相關期刊
時間:2023-10-26 09:52:32
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇外審員信息安全范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
一、目的
為切實加強我院計算機的使用、管理工作,提高工作效率,確保無紙化辦公的平穩有序開展,減少醫院管理系統的運行風險,特制定本責任書。
二、職責與管理
1、筆記本電腦實行使用人負責制,科室內電腦實行科主任負責制,科室成員為相關責任人。
2、對全院所有電腦,由財務科統一登記,列入醫院固定資產。
三、計算機使用和安全管理
1、應愛護計算機及相關設備,嚴禁在電腦前喝水等可能污損電腦的行為。
2、按規定程序開啟和關閉計算機系統,關機前應先退出應用程序。
3、加強個人用戶密碼管理,及時注銷登錄,防止無關人員盜用。
4、原則上禁止使用U盤等,確因需要,必須先查殺病毒再使用。
5、文件資料不要保存在系統C盤或桌面,以免系統故障而丟失資料。
四、處罰
1、所有電腦嚴禁安裝各種游戲。工作時間利用電腦玩游戲(包括蜘蛛紙牌等)、看電影或進行其它與工作無關的活動的,發現1次,罰款50元;由此造成醫療糾紛的,所有責任一律由本人承擔。
2、提高防范意識,加強計算機設備(尤其是筆記本電腦)的使用管理,丟失或被盜者,個人照價賠償。
3、對以下違反規定的行為,勒令改正,對造成損失的照價賠償;屢教不改者,醫院收回其電腦:
①擅自重裝、更改操作系統及軟件設置的,造成計算機故障的。
②私自安裝不正規軟件和卸載已有軟件。
③因訪問不良網站,或擅自使用帶有病毒的光盤、U盤、移動硬盤等,導致醫院局域網病毒蔓延,造成系統癱瘓,影響正常工作的。
④擅自允許他人(尤其是小孩)使用計算機的。
⑤擅自外借計算機設備,或通過計算機泄露信息的。
五、此責任書協議一式兩份,醫院和責任人各執一份,簽字蓋章后生效。
xxx衛生院
院長:
責任人:
二xxx年xx月xxx日
醫院電腦使用責任書【2】
各科室:
為保障醫院計算機局域網絡信息安全,加強醫院信息數據查詢和使用權限管理規范,避免發生計算機網絡失密事件,防止醫院信息數據的泄露,現與各中層干部簽訂信息安全責任書,確定每一位中層干部為所在科室的計算機信息安全責任人,并要求做到以下條款:
1.嚴格遵守醫院信息保密制度及相關的信息安全制度,定期或不定期的在科室內部進行培訓和教育,提高信息保密意識。
2.對信息查詢的需求,科室須進入OA系統中的數據查詢申請流程,填寫申請單,經分管信息工作院領導審批同意后方可查詢,同時應對查詢的數據結果保密,不能隨意泄露。
3.醫院內部網絡的計算機嚴禁被設定為網絡共享計算機,計算機內文件嚴禁被設定為網絡共享文件,嚴禁以任何形式將有關數據、報表帶出醫院。
4.計算機操作人員不得擅自更改醫院數據和計算機的二系統設置。禁止擅自將醫院辦公計算機連接互聯網(外網)。
5.操作計算機的人員必須使用自己的工號和密碼進行自己權限范圍內的操作,對自己的工號和密碼要進行嚴格管理,不得把相關的工號和密碼泄露給外人。禁止使用他人的工號和密碼進行操作,并嚴格做到人離機關。
6.嚴禁將醫院內部醫療信息或病患信息泄露給他人,包括私自統計藥品、高值耗材用量等信息并透漏給他人牟取不法利益,否則將按照法律法規和有關規章制度追究責任。
科室人員如違反以上條款,或科室管理中存在違反條款的行為,除依規處罰相關責任人外,同時將追究相關中層干部的管理責任,并將結果納入中層干部年度或任期考評,與干部的選拔、任用及獎勵掛鉤。
本責任書有效期至本屆中層干部任期結束。
部門(科室)
負責人簽字:
XXXX醫院
XXXX年X月X日
醫院電腦使用責任書【3】
為了切實加強北京大學人民醫院網站安全管理,增強醫院網絡為醫院醫療、教學、科研、管理和員工服務的功能,規范上網信息審核工作,結合我院的實際情況,特制定本責任書。
一、本責任書適用于所有與醫院科室/處室相關的網絡內容(含信息平臺信息、科室/處室自行設立的網站)。
二、各科室/處室網絡內容實行科室/處室主任負責制。確保上網信息內容中不含危害國家安全、社會穩定、醫院發展和職工團結的內容,不涉及非法內容,確保上網信息的真實性和準確性,不利用網站從事與醫院網站職能不符的活動;科室/處室主任對網站上的鏈接內容負責;涉及人數較多的大型活動或倡議書等一類信息,須報黨委院長辦公室審批同意后方可掛網。
三、本科室/處室上網內容由科/處室主任授權專人作為科室/處室網絡管理員,科/處室主任對上網內容審簽,并將審簽表交黨委院長辦公室備案。
四、科室/處室網絡管理員職責:對醫院網站后臺臨時權限保密;科室/處室上網內容上報科/處室主任審批,并將科/處室主任簽字的審批表交黨委院長辦公室存檔。
科室/處室:
責任人(科室/處室主任):
金融IT內部的運維風險
1. IT內部對服務器的維護和管理依賴于操作系統的口令認證,口令易被轉授、窺探以及遺忘等弱點,以及授權不方便等問題造成管理困難,成本較高。
2. 第三方廠商技術支持人員、項目服務商等在對內部核心服務器、網絡基礎設施進行現場調試或遠程技術維護時,無法有效地記錄其操作過程和維護內容,核心機密數據容易泄露或遭到惡意破壞。
3. 研發部門在系統上線運行后,經常會通過普通的權限登錄系統分析軟件查看問題,從信息安全角度考慮,這些查詢過程必須留有記錄。
解決方案技術優勢
1. 獨創的數據庫運維操作審計平臺,覆蓋主流商業數據庫的企業應用和運維操作。
2. 支持RDP圖形實時文字識別和文字提取功能。
3. 帶來無縫應用的用戶體驗,所有應用均可本地化展示。
4. 提供文件傳輸內容審計記錄。
5. 契合金融行業安全的三級會同功能(接入會同、密碼會同、命令會同)。
解決方案部署收益
中圖分類號:TM39 文獻標識碼:A
隨著飛速發展的電力信息化,電力系統越來越依賴于計算機網絡與電子信息系統,電力信息安全系統一旦產生差錯,將直接危害電網以及其衍射破壞國民經濟,其殺傷力勢必無法估量。電力系統信息安全是一項技術復雜度高、管理程度較深綜合型系統工程,波及到電力生產、傳輸、分配與使用等各個環節的同時,需最大限度地確保電力信息的密保性、整體性、可用性、可控性。此外,電力系統信息安全的深入研究,構建電力系統信息安全保障體系顯得尤為重要。
一、電力系統現存的信息安全隱患
近幾年,快速發展的國內電力信息化,電力通信逐步轉變為以光纖和數字微波為主導的的傳輸方式,并存著衛星、電力線載波、電纜、無線等多種通信方式的全國電力系統通信,為進一步發展國內電氣信息化夯實了基礎。綜合來講,相對較高的國內電力系統信息安全程度,保障著電力系統信息運行的安全性、穩定性。
雖然我國電力系統信息安全已取得了可喜的成效,但仍有進一步完善之處:
1.未統一規范管理的電力系統信息安全。確保正常運作電力系統,信息安全極為重要,但就目前來說,統一化、權威性的電力系統信息安全管理規范仍未真正落實到位。
2.符合電力行業指標的信息安全保障體系未合理構建。如在電力行業內部缺失計算機信息網絡安全意識、未實施完善的數據備份措施、脆弱的身份認證、計算機網絡化以及局域網廣域化,加大了外在危險的攻擊力等問題,屢見不鮮。隨著逐步推進的電氣信息化進程,計算機網絡越來越多的應用于電力系統的生產管理領域,但具有一定運行特點的電力系統,構建與電力工業特點相一致的計算機信息安全保障體系極為關鍵。
3.涌現出軟件內部的安全漏洞。軟件的獨特定已決定了自身一定不是健全的產品,不同影響的安全漏洞會不斷涌現。加之應用廣泛的軟件,增加了軟件接觸的條件復雜性,從而一定程度上隱藏了自身潛在的缺陷。
4.假借網頁進行惡意攻擊。一般情況下,每個電力企業均有自己電力系統網站,在互聯網連入后,各種網頁均在每位電腦用戶搜尋所需的有用信息不斷點擊下打開。這也是不可回避的情況,然而,并不是打開的所有網頁是安全的。部分網站的開發者或擁有者,為獲取某種利益,就會巧妙地修改自己的網頁,以便其具有一定的特殊功能。如:點擊打開某網站鏈接時,不經意間會發覺自己的瀏覽器已被自動更換,名稱已換成惡意網站的標題。此情況下,運用正常手段根本無法修正。更有甚者,部分網頁自身具有攜帶木馬的功能,只要不小心打開或瀏覽后,就有可能將木馬種在你的機器內,之后就會無意間破壞或泄露你個人的信息等。
5.針對當前服務虛擬化快速發展變革期的來臨,給電力企業信息系統帶來了一定的安全問題。比如攻擊內部虛擬機、爭奪有限的資源以及增加管理難度等方面。對此,基于信息安全保障體系預設的前提下,可以制定虛擬化感知的安全應對方案,規避爭奪資源,進而最大限度的提高服務器處于高峰和非高峰期內的工作效率。
二、構建電力系統信息安全保障體系的幾點思考
1.進一步完善信息安全管理機制
整體規劃統籌,關注重點,建設信息安全管理制度與規范標準進程需進一步加快,切實制定相關的信息安全制度條例,有效編制電力系統的實施辦法,明確信息安全項目的側重點,規劃統籌電力系統信息安全任務。合理構建電力系統信息安全保障體系,為本單位防護信息安全設施完善與更新工作做好全方位指導,及時調查應對產生信息事故之后的規范性工作,從而進一步提高信息安全事件的管理與監督力度。與此同時,針對規范建設災難恢復系統,需緊抓研究與編制,實施有效的恢復災難措施,適當規劃統籌單位內部恢復災難的系統建設工作。
除此之外,標準化、規范化是確保電力系統信息安全的基礎性工作。電力企業需著手于電力系統的實際特點,格外重視電力系統信息安全的規范化、統一性管理,適當的制定并完善一套標準化、統一性的安全管理規范機制,從而最大限度的彌補電力企業內部信息安全管理存在的不足之處,增強企業的風險承受力。在構建電力系統信息安全保障體系的過程中,電力系統主要管理部門必須嚴格按照確保電力系統正常運行的指標需求,參照現今的國際安全標準、國家安全標準以及相關的安全法規政策,有效地構建電力系統信息安全的各項管理規范和相關技術標準,進一步規范基礎性設施構建、系統與網絡平臺搭建、應用軟件開發、運行管理等各個重要環節,進而為電力系統信息安全的構建創造堅實的基礎。
2.加快建設信息安全管控機制
全面落實信息安全保障體系不可忽略主要負責人員的組織、管理工作。結合每人的不同因素,需嚴格遵循以人為本的安全理念是構建電力系統信息安全保障體系的基本原則之一,對此,在整個電力系統信息安全中,需重視組織安全機制的有效落實工作。在制定健全組織安全機制的過程中,需進一步提高計算機信息網絡工作人員的安全意識,并針對專門負責信息安全工作人員開展定期或不定期的安全培訓。
建設個人終端標準化工作需加快推進,嚴格管理個人終端接入網,將個人終端補丁程序與及時自動更新、升級病毒軟件落實到日常工作中,而對于隨意下載或安裝的非正版軟件需加大嚴禁力度。加強實施防治木馬病毒等危險因素侵入的安全措施,做好外來用戶訪問控制工作。全面有效的監控信息安全,盡快構建信息安全監控體系,實現集中監視防火墻、入侵檢測等安全防護設施,或對其進行及時有效地警示,同時,深入研究信息安全模型,制定綜合評估檢測信息安全機制,確保安全信息評估的科學化、簡便性。
3.增強安息安全密保工作的認識度
認清形勢,對全體員工的密保知識水平與防護技能進行全方面檢測,提高網絡竊密泄密防范水平。針對外網連接其他公共信息網絡,需嚴格審查或嚴禁,并嚴禁外存或處理國家和單位機密在非網上,將保護信息安全工作和職責切實落實到位。與合作單位的開發、咨詢工作需強化信息安全保密管理,簽訂保密協議,嚴審外來人員的訪問,加強授權管理,做好監管與備案工作。定期或不定期開展審查信息系統安全保密活動,對文檔做好登記、存檔、銷毀、定檢以及解密等各方面工作,及時發現、解除隱性的或顯性的泄密隱患。
在信息安全保障體系設計階段,確保電力系統信息安全需重點考慮的關鍵條件之一。規范化使用系統內部的部分安全設施,增強基礎設備的安全度,諸如盡可能實行深埋或架空通信線路等措施,避免各種方式的意外損壞。嚴格化管理保障體系內的部分精密設施,合理制定專項負責制,將責任具體到每人。
三、憑借防火墻及云計算安全手段,保障信息安全
近年來,隨著網絡科技的快速發展,防火墻技術已作為新興的計算機網絡安全保護性技術措施之一。在網絡中,通過阻止黑客訪問某個機構的內部網絡而設定的屏障,換句話而言,是專門控制超出兩個方向的通信門檻。針對邊界網絡,可利用對應的網絡通信監控系統的構建來將內外網絡進行隔離,從而防止外部網絡的入侵;緊密結合實電力系統,較為合適的利用“防火墻十殺毒軟件”配置方式,做好及時升級、更新工作,避免工作流于表面。與此同時,為保密信息因惡意外部破壞造成丟失或網絡癱瘓,需認真做好備份重要網絡信息和系統數據。此外,備份的有效性定期檢驗也顯得尤為重要。有力鑒定數據備份的有效性關鍵在于定期的恢復演習,也是有效演練網絡負責人恢復數據的操作技能,鍛煉應對問題時的從容面對,冷靜思考,進而為網絡訪問創造保障環境。
防火墻的類型多樣,具體概況為包過濾防火墻、防火墻與雙穴防火墻三大類。其中網絡層設置的一般是包過濾防火墻,而在路由器上實現包過濾目的。此類防火墻可以用來對外部非法用戶訪問的禁止,以及訪問某些服務類型的禁止等。又稱應用層網管級防火墻的防火墻,其組成主要有服務器和過濾路由器,是當前相對較為流行的防火墻種類之一。而針對雙穴防火墻,是在一個網絡內進行數據搜集,并有選擇性的傳送到另一個網絡。電力系統信息安全的保障性離不開防火墻的合理配置,確保安全連接各個網絡,從而在連接端口規避出現安全漏洞。
同時,通過加強云計算威脅管理,為信息安全保障體系提供靈活的管理策略,進一步豐富審計日志以及報表的功能。并有效結合“云中保險箱技術”,合理利用密鑰及管理策略機制,保護用戶存儲的云隱私與數據信息,使電力企業所運用的云平臺或數據交換突破時空限制,且更為安全。
結束語
總的來說,電力系統信息安全保障體系的構建是為了更好地應對電力系統信息安全的潛在威脅,使電力系統信息的安全性不斷提高。在總結過去經驗的基礎上,各電力企業要積極分析電力系統的特點,合理利用云計算安全手段,制定相應的安全策略,建立全面合理的信息安全體系,確保電力信息乃至整個電力系統的安全。
參考文獻
[1].吳克河.電力信息系統安全防御體系及關鍵技術[M].北京: 科學出版社.2011(10).
[2].田雨平.周鳳鳴.電力企業現代安全管理[M]. 北京:中國電力出版社.2009(1).
在殘酷的市場競爭壓力下,如今大多數出版社都不得不在兼顧社會效益的同時,更多地考慮經濟效益。畢竟,一家改制成企業的出版社,如果只顧社會效益而忽視經濟效益,那么遲早會被淹沒在市場競爭的浪潮中。這就造成了高校小專業教材出版的尷尬境遇:教材的利潤主要來自于高印量,而小專業教材因為學生人數少、市場容量有限,往往是很多出版社都不愿涉足的“雞肋”,從而使得其出版相當艱難。小專業教材的市場同類書少且內容陳舊,教材內容無法及時更新,又影響小專業的教學質量和學科發展,從而限制了招生規模,進一步影響教材的大批出版,造成惡性循環。
信息安全專業是一個新興的交叉學科,目前來說就是一個小專業,各校的招生人數較少。從2001年武漢大學首次開設信息安全專業以來,目前教育部正式批準開設信息安全專業的只有73所高校,另外還有約30多所省屬高校開設了信息安全方向,高校總數有100多所,每校招生規模一般為1~2個班(每班30人)。對于工科類的計算機、電子、通信等專業來說,信息安全專業的確是一個小眾專業,雖然目前其招生規模還比較小,但畢業生就業形勢很好,信息技術發達的今天,信息安全的重要性不言而喻,信息安全專業學生的社會需求是很大的,由此我們判斷這個專業有很好的發展前景。
從2008年8月起我們開始調研普通高校信息安全專業的教材情況,通過市場同類書調查、參加教指委會議、走訪信息安全專業排名靠前的高校,我們發現,雖然市場上信息安全的圖書已經有一些了,但主要以技術類圖書及專著為主,真正能作為本科生教材的很少,特別是符合教育部信息安全教指委2009年制定的最新專業規范和教學基本要求的則更少。可見,組織策劃一套貫徹最新專業規范和教學基本要求的本科教材是有一定市場需求和出版價值的。基于上述考慮,我們決定組織策劃一套普通高校的信息安全本科教材。這套教材我們定名為《普通高等院校信息安全類特色專業系列規劃教材》,同時我們爭取到了教育部信息安全教指委的支持,成立了以信息安全教指委委員為主,部分重點高校知名教授為輔的高水平編委會。目前這套教材規劃的14門核心課程已出版3本,計劃到明年9月之前全套出齊。下面就以《普通高等院校信息安全類特色專業系列規劃教材》為例,分六個方面,介紹小專業教材的策劃思路和心得體會。
一、策劃找準切入點,特色定位很關鍵
其實在我們策劃這套教材之前,高等教育出版社、清華大學出版社、國防工業出版社、北京郵電大學出版社等都已出版過信息安全方面的圖書,包括教材、技術書及專著,其中也不乏“十一五”國家級規劃教材,那么為什么我們這套教材能得到信息安全教指委和各高校的支持呢?一方面是我們抓住了信息安全教指委頒布最新專業規范和教學基本要求的時機,之前的教材由于出版時間早,內容都沒有按照專業規范和教學基本要求來編寫。各高校也希望能使用內容新穎、符合教指委規范的教材;另一方面,我們抓住了教育部提出的“建設3 000個左右特色專業建設點”這個機會,這也是教育部倡導的本科教學“質量工程”的內容之一。我們策劃的這套《普通高等院校信息安全類特色專業系列規劃教材》,之前沒有其他出版社提出過,與以往的教指委推薦教材或指定教材也不相同,信息安全教指委認為我們這套教材與其他出版社的教材有明顯區別,不雷同,同時各高校特色專業建設點也有出版此類教材的需求,所以這套教材才得到了信息安全教指委和各高校的大力支持。
明顯的特色。2007年年底教育部和財政部共同下文:《教育部財政部關于實施高等學校本科教學質量與教學改革工程的意見》(教高〔2007〕1號),為了適應國家經濟、科技、社會發展對高素質人才的需求,引導不同類型高校根據自己的辦學定位和發展目標,發揮自身優勢,辦出專業特色,“十一五”期間教育部、財政部將投入專門經費,擇優重點建設3 000個左右特色專業建設點。結合上述文件精神,我們確定這套教材為信息安全類特色專業教材,并由此確定了主編隊伍,主編人員全部來自教育部評選的第一批15所信息安全類特色專業建設點高校,這些高校也是信息安全學科排名靠前的高校,希望他們將各校信息安全的特色教學和科研成果體現到教材編寫中。此外,這套教材還將切實貫徹信息安全教指委2009年制定的最新專業規范和教學基本要求,這些將構成本套教材的主要特色。
明確的定位。這套信息安全本科教材,是考慮面向二、三本高校的學生,還是主要面向重點高校學生而兼顧二、三本高校學生呢?我們對此進行了認真分析:目前開設信息安全的高校并不太多,受辦學條件和師資力量的限制,二、三本高校的老師還不太容易能獨立編寫出高質量的教材,但這類高校的招生規模較大,對教材的需求比重點高校學生更加迫切,因此,我們決定本套教材主要面向重點高校學生,同時兼顧二、三本高校學生,由此也確定了編寫隊伍,即以重點高校的老師為主編,吸收一些一般高校的老師參編,這樣既能保證教材質量,又能擴大教材的適用面和用量。
二、按照專業成系列開發
小專業的教材因為單本書的用量較少,單本教材的開發成本及營銷成本都很高,所以必須利用經濟學上的“整體效應原則”來進行系列化的開發,即按照信息安全專業開設的主要課程來進行整體設計,形成“先修課程和后續課程相互銜接、專業基礎課與專業課遙相呼應”的格局,這樣也利于后期進行整體營銷推廣。我們以2009年年初信息安全教指委香山會議上確定的4套專業規范及教學基本要求為基礎,調研了10多所高校的教學計劃和課程設置,再征求編委會委員的意見,確定了系列教材的14門核心課程。
三、策劃思想重在執行
能否將策劃思想真正落實,是判斷編輯執行力強弱的重要指標。策劃思想再好,如果組不到合適的稿件,那么這套教材永遠只是計劃而不能成書。通過調研和前期策劃,我們已經初步勾畫出了信息安全特色專業系列教材的輪廓。根據確定的特色、定位及編委會等,我們撰寫了項目申請書,編輯拿著項目書,開始走訪排名靠前的信息安全特色專業高校,進行宣傳和組稿。同時也將編委會委員發動起來,他們也推薦了一些優秀的作者。通過半年時間的組稿,14本教材已經全部確定了主編。主編單位主要來自信息安全類特色專業建設點的名校,其中不乏國家級或省級精品課程主干教材,整體質量較好。
策劃一套高層次的系列教材,需要組建一個權威的編委會,利用編委會來進行質量把關和宣傳營銷。對出版社來說,組建編委會實質上就是整合各方資源,形成一個“磁場”,來吸引高水平的老師參與編寫。所以,編委會更多地起審稿把關和對外宣傳提升檔次的作用,組稿不能完全依靠編委會,還需要編輯自力更生,積極主動,否則組稿效率會很低,影響叢書的整體進度。
四、編前工作贏在細節
一套教材有了好的策劃思想,也有了理想的編寫隊伍,但是如果編前工作做得不好,這套書的質量還是無法保障,整個項目也就將功虧一簣。所以一定要注重編前工作這個細節,細節決定成敗。編前階段是指作者向出版社正式交稿前的寫作階段,也是編輯提供出版服務的重要階段。這個階段又被叫做“中耕”階段。在這個階段中,編輯需要給主編提供“著譯者編寫指南”、 “某一門課程的教學基本要求”等。編輯只有做好這個階段的工作,作者的稿件質量才能得到保證,并能為后期的編輯加工節約時間,提高效率。
審查編寫大綱,是進行稿件質量把關的第一步。為了提高這套書的整體編寫質量,我們要求主編在編寫書稿前要提交詳細到3級目錄的編寫大綱,為此,我們于2010年7月31日召開了這套教材的編委會議,信息安全教指委主任、副主任、10多位編委及教材專家委員出席了會議,另外還有一些感興趣的高校也派了代表參加。在會上,每位主編用PPT的形式介紹了各自的大綱,編委或教材專家委員現場進行討論并提出修改意見。通過這次會議,我們吸收了一些院校參與到部分教材的編寫中,同時也擴大了這套教材的知名度,提前進行了宣傳。
五、營銷貫穿策劃全過程
教材的營銷很重要,小專業教材的營銷就更加重要了。不能等到出書之后才想到營銷推廣,在選題策劃階段就要充分考慮如何開展有針對性的營銷,確定營銷策略。在策劃信息安全這套教材時,我們與北京郵電大學信息安全中心取得了聯系,通過多次溝通,雙方達成了共識并簽訂了協議:我們可以利用北郵信息安全中心每年組織全國青年教師培訓的機會,宣傳推廣我們的教材。除了會議營銷外,在調研階段,我們就查詢了目前開設信息安全專業的100多所高校負責人信息并錄入數據庫,為教材出版后贈送樣書作準備。另外,等大部分稿件交稿后,我們將制作宣傳頁,通過發送電子郵件或院校代表走訪等形式進行散發宣傳。為了宣傳這套教材,我們還將為每部書稿確定一位編委會委員作為主審人,一方面是對稿件質量把關,另一方面也利用主審人的學術影響來宣傳和提升本套教材的品質。
營銷一定要貫穿策劃全過程,并且隨著策劃的深入,還要不斷修正原來的營銷方案和策略,形成一套比較完善可行的營銷方案,并且從一開始就要分階段逐步實施。
六、團隊成長伴隨項目發展
出版工作主要依靠的是人,而選題策劃更是離不開編輯。策劃一個較大的項目,需要做的工作很多,環節也很復雜,一個編輯很難全部承擔,所以需要一個結構合理的團隊來共同完成。信息安全這套教材就是由我和另一位年輕編輯來共同完成的,我負責總體設計規劃、組建編委會及重要稿件的組稿,年輕編輯負責部分組稿、大部分后期生產及營銷等工作。
中國XBRL系列國家標準自2011年1月1日起全面實施,企業會計通用分類標準在美國紐約證券交易所上市的我國部分公司、部分證券期貨資格會計師事務所首先執行,自此我國已全面啟動XBRL建設。XBRL的應用和推廣將會給財務報告供應鏈各個環節帶來深刻變革,審計作為其中一環勢必會受到這一變革的深遠影響。
一、XBRL對審計的影響
XBRL對審計的影響主要體現在以下幾個方面:
1、 審計對象范圍擴大
XBRL環境下審計人員首先面對的是鑒證對象在存在形式、結構組成及傳輸形態上的改變。被審單位財務信息的XBRL文檔可經XBRL格式轉換器轉換得到或由內嵌XBRL適配器的會計軟件、ERP系統直接生成。此時審計人員不僅要關注XBRL財務數據本身的公允性、合法性,還應審計包括生成XBRL數據的整個企業會計信息系統可靠性,這使得審計對象范圍擴大。
2、 審計風險增加
XBRL環境下除了傳統審計風險外,還包括:一、XBRL文檔由被審單位企業財務信息系統生成,審計范圍已不限于財務數據,增加了XBRL生成系統的檢查風險;二、源自被審單位能否正確運用分類標準,標簽與數據的映射是否完整、準確的重大錯報風險;三、由于XBRL和企業財務信息系統置于網絡環境中,XBRL實例文檔面臨被非法篡改而導致的安全風險。
3、 審計技術改進
隨著XBRL的廣泛應用,XBRL成為審計的強大助力。基于XBRL的會計系統審計中,審計人員可以利用XBRL數據接口采集原始數據至審計數據庫,變分散數據為數據聚集,利用聚類關聯、統計分析等數據挖掘方法從海量數據中發現隱含的、潛在的規律或蛛絲馬跡。數據分析廣泛應用于審計過程中,而不僅限于實質性測試程序。借助XBRL數據庫平臺,審計人員既可以“下鉆”到被審單位財務信息系統的底層數據,也可以便利地查閱他人利用已公布的財務與業務數據編制的分析報告。
借助于網絡,審計取證模式實現了審計資料收集與不同企業信息系統的平臺無關性,具有廣闊的適用范圍。審計人員無需深入了解不同信息系統的具體數據結構即可獲得所需審計證據,減少人工干預,從而提高審計效率和正確性。
4、審計報告模式變革
傳統的審計從企業會計報告完成到審計報告完稿,往往間隔幾個月,時效性不強,且往往發生期后事項,須在審計報告中追加披露。XBRL和網絡技術的應用,使隨時獲取會計信息成為可能,為實時審計的實現鋪平了道路。從報告內容和結構來看,現行審計報告對被審單位的預測信息披露較少,隨著XBRL應用于審計,審計人員更容易找出企業經營中的“規律”,對企業經營預測做出可靠的判斷,使事前預測和控制成為可能,未來預測信息及會計事項在XBRL環境下成為審計鑒證的重點之一。
5、對審計人員的全新要求
XBRL對審計人員的素質和知識技能提出了全新的要求。XBRL的實施需要的是跨會計、IT的復合型人才,審計人員除了要求精通經濟、財會、企業管理等多方面的知識,還需要掌握信息系統應用技術、數據庫應用技術、互聯網環境下的財務報告和鑒證技術(如XML、XBRL、XARL)等;雖然大部分審計工作可能通過相關軟件工具即可完成,但擁有復合型知識無疑更有利于對審計工作的展開以及業務的擴展升級。
二、應對措施
XBRL給審計帶來了新的發展機遇,同時也提出了挑戰,面對挑戰需要從技術、資源、人員素質及理論與法規等方面加強建設。
1、 加強軟件開發支持
XBRL數據轉換及生成、XBRL文檔的審核和管理以及自動分析是審計能否應對新變化的關鍵技術。相關財務軟件商應大力開發XBRL嵌入式應用的財務軟件,增加ERP或會計軟件的XBRL生成能力,實現開發、擴展和管理分類標準、創建和管理報表,以及開發網上電子填報至XBRL數字報告生成一體化解決方案的XBRL平臺。進而將研究重點轉至數據挖掘、專家系統等方向,從而整體提高審計的智能化應用和整體水平。
2、 建立基于XBRL的公共信息平臺
該平臺包括公司財務信息、審計信息、稅務信息、工商信息等,這些信息在統一的數據庫或數據倉庫中相互援引,一方面可以實現審計系統與其他監督系統的信息交流,實現數據共享,發揮數據發掘潛力,提高審計效率,降低審計成本。另一方面也可以組建戰略合作性的審計網絡,強化審計領域的縱向和橫向數據傳輸,資源共享。例如普華永道的內部數據平臺可以實現跨界服務,對來自全球超過7萬5千家上市公司的信息披露文檔進行評估的時候,其員工能夠快速地獲取、創建、分享和調整用于分析的模型、數據和可視化選項。可想該技術推廣到整個注冊會計師行業的巨大潛力。
3、 構建多層次的信息安全體系
XBRL格式信息其所有內容都是以數字形式流通于互聯網上,因此要保證交流雙方進行安全數據傳輸,需要建立安全保障體系。一是要保障數據存儲安全,建立包括如訪問控制、數據庫安全、防火墻等保障措施。二是要保障信息通訊安全。可以構建審計機構和被審計單位之間安全的VPN通信網絡,不但提供及時的安全信息交流而且可以大大節約通信雙方的費用,還可通過該VPN網絡,配置相應的軟件,實現對被審單位的實時監控。此外,切實做好XBRL數據庫的備份,以應對網絡環境下內外數據資源和信息系統安全隱患。
4、 加強人員的培訓和復合型團隊建設
為應對XBRL審計的挑戰,一方面加強人員的培訓工作,培養復合型人才;另一方面構建復合型團隊,通過經濟、財會、計算機、企業管理等多方面人才的通力配合、默契協作,應對XBRL審計需求。
5、 構建信息系統審計概念框架
XBRL為審計信息化建設搭建了一個平臺,然而信息系統審計目前還沒有形成規范理論,應當從實踐出發,研究XBRL環境下信息系統審計的審計風險、業務流程和智能審計的技術方法。在理論的指導下結合審計實踐加強計算機審計準則的確立與完善。例如對xbrl文件和分類標準應用的審計準則、對生成xbrl信息系統的審計準則等。應盡快構建以理論為基礎,以準則為指導的計算機審計概念框架。
三、結語
隨著互聯網對各個領域的滲透,我國的網絡安全防護任務越來越重。從20世紀90年代至今網絡信息安全可分為4個階段的發展過程,即通信安全、計算機安全、網絡安全、內容安全。在這4個階段中,前兩個發展階段屬于運行安全方面―OPSEC。而對于網絡基礎設施與信息的保護則稱之為物理安全―PHYSEC。隨著網絡的發展,隨后又提出了內容安全―CONTSEC,其目的是為了解決信息利用方面的安全問題。為了應對日益增加的網絡安全事件,網絡安全對抗必須進一步的細化以及升級。在此背景下,應急響應聯動系統的建立尤為重要,因為通過系統的建立,可以提高政府對各種網絡安全事件的解決能力,減少和預防網絡安全事件造成的損失和危害。因此目前對應急響應及聯動系統的基礎理論、框架構建、技術操作方面的研究尤為重要。
1 應急響應的基本內容
1.1 應急響應系統的建立
為應對網絡安全事件發生,事前準備工作或事后有效措施的實施便是應急響應系統建立的目的。應急響應系統包含5個步驟。
(1)管理。即組織對事情發生前后人員之間的職能劃分。
(2)準備。對于各種網絡安全事件提前制定的一些應急預案措施。
(3)響應。網絡安全事件發生后進行,系統對事件進行安全檢測有效防止系統信息進一步遭到破壞,并對已受到破壞的數據進行恢復。
(4)分析。為各種安全事件的應急預案提供調整的依據,提高防御能力。
(5)服務。通過對各種資源的整合為應急響應對計算機運行安全提供更多的有力的保障。
1.2 應急響應系統建立必須遵循的原則
(1)規范化原則。為能保證應急響應系統有效策略的實施,各個組織都應該建立相應的文檔描述。任何組織應急響應系統應該有清晰和完全的文檔。并有相關的規章條例保證系統的有效運行。組織成員作為應急響應系統的服務者必須遵守相關的條例,也可以寫入工作職責來保證系統的有效運行。
(2)動態性原則。信息安全無時無刻不在發生變化,因此各種安全事件的復雜性使得應急響應策略的制定更加具有難度。為了完善應急響應策略就必須注重信息安全的動態性原則,并對策略實時作出相應調整。
(3)信息共享原則。應急響應過程中,系統會提供大量可能與安全事件無關的信息,如果提高應急響應系統中重要信息被發現的可能性,在信息提取過程中,信息共享是應急響應的關鍵,應該考慮將信息共享的對象與內容進行篩選,交叉分析。
(4)整體性原則。作為一個系統體系應急響應的策略具有整體性、全局性,應該在所有的互聯網范中進行安全防護,不放過任何一點的細節,因為一點點的疏漏都會導致全網的癱瘓。整個應急響應策略體系除了要從技術層面考慮問題也要從管理方面著手,因為管理問題而導致的安全事件更為嚴重。因此,制定管理方法時要投入更多的精力來進行統籌安排,既要完善管理方法,也要注重技術層面。
(5)現實可行性原則。通過判斷應急響應策略是否合理性來衡量是否在線上具有可行性。
(6)指導性原則。應急響應系統體系中的策略并非百分之百的解決方案,ψ櫓而言,它只是對于處理網絡安全事件方法進行一定的指導,而對整個組織工作也只是提供全局性的指導。
2 應急響應系統體系的總體框架
如果對應急響應系統體系進行劃分,可以將其劃分為兩個中心和兩個組。
(1)兩個中心。應急響應中心與信息共享分析中心。應急響應系統體系的關鍵是信息共享分析中心。它主要負責的是對中心收集來的各級組織的信息進行交換和共享,并對整個網絡作出預警或者事件的跟蹤,并對收集來的信息進行整理。而應急響應中心的任務則是對系統體系預案進行管理,通過對信息共享分析中心各種信息安全事件的分類分析并進行應急響應。
(2)兩個組。應急管理組及專業應急組。應急組對整個事件進行全局性指導,并協調各個機構,指導各個組織成員對事件進行應急策略的制定。在各類安全事件發生的過程中,應急響應與救援處于一個重要的環節,而專業應急組是環節的關鍵,是實現信息安全保障的核心。通過應急組的響應迅速使網絡系統得到恢復。
3 應急響應的層次
“八方威脅,六面防護,四位一體,應急響應”這句話形容的則是應急響應體系的整個工作過程。
(1)“八方威脅”是指應急響應系統中的網絡安全事件。而根據事件的危害程度對其進行編號的話,1類為有害程度最輕的事件,8類則最為嚴重,儼然一場網絡戰爭。而且一般的安全事件都不是單獨發生的,通常許多事件都是緊密聯系環環相扣。
(2)“六面防護”防護是指技術層面的防御,主要是風險評估、等級保護、入侵檢測、網絡監審、事件跟蹤和預防6個方面。
(3)“四位一體” 主要是指各個小組的組織保障體系,如應急組、專業組、組織協調機構、專家顧問組。
(4)應急響應。應急響應系統的核心為應急響應的實施功能。應急響應系統通過對網絡安全事件的目標進行分類并分析,通過對事件的判斷進行事件分級,制定具體的預案或措施,并有通過各個小組進行信息實施,并有技術組對系統進行恢復重建和應急管理,保證目標的信息系統安全。
4 應急響應體系的周期性
通過應急響應系統的工作,分析應急響應聯動系統在網絡安全事件中可能具有生命周期性。網絡安全事件的生命周期從風險分析開始,一般的風險分析包括網絡風險評估和資源損失評估等。對風險分析進行正確有效的分析有利于高效率的應急響應。為了這一階段響應過程的順利進行,需要制訂安全政策以及各種應急響應優先權的各種規定。安全工具與系統、網絡配置工具,使網絡的安全性與可用性兩者之間處于平衡狀態。在檢測階段,通過各種手段收集信息,利用系統特征或IDS工具來預測安全事件的發生。之后響應階段,利用各種手段抑制、消除安全事件并進行有利反擊。最后在恢復階段對受到攻擊的對象進行恢復,使其恢復到事件發生之前。網絡安全事件的周期性更全面,更實際地概括了應急響應系統的工作過程。
5 應急響應體系的聯動性
(1)“六面防護”的聯動。 首先由風險評估對網絡安全事件作出安全評估并確定其“威脅”等,再由等級保護進行措施制定,對其入侵的主體進行入侵檢測確定威脅漏洞所在,再通過網絡監審發現安全事件并進行事件跟蹤再由事件跟蹤對其事件進行分析,并通過預防對響應策略進行調整,并分析防御的有效性。
(2)“四位一體”的聯動。聯動的主要目的是為了應急響應系統的有效運行,因此應急組、專業組、組織協調機構、專家顧問組之間就要努力做好協調工作。組織協調機構主要負責總體的協調工作,應急組與專家顧問組主要負責對網絡安全事件的應急處理工作,同時應急組還承擔著對突發的安全事件進行信息收集,分析以及信息上報的工作,并對組織協調機構提出的相關事件的應急預案或者保護措施進行執行的工作。
近年來,審計署陸續了多個計算機審計實務公告,涉及計算機審計的各個方面,有審前調查指南、方法語言編制規范、方法體系基本規劃、各類業務審計數據規劃、各類業務審計方法體系等,計算機審計的規范化日益提高,各科室在今年及以后開展計算機審計時,務必遵照實務公告的要求執行。
今年上級機關將繼續開展計算機審計方法、方法體系的征集工作,各科室在認真組織學習計算機審計方法體系相關規范基礎上,組織好審計人員按規范要求撰寫審計方法。要求各業務科室(除投資中心外)至少上交一個審計方法,并明確落實項目及負責人,列入年度計算機審計項目計劃表(計算機審計項目計劃表詳見附件)。
(二)繼續深化OA與AO的應用,實現全覆蓋
要全面普及應用AO2011版,對審計事項的編寫要標準化,財務數據必須采集,審計底稿要在AO中編寫,相關證據要上傳到AO并與底稿關聯。審計實施過程中,各審計組在每星期一上傳數據包,及時與OA進行交互,傳送相關的審計證據和審計底稿,為領導決策和項目管理服務。在審計結束后,五天內上傳完整的數據包到OA。
以OA為支撐平臺,落實審計準則的各項要求,探索建立對審計項目方案、審計記錄與取證、審計報告與審計決定、審計業務質量檢查等全過程審計復核與審理的質量控制數字化。上級機關統一項目已全面應用“統一組織項目管理”功能,各科室審計人員要熟悉此功能及RTX(審計專網用即時通信工具)的各項操作,以便順利完成統一組織項目,我局自定項目已全部列入OA新項目計劃管理,各科室要按照要求組織自定項目的管理及應用。
各業務科室確定一個以上計算機審計重點項目,至少上報一個以上AO實例,全局確定一個優秀計算機審計項目,并要具體落實項目及責任人,列入年度計算機審計項目計劃表(詳見附件)。
(三)繼續推進信息系統審計
鼓勵各科室積極探索信息系統審計,并將項目實踐經驗總結為信息系統審計案例。信息系統審計項目已列入年度審計計劃,具體實施方法參見《省計算機審計工作指南》(浙審辦計〔2007〕89號)。
(四)繼續加強網站建設,提高網站應用水平。
我局已在互聯網及審計專網上建設網站,要根據《市審計機關信息化工作考核辦法》的要求維護審計網站,繼續充實網站內容,提高網站點擊率,推行網上政務公開,發揮對外宣傳及經驗交流的作用。
(五)開展計算機審計理論研究
審計署及省廳審計學會組織計算機審計方面的課題研究,各科室要積極參與,開展計算機審計方面的課題研究。
二、工作重點及主要措施
(一)加強領導,分工負責
局審計信息化建設領導小組統籌規劃信息化工作,計算機技術小組充分發揮在技術攻關和推廣實用技術方面的作用。把信息化建設的任務分解落實到責任科室,責任到人,確保審計信息化工作的有效推進。
(二)集中力量抓重點
1.落實任務,明確責任。一是每個業務科室確定一個項目作為計算機審計重點,并且明確責任人員,完成需要上交的各項任務。全局確定一個合適的項目進行計算機信息系統審計。二是落實各項基礎性工作的責任人員,分管領導對所分管科室的審計項目每周至少一次查閱數據包上傳情況,并批復。業務科室審計組長負責審計項目的AO與OA交互,業務公文流轉等各項工作。計算機審計中心負責管理維護全局計算機軟硬件及網絡平臺,管理維護審計網站及推進數據庫建設,指導檢查計算機審計工作情況。
2.協調力量,保證時間。要做好計算機審計,各科室審計項目負責人需要花費較多的時間和精力,所以項目時間安排要充足,早作準備。各科室的計算機審計項目主審由各科室計算機技術小組成員擔任,以便審計力量的更好發揮。
3.全程管理,及時調整。局信息化建設領導小組對于計算機審計重點項目進行全程跟蹤管理。審計組在審計準備階段集中組成員的智慧提出計算機審計思路,集中計算機小組成員的力量制定詳細的計算機審計方案,審計實施階段抓好審計方案及審計思路的落實,發現新的審計思路時,根據實際情況及時調整審計方案及審計方向,必要時可提請外援解決難題。審計終結階段及時提升審計成果,總結出高質量的審計信息、AO應用實例、計算機審計方法等審計成果。
(三)加強信息安全保護
加強信息安全的組織領導工作,建立健全安全管理制度。統一組織協調本單位的信息安全保護工作。
(四)完善激勵機制,提升成果、提高質量
由于我國會計審計領域制度的不完善以及會計市場的無序競爭,越來越多的會計從業者抵擋不住誘惑,出現了做假賬等行為,導致誠信問題成為會計行業的熱點話題。本文立足信息環境的大背景對當前會計審計誠信問題展開討論,并提出相應解決方案以期能凈化當前會計審計領域風氣,為企業提供一定的參考。
毋庸置疑,誠信問題對會計行業及會計從業者來說十分重要,會計行業從業者的職業操守是會計行業的立業之本,也是會計工作進行過程中的基礎。而當今,諸多誠信問題卻在挑戰會計行業的底線。信息時代的到來給會計工作提供了許多便利,很多企業逐漸成了一套具有整體性和規模性的信息化建設體系,但這同時也為會計作弊操作帶來了更多的操作空間,使會計誠信問題更加嚴峻。我們需要時間來完善相關法律和制度來適應信息時代的到來。
1 信息環境下出現會計誠信問題的主要原因
1.1 信息不對稱是當前諸多會計誠信問題出現的前提
會計行業的信息不對稱是指在信息環境下,經營者掌握著大量的會計信息,處于有利地位,而其所有者則出現信息不對稱處于弱勢地位。隨著市場經濟的發展和成熟,企業內部的所有權和經營權分離是大勢所趨,因此在會計審計過程中,信息不對稱會給做假賬以可趁之機進而導致所有者政策制定的失誤。
1.2 會計制度不完善
市場經濟的快速發展以及互聯網信息技術的不斷成熟極大地改變了原有會計運作方式,致使很多新的經濟事項的不斷涌出。而我國當前的會計制度和會計體系還相對比較落后,因此導致其在執行過程中較為無力。很多繁雜的規定不但會影響到現有工作的效率,很多領域的空白也為很多從業者提供了鉆空子的機會。
1.3 缺乏系統、合理的會計監督體系
會計審計工作中的監督體系不健全的問題在全國廣泛存在,現有的監督體系和工作監督流程缺乏科學行、完善性和時代性,這就導致相關工作人員在進行審計工作時無法可依,無章可循,對有些違法和舞弊行為無法作為。
1.4 會計審計工作存在信息安全漏洞
計算機和互聯網技術的廣泛應用極大地提高了當前會計工作的效率,但同時產生了大量的信息安全問題。很多企業和單位在計算機系統上沒有必要的保護措施,沒有處于保護狀態的會計審計數據極易受到黑客或木馬的攻擊,侵入者非法操控或篡改數據嚴重影響了會計審計信息的安全。同時一些會計審計人員缺乏防范和安全意識,沒有定期更新安全系統或誤使計算機中毒等操作也會嚴重影響到會計數據的安全性。
1.5 缺乏良好的誠信環境
沒有一個良好的大環境,加之違法成本低,很多會計從業者受利益的驅動出現造假問題。誠然,從業者職業道德不高是產生會計審計造假的一個主要原因,但更深層次的原因是誠信行為缺乏支持和保證,政府和行業沒有起到良好作用。應該看到,對此類違背誠信現象的縱容就是對守誠信者的打擊。
2 信息環境下實現會計審計誠信的解決方案
2.1推行會計委派制度
向企業委派的會計具有身份獨立性和工作自主性的特點,此舉可有效針對會計審計中的信息不對稱問題,有效預防傳統審計方式中會計人員迫于周圍壓力而進行的信息造假,從而在企業內部建立一套會計審計工作新秩序。
企業推行會計委派制度能夠有效縮減內部監督成本,推動內部控制制度的執行。在這種制度下,外部委派的會計人員進行會計審計工作時能夠真實反映實際經濟狀況,塑造企業的誠信形象。
2.2 營造誠信氛圍
企業在維持正常開支之外應定時開展對會計審計人員的誠信教育,確保從業人員建立誠信意識、遵守職業道德。根據實際,采用有效手段營造誠信為先企業經濟環境和管理環境,構建一個“誠信為榮、背信為恥”的企業文化氛圍。除了這些長久之計外,還要加大對破壞誠信氛圍的打擊力度,提高會計審計工作的質量。
2.3 營造安全的會計審計信息環境
安全的信息環境是確保會計審計工作誠信的一個重要的物質層面,應從以下四個方面入手:一是要推進會計審計工作的信息化,加大會計審計軟件和系統的開發和升級,最大程度減少人為篡改信息的可能。二是做好會計審計人員的教育和培訓,使得會計審計工作得到數量和質量上的提高。三是要建立起一套完整的會計審計信息系統安全防護體系,通過身份認證、權限設定、功能限制和加密處理等一系列措施防止企業內部經濟數據丟失和被篡改。四是要做好會計審計信息系統的防病毒和防黑客工作,防止信息出現安全問題。
2.4 完善和健全會計審計工作監督體系
在當前的信息環境下,很多人確實意識到會計監督的重要性和必要性,但實施和執行結果卻不盡人意,因此需要政府和行業完善和健全相應法律和法規。在法律法規得到完善之后,加大對違規和違法行為的執法力度,做到有法可依,有規可循。
3 結語
誠實守信是會計審工作的靈魂。在市場經濟不斷發展的大環境下,那些誠實守信的企業會有更好的前景。
1.檔案安全保護意識薄弱檔案安全保護教育不普遍,檔案安全意識淡薄,缺乏安全風險意識,突出表現在檔案網絡工作“安全第一、預防為主”的意識不強。檔案服務及利用人員由于網絡安全防護技術較低和安全防護意識不高,造成的無意侵權或電子檔案光盤存儲的選擇等問題,都給農機監理電子檔案的安全保管帶來威脅。
2.計算機軟硬件的設備故障由于農機監理的電子檔案一般不能直接利用,它的形成和處理與利用均需借助計算機軟硬件設備的支持才能實現。而計算機系統是由許多部分組成,每個部分的薄弱環節都極易遭到破壞。如:數據易被誤輸;應用軟件易被篡改或盜用;硬件設備中的芯片和電子線路易被損壞等。這些故障的發生都有可能導致農機監理電子檔案的丟失或破壞,從而對農機監理造成不可挽回的損失。
3.電子檔案存儲載體的保護技術問題農機監理電子檔案的載體材料是磁性物質和光盤。聚酯底基是磁盤和磁帶的支持體,它具有易產生靜電而吸引塵埃導致卷曲、易與磁粉脫離、伸長后不易恢復等缺點。粘和劑起著連接底基和磁粉的作用,它具有易熱脹冷縮、磨損、脫落、粘連、生霉等缺點,直接影響信息再現。并且磁粉中的磁性氧化物顆粒的剩磁感應強度是記錄和再現信息的決定因素,它極易受外磁場的影響而導致退磁、消磁等。目前光盤常用的介質主要有碲、碲合金、硒、碳鋁化合物以及一些在激光熱效應作用下易產生物化性質變化的材料,這些材料不穩定,易氧化,易與堿溶液發生反應。因此,電子檔案載體材料的這些特點,決定了農機監理電子檔案容易受外部環境的影響。
4.計算機病毒與黑客的攻擊計算機病毒已成為當今破壞計算機操作系統的頭號殺手,它是一種特殊的具有破壞力的計算機程序,具有自我復制能力,會以各種方式和途徑攻擊計算機系統的應用軟件和數據庫以及硬件設備,并可通過非授權入侵在可執行程序或數據文件中,從而造成電子文檔的破壞或系統的癱瘓。此外,有些計算機黑客也利用電腦網絡進行犯罪活動,他們伺機尋找系統和軟件方面的某些缺陷來攻擊,通過破譯口令與密碼而獲取使用權限。非法訪問、刪除或修改某些重要電子文檔,使文件所有者和利用者均遭受巨大損失。
加強農機監理電子檔案安全管理的相應對策
1.加強電子檔案安全管理的宣傳教育,增強責任意識要大力普及農機監理電子檔案信息安全知識及網絡竊密知識,使廣大農機監理檔案人員了解電子文檔的特性,防范農機監理電子文檔無意丟失或泄密,提高對各種攻擊手段的認識和警惕性,如不隨意下載或安裝不明軟件,不隨意打開陌生電子文件等。對農機監理電子檔案保護意識融入到檔案的價值論中,從而營造農機監理電子檔案安全保護新環境。
2.充分采用信息備份技術信息備份是信息安全保障最重要的輔助措施,它可以為受損或崩潰的信息系統提供良好、有效的恢復手段。一旦原文件遭到破壞,還有相同的備份文件可以取而代之,為了防止存檔載體物理性能變化或設備故障而丟失信息,農機監理電子檔案的備份系統可以從硬件級備份、軟件級備份、人工級備份三個層次入手。每年應對備份磁帶或光盤進行抽檢,并對農機監理電子檔案的讀取、處理設備的更新情況進行一次檢查登記,這種多層次的綜合應用才能達到理想的備份目的,做到萬無一失。
引言:企業網絡安全已成為當今值得關注的問題,它的重要性是不言而喻的,黑客竊取企業的網絡數據,甚至破壞其網絡系統,更加具有現實和長遠的商業價值。因此,如何保障企業網絡的安全變得重要起來。
1.企業網絡現狀分析
公司的發展壯大使其企業布局發生了巨大的變化。隨著公司發展,需要重新規劃:其網絡結構。存在著遠端數據收集困難,病毒威脅、黑客入侵、垃圾和病毒郵件威脅,帶寬利用率低等
問題。
(1)病毒威脅,病毒是網絡安全最大威脅,每年給各種企業帶來的損失巨大,使所有企業都對病毒“談毒色變”。
(2)ARP攻擊威脅,ARP本是網絡體系結構中的一個協議,這個協議關系到計算機網絡通信必不可少的兩個地址IP與MAC地址的轉換功能。
(3)通過網絡方式泄露企業機密,造成企業損失。網絡在成為羲要交流工具的同時也成了重要的泄密渠道。
2.企業局域網安全防范方案
(1) 防火墻技術安全配置。網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。防火墻設置在不同網絡或網絡安全域之間信息的唯一出入口。包過濾防火墻工作在網絡層上,有選擇的讓數據包在內部網絡與外部網絡之間進行交換。一般利用IP和TCP包的頭信息對進出被保護網絡的IP包信息進行過濾,能根據企業的安全政策來控制(允許、拒絕、監測)出入網絡的信息流。同時可實現網絡地址轉換(NAT)、審記與實時告警等功能。服務防火墻也有一定功效,是一種增加了安全功能的應用層網關,位于internet和intranet之間,自動截取內部用戶訪問internet的請求,驗證其有效性,代表用戶建立訪問外部網絡的連接。服務器在很大程度上對用戶是透明的,如果外部網絡個站點之間的連接被切斷了,必須通過服務器方可相互連通。
(2)攻擊檢測技術及方法。網絡系統的安全性取決于網絡系統中最薄弱的環節,所以要及時發現并修正網絡中存在的弱點和漏洞。網絡安全檢測工具通常是一個網絡安全性評估分析軟件,其功能是用實踐性的方法掃描分析網絡系統,檢查報告系統存在的弱點和漏洞,建議補救措施和安全策略,達到增強網絡安全性的目的。這樣,防火墻將得到合理配置,內外WEB站點的安全漏洞減為最低,網絡體系達到強壯的耐攻擊性,對網絡訪問做出有效響應,保護重要應用系統(如財務系統)數據安全不受黑客攻擊和內部人員誤操作的侵害。入侵檢測系統是根據已有的、最新的和可預見的攻擊手段的信息代碼對進出網絡的所有操作行為進行實時監控、記錄,并按制定的策略實行響應(阻斷、報警、發送E-mail),一般包括控制臺和探測器,也不會對網絡系統性能造成多大影響。
(3)審計與監控技術實施。由于企業需要的是一個非常龐大的網絡系統,因而對整個網絡(或重要網絡部分)運行進行記錄、分析是非常重要的,它可以讓用戶通過對記錄的日志數據進行分析、比較,找出發生的網絡安全問題的原因,并可作為以后的法律證據或者為以后的網絡安全調整提供依據。審計是記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能看出系統正被怎樣的使用。對于確定是否有網絡攻擊的情況,審計信息對于去定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統的識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集與積累并且加以分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,以便對發現或可能產生的破壞提供有力的證據。
(4) 企業局域網防病毒設置。隨著網絡病毒的泛濫,對于一個局域網來說,以前各掃門前雪的防病毒方式經顯得力不從心了,如果僅靠局域網中部分計算機的單機版防病毒軟件,根本不可能做到對病毒的及時防御。因此,在局域網中構建一個完整的防病毒體系己經成為當務之急,網絡防病毒軟件也應運而生。主要面向MAIL、Web服務器,以及辦公網段的PC服務器和PC機等。支持對網絡、服務器和工作站的實時病毒監控;能夠在中心控制臺向多個目標分發新版殺毒軟件,并監視多個目標的病毒防治情況;支持多種平臺的病毒防范;能夠識別廣泛的已知和未知病毒,包括宏病毒;支持對Internet/ Intranet服務器的病毒防治,能夠阻止惡意的Java或ActiveX小程序的破壞;支持對電子郵件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持對壓縮文件的病毒檢測;支持廣泛的病毒處理選項,如對染毒文件進行實時殺毒,移出,重新命名等;支持病毒隔離,當客戶機試圖上載一個染毒文件時,服務器可自動關閉對該工作站的連接;提供對病毒特征信息和檢測引擎的定期在線更新服務;支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子郵件等)等。
為了保護網絡的安全性,除了在網絡設計上增加安全服務功能,完善系統的安全保密措施外,安全管理規范也是網絡安全所必須的。
3.結束語
在信息化時代,網絡的安全應用是非常必要的,它將有效防止潛在敵人和不法分子的破壞,有效保護企業機密,降低企業的辦公成本。網絡安全的發展過程中,我們必須更進一步的開展企業信息安全應用研究。
參考文獻:
