时间:2023-09-14 17:43:25
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇如何构建网络安全体系,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
随着网络时代的发展,人们已经进入了一个全新的信息世界,世界连成了一个整体,实现了“双脚不出门,尽知天下事”的时展目标。计算机技术的快速发展以及网络安全所具有的保密性、完整性、可用性、可控性和可审查性等特征使得网络安全愈发成为各界关注焦点。网络安全能够做到防范于未然,将潜在的网络安全隐患扼杀在摇篮中,以使各自的利益得到保障。不同应用环境有不同的网络安全类型,最常见的网络安全类型有系统安全,网络的安全、网络传播安全和信息内容安全等。计算机技术的快速发展使得网络安全技术相关工作不断面临挑战,网络安全隐患大大增多。因此,利用网络安全技术,解决相关问题,减少安全隐患,提升网络安全性迫在眉睫。
1网络安全问题简析
现阶段的网络安全问题主要体现在存在较多网络隐患上,具体表现为以下六个方面。(1)Internet作为一个没有控制机构的开放网络,其计算机系统很容易遭到黑客入侵,最终导致特权被盗用、重要数据被破坏、机密数据被窃取甚至是系统瘫痪的后果。(2)TCP/IP是一种没有信息安全措施的通信协议,而Internet所有的数据传输都是在此基础上进行的,所以存在一定安全隐患。(3)Unix是一种安全性较弱的操作系统,而Internet中大部分的通信业务都是由该系统支持完成的,因此仍旧存在一定安全隐患。(4)由计算机存储、传输及处理的电子信息的真实性和可靠性还不能保证,其在应用层中的相关服务协议全靠彼此间的君子协定维系,安全性有待加强。(5)电子邮件被误投、拆看以及伪造的情况大量存在,用其传输机密性的信息文件时,安全系数将会大大降低。(6)Internet在传播过程中容易带来计算机病毒,进而导致数据文件丢失、系统瘫痪等较为严重的后果。
2网络安全技术简介
2.1防火墙
防火墙通常被放置在网络边界地带,用于隔离网络内外两部,发挥安全隔离作用,以此监控审核通信信息,确保网络安全。防火墙结合相关安全策略,对网络传输数据进行检测分析,改变所检测到的较为机密的数据,将内部的数据结构以及运行状态等隐藏起来,进而使网络安全得以保障。包过滤技术、技术、状态检测技术以及地址转换技术是最为常见的四种防火墙技术,是依据其所采用的技术标准划分的。防火墙是网络安全的屏障,能够阻止与安全策略不相符合的较为危险的网络信息的传播,进而提高网络安全防护能力。防火墙对用户权限的访问以及数据内容的控制也是其的重要功能。除此之外,防火墙还具有网络访问审计和地址转换的功能,作为连接网络内外两部的唯一通道,防火墙能够记录有关网络的所有访问记录,再对其进行了较为仔细的审计和分析,并以日志信息的形式呈现出来。在此过程中,NAT服务协助防火墙实现内外部网络的地址交换,共享资源,提高其安全性能。
2.2入侵检测
与防火墙不同的是,入侵检测技术在安全防御这个过程中显得更为主动,其实质是一种自我防御技术。入侵检测技术通过“整理收集分析”这一流程对网络中那些较为关键的节点信息进行处理,再判断其是否被人入侵或者攻击。此外,该技术还能监督系统的运转状况,发觉各种各样的进攻计划、行为或者后果,进而保障系统的完整性、机密性以及可用性。入侵检测技术主要有使用主机入侵的检测和使用网络入侵的检测两种方式。前者是以主机为检测对象,将入侵检测设置于系统之上,以避免因网络遭到外部攻击而造成系统不能正常运行的状况发生。后者是以网络为检测对象,又可以称是硬件检测,该检测是将网络中的数据包安插在相对重要的地方,再对其进行分析和配置,一旦发现有攻击行为存在,系统便根据有之前配置的相关安全策略阻断网络,以保证网络安全。
2.3VPN
VPN是一种利用公用网络架设虚拟专用网络的远程访问技术,其实质通过共享网络建立一个能够连接内部网络的隧道。对远程用户来说,VPN非常实用,不仅成本较低,还能够通过其获取可靠安全的资源,并且在此过程中传输数据时的安全性也能够得到相应保障。隧道技术、加密和解密技术、密钥管理技术以及身份认证技术是VPN中最主要的四种安全技术。VPN技术最主要的特点有两个,一是能够保障安全性,二是能够保证QoS的服务质量。前者主要体现在VPN能够保证网络传输中所传输数据的可靠性和保密性。而后者主要体现在能够预测网络在高峰期的使用情况,并建立一定策略机制,设置相关权限以控制执行先后顺序,避免出现拥塞现象。
3网络安全解决方案
3.1构建网络安全体系
网络服务的保密性、完整性和持续性是网络安全体系的最主要体现,现阶段的网络应用中存在不少安全隐患,这在一定程度上影响了网络服务的质量。所以,要提升网络安全系数,保证网络安全质量就不得不首先从构建网络安全体系着手。例如,要构建一个图书馆的网络安全体系,其具体操作流程如下。第一,对具体的业务、系统、网络等实际应用情况做一个全面具体的分析,建立一个初步的、具有一定整体性的安全体系结构框架。图书馆的网络安全体系结构框架可以从存储系统、网络结构和自动化系统这三个方面设计。第二,再对以上三个方面进行详细分点设计,整理出每一方面需要设计的内容。具体如下。(1)存储系统方面,DAS系统的技术相对而言更具成熟性和稳定性,故而该图书馆的存储系统可采用该系统。(2)网络结构方面,为免受设备物理位置的限制,可采用VLAN划分技术,实现每一个职能部门计算机的逻辑划分。(3)自动化系统方面,服务器对应用访问的热备份需求日益增加,为满足这一需求,图书馆在自动化系统方面可以采用双机热备技术。
3.2技术与管理相结合
技术和管理的有机结合能够更好地实现网络安全,控制网络内部的不安全因素的产生。此处仍以图书馆为例,具体操作如下所示。(1)使用防火墙。DDoS和DoS的攻击可能会使得PC机和关键服务器受到损害,这个时候就需要设置防火墙,并制定相关的限制访问策略,以响应各种网络攻击。图书馆可以根据自身实际情况配置防火墙,以防止外部非法用户在该图书馆网络中自由出入,获取资源。另外,为了保证计算机网络系统安全,图书馆还应该随时对系统进行升级。(2)安装防毒软件。安装防毒软件防止病毒入侵的重要方式之一,桌面、服务器、邮件以及网关等随时都有可能遭病毒入侵,所以设置防病毒软件尤为必要。在选择时,一定要选择公认的质量较好的、升级服务较为及时的、响应和跟踪新病毒速度较快的防病毒软件。(3)多重加密技术。网络安全的威胁途径主要来源于数据的内部传送、中转过程以及线路窃听,采用多重加密技术,可以有效地提高信息数据及系统的保密性和安全性。多重加密技术主要分为几个过程,首先是传输数据的加密,这是保证传输过程的严密,主要有端口加密和线路加密两种方式。其次是数据储存的加密,目的是为了防范数据在储存中失密,主要方式是储存密码控制。最后是数据的鉴别和验证,这包括了对信息传输、储存、提取等多过程的鉴别,是一种以密钥、口令为鉴别方式的综合数据验证。日常的网络生活中,加密技术也常能看见。比如各大社交软件、游戏账号、邮箱等,都设有个人密码,只不过多重加密技术是一种更高级的渗透入网络数据传输各环节的一种加密形式,有效地采用多重加密技术将极大促进网络重要数据的安全性。
3.3制定安全问题应急策略
网络安全事故在所难免,但是可以通过一定的措施控制其发生的频率。制定应急措施便是不错的方法之一。应急策略包括紧急响应计划和灾难恢复计划。前者主要是指出在事故发生之时系统和网络可能遭到的破坏和故障有哪些,而后者主要是指明如何及时地应对这些破坏和故障,使其恢复到正常状态。
3.4注重相关人员技术培训
培训不能仅仅只针对相关技术人员,非技术管理人员的培训也尤为重要。现阶段,无论是技术性还是非技术性员工,对网络安全的重视程度仍旧不够。所以,加强其网络安全意识势在必行。对非技术人员的培训而言,主要是使其了解基本安全技术、能够分辨网络或系统中存在的安全隐患等。而对于技术人员而言,要求则相对较高,必须使其掌握相关的黑客攻击技术,找到应对方法,并将其应用于实际工作中,以保证网络安全等。
4结束语
2009年底,历经3年多的精心建设,上海世博会永久性建筑、“一轴四馆”中的重要场馆之一――世博中心正式竣工,成为了上海黄浦江边一座标志性新景观。展现在大家面前的,是一座集合了现代计算机技术、现代通信技术、现代控制技术和现代显示技术的全新智能化建筑。这一标志物的落成,正式鸣响了上海世博会华丽乐章的“前奏”。
作为上海世博园区核心建筑以及最重要的综合性场馆之一,世博中心被誉为上海的“超级客厅”。在世博会举办期间,世博中心将承担庆典会议中心、新闻中心、论坛活动中心等任务,是上海世博会运营管理的主要工作场所,2010年上海世博会中最高规格的《上海宣言》论坛将在这里举行。作为中国信息化建设领域领军企业之一的H3C,凭借着雄厚的技术实力与完善的解决方案,在世博中心信息系统建设中充分发挥自身优势,为将世博中心打造成一个高水平的现代化场馆,增添了一段亮丽的“旋律”。
性能与差异化兼顾,打造世博网络“基石”
在现今的网络化时代,任何现代化的智能化建筑,都离不开网络这一“基石”。计算机网络系统作为世博中心的核心指挥系统,其地位自然相当重要,各种信息的快速传递均离不开高速的信息网络平台,计算机网络能否正常运行将直接影响到世博会议的成败。为此世博中心需要建设一套先进、稳定、可靠、安全的计算机网络平台。
对于承担世博中心网络系统建设的H3C来说,如何确保世博中心网络系统在世博会召开期间及未来的高效稳定运行,成为了考虑的重点。因此,在方案总体设计上,H3C以高性能、高可靠性、高安全性、良好的可扩展性、可运营、可管理和统一的网管系统为原则,同时考虑到技术的先进性、成熟性,并采用了模块化的设计方法。
在核心交换机的选择上,方案采用万兆路由交换机作为网络的核心交换设备,以满足这两个网络在交换容量、业务功能和接口数量等方面提出的高要求。作为一款定位于大型城域网的汇聚层、小型城域网的核心层、大型企业网及园区网的核心骨干设备,华三万兆核心路由交换机在满足运行安全性及大流量数据快速处理能力方面有着极为突出的表现。
最终,世博中心成功构建了一个技术领先、性能优异、安全可靠的网络系统,既适应了各项应用的需要,又充分满足了未来信息化发展的需要,为世博会的正常运转打下了良好的基础。
安全端到端,确保世博网络无虞
在构建世博中心网络系统的同时,还有一个需要着重考虑的就是网络安全问题。这也关系到世博会期间,世博中心是否能够稳定有序的承担“客厅”功能的一个重要影响因素。对于在网络与安全领域均有着领先优势的H3C来说,同样也不会忽视这其中的利害关系。因此,在提出世博中心网络建设规划时,网络安全建设方案也被一并提上了日程。
在总体规划上,H3C从防止非法用户接人、防止安全隐患终端接入、网络内部安全防范、网络出口安全防范、病毒防范、流量监控等多个方面,对整个世博中心网络安全体系进行了全面整体规划,并针对业务网、公众网、设备管理网的安全性,分别采取了相应的安全规划手段,从而达到有的放矢的效果。
而在具体建设中,H3C充分遵循了领先的“智能安全渗透网络”理念,一方面通过运用集成在网络产品的安全技术提高整网的安全性,另一方面通过部署各种性能出众的网络安全软硬件,为网络提供端到端的安全保障。
IP网络视频监控,世博安保强大助手
在为世博中心构建网络与安全体系的同时,作为IP技术领域领导厂商的H3C,还通过提供强大的视频监控系统,为世博中心乃至世博会的安保工作提供了强有力的支撑。
视频监控系统作为现代化安保的重要手段,是智能化建筑中不可或缺的一环。世博中心作为世博会举办过程中的核心建筑,人流量非常巨大,对公共安全环境有着极高的要求。对此,其安全防范系统不光要针对本项目的实际情况进行规划及设计,同时设计也必须遵循世博会管理部门(例如世博会安保部)及相关公安部门的强制要求及指导意见,实现为游客及最终管理使用方提供真正保障及管理便利的目标。
同时,由于世博中心是世博会最重要的主场馆之一,在世博会后其功能又将发生变化,以致在设计其视频监控系统时必须解决几个主要问题。包括如何保障大规模监控系统的可扩展性?如何实现大规模监控系统可低成本扩展,同时系统在扩展后性能不会下降?如何实现海量视频信息的高质量可靠存储?如何对这些海量的视频数据进行有效管理?如何因地制宜的实现监控点接入和线路部署?如何与世博中心的其他业务系统集成?如何有效管理和维护如此复杂的监控系统?等等不一而足。
1电子商务网络安全性分析
1.1网络环境影响
网络环境具有一定的开放性,从而导致了数据安全问题的出现。比如,某房产进行网上交易时,交易数据以数据包的形式传送,那么一些不法犯罪者可能会对其恶意攻击,在网站上进行数据拦截,从而获取数据内容,展开诈骗或者恶意修改等行为。数据在传输过程中,如果没有强有力的防护措施,网络黑客就很容易在网络端口攻击漏洞,进而获取商业机密。攻击者如果没发现系统漏洞,也可以转向协议方面进行Dos攻击,这样攻击者就成为合理服务对象,占用合法用户的服务资源,使得用户无法获得需求的网络资源。这是一种比较常见的攻击手段,影响到用户正常的网站访问。
1.2信息安全性
用户在进行电子商务交易时,会泄露许多个人信息,这可能会对个人隐私和财产安全造成危害。另外,一些用户的登录地点可能是网吧或者便利店等,如果那些电脑有木马程序或者病毒,那么用户名或者银行卡口令等都可能被攻击者盗取。攻击者掌握交易信息后,可以随意地篡改信息,或者冒充商家发送信息,伪造订货单据,从而给交易双发造成巨大的经济损失。随着科学技术的发展,电子商务个人信息受到威胁的可能性越来越高,相对而言,由于网络的共享性和全球性,攻击者不容易被找到,使得网络犯罪行为较为猖獗。当前电子邮件与压缩文件使用较为普遍,一些不法分子可以通过这些经常使用的文件传播病毒,其病毒种类繁多,所造成的破坏也有一定的差异,电子商务用户难以对其进行防范。
1.3网站构建漏洞的问题
企业在制作电子商务网站时,其设计就可能存在一定的安全隐患,攻击者可以通过SQL注入,跨站攻击网络系统,从而窃取大量用户的信息,给企业带来难以估量的经济损失。目前,许多网站花费巨资构建网络安全设备,可能由于网站的使用问题,这些设备的使用期望值并没有达到,还有网站配置的技术人员,专业素质与网站安全需求不相符,当安全设备进行设置时,会出现相应的安全问题,而网络管理者还不能有效解决这些问题。
1.4数据修复问题
事物是不断发展变化的,网络安全技术被攻破只是时间的问题,现在我们需要考虑一个比较实际的问题,就是网站攻破后,如何尽快恢复数据,减少财产损失。为应对这一问题,电子商务部署数据恢复机制是十分必要的。比如,建立磁带备份与网络软件备份,这样在系统硬件受到破坏时,电脑可以立即恢复系统和数据。
2电子商务网络安全体系的构建
2.1访问控制
电子商务网站进行网络连接时,一般是由路由器连接,如果没有防护措施,相应的这个服务器对外是没有防备的。攻击者通过系统扫描或者远程探测,就可以探测出网络安全体系的构建漏洞,从而对其发起攻击。为应对这一问题,目前,最有效的办法就是在网站之间建立访问控制。
2.1.1建立防火墙
防火墙属于计算机的功能模块,也是软件与硬件的整合体,在网页访问时,防火墙属于第一道防线,其作用是不可忽视的。防火墙可以把网络的受攻击可能性减少,对一些没有安全证书的网站做IP地址限制,限制一些外部网络操作。由于网络访问都要通过防火墙,那么就可以在此程序上拦截攻击软件。还有,防火墙可以转换地址,使得外部攻击者不容易发现攻击目标。原则上只有安全合法的信息才能进出防火墙,那么防火墙就能保证数据的完整、精密性,也便于资源的统一管理,下图是防火墙功能。
2.1.2用户认证与VPN技术
网络用户认证十分重要,因为这样可以保证数据传递的机密性。通过审核与认证可以辨别接受信息的真伪性,也可以达到监视网络信息传送的目的。对于企业网站扩展访问问题,可以采取部署VPN的措施,VPN技术属于临时性的安全连接,也是一条内部网站扩展的安全隧道。
2.1.3入侵防御
入侵防御是对防火墙安全设置的补充,能结合其他安全系统对网站展开全方位保护。在防御措施上显得更加的主动,可以对网站边界数据实时检测,与此同时,还能对服务器数据检测,更加及时地拦截各种破坏数据。入侵防御主要集中在控制台,以管理检测网络访问行为为主,发现网络违规访问模式会立即做出安全防御反应。
2.2电子商务系统防护
2.2.1商务应用防护
电子商务系统防护构建是十分紧迫的,攻击手段的创新不容小觑。电子商务网站防御体系,不但要抵御恶意进攻,还有具备自我防范与修复功能。所以,其需要一个健全的扫描机制,能够第一时间发现网站漏洞和木马间谍,然后展开修复与完善功能。在此过程还要建立追踪日志,为后续的追溯问题提供资料,然后,通过分析对比快速的解决问题。
2.2.2操作系统防护
网络结构的重要组成就是服务器,服务器的安装操作都是需要特别注意的。目前,服务器的系统平台还存在一定的安全隐患,只有针对这些问题采取相应的处理措施,才能解决其安全隐患。所以,服务器的升级一定要及时,还需要构建全方位的防毒系统,从而强化服务器的薄弱环节。
2.2.3数据备份
在电脑使用过程中,可能会突发不确定事件,导致电脑不能够正常运营。比如断电、火灾、地震等自然灾害都会对电脑系统造成毁灭性的影响,那么针对这些突发事件,就要考虑电脑数据的后续恢复问题。目前,主要是部署电脑存储的内部系统,选择较为重要的数据安置在储存网络中,然后把这些数据拷贝到磁带设备中,这样系统即使出现崩溃的现象,这些数据的保留也会比较完整。
2.3数据加密
电子商务安全体系的最基本防御措施就是数据信息加密,数据加密的设计原理是,把信息明文设置成需要加密的密文,这些密文的传输就具备一定的保密性。并且数据加密符合数据保密需求,现在数据加密主要分为两种类型。一种称为对称算法,就是数据的解码只有一个,其加密密钥是一样的,这样有利于密码的记忆,比较简单方便。另一种就是公钥算法,与第一种不同的是它有两个密钥,并且两个密钥不能够相互推导。
2.4电子交易协议
针对电子商务出现的技术缺陷,可以采用电子交易规范原则。划分和明确电子商务交易方的权利与义务,使得电子商务交易更加规范。其规范制度也有利于商务信息的完整保密性,从而保证合法使用者的身份具备法律支撑。
3安全管理
电子商务安全支付系统的构建,在确定了安全技术方案后,还要健全安全实施管理工作。这样才能把安全支付系统落实到实际工作中,将其组织、策略、技术有机整合起来,最终实现电子商务的安全体系构建。
3.1统筹全局、统一规划
电子商务的安全问题,要从整体统筹规划考虑。只有整体机制健全,才能让其各个部分协调起来。当然,也要紧抓支付系统出现的关键性问题,从而集中主力快速解决这些弊端漏洞。在机制建设过程中,不要忽视小问题,小问题往往是其薄弱部位,容易成为攻击者寻找的漏洞目标。
3.2防治结合
防治结合是指电子商务出现的不安全因素都要考虑,并且针对这些不安全因素要采取相应的对策措施,在根源上避免其发生,如果出现就能立刻找到办法解决。
4结论
[关键词] 档案信息化; 管理; 信息资源
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 06. 042
[中图分类号] Q275 [文献标识码] A [文章编号] 1673 - 0194(2012)06- 0089- 02
随着改革开放的深入和国家政治、经济的发展,档案与档案工作的重要性得到了人们的认可,档案工作的地位也得到了极大的提高。档案信息是国家重要的信息资源,随着国家信息化战略的提出,档案信息化不仅是适应国家信息化战略的必然趋势,也是全面提升档案工作为社会更好服务的必然要求。在国家制定2006-2020年国家信息化战略中,特意把信息安全列入到构建和完善因素之中,可见信息安全已经成为不可忽视的重要的研究课题,同样也适用于档案信息化建设中,因此,构建档案信息化安全体系就具有必要性。
1 基础设施安全体系的构建
档案信息化基础设施建设是档案信息化的基础和前提,也是档案信息资源开发利用和信息技术应用的前提和基础,并制约着档案信息化建设的发展水平。与档案信息化建设一样,档案信息化安全体系建设也应从基础设施安全体系建设入手。
1.1 硬件设施安全体系建设
档案信息化硬件基础可以用信息化经费投入总量占档案馆经费比例、人均计算机拥有量、数字化设备的数量、存储设备的数量、数据迁移和备份设备的数量等指标来衡量。档案信息化硬件设施安全主要体现在通信线路的安全、物理设备的安全与容灾能力、抗干扰能力与设备的运行环境等方面。因此,构建档案信息化硬件设施安全体系要从上述安全因素出发,主要包括以下两个方面:
(1) 具有防自然界非确定因素安全体系。自然破环属于不可抗力,只可预防不可阻止。信息化时代导致微电子网路设备和硬件设备得到普遍应用,也易遭受雷击影响,所以,档案馆或机构应具有综合防雷方案,以备不时之需。综合防雷方案包括直击雷的防护和感应雷的防护,以防止潜在风险。除此之外,电子文件安全防护设备除具有调温、调湿、防水、防盗、防光、防虫等功能外,还应具备防磁、防磨损等能力,以确保档案信息化信息安全。
(2) 计算机机房环境控制体系。适宜的温湿度不仅能够保证机房安全,也能延长计算机寿命。本文结合其相关资料,把计算机机房环境指标分为温度、湿度、照明、噪声等因素,按照不同的标准分为A、B、C三级。档案信息化主服务器环境至少要达到B级标准,甚至有条件的话要达到A级标准,以达到计算机硬件设施安全。
1.2 网络环境安全体系建设
档案信息化网络环境指标可以用馆内计算机上网比例、网络性能、网络建设水平、政务网建设水平和公众网建设水平等指标来衡量。档案信息化网络环境安全体系建设主要体现在网络安全通讯、网络资源的访问控制、数据加密、远程接入的安全、路由系统的安全、侦测非法入侵和网络设施防病毒等。结合档案信息化网络安全体系安全因素,档案信息化网络环境安全体系建设包括以下两个方面:
(1) 全网数据安全备份体系。对数据进行备份是为了保证数据的安全,消除系统使用者和操作者的后顾之忧。信息技术的发展促使档案信息化的发展,也导致档案数据业务量的增加。数据备份体系一直是预防灾难、保证档案信息化信息安全的一种手段。档案信息化中信息不仅包括主服务器上的信息,而且包括网络节点上的信息,所以,数据备份不仅要备份主服务器上的数据,而且也要备份节点上的信息,建立全网数据安全备份体系就成为档案信息化安全体系建设的重要数据保障体系。我国浙江省舟山市档案馆在馆内建立病毒入侵防御系统、双机热备与灾难备份系统确保这些原生性档案数据安全与使用就是数据备份的例证。
(2) 网络设备安全体系。信息技术的发展由传统的信息保密性向信息完整性、可用性、可控性等多方面发展。档案信息化正是借助于先进信息技术,档案信息化也由信息保密性向其他方面发展。除了在传统信息技术注重系统本身防范外,还应在网络出口配备防火墙设备。防火墙通常设置于某一台作为网间连接器的服务器上,在内部网与其他网络之间建立起一个安全网关,使访问者无法直接存取内部网络的资源,保护网络资源免遭其他网络使用者的擅用或侵入。档案管理部门可以通在信息传输和存储方面采用加密技术和身份认证技术等方式,对不断变化的网络安全做出及时的反应,以构建网络设备安全体系。
2 标准规范安全体系的构建
档案信息化标准规范建设是档案信息化业务、技术应用和应用系统建设的规范,也是其核心能力与竞争力的体现。统一的标准规范建设不仅有利于档案信息化的过程,而且有利于数字资源的长期保存与管理。档案信息化标准规范建设不仅要对已经颁布的档案信息化标准规范进行监督和指导,同时要制定符合档案信息化的标准规范安全体系。档案信息化标准规范建设可以用档案信息化的政策支持力度、现有的档案信息化标准和规范的应用和所制定档案信息化标准规范总数及有效度来衡量。本文从档案信息化标准规范的管理性、业务性和技术性3个方面建立档案信息化标准规范安全体系。
2.1 管理标准规范安全体系
档案信息化法律法规应覆盖档案信息化建设整个活动范围,其管理标准规范主要体现在国家或地方机构对档案信息化的政策支持力度。针对我国目前档案信息化法规现状,档案信息化管理标准安全体系建设主要从以下几个方面考虑:
(1) 国家的综合性法律或档案信息化管理法规,应结合当时的信息技术发展水平以及档案信息化发展水平,及时对法律法规做出相应的修正或修改。
(2) 地方性法规应结合国家方针、政策,根据地方档案管理特色以及地方档案信息化现状,对当地的档案信息化法规做出有益的补充与修正,以达到保护档案信息资源的目的。
2.2 业务标准规范安全体系
档案信息化的最终目的是为了提高档案工作的效率,其业务标准规范主要体现在国家或地方机构对档案工作的专门性法规上。结合我国档案信息化法规现状,档案信息化业务标准规范安全体系建设应包括以下几个方面:
(1) 档案信息化法规应该是档案信息化活动的法律保障,档案信息化法规应覆盖档案信息化活动的6个方面,因此,档案信息化法规应具体、详细地制定档案信息化六方面具体的建设标准,并制定相应的信息安全标准,从法律上约束档案信息化的信息行为。
(2) 档案管理部门应制定档案信息化工作专门性规范,提高档案信息化法律的专指度和可操作性,否则,不同的工作模式和不同的标准就会导致档案信息的通用性不强,不仅导致工作效率低下,也会对档案信息安全造成不同程度的影响。
2.3 技术标准规范安全体系
档案信息化是信息技术在档案领域的应用。信息技术的应用使档案信息载体形式、提供服务形式以及保管形式都发生变化,相应的技术标准规范约束有利于档案信息化开展。结合我国档案信息化技术标准规范体系现状,我国档案信息化技术标准规范安全体系建设应包括以下几个方面的内容:
(1) 信息技术是一个不断变化发展的过程,信息技术在档案学的应用也是一个不断变化的过程。档案信息化技术标准规范安全体系建设应根据当时的信息技术条件,实时制定相应的档案信息化技术标准规范。
(2) 档案信息化技术标准不仅要结合信息技术行业标准,而且也要结合档案信息化自身特征。信息技术的发展促使电子文件产生,但电子文件元数据的采集标准、电子文件数据的鉴定和保存标准、电子数据的长期保存标准缺乏相应的法律或法规规范就是很好的证明。
3 人才队伍安全体系的构建
档案信息化人才队伍建设是档案信息化的成功之本。信息技术的发展促使档案信息化人才向复合型人才方向发展。档案信息化人才队伍建设影响档案信息化建设的其他各要素。档案信息化人才队伍建设可以用人员构成和信息化培训两个主要指标来衡量。本文从人员构成和信息化培训两个因素来构建档案信息化人才队伍安全体系。
3.1 档案信息化人员构成安全体系
信息技术促使档案信息化人员结构的变化,档案人员构成在档案信息化影响下,应以档案专业人才、计算机专业人才为基础,以复合型人才为重点。档案信息人员构成可以用信息化人才培养经费占档案经费的比例、本科及以上学历馆员的比例、掌握专业信息技术的馆员比例、专职从事信息化工作的比例等指标来衡量。档案信息化人员构成安全体系建设可以从以下几个方面来考虑:
(1) 加大培养具有计算机和档案专业的复合型人才。信息技术的应用已经成为时展不可逆转的潮流,档案学作为信息专业,也应根据时代要求,增加信息技术的相应课程,适应档案信息化的要求,做好人力上的准备,间接地维护档案信息安全。
(2) 增强对高层次人才的培养。档案信息化对档案学人才提出了新的挑战,高层次人才的培养不仅是档案信息化的支柱,也为档案信息化人才队伍建设起到了推动作用。
3.2 档案信息化人员信息化培训体系
档案信息化使档案信息应用系统,档案信息上网系统以及数字档案馆应用系统应运而生。档案工作人员需要运用其应用系统进行档案信息服务,所以就需要对档案信息化人员进行信息化培训。档案信息化人员信息化培训可以用管理层非信息化人员接受信息化的比例、非专业人员接受信息化培训的比例以及非专业人员接受信息化培训的时间等指标来衡量。档案信息化人员信息化培训体系包括:
(1) 新技术运用能力培训体系。信息技术不仅使档案信息管理系统产生,也使各种信息设备产生。档案信息人员除了应熟练操作档案信息软件外,还应具有使用新型信息设备的能力。因此,档案馆或相关的档案单位应该对工作人员进行信息技术运用能力的培训,以减少人为操作失误,维护档案信息安全。
(2) 业务能力培训体系。业务能力培训目的是为了使档案工作人员了解档案工作程序、规范和操作方法。档案部门要针对不同岗位人员的工作职责和素质要求,制定相应的培训与教育方案,例如要加强职业道德教育和档案管理基本理论、基本知识、基本技能教育,使他们掌握档案工作程序、规范和操作方法;要根据新形势的要求,从档案管理工作的实际出发,进行现代化、信息化管理的基本知识教育和计算机应用能力的培训,做到理论与实践相结合,使档案工作者具有运用档案计算机管理软件完成档案存储、编辑、检索、利用等档案管理工作的能力。只有档案工作人员正确按照档案工作程序、规范和操作方法去实施,才能从人力因素上杜绝人为安全因素的风险。
4 结 语
档案信息化安全体系建设关系到档案信息化建设事业的发展。如何构建一种全面、合理的档案信息化安全体系,是目前档案界比较关心的问题之一。档案信息化安全体系涉及到计算机技术、网络通信技术等技术因素,还涉及到管理因素、政策因素、人才因素等多种非技术因素。本文从以上角度出发,构建了档案信息化安全体系。
主要参考文献
[l] 王朝阳. 档案信息化管理的优势及安全问题[J]. 华北水利水电学院学报,2006(l):29-31.
关键词:信息安全;防护体系
随着企业各个业务系统的深化应用,企业的日常运作管理越来越倚重信息化,越来越多的数据都存储在计算机上。信息安全防护变得日益重要,信息安全就是要保证信息系统安全、可靠、持续运行,防范企业机密泄露。信息安全包括的内容很多,包括主机系统安全、网络安全、防病毒、安全加密、应用软件安全等方面。其中任何一个安全漏洞便可以威胁全局。随着信息化建设地不断深入和发展,数据通信网改造后,市县信息网络一体化相互融合,安全防护工作尤显重要。如何保障县公司信息网络安全成为重要课题。信息安全健康率主要由两方面体现,一是提升安全防护技术手段,二是完善安全管理体系。安全防护技术手段主要侧重于安全设备的应用、防病毒软件的部署、安全策略的制定、桌面终端的监管、安全移动介质、主机加固和双网双机等方面,安全管理则侧重于信息安全目标的建立、制度的建设、人员及岗位的规范、标准流程的制定、安全工作记录、信息安全宣传等方面[1]。因此,企业要提升信息安全,必须从管理机制、技术防护、监督检查、风险管控等方面入手,并行采取多种措施,严密部署县公司信息安全防护体系,确保企业信息系统及网络的安全稳定运行,主要体现在以下几方面:
1机制建立是关键
企业信息安全防护“七分靠管理,三分靠技术”,没有严谨的管理机制,安全工作是一纸空谈,因此,做好防护工作必须先建立管理体系。一是完善组织机制。在企业信息安全工作领导小组之下,设立县公司数据通信网安全防护工作组,由信通管理部门归口负责日常工作,落实信息安全各级责任。将信息安全纳入县公司安全生产体系,进而明确信息安全保障管理和监督部门的职责。建立健全信息安全管理等规章制度,加强信息安全规范化管理。二是强化培训机制。根据近年来信息安全的研究,企业最大信息安全的威胁来自于内部,因此,企业应以“时时讲信息安全,人人重信息安全,人人懂信息安全”为目标,开展“教育培训常态化、形式内容多样化、培训范围全员化、内容难度层次化”培训工作,为信息安全工作开展提供充分的智力保障。企业应充分利用网络大学、企业门户、即时通讯等媒介,充实信息安全内容,营造信息安全氛围,进而强化全员信息安全意识。三是建立应急机制。完善反应灵敏、协调有力的信息安全应急协调机制,修订完善县公司数据网现场应急处置预案,加强演练。严格执行特殊时期领导带班和骨干技术人员值班制度,进一步畅通安全事件通报渠道,规范信息安全事件通报程序,做好应急抢修人员、物资和车辆准备工作,及时响应和处理县公司信息安全事件。重点落实应对光缆中断、电源失去、设备故障应急保障措施,确保应急处置及时有效。杜绝应急预案编制后束之高阁和敷衍应付的行为。
2技术防护是基础
技术防护要从基础管理、边界防护、安全加固等方面入手[2]。(1)基础管理方面。一是技术资料由专人负责组织归类、整理,设备或接线如有变化,其图纸、模拟图板、设备台帐和技术档案等均应及时进行修正。二是将设备或主要部件进行固定,并设置明显的不易除去的标识,屏(柜)前后屏眉有信息专业统一规范的名称。三是设备自安装运行之日起建立单独的设备档案,有月度及年度检修计划并按计划进行检修,检修记录完整。所有设备的调试、修复、移动及任一信息线或网络线的拔插和所有设备的开关动作,都按有关程序严格执行,并在相应的设备档案中做好记录。四是加强运行值班监视和即时报告,确保系统缺陷和异常及时发现,及时消除。(2)安全隔离方面。安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡,从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略,既可以实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。(3)边界防护方面。一是部署防火墙,做好网络隔离。在路由器与核心交换机之间配置防火墙,并设置详细的安全防护策略。防火墙总体策略应是白名单防护策略(即整体禁止,根据需要开放白名单中地址)。将内部区域(下联口)权限设置为禁止、外部区域(上联口)权限设置为允许。定义防火墙管理地址范围,针对PING、Webui、Gui三种服务进行设置:只允许特定管理员地址远程管理。二是严格执行防火墙策略调整审批程序,需要进行策略调整的相关单位,必须填写申请单,且必须符合相关安全要求,经审批后进行策略调整。三是严禁无线设备接入。(4)安全加固方面。一是应以最小权限原则为每个帐号分配其必须的角色、系统权限、对象权限和语句权限,删除系统多余用户,避免使用弱口令。二是安装系统安全补丁,对扫描或手工检查发现的系统漏洞进行修补。三是关闭网络设备中不安全的服务,确保网络设备只开启承载业务所必需的网络服务。四是配置网络设备的安全审计功能和访问控制策略。五是开展风险评估工作中,认真分析网络与信息系统安全潜在威胁、薄弱环节,综合运用评估工具,在常规评估内容基础上,加强渗透性验证测试和密码脆弱性测试,重视对系统结构与配置的安全评估。根据评估结果,及时提出并落实整改方案,实施安全加固措施。
3监督检查是保障
全面落实“按制度办事,让标准说话”的信息安全管理准则,在企业指导下,由县公司信通专业牵头,业务部门主导,分工协作建立督查机制,加强过程安全管控与全方位安全监测,推进安全督查队伍一体化管理,完善督查流程和标准,开展好安全督查工作,以监督促进安全提升。一是全面提升责任部门安全人员专业技术水平,加强督查队伍建设。二是完善督查机制,对督查中发现的问题督促落实整改,并开展分析总结,通报相关情况。三是开展常态督查,通过软件扫描、终端监测等手段,确保监测全方位。四是加强考核,开展指标评价。保障督查管理水平和工作质量。
险管控是对策
为确保公司信息化网络安全,公司要将被动的事件驱动型管理模式转变为主动的风险管控模式,主动地对威胁和风险进行评估,主动地采取风险处置措施。通过资源的调控实现对信息安全工作的调控。公司应在信息安全治理过程中大量借鉴管理学方法,进行动态的控制和治理,通过治理的流程控制措施进行资源的调配,实现对关键项目、关键技术、关键措施的扶持,对非关键活动的控制,确保公司信息化网络安全。数据通信网升级改造为企业信息化发展扩展了领域,同时,对信息安全工作提出了新的课题和更高的要求。本文通过分析企业信息化安全管理过程中的一些薄弱环节,提出了安全防护经验的措施,从管理机制、技术防护、监督检查、风险管控等方面入手,提高了县公司全体人员信息化安全意识,极大地保障了企业系统(含县公司)信息网络系统的安全、稳定运行,完善了县公司信息安全策略及总体防护体系,密织信息安全防护网,保障数据网不失密、不泄密,不发生信息安全事件。公司下一步将加强信息化常态安全巡检,加强信息化相关资料的管理,加强单位干部员工的信息化安全培训力度,进一步完善信息安全策略及总体防护体系。提高全体人员信息化安全意识,保障信息化网络安全。企业信息安全建设是一项复杂的综合系统工程,涵盖了公司员工、技术、管理等多方面因素。企业要实现信息安全,必须加强安全意识培训,制定明确的规章制度,综合各项信息安全技术,建立完善的信息安全管理体系,并将信息安全管理始终贯彻落实于企业各项活动的方方面面,做到管理和技术并重,形成一套完善的信息安全防护体系。
参考文献:
[1]马贵峰,马巨革.构建网络信息安全防护体系的思路及方法——浅谈网络信息安全的重要发展方向[J].信息系统工程,2010(6).
物流管理信息系统是由人员、计算机硬件、软件、网络通信设备及其他办公设备组成的人机交互系统,其主要功能是进行物流信息的收集、存储、传输、加工整理、维护和输出,为物流管理者及其它组织管理人员提供战略、战术及运作决策的支持。当前,越来越多的物流企业建立了自己的物流信息系统,利用Internet开展业务管理和信息服务,不但提高了企业内部运作效率、客户服务质量,而且提高了市场反应速度、决策效率和企业的综合竞争力。对物流企业而言,网络和信息系统数据安全是经营活动得以正常持续开展的前提和基础,因此,充分利用各种安全防范技术,建立多道严密的安全防线,最大限度地保护物流管理信息系统和各种数据的安全,是非常必要的。
2物流管理信息系统的安全体系层次结构
一个完整的网络安全防范体系分为不同层次,不同层次反映了不同的安全问题,根据系统结构,物流管理信息系统安全体系可划分为物理层安全、网络层安全、系统层安全、应用层安全和管理安全五个层次,各个层次间的关系如图1所示。
2.1物理层安全
包括机房的安全,各种物理设备的安全,通信线路的安全等。物理层是构建信息网络和进行网络传输的基础,因而物理层安全是一切安全性的起点。但物理层是所有组成网络设施的元素中最容易被忽视的,人们往往将更多的精力放在更高层网络结构的管理和服务上,却忽略了网络传输的基础——物理层。物理层安全主要体现在软硬件设备的安全性、通信线路的可靠性、设备的防灾害及抗干扰能力、设备的备份、运行环境、不间断电源保障等方面。
2.2网络层安全
网络层是网络入侵者进攻信息系统的通路和渠道,许多安全问题都体现在网络层的安全方面。网络层安全包括:网络拓扑结构的安全,网络层身份认证,网络扫描技术,防火墙技术,数据传输的保密与完整性,远程接入的安全,路由系统的安全,域名系统的安全,网络实时入侵检测手段等。
2.3系统层安全
操作系统安全也称为主机安全,主要表现在以下三个方面:(1)计算机病毒对操作系统的威胁。(2)操作系统有其自身的缺陷和脆弱性,并由此带来安全隐患,如系统漏洞、身份认证、访问控制等。现代操作系统代码庞大,所有OS都在不同程度上存在安全漏洞,一些广泛应用的操作系统其安全漏洞更是广为人知,如Unix,WindowsNT等。(3)操作系统的安全配置问题:系统管理员或使用人员对操作系统复杂的安全机制了解不够,系统相关安全配置设置不当也会造成安全隐患。
2.4应用层安全
该层次的安全建立在网络、操作系统、数据库安全的基础之上。网络应用系统复杂多样,虽然采用特定的安全技术可以解决某些特殊应用系统的安全问题,如对于Web的应用、数据库应用、电子邮件应用等,但由于许多企业的关键业务(如交易、管理控制、决策分析等)系统及重要数据都运行在数据库平台上,那么,如果数据库的安全无法保证,运行其上的应用系统也会被破坏或者非法访问。
2.5管理层安全
管理的制度化是整个网络管理信息系统安全的重要保障。严格的安全管理制度、合理的人员配置和明确的安全职责划分可以在很大程度上降低其他层次的安全风险。管理层安全包括设备安全的管理、安全管理制度的制定与贯彻落实、部门与人员的组织规则、风险评估、安全性评价等。
3物流管理信息系统的安全防范策略
3.1身份认证
身份验证又称“验证”“、鉴权”,是指通过一定的技术手段,完成对用户身份的确认,用户名和口令识别是身份认证中最常用的方式。在数据库管理系统中,用户名和口令是管理权限和访问控制的一种安全措施。我们在系统设计中采用了Windows认证、物流管理信息系统认证和SQLServer认证相结合的混合身份认证模式。
3.2安装杀毒软件物流企业网络安全性建设中最重要的一个环节,就是对计算机病毒的防范。利用各种杀毒软件防止病毒侵入系统,是人们最为熟悉的安全防范措施。除此之外,病毒防范还需要有完善的管理规范,如:不使用盗版软件;不打开来历不明的电子邮件,不访问不可靠的网站;对重要文件设置访问权限或加密;特别重要的数据随时备份保护;及时升级杀毒软件,并定期查杀病毒等等。在物流信息系统的具体设计中我们选择了诺顿企业版防毒软件,并结合相关的防病毒制度,有效地保障了系统的安全。
3.3配置防火墙
防火墙是设置在可信赖的企业内部网和不可信的公共网之间的一系列部件的组合,是网络安全的保护屏障,也是防范黑客攻击的有效手段,它能通过过滤不安全的服务而降低风险,并极大地提高内部网络的安全性。在逻辑上,防火墙是一个限制器、分离器,还是一个分析器,能有效监控因特网和内部网络之间的活动,为内部网络提供了安全保证。在物流管理信息系统设计中我们选择的是瑞星防火墙结合其他技术来构建网络防护系统。
3.4数据库安全机制
数据库是信息管理系统的基础,对物流公司来说,所有的合同、订单以及交易信息都存储在数据库中,因而对数据库的安全必须高度重视。数据库的安全性是指保护数据库避免非法使用,防止数据的泄露、破坏或更改,主要体现在以下方面:(1)数据库的存在安全;(2)数据库可用性;(3)数据库的机密性;(4)数据库的完整性。数据库安全机制可划分为四个层次:用户层、数据库管理系统(DBMS)层、操作系统层、数据库层,其中:(1)DBMS层安全机制通过访问控制实现,即设置不同用户对数据库各种对象的访问权限,是数据库管理系统最有效的安全手段,也是数据库安全系统中的核心技术。访问控制可以通过用户分类和数据分类实现。(2)数据库层的安全机制大多以加密技术来保证。数据库加密是网络系统中防止信息失真的最基本的防范技术,也是数据安全的最后防线。在实际系统设计中,我们选择MicrosoftSQLServer2000作为数据库管理系统,采取加密粒度为字段的数据存储加密方式,实现了基于角色和口令的用户访问以及信息在网络中的密文传输,大大提高了数据库系统的安全性。
3.5数据备份
数据安全是物流管理信息系统安全的核心部分,这有两方面的含义:一是逻辑上的安全,二是物理上的安全。前者需要系统的安全防护,后者则需要数据存储备份的保护。数据备份是系统数据可用性的最后一道防线,保证发生故障(主要是系统故障)后的数据恢复。没有数据备份,就不可能恢复丢失的数据,从而造成不可估量的损失。定期备份数据库是最稳妥也是比较兼价的防止系统故障的方法,能有效地恢复数据。人们经常采用的数据库备份方法有双机热备份、硬盘镜象备份等。一个完整的数据库备份策略需要考虑很多因素,包括备份周期、使用静态备份还是动态备份(动态备份也即允许数据库运行时进行备份)、使用全备份还是结合增量备份、备份介质、人工备份还是系统自动备份等等。出于成本方面的考虑,我们采用了比较经济的异机备份形式,使用MsSQLServer2000的自动备份功能和异机传送工具来实现数据存储备份,并根据物流企业的业务量或数据重要程度选择合适的备份计划,设置定时(可以是每周、每月、每日或每时)由计算机自动把服务器中数据库的数据传送到另外工作站机的数据库中。此外,还需要定期把某些表或全部数据备份到光盘、U盘中,妥善保管。
3.6管理层面的安全防范
物流管理信息系统的安全保障是由技术、管理和人的作用共同决定的。利用技术手段获得的安全毕竟是有限的,而所有的策略、技术、工具的使用和管理都要依靠人,因此对物流管理信息系统的安全从管理层面的防范至关重要。这需要制定体系化的安全管理制度,如:系统信息安全备份及相关的操作规程,系统和数据库的安全管理制度,网络使用授权、网络检测、网络设施控制和相关的操作规程,等等。
【关键词】 网络环境; 内部会计控制; 会计信息系统
进入21世纪,信息技术和互联网的迅速普及和飞速发展,促使信息化、网络化环境形成,为企业采用以信息技术为基础的运营管理模式提供了先进的技术支持。同时,企业运营环境和管理模式的信息化、网络化,使得企业内部会计控制的外延不断延伸,对企业的会计系统提出了新的要求。本文以网络环境为背景,试图建立一个能够更好地与网络环境相适应的会计控制框架,以期能为我国企业在网络环境下构建内部会计控制体系提供一定的借鉴。
一、网络环境对内部会计控制的影响
在网络环境下,ERP系统和电子商务、客户关系管理以及企业外部供应链管理的结合,能够实现从采购到付款、从获取订单到开出发票等业务处理的高度集成。企业管理模式的变更和会计系统信息化水平的提高,对内部会计控制的控制环境、控制目标、控制范围、控制重点和控制方式等方面产生了深远影响,具体体现在以下几方面:
(一)控制环境信息化
控制环境的信息化使信息传递的层级障碍和距离障碍逐渐消失,企业的信息交换更具及时性和灵活性,但也给企业带来了新的风险。企业会计信息的数字化、电子化使得会计信息极易被篡改和窃取,而且在存储介质遭到破坏后,很难恢复原有的数字化信息。同时,在开放的网络环境下,企业的会计信息系统极易遭受病毒的侵扰、黑客的非法访问或恶意攻击。计算机犯罪具有隐蔽性和极强的危害性,企业会计信息系统一旦遭到入侵,企业的文件、重要数据和商业秘密就可能被伪造、销毁和窃取。
(二)控制目标全局化
企业内部会计控制的顺利实现依赖于会计信息系统的良好运行。网络环境下,企业会计信息系统同业务流程的优化整合成为现实,在将内部会计控制机制嵌入会计信息系统和业务流程的同时,还应该对系统可能引发的风险进行全程预防和控制。如果会计信息系统本身就存在错误或者运行不稳定,那么嵌入在系统中的会计控制程序不仅不能够识别并减少错误和风险的发生,反而还会导致错误和风险的增加。因此,网络环境下的内部会计控制目标应该进一步拓展,对企业所有资源和风险进行全局控制。
(三)控制范围扩大化
内部会计控制目标的全局化要求控制范围的全面化。网络环境下,内部会计控制的控制范围应突破企业范围的界限,将内部控制的触角延伸到企业外部,对外部入侵者的恶意侵扰随时加以防范和应对。其次,将财务部门以外的业务部门纳入到控制范围内,包含与信息系统运行有关的授权审批制度和人员管理制度。此外,网络环境下的内部会计控制的范围还需要扩展到网络安全和数据保密等系统开发和管理方面。
(四)控制重点多元化
网络环境下,企业会计信息的采集、处理和输出都是以嵌入业务流程的方式由计算机系统自动执行,对业务源头相关数据的控制成为网络环境下会计信息质量控制的重点。因此,网络环境下的内部会计控制应由传统的、单一的会计业务控制转变成为会计业务控制、经济活动控制和IT系统控制并重的多元控制。
(五)控制方式自动化
在网络环境下,内部会计控制的具体控制措施都是通过编制相应的计算机程序,由系统自动执行。这种计算机程序的系统控制比传统的人工控制更规范、更严密,但是也有风险,如控制口令被泄露或恶意盗取,获取口令的任何人员都可以绕过相应的授权审批程序,随意对数据进行修改或窃取,这种情况一旦发生,再完备的授权审批制度也形同虚设。所以,如何加强系统安全成为内部会计控制在网络环境下的新任务。
综上所述,网络环境对现代企业的运营环境、管理理念、管理模式以及会计系统产生了深远的影响,企业有必要将内部会计控制转变为对企业全体资源和多种要素的综合控制,以形成综合性的、全方位的会计控制系统。
二、网络环境下内部会计控制框架的构建思路
为了更好地适应网络环境,企业应该把IT风险和IT控制纳入到内部会计控制的研究范围内,IT治理的引入可以增强管理层对IT风险的重视,有利于保持会计控制系统的有效性。本文依据会计信息系统的内部控制机制,以加强IT治理、强化信息系统的应用和运行控制作为构建网络环境下内部会计控制框架的基本理念,引入IT治理的先进模型——COBIT4.1;并以网络环境为背景,将IT治理理念和全面风险管理理念整合应用于会计信息系统,从而构建起网络环境下内部会计控制的框架。
三、网络环境下内部会计控制框架的构建原则
(一)合法性原则
合法性原则要求企业的内部会计控制必须符合相关法律、法规的规定。这一原则是构建网络环境下内部会计控制框架的最基本原则。
(二)全面性原则
网络环境下,企业将各个业务流程按照整体化、全流程的思想进行联接和优化,因而在构建内部会计控制框架时,也要运用全面性和系统性的理念,站在全流程的高度,打破部门界限,对业务链中的各个环节、各个要素进行全过程、全员性控制,不再存在空白点。
(三)重要性原则
重要性原则要求在兼顾全面的基础上突出重点,对于重要的业务事项和高风险领域、环节要制定更为全面和严格的控制措施。
(四)制衡性原则
网络环境下,内部会计控制依旧应在治理结构、机构设置、业务流程以及权责分配等方面形成相互监督、相互制约的机制。
(五)适应性原则
网络环境下,企业的业务范围、经营特点、竞争状况、管理模式和风险水平等内、外部环境的变化逐渐加快,内部会计控制必须随之加以调整。适应性原则要求企业建立与实施内部会计控制应当具有前瞻性,适时对内部会计控制系统进行评估,发现可能存在的问题,并及时采取措施予以补救。
(六)成本效益原则
网络环境下构建内部会计控制亦需要对预期效益和实施成本进行权衡,以最小的控制成本取得最好的控制效果为指导原则。对成本效益原则的判断需要从企业整体利益出发。
(七)协调配合原则
要保证企业内部会计控制活动的连续性和效率性,不仅需要相应的部门、人员、岗位之间协调配合,也需要内部会计控制制度为各个岗位和环节的协调配合作出明确要求。
四、网络环境下内部会计控制框架的构建途径
在网络环境下,企业的会计信息系统既是企业内部会计控制的控制对象,又是控制的工具和手段。本文构建的内部会计控制框架主要包括以下五个要素:内部环境要素;控制目标要素(具体包括业务目标和IT目标);风险管理要素;控制活动要素(包括业务控制、IT一般控制、IT应用控制三个子要素);内部监督要素。具体如图1所示。
在内部会计控制框架中,内部环境要素是其他四要素的运行环境;内部会计控制目标为其他控制要素的运行指明了方向,并根据其他要素的反馈信息进行修正;风险管理的理念体现在每一个要素中,并贯穿于内部会计控制的整个过程;控制活动是为了保证内部会计控制目标的实现和风险管理的有效展开而制定的一系列政策、程序、措施和方法;内部监督对内部会计控制的贯彻执行情况和控制运行的有效性起监督和评估作用。
(一)内部环境
网络环境下,企业的内部环境要素仍然在内部会计控制体系中居于基础性地位。主要内容包括:会计法律法规、治理结构、机构设置、权责分配、IT资源、企业文化、人力资源政策等多个子要素。根据COBIT4.1,IT资源包括应用系统、信息、基础设施和人员,如图2所示。
(二)控制目标
网络环境下的内部会计控制目标分为业务目标和IT目标两个部分。通过执行内部控制,期望达到的业务目标涉及合规性、战略、经营、报告和资产安全五个方向,具体包括:保证相关法律、法规在企业内部得到贯彻执行,保证企业战略的贯彻执行,保证企业经营效率的提高,保证财务报告和其他会计信息的真实、可靠、完整,保护资产的安全。IT目标主要与信息系统的控制有关,包括保证计算机网络的安全,采用的会计信息系统要符合相关法律、法规的要求,保证系统数据输入、处理和输出的准确性和安全性,增强系统运行的稳定性、效率性、可维护性以及可审计性等。
(三)风险管理
网络环境下企业内部会计控制需要识别、评估和应对的风险范围更加广泛,风险管理涉及信息系统规划建设中的风险、系统运转不稳定的风险、软件中内控机制存在漏洞的风险、信息存储介质遭到破坏导致信息丢失的风险、系统操作的人为风险、网络的开放性带来的网络犯罪风险以及系统遭遇病毒攻击或黑客非法访问的风险等。网络环境带来新风险的同时,也提供了先进的风险控制理念和风险控制手段。在企业的内部会计控制建设进程中,把信息技术运用到风险管理中,提高风险管理的自动化水平,以帮助企业及时识别风险、有效分析和评估风险及采取有效的措施应对风险。
(四)控制活动
企业在网络环境下的内部会计控制活动分为业务控制和IT控制两个方面。企业经济业务处理流程和会计业务处理流程在信息系统中的高度融合,要求内部会计控制要针对企业经济业务活动流程中的关键控制点来设计,并实现控制程序化、自动化。
IT控制是控制活动得以顺利实现的手段和途径。COBIT4.1模型以业务为中心,以流程为导向,能够保证业务目标和IT目标的一致性,有利于企业管理层进行信息管理和内部会计控制的落实。IT控制在COBIT4.1模型中由四个域构建完成。
1.规划与组织
规划和组织要求企业建立完整的内部会计控制制度来完善对会计信息系统涉及的人员和部门的控制。该域对IT控制的贡献在于:通过IT战略规划、IT风险评估以及IT人力资源管理帮助企业相关人员了解IT目标,管理IT风险,贯彻控制制度;通过定义IT与组织的关系确定会计信息系统的结构;通过IT质量管理和项目管理检验会计信息系统的质量;通过传达IT管理目标以确定企业的IT战略是否与业务战略相一致等。
2.获取与实施
获取和实施是指企业为了实施IT战略,购买或自行开发系统并将系统与业务流程充分整合以实现系统应用以及对现有系统的更新和维护。其关键控制点主要有:(1)系统开发前要进行系统开发可行性研究和经济效益评估;(2)在系统正式投入运行之前,需要实施以下控制:系统各功能模块的设计要严格遵守相关法律法规,建立标准规范的开发审批程序,选择合格的软件开发方,进行系统测试等;(3)在开发阶段要对使用系统的员工进行培训,增强员工对系统的了解;(4)建立与系统维护和变更有关的授权审批制度。
3.交付与支持
这一层域主要关注会计信息系统的经常性控制,包括经济业务发生控制和数据控制两个方面。经济业务发生控制是指,在发生经济业务时,先通过控制程序对经济业务发生的合法性、合理性和完整性进行检查。数据控制包括对数据的安全以及输入、处理、输出、传输等方面进行的控制。
4.监控与评价
监控与评价要求企业定期评估会计信息系统与IT控制要求的符合程度以及系统处理、IT控制的质量和效率。内部审计部门可以采用会计信息系统审计来对系统进行监控和评价,对IT过程的监督和评价包括在内部会计控制的内部监督要素中。
(五)内部监督
内部监督要求企业定期或不定期地对内部会计控制的建立与运行情况进行监督和检查。通过实施内部监督,发现已经实施的内部会计控制中存在的缺陷,并监督企业及时改正。企业应当设置独立的内部审计部门,对企业的经济业务活动、会计业务活动以及会计信息系统进行定期或不定期的监督检查。按照企业风险管理框架的要求,内部监督可以采用持续监控和个别评估两种方式,并且需要开展事前监督和事中监督,同时对会计信息系统进行必要的评估和更新,及时修正会计信息系统以适应新的环境。
【参考文献】
[1] 欧阳电平,刘锦芳.ERP系统环境下企业内部会计控制体系结构的构建研究[J].财会通讯,2005(5).
[2] 崔也光.网络时代,会计的时空观[J].会计研究,2000(3).
[3] 陈亚娟.IT环境下COBIT在内部控制中的应用[J].商业会计,2011(14).
[4] 陈旭,张艳芳.基于COBIT的信息系统内部控制风险研究[J].财会通讯,2011(13).
摘 要 随着现代化和信息技术的迅速发展,企业信息系统的运行方式和运作环境等都发生了深刻的变革,企业的会计工作也离不开信息技术的支持和帮助,会计信息化的发展,在提高了企业会计管理工作效率的同时,也对企业的内部控制工作提出了新的要求,本文通过阐述企业会计信息化和内部控制两者之间的关系,以及会计信息化下内部控制环境的变化,对会计信息化环境下内部控制如何构建进行了探讨。
关键词 企业会计 信息化 内部控制
随着计算机技术和网络技术的发展,越来越多的企业工作开始向信息化,系统化管理方向发展。会计信息化作为企业整体信息化的一个部分,其功能正在不断增强?应用也越来越普及,很多大、中型企业都已不同程度地实现了会计信息化。信息化的进程也使企业的内部管理和控制环境发生了变化,传统的内部控制已经不适应信息化下的经营管理,我们要结合会计信息化管理和内部控制之间的联系,探索与之相适应的内部控制模式和内控流程,确保会计信息化系统的高效安全地运转,同时也保证内部控制的有效开展。
一、会计信息化与内部控制的联系
会计信息化,是指在会计核算信息化的基础上,利用现代信息技术和信息管理原理对传统财务流程进行重整,彻底改变对财务信息资源的采集、加工、传输、存储、应用等处理方式,建立并实施集会计核算、财务管理和决策支持为一体的集成性、开放性、实时性、安全性的现代会计信息系统的动态发展过程。
内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。
在会计信息化环境下,信息技术被有效地集成到业务和信息处理过程中,利用信息技术设置信息系统内部控制程序,加强了内部控制体系的预防、检查和纠正功能,增加了内控手段的多样性和有效性,以防范与控制经营风险。同时,信息化下的电脑操作无形化等也增加了出错、舞弊以及利用计算机进行犯罪的风险。另一方面,随着企业管理对信息系统的日趋依赖,也要求必须有完善可靠的内部控制,方可保证会计数据在收集、计算、传递、输出过程中的安全性和信息的正确性,并可有效地减轻由于内部人员道德风险、系统资源风险和计算机病毒所造成的危害,起到保障会计信息系统的作用。
二、企业会计信息化下企业内部控制环境的变化
1、会计部门组织模式的变化。会计信息化下信息技术与会计高度融合,带来了会计工作组织扁平化管理,原先由会计人员分工完成的许多内容都由计算机集中自动地完成,手工环境下一些不相容的职责可能被整合,一位员工可以兼任更多的职责,部分岗位被撤销,而对在任的人员的学识水平、分析能力和管理经验提出了更高的要求,会计部门的人员既要熟悉计算机技术,又要精通会计业务,方可对会计信息系统进行应用与维护。同时,会计人员职责的集中也可能会加大出现错误和舞弊的风险。
2、会计核算处理方式及会计信息形成的变化。信息化打破了部门之间的信息交流壁垒,会计业务流程的数据采集工作由各业务部门完成。业务部门的信息输入系统后,自动生成各类数据和报表,供财务人员作为原始数据使用,在经会计部门审核加工后自动生成会计信息,并由此自动进行凭证制作、成本核算,记帐、结帐、编制财务报表、财务分析等会计工作。故任何原始数据的错误,通过计算机的自动计算和传递,在系统不能识别的情况下,会产生一系列的错误数据,导致错误的扩大化。另外,计算机和网络使得会计人员能不受地域限制,实现对会计信息的网上实时处理,如远程技术的运用。
3、会计信息存储形式的改变。在信息化环境下,交易的信息通过计算机记录,业务的无纸化操作替代了原先的纸质单据和各种凭证等。会计处理工作中用到的书面形式如会计凭证、会计帐簿等,都被转变为记录形式的文件,储存进磁性介质中。纸质的交易轨迹不复存在,一定程度上削弱了操作员对交易轨迹负责的法律效力。同时存储会计信息的磁性介质也可能会因保存方式而有失效的危险。
4、内部控制形式发生的转变。信息技术的运用,使各部门的内部控制逐渐程序化,更多的检验、核对、判断、调用、监控等功能由信息系统来实现,内部控制方式被计算机高深的逻辑判断能力和逻辑推理能力所转变。内部控制主体也从人手工控制,慢慢转变为两个方面:人工控制和程序控制,所有控制程序也应该契合于计算机处理的所有程序。
三、企业会计信息化下的内部控制的构建
第一,信息化下会计部门职责的分离和权限的设置。会计信息化下,会计部门按照会计信息资源管理的流程设置岗位和职责,包括会计部门负责人、系统管理员、系统操作员、数据审核员、数据分析员等岗位,每一岗位根据权责分离和内部牵制原则设置相应人员和权限,使系统模块与岗位职责完整一致。严格进行系统操作权限和维护审批监督控制,可有有效防止有关人员处理数据中发生越权行为或计算机舞弊的行为,杜绝出现差错和犯罪行为等不良后果的发生。同时还应建立起岗位轮换制度。
第二,系统开发控制,指为保证信息系统开发过程中各项活动的合法性和有效性而设计的控制措施。在开发系统控制之前必须进行需求调研,调研的内容包括与信息系统相关的各项业务的流程、工作内容、业务控制点等。应用部门的人员和系统设计人员共同参予系统开发控制的研究和设计,以及系统运行效果的评审和鉴定。制定适合信息系统条件下的内控方案,编制相应的控制程序,将这些控制程序和控制参数输入到计算机信息系统内部,形成严密而完整地的面向流程的人机内部控制系统,由系统自动完成设定的内部控制。信息的不对称或不符合既定要求,就不能进入业务流程的下一个环节,从而从信息的源头就进行了控制。企业员工根据信息系统反映的信息流可及时监控业务过程中的物流、资金流等,便于及时发现错误,防止舞弊,预防风险,保证信息的准确性和真实性。
第三,系统应用控制,指信息系统在处理会计数据过程中的所采用的控制程序和措施,包括数据输入、处理和输出环节。输入控制重点是建立适当的授权和审批机制,并对输入数据的准确性进行校验;处理控制重点是处理权限控制、参照检测控制、数据有效性检测、预留审计线索控制和数据备份及可恢复控制等;数据输出控制重点是于输出权限控制、输出数据正确性控制,输出会计资料的分发控制等。
第四,构建工作环境控制。为了保证会计数据处理环境安全,保证计算机机房设备的安全和正常运行,必须建立控制机房的管理制度,控制机器设备的使用,禁止无关人员随便进出机房以及使用信息系统计算机设备。
第五,构建网络安全的控制。制定信息化系统安全制度,对网络财务系统建立多层次综合的安全体系,如采用信息加密技术,设置访问控制,加强防杀病毒控制等,维护网络安全,确保信息系统安全运行。
第六,健全信息化会计档案管理制度,做好系统数据的日常储存保管工作,严格按照会计信息档案保管制度实行磁性介质和纸质档案同期备份、专人保管,确保会计信息系统产生的会计信息档案的完整与安全,并对会计资料建立严格的保密措施和借阅审批责任制度。
第七,加强企业内控审计,企业内审机构和人员通过检查企业内部控制制度的建立健全情况和内部控制措施的执行情况,对企业内部控制体系是否完整、有效提出评价意见,并就进一步完善内部控制体系提出审计建议,以预警和预防企业经营管理风险。
总之,会计信息化带来了工作的高效率,也带来了对内部控制的新要求。必须根据会计信息化下新的运行方式和运行环境,建立新的内部控制模式,采取新的控制方法和措施,以顺应信息化的发展,并为信息系统安全高效的运行提供有力的保障,从而提高企业的管理决策能力和管理水平,增强企业的核心竞争力。
参考文献:
[1]刘文彬,潘果.论企业会计信息化系统的内部管理与控制.民营科技.2011(10).
[2]崔勇军.我国会计信息化与企业内部控制的探讨.中外企业家.2010(04).
