導語：如何才能寫好一篇企業(yè)信息安全要求，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

由于電力企業(yè)以發(fā)電、經營電力為主，信息網絡安全問題并沒有得到足夠重視，管理方面存在重技術輕管理的問題，未建立完善的信息安全管理制度，面對上級檢查，簡單應付，腦子里輕視信息安全，信息安全觀念淡薄，這都會增加企業(yè)信息系統(tǒng)的安全風險。例如，缺少對企業(yè)職工的信息安全教育培訓、缺少定期對信息運維人員的安全技能的培訓等等，都會嚴重威脅企業(yè)信息網絡的安全。電力企業(yè)在針對信息系統(tǒng)的應用和信息網絡安全兩個方面時，更加注重的是前者。以此同時，可能部分職工還存在僥幸心理，忽視了網絡安全問題的重要性。

2電力企業(yè)網絡信息安全管理的有效策略

2.1注重建設基礎設施和管理運行環(huán)境

需要嚴格的管理配電室、信息、通信機房等關鍵性的基礎設施，對防水、防火、防盜裝置進行合理配備；對電力二次設備安全防護要做到，安全分區(qū)、網絡專用、橫向隔離、縱向認證，生產控制大區(qū)與信息管理大區(qū)要做好物理強隔離；機房需要安裝監(jiān)控報警設備和動環(huán)監(jiān)測系統(tǒng)；對桌面終端和主機等設備要做好補丁更新，控制權限；在網絡安全設備上要做好安全策略；做好流量監(jiān)測和行為監(jiān)測；此外，建立設備運行日志，對設備的運行狀況進行記錄，并且建立操作規(guī)程，從而保證信息系統(tǒng)運行的穩(wěn)定性和安全性。

2.2建立并完善信息安全管理制度

建立健全信息安全管理制度，注重安全管理，確保根據(jù)安全管理制度進行操作；做好安全防護記錄、制定應急響應預案、系統(tǒng)操作規(guī)程、用戶應用手冊、網絡安全規(guī)范、管理好口令、落實安全保密要求、人員分工、管理機房建設方案等制度，確保信息系統(tǒng)運行的穩(wěn)定性和安全性。由內至外，全面的貫徹，實施動態(tài)性地管理，持續(xù)提高信息安全、優(yōu)化網絡拓撲結構。

2.3注重信息安全反違章督察工作的開展

建立信息安全督察隊伍，明確職責，按照信息安全要求，開展定期的督察，發(fā)現(xiàn)問題，限期整改。電力企業(yè)要對企業(yè)信息系統(tǒng)軟硬件設施、容災系統(tǒng)、桌面終端、防護策略等進行定期督查，實現(xiàn)信息安全設備加固和更新，培養(yǎng)信息安全督查專家隊伍，交叉互查、發(fā)現(xiàn)并解決問題，提高信息系統(tǒng)的安全性。

2.4積極探索電力企業(yè)信息安全等級保護

信息安全等級保護指的是，對涉及國計民生的基礎信息網絡和重要信息系統(tǒng)按照其重要程度及實際安全需求，合理投入，分級進行保護，分類指導，分階段實施，保障信息系統(tǒng)安全。針對電力企業(yè)信息系統(tǒng)，應建立相應的信息安全等級保護機制。技術上分級落實物理安全、網絡安全、主機安全、應用安全、數(shù)據(jù)安全；管理上要建立對應的安全管理制度、設置安全管理機構、做好人員安全管理、系統(tǒng)建設、運維管理。

2.5明確員工信息安全責任，實現(xiàn)企業(yè)信息安全文化建設

針對企業(yè)的所有員工，關鍵是明確自己需要擔負的安全責任、熟悉有關的安全策略，理解一系列的信息安全要求。針對信息運維人員，需要對信息安全的管理策略進行有效地把握，明確安全評估的策略，準確使用維護技術安全操作；針對管理電力企業(yè)信息網絡安全的管理人員，關鍵在于對企業(yè)的信息安全管理制度、信息安全體系的組成、信息安全目標的把握和熟悉。以上述作為基礎，實現(xiàn)企業(yè)信息安全文化的建設。

2.6提升人員的信息安全意識

針對電力企業(yè)信息安全而言，員工信息安全意識的提高十分關鍵。企業(yè)需要組織一系列有關的信息安全知識培訓，培養(yǎng)員工應用電腦的良好習慣，比如不允許在企業(yè)的電腦上使用未加密的存儲介質，不應當將無關軟件或者是游戲軟件安裝在終端上，對桌面終端進行強口令設置，以及啟用安全組策略，備份關鍵性的文件等，從而使員工的信息安全意識逐步提高。

3結語

篇2

一、運用系統(tǒng)的思想和方法，查找信息安全管理的“短扳”

隨著企業(yè)信息化的快速發(fā)展，信息安全管理工作顯得相對滯后。管理思想和方法落后。過去基本上是參照電網安全管理一些傳統(tǒng)做法，沒有體現(xiàn)信息化特點和要求，越來越不適應信息系統(tǒng)的快速發(fā)展和變革；管理不夠全面。以往只考慮硬件、軟件，忽視了人、數(shù)據(jù)和文檔、服務、無形資產等重要對象，對外來人員也缺乏有效的識別管理；管理制度不夠系統(tǒng)。以前雖然制訂了較多的制度和標準，當信息化發(fā)展到一定程度，這些制度就顯得很單薄，就事論事的管理方式必然會產生安全管理的盲區(qū)，有些制度內容重復、交叉、不一致，有些制度不切實際，往往束之高閣；風險評估不夠科學。以往的信息風險評估不夠系統(tǒng)，主觀性過強，缺乏綜合平衡，抓不住重點，或過度保護，或產生管理死角，事后控制多，事前預控少，不能涵蓋信息系統(tǒng)的生命周期。

上述情形是企業(yè)在信息化建設中普遍感覺到的問題。隨著科學技術的進步，企業(yè)信息運行管理模式也發(fā)生了巨大的變化，為企業(yè)采用先進管理方式、建立信息安全管理體系打下了扎實的基礎。為此，嘉興電力局根據(jù)國際上信息安全管理的最佳實踐，結合供電企業(yè)的實際，從信息安全風險評估管理入手，貫徹ISO/IEC27001：**信息安全管理標準，建立了信息安全管理體系。通過體系有效運作，達到了供電企業(yè)信息安全管理“預控、能控、可控、在控”的目的。

二、從資產識別入手，搞好信息安全風險評估

按《信息安全風險評估控制程序》，對所有的資產進行了列表識別，并識別了資產的所有者。這些資產包括硬件與設施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務及人力資源。對每一項資產按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進行了量化賦值。在風險評估中，共識別資產2810項，其中確定的重要資產總數(shù)為312項，形成了《重要資產清單》。

圖1.《重要信息資產按部門分布圖》

對重要的信息資產，由資產的所有者（歸口管理部門）對其可能遭受的威脅及自身的薄弱點進行識別，并對威脅利用薄弱點發(fā)生安全事件的可能性以及潛在影響進行了賦值分析，確定風險等級和可接受程度，形成了《重要資產風險評估表》。針對每一項威脅、薄弱點，對資產造成的影響，考慮現(xiàn)有的控制措施，判定措施失效發(fā)生的可能性，計算風險等級，判斷風險為可接受的還是需要處理的。根據(jù)風險評估的結果，形成風險處理計劃。對于信息安全風險，應考慮控制措施與費用的平衡原則，選用適當?shù)拇胧?，確定是接受風險、避免風險，還是轉移風險。

嘉興電力局經過風險評估，確定了不可接受風險84項，其中硬件和設施52項，軟件和系統(tǒng)0項，文檔和數(shù)據(jù)8項，服務0項，人力資源24項。

根據(jù)風險評估的結果，對可接受風險，保持原有的控制措施，同時按ISO/IEC17799：**《信息技術-安全技術-信息安全管理實施細則》和系統(tǒng)應用的要求，對控制措施進行完善。針對不可接受風險，由各部門制定了相應的安全控制措施。制訂控制措施主要考慮了風險評估的結果、管理與技術上的可行性、法律法規(guī)的要求，以期達到風險降低的目的?？刂拼胧┑膶嵤谋苊怙L險、降低風險、轉移風險等方面，將風險降低到可接受的水平。

圖2.《各類不可接受風險按系統(tǒng)分布圖》。

三、按照ISO標準要求，建立信息安全管理體系

嘉興電力局在涉及生產、經營、服務和日常管理活動的信息系統(tǒng)，按ISO/IEC27001：**《信息技術-安全技術-信息安全管理體系要求》規(guī)定，參照ISO/IEC17799：**《信息技術-安全技術-信息安全管理實施細則》，建立信息安全管理體系，簡稱ISMS。確定信息安全管理體系覆蓋范圍，主要是根據(jù)業(yè)務特征、組織結構、地理位置、資產分布情況，涉及電力生產、營銷、服務和日常管理的40個重要信息系統(tǒng)。信息安全管理的方針是：“全面、完整、務實、有效?！?/p>

為實現(xiàn)信息安全管理體系方針，嘉興電力局在各層次建立完整的信息安全管理組織機構，確定信息安全目標和控制措施，明確信息安全的管理職責；識別并滿足適用法律、法規(guī)和相關方信息安全要求；定期進行信息安全風險評估，采取糾正預防措施，保證體系的持續(xù)有效性；采用先進有效的設施和技術，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共享；對全體員工進行持續(xù)的信息安全教育和培訓，不斷增強員工的信息安全意識和能力；制定并保持完善的業(yè)務連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。按照信息安全管理方針的要求，制訂的信息安全管理目標是：2級以上信息安全事件為0；不發(fā)生信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密；不發(fā)生導致供電中斷的信息事故；減少有關的法律風險。

嘉興電力局根據(jù)風險評估的結果、企業(yè)的系統(tǒng)現(xiàn)狀和管理現(xiàn)狀，按照ISO/IEC27001：**標準要求，整合原有的企業(yè)信息安全管理標準、規(guī)章制度，形成了科學、嚴密的信息安全管理體系文件框架，包括信息安全管理手冊；《信息安全風險評估管理程序》、《業(yè)務持續(xù)性管理程序》等53個程序文件，制定了16個支撐性作業(yè)文件。

四、運用過程方法，實施信息安全管理體系

在信息安全管理過程中，重點是抓好人員安全、風險評估、信息安全事件、保持業(yè)務持續(xù)性等重要環(huán)節(jié)，采取明確職責、動態(tài)檢查、嚴格考核等措施，使信息安全走上常態(tài)管理之路。

圖3：信息安全管理體系實施過程

重視信息系統(tǒng)安全管理。因為信息系統(tǒng)支撐著企業(yè)的各項業(yè)務，信息安全管理體系實施涵蓋信息系統(tǒng)的生命周期，表現(xiàn)在信息系統(tǒng)的軟（硬）件購置、設備安裝、軟件開發(fā)和系統(tǒng)測試、上線、系統(tǒng)（權限）變更等方面，嚴格執(zhí)行體系的相關控制程序。

強化人員安全管理。在勞動合同、崗位說明書中，明確員工信息安全職責。特殊崗位的人員規(guī)定特別的安全責任，對信息關鍵崗位實行備案制度。對崗位調動或離職人員，及時調整安全職責和權限。定期對員工進行信息安全教育和技能培訓、比武、考試。

篇3

【關鍵詞】信息化 量化 管理 流程

【中圖分類號】G647【文獻標識碼】A【文章編號】1672-5158（2013）02-0349-02

近年來，大部分企業(yè)信息化建設已初具規(guī)模，信息化基礎建設基本到位，信息系統(tǒng)滲透到企業(yè)生產經營的各個環(huán)節(jié)。在新的形勢下，如何使信息系統(tǒng)更好、更穩(wěn)定、更安全運行，提高管理效率，落實有效益的信息化，是企業(yè)信息化工作的迫切需求。要實現(xiàn)這一目標，必然要管理與服務相結合，要求企業(yè)建立以國際行業(yè)標準為依據(jù)的較為完善的IT管控體系，提升IT運維服務水平。

企業(yè)加強IT管控，目的就是建立一個類似“輪流分粥，分者后取”的規(guī)則，明確區(qū)分母公司與各子分公司（含控股）、業(yè)務部門與IT部門和IT部門內部各崗位的責任、權力、利益。責、權、利分清后，對IT部門的約束力、執(zhí)行力等會有很大的提高，其中IT管控對于組織工作的健康有序開展起到了重要作用。

一、IT管控對于IT工作的重要意義

1.IT管控能保障IT組織的穩(wěn)定

有效的IT管控對IT組織的控制最主要是職責分離、合理設崗。要求完善人員管理與控制，能清晰定義IT部門相關崗位，能明顯一個人能同時給予多少相關權限，從而清楚規(guī)劃IT部門必要的崗位人數(shù)，最大程度保障IT組織的穩(wěn)定。

2.IT管控能確保IT工作的有序

IT管控必然要求將建立完善的IT流程體系，制定完備服務目錄。信息化部門利用服務臺統(tǒng)一接收各種流程輸入的表單，根據(jù)服務級別協(xié)議（SLA）和操作級別協(xié)議（OLA），對相關需求或故障，安排不同的技術力量，進行針對性的解決，從而確保了IT工作的有序。

3.IT管控能促使IT工作強度的均勻

信息化日常運維工作量不均衡是因為有較多的突發(fā)事件，如信息基礎設施故障和信息系統(tǒng)故障等。要使運維工作量比較均衡，就要降低突發(fā)事件概率，使忙的時間少下來。IT管控能就是要讓“閑”的時間忙起來，要求IT部門各崗位在日常中加強監(jiān)測，重視巡檢，加固系統(tǒng)，防患于未然；同時加強學習和演練，提高處置各種事件的能力。這樣，一旦發(fā)生突發(fā)事件，也可以有條不紊地進行處置，實現(xiàn)信息化日常運維工作的“削峰平谷”，強度均勻。

4.IT管控能確保IT風險的可控

IT風險主要包括IT技術風險和IT項目投資風險。隨著業(yè)務系統(tǒng)訪問、網絡應用行為日益頻繁，網絡被攻擊、數(shù)據(jù)被篡改、設備被入侵和信息被泄密等IT技術風險的壓力也日益增大。IT管控提供管理程序、技術和保障措施，確保信息技術服務的可用性，能適當?shù)胤烙徽敳僮?、蓄意攻擊或自然災害，并從這些故障中盡快恢復；確保拒絕未經授權的訪問。IT管控體系要求IT項目投資必須事先經業(yè)務部門和IT部門共同把關，再報公司管理委員會決策，這樣能確保IT項目既符合業(yè)務需求，又符合IT技術規(guī)范，降低了IT投資的風險。萬物皆有規(guī)律，IT風險防范也是有規(guī)律可以把握，良好的IT管控能很好控制IT風險。

二、IT管控在企業(yè)信息化中的運用

從行業(yè)信息化發(fā)展戰(zhàn)略出發(fā)，從企業(yè)自身發(fā)展戰(zhàn)略出發(fā)，作為信息化建設到一定規(guī)模的企業(yè)，必然要求企業(yè)信息化建設的重點則從技術轉向管理，要求信息化工作必須精益求精，加強管控，夯實基礎，強化運作。

構建完整的IT管控體系是一項復雜的系統(tǒng)工程，涉及到人、硬件、軟件，以及管理層面的IT服務管理、風險管理和成本管理多個方面。因此，必須從更高的角度，更寬的視野，更新的理念去構建有效的IT管控體系。

1.選擇合適的IT管控模型

現(xiàn)今企業(yè)IT管控體系的國際標準，主要有COBIT、ITIL、ISO20000等，選擇構建一個既滿足企業(yè)的業(yè)務需要，又能夠符合國際標準的IT管控體系，是信息化工作的成功保障。就如筆者，結合企業(yè)實際、IT部門現(xiàn)有實際運作流程和知識框架，選擇以ITIL主要標準，采取聯(lián)邦制IT決策方式作為筆者企業(yè)的IT管控模型。

（一）IT部門內部運作的管控

要建立制度化、流程化工作機制，精益求精，穩(wěn)步推進。根據(jù)ITIL/ ITSM（IT服務管理）的標準，繼續(xù)完善IT服務目錄，對各子服務定義不同的SLA（服務級別協(xié)議），建立服務臺，統(tǒng)一受理所有的流程輸入，建立IT服務管理體系，體系應包含事件管理、問題管理、變更管理、配置管理、管理和服務級別管理。根據(jù)IT技術標準和行業(yè)具體技術規(guī)范要求，建立先進、穩(wěn)定、安全的信息通訊技術基礎設施（主要包括機房和信息化網絡），并完善巡檢、監(jiān)控等基礎設施管理機制。

（二）企業(yè)信息化運作的管控

首先是加強對信息化項目的管控，必須堅持統(tǒng)一性、系統(tǒng)性、規(guī)范性、安全性原則，必須堅持“事先技術把關，事中實施監(jiān)督，事后運行維護”的原則。即項目涉及的IT部門的責任或義務的，IT部門必須管控到位。事先對項目立項相關技術規(guī)范進行把關，確保項目符合行業(yè)相關技術規(guī)范；事中對項目供應商（軟件開發(fā)商）安裝實施等服務進行嚴格監(jiān)督，確保項目在技術上能順利開展，保障設備（系統(tǒng)）能正常上線運行；事后必須將設備或系統(tǒng)運維維護好，確保設備（系統(tǒng)）安全、穩(wěn)定運行。其次是加強對信息化資產的管控。加強對計算機設備調控，優(yōu)化各終端計算機的配置。強化IT部門對軟件資產的歸口管理職能，堅決貫徹落實軟件正版化相關要求，統(tǒng)一采購正版成品軟件，規(guī)范信息系統(tǒng)的登記、領用、運維和報廢。規(guī)范IT設備維修保養(yǎng)機制，延長IT設備使用壽命。第三是加強對信息系統(tǒng)用戶的管控。建立操作上崗證機制，加強培訓，提升其規(guī)范操作水平，采取檢查監(jiān)督等措施，促使其能正確操作，規(guī)范操作。

（三）信息安全的管控

信息安全管控體系是一項復雜的系統(tǒng)工程，必須采用系統(tǒng)工程的觀點和方法，分析信息安全問題及具體措施。結合企業(yè)實際，就是要嚴格貫徹相關信息安全要求，做好信息化安全規(guī)劃，業(yè)系統(tǒng)信息安全規(guī)劃，建立覆蓋日常維護，變更管理，安全監(jiān)控的信息安全體系，將信息安全審計作為信息安全保障中的一項重要工作。建立三個長效保障機制：構建信息安全文化氛圍、信息安全獎懲機制和內部信息安全審計機制，以確保信息安全管控能夠有效長久運行。

2.利用合適先進工具軟件強化IT管控

對信息化日常運作層的管控，必須利用合適先進的工具軟件對信息化工作流程、設施和信息模型進行全面管控。引進先進的IT運維管理系統(tǒng)，建立IT服務管理監(jiān)控平臺，管理IT服務所涉及的各個流程，監(jiān)控信息相關基礎設施和中間件等。利用現(xiàn)有或將要購買的信息管理軟件，如桌面管理和軟件系統(tǒng)，綜合網管系統(tǒng)，接入管理系統(tǒng)和數(shù)字認證（CA）等，建立信息系統(tǒng)綜合管理系統(tǒng)，管理整個信息系統(tǒng)的設備、軟件等資產，管理桌面、應用等功能單元的運行，以及管理整個設備網絡和網絡上接入的各種系統(tǒng)的正常運行。

追根溯源，建立有效的IT管控體系，最終目的是為了提升IT部門服務水平，提高用戶的滿意度，發(fā)展有效益的企業(yè)信息化。隨著行業(yè)信息化的發(fā)展和實踐的深入，新技術的不斷應用，企業(yè)的信息化需求不斷變化，IT部門只有建立基于企業(yè)治理上的IT管控體系，才能適應不斷變化發(fā)展的信息化，為企業(yè)企業(yè)發(fā)展提供重要的信息支撐。

參考文獻

[1] [荷蘭]JanvanBon主編，章斌譯：基于ITIL的IT服務管理基礎篇[M].北京：清華大學出版社，2009.

[2] [荷蘭]JanvanBon主編，劉向暉譯：IT管理框架[M].北京：清華大學出版社，2009.

[3] 王仰富，劉繼承：中國企業(yè)的IT治理之道[M].北京：清華大學出版社，2010.

篇4

為了保障企業(yè)的信息安全，必須建立一個企業(yè)信息安全體系。信息安全體系包含信息安全策略、信息安全組織、信息安全技術和信息安全建設與運行四部分內容（如圖1所示），四者既有機結合、又相互支撐。企業(yè)的信息安全體系運作就是企業(yè)根據(jù)安全策略，由安全組織（或人員）以安全技術作為工具和手段進行操作，來維持企業(yè)網絡的安全運行，從而使網絡安全可靠。

安全體系的普遍問題

當前大多數(shù)企業(yè)的信息安全體系普遍存在以下四方面的問題：

信息安全策略方面：許多企業(yè)沒有統(tǒng)一的安全運行體系；公司的安全策略沒有正式的審批和過程，沒有公司的行政力度進行保障，使得安全策略在企業(yè)內的執(zhí)行缺乏保障；缺乏規(guī)范的機制定期對信息安全策略、標準制度進行評審和修訂。

信息安全組織方面：缺乏完整、有效、責權統(tǒng)一的專門的信息安全組織，只是配有少量的兼職安全人員。信息安全工作沒有明確的責任歸屬，工作的開展與落實有困難；缺少信息安全專業(yè)人員，缺乏相應的安全知識和技能，安全培訓不足；缺乏對于全員的信息安全意識教育，桌面系統(tǒng)用戶的安全意識薄弱。

信息安全技術方面：用戶認證強度不夠；應用系統(tǒng)安全功能與強度不足；缺乏有效的信息系統(tǒng)安全監(jiān)控與審計手段；系統(tǒng)配置存在安全隱患；網絡安全域劃分不夠清晰，網絡安全技術的采用缺乏一致性。

信息安全建設與運行方面：沒有建立起完善的IT項目建設過程的安全管理機制，應用系統(tǒng)的開發(fā)沒有同步考慮信息安全的要求，存在信息安全方面的缺陷；日常的安全運維工作常處于被動防御狀態(tài)；缺乏明確的檢查和處罰機制，多數(shù)企業(yè)在運維管理方面缺乏統(tǒng)一的安全要求和檢查；缺乏應急響應機制；對已有安全設施的維護、升級和管理不到位。

面對以上種種問題，企業(yè)必須認真考慮下列問題: 企業(yè)如何建立信息安全策略體系？企業(yè)信息安全組織如何建立？企業(yè)信息安全技術是否有效可靠？企業(yè)信息安全建設與運行是否有完整的制度保障？要解決這些問題，企業(yè)應充分利用成熟的信息安全理論成果，設計出兼顧整體性、具有可操作性，并且融策略、組織、運行和技術為一體的信息安全保障體系，保障企業(yè)信息系統(tǒng)的安全。

信息安全策略體系

信息安全策略體系規(guī)劃為三層架構，包括信息安全策略、信息安全標準及規(guī)范、信息安全操作流程和細則（如圖2所示），涉及的要素包括信息管理和技術兩個方面，覆蓋信息系統(tǒng)的物理層、網絡層、系統(tǒng)層、應用層四個層面。

技術安全體系

在IAARC信息系統(tǒng)安全技術模型中，包含了身份認證、內容安全、訪問控制、響應恢復和審核跟蹤五個部分，當前主要的信息安全技術或產品都可以歸結到上述五類安全技術要素（如圖3所示）。

充分利用信息安全的技術手段(包括身份認證、訪問管理、內容安全、審核跟蹤和響應恢復等五種保護措施)，同時，結合信息安全所保護的對象層次，以及目前主流的信息安全產品和信息安全技術，完善企業(yè)信息安全技術體系框架。

整個企業(yè)信息安全技術體系的總體框架如圖4所示：

物理層安全

主要包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等。

網絡層安全

要建立注重安全域劃分和安全架構的設計?？梢愿鶕?jù)信任程度、受威脅的級別、需要保護的級別和安全需求，將網絡從總體上分成四個安全域，即公共區(qū)、半安全區(qū)、普通安全區(qū)和核心安全區(qū)。針對不同的安全區(qū)域采用不同的安全防范手段。

安全邊界的防護。邊界是不同網絡安全區(qū)域之間的分界線，是不同網絡安全區(qū)域間數(shù)據(jù)流動的必經之路。安全區(qū)域的邊界防護是根據(jù)不同安全區(qū)域的安全需要，采取相應的安全技術防護手段，制定合理的安全訪問控制策略，控制低安全區(qū)域的數(shù)據(jù)向高安全區(qū)域流動。

針對VPN的接入安全控制。用戶遠程VPN接入主要用于員工出差時訪問內部網絡的需求和各企業(yè)小規(guī)模分支機構訪問內部網的需求。VPN（虛擬專用網）是為通過一個公用網絡（通常是互聯(lián)網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。

網絡準入控制。網絡準入控制系統(tǒng)是通過對網絡用戶合法身份的驗證以及對網絡終端計算機安全狀態(tài)的檢測和評估，決定是否允許這臺網絡終端計算機接入企業(yè)網絡中。若不符合制定的準入策略，將其放入隔離區(qū)以修復，或僅允許其有限地訪問資源。降低非法用戶隨意接入企業(yè)網和不安全的計算機終端接入企業(yè)網對網絡安全帶來的潛在威脅。

做好網絡設備登錄認證。建立集中的網絡設備登錄認證系統(tǒng)，用于對網絡設備維護用戶的集中管理，認證用戶的身份，決定其是否可以登錄到網絡設備;通過定義不同級別的用戶，授權他們能執(zhí)行的不同操作，記錄并審計用戶的登錄和操作。

系統(tǒng)層安全

做好系統(tǒng)主機的入侵檢測，針對系統(tǒng)主機的網絡訪問進行監(jiān)測，及時發(fā)現(xiàn)外來入侵和系統(tǒng)級用戶的非法操作行為；要做好系統(tǒng)主機的訪問控制，系統(tǒng)主機訪問控制提供給系統(tǒng)安全管理員最有效的方法，從用戶登錄安全、訪問控制安全、系統(tǒng)日志安全等方面加入安全機制;要做好系統(tǒng)主機的安全加固，定期對服務器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進行安全配置和加固，在不影響業(yè)務處理能力的前提下對系統(tǒng)的配置進行安全優(yōu)化，以提高系統(tǒng)自身的抗攻擊性，消除安全漏洞，降低安全風險；做好主機的安全審計工作，提供全面的安全審計日志和數(shù)據(jù)，提升主機審計保護能力，對審計數(shù)據(jù)的訪問進行嚴格控制，加強對審計數(shù)據(jù)的完整性保護。

應用層安全

隨著各種各樣的系統(tǒng)應用不斷深化和普及，一些應用系統(tǒng)安全問題不斷凸現(xiàn)出來。為了最大限度及時規(guī)避因應用安全問題帶來的威脅，應著力抓好六個方面的工作：建立應用安全基礎設施；健全應用安全相關規(guī)范；改進應用開發(fā)過程；組織關鍵應用安全性測試；加強應用安全相關人員管理；制定應用安全文檔及應急預案。

終端層安全

加強終端電腦的安全管理。終端安全指對接入企業(yè)網絡的終端設備（主要是臺式計算機、筆記本電腦和其他移動設備等）進行的安全管理。內容包括終端安全策略、防病毒、防入侵、防火墻、軟硬件資產管理、終端補丁管理、終端配置管理、終端準入控制以及法規(guī)遵從等內容。

備份與恢復

備份與恢復是基于安全事件發(fā)生后保證災難所造成的損失在一個可以接受的范圍內、并使災難得到有效恢復的安全機制，包括數(shù)據(jù)級、應用級和業(yè)務級三個層次。參照國際標準Share78中定義的容災系統(tǒng)層次劃分，對不同等級的信息系統(tǒng)建立不同的備份與恢復機制。主要工作包括：開發(fā)容災計劃，通過對不同等級的信息系統(tǒng)容災需求分析，確定容災等級、RTO\RPO等容災指標、備份策略、恢復性測試要求等，設計容災方案；備份與恢復基礎設施的建設，包括建立異地災難恢復系統(tǒng)和重要數(shù)據(jù)的本地備份設施。

信息安全組織

信息安全組織的角色與職責要界定清晰。信息管理層進行適當?shù)穆氊焺澐?，能合理阻止關鍵流程的破壞。同時應加強全員的信息安全意識教育，提高員工整體信息安全意識。建立安全組織與定義安全職責是密不可分的兩項工作，組織與職責的清晰定義可以有效地促進信息安全各項工作的進行，包括信息安全教育與培訓以及人員安全。企業(yè)要建立的信息安全組織要包含決策、管理、執(zhí)行與監(jiān)管四個層面。

信息安全教育與培訓要覆蓋公司各個層面的人員，提升整個企業(yè)人員安全的水平，同時人員安全的相關工作在制度和機制方面為教育與培訓提供有效保障。

篇5

【關鍵詞】 信息系統(tǒng)； 審計； 審計目標

2007年2月國務院國有資產監(jiān)督管理委員會和國務院信息化工作辦聯(lián)合印發(fā)了《關于加強中央企業(yè)信息化工作的指導意見》，加快了國有企業(yè)信息化建設的步伐。國有企業(yè)審計是中國特色社會主義國家審計的重要組成部分。由于企業(yè)與公共部門在內部控制、管理和治理方面的差異，導致了企業(yè)信息系統(tǒng)審計與公共部門信息系統(tǒng)審計的不同特點。

一、增強國有企業(yè)信息系統(tǒng)的可信性

審計機關的審計目標取決于法定要求。根據(jù)《中華人民共和國審計法》的規(guī)定，審計機關對國有企業(yè)財務收支的真實、合法、效益，依法進行審計監(jiān)督。顯然，真實性是國有企業(yè)審計的目標之一。信息系統(tǒng)審計是國有企業(yè)審計的重要組成部分。國有企業(yè)審計的總體目標，決定了國有企業(yè)信息系統(tǒng)審計的目標。國有企業(yè)審計的真實性目標，必然要求國有企業(yè)信息系統(tǒng)提供真實性的信息，這意味著，審計機關的國有企業(yè)信息系統(tǒng)審計必須把真實性作為審計目標之一。

根據(jù)相關法律的規(guī)定，注冊會計師也可以對國有企業(yè)進行審計。根據(jù)我國公司法第165條的規(guī)定，“公司應當在每一會計年度終了時編制財務會計報告，并依法經會計師事務所審計?！倍?，2008年10月通過的《中華人民共和國企業(yè)國有資產法》第六十七條明確規(guī)定，“履行出資人職責的機構根據(jù)需要，可以委托會計師事務所對國有獨資企業(yè)、國有獨資公司的年度財務會計報告進行審計，或者通過國有資本控股公司的股東會、股東大會決議，由國有資本控股公司聘請會計師事務所對公司的年度財務會計報告進行審計，維護出資人權益?！贝蠹抑溃罁?jù)注冊會計師執(zhí)業(yè)審計準則的規(guī)定，會計師事務所對企業(yè)財務報表審計的目的是“提高財務報表預期使用者對財務報表的信賴程度?！雹龠@說明，注冊會計師國有企業(yè)審計的目標是要求財務報表提供的信息具有可信性。注冊會計師所審計的國有企業(yè)財務報表中的信息是由國有企業(yè)的信息系統(tǒng)產生形成的，因而必須對信息系統(tǒng)進行審計。注冊會計師對國有企業(yè)財務報表審計的可信性目標，決定了注冊會計師對國有企業(yè)信息系統(tǒng)審計的可信性目標。

同樣的審計對象，不同的審計主體，導致了兩種不同的國有企業(yè)信息系統(tǒng)審計目標。從上述分析不難發(fā)現(xiàn)，無論是審計機關還是注冊會計師對國有企業(yè)進行審計，其中對企業(yè)信息系統(tǒng)的審計都是不可或缺的重要組成部分。根據(jù)審計法的規(guī)定，審計機關對國有企業(yè)信息系統(tǒng)審計的目標是真實性。而根據(jù)注冊會計師執(zhí)業(yè)審計準則，對國有企業(yè)信息系統(tǒng)審計的目標是可信性。那么，什么是真實性？什么是可信性？這兩種目標之間有什么樣的聯(lián)系和區(qū)別？為什么說審計機關應當把增強國有企業(yè)信息系統(tǒng)可信性作為審計目標呢？

（一）真實性與可信性的基本涵義

我國審計法強調真實性，根據(jù)2010年9月頒布的中華人民共和國國家審計準則（以下簡稱國家審計準則）的規(guī)定，“真實性是指反映財政收支、財務收支以及有關經濟活動的信息與實際情況相符合的程度?！蹦敲矗裁词钦鎸嵭阅?？真實性只是對財政財務收支及有關經濟活動信息質量的最低要求。如果會計信息是真實的，但是不夠完整或者披露不及時，仍然不能滿足信息使用者的需要，甚至會導致錯誤的投資決策。事實上，就真實性本身而言，由于會計估計、核算方法等因素的影響，會計信息的真實性也只是相對的，而不是絕對的。所以，把真實性作為審計目標，具有一定的局限性。所謂可信性，從國際審計準則第200號（ISA200）可以看出，當編制的財務報表公允表達（presented fairly）或真實公允（true and fair）時，它才是可信性的。從字面上講，公允（fair）或公平的要求，強調了財務報表各種使用者之間的利益平衡。從理論上講，公允表達或真實公允的概念比真實性概念具有更多的內涵，涉及會計適當性、適當披露及審計責任等概念。在國際審計準則第200號（ISA200）中，公允表達是指財務報表是否在所有重大方面按照適用的財務報告框架編制，“公允”還意味著超出財務報告框架所要求披露范圍的必要性，以及在極端情況下必須偏離財務報告框架的可能性。適用的財務報告框架，主要是指適用的會計法律法規(guī)、會計準則、會計制度等。大家知道，我國會計法強調“保證會計資料真實、完整”。根據(jù)會計法的要求，我國的財務報表不僅要具有真實性，而且還要具有完整性?？偟膩碚f，可信性并不否認真實性，真實性是可信性的必要前提之一，但真實的并不一定是可信的，可信性的內涵更加豐富，真實性是對財務信息質量的最低要求，可信性反映了對財務信息質量更高的要求。

（二）可信性目標反映了注冊會計師審計發(fā)展的新階段

一般認為，受社會需求變化、自身技術手段及審計風險等因素的影響，注冊會計師審計目標的發(fā)展演變至今經歷了四個階段，即20世紀30年代之前的查錯糾弊階段、30年代中期至80年代驗證會計報表真實公允階段、80年代至90年代中期真實公允與查錯糾弊并重階段，及90年代后期以來的增強信息可信性階段。雖然同為注冊會計師審計的目標，然而從歷史發(fā)展演變的角度看，真實性只是注冊會計師審計的早期目標，當前注冊會計師審計準則中的可信性目標反映了注冊會計師審計的最新發(fā)展，是更高級發(fā)展階段的目標。

（三）可信性目標比“真實公允”具有更加廣泛的適用性

20世紀90年代后期，傳統(tǒng)的財務報表審計成為更為廣義的概念――“保證業(yè)務”（Assurance Service）的一個組成部分。我國注冊會計師協(xié)會譯為“鑒證業(yè)務”②。2004年國際會計師聯(lián)合會了《國際保證業(yè)務框架》，2005年1月1日生效。2006年我國制定了《中國注冊會計師鑒證業(yè)務基本準則》，2007年1月1日起施行。鑒證業(yè)務是指注冊會計師對鑒證對象信息提出結論，以增強除責任方之外的預期使用者對鑒證對象信息信任程度的業(yè)務。鑒證對象與鑒證對象信息具有多種形式，主要包括：當鑒證對象為財務業(yè)績或狀況時（如歷史或預測的財務狀況、經營成果和現(xiàn)金流量），鑒證對象信息是財務報表；當鑒證對象為非財務業(yè)績或狀況時（如企業(yè)的運營情況），鑒證對象信息可能是反映效率或效果的關鍵指標；當鑒證對象為物理特征時（如設備的生產能力），鑒證對象信息可能是有關鑒證對象物理特征的說明文件；當鑒證對象為某種系統(tǒng)和過程時（如企業(yè)的內部控制或信息技術系統(tǒng)），鑒證對象信息可能是關于其有效性的認定；當鑒證對象為一種行為時（如遵守法律法規(guī)的情況），鑒證對象信息可能是對法律法規(guī)遵守情況或執(zhí)行效果的聲明。不難看出，傳統(tǒng)的財務報表審計只是鑒證業(yè)務中的一種。鑒證標準隨著鑒證對象的不同，也從財務報表審計中按照適用的財務報表編制框架，如編制財務報表所使用的會計準則和相關會計制度，擴展到單位內部制定的行為準則、績效水平等方面。從其定義看，鑒證業(yè)務的目的在于增強除責任方之外的預期使用者對鑒證對象信息的信任程度。真實公允目標是針對財務報表審計的審計目標，可信性目標在概念外延上具有更加廣泛的適用性?？尚判阅繕瞬粌H適用于對財務信息的可信性，而且還適用于非財務信息（績效信息）的可信性。對財務報表來說，如果它是真實公允的，即在所有重大方面是按照適用的財務報表框架編制的，它就是可信性；對于其他鑒證信息來說，如果它是符合適用的鑒證標準，就是可信性的。企業(yè)內部的信息系統(tǒng)，現(xiàn)在已不僅僅是財務信息系統(tǒng)，還包括各種業(yè)務和管理信息系統(tǒng)。與此同時，為滿足企業(yè)的業(yè)務需求，信息系統(tǒng)所提供的信息也不局限于財務信息，而且還包括許多非財務信息。所以，在國有企業(yè)信息系統(tǒng)審計中，把可信性作為國有企業(yè)信息系統(tǒng)審計的目標比真實性目標更加符合企業(yè)信息化發(fā)展的客觀要求。

（四）可信性目標反映了審計理論的深化和發(fā)展

可信性不是一個孤立的術語，它是新審計理論（或一組新的相互聯(lián)系的審計概念）中的一個關鍵性概念。隨著注冊會計師的業(yè)務從傳統(tǒng)的財務報表審計發(fā)展到鑒證業(yè)務，傳統(tǒng)的審計理論也得到了深化和發(fā)展。大家知道，審計三方關系是指審計人、被審計人、審計授權或委托人之間的關系。傳統(tǒng)的受托責任論，即審計動因論，是建立在傳統(tǒng)的審計三方關系之上的。然而，在我國現(xiàn)行的《注冊會計師鑒證業(yè)務基本準則》中給出了一種新的審計三方關系，即注冊會計師、責任方和預期使用者。在新的審計三方關系中，被審計人與審計授權或委托人之間責任關系的含義更加豐富，除傳統(tǒng)的受托責任關系外還有其他種類不帶委托性質的責任關系③。在新的審計三方關系中，預期使用者應包括企業(yè)所有的利益相關者，除了傳統(tǒng)受托責任關系中的股東外，還應包括經營者、員工、顧客、供應商、債權人、潛在的投資者、監(jiān)管層、競爭者等。聘請注冊會計師的通常是預期使用者或其代表，但也可能是責任方。責任方、預期使用者和注冊會計師三方之間的關系，可以看作是信息提供者、信息使用者和信息可信性的保證者之間的關系④。增強信息的可信性，實際上是減少了信息提供者與預期使用者之間的信息不對稱，鑒于預期使用者的廣泛性，在市場經濟條件下，將有利于完善市場機制，提高市場資源配置效率，從而拓展了審計的社會功能?？尚判圆皇且粋€空洞的概念，鑒證對象信息是否具有可信性，需要執(zhí)行一定的業(yè)務程序。審計師在收集證據(jù)的基礎上，依據(jù)一定的標準，檢查責任方的鑒證對象信息在所有重大方面是否符合適當?shù)臉藴屎?，才能為鑒證對象信息的可信性提供一定程度的保證，從而提供給預期使用者。鑒證業(yè)務的保證程度被細分為合理保證和有限保證，鑒證對象信息被劃分為財務信息和非財務信息，其中財務信息被進一步細分為歷史財務信息和預測性財務信息?？尚判愿拍钍沁@些新審計理論中的關鍵性概念之一，相比之下，真實性概念在新的審計理論中卻沒有相應的理論地位。

（五）可信性目標反映了國家審計的發(fā)展趨勢

在世界審計組織（INTOSAI）的道德準則（Code of Ethics）中，強調了信賴（trust）、信任（confidence）、信譽（credibility）對于審計機關的至關重要性。在南非審計署1911至2011年百年紀念的紀念品和網站首頁上有一句格言：“Auditing to build public confidence”，即“審計旨在建立公共信任”。我國審計署2011年7月15日印發(fā)的《審計署關于深化經濟責任審計工作的指導意見》中提出，要確保經濟責任審計結果的可信、可靠和可用。劉家義審計長提出，國家審計是國家治理的一個組成部分?？鬃釉唬骸白闶常惚?，民信之矣”，“民無信不立”，說明了信任、守信在國家治理中的重要性。我們知道，“誠信友愛”是構建社會主義和諧社會的基本要求之一。國家審計可以增強政府的公信力，增強整個社會的誠信。從國家治理的角度看，可信性目標比真實性目標更好地體現(xiàn)了國家審計在國家治理中的作用。

經過上述真實性和可信性兩種審計目標含義的對比，不難發(fā)現(xiàn)，雖然真實性目標是國有企業(yè)審計的傳統(tǒng)目標之一，但是可信性比真實性的涵義更為豐富，可信性目標中不但包含了真實性目標，而且可信性目標要求信息系統(tǒng)提供更高質量的信息。兩種目標都對信息系統(tǒng)提供的信息質量提出了要求，國家審計對信息質量的要求不應低于注冊會計師審計。因此，筆者認為，盡管現(xiàn)行的審計法規(guī)定了國有企業(yè)信息系統(tǒng)審計的真實性目標，但是，從理論上講以及從未來發(fā)展趨勢看，審計機關應當選擇可信性作為國有企業(yè)信息系統(tǒng)審計的目標，即國有企業(yè)信息系統(tǒng)審計應當促進企業(yè)信息系統(tǒng)提供可信的信息。

二、促進國有企業(yè)信息系統(tǒng)的遵循性

最高審計機關國際組織（INTOSAI）在審計基本原則（ISSAI-100）中，把政府審計業(yè)務分為兩大類，即合規(guī)審計（regularity audit）和績效審計（performance audit），并制定了相應的審計執(zhí)行指南，即財務審計執(zhí)行指南（Implementation Guidelines on Financial Audit）、遵循審計執(zhí)行指南（implementation guidelines on compliance audit）和績效審計執(zhí)行指南（Implementation Guidelines on Performance Audit）。在這個準則指南框架中，合規(guī)性審計包括了財務審計和遵循性審計。遵循性審計是指對公共部門實體的活動是否與相關法律法規(guī)及授權要求相一致的審計。在《國際審計準則第250號――財務報表審計中對法律法規(guī)的考慮》（ISA250）中，非遵循（non-compliance），是指被審計單位不履行法律法規(guī)責任或者違反法律法規(guī)的犯罪，故意地或者非故意地，與執(zhí)行的法律或法規(guī)對立的行為。在COSO內部控制框架中，遵循性（compliance）作為內部控制的目標之一，是指符合適用的法律法規(guī)。由此看來，在上述準則指南中，遵循性，就是我國國家審計中的合法性。但是，在本文中，作為國有企業(yè)信息系統(tǒng)審計的目標之一，遵循性與合法性不同。

為滿足業(yè)務需求，對信息系統(tǒng)提供的信息有一般性的要求，在IT治理框架COBIT4.1中，這些要求也被稱之為信息標準（information criteria）。遵循性（compliance）作為其中的標準之一，是指“涉及業(yè)務流程與所需遵守的法律、法規(guī)及合同約定之間的符合程度的屬性，即外部的強制要求和內部政策的遵循性?！雹菰诒疚闹校裱宰鳛閲衅髽I(yè)信息系統(tǒng)審計的目標之一，采用COBIT4.1中遵循性的概念，即國有企業(yè)信息系統(tǒng)的設計、建設、運行和監(jiān)控不僅要符合來自企業(yè)外部的強制性要求（合法性），而且還應符合國有企業(yè)內部制定的各種規(guī)定的要求。

我國審計機關對國有企業(yè)的財務收支的真實、合法和效益，依法進行審計監(jiān)督。合法性是國有企業(yè)審計的審計目標之一。作為國有企業(yè)審計的重要內容，信息系統(tǒng)審計應當促進國有企業(yè)信息系統(tǒng)的合法性。那么，為什么我們要把國有企業(yè)內部制定的各種規(guī)定同時也納入國有企業(yè)信息系統(tǒng)審計的目標呢？企業(yè)內部如何制定關于其信息系統(tǒng)的規(guī)定是企業(yè)自己的事情，似乎審計機關不應干預，但是，效益性也是國有企業(yè)審計的審計目標之一。當信息系統(tǒng)不符合國有企業(yè)某些內部規(guī)定的要求時就會影響到企業(yè)效益，這些內部規(guī)定，如內部控制、管理和治理等，也應納入國有企業(yè)信息系統(tǒng)審計的遵循性目標范圍。

三、改善國有企業(yè)信息系統(tǒng)的績效性

績效性目標是企業(yè)信息化不斷發(fā)展的產物。我國企業(yè)信息化建設已經發(fā)展到了關注績效性的階段?？冃阅繕艘彩荌T管理和IT治理的重要內容。IT管理和IT治理的國際標準或良好實務，為開展信息系統(tǒng)績效審計提供了審計標準。

（一）企業(yè)信息系統(tǒng)績效性的概念

當企業(yè)信息化發(fā)展水平達到一定程度后，信息系統(tǒng)的績效問題逐漸引起了人們的關注。在企業(yè)信息化的早期階段，信息系統(tǒng)主要應用于企業(yè)的財務會計領域，這時人們對信息系統(tǒng)關注的焦點主要是信息系統(tǒng)的可信性和遵循性問題，相應的措施主要集中在內部控制方面，強調信息系統(tǒng)的一般控制和應用控制。隨著企業(yè)信息化水平的不斷提高，信息系統(tǒng)在企業(yè)中的應用范圍逐漸從財務會計領域擴展到整個業(yè)務領域和管理領域，與此同時，信息系統(tǒng)的建設投入和運行成本顯著提高。這時人們發(fā)現(xiàn)，大量的信息化投入并不一定能夠帶來預期的收益，而且還帶來巨大的潛在風險，個別企業(yè)甚至因高投入造成利潤下降或財務危機，有的企業(yè)因業(yè)務流程改造滯后，還會導致管理混亂。在這種情況下，人們對信息系統(tǒng)關注的焦點，逐漸從“投入”轉向“產出”，從技術和內部控制問題轉向管理和治理問題，在企業(yè)內部出現(xiàn)了專門的IT管理部門，IT管理和IT治理逐漸從企業(yè)的一般管理和治理中獨立出來，而“績效”是描述信息系統(tǒng)投入產出、管理和治理的核心概念。

信息系統(tǒng)的績效性是指利用IT資源提供企業(yè)信息服務的經濟性、效率性和效果性。為它的利益相關者提供價值是企業(yè)存在的基本前提。企業(yè)信息系統(tǒng)的目的在于利用IT資源，通過IT流程，提供企業(yè)信息服務，以滿足業(yè)務需求。信息系統(tǒng)要實現(xiàn)的績效目標必須與企業(yè)的業(yè)務需求或業(yè)務目標相一致。

（二）績效性目標的可行性

從我國企業(yè)信息化發(fā)展階段看，目前信息系統(tǒng)的績效問題已經成為關注的焦點。2011年2月，工信部電子一所和用友軟件股份有限公司聯(lián)合了《2010年中國企業(yè)信息化指數(shù)調研報告》。該報告將中國企業(yè)的信息技術應用分為四個階段，分別為基礎應用階段、關鍵應用階段、擴展整合及優(yōu)化升級應用階段以及戰(zhàn)略應用階段，如圖1所示。

該報告認為，目前我國企業(yè)信息化總體上處于由基礎應用和關鍵應用向擴展整合與優(yōu)化升級過渡階段。報告的主要結論之一是，2010年“信息技術應用范圍的變化主要體現(xiàn)在應用廣度和深度兩方面，企業(yè)基本完成了信息技術在各業(yè)務領域的應用覆蓋，已逐漸開始深度關注企業(yè)業(yè)務發(fā)展需求，著力提升信息技術的應用價值?！碧岣咝畔⑾到y(tǒng)的績效，也已經成為我國企業(yè)信息化深度發(fā)展的方向。把績效性作為國有企業(yè)信息系統(tǒng)審計的目標，符合我國企業(yè)信息化發(fā)展的現(xiàn)狀，在現(xiàn)實中具有可行性。

（三）績效性是IT管理和IT治理的重要內容

IT管理目的在于如何降低成本，以更好的彈性及更快的響應速度，向組織內外部顧客提供高質量的IT服務，提供顧客的滿意度。IT管理的目標就是要追求信息系統(tǒng)的績效性，即經濟性、效率性和效果性。

信息系統(tǒng)的績效性也是IT治理追求的目標之一。在IT治理國際標準ISO/IEC38500（組織的信息技術治理）中規(guī)定了“績效”原則，即IT應適合于支持組織的目的并提供服務，服務等級和服務質量應滿足當前和將來的業(yè)務要求。IT治理框架COBIT4.1有四個基本特征：以業(yè)務為中心、以流程為導向、以控制為基礎、以績效測評為驅動。在該框架中，績效測評是IT治理的關鍵，并且指出，“多項調研已經表明，IT成本、價值和風險管理缺乏透明是驅動IT治理最重要的一個因素。相對于其他關注的領域，提高透明度主要通過績效測評來實現(xiàn)?！雹?/p>

（四）績效審計的參照標準

IT管理和IT治理從企業(yè)管理和治理中獨立出來，為開展單獨立項的信息系統(tǒng)績效審計創(chuàng)造了條件。就像企業(yè)審計要關注被審計單位的管理和治理那樣，企業(yè)信息系統(tǒng)審計要關注被審計單位的IT管理和IT治理情況。IT管理和IT治理的國際標準或良好實務，則為開展信息系統(tǒng)績效審計提供了審計標準，也可以作為向被審計單位提出改進建議的參照標準。常見的IT管理和IT治理國際標準有：ISO/1EC20000（信息技術――服務管理）、ITIL（信息技術基礎庫）、ISO/IEC38500（組織的信息技術治理）、COBIT4.1（信息及其相關技術控制目標）等。

四、維護國有企業(yè)信息系統(tǒng)的安全性

維護國有企業(yè)信息系統(tǒng)的安全，對于維護國家經濟安全至關重要。隨著信息技術的發(fā)展和應用，人們對信息系統(tǒng)安全性的認識也不斷深化。正確理解信息安全的涵義，對于開展信息系統(tǒng)安全性審計具有重要的意義。

（一）安全性目標的重要性

根據(jù)1994年我國頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》，維護計算機信息系統(tǒng)的安全性，就是要保障計算機及其相關的和配套的設備、設施（含網絡）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行⑦。從這里可以看出，信息系統(tǒng)的安全包括：信息本身的安全、系統(tǒng)設施設備的安全和系統(tǒng)運行環(huán)境的安全三個層面。就三個層面的關系而言，信息是核心，系統(tǒng)設施設備及其運行環(huán)境是保障，信息本身的安全是目的，系統(tǒng)設施設備的安全及其運行環(huán)境的安全是手段。

國有企業(yè)信息系統(tǒng)安全是國家信息安全和經濟安全的重要組成部分。為了保護中央企業(yè)信息系統(tǒng)的安全穩(wěn)定運行，2010年12月，公安部和國務院國有資產監(jiān)督管理委員會聯(lián)合頒布了《關于進一步推進中央企業(yè)信息安全等級保護工作的通知》。據(jù)統(tǒng)計，截至2010年5月，已有89.6%的中央企業(yè)開展了信息安全等級保護工作，中央企業(yè)總計建成投入使用的信息系統(tǒng)有16 092個，已定級14 539個，占比90.3%；應向公安機關備案的系統(tǒng)（二級及以上）有11 370個，已備案8 113個，占應備案系統(tǒng)的71.4%；列入2010年定級計劃的有1 598個。中央企業(yè)在公安機關備案的信息系統(tǒng)總數(shù)約占全國信息系統(tǒng)備案總數(shù)的21%，第三、四級重要系統(tǒng)約占全國重要信息系統(tǒng)備案總數(shù)的30%⑧。這些數(shù)據(jù)表明，國有企業(yè)信息系統(tǒng)已成為國家信息安全的重要組成部分?！吨腥A人民共和國企業(yè)國有資產法》第七條規(guī)定，“國家采取措施，推動國有資本向關系國民經濟命脈和國家安全的重要行業(yè)和關鍵領域集中，優(yōu)化國有經濟布局和結構，推進國有企業(yè)的改革和發(fā)展，提高國有經濟的整體素質，增強國有經濟的控制力、影響力。”由于國有企業(yè)集中在國民經濟命脈和國家安全的重要行業(yè)和關鍵領域，如電信、電力、石油、石化等重要行業(yè)，其重要信息系統(tǒng)已成為國家關鍵基礎設施，是國民經濟命脈之命脈，保護國有企業(yè)信息系統(tǒng)的安全穩(wěn)定運行，對于維護國家經濟安全和社會穩(wěn)定具有重要的意義。

（二）信息安全概念的演變

根據(jù)我國計算機信息系統(tǒng)安全保護條例中的定義，計算機信息系統(tǒng)的安全性，包括信息本身的安全、系統(tǒng)設施設備的安全和支撐環(huán)境的安全。其中，信息本身的安全，即信息安全，是信息系統(tǒng)安全的核心和目的。那么，究竟什么是信息安全呢？

人們對信息系統(tǒng)安全性的認識經歷了一個不斷深化的發(fā)展過程。20世紀80年代美國國防部制定的《可信計算機系統(tǒng)評估準則TCSEC》把保密性當作信息安全的重點。20世紀90年代初由英、法、德、荷四國制定的《信息技術安全評估準則ITSEC》開始把完整性、可用性與保密性作為同等重要的因素。自此，信息安全的概念，即信息的保密性、完整性和可用性，逐漸被普遍接受。在2002年的國際標準ISO/IEC17799：2000《信息技術――信息安全管理業(yè)務規(guī)范》中明確規(guī)定，信息安全，是指保護：“保密性（confidentiality），即確保信息只能夠由獲得授權的人訪問；完整性（integrity），即保護信息的正確性和完整性以及信息處理方法；可用性（availability），即保證經授權的用戶可以訪問到信息，如果需要的話，還能夠訪問相關資產?！比欢?，在2005年的該國際標準修訂版即ISO/IEC17799：2005中，信息安全的定義，包括了七種安全特性：信息的保密性（confidentiality）、完整性（integrity）、可用性（availability）及其他屬性，如真實性（authenticity）、責任性（accountability）、不可抵賴性（non-repudiation）、可靠性（reliability）等，而且，這種修訂后的信息安全定義，被2007年的國際標準ISO/IEC27001（《信息安全管理體系――規(guī)范與使用指南》）引用。在學術界，有人認為，信息安全的特性還應進一步包括可控性（controllability）、可預測性（predictability）、可審計性（auditability）、遵循性（compliance）等。

隨著信息技術的發(fā)展與應用，信息安全的內涵越來越豐富，從最初的信息保密性發(fā)展到保密性、完整性和可用性，進而又發(fā)展到相關的真實性、責任性、抗抵賴性、可靠性等。相應地，對企業(yè)信息安全的考慮，也從最初關注企業(yè)信息安全技術層面，發(fā)展到關注企業(yè)信息安全控制、管理和治理等層面。

（三）正確理解信息安全涵義需要注意的幾個問題

1.信息安全與信息保密不同。從信息安全概念的涵義可以看出，信息保密與信息安全是兩個不同的概念，信息安全比信息保密的涵義更加豐富。盡管我國新修訂的保密法對信息系統(tǒng)的保密問題作出了規(guī)定，但是保密法不能代替信息安全法。目前，我國對信息安全的立法仍然比較滯后，尚無專門的信息安全法。信息安全法是國家信息安全保障體系不可或缺的組成部分。

2.微觀信息安全與宏觀信息安全的聯(lián)系。企業(yè)信息系統(tǒng)的安全離不開系統(tǒng)運行環(huán)境的支撐，系統(tǒng)環(huán)境包括物理環(huán)境和社會環(huán)境。從社會環(huán)境看，主要是指有關信息安全法律法規(guī)、安全意識、人才培養(yǎng)等。這就是說，微觀層面單個組織的信息系統(tǒng)安全，還離不開宏觀層面國家信息安全保障體系的構建。與此同時，微觀層面的信息安全是基礎，沒有微觀層面的信息安全，也就沒有宏觀層面的信息安全。

3.授權管理的重要性。信息安全的概念有三個核心涵義：保密性、完整性和可用性。這三個核心涵義都涉及一個共同的要素，即“授權”。保密性意味著只有獲得授權才能訪問；完整性意味著沒有授權不得對信息進行刪除或修改；可用性意味著擁有授權者隨時可以使用。這表明，授權管理是信息安全管理的一項關鍵內容。信息系統(tǒng)是一種人機系統(tǒng)，授權管理主要涉及對人員行為的安全管理。

4.安全性目標與遵循性、績效性、可信性目標的聯(lián)系。從信息安全的涵義可以看出，信息系統(tǒng)的安全性目標不同于其遵循性、績效性和可信性目標，但是，安全性與它們之間又是相互聯(lián)系的。首先，安全性必須滿足遵循性的要求，信息系統(tǒng)的設計、運行、使用和管理可能要置于法律規(guī)定的和合同約定的安全要求的約束之下，特別是各種信息安全法律法規(guī)、保密法，以及知識產權、個人隱私權方面的法律法規(guī)；其次，信息安全沒有絕對的安全，所有的信息安全都是風險可接受條件下的安全，高水平的安全保護需要大量的投入成本，因而需要在成本、收益、風險和安全之間進行權衡，即安全性與績效性的聯(lián)系；最后，在信息安全技術層面，可信計算技術是信息安全技術的一個重要研究領域，從而表明安全性與可信性之間也有內在的聯(lián)系。

筆者認為，目前國際上制定的有關信息安全等級評估、信息安全風險評估、信息安全管理體系等方面的國際標準，無論是在理論概念還是在操作實務方面，對于我國審計機關開展信息系統(tǒng)審計都具有重要的借鑒價值。這些國際標準或良好實務可以作為審計的參照標準，同時也可以作為審計機關向被審計單位提出改進信息系統(tǒng)安全性建議的依據(jù)。同時，在對國有企業(yè)信息系統(tǒng)的安全性進行審計時，還要立足我國實際，由于我國國有企業(yè)信息系統(tǒng)是國民經濟命脈之命脈，事關國家經濟安全和社會穩(wěn)定，在重視企業(yè)本身信息系統(tǒng)安全的同時，還應當從宏觀上揭示國有企業(yè)信息系統(tǒng)的安全風險，維護國家經濟安全。

最后應當指出的是，在審計實踐中，根據(jù)具體情況，單個審計項目可以選取上述可信性、績效性和安全性目標中的一個或多個作為審計目標。

篇6

1信息安全總體設計及實踐

1.1網絡安全要求及問題

1.1.1信息安全的最終實現(xiàn)目標為應對市場競爭，提高企業(yè)生產經營效率，滿足企業(yè)信息化建設的需要，汽車制造業(yè)應借鑒國內先進的信息技術和安全管理經驗，建立一套企業(yè)信息化辦公網絡，并逐步加強網絡傳輸?shù)陌踩ㄔO，和網絡安全管理手段。以保障企業(yè)信息化的穩(wěn)定運行。2.1.2系統(tǒng)和應用的脆弱性企業(yè)信息化辦公網絡建成后為企業(yè)經營和管理帶來了極大的便利，生產經營效率明顯提高。但同時引發(fā)了很多的技術問題：跨省專線費用太高，且鏈路發(fā)生故障之后的報修、排故、恢復程序極其繁雜，嚴重影響效率；無法滿足移動辦公的需求，無法滿足上下游供應商的使用需求；與互聯(lián)網連接時常受到攻擊導致業(yè)務中斷；內部人員未經授權許可訪問互聯(lián)網導致病毒攻擊內部辦公網等等。

1.1.3常見網絡風險通過系統(tǒng)的網絡安全技術學習，汽車制造業(yè)信息化人員應掌握企業(yè)網絡信息化建設過程中大量常見的網絡風險和防范手段：Backdo（各種后門和遠程控制軟件，例如BO、Netbus等）、BruteFce（各種瀏覽器相關的弱點，例如自動執(zhí)行移動代碼等）、CGI-BIN（各種CGI-BIN相關的弱點，例如PHF、wwwboard等）、Daemons（服務器中各種監(jiān)守程序產生弱點，例如amd,nntp等）、DCOM（微軟公司DCOM控件產生的相關弱點）、DNS（DNS服務相關弱點，例如BIND8.2遠程溢出弱點）、E-mail（各種郵件服務器、客戶端相關的安全弱點，例如Qpopper的遠程溢出弱點）、Firewalls（各種防火墻及其產生的安全弱點，例如GauntletFirewallCyberPatrol內容檢查弱點）、FTP（各種FTP服務器和客戶端相關程序或配置弱點，例如WuFTPDsiteexec弱點）、InfmationGathering（各種由于協(xié)議或配置不當造成信息泄露弱點，例如finger或rstat的輸出）、InstantMessaging（當前各種即時消息傳遞工具相關弱點，例如OICQ、IRC、Yahoomessager等相關弱點）、LDAP（LDAP服務相關的安全弱點）、Netwk（網絡層協(xié)議處理不當引發(fā)的安全弱點，例如LAND攻擊弱點）、NetwkSniffers（各種竊聽器相關的安全弱點，例如NetXRay訪問控制弱點）、NFS（NFS服務相關的安全弱點，例如NFS信任關系弱點）、NIS（NIS服務相關的安全弱點，例如知道NIS域名后可以猜測口令弱點）、NTRelated（微軟公司NT操作系統(tǒng)相關安全弱點）、ProtocolSpoofing（協(xié)議中存在的安全弱點，例如TCP序列號猜測弱點）、Router/Switch（各種路由器、交換機等網絡設備中存在的安全弱點，例如CiscoIOS10.3存在拒絕服務攻擊弱點）、RPC（RPC（SUN公司遠程過程調用）服務相關的弱點，例如rpc.ttdbserver遠程緩沖區(qū)溢出弱點）、Shares（文件共享服務相關的安全弱點，BIOS/Samba等相關弱點，例如Samba緩沖區(qū)溢出弱點）、SNMP（SNMP協(xié)議相關的安全弱點，例如利用“public”進行SNMP_SET操作）、UDP（UDP協(xié)議相關弱點，例如允許端口掃描等）、WebScan（Web服務器相關安全弱點，例如IISASPdot弱點）、XWindows（X服務相關安全弱點）、Management（安全管理類漏洞）等。

1.2網絡安全加固及應用拓展改造

針對上述網絡風險，汽車制造業(yè)應加強自身的網絡安全建設，強化網絡安全管理。重點進行了四個方面的技術改造：防火墻（VPN）、上網行為管理、入侵防御及桌面管理系統(tǒng)。

1.2.1訪問控制——防火墻部署防火墻之后，內部辦公網絡的IP地址與MAC地址捆綁，授權上網用戶實名制管理，根據(jù)工作需要申請和審批上網時間和訪問權限。內部VLAN劃分，把不同部門用VLAN劃分為不同的域以區(qū)分管理。重要數(shù)據(jù)庫服務器和存儲設備與辦公網隔離。嚴格管理和控制內外網對數(shù)據(jù)庫的訪問。

1.2.2遠程用戶加密訪問——VPN為保障企業(yè)運營效率，根據(jù)不同的工作人員分配不同的權限，可以在出差途中或家中處理緊急公務。并細化配置其VPN功能對企業(yè)內網的訪問權限，可以實現(xiàn)工作需要，保障企業(yè)內部流程效率

1.2.3內網用戶網絡行為監(jiān)控——上網行為管理系統(tǒng)通過對進程的審計可以了解到當前服務器的運行情況以及客戶端的使用情況，對非法的行為可以限制非法進程（包括病毒進程、聊天軟件進程等）的運行，非法軟件的安全，隨意的修改IP地址而導致的IP沖突等；內網用戶的網絡行為監(jiān)控，可以極大程度地避免企業(yè)內網的安全風險。

1.2.4外網攻擊的防護措施——入侵防御與防病毒采用入侵防御系統(tǒng)，具備7層檢索比對入侵防御設備需要的高速芯片，同時具備硬件BYPASS功能和自動報警功能，當設備自身出現(xiàn)故障時不能中斷網絡運行，最大限度地避免單點故障對網絡穩(wěn)定運行的風險。

1.2.5桌面端管理通過桌面端管理套件核心服務器管理全網所有客戶端。所有的管理數(shù)據(jù)統(tǒng)一保存在核心服務器后臺的數(shù)據(jù)庫中。通過角色管理可以使用管理套件控制臺直接查看AD架構，而無需在管理套件中復制AD角色。同時可以分配管理套件權限給AD組或OU(ganizationunits)，在分配權限時支持繼承的概念。

2結論

篇7

大數(shù)據(jù)是大小已經已經超出了經典的數(shù)據(jù)庫軟件的信息收集、存儲、管理與分析的數(shù)據(jù)集合，隨著其在企業(yè)中應用技術的漸趨成熟和海量數(shù)據(jù)的優(yōu)勢突出，在互聯(lián)網發(fā)展中成為了企業(yè)經營發(fā)展的新興工具。會計信息化是是會計職能在信息技術上的應用，在信息化社會下對財務部門管理提出了會計信息化的必然要求。數(shù)據(jù)工具的出現(xiàn)和在會計信息化領域的使用幫助企業(yè)在財務數(shù)據(jù)的處理和分析中能夠獲取橫縱兩方面更多的對比數(shù)據(jù)，幫助財務部門對比同期企業(yè)發(fā)展狀況了解自身的企業(yè)發(fā)展水平、進度以及財務信息。伴隨會計信息化在我國的全面推開和企業(yè)占比不斷上升的發(fā)展勢頭下，互聯(lián)網、云計算和大數(shù)據(jù)在各個行業(yè)和經濟生活方面的應用也讓會計信息化的應用在前行和升級換代。傳統(tǒng)的會計信息化在企業(yè)追求更高的財務數(shù)據(jù)對比和財務分析的要求下已經難以再適應現(xiàn)代管理企業(yè)的發(fā)展需要。而與之相對比的是企業(yè)信息化系統(tǒng)在現(xiàn)代企業(yè)中的建設和大數(shù)據(jù)下以財務軟件為依托的會計信息化建設趨勢，在現(xiàn)代財務建設中逐漸顯現(xiàn)出其數(shù)據(jù)挖掘能力下對于財務分析功能貢獻支持。

互聯(lián)網的到來要求了企業(yè)在經濟快速發(fā)展前提下提升自身發(fā)展速度和管理水平，在經濟浪潮中保持自身的優(yōu)勢地位和前進速度。在現(xiàn)代管理制度要求和企業(yè)自我提升中，在“互聯(lián)網+”浪潮掀起的傳統(tǒng)領域互聯(lián)網發(fā)展下的企業(yè)自我改革風暴和大數(shù)據(jù)的相對開放領域里，企業(yè)會計信息化的應用面臨著更優(yōu)質的發(fā)展機遇，也面臨著風險性挑戰(zhàn)。

二、大數(shù)據(jù)下的會計信息化應用問題

我國會計信息化從相對薄弱的階段起步，經歷了快速發(fā)展時期，但從總體上來說，會計信息化基礎仍然是相對薄弱的，而會計信息化在大數(shù)據(jù)下的進一步運用在大多數(shù)大數(shù)據(jù)應用企業(yè)來說也往往是剛剛起步，處在大數(shù)據(jù)與會計信息化結合應用的初期，出現(xiàn)了初期應用中的常見的企業(yè)和財務部門的認識理念、初期使用上信息支持不足和外部環(huán)境影響等問題。

（一）企業(yè)內部對財務開放性的排斥

在大數(shù)據(jù)應用初期，容易存在著企業(yè)管理層和外部部門對大數(shù)據(jù)內容了解不全面、認識程度不深和實際應用環(huán)境上的困惑。在我國企業(yè)發(fā)展文化中，對于企業(yè)的信息數(shù)據(jù)往往持有保守、內向和非開放的態(tài)度，與大數(shù)據(jù)下要求的數(shù)據(jù)共享理念恰好背道而馳，在觀念認知上給企業(yè)財務部門會計信息化的大數(shù)據(jù)應用帶來了不小的困難。尤其在財務數(shù)據(jù)的共享上，多數(shù)企業(yè)將財務信息視為重要內部保守信息，對于財務信息的共享和企業(yè)基本財務資料的對外慎之又慎，在缺乏較強推動力量和深入了解的情況下對大數(shù)據(jù)下會計信息化應用是否應當在本企業(yè)推行思慮過多，難以抉擇。而大數(shù)據(jù)在發(fā)展初期，盡管趨勢已經漸趨明顯，但總體上對于大數(shù)據(jù)的應用和報道還欠缺，企業(yè)管理和財務的行業(yè)交流和管理交流之間沒有形成大數(shù)據(jù)應用較好的氛圍和風氣，兩者負面作用疊加交替，造成了會計信息化與大數(shù)據(jù)結合的應用發(fā)展緩慢。

（二）信息支持不足，內容單一

會計信息化的?l展在意義在要求以財務軟件記賬代替手工記賬，將會計工作人員從繁重的重復勞動中解放出來、降低錯誤率以外，還要求會計信息化應當需要在建設中與企業(yè)的信息化相關聯(lián)，相互作用。從企業(yè)角度獲取財務數(shù)據(jù)信息內容，作為企業(yè)管理的整體分析數(shù)據(jù)的一部分。從財務部門來看，在財務數(shù)據(jù)外獲取非財務信息的支持，補充財務分析內容，提供企業(yè)內部的財務角度管理分析報告，為輔助管理層進行經營決策和財務決策提供專業(yè)支持。但在實際的會計信息化應用中，大多數(shù)企業(yè)卻并沒有做好企業(yè)信息化與會計信息化的數(shù)據(jù)信息內容上的結合，導致了大數(shù)據(jù)應用中的信息支持不足和數(shù)據(jù)內容的單一。在缺乏企業(yè)整體信息內容支持的情況下，財務信息輸入內容十分有限，為財務部門對于企業(yè)內部狀況信息和具體經濟業(yè)務往來中出現(xiàn)的實際情況、備注和問題的了解帶來了很大程度上的局限性，在大數(shù)據(jù)利用下，僅僅從單調的財務數(shù)據(jù)比較分析中難以窺到企業(yè)數(shù)據(jù)全貌，無法充分發(fā)揮大數(shù)據(jù)海量信息篩選應用支持下的對企業(yè)信息全面分析的益處。在大數(shù)據(jù)篩選過程中，由于基礎條件支撐信息不足，信息搜索范圍過大，難以精確匹配與財務部門的確切需要信息。不僅如此，在信息支持不全面下的大數(shù)據(jù)分析還可能導致財務分析報告分析結果上的偏差，造成企業(yè)應用中的風險，或者由于大數(shù)據(jù)利用中篩選基礎條件錯誤帶來的數(shù)據(jù)分析應用在企業(yè)水土不服的情況。

（三）外部環(huán)境風險

會計信息化在大數(shù)據(jù)應用下能為企業(yè)帶來會計基礎功能之外的財務分析和企業(yè)比較應用等助力企業(yè)發(fā)展的益處，但互聯(lián)網的開放性環(huán)境也帶來了一定的外部安全性風險。一是來自財務軟件的本身風險，在軟件設計和應用上，在基礎的編程中可能就存在著一定的漏洞，如果存在著漏洞被利用或者針對軟件防護系統(tǒng)被破解的情況，會集體給各企業(yè)帶來財務信息上的風險。二是來自互聯(lián)網中針對企業(yè)本身的財務信息套取風險。以著名的互聯(lián)網企業(yè)的兩大巨頭谷歌和微軟為例，其電子郵件內容也曾經受到黑客攻擊，導致公司信息安全備受質疑，給企業(yè)形象和消費者信任度帶來一定程度的影響。如果企業(yè)面臨著超過企業(yè)的互聯(lián)網安保防護力度的黑客攻擊，很可能導致企業(yè)的會計信息數(shù)據(jù)的泄露和財務資料的丟失，帶來極大的企業(yè)風險和損失。

三、大數(shù)據(jù)下的會計信息化問題應對

針對企業(yè)在大數(shù)據(jù)下的企業(yè)信息化應用中考慮的因素和出現(xiàn)的問題，從企業(yè)管理和財務部門的角度出發(fā)，企業(yè)應當在信息化的認識理念上結合專業(yè)知識加強跨領域的交互認識。在企業(yè)內部對于信息化發(fā)展不完全的地方，完善整體化的信息發(fā)展，加強安全防護。

（一）加深對大數(shù)據(jù)與財務信息化的認識

財務部門應當首先了解行業(yè)和專業(yè)間的大數(shù)據(jù)發(fā)展情況，分析大數(shù)據(jù)與會計信息化結合利弊，聽取專家講解和建議，在大數(shù)據(jù)在會計信息化的應用上獲取專業(yè)知識和實踐指導，并結合自身企業(yè)情況和財務部門現(xiàn)狀進行貼合實際的分析。尤其是對于集團企業(yè)而言，大數(shù)據(jù)內容和會計信息化的結合，有利于集團企業(yè)異地辦公的協(xié)同合作，在信息共享下幫助各子公司和母公司之間借鑒財務解決方案和在相似風格下財務處理的參考，通過大數(shù)據(jù)和云服務減少人力上的非建設意義勞動，提高對賬、業(yè)務分析與指導等方面的交流效率和速度，幫助財務部門會計人員加強財務分析與綜合功能應用上的學習和研究。通過積極了解經濟的整體發(fā)展趨勢下“互聯(lián)網+”時代的到來與管理的發(fā)展趨向，企業(yè)和財務部門應當逐漸認識到互聯(lián)網應用于大數(shù)據(jù)工具的重要性，在經濟發(fā)展和企業(yè)管理上不斷自我更新發(fā)展內容，促進企業(yè)進步。

（二）企業(yè)內部信息化普及與整合

企業(yè)應當在會計信息化基礎建設完成下，推進企業(yè)內部的信息化模塊的統(tǒng)一和整體建設，形成企業(yè)內部的信息共享互通體系，幫助企業(yè)從宏觀上把握整體發(fā)展信息狀況。對于各個部門而言，能獲取其他部門發(fā)展信息和進展情況，促進企業(yè)內部資源的優(yōu)化配置，提高企業(yè)運行效率，促進各部門信息化下的交流和配合。對于財務部門而言，非財務信息的提供能幫助財務部門在會計信息和數(shù)據(jù)的處理中對于問題點及時獲取業(yè)務部門的信息支持，排查可能存在的風險問題。企業(yè)應當認識到信息化在現(xiàn)代企業(yè)管理中的地位和作用，促進會計信息化的功能多樣化發(fā)展，提高財務綜合分析功能在財務部門工作中的地位和比重。以對于企業(yè)的預算管理內容為例，通過企業(yè)信息系統(tǒng)，財務部門能獲取各部門的過往預算使用總體情況和內容，做出部門的使用效率分析和比較，提出使用改進并依據(jù)過往情況和各部門在企業(yè)信息化系統(tǒng)中提交的下一年度的活動計劃給出財務部門的預算審批意見，在數(shù)據(jù)利用和分析中與部門協(xié)商盡可能優(yōu)化的預算方案并提交至管理層審批，提高企業(yè)的預算資金使用效率，避免浪費。在資金管理上，利用數(shù)據(jù)分析直觀給出支持與分析原因，加快決策速度并提高了協(xié)商效率。

篇8

摘要：隨著企業(yè)信息化水平的不斷提高，移動終端設備已經廣泛應用在企業(yè)各業(yè)務層面，也帶來了巨大的安全隱患，本文針對其安全隱患提出來防范措施，具有一定的借鑒意義。

關鍵詞：移動終端設備；安全隱患；管控解決方案

0引言

隨著企業(yè)信息化水平的不斷提高，移動終端設備的廣泛使用，極大地方便了數(shù)據(jù)的信息交換，但是如何管理移動設備和其使用之間的問題，由此涉及到的是信息安全、服務整合、互操作性和組織成本控制等一系列問題。一般來說,移動終端設備除了筆記本電腦外,包括掌上電腦、智能手機、USB設備和GPS設備等，因為其移動方便的特性,對數(shù)據(jù)的安全性提出了更高的要求。

1移動終端設備面臨的安全隱患

現(xiàn)在筆記本電腦、智能手機、iPad、U盤等正在被越來越多地使用，尤其是企業(yè)高層、出差的業(yè)務人員或到基層檢查指導工作的管理人員、需要下班后在家加班的人員等，他們幾乎已經離不開這類移動終端。與此同時，一些合作伙伴或客戶出于某種需要，也可能需要使用移動終端接入到企業(yè)網絡或者計算機。移動終端設備可能給企業(yè)帶來以下幾大隱患：

隱患一，保管不當，導致設備丟失或被盜，損失的不只是硬件成本，更關鍵的是里面的數(shù)據(jù)。

隱患二，使用不當，在數(shù)據(jù)傳輸過程中沒有采取應有的保護措施，導致發(fā)送信息時被非法攻擊者偵聽截獲。

隱患三，沒有對設備里的數(shù)據(jù)采取足夠的保護措施，數(shù)據(jù)很可能在使用者一無所知的情況下被竊取。

隱患四，感染病毒的移動設備一旦接入內網，病毒可能很快蔓延至網絡內的每一個終端，影響整個網絡的正常運轉，嚴重時還會讓企業(yè)的關鍵業(yè)務無法開展。

隱患五，不安全的移動終端一旦接入企業(yè)內網，很可能變成黑客們攻擊內網的跳板。

2針對存在的安全隱患制定對策

通過分析移動終端設備管控的難點主要集中在以下幾個方面：①外來移動終端設備隨意接入企業(yè)內部網絡或者計算機，很難做到有效控制，無形中為病毒、木馬感染企業(yè)網絡開辟了一條捷徑；②內部移動存儲設備很難做到逐個、逐次使用時登記備案，無法對遺失的移動存儲設備以及存儲其中的數(shù)據(jù)進行監(jiān)控；③內部移動存儲設備很難區(qū)分安全等級、區(qū)分場所、區(qū)分使用人，保存數(shù)據(jù)的移動存儲設備隨意拿到外部使用，很容易造成企業(yè)敏感數(shù)據(jù)外泄；④對移動存儲設備的使用缺乏全面的記錄信息，安全事故發(fā)生以后缺乏足夠的協(xié)助管理員跟蹤、定位和追溯責任人的依據(jù)和手段。

要想管控好移動終端設備，就必須做好以下四個方面：①移動終端設備使用的邊界控制：外來的筆記本電腦、智能手機等設備連入網絡，必須通過網絡準入、應用準入、客戶端準入等準入手段來解決，確保未安裝客戶端的無法連入內部網絡，其安全性得到保障。外來移動存儲設備不得隨意接人企業(yè)內部計算機，以防止惡意代碼通過移動存儲設備感染企業(yè)內部網絡。②移動存儲設備分等級使用：對移動存儲介質進行注冊認證，只有注冊認證過的才可以在內網使用。內部移動存儲介質分不同的安全等級，受控使用，做到專人專用、專盤專用，從而保證企業(yè)關鍵信息和數(shù)據(jù)不會通過移動存儲設備泄露。③強化移動存儲設備的管理，將移動存儲設備專人管理，規(guī)范操作使用，每次使用前要進行嚴格的查毒、殺毒。禁止使用個人U盤、數(shù)碼相機、數(shù)碼攝像機等存儲卡。④移動存儲設備的全生命周期管理：對內部存儲關鍵數(shù)據(jù)和信息的移動存儲設備，要有全生命周期的使用跟蹤和管理，對內部移動存儲設備的使用要有詳盡的審計，以便事后能夠進行準確的跟蹤和定位，追溯到責任人。

3移動終端設備的管控解決方案

對移動終端設備的信息安全管理，應堅持“預防為主”的方針。“三分技術，七分管理”，要充分利用技術和管理兩種手段，達到有效防范的目的。具體來說，企業(yè)可從如下三個方面著手：

3.1 加強人員培訓，構筑人員安全關通過加強保密知識培訓、網絡安全知識培訓、職業(yè)道德教育和對網絡事故案例講解，使員工充分了解計算機網絡存在的安全隱患，提高工作人員的安全保密意識和自我防范能力。

3.2 部署管控平臺，把好技術安全關通過部署綠盟終端安全管理系統(tǒng)，該系統(tǒng)涵蓋接入控制、數(shù)據(jù)防泄密、安全防護、桌面管理四大領域，在終端安全方面提供系統(tǒng)級安全保護，提供網絡層與應用層的準入控制，強制隔離不符合安全要求的終端主機。實現(xiàn)了對移動存儲設備的全面管理，移動介質被分為外來介質、內部普通介質和內部專用介質三種不同的安全等級，針對每種安全級別均可設置具體的使用權限，如只讀、可寫，實現(xiàn)了對移動介質的細粒度管理。

3.3 完善制度建設，健全信息管理關

3.3.1 加強內部管理，完善計算機保密制度。細化信息安全的管理規(guī)范和責任追究，明確界定信息范圍，切實落實各項具體措施。使計算機安全保密工作有章可循，逐步實現(xiàn)計算機信息安全保密工作的規(guī)范化管理。

3.3.2 加強對移動辦公設備管理的檢查。通過對單位的移動終端設備集中登記、授權和安全認證，全面掌握企業(yè)移動終端的使用管理情況，定期進行信息安全檢查，發(fā)現(xiàn)違規(guī)情況及時進行通報。對終端設備列入重點信息安全監(jiān)控部位，專人專用、專人管理，不定期進行檢查防護。

3.3.3 加強對外來人員的管理。為了防范信息泄密，確保信息與網絡的安全。

4結束語

信息安全是信息發(fā)展的基礎，要建立一個安全可靠的網絡安全管控體系，既要有專業(yè)的安全產品，更要有規(guī)范和強有力的安全管理制度。移動終端設備所帶來的安全隱患必須引起各企業(yè)的高度關注，充分利用技術和管理兩種手段，提高安全保障能力，為企業(yè)各項工作順利開展提供信息保障和技術支撐。

參考文獻：

[1]楊義先.網絡信息安全與保密[M]．北京：北京郵電大學出版社，2000：1-3.

篇9

關鍵詞：信息安全 數(shù)字簽名 加密 解密

今天，計算機已經十分普及。從家用到企業(yè)信息管理，都離不開計算機。隨著網絡技術、通訊技術的出現(xiàn)使得信息傳遞與信息共享得到質的飛躍。各種網絡應用應運而生，如：ERP系統(tǒng)、電子商務系統(tǒng)等。當人們享受著信息技術帶來的方便之時，同時必須面對信息系統(tǒng)存在的不安全因素。

危及信息安全的因素

企業(yè)使用計算機進行管理，要求管理的信息必須“數(shù)字化”，并以磁信號保存到磁盤中（這種信號如果不加任何處理時，可以被任何人獲取或者“不留任何痕跡”的加以修改）；當我們把一臺計算機中的信息轉移到另一臺計算機時還必須通過“網絡”完成信息的“傳遞”。傳遞過程中是否帶有病毒、是否會被其他網絡客戶非法截留？這些都是我們進入網絡時代要考慮的首要問題。那么，在網絡環(huán)境下的信息管理、信息駐留與信息傳遞過程中究竟有那些因素會危及信息安全？危及“信息安全”的因素可以分為兩類：

外部因素

外部因素指和企業(yè)無關的外部人員,通過網絡，使用非法工具、采用非法手段，非法侵入企業(yè)信息系統(tǒng)，獲取關鍵信息、破壞內部數(shù)據(jù)。

內部因素

內部因素指企業(yè)內部工作人員，借工作之便，非法復制企業(yè)的關鍵信息，或者盜用他人賬號登陸系統(tǒng)，非法修改關鍵數(shù)據(jù)，從而達到個人的非法目的。

危及信息安全的形式

危及信息安全的形式有多種多樣。有些是我們知道的、有些是我們意想不到的，有些是些我們不愿意去想又確實存在的形式。正是這些意想不到或不愿意去想的形式最具威脅性。因此，我們不妨發(fā)揮充分的想象力對企業(yè)信息可能受到威脅的形式做一些假設。我們現(xiàn)在考慮的越多、越全面，在將來我們受到攻擊、受到危害的可能性就越小，我們的信息安全性就越高。

在80年代末，曾經有這樣一個“傳說”，國外某家銀行在日常工作中忽然發(fā)現(xiàn)，一個賬號的存款數(shù)額變動異常。經過一段時間的監(jiān)視和調查，最后確認這個賬號的擁有者曾經參加該銀行軟件系統(tǒng)的開發(fā)。他在所編寫的程序中加入了一些非法代碼，在計算其他客戶的存款利息時，把舍去的利息額加入到自己的賬號下。這樣客戶的利息不會少，自己的存款額卻在不斷增加。在當時的環(huán)境下軟件開發(fā)過程不很規(guī)范、監(jiān)管力度不夠才會出現(xiàn)這種情況?，F(xiàn)在一些關鍵系統(tǒng)的開發(fā)不會重現(xiàn)類似情況，當然，不再重現(xiàn)的先決條件是要嚴格監(jiān)管軟件開發(fā)的全過程。

1999-2000年，美國國內展開指控微軟進行行業(yè)壟斷的訴訟?，F(xiàn)在回過頭來看看，把微軟分解成兩部分未嘗不是件好事。微軟公司作為世界軟件行業(yè)的“巨無霸”，如果全世界都使用一家公司提供的從操作系統(tǒng)、辦公工具、網絡通訊工具到系統(tǒng)開發(fā)工具，那些不掌握源代碼的“黑客”都能非法侵入你的系統(tǒng)、獲取數(shù)據(jù)，試問，掌握所有源代碼的軟件供應商它不能做什么？筆者非常欣賞微軟公司的軟件。和其他用戶一樣非常愿意使用微軟的軟件。確實微軟公司的軟件給我們提供了方便，并改變著我們的生活、工作方式。如果我們往深處想一想會發(fā)覺，我們使用微軟的軟件除了喜歡的成分外，更主要的是一種潛意識的“信任”。這種信任是建立在微軟公司用行業(yè)道德標準“自我約束”的基礎之上。

防止外部人員非法侵入企業(yè)計算機管理系統(tǒng)固然重要；完善企業(yè)內部控制同樣重要?！氨咀钊菀讖膬炔抗テ啤北硎龅木褪且环N加強內部控制、內部管理的重要性的道理。因此我們必須嚴格控制管理信息系統(tǒng)內部信息的處理過程，必須嚴格執(zhí)行有關的管理規(guī)章制度。由于內部控制不完善、由于內部人員缺乏職業(yè)道德而引發(fā)危及信息安全的案例并不少見。

通過與企業(yè)接觸了解到，一些企業(yè)的內部管理制度非常規(guī)范、非常嚴格。然而，就是得不到認真執(zhí)行。究其原因并不是內部員工有意拒絕執(zhí)行，而是信息安全觀念淡薄。

通常，企業(yè)管理信息系統(tǒng)在儲存數(shù)據(jù)時都是將數(shù)據(jù)保存到某個數(shù)據(jù)庫文件中。由于考慮到軟件開發(fā)成本、用戶能夠接受的價格，許多小型的管理系統(tǒng)都采用Foxpro數(shù)據(jù)庫作為保存數(shù)據(jù)的工具。Foxpro非常簡單易用，但是，他有一個致命的弱點――缺乏一種高效、安全的數(shù)據(jù)保護功能。用戶通過正常登陸進入系統(tǒng)后無法訪問的數(shù)據(jù)庫文件，卻可以繞過系統(tǒng)通過Foxpro系統(tǒng)直接打開數(shù)據(jù)庫文件。一些軟件開發(fā)商意識到這個問題后采用改變關鍵數(shù)據(jù)庫文件的特征字，使用戶無法在普通的Foxpro環(huán)境下打開數(shù)據(jù)庫。這種方法仍然治標不治本，是一種“防君子不防小人”的方法。因為，這些文件中的數(shù)據(jù)如果沒有經過嚴格的加密處理我們仍可以利用類似debug工具將其打開并讀取其中的數(shù)據(jù)。

保證信息安全的方法與工具

面對種種內憂外患，我們真的束手無策嗎？保證重要數(shù)據(jù)處于一個相對安全的位置，讓那些居心叵測的人無法輕易的接觸到，即使得到數(shù)據(jù)也是經過嚴格加密的數(shù)據(jù)而無法輕易的還原。我們可以采用以下方法和手段。

增強安全意識

這句話說起來容易，真正做到這一點并非易事。一時的疏忽大意可能引發(fā)非常嚴重的后果。不要因為今天沒發(fā)生問題、這個月沒發(fā)生問題、今年沒發(fā)生問題就可以放松警惕，發(fā)生問題往往就在明天。另外，如果沒有安全意識，再好的工具得不到應用、再完善的制度得不到認真執(zhí)行。我們所做的一切都沒有任何價值、沒有任何實際意義。增強安全意識首先要從規(guī)章制度做起，給使用者制訂出非常明確的工作規(guī)范、工作流程、及工作內容。制度的制定不是要相互提防，增加彼此的不信任。恰恰相反是把員工做為可信賴的人、可以維護企業(yè)利益的人。

規(guī)章制度只是目標，不應該把目標的實現(xiàn)完全建立在要求每一個人都能夠自覺遵守制度、不做越雷池半步的操作，而應該輔以硬件措施與數(shù)據(jù)加密處理。只有采用多種手段、綜合管理。才能確保信息相對安全。

硬件措施

網絡環(huán)境管理信息系統(tǒng)的一個共同的特點是數(shù)據(jù)集中管理、操作可以分步進行。如果不做任何限制，任何一個用戶可以從任何一臺工作站登陸網絡、訪問網絡中的信息。構建在局域網基礎上的企業(yè)管理信息系統(tǒng)同時接入Internet，那么，我們的網絡將暴露在所有Internet接入者面前。消除這個隱患常用的方法是在局域網與Internet之間架一道“防火墻”，它在防止非法Internet用戶侵入企業(yè)內部局域網具有相當?shù)淖饔谩?/p>

針對一些大型企業(yè)、集團公司的辦公機構，可以按照組織結構進行網絡規(guī)劃，將物理連接在一起的計算機劃分成多個“域”（部門），每一個“域”（部門）覆蓋范圍明確、相對獨立，“域”（部門）之間互不干擾，被授權的用戶可以跨“域”（部門）操作。

對于中小型公司可以規(guī)定具有特殊權限的用戶只能從某一臺工作站登陸網絡。例如：會計主管使用的賬號只能從會計辦公室的工作站登陸。這樣即便其他用戶掌握了會計主管的賬號和口令也無法從其他位置的工作站登陸。

數(shù)據(jù)加密處理

數(shù)據(jù)加密處理是保障信息安全的另一道屏障。一旦非法用戶對系統(tǒng)實施攻擊成功、進入系統(tǒng)，將有可能獲取任何信息。所以，對系統(tǒng)中的數(shù)據(jù)進行加密、尤其是對關鍵數(shù)據(jù)加密，更顯得尤為重要。因為采用高強度加密技術處理后，即使非法用戶得到這些數(shù)據(jù)也無法輕易進行還原。

常用的加密技術分為，非密鑰加密技術與密鑰加密技術。密鑰加密技術又分為對稱密鑰加密技術與非對稱密鑰加密技術。

非密鑰加密技術 其加密原理：加密過程是對明文經過加密變換處理生成密文；解密過程則是加密過程的反向操作，將密文還原成明文。因為它的加密算法是固定寫在程序里、并且有一定的規(guī)律。一旦攻擊者掌握加密算法或者發(fā)現(xiàn)加密規(guī)律，所有加密處理就完全失去了意義。因此，這種加密技術非常脆弱，加密強度最低，最容易被破解。

密鑰加密技術 密鑰加密與非密鑰加密的區(qū)別在于，加密算法是公開的，加密、解密過程是通過算法與密鑰一起運算，將明文轉換為密文或將密文轉為明文。通常所使用的密鑰位數(shù)相當長，采用窮舉法也無法破解。因此，信息的合法使用者只需牢牢地保管好自己的密鑰，將它放在安全的地方。

對稱密鑰加密技術 對稱密鑰加密技術特點是加密過程與解密過程使用的是同一個密鑰。著名對稱密鑰加密算法為DES算法，該算法加密強度高、不易破解。其作用是對交換數(shù)據(jù)進行加密處理。防止非法用戶破解加密數(shù)據(jù)的有效工具。

非對稱密鑰加密技術 非對稱密鑰加密技術由一對密鑰組成，見圖1，一個為私有密鑰（由該對密鑰的所有者掌握)、另一個為公有密鑰（任何人都可以掌握）。其特點是加密時使用一把密鑰，解密時必須使用另一把密鑰。反向操作是不成立的（不能用加密的密鑰去解密）。著名的非對稱密鑰加密算法為RSA算法。用戶必須牢牢地保管好自己的私有密鑰。非對稱密鑰加密技術即可以用作數(shù)據(jù)加密、也可以用作“數(shù)字簽名”。在發(fā)送方與接收方之間進行數(shù)據(jù)交換過程中，使用“數(shù)字簽名”的主要作用，可以“抗抵賴”、“防篡改”。

由于“數(shù)字簽名”中使用的密鑰加密的不可逆性，使用公有密鑰解密后的明文，加密者不能抵賴；同樣解密者無法篡改加密后的密文。

總之，有條件的企業(yè)、數(shù)據(jù)安全性要求高的企業(yè)，除了制訂并認真執(zhí)行有關的規(guī)章制度、安裝安全性高的硬件設備、最重要的應該自主開發(fā)數(shù)據(jù)加密模塊、并且嚴格監(jiān)控加密模塊從設計、開發(fā)到測試的全過程。保證企業(yè)內部信息處于一個相對安全的環(huán)境。

篇10

關鍵詞：電力企業(yè)；信息網網絡安全；層次式防護體系

中圖分類號：TN915.08

網絡信息安全的問題主要包括了網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中重要數(shù)據(jù)受到保護，受突發(fā)或者惡意的因素而遭到破壞、更改、泄露，系統(tǒng)能夠正常地運行，網絡服務不中斷等諸多方面。企業(yè)要想做好信息網網絡安全就需要構建一個層次式防護體系，這個防護體系能夠有效的解決企業(yè)信息網網絡安全所面臨的各種問題，給企業(yè)一個良好的網絡環(huán)境。

1 信息網絡安全層次式防護體系的防護模式

結合電力企業(yè)的實際情況，按照層次式防護體系的防護模式，可將電力企業(yè)的網絡信息安全分為七大模塊，分別是入侵檢測、環(huán)境與硬件、防火墻、VPN（虛擬專用網）、隱患掃描、病毒防范、PKI（公開密鑰基礎設施）。

1.1 環(huán)境與硬件、防火墻

環(huán)境與硬件以及防火墻為層次防護模式的第一、二層，是對系統(tǒng)安全要求比較高的電網運行與安全穩(wěn)定的控制，還包含了電網調度自動化、繼電保護等實時網絡，使用防火墻隔離網關設備來連接信息網絡，這樣就可以獲取實時的系統(tǒng)數(shù)據(jù)，不過這樣仍有一個小的缺陷，就是不可能直接或間接的修改實時系統(tǒng)的數(shù)據(jù)，所有需要采用硬件防火墻互聯(lián)的信息網絡與實時網絡之間在物理網絡層的隔離，這樣就能從根本上防護非法用戶的入侵。

另外，也可在信息網的Internet接入口處安裝防火墻，這種防火墻主要防止來自外部的攻擊，而且企業(yè)內各機構之間的仍有全面的安全防火墻，目前幾乎所有的電力企業(yè)信息網大都建立了這兩層防護措施。不過防火墻對于一些利用合法通道而展開的網絡內部攻擊顯得無能為力。因此，盡管開發(fā)防火墻能夠初步具備入侵的檢查功能，但是防火墻作為網關，很容易就成為網絡防護發(fā)展的頸瓶，不適合做過多的擴展研究。因此，還需要和層次式防護的第三層入侵檢測等相關工具聯(lián)合起來運用，這樣就能提高整個網絡的安全。

1.2 入侵檢測（IDS）

整個防護體系的第三層防護便是入侵檢測，入侵檢測不屬于網絡訪問控制設備，對通訊流量沒有任何限制，采用的是一種通過實時監(jiān)視網絡資源（系統(tǒng)日志、網絡數(shù)據(jù)包、文件和用戶獲得的狀態(tài)行為），主動分析和尋找入侵行為的跡象，屬于一種動態(tài)的安全防護技術。一旦被檢測到入侵情況就會立即進行日志、安全控制操作以及警告等操作，給網絡系統(tǒng)提供內、外部攻擊以及一些失誤進行安全防護。像CA公司的eTrustIntrusionDetection程序就是通過自動檢測網絡數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式等，為網絡系統(tǒng)提供了先進的網絡保護功能。同時還能在服務器及相關業(yè)務受到影響時，按照預先定義好的策略采取相應的措施。

1.3 隱患掃描

防護體系的第四層防護便是隱患掃描，隱患掃描是一個全自動化的網絡安全評估軟件，它以黑客的視角對被檢測的系統(tǒng)進行是否承受攻擊性的安全漏洞以及隱患掃描，同時還能夠查到可能危及網絡或系統(tǒng)安全的弱點，從而提出相應的維修措施，提交詳細的風險評估報告。最可觀的地方在于它能夠先于黑客發(fā)現(xiàn)并彌補漏洞，從而防患于未然，能夠預防在安全檢查中暴露出存在網絡系統(tǒng)中的安全隱患，然后配合有效的修改措施，將網絡系統(tǒng)中運行的風險降至最低。

隱患掃描系統(tǒng)的主要應用在不同的場合和時宜，第一，對信息網作出定期的網絡安全自我檢測和評估。網絡管理員能夠定期的進行網絡安全檢查服務，以最大可能限度的消除安全隱患，盡可能的發(fā)現(xiàn)漏洞然后進行修補，從而優(yōu)化資源、提高網絡的運行效率；第二，網絡建設以及網絡改造前后的安全規(guī)劃以及成效檢測。配備隱患掃描系統(tǒng)能夠方便的進行安全規(guī)劃評估和成效檢測；第三，網絡安全隱患突發(fā)后的分析。網絡安全隱患突發(fā)后可以通過掃描系統(tǒng)確定網絡被攻擊的漏洞所在，然后幫助修補漏洞，能夠提供盡可能多的資料來方便調查攻擊的來源。第四，重大網絡安全事件發(fā)生前的準備，重大網絡安全事件發(fā)生以前，掃描系統(tǒng)能夠及時的幫用戶找出網絡中存在的漏洞，并及時將其修補。

1.4 虛擬專用網（VPN）

防護體系的第五層就是虛擬專用網，其主要為電力企業(yè)上下級網絡和外出人員訪問企業(yè)網絡時提供一條安全、廉價的互聯(lián)方式，再加上防火墻和IDS的聯(lián)動關系，這就使得VPN的網絡安全性大大的得到保障，VPN的網絡安全性也就得到了保證。不過，目前雖然實現(xiàn)VPN的網絡技術和方式比較多，但不是所有的VPN均可以保證公用網絡平臺傳輸數(shù)據(jù)的安全性和專用性。一般情況下是在非面向連接的公用IP網絡上建立一個具有邏輯的、點對點的連接方式，這種方式稱之為建立隧道。隨后就可以利用加密技術對隧道傳輸?shù)臄?shù)據(jù)進行加密，這樣就能保證數(shù)據(jù)只能被發(fā)送給指定的接收者，這樣極大的保證了數(shù)據(jù)的隱私性。

1.5 PKI（公開密鑰基礎設施）

PKI作為防護體系的第六層具有一個廣泛的接收標準，用來保護用戶的應用和數(shù)據(jù)安全，許多安全應用的安全標準通過PKI都有了適應的安全標準。CA公司的eTrustPKI是個比較普遍的基礎設施，具有許多獨特的特點，如能夠優(yōu)化企業(yè)內部的部署、簡化管理、其擴展性比較好、有可選擇的相關硬件支持。

1.6 對病毒的防范

對病毒的防范是防護體系最后一層，其廣泛的定義在于防范惡意代碼、包括蠕蟲、密碼、邏輯炸彈以及其他未經許可的軟件，防范病毒系統(tǒng)對網關、郵件系統(tǒng)、文件服務器等進行病毒防范，這就要求病毒防范系統(tǒng)做到對病毒代碼的及時更新，并保持對病毒的查殺能力。同時，當防病毒與防火墻一起聯(lián)動時，病毒防護系統(tǒng)會自動通知防火墻進行相關修改。

2 對層次式安全防護體系的規(guī)范管理

層次式安全防護體系的構建是一個復雜的系統(tǒng)工程，包含了人力、技術、以及操作等幾大要素，在整個防護體系的運行中，最重要是需要規(guī)范操作人員的各種專業(yè)技術操作，需要建立一道信息安全管理制度來防止安全防護系統(tǒng)在運行過程中因為內部人員出現(xiàn)差錯而導致的各種網絡漏洞和安全隱患，其中建立規(guī)范的管理制度應考慮以下幾點：第一，建立對應的事故預防和應急處理方案，每天都要例行檢查備案；第二，制定嚴格的防護系統(tǒng)運行操作制度，對網絡設備、存儲設備以及服務器等重要部件的運行操作制定標準的操作制度，相關工作人員都必須參與進去；第三，強化對工作人員的安全教育和培訓，做好及時的安全工作；第四，建立日志式的管理制度，對每位用戶的操作和行為都以日志的形式記載在案，并進行及時的跟蹤調查和審計工作。

3 結束語

網絡安全防護是一個動態(tài)的系統(tǒng)工程，構建網絡安全防護體系能夠有效保護電力企業(yè)信息網的安全，其中采取層次式安全防護體系，更是有效的將各個層次安全構建有機的結合在一起，從而提高了整個網絡的安全性。

參考文獻：

[1]黨林.電力企業(yè)信息系統(tǒng)數(shù)據(jù)的安全保護措施分析[J].電子技術與軟件工程，2013（17）.

[2]李志茹，張華峰，黨倩.電網企業(yè)信息系統(tǒng)安全防護措施的研究與探討[J].電力信息化，2012（04）.