今天小编为大家推荐《信息安全技术论文(精选3篇)》,供大家阅读,更多内容可以运用本站顶部的搜索功能。摘要:随着电力自动化水平的提高,电力系统越来越依赖电力数据信息网络来保障其安全、可靠、高效的运行。本文研究了电力系统中网络应用的安全策略、安全技术体系,提出电力系统在线网络系统的信息安全保障技术方案。
第一篇:信息安全技术论文
信息安全技术分析
【摘要】计算机信息安全涉及方方面面,影响着众多计算机使用者的切身利益。打击网络犯罪固然重要,但防范措施也必不可少,本文打破网络社会是一个虚拟社会的观点,将网络社会看作现实社会的一部分,从而将管理现实社会秩序的一些方法应用到信息安全领域,丰富信息安全防范措施,以计算机中信息的存储位置和信息的主要类型为出发点,逐步总结出一系列具有创新观点的信息安全防范思路。
【关键词】计算机信息安全;信息安全防范;信息安全补偿
1.引言
信息安全事故在世界范围内时有发生,2013年3月20日韩国遭遇大规模网络攻击,KBS韩国广播公司、MBC文化广播公司、YTN韩联社电视台等广播电视网络和新韩、农协、济洲等金融机构网络以及部分保险公司网络全面瘫痪,造成部分媒体和金融服务中断,超过3.2万台计算机和大量ATM提款机无法启动[1]。调查结果是黑客所为。信息安全不容忽视,针对这些事故,我们提出了一些策略加以预防和弥补。
2.大数据时代网络信息安全
2.1 计算机信息安全的定义
国内常见的信息安全定义:计算机的硬件、软件和数据受到保护,不因偶然的和恶意的原因而遭到破坏、更改和泄露,系统能正常地运行[2]。在信息安全的原则中,基本原则方面上最小化原则、分权制衡原则和安全隔离原则是信息安全活动赖以实现的准绳,而在实施原则方面上人们在实践中总结出的宝贵经验包括:整体保护原则、谁主管谁负责原则、适度保护的等级原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向保护原则。同所有技术一样,信息技术本身也存在局限性、缺陷性或漏洞。
2.2 大数据时代网络信息安全现状
网络安全的本质其实就是信息安全,也就是保证网络中的信息的完整性、可用性、可控性、可审计性和不可否认性等等。网络在服务于用户过程中发挥的主要功能是传递信息,各种生活信息、商业信息、娱乐信息均可借助网络平台操作处理。正计算机网络的广泛性、匿名性、隐蔽性和多样性以及其他计算机自身原因,使得信息安全日益严峻,其中在人为威胁下比较典型的安全威胁有黑客攻击、拒绝服务攻击、假冒服务攻击、网络病毒攻击、中间人攻击和重放攻击。在这些人为威胁下,信息安全还必须考虑自然的威胁。信息系统都是在一定自然环境下运行的,自然灾害对信息系统容易造成毁灭性的破坏,地震、水灾、火灾和雷击都可造成毁灭性的破坏,甚至鼠患,潮湿都可能造成极大的损失。网络无处不在,安全威胁也是无所不在,解决通信网络信息安全的方案包括分层安全防御与运营、Ip安全平台、虚拟化与应用安全交付、安全运维自动化与智能化、安全增值业务、电信业信息技术的风险管理、云安全、Web应用安全、无线安全等[3]。
2.3 大数据时代网络信息安全保护思考方向
信息安全是一门复杂容纳多种学科的专业工程。由规范化的信息安全管理内容组建以风险和策略为核心的控制方法促使信息安全管理的内容实施,并通过定性分析和定量度量的信息安全测评确保任务的顺利进行和成果验收,以此为基本内容建立一套完善的信息安全管理体系[4]。同时,为达到保护信息安全,应建立起系统运行维护的管理体系,将信息安全管理合并信息系统的审核统计以及内部控制体系的强效监控与信息技术服务体系高效结合,高质量确保业务持续性和安全性的要求。
3.计算机本地信息安全
3.1 本地媒体信息种类
所谓的本地媒体信息通俗上来说就是指存在本地(如个人电脑,PC终端)上的信息,常见的媒体信息有文本、图形、图像、声音,音乐、视频、动画等种类。
3.2 本地媒体信息安全现状
目前,本地媒体信息面临的安全隐患可以分为以下几个方面:
(1)本地媒体信息以文件的方式存储于计算机的硬盘内存中,且大多是明文的形式存在。任何人员只要登录操作系统,就能获得本地数据的完全控制权,这其中包括删除数据,篡改数据内容、拷贝数据内容等操作,造成非法访问,数据泄漏;
(2)当用户在使用本地媒体信息时,由于操作不当造成数据丢失,系统崩溃,硬件的损坏等也会使本地信息的安全受到威胁:
(3)由于病毒等恶意程序的入侵使得本地媒体信息受到破坏。会造成一些敏感数据(如财务报表等)和各种账号(如QQ账号密码:支付宝账号和密码,网上股票交易的账号密码等)的泄漏;
3.3 保护本地信息的必要性及影响
随着社会的进步科学的发展,计算机与人们的生活已息息相关,应用范围已经涉及到各行各业,但是计算机本地数据泄漏、被盗的也越来越多。如果计算机本地媒体信息的安全得不到保障,将会使计算机使用者带来很多的麻烦和巨大的损失,如个人信息的泄漏,银行、股票证劵公司、政府机要部门、军方数据的泄漏,被盗等。
当今世界的各行各业都与信息化有着越来越密切的联系,信息产业已经涉及到了社会的各个角落。数据安全是信息产业建设的基石,如果数据安全得不到保障,那么信息产业的发展将会受到极大的影响,将会造成不可估量的损失,甚至致使社会的进步减慢。现在IT技术发展很快,每隔一段时间就会出现新的技术和安全威胁,还将会有更多的威胁涉及到计算机本地数据的安全。如果连本地媒体信息的安全不得不到保障,那么接下来的安全问题也难以保障。
4.计算机可视媒体信息安全
4.1 可视媒体类型
可视媒体的基本类型包括四类:符号、图形、图像和视频。符号是对特定图形某种抽象的结果,我们平时经常用到的文本,就是一种符号媒体形式;图形是图像的抽象化,是对图像进行分析后产生的结果;我们所谈论的图像一般是指光学图像,在日常生活中经常见到,图像只有经过数字化处理,才能适合计算机使用[5];视频又可称作动态图像,这里所说的动态图像不是指gif,gif属于图像的范畴,视频是指通过进行一系列静态影像以电信号方式加以捕捉、纪录等进行一系列处理的技术而构成的运动视感媒体。
4.2 可视媒体现状及发展
信息安全主要是研究如何防范信息免受来自外部和内在的侵害,内在的风险是由系统的脆弱性造成的,是信息安全的内因;外在的威胁不仅会来自人为地破坏,也会来自于各种自然灾害,这是信息安全的外因。所以,对于可视媒体信息安全,这个问题也是在所难免,随着信息安全产业的不断发展,可视媒体的安全研究从可视媒体信息加密发展到可视媒体信息认证和安全分发的过程
4.3 研究可视媒体信息安全的意义
可视媒体是一种重要的信息门类,在当今社会中各个领域已被广泛接受和使用:在警务工作中,随着视频监控等技术的发展,对打击犯罪、维护社会稳定起到了重要作用;在军事工业方面,卫星、遥感技术对信息安全的要求极高,因为这关系到国家的安全,研究可视媒体信息安全有利于保卫国防;在商业领域,符号、图像、视频等资料可能记载着公司的商业秘密,一旦被别有用心的人窃取,可能将遭受不可挽回的损失。目前互联网中网络犯罪集团化趋势明显,所以,研究可视媒体信息安全非常必要,要求可视媒体安全技术水平不断提高。
5.结论
5.1 信息安全主要预防措施
随着信息安全产业的发展,产品体系逐渐健全,信息安全产品的种类不断增多,产品功能逐步向系统化方向发展,密码技术、防火墙、病毒防护、入侵检测、网络隔离、安全审计、安全管理、备份恢复等领域,取得明显进展,在此介绍一些当今社会具有代表性的技术以及对未来技术发展的构想。
5.1.1 风险评估
信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量,是对威胁、脆弱点以及由此带来的风险大小的评估[6]。风险评估方法主要分为定性评估方法、定量评估方法和定性与定量相结合的评估方法三类:定量的评估方法运用数量指标来对风险进行评估,它通过分析风险出现的几率,风险危害程度所形成的量化值;定性的评估方法主要靠研究者的非量化资料对信息系统状况做出判断;定性与定量相结合的评估方法,两者相结合,促使评估结果准确、公正。进行信息系统风险评估,可以发现系统目前与将来发生风险的可能性,从而更好地保障信息安全。
5.1.2 人工智能综合利用
人工智能是指通过人工的方法在计算机上实现智能,在信息安全领域,人工智能主要体现在入侵检测和风险评估两个方面。入侵检测是指在不影响网络性能的情况下对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,同时收集入侵证据,为数据恢复和事故处理提供依据;风险评估模型中的智能方法层次分析法是一种对风险问题建立层次结构并根据评价者的主观判断确定各因素变量的传统的风险评估方法,模糊综合评判法是一种智能方法。在信息安全风险评估模型中,模糊综合评判是根据专家对信息系统的评价结果运用模糊逻辑和熵理论求得信息系统的风险等级,确定在某些方面采取一定程度的安全防范措施[7]。综合利用人工智能技术,可以从多方面,多层次进行信息安全管理,以确保信息系统的安全。
5.1.3 等级保护
为了加强对信息安全监管,我国制定了计算机信息系统安全保护等级划分准则(GB 17859-1999)标准,该标准涉及身份鉴别、自主访问控制等十个安全要求,将信息安全的等级分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级,每一个等级包含的安全要求如图1所示,图中的高等级包含低等级的要素。信息系统安全等级保护为信息安全监管奠定了基础,等级保护作为信息安全系统分级分类保护的一项国家标准,对于提高安全建设的整体水平,增强信息安全的整体性、针对性和时效性具有重要意义。
5.1.4 信息安全管理
随着信息技术在科技、军事、企业等领域的大规模应用,信息问题越来越突出,信息安全技术趋于复杂,所以加强信息安全管理很有必要。现代管理理论创始人Henri Fayol认为,管理就是计划、组织、指挥、协调、控制。某位专家曾经说过:“信息安全管理是‘国家意志,政府行为’”,对于信息安全管理要加大力度。在物理安全方面,要做好物理访问控制和设施及防火安全;在人员方面,工作人员要做好保密工作,防止从内部造成对网络安全的威胁,用户自身要增强人员的安全意识,做好自主保护工作。信息系统的安全管理是信息安全保障工作的重要内容之一,为信息安全建设发挥了不可替代的作用。
5.2 信息安全主要补偿措施
5.2.1 转嫁风险
目前,因特网的迅速发展,网络信息安全事故也处于高发状态,图2所示,虽然信息安全技术能够起到一些抑制作用,但是通过运用转嫁风险的方法可以减少损失。转嫁风险主要靠网络信息安全保险,网络信息安全保险是指保险公司对因网络漏洞而导致恶意攻击所造成的重要资料丢失、知识产权受到侵犯、服务中断和营业收入损失等承担赔偿保险金责任的商业保险行为,是一种以信息资产安全性为保险标的的特殊保险[8]。网络信息安全保险主要是对网络灾害事故损失进行补偿的一种经济保障手段,同时也是一种合同行为,具有法律效力。另一方面,这个保险不是万能的,对于不能用金钱衡量的信息,损失将会巨大。尽管如此,转嫁风险的方法对信息安全保障建设能够起到一定的积极作用。
5.2.2 数据恢复
数据恢复技术就是在计算机系统遭受误操作、病毒侵袭、硬件故障、黑客攻击等事件后,将用户的数据从存储设备中重新恢复出来,将损失减到最小的技术。数据恢复方式主要分为软件恢复方式和硬件恢复方式。其中硬件恢复可分为硬件替代、固件修复、盘片读取三种恢复方式,硬件替代就是用同型号的好硬件替代坏硬件达到恢复数据的目的;固件修复,就是用硬盘专用修复工具,修复硬盘固件;盘片读取就是在100级的超净工作间内对硬盘进行开盘,取出盘片,然后用专门的数据恢复设备对其扫描,读出盘片上的数据数据恢复方式。软件恢复可分为系统级恢复与文件级恢复,系统级恢复就是操作系统不能启动,利用各种修复软件对系统进行修复,使系统工作正常,从而恢复数据;文件级恢复,就只是存储介质上的某个应用文件坏,如DOC文件坏,用修复软件对其修复,恢复文件的数据[9]。数据恢复不能保证可以将所有遗失的数据恢复出来,对于减小数据丢失的损失,将会起到一定作用。
5.3 信息安全预防和补偿措施的结合
目前,我国信息安全法律体系已经初步建立,但是法律法规不够完善:地方法规比较多,法律法规比较少;部分法律已经过时,无法顺应时代要求;加快制定信息安全基本法,以加强对其他法律的理论指导。对比国外信息安全法律,欧盟信息安全法律框架体系完备,早在1992就出台了信息安全相关法律,这些年来进一步完善,法律结构合理,对信息安全的监管机构、监管模式做出了规定,明确了社会人员的权利和义务,有效地规范了信息经济的发展。美国1981年成立全美计算机安全中心,之后出台了一系列信息安全法律,特别是“9.11”后,美国政府加强了对信息技术的投入和监管,采取强有力地立法措施以解决其网络及计算机系统的脆弱性问题。我国应进一步完善信息安全法律法规,借鉴他国经验,结合本国特色,形成有中国特色的信息安全法律体系。
参考文献
[1]韩国遭大规模网络攻击[OL].中国信息安全等级保护网, 2013.
[2]王斌君,景乾元,吉增瑞,等.信息安全体系[M].北京:高等教育出版社,2008.
[3]李璋.浅析网络信息安全技术[J].天津市政工程,2013 (1):37-39.
[4]邓小民.信息安全管理标准及综合应用[J].建材发展导向,2013,11(13):211-212.
[5]徐正全,徐彦彦.可视媒体信息安全[M].北京:高等教育出版社,2012.
[6]冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004,25(7):10-18.
[7]刘换,赵刚.人工智能在信息安全风险评估中的应用[J].北京信息科技大学学报(自然科学版),2012,4
[8]高雷,吕文豪.论建立我国网络信息安全保险体系[J].保险研究,2011(7):86-91.
[9]龚勇.Windows下数据恢复的研究[D].成都:电子科技大学,2008.
作者简介:
董承瑞,现就读于中国人民公安大学网络安全保卫学院。
宋晶乔,现就读于天津大学建筑工程学院。
徐达,现就读于中国人民公安大学网络安全保卫学院。
杨会明,现就读于中国人民公安大学网络安全保卫学院。
马跃,现就读于中国人民公安大学网络安全保卫学院。
作者:董承瑞等
第二篇:电力信息系统的信息安全技术
摘要:随着电力自动化水平的提高,电力系统越来越依赖电力数据信息网络来保障其安全、可靠、高效的运行。本文研究了电力系统中网络应用的安全策略、安全技术体系,提出电力系统在线网络系统的信息安全保障技术方案。
关键词:电力信息系统 信息安全 技术
注:本文中所涉及到的圖表、注解、公式等内容请以PDF格式阅读原文
作者:丁 祥
第三篇:网络信息技术信息系统安全性研究
【摘要】在我国经济转型升级的新阶段,伴随着网络使用覆盖率的飞速扩大,“互联网+”的新观念也推动着借助电脑的信息化管理逐渐取代传统的利用人脑的人工管理模式,市场竞争的日益激烈使企业管理数据的信息化、数字化以及网络一体化趋势变得刻不容缓。新态势下,会计环境和工具发生了极大的改变,基于网络信息技术的会计系统应运而生并快速发展,拥有了广阔的市场前景。当然,互联网凭借更开放、更快捷、更具有与动态性的特点拥有者储存大、无国界的优势,有力地促进着会计工作向着更现代化的方向转变,但其数据储存与信息传输也因为互联网风险性强而存在着巨大的安全隐患,金融犯罪、病毒传播、信息泄露等不法行为的危害影响也随之扩大。
本文在参考了大量国际经验与实践案例的基础上,探讨了网络会计信息系的统的内涵,并从硬件系统、软件系统、软件系统和数据及人员管理四个方面深入探究了基于网络信息技术的会计信息系统的价值特性与存在的问题,如软件系统开发不合理、黑客恶意攻击、“会计信息孤岛”形成等,并针对相应问题多角度全方位的提出了行之有效的建议,以期为e时代的激烈竞争中的网络会计建立起高安全性、多样性、个性化的与网络环境相适应,能够满足财务管理工作,提高企业运营效率及效果的新型会计信息系统。
【关键词】网络环境 会计信息系统 安全性
引言
随着网络信息技术的发展,会计信息系统的发展也越來越快,呈现出了复杂性、开放性、动态性以及高度的集成性等一系列新的特点。毫无疑问,会计信息系统的发展,提高了企业经营的效率和效果,财务人员可以利用电子货币来实现网上的支付和结算,不需通过银行,从而加快了资本回收和提高了资金的周转率,办公场所也可以从办公室转移到家里,无疑节省了企业的开支,也提高了办公效率。还可以帮助企业完成财务和业务的报账、协调运行,审计查账等,给财务人员的生活带来了很多的方便。但随着会计信息系统不断发展的同时,数据的开放性和数据储存介质的不牢固性,使会计信息系统存在了一定的安全隐患,所以加强会计信息系统的安全性建设当务之急。
会计信息系统安全现状的理论研究,我国学者们主要从物理安全、技术安全以及管理安全三方面进行综述。
物理安全,即主要是指系统内部机器、设备等可能遭受的损坏情况。梁星,王风华(2008)通过研究对企业调研的样本,发现单机和C/S两种应用模式下的系统,都存在自身功能的失效、零组件性能限制的可能,这都可能导致会计系统工作混乱或数据毁损陈宏明,杨勇(2002)10认为不正确的操作方式、人为的有意破坏以及不可预测的灾害是影响硬件系统安全的主要风险。张继德,刘盼盼(2010)对硬件系统的安全问题进行分析,其认为电源不稳定可能导致某些精密仪器等设备损坏而导致系统出现故障或数据丢失;自然灾害也可能会影响到设备的可靠性和安全性以及磁场干扰、特殊因素等都会影响硬件系统的使用。
技术安全,主要从会计信息系统中的软件可能遭受入侵、病毒等情况而导致会计信息发生泄漏、篡改等情况。张宝丽(2009)从会计系统本身存在的系统泄洞和黑客常借助破译工具对密码的破解两方面论述了企业网络会计存在的安全威胁。王丽艳(2013)从软件的质量、盗版的操作系统和管理系统软件以及网络系统的恶意破坏三方面论述其可能会导致会计系统的瘫痪,进而影响会计信息的安全。潘婧(2008)认为网络环境下信息系统的安全风险远远大于单机情况。这主要涉及到下列三方面:一,跨区域财务系统协同工作的安全;二,来自企业合作方和社会管理部门对网络财务系统的安全威胁;三,数据在传输过程中遭到的非法窃听和截取。臧秀清,何玉芬(2009)主要通过网络病毒、黑客的攻击以及网络结算资金存在的弊端(如网络黑客改变货币账单、银行结算单等)揭示了企业网络会计面临的技术安全风险。罗红(2011)16认为信息系统最容易受到黑客与病毒的攻击,网络环境下,经济发达地区的财务信息面临被窃取的比例会更高,这主要是由于单位缺乏成熟的安全管理机制和目前的操作系统主要由国外研制,很难判断其是否存在缺陷或后面。
管理安全,通常是指系统对于操作人员、机器设备、数据等安全情况的管理。许佳(2010)就网络环境下的内部控制和法律环境以及监督机制进行了分析,并指出由于尚未形成完善的内部控制、法律及监控制度,而使企业产生的一些网络风险。陈宏明,杨勇(2002)认为会数据的不安全因素主要包括操作人员的篡改程序和数据;员工有权和无权的非法操作以及操作人员窃取或篡改商业秘密、非法转移电子资金和数据泄密等。孙静(2009)认为目前实施会计电算化主要存在的安全管理方面问题有:一、职权设置不合理,没有建立岗位责任制以及网络环境下差错不易发现等内部控制安全风险;二、档案管理方面,如缺乏规范的会计电算化档案管理制度;三、人才综合素质低下,如表现在上机时经常出现误操作等情况。
上述学者认为从理论上对企业的网络会计系统的安全现状进行了分析,但是行业、规模不同的公司,其会计信息系统的安全现状可能也存在着不同。王雄,孙晓东,吴维桥(2013)以青海省电力公司为背景,该公司信息网络呈现的是内网、外网相隔开的状态,因此其会计信息系统所遭遇的来自外网的风险大大减小,其主要就内网出现的安全风险(主要是部分员工的无意识行为造成的)进行了详细的分析。丘朝才(2006)按照单位规模的不同对其进行了研究,他认为相比于大型单位而言,中小企业由于其经营规模、成本费用等的约束,单位在实施会计信息化的过程中对安全方面的投入或重视都不及大型单位,因此其系统存在的风险也与大型单位存在区别,故作者就中小型单位的会计信息系统的安全风险进行了详细的分析。魏姗琳,邓彦对高校财务系统的安全风险进行了分析后,基于模糊综合评判法构建了高校财务系统安全评估指标体系,评估方法表明,评估结果具有可行性和指导性。
随着网络会计信息系统在企业应用中的不断深入,企业对会计信息系统的依赖性也在逐渐的提高,但Coopers & Lybrand 的一项研究分析表明,英国60%以上的企业曾遭遇了信息系统被控制的问题,且在澳大利亚、美国等国家也经历过类似的系统问题。因此为了提高企业决策的准确性,必须要深入了解会计信息系统自身存在的一些安全隐患,以及目前企业会计系统安全问题的现状。
网络环境由于其自身所具有的复杂性和开放性,因此网络会计信息系统也不可避免地存在着一些安全隐患。Robert L.Hurt(2008)讨论了信息系统存在的一些商业风险,包括欺诈、错误、服务崩溃与延迟、信息外泄、非法入侵、信息窃取、信息操纵、恶意软件、拒接服务攻击、网站污损以及勒索等。
慎重选择符合企业自身需要的软件。首先,应该选择具有财政部颁发的《商品化会计核算软件评审合格证》的软件。其次,软件指标应该符合单位特殊核算的要求和行业特性以及单位发展的需要,能保证会计数据安全可靠,同时也应符合操作方便、通俗易懂、售后服务好、能及时提供日常维护、版本升级和软件二次开发等要求。
定时对软件应用进行正确性检查。应用程序和软件系统在执行前应进行严格的检查,在确保数据处理无误的情况下,才能进行会计信息化处理业务,在计算机工作期间要定期检查监控应用程序和系统软件的可靠性,确保软件输出结果正确,确保数据库不被绕开财务软件直接进行访问或使用数据库工具对数据库进行直接修改,这样,可以有效地避免来自会计软件的风险,避免错误的会计信息产生。
人才因素的安全防范措施。信息化条件下对会计人员提出了更高的要求,要求财会人员不仅要掌握扎实的会计知识和技能,还要有相应的计算机、网络及软件应用知识。当前重要的一点就是要培养一大批既懂得网络信息技术,又具备商务经营管理知识,且精通会计知识的复合型人才。要适应信息化会计发展的需要,国家必须注重这类人才的培养和开发,这是信息时代保证企业乃至国家在激烈的市场竞争中制胜的关键所在。因此,要加快调整现行会计教育体系,加大对现有会计人员关于网络会计知识的后续教育。为此,企业可以让财会人员进修计算机课程,还可以让计算机人员、在岗人员实习并进修财会知识,以增加本企业的复合型知识结构人才,降低企业的信息安全隐患。
企业相关者的安全防范措施。首先,建立输入控制制度,为会计信息系统的安全提供基础保证。具体操作时分别建立会计确认安全控制和记账凭证的输入安全控制。 其次,建立操作控制制度,为会计信息系统的安全提供操作 层面保证。 建立操作权限安全控制,防止越权使用操作对系统带来的影响;建立严格的操作控制来规范对会计信息系统的操作,保证即使系统本身由于开发存在的不足引发的系统异常的情况下仍然能保证系统继续运行。 再次,建立内部监督管理机制,为会计信息系统的安全提供内部保障。
非企业相关者的安全防范措施。针对一些不法人士对计算机的恶意破坏,我们不仅要有一些被动防范,更要采取一些积极措施。被动防范主要有:不使用盗版软件;不打开和阅读来历不明的电子邮件。主动措施主要有:经常对计算机进行软盘和硬盘的病毒检测并对相关的软件进行及时的升级;设置防火墙,将黑客阻挡在内部网络之外;严格网内主机管理;设置好网络环境,对操作命令的使用必须严格限制,有条件的单位可以设置网络机关,把本单位网络与外网隔离。其次,可以利用信息加密技术中的非对称加密机制,实现共同保守会计数据秘密。最后,可采用一种主动控制技术即入侵检测技术,用来监听流动的网络上的数据包,并能识别具有黑客攻击的数据包。
1相关理论概述
1.1网络安全与网络性能的矛盾性
互联网的最大特点之一即是开放性,与外界关联性极强,使用者也及无条件限制。系统的开放性共享性与无国界的特质打破了传统的封闭系统,就为安全隐患培养了滋生的土壤。这些导致安全风险的缺点又恰恰是网络平台的优势,企业通过信息的储存、开放与共享将人的智慧无限延伸,使得会计工作变得更加快捷有效,但是信息的储存、处理与交流过程中,安全问题便成了最大的“拦路虎”。如果投入较高的成本、技术为网络制定一系列的安全防护措施,比如设立防火墙等,程序的增多又不可避免的会使得计算与运行的速度变慢,过的的身份验证也会使信息的传递与交流的过程也将变得复杂且效率低下。成本的增加虽然一定程度上降低了安全风险,另一方面又部分的丧失了新型会计系统的优点。故而网络安全与网络性能存在一定的不可兼容性。如何把握好臨界点,掌握信息安全与运作便捷高效的平衡点,是我们需要探究的永恒话题。
1.2信息安全理论
信息经济的高速发展,使得作为无形财产的,完整的、有保密必要的、可靠的并具有较强可用性的信息资源价值不断升高,具有如此高价值的资源却又存在与组织运转的各个环节,它可以为内部使用者提供指导性的行为方向,也可以用以与外部进行交换共享,使之获得相关利益收入,做到双赢。但是该资源的无形性使之时十分容易遭到泄露、干扰和篡改等非法行为。企业中的会计信息使其作为机密的资源之一,会计信息的泄露甚至可以导致一个企业的破产,相同的,信息系统微小信息被篡改,也会导致整个系统的瘫痪。故而在互联网高度发展的今天,如何理解信息资源并确保其安全,是各个组织包括个人需要关注的重点。
1.3会计信息系统安全与网络安全密不可分
基于Internet技术的网络运行环境的安全性与诸多因素有关,包括软件系统方面,如先关程序的设计等;硬件系统方面,如主机的质量,路由器的完好运行等;数据信息方面,如信息传递的完整性、时效性等;操作人员方面,如其工作的行为准则与道德标准等。而网络会计信息系统的运行是离不开网络环境的,二者息息相关。如会计的应用程序与会计信息的录入与计算都离不开相关的计算机软件与各自的网络工作站。一旦网络环境偶然或无意遭到入侵或干扰,会计信息系统的运行或数据库所存的信息都将不同程度的损害。尽管信息安全作为一门系统的学科,需要计算机的运用、网络知识的掌握以及密码学、应用数学的学科学习,但这些活动几乎都是在网络的基础上进行的,为了趋利避害,会计信息系统安全与网络安全的双管齐下已成为必然。
1.4 PDR循环理论
PDR循环理论是能够用于定量的,基于时间顺序针对系统、软硬件、组织管理、Internet等各个环节所存在的漏洞进行的以“防护(P)”、“检测(D)”及“反应(R)”三方面而形成的具有防护功能的动态且完整的循环圈。“防护(P)”、“检测(D)”及“反应(R)”之间存在着十分密切的顺延、配合关系。“防护(P)”的功能在于为“检测(D)”提供更多的准备和进行的时间,主要方法防止、阻碍、或延迟信息系统受到入侵的机会与时间。“反应(R)”则担负着在“检测(D)”之后进一步的修复与检查,并形成新的PDR循环过程。该模型的产生是基于现实中所需做的有效的安全措施相对应的,比如防火墙系统的防护、密码的设置与监控等。策略循环理论为了与企业生产链相适应,使得财务会计得到更好的管理与运作,进一步推动企业对会计信息的远程控制、电子商务发展以及资金与信息的流动等,在网络安全技术的不断提高,又逐渐在PDR循环中加入了“策略(P)”,将PPDR进行了更有效用的改变,随后,PZDR模型、PPDRR模型陆续投入企业的运用之中。
2会计信息系统的内涵
2.1会计信息系统的内涵
会计信息系统在互联网飞速发展的基础上为适应现代社会发展与会计组织管理要求的基础上,以现代化的计算机、通讯技术及专业应用软件为工具的,用于会计活动处理,能够进行财务数据采集储存、分析、决策和控制管理的管理信息系统的一个子系统。
随着技术进步和财务管理工作的日益完善,会计处理模式一步步由人工会计处理转为电算化会计信息处理、到后来的准会计信息系统,直到现在的依赖于网络的现代化会计信息系统,人依旧起着主导作用,但网络的地位更加凸显,计算机硬件、软件的应用,以及现代通信和信息处理技术在与此相关办公设备的结合之下,独立全面的实现原始单据,记账凭证等各种业务数据的的联网运行,更好的为企事业单位中的会计组织进行着自动或半自动的会计核算工作、财务信息分析工作,将信息做以采集、储存、加工、传递和反馈,最终为管理决策分析工作提供着重要的依据。会计信息系统对企事业资金流、物流以及信息传递活动进行模拟实施、监管控制与规范指导,进一步达到了现代管理思想中的实时效果。
会计信息系统的结构示意如图3-1所示,它是企事业经营管理的重要环节,其正确使用对推动企事业实现现代化管理有着重要意义。
2.2对内涵的模糊认识
目前,我国企事业单位都采取了利用计算机辅助会计业务的模式,也使用了各种各样的管理信息系统软件,如ERP等,任何计算机的有机结合有效的提高了会计工作的效率与准确度。但是,仅仅是借用计算机进行会计原始凭证或记账凭证等的信息录入、会计分录记录、账簿管理、财务信息查询与传递等,必不能说是实现了会计信息系统的使用,只是将计算机作为信息收集、传递的工具,而非会计电算化,与手工记账只存在使用工具上的不同而已。会计电算化减少了数据处理中人为的干预,使之按照程序设定进行自动或半自动处理,使会计信息分析更为准确,同时,会计信息系统是一个密切配合,紧密协调,相辅相成的人机系统,其配套软件、数据处理结构、系统运行模式,甚至职工守则等单位文化的制定是一个完整的系统,具备完整化、规范化、标准化的要求,只是利用计算机进行信息的独立网络记录,没有统一的标准和会计电算化使用理念,并不能使组织管理的效果良好,甚至会起到反作用,如信息孤岛等。
3基于网络信息技术的会计信息系统存在的安全问题探析
网络环境下,市场竞争日益激烈,人们生活方式普遍改变,信息资源迅速增多,企事业单位对会计信息系统安全工作的重视度开始加大,同时网络安全技术也在不断提高,我国会计信息系统发展态势良好,表现在硬件方面(如,中国企事业单位对打印机的使用率几乎达到百分之百,计算机的购买量持续快速增长,路由器的使用者不断增多,辐射范围几乎全面覆盖)、软件方面(如,企事业单位对软件资源的开发及利用投入巨大,包括OFFICE 办公软件、ERP 软件等系统操作软件,维护软件、客户关系管理软件以及办公自动化软件等)和数据及人员管理方面(如,相关行为准则的制定与软件使用培训活动纷纷开展等)。但在各环节也仍然存在着安全隐患,不能很好地适应会计业务的转型升级。
3.1硬件系统存在的问题
网络信息技术发展对计算机硬件系统有着很强的依赖性,硬件系统作为物质基础,形成了网络环境下会计信息系统不可缺少的实体组成部分,物质实体在日常生活和工作中会遭到有意或无意的损坏,另一方面,其自身质量及使用期也是其运行的限制因素,而計算机信息系统硬件的损坏是会计信息系统运行的硬伤。硬件系统最容易出现的故障包括以下四点:
第一,储存器发生故障,致使企事业在其中收集存放的信息遭到更改或丢失,且大多数时候数据无法恢复,从而造成单位重要信息的流失,组织运作混乱,管理失效。
第二,主机发生故障,导致计算机系统陷入瘫痪状态,耽误工作进程,给单位造成巨损失。
第三,硬盘发生故障,硬盘作为计算机的最重要构成之一,存放着诸多重要资料,一旦损坏,结果不可想象。
第四,相关设备或线路发生故障,此属于部件的损坏,虽然影响不大也比较容易修复,但却受使用者行为和其自身质量的因素影响,最为常见。
而经过研究与调查,笔者认为造成以上硬件系统发生故障主要为以下内外部原因共同作用的结果:
(1)偶然事故和自然灾害致使硬件损害
网络环境下会计信息系统的硬件设施,如计算机主机、硬盘和存储器等,对外部环境反应较大,如周围的温度过高或过低,空气潮湿度过高等都会引起硬件设施的毁损(其对温度要求一般在十摄氏度到二十摄氏度之间,湿度要求则在空气中含水量百分之四十到六十之间),包括加速硬件设备的老化或生锈等。而偶然事故,如突然停电等以及自然灾害通常发生在不经意无预防的时候,硬件设备又多体积大、重量大、放置复杂,拯救措施不易实施,一旦遇到常见灾害,如火灾、水灾等,系统的硬件设备将被完全摧毁,水灾的发生则一方面损坏硬件设施的材料,另一方面会使其绝缘能力下降,造成电路故障,产生高压电流,烧毁设备。
(2)人为造成硬件设施破坏
网络信息技术飞速发展的基础上,会计信息系统的操作人员是否具备相关使用技能,是否能够合理、正确使用设备,也是硬件设备是否会遭受损害的重要影响因素。开关机顺序错误等不合理的使用,或恶意对计算机硬件设施进行破坏,都会间接或直接造成设备的使用寿命的减少,阻碍系统的正常运行,对单位造成难以挽回的损失。
(3)不合规配置和管理造成硬件系统故障
网络会计信息系统硬件的配置不合理与管理不善是造成硬件损坏最常见、破坏力极强的行为,同时它也会引起网络不稳定、运行不通畅或信息传递失效的问题。如,所选主机的 IP 和其他主机的 IP地址相冲、网卡与工作站选择出现劣质、路由器缓冲区不合适等,都会造成网络连接失败或信息传递超时等问题。
3.2软件系统存在的问题
软件系统是指能够指挥计算机正常运行的各种程序与文档的总称,主要包括操作系统,数据处理系统、信息查询系统等。网络会计信息系统运行中软件的不当选择与使用,或未能及时升级、更新系统,都将会导致网络信息故障的产生。截至目前,我国开发的会计信息系统多种多样,如AC990、SYBASE、万能、用友等,网络会计信息系统一方面为会计业务工作提供了便捷高效,另一方面也使得会计信息存在了巨大的安全风险。诸多企业目前仍然采用安全防范功能十分薄弱的Web服务器进行会计工作,其形成的SSL(SeeureSoCketLayer)安全协议无法很好的保证企业的财务信息不被非法窃取。
(1)软件系统开发不合理
我国网络会计信息系统分为两个部分——会计软件客户端与后台数据库,就软件设计而言,在数据库系统及会计软件系统的开发设计之初,部分软件就埋下了安全隐患,由于会计开发者的不专业性,在实际操作当中无法与单位会计业务很好的契合,如果软件系统开发不合理,甚至在使用过程中出现死机或经常非法中断的现象。或者一些程序编辑人员在系统程序设计中加入“逻辑炸弹”使系统设计出现漏洞, 严重威胁着单位的财务信息安全。
(2)软件系统的不正确使用
网络环境下,企事业单位应该结合本单位生产运作和组织管理的特点进行软件系统的选择与使用,企业规模与业务量的大小决定着不同软件的计算量、储存量的选择。例如,对服务器数据库系统(包括SQLserver、OraCle等)与桌面数据库系统(包括S FoxPro、Aeeess等)的区分就十分重要,混淆的使用也会造成数据库系统安全性能的缺失。特别是在电子商务会计业务信息的处理中,不合理的软件选择,如果没有选择高效的风险监测系统,就极易出现黑客攻击、信息拦截,金融欺诈等问题,造成商业机密的泄露与网上资金流向错误等,从而使其会计组织面临多层次化的风险。
3.3网络系统存在的问题
网络系统对会计信息系统安全重要性的主要体现在于,单位的会计信息储存、分析和传输等主要部分都是通过INTERNET(互联网)或INTRANET(企业内网)进行传输的,网络本身存在的开放性与信息共享性使得网络会计信息系统不可避免的产生安全漏洞。
(1)黑客恶意攻击
网络会计信息系统的安全性至关重要,一旦部分计算机高级人员利用该漏洞进行恶意操作,如借以计算机病毒、网络监听、非法进行程序文件的篡改等入侵,单位会计信息将被窃取、更改,或者从而为企业造成巨大的经济损失。另一方面,黑客也会利用软件与网络的漏洞,将大量的数据包与邮件绑定,定時向单位发送,从而导致系统的运行不畅或直接瘫痪,网络口令的非法利用也可以使黑客获得管理员权限,篡改企业内部信息。
(2)网络病毒感染
计算机病毒(如特洛伊木马等)可以通过存储介质(如盗版光盘、移动硬盘等),互联网(如软件下载、网页链接等),企业内网(如内部邮件或文件等)三种途径进入单位计算机系统,破坏其储存的重要文件、数据资源等,甚至会造成计算机硬件设备的损坏。
3.4数据及人员管理
网络环境下会计信息系统的运行对数据及人员管理也是其安全保障的一道有力门槛。
(1)安全控制制度不健全
网络会计信息系统是一个完整的包括数据库建立、人员及设备管理、安全防范措施等诸多方面。数据信息的系统操作以及维护工作在网络会计信息系统减轻会计负担的同时的必然措施。当前企事业单位内部控制主要是从业务管理层面出发,包括账务信息核算、数据分析程序等,并未从管理信息化的层面加以控制,使企业的生产运作、人员管理、战略决策环节与会计信息系统的使用匹配程度不高,与单位管理系统中的各个环节切合度较低,未能使安全控制落实到位。
(2)“会计信息孤岛 ”的形成
网络环境中“联系”、“共享”和“相互作用”等概念在会计信息系统的运行中极为重要。当前企事业会计部门虽然大多实现了会计的电算化,但是与单位内部运作与组织管理(如企业的经营战略、企业生产安排、业务执行情况、科技创新等)不相称,另一方面,和单位外部信息交流脱节,不能使销售环节、资源交流合作、及合作方交易等非货币信息的交流等业务外延产生隔离,形成了“会计信息孤岛 ”,使决策系统变得较为单一,不能满足现代管理思想的要求。
(3)道德风险和操作风险
网络环境下对财务人员实际控制力的减弱,致使道德风险和操作风险的产生,这就使得财务人员必须对单位内部控制、会计制度、会计法和国际会计准则具有较好的了解与较高的执行力。部分财务人员不能抵抗利益诱惑,利用职务之便与专业的计算机知识,通过篡改、删除、插入、伪造相关会计信息数据,有意失误和舞弊,以期从中获得非法的经济利益。计算机会计系统虽使得会计的管理成本大大降低,但平均财务损失却远高于传统的人工记账,这和会计人员较低的道德素质不无关系。会计人员的诚信、道德、责任感与价值观是内部控制中的重要因素,一旦在长期治理与日常工作中对内部控制的缺失或控制不力,很有可能引发财务的重大损失与单位形象的降低。
4基于网络信息技术会计信息系统安全问题的防范对策
Internet的快速发展以及信息资源开放性、共享性与流动性的不断提高,企事业的会计工作模式积极转变,形成了如今不断适应经济发展的网络会计信息系统,进一步的推动了资源的合理配置与效率的大幅提高。如何对其硬件系统、软件系统、网络安全系统以及数据与人员管理方面不足的弥补,以更好地对其加以利用,是我国需要持续关注并解决的问题。网络环境下会计信息系统的发展依赖于硬件系统、软件系统以及网络系统的进一步完善。
4.1硬件系统
坚持在硬件的基础上,加强系统安全保密与风险控制工作。针对计算机硬件设备面临的内外部问题障碍,需建立应急系统,对偶然事件与自然灾害加以可控制范围内的有效预防,如做好双机热备等防护工作、完善紧急情况报警体系等。同时加强硬件防火墙措施, 对于违规行为或非正常登录行为做好记录、监控与屏蔽,完善自动防护功能,并对重要文件及数据资源进行定期的自动备份。另一方面,在选择硬件设备时,要根据公司运营状况,选择适合本单位,高质量的设施,保证其使用周期。
4.2软件系统
围绕软件这个核心,加强信息安全保密风险控制工作。首先,提高我国操作软件的自主开发能力,从根源上保证软件本身少漏洞。其次,制定操作系统的使用规范,定时对软件进行扫描、杀毒与修复,及时进行软件更新与补丁下载,严格控制数据的读取与传输。另外,对于重要账号与密码需加强管理,必要时设置登录权限,屏蔽非法登录,实时清理不常登录的账号,加强账号的申请与授权门槛,最大限度的减小信息安全风险。最后,选择合适的服务器IP地址,加强各个IP地址的配合性与兼容性。
4.3网络系统
在网络环境下,加强系统入侵防范控制。采用防火墙、数字加密、密钥分配、身份认证以及授权管理等多层次的手段,强化对账户访问和口令的限制,对黑客攻击进行防范。为了保证单位的财务信息不被非法者窃取、破译或篡改,对会计信息系统软件选择、安装与操作应加以严格控制,并及时的对单位的网络信息系统软件进行定期的、程序的预防性检查,并设置系统软件紧急报警、自行备份、 及时重构与恢复的功能,一旦发现异常,则可争取时间进行很好地处理。
4.4数据及人员管理
以内部控制为主要手段,加强对财务人员的管理。培养复合型的财务人才,加强单位人员管理,最重要的就是引导其观念转变,重视会计信息系统操作、会计法规与职业道德,引导其树立正确的价值观念,与较高素养。其次,加强培训的多样性、有效性,进一步人才的专业技能,提高工作效率,完善部门建设。最后,完善激励机制,鼓励工作创新,将财务系统与单位的各个运作环节紧密结合,树立大局观念,提高决策依据多样化,推动企业健康发展。
5结束语
随着经济转型升级进程加快与市场的逐渐完善,网络会计信息系统作为未来企事业决策制定与日常运行不可缺少的重要信息资源,企事业单位都不断地推动着会计信息系统的进一步完善,并逐渐将目光转向了网络环境下,会计信息系统存在的安全隐患的分析与解决。笔者通过对网络会计信息系统内涵的讨论以及相关硬件系统、软件系统、网络安全以及数据及人员管理的安全性问题的研究,对其安全性有了较为深入的了解,从而提出了一系列具有针对性的建议,以期能够进一步促进我国会计信息系统的良好发展。
参考文献
[1]张佩卿,2004;《试谈网络会计的未来发展趋势》,《经济技术协作信息》,第4期
[2]江中雯,2007;《現代会计信息系统报告模式探讨》,《财会月刊》,第2期
[3]魏丽娟, 张晓峰,2005;《网络环境下会计信息系统的特征及其发展趋势》,《武汉理工大学学报》,第6期
[4]蒋红兰,2011;《民营企业会计信息系统面临的问题与对策》,《绵阳师范学院学报》,第4期
[5]陈 霖,2011;《会计信息在投资决策中的应用》,《现代经济信息》,第2期:第101页
[6]刘汉初,2009;《我国企业会计信息化存在的问题及对策》,《企业家天地》,第8期:第119-120页
[7]张玉茹,2012;《浅谈会计信息系统中存在的问题及对策》,《经济研究导刊》,第1期:第83-84页
[8]韩锐,2014;《计算机网络安全的主要隐患及管理措施分析》,《信息通信,第1期:第152-153页
[9]周彬,2005;《网络环境下的会计信息系统的安全隐患与对策研究》,《南京财经大学学报》,第3期:第40页
[10]朱久霞,隋素兰,2003;《谈网络时代会计人员素质问题闭》,《审计理论与实践》,第8期:第83~88页
[11]柴庆孚,2006;《网络环境下企业内部信息的会计控制研究》,《财会通讯(理财版)》,第 1 期
[12]郭太清.,2006;《网络环境下会计信息系统内部控制初探》,《福建金融》,第11期
[13]冯晓玲、任新利,2007:《网络会计信息系统的安全技术研究》,《会计之友,第7期,P55-58
[14]张继德、刘盼盼,2010:《会计信息系统安全性现状及应对策略》,《探讨中国管理信息化,第3期,P25-28
[15]张宝丽,2009,《基于网络的会计信息系统安全分析与策略》,《会计之友》,P43-45
[16]王丽艳,2013,《会计信息系统安全问题与对策》,《商业经济》,第6期,P55-59
[17]罗红,2011:《网络会计信息系统安全问题研究》,《财会通讯》,第7期,P39-41
[18]Innsbruek,Austria,February, 2004, ErrolDennis,EzraMafias.ReusableSoftwareArehiteetureforanAeeounting Information system, Proeeedingsof IASTED Internationa1ConfereneeonSoftware Engineering, Management Accounting, 〔M〕,PP35~56
[19]AtkinsonR.SeeurityarehiteeturefortheInternetProtoeol,1995, RFC1825,PP8~16
[20]AlfredTrades,2000, optionsAnalysisofSoftwarePlatformDeeisions:ACase Study, MISQuarterly:ManagementInforoationSystems, June,PP123~137
作者:刘涛
【信息安全技术论文】相关文章:
信息安全保障体系信息安全论文计算机论文05-15
网络信息安全论文:网络信息安全浅析05-10
信息系统管理中信息安全论文04-27
基线技术信息安全论文04-18
信息化档案信息安全论文04-20
信息安全与安全建设论文04-20
信息安全技术论文提纲11-15
信息安全论文提纲11-15
网络信息安全论文04-20