導(dǎo)語：如何才能寫好一篇企業(yè)信息安全要求，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

由于電力企業(yè)以發(fā)電、經(jīng)營電力為主，信息網(wǎng)絡(luò)安全問題并沒有得到足夠重視，管理方面存在重技術(shù)輕管理的問題，未建立完善的信息安全管理制度，面對上級檢查，簡單應(yīng)付，腦子里輕視信息安全，信息安全觀念淡薄，這都會增加企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)。例如，缺少對企業(yè)職工的信息安全教育培訓(xùn)、缺少定期對信息運(yùn)維人員的安全技能的培訓(xùn)等等，都會嚴(yán)重威脅企業(yè)信息網(wǎng)絡(luò)的安全。電力企業(yè)在針對信息系統(tǒng)的應(yīng)用和信息網(wǎng)絡(luò)安全兩個方面時，更加注重的是前者。以此同時，可能部分職工還存在僥幸心理，忽視了網(wǎng)絡(luò)安全問題的重要性。

2電力企業(yè)網(wǎng)絡(luò)信息安全管理的有效策略

2.1注重建設(shè)基礎(chǔ)設(shè)施和管理運(yùn)行環(huán)境

需要嚴(yán)格的管理配電室、信息、通信機(jī)房等關(guān)鍵性的基礎(chǔ)設(shè)施，對防水、防火、防盜裝置進(jìn)行合理配備；對電力二次設(shè)備安全防護(hù)要做到，安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證，生產(chǎn)控制大區(qū)與信息管理大區(qū)要做好物理強(qiáng)隔離；機(jī)房需要安裝監(jiān)控報(bào)警設(shè)備和動環(huán)監(jiān)測系統(tǒng)；對桌面終端和主機(jī)等設(shè)備要做好補(bǔ)丁更新，控制權(quán)限；在網(wǎng)絡(luò)安全設(shè)備上要做好安全策略；做好流量監(jiān)測和行為監(jiān)測；此外，建立設(shè)備運(yùn)行日志，對設(shè)備的運(yùn)行狀況進(jìn)行記錄，并且建立操作規(guī)程，從而保證信息系統(tǒng)運(yùn)行的穩(wěn)定性和安全性。

2.2建立并完善信息安全管理制度

建立健全信息安全管理制度，注重安全管理，確保根據(jù)安全管理制度進(jìn)行操作；做好安全防護(hù)記錄、制定應(yīng)急響應(yīng)預(yù)案、系統(tǒng)操作規(guī)程、用戶應(yīng)用手冊、網(wǎng)絡(luò)安全規(guī)范、管理好口令、落實(shí)安全保密要求、人員分工、管理機(jī)房建設(shè)方案等制度，確保信息系統(tǒng)運(yùn)行的穩(wěn)定性和安全性。由內(nèi)至外，全面的貫徹，實(shí)施動態(tài)性地管理，持續(xù)提高信息安全、優(yōu)化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

2.3注重信息安全反違章督察工作的開展

建立信息安全督察隊(duì)伍，明確職責(zé)，按照信息安全要求，開展定期的督察，發(fā)現(xiàn)問題，限期整改。電力企業(yè)要對企業(yè)信息系統(tǒng)軟硬件設(shè)施、容災(zāi)系統(tǒng)、桌面終端、防護(hù)策略等進(jìn)行定期督查，實(shí)現(xiàn)信息安全設(shè)備加固和更新，培養(yǎng)信息安全督查專家隊(duì)伍，交叉互查、發(fā)現(xiàn)并解決問題，提高信息系統(tǒng)的安全性。

2.4積極探索電力企業(yè)信息安全等級保護(hù)

信息安全等級保護(hù)指的是，對涉及國計(jì)民生的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)按照其重要程度及實(shí)際安全需求，合理投入，分級進(jìn)行保護(hù)，分類指導(dǎo)，分階段實(shí)施，保障信息系統(tǒng)安全。針對電力企業(yè)信息系統(tǒng)，應(yīng)建立相應(yīng)的信息安全等級保護(hù)機(jī)制。技術(shù)上分級落實(shí)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全；管理上要建立對應(yīng)的安全管理制度、設(shè)置安全管理機(jī)構(gòu)、做好人員安全管理、系統(tǒng)建設(shè)、運(yùn)維管理。

2.5明確員工信息安全責(zé)任，實(shí)現(xiàn)企業(yè)信息安全文化建設(shè)

針對企業(yè)的所有員工，關(guān)鍵是明確自己需要擔(dān)負(fù)的安全責(zé)任、熟悉有關(guān)的安全策略，理解一系列的信息安全要求。針對信息運(yùn)維人員，需要對信息安全的管理策略進(jìn)行有效地把握，明確安全評估的策略，準(zhǔn)確使用維護(hù)技術(shù)安全操作；針對管理電力企業(yè)信息網(wǎng)絡(luò)安全的管理人員，關(guān)鍵在于對企業(yè)的信息安全管理制度、信息安全體系的組成、信息安全目標(biāo)的把握和熟悉。以上述作為基礎(chǔ)，實(shí)現(xiàn)企業(yè)信息安全文化的建設(shè)。

2.6提升人員的信息安全意識

針對電力企業(yè)信息安全而言，員工信息安全意識的提高十分關(guān)鍵。企業(yè)需要組織一系列有關(guān)的信息安全知識培訓(xùn)，培養(yǎng)員工應(yīng)用電腦的良好習(xí)慣，比如不允許在企業(yè)的電腦上使用未加密的存儲介質(zhì)，不應(yīng)當(dāng)將無關(guān)軟件或者是游戲軟件安裝在終端上，對桌面終端進(jìn)行強(qiáng)口令設(shè)置，以及啟用安全組策略，備份關(guān)鍵性的文件等，從而使員工的信息安全意識逐步提高。

3結(jié)語

篇2

一、運(yùn)用系統(tǒng)的思想和方法，查找信息安全管理的“短扳”

隨著企業(yè)信息化的快速發(fā)展，信息安全管理工作顯得相對滯后。管理思想和方法落后。過去基本上是參照電網(wǎng)安全管理一些傳統(tǒng)做法，沒有體現(xiàn)信息化特點(diǎn)和要求，越來越不適應(yīng)信息系統(tǒng)的快速發(fā)展和變革；管理不夠全面。以往只考慮硬件、軟件，忽視了人、數(shù)據(jù)和文檔、服務(wù)、無形資產(chǎn)等重要對象，對外來人員也缺乏有效的識別管理；管理制度不夠系統(tǒng)。以前雖然制訂了較多的制度和標(biāo)準(zhǔn)，當(dāng)信息化發(fā)展到一定程度，這些制度就顯得很單薄，就事論事的管理方式必然會產(chǎn)生安全管理的盲區(qū)，有些制度內(nèi)容重復(fù)、交叉、不一致，有些制度不切實(shí)際，往往束之高閣；風(fēng)險(xiǎn)評估不夠科學(xué)。以往的信息風(fēng)險(xiǎn)評估不夠系統(tǒng)，主觀性過強(qiáng)，缺乏綜合平衡，抓不住重點(diǎn)，或過度保護(hù)，或產(chǎn)生管理死角，事后控制多，事前預(yù)控少，不能涵蓋信息系統(tǒng)的生命周期。

上述情形是企業(yè)在信息化建設(shè)中普遍感覺到的問題。隨著科學(xué)技術(shù)的進(jìn)步，企業(yè)信息運(yùn)行管理模式也發(fā)生了巨大的變化，為企業(yè)采用先進(jìn)管理方式、建立信息安全管理體系打下了扎實(shí)的基礎(chǔ)。為此，嘉興電力局根據(jù)國際上信息安全管理的最佳實(shí)踐，結(jié)合供電企業(yè)的實(shí)際，從信息安全風(fēng)險(xiǎn)評估管理入手，貫徹ISO/IEC27001：**信息安全管理標(biāo)準(zhǔn)，建立了信息安全管理體系。通過體系有效運(yùn)作，達(dá)到了供電企業(yè)信息安全管理“預(yù)控、能控、可控、在控”的目的。

二、從資產(chǎn)識別入手，搞好信息安全風(fēng)險(xiǎn)評估

按《信息安全風(fēng)險(xiǎn)評估控制程序》，對所有的資產(chǎn)進(jìn)行了列表識別，并識別了資產(chǎn)的所有者。這些資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對每一項(xiàng)資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值。在風(fēng)險(xiǎn)評估中，共識別資產(chǎn)2810項(xiàng)，其中確定的重要資產(chǎn)總數(shù)為312項(xiàng)，形成了《重要資產(chǎn)清單》。

圖1.《重要信息資產(chǎn)按部門分布圖》

對重要的信息資產(chǎn)，由資產(chǎn)的所有者（歸口管理部門）對其可能遭受的威脅及自身的薄弱點(diǎn)進(jìn)行識別，并對威脅利用薄弱點(diǎn)發(fā)生安全事件的可能性以及潛在影響進(jìn)行了賦值分析，確定風(fēng)險(xiǎn)等級和可接受程度，形成了《重要資產(chǎn)風(fēng)險(xiǎn)評估表》。針對每一項(xiàng)威脅、薄弱點(diǎn)，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定措施失效發(fā)生的可能性，計(jì)算風(fēng)險(xiǎn)等級，判斷風(fēng)險(xiǎn)為可接受的還是需要處理的。根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，形成風(fēng)險(xiǎn)處理計(jì)劃。對于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用適當(dāng)?shù)拇胧?，確定是接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)，還是轉(zhuǎn)移風(fēng)險(xiǎn)。

嘉興電力局經(jīng)過風(fēng)險(xiǎn)評估，確定了不可接受風(fēng)險(xiǎn)84項(xiàng)，其中硬件和設(shè)施52項(xiàng)，軟件和系統(tǒng)0項(xiàng)，文檔和數(shù)據(jù)8項(xiàng)，服務(wù)0項(xiàng)，人力資源24項(xiàng)。

根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，對可接受風(fēng)險(xiǎn)，保持原有的控制措施，同時按ISO/IEC17799：**《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則》和系統(tǒng)應(yīng)用的要求，對控制措施進(jìn)行完善。針對不可接受風(fēng)險(xiǎn)，由各部門制定了相應(yīng)的安全控制措施。制訂控制措施主要考慮了風(fēng)險(xiǎn)評估的結(jié)果、管理與技術(shù)上的可行性、法律法規(guī)的要求，以期達(dá)到風(fēng)險(xiǎn)降低的目的。控制措施的實(shí)施將從避免風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等方面，將風(fēng)險(xiǎn)降低到可接受的水平。

圖2.《各類不可接受風(fēng)險(xiǎn)按系統(tǒng)分布圖》。

三、按照ISO標(biāo)準(zhǔn)要求，建立信息安全管理體系

嘉興電力局在涉及生產(chǎn)、經(jīng)營、服務(wù)和日常管理活動的信息系統(tǒng)，按ISO/IEC27001：**《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》規(guī)定，參照ISO/IEC17799：**《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則》，建立信息安全管理體系，簡稱ISMS。確定信息安全管理體系覆蓋范圍，主要是根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)分布情況，涉及電力生產(chǎn)、營銷、服務(wù)和日常管理的40個重要信息系統(tǒng)。信息安全管理的方針是：“全面、完整、務(wù)實(shí)、有效?！?/p>

為實(shí)現(xiàn)信息安全管理體系方針，嘉興電力局在各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全目標(biāo)和控制措施，明確信息安全的管理職責(zé)；識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；定期進(jìn)行信息安全風(fēng)險(xiǎn)評估，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；對全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識和能力；制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。按照信息安全管理方針的要求，制訂的信息安全管理目標(biāo)是：2級以上信息安全事件為0；不發(fā)生信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密；不發(fā)生導(dǎo)致供電中斷的信息事故；減少有關(guān)的法律風(fēng)險(xiǎn)。

嘉興電力局根據(jù)風(fēng)險(xiǎn)評估的結(jié)果、企業(yè)的系統(tǒng)現(xiàn)狀和管理現(xiàn)狀，按照ISO/IEC27001：**標(biāo)準(zhǔn)要求，整合原有的企業(yè)信息安全管理標(biāo)準(zhǔn)、規(guī)章制度，形成了科學(xué)、嚴(yán)密的信息安全管理體系文件框架，包括信息安全管理手冊；《信息安全風(fēng)險(xiǎn)評估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》等53個程序文件，制定了16個支撐性作業(yè)文件。

四、運(yùn)用過程方法，實(shí)施信息安全管理體系

在信息安全管理過程中，重點(diǎn)是抓好人員安全、風(fēng)險(xiǎn)評估、信息安全事件、保持業(yè)務(wù)持續(xù)性等重要環(huán)節(jié)，采取明確職責(zé)、動態(tài)檢查、嚴(yán)格考核等措施，使信息安全走上常態(tài)管理之路。

圖3：信息安全管理體系實(shí)施過程

重視信息系統(tǒng)安全管理。因?yàn)樾畔⑾到y(tǒng)支撐著企業(yè)的各項(xiàng)業(yè)務(wù)，信息安全管理體系實(shí)施涵蓋信息系統(tǒng)的生命周期，表現(xiàn)在信息系統(tǒng)的軟（硬）件購置、設(shè)備安裝、軟件開發(fā)和系統(tǒng)測試、上線、系統(tǒng)（權(quán)限）變更等方面，嚴(yán)格執(zhí)行體系的相關(guān)控制程序。

強(qiáng)化人員安全管理。在勞動合同、崗位說明書中，明確員工信息安全職責(zé)。特殊崗位的人員規(guī)定特別的安全責(zé)任，對信息關(guān)鍵崗位實(shí)行備案制度。對崗位調(diào)動或離職人員，及時調(diào)整安全職責(zé)和權(quán)限。定期對員工進(jìn)行信息安全教育和技能培訓(xùn)、比武、考試。

篇3

【關(guān)鍵詞】信息化 量化 管理 流程

【中圖分類號】G647【文獻(xiàn)標(biāo)識碼】A【文章編號】1672-5158（2013）02-0349-02

近年來，大部分企業(yè)信息化建設(shè)已初具規(guī)模，信息化基礎(chǔ)建設(shè)基本到位，信息系統(tǒng)滲透到企業(yè)生產(chǎn)經(jīng)營的各個環(huán)節(jié)。在新的形勢下，如何使信息系統(tǒng)更好、更穩(wěn)定、更安全運(yùn)行，提高管理效率，落實(shí)有效益的信息化，是企業(yè)信息化工作的迫切需求。要實(shí)現(xiàn)這一目標(biāo)，必然要管理與服務(wù)相結(jié)合，要求企業(yè)建立以國際行業(yè)標(biāo)準(zhǔn)為依據(jù)的較為完善的IT管控體系，提升IT運(yùn)維服務(wù)水平。

企業(yè)加強(qiáng)IT管控，目的就是建立一個類似“輪流分粥，分者后取”的規(guī)則，明確區(qū)分母公司與各子分公司（含控股）、業(yè)務(wù)部門與IT部門和IT部門內(nèi)部各崗位的責(zé)任、權(quán)力、利益。責(zé)、權(quán)、利分清后，對IT部門的約束力、執(zhí)行力等會有很大的提高，其中IT管控對于組織工作的健康有序開展起到了重要作用。

一、IT管控對于IT工作的重要意義

1.IT管控能保障IT組織的穩(wěn)定

有效的IT管控對IT組織的控制最主要是職責(zé)分離、合理設(shè)崗。要求完善人員管理與控制，能清晰定義IT部門相關(guān)崗位，能明顯一個人能同時給予多少相關(guān)權(quán)限，從而清楚規(guī)劃IT部門必要的崗位人數(shù)，最大程度保障IT組織的穩(wěn)定。

2.IT管控能確保IT工作的有序

IT管控必然要求將建立完善的IT流程體系，制定完備服務(wù)目錄。信息化部門利用服務(wù)臺統(tǒng)一接收各種流程輸入的表單，根據(jù)服務(wù)級別協(xié)議（SLA）和操作級別協(xié)議（OLA），對相關(guān)需求或故障，安排不同的技術(shù)力量，進(jìn)行針對性的解決，從而確保了IT工作的有序。

3.IT管控能促使IT工作強(qiáng)度的均勻

信息化日常運(yùn)維工作量不均衡是因?yàn)橛休^多的突發(fā)事件，如信息基礎(chǔ)設(shè)施故障和信息系統(tǒng)故障等。要使運(yùn)維工作量比較均衡，就要降低突發(fā)事件概率，使忙的時間少下來。IT管控能就是要讓“閑”的時間忙起來，要求IT部門各崗位在日常中加強(qiáng)監(jiān)測，重視巡檢，加固系統(tǒng)，防患于未然；同時加強(qiáng)學(xué)習(xí)和演練，提高處置各種事件的能力。這樣，一旦發(fā)生突發(fā)事件，也可以有條不紊地進(jìn)行處置，實(shí)現(xiàn)信息化日常運(yùn)維工作的“削峰平谷”，強(qiáng)度均勻。

4.IT管控能確保IT風(fēng)險(xiǎn)的可控

IT風(fēng)險(xiǎn)主要包括IT技術(shù)風(fēng)險(xiǎn)和IT項(xiàng)目投資風(fēng)險(xiǎn)。隨著業(yè)務(wù)系統(tǒng)訪問、網(wǎng)絡(luò)應(yīng)用行為日益頻繁，網(wǎng)絡(luò)被攻擊、數(shù)據(jù)被篡改、設(shè)備被入侵和信息被泄密等IT技術(shù)風(fēng)險(xiǎn)的壓力也日益增大。IT管控提供管理程序、技術(shù)和保障措施，確保信息技術(shù)服務(wù)的可用性，能適當(dāng)?shù)胤烙徽?dāng)操作、蓄意攻擊或自然災(zāi)害，并從這些故障中盡快恢復(fù)；確保拒絕未經(jīng)授權(quán)的訪問。IT管控體系要求IT項(xiàng)目投資必須事先經(jīng)業(yè)務(wù)部門和IT部門共同把關(guān)，再報(bào)公司管理委員會決策，這樣能確保IT項(xiàng)目既符合業(yè)務(wù)需求，又符合IT技術(shù)規(guī)范，降低了IT投資的風(fēng)險(xiǎn)。萬物皆有規(guī)律，IT風(fēng)險(xiǎn)防范也是有規(guī)律可以把握，良好的IT管控能很好控制IT風(fēng)險(xiǎn)。

二、IT管控在企業(yè)信息化中的運(yùn)用

從行業(yè)信息化發(fā)展戰(zhàn)略出發(fā)，從企業(yè)自身發(fā)展戰(zhàn)略出發(fā)，作為信息化建設(shè)到一定規(guī)模的企業(yè)，必然要求企業(yè)信息化建設(shè)的重點(diǎn)則從技術(shù)轉(zhuǎn)向管理，要求信息化工作必須精益求精，加強(qiáng)管控，夯實(shí)基礎(chǔ)，強(qiáng)化運(yùn)作。

構(gòu)建完整的IT管控體系是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及到人、硬件、軟件，以及管理層面的IT服務(wù)管理、風(fēng)險(xiǎn)管理和成本管理多個方面。因此，必須從更高的角度，更寬的視野，更新的理念去構(gòu)建有效的IT管控體系。

1.選擇合適的IT管控模型

現(xiàn)今企業(yè)IT管控體系的國際標(biāo)準(zhǔn)，主要有COBIT、ITIL、ISO20000等，選擇構(gòu)建一個既滿足企業(yè)的業(yè)務(wù)需要，又能夠符合國際標(biāo)準(zhǔn)的IT管控體系，是信息化工作的成功保障。就如筆者，結(jié)合企業(yè)實(shí)際、IT部門現(xiàn)有實(shí)際運(yùn)作流程和知識框架，選擇以ITIL主要標(biāo)準(zhǔn)，采取聯(lián)邦制IT決策方式作為筆者企業(yè)的IT管控模型。

（一）IT部門內(nèi)部運(yùn)作的管控

要建立制度化、流程化工作機(jī)制，精益求精，穩(wěn)步推進(jìn)。根據(jù)ITIL/ ITSM（IT服務(wù)管理）的標(biāo)準(zhǔn)，繼續(xù)完善IT服務(wù)目錄，對各子服務(wù)定義不同的SLA（服務(wù)級別協(xié)議），建立服務(wù)臺，統(tǒng)一受理所有的流程輸入，建立IT服務(wù)管理體系，體系應(yīng)包含事件管理、問題管理、變更管理、配置管理、管理和服務(wù)級別管理。根據(jù)IT技術(shù)標(biāo)準(zhǔn)和行業(yè)具體技術(shù)規(guī)范要求，建立先進(jìn)、穩(wěn)定、安全的信息通訊技術(shù)基礎(chǔ)設(shè)施（主要包括機(jī)房和信息化網(wǎng)絡(luò)），并完善巡檢、監(jiān)控等基礎(chǔ)設(shè)施管理機(jī)制。

（二）企業(yè)信息化運(yùn)作的管控

首先是加強(qiáng)對信息化項(xiàng)目的管控，必須堅(jiān)持統(tǒng)一性、系統(tǒng)性、規(guī)范性、安全性原則，必須堅(jiān)持“事先技術(shù)把關(guān)，事中實(shí)施監(jiān)督，事后運(yùn)行維護(hù)”的原則。即項(xiàng)目涉及的IT部門的責(zé)任或義務(wù)的，IT部門必須管控到位。事先對項(xiàng)目立項(xiàng)相關(guān)技術(shù)規(guī)范進(jìn)行把關(guān)，確保項(xiàng)目符合行業(yè)相關(guān)技術(shù)規(guī)范；事中對項(xiàng)目供應(yīng)商（軟件開發(fā)商）安裝實(shí)施等服務(wù)進(jìn)行嚴(yán)格監(jiān)督，確保項(xiàng)目在技術(shù)上能順利開展，保障設(shè)備（系統(tǒng)）能正常上線運(yùn)行；事后必須將設(shè)備或系統(tǒng)運(yùn)維維護(hù)好，確保設(shè)備（系統(tǒng)）安全、穩(wěn)定運(yùn)行。其次是加強(qiáng)對信息化資產(chǎn)的管控。加強(qiáng)對計(jì)算機(jī)設(shè)備調(diào)控，優(yōu)化各終端計(jì)算機(jī)的配置。強(qiáng)化IT部門對軟件資產(chǎn)的歸口管理職能，堅(jiān)決貫徹落實(shí)軟件正版化相關(guān)要求，統(tǒng)一采購正版成品軟件，規(guī)范信息系統(tǒng)的登記、領(lǐng)用、運(yùn)維和報(bào)廢。規(guī)范IT設(shè)備維修保養(yǎng)機(jī)制，延長IT設(shè)備使用壽命。第三是加強(qiáng)對信息系統(tǒng)用戶的管控。建立操作上崗證機(jī)制，加強(qiáng)培訓(xùn)，提升其規(guī)范操作水平，采取檢查監(jiān)督等措施，促使其能正確操作，規(guī)范操作。

（三）信息安全的管控

信息安全管控體系是一項(xiàng)復(fù)雜的系統(tǒng)工程，必須采用系統(tǒng)工程的觀點(diǎn)和方法，分析信息安全問題及具體措施。結(jié)合企業(yè)實(shí)際，就是要嚴(yán)格貫徹相關(guān)信息安全要求，做好信息化安全規(guī)劃，業(yè)系統(tǒng)信息安全規(guī)劃，建立覆蓋日常維護(hù)，變更管理，安全監(jiān)控的信息安全體系，將信息安全審計(jì)作為信息安全保障中的一項(xiàng)重要工作。建立三個長效保障機(jī)制：構(gòu)建信息安全文化氛圍、信息安全獎懲機(jī)制和內(nèi)部信息安全審計(jì)機(jī)制，以確保信息安全管控能夠有效長久運(yùn)行。

2.利用合適先進(jìn)工具軟件強(qiáng)化IT管控

對信息化日常運(yùn)作層的管控，必須利用合適先進(jìn)的工具軟件對信息化工作流程、設(shè)施和信息模型進(jìn)行全面管控。引進(jìn)先進(jìn)的IT運(yùn)維管理系統(tǒng)，建立IT服務(wù)管理監(jiān)控平臺，管理IT服務(wù)所涉及的各個流程，監(jiān)控信息相關(guān)基礎(chǔ)設(shè)施和中間件等。利用現(xiàn)有或?qū)⒁徺I的信息管理軟件，如桌面管理和軟件系統(tǒng)，綜合網(wǎng)管系統(tǒng)，接入管理系統(tǒng)和數(shù)字認(rèn)證（CA）等，建立信息系統(tǒng)綜合管理系統(tǒng)，管理整個信息系統(tǒng)的設(shè)備、軟件等資產(chǎn)，管理桌面、應(yīng)用等功能單元的運(yùn)行，以及管理整個設(shè)備網(wǎng)絡(luò)和網(wǎng)絡(luò)上接入的各種系統(tǒng)的正常運(yùn)行。

追根溯源，建立有效的IT管控體系，最終目的是為了提升IT部門服務(wù)水平，提高用戶的滿意度，發(fā)展有效益的企業(yè)信息化。隨著行業(yè)信息化的發(fā)展和實(shí)踐的深入，新技術(shù)的不斷應(yīng)用，企業(yè)的信息化需求不斷變化，IT部門只有建立基于企業(yè)治理上的IT管控體系，才能適應(yīng)不斷變化發(fā)展的信息化，為企業(yè)企業(yè)發(fā)展提供重要的信息支撐。

參考文獻(xiàn)

[1] [荷蘭]JanvanBon主編，章斌譯：基于ITIL的IT服務(wù)管理基礎(chǔ)篇[M].北京：清華大學(xué)出版社，2009.

[2] [荷蘭]JanvanBon主編，劉向暉譯：IT管理框架[M].北京：清華大學(xué)出版社，2009.

[3] 王仰富，劉繼承：中國企業(yè)的IT治理之道[M].北京：清華大學(xué)出版社，2010.

篇4

為了保障企業(yè)的信息安全，必須建立一個企業(yè)信息安全體系。信息安全體系包含信息安全策略、信息安全組織、信息安全技術(shù)和信息安全建設(shè)與運(yùn)行四部分內(nèi)容（如圖1所示），四者既有機(jī)結(jié)合、又相互支撐。企業(yè)的信息安全體系運(yùn)作就是企業(yè)根據(jù)安全策略，由安全組織（或人員）以安全技術(shù)作為工具和手段進(jìn)行操作，來維持企業(yè)網(wǎng)絡(luò)的安全運(yùn)行，從而使網(wǎng)絡(luò)安全可靠。

安全體系的普遍問題

當(dāng)前大多數(shù)企業(yè)的信息安全體系普遍存在以下四方面的問題：

信息安全策略方面：許多企業(yè)沒有統(tǒng)一的安全運(yùn)行體系；公司的安全策略沒有正式的審批和過程，沒有公司的行政力度進(jìn)行保障，使得安全策略在企業(yè)內(nèi)的執(zhí)行缺乏保障；缺乏規(guī)范的機(jī)制定期對信息安全策略、標(biāo)準(zhǔn)制度進(jìn)行評審和修訂。

信息安全組織方面：缺乏完整、有效、責(zé)權(quán)統(tǒng)一的專門的信息安全組織，只是配有少量的兼職安全人員。信息安全工作沒有明確的責(zé)任歸屬，工作的開展與落實(shí)有困難；缺少信息安全專業(yè)人員，缺乏相應(yīng)的安全知識和技能，安全培訓(xùn)不足；缺乏對于全員的信息安全意識教育，桌面系統(tǒng)用戶的安全意識薄弱。

信息安全技術(shù)方面：用戶認(rèn)證強(qiáng)度不夠；應(yīng)用系統(tǒng)安全功能與強(qiáng)度不足；缺乏有效的信息系統(tǒng)安全監(jiān)控與審計(jì)手段；系統(tǒng)配置存在安全隱患；網(wǎng)絡(luò)安全域劃分不夠清晰，網(wǎng)絡(luò)安全技術(shù)的采用缺乏一致性。

信息安全建設(shè)與運(yùn)行方面：沒有建立起完善的IT項(xiàng)目建設(shè)過程的安全管理機(jī)制，應(yīng)用系統(tǒng)的開發(fā)沒有同步考慮信息安全的要求，存在信息安全方面的缺陷；日常的安全運(yùn)維工作常處于被動防御狀態(tài)；缺乏明確的檢查和處罰機(jī)制，多數(shù)企業(yè)在運(yùn)維管理方面缺乏統(tǒng)一的安全要求和檢查；缺乏應(yīng)急響應(yīng)機(jī)制；對已有安全設(shè)施的維護(hù)、升級和管理不到位。

面對以上種種問題，企業(yè)必須認(rèn)真考慮下列問題: 企業(yè)如何建立信息安全策略體系？企業(yè)信息安全組織如何建立？企業(yè)信息安全技術(shù)是否有效可靠？企業(yè)信息安全建設(shè)與運(yùn)行是否有完整的制度保障？要解決這些問題，企業(yè)應(yīng)充分利用成熟的信息安全理論成果，設(shè)計(jì)出兼顧整體性、具有可操作性，并且融策略、組織、運(yùn)行和技術(shù)為一體的信息安全保障體系，保障企業(yè)信息系統(tǒng)的安全。

信息安全策略體系

信息安全策略體系規(guī)劃為三層架構(gòu)，包括信息安全策略、信息安全標(biāo)準(zhǔn)及規(guī)范、信息安全操作流程和細(xì)則（如圖2所示），涉及的要素包括信息管理和技術(shù)兩個方面，覆蓋信息系統(tǒng)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層四個層面。

技術(shù)安全體系

在IAARC信息系統(tǒng)安全技術(shù)模型中，包含了身份認(rèn)證、內(nèi)容安全、訪問控制、響應(yīng)恢復(fù)和審核跟蹤五個部分，當(dāng)前主要的信息安全技術(shù)或產(chǎn)品都可以歸結(jié)到上述五類安全技術(shù)要素（如圖3所示）。

充分利用信息安全的技術(shù)手段(包括身份認(rèn)證、訪問管理、內(nèi)容安全、審核跟蹤和響應(yīng)恢復(fù)等五種保護(hù)措施)，同時，結(jié)合信息安全所保護(hù)的對象層次，以及目前主流的信息安全產(chǎn)品和信息安全技術(shù)，完善企業(yè)信息安全技術(shù)體系框架。

整個企業(yè)信息安全技術(shù)體系的總體框架如圖4所示：

物理層安全

主要包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等。

網(wǎng)絡(luò)層安全

要建立注重安全域劃分和安全架構(gòu)的設(shè)計(jì)?？梢愿鶕?jù)信任程度、受威脅的級別、需要保護(hù)的級別和安全需求，將網(wǎng)絡(luò)從總體上分成四個安全域，即公共區(qū)、半安全區(qū)、普通安全區(qū)和核心安全區(qū)。針對不同的安全區(qū)域采用不同的安全防范手段。

安全邊界的防護(hù)。邊界是不同網(wǎng)絡(luò)安全區(qū)域之間的分界線，是不同網(wǎng)絡(luò)安全區(qū)域間數(shù)據(jù)流動的必經(jīng)之路。安全區(qū)域的邊界防護(hù)是根據(jù)不同安全區(qū)域的安全需要，采取相應(yīng)的安全技術(shù)防護(hù)手段，制定合理的安全訪問控制策略，控制低安全區(qū)域的數(shù)據(jù)向高安全區(qū)域流動。

針對VPN的接入安全控制。用戶遠(yuǎn)程VPN接入主要用于員工出差時訪問內(nèi)部網(wǎng)絡(luò)的需求和各企業(yè)小規(guī)模分支機(jī)構(gòu)訪問內(nèi)部網(wǎng)的需求。VPN（虛擬專用網(wǎng)）是為通過一個公用網(wǎng)絡(luò)（通常是互聯(lián)網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

網(wǎng)絡(luò)準(zhǔn)入控制。網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是通過對網(wǎng)絡(luò)用戶合法身份的驗(yàn)證以及對網(wǎng)絡(luò)終端計(jì)算機(jī)安全狀態(tài)的檢測和評估，決定是否允許這臺網(wǎng)絡(luò)終端計(jì)算機(jī)接入企業(yè)網(wǎng)絡(luò)中。若不符合制定的準(zhǔn)入策略，將其放入隔離區(qū)以修復(fù)，或僅允許其有限地訪問資源。降低非法用戶隨意接入企業(yè)網(wǎng)和不安全的計(jì)算機(jī)終端接入企業(yè)網(wǎng)對網(wǎng)絡(luò)安全帶來的潛在威脅。

做好網(wǎng)絡(luò)設(shè)備登錄認(rèn)證。建立集中的網(wǎng)絡(luò)設(shè)備登錄認(rèn)證系統(tǒng)，用于對網(wǎng)絡(luò)設(shè)備維護(hù)用戶的集中管理，認(rèn)證用戶的身份，決定其是否可以登錄到網(wǎng)絡(luò)設(shè)備;通過定義不同級別的用戶，授權(quán)他們能執(zhí)行的不同操作，記錄并審計(jì)用戶的登錄和操作。

系統(tǒng)層安全

做好系統(tǒng)主機(jī)的入侵檢測，針對系統(tǒng)主機(jī)的網(wǎng)絡(luò)訪問進(jìn)行監(jiān)測，及時發(fā)現(xiàn)外來入侵和系統(tǒng)級用戶的非法操作行為；要做好系統(tǒng)主機(jī)的訪問控制，系統(tǒng)主機(jī)訪問控制提供給系統(tǒng)安全管理員最有效的方法，從用戶登錄安全、訪問控制安全、系統(tǒng)日志安全等方面加入安全機(jī)制;要做好系統(tǒng)主機(jī)的安全加固，定期對服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進(jìn)行安全配置和加固，在不影響業(yè)務(wù)處理能力的前提下對系統(tǒng)的配置進(jìn)行安全優(yōu)化，以提高系統(tǒng)自身的抗攻擊性，消除安全漏洞，降低安全風(fēng)險(xiǎn)；做好主機(jī)的安全審計(jì)工作，提供全面的安全審計(jì)日志和數(shù)據(jù)，提升主機(jī)審計(jì)保護(hù)能力，對審計(jì)數(shù)據(jù)的訪問進(jìn)行嚴(yán)格控制，加強(qiáng)對審計(jì)數(shù)據(jù)的完整性保護(hù)。

應(yīng)用層安全

隨著各種各樣的系統(tǒng)應(yīng)用不斷深化和普及，一些應(yīng)用系統(tǒng)安全問題不斷凸現(xiàn)出來。為了最大限度及時規(guī)避因應(yīng)用安全問題帶來的威脅，應(yīng)著力抓好六個方面的工作：建立應(yīng)用安全基礎(chǔ)設(shè)施；健全應(yīng)用安全相關(guān)規(guī)范；改進(jìn)應(yīng)用開發(fā)過程；組織關(guān)鍵應(yīng)用安全性測試；加強(qiáng)應(yīng)用安全相關(guān)人員管理；制定應(yīng)用安全文檔及應(yīng)急預(yù)案。

終端層安全

加強(qiáng)終端電腦的安全管理。終端安全指對接入企業(yè)網(wǎng)絡(luò)的終端設(shè)備（主要是臺式計(jì)算機(jī)、筆記本電腦和其他移動設(shè)備等）進(jìn)行的安全管理。內(nèi)容包括終端安全策略、防病毒、防入侵、防火墻、軟硬件資產(chǎn)管理、終端補(bǔ)丁管理、終端配置管理、終端準(zhǔn)入控制以及法規(guī)遵從等內(nèi)容。

備份與恢復(fù)

備份與恢復(fù)是基于安全事件發(fā)生后保證災(zāi)難所造成的損失在一個可以接受的范圍內(nèi)、并使災(zāi)難得到有效恢復(fù)的安全機(jī)制，包括數(shù)據(jù)級、應(yīng)用級和業(yè)務(wù)級三個層次。參照國際標(biāo)準(zhǔn)Share78中定義的容災(zāi)系統(tǒng)層次劃分，對不同等級的信息系統(tǒng)建立不同的備份與恢復(fù)機(jī)制。主要工作包括：開發(fā)容災(zāi)計(jì)劃，通過對不同等級的信息系統(tǒng)容災(zāi)需求分析，確定容災(zāi)等級、RTO\RPO等容災(zāi)指標(biāo)、備份策略、恢復(fù)性測試要求等，設(shè)計(jì)容災(zāi)方案；備份與恢復(fù)基礎(chǔ)設(shè)施的建設(shè)，包括建立異地災(zāi)難恢復(fù)系統(tǒng)和重要數(shù)據(jù)的本地備份設(shè)施。

信息安全組織

信息安全組織的角色與職責(zé)要界定清晰。信息管理層進(jìn)行適當(dāng)?shù)穆氊?zé)劃分，能合理阻止關(guān)鍵流程的破壞。同時應(yīng)加強(qiáng)全員的信息安全意識教育，提高員工整體信息安全意識。建立安全組織與定義安全職責(zé)是密不可分的兩項(xiàng)工作，組織與職責(zé)的清晰定義可以有效地促進(jìn)信息安全各項(xiàng)工作的進(jìn)行，包括信息安全教育與培訓(xùn)以及人員安全。企業(yè)要建立的信息安全組織要包含決策、管理、執(zhí)行與監(jiān)管四個層面。

信息安全教育與培訓(xùn)要覆蓋公司各個層面的人員，提升整個企業(yè)人員安全的水平，同時人員安全的相關(guān)工作在制度和機(jī)制方面為教育與培訓(xùn)提供有效保障。

篇5

【關(guān)鍵詞】 信息系統(tǒng)； 審計(jì)； 審計(jì)目標(biāo)

2007年2月國務(wù)院國有資產(chǎn)監(jiān)督管理委員會和國務(wù)院信息化工作辦聯(lián)合印發(fā)了《關(guān)于加強(qiáng)中央企業(yè)信息化工作的指導(dǎo)意見》，加快了國有企業(yè)信息化建設(shè)的步伐。國有企業(yè)審計(jì)是中國特色社會主義國家審計(jì)的重要組成部分。由于企業(yè)與公共部門在內(nèi)部控制、管理和治理方面的差異，導(dǎo)致了企業(yè)信息系統(tǒng)審計(jì)與公共部門信息系統(tǒng)審計(jì)的不同特點(diǎn)。

一、增強(qiáng)國有企業(yè)信息系統(tǒng)的可信性

審計(jì)機(jī)關(guān)的審計(jì)目標(biāo)取決于法定要求。根據(jù)《中華人民共和國審計(jì)法》的規(guī)定，審計(jì)機(jī)關(guān)對國有企業(yè)財(cái)務(wù)收支的真實(shí)、合法、效益，依法進(jìn)行審計(jì)監(jiān)督。顯然，真實(shí)性是國有企業(yè)審計(jì)的目標(biāo)之一。信息系統(tǒng)審計(jì)是國有企業(yè)審計(jì)的重要組成部分。國有企業(yè)審計(jì)的總體目標(biāo)，決定了國有企業(yè)信息系統(tǒng)審計(jì)的目標(biāo)。國有企業(yè)審計(jì)的真實(shí)性目標(biāo)，必然要求國有企業(yè)信息系統(tǒng)提供真實(shí)性的信息，這意味著，審計(jì)機(jī)關(guān)的國有企業(yè)信息系統(tǒng)審計(jì)必須把真實(shí)性作為審計(jì)目標(biāo)之一。

根據(jù)相關(guān)法律的規(guī)定，注冊會計(jì)師也可以對國有企業(yè)進(jìn)行審計(jì)。根據(jù)我國公司法第165條的規(guī)定，“公司應(yīng)當(dāng)在每一會計(jì)年度終了時編制財(cái)務(wù)會計(jì)報(bào)告，并依法經(jīng)會計(jì)師事務(wù)所審計(jì)?！倍?，2008年10月通過的《中華人民共和國企業(yè)國有資產(chǎn)法》第六十七條明確規(guī)定，“履行出資人職責(zé)的機(jī)構(gòu)根據(jù)需要，可以委托會計(jì)師事務(wù)所對國有獨(dú)資企業(yè)、國有獨(dú)資公司的年度財(cái)務(wù)會計(jì)報(bào)告進(jìn)行審計(jì)，或者通過國有資本控股公司的股東會、股東大會決議，由國有資本控股公司聘請會計(jì)師事務(wù)所對公司的年度財(cái)務(wù)會計(jì)報(bào)告進(jìn)行審計(jì)，維護(hù)出資人權(quán)益。”大家知道，依據(jù)注冊會計(jì)師執(zhí)業(yè)審計(jì)準(zhǔn)則的規(guī)定，會計(jì)師事務(wù)所對企業(yè)財(cái)務(wù)報(bào)表審計(jì)的目的是“提高財(cái)務(wù)報(bào)表預(yù)期使用者對財(cái)務(wù)報(bào)表的信賴程度?！雹龠@說明，注冊會計(jì)師國有企業(yè)審計(jì)的目標(biāo)是要求財(cái)務(wù)報(bào)表提供的信息具有可信性。注冊會計(jì)師所審計(jì)的國有企業(yè)財(cái)務(wù)報(bào)表中的信息是由國有企業(yè)的信息系統(tǒng)產(chǎn)生形成的，因而必須對信息系統(tǒng)進(jìn)行審計(jì)。注冊會計(jì)師對國有企業(yè)財(cái)務(wù)報(bào)表審計(jì)的可信性目標(biāo)，決定了注冊會計(jì)師對國有企業(yè)信息系統(tǒng)審計(jì)的可信性目標(biāo)。

同樣的審計(jì)對象，不同的審計(jì)主體，導(dǎo)致了兩種不同的國有企業(yè)信息系統(tǒng)審計(jì)目標(biāo)。從上述分析不難發(fā)現(xiàn)，無論是審計(jì)機(jī)關(guān)還是注冊會計(jì)師對國有企業(yè)進(jìn)行審計(jì)，其中對企業(yè)信息系統(tǒng)的審計(jì)都是不可或缺的重要組成部分。根據(jù)審計(jì)法的規(guī)定，審計(jì)機(jī)關(guān)對國有企業(yè)信息系統(tǒng)審計(jì)的目標(biāo)是真實(shí)性。而根據(jù)注冊會計(jì)師執(zhí)業(yè)審計(jì)準(zhǔn)則，對國有企業(yè)信息系統(tǒng)審計(jì)的目標(biāo)是可信性。那么，什么是真實(shí)性？什么是可信性？這兩種目標(biāo)之間有什么樣的聯(lián)系和區(qū)別？為什么說審計(jì)機(jī)關(guān)應(yīng)當(dāng)把增強(qiáng)國有企業(yè)信息系統(tǒng)可信性作為審計(jì)目標(biāo)呢？

（一）真實(shí)性與可信性的基本涵義

我國審計(jì)法強(qiáng)調(diào)真實(shí)性，根據(jù)2010年9月頒布的中華人民共和國國家審計(jì)準(zhǔn)則（以下簡稱國家審計(jì)準(zhǔn)則）的規(guī)定，“真實(shí)性是指反映財(cái)政收支、財(cái)務(wù)收支以及有關(guān)經(jīng)濟(jì)活動的信息與實(shí)際情況相符合的程度?！蹦敲?，什么是真實(shí)性呢？真實(shí)性只是對財(cái)政財(cái)務(wù)收支及有關(guān)經(jīng)濟(jì)活動信息質(zhì)量的最低要求。如果會計(jì)信息是真實(shí)的，但是不夠完整或者披露不及時，仍然不能滿足信息使用者的需要，甚至?xí)?dǎo)致錯誤的投資決策。事實(shí)上，就真實(shí)性本身而言，由于會計(jì)估計(jì)、核算方法等因素的影響，會計(jì)信息的真實(shí)性也只是相對的，而不是絕對的。所以，把真實(shí)性作為審計(jì)目標(biāo)，具有一定的局限性。所謂可信性，從國際審計(jì)準(zhǔn)則第200號（ISA200）可以看出，當(dāng)編制的財(cái)務(wù)報(bào)表公允表達(dá)（presented fairly）或真實(shí)公允（true and fair）時，它才是可信性的。從字面上講，公允（fair）或公平的要求，強(qiáng)調(diào)了財(cái)務(wù)報(bào)表各種使用者之間的利益平衡。從理論上講，公允表達(dá)或真實(shí)公允的概念比真實(shí)性概念具有更多的內(nèi)涵，涉及會計(jì)適當(dāng)性、適當(dāng)披露及審計(jì)責(zé)任等概念。在國際審計(jì)準(zhǔn)則第200號（ISA200）中，公允表達(dá)是指財(cái)務(wù)報(bào)表是否在所有重大方面按照適用的財(cái)務(wù)報(bào)告框架編制，“公允”還意味著超出財(cái)務(wù)報(bào)告框架所要求披露范圍的必要性，以及在極端情況下必須偏離財(cái)務(wù)報(bào)告框架的可能性。適用的財(cái)務(wù)報(bào)告框架，主要是指適用的會計(jì)法律法規(guī)、會計(jì)準(zhǔn)則、會計(jì)制度等。大家知道，我國會計(jì)法強(qiáng)調(diào)“保證會計(jì)資料真實(shí)、完整”。根據(jù)會計(jì)法的要求，我國的財(cái)務(wù)報(bào)表不僅要具有真實(shí)性，而且還要具有完整性?？偟膩碚f，可信性并不否認(rèn)真實(shí)性，真實(shí)性是可信性的必要前提之一，但真實(shí)的并不一定是可信的，可信性的內(nèi)涵更加豐富，真實(shí)性是對財(cái)務(wù)信息質(zhì)量的最低要求，可信性反映了對財(cái)務(wù)信息質(zhì)量更高的要求。

（二）可信性目標(biāo)反映了注冊會計(jì)師審計(jì)發(fā)展的新階段

一般認(rèn)為，受社會需求變化、自身技術(shù)手段及審計(jì)風(fēng)險(xiǎn)等因素的影響，注冊會計(jì)師審計(jì)目標(biāo)的發(fā)展演變至今經(jīng)歷了四個階段，即20世紀(jì)30年代之前的查錯糾弊階段、30年代中期至80年代驗(yàn)證會計(jì)報(bào)表真實(shí)公允階段、80年代至90年代中期真實(shí)公允與查錯糾弊并重階段，及90年代后期以來的增強(qiáng)信息可信性階段。雖然同為注冊會計(jì)師審計(jì)的目標(biāo)，然而從歷史發(fā)展演變的角度看，真實(shí)性只是注冊會計(jì)師審計(jì)的早期目標(biāo)，當(dāng)前注冊會計(jì)師審計(jì)準(zhǔn)則中的可信性目標(biāo)反映了注冊會計(jì)師審計(jì)的最新發(fā)展，是更高級發(fā)展階段的目標(biāo)。

（三）可信性目標(biāo)比“真實(shí)公允”具有更加廣泛的適用性

20世紀(jì)90年代后期，傳統(tǒng)的財(cái)務(wù)報(bào)表審計(jì)成為更為廣義的概念――“保證業(yè)務(wù)”（Assurance Service）的一個組成部分。我國注冊會計(jì)師協(xié)會譯為“鑒證業(yè)務(wù)”②。2004年國際會計(jì)師聯(lián)合會了《國際保證業(yè)務(wù)框架》，2005年1月1日生效。2006年我國制定了《中國注冊會計(jì)師鑒證業(yè)務(wù)基本準(zhǔn)則》，2007年1月1日起施行。鑒證業(yè)務(wù)是指注冊會計(jì)師對鑒證對象信息提出結(jié)論，以增強(qiáng)除責(zé)任方之外的預(yù)期使用者對鑒證對象信息信任程度的業(yè)務(wù)。鑒證對象與鑒證對象信息具有多種形式，主要包括：當(dāng)鑒證對象為財(cái)務(wù)業(yè)績或狀況時（如歷史或預(yù)測的財(cái)務(wù)狀況、經(jīng)營成果和現(xiàn)金流量），鑒證對象信息是財(cái)務(wù)報(bào)表；當(dāng)鑒證對象為非財(cái)務(wù)業(yè)績或狀況時（如企業(yè)的運(yùn)營情況），鑒證對象信息可能是反映效率或效果的關(guān)鍵指標(biāo)；當(dāng)鑒證對象為物理特征時（如設(shè)備的生產(chǎn)能力），鑒證對象信息可能是有關(guān)鑒證對象物理特征的說明文件；當(dāng)鑒證對象為某種系統(tǒng)和過程時（如企業(yè)的內(nèi)部控制或信息技術(shù)系統(tǒng)），鑒證對象信息可能是關(guān)于其有效性的認(rèn)定；當(dāng)鑒證對象為一種行為時（如遵守法律法規(guī)的情況），鑒證對象信息可能是對法律法規(guī)遵守情況或執(zhí)行效果的聲明。不難看出，傳統(tǒng)的財(cái)務(wù)報(bào)表審計(jì)只是鑒證業(yè)務(wù)中的一種。鑒證標(biāo)準(zhǔn)隨著鑒證對象的不同，也從財(cái)務(wù)報(bào)表審計(jì)中按照適用的財(cái)務(wù)報(bào)表編制框架，如編制財(cái)務(wù)報(bào)表所使用的會計(jì)準(zhǔn)則和相關(guān)會計(jì)制度，擴(kuò)展到單位內(nèi)部制定的行為準(zhǔn)則、績效水平等方面。從其定義看，鑒證業(yè)務(wù)的目的在于增強(qiáng)除責(zé)任方之外的預(yù)期使用者對鑒證對象信息的信任程度。真實(shí)公允目標(biāo)是針對財(cái)務(wù)報(bào)表審計(jì)的審計(jì)目標(biāo)，可信性目標(biāo)在概念外延上具有更加廣泛的適用性?？尚判阅繕?biāo)不僅適用于對財(cái)務(wù)信息的可信性，而且還適用于非財(cái)務(wù)信息（績效信息）的可信性。對財(cái)務(wù)報(bào)表來說，如果它是真實(shí)公允的，即在所有重大方面是按照適用的財(cái)務(wù)報(bào)表框架編制的，它就是可信性；對于其他鑒證信息來說，如果它是符合適用的鑒證標(biāo)準(zhǔn)，就是可信性的。企業(yè)內(nèi)部的信息系統(tǒng)，現(xiàn)在已不僅僅是財(cái)務(wù)信息系統(tǒng)，還包括各種業(yè)務(wù)和管理信息系統(tǒng)。與此同時，為滿足企業(yè)的業(yè)務(wù)需求，信息系統(tǒng)所提供的信息也不局限于財(cái)務(wù)信息，而且還包括許多非財(cái)務(wù)信息。所以，在國有企業(yè)信息系統(tǒng)審計(jì)中，把可信性作為國有企業(yè)信息系統(tǒng)審計(jì)的目標(biāo)比真實(shí)性目標(biāo)更加符合企業(yè)信息化發(fā)展的客觀要求。

（四）可信性目標(biāo)反映了審計(jì)理論的深化和發(fā)展

可信性不是一個孤立的術(shù)語，它是新審計(jì)理論（或一組新的相互聯(lián)系的審計(jì)概念）中的一個關(guān)鍵性概念。隨著注冊會計(jì)師的業(yè)務(wù)從傳統(tǒng)的財(cái)務(wù)報(bào)表審計(jì)發(fā)展到鑒證業(yè)務(wù)，傳統(tǒng)的審計(jì)理論也得到了深化和發(fā)展。大家知道，審計(jì)三方關(guān)系是指審計(jì)人、被審計(jì)人、審計(jì)授權(quán)或委托人之間的關(guān)系。傳統(tǒng)的受托責(zé)任論，即審計(jì)動因論，是建立在傳統(tǒng)的審計(jì)三方關(guān)系之上的。然而，在我國現(xiàn)行的《注冊會計(jì)師鑒證業(yè)務(wù)基本準(zhǔn)則》中給出了一種新的審計(jì)三方關(guān)系，即注冊會計(jì)師、責(zé)任方和預(yù)期使用者。在新的審計(jì)三方關(guān)系中，被審計(jì)人與審計(jì)授權(quán)或委托人之間責(zé)任關(guān)系的含義更加豐富，除傳統(tǒng)的受托責(zé)任關(guān)系外還有其他種類不帶委托性質(zhì)的責(zé)任關(guān)系③。在新的審計(jì)三方關(guān)系中，預(yù)期使用者應(yīng)包括企業(yè)所有的利益相關(guān)者，除了傳統(tǒng)受托責(zé)任關(guān)系中的股東外，還應(yīng)包括經(jīng)營者、員工、顧客、供應(yīng)商、債權(quán)人、潛在的投資者、監(jiān)管層、競爭者等。聘請注冊會計(jì)師的通常是預(yù)期使用者或其代表，但也可能是責(zé)任方。責(zé)任方、預(yù)期使用者和注冊會計(jì)師三方之間的關(guān)系，可以看作是信息提供者、信息使用者和信息可信性的保證者之間的關(guān)系④。增強(qiáng)信息的可信性，實(shí)際上是減少了信息提供者與預(yù)期使用者之間的信息不對稱，鑒于預(yù)期使用者的廣泛性，在市場經(jīng)濟(jì)條件下，將有利于完善市場機(jī)制，提高市場資源配置效率，從而拓展了審計(jì)的社會功能?？尚判圆皇且粋€空洞的概念，鑒證對象信息是否具有可信性，需要執(zhí)行一定的業(yè)務(wù)程序。審計(jì)師在收集證據(jù)的基礎(chǔ)上，依據(jù)一定的標(biāo)準(zhǔn)，檢查責(zé)任方的鑒證對象信息在所有重大方面是否符合適當(dāng)?shù)臉?biāo)準(zhǔn)后，才能為鑒證對象信息的可信性提供一定程度的保證，從而提供給預(yù)期使用者。鑒證業(yè)務(wù)的保證程度被細(xì)分為合理保證和有限保證，鑒證對象信息被劃分為財(cái)務(wù)信息和非財(cái)務(wù)信息，其中財(cái)務(wù)信息被進(jìn)一步細(xì)分為歷史財(cái)務(wù)信息和預(yù)測性財(cái)務(wù)信息?？尚判愿拍钍沁@些新審計(jì)理論中的關(guān)鍵性概念之一，相比之下，真實(shí)性概念在新的審計(jì)理論中卻沒有相應(yīng)的理論地位。

（五）可信性目標(biāo)反映了國家審計(jì)的發(fā)展趨勢

在世界審計(jì)組織（INTOSAI）的道德準(zhǔn)則（Code of Ethics）中，強(qiáng)調(diào)了信賴（trust）、信任（confidence）、信譽(yù)（credibility）對于審計(jì)機(jī)關(guān)的至關(guān)重要性。在南非審計(jì)署1911至2011年百年紀(jì)念的紀(jì)念品和網(wǎng)站首頁上有一句格言：“Auditing to build public confidence”，即“審計(jì)旨在建立公共信任”。我國審計(jì)署2011年7月15日印發(fā)的《審計(jì)署關(guān)于深化經(jīng)濟(jì)責(zé)任審計(jì)工作的指導(dǎo)意見》中提出，要確保經(jīng)濟(jì)責(zé)任審計(jì)結(jié)果的可信、可靠和可用。劉家義審計(jì)長提出，國家審計(jì)是國家治理的一個組成部分?？鬃釉唬骸白闶?，足兵，民信之矣”，“民無信不立”，說明了信任、守信在國家治理中的重要性。我們知道，“誠信友愛”是構(gòu)建社會主義和諧社會的基本要求之一。國家審計(jì)可以增強(qiáng)政府的公信力，增強(qiáng)整個社會的誠信。從國家治理的角度看，可信性目標(biāo)比真實(shí)性目標(biāo)更好地體現(xiàn)了國家審計(jì)在國家治理中的作用。

經(jīng)過上述真實(shí)性和可信性兩種審計(jì)目標(biāo)含義的對比，不難發(fā)現(xiàn)，雖然真實(shí)性目標(biāo)是國有企業(yè)審計(jì)的傳統(tǒng)目標(biāo)之一，但是可信性比真實(shí)性的涵義更為豐富，可信性目標(biāo)中不但包含了真實(shí)性目標(biāo)，而且可信性目標(biāo)要求信息系統(tǒng)提供更高質(zhì)量的信息。兩種目標(biāo)都對信息系統(tǒng)提供的信息質(zhì)量提出了要求，國家審計(jì)對信息質(zhì)量的要求不應(yīng)低于注冊會計(jì)師審計(jì)。因此，筆者認(rèn)為，盡管現(xiàn)行的審計(jì)法規(guī)定了國有企業(yè)信息系統(tǒng)審計(jì)的真實(shí)性目標(biāo)，但是，從理論上講以及從未來發(fā)展趨勢看，審計(jì)機(jī)關(guān)應(yīng)當(dāng)選擇可信性作為國有企業(yè)信息系統(tǒng)審計(jì)的目標(biāo)，即國有企業(yè)信息系統(tǒng)審計(jì)應(yīng)當(dāng)促進(jìn)企業(yè)信息系統(tǒng)提供可信的信息。

二、促進(jìn)國有企業(yè)信息系統(tǒng)的遵循性

最高審計(jì)機(jī)關(guān)國際組織（INTOSAI）在審計(jì)基本原則（ISSAI-100）中，把政府審計(jì)業(yè)務(wù)分為兩大類，即合規(guī)審計(jì)（regularity audit）和績效審計(jì)（performance audit），并制定了相應(yīng)的審計(jì)執(zhí)行指南，即財(cái)務(wù)審計(jì)執(zhí)行指南（Implementation Guidelines on Financial Audit）、遵循審計(jì)執(zhí)行指南（implementation guidelines on compliance audit）和績效審計(jì)執(zhí)行指南（Implementation Guidelines on Performance Audit）。在這個準(zhǔn)則指南框架中，合規(guī)性審計(jì)包括了財(cái)務(wù)審計(jì)和遵循性審計(jì)。遵循性審計(jì)是指對公共部門實(shí)體的活動是否與相關(guān)法律法規(guī)及授權(quán)要求相一致的審計(jì)。在《國際審計(jì)準(zhǔn)則第250號――財(cái)務(wù)報(bào)表審計(jì)中對法律法規(guī)的考慮》（ISA250）中，非遵循（non-compliance），是指被審計(jì)單位不履行法律法規(guī)責(zé)任或者違反法律法規(guī)的犯罪，故意地或者非故意地，與執(zhí)行的法律或法規(guī)對立的行為。在COSO內(nèi)部控制框架中，遵循性（compliance）作為內(nèi)部控制的目標(biāo)之一，是指符合適用的法律法規(guī)。由此看來，在上述準(zhǔn)則指南中，遵循性，就是我國國家審計(jì)中的合法性。但是，在本文中，作為國有企業(yè)信息系統(tǒng)審計(jì)的目標(biāo)之一，遵循性與合法性不同。

為滿足業(yè)務(wù)需求，對信息系統(tǒng)提供的信息有一般性的要求，在IT治理框架COBIT4.1中，這些要求也被稱之為信息標(biāo)準(zhǔn)（information criteria）。遵循性（compliance）作為其中的標(biāo)準(zhǔn)之一，是指“涉及業(yè)務(wù)流程與所需遵守的法律、法規(guī)及合同約定之間的符合程度的屬性，即外部的強(qiáng)制要求和內(nèi)部政策的遵循性?！雹菰诒疚闹?，遵循性作為國有企業(yè)信息系統(tǒng)審計(jì)的目標(biāo)之一，采用COBIT4.1中遵循性的概念，即國有企業(yè)信息系統(tǒng)的設(shè)計(jì)、建設(shè)、運(yùn)行和監(jiān)控不僅要符合來自企業(yè)外部的強(qiáng)制性要求（合法性），而且還應(yīng)符合國有企業(yè)內(nèi)部制定的各種規(guī)定的要求。

我國審計(jì)機(jī)關(guān)對國有企業(yè)的財(cái)務(wù)收支的真實(shí)、合法和效益，依法進(jìn)行審計(jì)監(jiān)督。合法性是國有企業(yè)審計(jì)的審計(jì)目標(biāo)之一。作為國有企業(yè)審計(jì)的重要內(nèi)容，信息系統(tǒng)審計(jì)應(yīng)當(dāng)促進(jìn)國有企業(yè)信息系統(tǒng)的合法性。那么，為什么我們要把國有企業(yè)內(nèi)部制定的各種規(guī)定同時也納入國有企業(yè)信息系統(tǒng)審計(jì)的目標(biāo)呢？企業(yè)內(nèi)部如何制定關(guān)于其信息系統(tǒng)的規(guī)定是企業(yè)自己的事情，似乎審計(jì)機(jī)關(guān)不應(yīng)干預(yù)，但是，效益性也是國有企業(yè)審計(jì)的審計(jì)目標(biāo)之一。當(dāng)信息系統(tǒng)不符合國有企業(yè)某些內(nèi)部規(guī)定的要求時就會影響到企業(yè)效益，這些內(nèi)部規(guī)定，如內(nèi)部控制、管理和治理等，也應(yīng)納入國有企業(yè)信息系統(tǒng)審計(jì)的遵循性目標(biāo)范圍。

三、改善國有企業(yè)信息系統(tǒng)的績效性

績效性目標(biāo)是企業(yè)信息化不斷發(fā)展的產(chǎn)物。我國企業(yè)信息化建設(shè)已經(jīng)發(fā)展到了關(guān)注績效性的階段?？冃阅繕?biāo)也是IT管理和IT治理的重要內(nèi)容。IT管理和IT治理的國際標(biāo)準(zhǔn)或良好實(shí)務(wù)，為開展信息系統(tǒng)績效審計(jì)提供了審計(jì)標(biāo)準(zhǔn)。

（一）企業(yè)信息系統(tǒng)績效性的概念

當(dāng)企業(yè)信息化發(fā)展水平達(dá)到一定程度后，信息系統(tǒng)的績效問題逐漸引起了人們的關(guān)注。在企業(yè)信息化的早期階段，信息系統(tǒng)主要應(yīng)用于企業(yè)的財(cái)務(wù)會計(jì)領(lǐng)域，這時人們對信息系統(tǒng)關(guān)注的焦點(diǎn)主要是信息系統(tǒng)的可信性和遵循性問題，相應(yīng)的措施主要集中在內(nèi)部控制方面，強(qiáng)調(diào)信息系統(tǒng)的一般控制和應(yīng)用控制。隨著企業(yè)信息化水平的不斷提高，信息系統(tǒng)在企業(yè)中的應(yīng)用范圍逐漸從財(cái)務(wù)會計(jì)領(lǐng)域擴(kuò)展到整個業(yè)務(wù)領(lǐng)域和管理領(lǐng)域，與此同時，信息系統(tǒng)的建設(shè)投入和運(yùn)行成本顯著提高。這時人們發(fā)現(xiàn)，大量的信息化投入并不一定能夠帶來預(yù)期的收益，而且還帶來巨大的潛在風(fēng)險(xiǎn)，個別企業(yè)甚至因高投入造成利潤下降或財(cái)務(wù)危機(jī)，有的企業(yè)因業(yè)務(wù)流程改造滯后，還會導(dǎo)致管理混亂。在這種情況下，人們對信息系統(tǒng)關(guān)注的焦點(diǎn)，逐漸從“投入”轉(zhuǎn)向“產(chǎn)出”，從技術(shù)和內(nèi)部控制問題轉(zhuǎn)向管理和治理問題，在企業(yè)內(nèi)部出現(xiàn)了專門的IT管理部門，IT管理和IT治理逐漸從企業(yè)的一般管理和治理中獨(dú)立出來，而“績效”是描述信息系統(tǒng)投入產(chǎn)出、管理和治理的核心概念。

信息系統(tǒng)的績效性是指利用IT資源提供企業(yè)信息服務(wù)的經(jīng)濟(jì)性、效率性和效果性。為它的利益相關(guān)者提供價值是企業(yè)存在的基本前提。企業(yè)信息系統(tǒng)的目的在于利用IT資源，通過IT流程，提供企業(yè)信息服務(wù)，以滿足業(yè)務(wù)需求。信息系統(tǒng)要實(shí)現(xiàn)的績效目標(biāo)必須與企業(yè)的業(yè)務(wù)需求或業(yè)務(wù)目標(biāo)相一致。

（二）績效性目標(biāo)的可行性

從我國企業(yè)信息化發(fā)展階段看，目前信息系統(tǒng)的績效問題已經(jīng)成為關(guān)注的焦點(diǎn)。2011年2月，工信部電子一所和用友軟件股份有限公司聯(lián)合了《2010年中國企業(yè)信息化指數(shù)調(diào)研報(bào)告》。該報(bào)告將中國企業(yè)的信息技術(shù)應(yīng)用分為四個階段，分別為基礎(chǔ)應(yīng)用階段、關(guān)鍵應(yīng)用階段、擴(kuò)展整合及優(yōu)化升級應(yīng)用階段以及戰(zhàn)略應(yīng)用階段，如圖1所示。

該報(bào)告認(rèn)為，目前我國企業(yè)信息化總體上處于由基礎(chǔ)應(yīng)用和關(guān)鍵應(yīng)用向擴(kuò)展整合與優(yōu)化升級過渡階段。報(bào)告的主要結(jié)論之一是，2010年“信息技術(shù)應(yīng)用范圍的變化主要體現(xiàn)在應(yīng)用廣度和深度兩方面，企業(yè)基本完成了信息技術(shù)在各業(yè)務(wù)領(lǐng)域的應(yīng)用覆蓋，已逐漸開始深度關(guān)注企業(yè)業(yè)務(wù)發(fā)展需求，著力提升信息技術(shù)的應(yīng)用價值?！碧岣咝畔⑾到y(tǒng)的績效，也已經(jīng)成為我國企業(yè)信息化深度發(fā)展的方向。把績效性作為國有企業(yè)信息系統(tǒng)審計(jì)的目標(biāo)，符合我國企業(yè)信息化發(fā)展的現(xiàn)狀，在現(xiàn)實(shí)中具有可行性。

（三）績效性是IT管理和IT治理的重要內(nèi)容

IT管理目的在于如何降低成本，以更好的彈性及更快的響應(yīng)速度，向組織內(nèi)外部顧客提供高質(zhì)量的IT服務(wù)，提供顧客的滿意度。IT管理的目標(biāo)就是要追求信息系統(tǒng)的績效性，即經(jīng)濟(jì)性、效率性和效果性。

信息系統(tǒng)的績效性也是IT治理追求的目標(biāo)之一。在IT治理國際標(biāo)準(zhǔn)ISO/IEC38500（組織的信息技術(shù)治理）中規(guī)定了“績效”原則，即IT應(yīng)適合于支持組織的目的并提供服務(wù)，服務(wù)等級和服務(wù)質(zhì)量應(yīng)滿足當(dāng)前和將來的業(yè)務(wù)要求。IT治理框架COBIT4.1有四個基本特征：以業(yè)務(wù)為中心、以流程為導(dǎo)向、以控制為基礎(chǔ)、以績效測評為驅(qū)動。在該框架中，績效測評是IT治理的關(guān)鍵，并且指出，“多項(xiàng)調(diào)研已經(jīng)表明，IT成本、價值和風(fēng)險(xiǎn)管理缺乏透明是驅(qū)動IT治理最重要的一個因素。相對于其他關(guān)注的領(lǐng)域，提高透明度主要通過績效測評來實(shí)現(xiàn)?！雹?/p>

（四）績效審計(jì)的參照標(biāo)準(zhǔn)

IT管理和IT治理從企業(yè)管理和治理中獨(dú)立出來，為開展單獨(dú)立項(xiàng)的信息系統(tǒng)績效審計(jì)創(chuàng)造了條件。就像企業(yè)審計(jì)要關(guān)注被審計(jì)單位的管理和治理那樣，企業(yè)信息系統(tǒng)審計(jì)要關(guān)注被審計(jì)單位的IT管理和IT治理情況。IT管理和IT治理的國際標(biāo)準(zhǔn)或良好實(shí)務(wù)，則為開展信息系統(tǒng)績效審計(jì)提供了審計(jì)標(biāo)準(zhǔn)，也可以作為向被審計(jì)單位提出改進(jìn)建議的參照標(biāo)準(zhǔn)。常見的IT管理和IT治理國際標(biāo)準(zhǔn)有：ISO/1EC20000（信息技術(shù)――服務(wù)管理）、ITIL（信息技術(shù)基礎(chǔ)庫）、ISO/IEC38500（組織的信息技術(shù)治理）、COBIT4.1（信息及其相關(guān)技術(shù)控制目標(biāo)）等。

四、維護(hù)國有企業(yè)信息系統(tǒng)的安全性

維護(hù)國有企業(yè)信息系統(tǒng)的安全，對于維護(hù)國家經(jīng)濟(jì)安全至關(guān)重要。隨著信息技術(shù)的發(fā)展和應(yīng)用，人們對信息系統(tǒng)安全性的認(rèn)識也不斷深化。正確理解信息安全的涵義，對于開展信息系統(tǒng)安全性審計(jì)具有重要的意義。

（一）安全性目標(biāo)的重要性

根據(jù)1994年我國頒布的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全性，就是要保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行⑦。從這里可以看出，信息系統(tǒng)的安全包括：信息本身的安全、系統(tǒng)設(shè)施設(shè)備的安全和系統(tǒng)運(yùn)行環(huán)境的安全三個層面。就三個層面的關(guān)系而言，信息是核心，系統(tǒng)設(shè)施設(shè)備及其運(yùn)行環(huán)境是保障，信息本身的安全是目的，系統(tǒng)設(shè)施設(shè)備的安全及其運(yùn)行環(huán)境的安全是手段。

國有企業(yè)信息系統(tǒng)安全是國家信息安全和經(jīng)濟(jì)安全的重要組成部分。為了保護(hù)中央企業(yè)信息系統(tǒng)的安全穩(wěn)定運(yùn)行，2010年12月，公安部和國務(wù)院國有資產(chǎn)監(jiān)督管理委員會聯(lián)合頒布了《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級保護(hù)工作的通知》。據(jù)統(tǒng)計(jì)，截至2010年5月，已有89.6%的中央企業(yè)開展了信息安全等級保護(hù)工作，中央企業(yè)總計(jì)建成投入使用的信息系統(tǒng)有16 092個，已定級14 539個，占比90.3%；應(yīng)向公安機(jī)關(guān)備案的系統(tǒng)（二級及以上）有11 370個，已備案8 113個，占應(yīng)備案系統(tǒng)的71.4%；列入2010年定級計(jì)劃的有1 598個。中央企業(yè)在公安機(jī)關(guān)備案的信息系統(tǒng)總數(shù)約占全國信息系統(tǒng)備案總數(shù)的21%，第三、四級重要系統(tǒng)約占全國重要信息系統(tǒng)備案總數(shù)的30%⑧。這些數(shù)據(jù)表明，國有企業(yè)信息系統(tǒng)已成為國家信息安全的重要組成部分?！吨腥A人民共和國企業(yè)國有資產(chǎn)法》第七條規(guī)定，“國家采取措施，推動國有資本向關(guān)系國民經(jīng)濟(jì)命脈和國家安全的重要行業(yè)和關(guān)鍵領(lǐng)域集中，優(yōu)化國有經(jīng)濟(jì)布局和結(jié)構(gòu)，推進(jìn)國有企業(yè)的改革和發(fā)展，提高國有經(jīng)濟(jì)的整體素質(zhì)，增強(qiáng)國有經(jīng)濟(jì)的控制力、影響力?！庇捎趪衅髽I(yè)集中在國民經(jīng)濟(jì)命脈和國家安全的重要行業(yè)和關(guān)鍵領(lǐng)域，如電信、電力、石油、石化等重要行業(yè)，其重要信息系統(tǒng)已成為國家關(guān)鍵基礎(chǔ)設(shè)施，是國民經(jīng)濟(jì)命脈之命脈，保護(hù)國有企業(yè)信息系統(tǒng)的安全穩(wěn)定運(yùn)行，對于維護(hù)國家經(jīng)濟(jì)安全和社會穩(wěn)定具有重要的意義。

（二）信息安全概念的演變

根據(jù)我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中的定義，計(jì)算機(jī)信息系統(tǒng)的安全性，包括信息本身的安全、系統(tǒng)設(shè)施設(shè)備的安全和支撐環(huán)境的安全。其中，信息本身的安全，即信息安全，是信息系統(tǒng)安全的核心和目的。那么，究竟什么是信息安全呢？

人們對信息系統(tǒng)安全性的認(rèn)識經(jīng)歷了一個不斷深化的發(fā)展過程。20世紀(jì)80年代美國國防部制定的《可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則TCSEC》把保密性當(dāng)作信息安全的重點(diǎn)。20世紀(jì)90年代初由英、法、德、荷四國制定的《信息技術(shù)安全評估準(zhǔn)則ITSEC》開始把完整性、可用性與保密性作為同等重要的因素。自此，信息安全的概念，即信息的保密性、完整性和可用性，逐漸被普遍接受。在2002年的國際標(biāo)準(zhǔn)ISO/IEC17799：2000《信息技術(shù)――信息安全管理業(yè)務(wù)規(guī)范》中明確規(guī)定，信息安全，是指保護(hù)：“保密性（confidentiality），即確保信息只能夠由獲得授權(quán)的人訪問；完整性（integrity），即保護(hù)信息的正確性和完整性以及信息處理方法；可用性（availability），即保證經(jīng)授權(quán)的用戶可以訪問到信息，如果需要的話，還能夠訪問相關(guān)資產(chǎn)?！比欢?，在2005年的該國際標(biāo)準(zhǔn)修訂版即ISO/IEC17799：2005中，信息安全的定義，包括了七種安全特性：信息的保密性（confidentiality）、完整性（integrity）、可用性（availability）及其他屬性，如真實(shí)性（authenticity）、責(zé)任性（accountability）、不可抵賴性（non-repudiation）、可靠性（reliability）等，而且，這種修訂后的信息安全定義，被2007年的國際標(biāo)準(zhǔn)ISO/IEC27001（《信息安全管理體系――規(guī)范與使用指南》）引用。在學(xué)術(shù)界，有人認(rèn)為，信息安全的特性還應(yīng)進(jìn)一步包括可控性（controllability）、可預(yù)測性（predictability）、可審計(jì)性（auditability）、遵循性（compliance）等。

隨著信息技術(shù)的發(fā)展與應(yīng)用，信息安全的內(nèi)涵越來越豐富，從最初的信息保密性發(fā)展到保密性、完整性和可用性，進(jìn)而又發(fā)展到相關(guān)的真實(shí)性、責(zé)任性、抗抵賴性、可靠性等。相應(yīng)地，對企業(yè)信息安全的考慮，也從最初關(guān)注企業(yè)信息安全技術(shù)層面，發(fā)展到關(guān)注企業(yè)信息安全控制、管理和治理等層面。

（三）正確理解信息安全涵義需要注意的幾個問題

1.信息安全與信息保密不同。從信息安全概念的涵義可以看出，信息保密與信息安全是兩個不同的概念，信息安全比信息保密的涵義更加豐富。盡管我國新修訂的保密法對信息系統(tǒng)的保密問題作出了規(guī)定，但是保密法不能代替信息安全法。目前，我國對信息安全的立法仍然比較滯后，尚無專門的信息安全法。信息安全法是國家信息安全保障體系不可或缺的組成部分。

2.微觀信息安全與宏觀信息安全的聯(lián)系。企業(yè)信息系統(tǒng)的安全離不開系統(tǒng)運(yùn)行環(huán)境的支撐，系統(tǒng)環(huán)境包括物理環(huán)境和社會環(huán)境。從社會環(huán)境看，主要是指有關(guān)信息安全法律法規(guī)、安全意識、人才培養(yǎng)等。這就是說，微觀層面單個組織的信息系統(tǒng)安全，還離不開宏觀層面國家信息安全保障體系的構(gòu)建。與此同時，微觀層面的信息安全是基礎(chǔ)，沒有微觀層面的信息安全，也就沒有宏觀層面的信息安全。

3.授權(quán)管理的重要性。信息安全的概念有三個核心涵義：保密性、完整性和可用性。這三個核心涵義都涉及一個共同的要素，即“授權(quán)”。保密性意味著只有獲得授權(quán)才能訪問；完整性意味著沒有授權(quán)不得對信息進(jìn)行刪除或修改；可用性意味著擁有授權(quán)者隨時可以使用。這表明，授權(quán)管理是信息安全管理的一項(xiàng)關(guān)鍵內(nèi)容。信息系統(tǒng)是一種人機(jī)系統(tǒng)，授權(quán)管理主要涉及對人員行為的安全管理。

4.安全性目標(biāo)與遵循性、績效性、可信性目標(biāo)的聯(lián)系。從信息安全的涵義可以看出，信息系統(tǒng)的安全性目標(biāo)不同于其遵循性、績效性和可信性目標(biāo)，但是，安全性與它們之間又是相互聯(lián)系的。首先，安全性必須滿足遵循性的要求，信息系統(tǒng)的設(shè)計(jì)、運(yùn)行、使用和管理可能要置于法律規(guī)定的和合同約定的安全要求的約束之下，特別是各種信息安全法律法規(guī)、保密法，以及知識產(chǎn)權(quán)、個人隱私權(quán)方面的法律法規(guī)；其次，信息安全沒有絕對的安全，所有的信息安全都是風(fēng)險(xiǎn)可接受條件下的安全，高水平的安全保護(hù)需要大量的投入成本，因而需要在成本、收益、風(fēng)險(xiǎn)和安全之間進(jìn)行權(quán)衡，即安全性與績效性的聯(lián)系；最后，在信息安全技術(shù)層面，可信計(jì)算技術(shù)是信息安全技術(shù)的一個重要研究領(lǐng)域，從而表明安全性與可信性之間也有內(nèi)在的聯(lián)系。

筆者認(rèn)為，目前國際上制定的有關(guān)信息安全等級評估、信息安全風(fēng)險(xiǎn)評估、信息安全管理體系等方面的國際標(biāo)準(zhǔn)，無論是在理論概念還是在操作實(shí)務(wù)方面，對于我國審計(jì)機(jī)關(guān)開展信息系統(tǒng)審計(jì)都具有重要的借鑒價值。這些國際標(biāo)準(zhǔn)或良好實(shí)務(wù)可以作為審計(jì)的參照標(biāo)準(zhǔn)，同時也可以作為審計(jì)機(jī)關(guān)向被審計(jì)單位提出改進(jìn)信息系統(tǒng)安全性建議的依據(jù)。同時，在對國有企業(yè)信息系統(tǒng)的安全性進(jìn)行審計(jì)時，還要立足我國實(shí)際，由于我國國有企業(yè)信息系統(tǒng)是國民經(jīng)濟(jì)命脈之命脈，事關(guān)國家經(jīng)濟(jì)安全和社會穩(wěn)定，在重視企業(yè)本身信息系統(tǒng)安全的同時，還應(yīng)當(dāng)從宏觀上揭示國有企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)，維護(hù)國家經(jīng)濟(jì)安全。

最后應(yīng)當(dāng)指出的是，在審計(jì)實(shí)踐中，根據(jù)具體情況，單個審計(jì)項(xiàng)目可以選取上述可信性、績效性和安全性目標(biāo)中的一個或多個作為審計(jì)目標(biāo)。

篇6

1信息安全總體設(shè)計(jì)及實(shí)踐

1.1網(wǎng)絡(luò)安全要求及問題

1.1.1信息安全的最終實(shí)現(xiàn)目標(biāo)為應(yīng)對市場競爭，提高企業(yè)生產(chǎn)經(jīng)營效率，滿足企業(yè)信息化建設(shè)的需要，汽車制造業(yè)應(yīng)借鑒國內(nèi)先進(jìn)的信息技術(shù)和安全管理經(jīng)驗(yàn)，建立一套企業(yè)信息化辦公網(wǎng)絡(luò)，并逐步加強(qiáng)網(wǎng)絡(luò)傳輸?shù)陌踩ㄔO(shè)，和網(wǎng)絡(luò)安全管理手段。以保障企業(yè)信息化的穩(wěn)定運(yùn)行。2.1.2系統(tǒng)和應(yīng)用的脆弱性企業(yè)信息化辦公網(wǎng)絡(luò)建成后為企業(yè)經(jīng)營和管理帶來了極大的便利，生產(chǎn)經(jīng)營效率明顯提高。但同時引發(fā)了很多的技術(shù)問題：跨省專線費(fèi)用太高，且鏈路發(fā)生故障之后的報(bào)修、排故、恢復(fù)程序極其繁雜，嚴(yán)重影響效率；無法滿足移動辦公的需求，無法滿足上下游供應(yīng)商的使用需求；與互聯(lián)網(wǎng)連接時常受到攻擊導(dǎo)致業(yè)務(wù)中斷；內(nèi)部人員未經(jīng)授權(quán)許可訪問互聯(lián)網(wǎng)導(dǎo)致病毒攻擊內(nèi)部辦公網(wǎng)等等。

1.1.3常見網(wǎng)絡(luò)風(fēng)險(xiǎn)通過系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)學(xué)習(xí)，汽車制造業(yè)信息化人員應(yīng)掌握企業(yè)網(wǎng)絡(luò)信息化建設(shè)過程中大量常見的網(wǎng)絡(luò)風(fēng)險(xiǎn)和防范手段：Backdo（各種后門和遠(yuǎn)程控制軟件，例如BO、Netbus等）、BruteFce（各種瀏覽器相關(guān)的弱點(diǎn)，例如自動執(zhí)行移動代碼等）、CGI-BIN（各種CGI-BIN相關(guān)的弱點(diǎn)，例如PHF、wwwboard等）、Daemons（服務(wù)器中各種監(jiān)守程序產(chǎn)生弱點(diǎn)，例如amd,nntp等）、DCOM（微軟公司DCOM控件產(chǎn)生的相關(guān)弱點(diǎn)）、DNS（DNS服務(wù)相關(guān)弱點(diǎn)，例如BIND8.2遠(yuǎn)程溢出弱點(diǎn)）、E-mail（各種郵件服務(wù)器、客戶端相關(guān)的安全弱點(diǎn)，例如Qpopper的遠(yuǎn)程溢出弱點(diǎn)）、Firewalls（各種防火墻及其產(chǎn)生的安全弱點(diǎn)，例如GauntletFirewallCyberPatrol內(nèi)容檢查弱點(diǎn)）、FTP（各種FTP服務(wù)器和客戶端相關(guān)程序或配置弱點(diǎn)，例如WuFTPDsiteexec弱點(diǎn)）、InfmationGathering（各種由于協(xié)議或配置不當(dāng)造成信息泄露弱點(diǎn)，例如finger或rstat的輸出）、InstantMessaging（當(dāng)前各種即時消息傳遞工具相關(guān)弱點(diǎn)，例如OICQ、IRC、Yahoomessager等相關(guān)弱點(diǎn)）、LDAP（LDAP服務(wù)相關(guān)的安全弱點(diǎn)）、Netwk（網(wǎng)絡(luò)層協(xié)議處理不當(dāng)引發(fā)的安全弱點(diǎn)，例如LAND攻擊弱點(diǎn)）、NetwkSniffers（各種竊聽器相關(guān)的安全弱點(diǎn)，例如NetXRay訪問控制弱點(diǎn)）、NFS（NFS服務(wù)相關(guān)的安全弱點(diǎn)，例如NFS信任關(guān)系弱點(diǎn)）、NIS（NIS服務(wù)相關(guān)的安全弱點(diǎn)，例如知道NIS域名后可以猜測口令弱點(diǎn)）、NTRelated（微軟公司NT操作系統(tǒng)相關(guān)安全弱點(diǎn)）、ProtocolSpoofing（協(xié)議中存在的安全弱點(diǎn)，例如TCP序列號猜測弱點(diǎn)）、Router/Switch（各種路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備中存在的安全弱點(diǎn)，例如CiscoIOS10.3存在拒絕服務(wù)攻擊弱點(diǎn)）、RPC（RPC（SUN公司遠(yuǎn)程過程調(diào)用）服務(wù)相關(guān)的弱點(diǎn)，例如rpc.ttdbserver遠(yuǎn)程緩沖區(qū)溢出弱點(diǎn)）、Shares（文件共享服務(wù)相關(guān)的安全弱點(diǎn)，BIOS/Samba等相關(guān)弱點(diǎn)，例如Samba緩沖區(qū)溢出弱點(diǎn)）、SNMP（SNMP協(xié)議相關(guān)的安全弱點(diǎn)，例如利用“public”進(jìn)行SNMP_SET操作）、UDP（UDP協(xié)議相關(guān)弱點(diǎn)，例如允許端口掃描等）、WebScan（Web服務(wù)器相關(guān)安全弱點(diǎn)，例如IISASPdot弱點(diǎn)）、XWindows（X服務(wù)相關(guān)安全弱點(diǎn)）、Management（安全管理類漏洞）等。

1.2網(wǎng)絡(luò)安全加固及應(yīng)用拓展改造

針對上述網(wǎng)絡(luò)風(fēng)險(xiǎn)，汽車制造業(yè)應(yīng)加強(qiáng)自身的網(wǎng)絡(luò)安全建設(shè)，強(qiáng)化網(wǎng)絡(luò)安全管理。重點(diǎn)進(jìn)行了四個方面的技術(shù)改造：防火墻（VPN）、上網(wǎng)行為管理、入侵防御及桌面管理系統(tǒng)。

1.2.1訪問控制——防火墻部署防火墻之后，內(nèi)部辦公網(wǎng)絡(luò)的IP地址與MAC地址捆綁，授權(quán)上網(wǎng)用戶實(shí)名制管理，根據(jù)工作需要申請和審批上網(wǎng)時間和訪問權(quán)限。內(nèi)部VLAN劃分，把不同部門用VLAN劃分為不同的域以區(qū)分管理。重要數(shù)據(jù)庫服務(wù)器和存儲設(shè)備與辦公網(wǎng)隔離。嚴(yán)格管理和控制內(nèi)外網(wǎng)對數(shù)據(jù)庫的訪問。

1.2.2遠(yuǎn)程用戶加密訪問——VPN為保障企業(yè)運(yùn)營效率，根據(jù)不同的工作人員分配不同的權(quán)限，可以在出差途中或家中處理緊急公務(wù)。并細(xì)化配置其VPN功能對企業(yè)內(nèi)網(wǎng)的訪問權(quán)限，可以實(shí)現(xiàn)工作需要，保障企業(yè)內(nèi)部流程效率

1.2.3內(nèi)網(wǎng)用戶網(wǎng)絡(luò)行為監(jiān)控——上網(wǎng)行為管理系統(tǒng)通過對進(jìn)程的審計(jì)可以了解到當(dāng)前服務(wù)器的運(yùn)行情況以及客戶端的使用情況，對非法的行為可以限制非法進(jìn)程（包括病毒進(jìn)程、聊天軟件進(jìn)程等）的運(yùn)行，非法軟件的安全，隨意的修改IP地址而導(dǎo)致的IP沖突等；內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為監(jiān)控，可以極大程度地避免企業(yè)內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)。

1.2.4外網(wǎng)攻擊的防護(hù)措施——入侵防御與防病毒采用入侵防御系統(tǒng)，具備7層檢索比對入侵防御設(shè)備需要的高速芯片，同時具備硬件BYPASS功能和自動報(bào)警功能，當(dāng)設(shè)備自身出現(xiàn)故障時不能中斷網(wǎng)絡(luò)運(yùn)行，最大限度地避免單點(diǎn)故障對網(wǎng)絡(luò)穩(wěn)定運(yùn)行的風(fēng)險(xiǎn)。

1.2.5桌面端管理通過桌面端管理套件核心服務(wù)器管理全網(wǎng)所有客戶端。所有的管理數(shù)據(jù)統(tǒng)一保存在核心服務(wù)器后臺的數(shù)據(jù)庫中。通過角色管理可以使用管理套件控制臺直接查看AD架構(gòu)，而無需在管理套件中復(fù)制AD角色。同時可以分配管理套件權(quán)限給AD組或OU(ganizationunits)，在分配權(quán)限時支持繼承的概念。

2結(jié)論

篇7

大數(shù)據(jù)是大小已經(jīng)已經(jīng)超出了經(jīng)典的數(shù)據(jù)庫軟件的信息收集、存儲、管理與分析的數(shù)據(jù)集合，隨著其在企業(yè)中應(yīng)用技術(shù)的漸趨成熟和海量數(shù)據(jù)的優(yōu)勢突出，在互聯(lián)網(wǎng)發(fā)展中成為了企業(yè)經(jīng)營發(fā)展的新興工具。會計(jì)信息化是是會計(jì)職能在信息技術(shù)上的應(yīng)用，在信息化社會下對財(cái)務(wù)部門管理提出了會計(jì)信息化的必然要求。數(shù)據(jù)工具的出現(xiàn)和在會計(jì)信息化領(lǐng)域的使用幫助企業(yè)在財(cái)務(wù)數(shù)據(jù)的處理和分析中能夠獲取橫縱兩方面更多的對比數(shù)據(jù)，幫助財(cái)務(wù)部門對比同期企業(yè)發(fā)展?fàn)顩r了解自身的企業(yè)發(fā)展水平、進(jìn)度以及財(cái)務(wù)信息。伴隨會計(jì)信息化在我國的全面推開和企業(yè)占比不斷上升的發(fā)展勢頭下，互聯(lián)網(wǎng)、云計(jì)算和大數(shù)據(jù)在各個行業(yè)和經(jīng)濟(jì)生活方面的應(yīng)用也讓會計(jì)信息化的應(yīng)用在前行和升級換代。傳統(tǒng)的會計(jì)信息化在企業(yè)追求更高的財(cái)務(wù)數(shù)據(jù)對比和財(cái)務(wù)分析的要求下已經(jīng)難以再適應(yīng)現(xiàn)代管理企業(yè)的發(fā)展需要。而與之相對比的是企業(yè)信息化系統(tǒng)在現(xiàn)代企業(yè)中的建設(shè)和大數(shù)據(jù)下以財(cái)務(wù)軟件為依托的會計(jì)信息化建設(shè)趨勢，在現(xiàn)代財(cái)務(wù)建設(shè)中逐漸顯現(xiàn)出其數(shù)據(jù)挖掘能力下對于財(cái)務(wù)分析功能貢獻(xiàn)支持。

互聯(lián)網(wǎng)的到來要求了企業(yè)在經(jīng)濟(jì)快速發(fā)展前提下提升自身發(fā)展速度和管理水平，在經(jīng)濟(jì)浪潮中保持自身的優(yōu)勢地位和前進(jìn)速度。在現(xiàn)代管理制度要求和企業(yè)自我提升中，在“互聯(lián)網(wǎng)+”浪潮掀起的傳統(tǒng)領(lǐng)域互聯(lián)網(wǎng)發(fā)展下的企業(yè)自我改革風(fēng)暴和大數(shù)據(jù)的相對開放領(lǐng)域里，企業(yè)會計(jì)信息化的應(yīng)用面臨著更優(yōu)質(zhì)的發(fā)展機(jī)遇，也面臨著風(fēng)險(xiǎn)性挑戰(zhàn)。

二、大數(shù)據(jù)下的會計(jì)信息化應(yīng)用問題

我國會計(jì)信息化從相對薄弱的階段起步，經(jīng)歷了快速發(fā)展時期，但從總體上來說，會計(jì)信息化基礎(chǔ)仍然是相對薄弱的，而會計(jì)信息化在大數(shù)據(jù)下的進(jìn)一步運(yùn)用在大多數(shù)大數(shù)據(jù)應(yīng)用企業(yè)來說也往往是剛剛起步，處在大數(shù)據(jù)與會計(jì)信息化結(jié)合應(yīng)用的初期，出現(xiàn)了初期應(yīng)用中的常見的企業(yè)和財(cái)務(wù)部門的認(rèn)識理念、初期使用上信息支持不足和外部環(huán)境影響等問題。

（一）企業(yè)內(nèi)部對財(cái)務(wù)開放性的排斥

在大數(shù)據(jù)應(yīng)用初期，容易存在著企業(yè)管理層和外部部門對大數(shù)據(jù)內(nèi)容了解不全面、認(rèn)識程度不深和實(shí)際應(yīng)用環(huán)境上的困惑。在我國企業(yè)發(fā)展文化中，對于企業(yè)的信息數(shù)據(jù)往往持有保守、內(nèi)向和非開放的態(tài)度，與大數(shù)據(jù)下要求的數(shù)據(jù)共享理念恰好背道而馳，在觀念認(rèn)知上給企業(yè)財(cái)務(wù)部門會計(jì)信息化的大數(shù)據(jù)應(yīng)用帶來了不小的困難。尤其在財(cái)務(wù)數(shù)據(jù)的共享上，多數(shù)企業(yè)將財(cái)務(wù)信息視為重要內(nèi)部保守信息，對于財(cái)務(wù)信息的共享和企業(yè)基本財(cái)務(wù)資料的對外慎之又慎，在缺乏較強(qiáng)推動力量和深入了解的情況下對大數(shù)據(jù)下會計(jì)信息化應(yīng)用是否應(yīng)當(dāng)在本企業(yè)推行思慮過多，難以抉擇。而大數(shù)據(jù)在發(fā)展初期，盡管趨勢已經(jīng)漸趨明顯，但總體上對于大數(shù)據(jù)的應(yīng)用和報(bào)道還欠缺，企業(yè)管理和財(cái)務(wù)的行業(yè)交流和管理交流之間沒有形成大數(shù)據(jù)應(yīng)用較好的氛圍和風(fēng)氣，兩者負(fù)面作用疊加交替，造成了會計(jì)信息化與大數(shù)據(jù)結(jié)合的應(yīng)用發(fā)展緩慢。

（二）信息支持不足，內(nèi)容單一

會計(jì)信息化的?l展在意義在要求以財(cái)務(wù)軟件記賬代替手工記賬，將會計(jì)工作人員從繁重的重復(fù)勞動中解放出來、降低錯誤率以外，還要求會計(jì)信息化應(yīng)當(dāng)需要在建設(shè)中與企業(yè)的信息化相關(guān)聯(lián)，相互作用。從企業(yè)角度獲取財(cái)務(wù)數(shù)據(jù)信息內(nèi)容，作為企業(yè)管理的整體分析數(shù)據(jù)的一部分。從財(cái)務(wù)部門來看，在財(cái)務(wù)數(shù)據(jù)外獲取非財(cái)務(wù)信息的支持，補(bǔ)充財(cái)務(wù)分析內(nèi)容，提供企業(yè)內(nèi)部的財(cái)務(wù)角度管理分析報(bào)告，為輔助管理層進(jìn)行經(jīng)營決策和財(cái)務(wù)決策提供專業(yè)支持。但在實(shí)際的會計(jì)信息化應(yīng)用中，大多數(shù)企業(yè)卻并沒有做好企業(yè)信息化與會計(jì)信息化的數(shù)據(jù)信息內(nèi)容上的結(jié)合，導(dǎo)致了大數(shù)據(jù)應(yīng)用中的信息支持不足和數(shù)據(jù)內(nèi)容的單一。在缺乏企業(yè)整體信息內(nèi)容支持的情況下，財(cái)務(wù)信息輸入內(nèi)容十分有限，為財(cái)務(wù)部門對于企業(yè)內(nèi)部狀況信息和具體經(jīng)濟(jì)業(yè)務(wù)往來中出現(xiàn)的實(shí)際情況、備注和問題的了解帶來了很大程度上的局限性，在大數(shù)據(jù)利用下，僅僅從單調(diào)的財(cái)務(wù)數(shù)據(jù)比較分析中難以窺到企業(yè)數(shù)據(jù)全貌，無法充分發(fā)揮大數(shù)據(jù)海量信息篩選應(yīng)用支持下的對企業(yè)信息全面分析的益處。在大數(shù)據(jù)篩選過程中，由于基礎(chǔ)條件支撐信息不足，信息搜索范圍過大，難以精確匹配與財(cái)務(wù)部門的確切需要信息。不僅如此，在信息支持不全面下的大數(shù)據(jù)分析還可能導(dǎo)致財(cái)務(wù)分析報(bào)告分析結(jié)果上的偏差，造成企業(yè)應(yīng)用中的風(fēng)險(xiǎn)，或者由于大數(shù)據(jù)利用中篩選基礎(chǔ)條件錯誤帶來的數(shù)據(jù)分析應(yīng)用在企業(yè)水土不服的情況。

（三）外部環(huán)境風(fēng)險(xiǎn)

會計(jì)信息化在大數(shù)據(jù)應(yīng)用下能為企業(yè)帶來會計(jì)基礎(chǔ)功能之外的財(cái)務(wù)分析和企業(yè)比較應(yīng)用等助力企業(yè)發(fā)展的益處，但互聯(lián)網(wǎng)的開放性環(huán)境也帶來了一定的外部安全性風(fēng)險(xiǎn)。一是來自財(cái)務(wù)軟件的本身風(fēng)險(xiǎn)，在軟件設(shè)計(jì)和應(yīng)用上，在基礎(chǔ)的編程中可能就存在著一定的漏洞，如果存在著漏洞被利用或者針對軟件防護(hù)系統(tǒng)被破解的情況，會集體給各企業(yè)帶來財(cái)務(wù)信息上的風(fēng)險(xiǎn)。二是來自互聯(lián)網(wǎng)中針對企業(yè)本身的財(cái)務(wù)信息套取風(fēng)險(xiǎn)。以著名的互聯(lián)網(wǎng)企業(yè)的兩大巨頭谷歌和微軟為例，其電子郵件內(nèi)容也曾經(jīng)受到黑客攻擊，導(dǎo)致公司信息安全備受質(zhì)疑，給企業(yè)形象和消費(fèi)者信任度帶來一定程度的影響。如果企業(yè)面臨著超過企業(yè)的互聯(lián)網(wǎng)安保防護(hù)力度的黑客攻擊，很可能導(dǎo)致企業(yè)的會計(jì)信息數(shù)據(jù)的泄露和財(cái)務(wù)資料的丟失，帶來極大的企業(yè)風(fēng)險(xiǎn)和損失。

三、大數(shù)據(jù)下的會計(jì)信息化問題應(yīng)對

針對企業(yè)在大數(shù)據(jù)下的企業(yè)信息化應(yīng)用中考慮的因素和出現(xiàn)的問題，從企業(yè)管理和財(cái)務(wù)部門的角度出發(fā)，企業(yè)應(yīng)當(dāng)在信息化的認(rèn)識理念上結(jié)合專業(yè)知識加強(qiáng)跨領(lǐng)域的交互認(rèn)識。在企業(yè)內(nèi)部對于信息化發(fā)展不完全的地方，完善整體化的信息發(fā)展，加強(qiáng)安全防護(hù)。

（一）加深對大數(shù)據(jù)與財(cái)務(wù)信息化的認(rèn)識

財(cái)務(wù)部門應(yīng)當(dāng)首先了解行業(yè)和專業(yè)間的大數(shù)據(jù)發(fā)展情況，分析大數(shù)據(jù)與會計(jì)信息化結(jié)合利弊，聽取專家講解和建議，在大數(shù)據(jù)在會計(jì)信息化的應(yīng)用上獲取專業(yè)知識和實(shí)踐指導(dǎo)，并結(jié)合自身企業(yè)情況和財(cái)務(wù)部門現(xiàn)狀進(jìn)行貼合實(shí)際的分析。尤其是對于集團(tuán)企業(yè)而言，大數(shù)據(jù)內(nèi)容和會計(jì)信息化的結(jié)合，有利于集團(tuán)企業(yè)異地辦公的協(xié)同合作，在信息共享下幫助各子公司和母公司之間借鑒財(cái)務(wù)解決方案和在相似風(fēng)格下財(cái)務(wù)處理的參考，通過大數(shù)據(jù)和云服務(wù)減少人力上的非建設(shè)意義勞動，提高對賬、業(yè)務(wù)分析與指導(dǎo)等方面的交流效率和速度，幫助財(cái)務(wù)部門會計(jì)人員加強(qiáng)財(cái)務(wù)分析與綜合功能應(yīng)用上的學(xué)習(xí)和研究。通過積極了解經(jīng)濟(jì)的整體發(fā)展趨勢下“互聯(lián)網(wǎng)+”時代的到來與管理的發(fā)展趨向，企業(yè)和財(cái)務(wù)部門應(yīng)當(dāng)逐漸認(rèn)識到互聯(lián)網(wǎng)應(yīng)用于大數(shù)據(jù)工具的重要性，在經(jīng)濟(jì)發(fā)展和企業(yè)管理上不斷自我更新發(fā)展內(nèi)容，促進(jìn)企業(yè)進(jìn)步。

（二）企業(yè)內(nèi)部信息化普及與整合

企業(yè)應(yīng)當(dāng)在會計(jì)信息化基礎(chǔ)建設(shè)完成下，推進(jìn)企業(yè)內(nèi)部的信息化模塊的統(tǒng)一和整體建設(shè)，形成企業(yè)內(nèi)部的信息共享互通體系，幫助企業(yè)從宏觀上把握整體發(fā)展信息狀況。對于各個部門而言，能獲取其他部門發(fā)展信息和進(jìn)展情況，促進(jìn)企業(yè)內(nèi)部資源的優(yōu)化配置，提高企業(yè)運(yùn)行效率，促進(jìn)各部門信息化下的交流和配合。對于財(cái)務(wù)部門而言，非財(cái)務(wù)信息的提供能幫助財(cái)務(wù)部門在會計(jì)信息和數(shù)據(jù)的處理中對于問題點(diǎn)及時獲取業(yè)務(wù)部門的信息支持，排查可能存在的風(fēng)險(xiǎn)問題。企業(yè)應(yīng)當(dāng)認(rèn)識到信息化在現(xiàn)代企業(yè)管理中的地位和作用，促進(jìn)會計(jì)信息化的功能多樣化發(fā)展，提高財(cái)務(wù)綜合分析功能在財(cái)務(wù)部門工作中的地位和比重。以對于企業(yè)的預(yù)算管理內(nèi)容為例，通過企業(yè)信息系統(tǒng)，財(cái)務(wù)部門能獲取各部門的過往預(yù)算使用總體情況和內(nèi)容，做出部門的使用效率分析和比較，提出使用改進(jìn)并依據(jù)過往情況和各部門在企業(yè)信息化系統(tǒng)中提交的下一年度的活動計(jì)劃給出財(cái)務(wù)部門的預(yù)算審批意見，在數(shù)據(jù)利用和分析中與部門協(xié)商盡可能優(yōu)化的預(yù)算方案并提交至管理層審批，提高企業(yè)的預(yù)算資金使用效率，避免浪費(fèi)。在資金管理上，利用數(shù)據(jù)分析直觀給出支持與分析原因，加快決策速度并提高了協(xié)商效率。

篇8

摘要：隨著企業(yè)信息化水平的不斷提高，移動終端設(shè)備已經(jīng)廣泛應(yīng)用在企業(yè)各業(yè)務(wù)層面，也帶來了巨大的安全隱患，本文針對其安全隱患提出來防范措施，具有一定的借鑒意義。

關(guān)鍵詞：移動終端設(shè)備；安全隱患；管控解決方案

0引言

隨著企業(yè)信息化水平的不斷提高，移動終端設(shè)備的廣泛使用，極大地方便了數(shù)據(jù)的信息交換，但是如何管理移動設(shè)備和其使用之間的問題，由此涉及到的是信息安全、服務(wù)整合、互操作性和組織成本控制等一系列問題。一般來說,移動終端設(shè)備除了筆記本電腦外,包括掌上電腦、智能手機(jī)、USB設(shè)備和GPS設(shè)備等，因?yàn)槠湟苿臃奖愕奶匦?對數(shù)據(jù)的安全性提出了更高的要求。

1移動終端設(shè)備面臨的安全隱患

現(xiàn)在筆記本電腦、智能手機(jī)、iPad、U盤等正在被越來越多地使用，尤其是企業(yè)高層、出差的業(yè)務(wù)人員或到基層檢查指導(dǎo)工作的管理人員、需要下班后在家加班的人員等，他們幾乎已經(jīng)離不開這類移動終端。與此同時，一些合作伙伴或客戶出于某種需要，也可能需要使用移動終端接入到企業(yè)網(wǎng)絡(luò)或者計(jì)算機(jī)。移動終端設(shè)備可能給企業(yè)帶來以下幾大隱患：

隱患一，保管不當(dāng)，導(dǎo)致設(shè)備丟失或被盜，損失的不只是硬件成本，更關(guān)鍵的是里面的數(shù)據(jù)。

隱患二，使用不當(dāng)，在數(shù)據(jù)傳輸過程中沒有采取應(yīng)有的保護(hù)措施，導(dǎo)致發(fā)送信息時被非法攻擊者偵聽截獲。

隱患三，沒有對設(shè)備里的數(shù)據(jù)采取足夠的保護(hù)措施，數(shù)據(jù)很可能在使用者一無所知的情況下被竊取。

隱患四，感染病毒的移動設(shè)備一旦接入內(nèi)網(wǎng)，病毒可能很快蔓延至網(wǎng)絡(luò)內(nèi)的每一個終端，影響整個網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，嚴(yán)重時還會讓企業(yè)的關(guān)鍵業(yè)務(wù)無法開展。

隱患五，不安全的移動終端一旦接入企業(yè)內(nèi)網(wǎng)，很可能變成黑客們攻擊內(nèi)網(wǎng)的跳板。

2針對存在的安全隱患制定對策

通過分析移動終端設(shè)備管控的難點(diǎn)主要集中在以下幾個方面：①外來移動終端設(shè)備隨意接入企業(yè)內(nèi)部網(wǎng)絡(luò)或者計(jì)算機(jī)，很難做到有效控制，無形中為病毒、木馬感染企業(yè)網(wǎng)絡(luò)開辟了一條捷徑；②內(nèi)部移動存儲設(shè)備很難做到逐個、逐次使用時登記備案，無法對遺失的移動存儲設(shè)備以及存儲其中的數(shù)據(jù)進(jìn)行監(jiān)控；③內(nèi)部移動存儲設(shè)備很難區(qū)分安全等級、區(qū)分場所、區(qū)分使用人，保存數(shù)據(jù)的移動存儲設(shè)備隨意拿到外部使用，很容易造成企業(yè)敏感數(shù)據(jù)外泄；④對移動存儲設(shè)備的使用缺乏全面的記錄信息，安全事故發(fā)生以后缺乏足夠的協(xié)助管理員跟蹤、定位和追溯責(zé)任人的依據(jù)和手段。

要想管控好移動終端設(shè)備，就必須做好以下四個方面：①移動終端設(shè)備使用的邊界控制：外來的筆記本電腦、智能手機(jī)等設(shè)備連入網(wǎng)絡(luò)，必須通過網(wǎng)絡(luò)準(zhǔn)入、應(yīng)用準(zhǔn)入、客戶端準(zhǔn)入等準(zhǔn)入手段來解決，確保未安裝客戶端的無法連入內(nèi)部網(wǎng)絡(luò)，其安全性得到保障。外來移動存儲設(shè)備不得隨意接人企業(yè)內(nèi)部計(jì)算機(jī)，以防止惡意代碼通過移動存儲設(shè)備感染企業(yè)內(nèi)部網(wǎng)絡(luò)。②移動存儲設(shè)備分等級使用：對移動存儲介質(zhì)進(jìn)行注冊認(rèn)證，只有注冊認(rèn)證過的才可以在內(nèi)網(wǎng)使用。內(nèi)部移動存儲介質(zhì)分不同的安全等級，受控使用，做到專人專用、專盤專用，從而保證企業(yè)關(guān)鍵信息和數(shù)據(jù)不會通過移動存儲設(shè)備泄露。③強(qiáng)化移動存儲設(shè)備的管理，將移動存儲設(shè)備專人管理，規(guī)范操作使用，每次使用前要進(jìn)行嚴(yán)格的查毒、殺毒。禁止使用個人U盤、數(shù)碼相機(jī)、數(shù)碼攝像機(jī)等存儲卡。④移動存儲設(shè)備的全生命周期管理：對內(nèi)部存儲關(guān)鍵數(shù)據(jù)和信息的移動存儲設(shè)備，要有全生命周期的使用跟蹤和管理，對內(nèi)部移動存儲設(shè)備的使用要有詳盡的審計(jì)，以便事后能夠進(jìn)行準(zhǔn)確的跟蹤和定位，追溯到責(zé)任人。

3移動終端設(shè)備的管控解決方案

對移動終端設(shè)備的信息安全管理，應(yīng)堅(jiān)持“預(yù)防為主”的方針?！叭旨夹g(shù)，七分管理”，要充分利用技術(shù)和管理兩種手段，達(dá)到有效防范的目的。具體來說，企業(yè)可從如下三個方面著手：

3.1 加強(qiáng)人員培訓(xùn)，構(gòu)筑人員安全關(guān)通過加強(qiáng)保密知識培訓(xùn)、網(wǎng)絡(luò)安全知識培訓(xùn)、職業(yè)道德教育和對網(wǎng)絡(luò)事故案例講解，使員工充分了解計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患，提高工作人員的安全保密意識和自我防范能力。

3.2 部署管控平臺，把好技術(shù)安全關(guān)通過部署綠盟終端安全管理系統(tǒng)，該系統(tǒng)涵蓋接入控制、數(shù)據(jù)防泄密、安全防護(hù)、桌面管理四大領(lǐng)域，在終端安全方面提供系統(tǒng)級安全保護(hù)，提供網(wǎng)絡(luò)層與應(yīng)用層的準(zhǔn)入控制，強(qiáng)制隔離不符合安全要求的終端主機(jī)。實(shí)現(xiàn)了對移動存儲設(shè)備的全面管理，移動介質(zhì)被分為外來介質(zhì)、內(nèi)部普通介質(zhì)和內(nèi)部專用介質(zhì)三種不同的安全等級，針對每種安全級別均可設(shè)置具體的使用權(quán)限，如只讀、可寫，實(shí)現(xiàn)了對移動介質(zhì)的細(xì)粒度管理。

3.3 完善制度建設(shè)，健全信息管理關(guān)

3.3.1 加強(qiáng)內(nèi)部管理，完善計(jì)算機(jī)保密制度。細(xì)化信息安全的管理規(guī)范和責(zé)任追究，明確界定信息范圍，切實(shí)落實(shí)各項(xiàng)具體措施。使計(jì)算機(jī)安全保密工作有章可循，逐步實(shí)現(xiàn)計(jì)算機(jī)信息安全保密工作的規(guī)范化管理。

3.3.2 加強(qiáng)對移動辦公設(shè)備管理的檢查。通過對單位的移動終端設(shè)備集中登記、授權(quán)和安全認(rèn)證，全面掌握企業(yè)移動終端的使用管理情況，定期進(jìn)行信息安全檢查，發(fā)現(xiàn)違規(guī)情況及時進(jìn)行通報(bào)。對終端設(shè)備列入重點(diǎn)信息安全監(jiān)控部位，專人專用、專人管理，不定期進(jìn)行檢查防護(hù)。

3.3.3 加強(qiáng)對外來人員的管理。為了防范信息泄密，確保信息與網(wǎng)絡(luò)的安全。

4結(jié)束語

信息安全是信息發(fā)展的基礎(chǔ)，要建立一個安全可靠的網(wǎng)絡(luò)安全管控體系，既要有專業(yè)的安全產(chǎn)品，更要有規(guī)范和強(qiáng)有力的安全管理制度。移動終端設(shè)備所帶來的安全隱患必須引起各企業(yè)的高度關(guān)注，充分利用技術(shù)和管理兩種手段，提高安全保障能力，為企業(yè)各項(xiàng)工作順利開展提供信息保障和技術(shù)支撐。

參考文獻(xiàn)：

[1]楊義先.網(wǎng)絡(luò)信息安全與保密[M]．北京：北京郵電大學(xué)出版社，2000：1-3.

篇9

關(guān)鍵詞：信息安全 數(shù)字簽名 加密 解密

今天，計(jì)算機(jī)已經(jīng)十分普及。從家用到企業(yè)信息管理，都離不開計(jì)算機(jī)。隨著網(wǎng)絡(luò)技術(shù)、通訊技術(shù)的出現(xiàn)使得信息傳遞與信息共享得到質(zhì)的飛躍。各種網(wǎng)絡(luò)應(yīng)用應(yīng)運(yùn)而生，如：ERP系統(tǒng)、電子商務(wù)系統(tǒng)等。當(dāng)人們享受著信息技術(shù)帶來的方便之時，同時必須面對信息系統(tǒng)存在的不安全因素。

危及信息安全的因素

企業(yè)使用計(jì)算機(jī)進(jìn)行管理，要求管理的信息必須“數(shù)字化”，并以磁信號保存到磁盤中（這種信號如果不加任何處理時，可以被任何人獲取或者“不留任何痕跡”的加以修改）；當(dāng)我們把一臺計(jì)算機(jī)中的信息轉(zhuǎn)移到另一臺計(jì)算機(jī)時還必須通過“網(wǎng)絡(luò)”完成信息的“傳遞”。傳遞過程中是否帶有病毒、是否會被其他網(wǎng)絡(luò)客戶非法截留？這些都是我們進(jìn)入網(wǎng)絡(luò)時代要考慮的首要問題。那么，在網(wǎng)絡(luò)環(huán)境下的信息管理、信息駐留與信息傳遞過程中究竟有那些因素會危及信息安全？危及“信息安全”的因素可以分為兩類：

外部因素

外部因素指和企業(yè)無關(guān)的外部人員,通過網(wǎng)絡(luò)，使用非法工具、采用非法手段，非法侵入企業(yè)信息系統(tǒng)，獲取關(guān)鍵信息、破壞內(nèi)部數(shù)據(jù)。

內(nèi)部因素

內(nèi)部因素指企業(yè)內(nèi)部工作人員，借工作之便，非法復(fù)制企業(yè)的關(guān)鍵信息，或者盜用他人賬號登陸系統(tǒng)，非法修改關(guān)鍵數(shù)據(jù)，從而達(dá)到個人的非法目的。

危及信息安全的形式

危及信息安全的形式有多種多樣。有些是我們知道的、有些是我們意想不到的，有些是些我們不愿意去想又確實(shí)存在的形式。正是這些意想不到或不愿意去想的形式最具威脅性。因此，我們不妨發(fā)揮充分的想象力對企業(yè)信息可能受到威脅的形式做一些假設(shè)。我們現(xiàn)在考慮的越多、越全面，在將來我們受到攻擊、受到危害的可能性就越小，我們的信息安全性就越高。

在80年代末，曾經(jīng)有這樣一個“傳說”，國外某家銀行在日常工作中忽然發(fā)現(xiàn)，一個賬號的存款數(shù)額變動異常。經(jīng)過一段時間的監(jiān)視和調(diào)查，最后確認(rèn)這個賬號的擁有者曾經(jīng)參加該銀行軟件系統(tǒng)的開發(fā)。他在所編寫的程序中加入了一些非法代碼，在計(jì)算其他客戶的存款利息時，把舍去的利息額加入到自己的賬號下。這樣客戶的利息不會少，自己的存款額卻在不斷增加。在當(dāng)時的環(huán)境下軟件開發(fā)過程不很規(guī)范、監(jiān)管力度不夠才會出現(xiàn)這種情況?，F(xiàn)在一些關(guān)鍵系統(tǒng)的開發(fā)不會重現(xiàn)類似情況，當(dāng)然，不再重現(xiàn)的先決條件是要嚴(yán)格監(jiān)管軟件開發(fā)的全過程。

1999-2000年，美國國內(nèi)展開指控微軟進(jìn)行行業(yè)壟斷的訴訟?，F(xiàn)在回過頭來看看，把微軟分解成兩部分未嘗不是件好事。微軟公司作為世界軟件行業(yè)的“巨無霸”，如果全世界都使用一家公司提供的從操作系統(tǒng)、辦公工具、網(wǎng)絡(luò)通訊工具到系統(tǒng)開發(fā)工具，那些不掌握源代碼的“黑客”都能非法侵入你的系統(tǒng)、獲取數(shù)據(jù)，試問，掌握所有源代碼的軟件供應(yīng)商它不能做什么？筆者非常欣賞微軟公司的軟件。和其他用戶一樣非常愿意使用微軟的軟件。確實(shí)微軟公司的軟件給我們提供了方便，并改變著我們的生活、工作方式。如果我們往深處想一想會發(fā)覺，我們使用微軟的軟件除了喜歡的成分外，更主要的是一種潛意識的“信任”。這種信任是建立在微軟公司用行業(yè)道德標(biāo)準(zhǔn)“自我約束”的基礎(chǔ)之上。

防止外部人員非法侵入企業(yè)計(jì)算機(jī)管理系統(tǒng)固然重要；完善企業(yè)內(nèi)部控制同樣重要?！氨咀钊菀讖膬?nèi)部攻破”表述的就是一種加強(qiáng)內(nèi)部控制、內(nèi)部管理的重要性的道理。因此我們必須嚴(yán)格控制管理信息系統(tǒng)內(nèi)部信息的處理過程，必須嚴(yán)格執(zhí)行有關(guān)的管理規(guī)章制度。由于內(nèi)部控制不完善、由于內(nèi)部人員缺乏職業(yè)道德而引發(fā)危及信息安全的案例并不少見。

通過與企業(yè)接觸了解到，一些企業(yè)的內(nèi)部管理制度非常規(guī)范、非常嚴(yán)格。然而，就是得不到認(rèn)真執(zhí)行。究其原因并不是內(nèi)部員工有意拒絕執(zhí)行，而是信息安全觀念淡薄。

通常，企業(yè)管理信息系統(tǒng)在儲存數(shù)據(jù)時都是將數(shù)據(jù)保存到某個數(shù)據(jù)庫文件中。由于考慮到軟件開發(fā)成本、用戶能夠接受的價格，許多小型的管理系統(tǒng)都采用Foxpro數(shù)據(jù)庫作為保存數(shù)據(jù)的工具。Foxpro非常簡單易用，但是，他有一個致命的弱點(diǎn)――缺乏一種高效、安全的數(shù)據(jù)保護(hù)功能。用戶通過正常登陸進(jìn)入系統(tǒng)后無法訪問的數(shù)據(jù)庫文件，卻可以繞過系統(tǒng)通過Foxpro系統(tǒng)直接打開數(shù)據(jù)庫文件。一些軟件開發(fā)商意識到這個問題后采用改變關(guān)鍵數(shù)據(jù)庫文件的特征字，使用戶無法在普通的Foxpro環(huán)境下打開數(shù)據(jù)庫。這種方法仍然治標(biāo)不治本，是一種“防君子不防小人”的方法。因?yàn)?，這些文件中的數(shù)據(jù)如果沒有經(jīng)過嚴(yán)格的加密處理我們?nèi)钥梢岳妙愃芼ebug工具將其打開并讀取其中的數(shù)據(jù)。

保證信息安全的方法與工具

面對種種內(nèi)憂外患，我們真的束手無策嗎？保證重要數(shù)據(jù)處于一個相對安全的位置，讓那些居心叵測的人無法輕易的接觸到，即使得到數(shù)據(jù)也是經(jīng)過嚴(yán)格加密的數(shù)據(jù)而無法輕易的還原。我們可以采用以下方法和手段。

增強(qiáng)安全意識

這句話說起來容易，真正做到這一點(diǎn)并非易事。一時的疏忽大意可能引發(fā)非常嚴(yán)重的后果。不要因?yàn)榻裉鞗]發(fā)生問題、這個月沒發(fā)生問題、今年沒發(fā)生問題就可以放松警惕，發(fā)生問題往往就在明天。另外，如果沒有安全意識，再好的工具得不到應(yīng)用、再完善的制度得不到認(rèn)真執(zhí)行。我們所做的一切都沒有任何價值、沒有任何實(shí)際意義。增強(qiáng)安全意識首先要從規(guī)章制度做起，給使用者制訂出非常明確的工作規(guī)范、工作流程、及工作內(nèi)容。制度的制定不是要相互提防，增加彼此的不信任。恰恰相反是把員工做為可信賴的人、可以維護(hù)企業(yè)利益的人。

規(guī)章制度只是目標(biāo)，不應(yīng)該把目標(biāo)的實(shí)現(xiàn)完全建立在要求每一個人都能夠自覺遵守制度、不做越雷池半步的操作，而應(yīng)該輔以硬件措施與數(shù)據(jù)加密處理。只有采用多種手段、綜合管理。才能確保信息相對安全。

硬件措施

網(wǎng)絡(luò)環(huán)境管理信息系統(tǒng)的一個共同的特點(diǎn)是數(shù)據(jù)集中管理、操作可以分步進(jìn)行。如果不做任何限制，任何一個用戶可以從任何一臺工作站登陸網(wǎng)絡(luò)、訪問網(wǎng)絡(luò)中的信息。構(gòu)建在局域網(wǎng)基礎(chǔ)上的企業(yè)管理信息系統(tǒng)同時接入Internet，那么，我們的網(wǎng)絡(luò)將暴露在所有Internet接入者面前。消除這個隱患常用的方法是在局域網(wǎng)與Internet之間架一道“防火墻”，它在防止非法Internet用戶侵入企業(yè)內(nèi)部局域網(wǎng)具有相當(dāng)?shù)淖饔谩?/p>

針對一些大型企業(yè)、集團(tuán)公司的辦公機(jī)構(gòu)，可以按照組織結(jié)構(gòu)進(jìn)行網(wǎng)絡(luò)規(guī)劃，將物理連接在一起的計(jì)算機(jī)劃分成多個“域”（部門），每一個“域”（部門）覆蓋范圍明確、相對獨(dú)立，“域”（部門）之間互不干擾，被授權(quán)的用戶可以跨“域”（部門）操作。

對于中小型公司可以規(guī)定具有特殊權(quán)限的用戶只能從某一臺工作站登陸網(wǎng)絡(luò)。例如：會計(jì)主管使用的賬號只能從會計(jì)辦公室的工作站登陸。這樣即便其他用戶掌握了會計(jì)主管的賬號和口令也無法從其他位置的工作站登陸。

數(shù)據(jù)加密處理

數(shù)據(jù)加密處理是保障信息安全的另一道屏障。一旦非法用戶對系統(tǒng)實(shí)施攻擊成功、進(jìn)入系統(tǒng)，將有可能獲取任何信息。所以，對系統(tǒng)中的數(shù)據(jù)進(jìn)行加密、尤其是對關(guān)鍵數(shù)據(jù)加密，更顯得尤為重要。因?yàn)椴捎酶邚?qiáng)度加密技術(shù)處理后，即使非法用戶得到這些數(shù)據(jù)也無法輕易進(jìn)行還原。

常用的加密技術(shù)分為，非密鑰加密技術(shù)與密鑰加密技術(shù)。密鑰加密技術(shù)又分為對稱密鑰加密技術(shù)與非對稱密鑰加密技術(shù)。

非密鑰加密技術(shù) 其加密原理：加密過程是對明文經(jīng)過加密變換處理生成密文；解密過程則是加密過程的反向操作，將密文還原成明文。因?yàn)樗募用芩惴ㄊ枪潭▽懺诔绦蚶?、并且有一定的?guī)律。一旦攻擊者掌握加密算法或者發(fā)現(xiàn)加密規(guī)律，所有加密處理就完全失去了意義。因此，這種加密技術(shù)非常脆弱，加密強(qiáng)度最低，最容易被破解。

密鑰加密技術(shù) 密鑰加密與非密鑰加密的區(qū)別在于，加密算法是公開的，加密、解密過程是通過算法與密鑰一起運(yùn)算，將明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)為明文。通常所使用的密鑰位數(shù)相當(dāng)長，采用窮舉法也無法破解。因此，信息的合法使用者只需牢牢地保管好自己的密鑰，將它放在安全的地方。

對稱密鑰加密技術(shù) 對稱密鑰加密技術(shù)特點(diǎn)是加密過程與解密過程使用的是同一個密鑰。著名對稱密鑰加密算法為DES算法，該算法加密強(qiáng)度高、不易破解。其作用是對交換數(shù)據(jù)進(jìn)行加密處理。防止非法用戶破解加密數(shù)據(jù)的有效工具。

非對稱密鑰加密技術(shù) 非對稱密鑰加密技術(shù)由一對密鑰組成，見圖1，一個為私有密鑰（由該對密鑰的所有者掌握)、另一個為公有密鑰（任何人都可以掌握）。其特點(diǎn)是加密時使用一把密鑰，解密時必須使用另一把密鑰。反向操作是不成立的（不能用加密的密鑰去解密）。著名的非對稱密鑰加密算法為RSA算法。用戶必須牢牢地保管好自己的私有密鑰。非對稱密鑰加密技術(shù)即可以用作數(shù)據(jù)加密、也可以用作“數(shù)字簽名”。在發(fā)送方與接收方之間進(jìn)行數(shù)據(jù)交換過程中，使用“數(shù)字簽名”的主要作用，可以“抗抵賴”、“防篡改”。

由于“數(shù)字簽名”中使用的密鑰加密的不可逆性，使用公有密鑰解密后的明文，加密者不能抵賴；同樣解密者無法篡改加密后的密文。

總之，有條件的企業(yè)、數(shù)據(jù)安全性要求高的企業(yè)，除了制訂并認(rèn)真執(zhí)行有關(guān)的規(guī)章制度、安裝安全性高的硬件設(shè)備、最重要的應(yīng)該自主開發(fā)數(shù)據(jù)加密模塊、并且嚴(yán)格監(jiān)控加密模塊從設(shè)計(jì)、開發(fā)到測試的全過程。保證企業(yè)內(nèi)部信息處于一個相對安全的環(huán)境。

篇10

關(guān)鍵詞：電力企業(yè)；信息網(wǎng)網(wǎng)絡(luò)安全；層次式防護(hù)體系

中圖分類號：TN915.08

網(wǎng)絡(luò)信息安全的問題主要包括了網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中重要數(shù)據(jù)受到保護(hù)，受突發(fā)或者惡意的因素而遭到破壞、更改、泄露，系統(tǒng)能夠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷等諸多方面。企業(yè)要想做好信息網(wǎng)網(wǎng)絡(luò)安全就需要構(gòu)建一個層次式防護(hù)體系，這個防護(hù)體系能夠有效的解決企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全所面臨的各種問題，給企業(yè)一個良好的網(wǎng)絡(luò)環(huán)境。

1 信息網(wǎng)絡(luò)安全層次式防護(hù)體系的防護(hù)模式

結(jié)合電力企業(yè)的實(shí)際情況，按照層次式防護(hù)體系的防護(hù)模式，可將電力企業(yè)的網(wǎng)絡(luò)信息安全分為七大模塊，分別是入侵檢測、環(huán)境與硬件、防火墻、VPN（虛擬專用網(wǎng)）、隱患掃描、病毒防范、PKI（公開密鑰基礎(chǔ)設(shè)施）。

1.1 環(huán)境與硬件、防火墻

環(huán)境與硬件以及防火墻為層次防護(hù)模式的第一、二層，是對系統(tǒng)安全要求比較高的電網(wǎng)運(yùn)行與安全穩(wěn)定的控制，還包含了電網(wǎng)調(diào)度自動化、繼電保護(hù)等實(shí)時網(wǎng)絡(luò)，使用防火墻隔離網(wǎng)關(guān)設(shè)備來連接信息網(wǎng)絡(luò)，這樣就可以獲取實(shí)時的系統(tǒng)數(shù)據(jù)，不過這樣仍有一個小的缺陷，就是不可能直接或間接的修改實(shí)時系統(tǒng)的數(shù)據(jù)，所有需要采用硬件防火墻互聯(lián)的信息網(wǎng)絡(luò)與實(shí)時網(wǎng)絡(luò)之間在物理網(wǎng)絡(luò)層的隔離，這樣就能從根本上防護(hù)非法用戶的入侵。

另外，也可在信息網(wǎng)的Internet接入口處安裝防火墻，這種防火墻主要防止來自外部的攻擊，而且企業(yè)內(nèi)各機(jī)構(gòu)之間的仍有全面的安全防火墻，目前幾乎所有的電力企業(yè)信息網(wǎng)大都建立了這兩層防護(hù)措施。不過防火墻對于一些利用合法通道而展開的網(wǎng)絡(luò)內(nèi)部攻擊顯得無能為力。因此，盡管開發(fā)防火墻能夠初步具備入侵的檢查功能，但是防火墻作為網(wǎng)關(guān)，很容易就成為網(wǎng)絡(luò)防護(hù)發(fā)展的頸瓶，不適合做過多的擴(kuò)展研究。因此，還需要和層次式防護(hù)的第三層入侵檢測等相關(guān)工具聯(lián)合起來運(yùn)用，這樣就能提高整個網(wǎng)絡(luò)的安全。

1.2 入侵檢測（IDS）

整個防護(hù)體系的第三層防護(hù)便是入侵檢測，入侵檢測不屬于網(wǎng)絡(luò)訪問控制設(shè)備，對通訊流量沒有任何限制，采用的是一種通過實(shí)時監(jiān)視網(wǎng)絡(luò)資源（系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、文件和用戶獲得的狀態(tài)行為），主動分析和尋找入侵行為的跡象，屬于一種動態(tài)的安全防護(hù)技術(shù)。一旦被檢測到入侵情況就會立即進(jìn)行日志、安全控制操作以及警告等操作，給網(wǎng)絡(luò)系統(tǒng)提供內(nèi)、外部攻擊以及一些失誤進(jìn)行安全防護(hù)。像CA公司的eTrustIntrusionDetection程序就是通過自動檢測網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式等，為網(wǎng)絡(luò)系統(tǒng)提供了先進(jìn)的網(wǎng)絡(luò)保護(hù)功能。同時還能在服務(wù)器及相關(guān)業(yè)務(wù)受到影響時，按照預(yù)先定義好的策略采取相應(yīng)的措施。

1.3 隱患掃描

防護(hù)體系的第四層防護(hù)便是隱患掃描，隱患掃描是一個全自動化的網(wǎng)絡(luò)安全評估軟件，它以黑客的視角對被檢測的系統(tǒng)進(jìn)行是否承受攻擊性的安全漏洞以及隱患掃描，同時還能夠查到可能危及網(wǎng)絡(luò)或系統(tǒng)安全的弱點(diǎn)，從而提出相應(yīng)的維修措施，提交詳細(xì)的風(fēng)險(xiǎn)評估報(bào)告。最可觀的地方在于它能夠先于黑客發(fā)現(xiàn)并彌補(bǔ)漏洞，從而防患于未然，能夠預(yù)防在安全檢查中暴露出存在網(wǎng)絡(luò)系統(tǒng)中的安全隱患，然后配合有效的修改措施，將網(wǎng)絡(luò)系統(tǒng)中運(yùn)行的風(fēng)險(xiǎn)降至最低。

隱患掃描系統(tǒng)的主要應(yīng)用在不同的場合和時宜，第一，對信息網(wǎng)作出定期的網(wǎng)絡(luò)安全自我檢測和評估。網(wǎng)絡(luò)管理員能夠定期的進(jìn)行網(wǎng)絡(luò)安全檢查服務(wù)，以最大可能限度的消除安全隱患，盡可能的發(fā)現(xiàn)漏洞然后進(jìn)行修補(bǔ)，從而優(yōu)化資源、提高網(wǎng)絡(luò)的運(yùn)行效率；第二，網(wǎng)絡(luò)建設(shè)以及網(wǎng)絡(luò)改造前后的安全規(guī)劃以及成效檢測。配備隱患掃描系統(tǒng)能夠方便的進(jìn)行安全規(guī)劃評估和成效檢測；第三，網(wǎng)絡(luò)安全隱患突發(fā)后的分析。網(wǎng)絡(luò)安全隱患突發(fā)后可以通過掃描系統(tǒng)確定網(wǎng)絡(luò)被攻擊的漏洞所在，然后幫助修補(bǔ)漏洞，能夠提供盡可能多的資料來方便調(diào)查攻擊的來源。第四，重大網(wǎng)絡(luò)安全事件發(fā)生前的準(zhǔn)備，重大網(wǎng)絡(luò)安全事件發(fā)生以前，掃描系統(tǒng)能夠及時的幫用戶找出網(wǎng)絡(luò)中存在的漏洞，并及時將其修補(bǔ)。

1.4 虛擬專用網(wǎng)（VPN）

防護(hù)體系的第五層就是虛擬專用網(wǎng)，其主要為電力企業(yè)上下級網(wǎng)絡(luò)和外出人員訪問企業(yè)網(wǎng)絡(luò)時提供一條安全、廉價的互聯(lián)方式，再加上防火墻和IDS的聯(lián)動關(guān)系，這就使得VPN的網(wǎng)絡(luò)安全性大大的得到保障，VPN的網(wǎng)絡(luò)安全性也就得到了保證。不過，目前雖然實(shí)現(xiàn)VPN的網(wǎng)絡(luò)技術(shù)和方式比較多，但不是所有的VPN均可以保證公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的安全性和專用性。一般情況下是在非面向連接的公用IP網(wǎng)絡(luò)上建立一個具有邏輯的、點(diǎn)對點(diǎn)的連接方式，這種方式稱之為建立隧道。隨后就可以利用加密技術(shù)對隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣就能保證數(shù)據(jù)只能被發(fā)送給指定的接收者，這樣極大的保證了數(shù)據(jù)的隱私性。

1.5 PKI（公開密鑰基礎(chǔ)設(shè)施）

PKI作為防護(hù)體系的第六層具有一個廣泛的接收標(biāo)準(zhǔn)，用來保護(hù)用戶的應(yīng)用和數(shù)據(jù)安全，許多安全應(yīng)用的安全標(biāo)準(zhǔn)通過PKI都有了適應(yīng)的安全標(biāo)準(zhǔn)。CA公司的eTrustPKI是個比較普遍的基礎(chǔ)設(shè)施，具有許多獨(dú)特的特點(diǎn)，如能夠優(yōu)化企業(yè)內(nèi)部的部署、簡化管理、其擴(kuò)展性比較好、有可選擇的相關(guān)硬件支持。

1.6 對病毒的防范

對病毒的防范是防護(hù)體系最后一層，其廣泛的定義在于防范惡意代碼、包括蠕蟲、密碼、邏輯炸彈以及其他未經(jīng)許可的軟件，防范病毒系統(tǒng)對網(wǎng)關(guān)、郵件系統(tǒng)、文件服務(wù)器等進(jìn)行病毒防范，這就要求病毒防范系統(tǒng)做到對病毒代碼的及時更新，并保持對病毒的查殺能力。同時，當(dāng)防病毒與防火墻一起聯(lián)動時，病毒防護(hù)系統(tǒng)會自動通知防火墻進(jìn)行相關(guān)修改。

2 對層次式安全防護(hù)體系的規(guī)范管理

層次式安全防護(hù)體系的構(gòu)建是一個復(fù)雜的系統(tǒng)工程，包含了人力、技術(shù)、以及操作等幾大要素，在整個防護(hù)體系的運(yùn)行中，最重要是需要規(guī)范操作人員的各種專業(yè)技術(shù)操作，需要建立一道信息安全管理制度來防止安全防護(hù)系統(tǒng)在運(yùn)行過程中因?yàn)閮?nèi)部人員出現(xiàn)差錯而導(dǎo)致的各種網(wǎng)絡(luò)漏洞和安全隱患，其中建立規(guī)范的管理制度應(yīng)考慮以下幾點(diǎn)：第一，建立對應(yīng)的事故預(yù)防和應(yīng)急處理方案，每天都要例行檢查備案；第二，制定嚴(yán)格的防護(hù)系統(tǒng)運(yùn)行操作制度，對網(wǎng)絡(luò)設(shè)備、存儲設(shè)備以及服務(wù)器等重要部件的運(yùn)行操作制定標(biāo)準(zhǔn)的操作制度，相關(guān)工作人員都必須參與進(jìn)去；第三，強(qiáng)化對工作人員的安全教育和培訓(xùn)，做好及時的安全工作；第四，建立日志式的管理制度，對每位用戶的操作和行為都以日志的形式記載在案，并進(jìn)行及時的跟蹤調(diào)查和審計(jì)工作。

3 結(jié)束語

網(wǎng)絡(luò)安全防護(hù)是一個動態(tài)的系統(tǒng)工程，構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系能夠有效保護(hù)電力企業(yè)信息網(wǎng)的安全，其中采取層次式安全防護(hù)體系，更是有效的將各個層次安全構(gòu)建有機(jī)的結(jié)合在一起，從而提高了整個網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)：

[1]黨林.電力企業(yè)信息系統(tǒng)數(shù)據(jù)的安全保護(hù)措施分析[J].電子技術(shù)與軟件工程，2013（17）.

[2]李志茹，張華峰，黨倩.電網(wǎng)企業(yè)信息系統(tǒng)安全防護(hù)措施的研究與探討[J].電力信息化，2012（04）.