网络安全技术保障措施范文

时间:2023-12-18 17:58:23

导语:如何才能写好一篇网络安全技术保障措施,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全技术保障措施

篇1

关键词:网络安全;信息安全;理论;实现;保障

0 引言

目前,计算机网络技术的应用日趋广泛,但网络信息安全还存在很多问题,网络安全工作明显滞后于网络建设。网络安全问题容易造成信息泄露等问题,造成了信息安全的问题,严重的影响了各方面的发展和安全,这就需要从多方面综合研究信息安全问题,不断研发解决措施,真正实现计算机网络的安全有效的应用。

1 我国信息安全技术中存在的问题

1.1信息安全制度上 目前来说我国颁布了一些关于信息安全的法律法规以及出台了一些相关政府文件,例如,《网络信息安全不同等级保护措施》、《国家安全法》、《互联网络信息电子签名法》等。这些法律条例对于计算机网络的应用以及安全有一定的约束和保护,但是从全方面来看,很多条例知识针对网络信息内容进行了规范,整体上来说较为分散,没有一个统一的概述和规划,国家出台了一些规划措施,但是由于互联网安全问题的不断发展,时代的变化造成规划内容并不够明确,这些问题给网络信息安全技术带来了一定的隐患。

1.2 信息安全技术上

1.2.1 我国信息化建设发展速度很快,但是由于发展较晚,发展时间较短,这就造成我国的信息化建设缺乏自主研发的计算机网络软硬件的信息技术,很多软件都依赖国外的进口,这就造成网络安全的巨大隐患和脆弱状态。

1.2.2 在信息网络的应用中长期存在着病毒感染的隐患,虽然网络技术也在不断的发展,但是病毒也在不断改善,现代病毒能够通过多种突进进行传播和蔓延,例如,文件、网页、邮件等,这些病毒具有自启功能,能够直接潜入核心系统和内存,造成计算机网络数据传输出现问题,严重的甚至出现系统瘫痪。

1.2.3 在网络安全工作中,信息在网络中的传输具有可靠性低等特点,这就容易造成信息在网络系统易被破解和搜索。

1.2.4 网络中没有进行保护措施的电脑很容易受到潜在的威胁,威胁有很多方式,来自于网络的内部和外部等,木马病毒的入侵、硬盘数据被修改等都容易造成网络安全的问题。

1.3 信息安全意识上 在网络技术的不断发展中,我们更多注重的是网络基础设施的建设,但是相关的管理和安全工作却没有跟上,对于网络安全的投资和重视都严重不够,一旦安全上出现了隐患或者问题没有科学有效的措施进行及时的补救,甚至需要采取关闭网络等方式解决,造成了问题的严重化而不能真正有效的解决,在整个网络运行过程中,缺乏行之有效的安全检查和应对保护制度。

2 我国信息安全保障措施

2.1 制度上完善 为了保证网络信息安全发展就需要制定相关的政策,保证每个行为都有据可依有法可循,由于网络信息发展更新较快,这就需要对规范要求也及时跟新,保证制度上的完善,为网络信息安全技术提供法律基础。

2.2 技术上提高

2.2.1 数据加密技术。目前来说数据操作系统安全等级分为D1,Cl,C2,B1,B2, B3,A级,安全等级由低到高。在安全等级的应用上,使用C2级操作系统时要尽量使用配套相关级别,对于极端重要的系统要使用B级或者A级的保护。

2.2.2 防火墙和防病毒软件。防火墙和防病毒软件是常用的一种安全防护措施,能够对病毒实时进行扫描和检测,在清毒过程中由被动转为主动,对文件、内存以及网页等进行实时监控手段,一旦发现异常及时进行处理,防火墙则是防病毒软件和硬件的共同作用,利用防火墙本身内外网之间的安全网关对数据进行有效的过滤和筛选,控制其是否能够进行转发,另外防火墙还能够对信息的流向进行控制,提供网络使用状况和流量的审计、隐藏内部IP地址及网络结构的细节。它还可以帮助系统进行有效的网络安全隔离,通过安全过滤规则严格控制外网用户非法访问,并只打开必须的服务,防范外部的拒绝服务攻击。

2.2.3 使用安全路由器。安全路由器的使用能对单位内外部网络的互联、流量以及信息安全进行有效的安全维护,建设虚拟专用网是在区域网中将若干个区域网络实体利用隧道技术连接成各虚拟的独立网络,网络中的数据利用加/解密算法进行加密封装后,通过虚拟的公网隧道在各网络实体间传输,从而防止未授权用户窃取、篡改信息。

2.2.4 安装入侵检测系统。在安全防御体系中,入侵检测能力是一项重要的衡量因素,入侵检测系统包括入侵检测的软件和硬件,入侵检测系统能够弥补网络防火墙的静态防御漏洞,能够对内部攻击、外物攻击以及误操作等进行实时的防护和拦截,一旦计算机网络出现安全问题,入侵系统能够及时进行处理和完善,消除威胁。并且一种新型的网络诱骗系统能够对入侵者进行诱骗,通过构建一个环境真实的模拟网络,诱骗入侵者进行攻击,一旦攻击实施就能及时进行定位和控制,从而保护实际运行网络系统的安全,同时在虚拟网络中还能够获取入侵者的信息,从而为入侵行为提供证据,实现对入侵行为的打击。

2.3 意识上重视 首先对于思想的强化和加强是安全管理工作的基础,只有人的思想得到了充分的重视才能够对网络安全技术有所提高,参与人员必须熟悉相关规范要求,增强保密意识,真正的实现保密安全环境的优化。制度上要严格控制,设立专门的安全管理机构,实现专人专责,从而保证安全管理的问题。最后在这个信息化的时代,人才是重要的生产力,我们必须重视网络信息安全的人才培养,保障网络人员的高技术高素质,实现网络信息技术的安全。

3 结论

综上所述,信息安全对于一个国家的社会经济发展以及文化安全等方面都十分重要。这就需要我们充分重视信息安全问题,提高信息安全技术,针对不同的问题相应解决,实现我国信息安全制度的顺利运行。

参考文献:

[1]李彦旭,巴大志,成立,等.网络信息安全技术综述[J].半导体技术,2002,27(10):9-12,28.

篇2

1无线网络安全体系的分析

无线网络在网络协议中规定的安全体系主要是WAP中规定的应用。主要是保障数据通信在保密性、真实性、完整性以及不可否认性四个属性中的安全。保密性主要是从数据加密技术上来进行保障与防御,保密性是为了确保个人隐私不被截取或者中间阅读,通过强密码加密明文致使明文不可能被别人截取,除非在接受者能够获取口令的情况下,否则密钥保护足以抵挡被入侵的风险。为此,无线网络安全体系必须保障加密系统在理论上是不可攻破的,其次是在实际操作中也是不可攻破的。系统不能依赖于自身密码的保护,而应该依赖于密钥的保护,否则当前的黑客软件配上密码表通过最笨的方法也能够不断的测试出其中的密码设计;真实性是用来确保信息人的身份内容,它同样是一种技术,是为了在无线网络应用中确定对方同样为身份识别人的一种要求;完整性相对于安全体系来说是要确定所接收的数据是原始的,完整的,在其数据传输过程的中间环节没有被修改过。通过数字签名等技术制约可以降低完整性不足的风险,在大多数的网络攻击情况下,完整性的重要意义甚至高于保密性,这说明一个问题,我们所保密的不一定的完整的,而完整的起码是保密的;不可否认性的意义在于强调认证系统的安全性,即整个安全系统的认证是无法被篡改的,考验这种安全性的内容主要有,确认信息的不可更改性和不能抵赖性,接受者能通过验证并合法,其他人无法更改和否定信息等内容。除了数据通信的安全性外还需要无线网络的安全性保障与防御,即无线传输层的安全保障。无线传输层的安全保障(WirelessTrans-PortationLayerSeeurity)主要包括无线传输层的规范、无线传输层的结构、真实性、密钥交换、完整性与保密性。无线传输层通过安全连接来保证层级规范协议的有效性,通过将客户与整个安全网络的连接来保障协议的实现。通过控制网关使用参数的可能性,确保数据的安全。协议规定要求双方安全协商,只有本区域的网络代表才能够有资格进入协商层级,从而在虚拟的结构中实现了有线网络式的单线单网。客户与网络两个终端间也能够有效的互相验证。无线网络的结构是一个层级协议,握手、报警、密钥交换以及应用使得结构趋于完整。无线网络中的真实性是通过网络证书来实现的,通过网络证书的交换,实现了应用网络中的真实性确认;无线网络中的完整性则是通过信息验证程序来进行维护和保障,通过不同的计算方法来实现网络完整;无线网络中的密钥交换是一个关键步骤,是无线网络安全性的一个具体保障措施,首先是Server发送一个Server密钥交换信息,通过计算的方式转移到客户层面,客户也通过相应的的计算机辅助计算来实现密钥的交换,双方互相验证,获得通关密码的生成;最后,主密码通过20字节的序号加诸于计算公式中得到保密性验证。这便形成了一系列的无线网络安全定制,从而有效的保障的无线网络数据传输的安全保卫与防御工作。

2无线网络安全技术的发展

随着全球化无线网络的不断进步与实现,无线网络的安全技术在不断的朝向深层次发展,这成为了支持无线网络发展的最可靠保障。无线网络的特点决定其未来发展网络数据传输中的主流。不论是从长距离传输还是短距离使用,无线网络都将不断的实现突破和发展,尽管在攻击与防御的主要矛盾下,无线网络技术的安全性从未间断过考验,但是正是由于危机与考验的出现,为无线网络的技术发展提供了可靠的发展动力,并最终实现网络安全的整体进步,无线网络的发展是大趋势、大潮流,无线网络安全技术保障问题也势必成为无线网络领域内发展的主要课题,成为我们必须一直关注的网络基本问题。

作者:殷明哲 单位:中国民用航空东北地区空中交通管理局吉林分局

篇3

关键词:统计信息化;因素;措施

一、制约统计信息化建设的主要因素

近几年,我国统计信息化建设步伐加快.目前已建成了从国家统计局到各省、区、市和重点城市统计局的骨干网络,初步形成了运用计算机及网络收集、传输、处理、储存和统计资料的网络环境和硬件条件。但是,由于受现行的统计体制、统计制度和方法的制约,现代信息技术的应用受到很大的制约。具体表现在:

1.数据采篡和传输受到体制的制约。经过“九五”统计信息工程建设,目前己具备了国家统计局通过网络直接采集企业数据的条件。通过计算机网络实施企业数据直报,将大大提高统计数据的采集速度,同时也有利于减少地方政府对统计调查的干扰。但是,这种采集数据的方式也受到现行统计体制的制约。企业直接为国家统计局报送调查表,省、市、县三级也需要企业数据,因而国家统计同采集到的企业数据还要反馈给地方统计局,人为的增加了工作量;此外,许多地方在企业表上按自己需要又增加了一些指标,导致了各地的企业表指标和结构不一样,给国家统计局进行计算机数据审核和处职带来麻烦;另外,由于地方政府和地方统计各有各自的利益,实施企业直报也遇到了一定的阻力

2.数据处理受到报表方式的制约。运用计算机进行统汁数据处理、最大的优势是基础数据可按一定的标志进行任意的分组和加工,数据处理的对象应当是基层表。但是,目前各级政府都需要本地区的汇总数据,因而许多进度性统计报表采取逐级汇总的方式,报送的是综合数据而不是基层数据,其结果越往上报指标及分组就越少,无法对调查数据按不同需要进行再分组相加工。

3.统计数据库建设受到统计制度的制约。由于目前各专业执行的标准不完全一致,如产业分类、产品分类、职业分类、城乡分类等标准不一样,制约着建立统一、共用的统计指标及标准库,也给建设统一的统计数据库带来困难。改革开放以来,我国的统计制度变化较大,各年度之间的统计指标途径、统计范围和统计标准上有差别,因此,建立历史统计数据库,需要铵统一的口径重新整理历史数据,工作难度大,数据库建设进展缓慢。目前已建成的历史统计数据库,由于指标范围、口径和标准不一,不好使用,大多数成了“死库”。大量的历史统计数据以纸介质为载体散存在各地、各专业,一些历史数据已经丢失,其损失是不可挽回的。

二、措施

1.加强统计信息系统的安全教育及制度建设。要树立全员安全意识。大力加强信息安全的法制建设和宣传活动,努力增强广大群众的信息安全知识和安全防范意识,自觉遵守信息安全管理的各项规定。严肃打击各种计算机信息犯罪活动,为各种信息网络的安全运行建立起良好的社会秩序,努力构建一个健康、良好、合作及和谐的统计信息系统运行的社会环境。

随着国家统计系统对网络调查安全工作的重视,国家统计局和各地统计部门都结合自身情况制定了一系列的统计信息系统应急保障预案,相应的规章制度建设、标准制订、技术保障措施等都得到了一定程度的完善。当前,尤其是要加快制定《统计信息系统信息安全管理规定》,从信息安全的组织保证、人员管理、运行环境和操作使用、管理服务等多层面建设统计信息系统的安全防范运行新机制。

在指导思想方面,应该将《统计法》的贯彻落实、统计制度及方法的改革与发展、网络安全技术的普及与发展相结合,从制度和技术等方面保障统计信息系统的安全运行。要以风险管理思想为指导,以保障安全运行为中心,始终牢固树立安全防范意识。切实加强信息安全保障工作的组织领导,落实信息安全责任制。要积极开展不同形式的信息安全培训,提高网络统计报表系统管理和使用人员的信息化安全业务素质。

篇4

随着计算机技术的快速发展,以计算机网络系统为主的现代信息系统发展迅猛,人们对于数据库信息系统的安全防范越来越重视,本文主要阐述了当前数据库信息系统安全方面的现状以及提出了针对数据库信息系统的安全防范的有效措施。

【关键词】数据库信息系统 安全防范 探究

随着信息产业的快速发展,数据库信息系统在各行各业之间都得到了很好的利用。但目前,我国数据库的系统安全技术还不完善,这给数据库信息系统带来了隐患,因此,要想更好的杜绝病毒污染、黑客袭击等状况,就必须加强数据库信息系统的安全防范工作。

1 数据库信息系统的安全现状分析

1.1 信息系统的安全范畴

所谓的信息系统安全范畴是指建立者在国家和行业的法律法规的限定下,制定出符合组织的安全管理政策,并且通过学习、培训等形式来提高内部人员的安全意识、防范意识,使其遵守规章制度,严格执行安全政策。对于所制定的安全管理政策还要制定相关的审计制度,用来评价安全政策的效果,并监督安全政策的实施状态,通过高超的技术手段才能保证信息和信息系统的安全,像病毒检测、加密技术等技术手段就是用来提高组织系统的安全性的技术。

1.2 信息系统的安全管理水平较低

当今社会是信息化的时代,人们对于信息安全的重视度也越来越高,尤其在政府机关、企业中,一些信息、文件等都是非常机密,因此,就需要提高安全技术来保证信息系统的安全性。但是,如今的信息系统的安全管理还存在很多问题,首先,对于信息系统的安全技术保障体系还不完善,虽然很多企业购买了信息安全设备,但是由于技术保障不成体系,仍然达不到保障信息安全的效果。

1.3 信息安全面临的威胁不容小觑

信息安全面临的威胁主要体现在以下三点:

1.3.1 人员威胁

随着科技的发展,信息化时代的到来,自动化设备的提高,人员在信息处理过程中的参与度逐渐减少,另外由于人员的安全意识不高,对于设备的操作容易造成失误,还有的人甚至故意破坏,这些行为都给信息安全带来了极大的隐患。

1.3.2 技术威胁

技术威胁主要包括四个方面:

(1)物理方面的威胁:主要指的是信息在存储和产生以及处理、传输、使用的过程当中涉及到的物理设备所处环境的安全,如果最基本的物理设备受到了破坏,那么信息安全问题也就无从谈起了。(2)系统方面的威胁:主要是指系统受到了病毒、木马的侵犯导致的系统崩溃,系统的威胁主要来自于安全技术的滞后。(3)应用方面的威胁:主要指应用程序带来的威胁,其本身的误用、滥用都会带来安全隐患问题。(4)是数据面临的威胁:信息系统的数据是精确的、详细的,如果遭到了窃取、篡改、伪造,会造成信息系统中数据的泄漏和失效,其后果不言而喻。

1.3.3 信息安全组织不完善

信息安全组织负责管理系统的制定以及规划和部署、维护等,推动和领导组织的信息建设,一旦管理不善,势必会造成信息安全组织体系的混乱,缺乏领导核心,不能协调各方面的资源,不能有效监督,这些漏洞都会对信息安全造成很大的危害。

2 加强数据库信息系统安全的策略

2.1 用户认证和鉴别

为了确保数据库的系统安全,对于访问数据库的用户必须要进行认证,可以对用户进行ID、密码的确认来检查其身份是否合法,通过用户认证还可以进行授权访问、审计等相应的跟踪。

2.2 数据加密

数据是数据库系统中重要的信息,因此,对于数据的保护格外重要,为了避免不法用户的盗取、恶意篡改数据库信息数据,可以通过对数据加密来保证其安全,主要有三种加密方式:

(1)字段加密。这种加密模式是直接对数据库当中的最小单位进行加密(MD5是目前应用最多的密码字段保护方法)。

(2)文件加密。把重要的信息和文件一起进行加密,在使用文件时对其进行解密,不使用时进行加密。

(3)记录加密。这种加密模式和文件加密相似,但是加密的单位主要是记录不是文件,我们访问数据库时,都是以二维表方式进行的,二维表的每一行就是数据库的一条记录,以记录为单位进行加密的话,每读写一条记录,只需进行一次加解密的操作,对于不需要访问的记录,完全不需要进行操作,所以使用起来效率会高一些。

2.3 数据库的备份、恢复

为了避免数据库的丢失,对数据库的备份和恢复工作要充分、及时,以增强系统的可靠性,最大限度的减少软件、硬件的故障。

2.4 检查入侵技术

检查入侵技术顾名思义就是检查数据库系统是否遭到入侵的技术,根据IETF,其技术体系包含四个组件:事件产生器、事件分析器、响应单元、事件数据库。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件,事件分析器分析得到的数据,并产生分析结果,响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警,事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。

2.5 防火墙技术

防火墙技术可以说是保护数据库系统安全的最重要也是最通用的一项技术,防火墙是不同网络安全域间信息唯一的进出口,具有较强的抗攻击性,能根据安全政策来允许、监测、拒绝进出网络的信息,不仅能够保证网络环境的安全、控制终端信息的外泄,还可以监控审计对网络的访问、存取,极大的提高了对数据库信息系统安全防范工作的水平。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。

3 结束语

数据库信息系统作为重要的信息交换手段、各个企业良好合作的平台,它的安全保障措施十分重要,因此,要加强研制新的安全技术,完善数据库信息系统的安全防范,为数据库信息系统提供全面的安全保障。

参考文献

[1]张华桁,宋立群,柯科峰,王虹菲,宋志成.构架信息系统的安全策略研究与开发[J].计算机工程与应用,2010(03):22-26.

[2]刘青.管理信息系统数据库的现状与安全策略[J].广东科技,2011(05):11-12.

[3]张呈宇.浅谈数据库信息安全问题[J].硅谷,2010(01):33-36.

作者简介

张瑞浩(1991-),男,安徽省宿州市人。现为辽宁大学信息学院硕士研究生。研究方向为计算机系统结构。

篇5

【关键词】数字图书馆 网络安全 信息安全 管理责任 措施

目前,我国国内数字图书馆网络信息安全(以下简称为网络信息安全)应用研究方面,大多都侧重于技术,认为信息安全是一个技术性的问题,其所有出现的问题都依赖于先进技术。但信息技术无论多么完善,它都无法回答如下问题:管理主体、制度在信息安全中的责任;技术、人、制度三者之间的关系;如何能够解决信息安全可持续发展问题;为什么在信息技术很发达的情况下,信息安全问题依然存在,事故依然频繁发生等等。可见,信息安全除了信息技术影响之外必有其他方面深层次的原因。仅侧重于技术的应用研究,还不能适应信息安全实践发展的需求,信息安全研究仍有继续深化的必要。

网络信息安全分析

网络信息安全包括信息的安全和网络系统的安全两层意思,信息的安全是指保护基础运行信息、服务器信息、用户信息、网络信息资源等信息或数据的机密性、完整性和可用性,同时还需要对信息风险和信息控制之间的最优平衡有非凡的理解。机密性要求保证信息不泄露给未经授权的人。完整性要求防止信息被未经授权的篡改和破坏。可用性是指保证访问信息的用户可以在不受干涉和阻碍的情况下对信息进行访问和使用。网络系统安全是指保护网络信息系统设备中的硬件、软件和网络系统的正常状态和安全运行。概括地讲,网络信息安全就是指采用技术、管理等多种措施,保护网络系统连续正常运行,保护各种资源不因自然或人为因素遭到破坏、更改、泄露或非法占用。

网络信息安全技术。先进的安全技术是实现信息安全的重要手段,许多网络信息系统安全性保障都要依靠技术手段来实现。像信息安全所用到的防火墙技术、入侵检测或流量分析技术、认证控制技术、VLAN技术、加密技术、VPN、病毒防护技术、容灾技术等多项安全技术,为确保图书馆网络信息的保密性、完整性和可用性提供了强有力的支持。

制度和制度执行力。制定严格有效的安全管理制度规范人的行为,使人遵守规则,这是技术涉及不到的层面。而信息的保密性、完整性和可用性只有通过技术手段才能得以实现,却又是制度所不能解决的。在信息安全实践中,技术与制度二者不能断然分开,是相辅相成的,技术是一种硬手段,制度是一种规范性的软手段。目前,国内数字图书馆在安全管理制度建设方面存在着诸多问题。一是制度不完善。我国数字图书馆安全管理制度还不健全,缺乏严格、细致、有效的安全管理规定与安全技术相配套。二是缺乏安全教育培训常态机制。图书馆馆员以及用户安全意识薄弱,网络安全知识缺乏,知识产权保护意识不强。三是信息安全监督审查机制不健全。监督审查机制不健全,将导致安全管理制度流于形式,图书馆无法及时找出安全管理漏洞和不足,无法对安全管理漏洞及早采取补救措施。四是制度执行不力。从目前图书馆规章制度的建设来看,不缺少严谨细密的典章制度,缺少的是对规章条款的不折不扣地执行。一些图书馆存在有章不循、有规不依,奖惩不严、问责流于形式,安全督查不到位等种种问题。制定的制度是为了执行,因为只有执行才能把制度确定的各项要求落到实处,得不到执行的制度是毫无用处的,制度也就名存实亡。

网络信息安全管理。网络信息安全的主体是人,客体是网络信息安全防御体系,网络信息安全实际上就是主客体互动的过程。技术研究的对象是物,而物是没有目的、没有意义可言的,它不涉及人及其行为。技术只是一种手段,网络信息安全必然涉及到人及其行为和制度问题。安全管理贯穿于整个信息安全防御体系,包括建立安全管理组织、制定安全目标、制定安全防护策略、建立安全管理制度、制定安全规划与应急方案、对员工进行安全意识教育培训等内容。安全技术只有在有效的管理控制之下,才能得以较好地实施。可见,严格的安全管理是网络信息安全的根本保证。随着数字图书馆建设的深入,网络信息安全问题日趋凸显。目前,国内过多地强调技术的作用,将建设的重点放在技术上,致使安全管理工作跟不上技术发展的步伐。有人对2009年我国30家数字图书馆信息安全管理现状进行调研,发现在已发生的安全事件中,三分之一的安全事件是由安全管理机制不够完善引起的,而事件发生原因中管理因素高达70%以上。可见,安全管理上的缺失已成为数字图书馆整个网络信息系统不安全因素中的主要因素之一,对数字图书馆产生的危害远大于其他方面。这里主要讨论对人的管理问题,人的认识和观念问题。著名的前黑客凯文・米蒂尼说过,尽管很多公司采取了安全防护措施,但这些安全措施在网络犯罪面前仍然显得不堪一击,原因是他们忽略了网络安全最为薄弱的环节――人的因素。数字图书馆拥有功能非常强大的网络信息系统和最先进的安全技术设施,但却有可能缘于人而产生失误,致使安全管理存在诸多隐患和不足,从而导致数字图书馆网络信息系统面临一系列信息安全问题。如引入木马、病毒或其他危害程序;网络信息系统运行不正常甚至瘫痪,信息外泄,无法应对新出现的信息安全突发事件等,这与相关人员特别是一些负责人员对安全管理的不重视、认识不足以及责任感缺失有关。

图书馆管理者的安全管理理念的滞后,对安全管理的重要性缺乏深层的认识,导致决策上的失误或管理不足,将给数字图书馆的网络信息安全带来不可估量的损失。如有的管理者的管理理念,还停留在传统图书馆封闭式内部局域网安全管理模式上,并没有认识到数字图书馆更为开放的环境将面临更趋严峻的网络安全问题,致使在网络信息安全事件防御方面处于被动状态,有的管理者虽然认识到网络信息安全问题的严峻性,但却认为只要加大对安全产品的投入,购买并安装了最先进的安全技术产品,就可以高枕无忧了,或误认为到了信息技术特别发达的时候,网络信息安全维护管理是管理员的事情,与其他馆员无关。或误认为安全维护与管理都是服务提供商的事,图书馆只管应用就行了。不重视安全责任意识教育与技能培训,导致一些安全管理技术人员思想麻痹大意,安全责任意识不强,不知道网络信息安全的薄弱环节,不了解保护网络信息安全的责任以及在对付入侵行为方面的责任。

没有安全责任和责任分配机制,对信息安全责任人的责任内容、范围、责任分配不清楚。图书馆管理者制定的员工岗位责任书,责任划分不明、工作内容描述不清,导致馆员不清楚应在什么范围和限度内对自己的职业行为负有责任,应该承担何种责任和义务。致使出现安全管理问题时,不是相互推诿,就是听之任之。不重视对高素养、高技能安全管理技术人才的引进与培养,一些图书馆的馆内安全管理工作多为业务培训,但缺乏全面的安全管理知识和技能,对不断发展的新技术缺少深入和细致的了解和掌握,应付网络安全突发事件的预警能力不够强。由于安全知识与技能的欠缺,导致他们无法应对新出现的网络安全突发事件。应该清楚地看到,人是具有理性和非理性的,要使人的理于信息安全,必须要借助于制度规范,使人沿着信息安全正确的规定自觉行动。

应该指出,制度只是一种方法,是有边界的,并不是万能的。无论多么完善的制度,如果不被执行也形同一张废纸。同时,制度具有刚性,它不能时刻随着网络信息安全的变化而变化,落后的制度有可能阻碍网络信息安全的建设。综上所述,制度、技术和管理人员的责任意识都有自己的边界,如若单一运行制度、技术,即便是极为负责任的管理人员,也不可能完善地解决信息安全问题。因此,技术、制度、管理主体(人)的责任应三管齐下,才能真正预防和因减少技术、管理等因素所导致的网络信息安全问题,最大程度地保护网络,使其安全运行,并最大限度地挽回网络信息系统损失。

网络信息安全保障措施

网络信息安全需要技术(支撑)和管理(落实)的双重保证。从安全防范技术层面上讲,国内的数字图书馆都有较为成熟的防御体系,但在安全管理方面,数字图书馆还须做诸多努力。

加强网络信息安全教育与培训,树立安全责任意识。图书馆管理者应改变重技术轻管理的观念,树立全新的安全管理理念,针对图书馆馆员以及读者安全意识薄弱、安全措施不落实等现状,组织开展多层次、多方位的网络信息安全宣传工作。要加大对安全防范措施检查的力度,开展岗前培训、现场网络安全教育与技能培训,提倡自主学习,派送技术骨干再深造等。定期或不定期举办网络信息安全教育与技能培训讲座,将促使馆员熟知图书馆相关的安全管理规章制度,掌握相关设备的正确操作规程,以及确保系统和数据安全的操作方法。定期或不定期地组织馆内工作人员学习相关的法律法规和政策,使他们具有较强的安全防范意识,以及执行制度的意识和能力。图书馆要经常派遣馆内重点培养的年轻技术管理骨干参加国内外信息安全方面的技术培训,鼓励他们自主学习,及早掌握安全技术与管理新理论、新技术、新方法,掌握新的网络及安全产品的功能,了解网络病毒、密码攻击、分组窃听、IP欺骗、拒绝服务、端口攻击等多样化攻击手段。安全管理员要定期对网络信息安全状况进行风险评估,及时修正安全缺陷、评估缺失,及早采取补救措施。安全维护仅仅依靠馆内为数不多的安全管理技术人员是远远不够的,它还需要依靠全体馆员、用户(读者)的同心协力。通过安全意识教育,使全体馆员及用户明确自身权限和义务,严格、自觉地遵守图书馆上网规定,不越权、不随意下载和安装盗版或共享软件,同时保管好自己的密码,经常加固系统,提高系统的安全性。

强化制度建设,提高制度执行力。制度的贯彻落实,不但要求制度本身的科学合理,还要求对制度的不折不扣地执行。提高制度的执行力,首先要不断创新与完善安全管理工作制度。制度本身是否科学合理,对制度执行力大小有着根本性的影响。因此,对具有严肃性和不可违反性的包含有操作程序、技术要求、安全条例等项内容的规章制度,数字图书馆要不断根据网络信息安全发展中出现的新问题、新情况,对不合时宜的制度及时进行修正和补充。制度完善不能盲目跟风,各个图书馆必须结合自身特点,不断总结制度建设中的经验教训,改革创新完善制度建设的内容,力求实现制度的可持续发展。另外,建立监督审计机制,强化责任监督,确保网络信息安全管理效能。数字图书馆安全防护体系要做到“事前防范、事中控制、事后审计”,在制度上就必须做出预先的安排,以检测危机事件,并做出预警准备,以事前预防和控制替代事后的责任威慑。设立专门的主管部门,通过网络信息安全主管部门这一监督主体,加大对安全管理制度的监督审计,通过及时修正完善各项安全管理规章制度,加强对安全工作的督查检查,以提高相关工作人员遵章守纪的安全意识。其次,要提高制度主体(人)的执行力。任何制度要达到有效的管理效能,就必须通过制度主体相关人员的具体行为实现。而相关人员的责任心、态度、素质及能力水平,直接影响着制度执行行为和方式的选择,直接关系着制度执行力的高低。主体要提高执行力,就必须强化制度认知。网络信息安全管理体系的建设,离不开不断创新和完善的规章制度和制度的落实。对制度有准确认知,制度才有可能落在实处。为此,数字图书馆要特别组织相关负责人员及馆员认真学习相关的政策、法律法规和安全管理规章制度,使他们对制度的实现目标、内容、作用、边界等准确认知。特别是对各自的责任和义务等的准确认知,如明确岗位职责,使每一位管理人员按照自己的岗位和职权管理使用系统;明确责任,使安全管理技术人员懂得他们是技术责任第一人,懂得自己责任边界及范围。使图书馆管理者明确他们是安全管理责任第一人,是安全制度的制定者又是安全制度的督察者。主体对制度内容、边界等准确认知,才能对照制度找差距,发现薄弱环节和问题,及时纠正,才能将责任认识内化为行为准则,最终上升为自觉行为。主体要提高执行力,需增强对制度认同。通过自主学习、教育培训、有针对性的实践活动不断提高制度主体的素质,提高执行制度能力水平,从而增强全体馆员特别是安全管理技术人员对管理制度中包含操作规程、技术要求、安全条例等项内容的硬性管理规章制度的认同。如系统安全责任与监管制度;重要软件系统和关键硬件设备的操作制度;系统管理人员、操作人员责任制度;用户权限分配和管理制度;系统灾难应急预案;事故责任认定和责任追究制度等制度的认同。主体要提高执行力,还需坚持说服教育与强制执行相结合,综合利用多种执行手段,有效推动制度执行。

篇6

关键词:网络 会计信息系统 安全

网络会计信息系统给财务管理带来新的理念,系统的使用者突破时空限制,可以随时随地通过网络访问会计信息系统,了解组织的业务状况和财务状况。网络环境为信息资源共享提供了极大的便利,同时也带来巨大的安全隐患。对于会计信息系统来讲,面临着越来越多的安全问题,如果不能很好地解决该问题,必将阻碍会计信息化发展进程。

一、网络会计信息系统面临的安全问题

(一)会计系统存在被攻击、窃取的风险 信息系统最容易受到的是病毒与黑客攻击,都会对计算机或信息系统构成安全威胁目前,金融、零售等信息化高度集中的行业很容易遭受到黑客攻击;政府、军队、教育科研等机构也成为黑客攻击的重要对象;会计信息系统,由于涉及到机构的核心机密,更容易受到攻击。据瑞星估算,仅2010年,针对网络的攻击就高达10万次以上,主要来源于美、日、韩等国。一般来讲,经济发达地区受攻击的比例会更高。网络环境下,财务信息将面临被窃取的风险。一方面,许多机构没有成熟的安全管理机制,甚至仅依靠浏览器或Web服务器中的SSL安全协议;另一方面,目前的操作系统主要由国外研制,企业很难判断其中是否存在后门或缺陷,极可能导致财务信息外泄。此外,大型企业的会计信息系统数据主要集中在服务器上,如果服务器管理人员不小心泄露密码,甚至内外勾结,则所有财务信息都可能被窃取。

(二)会计数据真实、完整、可靠性面临考验 会计数据有可能会失真,主要有数据篡改和数据伪造两种形式。数据篡改是指入侵者从网上将信息截获,按照数据的格式和规律,修改数据信息,然后发送给目的地,数据篡改破坏了数据的完整性。数据伪造则是指入侵者伪装成“商家”或“合法用户”,给对方发送邮件、订单等虚假信息,从而窃取个人密码或商业信息。会计数据一旦失真,企业将面临巨大的安全隐患。网络环境下,会计档案的存储介质不再是以前的纸质文档,而变成了电子数据。电子数据存储,极大提高了存储效率,也为管理数据带了便利,但有其天然缺陷。当存储介质遇到剧烈振动,或突然遇到停电、火灾等情况时,很可能导致存储的数据失效。当被非法修改时,有可能没有任何痕迹;此外,当网络会计信息系统升级的时候,可能不兼容以前的版本,或者数据格式、数据接口等发生了变化,使得以前的信息不能进入当前的会计信息系统,都有可能导致会计档案失效。信息化会计与传统会计存在很大差别,很多企业由于未能及时建立与信息化方式匹配的内部控制机制,容易导致内部控制失效。如操作人员录入了不正确的字段、使用了无效的代码、或从财务的纸质凭证转录了数据等,都可能影响数据质量,如果缺乏相应的监督检查机制很可能导致内部控制失效。此外,由于网络环境下的会计信息系统数据集中存放于数据库,信息交叉程度提高,依靠帐薄及凭证相互核对错误的机制可能也会失效,传统会计中某些职工分权、相互牵制和约束的机制可能失去作用,信息管理人员或专业人员舞弊会给企业带来不可估量的损失,也是会计信息化面临的破坏力最大的隐患。如有些数据库管理员通过篡改数据获取不当利益,网络会计信息系统可能连痕迹都没留下。

二、网络会计信息系统安全问题原因分析

(一)网络系统的开放性和共享性网络系统的重要特点是开放性和共享性,使网上信息安全存在先天不足,可能会带来一些安全问题。一方面,由于互联网的开放性,网络上所有用户均可共享信息资源,给一些非法访问者提供了可趁之机。另一方面,互联网上的数据往往是没有加密的,这使得用户密码及其他重要数据可能在传输过程中被监听和窃取。此外,在诸多信息系统中实行了分级权限管理,某些部门的操作人员被赋予了太高的权限,可以接触到整个企业的财务会计系统,增加了财务信息被盗的风险。

(二)硬件设备配置不合理网络信息系统中硬件的配置非常重要,尤其是网络服务器及路由器等设备,对网络安全有很大的影响。如果选择了不合理的服务器型号,不仅网络可能不顺畅,网络的稳定性及扩充性也会受到影响;如果选用的路由器缓冲区过小,则在网络延时过程中,可能会流失数据包;如果路由器缓冲区过大,则可能会增加网络延时,这些都会导致网络不安全。

(三)软件系统不合理主要包括两个方面:一是软件系统规划不合理,开发的系统本身存在缺陷;二是软件开发工具选择不合理。(1)软件系统的不合理规划与开发。在规划过程中,系统分析人员没有与会计工作人员及相关用户充分沟通,从而系统的需求分析可能并不能完全反映真实要求。基于这种规划开发的会计信息系统,可能会引起一系列不安全的后果。另外,用户自行开发软件数据常常无法与购买的财务软件数据交流,从而造成资源浪费。(2)软件开发工具的不合理使用。以数据库工具为例,SQL server、Oracle、Sybase等主要适用于大型系统;Acess、FoxPro等则主要适用于小型系统。值得注意的是,各类数据库工具的安全机制有所不同,所以必须根据系统的规模大小及安全性要求合理选择数据库工具。

(四)制度建设不健全网络环境中,会计系统往往要和业务系统,如采购系统、销售系统、存货管理系统等相关联,实现信息共享,提高会计系统的自动化处理程度。为了让信息安全共享,必须建立内部控制制度,分配角色并赋予权限。此外,股东、银行、税务等机构也可能通过网络与企业的财务会计系统连接,也需要建立相应的内部控制制度。

(五)人员风险人员风险主要分为胜任能力风险及道德风险。胜任能力要求从业人员既要熟练掌握国家会计准则及会计制度,掌握相应的信息技术,而且要具备较强的学习能力。道德风险,则要求财务人员面对诱惑时,能够坚守职业操守。

三、网络会计信息系统安全管理的策略

(一)安全管理的目标对于会计信息系统来说,信息安全主要是要保证信息的保密性、完整性、可用性、真实性、可控制性、可审查性、不可抵赖性等。数据保密性是指数据在网络上传输的时候不被非法窃取,或者虽然被窃取但窃取者不能破解其真正意义;数据完整性是指数据的精确性和可靠性,指数据在传输过程中不被增加、删除、修改内容;可用性是指对于合法用户的正常使用,要保证能够实现而不被拒绝;真实性是指鉴别数据来源,消除非法数据源,确保进入系统的数据是真实可靠的;可控制性是指数据的输入、输出、处理过程是可以控制的;可审查性是指对数据的任何访问与操作(增加、删除、修改)均被纪录下来,便于“信息”追踪或审查;不可抵赖性是指随所有用户的操作进行纪录并存档,防止用户否认已作过的操作。

(二)安全管理的基本思想为了保证会计信息系统的安全,在规划系统时候要全面考虑,按照“全网安全”的思想,实现多层面控制。(图1)是基于该思想的安全体系框架。可以看出,该架构主要由三部分组成:技术体系、组织体系、管理体系。(1)技术体系:技术体系安全架构主要是为系统安全提供技术保障,包括安全技术和技术管理这

两大部分。安全技术又分为网络环境安全及信息环境安全两部分。网络环境安全主要指物理安全和环境安全。为防范物理安全问题而导致会计信息安全隐患,要将计算机及相关设施受到物理保护,免于被破坏、丢失等;信息环境安全主要是指系统安全和信息安全。技术管理又分为三大部分:符合ISO标准的技术管理,从安全服务、体系规范、实施细则、安全评估几个侧面分别对会计信息系统安全进行管理;审计监测方面进行技术管理,会计信息系统实时的状态监测、非法入侵时的监控;实施策略方面进行技术管理,财务系统的安全策略、密钥管理。(2)组织体系:组织体系主要为系统安全提供组织人员保障。从机构设置、岗位设置、人事设置三方面进行构建。(3)管理体系:管理体系主要为系统安全提供制度保障。从国家法律立法、企业规章制度、企业业务培训三方面对系统安全给予保障。

(三)安全管理的整体解决方案基于(图1)的“全网安全”思想,可以从如下方面对网络会计系统进行整体安全保护:平台安全、硬件安全、软件安全、安全管理制度、人力资源素质。(图2)是基于该思想的网络会计信息系统安全问题整体解决方案。(1)平台安全。保证网络办公平台安全,是网络会计系统中最重要的部分。本方案中采用三种技术保证平台安全:防火墙、虚拟专用网(VPN)、入侵检测技术。防火墙充当屏障作用,合理使用防火墙能保护企业会计信息安全有效。主要作用在网络入口处检查网络通讯,过滤不安全服务,防止非法用户进入内部网络;限定用户访问特殊网站;对内外部网络进行有效隔离。所有外部网络的访问请求都要通过防火墙检查,使得企业内部网的会计信息系统相当安全。当然,企业会计信息系统应保持相对封闭状态,不能连接与业务无关的终端,更不能连接互联网,仅能与业务相关部门实现资源共享。VPN(Virtual Private Netwrok)是利用公共网络资源形成企业专用网,它融合了防火墙和Ipsec隧道加密技术的优点,可以为整个集团内部通信提供安全的信息传输通道,还可以简化网络管理、节约成本。VPN有隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术四项核心技术,为网络安全提供了一定保障。入侵检测是指通过对行为、审计数据、安全日志或其它网络上可获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测技术是为了弥补防火墙的不足,主动检测来自系统外部的入侵、监视防火墙内部的异常行为。实时监控是会计信息系统必备的措施。通过建立操作日志,对日常会计活动中进行全程跟踪,对大额的、异常的经济业务单独列示,详细反映,及时提醒。(2)硬件安全。硬件系统安全,会计信息系统的正常运行必须要有良好的硬件设备,从硬件系统的配置和管理两方面提出保证。配置方面,选用合适的输入输出设备、调制解调器(MODEM)、路由器等互联设备、及适当的网络服务器。同时,硬件设备必须有过硬的质量和性能,并且数据安装双硬盘,数据双重备份;管理方面,制定机房相关设备的定期检查制度,做好机房防火、防尘、防水、防盗及恒温等保障措施,使用UPS电源(防止停电导致信息中断),重要数据远程备份,安装机房报警系统等。(3)软件安全。操作系统是整个信息系统安全的基础。一方面,要尽量选择拥有自主知识产权的操作系统,减少“暗门”等对系统安全的影响。目前,我国计算机所使用的操作系统基本上是舶来品,因为缺少自主的技术,会计信息资料网络安全性较低,不能满足会计信息所要求达到的保密程度,对高水平的国产化软件有着迫切的需求;另一方面,会计信息从业人员要注意对操作系统的正确使用,如实时扫描漏洞并进行修补,对帐号、密码及权限进行管理,纪录安全日志并进行审计,下载补丁等,都可以提高操作系统的安全性。数据库软件,会计信息系统的核心就是存储在数据库中的数据,这是一切应用的基础,故需要对数据的安全性、完整性、保密性等方面采取保护措施。在开发数据库软件时,要考虑数据库系统的稳定性、可扩展性和高效性,以及安全性。各种外部数据信息导入之前,必须要经过病毒检测程序,同时对财务数据的导出,必须严格控制,防止信息外泄。对财务软件系统的修改维护必须报经相当领导批准同意。数据备份和数据容灾是保护数据库的重要措施,数据备份是指在远程网络设备上保存数据,防止数据的丢失和损坏;数据容灾是指在异地建立两套或多套功能相同的IT系统,相互进行状态监视和功能切换,当一处系统因意外停止工作时,整个应用系统可以切换到另一处,使系统功能可以继续正常工作。(4)安全管理制度。包括应用控制、数据控制、访问控制、安全管理体系、内部审计五个方面。应用控制是指在会计信息系统中,应用控制指的是对具体的数据处理活动进行控制,包括数据的输入、输出和处理控制。数据输入时,会计信息系统要能达到纠正数据合理性、重复输入校验、逻辑关系测试等工作。网络环境下,会计资料的输入由多人承担,可设置不同的复核方式,由系统对存在差异的数据进行比较。多用户同时进行操作时,系统自动生成连续的凭证号,使数据有效清晰。严格限制财务数据的修改权限,对修改数据的操作,应提供可打印备查界面。电子数据发放及接收都有认证机构提供的记录清单,以保证双方权益。数据控制又称数据保护,可分为安全性控制、完整性控制、并发控制和恢复。安全性控制主要是为了防止数据泄密和破坏,主要措施是授权和收回授权。对企业前内部人员,一定要及时收回授权;完整性控制是为了保证数据的正确性和相容性。数据通信传输过程中保证数据的完整,如果有被篡改的情况,接收方能通过软件及时检测出来。数据输入能否正确进入系统,与数据库软件的输入方式、数据格式及相关数据导入兼容转换有着很大关系。我国很多企业有结合自身特色的会计信息系统,为提高会计信息系统的管理层次,还需将财务信息系统与企业其他管理信息进行有机结合。同时,各不同的财务软件之数据交换,制定统一并规范的标准。并发控制是确保在多个事务同时存取数据库中同一数据时不破坏数据库的统一性。恢复这是指数据库系统发生故障后,能够自动恢复到正常的机制。访问控制是保证网络安全最重要的核心策略之一,主要任务是保证网络资源不被非法使用和访问。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。会计计信息数据的访问仅限于经过授权的用户,并且层层加密,禁止处理未经授权的业务。对关键财务信息资源,授权范围应尽可能小。按照网络环境下会计信息系统的需要,设定各级岗位责任及权限,防止非法操作;对不相容的职务要注意分离,不同岗位之间设定一定的制约机制。如系统管理员不能从事日常会计处理业务,记帐凭证一定要复核员复核才能生成帐簿。安全管理体系,严格完善的法律、法规与规章制度是网络环境下会计信息安全的制度保证。我国目前还没有专门的网络会计信息安全的法律法规,暂时还不能满足现有信息安全的需求。因而应逐步制定出符合我国国情的网络会计法律体系,规范网络交通购销支付以及核算行为,为网络会计的发展提供良好的法制环境。另一方面,企业自身也应建立安全管理部门,制定安全管理制度对操作人员实行安全技能培训。使会计信息系统从开发、用户管理、业务操作、数据存