導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全技術(shù)保障措施，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：網(wǎng)絡(luò)安全;信息安全;理論;實現(xiàn);保障

0 引言

目前，計算機網(wǎng)絡(luò)技術(shù)的應(yīng)用日趨廣泛，但網(wǎng)絡(luò)信息安全還存在很多問題，網(wǎng)絡(luò)安全工作明顯滯后于網(wǎng)絡(luò)建設(shè)。網(wǎng)絡(luò)安全問題容易造成信息泄露等問題，造成了信息安全的問題，嚴(yán)重的影響了各方面的發(fā)展和安全，這就需要從多方面綜合研究信息安全問題，不斷研發(fā)解決措施，真正實現(xiàn)計算機網(wǎng)絡(luò)的安全有效的應(yīng)用。

1 我國信息安全技術(shù)中存在的問題

1.1信息安全制度上 目前來說我國頒布了一些關(guān)于信息安全的法律法規(guī)以及出臺了一些相關(guān)政府文件，例如，《網(wǎng)絡(luò)信息安全不同等級保護措施》、《國家安全法》、《互聯(lián)網(wǎng)絡(luò)信息電子簽名法》等。這些法律條例對于計算機網(wǎng)絡(luò)的應(yīng)用以及安全有一定的約束和保護，但是從全方面來看，很多條例知識針對網(wǎng)絡(luò)信息內(nèi)容進行了規(guī)范，整體上來說較為分散，沒有一個統(tǒng)一的概述和規(guī)劃，國家出臺了一些規(guī)劃措施，但是由于互聯(lián)網(wǎng)安全問題的不斷發(fā)展，時代的變化造成規(guī)劃內(nèi)容并不夠明確，這些問題給網(wǎng)絡(luò)信息安全技術(shù)帶來了一定的隱患。

1.2 信息安全技術(shù)上

1.2.1 我國信息化建設(shè)發(fā)展速度很快，但是由于發(fā)展較晚，發(fā)展時間較短，這就造成我國的信息化建設(shè)缺乏自主研發(fā)的計算機網(wǎng)絡(luò)軟硬件的信息技術(shù)，很多軟件都依賴國外的進口，這就造成網(wǎng)絡(luò)安全的巨大隱患和脆弱狀態(tài)。

1.2.2 在信息網(wǎng)絡(luò)的應(yīng)用中長期存在著病毒感染的隱患，雖然網(wǎng)絡(luò)技術(shù)也在不斷的發(fā)展，但是病毒也在不斷改善，現(xiàn)代病毒能夠通過多種突進進行傳播和蔓延，例如，文件、網(wǎng)頁、郵件等，這些病毒具有自啟功能，能夠直接潛入核心系統(tǒng)和內(nèi)存，造成計算機網(wǎng)絡(luò)數(shù)據(jù)傳輸出現(xiàn)問題，嚴(yán)重的甚至出現(xiàn)系統(tǒng)癱瘓。

1.2.3 在網(wǎng)絡(luò)安全工作中，信息在網(wǎng)絡(luò)中的傳輸具有可靠性低等特點，這就容易造成信息在網(wǎng)絡(luò)系統(tǒng)易被破解和搜索。

1.2.4 網(wǎng)絡(luò)中沒有進行保護措施的電腦很容易受到潛在的威脅，威脅有很多方式，來自于網(wǎng)絡(luò)的內(nèi)部和外部等，木馬病毒的入侵、硬盤數(shù)據(jù)被修改等都容易造成網(wǎng)絡(luò)安全的問題。

1.3 信息安全意識上 在網(wǎng)絡(luò)技術(shù)的不斷發(fā)展中，我們更多注重的是網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)，但是相關(guān)的管理和安全工作卻沒有跟上，對于網(wǎng)絡(luò)安全的投資和重視都嚴(yán)重不夠，一旦安全上出現(xiàn)了隱患或者問題沒有科學(xué)有效的措施進行及時的補救，甚至需要采取關(guān)閉網(wǎng)絡(luò)等方式解決，造成了問題的嚴(yán)重化而不能真正有效的解決，在整個網(wǎng)絡(luò)運行過程中，缺乏行之有效的安全檢查和應(yīng)對保護制度。

2 我國信息安全保障措施

2.1 制度上完善 為了保證網(wǎng)絡(luò)信息安全發(fā)展就需要制定相關(guān)的政策，保證每個行為都有據(jù)可依有法可循，由于網(wǎng)絡(luò)信息發(fā)展更新較快，這就需要對規(guī)范要求也及時跟新，保證制度上的完善，為網(wǎng)絡(luò)信息安全技術(shù)提供法律基礎(chǔ)。

2.2 技術(shù)上提高

2.2.1 數(shù)據(jù)加密技術(shù)。目前來說數(shù)據(jù)操作系統(tǒng)安全等級分為D1，Cl，C2，B1，B2， B3，A級，安全等級由低到高。在安全等級的應(yīng)用上，使用C2級操作系統(tǒng)時要盡量使用配套相關(guān)級別，對于極端重要的系統(tǒng)要使用B級或者A級的保護。

2.2.2 防火墻和防病毒軟件。防火墻和防病毒軟件是常用的一種安全防護措施，能夠?qū)Σ《緦崟r進行掃描和檢測，在清毒過程中由被動轉(zhuǎn)為主動，對文件、內(nèi)存以及網(wǎng)頁等進行實時監(jiān)控手段，一旦發(fā)現(xiàn)異常及時進行處理，防火墻則是防病毒軟件和硬件的共同作用，利用防火墻本身內(nèi)外網(wǎng)之間的安全網(wǎng)關(guān)對數(shù)據(jù)進行有效的過濾和篩選，控制其是否能夠進行轉(zhuǎn)發(fā)，另外防火墻還能夠?qū)π畔⒌牧飨蜻M行控制，提供網(wǎng)絡(luò)使用狀況和流量的審計、隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)。它還可以幫助系統(tǒng)進行有效的網(wǎng)絡(luò)安全隔離，通過安全過濾規(guī)則嚴(yán)格控制外網(wǎng)用戶非法訪問，并只打開必須的服務(wù)，防范外部的拒絕服務(wù)攻擊。

2.2.3 使用安全路由器。安全路由器的使用能對單位內(nèi)外部網(wǎng)絡(luò)的互聯(lián)、流量以及信息安全進行有效的安全維護，建設(shè)虛擬專用網(wǎng)是在區(qū)域網(wǎng)中將若干個區(qū)域網(wǎng)絡(luò)實體利用隧道技術(shù)連接成各虛擬的獨立網(wǎng)絡(luò)，網(wǎng)絡(luò)中的數(shù)據(jù)利用加/解密算法進行加密封裝后，通過虛擬的公網(wǎng)隧道在各網(wǎng)絡(luò)實體間傳輸，從而防止未授權(quán)用戶竊取、篡改信息。

2.2.4 安裝入侵檢測系統(tǒng)。在安全防御體系中，入侵檢測能力是一項重要的衡量因素，入侵檢測系統(tǒng)包括入侵檢測的軟件和硬件，入侵檢測系統(tǒng)能夠彌補網(wǎng)絡(luò)防火墻的靜態(tài)防御漏洞，能夠?qū)?nèi)部攻擊、外物攻擊以及誤操作等進行實時的防護和攔截，一旦計算機網(wǎng)絡(luò)出現(xiàn)安全問題，入侵系統(tǒng)能夠及時進行處理和完善，消除威脅。并且一種新型的網(wǎng)絡(luò)誘騙系統(tǒng)能夠?qū)θ肭终哌M行誘騙，通過構(gòu)建一個環(huán)境真實的模擬網(wǎng)絡(luò)，誘騙入侵者進行攻擊，一旦攻擊實施就能及時進行定位和控制，從而保護實際運行網(wǎng)絡(luò)系統(tǒng)的安全，同時在虛擬網(wǎng)絡(luò)中還能夠獲取入侵者的信息，從而為入侵行為提供證據(jù)，實現(xiàn)對入侵行為的打擊。

2.3 意識上重視 首先對于思想的強化和加強是安全管理工作的基礎(chǔ)，只有人的思想得到了充分的重視才能夠?qū)W(wǎng)絡(luò)安全技術(shù)有所提高，參與人員必須熟悉相關(guān)規(guī)范要求，增強保密意識，真正的實現(xiàn)保密安全環(huán)境的優(yōu)化。制度上要嚴(yán)格控制，設(shè)立專門的安全管理機構(gòu)，實現(xiàn)專人專責(zé)，從而保證安全管理的問題。最后在這個信息化的時代，人才是重要的生產(chǎn)力，我們必須重視網(wǎng)絡(luò)信息安全的人才培養(yǎng)，保障網(wǎng)絡(luò)人員的高技術(shù)高素質(zhì)，實現(xiàn)網(wǎng)絡(luò)信息技術(shù)的安全。

3 結(jié)論

綜上所述，信息安全對于一個國家的社會經(jīng)濟發(fā)展以及文化安全等方面都十分重要。這就需要我們充分重視信息安全問題，提高信息安全技術(shù)，針對不同的問題相應(yīng)解決，實現(xiàn)我國信息安全制度的順利運行。

參考文獻：

[1]李彥旭，巴大志，成立，等.網(wǎng)絡(luò)信息安全技術(shù)綜述[J].半導(dǎo)體技術(shù)，2002，27（10）：9-12，28.

篇2

1無線網(wǎng)絡(luò)安全體系的分析

無線網(wǎng)絡(luò)在網(wǎng)絡(luò)協(xié)議中規(guī)定的安全體系主要是WAP中規(guī)定的應(yīng)用。主要是保障數(shù)據(jù)通信在保密性、真實性、完整性以及不可否認(rèn)性四個屬性中的安全。保密性主要是從數(shù)據(jù)加密技術(shù)上來進行保障與防御，保密性是為了確保個人隱私不被截取或者中間閱讀，通過強密碼加密明文致使明文不可能被別人截取，除非在接受者能夠獲取口令的情況下，否則密鑰保護足以抵擋被入侵的風(fēng)險。為此，無線網(wǎng)絡(luò)安全體系必須保障加密系統(tǒng)在理論上是不可攻破的，其次是在實際操作中也是不可攻破的。系統(tǒng)不能依賴于自身密碼的保護，而應(yīng)該依賴于密鑰的保護，否則當(dāng)前的黑客軟件配上密碼表通過最笨的方法也能夠不斷的測試出其中的密碼設(shè)計；真實性是用來確保信息人的身份內(nèi)容，它同樣是一種技術(shù)，是為了在無線網(wǎng)絡(luò)應(yīng)用中確定對方同樣為身份識別人的一種要求；完整性相對于安全體系來說是要確定所接收的數(shù)據(jù)是原始的，完整的，在其數(shù)據(jù)傳輸過程的中間環(huán)節(jié)沒有被修改過。通過數(shù)字簽名等技術(shù)制約可以降低完整性不足的風(fēng)險，在大多數(shù)的網(wǎng)絡(luò)攻擊情況下，完整性的重要意義甚至高于保密性，這說明一個問題，我們所保密的不一定的完整的，而完整的起碼是保密的；不可否認(rèn)性的意義在于強調(diào)認(rèn)證系統(tǒng)的安全性，即整個安全系統(tǒng)的認(rèn)證是無法被篡改的，考驗這種安全性的內(nèi)容主要有，確認(rèn)信息的不可更改性和不能抵賴性，接受者能通過驗證并合法，其他人無法更改和否定信息等內(nèi)容。除了數(shù)據(jù)通信的安全性外還需要無線網(wǎng)絡(luò)的安全性保障與防御，即無線傳輸層的安全保障。無線傳輸層的安全保障（WirelessTrans-PortationLayerSeeurity）主要包括無線傳輸層的規(guī)范、無線傳輸層的結(jié)構(gòu)、真實性、密鑰交換、完整性與保密性。無線傳輸層通過安全連接來保證層級規(guī)范協(xié)議的有效性，通過將客戶與整個安全網(wǎng)絡(luò)的連接來保障協(xié)議的實現(xiàn)。通過控制網(wǎng)關(guān)使用參數(shù)的可能性，確保數(shù)據(jù)的安全。協(xié)議規(guī)定要求雙方安全協(xié)商，只有本區(qū)域的網(wǎng)絡(luò)代表才能夠有資格進入?yún)f(xié)商層級，從而在虛擬的結(jié)構(gòu)中實現(xiàn)了有線網(wǎng)絡(luò)式的單線單網(wǎng)。客戶與網(wǎng)絡(luò)兩個終端間也能夠有效的互相驗證。無線網(wǎng)絡(luò)的結(jié)構(gòu)是一個層級協(xié)議，握手、報警、密鑰交換以及應(yīng)用使得結(jié)構(gòu)趨于完整。無線網(wǎng)絡(luò)中的真實性是通過網(wǎng)絡(luò)證書來實現(xiàn)的，通過網(wǎng)絡(luò)證書的交換，實現(xiàn)了應(yīng)用網(wǎng)絡(luò)中的真實性確認(rèn)；無線網(wǎng)絡(luò)中的完整性則是通過信息驗證程序來進行維護和保障，通過不同的計算方法來實現(xiàn)網(wǎng)絡(luò)完整；無線網(wǎng)絡(luò)中的密鑰交換是一個關(guān)鍵步驟，是無線網(wǎng)絡(luò)安全性的一個具體保障措施，首先是Server發(fā)送一個Server密鑰交換信息，通過計算的方式轉(zhuǎn)移到客戶層面，客戶也通過相應(yīng)的的計算機輔助計算來實現(xiàn)密鑰的交換，雙方互相驗證，獲得通關(guān)密碼的生成；最后，主密碼通過20字節(jié)的序號加諸于計算公式中得到保密性驗證。這便形成了一系列的無線網(wǎng)絡(luò)安全定制，從而有效的保障的無線網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩Ｐl(wèi)與防御工作。

2無線網(wǎng)絡(luò)安全技術(shù)的發(fā)展

隨著全球化無線網(wǎng)絡(luò)的不斷進步與實現(xiàn)，無線網(wǎng)絡(luò)的安全技術(shù)在不斷的朝向深層次發(fā)展，這成為了支持無線網(wǎng)絡(luò)發(fā)展的最可靠保障。無線網(wǎng)絡(luò)的特點決定其未來發(fā)展網(wǎng)絡(luò)數(shù)據(jù)傳輸中的主流。不論是從長距離傳輸還是短距離使用，無線網(wǎng)絡(luò)都將不斷的實現(xiàn)突破和發(fā)展，盡管在攻擊與防御的主要矛盾下，無線網(wǎng)絡(luò)技術(shù)的安全性從未間斷過考驗，但是正是由于危機與考驗的出現(xiàn)，為無線網(wǎng)絡(luò)的技術(shù)發(fā)展提供了可靠的發(fā)展動力，并最終實現(xiàn)網(wǎng)絡(luò)安全的整體進步，無線網(wǎng)絡(luò)的發(fā)展是大趨勢、大潮流，無線網(wǎng)絡(luò)安全技術(shù)保障問題也勢必成為無線網(wǎng)絡(luò)領(lǐng)域內(nèi)發(fā)展的主要課題，成為我們必須一直關(guān)注的網(wǎng)絡(luò)基本問題。

作者：殷明哲 單位：中國民用航空東北地區(qū)空中交通管理局吉林分局

篇3

關(guān)鍵詞：統(tǒng)計信息化；因素；措施

一、制約統(tǒng)計信息化建設(shè)的主要因素

近幾年，我國統(tǒng)計信息化建設(shè)步伐加快.目前已建成了從國家統(tǒng)計局到各省、區(qū)、市和重點城市統(tǒng)計局的骨干網(wǎng)絡(luò)，初步形成了運用計算機及網(wǎng)絡(luò)收集、傳輸、處理、儲存和統(tǒng)計資料的網(wǎng)絡(luò)環(huán)境和硬件條件。但是，由于受現(xiàn)行的統(tǒng)計體制、統(tǒng)計制度和方法的制約，現(xiàn)代信息技術(shù)的應(yīng)用受到很大的制約。具體表現(xiàn)在：

1.數(shù)據(jù)采篡和傳輸受到體制的制約。經(jīng)過“九五”統(tǒng)計信息工程建設(shè)，目前己具備了國家統(tǒng)計局通過網(wǎng)絡(luò)直接采集企業(yè)數(shù)據(jù)的條件。通過計算機網(wǎng)絡(luò)實施企業(yè)數(shù)據(jù)直報，將大大提高統(tǒng)計數(shù)據(jù)的采集速度，同時也有利于減少地方政府對統(tǒng)計調(diào)查的干擾。但是，這種采集數(shù)據(jù)的方式也受到現(xiàn)行統(tǒng)計體制的制約。企業(yè)直接為國家統(tǒng)計局報送調(diào)查表，省、市、縣三級也需要企業(yè)數(shù)據(jù)，因而國家統(tǒng)計同采集到的企業(yè)數(shù)據(jù)還要反饋給地方統(tǒng)計局，人為的增加了工作量；此外，許多地方在企業(yè)表上按自己需要又增加了一些指標(biāo)，導(dǎo)致了各地的企業(yè)表指標(biāo)和結(jié)構(gòu)不一樣，給國家統(tǒng)計局進行計算機數(shù)據(jù)審核和處職帶來麻煩；另外，由于地方政府和地方統(tǒng)計各有各自的利益，實施企業(yè)直報也遇到了一定的阻力

2.數(shù)據(jù)處理受到報表方式的制約。運用計算機進行統(tǒng)汁數(shù)據(jù)處理、最大的優(yōu)勢是基礎(chǔ)數(shù)據(jù)可按一定的標(biāo)志進行任意的分組和加工，數(shù)據(jù)處理的對象應(yīng)當(dāng)是基層表。但是，目前各級政府都需要本地區(qū)的匯總數(shù)據(jù)，因而許多進度性統(tǒng)計報表采取逐級匯總的方式，報送的是綜合數(shù)據(jù)而不是基層數(shù)據(jù)，其結(jié)果越往上報指標(biāo)及分組就越少，無法對調(diào)查數(shù)據(jù)按不同需要進行再分組相加工。

3.統(tǒng)計數(shù)據(jù)庫建設(shè)受到統(tǒng)計制度的制約。由于目前各專業(yè)執(zhí)行的標(biāo)準(zhǔn)不完全一致，如產(chǎn)業(yè)分類、產(chǎn)品分類、職業(yè)分類、城鄉(xiāng)分類等標(biāo)準(zhǔn)不一樣，制約著建立統(tǒng)一、共用的統(tǒng)計指標(biāo)及標(biāo)準(zhǔn)庫，也給建設(shè)統(tǒng)一的統(tǒng)計數(shù)據(jù)庫帶來困難。改革開放以來，我國的統(tǒng)計制度變化較大，各年度之間的統(tǒng)計指標(biāo)途徑、統(tǒng)計范圍和統(tǒng)計標(biāo)準(zhǔn)上有差別，因此，建立歷史統(tǒng)計數(shù)據(jù)庫，需要銨統(tǒng)一的口徑重新整理歷史數(shù)據(jù)，工作難度大，數(shù)據(jù)庫建設(shè)進展緩慢。目前已建成的歷史統(tǒng)計數(shù)據(jù)庫，由于指標(biāo)范圍、口徑和標(biāo)準(zhǔn)不一，不好使用，大多數(shù)成了“死庫”。大量的歷史統(tǒng)計數(shù)據(jù)以紙介質(zhì)為載體散存在各地、各專業(yè)，一些歷史數(shù)據(jù)已經(jīng)丟失，其損失是不可挽回的。

二、措施

1.加強統(tǒng)計信息系統(tǒng)的安全教育及制度建設(shè)。要樹立全員安全意識。大力加強信息安全的法制建設(shè)和宣傳活動，努力增強廣大群眾的信息安全知識和安全防范意識，自覺遵守信息安全管理的各項規(guī)定。嚴(yán)肅打擊各種計算機信息犯罪活動，為各種信息網(wǎng)絡(luò)的安全運行建立起良好的社會秩序，努力構(gòu)建一個健康、良好、合作及和諧的統(tǒng)計信息系統(tǒng)運行的社會環(huán)境。

隨著國家統(tǒng)計系統(tǒng)對網(wǎng)絡(luò)調(diào)查安全工作的重視，國家統(tǒng)計局和各地統(tǒng)計部門都結(jié)合自身情況制定了一系列的統(tǒng)計信息系統(tǒng)應(yīng)急保障預(yù)案，相應(yīng)的規(guī)章制度建設(shè)、標(biāo)準(zhǔn)制訂、技術(shù)保障措施等都得到了一定程度的完善。當(dāng)前，尤其是要加快制定《統(tǒng)計信息系統(tǒng)信息安全管理規(guī)定》，從信息安全的組織保證、人員管理、運行環(huán)境和操作使用、管理服務(wù)等多層面建設(shè)統(tǒng)計信息系統(tǒng)的安全防范運行新機制。

在指導(dǎo)思想方面，應(yīng)該將《統(tǒng)計法》的貫徹落實、統(tǒng)計制度及方法的改革與發(fā)展、網(wǎng)絡(luò)安全技術(shù)的普及與發(fā)展相結(jié)合，從制度和技術(shù)等方面保障統(tǒng)計信息系統(tǒng)的安全運行。要以風(fēng)險管理思想為指導(dǎo)，以保障安全運行為中心，始終牢固樹立安全防范意識。切實加強信息安全保障工作的組織領(lǐng)導(dǎo)，落實信息安全責(zé)任制。要積極開展不同形式的信息安全培訓(xùn)，提高網(wǎng)絡(luò)統(tǒng)計報表系統(tǒng)管理和使用人員的信息化安全業(yè)務(wù)素質(zhì)。

篇4

隨著計算機技術(shù)的快速發(fā)展，以計算機網(wǎng)絡(luò)系統(tǒng)為主的現(xiàn)代信息系統(tǒng)發(fā)展迅猛，人們對于數(shù)據(jù)庫信息系統(tǒng)的安全防范越來越重視，本文主要闡述了當(dāng)前數(shù)據(jù)庫信息系統(tǒng)安全方面的現(xiàn)狀以及提出了針對數(shù)據(jù)庫信息系統(tǒng)的安全防范的有效措施。

【關(guān)鍵詞】數(shù)據(jù)庫信息系統(tǒng) 安全防范 探究

隨著信息產(chǎn)業(yè)的快速發(fā)展，數(shù)據(jù)庫信息系統(tǒng)在各行各業(yè)之間都得到了很好的利用。但目前，我國數(shù)據(jù)庫的系統(tǒng)安全技術(shù)還不完善，這給數(shù)據(jù)庫信息系統(tǒng)帶來了隱患，因此，要想更好的杜絕病毒污染、黑客襲擊等狀況，就必須加強數(shù)據(jù)庫信息系統(tǒng)的安全防范工作。

1 數(shù)據(jù)庫信息系統(tǒng)的安全現(xiàn)狀分析

1.1 信息系統(tǒng)的安全范疇

所謂的信息系統(tǒng)安全范疇是指建立者在國家和行業(yè)的法律法規(guī)的限定下，制定出符合組織的安全管理政策，并且通過學(xué)習(xí)、培訓(xùn)等形式來提高內(nèi)部人員的安全意識、防范意識，使其遵守規(guī)章制度，嚴(yán)格執(zhí)行安全政策。對于所制定的安全管理政策還要制定相關(guān)的審計制度，用來評價安全政策的效果，并監(jiān)督安全政策的實施狀態(tài)，通過高超的技術(shù)手段才能保證信息和信息系統(tǒng)的安全，像病毒檢測、加密技術(shù)等技術(shù)手段就是用來提高組織系統(tǒng)的安全性的技術(shù)。

1.2 信息系統(tǒng)的安全管理水平較低

當(dāng)今社會是信息化的時代，人們對于信息安全的重視度也越來越高，尤其在政府機關(guān)、企業(yè)中，一些信息、文件等都是非常機密，因此，就需要提高安全技術(shù)來保證信息系統(tǒng)的安全性。但是，如今的信息系統(tǒng)的安全管理還存在很多問題，首先，對于信息系統(tǒng)的安全技術(shù)保障體系還不完善，雖然很多企業(yè)購買了信息安全設(shè)備，但是由于技術(shù)保障不成體系，仍然達不到保障信息安全的效果。

1.3 信息安全面臨的威脅不容小覷

信息安全面臨的威脅主要體現(xiàn)在以下三點：

1.3.1 人員威脅

隨著科技的發(fā)展，信息化時代的到來，自動化設(shè)備的提高，人員在信息處理過程中的參與度逐漸減少，另外由于人員的安全意識不高，對于設(shè)備的操作容易造成失誤，還有的人甚至故意破壞，這些行為都給信息安全帶來了極大的隱患。

1.3.2 技術(shù)威脅

技術(shù)威脅主要包括四個方面：

（1）物理方面的威脅：主要指的是信息在存儲和產(chǎn)生以及處理、傳輸、使用的過程當(dāng)中涉及到的物理設(shè)備所處環(huán)境的安全，如果最基本的物理設(shè)備受到了破壞，那么信息安全問題也就無從談起了。（2）系統(tǒng)方面的威脅：主要是指系統(tǒng)受到了病毒、木馬的侵犯導(dǎo)致的系統(tǒng)崩潰，系統(tǒng)的威脅主要來自于安全技術(shù)的滯后。（3）應(yīng)用方面的威脅：主要指應(yīng)用程序帶來的威脅，其本身的誤用、濫用都會帶來安全隱患問題。（4）是數(shù)據(jù)面臨的威脅：信息系統(tǒng)的數(shù)據(jù)是精確的、詳細(xì)的，如果遭到了竊取、篡改、偽造，會造成信息系統(tǒng)中數(shù)據(jù)的泄漏和失效，其后果不言而喻。

1.3.3 信息安全組織不完善

信息安全組織負(fù)責(zé)管理系統(tǒng)的制定以及規(guī)劃和部署、維護等，推動和領(lǐng)導(dǎo)組織的信息建設(shè)，一旦管理不善，勢必會造成信息安全組織體系的混亂，缺乏領(lǐng)導(dǎo)核心，不能協(xié)調(diào)各方面的資源，不能有效監(jiān)督，這些漏洞都會對信息安全造成很大的危害。

2 加強數(shù)據(jù)庫信息系統(tǒng)安全的策略

2.1 用戶認(rèn)證和鑒別

為了確保數(shù)據(jù)庫的系統(tǒng)安全，對于訪問數(shù)據(jù)庫的用戶必須要進行認(rèn)證，可以對用戶進行ID、密碼的確認(rèn)來檢查其身份是否合法，通過用戶認(rèn)證還可以進行授權(quán)訪問、審計等相應(yīng)的跟蹤。

2.2 數(shù)據(jù)加密

數(shù)據(jù)是數(shù)據(jù)庫系統(tǒng)中重要的信息，因此，對于數(shù)據(jù)的保護格外重要，為了避免不法用戶的盜取、惡意篡改數(shù)據(jù)庫信息數(shù)據(jù)，可以通過對數(shù)據(jù)加密來保證其安全，主要有三種加密方式：

（1）字段加密。這種加密模式是直接對數(shù)據(jù)庫當(dāng)中的最小單位進行加密（MD5是目前應(yīng)用最多的密碼字段保護方法）。

（2）文件加密。把重要的信息和文件一起進行加密，在使用文件時對其進行解密，不使用時進行加密。

（3）記錄加密。這種加密模式和文件加密相似，但是加密的單位主要是記錄不是文件，我們訪問數(shù)據(jù)庫時，都是以二維表方式進行的，二維表的每一行就是數(shù)據(jù)庫的一條記錄，以記錄為單位進行加密的話，每讀寫一條記錄，只需進行一次加解密的操作，對于不需要訪問的記錄，完全不需要進行操作，所以使用起來效率會高一些。

2.3 數(shù)據(jù)庫的備份、恢復(fù)

為了避免數(shù)據(jù)庫的丟失，對數(shù)據(jù)庫的備份和恢復(fù)工作要充分、及時，以增強系統(tǒng)的可靠性，最大限度的減少軟件、硬件的故障。

2.4 檢查入侵技術(shù)

檢查入侵技術(shù)顧名思義就是檢查數(shù)據(jù)庫系統(tǒng)是否遭到入侵的技術(shù)，根據(jù)IETF，其技術(shù)體系包含四個組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件，事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果，響應(yīng)單元則是對分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、改變文件屬性等強烈反應(yīng)，也可以只是簡單的報警，事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。

2.5 防火墻技術(shù)

防火墻技術(shù)可以說是保護數(shù)據(jù)庫系統(tǒng)安全的最重要也是最通用的一項技術(shù)，防火墻是不同網(wǎng)絡(luò)安全域間信息唯一的進出口，具有較強的抗攻擊性，能根據(jù)安全政策來允許、監(jiān)測、拒絕進出網(wǎng)絡(luò)的信息，不僅能夠保證網(wǎng)絡(luò)環(huán)境的安全、控制終端信息的外泄，還可以監(jiān)控審計對網(wǎng)絡(luò)的訪問、存取，極大的提高了對數(shù)據(jù)庫信息系統(tǒng)安全防范工作的水平。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。

3 結(jié)束語

數(shù)據(jù)庫信息系統(tǒng)作為重要的信息交換手段、各個企業(yè)良好合作的平臺，它的安全保障措施十分重要，因此，要加強研制新的安全技術(shù)，完善數(shù)據(jù)庫信息系統(tǒng)的安全防范，為數(shù)據(jù)庫信息系統(tǒng)提供全面的安全保障。

參考文獻

[1]張華桁，宋立群，柯科峰，王虹菲，宋志成.構(gòu)架信息系統(tǒng)的安全策略研究與開發(fā)[J].計算機工程與應(yīng)用，2010（03）：22-26.

[2]劉青.管理信息系統(tǒng)數(shù)據(jù)庫的現(xiàn)狀與安全策略[J].廣東科技，2011（05）：11-12.

[3]張呈宇.淺談數(shù)據(jù)庫信息安全問題[J].硅谷，2010（01）：33-36.

作者簡介

張瑞浩（1991-），男，安徽省宿州市人。現(xiàn)為遼寧大學(xué)信息學(xué)院碩士研究生。研究方向為計算機系統(tǒng)結(jié)構(gòu)。

篇5

【關(guān)鍵詞】數(shù)字圖書館 網(wǎng)絡(luò)安全 信息安全 管理責(zé)任 措施

目前，我國國內(nèi)數(shù)字圖書館網(wǎng)絡(luò)信息安全（以下簡稱為網(wǎng)絡(luò)信息安全）應(yīng)用研究方面，大多都側(cè)重于技術(shù)，認(rèn)為信息安全是一個技術(shù)性的問題，其所有出現(xiàn)的問題都依賴于先進技術(shù)。但信息技術(shù)無論多么完善，它都無法回答如下問題：管理主體、制度在信息安全中的責(zé)任；技術(shù)、人、制度三者之間的關(guān)系；如何能夠解決信息安全可持續(xù)發(fā)展問題；為什么在信息技術(shù)很發(fā)達的情況下，信息安全問題依然存在，事故依然頻繁發(fā)生等等。可見，信息安全除了信息技術(shù)影響之外必有其他方面深層次的原因。僅側(cè)重于技術(shù)的應(yīng)用研究，還不能適應(yīng)信息安全實踐發(fā)展的需求，信息安全研究仍有繼續(xù)深化的必要。

網(wǎng)絡(luò)信息安全分析

網(wǎng)絡(luò)信息安全包括信息的安全和網(wǎng)絡(luò)系統(tǒng)的安全兩層意思，信息的安全是指保護基礎(chǔ)運行信息、服務(wù)器信息、用戶信息、網(wǎng)絡(luò)信息資源等信息或數(shù)據(jù)的機密性、完整性和可用性，同時還需要對信息風(fēng)險和信息控制之間的最優(yōu)平衡有非凡的理解。機密性要求保證信息不泄露給未經(jīng)授權(quán)的人。完整性要求防止信息被未經(jīng)授權(quán)的篡改和破壞。可用性是指保證訪問信息的用戶可以在不受干涉和阻礙的情況下對信息進行訪問和使用。網(wǎng)絡(luò)系統(tǒng)安全是指保護網(wǎng)絡(luò)信息系統(tǒng)設(shè)備中的硬件、軟件和網(wǎng)絡(luò)系統(tǒng)的正常狀態(tài)和安全運行。概括地講，網(wǎng)絡(luò)信息安全就是指采用技術(shù)、管理等多種措施，保護網(wǎng)絡(luò)系統(tǒng)連續(xù)正常運行，保護各種資源不因自然或人為因素遭到破壞、更改、泄露或非法占用。

網(wǎng)絡(luò)信息安全技術(shù)。先進的安全技術(shù)是實現(xiàn)信息安全的重要手段，許多網(wǎng)絡(luò)信息系統(tǒng)安全性保障都要依靠技術(shù)手段來實現(xiàn)。像信息安全所用到的防火墻技術(shù)、入侵檢測或流量分析技術(shù)、認(rèn)證控制技術(shù)、VLAN技術(shù)、加密技術(shù)、VPN、病毒防護技術(shù)、容災(zāi)技術(shù)等多項安全技術(shù)，為確保圖書館網(wǎng)絡(luò)信息的保密性、完整性和可用性提供了強有力的支持。

制度和制度執(zhí)行力。制定嚴(yán)格有效的安全管理制度規(guī)范人的行為，使人遵守規(guī)則，這是技術(shù)涉及不到的層面。而信息的保密性、完整性和可用性只有通過技術(shù)手段才能得以實現(xiàn)，卻又是制度所不能解決的。在信息安全實踐中，技術(shù)與制度二者不能斷然分開，是相輔相成的，技術(shù)是一種硬手段，制度是一種規(guī)范性的軟手段。目前，國內(nèi)數(shù)字圖書館在安全管理制度建設(shè)方面存在著諸多問題。一是制度不完善。我國數(shù)字圖書館安全管理制度還不健全，缺乏嚴(yán)格、細(xì)致、有效的安全管理規(guī)定與安全技術(shù)相配套。二是缺乏安全教育培訓(xùn)常態(tài)機制。圖書館館員以及用戶安全意識薄弱，網(wǎng)絡(luò)安全知識缺乏，知識產(chǎn)權(quán)保護意識不強。三是信息安全監(jiān)督審查機制不健全。監(jiān)督審查機制不健全，將導(dǎo)致安全管理制度流于形式，圖書館無法及時找出安全管理漏洞和不足，無法對安全管理漏洞及早采取補救措施。四是制度執(zhí)行不力。從目前圖書館規(guī)章制度的建設(shè)來看，不缺少嚴(yán)謹(jǐn)細(xì)密的典章制度，缺少的是對規(guī)章條款的不折不扣地執(zhí)行。一些圖書館存在有章不循、有規(guī)不依，獎懲不嚴(yán)、問責(zé)流于形式，安全督查不到位等種種問題。制定的制度是為了執(zhí)行，因為只有執(zhí)行才能把制度確定的各項要求落到實處，得不到執(zhí)行的制度是毫無用處的，制度也就名存實亡。

網(wǎng)絡(luò)信息安全管理。網(wǎng)絡(luò)信息安全的主體是人，客體是網(wǎng)絡(luò)信息安全防御體系，網(wǎng)絡(luò)信息安全實際上就是主客體互動的過程。技術(shù)研究的對象是物，而物是沒有目的、沒有意義可言的，它不涉及人及其行為。技術(shù)只是一種手段，網(wǎng)絡(luò)信息安全必然涉及到人及其行為和制度問題。安全管理貫穿于整個信息安全防御體系，包括建立安全管理組織、制定安全目標(biāo)、制定安全防護策略、建立安全管理制度、制定安全規(guī)劃與應(yīng)急方案、對員工進行安全意識教育培訓(xùn)等內(nèi)容。安全技術(shù)只有在有效的管理控制之下，才能得以較好地實施?？梢?，嚴(yán)格的安全管理是網(wǎng)絡(luò)信息安全的根本保證。隨著數(shù)字圖書館建設(shè)的深入，網(wǎng)絡(luò)信息安全問題日趨凸顯。目前，國內(nèi)過多地強調(diào)技術(shù)的作用，將建設(shè)的重點放在技術(shù)上，致使安全管理工作跟不上技術(shù)發(fā)展的步伐。有人對2009年我國30家數(shù)字圖書館信息安全管理現(xiàn)狀進行調(diào)研，發(fā)現(xiàn)在已發(fā)生的安全事件中，三分之一的安全事件是由安全管理機制不夠完善引起的，而事件發(fā)生原因中管理因素高達70%以上?？梢姡踩芾砩系娜笔б殉蔀閿?shù)字圖書館整個網(wǎng)絡(luò)信息系統(tǒng)不安全因素中的主要因素之一，對數(shù)字圖書館產(chǎn)生的危害遠大于其他方面。這里主要討論對人的管理問題，人的認(rèn)識和觀念問題。著名的前黑客凱文?米蒂尼說過，盡管很多公司采取了安全防護措施，但這些安全措施在網(wǎng)絡(luò)犯罪面前仍然顯得不堪一擊，原因是他們忽略了網(wǎng)絡(luò)安全最為薄弱的環(huán)節(jié)――人的因素。數(shù)字圖書館擁有功能非常強大的網(wǎng)絡(luò)信息系統(tǒng)和最先進的安全技術(shù)設(shè)施，但卻有可能緣于人而產(chǎn)生失誤，致使安全管理存在諸多隱患和不足，從而導(dǎo)致數(shù)字圖書館網(wǎng)絡(luò)信息系統(tǒng)面臨一系列信息安全問題。如引入木馬、病毒或其他危害程序；網(wǎng)絡(luò)信息系統(tǒng)運行不正常甚至癱瘓，信息外泄，無法應(yīng)對新出現(xiàn)的信息安全突發(fā)事件等，這與相關(guān)人員特別是一些負(fù)責(zé)人員對安全管理的不重視、認(rèn)識不足以及責(zé)任感缺失有關(guān)。

圖書館管理者的安全管理理念的滯后，對安全管理的重要性缺乏深層的認(rèn)識，導(dǎo)致決策上的失誤或管理不足，將給數(shù)字圖書館的網(wǎng)絡(luò)信息安全帶來不可估量的損失。如有的管理者的管理理念，還停留在傳統(tǒng)圖書館封閉式內(nèi)部局域網(wǎng)安全管理模式上，并沒有認(rèn)識到數(shù)字圖書館更為開放的環(huán)境將面臨更趨嚴(yán)峻的網(wǎng)絡(luò)安全問題，致使在網(wǎng)絡(luò)信息安全事件防御方面處于被動狀態(tài)，有的管理者雖然認(rèn)識到網(wǎng)絡(luò)信息安全問題的嚴(yán)峻性，但卻認(rèn)為只要加大對安全產(chǎn)品的投入，購買并安裝了最先進的安全技術(shù)產(chǎn)品，就可以高枕無憂了，或誤認(rèn)為到了信息技術(shù)特別發(fā)達的時候，網(wǎng)絡(luò)信息安全維護管理是管理員的事情，與其他館員無關(guān)?；蛘`認(rèn)為安全維護與管理都是服務(wù)提供商的事，圖書館只管應(yīng)用就行了。不重視安全責(zé)任意識教育與技能培訓(xùn)，導(dǎo)致一些安全管理技術(shù)人員思想麻痹大意，安全責(zé)任意識不強，不知道網(wǎng)絡(luò)信息安全的薄弱環(huán)節(jié)，不了解保護網(wǎng)絡(luò)信息安全的責(zé)任以及在對付入侵行為方面的責(zé)任。

沒有安全責(zé)任和責(zé)任分配機制，對信息安全責(zé)任人的責(zé)任內(nèi)容、范圍、責(zé)任分配不清楚。圖書館管理者制定的員工崗位責(zé)任書，責(zé)任劃分不明、工作內(nèi)容描述不清，導(dǎo)致館員不清楚應(yīng)在什么范圍和限度內(nèi)對自己的職業(yè)行為負(fù)有責(zé)任，應(yīng)該承擔(dān)何種責(zé)任和義務(wù)。致使出現(xiàn)安全管理問題時，不是相互推諉，就是聽之任之。不重視對高素養(yǎng)、高技能安全管理技術(shù)人才的引進與培養(yǎng)，一些圖書館的館內(nèi)安全管理工作多為業(yè)務(wù)培訓(xùn)，但缺乏全面的安全管理知識和技能，對不斷發(fā)展的新技術(shù)缺少深入和細(xì)致的了解和掌握，應(yīng)付網(wǎng)絡(luò)安全突發(fā)事件的預(yù)警能力不夠強。由于安全知識與技能的欠缺，導(dǎo)致他們無法應(yīng)對新出現(xiàn)的網(wǎng)絡(luò)安全突發(fā)事件。應(yīng)該清楚地看到，人是具有理性和非理性的，要使人的理于信息安全，必須要借助于制度規(guī)范，使人沿著信息安全正確的規(guī)定自覺行動。

應(yīng)該指出，制度只是一種方法，是有邊界的，并不是萬能的。無論多么完善的制度，如果不被執(zhí)行也形同一張廢紙。同時，制度具有剛性，它不能時刻隨著網(wǎng)絡(luò)信息安全的變化而變化，落后的制度有可能阻礙網(wǎng)絡(luò)信息安全的建設(shè)。綜上所述，制度、技術(shù)和管理人員的責(zé)任意識都有自己的邊界，如若單一運行制度、技術(shù)，即便是極為負(fù)責(zé)任的管理人員，也不可能完善地解決信息安全問題。因此，技術(shù)、制度、管理主體（人）的責(zé)任應(yīng)三管齊下，才能真正預(yù)防和因減少技術(shù)、管理等因素所導(dǎo)致的網(wǎng)絡(luò)信息安全問題，最大程度地保護網(wǎng)絡(luò)，使其安全運行，并最大限度地挽回網(wǎng)絡(luò)信息系統(tǒng)損失。

網(wǎng)絡(luò)信息安全保障措施

網(wǎng)絡(luò)信息安全需要技術(shù)（支撐）和管理（落實）的雙重保證。從安全防范技術(shù)層面上講，國內(nèi)的數(shù)字圖書館都有較為成熟的防御體系，但在安全管理方面，數(shù)字圖書館還須做諸多努力。

加強網(wǎng)絡(luò)信息安全教育與培訓(xùn)，樹立安全責(zé)任意識。圖書館管理者應(yīng)改變重技術(shù)輕管理的觀念，樹立全新的安全管理理念，針對圖書館館員以及讀者安全意識薄弱、安全措施不落實等現(xiàn)狀，組織開展多層次、多方位的網(wǎng)絡(luò)信息安全宣傳工作。要加大對安全防范措施檢查的力度，開展崗前培訓(xùn)、現(xiàn)場網(wǎng)絡(luò)安全教育與技能培訓(xùn)，提倡自主學(xué)習(xí)，派送技術(shù)骨干再深造等。定期或不定期舉辦網(wǎng)絡(luò)信息安全教育與技能培訓(xùn)講座，將促使館員熟知圖書館相關(guān)的安全管理規(guī)章制度，掌握相關(guān)設(shè)備的正確操作規(guī)程，以及確保系統(tǒng)和數(shù)據(jù)安全的操作方法。定期或不定期地組織館內(nèi)工作人員學(xué)習(xí)相關(guān)的法律法規(guī)和政策，使他們具有較強的安全防范意識，以及執(zhí)行制度的意識和能力。圖書館要經(jīng)常派遣館內(nèi)重點培養(yǎng)的年輕技術(shù)管理骨干參加國內(nèi)外信息安全方面的技術(shù)培訓(xùn)，鼓勵他們自主學(xué)習(xí)，及早掌握安全技術(shù)與管理新理論、新技術(shù)、新方法，掌握新的網(wǎng)絡(luò)及安全產(chǎn)品的功能，了解網(wǎng)絡(luò)病毒、密碼攻擊、分組竊聽、IP欺騙、拒絕服務(wù)、端口攻擊等多樣化攻擊手段。安全管理員要定期對網(wǎng)絡(luò)信息安全狀況進行風(fēng)險評估，及時修正安全缺陷、評估缺失，及早采取補救措施。安全維護僅僅依靠館內(nèi)為數(shù)不多的安全管理技術(shù)人員是遠遠不夠的，它還需要依靠全體館員、用戶（讀者）的同心協(xié)力。通過安全意識教育，使全體館員及用戶明確自身權(quán)限和義務(wù)，嚴(yán)格、自覺地遵守圖書館上網(wǎng)規(guī)定，不越權(quán)、不隨意下載和安裝盜版或共享軟件，同時保管好自己的密碼，經(jīng)常加固系統(tǒng)，提高系統(tǒng)的安全性。

強化制度建設(shè)，提高制度執(zhí)行力。制度的貫徹落實，不但要求制度本身的科學(xué)合理，還要求對制度的不折不扣地執(zhí)行。提高制度的執(zhí)行力，首先要不斷創(chuàng)新與完善安全管理工作制度。制度本身是否科學(xué)合理，對制度執(zhí)行力大小有著根本性的影響。因此，對具有嚴(yán)肅性和不可違反性的包含有操作程序、技術(shù)要求、安全條例等項內(nèi)容的規(guī)章制度，數(shù)字圖書館要不斷根據(jù)網(wǎng)絡(luò)信息安全發(fā)展中出現(xiàn)的新問題、新情況，對不合時宜的制度及時進行修正和補充。制度完善不能盲目跟風(fēng)，各個圖書館必須結(jié)合自身特點，不斷總結(jié)制度建設(shè)中的經(jīng)驗教訓(xùn)，改革創(chuàng)新完善制度建設(shè)的內(nèi)容，力求實現(xiàn)制度的可持續(xù)發(fā)展。另外，建立監(jiān)督審計機制，強化責(zé)任監(jiān)督，確保網(wǎng)絡(luò)信息安全管理效能。數(shù)字圖書館安全防護體系要做到“事前防范、事中控制、事后審計”，在制度上就必須做出預(yù)先的安排，以檢測危機事件，并做出預(yù)警準(zhǔn)備，以事前預(yù)防和控制替代事后的責(zé)任威懾。設(shè)立專門的主管部門，通過網(wǎng)絡(luò)信息安全主管部門這一監(jiān)督主體，加大對安全管理制度的監(jiān)督審計，通過及時修正完善各項安全管理規(guī)章制度，加強對安全工作的督查檢查，以提高相關(guān)工作人員遵章守紀(jì)的安全意識。其次，要提高制度主體（人）的執(zhí)行力。任何制度要達到有效的管理效能，就必須通過制度主體相關(guān)人員的具體行為實現(xiàn)。而相關(guān)人員的責(zé)任心、態(tài)度、素質(zhì)及能力水平，直接影響著制度執(zhí)行行為和方式的選擇，直接關(guān)系著制度執(zhí)行力的高低。主體要提高執(zhí)行力，就必須強化制度認(rèn)知。網(wǎng)絡(luò)信息安全管理體系的建設(shè)，離不開不斷創(chuàng)新和完善的規(guī)章制度和制度的落實。對制度有準(zhǔn)確認(rèn)知，制度才有可能落在實處。為此，數(shù)字圖書館要特別組織相關(guān)負(fù)責(zé)人員及館員認(rèn)真學(xué)習(xí)相關(guān)的政策、法律法規(guī)和安全管理規(guī)章制度，使他們對制度的實現(xiàn)目標(biāo)、內(nèi)容、作用、邊界等準(zhǔn)確認(rèn)知。特別是對各自的責(zé)任和義務(wù)等的準(zhǔn)確認(rèn)知，如明確崗位職責(zé)，使每一位管理人員按照自己的崗位和職權(quán)管理使用系統(tǒng)；明確責(zé)任，使安全管理技術(shù)人員懂得他們是技術(shù)責(zé)任第一人，懂得自己責(zé)任邊界及范圍。使圖書館管理者明確他們是安全管理責(zé)任第一人，是安全制度的制定者又是安全制度的督察者。主體對制度內(nèi)容、邊界等準(zhǔn)確認(rèn)知，才能對照制度找差距，發(fā)現(xiàn)薄弱環(huán)節(jié)和問題，及時糾正，才能將責(zé)任認(rèn)識內(nèi)化為行為準(zhǔn)則，最終上升為自覺行為。主體要提高執(zhí)行力，需增強對制度認(rèn)同。通過自主學(xué)習(xí)、教育培訓(xùn)、有針對性的實踐活動不斷提高制度主體的素質(zhì)，提高執(zhí)行制度能力水平，從而增強全體館員特別是安全管理技術(shù)人員對管理制度中包含操作規(guī)程、技術(shù)要求、安全條例等項內(nèi)容的硬性管理規(guī)章制度的認(rèn)同。如系統(tǒng)安全責(zé)任與監(jiān)管制度；重要軟件系統(tǒng)和關(guān)鍵硬件設(shè)備的操作制度；系統(tǒng)管理人員、操作人員責(zé)任制度；用戶權(quán)限分配和管理制度；系統(tǒng)災(zāi)難應(yīng)急預(yù)案；事故責(zé)任認(rèn)定和責(zé)任追究制度等制度的認(rèn)同。主體要提高執(zhí)行力，還需堅持說服教育與強制執(zhí)行相結(jié)合，綜合利用多種執(zhí)行手段，有效推動制度執(zhí)行。

篇6

關(guān)鍵詞：網(wǎng)絡(luò)　會計信息系統(tǒng)　安全

網(wǎng)絡(luò)會計信息系統(tǒng)給財務(wù)管理帶來新的理念，系統(tǒng)的使用者突破時空限制，可以隨時隨地通過網(wǎng)絡(luò)訪問會計信息系統(tǒng)，了解組織的業(yè)務(wù)狀況和財務(wù)狀況。網(wǎng)絡(luò)環(huán)境為信息資源共享提供了極大的便利，同時也帶來巨大的安全隱患。對于會計信息系統(tǒng)來講，面臨著越來越多的安全問題，如果不能很好地解決該問題，必將阻礙會計信息化發(fā)展進程。

一、網(wǎng)絡(luò)會計信息系統(tǒng)面臨的安全問題

(一)會計系統(tǒng)存在被攻擊、竊取的風(fēng)險　信息系統(tǒng)最容易受到的是病毒與黑客攻擊，都會對計算機或信息系統(tǒng)構(gòu)成安全威脅目前，金融、零售等信息化高度集中的行業(yè)很容易遭受到黑客攻擊；政府、軍隊、教育科研等機構(gòu)也成為黑客攻擊的重要對象；會計信息系統(tǒng)，由于涉及到機構(gòu)的核心機密，更容易受到攻擊。據(jù)瑞星估算，僅2010年，針對網(wǎng)絡(luò)的攻擊就高達10萬次以上，主要來源于美、日、韓等國。一般來講，經(jīng)濟發(fā)達地區(qū)受攻擊的比例會更高。網(wǎng)絡(luò)環(huán)境下，財務(wù)信息將面臨被竊取的風(fēng)險。一方面，許多機構(gòu)沒有成熟的安全管理機制，甚至僅依靠瀏覽器或Web服務(wù)器中的SSL安全協(xié)議；另一方面，目前的操作系統(tǒng)主要由國外研制，企業(yè)很難判斷其中是否存在后門或缺陷，極可能導(dǎo)致財務(wù)信息外泄。此外，大型企業(yè)的會計信息系統(tǒng)數(shù)據(jù)主要集中在服務(wù)器上，如果服務(wù)器管理人員不小心泄露密碼，甚至內(nèi)外勾結(jié)，則所有財務(wù)信息都可能被竊取。

(二)會計數(shù)據(jù)真實、完整、可靠性面臨考驗　會計數(shù)據(jù)有可能會失真，主要有數(shù)據(jù)篡改和數(shù)據(jù)偽造兩種形式。數(shù)據(jù)篡改是指入侵者從網(wǎng)上將信息截獲，按照數(shù)據(jù)的格式和規(guī)律，修改數(shù)據(jù)信息，然后發(fā)送給目的地，數(shù)據(jù)篡改破壞了數(shù)據(jù)的完整性。數(shù)據(jù)偽造則是指入侵者偽裝成“商家”或“合法用戶”，給對方發(fā)送郵件、訂單等虛假信息，從而竊取個人密碼或商業(yè)信息。會計數(shù)據(jù)一旦失真，企業(yè)將面臨巨大的安全隱患。網(wǎng)絡(luò)環(huán)境下，會計檔案的存儲介質(zhì)不再是以前的紙質(zhì)文檔，而變成了電子數(shù)據(jù)。電子數(shù)據(jù)存儲，極大提高了存儲效率，也為管理數(shù)據(jù)帶了便利，但有其天然缺陷。當(dāng)存儲介質(zhì)遇到劇烈振動，或突然遇到停電、火災(zāi)等情況時，很可能導(dǎo)致存儲的數(shù)據(jù)失效。當(dāng)被非法修改時，有可能沒有任何痕跡；此外，當(dāng)網(wǎng)絡(luò)會計信息系統(tǒng)升級的時候，可能不兼容以前的版本，或者數(shù)據(jù)格式、數(shù)據(jù)接口等發(fā)生了變化，使得以前的信息不能進入當(dāng)前的會計信息系統(tǒng)，都有可能導(dǎo)致會計檔案失效。信息化會計與傳統(tǒng)會計存在很大差別，很多企業(yè)由于未能及時建立與信息化方式匹配的內(nèi)部控制機制，容易導(dǎo)致內(nèi)部控制失效。如操作人員錄入了不正確的字段、使用了無效的代碼、或從財務(wù)的紙質(zhì)憑證轉(zhuǎn)錄了數(shù)據(jù)等，都可能影響數(shù)據(jù)質(zhì)量，如果缺乏相應(yīng)的監(jiān)督檢查機制很可能導(dǎo)致內(nèi)部控制失效。此外，由于網(wǎng)絡(luò)環(huán)境下的會計信息系統(tǒng)數(shù)據(jù)集中存放于數(shù)據(jù)庫，信息交叉程度提高，依靠帳薄及憑證相互核對錯誤的機制可能也會失效，傳統(tǒng)會計中某些職工分權(quán)、相互牽制和約束的機制可能失去作用，信息管理人員或?qū)I(yè)人員舞弊會給企業(yè)帶來不可估量的損失，也是會計信息化面臨的破壞力最大的隱患。如有些數(shù)據(jù)庫管理員通過篡改數(shù)據(jù)獲取不當(dāng)利益，網(wǎng)絡(luò)會計信息系統(tǒng)可能連痕跡都沒留下。

二、網(wǎng)絡(luò)會計信息系統(tǒng)安全問題原因分析

(一)網(wǎng)絡(luò)系統(tǒng)的開放性和共享性網(wǎng)絡(luò)系統(tǒng)的重要特點是開放性和共享性，使網(wǎng)上信息安全存在先天不足，可能會帶來一些安全問題。一方面，由于互聯(lián)網(wǎng)的開放性，網(wǎng)絡(luò)上所有用戶均可共享信息資源，給一些非法訪問者提供了可趁之機。另一方面，互聯(lián)網(wǎng)上的數(shù)據(jù)往往是沒有加密的，這使得用戶密碼及其他重要數(shù)據(jù)可能在傳輸過程中被監(jiān)聽和竊取。此外，在諸多信息系統(tǒng)中實行了分級權(quán)限管理，某些部門的操作人員被賦予了太高的權(quán)限，可以接觸到整個企業(yè)的財務(wù)會計系統(tǒng)，增加了財務(wù)信息被盜的風(fēng)險。

(二)硬件設(shè)備配置不合理網(wǎng)絡(luò)信息系統(tǒng)中硬件的配置非常重要，尤其是網(wǎng)絡(luò)服務(wù)器及路由器等設(shè)備，對網(wǎng)絡(luò)安全有很大的影響。如果選擇了不合理的服務(wù)器型號，不僅網(wǎng)絡(luò)可能不順暢，網(wǎng)絡(luò)的穩(wěn)定性及擴充性也會受到影響；如果選用的路由器緩沖區(qū)過小，則在網(wǎng)絡(luò)延時過程中，可能會流失數(shù)據(jù)包；如果路由器緩沖區(qū)過大，則可能會增加網(wǎng)絡(luò)延時，這些都會導(dǎo)致網(wǎng)絡(luò)不安全。

(三)軟件系統(tǒng)不合理主要包括兩個方面：一是軟件系統(tǒng)規(guī)劃不合理，開發(fā)的系統(tǒng)本身存在缺陷；二是軟件開發(fā)工具選擇不合理。(1)軟件系統(tǒng)的不合理規(guī)劃與開發(fā)。在規(guī)劃過程中，系統(tǒng)分析人員沒有與會計工作人員及相關(guān)用戶充分溝通，從而系統(tǒng)的需求分析可能并不能完全反映真實要求?；谶@種規(guī)劃開發(fā)的會計信息系統(tǒng)，可能會引起一系列不安全的后果。另外，用戶自行開發(fā)軟件數(shù)據(jù)常常無法與購買的財務(wù)軟件數(shù)據(jù)交流，從而造成資源浪費。(2)軟件開發(fā)工具的不合理使用。以數(shù)據(jù)庫工具為例，SQL server、Oracle、Sybase等主要適用于大型系統(tǒng)；Acess、FoxPro等則主要適用于小型系統(tǒng)。值得注意的是，各類數(shù)據(jù)庫工具的安全機制有所不同，所以必須根據(jù)系統(tǒng)的規(guī)模大小及安全性要求合理選擇數(shù)據(jù)庫工具。

(四)制度建設(shè)不健全網(wǎng)絡(luò)環(huán)境中，會計系統(tǒng)往往要和業(yè)務(wù)系統(tǒng)，如采購系統(tǒng)、銷售系統(tǒng)、存貨管理系統(tǒng)等相關(guān)聯(lián)，實現(xiàn)信息共享，提高會計系統(tǒng)的自動化處理程度。為了讓信息安全共享，必須建立內(nèi)部控制制度，分配角色并賦予權(quán)限。此外，股東、銀行、稅務(wù)等機構(gòu)也可能通過網(wǎng)絡(luò)與企業(yè)的財務(wù)會計系統(tǒng)連接，也需要建立相應(yīng)的內(nèi)部控制制度。

(五)人員風(fēng)險人員風(fēng)險主要分為勝任能力風(fēng)險及道德風(fēng)險。勝任能力要求從業(yè)人員既要熟練掌握國家會計準(zhǔn)則及會計制度，掌握相應(yīng)的信息技術(shù)，而且要具備較強的學(xué)習(xí)能力。道德風(fēng)險，則要求財務(wù)人員面對誘惑時，能夠堅守職業(yè)操守。

三、網(wǎng)絡(luò)會計信息系統(tǒng)安全管理的策略

(一)安全管理的目標(biāo)對于會計信息系統(tǒng)來說，信息安全主要是要保證信息的保密性、完整性、可用性、真實性、可控制性、可審查性、不可抵賴性等。數(shù)據(jù)保密性是指數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)臅r候不被非法竊取，或者雖然被竊取但竊取者不能破解其真正意義；數(shù)據(jù)完整性是指數(shù)據(jù)的精確性和可靠性，指數(shù)據(jù)在傳輸過程中不被增加、刪除、修改內(nèi)容；可用性是指對于合法用戶的正常使用，要保證能夠?qū)崿F(xiàn)而不被拒絕；真實性是指鑒別數(shù)據(jù)來源，消除非法數(shù)據(jù)源，確保進入系統(tǒng)的數(shù)據(jù)是真實可靠的；可控制性是指數(shù)據(jù)的輸入、輸出、處理過程是可以控制的；可審查性是指對數(shù)據(jù)的任何訪問與操作(增加、刪除、修改)均被紀(jì)錄下來，便于“信息”追蹤或?qū)彶?；不可抵賴性是指隨所有用戶的操作進行紀(jì)錄并存檔，防止用戶否認(rèn)已作過的操作。

(二)安全管理的基本思想為了保證會計信息系統(tǒng)的安全，在規(guī)劃系統(tǒng)時候要全面考慮，按照“全網(wǎng)安全”的思想，實現(xiàn)多層面控制。(圖1)是基于該思想的安全體系框架?？梢钥闯觯摷軜?gòu)主要由三部分組成：技術(shù)體系、組織體系、管理體系。(1)技術(shù)體系：技術(shù)體系安全架構(gòu)主要是為系統(tǒng)安全提供技術(shù)保障，包括安全技術(shù)和技術(shù)管理這

兩大部分。安全技術(shù)又分為網(wǎng)絡(luò)環(huán)境安全及信息環(huán)境安全兩部分。網(wǎng)絡(luò)環(huán)境安全主要指物理安全和環(huán)境安全。為防范物理安全問題而導(dǎo)致會計信息安全隱患，要將計算機及相關(guān)設(shè)施受到物理保護，免于被破壞、丟失等；信息環(huán)境安全主要是指系統(tǒng)安全和信息安全。技術(shù)管理又分為三大部分：符合ISO標(biāo)準(zhǔn)的技術(shù)管理，從安全服務(wù)、體系規(guī)范、實施細(xì)則、安全評估幾個側(cè)面分別對會計信息系統(tǒng)安全進行管理；審計監(jiān)測方面進行技術(shù)管理，會計信息系統(tǒng)實時的狀態(tài)監(jiān)測、非法入侵時的監(jiān)控；實施策略方面進行技術(shù)管理，財務(wù)系統(tǒng)的安全策略、密鑰管理。(2)組織體系：組織體系主要為系統(tǒng)安全提供組織人員保障。從機構(gòu)設(shè)置、崗位設(shè)置、人事設(shè)置三方面進行構(gòu)建。(3)管理體系：管理體系主要為系統(tǒng)安全提供制度保障。從國家法律立法、企業(yè)規(guī)章制度、企業(yè)業(yè)務(wù)培訓(xùn)三方面對系統(tǒng)安全給予保障。

(三)安全管理的整體解決方案基于(圖1)的“全網(wǎng)安全”思想，可以從如下方面對網(wǎng)絡(luò)會計系統(tǒng)進行整體安全保護：平臺安全、硬件安全、軟件安全、安全管理制度、人力資源素質(zhì)。(圖2)是基于該思想的網(wǎng)絡(luò)會計信息系統(tǒng)安全問題整體解決方案。(1)平臺安全。保證網(wǎng)絡(luò)辦公平臺安全，是網(wǎng)絡(luò)會計系統(tǒng)中最重要的部分。本方案中采用三種技術(shù)保證平臺安全：防火墻、虛擬專用網(wǎng)(VPN)、入侵檢測技術(shù)。防火墻充當(dāng)屏障作用，合理使用防火墻能保護企業(yè)會計信息安全有效。主要作用在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊，過濾不安全服務(wù)，防止非法用戶進入內(nèi)部網(wǎng)絡(luò)；限定用戶訪問特殊網(wǎng)站；對內(nèi)外部網(wǎng)絡(luò)進行有效隔離。所有外部網(wǎng)絡(luò)的訪問請求都要通過防火墻檢查，使得企業(yè)內(nèi)部網(wǎng)的會計信息系統(tǒng)相當(dāng)安全。當(dāng)然，企業(yè)會計信息系統(tǒng)應(yīng)保持相對封閉狀態(tài)，不能連接與業(yè)務(wù)無關(guān)的終端，更不能連接互聯(lián)網(wǎng)，僅能與業(yè)務(wù)相關(guān)部門實現(xiàn)資源共享。VPN(Virtual Private Netwrok)是利用公共網(wǎng)絡(luò)資源形成企業(yè)專用網(wǎng)，它融合了防火墻和Ipsec隧道加密技術(shù)的優(yōu)點，可以為整個集團內(nèi)部通信提供安全的信息傳輸通道，還可以簡化網(wǎng)絡(luò)管理、節(jié)約成本。VPN有隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)四項核心技術(shù)，為網(wǎng)絡(luò)安全提供了一定保障。入侵檢測是指通過對行為、審計數(shù)據(jù)、安全日志或其它網(wǎng)絡(luò)上可獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖。入侵檢測技術(shù)是為了彌補防火墻的不足，主動檢測來自系統(tǒng)外部的入侵、監(jiān)視防火墻內(nèi)部的異常行為。實時監(jiān)控是會計信息系統(tǒng)必備的措施。通過建立操作日志，對日常會計活動中進行全程跟蹤，對大額的、異常的經(jīng)濟業(yè)務(wù)單獨列示，詳細(xì)反映，及時提醒。(2)硬件安全。硬件系統(tǒng)安全，會計信息系統(tǒng)的正常運行必須要有良好的硬件設(shè)備，從硬件系統(tǒng)的配置和管理兩方面提出保證。配置方面，選用合適的輸入輸出設(shè)備、調(diào)制解調(diào)器(MODEM)、路由器等互聯(lián)設(shè)備、及適當(dāng)?shù)木W(wǎng)絡(luò)服務(wù)器。同時，硬件設(shè)備必須有過硬的質(zhì)量和性能，并且數(shù)據(jù)安裝雙硬盤，數(shù)據(jù)雙重備份；管理方面，制定機房相關(guān)設(shè)備的定期檢查制度，做好機房防火、防塵、防水、防盜及恒溫等保障措施，使用UPS電源(防止停電導(dǎo)致信息中斷)，重要數(shù)據(jù)遠程備份，安裝機房報警系統(tǒng)等。(3)軟件安全。操作系統(tǒng)是整個信息系統(tǒng)安全的基礎(chǔ)。一方面，要盡量選擇擁有自主知識產(chǎn)權(quán)的操作系統(tǒng)，減少“暗門”等對系統(tǒng)安全的影響。目前，我國計算機所使用的操作系統(tǒng)基本上是舶來品，因為缺少自主的技術(shù)，會計信息資料網(wǎng)絡(luò)安全性較低，不能滿足會計信息所要求達到的保密程度，對高水平的國產(chǎn)化軟件有著迫切的需求；另一方面，會計信息從業(yè)人員要注意對操作系統(tǒng)的正確使用，如實時掃描漏洞并進行修補，對帳號、密碼及權(quán)限進行管理，紀(jì)錄安全日志并進行審計，下載補丁等，都可以提高操作系統(tǒng)的安全性。數(shù)據(jù)庫軟件，會計信息系統(tǒng)的核心就是存儲在數(shù)據(jù)庫中的數(shù)據(jù)，這是一切應(yīng)用的基礎(chǔ)，故需要對數(shù)據(jù)的安全性、完整性、保密性等方面采取保護措施。在開發(fā)數(shù)據(jù)庫軟件時，要考慮數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性、可擴展性和高效性，以及安全性。各種外部數(shù)據(jù)信息導(dǎo)入之前，必須要經(jīng)過病毒檢測程序，同時對財務(wù)數(shù)據(jù)的導(dǎo)出，必須嚴(yán)格控制，防止信息外泄。對財務(wù)軟件系統(tǒng)的修改維護必須報經(jīng)相當(dāng)領(lǐng)導(dǎo)批準(zhǔn)同意。數(shù)據(jù)備份和數(shù)據(jù)容災(zāi)是保護數(shù)據(jù)庫的重要措施，數(shù)據(jù)備份是指在遠程網(wǎng)絡(luò)設(shè)備上保存數(shù)據(jù)，防止數(shù)據(jù)的丟失和損壞；數(shù)據(jù)容災(zāi)是指在異地建立兩套或多套功能相同的IT系統(tǒng)，相互進行狀態(tài)監(jiān)視和功能切換，當(dāng)一處系統(tǒng)因意外停止工作時，整個應(yīng)用系統(tǒng)可以切換到另一處，使系統(tǒng)功能可以繼續(xù)正常工作。(4)安全管理制度。包括應(yīng)用控制、數(shù)據(jù)控制、訪問控制、安全管理體系、內(nèi)部審計五個方面。應(yīng)用控制是指在會計信息系統(tǒng)中，應(yīng)用控制指的是對具體的數(shù)據(jù)處理活動進行控制，包括數(shù)據(jù)的輸入、輸出和處理控制。數(shù)據(jù)輸入時，會計信息系統(tǒng)要能達到糾正數(shù)據(jù)合理性、重復(fù)輸入校驗、邏輯關(guān)系測試等工作。網(wǎng)絡(luò)環(huán)境下，會計資料的輸入由多人承擔(dān)，可設(shè)置不同的復(fù)核方式，由系統(tǒng)對存在差異的數(shù)據(jù)進行比較。多用戶同時進行操作時，系統(tǒng)自動生成連續(xù)的憑證號，使數(shù)據(jù)有效清晰。嚴(yán)格限制財務(wù)數(shù)據(jù)的修改權(quán)限，對修改數(shù)據(jù)的操作，應(yīng)提供可打印備查界面。電子數(shù)據(jù)發(fā)放及接收都有認(rèn)證機構(gòu)提供的記錄清單，以保證雙方權(quán)益。數(shù)據(jù)控制又稱數(shù)據(jù)保護，可分為安全性控制、完整性控制、并發(fā)控制和恢復(fù)。安全性控制主要是為了防止數(shù)據(jù)泄密和破壞，主要措施是授權(quán)和收回授權(quán)。對企業(yè)前內(nèi)部人員，一定要及時收回授權(quán)；完整性控制是為了保證數(shù)據(jù)的正確性和相容性。數(shù)據(jù)通信傳輸過程中保證數(shù)據(jù)的完整，如果有被篡改的情況，接收方能通過軟件及時檢測出來。數(shù)據(jù)輸入能否正確進入系統(tǒng)，與數(shù)據(jù)庫軟件的輸入方式、數(shù)據(jù)格式及相關(guān)數(shù)據(jù)導(dǎo)入兼容轉(zhuǎn)換有著很大關(guān)系。我國很多企業(yè)有結(jié)合自身特色的會計信息系統(tǒng)，為提高會計信息系統(tǒng)的管理層次，還需將財務(wù)信息系統(tǒng)與企業(yè)其他管理信息進行有機結(jié)合。同時，各不同的財務(wù)軟件之?dāng)?shù)據(jù)交換，制定統(tǒng)一并規(guī)范的標(biāo)準(zhǔn)。并發(fā)控制是確保在多個事務(wù)同時存取數(shù)據(jù)庫中同一數(shù)據(jù)時不破壞數(shù)據(jù)庫的統(tǒng)一性?；謴?fù)這是指數(shù)據(jù)庫系統(tǒng)發(fā)生故障后，能夠自動恢復(fù)到正常的機制。訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。訪問控制涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。會計計信息數(shù)據(jù)的訪問僅限于經(jīng)過授權(quán)的用戶，并且層層加密，禁止處理未經(jīng)授權(quán)的業(yè)務(wù)。對關(guān)鍵財務(wù)信息資源，授權(quán)范圍應(yīng)盡可能小。按照網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)的需要，設(shè)定各級崗位責(zé)任及權(quán)限，防止非法操作；對不相容的職務(wù)要注意分離，不同崗位之間設(shè)定一定的制約機制。如系統(tǒng)管理員不能從事日常會計處理業(yè)務(wù)，記帳憑證一定要復(fù)核員復(fù)核才能生成帳簿。安全管理體系，嚴(yán)格完善的法律、法規(guī)與規(guī)章制度是網(wǎng)絡(luò)環(huán)境下會計信息安全的制度保證。我國目前還沒有專門的網(wǎng)絡(luò)會計信息安全的法律法規(guī)，暫時還不能滿足現(xiàn)有信息安全的需求。因而應(yīng)逐步制定出符合我國國情的網(wǎng)絡(luò)會計法律體系，規(guī)范網(wǎng)絡(luò)交通購銷支付以及核算行為，為網(wǎng)絡(luò)會計的發(fā)展提供良好的法制環(huán)境。另一方面，企業(yè)自身也應(yīng)建立安全管理部門，制定安全管理制度對操作人員實行安全技能培訓(xùn)。使會計信息系統(tǒng)從開發(fā)、用戶管理、業(yè)務(wù)操作、數(shù)據(jù)存