緒論:在尋找寫作靈感嗎��?愛發(fā)表網(wǎng)為您精選了8篇外審員信息安全�����,愿這些內(nèi)容能夠啟迪您的思維��,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享��!
篇1
隨著中國國際航空股份有限公司(以下簡稱“國航”)信息系統(tǒng)建設的飛速發(fā)展��,在2008年北京奧運會的安全保障工作中����,安全不再只是空防安全和飛行安全,信息安全也已經(jīng)成為奧運安保的重要環(huán)節(jié)��,并被納入國航及信息管理部的年度重點工作之中����。
在此背景下����,國航與IBM公司合作啟動了信息安全規(guī)劃咨詢項目,它旨在為國航信息安全體系建設打下堅實的理論基礎���。同時�����,國航也通過該項目完成了未來3~5年信息安全建設的發(fā)展規(guī)劃���,建立了信息安全管理體系�,并最終于2009年5月26日通過了ISO27001信息安全管理體系國際認證�,使國航成為國內(nèi)民航業(yè)第一家獲得IS027001國際認證的單位。
與飛行安全一樣重要
由于信息化建設已經(jīng)深入到國航業(yè)務的各個角落���,所以�����,幾乎所有業(yè)務都與信息技術(shù)相關(guān)�,特別是涉及到客戶信任度的商務及財務方面更是如此�。因此,在國航未來的發(fā)展戰(zhàn)略中���,信息安全已經(jīng)占據(jù)了越來越重要的位置?�,F(xiàn)在��,公司上下已經(jīng)形成一個共識:打造信息安全管理體系這張保護網(wǎng)�����,就像確保飛行安全一樣重要��。
基于這樣一個共識�,我們從國航的業(yè)務愿景出發(fā),引導出了國航的信息安全愿景����,即國航需要建立起一個成熟的、具備國際水平的信息安全保障體系�����,這個保障體系第一要保證國航的核心業(yè)務不中斷�,第二要保障國航信息系統(tǒng)不被攻擊,第三要保障重要的客戶信息不被泄漏��,通過一個全方位的安全保障體系為國航的業(yè)務愿景保駕護航����。
雖然現(xiàn)在已獲得了ISO27001國際認證�����,但國航的信息安全建設經(jīng)歷了一個漫長的過程����,大致可以分為四個階段:
第一個階段是在2006年以前�����,當時信息系統(tǒng)對于國航的支撐力度相對有限����,同時從整個業(yè)界來看�,的安全威脅還不是很明顯,所以�,信息安全建設的特點是以零星建設和被動建設為主。
第二個階段是2007~2008年��,隨著國航核心系統(tǒng)逐步投入運行��,以及北京奧運會的臨近�����,的安全風險不斷增加��,這是����,國航開始針對性地對重點領(lǐng)域搭建技術(shù)防護措施。
第三個階段是從2008年開始,隨著國航對自身信息安全認識的不斷深入�����,國航按照Is02700 L的標準���,建立起了信息安全的管理體系�。同時���,還啟動了全面的信息系統(tǒng)戰(zhàn)略規(guī)劃�,根據(jù)國際最佳實踐并結(jié)合國航的特色�,制定了未來3~5年信息安全技術(shù)平臺建設的藍圖和路徑。自此����,國航整個信息安全建設有了一個更加科學和更加明細的路線圖。
搭建“安全翹翹板”
整體而言���,國航的信息安全體系主要是以IT基礎架構(gòu)和安全技術(shù)架構(gòu)為基礎,通過信息安全組織與人員對業(yè)務邏輯的準確理解和制度流程的有效執(zhí)行�,實現(xiàn)完整的信息安全管理過程。
應該說���,信息安全體系是一個非常復雜的體系����。業(yè)界有個說法叫“安全翹翹板”,這個翹翹板主要是在IT基礎結(jié)構(gòu)的基礎上����,包括三方面內(nèi)容:一是技術(shù)平臺,二是組織和人員�����,三是制度和流程���,通過這三方面的有效執(zhí)行��,從而構(gòu)成信息安全體系�����。另外���,還要加上安全的管理架構(gòu)和技術(shù)架構(gòu),最后和業(yè)務邏輯結(jié)合起來�����,這樣才能構(gòu)成一個完整的信息安全體系。
目前����,依據(jù)ISO27001標準,國航建立了包含三個一級方針��,三十一個二級規(guī)章的信息安全管理策略體系���。通過信息安全管理策略體系的建立�、北京奧運會期間的整改措施以及1S02700I外審督促���,國航的管理體系評測水平不斷提升�,其中體系評價范圍從運行維護中心到全信息管理部��,IS027001中要求的十一個領(lǐng)域都有大幅提高���。
在技術(shù)平臺建設方面�����,國航針對一些緊迫性問題做了針對性的部署。比如網(wǎng)絡安全架構(gòu)不清晰、來自互聯(lián)網(wǎng)的威脅日益增加�����、防護能力偏弱��、用戶行為控制存在漏洞����、系統(tǒng)服務器安全性不足等問題,國航不但劃分了安全領(lǐng)域�,還部署了防DOS攻擊、入侵檢測���、入侵防御等設備���,另外,在重點用戶單位引入終端安全管理��,利用弱點掃描工具發(fā)現(xiàn)系統(tǒng)漏洞等技術(shù)措施�����,配合各項管理措施�,很好地完成了北京奧運信息安全保障工作���。
在信息安全管理體系建立過程中,國航還特別成立了公司級的信息安全管理委員會��,落實了信息安全管控中心職能����,借鑒國際最佳實踐的功能劃分,采用兩級管控機制�,在對組織機構(gòu)不做大調(diào)整的情況下落實了安全管理責任。
國航ISO27001信息安全管理體系策略文件于2008年底正式�����,并組織了近200人次的信息安全培訓���,采用自評結(jié)合復核為主的審查方式定期對體系文件的貫徹和執(zhí)行情況進行了解��。通過內(nèi)部認證培訓�,培養(yǎng)了專兼職質(zhì)量安全員34人��,以承擔未來各部門的安全內(nèi)審職責���。
納入安全運行標準體系
正如國航副總裁賀利所說�����,通過ISO27001國際認證�����,并不代表國航的信息安全工作已經(jīng)做到位�,而是意味著信息安全工作開始起步�,后面需要完善的工作還有很多。
因此接下來�,國航首先將不斷對現(xiàn)有管理體系的操作細則進行完善,進一步細化信息安全管理域成熟等級評價機制��,在IBM公司提出的四級評價基礎上����,針對國航實際情況再進行細分,持續(xù)強化規(guī)章的定期評審機制���,同時要求所有部分在編寫自身業(yè)務指導書時落實信息安全規(guī)章�����。
另外����,信息管理郝還將和國航相關(guān)部門一起建立基于崗位信息資源的管控機制。以后國航每一個崗位上的工作人員��,可以訪問什么樣的內(nèi)容���,能夠訪問多大的資源�,都和崗位密切結(jié)合起來��,這樣就能使信息安全的控制預先做好相應的防控�。
在技術(shù)平臺方面,國航將依照既定的信息安全建設規(guī)劃�,在未來三年內(nèi),分步在用戶身份與信任憑證管理���、訪問控制����、信息流控制�����、完整性保護�、安全監(jiān)控與審計五大安全服務領(lǐng)域增加功能組件��,建立起符合國航的�����、完整的信息安全技術(shù)平臺����。
篇2
杭州帕拉迪網(wǎng)絡科技有限公司(簡稱帕拉迪)從金融行業(yè)的實際信息安全需求出發(fā)�,充分吸收近年來信息系統(tǒng)安全保障理論模型和技術(shù)架構(gòu)(如IATF等)���,全面參考《信息安全等級保護基本要求》����、《銀行業(yè)銀行機構(gòu)內(nèi)部審計指引》���、《商業(yè)銀行信息科技風險管理指引》等相關(guān)指引及法規(guī)要求���,結(jié)合帕拉迪多年的攻擊防護經(jīng)驗,為金融行業(yè)提供IT運維的統(tǒng)一安全管理與綜合審計解決方案���。該方案主要解決金融機構(gòu)信息中心運維管理面對系統(tǒng)復雜性��、網(wǎng)絡安全性�����、IT內(nèi)控外審等而產(chǎn)生的相關(guān)問題���。這一方案實現(xiàn)了按照行業(yè)標準進行金融機構(gòu)的精確管理���、實時監(jiān)控和警告、事后追溯審計等���,為管理人員的運維和決策提供了有效的技術(shù)手段���。
金融IT內(nèi)部的運維風險
1. IT內(nèi)部對服務器的維護和管理依賴于操作系統(tǒng)的口令認證,口令易被轉(zhuǎn)授���、窺探以及遺忘等弱點����,以及授權(quán)不方便等問題造成管理困難��,成本較高。
2. 第三方廠商技術(shù)支持人員�、項目服務商等在對內(nèi)部核心服務器、網(wǎng)絡基礎設施進行現(xiàn)場調(diào)試或遠程技術(shù)維護時����,無法有效地記錄其操作過程和維護內(nèi)容,核心機密數(shù)據(jù)容易泄露或遭到惡意破壞�。
3. 研發(fā)部門在系統(tǒng)上線運行后,經(jīng)常會通過普通的權(quán)限登錄系統(tǒng)分析軟件查看問題����,從信息安全角度考慮,這些查詢過程必須留有記錄��。
解決方案技術(shù)優(yōu)勢
1. 獨創(chuàng)的數(shù)據(jù)庫運維操作審計平臺����,覆蓋主流商業(yè)數(shù)據(jù)庫的企業(yè)應用和運維操作���。
2. 支持RDP圖形實時文字識別和文字提取功能����。
3. 帶來無縫應用的用戶體驗�����,所有應用均可本地化展示。
4. 提供文件傳輸內(nèi)容審計記錄�����。
5. 契合金融行業(yè)安全的三級會同功能(接入會同�、密碼會同、命令會同)�。
解決方案部署收益
1. 規(guī)范運維管理。建立統(tǒng)一安全管理和綜合審計平臺���,統(tǒng)一入口�、統(tǒng)一認證��、統(tǒng)一授權(quán)����、統(tǒng)一審計;用戶可以在平臺上基于權(quán)限進行訪問控制��,提高了系統(tǒng)安全性�,同時減輕了管理員工作壓力,提高了工作效率��,確保管理制度的順利實施。
篇3
關(guān)鍵詞:信息安全���;網(wǎng)絡安全危脅�;安全防護系統(tǒng)
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)26-6245-03
計算機網(wǎng)絡技術(shù)迅猛發(fā)展�,各發(fā)電企業(yè)信息化網(wǎng)絡日漸普及,成為了企業(yè)科技化管理的重要手段���。通過對數(shù)據(jù)的集中����、共享���、處理使得信息系統(tǒng)為發(fā)電企業(yè)生產(chǎn)經(jīng)營�、安全生產(chǎn)等各方面提供了巨大的科技支撐�����。但同時伴隨出現(xiàn)的病毒蔓延��、不良黑客入侵�����、流氓軟件等多方面問題成為了不得不面對的問題��,同時對發(fā)電企業(yè)的安全生產(chǎn)也形成了巨大的威脅�����,以此進一步加強發(fā)電企業(yè)信息化安全是在信息化建設初期首要考慮的問題����。
1發(fā)電企業(yè)面臨的網(wǎng)絡安全威脅
因為信息網(wǎng)絡的互通性,發(fā)電企業(yè)信息化威脅�,既有可能來自本企業(yè)內(nèi)部,也同時可能來源于外部����。其內(nèi)部威脅主要來自于員工、各信息系統(tǒng)管理員等�����,根據(jù)統(tǒng)計����,網(wǎng)絡安全破壞活動近80%來自于競爭對手、任何惡意的組織和個人�。主要表現(xiàn)的安全威脅為:
1)截獲用戶標識:截獲標識指以非法手段取得合法用戶的身份信息�����,主要是用戶的帳號和密碼�,這是絕大多數(shù)發(fā)電信息系統(tǒng)采用的認證防護措施�。如果侵入者得知了某位合法用戶的帳號和密碼,即便該合法用戶并未被賦予其他的特權(quán)���,也有可能威脅整個系統(tǒng)的安全�。如果帳號�����,特別是密碼���,被以明文的方式由信息網(wǎng)絡傳遞�����,侵入者通過安裝協(xié)議分析軟件對網(wǎng)絡通信進行監(jiān)視,則可以輕松獲取�。如果密碼通過明文格式保存在用戶的計算機的內(nèi)存或者硬盤中,侵入者更能夠有方法發(fā)現(xiàn)并利用這些密碼�����,同時如果密碼很簡單(如手機號碼、用戶生日�����、私家車號牌���、用戶姓名等)���,更加容易被侵入者通過軟件得知,在網(wǎng)絡上大肆傳播的黑客工具都是通過幾種常用習慣的詞典來獲取用戶密碼����。
2)偽裝:當未通過授權(quán)的用戶假扮成具有合法授權(quán)的用戶,登錄發(fā)電信息系統(tǒng)時就形成了偽裝���。當未通過授權(quán)的用戶經(jīng)過偽裝成信息系統(tǒng)管理員或者具有信息管理超級特權(quán)的有關(guān)用戶時����,截獲用戶標識的情況是威脅最大的����。應為侵入者已經(jīng)獲取了某位合法用戶的標識�,或者因為侵入者已經(jīng)使信息系統(tǒng)相信其擁有另外的而實際上并不存在的權(quán)限�����,所以偽裝是很容易出現(xiàn)的�����。網(wǎng)絡地址欺騙實際上就是偽裝的一中形式���,侵入者通過一個合法的IP地址��,然后通過此地址截獲已被授予該合法地址的系統(tǒng)或者是服務器訪問權(quán)限��。
3)非授權(quán)操作:非授權(quán)操作使用信息系統(tǒng)或者資源時�����,信息網(wǎng)絡安全就受到了極大的威脅���。例如,企業(yè)的發(fā)電數(shù)據(jù)和財務數(shù)據(jù)有可能被未經(jīng)授權(quán)的侵入者���,非法修改并利用��。
4)病毒:病毒是伴隨計算機技術(shù)產(chǎn)生��,能夠通過不斷自我復制��,大范圍傳播�,對計算機�、信息系統(tǒng)及其數(shù)據(jù)產(chǎn)生極大破壞的程序。因為病毒具有的隱藏性和可變異性��,使得廣大用戶無法防范��。據(jù)有關(guān)資料調(diào)查�����,99%的企業(yè)或者個人受到過計算機病毒的感染�����,63%的數(shù)據(jù)和系統(tǒng)損壞來源于病毒�����。給受害企業(yè)或個人帶來巨大的時間和人力資源的浪費��,同時重要數(shù)據(jù)文件的丟失和損壞是無法用金錢來衡量的。
5)服務拒絕:通過向發(fā)電企業(yè)信息化系統(tǒng)發(fā)送大量的請求或者垃圾數(shù)據(jù)�,使得服務器的資源被大量占用,直至資源耗盡�,使其達到無法繼續(xù)提供正常服務或者服務器崩潰的目的。在發(fā)電企業(yè)信息化系統(tǒng)中��,這樣的攻擊可能造成重大的安全威脅����。
6)惡意程序代碼:伴隨著可自執(zhí)行的計算機程序與WWW站點的集成,惡意程序代碼通過Microsoft ActiveX控件或Sun Java程序的大量使用形成了極大的安全威脅����。
7)特權(quán)濫用:信息系統(tǒng)的超級管理員故意或者錯誤地通過對某系統(tǒng)的特權(quán)來獲取其不應獲取的敏感數(shù)據(jù)。
8)誤操作:信息系統(tǒng)超級管理員��、業(yè)務系統(tǒng)管理員��、一般用戶等因?qū)夹g(shù)方面熟練度不高��,操作時的失誤����,引起對信息系統(tǒng)安全性、完整性和可靠性的損壞。
9)權(quán)限變更:一般用戶利用信息系統(tǒng)的漏洞提高其用戶等級���,以獲取未經(jīng)授權(quán)的系統(tǒng)權(quán)限���。
10)后門:信息系統(tǒng)研發(fā)人員出于故意或者為了日后維護便利在信息系統(tǒng)中設置的專用通道�,使用其可以不受企業(yè)信息系統(tǒng)安全措施的控制。經(jīng)常被人為利用控制��、破壞正常運行的系統(tǒng)�。
11)系統(tǒng)研發(fā)中的錯誤和調(diào)試不全:其包含對有關(guān)數(shù)據(jù)不進行充分的檢查、對系統(tǒng)的邏輯運行定義不準確�,同時這些錯誤和不完善沒有通過大量的、齊全的系統(tǒng)調(diào)試檢查出來�����,有可能在運行中導致數(shù)據(jù)被錯誤生成且引入信息系統(tǒng)�,破壞了實際數(shù)據(jù)的準確性。
12)特洛伊木馬:它通過提供一些有價值的或者僅僅是有趣的功能���,在用未經(jīng)用戶許可的情況下拷貝文件����、竊取用戶的帳號和密碼、發(fā)送用戶的重要資料或者破壞用戶系統(tǒng)等����。木馬程序是一種常見的危害性較大的威脅,由于其不易被發(fā)現(xiàn)��,在一般情況下�����,它是在二進制代碼中被發(fā)現(xiàn)�,且大多數(shù)后綴名都為無法直接打開的文件,其特點與病毒有許多相似的地方��。
13)社會工程共計:主要是的是攻擊者利用人的心理活動進行攻擊�����,其無需采用高深的科技手段����,同時無需入侵系統(tǒng)來完成。僅需要通過向特定用戶了解帳號和密碼�����,達到其獲取數(shù)據(jù)或者信息系統(tǒng)訪問權(quán)的目的。絕大多數(shù)情況下���、攻擊者的主要目標是企業(yè)的辦公室接待員���、行政或者技術(shù)支撐人員,通過對這些類別的用戶通過電話��、EMAIL或者聊天工具等方式即可完成攻擊���。
2發(fā)電企業(yè)信息化情況(以五大發(fā)電集團某下屬發(fā)電公司為例)
2.1信息化網(wǎng)絡狀況
圖1
2.2信息化系統(tǒng)狀況
1)財務及資產(chǎn)管理(簡稱:FAM)系統(tǒng),是集中部署的核心應用系統(tǒng)��,涵蓋電廠財務核算�、費用報銷、資金計劃�����、物資采購�、庫存管理、物資計劃�����、超市管理、合同管理�����、缺陷管理�、檢修管理、設備維護等功能模塊��。
2)OA辦公自動化系統(tǒng)���。實現(xiàn)下屬企業(yè)以及與集團公司間收發(fā)文交互�����、內(nèi)部收發(fā)文管理�、郵件及通訊目錄功能�����。系統(tǒng)還提供了值班管理����、督察督辦、會議管理���、車輛管理���、辦公用品等行政辦公管理功能���。
3)PI實時信息系統(tǒng):本系統(tǒng)采集、存儲DCS系統(tǒng)����、電能量、環(huán)保系統(tǒng)等實時運行參數(shù)���,除滿足電廠對實施信息的管理需求外�����,還將有關(guān)數(shù)據(jù)實時傳送集成到集團公司實時系統(tǒng)、集團公司生產(chǎn)與營銷實時監(jiān)管系統(tǒng)����。
4)電廠多業(yè)務管理平臺。系統(tǒng)包括運行管理��、計劃管理�����、生產(chǎn)統(tǒng)計、班組管理��、標準制度�����、政工管理���、監(jiān)審管理����、合理化建議等功能,其中統(tǒng)計���、政工、監(jiān)審等模塊實現(xiàn)了與集團公司層面相應管理模塊的系統(tǒng)集成���。
5)安全管理平臺:功能包括安全信息����、安全報表��、安全檢查、工作票���、操作票等管理�����。
6)公司MIS系統(tǒng):本系統(tǒng)不僅作為下屬企業(yè)所有管理信息系統(tǒng)入口門戶��,還提供了項目申報���、生產(chǎn)日報、人力資源�����、融合機制管理��、培訓考試��、安全認證管理��、靈活報表等應用功能�。
7)檔案管理系統(tǒng):本系統(tǒng)由集團公司統(tǒng)一實施�����,各單位檔案系統(tǒng)建設須按照集團公司統(tǒng)一規(guī)劃,以便于OA系統(tǒng)統(tǒng)一接口����、版本升級、技術(shù)培訓等�����。
8)網(wǎng)站系統(tǒng)由各下屬企業(yè)自主建設和運維管理��,界面設計須符合集團公司VI視覺識別系統(tǒng)標準�����,內(nèi)容����、運維管理遵照公司和集團公司有關(guān)規(guī)定和要求,嚴格執(zhí)行安全保密等有關(guān)規(guī)定�。
3發(fā)電企業(yè)網(wǎng)絡安全防護設計方案
發(fā)電企業(yè)信息安全體系機構(gòu)由網(wǎng)絡安全防護、數(shù)據(jù)備份和恢復�����、應用系統(tǒng)安全、信息安全管理等幾部分組成�。
3.1網(wǎng)絡安全防護
3.1.1系統(tǒng)安全域防護
將企業(yè)信息系統(tǒng)通過網(wǎng)絡安全域的形式,分為服務器����、用戶兩個安全域,同時劃分多個二級安全域��,主要為生產(chǎn)信息系統(tǒng)��、財務系統(tǒng)���、系統(tǒng)管理員����、一線生產(chǎn)班組��、普通用戶等�����。
3.1.2網(wǎng)絡的高可靠性
1)企業(yè)核心網(wǎng)絡設備采取雙機互為熱備形式���,兩臺中心交換機設備通過雙鏈路互聯(lián)��;接入層與核心層也通過雙鏈路互聯(lián)�����。
2)重要用戶安全域通過雙鏈路與企業(yè)核心交換連接���,進一步保證其鏈路的可靠性。
3)企業(yè)核心業(yè)務系統(tǒng)服務器也必須通過雙鏈路接入核心層��。
3.1.3防病毒
1)企業(yè)管理信息大區(qū)按照要求統(tǒng)一部署防病毒系統(tǒng)�����,采用國內(nèi)知名品牌網(wǎng)絡版���。安全區(qū)一��、二與三區(qū)各自擁有自己的防病毒服務器����。
2)對管理信息大區(qū)的服務器����、終端用戶����,強制按照規(guī)定部署統(tǒng)一的可網(wǎng)管的防病毒產(chǎn)品��。
3)在互聯(lián)網(wǎng)接口部署防病毒網(wǎng)關(guān)�����,以防其從外部傳播到企業(yè)管理信息大區(qū)����。
4)注重防病毒管理,保證病毒特征碼得到有效的更新�����,通過查看病毒軟件的歷史記錄����,了解病毒威脅情況并積極應對。
3.1.4防火墻
在位于內(nèi)外網(wǎng)接口處部署防火墻一臺���,采用高性能硬件防火墻���,國內(nèi)知名品牌���,具有雙安全操作系統(tǒng)��;可以提供對復雜環(huán)境的接入支持���,包括路由��、透明以及混合接入模式���;具備防火墻、IPSEC VPN,SSL VPN����、防病毒、IPS等安全功能���。
3.1.5入侵檢測系統(tǒng)
在核心層部署一個入侵檢測的探頭��,保證入侵檢測系統(tǒng)能夠及時發(fā)現(xiàn)有關(guān)威脅���。
3.1.6主機安全加固
發(fā)電企業(yè)的關(guān)鍵應用系統(tǒng)(如生產(chǎn)營銷實施監(jiān)管系統(tǒng)�����、財務系統(tǒng))的服務器��,采取定期安全加固的形式��。形式包括:定期檢查安全配置�、安全補丁��、加強服務器系統(tǒng)的訪問控制能力等��。
3.2備份與恢復
對于關(guān)鍵應用系統(tǒng)��,必須采用每天定期備份���,同時人工每月全備份一次�。備份的數(shù)據(jù)必須采用異地存儲的形式�����,且需做到專人定期檢查����,防止遺漏���。
3.3應用系統(tǒng)安全
管理信息大區(qū)中的發(fā)電企業(yè)應用系統(tǒng)應著重確保其安全性能夠得到保證。其主要安全建設內(nèi)容包括:對系統(tǒng)的訪問控制����、用戶帳號密碼及權(quán)限管理�、操作審計管理、數(shù)據(jù)加密管理���、數(shù)據(jù)完整性檢查等�����。
3.4信息安全管理
1)通過成立企業(yè)信息化領(lǐng)導小組��,加強信息工作包括信息安全工作的整體管理�;
2)通過制定信息網(wǎng)絡管理制度及各級安全防護策略��;并通過正式公文下發(fā)�����,嚴格執(zhí)行�。
3)通過設立專業(yè)的信息管理人員和成立涵蓋各業(yè)務部門的兼職信息員�,形成覆蓋全面的信息化安全管理網(wǎng)絡�����。
綜上所述�����,發(fā)電企業(yè)網(wǎng)絡信息安全是一個系統(tǒng)工程�����,不能僅靠殺毒軟件�����、防火墻���、漏洞掃描等硬件設備的防護�,還要意識到計算機網(wǎng)絡系統(tǒng)是一個人機系統(tǒng)�����,在建立以計算機網(wǎng)絡安全硬件產(chǎn)品為基礎的網(wǎng)絡安全系統(tǒng)的同時���,也應樹立各個用戶的網(wǎng)絡信息安全意識才能防微杜漸����,構(gòu)建一個高效、安全的網(wǎng)絡系統(tǒng)�。
綜上所述,發(fā)電企業(yè)信息安全是一個系統(tǒng)工程�,不僅需要入侵檢測系統(tǒng)、防火墻等硬件安全設備����,同時還要注意信息系統(tǒng)是一個廣泛使用的人機互動系統(tǒng)�,必須通過系列的安全管理措施和規(guī)章制度,進一步強化各級用戶的信息安全意識����,做到信息安全人人有責、信息安全從自我做起�����,才能構(gòu)建起一個高效�、安全的企業(yè)信息化網(wǎng)絡。
參考文獻:
篇4
巧合的是�,當天有媒體報道了我國30省份至少有275位艾滋病感染者個人信息遭泄露的事件����。犯罪分子在詐騙電話中能準確地描述出病患的個人信息�,包括真實姓名、身份證號����、聯(lián)系方式、戶籍信息��、確診時間����、隨訪的醫(yī)院或區(qū)縣疾控等等����,并謊稱能為病患辦理補助而需要收取不菲的手續(xù)費。中國疾病預防控制中心相關(guān)負責人于7月17日表示���,國家艾滋病感染者相關(guān)信息系統(tǒng)被列為國家網(wǎng)絡信息重點安全保護對象���,目前已經(jīng)報案,將積極配合公安部門盡快破案。此事還引起了世界衛(wèi)生組織駐華代表處和聯(lián)合國艾滋病聯(lián)合規(guī)劃署駐華代表處的關(guān)注�����。7月18日���,兩家代表處聯(lián)合發(fā)表聲明�,強調(diào)“加強現(xiàn)有系統(tǒng)以杜絕類似信息入侵事件再次發(fā)生���,至關(guān)重要”����。
國家對于健康醫(yī)療大數(shù)據(jù)的安全十分重視�����,據(jù)統(tǒng)計�,《意見》中��,“安全”這個詞出現(xiàn)了33次�。而此次疑似真實發(fā)生的醫(yī)療數(shù)據(jù)安全事件,成為“安全是核心基礎”的最佳注腳����。
他山之石��,可以攻玉
――英國健康醫(yī)療數(shù)據(jù)安全的審查和建議
不止我們����,許多其他國家也發(fā)生了一系列事件���,向全世界宣告了他們對健康醫(yī)療數(shù)據(jù)安全的關(guān)切����。在英國�����,國家醫(yī)療服務體系(National Health Service�����, NHS)于2016年7月6日做出停止care.data健康醫(yī)療大數(shù)據(jù)平臺的決定中���,“安全”即是重要原因之一���。
在很大程度上,NHS決定關(guān)閉care.data����,是基于7月6日的兩份評估報告。第一份報告《安全的數(shù)據(jù)����,安全的醫(yī)療》(“Safe Data, Safe Care”)由英國醫(yī)療質(zhì)量委員會(Care Quality Commission���,CQC)。醫(yī)療質(zhì)量委員會是英格蘭健康和社會醫(yī)療的獨立監(jiān)管機構(gòu)����,其職責是監(jiān)控、檢查和評價醫(yī)療服務��,促進醫(yī)療服務符合標準規(guī)范以保證其質(zhì)量和安全�����。作為獨立第三方����,CQC經(jīng)常地區(qū)、國家級的健康和社會醫(yī)療質(zhì)量報告�����。2015年9月�,受英國衛(wèi)生大臣委托���,CQC對NHS處理病人敏感數(shù)據(jù)過程的安全現(xiàn)狀進行審查��,并提出改進數(shù)據(jù)安全的建議���。
第二份報告《對數(shù)據(jù)安全、同意和選擇退出的審查》(“Review of Data Security�, Consent and Opt-Outs”)是由英國“國家健康和醫(yī)療數(shù)據(jù)守護者”(National Data Guardian for Health and Care, NDG)��。2015年9月��,英國衛(wèi)生大臣也委托其與CQC緊密合作�����,共同提出新的數(shù)據(jù)安全標準��、測評數(shù)據(jù)安全合規(guī)的新方法���,以及獲取同意共享數(shù)據(jù)的新模式�����。在英國��,NDG由衛(wèi)生大臣任命,其主要職責是確保公眾能夠信任醫(yī)療健康系統(tǒng)將保護個人信息��,以及個人信息將被用于提高健康醫(yī)療水平��。
CQC和NDG在對533起數(shù)據(jù)安全事故調(diào)查后發(fā)現(xiàn)�,大多數(shù)事故與紙質(zhì)的醫(yī)療記錄相關(guān)���,且80%到90%的數(shù)據(jù)安全事故是因為工作人員的習慣無意之中引起的����,比如點擊了不安全的鏈接��、丟失了存儲數(shù)據(jù)的介質(zhì)等�����。但是隨著醫(yī)療信息系統(tǒng)的普及�、數(shù)據(jù)的逐步集中化及對公眾開放訪問入口,如果不提升安全防護水平��,更嚴重��、更大規(guī)模數(shù)據(jù)泄露的風險將會增加�����。綜合CQC和NDG的報告�����,英國NHS數(shù)據(jù)安全工作中存在以下問題:
首先��,雖然很多機構(gòu)都建立了數(shù)據(jù)安全方面的策略與規(guī)程��,但并沒有在日常工作中得到有效實施�,很多機構(gòu)只依賴策略和規(guī)程��,而不是通過檢測驗證系統(tǒng)是否足夠安全��,也未要求其供應商也遵循同樣的管理措施。
其次�,NHS的絕大部分工作人員認可數(shù)據(jù)安全的重要性,但是培訓質(zhì)量參差不齊��,有些機構(gòu)培訓覆蓋面不夠��,未涉及合同商��、數(shù)據(jù)共享方�����、臨時員工等�����,有些機構(gòu)未將安全事故經(jīng)驗作為培訓內(nèi)容的重要參考��。
再次���,機構(gòu)往往不清楚如何從目前存在的大量安全標準中選取合適的參考��,許多機構(gòu)很少去學習其他機構(gòu)保護數(shù)據(jù)安全的做法���,也很少請外部第三方機構(gòu)做專業(yè)的安全測評��。
針對上述問題����,CQC和NDG提出的建議簡要概括如下:第一����,每個機構(gòu)的領(lǐng)導應該明確數(shù)據(jù)安全的責任人和其職責���,類似于組織醫(yī)療事務和財務的管理和問責制度����,包括建立有效的內(nèi)審機制��,必要時進行外審以驗證安全措施有效性�,對惡意類數(shù)據(jù)安全事件進行嚴厲處罰等;第二���,所有的工作人員應該獲得足夠的資源�����,包括正確的信息����、工具、培訓等�����,以便于他們履行數(shù)據(jù)安全處理和共享的職責�����;第三��,IT系統(tǒng)和所有的安全協(xié)議都應該按照實際的病人治療過程和一線工作人員的需求進行設計�;第四,應該按照新的數(shù)據(jù)標準要求設計自評估系統(tǒng)���,并選取優(yōu)秀的案例供其他機構(gòu)進行同步學習���;第五,NHS應該修改通用財務合同模板�,確保各機構(gòu)能夠落實數(shù)據(jù)安全標準,地方機構(gòu)和供應商簽署的合同也應有相應的條款����,當供應商無法滿足安全要求時不應與其續(xù)簽合同���。
雖然NHS以及care.data計劃在數(shù)據(jù)安全管理方面受到詬病,但從以上審查結(jié)果中不難看出��,英國作為健康和醫(yī)療大數(shù)據(jù)集中應用的先行者�,已經(jīng)在數(shù)據(jù)安全方面做了很多有價值的工作,比如配套的法律法規(guī)�、標準規(guī)范����,任命了專門的數(shù)據(jù)保護官員,建立了獨立的監(jiān)管和審計機構(gòu)����,建立了數(shù)據(jù)安全風險管理的信息系統(tǒng)等。
但是�,由于健康和醫(yī)療數(shù)據(jù)的高度敏感性,對其進行集中存儲和管理后���,一方面會引起惡意人員的高度關(guān)注�����,另一方面一旦發(fā)生數(shù)據(jù)泄露其影響面非常廣�����,對于每個病人來說其后果很難挽回��;因此�,健康醫(yī)療數(shù)據(jù)的安全工作可謂難上加難,即便英國具備一定的基礎����,其數(shù)據(jù)安全治理也未在一開始取得理想的效果,但從近期頻繁的安全審查中可以看出����,英國政府建立的數(shù)據(jù)安全監(jiān)督機構(gòu)、數(shù)據(jù)保護官等正在發(fā)揮積極作用�����,正視已出現(xiàn)的問題并提出注重實效的解決方案��,以重新贏回公眾的信任�。
善治病者,必醫(yī)其受病之處
――我國健康醫(yī)療數(shù)據(jù)安全形勢嚴峻
早在2013年底��,國家衛(wèi)生和計劃生育委員會就了《關(guān)于加快推進人口健康信息化建設的指導意見》,提出在“十三五”期間將大力推動全國人口健康信息大平臺的建設�����。從安全需求上來說����,這個信息平臺一是將承載全國13億公民的人口、健康�、醫(yī)療等隱私信息,數(shù)據(jù)保密性要求高��;二是將提供公民個人醫(yī)療保障����、診療等信息化服務不能中斷����,業(yè)務連續(xù)性要求高;三是將為國家衛(wèi)生計生行業(yè)未來發(fā)展提供決策依據(jù)�����,信息容錯率要求高�����。然而目前,我國在健康醫(yī)療數(shù)據(jù)安全保障方面情況堪憂���,行業(yè)整體安全態(tài)勢趨于嚴峻�。主要問題包括:
首先��,行業(yè)合并導致底數(shù)不清���。衛(wèi)生�����、計生行業(yè)合并時間并不算太長���,業(yè)務層面的整合已初步實現(xiàn),但數(shù)據(jù)層面的整合尚屬起步階段���,在實際執(zhí)行過程中易滋生死角盲區(qū)���。從網(wǎng)上已公開的醫(yī)療行業(yè)信息安全事件中不難發(fā)現(xiàn),絕大多數(shù)安全事件的第一步突破點來自于安全管控體系的“法外之地”���。
其次�,行業(yè)信息安全人才與經(jīng)費保障缺口較大。據(jù)不完全統(tǒng)計�����,醫(yī)療行業(yè)2015年整體信息化建設資金超過300億�����,但信息安全投入不足6億�����,占比不足2%��,而對于有較高安全保障要求的行業(yè)��,安全占比普遍超過10%�;在人才隊伍方面�,專業(yè)信息安全從業(yè)人員嚴重缺失,許多機構(gòu)甚至出現(xiàn)“身著白大褂的大夫在看病之余兼職管安全”的狀況����。
再次����,缺乏具備行業(yè)特色的信息安全指導框架���。健康醫(yī)療行業(yè)特殊性較高��,目前行業(yè)雖然已推行國家信息安全等級保護要求���,但尚未建設具備行業(yè)業(yè)務特點的信息安全保障體系,也沒有專門的行業(yè)信息安全技術(shù)標準���,不利于有針對性地開展安全防護工作�。
第四���,行業(yè)網(wǎng)絡涉及面廣��,不易管控�����。我國醫(yī)療衛(wèi)生機構(gòu)總數(shù)已超百萬���,以藥品方面為例��,我國有6000多家化學制藥企業(yè)�,藥品經(jīng)營流通企業(yè)17000多家�,而作為世界制藥大國的美國,才分別為200多家和50多家���。超大規(guī)模�、超復雜接入對構(gòu)建安全的衛(wèi)生計生網(wǎng)絡來說�,難度巨大。
另外�����,不易樹立行業(yè)信息安全標桿�����。全國醫(yī)療信息化及軟件生產(chǎn)供應商達數(shù)百家�����。以行業(yè)龍頭東軟集團為例�,其擁有的市場份額不足5%����,離散化的分布導致安全的最佳實踐無法快速復制推廣���,在現(xiàn)有保障能力下也很難做到“避輕就重”“抓大放小”。
篇5
關(guān)鍵詞:XBRL 審計 影響 應對措施
中國XBRL系列國家標準自2011年1月1日起全面實施�����,企業(yè)會計通用分類標準在美國紐約證券交易所上市的我國部分公司����、部分證券期貨資格會計師事務所首先執(zhí)行,自此我國已全面啟動XBRL建設�。XBRL的應用和推廣將會給財務報告供應鏈各個環(huán)節(jié)帶來深刻變革,審計作為其中一環(huán)勢必會受到這一變革的深遠影響�����。
一�、XBRL對審計的影響
XBRL對審計的影響主要體現(xiàn)在以下幾個方面:
1、 審計對象范圍擴大
XBRL環(huán)境下審計人員首先面對的是鑒證對象在存在形式����、結(jié)構(gòu)組成及傳輸形態(tài)上的改變。被審單位財務信息的XBRL文檔可經(jīng)XBRL格式轉(zhuǎn)換器轉(zhuǎn)換得到或由內(nèi)嵌XBRL適配器的會計軟件����、ERP系統(tǒng)直接生成�����。此時審計人員不僅要關(guān)注XBRL財務數(shù)據(jù)本身的公允性�、合法性����,還應審計包括生成XBRL數(shù)據(jù)的整個企業(yè)會計信息系統(tǒng)可靠性,這使得審計對象范圍擴大���。
2�����、 審計風險增加
XBRL環(huán)境下除了傳統(tǒng)審計風險外�����,還包括:一��、XBRL文檔由被審單位企業(yè)財務信息系統(tǒng)生成���,審計范圍已不限于財務數(shù)據(jù),增加了XBRL生成系統(tǒng)的檢查風險��;二�、源自被審單位能否正確運用分類標準,標簽與數(shù)據(jù)的映射是否完整���、準確的重大錯報風險���;三、由于XBRL和企業(yè)財務信息系統(tǒng)置于網(wǎng)絡環(huán)境中��,XBRL實例文檔面臨被非法篡改而導致的安全風險����。
3、 審計技術(shù)改進
隨著XBRL的廣泛應用���,XBRL成為審計的強大助力���。基于XBRL的會計系統(tǒng)審計中����,審計人員可以利用XBRL數(shù)據(jù)接口采集原始數(shù)據(jù)至審計數(shù)據(jù)庫����,變分散數(shù)據(jù)為數(shù)據(jù)聚集�,利用聚類關(guān)聯(lián)、統(tǒng)計分析等數(shù)據(jù)挖掘方法從海量數(shù)據(jù)中發(fā)現(xiàn)隱含的��、潛在的規(guī)律或蛛絲馬跡��。數(shù)據(jù)分析廣泛應用于審計過程中��,而不僅限于實質(zhì)性測試程序����。借助XBRL數(shù)據(jù)庫平臺,審計人員既可以“下鉆”到被審單位財務信息系統(tǒng)的底層數(shù)據(jù)�,也可以便利地查閱他人利用已公布的財務與業(yè)務數(shù)據(jù)編制的分析報告。
借助于網(wǎng)絡,審計取證模式實現(xiàn)了審計資料收集與不同企業(yè)信息系統(tǒng)的平臺無關(guān)性,具有廣闊的適用范圍��。審計人員無需深入了解不同信息系統(tǒng)的具體數(shù)據(jù)結(jié)構(gòu)即可獲得所需審計證據(jù),減少人工干預,從而提高審計效率和正確性���。
4�����、審計報告模式變革
傳統(tǒng)的審計從企業(yè)會計報告完成到審計報告完稿���,往往間隔幾個月���,時效性不強��,且往往發(fā)生期后事項�����,須在審計報告中追加披露�����。XBRL和網(wǎng)絡技術(shù)的應用�,使隨時獲取會計信息成為可能,為實時審計的實現(xiàn)鋪平了道路���。從報告內(nèi)容和結(jié)構(gòu)來看��,現(xiàn)行審計報告對被審單位的預測信息披露較少�,隨著XBRL應用于審計�����,審計人員更容易找出企業(yè)經(jīng)營中的“規(guī)律”,對企業(yè)經(jīng)營預測做出可靠的判斷�����,使事前預測和控制成為可能�,未來預測信息及會計事項在XBRL環(huán)境下成為審計鑒證的重點之一。
5�、對審計人員的全新要求
XBRL對審計人員的素質(zhì)和知識技能提出了全新的要求。XBRL的實施需要的是跨會計���、IT的復合型人才����,審計人員除了要求精通經(jīng)濟����、財會、企業(yè)管理等多方面的知識��,還需要掌握信息系統(tǒng)應用技術(shù)�、數(shù)據(jù)庫應用技術(shù)、互聯(lián)網(wǎng)環(huán)境下的財務報告和鑒證技術(shù)(如XML�、XBRL�、XARL)等�����;雖然大部分審計工作可能通過相關(guān)軟件工具即可完成�����,但擁有復合型知識無疑更有利于對審計工作的展開以及業(yè)務的擴展升級����。
二�����、應對措施
XBRL給審計帶來了新的發(fā)展機遇�,同時也提出了挑戰(zhàn),面對挑戰(zhàn)需要從技術(shù)��、資源����、人員素質(zhì)及理論與法規(guī)等方面加強建設。
1�����、 加強軟件開發(fā)支持
XBRL數(shù)據(jù)轉(zhuǎn)換及生成、XBRL文檔的審核和管理以及自動分析是審計能否應對新變化的關(guān)鍵技術(shù)�����。相關(guān)財務軟件商應大力開發(fā)XBRL嵌入式應用的財務軟件���,增加ERP或會計軟件的XBRL生成能力����,實現(xiàn)開發(fā)��、擴展和管理分類標準���、創(chuàng)建和管理報表����,以及開發(fā)網(wǎng)上電子填報至XBRL數(shù)字報告生成一體化解決方案的XBRL平臺�。進而將研究重點轉(zhuǎn)至數(shù)據(jù)挖掘、專家系統(tǒng)等方向�����,從而整體提高審計的智能化應用和整體水平。
2�、 建立基于XBRL的公共信息平臺
該平臺包括公司財務信息、審計信息�����、稅務信息����、工商信息等,這些信息在統(tǒng)一的數(shù)據(jù)庫或數(shù)據(jù)倉庫中相互援引�,一方面可以實現(xiàn)審計系統(tǒng)與其他監(jiān)督系統(tǒng)的信息交流,實現(xiàn)數(shù)據(jù)共享����,發(fā)揮數(shù)據(jù)發(fā)掘潛力����,提高審計效率,降低審計成本����。另一方面也可以組建戰(zhàn)略合作性的審計網(wǎng)絡,強化審計領(lǐng)域的縱向和橫向數(shù)據(jù)傳輸�����,資源共享。例如普華永道的內(nèi)部數(shù)據(jù)平臺可以實現(xiàn)跨界服務���,對來自全球超過7萬5千家上市公司的信息披露文檔進行評估的時候��,其員工能夠快速地獲取��、創(chuàng)建��、分享和調(diào)整用于分析的模型����、數(shù)據(jù)和可視化選項����。可想該技術(shù)推廣到整個注冊會計師行業(yè)的巨大潛力�����。
3��、 構(gòu)建多層次的信息安全體系
XBRL格式信息其所有內(nèi)容都是以數(shù)字形式流通于互聯(lián)網(wǎng)上,因此要保證交流雙方進行安全數(shù)據(jù)傳輸�����,需要建立安全保障體系����。一是要保障數(shù)據(jù)存儲安全,建立包括如訪問控制����、數(shù)據(jù)庫安全、防火墻等保障措施����。二是要保障信息通訊安全?�?梢詷?gòu)建審計機構(gòu)和被審計單位之間安全的VPN通信網(wǎng)絡���,不但提供及時的安全信息交流而且可以大大節(jié)約通信雙方的費用,還可通過該VPN網(wǎng)絡���,配置相應的軟件�����,實現(xiàn)對被審單位的實時監(jiān)控����。此外,切實做好XBRL數(shù)據(jù)庫的備份��,以應對網(wǎng)絡環(huán)境下內(nèi)外數(shù)據(jù)資源和信息系統(tǒng)安全隱患����。
4、 加強人員的培訓和復合型團隊建設
為應對XBRL審計的挑戰(zhàn)�,一方面加強人員的培訓工作,培養(yǎng)復合型人才�����;另一方面構(gòu)建復合型團隊���,通過經(jīng)濟��、財會��、計算機��、企業(yè)管理等多方面人才的通力配合��、默契協(xié)作�����,應對XBRL審計需求��。
5��、 構(gòu)建信息系統(tǒng)審計概念框架
XBRL為審計信息化建設搭建了一個平臺��,然而信息系統(tǒng)審計目前還沒有形成規(guī)范理論�,應當從實踐出發(fā),研究XBRL環(huán)境下信息系統(tǒng)審計的審計風險�、業(yè)務流程和智能審計的技術(shù)方法。在理論的指導下結(jié)合審計實踐加強計算機審計準則的確立與完善���。例如對xbrl文件和分類標準應用的審計準則����、對生成xbrl信息系統(tǒng)的審計準則等�。應盡快構(gòu)建以理論為基礎����,以準則為指導的計算機審計概念框架����。
三����、結(jié)語
可以預見,XBRL的推廣應用將會提高審計效率���,減輕審計人員工作負荷�,使審計 人員更多地投入對被審單位的深度分析�,提高審計工作的附加價值,提高審計信息化水平��。XBRL的推廣應用為審計智能化�、實時化發(fā)展提供了良好契機,只有抓住機會����,應對挑戰(zhàn),審計才能在新的環(huán)境下提升自身的價值�����,向更高更深遠的方向發(fā)展。
篇6
關(guān)鍵詞: 網(wǎng)絡財務��;安全問題�;對策
中圖分類號:F812.0 文獻標識碼:A 文章編號:1001-828X(2013)02-0-01
一、網(wǎng)絡財務的安全問題
(一)原始數(shù)據(jù)的安全問題
傳統(tǒng)會計中的原始憑證因筆跡各異具有可辨認性�����,因多聯(lián)復寫具有相互牽制性�����,難以非法修改����。而在以電子商務為主要內(nèi)容的網(wǎng)絡會計中,原始憑證的數(shù)據(jù)轉(zhuǎn)變成磁性介質(zhì)�,對電子數(shù)據(jù)的刪除或修改可以不留任何痕跡,給原始數(shù)據(jù)的安全帶來很多隱患�����。
(二)會計信息的真實性問題
一方面���,網(wǎng)絡財務是一個開放的會計系統(tǒng)���,一些企業(yè)內(nèi)部和外部計算機高手出于某種利益,故意破壞系統(tǒng)的安全�,盜取會計資料、篡改會計信息����;財務硬件設施偶然故障;財務人員操作不當都會造成會計信息的失真����、缺乏完整。另一方面�,網(wǎng)絡技術(shù)下,會計信息透明度是非常高的�����。其在互聯(lián)網(wǎng)上傳播速度非?����??�,財務數(shù)據(jù)的收集及大量經(jīng)濟業(yè)務處理也缺乏有效的確實標識���,這將直接影響會計信息數(shù)據(jù)庫系統(tǒng)中派生的會計賬簿和會計報表的真實性和準確性��,從而使網(wǎng)上會計信息的真實性受到質(zhì)疑����。同時,信息使用者和提供者的理解差異都會給企業(yè)會計信息帶來失真的風險��。
(三)企業(yè)內(nèi)部控制問題
在網(wǎng)絡財務軟件中���,會計信息的處理和存儲集中于網(wǎng)絡系統(tǒng)��,大量不同的會計業(yè)務交叉在一起�����,財務信息復雜�,交叉速度加快�,使傳統(tǒng)會計系統(tǒng)中某些職權(quán)分工的控制失效。網(wǎng)絡的應用減少了人工輸入環(huán)節(jié)��,數(shù)據(jù)訪問和數(shù)據(jù)交換都通過應用服務器進行����,網(wǎng)絡數(shù)據(jù)處理的集中性使得傳統(tǒng)的組織控制功能減弱�����。網(wǎng)絡計算機集成化處理促使傳統(tǒng)手工會計中制單����、記賬����、復核等崗位相互制約關(guān)系弱化���。原來靠賬簿核對糾正差錯的控制已不復存在�����,光���、電、磁介質(zhì)所載信息能不留痕跡地被修改和刪除���,從而加大了會計系統(tǒng)安全控制的難度����。
(四)網(wǎng)絡會計人員素質(zhì)問題
網(wǎng)絡財務需要大批既懂會計又懂管理;既熟悉電算化知識��,又熟悉網(wǎng)絡知識�;既會業(yè)務操作,又能解決實際問題的會計人員�。目前相當數(shù)量的會計人員的專業(yè)知識薄弱,尚不能適應網(wǎng)絡會計的發(fā)展要求�����。因此��,會計人員素質(zhì)不高也是網(wǎng)絡會計發(fā)展中面臨的一個問題����。
針對上述問題,我們應從信息安全�、內(nèi)部制度和人才應用等幾方面采取相應的措施。
二����、對網(wǎng)絡財務發(fā)展的對策建議
(一)會計信息系統(tǒng)安全對策
會計信息系統(tǒng)是一種特殊的信息系統(tǒng),它除了一般信息系統(tǒng)的安全特征外�����,還具有自身的一些安全特點。會計信息系統(tǒng)的安全風險是指由于人為的或非人為的因素使會計信息系統(tǒng)保護安全的能力的減弱�����,從而產(chǎn)生系統(tǒng)的信息失真�����、失竊���,使單位的財產(chǎn)遭受損失,系統(tǒng)的硬件���、軟件無法正常運行等結(jié)果發(fā)生的可能性���。保障會計信息系統(tǒng)安全對會計信息安全有著重要的意義。
保障會計信息安全的措施有二個方面:一是采用有效安全技術(shù)�����,網(wǎng)絡財務軟件采用兩層加密技術(shù)��。為防止非法用戶竊取機密信息和非授權(quán)用戶越權(quán)操作數(shù)據(jù),在系統(tǒng)的客戶終端和服務器之間傳輸?shù)乃袛?shù)據(jù)都進行兩層加密�,確保會計信息的傳輸安全。二是制定和實施安全管理措施�。根據(jù)會計電算化要求,建立健全崗位責任制度�、安全日志等相關(guān)制度規(guī)定。
(二)內(nèi)部控制措施
為了保證會計信息的準確性和可靠性��,企業(yè)應在內(nèi)部采取必要的控制措施�����,來維護網(wǎng)絡會計信息系統(tǒng)的安全����。
(1)組織與管理控制。一是要設置網(wǎng)絡管理中心��,由網(wǎng)管中心全盤規(guī)劃��,采取措施確保各工作站���、終端和人員之間適當?shù)穆氊煼蛛x���。二是要優(yōu)化配置人力資源。制定措施,確保人力資源的合理利用�����。三是要發(fā)揮內(nèi)部審計的作用���。通過內(nèi)部審計部門對網(wǎng)絡會計系統(tǒng)信息質(zhì)量進行獨立和公正地監(jiān)督與評價��,有利于系統(tǒng)內(nèi)部自我約束機制的建立����。
(2)系統(tǒng)開發(fā)控制��。系統(tǒng)開發(fā)控制是為保證網(wǎng)絡會計系統(tǒng)開發(fā)過程中各項活動的合法性和有效性而設計的控制措施���,它貫穿于系統(tǒng)規(guī)劃、系統(tǒng)分析��、系統(tǒng)設計���、系統(tǒng)實施和系統(tǒng)運行測試與維護各個階段����。其主要內(nèi)容包括:第一,明確開發(fā)目標�����,制定管理計劃�����,監(jiān)督開發(fā)質(zhì)量���,檢查各功能模塊設置的合理性及程序設計的可靠性�,提高系統(tǒng)的可審性�。第二,利用網(wǎng)絡在線測試功能��,檢驗整個系統(tǒng)的完整性��,并應對系統(tǒng)抗干擾能力和發(fā)生突發(fā)事件的應變能力以及系統(tǒng)遭遇破壞后的恢復能力進行重點測試�。第三,一旦發(fā)現(xiàn)網(wǎng)絡系統(tǒng)各類軟件可能存在的安全漏洞��,應立即進行在線修補與升級���,并將所有與軟件修改有關(guān)的記錄報告及時存儲歸檔��。
(3)網(wǎng)絡系統(tǒng)安全控制���。第一���,硬件設置安全控制。應制定網(wǎng)絡計算機機房和設置的管理制度��、崗位職責和操作規(guī)程�����,嚴格禁止無關(guān)人員接觸系統(tǒng)��,關(guān)鍵的硬件設置可采用雙系統(tǒng)備份�。第二,系統(tǒng)軟件安全控制��。嚴格控制系統(tǒng)軟件的安裝與修改����,對系統(tǒng)軟件進行定期檢查�����,系統(tǒng)被破壞時,要求系統(tǒng)軟件具備緊急響應���、強制備份���、快速恢復的功能。第三����,會計信息安全控制。會計信息安全的基礎是密碼���。如通信線路上的數(shù)據(jù)流加密�,數(shù)據(jù)庫中的數(shù)據(jù)文件加密����,及訪問者的身份認證等。除此之外�����,模式識別的方法也在網(wǎng)絡信息安全方面得到應用����。
(4)應用控制����。應用控制是指在網(wǎng)絡會計系統(tǒng)的數(shù)據(jù)輸入�����、通訊�����、處理和輸出環(huán)節(jié)所采用的控制程度和措施�����。第一����,輸入控制。輸入控制的重點在于建立適當?shù)氖跈?quán)和審批機制�,并對輸入數(shù)據(jù)的準確性進行校驗。第二����,通訊控制。通訊控制的重點在于批量控制����,業(yè)務時序控制、數(shù)據(jù)編碼控制與發(fā)放和接收的標識控制等�����。第三�����,處理控制�。處理控制的重點在于處理過程的現(xiàn)場控制、數(shù)據(jù)有效性檢測和錯誤糾正控制等�。第四,數(shù)據(jù)輸出控制�。輸出控制的重點在于數(shù)據(jù)稽核控制,授權(quán)輸出控制和打印程序控制等�。
(三)建立安全防范機制
安全問題是網(wǎng)絡財務發(fā)展中不可回避的重要問題。在網(wǎng)絡財務中��,處在網(wǎng)絡中的任意一臺計算機都可獲得其他計算機的信息資源����,本企業(yè)的網(wǎng)絡財務系統(tǒng)隨時都可能受到威脅,企業(yè)的財務數(shù)據(jù)等重大商業(yè)機密很容易遭到破壞或泄密�,這將造成不可估量的損失���,因而保證網(wǎng)上財務信息安全可靠成為了關(guān)注的焦點。建立安全防范機制���,保障網(wǎng)絡系統(tǒng)的安全性是我們必須要做的工作�����。
保障網(wǎng)絡系統(tǒng)的安全性:首先����,建立一個安全��、可靠的通信網(wǎng)絡是非常必要的���,這樣可以確保會計信息快速安全傳遞�����;其次����,制定網(wǎng)絡計算機機房和設備的管理制度、崗位職責和操作規(guī)程�����,嚴格禁止無關(guān)人員接觸系統(tǒng)�����,加強網(wǎng)絡財務的硬件系統(tǒng)安全���;第三,加強系統(tǒng)軟件安全控制��。建立定時檢查更新制度���,定期對網(wǎng)絡財務系進行維護 更新���,確保數(shù)據(jù)庫信息的真實完整,把一些陳舊的會計信息保存起來�,及時上傳新的會計信息,以便投資者及時用于投資決策���。 第四���,技術(shù)防范措施���。一些黑客為了獲取企業(yè)重要的、秘密的信息非法對網(wǎng)絡財務系統(tǒng)的入侵����,或者采用病毒對企業(yè)網(wǎng)絡財務信息進行攻擊,使企業(yè)會計信息流失�����。為了防范這種人為的侵襲�����,應采取設置防火墻��、身份認證和授權(quán)管理����、設立密鑰等安全技術(shù),限制外界故意的侵入�,用以隔離開局應用系統(tǒng)與外界訪問區(qū)域之間的聯(lián)系,限制外界穿過訪問區(qū)域?qū)W(wǎng)絡應用系統(tǒng)服務器尤其是對會計數(shù)據(jù)庫系統(tǒng)的非法訪問����;加強原有的基本賬戶和口令的控制��,提供授權(quán)訪問控制和用戶身份識別����。
(四)企業(yè)人才策略
企業(yè)要順應市場的競爭����,首先要引進高層次會計人才�����,其次���,要有計劃�����、有步驟�����、有針對性地組織開展會計人員的培訓工作�����。改善會計人員的知識結(jié)構(gòu)�����,不斷進行知識更新����。提高會計人員的計算機應用水平�����,特別是計算機網(wǎng)絡技術(shù)��,培養(yǎng)熟悉科技與管理知識的復合型會計人才�,以適應國際競爭需要。
篇7
一����、農(nóng)機監(jiān)理電子檔案所包括的主要內(nèi)容
農(nóng)機監(jiān)理電子檔案主要包括全市拖拉機及駕駛員電子檔案、外省籍駕駛證及拖拉機登記電子檔案�。采用的是浙江省農(nóng)機監(jiān)理業(yè)務系統(tǒng)軟件,整個軟件分為牌證受理崗���、牌證管理崗���、考試崗和檔案管理崗四個崗位�。在一崗中主要進行拖拉機注冊登記��、轉(zhuǎn)入登記�、變更登記、轉(zhuǎn)移登記�����、抵押登記�、注銷登記����、拖拉機變更備案、補換牌證���、換發(fā)牌證等牌證受理業(yè)務��。同時還進行拖拉機駕駛證初次受理�����、增駕受理��、轉(zhuǎn)入受理��、其他業(yè)務受理�、管理崗、違法行為記分�����、駕駛證注銷等業(yè)務�����。在二崗中�,主要對一崗中受理的拖拉機及駕駛員檔案業(yè)務進行管理送審,屬于牌證管理崗的范疇����。在三崗中,主要為考試崗��,對于在二崗中拖拉機駕駛員初次受理和增駕受理的人員進行科目一��、二���、三�、四的考試,并給予考試評分��,只有通過科目一����、二、三����、四的拖拉機駕駛員才可在二崗里核發(fā)拖拉機駕駛證。在四崗中���,主要是檔案管理崗�,主要為拖拉機及駕駛員檔案歸案��、檔案查詢�、檔案更正���、檔案增補及對已被注銷的拖拉機及駕駛員檔案的高級查詢��。農(nóng)機監(jiān)理電子檔案的應用���,可以迅速和準確地計算出全市拖拉機及駕駛員在冊的擁有量�、年檢年審的情況��、農(nóng)機事故的統(tǒng)計數(shù)據(jù)和外省籍駕駛證及拖拉機的登記情況��,給農(nóng)機監(jiān)理工作帶來了很多便利�,大大提高了工作效率。
二�����、影響農(nóng)機監(jiān)理電子檔案安生性的不利因素
1.檔案安全保護意識薄弱
檔案安全保護教育不普遍���,檔案安全意識淡薄�����,缺乏安全風險意識����,突出表現(xiàn)在檔案網(wǎng)絡工作“安全第一���、預防為主”的意識不強�。檔案服務及利用人員由于網(wǎng)絡安全防護技術(shù)較低和安全防護意識不高�,造成的無意侵權(quán)或電子檔案光盤存儲的選擇等問題,都給農(nóng)機監(jiān)理電子檔案的安全保管帶來威脅����。
2.計算機軟硬件的設備故障
由于農(nóng)機監(jiān)理的電子檔案一般不能直接利用,它的形成和處理與利用均需借助計算機軟硬件設備的支持才能實現(xiàn)��。而計算機系統(tǒng)是由許多部分組成���,每個部分的薄弱環(huán)節(jié)都極易遭到破壞�����。如:數(shù)據(jù)易被誤輸����;應用軟件易被篡改或盜用����;硬件設備中的芯片和電子線路易被損壞等����。這些故障的發(fā)生都有可能導致農(nóng)機監(jiān)理電子檔案的丟失或破壞���,從而對農(nóng)機監(jiān)理造成不可挽回的損失。
3.電子檔案存儲載體的保護技術(shù)問題
農(nóng)機監(jiān)理電子檔案的載體材料是磁性物質(zhì)和光盤���。聚酯底基是磁盤和磁帶的支持體,它具有易產(chǎn)生靜電而吸引塵埃導致卷曲��、易與磁粉脫離��、伸長后不易恢復等缺點�。粘和劑起著連接底基和磁粉的作用,它具有易熱脹冷縮����、磨損、脫落��、粘連�、生霉等缺點�,直接影響信息再現(xiàn)。并且磁粉中的磁性氧化物顆粒的剩磁感應強度是記錄和再現(xiàn)信息的決定因素�,它極易受外磁場的影響而導致退磁、消磁等。目前光盤常用的介質(zhì)主要有碲����、碲合金、硒���、碳鋁化合物以及一些在激光熱效應作用下易產(chǎn)生物化性質(zhì)變化的材料����,這些材料不穩(wěn)定�,易氧化,易與堿溶液發(fā)生反應��。因此����,電子檔案載體材料的這些特點,決定了農(nóng)機監(jiān)理電子檔案容易受外部環(huán)境的影響����。
4.計算機病毒與黑客的攻擊
計算機病毒已成為當今破壞計算機操作系統(tǒng)的頭號殺手,它是一種特殊的具有破壞力的計算機程序��,具有自我復制能力�,會以各種方式和途徑攻擊計算機系統(tǒng)的應用軟件和數(shù)據(jù)庫以及硬件設備,并可通過非授權(quán)入侵在可執(zhí)行程序或數(shù)據(jù)文件中��,從而造成電子文檔的破壞或系統(tǒng)的癱瘓�。此外�,有些計算機黑客也利用電腦網(wǎng)絡進行犯罪活動�,他們伺機尋找系統(tǒng)和軟件方面的某些缺陷來攻擊,通過破譯口令與密碼而獲取使用權(quán)限���。非法訪問��、刪除或修改某些重要電子文檔�����,使文件所有者和利用者均遭受巨大損失�����。
三��、加強農(nóng)機監(jiān)理電子檔案安全管理的相應對策
1.加強電子檔案安全管理的宣傳教育���,增強責任意識
要大力普及農(nóng)機監(jiān)理電子檔案信息安全知識及網(wǎng)絡竊密知識�,使廣大農(nóng)機監(jiān)理檔案人員了解電子文檔的特性�,防范農(nóng)機監(jiān)理電子文檔無意丟失或泄密,提高對各種攻擊手段的認識和警惕性��,如不隨意下載或安裝不明軟件��,不隨意打開陌生電子文件等����。對農(nóng)機監(jiān)理電子檔案保護意識融入到檔案的價值論中�����,從而營造農(nóng)機監(jiān)理電子檔案安全保護新環(huán)境�。
2.充分采用信息備份技術(shù)
信息備份是信息安全保障最重要的輔助措施,它可以為受損或崩潰的信息系統(tǒng)提供良好�、有效的恢復手段。一旦原文件遭到破壞���,還有相同的備份文件可以取而代之����,為了防止存檔載體物理性能變化或設備故障而丟失信息����,農(nóng)機監(jiān)理電子檔案的備份系統(tǒng)可以從硬件級備份���、軟件級備份、人工級備份三個層次入手��。每年應對備份磁帶或光盤進行抽檢��,并對農(nóng)機監(jiān)理電子檔案的讀取�、處理設備的更新情況進行一次檢查登記����,這種多層次的綜合應用才能達到理想的備份目的,做到萬無一失�����。
3.加強電子文件的載體保護
電子文件載體使用的是磁性����、光學材料等精密型載體,對保存環(huán)境提出了很高的要求���。因此對電子文件載體的保護可以參照《電子文件歸檔與管理規(guī)范》的要求���,改進電子檔案的存放環(huán)境����,保持適應的溫濕度��,采用去濕機�����,去濕劑氯化鈣和硅膠����、空調(diào)調(diào)節(jié)系統(tǒng)等措施調(diào)節(jié)檔案庫內(nèi)溫濕度�����。并將農(nóng)機監(jiān)理電子檔案避光保存��,避免光線尤其是紫外線直接照射光盤�����,最大限度地減少電子檔案曝光時間和曝光強度�。同時�����,農(nóng)機監(jiān)理電子檔案在整理���、保管、利用時應避開電動機�����、發(fā)電機��、變壓器���、電視機、消磁器�、無線電裝置等具體退滋或消磁設備的干擾。
4.多渠道防治計算機病毒和各種攻擊
篇8
由于我國會計審計領(lǐng)域制度的不完善以及會計市場的無序競爭����,越來越多的會計從業(yè)者抵擋不住誘惑,出現(xiàn)了做假賬等行為�,導致誠信問題成為會計行業(yè)的熱點話題。本文立足信息環(huán)境的大背景對當前會計審計誠信問題展開討論���,并提出相應解決方案以期能凈化當前會計審計領(lǐng)域風氣���,為企業(yè)提供一定的參考����。
毋庸置疑�����,誠信問題對會計行業(yè)及會計從業(yè)者來說十分重要����,會計行業(yè)從業(yè)者的職業(yè)操守是會計行業(yè)的立業(yè)之本,也是會計工作進行過程中的基礎�。而當今,諸多誠信問題卻在挑戰(zhàn)會計行業(yè)的底線��。信息時代的到來給會計工作提供了許多便利��,很多企業(yè)逐漸成了一套具有整體性和規(guī)模性的信息化建設體系�����,但這同時也為會計作弊操作帶來了更多的操作空間,使會計誠信問題更加嚴峻��。我們需要時間來完善相關(guān)法律和制度來適應信息時代的到來����。
1 信息環(huán)境下出現(xiàn)會計誠信問題的主要原因
1.1 信息不對稱是當前諸多會計誠信問題出現(xiàn)的前提
會計行業(yè)的信息不對稱是指在信息環(huán)境下,經(jīng)營者掌握著大量的會計信息����,處于有利地位,而其所有者則出現(xiàn)信息不對稱處于弱勢地位��。隨著市場經(jīng)濟的發(fā)展和成熟����,企業(yè)內(nèi)部的所有權(quán)和經(jīng)營權(quán)分離是大勢所趨��,因此在會計審計過程中����,信息不對稱會給做假賬以可趁之機進而導致所有者政策制定的失誤。
1.2 會計制度不完善
市場經(jīng)濟的快速發(fā)展以及互聯(lián)網(wǎng)信息技術(shù)的不斷成熟極大地改變了原有會計運作方式�����,致使很多新的經(jīng)濟事項的不斷涌出�。而我國當前的會計制度和會計體系還相對比較落后���,因此導致其在執(zhí)行過程中較為無力。很多繁雜的規(guī)定不但會影響到現(xiàn)有工作的效率���,很多領(lǐng)域的空白也為很多從業(yè)者提供了鉆空子的機會��。
1.3 缺乏系統(tǒng)����、合理的會計監(jiān)督體系
會計審計工作中的監(jiān)督體系不健全的問題在全國廣泛存在��,現(xiàn)有的監(jiān)督體系和工作監(jiān)督流程缺乏科學行��、完善性和時代性�,這就導致相關(guān)工作人員在進行審計工作時無法可依,無章可循�,對有些違法和舞弊行為無法作為。
1.4 會計審計工作存在信息安全漏洞
計算機和互聯(lián)網(wǎng)技術(shù)的廣泛應用極大地提高了當前會計工作的效率�,但同時產(chǎn)生了大量的信息安全問題。很多企業(yè)和單位在計算機系統(tǒng)上沒有必要的保護措施�����,沒有處于保護狀態(tài)的會計審計數(shù)據(jù)極易受到黑客或木馬的攻擊,侵入者非法操控或篡改數(shù)據(jù)嚴重影響了會計審計信息的安全�。同時一些會計審計人員缺乏防范和安全意識,沒有定期更新安全系統(tǒng)或誤使計算機中毒等操作也會嚴重影響到會計數(shù)據(jù)的安全性���。
1.5 缺乏良好的誠信環(huán)境
沒有一個良好的大環(huán)境�,加之違法成本低����,很多會計從業(yè)者受利益的驅(qū)動出現(xiàn)造假問題。誠然���,從業(yè)者職業(yè)道德不高是產(chǎn)生會計審計造假的一個主要原因�,但更深層次的原因是誠信行為缺乏支持和保證�,政府和行業(yè)沒有起到良好作用。應該看到����,對此類違背誠信現(xiàn)象的縱容就是對守誠信者的打擊�。
2 信息環(huán)境下實現(xiàn)會計審計誠信的解決方案
2.1推行會計委派制度
向企業(yè)委派的會計具有身份獨立性和工作自主性的特點,此舉可有效針對會計審計中的信息不對稱問題���,有效預防傳統(tǒng)審計方式中會計人員迫于周圍壓力而進行的信息造假��,從而在企業(yè)內(nèi)部建立一套會計審計工作新秩序�。
企業(yè)推行會計委派制度能夠有效縮減內(nèi)部監(jiān)督成本,推動內(nèi)部控制制度的執(zhí)行��。在這種制度下�,外部委派的會計人員進行會計審計工作時能夠真實反映實際經(jīng)濟狀況,塑造企業(yè)的誠信形象���。
2.2 營造誠信氛圍
企業(yè)在維持正常開支之外應定時開展對會計審計人員的誠信教育��,確保從業(yè)人員建立誠信意識�、遵守職業(yè)道德�。根據(jù)實際,采用有效手段營造誠信為先企業(yè)經(jīng)濟環(huán)境和管理環(huán)境���,構(gòu)建一個“誠信為榮�����、背信為恥”的企業(yè)文化氛圍�����。除了這些長久之計外��,還要加大對破壞誠信氛圍的打擊力度���,提高會計審計工作的質(zhì)量����。
2.3 營造安全的會計審計信息環(huán)境
安全的信息環(huán)境是確保會計審計工作誠信的一個重要的物質(zhì)層面��,應從以下四個方面入手:一是要推進會計審計工作的信息化����,加大會計審計軟件和系統(tǒng)的開發(fā)和升級,最大程度減少人為篡改信息的可能����。二是做好會計審計人員的教育和培訓,使得會計審計工作得到數(shù)量和質(zhì)量上的提高��。三是要建立起一套完整的會計審計信息系統(tǒng)安全防護體系��,通過身份認證����、權(quán)限設定��、功能限制和加密處理等一系列措施防止企業(yè)內(nèi)部經(jīng)濟數(shù)據(jù)丟失和被篡改。四是要做好會計審計信息系統(tǒng)的防病毒和防黑客工作��,防止信息出現(xiàn)安全問題�����。
2.4 完善和健全會計審計工作監(jiān)督體系
在當前的信息環(huán)境下����,很多人確實意識到會計監(jiān)督的重要性和必要性,但實施和執(zhí)行結(jié)果卻不盡人意�����,因此需要政府和行業(yè)完善和健全相應法律和法規(guī)�����。在法律法規(guī)得到完善之后�����,加大對違規(guī)和違法行為的執(zhí)法力度��,做到有法可依�����,有規(guī)可循。
3 結(jié)語
誠實守信是會計審工作的靈魂�。在市場經(jīng)濟不斷發(fā)展的大環(huán)境下,那些誠實守信的企業(yè)會有更好的前景��。
誠信原則的建立會使簽約成本���、契約成本以及監(jiān)督成本大幅減少�����,建立良好的社會經(jīng)濟體系��,讓每個企業(yè)都在誠信有序的經(jīng)濟環(huán)境中發(fā)展�,有助于實現(xiàn)企業(yè)經(jīng)濟效益的最大化及社會資本的積累����。
