網(wǎng)絡(luò)安全技術(shù)保障措施范文

時(shí)間:2023-12-18 17:58:23

導(dǎo)語(yǔ):如何才能寫(xiě)好一篇網(wǎng)絡(luò)安全技術(shù)保障措施,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

網(wǎng)絡(luò)安全技術(shù)保障措施

篇1

關(guān)鍵詞:網(wǎng)絡(luò)安全;信息安全;理論;實(shí)現(xiàn);保障

0 引言

目前,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用日趨廣泛,但網(wǎng)絡(luò)信息安全還存在很多問(wèn)題,網(wǎng)絡(luò)安全工作明顯滯后于網(wǎng)絡(luò)建設(shè)。網(wǎng)絡(luò)安全問(wèn)題容易造成信息泄露等問(wèn)題,造成了信息安全的問(wèn)題,嚴(yán)重的影響了各方面的發(fā)展和安全,這就需要從多方面綜合研究信息安全問(wèn)題,不斷研發(fā)解決措施,真正實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的安全有效的應(yīng)用。

1 我國(guó)信息安全技術(shù)中存在的問(wèn)題

1.1信息安全制度上 目前來(lái)說(shuō)我國(guó)頒布了一些關(guān)于信息安全的法律法規(guī)以及出臺(tái)了一些相關(guān)政府文件,例如,《網(wǎng)絡(luò)信息安全不同等級(jí)保護(hù)措施》、《國(guó)家安全法》、《互聯(lián)網(wǎng)絡(luò)信息電子簽名法》等。這些法律條例對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用以及安全有一定的約束和保護(hù),但是從全方面來(lái)看,很多條例知識(shí)針對(duì)網(wǎng)絡(luò)信息內(nèi)容進(jìn)行了規(guī)范,整體上來(lái)說(shuō)較為分散,沒(méi)有一個(gè)統(tǒng)一的概述和規(guī)劃,國(guó)家出臺(tái)了一些規(guī)劃措施,但是由于互聯(lián)網(wǎng)安全問(wèn)題的不斷發(fā)展,時(shí)代的變化造成規(guī)劃內(nèi)容并不夠明確,這些問(wèn)題給網(wǎng)絡(luò)信息安全技術(shù)帶來(lái)了一定的隱患。

1.2 信息安全技術(shù)上

1.2.1 我國(guó)信息化建設(shè)發(fā)展速度很快,但是由于發(fā)展較晚,發(fā)展時(shí)間較短,這就造成我國(guó)的信息化建設(shè)缺乏自主研發(fā)的計(jì)算機(jī)網(wǎng)絡(luò)軟硬件的信息技術(shù),很多軟件都依賴國(guó)外的進(jìn)口,這就造成網(wǎng)絡(luò)安全的巨大隱患和脆弱狀態(tài)。

1.2.2 在信息網(wǎng)絡(luò)的應(yīng)用中長(zhǎng)期存在著病毒感染的隱患,雖然網(wǎng)絡(luò)技術(shù)也在不斷的發(fā)展,但是病毒也在不斷改善,現(xiàn)代病毒能夠通過(guò)多種突進(jìn)進(jìn)行傳播和蔓延,例如,文件、網(wǎng)頁(yè)、郵件等,這些病毒具有自啟功能,能夠直接潛入核心系統(tǒng)和內(nèi)存,造成計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸出現(xiàn)問(wèn)題,嚴(yán)重的甚至出現(xiàn)系統(tǒng)癱瘓。

1.2.3 在網(wǎng)絡(luò)安全工作中,信息在網(wǎng)絡(luò)中的傳輸具有可靠性低等特點(diǎn),這就容易造成信息在網(wǎng)絡(luò)系統(tǒng)易被破解和搜索。

1.2.4 網(wǎng)絡(luò)中沒(méi)有進(jìn)行保護(hù)措施的電腦很容易受到潛在的威脅,威脅有很多方式,來(lái)自于網(wǎng)絡(luò)的內(nèi)部和外部等,木馬病毒的入侵、硬盤(pán)數(shù)據(jù)被修改等都容易造成網(wǎng)絡(luò)安全的問(wèn)題。

1.3 信息安全意識(shí)上 在網(wǎng)絡(luò)技術(shù)的不斷發(fā)展中,我們更多注重的是網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè),但是相關(guān)的管理和安全工作卻沒(méi)有跟上,對(duì)于網(wǎng)絡(luò)安全的投資和重視都嚴(yán)重不夠,一旦安全上出現(xiàn)了隱患或者問(wèn)題沒(méi)有科學(xué)有效的措施進(jìn)行及時(shí)的補(bǔ)救,甚至需要采取關(guān)閉網(wǎng)絡(luò)等方式解決,造成了問(wèn)題的嚴(yán)重化而不能真正有效的解決,在整個(gè)網(wǎng)絡(luò)運(yùn)行過(guò)程中,缺乏行之有效的安全檢查和應(yīng)對(duì)保護(hù)制度。

2 我國(guó)信息安全保障措施

2.1 制度上完善 為了保證網(wǎng)絡(luò)信息安全發(fā)展就需要制定相關(guān)的政策,保證每個(gè)行為都有據(jù)可依有法可循,由于網(wǎng)絡(luò)信息發(fā)展更新較快,這就需要對(duì)規(guī)范要求也及時(shí)跟新,保證制度上的完善,為網(wǎng)絡(luò)信息安全技術(shù)提供法律基礎(chǔ)。

2.2 技術(shù)上提高

2.2.1 數(shù)據(jù)加密技術(shù)。目前來(lái)說(shuō)數(shù)據(jù)操作系統(tǒng)安全等級(jí)分為D1,Cl,C2,B1,B2, B3,A級(jí),安全等級(jí)由低到高。在安全等級(jí)的應(yīng)用上,使用C2級(jí)操作系統(tǒng)時(shí)要盡量使用配套相關(guān)級(jí)別,對(duì)于極端重要的系統(tǒng)要使用B級(jí)或者A級(jí)的保護(hù)。

2.2.2 防火墻和防病毒軟件。防火墻和防病毒軟件是常用的一種安全防護(hù)措施,能夠?qū)Σ《緦?shí)時(shí)進(jìn)行掃描和檢測(cè),在清毒過(guò)程中由被動(dòng)轉(zhuǎn)為主動(dòng),對(duì)文件、內(nèi)存以及網(wǎng)頁(yè)等進(jìn)行實(shí)時(shí)監(jiān)控手段,一旦發(fā)現(xiàn)異常及時(shí)進(jìn)行處理,防火墻則是防病毒軟件和硬件的共同作用,利用防火墻本身內(nèi)外網(wǎng)之間的安全網(wǎng)關(guān)對(duì)數(shù)據(jù)進(jìn)行有效的過(guò)濾和篩選,控制其是否能夠進(jìn)行轉(zhuǎn)發(fā),另外防火墻還能夠?qū)π畔⒌牧飨蜻M(jìn)行控制,提供網(wǎng)絡(luò)使用狀況和流量的審計(jì)、隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)。它還可以幫助系統(tǒng)進(jìn)行有效的網(wǎng)絡(luò)安全隔離,通過(guò)安全過(guò)濾規(guī)則嚴(yán)格控制外網(wǎng)用戶非法訪問(wèn),并只打開(kāi)必須的服務(wù),防范外部的拒絕服務(wù)攻擊。

2.2.3 使用安全路由器。安全路由器的使用能對(duì)單位內(nèi)外部網(wǎng)絡(luò)的互聯(lián)、流量以及信息安全進(jìn)行有效的安全維護(hù),建設(shè)虛擬專(zhuān)用網(wǎng)是在區(qū)域網(wǎng)中將若干個(gè)區(qū)域網(wǎng)絡(luò)實(shí)體利用隧道技術(shù)連接成各虛擬的獨(dú)立網(wǎng)絡(luò),網(wǎng)絡(luò)中的數(shù)據(jù)利用加/解密算法進(jìn)行加密封裝后,通過(guò)虛擬的公網(wǎng)隧道在各網(wǎng)絡(luò)實(shí)體間傳輸,從而防止未授權(quán)用戶竊取、篡改信息。

2.2.4 安裝入侵檢測(cè)系統(tǒng)。在安全防御體系中,入侵檢測(cè)能力是一項(xiàng)重要的衡量因素,入侵檢測(cè)系統(tǒng)包括入侵檢測(cè)的軟件和硬件,入侵檢測(cè)系統(tǒng)能夠彌補(bǔ)網(wǎng)絡(luò)防火墻的靜態(tài)防御漏洞,能夠?qū)?nèi)部攻擊、外物攻擊以及誤操作等進(jìn)行實(shí)時(shí)的防護(hù)和攔截,一旦計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)安全問(wèn)題,入侵系統(tǒng)能夠及時(shí)進(jìn)行處理和完善,消除威脅。并且一種新型的網(wǎng)絡(luò)誘騙系統(tǒng)能夠?qū)θ肭终哌M(jìn)行誘騙,通過(guò)構(gòu)建一個(gè)環(huán)境真實(shí)的模擬網(wǎng)絡(luò),誘騙入侵者進(jìn)行攻擊,一旦攻擊實(shí)施就能及時(shí)進(jìn)行定位和控制,從而保護(hù)實(shí)際運(yùn)行網(wǎng)絡(luò)系統(tǒng)的安全,同時(shí)在虛擬網(wǎng)絡(luò)中還能夠獲取入侵者的信息,從而為入侵行為提供證據(jù),實(shí)現(xiàn)對(duì)入侵行為的打擊。

2.3 意識(shí)上重視 首先對(duì)于思想的強(qiáng)化和加強(qiáng)是安全管理工作的基礎(chǔ),只有人的思想得到了充分的重視才能夠?qū)W(wǎng)絡(luò)安全技術(shù)有所提高,參與人員必須熟悉相關(guān)規(guī)范要求,增強(qiáng)保密意識(shí),真正的實(shí)現(xiàn)保密安全環(huán)境的優(yōu)化。制度上要嚴(yán)格控制,設(shè)立專(zhuān)門(mén)的安全管理機(jī)構(gòu),實(shí)現(xiàn)專(zhuān)人專(zhuān)責(zé),從而保證安全管理的問(wèn)題。最后在這個(gè)信息化的時(shí)代,人才是重要的生產(chǎn)力,我們必須重視網(wǎng)絡(luò)信息安全的人才培養(yǎng),保障網(wǎng)絡(luò)人員的高技術(shù)高素質(zhì),實(shí)現(xiàn)網(wǎng)絡(luò)信息技術(shù)的安全。

3 結(jié)論

綜上所述,信息安全對(duì)于一個(gè)國(guó)家的社會(huì)經(jīng)濟(jì)發(fā)展以及文化安全等方面都十分重要。這就需要我們充分重視信息安全問(wèn)題,提高信息安全技術(shù),針對(duì)不同的問(wèn)題相應(yīng)解決,實(shí)現(xiàn)我國(guó)信息安全制度的順利運(yùn)行。

參考文獻(xiàn):

[1]李彥旭,巴大志,成立,等.網(wǎng)絡(luò)信息安全技術(shù)綜述[J].半導(dǎo)體技術(shù),2002,27(10):9-12,28.

篇2

1無(wú)線網(wǎng)絡(luò)安全體系的分析

無(wú)線網(wǎng)絡(luò)在網(wǎng)絡(luò)協(xié)議中規(guī)定的安全體系主要是WAP中規(guī)定的應(yīng)用。主要是保障數(shù)據(jù)通信在保密性、真實(shí)性、完整性以及不可否認(rèn)性四個(gè)屬性中的安全。保密性主要是從數(shù)據(jù)加密技術(shù)上來(lái)進(jìn)行保障與防御,保密性是為了確保個(gè)人隱私不被截取或者中間閱讀,通過(guò)強(qiáng)密碼加密明文致使明文不可能被別人截取,除非在接受者能夠獲取口令的情況下,否則密鑰保護(hù)足以抵擋被入侵的風(fēng)險(xiǎn)。為此,無(wú)線網(wǎng)絡(luò)安全體系必須保障加密系統(tǒng)在理論上是不可攻破的,其次是在實(shí)際操作中也是不可攻破的。系統(tǒng)不能依賴于自身密碼的保護(hù),而應(yīng)該依賴于密鑰的保護(hù),否則當(dāng)前的黑客軟件配上密碼表通過(guò)最笨的方法也能夠不斷的測(cè)試出其中的密碼設(shè)計(jì);真實(shí)性是用來(lái)確保信息人的身份內(nèi)容,它同樣是一種技術(shù),是為了在無(wú)線網(wǎng)絡(luò)應(yīng)用中確定對(duì)方同樣為身份識(shí)別人的一種要求;完整性相對(duì)于安全體系來(lái)說(shuō)是要確定所接收的數(shù)據(jù)是原始的,完整的,在其數(shù)據(jù)傳輸過(guò)程的中間環(huán)節(jié)沒(méi)有被修改過(guò)。通過(guò)數(shù)字簽名等技術(shù)制約可以降低完整性不足的風(fēng)險(xiǎn),在大多數(shù)的網(wǎng)絡(luò)攻擊情況下,完整性的重要意義甚至高于保密性,這說(shuō)明一個(gè)問(wèn)題,我們所保密的不一定的完整的,而完整的起碼是保密的;不可否認(rèn)性的意義在于強(qiáng)調(diào)認(rèn)證系統(tǒng)的安全性,即整個(gè)安全系統(tǒng)的認(rèn)證是無(wú)法被篡改的,考驗(yàn)這種安全性的內(nèi)容主要有,確認(rèn)信息的不可更改性和不能抵賴性,接受者能通過(guò)驗(yàn)證并合法,其他人無(wú)法更改和否定信息等內(nèi)容。除了數(shù)據(jù)通信的安全性外還需要無(wú)線網(wǎng)絡(luò)的安全性保障與防御,即無(wú)線傳輸層的安全保障。無(wú)線傳輸層的安全保障(WirelessTrans-PortationLayerSeeurity)主要包括無(wú)線傳輸層的規(guī)范、無(wú)線傳輸層的結(jié)構(gòu)、真實(shí)性、密鑰交換、完整性與保密性。無(wú)線傳輸層通過(guò)安全連接來(lái)保證層級(jí)規(guī)范協(xié)議的有效性,通過(guò)將客戶與整個(gè)安全網(wǎng)絡(luò)的連接來(lái)保障協(xié)議的實(shí)現(xiàn)。通過(guò)控制網(wǎng)關(guān)使用參數(shù)的可能性,確保數(shù)據(jù)的安全。協(xié)議規(guī)定要求雙方安全協(xié)商,只有本區(qū)域的網(wǎng)絡(luò)代表才能夠有資格進(jìn)入?yún)f(xié)商層級(jí),從而在虛擬的結(jié)構(gòu)中實(shí)現(xiàn)了有線網(wǎng)絡(luò)式的單線單網(wǎng)??蛻襞c網(wǎng)絡(luò)兩個(gè)終端間也能夠有效的互相驗(yàn)證。無(wú)線網(wǎng)絡(luò)的結(jié)構(gòu)是一個(gè)層級(jí)協(xié)議,握手、報(bào)警、密鑰交換以及應(yīng)用使得結(jié)構(gòu)趨于完整。無(wú)線網(wǎng)絡(luò)中的真實(shí)性是通過(guò)網(wǎng)絡(luò)證書(shū)來(lái)實(shí)現(xiàn)的,通過(guò)網(wǎng)絡(luò)證書(shū)的交換,實(shí)現(xiàn)了應(yīng)用網(wǎng)絡(luò)中的真實(shí)性確認(rèn);無(wú)線網(wǎng)絡(luò)中的完整性則是通過(guò)信息驗(yàn)證程序來(lái)進(jìn)行維護(hù)和保障,通過(guò)不同的計(jì)算方法來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)完整;無(wú)線網(wǎng)絡(luò)中的密鑰交換是一個(gè)關(guān)鍵步驟,是無(wú)線網(wǎng)絡(luò)安全性的一個(gè)具體保障措施,首先是Server發(fā)送一個(gè)Server密鑰交換信息,通過(guò)計(jì)算的方式轉(zhuǎn)移到客戶層面,客戶也通過(guò)相應(yīng)的的計(jì)算機(jī)輔助計(jì)算來(lái)實(shí)現(xiàn)密鑰的交換,雙方互相驗(yàn)證,獲得通關(guān)密碼的生成;最后,主密碼通過(guò)20字節(jié)的序號(hào)加諸于計(jì)算公式中得到保密性驗(yàn)證。這便形成了一系列的無(wú)線網(wǎng)絡(luò)安全定制,從而有效的保障的無(wú)線網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩Pl(wèi)與防御工作。

2無(wú)線網(wǎng)絡(luò)安全技術(shù)的發(fā)展

隨著全球化無(wú)線網(wǎng)絡(luò)的不斷進(jìn)步與實(shí)現(xiàn),無(wú)線網(wǎng)絡(luò)的安全技術(shù)在不斷的朝向深層次發(fā)展,這成為了支持無(wú)線網(wǎng)絡(luò)發(fā)展的最可靠保障。無(wú)線網(wǎng)絡(luò)的特點(diǎn)決定其未來(lái)發(fā)展網(wǎng)絡(luò)數(shù)據(jù)傳輸中的主流。不論是從長(zhǎng)距離傳輸還是短距離使用,無(wú)線網(wǎng)絡(luò)都將不斷的實(shí)現(xiàn)突破和發(fā)展,盡管在攻擊與防御的主要矛盾下,無(wú)線網(wǎng)絡(luò)技術(shù)的安全性從未間斷過(guò)考驗(yàn),但是正是由于危機(jī)與考驗(yàn)的出現(xiàn),為無(wú)線網(wǎng)絡(luò)的技術(shù)發(fā)展提供了可靠的發(fā)展動(dòng)力,并最終實(shí)現(xiàn)網(wǎng)絡(luò)安全的整體進(jìn)步,無(wú)線網(wǎng)絡(luò)的發(fā)展是大趨勢(shì)、大潮流,無(wú)線網(wǎng)絡(luò)安全技術(shù)保障問(wèn)題也勢(shì)必成為無(wú)線網(wǎng)絡(luò)領(lǐng)域內(nèi)發(fā)展的主要課題,成為我們必須一直關(guān)注的網(wǎng)絡(luò)基本問(wèn)題。

作者:殷明哲 單位:中國(guó)民用航空東北地區(qū)空中交通管理局吉林分局

篇3

關(guān)鍵詞:統(tǒng)計(jì)信息化;因素;措施

一、制約統(tǒng)計(jì)信息化建設(shè)的主要因素

近幾年,我國(guó)統(tǒng)計(jì)信息化建設(shè)步伐加快.目前已建成了從國(guó)家統(tǒng)計(jì)局到各省、區(qū)、市和重點(diǎn)城市統(tǒng)計(jì)局的骨干網(wǎng)絡(luò),初步形成了運(yùn)用計(jì)算機(jī)及網(wǎng)絡(luò)收集、傳輸、處理、儲(chǔ)存和統(tǒng)計(jì)資料的網(wǎng)絡(luò)環(huán)境和硬件條件。但是,由于受現(xiàn)行的統(tǒng)計(jì)體制、統(tǒng)計(jì)制度和方法的制約,現(xiàn)代信息技術(shù)的應(yīng)用受到很大的制約。具體表現(xiàn)在:

1.數(shù)據(jù)采篡和傳輸受到體制的制約。經(jīng)過(guò)“九五”統(tǒng)計(jì)信息工程建設(shè),目前己具備了國(guó)家統(tǒng)計(jì)局通過(guò)網(wǎng)絡(luò)直接采集企業(yè)數(shù)據(jù)的條件。通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施企業(yè)數(shù)據(jù)直報(bào),將大大提高統(tǒng)計(jì)數(shù)據(jù)的采集速度,同時(shí)也有利于減少地方政府對(duì)統(tǒng)計(jì)調(diào)查的干擾。但是,這種采集數(shù)據(jù)的方式也受到現(xiàn)行統(tǒng)計(jì)體制的制約。企業(yè)直接為國(guó)家統(tǒng)計(jì)局報(bào)送調(diào)查表,省、市、縣三級(jí)也需要企業(yè)數(shù)據(jù),因而國(guó)家統(tǒng)計(jì)同采集到的企業(yè)數(shù)據(jù)還要反饋給地方統(tǒng)計(jì)局,人為的增加了工作量;此外,許多地方在企業(yè)表上按自己需要又增加了一些指標(biāo),導(dǎo)致了各地的企業(yè)表指標(biāo)和結(jié)構(gòu)不一樣,給國(guó)家統(tǒng)計(jì)局進(jìn)行計(jì)算機(jī)數(shù)據(jù)審核和處職帶來(lái)麻煩;另外,由于地方政府和地方統(tǒng)計(jì)各有各自的利益,實(shí)施企業(yè)直報(bào)也遇到了一定的阻力

2.數(shù)據(jù)處理受到報(bào)表方式的制約。運(yùn)用計(jì)算機(jī)進(jìn)行統(tǒng)汁數(shù)據(jù)處理、最大的優(yōu)勢(shì)是基礎(chǔ)數(shù)據(jù)可按一定的標(biāo)志進(jìn)行任意的分組和加工,數(shù)據(jù)處理的對(duì)象應(yīng)當(dāng)是基層表。但是,目前各級(jí)政府都需要本地區(qū)的匯總數(shù)據(jù),因而許多進(jìn)度性統(tǒng)計(jì)報(bào)表采取逐級(jí)匯總的方式,報(bào)送的是綜合數(shù)據(jù)而不是基層數(shù)據(jù),其結(jié)果越往上報(bào)指標(biāo)及分組就越少,無(wú)法對(duì)調(diào)查數(shù)據(jù)按不同需要進(jìn)行再分組相加工。

3.統(tǒng)計(jì)數(shù)據(jù)庫(kù)建設(shè)受到統(tǒng)計(jì)制度的制約。由于目前各專(zhuān)業(yè)執(zhí)行的標(biāo)準(zhǔn)不完全一致,如產(chǎn)業(yè)分類(lèi)、產(chǎn)品分類(lèi)、職業(yè)分類(lèi)、城鄉(xiāng)分類(lèi)等標(biāo)準(zhǔn)不一樣,制約著建立統(tǒng)一、共用的統(tǒng)計(jì)指標(biāo)及標(biāo)準(zhǔn)庫(kù),也給建設(shè)統(tǒng)一的統(tǒng)計(jì)數(shù)據(jù)庫(kù)帶來(lái)困難。改革開(kāi)放以來(lái),我國(guó)的統(tǒng)計(jì)制度變化較大,各年度之間的統(tǒng)計(jì)指標(biāo)途徑、統(tǒng)計(jì)范圍和統(tǒng)計(jì)標(biāo)準(zhǔn)上有差別,因此,建立歷史統(tǒng)計(jì)數(shù)據(jù)庫(kù),需要銨統(tǒng)一的口徑重新整理歷史數(shù)據(jù),工作難度大,數(shù)據(jù)庫(kù)建設(shè)進(jìn)展緩慢。目前已建成的歷史統(tǒng)計(jì)數(shù)據(jù)庫(kù),由于指標(biāo)范圍、口徑和標(biāo)準(zhǔn)不一,不好使用,大多數(shù)成了“死庫(kù)”。大量的歷史統(tǒng)計(jì)數(shù)據(jù)以紙介質(zhì)為載體散存在各地、各專(zhuān)業(yè),一些歷史數(shù)據(jù)已經(jīng)丟失,其損失是不可挽回的。

二、措施

1.加強(qiáng)統(tǒng)計(jì)信息系統(tǒng)的安全教育及制度建設(shè)。要樹(shù)立全員安全意識(shí)。大力加強(qiáng)信息安全的法制建設(shè)和宣傳活動(dòng),努力增強(qiáng)廣大群眾的信息安全知識(shí)和安全防范意識(shí),自覺(jué)遵守信息安全管理的各項(xiàng)規(guī)定。嚴(yán)肅打擊各種計(jì)算機(jī)信息犯罪活動(dòng),為各種信息網(wǎng)絡(luò)的安全運(yùn)行建立起良好的社會(huì)秩序,努力構(gòu)建一個(gè)健康、良好、合作及和諧的統(tǒng)計(jì)信息系統(tǒng)運(yùn)行的社會(huì)環(huán)境。

隨著國(guó)家統(tǒng)計(jì)系統(tǒng)對(duì)網(wǎng)絡(luò)調(diào)查安全工作的重視,國(guó)家統(tǒng)計(jì)局和各地統(tǒng)計(jì)部門(mén)都結(jié)合自身情況制定了一系列的統(tǒng)計(jì)信息系統(tǒng)應(yīng)急保障預(yù)案,相應(yīng)的規(guī)章制度建設(shè)、標(biāo)準(zhǔn)制訂、技術(shù)保障措施等都得到了一定程度的完善。當(dāng)前,尤其是要加快制定《統(tǒng)計(jì)信息系統(tǒng)信息安全管理規(guī)定》,從信息安全的組織保證、人員管理、運(yùn)行環(huán)境和操作使用、管理服務(wù)等多層面建設(shè)統(tǒng)計(jì)信息系統(tǒng)的安全防范運(yùn)行新機(jī)制。

在指導(dǎo)思想方面,應(yīng)該將《統(tǒng)計(jì)法》的貫徹落實(shí)、統(tǒng)計(jì)制度及方法的改革與發(fā)展、網(wǎng)絡(luò)安全技術(shù)的普及與發(fā)展相結(jié)合,從制度和技術(shù)等方面保障統(tǒng)計(jì)信息系統(tǒng)的安全運(yùn)行。要以風(fēng)險(xiǎn)管理思想為指導(dǎo),以保障安全運(yùn)行為中心,始終牢固樹(shù)立安全防范意識(shí)。切實(shí)加強(qiáng)信息安全保障工作的組織領(lǐng)導(dǎo),落實(shí)信息安全責(zé)任制。要積極開(kāi)展不同形式的信息安全培訓(xùn),提高網(wǎng)絡(luò)統(tǒng)計(jì)報(bào)表系統(tǒng)管理和使用人員的信息化安全業(yè)務(wù)素質(zhì)。

篇4

隨著計(jì)算機(jī)技術(shù)的快速發(fā)展,以計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)為主的現(xiàn)代信息系統(tǒng)發(fā)展迅猛,人們對(duì)于數(shù)據(jù)庫(kù)信息系統(tǒng)的安全防范越來(lái)越重視,本文主要闡述了當(dāng)前數(shù)據(jù)庫(kù)信息系統(tǒng)安全方面的現(xiàn)狀以及提出了針對(duì)數(shù)據(jù)庫(kù)信息系統(tǒng)的安全防范的有效措施。

【關(guān)鍵詞】數(shù)據(jù)庫(kù)信息系統(tǒng) 安全防范 探究

隨著信息產(chǎn)業(yè)的快速發(fā)展,數(shù)據(jù)庫(kù)信息系統(tǒng)在各行各業(yè)之間都得到了很好的利用。但目前,我國(guó)數(shù)據(jù)庫(kù)的系統(tǒng)安全技術(shù)還不完善,這給數(shù)據(jù)庫(kù)信息系統(tǒng)帶來(lái)了隱患,因此,要想更好的杜絕病毒污染、黑客襲擊等狀況,就必須加強(qiáng)數(shù)據(jù)庫(kù)信息系統(tǒng)的安全防范工作。

1 數(shù)據(jù)庫(kù)信息系統(tǒng)的安全現(xiàn)狀分析

1.1 信息系統(tǒng)的安全范疇

所謂的信息系統(tǒng)安全范疇是指建立者在國(guó)家和行業(yè)的法律法規(guī)的限定下,制定出符合組織的安全管理政策,并且通過(guò)學(xué)習(xí)、培訓(xùn)等形式來(lái)提高內(nèi)部人員的安全意識(shí)、防范意識(shí),使其遵守規(guī)章制度,嚴(yán)格執(zhí)行安全政策。對(duì)于所制定的安全管理政策還要制定相關(guān)的審計(jì)制度,用來(lái)評(píng)價(jià)安全政策的效果,并監(jiān)督安全政策的實(shí)施狀態(tài),通過(guò)高超的技術(shù)手段才能保證信息和信息系統(tǒng)的安全,像病毒檢測(cè)、加密技術(shù)等技術(shù)手段就是用來(lái)提高組織系統(tǒng)的安全性的技術(shù)。

1.2 信息系統(tǒng)的安全管理水平較低

當(dāng)今社會(huì)是信息化的時(shí)代,人們對(duì)于信息安全的重視度也越來(lái)越高,尤其在政府機(jī)關(guān)、企業(yè)中,一些信息、文件等都是非常機(jī)密,因此,就需要提高安全技術(shù)來(lái)保證信息系統(tǒng)的安全性。但是,如今的信息系統(tǒng)的安全管理還存在很多問(wèn)題,首先,對(duì)于信息系統(tǒng)的安全技術(shù)保障體系還不完善,雖然很多企業(yè)購(gòu)買(mǎi)了信息安全設(shè)備,但是由于技術(shù)保障不成體系,仍然達(dá)不到保障信息安全的效果。

1.3 信息安全面臨的威脅不容小覷

信息安全面臨的威脅主要體現(xiàn)在以下三點(diǎn):

1.3.1 人員威脅

隨著科技的發(fā)展,信息化時(shí)代的到來(lái),自動(dòng)化設(shè)備的提高,人員在信息處理過(guò)程中的參與度逐漸減少,另外由于人員的安全意識(shí)不高,對(duì)于設(shè)備的操作容易造成失誤,還有的人甚至故意破壞,這些行為都給信息安全帶來(lái)了極大的隱患。

1.3.2 技術(shù)威脅

技術(shù)威脅主要包括四個(gè)方面:

(1)物理方面的威脅:主要指的是信息在存儲(chǔ)和產(chǎn)生以及處理、傳輸、使用的過(guò)程當(dāng)中涉及到的物理設(shè)備所處環(huán)境的安全,如果最基本的物理設(shè)備受到了破壞,那么信息安全問(wèn)題也就無(wú)從談起了。(2)系統(tǒng)方面的威脅:主要是指系統(tǒng)受到了病毒、木馬的侵犯導(dǎo)致的系統(tǒng)崩潰,系統(tǒng)的威脅主要來(lái)自于安全技術(shù)的滯后。(3)應(yīng)用方面的威脅:主要指應(yīng)用程序帶來(lái)的威脅,其本身的誤用、濫用都會(huì)帶來(lái)安全隱患問(wèn)題。(4)是數(shù)據(jù)面臨的威脅:信息系統(tǒng)的數(shù)據(jù)是精確的、詳細(xì)的,如果遭到了竊取、篡改、偽造,會(huì)造成信息系統(tǒng)中數(shù)據(jù)的泄漏和失效,其后果不言而喻。

1.3.3 信息安全組織不完善

信息安全組織負(fù)責(zé)管理系統(tǒng)的制定以及規(guī)劃和部署、維護(hù)等,推動(dòng)和領(lǐng)導(dǎo)組織的信息建設(shè),一旦管理不善,勢(shì)必會(huì)造成信息安全組織體系的混亂,缺乏領(lǐng)導(dǎo)核心,不能協(xié)調(diào)各方面的資源,不能有效監(jiān)督,這些漏洞都會(huì)對(duì)信息安全造成很大的危害。

2 加強(qiáng)數(shù)據(jù)庫(kù)信息系統(tǒng)安全的策略

2.1 用戶認(rèn)證和鑒別

為了確保數(shù)據(jù)庫(kù)的系統(tǒng)安全,對(duì)于訪問(wèn)數(shù)據(jù)庫(kù)的用戶必須要進(jìn)行認(rèn)證,可以對(duì)用戶進(jìn)行ID、密碼的確認(rèn)來(lái)檢查其身份是否合法,通過(guò)用戶認(rèn)證還可以進(jìn)行授權(quán)訪問(wèn)、審計(jì)等相應(yīng)的跟蹤。

2.2 數(shù)據(jù)加密

數(shù)據(jù)是數(shù)據(jù)庫(kù)系統(tǒng)中重要的信息,因此,對(duì)于數(shù)據(jù)的保護(hù)格外重要,為了避免不法用戶的盜取、惡意篡改數(shù)據(jù)庫(kù)信息數(shù)據(jù),可以通過(guò)對(duì)數(shù)據(jù)加密來(lái)保證其安全,主要有三種加密方式:

(1)字段加密。這種加密模式是直接對(duì)數(shù)據(jù)庫(kù)當(dāng)中的最小單位進(jìn)行加密(MD5是目前應(yīng)用最多的密碼字段保護(hù)方法)。

(2)文件加密。把重要的信息和文件一起進(jìn)行加密,在使用文件時(shí)對(duì)其進(jìn)行解密,不使用時(shí)進(jìn)行加密。

(3)記錄加密。這種加密模式和文件加密相似,但是加密的單位主要是記錄不是文件,我們?cè)L問(wèn)數(shù)據(jù)庫(kù)時(shí),都是以二維表方式進(jìn)行的,二維表的每一行就是數(shù)據(jù)庫(kù)的一條記錄,以記錄為單位進(jìn)行加密的話,每讀寫(xiě)一條記錄,只需進(jìn)行一次加解密的操作,對(duì)于不需要訪問(wèn)的記錄,完全不需要進(jìn)行操作,所以使用起來(lái)效率會(huì)高一些。

2.3 數(shù)據(jù)庫(kù)的備份、恢復(fù)

為了避免數(shù)據(jù)庫(kù)的丟失,對(duì)數(shù)據(jù)庫(kù)的備份和恢復(fù)工作要充分、及時(shí),以增強(qiáng)系統(tǒng)的可靠性,最大限度的減少軟件、硬件的故障。

2.4 檢查入侵技術(shù)

檢查入侵技術(shù)顧名思義就是檢查數(shù)據(jù)庫(kù)系統(tǒng)是否遭到入侵的技術(shù),根據(jù)IETF,其技術(shù)體系包含四個(gè)組件:事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫(kù)。事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件,并向系統(tǒng)的其他部分提供此事件,事件分析器分析得到的數(shù)據(jù),并產(chǎn)生分析結(jié)果,響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元,它可以做出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),也可以只是簡(jiǎn)單的報(bào)警,事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱,它可以是復(fù)雜的數(shù)據(jù)庫(kù),也可以是簡(jiǎn)單的文本文件。

2.5 防火墻技術(shù)

防火墻技術(shù)可以說(shuō)是保護(hù)數(shù)據(jù)庫(kù)系統(tǒng)安全的最重要也是最通用的一項(xiàng)技術(shù),防火墻是不同網(wǎng)絡(luò)安全域間信息唯一的進(jìn)出口,具有較強(qiáng)的抗攻擊性,能根據(jù)安全政策來(lái)允許、監(jiān)測(cè)、拒絕進(jìn)出網(wǎng)絡(luò)的信息,不僅能夠保證網(wǎng)絡(luò)環(huán)境的安全、控制終端信息的外泄,還可以監(jiān)控審計(jì)對(duì)網(wǎng)絡(luò)的訪問(wèn)、存取,極大的提高了對(duì)數(shù)據(jù)庫(kù)信息系統(tǒng)安全防范工作的水平。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger,DNS等服務(wù)。

3 結(jié)束語(yǔ)

數(shù)據(jù)庫(kù)信息系統(tǒng)作為重要的信息交換手段、各個(gè)企業(yè)良好合作的平臺(tái),它的安全保障措施十分重要,因此,要加強(qiáng)研制新的安全技術(shù),完善數(shù)據(jù)庫(kù)信息系統(tǒng)的安全防范,為數(shù)據(jù)庫(kù)信息系統(tǒng)提供全面的安全保障。

參考文獻(xiàn)

[1]張華桁,宋立群,柯科峰,王虹菲,宋志成.構(gòu)架信息系統(tǒng)的安全策略研究與開(kāi)發(fā)[J].計(jì)算機(jī)工程與應(yīng)用,2010(03):22-26.

[2]劉青.管理信息系統(tǒng)數(shù)據(jù)庫(kù)的現(xiàn)狀與安全策略[J].廣東科技,2011(05):11-12.

[3]張呈宇.淺談數(shù)據(jù)庫(kù)信息安全問(wèn)題[J].硅谷,2010(01):33-36.

作者簡(jiǎn)介

張瑞浩(1991-),男,安徽省宿州市人?,F(xiàn)為遼寧大學(xué)信息學(xué)院碩士研究生。研究方向?yàn)橛?jì)算機(jī)系統(tǒng)結(jié)構(gòu)。

篇5

【關(guān)鍵詞】數(shù)字圖書(shū)館 網(wǎng)絡(luò)安全 信息安全 管理責(zé)任 措施

目前,我國(guó)國(guó)內(nèi)數(shù)字圖書(shū)館網(wǎng)絡(luò)信息安全(以下簡(jiǎn)稱為網(wǎng)絡(luò)信息安全)應(yīng)用研究方面,大多都側(cè)重于技術(shù),認(rèn)為信息安全是一個(gè)技術(shù)性的問(wèn)題,其所有出現(xiàn)的問(wèn)題都依賴于先進(jìn)技術(shù)。但信息技術(shù)無(wú)論多么完善,它都無(wú)法回答如下問(wèn)題:管理主體、制度在信息安全中的責(zé)任;技術(shù)、人、制度三者之間的關(guān)系;如何能夠解決信息安全可持續(xù)發(fā)展問(wèn)題;為什么在信息技術(shù)很發(fā)達(dá)的情況下,信息安全問(wèn)題依然存在,事故依然頻繁發(fā)生等等??梢?jiàn),信息安全除了信息技術(shù)影響之外必有其他方面深層次的原因。僅側(cè)重于技術(shù)的應(yīng)用研究,還不能適應(yīng)信息安全實(shí)踐發(fā)展的需求,信息安全研究仍有繼續(xù)深化的必要。

網(wǎng)絡(luò)信息安全分析

網(wǎng)絡(luò)信息安全包括信息的安全和網(wǎng)絡(luò)系統(tǒng)的安全兩層意思,信息的安全是指保護(hù)基礎(chǔ)運(yùn)行信息、服務(wù)器信息、用戶信息、網(wǎng)絡(luò)信息資源等信息或數(shù)據(jù)的機(jī)密性、完整性和可用性,同時(shí)還需要對(duì)信息風(fēng)險(xiǎn)和信息控制之間的最優(yōu)平衡有非凡的理解。機(jī)密性要求保證信息不泄露給未經(jīng)授權(quán)的人。完整性要求防止信息被未經(jīng)授權(quán)的篡改和破壞??捎眯允侵副WC訪問(wèn)信息的用戶可以在不受干涉和阻礙的情況下對(duì)信息進(jìn)行訪問(wèn)和使用。網(wǎng)絡(luò)系統(tǒng)安全是指保護(hù)網(wǎng)絡(luò)信息系統(tǒng)設(shè)備中的硬件、軟件和網(wǎng)絡(luò)系統(tǒng)的正常狀態(tài)和安全運(yùn)行。概括地講,網(wǎng)絡(luò)信息安全就是指采用技術(shù)、管理等多種措施,保護(hù)網(wǎng)絡(luò)系統(tǒng)連續(xù)正常運(yùn)行,保護(hù)各種資源不因自然或人為因素遭到破壞、更改、泄露或非法占用。

網(wǎng)絡(luò)信息安全技術(shù)。先進(jìn)的安全技術(shù)是實(shí)現(xiàn)信息安全的重要手段,許多網(wǎng)絡(luò)信息系統(tǒng)安全性保障都要依靠技術(shù)手段來(lái)實(shí)現(xiàn)。像信息安全所用到的防火墻技術(shù)、入侵檢測(cè)或流量分析技術(shù)、認(rèn)證控制技術(shù)、VLAN技術(shù)、加密技術(shù)、VPN、病毒防護(hù)技術(shù)、容災(zāi)技術(shù)等多項(xiàng)安全技術(shù),為確保圖書(shū)館網(wǎng)絡(luò)信息的保密性、完整性和可用性提供了強(qiáng)有力的支持。

制度和制度執(zhí)行力。制定嚴(yán)格有效的安全管理制度規(guī)范人的行為,使人遵守規(guī)則,這是技術(shù)涉及不到的層面。而信息的保密性、完整性和可用性只有通過(guò)技術(shù)手段才能得以實(shí)現(xiàn),卻又是制度所不能解決的。在信息安全實(shí)踐中,技術(shù)與制度二者不能斷然分開(kāi),是相輔相成的,技術(shù)是一種硬手段,制度是一種規(guī)范性的軟手段。目前,國(guó)內(nèi)數(shù)字圖書(shū)館在安全管理制度建設(shè)方面存在著諸多問(wèn)題。一是制度不完善。我國(guó)數(shù)字圖書(shū)館安全管理制度還不健全,缺乏嚴(yán)格、細(xì)致、有效的安全管理規(guī)定與安全技術(shù)相配套。二是缺乏安全教育培訓(xùn)常態(tài)機(jī)制。圖書(shū)館館員以及用戶安全意識(shí)薄弱,網(wǎng)絡(luò)安全知識(shí)缺乏,知識(shí)產(chǎn)權(quán)保護(hù)意識(shí)不強(qiáng)。三是信息安全監(jiān)督審查機(jī)制不健全。監(jiān)督審查機(jī)制不健全,將導(dǎo)致安全管理制度流于形式,圖書(shū)館無(wú)法及時(shí)找出安全管理漏洞和不足,無(wú)法對(duì)安全管理漏洞及早采取補(bǔ)救措施。四是制度執(zhí)行不力。從目前圖書(shū)館規(guī)章制度的建設(shè)來(lái)看,不缺少嚴(yán)謹(jǐn)細(xì)密的典章制度,缺少的是對(duì)規(guī)章條款的不折不扣地執(zhí)行。一些圖書(shū)館存在有章不循、有規(guī)不依,獎(jiǎng)懲不嚴(yán)、問(wèn)責(zé)流于形式,安全督查不到位等種種問(wèn)題。制定的制度是為了執(zhí)行,因?yàn)橹挥袌?zhí)行才能把制度確定的各項(xiàng)要求落到實(shí)處,得不到執(zhí)行的制度是毫無(wú)用處的,制度也就名存實(shí)亡。

網(wǎng)絡(luò)信息安全管理。網(wǎng)絡(luò)信息安全的主體是人,客體是網(wǎng)絡(luò)信息安全防御體系,網(wǎng)絡(luò)信息安全實(shí)際上就是主客體互動(dòng)的過(guò)程。技術(shù)研究的對(duì)象是物,而物是沒(méi)有目的、沒(méi)有意義可言的,它不涉及人及其行為。技術(shù)只是一種手段,網(wǎng)絡(luò)信息安全必然涉及到人及其行為和制度問(wèn)題。安全管理貫穿于整個(gè)信息安全防御體系,包括建立安全管理組織、制定安全目標(biāo)、制定安全防護(hù)策略、建立安全管理制度、制定安全規(guī)劃與應(yīng)急方案、對(duì)員工進(jìn)行安全意識(shí)教育培訓(xùn)等內(nèi)容。安全技術(shù)只有在有效的管理控制之下,才能得以較好地實(shí)施。可見(jiàn),嚴(yán)格的安全管理是網(wǎng)絡(luò)信息安全的根本保證。隨著數(shù)字圖書(shū)館建設(shè)的深入,網(wǎng)絡(luò)信息安全問(wèn)題日趨凸顯。目前,國(guó)內(nèi)過(guò)多地強(qiáng)調(diào)技術(shù)的作用,將建設(shè)的重點(diǎn)放在技術(shù)上,致使安全管理工作跟不上技術(shù)發(fā)展的步伐。有人對(duì)2009年我國(guó)30家數(shù)字圖書(shū)館信息安全管理現(xiàn)狀進(jìn)行調(diào)研,發(fā)現(xiàn)在已發(fā)生的安全事件中,三分之一的安全事件是由安全管理機(jī)制不夠完善引起的,而事件發(fā)生原因中管理因素高達(dá)70%以上。可見(jiàn),安全管理上的缺失已成為數(shù)字圖書(shū)館整個(gè)網(wǎng)絡(luò)信息系統(tǒng)不安全因素中的主要因素之一,對(duì)數(shù)字圖書(shū)館產(chǎn)生的危害遠(yuǎn)大于其他方面。這里主要討論對(duì)人的管理問(wèn)題,人的認(rèn)識(shí)和觀念問(wèn)題。著名的前黑客凱文?米蒂尼說(shuō)過(guò),盡管很多公司采取了安全防護(hù)措施,但這些安全措施在網(wǎng)絡(luò)犯罪面前仍然顯得不堪一擊,原因是他們忽略了網(wǎng)絡(luò)安全最為薄弱的環(huán)節(jié)――人的因素。數(shù)字圖書(shū)館擁有功能非常強(qiáng)大的網(wǎng)絡(luò)信息系統(tǒng)和最先進(jìn)的安全技術(shù)設(shè)施,但卻有可能緣于人而產(chǎn)生失誤,致使安全管理存在諸多隱患和不足,從而導(dǎo)致數(shù)字圖書(shū)館網(wǎng)絡(luò)信息系統(tǒng)面臨一系列信息安全問(wèn)題。如引入木馬、病毒或其他危害程序;網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行不正常甚至癱瘓,信息外泄,無(wú)法應(yīng)對(duì)新出現(xiàn)的信息安全突發(fā)事件等,這與相關(guān)人員特別是一些負(fù)責(zé)人員對(duì)安全管理的不重視、認(rèn)識(shí)不足以及責(zé)任感缺失有關(guān)。

圖書(shū)館管理者的安全管理理念的滯后,對(duì)安全管理的重要性缺乏深層的認(rèn)識(shí),導(dǎo)致決策上的失誤或管理不足,將給數(shù)字圖書(shū)館的網(wǎng)絡(luò)信息安全帶來(lái)不可估量的損失。如有的管理者的管理理念,還停留在傳統(tǒng)圖書(shū)館封閉式內(nèi)部局域網(wǎng)安全管理模式上,并沒(méi)有認(rèn)識(shí)到數(shù)字圖書(shū)館更為開(kāi)放的環(huán)境將面臨更趨嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題,致使在網(wǎng)絡(luò)信息安全事件防御方面處于被動(dòng)狀態(tài),有的管理者雖然認(rèn)識(shí)到網(wǎng)絡(luò)信息安全問(wèn)題的嚴(yán)峻性,但卻認(rèn)為只要加大對(duì)安全產(chǎn)品的投入,購(gòu)買(mǎi)并安裝了最先進(jìn)的安全技術(shù)產(chǎn)品,就可以高枕無(wú)憂了,或誤認(rèn)為到了信息技術(shù)特別發(fā)達(dá)的時(shí)候,網(wǎng)絡(luò)信息安全維護(hù)管理是管理員的事情,與其他館員無(wú)關(guān)?;蛘`認(rèn)為安全維護(hù)與管理都是服務(wù)提供商的事,圖書(shū)館只管應(yīng)用就行了。不重視安全責(zé)任意識(shí)教育與技能培訓(xùn),導(dǎo)致一些安全管理技術(shù)人員思想麻痹大意,安全責(zé)任意識(shí)不強(qiáng),不知道網(wǎng)絡(luò)信息安全的薄弱環(huán)節(jié),不了解保護(hù)網(wǎng)絡(luò)信息安全的責(zé)任以及在對(duì)付入侵行為方面的責(zé)任。

沒(méi)有安全責(zé)任和責(zé)任分配機(jī)制,對(duì)信息安全責(zé)任人的責(zé)任內(nèi)容、范圍、責(zé)任分配不清楚。圖書(shū)館管理者制定的員工崗位責(zé)任書(shū),責(zé)任劃分不明、工作內(nèi)容描述不清,導(dǎo)致館員不清楚應(yīng)在什么范圍和限度內(nèi)對(duì)自己的職業(yè)行為負(fù)有責(zé)任,應(yīng)該承擔(dān)何種責(zé)任和義務(wù)。致使出現(xiàn)安全管理問(wèn)題時(shí),不是相互推諉,就是聽(tīng)之任之。不重視對(duì)高素養(yǎng)、高技能安全管理技術(shù)人才的引進(jìn)與培養(yǎng),一些圖書(shū)館的館內(nèi)安全管理工作多為業(yè)務(wù)培訓(xùn),但缺乏全面的安全管理知識(shí)和技能,對(duì)不斷發(fā)展的新技術(shù)缺少深入和細(xì)致的了解和掌握,應(yīng)付網(wǎng)絡(luò)安全突發(fā)事件的預(yù)警能力不夠強(qiáng)。由于安全知識(shí)與技能的欠缺,導(dǎo)致他們無(wú)法應(yīng)對(duì)新出現(xiàn)的網(wǎng)絡(luò)安全突發(fā)事件。應(yīng)該清楚地看到,人是具有理性和非理性的,要使人的理于信息安全,必須要借助于制度規(guī)范,使人沿著信息安全正確的規(guī)定自覺(jué)行動(dòng)。

應(yīng)該指出,制度只是一種方法,是有邊界的,并不是萬(wàn)能的。無(wú)論多么完善的制度,如果不被執(zhí)行也形同一張廢紙。同時(shí),制度具有剛性,它不能時(shí)刻隨著網(wǎng)絡(luò)信息安全的變化而變化,落后的制度有可能阻礙網(wǎng)絡(luò)信息安全的建設(shè)。綜上所述,制度、技術(shù)和管理人員的責(zé)任意識(shí)都有自己的邊界,如若單一運(yùn)行制度、技術(shù),即便是極為負(fù)責(zé)任的管理人員,也不可能完善地解決信息安全問(wèn)題。因此,技術(shù)、制度、管理主體(人)的責(zé)任應(yīng)三管齊下,才能真正預(yù)防和因減少技術(shù)、管理等因素所導(dǎo)致的網(wǎng)絡(luò)信息安全問(wèn)題,最大程度地保護(hù)網(wǎng)絡(luò),使其安全運(yùn)行,并最大限度地挽回網(wǎng)絡(luò)信息系統(tǒng)損失。

網(wǎng)絡(luò)信息安全保障措施

網(wǎng)絡(luò)信息安全需要技術(shù)(支撐)和管理(落實(shí))的雙重保證。從安全防范技術(shù)層面上講,國(guó)內(nèi)的數(shù)字圖書(shū)館都有較為成熟的防御體系,但在安全管理方面,數(shù)字圖書(shū)館還須做諸多努力。

加強(qiáng)網(wǎng)絡(luò)信息安全教育與培訓(xùn),樹(shù)立安全責(zé)任意識(shí)。圖書(shū)館管理者應(yīng)改變重技術(shù)輕管理的觀念,樹(shù)立全新的安全管理理念,針對(duì)圖書(shū)館館員以及讀者安全意識(shí)薄弱、安全措施不落實(shí)等現(xiàn)狀,組織開(kāi)展多層次、多方位的網(wǎng)絡(luò)信息安全宣傳工作。要加大對(duì)安全防范措施檢查的力度,開(kāi)展崗前培訓(xùn)、現(xiàn)場(chǎng)網(wǎng)絡(luò)安全教育與技能培訓(xùn),提倡自主學(xué)習(xí),派送技術(shù)骨干再深造等。定期或不定期舉辦網(wǎng)絡(luò)信息安全教育與技能培訓(xùn)講座,將促使館員熟知圖書(shū)館相關(guān)的安全管理規(guī)章制度,掌握相關(guān)設(shè)備的正確操作規(guī)程,以及確保系統(tǒng)和數(shù)據(jù)安全的操作方法。定期或不定期地組織館內(nèi)工作人員學(xué)習(xí)相關(guān)的法律法規(guī)和政策,使他們具有較強(qiáng)的安全防范意識(shí),以及執(zhí)行制度的意識(shí)和能力。圖書(shū)館要經(jīng)常派遣館內(nèi)重點(diǎn)培養(yǎng)的年輕技術(shù)管理骨干參加國(guó)內(nèi)外信息安全方面的技術(shù)培訓(xùn),鼓勵(lì)他們自主學(xué)習(xí),及早掌握安全技術(shù)與管理新理論、新技術(shù)、新方法,掌握新的網(wǎng)絡(luò)及安全產(chǎn)品的功能,了解網(wǎng)絡(luò)病毒、密碼攻擊、分組竊聽(tīng)、IP欺騙、拒絕服務(wù)、端口攻擊等多樣化攻擊手段。安全管理員要定期對(duì)網(wǎng)絡(luò)信息安全狀況進(jìn)行風(fēng)險(xiǎn)評(píng)估,及時(shí)修正安全缺陷、評(píng)估缺失,及早采取補(bǔ)救措施。安全維護(hù)僅僅依靠館內(nèi)為數(shù)不多的安全管理技術(shù)人員是遠(yuǎn)遠(yuǎn)不夠的,它還需要依靠全體館員、用戶(讀者)的同心協(xié)力。通過(guò)安全意識(shí)教育,使全體館員及用戶明確自身權(quán)限和義務(wù),嚴(yán)格、自覺(jué)地遵守圖書(shū)館上網(wǎng)規(guī)定,不越權(quán)、不隨意下載和安裝盜版或共享軟件,同時(shí)保管好自己的密碼,經(jīng)常加固系統(tǒng),提高系統(tǒng)的安全性。

強(qiáng)化制度建設(shè),提高制度執(zhí)行力。制度的貫徹落實(shí),不但要求制度本身的科學(xué)合理,還要求對(duì)制度的不折不扣地執(zhí)行。提高制度的執(zhí)行力,首先要不斷創(chuàng)新與完善安全管理工作制度。制度本身是否科學(xué)合理,對(duì)制度執(zhí)行力大小有著根本性的影響。因此,對(duì)具有嚴(yán)肅性和不可違反性的包含有操作程序、技術(shù)要求、安全條例等項(xiàng)內(nèi)容的規(guī)章制度,數(shù)字圖書(shū)館要不斷根據(jù)網(wǎng)絡(luò)信息安全發(fā)展中出現(xiàn)的新問(wèn)題、新情況,對(duì)不合時(shí)宜的制度及時(shí)進(jìn)行修正和補(bǔ)充。制度完善不能盲目跟風(fēng),各個(gè)圖書(shū)館必須結(jié)合自身特點(diǎn),不斷總結(jié)制度建設(shè)中的經(jīng)驗(yàn)教訓(xùn),改革創(chuàng)新完善制度建設(shè)的內(nèi)容,力求實(shí)現(xiàn)制度的可持續(xù)發(fā)展。另外,建立監(jiān)督審計(jì)機(jī)制,強(qiáng)化責(zé)任監(jiān)督,確保網(wǎng)絡(luò)信息安全管理效能。數(shù)字圖書(shū)館安全防護(hù)體系要做到“事前防范、事中控制、事后審計(jì)”,在制度上就必須做出預(yù)先的安排,以檢測(cè)危機(jī)事件,并做出預(yù)警準(zhǔn)備,以事前預(yù)防和控制替代事后的責(zé)任威懾。設(shè)立專(zhuān)門(mén)的主管部門(mén),通過(guò)網(wǎng)絡(luò)信息安全主管部門(mén)這一監(jiān)督主體,加大對(duì)安全管理制度的監(jiān)督審計(jì),通過(guò)及時(shí)修正完善各項(xiàng)安全管理規(guī)章制度,加強(qiáng)對(duì)安全工作的督查檢查,以提高相關(guān)工作人員遵章守紀(jì)的安全意識(shí)。其次,要提高制度主體(人)的執(zhí)行力。任何制度要達(dá)到有效的管理效能,就必須通過(guò)制度主體相關(guān)人員的具體行為實(shí)現(xiàn)。而相關(guān)人員的責(zé)任心、態(tài)度、素質(zhì)及能力水平,直接影響著制度執(zhí)行行為和方式的選擇,直接關(guān)系著制度執(zhí)行力的高低。主體要提高執(zhí)行力,就必須強(qiáng)化制度認(rèn)知。網(wǎng)絡(luò)信息安全管理體系的建設(shè),離不開(kāi)不斷創(chuàng)新和完善的規(guī)章制度和制度的落實(shí)。對(duì)制度有準(zhǔn)確認(rèn)知,制度才有可能落在實(shí)處。為此,數(shù)字圖書(shū)館要特別組織相關(guān)負(fù)責(zé)人員及館員認(rèn)真學(xué)習(xí)相關(guān)的政策、法律法規(guī)和安全管理規(guī)章制度,使他們對(duì)制度的實(shí)現(xiàn)目標(biāo)、內(nèi)容、作用、邊界等準(zhǔn)確認(rèn)知。特別是對(duì)各自的責(zé)任和義務(wù)等的準(zhǔn)確認(rèn)知,如明確崗位職責(zé),使每一位管理人員按照自己的崗位和職權(quán)管理使用系統(tǒng);明確責(zé)任,使安全管理技術(shù)人員懂得他們是技術(shù)責(zé)任第一人,懂得自己責(zé)任邊界及范圍。使圖書(shū)館管理者明確他們是安全管理責(zé)任第一人,是安全制度的制定者又是安全制度的督察者。主體對(duì)制度內(nèi)容、邊界等準(zhǔn)確認(rèn)知,才能對(duì)照制度找差距,發(fā)現(xiàn)薄弱環(huán)節(jié)和問(wèn)題,及時(shí)糾正,才能將責(zé)任認(rèn)識(shí)內(nèi)化為行為準(zhǔn)則,最終上升為自覺(jué)行為。主體要提高執(zhí)行力,需增強(qiáng)對(duì)制度認(rèn)同。通過(guò)自主學(xué)習(xí)、教育培訓(xùn)、有針對(duì)性的實(shí)踐活動(dòng)不斷提高制度主體的素質(zhì),提高執(zhí)行制度能力水平,從而增強(qiáng)全體館員特別是安全管理技術(shù)人員對(duì)管理制度中包含操作規(guī)程、技術(shù)要求、安全條例等項(xiàng)內(nèi)容的硬性管理規(guī)章制度的認(rèn)同。如系統(tǒng)安全責(zé)任與監(jiān)管制度;重要軟件系統(tǒng)和關(guān)鍵硬件設(shè)備的操作制度;系統(tǒng)管理人員、操作人員責(zé)任制度;用戶權(quán)限分配和管理制度;系統(tǒng)災(zāi)難應(yīng)急預(yù)案;事故責(zé)任認(rèn)定和責(zé)任追究制度等制度的認(rèn)同。主體要提高執(zhí)行力,還需堅(jiān)持說(shuō)服教育與強(qiáng)制執(zhí)行相結(jié)合,綜合利用多種執(zhí)行手段,有效推動(dòng)制度執(zhí)行。

篇6

關(guān)鍵詞:網(wǎng)絡(luò) 會(huì)計(jì)信息系統(tǒng) 安全

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)給財(cái)務(wù)管理帶來(lái)新的理念,系統(tǒng)的使用者突破時(shí)空限制,可以隨時(shí)隨地通過(guò)網(wǎng)絡(luò)訪問(wèn)會(huì)計(jì)信息系統(tǒng),了解組織的業(yè)務(wù)狀況和財(cái)務(wù)狀況。網(wǎng)絡(luò)環(huán)境為信息資源共享提供了極大的便利,同時(shí)也帶來(lái)巨大的安全隱患。對(duì)于會(huì)計(jì)信息系統(tǒng)來(lái)講,面臨著越來(lái)越多的安全問(wèn)題,如果不能很好地解決該問(wèn)題,必將阻礙會(huì)計(jì)信息化發(fā)展進(jìn)程。

一、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)面臨的安全問(wèn)題

(一)會(huì)計(jì)系統(tǒng)存在被攻擊、竊取的風(fēng)險(xiǎn) 信息系統(tǒng)最容易受到的是病毒與黑客攻擊,都會(huì)對(duì)計(jì)算機(jī)或信息系統(tǒng)構(gòu)成安全威脅目前,金融、零售等信息化高度集中的行業(yè)很容易遭受到黑客攻擊;政府、軍隊(duì)、教育科研等機(jī)構(gòu)也成為黑客攻擊的重要對(duì)象;會(huì)計(jì)信息系統(tǒng),由于涉及到機(jī)構(gòu)的核心機(jī)密,更容易受到攻擊。據(jù)瑞星估算,僅2010年,針對(duì)網(wǎng)絡(luò)的攻擊就高達(dá)10萬(wàn)次以上,主要來(lái)源于美、日、韓等國(guó)。一般來(lái)講,經(jīng)濟(jì)發(fā)達(dá)地區(qū)受攻擊的比例會(huì)更高。網(wǎng)絡(luò)環(huán)境下,財(cái)務(wù)信息將面臨被竊取的風(fēng)險(xiǎn)。一方面,許多機(jī)構(gòu)沒(méi)有成熟的安全管理機(jī)制,甚至僅依靠瀏覽器或Web服務(wù)器中的SSL安全協(xié)議;另一方面,目前的操作系統(tǒng)主要由國(guó)外研制,企業(yè)很難判斷其中是否存在后門(mén)或缺陷,極可能導(dǎo)致財(cái)務(wù)信息外泄。此外,大型企業(yè)的會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)主要集中在服務(wù)器上,如果服務(wù)器管理人員不小心泄露密碼,甚至內(nèi)外勾結(jié),則所有財(cái)務(wù)信息都可能被竊取。

(二)會(huì)計(jì)數(shù)據(jù)真實(shí)、完整、可靠性面臨考驗(yàn) 會(huì)計(jì)數(shù)據(jù)有可能會(huì)失真,主要有數(shù)據(jù)篡改和數(shù)據(jù)偽造兩種形式。數(shù)據(jù)篡改是指入侵者從網(wǎng)上將信息截獲,按照數(shù)據(jù)的格式和規(guī)律,修改數(shù)據(jù)信息,然后發(fā)送給目的地,數(shù)據(jù)篡改破壞了數(shù)據(jù)的完整性。數(shù)據(jù)偽造則是指入侵者偽裝成“商家”或“合法用戶”,給對(duì)方發(fā)送郵件、訂單等虛假信息,從而竊取個(gè)人密碼或商業(yè)信息。會(huì)計(jì)數(shù)據(jù)一旦失真,企業(yè)將面臨巨大的安全隱患。網(wǎng)絡(luò)環(huán)境下,會(huì)計(jì)檔案的存儲(chǔ)介質(zhì)不再是以前的紙質(zhì)文檔,而變成了電子數(shù)據(jù)。電子數(shù)據(jù)存儲(chǔ),極大提高了存儲(chǔ)效率,也為管理數(shù)據(jù)帶了便利,但有其天然缺陷。當(dāng)存儲(chǔ)介質(zhì)遇到劇烈振動(dòng),或突然遇到停電、火災(zāi)等情況時(shí),很可能導(dǎo)致存儲(chǔ)的數(shù)據(jù)失效。當(dāng)被非法修改時(shí),有可能沒(méi)有任何痕跡;此外,當(dāng)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)升級(jí)的時(shí)候,可能不兼容以前的版本,或者數(shù)據(jù)格式、數(shù)據(jù)接口等發(fā)生了變化,使得以前的信息不能進(jìn)入當(dāng)前的會(huì)計(jì)信息系統(tǒng),都有可能導(dǎo)致會(huì)計(jì)檔案失效。信息化會(huì)計(jì)與傳統(tǒng)會(huì)計(jì)存在很大差別,很多企業(yè)由于未能及時(shí)建立與信息化方式匹配的內(nèi)部控制機(jī)制,容易導(dǎo)致內(nèi)部控制失效。如操作人員錄入了不正確的字段、使用了無(wú)效的代碼、或從財(cái)務(wù)的紙質(zhì)憑證轉(zhuǎn)錄了數(shù)據(jù)等,都可能影響數(shù)據(jù)質(zhì)量,如果缺乏相應(yīng)的監(jiān)督檢查機(jī)制很可能導(dǎo)致內(nèi)部控制失效。此外,由于網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)集中存放于數(shù)據(jù)庫(kù),信息交叉程度提高,依靠帳薄及憑證相互核對(duì)錯(cuò)誤的機(jī)制可能也會(huì)失效,傳統(tǒng)會(huì)計(jì)中某些職工分權(quán)、相互牽制和約束的機(jī)制可能失去作用,信息管理人員或?qū)I(yè)人員舞弊會(huì)給企業(yè)帶來(lái)不可估量的損失,也是會(huì)計(jì)信息化面臨的破壞力最大的隱患。如有些數(shù)據(jù)庫(kù)管理員通過(guò)篡改數(shù)據(jù)獲取不當(dāng)利益,網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)可能連痕跡都沒(méi)留下。

二、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全問(wèn)題原因分析

(一)網(wǎng)絡(luò)系統(tǒng)的開(kāi)放性和共享性網(wǎng)絡(luò)系統(tǒng)的重要特點(diǎn)是開(kāi)放性和共享性,使網(wǎng)上信息安全存在先天不足,可能會(huì)帶來(lái)一些安全問(wèn)題。一方面,由于互聯(lián)網(wǎng)的開(kāi)放性,網(wǎng)絡(luò)上所有用戶均可共享信息資源,給一些非法訪問(wèn)者提供了可趁之機(jī)。另一方面,互聯(lián)網(wǎng)上的數(shù)據(jù)往往是沒(méi)有加密的,這使得用戶密碼及其他重要數(shù)據(jù)可能在傳輸過(guò)程中被監(jiān)聽(tīng)和竊取。此外,在諸多信息系統(tǒng)中實(shí)行了分級(jí)權(quán)限管理,某些部門(mén)的操作人員被賦予了太高的權(quán)限,可以接觸到整個(gè)企業(yè)的財(cái)務(wù)會(huì)計(jì)系統(tǒng),增加了財(cái)務(wù)信息被盜的風(fēng)險(xiǎn)。

(二)硬件設(shè)備配置不合理網(wǎng)絡(luò)信息系統(tǒng)中硬件的配置非常重要,尤其是網(wǎng)絡(luò)服務(wù)器及路由器等設(shè)備,對(duì)網(wǎng)絡(luò)安全有很大的影響。如果選擇了不合理的服務(wù)器型號(hào),不僅網(wǎng)絡(luò)可能不順暢,網(wǎng)絡(luò)的穩(wěn)定性及擴(kuò)充性也會(huì)受到影響;如果選用的路由器緩沖區(qū)過(guò)小,則在網(wǎng)絡(luò)延時(shí)過(guò)程中,可能會(huì)流失數(shù)據(jù)包;如果路由器緩沖區(qū)過(guò)大,則可能會(huì)增加網(wǎng)絡(luò)延時(shí),這些都會(huì)導(dǎo)致網(wǎng)絡(luò)不安全。

(三)軟件系統(tǒng)不合理主要包括兩個(gè)方面:一是軟件系統(tǒng)規(guī)劃不合理,開(kāi)發(fā)的系統(tǒng)本身存在缺陷;二是軟件開(kāi)發(fā)工具選擇不合理。(1)軟件系統(tǒng)的不合理規(guī)劃與開(kāi)發(fā)。在規(guī)劃過(guò)程中,系統(tǒng)分析人員沒(méi)有與會(huì)計(jì)工作人員及相關(guān)用戶充分溝通,從而系統(tǒng)的需求分析可能并不能完全反映真實(shí)要求。基于這種規(guī)劃開(kāi)發(fā)的會(huì)計(jì)信息系統(tǒng),可能會(huì)引起一系列不安全的后果。另外,用戶自行開(kāi)發(fā)軟件數(shù)據(jù)常常無(wú)法與購(gòu)買(mǎi)的財(cái)務(wù)軟件數(shù)據(jù)交流,從而造成資源浪費(fèi)。(2)軟件開(kāi)發(fā)工具的不合理使用。以數(shù)據(jù)庫(kù)工具為例,SQL server、Oracle、Sybase等主要適用于大型系統(tǒng);Acess、FoxPro等則主要適用于小型系統(tǒng)。值得注意的是,各類(lèi)數(shù)據(jù)庫(kù)工具的安全機(jī)制有所不同,所以必須根據(jù)系統(tǒng)的規(guī)模大小及安全性要求合理選擇數(shù)據(jù)庫(kù)工具。

(四)制度建設(shè)不健全網(wǎng)絡(luò)環(huán)境中,會(huì)計(jì)系統(tǒng)往往要和業(yè)務(wù)系統(tǒng),如采購(gòu)系統(tǒng)、銷(xiāo)售系統(tǒng)、存貨管理系統(tǒng)等相關(guān)聯(lián),實(shí)現(xiàn)信息共享,提高會(huì)計(jì)系統(tǒng)的自動(dòng)化處理程度。為了讓信息安全共享,必須建立內(nèi)部控制制度,分配角色并賦予權(quán)限。此外,股東、銀行、稅務(wù)等機(jī)構(gòu)也可能通過(guò)網(wǎng)絡(luò)與企業(yè)的財(cái)務(wù)會(huì)計(jì)系統(tǒng)連接,也需要建立相應(yīng)的內(nèi)部控制制度。

(五)人員風(fēng)險(xiǎn)人員風(fēng)險(xiǎn)主要分為勝任能力風(fēng)險(xiǎn)及道德風(fēng)險(xiǎn)。勝任能力要求從業(yè)人員既要熟練掌握國(guó)家會(huì)計(jì)準(zhǔn)則及會(huì)計(jì)制度,掌握相應(yīng)的信息技術(shù),而且要具備較強(qiáng)的學(xué)習(xí)能力。道德風(fēng)險(xiǎn),則要求財(cái)務(wù)人員面對(duì)誘惑時(shí),能夠堅(jiān)守職業(yè)操守。

三、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全管理的策略

(一)安全管理的目標(biāo)對(duì)于會(huì)計(jì)信息系統(tǒng)來(lái)說(shuō),信息安全主要是要保證信息的保密性、完整性、可用性、真實(shí)性、可控制性、可審查性、不可抵賴性等。數(shù)據(jù)保密性是指數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)臅r(shí)候不被非法竊取,或者雖然被竊取但竊取者不能破解其真正意義;數(shù)據(jù)完整性是指數(shù)據(jù)的精確性和可靠性,指數(shù)據(jù)在傳輸過(guò)程中不被增加、刪除、修改內(nèi)容;可用性是指對(duì)于合法用戶的正常使用,要保證能夠?qū)崿F(xiàn)而不被拒絕;真實(shí)性是指鑒別數(shù)據(jù)來(lái)源,消除非法數(shù)據(jù)源,確保進(jìn)入系統(tǒng)的數(shù)據(jù)是真實(shí)可靠的;可控制性是指數(shù)據(jù)的輸入、輸出、處理過(guò)程是可以控制的;可審查性是指對(duì)數(shù)據(jù)的任何訪問(wèn)與操作(增加、刪除、修改)均被紀(jì)錄下來(lái),便于“信息”追蹤或?qū)彶?;不可抵賴性是指隨所有用戶的操作進(jìn)行紀(jì)錄并存檔,防止用戶否認(rèn)已作過(guò)的操作。

(二)安全管理的基本思想為了保證會(huì)計(jì)信息系統(tǒng)的安全,在規(guī)劃系統(tǒng)時(shí)候要全面考慮,按照“全網(wǎng)安全”的思想,實(shí)現(xiàn)多層面控制。(圖1)是基于該思想的安全體系框架??梢钥闯?,該架構(gòu)主要由三部分組成:技術(shù)體系、組織體系、管理體系。(1)技術(shù)體系:技術(shù)體系安全架構(gòu)主要是為系統(tǒng)安全提供技術(shù)保障,包括安全技術(shù)和技術(shù)管理這

兩大部分。安全技術(shù)又分為網(wǎng)絡(luò)環(huán)境安全及信息環(huán)境安全兩部分。網(wǎng)絡(luò)環(huán)境安全主要指物理安全和環(huán)境安全。為防范物理安全問(wèn)題而導(dǎo)致會(huì)計(jì)信息安全隱患,要將計(jì)算機(jī)及相關(guān)設(shè)施受到物理保護(hù),免于被破壞、丟失等;信息環(huán)境安全主要是指系統(tǒng)安全和信息安全。技術(shù)管理又分為三大部分:符合ISO標(biāo)準(zhǔn)的技術(shù)管理,從安全服務(wù)、體系規(guī)范、實(shí)施細(xì)則、安全評(píng)估幾個(gè)側(cè)面分別對(duì)會(huì)計(jì)信息系統(tǒng)安全進(jìn)行管理;審計(jì)監(jiān)測(cè)方面進(jìn)行技術(shù)管理,會(huì)計(jì)信息系統(tǒng)實(shí)時(shí)的狀態(tài)監(jiān)測(cè)、非法入侵時(shí)的監(jiān)控;實(shí)施策略方面進(jìn)行技術(shù)管理,財(cái)務(wù)系統(tǒng)的安全策略、密鑰管理。(2)組織體系:組織體系主要為系統(tǒng)安全提供組織人員保障。從機(jī)構(gòu)設(shè)置、崗位設(shè)置、人事設(shè)置三方面進(jìn)行構(gòu)建。(3)管理體系:管理體系主要為系統(tǒng)安全提供制度保障。從國(guó)家法律立法、企業(yè)規(guī)章制度、企業(yè)業(yè)務(wù)培訓(xùn)三方面對(duì)系統(tǒng)安全給予保障。

(三)安全管理的整體解決方案基于(圖1)的“全網(wǎng)安全”思想,可以從如下方面對(duì)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)進(jìn)行整體安全保護(hù):平臺(tái)安全、硬件安全、軟件安全、安全管理制度、人力資源素質(zhì)。(圖2)是基于該思想的網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全問(wèn)題整體解決方案。(1)平臺(tái)安全。保證網(wǎng)絡(luò)辦公平臺(tái)安全,是網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)中最重要的部分。本方案中采用三種技術(shù)保證平臺(tái)安全:防火墻、虛擬專(zhuān)用網(wǎng)(VPN)、入侵檢測(cè)技術(shù)。防火墻充當(dāng)屏障作用,合理使用防火墻能保護(hù)企業(yè)會(huì)計(jì)信息安全有效。主要作用在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊,過(guò)濾不安全服務(wù),防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò);限定用戶訪問(wèn)特殊網(wǎng)站;對(duì)內(nèi)外部網(wǎng)絡(luò)進(jìn)行有效隔離。所有外部網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求都要通過(guò)防火墻檢查,使得企業(yè)內(nèi)部網(wǎng)的會(huì)計(jì)信息系統(tǒng)相當(dāng)安全。當(dāng)然,企業(yè)會(huì)計(jì)信息系統(tǒng)應(yīng)保持相對(duì)封閉狀態(tài),不能連接與業(yè)務(wù)無(wú)關(guān)的終端,更不能連接互聯(lián)網(wǎng),僅能與業(yè)務(wù)相關(guān)部門(mén)實(shí)現(xiàn)資源共享。VPN(Virtual Private Netwrok)是利用公共網(wǎng)絡(luò)資源形成企業(yè)專(zhuān)用網(wǎng),它融合了防火墻和Ipsec隧道加密技術(shù)的優(yōu)點(diǎn),可以為整個(gè)集團(tuán)內(nèi)部通信提供安全的信息傳輸通道,還可以簡(jiǎn)化網(wǎng)絡(luò)管理、節(jié)約成本。VPN有隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)四項(xiàng)核心技術(shù),為網(wǎng)絡(luò)安全提供了一定保障。入侵檢測(cè)是指通過(guò)對(duì)行為、審計(jì)數(shù)據(jù)、安全日志或其它網(wǎng)絡(luò)上可獲得的信息進(jìn)行操作,檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。入侵檢測(cè)技術(shù)是為了彌補(bǔ)防火墻的不足,主動(dòng)檢測(cè)來(lái)自系統(tǒng)外部的入侵、監(jiān)視防火墻內(nèi)部的異常行為。實(shí)時(shí)監(jiān)控是會(huì)計(jì)信息系統(tǒng)必備的措施。通過(guò)建立操作日志,對(duì)日常會(huì)計(jì)活動(dòng)中進(jìn)行全程跟蹤,對(duì)大額的、異常的經(jīng)濟(jì)業(yè)務(wù)單獨(dú)列示,詳細(xì)反映,及時(shí)提醒。(2)硬件安全。硬件系統(tǒng)安全,會(huì)計(jì)信息系統(tǒng)的正常運(yùn)行必須要有良好的硬件設(shè)備,從硬件系統(tǒng)的配置和管理兩方面提出保證。配置方面,選用合適的輸入輸出設(shè)備、調(diào)制解調(diào)器(MODEM)、路由器等互聯(lián)設(shè)備、及適當(dāng)?shù)木W(wǎng)絡(luò)服務(wù)器。同時(shí),硬件設(shè)備必須有過(guò)硬的質(zhì)量和性能,并且數(shù)據(jù)安裝雙硬盤(pán),數(shù)據(jù)雙重備份;管理方面,制定機(jī)房相關(guān)設(shè)備的定期檢查制度,做好機(jī)房防火、防塵、防水、防盜及恒溫等保障措施,使用UPS電源(防止停電導(dǎo)致信息中斷),重要數(shù)據(jù)遠(yuǎn)程備份,安裝機(jī)房報(bào)警系統(tǒng)等。(3)軟件安全。操作系統(tǒng)是整個(gè)信息系統(tǒng)安全的基礎(chǔ)。一方面,要盡量選擇擁有自主知識(shí)產(chǎn)權(quán)的操作系統(tǒng),減少“暗門(mén)”等對(duì)系統(tǒng)安全的影響。目前,我國(guó)計(jì)算機(jī)所使用的操作系統(tǒng)基本上是舶來(lái)品,因?yàn)槿鄙僮灾鞯募夹g(shù),會(huì)計(jì)信息資料網(wǎng)絡(luò)安全性較低,不能滿足會(huì)計(jì)信息所要求達(dá)到的保密程度,對(duì)高水平的國(guó)產(chǎn)化軟件有著迫切的需求;另一方面,會(huì)計(jì)信息從業(yè)人員要注意對(duì)操作系統(tǒng)的正確使用,如實(shí)時(shí)掃描漏洞并進(jìn)行修補(bǔ),對(duì)帳號(hào)、密碼及權(quán)限進(jìn)行管理,紀(jì)錄安全日志并進(jìn)行審計(jì),下載補(bǔ)丁等,都可以提高操作系統(tǒng)的安全性。數(shù)據(jù)庫(kù)軟件,會(huì)計(jì)信息系統(tǒng)的核心就是存儲(chǔ)在數(shù)據(jù)庫(kù)中的數(shù)據(jù),這是一切應(yīng)用的基礎(chǔ),故需要對(duì)數(shù)據(jù)的安全性、完整性、保密性等方面采取保護(hù)措施。在開(kāi)發(fā)數(shù)據(jù)庫(kù)軟件時(shí),要考慮數(shù)據(jù)庫(kù)系統(tǒng)的穩(wěn)定性、可擴(kuò)展性和高效性,以及安全性。各種外部數(shù)據(jù)信息導(dǎo)入之前,必須要經(jīng)過(guò)病毒檢測(cè)程序,同時(shí)對(duì)財(cái)務(wù)數(shù)據(jù)的導(dǎo)出,必須嚴(yán)格控制,防止信息外泄。對(duì)財(cái)務(wù)軟件系統(tǒng)的修改維護(hù)必須報(bào)經(jīng)相當(dāng)領(lǐng)導(dǎo)批準(zhǔn)同意。數(shù)據(jù)備份和數(shù)據(jù)容災(zāi)是保護(hù)數(shù)據(jù)庫(kù)的重要措施,數(shù)據(jù)備份是指在遠(yuǎn)程網(wǎng)絡(luò)設(shè)備上保存數(shù)據(jù),防止數(shù)據(jù)的丟失和損壞;數(shù)據(jù)容災(zāi)是指在異地建立兩套或多套功能相同的IT系統(tǒng),相互進(jìn)行狀態(tài)監(jiān)視和功能切換,當(dāng)一處系統(tǒng)因意外停止工作時(shí),整個(gè)應(yīng)用系統(tǒng)可以切換到另一處,使系統(tǒng)功能可以繼續(xù)正常工作。(4)安全管理制度。包括應(yīng)用控制、數(shù)據(jù)控制、訪問(wèn)控制、安全管理體系、內(nèi)部審計(jì)五個(gè)方面。應(yīng)用控制是指在會(huì)計(jì)信息系統(tǒng)中,應(yīng)用控制指的是對(duì)具體的數(shù)據(jù)處理活動(dòng)進(jìn)行控制,包括數(shù)據(jù)的輸入、輸出和處理控制。數(shù)據(jù)輸入時(shí),會(huì)計(jì)信息系統(tǒng)要能達(dá)到糾正數(shù)據(jù)合理性、重復(fù)輸入校驗(yàn)、邏輯關(guān)系測(cè)試等工作。網(wǎng)絡(luò)環(huán)境下,會(huì)計(jì)資料的輸入由多人承擔(dān),可設(shè)置不同的復(fù)核方式,由系統(tǒng)對(duì)存在差異的數(shù)據(jù)進(jìn)行比較。多用戶同時(shí)進(jìn)行操作時(shí),系統(tǒng)自動(dòng)生成連續(xù)的憑證號(hào),使數(shù)據(jù)有效清晰。嚴(yán)格限制財(cái)務(wù)數(shù)據(jù)的修改權(quán)限,對(duì)修改數(shù)據(jù)的操作,應(yīng)提供可打印備查界面。電子數(shù)據(jù)發(fā)放及接收都有認(rèn)證機(jī)構(gòu)提供的記錄清單,以保證雙方權(quán)益。數(shù)據(jù)控制又稱數(shù)據(jù)保護(hù),可分為安全性控制、完整性控制、并發(fā)控制和恢復(fù)。安全性控制主要是為了防止數(shù)據(jù)泄密和破壞,主要措施是授權(quán)和收回授權(quán)。對(duì)企業(yè)前內(nèi)部人員,一定要及時(shí)收回授權(quán);完整性控制是為了保證數(shù)據(jù)的正確性和相容性。數(shù)據(jù)通信傳輸過(guò)程中保證數(shù)據(jù)的完整,如果有被篡改的情況,接收方能通過(guò)軟件及時(shí)檢測(cè)出來(lái)。數(shù)據(jù)輸入能否正確進(jìn)入系統(tǒng),與數(shù)據(jù)庫(kù)軟件的輸入方式、數(shù)據(jù)格式及相關(guān)數(shù)據(jù)導(dǎo)入兼容轉(zhuǎn)換有著很大關(guān)系。我國(guó)很多企業(yè)有結(jié)合自身特色的會(huì)計(jì)信息系統(tǒng),為提高會(huì)計(jì)信息系統(tǒng)的管理層次,還需將財(cái)務(wù)信息系統(tǒng)與企業(yè)其他管理信息進(jìn)行有機(jī)結(jié)合。同時(shí),各不同的財(cái)務(wù)軟件之?dāng)?shù)據(jù)交換,制定統(tǒng)一并規(guī)范的標(biāo)準(zhǔn)。并發(fā)控制是確保在多個(gè)事務(wù)同時(shí)存取數(shù)據(jù)庫(kù)中同一數(shù)據(jù)時(shí)不破壞數(shù)據(jù)庫(kù)的統(tǒng)一性。恢復(fù)這是指數(shù)據(jù)庫(kù)系統(tǒng)發(fā)生故障后,能夠自動(dòng)恢復(fù)到正常的機(jī)制。訪問(wèn)控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一,主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。訪問(wèn)控制涉及的技術(shù)比較廣,包括入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。會(huì)計(jì)計(jì)信息數(shù)據(jù)的訪問(wèn)僅限于經(jīng)過(guò)授權(quán)的用戶,并且層層加密,禁止處理未經(jīng)授權(quán)的業(yè)務(wù)。對(duì)關(guān)鍵財(cái)務(wù)信息資源,授權(quán)范圍應(yīng)盡可能小。按照網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的需要,設(shè)定各級(jí)崗位責(zé)任及權(quán)限,防止非法操作;對(duì)不相容的職務(wù)要注意分離,不同崗位之間設(shè)定一定的制約機(jī)制。如系統(tǒng)管理員不能從事日常會(huì)計(jì)處理業(yè)務(wù),記帳憑證一定要復(fù)核員復(fù)核才能生成帳簿。安全管理體系,嚴(yán)格完善的法律、法規(guī)與規(guī)章制度是網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息安全的制度保證。我國(guó)目前還沒(méi)有專(zhuān)門(mén)的網(wǎng)絡(luò)會(huì)計(jì)信息安全的法律法規(guī),暫時(shí)還不能滿足現(xiàn)有信息安全的需求。因而應(yīng)逐步制定出符合我國(guó)國(guó)情的網(wǎng)絡(luò)會(huì)計(jì)法律體系,規(guī)范網(wǎng)絡(luò)交通購(gòu)銷(xiāo)支付以及核算行為,為網(wǎng)絡(luò)會(huì)計(jì)的發(fā)展提供良好的法制環(huán)境。另一方面,企業(yè)自身也應(yīng)建立安全管理部門(mén),制定安全管理制度對(duì)操作人員實(shí)行安全技能培訓(xùn)。使會(huì)計(jì)信息系統(tǒng)從開(kāi)發(fā)、用戶管理、業(yè)務(wù)操作、數(shù)據(jù)存