的工作規范、工作流程、及工作內容。制度的制定不是要相互提防,增加彼此的不信任。恰恰相反是把員工做為可信賴的人、可以維護企業利益的人。
規章制度只是目標,不應該把目標的實現完全建立在要求每一個人都能夠自覺遵守制度、不做越雷池半步的操作,而應該輔以硬件措施與數據加密處理。只有采用多種手段、綜合管理。才能確保信息相對安全。
硬件措施
網絡環境管理信息系統的一個共同的特點是數據集中管理、操作可以分步進行。如果不做任何限制,任何一個用戶可以從任何一臺工作站登陸網絡、訪問網絡中的信息。構建在局域網基礎上的企業管理信息系統同時接入Internet,那么,我們的網絡將暴露在所有Internet接入者面前。消除這個隱患常用的方法是在局域網與Internet之間架一道“防火墻”,它在防止非法Internet用戶侵入企業內部局域網具有相當的作用。
針對一些大型企業、集團公司的辦公機構,可以按照組織結構進行網絡規劃,將物理連接在一起的計算機劃分成多個“域”(部門),每一個“域”(部門)覆蓋范圍明確、相對獨立,“域”(部門)之間互不干擾,被授權的用戶可以跨“域”(部門)操作。
對于中小型公司可以規定具有特殊權限的用戶只能從某一臺工作站登陸網絡。例如:會計主管使用的賬號只能從會計辦公室的工作站登陸。這樣即便其他用戶掌握了會計主管的賬號和口令也無法從其他位置的工作站登陸。
數據加密處理
數據加密處理是保障信息安全的另一道屏障。一旦非法用戶對系統實施攻擊成功、進入系統,將有可能獲取任何信息。所以,對系統中的數據進行加密、尤其是對關鍵數據加密,更顯得尤為重要。因為采用高強度加密技術處理后,即使非法用戶得到這些數據也無法輕易進行還原。
常用的加密技術分為,非密鑰加密技術與密鑰加密技術。密鑰加密技術又分為對稱密鑰加密技術與非對稱密鑰加密技術。
非密鑰加密技術 其加密原理:加密過程是對明文經過加密變換處理生成密文;解密過程則是加密過程的反向操作,將密文還原成明文。因為它的加密算法是固定寫在程序里、并且有一定的規律。一旦攻擊者掌握加密算法或者發現加密規律,所有加密處理就完全失去了意義。因此,這種加密技術非常脆弱,加密強度最低,最容易被破解。
密鑰加密技術 密鑰加密與非密鑰加密的區別在于,加密算法是公開的,加密、解密過程是通過算法與密鑰一起運算,將明文轉換為密文或將密文轉為明文。通常所使用的密鑰位數相當長,采用窮舉法也無法破解。因此,信息的合法使用者只需牢牢地保管好自己的密鑰,將它放在安全的地方。
對稱密鑰加密技術 對稱密鑰加密技術特點是加密過程與解密過程使用的是同一個密鑰。著名對稱密鑰加密算法為DES算法,該算法加密強度高、不易破解。其作用是對交換數據進行加密處理。防止非法用戶破解加密數據的有效工具。
非對稱密鑰加密技術 非對稱密鑰加密技術由一對密鑰組成,見圖1,一個為私有密鑰(由該對密鑰的所有者掌握)、另一個為公有密鑰(任何人都可以掌握)。其特點是加密時使用一把密鑰,解密時必須使用另一把密鑰。反向操作是不成立的(不能用加密的密鑰去解密)。著名的非對稱密鑰加密算法為RSA算法。用戶必須牢牢地保管好自己的私有密鑰。非對稱密鑰加密技術即可以用作數據加密、也可以用作“數字簽名”。在發送方與接收方之間進行數據交換過程中,使用“數字簽名”的主要作用,可以“抗抵賴”、“防篡改”。
由于“數字簽名”中使用的密鑰加密的不可逆性,使用公有密鑰解密后的明文,加密者不能抵賴;同樣解密者無法篡改加密后的密文。
總之,有條件的企業、數據安全性要求高的企業,除了制訂并認真執行有關的規章制度、安裝安全性高的硬件設備、最重要的應該自主開發數據加密模塊、并且嚴格監控加密模塊從設計、開發到測試的全過程。保證企業內部信息處于一個相對安全的環境。
篇10
關鍵詞:電力企業;信息網網絡安全;層次式防護體系
中圖分類號:TN915.08
網絡信息安全的問題主要包括了網絡系統的硬件、軟件及其系統中重要數據受到保護,受突發或者惡意的因素而遭到破壞、更改、泄露,系統能夠正常地運行,網絡服務不中斷等諸多方面。企業要想做好信息網網絡安全就需要構建一個層次式防護體系,這個防護體系能夠有效的解決企業信息網網絡安全所面臨的各種問題,給企業一個良好的網絡環境。
1 信息網絡安全層次式防護體系的防護模式
結合電力企業的實際情況,按照層次式防護體系的防護模式,可將電力企業的網絡信息安全分為七大模塊,分別是入侵檢測、環境與硬件、防火墻、VPN(虛擬專用網)、隱患掃描、病毒防范、PKI(公開密鑰基礎設施)。
1.1 環境與硬件、防火墻
環境與硬件以及防火墻為層次防護模式的第一、二層,是對系統安全要求比較高的電網運行與安全穩定的控制,還包含了電網調度自動化、繼電保護等實時網絡,使用防火墻隔離網關設備來連接信息網絡,這樣就可以獲取實時的系統數據,不過這樣仍有一個小的缺陷,就是不可能直接或間接的修改實時系統的數據,所有需要采用硬件防火墻互聯的信息網絡與實時網絡之間在物理網絡層的隔離,這樣就能從根本上防護非法用戶的入侵。
另外,也可在信息網的Internet接入口處安裝防火墻,這種防火墻主要防止來自外部的攻擊,而且企業內各機構之間的仍有全面的安全防火墻,目前幾乎所有的電力企業信息網大都建立了這兩層防護措施。不過防火墻對于一些利用合法通道而展開的網絡內部攻擊顯得無能為力。因此,盡管開發防火墻能夠初步具備入侵的檢查功能,但是防火墻作為網關,很容易就成為網絡防護發展的頸瓶,不適合做過多的擴展研究。因此,還需要和層次式防護的第三層入侵檢測等相關工具聯合起來運用,這樣就能提高整個網絡的安全。
1.2 入侵檢測(IDS)
整個防護體系的第三層防護便是入侵檢測,入侵檢測不屬于網絡訪問控制設備,對通訊流量沒有任何限制,采用的是一種通過實時監視網絡資源(系統日志、網絡數據包、文件和用戶獲得的狀態行為),主動分析和尋找入侵行為的跡象,屬于一種動態的安全防護技術。一旦被檢測到入侵情況就會立即進行日志、安全控制操作以及警告等操作,給網絡系統提供內、外部攻擊以及一些失誤進行安全防護。像CA公司的eTrustIntrusionDetection程序就是通過自動檢測網絡數據流中潛在的入侵、攻擊和濫用方式等,為網絡系統提供了先進的網絡保護功能。同時還能在服務器及相關業務受到影響時,按照預先定義好的策略采取相應的措施。
1.3 隱患掃描
防護體系的第四層防護便是隱患掃描,隱患掃描是一個全自動化的網絡安全評估軟件,它以黑客的視角對被檢測的系統進行是否承受攻擊性的安全漏洞以及隱患掃描,同時還能夠查到可能危及網絡或系統安全的弱點,從而提出相應的維修措施,提交詳細的風險評估報告。最可觀的地方在于它能夠先于黑客發現并彌補漏洞,從而防患于未然,能夠預防在安全檢查中暴露出存在網絡系統中的安全隱患,然后配合有效的修改措施,將網絡系統中運行的風險降至最低。
隱患掃描系統的主要應用在不同的場合和時宜,第一,對信息網作出定期的網絡安全自我檢測和評估。網絡管理員能夠定期的進行網絡安全檢查服務,以最大可能限度的消除安全隱患,盡可能的發現漏洞然后進行修補,從而優化資源、提高網絡的運行效率;第二,網絡建設以及網絡改造前后的安全規劃以及成效檢測。配備隱患掃描系統能夠方便的進行安全規劃評估和成效檢測;第三,網絡安全隱患突發后的分析。網絡安全隱患突發后可以通過掃描系統確定網絡被攻擊的漏洞所在,然后幫助修補漏洞,能夠提供盡可能多的資料來方便調查攻擊的來源。第四,重大網絡安全事件發生前的準備,重大網絡安全事件發生以前,掃描系統能夠及時的幫用戶找出網絡中存在的漏洞,并及時將其修補。
1.4 虛擬專用網(VPN)
防護體系的第五層就是虛擬專用網,其主要為電力企業上下級網絡和外出人員訪問企業網絡時提供一條安全、廉價的互聯方式,再加上防火墻和IDS的聯動關系,這就使得VPN的網絡安全性大大的得到保障,VPN的網絡安全性也就得到了保證。不過,目前雖然實現VPN的網絡技術和方式比較多,但不是所有的VPN均可以保證公用網絡平臺傳輸數據的安全性和專用性。一般情況下是在非面向連接的公用IP網絡上建立一個具有邏輯的、點對點的連接方式,這種方式稱之為建立隧道。隨后就可以利用加密技術對隧道傳輸的數據進行加密,這樣就能保證數據只能被發送給指定的接收者,這樣極大的保證了數據的隱私性。
1.5 PKI(公開密鑰基礎設施)
PKI作為防護體系的第六層具有一個廣泛的接收標準,用來保護用戶的應用和數據安全,許多安全應用的安全標準通過PKI都有了適應的安全標準。CA公司的eTrustPKI是個比較普遍的基礎設施,具有許多獨特的特點,如能夠優化企業內部的部署、簡化管理、其擴展性比較好、有可選擇的相關硬件支持。
1.6 對病毒的防范
對病毒的防范是防護體系最后一層,其廣泛的定義在于防范惡意代碼、包括蠕蟲、密碼、邏輯炸彈以及其他未經許可的軟件,防范病毒系統對網關、郵件系統、文件服務器等進行病毒防范,這就要求病毒防范系統做到對病毒代碼的及時更新,并保持對病毒的查殺能力。同時,當防病毒與防火墻一起聯動時,病毒防護系統會自動通知防火墻進行相關修改。
2 對層次式安全防護體系的規范管理
層次式安全防護體系的構建是一個復雜的系統工程,包含了人力、技術、以及操作等幾大要素,在整個防護體系的運行中,最重要是需要規范操作人員的各種專業技術操作,需要建立一道信息安全管理制度來防止安全防護系統在運行過程中因為內部人員出現差錯而導致的各種網絡漏洞和安全隱患,其中建立規范的管理制度應考慮以下幾點:第一,建立對應的事故預防和應急處理方案,每天都要例行檢查備案;第二,制定嚴格的防護系統運行操作制度,對網絡設備、存儲設備以及服務器等重要部件的運行操作制定標準的操作制度,相關工作人員都必須參與進去;第三,強化對工作人員的安全教育和培訓,做好及時的安全工作;第四,建立日志式的管理制度,對每位用戶的操作和行為都以日志的形式記載在案,并進行及時的跟蹤調查和審計工作。
3 結束語
網絡安全防護是一個動態的系統工程,構建網絡安全防護體系能夠有效保護電力企業信息網的安全,其中采取層次式安全防護體系,更是有效的將各個層次安全構建有機的結合在一起,從而提高了整個網絡的安全性。
參考文獻:
[1]黨林.電力企業信息系統數據的安全保護措施分析[J].電子技術與軟件工程,2013(17).
[2]李志茹,張華峰,黨倩.電網企業信息系統安全防護措施的研究與探討[J].電力信息化,2012(04).