时间:2023-12-21 10:37:00
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业信息安全治理,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】 信息系统; 审计; 审计目标
2007年2月国务院国有资产监督管理委员会和国务院信息化工作办联合印发了《关于加强中央企业信息化工作的指导意见》,加快了国有企业信息化建设的步伐。国有企业审计是中国特色社会主义国家审计的重要组成部分。由于企业与公共部门在内部控制、管理和治理方面的差异,导致了企业信息系统审计与公共部门信息系统审计的不同特点。
一、增强国有企业信息系统的可信性
审计机关的审计目标取决于法定要求。根据《中华人民共和国审计法》的规定,审计机关对国有企业财务收支的真实、合法、效益,依法进行审计监督。显然,真实性是国有企业审计的目标之一。信息系统审计是国有企业审计的重要组成部分。国有企业审计的总体目标,决定了国有企业信息系统审计的目标。国有企业审计的真实性目标,必然要求国有企业信息系统提供真实性的信息,这意味着,审计机关的国有企业信息系统审计必须把真实性作为审计目标之一。
根据相关法律的规定,注册会计师也可以对国有企业进行审计。根据我国公司法第165条的规定,“公司应当在每一会计年度终了时编制财务会计报告,并依法经会计师事务所审计。”而且,2008年10月通过的《中华人民共和国企业国有资产法》第六十七条明确规定,“履行出资人职责的机构根据需要,可以委托会计师事务所对国有独资企业、国有独资公司的年度财务会计报告进行审计,或者通过国有资本控股公司的股东会、股东大会决议,由国有资本控股公司聘请会计师事务所对公司的年度财务会计报告进行审计,维护出资人权益。”大家知道,依据注册会计师执业审计准则的规定,会计师事务所对企业财务报表审计的目的是“提高财务报表预期使用者对财务报表的信赖程度。”①这说明,注册会计师国有企业审计的目标是要求财务报表提供的信息具有可信性。注册会计师所审计的国有企业财务报表中的信息是由国有企业的信息系统产生形成的,因而必须对信息系统进行审计。注册会计师对国有企业财务报表审计的可信性目标,决定了注册会计师对国有企业信息系统审计的可信性目标。
同样的审计对象,不同的审计主体,导致了两种不同的国有企业信息系统审计目标。从上述分析不难发现,无论是审计机关还是注册会计师对国有企业进行审计,其中对企业信息系统的审计都是不可或缺的重要组成部分。根据审计法的规定,审计机关对国有企业信息系统审计的目标是真实性。而根据注册会计师执业审计准则,对国有企业信息系统审计的目标是可信性。那么,什么是真实性?什么是可信性?这两种目标之间有什么样的联系和区别?为什么说审计机关应当把增强国有企业信息系统可信性作为审计目标呢?
(一)真实性与可信性的基本涵义
我国审计法强调真实性,根据2010年9月颁布的中华人民共和国国家审计准则(以下简称国家审计准则)的规定,“真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度。”那么,什么是真实性呢?真实性只是对财政财务收支及有关经济活动信息质量的最低要求。如果会计信息是真实的,但是不够完整或者披露不及时,仍然不能满足信息使用者的需要,甚至会导致错误的投资决策。事实上,就真实性本身而言,由于会计估计、核算方法等因素的影响,会计信息的真实性也只是相对的,而不是绝对的。所以,把真实性作为审计目标,具有一定的局限性。所谓可信性,从国际审计准则第200号(ISA200)可以看出,当编制的财务报表公允表达(presented fairly)或真实公允(true and fair)时,它才是可信性的。从字面上讲,公允(fair)或公平的要求,强调了财务报表各种使用者之间的利益平衡。从理论上讲,公允表达或真实公允的概念比真实性概念具有更多的内涵,涉及会计适当性、适当披露及审计责任等概念。在国际审计准则第200号(ISA200)中,公允表达是指财务报表是否在所有重大方面按照适用的财务报告框架编制,“公允”还意味着超出财务报告框架所要求披露范围的必要性,以及在极端情况下必须偏离财务报告框架的可能性。适用的财务报告框架,主要是指适用的会计法律法规、会计准则、会计制度等。大家知道,我国会计法强调“保证会计资料真实、完整”。根据会计法的要求,我国的财务报表不仅要具有真实性,而且还要具有完整性。总的来说,可信性并不否认真实性,真实性是可信性的必要前提之一,但真实的并不一定是可信的,可信性的内涵更加丰富,真实性是对财务信息质量的最低要求,可信性反映了对财务信息质量更高的要求。
(二)可信性目标反映了注册会计师审计发展的新阶段
一般认为,受社会需求变化、自身技术手段及审计风险等因素的影响,注册会计师审计目标的发展演变至今经历了四个阶段,即20世纪30年代之前的查错纠弊阶段、30年代中期至80年代验证会计报表真实公允阶段、80年代至90年代中期真实公允与查错纠弊并重阶段,及90年代后期以来的增强信息可信性阶段。虽然同为注册会计师审计的目标,然而从历史发展演变的角度看,真实性只是注册会计师审计的早期目标,当前注册会计师审计准则中的可信性目标反映了注册会计师审计的最新发展,是更高级发展阶段的目标。
(三)可信性目标比“真实公允”具有更加广泛的适用性
20世纪90年代后期,传统的财务报表审计成为更为广义的概念――“保证业务”(Assurance Service)的一个组成部分。我国注册会计师协会译为“鉴证业务”②。2004年国际会计师联合会了《国际保证业务框架》,2005年1月1日生效。2006年我国制定了《中国注册会计师鉴证业务基本准则》,2007年1月1日起施行。鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象与鉴证对象信息具有多种形式,主要包括:当鉴证对象为财务业绩或状况时(如历史或预测的财务状况、经营成果和现金流量),鉴证对象信息是财务报表;当鉴证对象为非财务业绩或状况时(如企业的运营情况),鉴证对象信息可能是反映效率或效果的关键指标;当鉴证对象为物理特征时(如设备的生产能力),鉴证对象信息可能是有关鉴证对象物理特征的说明文件;当鉴证对象为某种系统和过程时(如企业的内部控制或信息技术系统),鉴证对象信息可能是关于其有效性的认定;当鉴证对象为一种行为时(如遵守法律法规的情况),鉴证对象信息可能是对法律法规遵守情况或执行效果的声明。不难看出,传统的财务报表审计只是鉴证业务中的一种。鉴证标准随着鉴证对象的不同,也从财务报表审计中按照适用的财务报表编制框架,如编制财务报表所使用的会计准则和相关会计制度,扩展到单位内部制定的行为准则、绩效水平等方面。从其定义看,鉴证业务的目的在于增强除责任方之外的预期使用者对鉴证对象信息的信任程度。真实公允目标是针对财务报表审计的审计目标,可信性目标在概念外延上具有更加广泛的适用性。可信性目标不仅适用于对财务信息的可信性,而且还适用于非财务信息(绩效信息)的可信性。对财务报表来说,如果它是真实公允的,即在所有重大方面是按照适用的财务报表框架编制的,它就是可信性;对于其他鉴证信息来说,如果它是符合适用的鉴证标准,就是可信性的。企业内部的信息系统,现在已不仅仅是财务信息系统,还包括各种业务和管理信息系统。与此同时,为满足企业的业务需求,信息系统所提供的信息也不局限于财务信息,而且还包括许多非财务信息。所以,在国有企业信息系统审计中,把可信性作为国有企业信息系统审计的目标比真实性目标更加符合企业信息化发展的客观要求。
(四)可信性目标反映了审计理论的深化和发展
可信性不是一个孤立的术语,它是新审计理论(或一组新的相互联系的审计概念)中的一个关键性概念。随着注册会计师的业务从传统的财务报表审计发展到鉴证业务,传统的审计理论也得到了深化和发展。大家知道,审计三方关系是指审计人、被审计人、审计授权或委托人之间的关系。传统的受托责任论,即审计动因论,是建立在传统的审计三方关系之上的。然而,在我国现行的《注册会计师鉴证业务基本准则》中给出了一种新的审计三方关系,即注册会计师、责任方和预期使用者。在新的审计三方关系中,被审计人与审计授权或委托人之间责任关系的含义更加丰富,除传统的受托责任关系外还有其他种类不带委托性质的责任关系③。在新的审计三方关系中,预期使用者应包括企业所有的利益相关者,除了传统受托责任关系中的股东外,还应包括经营者、员工、顾客、供应商、债权人、潜在的投资者、监管层、竞争者等。聘请注册会计师的通常是预期使用者或其代表,但也可能是责任方。责任方、预期使用者和注册会计师三方之间的关系,可以看作是信息提供者、信息使用者和信息可信性的保证者之间的关系④。增强信息的可信性,实际上是减少了信息提供者与预期使用者之间的信息不对称,鉴于预期使用者的广泛性,在市场经济条件下,将有利于完善市场机制,提高市场资源配置效率,从而拓展了审计的社会功能。可信性不是一个空洞的概念,鉴证对象信息是否具有可信性,需要执行一定的业务程序。审计师在收集证据的基础上,依据一定的标准,检查责任方的鉴证对象信息在所有重大方面是否符合适当的标准后,才能为鉴证对象信息的可信性提供一定程度的保证,从而提供给预期使用者。鉴证业务的保证程度被细分为合理保证和有限保证,鉴证对象信息被划分为财务信息和非财务信息,其中财务信息被进一步细分为历史财务信息和预测性财务信息。可信性概念是这些新审计理论中的关键性概念之一,相比之下,真实性概念在新的审计理论中却没有相应的理论地位。
(五)可信性目标反映了国家审计的发展趋势
在世界审计组织(INTOSAI)的道德准则(Code of Ethics)中,强调了信赖(trust)、信任(confidence)、信誉(credibility)对于审计机关的至关重要性。在南非审计署1911至2011年百年纪念的纪念品和网站首页上有一句格言:“Auditing to build public confidence”,即“审计旨在建立公共信任”。我国审计署2011年7月15日印发的《审计署关于深化经济责任审计工作的指导意见》中提出,要确保经济责任审计结果的可信、可靠和可用。刘家义审计长提出,国家审计是国家治理的一个组成部分。孔子曰:“足食,足兵,民信之矣”,“民无信不立”,说明了信任、守信在国家治理中的重要性。我们知道,“诚信友爱”是构建社会主义和谐社会的基本要求之一。国家审计可以增强政府的公信力,增强整个社会的诚信。从国家治理的角度看,可信性目标比真实性目标更好地体现了国家审计在国家治理中的作用。
经过上述真实性和可信性两种审计目标含义的对比,不难发现,虽然真实性目标是国有企业审计的传统目标之一,但是可信性比真实性的涵义更为丰富,可信性目标中不但包含了真实性目标,而且可信性目标要求信息系统提供更高质量的信息。两种目标都对信息系统提供的信息质量提出了要求,国家审计对信息质量的要求不应低于注册会计师审计。因此,笔者认为,尽管现行的审计法规定了国有企业信息系统审计的真实性目标,但是,从理论上讲以及从未来发展趋势看,审计机关应当选择可信性作为国有企业信息系统审计的目标,即国有企业信息系统审计应当促进企业信息系统提供可信的信息。
二、促进国有企业信息系统的遵循性
最高审计机关国际组织(INTOSAI)在审计基本原则(ISSAI-100)中,把政府审计业务分为两大类,即合规审计(regularity audit)和绩效审计(performance audit),并制定了相应的审计执行指南,即财务审计执行指南(Implementation Guidelines on Financial Audit)、遵循审计执行指南(implementation guidelines on compliance audit)和绩效审计执行指南(Implementation Guidelines on Performance Audit)。在这个准则指南框架中,合规性审计包括了财务审计和遵循性审计。遵循性审计是指对公共部门实体的活动是否与相关法律法规及授权要求相一致的审计。在《国际审计准则第250号――财务报表审计中对法律法规的考虑》(ISA250)中,非遵循(non-compliance),是指被审计单位不履行法律法规责任或者违反法律法规的犯罪,故意地或者非故意地,与执行的法律或法规对立的行为。在COSO内部控制框架中,遵循性(compliance)作为内部控制的目标之一,是指符合适用的法律法规。由此看来,在上述准则指南中,遵循性,就是我国国家审计中的合法性。但是,在本文中,作为国有企业信息系统审计的目标之一,遵循性与合法性不同。
为满足业务需求,对信息系统提供的信息有一般性的要求,在IT治理框架COBIT4.1中,这些要求也被称之为信息标准(information criteria)。遵循性(compliance)作为其中的标准之一,是指“涉及业务流程与所需遵守的法律、法规及合同约定之间的符合程度的属性,即外部的强制要求和内部政策的遵循性。”⑤在本文中,遵循性作为国有企业信息系统审计的目标之一,采用COBIT4.1中遵循性的概念,即国有企业信息系统的设计、建设、运行和监控不仅要符合来自企业外部的强制性要求(合法性),而且还应符合国有企业内部制定的各种规定的要求。
我国审计机关对国有企业的财务收支的真实、合法和效益,依法进行审计监督。合法性是国有企业审计的审计目标之一。作为国有企业审计的重要内容,信息系统审计应当促进国有企业信息系统的合法性。那么,为什么我们要把国有企业内部制定的各种规定同时也纳入国有企业信息系统审计的目标呢?企业内部如何制定关于其信息系统的规定是企业自己的事情,似乎审计机关不应干预,但是,效益性也是国有企业审计的审计目标之一。当信息系统不符合国有企业某些内部规定的要求时就会影响到企业效益,这些内部规定,如内部控制、管理和治理等,也应纳入国有企业信息系统审计的遵循性目标范围。
三、改善国有企业信息系统的绩效性
绩效性目标是企业信息化不断发展的产物。我国企业信息化建设已经发展到了关注绩效性的阶段。绩效性目标也是IT管理和IT治理的重要内容。IT管理和IT治理的国际标准或良好实务,为开展信息系统绩效审计提供了审计标准。
(一)企业信息系统绩效性的概念
当企业信息化发展水平达到一定程度后,信息系统的绩效问题逐渐引起了人们的关注。在企业信息化的早期阶段,信息系统主要应用于企业的财务会计领域,这时人们对信息系统关注的焦点主要是信息系统的可信性和遵循性问题,相应的措施主要集中在内部控制方面,强调信息系统的一般控制和应用控制。随着企业信息化水平的不断提高,信息系统在企业中的应用范围逐渐从财务会计领域扩展到整个业务领域和管理领域,与此同时,信息系统的建设投入和运行成本显著提高。这时人们发现,大量的信息化投入并不一定能够带来预期的收益,而且还带来巨大的潜在风险,个别企业甚至因高投入造成利润下降或财务危机,有的企业因业务流程改造滞后,还会导致管理混乱。在这种情况下,人们对信息系统关注的焦点,逐渐从“投入”转向“产出”,从技术和内部控制问题转向管理和治理问题,在企业内部出现了专门的IT管理部门,IT管理和IT治理逐渐从企业的一般管理和治理中独立出来,而“绩效”是描述信息系统投入产出、管理和治理的核心概念。
信息系统的绩效性是指利用IT资源提供企业信息服务的经济性、效率性和效果性。为它的利益相关者提供价值是企业存在的基本前提。企业信息系统的目的在于利用IT资源,通过IT流程,提供企业信息服务,以满足业务需求。信息系统要实现的绩效目标必须与企业的业务需求或业务目标相一致。
(二)绩效性目标的可行性
从我国企业信息化发展阶段看,目前信息系统的绩效问题已经成为关注的焦点。2011年2月,工信部电子一所和用友软件股份有限公司联合了《2010年中国企业信息化指数调研报告》。该报告将中国企业的信息技术应用分为四个阶段,分别为基础应用阶段、关键应用阶段、扩展整合及优化升级应用阶段以及战略应用阶段,如图1所示。
该报告认为,目前我国企业信息化总体上处于由基础应用和关键应用向扩展整合与优化升级过渡阶段。报告的主要结论之一是,2010年“信息技术应用范围的变化主要体现在应用广度和深度两方面,企业基本完成了信息技术在各业务领域的应用覆盖,已逐渐开始深度关注企业业务发展需求,着力提升信息技术的应用价值。”提高信息系统的绩效,也已经成为我国企业信息化深度发展的方向。把绩效性作为国有企业信息系统审计的目标,符合我国企业信息化发展的现状,在现实中具有可行性。
(三)绩效性是IT管理和IT治理的重要内容
IT管理目的在于如何降低成本,以更好的弹性及更快的响应速度,向组织内外部顾客提供高质量的IT服务,提供顾客的满意度。IT管理的目标就是要追求信息系统的绩效性,即经济性、效率性和效果性。
信息系统的绩效性也是IT治理追求的目标之一。在IT治理国际标准ISO/IEC38500(组织的信息技术治理)中规定了“绩效”原则,即IT应适合于支持组织的目的并提供服务,服务等级和服务质量应满足当前和将来的业务要求。IT治理框架COBIT4.1有四个基本特征:以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。在该框架中,绩效测评是IT治理的关键,并且指出,“多项调研已经表明,IT成本、价值和风险管理缺乏透明是驱动IT治理最重要的一个因素。相对于其他关注的领域,提高透明度主要通过绩效测评来实现。”⑥
(四)绩效审计的参照标准
IT管理和IT治理从企业管理和治理中独立出来,为开展单独立项的信息系统绩效审计创造了条件。就像企业审计要关注被审计单位的管理和治理那样,企业信息系统审计要关注被审计单位的IT管理和IT治理情况。IT管理和IT治理的国际标准或良好实务,则为开展信息系统绩效审计提供了审计标准,也可以作为向被审计单位提出改进建议的参照标准。常见的IT管理和IT治理国际标准有:ISO/1EC20000(信息技术――服务管理)、ITIL(信息技术基础库)、ISO/IEC38500(组织的信息技术治理)、COBIT4.1(信息及其相关技术控制目标)等。
四、维护国有企业信息系统的安全性
维护国有企业信息系统的安全,对于维护国家经济安全至关重要。随着信息技术的发展和应用,人们对信息系统安全性的认识也不断深化。正确理解信息安全的涵义,对于开展信息系统安全性审计具有重要的意义。
(一)安全性目标的重要性
根据1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》,维护计算机信息系统的安全性,就是要保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行⑦。从这里可以看出,信息系统的安全包括:信息本身的安全、系统设施设备的安全和系统运行环境的安全三个层面。就三个层面的关系而言,信息是核心,系统设施设备及其运行环境是保障,信息本身的安全是目的,系统设施设备的安全及其运行环境的安全是手段。
国有企业信息系统安全是国家信息安全和经济安全的重要组成部分。为了保护中央企业信息系统的安全稳定运行,2010年12月,公安部和国务院国有资产监督管理委员会联合颁布了《关于进一步推进中央企业信息安全等级保护工作的通知》。据统计,截至2010年5月,已有89.6%的中央企业开展了信息安全等级保护工作,中央企业总计建成投入使用的信息系统有16 092个,已定级14 539个,占比90.3%;应向公安机关备案的系统(二级及以上)有11 370个,已备案8 113个,占应备案系统的71.4%;列入2010年定级计划的有1 598个。中央企业在公安机关备案的信息系统总数约占全国信息系统备案总数的21%,第三、四级重要系统约占全国重要信息系统备案总数的30%⑧。这些数据表明,国有企业信息系统已成为国家信息安全的重要组成部分。《中华人民共和国企业国有资产法》第七条规定,“国家采取措施,推动国有资本向关系国民经济命脉和国家安全的重要行业和关键领域集中,优化国有经济布局和结构,推进国有企业的改革和发展,提高国有经济的整体素质,增强国有经济的控制力、影响力。”由于国有企业集中在国民经济命脉和国家安全的重要行业和关键领域,如电信、电力、石油、石化等重要行业,其重要信息系统已成为国家关键基础设施,是国民经济命脉之命脉,保护国有企业信息系统的安全稳定运行,对于维护国家经济安全和社会稳定具有重要的意义。
(二)信息安全概念的演变
根据我国计算机信息系统安全保护条例中的定义,计算机信息系统的安全性,包括信息本身的安全、系统设施设备的安全和支撑环境的安全。其中,信息本身的安全,即信息安全,是信息系统安全的核心和目的。那么,究竟什么是信息安全呢?
人们对信息系统安全性的认识经历了一个不断深化的发展过程。20世纪80年代美国国防部制定的《可信计算机系统评估准则TCSEC》把保密性当作信息安全的重点。20世纪90年代初由英、法、德、荷四国制定的《信息技术安全评估准则ITSEC》开始把完整性、可用性与保密性作为同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐渐被普遍接受。在2002年的国际标准ISO/IEC17799:2000《信息技术――信息安全管理业务规范》中明确规定,信息安全,是指保护:“保密性(confidentiality),即确保信息只能够由获得授权的人访问;完整性(integrity),即保护信息的正确性和完整性以及信息处理方法;可用性(availability),即保证经授权的用户可以访问到信息,如果需要的话,还能够访问相关资产。”然而,在2005年的该国际标准修订版即ISO/IEC17799:2005中,信息安全的定义,包括了七种安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他属性,如真实性(authenticity)、责任性(accountability)、不可抵赖性(non-repudiation)、可靠性(reliability)等,而且,这种修订后的信息安全定义,被2007年的国际标准ISO/IEC27001(《信息安全管理体系――规范与使用指南》)引用。在学术界,有人认为,信息安全的特性还应进一步包括可控性(controllability)、可预测性(predictability)、可审计性(auditability)、遵循性(compliance)等。
随着信息技术的发展与应用,信息安全的内涵越来越丰富,从最初的信息保密性发展到保密性、完整性和可用性,进而又发展到相关的真实性、责任性、抗抵赖性、可靠性等。相应地,对企业信息安全的考虑,也从最初关注企业信息安全技术层面,发展到关注企业信息安全控制、管理和治理等层面。
(三)正确理解信息安全涵义需要注意的几个问题
1.信息安全与信息保密不同。从信息安全概念的涵义可以看出,信息保密与信息安全是两个不同的概念,信息安全比信息保密的涵义更加丰富。尽管我国新修订的保密法对信息系统的保密问题作出了规定,但是保密法不能代替信息安全法。目前,我国对信息安全的立法仍然比较滞后,尚无专门的信息安全法。信息安全法是国家信息安全保障体系不可或缺的组成部分。
2.微观信息安全与宏观信息安全的联系。企业信息系统的安全离不开系统运行环境的支撑,系统环境包括物理环境和社会环境。从社会环境看,主要是指有关信息安全法律法规、安全意识、人才培养等。这就是说,微观层面单个组织的信息系统安全,还离不开宏观层面国家信息安全保障体系的构建。与此同时,微观层面的信息安全是基础,没有微观层面的信息安全,也就没有宏观层面的信息安全。
3.授权管理的重要性。信息安全的概念有三个核心涵义:保密性、完整性和可用性。这三个核心涵义都涉及一个共同的要素,即“授权”。保密性意味着只有获得授权才能访问;完整性意味着没有授权不得对信息进行删除或修改;可用性意味着拥有授权者随时可以使用。这表明,授权管理是信息安全管理的一项关键内容。信息系统是一种人机系统,授权管理主要涉及对人员行为的安全管理。
4.安全性目标与遵循性、绩效性、可信性目标的联系。从信息安全的涵义可以看出,信息系统的安全性目标不同于其遵循性、绩效性和可信性目标,但是,安全性与它们之间又是相互联系的。首先,安全性必须满足遵循性的要求,信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下,特别是各种信息安全法律法规、保密法,以及知识产权、个人隐私权方面的法律法规;其次,信息安全没有绝对的安全,所有的信息安全都是风险可接受条件下的安全,高水平的安全保护需要大量的投入成本,因而需要在成本、收益、风险和安全之间进行权衡,即安全性与绩效性的联系;最后,在信息安全技术层面,可信计算技术是信息安全技术的一个重要研究领域,从而表明安全性与可信性之间也有内在的联系。
笔者认为,目前国际上制定的有关信息安全等级评估、信息安全风险评估、信息安全管理体系等方面的国际标准,无论是在理论概念还是在操作实务方面,对于我国审计机关开展信息系统审计都具有重要的借鉴价值。这些国际标准或良好实务可以作为审计的参照标准,同时也可以作为审计机关向被审计单位提出改进信息系统安全性建议的依据。同时,在对国有企业信息系统的安全性进行审计时,还要立足我国实际,由于我国国有企业信息系统是国民经济命脉之命脉,事关国家经济安全和社会稳定,在重视企业本身信息系统安全的同时,还应当从宏观上揭示国有企业信息系统的安全风险,维护国家经济安全。
最后应当指出的是,在审计实践中,根据具体情况,单个审计项目可以选取上述可信性、绩效性和安全性目标中的一个或多个作为审计目标。
关键词:信息安全防护体系;风险评估;信息安全隐患;应急预案
中图分类号:F470.6 文献标识码:A 文章编号:
信息安全管理是信息安全防护体系建设的重要内容,也是完善各项信息安全技术措施的基础,而信息安全管理标准又是信息安全管理的基础和准则,因此要做好信息安全防护体系建设,必须从强化管理着手,首先制定信息安全管理标准。电力系统借鉴 ISO27000国际信息安全管理理念,并结合公司信息安全实际情况,制订了信息安全管理标准,明确了各单位、各部门的职责划分,固化了信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改等工作流程,促进了各单位信息安全规范性管理,为各项信息安全技术措施奠定了基础,显著提升了公司信息安全防护体系建设水平。
1电力系统信息安全防护目标
规范、加强公司网络和信息系统安全的管理,确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃, 抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故,并以此提升公司信息安全的整体管理水平。
2信息安全防护体系建设重点工作
电力系统信息安全防护体系建设应遵循“强化管理、标准先行”的理念。下面,结合本公司信息安全防护体系建设经验,对信息安全防护体系建设四项重点工作进行阐述。
2.1 信息系统安全检测与风险评估管理
信息管理部门信息安全管理专职根据年度信息化项目综合计划,每年在综合计划正式下达后,制定全年新建应用系统安全检测与风险评估计划,确保系统上线前符合国网公司信息安全等级保护要求。 应用系统在建设完成后 10个工作日内,按照《国家电网公司信息系统上下线管理办法》要求进行上线申请。 由信息管理部门信息安全管理专职在接到上线申请 10个工作日内, 组织应用系统专职及业务主管部门按照《国家电网公司信息安全风险评估实施指南》对系统的安全性进行风险评估测试,并形成评估报告交付业务部门。 对应用系统不满足安全要求的部分, 业务部门应在收到评估报告后 10个工作日内按照《国家电网公司信息安全加固实施指南(试行)》进行安全加固,加固后 5个工作日内,经信息管理部门复查,符合安全要求后方可上线试运行。应用系统进入试运行后,应严格做好数据的备份、保证系统及用户数据的安全,对在上线后影响网络信息安全的,信息管理部门有权停止系统的运行。
2.2 信息安全专项检查与治理
信息管理部门信息安全管理专职每年年初制定公司全年信息安全专项检查工作计划。检查内容包括公司本部及各基层单位的终端设备、网络设备、应用系统、机房安全等。 信息安全专职按照计划组织公司信息安全督查员开展信息安全专项检查工作,对在检查中发现的问题,检查后 5 个工作日内录入信息安全隐患库并反馈给各相关单位,隐患分为重大隐患和一般隐患,对于重大隐患,信息安全专职负责在录入隐患库 10 个工作日内组织制定重大隐患治理方案。 各单位必须在收到反馈 5 个工作日内对发现的问题制定治理方案, 并限期整技信息部信息安全专职。信息管理部门安全专职对隐患库中所有隐患的治理情况进行跟踪,并组织复查,对未能按期完成整改的单位,信息安全专职 10 个工作日内汇报信息管理部门负责人, 信息管理部门有权向人资部建议对其进行绩效考核。
2.3 信息安全应急预案管理
信息管理部门信息安全管理专职每年 年初制定公司全年信息安全应急预案编制、演练及修订计划,并下发给各单位。各单位信息安全专职按照计划组织本单位开展相关预案的制定,各种预案制定后 5 个工作日内交本部门主要负责人审批,审批通过后 5 个工作日内报信息管理部门信息安全专职。各单位信息安全专职负责组织对系统相关人员进行应急预案培训,并按年度计划开展预案演练。 根据演练结果,10 个工作日内组织对预案进行修订。各单位信息安全预案应每年至少进行一次审查修订, 对更新后的内容, 需在 10 个工作日内经本部门领导审批,并在审批通过后 5 个工作日内报信息管理部门备案。
2.4 安全事件统计、调查及组织整改
信息管理部门信息安全专职负责每月初对公司本部及各基层单位上个月信息安全事件进行统计。 各系统负责人、各单位信息安全管理专职负责统计本系统、单位的信息安全事件,并在每月 30 日以书面形式报告信息管理部门信息安全专职, 对于逾期未报的按无事件处理。 出现信息安全事件后 5 个工作日内,信息管理部门信息安全专职负责组织对事件的调查,调查过程严格按照《国家电网公司信息系统事故调查及统计规定(试行)》执行,并组织开展信息系统事故原因分析,坚持“四不放过”原则,调查后 5 个工作日内组织编写事件调查报告。调查、分析完成后 10 个工作日内组织落实各项整改措施。信息安全事件调查严格执行《国家电网公司网络与信息系统安全运行情况通报制度》制度。
3评估与改进
通过执行“强化管理、标准先行”的信息安全防护体系建设理念和实施电力公司信息安全管理标准, 明确了各项工作的“5W1H”。 使信息管理部门和各部门及下属各单位的接口与职责划分进一步清晰,有效协调了相互之间的分工协作。 并通过 ITMIS 系统进行对上述流程进行固化,在严格执行国网公司、省公司各项安全要求的基础上简化了工作流程, 搭建了信息安全防护建设工作的基础架构,实现了信息安全防护建设工作的体系化。同时在标准的 PDCA 四阶段循环周期通过管理目标、职责分工,管理方法,管理流程、考核要求,文档记录 6 种管理要素对信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改4 项管理内容进行持续改进,使信息安全防护体系建设工作的质量有了质变提升。 在信息安全防护建设工作的基础架构搭建完成后,江苏省电力公司常州供电公司下一步将重点完善信息安全防护体系中技术体系建设,管理与技术措施并举,构建坚强信息安全防护体系。
[关键词]企业发展 信息化发展 网络安全 策略
中图分类号:TU758.7 文献标识码:A 文章编号:1009-914X(2016)04-0071-01
引言
现代信息技术的发展和应用,促进了我国社会的快速发展,现代信息技术的应用领域在不断扩大,在人们的工作、生活、学习等过程中都有所应用,尤其是在企业信息化过程中,扮演的角色越来越重要。信息技术的应用给我们的生活带来了很大的变化,在企业的发展过程中,也积极加强了对信息系统的应用。随着计算机信息技术为越来越多的人所接受,各种信息的泄露、不良信息的传播成为人们使用网络时的安全忧患。尤其是各种信息的泄露,导致当前很多人的生活受到影响,企业管理过程中应该要加强对安全隐患的防范,可以使得企业的管理水平得到提升。
一、企业信息化过程中的安全隐患
在新的时代背景下,企业管理过程中加强对信息化的应用,可以使得企业的各项资料、信息管理更加井然有序,并且可以提高信息资料传递的速率,使得企业的管理效率不断提升。但是由于信息系统本身就面临一些威胁,所以企业网络信息安全在进行传递、存储以及使用的过程中,都面临着较大的危害。一些企业网络信息安全系统存在软件和硬件的漏洞,比如一个恶意的数据包就有可能导致各种设备出现瘫痪,最终使得各种信息出现泄漏。这些危害很有可能导致企业网络信息的安全受到威胁,严重时还有可能导致整个信息系统出现瘫痪。比如一些企业中存储有关于国家历史的文件资料,一旦出现了信息安全危害,严重时还会对整个国家造成影响。在企业的发展和管理过程中加强对信息系统的应用,常常出现的一个严重的问题就是信息泄露。信息泄露主要有几个方面,第一,失密、泄密。失密、泄密指的是非法的用户在使用过程中采用各种违法的手段获取企业的信息从而导致信息出现泄漏的现象。企业网络信息的失密和泄密的途径主要有几种,即磁泄漏、传输泄漏、侦收破译泄密、存储不利泄露等。这种泄密方式具有不可见性和不易察觉性,危害比较严重、持续时间也比较长。这种对于企业以及各种机构组织产生的影响比较大,很有可能会导致一些机密信息的出现。第二,数据遭受破坏。企业在日常管理过程中往往会利用计算机技术、互联网等对各种信息进行传递,在这个过程中也会对信息进行相应的处理,比如企业的工作人员在利用网络上传或者下载信息的时候,有些资源会被压缩,在信息处理过程中最容易出现数据破坏的现象,这种信息的破坏往往是不可逆转的,也就是修改之后的数据恢复起来难度比较大。第三,网络入侵威胁。由于当前的时代是信息网络时代,企业网络系统的基础是互联网,没有网络,企业的网络系统不能正常工作。但是企业网络系统应用的过程中,往往会存在很多恶意的侵犯,最终使得信息受损。
二、 企业网络信息安全隐患的防护
在新形势下,企业的信息化发展是一个必然的趋势,在这个过程中,必须要加强对网络信息安全的保护,加强对计算机系统的安全保护,从而使得企业发展过程中能够对各种信息进行加密处理,确保企业的健康发展。
(一)加强工作人员对信息安全工作的重视
在企业的发展过程中,工作人员对信息安全工作的重视程度如何,将会对企业的发展带来十分重要的影响,只有不断提高工作人员的信息安全意识,才能从根本上杜绝一些危害的出现。比如引导企业的工作人员形成安全意识,使得他们在使用计算机以及网络的时候可以注意不要去点一些不安全的网站,不会下载一些非法的东西,从而确保企业的信息系统的运营环境的安全性,确保企业的各种信息数据可以得到有效的保护。
(二)采用技术手段对各种安全隐患进行控制
在企业的发展过程中,为了对各种信息进行安全保护,则必须要从技术手段加强安全保护,比如对于企业的电脑,要安装防病毒系统,购买一些正版的杀毒软件,安装防火墙等,使得企业的信息系统可以得到有效的保护,加强对病毒的预防,从而不断提高企业的信息安全水平。其次,对于企业发展过程中的各种重要的信息要进行加密处理,尤其是在各种商业信息,是企业发展过程中的重要内容,为了防止信息被黑客窃取,则可以使用相应的数据加密技术,使得密码破译的难度增大,从而对一些违法的入侵行为进行规避,这种方法可以规避数据破坏、窃听等恶意行为。另外,在企业内部应该要建立一个相对独立的网络,从而可以对企业发展过程中的各种信息进行有效的传递,使得信息传递的网络环境是健康的,相关的技术人员应该要定期对该网络进行检查,确定内部网络的健康性。
(三)加强企业网络信息安全管理体制的建立
在企业网络信息安全防护过程中,应该要对管理制度进行完善,首先要定期修改管理制度,加强对技术人员安全的培训,以更好地适应现代化信息社会。其次,要开发计算机信息与网络安全的监督管理系统,并且对安全监管系统的管理责任进行细分,落实到具体的责任人身上,一旦出现网络信息安全时要及时找到相应的责任人,对网络和信息安全应用与管理工作实行“谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合”的原则,实现安全保护责任制,逐渐实现企业网络信息完全管理的科学化和规范化发展。第三,在管理的过程中,要对企业的安全技术管理人员的责任进行确定,一旦企业的信息系统出现了安全问题,则应该要按照相应的责任关系找到责任人,对具体的责任进行承担,从而使得企业的信息安全系统管理更加科学。
结语
综上所述,在信息技术时代,信息网络系统在企业管理过程中的应用越来越多,同时也产生了较大的信息安全隐患。对此要积极加强信息安全工作,从人员安全意识的提升以及应用安全防护技术手段角度着手,对企业的信息安全保护工作进行加强,并且建立相应的严密的管理制度,从而使得企业的网络信息安全管理工作水平可以得到有效的提升,促进企业在信息化过程中的健康发展。
参考文献
[1] 余人杰.浅谈网络设备的安全隐患及其防范措施[J].计算机光盘软件与应用,2014(12).
编者按
时代变迁,信息已经成为一种新型的商业流通介质,是全球联动的商业世界中不可或缺的一个重要元素。与此同时,保护企业信息资产变得同等重要。不久之前,普华永道联合《CIO》杂志和《CSO》杂志进行了第六次全球信息安全状况调查,访问了超过7000位来自119个国家的CEO、CFO、CIO、CSO等。本文作者概括了一些值得关注的调查结果,有助于我们了解全球信息安全建设的整体状况。
目前,信息安全在世界各地区有着不同的发展趋势。调查显示,在印度公司普遍发展的推动下,亚洲企业在建立领先的信息安全方面已与北美公司处于同一水平,在某些方面甚至有所超越。
尽管中国企业在运用安全技术方面取得了重大成果,但在信息安全策略和管理方面仍显滞后。中国受访者中,68%表示其所在企业已安装了应用防火墙(全球平均值为67%),59%部署了互联网服务安全保护措施(全球平均值为58%)。然而,从安全策略及管理方面来看,仅有34%为部署信息技术架构建立了标准和流程(全球平均值为51%),33%建立了业务持续经营计划或灾难性恢复计划(全球平均值为55%)。
普华永道北京信息安全咨询合伙人季瑞华认为:“中同企业应该以此为契机,紧密结合正确的安全策略、人员布置和有效的管理流程,使现有的信息安全技术为企业提供最大的效益。”
在本次调查中,74%的受访者认为,在未来的12个月内,信息安全支出将会增长或者保持现有水平。尽管企业在安全技术(比如入侵检测软件、加密技术和身份识别管理)上持续投入大量经费,但是他们在正确整合一些关键因素方面仍存在问题。许多企业的安全管理流程、员工安全意识教育和信息安全技术或工具的使用之间,似乎存在着一些不协调,因而无法从安全技术投资中得到应有的价值回报。
现在越来越多的企业会对数据库、笔记本电脑、备份磁带以及其他介质进行加密。62%的受访者说他们所在的企业布置了入侵检测软件,67%安装了保护应用系统的防火墙,67%为淘汰的电脑硬件建立了处置流程,比例分别高(或持平)于2007年的同类数据(52%、62%、67%)。但问题是,企业信息安全支出仍然主要来自于IT部门,其次为安全部门和市场部门、人力资源部门、法律部门等。这表明,虽然信息安全得到了更多的关注,但公司层面的信息安全流程和人员安全意识的重要性似乎有些被忽略。
尽管企业的信息安全成熟度得到显著提高,但比例非常高的受访者“不知道什么是他们应该知道的事情”。许多受访者不能回答关于他们所在企业关键信息资产风险的基本问题,35%的受访者不能确定在过去的12个月中公司发生了多少次安全事件,42%的受访者不清楚攻击或破坏是否最有可能源于员工(现任或前任)、客户、合作伙伴或供应商,以及黑客等。
虽然回答“不知道什么是他们应该知道的事情”的中国受访者,其比例相对于北美和欧洲较低,但是当被问到过去12个月中实际遭受的安全事件数量和财务损失时,平均每个中国受访者汇报了285例安全事件,而全球受访者平均汇报了28例,亚洲受访者平均汇报了45例。从这些安全事件的后果看,平均每个中国受访者报告了每年约98万美元的财物损失,而亚洲受访者平均报告了约75万美元,印度受访者平均报告了约30.8万美元。此外,42%的中国受访者经历了应用软件、系统和网络等方面的安全事件,而全球这些情况的平均数据分别为17%、15%和20%。
调查发现,很多受访者对安全攻击等安全事件的一手资料缺乏很好的了解。这是事实,但不是重点,重点是如何提高公司持续抵御和阻止攻击的能力,并且不会对员工开展的日常业务产生影响,也不会由于被动应付意外(但可预见)的危机而产生过高成本。这要求有关公司数据及系统风险的关键信息能迅速从第一线向公司其他人传播,在企业的每一层面推广安全意识是至关重要的。
此次调查结果清晰地指明,信息安全和数据管理不仅仅是具有一个安全治理框架和技术支援这么简单,而是需要三个关键要素(人员、流程及技术)紧密结合,并贯穿于整个公司来发挥效应。
【关键词】本质安全 烟草信息化 信息安全
1 本质安全思想概述
本质安全是应用人机工程学的原则,通过机械的设计者,在设计阶段采取措施来消除设备隐患的一种实现本质安全的方法。本质安全包含四个要素:环境、设备、人员、管理。
本质安全的四个要素存在着辩证统一的关系,本质安全是“安全第一、预防为主、综合治理”的根本体现,安全事故来源于要素内部或要素之间的矛盾。几个要素之间发生冲突,就有可能激发形成事故,如果某个要素存在不安全因素,也会出现这种情况。在四个因素中,环境是外部条件,设备是本质安全的基础,人是本质安全的灵魂,管理制度是本质安全的关键。
下面将从本质安全角度出发对烟草信息化建设安全风险进行分析,提出解决的对策及方案。
2 烟草行业信息化建设安全风险分析
2.1 内部安全存在隐患
随着信息技术应用的日益普遍和成熟,各烟草企业已建立起属于自己的内部局域网,并开发出各种所需信息系统,包括信息管理系统、生产销售系统、办公系统、综合服务系统、决策系统等。信息系统在给企业带来巨大便利的同时,也给企业信息安全带来了更多、更大的风险,如不良信息对员工思想的冲击,员工结构频繁的变化流动等,都给企业的内部安全控制造成了很大隐患。
2.2 易受外部干扰和攻击
烟草企业为方便基层员工,内部网络与外部网络的频繁连接,为外部网络中病毒、木马、黑客等对企业内部网络的干扰、攻击与破坏创造了便利的通道。一旦企业内部网络遭受外部干扰和攻击,将很可能导致企业信息系统遭受不良影响而中断,甚至造成整个网络系统瘫痪和计算机的崩溃,给企业造成巨大的经济损失。
3 烟草信息安全建设措施
3.1 环境与设备方面,提高技术手段,确保风险可控
首先,以风险管控为核心,搭建安全生产管理应用框架。建设的重点在风险管控,进行危险源辨识、评价和结果审批、,针对危险源制定管控措施,自动生成各个岗位的预控方案,形成对所辖危险源的有效督管机制。其次,以标准化达标为基础,搭建工作协同应用框架。以安全生产标准化和职业健康体系做理论依据,结合与各级企业的实际工作流程拆分设置不同的模块。同时运用先进信息化手段,使不同层面的业务人员直接在计算机上完成日常采集信息、处理信息、分析信息等方面的工作,实现安全生产管理工作的流程化、标准化。
3.2 提高系统安全管理
对于烟草公司信息安全系统来说主要包括如下几点:根据业务需求和系统安全分析确定系统的访问控制策略;定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。在此基础上,建立系统安全管理制度,对系统安全策略、安全配置、日志管理、日常操作流程等方面作出具体规定,同时指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,进而依据操作手册对系统进行维护。从基础与操作两方面提高信息系统的安全性。
3.3 加强恶意攻击防范管理,提高系统风险抵御能力
恶意攻击层出不穷,需要提高所有网络用户的防病毒意识,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,由操作系统自动进行病毒检查;并指定专人对网络和主C进行恶意代码检测并保存检测记录。在此寄出上,定期检查信息系统内各种产品的恶意代码库的升级情况,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,进而系统病毒库的先进性。
4 结束语
信息技术在烟草行业得到了普遍应用,并对烟草行业的信息整合、资源优化配置、管理理念更新等发挥了无可比拟的作用。然而其信息安全性却存在着很多风险,如何控制好这些风险已成为烟草行业当前所迫切需要解决的一个问题。近年来,烟草行业各级单位上下宣贯国家和行业政策文件的精神和要求,明确现阶段行业安全生产信息化建设处于基础建设阶段,未来还需要充分做好员工沟通理解、应用框架搭建、培训实践结合、人机协作尝试等几个方面的工作,促进烟草行业健康有序发展。
参考文献
[1]李庆诚,张文生.本质安全型集中式控制安全操作系统研究[J].单片机与嵌入式系统应用,2004(07):8-11.
[2]王德吉.“互联网+”时代的“工业4.0”信息安全探索与实践[J].自动化博览,2015(z2):30-33.
[3]武晓芳,温克强.工业网络信息安全隐患分析与解决[C].//中国石油和化工自动化第十一届年会论文集.2012:7-11.
[4]朱益F.烟草行业信息安全风险分析与控制策略研究[J].中国管理信息化,2015,18(24):182.
[5]罗晓龙.浅析烟草行业信息安全管理对策[J].科技创新与应用,2015(01):172-172.
[6]高萍,黄伟达.烟草企业信息安全方面的思考[J].黑龙江科技信息,2010(31):80.
作者简介
盛丰,男,现供职于安徽省烟草公司马鞍山市公司。
Key words: Internet information security;TF-IDF model;KNN algorithm;industry distribution
中图分类号:TP399 文献标识码:A 文章编号:1006-4311(2015)20-0050-04
0 引言
随着互联网的迅速发展和普及,企业的信息化建设的步伐也在不断地加快。从外部环境来看,由于市场范围不断扩大,科技竞争、营销竞争、市场和人才的争夺日益激烈,对企业形成了强大的压力。依托互联网及信息资源,采用信息技术来实现信息化,是企业保持竞争优势的有力措施。从企业内部来看,为适应外部竞争环境,企业内部结构、业务流程、管理方式以及商业模式都需不断调整、重组、变革。企业与互联网结合进行信息化建设,在引入新技术的同时,能够提高企业的应变能力、创新能力和竞争能力[1]。
同时,企业通过互联网可以快速了解市场信息,掌握市场动态,传递和交换商业信息,进而提高工作效率,节省成本,企业的信息化建设在市场竞争中具有重要的战略地位[2]。
关于企业网络信息安全的研究多集中于网络威胁的检测和具体的方法技术,或者从安全管理制度入手,协调企业内部管理机制,建立信息安全管理模型[4]。也有学者从技术、管理和资源角度出发,考虑信息安全体系的构建原则,或者针对具体的安全问题,提出具有创见性的解决或操作方案[5]。这些都是从企业建设的角度,来分析企业信息安全问题,企业个体层面的研究较多。
而从宏观上来看,不同行业面临的信息安全问题也会有所区别,如何明确不同行业的信息安全威胁程度,并出台相应政策改善信息安全状况,是相关政策制定者亟需考虑的问题。
从行业分布来看企业的信息安全状况,能够给企业带来战略性的指导,通过明确信息安全威胁程度,可以有针对性地制定信息安全投入策略,优化企业管理资源配置[6]。
此外,信息安全的行业分布特征可以从整体上反映我国的信息安全体系建设的状况,进而通过加强对不同行业的引导,探索保护企业信息安全的有效途径,来完善相应的法律法规制度。
网络信息安全事件中,绝大多数是由黑客行为造成的,在易受黑客攻击的行业中,依然有部分企业完全忽视了信息安全的重要性。
本文从探究不同行业的网络信息安全威胁的角度出发,以某知名黑客论坛搜集到的300多万条黑客攻击数据为基础,旨在通过实证研究得出不同行业的网络信息安全威胁程度,为相关部门制定信息安全政策提供支持,同时为不同的行业区分不同的信息安全等级,有针对性地实施信息安全保护措施。
1 入侵行为样本数据采集及预处理
本文所采用的数据来自于某知名黑客论坛,该论坛收录了大量的网站入侵数据,每条数据由黑客攻击者本身上传,并提供相应的证据证实该行为的真实性,该论坛的工作人员会对提交的信息进行审核,确认其真实性后才会在网站社区进行。数据的采集以网络爬虫(Web Crawler)抓取的方式进行,主要抓取被攻击网站的中文标题和中文关键字,便于后续的数据处理和分析。
从该网站采集的数据文字信息杂乱无规律,且数据量大,其中大部分为无效数据。由于无效数据扩大了样本容量,不具有分析价值,在对数据的冗余统计上,会使结果造成很大的偏差。为了使分析结果更加准确,我们通过编写相应的程序代码,对初始数据进行预处理,包括外文字符的处理、半角及全角转换、汉字编码转换以及无效数据的清除等工作。清除无效数据主要包括去除无明显含义的字词、空白字符和特殊符号。我们收集到的数据总量为3445153条,经过筛选和预处理,有效数据为725550条。
《财富中国》曾经根据发达国家的行业界定与行业演变规则,对中国的行业进行了新的分类,本文参考它的分类标准,将细分的行业归结到新的行业大类中。由于分析的数据量比较大,我们采用文本分类算法对数据进行分类,先由算法学习训练数据集的分类标准,再批量完成对其他数据的分类。从有效数据中随机选取10000条不同的数据进行人工分类作为训练数据集,通过每条数据的关键字和句子描述的意义判断它属于哪个具体的行业。
2 网络信息安全数据分析
由于每一条有效数据代表着一次黑客攻击或者信息安全事件,得出每条数据的行业分类,就能看出整体的网络信息安全事件的行业分布情况。本文根据现有数据选择能够代表每个行业的关键字集合,即行业特征值,再结合训练数据集(人工分类数据集),以及KNN分类算法,对数据进行自动分类。
在数据分类过程中,对于行业特征值的选择遵循两个原则,一是关键字要具有代表性,不仅在语义上能表明这个行业,还要在分析的样本数据中,与其他行业具有一定的区分度;二是与其他行业关键字之间互斥,尽量避免与其他行业的分类词相关联,并且在其他行业数据中出现的次数比较少。为了更有效地选取行业特征值,我们采用TF-IDF模型来确定。
获得数据中每个行业的特征值之后,我们采用KNN算法对数据进行分类。由于KNN算法是非参数算法,只需要提供已经按照规则分类好的训练数据集,和分类属性的特征值,KNN算法便可以通过学习来进行新的分类。此外,KNN算法分类效果较为准确,虽然需要比对训练数据集,但由于本训练集的内容是单条数据,可以克服KNN运算时空开销大的弊端[7]。
2.1 TF-IDF模型选取行业特征值
在本研究中,TF-IDF模型的主要作用是用来寻找能够有效代表某一行业的名词,即行业特征值。一个名词在某一行业的文本中出现的频率越高,而在所有的文本中出现的越少,则区分其他行业的效用越大,相应的TF-IDF值就越大[8]。TF-IDF值的计算是基于10000条样本数据进行的。其公式为:
TF-IDF=TF×IDF=■×log■
其中:TF:该名词在某一行业文本中的词频;n:该名词在某一行业文本中出现的次数;N:行业文本中名词的总数;IDF:逆向文本频率,即所有文本数与包含该关键字文本数的商的对数;W:所有文本数,在样本数据中,值为10000;d:包含该关键字的文本数。
TF-IDF模型能够减少模糊匹配和互斥性差对分类造成的影响,较好地体现了行业特征值对行业的代表性,以及行业特征值对于分类结果的互斥性[9]。
①获取关键字的TF值。
TF-IDF模型使用人工分类的数据(训练数据集)来获取行业特征值,在得到某一行业的行业特征值之前,我们将候选的名词称为关键字。由于篇幅有限,这里只以信息相关行业为例介绍如何通过TF-IDF模型选择关键字,并优化形成行业特征值的过程。首先通过编写程序对“信息相关行业”样本数据进行分词并标注词性,随后选取名词作为关键字,统计词频获得TF值。
②计算IDF值,并获得TF-IDF值。
经过分词后会产生很多与信息相关行业无关的名词,这些名词并不都能代表信息相关行业。我们从上述列表中依次挑选出可以代表信息相关行业的关键字,并在10000条样本数据中搜索包含该关键字的数据条数,即模型中的d。依据TF-IDF模型公式计算出IDF值,然后将TF值与IDF值相乘获得TF-IDF值。
③基于TF-IDF模型获取行业特征值集合。
TF-IDF值计算出来后,根据大小排列,我们可以很好地了解哪些关键字最能代表信息相关行业,并能进一步明确行业特征值集合。设信息相关行业的行业特征值集合为M{n1,n2,n3…},ni表示集合中的关键字,依据TF-IDF值列表,由高到低依次向该集合中添加一个关键字,并以M集合中的关键字作为查询条件,获得数据条数。该过程是一个动态的优化过程,每添加一个关键字,搜索的数据条数都会改变,与人工分类的结果越接近我们认为分类效果越好。
我们设置参数偏离度De来衡量优化性能,De的计算公式为:
De=■=■
其中:De:用来衡量与人工分类偏离程度,值越小,表明分类效果越好;R:经过TF-IDF模型优化后的分类方案所得出的行业百分比;s:用行业特征值集合查询的数据条数;S:样本数据总条数,为10000;P:人工分类的行业百分比,信息相关行业P值为19.01%。
2.2 应用KNN算法进行数据分类
由于KNN算法能够学习训练数据集的分类标准,且具有分类精度高、稳定性强的特点[10],本文采用KNN算法实现文本的自动分类。KNN算法分类过程涉及到特征值的选取和相似度的计算,特征值即在TF-IDF模型优化的过程中选出的行业特征值集合。语义相似度采用夹角余弦函数进行计算,两个文本向量在空间中的夹角越小,余弦值越大,表示其语义相似度越大,反之亦然。KNN的决策过程如下:
C=argmax■(score( ■,c■))
=argmax■■Sim( ■,■)δ(■,c■)
其中KNN(■)表示文档的k个邻域,δ(■,c■)含义如下:
δ(■,c■)=1 ■∈c■0 ■?埸c■)
c■表示不同的行业分类;■表示待分类的文本向量;■表示K个邻域中的第j个已确定行业分类的行业特征向量;Sim(■,■)表示待分类文本向量与已确定分类文本向量的相似度。
2.3 数据分类结果
依据KNN算法分类思想,结合自然语言处理开源工具包(FudanNLP),编写相应的程序代码,实现KNN分类器的算法分类。FudanNLP运行环境为联想Z460笔记本电脑,6G内存,酷睿i3处理器,2.53GHz。全部的有效数据经过KNN分类器运算的分类结果如表1所示,信息相关行业、专业服务、教育、旅游休闲均超过了5%,其中信息相关行业逼近20%,是网络信息安全问题出现最多的行业。其次,建筑建材、医药卫生、文化超过了3%,企业的网络信息安全问题仍然严峻。其他行业占比比较低,交通运输和制造业相对较高。
3 行业分类结果分析与建议
根据分类结果,我们对不同行业所面临的网络信息安全威胁进行了等级划分,如图1所示。在本研究数据中,网络信息安全问题占比5%以下的行业,网络信息安全威胁程度较低;占比5%-15%的行业,网络信息安全威胁程度适中;占比5%-15%的行业,网络信息安全威胁程度较高。
3.1 建立信息安全管理体系框架
英国标准协会(SBI)于1959年制定了信息安全管理体系标准,并于1999年进行了修订改版,2000年12月经包括中国在内的国际标准组织成员国投票表决,正式转化成国际标准。信息安全管理体系框架(ISMS)的建立,对保护企业信息资产安全,建立良好的市场秩序,提升企业的综合竞争力,有着重要意义。这是一个庞大的系统工程,必须依赖政府自上而下的顶层设计,来构建新的治理体系[11]。该框架应对信息安全的管理目标、管理主体与客体及管理工具,进行详细的阐述与界定,对不同的行业应有不同的要求,根据行业信息安全威胁程度,来实施信息安全保护及等级评估的具体措施。
目前,我国政府以及各行各业已经认识到了信息安全的重要性,国务院办公厅先后颁布了一系列相关政策,直接引导推进信息安全系统的应用和发展。
此外,政府相关部门应对信息基础设施加以整合,集中网络信息安全的领导权和统一诸如加密标准、认证标准、数字签名标准等信息安全产业标准,通过加强跨区域、跨部门的系统互联来实现网络信息安全。
同时,各行业信息安全管理框架应由各机构根据自身的实际状况搭建,制定适合企业自身业务发展的信息安全管理框架。
3.2 信息相关行业
由统计结果可以看出,信息相关行业中的企业更容易出现网络信息安全问题,占比接近20%,这和信息相关行业本身的性质有关。
首先,信息相关行业以互联网企业居多,与网络有更强的粘滞性,大部分的业务都需要通过网络来完成,网络中存在大量的信息安全威胁,对直接暴露在复杂网络环境中的服务器、主机终端等硬件设施,和处理企业事务的软件,具有较强的破坏性。
比如2014年9月,美国家得宝公司确认其支付系统遭到网络攻击,将近有5600万张银行卡的信息被盗。其次,部分企业自身的防范意识不足,防范措施不完善,无法适应较高的信息安全要求,尤其缺乏专业的信息安全管理人员,导致信息安全事件频发。
此外,国内信息相关行业的安全体系并没有完全建立起来,无法对企业形成有力的督促效应和政策约束,大部分企业忽视了在信息安全方面的投入,没有上升到企业战略的高度。
信息相关行业中的企业应明确自身承受着较高的网络信息安全威胁,首先应加大在信息安全方面的资源投入,一是增加物理防护,增加服务器,运行防火墙等软件,或者开辟网络专线;二是增加软件防护,安装企业级的杀毒软件,对网络安全状况进行及时的监控,并排除威胁。其次,设立严格的信息安全保障制度,保证业务的正常开展,从而减少信息泄露或企业业务中断的风险,获得商业竞争优势。
同时,国家信息安全相关部门可以对信息相关行业中的企业设置信息安全建设绿色通道,鼓励他们积极完善自身的信息安全防护机制,必要时设立审查制度,定期对企业的信息安全建设情况进行审查并进行评级,确保相关政策有效落实。
3.3 专业服务、教育和旅游休闲行业
专业服务、教育和旅游休闲的信息安全事件均超过了5%,表明在这三个领域仍然存在着较高的网络信息安全威胁。服务行业包括广告、维修、设计、通信等,从行业特征来看,他们在互联网安全的投入中并不会占整体投入的太多比例,网络安全受到威胁,不会对他们的业务带来显著的影响。
相对于信息相关行业,专业服务、教育和旅游休闲的企业信息安全问题,更多的是来源于网络安全基础设备的不足,由于网络连接不涉及核心业务,大部分企业忽视了硬件设备的采购以及防护体系的建立,企业信息遭到窃取和泄露在所难免。
这一问题在教育行业尤为突出,一些高校为了减少网络建设投入,同时也为了给学生提供技术锻炼平台,直接将门户网站和非关键系统的建设与维护交给了学生团体,由于缺乏经验的积累和相关核心安全技术,部分高校网站的脆弱性可见一斑。
旅游休闲类服务型企业,通常会通过在线交易开展业务,比如预定付款、网络游戏充值等等,更容易成为不法分子的攻击目标,信息安全事件也时有发生。2014年10月,摩根大通银行网络数据库遭窃,其承认7600万家庭和700万小企业的相关信息被泄露。
该行业中的企业由于自身业务的限制,往往缺乏相应的信息安全应急机制和处理方案,更没有针对自身信息系统的安全管理措施。这种情况下,企业应加强寻求对外合作,让更专业的第三方机构负责信息系统的实施与维护,签订服务水平协议,并提供信息安全保障。
此外,尽量减少经济利益的网上流通,加大审查力度,网上支付、在线交易等要进行严格的审批,没有足够安全保障的企业,不能提供此项服务;同时也要对现有的线上支付方式进行检查,具有潜在安全隐患的要及时进行警告和撤销,并转换为线下支付。
3.4 其他行业
建筑建材、文化、医药卫生、机构组织、交通运输、制造业等行业中的信息安全事件均超过了1%,其余行业的信息安全威胁较低。这类行业较少利用网络来开展业务,因此企业信息泄露的风险普遍较低,发生信息安全事件的可能性不高。
尽管如此,每年仍然会有相当规模的网络恶意攻击,导致部分企业服务器瘫痪,无法进行工作。这类安全事件主要由黑客造成,多半是为了展示能力、炫耀技术或者娱乐,并非仅仅是为了获得企业的商业机密信息。
此外,企业内部人员疏于管理,信息安全意识不强,通过文件传递、口头传播或者交流聊天都有可能泄露企业私密信息。值得关注的是,金融和军事类企业网络信息安全威胁较低,主要是因为它们具有严格的内部管理制度,员工的信息安全意识,纪律性较强。
其次,它们在物理防护和软件防护上都做的比较完善,军事类企业和组织甚至开辟专用网络链路来保证信息安全。这些行业中的企业在日常运作的过程中,所受信息安全威胁较低,应主要完善内部的制度建设,加强员工的信息安全意识的培养,做到人员管理安全。同时,建立完备的危机应急机制十分必要,当网络信息安全事件发生时,企业能够从容应对。
4 结束语
网络信息安全威胁是现代企业都有可能面对的问题,通过互联网等现代信息技术开展业务是企业发展过程中的必然趋势。
【关键词】 会计信息安全;研究现状;体系
会计信息安全目前尚无确切的定义。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”,因此,会计信息安全可以理解为会计信息应具备完整性、可用性、保密性和可靠性的状态,它来自于会计数据的完整和会计数据的安全。如何保证会计信息安全,特别是如何在内部控制框架下实现会计信息安全,是会计工作者当前需着手研究和解决的问题。
一、我国会计信息安全的研究现状
我国会计工作者致力于研究内部控制与会计信息相关的问题,本文以“内部控制”、“会计信息”、“会计信息质量”和“会计信息安全”,分别以题名和关键词,在1979-2010年中国期刊全文数据库的权威专业期刊中进行文献检索,结果如表1。
从文献检索结果可知,国内已有不少学者采用规范研究和实证研究,以上市公司为样本对内部控制信息披露以及会计信息质量进行分析和研究,形成了一些内部控制与会计信息质量、以及与会计信息安全相关的要素观点,初步建立了内部控制与会计信息质量监控体系,但还没有形成以“会计信息安全”为主题的论点。
二、会计信息安全的基本内容
在我国《会计法》及《企业会计准则――基本准则》中,会计信息是指会计数据经过加工处理后产生的,为会计管理和企业管理所需要的经济信息。会计信息的质量特征,包括会计信息的相关性、可靠性、及时性、中立性、可比性、实质重于形式、谨慎性、清晰性等。
根据相关法律规定,参照国家信息安全标准,可以把会计信息安全理解为会计信息在当今高度发达的信息化环境下的安全,至少包括载体安全、过程安全、数据安全和人员安全等方面。其中载体安全,包括环境安全、设备安全和媒体安全等方面;过程安全,包括安全风险管理、安全日志、数据恢复及备份、应急处理等方面;数据安全,包括完整性、保密性和认可性三个方面;人员安全,包括安全意识、法律意识、安全技能等方面。
会计信息安全是对会计信息的信息采集与信息供应的安全性要求,包括会计信息的秘密性、完整性、真实性、可传播性、可用性和可控性。会计信息失真正是说明会计信息已经显现不安全状态。会计信息安全的形式,至少包括:(1)会计信息真实反映;(2)会计信息及时反映;(3)会计信息完整反映;(4)会计信息有用反映;(5)会计信息安全反映。
三、会计信息安全体系探讨
根据《企业内部控制基本规范》,建立会计信息安全体系,是当前提高会计信息质量的有效途径。在构建会计信息安全体系框架时,应先着手完善会计信息加工、处理、披露、监管的社会环境,特别是:一要完善现行法律法规,增强法律的威慑作用;二要尽快完善会计准则和会计制度;三要强化继续教育,不断提高会计人员业务素质;四要加强会计监督,切实提高注册会计师服务质量。
会计信息安全体系应围绕信息的完整性、可用性、保密性和可靠性等方面进行构建,构筑这四大保障屏障以建立会计信息安全体系。
(一)会计信息完整性的保障措施
会计信息完整性是指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性。可采取:(1)保证会计信息处理过程完整。保证会计信息输入、处理过程的完整,规范会计处理程序,建立信息约束机制和责任追究制度。(2)保证会计信息处理要素完整。在信息处理过程中,对形成会计信息的各项综合要素,不可遗漏。(3)保证会计信息不被非法篡改。建立会计信息授权处理机制,建立数据权限分级修改和数据跟踪制度,保证数据和信息不被非法修改和破坏。(4)保证会计信息披露完整。建立会计信息披露公告制度,规范披露的格式、内容、时间及媒体等。
(二)会计信息可用性的保障措施
会计信息的可用性是指会计信息的者能够保证信息被有效地传递到接受方并且该信息被接受方有效地加以使用且可控。可采取:(1)授权批准控制。授权批准是指企业在处理经济业务时,必须经过授权批准以便进行控制,对涉及会计及相关工作的授权批准的范围、权限、责任等内容作出明确决定。(2)会计系统控制。建立基础控制、凭证控制、账簿控制、纪律控制和实物控制制度,保护企业各项资产的安全和完整,防止资产流失,提高经营管理效率,提高信息公正性。(3)职责分工控制。明确规定处理各种经济业务的职责分工和程序方法,建立内部牵制、内部稽核、内部审计等内控机制。
(三)会计信息保密性的保障措施
会计信息的保密性是指会计信息只透露给有权知道会计信息的人,保证会计信息不会被非法泄露和扩散,防止对会计信息的非授权或非法泄漏。可采取:(1)保障原始数据安全性。增加信息来源的复杂性、信息接触部门和人员的多样性、内控制度的复杂性,以减少原始数据错误和信息篡改风险。(2)保障会计档案安全性。建立完备的电子档案保存、检查、复制等制度,保障会计档案安全。(3)保障分级授权安全性。实行用户分级授权管理,建立岗位责任制,推广应用生物识别技术,增加密码的安全性。(4)保障会计系统安全性。提供后备供电系统,及时修补系统漏洞,采用数据加密技术,加强数据备份,数据及时归档,构筑防火墙,制定系统灾难恢复计划。(5)建立会计信息安全管理制度。会计信息安全管理制度至少包括系统开发或选购制度、维护制度、机房管理制度、访问权限设定、备份制度、档案管理制度、授权管理制度、岗位责任制度、操作规程、日常评估制度、安全审计制度、应急处理制度等。
(四)会计信息可靠性的保障措施
可靠性是指确保信息能免于错误及偏差并能忠实反映它意欲反映的现象或状况的质量。可采取:(1)完善财会法规体系,加大惩治力度;(2)规范会计工作秩序,健全会计职业管理制度;(3)健全审计外部监督机制,强化再监督机制;(4)完善内部治理结构,消除内部人控制现象;(5)开放会计市场,全面引入竞争机制;(6)加强信息披露的透明度,提供高质量信息;(7)重视公司治理生态问题,约束信息披露;(8)提高从业人员的诚信道德水平,增强其专业胜任能力;(9)减少会计政策的可选择空间,防止会计信息的技术性失真等。
【主要参考文献】
[1] 田志刚,刘秋生.现代管理型会计信息系统的内部控制研究[J].会计研究,2008(10):23.
[2] 李明辉,何海,马夕奎.我国上市公司内部控制信息披露状况的分析[J].审计研究,2003(1):23.
[3] 张砚,杨雄胜.内部控制理论研究的回顾与展望[J].审计研究,2007(1):73.
[4] 杨玉凤.内部控制信息披露:国内外文献综述[J].审计研究,2007(7).
[5] 杨有红,汪薇.2006年沪市公司内部控制信息披露研究[J].会计研究,2008(3):53.
随着科学技术的不断发展,全世界已经进入大数据时代,大数据的应用给电力系统的运营带来了极大的便利和优势,但是随之而来的就是信息安全问题。本文主要介绍了电力大数据的应用特征,电力大数据给企业带来的好处以及存在的问题,同时详细阐述了安全防护技术与管理方法,如何加强信息安全管理,加强安全防护工作,这样才可以从根本上解决电力企业的信息安全问题。
【关键词】
电力大数据;信息安全;技术
1引言
大数据技术是未来信息社会发展的一个大方向,它为人类全面、深刻地认识世界、认识自身提供了新的方式、新视角,这在此前的时代是无法办到的,大数据是未来技术发展的一片蓝海。大量的数据处理无疑给现在的信息技术提出了新的挑战,而这一问题在信息化程度不断提高的电力企业中同样正在凸显出来。随着信息技术的推进和发展,电力企业的数据也会成爆炸式增长。大数据不是洪水猛兽,而是可供利用的信息资产。如何使用好大数据,充分活化企业数据资产,更好地服务电力事业发展和广大电力客户将成为摆在电力企业面前值得思考的课题。电力行业应当在大力推广信息化建设的同时,认识到数据背后的价值,搞好数据治理,并积极投入到数据挖掘与分析运用工作中,实践大数据战略,挖掘数据价值,为电力行业发、输、配、变、用电各环节建设,以及电力营销等业务发展提供科学指导,及有效解决方案,重视提升电力行业信息化系统辅助决策能力。
2电力大数据的应用特征
大数据本身具有4个典型特征:容量巨大;数据类型多样;价值密度低;处理速度快,对此业界已基本达成共识,但还没有统一的定义。电力大数据的应用主要是以业务应用为主,实现面向典型业务场景的模式创新及应用提升。电力大数据应用于大规划,主要是针对电网趋势进行预测,通过用电量预测、空间负荷预测以及多项指标关联分析,进行综合分析,从而支持规划设计;电力大数据应用于大检修,通过视频监测变电站,准确识别多种表计、刀闸、开关与隔离开关的位置、状态或读数,利用大数据技术,智能分析视频数据,从而代替传统的传感器;电力大数据应用于大运行,通过对电网调度的电网设备台账信息、设备拓扑信息、设备遥信遥测的相关信息的历史时刻查询,预测分析未来状态,为设备状态管理提供完善建议,为电网调度提供辅助决策;电力大数据应用于大营销,拓展面向智能化、互动化的服务能力,面向用电信息采集、计量、收费和服务资源,开展用电互动服务,实时反馈用电、购电信息,例如营销微信平台、营销手机、营销支付宝等。随着居民用电信息采集的表记终端数量达到上亿只,供电电压自动采集接入电压监测点达到上万个,输变电状态监测装置接入上万个,监测数据达到上千万条,电力大数据的应用也具有数据量大、数据类型多、实时性强等大数据的典型应用特征。
3电力大数据给企业带来的好处
电力大数据属于一项综合型数据信息,涵盖了企业的生产、运营、销售与服务等多个方面。大数据在电力企业的应用,有效提高了企业工作效率,并科学判断企业运营状况和未来发展方向,从而制定并调整科学的营销政策与方针,促进电力企业朝着正确的轨道运营与发展。正是因为高效率的决策、运营与服务,降低了企业经营成本。通过大数据的分析、监测功能,企业建立起同客户间的紧密联系,实现了对客户的在线服务,全面提升了客户服务水平,从而赢得了更广阔的市场空间,为企业发展创造了预期的经济效益。
4电力大数据给信息安全带来的风险
大数据背景下,信息数据的运行主要依赖于计算机网络系统,多方数据参与各方共享统一的互联网,势必会带来信息安全问题,这主要体现在:
4.1数据运行风险
大数据系统时刻需要承担数据存储、分析与处理等工作,需要管理者适时更新技术,缓解数据处理的负担。若技术更新不及时,就可能导致数据运行风险,如:数据丢失、信息失真等。其他的运行故障,如:软硬件兼容性差、系统异常及管理人员操作失误、设备更新不及时等也可能引发数据失真。
4.2黑客攻击风险
黑客攻击问题成为大数据时代信息安全的大问题,黑客攻击通常是专业性较强、有组织、有预谋的攻击,通过窃取大数据、非法获得信息等来进行非法交易,其破坏性较大,甚至可能造成整个大数据系统的瘫痪,为电力企业带来不可估量的经济损失。
4.3电力企业隐私的泄露
电力企业引入大数据系统的同时,需要将企业信息、员工信息以及其他方面的相关信息到网络数据平台中,信息一旦进入互联网就可能面临着泄密的危险,这些数据若得不到有效管控,很容易造成信息的泄露,从而引发多方面的风险,如:非法分子利用电力企业信息、个人隐私信息等从事非法交易、谋取暴利等,无疑会为企业的发展与运营带来风险。
5信息安全防护技术措施与管理方法
5.1信息安全防护技术措施
面对大数据给电力信息安全带来的风险,电力部门必须加大风险管控力度,采用先进的技术积极规避信息安全问题,其中隐私保护技术成为一项关键技术,它包括:加密与密钥管理技术、数字签名技术、身份认证技术等,不同的隐私保护技术发挥着不同的安全保护功能,并形成了一个有机的架构系统。
5.1.1数据扰乱技术
数据扰乱技术是一项重要的隐私保护技术,它主要是通过扰乱、替换、添加随机变量等来混淆视线,替代重要的数据信息,并对应生成不确定的信息数据,再开展相关的计算操作。
5.1.2加密与密匙技术
众多的数据信息安全保护技术中,加密与密匙技术成为被认可的标准数据保护技术,此技术依托于科学的加密算法与密钥安全,能够有效确保电力数据信息的安全。
5.1.3安全多方计算技术
该技术的运行原理为:在各个参与方之间进行协作计算函数,参与方的输入信息保密,不向彼此公开。遇到需要解决的问题时,设计一个函数,相互配合计算此函数,再引入安全多方计算模块来解决问题。此技术能够发挥对数据信息的安全保护功能,防止信息泄露,其隐私保护也有级别划分。
5.1.4数字签名技术
数字签名技术,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明,该技术可以确保信息传输的完整性。
5.1.5秘密共享技术
秘密共享,是将秘密分割存储的密码技术,目的是阻止秘密过于集中,以达到分散风险和容忍入侵的目的,该技术是信息安全和数据保密中的重要手段。
5.1.6身份认证与访问控制技术
所谓身份认证技术,就是对用户的身份信息进行验证与识别的过程,以防范非法用户的非法登录行为。最常见的身份认证技术主要包括:口令核对、识别用户生理特征等。认证成功后,再参照用户具体的身份信息、职能信息等来限制数据的访问范围。通过对各类访问的控制,最终实现对信息的安全保护目标.
5.2信息安全防护管理方法
大数据时代数据的安全防护不仅要依赖于技术,更重要的是要加强管理,具体应从风险管理系统建设、防护技术的运用和监管等做起。①创建并完善大数据信息安全管理系统。电力企业应认识到大数据安全管理工作的重要性,创建安全管理系统,培养信息技术人才,打造一支先进的信息安全管理工作队伍,及时更新大数据技术,加大平台建设力度,做好风险评估等多方面工作,打造一个标准的安全防护管理系统,发挥对信息数据的保护功能。②重视安全防护技术的研发。电力企业为了维护自身的信息安全,必须与时俱进,积极研发信息安全防护技术,加大在信息安全防护方面的投入,鼓励信息技术人员深入研究新技术,时刻保持自身信息防护技术的先进性,发挥技术措施的保护作用。③健全完善信息安全法律法规。解决数据安全的问题,需要政府加大对信息安全的重视程度,制定并实施信息安全方面的法律法规,利用法律法规来约束、控制一些不法行为,从而达到对信息安全的保护作用。
6结束语
大数据技术的深入发展与广泛运用,极大地推动着时代的发展与进步,各行各业进入信息数据新时代,大数据系统的运用有利有弊。电力行业作为关系国计民生的重要行业,需要信任并利用大数据技术,然而,信息安全问题成为时代关注的问题,应该加强数据信息安全管理,掌握先进的数据安全防护技术,提高信息防护水平,进而从整体上支持并促进电力企业的发展与进步。
作者: 单位:四川省电力公司运营监控中心
参考文献
[1]王倩,朱宏峰,刘天华.大数据安全的现状与发展[J].计算机与网络,2013(16):67~69.
信息系统审计的几个关注点:
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。在信息系统审计过程中以下几个方面值得关注:
一是关注企业的信息技术组织框架的健全与否。如是否建立企业cio(总信息师)机制和企业it治理机制,是否设立企业部门级的信息中心,企业的组织框架是否有利于企业信息化工作的开展、信息资源的有效利用和管理和企业信息化核心价值的提升。
二是关注企业信息化发展规划是否完整、可行。如企业信息化规划是否统筹安排,信息化规章制度是否全面,且制度的执行是否纳入企业的绩效考核以及对下属机构、控股公司的信息化建设是否统一管理。
三是关注企业信息系统运维管理。企业是否建立标准化、体系化、流程化的一体化运维管理体系。在当前企业一般对服务外包企业依赖性较大的情况下,是否建立对服务外包企业的准入、退出及运维服务监控与绩效评价机制。对外包服务导致的网络信息安全和重大事故的处理机制和出现事故后的技术和管理责任判定制度的完整性以及对服务外包企业的资质要求是否有相应规定等。
四是关注网络安全产品。如网络安全产品是否取得公安部门颁发的《销售许可证》,尤其是核心技术、关键步骤是否更多依赖国外品牌。
五是关注网络资源身份认证控制。企业网络资源访问的认证机制的安全度,是否对不同用户划分不同的安全级别并发放相应的安全证书。如内部网络是否采用ip-mac地址绑定技术来管理和控制客户端ip地址资源以及信息安全事故发生后的追查事故源头。
六是关注网络隔离及限制。如企业内网与互联网的有效隔离,内网vlan的访问限制,重要信息系统的访问控制等。
上述几个关注点,对于非计算机专业的审计人员而言,通过审计署计算机中级培训后完全能够胜任,且能够在较短时间内对企业信息组织管理控制和网络完全控制两个方面有一个较为系统全面的了解,便于进一步开展信息系统审计工作。
统计工作的盘点反思:
岁末年终,审计工作又几近度过忙碌的一年,毫无疑问铺面而来的将是各大新闻媒体“盘点2013”、“2013年岁末大盘点”、“走过2013” ……的文章。作为审计人员,我们也将进行审计工作总结,对一年的工作进行盘点反思。
反思,它使人更清晰地了解自己的行为和行为的后果,从而更理性、更有目的地开展行动。作为审计工作者,反思对于我们开展审计工作尤为重要。任何一个审计人员,不论其能力起点如何,都有必要通过多种途径对自己的审计行为进行反思。反思的目的在于提高我们的自我剖析意识,增强自我指导、自我批评的能力,并能冲破经验的束缚,不断对审计诊断、纠错等提出新的看法从而提高自身的专业水平。在审计工作中,具体应从以下方面进行反思、总结和提升。
一、反思是否具备服务意识。是否树立了“服务中心、服务大局”、“关注民生、服务百姓”、“依法审计、文明审计”的理念,是否把市委、市政府的重大决策和部署作为审计工作的重点,为领导科学决策服务。是否牢固树立民本审计观,切实把解决广[!]大人民群众最关心、最直接、最现实的问题作为审计工作关注的重点。
二、反思是否做到依法履责。审计质量是审计工作的生命线,审计工作者要反思在审计工作中,是否具备责任意识,坚持以法律为准绳,以事实为依据,准确判断是非,保证每项审计都符合法规要求,按照审计程序,担负起审计工作的服务与监督职能,为政府把好责任关、复合关和质量关。在细微工作中,是否客观公正做好本职工作,把自己的责任、努力、创新和服务的理念渗透进审计工作的始终,努力做到不怀私念、不畏权势、不贪财色、不讲情面,过好人情关、权势关和利益关,保持独立的情操和高尚的人格。是否从大局和宏观的角度进行综合分析和判断,从体制、机制和制度方面提出强化管理的意见和建议,从源头上遏止违纪违规问题的发生,更好地规范财政资金的真实、合法和效益,促进单位科学决策,提升单位管理水平。
三、反思是否具备创新精神。审计人员业务水平较高,才会对被审计单位的情况查深查透,提出切实可行的审计建议,纠正被审计单位的错误做法,促进单位规范管理和健康发展,从而被审计单位也会从心底敬畏和尊重审计。因此,审计人员在审计工作中要不断反思,自身的专业知识和技能是否符合岗位要求,能否适应复杂多变的审计形势。同时要通过反思,加强进取心,勤于学习、钻研业务,不断学习新的法规政策,提高自身综合素质,创新审计方法和手段,提升审计质量和效率,切忌满足现状、不思进取,甚至故意在被审计单位面前“班门弄斧”,破坏审计形象。
【关键词】煤矿企业;计算机网络;管理;安全措施
企业计算机系统是一个分级分散的大型城域性网络,网络管理不是局部性的工作,仅仅依赖于集中式的网管系统也难以对整个网络实施有效管理的。为确保整个网络的通畅,及时定位、快速修复网络故障,一定要对整个网络实行全面管理,掌握整个网络的运行状况。煤矿企业这样的地域宽广、用户量较大的大型计算机网络,进行分布式管理是较好的解决方案,分布式管理系统不但能提高管理效率,保障管理的安全可靠性,也有利于逻辑集中,关于协作关系的分布系统,使全局性的管理工作更明确、简单、实用。
1、网络管理
1.1网管中心的总体建设目标
(1)煤矿企业网管中心一般负责骨干网和核心服务器群的管理,并具备对下级网管中心进行监督指导的技术手段和工具。
(2)二级网管中心的主要职能是确保煤矿企业总部与工作单位的网络畅通和数据的完整接收与上传,并具备对三级网管中心进行监督指导的技术手段和工具,同时在网络管理上发挥承上启下的作用。
通过各级网管中心的分工协作,对整个企业计算机网络的配置、故障、性能、状态实现集中指导下的分级分布式管理。
1.2网络管理系统总体要求
(1)网络管理功能。全网管理中心设在煤矿企业总部网络中心,在二级下属单位设立二级网管中心,进行分布式管理。计算机网络管理软件可以实现对网络的拓扑管理、状态监控、性能管理、故障管理等;支持煤矿企业计算机网络信息系统跨地域的各分支机构局域网内部可能存在的IP地址重叠状况,还具有分布式管理的能力。
(2)服务器监控。在各级网管中心对计算机应用系统的服务器进行监控,主要包括服务器状态、重要的性能参数、进程状态、文件变化等内容,确保服务器的正常运行。在发生问题时,可以及时报警,并按其需要,对不同的管理员采用不同的报警方式,确保在最短时间内查出问题出现的原因。
(3)故障管理。在各级网管中心建立故障管理系统,收集各种管理功能产生的故障事件,并按照事件类型、事件源对事件进行分类显示。
(4)软件分发管理。在各级网管中心对煤矿企业计算机应用系统的服务器进行集中的软件分发管理,管理员在中心完成软件的打包、下发、确认等软件更新管理,以实现快速软件部署。
(5)资源管理。在各级网管中心对计算机应用系统的资源进行统计,主要包括软件、硬件配置信息。资源信息存放在关系数据库中,人员能运用资源管理系统进行资源查询。
(6)远程控制管理。在各级网管中心对各级应用系统的服务器进行远程控制,实现远程技术支持。通过远程控制,中心管理员能够获得远程机器的键盘、鼠标和屏幕,监视或控制其操作,并能与对方通信,远程下发给对方需要的文件,以实现对远程服务器的支持。远程控制管理要在广域网上工作。
(7)存储备份管理。在各级网管中心对主要应用系统的服务器进行数据备份,主要包括重要文件和应用数据,如数据库数据,以确保在发生故障时,能够进行数据恢复。
(8)决策分析管理。在各级网管中心对网络系统的管理信息进行汇总和相关的决策分析,以全面了解网络系统运行的状况,发现隐患,为提高管理水平提供决策信息。
1.3网络管理系统的功能
它主要包含网络配置管理、网络故障管理、网络性能管理、网络安全管理和网络自动化管理等功能。
2、网络安全措施
煤矿企业的信息网络系统在规划、设计和建设开发应用初期,一定要重视网络安全和信息安全,通常需要网络信息安全方面的技术人员及专业公司进行规划设计。煤矿企业网络与信息系统的安全必须解决以下几个问题:物理链路安全问题;网络平台安全问题;系统安全问题;应用安全问题;管理安全问题。
(1)网络和信息安全体系设计原则。即整体安全;有效管理;合理折中;责权分明;综合治理。
(2)网络和信息安全体系结构。此模型由安全服务、协议层次和系统单元三个层面描述,在每个层面上,均包含安全管理的内容。此模型在整体上表现为一个三线立体框架结构。
3、实施措施方法
在煤矿企业信息系统的安全实施中,需要综合使用备份技术(数据镜像、备份线路、备份设备)、VLAN技术、lP地址绑定、ACL技术、负载均衡技术、防火墙技术、NAT技术等构建企业网络安全防范系统。使用VPN技术,实现企业驻外机构和移动用户访问企业Intent资源的数据保密通信,构建企业内部保密通信子网。
(1)网络安全防范。①网络优化;②防火墙设备配置;③安全策略的实施。
(2)网络数据保密。①互联网、ADSL和拨号用户的VPN解决方案。②构建保密通信子网。
(3)入侵检测系统。选用金诺网安入侵检测系统,分别放置在SSN区域、中心交换机的监控目上,重点保护子网所在的VLAN网段。
(4)安全评估系统。在煤矿企业网络系统中,需要配备一套安全评估软件,定期对局域网内的服务器、网络设备、安全设备进行扫描,及时发现网络系统中存在的弱点和漏洞,并采取相应的补救措施。扫描内容主要包括服务器的设置合理与否、防火墙的规则配置状况、路由器的路由表是否能被轻易修改等。此安全评估软件能从不同角度对网络进行扫描,能安装在管理网段的一台机器上,也能安装在笔记本电脑上,从外部网络扫描内部网络。
4、煤矿企业数据中心系统
在煤矿企业信息化中,建立安全、可靠、高效的数据中心系统非常重要。
(1)主机系统。基于系统软件和可靠性等多方面的具体情况,数据中心服务器:一是数据库服务器,二是应用服务器。其中,数据库服务器由于要求高性能和高可靠性可由多台小型机组成集群系统,提供24小时不间断的数据存取服务;应用服务器要按各个应用系统需求不同,分别配置不同性能的PC服务器。
(2)操作系统平台。煤矿企业中心机房小型机使用UNIX操作系统;其他PC服务器-般可采用MS,Windows或LINUX服务器版操作系统,工作站及个人微机可使用几个桌面操作系统。
【关键词】信息系统 网络安全 风险管理
信息时代的到来带给我们无限的商机与财富、快捷与便利,但是依旧逃脱不了事物的两面性,信息系统的也存在着安全隐患与危险。越来越多的病毒,网络黑客在的盯着互联网这块肥肉,通过网络渠道肆意的入侵企业或个人的计算机,盗取重要信息资料,或者破坏信息系统令其崩溃、瘫痪,对企业和个人造成重大损失的同时,不法分子也可能会利用信息系统中的资料来进行谋利或做出有害于社会的事情。因此,在社会主义高度发展的今天,信息系统网络安全非常重要,能够预测其存在的风险并及时找出管理的方法显得刻不容缓。
1 信息系统网络安全问题现状分析
根据目前的情形,信息系统网络安全问题面临着很严重的挑战,其安全问题方面不容乐观。美国计算机小组的统计资料显示,从2005年后全球发生重大信息系统网络安全问题逐年翻倍增长,面临着很严峻的形式。信息系统是一个庞大复杂的大系统,一般由多种软件、接口、硬盘等等组件构成,由于技术和设计上存在不完善性,大量的漏洞和缺陷随之而来,这些弱点构成了信息系统的脆弱性。信息系统网络安全问题主要来自两大方面:首先是人们技术能力和创造能力的局限性,使得信息系统在网络上存在本身的弱点;其次是社会现实引起的争斗,商业竞争、个人报复等等犯罪行为从信息系统的弱点进行入手,来对信息系统网络进行攻击。
信息系统在不断的更新和完善,这是一个无止境的过程,纵观计算机与网络技术的发展,每一项新技术的推出,都会有随之而来的被“破解”,它的脆弱性会很快被显现出来,然后就是不断的进行完善。同样,信息系统也如此,设计者在设计和工程上存在错误或失误导致信息系统存在一定的缺陷,根据IBM研究人员的统计结果显示:计算机操作系统、数据库都是由几万行、几十万行程序代码所编写而成,平均一千行代码中就可能存在一个错误,那么,信息系统在互联网上的应用朝着互联互通的一体化方向发展,技术要求越高,其复杂性就越来越大,同时,导致其网络安全的脆弱性因素就越来越多。
美国微软公司推出的号称是迄今为止“视窗XP”系统不久,就被发现其系统中存在严重缺陷,微软公司也承认了此项事实,调差显示:黑客可以通过网络来控制并操控整个操作系统,进而窃取资料,销毁用户资料等等,计算机系统的脆弱性暴露无遗。那么,可想而知信息系统也岌岌可危,现在的信息系统网络安全问题无处不在,可能当你的计算机联网时,病毒就随之而来,且并不会被发现。病毒是互联网中普遍的存在,还有一种特殊的存在--黑客,黑客作为拥有主观能动性的存在,是信息空间中一种特殊文化现象的产生,他伴随着信息系统的发展而存在,并也随着信息系统的技术提高而提高,黑客扮演着阴暗面的角色,对全球信息系统的恶意攻击呈现着愈演愈烈的趋势。现在的信息系统网络能够检测出是否有黑客试图攻击,能够做到及时的发现和回击,但是,俗话说“道高一尺,魔高一丈”根据我国新华社的报道,中国近60%的单位信息系统网络受到国黑客攻击,甚至于政府部门的重要职能部门都被攻击过。
随着网络技术的发展,病毒和黑客的攻击也在不断的发展进步,黑客的攻击方法也在发生变化,不仅是黑客本身利用IP地址来欺骗,利用程序代码、分析源代码或者发掘应用程序的缺陷来攻击,而且还有黑客技术和病毒传播相结合的方式。
如上所述,信心系统网络安全的问题的现状一直都存在,技术人员在不断的创新,同时也在不断的与网络上的安全问题、阴暗面在做斗争,修补脆弱的一面,致力于提高信息系统网络安全。
2 信息系统网络安全风险分析
据木桶原理来看,信息系统网络的安全性取决于它本身最薄弱的环节,信息系统网络安全是保证其系统安全正常运行的基本保障,但是信息系统是庞大而复杂的,这就决定了保护信息系统的安全维护不是一蹴而就的事情。分析信息系统网络中存在的安全风险,便于尽快找到相应的解决措施。
(1)盗取和截获信息系统网络中的信息。如果信息系统本身的防火墙和安全措施、加密措施的强度不够,攻击者会通过互联网、电话线、电磁波辐射范围内所安装的装置、路由器上等可以利用的装置来截获传输中的数据信息;更有甚者通过对信息流量数据、通信次数的分析,来套取信息系统中的信息。因此,应运用加密技术对信息系统网络来进行加密处理以保证其机密性。
(2)篡改和假冒信息系统网络中的信息。
当攻击者破解了信息系统的程序,熟悉了信息系统的网络信息内容格式后,很有可能会利用技术和手段在信息系统传输信息的过程中,入侵其中并篡改信息内容,从而破坏信息的真实性和完整性。所以,要预防信息系统网络中的随意修改、生成、删除情况。
信息系统网络中还会出现假冒的信息,攻击者摸索到信息系统网络中数据规律或解密了机密信息后,可以假冒合法用户去发送假冒信息去欺骗用户,在公司中也可假冒领导发号施令,调阅机密文件等等。
(3)信息有效性得不到保障。互联网应用的发展,信息化社会随之到来,电子设备的信息传递,其有效性是值得关注的问题。由电子商务作为领军,以电子化形式取代了纸张形式的信息传递方式,其信息的有效性是开展业务的前提。信息系统中信息的有效性关系到企业、个人甚至国家,因此,对网络故障、应用程序代码、系统硬件、软件、病毒等潜在威胁加以预防和控制,以保证信息系统网络传递的信息是有效的,正确的。
以上三点是信息系统网络安全的风险分析,风险的存在不是一步就可以解决的问题,分析出了哪些方面存在风险,才可以更好的预防和控制。
3 信息系统网络风险管理的目的
信息系统网络的安全是人类面临的新问题,它普遍的存在人们的日常生活中,信息系统的复杂性和安全问题的突发性、不确定性使得安全问题的解决面临困难,没有完善的全面防范,防范的重点难以确定,具有高突发性的信息安全问题。积极寻求解决方法和手段是进行治理信息系统网络安全的务实选择。 在寻求解决方法、有效对策时,防范不足信息安全会失效;全面防范会造成财力、人力、物力的浪费,或是信息系统网络的可用性下降。因此,信息系统风险管理是要尽可能的安全却又不能太过于安全的,要从经济、技术的可行性上来有效的进行管理。
进入互联网时代以后,信息网络安全威胁不断增加,也在不断的迫使人们重新考虑合适的安全模式,信息系统网络安全观念是人们探索的新产物。信息安全问题也从过去单纯的应对威胁拓展到既要应对威胁,又要面对挑战。在当今复杂的信息系统环境下,风险总是存在的,无论你采取多么完美的信息系统安全手段,都难以彻底消除安全问题的威胁。
对信息系统网络进行风险管理,可以将攻击和破坏产生后果的程度限制在可承受范围内,风险管理是对信息系统的一个动态管理,是一个连续的过程,即在特定的安全方案下将风险降到最低以致于可以接受的过程,并非完全的消灭风险。风险可以不被一举消除,但是必须要控制在可接受范围内,有了对风险的管理,人们就不在被动的受威胁,完全可以在主动、防患于未然的常态下出击,从而使信息系统网络得到安全的保障。
信息系统网络的风险管理信息安全的新模式,如果运用好风险管理的手段,将会对信息系统起到很好的保障的作用。
4 信息系统网络安全管理方法
(1)增强安全防护体系。每一项信息系统都会有相应的安全防护体系,但是安全防护体系的脆弱性是网络攻击者的目标,现在的网络安全已不再是一个简单的概念,它与国家、企业、个人之间紧密相关, 例如对于企业信息系统网络安全而言,安全问题涉及到多层数据信息,几乎覆盖了企业信息的通信平台、网络平台、应用平台等系统单元,是企业网络至关重要的核心部分。
增强安全防护体系不仅仅是常人眼中的防火墙,还需要更全面的防护体系,来提供安全的服务。
(2)树立信息安全管理意识。现今信息系统的网络安全的使用者还是以电子商务的银行、证券、电信等为主,中小企业也随之使用,对网络安全的问题也日益重视。信息系统网络根据互联网的特点,是信息在人与人之间的支配,在造成信息破坏的因素中,认为失误的破坏率远远大于技术失误,所以要提高信息安全的管理意识,三分靠技术,七分靠管理,安全方面的技术和产品仅是为信息系统网络提供技术层次的手段,然而,能否利用好这些技术更大程度上取决人们对这些技术的应用。
因此,在信息系统网络安全中,必须加强用户的安全教育和安全意识的培养。
5 结语
计算机、互联网技术的迅速发展,加快了信息化社会的脚步,随着信息系统与国家、企业、个人关系日趋密切,也带来了信息安全的问题。信息系统网络安全是产业运营的基础,是实现信息资源保值升值的重要途径。针对信息系统网络风险与管理提出了相应的建议,以保障信息资源产业的安全运营和健康发展。
参考文献
[1]王璐.信息安全风险评估系统的研究与实现[D].2008.
[2]常颢.具有可实施性的信息安全风险管理体系[J].科技信息,2009(24)
[3]崇小蕾.信息安全风险自评估方法的研究及其辅助工具的设计与实现[D].2006.
[4]孙鹏鹏.信息安全风险评估系统的研究与开发[D].2006.
一、透明的时代:个人网络信息保护的严峻挑战
在万物互联、人机交互的大数据时代,数据成为经济社会发展的新动力,前所未有地改变了我们的生活。同时,这也是一个“透明的时代”,我们在使用高效快捷便利的互联网工具时,不可避免地将自己的信息提供给平台使用、存储,乃至与他人共享,既享用数据,也产生数据。同时,我们对“为改进服务,需要收集、分析您使用手机的情况”等类似的提示并不陌生,出于使用软件和服务的需要,通常都会同意授权,于是我们在平台面前就不再具有隐私,我们的所思所想、习惯偏好、行程变化、关系网络等都暴露给了企业,我们变成“透明”的了。在大数据技术环境里,用户虽然产生数据但却不保存数据,而是企业保存和调用,有的企业将用户数据视作自有资产,甚至排斥了用户权利,造成信息权利主体错位。此外,随着移动互联网、物联网等新型应用的发展,用户数据采集的内容更加具体和广泛,个人将更多的信息“拱手”交给服务商,如生活习惯、身体特征、健康数据等,一旦被恶意传播和使用,后果将非常严重。携程重大安全漏洞事件、山东省2016年高考考生信息被窃等,一次又一次敲响个人网络信息保护的警钟。近期美国信用机构Equifax爆出涉及1.4亿用户的数据泄露事件,也引起轩然大波,个人网络信息保护是个跨国度的课题。
二、个人网络信息保护涉及信息全程
个人网络信息的权益贯穿收集、传输、存储、使用和提供给第三方等过程,有意或无意的过失都可能在任何一个环节损害用户信息的隐私性、完整性和安全性。个人网络信息受到损害的成因主要有四:一是用户信息本身具有使用价值,可以为使用者带来可观的利益,使得一些机构和个人铤而走险非法获取和使用个 人信息。如利用用户信息进行诈骗,扰乱行业正常发展秩序,危害人民群众财产安全,令人深恶痛绝。二是企业信息安全意识淡薄,管理防范不足,使得不法之徒对用户信息的窃取和使用有可乘之机。2014年,违法分子利用申通K8速运管理系统的漏洞,侵入公司服务器非法获取3万余条个人信息,就是典型案例。三是个人信息保护意识不强,轻易提供个人信息,被不法之人利用。据网络调查,39%的人平时不太在意个人信息保护,31%的人了解个人信息泄露危害,63%的人只是了解一点。四是个人信息保护的法规与制度不够完善,对信息保护不力和侵犯信息行为的震慑不够。
三、保护个人网络信息安全需要多元参与
个人信息从采集到使用,涉及各类主体和多种技术应用,信息安全的保护是一项综合性、系统性、全方位的工程。需要坚持“社会共治”的思维,政府、企业、社会组织、广大网民都要共同参与,多方联动、齐抓共管、协同治理、良性互动,构建多主体共同参与的治理模式。个人网络信息保护离不开法律的规范和保障。《网络安全法》规定,“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”“不得收集与其提供的服务无关的个人信息”。但实际是,个体在互联网公司面前过于单薄脆弱,如果拒绝提供个人信息,就不能使用网络产品和服务,比如地图导航、网络购物、共享单车等,甚至天气信息、手电筒、图像处理、记事本之类的App都要求用户提供或者不阻拦其收集通讯录、手机设置、地理位置等信息。这就需要进一步制定个人信息保护专门性立法,陆续推出配套的有关实施细则、专门规章、行业标准等,尽最大可能完善具体规则,最大限度地对互联网公司行为作出规范,如不得以提供个人相关信息或授予相应权限作为使用新闻软件、娱乐App的前置条件等,明确强制提供使用的种类和范围,避免“人为刀俎我为鱼肉”的权益失衡。封堵信息保护漏洞,企业责无旁贷。从近年来发生的多起航空公司、酒店、快递公司等泄露用户个人信息事件来看,一些企业在收集与利用用户个人信息时没有尽到应有的保护职责。有必要强化企业保护个人信息的社会责任,不允许忽视用户信息保护而追求利润最大化。政府有关部门要借助《网络安全法》实施的契机,加强执法检查,完善信息保护制度,明确企业在信息收集、存储、利用阶段的规则规范。从企业来说,务必要提高防范意识,升级防范等级,做到事前预防、事中阻断、事后追溯,堵塞监管漏洞,加强行业规制,提高自律水平,实现源头防范。要以技术防范为主,加强技术研发,完善信息系统安全设备诸,确保系统中的用户个人信息得到更加稳妥的安全技术防护。提高用户意识保护网络信息安全。在“互联网+”时代,用户喜好决定企业生死,如果用户具有强烈的个人信息保护意识,自觉抵制侵害个人信息的企业,形成“保护用户信息就是保护市场”的理念,倒逼企业重视用户信息保护。要培养用户良好的信息保护意识,养成良好的上网习惯,有意识地控制个人信息的使用范围,妥善保管个人信息,谨慎提供敏感信息,最小化地填写网络信息。牢固树立网络信息“”观念,自己就是网络信息的所有者,企业必须遵循知情同意和最小化利用原则,对违反规定和约定的行为主动维权,迫使企业不敢侥幸。此外,还要加大侵害个人网络信息行为的打击和惩处力度。对侵犯用户个人网络信息的,既要加强公安、工商、通信等联合打击力度,坚持执法零容忍,形成震慑,也要加大惩处力度,提高违法成本。除了司法惩治、行政处罚,还要加大对用户民事维权的支持力度。借鉴“网购收货地”模式,建立便于用户维权的投诉、申诉、机制,探索集体诉讼模式,推动用户共同维权。互联网具有全球即时传播的特点,个人信息一旦在网上泄露就会失去控制,“覆水难收”。只有让用户觉得自己的信息是安全的,才会积极参与网络生活,大胆尝试互联网新服务,推动互联网产业健康发展。
作者:宋昌发 单位:广东省通信管理局
