時間:2023-09-14 17:43:25
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇如何構建網絡安全體系,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
隨著網絡時代的發展,人們已經進入了一個全新的信息世界,世界連成了一個整體,實現了“雙腳不出門,盡知天下事”的時展目標。計算機技術的快速發展以及網絡安全所具有的保密性、完整性、可用性、可控性和可審查性等特征使得網絡安全愈發成為各界關注焦點。網絡安全能夠做到防范于未然,將潛在的網絡安全隱患扼殺在搖籃中,以使各自的利益得到保障。不同應用環境有不同的網絡安全類型,最常見的網絡安全類型有系統安全,網絡的安全、網絡傳播安全和信息內容安全等。計算機技術的快速發展使得網絡安全技術相關工作不斷面臨挑戰,網絡安全隱患大大增多。因此,利用網絡安全技術,解決相關問題,減少安全隱患,提升網絡安全性迫在眉睫。
1網絡安全問題簡析
現階段的網絡安全問題主要體現在存在較多網絡隱患上,具體表現為以下六個方面。(1)Internet作為一個沒有控制機構的開放網絡,其計算機系統很容易遭到黑客入侵,最終導致特權被盜用、重要數據被破壞、機密數據被竊取甚至是系統癱瘓的后果。(2)TCP/IP是一種沒有信息安全措施的通信協議,而Internet所有的數據傳輸都是在此基礎上進行的,所以存在一定安全隱患。(3)Unix是一種安全性較弱的操作系統,而Internet中大部分的通信業務都是由該系統支持完成的,因此仍舊存在一定安全隱患。(4)由計算機存儲、傳輸及處理的電子信息的真實性和可靠性還不能保證,其在應用層中的相關服務協議全靠彼此間的君子協定維系,安全性有待加強。(5)電子郵件被誤投、拆看以及偽造的情況大量存在,用其傳輸機密性的信息文件時,安全系數將會大大降低。(6)Internet在傳播過程中容易帶來計算機病毒,進而導致數據文件丟失、系統癱瘓等較為嚴重的后果。
2網絡安全技術簡介
2.1防火墻
防火墻通常被放置在網絡邊界地帶,用于隔離網絡內外兩部,發揮安全隔離作用,以此監控審核通信信息,確保網絡安全。防火墻結合相關安全策略,對網絡傳輸數據進行檢測分析,改變所檢測到的較為機密的數據,將內部的數據結構以及運行狀態等隱藏起來,進而使網絡安全得以保障。包過濾技術、技術、狀態檢測技術以及地址轉換技術是最為常見的四種防火墻技術,是依據其所采用的技術標準劃分的。防火墻是網絡安全的屏障,能夠阻止與安全策略不相符合的較為危險的網絡信息的傳播,進而提高網絡安全防護能力。防火墻對用戶權限的訪問以及數據內容的控制也是其的重要功能。除此之外,防火墻還具有網絡訪問審計和地址轉換的功能,作為連接網絡內外兩部的唯一通道,防火墻能夠記錄有關網絡的所有訪問記錄,再對其進行了較為仔細的審計和分析,并以日志信息的形式呈現出來。在此過程中,NAT服務協助防火墻實現內外部網絡的地址交換,共享資源,提高其安全性能。
2.2入侵檢測
與防火墻不同的是,入侵檢測技術在安全防御這個過程中顯得更為主動,其實質是一種自我防御技術。入侵檢測技術通過“整理收集分析”這一流程對網絡中那些較為關鍵的節點信息進行處理,再判斷其是否被人入侵或者攻擊。此外,該技術還能監督系統的運轉狀況,發覺各種各樣的進攻計劃、行為或者后果,進而保障系統的完整性、機密性以及可用性。入侵檢測技術主要有使用主機入侵的檢測和使用網絡入侵的檢測兩種方式。前者是以主機為檢測對象,將入侵檢測設置于系統之上,以避免因網絡遭到外部攻擊而造成系統不能正常運行的狀況發生。后者是以網絡為檢測對象,又可以稱是硬件檢測,該檢測是將網絡中的數據包安插在相對重要的地方,再對其進行分析和配置,一旦發現有攻擊行為存在,系統便根據有之前配置的相關安全策略阻斷網絡,以保證網絡安全。
2.3VPN
VPN是一種利用公用網絡架設虛擬專用網絡的遠程訪問技術,其實質通過共享網絡建立一個能夠連接內部網絡的隧道。對遠程用戶來說,VPN非常實用,不僅成本較低,還能夠通過其獲取可靠安全的資源,并且在此過程中傳輸數據時的安全性也能夠得到相應保障。隧道技術、加密和解密技術、密鑰管理技術以及身份認證技術是VPN中最主要的四種安全技術。VPN技術最主要的特點有兩個,一是能夠保障安全性,二是能夠保證QoS的服務質量。前者主要體現在VPN能夠保證網絡傳輸中所傳輸數據的可靠性和保密性。而后者主要體現在能夠預測網絡在高峰期的使用情況,并建立一定策略機制,設置相關權限以控制執行先后順序,避免出現擁塞現象。
3網絡安全解決方案
3.1構建網絡安全體系
網絡服務的保密性、完整性和持續性是網絡安全體系的最主要體現,現階段的網絡應用中存在不少安全隱患,這在一定程度上影響了網絡服務的質量。所以,要提升網絡安全系數,保證網絡安全質量就不得不首先從構建網絡安全體系著手。例如,要構建一個圖書館的網絡安全體系,其具體操作流程如下。第一,對具體的業務、系統、網絡等實際應用情況做一個全面具體的分析,建立一個初步的、具有一定整體性的安全體系結構框架。圖書館的網絡安全體系結構框架可以從存儲系統、網絡結構和自動化系統這三個方面設計。第二,再對以上三個方面進行詳細分點設計,整理出每一方面需要設計的內容。具體如下。(1)存儲系統方面,DAS系統的技術相對而言更具成熟性和穩定性,故而該圖書館的存儲系統可采用該系統。(2)網絡結構方面,為免受設備物理位置的限制,可采用VLAN劃分技術,實現每一個職能部門計算機的邏輯劃分。(3)自動化系統方面,服務器對應用訪問的熱備份需求日益增加,為滿足這一需求,圖書館在自動化系統方面可以采用雙機熱備技術。
3.2技術與管理相結合
技術和管理的有機結合能夠更好地實現網絡安全,控制網絡內部的不安全因素的產生。此處仍以圖書館為例,具體操作如下所示。(1)使用防火墻。DDoS和DoS的攻擊可能會使得PC機和關鍵服務器受到損害,這個時候就需要設置防火墻,并制定相關的限制訪問策略,以響應各種網絡攻擊。圖書館可以根據自身實際情況配置防火墻,以防止外部非法用戶在該圖書館網絡中自由出入,獲取資源。另外,為了保證計算機網絡系統安全,圖書館還應該隨時對系統進行升級。(2)安裝防毒軟件。安裝防毒軟件防止病毒入侵的重要方式之一,桌面、服務器、郵件以及網關等隨時都有可能遭病毒入侵,所以設置防病毒軟件尤為必要。在選擇時,一定要選擇公認的質量較好的、升級服務較為及時的、響應和跟蹤新病毒速度較快的防病毒軟件。(3)多重加密技術。網絡安全的威脅途徑主要來源于數據的內部傳送、中轉過程以及線路竊聽,采用多重加密技術,可以有效地提高信息數據及系統的保密性和安全性。多重加密技術主要分為幾個過程,首先是傳輸數據的加密,這是保證傳輸過程的嚴密,主要有端口加密和線路加密兩種方式。其次是數據儲存的加密,目的是為了防范數據在儲存中失密,主要方式是儲存密碼控制。最后是數據的鑒別和驗證,這包括了對信息傳輸、儲存、提取等多過程的鑒別,是一種以密鑰、口令為鑒別方式的綜合數據驗證。日常的網絡生活中,加密技術也常能看見。比如各大社交軟件、游戲賬號、郵箱等,都設有個人密碼,只不過多重加密技術是一種更高級的滲透入網絡數據傳輸各環節的一種加密形式,有效地采用多重加密技術將極大促進網絡重要數據的安全性。
3.3制定安全問題應急策略
網絡安全事故在所難免,但是可以通過一定的措施控制其發生的頻率。制定應急措施便是不錯的方法之一。應急策略包括緊急響應計劃和災難恢復計劃。前者主要是指出在事故發生之時系統和網絡可能遭到的破壞和故障有哪些,而后者主要是指明如何及時地應對這些破壞和故障,使其恢復到正常狀態。
3.4注重相關人員技術培訓
培訓不能僅僅只針對相關技術人員,非技術管理人員的培訓也尤為重要。現階段,無論是技術性還是非技術性員工,對網絡安全的重視程度仍舊不夠。所以,加強其網絡安全意識勢在必行。對非技術人員的培訓而言,主要是使其了解基本安全技術、能夠分辨網絡或系統中存在的安全隱患等。而對于技術人員而言,要求則相對較高,必須使其掌握相關的黑客攻擊技術,找到應對方法,并將其應用于實際工作中,以保證網絡安全等。
4結束語
2009年底,歷經3年多的精心建設,上海世博會永久性建筑、“一軸四館”中的重要場館之一――世博中心正式竣工,成為了上海黃浦江邊一座標志性新景觀。展現在大家面前的,是一座集合了現代計算機技術、現代通信技術、現代控制技術和現代顯示技術的全新智能化建筑。這一標志物的落成,正式鳴響了上海世博會華麗樂章的“前奏”。
作為上海世博園區核心建筑以及最重要的綜合性場館之一,世博中心被譽為上海的“超級客廳”。在世博會舉辦期間,世博中心將承擔慶典會議中心、新聞中心、論壇活動中心等任務,是上海世博會運營管理的主要工作場所,2010年上海世博會中最高規格的《上海宣言》論壇將在這里舉行。作為中國信息化建設領域領軍企業之一的H3C,憑借著雄厚的技術實力與完善的解決方案,在世博中心信息系統建設中充分發揮自身優勢,為將世博中心打造成一個高水平的現代化場館,增添了一段亮麗的“旋律”。
性能與差異化兼顧,打造世博網絡“基石”
在現今的網絡化時代,任何現代化的智能化建筑,都離不開網絡這一“基石”。計算機網絡系統作為世博中心的核心指揮系統,其地位自然相當重要,各種信息的快速傳遞均離不開高速的信息網絡平臺,計算機網絡能否正常運行將直接影響到世博會議的成敗。為此世博中心需要建設一套先進、穩定、可靠、安全的計算機網絡平臺。
對于承擔世博中心網絡系統建設的H3C來說,如何確保世博中心網絡系統在世博會召開期間及未來的高效穩定運行,成為了考慮的重點。因此,在方案總體設計上,H3C以高性能、高可靠性、高安全性、良好的可擴展性、可運營、可管理和統一的網管系統為原則,同時考慮到技術的先進性、成熟性,并采用了模塊化的設計方法。
在核心交換機的選擇上,方案采用萬兆路由交換機作為網絡的核心交換設備,以滿足這兩個網絡在交換容量、業務功能和接口數量等方面提出的高要求。作為一款定位于大型城域網的匯聚層、小型城域網的核心層、大型企業網及園區網的核心骨干設備,華三萬兆核心路由交換機在滿足運行安全性及大流量數據快速處理能力方面有著極為突出的表現。
最終,世博中心成功構建了一個技術領先、性能優異、安全可靠的網絡系統,既適應了各項應用的需要,又充分滿足了未來信息化發展的需要,為世博會的正常運轉打下了良好的基礎。
安全端到端,確保世博網絡無虞
在構建世博中心網絡系統的同時,還有一個需要著重考慮的就是網絡安全問題。這也關系到世博會期間,世博中心是否能夠穩定有序的承擔“客廳”功能的一個重要影響因素。對于在網絡與安全領域均有著領先優勢的H3C來說,同樣也不會忽視這其中的利害關系。因此,在提出世博中心網絡建設規劃時,網絡安全建設方案也被一并提上了日程。
在總體規劃上,H3C從防止非法用戶接人、防止安全隱患終端接入、網絡內部安全防范、網絡出口安全防范、病毒防范、流量監控等多個方面,對整個世博中心網絡安全體系進行了全面整體規劃,并針對業務網、公眾網、設備管理網的安全性,分別采取了相應的安全規劃手段,從而達到有的放矢的效果。
而在具體建設中,H3C充分遵循了領先的“智能安全滲透網絡”理念,一方面通過運用集成在網絡產品的安全技術提高整網的安全性,另一方面通過部署各種性能出眾的網絡安全軟硬件,為網絡提供端到端的安全保障。
IP網絡視頻監控,世博安保強大助手
在為世博中心構建網絡與安全體系的同時,作為IP技術領域領導廠商的H3C,還通過提供強大的視頻監控系統,為世博中心乃至世博會的安保工作提供了強有力的支撐。
視頻監控系統作為現代化安保的重要手段,是智能化建筑中不可或缺的一環。世博中心作為世博會舉辦過程中的核心建筑,人流量非常巨大,對公共安全環境有著極高的要求。對此,其安全防范系統不光要針對本項目的實際情況進行規劃及設計,同時設計也必須遵循世博會管理部門(例如世博會安保部)及相關公安部門的強制要求及指導意見,實現為游客及最終管理使用方提供真正保障及管理便利的目標。
同時,由于世博中心是世博會最重要的主場館之一,在世博會后其功能又將發生變化,以致在設計其視頻監控系統時必須解決幾個主要問題。包括如何保障大規模監控系統的可擴展性?如何實現大規模監控系統可低成本擴展,同時系統在擴展后性能不會下降?如何實現海量視頻信息的高質量可靠存儲?如何對這些海量的視頻數據進行有效管理?如何因地制宜的實現監控點接入和線路部署?如何與世博中心的其他業務系統集成?如何有效管理和維護如此復雜的監控系統?等等不一而足。
1電子商務網絡安全性分析
1.1網絡環境影響
網絡環境具有一定的開放性,從而導致了數據安全問題的出現。比如,某房產進行網上交易時,交易數據以數據包的形式傳送,那么一些不法犯罪者可能會對其惡意攻擊,在網站上進行數據攔截,從而獲取數據內容,展開詐騙或者惡意修改等行為。數據在傳輸過程中,如果沒有強有力的防護措施,網絡黑客就很容易在網絡端口攻擊漏洞,進而獲取商業機密。攻擊者如果沒發現系統漏洞,也可以轉向協議方面進行Dos攻擊,這樣攻擊者就成為合理服務對象,占用合法用戶的服務資源,使得用戶無法獲得需求的網絡資源。這是一種比較常見的攻擊手段,影響到用戶正常的網站訪問。
1.2信息安全性
用戶在進行電子商務交易時,會泄露許多個人信息,這可能會對個人隱私和財產安全造成危害。另外,一些用戶的登錄地點可能是網吧或者便利店等,如果那些電腦有木馬程序或者病毒,那么用戶名或者銀行卡口令等都可能被攻擊者盜取。攻擊者掌握交易信息后,可以隨意地篡改信息,或者冒充商家發送信息,偽造訂貨單據,從而給交易雙發造成巨大的經濟損失。隨著科學技術的發展,電子商務個人信息受到威脅的可能性越來越高,相對而言,由于網絡的共享性和全球性,攻擊者不容易被找到,使得網絡犯罪行為較為猖獗。當前電子郵件與壓縮文件使用較為普遍,一些不法分子可以通過這些經常使用的文件傳播病毒,其病毒種類繁多,所造成的破壞也有一定的差異,電子商務用戶難以對其進行防范。
1.3網站構建漏洞的問題
企業在制作電子商務網站時,其設計就可能存在一定的安全隱患,攻擊者可以通過SQL注入,跨站攻擊網絡系統,從而竊取大量用戶的信息,給企業帶來難以估量的經濟損失。目前,許多網站花費巨資構建網絡安全設備,可能由于網站的使用問題,這些設備的使用期望值并沒有達到,還有網站配置的技術人員,專業素質與網站安全需求不相符,當安全設備進行設置時,會出現相應的安全問題,而網絡管理者還不能有效解決這些問題。
1.4數據修復問題
事物是不斷發展變化的,網絡安全技術被攻破只是時間的問題,現在我們需要考慮一個比較實際的問題,就是網站攻破后,如何盡快恢復數據,減少財產損失。為應對這一問題,電子商務部署數據恢復機制是十分必要的。比如,建立磁帶備份與網絡軟件備份,這樣在系統硬件受到破壞時,電腦可以立即恢復系統和數據。
2電子商務網絡安全體系的構建
2.1訪問控制
電子商務網站進行網絡連接時,一般是由路由器連接,如果沒有防護措施,相應的這個服務器對外是沒有防備的。攻擊者通過系統掃描或者遠程探測,就可以探測出網絡安全體系的構建漏洞,從而對其發起攻擊。為應對這一問題,目前,最有效的辦法就是在網站之間建立訪問控制。
2.1.1建立防火墻
防火墻屬于計算機的功能模塊,也是軟件與硬件的整合體,在網頁訪問時,防火墻屬于第一道防線,其作用是不可忽視的。防火墻可以把網絡的受攻擊可能性減少,對一些沒有安全證書的網站做IP地址限制,限制一些外部網絡操作。由于網絡訪問都要通過防火墻,那么就可以在此程序上攔截攻擊軟件。還有,防火墻可以轉換地址,使得外部攻擊者不容易發現攻擊目標。原則上只有安全合法的信息才能進出防火墻,那么防火墻就能保證數據的完整、精密性,也便于資源的統一管理,下圖是防火墻功能。
2.1.2用戶認證與VPN技術
網絡用戶認證十分重要,因為這樣可以保證數據傳遞的機密性。通過審核與認證可以辨別接受信息的真偽性,也可以達到監視網絡信息傳送的目的。對于企業網站擴展訪問問題,可以采取部署VPN的措施,VPN技術屬于臨時性的安全連接,也是一條內部網站擴展的安全隧道。
2.1.3入侵防御
入侵防御是對防火墻安全設置的補充,能結合其他安全系統對網站展開全方位保護。在防御措施上顯得更加的主動,可以對網站邊界數據實時檢測,與此同時,還能對服務器數據檢測,更加及時地攔截各種破壞數據。入侵防御主要集中在控制臺,以管理檢測網絡訪問行為為主,發現網絡違規訪問模式會立即做出安全防御反應。
2.2電子商務系統防護
2.2.1商務應用防護
電子商務系統防護構建是十分緊迫的,攻擊手段的創新不容小覷。電子商務網站防御體系,不但要抵御惡意進攻,還有具備自我防范與修復功能。所以,其需要一個健全的掃描機制,能夠第一時間發現網站漏洞和木馬間諜,然后展開修復與完善功能。在此過程還要建立追蹤日志,為后續的追溯問題提供資料,然后,通過分析對比快速的解決問題。
2.2.2操作系統防護
網絡結構的重要組成就是服務器,服務器的安裝操作都是需要特別注意的。目前,服務器的系統平臺還存在一定的安全隱患,只有針對這些問題采取相應的處理措施,才能解決其安全隱患。所以,服務器的升級一定要及時,還需要構建全方位的防毒系統,從而強化服務器的薄弱環節。
2.2.3數據備份
在電腦使用過程中,可能會突發不確定事件,導致電腦不能夠正常運營。比如斷電、火災、地震等自然災害都會對電腦系統造成毀滅性的影響,那么針對這些突發事件,就要考慮電腦數據的后續恢復問題。目前,主要是部署電腦存儲的內部系統,選擇較為重要的數據安置在儲存網絡中,然后把這些數據拷貝到磁帶設備中,這樣系統即使出現崩潰的現象,這些數據的保留也會比較完整。
2.3數據加密
電子商務安全體系的最基本防御措施就是數據信息加密,數據加密的設計原理是,把信息明文設置成需要加密的密文,這些密文的傳輸就具備一定的保密性。并且數據加密符合數據保密需求,現在數據加密主要分為兩種類型。一種稱為對稱算法,就是數據的解碼只有一個,其加密密鑰是一樣的,這樣有利于密碼的記憶,比較簡單方便。另一種就是公鑰算法,與第一種不同的是它有兩個密鑰,并且兩個密鑰不能夠相互推導。
2.4電子交易協議
針對電子商務出現的技術缺陷,可以采用電子交易規范原則。劃分和明確電子商務交易方的權利與義務,使得電子商務交易更加規范。其規范制度也有利于商務信息的完整保密性,從而保證合法使用者的身份具備法律支撐。
3安全管理
電子商務安全支付系統的構建,在確定了安全技術方案后,還要健全安全實施管理工作。這樣才能把安全支付系統落實到實際工作中,將其組織、策略、技術有機整合起來,最終實現電子商務的安全體系構建。
3.1統籌全局、統一規劃
電子商務的安全問題,要從整體統籌規劃考慮。只有整體機制健全,才能讓其各個部分協調起來。當然,也要緊抓支付系統出現的關鍵性問題,從而集中主力快速解決這些弊端漏洞。在機制建設過程中,不要忽視小問題,小問題往往是其薄弱部位,容易成為攻擊者尋找的漏洞目標。
3.2防治結合
防治結合是指電子商務出現的不安全因素都要考慮,并且針對這些不安全因素要采取相應的對策措施,在根源上避免其發生,如果出現就能立刻找到辦法解決。
4結論
[關鍵詞] 檔案信息化; 管理; 信息資源
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 06. 042
[中圖分類號] Q275 [文獻標識碼] A [文章編號] 1673 - 0194(2012)06- 0089- 02
隨著改革開放的深入和國家政治、經濟的發展,檔案與檔案工作的重要性得到了人們的認可,檔案工作的地位也得到了極大的提高。檔案信息是國家重要的信息資源,隨著國家信息化戰略的提出,檔案信息化不僅是適應國家信息化戰略的必然趨勢,也是全面提升檔案工作為社會更好服務的必然要求。在國家制定2006-2020年國家信息化戰略中,特意把信息安全列入到構建和完善因素之中,可見信息安全已經成為不可忽視的重要的研究課題,同樣也適用于檔案信息化建設中,因此,構建檔案信息化安全體系就具有必要性。
1 基礎設施安全體系的構建
檔案信息化基礎設施建設是檔案信息化的基礎和前提,也是檔案信息資源開發利用和信息技術應用的前提和基礎,并制約著檔案信息化建設的發展水平。與檔案信息化建設一樣,檔案信息化安全體系建設也應從基礎設施安全體系建設入手。
1.1 硬件設施安全體系建設
檔案信息化硬件基礎可以用信息化經費投入總量占檔案館經費比例、人均計算機擁有量、數字化設備的數量、存儲設備的數量、數據遷移和備份設備的數量等指標來衡量。檔案信息化硬件設施安全主要體現在通信線路的安全、物理設備的安全與容災能力、抗干擾能力與設備的運行環境等方面。因此,構建檔案信息化硬件設施安全體系要從上述安全因素出發,主要包括以下兩個方面:
(1) 具有防自然界非確定因素安全體系。自然破環屬于不可抗力,只可預防不可阻止。信息化時代導致微電子網路設備和硬件設備得到普遍應用,也易遭受雷擊影響,所以,檔案館或機構應具有綜合防雷方案,以備不時之需。綜合防雷方案包括直擊雷的防護和感應雷的防護,以防止潛在風險。除此之外,電子文件安全防護設備除具有調溫、調濕、防水、防盜、防光、防蟲等功能外,還應具備防磁、防磨損等能力,以確保檔案信息化信息安全。
(2) 計算機機房環境控制體系。適宜的溫濕度不僅能夠保證機房安全,也能延長計算機壽命。本文結合其相關資料,把計算機機房環境指標分為溫度、濕度、照明、噪聲等因素,按照不同的標準分為A、B、C三級。檔案信息化主服務器環境至少要達到B級標準,甚至有條件的話要達到A級標準,以達到計算機硬件設施安全。
1.2 網絡環境安全體系建設
檔案信息化網絡環境指標可以用館內計算機上網比例、網絡性能、網絡建設水平、政務網建設水平和公眾網建設水平等指標來衡量。檔案信息化網絡環境安全體系建設主要體現在網絡安全通訊、網絡資源的訪問控制、數據加密、遠程接入的安全、路由系統的安全、偵測非法入侵和網絡設施防病毒等。結合檔案信息化網絡安全體系安全因素,檔案信息化網絡環境安全體系建設包括以下兩個方面:
(1) 全網數據安全備份體系。對數據進行備份是為了保證數據的安全,消除系統使用者和操作者的后顧之憂。信息技術的發展促使檔案信息化的發展,也導致檔案數據業務量的增加。數據備份體系一直是預防災難、保證檔案信息化信息安全的一種手段。檔案信息化中信息不僅包括主服務器上的信息,而且包括網絡節點上的信息,所以,數據備份不僅要備份主服務器上的數據,而且也要備份節點上的信息,建立全網數據安全備份體系就成為檔案信息化安全體系建設的重要數據保障體系。我國浙江省舟山市檔案館在館內建立病毒入侵防御系統、雙機熱備與災難備份系統確保這些原生性檔案數據安全與使用就是數據備份的例證。
(2) 網絡設備安全體系。信息技術的發展由傳統的信息保密性向信息完整性、可用性、可控性等多方面發展。檔案信息化正是借助于先進信息技術,檔案信息化也由信息保密性向其他方面發展。除了在傳統信息技術注重系統本身防范外,還應在網絡出口配備防火墻設備。防火墻通常設置于某一臺作為網間連接器的服務器上,在內部網與其他網絡之間建立起一個安全網關,使訪問者無法直接存取內部網絡的資源,保護網絡資源免遭其他網絡使用者的擅用或侵入。檔案管理部門可以通在信息傳輸和存儲方面采用加密技術和身份認證技術等方式,對不斷變化的網絡安全做出及時的反應,以構建網絡設備安全體系。
2 標準規范安全體系的構建
檔案信息化標準規范建設是檔案信息化業務、技術應用和應用系統建設的規范,也是其核心能力與競爭力的體現。統一的標準規范建設不僅有利于檔案信息化的過程,而且有利于數字資源的長期保存與管理。檔案信息化標準規范建設不僅要對已經頒布的檔案信息化標準規范進行監督和指導,同時要制定符合檔案信息化的標準規范安全體系。檔案信息化標準規范建設可以用檔案信息化的政策支持力度、現有的檔案信息化標準和規范的應用和所制定檔案信息化標準規范總數及有效度來衡量。本文從檔案信息化標準規范的管理性、業務性和技術性3個方面建立檔案信息化標準規范安全體系。
2.1 管理標準規范安全體系
檔案信息化法律法規應覆蓋檔案信息化建設整個活動范圍,其管理標準規范主要體現在國家或地方機構對檔案信息化的政策支持力度。針對我國目前檔案信息化法規現狀,檔案信息化管理標準安全體系建設主要從以下幾個方面考慮:
(1) 國家的綜合性法律或檔案信息化管理法規,應結合當時的信息技術發展水平以及檔案信息化發展水平,及時對法律法規做出相應的修正或修改。
(2) 地方性法規應結合國家方針、政策,根據地方檔案管理特色以及地方檔案信息化現狀,對當地的檔案信息化法規做出有益的補充與修正,以達到保護檔案信息資源的目的。
2.2 業務標準規范安全體系
檔案信息化的最終目的是為了提高檔案工作的效率,其業務標準規范主要體現在國家或地方機構對檔案工作的專門性法規上。結合我國檔案信息化法規現狀,檔案信息化業務標準規范安全體系建設應包括以下幾個方面:
(1) 檔案信息化法規應該是檔案信息化活動的法律保障,檔案信息化法規應覆蓋檔案信息化活動的6個方面,因此,檔案信息化法規應具體、詳細地制定檔案信息化六方面具體的建設標準,并制定相應的信息安全標準,從法律上約束檔案信息化的信息行為。
(2) 檔案管理部門應制定檔案信息化工作專門性規范,提高檔案信息化法律的專指度和可操作性,否則,不同的工作模式和不同的標準就會導致檔案信息的通用性不強,不僅導致工作效率低下,也會對檔案信息安全造成不同程度的影響。
2.3 技術標準規范安全體系
檔案信息化是信息技術在檔案領域的應用。信息技術的應用使檔案信息載體形式、提供服務形式以及保管形式都發生變化,相應的技術標準規范約束有利于檔案信息化開展。結合我國檔案信息化技術標準規范體系現狀,我國檔案信息化技術標準規范安全體系建設應包括以下幾個方面的內容:
(1) 信息技術是一個不斷變化發展的過程,信息技術在檔案學的應用也是一個不斷變化的過程。檔案信息化技術標準規范安全體系建設應根據當時的信息技術條件,實時制定相應的檔案信息化技術標準規范。
(2) 檔案信息化技術標準不僅要結合信息技術行業標準,而且也要結合檔案信息化自身特征。信息技術的發展促使電子文件產生,但電子文件元數據的采集標準、電子文件數據的鑒定和保存標準、電子數據的長期保存標準缺乏相應的法律或法規規范就是很好的證明。
3 人才隊伍安全體系的構建
檔案信息化人才隊伍建設是檔案信息化的成功之本。信息技術的發展促使檔案信息化人才向復合型人才方向發展。檔案信息化人才隊伍建設影響檔案信息化建設的其他各要素。檔案信息化人才隊伍建設可以用人員構成和信息化培訓兩個主要指標來衡量。本文從人員構成和信息化培訓兩個因素來構建檔案信息化人才隊伍安全體系。
3.1 檔案信息化人員構成安全體系
信息技術促使檔案信息化人員結構的變化,檔案人員構成在檔案信息化影響下,應以檔案專業人才、計算機專業人才為基礎,以復合型人才為重點。檔案信息人員構成可以用信息化人才培養經費占檔案經費的比例、本科及以上學歷館員的比例、掌握專業信息技術的館員比例、專職從事信息化工作的比例等指標來衡量。檔案信息化人員構成安全體系建設可以從以下幾個方面來考慮:
(1) 加大培養具有計算機和檔案專業的復合型人才。信息技術的應用已經成為時展不可逆轉的潮流,檔案學作為信息專業,也應根據時代要求,增加信息技術的相應課程,適應檔案信息化的要求,做好人力上的準備,間接地維護檔案信息安全。
(2) 增強對高層次人才的培養。檔案信息化對檔案學人才提出了新的挑戰,高層次人才的培養不僅是檔案信息化的支柱,也為檔案信息化人才隊伍建設起到了推動作用。
3.2 檔案信息化人員信息化培訓體系
檔案信息化使檔案信息應用系統,檔案信息上網系統以及數字檔案館應用系統應運而生。檔案工作人員需要運用其應用系統進行檔案信息服務,所以就需要對檔案信息化人員進行信息化培訓。檔案信息化人員信息化培訓可以用管理層非信息化人員接受信息化的比例、非專業人員接受信息化培訓的比例以及非專業人員接受信息化培訓的時間等指標來衡量。檔案信息化人員信息化培訓體系包括:
(1) 新技術運用能力培訓體系。信息技術不僅使檔案信息管理系統產生,也使各種信息設備產生。檔案信息人員除了應熟練操作檔案信息軟件外,還應具有使用新型信息設備的能力。因此,檔案館或相關的檔案單位應該對工作人員進行信息技術運用能力的培訓,以減少人為操作失誤,維護檔案信息安全。
(2) 業務能力培訓體系。業務能力培訓目的是為了使檔案工作人員了解檔案工作程序、規范和操作方法。檔案部門要針對不同崗位人員的工作職責和素質要求,制定相應的培訓與教育方案,例如要加強職業道德教育和檔案管理基本理論、基本知識、基本技能教育,使他們掌握檔案工作程序、規范和操作方法;要根據新形勢的要求,從檔案管理工作的實際出發,進行現代化、信息化管理的基本知識教育和計算機應用能力的培訓,做到理論與實踐相結合,使檔案工作者具有運用檔案計算機管理軟件完成檔案存儲、編輯、檢索、利用等檔案管理工作的能力。只有檔案工作人員正確按照檔案工作程序、規范和操作方法去實施,才能從人力因素上杜絕人為安全因素的風險。
4 結 語
檔案信息化安全體系建設關系到檔案信息化建設事業的發展。如何構建一種全面、合理的檔案信息化安全體系,是目前檔案界比較關心的問題之一。檔案信息化安全體系涉及到計算機技術、網絡通信技術等技術因素,還涉及到管理因素、政策因素、人才因素等多種非技術因素。本文從以上角度出發,構建了檔案信息化安全體系。
主要參考文獻
[l] 王朝陽. 檔案信息化管理的優勢及安全問題[J]. 華北水利水電學院學報,2006(l):29-31.
關鍵詞:信息安全;防護體系
隨著企業各個業務系統的深化應用,企業的日常運作管理越來越倚重信息化,越來越多的數據都存儲在計算機上。信息安全防護變得日益重要,信息安全就是要保證信息系統安全、可靠、持續運行,防范企業機密泄露。信息安全包括的內容很多,包括主機系統安全、網絡安全、防病毒、安全加密、應用軟件安全等方面。其中任何一個安全漏洞便可以威脅全局。隨著信息化建設地不斷深入和發展,數據通信網改造后,市縣信息網絡一體化相互融合,安全防護工作尤顯重要。如何保障縣公司信息網絡安全成為重要課題。信息安全健康率主要由兩方面體現,一是提升安全防護技術手段,二是完善安全管理體系。安全防護技術手段主要側重于安全設備的應用、防病毒軟件的部署、安全策略的制定、桌面終端的監管、安全移動介質、主機加固和雙網雙機等方面,安全管理則側重于信息安全目標的建立、制度的建設、人員及崗位的規范、標準流程的制定、安全工作記錄、信息安全宣傳等方面[1]。因此,企業要提升信息安全,必須從管理機制、技術防護、監督檢查、風險管控等方面入手,并行采取多種措施,嚴密部署縣公司信息安全防護體系,確保企業信息系統及網絡的安全穩定運行,主要體現在以下幾方面:
1機制建立是關鍵
企業信息安全防護“七分靠管理,三分靠技術”,沒有嚴謹的管理機制,安全工作是一紙空談,因此,做好防護工作必須先建立管理體系。一是完善組織機制。在企業信息安全工作領導小組之下,設立縣公司數據通信網安全防護工作組,由信通管理部門歸口負責日常工作,落實信息安全各級責任。將信息安全納入縣公司安全生產體系,進而明確信息安全保障管理和監督部門的職責。建立健全信息安全管理等規章制度,加強信息安全規范化管理。二是強化培訓機制。根據近年來信息安全的研究,企業最大信息安全的威脅來自于內部,因此,企業應以“時時講信息安全,人人重信息安全,人人懂信息安全”為目標,開展“教育培訓常態化、形式內容多樣化、培訓范圍全員化、內容難度層次化”培訓工作,為信息安全工作開展提供充分的智力保障。企業應充分利用網絡大學、企業門戶、即時通訊等媒介,充實信息安全內容,營造信息安全氛圍,進而強化全員信息安全意識。三是建立應急機制。完善反應靈敏、協調有力的信息安全應急協調機制,修訂完善縣公司數據網現場應急處置預案,加強演練。嚴格執行特殊時期領導帶班和骨干技術人員值班制度,進一步暢通安全事件通報渠道,規范信息安全事件通報程序,做好應急搶修人員、物資和車輛準備工作,及時響應和處理縣公司信息安全事件。重點落實應對光纜中斷、電源失去、設備故障應急保障措施,確保應急處置及時有效。杜絕應急預案編制后束之高閣和敷衍應付的行為。
2技術防護是基礎
技術防護要從基礎管理、邊界防護、安全加固等方面入手[2]。(1)基礎管理方面。一是技術資料由專人負責組織歸類、整理,設備或接線如有變化,其圖紙、模擬圖板、設備臺帳和技術檔案等均應及時進行修正。二是將設備或主要部件進行固定,并設置明顯的不易除去的標識,屏(柜)前后屏眉有信息專業統一規范的名稱。三是設備自安裝運行之日起建立單獨的設備檔案,有月度及年度檢修計劃并按計劃進行檢修,檢修記錄完整。所有設備的調試、修復、移動及任一信息線或網絡線的拔插和所有設備的開關動作,都按有關程序嚴格執行,并在相應的設備檔案中做好記錄。四是加強運行值班監視和即時報告,確保系統缺陷和異常及時發現,及時消除。(2)安全隔離方面。安全隔離與信息交換系統(網閘)由內、外網處理單元和安全數據交換單元組成。安全數據交換單元在內外網主機間按照指定的周期進行安全數據的擺渡,從而在保證內外網隔離的情況下,實現可靠、高效的安全數據交換,而所有這些復雜的操作均由隔離系統自動完成,用戶只需依據自身業務特點定制合適的安全策略,既可以實現內外網絡進行安全數據通信,在保障用戶信息系統安全性的同時,最大限度保證客戶應用的方便性。(3)邊界防護方面。一是部署防火墻,做好網絡隔離。在路由器與核心交換機之間配置防火墻,并設置詳細的安全防護策略。防火墻總體策略應是白名單防護策略(即整體禁止,根據需要開放白名單中地址)。將內部區域(下聯口)權限設置為禁止、外部區域(上聯口)權限設置為允許。定義防火墻管理地址范圍,針對PING、Webui、Gui三種服務進行設置:只允許特定管理員地址遠程管理。二是嚴格執行防火墻策略調整審批程序,需要進行策略調整的相關單位,必須填寫申請單,且必須符合相關安全要求,經審批后進行策略調整。三是嚴禁無線設備接入。(4)安全加固方面。一是應以最小權限原則為每個帳號分配其必須的角色、系統權限、對象權限和語句權限,刪除系統多余用戶,避免使用弱口令。二是安裝系統安全補丁,對掃描或手工檢查發現的系統漏洞進行修補。三是關閉網絡設備中不安全的服務,確保網絡設備只開啟承載業務所必需的網絡服務。四是配置網絡設備的安全審計功能和訪問控制策略。五是開展風險評估工作中,認真分析網絡與信息系統安全潛在威脅、薄弱環節,綜合運用評估工具,在常規評估內容基礎上,加強滲透性驗證測試和密碼脆弱性測試,重視對系統結構與配置的安全評估。根據評估結果,及時提出并落實整改方案,實施安全加固措施。
3監督檢查是保障
全面落實“按制度辦事,讓標準說話”的信息安全管理準則,在企業指導下,由縣公司信通專業牽頭,業務部門主導,分工協作建立督查機制,加強過程安全管控與全方位安全監測,推進安全督查隊伍一體化管理,完善督查流程和標準,開展好安全督查工作,以監督促進安全提升。一是全面提升責任部門安全人員專業技術水平,加強督查隊伍建設。二是完善督查機制,對督查中發現的問題督促落實整改,并開展分析總結,通報相關情況。三是開展常態督查,通過軟件掃描、終端監測等手段,確保監測全方位。四是加強考核,開展指標評價。保障督查管理水平和工作質量。
險管控是對策
為確保公司信息化網絡安全,公司要將被動的事件驅動型管理模式轉變為主動的風險管控模式,主動地對威脅和風險進行評估,主動地采取風險處置措施。通過資源的調控實現對信息安全工作的調控。公司應在信息安全治理過程中大量借鑒管理學方法,進行動態的控制和治理,通過治理的流程控制措施進行資源的調配,實現對關鍵項目、關鍵技術、關鍵措施的扶持,對非關鍵活動的控制,確保公司信息化網絡安全。數據通信網升級改造為企業信息化發展擴展了領域,同時,對信息安全工作提出了新的課題和更高的要求。本文通過分析企業信息化安全管理過程中的一些薄弱環節,提出了安全防護經驗的措施,從管理機制、技術防護、監督檢查、風險管控等方面入手,提高了縣公司全體人員信息化安全意識,極大地保障了企業系統(含縣公司)信息網絡系統的安全、穩定運行,完善了縣公司信息安全策略及總體防護體系,密織信息安全防護網,保障數據網不失密、不泄密,不發生信息安全事件。公司下一步將加強信息化常態安全巡檢,加強信息化相關資料的管理,加強單位干部員工的信息化安全培訓力度,進一步完善信息安全策略及總體防護體系。提高全體人員信息化安全意識,保障信息化網絡安全。企業信息安全建設是一項復雜的綜合系統工程,涵蓋了公司員工、技術、管理等多方面因素。企業要實現信息安全,必須加強安全意識培訓,制定明確的規章制度,綜合各項信息安全技術,建立完善的信息安全管理體系,并將信息安全管理始終貫徹落實于企業各項活動的方方面面,做到管理和技術并重,形成一套完善的信息安全防護體系。
參考文獻:
[1]馬貴峰,馬巨革.構建網絡信息安全防護體系的思路及方法——淺談網絡信息安全的重要發展方向[J].信息系統工程,2010(6).
物流管理信息系統是由人員、計算機硬件、軟件、網絡通信設備及其他辦公設備組成的人機交互系統,其主要功能是進行物流信息的收集、存儲、傳輸、加工整理、維護和輸出,為物流管理者及其它組織管理人員提供戰略、戰術及運作決策的支持。當前,越來越多的物流企業建立了自己的物流信息系統,利用Internet開展業務管理和信息服務,不但提高了企業內部運作效率、客戶服務質量,而且提高了市場反應速度、決策效率和企業的綜合競爭力。對物流企業而言,網絡和信息系統數據安全是經營活動得以正常持續開展的前提和基礎,因此,充分利用各種安全防范技術,建立多道嚴密的安全防線,最大限度地保護物流管理信息系統和各種數據的安全,是非常必要的。
2物流管理信息系統的安全體系層次結構
一個完整的網絡安全防范體系分為不同層次,不同層次反映了不同的安全問題,根據系統結構,物流管理信息系統安全體系可劃分為物理層安全、網絡層安全、系統層安全、應用層安全和管理安全五個層次,各個層次間的關系如圖1所示。
2.1物理層安全
包括機房的安全,各種物理設備的安全,通信線路的安全等。物理層是構建信息網絡和進行網絡傳輸的基礎,因而物理層安全是一切安全性的起點。但物理層是所有組成網絡設施的元素中最容易被忽視的,人們往往將更多的精力放在更高層網絡結構的管理和服務上,卻忽略了網絡傳輸的基礎——物理層。物理層安全主要體現在軟硬件設備的安全性、通信線路的可靠性、設備的防災害及抗干擾能力、設備的備份、運行環境、不間斷電源保障等方面。
2.2網絡層安全
網絡層是網絡入侵者進攻信息系統的通路和渠道,許多安全問題都體現在網絡層的安全方面。網絡層安全包括:網絡拓撲結構的安全,網絡層身份認證,網絡掃描技術,防火墻技術,數據傳輸的保密與完整性,遠程接入的安全,路由系統的安全,域名系統的安全,網絡實時入侵檢測手段等。
2.3系統層安全
操作系統安全也稱為主機安全,主要表現在以下三個方面:(1)計算機病毒對操作系統的威脅。(2)操作系統有其自身的缺陷和脆弱性,并由此帶來安全隱患,如系統漏洞、身份認證、訪問控制等。現代操作系統代碼龐大,所有OS都在不同程度上存在安全漏洞,一些廣泛應用的操作系統其安全漏洞更是廣為人知,如Unix,WindowsNT等。(3)操作系統的安全配置問題:系統管理員或使用人員對操作系統復雜的安全機制了解不夠,系統相關安全配置設置不當也會造成安全隱患。
2.4應用層安全
該層次的安全建立在網絡、操作系統、數據庫安全的基礎之上。網絡應用系統復雜多樣,雖然采用特定的安全技術可以解決某些特殊應用系統的安全問題,如對于Web的應用、數據庫應用、電子郵件應用等,但由于許多企業的關鍵業務(如交易、管理控制、決策分析等)系統及重要數據都運行在數據庫平臺上,那么,如果數據庫的安全無法保證,運行其上的應用系統也會被破壞或者非法訪問。
2.5管理層安全
管理的制度化是整個網絡管理信息系統安全的重要保障。嚴格的安全管理制度、合理的人員配置和明確的安全職責劃分可以在很大程度上降低其他層次的安全風險。管理層安全包括設備安全的管理、安全管理制度的制定與貫徹落實、部門與人員的組織規則、風險評估、安全性評價等。
3物流管理信息系統的安全防范策略
3.1身份認證
身份驗證又稱“驗證”“、鑒權”,是指通過一定的技術手段,完成對用戶身份的確認,用戶名和口令識別是身份認證中最常用的方式。在數據庫管理系統中,用戶名和口令是管理權限和訪問控制的一種安全措施。我們在系統設計中采用了Windows認證、物流管理信息系統認證和SQLServer認證相結合的混合身份認證模式。
3.2安裝殺毒軟件物流企業網絡安全性建設中最重要的一個環節,就是對計算機病毒的防范。利用各種殺毒軟件防止病毒侵入系統,是人們最為熟悉的安全防范措施。除此之外,病毒防范還需要有完善的管理規范,如:不使用盜版軟件;不打開來歷不明的電子郵件,不訪問不可靠的網站;對重要文件設置訪問權限或加密;特別重要的數據隨時備份保護;及時升級殺毒軟件,并定期查殺病毒等等。在物流信息系統的具體設計中我們選擇了諾頓企業版防毒軟件,并結合相關的防病毒制度,有效地保障了系統的安全。
3.3配置防火墻
防火墻是設置在可信賴的企業內部網和不可信的公共網之間的一系列部件的組合,是網絡安全的保護屏障,也是防范黑客攻擊的有效手段,它能通過過濾不安全的服務而降低風險,并極大地提高內部網絡的安全性。在邏輯上,防火墻是一個限制器、分離器,還是一個分析器,能有效監控因特網和內部網絡之間的活動,為內部網絡提供了安全保證。在物流管理信息系統設計中我們選擇的是瑞星防火墻結合其他技術來構建網絡防護系統。
3.4數據庫安全機制
數據庫是信息管理系統的基礎,對物流公司來說,所有的合同、訂單以及交易信息都存儲在數據庫中,因而對數據庫的安全必須高度重視。數據庫的安全性是指保護數據庫避免非法使用,防止數據的泄露、破壞或更改,主要體現在以下方面:(1)數據庫的存在安全;(2)數據庫可用性;(3)數據庫的機密性;(4)數據庫的完整性。數據庫安全機制可劃分為四個層次:用戶層、數據庫管理系統(DBMS)層、操作系統層、數據庫層,其中:(1)DBMS層安全機制通過訪問控制實現,即設置不同用戶對數據庫各種對象的訪問權限,是數據庫管理系統最有效的安全手段,也是數據庫安全系統中的核心技術。訪問控制可以通過用戶分類和數據分類實現。(2)數據庫層的安全機制大多以加密技術來保證。數據庫加密是網絡系統中防止信息失真的最基本的防范技術,也是數據安全的最后防線。在實際系統設計中,我們選擇MicrosoftSQLServer2000作為數據庫管理系統,采取加密粒度為字段的數據存儲加密方式,實現了基于角色和口令的用戶訪問以及信息在網絡中的密文傳輸,大大提高了數據庫系統的安全性。
3.5數據備份
數據安全是物流管理信息系統安全的核心部分,這有兩方面的含義:一是邏輯上的安全,二是物理上的安全。前者需要系統的安全防護,后者則需要數據存儲備份的保護。數據備份是系統數據可用性的最后一道防線,保證發生故障(主要是系統故障)后的數據恢復。沒有數據備份,就不可能恢復丟失的數據,從而造成不可估量的損失。定期備份數據庫是最穩妥也是比較兼價的防止系統故障的方法,能有效地恢復數據。人們經常采用的數據庫備份方法有雙機熱備份、硬盤鏡象備份等。一個完整的數據庫備份策略需要考慮很多因素,包括備份周期、使用靜態備份還是動態備份(動態備份也即允許數據庫運行時進行備份)、使用全備份還是結合增量備份、備份介質、人工備份還是系統自動備份等等。出于成本方面的考慮,我們采用了比較經濟的異機備份形式,使用MsSQLServer2000的自動備份功能和異機傳送工具來實現數據存儲備份,并根據物流企業的業務量或數據重要程度選擇合適的備份計劃,設置定時(可以是每周、每月、每日或每時)由計算機自動把服務器中數據庫的數據傳送到另外工作站機的數據庫中。此外,還需要定期把某些表或全部數據備份到光盤、U盤中,妥善保管。
3.6管理層面的安全防范
物流管理信息系統的安全保障是由技術、管理和人的作用共同決定的。利用技術手段獲得的安全畢竟是有限的,而所有的策略、技術、工具的使用和管理都要依靠人,因此對物流管理信息系統的安全從管理層面的防范至關重要。這需要制定體系化的安全管理制度,如:系統信息安全備份及相關的操作規程,系統和數據庫的安全管理制度,網絡使用授權、網絡檢測、網絡設施控制和相關的操作規程,等等。
【關鍵詞】 網絡環境; 內部會計控制; 會計信息系統
進入21世紀,信息技術和互聯網的迅速普及和飛速發展,促使信息化、網絡化環境形成,為企業采用以信息技術為基礎的運營管理模式提供了先進的技術支持。同時,企業運營環境和管理模式的信息化、網絡化,使得企業內部會計控制的外延不斷延伸,對企業的會計系統提出了新的要求。本文以網絡環境為背景,試圖建立一個能夠更好地與網絡環境相適應的會計控制框架,以期能為我國企業在網絡環境下構建內部會計控制體系提供一定的借鑒。
一、網絡環境對內部會計控制的影響
在網絡環境下,ERP系統和電子商務、客戶關系管理以及企業外部供應鏈管理的結合,能夠實現從采購到付款、從獲取訂單到開出發票等業務處理的高度集成。企業管理模式的變更和會計系統信息化水平的提高,對內部會計控制的控制環境、控制目標、控制范圍、控制重點和控制方式等方面產生了深遠影響,具體體現在以下幾方面:
(一)控制環境信息化
控制環境的信息化使信息傳遞的層級障礙和距離障礙逐漸消失,企業的信息交換更具及時性和靈活性,但也給企業帶來了新的風險。企業會計信息的數字化、電子化使得會計信息極易被篡改和竊取,而且在存儲介質遭到破壞后,很難恢復原有的數字化信息。同時,在開放的網絡環境下,企業的會計信息系統極易遭受病毒的侵擾、黑客的非法訪問或惡意攻擊。計算機犯罪具有隱蔽性和極強的危害性,企業會計信息系統一旦遭到入侵,企業的文件、重要數據和商業秘密就可能被偽造、銷毀和竊取。
(二)控制目標全局化
企業內部會計控制的順利實現依賴于會計信息系統的良好運行。網絡環境下,企業會計信息系統同業務流程的優化整合成為現實,在將內部會計控制機制嵌入會計信息系統和業務流程的同時,還應該對系統可能引發的風險進行全程預防和控制。如果會計信息系統本身就存在錯誤或者運行不穩定,那么嵌入在系統中的會計控制程序不僅不能夠識別并減少錯誤和風險的發生,反而還會導致錯誤和風險的增加。因此,網絡環境下的內部會計控制目標應該進一步拓展,對企業所有資源和風險進行全局控制。
(三)控制范圍擴大化
內部會計控制目標的全局化要求控制范圍的全面化。網絡環境下,內部會計控制的控制范圍應突破企業范圍的界限,將內部控制的觸角延伸到企業外部,對外部入侵者的惡意侵擾隨時加以防范和應對。其次,將財務部門以外的業務部門納入到控制范圍內,包含與信息系統運行有關的授權審批制度和人員管理制度。此外,網絡環境下的內部會計控制的范圍還需要擴展到網絡安全和數據保密等系統開發和管理方面。
(四)控制重點多元化
網絡環境下,企業會計信息的采集、處理和輸出都是以嵌入業務流程的方式由計算機系統自動執行,對業務源頭相關數據的控制成為網絡環境下會計信息質量控制的重點。因此,網絡環境下的內部會計控制應由傳統的、單一的會計業務控制轉變成為會計業務控制、經濟活動控制和IT系統控制并重的多元控制。
(五)控制方式自動化
在網絡環境下,內部會計控制的具體控制措施都是通過編制相應的計算機程序,由系統自動執行。這種計算機程序的系統控制比傳統的人工控制更規范、更嚴密,但是也有風險,如控制口令被泄露或惡意盜取,獲取口令的任何人員都可以繞過相應的授權審批程序,隨意對數據進行修改或竊取,這種情況一旦發生,再完備的授權審批制度也形同虛設。所以,如何加強系統安全成為內部會計控制在網絡環境下的新任務。
綜上所述,網絡環境對現代企業的運營環境、管理理念、管理模式以及會計系統產生了深遠的影響,企業有必要將內部會計控制轉變為對企業全體資源和多種要素的綜合控制,以形成綜合性的、全方位的會計控制系統。
二、網絡環境下內部會計控制框架的構建思路
為了更好地適應網絡環境,企業應該把IT風險和IT控制納入到內部會計控制的研究范圍內,IT治理的引入可以增強管理層對IT風險的重視,有利于保持會計控制系統的有效性。本文依據會計信息系統的內部控制機制,以加強IT治理、強化信息系統的應用和運行控制作為構建網絡環境下內部會計控制框架的基本理念,引入IT治理的先進模型——COBIT4.1;并以網絡環境為背景,將IT治理理念和全面風險管理理念整合應用于會計信息系統,從而構建起網絡環境下內部會計控制的框架。
三、網絡環境下內部會計控制框架的構建原則
(一)合法性原則
合法性原則要求企業的內部會計控制必須符合相關法律、法規的規定。這一原則是構建網絡環境下內部會計控制框架的最基本原則。
(二)全面性原則
網絡環境下,企業將各個業務流程按照整體化、全流程的思想進行聯接和優化,因而在構建內部會計控制框架時,也要運用全面性和系統性的理念,站在全流程的高度,打破部門界限,對業務鏈中的各個環節、各個要素進行全過程、全員性控制,不再存在空白點。
(三)重要性原則
重要性原則要求在兼顧全面的基礎上突出重點,對于重要的業務事項和高風險領域、環節要制定更為全面和嚴格的控制措施。
(四)制衡性原則
網絡環境下,內部會計控制依舊應在治理結構、機構設置、業務流程以及權責分配等方面形成相互監督、相互制約的機制。
(五)適應性原則
網絡環境下,企業的業務范圍、經營特點、競爭狀況、管理模式和風險水平等內、外部環境的變化逐漸加快,內部會計控制必須隨之加以調整。適應性原則要求企業建立與實施內部會計控制應當具有前瞻性,適時對內部會計控制系統進行評估,發現可能存在的問題,并及時采取措施予以補救。
(六)成本效益原則
網絡環境下構建內部會計控制亦需要對預期效益和實施成本進行權衡,以最小的控制成本取得最好的控制效果為指導原則。對成本效益原則的判斷需要從企業整體利益出發。
(七)協調配合原則
要保證企業內部會計控制活動的連續性和效率性,不僅需要相應的部門、人員、崗位之間協調配合,也需要內部會計控制制度為各個崗位和環節的協調配合作出明確要求。
四、網絡環境下內部會計控制框架的構建途徑
在網絡環境下,企業的會計信息系統既是企業內部會計控制的控制對象,又是控制的工具和手段。本文構建的內部會計控制框架主要包括以下五個要素:內部環境要素;控制目標要素(具體包括業務目標和IT目標);風險管理要素;控制活動要素(包括業務控制、IT一般控制、IT應用控制三個子要素);內部監督要素。具體如圖1所示。
在內部會計控制框架中,內部環境要素是其他四要素的運行環境;內部會計控制目標為其他控制要素的運行指明了方向,并根據其他要素的反饋信息進行修正;風險管理的理念體現在每一個要素中,并貫穿于內部會計控制的整個過程;控制活動是為了保證內部會計控制目標的實現和風險管理的有效展開而制定的一系列政策、程序、措施和方法;內部監督對內部會計控制的貫徹執行情況和控制運行的有效性起監督和評估作用。
(一)內部環境
網絡環境下,企業的內部環境要素仍然在內部會計控制體系中居于基礎性地位。主要內容包括:會計法律法規、治理結構、機構設置、權責分配、IT資源、企業文化、人力資源政策等多個子要素。根據COBIT4.1,IT資源包括應用系統、信息、基礎設施和人員,如圖2所示。
(二)控制目標
網絡環境下的內部會計控制目標分為業務目標和IT目標兩個部分。通過執行內部控制,期望達到的業務目標涉及合規性、戰略、經營、報告和資產安全五個方向,具體包括:保證相關法律、法規在企業內部得到貫徹執行,保證企業戰略的貫徹執行,保證企業經營效率的提高,保證財務報告和其他會計信息的真實、可靠、完整,保護資產的安全。IT目標主要與信息系統的控制有關,包括保證計算機網絡的安全,采用的會計信息系統要符合相關法律、法規的要求,保證系統數據輸入、處理和輸出的準確性和安全性,增強系統運行的穩定性、效率性、可維護性以及可審計性等。
(三)風險管理
網絡環境下企業內部會計控制需要識別、評估和應對的風險范圍更加廣泛,風險管理涉及信息系統規劃建設中的風險、系統運轉不穩定的風險、軟件中內控機制存在漏洞的風險、信息存儲介質遭到破壞導致信息丟失的風險、系統操作的人為風險、網絡的開放性帶來的網絡犯罪風險以及系統遭遇病毒攻擊或黑客非法訪問的風險等。網絡環境帶來新風險的同時,也提供了先進的風險控制理念和風險控制手段。在企業的內部會計控制建設進程中,把信息技術運用到風險管理中,提高風險管理的自動化水平,以幫助企業及時識別風險、有效分析和評估風險及采取有效的措施應對風險。
(四)控制活動
企業在網絡環境下的內部會計控制活動分為業務控制和IT控制兩個方面。企業經濟業務處理流程和會計業務處理流程在信息系統中的高度融合,要求內部會計控制要針對企業經濟業務活動流程中的關鍵控制點來設計,并實現控制程序化、自動化。
IT控制是控制活動得以順利實現的手段和途徑。COBIT4.1模型以業務為中心,以流程為導向,能夠保證業務目標和IT目標的一致性,有利于企業管理層進行信息管理和內部會計控制的落實。IT控制在COBIT4.1模型中由四個域構建完成。
1.規劃與組織
規劃和組織要求企業建立完整的內部會計控制制度來完善對會計信息系統涉及的人員和部門的控制。該域對IT控制的貢獻在于:通過IT戰略規劃、IT風險評估以及IT人力資源管理幫助企業相關人員了解IT目標,管理IT風險,貫徹控制制度;通過定義IT與組織的關系確定會計信息系統的結構;通過IT質量管理和項目管理檢驗會計信息系統的質量;通過傳達IT管理目標以確定企業的IT戰略是否與業務戰略相一致等。
2.獲取與實施
獲取和實施是指企業為了實施IT戰略,購買或自行開發系統并將系統與業務流程充分整合以實現系統應用以及對現有系統的更新和維護。其關鍵控制點主要有:(1)系統開發前要進行系統開發可行性研究和經濟效益評估;(2)在系統正式投入運行之前,需要實施以下控制:系統各功能模塊的設計要嚴格遵守相關法律法規,建立標準規范的開發審批程序,選擇合格的軟件開發方,進行系統測試等;(3)在開發階段要對使用系統的員工進行培訓,增強員工對系統的了解;(4)建立與系統維護和變更有關的授權審批制度。
3.交付與支持
這一層域主要關注會計信息系統的經常性控制,包括經濟業務發生控制和數據控制兩個方面。經濟業務發生控制是指,在發生經濟業務時,先通過控制程序對經濟業務發生的合法性、合理性和完整性進行檢查。數據控制包括對數據的安全以及輸入、處理、輸出、傳輸等方面進行的控制。
4.監控與評價
監控與評價要求企業定期評估會計信息系統與IT控制要求的符合程度以及系統處理、IT控制的質量和效率。內部審計部門可以采用會計信息系統審計來對系統進行監控和評價,對IT過程的監督和評價包括在內部會計控制的內部監督要素中。
(五)內部監督
內部監督要求企業定期或不定期地對內部會計控制的建立與運行情況進行監督和檢查。通過實施內部監督,發現已經實施的內部會計控制中存在的缺陷,并監督企業及時改正。企業應當設置獨立的內部審計部門,對企業的經濟業務活動、會計業務活動以及會計信息系統進行定期或不定期的監督檢查。按照企業風險管理框架的要求,內部監督可以采用持續監控和個別評估兩種方式,并且需要開展事前監督和事中監督,同時對會計信息系統進行必要的評估和更新,及時修正會計信息系統以適應新的環境。
【參考文獻】
[1] 歐陽電平,劉錦芳.ERP系統環境下企業內部會計控制體系結構的構建研究[J].財會通訊,2005(5).
[2] 崔也光.網絡時代,會計的時空觀[J].會計研究,2000(3).
[3] 陳亞娟.IT環境下COBIT在內部控制中的應用[J].商業會計,2011(14).
[4] 陳旭,張艷芳.基于COBIT的信息系統內部控制風險研究[J].財會通訊,2011(13).
摘 要 隨著現代化和信息技術的迅速發展,企業信息系統的運行方式和運作環境等都發生了深刻的變革,企業的會計工作也離不開信息技術的支持和幫助,會計信息化的發展,在提高了企業會計管理工作效率的同時,也對企業的內部控制工作提出了新的要求,本文通過闡述企業會計信息化和內部控制兩者之間的關系,以及會計信息化下內部控制環境的變化,對會計信息化環境下內部控制如何構建進行了探討。
關鍵詞 企業會計 信息化 內部控制
隨著計算機技術和網絡技術的發展,越來越多的企業工作開始向信息化,系統化管理方向發展。會計信息化作為企業整體信息化的一個部分,其功能正在不斷增強?應用也越來越普及,很多大、中型企業都已不同程度地實現了會計信息化。信息化的進程也使企業的內部管理和控制環境發生了變化,傳統的內部控制已經不適應信息化下的經營管理,我們要結合會計信息化管理和內部控制之間的聯系,探索與之相適應的內部控制模式和內控流程,確保會計信息化系統的高效安全地運轉,同時也保證內部控制的有效開展。
一、會計信息化與內部控制的聯系
會計信息化,是指在會計核算信息化的基礎上,利用現代信息技術和信息管理原理對傳統財務流程進行重整,徹底改變對財務信息資源的采集、加工、傳輸、存儲、應用等處理方式,建立并實施集會計核算、財務管理和決策支持為一體的集成性、開放性、實時性、安全性的現代會計信息系統的動態發展過程。
內部控制是指經濟單位和各個組織在經濟活動中建立的一種相互制約的業務組織形式和職責分工制度。
在會計信息化環境下,信息技術被有效地集成到業務和信息處理過程中,利用信息技術設置信息系統內部控制程序,加強了內部控制體系的預防、檢查和糾正功能,增加了內控手段的多樣性和有效性,以防范與控制經營風險。同時,信息化下的電腦操作無形化等也增加了出錯、舞弊以及利用計算機進行犯罪的風險。另一方面,隨著企業管理對信息系統的日趨依賴,也要求必須有完善可靠的內部控制,方可保證會計數據在收集、計算、傳遞、輸出過程中的安全性和信息的正確性,并可有效地減輕由于內部人員道德風險、系統資源風險和計算機病毒所造成的危害,起到保障會計信息系統的作用。
二、企業會計信息化下企業內部控制環境的變化
1、會計部門組織模式的變化。會計信息化下信息技術與會計高度融合,帶來了會計工作組織扁平化管理,原先由會計人員分工完成的許多內容都由計算機集中自動地完成,手工環境下一些不相容的職責可能被整合,一位員工可以兼任更多的職責,部分崗位被撤銷,而對在任的人員的學識水平、分析能力和管理經驗提出了更高的要求,會計部門的人員既要熟悉計算機技術,又要精通會計業務,方可對會計信息系統進行應用與維護。同時,會計人員職責的集中也可能會加大出現錯誤和舞弊的風險。
2、會計核算處理方式及會計信息形成的變化。信息化打破了部門之間的信息交流壁壘,會計業務流程的數據采集工作由各業務部門完成。業務部門的信息輸入系統后,自動生成各類數據和報表,供財務人員作為原始數據使用,在經會計部門審核加工后自動生成會計信息,并由此自動進行憑證制作、成本核算,記帳、結帳、編制財務報表、財務分析等會計工作。故任何原始數據的錯誤,通過計算機的自動計算和傳遞,在系統不能識別的情況下,會產生一系列的錯誤數據,導致錯誤的擴大化。另外,計算機和網絡使得會計人員能不受地域限制,實現對會計信息的網上實時處理,如遠程技術的運用。
3、會計信息存儲形式的改變。在信息化環境下,交易的信息通過計算機記錄,業務的無紙化操作替代了原先的紙質單據和各種憑證等。會計處理工作中用到的書面形式如會計憑證、會計帳簿等,都被轉變為記錄形式的文件,儲存進磁性介質中。紙質的交易軌跡不復存在,一定程度上削弱了操作員對交易軌跡負責的法律效力。同時存儲會計信息的磁性介質也可能會因保存方式而有失效的危險。
4、內部控制形式發生的轉變。信息技術的運用,使各部門的內部控制逐漸程序化,更多的檢驗、核對、判斷、調用、監控等功能由信息系統來實現,內部控制方式被計算機高深的邏輯判斷能力和邏輯推理能力所轉變。內部控制主體也從人手工控制,慢慢轉變為兩個方面:人工控制和程序控制,所有控制程序也應該契合于計算機處理的所有程序。
三、企業會計信息化下的內部控制的構建
第一,信息化下會計部門職責的分離和權限的設置。會計信息化下,會計部門按照會計信息資源管理的流程設置崗位和職責,包括會計部門負責人、系統管理員、系統操作員、數據審核員、數據分析員等崗位,每一崗位根據權責分離和內部牽制原則設置相應人員和權限,使系統模塊與崗位職責完整一致。嚴格進行系統操作權限和維護審批監督控制,可有有效防止有關人員處理數據中發生越權行為或計算機舞弊的行為,杜絕出現差錯和犯罪行為等不良后果的發生。同時還應建立起崗位輪換制度。
第二,系統開發控制,指為保證信息系統開發過程中各項活動的合法性和有效性而設計的控制措施。在開發系統控制之前必須進行需求調研,調研的內容包括與信息系統相關的各項業務的流程、工作內容、業務控制點等。應用部門的人員和系統設計人員共同參予系統開發控制的研究和設計,以及系統運行效果的評審和鑒定。制定適合信息系統條件下的內控方案,編制相應的控制程序,將這些控制程序和控制參數輸入到計算機信息系統內部,形成嚴密而完整地的面向流程的人機內部控制系統,由系統自動完成設定的內部控制。信息的不對稱或不符合既定要求,就不能進入業務流程的下一個環節,從而從信息的源頭就進行了控制。企業員工根據信息系統反映的信息流可及時監控業務過程中的物流、資金流等,便于及時發現錯誤,防止舞弊,預防風險,保證信息的準確性和真實性。
第三,系統應用控制,指信息系統在處理會計數據過程中的所采用的控制程序和措施,包括數據輸入、處理和輸出環節。輸入控制重點是建立適當的授權和審批機制,并對輸入數據的準確性進行校驗;處理控制重點是處理權限控制、參照檢測控制、數據有效性檢測、預留審計線索控制和數據備份及可恢復控制等;數據輸出控制重點是于輸出權限控制、輸出數據正確性控制,輸出會計資料的分發控制等。
第四,構建工作環境控制。為了保證會計數據處理環境安全,保證計算機機房設備的安全和正常運行,必須建立控制機房的管理制度,控制機器設備的使用,禁止無關人員隨便進出機房以及使用信息系統計算機設備。
第五,構建網絡安全的控制。制定信息化系統安全制度,對網絡財務系統建立多層次綜合的安全體系,如采用信息加密技術,設置訪問控制,加強防殺病毒控制等,維護網絡安全,確保信息系統安全運行。
第六,健全信息化會計檔案管理制度,做好系統數據的日常儲存保管工作,嚴格按照會計信息檔案保管制度實行磁性介質和紙質檔案同期備份、專人保管,確保會計信息系統產生的會計信息檔案的完整與安全,并對會計資料建立嚴格的保密措施和借閱審批責任制度。
第七,加強企業內控審計,企業內審機構和人員通過檢查企業內部控制制度的建立健全情況和內部控制措施的執行情況,對企業內部控制體系是否完整、有效提出評價意見,并就進一步完善內部控制體系提出審計建議,以預警和預防企業經營管理風險。
總之,會計信息化帶來了工作的高效率,也帶來了對內部控制的新要求。必須根據會計信息化下新的運行方式和運行環境,建立新的內部控制模式,采取新的控制方法和措施,以順應信息化的發展,并為信息系統安全高效的運行提供有力的保障,從而提高企業的管理決策能力和管理水平,增強企業的核心競爭力。
參考文獻:
[1]劉文彬,潘果.論企業會計信息化系統的內部管理與控制.民營科技.2011(10).
[2]崔勇軍.我國會計信息化與企業內部控制的探討.中外企業家.2010(04).
