相關(guān)期刊
時間:2023-10-26 09:52:32
序論:好文章的創(chuàng)作是一個不斷探索和完善的過程,我們?yōu)槟扑]十篇外審員信息安全范例,希望它們能助您一臂之力,提升您的閱讀品質(zhì),帶來更深刻的閱讀感受。
一、目的
為切實加強(qiáng)我院計算機(jī)的使用、管理工作,提高工作效率,確保無紙化辦公的平穩(wěn)有序開展,減少醫(yī)院管理系統(tǒng)的運行風(fēng)險,特制定本責(zé)任書。
二、職責(zé)與管理
1、筆記本電腦實行使用人負(fù)責(zé)制,科室內(nèi)電腦實行科主任負(fù)責(zé)制,科室成員為相關(guān)責(zé)任人。
2、對全院所有電腦,由財務(wù)科統(tǒng)一登記,列入醫(yī)院固定資產(chǎn)。
三、計算機(jī)使用和安全管理
1、應(yīng)愛護(hù)計算機(jī)及相關(guān)設(shè)備,嚴(yán)禁在電腦前喝水等可能污損電腦的行為。
2、按規(guī)定程序開啟和關(guān)閉計算機(jī)系統(tǒng),關(guān)機(jī)前應(yīng)先退出應(yīng)用程序。
3、加強(qiáng)個人用戶密碼管理,及時注銷登錄,防止無關(guān)人員盜用。
4、原則上禁止使用U盤等,確因需要,必須先查殺病毒再使用。
5、文件資料不要保存在系統(tǒng)C盤或桌面,以免系統(tǒng)故障而丟失資料。
四、處罰
1、所有電腦嚴(yán)禁安裝各種游戲。工作時間利用電腦玩游戲(包括蜘蛛紙牌等)、看電影或進(jìn)行其它與工作無關(guān)的活動的,發(fā)現(xiàn)1次,罰款50元;由此造成醫(yī)療糾紛的,所有責(zé)任一律由本人承擔(dān)。
2、提高防范意識,加強(qiáng)計算機(jī)設(shè)備(尤其是筆記本電腦)的使用管理,丟失或被盜者,個人照價賠償。
3、對以下違反規(guī)定的行為,勒令改正,對造成損失的照價賠償;屢教不改者,醫(yī)院收回其電腦:
①擅自重裝、更改操作系統(tǒng)及軟件設(shè)置的,造成計算機(jī)故障的。
②私自安裝不正規(guī)軟件和卸載已有軟件。
③因訪問不良網(wǎng)站,或擅自使用帶有病毒的光盤、U盤、移動硬盤等,導(dǎo)致醫(yī)院局域網(wǎng)病毒蔓延,造成系統(tǒng)癱瘓,影響正常工作的。
④擅自允許他人(尤其是小孩)使用計算機(jī)的。
⑤擅自外借計算機(jī)設(shè)備,或通過計算機(jī)泄露信息的。
五、此責(zé)任書協(xié)議一式兩份,醫(yī)院和責(zé)任人各執(zhí)一份,簽字蓋章后生效。
xxx衛(wèi)生院
院長:
責(zé)任人:
二xxx年xx月xxx日
醫(yī)院電腦使用責(zé)任書【2】
各科室:
為保障醫(yī)院計算機(jī)局域網(wǎng)絡(luò)信息安全,加強(qiáng)醫(yī)院信息數(shù)據(jù)查詢和使用權(quán)限管理規(guī)范,避免發(fā)生計算機(jī)網(wǎng)絡(luò)失密事件,防止醫(yī)院信息數(shù)據(jù)的泄露,現(xiàn)與各中層干部簽訂信息安全責(zé)任書,確定每一位中層干部為所在科室的計算機(jī)信息安全責(zé)任人,并要求做到以下條款:
1.嚴(yán)格遵守醫(yī)院信息保密制度及相關(guān)的信息安全制度,定期或不定期的在科室內(nèi)部進(jìn)行培訓(xùn)和教育,提高信息保密意識。
2.對信息查詢的需求,科室須進(jìn)入OA系統(tǒng)中的數(shù)據(jù)查詢申請流程,填寫申請單,經(jīng)分管信息工作院領(lǐng)導(dǎo)審批同意后方可查詢,同時應(yīng)對查詢的數(shù)據(jù)結(jié)果保密,不能隨意泄露。
3.醫(yī)院內(nèi)部網(wǎng)絡(luò)的計算機(jī)嚴(yán)禁被設(shè)定為網(wǎng)絡(luò)共享計算機(jī),計算機(jī)內(nèi)文件嚴(yán)禁被設(shè)定為網(wǎng)絡(luò)共享文件,嚴(yán)禁以任何形式將有關(guān)數(shù)據(jù)、報表帶出醫(yī)院。
4.計算機(jī)操作人員不得擅自更改醫(yī)院數(shù)據(jù)和計算機(jī)的二系統(tǒng)設(shè)置。禁止擅自將醫(yī)院辦公計算機(jī)連接互聯(lián)網(wǎng)(外網(wǎng))。
5.操作計算機(jī)的人員必須使用自己的工號和密碼進(jìn)行自己權(quán)限范圍內(nèi)的操作,對自己的工號和密碼要進(jìn)行嚴(yán)格管理,不得把相關(guān)的工號和密碼泄露給外人。禁止使用他人的工號和密碼進(jìn)行操作,并嚴(yán)格做到人離機(jī)關(guān)。
6.嚴(yán)禁將醫(yī)院內(nèi)部醫(yī)療信息或病患信息泄露給他人,包括私自統(tǒng)計藥品、高值耗材用量等信息并透漏給他人牟取不法利益,否則將按照法律法規(guī)和有關(guān)規(guī)章制度追究責(zé)任。
科室人員如違反以上條款,或科室管理中存在違反條款的行為,除依規(guī)處罰相關(guān)責(zé)任人外,同時將追究相關(guān)中層干部的管理責(zé)任,并將結(jié)果納入中層干部年度或任期考評,與干部的選拔、任用及獎勵掛鉤。
本責(zé)任書有效期至本屆中層干部任期結(jié)束。
部門(科室)
負(fù)責(zé)人簽字:
XXXX醫(yī)院
XXXX年X月X日
醫(yī)院電腦使用責(zé)任書【3】
為了切實加強(qiáng)北京大學(xué)人民醫(yī)院網(wǎng)站安全管理,增強(qiáng)醫(yī)院網(wǎng)絡(luò)為醫(yī)院醫(yī)療、教學(xué)、科研、管理和員工服務(wù)的功能,規(guī)范上網(wǎng)信息審核工作,結(jié)合我院的實際情況,特制定本責(zé)任書。
一、本責(zé)任書適用于所有與醫(yī)院科室/處室相關(guān)的網(wǎng)絡(luò)內(nèi)容(含信息平臺信息、科室/處室自行設(shè)立的網(wǎng)站)。
二、各科室/處室網(wǎng)絡(luò)內(nèi)容實行科室/處室主任負(fù)責(zé)制。確保上網(wǎng)信息內(nèi)容中不含危害國家安全、社會穩(wěn)定、醫(yī)院發(fā)展和職工團(tuán)結(jié)的內(nèi)容,不涉及非法內(nèi)容,確保上網(wǎng)信息的真實性和準(zhǔn)確性,不利用網(wǎng)站從事與醫(yī)院網(wǎng)站職能不符的活動;科室/處室主任對網(wǎng)站上的鏈接內(nèi)容負(fù)責(zé);涉及人數(shù)較多的大型活動或倡議書等一類信息,須報黨委院長辦公室審批同意后方可掛網(wǎng)。
三、本科室/處室上網(wǎng)內(nèi)容由科/處室主任授權(quán)專人作為科室/處室網(wǎng)絡(luò)管理員,科/處室主任對上網(wǎng)內(nèi)容審簽,并將審簽表交黨委院長辦公室備案。
四、科室/處室網(wǎng)絡(luò)管理員職責(zé):對醫(yī)院網(wǎng)站后臺臨時權(quán)限保密;科室/處室上網(wǎng)內(nèi)容上報科/處室主任審批,并將科/處室主任簽字的審批表交黨委院長辦公室存檔。
科室/處室:
責(zé)任人(科室/處室主任):
金融IT內(nèi)部的運維風(fēng)險
1. IT內(nèi)部對服務(wù)器的維護(hù)和管理依賴于操作系統(tǒng)的口令認(rèn)證,口令易被轉(zhuǎn)授、窺探以及遺忘等弱點,以及授權(quán)不方便等問題造成管理困難,成本較高。
2. 第三方廠商技術(shù)支持人員、項目服務(wù)商等在對內(nèi)部核心服務(wù)器、網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行現(xiàn)場調(diào)試或遠(yuǎn)程技術(shù)維護(hù)時,無法有效地記錄其操作過程和維護(hù)內(nèi)容,核心機(jī)密數(shù)據(jù)容易泄露或遭到惡意破壞。
3. 研發(fā)部門在系統(tǒng)上線運行后,經(jīng)常會通過普通的權(quán)限登錄系統(tǒng)分析軟件查看問題,從信息安全角度考慮,這些查詢過程必須留有記錄。
解決方案技術(shù)優(yōu)勢
1. 獨創(chuàng)的數(shù)據(jù)庫運維操作審計平臺,覆蓋主流商業(yè)數(shù)據(jù)庫的企業(yè)應(yīng)用和運維操作。
2. 支持RDP圖形實時文字識別和文字提取功能。
3. 帶來無縫應(yīng)用的用戶體驗,所有應(yīng)用均可本地化展示。
4. 提供文件傳輸內(nèi)容審計記錄。
5. 契合金融行業(yè)安全的三級會同功能(接入會同、密碼會同、命令會同)。
解決方案部署收益
中圖分類號:TM39 文獻(xiàn)標(biāo)識碼:A
隨著飛速發(fā)展的電力信息化,電力系統(tǒng)越來越依賴于計算機(jī)網(wǎng)絡(luò)與電子信息系統(tǒng),電力信息安全系統(tǒng)一旦產(chǎn)生差錯,將直接危害電網(wǎng)以及其衍射破壞國民經(jīng)濟(jì),其殺傷力勢必?zé)o法估量。電力系統(tǒng)信息安全是一項技術(shù)復(fù)雜度高、管理程度較深綜合型系統(tǒng)工程,波及到電力生產(chǎn)、傳輸、分配與使用等各個環(huán)節(jié)的同時,需最大限度地確保電力信息的密保性、整體性、可用性、可控性。此外,電力系統(tǒng)信息安全的深入研究,構(gòu)建電力系統(tǒng)信息安全保障體系顯得尤為重要。
一、電力系統(tǒng)現(xiàn)存的信息安全隱患
近幾年,快速發(fā)展的國內(nèi)電力信息化,電力通信逐步轉(zhuǎn)變?yōu)橐怨饫w和數(shù)字微波為主導(dǎo)的的傳輸方式,并存著衛(wèi)星、電力線載波、電纜、無線等多種通信方式的全國電力系統(tǒng)通信,為進(jìn)一步發(fā)展國內(nèi)電氣信息化夯實了基礎(chǔ)。綜合來講,相對較高的國內(nèi)電力系統(tǒng)信息安全程度,保障著電力系統(tǒng)信息運行的安全性、穩(wěn)定性。
雖然我國電力系統(tǒng)信息安全已取得了可喜的成效,但仍有進(jìn)一步完善之處:
1.未統(tǒng)一規(guī)范管理的電力系統(tǒng)信息安全。確保正常運作電力系統(tǒng),信息安全極為重要,但就目前來說,統(tǒng)一化、權(quán)威性的電力系統(tǒng)信息安全管理規(guī)范仍未真正落實到位。
2.符合電力行業(yè)指標(biāo)的信息安全保障體系未合理構(gòu)建。如在電力行業(yè)內(nèi)部缺失計算機(jī)信息網(wǎng)絡(luò)安全意識、未實施完善的數(shù)據(jù)備份措施、脆弱的身份認(rèn)證、計算機(jī)網(wǎng)絡(luò)化以及局域網(wǎng)廣域化,加大了外在危險的攻擊力等問題,屢見不鮮。隨著逐步推進(jìn)的電氣信息化進(jìn)程,計算機(jī)網(wǎng)絡(luò)越來越多的應(yīng)用于電力系統(tǒng)的生產(chǎn)管理領(lǐng)域,但具有一定運行特點的電力系統(tǒng),構(gòu)建與電力工業(yè)特點相一致的計算機(jī)信息安全保障體系極為關(guān)鍵。
3.涌現(xiàn)出軟件內(nèi)部的安全漏洞。軟件的獨特定已決定了自身一定不是健全的產(chǎn)品,不同影響的安全漏洞會不斷涌現(xiàn)。加之應(yīng)用廣泛的軟件,增加了軟件接觸的條件復(fù)雜性,從而一定程度上隱藏了自身潛在的缺陷。
4.假借網(wǎng)頁進(jìn)行惡意攻擊。一般情況下,每個電力企業(yè)均有自己電力系統(tǒng)網(wǎng)站,在互聯(lián)網(wǎng)連入后,各種網(wǎng)頁均在每位電腦用戶搜尋所需的有用信息不斷點擊下打開。這也是不可回避的情況,然而,并不是打開的所有網(wǎng)頁是安全的。部分網(wǎng)站的開發(fā)者或擁有者,為獲取某種利益,就會巧妙地修改自己的網(wǎng)頁,以便其具有一定的特殊功能。如:點擊打開某網(wǎng)站鏈接時,不經(jīng)意間會發(fā)覺自己的瀏覽器已被自動更換,名稱已換成惡意網(wǎng)站的標(biāo)題。此情況下,運用正常手段根本無法修正。更有甚者,部分網(wǎng)頁自身具有攜帶木馬的功能,只要不小心打開或瀏覽后,就有可能將木馬種在你的機(jī)器內(nèi),之后就會無意間破壞或泄露你個人的信息等。
5.針對當(dāng)前服務(wù)虛擬化快速發(fā)展變革期的來臨,給電力企業(yè)信息系統(tǒng)帶來了一定的安全問題。比如攻擊內(nèi)部虛擬機(jī)、爭奪有限的資源以及增加管理難度等方面。對此,基于信息安全保障體系預(yù)設(shè)的前提下,可以制定虛擬化感知的安全應(yīng)對方案,規(guī)避爭奪資源,進(jìn)而最大限度的提高服務(wù)器處于高峰和非高峰期內(nèi)的工作效率。
二、構(gòu)建電力系統(tǒng)信息安全保障體系的幾點思考
1.進(jìn)一步完善信息安全管理機(jī)制
整體規(guī)劃統(tǒng)籌,關(guān)注重點,建設(shè)信息安全管理制度與規(guī)范標(biāo)準(zhǔn)進(jìn)程需進(jìn)一步加快,切實制定相關(guān)的信息安全制度條例,有效編制電力系統(tǒng)的實施辦法,明確信息安全項目的側(cè)重點,規(guī)劃統(tǒng)籌電力系統(tǒng)信息安全任務(wù)。合理構(gòu)建電力系統(tǒng)信息安全保障體系,為本單位防護(hù)信息安全設(shè)施完善與更新工作做好全方位指導(dǎo),及時調(diào)查應(yīng)對產(chǎn)生信息事故之后的規(guī)范性工作,從而進(jìn)一步提高信息安全事件的管理與監(jiān)督力度。與此同時,針對規(guī)范建設(shè)災(zāi)難恢復(fù)系統(tǒng),需緊抓研究與編制,實施有效的恢復(fù)災(zāi)難措施,適當(dāng)規(guī)劃統(tǒng)籌單位內(nèi)部恢復(fù)災(zāi)難的系統(tǒng)建設(shè)工作。
除此之外,標(biāo)準(zhǔn)化、規(guī)范化是確保電力系統(tǒng)信息安全的基礎(chǔ)性工作。電力企業(yè)需著手于電力系統(tǒng)的實際特點,格外重視電力系統(tǒng)信息安全的規(guī)范化、統(tǒng)一性管理,適當(dāng)?shù)闹贫ú⑼晟埔惶讟?biāo)準(zhǔn)化、統(tǒng)一性的安全管理規(guī)范機(jī)制,從而最大限度的彌補(bǔ)電力企業(yè)內(nèi)部信息安全管理存在的不足之處,增強(qiáng)企業(yè)的風(fēng)險承受力。在構(gòu)建電力系統(tǒng)信息安全保障體系的過程中,電力系統(tǒng)主要管理部門必須嚴(yán)格按照確保電力系統(tǒng)正常運行的指標(biāo)需求,參照現(xiàn)今的國際安全標(biāo)準(zhǔn)、國家安全標(biāo)準(zhǔn)以及相關(guān)的安全法規(guī)政策,有效地構(gòu)建電力系統(tǒng)信息安全的各項管理規(guī)范和相關(guān)技術(shù)標(biāo)準(zhǔn),進(jìn)一步規(guī)范基礎(chǔ)性設(shè)施構(gòu)建、系統(tǒng)與網(wǎng)絡(luò)平臺搭建、應(yīng)用軟件開發(fā)、運行管理等各個重要環(huán)節(jié),進(jìn)而為電力系統(tǒng)信息安全的構(gòu)建創(chuàng)造堅實的基礎(chǔ)。
2.加快建設(shè)信息安全管控機(jī)制
全面落實信息安全保障體系不可忽略主要負(fù)責(zé)人員的組織、管理工作。結(jié)合每人的不同因素,需嚴(yán)格遵循以人為本的安全理念是構(gòu)建電力系統(tǒng)信息安全保障體系的基本原則之一,對此,在整個電力系統(tǒng)信息安全中,需重視組織安全機(jī)制的有效落實工作。在制定健全組織安全機(jī)制的過程中,需進(jìn)一步提高計算機(jī)信息網(wǎng)絡(luò)工作人員的安全意識,并針對專門負(fù)責(zé)信息安全工作人員開展定期或不定期的安全培訓(xùn)。
建設(shè)個人終端標(biāo)準(zhǔn)化工作需加快推進(jìn),嚴(yán)格管理個人終端接入網(wǎng),將個人終端補(bǔ)丁程序與及時自動更新、升級病毒軟件落實到日常工作中,而對于隨意下載或安裝的非正版軟件需加大嚴(yán)禁力度。加強(qiáng)實施防治木馬病毒等危險因素侵入的安全措施,做好外來用戶訪問控制工作。全面有效的監(jiān)控信息安全,盡快構(gòu)建信息安全監(jiān)控體系,實現(xiàn)集中監(jiān)視防火墻、入侵檢測等安全防護(hù)設(shè)施,或?qū)ζ溥M(jìn)行及時有效地警示,同時,深入研究信息安全模型,制定綜合評估檢測信息安全機(jī)制,確保安全信息評估的科學(xué)化、簡便性。
3.增強(qiáng)安息安全密保工作的認(rèn)識度
認(rèn)清形勢,對全體員工的密保知識水平與防護(hù)技能進(jìn)行全方面檢測,提高網(wǎng)絡(luò)竊密泄密防范水平。針對外網(wǎng)連接其他公共信息網(wǎng)絡(luò),需嚴(yán)格審查或嚴(yán)禁,并嚴(yán)禁外存或處理國家和單位機(jī)密在非網(wǎng)上,將保護(hù)信息安全工作和職責(zé)切實落實到位。與合作單位的開發(fā)、咨詢工作需強(qiáng)化信息安全保密管理,簽訂保密協(xié)議,嚴(yán)審?fù)鈦砣藛T的訪問,加強(qiáng)授權(quán)管理,做好監(jiān)管與備案工作。定期或不定期開展審查信息系統(tǒng)安全保密活動,對文檔做好登記、存檔、銷毀、定檢以及解密等各方面工作,及時發(fā)現(xiàn)、解除隱性的或顯性的泄密隱患。
在信息安全保障體系設(shè)計階段,確保電力系統(tǒng)信息安全需重點考慮的關(guān)鍵條件之一。規(guī)范化使用系統(tǒng)內(nèi)部的部分安全設(shè)施,增強(qiáng)基礎(chǔ)設(shè)備的安全度,諸如盡可能實行深埋或架空通信線路等措施,避免各種方式的意外損壞。嚴(yán)格化管理保障體系內(nèi)的部分精密設(shè)施,合理制定專項負(fù)責(zé)制,將責(zé)任具體到每人。
三、憑借防火墻及云計算安全手段,保障信息安全
近年來,隨著網(wǎng)絡(luò)科技的快速發(fā)展,防火墻技術(shù)已作為新興的計算機(jī)網(wǎng)絡(luò)安全保護(hù)性技術(shù)措施之一。在網(wǎng)絡(luò)中,通過阻止黑客訪問某個機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)而設(shè)定的屏障,換句話而言,是專門控制超出兩個方向的通信門檻。針對邊界網(wǎng)絡(luò),可利用對應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)的構(gòu)建來將內(nèi)外網(wǎng)絡(luò)進(jìn)行隔離,從而防止外部網(wǎng)絡(luò)的入侵;緊密結(jié)合實電力系統(tǒng),較為合適的利用“防火墻十殺毒軟件”配置方式,做好及時升級、更新工作,避免工作流于表面。與此同時,為保密信息因惡意外部破壞造成丟失或網(wǎng)絡(luò)癱瘓,需認(rèn)真做好備份重要網(wǎng)絡(luò)信息和系統(tǒng)數(shù)據(jù)。此外,備份的有效性定期檢驗也顯得尤為重要。有力鑒定數(shù)據(jù)備份的有效性關(guān)鍵在于定期的恢復(fù)演習(xí),也是有效演練網(wǎng)絡(luò)負(fù)責(zé)人恢復(fù)數(shù)據(jù)的操作技能,鍛煉應(yīng)對問題時的從容面對,冷靜思考,進(jìn)而為網(wǎng)絡(luò)訪問創(chuàng)造保障環(huán)境。
防火墻的類型多樣,具體概況為包過濾防火墻、防火墻與雙穴防火墻三大類。其中網(wǎng)絡(luò)層設(shè)置的一般是包過濾防火墻,而在路由器上實現(xiàn)包過濾目的。此類防火墻可以用來對外部非法用戶訪問的禁止,以及訪問某些服務(wù)類型的禁止等。又稱應(yīng)用層網(wǎng)管級防火墻的防火墻,其組成主要有服務(wù)器和過濾路由器,是當(dāng)前相對較為流行的防火墻種類之一。而針對雙穴防火墻,是在一個網(wǎng)絡(luò)內(nèi)進(jìn)行數(shù)據(jù)搜集,并有選擇性的傳送到另一個網(wǎng)絡(luò)。電力系統(tǒng)信息安全的保障性離不開防火墻的合理配置,確保安全連接各個網(wǎng)絡(luò),從而在連接端口規(guī)避出現(xiàn)安全漏洞。
同時,通過加強(qiáng)云計算威脅管理,為信息安全保障體系提供靈活的管理策略,進(jìn)一步豐富審計日志以及報表的功能。并有效結(jié)合“云中保險箱技術(shù)”,合理利用密鑰及管理策略機(jī)制,保護(hù)用戶存儲的云隱私與數(shù)據(jù)信息,使電力企業(yè)所運用的云平臺或數(shù)據(jù)交換突破時空限制,且更為安全。
結(jié)束語
總的來說,電力系統(tǒng)信息安全保障體系的構(gòu)建是為了更好地應(yīng)對電力系統(tǒng)信息安全的潛在威脅,使電力系統(tǒng)信息的安全性不斷提高。在總結(jié)過去經(jīng)驗的基礎(chǔ)上,各電力企業(yè)要積極分析電力系統(tǒng)的特點,合理利用云計算安全手段,制定相應(yīng)的安全策略,建立全面合理的信息安全體系,確保電力信息乃至整個電力系統(tǒng)的安全。
參考文獻(xiàn)
[1].吳克河.電力信息系統(tǒng)安全防御體系及關(guān)鍵技術(shù)[M].北京: 科學(xué)出版社.2011(10).
[2].田雨平.周鳳鳴.電力企業(yè)現(xiàn)代安全管理[M]. 北京:中國電力出版社.2009(1).
在殘酷的市場競爭壓力下,如今大多數(shù)出版社都不得不在兼顧社會效益的同時,更多地考慮經(jīng)濟(jì)效益。畢竟,一家改制成企業(yè)的出版社,如果只顧社會效益而忽視經(jīng)濟(jì)效益,那么遲早會被淹沒在市場競爭的浪潮中。這就造成了高校小專業(yè)教材出版的尷尬境遇:教材的利潤主要來自于高印量,而小專業(yè)教材因為學(xué)生人數(shù)少、市場容量有限,往往是很多出版社都不愿涉足的“雞肋”,從而使得其出版相當(dāng)艱難。小專業(yè)教材的市場同類書少且內(nèi)容陳舊,教材內(nèi)容無法及時更新,又影響小專業(yè)的教學(xué)質(zhì)量和學(xué)科發(fā)展,從而限制了招生規(guī)模,進(jìn)一步影響教材的大批出版,造成惡性循環(huán)。
信息安全專業(yè)是一個新興的交叉學(xué)科,目前來說就是一個小專業(yè),各校的招生人數(shù)較少。從2001年武漢大學(xué)首次開設(shè)信息安全專業(yè)以來,目前教育部正式批準(zhǔn)開設(shè)信息安全專業(yè)的只有73所高校,另外還有約30多所省屬高校開設(shè)了信息安全方向,高校總數(shù)有100多所,每校招生規(guī)模一般為1~2個班(每班30人)。對于工科類的計算機(jī)、電子、通信等專業(yè)來說,信息安全專業(yè)的確是一個小眾專業(yè),雖然目前其招生規(guī)模還比較小,但畢業(yè)生就業(yè)形勢很好,信息技術(shù)發(fā)達(dá)的今天,信息安全的重要性不言而喻,信息安全專業(yè)學(xué)生的社會需求是很大的,由此我們判斷這個專業(yè)有很好的發(fā)展前景。
從2008年8月起我們開始調(diào)研普通高校信息安全專業(yè)的教材情況,通過市場同類書調(diào)查、參加教指委會議、走訪信息安全專業(yè)排名靠前的高校,我們發(fā)現(xiàn),雖然市場上信息安全的圖書已經(jīng)有一些了,但主要以技術(shù)類圖書及專著為主,真正能作為本科生教材的很少,特別是符合教育部信息安全教指委2009年制定的最新專業(yè)規(guī)范和教學(xué)基本要求的則更少。可見,組織策劃一套貫徹最新專業(yè)規(guī)范和教學(xué)基本要求的本科教材是有一定市場需求和出版價值的。基于上述考慮,我們決定組織策劃一套普通高校的信息安全本科教材。這套教材我們定名為《普通高等院校信息安全類特色專業(yè)系列規(guī)劃教材》,同時我們爭取到了教育部信息安全教指委的支持,成立了以信息安全教指委委員為主,部分重點高校知名教授為輔的高水平編委會。目前這套教材規(guī)劃的14門核心課程已出版3本,計劃到明年9月之前全套出齊。下面就以《普通高等院校信息安全類特色專業(yè)系列規(guī)劃教材》為例,分六個方面,介紹小專業(yè)教材的策劃思路和心得體會。
一、策劃找準(zhǔn)切入點,特色定位很關(guān)鍵
其實在我們策劃這套教材之前,高等教育出版社、清華大學(xué)出版社、國防工業(yè)出版社、北京郵電大學(xué)出版社等都已出版過信息安全方面的圖書,包括教材、技術(shù)書及專著,其中也不乏“十一五”國家級規(guī)劃教材,那么為什么我們這套教材能得到信息安全教指委和各高校的支持呢?一方面是我們抓住了信息安全教指委頒布最新專業(yè)規(guī)范和教學(xué)基本要求的時機(jī),之前的教材由于出版時間早,內(nèi)容都沒有按照專業(yè)規(guī)范和教學(xué)基本要求來編寫。各高校也希望能使用內(nèi)容新穎、符合教指委規(guī)范的教材;另一方面,我們抓住了教育部提出的“建設(shè)3 000個左右特色專業(yè)建設(shè)點”這個機(jī)會,這也是教育部倡導(dǎo)的本科教學(xué)“質(zhì)量工程”的內(nèi)容之一。我們策劃的這套《普通高等院校信息安全類特色專業(yè)系列規(guī)劃教材》,之前沒有其他出版社提出過,與以往的教指委推薦教材或指定教材也不相同,信息安全教指委認(rèn)為我們這套教材與其他出版社的教材有明顯區(qū)別,不雷同,同時各高校特色專業(yè)建設(shè)點也有出版此類教材的需求,所以這套教材才得到了信息安全教指委和各高校的大力支持。
明顯的特色。2007年年底教育部和財政部共同下文:《教育部財政部關(guān)于實施高等學(xué)校本科教學(xué)質(zhì)量與教學(xué)改革工程的意見》(教高〔2007〕1號),為了適應(yīng)國家經(jīng)濟(jì)、科技、社會發(fā)展對高素質(zhì)人才的需求,引導(dǎo)不同類型高校根據(jù)自己的辦學(xué)定位和發(fā)展目標(biāo),發(fā)揮自身優(yōu)勢,辦出專業(yè)特色,“十一五”期間教育部、財政部將投入專門經(jīng)費,擇優(yōu)重點建設(shè)3 000個左右特色專業(yè)建設(shè)點。結(jié)合上述文件精神,我們確定這套教材為信息安全類特色專業(yè)教材,并由此確定了主編隊伍,主編人員全部來自教育部評選的第一批15所信息安全類特色專業(yè)建設(shè)點高校,這些高校也是信息安全學(xué)科排名靠前的高校,希望他們將各校信息安全的特色教學(xué)和科研成果體現(xiàn)到教材編寫中。此外,這套教材還將切實貫徹信息安全教指委2009年制定的最新專業(yè)規(guī)范和教學(xué)基本要求,這些將構(gòu)成本套教材的主要特色。
明確的定位。這套信息安全本科教材,是考慮面向二、三本高校的學(xué)生,還是主要面向重點高校學(xué)生而兼顧二、三本高校學(xué)生呢?我們對此進(jìn)行了認(rèn)真分析:目前開設(shè)信息安全的高校并不太多,受辦學(xué)條件和師資力量的限制,二、三本高校的老師還不太容易能獨立編寫出高質(zhì)量的教材,但這類高校的招生規(guī)模較大,對教材的需求比重點高校學(xué)生更加迫切,因此,我們決定本套教材主要面向重點高校學(xué)生,同時兼顧二、三本高校學(xué)生,由此也確定了編寫隊伍,即以重點高校的老師為主編,吸收一些一般高校的老師參編,這樣既能保證教材質(zhì)量,又能擴(kuò)大教材的適用面和用量。
二、按照專業(yè)成系列開發(fā)
小專業(yè)的教材因為單本書的用量較少,單本教材的開發(fā)成本及營銷成本都很高,所以必須利用經(jīng)濟(jì)學(xué)上的“整體效應(yīng)原則”來進(jìn)行系列化的開發(fā),即按照信息安全專業(yè)開設(shè)的主要課程來進(jìn)行整體設(shè)計,形成“先修課程和后續(xù)課程相互銜接、專業(yè)基礎(chǔ)課與專業(yè)課遙相呼應(yīng)”的格局,這樣也利于后期進(jìn)行整體營銷推廣。我們以2009年年初信息安全教指委香山會議上確定的4套專業(yè)規(guī)范及教學(xué)基本要求為基礎(chǔ),調(diào)研了10多所高校的教學(xué)計劃和課程設(shè)置,再征求編委會委員的意見,確定了系列教材的14門核心課程。
三、策劃思想重在執(zhí)行
能否將策劃思想真正落實,是判斷編輯執(zhí)行力強(qiáng)弱的重要指標(biāo)。策劃思想再好,如果組不到合適的稿件,那么這套教材永遠(yuǎn)只是計劃而不能成書。通過調(diào)研和前期策劃,我們已經(jīng)初步勾畫出了信息安全特色專業(yè)系列教材的輪廓。根據(jù)確定的特色、定位及編委會等,我們撰寫了項目申請書,編輯拿著項目書,開始走訪排名靠前的信息安全特色專業(yè)高校,進(jìn)行宣傳和組稿。同時也將編委會委員發(fā)動起來,他們也推薦了一些優(yōu)秀的作者。通過半年時間的組稿,14本教材已經(jīng)全部確定了主編。主編單位主要來自信息安全類特色專業(yè)建設(shè)點的名校,其中不乏國家級或省級精品課程主干教材,整體質(zhì)量較好。
策劃一套高層次的系列教材,需要組建一個權(quán)威的編委會,利用編委會來進(jìn)行質(zhì)量把關(guān)和宣傳營銷。對出版社來說,組建編委會實質(zhì)上就是整合各方資源,形成一個“磁場”,來吸引高水平的老師參與編寫。所以,編委會更多地起審稿把關(guān)和對外宣傳提升檔次的作用,組稿不能完全依靠編委會,還需要編輯自力更生,積極主動,否則組稿效率會很低,影響叢書的整體進(jìn)度。
四、編前工作贏在細(xì)節(jié)
一套教材有了好的策劃思想,也有了理想的編寫隊伍,但是如果編前工作做得不好,這套書的質(zhì)量還是無法保障,整個項目也就將功虧一簣。所以一定要注重編前工作這個細(xì)節(jié),細(xì)節(jié)決定成敗。編前階段是指作者向出版社正式交稿前的寫作階段,也是編輯提供出版服務(wù)的重要階段。這個階段又被叫做“中耕”階段。在這個階段中,編輯需要給主編提供“著譯者編寫指南”、 “某一門課程的教學(xué)基本要求”等。編輯只有做好這個階段的工作,作者的稿件質(zhì)量才能得到保證,并能為后期的編輯加工節(jié)約時間,提高效率。
審查編寫大綱,是進(jìn)行稿件質(zhì)量把關(guān)的第一步。為了提高這套書的整體編寫質(zhì)量,我們要求主編在編寫書稿前要提交詳細(xì)到3級目錄的編寫大綱,為此,我們于2010年7月31日召開了這套教材的編委會議,信息安全教指委主任、副主任、10多位編委及教材專家委員出席了會議,另外還有一些感興趣的高校也派了代表參加。在會上,每位主編用PPT的形式介紹了各自的大綱,編委或教材專家委員現(xiàn)場進(jìn)行討論并提出修改意見。通過這次會議,我們吸收了一些院校參與到部分教材的編寫中,同時也擴(kuò)大了這套教材的知名度,提前進(jìn)行了宣傳。
五、營銷貫穿策劃全過程
教材的營銷很重要,小專業(yè)教材的營銷就更加重要了。不能等到出書之后才想到營銷推廣,在選題策劃階段就要充分考慮如何開展有針對性的營銷,確定營銷策略。在策劃信息安全這套教材時,我們與北京郵電大學(xué)信息安全中心取得了聯(lián)系,通過多次溝通,雙方達(dá)成了共識并簽訂了協(xié)議:我們可以利用北郵信息安全中心每年組織全國青年教師培訓(xùn)的機(jī)會,宣傳推廣我們的教材。除了會議營銷外,在調(diào)研階段,我們就查詢了目前開設(shè)信息安全專業(yè)的100多所高校負(fù)責(zé)人信息并錄入數(shù)據(jù)庫,為教材出版后贈送樣書作準(zhǔn)備。另外,等大部分稿件交稿后,我們將制作宣傳頁,通過發(fā)送電子郵件或院校代表走訪等形式進(jìn)行散發(fā)宣傳。為了宣傳這套教材,我們還將為每部書稿確定一位編委會委員作為主審人,一方面是對稿件質(zhì)量把關(guān),另一方面也利用主審人的學(xué)術(shù)影響來宣傳和提升本套教材的品質(zhì)。
營銷一定要貫穿策劃全過程,并且隨著策劃的深入,還要不斷修正原來的營銷方案和策略,形成一套比較完善可行的營銷方案,并且從一開始就要分階段逐步實施。
六、團(tuán)隊成長伴隨項目發(fā)展
出版工作主要依靠的是人,而選題策劃更是離不開編輯。策劃一個較大的項目,需要做的工作很多,環(huán)節(jié)也很復(fù)雜,一個編輯很難全部承擔(dān),所以需要一個結(jié)構(gòu)合理的團(tuán)隊來共同完成。信息安全這套教材就是由我和另一位年輕編輯來共同完成的,我負(fù)責(zé)總體設(shè)計規(guī)劃、組建編委會及重要稿件的組稿,年輕編輯負(fù)責(zé)部分組稿、大部分后期生產(chǎn)及營銷等工作。
中國XBRL系列國家標(biāo)準(zhǔn)自2011年1月1日起全面實施,企業(yè)會計通用分類標(biāo)準(zhǔn)在美國紐約證券交易所上市的我國部分公司、部分證券期貨資格會計師事務(wù)所首先執(zhí)行,自此我國已全面啟動XBRL建設(shè)。XBRL的應(yīng)用和推廣將會給財務(wù)報告供應(yīng)鏈各個環(huán)節(jié)帶來深刻變革,審計作為其中一環(huán)勢必會受到這一變革的深遠(yuǎn)影響。
一、XBRL對審計的影響
XBRL對審計的影響主要體現(xiàn)在以下幾個方面:
1、 審計對象范圍擴(kuò)大
XBRL環(huán)境下審計人員首先面對的是鑒證對象在存在形式、結(jié)構(gòu)組成及傳輸形態(tài)上的改變。被審單位財務(wù)信息的XBRL文檔可經(jīng)XBRL格式轉(zhuǎn)換器轉(zhuǎn)換得到或由內(nèi)嵌XBRL適配器的會計軟件、ERP系統(tǒng)直接生成。此時審計人員不僅要關(guān)注XBRL財務(wù)數(shù)據(jù)本身的公允性、合法性,還應(yīng)審計包括生成XBRL數(shù)據(jù)的整個企業(yè)會計信息系統(tǒng)可靠性,這使得審計對象范圍擴(kuò)大。
2、 審計風(fēng)險增加
XBRL環(huán)境下除了傳統(tǒng)審計風(fēng)險外,還包括:一、XBRL文檔由被審單位企業(yè)財務(wù)信息系統(tǒng)生成,審計范圍已不限于財務(wù)數(shù)據(jù),增加了XBRL生成系統(tǒng)的檢查風(fēng)險;二、源自被審單位能否正確運用分類標(biāo)準(zhǔn),標(biāo)簽與數(shù)據(jù)的映射是否完整、準(zhǔn)確的重大錯報風(fēng)險;三、由于XBRL和企業(yè)財務(wù)信息系統(tǒng)置于網(wǎng)絡(luò)環(huán)境中,XBRL實例文檔面臨被非法篡改而導(dǎo)致的安全風(fēng)險。
3、 審計技術(shù)改進(jìn)
隨著XBRL的廣泛應(yīng)用,XBRL成為審計的強(qiáng)大助力。基于XBRL的會計系統(tǒng)審計中,審計人員可以利用XBRL數(shù)據(jù)接口采集原始數(shù)據(jù)至審計數(shù)據(jù)庫,變分散數(shù)據(jù)為數(shù)據(jù)聚集,利用聚類關(guān)聯(lián)、統(tǒng)計分析等數(shù)據(jù)挖掘方法從海量數(shù)據(jù)中發(fā)現(xiàn)隱含的、潛在的規(guī)律或蛛絲馬跡。數(shù)據(jù)分析廣泛應(yīng)用于審計過程中,而不僅限于實質(zhì)性測試程序。借助XBRL數(shù)據(jù)庫平臺,審計人員既可以“下鉆”到被審單位財務(wù)信息系統(tǒng)的底層數(shù)據(jù),也可以便利地查閱他人利用已公布的財務(wù)與業(yè)務(wù)數(shù)據(jù)編制的分析報告。
借助于網(wǎng)絡(luò),審計取證模式實現(xiàn)了審計資料收集與不同企業(yè)信息系統(tǒng)的平臺無關(guān)性,具有廣闊的適用范圍。審計人員無需深入了解不同信息系統(tǒng)的具體數(shù)據(jù)結(jié)構(gòu)即可獲得所需審計證據(jù),減少人工干預(yù),從而提高審計效率和正確性。
4、審計報告模式變革
傳統(tǒng)的審計從企業(yè)會計報告完成到審計報告完稿,往往間隔幾個月,時效性不強(qiáng),且往往發(fā)生期后事項,須在審計報告中追加披露。XBRL和網(wǎng)絡(luò)技術(shù)的應(yīng)用,使隨時獲取會計信息成為可能,為實時審計的實現(xiàn)鋪平了道路。從報告內(nèi)容和結(jié)構(gòu)來看,現(xiàn)行審計報告對被審單位的預(yù)測信息披露較少,隨著XBRL應(yīng)用于審計,審計人員更容易找出企業(yè)經(jīng)營中的“規(guī)律”,對企業(yè)經(jīng)營預(yù)測做出可靠的判斷,使事前預(yù)測和控制成為可能,未來預(yù)測信息及會計事項在XBRL環(huán)境下成為審計鑒證的重點之一。
5、對審計人員的全新要求
XBRL對審計人員的素質(zhì)和知識技能提出了全新的要求。XBRL的實施需要的是跨會計、IT的復(fù)合型人才,審計人員除了要求精通經(jīng)濟(jì)、財會、企業(yè)管理等多方面的知識,還需要掌握信息系統(tǒng)應(yīng)用技術(shù)、數(shù)據(jù)庫應(yīng)用技術(shù)、互聯(lián)網(wǎng)環(huán)境下的財務(wù)報告和鑒證技術(shù)(如XML、XBRL、XARL)等;雖然大部分審計工作可能通過相關(guān)軟件工具即可完成,但擁有復(fù)合型知識無疑更有利于對審計工作的展開以及業(yè)務(wù)的擴(kuò)展升級。
二、應(yīng)對措施
XBRL給審計帶來了新的發(fā)展機(jī)遇,同時也提出了挑戰(zhàn),面對挑戰(zhàn)需要從技術(shù)、資源、人員素質(zhì)及理論與法規(guī)等方面加強(qiáng)建設(shè)。
1、 加強(qiáng)軟件開發(fā)支持
XBRL數(shù)據(jù)轉(zhuǎn)換及生成、XBRL文檔的審核和管理以及自動分析是審計能否應(yīng)對新變化的關(guān)鍵技術(shù)。相關(guān)財務(wù)軟件商應(yīng)大力開發(fā)XBRL嵌入式應(yīng)用的財務(wù)軟件,增加ERP或會計軟件的XBRL生成能力,實現(xiàn)開發(fā)、擴(kuò)展和管理分類標(biāo)準(zhǔn)、創(chuàng)建和管理報表,以及開發(fā)網(wǎng)上電子填報至XBRL數(shù)字報告生成一體化解決方案的XBRL平臺。進(jìn)而將研究重點轉(zhuǎn)至數(shù)據(jù)挖掘、專家系統(tǒng)等方向,從而整體提高審計的智能化應(yīng)用和整體水平。
2、 建立基于XBRL的公共信息平臺
該平臺包括公司財務(wù)信息、審計信息、稅務(wù)信息、工商信息等,這些信息在統(tǒng)一的數(shù)據(jù)庫或數(shù)據(jù)倉庫中相互援引,一方面可以實現(xiàn)審計系統(tǒng)與其他監(jiān)督系統(tǒng)的信息交流,實現(xiàn)數(shù)據(jù)共享,發(fā)揮數(shù)據(jù)發(fā)掘潛力,提高審計效率,降低審計成本。另一方面也可以組建戰(zhàn)略合作性的審計網(wǎng)絡(luò),強(qiáng)化審計領(lǐng)域的縱向和橫向數(shù)據(jù)傳輸,資源共享。例如普華永道的內(nèi)部數(shù)據(jù)平臺可以實現(xiàn)跨界服務(wù),對來自全球超過7萬5千家上市公司的信息披露文檔進(jìn)行評估的時候,其員工能夠快速地獲取、創(chuàng)建、分享和調(diào)整用于分析的模型、數(shù)據(jù)和可視化選項。可想該技術(shù)推廣到整個注冊會計師行業(yè)的巨大潛力。
3、 構(gòu)建多層次的信息安全體系
XBRL格式信息其所有內(nèi)容都是以數(shù)字形式流通于互聯(lián)網(wǎng)上,因此要保證交流雙方進(jìn)行安全數(shù)據(jù)傳輸,需要建立安全保障體系。一是要保障數(shù)據(jù)存儲安全,建立包括如訪問控制、數(shù)據(jù)庫安全、防火墻等保障措施。二是要保障信息通訊安全。可以構(gòu)建審計機(jī)構(gòu)和被審計單位之間安全的VPN通信網(wǎng)絡(luò),不但提供及時的安全信息交流而且可以大大節(jié)約通信雙方的費用,還可通過該VPN網(wǎng)絡(luò),配置相應(yīng)的軟件,實現(xiàn)對被審單位的實時監(jiān)控。此外,切實做好XBRL數(shù)據(jù)庫的備份,以應(yīng)對網(wǎng)絡(luò)環(huán)境下內(nèi)外數(shù)據(jù)資源和信息系統(tǒng)安全隱患。
4、 加強(qiáng)人員的培訓(xùn)和復(fù)合型團(tuán)隊建設(shè)
為應(yīng)對XBRL審計的挑戰(zhàn),一方面加強(qiáng)人員的培訓(xùn)工作,培養(yǎng)復(fù)合型人才;另一方面構(gòu)建復(fù)合型團(tuán)隊,通過經(jīng)濟(jì)、財會、計算機(jī)、企業(yè)管理等多方面人才的通力配合、默契協(xié)作,應(yīng)對XBRL審計需求。
5、 構(gòu)建信息系統(tǒng)審計概念框架
XBRL為審計信息化建設(shè)搭建了一個平臺,然而信息系統(tǒng)審計目前還沒有形成規(guī)范理論,應(yīng)當(dāng)從實踐出發(fā),研究XBRL環(huán)境下信息系統(tǒng)審計的審計風(fēng)險、業(yè)務(wù)流程和智能審計的技術(shù)方法。在理論的指導(dǎo)下結(jié)合審計實踐加強(qiáng)計算機(jī)審計準(zhǔn)則的確立與完善。例如對xbrl文件和分類標(biāo)準(zhǔn)應(yīng)用的審計準(zhǔn)則、對生成xbrl信息系統(tǒng)的審計準(zhǔn)則等。應(yīng)盡快構(gòu)建以理論為基礎(chǔ),以準(zhǔn)則為指導(dǎo)的計算機(jī)審計概念框架。
三、結(jié)語
隨著互聯(lián)網(wǎng)對各個領(lǐng)域的滲透,我國的網(wǎng)絡(luò)安全防護(hù)任務(wù)越來越重。從20世紀(jì)90年代至今網(wǎng)絡(luò)信息安全可分為4個階段的發(fā)展過程,即通信安全、計算機(jī)安全、網(wǎng)絡(luò)安全、內(nèi)容安全。在這4個階段中,前兩個發(fā)展階段屬于運行安全方面―OPSEC。而對于網(wǎng)絡(luò)基礎(chǔ)設(shè)施與信息的保護(hù)則稱之為物理安全―PHYSEC。隨著網(wǎng)絡(luò)的發(fā)展,隨后又提出了內(nèi)容安全―CONTSEC,其目的是為了解決信息利用方面的安全問題。為了應(yīng)對日益增加的網(wǎng)絡(luò)安全事件,網(wǎng)絡(luò)安全對抗必須進(jìn)一步的細(xì)化以及升級。在此背景下,應(yīng)急響應(yīng)聯(lián)動系統(tǒng)的建立尤為重要,因為通過系統(tǒng)的建立,可以提高政府對各種網(wǎng)絡(luò)安全事件的解決能力,減少和預(yù)防網(wǎng)絡(luò)安全事件造成的損失和危害。因此目前對應(yīng)急響應(yīng)及聯(lián)動系統(tǒng)的基礎(chǔ)理論、框架構(gòu)建、技術(shù)操作方面的研究尤為重要。
1 應(yīng)急響應(yīng)的基本內(nèi)容
1.1 應(yīng)急響應(yīng)系統(tǒng)的建立
為應(yīng)對網(wǎng)絡(luò)安全事件發(fā)生,事前準(zhǔn)備工作或事后有效措施的實施便是應(yīng)急響應(yīng)系統(tǒng)建立的目的。應(yīng)急響應(yīng)系統(tǒng)包含5個步驟。
(1)管理。即組織對事情發(fā)生前后人員之間的職能劃分。
(2)準(zhǔn)備。對于各種網(wǎng)絡(luò)安全事件提前制定的一些應(yīng)急預(yù)案措施。
(3)響應(yīng)。網(wǎng)絡(luò)安全事件發(fā)生后進(jìn)行,系統(tǒng)對事件進(jìn)行安全檢測有效防止系統(tǒng)信息進(jìn)一步遭到破壞,并對已受到破壞的數(shù)據(jù)進(jìn)行恢復(fù)。
(4)分析。為各種安全事件的應(yīng)急預(yù)案提供調(diào)整的依據(jù),提高防御能力。
(5)服務(wù)。通過對各種資源的整合為應(yīng)急響應(yīng)對計算機(jī)運行安全提供更多的有力的保障。
1.2 應(yīng)急響應(yīng)系統(tǒng)建立必須遵循的原則
(1)規(guī)范化原則。為能保證應(yīng)急響應(yīng)系統(tǒng)有效策略的實施,各個組織都應(yīng)該建立相應(yīng)的文檔描述。任何組織應(yīng)急響應(yīng)系統(tǒng)應(yīng)該有清晰和完全的文檔。并有相關(guān)的規(guī)章條例保證系統(tǒng)的有效運行。組織成員作為應(yīng)急響應(yīng)系統(tǒng)的服務(wù)者必須遵守相關(guān)的條例,也可以寫入工作職責(zé)來保證系統(tǒng)的有效運行。
(2)動態(tài)性原則。信息安全無時無刻不在發(fā)生變化,因此各種安全事件的復(fù)雜性使得應(yīng)急響應(yīng)策略的制定更加具有難度。為了完善應(yīng)急響應(yīng)策略就必須注重信息安全的動態(tài)性原則,并對策略實時作出相應(yīng)調(diào)整。
(3)信息共享原則。應(yīng)急響應(yīng)過程中,系統(tǒng)會提供大量可能與安全事件無關(guān)的信息,如果提高應(yīng)急響應(yīng)系統(tǒng)中重要信息被發(fā)現(xiàn)的可能性,在信息提取過程中,信息共享是應(yīng)急響應(yīng)的關(guān)鍵,應(yīng)該考慮將信息共享的對象與內(nèi)容進(jìn)行篩選,交叉分析。
(4)整體性原則。作為一個系統(tǒng)體系應(yīng)急響應(yīng)的策略具有整體性、全局性,應(yīng)該在所有的互聯(lián)網(wǎng)范中進(jìn)行安全防護(hù),不放過任何一點的細(xì)節(jié),因為一點點的疏漏都會導(dǎo)致全網(wǎng)的癱瘓。整個應(yīng)急響應(yīng)策略體系除了要從技術(shù)層面考慮問題也要從管理方面著手,因為管理問題而導(dǎo)致的安全事件更為嚴(yán)重。因此,制定管理方法時要投入更多的精力來進(jìn)行統(tǒng)籌安排,既要完善管理方法,也要注重技術(shù)層面。
(5)現(xiàn)實可行性原則。通過判斷應(yīng)急響應(yīng)策略是否合理性來衡量是否在線上具有可行性。
(6)指導(dǎo)性原則。應(yīng)急響應(yīng)系統(tǒng)體系中的策略并非百分之百的解決方案,ψ櫓而言,它只是對于處理網(wǎng)絡(luò)安全事件方法進(jìn)行一定的指導(dǎo),而對整個組織工作也只是提供全局性的指導(dǎo)。
2 應(yīng)急響應(yīng)系統(tǒng)體系的總體框架
如果對應(yīng)急響應(yīng)系統(tǒng)體系進(jìn)行劃分,可以將其劃分為兩個中心和兩個組。
(1)兩個中心。應(yīng)急響應(yīng)中心與信息共享分析中心。應(yīng)急響應(yīng)系統(tǒng)體系的關(guān)鍵是信息共享分析中心。它主要負(fù)責(zé)的是對中心收集來的各級組織的信息進(jìn)行交換和共享,并對整個網(wǎng)絡(luò)作出預(yù)警或者事件的跟蹤,并對收集來的信息進(jìn)行整理。而應(yīng)急響應(yīng)中心的任務(wù)則是對系統(tǒng)體系預(yù)案進(jìn)行管理,通過對信息共享分析中心各種信息安全事件的分類分析并進(jìn)行應(yīng)急響應(yīng)。
(2)兩個組。應(yīng)急管理組及專業(yè)應(yīng)急組。應(yīng)急組對整個事件進(jìn)行全局性指導(dǎo),并協(xié)調(diào)各個機(jī)構(gòu),指導(dǎo)各個組織成員對事件進(jìn)行應(yīng)急策略的制定。在各類安全事件發(fā)生的過程中,應(yīng)急響應(yīng)與救援處于一個重要的環(huán)節(jié),而專業(yè)應(yīng)急組是環(huán)節(jié)的關(guān)鍵,是實現(xiàn)信息安全保障的核心。通過應(yīng)急組的響應(yīng)迅速使網(wǎng)絡(luò)系統(tǒng)得到恢復(fù)。
3 應(yīng)急響應(yīng)的層次
“八方威脅,六面防護(hù),四位一體,應(yīng)急響應(yīng)”這句話形容的則是應(yīng)急響應(yīng)體系的整個工作過程。
(1)“八方威脅”是指應(yīng)急響應(yīng)系統(tǒng)中的網(wǎng)絡(luò)安全事件。而根據(jù)事件的危害程度對其進(jìn)行編號的話,1類為有害程度最輕的事件,8類則最為嚴(yán)重,儼然一場網(wǎng)絡(luò)戰(zhàn)爭。而且一般的安全事件都不是單獨發(fā)生的,通常許多事件都是緊密聯(lián)系環(huán)環(huán)相扣。
(2)“六面防護(hù)”防護(hù)是指技術(shù)層面的防御,主要是風(fēng)險評估、等級保護(hù)、入侵檢測、網(wǎng)絡(luò)監(jiān)審、事件跟蹤和預(yù)防6個方面。
(3)“四位一體” 主要是指各個小組的組織保障體系,如應(yīng)急組、專業(yè)組、組織協(xié)調(diào)機(jī)構(gòu)、專家顧問組。
(4)應(yīng)急響應(yīng)。應(yīng)急響應(yīng)系統(tǒng)的核心為應(yīng)急響應(yīng)的實施功能。應(yīng)急響應(yīng)系統(tǒng)通過對網(wǎng)絡(luò)安全事件的目標(biāo)進(jìn)行分類并分析,通過對事件的判斷進(jìn)行事件分級,制定具體的預(yù)案或措施,并有通過各個小組進(jìn)行信息實施,并有技術(shù)組對系統(tǒng)進(jìn)行恢復(fù)重建和應(yīng)急管理,保證目標(biāo)的信息系統(tǒng)安全。
4 應(yīng)急響應(yīng)體系的周期性
通過應(yīng)急響應(yīng)系統(tǒng)的工作,分析應(yīng)急響應(yīng)聯(lián)動系統(tǒng)在網(wǎng)絡(luò)安全事件中可能具有生命周期性。網(wǎng)絡(luò)安全事件的生命周期從風(fēng)險分析開始,一般的風(fēng)險分析包括網(wǎng)絡(luò)風(fēng)險評估和資源損失評估等。對風(fēng)險分析進(jìn)行正確有效的分析有利于高效率的應(yīng)急響應(yīng)。為了這一階段響應(yīng)過程的順利進(jìn)行,需要制訂安全政策以及各種應(yīng)急響應(yīng)優(yōu)先權(quán)的各種規(guī)定。安全工具與系統(tǒng)、網(wǎng)絡(luò)配置工具,使網(wǎng)絡(luò)的安全性與可用性兩者之間處于平衡狀態(tài)。在檢測階段,通過各種手段收集信息,利用系統(tǒng)特征或IDS工具來預(yù)測安全事件的發(fā)生。之后響應(yīng)階段,利用各種手段抑制、消除安全事件并進(jìn)行有利反擊。最后在恢復(fù)階段對受到攻擊的對象進(jìn)行恢復(fù),使其恢復(fù)到事件發(fā)生之前。網(wǎng)絡(luò)安全事件的周期性更全面,更實際地概括了應(yīng)急響應(yīng)系統(tǒng)的工作過程。
5 應(yīng)急響應(yīng)體系的聯(lián)動性
(1)“六面防護(hù)”的聯(lián)動。 首先由風(fēng)險評估對網(wǎng)絡(luò)安全事件作出安全評估并確定其“威脅”等,再由等級保護(hù)進(jìn)行措施制定,對其入侵的主體進(jìn)行入侵檢測確定威脅漏洞所在,再通過網(wǎng)絡(luò)監(jiān)審發(fā)現(xiàn)安全事件并進(jìn)行事件跟蹤再由事件跟蹤對其事件進(jìn)行分析,并通過預(yù)防對響應(yīng)策略進(jìn)行調(diào)整,并分析防御的有效性。
(2)“四位一體”的聯(lián)動。聯(lián)動的主要目的是為了應(yīng)急響應(yīng)系統(tǒng)的有效運行,因此應(yīng)急組、專業(yè)組、組織協(xié)調(diào)機(jī)構(gòu)、專家顧問組之間就要努力做好協(xié)調(diào)工作。組織協(xié)調(diào)機(jī)構(gòu)主要負(fù)責(zé)總體的協(xié)調(diào)工作,應(yīng)急組與專家顧問組主要負(fù)責(zé)對網(wǎng)絡(luò)安全事件的應(yīng)急處理工作,同時應(yīng)急組還承擔(dān)著對突發(fā)的安全事件進(jìn)行信息收集,分析以及信息上報的工作,并對組織協(xié)調(diào)機(jī)構(gòu)提出的相關(guān)事件的應(yīng)急預(yù)案或者保護(hù)措施進(jìn)行執(zhí)行的工作。
近年來,審計署陸續(xù)了多個計算機(jī)審計實務(wù)公告,涉及計算機(jī)審計的各個方面,有審前調(diào)查指南、方法語言編制規(guī)范、方法體系基本規(guī)劃、各類業(yè)務(wù)審計數(shù)據(jù)規(guī)劃、各類業(yè)務(wù)審計方法體系等,計算機(jī)審計的規(guī)范化日益提高,各科室在今年及以后開展計算機(jī)審計時,務(wù)必遵照實務(wù)公告的要求執(zhí)行。
今年上級機(jī)關(guān)將繼續(xù)開展計算機(jī)審計方法、方法體系的征集工作,各科室在認(rèn)真組織學(xué)習(xí)計算機(jī)審計方法體系相關(guān)規(guī)范基礎(chǔ)上,組織好審計人員按規(guī)范要求撰寫審計方法。要求各業(yè)務(wù)科室(除投資中心外)至少上交一個審計方法,并明確落實項目及負(fù)責(zé)人,列入年度計算機(jī)審計項目計劃表(計算機(jī)審計項目計劃表詳見附件)。
(二)繼續(xù)深化OA與AO的應(yīng)用,實現(xiàn)全覆蓋
要全面普及應(yīng)用AO2011版,對審計事項的編寫要標(biāo)準(zhǔn)化,財務(wù)數(shù)據(jù)必須采集,審計底稿要在AO中編寫,相關(guān)證據(jù)要上傳到AO并與底稿關(guān)聯(lián)。審計實施過程中,各審計組在每星期一上傳數(shù)據(jù)包,及時與OA進(jìn)行交互,傳送相關(guān)的審計證據(jù)和審計底稿,為領(lǐng)導(dǎo)決策和項目管理服務(wù)。在審計結(jié)束后,五天內(nèi)上傳完整的數(shù)據(jù)包到OA。
以O(shè)A為支撐平臺,落實審計準(zhǔn)則的各項要求,探索建立對審計項目方案、審計記錄與取證、審計報告與審計決定、審計業(yè)務(wù)質(zhì)量檢查等全過程審計復(fù)核與審理的質(zhì)量控制數(shù)字化。上級機(jī)關(guān)統(tǒng)一項目已全面應(yīng)用“統(tǒng)一組織項目管理”功能,各科室審計人員要熟悉此功能及RTX(審計專網(wǎng)用即時通信工具)的各項操作,以便順利完成統(tǒng)一組織項目,我局自定項目已全部列入OA新項目計劃管理,各科室要按照要求組織自定項目的管理及應(yīng)用。
各業(yè)務(wù)科室確定一個以上計算機(jī)審計重點項目,至少上報一個以上AO實例,全局確定一個優(yōu)秀計算機(jī)審計項目,并要具體落實項目及責(zé)任人,列入年度計算機(jī)審計項目計劃表(詳見附件)。
(三)繼續(xù)推進(jìn)信息系統(tǒng)審計
鼓勵各科室積極探索信息系統(tǒng)審計,并將項目實踐經(jīng)驗總結(jié)為信息系統(tǒng)審計案例。信息系統(tǒng)審計項目已列入年度審計計劃,具體實施方法參見《省計算機(jī)審計工作指南》(浙審辦計〔2007〕89號)。
(四)繼續(xù)加強(qiáng)網(wǎng)站建設(shè),提高網(wǎng)站應(yīng)用水平。
我局已在互聯(lián)網(wǎng)及審計專網(wǎng)上建設(shè)網(wǎng)站,要根據(jù)《市審計機(jī)關(guān)信息化工作考核辦法》的要求維護(hù)審計網(wǎng)站,繼續(xù)充實網(wǎng)站內(nèi)容,提高網(wǎng)站點擊率,推行網(wǎng)上政務(wù)公開,發(fā)揮對外宣傳及經(jīng)驗交流的作用。
(五)開展計算機(jī)審計理論研究
審計署及省廳審計學(xué)會組織計算機(jī)審計方面的課題研究,各科室要積極參與,開展計算機(jī)審計方面的課題研究。
二、工作重點及主要措施
(一)加強(qiáng)領(lǐng)導(dǎo),分工負(fù)責(zé)
局審計信息化建設(shè)領(lǐng)導(dǎo)小組統(tǒng)籌規(guī)劃信息化工作,計算機(jī)技術(shù)小組充分發(fā)揮在技術(shù)攻關(guān)和推廣實用技術(shù)方面的作用。把信息化建設(shè)的任務(wù)分解落實到責(zé)任科室,責(zé)任到人,確保審計信息化工作的有效推進(jìn)。
(二)集中力量抓重點
1.落實任務(wù),明確責(zé)任。一是每個業(yè)務(wù)科室確定一個項目作為計算機(jī)審計重點,并且明確責(zé)任人員,完成需要上交的各項任務(wù)。全局確定一個合適的項目進(jìn)行計算機(jī)信息系統(tǒng)審計。二是落實各項基礎(chǔ)性工作的責(zé)任人員,分管領(lǐng)導(dǎo)對所分管科室的審計項目每周至少一次查閱數(shù)據(jù)包上傳情況,并批復(fù)。業(yè)務(wù)科室審計組長負(fù)責(zé)審計項目的AO與OA交互,業(yè)務(wù)公文流轉(zhuǎn)等各項工作。計算機(jī)審計中心負(fù)責(zé)管理維護(hù)全局計算機(jī)軟硬件及網(wǎng)絡(luò)平臺,管理維護(hù)審計網(wǎng)站及推進(jìn)數(shù)據(jù)庫建設(shè),指導(dǎo)檢查計算機(jī)審計工作情況。
2.協(xié)調(diào)力量,保證時間。要做好計算機(jī)審計,各科室審計項目負(fù)責(zé)人需要花費較多的時間和精力,所以項目時間安排要充足,早作準(zhǔn)備。各科室的計算機(jī)審計項目主審由各科室計算機(jī)技術(shù)小組成員擔(dān)任,以便審計力量的更好發(fā)揮。
3.全程管理,及時調(diào)整。局信息化建設(shè)領(lǐng)導(dǎo)小組對于計算機(jī)審計重點項目進(jìn)行全程跟蹤管理。審計組在審計準(zhǔn)備階段集中組成員的智慧提出計算機(jī)審計思路,集中計算機(jī)小組成員的力量制定詳細(xì)的計算機(jī)審計方案,審計實施階段抓好審計方案及審計思路的落實,發(fā)現(xiàn)新的審計思路時,根據(jù)實際情況及時調(diào)整審計方案及審計方向,必要時可提請外援解決難題。審計終結(jié)階段及時提升審計成果,總結(jié)出高質(zhì)量的審計信息、AO應(yīng)用實例、計算機(jī)審計方法等審計成果。
(三)加強(qiáng)信息安全保護(hù)
加強(qiáng)信息安全的組織領(lǐng)導(dǎo)工作,建立健全安全管理制度。統(tǒng)一組織協(xié)調(diào)本單位的信息安全保護(hù)工作。
(四)完善激勵機(jī)制,提升成果、提高質(zhì)量
由于我國會計審計領(lǐng)域制度的不完善以及會計市場的無序競爭,越來越多的會計從業(yè)者抵擋不住誘惑,出現(xiàn)了做假賬等行為,導(dǎo)致誠信問題成為會計行業(yè)的熱點話題。本文立足信息環(huán)境的大背景對當(dāng)前會計審計誠信問題展開討論,并提出相應(yīng)解決方案以期能凈化當(dāng)前會計審計領(lǐng)域風(fēng)氣,為企業(yè)提供一定的參考。
毋庸置疑,誠信問題對會計行業(yè)及會計從業(yè)者來說十分重要,會計行業(yè)從業(yè)者的職業(yè)操守是會計行業(yè)的立業(yè)之本,也是會計工作進(jìn)行過程中的基礎(chǔ)。而當(dāng)今,諸多誠信問題卻在挑戰(zhàn)會計行業(yè)的底線。信息時代的到來給會計工作提供了許多便利,很多企業(yè)逐漸成了一套具有整體性和規(guī)模性的信息化建設(shè)體系,但這同時也為會計作弊操作帶來了更多的操作空間,使會計誠信問題更加嚴(yán)峻。我們需要時間來完善相關(guān)法律和制度來適應(yīng)信息時代的到來。
1 信息環(huán)境下出現(xiàn)會計誠信問題的主要原因
1.1 信息不對稱是當(dāng)前諸多會計誠信問題出現(xiàn)的前提
會計行業(yè)的信息不對稱是指在信息環(huán)境下,經(jīng)營者掌握著大量的會計信息,處于有利地位,而其所有者則出現(xiàn)信息不對稱處于弱勢地位。隨著市場經(jīng)濟(jì)的發(fā)展和成熟,企業(yè)內(nèi)部的所有權(quán)和經(jīng)營權(quán)分離是大勢所趨,因此在會計審計過程中,信息不對稱會給做假賬以可趁之機(jī)進(jìn)而導(dǎo)致所有者政策制定的失誤。
1.2 會計制度不完善
市場經(jīng)濟(jì)的快速發(fā)展以及互聯(lián)網(wǎng)信息技術(shù)的不斷成熟極大地改變了原有會計運作方式,致使很多新的經(jīng)濟(jì)事項的不斷涌出。而我國當(dāng)前的會計制度和會計體系還相對比較落后,因此導(dǎo)致其在執(zhí)行過程中較為無力。很多繁雜的規(guī)定不但會影響到現(xiàn)有工作的效率,很多領(lǐng)域的空白也為很多從業(yè)者提供了鉆空子的機(jī)會。
1.3 缺乏系統(tǒng)、合理的會計監(jiān)督體系
會計審計工作中的監(jiān)督體系不健全的問題在全國廣泛存在,現(xiàn)有的監(jiān)督體系和工作監(jiān)督流程缺乏科學(xué)行、完善性和時代性,這就導(dǎo)致相關(guān)工作人員在進(jìn)行審計工作時無法可依,無章可循,對有些違法和舞弊行為無法作為。
1.4 會計審計工作存在信息安全漏洞
計算機(jī)和互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用極大地提高了當(dāng)前會計工作的效率,但同時產(chǎn)生了大量的信息安全問題。很多企業(yè)和單位在計算機(jī)系統(tǒng)上沒有必要的保護(hù)措施,沒有處于保護(hù)狀態(tài)的會計審計數(shù)據(jù)極易受到黑客或木馬的攻擊,侵入者非法操控或篡改數(shù)據(jù)嚴(yán)重影響了會計審計信息的安全。同時一些會計審計人員缺乏防范和安全意識,沒有定期更新安全系統(tǒng)或誤使計算機(jī)中毒等操作也會嚴(yán)重影響到會計數(shù)據(jù)的安全性。
1.5 缺乏良好的誠信環(huán)境
沒有一個良好的大環(huán)境,加之違法成本低,很多會計從業(yè)者受利益的驅(qū)動出現(xiàn)造假問題。誠然,從業(yè)者職業(yè)道德不高是產(chǎn)生會計審計造假的一個主要原因,但更深層次的原因是誠信行為缺乏支持和保證,政府和行業(yè)沒有起到良好作用。應(yīng)該看到,對此類違背誠信現(xiàn)象的縱容就是對守誠信者的打擊。
2 信息環(huán)境下實現(xiàn)會計審計誠信的解決方案
2.1推行會計委派制度
向企業(yè)委派的會計具有身份獨立性和工作自主性的特點,此舉可有效針對會計審計中的信息不對稱問題,有效預(yù)防傳統(tǒng)審計方式中會計人員迫于周圍壓力而進(jìn)行的信息造假,從而在企業(yè)內(nèi)部建立一套會計審計工作新秩序。
企業(yè)推行會計委派制度能夠有效縮減內(nèi)部監(jiān)督成本,推動內(nèi)部控制制度的執(zhí)行。在這種制度下,外部委派的會計人員進(jìn)行會計審計工作時能夠真實反映實際經(jīng)濟(jì)狀況,塑造企業(yè)的誠信形象。
2.2 營造誠信氛圍
企業(yè)在維持正常開支之外應(yīng)定時開展對會計審計人員的誠信教育,確保從業(yè)人員建立誠信意識、遵守職業(yè)道德。根據(jù)實際,采用有效手段營造誠信為先企業(yè)經(jīng)濟(jì)環(huán)境和管理環(huán)境,構(gòu)建一個“誠信為榮、背信為恥”的企業(yè)文化氛圍。除了這些長久之計外,還要加大對破壞誠信氛圍的打擊力度,提高會計審計工作的質(zhì)量。
2.3 營造安全的會計審計信息環(huán)境
安全的信息環(huán)境是確保會計審計工作誠信的一個重要的物質(zhì)層面,應(yīng)從以下四個方面入手:一是要推進(jìn)會計審計工作的信息化,加大會計審計軟件和系統(tǒng)的開發(fā)和升級,最大程度減少人為篡改信息的可能。二是做好會計審計人員的教育和培訓(xùn),使得會計審計工作得到數(shù)量和質(zhì)量上的提高。三是要建立起一套完整的會計審計信息系統(tǒng)安全防護(hù)體系,通過身份認(rèn)證、權(quán)限設(shè)定、功能限制和加密處理等一系列措施防止企業(yè)內(nèi)部經(jīng)濟(jì)數(shù)據(jù)丟失和被篡改。四是要做好會計審計信息系統(tǒng)的防病毒和防黑客工作,防止信息出現(xiàn)安全問題。
2.4 完善和健全會計審計工作監(jiān)督體系
在當(dāng)前的信息環(huán)境下,很多人確實意識到會計監(jiān)督的重要性和必要性,但實施和執(zhí)行結(jié)果卻不盡人意,因此需要政府和行業(yè)完善和健全相應(yīng)法律和法規(guī)。在法律法規(guī)得到完善之后,加大對違規(guī)和違法行為的執(zhí)法力度,做到有法可依,有規(guī)可循。
3 結(jié)語
誠實守信是會計審工作的靈魂。在市場經(jīng)濟(jì)不斷發(fā)展的大環(huán)境下,那些誠實守信的企業(yè)會有更好的前景。
1.檔案安全保護(hù)意識薄弱檔案安全保護(hù)教育不普遍,檔案安全意識淡薄,缺乏安全風(fēng)險意識,突出表現(xiàn)在檔案網(wǎng)絡(luò)工作“安全第一、預(yù)防為主”的意識不強(qiáng)。檔案服務(wù)及利用人員由于網(wǎng)絡(luò)安全防護(hù)技術(shù)較低和安全防護(hù)意識不高,造成的無意侵權(quán)或電子檔案光盤存儲的選擇等問題,都給農(nóng)機(jī)監(jiān)理電子檔案的安全保管帶來威脅。
2.計算機(jī)軟硬件的設(shè)備故障由于農(nóng)機(jī)監(jiān)理的電子檔案一般不能直接利用,它的形成和處理與利用均需借助計算機(jī)軟硬件設(shè)備的支持才能實現(xiàn)。而計算機(jī)系統(tǒng)是由許多部分組成,每個部分的薄弱環(huán)節(jié)都極易遭到破壞。如:數(shù)據(jù)易被誤輸;應(yīng)用軟件易被篡改或盜用;硬件設(shè)備中的芯片和電子線路易被損壞等。這些故障的發(fā)生都有可能導(dǎo)致農(nóng)機(jī)監(jiān)理電子檔案的丟失或破壞,從而對農(nóng)機(jī)監(jiān)理造成不可挽回的損失。
3.電子檔案存儲載體的保護(hù)技術(shù)問題農(nóng)機(jī)監(jiān)理電子檔案的載體材料是磁性物質(zhì)和光盤。聚酯底基是磁盤和磁帶的支持體,它具有易產(chǎn)生靜電而吸引塵埃導(dǎo)致卷曲、易與磁粉脫離、伸長后不易恢復(fù)等缺點。粘和劑起著連接底基和磁粉的作用,它具有易熱脹冷縮、磨損、脫落、粘連、生霉等缺點,直接影響信息再現(xiàn)。并且磁粉中的磁性氧化物顆粒的剩磁感應(yīng)強(qiáng)度是記錄和再現(xiàn)信息的決定因素,它極易受外磁場的影響而導(dǎo)致退磁、消磁等。目前光盤常用的介質(zhì)主要有碲、碲合金、硒、碳鋁化合物以及一些在激光熱效應(yīng)作用下易產(chǎn)生物化性質(zhì)變化的材料,這些材料不穩(wěn)定,易氧化,易與堿溶液發(fā)生反應(yīng)。因此,電子檔案載體材料的這些特點,決定了農(nóng)機(jī)監(jiān)理電子檔案容易受外部環(huán)境的影響。
4.計算機(jī)病毒與黑客的攻擊計算機(jī)病毒已成為當(dāng)今破壞計算機(jī)操作系統(tǒng)的頭號殺手,它是一種特殊的具有破壞力的計算機(jī)程序,具有自我復(fù)制能力,會以各種方式和途徑攻擊計算機(jī)系統(tǒng)的應(yīng)用軟件和數(shù)據(jù)庫以及硬件設(shè)備,并可通過非授權(quán)入侵在可執(zhí)行程序或數(shù)據(jù)文件中,從而造成電子文檔的破壞或系統(tǒng)的癱瘓。此外,有些計算機(jī)黑客也利用電腦網(wǎng)絡(luò)進(jìn)行犯罪活動,他們伺機(jī)尋找系統(tǒng)和軟件方面的某些缺陷來攻擊,通過破譯口令與密碼而獲取使用權(quán)限。非法訪問、刪除或修改某些重要電子文檔,使文件所有者和利用者均遭受巨大損失。
加強(qiáng)農(nóng)機(jī)監(jiān)理電子檔案安全管理的相應(yīng)對策
1.加強(qiáng)電子檔案安全管理的宣傳教育,增強(qiáng)責(zé)任意識要大力普及農(nóng)機(jī)監(jiān)理電子檔案信息安全知識及網(wǎng)絡(luò)竊密知識,使廣大農(nóng)機(jī)監(jiān)理檔案人員了解電子文檔的特性,防范農(nóng)機(jī)監(jiān)理電子文檔無意丟失或泄密,提高對各種攻擊手段的認(rèn)識和警惕性,如不隨意下載或安裝不明軟件,不隨意打開陌生電子文件等。對農(nóng)機(jī)監(jiān)理電子檔案保護(hù)意識融入到檔案的價值論中,從而營造農(nóng)機(jī)監(jiān)理電子檔案安全保護(hù)新環(huán)境。
2.充分采用信息備份技術(shù)信息備份是信息安全保障最重要的輔助措施,它可以為受損或崩潰的信息系統(tǒng)提供良好、有效的恢復(fù)手段。一旦原文件遭到破壞,還有相同的備份文件可以取而代之,為了防止存檔載體物理性能變化或設(shè)備故障而丟失信息,農(nóng)機(jī)監(jiān)理電子檔案的備份系統(tǒng)可以從硬件級備份、軟件級備份、人工級備份三個層次入手。每年應(yīng)對備份磁帶或光盤進(jìn)行抽檢,并對農(nóng)機(jī)監(jiān)理電子檔案的讀取、處理設(shè)備的更新情況進(jìn)行一次檢查登記,這種多層次的綜合應(yīng)用才能達(dá)到理想的備份目的,做到萬無一失。
引言:企業(yè)網(wǎng)絡(luò)安全已成為當(dāng)今值得關(guān)注的問題,它的重要性是不言而喻的,黑客竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù),甚至破壞其網(wǎng)絡(luò)系統(tǒng),更加具有現(xiàn)實和長遠(yuǎn)的商業(yè)價值。因此,如何保障企業(yè)網(wǎng)絡(luò)的安全變得重要起來。
1.企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析
公司的發(fā)展壯大使其企業(yè)布局發(fā)生了巨大的變化。隨著公司發(fā)展,需要重新規(guī)劃:其網(wǎng)絡(luò)結(jié)構(gòu)。存在著遠(yuǎn)端數(shù)據(jù)收集困難,病毒威脅、黑客入侵、垃圾和病毒郵件威脅,帶寬利用率低等
問題。
(1)病毒威脅,病毒是網(wǎng)絡(luò)安全最大威脅,每年給各種企業(yè)帶來的損失巨大,使所有企業(yè)都對病毒“談毒色變”。
(2)ARP攻擊威脅,ARP本是網(wǎng)絡(luò)體系結(jié)構(gòu)中的一個協(xié)議,這個協(xié)議關(guān)系到計算機(jī)網(wǎng)絡(luò)通信必不可少的兩個地址IP與MAC地址的轉(zhuǎn)換功能。
(3)通過網(wǎng)絡(luò)方式泄露企業(yè)機(jī)密,造成企業(yè)損失。網(wǎng)絡(luò)在成為羲要交流工具的同時也成了重要的泄密渠道。
2.企業(yè)局域網(wǎng)安全防范方案
(1) 防火墻技術(shù)安全配置。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。防火墻設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。包過濾防火墻工作在網(wǎng)絡(luò)層上,有選擇的讓數(shù)據(jù)包在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進(jìn)行交換。一般利用IP和TCP包的頭信息對進(jìn)出被保護(hù)網(wǎng)絡(luò)的IP包信息進(jìn)行過濾,能根據(jù)企業(yè)的安全政策來控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流。同時可實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、審記與實時告警等功能。服務(wù)防火墻也有一定功效,是一種增加了安全功能的應(yīng)用層網(wǎng)關(guān),位于internet和intranet之間,自動截取內(nèi)部用戶訪問internet的請求,驗證其有效性,代表用戶建立訪問外部網(wǎng)絡(luò)的連接。服務(wù)器在很大程度上對用戶是透明的,如果外部網(wǎng)絡(luò)個站點之間的連接被切斷了,必須通過服務(wù)器方可相互連通。
(2)攻擊檢測技術(shù)及方法。網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié),所以要及時發(fā)現(xiàn)并修正網(wǎng)絡(luò)中存在的弱點和漏洞。網(wǎng)絡(luò)安全檢測工具通常是一個網(wǎng)絡(luò)安全性評估分析軟件,其功能是用實踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng),檢查報告系統(tǒng)存在的弱點和漏洞,建議補(bǔ)救措施和安全策略,達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。這樣,防火墻將得到合理配置,內(nèi)外WEB站點的安全漏洞減為最低,網(wǎng)絡(luò)體系達(dá)到強(qiáng)壯的耐攻擊性,對網(wǎng)絡(luò)訪問做出有效響應(yīng),保護(hù)重要應(yīng)用系統(tǒng)(如財務(wù)系統(tǒng))數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實時監(jiān)控、記錄,并按制定的策略實行響應(yīng)(阻斷、報警、發(fā)送E-mail),一般包括控制臺和探測器,也不會對網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。
(3)審計與監(jiān)控技術(shù)實施。由于企業(yè)需要的是一個非常龐大的網(wǎng)絡(luò)系統(tǒng),因而對整個網(wǎng)絡(luò)(或重要網(wǎng)絡(luò)部分)運行進(jìn)行記錄、分析是非常重要的,它可以讓用戶通過對記錄的日志數(shù)據(jù)進(jìn)行分析、比較,找出發(fā)生的網(wǎng)絡(luò)安全問題的原因,并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡(luò)安全調(diào)整提供依據(jù)。審計是記錄用戶使用計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng),還能看出系統(tǒng)正被怎樣的使用。對于確定是否有網(wǎng)絡(luò)攻擊的情況,審計信息對于去定問題和攻擊源很重要。同時,系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)的識別問題,并且它是后面階段事故處理的重要依據(jù)。另外,通過對安全事件的不斷收集與積累并且加以分析,有選擇性地對其中的某些站點或用戶進(jìn)行審計跟蹤,以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞提供有力的證據(jù)。
(4) 企業(yè)局域網(wǎng)防病毒設(shè)置。隨著網(wǎng)絡(luò)病毒的泛濫,對于一個局域網(wǎng)來說,以前各掃門前雪的防病毒方式經(jīng)顯得力不從心了,如果僅靠局域網(wǎng)中部分計算機(jī)的單機(jī)版防病毒軟件,根本不可能做到對病毒的及時防御。因此,在局域網(wǎng)中構(gòu)建一個完整的防病毒體系己經(jīng)成為當(dāng)務(wù)之急,網(wǎng)絡(luò)防病毒軟件也應(yīng)運而生。主要面向MAIL、Web服務(wù)器,以及辦公網(wǎng)段的PC服務(wù)器和PC機(jī)等。支持對網(wǎng)絡(luò)、服務(wù)器和工作站的實時病毒監(jiān)控;能夠在中心控制臺向多個目標(biāo)分發(fā)新版殺毒軟件,并監(jiān)視多個目標(biāo)的病毒防治情況;支持多種平臺的病毒防范;能夠識別廣泛的已知和未知病毒,包括宏病毒;支持對Internet/ Intranet服務(wù)器的病毒防治,能夠阻止惡意的Java或ActiveX小程序的破壞;支持對電子郵件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持對壓縮文件的病毒檢測;支持廣泛的病毒處理選項,如對染毒文件進(jìn)行實時殺毒,移出,重新命名等;支持病毒隔離,當(dāng)客戶機(jī)試圖上載一個染毒文件時,服務(wù)器可自動關(guān)閉對該工作站的連接;提供對病毒特征信息和檢測引擎的定期在線更新服務(wù);支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子郵件等)等。
為了保護(hù)網(wǎng)絡(luò)的安全性,除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能,完善系統(tǒng)的安全保密措施外,安全管理規(guī)范也是網(wǎng)絡(luò)安全所必須的。
3.結(jié)束語
在信息化時代,網(wǎng)絡(luò)的安全應(yīng)用是非常必要的,它將有效防止?jié)撛跀橙撕筒环ǚ肿拥钠茐模行ПWo(hù)企業(yè)機(jī)密,降低企業(yè)的辦公成本。網(wǎng)絡(luò)安全的發(fā)展過程中,我們必須更進(jìn)一步的開展企業(yè)信息安全應(yīng)用研究。
參考文獻(xiàn):
