浅析税务系统网络与信息安全风险及防范

关键词： 信息系统 网络

浅析税务系统网络与信息安全风险及防范（通用9篇）

篇1：浅析税务系统网络与信息安全风险及防范

浅析税务系统网络与信息安全风险及防范

摘要：随着税务系统信息化的快速发展,税收征管向科学化、精细化迈进,税收工作对网络与信息系统的`依赖性越来越大,税务系统网络与信息安全问题日渐凸显.本文通过对税务系统信息化建设现状进行分析,找出其存在的风险及安全需求,从制度和技术的角度提出构建税务系统网络与信息安全保障体系的建议.作 者：黄俊波 作者单位：彝良县地方税务局,云南昭通,657600期 刊：现代经济信息 Journal：MODERN ECONOMIC INFORMATION年，卷(期)：,“”(6)分类号：X9关键词：网络与信息安全 安全意识 网上申报 PKI 风险评估

篇2：浅析税务系统网络与信息安全风险及防范

基层税务机关网络与信息安全风险及对策

文章以税务系统网络建设为切入点,结合天津地税局网络,重点分析了基层税务机关网络与信息管理中存在的安全风险并提出相应对策.

作 者：周英辉 作者单位：天津市财税信息中心,天津,300042刊 名：现代企业文化英文刊名：MORDEN ENTERPRISE CULTURE年，卷(期)：”"(27)分类号：X178关键词：税务机关 网络与信息安全 局域网漏洞

篇3：浅析税务系统网络与信息安全风险及防范

一、网络会计信息系统所面临的主要安全风险

网络会计信息系统的安全风险主要指由于人为的或非人为的因素使得网络系统保护安全的能力减弱, 从而造成系统的信息失真、失窃, 企业资产损失, 系统硬件、软件无法正常运行等结果发生的可能性。

(一) 计算机硬件、软件方面的安全风险

网络会计信息系统最关键的是要运行安全可靠, 快捷方便。如果网络系统硬件选配的质量低劣, 功能欠缺, 性能落后则会造成系统轻则反应迟钝, 效率降低, 重者经常死机, 财务系统瘫痪。此外, 由于操作系统软件和会计应用软件的配置、升级不当, 也会带来不安全因素。例如一般操作系统厂商会定期针对系统漏洞发布安全补丁, 如果我们不及时安装这些补丁, 那么系统就处在极大的风险下。

(二) 会计信息的失真风险

财务系统数据的真实性是指录入到财务系统中的数据应该真实地反映一个企业的财务状况。由于会计环境的网络化, 会计信息失真的形式更为隐蔽。这里指的会计信息的失真主要指客观上, 财务人员的误操作可能会将不实信息录入到系统中形成的;主观上, 财务人员有机会伪造、修改和销毁企业重要的数据;存储上, 数字化会计信息系统的信息在不当条件下保存 (受热、受潮) 容易损坏丢失。

(三) 网络环境引起的系统风险

会计信息系统建立在网络环境的基础上, 并且成为电子商务的重要组成部分。在这种情况下, 会计信息系统的安全风险比单机情况下大大提高。这主要涉及到如下三个方面:

1. 跨区域财务系统的协同工作的安全。

例如, 总部和异地分支机构通过互联网处理、传递、分发财务信息, 信息容易遭受攻击。相比主机终端计算模式, C/S、B/S模式下服务器和客户端数据一致性很难保证, 需要更严格的数据核对、平衡检查和冲正机制。此外, 由于异地访问入口的开放, 若访问控制失当, 就容易发生远程滥用和越权访问, 如数据非法下载、调阅和输出。也有可能发生公网计算机假冒分支机构的客户机, 对企业的会计信息和中心数据库的安全构成直接威胁。

2. 来自企业合作方和社会管理部门对网络财务系统的安全威胁。

随着交易的网络化, 合作企业需要连接企业的网络来实现网上下订单, 财务结算等业务, 如果处理不当, 容易造成企业信息泄露, 危害正常的企业间合作。另外, 企业的财务报告越来越多的由书面向网络形式的转移, 企业通过政府指定网站或者自己的门户站点来披露会计信息, 以更好地满足社会各方对企业会计信息的需求。企业财务信息系统和社会部门直接连通, 引入了新的安全风险。

3. 数据在传输过程中遭到非法窃听和截取。

财务系统依托的以太网络体系使用的是开放式的TCP/IP协议, 以广播的形式进行传播, 会计信息在网络传输的过程中存在被篡改、伪造、恶意破坏、窃取等各种隐患, 造成会计数据的错误、丢失、泄露, 严重影响会计信息使用者的决策, 给企业带来无法估量的损失。

二、影响网络会计信息系统安全的主要因素

把上述这些风险概括起来, 纠其原因, 可以归纳为会计信息系统内部控制和网络信息平台两方面因素造成的。

(一) 会计信息系统内部控制不安全

在网络环境下, 计算机能够将许多不相容工作内容自动合并完成, 会计信息系统容易形成内部控制隐患。如果不能有效地定义和实施会计岗位的分工和相互监督, 操作人员可越权篡改程序和数据文件, 通过对程序非法改动, 导致会计数据不真实、不可靠, 以此达到某种非法目的。因此系统管理员、数据录入员、数据管理员和专职会计员等岗位分工不清是造成会计信息安全的重要原因。正是由于网络会计信息系统数据的开放性、共享性及自动集成, 如果没有完善的内部控制制度, 可能由于操作人员一个人的差错, 会导致整个系统错误的信息, 甚至给企业带来巨大损失。

财会人员专业素质和道德品质也是企业内部控制的一大隐患。这里主要指是由财会人员专业素质及道德品质的缺失在会计信息进行记录、维护、处理和报告过程中所带来的风险。主要可表现为输入过程中对交易或事项的虚构或篡改、信息加工过程中会计人员职业判断的失误或操作误差、数据输出错误等方面。

会计档案的备份不当也是一个重大的安全隐患。由于备份策略和方法不科学, 很可能造成备份资料失去了时效性, 或者发现由于备份介质没有保存在恒温恒湿的环境中, 备份磁带已经失效了, 造成不可挽回的损失。

(二) 网络信息平台不安全

1. 计算机系统硬件故障, 包括PC客户端, 网络服务器, 数据储存设备及网络设备等硬件是导致网络会计信息硬件系统安全的直接原因, 一旦硬件出现故障, 可能带来的危害是致命性的。

2. 软件系统的正确选型和配置是网络财务系统安全运行的关键。如果软件选型不当, 或未及时升级软件补丁, 安全配置参数不合格等, 都会降低软件安全运行的等级和效率, 出现安全漏洞, 易受到外来攻击破坏等, 甚至会使正常的电子记账都无法实施, 从而会给会计工作带来很大的安全风险。

3. 网络传输中由于黑客, 病毒, 木马入侵, 造成非法访问、信息泄露、非法拷贝、盗窃以及非法监视、监听等风险。近年来由于没有安装防病毒软件或及时进行系统安全补丁升级, 以及网络黑客入侵造成企业信息的丢失, 甚至系统瘫痪的例子可以说数不胜数。

4. 数据中心的安全风险。我们一般把财务系统的主机放置在数据中心, 那么数据中心的物理安全就成了风险的又一来源。数据中心的消防设施, 冗余电源及门禁控制是我们必须要重视的防范财务风险的一大内容。很多单位对这一方面不是很重视, 数据中心没有统一的门禁控制, 对进出数据中心的人员也没有限制, 敏感财务数据很容易从数据中心被窃取出来, 对企业造成损害。

三、防范网络会计信息系统风险的措施

通过上述的网络会计信息系统的风险分析, 我们可以知道在现有的技术条件下要完全杜绝风险是不可能的。为了保证会计信息系统安全稳定地运行, 我们应当制定必要的安全防范策略, 改进、加强计算机平台的设计和管理, 把网络会计信息系统的风险降到最低, 使会计信息系统的技术风险防范能力不断提高到一个新的水平。我们主要从以下几方面入手来改进现有的网络会计系统。

(一) 完善内部管理, 制定完善的管理制度

1. 加强系统内部控制, 实行用户分级授权管理, 建立岗位责任制。

通过计算机舞弊、盗取、伪造会计数据的大多是财务人员的工作职责分工不清造成的。要保证会计数据的安全, 首先就要完善相关人员职能控制制度, 明确分工规定每个岗位的职责。企业应将这些岗位予以分离, 特别是系统操作人员、管理人员和维护人员这三类不相容职务一定要相互分离, 互不兼任。在各岗位之间建立起相互联系、相互监督、相互牵制的关系。

将财务软件信息系统进行分级管理, 对各种数据的读、写、修改权限进行严格限制, 把各项业务的授权、执行、记录以及资产保管等职能授予不同岗位的用户, 并赋予不同的操作权限, 拒绝其他非授权用户的访问。

会计信息系统是企业的关键系统, 各类账号的增加减少应当记录在案, 新增账号应该有相应的审批流程。人员变动以后, 账号要及时调整。同时应加强对财务人员工作规范的教育, 例如上机人员操作完毕后, 必须及时退出系统, 以防他人利用自己的身份进入系统。

2. 定期审核, 完善内部审计制度。

引进定期的审核制度, 对财务系统的各类人员职责进行审计, 内部审计是强化内部控制制度的一项基本措施。内部审计部门不仅应审核日常会计账目, 以保证网络环境下会计信息系统的正常运行, 还应对内部控制体系进行系统的检查, 对企业内部控制体系的有效性进行评估, 并提出改进建议。

3. 加强财务人员的职业道德教育和培训。

财务人员的道德教育也是防范网络会计风险的重要一环。为提高会计人员的专业素质和道德素养, 要加强对会计人员的后续教育, 通过会计培训使财会人员不断汲取新知识, 不仅掌握现代网络技术, 而且充分认识到会计人员的职业道德的重要性, 自觉抵制各种诱惑, 切实遵守各项规章制度。

4. 完善财务档案管理。

一般可以选用磁带作为备份介质, 目前市面上一般磁带产品的寿命都在 (下转第52页) (上接第49页) 5000次全程读写以上。在选择存放环境时应注意充分满足其防火、防水、防潮、防尘、防磁、恒温等技术条件。鉴于企业财务信息的重要性, 必须对财务数据进行备份。除了每天的磁带备份外, 定期的磁带恢复也是很重要的。定期检查、复制, 根据需要一般可以每季度作一次归档备份和周备份的恢复测试, 确保磁带内容的可用性。

(二) 采用多种网络安全技术强化系统安全

因为财务软件架设在计算机平台上, 那么整个计算机平台及所依赖的网络环境的安全可靠性就变得很重要了。

1. 提高操作系统的安全可靠性。

要提高操作系统的安全可靠性, 首先要选用安全的操作系统。目前主要的操作系统 (Windows/Linux/Unix) 等级均为C2级。在使用C2级系统时, 应尽量使用C2级的安全措施及功能, 对操作系统进行安全配置。

财务软件的客户端一般不允许安装其他不相关的软件。防病毒软件必须是正版的, 并且要及时更新病毒库。如果财务软件是基于浏览器/服务器模式 (B/S) , 那么还必须安装认证证书, 以防网络上非法客户端的连接, 在网络环境下, CA认证中心及数字证书为解决身份真实性问题提供了有效的技术机制。

数据在网络上传输要进行加密处理, 以及建立系统日志审计制度, 对用户访问信息实行存取控制等防范措施。根据需要, 有能力的单位还可以对财务系统作双机备份。任何一台服务器发生故障, 另外一台可以马上替换上来。

2. 互联网安全。

由于财务系统是基于网络, 因此必须确保网络的安全性, 一般企业网要建立可靠的防火墙和黑客入侵检测的设备。防火墙是架构在本地网络与外界网络之间的通信控制设施, 对双向的访问数据流实施逐一检查, 允许符合企业安全政策的访问, 拦截可能危害企业网络安全的访问, 从而对企业内部网上敏感数据资源或服务加以保护。防火墙虽然能抵御网络外部安全威胁, 但对网络内部发起的攻击无能为力。动态地监测网络内部活动并做出及时的响应, 就要依靠基于网络的实时入侵监测技术。

3. 数据中心的安全管理。

数据中心的安全管理主要指数据中心的物理环境管理, 特别要加强数据中心的门禁管理, 只有经授权的相关人员才可以进入机房。数据中心的供配电系统要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应在任何情况下都不会间断, 做到无单点失效和平稳可靠。

网络会计信息系统在运作中存在着一定的风险, 如果处理不当, 会对企业的正常运行造成不利的影响。但与传统会计相比它的优势是显而易见的, 我们只要重视目前存在的问题, 加强企业管理和内部控制, 改进计算机网络平台的安全性, 最大限度地发挥它的优势, 网络财务系统将会得到更广泛地应用, 更好地为经济建设服务。

参考文献

〔1〕郑艳华.论网络会计安全问题及防范〔J〕.商场现代化, 2006 (12) .

〔2〕潘东高.论网络会计信息系统风险及其管理〔J〕.科技进步与对策, 2003 (8) .

〔3〕付得一.会计信息系统〔M〕.高等教育出版社, 2004.

篇4：浅析税务系统网络与信息安全风险及防范

关键词 电力网络；防范技巧；安全防火墙

中图分类号 TP311 文献标识码 A 文章编号 1673-9671-(2012)051-0170-01

随着电力企业内部网络信息数据中心的建立、营销业务的推广运用、财务系统的更新换代、EIP系统的建立、办公自动化的发展和推广，ERP项目的上线，极大的方便了电力员工的日常工作，提高了工作效率，节约了办公成本，信息网络化改变了人们的生产生活模式、拉近了彼此之间的距离，同时，信息系统的运行压力也逐渐增大，如何保障电力企业信息网络安全稳定运行，逐渐成为网络建设必须考虑的中一个重要的问题。

1 电力企业内部网络存在的安全风险

电力企业内部网络存在的安全风险主要来自两个方面：一是不可抗力或自然环境因素等非人为造成的威胁；二是人为主观或者无意识的网络威胁。

1.1 非人为因素

1）火山爆发、地震、雷电、火灾、水灾等自然灾害引起的网络故障，某些灾害甚至无法避免，如：跨越洲际的国际海底光缆，据统计，连接欧洲与北美洲的大西洋海底光缆，每年都会由于海底地震发生光缆断裂的事故。

2）由于温度异常、湿度异常、灰尘、尘土、强磁场干扰、电力故障、通信故障等设备所在环境引起的网络故障。

3）由系统软件、应用软件、设备硬件等造成的设备故障，由于网络设备系统集成错误，或者设备老化等带来的威胁。

1.2 人为因素

1）账户外泄。由于员工缺乏安全意识或设置不当而将企业信息系统账户密码泄露，从而被利用，比如：办公自动化系统密码、电力管理生产系统密码、ERP登录密码等，简单的设置为纯数字、手机号码、亲人生日等，这些都极有可能成为安全隐患，被人窃取。

2）内部计算机文件共享。电力是国计民生的重要支柱，电力企业内部许多信息属于商业秘密或国家机密，未控制的文件共享极易被人非法盗取内部资料，从而给企业和国家造成巨大损失。

3）系统漏洞。

漏洞即某个程序（包括操作系统）在设计时未考虑周全，当程序遇到一个看似合理，但实际无法处理的问题时，引发的不可预见的错误。

4）由于误操作传输错误的或不应传送的数据、不恰当的管理系统、数据库、无意的数据操作，导致安全问题、设备（如笔记本）丢失、不当的使用设备等误操作给设备及网络安全带来的

威胁。

5）远程维护端口被非授权的使用、数据传输或电话被监听、办公地点被非授权的控制、未经授权将设备连接到网络等网络侦听、非授权控制等方式。

6）拒绝服务攻击、口令的暴力攻击、伪装、伪造证书、密码猜测攻击，这些采用网络欺骗、遍历攻击等手段获取口令、密码的方式。

2 网络信息安全的防范技巧

电力企业网络安全包括系统结构本身的安全及桌面终端设备信息安全，所以利用结构化的观点和方法来看待电力企业信息网络安全系统，电力企业网络信息安全防范主要由以下两个层面

完成。

2.1 先进网络安全防范技术

1）VLAN（虚拟局域网）技术。VLAN指通过交换设备在网络的物理拓扑结构基础上监理一个逻辑网络，它依据用户的逻辑设定将原来物理上互联的一个局域网划分成多个虚拟子网，划分的依据可以是设备所连端口、用户节点的MAC地址等。选择VLAN技术可较好地从链路层实施网络安全保障，该技术有效地控制网络流量、防止广播风暴，还可利用MAC层的数据包过滤技术，对安全性要求高的VLAN端口实施MAC帧过滤。

2）及时更新操作系统补丁。微软公司每年都会公布大量的系统漏洞，然后在官方网站提供漏洞补丁供用户下载，防范木马病毒进入电脑的一个最佳办法就是及时更新操作系统补丁，然后用漏洞扫描工具检测以下系统是否存在漏洞，直到修复到没有任何已公布的漏洞为止。

3）安装杀毒软件及防火墙。网络防病毒软件是目前人们最普遍使用的手段之一，它对计算机进行查毒、扫描、检查、隔离、报警，当发现病毒时，会采取应急措施，优秀的杀毒软件还具备主动防御的功能，达到保护网络安全的目的，防火墙应用于网络安全防范基本原来是在内部网络和外部网络之间建立起一道屏障，通过内外网之间信息交流的检查，通过防火墙来决定哪些内部信息可以被外部网络访问，哪些外部信息可以被内部网络访问，对杀毒软件和防火墙的及时升级也是保护计算机安全的必做工作。

4）安全设置administrator帐号口令。Administrator帐号是系统的管理员帐号，在默认情况下系统没有对它设置密码，这样很容易被黑客检测并破解，所以必须设置安全密码，安全的密码是字母数字特殊符号的组合，长度不低于8位。

5）控制移动存储设备，加强内部涉密人员管控，近些年的安全防御调查表明，政府、企业单位中超过70％的管理和安全问题来自单位内部人员，特别是移动存储介质的普遍应用，因此使用安全加密优盘是控制信息泄密的重要途径。

6）使用VPN（虚拟隧道）技术，按业务分别建立对应的三层VPN，各VLAN段建立符合实际要求的网络访问控制列表，将网络按部门（楼层）进行分段，对各段网络配置对于的访问控制，设置高强度的网络登录密码，保证网络的安全性。

2.2 从制度规范等管理措施上保障网络信息安全，为技术保障的有效实施创造良好的条件

1）成立网络信息安全组织机构，例如：成立某公司信息安全

领导小组，小组成员包括：公司领导层人员、信息安全管理层人员、信息安全网络技术实施保障人员等，并对各人员工作职责提出具体要求，尤其是必须明确技术实施保障人员的工作要求。

2）运用国家电网公司统一的标准化信息安全管理模式，规范日常网络处理流程，严格控制网络接入程序，对新进网络施行过程化管理，例如：申请入网人员必须填写“某公司入网申请单”，并对操作人员严格施行信息网络处理“两票三制”管理，即：操作票、工作票、交接班制、巡回检查制、设备定期试验轮换制，从制度上保证信息网络安全管理。

3）建立电网信息安全事故应急处理预案，例如“突发情况下某某大楼信息系统应急处理预案”，预案所要求的各项信息设备必须作为信息安全重要物资交由信息应急指挥人员保管，相关信息运维人员必须在信息事故发生的第一时间到岗到位、信息预案操作流程必须准确到位，各应急单位要定期进行应急演练，保证在发生信息安全事故之时队伍能够拉得出、打得赢。

4）建立配套的绩效管理机制，以促进信息安全运维人员树立良好意识，提高自身信息网络管理能力。

3 小结

电力作为国家支柱产业，其顺利运行与国民经济发展、社会进步密切相关。基于网络的特殊性，有关供电系统数据网的安全问题不容忽视，要保障其网络的安全可靠运行，不能仅仅依靠防火墙等单个的系统，而需要仔细考虑系统的安全需求，并将各种安全技术，如密码技术等结合在一起，方能生成一个高效、通用、安全的网络系统。

参考文献

[1]侯康.浅谈电力调度数据网及其维护[J].科技信息,2011,1.

[2]刘畅,周国强.电力调度数据网解决方案分析[J].科技创新导报,2010,18.

篇5：网络与信息系统安全防范应急预案

为保证我公司信息系统安全，加强和完善网络与信息安全应急管理措施，层层落实责任，有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响，确保信息系统和网络的通畅运行，结合实际，特制定本应急预案。

一、总则

（一）工作目标

保障信息的合法性、完整性、准确性，保障网络、计算机、相关配套设备设施及系统运行环境的安全，其中重点维护铁路局办公网络信息系统、多元投资集团办公网络信息系统的信息安全。

（二）编制依据

根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机网络信息安全保密制度》《涉密存储介质保密管理规定》、计算机网络保密要求“五条禁令，十个不得”等相关法规、规定、文件精神，制定本预案。

（三）基本原则

1、预防为主。根据《计算机信息安全管理规定》的要求，建立、健全计算机信息安全管理制度，有效预防网络与信息安全事故的发生。

2、分级负责。按照“谁主管谁负责，谁运营谁负责”的原则，建立和完善安全责任制。各部门应积极支持和协助应急处置工作。

3、果断处置。一旦发生网络与信息安全事故，应迅速反应，及时启动应急处置预案，尽最大力量减少损失，尽快恢复网络与系统运行。

（四）适用范围

本预案适用于公司所属各单位，公司各部门。

二、组织体系

成立网络与信息安全领导组，为我公司网络与信息安全应急处置的组织协调机构。

1．网络与信息安全应急领导组组长由主管领导担任，成员由各部门负责人及相关人员组成。负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。

2．网络与信息安全应急领导组下设办公室。由部门主任担任检查组长。

职责：

（1）负责和处理应急领导小组的日常工作，检查督促应急领导组决定事项的落实。（2）负责网络与信息安全应急预案的管理，指导督促重要信息系统应急预案的修订和完善，检查落实预案执行情况。

（3）指导全公司应对网络与信息安全突发公共事件的预案演习、宣传培训、督促应急保障体系建设。

三、预防预警

1.信息监测与报告。

（1）按照“早发现、早报告、早处置”的原则，加强对公司属各单位、各部门有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时，按规定及时向应急领导小组报告，初次报告最迟不得超过1小时，重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

（2）建立网络与信息安全报告制度。发现下列情况时应及时向应急领导小组报告： 利用网络从事违法犯罪活动的情况；

网络或信息系统通信和资源使用异常，网络和信息系统瘫痪，应用服务中断或数据篡改，丢失等情况；

网络恐怖活动的嫌疑情况和预警信息； 其他影响网络与信息安全的信息。2.预警处理与发布。（1）对于可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施控制事态，并向应急领导小组汇报情况。

（2）应急领导小组接到报告后，应迅速召开应急领导小组会议，研究确定网络与信息安全突发公共事件的等级，根据具体情况启动相应的应急预案，并向相关部门进行汇报。

四、应急预案

（一）网站、网页出现非法言论时的应急预案

1、网站、网页由负责网站维护的管理员随时监控信息内容。

2、发现在网上出现非法信息时，网站管理员立即向信息安全领导小组通报情况，并作好记录。清理非法信息，采取必要的安全防范措施，将网站、网页重新投入使用；情况紧急的，应先及时采取删除等处理措施，再按程序报告。

3、网站管理员应妥善保存有关记录、日志或审计记录，将有关情况向安全领导小组汇报，并及时追查非法信息来源。

4、事态严重的，立即向上级领导报告。

（二）黑客攻击或软件系统遭破坏性攻击时的应急预案

1、重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日的备份，并将它们保存于安全处。

2、当管理员通过入侵监测系统发现有黑客正在进行攻击时，应立即向局信息安全领导小组日常应急办公室报告。软件遭破坏性攻击（包括严重病毒）时要将系统停止运行。

3、管理员首先要将被攻击（或病毒感染）的服务器等设备从网络中隔离出来，保护现场，并同时向信息安全领导小组报告情况。

4、日常应急办公室负责恢复与重建被攻击或被破坏的系统，恢复系统数据，并及时追查非法信息来源。

5、事态严重的，立即向上级领导报告。

（三）数据库发生故障时的应急预案

1、主要数据库系统应定时进行数据库备份。

2、一旦数据库崩溃，管理员应立即进行数据及系统修复，修复困难的，可向县信息产业中心汇报情况，以取得相应的技术支持。

3、在此情况下无法修复的，应向信息安全领导组报告，在征得许可的情况下，可立即向软硬件提供商请求支援。

4、在取得相应技术支援也无法修复的，应立即向上级领导报告，在征得许可、并可在业务操作弥补的情况下，由信息安全岗人员利用最近备份的数据进行恢复。

（四）设备安全发生故障时的应急预案

1、小型机、服务器等关键设备损坏后，管理员应立即向上级领导报告。

2、安全岗负责人员立即查明原因。

3、如果能够自行恢复，应立即用备件替换受损部件。

4、如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。

5、如果设备一时不能修复，应向上级领导汇报，并告知各部门，暂缓上传上报数据，直到故障排除设备恢复正常使用。

（五）内部局域网故障中断时的应急预案

1、办公室平时应准备好网络备用设备，存放在指定的位置。

2、局域网中断后，网络安全岗负责人员应立即判断故障节点，查明故障原因，并向日上级领导汇报。

3、如属线路故障，应重新安装线路。

4、如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅。

5、如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测通畅。

6、如有必要，应向上级领导汇报。

（六）广域网外部线路中断时的应急预案

1、广域网线路中断后，管理员应向上级领导报告。

2、管理员应迅速判断故障节点，查明故障原因。

3、如属可即时恢复范围，由网络管理员立即予以恢复。

4、如属电信运营商管辖范围，应立即与电信运营商的维护部门联系，要求尽快修复。

5、如果恢复时间预计超过两小时, 应立即向上级领导汇报。经领导同意后，应通知各部门暂缓上传上报数据。

（七）外部电中断后的应急预案

1、外部电中断后，值班室应立即向管理员汇报情况。

2、如因局内线路故障，由行政部通知维修人员迅速恢复。

3、如果是局外部的原因，由行政部立即与供电局联系，请供电局迅速恢复供电；如果供电局告知需长时间停电，提前做好存档工作。

（八）机房发生火灾时的应急预案

1、一旦机房发生火灾，应遵循下列原则：首先保证人员安全；其次保证关键设备、数据安全；三是保证一般设备安全。

2、人员灭火和疏散的程序是：应首先切断所有电源，同时通过119电话报警。并从最近的位置取出灭火器进行灭火，其他人员按照预先确定的路线，迅速从机房中有序撤出。

五、应急响应

1.先期处置。

（1）当发生网络与信息安全突发公共事件时，值班人员应做好先期应急处置工作，立即采取措施控制事态，同时向行政部报告。

（2）行政部在接到网络与信息安全突发公共事件发生或可能发生的信息后，加强与有关方面的联系，并做好启动本预案的各项准备工作。

2.应急指挥。

预案启动后，要抓紧收集相关信息，掌握现场处置工作状态，分析事件发展态势，研究提出处置方案，统一指挥网络与信息应急处置工作。3.应急支援。

预案启动后，立即成立应急响应先遣小组，督促、指导和协调处置工作。根据事态的发展和处置工作需要，及时增派专员小组，调动必需的物资、设备，支援应急工作。

4.信息处理。

（1）应对事件进行动态监测、评估，将事件的性质、危害程度和损失情况及处置工作等情况，及时汇报领导，不得隐瞒、缓报、谎报。

（2）要明确信息采集、编辑、分析、审核、签发的责任人，做好信息分析、报告和发布工作。

5.应急结束。

网络与信息安全突发公共事件经应急处置后，由事发部门向上级领导提出应急结束的建议，经批准后实施。

五、后期处置 1.善后处理。

在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。

2.调查评估。

在应急处置工作结束后，行政部应立即组织有关人员和专员组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，并根据问责制的有关规定，对有关责任人员作出处理。

六、保障措施 1.数据保障。

重要信息系统均应建立备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。

2.应急队伍保障。

按照一专多能的要求建立网络信息安全应急保障队伍。3.经费保障。

落实网络与信息系统突发公共事件应急处置资金。

七、监督管理 1.宣传教育。

要充分利用各种传播媒介及有效的形式，加强网络与信息安全突发公共事件应急和处置的有关法律法规和政策的宣传，开展预防、预警、自救、互救和减灾等知识的宣讲活动，普及应急救援的基本知识，提高公众防范意识和应急处置能力。

要加强对网络与信息安全等方面的知识培训，提高防范意识及技能，指定专人负责安全技术工作。并将网络与信息安全突发公共事件的应急管理、工作流程等列为培训内容，增强应急处置工作的组织能力。

篇6：税务系统网络的信息安全建设论文

规章制度是各项工作顺利开展的标准准则，税务系统也是如此，通过建立严格的安全管理制度，有助于建设税务系统网络，提高税务系统的安全性，促进税务系统工作的顺利开展。税务信息系统对数据信息的安全性具有较高的要求，建立严格的安全管理制度，需要从以下几个方面着手，第一，需要加强领导，明确按照上级信息管理部门的要求建立规章制度，根据税务系统的特点与相关情况，制定出完善的业务部门与信息部门的规章制度，根据系统权限，对管理办法进行分配与制约，健全管理体制，采用负责制方式进行管理，即明确责任，谁赋予，谁负责，加强管理。第二，需要对各个科室以及分局进行分别管理，将责任落实到个人，要求每台计算机都需要具有专人负责，需要进行操作系统加密，还需要设置密码，防火墙等，通过设置层层权限，确保信息的安全性，消除安全隐患。除此之外，为了防止口令外泄，需要实行口令即责任原则，对口令泄露，执法过错等问题进行追究，明确责任人，加强管理，建立严格的安全管理制度。

2.2建立安全响应体系，加强基础资金投入

一方面，建立安全响应体系，可以对相关信息与数据进行备份，可以最大可能保护税务信息的安全性，最大可能防止意外的发生，发挥了重要的作用。因此，建立安全响应体系，对重要信息数据进行双重备份发挥了重要的作用，首先，需要在上级税务机关进行备份，要求上级税务机关代为备份管理，以免出现意外情况，有备无患。其次，需要在本级税务机关进行备份，确保数据的安全性，最大可能保证数据信息的可恢复性。除此之外，还需要对各部门进行分类，制定分类的标准，为每一类计算机都做一个镜像，并单独放在计算机上，保证在计算机系统遭受破坏时，可以第一时间进行恢复，提高税务信息系统的安全性。另一方面，加强基础资金投入，通过加大资金投入，可以增加防雷措施，改造电路，将老化设备进行替换更新，降低计算机出现故障的可能性，将计算机突然故障导致数据丢失的可能性降到最低。加强资金基础投入，需要要求上级税务机关设立专项资金，加大基础资金的投入，专款专用，提高税务系统硬件设施，为税务系统的发展创造有利的条件。

2.3计算机病毒的防范方案

计算机病毒侵入是影响税务信息系统的安全性的主要问题，因此，做好计算机病毒的防范工作十分重要，制定计算机病毒防范方案，做好防范工作具有重要的意义。第一，做好预防措施，查杀病毒是一种被动的方式，预防病毒才能够更好的对付计算机病毒，才能有效地扫描并清除计算机病毒，做好防范工作，因此，利用传统的方式进行改变，以防治为主十分重要。第二，选择优秀的防病毒软件，现阶段，税务系统的应用水平不高，主要采用单机版杀毒，很难对网络病毒进行彻底的消除，可见，防病毒是一个动态的，技术对抗过程，选择优秀的计算机病毒软件，可以做好维护功能，为用户提供方便。除此之外，病毒更新速度较快，杀毒软件的病毒库更新速度也较快，需要选择优秀的防病毒软件，有效解决计算机病毒侵入问题。第三，安装防火墙，做好以网为本，进行多层防御。防治网络病毒，可以透过网络管理pc机，发挥网络的唤醒功能，进行扫描，检查病毒情况，做好防范工作，形成覆盖全网的防御体系，安装防火墙，做好安全防线，利用防火墙进行监控，及时发现病毒，及时消灭病毒，做好防御工作。第四，需要及时安装操作系统，目前，大多数病毒都是针对操作系统漏洞的，主要对数据库的漏洞进行攻击，因此，安装操作系统，对数据库进行补充十分重要，是降低病毒攻击几率的主要方式，会提高税务信息系统的安全性，通过程序升级，防范风险，保证税务信息系统的安全性。

3网络攻击的防范方案

互联网常见的攻击手段与防范方法主要分为以下几种，第一，扫描攻击，目前，常见的攻击形式就是扫描攻击，常见的扫描攻击方式就是探测tcp、探测bogus、无碎片标记等，扫描攻击主要依靠一些特殊的扫描包，获取一些重要的信息，达到攻击目的。面对这种攻击，需要加强防火墙设置，对一些不明安装包进行阻截，保护数据信息，降低攻击的几率。第二，木马攻击，木马攻击是一种十分常见的攻击方式，主要分为两个部分，第一部分，主要安装在被攻击的主机上，由攻击者自己操控，木马病毒打开一个缺口后，可以对主机进行监控，对计算机网络进行攻击。第二部分，对客户端服务器进行攻击，造成网络瘫痪。针对木马攻击，最为常见的就是禁止内外网主动连接，以此达到阻断外部链接的目的，组织外部与内部机器的通信，使木马病毒无法发动攻击。

4身份鉴别的解决方案

首先，在税务信息系统接受网上申报过程中，需要严格按照申报流程办事，需要保证信息的保密性与完整性，需要确保身份的确定性，保证发送方不可以否认。其次，需要颁发数字证书，通过颁发数字证书，发挥数字证书的强大功能，合理利用其密钥系统，发挥重要作用，达到身份鉴别的目的。保证发送信息出除接收方与发送方外，无他人窃取，保证信息过程不被篡改，保证发送方对信息不能抵赖。最后，需要采用自己的私钥对数据进行处理，确保信息的安全性，在利用数字证书进行加密后，用户也需要自己进行加密，保证信息的安全性，有效进行身份鉴别。

5总结

综上所述，税务信息系统建设工作是一个长期的，艰巨的工作，任重而道远，加强信息系统建设，提升税务系统的安全性尤为重要，是保障信息安全，维护网络稳定，提高税收准确性，保证税收工作顺利开展实施的关键，需要税务工作者共同努力，为税务系统网络与信息安全建设贡献力量。

参考文献：

[1]陆长虹,侯整风.金税工程(三期)信息安全保障体系的研究[J].微计算机信息,(6).

[2]徐炜,陶翔,徐国永.税收信息化建设中PKI技术的应用研究[J].计算机工程与设计,(9).

[3]朱永高.税务网络与信息安全问题浅析[J].企业经济,(4).

[4]黄俊波.浅析税务系统网络与信息安全风险及防范[J].现代经济信息,(6):2-3.

篇7：会计信息系统安全风险及其防范

一、会计信息系统安全风险的表现形式

会计信息系统的安全是指系统保持正常稳定运行状态的能力。会计信息系统的安全风险是指由于人为的或非人为的因素使得会计信息系统保护安全的能力减弱，从而造成系统的信息失真、失窃，企业资金财产损失，系统硬件、软件无法正常运行等结果发生的可能性。保护系统的安全就是保护系统免遭破坏或遭到损害后系统能够较容易再生，会计信息系统的安全风险主要表现在以下几个方面：

(一)企业资产损失。利用非法手段侵吞企业资财是会计信息系统安全风险的主要形式之一。其手段主要有：未经许可非法侵入他人计算机设施、通过网络散布病毒等有害程序、非法转移电子资金及盗窃银行存款等。随着犯罪技术的日趋多样化、复杂化，信息系统犯罪更加隐蔽，更加难以发现，涉及的金额也从最初的几千元发展到几万元，甚至上亿元，安全风险损失越来越大，后果也随之越来越严重。

(二)企业重要信息泄露。在信息技术高速发展的今天，信息在企业的经营管理中变得越来越重要，成为企业的一项重要资本，甚至决定了企业在激烈的市场竞争中的成败。网络的普及让信息的获取、共享和传播更加方便，同时也增加了重要信息泄密的风险。因此，利用高技术手段窃取企业重要机密成为了当今计算机犯罪的主要目的之一，也是构成系统安全风险的重要形式。比如：窃取企业重要的会计信息并泄露给竞争对手以达到某种非法目的等，常常会对企业造成无法估量的损失。

(三)系统无法正常运行。网络会计主要依靠自动数据处理功能，而这种功能又很集中，自然或人为的微小差错和干扰，都会造成严重后果。无论是无法避免的自然灾害，或者是出于非法目的而输入破坏性程序、操作者有意、无意的操作造成硬件设施的损害、计算机病毒的破坏等都有可能使会计信息系统的软件、硬件无法正常工作，甚至系统瘫痪，造成巨大损失，给企业带来很多不便。

二、影响会计信息系统安全的因素

影响会计信息系统安全风险的因素大致可以分为以下三个方面：硬件系统安全、软件系统安全以及会计操作人员的因素。

(一)硬件系统安全因素

1、不正确操作。计算机系统的操作人员对硬件设备的不正确操作可能会引起系统的损坏，从而进一步危害系统的安全。不正确的操作主要是指操作人员不按规定的程序流程使用硬件设备，例如不按顺序开机、关机，有可能烧毁计算机的硬盘，从而造成数据的泄露甚至导致数据的全部丢失。

2、人为因素。人的因素在保障会计信息安全过程中起着主导作用，会计信息系统操作人员出于主观故意篡改数据或不按操作程序操作，均会直接影响会计信息的真实性和可靠性、可用性;有意破坏系统硬件设备者可能是系统内部操作人员，也可能是系统外部人员。破坏者出于某种目的，例如发泄私愤或谋取不法利益，等等，从而破坏计算机硬件，致使系统运行中断或毁灭。这种破坏行为可能是以暴力的方式破坏计算机设备，也可能通过盗窃等手段破坏计算机系统，例如窃走存有数据的磁带或磁盘，或者利用计算机病毒的发作造成硬件损坏等。

3、不可预测的灾难。不可预测的灾难虽然发生的概率非常小，但不意味这不可能发生，一旦发生对信息系统的破坏性极大，所以必须引起足够的重视，例如火灾或某些元件的损坏，可能造成整个系统的崩溃。

(二)软件系统安全因素

1、计算机病毒。计算机病毒实际上是一段小程序，它具有自我复制功能，常驻留于内存、磁盘的引导扇区或磁盘文件，在计算机系统之间传播，常常在某个特定的时刻破坏计算机内的程序、数据甚至硬件。据统计，全世界发现的各种计算机病毒已经超过了24，000种，并且正以每月300～500种的速度疯狂的增长。由于病毒的隐蔽性强、传播范围广、破坏力大等特点，对远程网络会计信息传输的安全构成了非常大的威胁。查杀病毒已成为系统安全保护的一个重要的也是必不可少的内容。

2、网络黑客，也就是指非授权侵入网络的用户或程序。黑客最常用的诡计有以下几种：(1)捕获，许多程序能够使破坏者捕获到一些个人信息，尤其是口令;(2)查卡，这种程序是“捕获”程序的一部分，它主要捕获信用卡密码;(3)即时消息轰炸，利用即时消息功能，黑客可以采用多种程序，以极快的速度用大量的消息“轰炸”某个特定用户;(4)电子邮件轰炸，用数百条消息、以填塞某人的E-mail信箱，是一种确实可行的在线袭扰的方法;(5)违反业务条款，这种诡计相当于在网上陷害某人，有些程序可使这种欺骗活动看起来就好像是某个用户向黑客发送了一条攻击性的E-mail消息;(6)病毒和“特洛伊木马”，这些程序看起来像一种合法的程序，但是它静静地记录着用户输入的每个口令，然后把它们发送给黑客的网络信箱，从而通过盗窃系统合法用户的口令，然后以此口令合法登录系统以实现非法目的。

(三)会计操作人员的安全因素

1、操作人员篡改程序和数据文件。通过对程序做非法的改动，导致会计数据的不真实、不可靠、不准确或以此达到某种非法目的，例如转移单位资金到指定的个人账户。 2、有权和无权用户的非法操作。主要是操作员或其他人员不按照操作规程或非法操作系统，改变计算机系统的执行路径从而破坏数据的安全。

篇8：浅析税务系统网络与信息安全风险及防范

1 网络信息安全的定义

网络信息安全的定义是确保以电磁信号为主要形式的、在信息网络系统进行通信、处理和使用的信息内容, 在各个物理位置、逻辑区域、存储和传输介质中, 处于动态和静态过程中的保密性、完整性和可用性, 以及与人、网络、环境有关的技术安全、结构安全和管理安全。

简言之, 网络信息安全就是保证网络信息系统的合法用户在允许的时间内、从允许的地点、通过允许的方法, 对允许范围内的信息进行所允许的处理, 同时能有效防范非法用户访问与攻击网络信息系统。

2 网络信息安全管理的重要性

信息时代, 政治、经济、军事、科技和文化等信息成为国家的重要战略资源, 目前世界各国都不惜巨资, 招集最优秀人才, 利用最先进技术, 打造最可靠的网络。信息时代, 强国推行信息强权和信息垄断, 依仗信息优势控制弱国的信息技术。一旦信息弱国却步, 又缺乏自主创新的网络安全策略和手段, 国家的信息主权就有可能被葬送。因此, 网络信息安全成为左右国家政治命脉、经济发展、军事强弱和文化复兴的关键因素。

近年来, 网络攻击在政治、经济、军事领域造成严重后果的事件层出不穷, 如1996年8月17日, 美国司法部的网络服务器遭到黑客入侵, 并将“美国司法部”的主页改为“美国不公正部”, 令美国上下一片哗然;2005年6月, 美国最大信用卡公司之一的万事达公司众多用户的银行资料被黑客窃取, 酿成美国最大规模信用卡用户信息泄密案;2007年4月, 爱沙尼亚互联网遭俄青年运动组织纳什 (Nashi) 大规模网络袭击, 攻击者仅用大规模重复访问使服务器瘫痪这一简单手法, 就掌握了爱沙尼亚互联网的制网权, 此次事件被视为首次针对国家的网络战;2008年8月的俄格冲突中, 俄罗斯在军事行动前攻击了格鲁吉亚的互联网, 致使格政府、交通、通讯、媒体和金融服务业处于瘫痪状态, 此事件被定义为全球第一次针对制网权的、与传统军事行动同步的网络攻击, 也是第一次大规模网络战争。

因此, 网络信息安全不仅影响着政治、经济、军事、科技、文化的发展走势, 更与家国的安全紧密相连。

3 信息系统安全风险分析与对策

3.1 物理访问的安全管理

物理访问安全主要指对网络信息系统直接或近距离访问而造成的安全问题, 包括如下因素:非法使用、辐射、硬件故障、搭线窃听、盗用、偷窃等等。如线路窃听就是网上“黑客”们经常采用且很难被发现的手段。除光缆外的各种通信介质都不同程度的存在着电磁辐射。Modem、Terminal、电缆接口等亦都存在电磁辐射, 有些甚至可在较远距离内将信号还原。“黑客”们便经常利用这些电磁辐射, 使用各种高性能的协议分析仪和信道监测器进行搭线窃听, 对信息流进行分析, 将信号还原, 从而得到口令、ID及账号、涉密信息等敏感数据。

物理访问的风险大多来自恶意或具有犯罪倾向的人员 (:如:离职人员、竞争者、盗窃者、犯罪集团、黑客等) , 因此应制定对策, 保证硬件设施在合理的范围内能防止非法访问与入侵, 如:主要设备是否有安全保护措施 (防辐射、防盗窃、访非法使用等) 。只要措施得力、制度完善、严格执行, 物理访问的风险是可以事先得到控制的。

3.2 逻辑访问的安全管理

由于现代信息系统都是处在网络环境中, 因此存在非法用户通过网络进行非法访问的风险, 非法用户的非法访问有可能造成敏感数据泄露、系统瘫痪、业务中断等严重后果。非法逻辑访问往往通过假冒主机或用户进行非授权访问, 达到对信息完整性攻击和对服务干扰的目的。非法逻辑访问的手段和方法很多, 如:SQL注入攻击、特洛伊木马、计算机病毒、蠕虫、逻辑炸弹、口令入侵、拒绝服务攻击 (DOS) 等, 下面就以一种“黑客”们常用的且危害极大的攻击方法——SQL注入攻击作具体分析, 找出具体对策。

3.2.1 SQL注入攻击的原理与危害

SQL是结构化查询语言 (Structured Query Language) 的缩写, 是标准的数据库操作语言, 当今的信息系统都离不开数据库, 因此也离不开SQL。SQL注入攻击 (SQL Injection Attack) 是攻击者应用http (Hypertext Transfer Protocol, 超文本传输协议) 的请求向B/S模式的信息系统发送恶意的SQL脚本, 探测出信息系统开发者编程过程中的漏洞, 然后利用这些漏洞, 对信息系统的数据库内容进行直接检索或修改。

信息系统基本上都是靠数据库来支撑的, 尽管现用的数据管理系统种类较多 (如Oracle, MS SQL Server, Sybase, DB2, My SQL, Access等) , 但基本上都支持SQL, 虽然针对各种数据库管理系统的SQL语法不尽相同, 但基本上是大同小异, 易于区分和掌握, 并且对于绝大多数防火墙来说, 这种攻击是“合法”的, 因此SQL注入攻击易于实施, 具有广泛性。一旦攻击成功, 信息系统所用数据库中的数据可以任由攻击者查看和修改, 攻击者可以直接在数据库中添加具有管理员权限的用户, 从而最终获得系统管理员权限, 其危害是极其严重的:如果信息系统中存放有秘密数据, 则造成秘密泄露;如果攻击者修改数据库中的数据, 要么造成系统的瘫痪, 要么使系统中的数据以假乱真, 误导系统的使用者做出错误的决策, 从而造成更大的危害。

当今的数据库管理系统都有一些工具和功能组件, 可以直接与操作系统及网络联接。这就意味着攻击者通过SQL注入攻击一个信息系统后, 其危害就不只局限于存储在数据库中的数据, 攻击者还可以设法获得对DBMS (数据库管理系统) 所在的主机的交互式访问, 使其危害从数据库向操作系统、甚至整个网络蔓延。因此, 我们不仅应当将SQL注入攻击看作是一个对存储在数据库上数据的威胁, 而且应当看作是对整个网络的威胁。”

值得注意的是, 专门进行SQL注入攻击的黑客工具现早就出现了, 利用这些黑客工具来进行攻击可能只需要几分钟时间就能成功, 攻击者可能轻易获得数据库和信息系统的管理权限, 甚至获得整个服务器的管理权限, 其危害程度是可想而知的。

3.2.2 SQL注入攻击的防范对策

要有效防范SQL注入攻击, 需要同时采取多种措施, 可从应用系统编程防范、安全配置数据库管理系统、安全配置操作系统等方面进行。

(1) 编程防范

编程防范就是在编写的程序中加强安全防范, 堵塞漏洞。编程防范总的原则是少特权、多检验。

少特权就是不要给数据库连接或数据库用户太多的权限, 应为不同类型的操作建立和使用不同的账户, 其权限与其操作相匹配, 不要授予多余的权限。有些编程者为了方便, 直接使用超级用户的连接数据库, 这样就给系统带来了很大的安全隐患, 一旦攻击者攻击成功, 系统就会任其摆布, 危害极大。编程中应尽量多采用存储过程, 如果一定要使用SQL语句, 那么用标准的方式组建SQL语句, 比如可以利用parameters对象, 避免用字符串直接拼写SQL命令。

多检验就是对用户输入从多方面检验其合法性, 如检验数据中是否包含单引号、双引号、分号、逗号、冒号、连接号等特殊字符或SQL语句、函数、数据类型等保留字符串, 数据类型是否与预期类型匹配, 数据长度是否超长等, 一旦发现与预期不符的情况, 应放弃执行。检验用户输入数据的其合法性, 应在客户端和服务端都进行, 两端的检验函数大体相同, 在客户端检查没有通过就不提交到服务器端执行, 这样可以降低服务器负荷, 减少网络流量。当然, 攻击者可以绕过客户端检验, 直接将攻击代码提交到服务器端, 因此, 服务器端的检验更为重要。

此外还要注意, 当SQL语句执行出错时, 不要直接将数据库返回的错误信息显示给用户, 因为数据库返回的错误信息往往会透露一些数据库设计的细节 (如表名、字段名等) , 攻击者往往故意设计一些使数据库报错的SQL语句来了解数据库的设计细节, 达到进一步攻击的目的。

(2) 数据库配置防范

数据库管理系统往往提供一些安全方面的配置项, 如果将这些配置项配置准确, 可以大幅度提高防范攻击能力, 下面就以Micro Soft SQL Server为例, 讲讲如何进行安全配置。

●使用安全的帐号和密码策略

SQL Server具有一个超级用户帐号, 其用户名称是:sa, 该用户名不能被修改也不能被删除, 所以, 必须对这个帐号进行最强的保护。不在数据库应用中直接使用sa帐号, 新建一个与sa一样权限的超级用户来管理数据库, 其它用户根据实际需要分配仅仅能够满足应用要求的权限, 不要赋予多余的权限, 所有用户 (特别是超级用户) 都要使用复杂的密码, 同时养成定期修改密码的好习惯。

●使用Windows身份验证模式

SQL Server的认证模式有Windows身份认证和混合身份认证两种。应该使用Windows身份验证模式, 因为它通过限制对Microsoft Windows用户和域用户帐户的连接, 保护SQL Server免受大部分Internet的工具的侵害, 而且, 服务器也可以从Windows安全增强机制中获益, 例如Windows的身份验证协议以及强制的密码复杂性和过期时间提示。在客户端, Windows身份验证模式不再需要存储密码, 存储密码是使用标准SQL Server登录的应用程序的主要漏洞之一。

●管理扩展存储过程

存储过程是SQL Server提供给用户的扩展功能, 其实很多存储过程在多数应用中根本用不到, 而有些系统的存储过程很容易被黑客用来攻击或破坏系统, 所以需要删除不必要的存储过程, 比如xp_cmdshell存储过程就需要禁用, 因为xp_cmdshell存储过程可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串, 并以文本行方式返回任何输出, 是一个功能非常强大的扩展存贮过程。一般的黑客攻击SQL Server时, 首先采用的方法是执行master扩展存储过程xp_cmdshell命令来破坏数据库。一般情况下, xp_cmdshell对管理员来说也不是必需的, xp_cmdshell的禁用不会对Server造成任何影响。为了数据库安全起见, 最好禁用xp_cmd Shell。

(3) 操作系统配置防范

操作系统一般都提供一些安全功能, 如果配置好这些安全功能, 就能对攻击起到一定的防范作用。

●选择安全的文件系统

安全的文件系统可以对文件或文件的访问权限进行有效控制。如果服务器安装的是Windows系列操作系统, 在硬盘分区时就应该选择NTFS作为文件系统的格式, 因为它比FAT文件系统更安全。NTFS文件系统在性能、安全、可靠性方面提供了很多高级功能, 通过它可以实现任意文件及文件夹的加密和权限设置, 磁盘配额和压缩等高级功能。

●对数据库文件进行权限设置与加密

数据库文件是攻击者的重要目标, 因此需要重点保护。我们可以利用过操作系统提供的文件权限设置和加密功能保护数据库文件。比如:将SQL Server数据库系统安装到NTFS上, SQL Server将在注册表键和文件上设置合适的ACL (Access Control List) , 应用这些访问控制列表可实现权限控制。通过操作系统提供的加密文件系统EFS, 数据库文件可在运行SQL Server的帐户身份下进行加密, 只有这个帐户才能解密这些文件, 使数据库更加安全。

●对应用系统文件进行权限设置与加密

应用系统所在的文件夹及文件也是攻击者的重要目标, 我们同样可以利用过操作系统提供的文件权限设置和加密功能对其进行保护。比如:如果应用系统采用IIS提供信息服务, 就需要对Web站点目录的设置合适的访问权限, 一般情况下, 不要给予目录以写入和允许目录浏览权限, 只给予.ASP文件目录以脚本的权限, 而不要给予执行权限等。

以上通过对SQL注入攻击分析后在应用系统编程、数据库系统设置、操作系统设置三个层次提出的防范对策, 对防范其它非法逻辑访问也同样具有参考价值。

4 结束语

随着网络信息技术的发展和网络信息系统的广泛应用, 网络信息安全问题也日益突出。这就需要我们不断提高自身的网络信息安全防护知识和技能, 做好预先的防范措施, 才能在攻击与防范的拉锯战中赢得主动权, 确保网络信息系统安全可靠的运行。

参考文献

[1]柳纯录, 杨娟, 陈兵.信息系统监理师教程.清华大学出版社, 2005.

[2]梁修蔚.信息网络安全世人关注.解放军报, 2006, 2, 21 (6) .

篇9：浅析税务系统网络与信息安全风险及防范

关键词：网络会计电算化信息安全风险与防范

0.引言

我国的会计电算化工作起步较晚，直至上个世纪70年代末才开始。会计电算化在其发展中分别经历了尝试阶段、自发发展阶段以及有组织、有计划地稳步发展阶段。现如今，会计电算化已经发展成了会计软件发展阶段。在其发展过程中，会计电算化已经获得了长足的进步。在会计电算化发展与产生的过程中，会计理论与事物对其影响重大。会计电算化具备的准确高效以及及时等特点被会计人员所接受。会计电算化有效地将计算机技术和经济管理相互结合，进一步提高了会计记账与财务管理的现代化水平。在会计电算化不断发展的过程中，其中潜藏的问题也已经逐渐的显现出来。

1.网络会计电算化的概述

在企业会计核算业务量不断增加、业务种类繁多、会计信息资料分析和研究不断深入的过程中，会计电算化的处理方式已经越来越难以适应现今会计核算的要求[1]。另外，计算机网络技术发展领域不断拓宽，使得会计电算化系统出现了较多新的特征。在我国经济与社会各项技术不断发展的过程中，各种商务活动越来越依赖于虚拟的网络环境。网络经济对会计提出了更高的要求“它促使企业的电算化系统从核算型向管理型转变”并使会计电算化系统向网络化方向发展成为必然。

2.网络会计电算化信息安全风险

随着会计电算化的发展，会计电算化信息安全收到了极大的挑战。尤其是网络环境下，大量的会计信息受到各种各样的安全风险。网络会计电算化信息安全风险主要表现在以下几个方面。

2.1会计信息泄露

在信息技术快速发展的今天，利用高科技手段非法窃取商业机密，是企业会计信息安全主要风险的表现。在网络环境下，会计信息的传递与网络的进行，会计信息被泄露、篡改、截取已经成为了现今信息技术发展不可避免的问题。网络和可通过非法途径侵入网络用户的程序内，获取相应的信息。另外也有的黑客通过获取用户系统的密码、口令，窃取网络用户的商业机密，给企业带来严重的损失。

2.2电脑黑客的袭击

所谓的电脑黑客指的是非法侵入计算机用户。会计工作中的电脑黑客指的是竞争对手和专门窃取商业机密的组织。电脑黑客通过查卡、捕获、电子邮件轰炸以及消息轰炸等方式非法侵入企业的电脑网络，窃取或者是破坏用户的数据。电脑黑客的侵入，将直接给会计电算化信息的安全带来影响。

2.3会计软件存在缺陷

会计软件属于会计电算化的载体。在会计人员将相关的资料输入进计算机后，就在软件的支持下对会计信息进行加工处理，导致出现会计信息泄露。由此可见，会计软件的好坏将直接影响会计信息的可靠性、完整性、安全性以及真实性。有的企业所用的会计软件内部控制功能不够完善，存在严重的漏洞，使得数据存储、传递、输入与输出等方面存在风险[2]。即使有的企业对重要的会计数据进行加密处理，但是如果使用的数据库保密性不够高，就无法阻止电脑高手打开软件。这种情况特别是那些没有考虑信息使用人员的防范控制。企业的会计管理系统需要操作员密码访问，有的则存在混淆的情况。

2.4人为舞弊操作

有的会计电算化工作人员为达到窃取商业机密，非法转移资金等发发行为，协助竞争者获取或者破坏企业的会计数据，进而对企业的会计信息、数据进行非法删除、篡改，给企业造成严重的损失。

3.网络会计电算化信息安全防范措施

网络环境下，会计电算化信息的安全受到严重的挑战。针对以上网络会计电算化信息安全风险，应当采取有效地防范措施。

3.1确保会计信息输入的准确性

企业要想保证计算机信息的安全，就应当确保输入数据的正确性。为保证会计电算化输入数据的准确性，应当从以下几个方面着手。首先，对进入系统的数据设置相应的审批制度。其次，针对系统设置操作权限和口令密码。对一些重要的数据进行多级的密码控制[3]。再次，建立相应的输入操作日志，以便后期的检查和监督。最后，针对会计电算化软件进行相应的输入验证功能。在输入会计信息的过程中，操作员由于失误出现错误时，系统自动监测处错误，并拒绝错误信息的输入。

3.2建立健全网络快电算化内部控制系统

在网络会计电算化环境下，内部人员的恶意或者无意的行为既有可能造成会计信息不安全的情况。因此，为保证会计电算化信息的安全性，有必要建立健全内部控制系统。企业一方面可以实行用户权限对会计信心进行分级管理。根据会计电算化系统的业务需要，设立多个电脑操作岗位，明确各个岗位的职责和操作权限，促使每一个操作人员只能在自己的操作权限内进行工作，进一步保证会计电算化系统的正常工作，确保信息数据的安全性、可靠性与准确性。另一方面，及时更新内部控制制度。会计信息内部控制制度可随着会计核算方式的变化而发生改变。因此，内部控制制度的内容就应当有新的内容。手工控制与程序控制的相互结合，能够确保内部控制要求更为严格、更具规范性。

3.3家里数据保密备份，加强网络怀集电算化的保密性

保密控制能够保证会计电算化程序的、数据不被借用、非法使用以及滥用等情况。电算化系统具有一定的特殊性。为避免非法进入财务管理系统和修改企业数据库情况的发生，可设置保密程序进行控制，对保密文件进行储存控制。用户在进入系统时进行口令控制，以此来保证会计信息的安全性。会计信息的备份操作，主要是对企业相关会计信息的数据进行备用拷贝。对会计数据备用拷贝之后，系统一旦出现故障，就可使用备份恢复系统。通常情况下，备用拷贝是不是用的。企业进行良好的备份制度是保证会计信息的安全。

3.4强化会计电算化系统操作人员的安全信息防范意识

电脑操作是人为的，增强操作人员的安全意识是预防信息安全的前提条件[4]。因此，企业在对员工进行定期的计算机、通讯以及网络理论知识培训的过程中，还应注重培养会计人员的道德建设。操作人员在提高自身技术技能的同时，自觉遵守企业的各项规章制度，避免工作中不必要的意外事件发生。网络会计电算化操作人员安全信息防范意识的增强，不仅有助于企业信息的保密性，还有利于员工自身职业素质的提高。由此可见，强化会计电算化系统操作人员的安全意识具有重要的作用。

4.结语

总而言之，在信息技术与网络技术不断发展的过程中，会计电算化信息的安全受到一定的挑战。为保证企业各种新的安全，企业在完善各项基础建设的过程中，还应注重信息安全防范意识，加强会计信息的安全防护。

参考文献：

[1]杜峰.浅谈网络环境下会计电算化系统的不安全因素与安全对策[J].苏盐科技，2010，5（04）：22-23.

[2]赵冬梅，贾亚丽，袁泉，张洪义，等.会计电算化数据安全问题与防范对策[J].河北职工医学院学报，2011，12（03）：56-57.

[3]洪美英，许艳慧，洪舜英，等.会计电算化系统的信息安全风险及防范措施[J].统计与咨询，2011，9（12）：89-90.