前言:中文期刊网精心挑选了信息安全管理规则范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全管理规则范文1
关键词:移动互联网;公共信息;安全保障;机制
一、移动互联网巩固信息安全概述
移动互联网信息主要是指利用移动互联网,可以存取、访问的涉及到公共利益的信息。移动互联网公共信息安全具有几个特点:第一,具备较好的保密性。移动互联网的公共信息不会在未授权的情况下被解析或者使用。第二,具备较好的完整性。信息在传播途径中不会被肆意篡改。第三。具备很好的实用性。几乎在任何情况或场景下,信息都能够在满足用户基本需求的情况下加以使用。第四,具备很好的真实性。在信息交互的过程中,信息的者和来源通常都是真实可信的。
二、移动互联网公共信息安全制约因素
(一)移动互联网的全民使用
移动互联网在信息安全的保障上之所以会遇到各种阻碍,一个很大的原因在于移动互联网有着非常大的使用群体。在全民使用的背景下,移动互联网的管制权限被很大程度分散。由于使用者在使用目的、使用方法和使用模式上的差异,使得移动互联网资源在管理和保护上很容易发生各种分歧,这不仅使得信息安全的保障工作更难于展开,也使得信息安全问题更加广泛与普遍。
(二)移动互联网的监管不力
我国针对移动互联网信息安全的监管和保障工作在实施上仍然有较大的革新与完善空间。客观来说,针对移动互联网的信息安全管理仍然存在很多监管不力的情况。不仅如此,由于很多管理问题界定的不够明确,且管理人员观念的滞后,管理模式的低效,这些都是的信息安全的管理难以收获相应的成效。
(三)相关技术发展的滞后
信息安全的管理需要借助大量技术手段展开,但是,目前国内针对移动互联网信息安全管理的技术仍然整体滞后。从实际情况来看,我国在移动互联网的发展和整体的管理上仍然处于起步阶段,因此,在管理模式和保障机制的建设上仍然在不断探索,各类有效的管理技术还没有真正发展起来。不仅如此,由于我国移动互联网的很多核心技术来源于国外这使得在进行管理规则和标准的制定上会受到这些国家的制约,这也是我们经常会看到移动互联网被窃听或者扰等各类信息频繁产生的原因。由于我国自由的信息安全管理技术的滞后,这极大的阻碍了信息安全保障体系的建立,也让整个移动互联网的管理处于被动的状态。
(四)信息安全保障机制的缺乏
信息安全需要一套完善健全的保障机制作为依托,但是,目前我国针对移动互联网的信息安全管理制度和保障机制的建设仍然非常滞后。不仅相关的法律条文不够完善健全,缺乏良好的可实践性,整个相关部门也没有加强对于公共信息安全的监督管理,并没有采取强有力的措施来保障这部分工作。这些都会产生很多潜在问题,不仅让信息安全得不到相应的保障,也会直接影响到移动互联网使用的便利性。
三、移动互联网公共信息安全保障机制
(一)政府职能部门发挥积极作用
网络信息安全的管理与实施,这需要国家政府职能部门加强统筹管理,并且在管理制度的建设上有良好落实。对于一个国家的网络信息安全的管理工作而言,政府部门肩负着绝对的主导和主要的管理职能。政府只有提升对于这部分工作的重视程度,才会相应在法律的制定和管理模式的建立上多下功夫,才能够维护良好的整体网络安全环境。政府不仅要在政策层面加强监管,也要对于相应的职能部门和机构做更深入的管理。这样才能够推动这些部门功效的发挥,能够营造更好的网络安全的管理环境和实施氛围。
(二)加强信息安全法律建设
加强信息安全的法律建设,这是提升移动互联网信息安全的有效措施。具体来说可以采取一些相应的管理手段。比如,建立手机实名制法律。
(三)推动管理机构的建立
高质量的信息安全管理和保障机制的建设需要相应的管理机构来完成各项具体工作。目前,我国针对移动互联网的信息安全管理机构整体上不太完善与健全,因此,很有必要在这个环节上进行严格把关,推动管理机构的良好建立,并且让其功效得到充分发挥。这样才能够提供良好的保障体系,让各类管理和监督工作可以真正落到实处。
信息安全管理规则范文2
[基金项目]教育部人文社会科学研究规划项目(10YJA790182);南京审计学院校级一般项目(NSK2009/B22);江苏省优势学科“审计科学与技术”研究项目
[作者简介]刘国城(1978― ),男,内蒙古赤峰人,南京审计学院讲师,硕士,从事审计理论研究。
第27卷第3期2012年5月审计与经济研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012
[摘要]在分析中观信息系统风险与损失的成因基础上,借鉴BS7799标准,一方面从物理层次与逻辑层次两个方面研究中观信息系统固有风险的评价模式;另一方面从一般控制与应用控制两个层面探索中观信息系统内部控制的评价机制。基于BS7799标准对中观信息系统审计进行研究,旨在为IT审计师有效实施中观信息系统审计提供应用指南。
[关键词]BS7799标准;中观审计;信息系统审计;内部控制;中观信息系统;中观信息系统风险
[中图分类号]F239.4[文献标识码]A[文章编号]10044833(2012)03005007
所谓中观信息系统审计就是指审计主体依据特定的规范,运用科学系统的程序方法,对中观信息系统网络的运行规程与应用政策实施的一种监督活动,旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性,以保障中观信息系统的高效运行[1]。中观信息系统的审计主体即IT审计师需要重视中观信息系统审计的复杂性,且有必要借助BS7799标准,构建并完善中观信息系统审计的实施流程,优化中观信息系统审计工作,提高审计质量。之所以需要借助BS7799标准,是因为BS7799标准的众多功能可以满足中观信息系统审计工作的需求。在尚未有详细信息系统审计(以下简称“IS审计”)规范的条件下,中观信息系统审计对信息安全管理策略的需求巨大,而BS7799标准恰恰是问世较早且相对成熟的信息安全管理标准,它能够确保在计算机网络系统进行自动通信、信息处理和利用时,在各个物理位置、逻辑区域、存储和传媒介质中,较好地实现保密性、完整性、有效性与可用性,能够在信息管理与计算机科学两个层面加强信息安全管理向中观信息系统审计的理论转化,中观信息系统审计的需求与BS7799标准的功能具备整合的可行性。
一、 BS7799标准
1995年,英国贸工部制定了世界首部信息安全管理体系标准“BS77991:1995《信息安全管理实施规则》”,并作为各类组织实施信息安全管理的指南[2],由于该标准采用建议和指导的方式编写,因而不作为认证标准使用;1998年,英国又制定了信息安全管理体系认证标准“BS77992:1998《信息安全管理体系规范》”,作为对组织信息安全管理体系进行评审认证的标准[3];1999年,英国再次对信息安全管理体系标准进行了修订,形成“BS77991:1999”与“BS77992:1999”这一对配套标准;2000年12月,“BS77991:1999”被ISO/IEC正式采纳为国际标准“ISO/IEC17799:2000《信息技术:信息安全管理实施规则》”,此外,“BS77992:1999”也于2002年底被ISO/IEC作为蓝本修订,成为可用于认证的“ISO/IEC《信息安全管理体系规范》”;2005年,BS77991与BS77992再次改版,使得体系更为完善。BS7799标准体系包含10个管理要项、36个管理目标、127个控制目标及500多个管理要点。管理要项如今已成为组织实施信息安全管理的实用指南;安全控制目标能够帮助组织识别运作过程中影响信息安全的因素。BS77991几乎涵盖了所有的安全议题,它主要告诉IT审计师安全管理的注意事项与安全制度。BS77992详细说明了建立、实施和维护信息安全管理的要求,指出组织在实施过程中需要遵循的风险评估等级,从而识别最应该控制的对象并对自身需求进行适当控制。BS77991为信息系统提供了通用的控制措施,BS77992则为BS77991的具体实施提供了应用指南。
国外相对成熟的信息安全管理理论较多,它们各有千秋,彼此之间相互补充且有交叉。BS7799标准仅是众多信息安全管理理论中的一种,与传统审计方法相比,仅适用于IS审计范畴。然而,BS7799标准的特别之处表现在:其一,它是一部通用的信息安全管理指南,呈现了较为全面的系统安全控制措施,阐述了安全策略和优秀的、具有普遍意义的安全操作方法,能够为IT审计师开展审计工作提供全程支持;其二,它遵循“计划-行动-控制-改善方案”的风险管理思想,首先帮助IT审计师规划信息安全审计的方针和范围,其次在审计风险评估的基础上选择适当的审计方法及风险控制策略并予以实施,制定持续性管理规划,建立并运行科学的中观信息系统审计执行体系。
二、 中观信息系统的风险与损失
中观信息系统风险是指成功利用中观信息系统的脆弱性或漏洞,并造成系统损害的可能性。中观信息系统风险极其庞杂且非常普遍,每个中观信息系统面临的风险都是不同的,这种风险可能是单一的,也可能是组合的[4]。中观信息系统风险包括:人员风险、组织风险、物理环境风险、信息机密性风险、信息完整性风险、系统风险、通信操作风险、设施风险、业务连续性风险、法律风险及黏合风险(见图1),它们共同构成了中观信息系统的风险体系,各种风险除具有各自的特性外,有时还可能相互作用。
中观信息系统风险的成因离不开外来威胁与系统自身的脆弱性,且风险的最终后果就是损失。图1中的“a.威胁性”是系统的“风险源”,它是由于未授权访问、毁坏、数据修改以及拒绝服务等给系统造成潜在危害的任何事件。中观信息系统的威胁来自于人为因素及非人为因素两个方面。人为因素是对中观信息系统造成威胁的决定性力量,人为因素造成威胁的主体有竞争对手、网络黑客、不满员工或正常员工。图1中的“b.脆弱性”是指在系统安全程序、管理控制、物理设计中存在的、可能被攻击者利用来获得未授权信息或破坏关键处理的弱点,由物理环境、技术问题、管理问题、法律问题四个方面组成。图1中的“d.风险承受力”是指在中观信息系统遭遇风险或受到攻击时,维持业务运行最基本的服务和保护信息资产的抵抗力、识别力、恢复力和自适应能力。
中观信息系统风险的产生有两种方式:一是遵循“abc”路径,这条路径形成的风险为中观信息系统“固有风险”,即假定中观信息系统中不存在内部控制制度,从而造成系统存在严重错误与不法行为的可能性。该路径的作用形式为人为因素或非人为因素是风险源,对中观信息系统构成威胁,该威胁产生后寻找并利用系统的脆弱点(假定中观信息系统对该脆弱点没有设计内控制度),当威胁成功作用于脆弱点后,就对系统进行有效攻击,进而产生中观信息系统风险。二是遵循“abPc”路径,该路径所形成的风险为中观信息系统的“控制风险”,即内部控制制度体系未能及时预防或发现系统中的某些错误或不法行为,以致中观信息系统遭受损失的可能性。与“abc”路径比较,该路径多出“P.内部控制”过程,这说明当威胁已产生并将利用系统的脆弱点时,中观经济主体已经对该脆弱点设计了内控制度体系,但是由于内部控制制度设计的不科学、不完善或没有得到有效执行,从而造成内部控制未能阻止“威胁”,致使中观信息系统形成风险。中观信息系统损失的形成遵循“cde”路径。然而,由于中观信息系统自身具有一定的风险防御能力(即“d.风险承受力”),因而并非所有风险都将造成损失。当中观信息系统识别并抵抗部分风险后,最终未能消除的风险通过对系统的负面作用,会给中观信息系统造成间接或直接的损失。
三、 中观信息系统固有风险的评价模式
图1中的“abc”路径是中观信息系统固有风险产生的路径,固有风险形成的条件是“假定不存在内部控制制度”。评价固有风险是中观信息系统审计准备阶段的一项基础工作,只有正确评价固有风险,才能合理评估审计风险,准确确定审计范围并制定审计计划[56]。笔者认为,BS7799标准之所以能够有效评价中观信息系统的固有风险,是因为BS7799标准的管理要项、管理目标,控制措施与管理要点组成了信息安全管理体系,这个体系为IT审计师确定与评价系统固有风险提供了指南[7]。BS7799标准对IT审计师评价固有风险的贡献见上表1。
(一) 物理层次的风险评价
物理层次的内容包括物理环境安全与物理环境设备[7],其中,物理环境安全包括硬件接触控制、预防灾难措施和网络环境安全;物理环境设备包括支持设施、硬件设备和网络物理环境。针对上述分类,下面对物理层次风险评价进行具体分析。
首先是物理环境安全风险评价。在评价物理环境安全风险时,可以借鉴BS7799标准A、B、D1、D3、E、G8、H5、I、J。例如,IT审计师在了解被审中观信息系统的“预防灾难措施”时,可参照“A.安全方针”,依据BS7799对“安全方针”进行阐述,了解被审系统的“信息安全方针”,关注被审系统在相关的“方针与策略”中是否估计到了系统可能遭遇的所有内外部威胁;当威胁发生时,是否有具体的安全保护规定及明确的预防措施;对于方针的执行,是否对每位员工都有所要求。假若IT审计师在审计中未找到被审系统的“安全方针”,或找到了但“安全方针”并未涉及有关“灾难预防”方面的安全措施,则IT审计师可直接认定被审系统在这方面存在固有风险。其次,物理环境设备风险评价。在评价物理环境设备风险时,可以借鉴BS7799标准A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如,IT审计师在了解被审系统有关“硬件设备”的情况时,可参照“C1.资产责任”。BS7799标准对“资产责任”的说明有“组织可根据运作流程与系统结构识别资产,列出清单”,“组织的管理者应该确定专人负责相关资产,防止资产的被盗、丢失与滥用”。借鉴C1的信息安全管理目标与措施,IT审计师可以关注被审单位是否列出了系统硬件设备的清单,是否有专人对资产负责。如果相关方面的管理完备,则说明“硬件设备”在责任方面不存在固有风险,IT审计师也不需要再对此方面的固有风险进行评价。再如,IT审计师在确认“硬件设备”方面的固有风险时,还可参照“E3.通用控制”。BS7799标准对“通用控制”的说明有“定期进行资产清查”,“未经授权,资产不能随便迁移”等。借鉴这一措施,IT审计师需要了解被审系统的有关资产清查记录以及资产转移登记手续,如果相关记录不完整或手续不完备,则IT审计师可直接认定“硬件设备”在控制方面存在固有风险。
(二) 逻辑层次的风险评价
逻辑层次的内容包括软件环境、系统生命周期和逻辑安全[7]。其中,软件环境包括系统软件、网络软件与应用软件;系统生命周期包括系统规划、分析、设计、编码、测试、试运行以及维护;逻辑安全包括软件与数据接触、数据加密机制、数据完整性、入侵检测、病毒与恶意代码以及防火墙。针对以上分类,下面对逻辑层次风险评价进行具体分析。
首先是软件环境风险评价。在评价软件环境风险时可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。例如,IT审计师在掌握被审系统有关“网络软件”的情况时,可借鉴“G2.用户访问管理”标准。BS7799对该标准的阐述包括“建立用户登记过程,对用户访问实施授权”,“对特权实行严格管理”,“对用户口令进行严格管理”等。借鉴G2下相关信息安全管理措施,IT审计师可以详细核查被审网络软件是否建立了用户注册与登记过程、被审软件的特权管理是否严格、是否要求用户秘密保守口令。假若IT审计师发现用户并未得到访问网络软件的权限却可以轻易访问网络软件,则该软件必然存在风险,IT审计师就可通过与BS7799标准比照并发表评价结论。又如,IT审计师在评价“系统软件”固有风险时,可借鉴“G5.系统访问与使用的监控”标准。该标准的阐述有“使用终端安全登陆程序来访问信息服务”,“对高风险的不活动终端采取时限措施”。IT审计师在评价“系统软件”自身风险时,可套用上述安全措施,逐项分析被审系统软件是否完全达到上述标准并作出合理的风险评价。其次是系统生命周期的风险评价。在评价系统生命周期风险时,可借鉴BS7799标准A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT审计师在检查被审系统的“系统设计”时,可参照“H1.系统安全要求”。H1的解释为“系统设计阶段应该充分考虑系统安全性,组织在项目开始阶段需要识别所有的安全要求,并将其作为系统设计开发不可或缺的一部分进行调整与确认”。因而,IT审计师在检查系统设计有关资料时,需要分析被审单位是否把上述解释融入系统设计中,或是否全面、有效地融入设计过程,如果被审单位考虑了诸因素,IT审计师就可以确认被审系统的设计环节在此方面不存在风险。假若IT审计师发现在系统设计阶段被审单位没有考虑到需要“引入控制”,且在系统运营期间对系统的“控制”也不够重视,则IT审计师可以作出系统自身安全及系统设计开发过程存在风险的结论。第三是逻辑安全的风险评价。在评价逻辑安全风险时,可以借鉴BS7799标准A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT审计师在检查被审系统的“病毒与恶意代码”时,可借鉴“G4.网络访问控制”。BS7799对该标准的阐述有“建立并实施网络用户服务使用方针”,“从用户终端到网络服务的路径必须受到控制”以及“对外部链接的用户进行身份鉴别”等。IT审计师在审计过程中,应该关注被审系统在上述方面的执行思路与执行程度,假若被审单位对上述方面缺乏重视,则恶意用户未经授权或未受限制就能轻易访问系统,系统遭受病毒或恶意代码损害的风险会相应加大。再如,IT审计师在评价系统“数据完整性”的风险时,可借鉴“F1.操作程序与职责”。该标准的描述有“在执行作业的过程中,提供差错处理及例外情况的指导”,“进行职责分离,减少出现非授权更改与数据信息滥用的机会”等。结合上述措施,IT审计师应该关注被审单位是否通过外键、约束、规则等方式保障数据的完整性,如果被审单位没有按照上述方法操作,则被审系统将会在“数据完整性”方面存在风险。
需要强调的是中观信息系统固有风险的评价较为复杂。在理论研究中,本文仅选取BS7799的某些标准举例进行阐述,但在实践中,IT审计师不应只借鉴BS7799标准的单个或部分标准,就做出某方面存在“固有风险”的结论。如仅从C1看,“硬件设备”无固有风险,但从E3看,“硬件设备”确实存在固有风险。鉴于此,IT审计师应由“点”及“面”,全面借鉴BS7799标准的整个体系。只有如此,才能更科学具体地进行物理及逻辑层次的风险评价。
四、 中观信息系统内部控制的评价机制
图1中的“abPc”路径是中观信息系统控制风险产生的路径,控制风险的形成条件是“假定存在内部控制制度,但是内控制度不科学、不健全或执行不到位”,产生控制风险最主要的原因是内部控制机制失效,即“P”过程出现问题。评价内部控制是IT审计师防范审计风险的关键,也是中观信息系统审计实施阶段的一项重要工作。然而,当前我国信息系统审计方面的标准与规范仅有四项,因而IT审计师对信息系统内部控制的评价还处于摸索阶段,急需详细的流程与规范进行指导。笔者认为,BS77991《信息安全管理实施细则》与BS77992《信息安全管理体系规范》能够为IT审计师评价中观信息系统的内部控制提供思路。BS7799是一套完备的信息安全管理体系,IT审计师完全可以借鉴其体系与框架来设计中观信息系统内部控制评价流程,构建适用于中观信息系统的审计流程。BS7799标准的具体借鉴思路见表1,具体阐述如下。
(一) 一般控制的评价
1. 组织管理的内部控制评价
在评价组织管理的内控时,可借鉴BS7799标准A、B、C1、D1、D3、E、F、G、H、I、J。IT审计师可将BS7799标准体系作为信息系统组织管理内部控制的衡量标准,并以此确认被审系统组织管理内控制度的科学性与健全性。假若某中观经济主体将信息系统的部分管理活动外包,则IT审计师可借鉴BS7799中的“B3.外包控制”标准,检查外包合同的全面性与合理性。如果被审单位在外包合同中规定了信息系统的风险、承包主客体各自的系统安全控制程序,并明确规定了“哪些措施必须到位,以保证涉及外包的所有各方关注各自的安全责任”,“哪些措施用以确定与检测信息资产的完整性和保密性”,“采取哪些实物的和逻辑的控制以限制和限定授权用户对系统敏感信息的访问”以及“发生灾难时,采用怎样的策略来维持服务可用性”,则IT审计师就可确认被审系统在外包方面的控制设计具有科学性与全面性,只需再对外包控制条款的执行效果进行评价就可以得出对被审单位外包活动评价的整体结论。
2. 数据资源管理的内部控制评价
在评价数据资源管理的内控时,可以借鉴BS7799标准A、B、C、D、E1、E3、F、G、H、I、J。信息系统数据包括数据字典、权限设置、存储分配、网络地址、硬件配置与系统配置参数,系统数据资源管理有数据存放、备份、恢复等,内容相对复杂。IT审计师在评价数据资源管理的内部控制时,也需要借鉴BS7799标准体系。例如,IT审计师可借鉴“F1.操作程序与职责”或“G6.应用访问控制”评价数据资源管理。F1与G6的阐述有“识别和记录重要数据的更改”、“对数据更改的潜在影响作出评估”、“向所有相关人员传达更改数据的细节”、“数据更改不成功的恢复措施”、“控制用户的数据访问权,如对读、写、删除等进行限制”、“在系统共享中,对敏感的数据实施高级别的保护”。IT审计师在审计时,有必要根据上述思路对系统数据管理的控制制度进行深层次评价。在当前缺乏信息系统审计规范的情况下,以BS7799体系作为评价数据资源管理内部控制的指南,不失为一种好的审计策略。
3. 环境安全管理的内部控制评价
在评价环境安全管理的内控时可以借鉴BS7799标准A、B、C1、D、E、F、G、H、I、J。信息系统的环境安全管理包括物理环境安全管理与软件环境安全管理,系统环境是否安全决定着危险因素对脆弱性的攻击程度,进而决定着信息系统风险。IT审计师在审计系统环境的安全管理过程时,需要关注设备、网络、软件以及硬件等方面。在评价系统环境安全管理的内部控制时,IT审计师有必要借助上述BS7799标准体系。例如,BS7799的“E1.安全区域”标准与“E2.设备安全”标准的解释有“信息处理设施可能受到非法物理访问、盗窃、泄密等威胁,通过建立安全区域、严格进入控制等控制措施对重要的系统设施进行全面保护”,“应该对信息处理设施运作产生不良影响的环境条件加以监控,如,湿度与温度的影响”。类似上述的BS7799系列标准都为IT审计师如何确认环境安全管理的内控提供了审计指导,且其指导思路清晰、全面。IT审计师通过借鉴BS7799系列标准,可以深层次挖掘系统环境安全管理规章制度中存在的疏漏以及执行中存在的问题,从而有效评判环境安全管理的控制风险。
4. 系统运行管理的内部控制评价
在评价系统运行管理的内控时,可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。中观经济主体对运行系统的管理相对复杂,涉及到系统组织、系统维护、系统完善等多个方面。由于系统运行中需要管理的环节繁多,而且目前也没有规范与流程可以参考,因而,评价系统运行管理的内控也有必要借鉴上述BS7799标准体系。例如,BS7799标准“D2.设备安全”与“H5.开发与支持过程中的安全”的阐述有“信息系统操作者需要接受安全意识培训,熟悉与系统运行相关的安全职责、安全程序与故障制度”,“系统运行中,建立并实施更改控制程序”以及“对操作系统的更改进行技术评审”等方面。IT审计师采用询问、观察、检查、穿行测试等方法评审系统运行管理的内部控制,需要有上述明细的、清晰的信息安全管理规则予以指导,这些标准可以指导IT审计师了解被审系统是否有健全的运行管理规范及是否得到有效运行,借此,IT审计师可以作出全面的内控判断,进而出具正确的审计结论。
(二) 应用控制的评价
信息系统的应用控制包括输入控制、处理控制与输出控制。在评价系统输入控制、处理控制以及输出控制三者的内控时,同样有必要借鉴BS7799标准,且BS7799标准中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相对应的信息安全管理目标与措施能够在IT审计师对三者进行内控评价时提供相对详尽的审计框架。为确保信息系统输入、处理与输出的信息完整、正确,中观经济主体需要加强对信息系统的应用控制。IT审计师在中观信息系统审计的过程中,需要做到对被审系统应用控制进行正确评价。
在IT审计师对应用控制的符合性测试过程中,上述BS7799标准体系可以对应用控制评价进行全程指导。例如,BS7799标准中“H2.应用系统的安全”提到“数据输入的错误,可以通过双重输入或其他输入检查侦测,建立用于响应输入错误的程序”,“已正确输入的数据可因处理错误或故意行为而被破坏,系统应有确认检查功能以探测数据的破坏”,“为确保所存储的信息相对于各种情况的处理是正确而恰当的,来自应用系统的输出数据应该得到确认”等控制策略,并提出了相对详细的控制措施。应用控制环节是信息处理的脆弱集结点,IT审计师在进行应用控制的符合性测试环节时有必要考虑周全,详尽规划。IT审计师可以遵循H2全面实施针对应用控制的审计,依照BS7799标准体系,检查被审系统对于超范围数值、数据区中的无效字符、丢失的数据、未经认可的控制数据等系统输入问题的控制措施以及应急处理能力;检查是否对系统产生的数据进行了确认,系统的批处理控制措施、平衡控制措施等,以及相关控制行为的执行力度;检查信息输出是否实施了可信性检查、一致性控制等措施,如果有相关措施,那么执行力度如何。BS7799标准体系较为全面,对于IT审计师评价系统的应用控制贡献很大,如果IT审计师能够创造性借鉴该标准,必可做好符合性测试,为实质性测试夯实基础,也定会提高审计质量。
五、 结束语
表1是笔者在分析某商业银行信息系统与某区域物流信息系统的基础上,对“BS7799标准如何应用于信息系统审计”所进行的设计,当针对其他行业时,或许需要对表1进行适当调整。不同行业、不同特性的中观经济主体在信息系统审计中运用BS7799标准时侧重点会有所不同。本文以分析中观信息系统风险为着手点,沿用BS7799标准对中观信息系统审计进行研究,旨在抛砖引玉。
参考文献:
[1]王会金,刘国城.中观经济主体信息系统审计的理论分析及实施路径探索[J].审计与经济研究,2009(5):2731.
[2]BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management[S]. London:British Standards Institation,2000:179202.
[3]BSI.BS779922002 information security managementspecification for information security management systems[S]. London: British Standards Institation,2002:267280
[4]孙强.信息系统审计[M].北京:机械工业出版社,2003.
[5]刘国城,王会金.中观信息系统审计风险的理论探索与体系构架[J].审计研究,2011(2):2128.
[6]王会金.中观信息系统审计风险控制体系研究――以COBIT框架与数据挖掘技术相结合为视角[J].审计与经济研究,2012(1):1623.
[7]科飞管理咨询公司.信息安全管理概论-BS7799理解与实施[M].北京:机械工业出版社, 2002.
BS7799 Criterion and Its Application in Mesoinformation Systems Audit
LIU Guocheng
(Jinshen College of Nanjing Audit University, Nanjing 210029, China)
信息安全管理规则范文3
关键词:企业网络;安全策略;信息加密
中图分类号: TM727文献标识码:A文章编号:1009-3044(2009)36-10218-02
The Discussion on Security Problems of Enterprise Network
WANG Feng
(Foundation Department, China Pharmaceutical University, Nanjing 211169, China)
Abstract: With the expansion of network applications, enterprise applications for the process of network security risks have become more serious and complex. Network security issues can lead to internal online intruder to attack, theft or other damage. These factors are unsafe to use, so the network-to-business pose a serious security threat. The following will introduced the major enterprise network security factories and countermeasures.
Key words: enterprise network; security policy; information encryption
随着互联网技术和计算机网络技术的不断发展,基于网络的计算机网络技术在企业中的应用越来越广泛,基于网络的应用在给企业的经营管理带来很大经济利润的同时,也不可避免的伴随而来的出现了网络安全问题,于2002年之后,蠕虫、木马的传播已经使得企业面临的数据安全问题进一步严重。这些问题对企业信息安全的提高提出了更高的要求。随着信息技术的迅猛前进,许多大型的企业都意识到了利用先进的信息技术对于提高企业的运营能力与自身的业务将起着极其重要的作用,能够使企业在激烈的竞争中提高角逐能力[1]。面对着变化万千的市场,企业正面临着如何才能够提高本身于市场中角逐能力的问题,而其内部的效率问题、管理问题、信息传递问题、考核问题等,又不时的在制约着自身,特别是信息的安全问题严重的制约了自身竞争能力的提高,因此解决网络的安全问题已成为目前大多数企业增强竞争力的重要策略。
1 影响企业网络安全的因素
1.1 病毒
也就是指那些自我复制能力比较强的计算机程序,它可以影响到计算机硬件、软件正常的运行,从而破坏数据的完整与正确。随着互联网和计算机的不断进步与普及,计算机病毒越来越多,总数已经大约达到了3万种,并且仍然以大约每月五百种左右的速度增加,它的破环性也越来越强大,而网络病毒的破坏性就显得更加强大了。一旦出现文件服务器的硬盘遭到病毒传染,就极有可能引起数据的丢失与系统的损坏,进而使得网络服务器不能起动,数据和应用程序不能正常的使用,甚至可能引起整个网络的瘫痪,从而造成非常严重的损失。一般来说,网络病毒的再生复制能力都非常强,可以利用网络进行传染与扩散。只要出现某个公用程序遭到了病毒的感染,那么这些病毒就会在整个网络上进行迅速的传播,从而感染别的程序。被网络病毒感染而引起网络瘫痪的损失是不可估量的。一旦发现了网络服务器被病毒感染,其杀毒所需耗费的时间将大约达到单机的几十倍之上。
1.2 恶意攻击
就是指那些试图危及企业信息资源的可用性、机密性、完整性的行为。目前企业的网络大都采用了以广播技术为基础的以太网[2]。在相同的以太网中,不同位置的两个节点之间的通信数据包,不但能够被这两个节点的网卡接收,也可以同时被处在相同网络中的任何节点的网卡截取。此外,为了使的工作更为便捷,企业办公自动化中的网络都设置有跟国际互联网和外网相互连接的出入口,所以,国际互联网和外网中的黑客一旦侵入了企业的ERP系统或者是办公自动化网络中的任何一个节点进行侦听,那么就能够捕获出现在这个网络上的任何数据包,然后对其进行解包并进行分析,进而窃取一些关键的信息;而本以太网中的黑客则可以非常便捷的截取任何一个数据包,因而导致了信息的失窃。
1.3 非法访问或者冒充合法用户
1)指对信息资源或者网络设备进行越权使用或非正常使用等;
2)指利用各种各样的欺骗或者假冒手段非法窃取正常的使用权限,从而达到合法占用资源的目的。
1.4 破坏数据的完整性
就是指通过不合法的手段,重发、修改或者删除一些重要的数据信息,从而影响了用户的正常使用[3]。在企业网络系统中,导致信息数据破坏的因素有许多种,首先是黑客的入侵,基于各种各样的原因,黑客侵入到了网络中,其中恶意入侵对网络造成的危害一般都是多方面的。其中一种非常常见的危害就是数据的破坏,可以破坏服务器硬盘引导区的信息数据、破坏应用程序的数据、覆盖或者删除原始数据库等。其次就是病毒的破坏,病毒常常会攻击系统的数据区,通常包含了硬盘主引导扇区、FAT表、文件目录、Boot扇区等;病毒还极有可能破坏文件数据区,使得文件数据被改名、删除、丢失数据文件、丢失一些程序代码;病毒还可能攻击CMOS并且导致系统CMOS中的数据遭到破坏。最后就是灾难破坏,由于突然停电、自然灾害、误操作、强烈震动等引起了数据的破坏。一些重要的数据如果遭到了丢失和破坏,可能会导致企业经营困难与财力、物力、人力的巨大浪费。
1.5 干扰系统的正常运行
就是指通过改变系统正常运行的方法,从而引起了系统响应时间减慢等手段。
1.6 线路窃听
指通过通信介质的搭线窃听或电磁泄漏等手段窃取非法信息。
2 企业网络安全策略
一般来说,企业为了得到最佳的安全性能以便获得最高的安全投资回报,可以从以下六方面采取相应的措施,如图1所示。
2.1 访问控制策略
进行访问控制的主要目的就是为了防止不合法的访问[4],从而实现用户身份的辨别与对服务器、重要网络的安全控制。其中,防火墙就是一种应用广泛且比较有效的网络访问控制设备,其主要利用对端口号、IP地址等进行控制并应用设置安全等措施,从而实现外部网络与内部被保护网的隔离。于安全规则方面,企业可以针对一段网络、一组主机、单独的主机,根据网络协议进行相应的设置,进行面向对象的安全规则有关的编辑;依靠网络通讯端口进行相应的安全规则设置;根据每一天或者星期几等具体的时间进行设置,以便实现访问控制策略
2.2 安装网络版防病毒软件
安装杀毒能力强的网络版反病毒软件,建立针对性很强的防病毒策略或者针对局域网的反病毒控制系统。如果有些客户端想要关掉实时监测功能或者把软件卸载掉,都需要得到管理员的密码授权许可才可以执行。网络版反病毒软件就好像在网关处建立了一道屏障,任何潜在的病毒首先都必须经过这一关。对于一些具有事先告警机制的反病毒软件产品,企业客户能够在服务器端得到一个警告信号,因此,防止了病毒入侵内部网络的危险。
2.3 信息加密策略
信息加密主要的目的是为了保护网内的文件、数据、口令以及控制信息,以便保护传输于网络上的数据。网络加密通常采用的方法有端点加密、节点加密、链路加密三种加密方式。端点加密的主要目的是为对目的端用户与源端用户之间传输的数据进行保护;节点加密的主要目的是为了对目的节点与源节点之间的传输链路进行保护;链路加密的主要目的是为了保护不同网络节点之间链路信息的安全,关于具体选用何种加密方式,用户可以根据网络的具体情况选择相应的加密方式。
2.4 加强安全管理
“三分技术,七分管理”作为网络安全行业非常流行的话语[5],指出了如果管理混乱、责权不明、安全管理制度不完善以及可操作性缺乏等都有可能导致安全管理的风险。因此,要想真正确保企业网络的安全,除了需要从技术上提高外,更重要的还得依靠提高安全管理质量来实现,通常安全管理需要贯穿于安全的所有层次中。结合实际工作业务流程、工作环境以及安防技术等特点,需要制订合适的安全管理规则。
2.5 实时监测
利用信息侦听的方法搜寻未授权的违规行为和网络访问尝试,通常包含了网络系统的预警、扫描、跟踪、记录、阻断等,并进而发现系统所受到的攻击与伤害。作为一种对付电脑黑客非常有效的技术手段,网络实时监测系统具有自适应、实时、主动响应识和别等特性。
2.6 数据备份策略
对企业数据信息以及服务器应当采用防火墙来实现灾难冗余和双机热备份。对于可靠性需要非常高的用户,选择具有双机热备份功能的防火墙是非常必要的,在相同的网络节点配备两个相同配置的防火墙,一般于正常情况下是一个处于正常工作状态[6],而另外一个则处于备份状态,但是,一旦工作状态的系统发生了故障之后,处于备份状态的防火墙便会立即自动的切换到工作状态,从而保证网络能够正常运行。备用防火墙系统可以非常迅速的完成整个切换过程,而不需要其他系统参与或者人为操作,并且在这个切换的过程中,对网络上的任何信息传输与通讯连接均无影响。
3 结束语
总之,虽然影响网络安全的因素非常复杂,给企业带来了一些不必要的麻烦,但是,只要树立正确的企业网络安全观念并建立高效的企业网络安全防护系统,就能保证企业的正常运营,使企业可以真正享受到信息化带来的丰硕成果。
参考文献:
[1] 魏清斌.企业网络的安全与防范措施[J].中国高新技术企业,2008(16):127.
[2] 杨恒广.浅谈企业网络安全[J].科技信息,2008(7):66-67.
[3] 赖顺天.企业网络安全的风险与防范[J].电脑开发与应用,2008(11):72-73.
[4] 占明艳.企业网络安全对策研究[J].软件导刊,2008(9):196-197.
信息安全管理规则范文4
【关键词】妇产科;护理;病历
提高护理质量和服务质量是护理工作的核心任务。围绕这一目标,护理界深入研究,探索符合我国国情的护理模式,培养一支高素质的护理队伍,加强管理,提高效率。计算机已经渗透到护理的各个领域,如医嘱处理系统、整体护理管理系统、护理质量与评估系统、护理工作量管理系统等等。护理信息系统是用于护理信息的采集、存贮、传输、处理的信息系统,包括临床护理信息系统和护理管理信息系统。
1 护理信息化的价值与意义
1976护理信息化的价值与意义主要表现在以下几个方面:工作流程最优化实现信息化管理后,办理患者入院、出院、处理医嘱等流程得到了优化。护患关系明朗化医院信息化后实现了医嘱计价后台划价一日清单,提高收费透明度。药品集中供应后,药品只计当日的量,药品数量精确到每片,患者一目了然。因此,可改善护患之间的信任度,减少因收费而引发的纠纷。继续教育人性化实现网络在线继续教育及考试,具有灵活性。护士可根据自己的时间安排学习。对于上班不规律的护士来说,这更具人性化。医院信息化可实现继续教育智能化管理,管理者可跟踪学习的情况,并自动统计学分,加强了对护士继续教育的管理。
2 护理信息化要求及管理规范
护理信息化的要求及管理规范包括以下几个方面:
2.1 信息系统的技术管理
信息管理部门工程技术人员是信息系统技术管理的直接责任者,应以实现系统功能为目的,以满足用户需求为宗旨,对信息系统的操作和维护进行管理。信息系统内各类设备的配置,由系统负责人提出配置规划和计划,报有关领导审批后实施。信息系统管理员负责各工作站模块登录口令密码的设置并做好记录。工作站操作人员更换时,要立即做好口令的更改。根据系统功能要求,系统负责人提出各子系统和模块的使用权限和使用分配方案,报请领导小组核准实施。系统负责人管理全面技术工作和运行管理工作,出现技术问题或故障,应遵循《信息系统服务器故障应急处理规程》处理。
2.2 信息系统安全管理
信息系统的安全管理包括数据库安全管理和网络设备设施安全管理。系统负责人和信息工程技术人员必须采取有效的方法和技术,防止网络系统数据或信息的丢失、破坏或失密。对造成“病毒”蔓延的有关人员,应严格按照《医院信息系统安全保护规则》有关条款给予经济和行政处罚。信息系统所有设备的配置、安装、调试必须由信息工程技术人员负责,其他人员不得随意拆卸和移动。所有上网操作人员必须严格遵守计算机以及其他相关设备的操作规程,禁止其他人员在工作时进行与系统操作无关的工作。保持机房的清洁卫生,并做好防尘、防火、防水、防静电、防高压磁场、防低磁辐射等安全工作。信息工作技术人员有权监督和制止一切违反安全管理的行为。
2.3 工作站管理
各工作站所有使用人员必须严格遵守《信息系统管理规则》、《医院信息系统安全保护规则》、《信息系统工作站录入人员管理通则》各工作操作规程以及有关信息管理制度。严格按照计算机操作使用规程进行操作。操作中必须做到精力集中,细致认真,一丝不苟,快速准确,及时完成各项录入工作。经常保持各种网络设备、设施整洁干净,认真做好信息设备的日清月检,使网络设备始终处于良好的工作状态。加强设备定位定人管理,未经信息工程技术人员允许,不得随意挪动、拆卸和外借所有计算机及相关网络设备、设施。机房内严禁存放易燃、易爆、易腐蚀及强磁性物品;遇有临时停电及雷电天气,应采取保安措施,避免发生意外。机房内不准吸烟、进食、会客、大声喧哗;严禁无关人员上机操作或进行其他影响网络正常运行的工作。严格交接班制度,工作中遇到的问题要及时报告。
2.4 信息管理保密制度
医院授权护士通过用户名和密码进入医院信息系统。护士必须通过医院信息系统的相关培训,才能获得授权。护士进入信息系统的目的是与护理服务相关。护士对从医院信息系统获取的信息必须保密。护士不能利用信息系统进行未经允许的其他活动,或获取未经授权的其他信息。从医院信息系统获取的信息未经医院允许,不能擅自带离医院。医院可终止护士使用信息系统的权力。护士在使用信息系统过程中必须遵循医院的相关管理规定。护士保密自己的用户名和密码,对使用自己用户名和密码的行为及产生的后果负责。医院拥有对各种医疗报告、记录、文书的所有权和处理权。护士有责任维护网络、信息系统的安全。遵守医院关于维护信息安全,防止病毒入侵等方面的管理规定和操作指南。
3
护理电子病历的记录及医嘱的处理程序
护理电子病历是电子病历的重要组成部分,是护理人员对患者的病情观察和实施护理措施的原始记载,主要包括三测单、医嘱单、入院评估表、入院告知书、一般患者护理记录、特殊护理记录、手术护理记录等项目。运用护理电子病历可有效提高日常护理工作的效率,规范护理记录等的书写、留档、调阅。医嘱是医疗诊治过程中护理人员对患者施行诊断和治疗措施的依据。医嘱缺陷往往是构成医嘱差错的危险因素,而医嘱差错又是构成医疗事故的危险因素。电子医嘱单由经管医生在医生工作站输入医嘱,办公护士负责核对,电脑医嘱自动分类汇总、自动生成各种治疗卡,减轻了护士手工统计、手工制作治疗卡、手工抄写和整理医嘱的负担,并具有多窗口的医嘱核查功能,大大减少了差错发生的几率。现在部分医院将PDA用于护士床旁医嘱的执行与确认,护士在护士站将待执行的医嘱下载到PDA,执行完毕后将执行记录再上传到信息系统中。另外,基于PDA系统采集上来的数据可直接生成一些关于护理质量的报表,报表的主要内容包括计划执行时间、实际执行时间、执行时间差、执行护士姓名、给药方式、给药频率、备注等。PDA作为护士在护理工作中唯一的信息化执行工具,从护士的工作方式转变中,提高了临床的工作效率,规范了操作人员的行为,减少了人为干预和随意变更现象。医嘱的处理程序,医嘱可以分为药疗医嘱和普通医嘱两类。药疗医嘱由医生开出保存提交后直接发往药房,由药师审方以发现不合理用药,然后再由药房护士摆药后送到病房,最后由病房护士按照医嘱的要求将药按时发给患者;而普通医嘱由医生开出保存提交后发往护士工作站,病房护士再根据不同的情况处理医嘱,做到既不遗漏治疗,又能及时、准确地收取费用。
4 不孕症资料收集的内容
4.1 男方检查和诊断
男方检查要询问既往是否有结核、腮腺炎等病史,了解性生活、等情况。除全身体格检查外,重点应检查外生殖器,注意各生殖器官发育情况、是否存在畸形或炎症等其他异常。检查是常规检查项目之一,因生理情况下其中一些指标也有较大的波
动,故需多次进行,综合判断。
4.2 女方检查和诊断
病史采集注意询问婚育史、同居时间和性生活情况、避孕情况、月经史、家族史以及既往有无结核、生殖器炎症及其他内分泌疾病。体格检查应注意检查生殖器和第二性征发育,注意有无溢乳,检查身高与体重、生长发育及各种畸形。卵巢功能检查主要了解卵巢的排卵功能、内分泌功能及卵巢储备能力。常用方法有:基础体温测定、子宫颈黏液评分、血清内分泌激素的检测以及超声检测卵泡发育、排卵的情况等。输卵管通畅实验、超声影像学检查超声检查可发现子宫、卵巢、输卵管的器质性病变。监测卵泡发育、排卵、黄体形成等征象,对不孕病因的诊断有很大帮助。腹腔镜检查术,宫腔镜检查,输卵管镜检查,子宫内膜组织学检查,免疫学检查,后试验。
参考文献
1 解颖,沙儒.护理记录缺陷分析与干预对策[J].中华护理杂志,2011,38(5):362—364
2 中华人民共和国国务院.医疗事故处理条例(第10条)[M].北京:中国法制出版社,2003:3
3 陈爱芬.质控小组在护理病历质量管理中的应用[J].护理研究,2011,19(3):541-542
4 诸玲.过程管理在护理质量管理中的应用[J].中国医院管理,2011,25(3):40-41
5 朱胜春.护理病历中有关护士知识缺陷的分析与对策[J].护理杂志,2011,23(2):34—35
6 谭坚铃,梁嘉定.护士(生)进行护理体检(身体评估)中存在的主要问题与对策[J].热带医学杂志,2011,2(2):198—199
7 王怡.病历书写中存在的问题及其法律后果[J].中华医院管理杂志,201 1,18(12):745-746
8 陈翠英,赵志林,王晓燕.如何加强病案形成进程中的质量管理[J].中国医院管理,2011,22(2):38
9 宁四姣,宁秀英.重视住院病历书写与防范医疗纠纷[J].中国病案,2011,4(2):17—18
10 黄琦.新《条例》下病案质量管理的思考[J].中国病案,2011.4(4):20-21
11 《医疗事故处理条例释义》起草小组.医疗事故处理条例[M].北京:中国法制出版社,2011,186—237
12 李玮.IS09001标准在护理质量管理中的运用[J].护理管理杂志,2011,4(1):24-25
13 王建萍,张伟勤.我院实行护理量化管理的实践与效果[J],护理管理杂志,2011,4(3):18—19
信息安全管理规则范文5
关键词:财务管理;信息化;管理效率
信息化建设已经成为各行各业适应时展的必然要求,也是衡量企业综合实力的主要标志之一。在这个背景下,财务管理信息化对企业提出更高的要求,需要更完善、健全的财务管理信息系统以促进企业发展。
一、南方电视台财务管理信息化建设情况
随着改革的深入推进,广电企业进入了全新的发展阶段,呈现出强大的生机和活力。南方电视台属于自收自支、完全按照企业化管理的事业单位,在市场竞争中不断壮大了规模。但是市场竞争的压力也需要按照现代企业管理要求完善各种管理措施,特别是在信息技术迅速发展的现阶段,必须加速信息化建设进程。目前,南方电视台在财务管理信息化建设方面主要完成了以下工作:
(一)做好信息需求分析
信息需求是信息化建设的动力,做好信息需求分析则是信息化建设的基础。南方电视台建设财务管理信息系统时,先后向台领导、频道领导、职能部门领导征求意见,着重了解相关部门在开展工作时对财务信息的需求。经过需求分析,逐步建立起南方电视台财务管理信息系统的主要业务模型和数据模型,为建设财务管理信息系统做好前期准备。
(二)明确财务管理信息系统的功能定位
为了确保财务管理信息系统具有强大功能优势,南方电视台邀请了有关专家,结合电视台经营管理的需求进行分析论证。在专家的指导下,对南方电视台财务管理信息系统进行了定位,推行全面预算管理模式及多账簿式功能。
(三)开发支撑以经营为主导的财务软件
开发财务软件工作时,南方电视台邀请了有关软件专家进行研究开发,提供了处理流程、操作平台、软件数据库、拓展功能等方面契合度很强的财务软件。
(四)建立统一的财务管理信息规则体系
建立统一的财务信息规则是保证财务管理信息系统安全、稳定、高效运行的基础。通过制定一整套管理规则体系,为加速信息流通、实现资源共享提供了有力保障。
二、南方电视台财务管理信息化建设中存在的问题
随着财务管理信息化的加强,为实现财务工作由核算型向管理型转变奠定了基础。但南方电视台在财务管理信息化建设过程中,也暴露出一些新问题。主要包括:
(一)管理人员对财务管理信息化的重要性认识不足
有些管理人员错误地认为,财务管理信息化建设只是用电脑代替手工操作,减轻财务人员的工作量,提升财务工作效率而已。还有一些领导认为,财务管理信息化的目标在于促进会计电算化的实现,甚至有一些管理人员对财务管理信息化持怀疑态度,不相信信息化技术的科学性、先进性和高效性,不能正视财务管理信息化促进电视台发展变化的事实。上述现象,反映了管理人员对财务管理信息化重要性还没有达成共识,上述认识已不能适应信息经济时代的要求,阻碍着电视台信息化进程,也影响了电视台的进步。
(二)资金管理系统与管理流程的契合度不高
虽然财务管理的内容与环节众多,但是在实际业务中,更多以资金结算为主要目标。但是,如果财务管理中主要集中于资金结算功能的话,那么,就势必削弱财务管理中预算、制作、成本控制、营销等环节的管理,还可能弱化对台运营状况、生产成本、资金效果、盈利能力等方面的监控。这不利于电视台整体资金资源的优化配置,也不利于电视台生产经营的发展。
(三)财务管理信息化存在安全隐患
财务管理信息化建设给企业带来发展机遇,也给财务管理带来更多的挑战,增加了安全风险。对于相关的安全防范问题还不是很到位,存在一定的隐患。如果以后出现黑客恶意攻击,或者人为破坏、使用者的不当操作等,将会给财务管理信息系统安全带来隐患,还可能引起整个系统的瘫痪。甚至竞争对手可能进入到数据库中浏览重要信息,使电视台的商业秘密泄露,丧失竞争优势和市场地位。
(四)缺乏财务信息管理的复合型人才
信息化是基于多项技术融为一体的现代科学技术。要彻底实现财务管理信息化,必须有一批既具有财务管理能力、又具备计算机、网络、信息通讯等技术人才。但许多财务人员专业素质不高,有些人仅能进行日常的会计账务处理,对利用信息手段进行多维会计核算归集处理就感到困难。还有一些年纪稍大的会计人员信息网络方面的专业技能掌握的程度就更差,网络出现故障时往往束手无策,无法适应当前财务信息化的要求,o财务管理信息化建设带来影响。因此,需要不断地扩充人才队伍,提升财务人员信息化管理能力,改善专业人才队伍的结构。
三、加强南方电视台财务管理信息化建设的建议
财务管理信息化,给电视台的财务管理带来发展契机。但还应该促进财务管理信息系统进一步的优化,进而加速电视台财务管理信息化发展进程,因此,应当注意如下几方面的工作:
(一)必须重视财务管理信息化建设
首先,必须加以引导,拓宽管理层的视野。让管理层真正了解到,财务管理信息系统是为实现现代企业管理提供信息支持的基础性条件;其次,台领导必须加强学习,更新观念,从应对生存发展挑战的高度认识财务管理信息化的重要性与紧迫性。在现代企业管理中,信息化已经成为企业管理水平提升的标志,也是企业在市场竞争中立于不败之地的重要措施;最后,推广成功经验的宣传,提供其他企业通过实现财务管理信息化建设,促进企业成功发展的典型范例和经验,让全体人员能全力支持电视台的财务管理信息化建设,筹划全面信息化建设。
(二)构建基于电视台管理流程的动态资金管理系统
借助计算机网络技术,构建一个坚持以资金管理为主线,最符合动态资金运行实际的管理系统。首先,建立统一的资金运行机制。统一台、节目制作团队、外包项目组以及记者站的财务管理软件,并采用集中管理模式,将地理上分散的资金管理信息,根据资金的存量、流量、流向信息,将全台的资金预算计划、生产进度、经营状况等方面的信息,统一归集在这个平台中;其次,强化经营资金的调拨功能。资金管理系统能及时、准确、全面地反映台及下属企业资金的存量、流量、流向、资金预算计划、生产进度、经营状况等方面的信息。财务人员可以根据这个平台提供的信息,及时地发挥整体资金调拨功能,依据预算管理计划,为台统筹调剂资金,使资金优化配置,保障生产经营的顺利进行。台领导、管理人员也可以根据这个平台提供的信息进行经营管理,调整经营策略。最后,强化资金的安全保障。基于电视台的管理流程,在各个关键点设置搜寻、分析及管控方法,构筑一个安全的资源配置环境。
(三)建立完善的财务信息安全保障机制
首先,建立起完善的财务信息安全防范系统。严格使用身份认证、入侵检测、防火墙与网络病毒检测等网络枝术手段,抵御各种风险;其次,构建有效、严谨的安全防范制度。安全防范制度是财务管理信息系统安全管理的基础。只有按照制度办事,才能使安全防范走上制度化、规范化的轨道。要对上机人员、相关人员、实行制度化、规范化要求管理。上机人员必须严格遵守操作规程,坚决杜绝违规操作,保障财务信息的真实、安全、可靠。这样才能使安全防范真正起作用。最后,全面提高财务人员的安全意识与防控能力。必须加强培训教育,让财务人员牢固地树立起网络安全意识,还要熟练掌握各种安全监控技术和防控知识,使财务人员有较高的防控能力。
(四)全面提升财务管理人员素质
财务管理人员的整体素质,是构建财务管理信息化系统的最基本的人才保障。首先,财务工作人员要树立起强烈的事业心和高度的责任感,做到坚持原则、求真务实、公正廉洁、业务熟练;其次,要不断提高财务人员的个人素质,注重其道德修养教育,要有良好的心理素质和协作能力,能化解经营风险,能协调沟通处理各方面关系,主动地做好财务管理工作;最后,在选择员工时要把握好人才的整体素质。要定期对财务人员进行业务培训和教育,使财务人员不仅精通财务核算,同时善于管理,真正成为精通财务知识、精通计算机网络技术、精通智能技术的复合型人才。
⒖嘉南祝
[1]吴丹红,常江.企业财务管理信息化建设工作探析[J].统计与管理,2015(05).
[2]张玲.我国企业财务管理信息化建设的探讨[J].现代经济信息,2015(01).
[3]赵丽昆.信息时代财务管理信息化创新研究[J].现代国企研究,2015(02).
信息安全管理规则范文6
关键词:大型机场;计算机网络;安全问题;防范措施
中图分类号:TN711 文献标识码:A 文章编号:
1、计算机网络安全的概念
计算机网络安全根据计算机的使用者不同而具有两层含义。一是从普通的使用者角度讲,计算机网络安全是指在网络传输中保障个人及商业信息的机密性、完整性和真实性,避免他人用非正常手段截取、窃取、破坏、篡改信息,以保障个人隐私和个人利益不受侵害。二是从网络运营商的角度讲,计算机网络安全是保护和控制本地网络信息的访问、读写等操作,避免出现病毒、非法存取、拒绝服务和非法占用、控制网络资源,防御黑客攻击。
2、计算机网络安全的特征计算机网络安全有很多特征,但是最主要的是下面的五个。
(1)完整性完整性是指计算机中的数据如果没有经过授权,就不能随意修改的特性。就是说数据在保存或是传输过程中要保持不被修改、不被破坏和不能丢失的特性。
(2)保密性保密性是指当计算机中的信息如果没有经过允许,就不能泄露给没有授权的用户,也不能以其他任何形式被非法用户进行利用。
(3)可控性可控性是指当网络中的数据在传输过程中,要时刻的对数据进行严格的控制,防止出现不必要的差错。
(4)可审查性可审查性是指当计算机网络出现了安全问题时,要有方法能检测出来,即出现网络安全问题时能够提供解决的对策。
(5)可用性可用性是指计算机中的信息能够被已授权的用户进行访问并按自己的需求使用的特性。即当用户需要时能否存取和使用自己所需要的信息。
3、计算机网络安全问题
(1)非人为的、自然力造成的数据丢失、设备失效、线路阻断。
(2)人因攻击:如社会工程、钓鱼等行为。主要指采取非计算机手段,转而使用其他方式(如人际关系、欺骗、威胁、恐吓)等非正常手段获取信息。钓鱼则使用假冒、欺骗性的网站,获得网络用户的敏感信息如账号、密码等。
(3)物理攻击:主要是指通过分析或调换硬件设备来窃取密码和加密算法。物理攻击比较难以防范,因为攻击者往往是来自能够接触到物理设备的用户。
(4)服务拒绝攻击:通过使被攻击对象(通常是服务器)的系统关键资源过载。从而使目标服务器崩溃或瘫痪,以致停止部分或全部服务。根据利用方法不同又分为资源耗尽和宽带耗尽两种方式,服务拒绝攻击时最容易实施的攻击行为,也是最难对付的入侵攻击之一,其中目前已知的服务拒绝攻击就有几百种,典型示例有死亡之ping、泪滴、UDPflood、SYNflood、Land攻击、Smurf攻击、电子邮件炸弹、畸形消息攻击等。
(5)非授权访问:对网络设备及信息资源进行非正常使用,如非法进行读、写或执行等。
(6)扫描攻击:在连续的非授权访问尝试过程中,攻击者为了获得网络内部的资源信息及网络周围的信息,通常使用SATAN扫描、端口扫描个IP半途扫描方式。由于互联网目前广泛使用的TCP/IP协议族中,各个层次不同的协议均存在一定程度的缺陷,可以利用操作系统和网络的漏洞进行攻击。
(7)远程控制:通过操作系统本身的漏洞或安装木马客户端软件直接对用户的及其进行控制的攻击,主要通过口令猜测、特洛伊木马、缓冲区溢出等方式。
(8)身份窃取:指用户的身份或服务器的身份被他人非法截取,典型的有网络钓鱼、DNS转换、MAC地址转换、IP假冒技术等。
(9)假消息攻击:通过在网络中发送目标配置不正确的消息,主要包括DNS高速缓存污染、伪造电子邮件等。
(10)窃听:攻击者通过监听网络数据获得敏感信息,如通过抓包软件等。
(11)重传:攻击者实现获得部分或全部信息,然后将此信息重新发送给接受者。攻击者一般通过协议解码方式,如FTUUser等,完成重传。解码后的协议信息可表明期望的活动,然后重新发送出去。
(12)伪造和篡改:攻击者对合法用户之间的通信信息进行修改、删除、插入,再发送给接收者。
4、计算机网络安全问题的防范措施基本的网络安全措施应包括这个网络的安全传播过程。首先应设置安全的行政人事管理,设立安全管理机构,制定完善的人事安全管理、系统安全管理和行政安全管理规则制度。其次是技术方面的措施,主要的技术手段有以下6种。
(1)物理措施:采取具备优良性能的传输工具,制定严密的安全规制,保护交换机和大型计算机等关键硬件设施。
(2)访问控制:严格把关用户访问权限,确保严格控制陌生用户的访问可能造成的侵袭。可以选用安全稳定的网络操作系统,对用户的身份证进行设置,设置加密的口令并进行定期的更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等。
(3)数据加密技术:数据加密是保障信息安全的最基本、最核心的技术措施之一,是保护数据安全的重要手段。可以在整个网络过程中加以应用。加密的作用是保障信息被人截获后不能直接被利用,能在用户的数据被截取之后减少用户的损失,用很小的代价即可为信息提供相当大的保护。按作用不同,数据加密技术一般可以分为数据传输、数据存储、数据完整性鉴别以及密钥管理技术四种。
(4)隔离技术:通过防火墙划分VLAN、VPN等方式分隔成独立区域,将重要的子网络与其他网络隔开,可以更好的使重要的数据得到保护,不会轻易的就被截取。
(5)备份措施:可以避免因硬盘损坏。偶然或者而已的数据破坏、病毒入侵、网络攻击等带来的影响,同时也确保了数据的完整性。
(6)防火墙:主要指的是一种对计算机及其网络流经的通信数据进行扫描的一种软件技术。通过对相关数据的扫描和过滤,避免计算机被黑客侵入,造成数据和程序纵和控制。
(7)其他措施:其他安全技术包括数字签名、认证技术、智能卡技术和访问控制等。
(8)改善计算机应用环境,规范人员操作流程。为了实现计算机网络的安全、高速运行,需要不断改善计算机应用环境,增强使用人员的网络安全意识,提高网络管理人员的技术手段和安全意识,规范使用人员的操作流程,避免出人为因素造成的网络安全问题。
结语:总之,计算机网络出现安全问题是无法避免的。只要我们永不懈怠,及时解决出现的安全问题,同时高度重视对大型机场计算机网络安全的预防。采用先进的技术去建立严密的安全防范体系,加强防范意识,构造全方位的防范策略,给大型机场计算机网络正常的运行以保证,使计算机网络更加健康的发展。
参考文献
[1]钮炎.计算机网络技术与应用.北京:清华大学出版社,2010.2.
[2]马小青.浅析网络安全问题及其防范措施[J].电脑知识与技术,2009,5
