緒論:在尋找寫作靈感嗎�?愛發(fā)表網(wǎng)為您精選了8篇外審員信息安全���,愿這些內(nèi)容能夠啟迪您的思維����,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享�!
篇1
隨著中國國際航空股份有限公司(以下簡稱“國航”)信息系統(tǒng)建設(shè)的飛速發(fā)展,在2008年北京奧運(yùn)會(huì)的安全保障工作中����,安全不再只是空防安全和飛行安全,信息安全也已經(jīng)成為奧運(yùn)安保的重要環(huán)節(jié)��,并被納入國航及信息管理部的年度重點(diǎn)工作之中����。
在此背景下,國航與IBM公司合作啟動(dòng)了信息安全規(guī)劃咨詢項(xiàng)目�,它旨在為國航信息安全體系建設(shè)打下堅(jiān)實(shí)的理論基礎(chǔ)。同時(shí)�,國航也通過該項(xiàng)目完成了未來3~5年信息安全建設(shè)的發(fā)展規(guī)劃,建立了信息安全管理體系�����,并最終于2009年5月26日通過了ISO27001信息安全管理體系國際認(rèn)證,使國航成為國內(nèi)民航業(yè)第一家獲得IS027001國際認(rèn)證的單位���。
與飛行安全一樣重要
由于信息化建設(shè)已經(jīng)深入到國航業(yè)務(wù)的各個(gè)角落�����,所以����,幾乎所有業(yè)務(wù)都與信息技術(shù)相關(guān)��,特別是涉及到客戶信任度的商務(wù)及財(cái)務(wù)方面更是如此���。因此�,在國航未來的發(fā)展戰(zhàn)略中���,信息安全已經(jīng)占據(jù)了越來越重要的位置?�,F(xiàn)在���,公司上下已經(jīng)形成一個(gè)共識(shí):打造信息安全管理體系這張保護(hù)網(wǎng)��,就像確保飛行安全一樣重要。
基于這樣一個(gè)共識(shí)�����,我們從國航的業(yè)務(wù)愿景出發(fā)����,引導(dǎo)出了國航的信息安全愿景,即國航需要建立起一個(gè)成熟的����、具備國際水平的信息安全保障體系,這個(gè)保障體系第一要保證國航的核心業(yè)務(wù)不中斷����,第二要保障國航信息系統(tǒng)不被攻擊,第三要保障重要的客戶信息不被泄漏����,通過一個(gè)全方位的安全保障體系為國航的業(yè)務(wù)愿景保駕護(hù)航。
雖然現(xiàn)在已獲得了ISO27001國際認(rèn)證�����,但國航的信息安全建設(shè)經(jīng)歷了一個(gè)漫長的過程,大致可以分為四個(gè)階段:
第一個(gè)階段是在2006年以前��,當(dāng)時(shí)信息系統(tǒng)對(duì)于國航的支撐力度相對(duì)有限����,同時(shí)從整個(gè)業(yè)界來看,的安全威脅還不是很明顯���,所以�,信息安全建設(shè)的特點(diǎn)是以零星建設(shè)和被動(dòng)建設(shè)為主����。
第二個(gè)階段是2007~2008年,隨著國航核心系統(tǒng)逐步投入運(yùn)行�,以及北京奧運(yùn)會(huì)的臨近,的安全風(fēng)險(xiǎn)不斷增加��,這是�����,國航開始針對(duì)性地對(duì)重點(diǎn)領(lǐng)域搭建技術(shù)防護(hù)措施����。
第三個(gè)階段是從2008年開始����,隨著國航對(duì)自身信息安全認(rèn)識(shí)的不斷深入�����,國航按照Is02700 L的標(biāo)準(zhǔn)���,建立起了信息安全的管理體系。同時(shí)�,還啟動(dòng)了全面的信息系統(tǒng)戰(zhàn)略規(guī)劃,根據(jù)國際最佳實(shí)踐并結(jié)合國航的特色�����,制定了未來3~5年信息安全技術(shù)平臺(tái)建設(shè)的藍(lán)圖和路徑�����。自此���,國航整個(gè)信息安全建設(shè)有了一個(gè)更加科學(xué)和更加明細(xì)的路線圖����。
搭建“安全翹翹板”
整體而言,國航的信息安全體系主要是以IT基礎(chǔ)架構(gòu)和安全技術(shù)架構(gòu)為基礎(chǔ)�,通過信息安全組織與人員對(duì)業(yè)務(wù)邏輯的準(zhǔn)確理解和制度流程的有效執(zhí)行,實(shí)現(xiàn)完整的信息安全管理過程����。
應(yīng)該說,信息安全體系是一個(gè)非常復(fù)雜的體系����。業(yè)界有個(gè)說法叫“安全翹翹板”,這個(gè)翹翹板主要是在IT基礎(chǔ)結(jié)構(gòu)的基礎(chǔ)上�,包括三方面內(nèi)容:一是技術(shù)平臺(tái),二是組織和人員���,三是制度和流程����,通過這三方面的有效執(zhí)行�,從而構(gòu)成信息安全體系。另外��,還要加上安全的管理架構(gòu)和技術(shù)架構(gòu)�����,最后和業(yè)務(wù)邏輯結(jié)合起來,這樣才能構(gòu)成一個(gè)完整的信息安全體系��。
目前��,依據(jù)ISO27001標(biāo)準(zhǔn)����,國航建立了包含三個(gè)一級(jí)方針��,三十一個(gè)二級(jí)規(guī)章的信息安全管理策略體系���。通過信息安全管理策略體系的建立���、北京奧運(yùn)會(huì)期間的整改措施以及1S02700I外審督促,國航的管理體系評(píng)測水平不斷提升���,其中體系評(píng)價(jià)范圍從運(yùn)行維護(hù)中心到全信息管理部���,IS027001中要求的十一個(gè)領(lǐng)域都有大幅提高。
在技術(shù)平臺(tái)建設(shè)方面����,國航針對(duì)一些緊迫性問題做了針對(duì)性的部署���。比如網(wǎng)絡(luò)安全架構(gòu)不清晰、來自互聯(lián)網(wǎng)的威脅日益增加����、防護(hù)能力偏弱、用戶行為控制存在漏洞���、系統(tǒng)服務(wù)器安全性不足等問題�����,國航不但劃分了安全領(lǐng)域����,還部署了防DOS攻擊����、入侵檢測、入侵防御等設(shè)備�����,另外�����,在重點(diǎn)用戶單位引入終端安全管理,利用弱點(diǎn)掃描工具發(fā)現(xiàn)系統(tǒng)漏洞等技術(shù)措施�����,配合各項(xiàng)管理措施���,很好地完成了北京奧運(yùn)信息安全保障工作���。
在信息安全管理體系建立過程中�,國航還特別成立了公司級(jí)的信息安全管理委員會(huì),落實(shí)了信息安全管控中心職能��,借鑒國際最佳實(shí)踐的功能劃分��,采用兩級(jí)管控機(jī)制���,在對(duì)組織機(jī)構(gòu)不做大調(diào)整的情況下落實(shí)了安全管理責(zé)任����。
國航ISO27001信息安全管理體系策略文件于2008年底正式�����,并組織了近200人次的信息安全培訓(xùn),采用自評(píng)結(jié)合復(fù)核為主的審查方式定期對(duì)體系文件的貫徹和執(zhí)行情況進(jìn)行了解���。通過內(nèi)部認(rèn)證培訓(xùn)��,培養(yǎng)了專兼職質(zhì)量安全員34人���,以承擔(dān)未來各部門的安全內(nèi)審職責(zé)。
納入安全運(yùn)行標(biāo)準(zhǔn)體系
正如國航副總裁賀利所說����,通過ISO27001國際認(rèn)證,并不代表國航的信息安全工作已經(jīng)做到位����,而是意味著信息安全工作開始起步,后面需要完善的工作還有很多�。
因此接下來,國航首先將不斷對(duì)現(xiàn)有管理體系的操作細(xì)則進(jìn)行完善�����,進(jìn)一步細(xì)化信息安全管理域成熟等級(jí)評(píng)價(jià)機(jī)制����,在IBM公司提出的四級(jí)評(píng)價(jià)基礎(chǔ)上���,針對(duì)國航實(shí)際情況再進(jìn)行細(xì)分,持續(xù)強(qiáng)化規(guī)章的定期評(píng)審機(jī)制��,同時(shí)要求所有部分在編寫自身業(yè)務(wù)指導(dǎo)書時(shí)落實(shí)信息安全規(guī)章��。
另外����,信息管理郝還將和國航相關(guān)部門一起建立基于崗位信息資源的管控機(jī)制。以后國航每一個(gè)崗位上的工作人員��,可以訪問什么樣的內(nèi)容����,能夠訪問多大的資源�,都和崗位密切結(jié)合起來,這樣就能使信息安全的控制預(yù)先做好相應(yīng)的防控��。
在技術(shù)平臺(tái)方面����,國航將依照既定的信息安全建設(shè)規(guī)劃��,在未來三年內(nèi)�,分步在用戶身份與信任憑證管理����、訪問控制、信息流控制���、完整性保護(hù)��、安全監(jiān)控與審計(jì)五大安全服務(wù)領(lǐng)域增加功能組件����,建立起符合國航的����、完整的信息安全技術(shù)平臺(tái)。
篇2
杭州帕拉迪網(wǎng)絡(luò)科技有限公司(簡稱帕拉迪)從金融行業(yè)的實(shí)際信息安全需求出發(fā)�,充分吸收近年來信息系統(tǒng)安全保障理論模型和技術(shù)架構(gòu)(如IATF等),全面參考《信息安全等級(jí)保護(hù)基本要求》��、《銀行業(yè)銀行機(jī)構(gòu)內(nèi)部審計(jì)指引》��、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等相關(guān)指引及法規(guī)要求,結(jié)合帕拉迪多年的攻擊防護(hù)經(jīng)驗(yàn)��,為金融行業(yè)提供IT運(yùn)維的統(tǒng)一安全管理與綜合審計(jì)解決方案���。該方案主要解決金融機(jī)構(gòu)信息中心運(yùn)維管理面對(duì)系統(tǒng)復(fù)雜性��、網(wǎng)絡(luò)安全性����、IT內(nèi)控外審等而產(chǎn)生的相關(guān)問題����。這一方案實(shí)現(xiàn)了按照行業(yè)標(biāo)準(zhǔn)進(jìn)行金融機(jī)構(gòu)的精確管理、實(shí)時(shí)監(jiān)控和警告�����、事后追溯審計(jì)等����,為管理人員的運(yùn)維和決策提供了有效的技術(shù)手段�。
金融IT內(nèi)部的運(yùn)維風(fēng)險(xiǎn)
1. IT內(nèi)部對(duì)服務(wù)器的維護(hù)和管理依賴于操作系統(tǒng)的口令認(rèn)證,口令易被轉(zhuǎn)授�����、窺探以及遺忘等弱點(diǎn),以及授權(quán)不方便等問題造成管理困難��,成本較高����。
2. 第三方廠商技術(shù)支持人員、項(xiàng)目服務(wù)商等在對(duì)內(nèi)部核心服務(wù)器����、網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行現(xiàn)場調(diào)試或遠(yuǎn)程技術(shù)維護(hù)時(shí),無法有效地記錄其操作過程和維護(hù)內(nèi)容���,核心機(jī)密數(shù)據(jù)容易泄露或遭到惡意破壞����。
3. 研發(fā)部門在系統(tǒng)上線運(yùn)行后�����,經(jīng)常會(huì)通過普通的權(quán)限登錄系統(tǒng)分析軟件查看問題���,從信息安全角度考慮�,這些查詢過程必須留有記錄。
解決方案技術(shù)優(yōu)勢
1. 獨(dú)創(chuàng)的數(shù)據(jù)庫運(yùn)維操作審計(jì)平臺(tái)���,覆蓋主流商業(yè)數(shù)據(jù)庫的企業(yè)應(yīng)用和運(yùn)維操作�。
2. 支持RDP圖形實(shí)時(shí)文字識(shí)別和文字提取功能���。
3. 帶來無縫應(yīng)用的用戶體驗(yàn)����,所有應(yīng)用均可本地化展示��。
4. 提供文件傳輸內(nèi)容審計(jì)記錄���。
5. 契合金融行業(yè)安全的三級(jí)會(huì)同功能(接入會(huì)同�、密碼會(huì)同�����、命令會(huì)同)���。
解決方案部署收益
1. 規(guī)范運(yùn)維管理�。建立統(tǒng)一安全管理和綜合審計(jì)平臺(tái)�����,統(tǒng)一入口�、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)���、統(tǒng)一審計(jì)����;用戶可以在平臺(tái)上基于權(quán)限進(jìn)行訪問控制�����,提高了系統(tǒng)安全性���,同時(shí)減輕了管理員工作壓力���,提高了工作效率�����,確保管理制度的順利實(shí)施�����。
篇3
關(guān)鍵詞:信息安全;網(wǎng)絡(luò)安全危脅�����;安全防護(hù)系統(tǒng)
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2012)26-6245-03
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)迅猛發(fā)展,各發(fā)電企業(yè)信息化網(wǎng)絡(luò)日漸普及,成為了企業(yè)科技化管理的重要手段�。通過對(duì)數(shù)據(jù)的集中、共享�、處理使得信息系統(tǒng)為發(fā)電企業(yè)生產(chǎn)經(jīng)營��、安全生產(chǎn)等各方面提供了巨大的科技支撐��。但同時(shí)伴隨出現(xiàn)的病毒蔓延�、不良黑客入侵����、流氓軟件等多方面問題成為了不得不面對(duì)的問題�����,同時(shí)對(duì)發(fā)電企業(yè)的安全生產(chǎn)也形成了巨大的威脅�����,以此進(jìn)一步加強(qiáng)發(fā)電企業(yè)信息化安全是在信息化建設(shè)初期首要考慮的問題。
1發(fā)電企業(yè)面臨的網(wǎng)絡(luò)安全威脅
因?yàn)樾畔⒕W(wǎng)絡(luò)的互通性���,發(fā)電企業(yè)信息化威脅�,既有可能來自本企業(yè)內(nèi)部��,也同時(shí)可能來源于外部�。其內(nèi)部威脅主要來自于員工����、各信息系統(tǒng)管理員等����,根據(jù)統(tǒng)計(jì)��,網(wǎng)絡(luò)安全破壞活動(dòng)近80%來自于競爭對(duì)手��、任何惡意的組織和個(gè)人�����。主要表現(xiàn)的安全威脅為:
1)截獲用戶標(biāo)識(shí):截獲標(biāo)識(shí)指以非法手段取得合法用戶的身份信息��,主要是用戶的帳號(hào)和密碼�,這是絕大多數(shù)發(fā)電信息系統(tǒng)采用的認(rèn)證防護(hù)措施��。如果侵入者得知了某位合法用戶的帳號(hào)和密碼��,即便該合法用戶并未被賦予其他的特權(quán)�����,也有可能威脅整個(gè)系統(tǒng)的安全�����。如果帳號(hào)����,特別是密碼,被以明文的方式由信息網(wǎng)絡(luò)傳遞����,侵入者通過安裝協(xié)議分析軟件對(duì)網(wǎng)絡(luò)通信進(jìn)行監(jiān)視����,則可以輕松獲取。如果密碼通過明文格式保存在用戶的計(jì)算機(jī)的內(nèi)存或者硬盤中����,侵入者更能夠有方法發(fā)現(xiàn)并利用這些密碼�,同時(shí)如果密碼很簡單(如手機(jī)號(hào)碼��、用戶生日����、私家車號(hào)牌、用戶姓名等)���,更加容易被侵入者通過軟件得知���,在網(wǎng)絡(luò)上大肆傳播的黑客工具都是通過幾種常用習(xí)慣的詞典來獲取用戶密碼。
2)偽裝:當(dāng)未通過授權(quán)的用戶假扮成具有合法授權(quán)的用戶���,登錄發(fā)電信息系統(tǒng)時(shí)就形成了偽裝�����。當(dāng)未通過授權(quán)的用戶經(jīng)過偽裝成信息系統(tǒng)管理員或者具有信息管理超級(jí)特權(quán)的有關(guān)用戶時(shí)���,截獲用戶標(biāo)識(shí)的情況是威脅最大的。應(yīng)為侵入者已經(jīng)獲取了某位合法用戶的標(biāo)識(shí)��,或者因?yàn)榍秩胝咭呀?jīng)使信息系統(tǒng)相信其擁有另外的而實(shí)際上并不存在的權(quán)限,所以偽裝是很容易出現(xiàn)的�����。網(wǎng)絡(luò)地址欺騙實(shí)際上就是偽裝的一中形式����,侵入者通過一個(gè)合法的IP地址,然后通過此地址截獲已被授予該合法地址的系統(tǒng)或者是服務(wù)器訪問權(quán)限�����。
3)非授權(quán)操作:非授權(quán)操作使用信息系統(tǒng)或者資源時(shí)�,信息網(wǎng)絡(luò)安全就受到了極大的威脅。例如�����,企業(yè)的發(fā)電數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)有可能被未經(jīng)授權(quán)的侵入者�,非法修改并利用。
4)病毒:病毒是伴隨計(jì)算機(jī)技術(shù)產(chǎn)生�,能夠通過不斷自我復(fù)制����,大范圍傳播����,對(duì)計(jì)算機(jī)��、信息系統(tǒng)及其數(shù)據(jù)產(chǎn)生極大破壞的程序��。因?yàn)椴《揪哂械碾[藏性和可變異性���,使得廣大用戶無法防范�。據(jù)有關(guān)資料調(diào)查����,99%的企業(yè)或者個(gè)人受到過計(jì)算機(jī)病毒的感染,63%的數(shù)據(jù)和系統(tǒng)損壞來源于病毒�����。給受害企業(yè)或個(gè)人帶來巨大的時(shí)間和人力資源的浪費(fèi)����,同時(shí)重要數(shù)據(jù)文件的丟失和損壞是無法用金錢來衡量的。
5)服務(wù)拒絕:通過向發(fā)電企業(yè)信息化系統(tǒng)發(fā)送大量的請(qǐng)求或者垃圾數(shù)據(jù)�����,使得服務(wù)器的資源被大量占用,直至資源耗盡��,使其達(dá)到無法繼續(xù)提供正常服務(wù)或者服務(wù)器崩潰的目的��。在發(fā)電企業(yè)信息化系統(tǒng)中���,這樣的攻擊可能造成重大的安全威脅����。
6)惡意程序代碼:伴隨著可自執(zhí)行的計(jì)算機(jī)程序與WWW站點(diǎn)的集成�,惡意程序代碼通過Microsoft ActiveX控件或Sun Java程序的大量使用形成了極大的安全威脅。
7)特權(quán)濫用:信息系統(tǒng)的超級(jí)管理員故意或者錯(cuò)誤地通過對(duì)某系統(tǒng)的特權(quán)來獲取其不應(yīng)獲取的敏感數(shù)據(jù)�。
8)誤操作:信息系統(tǒng)超級(jí)管理員、業(yè)務(wù)系統(tǒng)管理員��、一般用戶等因?qū)夹g(shù)方面熟練度不高��,操作時(shí)的失誤����,引起對(duì)信息系統(tǒng)安全性、完整性和可靠性的損壞���。
9)權(quán)限變更:一般用戶利用信息系統(tǒng)的漏洞提高其用戶等級(jí)���,以獲取未經(jīng)授權(quán)的系統(tǒng)權(quán)限。
10)后門:信息系統(tǒng)研發(fā)人員出于故意或者為了日后維護(hù)便利在信息系統(tǒng)中設(shè)置的專用通道����,使用其可以不受企業(yè)信息系統(tǒng)安全措施的控制。經(jīng)常被人為利用控制���、破壞正常運(yùn)行的系統(tǒng)����。
11)系統(tǒng)研發(fā)中的錯(cuò)誤和調(diào)試不全:其包含對(duì)有關(guān)數(shù)據(jù)不進(jìn)行充分的檢查�����、對(duì)系統(tǒng)的邏輯運(yùn)行定義不準(zhǔn)確����,同時(shí)這些錯(cuò)誤和不完善沒有通過大量的、齊全的系統(tǒng)調(diào)試檢查出來�����,有可能在運(yùn)行中導(dǎo)致數(shù)據(jù)被錯(cuò)誤生成且引入信息系統(tǒng),破壞了實(shí)際數(shù)據(jù)的準(zhǔn)確性���。
12)特洛伊木馬:它通過提供一些有價(jià)值的或者僅僅是有趣的功能�����,在用未經(jīng)用戶許可的情況下拷貝文件���、竊取用戶的帳號(hào)和密碼、發(fā)送用戶的重要資料或者破壞用戶系統(tǒng)等����。木馬程序是一種常見的危害性較大的威脅,由于其不易被發(fā)現(xiàn)�,在一般情況下,它是在二進(jìn)制代碼中被發(fā)現(xiàn)��,且大多數(shù)后綴名都為無法直接打開的文件���,其特點(diǎn)與病毒有許多相似的地方����。
13)社會(huì)工程共計(jì):主要是的是攻擊者利用人的心理活動(dòng)進(jìn)行攻擊����,其無需采用高深的科技手段�����,同時(shí)無需入侵系統(tǒng)來完成�。僅需要通過向特定用戶了解帳號(hào)和密碼�����,達(dá)到其獲取數(shù)據(jù)或者信息系統(tǒng)訪問權(quán)的目的����。絕大多數(shù)情況下���、攻擊者的主要目標(biāo)是企業(yè)的辦公室接待員���、行政或者技術(shù)支撐人員,通過對(duì)這些類別的用戶通過電話���、EMAIL或者聊天工具等方式即可完成攻擊�����。
2發(fā)電企業(yè)信息化情況(以五大發(fā)電集團(tuán)某下屬發(fā)電公司為例)
2.1信息化網(wǎng)絡(luò)狀況
圖1
2.2信息化系統(tǒng)狀況
1)財(cái)務(wù)及資產(chǎn)管理(簡稱:FAM)系統(tǒng)��,是集中部署的核心應(yīng)用系統(tǒng)����,涵蓋電廠財(cái)務(wù)核算、費(fèi)用報(bào)銷���、資金計(jì)劃�、物資采購��、庫存管理����、物資計(jì)劃、超市管理�����、合同管理���、缺陷管理����、檢修管理、設(shè)備維護(hù)等功能模塊����。
2)OA辦公自動(dòng)化系統(tǒng)。實(shí)現(xiàn)下屬企業(yè)以及與集團(tuán)公司間收發(fā)文交互��、內(nèi)部收發(fā)文管理��、郵件及通訊目錄功能��。系統(tǒng)還提供了值班管理�、督察督辦�����、會(huì)議管理����、車輛管理、辦公用品等行政辦公管理功能�。
3)PI實(shí)時(shí)信息系統(tǒng):本系統(tǒng)采集、存儲(chǔ)DCS系統(tǒng)��、電能量��、環(huán)保系統(tǒng)等實(shí)時(shí)運(yùn)行參數(shù),除滿足電廠對(duì)實(shí)施信息的管理需求外�����,還將有關(guān)數(shù)據(jù)實(shí)時(shí)傳送集成到集團(tuán)公司實(shí)時(shí)系統(tǒng)�����、集團(tuán)公司生產(chǎn)與營銷實(shí)時(shí)監(jiān)管系統(tǒng)��。
4)電廠多業(yè)務(wù)管理平臺(tái)���。系統(tǒng)包括運(yùn)行管理��、計(jì)劃管理�����、生產(chǎn)統(tǒng)計(jì)����、班組管理���、標(biāo)準(zhǔn)制度�����、政工管理��、監(jiān)審管理�����、合理化建議等功能��,其中統(tǒng)計(jì)�、政工、監(jiān)審等模塊實(shí)現(xiàn)了與集團(tuán)公司層面相應(yīng)管理模塊的系統(tǒng)集成��。
5)安全管理平臺(tái):功能包括安全信息�����、安全報(bào)表�����、安全檢查����、工作票、操作票等管理���。
6)公司MIS系統(tǒng):本系統(tǒng)不僅作為下屬企業(yè)所有管理信息系統(tǒng)入口門戶���,還提供了項(xiàng)目申報(bào)、生產(chǎn)日?qǐng)?bào)��、人力資源��、融合機(jī)制管理����、培訓(xùn)考試、安全認(rèn)證管理���、靈活報(bào)表等應(yīng)用功能�。
7)檔案管理系統(tǒng):本系統(tǒng)由集團(tuán)公司統(tǒng)一實(shí)施��,各單位檔案系統(tǒng)建設(shè)須按照集團(tuán)公司統(tǒng)一規(guī)劃�����,以便于OA系統(tǒng)統(tǒng)一接口���、版本升級(jí)�����、技術(shù)培訓(xùn)等�����。
8)網(wǎng)站系統(tǒng)由各下屬企業(yè)自主建設(shè)和運(yùn)維管理����,界面設(shè)計(jì)須符合集團(tuán)公司VI視覺識(shí)別系統(tǒng)標(biāo)準(zhǔn),內(nèi)容�����、運(yùn)維管理遵照公司和集團(tuán)公司有關(guān)規(guī)定和要求�,嚴(yán)格執(zhí)行安全保密等有關(guān)規(guī)定。
3發(fā)電企業(yè)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)方案
發(fā)電企業(yè)信息安全體系機(jī)構(gòu)由網(wǎng)絡(luò)安全防護(hù)����、數(shù)據(jù)備份和恢復(fù)���、應(yīng)用系統(tǒng)安全����、信息安全管理等幾部分組成。
3.1網(wǎng)絡(luò)安全防護(hù)
3.1.1系統(tǒng)安全域防護(hù)
將企業(yè)信息系統(tǒng)通過網(wǎng)絡(luò)安全域的形式�,分為服務(wù)器、用戶兩個(gè)安全域����,同時(shí)劃分多個(gè)二級(jí)安全域,主要為生產(chǎn)信息系統(tǒng)���、財(cái)務(wù)系統(tǒng)�、系統(tǒng)管理員��、一線生產(chǎn)班組����、普通用戶等。
3.1.2網(wǎng)絡(luò)的高可靠性
1)企業(yè)核心網(wǎng)絡(luò)設(shè)備采取雙機(jī)互為熱備形式��,兩臺(tái)中心交換機(jī)設(shè)備通過雙鏈路互聯(lián)����;接入層與核心層也通過雙鏈路互聯(lián)。
2)重要用戶安全域通過雙鏈路與企業(yè)核心交換連接,進(jìn)一步保證其鏈路的可靠性��。
3)企業(yè)核心業(yè)務(wù)系統(tǒng)服務(wù)器也必須通過雙鏈路接入核心層����。
3.1.3防病毒
1)企業(yè)管理信息大區(qū)按照要求統(tǒng)一部署防病毒系統(tǒng),采用國內(nèi)知名品牌網(wǎng)絡(luò)版����。安全區(qū)一、二與三區(qū)各自擁有自己的防病毒服務(wù)器�。
2)對(duì)管理信息大區(qū)的服務(wù)器�����、終端用戶,強(qiáng)制按照規(guī)定部署統(tǒng)一的可網(wǎng)管的防病毒產(chǎn)品��。
3)在互聯(lián)網(wǎng)接口部署防病毒網(wǎng)關(guān)����,以防其從外部傳播到企業(yè)管理信息大區(qū)。
4)注重防病毒管理����,保證病毒特征碼得到有效的更新,通過查看病毒軟件的歷史記錄�,了解病毒威脅情況并積極應(yīng)對(duì)。
3.1.4防火墻
在位于內(nèi)外網(wǎng)接口處部署防火墻一臺(tái)�����,采用高性能硬件防火墻�,國內(nèi)知名品牌,具有雙安全操作系統(tǒng)����;可以提供對(duì)復(fù)雜環(huán)境的接入支持,包括路由�、透明以及混合接入模式;具備防火墻��、IPSEC VPN,SSL VPN���、防病毒���、IPS等安全功能。
3.1.5入侵檢測系統(tǒng)
在核心層部署一個(gè)入侵檢測的探頭��,保證入侵檢測系統(tǒng)能夠及時(shí)發(fā)現(xiàn)有關(guān)威脅��。
3.1.6主機(jī)安全加固
發(fā)電企業(yè)的關(guān)鍵應(yīng)用系統(tǒng)(如生產(chǎn)營銷實(shí)施監(jiān)管系統(tǒng)、財(cái)務(wù)系統(tǒng))的服務(wù)器��,采取定期安全加固的形式��。形式包括:定期檢查安全配置��、安全補(bǔ)丁���、加強(qiáng)服務(wù)器系統(tǒng)的訪問控制能力等���。
3.2備份與恢復(fù)
對(duì)于關(guān)鍵應(yīng)用系統(tǒng),必須采用每天定期備份���,同時(shí)人工每月全備份一次�����。備份的數(shù)據(jù)必須采用異地存儲(chǔ)的形式�,且需做到專人定期檢查���,防止遺漏����。
3.3應(yīng)用系統(tǒng)安全
管理信息大區(qū)中的發(fā)電企業(yè)應(yīng)用系統(tǒng)應(yīng)著重確保其安全性能夠得到保證。其主要安全建設(shè)內(nèi)容包括:對(duì)系統(tǒng)的訪問控制�����、用戶帳號(hào)密碼及權(quán)限管理���、操作審計(jì)管理、數(shù)據(jù)加密管理�、數(shù)據(jù)完整性檢查等。
3.4信息安全管理
1)通過成立企業(yè)信息化領(lǐng)導(dǎo)小組�,加強(qiáng)信息工作包括信息安全工作的整體管理;
2)通過制定信息網(wǎng)絡(luò)管理制度及各級(jí)安全防護(hù)策略���;并通過正式公文下發(fā)�,嚴(yán)格執(zhí)行����。
3)通過設(shè)立專業(yè)的信息管理人員和成立涵蓋各業(yè)務(wù)部門的兼職信息員,形成覆蓋全面的信息化安全管理網(wǎng)絡(luò)����。
綜上所述,發(fā)電企業(yè)網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程�����,不能僅靠殺毒軟件、防火墻�����、漏洞掃描等硬件設(shè)備的防護(hù)���,還要意識(shí)到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)人機(jī)系統(tǒng)��,在建立以計(jì)算機(jī)網(wǎng)絡(luò)安全硬件產(chǎn)品為基礎(chǔ)的網(wǎng)絡(luò)安全系統(tǒng)的同時(shí)����,也應(yīng)樹立各個(gè)用戶的網(wǎng)絡(luò)信息安全意識(shí)才能防微杜漸����,構(gòu)建一個(gè)高效、安全的網(wǎng)絡(luò)系統(tǒng)�。
綜上所述,發(fā)電企業(yè)信息安全是一個(gè)系統(tǒng)工程�����,不僅需要入侵檢測系統(tǒng)�、防火墻等硬件安全設(shè)備�,同時(shí)還要注意信息系統(tǒng)是一個(gè)廣泛使用的人機(jī)互動(dòng)系統(tǒng)�,必須通過系列的安全管理措施和規(guī)章制度,進(jìn)一步強(qiáng)化各級(jí)用戶的信息安全意識(shí)�����,做到信息安全人人有責(zé)����、信息安全從自我做起��,才能構(gòu)建起一個(gè)高效��、安全的企業(yè)信息化網(wǎng)絡(luò)�。
參考文獻(xiàn):
篇4
巧合的是,當(dāng)天有媒體報(bào)道了我國30省份至少有275位艾滋病感染者個(gè)人信息遭泄露的事件��。犯罪分子在詐騙電話中能準(zhǔn)確地描述出病患的個(gè)人信息���,包括真實(shí)姓名�、身份證號(hào)�����、聯(lián)系方式、戶籍信息����、確診時(shí)間、隨訪的醫(yī)院或區(qū)縣疾控等等����,并謊稱能為病患辦理補(bǔ)助而需要收取不菲的手續(xù)費(fèi)。中國疾病預(yù)防控制中心相關(guān)負(fù)責(zé)人于7月17日表示�����,國家艾滋病感染者相關(guān)信息系統(tǒng)被列為國家網(wǎng)絡(luò)信息重點(diǎn)安全保護(hù)對(duì)象����,目前已經(jīng)報(bào)案,將積極配合公安部門盡快破案��。此事還引起了世界衛(wèi)生組織駐華代表處和聯(lián)合國艾滋病聯(lián)合規(guī)劃署駐華代表處的關(guān)注����。7月18日,兩家代表處聯(lián)合發(fā)表聲明�,強(qiáng)調(diào)“加強(qiáng)現(xiàn)有系統(tǒng)以杜絕類似信息入侵事件再次發(fā)生,至關(guān)重要”。
國家對(duì)于健康醫(yī)療大數(shù)據(jù)的安全十分重視���,據(jù)統(tǒng)計(jì)���,《意見》中,“安全”這個(gè)詞出現(xiàn)了33次����。而此次疑似真實(shí)發(fā)生的醫(yī)療數(shù)據(jù)安全事件,成為“安全是核心基礎(chǔ)”的最佳注腳�����。
他山之石����,可以攻玉
――英國健康醫(yī)療數(shù)據(jù)安全的審查和建議
不止我們��,許多其他國家也發(fā)生了一系列事件����,向全世界宣告了他們對(duì)健康醫(yī)療數(shù)據(jù)安全的關(guān)切。在英國��,國家醫(yī)療服務(wù)體系(National Health Service�, NHS)于2016年7月6日做出停止care.data健康醫(yī)療大數(shù)據(jù)平臺(tái)的決定中�,“安全”即是重要原因之一���。
在很大程度上��,NHS決定關(guān)閉care.data���,是基于7月6日的兩份評(píng)估報(bào)告。第一份報(bào)告《安全的數(shù)據(jù)����,安全的醫(yī)療》(“Safe Data, Safe Care”)由英國醫(yī)療質(zhì)量委員會(huì)(Care Quality Commission�,CQC)。醫(yī)療質(zhì)量委員會(huì)是英格蘭健康和社會(huì)醫(yī)療的獨(dú)立監(jiān)管機(jī)構(gòu)��,其職責(zé)是監(jiān)控���、檢查和評(píng)價(jià)醫(yī)療服務(wù)�����,促進(jìn)醫(yī)療服務(wù)符合標(biāo)準(zhǔn)規(guī)范以保證其質(zhì)量和安全�。作為獨(dú)立第三方,CQC經(jīng)常地區(qū)���、國家級(jí)的健康和社會(huì)醫(yī)療質(zhì)量報(bào)告����。2015年9月����,受英國衛(wèi)生大臣委托,CQC對(duì)NHS處理病人敏感數(shù)據(jù)過程的安全現(xiàn)狀進(jìn)行審查����,并提出改進(jìn)數(shù)據(jù)安全的建議。
第二份報(bào)告《對(duì)數(shù)據(jù)安全�����、同意和選擇退出的審查》(“Review of Data Security�����, Consent and Opt-Outs”)是由英國“國家健康和醫(yī)療數(shù)據(jù)守護(hù)者”(National Data Guardian for Health and Care�����, NDG)��。2015年9月�,英國衛(wèi)生大臣也委托其與CQC緊密合作,共同提出新的數(shù)據(jù)安全標(biāo)準(zhǔn)����、測評(píng)數(shù)據(jù)安全合規(guī)的新方法,以及獲取同意共享數(shù)據(jù)的新模式��。在英國���,NDG由衛(wèi)生大臣任命��,其主要職責(zé)是確保公眾能夠信任醫(yī)療健康系統(tǒng)將保護(hù)個(gè)人信息�����,以及個(gè)人信息將被用于提高健康醫(yī)療水平�。
CQC和NDG在對(duì)533起數(shù)據(jù)安全事故調(diào)查后發(fā)現(xiàn)�����,大多數(shù)事故與紙質(zhì)的醫(yī)療記錄相關(guān)�,且80%到90%的數(shù)據(jù)安全事故是因?yàn)楣ぷ魅藛T的習(xí)慣無意之中引起的���,比如點(diǎn)擊了不安全的鏈接、丟失了存儲(chǔ)數(shù)據(jù)的介質(zhì)等���。但是隨著醫(yī)療信息系統(tǒng)的普及���、數(shù)據(jù)的逐步集中化及對(duì)公眾開放訪問入口,如果不提升安全防護(hù)水平���,更嚴(yán)重�、更大規(guī)模數(shù)據(jù)泄露的風(fēng)險(xiǎn)將會(huì)增加���。綜合CQC和NDG的報(bào)告�,英國NHS數(shù)據(jù)安全工作中存在以下問題:
首先����,雖然很多機(jī)構(gòu)都建立了數(shù)據(jù)安全方面的策略與規(guī)程,但并沒有在日常工作中得到有效實(shí)施�����,很多機(jī)構(gòu)只依賴策略和規(guī)程����,而不是通過檢測驗(yàn)證系統(tǒng)是否足夠安全,也未要求其供應(yīng)商也遵循同樣的管理措施�����。
其次����,NHS的絕大部分工作人員認(rèn)可數(shù)據(jù)安全的重要性,但是培訓(xùn)質(zhì)量參差不齊��,有些機(jī)構(gòu)培訓(xùn)覆蓋面不夠�,未涉及合同商、數(shù)據(jù)共享方��、臨時(shí)員工等��,有些機(jī)構(gòu)未將安全事故經(jīng)驗(yàn)作為培訓(xùn)內(nèi)容的重要參考�����。
再次�����,機(jī)構(gòu)往往不清楚如何從目前存在的大量安全標(biāo)準(zhǔn)中選取合適的參考,許多機(jī)構(gòu)很少去學(xué)習(xí)其他機(jī)構(gòu)保護(hù)數(shù)據(jù)安全的做法���,也很少請(qǐng)外部第三方機(jī)構(gòu)做專業(yè)的安全測評(píng)����。
針對(duì)上述問題����,CQC和NDG提出的建議簡要概括如下:第一,每個(gè)機(jī)構(gòu)的領(lǐng)導(dǎo)應(yīng)該明確數(shù)據(jù)安全的責(zé)任人和其職責(zé)����,類似于組織醫(yī)療事務(wù)和財(cái)務(wù)的管理和問責(zé)制度,包括建立有效的內(nèi)審機(jī)制�����,必要時(shí)進(jìn)行外審以驗(yàn)證安全措施有效性���,對(duì)惡意類數(shù)據(jù)安全事件進(jìn)行嚴(yán)厲處罰等��;第二����,所有的工作人員應(yīng)該獲得足夠的資源�����,包括正確的信息��、工具���、培訓(xùn)等����,以便于他們履行數(shù)據(jù)安全處理和共享的職責(zé)��;第三�����,IT系統(tǒng)和所有的安全協(xié)議都應(yīng)該按照實(shí)際的病人治療過程和一線工作人員的需求進(jìn)行設(shè)計(jì)�;第四,應(yīng)該按照新的數(shù)據(jù)標(biāo)準(zhǔn)要求設(shè)計(jì)自評(píng)估系統(tǒng)��,并選取優(yōu)秀的案例供其他機(jī)構(gòu)進(jìn)行同步學(xué)習(xí)����;第五���,NHS應(yīng)該修改通用財(cái)務(wù)合同模板,確保各機(jī)構(gòu)能夠落實(shí)數(shù)據(jù)安全標(biāo)準(zhǔn)�����,地方機(jī)構(gòu)和供應(yīng)商簽署的合同也應(yīng)有相應(yīng)的條款����,當(dāng)供應(yīng)商無法滿足安全要求時(shí)不應(yīng)與其續(xù)簽合同。
雖然NHS以及care.data計(jì)劃在數(shù)據(jù)安全管理方面受到詬病��,但從以上審查結(jié)果中不難看出����,英國作為健康和醫(yī)療大數(shù)據(jù)集中應(yīng)用的先行者,已經(jīng)在數(shù)據(jù)安全方面做了很多有價(jià)值的工作��,比如配套的法律法規(guī)����、標(biāo)準(zhǔn)規(guī)范,任命了專門的數(shù)據(jù)保護(hù)官員����,建立了獨(dú)立的監(jiān)管和審計(jì)機(jī)構(gòu)�����,建立了數(shù)據(jù)安全風(fēng)險(xiǎn)管理的信息系統(tǒng)等。
但是����,由于健康和醫(yī)療數(shù)據(jù)的高度敏感性,對(duì)其進(jìn)行集中存儲(chǔ)和管理后�,一方面會(huì)引起惡意人員的高度關(guān)注,另一方面一旦發(fā)生數(shù)據(jù)泄露其影響面非常廣�,對(duì)于每個(gè)病人來說其后果很難挽回;因此�����,健康醫(yī)療數(shù)據(jù)的安全工作可謂難上加難�����,即便英國具備一定的基礎(chǔ)�����,其數(shù)據(jù)安全治理也未在一開始取得理想的效果,但從近期頻繁的安全審查中可以看出���,英國政府建立的數(shù)據(jù)安全監(jiān)督機(jī)構(gòu)��、數(shù)據(jù)保護(hù)官等正在發(fā)揮積極作用��,正視已出現(xiàn)的問題并提出注重實(shí)效的解決方案���,以重新贏回公眾的信任。
善治病者����,必醫(yī)其受病之處
――我國健康醫(yī)療數(shù)據(jù)安全形勢嚴(yán)峻
早在2013年底,國家衛(wèi)生和計(jì)劃生育委員會(huì)就了《關(guān)于加快推進(jìn)人口健康信息化建設(shè)的指導(dǎo)意見》�����,提出在“十三五”期間將大力推動(dòng)全國人口健康信息大平臺(tái)的建設(shè)��。從安全需求上來說�����,這個(gè)信息平臺(tái)一是將承載全國13億公民的人口��、健康、醫(yī)療等隱私信息��,數(shù)據(jù)保密性要求高����;二是將提供公民個(gè)人醫(yī)療保障、診療等信息化服務(wù)不能中斷���,業(yè)務(wù)連續(xù)性要求高;三是將為國家衛(wèi)生計(jì)生行業(yè)未來發(fā)展提供決策依據(jù)�,信息容錯(cuò)率要求高。然而目前�,我國在健康醫(yī)療數(shù)據(jù)安全保障方面情況堪憂,行業(yè)整體安全態(tài)勢趨于嚴(yán)峻���。主要問題包括:
首先�����,行業(yè)合并導(dǎo)致底數(shù)不清����。衛(wèi)生�����、計(jì)生行業(yè)合并時(shí)間并不算太長,業(yè)務(wù)層面的整合已初步實(shí)現(xiàn)�,但數(shù)據(jù)層面的整合尚屬起步階段,在實(shí)際執(zhí)行過程中易滋生死角盲區(qū)����。從網(wǎng)上已公開的醫(yī)療行業(yè)信息安全事件中不難發(fā)現(xiàn),絕大多數(shù)安全事件的第一步突破點(diǎn)來自于安全管控體系的“法外之地”���。
其次�,行業(yè)信息安全人才與經(jīng)費(fèi)保障缺口較大���。據(jù)不完全統(tǒng)計(jì)�����,醫(yī)療行業(yè)2015年整體信息化建設(shè)資金超過300億���,但信息安全投入不足6億,占比不足2%�����,而對(duì)于有較高安全保障要求的行業(yè),安全占比普遍超過10%���;在人才隊(duì)伍方面�,專業(yè)信息安全從業(yè)人員嚴(yán)重缺失�����,許多機(jī)構(gòu)甚至出現(xiàn)“身著白大褂的大夫在看病之余兼職管安全”的狀況����。
再次,缺乏具備行業(yè)特色的信息安全指導(dǎo)框架����。健康醫(yī)療行業(yè)特殊性較高���,目前行業(yè)雖然已推行國家信息安全等級(jí)保護(hù)要求�,但尚未建設(shè)具備行業(yè)業(yè)務(wù)特點(diǎn)的信息安全保障體系��,也沒有專門的行業(yè)信息安全技術(shù)標(biāo)準(zhǔn)����,不利于有針對(duì)性地開展安全防護(hù)工作��。
第四����,行業(yè)網(wǎng)絡(luò)涉及面廣����,不易管控。我國醫(yī)療衛(wèi)生機(jī)構(gòu)總數(shù)已超百萬�����,以藥品方面為例���,我國有6000多家化學(xué)制藥企業(yè)�����,藥品經(jīng)營流通企業(yè)17000多家���,而作為世界制藥大國的美國,才分別為200多家和50多家�。超大規(guī)模、超復(fù)雜接入對(duì)構(gòu)建安全的衛(wèi)生計(jì)生網(wǎng)絡(luò)來說�����,難度巨大。
另外�,不易樹立行業(yè)信息安全標(biāo)桿。全國醫(yī)療信息化及軟件生產(chǎn)供應(yīng)商達(dá)數(shù)百家�。以行業(yè)龍頭東軟集團(tuán)為例,其擁有的市場份額不足5%����,離散化的分布導(dǎo)致安全的最佳實(shí)踐無法快速復(fù)制推廣,在現(xiàn)有保障能力下也很難做到“避輕就重”“抓大放小”���。
篇5
關(guān)鍵詞:XBRL 審計(jì) 影響 應(yīng)對(duì)措施
中國XBRL系列國家標(biāo)準(zhǔn)自2011年1月1日起全面實(shí)施�����,企業(yè)會(huì)計(jì)通用分類標(biāo)準(zhǔn)在美國紐約證券交易所上市的我國部分公司�����、部分證券期貨資格會(huì)計(jì)師事務(wù)所首先執(zhí)行,自此我國已全面啟動(dòng)XBRL建設(shè)����。XBRL的應(yīng)用和推廣將會(huì)給財(cái)務(wù)報(bào)告供應(yīng)鏈各個(gè)環(huán)節(jié)帶來深刻變革�����,審計(jì)作為其中一環(huán)勢必會(huì)受到這一變革的深遠(yuǎn)影響�����。
一��、XBRL對(duì)審計(jì)的影響
XBRL對(duì)審計(jì)的影響主要體現(xiàn)在以下幾個(gè)方面:
1��、 審計(jì)對(duì)象范圍擴(kuò)大
XBRL環(huán)境下審計(jì)人員首先面對(duì)的是鑒證對(duì)象在存在形式����、結(jié)構(gòu)組成及傳輸形態(tài)上的改變�����。被審單位財(cái)務(wù)信息的XBRL文檔可經(jīng)XBRL格式轉(zhuǎn)換器轉(zhuǎn)換得到或由內(nèi)嵌XBRL適配器的會(huì)計(jì)軟件����、ERP系統(tǒng)直接生成。此時(shí)審計(jì)人員不僅要關(guān)注XBRL財(cái)務(wù)數(shù)據(jù)本身的公允性�、合法性,還應(yīng)審計(jì)包括生成XBRL數(shù)據(jù)的整個(gè)企業(yè)會(huì)計(jì)信息系統(tǒng)可靠性����,這使得審計(jì)對(duì)象范圍擴(kuò)大�。
2�����、 審計(jì)風(fēng)險(xiǎn)增加
XBRL環(huán)境下除了傳統(tǒng)審計(jì)風(fēng)險(xiǎn)外����,還包括:一、XBRL文檔由被審單位企業(yè)財(cái)務(wù)信息系統(tǒng)生成���,審計(jì)范圍已不限于財(cái)務(wù)數(shù)據(jù)�,增加了XBRL生成系統(tǒng)的檢查風(fēng)險(xiǎn)����;二、源自被審單位能否正確運(yùn)用分類標(biāo)準(zhǔn)���,標(biāo)簽與數(shù)據(jù)的映射是否完整��、準(zhǔn)確的重大錯(cuò)報(bào)風(fēng)險(xiǎn);三�、由于XBRL和企業(yè)財(cái)務(wù)信息系統(tǒng)置于網(wǎng)絡(luò)環(huán)境中��,XBRL實(shí)例文檔面臨被非法篡改而導(dǎo)致的安全風(fēng)險(xiǎn)�����。
3��、 審計(jì)技術(shù)改進(jìn)
隨著XBRL的廣泛應(yīng)用���,XBRL成為審計(jì)的強(qiáng)大助力?���;赬BRL的會(huì)計(jì)系統(tǒng)審計(jì)中,審計(jì)人員可以利用XBRL數(shù)據(jù)接口采集原始數(shù)據(jù)至審計(jì)數(shù)據(jù)庫�����,變分散數(shù)據(jù)為數(shù)據(jù)聚集�����,利用聚類關(guān)聯(lián)��、統(tǒng)計(jì)分析等數(shù)據(jù)挖掘方法從海量數(shù)據(jù)中發(fā)現(xiàn)隱含的、潛在的規(guī)律或蛛絲馬跡����。數(shù)據(jù)分析廣泛應(yīng)用于審計(jì)過程中,而不僅限于實(shí)質(zhì)性測試程序����。借助XBRL數(shù)據(jù)庫平臺(tái),審計(jì)人員既可以“下鉆”到被審單位財(cái)務(wù)信息系統(tǒng)的底層數(shù)據(jù)��,也可以便利地查閱他人利用已公布的財(cái)務(wù)與業(yè)務(wù)數(shù)據(jù)編制的分析報(bào)告��。
借助于網(wǎng)絡(luò),審計(jì)取證模式實(shí)現(xiàn)了審計(jì)資料收集與不同企業(yè)信息系統(tǒng)的平臺(tái)無關(guān)性,具有廣闊的適用范圍����。審計(jì)人員無需深入了解不同信息系統(tǒng)的具體數(shù)據(jù)結(jié)構(gòu)即可獲得所需審計(jì)證據(jù),減少人工干預(yù),從而提高審計(jì)效率和正確性。
4��、審計(jì)報(bào)告模式變革
傳統(tǒng)的審計(jì)從企業(yè)會(huì)計(jì)報(bào)告完成到審計(jì)報(bào)告完稿�����,往往間隔幾個(gè)月��,時(shí)效性不強(qiáng)���,且往往發(fā)生期后事項(xiàng)���,須在審計(jì)報(bào)告中追加披露。XBRL和網(wǎng)絡(luò)技術(shù)的應(yīng)用�,使隨時(shí)獲取會(huì)計(jì)信息成為可能,為實(shí)時(shí)審計(jì)的實(shí)現(xiàn)鋪平了道路����。從報(bào)告內(nèi)容和結(jié)構(gòu)來看,現(xiàn)行審計(jì)報(bào)告對(duì)被審單位的預(yù)測信息披露較少�,隨著XBRL應(yīng)用于審計(jì),審計(jì)人員更容易找出企業(yè)經(jīng)營中的“規(guī)律”�,對(duì)企業(yè)經(jīng)營預(yù)測做出可靠的判斷,使事前預(yù)測和控制成為可能�,未來預(yù)測信息及會(huì)計(jì)事項(xiàng)在XBRL環(huán)境下成為審計(jì)鑒證的重點(diǎn)之一。
5���、對(duì)審計(jì)人員的全新要求
XBRL對(duì)審計(jì)人員的素質(zhì)和知識(shí)技能提出了全新的要求��。XBRL的實(shí)施需要的是跨會(huì)計(jì)���、IT的復(fù)合型人才,審計(jì)人員除了要求精通經(jīng)濟(jì)�����、財(cái)會(huì)、企業(yè)管理等多方面的知識(shí)����,還需要掌握信息系統(tǒng)應(yīng)用技術(shù)、數(shù)據(jù)庫應(yīng)用技術(shù)��、互聯(lián)網(wǎng)環(huán)境下的財(cái)務(wù)報(bào)告和鑒證技術(shù)(如XML�����、XBRL�、XARL)等;雖然大部分審計(jì)工作可能通過相關(guān)軟件工具即可完成�����,但擁有復(fù)合型知識(shí)無疑更有利于對(duì)審計(jì)工作的展開以及業(yè)務(wù)的擴(kuò)展升級(jí)��。
二��、應(yīng)對(duì)措施
XBRL給審計(jì)帶來了新的發(fā)展機(jī)遇�,同時(shí)也提出了挑戰(zhàn),面對(duì)挑戰(zhàn)需要從技術(shù)�、資源����、人員素質(zhì)及理論與法規(guī)等方面加強(qiáng)建設(shè)����。
1�、 加強(qiáng)軟件開發(fā)支持
XBRL數(shù)據(jù)轉(zhuǎn)換及生成、XBRL文檔的審核和管理以及自動(dòng)分析是審計(jì)能否應(yīng)對(duì)新變化的關(guān)鍵技術(shù)�����。相關(guān)財(cái)務(wù)軟件商應(yīng)大力開發(fā)XBRL嵌入式應(yīng)用的財(cái)務(wù)軟件��,增加ERP或會(huì)計(jì)軟件的XBRL生成能力���,實(shí)現(xiàn)開發(fā)�����、擴(kuò)展和管理分類標(biāo)準(zhǔn)��、創(chuàng)建和管理報(bào)表�����,以及開發(fā)網(wǎng)上電子填報(bào)至XBRL數(shù)字報(bào)告生成一體化解決方案的XBRL平臺(tái)����。進(jìn)而將研究重點(diǎn)轉(zhuǎn)至數(shù)據(jù)挖掘、專家系統(tǒng)等方向�����,從而整體提高審計(jì)的智能化應(yīng)用和整體水平��。
2�、 建立基于XBRL的公共信息平臺(tái)
該平臺(tái)包括公司財(cái)務(wù)信息、審計(jì)信息����、稅務(wù)信息、工商信息等���,這些信息在統(tǒng)一的數(shù)據(jù)庫或數(shù)據(jù)倉庫中相互援引�����,一方面可以實(shí)現(xiàn)審計(jì)系統(tǒng)與其他監(jiān)督系統(tǒng)的信息交流�,實(shí)現(xiàn)數(shù)據(jù)共享����,發(fā)揮數(shù)據(jù)發(fā)掘潛力��,提高審計(jì)效率�����,降低審計(jì)成本���。另一方面也可以組建戰(zhàn)略合作性的審計(jì)網(wǎng)絡(luò)��,強(qiáng)化審計(jì)領(lǐng)域的縱向和橫向數(shù)據(jù)傳輸��,資源共享����。例如普華永道的內(nèi)部數(shù)據(jù)平臺(tái)可以實(shí)現(xiàn)跨界服務(wù),對(duì)來自全球超過7萬5千家上市公司的信息披露文檔進(jìn)行評(píng)估的時(shí)候��,其員工能夠快速地獲取�����、創(chuàng)建�����、分享和調(diào)整用于分析的模型、數(shù)據(jù)和可視化選項(xiàng)�����?�?上朐摷夹g(shù)推廣到整個(gè)注冊(cè)會(huì)計(jì)師行業(yè)的巨大潛力�����。
3����、 構(gòu)建多層次的信息安全體系
XBRL格式信息其所有內(nèi)容都是以數(shù)字形式流通于互聯(lián)網(wǎng)上,因此要保證交流雙方進(jìn)行安全數(shù)據(jù)傳輸�����,需要建立安全保障體系�����。一是要保障數(shù)據(jù)存儲(chǔ)安全��,建立包括如訪問控制、數(shù)據(jù)庫安全����、防火墻等保障措施。二是要保障信息通訊安全����。可以構(gòu)建審計(jì)機(jī)構(gòu)和被審計(jì)單位之間安全的VPN通信網(wǎng)絡(luò)��,不但提供及時(shí)的安全信息交流而且可以大大節(jié)約通信雙方的費(fèi)用�����,還可通過該VPN網(wǎng)絡(luò)��,配置相應(yīng)的軟件��,實(shí)現(xiàn)對(duì)被審單位的實(shí)時(shí)監(jiān)控���。此外,切實(shí)做好XBRL數(shù)據(jù)庫的備份�����,以應(yīng)對(duì)網(wǎng)絡(luò)環(huán)境下內(nèi)外數(shù)據(jù)資源和信息系統(tǒng)安全隱患。
4����、 加強(qiáng)人員的培訓(xùn)和復(fù)合型團(tuán)隊(duì)建設(shè)
為應(yīng)對(duì)XBRL審計(jì)的挑戰(zhàn),一方面加強(qiáng)人員的培訓(xùn)工作���,培養(yǎng)復(fù)合型人才����;另一方面構(gòu)建復(fù)合型團(tuán)隊(duì)��,通過經(jīng)濟(jì)�����、財(cái)會(huì)��、計(jì)算機(jī)��、企業(yè)管理等多方面人才的通力配合�����、默契協(xié)作,應(yīng)對(duì)XBRL審計(jì)需求����。
5、 構(gòu)建信息系統(tǒng)審計(jì)概念框架
XBRL為審計(jì)信息化建設(shè)搭建了一個(gè)平臺(tái)��,然而信息系統(tǒng)審計(jì)目前還沒有形成規(guī)范理論���,應(yīng)當(dāng)從實(shí)踐出發(fā)����,研究XBRL環(huán)境下信息系統(tǒng)審計(jì)的審計(jì)風(fēng)險(xiǎn)����、業(yè)務(wù)流程和智能審計(jì)的技術(shù)方法。在理論的指導(dǎo)下結(jié)合審計(jì)實(shí)踐加強(qiáng)計(jì)算機(jī)審計(jì)準(zhǔn)則的確立與完善�。例如對(duì)xbrl文件和分類標(biāo)準(zhǔn)應(yīng)用的審計(jì)準(zhǔn)則、對(duì)生成xbrl信息系統(tǒng)的審計(jì)準(zhǔn)則等���。應(yīng)盡快構(gòu)建以理論為基礎(chǔ),以準(zhǔn)則為指導(dǎo)的計(jì)算機(jī)審計(jì)概念框架��。
三�、結(jié)語
可以預(yù)見,XBRL的推廣應(yīng)用將會(huì)提高審計(jì)效率,減輕審計(jì)人員工作負(fù)荷��,使審計(jì) 人員更多地投入對(duì)被審單位的深度分析����,提高審計(jì)工作的附加價(jià)值,提高審計(jì)信息化水平�。XBRL的推廣應(yīng)用為審計(jì)智能化、實(shí)時(shí)化發(fā)展提供了良好契機(jī)�,只有抓住機(jī)會(huì),應(yīng)對(duì)挑戰(zhàn)�����,審計(jì)才能在新的環(huán)境下提升自身的價(jià)值���,向更高更深遠(yuǎn)的方向發(fā)展�。
篇6
關(guān)鍵詞: 網(wǎng)絡(luò)財(cái)務(wù)�����;安全問題�;對(duì)策
中圖分類號(hào):F812.0 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1001-828X(2013)02-0-01
一、網(wǎng)絡(luò)財(cái)務(wù)的安全問題
(一)原始數(shù)據(jù)的安全問題
傳統(tǒng)會(huì)計(jì)中的原始憑證因筆跡各異具有可辨認(rèn)性����,因多聯(lián)復(fù)寫具有相互牽制性�,難以非法修改�����。而在以電子商務(wù)為主要內(nèi)容的網(wǎng)絡(luò)會(huì)計(jì)中��,原始憑證的數(shù)據(jù)轉(zhuǎn)變成磁性介質(zhì)����,對(duì)電子數(shù)據(jù)的刪除或修改可以不留任何痕跡,給原始數(shù)據(jù)的安全帶來很多隱患��。
(二)會(huì)計(jì)信息的真實(shí)性問題
一方面�,網(wǎng)絡(luò)財(cái)務(wù)是一個(gè)開放的會(huì)計(jì)系統(tǒng),一些企業(yè)內(nèi)部和外部計(jì)算機(jī)高手出于某種利益����,故意破壞系統(tǒng)的安全,盜取會(huì)計(jì)資料��、篡改會(huì)計(jì)信息�;財(cái)務(wù)硬件設(shè)施偶然故障;財(cái)務(wù)人員操作不當(dāng)都會(huì)造成會(huì)計(jì)信息的失真����、缺乏完整。另一方面��,網(wǎng)絡(luò)技術(shù)下�,會(huì)計(jì)信息透明度是非常高的。其在互聯(lián)網(wǎng)上傳播速度非??欤?cái)務(wù)數(shù)據(jù)的收集及大量經(jīng)濟(jì)業(yè)務(wù)處理也缺乏有效的確實(shí)標(biāo)識(shí)�,這將直接影響會(huì)計(jì)信息數(shù)據(jù)庫系統(tǒng)中派生的會(huì)計(jì)賬簿和會(huì)計(jì)報(bào)表的真實(shí)性和準(zhǔn)確性,從而使網(wǎng)上會(huì)計(jì)信息的真實(shí)性受到質(zhì)疑����。同時(shí),信息使用者和提供者的理解差異都會(huì)給企業(yè)會(huì)計(jì)信息帶來失真的風(fēng)險(xiǎn)���。
(三)企業(yè)內(nèi)部控制問題
在網(wǎng)絡(luò)財(cái)務(wù)軟件中��,會(huì)計(jì)信息的處理和存儲(chǔ)集中于網(wǎng)絡(luò)系統(tǒng)��,大量不同的會(huì)計(jì)業(yè)務(wù)交叉在一起���,財(cái)務(wù)信息復(fù)雜,交叉速度加快��,使傳統(tǒng)會(huì)計(jì)系統(tǒng)中某些職權(quán)分工的控制失效。網(wǎng)絡(luò)的應(yīng)用減少了人工輸入環(huán)節(jié)�,數(shù)據(jù)訪問和數(shù)據(jù)交換都通過應(yīng)用服務(wù)器進(jìn)行,網(wǎng)絡(luò)數(shù)據(jù)處理的集中性使得傳統(tǒng)的組織控制功能減弱����。網(wǎng)絡(luò)計(jì)算機(jī)集成化處理促使傳統(tǒng)手工會(huì)計(jì)中制單、記賬�����、復(fù)核等崗位相互制約關(guān)系弱化��。原來靠賬簿核對(duì)糾正差錯(cuò)的控制已不復(fù)存在�����,光�����、電���、磁介質(zhì)所載信息能不留痕跡地被修改和刪除�,從而加大了會(huì)計(jì)系統(tǒng)安全控制的難度�。
(四)網(wǎng)絡(luò)會(huì)計(jì)人員素質(zhì)問題
網(wǎng)絡(luò)財(cái)務(wù)需要大批既懂會(huì)計(jì)又懂管理�����;既熟悉電算化知識(shí),又熟悉網(wǎng)絡(luò)知識(shí)����;既會(huì)業(yè)務(wù)操作,又能解決實(shí)際問題的會(huì)計(jì)人員�。目前相當(dāng)數(shù)量的會(huì)計(jì)人員的專業(yè)知識(shí)薄弱,尚不能適應(yīng)網(wǎng)絡(luò)會(huì)計(jì)的發(fā)展要求���。因此���,會(huì)計(jì)人員素質(zhì)不高也是網(wǎng)絡(luò)會(huì)計(jì)發(fā)展中面臨的一個(gè)問題。
針對(duì)上述問題�,我們應(yīng)從信息安全、內(nèi)部制度和人才應(yīng)用等幾方面采取相應(yīng)的措施���。
二��、對(duì)網(wǎng)絡(luò)財(cái)務(wù)發(fā)展的對(duì)策建議
(一)會(huì)計(jì)信息系統(tǒng)安全對(duì)策
會(huì)計(jì)信息系統(tǒng)是一種特殊的信息系統(tǒng)�����,它除了一般信息系統(tǒng)的安全特征外����,還具有自身的一些安全特點(diǎn)。會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)是指由于人為的或非人為的因素使會(huì)計(jì)信息系統(tǒng)保護(hù)安全的能力的減弱�,從而產(chǎn)生系統(tǒng)的信息失真、失竊����,使單位的財(cái)產(chǎn)遭受損失,系統(tǒng)的硬件�����、軟件無法正常運(yùn)行等結(jié)果發(fā)生的可能性����。保障會(huì)計(jì)信息系統(tǒng)安全對(duì)會(huì)計(jì)信息安全有著重要的意義。
保障會(huì)計(jì)信息安全的措施有二個(gè)方面:一是采用有效安全技術(shù)���,網(wǎng)絡(luò)財(cái)務(wù)軟件采用兩層加密技術(shù)�。為防止非法用戶竊取機(jī)密信息和非授權(quán)用戶越權(quán)操作數(shù)據(jù)���,在系統(tǒng)的客戶終端和服務(wù)器之間傳輸?shù)乃袛?shù)據(jù)都進(jìn)行兩層加密�,確保會(huì)計(jì)信息的傳輸安全。二是制定和實(shí)施安全管理措施���。根據(jù)會(huì)計(jì)電算化要求���,建立健全崗位責(zé)任制度、安全日志等相關(guān)制度規(guī)定��。
(二)內(nèi)部控制措施
為了保證會(huì)計(jì)信息的準(zhǔn)確性和可靠性���,企業(yè)應(yīng)在內(nèi)部采取必要的控制措施,來維護(hù)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全�����。
(1)組織與管理控制����。一是要設(shè)置網(wǎng)絡(luò)管理中心,由網(wǎng)管中心全盤規(guī)劃����,采取措施確保各工作站、終端和人員之間適當(dāng)?shù)穆氊?zé)分離����。二是要優(yōu)化配置人力資源����。制定措施��,確保人力資源的合理利用�。三是要發(fā)揮內(nèi)部審計(jì)的作用。通過內(nèi)部審計(jì)部門對(duì)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)信息質(zhì)量進(jìn)行獨(dú)立和公正地監(jiān)督與評(píng)價(jià)���,有利于系統(tǒng)內(nèi)部自我約束機(jī)制的建立���。
(2)系統(tǒng)開發(fā)控制。系統(tǒng)開發(fā)控制是為保證網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)開發(fā)過程中各項(xiàng)活動(dòng)的合法性和有效性而設(shè)計(jì)的控制措施�,它貫穿于系統(tǒng)規(guī)劃、系統(tǒng)分析����、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施和系統(tǒng)運(yùn)行測試與維護(hù)各個(gè)階段��。其主要內(nèi)容包括:第一���,明確開發(fā)目標(biāo)��,制定管理計(jì)劃��,監(jiān)督開發(fā)質(zhì)量����,檢查各功能模塊設(shè)置的合理性及程序設(shè)計(jì)的可靠性,提高系統(tǒng)的可審性��。第二��,利用網(wǎng)絡(luò)在線測試功能��,檢驗(yàn)整個(gè)系統(tǒng)的完整性���,并應(yīng)對(duì)系統(tǒng)抗干擾能力和發(fā)生突發(fā)事件的應(yīng)變能力以及系統(tǒng)遭遇破壞后的恢復(fù)能力進(jìn)行重點(diǎn)測試。第三�,一旦發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)各類軟件可能存在的安全漏洞,應(yīng)立即進(jìn)行在線修補(bǔ)與升級(jí)�����,并將所有與軟件修改有關(guān)的記錄報(bào)告及時(shí)存儲(chǔ)歸檔���。
(3)網(wǎng)絡(luò)系統(tǒng)安全控制�����。第一����,硬件設(shè)置安全控制。應(yīng)制定網(wǎng)絡(luò)計(jì)算機(jī)機(jī)房和設(shè)置的管理制度��、崗位職責(zé)和操作規(guī)程���,嚴(yán)格禁止無關(guān)人員接觸系統(tǒng)�����,關(guān)鍵的硬件設(shè)置可采用雙系統(tǒng)備份���。第二,系統(tǒng)軟件安全控制��。嚴(yán)格控制系統(tǒng)軟件的安裝與修改����,對(duì)系統(tǒng)軟件進(jìn)行定期檢查�,系統(tǒng)被破壞時(shí)�,要求系統(tǒng)軟件具備緊急響應(yīng)、強(qiáng)制備份�、快速恢復(fù)的功能。第三����,會(huì)計(jì)信息安全控制。會(huì)計(jì)信息安全的基礎(chǔ)是密碼����。如通信線路上的數(shù)據(jù)流加密,數(shù)據(jù)庫中的數(shù)據(jù)文件加密�����,及訪問者的身份認(rèn)證等���。除此之外,模式識(shí)別的方法也在網(wǎng)絡(luò)信息安全方面得到應(yīng)用�����。
(4)應(yīng)用控制�����。應(yīng)用控制是指在網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的數(shù)據(jù)輸入、通訊���、處理和輸出環(huán)節(jié)所采用的控制程度和措施����。第一�����,輸入控制�。輸入控制的重點(diǎn)在于建立適當(dāng)?shù)氖跈?quán)和審批機(jī)制,并對(duì)輸入數(shù)據(jù)的準(zhǔn)確性進(jìn)行校驗(yàn)��。第二�,通訊控制。通訊控制的重點(diǎn)在于批量控制���,業(yè)務(wù)時(shí)序控制����、數(shù)據(jù)編碼控制與發(fā)放和接收的標(biāo)識(shí)控制等����。第三�����,處理控制��。處理控制的重點(diǎn)在于處理過程的現(xiàn)場控制��、數(shù)據(jù)有效性檢測和錯(cuò)誤糾正控制等����。第四��,數(shù)據(jù)輸出控制���。輸出控制的重點(diǎn)在于數(shù)據(jù)稽核控制���,授權(quán)輸出控制和打印程序控制等。
(三)建立安全防范機(jī)制
安全問題是網(wǎng)絡(luò)財(cái)務(wù)發(fā)展中不可回避的重要問題�。在網(wǎng)絡(luò)財(cái)務(wù)中�����,處在網(wǎng)絡(luò)中的任意一臺(tái)計(jì)算機(jī)都可獲得其他計(jì)算機(jī)的信息資源,本企業(yè)的網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)隨時(shí)都可能受到威脅�����,企業(yè)的財(cái)務(wù)數(shù)據(jù)等重大商業(yè)機(jī)密很容易遭到破壞或泄密�,這將造成不可估量的損失,因而保證網(wǎng)上財(cái)務(wù)信息安全可靠成為了關(guān)注的焦點(diǎn)����。建立安全防范機(jī)制,保障網(wǎng)絡(luò)系統(tǒng)的安全性是我們必須要做的工作��。
保障網(wǎng)絡(luò)系統(tǒng)的安全性:首先���,建立一個(gè)安全��、可靠的通信網(wǎng)絡(luò)是非常必要的���,這樣可以確保會(huì)計(jì)信息快速安全傳遞;其次���,制定網(wǎng)絡(luò)計(jì)算機(jī)機(jī)房和設(shè)備的管理制度��、崗位職責(zé)和操作規(guī)程����,嚴(yán)格禁止無關(guān)人員接觸系統(tǒng),加強(qiáng)網(wǎng)絡(luò)財(cái)務(wù)的硬件系統(tǒng)安全����;第三,加強(qiáng)系統(tǒng)軟件安全控制����。建立定時(shí)檢查更新制度,定期對(duì)網(wǎng)絡(luò)財(cái)務(wù)系進(jìn)行維護(hù) 更新����,確保數(shù)據(jù)庫信息的真實(shí)完整,把一些陳舊的會(huì)計(jì)信息保存起來��,及時(shí)上傳新的會(huì)計(jì)信息����,以便投資者及時(shí)用于投資決策。 第四��,技術(shù)防范措施�。一些黑客為了獲取企業(yè)重要的、秘密的信息非法對(duì)網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)的入侵,或者采用病毒對(duì)企業(yè)網(wǎng)絡(luò)財(cái)務(wù)信息進(jìn)行攻擊�,使企業(yè)會(huì)計(jì)信息流失����。為了防范這種人為的侵襲,應(yīng)采取設(shè)置防火墻���、身份認(rèn)證和授權(quán)管理�、設(shè)立密鑰等安全技術(shù)�,限制外界故意的侵入,用以隔離開局應(yīng)用系統(tǒng)與外界訪問區(qū)域之間的聯(lián)系���,限制外界穿過訪問區(qū)域?qū)W(wǎng)絡(luò)應(yīng)用系統(tǒng)服務(wù)器尤其是對(duì)會(huì)計(jì)數(shù)據(jù)庫系統(tǒng)的非法訪問�����;加強(qiáng)原有的基本賬戶和口令的控制��,提供授權(quán)訪問控制和用戶身份識(shí)別�。
(四)企業(yè)人才策略
企業(yè)要順應(yīng)市場的競爭���,首先要引進(jìn)高層次會(huì)計(jì)人才����,其次,要有計(jì)劃�、有步驟、有針對(duì)性地組織開展會(huì)計(jì)人員的培訓(xùn)工作�。改善會(huì)計(jì)人員的知識(shí)結(jié)構(gòu),不斷進(jìn)行知識(shí)更新�����。提高會(huì)計(jì)人員的計(jì)算機(jī)應(yīng)用水平�,特別是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù),培養(yǎng)熟悉科技與管理知識(shí)的復(fù)合型會(huì)計(jì)人才��,以適應(yīng)國際競爭需要�����。
篇7
一��、農(nóng)機(jī)監(jiān)理電子檔案所包括的主要內(nèi)容
農(nóng)機(jī)監(jiān)理電子檔案主要包括全市拖拉機(jī)及駕駛員電子檔案�����、外省籍駕駛證及拖拉機(jī)登記電子檔案��。采用的是浙江省農(nóng)機(jī)監(jiān)理業(yè)務(wù)系統(tǒng)軟件,整個(gè)軟件分為牌證受理崗�、牌證管理崗、考試崗和檔案管理崗四個(gè)崗位�。在一崗中主要進(jìn)行拖拉機(jī)注冊(cè)登記、轉(zhuǎn)入登記���、變更登記、轉(zhuǎn)移登記�����、抵押登記���、注銷登記��、拖拉機(jī)變更備案��、補(bǔ)換牌證���、換發(fā)牌證等牌證受理業(yè)務(wù)。同時(shí)還進(jìn)行拖拉機(jī)駕駛證初次受理�����、增駕受理、轉(zhuǎn)入受理����、其他業(yè)務(wù)受理、管理崗��、違法行為記分�����、駕駛證注銷等業(yè)務(wù)��。在二崗中��,主要對(duì)一崗中受理的拖拉機(jī)及駕駛員檔案業(yè)務(wù)進(jìn)行管理送審�,屬于牌證管理崗的范疇。在三崗中��,主要為考試崗���,對(duì)于在二崗中拖拉機(jī)駕駛員初次受理和增駕受理的人員進(jìn)行科目一�����、二��、三�����、四的考試��,并給予考試評(píng)分���,只有通過科目一、二����、三、四的拖拉機(jī)駕駛員才可在二崗里核發(fā)拖拉機(jī)駕駛證��。在四崗中�,主要是檔案管理崗,主要為拖拉機(jī)及駕駛員檔案歸案���、檔案查詢�、檔案更正���、檔案增補(bǔ)及對(duì)已被注銷的拖拉機(jī)及駕駛員檔案的高級(jí)查詢�。農(nóng)機(jī)監(jiān)理電子檔案的應(yīng)用,可以迅速和準(zhǔn)確地計(jì)算出全市拖拉機(jī)及駕駛員在冊(cè)的擁有量�、年檢年審的情況、農(nóng)機(jī)事故的統(tǒng)計(jì)數(shù)據(jù)和外省籍駕駛證及拖拉機(jī)的登記情況����,給農(nóng)機(jī)監(jiān)理工作帶來了很多便利,大大提高了工作效率�����。
二����、影響農(nóng)機(jī)監(jiān)理電子檔案安生性的不利因素
1.檔案安全保護(hù)意識(shí)薄弱
檔案安全保護(hù)教育不普遍,檔案安全意識(shí)淡薄��,缺乏安全風(fēng)險(xiǎn)意識(shí)��,突出表現(xiàn)在檔案網(wǎng)絡(luò)工作“安全第一�、預(yù)防為主”的意識(shí)不強(qiáng)。檔案服務(wù)及利用人員由于網(wǎng)絡(luò)安全防護(hù)技術(shù)較低和安全防護(hù)意識(shí)不高����,造成的無意侵權(quán)或電子檔案光盤存儲(chǔ)的選擇等問題,都給農(nóng)機(jī)監(jiān)理電子檔案的安全保管帶來威脅��。
2.計(jì)算機(jī)軟硬件的設(shè)備故障
由于農(nóng)機(jī)監(jiān)理的電子檔案一般不能直接利用,它的形成和處理與利用均需借助計(jì)算機(jī)軟硬件設(shè)備的支持才能實(shí)現(xiàn)�。而計(jì)算機(jī)系統(tǒng)是由許多部分組成,每個(gè)部分的薄弱環(huán)節(jié)都極易遭到破壞����。如:數(shù)據(jù)易被誤輸;應(yīng)用軟件易被篡改或盜用����;硬件設(shè)備中的芯片和電子線路易被損壞等。這些故障的發(fā)生都有可能導(dǎo)致農(nóng)機(jī)監(jiān)理電子檔案的丟失或破壞�,從而對(duì)農(nóng)機(jī)監(jiān)理造成不可挽回的損失。
3.電子檔案存儲(chǔ)載體的保護(hù)技術(shù)問題
農(nóng)機(jī)監(jiān)理電子檔案的載體材料是磁性物質(zhì)和光盤���。聚酯底基是磁盤和磁帶的支持體,它具有易產(chǎn)生靜電而吸引塵埃導(dǎo)致卷曲��、易與磁粉脫離��、伸長后不易恢復(fù)等缺點(diǎn)���。粘和劑起著連接底基和磁粉的作用���,它具有易熱脹冷縮���、磨損、脫落���、粘連��、生霉等缺點(diǎn)���,直接影響信息再現(xiàn)。并且磁粉中的磁性氧化物顆粒的剩磁感應(yīng)強(qiáng)度是記錄和再現(xiàn)信息的決定因素���,它極易受外磁場的影響而導(dǎo)致退磁�、消磁等�。目前光盤常用的介質(zhì)主要有碲、碲合金�����、硒��、碳鋁化合物以及一些在激光熱效應(yīng)作用下易產(chǎn)生物化性質(zhì)變化的材料�,這些材料不穩(wěn)定,易氧化��,易與堿溶液發(fā)生反應(yīng)。因此����,電子檔案載體材料的這些特點(diǎn),決定了農(nóng)機(jī)監(jiān)理電子檔案容易受外部環(huán)境的影響�����。
4.計(jì)算機(jī)病毒與黑客的攻擊
計(jì)算機(jī)病毒已成為當(dāng)今破壞計(jì)算機(jī)操作系統(tǒng)的頭號(hào)殺手�,它是一種特殊的具有破壞力的計(jì)算機(jī)程序,具有自我復(fù)制能力�����,會(huì)以各種方式和途徑攻擊計(jì)算機(jī)系統(tǒng)的應(yīng)用軟件和數(shù)據(jù)庫以及硬件設(shè)備��,并可通過非授權(quán)入侵在可執(zhí)行程序或數(shù)據(jù)文件中���,從而造成電子文檔的破壞或系統(tǒng)的癱瘓。此外�����,有些計(jì)算機(jī)黑客也利用電腦網(wǎng)絡(luò)進(jìn)行犯罪活動(dòng)�����,他們伺機(jī)尋找系統(tǒng)和軟件方面的某些缺陷來攻擊,通過破譯口令與密碼而獲取使用權(quán)限����。非法訪問、刪除或修改某些重要電子文檔�,使文件所有者和利用者均遭受巨大損失。
三�、加強(qiáng)農(nóng)機(jī)監(jiān)理電子檔案安全管理的相應(yīng)對(duì)策
1.加強(qiáng)電子檔案安全管理的宣傳教育,增強(qiáng)責(zé)任意識(shí)
要大力普及農(nóng)機(jī)監(jiān)理電子檔案信息安全知識(shí)及網(wǎng)絡(luò)竊密知識(shí)�����,使廣大農(nóng)機(jī)監(jiān)理檔案人員了解電子文檔的特性����,防范農(nóng)機(jī)監(jiān)理電子文檔無意丟失或泄密,提高對(duì)各種攻擊手段的認(rèn)識(shí)和警惕性�,如不隨意下載或安裝不明軟件,不隨意打開陌生電子文件等�����。對(duì)農(nóng)機(jī)監(jiān)理電子檔案保護(hù)意識(shí)融入到檔案的價(jià)值論中,從而營造農(nóng)機(jī)監(jiān)理電子檔案安全保護(hù)新環(huán)境���。
2.充分采用信息備份技術(shù)
信息備份是信息安全保障最重要的輔助措施�,它可以為受損或崩潰的信息系統(tǒng)提供良好�、有效的恢復(fù)手段。一旦原文件遭到破壞�����,還有相同的備份文件可以取而代之�����,為了防止存檔載體物理性能變化或設(shè)備故障而丟失信息��,農(nóng)機(jī)監(jiān)理電子檔案的備份系統(tǒng)可以從硬件級(jí)備份�����、軟件級(jí)備份�����、人工級(jí)備份三個(gè)層次入手��。每年應(yīng)對(duì)備份磁帶或光盤進(jìn)行抽檢�,并對(duì)農(nóng)機(jī)監(jiān)理電子檔案的讀取、處理設(shè)備的更新情況進(jìn)行一次檢查登記�,這種多層次的綜合應(yīng)用才能達(dá)到理想的備份目的,做到萬無一失���。
3.加強(qiáng)電子文件的載體保護(hù)
電子文件載體使用的是磁性�����、光學(xué)材料等精密型載體��,對(duì)保存環(huán)境提出了很高的要求����。因此對(duì)電子文件載體的保護(hù)可以參照《電子文件歸檔與管理規(guī)范》的要求�����,改進(jìn)電子檔案的存放環(huán)境�,保持適應(yīng)的溫濕度,采用去濕機(jī)��,去濕劑氯化鈣和硅膠�����、空調(diào)調(diào)節(jié)系統(tǒng)等措施調(diào)節(jié)檔案庫內(nèi)溫濕度。并將農(nóng)機(jī)監(jiān)理電子檔案避光保存���,避免光線尤其是紫外線直接照射光盤����,最大限度地減少電子檔案曝光時(shí)間和曝光強(qiáng)度���。同時(shí)�����,農(nóng)機(jī)監(jiān)理電子檔案在整理�、保管����、利用時(shí)應(yīng)避開電動(dòng)機(jī)、發(fā)電機(jī)�、變壓器、電視機(jī)��、消磁器�、無線電裝置等具體退滋或消磁設(shè)備的干擾�����。
4.多渠道防治計(jì)算機(jī)病毒和各種攻擊
篇8
由于我國會(huì)計(jì)審計(jì)領(lǐng)域制度的不完善以及會(huì)計(jì)市場的無序競爭,越來越多的會(huì)計(jì)從業(yè)者抵擋不住誘惑��,出現(xiàn)了做假賬等行為�,導(dǎo)致誠信問題成為會(huì)計(jì)行業(yè)的熱點(diǎn)話題。本文立足信息環(huán)境的大背景對(duì)當(dāng)前會(huì)計(jì)審計(jì)誠信問題展開討論��,并提出相應(yīng)解決方案以期能凈化當(dāng)前會(huì)計(jì)審計(jì)領(lǐng)域風(fēng)氣�����,為企業(yè)提供一定的參考����。
毋庸置疑,誠信問題對(duì)會(huì)計(jì)行業(yè)及會(huì)計(jì)從業(yè)者來說十分重要���,會(huì)計(jì)行業(yè)從業(yè)者的職業(yè)操守是會(huì)計(jì)行業(yè)的立業(yè)之本���,也是會(huì)計(jì)工作進(jìn)行過程中的基礎(chǔ)。而當(dāng)今��,諸多誠信問題卻在挑戰(zhàn)會(huì)計(jì)行業(yè)的底線。信息時(shí)代的到來給會(huì)計(jì)工作提供了許多便利�,很多企業(yè)逐漸成了一套具有整體性和規(guī)模性的信息化建設(shè)體系,但這同時(shí)也為會(huì)計(jì)作弊操作帶來了更多的操作空間����,使會(huì)計(jì)誠信問題更加嚴(yán)峻。我們需要時(shí)間來完善相關(guān)法律和制度來適應(yīng)信息時(shí)代的到來�����。
1 信息環(huán)境下出現(xiàn)會(huì)計(jì)誠信問題的主要原因
1.1 信息不對(duì)稱是當(dāng)前諸多會(huì)計(jì)誠信問題出現(xiàn)的前提
會(huì)計(jì)行業(yè)的信息不對(duì)稱是指在信息環(huán)境下��,經(jīng)營者掌握著大量的會(huì)計(jì)信息���,處于有利地位�����,而其所有者則出現(xiàn)信息不對(duì)稱處于弱勢地位�����。隨著市場經(jīng)濟(jì)的發(fā)展和成熟��,企業(yè)內(nèi)部的所有權(quán)和經(jīng)營權(quán)分離是大勢所趨�,因此在會(huì)計(jì)審計(jì)過程中,信息不對(duì)稱會(huì)給做假賬以可趁之機(jī)進(jìn)而導(dǎo)致所有者政策制定的失誤�����。
1.2 會(huì)計(jì)制度不完善
市場經(jīng)濟(jì)的快速發(fā)展以及互聯(lián)網(wǎng)信息技術(shù)的不斷成熟極大地改變了原有會(huì)計(jì)運(yùn)作方式�,致使很多新的經(jīng)濟(jì)事項(xiàng)的不斷涌出��。而我國當(dāng)前的會(huì)計(jì)制度和會(huì)計(jì)體系還相對(duì)比較落后����,因此導(dǎo)致其在執(zhí)行過程中較為無力。很多繁雜的規(guī)定不但會(huì)影響到現(xiàn)有工作的效率��,很多領(lǐng)域的空白也為很多從業(yè)者提供了鉆空子的機(jī)會(huì)��。
1.3 缺乏系統(tǒng)����、合理的會(huì)計(jì)監(jiān)督體系
會(huì)計(jì)審計(jì)工作中的監(jiān)督體系不健全的問題在全國廣泛存在,現(xiàn)有的監(jiān)督體系和工作監(jiān)督流程缺乏科學(xué)行��、完善性和時(shí)代性���,這就導(dǎo)致相關(guān)工作人員在進(jìn)行審計(jì)工作時(shí)無法可依�����,無章可循�����,對(duì)有些違法和舞弊行為無法作為��。
1.4 會(huì)計(jì)審計(jì)工作存在信息安全漏洞
計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用極大地提高了當(dāng)前會(huì)計(jì)工作的效率�����,但同時(shí)產(chǎn)生了大量的信息安全問題��。很多企業(yè)和單位在計(jì)算機(jī)系統(tǒng)上沒有必要的保護(hù)措施�����,沒有處于保護(hù)狀態(tài)的會(huì)計(jì)審計(jì)數(shù)據(jù)極易受到黑客或木馬的攻擊��,侵入者非法操控或篡改數(shù)據(jù)嚴(yán)重影響了會(huì)計(jì)審計(jì)信息的安全�����。同時(shí)一些會(huì)計(jì)審計(jì)人員缺乏防范和安全意識(shí),沒有定期更新安全系統(tǒng)或誤使計(jì)算機(jī)中毒等操作也會(huì)嚴(yán)重影響到會(huì)計(jì)數(shù)據(jù)的安全性���。
1.5 缺乏良好的誠信環(huán)境
沒有一個(gè)良好的大環(huán)境�,加之違法成本低�����,很多會(huì)計(jì)從業(yè)者受利益的驅(qū)動(dòng)出現(xiàn)造假問題���。誠然��,從業(yè)者職業(yè)道德不高是產(chǎn)生會(huì)計(jì)審計(jì)造假的一個(gè)主要原因,但更深層次的原因是誠信行為缺乏支持和保證�,政府和行業(yè)沒有起到良好作用。應(yīng)該看到��,對(duì)此類違背誠信現(xiàn)象的縱容就是對(duì)守誠信者的打擊�。
2 信息環(huán)境下實(shí)現(xiàn)會(huì)計(jì)審計(jì)誠信的解決方案
2.1推行會(huì)計(jì)委派制度
向企業(yè)委派的會(huì)計(jì)具有身份獨(dú)立性和工作自主性的特點(diǎn),此舉可有效針對(duì)會(huì)計(jì)審計(jì)中的信息不對(duì)稱問題����,有效預(yù)防傳統(tǒng)審計(jì)方式中會(huì)計(jì)人員迫于周圍壓力而進(jìn)行的信息造假,從而在企業(yè)內(nèi)部建立一套會(huì)計(jì)審計(jì)工作新秩序���。
企業(yè)推行會(huì)計(jì)委派制度能夠有效縮減內(nèi)部監(jiān)督成本���,推動(dòng)內(nèi)部控制制度的執(zhí)行����。在這種制度下�����,外部委派的會(huì)計(jì)人員進(jìn)行會(huì)計(jì)審計(jì)工作時(shí)能夠真實(shí)反映實(shí)際經(jīng)濟(jì)狀況��,塑造企業(yè)的誠信形象���。
2.2 營造誠信氛圍
企業(yè)在維持正常開支之外應(yīng)定時(shí)開展對(duì)會(huì)計(jì)審計(jì)人員的誠信教育�,確保從業(yè)人員建立誠信意識(shí)����、遵守職業(yè)道德。根據(jù)實(shí)際�����,采用有效手段營造誠信為先企業(yè)經(jīng)濟(jì)環(huán)境和管理環(huán)境��,構(gòu)建一個(gè)“誠信為榮、背信為恥”的企業(yè)文化氛圍��。除了這些長久之計(jì)外�����,還要加大對(duì)破壞誠信氛圍的打擊力度�����,提高會(huì)計(jì)審計(jì)工作的質(zhì)量�����。
2.3 營造安全的會(huì)計(jì)審計(jì)信息環(huán)境
安全的信息環(huán)境是確保會(huì)計(jì)審計(jì)工作誠信的一個(gè)重要的物質(zhì)層面���,應(yīng)從以下四個(gè)方面入手:一是要推進(jìn)會(huì)計(jì)審計(jì)工作的信息化,加大會(huì)計(jì)審計(jì)軟件和系統(tǒng)的開發(fā)和升級(jí)���,最大程度減少人為篡改信息的可能�����。二是做好會(huì)計(jì)審計(jì)人員的教育和培訓(xùn)�����,使得會(huì)計(jì)審計(jì)工作得到數(shù)量和質(zhì)量上的提高�����。三是要建立起一套完整的會(huì)計(jì)審計(jì)信息系統(tǒng)安全防護(hù)體系����,通過身份認(rèn)證、權(quán)限設(shè)定���、功能限制和加密處理等一系列措施防止企業(yè)內(nèi)部經(jīng)濟(jì)數(shù)據(jù)丟失和被篡改����。四是要做好會(huì)計(jì)審計(jì)信息系統(tǒng)的防病毒和防黑客工作�,防止信息出現(xiàn)安全問題。
2.4 完善和健全會(huì)計(jì)審計(jì)工作監(jiān)督體系
在當(dāng)前的信息環(huán)境下���,很多人確實(shí)意識(shí)到會(huì)計(jì)監(jiān)督的重要性和必要性��,但實(shí)施和執(zhí)行結(jié)果卻不盡人意�����,因此需要政府和行業(yè)完善和健全相應(yīng)法律和法規(guī)��。在法律法規(guī)得到完善之后���,加大對(duì)違規(guī)和違法行為的執(zhí)法力度����,做到有法可依�����,有規(guī)可循����。
3 結(jié)語
誠實(shí)守信是會(huì)計(jì)審工作的靈魂。在市場經(jīng)濟(jì)不斷發(fā)展的大環(huán)境下�����,那些誠實(shí)守信的企業(yè)會(huì)有更好的前景��。
誠信原則的建立會(huì)使簽約成本�、契約成本以及監(jiān)督成本大幅減少����,建立良好的社會(huì)經(jīng)濟(jì)體系�,讓每個(gè)企業(yè)都在誠信有序的經(jīng)濟(jì)環(huán)境中發(fā)展���,有助于實(shí)現(xiàn)企業(yè)經(jīng)濟(jì)效益的最大化及社會(huì)資本的積累����。
