企业信息安全要求范文

导语：如何才能写好一篇企业信息安全要求，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

由于电力企业以发电、经营电力为主，信息网络安全问题并没有得到足够重视，管理方面存在重技术轻管理的问题，未建立完善的信息安全管理制度，面对上级检查，简单应付，脑子里轻视信息安全，信息安全观念淡薄，这都会增加企业信息系统的安全风险。例如，缺少对企业职工的信息安全教育培训、缺少定期对信息运维人员的安全技能的培训等等，都会严重威胁企业信息网络的安全。电力企业在针对信息系统的应用和信息网络安全两个方面时，更加注重的是前者。以此同时，可能部分职工还存在侥幸心理，忽视了网络安全问题的重要性。

2电力企业网络信息安全管理的有效策略

2.1注重建设基础设施和管理运行环境

需要严格的管理配电室、信息、通信机房等关键性的基础设施，对防水、防火、防盗装置进行合理配备；对电力二次设备安全防护要做到，安全分区、网络专用、横向隔离、纵向认证，生产控制大区与信息管理大区要做好物理强隔离；机房需要安装监控报警设备和动环监测系统；对桌面终端和主机等设备要做好补丁更新，控制权限；在网络安全设备上要做好安全策略；做好流量监测和行为监测；此外，建立设备运行日志，对设备的运行状况进行记录，并且建立操作规程，从而保证信息系统运行的稳定性和安全性。

2.2建立并完善信息安全管理制度

建立健全信息安全管理制度，注重安全管理，确保根据安全管理制度进行操作；做好安全防护记录、制定应急响应预案、系统操作规程、用户应用手册、网络安全规范、管理好口令、落实安全保密要求、人员分工、管理机房建设方案等制度，确保信息系统运行的稳定性和安全性。由内至外，全面的贯彻，实施动态性地管理，持续提高信息安全、优化网络拓扑结构。

2.3注重信息安全反违章督察工作的开展

建立信息安全督察队伍，明确职责，按照信息安全要求，开展定期的督察，发现问题，限期整改。电力企业要对企业信息系统软硬件设施、容灾系统、桌面终端、防护策略等进行定期督查，实现信息安全设备加固和更新，培养信息安全督查专家队伍，交叉互查、发现并解决问题，提高信息系统的安全性。

2.4积极探索电力企业信息安全等级保护

信息安全等级保护指的是，对涉及国计民生的基础信息网络和重要信息系统按照其重要程度及实际安全需求，合理投入，分级进行保护，分类指导，分阶段实施，保障信息系统安全。针对电力企业信息系统，应建立相应的信息安全等级保护机制。技术上分级落实物理安全、网络安全、主机安全、应用安全、数据安全；管理上要建立对应的安全管理制度、设置安全管理机构、做好人员安全管理、系统建设、运维管理。

2.5明确员工信息安全责任，实现企业信息安全文化建设

针对企业的所有员工，关键是明确自己需要担负的安全责任、熟悉有关的安全策略，理解一系列的信息安全要求。针对信息运维人员，需要对信息安全的管理策略进行有效地把握，明确安全评估的策略，准确使用维护技术安全操作；针对管理电力企业信息网络安全的管理人员，关键在于对企业的信息安全管理制度、信息安全体系的组成、信息安全目标的把握和熟悉。以上述作为基础，实现企业信息安全文化的建设。

2.6提升人员的信息安全意识

针对电力企业信息安全而言，员工信息安全意识的提高十分关键。企业需要组织一系列有关的信息安全知识培训，培养员工应用电脑的良好习惯，比如不允许在企业的电脑上使用未加密的存储介质，不应当将无关软件或者是游戏软件安装在终端上，对桌面终端进行强口令设置，以及启用安全组策略，备份关键性的文件等，从而使员工的信息安全意识逐步提高。

3结语

篇2

一、运用系统的思想和方法，查找信息安全管理的“短扳”

随着企业信息化的快速发展，信息安全管理工作显得相对滞后。管理思想和方法落后。过去基本上是参照电网安全管理一些传统做法，没有体现信息化特点和要求，越来越不适应信息系统的快速发展和变革；管理不够全面。以往只考虑硬件、软件，忽视了人、数据和文档、服务、无形资产等重要对象，对外来人员也缺乏有效的识别管理；管理制度不够系统。以前虽然制订了较多的制度和标准，当信息化发展到一定程度，这些制度就显得很单薄，就事论事的管理方式必然会产生安全管理的盲区，有些制度内容重复、交叉、不一致，有些制度不切实际，往往束之高阁；风险评估不够科学。以往的信息风险评估不够系统，主观性过强，缺乏综合平衡，抓不住重点，或过度保护，或产生管理死角，事后控制多，事前预控少，不能涵盖信息系统的生命周期。

上述情形是企业在信息化建设中普遍感觉到的问题。随着科学技术的进步，企业信息运行管理模式也发生了巨大的变化，为企业采用先进管理方式、建立信息安全管理体系打下了扎实的基础。为此，嘉兴电力局根据国际上信息安全管理的最佳实践，结合供电企业的实际，从信息安全风险评估管理入手，贯彻ISO/IEC27001：**信息安全管理标准，建立了信息安全管理体系。通过体系有效运作，达到了供电企业信息安全管理“预控、能控、可控、在控”的目的。

二、从资产识别入手，搞好信息安全风险评估

按《信息安全风险评估控制程序》，对所有的资产进行了列表识别，并识别了资产的所有者。这些资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值。在风险评估中，共识别资产2810项，其中确定的重要资产总数为312项，形成了《重要资产清单》。

图1.《重要信息资产按部门分布图》

对重要的信息资产，由资产的所有者（归口管理部门）对其可能遭受的威胁及自身的薄弱点进行识别，并对威胁利用薄弱点发生安全事件的可能性以及潜在影响进行了赋值分析，确定风险等级和可接受程度，形成了《重要资产风险评估表》。针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定措施失效发生的可能性，计算风险等级，判断风险为可接受的还是需要处理的。根据风险评估的结果，形成风险处理计划。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用适当的措施，确定是接受风险、避免风险，还是转移风险。

嘉兴电力局经过风险评估，确定了不可接受风险84项，其中硬件和设施52项，软件和系统0项，文档和数据8项，服务0项，人力资源24项。

根据风险评估的结果，对可接受风险，保持原有的控制措施，同时按ISO/IEC17799：**《信息技术-安全技术-信息安全管理实施细则》和系统应用的要求，对控制措施进行完善。针对不可接受风险，由各部门制定了相应的安全控制措施。制订控制措施主要考虑了风险评估的结果、管理与技术上的可行性、法律法规的要求，以期达到风险降低的目的。控制措施的实施将从避免风险、降低风险、转移风险等方面，将风险降低到可接受的水平。

图2.《各类不可接受风险按系统分布图》。

三、按照ISO标准要求，建立信息安全管理体系

嘉兴电力局在涉及生产、经营、服务和日常管理活动的信息系统，按ISO/IEC27001：**《信息技术-安全技术-信息安全管理体系要求》规定，参照ISO/IEC17799：**《信息技术-安全技术-信息安全管理实施细则》，建立信息安全管理体系，简称ISMS。确定信息安全管理体系覆盖范围，主要是根据业务特征、组织结构、地理位置、资产分布情况，涉及电力生产、营销、服务和日常管理的40个重要信息系统。信息安全管理的方针是：“全面、完整、务实、有效。”

为实现信息安全管理体系方针，嘉兴电力局在各层次建立完整的信息安全管理组织机构，确定信息安全目标和控制措施，明确信息安全的管理职责；识别并满足适用法律、法规和相关方信息安全要求；定期进行信息安全风险评估，采取纠正预防措施，保证体系的持续有效性；采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；制定并保持完善的业务连续性计划，实现可持续发展。按照信息安全管理方针的要求，制订的信息安全管理目标是：2级以上信息安全事件为0；不发生信息系统的中断、数据的丢失、敏感信息的泄密；不发生导致供电中断的信息事故；减少有关的法律风险。

嘉兴电力局根据风险评估的结果、企业的系统现状和管理现状，按照ISO/IEC27001：**标准要求，整合原有的企业信息安全管理标准、规章制度，形成了科学、严密的信息安全管理体系文件框架，包括信息安全管理手册；《信息安全风险评估管理程序》、《业务持续性管理程序》等53个程序文件，制定了16个支撑性作业文件。

四、运用过程方法，实施信息安全管理体系

在信息安全管理过程中，重点是抓好人员安全、风险评估、信息安全事件、保持业务持续性等重要环节，采取明确职责、动态检查、严格考核等措施，使信息安全走上常态管理之路。

图3：信息安全管理体系实施过程

重视信息系统安全管理。因为信息系统支撑着企业的各项业务，信息安全管理体系实施涵盖信息系统的生命周期，表现在信息系统的软（硬）件购置、设备安装、软件开发和系统测试、上线、系统（权限）变更等方面，严格执行体系的相关控制程序。

强化人员安全管理。在劳动合同、岗位说明书中，明确员工信息安全职责。特殊岗位的人员规定特别的安全责任，对信息关键岗位实行备案制度。对岗位调动或离职人员，及时调整安全职责和权限。定期对员工进行信息安全教育和技能培训、比武、考试。

篇3

【关键词】信息化 量化 管理 流程

【中图分类号】G647【文献标识码】A【文章编号】1672-5158（2013）02-0349-02

近年来，大部分企业信息化建设已初具规模，信息化基础建设基本到位，信息系统渗透到企业生产经营的各个环节。在新的形势下，如何使信息系统更好、更稳定、更安全运行，提高管理效率，落实有效益的信息化，是企业信息化工作的迫切需求。要实现这一目标，必然要管理与服务相结合，要求企业建立以国际行业标准为依据的较为完善的IT管控体系，提升IT运维服务水平。

企业加强IT管控，目的就是建立一个类似“轮流分粥，分者后取”的规则，明确区分母公司与各子分公司（含控股）、业务部门与IT部门和IT部门内部各岗位的责任、权力、利益。责、权、利分清后，对IT部门的约束力、执行力等会有很大的提高，其中IT管控对于组织工作的健康有序开展起到了重要作用。

一、IT管控对于IT工作的重要意义

1.IT管控能保障IT组织的稳定

有效的IT管控对IT组织的控制最主要是职责分离、合理设岗。要求完善人员管理与控制，能清晰定义IT部门相关岗位，能明显一个人能同时给予多少相关权限，从而清楚规划IT部门必要的岗位人数，最大程度保障IT组织的稳定。

2.IT管控能确保IT工作的有序

IT管控必然要求将建立完善的IT流程体系，制定完备服务目录。信息化部门利用服务台统一接收各种流程输入的表单，根据服务级别协议（SLA）和操作级别协议（OLA），对相关需求或故障，安排不同的技术力量，进行针对性的解决，从而确保了IT工作的有序。

3.IT管控能促使IT工作强度的均匀

信息化日常运维工作量不均衡是因为有较多的突发事件，如信息基础设施故障和信息系统故障等。要使运维工作量比较均衡，就要降低突发事件概率，使忙的时间少下来。IT管控能就是要让“闲”的时间忙起来，要求IT部门各岗位在日常中加强监测，重视巡检，加固系统，防患于未然；同时加强学习和演练，提高处置各种事件的能力。这样，一旦发生突发事件，也可以有条不紊地进行处置，实现信息化日常运维工作的“削峰平谷”，强度均匀。

4.IT管控能确保IT风险的可控

IT风险主要包括IT技术风险和IT项目投资风险。随着业务系统访问、网络应用行为日益频繁，网络被攻击、数据被篡改、设备被入侵和信息被泄密等IT技术风险的压力也日益增大。IT管控提供管理程序、技术和保障措施，确保信息技术服务的可用性，能适当地防御不正当操作、蓄意攻击或自然灾害，并从这些故障中尽快恢复；确保拒绝未经授权的访问。IT管控体系要求IT项目投资必须事先经业务部门和IT部门共同把关，再报公司管理委员会决策，这样能确保IT项目既符合业务需求，又符合IT技术规范，降低了IT投资的风险。万物皆有规律，IT风险防范也是有规律可以把握，良好的IT管控能很好控制IT风险。

二、IT管控在企业信息化中的运用

从行业信息化发展战略出发，从企业自身发展战略出发，作为信息化建设到一定规模的企业，必然要求企业信息化建设的重点则从技术转向管理，要求信息化工作必须精益求精，加强管控，夯实基础，强化运作。

构建完整的IT管控体系是一项复杂的系统工程，涉及到人、硬件、软件，以及管理层面的IT服务管理、风险管理和成本管理多个方面。因此，必须从更高的角度，更宽的视野，更新的理念去构建有效的IT管控体系。

1.选择合适的IT管控模型

现今企业IT管控体系的国际标准，主要有COBIT、ITIL、ISO20000等，选择构建一个既满足企业的业务需要，又能够符合国际标准的IT管控体系，是信息化工作的成功保障。就如笔者，结合企业实际、IT部门现有实际运作流程和知识框架，选择以ITIL主要标准，采取联邦制IT决策方式作为笔者企业的IT管控模型。

（一）IT部门内部运作的管控

要建立制度化、流程化工作机制，精益求精，稳步推进。根据ITIL/ ITSM（IT服务管理）的标准，继续完善IT服务目录，对各子服务定义不同的SLA（服务级别协议），建立服务台，统一受理所有的流程输入，建立IT服务管理体系，体系应包含事件管理、问题管理、变更管理、配置管理、管理和服务级别管理。根据IT技术标准和行业具体技术规范要求，建立先进、稳定、安全的信息通讯技术基础设施（主要包括机房和信息化网络），并完善巡检、监控等基础设施管理机制。

（二）企业信息化运作的管控

首先是加强对信息化项目的管控，必须坚持统一性、系统性、规范性、安全性原则，必须坚持“事先技术把关，事中实施监督，事后运行维护”的原则。即项目涉及的IT部门的责任或义务的，IT部门必须管控到位。事先对项目立项相关技术规范进行把关，确保项目符合行业相关技术规范；事中对项目供应商（软件开发商）安装实施等服务进行严格监督，确保项目在技术上能顺利开展，保障设备（系统）能正常上线运行；事后必须将设备或系统运维维护好，确保设备（系统）安全、稳定运行。其次是加强对信息化资产的管控。加强对计算机设备调控，优化各终端计算机的配置。强化IT部门对软件资产的归口管理职能，坚决贯彻落实软件正版化相关要求，统一采购正版成品软件，规范信息系统的登记、领用、运维和报废。规范IT设备维修保养机制，延长IT设备使用寿命。第三是加强对信息系统用户的管控。建立操作上岗证机制，加强培训，提升其规范操作水平，采取检查监督等措施，促使其能正确操作，规范操作。

（三）信息安全的管控

信息安全管控体系是一项复杂的系统工程，必须采用系统工程的观点和方法，分析信息安全问题及具体措施。结合企业实际，就是要严格贯彻相关信息安全要求，做好信息化安全规划，业系统信息安全规划，建立覆盖日常维护，变更管理，安全监控的信息安全体系，将信息安全审计作为信息安全保障中的一项重要工作。建立三个长效保障机制：构建信息安全文化氛围、信息安全奖惩机制和内部信息安全审计机制，以确保信息安全管控能够有效长久运行。

2.利用合适先进工具软件强化IT管控

对信息化日常运作层的管控，必须利用合适先进的工具软件对信息化工作流程、设施和信息模型进行全面管控。引进先进的IT运维管理系统，建立IT服务管理监控平台，管理IT服务所涉及的各个流程，监控信息相关基础设施和中间件等。利用现有或将要购买的信息管理软件，如桌面管理和软件系统，综合网管系统，接入管理系统和数字认证（CA）等，建立信息系统综合管理系统，管理整个信息系统的设备、软件等资产，管理桌面、应用等功能单元的运行，以及管理整个设备网络和网络上接入的各种系统的正常运行。

追根溯源，建立有效的IT管控体系，最终目的是为了提升IT部门服务水平，提高用户的满意度，发展有效益的企业信息化。随着行业信息化的发展和实践的深入，新技术的不断应用，企业的信息化需求不断变化，IT部门只有建立基于企业治理上的IT管控体系，才能适应不断变化发展的信息化，为企业企业发展提供重要的信息支撑。

参考文献

[1] [荷兰]JanvanBon主编，章斌译：基于ITIL的IT服务管理基础篇[M].北京：清华大学出版社，2009.

[2] [荷兰]JanvanBon主编，刘向晖译：IT管理框架[M].北京：清华大学出版社，2009.

[3] 王仰富，刘继承：中国企业的IT治理之道[M].北京：清华大学出版社，2010.

篇4

为了保障企业的信息安全，必须建立一个企业信息安全体系。信息安全体系包含信息安全策略、信息安全组织、信息安全技术和信息安全建设与运行四部分内容（如图1所示），四者既有机结合、又相互支撑。企业的信息安全体系运作就是企业根据安全策略，由安全组织（或人员）以安全技术作为工具和手段进行操作，来维持企业网络的安全运行，从而使网络安全可靠。

安全体系的普遍问题

当前大多数企业的信息安全体系普遍存在以下四方面的问题：

信息安全策略方面：许多企业没有统一的安全运行体系；公司的安全策略没有正式的审批和过程，没有公司的行政力度进行保障，使得安全策略在企业内的执行缺乏保障；缺乏规范的机制定期对信息安全策略、标准制度进行评审和修订。

信息安全组织方面：缺乏完整、有效、责权统一的专门的信息安全组织，只是配有少量的兼职安全人员。信息安全工作没有明确的责任归属，工作的开展与落实有困难；缺少信息安全专业人员，缺乏相应的安全知识和技能，安全培训不足；缺乏对于全员的信息安全意识教育，桌面系统用户的安全意识薄弱。

信息安全技术方面：用户认证强度不够；应用系统安全功能与强度不足；缺乏有效的信息系统安全监控与审计手段；系统配置存在安全隐患；网络安全域划分不够清晰，网络安全技术的采用缺乏一致性。

信息安全建设与运行方面：没有建立起完善的IT项目建设过程的安全管理机制，应用系统的开发没有同步考虑信息安全的要求，存在信息安全方面的缺陷；日常的安全运维工作常处于被动防御状态；缺乏明确的检查和处罚机制，多数企业在运维管理方面缺乏统一的安全要求和检查；缺乏应急响应机制；对已有安全设施的维护、升级和管理不到位。

面对以上种种问题，企业必须认真考虑下列问题: 企业如何建立信息安全策略体系？企业信息安全组织如何建立？企业信息安全技术是否有效可靠？企业信息安全建设与运行是否有完整的制度保障？要解决这些问题，企业应充分利用成熟的信息安全理论成果，设计出兼顾整体性、具有可操作性，并且融策略、组织、运行和技术为一体的信息安全保障体系，保障企业信息系统的安全。

信息安全策略体系

信息安全策略体系规划为三层架构，包括信息安全策略、信息安全标准及规范、信息安全操作流程和细则（如图2所示），涉及的要素包括信息管理和技术两个方面，覆盖信息系统的物理层、网络层、系统层、应用层四个层面。

技术安全体系

在IAARC信息系统安全技术模型中，包含了身份认证、内容安全、访问控制、响应恢复和审核跟踪五个部分，当前主要的信息安全技术或产品都可以归结到上述五类安全技术要素（如图3所示）。

充分利用信息安全的技术手段(包括身份认证、访问管理、内容安全、审核跟踪和响应恢复等五种保护措施)，同时，结合信息安全所保护的对象层次，以及目前主流的信息安全产品和信息安全技术，完善企业信息安全技术体系框架。

整个企业信息安全技术体系的总体框架如图4所示：

物理层安全

主要包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。

网络层安全

要建立注重安全域划分和安全架构的设计。可以根据信任程度、受威胁的级别、需要保护的级别和安全需求，将网络从总体上分成四个安全域，即公共区、半安全区、普通安全区和核心安全区。针对不同的安全区域采用不同的安全防范手段。

安全边界的防护。边界是不同网络安全区域之间的分界线，是不同网络安全区域间数据流动的必经之路。安全区域的边界防护是根据不同安全区域的安全需要，采取相应的安全技术防护手段，制定合理的安全访问控制策略，控制低安全区域的数据向高安全区域流动。

针对VPN的接入安全控制。用户远程VPN接入主要用于员工出差时访问内部网络的需求和各企业小规模分支机构访问内部网的需求。VPN（虚拟专用网）是为通过一个公用网络（通常是互联网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

网络准入控制。网络准入控制系统是通过对网络用户合法身份的验证以及对网络终端计算机安全状态的检测和评估，决定是否允许这台网络终端计算机接入企业网络中。若不符合制定的准入策略，将其放入隔离区以修复，或仅允许其有限地访问资源。降低非法用户随意接入企业网和不安全的计算机终端接入企业网对网络安全带来的潜在威胁。

做好网络设备登录认证。建立集中的网络设备登录认证系统，用于对网络设备维护用户的集中管理，认证用户的身份，决定其是否可以登录到网络设备;通过定义不同级别的用户，授权他们能执行的不同操作，记录并审计用户的登录和操作。

系统层安全

做好系统主机的入侵检测，针对系统主机的网络访问进行监测，及时发现外来入侵和系统级用户的非法操作行为；要做好系统主机的访问控制，系统主机访问控制提供给系统安全管理员最有效的方法，从用户登录安全、访问控制安全、系统日志安全等方面加入安全机制;要做好系统主机的安全加固，定期对服务器操作系统和数据库系统进行安全配置和加固，在不影响业务处理能力的前提下对系统的配置进行安全优化，以提高系统自身的抗攻击性，消除安全漏洞，降低安全风险；做好主机的安全审计工作，提供全面的安全审计日志和数据，提升主机审计保护能力，对审计数据的访问进行严格控制，加强对审计数据的完整性保护。

应用层安全

随着各种各样的系统应用不断深化和普及，一些应用系统安全问题不断凸现出来。为了最大限度及时规避因应用安全问题带来的威胁，应着力抓好六个方面的工作：建立应用安全基础设施；健全应用安全相关规范；改进应用开发过程；组织关键应用安全性测试；加强应用安全相关人员管理；制定应用安全文档及应急预案。

终端层安全

加强终端电脑的安全管理。终端安全指对接入企业网络的终端设备（主要是台式计算机、笔记本电脑和其他移动设备等）进行的安全管理。内容包括终端安全策略、防病毒、防入侵、防火墙、软硬件资产管理、终端补丁管理、终端配置管理、终端准入控制以及法规遵从等内容。

备份与恢复

备份与恢复是基于安全事件发生后保证灾难所造成的损失在一个可以接受的范围内、并使灾难得到有效恢复的安全机制，包括数据级、应用级和业务级三个层次。参照国际标准Share78中定义的容灾系统层次划分，对不同等级的信息系统建立不同的备份与恢复机制。主要工作包括：开发容灾计划，通过对不同等级的信息系统容灾需求分析，确定容灾等级、RTO\RPO等容灾指标、备份策略、恢复性测试要求等，设计容灾方案；备份与恢复基础设施的建设，包括建立异地灾难恢复系统和重要数据的本地备份设施。

信息安全组织

信息安全组织的角色与职责要界定清晰。信息管理层进行适当的职责划分，能合理阻止关键流程的破坏。同时应加强全员的信息安全意识教育，提高员工整体信息安全意识。建立安全组织与定义安全职责是密不可分的两项工作，组织与职责的清晰定义可以有效地促进信息安全各项工作的进行，包括信息安全教育与培训以及人员安全。企业要建立的信息安全组织要包含决策、管理、执行与监管四个层面。

信息安全教育与培训要覆盖公司各个层面的人员，提升整个企业人员安全的水平，同时人员安全的相关工作在制度和机制方面为教育与培训提供有效保障。

篇5

【关键词】 信息系统； 审计； 审计目标

2007年2月国务院国有资产监督管理委员会和国务院信息化工作办联合印发了《关于加强中央企业信息化工作的指导意见》，加快了国有企业信息化建设的步伐。国有企业审计是中国特色社会主义国家审计的重要组成部分。由于企业与公共部门在内部控制、管理和治理方面的差异，导致了企业信息系统审计与公共部门信息系统审计的不同特点。

一、增强国有企业信息系统的可信性

审计机关的审计目标取决于法定要求。根据《中华人民共和国审计法》的规定，审计机关对国有企业财务收支的真实、合法、效益，依法进行审计监督。显然，真实性是国有企业审计的目标之一。信息系统审计是国有企业审计的重要组成部分。国有企业审计的总体目标，决定了国有企业信息系统审计的目标。国有企业审计的真实性目标，必然要求国有企业信息系统提供真实性的信息，这意味着，审计机关的国有企业信息系统审计必须把真实性作为审计目标之一。

根据相关法律的规定，注册会计师也可以对国有企业进行审计。根据我国公司法第165条的规定，“公司应当在每一会计年度终了时编制财务会计报告，并依法经会计师事务所审计。”而且，2008年10月通过的《中华人民共和国企业国有资产法》第六十七条明确规定，“履行出资人职责的机构根据需要，可以委托会计师事务所对国有独资企业、国有独资公司的年度财务会计报告进行审计，或者通过国有资本控股公司的股东会、股东大会决议，由国有资本控股公司聘请会计师事务所对公司的年度财务会计报告进行审计，维护出资人权益。”大家知道，依据注册会计师执业审计准则的规定，会计师事务所对企业财务报表审计的目的是“提高财务报表预期使用者对财务报表的信赖程度。”①这说明，注册会计师国有企业审计的目标是要求财务报表提供的信息具有可信性。注册会计师所审计的国有企业财务报表中的信息是由国有企业的信息系统产生形成的，因而必须对信息系统进行审计。注册会计师对国有企业财务报表审计的可信性目标，决定了注册会计师对国有企业信息系统审计的可信性目标。

同样的审计对象，不同的审计主体，导致了两种不同的国有企业信息系统审计目标。从上述分析不难发现，无论是审计机关还是注册会计师对国有企业进行审计，其中对企业信息系统的审计都是不可或缺的重要组成部分。根据审计法的规定，审计机关对国有企业信息系统审计的目标是真实性。而根据注册会计师执业审计准则，对国有企业信息系统审计的目标是可信性。那么，什么是真实性？什么是可信性？这两种目标之间有什么样的联系和区别？为什么说审计机关应当把增强国有企业信息系统可信性作为审计目标呢？

（一）真实性与可信性的基本涵义

我国审计法强调真实性，根据2010年9月颁布的中华人民共和国国家审计准则（以下简称国家审计准则）的规定，“真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度。”那么，什么是真实性呢？真实性只是对财政财务收支及有关经济活动信息质量的最低要求。如果会计信息是真实的，但是不够完整或者披露不及时，仍然不能满足信息使用者的需要，甚至会导致错误的投资决策。事实上，就真实性本身而言，由于会计估计、核算方法等因素的影响，会计信息的真实性也只是相对的，而不是绝对的。所以，把真实性作为审计目标，具有一定的局限性。所谓可信性，从国际审计准则第200号（ISA200）可以看出，当编制的财务报表公允表达（presented fairly）或真实公允（true and fair）时，它才是可信性的。从字面上讲，公允（fair）或公平的要求，强调了财务报表各种使用者之间的利益平衡。从理论上讲，公允表达或真实公允的概念比真实性概念具有更多的内涵，涉及会计适当性、适当披露及审计责任等概念。在国际审计准则第200号（ISA200）中，公允表达是指财务报表是否在所有重大方面按照适用的财务报告框架编制，“公允”还意味着超出财务报告框架所要求披露范围的必要性，以及在极端情况下必须偏离财务报告框架的可能性。适用的财务报告框架，主要是指适用的会计法律法规、会计准则、会计制度等。大家知道，我国会计法强调“保证会计资料真实、完整”。根据会计法的要求，我国的财务报表不仅要具有真实性，而且还要具有完整性。总的来说，可信性并不否认真实性，真实性是可信性的必要前提之一，但真实的并不一定是可信的，可信性的内涵更加丰富，真实性是对财务信息质量的最低要求，可信性反映了对财务信息质量更高的要求。

（二）可信性目标反映了注册会计师审计发展的新阶段

一般认为，受社会需求变化、自身技术手段及审计风险等因素的影响，注册会计师审计目标的发展演变至今经历了四个阶段，即20世纪30年代之前的查错纠弊阶段、30年代中期至80年代验证会计报表真实公允阶段、80年代至90年代中期真实公允与查错纠弊并重阶段，及90年代后期以来的增强信息可信性阶段。虽然同为注册会计师审计的目标，然而从历史发展演变的角度看，真实性只是注册会计师审计的早期目标，当前注册会计师审计准则中的可信性目标反映了注册会计师审计的最新发展，是更高级发展阶段的目标。

（三）可信性目标比“真实公允”具有更加广泛的适用性

20世纪90年代后期，传统的财务报表审计成为更为广义的概念――“保证业务”（Assurance Service）的一个组成部分。我国注册会计师协会译为“鉴证业务”②。2004年国际会计师联合会了《国际保证业务框架》，2005年1月1日生效。2006年我国制定了《中国注册会计师鉴证业务基本准则》，2007年1月1日起施行。鉴证业务是指注册会计师对鉴证对象信息提出结论，以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象与鉴证对象信息具有多种形式，主要包括：当鉴证对象为财务业绩或状况时（如历史或预测的财务状况、经营成果和现金流量），鉴证对象信息是财务报表；当鉴证对象为非财务业绩或状况时（如企业的运营情况），鉴证对象信息可能是反映效率或效果的关键指标；当鉴证对象为物理特征时（如设备的生产能力），鉴证对象信息可能是有关鉴证对象物理特征的说明文件；当鉴证对象为某种系统和过程时（如企业的内部控制或信息技术系统），鉴证对象信息可能是关于其有效性的认定；当鉴证对象为一种行为时（如遵守法律法规的情况），鉴证对象信息可能是对法律法规遵守情况或执行效果的声明。不难看出，传统的财务报表审计只是鉴证业务中的一种。鉴证标准随着鉴证对象的不同，也从财务报表审计中按照适用的财务报表编制框架，如编制财务报表所使用的会计准则和相关会计制度，扩展到单位内部制定的行为准则、绩效水平等方面。从其定义看，鉴证业务的目的在于增强除责任方之外的预期使用者对鉴证对象信息的信任程度。真实公允目标是针对财务报表审计的审计目标，可信性目标在概念外延上具有更加广泛的适用性。可信性目标不仅适用于对财务信息的可信性，而且还适用于非财务信息（绩效信息）的可信性。对财务报表来说，如果它是真实公允的，即在所有重大方面是按照适用的财务报表框架编制的，它就是可信性；对于其他鉴证信息来说，如果它是符合适用的鉴证标准，就是可信性的。企业内部的信息系统，现在已不仅仅是财务信息系统，还包括各种业务和管理信息系统。与此同时，为满足企业的业务需求，信息系统所提供的信息也不局限于财务信息，而且还包括许多非财务信息。所以，在国有企业信息系统审计中，把可信性作为国有企业信息系统审计的目标比真实性目标更加符合企业信息化发展的客观要求。

（四）可信性目标反映了审计理论的深化和发展

可信性不是一个孤立的术语，它是新审计理论（或一组新的相互联系的审计概念）中的一个关键性概念。随着注册会计师的业务从传统的财务报表审计发展到鉴证业务，传统的审计理论也得到了深化和发展。大家知道，审计三方关系是指审计人、被审计人、审计授权或委托人之间的关系。传统的受托责任论，即审计动因论，是建立在传统的审计三方关系之上的。然而，在我国现行的《注册会计师鉴证业务基本准则》中给出了一种新的审计三方关系，即注册会计师、责任方和预期使用者。在新的审计三方关系中，被审计人与审计授权或委托人之间责任关系的含义更加丰富，除传统的受托责任关系外还有其他种类不带委托性质的责任关系③。在新的审计三方关系中，预期使用者应包括企业所有的利益相关者，除了传统受托责任关系中的股东外，还应包括经营者、员工、顾客、供应商、债权人、潜在的投资者、监管层、竞争者等。聘请注册会计师的通常是预期使用者或其代表，但也可能是责任方。责任方、预期使用者和注册会计师三方之间的关系，可以看作是信息提供者、信息使用者和信息可信性的保证者之间的关系④。增强信息的可信性，实际上是减少了信息提供者与预期使用者之间的信息不对称，鉴于预期使用者的广泛性，在市场经济条件下，将有利于完善市场机制，提高市场资源配置效率，从而拓展了审计的社会功能。可信性不是一个空洞的概念，鉴证对象信息是否具有可信性，需要执行一定的业务程序。审计师在收集证据的基础上，依据一定的标准，检查责任方的鉴证对象信息在所有重大方面是否符合适当的标准后，才能为鉴证对象信息的可信性提供一定程度的保证，从而提供给预期使用者。鉴证业务的保证程度被细分为合理保证和有限保证，鉴证对象信息被划分为财务信息和非财务信息，其中财务信息被进一步细分为历史财务信息和预测性财务信息。可信性概念是这些新审计理论中的关键性概念之一，相比之下，真实性概念在新的审计理论中却没有相应的理论地位。

（五）可信性目标反映了国家审计的发展趋势

在世界审计组织（INTOSAI）的道德准则（Code of Ethics）中，强调了信赖（trust）、信任（confidence）、信誉（credibility）对于审计机关的至关重要性。在南非审计署1911至2011年百年纪念的纪念品和网站首页上有一句格言：“Auditing to build public confidence”，即“审计旨在建立公共信任”。我国审计署2011年7月15日印发的《审计署关于深化经济责任审计工作的指导意见》中提出，要确保经济责任审计结果的可信、可靠和可用。刘家义审计长提出，国家审计是国家治理的一个组成部分。孔子曰：“足食，足兵，民信之矣”，“民无信不立”，说明了信任、守信在国家治理中的重要性。我们知道，“诚信友爱”是构建社会主义和谐社会的基本要求之一。国家审计可以增强政府的公信力，增强整个社会的诚信。从国家治理的角度看，可信性目标比真实性目标更好地体现了国家审计在国家治理中的作用。

经过上述真实性和可信性两种审计目标含义的对比，不难发现，虽然真实性目标是国有企业审计的传统目标之一，但是可信性比真实性的涵义更为丰富，可信性目标中不但包含了真实性目标，而且可信性目标要求信息系统提供更高质量的信息。两种目标都对信息系统提供的信息质量提出了要求，国家审计对信息质量的要求不应低于注册会计师审计。因此，笔者认为，尽管现行的审计法规定了国有企业信息系统审计的真实性目标，但是，从理论上讲以及从未来发展趋势看，审计机关应当选择可信性作为国有企业信息系统审计的目标，即国有企业信息系统审计应当促进企业信息系统提供可信的信息。

二、促进国有企业信息系统的遵循性

最高审计机关国际组织（INTOSAI）在审计基本原则（ISSAI-100）中，把政府审计业务分为两大类，即合规审计（regularity audit）和绩效审计（performance audit），并制定了相应的审计执行指南，即财务审计执行指南（Implementation Guidelines on Financial Audit）、遵循审计执行指南（implementation guidelines on compliance audit）和绩效审计执行指南（Implementation Guidelines on Performance Audit）。在这个准则指南框架中，合规性审计包括了财务审计和遵循性审计。遵循性审计是指对公共部门实体的活动是否与相关法律法规及授权要求相一致的审计。在《国际审计准则第250号――财务报表审计中对法律法规的考虑》（ISA250）中，非遵循（non-compliance），是指被审计单位不履行法律法规责任或者违反法律法规的犯罪，故意地或者非故意地，与执行的法律或法规对立的行为。在COSO内部控制框架中，遵循性（compliance）作为内部控制的目标之一，是指符合适用的法律法规。由此看来，在上述准则指南中，遵循性，就是我国国家审计中的合法性。但是，在本文中，作为国有企业信息系统审计的目标之一，遵循性与合法性不同。

为满足业务需求，对信息系统提供的信息有一般性的要求，在IT治理框架COBIT4.1中，这些要求也被称之为信息标准（information criteria）。遵循性（compliance）作为其中的标准之一，是指“涉及业务流程与所需遵守的法律、法规及合同约定之间的符合程度的属性，即外部的强制要求和内部政策的遵循性。”⑤在本文中，遵循性作为国有企业信息系统审计的目标之一，采用COBIT4.1中遵循性的概念，即国有企业信息系统的设计、建设、运行和监控不仅要符合来自企业外部的强制性要求（合法性），而且还应符合国有企业内部制定的各种规定的要求。

我国审计机关对国有企业的财务收支的真实、合法和效益，依法进行审计监督。合法性是国有企业审计的审计目标之一。作为国有企业审计的重要内容，信息系统审计应当促进国有企业信息系统的合法性。那么，为什么我们要把国有企业内部制定的各种规定同时也纳入国有企业信息系统审计的目标呢？企业内部如何制定关于其信息系统的规定是企业自己的事情，似乎审计机关不应干预，但是，效益性也是国有企业审计的审计目标之一。当信息系统不符合国有企业某些内部规定的要求时就会影响到企业效益，这些内部规定，如内部控制、管理和治理等，也应纳入国有企业信息系统审计的遵循性目标范围。

三、改善国有企业信息系统的绩效性

绩效性目标是企业信息化不断发展的产物。我国企业信息化建设已经发展到了关注绩效性的阶段。绩效性目标也是IT管理和IT治理的重要内容。IT管理和IT治理的国际标准或良好实务，为开展信息系统绩效审计提供了审计标准。

（一）企业信息系统绩效性的概念

当企业信息化发展水平达到一定程度后，信息系统的绩效问题逐渐引起了人们的关注。在企业信息化的早期阶段，信息系统主要应用于企业的财务会计领域，这时人们对信息系统关注的焦点主要是信息系统的可信性和遵循性问题，相应的措施主要集中在内部控制方面，强调信息系统的一般控制和应用控制。随着企业信息化水平的不断提高，信息系统在企业中的应用范围逐渐从财务会计领域扩展到整个业务领域和管理领域，与此同时，信息系统的建设投入和运行成本显著提高。这时人们发现，大量的信息化投入并不一定能够带来预期的收益，而且还带来巨大的潜在风险，个别企业甚至因高投入造成利润下降或财务危机，有的企业因业务流程改造滞后，还会导致管理混乱。在这种情况下，人们对信息系统关注的焦点，逐渐从“投入”转向“产出”，从技术和内部控制问题转向管理和治理问题，在企业内部出现了专门的IT管理部门，IT管理和IT治理逐渐从企业的一般管理和治理中独立出来，而“绩效”是描述信息系统投入产出、管理和治理的核心概念。

信息系统的绩效性是指利用IT资源提供企业信息服务的经济性、效率性和效果性。为它的利益相关者提供价值是企业存在的基本前提。企业信息系统的目的在于利用IT资源，通过IT流程，提供企业信息服务，以满足业务需求。信息系统要实现的绩效目标必须与企业的业务需求或业务目标相一致。

（二）绩效性目标的可行性

从我国企业信息化发展阶段看，目前信息系统的绩效问题已经成为关注的焦点。2011年2月，工信部电子一所和用友软件股份有限公司联合了《2010年中国企业信息化指数调研报告》。该报告将中国企业的信息技术应用分为四个阶段，分别为基础应用阶段、关键应用阶段、扩展整合及优化升级应用阶段以及战略应用阶段，如图1所示。

该报告认为，目前我国企业信息化总体上处于由基础应用和关键应用向扩展整合与优化升级过渡阶段。报告的主要结论之一是，2010年“信息技术应用范围的变化主要体现在应用广度和深度两方面，企业基本完成了信息技术在各业务领域的应用覆盖，已逐渐开始深度关注企业业务发展需求，着力提升信息技术的应用价值。”提高信息系统的绩效，也已经成为我国企业信息化深度发展的方向。把绩效性作为国有企业信息系统审计的目标，符合我国企业信息化发展的现状，在现实中具有可行性。

（三）绩效性是IT管理和IT治理的重要内容

IT管理目的在于如何降低成本，以更好的弹性及更快的响应速度，向组织内外部顾客提供高质量的IT服务，提供顾客的满意度。IT管理的目标就是要追求信息系统的绩效性，即经济性、效率性和效果性。

信息系统的绩效性也是IT治理追求的目标之一。在IT治理国际标准ISO/IEC38500（组织的信息技术治理）中规定了“绩效”原则，即IT应适合于支持组织的目的并提供服务，服务等级和服务质量应满足当前和将来的业务要求。IT治理框架COBIT4.1有四个基本特征：以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。在该框架中，绩效测评是IT治理的关键，并且指出，“多项调研已经表明，IT成本、价值和风险管理缺乏透明是驱动IT治理最重要的一个因素。相对于其他关注的领域，提高透明度主要通过绩效测评来实现。”⑥

（四）绩效审计的参照标准

IT管理和IT治理从企业管理和治理中独立出来，为开展单独立项的信息系统绩效审计创造了条件。就像企业审计要关注被审计单位的管理和治理那样，企业信息系统审计要关注被审计单位的IT管理和IT治理情况。IT管理和IT治理的国际标准或良好实务，则为开展信息系统绩效审计提供了审计标准，也可以作为向被审计单位提出改进建议的参照标准。常见的IT管理和IT治理国际标准有：ISO/1EC20000（信息技术――服务管理）、ITIL（信息技术基础库）、ISO/IEC38500（组织的信息技术治理）、COBIT4.1（信息及其相关技术控制目标）等。

四、维护国有企业信息系统的安全性

维护国有企业信息系统的安全，对于维护国家经济安全至关重要。随着信息技术的发展和应用，人们对信息系统安全性的认识也不断深化。正确理解信息安全的涵义，对于开展信息系统安全性审计具有重要的意义。

（一）安全性目标的重要性

根据1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》，维护计算机信息系统的安全性，就是要保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行⑦。从这里可以看出，信息系统的安全包括：信息本身的安全、系统设施设备的安全和系统运行环境的安全三个层面。就三个层面的关系而言，信息是核心，系统设施设备及其运行环境是保障，信息本身的安全是目的，系统设施设备的安全及其运行环境的安全是手段。

国有企业信息系统安全是国家信息安全和经济安全的重要组成部分。为了保护中央企业信息系统的安全稳定运行，2010年12月，公安部和国务院国有资产监督管理委员会联合颁布了《关于进一步推进中央企业信息安全等级保护工作的通知》。据统计，截至2010年5月，已有89.6%的中央企业开展了信息安全等级保护工作，中央企业总计建成投入使用的信息系统有16 092个，已定级14 539个，占比90.3%；应向公安机关备案的系统（二级及以上）有11 370个，已备案8 113个，占应备案系统的71.4%；列入2010年定级计划的有1 598个。中央企业在公安机关备案的信息系统总数约占全国信息系统备案总数的21%，第三、四级重要系统约占全国重要信息系统备案总数的30%⑧。这些数据表明，国有企业信息系统已成为国家信息安全的重要组成部分。《中华人民共和国企业国有资产法》第七条规定，“国家采取措施，推动国有资本向关系国民经济命脉和国家安全的重要行业和关键领域集中，优化国有经济布局和结构，推进国有企业的改革和发展，提高国有经济的整体素质，增强国有经济的控制力、影响力。”由于国有企业集中在国民经济命脉和国家安全的重要行业和关键领域，如电信、电力、石油、石化等重要行业，其重要信息系统已成为国家关键基础设施，是国民经济命脉之命脉，保护国有企业信息系统的安全稳定运行，对于维护国家经济安全和社会稳定具有重要的意义。

（二）信息安全概念的演变

根据我国计算机信息系统安全保护条例中的定义，计算机信息系统的安全性，包括信息本身的安全、系统设施设备的安全和支撑环境的安全。其中，信息本身的安全，即信息安全，是信息系统安全的核心和目的。那么，究竟什么是信息安全呢？

人们对信息系统安全性的认识经历了一个不断深化的发展过程。20世纪80年代美国国防部制定的《可信计算机系统评估准则TCSEC》把保密性当作信息安全的重点。20世纪90年代初由英、法、德、荷四国制定的《信息技术安全评估准则ITSEC》开始把完整性、可用性与保密性作为同等重要的因素。自此，信息安全的概念，即信息的保密性、完整性和可用性，逐渐被普遍接受。在2002年的国际标准ISO/IEC17799：2000《信息技术――信息安全管理业务规范》中明确规定，信息安全，是指保护：“保密性（confidentiality），即确保信息只能够由获得授权的人访问；完整性（integrity），即保护信息的正确性和完整性以及信息处理方法；可用性（availability），即保证经授权的用户可以访问到信息，如果需要的话，还能够访问相关资产。”然而，在2005年的该国际标准修订版即ISO/IEC17799：2005中，信息安全的定义，包括了七种安全特性：信息的保密性（confidentiality）、完整性（integrity）、可用性（availability）及其他属性，如真实性（authenticity）、责任性（accountability）、不可抵赖性（non-repudiation）、可靠性（reliability）等，而且，这种修订后的信息安全定义，被2007年的国际标准ISO/IEC27001（《信息安全管理体系――规范与使用指南》）引用。在学术界，有人认为，信息安全的特性还应进一步包括可控性（controllability）、可预测性（predictability）、可审计性（auditability）、遵循性（compliance）等。

随着信息技术的发展与应用，信息安全的内涵越来越丰富，从最初的信息保密性发展到保密性、完整性和可用性，进而又发展到相关的真实性、责任性、抗抵赖性、可靠性等。相应地，对企业信息安全的考虑，也从最初关注企业信息安全技术层面，发展到关注企业信息安全控制、管理和治理等层面。

（三）正确理解信息安全涵义需要注意的几个问题

1.信息安全与信息保密不同。从信息安全概念的涵义可以看出，信息保密与信息安全是两个不同的概念，信息安全比信息保密的涵义更加丰富。尽管我国新修订的保密法对信息系统的保密问题作出了规定，但是保密法不能代替信息安全法。目前，我国对信息安全的立法仍然比较滞后，尚无专门的信息安全法。信息安全法是国家信息安全保障体系不可或缺的组成部分。

2.微观信息安全与宏观信息安全的联系。企业信息系统的安全离不开系统运行环境的支撑，系统环境包括物理环境和社会环境。从社会环境看，主要是指有关信息安全法律法规、安全意识、人才培养等。这就是说，微观层面单个组织的信息系统安全，还离不开宏观层面国家信息安全保障体系的构建。与此同时，微观层面的信息安全是基础，没有微观层面的信息安全，也就没有宏观层面的信息安全。

3.授权管理的重要性。信息安全的概念有三个核心涵义：保密性、完整性和可用性。这三个核心涵义都涉及一个共同的要素，即“授权”。保密性意味着只有获得授权才能访问；完整性意味着没有授权不得对信息进行删除或修改；可用性意味着拥有授权者随时可以使用。这表明，授权管理是信息安全管理的一项关键内容。信息系统是一种人机系统，授权管理主要涉及对人员行为的安全管理。

4.安全性目标与遵循性、绩效性、可信性目标的联系。从信息安全的涵义可以看出，信息系统的安全性目标不同于其遵循性、绩效性和可信性目标，但是，安全性与它们之间又是相互联系的。首先，安全性必须满足遵循性的要求，信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下，特别是各种信息安全法律法规、保密法，以及知识产权、个人隐私权方面的法律法规；其次，信息安全没有绝对的安全，所有的信息安全都是风险可接受条件下的安全，高水平的安全保护需要大量的投入成本，因而需要在成本、收益、风险和安全之间进行权衡，即安全性与绩效性的联系；最后，在信息安全技术层面，可信计算技术是信息安全技术的一个重要研究领域，从而表明安全性与可信性之间也有内在的联系。

笔者认为，目前国际上制定的有关信息安全等级评估、信息安全风险评估、信息安全管理体系等方面的国际标准，无论是在理论概念还是在操作实务方面，对于我国审计机关开展信息系统审计都具有重要的借鉴价值。这些国际标准或良好实务可以作为审计的参照标准，同时也可以作为审计机关向被审计单位提出改进信息系统安全性建议的依据。同时，在对国有企业信息系统的安全性进行审计时，还要立足我国实际，由于我国国有企业信息系统是国民经济命脉之命脉，事关国家经济安全和社会稳定，在重视企业本身信息系统安全的同时，还应当从宏观上揭示国有企业信息系统的安全风险，维护国家经济安全。

最后应当指出的是，在审计实践中，根据具体情况，单个审计项目可以选取上述可信性、绩效性和安全性目标中的一个或多个作为审计目标。

篇6

1信息安全总体设计及实践

1.1网络安全要求及问题

1.1.1信息安全的最终实现目标为应对市场竞争，提高企业生产经营效率，满足企业信息化建设的需要，汽车制造业应借鉴国内先进的信息技术和安全管理经验，建立一套企业信息化办公网络，并逐步加强网络传输的安全建设，和网络安全管理手段。以保障企业信息化的稳定运行。2.1.2系统和应用的脆弱性企业信息化办公网络建成后为企业经营和管理带来了极大的便利，生产经营效率明显提高。但同时引发了很多的技术问题：跨省专线费用太高，且链路发生故障之后的报修、排故、恢复程序极其繁杂，严重影响效率；无法满足移动办公的需求，无法满足上下游供应商的使用需求；与互联网连接时常受到攻击导致业务中断；内部人员未经授权许可访问互联网导致病毒攻击内部办公网等等。

1.1.3常见网络风险通过系统的网络安全技术学习，汽车制造业信息化人员应掌握企业网络信息化建设过程中大量常见的网络风险和防范手段：Backdo（各种后门和远程控制软件，例如BO、Netbus等）、BruteFce（各种浏览器相关的弱点，例如自动执行移动代码等）、CGI-BIN（各种CGI-BIN相关的弱点，例如PHF、wwwboard等）、Daemons（服务器中各种监守程序产生弱点，例如amd,nntp等）、DCOM（微软公司DCOM控件产生的相关弱点）、DNS（DNS服务相关弱点，例如BIND8.2远程溢出弱点）、E-mail（各种邮件服务器、客户端相关的安全弱点，例如Qpopper的远程溢出弱点）、Firewalls（各种防火墙及其产生的安全弱点，例如GauntletFirewallCyberPatrol内容检查弱点）、FTP（各种FTP服务器和客户端相关程序或配置弱点，例如WuFTPDsiteexec弱点）、InfmationGathering（各种由于协议或配置不当造成信息泄露弱点，例如finger或rstat的输出）、InstantMessaging（当前各种即时消息传递工具相关弱点，例如OICQ、IRC、Yahoomessager等相关弱点）、LDAP（LDAP服务相关的安全弱点）、Netwk（网络层协议处理不当引发的安全弱点，例如LAND攻击弱点）、NetwkSniffers（各种窃听器相关的安全弱点，例如NetXRay访问控制弱点）、NFS（NFS服务相关的安全弱点，例如NFS信任关系弱点）、NIS（NIS服务相关的安全弱点，例如知道NIS域名后可以猜测口令弱点）、NTRelated（微软公司NT操作系统相关安全弱点）、ProtocolSpoofing（协议中存在的安全弱点，例如TCP序列号猜测弱点）、Router/Switch（各种路由器、交换机等网络设备中存在的安全弱点，例如CiscoIOS10.3存在拒绝服务攻击弱点）、RPC（RPC（SUN公司远程过程调用）服务相关的弱点，例如rpc.ttdbserver远程缓冲区溢出弱点）、Shares（文件共享服务相关的安全弱点，BIOS/Samba等相关弱点，例如Samba缓冲区溢出弱点）、SNMP（SNMP协议相关的安全弱点，例如利用“public”进行SNMP_SET操作）、UDP（UDP协议相关弱点，例如允许端口扫描等）、WebScan（Web服务器相关安全弱点，例如IISASPdot弱点）、XWindows（X服务相关安全弱点）、Management（安全管理类漏洞）等。

1.2网络安全加固及应用拓展改造

针对上述网络风险，汽车制造业应加强自身的网络安全建设，强化网络安全管理。重点进行了四个方面的技术改造：防火墙（VPN）、上网行为管理、入侵防御及桌面管理系统。

1.2.1访问控制——防火墙部署防火墙之后，内部办公网络的IP地址与MAC地址捆绑，授权上网用户实名制管理，根据工作需要申请和审批上网时间和访问权限。内部VLAN划分，把不同部门用VLAN划分为不同的域以区分管理。重要数据库服务器和存储设备与办公网隔离。严格管理和控制内外网对数据库的访问。

1.2.2远程用户加密访问——VPN为保障企业运营效率，根据不同的工作人员分配不同的权限，可以在出差途中或家中处理紧急公务。并细化配置其VPN功能对企业内网的访问权限，可以实现工作需要，保障企业内部流程效率

1.2.3内网用户网络行为监控——上网行为管理系统通过对进程的审计可以了解到当前服务器的运行情况以及客户端的使用情况，对非法的行为可以限制非法进程（包括病毒进程、聊天软件进程等）的运行，非法软件的安全，随意的修改IP地址而导致的IP冲突等；内网用户的网络行为监控，可以极大程度地避免企业内网的安全风险。

1.2.4外网攻击的防护措施——入侵防御与防病毒采用入侵防御系统，具备7层检索比对入侵防御设备需要的高速芯片，同时具备硬件BYPASS功能和自动报警功能，当设备自身出现故障时不能中断网络运行，最大限度地避免单点故障对网络稳定运行的风险。

1.2.5桌面端管理通过桌面端管理套件核心服务器管理全网所有客户端。所有的管理数据统一保存在核心服务器后台的数据库中。通过角色管理可以使用管理套件控制台直接查看AD架构，而无需在管理套件中复制AD角色。同时可以分配管理套件权限给AD组或OU(ganizationunits)，在分配权限时支持继承的概念。

2结论

篇7

大数据是大小已经已经超出了经典的数据库软件的信息收集、存储、管理与分析的数据集合，随着其在企业中应用技术的渐趋成熟和海量数据的优势突出，在互联网发展中成为了企业经营发展的新兴工具。会计信息化是是会计职能在信息技术上的应用，在信息化社会下对财务部门管理提出了会计信息化的必然要求。数据工具的出现和在会计信息化领域的使用帮助企业在财务数据的处理和分析中能够获取横纵两方面更多的对比数据，帮助财务部门对比同期企业发展状况了解自身的企业发展水平、进度以及财务信息。伴随会计信息化在我国的全面推开和企业占比不断上升的发展势头下，互联网、云计算和大数据在各个行业和经济生活方面的应用也让会计信息化的应用在前行和升级换代。传统的会计信息化在企业追求更高的财务数据对比和财务分析的要求下已经难以再适应现代管理企业的发展需要。而与之相对比的是企业信息化系统在现代企业中的建设和大数据下以财务软件为依托的会计信息化建设趋势，在现代财务建设中逐渐显现出其数据挖掘能力下对于财务分析功能贡献支持。

互联网的到来要求了企业在经济快速发展前提下提升自身发展速度和管理水平，在经济浪潮中保持自身的优势地位和前进速度。在现代管理制度要求和企业自我提升中，在“互联网+”浪潮掀起的传统领域互联网发展下的企业自我改革风暴和大数据的相对开放领域里，企业会计信息化的应用面临着更优质的发展机遇，也面临着风险性挑战。

二、大数据下的会计信息化应用问题

我国会计信息化从相对薄弱的阶段起步，经历了快速发展时期，但从总体上来说，会计信息化基础仍然是相对薄弱的，而会计信息化在大数据下的进一步运用在大多数大数据应用企业来说也往往是刚刚起步，处在大数据与会计信息化结合应用的初期，出现了初期应用中的常见的企业和财务部门的认识理念、初期使用上信息支持不足和外部环境影响等问题。

（一）企业内部对财务开放性的排斥

在大数据应用初期，容易存在着企业管理层和外部部门对大数据内容了解不全面、认识程度不深和实际应用环境上的困惑。在我国企业发展文化中，对于企业的信息数据往往持有保守、内向和非开放的态度，与大数据下要求的数据共享理念恰好背道而驰，在观念认知上给企业财务部门会计信息化的大数据应用带来了不小的困难。尤其在财务数据的共享上，多数企业将财务信息视为重要内部保守信息，对于财务信息的共享和企业基本财务资料的对外慎之又慎，在缺乏较强推动力量和深入了解的情况下对大数据下会计信息化应用是否应当在本企业推行思虑过多，难以抉择。而大数据在发展初期，尽管趋势已经渐趋明显，但总体上对于大数据的应用和报道还欠缺，企业管理和财务的行业交流和管理交流之间没有形成大数据应用较好的氛围和风气，两者负面作用叠加交替，造成了会计信息化与大数据结合的应用发展缓慢。

（二）信息支持不足，内容单一

会计信息化的?l展在意义在要求以财务软件记账代替手工记账，将会计工作人员从繁重的重复劳动中解放出来、降低错误率以外，还要求会计信息化应当需要在建设中与企业的信息化相关联，相互作用。从企业角度获取财务数据信息内容，作为企业管理的整体分析数据的一部分。从财务部门来看，在财务数据外获取非财务信息的支持，补充财务分析内容，提供企业内部的财务角度管理分析报告，为辅助管理层进行经营决策和财务决策提供专业支持。但在实际的会计信息化应用中，大多数企业却并没有做好企业信息化与会计信息化的数据信息内容上的结合，导致了大数据应用中的信息支持不足和数据内容的单一。在缺乏企业整体信息内容支持的情况下，财务信息输入内容十分有限，为财务部门对于企业内部状况信息和具体经济业务往来中出现的实际情况、备注和问题的了解带来了很大程度上的局限性，在大数据利用下，仅仅从单调的财务数据比较分析中难以窥到企业数据全貌，无法充分发挥大数据海量信息筛选应用支持下的对企业信息全面分析的益处。在大数据筛选过程中，由于基础条件支撑信息不足，信息搜索范围过大，难以精确匹配与财务部门的确切需要信息。不仅如此，在信息支持不全面下的大数据分析还可能导致财务分析报告分析结果上的偏差，造成企业应用中的风险，或者由于大数据利用中筛选基础条件错误带来的数据分析应用在企业水土不服的情况。

（三）外部环境风险

会计信息化在大数据应用下能为企业带来会计基础功能之外的财务分析和企业比较应用等助力企业发展的益处，但互联网的开放性环境也带来了一定的外部安全性风险。一是来自财务软件的本身风险，在软件设计和应用上，在基础的编程中可能就存在着一定的漏洞，如果存在着漏洞被利用或者针对软件防护系统被破解的情况，会集体给各企业带来财务信息上的风险。二是来自互联网中针对企业本身的财务信息套取风险。以著名的互联网企业的两大巨头谷歌和微软为例，其电子邮件内容也曾经受到黑客攻击，导致公司信息安全备受质疑，给企业形象和消费者信任度带来一定程度的影响。如果企业面临着超过企业的互联网安保防护力度的黑客攻击，很可能导致企业的会计信息数据的泄露和财务资料的丢失，带来极大的企业风险和损失。

三、大数据下的会计信息化问题应对

针对企业在大数据下的企业信息化应用中考虑的因素和出现的问题，从企业管理和财务部门的角度出发，企业应当在信息化的认识理念上结合专业知识加强跨领域的交互认识。在企业内部对于信息化发展不完全的地方，完善整体化的信息发展，加强安全防护。

（一）加深对大数据与财务信息化的认识

财务部门应当首先了解行业和专业间的大数据发展情况，分析大数据与会计信息化结合利弊，听取专家讲解和建议，在大数据在会计信息化的应用上获取专业知识和实践指导，并结合自身企业情况和财务部门现状进行贴合实际的分析。尤其是对于集团企业而言，大数据内容和会计信息化的结合，有利于集团企业异地办公的协同合作，在信息共享下帮助各子公司和母公司之间借鉴财务解决方案和在相似风格下财务处理的参考，通过大数据和云服务减少人力上的非建设意义劳动，提高对账、业务分析与指导等方面的交流效率和速度，帮助财务部门会计人员加强财务分析与综合功能应用上的学习和研究。通过积极了解经济的整体发展趋势下“互联网+”时代的到来与管理的发展趋向，企业和财务部门应当逐渐认识到互联网应用于大数据工具的重要性，在经济发展和企业管理上不断自我更新发展内容，促进企业进步。

（二）企业内部信息化普及与整合

企业应当在会计信息化基础建设完成下，推进企业内部的信息化模块的统一和整体建设，形成企业内部的信息共享互通体系，帮助企业从宏观上把握整体发展信息状况。对于各个部门而言，能获取其他部门发展信息和进展情况，促进企业内部资源的优化配置，提高企业运行效率，促进各部门信息化下的交流和配合。对于财务部门而言，非财务信息的提供能帮助财务部门在会计信息和数据的处理中对于问题点及时获取业务部门的信息支持，排查可能存在的风险问题。企业应当认识到信息化在现代企业管理中的地位和作用，促进会计信息化的功能多样化发展，提高财务综合分析功能在财务部门工作中的地位和比重。以对于企业的预算管理内容为例，通过企业信息系统，财务部门能获取各部门的过往预算使用总体情况和内容，做出部门的使用效率分析和比较，提出使用改进并依据过往情况和各部门在企业信息化系统中提交的下一年度的活动计划给出财务部门的预算审批意见，在数据利用和分析中与部门协商尽可能优化的预算方案并提交至管理层审批，提高企业的预算资金使用效率，避免浪费。在资金管理上，利用数据分析直观给出支持与分析原因，加快决策速度并提高了协商效率。

篇8

摘要：随着企业信息化水平的不断提高，移动终端设备已经广泛应用在企业各业务层面，也带来了巨大的安全隐患，本文针对其安全隐患提出来防范措施，具有一定的借鉴意义。

关键词：移动终端设备；安全隐患；管控解决方案

0引言

随着企业信息化水平的不断提高，移动终端设备的广泛使用，极大地方便了数据的信息交换，但是如何管理移动设备和其使用之间的问题，由此涉及到的是信息安全、服务整合、互操作性和组织成本控制等一系列问题。一般来说,移动终端设备除了笔记本电脑外,包括掌上电脑、智能手机、USB设备和GPS设备等，因为其移动方便的特性,对数据的安全性提出了更高的要求。

1移动终端设备面临的安全隐患

现在笔记本电脑、智能手机、iPad、U盘等正在被越来越多地使用，尤其是企业高层、出差的业务人员或到基层检查指导工作的管理人员、需要下班后在家加班的人员等，他们几乎已经离不开这类移动终端。与此同时，一些合作伙伴或客户出于某种需要，也可能需要使用移动终端接入到企业网络或者计算机。移动终端设备可能给企业带来以下几大隐患：

隐患一，保管不当，导致设备丢失或被盗，损失的不只是硬件成本，更关键的是里面的数据。

隐患二，使用不当，在数据传输过程中没有采取应有的保护措施，导致发送信息时被非法攻击者侦听截获。

隐患三，没有对设备里的数据采取足够的保护措施，数据很可能在使用者一无所知的情况下被窃取。

隐患四，感染病毒的移动设备一旦接入内网，病毒可能很快蔓延至网络内的每一个终端，影响整个网络的正常运转，严重时还会让企业的关键业务无法开展。

隐患五，不安全的移动终端一旦接入企业内网，很可能变成黑客们攻击内网的跳板。

2针对存在的安全隐患制定对策

通过分析移动终端设备管控的难点主要集中在以下几个方面：①外来移动终端设备随意接入企业内部网络或者计算机，很难做到有效控制，无形中为病毒、木马感染企业网络开辟了一条捷径；②内部移动存储设备很难做到逐个、逐次使用时登记备案，无法对遗失的移动存储设备以及存储其中的数据进行监控；③内部移动存储设备很难区分安全等级、区分场所、区分使用人，保存数据的移动存储设备随意拿到外部使用，很容易造成企业敏感数据外泄；④对移动存储设备的使用缺乏全面的记录信息，安全事故发生以后缺乏足够的协助管理员跟踪、定位和追溯责任人的依据和手段。

要想管控好移动终端设备，就必须做好以下四个方面：①移动终端设备使用的边界控制：外来的笔记本电脑、智能手机等设备连入网络，必须通过网络准入、应用准入、客户端准入等准入手段来解决，确保未安装客户端的无法连入内部网络，其安全性得到保障。外来移动存储设备不得随意接人企业内部计算机，以防止恶意代码通过移动存储设备感染企业内部网络。②移动存储设备分等级使用：对移动存储介质进行注册认证，只有注册认证过的才可以在内网使用。内部移动存储介质分不同的安全等级，受控使用，做到专人专用、专盘专用，从而保证企业关键信息和数据不会通过移动存储设备泄露。③强化移动存储设备的管理，将移动存储设备专人管理，规范操作使用，每次使用前要进行严格的查毒、杀毒。禁止使用个人U盘、数码相机、数码摄像机等存储卡。④移动存储设备的全生命周期管理：对内部存储关键数据和信息的移动存储设备，要有全生命周期的使用跟踪和管理，对内部移动存储设备的使用要有详尽的审计，以便事后能够进行准确的跟踪和定位，追溯到责任人。

3移动终端设备的管控解决方案

对移动终端设备的信息安全管理，应坚持“预防为主”的方针。“三分技术，七分管理”，要充分利用技术和管理两种手段，达到有效防范的目的。具体来说，企业可从如下三个方面着手：

3.1 加强人员培训，构筑人员安全关通过加强保密知识培训、网络安全知识培训、职业道德教育和对网络事故案例讲解，使员工充分了解计算机网络存在的安全隐患，提高工作人员的安全保密意识和自我防范能力。

3.2 部署管控平台，把好技术安全关通过部署绿盟终端安全管理系统，该系统涵盖接入控制、数据防泄密、安全防护、桌面管理四大领域，在终端安全方面提供系统级安全保护，提供网络层与应用层的准入控制，强制隔离不符合安全要求的终端主机。实现了对移动存储设备的全面管理，移动介质被分为外来介质、内部普通介质和内部专用介质三种不同的安全等级，针对每种安全级别均可设置具体的使用权限，如只读、可写，实现了对移动介质的细粒度管理。

3.3 完善制度建设，健全信息管理关

3.3.1 加强内部管理，完善计算机保密制度。细化信息安全的管理规范和责任追究，明确界定信息范围，切实落实各项具体措施。使计算机安全保密工作有章可循，逐步实现计算机信息安全保密工作的规范化管理。

3.3.2 加强对移动办公设备管理的检查。通过对单位的移动终端设备集中登记、授权和安全认证，全面掌握企业移动终端的使用管理情况，定期进行信息安全检查，发现违规情况及时进行通报。对终端设备列入重点信息安全监控部位，专人专用、专人管理，不定期进行检查防护。

3.3.3 加强对外来人员的管理。为了防范信息泄密，确保信息与网络的安全。

4结束语

信息安全是信息发展的基础，要建立一个安全可靠的网络安全管控体系，既要有专业的安全产品，更要有规范和强有力的安全管理制度。移动终端设备所带来的安全隐患必须引起各企业的高度关注，充分利用技术和管理两种手段，提高安全保障能力，为企业各项工作顺利开展提供信息保障和技术支撑。

参考文献：

[1]杨义先.网络信息安全与保密[M]．北京：北京邮电大学出版社，2000：1-3.

篇9

关键词：信息安全 数字签名 加密 解密

今天，计算机已经十分普及。从家用到企业信息管理，都离不开计算机。随着网络技术、通讯技术的出现使得信息传递与信息共享得到质的飞跃。各种网络应用应运而生，如：ERP系统、电子商务系统等。当人们享受着信息技术带来的方便之时，同时必须面对信息系统存在的不安全因素。

危及信息安全的因素

企业使用计算机进行管理，要求管理的信息必须“数字化”，并以磁信号保存到磁盘中（这种信号如果不加任何处理时，可以被任何人获取或者“不留任何痕迹”的加以修改）；当我们把一台计算机中的信息转移到另一台计算机时还必须通过“网络”完成信息的“传递”。传递过程中是否带有病毒、是否会被其他网络客户非法截留？这些都是我们进入网络时代要考虑的首要问题。那么，在网络环境下的信息管理、信息驻留与信息传递过程中究竟有那些因素会危及信息安全？危及“信息安全”的因素可以分为两类：

外部因素

外部因素指和企业无关的外部人员,通过网络，使用非法工具、采用非法手段，非法侵入企业信息系统，获取关键信息、破坏内部数据。

内部因素

内部因素指企业内部工作人员，借工作之便，非法复制企业的关键信息，或者盗用他人账号登陆系统，非法修改关键数据，从而达到个人的非法目的。

危及信息安全的形式

危及信息安全的形式有多种多样。有些是我们知道的、有些是我们意想不到的，有些是些我们不愿意去想又确实存在的形式。正是这些意想不到或不愿意去想的形式最具威胁性。因此，我们不妨发挥充分的想象力对企业信息可能受到威胁的形式做一些假设。我们现在考虑的越多、越全面，在将来我们受到攻击、受到危害的可能性就越小，我们的信息安全性就越高。

在80年代末，曾经有这样一个“传说”，国外某家银行在日常工作中忽然发现，一个账号的存款数额变动异常。经过一段时间的监视和调查，最后确认这个账号的拥有者曾经参加该银行软件系统的开发。他在所编写的程序中加入了一些非法代码，在计算其他客户的存款利息时，把舍去的利息额加入到自己的账号下。这样客户的利息不会少，自己的存款额却在不断增加。在当时的环境下软件开发过程不很规范、监管力度不够才会出现这种情况。现在一些关键系统的开发不会重现类似情况，当然，不再重现的先决条件是要严格监管软件开发的全过程。

1999-2000年，美国国内展开指控微软进行行业垄断的诉讼。现在回过头来看看，把微软分解成两部分未尝不是件好事。微软公司作为世界软件行业的“巨无霸”，如果全世界都使用一家公司提供的从操作系统、办公工具、网络通讯工具到系统开发工具，那些不掌握源代码的“黑客”都能非法侵入你的系统、获取数据，试问，掌握所有源代码的软件供应商它不能做什么？笔者非常欣赏微软公司的软件。和其他用户一样非常愿意使用微软的软件。确实微软公司的软件给我们提供了方便，并改变着我们的生活、工作方式。如果我们往深处想一想会发觉，我们使用微软的软件除了喜欢的成分外，更主要的是一种潜意识的“信任”。这种信任是建立在微软公司用行业道德标准“自我约束”的基础之上。

防止外部人员非法侵入企业计算机管理系统固然重要；完善企业内部控制同样重要。“堡垒最容易从内部攻破”表述的就是一种加强内部控制、内部管理的重要性的道理。因此我们必须严格控制管理信息系统内部信息的处理过程，必须严格执行有关的管理规章制度。由于内部控制不完善、由于内部人员缺乏职业道德而引发危及信息安全的案例并不少见。

通过与企业接触了解到，一些企业的内部管理制度非常规范、非常严格。然而，就是得不到认真执行。究其原因并不是内部员工有意拒绝执行，而是信息安全观念淡薄。

通常，企业管理信息系统在储存数据时都是将数据保存到某个数据库文件中。由于考虑到软件开发成本、用户能够接受的价格，许多小型的管理系统都采用Foxpro数据库作为保存数据的工具。Foxpro非常简单易用，但是，他有一个致命的弱点――缺乏一种高效、安全的数据保护功能。用户通过正常登陆进入系统后无法访问的数据库文件，却可以绕过系统通过Foxpro系统直接打开数据库文件。一些软件开发商意识到这个问题后采用改变关键数据库文件的特征字，使用户无法在普通的Foxpro环境下打开数据库。这种方法仍然治标不治本，是一种“防君子不防小人”的方法。因为，这些文件中的数据如果没有经过严格的加密处理我们仍可以利用类似debug工具将其打开并读取其中的数据。

保证信息安全的方法与工具

面对种种内忧外患，我们真的束手无策吗？保证重要数据处于一个相对安全的位置，让那些居心叵测的人无法轻易的接触到，即使得到数据也是经过严格加密的数据而无法轻易的还原。我们可以采用以下方法和手段。

增强安全意识

这句话说起来容易，真正做到这一点并非易事。一时的疏忽大意可能引发非常严重的后果。不要因为今天没发生问题、这个月没发生问题、今年没发生问题就可以放松警惕，发生问题往往就在明天。另外，如果没有安全意识，再好的工具得不到应用、再完善的制度得不到认真执行。我们所做的一切都没有任何价值、没有任何实际意义。增强安全意识首先要从规章制度做起，给使用者制订出非常明确的工作规范、工作流程、及工作内容。制度的制定不是要相互提防，增加彼此的不信任。恰恰相反是把员工做为可信赖的人、可以维护企业利益的人。

规章制度只是目标，不应该把目标的实现完全建立在要求每一个人都能够自觉遵守制度、不做越雷池半步的操作，而应该辅以硬件措施与数据加密处理。只有采用多种手段、综合管理。才能确保信息相对安全。

硬件措施

网络环境管理信息系统的一个共同的特点是数据集中管理、操作可以分步进行。如果不做任何限制，任何一个用户可以从任何一台工作站登陆网络、访问网络中的信息。构建在局域网基础上的企业管理信息系统同时接入Internet，那么，我们的网络将暴露在所有Internet接入者面前。消除这个隐患常用的方法是在局域网与Internet之间架一道“防火墙”，它在防止非法Internet用户侵入企业内部局域网具有相当的作用。

针对一些大型企业、集团公司的办公机构，可以按照组织结构进行网络规划，将物理连接在一起的计算机划分成多个“域”（部门），每一个“域”（部门）覆盖范围明确、相对独立，“域”（部门）之间互不干扰，被授权的用户可以跨“域”（部门）操作。

对于中小型公司可以规定具有特殊权限的用户只能从某一台工作站登陆网络。例如：会计主管使用的账号只能从会计办公室的工作站登陆。这样即便其他用户掌握了会计主管的账号和口令也无法从其他位置的工作站登陆。

数据加密处理

数据加密处理是保障信息安全的另一道屏障。一旦非法用户对系统实施攻击成功、进入系统，将有可能获取任何信息。所以，对系统中的数据进行加密、尤其是对关键数据加密，更显得尤为重要。因为采用高强度加密技术处理后，即使非法用户得到这些数据也无法轻易进行还原。

常用的加密技术分为，非密钥加密技术与密钥加密技术。密钥加密技术又分为对称密钥加密技术与非对称密钥加密技术。

非密钥加密技术 其加密原理：加密过程是对明文经过加密变换处理生成密文；解密过程则是加密过程的反向操作，将密文还原成明文。因为它的加密算法是固定写在程序里、并且有一定的规律。一旦攻击者掌握加密算法或者发现加密规律，所有加密处理就完全失去了意义。因此，这种加密技术非常脆弱，加密强度最低，最容易被破解。

密钥加密技术 密钥加密与非密钥加密的区别在于，加密算法是公开的，加密、解密过程是通过算法与密钥一起运算，将明文转换为密文或将密文转为明文。通常所使用的密钥位数相当长，采用穷举法也无法破解。因此，信息的合法使用者只需牢牢地保管好自己的密钥，将它放在安全的地方。

对称密钥加密技术 对称密钥加密技术特点是加密过程与解密过程使用的是同一个密钥。著名对称密钥加密算法为DES算法，该算法加密强度高、不易破解。其作用是对交换数据进行加密处理。防止非法用户破解加密数据的有效工具。

非对称密钥加密技术 非对称密钥加密技术由一对密钥组成，见图1，一个为私有密钥（由该对密钥的所有者掌握)、另一个为公有密钥（任何人都可以掌握）。其特点是加密时使用一把密钥，解密时必须使用另一把密钥。反向操作是不成立的（不能用加密的密钥去解密）。著名的非对称密钥加密算法为RSA算法。用户必须牢牢地保管好自己的私有密钥。非对称密钥加密技术即可以用作数据加密、也可以用作“数字签名”。在发送方与接收方之间进行数据交换过程中，使用“数字签名”的主要作用，可以“抗抵赖”、“防篡改”。

由于“数字签名”中使用的密钥加密的不可逆性，使用公有密钥解密后的明文，加密者不能抵赖；同样解密者无法篡改加密后的密文。

总之，有条件的企业、数据安全性要求高的企业，除了制订并认真执行有关的规章制度、安装安全性高的硬件设备、最重要的应该自主开发数据加密模块、并且严格监控加密模块从设计、开发到测试的全过程。保证企业内部信息处于一个相对安全的环境。

篇10

关键词：电力企业；信息网网络安全；层次式防护体系

中图分类号：TN915.08

网络信息安全的问题主要包括了网络系统的硬件、软件及其系统中重要数据受到保护，受突发或者恶意的因素而遭到破坏、更改、泄露，系统能够正常地运行，网络服务不中断等诸多方面。企业要想做好信息网网络安全就需要构建一个层次式防护体系，这个防护体系能够有效的解决企业信息网网络安全所面临的各种问题，给企业一个良好的网络环境。

1 信息网络安全层次式防护体系的防护模式

结合电力企业的实际情况，按照层次式防护体系的防护模式，可将电力企业的网络信息安全分为七大模块，分别是入侵检测、环境与硬件、防火墙、VPN（虚拟专用网）、隐患扫描、病毒防范、PKI（公开密钥基础设施）。

1.1 环境与硬件、防火墙

环境与硬件以及防火墙为层次防护模式的第一、二层，是对系统安全要求比较高的电网运行与安全稳定的控制，还包含了电网调度自动化、继电保护等实时网络，使用防火墙隔离网关设备来连接信息网络，这样就可以获取实时的系统数据，不过这样仍有一个小的缺陷，就是不可能直接或间接的修改实时系统的数据，所有需要采用硬件防火墙互联的信息网络与实时网络之间在物理网络层的隔离，这样就能从根本上防护非法用户的入侵。

另外，也可在信息网的Internet接入口处安装防火墙，这种防火墙主要防止来自外部的攻击，而且企业内各机构之间的仍有全面的安全防火墙，目前几乎所有的电力企业信息网大都建立了这两层防护措施。不过防火墙对于一些利用合法通道而展开的网络内部攻击显得无能为力。因此，尽管开发防火墙能够初步具备入侵的检查功能，但是防火墙作为网关，很容易就成为网络防护发展的颈瓶，不适合做过多的扩展研究。因此，还需要和层次式防护的第三层入侵检测等相关工具联合起来运用，这样就能提高整个网络的安全。

1.2 入侵检测（IDS）

整个防护体系的第三层防护便是入侵检测，入侵检测不属于网络访问控制设备，对通讯流量没有任何限制，采用的是一种通过实时监视网络资源（系统日志、网络数据包、文件和用户获得的状态行为），主动分析和寻找入侵行为的迹象，属于一种动态的安全防护技术。一旦被检测到入侵情况就会立即进行日志、安全控制操作以及警告等操作，给网络系统提供内、外部攻击以及一些失误进行安全防护。像CA公司的eTrustIntrusionDetection程序就是通过自动检测网络数据流中潜在的入侵、攻击和滥用方式等，为网络系统提供了先进的网络保护功能。同时还能在服务器及相关业务受到影响时，按照预先定义好的策略采取相应的措施。

1.3 隐患扫描

防护体系的第四层防护便是隐患扫描，隐患扫描是一个全自动化的网络安全评估软件，它以黑客的视角对被检测的系统进行是否承受攻击性的安全漏洞以及隐患扫描，同时还能够查到可能危及网络或系统安全的弱点，从而提出相应的维修措施，提交详细的风险评估报告。最可观的地方在于它能够先于黑客发现并弥补漏洞，从而防患于未然，能够预防在安全检查中暴露出存在网络系统中的安全隐患，然后配合有效的修改措施，将网络系统中运行的风险降至最低。

隐患扫描系统的主要应用在不同的场合和时宜，第一，对信息网作出定期的网络安全自我检测和评估。网络管理员能够定期的进行网络安全检查服务，以最大可能限度的消除安全隐患，尽可能的发现漏洞然后进行修补，从而优化资源、提高网络的运行效率；第二，网络建设以及网络改造前后的安全规划以及成效检测。配备隐患扫描系统能够方便的进行安全规划评估和成效检测；第三，网络安全隐患突发后的分析。网络安全隐患突发后可以通过扫描系统确定网络被攻击的漏洞所在，然后帮助修补漏洞，能够提供尽可能多的资料来方便调查攻击的来源。第四，重大网络安全事件发生前的准备，重大网络安全事件发生以前，扫描系统能够及时的帮用户找出网络中存在的漏洞，并及时将其修补。

1.4 虚拟专用网（VPN）

防护体系的第五层就是虚拟专用网，其主要为电力企业上下级网络和外出人员访问企业网络时提供一条安全、廉价的互联方式，再加上防火墙和IDS的联动关系，这就使得VPN的网络安全性大大的得到保障，VPN的网络安全性也就得到了保证。不过，目前虽然实现VPN的网络技术和方式比较多，但不是所有的VPN均可以保证公用网络平台传输数据的安全性和专用性。一般情况下是在非面向连接的公用IP网络上建立一个具有逻辑的、点对点的连接方式，这种方式称之为建立隧道。随后就可以利用加密技术对隧道传输的数据进行加密，这样就能保证数据只能被发送给指定的接收者，这样极大的保证了数据的隐私性。

1.5 PKI（公开密钥基础设施）

PKI作为防护体系的第六层具有一个广泛的接收标准，用来保护用户的应用和数据安全，许多安全应用的安全标准通过PKI都有了适应的安全标准。CA公司的eTrustPKI是个比较普遍的基础设施，具有许多独特的特点，如能够优化企业内部的部署、简化管理、其扩展性比较好、有可选择的相关硬件支持。

1.6 对病毒的防范

对病毒的防范是防护体系最后一层，其广泛的定义在于防范恶意代码、包括蠕虫、密码、逻辑炸弹以及其他未经许可的软件，防范病毒系统对网关、邮件系统、文件服务器等进行病毒防范，这就要求病毒防范系统做到对病毒代码的及时更新，并保持对病毒的查杀能力。同时，当防病毒与防火墙一起联动时，病毒防护系统会自动通知防火墙进行相关修改。

2 对层次式安全防护体系的规范管理

层次式安全防护体系的构建是一个复杂的系统工程，包含了人力、技术、以及操作等几大要素，在整个防护体系的运行中，最重要是需要规范操作人员的各种专业技术操作，需要建立一道信息安全管理制度来防止安全防护系统在运行过程中因为内部人员出现差错而导致的各种网络漏洞和安全隐患，其中建立规范的管理制度应考虑以下几点：第一，建立对应的事故预防和应急处理方案，每天都要例行检查备案；第二，制定严格的防护系统运行操作制度，对网络设备、存储设备以及服务器等重要部件的运行操作制定标准的操作制度，相关工作人员都必须参与进去；第三，强化对工作人员的安全教育和培训，做好及时的安全工作；第四，建立日志式的管理制度，对每位用户的操作和行为都以日志的形式记载在案，并进行及时的跟踪调查和审计工作。

3 结束语

网络安全防护是一个动态的系统工程，构建网络安全防护体系能够有效保护电力企业信息网的安全，其中采取层次式安全防护体系，更是有效的将各个层次安全构建有机的结合在一起，从而提高了整个网络的安全性。

参考文献：

[1]党林.电力企业信息系统数据的安全保护措施分析[J].电子技术与软件工程，2013（17）.

[2]李志茹，张华峰，党倩.电网企业信息系统安全防护措施的研究与探讨[J].电力信息化，2012（04）.