今天小编为大家推荐《信息安全研究论文(精选5篇)》,欢迎大家借鉴与参考,希望对大家有所帮助![摘要]电子商务会计信息安全是当今会计学领域中一个较新的研究课题,本文通过传统的会计信息安全问题与目前电子商务环境下的会计信息安全问题间的异同进行初步探讨,并就如何解决电子商务环境下的企业会计安全问题提出了可行的解决方案。
基于信息安全风险评估机制的档案信息安全保障体系建设研究
随着社会的快速发展,信息安全的重要性越发突出,如何保证档案信息安全成为档案管理工作面临的一个重要问题。为此,档案管理单位必须严格按照国家档案信息管理方面的要求建立完善的档案信息安全保障体系。档案信息安全保障体系是指从信息安全技术和信息安全管理角度对档案信息及信息系统进行安全防御,确保档案信息系统的安全可靠运行,保证档案信息的保密性、完整性、可用性、不可否认性、可控性和可追溯性,实现对档案信息的动态保护和主动预防。其所依托的三个因素是技术、管理和法规标准。就当前档案信息安全保障体系建设实践来说,主要依赖于信息安全技术,还没有建立起完善的安全管理和安全监督机制,这极大地影响到档案信息的安全性。今后的档案信息安全保障体系建设,必须按照信息安全风险评估机制的要求,建立科学、有效的管理和规范,完善现有的档案信息安全保障体系。
一、基于信息安全风险评估的档案信息安全保障体系构成分析
1. 构成依据。针对日益严峻的档案信息安全管理形式,早在2003年中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,简称“27 号文件”),提出“坚持积极防御、综合防范”的方针。中共中央、国务院首次提出了针对网络信息安全的档案信息安全保障体系的建设要求,即“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。”明确了档案信息安全保障体系建设要坚持“预防为主、防治结合”的基本原则,要求档案信息安全保障体系建设要以信息安全风险评估与等级保护制度作为基本制度和依据。其中,“积极防御”是档案信息安全保障体系建设的核心内容,而要想达到积极防御的目的必须对档案信息系统进行科学的风险评估。因为从信息安全的角度来讲,任何档案信息系统都存在安全风险,难的不在于风险的存在,难在风险的被发现、被认识,只有认识风险才能增强预防的针对性。
2. 构成设计。建立档案信息安全保障体系必须遵守“综合防范”的基本要求,基本途径就是技术、管理和法规标准,在此基础上建立起完整的技术体系、管理体系和法规标准体系,这也是档案信息安全保障体系的基本思路。从国外信息安全的保障来看,主要采用的是信息安全等级保护措施,在此基础上实现对信息安全的“综合防范”。我国在这一方面借鉴了西方国家的经验,制定了《GB/T 22239-2008 信息系统安全等级保护基本要求》,提出了基于不同安全等级信息系统的安全保障要求,并将信息安全分为基本安全技术要求和基本安全管理两类。因此,在档案信息安全保障体系建设上要采取等级保护制度的风险评估模式,按照“积极防御、综合防范”的基本要求构建起完整的保障体系。结合现有的研究资料和《GB/T 22239-2008 信息系统安全等级保护基本要求》,档案信息安全保障体系架构应该包含三大部分,也就是档案信息安全技术体系、档案信息安全法规标准、档案信息安全管理体系,在这三大体系之下包含若干个小的内容,由此也构建了一个完整的档案信息安全保障架构(图1)。
二、基于风险评估的档案信息安全保障体系构建流程
1. 分析阶段的风险评估。档案信息系统分析阶段风险评估必须按照 《GB/T22240-2008 信息系统安全等级保护定级指南》进行,对档案信息系统安全保护等级定级。定级的基本依据是以信息系统的重要性而一旦出现信息破坏现象对国家安全、社会稳定、人民群众合法权益所造成的损害程度为依据,一般来说分为两个层次:档案业务信息安全和档案信息系统服务安全。保护等级一般是由档案信息系统安全等级和系统服务安全等级中的较高者决定的。由于档案信息系统一旦遭到破坏,将会对国家、社会造成很大的影响,一般来说涉及到国家安全的系统需要定到三级以上,因此国内档案管理当中一般将档案信息系统安全等级分为三级,根据每一级的档案信息特点及所面临的风险确定信息安全管理所需的技术需求和安全管理需求。因此,必须认真做好档案信息系统分析阶段的风险评估,根据档案信息的特点,确定可能面临的风险。在具体的风险评估当中信息资产、脆弱性一般不需要识别,分析的主要任务是根据信息系统的应用对象、使用环境、业务状况、操作要求等分析其中的安全威胁,评估系统现有的安全技术及管理能否抵御这些风险的发生。如果判断的结果能够抵御,则不需要调整安全需求,如果不能抵御则需要及时调整安全需求。
2. 设计阶段的风险评估。档案信息系统设计阶段是整个信息安全保障体系构建的关键阶段,在这一阶段当中风险评估主要针对系统本身和外部,这一点与系统分析阶段有着明显的不同。设计主要包括技术设计和管理设计两部分,一般来说一个档案信息系统的安全可以分为五个层次,也就是物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等,档案信息系统设计必须在这五个层次上进行安全技术设计。而档案信息系统管理设计则包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。技术上的设计与管理上的设计构成了一个完整的档案信息安全保障系统。这一段的风险评估主要是针对系统设计风险进行评估,评估的主要依据是以《GB/T20984-2007 信息安全风险评估规范》为依据,评估针对技术方案和管理方案的整体安全方案评审的形式进行,对方案当中采用的各种安全功能和措施的技术上的可行性及实际效果进行评价,一旦发现安全方案存在风险,则需要重新进行安全设计和安全评估。
3. 实现阶段的风险评估。档案信息系统实现阶段主要是指将设计阶段内容转化为具体的系统行使,根据系统的实际运行情况对系统运行过程中的安全功能进行测试和验证,评价该系统设计方案安全技术和安全管理的预期目标的实现程度,分析依据安全设计方案而实现的安全措施和安全管理抵御风险的实际效果。如果系统实现阶段风险评估结果存在安全风险,则需要对系统进行重新安全设计、安全实现和风险评估,直到整个系统的安全风险降到合理的范围之内,达到《GB/T20984-2007 信息安全风险评估规范》规定的三级等级保护所提出的所有安全目标。常见的验证方法,主要是选择系统运行过程中常见的风险运用到系统当中,记录观察系统对这些常见的风险的抵御情况,如果能通过所有的风险验证,则说明安全方案设计达到了设计要求,如果出现不能抵御的风险情况则说明系统安全设计存在问题。一般来说,档案信息系统实现阶段的风险评估是在系统项目预验收或者试运行阶段进行,只有通过信息安全风险评估以后才能正式投入到档案信息管理当中。
4. 运行阶段的风险评估。档案信息系统在运行过程中自身和运行环境会发生一些变化,这些变化可能导致系统设计不能反映系统运行过程中的全部风险,也就是说一旦出现自身和运行环境的变化,档案信息系统会面临新的安全威胁,这就需要在系统运行过程中通过风险评估解决新的安全漏洞问题。系统运行过程中的风险评估可以分为定期和不定期的,一般是以自评估和检查评估的形式进行的。所谓的自评估一般是指档案信息系统使用单位根据自身的使用经验,依靠本单位的技术人才情况进行风险评估。当然,也可以委托社会风险评估服务机构实施。如果委托的是具有风险评估相应资质的专业评估机构实施,就是委托评估。专业的风险评估机构具有有效的风险评估人才和评估设计,所得到的评估结果比较客观可靠,是今后自评估的一种重要的发展方向。检查评估由信息安全主管机构或业务主管机构发起,依照现有的档案信息安全管理法规和标准进行,评估单位档案信息管理系统的安全风险情况是否在规定的标准范围内,其目的就是监督使用单位严格按照系统运行条件运行,督促使用单位不断完善档案信息安全保障系统。在系统运行阶段,风险评估最好采取自评估和检查评估相结合的形式。在系统实际使用过程中,本单位要定期组织自评估,保证档案信息安全系统达到设计标准和要求。
5. 淘汰阶段的风险评估。档案信息系统并不是没有时间限制的,随着时间的发展,人们对档案信息系统的要求越来越高,虽然能够利用软件系统对系统进行升级和完善,但是时间长了以后也会被淘汰。在淘汰阶段也需要对系统进行风险评估,评估主要针对档案信息的迁移、原有档案信息资产的处理,在评估过程中需要对原有系统当中的档案信息系统硬件、软件、档案信息等资产进行适当的处置,以防止这些信息载体当中所残留的信息因为处理不当出现信息泄露等风险。因此,在档案信息系统的淘汰阶段要对淘汰的系统可能带来的新的威胁和存在的安全漏洞进行评估,根据评估的结果制定详细的淘汰方案,同时对参与系统淘汰工作的人员进行信息安全教育,并对整个过程进行有效的监督,以达到避免淘汰过程中的档案信息风险,保证档案信息安全性的目的。如果淘汰方案仍然存在安全风险,则需要对淘汰方案进行改进,直到将淘汰方案的风险降低到最低水平。
说明:本文为湛江市哲学社会科学规划项目“档案安全保障技术研究”(项目编号:2013Y16)阶段性成果。
参考文献:
[1]项文新. 档案信息安全保障状况需进行风险评估. 中国档案. 2007(12).
[2]邢燕 才碧莹. 浅析档案信息安全保障体系建设. 黑龙江档案. 2009(6).
[3][6]胡明浩. 在档案信息化中实施信息安全等级保护. 档案时空. 2005(10).
[4]项文新. 构建基于信息安全风险评估的档案信息安全保障体系必要性研究. 档案学通讯2008(1).
[5]许桂清 李映天. 档案信息安全保障体系的建设与思考. 档案学研究 2010(3).
[7]黄海鹰. 电子文件管理系统安全等级保护研究. 浙江档案. 2009(4).
(作者单位:湛江师范学院)
作者:宋丹
[摘要] 信息被广泛应用于社会发展的各个方面,已渗透到国家发展的每一个领域,其重要性不言而喻。信息时代的到来给全球带来了飞速发展的契机,但信息安全问题也随之而来,尤其在互联网广泛应用的今天,信息安全的问题逐步凸显,对我国经济安全带来巨大的影响。因此,本文通过对信息安全与经济安全关系以及信息安全的影响因素的分析,发现我国信息安全方面存在问题的研究,并提出加强信息安全保障的措施。
[关键词] 信息安全; 经济安全; 问题; 保障措施
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 19. 047
[
1 前 言
随着信息技术的发展,信息逐步走入社会发展的各个领域,信息已成为社会发展的重要资源。信息化水平已成为一个国家综合国力和竞争力的体现。
信息时代的到来给全球带来了飞速发展的契机,但信息安全问题也随之而来,尤其在互联网广泛应用的今天,信息安全问题逐步凸显。据美国联邦调查局统计,美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道,每20秒就发生一次计算机安全事件,1/3的防火墙被突破。2010年的“维基解密”可以说是一次最震撼的信息泄露事件。信息被广泛应用于社会发展的各个方面,已渗透到国家发展的每一个领域,其重要性不言而喻,国家的信息安全关乎国家经济、政治、科技、社会、军事等领域的安全。
2 信息安全与国家经济安全
在国家安全中,经济安全占有重要的地位,它是保障国家安全的基础。经济信息安全,主要是指企业和经济管理部门,以及政府高层,应该知道履行自己工作需要的国内外经济信息,而企业以及国家经济运行的敏感、机密信息如被其他企业、组织或国家所获取将会威胁国家的经济安全[1]。
在当前的信息时代,信息已成为社会发展所必不可少的一种重要资源。经济的发展是以信息为中心,信息技术已日益成为全球经济发展的助推器和原动力,也正是信息带动了经济的全球化发展[2]。信息是国家进行宏观调控的重要依据,及时准确地获取信息,有利于国家宏观政策的制定。信息是增加国与国之间的经济交流与合作的一条纽带。掌握当前的国内国外信息,也有利于我国在经济发展和竞争中占得先机[3]。随着信息化程度的提高,信息产业的发展,也成为其他产业发展的基础。因此,信息安全关乎我国的工业、外贸、金融、地方企业、国家经济政策、经济发展环境等国家一切经济活动的安全,是国民经济能够健康、平稳、有序发展的基石。
在当今世界,谁拥有最多最准确的信息资源,谁就能够在竞争中取得主动权。在经济全球化的条件下,经济竞争的白热化使得对信息的争夺愈演愈烈,各国都在保护自身信息安全的同时想尽各种方法和手段窃取、破坏其他各国的重要信息。由于我国经济发展迅速,世界一些跨国企业和国家高度关注我国的市场环境,也觊觎我国的信息资源和情报。而互联网的发展,更为一些不法分子和组织提供了有利条件。再者,由于技术的漏洞和安全上的隐患以及各方面的不安全因素的存在,很大程度上增加了信息的不安全因素,使得我国的信息安全面临着更加严峻的挑战。
信息安全问题带来的经济损失令世界各国都深受其害。在市场竞争日趋激烈的当今,经济间谍几乎无处不在。对企业来说,经济数据的泄密更像是一场灾难。在我国每年因网络泄密导致的经济损失高达上百亿元。前两年曝光的力拓间谍案,就给中国的钢铁企业带来了数百亿元的直接损失。据中国互联网络信息中心发布的《2009年中国网民网络信息安全状况调查报告》显示,2009年,52%的网民曾经遭遇过网络安全事件,网民处理安全事件所支出的相关服务费用共计153亿元人民币。图1所示的数据是2009年1月至2010年4月网络安全事件给网民带来的经济损失。
因信息安全事故而遭受巨大经济损失的事件也常常发生。首都机场曾因计算机系统故障,导致6 000多人滞留机场,150多个航班延误;南京火车站电脑售票系统突然发生死机故障,整个车站售票处于瘫痪状态;广东工商银行因系统故障,全线停业一个半小时等,不胜枚举。这些事件不仅仅是信息系统瘫痪的问题,其直接后果是造成了巨大的经济损失,也造成了不良的社会影响[4]。
这些数据所反映的只是经济损失的冰山一角。因为信息安全事件造成的经济损失有时是难以估量的。总之,信息不安全,经济安全也就得不到保障,信息安全关乎国家经济安全的全局。
3 影响信息安全的主要因素
3.1 人为因素
人是信息的创造者、知情者、传递者、管理者,网络、计算机的使用者。因此,人是保障信息安全的主导因素,人为因素也正是引发信息安全问题的关键所在。从人为因素的角度来看,主要在以下3个方面影响信息的安全性:① 人为意识、人员管理、社会意识。研究表明,员工的疏忽是数据安全的最大威胁,80%多的数据泄露都是由于员工的疏忽大意、缺乏安全意识造成的。② 信息犯罪。随着网络信息时代的到来,信息犯罪的手段更加多样化,数量也在急剧增加。近年来,我国受信息犯罪的危害严重,窃取商业机密、非法倒卖信息、信息诈骗等手段更是多种多样。其中,经济领域的信息犯罪尤为严重,造成了严重的经济损失,社会危害性极大。③ 网络黑客。黑客以非法手段进入电脑系统和网络,不仅带来对计算机系统的破坏,对国家的安全也危害严重。法国财政部的电脑网络自2010年12月起遭遇网络黑客的持续攻击,大量涉及法国财政部和二十国集团(G20)的资料被盗。
3.2 技术因素
计算机已成为承载信息的一个重要载体,计算机本身的安全是保障信息安全的根本。
(1) 硬件因素。CPU、硬盘等电子元件极易受到损坏或是被窃取,使得信息的安全存在隐患。像硬盘、CPU是电脑的核心元件,如果损坏会造成数据的丢失或破坏,再者木马病毒也极易侵蚀优盘、硬盘等元件,造成对所存储信息的破坏。
(2) 软件因素。软件一般包括:系统软件、应用软件和数据库。软件本身缺陷或是漏洞,会影响信息的完整性,使信息的安全存在隐患。由于软件易被篡改或是盗窃,一旦软件被篡改,其功能就会受损,以至于整个系统都会瘫痪。数据库中存储着大量的数据,这些数据资料极其珍贵,如被破坏,损失是无法估计的。操作系统的一个重要的功能就是信息管理,如果出现漏洞或故障,系统中的文件将会受到损害,导致信息无法提取或是丢失,系统的漏洞也易被黑客利用木马病毒等手段攻击,使得信息安全无法得到保障。
还有一些网络软件、网络服务也影响着信息的安全。现在,好多的信息存储在网络的虚拟网盘中,网络也是信息的一个重要载体,其安全性不容忽视。电子邮件就是一个使用最为广泛的网络服务,利用电子邮件传递信息方便、快捷,但也是安全隐患最为严重之处。
3.3 环境因素
(1) 内部环境。计算机的工作环境是保障计算机安全的前提。连接线路、防盗安全等任何细节出现问题都会影响计算机的正常使用,也就无法保障所涉及的相关信息安全。
(2) 外部环境。虽然意外事故出现的概率相对其他因素较小,但是一旦发生后果严重。例如意外断电可能会造成计算机信息的丢失或损坏。对信息安全领域来说,水灾、火灾等自然灾害会直接毁坏所有或部分重要文件以及信息设备,还能够切断信息的传递通道,造成信息无法使用,使得整个信息系统瘫痪。而且灾害是不可预料的,发生时也没有任何的预警,会造成更为严重的后果。
3.4 计算机病毒等网络攻击
计算机病毒对文件的攻击方式很多,有删除、替换内容、部分代码丢失等。计算机病毒主要通过商务来往的电子邮件、下载等方式传播,还可通过局域网、可移动存储设备等方式传播。2004年的SCO炸弹病毒全球爆发,造成的经济损失达到261亿美元。2006年底的熊猫烧香病毒给世界经济带来上亿美元的损失,对企业、国家的经济带来巨大的损失。随着手机上网、智能手机的出现,手机感染病毒的问题也十分突出。中科院调研报告显示,当前68.6%的手机用户正面临移动互联网安全威胁。
计算机病毒、木马、垃圾邮件等网络攻击的日益频繁和愈演愈烈,在带来巨大的经济损失同时也对国家安全带来严峻的挑战。
4 我国经济信息安全现状以及面临的主要问题
随着互联网的飞速发展,信息安全对经济安全的重要性日益凸显,我国对信息安全的重视程度不断加强,并已初步建立了信息安全保障体系。
4.1 我国信息安全的发展现状
4.1.1 重视程度增强
国务院信息办专门成立了网络与安全领导小组,各省市自治区也设立了相应的管理机构。2003年9月中共中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》,把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度。2006年5月中共中央办公厅、国务院办公厅印发的《2006-2020年国家信息化发展战略》中对我国信息安全现状、问题、目标和任务加以阐述。
4.1.2 政策法规的出台
为了信息安全管理的需要,国家相继制定了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《信息安全条例(草案)》等政策法规,我国与国际标准接轨的信息安全与网络安全技术和产品标准也陆续出台,加强了信息安全的法律保护力度。
4.1.3 信息安全产业迅速发展
我国信息安全产业也有了较快的发展,2009年中国信息安全产品市场规模达到了92.94亿元。信息安全产品的技术与产品逐步走向产品芯片化、客户化、平台化和高技术化。我国信息安全产品的规范化进程已经走上正轨。技术层面,有一批致力于我国信息安全事业的研究机构与公司在从事信息安全基础研究、技术开发与技术服务工作,相关人才的培养也得到了高度重视。一批学校成立了研究所、系科与教研室, 目前注册的信息安全公司或具有安全经营项目的公司有几百家[5]。国家各部门都高度重视信息安全产业的发展,市场潜力巨大。
4.2 我国经济信息安全存在的主要问题以及面临的挑战
虽然加大了对信息安全问题的重视程度,但我国在信息安全方面还存在着一定的问题。利用互联网的各种泄密、犯罪种类繁多,给我国的经济安全带来严峻的挑战。2010年的力拓间谍案更是给我国的信息安全敲响了警钟,这也说明我国在信息产业发展迅速的同时也存在着严重的信息安全问题。相应地,由于人为原因以及技术安全措施不到位,使得涉及国家安全、经济安全相关信息泄露的威胁也日益增加,进而对国家经济安全、国家安全形成威胁。本文主要从经济安全的视角对信息安全问题进行分析。
4.2.1 信息安全意识淡薄,经济信息安全法律保护的不健全
4.2.1.1 信息安全意识淡薄
网络时代的到来使得信息的形态发生了变化,逐渐数字化、电子化,信息的传播途径和形式也发生了变革,对信息安全的认识模糊化,防范意识严重不足,尤其对经济信息安全的保护防范意识的欠缺。近年来,每当政府机构公布国民经济的关键数据前,一些媒体或研究机构总是能准确“预测”,2010年6月,一位政府官员在召开某券商会议上透露了5月份金融机构新增贷款总量与当月居民消费价格指数(CPI),这与两天后政府公布的数据完全吻合,该信息的提前泄露,导致当天的A股市场大幅震荡。许多重要的经济信息时常通过一些会议、报告、学术研讨会等随意泄露出去;所谓“说者无心听者有意”,有些信息被不法分子利用或被外国机构获取,无形之中给国家的经济安全带来损失。
有调查显示,我国有62%的企业承认出现过泄密现象[6],国有企业成立商业机密专门管理机构的比例不足1/5,有1/3以上企业未设立任何商业信息保护机构,私营企业的问题则更为严重。经济信息安全保密意识的薄弱已成为威胁我国经济安全,影响社会经济稳定发展的制约因素之一。
4.2.1.2 经济信息安全法律保护体系的缺失
法律是保证国家经济信息安全的一个重要手段,也是维护经济活动利益的一个必要的措施。我国虽然已出台了有关信息网络安全管理的法律法规,但由于信息化法制建设起步较晚,对信息安全的保障力度不够,相应的政策、法律法规以及管理条例还不够健全,特别是在对信息安全重要性的认识、权责的明确、法律法规的覆盖度等方面都有待提高。而且现有法律对信息安全的保障依然侧重于政治、军事等传统安全领域,而忽略了对经济信息安全的保护。
在经济信息安全方面仅有“国民经济和社会发展中的秘密事项”这种原则性的规定。对于商业秘密的界定和防范措施缺乏相应准则;对于境外集团窃取我国的关键经济数据、信息等行为在法律上也没有明确的界定,也没有相应的法律来约束,使国外不法分子有机可乘,使国家经济安全面临严重威胁;涉及商业机密的法律法规分散、不统一、缺乏可操作性,增加商业机密流失的风险;人才流动的加快也使得商业秘密的流失风险加大;随着网络的普及,网络经济诈骗、商业间谍、窃密贿赂等手段越发频繁,而关于网络经济犯罪的相关法律法规还不健全,因此对网络信息与网络经济贸易的安全性保障不足,这将给国家经济安全带来巨大的隐患。2013年的两会期间,网络信息安全问题成为讨论的热点,不少委员提出应完善网络信息安全的立法。温总理作《政府工作报告》时提出,加强信息安全和保密工作,完善信息网络管理,加强对互联网的利用和管理。针对当前的网络环境,要保护好国家、公众的生命和财产安全,打击网络犯罪,加快网络与信息安全国家层面立法势在必行。
总体来说,随着网络信息的飞速发展,现有法律制度已无法适应当前信息安全工作的需要。法律法规的缺失使得安全工作的监管力度不足,大量的网络违法行为没有明确的法律约束,给大量不法分子可乘之机。对于相关机构的权责分配不够明确,没有统一的管理条例以及执行规范。而《国家安全法》也只是笼统地规定了国家安全整体的事项,并且侧重的是传统的政治和军事领域,对于经济安全,尤其是经济信息安全这样一个新的非传统安全领域存在的威胁仍缺乏适当的法律规制。除了经济间谍外,跨国公司对我国实施商业贿赂获取经济信息与商业秘密的案件不断增加,经济信息的可控性无法得到有效保证,在造成严重经济损失的同时也威胁着我国经济安全。
4.2.2 信息产业技术薄弱,信息安全产业有待进步发展
4.2.2.1 信息产业在较快发展的同时也存在一些问题
首先,科技投入还有待提高,我国2005年科技投入仅仅占当年GDP的1.3%,2010年提高一倍左右,但和世界发达国家的平均水平相比还有一定的差距。企业研发机构不健全,多数企业没有自己的研发机构,缺乏对技术人才的培养与重视。
其次,由于我国信息产业自主创新能力相对薄弱,缺乏核心技术,具有自主品牌和自主知识产权的产品较少,使得我国在信息技术上的安全长期受到发达国家的威胁。引进的信息技术缺乏信息安全保护的有效管理和技术改造,一旦出现技术问题将危及企业的生存发展。同时,一些国外进口软硬件中可能隐藏着木马病毒,无形之中窃取了我国大量的机密信息,使得信息安全问题完全受制于人。
4.2.2.2 信息安全产业发展相对滞后
早在20世纪80年代,美国及欧洲各国就已经发展信息安全产业,美国信息安全产品年产值已达500亿美元。2009年全球信息安全产业规模达到了885.09亿美元。中国的信息安全产业发展迅猛。2009年中国信息安全产业规模达到了123.10亿元,比2008年同期增长17.0%。但是我国的信息安全产业还不成熟,产业化程度不高。由于企业初期风险较大,所以信息安全领域企业较少,做大做强的龙头企业也不多,市场占有量有限,仍需要国家的大力扶持。国内信息安全产业的自主创新研发能力差,主要核心技术还是依赖国外,企业的发展受制于人。即使企业进行自主研发,也由于用于技术创新、产品研发的投入较高,技术人才的紧缺,产品市场预期前景不明朗,使企业的创新和发展陷入困境。我国研发的信息安全产品与国外相比成本较高,技术不够先进,实用性上也存在着差距,在产品竞争中处于严重不利地位。
4.2.3 信息安全事件频发,信息安全形势日益严峻
4.2.3.1 计算机木马、病毒的急剧增加
计算机病毒、木马对信息网络安全的威胁越来越突出。系统存在漏洞和杀毒软件不及时更新等是导致该类信息安全事件发生的主要原因。根据国家计算机病毒应急处理中心病毒样本库的统计,2009年新增病毒样本299万个,是2008年新增病毒数的3.2倍,其中木马程序巨量增加。跟踪监测和研究分析表明,当前,计算机病毒木马本土化趋势加剧,变种速度更快、变化更多,潜伏性和隐蔽性增强、识别更难,与防病毒软件的对抗能力更强,攻击目标明确,趋利目的明显,给经济平稳运行带来严重威胁[7]。
4.2.3.2 网络犯罪增加,经济窃密手段多种多样,国家经济安全形势严峻
2010年捕获的恶意代码总量为939.772 1万个,与2009年相比,增长了30%。图2是2006-2010年捕获的恶意代码数量走势图,可以看出恶意代码的数量呈逐年上升的趋势。
2010年我国境内近500万个主机IP地址感染木马和僵尸程序。数量较2009年下降21.5%,但其中被篡改的政府网站高达4 635个,比2009年上升67.6%。我国网站安全状况亟待改善,亟需采取措施消除安全隐患,加强安全保护。2010年国内新增木马和欺诈网站给网民造成了51.9亿元的直接经济损失,间接经济损失更难以估量。
一方面,发达国家及其情报组织利用信息技术优势,不断监听监视我国经济情报,非法获取、篡改我国信息或传播虚假信息造成经济波动,以获取经济乃至政治上的收益;另一方面,他们还通过商业贿赂、资助学术研究、举办研讨会以及派专人在合法范围内收集企业简报、股东报告甚至是废弃垃圾,通过仔细研究,分析出有价值情报等方式大量收集我国经济信息。窃密技术日益先进与手段日趋多样化、合法化,对我国经济安全,特别是经济信息的安全造成严重威胁。
4.2.4 信息安全的监督管理水平落后,防范应急能力不足
虽然信息安全问题的日益严重有技术水平的原因,但是我国在信息安全管理上也没能做到同步。所谓“三分技术,七分管理”,据统计,在所发生的信息安全事件中,人为的因素占据了一半,仅有3%是不法人员攻击造成的,技术因素也仅占10%。信息安全管理工作已经得到了国家部门的重视,但是管理力度、执行力度和监督力度都有不足,没有准确定位技术、配套法律与管理的关系。信息安全风险评估体系不够完善,缺乏统一的标准。
信息系统抵抗自然灾害、恐怖袭击等外部威胁的能力不足。2003年7月,上海地铁4号线发生渗水坍塌事故,险些造成上海社保中心大楼中的重要数据丢失;2004 年中航油事件的一个重要原因就是交易过程中存在交易数据的泄露,中国操盘手遭到对手的联合狙击。国际炒家对我们的情况了如指掌,我们却不清楚对方的情况[8]。以上事件暴露出一些重要信息系统的管理、防范能力较弱。
信息安全突发事件的应急能力是将信息安全事件所带来的损失和危害降到最低点的根本保证。我国的计算机网络应急处理工作始于1999年,2002年在信息产业部的倡导和组织下,成立了我国第一个“中国计算机网络应急处理协调中心”。但我国应急工作起步较晚,应急处理整体水平不高,遇到突发事件不能及时快速妥善处理。主要原因是应急预警系统不够完善,缺乏统一的应急管理方案与准则;技术上不够成熟,设备不健全,缺乏安全防护能力,对潜在威胁的检测能力不足,不能有效抵制不安全因素的攻击;预警能力有限,不能有效预警防范可预防事件的发生;安全事件发生后,由于相关部门之间缺乏合作,运行机制不完备以及处理问题的经验欠缺,不能把突发事件的损失降到最低点,减少不必要的损失和危害。
5 如何加强国民经济安全中的信息安全保障
基于信息安全的重要性,通过对我国信息安全的现状、影响因素以及我国信息安全存在的问题和面临的风险进行研究,本文认为,为加强我国信息安全,保障国民经济健康平稳发展可以从以下方面出发。
5.1 完善信息安全的法律法规,加大执法力度
首先应该健全符合现今时代发展环境的法律法规,覆盖信息安全所涉及的各个领域,使得在信息的保护上有法可依,并加强执法力度,真正做到违法必究,遏制信息安全犯罪的发生,有效打击犯罪分子。尤其应该尽快完善网络信息安全的立法,以打击各种不法行为,切实保护个人信息、企业信息和国家经济信息的安全。
总之,以法律预防和打击各种侵犯经济信息安全的行为,是维护国家经济安全,促进生产力健康发展的有效保证。针对信息安全的基本特性,建立健全经济信息安全法律保护体系,实乃理论界与实务界当务之急。对关系国家经济安全的商业秘密和情报信息提供全方位、高强度的保护,真正把“保安全、保发展”落到实处。
5.2 提高信息安全的社会意识,加强信息安全管理
我国有许多不重视经济信息安全的案例,教训深刻。比如在铁矿石定价谈判以及稀土价格谈判上,我们作为最大的买家或卖家却都无法掌握定价权。主要由于我国企业各自为政、不能有效利用信息,使得国外企业乘虚而入,造成我国企业遭受巨大的经济损失;相比之下,外商则想尽办法获取相应的经济情报,掌握定价的主动权,获取巨大的经济利益。还有一些企业对信息重要性意识不足,造成信息泄露,蒙受巨大经济损失。
加强经济信息安全,要提高全社会的认识水平和重视程度,提高全民的保密素质。有媒体报道说日本公司的所有雇员都要定期接受信息安全相关训练。日本企业收集中国商业机密的例子也不在少数,比如中国景泰蓝工艺、宣纸工艺等早被日本企业盯上,并让中国相关产业付出了惨痛的代价。因此,首要的工作是普及信息知识,做好信息安全的宣传工作,让企业和个人了解信息安全的重要性,懂得合理利用信息,保护信息,提高信息安全意识。还要加强对企业员工、国家工作人员的信息安全培训,减少因工作疏忽、认识不足而带来的不必要损失。当前国家应多管齐下,从体制和机制上恢复并加强对经济信息保密工作的长效管理。应约束、规范行业协会、研究机构与学者接受境外企业、机构资助的课题研究,严禁涉外部门和企业工作人员在外企或驻华商业机构“变相任职”。做好信息安全的管理工作,建立相应的管理准则,提高监督管理的力度。
5.3 加强信息安全技术、观念的更新,支持民族信息安全产业的发展
随着技术的不断更新,高级别、高层次的手段与设备不断出现,使得信息安全特别是网络、通信安全等的定义与认识需要及时更新,与时俱进。同时要增强我国企业在信息安全领域的技术水平,增加对信息安全产品研发的投入,鼓励技术上的创新,不再依赖于国外的核心技术,形成具有我国自主知识产权的软件、硬件产品。
能够对信息安全产业起到关键作用的必然是民族企业,因此要增强对信息安全产业的扶持力度,保障信息安全产业的健康发展,开拓信息安全产业的市场,提高产品的质量。同时政府采购应优先考虑民族企业的信息安全产品,并且要鼓励国内企业采购民族企业的信息安全产品。在国家重要领域与重要项目上要完全采用自主研发的信息安全产品。在创新资金、项目贷款、税收政策及其他配套政策方面,政府要大力支持民族信息安全企业做大做强。为经济信息安全提供重要保证。
5.4 完善经济信息安全监管和保障体系,提高信息安全防护能力
经济信息管理是一项防范性工作,不仅要亡羊补牢,更要未雨绸缪。建议在国家层面应尽快成立国家经济安全委员会,主要负责外资、外国商品进入情况的实时监控,发现问题及时解决,对涉及国民经济命脉的金融、军工、能源、电信等产业的外资投资和并购项目有效进行国家安全审查等。我国企业竞争情报工作仍处于初级发展阶段,需要把市场信息通过科学分析,上升为情报。这是无价的知识资源。对关系国计民生的重点国企经营层实行国有资产保值增值与经济安全保密双责任制监督考核和奖惩任免,以切实维护国有资产出资人的权益并保障国有经济安全健康运行。
同时要提高对信息安全风险的评估能力,建立相应的防范措施与应急处理预案。针对网络安全问题,应加强网络基础设施的建设、降低防护成本。提高发现处理系统漏洞的能力,提高检测监管水平,有效防止木马、病毒等潜在威胁对信息安全带来的危害。
主要参考文献
[1] 雷家骕. 国家经济安全导论[M]. 西安:陕西人民出版社,2001.
[2] 中国现代国际关系研究院经济安全研究中心. 国家经济安全[M]. 北京:时事出版社,2005.
[3] 曲维枝. 信息产业化与中国经济结构调整[M]. 北京:中国财政经济出版社,2001.
[4] 潘小刚. 中国信息安全报告:预警与风险化解[M]. 北京:红旗出版社,2009.
[5] 方清涛. 中国基于信息安全的策略思考[J]. 河北师范大学学报,2009,32(3).
[6] 卫权. 我国商业秘密保护亟待加强(上)[J]. 保密工作,2009(7).
[7] 国家计算机病毒应急处理中心. 公安部2009年全国信息网络安全状况暨计算机病毒疫情调查报告[R]. 2010.
[8] 鲁炜. 经济全球化背景下的国家话语权与信息安全[J]. 求是,2010(14).
作者:刘培荣 梁智昊
[摘 要] 电子商务会计信息安全是当今会计学领域中一个较新的研究课题,本文通过传统的会计信息安全问题与目前电子商务环境下的会计信息安全问题间的异同进行初步探讨,并就如何解决电子商务环境下的企业会计安全问题提出了可行的解决方案。
[关键词] 电子商务;商务视角;商务模式;会计信息;安全问题
doi:10.3969 / j.issn.1673 - 0194.2015.07.035
[
电子商务是主要借助互联网平台的全新商业模式,因此,如何应对这种全新的商务模式以及当前环境,是会计工作者必须思考的问题。由于电子商务依托的互联网平台具有潜在的安全风险,所以电子商务环境下的会计信息亦存在较多不安全因素。随着电子技术的不断发展以及电子商务应用的推广,电子商务环境下会计信息安全问题愈发严重,这已经成为制约企业电商化发展的瓶颈。因此,解决电子商务环境下的会计信息安全问题已成为电商行业工作的重中之重。
1 电子商务环境下的会计信息安全问题
1.1 网络安全风险
互联网作为一个开放的环境,其各种服务器数据库中的信息在理论上也属于对外开放的,访问者可以对信息进行查看。因此,网络会计信息系统难以阻挡非法访问者的侵扰和攻击,尤其是在系统程序出现问题导致系统存在安全漏洞并且管理人员未察觉时,使得服务器上的会计信息资源遭到窃取或篡改。此种情况的发生可能源于系统外部,也可能源于系统本身。一旦问题发生,企业将遭受难以估量的损失。
1.2 无纸化的申报和扣税带来税务稽查问题
电子货币及电子发票的出现为实现网络交易电子化提供了条件,在电商迅猛发展的情况下,纳税人手工上门申报方式已经不能跟上电子商务发展的步伐,同时产生了电子税收问题,即如何保证纳税单位遵守相关规定按时进行网上申报。而税务稽查的前提是掌握确切的应税会计信息,因此,会计信息安全问题会引发税务稽查问题。
1.3 追踪审计困难
从审计工作的角度看,由于数据主要储存在电子商务系统中,而电子商务系统无法避免数据错误处理情况的发生,这为部分工作人员利用职务之便谋取私利或者为减少企业纳税创造了条件,导致后期审计十分困难。此外,会计信息系统在进行前期设计时未考虑审计工作的需要,没有为审计提供证据,因此,无纸化的电子商务环境加大了对电子商务活动审计的难度,同时,各种会计信息凭证的可修改更是使得对电商的审计工作难度加大。
1.4 相关的法律法规配套不完善
随着电子商务的进一步发展,公司的虚拟化程度越来越高,其规模也越来越小,人力资源与知识产权等是现阶段公司收益的主要来源,会计报告中会涉及知识产权、商誉等内容及其经济价值。在我国,电子商务活动的相关法律法规尚不健全,难以解决电子商务会计活动中出现的问题,这为会计信息安全增加了风险。
1.5 现行财务会计软件不成熟带来的会计信息安全风险
在当前市场上有各种财务软件,虽然其在一定程度上满足电子商务会计发展的需要,但仍难以真正确保电商会计信息安全。现有的财务软件存在适应性差、应变能力弱等问题,不能适应电子商务发展所需,或者在某种程度上会加大风险系数。因此,电子商务会计软件开发技术的不成熟成为制约电子商务会计发展的主要因素。因为会计信息是企业管理的重要依据,电子商务企业需要利用电子商务网络进行会计信息的收集等活动,如何利用电子商务安全技术对会计信息进行加密操作,以确保会计信息安全性和准确性,是企业开展电子商务面临的主要难题。
2 电子商务环境下的会计信息系统安全策略研究
2.1 提高网络安全性的具体方法
(1)保证会计信息原始数据的完整和准确。会计信息原始信息的完整性是应对企业会计信息系统突发事件的前提保证,因此,保证会计信息原始数据的安全极为重要,假使会计信息的原始数据遭到篡改,会造成数据信息虚假或有误,然而会计信息系统本身并不具备对数据的鉴别能力,导致会计信息失真,从而引发电商企业的财务会计问题。因此,如何保证原始会计数据的准确性及完整性,是保证会计信息安全的重要前提。
(2)保证信息处理安全。良好的数据处理能力体现了会计信息系统的优势,财务系统处理的业务均直接涉及企业的利益,其敏感性和机密性显而易见,在数据处理时,必须保证数据的完整。因此,在数据处理期间,会计信息系统网络必须对外封闭,内部网络的使用必须在可监控的环境下进行,不能与外界网络终端连接,而且不能与其他无关的部门共享网络资源。封闭是相对的,为了提高企业的办公效率,内部财务信息系统可实现资源共享,需要强调的一点是,网络资源的处理必须包括加密操作。
(3)保证信息储存的安全。会计信息系统面临的主要威胁来自黑客入侵与计算机病毒,操作人员在进行数据存储时需要加倍注意,建立一套科学的、系统的数据存储管理机制。
2.2 妥善处理无纸化交易的税务稽查问题
电商时代的无纸化交易形式淘汰了传统的纸质发票,引发了电商企业与国家管理部门之间的矛盾,因此,如何保证数据的完整性是一项颇为重要的工作。为了使会计凭证得到保证,即保证数据的真实性,参与交易的双方可以通过选择具有法律效应的认证途径比如认证中心,证实网上交易双方的真实身份。同时,企业可以借助各种会计凭证的鉴别对参与客户的付款能力进行判定,比如每一家企业都在银行或者互联网认证中心签订协议,领取本企业的数字签名等具有验证功能的符号或代码,而当业务发生时,交易双方可通过相应的验证符号或代码进行交易活动,这样既验证了交易双方的身份,也保证了交易活动的真实性,使得财务数据有据可查。
2.3 解决追踪审计困难的具体方案
在传统的会计处理过程中,会计凭证中都包含有具有法律效应的证据,比如负责人签名等。那么,在电子商务环境下,可以应用电子技术进行电子签名,比如现在应用最广的数字签名技术。首先,发送方将附有个人信息的交易数据通过计算机系统传递给另一方,而接受方通过财务信息系统对电子数据报文等内容进行审核,然后,电子数据作为合法的业务数据存入会计信息系统,此时的数据为原始财务信息数据。此种非纸质版的签名具有两个方面的意义:①保证信息来源于交易者本人,倘若有后续问题出现,此份信息可作为凭证;②保证信息在交易者签发至收到过程中的完整性,不存在被篡改的可能,所以,该信息是真实信息。由于数字签名技术是一种加密技术,包含加密、解码等操作,其复杂性为数据的真实性提供了保障。从某种程度而言,数字签名可以取代手工签名,其同样受到法律的保护,这大大减小了审计的难度。
2.4 完善相关法律
在与电子商务相关的法律法规的建设上,一方面,要加强立法,紧跟时代脚步,完善相关的法律法规,为电子商务发展法律保障。另一方面,要借鉴发达国家在电子商务信息安全建设上的成功经验,结合中国的实际情况,对计算机网络安全管理的法律进行修订,以应对多变的市场环境,使其更符合电商时代的要求。
2.5 更新改善相关会计软件
在如今以电子技术为主导的市场环境下,软件的后期更新管理工作不容忽视,尤其是电商企业,其财务信息已实现电子化,财会软件的安全问题轻则造成企业的财务损失,重则危及企业的生存。本文认为,“微”规模的电商企业可与“微”规模的软件企业进行合作,软件企业为电商企业定期进行软件维护工作,实现软件的良好管理和更新,同时为电商企业定期进行系统审核,检查电子商务系统的安全性,从而保证财会信息的安全。
3 结 语
总体而言,在电子商务环境下,会计信息的安全保密问题与网络信息安全问题有相似之处,在其解决方案上,依据的主要原理基本相同,但是会计信息直接涉及企业利益,在企业的财务管理方面起着重要的作用,而且其与后期的财务审计等工作直接相关。由于会计信息的多种可利用性,而且在电子商务环境下产生的会计信息以非纸质的形式出现,使得法律对其监管存在一定的难度,因此,其安全问题的解决显得极为重要。
主要参考文献
[1] 吴延亮.电子商务环境下会计信息系统安全问题研究[J].电子技术,
2012(3).
[2] 李唤儿.网络环境下会计信息安全问题研究[J].合作经济与科技,2014(11).
[3] 赖胜才.电子商务环境下会计信息披露问题研究[J].商场现代化,2013(19).
[4] 陈琳,木琳雅,王如燕.大数据时代的会计信息系统[J].中国商贸,2014(17).
[5] 白世萍,刘艳.电子商务环境下会计信息系统问题探讨[J].统计与管理,
2013(10).
[6] 杨修.我国电子商务企业财务管理模式形成机理研究[D].长春:吉林大
学,2014.
作者:徐海含 田海霞
(中國矿业大学,江苏徐州221008)
摘要:本文从企业信息化建设中遇到的各种安全状况着手,分析产生这些现象的原因,最后给出解决方案。
关键词:信息安全;网络安全;信息化
遵循着摩尔定律,IT技术的发展飞速千里,硬件、软件、网络、安全等技术日新月异。正所谓任何事物都具有两面性。它造福着人类的同时,也给人们留下了许多隐患。
随着信息技术的发展,我国大中型企业基本上都实现了信息化,各企业对信息化都非常重视。但是,很多企业在信息化建设中存在很多误区,信息化建设的任务主要集中在了财务系统、公司网站、企业邮箱、办公自动化、ERP等初级阶段,信息安全没有得到足够重视。
1企业信息安全中常遇到的几类问题
下面概要谈一下企业信息安全中常遇到的几类问题:
(1)移动存储:最近两年的u盘容量呈爆炸性增长,几G、几十G的U盘已经比较常见。按照现在U盘读写速率,一分钟拷贝走几百Mb的东西不成问题。在办公时间里很多工作人员没有养成人走锁机的习惯,这就造成了一个潜在的安全威胁。其他的移动存储器,比如:移动砸盘、存储卡、MP3播放器等,同样具有拷贝文件的功能。
移动存储连接上电脑以后,还有另外一个威胁,就是把存储在自身的病毒、木马等自动复制到电脑上,为信息安全埋下隐患。
(2)网络:现在基本上已是互联网络时代。互联网的发展为病毒、木马、黑客等的发展提供了最好的温床。通过电子邮件,或者即时通讯软件,几个G的文件很容易被转移到外部。同时网络中也存在着木马威胁,顽强的木马可使整个公司网络瘫痪,造成的经济损失数额巨大,成为一段时间以来危害网络安全的罪魁祸首。作为企业用户,不应随意打开来历不明的邮件;不要随意下载和运行来历不明的软件;及时修补漏洞和关闭可疑端口;及时升级病毒库;设置复杂型密码等。
(3)内部因素:内部人员的不保密性,商业间谍的出现,为企业信息外传提供可能。职员辞职后带走部分企业机密信息的不在少数。很多有价值的资料,在不经意间已经流出公司。
(4)外部因素:比如说。A公司有零件需要B公司加工,A公司会把加工图纸发送给B公司,而B公司有可能把加工图纸泄漏给A公司的竞争对手C公司。C公司对这份图纸得来全不费功夫。
(5)不可测因素:例如最近的地震。有可能造成公司数据资料的丢失;服务器的瘫痪,对企业的正常运转,信息的传递,都造成了不可估计的影响。
2产生这些问题的原因
一方面,没有信息安全方面的观念。在现在的企业信息化建设过程中,财务软件、人力资源管理软件、ERP软件等比较受欢迎,因为这些软件直接参与企业的生产经营活动,而对信息安全方面关注的人比较少。
另一方面,因为管理、技术、人员、制度的不健全。
(1)管理:没有完善的管理方法,管理人员专注于企业的生产经营。对企业的信息安全无暇顾及。
(2)技术:信息技术的发展,带来了很多新技术,这些新技术没有经过时间的检验,很可能在以后的发展过程中成为一个隐患。另外,信息安全的技术很多种,不是少数几个人能掌握得了的。所以,搞信息化建设的专业人才,要不断学习。不断提高自身水平。
(3)人员:由于企业对信息安全重视程度不高,对信息安全人员的需求度不高,基本上没有设置专业的信息安全岗位。企业中其他职员。是计算机普通使用者,没有形成良好的安全习惯。给有企图的人留下了可乘之机。
(4)制度:关于信息安全的制度不健全。即使有,信息安全方面的行为准则也是一纸空文,无法严格执行。
这些原因构成了信息安全隐患的主要部分。针对这些原因下手。可以提高企业的信息安全度。
3解决这些问题的方法
我们可以从以下几个方面进行解决:
我们要对企业信息安全建立整体架构规划,首先要了解企业的信息安全需求。企业的信息安全需求,以可用性、完整性、保密性为基础。实施信息安全要注意一个度的问题,比方说,产品图纸的信息价值一百万元,而我们花费两百万元对它进行保护。这就颠倒了主次,混淆了本末。我们如何才能知道我们的信息价值,可以借助于价值评估来完成。
企业信息安全架构规划可以从信息安全的不同领域:物理安全、系统安全、数据安全、网络安全、应用安全等各个领域分别解决。
3.1物理安全
企业信息安全的物理安全的风险是多种多样的。主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误:设备被盗、被毁;电磁干扰;线路截获。我们要有针对性的解决:服务器要有专门的专业机房,能防雷、防静电、防灰尘、防盗;客户机要确保计算机主机的安全,防止丢失电脑配件或者整机。
3.2系统安全
包含计算机操作系统安全及在系统架构上的软件安全。没有绝对安全的操作系统,只有相对安全的操作系统。计算机上最好能安装正版操作系统,并及时下载补丁升级。对操作系统平台进行安全配置,对操作和访问权限进行严格控制,以确保把系统的危险降低到最低。应用软件方面。尽量安装大型软件公司出品的产品。免费软件、共享软件、破解软件等有安全隐患没有通过安全验证的软件,尽量不要安装。安装的软件要尽量避免与计算机内已有的软件发生冲突,以免引起系统不能稳定运行,频繁死机重启,造成数据丢失。
3.3数据安全
重要的文档要加密。密码在方便记忆的情况下,越复杂越好。重要数据要“狡兔三窟”,除了在本机有,还要做好备份工作。定期做好数据的备份工作,当计算机发生故障时,可以将损失减少到最低。
3.4网络安全
网络安全是一个热门的话题。下面我们就几种网络安全基础防护设施作一下介绍,它主要包含防火墙、入侵检测、漏洞扫描、病毒防治等。
(1)防火墙
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
防火墙是网络安全的屏障,它可以强化网络安全策略,可以对网络存取和访问进行监控审计,同时可以防止内部信息的外泄。
(2)入侵检测系统
入侵检测系统(Intrusion-detection system,下称“lDS'’)是一种对网络传输进行即时监视。在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于,IDS是一种积极主动的安全防护技术。
(3)漏洞扫描系统
漏洞扫描系统是一种系统安全评估技术,它包括网络模拟攻击、漏洞测试、报告服务进程以及评测风险,提供安全建议和改进措施等功能。
(4)防病毒系统
对付病毒最理想的办法是预防,就是不让病毒进入系统。但这个目标不可能实现,只能通过加强预防措施来减少病毒攻击的成功次数。
世界上没有完美的防病毒系统,国内和国外的都有其特点。一般来说,国外的技术先进,国内的有本地化优势。具体选择哪款,要综合考虑。但没有能通杀所有病毒的杀毒软件,并且,杀毒软件要经常更新病毒库,这样才能发挥它的最大效力。
3.5安全审计系统
上面介绍的几种安全防护措施,它们对防止外部入侵有一定的效果,但并不能完全阻止入侵者的攻击,特别对于内部安全问题的防范比较薄弱。在这种情况下,就需要网络安全审计系统进行补充。网络安全审计系统是一种基于信息流的数据采集、分析、识别和资源审计封锁软件。通过实时审计网络数据流,根据用户设定的安全控制策略,对受控对象的活动进行审计。
3.6应用安全
建立在操作系统之上的应用服务软件,如数据库服务器、电子邮件服务器、WEB服务器等,这些服务器管理系统本身的安全等级要达到与操作系统安全等级相当的级别,特别是数据库服务器应划分安全等级和范畴,对有关数据库安全的事件进行跟踪、记录、报警和处理等。
有了上述的防护措施,并不意味着我们的信息已经安全了,信息安全靠的是企业上下全体人员的努力,有个非常有名的原理用在这儿非常合适:“木桶原理”。企业信息安全的最终水准,是由最薄弱的那一环来决定的。所以,全体动员,共建信息安全很有必要。
作者:刘丽然 苏 成
[摘 要]隨着油气生产技术与互联网的融合发展,工业企业逐渐认识到工业网络安全的重要性,本文结合采油厂的工业网络信息安全防范建设,分析了工业网络信息安全中存在的一些问题及解决方案。
[关键词]工业网络;信息安全;防火墙
doi:10.3969/j.issn.1673 - 0194.2017.20.096
[
0 引 言
近年来,网络经济的全球化带动了社会各行业的发展,工业企业的工业网络技术发展尤为迅速,从传统PLC逻辑控制自动化到工业实时以太网再到物联网,从具有专有性、专用性的网络环境转变成开放、集成、高效的工业网络环境。目前,随着信息化建设及数字油田建设的深入,工业网络能够实现实时控制、实时监控、实时响应和远程系统监视等,石油开采以及石油储运的生产和经营过程,全部都将依托于工业网络。工业网络的应用广度和深度都达到了前所未有的高度,也将为企业带来可观的经济效益。但是,工业网络也存在各种安全隐患,攻击工业网络的事件时有发生,针对工业控制系统的网络攻击也愈演愈烈。企业也逐渐意识到工业网络信息安全的重要性,国家也陆续出台了一系列有关工控安全的标准及规范。因此,工业企业在采用新的工业IT应用技术的同时,更应该健全工业网络的安全防控机制,通过掌握防范和攻击技术,做到有针对性地进行防范。
1 工业网络概述
工业网络是企业网络的一个重要分支,是指在一个工业企业范围内,将信号检测、信号传输、数据处理、储存、计算和控制等设备或系统连接在一起,以实现企业内的资源共享、信息管理、过程控制和经营决策等。
目前,工业网络有典型的3层架构:第1层为设备层网络,第2层为控制层网络,第3层为管理层网络。三层网络架构广泛应用于工厂企业的工控环境中,各层级网络采用不同的开放式通讯协议和物理接口,使网络互联成为可能。工业网络大多采用这种系统网络架构,能够确保数据传输稳定可靠。
从工业网络体系结构可以看出,工业网络是一个网络控制系统,控制系统的稳定性不能因为网络攻击而被破坏。管理层和控制层之间的访问安全机制必须要确保需要保密的数据不被窃取。
2 工业网络环境中存在的问题
一些早期建设的采油厂,网络规划简单,基本是按照办公业务网络进行建设的,没有统一规划建设工业数据网络,到后期只是简单地将工控设备网络接入办公业务网络,使实时工业数据与日常办公数据一同在物理网络里传输。在这种网络环境下,工业数据和自动化生产设备暴露在开放的网络环境下,容易遭受办公业务网络内的病毒、外部黑客和不法分子的攻击,不仅数据安全得不到保证,而且一旦出现网络设备故障,将会同时影响自动化数据传输和日常公务运行。工业网络环境中存在的问题主要有以下几个方面。
2.1 缺乏清晰的网络边界
工业网络中存在着业务特点、安全需求不同的单元域,如控制单元域、工程组态域、监控域和办公域等。不同的单元域间简单地完全互联、容易导致不同性质的业务、设备、通信混在一起,会给关键的生产控制带来风险。不同的单元域之间缺少必要的隔离措施,网络接入缺少防护、认证,存在非法接入的可能。
2.2 缺乏针对病毒、蠕虫等恶意程序的防护措施
首先,在工业协议中,工业企业通常使用非加密设计,从硬件角度来说也不支持加密手段,在工控设备中也经常会开启其他服务,如FTP、HTTP、SSH等,但却缺少保护措施,一旦开启这些服务将会导致整个设备容易被病毒、蠕虫等恶意程序攻击。
其次,大多数工业控制系统的工程师站、操作站、HMI都是Windows平台的。为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,出于应用软件与操作兼容性考虑,工程师在系统运行后通常不会对Windows平台安装任何补丁,从而埋下安全隐患。
最后,为了保证工控应用软件的可用性,许多工控系统操作站通常不会安装杀毒软件,即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于杀毒软件的病毒库需要不定期更新,这一要求尤其不适合于工业控制环境。这些因素都导致整个设备容易被病毒、蠕虫等恶意程序攻击。
2.3 应用软件漏洞
首先,由于应用软件多种多样,很难形成统一的防护规范以应对安全问题,当应用软件面向网络应用时,就必须开放其应用端口。其次,大部分工控软件都是根据现场情况进行二次开发,软件成熟度及安全性都得不到保证。
3 工业网络安全防护建议
笔者通过整理老采油厂工业网络环境中的一些主要问题发现,工业网络中的安全风险不能只靠单一的“网闸”式管理,需要采用硬件、软件加管理的安全模式。基于此,本文提出了以下安全建议。
3.1 划分工业网络安全区域
首先,在工业网络中,技术人员可以采用网络物理链路隔离,建设一套工业网专用的物理链路。其次,技术人员要在工业网络与办公业务网络的交换接口处架设工业级边界网关,最好能够以功能区域为单位架设区域网关,并采用防火墙等技术实现网络隔离。再次,技术人员可以通过对工业控制协议的深度解析,运用“白名单+智能学习”技术建立工控网络安全通信模型,阻断一切非法访问,仅允许可信的流量在网络上进行传输,为工控网络与外部网络互联、工控网络内部区域之间的连接提供安全保障。
3.2 构建工业级安全管理平台和报警管理平台
在构建工业级安全管理平台的过程中,技术人员要将所有部署在工业网络里的安全设备建立组态进行统一管理,并监控工业网络中的所有安全设备的运行参数,确保能够及时集中下发安全策略至各个安全设备,在有病毒入侵或者策略调整的时候可以节约大量时间。
在构建工业级报警平台的过程中,技术人员一方面要对报警信息进行等级划分,并根据不同的报警等级来制定工作的优先级;另一方面要确保能够及时捕获现场所有安装有工业防火墙的通讯信道中的攻击,并详细显示攻击来自哪里、使用何种通信协议、攻击目标是谁,以总揽大局的方式为工业网络故障的及时排查、分析提供可靠依据。
3.3 完善工业网络中权限控制与访问控制
首先,技术人员要完善访问控制策略,分别从入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面保护内部系统与资源,防止外部未授权用户及入侵者的非法访问与破坏。
其次,技术人员通过控制防火墙防护策略,可将需要封闭或开放的端口或者ip地址、MAC地址制作成管理模版,根据现场的生产设备情况来定制模版。只开放使用资源,对其他资源进行控制,从而对网络环境进行管控,减少攻击风险。
4 结 语
工业网络的安全是顺利开展生产的前提。本文只是给出了工业网络基本的安全解决意见,随着IT技术、网络应用技术的不断发展,企业使用的工业控制设备越来越多,新的网络问题一定会如影随形。面对复杂的网络环境,石油企业只有采取科学、合理的安全管理措施,对企业安全策略和安全防护体系进行不断改善,才能全方位地保障工业网络及工业设备的安全。
主要参考文献
[1]李振汕.物联网安全问题研究[J].信息网络安全,2010(12).
[2]董栋,王宁.网络信息安全存在的问题及对策研究[J].网络安全技术及应用,2015(8).
[3]李慧,刘彩云.浅析计算机网络信息安全和防护[J].黑龙江科技信息,2015(15).
[4]林跃,张建华.工业通信网络及系统技术[J].自动化与仪表,2009(7).
[5]江正战.现场总线与工业控制网络[J].微型机与应用,1995(11).
[6]刘丽娜.工业网络信息安全现状分析及安全防护系统研究[J].网络安全技术与应用,2017(5).
[7]李玉敏.工业控制网络信息安全的防护措施与应用[J].中国仪器仪表,2012(11).
[8]缪学勤.工业网络信息安全转向硬件解决方案[J].自动化博览,2010(4).
作者:李恺
推荐阅读:
信息系统管理中信息安全论文05-01
信息安全与安全建设论文提纲11-15
信息安全论文题目05-09
信息安全论文提纲11-15
电力信息系统信息安全技术论文05-13
信息化档案信息安全论文提纲11-15
社保信息安全论文04-11
铁路信息安全论文04-11
信息安全论文题目05-09
信息安全计算机安全论文提纲11-15
