引论:我们为您整理了13篇小企业信息安全范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2015)21- 0090- 02
信息安全风险评估是以风险管理为基础,通过科学的方法和手段,对企业信息系统所面临的威胁与存在的脆弱性进行全面分析,以安全事故对企业生产经营有可能带来的危害展开评估,进而制定出有效的防御及整改措施[1]。信息安全风险评估在企业信息安全保障体系中占据着十分重要的地位,其不但是重要的评价方法,同时也是利于企业决策的有效机制。如果缺乏准确及时的风险评估,便不能准确的判断出企业所存在的信息安全问题,因此加强企业信息安全风险评估,对每一个中小企业来说,都意义重大。
1 中小企业信息安全评估方法
为了进一步评估信息系统的安全风险,多种风险评估方法被开发出来并在企业中得以运用。定性评估法,定量评估法以及半定量评估法是目前较为常用的几种方法。风险评估中的定量评估方法,主要是结合企业特点,根据评估内容和评估流程,从众多的信息系统、人员和设备中,利用分类分别计算比例的方法,对评估对象合理选定,并进行数量采样[2]。并在此基础上,分析企业信息系统中资产价值、威胁性以及脆弱性三者之间存在的函数关系,从而根据企业实际情况选取恰当的风险计算方法,合理计算出企业信息安全风险评估数值。本文认为定量方法对当前的中小企业来说更具实用价值,主要可从风险计算方法、威胁可能性量化赋值方法着手。
1.1 风险计算方法
后果(Consequence)及可能性(Likelihood)是风险具有的两个基本属性。风险对信息系统的影响,说到底也是这两个因素所造成的。资产的不同自然也使其面临的主要威胁存在差异。而随着威胁可以利用的、资产存在的弱点数量的增加会增加风险的可能性,随着弱点严重级别的提高会增加一该资产面临风险的后果。通常来说, 某项资产风险的可能性为资产脆弱性与存在威胁的可能性的函数,同时风险后果则为资产价值(影响)的函数。本论文采用如下算式来得到资产的风险赋值:
风险值=资产价值×威胁可能性×资产脆弱性
上述公式主要考虑到各参数采取的取值并不十分精确,因而加入了以往的经验和判断,在国际中对此类数据则通常采用数学乘法或矩阵等方法。而采用线性相乘,则主要是为了方便进行计算。企业实施风险分析可以从风险信息和数据,进行不同程度的改进。并根据计算出的风险值的数值范围,确定相应的风险等级。风险数值与风险等级对应的关系见表1。
1.2 脆弱性量化赋值方法
脆弱性和威胁所存在的对应关系,应在评估时充分考虑到,要知道相对应的脆弱性是威胁起作用的基本因素,因此脆弱性与威胁基本上是通过一一对应的形式呈现出来的。对脆弱性大小的评定需要结合评估采集的调研结果、安全漏洞扫描结果以及人工安全检查结果。参照国际通行做法和专家经验,将资产存在的脆弱性分为5个等级,分别是很高(VH)、高(H)、中(M)、低(L)、可忽略(N),并且从高到低分别赋值5-1,具体参照表2。
威胁可能性属性非常难以度量.它依赖于具体的资产、弱点。并且这两个属性都和时间有关系。在威胁评估过程中,评估者的专家经验非常重要。
2 结 语
目前,信息系统已经被广泛运用到中小企业的日常管理工作中,对其的重视程度也越来越高。对中小企业来说,定期进行信息安全风险评估是信息安全工作得以顺利实施的有效保障,通过有效的信息安全风险评估方法则是科学合理地开展信息安全风险评估的前提条件。因此,新形势下中小企业的信息安全风险评估工作必须要做到与时俱进,不断创新,从而以适应快速发展的社会需求。
篇2
1. 中小企业信息安全存在的问题
1.1信息安全管理意识不强。
相对大型企业来说,中小企业信息资产方面的积累相对较为薄弱,并且很多时候这种积累并非企业的有意识行为,所以在正常的信息化应用情况下,往往会忽视对自己信息资产的保护,而只有在信息资产受到破坏,形成了实际的经济和附加损失的情况下,才会开始意识和重视这信息安全问题。
1.2信息安全管理水平较低信息安全风险较大。
目前的中小企业管理层人员虽然已经认识到了信息化的重要性,但却没有认识到企业信息化管理是需要在企业管理念上进行根本变革才能实现的。信息安全大约70%以上的问题都是由管理方面的原因造成的。他们大多是按照原有的管理模式进行改造,结果造成一种信息化的假象,致使“信息化”走向了徒有其表的误区,信息安全也没有得到足够重视。
1.3人才短缺专业人员匮乏。
中小企业一般很难有足够的吸引力留住信息化及信息安全这一领域的人才。因此,在这种人才短缺的情况下,自然影响到企业信息化的进程。主要表现为:企业一般没有自己的信息化建设人才队伍。信息技术专业人员的知识结构也不能达到要求,掌握技术的不懂管理,懂管理的又不会技术,而且信息安全往往没有专业人员进行管理。
1.4资金短缺。
中小企业的资金状况决定了其信息化投入遇到的限制相对较多。企业相对有限的资金,一般要优先投入到直接促进公司业绩增长的方向,而无形中就造成了信息资产所面临的巨大风险;特别是在当今越来越多的企业业务与互联网有密切的联系,甚至一些企业的业务完全建立在互联网之上,以平均不到企业总收入1%的信息安全投入,怎么能保障这些业务的正常运行?尽可能使投入比例接近常规,至少应该使企业核心信息资产的安全得到保证,从实际情况来讲,在良好的安全理念指导下,进行细致的规划和评估,通过适当的投入也是可以达到较好的整体效果,因为在中小企业的应用情境下,信息安全防御广度是相对容易控制的;设计出体现其规律和特点的真正适合中小企业的信息安全产品,才能从根本上满足中小企业信息安全需求。
1.5中小企业的信息伦理意识不强。
由于某些员工的信息伦理原因而带来的信息安全问题屡见不鲜。在很多时候,企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中员工的信息安全意识往往相对比较落后,对于互联网上存在的威胁往往缺乏足够的重视,而企业的管理层对于网络的使用也没有很好的管理手段。
2.中小企业信息安全问题的解决措施
2.1从企业的自身情况考虑
要解决中小企业网络信息安全问题,不能仅依靠企业的安全设施和网络安全产品,而应该考虑如何提高企业自身的网络安全意识,将信息安全问题提升到重视的高度,要重视“人”的因素。具体表现在以下两个方面:
2.1.1提高安全认识
定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识,企业管理层要制定完整的信息安全策略并贯彻执行,对安全问题要做到预先考虑和防备。
2.2.2要求中小企业在上网的过程中要做到“一做三不要”
首先将存有重要数据的电脑坚决同网络隔离,同时设置开机密码,并将软驱、硬盘加密锁定,进行三级保护,其次不要在自己的系统之内使用任何具有记忆命令的程序,因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切,同时不在网上的任何场合下随意透露自己企业的任何安全信息,最后不要启动系统资源共享功能,要尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会【1】。
2.2从网络安全角度考虑
2.2.1从网络安全服务商的角度来说,服务商要重视中小企业对网络安全解决方案的需要,充分考虑中小企业的现实状况,仔细调查和分析中小企业的安全因素,开发出适合中小企业实际情况的网络安全综合解决方案。此外,还应该注意投入大量精力在安全策略的施行及安全教育的开展方面,这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。
2.2.2要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级,对应的防火墙软件也应该及时跟着升级,这样就要求我们企业的网管人员要经常到有P网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,才能做到有备无患【2】。
2.2.3企业用户最好自己学会如何调试和管理自己的局域网系统,不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力,提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。
2.2.4内部网络系统的密码要定期修改。动态的密码有助于防止黑客的攻击以及来自内部人员的泄密。
2.2.5要经常使用杀毒软件来维护局域网系统不受病毒攻击。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能,可以不定期地在脱机的情况下进行检查和清除。
2.2.6同其它企业进行联合,共同抵制黑客的入侵,一旦被入侵要及时向有关部门汇报,并共同查找入侵来源,锁定黑客IP地址。将网络的TCP起时限制在15分钟以内,减少黑客入侵的机会。并扩大连接表,增加黑客填写整个连接表的难度【3】。
小结
综上所述,我国中小企业的信息安全问题日益突出。由于受到管理水平、资金、技术、 意识等几方面的制约,中小企业完全依靠自己解决所有信息化安全问题是不现实的,它们很难使用大企业中那种复杂的信息安全系统,因此迫切需要适合中小企业自身情况的综合解决措施。
【参考文献】:
篇3
对于买方来说电子信息主要优点是方便快捷、操作起来比较简单。电子信息对于卖方来说主要优点是管理比较方便并且成本较低,但是电子信息最大的缺点就是买卖双方不能进行交流,主要是货币与货品的交换,并且交易都是通过网络进行的,之所以交易能够顺利完成,主要的原因是两者之间存在着诚信。关于诚信主要有两个方面的内容:有一种系统软件在买卖的过程中起到安全保障的作用,能将虚拟的货币符号转化成真实的货币,同时也能对交易起到保护作用,其中主要是对货币账户起到安全保障的作用。要想研究电子信息安全,首先要了解信息的内涵。信息主要是指资料、数据以及知识以不同的形式存在,在中小企业中这类信息主要是指买卖双方的有关信息和资料,犯罪分子能通过非法的手段对电子信息中的买卖双方采取诈骗行为,或者是通过网络对进行入侵和盗窃。信息安全管理标准对信息做出了详细的定义,信息也是属于资产,与其他的资产相同,对中小企业的发展有着重要的作用,是需要法律保护的。信息安全管理标准将信息划分为八个部分,主要包括物理资产、文档资产、文字资产、服务资产、软件资产、数据资产以及人力资源资产。
中小企业的电子信息主要是以网络为载体,网络的交流主要通过数据的传输得以实现,网上交易就是交流过程中的主要内容。所以,在信息安全的范畴中电子信息安全技术就成为了重点问题。关于电子信息安全技术的研究大多是关于技术的,但是对于中小企业来说,不仅要对技术进行改进,也要重视管理层,避免信息出现安全问题。
2 电子信息安全的理论
我国关于电子信息安全的研究,仍然较为落后。在国际中的关于信息安全的主要理论为:三观安全理论、信息循环理论以及信息安全模型理论。
三观安全理论。在中小企业的电子信息安全系统中,三观安全理论主要将其分为三个方面的内容,即微观、中观以及宏观。这个理论主要是将宏观层面的安全理念转化成微观层面的管理理念,进而对服务与生产进行指导。
信息安全模型理论。信息安全模型理论是信息安全管理发展过程中的产物,信息安全模型理论主要是将人、软件、操作以及信息系统相结合,并且全面的保护网络信息系统。主要倡导的是一种新的安全观念,并且提出了不能仅靠程序与软件对系统信息安全进行保护,要注重动态保护。此外,关于电子信息安全问题不能只依赖于安全技术,也要重视管理层安全理念的创新。
电子信息的循环理论。在实施网络信息安全的过程中电子信息的循环理论将其划分为四个方面:计划、执行、检查以及改进。这四个方面是一个循环的过程,也是一个周期,在循环的过程中,将这个过程看作是一个整体的信息安全管理体制,而不是将其看成某一管理过程。
3 电子信息安全技术对加强中小企业信息安全的作用
上文所述的三个信息安全理论对中小企业的信息安全管理有着重要的作用,主要有以下几个方面的内容。第一是信息安全领域的建设,第二是中小型企业中加强建设信息安全组织。美国信息安全研究所首次提出了信息安全领域,信息安全领域主要是指根据信息的不同保密程度创建相应的保密级别,网络控件的安装要结合用户信息的不同安全级别,安全信息的选择要适合用户的保密级别。在中小企业中,电子信息与资料的分类系统应该有统一的部门进行管理,然后对信息进行分类,并采取不同程度的加密与保密,这类信息主要包含文档、电子商务的相关资料以及服务等。将这些信息进行分类、保密、归档以及整合,有利于中小企业电子信息的调试。
对于中小企业来说,一直都存在电子信息安全性不够的问题,这主要同企业内部安全管理不足有关,安全管理的工作缺少专业的管理,很多的小型企业并没有统一的信息安全管理部门。企业安全管理部门的主要职能包含这几个方面的内容:同企业人力资源管理部门相互配合共同完成工作内容,要定期的审查一些特殊岗位的员工,一旦发现有违反安全规则的情况,要重新进行审查。同时还要对员工进行保密的培训;组织各个部门的工作,并对各个部门的工作进行协调,使企业的安全目标以及战略得以实现;企业的安全管理部门主要是对安全问题的管理、计划以及决策负责。也是企业的应急部门,要想避免企业信息的泄露,信息安全管理部门就必须加强对信息的管理;多联系各个地区的信息机构以及信息安全管理部门,这样能给企业带来新的信息安全管理观念以及安全技术;采取信息安全报告制,定期的向管理部门汇报信息安全的保护状况,对于一些重要的事件要及时的汇报,取得管理层对信息安全管理工作的支持。
在网络工程发展的同时,电子信息也得到了发展,电子信息在企业的发展中有着重要的作用,企业对其也越发的依赖电子信息。但是这只是一个虚拟的场所,主要通过网络这个载体来完成交易,因此安全技术问题成为了企业普遍关注的问题。
[参考文献]
[1]陈光匡,兴华.信息系统安全风险评估研究[J].网络安全技术与应用,2009(7).
篇4
关 键 词:电子信息安全 安全技术 安全要素
在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。
一、中小企业的信息化建设意义
在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,百分之八十二的中小企业对网站的应还处于宣传企业形象,产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来,企业应该加快信息化的建设。
二、电子信息安全技术阐述
1、电子信息中的加密技术
加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。
加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。
2、防火墙技术
随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。
3、认证技术
消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。
三、中小企业中电子信息的主要安全要素
1、信息的机密性
在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。
2、信息的有效性
随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。
3、信息的完整性
企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。
四、解决中小企业中电子信息安全问题的策略
1、构建中小企业电子信息安全管理体制
解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管
理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。
2、利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通, 局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。
3、定期对安全防护软件系统进行评估、改进
随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。
参考文献:
[1]温正卫;信息安全技术在电子政务系统中的应用[j];软件导刊,2010
篇5
再次,需要根据自身特点选取适合中小企业信息安全意识的培训方法。一般来说,至少有三种途径可以用于企业进行安全意识培训:一是在公司内部寻找培训人员和培训部门,进行内部培训;二是聘请外部专业的培训公司进行培训;三是考虑依托于网络与电脑进行培训。但以上任何一种方案都有可能会超出中小型企业的能力,这时候还要根据企业自身特点来安排适当的途径进行培训。
那么,能满足规模较小的中小企业提高员工信息安全意识培训的合理途径是什么呢?有分析认为,可以在以上提到的三种途径的基础上加以改动,形成两种可用的途径:一是中小企业仍然可以使用内部资源进行范围性培训或者购买网络、电脑的培训程序。二是中小企业可以创造性地在办公室张贴些成本低的彩色安全意识海报,对员工潜移默化地培训。
篇6
Keywords: small and medium-sized enterprises; network security; network security architecture
中图分类号:TN915.08文献标识码:A文章编号:2095-2104(2013)
1、中小型企业网络安全问题的研究背景
随着企业信息化的推广和计算机网络的成熟和扩大,企业的发展越来越离不开网络,而伴随着企业对网络的依赖性与日俱增,企业网络的安全性问题越来越严重,大量的入侵、蠕虫、木马、后门、拒绝服务、垃圾邮件、系统漏洞、间谍软件等花样繁多的安全隐患开始一一呈现在企业面前。近些年来频繁出现在媒体报道中的网络安全案例无疑是为我们敲响了警钟,在信息网络越来越发达的今天,企业要发展就必须重视自身网络的安全问题。网络安全不仅关系到企业的发展,甚至关乎到了企业的存亡。
2 、中小型企业网络安全的主要问题
2.1什么是网络安全
网络安全的一个通用定义:网络安全是指网络系统中的软、硬件设施及其系统中的数据受到保护,不会由于偶然的或是恶意的原因而遭受到破坏、更改和泄露。系统能够连续、可靠地正常运行,网络服务不被中断。网络安全从本质上说就是网络上的信息安全。广义地说,凡是涉及网络上信息的保密性、完整性、可用性、真实性(抗抵赖性)和可控性的相关技术和理论,都是网络安全主要研究的领域。
2.2网络安全架构的基本功能
网络信息的保密性、完整性、可用性、真实性(抗抵赖性)和可控性又被称为网络安全目标,对于任何一个企业网络来讲,都应该实现这五个网络安全基本目标,这就需要企业的网络应用架构具备防御、监测、应急、恢复等基本功能。
2.3中小型企业的主要网络安全问题
中小型企业主要的网络安全问题主要体现在3个方面.
1、木马和病毒
计算机木马和病毒是最常见的一类安全问题。木马和病毒会严重破坏企业业务的连续性和有效性,某些木马和病毒甚至能在片刻之间感染整个办公场所从而导致企业业务彻底瘫痪。与此同时,公司员工也可能通过访问恶意网站、下载未知的资料或者打开含有病毒代码的电子邮件附件等方式,在不经意间将病毒和木马带入企业网络并进行传播,进而给企业造成巨大的经济损失。由此可见,网络安全系统必须能够在网络的每一点对蠕虫、病毒和间谍软件进行检测和防范。这里提到的每一点,包括网络的边界位置以及内部网络环境。
2、信息窃取
信息窃取是企业面临的一个重大问题,也可以说是企业最急需解决的问题。网络黑客通过入侵企业网络盗取企业信息和企业的客户信息而牟利。解决这一问题,仅仅靠在网络边缘位置加强防范还远远不够,因为黑客可能会伙同公司内部人员(如员工或承包商)一起作案。信息窃取会对中小型企业的发展造成严重影响,它不仅会破坏中小型企业赖以生存的企业商誉和客户关系。还会令企业陷入面临负面报道、政府罚金和法律诉讼等问题的困境。
3、业务有效性
计算机木马和病毒并不是威胁业务有效性的唯一因素。随着企业发展与网络越来越密不可分,网络开始以破坏公司网站和电子商务运行为威胁条件,对企业进行敲诈勒索。其中,以DoS(拒绝服务)攻击为代表的网络攻击占用企业网络的大量带宽,使其无法正常处理用户的服务请求。而这一现象的结果是灾难性的:数据和订单丢失,客户请求被拒绝……同时,当被攻击的消息公之于众后,企业的声誉也会随之受到影响。
3如何打造安全的中小型企业网络架构
通过对中小型企业网络存在的安全问题的分析,同时考虑到中小型企业资金有限的情况,我认为打造一个安全的中小型企业网络架构应遵循以下的过程:首先要建立企业自己的网络安全策略;其次根据企业现有网络环境对企业可能存在的网络隐患进行网络安全风险评估,确定企业需要保护的重点;最后选择合适的设备。
3.1建立网络安全策略
一个企业的网络绝不能简简单单的就定义为安全或者是不安全,每个企业在建立网络安全体系的第一步应该是定义安全策略,该策略不会去指导如何获得安全,而是将企业需要的应用清单罗列出来,再针对不同的信息级别给予安全等级定义。针对不同的信息安全级别和信息流的走向来给予不同的安全策略,企业需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。对关键数据的防护要采取包括“进不来、出不去、读不懂、改不了、走不脱”的五不原则。
“五不原则”:
1.“进不来”——可用性: 授权实体有权访问数据,让非法的用户不能够进入企业网。
2.“出不去”——可控性: 控制授权范围内的信息流向及操作方式,让企业网内的商业机密不被泄密。
3.“读不懂”——机密性: 信息不暴露给未授权实体或进程,让未被授权的人拿到信息也看不懂。
4.“改不了”——完整性: 保证数据不被未授权修改。
5.“走不脱”——可审查性:对出现的安全问题提供依据与手段。
在“五不原则”的基础上,再针对企业网络内的不同环节采取不同的策略。
3.2 信息安全等级划分
根据我国《信息安全等级保护管理办法》,我国所有的企业都必须对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。具体划分情况如下:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
因此,中小型企业在构建企业信息网络安全架构之前,都应该根据《信息安全等级保护管理办法》,经由相关部门确定企业的信息安全等级,并依据界定的企业信息安全等级对企业可能存在的网络安全问题进行网络安全风险评估。
3.3 网络安全风险评估
根据国家信息安全保护管理办法,网络安全风险是指由于网络系统所存在的脆弱性,因人为或自然的威胁导致安全事件发生所造成的可能性影响。网络安全风险评估就是指依据有关信息安全技术和管理标准,对网络系统的保密性、完整想、可控性和可用性等安全属性进行科学评价的过程。
网络安全风险评估对企业的网络安全意义重大。首先,网络安全风险评估是网络安全的基础工作,它有利于网络安全的规划和设计以及明确网络安全的保障需求;另外,网络安全风险评估有利于网络的安全防护,使得企业能够对自己的网络做到突出防护重点,分级保护。
3.4确定企业需要保护的重点
针对不同的企业,其需要保护的网络设备和节点是不同的。但是企业信息网络中需要保护的重点在大体上是相同的,我认为主要包括以下几点:
1.要着重保护服务器、存储的安全,较轻保护单机安全。
企业的运作中,信息是灵魂,一般来说,大量有用的信息都保存在服务器或者存储设备上。在实际工作中,企业应该要求员工把相关的资料存储在企业服务器中。企业可以对服务器采取统一的安全策略,如果管理策略定义的好的话,在服务器上文件的安全性比单机上要高的多。所以在安全管理中,企业应该把管理的重心放到这些服务器中,要采用一切必要的措施,让员工把信息存储在文件服务器上。在投资上也应着重考虑企业服务器的防护。
2.边界防护是重点。
当然着重保护服务器、存储设备的安全并不是说整体的防护并不需要,相反的边界防护是网络防护的重点。网络边界是企业网络与其他网络的分界线,对网络边界进行安全防护,首先必须明确到底哪些网络边界需要防护,这可以通过网络安全风险评估来确定。网络边界是一个网络的重要组成部分,负责对网络流量进行最初及最后的过滤,对一些公共服务器区进行保护,VPN技术也是在网络边界设备建立和终结的,因此边界安全的有效部署对整网安全意义重大。
3.“”保护。
企业还要注意到,对于某些极其重要的部门,要将其划为,例如一些研发部门。类似的部门一旦发生网络安全事件,往往很难估量损失。在这些区域可以采用虚拟局域网技术或者干脆做到物理隔离。
4.终端计算机的防护。
最后作者还是要提到终端计算机的防护,虽然对比服务器、存储和边界防护,终端计算机的安全级别相对较低,但最基本的病毒防护,和策略审计是必不可少的。
3.5选择合适的网络安全设备
企业应该根据自身的需求和实际情况选择适合的网络安全设备,并不是越贵越好,或者是越先进越好。在这里作者重点介绍一下边界防护产品——防火墙的性能参数的实际应用。
作为网络安全重要的一环,防火墙是在任何整体网络安全建设中都是不能缺少的主角之一,并且几乎所有的网络安全公司都会推出自己品牌的防火墙。在防火墙的参数中,最常看到的是并发连接数、网络吞吐量两个指标.
并发连接数:是指防火墙或服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。由于计算机用户访问页面中有可能包含较多的其他页面的连接,按每个台计算机发生20个并发连接数计算(很多文章中提到一个经验数据是15,但这个数值在集中办公的地方往往会出现不足),假设企业中的计算机用户为500人,这个企业需要的防火墙的并发连接数是:20*500*3/4=7500,也就是说在其他指标符合的情况下,购买一台并发连接数在10000~15000之间的防火墙就已经足够了,如果再规范了终端用户的浏览限制,甚至可以更低。
网络吞吐量:是指在没有帧丢失的情况下,设备能够接受的最大速率。随着Internet的日益普及,内部网用户访问Internet的需求在不断增加,一些企业也需要对外提供诸如WWW页面浏览、FTP文件传输、DNS域名解析等服务,这些因素会导致网络流量的急剧增加,而防火墙作为内外网之间的唯一数据通道,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响。因此,考察防火墙的吞吐能力有助于企业更好的评价其性能表现。这也是测量防火墙性能的重要指标。
吞吐量的大小主要由防火墙内网卡,及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。因此,大多数防火墙虽号称100M防火墙,由于其算法依靠软件实现,通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙,由于采用硬件进行运算,因此吞吐量可以达到线性90-95M,才是真正的100M防火墙。
从实际情况来看,中小型企业由于企业规模和人数的原因,一般选择百兆防火墙就已经足够了。
3.6投资回报率
在之前作者曾提到的中小企业的网络特点中资金少是最重要的一个问题。不论企业如何做安全策略以及划分保护重点,最终都要落实到一个实际问题上——企业网络安全的投资资金。这里就涉及到了一个名词——投资回报率。在网络安全的投资上,是看不到任何产出的,那么网络安全的投资回报率该如何计算呢?
首先,企业要确定公司内部员工在使用电子邮件和进行WEB浏览时,可能会违反公司网络行为规范的概率。可以将这个概率称为暴光值(exposure value (EV))。根据一些机构对中小企业做的调查报告可知,通常有25%—30%的员工会违反企业的使用策略,作者在此选择25%作为计算安全投资回报率的暴光值。那么,一个拥有100名员工的企业就有100x 25% = 25名违反者。
下一步,必需确定一个因素——当发现单一事件时将损失多少人民币。可以将它称为预期单一损失(single loss expectancy (SLE))。由于公司中的100个员工都有可能会违反公司的使用规定,因此,可以用这100个员工的平均小时工资作为每小时造成工作站停机的预期单一最小损失值。例如,作者在此可以用每小时10元人民币作为预期单一最小损失值。然后,企业需要确定在一周的工作时间之内,处理25名违规员工带来的影响需要花费多少时间。这个时间可以用每周总工作量40小时乘以暴光值25%可以得出为10小时。这样,就可以按下列公式来计算单一预期损失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后,企业要确定这样的事情在一年中可能会发生多少次。可以叫它为预期年均损失(annualized loss expectancy (ALE))。这样的损失事件可能每一个星期都会发生,一年有52周,如果除去我国的春节和十一黄金周的两个假期,这意味着一个企业在一年中可能会发生50次这样的事件,可以将它称之为年发生率(annual rate of occurrence (ARO))。预期的年均损失(ALE)就等于年发生率(ARO)乘以预期单一损失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
这就是说,该公司在没有使用安全技术防范措施的情况下,内部员工的违规网络操作行为可能会给公司每年造成12.5万元人民币的损失。从这里就可以知道,如果公司只需要花费10000元人民币来实施一个具体的网络行为监控解决方案,就可能让企业每年减少12.5万元人民币的损失,这个安全防范方案当然是值得去做的。
当然,事实却并不是这么简单的。这是由于安全并不是某种安全技术就可以解决的,安全防范是一个持续过程,其中必然会牵扯到人力和管理成本等因素。而且,任何一种安全技术或安全解决方案并不能保证绝对的安全,因为这是不可能完成的任务。
就拿本例来说,实施这个网络行为监控方案之后,能够将企业内部员工的违规行为,也就是暴光值(EV)降低到2%就已经相当不错了。而这,需要在此安全防范方案实施一段时间之后,例如半年或一年,企业才可能知道实施此安全方案后的最终效果,也就是此次安全投资的具体投资回报率是多少。
篇7
科学技术的迅猛发展,信息化成为现代经济发展的重要工具,现如今,信息化已经融合在企业发展的各个环节,如:公司制定的技术报告、各种方案、公司设备的操作、营销计划、投资理财、调试方案、员工的培训计划、公司的客户信息、合同管理、会计财务报表等所有同企业相关文件及电子版的文件都已经网络化和信息化。
1.网络及信息安全对企业商业数据的防泄漏及保密性具有极其重要的作用。因为在当今社会,有些中小企业有自己比较先进的技术及产品,就会涉及到商业数据及商业机密的保密工作,而这些机密关系着企业的生死存亡。
2.保证企业数据的真实性和完整性是中小企业信息安全的必要需求。虚伪的、虚假的、不完整的企业信息很可能会造成企业信誉度丧失甚至损失订单,。
3.保证企业信息的实用性是中小企业信息安全的需求。中小企业必需要防止信息的中断而影响企业业务的正常运作。
二、网络信息安全是中小企业所面临的重要问题
1.网络病毒。通过相关调查数据我们可以看出,我们在调查中小企业时,问及使用电脑时,他们最为棘手的问题是啥,有33%的企业的答案是经常受到网络病毒的入侵。网络病毒将会对业务的连续性和有效性进行破坏,甚至会造成损失业务、毁坏数据及对客户的满意度降低等后果。
2.网络黑客对企业网站的攻击。目前企业最为关注的问题之一仍然是黑客。当今,电脑黑客传播间谍软件、垃圾广告、钓鱼广告、垃圾邮件、盗取企业商业机密及攻击组织团体这些手段中小企业的电脑已成为他们的一个主要途径。
3.企业邮件中的垃圾邮件。中小企业由于实力有限,对于信息化的一些设备没有能力及实力,所以只能租用一些工具。
4.恶意的电脑软件。网络安全人员统计,每年的每一个季度,都有一百多万的企业网站被恶意软件侵入,其中不乏有一部分信任度很好的网站。每十个网页中就有一个网页在毫不知情的情况下托管了恶意软件。很多上网电脑都会在未被告知并经许可的情况下安装或曾经安装了各类广告软件、浏览器劫持、间谍软件、恶意共享软件、行为记录软件或恶作剧程序,有些间谍软件、行为记录软件能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息,为黑客打开方便之门,造成了中小企业信息安全的严重隐患。
5.信息管理失控。由于中小企业普遍缺乏信息资源、信息资产的保护意识和手段,员工流动性也较大。
三、在中小企业中产生网络信息安全问题的因素
1.相关专业的人才缺少。中小企业由于实力、公司规模都相对比较小,很难能够留住这一行业的顶尖人才,再有就是网络信息行业的人才相当缺少,不要说中小企业,就是中型企业的网络信息人员也经常只是一个人,而且还经常是一个人身兼多职。
2.中小企业的职工对网络信息安全意识落后。中小企业的职工对信息安全的意识比较淡薄。在中小企业中,我们常常能够听说职工经常会因为一些不注意的行为造成企业信息安全事故的发生。
3.公司资金实力弱小。由于中小企业的资金实力比较有限,所以,其在公司网络信息安全方面投入非常有限。中小企业本身自己的资金实力极有限,一般在需要资金时,均需从外部进行融资,另外,中小企业还普遍存存活率比较低、资产信用度比较低、几乎没有资产用来抵押、信用贷款的风险也比较大,因此一般金融机构不愿意支持中小企业。
4.中小企业内部职工的不稳定性。每个行业都会存在员工的离职问题,而中小企业由于其自身的原因这种现象尤为严重。
四、我们应该如何应对中小企业网络信息安全的问题
我们要解决中小企业网络信息安全问题许多方面考虑。
1.要把网络信息安全意识提高到一个层次。中小企业的高层管理人员要重视信息安全,对自己的员工要经常进行安全教育,提高企业员工的安全意识及信息技术能力,把员工的信息安全能力提高一个等级。企业自身要健全自己的信息安全制度,认识到信息安全的必要性。
2.需要及时防病毒、杀病毒。在防病毒、杀病毒方面,企业一方面,需要不断地更新电脑系统,经常修复漏洞及补丁,避免由于自身系统的漏洞带来信息安全问题,另外就是一定要及时更新杀毒软件,避免由于病毒入侵而导致计算机出现问题。再一方面,中小企业应努力实现企业集中安全管理。各企业应该与制作杀毒软件的服务商联合,双方共同研制一套适合中小企业的杀毒软件,通过采用综合网络管理、主动智能化防御、加强型全网漏洞管理、强大的网络管理能力等方法来实现信息安全。
3.一定要把防火墙设置好。防火墙是信息的唯一出入口,它是在不同网络或网络安全领域之间设置的。防火墙分为两种,一是软件防火墙,另一种是硬件防火墙。企业自身网络和企业外部网络连接的首要条件是硬件防火墙,硬件防火墙的功能比较全面,它比较有效的防止非法攻击和入侵,而软件防火墙则是更深一步水位检查,它通常能检测到许多其他防火墙检测不出来的威胁。因此两者结合,相互补充,能更好的为中小企业的信息安全服务。
4.采取行之有效的反垃圾邮件策略。首先提高企业员工的安全意识,不随意打开搜索引擎和他人从邮件和聊天窗口发来的链接。其次要对每个企业员工的邮箱用户名进行统一管理,同时,加强对企业员工邮箱使用的监测。第三,要使用最新的反垃圾邮件技术,有效地处理过滤垃圾邮件。如果企业自身缺乏相关技术人员,可以通过引入外部第三方服务商来实现反垃圾邮件的目的。
5.做好数据备份工作
CA公司的BrightStor ARCserve Backup V9,美国CA公司提供的存储备份软件能提供对主服务器数据库的备份,并提供数据灾难级的恢复,可以为的数据提供更加安全,更加高级的备份存储方式。
篇8
SaaS是Software-as-a-service的缩写,中文直译过来就是软件即服务。在中国学术期刊网络出版总库中以“SaaS”或“SaaS模式”为题名进行检索,可以分别检索到893篇、256篇从2006年至今的相关学术文献,可见对SaaS的相关研究已经具有一定规模和基础。许多学者对SaaS的概念进行了界定,但仅限于措辞上的差异,基本意义相同,即:SaaS是基于互联网提供软件服务的软件应用模式。在该模式下,服务提供商将应用软件安装在自己的服务器上,用户可以根据自身需求,通过网络向服务提供商购买所需的应用软件服务,按照购买服务的数量和时间向服务提供商支付费用。目前业内平台型SaaS做的较好的服务供应商有八百客、Salesforce等。
3 中小企业应用SaaS平台模式的必要性分析
3.1 中小企业应用SaaS平台模式的必要性。根据权威统计部门数据,一家中小企业每年用于企业信息化方面的投入至少需要20万元,对于我国四千多万家中小企业而言,能够承受企业信息化年投入20万元以上的企业只占这些企业的5-10%。SaaS平台模式减少了企业购买、搭建、维护等费用,是中小企业实现信息化的最好途径。另外,SaaS平台模式具有快速实施和低维护成本等优势,充分弥补了企业资金、人才等方面的短缺。相关数据显示,截至2011年底,SaaS全球市值达到192亿美元,正在被越来越多的中小企业用户选择使用。
3.2 应用SaaS平台模式的优势。与其他传统商务模式相比,应用SaaS平台模式能够给中小企业带来的好处主要体现在以下几方面:
①风险小。SaaS平台模式主要以托管方式来提供服务,这较大程度地降低了由软件开发给企业带来的巨大投入风险。②投入少。SaaS平台模式服务提供商通常是按照企业租用平台模块的数量和时间进行收费。因此,SaaS平台模式的总体投入要比传统模式的企业信息化投入小得多。SaaS平台模式与传统模式的企业信息化预算分配对比如图1所示(图中比例仅用于表示不同模式企业信息化预算变化趋势,并不代表真实比例)。③维护费用低。应用SaaS平台模式,企业既不需要支付高额的维护费用又不需要安排专业人员对软件进行管理,这从很大程度上缓解了企业的资金和人力压力。
■
图1 SaaS平台模式与传统模式企业信息化预算对比
4 中小企业应用SaaS平台模式存在的信息安全隐患
尽管中小企业应用SaaS平台模式具有诸多优势,但同时也面临着巨大的挑战。对于中小企业特别是处于快速成长期的中小企业而言,其最核心的企业价值就是客户的数据等信息,因此信息安全是企业管理者最关心的问题[4]。由于SaaS平台模式的解决方案要求将用户的全部相关数据存放在服务供应商提供的平台上,这使得企业数据在安全性、可靠性、稳定性等方面存在较大的信息安全隐患。分析机构IDC的分析师Laura DuBois表示:“中小型企业必须非常谨慎的挑选供应商以存储他们宝贵的数据”。
4.1 安全患。安全患是SaaS平台模式面对的首要问题。对于企业来说,数据的安全性至关重要,尤其是作为企业核心机密的财务数据和客户信息。安全患主要体现在以下两方面:一方面,财务管理人员由于缺乏网络信息安全知识和对信息安全规则的认识不足而造成的数据丢失、泄露等隐患。例如,网上报账会使外界干预系统的机会增多,从而加大了更改订单、银行结算单等恶性事件发生的可能性。另一方面,由于目前SaaS 平台模式数据库缺少有效的数据加密措施,外界可以轻而易举地从外部打开数据库并进行修改,从而加大了客户信息遭到泄漏、恶意篡改,甚至被删除,造成整个网络系统瘫痪的可能性。
4.2 可靠患。可靠患主要体现在网络病毒和非法入侵两方面。一是由于企业使用SaaS平台模式必须将其局域网与互联网相连接,因此,使SaaS平台系统感染病毒的机率大大增加,病毒防范的难度加大,任何在互联网上的行为都有可能使SaaS平台系统感染病毒。二是由于SaaS平台模式采用的是公用通信线路,因此存在恶意损坏网络设备、在网络上对系统进行非法入侵活动等可靠患。
4.3 稳定患。稳定患主要是指网络延迟。由于SaaS平台模式服务提供商在数据库设计上普遍采用大型商用关系型数据库和集群技术,使许多个企业用户共享一个数据库,当用户访问量骤然增加时,势必增加响应延迟,影响平台服务的稳定性。
5 防范信息安全隐患的措施
针对SaaS平台模式存在的安全性、可靠性、稳定性等信息安全隐患,无论是SaaS服务提供商还是企业用户,都应该积极采取各种防范措施,减少信息安全隐患的发生。
5.1 增强信息安全防范意识。提高信息安全防范意识是保证SaaS平台模式信息安全的重要前提。对于SaaS平台模式服务提供商而言,要增强信息安全防范意识,首先要制定统管全局的信息安全管理制度,明确责任,使信息安全管理有章可循,有法可依;其次要加强对系统维护人员和技术支持人员的职业道德教育,使其在职业操守上能够恪守职责。
5.2 确保硬件设备安全。硬件设备安全是SaaS平台正常运营的基本保障。SaaS服务提供商应将SaaS平台服务器、通信设备等硬件设备设置在一个高度安全的场所,该场所应具有防火、防盗、防静电设施,配有温度和湿度控制设备,并且电源安全符合网络设备要求,从而确保硬件设备安全。
5.3 建立身份认证和访问控制。在认证与授权方面可以通过对信息操作人员设置不同的权限及权限组合形成多维、多层次、全方位的身份认证和访问控制,最大限度地保证SaaS平台模式的安全性和可靠性。
篇9
[文章编号] 1009-6043(2017)02-0125-03
引言
随着现代经济的不断发展,越来越多的企业应用了网络会计信息系统,但由于使用该系统的水平并没有达到一定的要求,无论是会计人员还是系统本身都存在一定的风险和安全隐患,造成了企业财务信息的失真和丢失甚至是泄露。一些中小企业认识到了问题的重要性,开始研究解决安全患的方法与措施,学术界的学者也纷纷发表了各自的看法,提供了大量的理论观点和现实依据,加强了会计信息系统的管理与应用,提高了使用的安全性。本文针对会计信息系统尚存在的安全问题进一步做了研究,为企业今后的发展提供新的参考和依据。
一、网络环境下会计信息系统的特点
(一)经济性与高效性
网络环境下会计信息系统具有经济性和高效性。从经济性角度来看,网络环境最大的特征就是成本低,范围广,通过网络平台将自己的产品,价格以及功能向大家展示出来。而会计信息系统的建立主要也是通过网络进行的,只有在此环境下才更有利于信息的收集和数据的分析,同时也是成本最低的采集信息的方式。对于会计信息的监督行为也可以通过网络远程操控来实现,对于企业会计管理更具有经济性;从高效性的角度来看,现如今的社会发展没有比网络更快捷高效的方式,尤其对于信息传播和收集方面,网络平台掌握着所有可公开的信息,只需要简单的搜索就可以实现,尤其是信息的广泛性,想要针对任何对象都可以进行快速搜索来全面了解,会计信息系统以最快的速度进行反应和决策,所以网络对于会计信息系统的使用是具有高效性的。
(二)及时性与实效性
传统的会计信息处理需要登记账簿,审核凭证等程序,一系列复杂的步骤常常耽误大量的时间和精力,而网络环境下会计信息系统的建立避免这些繁琐的程序,财务部门对于所有相关的企业信息分门别类进行网络系统存储,同时对信息进行及时的处理和反馈,使企业最快的做出市场反应。针对一些不断变化和更新的数据,更需要在网络中进行及时搜索,会计根据信息的用处抓住有效的信息资源,最快速地将信息整合成整体资料,提供给相关部门,促进企业内部工作效率的提高,所以网络环境下会计信息系统具有及时性和时效性等特点。
二、网络环境下中小企业会计信息系统存在的安全问题
(一)财务资料保管不严密,易丢失
财务资料反应的是整个企业内部资金状况和经营现象,关乎企业的发展,是企业最核心的资料,所以财务资料具有保密性的要求。但是目前仍然存在较多的丢失资料和泄露数据的现象,一般来说主要是会计管理人员的工作责任。一方面,针对资料丢失现象,基本是因为会计人员操作错误,误删或者没有存储造成资料丢失;另一方面,如有数据泄露,有可能是由于网络安全性设置不完善或者内部人员外泄两个方面,即使设置了安全密保,也有可能被专业人员破解,所以对于起到保密性的软件开发对企业的信息安全管理更为重要。
(二)会计信息系统存在漏洞,易遭黑客攻击
现代互联网环境中,黑客攻击现象越来越严重,尤其对于企业内部数据的侵袭和盗取造成极大的危害。究其根源,会计信息如果遭到网络黑客的攻击,一般是由于系统内部存在一定的漏洞,让黑客钻了空子,而且目前黑客使用的技术和软件都比较先进,针对系统存在的漏洞容易发起攻击,并能够瞬间盗走数据,同时也可以通过病毒或者木马进行数据破坏,导致整个会计信息系统的安全指数降低,为企业引入了新的风险。
(三)存在会计信息失真问题
会计信息失真是指所获得的会计信息和数据不能真实的反应相关的经济活动,从而对企业的决策造成干扰。一般会计信息失真现象来源于两个方面,一方面是来源渠道出现问题,造成会计人员无意采用了不真实的数据,大部分原因是因为现代网络数据确实有不实的现象,会计人员专业水平不够,会难以分辨数据的真伪;另一方面是由于会计工作人员素质低下,收到外部环境的诱惑或者收买,有意伪造信息,从事了扭曲真实信息的非正常经济活动。会计信息失真现象最根本的原因在于企业内部管理的缺失,才会引起大量数据不真实和员工的违规行为,企业必须引起重视,有效的控制企业会计信息失真现象。
(四)网络会计人员缺乏,系统应用不深入
现代中小型企业员工的知识和技能水平较低,尤其是计算机水平,大多数人都达不到要求。目前网络会计专业人员较少,一部分表现为计算机知识和使用技能缺乏,对软件和系统的应用不熟练和不专业,造成网络会计系统存在较大的安全性问题。现代网络环境十分复杂,功能也较多,常常会有恶意程序进入电脑,因为会计人员安全意识薄弱,而且专业度不够,很难发展潜在的危险,盲目的进行操作和处理,无疑会对信息系统造成巨大的破坏。即使是经验丰富的会计人员,不能合理和科学的操控计算机也无法胜任网络会计一职,否则出现操作不严密和不规范的现象,会严重损坏系统的正常运作,甚至造成大量数据遗失,这会给企业带来更多的安全隐患。
三、网络环境下中小企业会计信息系统问题存在的原因
(一)会计人员操作不规范
现代网络会计信息系统的建立是为了更好的适应信息化时代的要求,但是对于计算机使用水平要求较高,会计人员常常会因为操作不规范影响系统的正常运行。会计操作不规范一方面是指对电脑软件使用不熟悉甚至是不了解,数据收集以及分析处理都不能有效的使用软件进行,很难发挥财务软件的多方面功能和作用,尤其进行不懂装懂的错误操作,使软件完全失去了功能,也失去了效应;另一方是指面对问题处理操作使用的不规范也是造成安全隐患的重要原因。每个系统都会阶段性的出现问题,如果不能及时有效的处理就会对系统造成更严重的损害,还需要花费大量的时间进行修复。而会计人员如果在面对故障时不但不会因为不了解而放弃处理,反而进行了不合理的操作,将会造成无法弥补的损失,对企业整体的内部财务环境具有严重的破坏性。
(二)网络安全控制制度不健全
许多企业都是因为管理制度缺失造成大量的安全危机。会计信息系统存在安全隐患的额一部分原因是由于网络安全控制制度不健全。对于安全性能、操作规范程度、策略方法等都尚未建立一整套安全控制制度,同时对于网络安全的监督体制也不完善,对于某些小型企业甚至没有相关制度。管理人员因为没有意识到管理体制,尤其是安全管理体制的重要性,那么出现安全问题也很难及时高效的处理。国家需要有法可依,那么企业需要有制度作为依据才能有序的经营,安全是所有企业最重视的最核心的问题。尤其面对网络环境,安全性是第一位,所以会计信息系统的安全制度如果不健全,必会对企业信息安全造成一定影响和破坏,阻碍企业经济的发展和进步。
(三)网络系统本身的权限开放
会计信息系统并非独立的系统,集成化信息模式使系统不在单独针对会计或者财务部门开放,整个企业的物流、资金流、顾客订单等都将在互联网平台共享,而会计信息的安全性能只属于企业安全管理的一部分。会计信息的管理权限如果没有得到有效的控制,那么必然会造成信息或者数据被无意或者有意的泄露。如果是过于复杂的权限设置,由于约束条件比较多,例如用户的身份、不同时间等,限制相关人员数据收集和信息处理,而且还存在大量临时设立的权限,存在更多的不安全成分。因此权限的设置和控制会对网络会计信息系统的安全性造成一定的影响。
(四)会计人员职业道德和信息化水平低
网络会计信息系统主要依靠会计来进行管理和控制,主动权基本掌握在会计工作人员的手上,所以会计人员的职业道德和信息化水平影响着网络信息安全。大量的数据丢失和泄露有60%的原因是由于会计人员的职业道德低下,禁不住诱惑会出现一些虚假记账或者泄露信息等行为,而且企业关注会计人员管理的制度如果不完善,缺乏惩罚制度,更加使会计工作人员不会坚持原则和严格遵守职业道德,这样会计人员会不断出现造假泄密的问题,导致企业财务受损。然而,会计人员的信息水平低也是造成信息系统存在安全隐患的原因,错误的操作会使数据误删等现象出现,所以,对于网络会计信息系统的安全性受会计人员的控制,也取决于会计人员的道德素质和信息化技能水平。
四、网络环境下中小企业会计信息系统问题的解决对策
(一)规范操作步骤,明确工作流程
对于网络会计信息系统的安全管理,中小企业应该规范操作步骤,明确工作流程。对于规范操作步骤方面,主要针对的是会计人员对系统的操作,对于数据的收集、处理、分析、整合等各个过程都需要制定操作步骤,确保每个人严格执行,避免错误性操作带来的危害,同时对相关会计人员进行定期培训,对于所制定的操作步骤存在的问题进行完善。针对工作流程,企业应该建立一整套基本流程,明确各人员的责任分工,确保每一项任务都有具体人员负责,然后要求大家对整体工作流程有所了解,在完成自己负责的任务的基础上协助他人,将整个会计信息系统进行规范化和程序化管理。
(二)建立健全网络安全控制制度
网络会计信息系统应该建立以及不断完善网络安全控制制度。第一,建立网络风险控制制度,对于会计信息系统可能发生的风险进行预警和控制,做出处理预案,针对不同的风险进行分类以及提出不同处理方法,根据建立的风险管理体制应对不同种类的风险;第二,建立会计人员管理体制,信息系统的安全大部分取决于会计人员的素质和技术水平,企业应该建立有效的员工管理体制,对其保密性和负责的态度都需要不断加强,根据体制进行对员工工作的规范化管理以及奖惩手段实施;第三,建立信息应用管理制度,主要是针对信息的输入,处理以及输出的控制,方便会计人员进行分析、检测和预防等;第四,建立网络信息访问权限控制,对于比较隐秘性和重要性的信息和数据的访问应该设置访问权限,确保是专业人员进行高技术设置,尽量避免被黑客盗取和破坏,同时对于内部公开性信息可以建立简单的员工内部访问权限,主要是为了提醒大家这属于企业内部可公开的资源,如果有外泄现象仍然会严重处理。
(三)加强会计信息系统硬件管理和软件升级
针对会计信息系统的软硬件都需要强化和进一步管理。硬件方面应该负责专门会计人员进行监督管理,未经授权的其他人不能直接使用计算机,使用独立的服务器,拒绝其他存储设备外接到计算机设备上造成干扰,在电源、防火、防水等方面严格把关,必须要求有专门人员进行机房的管理;针对软件方面,应该适应现代信息技术水平,勇于开发新的功能技术软件,同时对原有软件针对其漏洞不断升级,保证最先进的软件技术。
(四)提升会计人员职业道德素质和信息化技能
会计人员的职业道德素质与信息化技能是影响网络会计信息系统安全的重要因素。企业针对会计人员道德素质方面,需要对会计人员进行日常行为的角度和评价,对员工心理变化及时发现,同时应该建立合理的激励机制,对于突出表现的员工给予物质或者精神奖励,反过来对于泄密造假等行为必须给予惩罚,实行制度的同时确保公平公开性原则,这样员工整体的职业道德素质会被有效的控制;对于员工的信息化水平的提高,应该为员工创造多次培训学习以及深造的机会,充分掌握市场上最流行先进的技术手段,保证员工信息化水平与市场同步,这样网络会计信息系统的安全运行才会有所保障。
(五)持续评估控制会计信息风险
企业面对会计信息风险,应该保证持续评估和控制。每次对于数据的处理和信息的反馈都包含多方面内容的整合,会计人员应该学会整个过程的评估和控制,可以首先建立科学评估指标,依据指标进行对现有信息系统进行评估,预测潜在的风险,然后采用针对性的战略措施进行有效的控制。对于风险的评估不能间断,需要专业人员实时检测和监督,及时发现问题和故障,针对预测的风险做出预案,这样才会有效的规避风险,促进企业信息管理正常运作和持续的发展。
结语
目前网络会计信息系统应用较为广泛,现代企业随着市场的变化和要求不断地提高,逐渐加强了企业内部环境的技术水平。网络会计信息系统是一个比较复杂的现代系统,在数据的输入与输出过程中存在较多的安全隐患,一部分来源于会计人员的自身问题,一部分来源于网络本身的不安全性,这都会对系统有一定的破坏性,从而对企业的财务信息管理造成危害。所以企业管理层已经引起了注意,开始关注针对系统的风险和安全管理与控制问题,现有的理论基础和体制尚不完善,从会计人员来看仍然存在道德素质低下与技术水平不合格的现象,从网络技术来看还存在一定的漏洞和不足,需要进一步的改进和加强。本文的研究主要针对网络会计信息系统现存的问题进行针对性的提出建议,为现代中小企业提供了参考依据,也为企业的管理发展奠定了现实基础。
[参 考 文 献]
篇10
1.2会计云计算的优势
(1)降低了中小型企业信息化的成本。
在中小型企业中有些企业的信息化程度不高,他们所采用的服务器规模也不是很大,但是运行却很慢,整体的质量也不是很高。企业的信息化领域不是很大,它有一定的局限性,只是在财务、销售等领域来运行,这样来保障企业的信息化管理。随着会计云计算的出现,企业再也不用对服务器和信息处理进行较大的投资,可以通过向供应商租赁软件和硬件来实现企业的信息化,这样就会降低企业的经营成本。还有就是以前企业对于维护服务器和升级软件也要投入一定的资金,但现在有了云计算之后,这一部分的开支就可以省下来了。整个下来就降低了企业对信息化处理的成本了。
(2)中小型企业会计信息化拓展得到了保障。
既然供应商为企业提供了最适应于企业的信息处理软件,供应商就会不断的更新这些软件,使得软件能够提供更多、更优质的服务。对于企业来说,通过软件的更新获得最先进的信息管理技术,最大程度上自身对信息的需求,并且也降低了会计信息化建设当中的风险。利用会计云计算技术还可以与其他相关的部门或者是企业共享财务信息,会计信息也得到了扩展。
2.云环境下的信息安全
2.1设置访问认证
供应商为企业提供的软件服务基本上都是统一认证的,这对企业来说就是不安全的,所以服务商应该将中小型企业的部门人员进行信息和登录信息的编组,并且存储在服务商的内部资料当中,这样就形成了该企业的访客信息数据库,当有用户登陆的时候服务商就对访客进行信息核对并进行认证,通过的访客就可以查看对应于自己权限的财务情况。
2.2数据安全传送
现如今数据的传输过程不是不安全的,一些黑客通过网络窃取所需要的企业财务信息或者是商业信息,有些还会篡改财务数据等等,中小型企业应该把云端的SQL数据库进行加密,或者是开辟一条专用的网络传输通道,前者可以使得被盗信息在读取的时候不够完整,后者可以使信息在传输的过程中丢失的几率降低。
2.3保持网络稳定
会计的核算是连续性的,这样就要保证网络传输的速度和质量。云服务器以及数据库中的数据在传输当中不能出现拥堵或者是丢包的现象,丢包就会使得数据不完整,影响到企业的整个财务链。在此同时还要对断电事故有应急预案。
2.4保证商业秘密的安全
一个企业的商业秘密被泄漏,会对这个企业造成不同程度的损害。一旦云端数据中心存储的核心财务数据被泄露或盗取,就会牵连到中小型企业的发展,有些甚至会对其生存产生巨大的影响。因此,中小型企业要有效的降低这种风险,保留一部分级别高的数据掌握在自身手里。与此同时还应该建立动态商业机密监控机制,规范访问流程,建立起应对泄密事件发生时的反应机制。
篇11
随着中国企业信息化系统的不断完善,信息化平台已经从固定互联网向移动互联网延伸。与此同时,信息安全问题也逐渐面临更多的挑战。
对大多数信息化企业而言,其经营计划、知识产权、生产工艺、业务流程、推广方案、客户资源等重要数据都将融入移动互联网,而这些数据不仅是企业发展的方向和动力,更关乎企业的生存与命运。
如何保证这些数据的安全,并且只容许那些拥有相应权限的企业员工方便地访问它们?这个问题已经不再像以往“收好保险柜钥匙”那么简单了。
无论是大型企业还是中小型企业,信息安全的建设都是信息化建设的首要任务之一。尽管如今的企业移动信息平台已经能够胜任电子邮件系统、视频通话系统、企业内网等大部分原有基于固定互联网的信息平台的工作,ERP、SCM、CRM、OA等系统也都可以顺利地向移动信息平台扩展,但是,在扩展之前,企业一定要制定好一套完整的移动安全策略。只有这样,才能让移动信息平台的安全策略与整个信息化系统保持一致。因此,配套而完整的移动安全策略非常重要,因为企业需要的不只是移动终端的安全,更需要企业所有信息的安全。
移动信息平台的安全性首先体现在后台管理系统对移动终端的控制力上。一套出色的后台管理系统应该不仅可以远程管理终端阅览信息的权限、调整终端的安全设置、控制终端可使用的功能,在必要时还能删除终端上的数据,以保证企业信息的安全。
那么,企业在制定移动安全策略时,具体应当考虑哪些方面的举措呢?根据RIM公司长期的实践经验来看,主要应注意企业防火墙、无线数据传输、移动终端、病毒及恶意软件、企业安全标准、安全策略和安全合规等7个方面。另外,合规安全也应作为重要因素考虑进企业的移动安全策略当中。
企业防火墙是防止企业网络遭受攻击的重要屏障。由于移动终端通常在防火墙外部使用,防火墙端口的保护就显得尤为重要。完备的移动解决方案不仅要确保智能手机正常连接企业内网,还不能影响企业防火墙设置中的现有安全策略,继而保证防火墙端口的安全。
基于移动互联网的无线数据传输是信息安全的重要一环,确保无线数据传输具备高度的保密性、完整性和真实性也非常关键。这要求移动安全策略不但要保证无线数据的安全性,同时还能验证无线数据的来源,从根本上保证数据传输的安全性。
长期以来,病毒和恶意软件都是企业IT管理部门头疼的问题,但现在,这个问题已经能够得到很好的解决。服务于世界500强的RIM公司研发的智能手机操作系统,具有的独特性和先进架构使其几乎不可能被病毒或恶意软件攻击。同时,该企业推出的移动解决方案(BES)的高度安全性也保证了整个企业移动解决方案不会给企业信息安全带来丝毫风险。
此外,移动解决方案还需与企业现有的信息化系统具备绝佳的兼容性,其中包括对企业安全标准的兼容。需要指出的是,方案的部署不应以改变企业的安全策略为代价,而是要能很好地支持现有标准。此外,完备的移动解决方案还能帮助企业网络管理员很方便地建立、增强及更新安全策略。RIM的移动解决方案不但对所有相关设备都具有很强的综合控制能力,还能够令企业的移动信息平台真正成为一个有机整体,确保安全策略的周全。
篇12
在办公室里指疾如风地在键盘上敲打数据、处理工作的时候,你是不是也曾经一次又一次对电脑屏幕右下角浮现的更新图标视而不见呢?即使已经有提示框跳到屏幕中央,你是不是也会不耐烦地点击“忽略”、“下次再提醒我”呢?除了升级本身会导致的电脑运行缓慢,升级完成后必需的电脑重启工作也让人不胜其烦,而本来习惯的软件界面和功能选项的不断修订也需要时间重新适应,在手头业务繁忙的时候,一般的软件更新简直就是一场噩梦!
不过数据证明,逃避软件更新虽然暂时保证了工作的流畅,却为日后的信息安全埋下了隐患。知名信息安全厂商卡巴斯基实验室日前在报告中指出: 2010年第三季度在用户计算机中检测出的10个分布最广泛的漏洞中,有多个是其供应商在2007至2009年间就提供过相应补丁程序的。造成这一局面的原因,就是很多用户不经常升级计算机中的软件。
当然,要规避这些危险并不是不可能的,如果出于节省时间和精力的目的不愿意经常进行常规软件的更新和打补丁,那么就一定要配备具备超强时效性的安全解决方案,以应对随时可能出现的针对性漏洞攻击。在这一方面,作为业内唯一能做到每小时更新病毒库的卡巴斯基无疑是相当不错的选择。第一时间对新生恶意程序进行响应,是无数企业的首要需求,也符合患有“更新恐惧症”的员工们最迫切的需要。但是每小时更新是不是与用户对不断更新重启这一软件行为的排斥相矛盾呢?对于这一问题,卡巴斯基相关负责人表示,卡巴斯基企业版产品不会给用户带来这一方面的困扰,无论是病毒库,还是反病毒模块,只要是一般情况下的常规更新,都无需进行计算机重启,可大大减少对用户日常工作的影响;而更新过程中亦不会降低电脑的运行速度,除了因为卡巴斯基采用的新技术使用了更小的下载安装包以外,还因为更新程序完全可以由管理员统一设置为后台运行,用户几乎完全感觉不到这一过程。
俗话说:一物降一物。卡巴斯基前瞻性的防御技术、实时更新的反病毒数据库和独到的“后台无干扰升级”,就是 “更新恐惧症”的一大克星。而解决了这一看似不起眼的细节问题,才能确保反病毒数据库的实时更新,从根本上保证企业的信息数据安全。
篇13
经过近几年的发展,中国铁建股份有限公司(以下简称中国铁建)的信息化工作全面展开,众多信息化项目的实施,大量信息系统的上线应用,有力地促进了企业核心竞争力的提升。
随着信息系统不断建成与投入应用,信息资源拥有量快速增长,对信息安全的保障需求日显强烈,信息安全管控建设的滞后与日益增长的信息安全需求的矛盾日益突出。中国铁建根据国内外成熟的信息安全标准和方法,结合企业业务发展战略和企业特点,构建符合本公司业务实际和安全需要的信息安全管控体系,全面提升信息安全保障能力,并取得了初步效果。另外,信息安全等级保护制度作为国家在信息安全保障管理上的根本制度,具有强制性的特征,也要求企业认真加以贯彻落实。
在实际工作中利用怎样的手段来保障信息安全管控体系、信息安全等级保护制度得到切实执行,成为亟待需要解决的问题。
为此,结合中国铁建所属各单位地域分布广、信息化水平差距大的特点,经过初步探索,将信息安全指标纳入了中国铁建信息化绩效评价体系,与各子分公司领导考核挂钩,从“信息安全事故”和“等级保护”两个维度、四项指标,通过定量对比分析,对各单位的信息安全工作进行评价,以推进信息安全持续改进。
2 考核原则
(1)公开、公平、公正。严格按照考核细则对被考核单位,在公开、公平、公正的环境中,进行客观的评价。
(2)实事求是。被考核单位应如实反映信息安全工作情况,提供的相关资料和数据真实可信。
(3)遵循规划、贯彻制度、检查效果、保障安全。考核指标的提出以信息安全规划、制度为依据,重点在信息化建设效果并保障信息安全。
(4)区别对待,逐步演进。根据子公司规模、成长阶段、业务特点的不同,区别对待;根据信息安全建设重点,不同年度有不同的考核重点,逐步演进。
3 考核指标
中国铁建大量的信息系统处于建设时期,因此每年对指标进行调整。目前,根据信息系统等级保护评价指标体系的原则要求, 选择具有可操作性、可以量化的指标,从信息安全事故和信息系统安全等级保护两个维度,信息安全事件、等级保护定级率、等级保护备案率、等级保护测评通过率四项指标进行了考核。
3.1 信息安全事件
信息安全事件及分级以中国铁建《信息安全事件管理规定》定义为准。信息安全事件分为特别重大事件(I级)、重大事件(Ⅱ级)和一般事件(Ⅲ级)三个级别。
指标要点
(1)信息系统安全事件级别的确定。从类别划分,信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、设备设施安全功能故障、灾害性事件等五种;从级别划分,信息安全事件分为特别重大事件(I级)、重大事件(Ⅱ级)和一般事件(Ⅲ级)三个级别。
(2)信息安全事件的瞒报。对于发生信息安全事件后,隐瞒事故,在规定时限内不主动向上级部门如实报告的情况,除扣除其该项考核成绩外,按照股份公司有关规定进行通报并严肃处理;对多次发生信息安全事件的单位,将加强监督检查,并责令其彻底整改。
3.2 等保定级率
考核年度在建至验收投入应用各阶段的信息系统与历年上报的定级报告不重复累计数之比。
指标要点
(1)信息系统定级准确性。部分单位认为信息系统定级级别越高,就要花费更多的资金、精力,加重单位负担,因此将基础信息网络、门户网站、邮件、财务等重要信息系统定为一级,以逃避备案、测评。
针对这种情况,股份公司按照《信息系统安全等级保护区域划分原则与定级指南》,对信息系统定级进行规范,并对定为一级、二级的信息系统进行重点检查,避免定级不准确。
(2)信息系统数量准确性。部分单位在实施等保工作时,上报的信息系统数量小于实际建设数量。因此,在实际操作中,本考核项的分母“信息系统数”以该单位编制信息化项目预算时上报的信息系统数量为准。
(3)需提供加盖本单位公章的《定级报告》扫描件。
3.3 等保备案率
考核年度在建至验收投入应用各阶段的信息系统数与历年上报的备案证书不重复累计数之比。
指标要点
(1)备案公安机关的选择。针对部分单位未根据国家法律法规选择合适公安机关备案的情况,股份公司在的《信息系统安全等级保护管理办法》中规定:股份公司统建系统,三级及以上系统向公安部网络安全保卫局备案、二级系统向北京市公安局铁道建筑公安局备案;驻京单位自建信息系统向北京市公安局铁道建筑公安局备案;京外单位自建信息系统向当地市级及以上公安机关备案。
(2)等保备案率的确定。等保备案率中的分母“信息系统数”,指的是该单位编制信息化项目预算时上报的信息系统数量,并非已定级的信息系统数量。
(3)需提供公安机关出具的《备案证明》扫描件。
3.4 等保测评通过率
历年上报的定级备案证书不重复累计数与历年测评通过的信息系统不重复累计数之比。
指标要点
(1)测评报告符合率。为防止部分单位将工作精力侧重于取得测评报告,而忽视了对测评中反映出的安全问题的整改,在实际工作中,重点对测评不符合率较高的信息系统进行抽查,责令单位定期进行整改。
(2)需提供合格测评机构出具的加盖测评机构公章的《安全等级测评报告》扫描件。
4 考核权重
4.1 信息安全事件
附加分项,最高减K分。出现一次I级信息安全事件、减K分;出现一次级信息安全事件、减K/2分,最多减K分。
4.2 等保定级率
基本分项,满分K分。考核年度在建至验收投入应用各阶段的信息系统数为A,历年上报的定级报告不重复累计数为B,定级率M=B/A,平均定级率∑M=∑B/∑A。定级率得分S=min{(M/∑M)×K,K}。
4.3 等保备案率
基本分项,满分K分。考核年度在建至验收投入应用各阶段的信息系统数为A,历年上报的备案证书不重复累计数为C,备案率M=C/A,平均备案率∑M=∑C/∑A。备案率得分S=min{(M/∑M)×K,K}。
4.4 等保通过率
基本分项,满分K分。历年上报的定级备案证书不重复累计数为C,历年测评通过的信息系统不重复累计数为D,测评通过率M=D/C,平均测评通过率∑M=∑D/∑C。测评通过率得分S=min{(M/∑M)×K,K}。
5 指标计算
考核指标项分基本分项、附加分项两类。以本单位基本分项满分(Ai)为基数,用实际得分(Bi)计算其得分率(Mi=Bi/Ai),除以最高得分率(Mmax),再乘以信息安全工作绩效指标分(C),即为信息安全工作考核实际得分(Si=C×Mi/Mmax)。
6 结束语
本文对中国铁建将信息安全指标纳入信息化绩效评价体系进行了概述, 提出了综合评价的方法,希望能借以推进本企业信息安全工作的开展,提高信息系统的安全性,并切实将国家法律法规落到实处。从实际执行效果看,已经取得了一定的成效。
参考文献
[1] GB/T 22239―2008,信息系统安全等级保护基本要求.
[2] GB 17859-1999,安全等级保护划分准则.