構(gòu)建網(wǎng)絡(luò)安全體系
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇構(gòu)建網(wǎng)絡(luò)安全體系范文,相信會(huì)為您的寫作帶來幫助,發(fā)現(xiàn)更多的寫作思路和靈感。
構(gòu)建網(wǎng)絡(luò)安全體系范文第1篇
信息安全問題與互聯(lián)網(wǎng)的發(fā)展相伴相生,在網(wǎng)絡(luò)時(shí)代,我們一方面要享受到信息爆炸、社交便捷的福利,另一方面也需要應(yīng)對(duì)信息泄露的風(fēng)險(xiǎn)。在醫(yī)院的內(nèi)部管理中,信息化建設(shè)已經(jīng)成為一股不可逆轉(zhuǎn)的發(fā)展趨勢(shì),因此,醫(yī)院要想利用互聯(lián)網(wǎng)提高管理效率,優(yōu)化醫(yī)療衛(wèi)生服務(wù),就應(yīng)該正視網(wǎng)絡(luò)體系構(gòu)建中存在的安全問題,并構(gòu)建嚴(yán)密可行的管理措施,防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn),讓醫(yī)療信息、管理信息能夠更好地服務(wù)于患者,確保醫(yī)院的有效運(yùn)行。
2醫(yī)院網(wǎng)絡(luò)安全體系構(gòu)建中存在的問題
雖然網(wǎng)絡(luò)體系的構(gòu)建是醫(yī)院信息化管理的必要環(huán)節(jié),但是其在安全風(fēng)險(xiǎn)防范方面卻依舊漏洞百出,使得醫(yī)院的網(wǎng)絡(luò)安全體系建設(shè)形同虛設(shè),難以充分發(fā)揮其風(fēng)險(xiǎn)控制與防范的實(shí)際效果。具體來講,醫(yī)院網(wǎng)絡(luò)安全體系構(gòu)建中存在的問題如下:第一,醫(yī)院內(nèi)部系統(tǒng)對(duì)數(shù)據(jù)的收集與應(yīng)用效果并不理想,目前多數(shù)醫(yī)院對(duì)于網(wǎng)絡(luò)系統(tǒng)的建設(shè)還處于起步階段,許多數(shù)據(jù)的收集并不完整,例如電子病歷的形成尚處于“模板+標(biāo)簽”階段,缺乏專業(yè)化處理,影響了數(shù)據(jù)傳輸與共享效果,各部門之間的信息溝通不暢,“信息孤島”的狀況沒有被完全打破。第二,網(wǎng)絡(luò)安全規(guī)劃缺乏投入,對(duì)信息安全的預(yù)期投入嚴(yán)重不足,雖然信息安全問題是醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)構(gòu)建的關(guān)鍵,但是從整體上來看,相關(guān)部門對(duì)于信息安全體系的構(gòu)建并不積極,例如在硬件投入中缺乏預(yù)算支持,使得硬件設(shè)備一旦出現(xiàn)損毀就會(huì)造成大量醫(yī)療衛(wèi)生信息的丟失;對(duì)軟件技術(shù)的應(yīng)用不到位,防火墻、加密系統(tǒng)的建立存在漏洞;各部門對(duì)于安全系統(tǒng)的認(rèn)識(shí)存在偏見,在某一科室出現(xiàn)網(wǎng)絡(luò)安全問題的時(shí)候則相互推諉,缺乏有效的追責(zé)與監(jiān)督。第三,網(wǎng)絡(luò)安全體系構(gòu)建與實(shí)現(xiàn)的方案缺乏有效的落實(shí),任何網(wǎng)絡(luò)安全問題在沒有爆發(fā)前往往都顯得不那么重要,醫(yī)院在網(wǎng)絡(luò)安全體系建設(shè)中也存在這種僥幸,對(duì)安全規(guī)劃的設(shè)計(jì)頭頭是道,但是到了具體的落實(shí)階段卻又推三阻四,影響了網(wǎng)絡(luò)安全體系建設(shè)工作的實(shí)效性。
3醫(yī)院網(wǎng)絡(luò)安全體系構(gòu)建與實(shí)現(xiàn)的相關(guān)對(duì)策
醫(yī)院網(wǎng)絡(luò)安全體系的構(gòu)建與實(shí)現(xiàn)需要從硬件設(shè)備、軟件系統(tǒng)、組織管理者三個(gè)方面入手。
3.1硬件設(shè)備安全的構(gòu)建與實(shí)現(xiàn)
根據(jù)信息化管理的技術(shù)需要,醫(yī)院的硬件設(shè)備安全管理主要包括以下內(nèi)容:第一,網(wǎng)絡(luò)布線。對(duì)于醫(yī)院的信息化建設(shè)而言,網(wǎng)絡(luò)布線不僅影響著系統(tǒng)的信息傳遞速度,更關(guān)系著信息溝通的安全,因此,相關(guān)技術(shù)人員應(yīng)采取內(nèi)外網(wǎng)物理斷開的方法,對(duì)醫(yī)院網(wǎng)絡(luò)系統(tǒng)進(jìn)行科學(xué)布線;考慮到信息安全,對(duì)于各樓宇的主干線可以采用光纖和備份光纖相結(jié)合的方式;在連接客戶端的時(shí)候,應(yīng)做好屏蔽處理,及時(shí)排除干擾源,保證信號(hào)強(qiáng)度,以及信息數(shù)據(jù)傳遞的有效性和完整性。第二,根據(jù)《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》做好對(duì)機(jī)房的設(shè)計(jì),如根據(jù)“電子信息系統(tǒng)機(jī)房的耐火等級(jí)不能低于2級(jí)”等規(guī)定做好防火安全管理;根據(jù)“主機(jī)房氣流組織、風(fēng)口及送回風(fēng)溫差”的相關(guān)數(shù)據(jù)做好防潮工作等,確保主機(jī)房能夠充分發(fā)揮信息存儲(chǔ)與傳輸?shù)墓δ堋5谌?wù)器、交換機(jī)的數(shù)據(jù)安全,在醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建中,技術(shù)人員應(yīng)對(duì)關(guān)鍵設(shè)備的基本性能以及冗余做好分析,并確保系統(tǒng)能時(shí)刻運(yùn)行。為避免停電故障造成信息丟失,醫(yī)院的服務(wù)器應(yīng)采用不間斷電源,并在出現(xiàn)安全故障的時(shí)候,自動(dòng)接入另一個(gè)服務(wù)器完成信息備份,從而做好“雙保險(xiǎn)”,提高網(wǎng)絡(luò)系統(tǒng)運(yùn)行的持續(xù)性和安全性。
3.2軟件安全系統(tǒng)的構(gòu)建與實(shí)現(xiàn)
在網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建中,系統(tǒng)軟件可以通過與硬件設(shè)備的交互作用,實(shí)現(xiàn)對(duì)系統(tǒng)的控制與調(diào)度,并連接網(wǎng)絡(luò),實(shí)現(xiàn)信息的傳輸與存儲(chǔ)。因此,醫(yī)院在網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建與實(shí)現(xiàn)中,應(yīng)該不斷完善軟件系統(tǒng),從而確保信息數(shù)據(jù)的安全。醫(yī)院在軟件安全系統(tǒng)的構(gòu)建與實(shí)現(xiàn)上可以從以下幾個(gè)方面入手:第一,設(shè)置安全口令。軟件系統(tǒng)的登錄應(yīng)控制開放程度,利用安全口令對(duì)訪問者的身份進(jìn)行確定,在使用軟件系統(tǒng)的過程中,口令的設(shè)置也應(yīng)該提高安全系數(shù),避免使用缺省值,保證長度不少于八位,且內(nèi)容包含字母和數(shù)字及至少包含兩個(gè)特殊字符。此外,為進(jìn)一步確保軟件系統(tǒng)的安全,相關(guān)部門的操作人員應(yīng)對(duì)安全口令進(jìn)行定期更換,提高被破譯的難度。第二,安裝殺毒軟件。在醫(yī)院的網(wǎng)絡(luò)系統(tǒng)建設(shè)中,內(nèi)外網(wǎng)的完全物理隔離是不可能的,只要存在接入外網(wǎng)的機(jī)會(huì),病毒就會(huì)見縫插針對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊。針對(duì)此,醫(yī)院在網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建中應(yīng)該要求客戶機(jī)及服務(wù)器安裝殺毒軟件,利用軟件對(duì)病毒進(jìn)行甄別與抵御,及時(shí)檢測(cè)違規(guī)操作,并對(duì)高風(fēng)險(xiǎn)行為做出提示,控制病毒對(duì)網(wǎng)絡(luò)系統(tǒng)的威脅。第三,應(yīng)用防火墻。目前一些軟件公司在技術(shù)研發(fā)中,對(duì)防火墻的設(shè)計(jì)更加嚴(yán)謹(jǐn),醫(yī)院在網(wǎng)絡(luò)安全系統(tǒng)建設(shè)中,應(yīng)利用方便、快捷的防火墻進(jìn)行定期掃描,及時(shí)檢測(cè)出危險(xiǎn)信息,控制惡意腳本在目標(biāo)計(jì)算機(jī)上的執(zhí)行過程,避免外網(wǎng)攻擊的入侵,以及信息的泄露。第四,加強(qiáng)對(duì)工作站的安全管理。各個(gè)工作站在使用系統(tǒng)的過程中,都應(yīng)該利用賬號(hào)、用戶權(quán)限、網(wǎng)絡(luò)訪問以及文件訪問等實(shí)行嚴(yán)格管理程序規(guī)范進(jìn)行安全控制,嚴(yán)格監(jiān)控光驅(qū)、軟驅(qū),USB接口等外來信息的接入,提高安全管理效果。
3.3組織機(jī)構(gòu)的構(gòu)建與實(shí)現(xiàn)
在醫(yī)院的網(wǎng)絡(luò)安全保障系統(tǒng)建設(shè)中,工作人員是落實(shí)安全措施、執(zhí)行安全方案的主體。再高端的硬件設(shè)備、再完善的軟件系統(tǒng)都需要人的操作來發(fā)揮作用。因此,醫(yī)院在網(wǎng)絡(luò)安全保障體系的建設(shè)中,應(yīng)該將人的因素納入其中,并確定、尊重其主體地位,利用安全管理制度,提高工作人員構(gòu)建網(wǎng)絡(luò)安全保障體系的能力。具體來講:第一,建立一支強(qiáng)有力的安全管理小組,體現(xiàn)組織管理效果,并在管理小組內(nèi)部做好明確分工,確保一旦出現(xiàn)安全問題能夠迅速做出反應(yīng)。第二,完善安全制度建設(shè),對(duì)于醫(yī)院網(wǎng)絡(luò)安全管理人員而言,制度建設(shè)是規(guī)范其安全行為,提高安全方案執(zhí)行效果的關(guān)鍵,因此醫(yī)院應(yīng)該從多方面做出安全規(guī)定,明確管理細(xì)則,推動(dòng)安全管理人員工作的有序開展。第三,規(guī)范內(nèi)部人員網(wǎng)絡(luò)操作,根據(jù)信息安全問題的調(diào)查顯示,操作者的不規(guī)范操作是造成病毒入侵,信息泄露的主要問題。因此,在組織管理中,醫(yī)院應(yīng)對(duì)內(nèi)部人員的違規(guī)操作進(jìn)行嚴(yán)格控制。第四,做好應(yīng)急預(yù)案的制定與演練,對(duì)出現(xiàn)的信息安全問題應(yīng)做好各部門的聯(lián)動(dòng),提高應(yīng)急能力,及時(shí)止損。
4結(jié)束語
總之,進(jìn)入到互聯(lián)網(wǎng)時(shí)代,信息化已經(jīng)成為醫(yī)院內(nèi)部管理創(chuàng)新的基本思路,信息化的實(shí)現(xiàn)需要網(wǎng)路系統(tǒng)的支持,但是在網(wǎng)絡(luò)系統(tǒng)構(gòu)建的過程中,無處不在的安全問題使得醫(yī)院的信息化建設(shè)舉步維艱。針對(duì)此,醫(yī)院應(yīng)該從網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)要點(diǎn)出發(fā),增加對(duì)硬件設(shè)備的投入,做好軟件系統(tǒng)的技術(shù)應(yīng)用,加強(qiáng)組織管理建設(shè),進(jìn)而完成醫(yī)院的網(wǎng)絡(luò)安全體系構(gòu)建與實(shí)現(xiàn)。
參考文獻(xiàn):
[1]張寶偉.醫(yī)院網(wǎng)絡(luò)安全體系構(gòu)建及實(shí)現(xiàn)方式分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2018.
構(gòu)建網(wǎng)絡(luò)安全體系范文第2篇
關(guān)鍵詞:網(wǎng)絡(luò)安全;保障體系;構(gòu)建策略
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2012) 19-0000-02
1 網(wǎng)絡(luò)安全問題概述
1.1 網(wǎng)絡(luò)安全的現(xiàn)狀。2011年,我國境內(nèi)與互聯(lián)網(wǎng)連接的用戶有60%以上的用戶受到境外用戶的攻擊。僅在過去的兩年我國遭到網(wǎng)絡(luò)安全攻擊的計(jì)算機(jī)IP地址就超過了100多萬個(gè),被黑客攻擊的網(wǎng)站將近5萬個(gè);在網(wǎng)絡(luò)病毒威脅方面,我國僅被一種網(wǎng)絡(luò)病毒感染的計(jì)算機(jī)數(shù)量就超過了1800萬臺(tái),占全球感染主機(jī)總量的30%,位列全球第一。近些年關(guān)于漏洞多,木馬、病毒猖獗;網(wǎng)絡(luò)癱瘓、網(wǎng)站被篡改、系統(tǒng)被入侵;網(wǎng)銀轉(zhuǎn)款、網(wǎng)上詐騙等網(wǎng)絡(luò)安全問題的報(bào)道也非常多,網(wǎng)絡(luò)安全現(xiàn)狀令人堪憂。
1.2 網(wǎng)絡(luò)面臨的問題與挑戰(zhàn)。隨著計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)的高速發(fā)展,人們的工作和生活越來越離不開計(jì)算機(jī)網(wǎng)絡(luò)信息通信系統(tǒng),近些年,新涌現(xiàn)出來的網(wǎng)絡(luò)信息安全問題已成為全球廣泛關(guān)注的焦點(diǎn)問題,人們?cè)谠诰W(wǎng)絡(luò)信息安全方面面臨著各種各樣的問題,來自網(wǎng)絡(luò)安全的各種挑戰(zhàn)非常嚴(yán)峻。
首先,計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)不斷從傳統(tǒng)的專有系統(tǒng)想當(dāng)前的通用操作系統(tǒng)轉(zhuǎn)變,也就是說,當(dāng)前的網(wǎng)絡(luò)信息系統(tǒng)越來越開放,再加上,絕大多數(shù)網(wǎng)絡(luò)通信系統(tǒng)采用的是TCP/IP網(wǎng)絡(luò)傳輸協(xié)議來進(jìn)行網(wǎng)絡(luò)通信服務(wù)的,而TCP/IP網(wǎng)絡(luò)傳輸協(xié)議由于自身安全性不足,給網(wǎng)絡(luò)信息系統(tǒng)的安全就帶來了一定的挑戰(zhàn);其次,隨著國際互聯(lián)網(wǎng)網(wǎng)絡(luò)這一大環(huán)境的不斷改變,針對(duì)網(wǎng)絡(luò)信息系統(tǒng)的安全威脅不斷表現(xiàn)出多樣化和多源化的特點(diǎn),針對(duì)網(wǎng)絡(luò)系統(tǒng)的安全威脅的多樣化和多源化,需要構(gòu)建一個(gè)縱深的、立體的、全方位的網(wǎng)絡(luò)安全解決方案,這就為網(wǎng)絡(luò)安全防御系統(tǒng)的復(fù)雜性和可控性問題提出了挑戰(zhàn);最后,在過去的幾年中,有很多組織機(jī)構(gòu)部門對(duì)自身的網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)進(jìn)行了大量的人力和資金投入,并花費(fèi)了大量的資金用來進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全設(shè)備的采購,以采集大量的網(wǎng)絡(luò)通信日志及網(wǎng)絡(luò)安全攻擊報(bào)警信息,但問題是,所采集的這些信息并沒有被得到充分的利用,以至于許多未被明確的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),依然保留在網(wǎng)絡(luò)信息系統(tǒng)中,從而對(duì)網(wǎng)絡(luò)信息系統(tǒng)的安全構(gòu)成威脅。
2 認(rèn)識(shí)網(wǎng)絡(luò)安全保障體系
2.1 網(wǎng)絡(luò)安全保障體系的提出。隨著信息化的發(fā)展,政府或企業(yè)對(duì)信息資源的依賴程度越來越大,沒有各種信息系統(tǒng)的支持,很多政府或企業(yè)其核心的業(yè)務(wù)和職能幾乎無法正常運(yùn)行。這無疑說明信息系統(tǒng)比傳統(tǒng)的實(shí)物資產(chǎn)更加脆弱,更容易受到損害,更應(yīng)該加以妥善保護(hù)。而目前,隨著互聯(lián)網(wǎng)和網(wǎng)絡(luò)技術(shù)的發(fā)展,對(duì)于政府或企業(yè)的信息系統(tǒng)來講,更是面臨著更大的風(fēng)險(xiǎn)和挑戰(zhàn)。這就使得更多的用戶、廠商和標(biāo)準(zhǔn)化組織都在尋求一種完善的體系,來有效的保障信息系統(tǒng)的全面安全。于是,網(wǎng)絡(luò)安全保障體系應(yīng)運(yùn)而生,其主要目的是通過信息安全管理體系、信息安全技術(shù)體系以及信息安全運(yùn)維體系的綜合有效的建設(shè),讓政府或企業(yè)的網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險(xiǎn)能夠達(dá)到一個(gè)可以控制的標(biāo)準(zhǔn),進(jìn)一步保障網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。
網(wǎng)絡(luò)安全保障體系是針對(duì)傳統(tǒng)網(wǎng)絡(luò)安全管理體系的一種重大變革。它依托安全知識(shí)庫和工作流程驅(qū)動(dòng)將包括主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等在內(nèi)的不同資產(chǎn)和存放在不同位置中的大量的安全信息進(jìn)行范式化、匯總、過濾和關(guān)聯(lián)分析,形成基于資產(chǎn)/域的統(tǒng)一等級(jí)的威脅與風(fēng)險(xiǎn)管理,并對(duì)威脅與風(fēng)險(xiǎn)進(jìn)行響應(yīng)和處理,該系統(tǒng)可以極大地提高網(wǎng)絡(luò)信息安全的可控性。
2.2 網(wǎng)絡(luò)安全保障體系的作用。網(wǎng)絡(luò)安全保障體系在網(wǎng)絡(luò)信息安全管理中具有十分重要的作用,主要體現(xiàn)在如下三個(gè)方面:首先,網(wǎng)絡(luò)安全保障體系可以對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)中不同的安全設(shè)備進(jìn)行有效的管理,而且可以對(duì)重要的網(wǎng)絡(luò)通信設(shè)備資產(chǎn)實(shí)施完善的管理和等級(jí)保護(hù);其次,網(wǎng)絡(luò)安全保障體系可以有效幫助網(wǎng)絡(luò)安全管理人員準(zhǔn)確分析現(xiàn)有網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全威脅,從而可以幫助管理人員制定合理的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程;最后,網(wǎng)絡(luò)安全保障體系可以通過過對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行量化,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的有效監(jiān)控和管理。
3 網(wǎng)絡(luò)安全保障體系的構(gòu)建策略
3.1 確定網(wǎng)絡(luò)安全保障體系構(gòu)建的具體目標(biāo)。網(wǎng)絡(luò)安全保障體系建設(shè)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系。它包括信息安全組織和策略體系兩大部分,通過信息安全治理來達(dá)到具體的建設(shè)目標(biāo)。其中,信息安全的組織體系是指為了在某個(gè)組織內(nèi)部為了完成信息安全的方針和目標(biāo)而組成的特定的組織結(jié)構(gòu),主要包括決策、管理、執(zhí)行和監(jiān)管機(jī)構(gòu)四部分組成;信息安全的策略體系是指信息安全總體方針框架、規(guī)范和信息安全管理規(guī)范、流程、制度的總和。
3.2 確定適合的網(wǎng)絡(luò)安全保障體系構(gòu)建的方法。(1)網(wǎng)絡(luò)安全管理基礎(chǔ)理論。網(wǎng)絡(luò)安全保障體系的安全管理方法就是通過建立一套基于有效的應(yīng)用控制機(jī)制的安全保障體系,實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用系統(tǒng)與安全管理系統(tǒng)的有效融合,確保網(wǎng)絡(luò)信息系統(tǒng)的安全可靠性。(2)建立有效的網(wǎng)絡(luò)安全保障體系。一是網(wǎng)絡(luò)信息安全組織保障體系作為網(wǎng)絡(luò)信息安全組織、運(yùn)作、技術(shù)體系標(biāo)準(zhǔn)化、制度化后形成的一整套對(duì)信息安全的管理規(guī)定,建立的網(wǎng)絡(luò)安全保障體系可以在完善信息安全管理與控制的流程上發(fā)揮重要作用;二是網(wǎng)絡(luò)信息安全技術(shù)保障體系作為網(wǎng)絡(luò)安全保障體系的重要支撐,有效利用訪問控制、身份鑒別、數(shù)據(jù)完整性、數(shù)據(jù)保密性等安全機(jī)制,是實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)的重要技術(shù)手段;三是網(wǎng)絡(luò)信息安全運(yùn)維保障體系可以通過對(duì)網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)行管理,實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)信息系統(tǒng)安全監(jiān)控、運(yùn)行管理、事件處理的規(guī)范化,充分保障網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定可靠運(yùn)行。
3.3 建立網(wǎng)絡(luò)安全保障體系組織架構(gòu)。網(wǎng)絡(luò)安全組織體系是網(wǎng)絡(luò)信息安全管理工作的保障,以保證在實(shí)際工作中有相關(guān)的管理崗位對(duì)相應(yīng)的控制點(diǎn)進(jìn)行控制。因此,需要根據(jù)該組織的網(wǎng)絡(luò)信息安全總體框架結(jié)合實(shí)際情況,確定該網(wǎng)絡(luò)組織信息安全管理組織架構(gòu)。其中,網(wǎng)絡(luò)安全保障體系組織架構(gòu)主要包括如下內(nèi)容:一是網(wǎng)絡(luò)信息安全組織架構(gòu)。針對(duì)該組織內(nèi)部負(fù)責(zé)開展信息安全決策、管理、執(zhí)行和監(jiān)控等工作的各部門進(jìn)行結(jié)構(gòu)化、系統(tǒng)化的結(jié)果;二是信息安全角色和職責(zé),主要是針對(duì)信息安全組織中的個(gè)體在信息安全工作中扮演的各種角色進(jìn)行定義、劃分和明確職責(zé);三是安全教育與培訓(xùn)。主要包括對(duì)安全意識(shí)與認(rèn)知,安全技能培訓(xùn),安全專業(yè)教育等幾個(gè)方面的要求;四是合作與溝通。與上級(jí)監(jiān)管部門,同級(jí)兄弟單位,本單位內(nèi)部,供應(yīng)商,安全業(yè)界專家等各方的溝通與合作。
3.4 建立網(wǎng)絡(luò)安全保障體系管理體系。(1)網(wǎng)絡(luò)訪問控制。用戶訪問管理規(guī)范及對(duì)應(yīng)表單、網(wǎng)絡(luò)訪問控制規(guī)范與對(duì)應(yīng)表單、操作系統(tǒng)訪問控制規(guī)范及對(duì)應(yīng)表單、應(yīng)用及信息訪問規(guī)范及對(duì)應(yīng)表單、移動(dòng)計(jì)算及遠(yuǎn)程訪問規(guī)范及對(duì)應(yīng)表單。(2)網(wǎng)絡(luò)通信與操作管理。網(wǎng)絡(luò)安全管理規(guī)范與對(duì)應(yīng)表單、Internet服務(wù)使用安全管理規(guī)范及對(duì)應(yīng)表單、惡意代碼防范規(guī)范、存儲(chǔ)及移動(dòng)介質(zhì)安全管理規(guī)范與對(duì)應(yīng)表單。(3)網(wǎng)絡(luò)信息系統(tǒng)的獲取與維護(hù)。網(wǎng)絡(luò)信息系統(tǒng)的獲取與維護(hù)即要求明確網(wǎng)絡(luò)信息安全項(xiàng)目立項(xiàng)管理規(guī)范及對(duì)應(yīng)表單、軟件安全開發(fā)管理規(guī)范及對(duì)應(yīng)表單和相關(guān)的軟件系統(tǒng)。
參考文獻(xiàn):
[1]劉明偉.網(wǎng)絡(luò)安全保障體系構(gòu)建及其實(shí)現(xiàn)策略研究[J].科技資訊,2010,13.
構(gòu)建網(wǎng)絡(luò)安全體系范文第3篇
關(guān)鍵詞:網(wǎng)絡(luò)安全;大學(xué)生;教育體系
一、大學(xué)生網(wǎng)絡(luò)安全教育體系概述
1.國內(nèi)外研究現(xiàn)狀
一些歐洲國家的學(xué)者認(rèn)為,網(wǎng)絡(luò)中的一些負(fù)面信息是一直存在的,青少年在使用網(wǎng)絡(luò)的時(shí)候,由于年級(jí)尚小,因此無法合理地回避這個(gè)問題。因此,應(yīng)該適當(dāng)?shù)叵蛩麄儌鬟f一些網(wǎng)絡(luò)安全知識(shí),讓他們學(xué)會(huì)在使用網(wǎng)絡(luò)的過程中,既可以收獲自己想要的知識(shí),又能夠盡量規(guī)避網(wǎng)絡(luò)風(fēng)險(xiǎn)。
在中國,隨著科技的迅猛發(fā)展,網(wǎng)絡(luò)已經(jīng)成為了大學(xué)生日常生活中不可缺少的一部分。但是,由于大學(xué)生剛剛從高考的嚴(yán)壓下解放出來,無論在心理上還是生理上都是比較不成熟的,因此也非常容易被網(wǎng)絡(luò)中的不好事物所影響。
2.研究目的與意義
作為各個(gè)高校安全教育的重點(diǎn)教育問題,大學(xué)生的網(wǎng)絡(luò)安全教育對(duì)大學(xué)生的身心健康發(fā)展起著至關(guān)重要的作用。如果將大學(xué)生的網(wǎng)絡(luò)安全教育問題搞好,不僅能夠豐富和完善各個(gè)高等院校的安全教育的內(nèi)容,也能夠在一定程度上增強(qiáng)大學(xué)生網(wǎng)絡(luò)安全意識(shí),使其真正能夠避免網(wǎng)絡(luò)安全的危害。
從另一個(gè)角度來說,對(duì)大學(xué)生的網(wǎng)絡(luò)安全教育體系的構(gòu)建進(jìn)行相關(guān)研究,不僅能夠在一定程度上對(duì)中國現(xiàn)今不完善的大學(xué)生網(wǎng)絡(luò)安全教育體系進(jìn)行完善,也能夠?qū)Υ髮W(xué)生的思想進(jìn)行一定的洗禮,讓他們樹立正確的網(wǎng)絡(luò)安全意識(shí)。同時(shí),大學(xué)生網(wǎng)絡(luò)安全教育體系的構(gòu)建也能夠維護(hù)大學(xué)生的網(wǎng)絡(luò)安全,提高他們的網(wǎng)絡(luò)安全意識(shí)。
二、大學(xué)生網(wǎng)絡(luò)安全現(xiàn)狀
1.信息識(shí)別能力低
大學(xué)生作為步入自由自在校園的一個(gè)群體,思想得到完全解放,但其性格與人生觀、價(jià)值觀方面都還未完全成型。這個(gè)階段的大學(xué)生,對(duì)于事物的甄別能力較低,不知道什么是安全信息,什么是非安全信息,這些判斷能力較低的大學(xué)生很容易被一時(shí)的快樂沖昏頭腦,從而很容易被網(wǎng)絡(luò)上的不良信息影響,導(dǎo)致身心受到傷害。
2.網(wǎng)絡(luò)安全意識(shí)差
據(jù)CNNIC的相關(guān)統(tǒng)計(jì),社交網(wǎng)絡(luò)已經(jīng)成為青少年交往的主要平臺(tái)。而一些網(wǎng)絡(luò)社交平臺(tái),需要提供個(gè)人的一些身份信息才能夠注冊(cè)網(wǎng)絡(luò)平臺(tái)賬號(hào),如身份證號(hào)碼、姓名、電話、郵箱、照片等。而一些不法平臺(tái)將大學(xué)生的這些數(shù)據(jù)信息非法賣給需要的用戶。這些用戶在獲得大學(xué)生的相關(guān)信息后,輕者只是發(fā)送一些廣告到郵箱,重者還會(huì)利用這些信息在網(wǎng)絡(luò)聊天時(shí)對(duì)大學(xué)生進(jìn)行詐騙等違法活動(dòng)。
三、網(wǎng)絡(luò)安全教育體系的構(gòu)建
1.加強(qiáng)網(wǎng)絡(luò)安全教育認(rèn)識(shí)
要建設(shè)大學(xué)生網(wǎng)絡(luò)安全教育體系,首先各個(gè)高校應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全教育體系認(rèn)識(shí),能夠認(rèn)識(shí)到網(wǎng)絡(luò)安全教育體系對(duì)大學(xué)生的身心健康發(fā)展有著非常重要的積極作用。只有在穩(wěn)定和諧的網(wǎng)絡(luò)安全環(huán)境中,大學(xué)生才能夠安心學(xué)習(xí),放心地瀏覽網(wǎng)絡(luò)內(nèi)容。在實(shí)際教學(xué)過程中,在向大學(xué)生傳授知識(shí)的時(shí)候,也應(yīng)該向大學(xué)生傳授關(guān)于網(wǎng)絡(luò)安全方面的相關(guān)知識(shí),讓大學(xué)生能夠了解網(wǎng)絡(luò)安全知識(shí)的重要性,提高大學(xué)生的自我保護(hù)意識(shí)和防范意識(shí)。
2.建設(shè)網(wǎng)絡(luò)安全教育隊(duì)伍
讓大學(xué)生能夠正確認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性的前提是有一個(gè)對(duì)網(wǎng)絡(luò)安全教育體系非常了解的隊(duì)伍。由于現(xiàn)今網(wǎng)絡(luò)發(fā)展日新月異,針對(duì)管理網(wǎng)絡(luò)安全教育體系的這一支隊(duì)伍,應(yīng)該定期對(duì)他們進(jìn)行網(wǎng)絡(luò)安全知識(shí)培訓(xùn),讓他們能夠及時(shí)了解現(xiàn)今的網(wǎng)絡(luò)知識(shí),提高他們的專業(yè)技能,從而對(duì)大學(xué)生的網(wǎng)絡(luò)安全問題起到一定的防范作用。
要完善大學(xué)生網(wǎng)絡(luò)安全教育體系,可以充分利用網(wǎng)絡(luò)構(gòu)建一個(gè)師生溝通的平臺(tái),讓學(xué)生能夠與老師充分溝通。也可以建設(shè)一個(gè)信息平臺(tái),及時(shí)最新的網(wǎng)絡(luò)安全知識(shí),讓大學(xué)生防患于未然。
參考文獻(xiàn):
構(gòu)建網(wǎng)絡(luò)安全體系范文第4篇
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)安全;管理體系;網(wǎng)絡(luò)犯罪
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2013)29-6517-02
計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展是建立在社會(huì)經(jīng)濟(jì)快速發(fā)展的基礎(chǔ)上,同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)也在各方面促進(jìn)著經(jīng)濟(jì)的發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)在無形中滲透入人們的日常生活中,服務(wù)于政府行政管理、市場分析調(diào)查、交通管理、城市建設(shè)、個(gè)人金融業(yè)務(wù)等社會(huì)的方方面面。但是由于計(jì)算機(jī)網(wǎng)絡(luò)自身的技術(shù)漏洞和人為管理不善使得計(jì)算機(jī)網(wǎng)絡(luò)存在著潛在的威脅。尤其是近幾年,網(wǎng)絡(luò)犯罪率不斷增加,黑客攻擊、盜取信用卡密碼、計(jì)算機(jī)病毒等都影響著社會(huì)經(jīng)濟(jì)發(fā)展和人們?nèi)粘I睿@就要求我們根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)中現(xiàn)存的問題,有針對(duì)性的構(gòu)建起完善的計(jì)算機(jī)網(wǎng)絡(luò)安全的管理體系,減少網(wǎng)絡(luò)犯罪的發(fā)生,提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性。
1 現(xiàn)今計(jì)算機(jī)網(wǎng)絡(luò)安全存在的威脅
由于人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)意識(shí)較淺,加之計(jì)算機(jī)網(wǎng)絡(luò)的編程語言及程序系統(tǒng)的復(fù)雜性,使得大部分計(jì)算機(jī)網(wǎng)絡(luò)的使用者忽視了計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)工作,在構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全管理體系之前,因先了解計(jì)算機(jī)網(wǎng)絡(luò)安全存在的威脅,在了解的基礎(chǔ)上有針對(duì)性的提出有效的防護(hù)管理方法。
1.1 計(jì)算機(jī)病毒
計(jì)算機(jī)病毒主要是指利用網(wǎng)絡(luò)漏洞人為的傳播不良程序,通過用戶點(diǎn)擊、下載等方式侵入計(jì)算機(jī),這些程序可能會(huì)破壞計(jì)算機(jī)里的軟件或硬件設(shè)施,很有可能導(dǎo)致用戶的資料被刪除或者被盜取。近幾年來,隨著計(jì)算機(jī)病毒的傳播手段的增多和侵入計(jì)算機(jī)程度的加深,利用計(jì)算機(jī)病毒盜取個(gè)人或企業(yè)資料進(jìn)行非法交易和違法犯罪活動(dòng)也隨之增多,給企業(yè)和個(gè)人利益造成損失。目前,人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的認(rèn)知還停留在基礎(chǔ)階段,主要是利用防火墻或者殺毒軟件進(jìn)行簡單的安全防護(hù),但是網(wǎng)絡(luò)病毒只是計(jì)算機(jī)網(wǎng)絡(luò)安全威脅中的一小部分,計(jì)算機(jī)網(wǎng)絡(luò)本身也存在這許多技術(shù)弱點(diǎn),其危險(xiǎn)性也不只局限于網(wǎng)絡(luò)當(dāng)中。
1.2 黑客攻擊
黑客攻擊指的是一些精通各種編程語言和各類操作系統(tǒng)的人員通過個(gè)人或者群體方式惡意侵入政府行政網(wǎng)絡(luò)、企業(yè)管理網(wǎng)絡(luò)、個(gè)人計(jì)算機(jī)等破壞正常的網(wǎng)絡(luò)運(yùn)作、盜取企業(yè)機(jī)密等。黑客主要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的漏洞進(jìn)行攻擊,而且黑客的攻擊手段隱蔽,很難在事先察覺,在專門破壞網(wǎng)絡(luò)連接之后,制造大量網(wǎng)絡(luò)垃圾最終導(dǎo)致網(wǎng)絡(luò)癱瘓,造成巨大的損失。為了避免黑客攻擊,必須要先做好計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)工作,建立起強(qiáng)大的防護(hù)墻,防止黑客入侵計(jì)算機(jī)網(wǎng)絡(luò)損壞網(wǎng)絡(luò)安全。
1.3 釣魚網(wǎng)站
隨著電子商務(wù)和購物網(wǎng)站的出現(xiàn),一種新型的網(wǎng)絡(luò)詐騙手段即“釣魚網(wǎng)站”也隨著出現(xiàn),它指的是將一些非法網(wǎng)站偽裝成銀行及電子商務(wù)等網(wǎng)站,或者利用其他網(wǎng)站服務(wù)器程序上的漏洞在網(wǎng)頁上插入釣魚網(wǎng)站的連接或代碼,截取用戶輸入的信息、監(jiān)視用戶操作等以此來是盜取用戶的銀行帳號(hào)、密碼等私人信息,不法分子則利用這些信息獲取利益,或者偽造身份進(jìn)行違法犯罪活動(dòng)。最為常見的方式是利用電子郵件,誘騙用戶點(diǎn)擊連接進(jìn)入偽造的網(wǎng)站當(dāng)中,誘導(dǎo)用戶輸入相關(guān)信息從而實(shí)施詐騙。這種手段不僅不易被用戶識(shí)破,警方也很難查找到幕后的網(wǎng)站操縱者,嚴(yán)重危害網(wǎng)絡(luò)安全。
2 構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全的管理體系
計(jì)算機(jī)網(wǎng)絡(luò)安全問題主要是人為惡意破壞,如黑客攻擊、病毒傳播、釣魚網(wǎng)站之類的外部因素所導(dǎo)致的計(jì)算機(jī)硬件系統(tǒng)損壞或網(wǎng)絡(luò)犯罪活動(dòng),因此為了提升計(jì)算機(jī)網(wǎng)絡(luò)安全水平,必須從這幾方面入手構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全的管理體系。
2.1 加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全防范意識(shí),建立起強(qiáng)大的防護(hù)網(wǎng)
計(jì)算機(jī)網(wǎng)絡(luò)之所以受到外部威脅,其主要原因是計(jì)算機(jī)本身硬件設(shè)備及軟件程序在技術(shù)層面存在諸多弱點(diǎn),如硬件設(shè)備的運(yùn)行緩慢,導(dǎo)致防火墻難以識(shí)別頑固木馬程序;軟件中的惡意插件,如不及時(shí)更新軟件很有可能導(dǎo)致系統(tǒng)癱瘓。但是由于我國的計(jì)算機(jī)網(wǎng)絡(luò)普及較晚,用戶對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的使用也停留在簡易的操作階段,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)意識(shí)較弱。因此,要維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全,首先應(yīng)加強(qiáng)公眾的防范意識(shí),建立起強(qiáng)大的防護(hù)網(wǎng),減少外部因素對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的威脅。有關(guān)電信部門、網(wǎng)絡(luò)管理部門應(yīng)及時(shí)更新終端服務(wù)器的防護(hù)軟件,定時(shí)檢查系統(tǒng)軟件存在的漏洞,安裝有效的補(bǔ)丁防護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全;相關(guān)部門應(yīng)加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的宣傳力度,如地區(qū)或政府網(wǎng)絡(luò)安全管理中心、金融管理等部門應(yīng)根據(jù)企業(yè)和個(gè)人計(jì)算機(jī)網(wǎng)絡(luò)的使用范圍加強(qiáng)相應(yīng)的計(jì)算機(jī)網(wǎng)絡(luò)安全管理知識(shí)的普及,避免企業(yè)和個(gè)人私密信息被盜取的情況出現(xiàn);計(jì)算機(jī)網(wǎng)絡(luò)用戶也應(yīng)在平時(shí)的計(jì)算機(jī)網(wǎng)絡(luò)使用過程中加強(qiáng)網(wǎng)絡(luò)安全防護(hù)意識(shí),及時(shí)對(duì)計(jì)算機(jī)硬件設(shè)備和軟件程序進(jìn)行更換和更新,防止病毒和木馬生成。
2.2 擴(kuò)充網(wǎng)絡(luò)管理人員,加大計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)管力度
計(jì)算機(jī)網(wǎng)絡(luò)有著開放性、自由性等特點(diǎn),用戶在使用過程中不受地區(qū)、時(shí)間的限制,可以隨時(shí)隨地在網(wǎng)絡(luò)信息,而且計(jì)算機(jī)網(wǎng)絡(luò)的覆蓋面廣,內(nèi)容豐富,網(wǎng)絡(luò)管理中心難以對(duì)龐大的計(jì)算機(jī)網(wǎng)絡(luò)信息實(shí)行系統(tǒng)分析管理,這更增加了網(wǎng)絡(luò)安全管理的難度。近幾年來,由于網(wǎng)絡(luò)傳播的虛假信息和人為炒作事件的不斷增多,對(duì)整個(gè)社會(huì)經(jīng)濟(jì)發(fā)展和人們的日常生活都造成了影響。因此,網(wǎng)絡(luò)安全管理中心應(yīng)擴(kuò)充網(wǎng)絡(luò)管理人員,提高管理人員的安全防范意識(shí),加大對(duì)計(jì)算機(jī)網(wǎng)絡(luò)用戶公開的信息及計(jì)算機(jī)網(wǎng)絡(luò)操作的監(jiān)管力度,及時(shí)清除網(wǎng)絡(luò)中的不良信息,建立起有序的、干凈的計(jì)算機(jī)網(wǎng)絡(luò)。在擴(kuò)充網(wǎng)絡(luò)管理人員的同時(shí),應(yīng)大力加強(qiáng)網(wǎng)絡(luò)安全管理技術(shù)軟件的開發(fā),利用先進(jìn)的管理軟件,使得管理人員更加及時(shí)有效的監(jiān)督管理計(jì)算機(jī)網(wǎng)絡(luò)安全。
2.3 國家加強(qiáng)立法,規(guī)范計(jì)算機(jī)網(wǎng)絡(luò)的使用
我國的計(jì)算機(jī)網(wǎng)絡(luò)起步較晚,缺少相關(guān)法律法規(guī)的約束,某些不法分子則利用法律空隙,肆意攻擊政府行政機(jī)關(guān)、企業(yè)高層管理中心等網(wǎng)絡(luò)系統(tǒng),盜取企業(yè)和個(gè)人私密資料。在經(jīng)濟(jì)快速發(fā)展的背景下,利用網(wǎng)絡(luò)進(jìn)行經(jīng)濟(jì)犯罪的事件逐年遞增,這不僅嚴(yán)重?fù)p害了社會(huì)經(jīng)濟(jì)發(fā)展,也不利于進(jìn)一步提高計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)能力,擴(kuò)大計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)范圍。因此,國家應(yīng)加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的立法,利用法律規(guī)范計(jì)算機(jī)網(wǎng)絡(luò)的使用,及時(shí)控制和審查違法的網(wǎng)絡(luò)行為,確保計(jì)算機(jī)網(wǎng)絡(luò)安全。特別是對(duì)利用網(wǎng)絡(luò)惡意傳播虛假信息和進(jìn)行詐騙、盜取信息等經(jīng)濟(jì)犯罪,造成嚴(yán)重社會(huì)影響的組織和人員,要加大打擊力度,以此穩(wěn)定社會(huì)正常秩序,促進(jìn)經(jīng)濟(jì)快速發(fā)展。
在科學(xué)技術(shù)的快速發(fā)展的今天,計(jì)算機(jī)網(wǎng)絡(luò)安全關(guān)系到國家信息安全和社會(huì)經(jīng)濟(jì)的正常穩(wěn)定發(fā)展,然而計(jì)算機(jī)網(wǎng)絡(luò)安全的形勢(shì)也在不斷變化當(dāng)中,這就要求我們順應(yīng)時(shí)代的變化,不斷進(jìn)行科技研究,改進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)安全管理技術(shù);加強(qiáng)整個(gè)社會(huì)對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全的防范意識(shí);擴(kuò)充網(wǎng)絡(luò)管理人員,提高管理人員的基礎(chǔ)素質(zhì),加大監(jiān)管力度;完善立法程序,加大網(wǎng)絡(luò)違法犯罪的打擊力度,建立起完善的計(jì)算機(jī)網(wǎng)絡(luò)安全管理體系,使得計(jì)算機(jī)網(wǎng)絡(luò)更好的為經(jīng)濟(jì)建設(shè)和社會(huì)和諧發(fā)展服務(wù)。
參考文獻(xiàn):
[1] 劉冬梅.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全與防范策略[J].黑龍江科技信息,2010(19).
[2] 胡世鑄.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)[J].電腦知識(shí)與技術(shù), 2012(8).
[3] 千一男.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的分析與防范對(duì)策的研究[J]. 電腦知識(shí)與技術(shù), 2011(29).
構(gòu)建網(wǎng)絡(luò)安全體系范文第5篇
摘要:隨著金融會(huì)計(jì)信息系統(tǒng)進(jìn)入網(wǎng)絡(luò)化時(shí)代,由于黑客病毒等因素造成各類電子信息文件篡改,嚴(yán)重地破壞銀行會(huì)計(jì)信息系統(tǒng),對(duì)金融會(huì)計(jì)信息造成安全隱患,因此構(gòu)建金融會(huì)計(jì)信息系統(tǒng)安全體系就顯得非常必要。本文從網(wǎng)絡(luò)金融會(huì)計(jì)信息系統(tǒng)的含義出發(fā),分析對(duì)網(wǎng)絡(luò)條件下金融會(huì)計(jì)信息系統(tǒng)存在的主要安全隱患,提出如何建立全方位網(wǎng)絡(luò)金融會(huì)計(jì)信息系統(tǒng)安全體系的框架。
關(guān)鍵詞: 會(huì)計(jì)信息系統(tǒng);系統(tǒng)安全體系;金融會(huì)計(jì)
一、網(wǎng)絡(luò)金融會(huì)計(jì)信息系統(tǒng)的含義
網(wǎng)絡(luò)金融會(huì)計(jì)信息系統(tǒng)是指建立在網(wǎng)絡(luò)環(huán)境基礎(chǔ)上的會(huì)計(jì)信息系統(tǒng)網(wǎng)絡(luò)環(huán)境,包括兩部分:一是金融企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境,即內(nèi)網(wǎng),通過組建金融企業(yè)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)實(shí)現(xiàn)內(nèi)部各部門之間的信息交流和共享;二是國際網(wǎng)絡(luò)環(huán)境,即通過互聯(lián)網(wǎng)使金融企業(yè)同外部進(jìn)行信息交流與共享,基于互聯(lián)網(wǎng)的會(huì)計(jì)信息系統(tǒng),也可以說是基于內(nèi)聯(lián)網(wǎng)的會(huì)計(jì)信息系統(tǒng),即金融企業(yè)的內(nèi)聯(lián)網(wǎng)和互聯(lián)網(wǎng)連接,為金融企業(yè)內(nèi)各部門之間,金融企業(yè)與客戶、稅務(wù)、審計(jì)等部門之間建立開放、分布、實(shí)時(shí)的雙向多媒體信息交流環(huán)境創(chuàng)造了條件,也使金融企業(yè)會(huì)計(jì)與業(yè)務(wù)一體化處理和實(shí)時(shí)監(jiān)管成為現(xiàn)實(shí),原來封閉的局域網(wǎng)會(huì)計(jì)信息系統(tǒng)被推上開放的互聯(lián)網(wǎng)世界后,一方面給金融企業(yè)帶來了前所未有的會(huì)計(jì)與業(yè)務(wù)一體化處理和實(shí)時(shí)監(jiān)管的優(yōu)越性,另一方面由于互聯(lián)網(wǎng)系統(tǒng)的分布式、開放性等特點(diǎn),其與原有集中封閉的會(huì)計(jì)信息系統(tǒng)比較,系統(tǒng)在安全上的問題也更加突出,互聯(lián)網(wǎng)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)性更大。
二、當(dāng)前網(wǎng)絡(luò)金融會(huì)計(jì)信息系統(tǒng)存在安全隱患
(一)金融會(huì)計(jì)信息安全組織管理體系不完善
目前,金融企業(yè)尚未建立起一套完整的計(jì)算機(jī)安全管理組織體系,金融會(huì)計(jì)信息系統(tǒng)的建設(shè)在安全設(shè)計(jì)方面缺乏總體考慮和統(tǒng)一規(guī)劃部署,各系統(tǒng)根據(jù)自己的理解進(jìn)行規(guī)劃建設(shè),技術(shù)要求不規(guī)范,技術(shù)標(biāo)準(zhǔn)各異,技術(shù)體制混亂。國家標(biāo)準(zhǔn)制定嚴(yán)重滯后,法律法規(guī)不能滿足金融會(huì)計(jì)信息系統(tǒng)的安全需求,現(xiàn)行計(jì)算機(jī)安全法律法規(guī)不能為金融會(huì)計(jì)信息系統(tǒng)安全管理提供完整配套的法律依據(jù),在一定程度上存在法律漏洞、死角和非一致性。
(二)網(wǎng)絡(luò)金融會(huì)計(jì)信息數(shù)據(jù)不安全
網(wǎng)絡(luò)金融會(huì)計(jì)數(shù)據(jù)是記錄在各種單、證、賬、表原始記錄或初步加工后的會(huì)計(jì)資料,它反映企業(yè)的經(jīng)營情況和經(jīng)營成果,對(duì)外具有較高的保密性,連接互連網(wǎng)后,會(huì)計(jì)數(shù)據(jù)能迅速傳播,其安全性降低,風(fēng)險(xiǎn)因素大大增加,網(wǎng)絡(luò)金融會(huì)計(jì)的信息工作平臺(tái)是互聯(lián)網(wǎng),在其運(yùn)作過程中,正確性、有效性會(huì)受到技術(shù)障礙的限制和網(wǎng)絡(luò)與應(yīng)用軟件接口的限制,如網(wǎng)絡(luò)軟件選配不合適,網(wǎng)絡(luò)操作系統(tǒng)和應(yīng)用軟件沒有及時(shí)升級(jí),或安全配置參數(shù)不規(guī)則,網(wǎng)絡(luò)線路故障導(dǎo)致工作站癱瘓、操作失誤等,系統(tǒng)間數(shù)據(jù)的大量流動(dòng)還可能使金融企業(yè)機(jī)密數(shù)據(jù)無形中向外開放,數(shù)據(jù)通過線路傳輸,某個(gè)環(huán)節(jié)出現(xiàn)微小的干擾或差錯(cuò),都會(huì)導(dǎo)致嚴(yán)重的后果,互連網(wǎng)結(jié)構(gòu)的會(huì)計(jì)信息系統(tǒng),由于其分布式、開放性、遠(yuǎn)程實(shí)時(shí)處理的特點(diǎn),系統(tǒng)的一致性、可控性降低,一旦出現(xiàn)故障,影響面更廣,數(shù)據(jù)在國際線路上傳輸,數(shù)據(jù)的一致性保障更難,系統(tǒng)恢復(fù)處理的成本更高。
(三) 網(wǎng)絡(luò)金融信息泄露導(dǎo)致金融會(huì)計(jì)信息失真
在信息技術(shù)高速發(fā)展的今天,信息己經(jīng)成為金融企業(yè)的一項(xiàng)重要資本,甚至決定了金融企業(yè)在激烈的市場競爭中的成敗。而金融會(huì)計(jì)信息的真實(shí)、完整、準(zhǔn)確是對(duì)金融會(huì)計(jì)信息處理的基本要求。由于金融會(huì)計(jì)信息是金融企業(yè)生產(chǎn)經(jīng)營活動(dòng)的綜合、全面的反映。金融會(huì)計(jì)信息的質(zhì)量不僅僅關(guān)系到金融會(huì)計(jì)信息系統(tǒng),還影響到金融企業(yè)管理的其他系統(tǒng),目前利用高技術(shù)手段竊取金融企業(yè)機(jī)密是當(dāng)今計(jì)算機(jī)犯罪的主要目的之一,也是構(gòu)成金融會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)的重要形式。其主要原因:一是電信網(wǎng)絡(luò)本身安全級(jí)別低,設(shè)備可控性差,且多采用開放式操作系統(tǒng),很難抵御黑客攻擊;二是由于電信網(wǎng)絡(luò)不負(fù)責(zé)對(duì)金融企業(yè)應(yīng)用系統(tǒng)提供安全訪問控制,通信系統(tǒng)己成為信息安全的嚴(yán)重漏洞,但許多金融企業(yè)對(duì)此未加以足夠重視而采取有效的防護(hù)措施。由于這些原因?qū)е铝私鹑跁?huì)計(jì)信息系統(tǒng)的安全受到侵害,造成了信息的泄露,使金融會(huì)計(jì)信息失真。
(四)金融會(huì)計(jì)信息系統(tǒng)的存在安全威脅
目前金融企業(yè)計(jì)算機(jī)已廣泛聯(lián)網(wǎng),這是金融企業(yè)擴(kuò)大業(yè)務(wù)范圍,實(shí)現(xiàn)信息共享的必然結(jié)果。由于網(wǎng)絡(luò)分布廣,不容易集中管理,許多系統(tǒng)又是在存在安全漏洞與威脅的環(huán)境下工作的,不法分子可以在網(wǎng)上任意地點(diǎn)攻擊,使金融企業(yè)不知不覺中被偷盜資金或泄露機(jī)密。金融企業(yè)經(jīng)營的資金,不法分子作案得逞就能弄到金錢,因此其已成為犯罪分子攻擊的主要目標(biāo),且作案手段繁多,方法越來越高明。作案分子有以下三類: (1)內(nèi)部人員作案。金融企業(yè)內(nèi)部人員熟悉金融企業(yè)業(yè)務(wù)和金融企業(yè)會(huì)計(jì)軟件的薄弱環(huán)節(jié)與漏洞,若禁不住金錢的誘惑,就會(huì)鋌而走險(xiǎn),鉆制度不嚴(yán)的空子,利用合法身份或明或暗或用高科技手段作案,侵吞國家資產(chǎn)或非法轉(zhuǎn)移客戶存款。( 2)外部攻擊。外部攻擊具有作案地點(diǎn)廣泛、案情復(fù)雜且作案手段日趨技術(shù)化、智能化等特點(diǎn),給金融企業(yè)及客戶造成巨大損失,跟蹤與破案難度很大。(3)內(nèi)外勾結(jié)作案。犯罪分子利用金融企業(yè)管理上的漏洞與松懈,內(nèi)外勾結(jié),沖破重重關(guān)卡聯(lián)合作案。此類攻擊后果尤為嚴(yán)重,風(fēng)險(xiǎn)最大。
三、構(gòu)建網(wǎng)絡(luò)金融會(huì)計(jì)信息系統(tǒng)安全體系思路與方法
采用現(xiàn)代信息系統(tǒng)實(shí)用安全概念、安全防護(hù)、安全檢測(cè)、安全反應(yīng)是構(gòu)成計(jì)算機(jī)安全管理的核心環(huán)節(jié),各個(gè)環(huán)節(jié)形成循環(huán)密切相關(guān)。構(gòu)建網(wǎng)絡(luò)金融會(huì)計(jì)信息系統(tǒng)安全體系關(guān)鍵在以下幾個(gè)方面把握:
1、完善網(wǎng)絡(luò)金融會(huì)計(jì)信息系統(tǒng)技術(shù)法規(guī)、標(biāo)準(zhǔn)和制度體系建設(shè)
加快標(biāo)準(zhǔn)規(guī)范和制度體系基礎(chǔ)工作步伐,統(tǒng)
籌規(guī)劃、結(jié)合國家和行業(yè)監(jiān)管部門,重點(diǎn)加強(qiáng)電子支付及信息產(chǎn)品與服務(wù)的測(cè)評(píng)、準(zhǔn)入、認(rèn)證等相關(guān)技術(shù)法規(guī)與標(biāo)準(zhǔn)。密切結(jié)合金融企業(yè)信息化發(fā)展實(shí)際,借鑒國內(nèi)外先進(jìn)經(jīng)驗(yàn)和做法,加緊建立和不斷完善集中式數(shù)據(jù)中心運(yùn)營規(guī)范和制度體系,加強(qiáng)網(wǎng)絡(luò)金融會(huì)計(jì)信息安全的各項(xiàng)規(guī)章制度建設(shè),逐步實(shí)現(xiàn)一個(gè)崗位一項(xiàng)制度,全面落實(shí)“讓標(biāo)準(zhǔn)說話,按制度辦事”的信息安全管理準(zhǔn)則。
2、金融會(huì)計(jì)信息系統(tǒng)的物理安全的控制
建立金融會(huì)計(jì)信息物理安全控制,主要有三種關(guān)鍵技術(shù):第一種是防火墻技術(shù)。防火墻是一組基于互聯(lián)網(wǎng)和金融企業(yè)內(nèi)聯(lián)網(wǎng)之間的訪問控制系統(tǒng),它充當(dāng)屏障作用,保護(hù)金融企業(yè)信息系統(tǒng)(內(nèi)聯(lián)網(wǎng))免受來自互聯(lián)網(wǎng)的攻擊。防火墻由軟件系統(tǒng)和硬件設(shè)備組合而成,它執(zhí)行安全管理措施,記錄所有可疑事件。防火墻產(chǎn)品主要包括過濾型和應(yīng)用網(wǎng)關(guān)型兩種類型。所有互聯(lián)網(wǎng)與金融企業(yè)內(nèi)聯(lián)網(wǎng)之間的信息流都必須經(jīng)過防火墻,通過條件審查確定哪些內(nèi)容允許外部訪問,哪些外部服務(wù)可由內(nèi)部人員訪問。因此,防火墻以限制金融會(huì)計(jì)信息的自由流動(dòng)為代價(jià)來實(shí)現(xiàn)網(wǎng)絡(luò)訪問的安全性。第二種是反病毒技術(shù)。在金融會(huì)計(jì)信息系統(tǒng)的運(yùn)行與維護(hù)過程中,應(yīng)高度重視計(jì)算機(jī)病毒的防范及相應(yīng)的技術(shù)手段與措施。如采用基于服務(wù)器的網(wǎng)絡(luò)殺毒軟件進(jìn)行實(shí)時(shí)監(jiān)控、追蹤病毒等等。第三種是備份技術(shù)。備份是防止網(wǎng)絡(luò)環(huán)境下金融會(huì)計(jì)信息系統(tǒng)意外事故最基本、最有效的手段,它包括硬件備份、系統(tǒng)備份、會(huì)計(jì)軟件系統(tǒng)備份和數(shù)據(jù)備份四個(gè)層次。
3、構(gòu)建金融會(huì)計(jì)信息保密的安全體系
(1)建立用戶分類安全控制體系。在金融企業(yè)內(nèi)部,不同的信息使用者,由于他們的身份不同,以及他們對(duì)獲取的會(huì)計(jì)信息要求也不同,因而有必要對(duì)這些用戶進(jìn)行分類,以保證不同身份的用戶獲取與其身份及要求相符的會(huì)計(jì)信息。對(duì)用戶分類是通過對(duì)用戶授予不同的數(shù)據(jù)管理權(quán)限來實(shí)現(xiàn)的,一般將權(quán)限分為三類即數(shù)據(jù)庫登錄權(quán)限、資源管理權(quán)限和數(shù)據(jù)庫管理員權(quán)限等。只有獲得了數(shù)據(jù)庫登錄權(quán)限的用戶才能進(jìn)入數(shù)據(jù)庫管理系統(tǒng),才有可能進(jìn)行數(shù)據(jù)的查詢,以獲取自己所需的金融會(huì)計(jì)數(shù)據(jù)或金融會(huì)計(jì)信息,但其不能對(duì)數(shù)據(jù)進(jìn)行修改。而擁有數(shù)據(jù)管理權(quán)限的用戶除了擁有上述數(shù)據(jù)訪問權(quán)限之外,還可擁有數(shù)據(jù)庫的創(chuàng)建、索引及職責(zé)范圍內(nèi)的修改權(quán)限等。至于擁有數(shù)據(jù)庫管理員權(quán)限的用戶他將有數(shù)據(jù)庫管理的一切權(quán)限,包括訪問其他用戶的數(shù)據(jù),授予或收回其他用戶的各種權(quán)限,完成數(shù)據(jù)的備份、裝入與重組以及進(jìn)行系統(tǒng)的審計(jì)等工作。但這類用戶一般僅限于極少數(shù)的用戶,其工作帶有全局性和謹(jǐn)慎性,對(duì)于金融會(huì)計(jì)信息系統(tǒng)而言,會(huì)計(jì)主管就可能是一個(gè)數(shù)據(jù)庫管理員。
(2)建立金融會(huì)計(jì)數(shù)據(jù)分類安全體系。雖然對(duì)用戶進(jìn)行了分類,但并不等于一定能保證用戶都根據(jù)自己的職責(zé)范圍訪問相關(guān)金融會(huì)計(jì)數(shù)據(jù),這是因?yàn)橥粰?quán)限內(nèi)的用戶對(duì)數(shù)據(jù)的管理和使用的范圍是不同的,如金融會(huì)計(jì)工作中的憑證錄入員與憑證的審核人員,他們的職責(zé)范圍就明顯地限定了其對(duì)數(shù)據(jù)的使用權(quán)限。因此,數(shù)據(jù)庫管理員就必須根據(jù)數(shù)據(jù)庫管理系統(tǒng)所提供的數(shù)據(jù)分類功能,將各個(gè)作為可查詢的金融會(huì)計(jì)數(shù)據(jù)邏輯歸并起來,建立一個(gè)或多個(gè)視圖,并賦予相應(yīng)的名稱,并把該視圖的查詢權(quán)限授予相應(yīng)的用戶,從而保證各個(gè)用戶所訪問的是自己職責(zé)范圍內(nèi)的會(huì)計(jì)數(shù)據(jù)。
(3)建立會(huì)計(jì)數(shù)據(jù)加密安全體系。普通的保密技術(shù)能夠滿足一般系統(tǒng)的應(yīng)用要求,只是通過密碼技術(shù)對(duì)信息加密,是安全的手段。信息加密的核心是密鑰,密鑰是用來對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。根據(jù)密鑰的不同,可將加密技術(shù)分為對(duì)稱加密體制、非對(duì)稱加密體制和不可逆加密體制三種。對(duì)一般數(shù)據(jù)庫來說是較為有效的,但是對(duì)金融會(huì)計(jì)信息系統(tǒng)來說,僅靠普通的保密技術(shù)是難以確保金融會(huì)計(jì)數(shù)據(jù)安全的。為了防止其他用戶對(duì)會(huì)計(jì)數(shù)據(jù)的非法竊取或篡改,為防止非法用戶竊取機(jī)密信息和非授權(quán)用戶越權(quán)操作數(shù)據(jù),在系統(tǒng)的客戶端和服務(wù)器之間傳輸?shù)乃袛?shù)據(jù)都進(jìn)行雙層加密。即第一層加密采用標(biāo)準(zhǔn)SSL協(xié)議,該協(xié)議能夠有效地防破譯、防篡改,是一種安全可靠的加密協(xié)議;第二層加密采用私有的加密協(xié)議,該協(xié)議不公開、不采用公算法并且有非常高的加密強(qiáng)度。兩層加密確保了會(huì)計(jì)信息的傳輸安全,從而保證金融會(huì)計(jì)信息的安全性。
4、建立網(wǎng)絡(luò)金融會(huì)計(jì)信息系統(tǒng)應(yīng)急預(yù)案
制訂應(yīng)急預(yù)案的目的是為了確保金融企業(yè)正常的金融服務(wù)和金融秩序,提高金融企業(yè)應(yīng)對(duì)突發(fā)事件的能力,在網(wǎng)絡(luò)金融會(huì)計(jì)信息系統(tǒng)故障時(shí),將系統(tǒng)中斷時(shí)間、故障損失和社會(huì)影響降到最低,應(yīng)急預(yù)案的核心是建立應(yīng)急模式下的業(yè)務(wù)處理流程,詳細(xì)闡述應(yīng)急模式的操作步驟,建立相應(yīng)的事后數(shù)據(jù)補(bǔ)錄和稽核制度,網(wǎng)絡(luò)金融會(huì)計(jì)信息系統(tǒng)安全應(yīng)急預(yù)案規(guī)定:系統(tǒng)應(yīng)用部門發(fā)現(xiàn)信息系統(tǒng)故障,應(yīng)及時(shí)通知部門負(fù)責(zé)人;部門負(fù)責(zé)人應(yīng)立即通知計(jì)算機(jī)中心;計(jì)算機(jī)中心應(yīng)立即著手查明故障原因,預(yù)計(jì)系統(tǒng)修復(fù)時(shí)間,并通知相應(yīng)部門負(fù)責(zé)人;若暫時(shí)不能修復(fù)(超過15分鐘),應(yīng)向安全領(lǐng)導(dǎo)小組報(bào)告,由金融企業(yè)領(lǐng)導(dǎo)確定是否啟動(dòng)緊急預(yù)案;緊急預(yù)案啟動(dòng)后,計(jì)算機(jī)中心應(yīng)通知各相關(guān)部門,啟動(dòng)緊急預(yù)案中相關(guān)的應(yīng)急措施;在故障消除后,計(jì)算機(jī)中心應(yīng)立即通知各應(yīng)用部門,并報(bào)告安全領(lǐng)導(dǎo)小組,請(qǐng)求結(jié)束應(yīng)急預(yù)案的實(shí)施;事后計(jì)算機(jī)中心應(yīng)將詳細(xì)的故障原因和處理結(jié)果報(bào)有關(guān)領(lǐng)導(dǎo)。
建立健全網(wǎng)絡(luò)金融會(huì)計(jì)信息安全檢查機(jī)制,加大監(jiān)督檢查工作力度。依據(jù)業(yè)已確立的技術(shù)法規(guī)、標(biāo)準(zhǔn)與制度,定期開展信息安全檢查工作,確保信息安全保障工作落到實(shí)處。建立責(zé)任通報(bào)制度,對(duì)檢查中發(fā)現(xiàn)的違規(guī)行為,按規(guī)定處罰相關(guān)責(zé)任人,對(duì)檢查中發(fā)現(xiàn)的安全問題和隱患,明確責(zé)任部門和責(zé)任人,限期整改。在開展合規(guī)性檢查的同時(shí),應(yīng)綜合運(yùn)用檢測(cè)工具,明確安全控制目標(biāo),加強(qiáng)深度的專項(xiàng)安全檢查工作,保證檢查工作的針對(duì)性、深入性和時(shí)效性。
總之,網(wǎng)絡(luò)金融會(huì)計(jì)信息系統(tǒng)所面臨的外部和內(nèi)部侵害,使得我們必須采取切實(shí)可行的安全對(duì)策,以確保系統(tǒng)具有信息保密性、身份的確定性、不可否認(rèn)性、不可篡改性、可驗(yàn)證性和可控制性。
參考文獻(xiàn):
[1]周慧.《商業(yè)銀行電子化的風(fēng)險(xiǎn)控制》.《金融與保險(xiǎn)》,2003第9期
[2]喬立新、袁愛玲、馮英俊.《建立網(wǎng)絡(luò)銀行操作風(fēng)險(xiǎn)內(nèi)部控制系統(tǒng)的策略》.《商業(yè)研究》,2003年第8期
[3]劉昊.《論我國網(wǎng)絡(luò)銀行的風(fēng)險(xiǎn)及其控制》.《新金融》,2003年第1期
[4]楊周南.《論會(huì)計(jì)管理信息化的ISCA模型》.《會(huì)計(jì)研究》,2003年第10期
[5]劉貴栓.《金融企業(yè)會(huì)計(jì)信息失真探析》,《經(jīng)濟(jì)師》,2003年第1期
[6]張金城.《計(jì)算機(jī)會(huì)計(jì)信息失真風(fēng)險(xiǎn)防范》,浙江人民出版社,2003年1月第1版
[7] 謝贊恩.《中國金融信息化二十年》,《互聯(lián)網(wǎng)周刊》, 2004年第3期
[8]顧浩.《中國金融企業(yè)信息化任重道遠(yuǎn)》.《上海金融高等專科學(xué)校學(xué)報(bào)》,2003年第4期
