网络系统信息安全问题

关键词： 网络系统 信息系统 会计 网络

网络系统信息安全问题（精选十篇）

网络系统信息安全问题 篇1

近几年,信息安全、网络安全、网络空间安全等词汇在电视新闻媒体中的出现频率明显增多,得到社会民众的普遍关注。但在多种媒体上,上述三种词汇的交叉出现在一定程度上混淆了人们对三者的认识,导致三个主体之间的逻辑界限不清晰,一定程度上影响正常的信息安全与网络安全建设。本文将以此为背景,对信息安全、网络安全、网络空间安全的相关问题进行简单分析。

1 信息安全、网络安全、网络空间安全概述

1.1 信息安全的概念与范围

“信息安全”这一概念最早出现在上世纪初期,但随着通信技术的发展,直到上世纪40 年代“信息安全”才开始得到各国的普遍重视,并不断的进行探索。在信息安全有关问题的研究中,美国学者对这一概念的研究始终处在世界领先地位,并率先根据信息安全的特征,将国家信息安全划分为:物理安全、安全结构和模式、应用于系统开发等共时刻模块,重点阐述了信息技术在不同范围内的应用与开发特点,明确指出了信息安全对国家经济、社会发展的影响,该理论已经得到多数学者的肯定。

从我国学者对信息安全问题的研究内容来看,结合我国的实际情况,信息安全在我国被赋予了新的内涵。学者将“信息安全”定义为:保证国家、机构、个人的信息空间不受到来自内部与外部的威胁、侵害与误导,保证国家、机构、个人的信息空间具有高度的独立性与隐私性。而从信息安全在我国的实践来看,我国已经在信息安全建设中取得一系列成就,包括出台信息安全法律、建立信息安全机构等,并在部分学校开设有关信息安全的课程,进一步深化了民众对信息安全的认识,说明我国在信息安全建设中取得了里程碑式的成绩。

1.2 网络安全概述

网络安全是社会关注的热点问题,在2014 年2 月,我国正式将网络安全上升到国家战略层面,成立了以习近平总书记为核心的“中央网络安全与信息化领导小组”,体现出我国对网络安全建设的决心。同一时间,新加坡《联合早报》的部分学者引用部分学者的观点,认为网络安全涉及到政治安全、国防安全等诸多内容,并从非法律的角度讨论网络安全在国家正常运行中的作用,得到相关学者的普遍重视。

目前,网络安全实体内容正在不断演进。从我国发展经验来看,我国有关网络安全的法律关注点也在不断变化。例如,在最初的网络安全管理中,我国法律倾向于互联网网络数据安全,而在随后的发展中,逐渐发展为维持网络稳定运行状态,体现出我国在网络安全管理中工作重心的变化。但具体而言,网络安全的核心是系统安全,需要在保证系统平稳运行的基础上对各项子系统内容进行优化,并在此基础上实现网络信息安全、网络数据安全。这是网络安全的基本内容体系,是构建网络安全的起点与核心。

1.3 网络空间安全概述

“网络空间”这一词汇最早出现在上世纪80 年代,由一个科幻小说家提出,并迅速在世界范围内推广。当前普遍的观点认为,所谓网络空间就是基于全球计算机网络化的机械、信息源、人之间相互联系而形成的一种新型社会生活与信息交流空间,具有开放性、虚拟性、变动性、随时性等特点。

当前对网络空间安全的研究主要是从物理域、信息域等方面进行研究的。其中物理域的网络空间安全要求在硬件设施上进行安全保护,保证与网络空间安全相关的硬件设施不会遭到破坏;信息域的网络空间安全主要指网络信息安全,要保证整个网络信息数据的完整性、可用性、真实性与保密性,任何导致信息泄露、丢失的要素都可能成为威胁网络空间安全的风险(如“棱镜事件”等)。刘密霞等在有关网络空间安全的研究中,结合著名的“棱镜事件”,分析了我国在网络空间安全管理中存在的问题,并概括为:网络空间安全缺乏顶层设计、信息产品过多依赖进口、信息安全专业教育脱节等几个具体问题,这是相关人员在未来工作中要重视的问题。

1.4 信息安全、网络安全、网络空间安全三者的异同点

从国内外权威会议、条约对信息安全、网络安全、网络空间安全的使用情况来看,三者始终存在交替使用、并行使用的情况。例如,在2003 年召开的联合国“信息社会世界峰会”上,率先使用了“网络信息安全”这一概念,并多处并行使用了“网络安全”与“信息安全”。而我国在2012 年颁布的《关于大力推进信息化发展和切实保障信息安全的若干意见》中,多次出现网络与信息安全的词汇,说明三者在某些领域存在明显的相同点。

1.4.1 信息安全是三者的核心

信息安全管理是三者的核心内容,可将其理解为保障国家、机构、个人的信息安全不受到内外因素的威胁,由此可见,三者都将信息安全作为核心,只是网络安全与网络空间安全的侧重点不同,导致三者在内容形式上也存在一定差异,但三者所要达成的目标是相一致的。

1.4.2 三者可以相互使用

从三者的应用内容来看,信息安全的应用范围最广,既包括了传统的信息系统安全,也包括了当前热门的网络信息安全,可以被认为是网络安全与网络空间安全的统称。网络安全也可以被称为信息安全或网络空间安全,但侧重点主要是互联网范围内的信息安全。网络空间安全强调信息安全的“空间性”,并集中体现在“网络社区”、网络媒介等多种具有立体性的信息安全上。

1.4.3 三者所涉及的内容与外延存在一定差异

信息安全是非传统安全领域的重要组成部分,更多的重视信息系统技术安全与物理安全,在此背景下,物联网、云计算、大数据等一大批新型信息技术被推广,这些技术与网络信息之间保持密切联系,并在长期发展中出现多种问题,最终发展为网络安全问题,如人们所熟知的网络水军、网络犯罪等,而这些都是“信息安全”一词所不具备的。另一方面,网络安全与网络空间安全形成了跨时空、多层次等数据交流,能更具代表性的阐述某些问题。例如,网络空间安全设计到网络安全的生态环境问题,会从军事、天气等多种方面进行深层次解读。

2 推动我国信息安全建设的几点措施

2.1 积极借鉴西方发达国家的先进经验

西方国家在有关信息安全建设的研究中不断取得新进展,并根据自身发展情况进行信息安全立法,并取得良好成果。因此对我国而言,在开展信息安全建设中可以积极借鉴西方国家的成功经验,来完善自身管理方法。

以欧盟为例,欧盟在信息安全管理中具有鲜明的一体化特点,在1992 年推出《信息安全框架决议》,陆续推出一系列信息安全管理制度,规定了欧共体在打击破坏网络信息安全行动的一致性。而在此基础上,英国成立“网络安全业务中心”,通过及时掌握本国网络安全情况,收集多种与信息安全相关的事件,及时推出应急预案,将潜在信息安全风险降到最低。而德国在信息安全研究中,通过了“德国网络安全战略”,成立基于全国的信息安全管理中心,旨在强化德国对信息技术安全的应对能力。

对我国政府而言,在开展信息安全建设中,要正确认识到新时期我国所面临的各种信息安全问题,及时推出相应的法案,保证各种信息安全风险都能得到及时解决。

2.2 提高信息产业自主创新能力

对政府而言,在管理中要积极发挥信息产业的主观能动性,鼓励信息产业加快自主创新,充分发挥经济主体在市场中的积极性和创造性,建立我国自己的信息安全技术体系。而另一方面,要为信息产业建立一个安全和规范的网络信息环境,需要信息产业提供坚定的物质和技术支持,为推动我国信息产业的升级奠定基础。

3 结束语

主要讨论了信息安全、网络安全、网络空间安全的相关问题,并对三者的的概念、范围等进行分析。总体而言,信息安全、网络安全、网络空间安全是关乎国家发展的重点内容,相关人员在工作中能立足于互联网时代的发展特征,联系实际、放眼于未来,为加深人们对信息安全、网络安全、网络空间安全认识奠定基础。

参考文献

[1]卢新德.构建信息安全保障新体系[M].北京:中国经济出版社,2007.

[2]上海社会科学院信息研究所.信息安全辞典[M].上海:上海辞书出版社,2013.

[3]http://en.wikipedia.org/wild/Cyberspace.

国税系统网络信息安全存在的问题 篇2

一、国税系统网络信息安全存在的问题

1、物理安全上存在的问题。物理安全主要指信息化系统、设备、工作环境等在物理上采取的保护措施。国税系统在物理安全上存在的问题主要表现在机房建设、局域网建设规划上，随着各地基本建设的不断投入和完善，省市县的机房和网络建设趋于完善，但根据县一级的实际情况，机房虽然配备有专门的防雷、防火设备，但没有防水、防潮设施。县一级的机房网络设备和部分服务器和上级机房同样是24小时开机，机房属于夜间和双修日无人值守，一旦出现突发事故，不能在第一时间处理，这样存在许多安全上的隐患。

2、网络安全上存在的问题。网络安全主要是指网络访问、使用、操作的安全，它是信息化安全中最普遍的内容，主要包括：病毒危害和访问安全。在开放网络环境下，计算机病毒的危害比以往要大得多，特别是近几年，通过网络进行传播的病毒数量急剧增长，危害范围也不断扩大。对付计算机病毒的最好的方法是安装防病毒软件，综合征管软件自2005年6月上线后，我省国税系统先后部署过两个网络版的防病毒软件，现在部署的是国税系统专用版的瑞星网络版的杀毒软件，可以实时查杀病毒、智能安装，快速方便地升级。然而，杀软不是万能的，就我局实际情况网络安全人员虽然对全局所有在用计算机安装了网络版的瑞星杀毒软件，但依然存在我局网络被ARP攻击后网络带宽被大幅占用，影响了税收正常业务的开展，还有就是近期在我市出现的针对“MS08-67内存漏洞”的蠕虫病毒出现影响到FTP、网语等工具及其他网络资源的正常使用和访问。访问安全是指对设备、资源、信息和服务访问权限的安全控制。访问安全也是最常见的安全问题，国税网络缺少必要的权限管理，人人都可以通过网络访问到各服务器和路由器。造成许多安全上的隐患。

3、信息安全上存在的问题。信息安全主要是指信息交换安全。网上申报、网上认证的发展推动了信息安全需求。这两种情况都需要对连接者身份进行严格验证，防止非法用户的进入，为了防止传输过程中的信息被窃听，要求登录用户名和密码以及数据在传输过程中进行有效的加密。为了增强信息安全，需要对登录信息和纳税申报信息进行安全审计记录，从而可以对非法入侵进行跟踪，并分析系统的安全状况。

4、管理安全上存在的问题。管理安全是指通过加强安全管理来保证物理安全、网络安全和信息安全措施的实现。信息化安全是一项系统工程，如果没有有效的安全管理，其他的任何努力都形同虚设。信息化安全需要一个完善的安全管理体系，从安全管理组织、制度、措施上都要制定一整套相应的规范。如应急预案、机房安全制度、密码制度等均应全方面的完善，从而杜绝网络安全上的漏洞。

5、网络及信息系统安全意识存在的问题。网络及信息系统安全问题很多时候都出在内部，许多典型的网络入侵事件都是借助于内部人员才得以实观的，而我们国税系统的一般工作人员，网络及信息系统安全意识差，个别人就根本没有安全意识，计算机随便装载各种游戏软件，不经杀毒随便使用外来U盘、软盘、光盘等现象普遍存在。

二、解决网络信息安全的对策

信息化安全问题不存在一劳永逸的解决方案，提出的任何安全对策也只能是更好地预防问题的出现，尽量减少安全问题对正常业务的影响。针对我局国税系统信息化建设的特点和存在问题的分析，可以归纳出“三大对策”，即完善已建设高可用性网络、已部署的安全防护系统和已建立的安全保障体系。

1、建设设高可用性网络。建设高可用性网络就是要建设具有高性能和高可靠性的信息化基础网络设施，实现信息化物理安全和网络安全。建设高可用性网络的主要措施涵盖信息化硬件和软件以及需要重点考虑的灾难恢复。（1）信息化硬件。信息化硬件包括网络设备、服务器、布线、机房设备等。要保证信息化网络的高可用性，在设备选择上必须坚持高性能和高可靠性，在系统设计上也要充分考虑网络和设备的冗余备份。在网络设备上，应尽可能选用可靠性高，有相对冗余的中心交换机：服务器应选用带冗余电源的，硬盘应选用能做RAIDl，RAID5等高可靠性的磁盘阵列：机房设备必须用UPS供电，保证设备的持续、稳定运行。（2）信息化软件。信系化软件主要包括操作系统、数据库、应用程序等。应尽量选用性能好安全性高的操作系统，个人计算机操作系统基本选用WindowsXP，服务器操作系统优先选用Windows 2000 Server系统。（3）灾难恢复。随着信息化进程的深入，国税系统对计算机设备的依赖度也越来越大、对税务系统而言，最珍贵的不是信息化设备或系统：而是存储的各种文档和数据库信息。所以灾难恢复是信息化安全中很重要的一个组成部分，必须想法保证数据存储的可靠性，保证网络服务和应用在故障时能尽快恢复。对国税系统而言，灾难恢复保护的地方主要是关键数据库和文件服务器。关键数据库一般是指存储纳税申报信息CTAIS数据库、金税数据库，文件服务器主要是指办公自动化所依赖的服务器，它存储国税系统管理过程中所需的重要文档和资料。先进的典型灾难恢复系统是由集群服务器、存储设备和相关软件组成，当系统部分设备发生灾难时可以保持服务的连续性并自动恢复或尽可能恢复最近的数据。典型灾难恢复系统的一个重要特点就是灾难恢复系统里的设备要做到地理分散，才能真正应对灾难的发生。

2、完善部署安全防护系统。部署安全防护系统主要指通过操作系统安全使用和部署安全防护软件,实现信息化网络安全和信息安全。（1）防病毒系统。常见的计算机病毒主要是针对微软的操作系统，对国税系统而言，对付病毒的重要手段是部署网络防病毒系统。网络防病毒系统由防病毒主程序和客户端以及其他辅助应用组成，它可以通过管理平台监测、分发部署防病毒客户端，这种功能意味着可以统一并实施全系统内的反病毒策略，并封锁整个系统内病毒的所有入口点。因为计算机病毒是动态发展的，到目前为止尚未发现“万能”防病毒系统，所以我们能做到只能是及时地更新病毒库。要有效地对付计算机病毒，除了部署防病毒系统外，还要配合其他手段维护系统安全，做好数据备份是关键，并且要及时升级杀毒软件的病毒库，还要做好灾难恢复。（2）防火墙。防火墙是目前最重要的信息安全产品，它可以提供实质上的网络安全，它承担着对外防御来自互联网的各种攻击，对内辅助用户安全策略的实施的重任，是用户保护信息安全的第一道屏障，在信息化安全中应给予高度重视。通过配置安全策略，防火墙主要承担以下作用：禁止外部网络对国税系统内部网络的访问，保护国税网络安全。现在的防火墙在功能上不断加强，如可以实现流量控制、病毒检测、VPN功能等，但是防火墙的主要功能仍然是通过包过滤来实现访问控制。防火墙的使用通常并不能避免来自内部的攻击，而且由于数据包都要通过防火墙的过滤，增加了网络延迟，降低了网络性能，要想充分发挥防火墙的作用，还要与其他安全产品配合使用。（3）入侵检测。大部分入侵检测系统主要采用基于包特征的检测技术来实现，它们的基本原理是：对网络上的数据包进行复制，与内部的攻击特征数据库进行匹配比较，如果相符即产生报警或响应。检测到入侵事件后，产生报警，并把报警事件计入日志，日后可以通过日志分析确定网络的安全状态，发现系统漏洞等。如果它与防火墙等其他安全产品配合使用，可以在入侵发生时，使防火墙联动，暂时阻断非法连接，保护网络不受侵害。在部署此类产品时要注意进行性能优化，尽量避免屏蔽没有价值的检测规则。（4）操作系统安全使用。在信息化网络中，操作系统的安全使用是保证网络安全的重要环节，试想如果你打算与同事共享一个文件夹，可是你又没有加密码，共享的文件就会变成公开的文件。操作系统安全使用主要包括以下几方面内容：用户密码管理、系统漏洞检测、信息加密等。用户密码管理无论是对个人还是整个系统都是很重要的。用户密码管理有许多的原则要遵守，最重要的就是不要使用空密码，如当你使用Windows系列产品时，如果不幸你使用空密码，局域网中的任何人都可以随意访问你的计算机资源。如果你是系统管理员，制定严谨的用户密码策略是首要任务之一。漏洞检测对关键服务器的操作系统是极为重要的。任何操作系统都不可避免地存在安全漏洞，操作系统的漏洞总是不断地被发现并公布在互联网上，争取在黑客没有攻击你的主机之前及时发现并修补漏洞是极为关键的。另外一种类型的漏洞并不是系统固有的，而是由于系统安装配置缺陷造成的，同样应引起足够重视。对服务器而言，关闭不需要的服务或端口也是必要的。即使网络很安全了，需要保密的信息在存储介质上的加密仍然是必要的，因为任何网络不能保证百分之百的安全。使用Windows系列操作系统时，尽量使用NTFS分区，对重要信息起用加密保护功能，这样就算是信息意外泄露，也无法破解。

3、建立安全保障体系。安全保障体系主要是指：对信息化安全管理的整套体制，包括管理组织、制度、措施等，通过安全管理，保证物理安全、网络安全和信息安全措施的实现。（1）建立安全管理机构和管理制度。建立安全管理机构，确定安全管理人员，建立安全管理制度、维护和维修管理制度及安全考核制度，建立责任和监督机制，实行分权制约，优先授权，进行系统设备、网络设备和存储设备的安全管理，建立工作记录，详细记载运行情况。（2）制定安全应急预案。在国税系统网络中，小的安全问题可能比较容易解决，但是严重的安全问题对税收工作的影响是很大的，如系统设备故障或大范围病毒感染等，这时的问题处理起来会特别复杂，有必要针对特定的安全问题制定安全应急预案。安全应急预案主要确定安全应急处理时的领导组织结构，解决问题的思路、方法和步骤，做好事前准备，不至于遇到问题时慌了神而手忙脚乱。（3）加强网络管理。加强网络管理是信息化安全的重要环节，网络管理的内容主要包括：操作系统安全策略的维护和检查、系统和数据的备份、防火墙路由器等的安全检查、审计分析网络安全事件日志、设备和系统的日常维护等。只有加强网络管理，才能保证网络的安全可靠运行。（4）加强网络及信息系统安全宣传教育。安全问题很多时候都出在内部，许多典型的网络入侵事件都是借助于内部人员才得以实观的，而且严格的安全策略大多是针对外部的，所以应高度重视内部安全。除了从技术上尽量保证安全以外，通过加强宣传，增加工作人员的安全和遵纪守法意识，让广大工作人员自觉地参与到安全保护中来，认真执行安全策略，减少安全漏洞，信息化安全才有保证。

总之，信息化安全问题是一个严峻的问题，特别是随着广域网和互联网应用的发展，安全问题变得更加突出。安全问题是融入到信息化建设的整个过程中的，它是一项系统工程，只有通过“建设高可用性网络，部署安全防护系统，建立安全保障体系”，信息化安全才能得到最好的保证。李俊宇.《信息安全技术基础》冶金工业出版社.2004.12 《计算机网络安全》袁德明，乔月圆电子工业出版社2007年6月

《计算机网络信息安全理论与实践教程》蒋建春，西安电子科技大学出版社 2005年9月

网络系统信息安全问题 篇3

关键词：网络环境；会计信息系统；安全问题

网络环境下的会计信息系统容计算机、网络与通讯技术等于一体，对企业、单位的会计工作进行科学管理，通过网络环境下会计信息系统联机操作，可以将企业内部会计相关的信息进行及时、准确的处理，并为企业实施经济管理与决策提供准确科学的信息。但是由于受多种因素的影响，网络环境下的会计信息系统会面临诸多安全威胁，不利于系统稳定、安全的运行。因此，在当前发展形势下，要想确保会计信息系统切实发挥作用为企业的经营发展服务，相关部门、单位必须清楚的了解网络环境下会计信息系统可能面临的安全问题，并采取有效措施加以防范控制，从而确保系统在安全的环境下高效服务。

一、网络环境下会计信息系统常见安全问题

（一）计算机软硬件问题威胁会计信息系统安全

会计信息系统的运行需要必要的硬件和软件设施作为载体，而计算机软硬件设施的好坏直接影响着会计信息系统运行的安全性。首先，计算机每一个硬件设备都要在一定的环境下运行才能正常运行，并且有一定的寿命，如果会计信息系统运行的计算机所处的外界环境变化或自身使用年限问题而造成硬件损坏，比如高温、潮湿等都会使得硬件功能被破坏，进而造成系统内会计信息混乱甚至丢失，造成不可挽回的损失。其次，在软件方面，很多软件在使用过程中都会存在漏洞，尤其是在网络环境下，稍不注意会计信息系统就可能会受到恶意软件或插件的攻击，造成会计信息被篡改或破坏，威胁系统安全。

（二）网络的使用给会计信息系统安全造成威胁

网络的一个最大的特征就是开放性，使得人们可以通过不同的途径访问各种信息和登录信息系统，互联网上的一切资源、信息都有可能被访问到，这在无形中就增加了网络系统的安全风险。尤其是对于会计信息系统来说，随着电子商务的快速发展，基于网络的电子交易也开始普及，在开放的网络环境下这种交易存在极大的风险性，也会给会计信息系统的安全造成威胁。还有一些不法分子利用网络恶意散播病毒、木马或非法入侵企业会计信息系统，使得会计信息数据传递的过程中被恶意的截取、删除或者是篡改，进而威胁企业安全。

二、网络环境下解决会计信息系统安全问题的对策

针对上述问题，企业、单位等要想确保会计信息系统安全运行，必须从硬件、软件、外部环境等多方面加以防范控制，确保会计信息系统安全运行。

（一）确保会计信息系统软硬件的安全稳定性

会计信息系统运行需要一个安全稳定的环境，包括硬件环境和软件环境。在这方面，首先相关部门要做好网络线路的搭建工作，确保会计信息在传输过程中有安全保障。还要确保会计信息系统运行的硬件环境稳定安全，包括计算机设备、网络接口、服务器等都要选择质量较高的。其次，在软件环境方面，企业单位要根据自身经营业务的实际情况科学的选择会计信息系统，并且配备专门的人员负责系统的管理、维护，确保系统稳定安全运行。

（二）基于网络环境强化会计信息系统的内部控制

解决会计信息系统内部控制的一个必要措施就是强化内部控制。对会计信息系统的内部控制主要体现在对会计数据的安全控制，以保证会计数据信息的安全、完整。在这方面，首先管理者要根据企业的实际情况制定必要的管理制度，除了要对相关工作人员的行为进行规范之外，还要对会计用户、会计数据等进行合理的分类、明确职责权限，尤其是在网络环境下要注意做好数据加密工作。同时，企业还要安排专门的人员对会计信息系统进行定期维护更新，并对每个环境进行严格的控制和记录，确保会计信息系统稳定、安全运行。

（三）基于网络环境强化会计信息系统的外部控制

对会计信息系统的外部控制主要体现在以下几个方面。第一，物理控制，包括网络结构的选择及硬件的选择，要结合信息系统的实际情况从整体上进行优化配置，包括通信线路、通信设备等。第二，防病毒控制。针对网络环境下会计信息系统可能面临的威胁，要做好防病毒控制工作，给计算机安装必要的杀毒软件，及时更新病毒库，规定工作人员不要在电脑上随意安装软件，以免遭受病毒入侵。第三，大众访问控制。在开放的网络环境下，理论上是大众都可以访问信息系统的，容易造成安全问题。因此需要采取必要的安全措施进行访问控制，包括设置多重口令、设置访问权限、实时监控网络、审计与跟踪等，确保网络环境下会计信息系统安全。

（四）加强会计信息系统操作人员的信息安全教育

人为因素也是影响网络环境下会计信息系统安全的关键因素，为了有效避免人为操作带来的安全问题，企业要加强对会计工作人员的信息安全教育，使其掌握专业的会计工作技术和方法，树立必要的信息安全意识，养成良好的职业道德，自觉遵守各种操作规章制度和规程，合理使用网络，尽量避免由于操作失误造成信息安全问题，确保信息数据安全，进而在企业整体范围内营造主动防范安全风险，全员树立信息安全意识的良好环境。

参考文献：

[1]倪江陵.网络环境下会计信息系统安全问题防范对策研究[D].湖南大学，2008.

[2]董滢.网络环境下中小企业会计信息系统存在的安全问题及防范对策[J].甘肃联合大学学报（社会科学版），2013，01：46-50.

[3]王明珠.网络环境下会计系统安全问题及对策研究[J].经营管理者，2015，08：268-269.

网络会计信息系统安全问题研究 篇4

一、网络会计信息系统面临的安全问题

(一) 会计系统存在被攻击、窃取的风险

信息系统最容易受到的是病毒与黑客攻击, 都会对计算机或信息系统构成安全威胁目前, 金融、零售等信息化高度集中的行业很容易遭受到黑客攻击;政府、军队、教育科研等机构也成为黑客攻击的重要对象;会计信息系统, 由于涉及到机构的核心机密, 更容易受到攻击。据瑞星估算, 仅2010年, 针对涉密网络的攻击就高达10万次以上, 主要来源于美、日、韩等国。一般来讲, 经济发达地区受攻击的比例会更高。网络环境下, 财务信息将面临被窃取的风险。一方面, 许多机构没有成熟的安全管理机制, 甚至仅依靠浏览器或Web服务器中的SSL安全协议;另一方面, 目前的操作系统主要由国外研制, 企业很难判断其中是否存在后门或缺陷, 极可能导致财务信息外泄。此外, 大型企业的会计信息系统数据主要集中在服务器上, 如果服务器管理人员不小心泄露密码, 甚至内外勾结, 则所有财务信息都可能被窃取。

(二) 会计数据真实、完整、可靠性面临考验

会计数据有可能会失真, 主要有数据篡改和数据伪造两种形式。数据篡改是指入侵者从网上将信息截获, 按照数据的格式和规律, 修改数据信息, 然后发送给目的地, 数据篡改破坏了数据的完整性。数据伪造则是指入侵者伪装成“商家”或“合法用户”, 给对方发送邮件、订单等虚假信息, 从而窃取个人密码或商业信息。会计数据一旦失真, 企业将面临巨大的安全隐患。网络环境下, 会计档案的存储介质不再是以前的纸质文档, 而变成了电子数据。电子数据存储, 极大提高了存储效率, 也为管理数据带了便利, 但有其天然缺陷。当存储介质遇到剧烈振动, 或突然遇到停电、火灾等情况时, 很可能导致存储的数据失效。当被非法修改时, 有可能没有任何痕迹;此外, 当网络会计信息系统升级的时候, 可能不兼容以前的版本, 或者数据格式、数据接口等发生了变化, 使得以前的信息不能进入当前的会计信息系统, 都有可能导致会计档案失效。信息化会计与传统会计存在很大差别, 很多企业由于未能及时建立与信息化方式匹配的内部控制机制, 容易导致内部控制失效。如操作人员录入了不正确的字段、使用了无效的代码、或从财务的纸质凭证转录了数据等, 都可能影响数据质量, 如果缺乏相应的监督检查机制很可能导致内部控制失效。此外, 由于网络环境下的会计信息系统数据集中存放于数据库, 信息交叉程度提高, 依靠帐薄及凭证相互核对错误的机制可能也会失效, 传统会计中某些职工分权、相互牵制和约束的机制可能失去作用, 信息管理人员或专业人员舞弊会给企业带来不可估量的损失, 也是会计信息化面临的破坏力最大的隐患。如有些数据库管理员通过篡改数据获取不当利益, 网络会计信息系统可能连痕迹都没留下。

二、网络会计信息系统安全问题原因分析

(一) 网络系统的开放性和共享性

网络系统的重要特点是开放性和共享性, 使网上信息安全存在先天不足, 可能会带来一些安全问题。一方面, 由于互联网的开放性, 网络上所有用户均可共享信息资源, 给一些非法访问者提供了可趁之机。另一方面, 互联网上的数据往往是没有加密的, 这使得用户密码及其他重要数据可能在传输过程中被监听和窃取。此外, 在诸多信息系统中实行了分级权限管理, 某些部门的操作人员被赋予了太高的权限, 可以接触到整个企业的财务会计系统, 增加了财务信息被盗的风险。

(二) 硬件设备配置不合理

网络信息系统中硬件的配置非常重要, 尤其是网络服务器及路由器等设备, 对网络安全有很大的影响。如果选择了不合理的服务器型号, 不仅网络可能不顺畅, 网络的稳定性及扩充性也会受到影响;如果选用的路由器缓冲区过小, 则在网络延时过程中, 可能会流失数据包;如果路由器缓冲区过大, 则可能会增加网络延时, 这些都会导致网络不安全。

(三) 软件系统不合理

主要包括两个方面:一是软件系统规划不合理, 开发的系统本身存在缺陷;二是软件开发工具选择不合理。 (1) 软件系统的不合理规划与开发。在规划过程中, 系统分析人员没有与会计工作人员及相关用户充分沟通, 从而系统的需求分析可能并不能完全反映真实要求。基于这种规划开发的会计信息系统, 可能会引起一系列不安全的后果。另外, 用户自行开发软件数据常常无法与购买的财务软件数据交流, 从而造成资源浪费。 (2) 软件开发工具的不合理使用。以数据库工具为例, SQL server、Oracle、Sybase等主要适用于大型系统;Acess、Fox Pro等则主要适用于小型系统。值得注意的是, 各类数据库工具的安全机制有所不同, 所以必须根据系统的规模大小及安全性要求合理选择数据库工具。

(四) 制度建设不健全

网络环境中, 会计系统往往要和业务系统, 如采购系统、销售系统、存货管理系统等相关联, 实现信息共享, 提高会计系统的自动化处理程度。为了让信息安全共享, 必须建立内部控制制度, 分配角色并赋予权限。此外, 股东、银行、税务等机构也可能通过网络与企业的财务会计系统连接, 也需要建立相应的内部控制制度。

(五) 人员风险

人员风险主要分为胜任能力风险及道德风险。胜任能力要求从业人员既要熟练掌握国家会计准则及会计制度, 掌握相应的信息技术, 而且要具备较强的学习能力。道德风险, 则要求财务人员面对诱惑时, 能够坚守职业操守。

三、网络会计信息系统安全管理的策略

(一) 安全管理的目标

对于会计信息系统来说, 信息安全主要是要保证信息的保密性、完整性、可用性、真实性、可控制性、可审查性、不可抵赖性等。数据保密性是指数据在网络上传输的时候不被非法窃取, 或者虽然被窃取但窃取者不能破解其真正意义;数据完整性是指数据的精确性和可靠性, 指数据在传输过程中不被增加、删除、修改内容;可用性是指对于合法用户的正常使用, 要保证能够实现而不被拒绝;真实性是指鉴别数据来源, 消除非法数据源, 确保进入系统的数据是真实可靠的;可控制性是指数据的输入、输出、处理过程是可以控制的;可审查性是指对数据的任何访问与操作 (增加、删除、修改) 均被纪录下来, 便于“信息”追踪或审查;不可抵赖性是指随所有用户的操作进行纪录并存档, 防止用户否认已作过的操作。

(二) 安全管理的基本思想

为了保证会计信息系统的安全, 在规划系统时候要全面考虑, 按照“全网安全”的思想, 实现多层面控制。 (图1) 是基于该思想的安全体系框架。可以看出, 该架构主要由三部分组成:技术体系、组织体系、管理体系。 (1) 技术体系:技术体系安全架构主要是为系统安全提供技术保障, 包括安全技术和技术管理这两大部分。安全技术又分为网络环境安全及信息环境安全两部分。网络环境安全主要指物理安全和环境安全。为防范物理安全问题而导致会计信息安全隐患, 要将计算机及相关设施受到物理保护, 免于被破坏、丢失等;信息环境安全主要是指系统安全和信息安全。技术管理又分为三大部分:符合ISO标准的技术管理, 从安全服务、体系规范、实施细则、安全评估几个侧面分别对会计信息系统安全进行管理;审计监测方面进行技术管理, 会计信息系统实时的状态监测、非法入侵时的监控;实施策略方面进行技术管理, 财务系统的安全策略、密钥管理。 (2) 组织体系:组织体系主要为系统安全提供组织人员保障。从机构设置、岗位设置、人事设置三方面进行构建。 (3) 管理体系:管理体系主要为系统安全提供制度保障。从国家法律立法、企业规章制度、企业业务培训三方面对系统安全给予保障。

(三) 安全管理的整体解决方案

基于 (图1) 的“全网安全”思想, 可以从如下方面对网络会计系统进行整体安全保护:平台安全、硬件安全、软件安全、安全管理制度、人力资源素质。 (图2) 是基于该思想的网络会计信息系统安全问题整体解决方案。 (1) 平台安全。保证网络办公平台安全, 是网络会计系统中最重要的部分。本方案中采用三种技术保证平台安全:防火墙、虚拟专用网 (VPN) 、入侵检测技术。防火墙充当屏障作用, 合理使用防火墙能保护企业会计信息安全有效。主要作用在网络入口处检查网络通讯, 过滤不安全服务, 防止非法用户进入内部网络;限定用户访问特殊网站;对内外部网络进行有效隔离。所有外部网络的访问请求都要通过防火墙检查, 使得企业内部网的会计信息系统相当安全。当然, 企业会计信息系统应保持相对封闭状态, 不能连接与业务无关的终端, 更不能连接互联网, 仅能与业务相关部门实现资源共享。VPN (Virtual Private Netwrok) 是利用公共网络资源形成企业专用网, 它融合了防火墙和Ipsec隧道加密技术的优点, 可以为整个集团内部通信提供安全的信息传输通道, 还可以简化网络管理、节约成本。VPN有隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术四项核心技术, 为网络安全提供了一定保障。入侵检测是指通过对行为、审计数据、安全日志或其它网络上可获得的信息进行操作, 检测到对系统的闯入或闯入的企图。入侵检测技术是为了弥补防火墙的不足, 主动检测来自系统外部的入侵、监视防火墙内部的异常行为。实时监控是会计信息系统必备的措施。通过建立操作日志, 对日常会计活动中进行全程跟踪, 对大额的、异常的经济业务单独列示, 详细反映, 及时提醒。 (2) 硬件安全。硬件系统安全, 会计信息系统的正常运行必须要有良好的硬件设备, 从硬件系统的配置和管理两方面提出保证。配置方面, 选用合适的输入输出设备、调制解调器 (MODEM) 、路由器等互联设备、及适当的网络服务器。同时, 硬件设备必须有过硬的质量和性能, 并且数据安装双硬盘, 数据双重备份;管理方面, 制定机房相关设备的定期检查制度, 做好机房防火、防尘、防水、防盗及恒温等保障措施, 使用UPS电源 (防止停电导致信息中断) , 重要数据远程备份, 安装机房报警系统等。 (3) 软件安全。操作系统是整个信息系统安全的基础。一方面, 要尽量选择拥有自主知识产权的操作系统, 减少“暗门”等对系统安全的影响。目前, 我国计算机所使用的操作系统基本上是舶来品, 因为缺少自主的技术, 会计信息资料网络安全性较低, 不能满足会计信息所要求达到的保密程度, 对高水平的国产化软件有着迫切的需求;另一方面, 会计信息从业人员要注意对操作系统的正确使用, 如实时扫描漏洞并进行修补, 对帐号、密码及权限进行管理, 纪录安全日志并进行审计, 下载补丁等, 都可以提高操作系统的安全性。数据库软件, 会计信息系统的核心就是存储在数据库中的数据, 这是一切应用的基础, 故需要对数据的安全性、完整性、保密性等方面采取保护措施。在开发数据库软件时, 要考虑数据库系统的稳定性、可扩展性和高效性, 以及安全性。各种外部数据信息导入之前, 必须要经过病毒检测程序, 同时对财务数据的导出, 必须严格控制, 防止信息外泄。对财务软件系统的修改维护必须报经相当领导批准同意。数据备份和数据容灾是保护数据库的重要措施, 数据备份是指在远程网络设备上保存数据, 防止数据的丢失和损坏;数据容灾是指在异地建立两套或多套功能相同的IT系统, 相互进行状态监视和功能切换, 当一处系统因意外停止工作时, 整个应用系统可以切换到另一处, 使系统功能可以继续正常工作。 (4) 安全管理制度。包括应用控制、数据控制、访问控制、安全管理体系、内部审计五个方面。应用控制是指在会计信息系统中, 应用控制指的是对具体的数据处理活动进行控制, 包括数据的输入、输出和处理控制。数据输入时, 会计信息系统要能达到纠正数据合理性、重复输入校验、逻辑关系测试等工作。网络环境下, 会计资料的输入由多人承担, 可设置不同的复核方式, 由系统对存在差异的数据进行比较。多用户同时进行操作时, 系统自动生成连续的凭证号, 使数据有效清晰。严格限制财务数据的修改权限, 对修改数据的操作, 应提供可打印备查界面。电子数据发放及接收都有认证机构提供的记录清单, 以保证双方权益。数据控制又称数据保护, 可分为安全性控制、完整性控制、并发控制和恢复。安全性控制主要是为了防止数据泄密和破坏, 主要措施是授权和收回授权。对企业前内部人员, 一定要及时收回授权;完整性控制是为了保证数据的正确性和相容性。数据通信传输过程中保证数据的完整, 如果有被篡改的情况, 接收方能通过软件及时检测出来。数据输入能否正确进入系统, 与数据库软件的输入方式、数据格式及相关数据导入兼容转换有着很大关系。我国很多企业有结合自身特色的会计信息系统, 为提高会计信息系统的管理层次, 还需将财务信息系统与企业其他管理信息进行有机结合。同时, 各不同的财务软件之数据交换, 制定统一并规范的标准。并发控制是确保在多个事务同时存取数据库中同一数据时不破坏数据库的统一性。恢复这是指数据库系统发生故障后, 能够自动恢复到正常的机制。访问控制是保证网络安全最重要的核心策略之一, 主要任务是保证网络资源不被非法使用和访问。访问控制涉及的技术比较广, 包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。会计计信息数据的访问仅限于经过授权的用户, 并且层层加密, 禁止处理未经授权的业务。对关键财务信息资源, 授权范围应尽可能小。按照网络环境下会计信息系统的需要, 设定各级岗位责任及权限, 防止非法操作;对不相容的职务要注意分离, 不同岗位之间设定一定的制约机制。如系统管理员不能从事日常会计处理业务, 记帐凭证一定要复核员复核才能生成帐簿。安全管理体系, 严格完善的法律、法规与规章制度是网络环境下会计信息安全的制度保证。我国目前还没有专门的网络会计信息安全的法律法规, 暂时还不能满足现有信息安全的需求。因而应逐步制定出符合我国国情的网络会计法律体系, 规范网络交通购销支付以及核算行为, 为网络会计的发展提供良好的法制环境。另一方面, 企业自身也应建立安全管理部门, 制定安全管理制度对操作人员实行安全技能培训。使会计信息系统从开发、用户管理、业务操作、数据存储、档案管理等各方面都有章可循。内部审计是指审计人员要熟悉企业会计信息系统的运行机制, 不仅要对数据的输入、输出结果进行审查, 而且也要对各种规章制度进行审查, 确保符合当前会计准则和会计制度。对关键岗位人员, 必须进行严格的审查和监督, 以防止泄密或对外发布被篡改的数据或信息。企业应定期及不定期实行安全审计, 及时发现系统及用户存在的异常行为。网络环境下也可积极推进远程审计工作, 以审计分析软件进行辅助分析判断, 通过网络远程审计及时发现问题, 公布审计报告, 及时纠正错误作法, 促进企业会计信息的真实性、完整。 (5) 人力资源素质。通过对从业人员思想道德建设, 加强员工的职业操守水平, 树立职业道德情感, 来提高判断是非的能力, 使之自觉遵守企业关于信息系统安全的各种规定。选拔会计信息化从业人员时, 要进行专业素养考察, 使其具备相应的专业能力。同时, 建立严格的继续教育及培训制度, 提高从业人员胜任能力。加大对现有财务人员的培养力度, 尽量培养复合型人才。对于因客观条件的限制, 现有企业财务人员不能解决的会计信息系统安全隐患, 应咨询相应的企业信息安全机构, 得出解决方案, 通过逐步改进, 提高财务人员的安全技能。

(四) 构建整体解决方案中应该注意的问题

在构建会计信息系统安全问题整体解决方案中, 必须注意以下问题。 (1) 进行成本/效益分析。构建信息系统安全解决方案需要消耗大量企业资源, 故在实施前必须作成本效益分析, 才能保证信息安全构建的进展顺利。成本/效益分析有利于企业内部统一认识, 共同推进信息系统的建设与维护。 (2) 全局观原则。站在系统工程的角度, 对信息系统安全的具体措施错进行详细分析。一般情况下, 可以采取的安全措施包括:专业技术措施、行政措施和各项管理制度。其中专业技术措施包括认证识别、存取控制、加密技术防火墙等;管理制度包括所有工作流程处理、系统维护等方面。一个周全的安全管理方案应该是由多种方法综合起来发挥作用的。 (3) 一贯性原则。对网络安全的防范应该贯穿会计信息系统的整个生命周期, 采取的安全措施必须与存在的问题对应。会计信息系统的规划、设计、系统实现等都需要相应的安全制度和措施。一般来讲, 系统的安全是从规划开始的, 而不是建设完成后才考虑的。 (4) 方便易用。系统所采用的安全措施应该尽量简单易用, 便于操作。无论定义多少安全措施, 最终需要人来执行, 如果安全措施过于复杂, 操作人员失误及舞弊的概率就会加大。同时, 如果安全控制过于复杂, 可能会影响会计信息系统的运行功能。 (5) 适应性原则。当网络环境、数据库环境或者用户的安全需求变化时, 安全架构要能够适应这种变化, 并能够进行相应的修改。

参考文献

[1]孙超等:《谈网络会计的信息安全与防范》, 《中国管理信息化》2006年第6期。

[2]谢华伟:《试论网络财务的安全风险和防范策略》, 《经济师》2005年第ll期。

[3]陈杰忠:《网络环境下的会计信息系统的安全隐患与对策研究》, 《南京财经大学学报》2005年第3期。

[4]霍宝锋等:《常见网络攻击方法及其对策研究》, 《计算机工程》2002年第8期。

电子商务网络信息安全问题 篇5

【摘  要  题】信息法学

【关  键  词】电子商务/网络/信息安全/信息安全技术/数字认证/信息安全协议/信息安全对策

网络会计信息安全问题与对策研究 篇6

关键词:网络会计;信息安全;问题;对策

随着计算机网络与信息技术的飞速发展,互联网络在改变人们的生活和消费方式的同时也给我们传统的会计学科带来了一场革命——网络会计。网络会计是指在互联网环境下对各种交易和事项进行确认、计量和披露的会计活动,它是建立在网络环境基础上的会计信息系统,是一种为适应市场快速变化而设计的快速应变的创新会计系统,是电子商务的重要组成部分。

在网络环境下,会计的处理程序主要由电子计算机自动完成,这大大方便了会计信息使用者。但与此同时会计信息在网络环境下面临着前所未有的安全风险,如会计机密信息泄露,信息系统失效等。网络会计的信息安全已成为困扰网络会计发展的核心问题,因此,采取有效措施以保证网络会计信息系统安全可靠的运行,是网络时代保障企业利益的重中之重。

一、网络会计信息安全存在的主要问题

(一)网络系统硬件、软件本身的缺陷

计算机硬件和财务软件的质量对于网络会计信息安全是非常重要的。计算机网络系统硬件选配不当会带来很大的安全隐患,例如,网络工作环境不合要求,就直接影响了网络的可靠性,甚至破坏设备使网络功能受阻、工作不稳定、影响网络的扩充性等。网络安装不规范(如走线不合理,网络接头不合理等),同样会使网络运行不稳定。软件方面,从目前的情况来看,我国多数会计软件的数据安全保密性较弱,可以说目前数据完全保密性好的会计软件很少。现代操作系统、数据库系统和应用软件的规模日趋庞大、功能日趋复杂,因而在软件开发过程中,由于人为、软件测试与实际应用等原因,使软件的设计错误、漏洞在所难免。硬件、软件的这些缺陷都给网络会计信息带来不安全因素。

(二)病毒、黑客对网络会计信息的威胁

随着计算机网络和计算机技术的发展,计算机病毒也不断的推陈出新,呈现多样化、传播速度快、破坏力强、传播途径多和难以防范等特点,严重威胁计算机网络和网上信息的安全。计算机黑客利用网络的漏洞,采用线路监听、信息截获、口令试探、身份仿冒和插人假信息等手段,对信息安全的各个层面进行攻击,网络会计信息面临被截取、窃听、仿冒和破坏的风险。而且,在网络的环境下,只要有不法之徒想窃取、截获和破坏信息,当数据通过线路传输时,可以很容易实现。病毒和黑客对会计信息的恶意窃取成为网络会计信息系统安全的一大威胁。

(三)会计信息真实性和完整性难以保证

在以电子商务为主要内容的网络会计活动中,会计账务处理将自动完成,虽然避免了人为的疏漏造成的会计信息失真,但原始凭证的数据转变成磁性介质,对电子数据的修改可以不留任何痕迹,在缺乏有效的确认情况下,信息接受方有理由怀疑所获取财务数据的真实性;同样作为信息发送方也有类似的担心,即传递的信息能否被接受方正确识别。造成会计信息完整性被破坏的原因有人为和非人为两种:人为因素如非法分子对网络会计系统的侵入,合法用户越权对网络数据的处理以及隐藏,对会计数据的破坏等;后者如通信传输中的干扰与噪声、系统硬件或软件的差错等。网络会计环境下对会计信息真实性和完整性提出了新的挑战。

(四)内部人员素质有待提高

在网络条件下,由于会计信息的复杂性,接触会计信息人员的增多,内部人员的素质问题成为会计信息安全的一个重要方面。网络安全的最大风险来自于内部人员对会计数据的非法访问、篡改、泄密和破坏。具体表现为:内部管理人员或员工把内部网络结构、管理员用户名和密码以及系统的一些重要信息传播给外人造成信息泄露的风险;网络控制机房出入管理松散,为恶意的进入者提供获取信息和破坏网络的机会;内部网络中的员工出于某种目的通过一些黑客程序或资源共享等方法获取重要信息,修改或删除重要数据等。因此,提高内部人员的素质,强化企业内部控制对于网络会计环境下的信息安全至关重要。

(五)关联方道德风险

关联方道德风险是指关联方对会计信息披露方所披露的会计信息的不正当泄露、推断,而导致会计信息披露方的经济利益受损的行为。网络会计信息系统使得越来越多的企业通过政府指定的网站或自己的门户来披露会计信息,以满足社会各方的需求。企业与这些关联方之间存在着特殊的业务和数据交换关系,企业之间通过互联网进行数据查询、数据交换、服务技术等,因此无论从业务联系还是网络联系上看,关联方之间都存在着特殊的关系。但是,企业在与供应链上其他上游或下游企业及其他关联方共享信息的同时,可能导致本企业的机密会计信息和客户及供应商机密信息在共享过程中无意泄露或被人恶意窃取,正是因为这种特殊关系使关联方相互之间道德风险的发生成为可能。

二、保障网络会计信息安全的主要对策

(一)加快网络会计信息相关制度的建设与完善

网络会计、电子商务的迅猛发展已经远远超出了现有法律体系的规范,从严格意义上讲,网络会计安全问题实质就是法律问题。尽管我国已制定和颁布与计算机信息安全有关的一些法律法规,有力打击了计算机犯罪,但我国目前并没有专门的针对网络会计安全的法律法规,还不能满足网络会计信息系统的安全需求。因此,我国网络会计安全立法应坚持在立足我国国情的前提下,参照国际有关示范法的原则制定符合我国国情的网络会计信息管理、财务报告披露的法规、准则,使我国网络会计真正走上健康发展的法制化轨道。同时,由于网络会计、电子商务的发展还可能涉及国际仲裁等问题,因此,各国政府都应有责任、有义务逐步制定出一套完整的包括各国相关法律在内的国际法律体系,为网络会计的发展提供一个良好的法制环境。

(二)采取技术手段增强网络会计信息安全性

防止网络安全唯一的方法就是主动防御,即部署整体的网络安全解决方案,而不是简单的反病毒解决方案,最常用的方法就是数据加密、防火墙、物理隔离技术等。还可以考虑应用密码技术和密钥管理(如DES算法、RSA算法等)、安全操作系统(如Windows NT系列、Unix、Netware等)、数据库安全保密(如最小特权策略、最大共享策略、按名存取策略、按上下文存取策略、整库加密和硬件加密等)、数字签名、防病毒技术、防火墙技术等来提高网络会计信息系统的安全。

另外,要逐步建立完善由第三方牵制的安全机制,即网上公正。网上公正是指每一家企业都在互联网认证机构领取数字签名认证和私有密钥,当业务发生时,一方面将单据传到认证机构,由认证机构确认并将经过数字签名的加密凭证与未加密凭证同时转发给另一方,这样就得到一笔确实经过双方认可的交易,而单独某一方因无法获得另一方的数据签名和私有密钥,故不可能伪造交易凭证。这样一旦审计人员、会计人员或其他关联方对某笔业务产生怀疑,只需将加密凭证提交给客户和认证机构进行认证即可,大大加强了网络会计信息的安全性。

(三)有效的内部控制是保障网络会计信息安全的重要手段

网络会计的发展以及随之带来的不安全因素给会计信息系统带来的风险是空前的,这将给企业的内部控制带来极大的困难和前所未有的挑战。重视企业内部控制制度的建立和完善,强化内部管理制度的实施是保障网络会计信息安全的重要手段。网络会计信息系统的内部控制是范围大、控制程序复杂的综合性控制,在网络环境下内部控制的重点由对人的控制为主转变为对人、计算机和互联网的综合控制,主要包括工作站内部控制、工作站对整个系统的访问控制、数据通信控制等,具体包括:组织工作:工作站点设置控制、内审制度,人事管理控制;操作系统控制,主要包括计算机资源授权表制度、日志审计制度、存取制度,特权管理;会计数据资源控制,主要包括会计数据资源授权表制度、数据备份和恢复制度;工作站控制,主要包括工作站内部控制、工作站对整个系统的访问控制、数据通信控制。

(四)推动远程审计信息安全方法研究

现行企业内部审计可通过对会计凭证和账簿的审核,加强企业经济核算,明确经济责任,采用电子凭证和电子账簿后,必将改变原来的审核程序方式,而代之以新的电子远程审计模式。所谓远程审计就是审计人员利用审计数据接口技术通过互联网获得被审单位的原始数据,以计算机为辅助工具运用审计软件分析判断,并通过互联网传输或在网上公布审计报告的审计方式。主要包括网络会计信息安全控制目标审核,安全漏洞评估、安全控制措施检验和安全性测试等4个方面。通过远程审计可以全面评估网络会计系统的安全状况,预测会计信息失真的风险,并有针对性地指导企业完善相应的安全措施,建立应急处理机制。

(五)加强人员教育以适应网络会计的需要

会计信息安全问题,人才是关键。网络会计信息系统的组建和运行,对会计人员提出了新的专业知识要求,会计人员不仅要精通会计知识,而且要熟练操作计算机和使用网络。会计人员要对网上获取的会计信息要进行筛选,确保信息的真实可靠;要有风险防范意识,防止未经授权的人非法获取会计机密;还要到掌握远程数据服务、网络系统管理等技术性问题等。当前重要的一点就是要培养一大批既懂得网络信息技术,且精通会计知识的复合型人才。

更重要的是要加快调整现行会计教育体系,加大对现有会计人员关于网络会计知识的后续教育。通过院校教育、远程教育、短期培训、学术交流、岗位自学等方式,加大对现有会计人员的培训力度,不仅要对现有的财会人员、企业管理人员进行培训,对院校相关专业的学生也要进行综合性、全方位的培训。可以在大专院校的财会专业中开设网络会计的相关课程,增设计算机编程、维护等课程。还可以让计算机人员、网络维护人员实习并进修财会知识。

三、结束语

由于信息技术的不断发展,网路会计信息的安全问题具有动态性,在实际的工作中还会不断的出现许多新的问题。安全问题的动态性决定了没有绝对的安全,只有不断地深化研究,找到解决网络会计运行实践中出现新问题的方法对策,以适应网络经济发展的新要求,从而最大限度地发挥网络会计的优势,使其发展成为当代会计学中最有潜力、最具活力的新领域。

参考文献:

1、冯晓玲,任新利.网络会计信息系统的安全技术研究[J].会计之友,2007(11).

2、陈洲唤.互联网环境下会计信息的安全保证[J].大众科技,2007(8).

3、郝玉清.网络会计的信息安全问题及其防范策略[J].北方经贸,2007(11).

4、郑庆良,杨莹.网络会计信息系统安全风险及其防范[J].财会通讯,2006(12).

5、姜明.网络会计对当前会计的影响及面临的问题[J].商业经济,2008(11).

*本文为辽宁省科技厅软科学计划项目《会计信息质量与安全防范研究》的阶段性成果,课题编号:2007401029。

浅析网络会计信息系统的安全问题 篇7

一、网络会计信息系统安全现状

目前总体上会计信息系统的安全建设较为落后, 了解会计信息系统的安全现状, 有助于我们发现网络会计信息系统存在的安全隐患。

(一) 安全防范意识弱

多数企业安全防范观念差、安全防范意识弱, 对安全防护、检测缺少全面和辨证的认识。大多数企业仅从防护角度采用保密通信、防火墙、安全路由器和一些低安全级的网管产品, 缺乏必要的安全检测和反应。即使采用安全检测的也都是“已知漏洞”和“已知攻击”的检测, 而且在这个基础上的安全检测也并未普及。

(二) 信息系统的安全建设与管理不系统、不规范

(1) 国家标准、法律法规不健全。国家在信息系统建设和安全设计方面无统一的指导性意见, 国家标准制定严重滞后, 存在法律漏洞和非一致性。

(2) 企业的安全规划与建设缺乏策略指导。由于目前多数企业的安全防范意识较弱, 企业在进行信息系统的安全建设时缺乏安全思想、安全策略的考虑。

(3) 构成信息系统的计算机网络结构的各个层次都存在严重的安全防护漏洞。表现在以下方面:

第一, 企业信息系统采取防病毒产品的很少;

第二, 电信网络本身安全级别低, 而且电信网络不负责对企业营运系统提供安全访问控制;

第三, 许多企业信息系统的网络层缺少必要的安全防护、检测和反应措施。

(4) 应用层安全功能不规范, 缺少安全设计。某些企业信息系统在设计之初就缺少相应的安全功能, 连基本的访问控制和加密措施都没有, 数据结构混乱, 信息交换困难, 程序运行不稳定, 容错能力差, 而某些企业的系统则在设计之时由于思路不清、重复开发、模式不统一, 不能形成统一的公共安全平台。

二、网络会计信息系统存在的安全问题

网络技术改变了整个社会经济的生产结构和劳动结构, 打破了传统的企业管理模式和财务管理模式, 网络会计信息系统可以实现远程财务处理、在线财务管理等功能, 最终实现企业物流、资金流、信息流高度一致。网络环境下的会计信息系统具有全面开放性。它以企业网络为节点, 可以实现与其他企业间、企业集团所属的分支机构间、管理部门间、社会自然人之间的通信和资源共享, 同时在全面开放的网络环境下随之而来的是各种安全隐患, 其突出表现在以下方面:

(一) 财务信息可能被窃取

财务信息是反映企业财务状况和经营成果的重要依据, 特别是涉及企业内部商业机密的财务信息, 不得随意泄漏、破坏和遗失。在网络环境下, 大量的财务信息通过开放的网络传递, 置身于开放的网络中, 存在被截取、泄漏等安全隐患。

(二) 网络信息系统可能遭到病毒和黑客攻击

由于互联网的开放特征, 接入互联网的计算机系统均可共享信息资源, 同时也给一些非善意访问者以可乘之机。黑客、计算机病毒、网络软件自身的不稳定等因素也为网络系统的安全带来诸多隐患。

(三) 企业内部控制可能失效

传统会计系统非常强调对业务活动的使用授权批准、职责性、正确性与合法性, 但是在网络财务环境下, 财务信息的处理和存储集中于网络系统, 大量不同的会计业务交叉在一起, 加上信息资源的共享, 财务信息复杂, 交叉速度加快, 使传统会计系统中某些职权分工、相互牵制的控制失效。原来使用的靠账簿之间互相核对实现的差错纠正控制已经不复存在, 光、电、磁介质也不同于纸张介质, 它所载信息能不留痕迹地被修改和删除。

(四) 会计档案保存可能失效

网络财务的实施必然依靠相应的财务软件, 这些财务软件是对现有单机版、局域网络版财务软件和硬件系统的全面升级, 但这些网络财务软件不一定兼容以前版本或其他财务软件, 由于数据格式、数据接口不同和数据库被加密等原因, 以前的财务信息可能不被及时录入网络财务系统。对于若干年前保存的会计档案更不可能兼容, 因而原有财务信息在新的网络财务系统中无法查询, 导致这种会计档案面临失效风险。

(五) 企业缺乏网络会计人才

高素质的网络会计人才缺乏。网络会计信息系统的实施, 要求相关业务操作人员对出现的问题能及时发现, 及时反馈, 以便技术人员及时处理。但如果操作人员对计算机及网络知识了解很少、操作程序不规范或操作人员安全防范意识不强, 都有可能出大错。如果企业在没有找到合适人才的时候盲目实施网络财务, 其安全隐患则变得尤为突出。

三、网络环境下会计信息系统安全问题防范对策

在互联网环境下会计信息系统中的安全有多层次的内容, 因而在互联网环境下会计信息系统的安全控制必须分别针对目标维与技术维之间的联系设立相应的控制制度与措施, 将网络会计信息系统安全划分为管理层面的安全与技术层面的安全两个方面, 现提出以下对策:

(一) 会计数据的安全及防范对策

1. 管理层面的安全及防范对策

会计数据安全是指所有的会计数据与信息在产生、传递、接收、存贮、加工处理的过程中不存在遗漏、变形等。要保证数据的安全, 一方面需要借助法律、政策及相关规章制度的约束, 另一方面又必须依赖企业管理人员制定有效的管理制度和管理手段。会计数据的安全控制一般分为以下几个方面:

第一, 依据相关的法律规章制度建立严格的内部管理制度。

目前, 在我国, 涉及网络信息系统安全的法规中严格规定, 计算机网络系统信息安全受到法律的保护, 任何人、任何单位不得侵犯系统的信息安全。因此, 我们在制定企业内部控制制度时可以借鉴上述相关的法律规章制度, 从法律、道德、纪律等方面约束企业内部工作人员, 以防止企业内部工作人员的舞弊与犯罪行为。

第二, 加强监控与审计。

在互联网环境下会计信息系统是由几十个、甚至上百个部门或分公司联网而成的, 要使其高效、安全地运行, 一方面必须做好严格的系统监控工作, 要求在系统产生错误时, 及时地发现问题并解决问题。同时, 还要根据各部门或各分公司的用户操作记录, 结合系统的记录信息判断有无非法用户进入会计信息系统, 并随时采取措施, 保证系统的安全。另一方面, 又必须加强审计工作, 特别是对会计数据操作的审计。这也就是说, 要对会计数据的操作情况进行监督, 对访问会计数据进行动态跟踪, 对删改操作情况进行记录。

第三, 及时进行会计数据的备份。

由于在互联网环境下会计信息系统存在着大量的网络子系统, 分别存放了大量的会计数据, 一旦发生问题, 会有大量的会计数据无法挽回。为了防止这种现象的出现, 应及时的对会计数据进行多种备份, 以便在系统出现问题后能够迅速地恢复这些会计数据。若数据库发生问题, 则用近期备份的数据结合修改日志文件进行恢复, 每月将数据库备份到磁盘、磁带等存储介质上进行保存, 以此完成对全系统的数据恢复或是单个用户的数据恢复。

2. 技术层面的安全及防范措施

(1) 会计数据保密控制。会计数据保密就是通过对用户与会计数据的处理, 利用一种强有力的算法编码技术, 将数据变换成密码形式来保护保存在磁盘上的会计数据和传输的信息, 使那些有意或无意的攻击者与未经授权的用户无法访问这些会计数据, 从而保证这些会计数据的安全。通常要完成对会计数据的保密性控制, 可以通过以下几个措施来实现:

第一, 对用户进行分类。在企业内、外部有不同的信息使用者, 由于他们的身份不同, 他们对获取的会计信息要求也不同, 因而有必要对这些用户进行分类, 以保证不同身份的用户获取与他们身份与要求相符的会计信息。通常, 对用户分类是通过对用户授予不同的数据管理权限来实现的。一般将权限分为三类:数据库登录权限、资源管理权限和数据库管理员权限。只有获得了数据库登录权限的用户才能进入数据库管理系统, 才可以进行数据的查询, 以获取自己所需的会计数据或会计信息, 但其不能对数据进行修改。而具有资源管理权限的用户, 除了拥有上述数据访问权限之外, 还具有数据库的创建、索引及职责范围内的修改权限等。至于具有数据库管理员权限的用户, 他将具有数据管理的一切权限, 包括访问其他用户的数据, 授予或收回其他用户的各种权限, 完成数据的备份、装入与重组以及进行系统的审计等工作。但这类用户一般仅限于极少数的用户, 其工作带有全局性和谨慎性, 对于会计信息系统而言, 会计主管就可能是一个数据库管理员。

第二, 对会计数据分类。虽然对用户进行了分类, 但并不等于一定能保证用户都根据自己的职责范围访问相关会计数据。这是因为同一权限内的用户, 对数据的管理和使用的范围是不同的。如会计工作中的凭证录入人员与凭证的审核人员, 他们的职责范围就明显地限定了他们对数据的使用权限。因此, 数据库管理员就必须根据数据库管理系统所提供的数据分类功能, 将各个作为可查询的会计数据逻辑上归并起来, 建立一个或多个视图, 并赋予相应的名称, 再把该视图的查询权限授予相应的用户, 从而保证各个用户所访问的是自己职责范围内的会计数据。

第三, 对会计数据进行加密。一般而言, 上述的保密技术能够满足一般系统的应用要求, 但是对会计信息系统来说, 仅靠上述的措施仍然难以确保会计数据的安全。为了防止其他用户对会计数据的非法窃取或篡改, 还必须对一些重要的会计数据进行加密处理。由于数据的加密技术完全是一种数据库的处理技术, 在此不作太多的阐述, 但要说明的是, 在进行会计数据加密时, 对有关的关键字段不能加密。

(2) 会计数据完整性控制。会计数据完整性控制是指通过会计数据与会计数据之间的逻辑关系所施加的约束条件来实现会计数据的正确性和一致性的一种方法。通常对利用会计数据间的关系所建立的约束有:

第一, 会计数据值的约束和结构的约束。会计数据值的约束是指对会计数据项的数据类型、精度等方面的限制。如在会计信息系统中会计期间必须事先设定、会计凭证所出现的日期必须符合实际的日期和工资一般准确到小数点后两位等, 否则会计信息系统就拒绝接受。而会计数据结构的约束则是指对会计数据之间联系方面的限制。因而, 科目代码的取值就不能为空或0值, 并且它在数据库中是唯一的, 从而保证在引用会计科目数据时能通过会计代码这个唯一的条件找到会计科目的其它相关数据。如果违反了这种限制, 就破坏了会计数据结构的规定。

第二, 会计数据的动态约束。会计数据的动态约束是指当会计数据从一种状态转变为另一种状态时, 对新旧值间规定一定的限制条件, 以保证会计数据的正确性。

(二) 会计软件安全及防范措施

1. 管理层面的安全及防范措施

(1) 会计软件内部管理控制是指企业为加强和完善对网络会计系统涉及的各个部门和人员的管理和控制所建立的内部控制制度。由于网络会计系统是一种分布式处理结构, 计算机网络分布于企业各业务部门, 实现财务与业务协同处理, 因此原来集中处理模式下的行政控制转变为间接业务控制。主要应采取如下几方面的措施:

第一, 设置适应于网络下作业的组织机构并设置相应的工作站点;

第二, 合理建立上机管理制度;

第三, 建立完备的设备管理制度。

(2) 会计软件系统开发管理是一种预防性控制, 目的是确保网络会计系统开发过程及内容符合内部控制的要求。财务软件的开发必须遵循国家有关部门制订的标准和规范。首先, 在网络会计系统开发之初, 要进行详细的可行性研究;其次, 在系统开发过程中, 内审和风险管理人员要参与系统控制功能的研究与设计, 制定有效的内部控制方案, 并将定制的控制方案在系统中实现;第三, 在系统测试运行阶段, 要加强管理与监督, 严格按照《商品化会计核算软件评审规则》等各种标准进行。

2. 技术层面的安全及防范措施

(1) 会计软件应用管理是指具体的应用系统中用来预防、检测和更正错误, 以及防止不法行为的内部控制措施。包括:

第一, 在输入管理中, 要求输入的数据应经过必要的授权, 并经有关内部控制部门检查, 还要采用各种技术手段对输入数据的准确性进行校验;

第二, 在处理管理中, 对数据进行有效性控制和文件控制;

第三, 在输出管理中, 一要验证输出结果是否正确和是否处于最新状态, 以便用户随时得到最新准确的会计信息;二要确保输出结果能够送发到合法的输出对象, 文件传输安全正确。

(2) 会计软件技术维护包括软件修改等, 涉及到系统功能的调整、扩充和完善。对网络会计系统进行维护必须经过周密计划和严格记录, 维护过程的每一环节都必须设置必要的控制, 维护的原因和性质要有书面形式的报告, 经批准后才能实施修改。软件修改尤为重要, 网络会计系统操作员不能参与软件的修改, 所有与系统维护有关的记录都应该打印后存档。

(三) 硬件系统安全及防范措施

1. 管理层面安全及防范措施

首先, 建立健全设备管理制度, 确保硬件设备的运行环境。

其次, 各系统操作人员应分清责任, 各自管理和使用自己职责范围内的硬件设备, 不得越权使用, 禁止非计算机操作人员使用计算机系统, 以免不当的操作损坏硬件设备。多个用户使用同一台设备的, 要进行严格的登记, 并记录运行情况。

再次, 建立必要的上机操作控制和系统运行记录控制。建立严格的硬件操作规程。

2. 技术层面安全及防范措施

高效的计算机网络系统应具有容灾、容错技术。容灾系统的关键在于数据同步复制技术。当网络系统在遭遇自然灾害、战争、设备故障等不可抗拒的灾难和意外时, 一方面能够实施充分的数据备份方案来保证系统数据的完整性和可用性, 使系统能迅速恢复正常运行;另外, 可以采用额外的硬件、电源部件或错误处理模块作为系统的后援, 在系统硬件发生故障时, 自动切换至备份硬件。常用的技术手段有磁盘镜像、双机热备份等。采用磁盘双工和磁盘镜像技术可以在一块硬盘失效时, 由另一块硬盘替换工作;双机热备份可以在一台计算机 (服务器) 失效时, 由备用的计算机接替继续工作。

四、结束语

会计信息系统是适应社会经济发展需要的, 基于网络环境的网络会计信息系统为企业提供了更多的机遇和挑战。实施网络会计信息系统, 对提高企业的管理水平和综合竞争力有着重要的意义。网络会计信息系统在产生、发展过程中虽然存在着各种各样的问题, 其安全问题将成为会计工作的重要内容。

企业网络信息安全问题初探 篇8

关键词：信息安全问题,企业内部网络,保护措施

1、企业网络安全存在的问题

1.1 网络安全的防患意识淡薄

目前, 一些企业在其内部推行网络化办公, 建设数字化油田, 从上到下建立起了数据采集系统, 网上办公系统等, 对网络的依赖越来越大, 但是相比较网络建设的投入网络安全维护的投入远远跟不上。许多人对石油企业网络安全现状没有客观清醒的认识, 存在不少认知盲区, 没有形成主动防范、积极应对的意识, 更谈不上从根本上提高网络监测、防护、响应、恢复和抗击能力。

1.2 防火墙的局限性

防火墙相关技术的发展已经比较成熟, 许多企业也装有防火墙。但这只是对外防护而已, 它对于内部防护则几乎不起什么作用。如果内部有台机器被控制来攻击局域网内的其它机器, 很容易给局域网造成威胁, 如何防止来自内部的攻击这已经成为是局域网建设中的一个非常重要的问题。

1.3 病毒防护

现在, 计算机病毒的传播途径有网络、邮件、U盘、光盘和磁盘等诸多手段, 用户在使用各种数据介质、软件介质时都可能将病毒在不知不觉中带入到企业网络中。这些病毒就会以几何级数的速度进行自我繁殖, 从而在短时间内导致计算机系统瘫痪。互联网的广泛应用也为病毒感染和快速传播提供了安全途径。病毒从网络之间传递, 导致系统崩溃, 网络瘫痪, 对网络服务构成严重威胁, 造成巨大损失。

1.4 黑客的威胁

黑客利用企业网络的安全漏洞, 在未经允许的情况下非法访问企业内部网络, 任意篡改各种数据、非法获取相关信息, 扰乱了网络秩序, 极大的危害了企业的网络安全, 并可能导致企业机密数据的泄漏和丢失。

2、安全策略及建议

针对上述关于企业网络现状的描述, 可以有从以上几个方面着重考虑加强企业的网络安全监管, 积极采用不同技术来提供各种安全问题的解决方案, 因此, 企业的信息安全应从以下几个方面综合入手:

2.1 应用网络版杀毒软件

网络版杀毒软件最大特点是功能强大、操作简便, 实现全网络范围内的病毒监控。一般的做法是, 在服务器上安装该软件, 采用集中式管理、分布式杀毒的方式, 使系统管理员可以清楚地掌握整个网络环境中各个节点的病毒监测状态, 对局域网进行远程集中式安全管理, 还可调用每个节点各自的杀毒软件对各自节点上的所有文件和内存进行全面病毒查杀与监控。杀毒软件的自动升级功能会使下载的最新升级版本自动分发到各节点计算机, 实现全网络统一升级。邮件是病毒传播的另一个主要途径, 各个单机用户进行邮件的接收、发送时必须打开邮件病毒实时监控功能, 实时地对每一封邮件进行检查, 控制邮件病毒的传播。

2.2 安全检测评估工作

从安全角度看, 企业网络信息安全检测与评估是保障网络安全的重要措施。应进行以下检测与评估: (1) 重点检测与评估连接不同网段的设备和连接广域网 (WAN) 的设备, 如Switch、网桥和路由器等; (2) 数据库具有许多安全特性, 如用户权限设置、数据表安全性、备份特性等, 利用好这些特性是同网络安全系统很好配合的关键; (3) E-mail系统比数据库应用还要广泛, 而网络中绝大部分病毒是由E-mail带来的, 因此, 其检测与评估也变得十分重要。

2.3 身份认证技术

身份认证是用来确认身份真实性的方法, 它的主要任务是保证网络资源不被非法使用和访问, 同时提供对用户行为的监控和记录。只有通过身份认证的用户才能获得相应的权限来使用系统和网络资源。

2.4 访问控制

访问控制是提供信息安全保障的主要手段和安全机制, 被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。访问控制是信息安全保障机制的核心内容, 它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体 (或称为发起者, 是一个主动的实体;如用户、进程、服务等) , 对访问客体 (需要保护的资源) 的访问权限, 从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么, 及做到什么程度。

3、结语

由于网络安全产品、计算机硬软件是发展的, 病毒和黑客技术也在发展, 所以网络安全是动态的, 因此, 网络和信息安全应是技术和管理的综合。企业除了采取一些技术安全措施外, 还应针对内部用户进行网络安全教育, 建立健全各种安全管理制度, 对威胁和破坏企业信息和数据安全的行为作出严肃处理。同时加强系统和网络管理员队伍的培训和建设, 加强网络系统和数据库的维护, 及时弥补漏洞, 监控来自企业外部的各种攻击和入侵行为, 发现异常马上采取措施。定期对企业网和关键数据进行安全评估, 并有针对性的制定安全防护策略、制定管理规章制度。

参考文献

[1]瞿坦.计算机网络原理及应用基础.华中理工大学出版社, 2005.

[2]贾筱景, 肖辉进.基于防火墙的网络安全技术.达县师范高等专科学校学报, 2005.

[3]钟福训.网络安全方案探讨.齐鲁石油化工, 2004.

网络信息安全保密问题分析 篇9

1 计算机网络中经常遇到的威胁

网络信息在传播过程中经常受到威胁主要是黑客攻击、病毒感染、电磁泄漏等方面。

1.1 黑客攻击

“黑客” (英文名字为Hacker) 是指拥有一定的计算机相关技能、可利用计算机攻击他人计算机网络的人。他们运用一定的编辑技术编写一些代码程序或利用现有的黑客工具, 对他人的电脑现有的应用或数据进行破坏或窃取存在电脑里的文件信息。现在网络信息的泄漏大多来自于黑客攻击, 其通过网络安全漏洞侵入计算机系统从而进行破坏或获取他们需要的信息。黑客侵入计算机网络方式主要有两种:破坏和非破坏性攻击。破坏性攻击是通过各种方式来多次尝试获取信息, 容易造成信息的泄漏和不可恢复, 为暴力性破解方式。非破坏性攻击的主要是通过多次密码尝试的方式或其它不影响信息二次使用的情况下获取信息的复制件, 从而获取到其需要的数据信息。这两种方式都会造成信息泄漏, 对信息维护人员的工作造成被动的局面。

1.2 计算机病毒

计算机病毒 (Computer Virus) 也是利用计算机代码编写的程序, 其主要作用是来破坏已有的程序的正常运行, 从而影响计算机使用或窃取一定的数据信息, 并可自我复制。这些代码具有可执行性、破坏性、隐蔽性、传染性等特点, 有的还具有一定的潜伏期, 可定时发作。其主要通过网络或可移动设备 (U盘) 等传播, 可针对特定或不特定的文件对象进行破坏。还有一些病毒本身并不破坏现有的文件系统, 而是窃取运行文件中的重要数据并通过网络或其它方式发送给制造病毒的人员, 从而达到一些盈利或其它目的, 如一些专门用来窃取他人账号和密码的病毒。如果用户企图运行该可执行文件, 那么病毒就有机会运行, 从而给计算机本身软、硬件运行造成不必要的麻烦或造成信息的泄漏。

1.3 电磁泄漏

电磁泄漏是指计算机等信息系统设备在工作时经过相应的信号传输线产生的电磁信号或电磁波被非法获取, 从而造成电磁泄漏。电磁泄漏的后果是通过获取泄漏的电磁信号并加工处理, 就可以还原出原有信息, 造成信息泄漏, 所以具有保密要求的信息系统应该具有防止电磁泄漏的能力。

2 对网络威胁进行防护的对策

以上分析对计算机安全威胁的几个主要方面进行了总结, 根据这些问题, 可通过以下几个方面应对计算机信息安全威胁。

2.1 加强人员管理, 制定安全防范规章

人员的安全意识是在信息化时代的首要问题, 首先应加强人员管理与培训, 让工作人员形成良好的电脑使用习惯, 并对电脑出现的问题能及时察觉, 从而能更好的避免或及早发现问题。比如经常更新电脑系统, 对一些外来存储设备优先杀毒。其次应当建立健信息安全保障制度, 包括电脑及网络连接、使用相关的规章制度, 并确保落实到位。对一些重要信息和文件应有专人专用电脑管理, 规范化使用, 并提升相关人员监督管理水平, 做到相互监督, 相互制约。同时也应当建立明确的分工, 建立建全责任倒查机制。

2.2 采用专线接入网络技术

网络专线就是通过物理或虚拟建立一条专用的网络传输信道, 这条线路与外界隔绝, 从而更好的保证在信息传输过程中不被截获。这样的专线的优势是安全性较高, 可有效避免黑客采用互联网网络线路进行攻击。专线接入的接放方式主要有两种:一是物理专用信道。物理专用信道就是在服务商到用户之间铺设有一条专用的物理线路, 这条线路专用于该用户, 从而杜绝了其它人员的接入, 避免黑客通过线路攻击的方式侵入该网络, 比普通的多用户线路更加安全可靠;二是虚拟专用信道。虚拟专用信道就是在一般的多用户共享信道上为用户虚拟出一定的带宽的线路, 用户可以专用这部分带宽, 就像专门铺设了这条线路, 仅允许专门的用户使用, 而且对这部分带宽内的数据进行加密, 从而提高了可靠性与安全性。

2.3 优化网络内外部环境

各单位对计算机安全等级要求不同, 接入互联网的方式也各有差异, 单位网络管理人员应主动分析影响本单位计算机系统稳定的所有因素, 并做好相应的防御措施。计算机安全防护分为内部与外部防护。一是内部防护方面, 安装相应的计算机报警系统或杀毒软件系统, 做好威胁预警与防护工作。二是外部防护方面, 外部防护对计算机网络安全同样具有较大的影响。主要包括物理安全防护, 如防盗、防火、防止物理破坏。对此管理人员应定期对电脑线路进行安全检查, 并设置必要的防雷等措施, 确保计算机网络安全稳定性。

2.4 加强计算机密码管理工作

黑客和计算机病毒对企业和个人机密文件的获取很多通过破解密码的方式。在日常工作中很多电脑及相关的应用软件还是初始密码, 而且并没有定期更换新密码, 这样他们就可以轻松的进入到电脑系统中获取到所需要的文件。因此, 要做好计算机加密处理, 设置高强度密码, 防止个人信息和案件信息被盗。

2.5 做好外围环境防护工作, 注重安全预防

防火墙、网闸等是网络机房防护软件中较常见的设备, 这些设备具体很好的隔离防护作用, 同时应配备红黑电源 (红黑电源隔离插座) 、防辐射隔离等设施, 确保阻断电磁泄漏。开启服务器及防火墙日志功能, 根据这些日志可以分析入侵者在系统留下的操作记录, 有利于管理员及时发现系统中存在的漏洞及隐患, 以便有针对性地实施维护。

3 结束语

通过以上论述可知, 计算机网络信息安全防护是一项复杂而系统的工程。信息安全管理人员必须针对影响信息安全的各项因素进行针对性的分析, 根据这些问题做好有效的防护措施。同时我们也应该清楚的认识到再好的外部防护也不能阻断人员的内部泄密, 所以在制定文件政策的同时也应该加强人员的思想素质教育, 让每位涉密人员都有较强的安全意识, 这样才能更好的防止信息泄漏。

摘要：随着信息化应用的逐渐普及, 网络信息安全越来越受到重视。本文首先介绍了网络安全方面常见的问题, 之后对这些问题如何进行防护进行了深入分析研究。

关键词：信息化,信息网络,安全

参考文献

[1]丁彦芳.电磁泄漏对计算机信息安全的影响及预防方法[J].信息通信, 2013 (10) .

网络系统信息安全问题 篇10

随着计算机网络与通信技术的高速发展, 计算机越来越多地应用到社会生产与生活的众多领域, 近年来国内高校自动化与网络化建设不断发展, 数字化图书馆建设也迅速发展起来。但网络如同一把双刃剑, 网络环境在带给高校图书馆巨大变革, 实现网络信息资源的共建共享的同时, 让我们必须同时面对网络的开放性所带来的方方面面的安全问题, 如病毒泛滥、系统漏洞增多、黑客入侵攻击等。

高校图书馆数字化建设过程中, 馆藏文献资源体系结构不断向数字化、网络化多元化发展, 网络信息资源的共享性, 使信息资源得以分散, 减轻了图书馆信息资源承载负荷, 节约了大量的人力、物力和财力, 提高了工作效率, 但网络信息资源的分散共享性又导致了网络的脆弱性、复杂性以及网络受到各种攻击的可能性。因此, 如何保障图书馆网络安全高效运行, 成为高校图书馆自动化网络化建设进程中必须面对的关键问题。

1 图书馆网络安全影响因素分析

1.1 计算机病毒

计算机病毒, 是在计算机程序中插入的破坏计算机功能或者破坏数据, 影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒具有繁殖性、传染性、潜伏性、隐蔽性、破坏性以及可触发性等特点, 曾出现过的CIH、熊猫烧香等病毒均对社会造成过巨大的经济损失[1]。计算机病毒是高校图书馆面临的一大威胁, 一旦感染或侵入, 病毒便可不断繁殖、扩散到到内部工作网上的各台计算机, 这将可能导致整个图书馆网络在短时间内陷入瘫痪, 致使所有网络服务无法开展, 甚至还会毁坏数据及网络设备, 给高校图书馆造成巨大的经济损失。

1.2 软件因素

图书馆网络系统的软件因素, 涉及到操作系统软件和图书馆管理自动化应用软件两个层面。操作系统方面, 目前高校图书馆主要使用的是Unix、Windows NT、Windows 2003Server等, 无论是哪一种系统, 都会不可避免地存在一些漏洞, 而这都容易遭受计算机病毒或其它人为因素的破坏[2]。在图书馆自动化管理应用软件方面, 目前各高校图书馆所采用的管理软件各不相同, 开发水平、软件成熟度上便各有不同, 因而在安全性能上存在差异。如果所选用的管理软件开发水平不够高、安全性能不足, 便会在安全方面存在各种各样的隐患。

1.3 网络环境因素

在高校图书馆的自动化网络化建设进程中, 网络设备所处环境必须作为一个不可忽视的环节。网络设备通常对其所处的物理环境都有较高的要求, 部分高校图书馆在网络化建设中或多或少地存在着重视网络硬件设备而忽略网络外部环境建设的问题。网络设备除防水、防火、防震等常规要求外, 对所处环境的温度、湿度、空气质量、静电和电磁干扰等物理条件也有严格要求, 忽略这些环境因素, 都将对图书馆后续的网络信息安全留下隐患。

1.4 管理制度因素

在高校图书馆的自动化网络建设进程中, 在解决计算机网络安全问题时, 非技术性措施如管理因素在整个计算机网络管理中也是至关重要的。管理因素主要包括了相关制度的健全性、分工的明确性、相关监督措施的力度等方面, 图书馆网络平台的正常运转, 必须以完善的管理制度作为前提与保障。有的高校图书馆正是因为没有健全严格的管理制度, 导致馆内计算机网络时断时续, 严重影响图书馆各项服务的正常开展, 因此, 仅有符合要求的网络硬件环境, 如果管理水平低下, 管理缺乏力度, 图书馆的网络信息安全也得不到保障。

2 图书馆网络安全问题应对策略

2.1 严防网络病毒

我们对计算机病毒并不陌生, 计算机病毒在网络中泛滥已久, 计算机病毒一旦感染, 通常会在局域网中快速繁殖, 致使局域网内计算机间的相互感染[3]。应考虑将业务工作局域网与校园网隔离开来, 在其接口处架设硬件防火墙, 来保证内外网间通信的安全性;对任何文件的使用, 必须先利用最新反病毒软件检测, 一旦发现病毒及时查杀;对所安装的反病毒软件应及时更新, 对系统应进行定时全面检测, 以及时发现并清除病毒;高校图书馆的馆藏数据有其特殊的动态性, 它直接反映了本馆馆藏文献资源的流动状况, 因此, 对馆藏数据应做好定期备份, 以避免其遭受网络病毒的入侵。

2.2 建立规范化网络技术体系

高校图书馆业务工作网络安全, 是图书馆业务系统和数据信息得以保存并可靠运行的支撑, 为了保证其安全稳定地运行, 防止非法人员访问、防止数据泄漏和丢失和防止非法数据进入, 就必须建立一套规范化的网络技术保障体系。必须为系统设置开机口令、软件口令以及特殊操作口令等一系列口令体系, 且在使用过程中要定期更换;对于重要服务器须采用单独网段进行隔离、身份鉴别、备份及恢复等应急措施进行有效防护;对图书馆日常数据的备份工作必须严格执行, 对于服务器可通过磁盘备份工具实现双机热备, 此外还应定期对数据进行机外备份, 将数据异地存放, 为整个网络系统数据的安全性提供保证。

2.3 做好网络环境建设

网络设备通常对其所处的物理环境都有较高的要求, 部分高校图书馆在网络化建设中或多或少地存在着重视网络硬件设备而忽略网络外部环境建设的问题。在良好的网络环境下, 网络设备的使用寿命可以更长, 且网络的安全稳定性能也可大大提高[4]。在网络机房位置的选择上, 应避开污染源和强电场等不良环境, 机房的内部装修应要具有较高的防火、防水、防尘、抗静电、防雷击及抗磁场干扰等功能;在机房的内部配置上, 应具备自动火灾报警消防系统、干粉灭火器、空调设备, 电源应选专线, 且应该有良好的接地线和漏电保护装置等。

2.4 健全网络安全管理制度

高校图书馆在文献信息资源及网络体系建设方面, 投入了大量的人力、物力和财力, 但如果缺少一个完善的网络安全管理制度, 任何先进网络产品都无法有效发挥作用。因此, 高校图书馆应逐步完善业务工作网络安全管理制度, 包括机房管理、软硬件维护管理、网络安全管理、系统安全管理、电子阅览室管理、备份和恢复管理、安全事件报告和处置方面的管理、应急响应方法、应急响应计划等制度, 并建立完善的跟踪体系, 做到职责明确, 责任到人, 在实现网络信息资源共建、共知、共享的基础上, 保障数字资源及信息系统业务的可持续性。

3 结语

高校图书馆网络信息安全是一项综合因素众多、技术含量很高的复杂工程。保护高校图书馆的网络信息安全是图书馆员义不容辞的责任, 当然, 要彻底消除各种安全问题是不可能的, 只能通过各种方式来加以防范, 图书馆网络安全依赖于相关信息技术的进步, 同时也依赖于管理制度的不断完善以及人员素质的全面提升。S

摘要：高校图书馆是高等学校的文献信息中心, 目前图书馆网络信息安全问题越来越受到人们的重视。对目前威胁高校图书馆网络信息安全的因素作了较为全面的分析, 并结合自身实践针对性地提出了相应的应对策略。

关键词：高校图书馆,信息资源,网络安全

参考文献

[1]赵晓红, 雒伟群, 刘伟光.高校图书馆网络安全分析与防护策略[J].计算机与信息技术, 2009 (3) .

[2]李太芳.高校图书馆网络安全防范技术探析[J].产业与科技论坛, 2009 (8) .

[3]王应, 刘子辉.当前高校图书馆网络安全问题分析与对策[J].重庆科技学院学报:社会科学版, 2011 (17) :151.