引論:我們?yōu)槟砹?3篇小企業(yè)信息安全范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
[中圖分類號(hào)] TP309 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194(2015)21- 0090- 02
信息安全風(fēng)險(xiǎn)評(píng)估是以風(fēng)險(xiǎn)管理為基礎(chǔ),通過科學(xué)的方法和手段,對(duì)企業(yè)信息系統(tǒng)所面臨的威脅與存在的脆弱性進(jìn)行全面分析,以安全事故對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)有可能帶來(lái)的危害展開評(píng)估,進(jìn)而制定出有效的防御及整改措施[1]。信息安全風(fēng)險(xiǎn)評(píng)估在企業(yè)信息安全保障體系中占據(jù)著十分重要的地位,其不但是重要的評(píng)價(jià)方法,同時(shí)也是利于企業(yè)決策的有效機(jī)制。如果缺乏準(zhǔn)確及時(shí)的風(fēng)險(xiǎn)評(píng)估,便不能準(zhǔn)確的判斷出企業(yè)所存在的信息安全問題,因此加強(qiáng)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估,對(duì)每一個(gè)中小企業(yè)來(lái)說(shuō),都意義重大。
1 中小企業(yè)信息安全評(píng)估方法
為了進(jìn)一步評(píng)估信息系統(tǒng)的安全風(fēng)險(xiǎn),多種風(fēng)險(xiǎn)評(píng)估方法被開發(fā)出來(lái)并在企業(yè)中得以運(yùn)用。定性評(píng)估法,定量評(píng)估法以及半定量評(píng)估法是目前較為常用的幾種方法。風(fēng)險(xiǎn)評(píng)估中的定量評(píng)估方法,主要是結(jié)合企業(yè)特點(diǎn),根據(jù)評(píng)估內(nèi)容和評(píng)估流程,從眾多的信息系統(tǒng)、人員和設(shè)備中,利用分類分別計(jì)算比例的方法,對(duì)評(píng)估對(duì)象合理選定,并進(jìn)行數(shù)量采樣[2]。并在此基礎(chǔ)上,分析企業(yè)信息系統(tǒng)中資產(chǎn)價(jià)值、威脅性以及脆弱性三者之間存在的函數(shù)關(guān)系,從而根據(jù)企業(yè)實(shí)際情況選取恰當(dāng)?shù)娘L(fēng)險(xiǎn)計(jì)算方法,合理計(jì)算出企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估數(shù)值。本文認(rèn)為定量方法對(duì)當(dāng)前的中小企業(yè)來(lái)說(shuō)更具實(shí)用價(jià)值,主要可從風(fēng)險(xiǎn)計(jì)算方法、威脅可能性量化賦值方法著手。
1.1 風(fēng)險(xiǎn)計(jì)算方法
后果(Consequence)及可能性(Likelihood)是風(fēng)險(xiǎn)具有的兩個(gè)基本屬性。風(fēng)險(xiǎn)對(duì)信息系統(tǒng)的影響,說(shuō)到底也是這兩個(gè)因素所造成的。資產(chǎn)的不同自然也使其面臨的主要威脅存在差異。而隨著威脅可以利用的、資產(chǎn)存在的弱點(diǎn)數(shù)量的增加會(huì)增加風(fēng)險(xiǎn)的可能性,隨著弱點(diǎn)嚴(yán)重級(jí)別的提高會(huì)增加一該資產(chǎn)面臨風(fēng)險(xiǎn)的后果。通常來(lái)說(shuō), 某項(xiàng)資產(chǎn)風(fēng)險(xiǎn)的可能性為資產(chǎn)脆弱性與存在威脅的可能性的函數(shù),同時(shí)風(fēng)險(xiǎn)后果則為資產(chǎn)價(jià)值(影響)的函數(shù)。本論文采用如下算式來(lái)得到資產(chǎn)的風(fēng)險(xiǎn)賦值:
風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×威脅可能性×資產(chǎn)脆弱性
上述公式主要考慮到各參數(shù)采取的取值并不十分精確,因而加入了以往的經(jīng)驗(yàn)和判斷,在國(guó)際中對(duì)此類數(shù)據(jù)則通常采用數(shù)學(xué)乘法或矩陣等方法。而采用線性相乘,則主要是為了方便進(jìn)行計(jì)算。企業(yè)實(shí)施風(fēng)險(xiǎn)分析可以從風(fēng)險(xiǎn)信息和數(shù)據(jù),進(jìn)行不同程度的改進(jìn)。并根據(jù)計(jì)算出的風(fēng)險(xiǎn)值的數(shù)值范圍,確定相應(yīng)的風(fēng)險(xiǎn)等級(jí)。風(fēng)險(xiǎn)數(shù)值與風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)的關(guān)系見表1。
1.2 脆弱性量化賦值方法
脆弱性和威脅所存在的對(duì)應(yīng)關(guān)系,應(yīng)在評(píng)估時(shí)充分考慮到,要知道相對(duì)應(yīng)的脆弱性是威脅起作用的基本因素,因此脆弱性與威脅基本上是通過一一對(duì)應(yīng)的形式呈現(xiàn)出來(lái)的。對(duì)脆弱性大小的評(píng)定需要結(jié)合評(píng)估采集的調(diào)研結(jié)果、安全漏洞掃描結(jié)果以及人工安全檢查結(jié)果。參照國(guó)際通行做法和專家經(jīng)驗(yàn),將資產(chǎn)存在的脆弱性分為5個(gè)等級(jí),分別是很高(VH)、高(H)、中(M)、低(L)、可忽略(N),并且從高到低分別賦值5-1,具體參照表2。
威脅可能性屬性非常難以度量.它依賴于具體的資產(chǎn)、弱點(diǎn)。并且這兩個(gè)屬性都和時(shí)間有關(guān)系。在威脅評(píng)估過程中,評(píng)估者的專家經(jīng)驗(yàn)非常重要。
2 結(jié) 語(yǔ)
目前,信息系統(tǒng)已經(jīng)被廣泛運(yùn)用到中小企業(yè)的日常管理工作中,對(duì)其的重視程度也越來(lái)越高。對(duì)中小企業(yè)來(lái)說(shuō),定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估是信息安全工作得以順利實(shí)施的有效保障,通過有效的信息安全風(fēng)險(xiǎn)評(píng)估方法則是科學(xué)合理地開展信息安全風(fēng)險(xiǎn)評(píng)估的前提條件。因此,新形勢(shì)下中小企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估工作必須要做到與時(shí)俱進(jìn),不斷創(chuàng)新,從而以適應(yīng)快速發(fā)展的社會(huì)需求。
篇2
1. 中小企業(yè)信息安全存在的問題
1.1信息安全管理意識(shí)不強(qiáng)。
相對(duì)大型企業(yè)來(lái)說(shuō),中小企業(yè)信息資產(chǎn)方面的積累相對(duì)較為薄弱,并且很多時(shí)候這種積累并非企業(yè)的有意識(shí)行為,所以在正常的信息化應(yīng)用情況下,往往會(huì)忽視對(duì)自己信息資產(chǎn)的保護(hù),而只有在信息資產(chǎn)受到破壞,形成了實(shí)際的經(jīng)濟(jì)和附加損失的情況下,才會(huì)開始意識(shí)和重視這信息安全問題。
1.2信息安全管理水平較低信息安全風(fēng)險(xiǎn)較大。
目前的中小企業(yè)管理層人員雖然已經(jīng)認(rèn)識(shí)到了信息化的重要性,但卻沒有認(rèn)識(shí)到企業(yè)信息化管理是需要在企業(yè)管理念上進(jìn)行根本變革才能實(shí)現(xiàn)的。信息安全大約70%以上的問題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進(jìn)行改造,結(jié)果造成一種信息化的假象,致使“信息化”走向了徒有其表的誤區(qū),信息安全也沒有得到足夠重視。
1.3人才短缺專業(yè)人員匱乏。
中小企業(yè)一般很難有足夠的吸引力留住信息化及信息安全這一領(lǐng)域的人才。因此,在這種人才短缺的情況下,自然影響到企業(yè)信息化的進(jìn)程。主要表現(xiàn)為:企業(yè)一般沒有自己的信息化建設(shè)人才隊(duì)伍。信息技術(shù)專業(yè)人員的知識(shí)結(jié)構(gòu)也不能達(dá)到要求,掌握技術(shù)的不懂管理,懂管理的又不會(huì)技術(shù),而且信息安全往往沒有專業(yè)人員進(jìn)行管理。
1.4資金短缺。
中小企業(yè)的資金狀況決定了其信息化投入遇到的限制相對(duì)較多。企業(yè)相對(duì)有限的資金,一般要優(yōu)先投入到直接促進(jìn)公司業(yè)績(jī)?cè)鲩L(zhǎng)的方向,而無(wú)形中就造成了信息資產(chǎn)所面臨的巨大風(fēng)險(xiǎn);特別是在當(dāng)今越來(lái)越多的企業(yè)業(yè)務(wù)與互聯(lián)網(wǎng)有密切的聯(lián)系,甚至一些企業(yè)的業(yè)務(wù)完全建立在互聯(lián)網(wǎng)之上,以平均不到企業(yè)總收入1%的信息安全投入,怎么能保障這些業(yè)務(wù)的正常運(yùn)行?盡可能使投入比例接近常規(guī),至少應(yīng)該使企業(yè)核心信息資產(chǎn)的安全得到保證,從實(shí)際情況來(lái)講,在良好的安全理念指導(dǎo)下,進(jìn)行細(xì)致的規(guī)劃和評(píng)估,通過適當(dāng)?shù)耐度胍彩强梢赃_(dá)到較好的整體效果,因?yàn)樵谥行∑髽I(yè)的應(yīng)用情境下,信息安全防御廣度是相對(duì)容易控制的;設(shè)計(jì)出體現(xiàn)其規(guī)律和特點(diǎn)的真正適合中小企業(yè)的信息安全產(chǎn)品,才能從根本上滿足中小企業(yè)信息安全需求。
1.5中小企業(yè)的信息倫理意識(shí)不強(qiáng)。
由于某些員工的信息倫理原因而帶來(lái)的信息安全問題屢見不鮮。在很多時(shí)候,企業(yè)的員工都會(huì)因?yàn)槟承┎唤?jīng)意的行為對(duì)企業(yè)的信息資產(chǎn)造成破壞。尤其是在中小企業(yè)中員工的信息安全意識(shí)往往相對(duì)比較落后,對(duì)于互聯(lián)網(wǎng)上存在的威脅往往缺乏足夠的重視,而企業(yè)的管理層對(duì)于網(wǎng)絡(luò)的使用也沒有很好的管理手段。
2.中小企業(yè)信息安全問題的解決措施
2.1從企業(yè)的自身情況考慮
要解決中小企業(yè)網(wǎng)絡(luò)信息安全問題,不能僅依靠企業(yè)的安全設(shè)施和網(wǎng)絡(luò)安全產(chǎn)品,而應(yīng)該考慮如何提高企業(yè)自身的網(wǎng)絡(luò)安全意識(shí),將信息安全問題提升到重視的高度,要重視“人”的因素。具體表現(xiàn)在以下兩個(gè)方面:
2.1.1提高安全認(rèn)識(shí)
定期對(duì)企業(yè)員工進(jìn)行網(wǎng)絡(luò)安全教育培訓(xùn)深化企業(yè)的全員信息安全意識(shí),企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行,對(duì)安全問題要做到預(yù)先考慮和防備。
2.2.2要求中小企業(yè)在上網(wǎng)的過程中要做到“一做三不要”
首先將存有重要數(shù)據(jù)的電腦堅(jiān)決同網(wǎng)絡(luò)隔離,同時(shí)設(shè)置開機(jī)密碼,并將軟驅(qū)、硬盤加密鎖定,進(jìn)行三級(jí)保護(hù),其次不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序,因?yàn)檫@些程序不但能記錄用戶的擊鍵動(dòng)作甚至能以快照的形式記錄到屏幕上發(fā)生的一切,同時(shí)不在網(wǎng)上的任何場(chǎng)合下隨意透露自己企業(yè)的任何安全信息,最后不要啟動(dòng)系統(tǒng)資源共享功能,要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機(jī)會(huì)和次數(shù),減少黑客進(jìn)攻的機(jī)會(huì)【1】。
2.2從網(wǎng)絡(luò)安全角度考慮
2.2.1從網(wǎng)絡(luò)安全服務(wù)商的角度來(lái)說(shuō),服務(wù)商要重視中小企業(yè)對(duì)網(wǎng)絡(luò)安全解決方案的需要,充分考慮中小企業(yè)的現(xiàn)實(shí)狀況,仔細(xì)調(diào)查和分析中小企業(yè)的安全因素,開發(fā)出適合中小企業(yè)實(shí)際情況的網(wǎng)絡(luò)安全綜合解決方案。此外,還應(yīng)該注意投入大量精力在安全策略的施行及安全教育的開展方面,這樣才能為中小企業(yè)信息安全工作的順利開展提供堅(jiān)實(shí)的保證。
2.2.2要用防火墻將企業(yè)的局域網(wǎng)(Intranet)與互聯(lián)網(wǎng)之間進(jìn)行隔離。由于網(wǎng)絡(luò)攻擊不斷升級(jí),對(duì)應(yīng)的防火墻軟件也應(yīng)該及時(shí)跟著升級(jí),這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有P網(wǎng)站上下載最新的補(bǔ)丁程序,以便進(jìn)行網(wǎng)絡(luò)維護(hù),同時(shí)經(jīng)常掃描整個(gè)內(nèi)部網(wǎng)絡(luò),以發(fā)現(xiàn)任何安全隱患并及時(shí)更改,才能做到有備無(wú)患【2】。
2.2.3企業(yè)用戶最好自己學(xué)會(huì)如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng),不要經(jīng)常請(qǐng)別人來(lái)協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問題的能力,提高自己的信息安全技術(shù)。如果缺乏這方面的人才就應(yīng)該去引進(jìn)或者培養(yǎng)相關(guān)人才。
2.2.4內(nèi)部網(wǎng)絡(luò)系統(tǒng)的密碼要定期修改。動(dòng)態(tài)的密碼有助于防止黑客的攻擊以及來(lái)自內(nèi)部人員的泄密。
2.2.5要經(jīng)常使用殺毒軟件來(lái)維護(hù)局域網(wǎng)系統(tǒng)不受病毒攻擊。現(xiàn)在國(guó)內(nèi)的殺毒軟件都推出了清除某些特洛伊木馬的功能,可以不定期地在脫機(jī)的情況下進(jìn)行檢查和清除。
2.2.6同其它企業(yè)進(jìn)行聯(lián)合,共同抵制黑客的入侵,一旦被入侵要及時(shí)向有關(guān)部門匯報(bào),并共同查找入侵來(lái)源,鎖定黑客IP地址。將網(wǎng)絡(luò)的TCP起時(shí)限制在15分鐘以內(nèi),減少黑客入侵的機(jī)會(huì)。并擴(kuò)大連接表,增加黑客填寫整個(gè)連接表的難度【3】。
小結(jié)
綜上所述,我國(guó)中小企業(yè)的信息安全問題日益突出。由于受到管理水平、資金、技術(shù)、 意識(shí)等幾方面的制約,中小企業(yè)完全依靠自己解決所有信息化安全問題是不現(xiàn)實(shí)的,它們很難使用大企業(yè)中那種復(fù)雜的信息安全系統(tǒng),因此迫切需要適合中小企業(yè)自身情況的綜合解決措施。
【參考文獻(xiàn)】:
篇3
對(duì)于買方來(lái)說(shuō)電子信息主要優(yōu)點(diǎn)是方便快捷、操作起來(lái)比較簡(jiǎn)單。電子信息對(duì)于賣方來(lái)說(shuō)主要優(yōu)點(diǎn)是管理比較方便并且成本較低,但是電子信息最大的缺點(diǎn)就是買賣雙方不能進(jìn)行交流,主要是貨幣與貨品的交換,并且交易都是通過網(wǎng)絡(luò)進(jìn)行的,之所以交易能夠順利完成,主要的原因是兩者之間存在著誠(chéng)信。關(guān)于誠(chéng)信主要有兩個(gè)方面的內(nèi)容:有一種系統(tǒng)軟件在買賣的過程中起到安全保障的作用,能將虛擬的貨幣符號(hào)轉(zhuǎn)化成真實(shí)的貨幣,同時(shí)也能對(duì)交易起到保護(hù)作用,其中主要是對(duì)貨幣賬戶起到安全保障的作用。要想研究電子信息安全,首先要了解信息的內(nèi)涵。信息主要是指資料、數(shù)據(jù)以及知識(shí)以不同的形式存在,在中小企業(yè)中這類信息主要是指買賣雙方的有關(guān)信息和資料,犯罪分子能通過非法的手段對(duì)電子信息中的買賣雙方采取詐騙行為,或者是通過網(wǎng)絡(luò)對(duì)進(jìn)行入侵和盜竊。信息安全管理標(biāo)準(zhǔn)對(duì)信息做出了詳細(xì)的定義,信息也是屬于資產(chǎn),與其他的資產(chǎn)相同,對(duì)中小企業(yè)的發(fā)展有著重要的作用,是需要法律保護(hù)的。信息安全管理標(biāo)準(zhǔn)將信息劃分為八個(gè)部分,主要包括物理資產(chǎn)、文檔資產(chǎn)、文字資產(chǎn)、服務(wù)資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)以及人力資源資產(chǎn)。
中小企業(yè)的電子信息主要是以網(wǎng)絡(luò)為載體,網(wǎng)絡(luò)的交流主要通過數(shù)據(jù)的傳輸?shù)靡詫?shí)現(xiàn),網(wǎng)上交易就是交流過程中的主要內(nèi)容。所以,在信息安全的范疇中電子信息安全技術(shù)就成為了重點(diǎn)問題。關(guān)于電子信息安全技術(shù)的研究大多是關(guān)于技術(shù)的,但是對(duì)于中小企業(yè)來(lái)說(shuō),不僅要對(duì)技術(shù)進(jìn)行改進(jìn),也要重視管理層,避免信息出現(xiàn)安全問題。
2 電子信息安全的理論
我國(guó)關(guān)于電子信息安全的研究,仍然較為落后。在國(guó)際中的關(guān)于信息安全的主要理論為:三觀安全理論、信息循環(huán)理論以及信息安全模型理論。
三觀安全理論。在中小企業(yè)的電子信息安全系統(tǒng)中,三觀安全理論主要將其分為三個(gè)方面的內(nèi)容,即微觀、中觀以及宏觀。這個(gè)理論主要是將宏觀層面的安全理念轉(zhuǎn)化成微觀層面的管理理念,進(jìn)而對(duì)服務(wù)與生產(chǎn)進(jìn)行指導(dǎo)。
信息安全模型理論。信息安全模型理論是信息安全管理發(fā)展過程中的產(chǎn)物,信息安全模型理論主要是將人、軟件、操作以及信息系統(tǒng)相結(jié)合,并且全面的保護(hù)網(wǎng)絡(luò)信息系統(tǒng)。主要倡導(dǎo)的是一種新的安全觀念,并且提出了不能僅靠程序與軟件對(duì)系統(tǒng)信息安全進(jìn)行保護(hù),要注重動(dòng)態(tài)保護(hù)。此外,關(guān)于電子信息安全問題不能只依賴于安全技術(shù),也要重視管理層安全理念的創(chuàng)新。
電子信息的循環(huán)理論。在實(shí)施網(wǎng)絡(luò)信息安全的過程中電子信息的循環(huán)理論將其劃分為四個(gè)方面:計(jì)劃、執(zhí)行、檢查以及改進(jìn)。這四個(gè)方面是一個(gè)循環(huán)的過程,也是一個(gè)周期,在循環(huán)的過程中,將這個(gè)過程看作是一個(gè)整體的信息安全管理體制,而不是將其看成某一管理過程。
3 電子信息安全技術(shù)對(duì)加強(qiáng)中小企業(yè)信息安全的作用
上文所述的三個(gè)信息安全理論對(duì)中小企業(yè)的信息安全管理有著重要的作用,主要有以下幾個(gè)方面的內(nèi)容。第一是信息安全領(lǐng)域的建設(shè),第二是中小型企業(yè)中加強(qiáng)建設(shè)信息安全組織。美國(guó)信息安全研究所首次提出了信息安全領(lǐng)域,信息安全領(lǐng)域主要是指根據(jù)信息的不同保密程度創(chuàng)建相應(yīng)的保密級(jí)別,網(wǎng)絡(luò)控件的安裝要結(jié)合用戶信息的不同安全級(jí)別,安全信息的選擇要適合用戶的保密級(jí)別。在中小企業(yè)中,電子信息與資料的分類系統(tǒng)應(yīng)該有統(tǒng)一的部門進(jìn)行管理,然后對(duì)信息進(jìn)行分類,并采取不同程度的加密與保密,這類信息主要包含文檔、電子商務(wù)的相關(guān)資料以及服務(wù)等。將這些信息進(jìn)行分類、保密、歸檔以及整合,有利于中小企業(yè)電子信息的調(diào)試。
對(duì)于中小企業(yè)來(lái)說(shuō),一直都存在電子信息安全性不夠的問題,這主要同企業(yè)內(nèi)部安全管理不足有關(guān),安全管理的工作缺少專業(yè)的管理,很多的小型企業(yè)并沒有統(tǒng)一的信息安全管理部門。企業(yè)安全管理部門的主要職能包含這幾個(gè)方面的內(nèi)容:同企業(yè)人力資源管理部門相互配合共同完成工作內(nèi)容,要定期的審查一些特殊崗位的員工,一旦發(fā)現(xiàn)有違反安全規(guī)則的情況,要重新進(jìn)行審查。同時(shí)還要對(duì)員工進(jìn)行保密的培訓(xùn);組織各個(gè)部門的工作,并對(duì)各個(gè)部門的工作進(jìn)行協(xié)調(diào),使企業(yè)的安全目標(biāo)以及戰(zhàn)略得以實(shí)現(xiàn);企業(yè)的安全管理部門主要是對(duì)安全問題的管理、計(jì)劃以及決策負(fù)責(zé)。也是企業(yè)的應(yīng)急部門,要想避免企業(yè)信息的泄露,信息安全管理部門就必須加強(qiáng)對(duì)信息的管理;多聯(lián)系各個(gè)地區(qū)的信息機(jī)構(gòu)以及信息安全管理部門,這樣能給企業(yè)帶來(lái)新的信息安全管理觀念以及安全技術(shù);采取信息安全報(bào)告制,定期的向管理部門匯報(bào)信息安全的保護(hù)狀況,對(duì)于一些重要的事件要及時(shí)的匯報(bào),取得管理層對(duì)信息安全管理工作的支持。
在網(wǎng)絡(luò)工程發(fā)展的同時(shí),電子信息也得到了發(fā)展,電子信息在企業(yè)的發(fā)展中有著重要的作用,企業(yè)對(duì)其也越發(fā)的依賴電子信息。但是這只是一個(gè)虛擬的場(chǎng)所,主要通過網(wǎng)絡(luò)這個(gè)載體來(lái)完成交易,因此安全技術(shù)問題成為了企業(yè)普遍關(guān)注的問題。
[參考文獻(xiàn)]
[1]陳光匡,興華.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009(7).
篇4
關(guān) 鍵 詞:電子信息安全 安全技術(shù) 安全要素
在企業(yè)的管理信息系統(tǒng)中有眾多的企業(yè)文件在流轉(zhuǎn),其中肯定有重要性文件,有的甚至涉及到企業(yè)的發(fā)展前途,如果這些信息在通用過網(wǎng)絡(luò)傳送時(shí)被競(jìng)爭(zhēng)對(duì)手或不法分子竊聽、泄密、篡改或偽造,將會(huì)嚴(yán)重威脅企業(yè)的發(fā)展,所以,中小企業(yè)電子信息安全技術(shù)的研究具有重要意義。
一、中小企業(yè)的信息化建設(shè)意義
在這個(gè)網(wǎng)絡(luò)信息時(shí)代,企業(yè)的信息化進(jìn)程不斷發(fā)展,信息成了企業(yè)成敗的關(guān)鍵,也是管理水平提高的重要途徑。如今企業(yè)的商務(wù)活動(dòng),基本上都采用電子商務(wù)的形式進(jìn)行,企業(yè)的生產(chǎn)運(yùn)作、運(yùn)輸和銷售各個(gè)方面都運(yùn)用到了信息化技術(shù)。如通過網(wǎng)絡(luò)收集一些關(guān)于原材料的質(zhì)量,價(jià)格,出產(chǎn)地等信息來(lái)建立一個(gè)原材料信息系統(tǒng),這個(gè)信息系統(tǒng)對(duì)原材料的采購(gòu)有很大的作用。通過對(duì)數(shù)據(jù)的分析,可以得到跟多的采購(gòu)建議和對(duì)策,實(shí)現(xiàn)企業(yè)電子信息化水準(zhǔn)。有關(guān)調(diào)查顯示,百分之八十二的中小企業(yè)對(duì)網(wǎng)站的應(yīng)還處于宣傳企業(yè)形象,產(chǎn)品和服務(wù)信息,收集客戶資料這一階段,而電子商務(wù)這樣關(guān)系到交易的應(yīng)用還不到四分之一,這說(shuō)明企業(yè)還未充分開發(fā)和利用商業(yè)渠道信息。中小企業(yè)信息化時(shí)代已經(jīng)到來(lái),企業(yè)應(yīng)該加快信息化的建設(shè)。
二、電子信息安全技術(shù)闡述
1、電子信息中的加密技術(shù)
加密技術(shù)能夠使數(shù)據(jù)的傳送更為安全和完整,加密技術(shù)分為對(duì)稱和非對(duì)稱加密兩種。其中對(duì)稱加密通常通過序列密碼或者分組機(jī)密來(lái)實(shí)現(xiàn),包括明文、密鑰、加密算法以及解密算法等五個(gè)基本組成成分。非對(duì)稱加密與對(duì)稱加密有所不同,非對(duì)稱加密需要公開密鑰和私有密鑰兩個(gè)密鑰,公開密鑰和私有密鑰必須配對(duì)使用,用公開密鑰進(jìn)行的加密,只有其對(duì)應(yīng)的私有密匙才能解密。用私有密鑰進(jìn)行的加密,也只有用其相應(yīng)的公開密鑰才能解密。
加密技術(shù)對(duì)傳送的電子信息能夠起到保密的作用。在發(fā)送電子信息時(shí),發(fā)送人用加密密鑰或算法對(duì)所發(fā)的信息加密后將其發(fā)出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無(wú)法理解的。接受著可以利用解密密鑰將密文解密,恢復(fù)成明文。
2、防火墻技術(shù)
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,一些郵件炸彈,病毒木馬和網(wǎng)上黑客等對(duì)網(wǎng)絡(luò)的安全也造成了很大的威脅。企業(yè)的信息化使其網(wǎng)絡(luò)也遭到同樣的威脅,企業(yè)電子信息的安全也難以得到保證。針對(duì)網(wǎng)絡(luò)不安全這種狀況,最初采取的一種保護(hù)措施就是防火墻。在我們的個(gè)人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。
3、認(rèn)證技術(shù)
消息認(rèn)證和身份認(rèn)證是認(rèn)證技術(shù)的兩種形式,消息認(rèn)證主要用于確保信息的完整性和抗否認(rèn)性,用戶通過消息認(rèn)證來(lái)確認(rèn)信息的真假和是否被第三方修改或偽造。身份認(rèn)證使用與鑒別用戶的身份的,包括識(shí)別和驗(yàn)證兩個(gè)步驟。明確和區(qū)分訪問者身份是識(shí)別,確認(rèn)訪問者身份叫驗(yàn)證。用戶在訪問一些非公開的資源時(shí)必須通過身份認(rèn)證。比如訪問高校的查分系統(tǒng)時(shí),必須要經(jīng)過學(xué)號(hào)和密碼的驗(yàn)證才能訪問。高校圖書館的一些資源要校園網(wǎng)才能進(jìn)行訪問,非校園網(wǎng)的不能進(jìn)入,除非付費(fèi)申請(qǐng)一個(gè)合格的訪問身份。
三、中小企業(yè)中電子信息的主要安全要素
1、信息的機(jī)密性
在今天這個(gè)網(wǎng)絡(luò)時(shí)代,信息的機(jī)密性工作似乎變得不那么容易了,但信息直接代表著企業(yè)的商業(yè)機(jī)密,如何保護(hù)企業(yè)信息不被竊取,篡改,濫用以及破壞,如何利用互聯(lián)網(wǎng)進(jìn)行信息傳遞又能確保信息安全性已成為各中小企業(yè)必須解決的重要問題。
2、信息的有效性
隨著電子信息技術(shù)的發(fā)展,各中小企業(yè)都利用電子形式進(jìn)行信息傳遞,信息的有效性直接關(guān)系的企業(yè)的經(jīng)濟(jì)利益,也是個(gè)企業(yè)貿(mào)易順利進(jìn)行的前提條件。所以要排除各種網(wǎng)絡(luò)故障、硬件故障,對(duì)這些網(wǎng)絡(luò)故障帶來(lái)的潛在威脅加以控制和預(yù)防,從而確保傳遞信息的有效性。
3、信息的完整性
企業(yè)交易各方的經(jīng)營(yíng)策略嚴(yán)重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對(duì)交易各方都是非常重要的。在對(duì)信息的處理過程中要預(yù)防對(duì)信息的隨意生成、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業(yè)之間進(jìn)行交易的基礎(chǔ)。
四、解決中小企業(yè)中電子信息安全問題的策略
1、構(gòu)建中小企業(yè)電子信息安全管理體制
解決信息安全問題除了使用安全技術(shù)以外,還應(yīng)該建立一套完善的電子信息安全管理制度,以確保信息安全管
理的順利進(jìn)行。在一般中小企業(yè)中,最初建立的相關(guān)信息管理制度在很大程度上制約著一個(gè)信息系統(tǒng)的安全。如果安全管理制度出了問題,那么圍繞著這一制度來(lái)選擇和使用安全管理技術(shù)及手段將無(wú)法正常進(jìn)行,信息的安全性就得不到保證。完善,嚴(yán)格的電子信息安全管理制度對(duì)信息系統(tǒng)的安全影響很大。在企業(yè)信息系統(tǒng)中,如果沒有嚴(yán)格完善的信息安全管理制度,電子信息安全技術(shù)和相關(guān)的安全工具是不可能發(fā)揮應(yīng)有的作用的。
2、利用企業(yè)的網(wǎng)絡(luò)條件來(lái)提供信息安全服務(wù)
很多企業(yè)的多個(gè)二級(jí)單位都在系統(tǒng)內(nèi)通過廣域網(wǎng)被聯(lián)通, 局域網(wǎng)在各單位都全部建成,企業(yè)應(yīng)該利用這種良好的網(wǎng)絡(luò)條件來(lái)為企業(yè)提供良好的信息安全服務(wù)。通過企業(yè)這一網(wǎng)絡(luò)平臺(tái)技術(shù)標(biāo)準(zhǔn),安全公告和安全法規(guī),提供信息安全軟件下載,安全設(shè)備選型,提供在線信息安全教育和培訓(xùn),同時(shí)為企業(yè)員工提供一個(gè)交流經(jīng)驗(yàn)的場(chǎng)所。
3、定期對(duì)安全防護(hù)軟件系統(tǒng)進(jìn)行評(píng)估、改進(jìn)
隨著企業(yè)的發(fā)展,企業(yè)的信息化應(yīng)用和信息技術(shù)也不斷發(fā)展,人們對(duì)信息安全問題的認(rèn)識(shí)是隨著技術(shù)的發(fā)展而不斷提高的,在電子信息安全問題不斷被發(fā)現(xiàn)的同時(shí),解決信息安全問題的安全防護(hù)軟件系統(tǒng)也應(yīng)該不斷的改進(jìn),定期對(duì)系統(tǒng)進(jìn)行評(píng)估。
總之,各中小企業(yè)電子星系安全技術(shù)包含著技術(shù)和管理,以及制度等因素,隨著信息技術(shù)的不斷發(fā)展,不僅中小企業(yè)辦公室逐漸趨向辦公自動(dòng)化,而且還確保了企業(yè)電子信息安全。
參考文獻(xiàn):
[1]溫正衛(wèi);信息安全技術(shù)在電子政務(wù)系統(tǒng)中的應(yīng)用[j];軟件導(dǎo)刊,2010
篇5
再次,需要根據(jù)自身特點(diǎn)選取適合中小企業(yè)信息安全意識(shí)的培訓(xùn)方法。一般來(lái)說(shuō),至少有三種途徑可以用于企業(yè)進(jìn)行安全意識(shí)培訓(xùn):一是在公司內(nèi)部尋找培訓(xùn)人員和培訓(xùn)部門,進(jìn)行內(nèi)部培訓(xùn);二是聘請(qǐng)外部專業(yè)的培訓(xùn)公司進(jìn)行培訓(xùn);三是考慮依托于網(wǎng)絡(luò)與電腦進(jìn)行培訓(xùn)。但以上任何一種方案都有可能會(huì)超出中小型企業(yè)的能力,這時(shí)候還要根據(jù)企業(yè)自身特點(diǎn)來(lái)安排適當(dāng)?shù)耐緩竭M(jìn)行培訓(xùn)。
那么,能滿足規(guī)模較小的中小企業(yè)提高員工信息安全意識(shí)培訓(xùn)的合理途徑是什么呢?有分析認(rèn)為,可以在以上提到的三種途徑的基礎(chǔ)上加以改動(dòng),形成兩種可用的途徑:一是中小企業(yè)仍然可以使用內(nèi)部資源進(jìn)行范圍性培訓(xùn)或者購(gòu)買網(wǎng)絡(luò)、電腦的培訓(xùn)程序。二是中小企業(yè)可以創(chuàng)造性地在辦公室張貼些成本低的彩色安全意識(shí)海報(bào),對(duì)員工潛移默化地培訓(xùn)。
篇6
Keywords: small and medium-sized enterprises; network security; network security architecture
中圖分類號(hào):TN915.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):2095-2104(2013)
1、中小型企業(yè)網(wǎng)絡(luò)安全問題的研究背景
隨著企業(yè)信息化的推廣和計(jì)算機(jī)網(wǎng)絡(luò)的成熟和擴(kuò)大,企業(yè)的發(fā)展越來(lái)越離不開網(wǎng)絡(luò),而伴隨著企業(yè)對(duì)網(wǎng)絡(luò)的依賴性與日俱增,企業(yè)網(wǎng)絡(luò)的安全性問題越來(lái)越嚴(yán)重,大量的入侵、蠕蟲、木馬、后門、拒絕服務(wù)、垃圾郵件、系統(tǒng)漏洞、間諜軟件等花樣繁多的安全隱患開始一一呈現(xiàn)在企業(yè)面前。近些年來(lái)頻繁出現(xiàn)在媒體報(bào)道中的網(wǎng)絡(luò)安全案例無(wú)疑是為我們敲響了警鐘,在信息網(wǎng)絡(luò)越來(lái)越發(fā)達(dá)的今天,企業(yè)要發(fā)展就必須重視自身網(wǎng)絡(luò)的安全問題。網(wǎng)絡(luò)安全不僅關(guān)系到企業(yè)的發(fā)展,甚至關(guān)乎到了企業(yè)的存亡。
2 、中小型企業(yè)網(wǎng)絡(luò)安全的主要問題
2.1什么是網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全的一個(gè)通用定義:網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)中的軟、硬件設(shè)施及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不會(huì)由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統(tǒng)能夠連續(xù)、可靠地正常運(yùn)行,網(wǎng)絡(luò)服務(wù)不被中斷。網(wǎng)絡(luò)安全從本質(zhì)上說(shuō)就是網(wǎng)絡(luò)上的信息安全。廣義地說(shuō),凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性(抗抵賴性)和可控性的相關(guān)技術(shù)和理論,都是網(wǎng)絡(luò)安全主要研究的領(lǐng)域。
2.2網(wǎng)絡(luò)安全架構(gòu)的基本功能
網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性(抗抵賴性)和可控性又被稱為網(wǎng)絡(luò)安全目標(biāo),對(duì)于任何一個(gè)企業(yè)網(wǎng)絡(luò)來(lái)講,都應(yīng)該實(shí)現(xiàn)這五個(gè)網(wǎng)絡(luò)安全基本目標(biāo),這就需要企業(yè)的網(wǎng)絡(luò)應(yīng)用架構(gòu)具備防御、監(jiān)測(cè)、應(yīng)急、恢復(fù)等基本功能。
2.3中小型企業(yè)的主要網(wǎng)絡(luò)安全問題
中小型企業(yè)主要的網(wǎng)絡(luò)安全問題主要體現(xiàn)在3個(gè)方面.
1、木馬和病毒
計(jì)算機(jī)木馬和病毒是最常見的一類安全問題。木馬和病毒會(huì)嚴(yán)重破壞企業(yè)業(yè)務(wù)的連續(xù)性和有效性,某些木馬和病毒甚至能在片刻之間感染整個(gè)辦公場(chǎng)所從而導(dǎo)致企業(yè)業(yè)務(wù)徹底癱瘓。與此同時(shí),公司員工也可能通過訪問惡意網(wǎng)站、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式,在不經(jīng)意間將病毒和木馬帶入企業(yè)網(wǎng)絡(luò)并進(jìn)行傳播,進(jìn)而給企業(yè)造成巨大的經(jīng)濟(jì)損失。由此可見,網(wǎng)絡(luò)安全系統(tǒng)必須能夠在網(wǎng)絡(luò)的每一點(diǎn)對(duì)蠕蟲、病毒和間諜軟件進(jìn)行檢測(cè)和防范。這里提到的每一點(diǎn),包括網(wǎng)絡(luò)的邊界位置以及內(nèi)部網(wǎng)絡(luò)環(huán)境。
2、信息竊取
信息竊取是企業(yè)面臨的一個(gè)重大問題,也可以說(shuō)是企業(yè)最急需解決的問題。網(wǎng)絡(luò)黑客通過入侵企業(yè)網(wǎng)絡(luò)盜取企業(yè)信息和企業(yè)的客戶信息而牟利。解決這一問題,僅僅靠在網(wǎng)絡(luò)邊緣位置加強(qiáng)防范還遠(yuǎn)遠(yuǎn)不夠,因?yàn)楹诳涂赡軙?huì)伙同公司內(nèi)部人員(如員工或承包商)一起作案。信息竊取會(huì)對(duì)中小型企業(yè)的發(fā)展造成嚴(yán)重影響,它不僅會(huì)破壞中小型企業(yè)賴以生存的企業(yè)商譽(yù)和客戶關(guān)系。還會(huì)令企業(yè)陷入面臨負(fù)面報(bào)道、政府罰金和法律訴訟等問題的困境。
3、業(yè)務(wù)有效性
計(jì)算機(jī)木馬和病毒并不是威脅業(yè)務(wù)有效性的唯一因素。隨著企業(yè)發(fā)展與網(wǎng)絡(luò)越來(lái)越密不可分,網(wǎng)絡(luò)開始以破壞公司網(wǎng)站和電子商務(wù)運(yùn)行為威脅條件,對(duì)企業(yè)進(jìn)行敲詐勒索。其中,以DoS(拒絕服務(wù))攻擊為代表的網(wǎng)絡(luò)攻擊占用企業(yè)網(wǎng)絡(luò)的大量帶寬,使其無(wú)法正常處理用戶的服務(wù)請(qǐng)求。而這一現(xiàn)象的結(jié)果是災(zāi)難性的:數(shù)據(jù)和訂單丟失,客戶請(qǐng)求被拒絕……同時(shí),當(dāng)被攻擊的消息公之于眾后,企業(yè)的聲譽(yù)也會(huì)隨之受到影響。
3如何打造安全的中小型企業(yè)網(wǎng)絡(luò)架構(gòu)
通過對(duì)中小型企業(yè)網(wǎng)絡(luò)存在的安全問題的分析,同時(shí)考慮到中小型企業(yè)資金有限的情況,我認(rèn)為打造一個(gè)安全的中小型企業(yè)網(wǎng)絡(luò)架構(gòu)應(yīng)遵循以下的過程:首先要建立企業(yè)自己的網(wǎng)絡(luò)安全策略;其次根據(jù)企業(yè)現(xiàn)有網(wǎng)絡(luò)環(huán)境對(duì)企業(yè)可能存在的網(wǎng)絡(luò)隱患進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,確定企業(yè)需要保護(hù)的重點(diǎn);最后選擇合適的設(shè)備。
3.1建立網(wǎng)絡(luò)安全策略
一個(gè)企業(yè)的網(wǎng)絡(luò)絕不能簡(jiǎn)簡(jiǎn)單單的就定義為安全或者是不安全,每個(gè)企業(yè)在建立網(wǎng)絡(luò)安全體系的第一步應(yīng)該是定義安全策略,該策略不會(huì)去指導(dǎo)如何獲得安全,而是將企業(yè)需要的應(yīng)用清單羅列出來(lái),再針對(duì)不同的信息級(jí)別給予安全等級(jí)定義。針對(duì)不同的信息安全級(jí)別和信息流的走向來(lái)給予不同的安全策略,企業(yè)需要制定合理的安全策略及安全方案來(lái)確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。對(duì)關(guān)鍵數(shù)據(jù)的防護(hù)要采取包括“進(jìn)不來(lái)、出不去、讀不懂、改不了、走不脫”的五不原則。
“五不原則”:
1.“進(jìn)不來(lái)”——可用性: 授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù),讓非法的用戶不能夠進(jìn)入企業(yè)網(wǎng)。
2.“出不去”——可控性: 控制授權(quán)范圍內(nèi)的信息流向及操作方式,讓企業(yè)網(wǎng)內(nèi)的商業(yè)機(jī)密不被泄密。
3.“讀不懂”——機(jī)密性: 信息不暴露給未授權(quán)實(shí)體或進(jìn)程,讓未被授權(quán)的人拿到信息也看不懂。
4.“改不了”——完整性: 保證數(shù)據(jù)不被未授權(quán)修改。
5.“走不脫”——可審查性:對(duì)出現(xiàn)的安全問題提供依據(jù)與手段。
在“五不原則”的基礎(chǔ)上,再針對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)的不同環(huán)節(jié)采取不同的策略。
3.2 信息安全等級(jí)劃分
根據(jù)我國(guó)《信息安全等級(jí)保護(hù)管理辦法》,我國(guó)所有的企業(yè)都必須對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。具體劃分情況如下:
第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。
第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全。
第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害。
第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。
第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。
因此,中小型企業(yè)在構(gòu)建企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)之前,都應(yīng)該根據(jù)《信息安全等級(jí)保護(hù)管理辦法》,經(jīng)由相關(guān)部門確定企業(yè)的信息安全等級(jí),并依據(jù)界定的企業(yè)信息安全等級(jí)對(duì)企業(yè)可能存在的網(wǎng)絡(luò)安全問題進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。
3.3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估
根據(jù)國(guó)家信息安全保護(hù)管理辦法,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是指由于網(wǎng)絡(luò)系統(tǒng)所存在的脆弱性,因人為或自然的威脅導(dǎo)致安全事件發(fā)生所造成的可能性影響。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估就是指依據(jù)有關(guān)信息安全技術(shù)和管理標(biāo)準(zhǔn),對(duì)網(wǎng)絡(luò)系統(tǒng)的保密性、完整想、可控性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過程。
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估對(duì)企業(yè)的網(wǎng)絡(luò)安全意義重大。首先,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全的基礎(chǔ)工作,它有利于網(wǎng)絡(luò)安全的規(guī)劃和設(shè)計(jì)以及明確網(wǎng)絡(luò)安全的保障需求;另外,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估有利于網(wǎng)絡(luò)的安全防護(hù),使得企業(yè)能夠?qū)ψ约旱木W(wǎng)絡(luò)做到突出防護(hù)重點(diǎn),分級(jí)保護(hù)。
3.4確定企業(yè)需要保護(hù)的重點(diǎn)
針對(duì)不同的企業(yè),其需要保護(hù)的網(wǎng)絡(luò)設(shè)備和節(jié)點(diǎn)是不同的。但是企業(yè)信息網(wǎng)絡(luò)中需要保護(hù)的重點(diǎn)在大體上是相同的,我認(rèn)為主要包括以下幾點(diǎn):
1.要著重保護(hù)服務(wù)器、存儲(chǔ)的安全,較輕保護(hù)單機(jī)安全。
企業(yè)的運(yùn)作中,信息是靈魂,一般來(lái)說(shuō),大量有用的信息都保存在服務(wù)器或者存儲(chǔ)設(shè)備上。在實(shí)際工作中,企業(yè)應(yīng)該要求員工把相關(guān)的資料存儲(chǔ)在企業(yè)服務(wù)器中。企業(yè)可以對(duì)服務(wù)器采取統(tǒng)一的安全策略,如果管理策略定義的好的話,在服務(wù)器上文件的安全性比單機(jī)上要高的多。所以在安全管理中,企業(yè)應(yīng)該把管理的重心放到這些服務(wù)器中,要采用一切必要的措施,讓員工把信息存儲(chǔ)在文件服務(wù)器上。在投資上也應(yīng)著重考慮企業(yè)服務(wù)器的防護(hù)。
2.邊界防護(hù)是重點(diǎn)。
當(dāng)然著重保護(hù)服務(wù)器、存儲(chǔ)設(shè)備的安全并不是說(shuō)整體的防護(hù)并不需要,相反的邊界防護(hù)是網(wǎng)絡(luò)防護(hù)的重點(diǎn)。網(wǎng)絡(luò)邊界是企業(yè)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的分界線,對(duì)網(wǎng)絡(luò)邊界進(jìn)行安全防護(hù),首先必須明確到底哪些網(wǎng)絡(luò)邊界需要防護(hù),這可以通過網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估來(lái)確定。網(wǎng)絡(luò)邊界是一個(gè)網(wǎng)絡(luò)的重要組成部分,負(fù)責(zé)對(duì)網(wǎng)絡(luò)流量進(jìn)行最初及最后的過濾,對(duì)一些公共服務(wù)器區(qū)進(jìn)行保護(hù),VPN技術(shù)也是在網(wǎng)絡(luò)邊界設(shè)備建立和終結(jié)的,因此邊界安全的有效部署對(duì)整網(wǎng)安全意義重大。
3.“”保護(hù)。
企業(yè)還要注意到,對(duì)于某些極其重要的部門,要將其劃為,例如一些研發(fā)部門。類似的部門一旦發(fā)生網(wǎng)絡(luò)安全事件,往往很難估量損失。在這些區(qū)域可以采用虛擬局域網(wǎng)技術(shù)或者干脆做到物理隔離。
4.終端計(jì)算機(jī)的防護(hù)。
最后作者還是要提到終端計(jì)算機(jī)的防護(hù),雖然對(duì)比服務(wù)器、存儲(chǔ)和邊界防護(hù),終端計(jì)算機(jī)的安全級(jí)別相對(duì)較低,但最基本的病毒防護(hù),和策略審計(jì)是必不可少的。
3.5選擇合適的網(wǎng)絡(luò)安全設(shè)備
企業(yè)應(yīng)該根據(jù)自身的需求和實(shí)際情況選擇適合的網(wǎng)絡(luò)安全設(shè)備,并不是越貴越好,或者是越先進(jìn)越好。在這里作者重點(diǎn)介紹一下邊界防護(hù)產(chǎn)品——防火墻的性能參數(shù)的實(shí)際應(yīng)用。
作為網(wǎng)絡(luò)安全重要的一環(huán),防火墻是在任何整體網(wǎng)絡(luò)安全建設(shè)中都是不能缺少的主角之一,并且?guī)缀跛械木W(wǎng)絡(luò)安全公司都會(huì)推出自己品牌的防火墻。在防火墻的參數(shù)中,最常看到的是并發(fā)連接數(shù)、網(wǎng)絡(luò)吞吐量?jī)蓚€(gè)指標(biāo).
并發(fā)連接數(shù):是指防火墻或服務(wù)器對(duì)其業(yè)務(wù)信息流的處理能力,是防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目,它反映出防火墻設(shè)備對(duì)多個(gè)連接的訪問控制能力和連接狀態(tài)跟蹤能力,這個(gè)參數(shù)的大小直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)。由于計(jì)算機(jī)用戶訪問頁(yè)面中有可能包含較多的其他頁(yè)面的連接,按每個(gè)臺(tái)計(jì)算機(jī)發(fā)生20個(gè)并發(fā)連接數(shù)計(jì)算(很多文章中提到一個(gè)經(jīng)驗(yàn)數(shù)據(jù)是15,但這個(gè)數(shù)值在集中辦公的地方往往會(huì)出現(xiàn)不足),假設(shè)企業(yè)中的計(jì)算機(jī)用戶為500人,這個(gè)企業(yè)需要的防火墻的并發(fā)連接數(shù)是:20*500*3/4=7500,也就是說(shuō)在其他指標(biāo)符合的情況下,購(gòu)買一臺(tái)并發(fā)連接數(shù)在10000~15000之間的防火墻就已經(jīng)足夠了,如果再規(guī)范了終端用戶的瀏覽限制,甚至可以更低。
網(wǎng)絡(luò)吞吐量:是指在沒有幀丟失的情況下,設(shè)備能夠接受的最大速率。隨著Internet的日益普及,內(nèi)部網(wǎng)用戶訪問Internet的需求在不斷增加,一些企業(yè)也需要對(duì)外提供諸如WWW頁(yè)面瀏覽、FTP文件傳輸、DNS域名解析等服務(wù),這些因素會(huì)導(dǎo)致網(wǎng)絡(luò)流量的急劇增加,而防火墻作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道,如果吞吐量太小,就會(huì)成為網(wǎng)絡(luò)瓶頸,給整個(gè)網(wǎng)絡(luò)的傳輸效率帶來(lái)負(fù)面影響。因此,考察防火墻的吞吐能力有助于企業(yè)更好的評(píng)價(jià)其性能表現(xiàn)。這也是測(cè)量防火墻性能的重要指標(biāo)。
吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡,及程序算法的效率決定,尤其是程序算法,會(huì)使防火墻系統(tǒng)進(jìn)行大量運(yùn)算,通信量大打折扣。因此,大多數(shù)防火墻雖號(hào)稱100M防火墻,由于其算法依靠軟件實(shí)現(xiàn),通信量遠(yuǎn)遠(yuǎn)沒有達(dá)到100M,實(shí)際只有10M-20M。純硬件防火墻,由于采用硬件進(jìn)行運(yùn)算,因此吞吐量可以達(dá)到線性90-95M,才是真正的100M防火墻。
從實(shí)際情況來(lái)看,中小型企業(yè)由于企業(yè)規(guī)模和人數(shù)的原因,一般選擇百兆防火墻就已經(jīng)足夠了。
3.6投資回報(bào)率
在之前作者曾提到的中小企業(yè)的網(wǎng)絡(luò)特點(diǎn)中資金少是最重要的一個(gè)問題。不論企業(yè)如何做安全策略以及劃分保護(hù)重點(diǎn),最終都要落實(shí)到一個(gè)實(shí)際問題上——企業(yè)網(wǎng)絡(luò)安全的投資資金。這里就涉及到了一個(gè)名詞——投資回報(bào)率。在網(wǎng)絡(luò)安全的投資上,是看不到任何產(chǎn)出的,那么網(wǎng)絡(luò)安全的投資回報(bào)率該如何計(jì)算呢?
首先,企業(yè)要確定公司內(nèi)部員工在使用電子郵件和進(jìn)行WEB瀏覽時(shí),可能會(huì)違反公司網(wǎng)絡(luò)行為規(guī)范的概率。可以將這個(gè)概率稱為暴光值(exposure value (EV))。根據(jù)一些機(jī)構(gòu)對(duì)中小企業(yè)做的調(diào)查報(bào)告可知,通常有25%—30%的員工會(huì)違反企業(yè)的使用策略,作者在此選擇25%作為計(jì)算安全投資回報(bào)率的暴光值。那么,一個(gè)擁有100名員工的企業(yè)就有100x 25% = 25名違反者。
下一步,必需確定一個(gè)因素——當(dāng)發(fā)現(xiàn)單一事件時(shí)將損失多少人民幣。可以將它稱為預(yù)期單一損失(single loss expectancy (SLE))。由于公司中的100個(gè)員工都有可能會(huì)違反公司的使用規(guī)定,因此,可以用這100個(gè)員工的平均小時(shí)工資作為每小時(shí)造成工作站停機(jī)的預(yù)期單一最小損失值。例如,作者在此可以用每小時(shí)10元人民幣作為預(yù)期單一最小損失值。然后,企業(yè)需要確定在一周的工作時(shí)間之內(nèi),處理25名違規(guī)員工帶來(lái)的影響需要花費(fèi)多少時(shí)間。這個(gè)時(shí)間可以用每周總工作量40小時(shí)乘以暴光值25%可以得出為10小時(shí)。這樣,就可以按下列公式來(lái)計(jì)算單一預(yù)期損失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后,企業(yè)要確定這樣的事情在一年中可能會(huì)發(fā)生多少次。可以叫它為預(yù)期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個(gè)星期都會(huì)發(fā)生,一年有52周,如果除去我國(guó)的春節(jié)和十一黃金周的兩個(gè)假期,這意味著一個(gè)企業(yè)在一年中可能會(huì)發(fā)生50次這樣的事件,可以將它稱之為年發(fā)生率(annual rate of occurrence (ARO))。預(yù)期的年均損失(ALE)就等于年發(fā)生率(ARO)乘以預(yù)期單一損失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
這就是說(shuō),該公司在沒有使用安全技術(shù)防范措施的情況下,內(nèi)部員工的違規(guī)網(wǎng)絡(luò)操作行為可能會(huì)給公司每年造成12.5萬(wàn)元人民幣的損失。從這里就可以知道,如果公司只需要花費(fèi)10000元人民幣來(lái)實(shí)施一個(gè)具體的網(wǎng)絡(luò)行為監(jiān)控解決方案,就可能讓企業(yè)每年減少12.5萬(wàn)元人民幣的損失,這個(gè)安全防范方案當(dāng)然是值得去做的。
當(dāng)然,事實(shí)卻并不是這么簡(jiǎn)單的。這是由于安全并不是某種安全技術(shù)就可以解決的,安全防范是一個(gè)持續(xù)過程,其中必然會(huì)牽扯到人力和管理成本等因素。而且,任何一種安全技術(shù)或安全解決方案并不能保證絕對(duì)的安全,因?yàn)檫@是不可能完成的任務(wù)。
就拿本例來(lái)說(shuō),實(shí)施這個(gè)網(wǎng)絡(luò)行為監(jiān)控方案之后,能夠?qū)⑵髽I(yè)內(nèi)部員工的違規(guī)行為,也就是暴光值(EV)降低到2%就已經(jīng)相當(dāng)不錯(cuò)了。而這,需要在此安全防范方案實(shí)施一段時(shí)間之后,例如半年或一年,企業(yè)才可能知道實(shí)施此安全方案后的最終效果,也就是此次安全投資的具體投資回報(bào)率是多少。
篇7
科學(xué)技術(shù)的迅猛發(fā)展,信息化成為現(xiàn)代經(jīng)濟(jì)發(fā)展的重要工具,現(xiàn)如今,信息化已經(jīng)融合在企業(yè)發(fā)展的各個(gè)環(huán)節(jié),如:公司制定的技術(shù)報(bào)告、各種方案、公司設(shè)備的操作、營(yíng)銷計(jì)劃、投資理財(cái)、調(diào)試方案、員工的培訓(xùn)計(jì)劃、公司的客戶信息、合同管理、會(huì)計(jì)財(cái)務(wù)報(bào)表等所有同企業(yè)相關(guān)文件及電子版的文件都已經(jīng)網(wǎng)絡(luò)化和信息化。
1.網(wǎng)絡(luò)及信息安全對(duì)企業(yè)商業(yè)數(shù)據(jù)的防泄漏及保密性具有極其重要的作用。因?yàn)樵诋?dāng)今社會(huì),有些中小企業(yè)有自己比較先進(jìn)的技術(shù)及產(chǎn)品,就會(huì)涉及到商業(yè)數(shù)據(jù)及商業(yè)機(jī)密的保密工作,而這些機(jī)密關(guān)系著企業(yè)的生死存亡。
2.保證企業(yè)數(shù)據(jù)的真實(shí)性和完整性是中小企業(yè)信息安全的必要需求。虛偽的、虛假的、不完整的企業(yè)信息很可能會(huì)造成企業(yè)信譽(yù)度喪失甚至損失訂單,。
3.保證企業(yè)信息的實(shí)用性是中小企業(yè)信息安全的需求。中小企業(yè)必需要防止信息的中斷而影響企業(yè)業(yè)務(wù)的正常運(yùn)作。
二、網(wǎng)絡(luò)信息安全是中小企業(yè)所面臨的重要問題
1.網(wǎng)絡(luò)病毒。通過相關(guān)調(diào)查數(shù)據(jù)我們可以看出,我們?cè)谡{(diào)查中小企業(yè)時(shí),問及使用電腦時(shí),他們最為棘手的問題是啥,有33%的企業(yè)的答案是經(jīng)常受到網(wǎng)絡(luò)病毒的入侵。網(wǎng)絡(luò)病毒將會(huì)對(duì)業(yè)務(wù)的連續(xù)性和有效性進(jìn)行破壞,甚至?xí)斐蓳p失業(yè)務(wù)、毀壞數(shù)據(jù)及對(duì)客戶的滿意度降低等后果。
2.網(wǎng)絡(luò)黑客對(duì)企業(yè)網(wǎng)站的攻擊。目前企業(yè)最為關(guān)注的問題之一仍然是黑客。當(dāng)今,電腦黑客傳播間諜軟件、垃圾廣告、釣魚廣告、垃圾郵件、盜取企業(yè)商業(yè)機(jī)密及攻擊組織團(tuán)體這些手段中小企業(yè)的電腦已成為他們的一個(gè)主要途徑。
3.企業(yè)郵件中的垃圾郵件。中小企業(yè)由于實(shí)力有限,對(duì)于信息化的一些設(shè)備沒有能力及實(shí)力,所以只能租用一些工具。
4.惡意的電腦軟件。網(wǎng)絡(luò)安全人員統(tǒng)計(jì),每年的每一個(gè)季度,都有一百多萬(wàn)的企業(yè)網(wǎng)站被惡意軟件侵入,其中不乏有一部分信任度很好的網(wǎng)站。每十個(gè)網(wǎng)頁(yè)中就有一個(gè)網(wǎng)頁(yè)在毫不知情的情況下托管了惡意軟件。很多上網(wǎng)電腦都會(huì)在未被告知并經(jīng)許可的情況下安裝或曾經(jīng)安裝了各類廣告軟件、瀏覽器劫持、間諜軟件、惡意共享軟件、行為記錄軟件或惡作劇程序,有些間諜軟件、行為記錄軟件能夠在用戶不知情的情況下,在其電腦上安裝后門、收集用戶信息,為黑客打開方便之門,造成了中小企業(yè)信息安全的嚴(yán)重隱患。
5.信息管理失控。由于中小企業(yè)普遍缺乏信息資源、信息資產(chǎn)的保護(hù)意識(shí)和手段,員工流動(dòng)性也較大。
三、在中小企業(yè)中產(chǎn)生網(wǎng)絡(luò)信息安全問題的因素
1.相關(guān)專業(yè)的人才缺少。中小企業(yè)由于實(shí)力、公司規(guī)模都相對(duì)比較小,很難能夠留住這一行業(yè)的頂尖人才,再有就是網(wǎng)絡(luò)信息行業(yè)的人才相當(dāng)缺少,不要說(shuō)中小企業(yè),就是中型企業(yè)的網(wǎng)絡(luò)信息人員也經(jīng)常只是一個(gè)人,而且還經(jīng)常是一個(gè)人身兼多職。
2.中小企業(yè)的職工對(duì)網(wǎng)絡(luò)信息安全意識(shí)落后。中小企業(yè)的職工對(duì)信息安全的意識(shí)比較淡薄。在中小企業(yè)中,我們常常能夠聽說(shuō)職工經(jīng)常會(huì)因?yàn)橐恍┎蛔⒁獾男袨樵斐善髽I(yè)信息安全事故的發(fā)生。
3.公司資金實(shí)力弱小。由于中小企業(yè)的資金實(shí)力比較有限,所以,其在公司網(wǎng)絡(luò)信息安全方面投入非常有限。中小企業(yè)本身自己的資金實(shí)力極有限,一般在需要資金時(shí),均需從外部進(jìn)行融資,另外,中小企業(yè)還普遍存存活率比較低、資產(chǎn)信用度比較低、幾乎沒有資產(chǎn)用來(lái)抵押、信用貸款的風(fēng)險(xiǎn)也比較大,因此一般金融機(jī)構(gòu)不愿意支持中小企業(yè)。
4.中小企業(yè)內(nèi)部職工的不穩(wěn)定性。每個(gè)行業(yè)都會(huì)存在員工的離職問題,而中小企業(yè)由于其自身的原因這種現(xiàn)象尤為嚴(yán)重。
四、我們應(yīng)該如何應(yīng)對(duì)中小企業(yè)網(wǎng)絡(luò)信息安全的問題
我們要解決中小企業(yè)網(wǎng)絡(luò)信息安全問題許多方面考慮。
1.要把網(wǎng)絡(luò)信息安全意識(shí)提高到一個(gè)層次。中小企業(yè)的高層管理人員要重視信息安全,對(duì)自己的員工要經(jīng)常進(jìn)行安全教育,提高企業(yè)員工的安全意識(shí)及信息技術(shù)能力,把員工的信息安全能力提高一個(gè)等級(jí)。企業(yè)自身要健全自己的信息安全制度,認(rèn)識(shí)到信息安全的必要性。
2.需要及時(shí)防病毒、殺病毒。在防病毒、殺病毒方面,企業(yè)一方面,需要不斷地更新電腦系統(tǒng),經(jīng)常修復(fù)漏洞及補(bǔ)丁,避免由于自身系統(tǒng)的漏洞帶來(lái)信息安全問題,另外就是一定要及時(shí)更新殺毒軟件,避免由于病毒入侵而導(dǎo)致計(jì)算機(jī)出現(xiàn)問題。再一方面,中小企業(yè)應(yīng)努力實(shí)現(xiàn)企業(yè)集中安全管理。各企業(yè)應(yīng)該與制作殺毒軟件的服務(wù)商聯(lián)合,雙方共同研制一套適合中小企業(yè)的殺毒軟件,通過采用綜合網(wǎng)絡(luò)管理、主動(dòng)智能化防御、加強(qiáng)型全網(wǎng)漏洞管理、強(qiáng)大的網(wǎng)絡(luò)管理能力等方法來(lái)實(shí)現(xiàn)信息安全。
3.一定要把防火墻設(shè)置好。防火墻是信息的唯一出入口,它是在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全領(lǐng)域之間設(shè)置的。防火墻分為兩種,一是軟件防火墻,另一種是硬件防火墻。企業(yè)自身網(wǎng)絡(luò)和企業(yè)外部網(wǎng)絡(luò)連接的首要條件是硬件防火墻,硬件防火墻的功能比較全面,它比較有效的防止非法攻擊和入侵,而軟件防火墻則是更深一步水位檢查,它通常能檢測(cè)到許多其他防火墻檢測(cè)不出來(lái)的威脅。因此兩者結(jié)合,相互補(bǔ)充,能更好的為中小企業(yè)的信息安全服務(wù)。
4.采取行之有效的反垃圾郵件策略。首先提高企業(yè)員工的安全意識(shí),不隨意打開搜索引擎和他人從郵件和聊天窗口發(fā)來(lái)的鏈接。其次要對(duì)每個(gè)企業(yè)員工的郵箱用戶名進(jìn)行統(tǒng)一管理,同時(shí),加強(qiáng)對(duì)企業(yè)員工郵箱使用的監(jiān)測(cè)。第三,要使用最新的反垃圾郵件技術(shù),有效地處理過濾垃圾郵件。如果企業(yè)自身缺乏相關(guān)技術(shù)人員,可以通過引入外部第三方服務(wù)商來(lái)實(shí)現(xiàn)反垃圾郵件的目的。
5.做好數(shù)據(jù)備份工作
CA公司的BrightStor ARCserve Backup V9,美國(guó)CA公司提供的存儲(chǔ)備份軟件能提供對(duì)主服務(wù)器數(shù)據(jù)庫(kù)的備份,并提供數(shù)據(jù)災(zāi)難級(jí)的恢復(fù),可以為的數(shù)據(jù)提供更加安全,更加高級(jí)的備份存儲(chǔ)方式。
篇8
SaaS是Software-as-a-service的縮寫,中文直譯過來(lái)就是軟件即服務(wù)。在中國(guó)學(xué)術(shù)期刊網(wǎng)絡(luò)出版總庫(kù)中以“SaaS”或“SaaS模式”為題名進(jìn)行檢索,可以分別檢索到893篇、256篇從2006年至今的相關(guān)學(xué)術(shù)文獻(xiàn),可見對(duì)SaaS的相關(guān)研究已經(jīng)具有一定規(guī)模和基礎(chǔ)。許多學(xué)者對(duì)SaaS的概念進(jìn)行了界定,但僅限于措辭上的差異,基本意義相同,即:SaaS是基于互聯(lián)網(wǎng)提供軟件服務(wù)的軟件應(yīng)用模式。在該模式下,服務(wù)提供商將應(yīng)用軟件安裝在自己的服務(wù)器上,用戶可以根據(jù)自身需求,通過網(wǎng)絡(luò)向服務(wù)提供商購(gòu)買所需的應(yīng)用軟件服務(wù),按照購(gòu)買服務(wù)的數(shù)量和時(shí)間向服務(wù)提供商支付費(fèi)用。目前業(yè)內(nèi)平臺(tái)型SaaS做的較好的服務(wù)供應(yīng)商有八百客、Salesforce等。
3 中小企業(yè)應(yīng)用SaaS平臺(tái)模式的必要性分析
3.1 中小企業(yè)應(yīng)用SaaS平臺(tái)模式的必要性。根據(jù)權(quán)威統(tǒng)計(jì)部門數(shù)據(jù),一家中小企業(yè)每年用于企業(yè)信息化方面的投入至少需要20萬(wàn)元,對(duì)于我國(guó)四千多萬(wàn)家中小企業(yè)而言,能夠承受企業(yè)信息化年投入20萬(wàn)元以上的企業(yè)只占這些企業(yè)的5-10%。SaaS平臺(tái)模式減少了企業(yè)購(gòu)買、搭建、維護(hù)等費(fèi)用,是中小企業(yè)實(shí)現(xiàn)信息化的最好途徑。另外,SaaS平臺(tái)模式具有快速實(shí)施和低維護(hù)成本等優(yōu)勢(shì),充分彌補(bǔ)了企業(yè)資金、人才等方面的短缺。相關(guān)數(shù)據(jù)顯示,截至2011年底,SaaS全球市值達(dá)到192億美元,正在被越來(lái)越多的中小企業(yè)用戶選擇使用。
3.2 應(yīng)用SaaS平臺(tái)模式的優(yōu)勢(shì)。與其他傳統(tǒng)商務(wù)模式相比,應(yīng)用SaaS平臺(tái)模式能夠給中小企業(yè)帶來(lái)的好處主要體現(xiàn)在以下幾方面:
①風(fēng)險(xiǎn)小。SaaS平臺(tái)模式主要以托管方式來(lái)提供服務(wù),這較大程度地降低了由軟件開發(fā)給企業(yè)帶來(lái)的巨大投入風(fēng)險(xiǎn)。②投入少。SaaS平臺(tái)模式服務(wù)提供商通常是按照企業(yè)租用平臺(tái)模塊的數(shù)量和時(shí)間進(jìn)行收費(fèi)。因此,SaaS平臺(tái)模式的總體投入要比傳統(tǒng)模式的企業(yè)信息化投入小得多。SaaS平臺(tái)模式與傳統(tǒng)模式的企業(yè)信息化預(yù)算分配對(duì)比如圖1所示(圖中比例僅用于表示不同模式企業(yè)信息化預(yù)算變化趨勢(shì),并不代表真實(shí)比例)。③維護(hù)費(fèi)用低。應(yīng)用SaaS平臺(tái)模式,企業(yè)既不需要支付高額的維護(hù)費(fèi)用又不需要安排專業(yè)人員對(duì)軟件進(jìn)行管理,這從很大程度上緩解了企業(yè)的資金和人力壓力。
■
圖1 SaaS平臺(tái)模式與傳統(tǒng)模式企業(yè)信息化預(yù)算對(duì)比
4 中小企業(yè)應(yīng)用SaaS平臺(tái)模式存在的信息安全隱患
盡管中小企業(yè)應(yīng)用SaaS平臺(tái)模式具有諸多優(yōu)勢(shì),但同時(shí)也面臨著巨大的挑戰(zhàn)。對(duì)于中小企業(yè)特別是處于快速成長(zhǎng)期的中小企業(yè)而言,其最核心的企業(yè)價(jià)值就是客戶的數(shù)據(jù)等信息,因此信息安全是企業(yè)管理者最關(guān)心的問題[4]。由于SaaS平臺(tái)模式的解決方案要求將用戶的全部相關(guān)數(shù)據(jù)存放在服務(wù)供應(yīng)商提供的平臺(tái)上,這使得企業(yè)數(shù)據(jù)在安全性、可靠性、穩(wěn)定性等方面存在較大的信息安全隱患。分析機(jī)構(gòu)IDC的分析師Laura DuBois表示:“中小型企業(yè)必須非常謹(jǐn)慎的挑選供應(yīng)商以存儲(chǔ)他們寶貴的數(shù)據(jù)”。
4.1 安全患。安全患是SaaS平臺(tái)模式面對(duì)的首要問題。對(duì)于企業(yè)來(lái)說(shuō),數(shù)據(jù)的安全性至關(guān)重要,尤其是作為企業(yè)核心機(jī)密的財(cái)務(wù)數(shù)據(jù)和客戶信息。安全患主要體現(xiàn)在以下兩方面:一方面,財(cái)務(wù)管理人員由于缺乏網(wǎng)絡(luò)信息安全知識(shí)和對(duì)信息安全規(guī)則的認(rèn)識(shí)不足而造成的數(shù)據(jù)丟失、泄露等隱患。例如,網(wǎng)上報(bào)賬會(huì)使外界干預(yù)系統(tǒng)的機(jī)會(huì)增多,從而加大了更改訂單、銀行結(jié)算單等惡性事件發(fā)生的可能性。另一方面,由于目前SaaS 平臺(tái)模式數(shù)據(jù)庫(kù)缺少有效的數(shù)據(jù)加密措施,外界可以輕而易舉地從外部打開數(shù)據(jù)庫(kù)并進(jìn)行修改,從而加大了客戶信息遭到泄漏、惡意篡改,甚至被刪除,造成整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓的可能性。
4.2 可靠患。可靠患主要體現(xiàn)在網(wǎng)絡(luò)病毒和非法入侵兩方面。一是由于企業(yè)使用SaaS平臺(tái)模式必須將其局域網(wǎng)與互聯(lián)網(wǎng)相連接,因此,使SaaS平臺(tái)系統(tǒng)感染病毒的機(jī)率大大增加,病毒防范的難度加大,任何在互聯(lián)網(wǎng)上的行為都有可能使SaaS平臺(tái)系統(tǒng)感染病毒。二是由于SaaS平臺(tái)模式采用的是公用通信線路,因此存在惡意損壞網(wǎng)絡(luò)設(shè)備、在網(wǎng)絡(luò)上對(duì)系統(tǒng)進(jìn)行非法入侵活動(dòng)等可靠患。
4.3 穩(wěn)定患。穩(wěn)定患主要是指網(wǎng)絡(luò)延遲。由于SaaS平臺(tái)模式服務(wù)提供商在數(shù)據(jù)庫(kù)設(shè)計(jì)上普遍采用大型商用關(guān)系型數(shù)據(jù)庫(kù)和集群技術(shù),使許多個(gè)企業(yè)用戶共享一個(gè)數(shù)據(jù)庫(kù),當(dāng)用戶訪問量驟然增加時(shí),勢(shì)必增加響應(yīng)延遲,影響平臺(tái)服務(wù)的穩(wěn)定性。
5 防范信息安全隱患的措施
針對(duì)SaaS平臺(tái)模式存在的安全性、可靠性、穩(wěn)定性等信息安全隱患,無(wú)論是SaaS服務(wù)提供商還是企業(yè)用戶,都應(yīng)該積極采取各種防范措施,減少信息安全隱患的發(fā)生。
5.1 增強(qiáng)信息安全防范意識(shí)。提高信息安全防范意識(shí)是保證SaaS平臺(tái)模式信息安全的重要前提。對(duì)于SaaS平臺(tái)模式服務(wù)提供商而言,要增強(qiáng)信息安全防范意識(shí),首先要制定統(tǒng)管全局的信息安全管理制度,明確責(zé)任,使信息安全管理有章可循,有法可依;其次要加強(qiáng)對(duì)系統(tǒng)維護(hù)人員和技術(shù)支持人員的職業(yè)道德教育,使其在職業(yè)操守上能夠恪守職責(zé)。
5.2 確保硬件設(shè)備安全。硬件設(shè)備安全是SaaS平臺(tái)正常運(yùn)營(yíng)的基本保障。SaaS服務(wù)提供商應(yīng)將SaaS平臺(tái)服務(wù)器、通信設(shè)備等硬件設(shè)備設(shè)置在一個(gè)高度安全的場(chǎng)所,該場(chǎng)所應(yīng)具有防火、防盜、防靜電設(shè)施,配有溫度和濕度控制設(shè)備,并且電源安全符合網(wǎng)絡(luò)設(shè)備要求,從而確保硬件設(shè)備安全。
5.3 建立身份認(rèn)證和訪問控制。在認(rèn)證與授權(quán)方面可以通過對(duì)信息操作人員設(shè)置不同的權(quán)限及權(quán)限組合形成多維、多層次、全方位的身份認(rèn)證和訪問控制,最大限度地保證SaaS平臺(tái)模式的安全性和可靠性。
篇9
[文章編號(hào)] 1009-6043(2017)02-0125-03
引言
隨著現(xiàn)代經(jīng)濟(jì)的不斷發(fā)展,越來(lái)越多的企業(yè)應(yīng)用了網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng),但由于使用該系統(tǒng)的水平并沒有達(dá)到一定的要求,無(wú)論是會(huì)計(jì)人員還是系統(tǒng)本身都存在一定的風(fēng)險(xiǎn)和安全隱患,造成了企業(yè)財(cái)務(wù)信息的失真和丟失甚至是泄露。一些中小企業(yè)認(rèn)識(shí)到了問題的重要性,開始研究解決安全患的方法與措施,學(xué)術(shù)界的學(xué)者也紛紛發(fā)表了各自的看法,提供了大量的理論觀點(diǎn)和現(xiàn)實(shí)依據(jù),加強(qiáng)了會(huì)計(jì)信息系統(tǒng)的管理與應(yīng)用,提高了使用的安全性。本文針對(duì)會(huì)計(jì)信息系統(tǒng)尚存在的安全問題進(jìn)一步做了研究,為企業(yè)今后的發(fā)展提供新的參考和依據(jù)。
一、網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的特點(diǎn)
(一)經(jīng)濟(jì)性與高效性
網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)具有經(jīng)濟(jì)性和高效性。從經(jīng)濟(jì)性角度來(lái)看,網(wǎng)絡(luò)環(huán)境最大的特征就是成本低,范圍廣,通過網(wǎng)絡(luò)平臺(tái)將自己的產(chǎn)品,價(jià)格以及功能向大家展示出來(lái)。而會(huì)計(jì)信息系統(tǒng)的建立主要也是通過網(wǎng)絡(luò)進(jìn)行的,只有在此環(huán)境下才更有利于信息的收集和數(shù)據(jù)的分析,同時(shí)也是成本最低的采集信息的方式。對(duì)于會(huì)計(jì)信息的監(jiān)督行為也可以通過網(wǎng)絡(luò)遠(yuǎn)程操控來(lái)實(shí)現(xiàn),對(duì)于企業(yè)會(huì)計(jì)管理更具有經(jīng)濟(jì)性;從高效性的角度來(lái)看,現(xiàn)如今的社會(huì)發(fā)展沒有比網(wǎng)絡(luò)更快捷高效的方式,尤其對(duì)于信息傳播和收集方面,網(wǎng)絡(luò)平臺(tái)掌握著所有可公開的信息,只需要簡(jiǎn)單的搜索就可以實(shí)現(xiàn),尤其是信息的廣泛性,想要針對(duì)任何對(duì)象都可以進(jìn)行快速搜索來(lái)全面了解,會(huì)計(jì)信息系統(tǒng)以最快的速度進(jìn)行反應(yīng)和決策,所以網(wǎng)絡(luò)對(duì)于會(huì)計(jì)信息系統(tǒng)的使用是具有高效性的。
(二)及時(shí)性與實(shí)效性
傳統(tǒng)的會(huì)計(jì)信息處理需要登記賬簿,審核憑證等程序,一系列復(fù)雜的步驟常常耽誤大量的時(shí)間和精力,而網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的建立避免這些繁瑣的程序,財(cái)務(wù)部門對(duì)于所有相關(guān)的企業(yè)信息分門別類進(jìn)行網(wǎng)絡(luò)系統(tǒng)存儲(chǔ),同時(shí)對(duì)信息進(jìn)行及時(shí)的處理和反饋,使企業(yè)最快的做出市場(chǎng)反應(yīng)。針對(duì)一些不斷變化和更新的數(shù)據(jù),更需要在網(wǎng)絡(luò)中進(jìn)行及時(shí)搜索,會(huì)計(jì)根據(jù)信息的用處抓住有效的信息資源,最快速地將信息整合成整體資料,提供給相關(guān)部門,促進(jìn)企業(yè)內(nèi)部工作效率的提高,所以網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)具有及時(shí)性和時(shí)效性等特點(diǎn)。
二、網(wǎng)絡(luò)環(huán)境下中小企業(yè)會(huì)計(jì)信息系統(tǒng)存在的安全問題
(一)財(cái)務(wù)資料保管不嚴(yán)密,易丟失
財(cái)務(wù)資料反應(yīng)的是整個(gè)企業(yè)內(nèi)部資金狀況和經(jīng)營(yíng)現(xiàn)象,關(guān)乎企業(yè)的發(fā)展,是企業(yè)最核心的資料,所以財(cái)務(wù)資料具有保密性的要求。但是目前仍然存在較多的丟失資料和泄露數(shù)據(jù)的現(xiàn)象,一般來(lái)說(shuō)主要是會(huì)計(jì)管理人員的工作責(zé)任。一方面,針對(duì)資料丟失現(xiàn)象,基本是因?yàn)闀?huì)計(jì)人員操作錯(cuò)誤,誤刪或者沒有存儲(chǔ)造成資料丟失;另一方面,如有數(shù)據(jù)泄露,有可能是由于網(wǎng)絡(luò)安全性設(shè)置不完善或者內(nèi)部人員外泄兩個(gè)方面,即使設(shè)置了安全密保,也有可能被專業(yè)人員破解,所以對(duì)于起到保密性的軟件開發(fā)對(duì)企業(yè)的信息安全管理更為重要。
(二)會(huì)計(jì)信息系統(tǒng)存在漏洞,易遭黑客攻擊
現(xiàn)代互聯(lián)網(wǎng)環(huán)境中,黑客攻擊現(xiàn)象越來(lái)越嚴(yán)重,尤其對(duì)于企業(yè)內(nèi)部數(shù)據(jù)的侵襲和盜取造成極大的危害。究其根源,會(huì)計(jì)信息如果遭到網(wǎng)絡(luò)黑客的攻擊,一般是由于系統(tǒng)內(nèi)部存在一定的漏洞,讓黑客鉆了空子,而且目前黑客使用的技術(shù)和軟件都比較先進(jìn),針對(duì)系統(tǒng)存在的漏洞容易發(fā)起攻擊,并能夠瞬間盜走數(shù)據(jù),同時(shí)也可以通過病毒或者木馬進(jìn)行數(shù)據(jù)破壞,導(dǎo)致整個(gè)會(huì)計(jì)信息系統(tǒng)的安全指數(shù)降低,為企業(yè)引入了新的風(fēng)險(xiǎn)。
(三)存在會(huì)計(jì)信息失真問題
會(huì)計(jì)信息失真是指所獲得的會(huì)計(jì)信息和數(shù)據(jù)不能真實(shí)的反應(yīng)相關(guān)的經(jīng)濟(jì)活動(dòng),從而對(duì)企業(yè)的決策造成干擾。一般會(huì)計(jì)信息失真現(xiàn)象來(lái)源于兩個(gè)方面,一方面是來(lái)源渠道出現(xiàn)問題,造成會(huì)計(jì)人員無(wú)意采用了不真實(shí)的數(shù)據(jù),大部分原因是因?yàn)楝F(xiàn)代網(wǎng)絡(luò)數(shù)據(jù)確實(shí)有不實(shí)的現(xiàn)象,會(huì)計(jì)人員專業(yè)水平不夠,會(huì)難以分辨數(shù)據(jù)的真?zhèn)危涣硪环矫媸怯捎跁?huì)計(jì)工作人員素質(zhì)低下,收到外部環(huán)境的誘惑或者收買,有意偽造信息,從事了扭曲真實(shí)信息的非正常經(jīng)濟(jì)活動(dòng)。會(huì)計(jì)信息失真現(xiàn)象最根本的原因在于企業(yè)內(nèi)部管理的缺失,才會(huì)引起大量數(shù)據(jù)不真實(shí)和員工的違規(guī)行為,企業(yè)必須引起重視,有效的控制企業(yè)會(huì)計(jì)信息失真現(xiàn)象。
(四)網(wǎng)絡(luò)會(huì)計(jì)人員缺乏,系統(tǒng)應(yīng)用不深入
現(xiàn)代中小型企業(yè)員工的知識(shí)和技能水平較低,尤其是計(jì)算機(jī)水平,大多數(shù)人都達(dá)不到要求。目前網(wǎng)絡(luò)會(huì)計(jì)專業(yè)人員較少,一部分表現(xiàn)為計(jì)算機(jī)知識(shí)和使用技能缺乏,對(duì)軟件和系統(tǒng)的應(yīng)用不熟練和不專業(yè),造成網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)存在較大的安全性問題。現(xiàn)代網(wǎng)絡(luò)環(huán)境十分復(fù)雜,功能也較多,常常會(huì)有惡意程序進(jìn)入電腦,因?yàn)闀?huì)計(jì)人員安全意識(shí)薄弱,而且專業(yè)度不夠,很難發(fā)展?jié)撛诘奈kU(xiǎn),盲目的進(jìn)行操作和處理,無(wú)疑會(huì)對(duì)信息系統(tǒng)造成巨大的破壞。即使是經(jīng)驗(yàn)豐富的會(huì)計(jì)人員,不能合理和科學(xué)的操控計(jì)算機(jī)也無(wú)法勝任網(wǎng)絡(luò)會(huì)計(jì)一職,否則出現(xiàn)操作不嚴(yán)密和不規(guī)范的現(xiàn)象,會(huì)嚴(yán)重?fù)p壞系統(tǒng)的正常運(yùn)作,甚至造成大量數(shù)據(jù)遺失,這會(huì)給企業(yè)帶來(lái)更多的安全隱患。
三、網(wǎng)絡(luò)環(huán)境下中小企業(yè)會(huì)計(jì)信息系統(tǒng)問題存在的原因
(一)會(huì)計(jì)人員操作不規(guī)范
現(xiàn)代網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的建立是為了更好的適應(yīng)信息化時(shí)代的要求,但是對(duì)于計(jì)算機(jī)使用水平要求較高,會(huì)計(jì)人員常常會(huì)因?yàn)椴僮鞑灰?guī)范影響系統(tǒng)的正常運(yùn)行。會(huì)計(jì)操作不規(guī)范一方面是指對(duì)電腦軟件使用不熟悉甚至是不了解,數(shù)據(jù)收集以及分析處理都不能有效的使用軟件進(jìn)行,很難發(fā)揮財(cái)務(wù)軟件的多方面功能和作用,尤其進(jìn)行不懂裝懂的錯(cuò)誤操作,使軟件完全失去了功能,也失去了效應(yīng);另一方是指面對(duì)問題處理操作使用的不規(guī)范也是造成安全隱患的重要原因。每個(gè)系統(tǒng)都會(huì)階段性的出現(xiàn)問題,如果不能及時(shí)有效的處理就會(huì)對(duì)系統(tǒng)造成更嚴(yán)重的損害,還需要花費(fèi)大量的時(shí)間進(jìn)行修復(fù)。而會(huì)計(jì)人員如果在面對(duì)故障時(shí)不但不會(huì)因?yàn)椴涣私舛艞壧幚恚炊M(jìn)行了不合理的操作,將會(huì)造成無(wú)法彌補(bǔ)的損失,對(duì)企業(yè)整體的內(nèi)部財(cái)務(wù)環(huán)境具有嚴(yán)重的破壞性。
(二)網(wǎng)絡(luò)安全控制制度不健全
許多企業(yè)都是因?yàn)楣芾碇贫热笔г斐纱罅康陌踩C(jī)。會(huì)計(jì)信息系統(tǒng)存在安全隱患的額一部分原因是由于網(wǎng)絡(luò)安全控制制度不健全。對(duì)于安全性能、操作規(guī)范程度、策略方法等都尚未建立一整套安全控制制度,同時(shí)對(duì)于網(wǎng)絡(luò)安全的監(jiān)督體制也不完善,對(duì)于某些小型企業(yè)甚至沒有相關(guān)制度。管理人員因?yàn)闆]有意識(shí)到管理體制,尤其是安全管理體制的重要性,那么出現(xiàn)安全問題也很難及時(shí)高效的處理。國(guó)家需要有法可依,那么企業(yè)需要有制度作為依據(jù)才能有序的經(jīng)營(yíng),安全是所有企業(yè)最重視的最核心的問題。尤其面對(duì)網(wǎng)絡(luò)環(huán)境,安全性是第一位,所以會(huì)計(jì)信息系統(tǒng)的安全制度如果不健全,必會(huì)對(duì)企業(yè)信息安全造成一定影響和破壞,阻礙企業(yè)經(jīng)濟(jì)的發(fā)展和進(jìn)步。
(三)網(wǎng)絡(luò)系統(tǒng)本身的權(quán)限開放
會(huì)計(jì)信息系統(tǒng)并非獨(dú)立的系統(tǒng),集成化信息模式使系統(tǒng)不在單獨(dú)針對(duì)會(huì)計(jì)或者財(cái)務(wù)部門開放,整個(gè)企業(yè)的物流、資金流、顧客訂單等都將在互聯(lián)網(wǎng)平臺(tái)共享,而會(huì)計(jì)信息的安全性能只屬于企業(yè)安全管理的一部分。會(huì)計(jì)信息的管理權(quán)限如果沒有得到有效的控制,那么必然會(huì)造成信息或者數(shù)據(jù)被無(wú)意或者有意的泄露。如果是過于復(fù)雜的權(quán)限設(shè)置,由于約束條件比較多,例如用戶的身份、不同時(shí)間等,限制相關(guān)人員數(shù)據(jù)收集和信息處理,而且還存在大量臨時(shí)設(shè)立的權(quán)限,存在更多的不安全成分。因此權(quán)限的設(shè)置和控制會(huì)對(duì)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全性造成一定的影響。
(四)會(huì)計(jì)人員職業(yè)道德和信息化水平低
網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)主要依靠會(huì)計(jì)來(lái)進(jìn)行管理和控制,主動(dòng)權(quán)基本掌握在會(huì)計(jì)工作人員的手上,所以會(huì)計(jì)人員的職業(yè)道德和信息化水平影響著網(wǎng)絡(luò)信息安全。大量的數(shù)據(jù)丟失和泄露有60%的原因是由于會(huì)計(jì)人員的職業(yè)道德低下,禁不住誘惑會(huì)出現(xiàn)一些虛假記賬或者泄露信息等行為,而且企業(yè)關(guān)注會(huì)計(jì)人員管理的制度如果不完善,缺乏懲罰制度,更加使會(huì)計(jì)工作人員不會(huì)堅(jiān)持原則和嚴(yán)格遵守職業(yè)道德,這樣會(huì)計(jì)人員會(huì)不斷出現(xiàn)造假泄密的問題,導(dǎo)致企業(yè)財(cái)務(wù)受損。然而,會(huì)計(jì)人員的信息水平低也是造成信息系統(tǒng)存在安全隱患的原因,錯(cuò)誤的操作會(huì)使數(shù)據(jù)誤刪等現(xiàn)象出現(xiàn),所以,對(duì)于網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全性受會(huì)計(jì)人員的控制,也取決于會(huì)計(jì)人員的道德素質(zhì)和信息化技能水平。
四、網(wǎng)絡(luò)環(huán)境下中小企業(yè)會(huì)計(jì)信息系統(tǒng)問題的解決對(duì)策
(一)規(guī)范操作步驟,明確工作流程
對(duì)于網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全管理,中小企業(yè)應(yīng)該規(guī)范操作步驟,明確工作流程。對(duì)于規(guī)范操作步驟方面,主要針對(duì)的是會(huì)計(jì)人員對(duì)系統(tǒng)的操作,對(duì)于數(shù)據(jù)的收集、處理、分析、整合等各個(gè)過程都需要制定操作步驟,確保每個(gè)人嚴(yán)格執(zhí)行,避免錯(cuò)誤性操作帶來(lái)的危害,同時(shí)對(duì)相關(guān)會(huì)計(jì)人員進(jìn)行定期培訓(xùn),對(duì)于所制定的操作步驟存在的問題進(jìn)行完善。針對(duì)工作流程,企業(yè)應(yīng)該建立一整套基本流程,明確各人員的責(zé)任分工,確保每一項(xiàng)任務(wù)都有具體人員負(fù)責(zé),然后要求大家對(duì)整體工作流程有所了解,在完成自己負(fù)責(zé)的任務(wù)的基礎(chǔ)上協(xié)助他人,將整個(gè)會(huì)計(jì)信息系統(tǒng)進(jìn)行規(guī)范化和程序化管理。
(二)建立健全網(wǎng)絡(luò)安全控制制度
網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)應(yīng)該建立以及不斷完善網(wǎng)絡(luò)安全控制制度。第一,建立網(wǎng)絡(luò)風(fēng)險(xiǎn)控制制度,對(duì)于會(huì)計(jì)信息系統(tǒng)可能發(fā)生的風(fēng)險(xiǎn)進(jìn)行預(yù)警和控制,做出處理預(yù)案,針對(duì)不同的風(fēng)險(xiǎn)進(jìn)行分類以及提出不同處理方法,根據(jù)建立的風(fēng)險(xiǎn)管理體制應(yīng)對(duì)不同種類的風(fēng)險(xiǎn);第二,建立會(huì)計(jì)人員管理體制,信息系統(tǒng)的安全大部分取決于會(huì)計(jì)人員的素質(zhì)和技術(shù)水平,企業(yè)應(yīng)該建立有效的員工管理體制,對(duì)其保密性和負(fù)責(zé)的態(tài)度都需要不斷加強(qiáng),根據(jù)體制進(jìn)行對(duì)員工工作的規(guī)范化管理以及獎(jiǎng)懲手段實(shí)施;第三,建立信息應(yīng)用管理制度,主要是針對(duì)信息的輸入,處理以及輸出的控制,方便會(huì)計(jì)人員進(jìn)行分析、檢測(cè)和預(yù)防等;第四,建立網(wǎng)絡(luò)信息訪問權(quán)限控制,對(duì)于比較隱秘性和重要性的信息和數(shù)據(jù)的訪問應(yīng)該設(shè)置訪問權(quán)限,確保是專業(yè)人員進(jìn)行高技術(shù)設(shè)置,盡量避免被黑客盜取和破壞,同時(shí)對(duì)于內(nèi)部公開性信息可以建立簡(jiǎn)單的員工內(nèi)部訪問權(quán)限,主要是為了提醒大家這屬于企業(yè)內(nèi)部可公開的資源,如果有外泄現(xiàn)象仍然會(huì)嚴(yán)重處理。
(三)加強(qiáng)會(huì)計(jì)信息系統(tǒng)硬件管理和軟件升級(jí)
針對(duì)會(huì)計(jì)信息系統(tǒng)的軟硬件都需要強(qiáng)化和進(jìn)一步管理。硬件方面應(yīng)該負(fù)責(zé)專門會(huì)計(jì)人員進(jìn)行監(jiān)督管理,未經(jīng)授權(quán)的其他人不能直接使用計(jì)算機(jī),使用獨(dú)立的服務(wù)器,拒絕其他存儲(chǔ)設(shè)備外接到計(jì)算機(jī)設(shè)備上造成干擾,在電源、防火、防水等方面嚴(yán)格把關(guān),必須要求有專門人員進(jìn)行機(jī)房的管理;針對(duì)軟件方面,應(yīng)該適應(yīng)現(xiàn)代信息技術(shù)水平,勇于開發(fā)新的功能技術(shù)軟件,同時(shí)對(duì)原有軟件針對(duì)其漏洞不斷升級(jí),保證最先進(jìn)的軟件技術(shù)。
(四)提升會(huì)計(jì)人員職業(yè)道德素質(zhì)和信息化技能
會(huì)計(jì)人員的職業(yè)道德素質(zhì)與信息化技能是影響網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全的重要因素。企業(yè)針對(duì)會(huì)計(jì)人員道德素質(zhì)方面,需要對(duì)會(huì)計(jì)人員進(jìn)行日常行為的角度和評(píng)價(jià),對(duì)員工心理變化及時(shí)發(fā)現(xiàn),同時(shí)應(yīng)該建立合理的激勵(lì)機(jī)制,對(duì)于突出表現(xiàn)的員工給予物質(zhì)或者精神獎(jiǎng)勵(lì),反過來(lái)對(duì)于泄密造假等行為必須給予懲罰,實(shí)行制度的同時(shí)確保公平公開性原則,這樣員工整體的職業(yè)道德素質(zhì)會(huì)被有效的控制;對(duì)于員工的信息化水平的提高,應(yīng)該為員工創(chuàng)造多次培訓(xùn)學(xué)習(xí)以及深造的機(jī)會(huì),充分掌握市場(chǎng)上最流行先進(jìn)的技術(shù)手段,保證員工信息化水平與市場(chǎng)同步,這樣網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全運(yùn)行才會(huì)有所保障。
(五)持續(xù)評(píng)估控制會(huì)計(jì)信息風(fēng)險(xiǎn)
企業(yè)面對(duì)會(huì)計(jì)信息風(fēng)險(xiǎn),應(yīng)該保證持續(xù)評(píng)估和控制。每次對(duì)于數(shù)據(jù)的處理和信息的反饋都包含多方面內(nèi)容的整合,會(huì)計(jì)人員應(yīng)該學(xué)會(huì)整個(gè)過程的評(píng)估和控制,可以首先建立科學(xué)評(píng)估指標(biāo),依據(jù)指標(biāo)進(jìn)行對(duì)現(xiàn)有信息系統(tǒng)進(jìn)行評(píng)估,預(yù)測(cè)潛在的風(fēng)險(xiǎn),然后采用針對(duì)性的戰(zhàn)略措施進(jìn)行有效的控制。對(duì)于風(fēng)險(xiǎn)的評(píng)估不能間斷,需要專業(yè)人員實(shí)時(shí)檢測(cè)和監(jiān)督,及時(shí)發(fā)現(xiàn)問題和故障,針對(duì)預(yù)測(cè)的風(fēng)險(xiǎn)做出預(yù)案,這樣才會(huì)有效的規(guī)避風(fēng)險(xiǎn),促進(jìn)企業(yè)信息管理正常運(yùn)作和持續(xù)的發(fā)展。
結(jié)語(yǔ)
目前網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)應(yīng)用較為廣泛,現(xiàn)代企業(yè)隨著市場(chǎng)的變化和要求不斷地提高,逐漸加強(qiáng)了企業(yè)內(nèi)部環(huán)境的技術(shù)水平。網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)是一個(gè)比較復(fù)雜的現(xiàn)代系統(tǒng),在數(shù)據(jù)的輸入與輸出過程中存在較多的安全隱患,一部分來(lái)源于會(huì)計(jì)人員的自身問題,一部分來(lái)源于網(wǎng)絡(luò)本身的不安全性,這都會(huì)對(duì)系統(tǒng)有一定的破壞性,從而對(duì)企業(yè)的財(cái)務(wù)信息管理造成危害。所以企業(yè)管理層已經(jīng)引起了注意,開始關(guān)注針對(duì)系統(tǒng)的風(fēng)險(xiǎn)和安全管理與控制問題,現(xiàn)有的理論基礎(chǔ)和體制尚不完善,從會(huì)計(jì)人員來(lái)看仍然存在道德素質(zhì)低下與技術(shù)水平不合格的現(xiàn)象,從網(wǎng)絡(luò)技術(shù)來(lái)看還存在一定的漏洞和不足,需要進(jìn)一步的改進(jìn)和加強(qiáng)。本文的研究主要針對(duì)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)現(xiàn)存的問題進(jìn)行針對(duì)性的提出建議,為現(xiàn)代中小企業(yè)提供了參考依據(jù),也為企業(yè)的管理發(fā)展奠定了現(xiàn)實(shí)基礎(chǔ)。
[參 考 文 獻(xiàn)]
篇10
1.2會(huì)計(jì)云計(jì)算的優(yōu)勢(shì)
(1)降低了中小型企業(yè)信息化的成本。
在中小型企業(yè)中有些企業(yè)的信息化程度不高,他們所采用的服務(wù)器規(guī)模也不是很大,但是運(yùn)行卻很慢,整體的質(zhì)量也不是很高。企業(yè)的信息化領(lǐng)域不是很大,它有一定的局限性,只是在財(cái)務(wù)、銷售等領(lǐng)域來(lái)運(yùn)行,這樣來(lái)保障企業(yè)的信息化管理。隨著會(huì)計(jì)云計(jì)算的出現(xiàn),企業(yè)再也不用對(duì)服務(wù)器和信息處理進(jìn)行較大的投資,可以通過向供應(yīng)商租賃軟件和硬件來(lái)實(shí)現(xiàn)企業(yè)的信息化,這樣就會(huì)降低企業(yè)的經(jīng)營(yíng)成本。還有就是以前企業(yè)對(duì)于維護(hù)服務(wù)器和升級(jí)軟件也要投入一定的資金,但現(xiàn)在有了云計(jì)算之后,這一部分的開支就可以省下來(lái)了。整個(gè)下來(lái)就降低了企業(yè)對(duì)信息化處理的成本了。
(2)中小型企業(yè)會(huì)計(jì)信息化拓展得到了保障。
既然供應(yīng)商為企業(yè)提供了最適應(yīng)于企業(yè)的信息處理軟件,供應(yīng)商就會(huì)不斷的更新這些軟件,使得軟件能夠提供更多、更優(yōu)質(zhì)的服務(wù)。對(duì)于企業(yè)來(lái)說(shuō),通過軟件的更新獲得最先進(jìn)的信息管理技術(shù),最大程度上自身對(duì)信息的需求,并且也降低了會(huì)計(jì)信息化建設(shè)當(dāng)中的風(fēng)險(xiǎn)。利用會(huì)計(jì)云計(jì)算技術(shù)還可以與其他相關(guān)的部門或者是企業(yè)共享財(cái)務(wù)信息,會(huì)計(jì)信息也得到了擴(kuò)展。
2.云環(huán)境下的信息安全
2.1設(shè)置訪問認(rèn)證
供應(yīng)商為企業(yè)提供的軟件服務(wù)基本上都是統(tǒng)一認(rèn)證的,這對(duì)企業(yè)來(lái)說(shuō)就是不安全的,所以服務(wù)商應(yīng)該將中小型企業(yè)的部門人員進(jìn)行信息和登錄信息的編組,并且存儲(chǔ)在服務(wù)商的內(nèi)部資料當(dāng)中,這樣就形成了該企業(yè)的訪客信息數(shù)據(jù)庫(kù),當(dāng)有用戶登陸的時(shí)候服務(wù)商就對(duì)訪客進(jìn)行信息核對(duì)并進(jìn)行認(rèn)證,通過的訪客就可以查看對(duì)應(yīng)于自己權(quán)限的財(cái)務(wù)情況。
2.2數(shù)據(jù)安全傳送
現(xiàn)如今數(shù)據(jù)的傳輸過程不是不安全的,一些黑客通過網(wǎng)絡(luò)竊取所需要的企業(yè)財(cái)務(wù)信息或者是商業(yè)信息,有些還會(huì)篡改財(cái)務(wù)數(shù)據(jù)等等,中小型企業(yè)應(yīng)該把云端的SQL數(shù)據(jù)庫(kù)進(jìn)行加密,或者是開辟一條專用的網(wǎng)絡(luò)傳輸通道,前者可以使得被盜信息在讀取的時(shí)候不夠完整,后者可以使信息在傳輸?shù)倪^程中丟失的幾率降低。
2.3保持網(wǎng)絡(luò)穩(wěn)定
會(huì)計(jì)的核算是連續(xù)性的,這樣就要保證網(wǎng)絡(luò)傳輸?shù)乃俣群唾|(zhì)量。云服務(wù)器以及數(shù)據(jù)庫(kù)中的數(shù)據(jù)在傳輸當(dāng)中不能出現(xiàn)擁堵或者是丟包的現(xiàn)象,丟包就會(huì)使得數(shù)據(jù)不完整,影響到企業(yè)的整個(gè)財(cái)務(wù)鏈。在此同時(shí)還要對(duì)斷電事故有應(yīng)急預(yù)案。
2.4保證商業(yè)秘密的安全
一個(gè)企業(yè)的商業(yè)秘密被泄漏,會(huì)對(duì)這個(gè)企業(yè)造成不同程度的損害。一旦云端數(shù)據(jù)中心存儲(chǔ)的核心財(cái)務(wù)數(shù)據(jù)被泄露或盜取,就會(huì)牽連到中小型企業(yè)的發(fā)展,有些甚至?xí)?duì)其生存產(chǎn)生巨大的影響。因此,中小型企業(yè)要有效的降低這種風(fēng)險(xiǎn),保留一部分級(jí)別高的數(shù)據(jù)掌握在自身手里。與此同時(shí)還應(yīng)該建立動(dòng)態(tài)商業(yè)機(jī)密監(jiān)控機(jī)制,規(guī)范訪問流程,建立起應(yīng)對(duì)泄密事件發(fā)生時(shí)的反應(yīng)機(jī)制。
篇11
隨著中國(guó)企業(yè)信息化系統(tǒng)的不斷完善,信息化平臺(tái)已經(jīng)從固定互聯(lián)網(wǎng)向移動(dòng)互聯(lián)網(wǎng)延伸。與此同時(shí),信息安全問題也逐漸面臨更多的挑戰(zhàn)。
對(duì)大多數(shù)信息化企業(yè)而言,其經(jīng)營(yíng)計(jì)劃、知識(shí)產(chǎn)權(quán)、生產(chǎn)工藝、業(yè)務(wù)流程、推廣方案、客戶資源等重要數(shù)據(jù)都將融入移動(dòng)互聯(lián)網(wǎng),而這些數(shù)據(jù)不僅是企業(yè)發(fā)展的方向和動(dòng)力,更關(guān)乎企業(yè)的生存與命運(yùn)。
如何保證這些數(shù)據(jù)的安全,并且只容許那些擁有相應(yīng)權(quán)限的企業(yè)員工方便地訪問它們?這個(gè)問題已經(jīng)不再像以往“收好保險(xiǎn)柜鑰匙”那么簡(jiǎn)單了。
無(wú)論是大型企業(yè)還是中小型企業(yè),信息安全的建設(shè)都是信息化建設(shè)的首要任務(wù)之一。盡管如今的企業(yè)移動(dòng)信息平臺(tái)已經(jīng)能夠勝任電子郵件系統(tǒng)、視頻通話系統(tǒng)、企業(yè)內(nèi)網(wǎng)等大部分原有基于固定互聯(lián)網(wǎng)的信息平臺(tái)的工作,ERP、SCM、CRM、OA等系統(tǒng)也都可以順利地向移動(dòng)信息平臺(tái)擴(kuò)展,但是,在擴(kuò)展之前,企業(yè)一定要制定好一套完整的移動(dòng)安全策略。只有這樣,才能讓移動(dòng)信息平臺(tái)的安全策略與整個(gè)信息化系統(tǒng)保持一致。因此,配套而完整的移動(dòng)安全策略非常重要,因?yàn)槠髽I(yè)需要的不只是移動(dòng)終端的安全,更需要企業(yè)所有信息的安全。
移動(dòng)信息平臺(tái)的安全性首先體現(xiàn)在后臺(tái)管理系統(tǒng)對(duì)移動(dòng)終端的控制力上。一套出色的后臺(tái)管理系統(tǒng)應(yīng)該不僅可以遠(yuǎn)程管理終端閱覽信息的權(quán)限、調(diào)整終端的安全設(shè)置、控制終端可使用的功能,在必要時(shí)還能刪除終端上的數(shù)據(jù),以保證企業(yè)信息的安全。
那么,企業(yè)在制定移動(dòng)安全策略時(shí),具體應(yīng)當(dāng)考慮哪些方面的舉措呢?根據(jù)RIM公司長(zhǎng)期的實(shí)踐經(jīng)驗(yàn)來(lái)看,主要應(yīng)注意企業(yè)防火墻、無(wú)線數(shù)據(jù)傳輸、移動(dòng)終端、病毒及惡意軟件、企業(yè)安全標(biāo)準(zhǔn)、安全策略和安全合規(guī)等7個(gè)方面。另外,合規(guī)安全也應(yīng)作為重要因素考慮進(jìn)企業(yè)的移動(dòng)安全策略當(dāng)中。
企業(yè)防火墻是防止企業(yè)網(wǎng)絡(luò)遭受攻擊的重要屏障。由于移動(dòng)終端通常在防火墻外部使用,防火墻端口的保護(hù)就顯得尤為重要。完備的移動(dòng)解決方案不僅要確保智能手機(jī)正常連接企業(yè)內(nèi)網(wǎng),還不能影響企業(yè)防火墻設(shè)置中的現(xiàn)有安全策略,繼而保證防火墻端口的安全。
基于移動(dòng)互聯(lián)網(wǎng)的無(wú)線數(shù)據(jù)傳輸是信息安全的重要一環(huán),確保無(wú)線數(shù)據(jù)傳輸具備高度的保密性、完整性和真實(shí)性也非常關(guān)鍵。這要求移動(dòng)安全策略不但要保證無(wú)線數(shù)據(jù)的安全性,同時(shí)還能驗(yàn)證無(wú)線數(shù)據(jù)的來(lái)源,從根本上保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>
長(zhǎng)期以來(lái),病毒和惡意軟件都是企業(yè)IT管理部門頭疼的問題,但現(xiàn)在,這個(gè)問題已經(jīng)能夠得到很好的解決。服務(wù)于世界500強(qiáng)的RIM公司研發(fā)的智能手機(jī)操作系統(tǒng),具有的獨(dú)特性和先進(jìn)架構(gòu)使其幾乎不可能被病毒或惡意軟件攻擊。同時(shí),該企業(yè)推出的移動(dòng)解決方案(BES)的高度安全性也保證了整個(gè)企業(yè)移動(dòng)解決方案不會(huì)給企業(yè)信息安全帶來(lái)絲毫風(fēng)險(xiǎn)。
此外,移動(dòng)解決方案還需與企業(yè)現(xiàn)有的信息化系統(tǒng)具備絕佳的兼容性,其中包括對(duì)企業(yè)安全標(biāo)準(zhǔn)的兼容。需要指出的是,方案的部署不應(yīng)以改變企業(yè)的安全策略為代價(jià),而是要能很好地支持現(xiàn)有標(biāo)準(zhǔn)。此外,完備的移動(dòng)解決方案還能幫助企業(yè)網(wǎng)絡(luò)管理員很方便地建立、增強(qiáng)及更新安全策略。RIM的移動(dòng)解決方案不但對(duì)所有相關(guān)設(shè)備都具有很強(qiáng)的綜合控制能力,還能夠令企業(yè)的移動(dòng)信息平臺(tái)真正成為一個(gè)有機(jī)整體,確保安全策略的周全。
篇12
在辦公室里指疾如風(fēng)地在鍵盤上敲打數(shù)據(jù)、處理工作的時(shí)候,你是不是也曾經(jīng)一次又一次對(duì)電腦屏幕右下角浮現(xiàn)的更新圖標(biāo)視而不見呢?即使已經(jīng)有提示框跳到屏幕中央,你是不是也會(huì)不耐煩地點(diǎn)擊“忽略”、“下次再提醒我”呢?除了升級(jí)本身會(huì)導(dǎo)致的電腦運(yùn)行緩慢,升級(jí)完成后必需的電腦重啟工作也讓人不勝其煩,而本來(lái)習(xí)慣的軟件界面和功能選項(xiàng)的不斷修訂也需要時(shí)間重新適應(yīng),在手頭業(yè)務(wù)繁忙的時(shí)候,一般的軟件更新簡(jiǎn)直就是一場(chǎng)噩夢(mèng)!
不過數(shù)據(jù)證明,逃避軟件更新雖然暫時(shí)保證了工作的流暢,卻為日后的信息安全埋下了隱患。知名信息安全廠商卡巴斯基實(shí)驗(yàn)室日前在報(bào)告中指出: 2010年第三季度在用戶計(jì)算機(jī)中檢測(cè)出的10個(gè)分布最廣泛的漏洞中,有多個(gè)是其供應(yīng)商在2007至2009年間就提供過相應(yīng)補(bǔ)丁程序的。造成這一局面的原因,就是很多用戶不經(jīng)常升級(jí)計(jì)算機(jī)中的軟件。
當(dāng)然,要規(guī)避這些危險(xiǎn)并不是不可能的,如果出于節(jié)省時(shí)間和精力的目的不愿意經(jīng)常進(jìn)行常規(guī)軟件的更新和打補(bǔ)丁,那么就一定要配備具備超強(qiáng)時(shí)效性的安全解決方案,以應(yīng)對(duì)隨時(shí)可能出現(xiàn)的針對(duì)性漏洞攻擊。在這一方面,作為業(yè)內(nèi)唯一能做到每小時(shí)更新病毒庫(kù)的卡巴斯基無(wú)疑是相當(dāng)不錯(cuò)的選擇。第一時(shí)間對(duì)新生惡意程序進(jìn)行響應(yīng),是無(wú)數(shù)企業(yè)的首要需求,也符合患有“更新恐懼癥”的員工們最迫切的需要。但是每小時(shí)更新是不是與用戶對(duì)不斷更新重啟這一軟件行為的排斥相矛盾呢?對(duì)于這一問題,卡巴斯基相關(guān)負(fù)責(zé)人表示,卡巴斯基企業(yè)版產(chǎn)品不會(huì)給用戶帶來(lái)這一方面的困擾,無(wú)論是病毒庫(kù),還是反病毒模塊,只要是一般情況下的常規(guī)更新,都無(wú)需進(jìn)行計(jì)算機(jī)重啟,可大大減少對(duì)用戶日常工作的影響;而更新過程中亦不會(huì)降低電腦的運(yùn)行速度,除了因?yàn)榭ò退够捎玫男录夹g(shù)使用了更小的下載安裝包以外,還因?yàn)楦鲁绦蛲耆梢杂晒芾韱T統(tǒng)一設(shè)置為后臺(tái)運(yùn)行,用戶幾乎完全感覺不到這一過程。
俗話說(shuō):一物降一物。卡巴斯基前瞻性的防御技術(shù)、實(shí)時(shí)更新的反病毒數(shù)據(jù)庫(kù)和獨(dú)到的“后臺(tái)無(wú)干擾升級(jí)”,就是 “更新恐懼癥”的一大克星。而解決了這一看似不起眼的細(xì)節(jié)問題,才能確保反病毒數(shù)據(jù)庫(kù)的實(shí)時(shí)更新,從根本上保證企業(yè)的信息數(shù)據(jù)安全。
篇13
經(jīng)過近幾年的發(fā)展,中國(guó)鐵建股份有限公司(以下簡(jiǎn)稱中國(guó)鐵建)的信息化工作全面展開,眾多信息化項(xiàng)目的實(shí)施,大量信息系統(tǒng)的上線應(yīng)用,有力地促進(jìn)了企業(yè)核心競(jìng)爭(zhēng)力的提升。
隨著信息系統(tǒng)不斷建成與投入應(yīng)用,信息資源擁有量快速增長(zhǎng),對(duì)信息安全的保障需求日顯強(qiáng)烈,信息安全管控建設(shè)的滯后與日益增長(zhǎng)的信息安全需求的矛盾日益突出。中國(guó)鐵建根據(jù)國(guó)內(nèi)外成熟的信息安全標(biāo)準(zhǔn)和方法,結(jié)合企業(yè)業(yè)務(wù)發(fā)展戰(zhàn)略和企業(yè)特點(diǎn),構(gòu)建符合本公司業(yè)務(wù)實(shí)際和安全需要的信息安全管控體系,全面提升信息安全保障能力,并取得了初步效果。另外,信息安全等級(jí)保護(hù)制度作為國(guó)家在信息安全保障管理上的根本制度,具有強(qiáng)制性的特征,也要求企業(yè)認(rèn)真加以貫徹落實(shí)。
在實(shí)際工作中利用怎樣的手段來(lái)保障信息安全管控體系、信息安全等級(jí)保護(hù)制度得到切實(shí)執(zhí)行,成為亟待需要解決的問題。
為此,結(jié)合中國(guó)鐵建所屬各單位地域分布廣、信息化水平差距大的特點(diǎn),經(jīng)過初步探索,將信息安全指標(biāo)納入了中國(guó)鐵建信息化績(jī)效評(píng)價(jià)體系,與各子分公司領(lǐng)導(dǎo)考核掛鉤,從“信息安全事故”和“等級(jí)保護(hù)”兩個(gè)維度、四項(xiàng)指標(biāo),通過定量對(duì)比分析,對(duì)各單位的信息安全工作進(jìn)行評(píng)價(jià),以推進(jìn)信息安全持續(xù)改進(jìn)。
2 考核原則
(1)公開、公平、公正。嚴(yán)格按照考核細(xì)則對(duì)被考核單位,在公開、公平、公正的環(huán)境中,進(jìn)行客觀的評(píng)價(jià)。
(2)實(shí)事求是。被考核單位應(yīng)如實(shí)反映信息安全工作情況,提供的相關(guān)資料和數(shù)據(jù)真實(shí)可信。
(3)遵循規(guī)劃、貫徹制度、檢查效果、保障安全。考核指標(biāo)的提出以信息安全規(guī)劃、制度為依據(jù),重點(diǎn)在信息化建設(shè)效果并保障信息安全。
(4)區(qū)別對(duì)待,逐步演進(jìn)。根據(jù)子公司規(guī)模、成長(zhǎng)階段、業(yè)務(wù)特點(diǎn)的不同,區(qū)別對(duì)待;根據(jù)信息安全建設(shè)重點(diǎn),不同年度有不同的考核重點(diǎn),逐步演進(jìn)。
3 考核指標(biāo)
中國(guó)鐵建大量的信息系統(tǒng)處于建設(shè)時(shí)期,因此每年對(duì)指標(biāo)進(jìn)行調(diào)整。目前,根據(jù)信息系統(tǒng)等級(jí)保護(hù)評(píng)價(jià)指標(biāo)體系的原則要求, 選擇具有可操作性、可以量化的指標(biāo),從信息安全事故和信息系統(tǒng)安全等級(jí)保護(hù)兩個(gè)維度,信息安全事件、等級(jí)保護(hù)定級(jí)率、等級(jí)保護(hù)備案率、等級(jí)保護(hù)測(cè)評(píng)通過率四項(xiàng)指標(biāo)進(jìn)行了考核。
3.1 信息安全事件
信息安全事件及分級(jí)以中國(guó)鐵建《信息安全事件管理規(guī)定》定義為準(zhǔn)。信息安全事件分為特別重大事件(I級(jí))、重大事件(Ⅱ級(jí))和一般事件(Ⅲ級(jí))三個(gè)級(jí)別。
指標(biāo)要點(diǎn)
(1)信息系統(tǒng)安全事件級(jí)別的確定。從類別劃分,信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施安全功能故障、災(zāi)害性事件等五種;從級(jí)別劃分,信息安全事件分為特別重大事件(I級(jí))、重大事件(Ⅱ級(jí))和一般事件(Ⅲ級(jí))三個(gè)級(jí)別。
(2)信息安全事件的瞞報(bào)。對(duì)于發(fā)生信息安全事件后,隱瞞事故,在規(guī)定時(shí)限內(nèi)不主動(dòng)向上級(jí)部門如實(shí)報(bào)告的情況,除扣除其該項(xiàng)考核成績(jī)外,按照股份公司有關(guān)規(guī)定進(jìn)行通報(bào)并嚴(yán)肅處理;對(duì)多次發(fā)生信息安全事件的單位,將加強(qiáng)監(jiān)督檢查,并責(zé)令其徹底整改。
3.2 等保定級(jí)率
考核年度在建至驗(yàn)收投入應(yīng)用各階段的信息系統(tǒng)與歷年上報(bào)的定級(jí)報(bào)告不重復(fù)累計(jì)數(shù)之比。
指標(biāo)要點(diǎn)
(1)信息系統(tǒng)定級(jí)準(zhǔn)確性。部分單位認(rèn)為信息系統(tǒng)定級(jí)級(jí)別越高,就要花費(fèi)更多的資金、精力,加重單位負(fù)擔(dān),因此將基礎(chǔ)信息網(wǎng)絡(luò)、門戶網(wǎng)站、郵件、財(cái)務(wù)等重要信息系統(tǒng)定為一級(jí),以逃避備案、測(cè)評(píng)。
針對(duì)這種情況,股份公司按照《信息系統(tǒng)安全等級(jí)保護(hù)區(qū)域劃分原則與定級(jí)指南》,對(duì)信息系統(tǒng)定級(jí)進(jìn)行規(guī)范,并對(duì)定為一級(jí)、二級(jí)的信息系統(tǒng)進(jìn)行重點(diǎn)檢查,避免定級(jí)不準(zhǔn)確。
(2)信息系統(tǒng)數(shù)量準(zhǔn)確性。部分單位在實(shí)施等保工作時(shí),上報(bào)的信息系統(tǒng)數(shù)量小于實(shí)際建設(shè)數(shù)量。因此,在實(shí)際操作中,本考核項(xiàng)的分母“信息系統(tǒng)數(shù)”以該單位編制信息化項(xiàng)目預(yù)算時(shí)上報(bào)的信息系統(tǒng)數(shù)量為準(zhǔn)。
(3)需提供加蓋本單位公章的《定級(jí)報(bào)告》掃描件。
3.3 等保備案率
考核年度在建至驗(yàn)收投入應(yīng)用各階段的信息系統(tǒng)數(shù)與歷年上報(bào)的備案證書不重復(fù)累計(jì)數(shù)之比。
指標(biāo)要點(diǎn)
(1)備案公安機(jī)關(guān)的選擇。針對(duì)部分單位未根據(jù)國(guó)家法律法規(guī)選擇合適公安機(jī)關(guān)備案的情況,股份公司在的《信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》中規(guī)定:股份公司統(tǒng)建系統(tǒng),三級(jí)及以上系統(tǒng)向公安部網(wǎng)絡(luò)安全保衛(wèi)局備案、二級(jí)系統(tǒng)向北京市公安局鐵道建筑公安局備案;駐京單位自建信息系統(tǒng)向北京市公安局鐵道建筑公安局備案;京外單位自建信息系統(tǒng)向當(dāng)?shù)厥屑?jí)及以上公安機(jī)關(guān)備案。
(2)等保備案率的確定。等保備案率中的分母“信息系統(tǒng)數(shù)”,指的是該單位編制信息化項(xiàng)目預(yù)算時(shí)上報(bào)的信息系統(tǒng)數(shù)量,并非已定級(jí)的信息系統(tǒng)數(shù)量。
(3)需提供公安機(jī)關(guān)出具的《備案證明》掃描件。
3.4 等保測(cè)評(píng)通過率
歷年上報(bào)的定級(jí)備案證書不重復(fù)累計(jì)數(shù)與歷年測(cè)評(píng)通過的信息系統(tǒng)不重復(fù)累計(jì)數(shù)之比。
指標(biāo)要點(diǎn)
(1)測(cè)評(píng)報(bào)告符合率。為防止部分單位將工作精力側(cè)重于取得測(cè)評(píng)報(bào)告,而忽視了對(duì)測(cè)評(píng)中反映出的安全問題的整改,在實(shí)際工作中,重點(diǎn)對(duì)測(cè)評(píng)不符合率較高的信息系統(tǒng)進(jìn)行抽查,責(zé)令單位定期進(jìn)行整改。
(2)需提供合格測(cè)評(píng)機(jī)構(gòu)出具的加蓋測(cè)評(píng)機(jī)構(gòu)公章的《安全等級(jí)測(cè)評(píng)報(bào)告》掃描件。
4 考核權(quán)重
4.1 信息安全事件
附加分項(xiàng),最高減K分。出現(xiàn)一次I級(jí)信息安全事件、減K分;出現(xiàn)一次級(jí)信息安全事件、減K/2分,最多減K分。
4.2 等保定級(jí)率
基本分項(xiàng),滿分K分。考核年度在建至驗(yàn)收投入應(yīng)用各階段的信息系統(tǒng)數(shù)為A,歷年上報(bào)的定級(jí)報(bào)告不重復(fù)累計(jì)數(shù)為B,定級(jí)率M=B/A,平均定級(jí)率∑M=∑B/∑A。定級(jí)率得分S=min{(M/∑M)×K,K}。
4.3 等保備案率
基本分項(xiàng),滿分K分。考核年度在建至驗(yàn)收投入應(yīng)用各階段的信息系統(tǒng)數(shù)為A,歷年上報(bào)的備案證書不重復(fù)累計(jì)數(shù)為C,備案率M=C/A,平均備案率∑M=∑C/∑A。備案率得分S=min{(M/∑M)×K,K}。
4.4 等保通過率
基本分項(xiàng),滿分K分。歷年上報(bào)的定級(jí)備案證書不重復(fù)累計(jì)數(shù)為C,歷年測(cè)評(píng)通過的信息系統(tǒng)不重復(fù)累計(jì)數(shù)為D,測(cè)評(píng)通過率M=D/C,平均測(cè)評(píng)通過率∑M=∑D/∑C。測(cè)評(píng)通過率得分S=min{(M/∑M)×K,K}。
5 指標(biāo)計(jì)算
考核指標(biāo)項(xiàng)分基本分項(xiàng)、附加分項(xiàng)兩類。以本單位基本分項(xiàng)滿分(Ai)為基數(shù),用實(shí)際得分(Bi)計(jì)算其得分率(Mi=Bi/Ai),除以最高得分率(Mmax),再乘以信息安全工作績(jī)效指標(biāo)分(C),即為信息安全工作考核實(shí)際得分(Si=C×Mi/Mmax)。
6 結(jié)束語(yǔ)
本文對(duì)中國(guó)鐵建將信息安全指標(biāo)納入信息化績(jī)效評(píng)價(jià)體系進(jìn)行了概述, 提出了綜合評(píng)價(jià)的方法,希望能借以推進(jìn)本企業(yè)信息安全工作的開展,提高信息系統(tǒng)的安全性,并切實(shí)將國(guó)家法律法規(guī)落到實(shí)處。從實(shí)際執(zhí)行效果看,已經(jīng)取得了一定的成效。
參考文獻(xiàn)
[1] GB/T 22239―2008,信息系統(tǒng)安全等級(jí)保護(hù)基本要求.
[2] GB 17859-1999,安全等級(jí)保護(hù)劃分準(zhǔn)則.