企業信息安全的概念精選(五篇)
發布時間:2023-10-12 17:39:49
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇企業信息安全的概念,期待它們能激發您的靈感。
篇1
企業經營信息對于企業來說是一種資源,對于企業自身來說具有重要意義,企業需要妥善管理自身企業的信息。近年來,企業的各項經營活動都逐漸開始通過計算機,網絡開展,因此,企業的信息安全管理對于企業越來越重要。許多企業開始通過各種技術手段以及制度改革,把更多的注意力放在企業內部的信息安全管理工作,同時將企業信息安全管理與風險控制結合起來,這是一個正確的選擇,能夠幫助企業實現穩定經營。在介紹企業信息安全管理以及風險控制前必須厘清企業信息安全管理的概念與企業風險控制定義,因此,本節將著重介紹企業信息安全管理的概念以及企業風險控制的定義。
企業的信息安全管理包含十分豐富的內容,簡單來說是指企業通過各種手段來保護企業硬件和軟件,保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標,即保證信息數據的完整,保證信息數據不被泄露,保證信息數據能夠正常使用,保證信息數據能夠控制管理。要想做好企業的信息安全管理,首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯網傳播,局域網傳播,硬件傳播等等。要想實現企業的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學科知識基礎的工作,從事企業信息安全管理工作的人員通過需要具有網絡安全技術、計算機技術、密碼技術、通信技術。從企業的信息安全管理來講,最為關鍵的一項工作時保護企業內部經營信息數據的完整。經過近十年來的企業信息安全管理工作經驗總結,企業信息安全不僅僅需要信息技術的支持,更需要通過建立完善的企業風險控制體系來幫助企業實現更好地保護企業信息安全的目標。
所以,怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現。企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前,提前對企業的信息進行風險預估,并采取一系列的有針對性的活動降低企業面臨的信息安全風險,從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容。第一,建立企業信息安全風險管理制度,明確企業信息安全管理的責任分配機制,明確企業各個部門對各自信息安全所應承擔的責任,并建立相應的問責機制。第二,設置規范的企業信息安全風險管理指標,對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級,方便企業管理者對不同的信息安全管理漏洞采取有區別的對策。第三,企業要加強對信息安全管理人員的培訓,提高企業信息安全管理工作人員的風險意識,讓企業內部從事信息安全管理工作人員認識到自身工作的重要性,讓企業內部從事信息安全管理工作人員了解到規范自身行為,正確履行職責的重要性。第四,將企業信息安全管理與風險控制有效融合,重視企業信息安全管理工作,通過風險控制對企業內部信息安全的管理方式進行正確評估,找出現行的企業內部信息安全管理手段中存在容易忽視的地方。
二、企業信息安全管理與風險控制存在的不足
1.企業信息安全管理工作人員素質不高
對于企業來說,企業信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業信息安全管理工作人員的素質要求。但是根據調查統計,目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上,對企業信息安全管理工作人員的道德素養,職業素養,風險意識并沒有嚴格要求。此外,絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓,并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督,這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機。
2.企業信息安全管理技術不過關
企業信息安全管理工作涉及多許多技術,包括信息技術,計算機技術,密碼技術,網絡應用技術等等,應當說成熟的計算機應用技術是做好企業信息安全管理的基礎,但是,現實是許多企業的信息安全管理技術并不過關,一方面企業的信息安全管理硬件并不過關,在物理層面對企業信息缺乏保護,另一方面,企業信息安全管理工作的專業技術沒有及時更新,一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗,企業信息安全管理的知識也并沒有及時更新,從而導致企業的信息安全管理理論嚴重滯后,這種技術的落后很容易讓企業成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂,很多服務器、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業中的大中型企業,企業內部設備數量比較多,尤其是客戶端數量占了較大比重,僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量。另外,企業信息安全管理系統不成熟也是一個重大的隱患。
3.企業信息安全管理制度不健全
企業信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監督機制保障企業信息安全管理的有效執行。通過調查分析,許多企業雖然建立了企業信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業信息安全管理工作缺少有效的制約和監督,企業信息安全管理工作人員缺乏執行力。企業信息安全管理制度不健全,企業信息安全管理工作缺乏執行力常常體現在以下幾個方面。第一,企業員工對于信息安全管理的認識嚴重不足,對企業信息安全管理工作不重視。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業內部計算機的防病毒軟件還被企業員工卸載了。部分企業員工認為自己的工作與企業信息安全管理不相關,認為做好企業信息安全管理工作僅僅是企業信息安全部門的事。第二,企業內部信息安全管理制度并沒有形成聯動機制,企業信息安全管理工作僅僅由企業信息安全部門“一人包干”,企業信息安全反映的問題并沒有得到積極的反饋,一些企業領導對企業信息安全現狀所了解的少之又少。
三、企業信息安全管理常見的技術手段
1.OSI安全體系結構
OSI概念化的安全體系結構是一個多層次的結構,它的設計初衷是面向客戶的,提供給客戶各種安全應用,安全應用必須依靠安全服務來實現,而安全服務又是由各種安全機制來保障的。所以,安全服務標志著一個安全系統的抗風險的能力,安全服務數量越多,系統就越安全。
2.P2DR模型
P2DR模型包含四個部分:響應、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態網絡安全循環過程,必須制定一個企業的安全模式。在安全策略的指導下實施所有的檢測、防護、響應,防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態響應的判斷依據,同時也是有力落實安全策略的實施工具,通過監視來自網絡的入侵行為,可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素;經過不斷地監測網絡和系統來發現新的隱患和弱點。在安全系統中,應急響應占有重要的地位,它是解決危險潛在性的最有效的辦法。
3.HTP模型
HTP最為強調企業信息安全管理工作人員在整個系統中的價值。企業信息安全工作人員企業信息安全最為關鍵的參與者,企業信息安全工作人員直接主導企業信息安全管理工作,企業信息安全工作人員不僅僅是企業信息安全的保障者,也是企業信息安全管理的威脅者。因此,HTP模型最為強調對企業信息安全管理工作人員的管理與監督。另外,HTP模式同樣是建立在企業信心安全體系,信息安全技術防范的基礎上,HTP模式采取了豐富的安全技術手段確保企業的信息安全。最后,HTP強調動態管理,動態監督,對于企業信息安全管理工作始終保持高強度的監督與管理,在實際工作中,通過HTP模型的應用,找出HTP模型中的漏洞并不斷完善。
四、完善企業信息安全管理與降低風險的建議
1.建設企業信息安全管理系統
(1)充分調查和分析企業的安全系統,建立一個全面合理的系統模型,安全系統被劃分成各個子系統,明確實施步驟和功能摸塊,將企業常規管理工作和安全管理聯動協議相融合,實現信息安全監控的有效性和高效性。
(2)成立一個中央數據庫,整合分布式數據庫里的數據,把企業的所有數據上傳到中央數據庫,實現企業數據信息的集中管理與有效運用。
(3)設計優良的人機界面,通過對企業數據信息進行有效的運用,為企業管理階層人員、各級領導及時提供各種信息,為企業領導的正確決策提供數據支持,根本上提高信息數據的管理水平。
(4)簡化企業內部的信息傳輸通道,對應用程序和數據庫進行程序化設計,加強對提高企業內部信息處理的規范性和準確性。
2.設計企業信息安全管理風險體系
(1)確定信息安全風險評估的目標
在企業信息安全管理風險體系的設計過程中,首要工作是設計企業信息安全風險評估的目標,只有明確了企業信息安全管理的目標,明確了企業信息安全管理的要求和工作能容,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度,才能順利通過對風險控制的結果的定量考核,檢測企業信息安全管理的風險,定性定量地企業信息安全管理工作進行分析,找準企業信息安全管理的工作辦法。
(2)確定信息安全風險評估的范圍
不同企業對于風險的承受能力是有區別的,因此,對于不同的企業的特殊性應該采取不同的風險控制辦法,其中,不同企業對于能夠承受的信息安全風范圍有所不同,企業的信息安全風險承受范圍需要根據企業的實際能力來制定。不僅如此,企業的信息安全風險評估范圍也應當根據企業的實際經營情況變化采取有針對性的辦法。
篇2
【關鍵詞】 信息系統; 審計; 審計目標
2007年2月國務院國有資產監督管理委員會和國務院信息化工作辦聯合印發了《關于加強中央企業信息化工作的指導意見》,加快了國有企業信息化建設的步伐。國有企業審計是中國特色社會主義國家審計的重要組成部分。由于企業與公共部門在內部控制、管理和治理方面的差異,導致了企業信息系統審計與公共部門信息系統審計的不同特點。
一、增強國有企業信息系統的可信性
審計機關的審計目標取決于法定要求。根據《中華人民共和國審計法》的規定,審計機關對國有企業財務收支的真實、合法、效益,依法進行審計監督。顯然,真實性是國有企業審計的目標之一。信息系統審計是國有企業審計的重要組成部分。國有企業審計的總體目標,決定了國有企業信息系統審計的目標。國有企業審計的真實性目標,必然要求國有企業信息系統提供真實性的信息,這意味著,審計機關的國有企業信息系統審計必須把真實性作為審計目標之一。
根據相關法律的規定,注冊會計師也可以對國有企業進行審計。根據我國公司法第165條的規定,“公司應當在每一會計年度終了時編制財務會計報告,并依法經會計師事務所審計。”而且,2008年10月通過的《中華人民共和國企業國有資產法》第六十七條明確規定,“履行出資人職責的機構根據需要,可以委托會計師事務所對國有獨資企業、國有獨資公司的年度財務會計報告進行審計,或者通過國有資本控股公司的股東會、股東大會決議,由國有資本控股公司聘請會計師事務所對公司的年度財務會計報告進行審計,維護出資人權益。”大家知道,依據注冊會計師執業審計準則的規定,會計師事務所對企業財務報表審計的目的是“提高財務報表預期使用者對財務報表的信賴程度。”①這說明,注冊會計師國有企業審計的目標是要求財務報表提供的信息具有可信性。注冊會計師所審計的國有企業財務報表中的信息是由國有企業的信息系統產生形成的,因而必須對信息系統進行審計。注冊會計師對國有企業財務報表審計的可信性目標,決定了注冊會計師對國有企業信息系統審計的可信性目標。
同樣的審計對象,不同的審計主體,導致了兩種不同的國有企業信息系統審計目標。從上述分析不難發現,無論是審計機關還是注冊會計師對國有企業進行審計,其中對企業信息系統的審計都是不可或缺的重要組成部分。根據審計法的規定,審計機關對國有企業信息系統審計的目標是真實性。而根據注冊會計師執業審計準則,對國有企業信息系統審計的目標是可信性。那么,什么是真實性?什么是可信性?這兩種目標之間有什么樣的聯系和區別?為什么說審計機關應當把增強國有企業信息系統可信性作為審計目標呢?
(一)真實性與可信性的基本涵義
我國審計法強調真實性,根據2010年9月頒布的中華人民共和國國家審計準則(以下簡稱國家審計準則)的規定,“真實性是指反映財政收支、財務收支以及有關經濟活動的信息與實際情況相符合的程度。”那么,什么是真實性呢?真實性只是對財政財務收支及有關經濟活動信息質量的最低要求。如果會計信息是真實的,但是不夠完整或者披露不及時,仍然不能滿足信息使用者的需要,甚至會導致錯誤的投資決策。事實上,就真實性本身而言,由于會計估計、核算方法等因素的影響,會計信息的真實性也只是相對的,而不是絕對的。所以,把真實性作為審計目標,具有一定的局限性。所謂可信性,從國際審計準則第200號(ISA200)可以看出,當編制的財務報表公允表達(presented fairly)或真實公允(true and fair)時,它才是可信性的。從字面上講,公允(fair)或公平的要求,強調了財務報表各種使用者之間的利益平衡。從理論上講,公允表達或真實公允的概念比真實性概念具有更多的內涵,涉及會計適當性、適當披露及審計責任等概念。在國際審計準則第200號(ISA200)中,公允表達是指財務報表是否在所有重大方面按照適用的財務報告框架編制,“公允”還意味著超出財務報告框架所要求披露范圍的必要性,以及在極端情況下必須偏離財務報告框架的可能性。適用的財務報告框架,主要是指適用的會計法律法規、會計準則、會計制度等。大家知道,我國會計法強調“保證會計資料真實、完整”。根據會計法的要求,我國的財務報表不僅要具有真實性,而且還要具有完整性。總的來說,可信性并不否認真實性,真實性是可信性的必要前提之一,但真實的并不一定是可信的,可信性的內涵更加豐富,真實性是對財務信息質量的最低要求,可信性反映了對財務信息質量更高的要求。
(二)可信性目標反映了注冊會計師審計發展的新階段
一般認為,受社會需求變化、自身技術手段及審計風險等因素的影響,注冊會計師審計目標的發展演變至今經歷了四個階段,即20世紀30年代之前的查錯糾弊階段、30年代中期至80年代驗證會計報表真實公允階段、80年代至90年代中期真實公允與查錯糾弊并重階段,及90年代后期以來的增強信息可信性階段。雖然同為注冊會計師審計的目標,然而從歷史發展演變的角度看,真實性只是注冊會計師審計的早期目標,當前注冊會計師審計準則中的可信性目標反映了注冊會計師審計的最新發展,是更高級發展階段的目標。
(三)可信性目標比“真實公允”具有更加廣泛的適用性
20世紀90年代后期,傳統的財務報表審計成為更為廣義的概念――“保證業務”(Assurance Service)的一個組成部分。我國注冊會計師協會譯為“鑒證業務”②。2004年國際會計師聯合會了《國際保證業務框架》,2005年1月1日生效。2006年我國制定了《中國注冊會計師鑒證業務基本準則》,2007年1月1日起施行。鑒證業務是指注冊會計師對鑒證對象信息提出結論,以增強除責任方之外的預期使用者對鑒證對象信息信任程度的業務。鑒證對象與鑒證對象信息具有多種形式,主要包括:當鑒證對象為財務業績或狀況時(如歷史或預測的財務狀況、經營成果和現金流量),鑒證對象信息是財務報表;當鑒證對象為非財務業績或狀況時(如企業的運營情況),鑒證對象信息可能是反映效率或效果的關鍵指標;當鑒證對象為物理特征時(如設備的生產能力),鑒證對象信息可能是有關鑒證對象物理特征的說明文件;當鑒證對象為某種系統和過程時(如企業的內部控制或信息技術系統),鑒證對象信息可能是關于其有效性的認定;當鑒證對象為一種行為時(如遵守法律法規的情況),鑒證對象信息可能是對法律法規遵守情況或執行效果的聲明。不難看出,傳統的財務報表審計只是鑒證業務中的一種。鑒證標準隨著鑒證對象的不同,也從財務報表審計中按照適用的財務報表編制框架,如編制財務報表所使用的會計準則和相關會計制度,擴展到單位內部制定的行為準則、績效水平等方面。從其定義看,鑒證業務的目的在于增強除責任方之外的預期使用者對鑒證對象信息的信任程度。真實公允目標是針對財務報表審計的審計目標,可信性目標在概念外延上具有更加廣泛的適用性。可信性目標不僅適用于對財務信息的可信性,而且還適用于非財務信息(績效信息)的可信性。對財務報表來說,如果它是真實公允的,即在所有重大方面是按照適用的財務報表框架編制的,它就是可信性;對于其他鑒證信息來說,如果它是符合適用的鑒證標準,就是可信性的。企業內部的信息系統,現在已不僅僅是財務信息系統,還包括各種業務和管理信息系統。與此同時,為滿足企業的業務需求,信息系統所提供的信息也不局限于財務信息,而且還包括許多非財務信息。所以,在國有企業信息系統審計中,把可信性作為國有企業信息系統審計的目標比真實性目標更加符合企業信息化發展的客觀要求。
(四)可信性目標反映了審計理論的深化和發展
可信性不是一個孤立的術語,它是新審計理論(或一組新的相互聯系的審計概念)中的一個關鍵性概念。隨著注冊會計師的業務從傳統的財務報表審計發展到鑒證業務,傳統的審計理論也得到了深化和發展。大家知道,審計三方關系是指審計人、被審計人、審計授權或委托人之間的關系。傳統的受托責任論,即審計動因論,是建立在傳統的審計三方關系之上的。然而,在我國現行的《注冊會計師鑒證業務基本準則》中給出了一種新的審計三方關系,即注冊會計師、責任方和預期使用者。在新的審計三方關系中,被審計人與審計授權或委托人之間責任關系的含義更加豐富,除傳統的受托責任關系外還有其他種類不帶委托性質的責任關系③。在新的審計三方關系中,預期使用者應包括企業所有的利益相關者,除了傳統受托責任關系中的股東外,還應包括經營者、員工、顧客、供應商、債權人、潛在的投資者、監管層、競爭者等。聘請注冊會計師的通常是預期使用者或其代表,但也可能是責任方。責任方、預期使用者和注冊會計師三方之間的關系,可以看作是信息提供者、信息使用者和信息可信性的保證者之間的關系④。增強信息的可信性,實際上是減少了信息提供者與預期使用者之間的信息不對稱,鑒于預期使用者的廣泛性,在市場經濟條件下,將有利于完善市場機制,提高市場資源配置效率,從而拓展了審計的社會功能。可信性不是一個空洞的概念,鑒證對象信息是否具有可信性,需要執行一定的業務程序。審計師在收集證據的基礎上,依據一定的標準,檢查責任方的鑒證對象信息在所有重大方面是否符合適當的標準后,才能為鑒證對象信息的可信性提供一定程度的保證,從而提供給預期使用者。鑒證業務的保證程度被細分為合理保證和有限保證,鑒證對象信息被劃分為財務信息和非財務信息,其中財務信息被進一步細分為歷史財務信息和預測性財務信息。可信性概念是這些新審計理論中的關鍵性概念之一,相比之下,真實性概念在新的審計理論中卻沒有相應的理論地位。
(五)可信性目標反映了國家審計的發展趨勢
在世界審計組織(INTOSAI)的道德準則(Code of Ethics)中,強調了信賴(trust)、信任(confidence)、信譽(credibility)對于審計機關的至關重要性。在南非審計署1911至2011年百年紀念的紀念品和網站首頁上有一句格言:“Auditing to build public confidence”,即“審計旨在建立公共信任”。我國審計署2011年7月15日印發的《審計署關于深化經濟責任審計工作的指導意見》中提出,要確保經濟責任審計結果的可信、可靠和可用。劉家義審計長提出,國家審計是國家治理的一個組成部分。孔子曰:“足食,足兵,民信之矣”,“民無信不立”,說明了信任、守信在國家治理中的重要性。我們知道,“誠信友愛”是構建社會主義和諧社會的基本要求之一。國家審計可以增強政府的公信力,增強整個社會的誠信。從國家治理的角度看,可信性目標比真實性目標更好地體現了國家審計在國家治理中的作用。
經過上述真實性和可信性兩種審計目標含義的對比,不難發現,雖然真實性目標是國有企業審計的傳統目標之一,但是可信性比真實性的涵義更為豐富,可信性目標中不但包含了真實性目標,而且可信性目標要求信息系統提供更高質量的信息。兩種目標都對信息系統提供的信息質量提出了要求,國家審計對信息質量的要求不應低于注冊會計師審計。因此,筆者認為,盡管現行的審計法規定了國有企業信息系統審計的真實性目標,但是,從理論上講以及從未來發展趨勢看,審計機關應當選擇可信性作為國有企業信息系統審計的目標,即國有企業信息系統審計應當促進企業信息系統提供可信的信息。
二、促進國有企業信息系統的遵循性
最高審計機關國際組織(INTOSAI)在審計基本原則(ISSAI-100)中,把政府審計業務分為兩大類,即合規審計(regularity audit)和績效審計(performance audit),并制定了相應的審計執行指南,即財務審計執行指南(Implementation Guidelines on Financial Audit)、遵循審計執行指南(implementation guidelines on compliance audit)和績效審計執行指南(Implementation Guidelines on Performance Audit)。在這個準則指南框架中,合規性審計包括了財務審計和遵循性審計。遵循性審計是指對公共部門實體的活動是否與相關法律法規及授權要求相一致的審計。在《國際審計準則第250號――財務報表審計中對法律法規的考慮》(ISA250)中,非遵循(non-compliance),是指被審計單位不履行法律法規責任或者違反法律法規的犯罪,故意地或者非故意地,與執行的法律或法規對立的行為。在COSO內部控制框架中,遵循性(compliance)作為內部控制的目標之一,是指符合適用的法律法規。由此看來,在上述準則指南中,遵循性,就是我國國家審計中的合法性。但是,在本文中,作為國有企業信息系統審計的目標之一,遵循性與合法性不同。
為滿足業務需求,對信息系統提供的信息有一般性的要求,在IT治理框架COBIT4.1中,這些要求也被稱之為信息標準(information criteria)。遵循性(compliance)作為其中的標準之一,是指“涉及業務流程與所需遵守的法律、法規及合同約定之間的符合程度的屬性,即外部的強制要求和內部政策的遵循性。”⑤在本文中,遵循性作為國有企業信息系統審計的目標之一,采用COBIT4.1中遵循性的概念,即國有企業信息系統的設計、建設、運行和監控不僅要符合來自企業外部的強制性要求(合法性),而且還應符合國有企業內部制定的各種規定的要求。
我國審計機關對國有企業的財務收支的真實、合法和效益,依法進行審計監督。合法性是國有企業審計的審計目標之一。作為國有企業審計的重要內容,信息系統審計應當促進國有企業信息系統的合法性。那么,為什么我們要把國有企業內部制定的各種規定同時也納入國有企業信息系統審計的目標呢?企業內部如何制定關于其信息系統的規定是企業自己的事情,似乎審計機關不應干預,但是,效益性也是國有企業審計的審計目標之一。當信息系統不符合國有企業某些內部規定的要求時就會影響到企業效益,這些內部規定,如內部控制、管理和治理等,也應納入國有企業信息系統審計的遵循性目標范圍。
三、改善國有企業信息系統的績效性
績效性目標是企業信息化不斷發展的產物。我國企業信息化建設已經發展到了關注績效性的階段。績效性目標也是IT管理和IT治理的重要內容。IT管理和IT治理的國際標準或良好實務,為開展信息系統績效審計提供了審計標準。
(一)企業信息系統績效性的概念
當企業信息化發展水平達到一定程度后,信息系統的績效問題逐漸引起了人們的關注。在企業信息化的早期階段,信息系統主要應用于企業的財務會計領域,這時人們對信息系統關注的焦點主要是信息系統的可信性和遵循性問題,相應的措施主要集中在內部控制方面,強調信息系統的一般控制和應用控制。隨著企業信息化水平的不斷提高,信息系統在企業中的應用范圍逐漸從財務會計領域擴展到整個業務領域和管理領域,與此同時,信息系統的建設投入和運行成本顯著提高。這時人們發現,大量的信息化投入并不一定能夠帶來預期的收益,而且還帶來巨大的潛在風險,個別企業甚至因高投入造成利潤下降或財務危機,有的企業因業務流程改造滯后,還會導致管理混亂。在這種情況下,人們對信息系統關注的焦點,逐漸從“投入”轉向“產出”,從技術和內部控制問題轉向管理和治理問題,在企業內部出現了專門的IT管理部門,IT管理和IT治理逐漸從企業的一般管理和治理中獨立出來,而“績效”是描述信息系統投入產出、管理和治理的核心概念。
信息系統的績效性是指利用IT資源提供企業信息服務的經濟性、效率性和效果性。為它的利益相關者提供價值是企業存在的基本前提。企業信息系統的目的在于利用IT資源,通過IT流程,提供企業信息服務,以滿足業務需求。信息系統要實現的績效目標必須與企業的業務需求或業務目標相一致。
(二)績效性目標的可行性
從我國企業信息化發展階段看,目前信息系統的績效問題已經成為關注的焦點。2011年2月,工信部電子一所和用友軟件股份有限公司聯合了《2010年中國企業信息化指數調研報告》。該報告將中國企業的信息技術應用分為四個階段,分別為基礎應用階段、關鍵應用階段、擴展整合及優化升級應用階段以及戰略應用階段,如圖1所示。
該報告認為,目前我國企業信息化總體上處于由基礎應用和關鍵應用向擴展整合與優化升級過渡階段。報告的主要結論之一是,2010年“信息技術應用范圍的變化主要體現在應用廣度和深度兩方面,企業基本完成了信息技術在各業務領域的應用覆蓋,已逐漸開始深度關注企業業務發展需求,著力提升信息技術的應用價值。”提高信息系統的績效,也已經成為我國企業信息化深度發展的方向。把績效性作為國有企業信息系統審計的目標,符合我國企業信息化發展的現狀,在現實中具有可行性。
(三)績效性是IT管理和IT治理的重要內容
IT管理目的在于如何降低成本,以更好的彈性及更快的響應速度,向組織內外部顧客提供高質量的IT服務,提供顧客的滿意度。IT管理的目標就是要追求信息系統的績效性,即經濟性、效率性和效果性。
信息系統的績效性也是IT治理追求的目標之一。在IT治理國際標準ISO/IEC38500(組織的信息技術治理)中規定了“績效”原則,即IT應適合于支持組織的目的并提供服務,服務等級和服務質量應滿足當前和將來的業務要求。IT治理框架COBIT4.1有四個基本特征:以業務為中心、以流程為導向、以控制為基礎、以績效測評為驅動。在該框架中,績效測評是IT治理的關鍵,并且指出,“多項調研已經表明,IT成本、價值和風險管理缺乏透明是驅動IT治理最重要的一個因素。相對于其他關注的領域,提高透明度主要通過績效測評來實現。”⑥
(四)績效審計的參照標準
IT管理和IT治理從企業管理和治理中獨立出來,為開展單獨立項的信息系統績效審計創造了條件。就像企業審計要關注被審計單位的管理和治理那樣,企業信息系統審計要關注被審計單位的IT管理和IT治理情況。IT管理和IT治理的國際標準或良好實務,則為開展信息系統績效審計提供了審計標準,也可以作為向被審計單位提出改進建議的參照標準。常見的IT管理和IT治理國際標準有:ISO/1EC20000(信息技術――服務管理)、ITIL(信息技術基礎庫)、ISO/IEC38500(組織的信息技術治理)、COBIT4.1(信息及其相關技術控制目標)等。
四、維護國有企業信息系統的安全性
維護國有企業信息系統的安全,對于維護國家經濟安全至關重要。隨著信息技術的發展和應用,人們對信息系統安全性的認識也不斷深化。正確理解信息安全的涵義,對于開展信息系統安全性審計具有重要的意義。
(一)安全性目標的重要性
根據1994年我國頒布的《中華人民共和國計算機信息系統安全保護條例》,維護計算機信息系統的安全性,就是要保障計算機及其相關的和配套的設備、設施(含網絡)的安全,運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息系統的安全運行⑦。從這里可以看出,信息系統的安全包括:信息本身的安全、系統設施設備的安全和系統運行環境的安全三個層面。就三個層面的關系而言,信息是核心,系統設施設備及其運行環境是保障,信息本身的安全是目的,系統設施設備的安全及其運行環境的安全是手段。
國有企業信息系統安全是國家信息安全和經濟安全的重要組成部分。為了保護中央企業信息系統的安全穩定運行,2010年12月,公安部和國務院國有資產監督管理委員會聯合頒布了《關于進一步推進中央企業信息安全等級保護工作的通知》。據統計,截至2010年5月,已有89.6%的中央企業開展了信息安全等級保護工作,中央企業總計建成投入使用的信息系統有16 092個,已定級14 539個,占比90.3%;應向公安機關備案的系統(二級及以上)有11 370個,已備案8 113個,占應備案系統的71.4%;列入2010年定級計劃的有1 598個。中央企業在公安機關備案的信息系統總數約占全國信息系統備案總數的21%,第三、四級重要系統約占全國重要信息系統備案總數的30%⑧。這些數據表明,國有企業信息系統已成為國家信息安全的重要組成部分。《中華人民共和國企業國有資產法》第七條規定,“國家采取措施,推動國有資本向關系國民經濟命脈和國家安全的重要行業和關鍵領域集中,優化國有經濟布局和結構,推進國有企業的改革和發展,提高國有經濟的整體素質,增強國有經濟的控制力、影響力。”由于國有企業集中在國民經濟命脈和國家安全的重要行業和關鍵領域,如電信、電力、石油、石化等重要行業,其重要信息系統已成為國家關鍵基礎設施,是國民經濟命脈之命脈,保護國有企業信息系統的安全穩定運行,對于維護國家經濟安全和社會穩定具有重要的意義。
(二)信息安全概念的演變
根據我國計算機信息系統安全保護條例中的定義,計算機信息系統的安全性,包括信息本身的安全、系統設施設備的安全和支撐環境的安全。其中,信息本身的安全,即信息安全,是信息系統安全的核心和目的。那么,究竟什么是信息安全呢?
人們對信息系統安全性的認識經歷了一個不斷深化的發展過程。20世紀80年代美國國防部制定的《可信計算機系統評估準則TCSEC》把保密性當作信息安全的重點。20世紀90年代初由英、法、德、荷四國制定的《信息技術安全評估準則ITSEC》開始把完整性、可用性與保密性作為同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐漸被普遍接受。在2002年的國際標準ISO/IEC17799:2000《信息技術――信息安全管理業務規范》中明確規定,信息安全,是指保護:“保密性(confidentiality),即確保信息只能夠由獲得授權的人訪問;完整性(integrity),即保護信息的正確性和完整性以及信息處理方法;可用性(availability),即保證經授權的用戶可以訪問到信息,如果需要的話,還能夠訪問相關資產。”然而,在2005年的該國際標準修訂版即ISO/IEC17799:2005中,信息安全的定義,包括了七種安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他屬性,如真實性(authenticity)、責任性(accountability)、不可抵賴性(non-repudiation)、可靠性(reliability)等,而且,這種修訂后的信息安全定義,被2007年的國際標準ISO/IEC27001(《信息安全管理體系――規范與使用指南》)引用。在學術界,有人認為,信息安全的特性還應進一步包括可控性(controllability)、可預測性(predictability)、可審計性(auditability)、遵循性(compliance)等。
隨著信息技術的發展與應用,信息安全的內涵越來越豐富,從最初的信息保密性發展到保密性、完整性和可用性,進而又發展到相關的真實性、責任性、抗抵賴性、可靠性等。相應地,對企業信息安全的考慮,也從最初關注企業信息安全技術層面,發展到關注企業信息安全控制、管理和治理等層面。
(三)正確理解信息安全涵義需要注意的幾個問題
1.信息安全與信息保密不同。從信息安全概念的涵義可以看出,信息保密與信息安全是兩個不同的概念,信息安全比信息保密的涵義更加豐富。盡管我國新修訂的保密法對信息系統的保密問題作出了規定,但是保密法不能代替信息安全法。目前,我國對信息安全的立法仍然比較滯后,尚無專門的信息安全法。信息安全法是國家信息安全保障體系不可或缺的組成部分。
2.微觀信息安全與宏觀信息安全的聯系。企業信息系統的安全離不開系統運行環境的支撐,系統環境包括物理環境和社會環境。從社會環境看,主要是指有關信息安全法律法規、安全意識、人才培養等。這就是說,微觀層面單個組織的信息系統安全,還離不開宏觀層面國家信息安全保障體系的構建。與此同時,微觀層面的信息安全是基礎,沒有微觀層面的信息安全,也就沒有宏觀層面的信息安全。
3.授權管理的重要性。信息安全的概念有三個核心涵義:保密性、完整性和可用性。這三個核心涵義都涉及一個共同的要素,即“授權”。保密性意味著只有獲得授權才能訪問;完整性意味著沒有授權不得對信息進行刪除或修改;可用性意味著擁有授權者隨時可以使用。這表明,授權管理是信息安全管理的一項關鍵內容。信息系統是一種人機系統,授權管理主要涉及對人員行為的安全管理。
4.安全性目標與遵循性、績效性、可信性目標的聯系。從信息安全的涵義可以看出,信息系統的安全性目標不同于其遵循性、績效性和可信性目標,但是,安全性與它們之間又是相互聯系的。首先,安全性必須滿足遵循性的要求,信息系統的設計、運行、使用和管理可能要置于法律規定的和合同約定的安全要求的約束之下,特別是各種信息安全法律法規、保密法,以及知識產權、個人隱私權方面的法律法規;其次,信息安全沒有絕對的安全,所有的信息安全都是風險可接受條件下的安全,高水平的安全保護需要大量的投入成本,因而需要在成本、收益、風險和安全之間進行權衡,即安全性與績效性的聯系;最后,在信息安全技術層面,可信計算技術是信息安全技術的一個重要研究領域,從而表明安全性與可信性之間也有內在的聯系。
筆者認為,目前國際上制定的有關信息安全等級評估、信息安全風險評估、信息安全管理體系等方面的國際標準,無論是在理論概念還是在操作實務方面,對于我國審計機關開展信息系統審計都具有重要的借鑒價值。這些國際標準或良好實務可以作為審計的參照標準,同時也可以作為審計機關向被審計單位提出改進信息系統安全性建議的依據。同時,在對國有企業信息系統的安全性進行審計時,還要立足我國實際,由于我國國有企業信息系統是國民經濟命脈之命脈,事關國家經濟安全和社會穩定,在重視企業本身信息系統安全的同時,還應當從宏觀上揭示國有企業信息系統的安全風險,維護國家經濟安全。
最后應當指出的是,在審計實踐中,根據具體情況,單個審計項目可以選取上述可信性、績效性和安全性目標中的一個或多個作為審計目標。
篇3
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。
2.2提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。
2.3及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。
3企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1實施終端安全,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。
3.2建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSLVPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSLVPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。
3.3優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4結束語
篇4
關鍵詞:信息化;信息安全;安全管理
1企業信息安全現狀
近幾年,隨著行業信息化建設逐步深入,伴隨著OA辦公自動化、ERP、卷煙生產經營決策管理和MES生產制造執行等系統相繼投入使用,與生產經營息息相關的關鍵業務對信息系統的依賴程度越來越高,企業也逐步認識到信息安全的重要性,企業員工的安全意識也都得到逐步提高。行業也相繼出臺了煙草行業信息安全保障體系建設指南和各類信息安全制度,并通過這幾年信息安全檢查工作,促進企業的信息安全水平得到了進一步提高。由于企業信息安全意識不斷提高,企業不斷加大信息安全方面的投入,如建立標準化的機房、購買與部署各類信息安全軟件和設備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網絡等也隨著計算機技術的發展不斷更新,攻擊手段也越發隱蔽和多樣化。企業不僅要應對外部的攻擊,也要應對來自于企業內部的信息安全威脅,安全形勢不容樂觀。企業的信息安全已不僅僅是技術問題,還需要借助管理手段來保障。企業如果不能正確樹立信息風險導向意識,一味注重“技術”的作用,忽略“管理”的重要性,就很難發揮信息安全技術的作用,無法把企業的各項信息安全措施落到實處,企業的信息安全也就無從談起。只有切實發揮管理作用,企業的信息安全才能得到有效保障。
2企業信息安全體系架構
在談到信息安全時,大多數剛接觸的人都比較疑惑,都說保障信息安全十分重要,那到底什么是信息安全呢?下面就簡單介紹一下信息安全的概念以及企業的信息安全體系架構。2.1信息。對企業來說,信息是一種無形資產,具有一定商業價值,以電子、影像、話語等多種形式存在,必須進行保護。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制,避免造成不良影響或者資產損失。2.3企業信息安全體系架構。在保障企業信息安全過程中,信息安全技術是保障信息安全的重要手段。通過上文對企業信息安全現狀的分析,不難看出企業信息安全體系主要分為技術、管理兩個重要體系,進一步細分則涉及安全運維方面。2.3.1信息安全技術體系作用。主要是指通過部署信息安全產品,合理制定安全策略,實現防止信息泄露、被篡改、被損壞等安全目標。信息安全產品主要是指實現信息安全的工具平臺,如防火墻類產品、防攻擊類產品、殺毒軟件類產品和密碼類產品等,而信息安全技術則是指實現信息安全產品的技術基礎。2.3.2信息安全管理體系作用。完善信息安全組織機構、制度,細化職責分工,制定執行標準,確保日常管理、檢查等制度有效執行,最大程度發揮信息安全技術體系作用,確保信息安全相關保護措施有效執行。通過上文簡單介紹,對信息安全以及信息安全系統有了大概了解。可以看出單純借助技術或管理無法保障企業信息安全,因此,建立企業信息安全管理體系的重要性也就不言而喻。
3信息安全管理體系概念
3.1信息安全管理。運用技術、管理手段,做好信息安全工作整體規劃、組織、協調與控制,確保實現信息安全目標。3.2管理體系。體系是指相互關聯和相互作用的一組要素,而管理體系則是建立方針和目標并實現這些目標的體系。3.3信息安全管理體系(ISMS)。在一定組織范圍內建立、完成信息安全方針和目標,采取或運用方法的體系。作為管理活動最終結果,包含方針、原則、目標、方法、過程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業總管理體系的一個子體系,目的是建立、實施、運行、監視、評審、保持和改進信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機構。明確職責分工,確保信息安全工作組織與落實。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。3.5.3資源。提供體系運轉所需的資金、設備與人員等。
4信息安全管理體系機構設置以及作用
在建立企業的信息安全管理體系之前,如果沒有設置相應的信息安全組織機構,那么建立體系所需要的資源(資金、人員等)就無法得到保障,企業的信息安全制度和策略也就無法貫徹落實,企業的信息安全管理體系就形同虛設起不到任何作用。因此,企業在建立信息安全管理體系前必須建立健全信息安全組織機構,機構設置可以根據職責分為三個層次。4.1信息安全決策機構。信息安全決策機構處于安全組織機構的第一個層次,是本單位信息安全工作的最高管理機構。應以單位主要領導負責,對信息安全規劃、信息安全策略和信息安全建設方案等進行審批,并為企業信息安全工作提供各類必要資源。4.2管理機構。處于安全組織機構的第二個層次,在決策機構的領導下,主要負責企業日常信息安全的管理、監督以及安全教育與培訓等工作,此類工作大部分都由企業的信息化部門承擔。4.3執行機構。處于信息安全組織機構的第三個層次,在管理機構的領導下,負責保證信息安全技術體系的有效運行及日常維護,通過具體技術手段落實安全策略,消除安全風險,以及發生安全事件后的具體響應和處理,執行機構人員可以由信息中心技術人員與各部門專職或兼職信息安全員組成。
5信息安全管理體系的建立
ISO/IEC27001:2005標準的“建立ISMS”章節中,已明確了信息安全管理體系建立的10項強制性要求和步驟。企業應結合自身實際情況,遵照這些內容和步驟,建立自己的信息安全管理體系,并形成相應的體系文件。5.1建立的步驟。(1)結合企業實際,明確體系邊界與范圍,并編制體系范圍文件。(2)明確體系策略,構建目標框架、風險評價的準則等,形成方針文件。(3)確定風險評估方法。(4)識別信息安全風險,主要包括信息安全資產、責任、威脅以及造成的后果等。(5)進行安全風險分析評價,編制評估報告,確定信息安全資產保護清單。(6)明確安全保護措施,編制風險處理計劃。(7)制定工作目標、措施。(8)管理者審核、批準所有殘余風險。(9)經管理層授權實施和運行安全體系。(10)準備適用性聲明。以上步驟解釋不詳盡之處,參看ISO/IEC27001:20054.2.1章節中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素,必須與ISO/IEC27001:2005標準保持一致,同時也要結合企業實際,確保員工遵照要求嚴格執行。而且也要符合企業的實際情況和信息安全需要。在實際工作中,企業員工應按照文件要求嚴格執行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針,涵蓋硬件、網絡、軟件、訪問控制等;程序類主要是指“過程文件”,涉及輸入、處理與輸出三個環節,結果常以“記錄”形式出現;記錄類主要是記錄程序文件結果,常以是表格形式出現。至于適用性聲明文件,企業應結合自身情況,參照ISO/IEC27001:2005標準的附錄A,有選擇性地作出聲明,并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風險評估、處理、文件控制、記錄控制、內部審核、糾正與預防、控制措施有效性測量、管理評審與適用性聲明等。5.2.3任意性文件。企業可以針對自身業務、管理與信息系統等情況,制定自己獨有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關法律法規、ISO/IEC27001:2005標準以及企業實際要求,保證與企業其他體系文件協調一致,避免沖突,同時在文字描述準確且無二義。
6體系實施與運行
主要包括策略控制措施、過程和程序,涉及制定和實施風險處理計劃、選擇控制措施與驗證有效性、安全教育培訓、運行管理、資源管理以及安全事件應急處理等。
7體系的監視與評審
主要指對照策略、目標與實際運行情況,監控與評審運行狀態,主要涉及有效性評審、控制措施測試驗證、風險評估、內部審核、管理評審等環節,并根據評審結果編制與完善安全計劃。
8體系的保持和改進
主要是依據監視與評審結果,有針對性地持續改進。主要包括改進措施、制定完善措施、整改總結等,同時需相關方進行溝通,確保達到預計改進標準。
9結語
篇5
【關鍵詞】云計算;電力信息;電力企業
引言
隨著計算機信息的不斷發展,云計算作為計算機中的新興技術,受到了諸多企業的認可與廣泛的應用,但隨著時代的發展,云計算環境中的信息安全也被眾多相關人士的所重視,而電力企業將云計算技術應用于自身的管理系統中,能夠在一定程度上提升自身信息管理的水平。但在提升的同時,也存在著一定的風險性。
1云計算概念解析
云計算的核心里面便是互聯網為基礎將眾多的計算機組合成可以控制的資源體系,最后利用該資源體系完成眾多的計算任務。因此就云計算的實質而言,其就是以Internet為基礎的計算方法。云計算經過長時間的發展具備了服務彈性大、可擴展性強等諸多優勢,但云計算在具備這些優勢同時也具備了相關的信息安全問題。所謂的信息安全問題指的便是基于互聯網而衍生出來的信息風險。其具體包括數據訪問權限風險、傳輸、儲存安全風險等等,而電力企業需要用云計算完成的任務具體有以下幾個方面,用戶個人信息管理、電力營銷、電力數據仿真等等。
2云計算環境下電力信息安全問題簡析
有關技術人員根據云計算服務性質的不同,將云計算分為了混合云、私有云、公有云三類,根據我國現代電力企業對于云計算的應用情況,發現其不僅僅涉及到了公有云,而且還包涉及到私有云。而在電力企業中電力私有云在一般情況下是指電力企業為了實現系統內整個IT架構的提升專門構建的云計算。電力企業的私有云較之于公有云而言,提升了一定的安全性與服務質量,但其還存在著較多的風險。
2.1邊界模糊
所謂邊界風險指的就是因為云計算本身就是以虛擬化構架為基礎建造起來的,因此其不具備明確的安全邊界,而且傳統的安全區分系統很難滿足云計算對于安全的需求。
2.2訪問權限風險
訪問權限在現階段的云計算系統中,已被大量廣泛采用,因為電力企業很大一部分業務系統都處于云中。因此如果不具備相關的身份識別方式,很多人都有可能接觸到企業的機密信息,從而導致機密泄露問題的發生。
2.3數據的存儲與傳輸的問題
現階段很多電力企業信息都會在存儲與傳輸的過程中受到攻擊,在很多時候會造成企業機密信息的泄露。很多電力企業信息在存儲時會收到代碼的惡意攻擊,因此電力企業數據的存儲與傳輸的問題必須得到解決。
3云計算環境下電力信息安全策略簡析
3.1邊界防護技術的應用得到加強計算機安全策略
常見的應用類型便是邊界防護功能技術,最為常見的便是防火墻技術、入侵檢測系統等等。防護墻技術從本質而言就是一種屏障技術,一般由軟硬件組合而成,應用的方面是內部網與外部網之間,具體而言防火墻技術由服務訪問規則、數據驗證相關工具、包過濾、應用網關,這四大件構成,只要是經過這四大構建的數據都會被嚴格的審核,審核通過后才會被放行,因此電力信息安全的云計算可以提升防火墻技術來完成對信息的保護,而入侵檢測技術其實是一種安全警報技術,入侵檢測技術在運行的時候能將準確地識別外來信息的入侵,并且向相關的管理人員發出警報,而且入侵檢測系統技術能夠將入侵的,信息進行統一的收集處理,并且加以分析,便于工作人員的管理。因此電力企業應當應用較為先進的入侵檢測技術系統,便能夠在極短時間來發現外來信息的入侵并及時的采取相應的措施,便能夠有效的防止電力企業核心資料的泄漏[2]。
3.2完善身份認證體系
屏蔽端口是完善身份認證體系作為主要的一個環節,上文也提及電力信息安全的一個主要問題便是訪問權限安全,只有完善身份認證體系才能更好的保護電力企業的機密信息,而完善身份認證體系可以很好的防止個人信息賬號被盜問題的發生,在一般情況下,非法攻擊或者黑客在對管理員賬號進行竊取時,一般都會選擇采用服務器的3389端口來進行界限的突破工作,因此電力企業的技術人員只有把流經此端口的計算信息進行徹底的屏蔽,才能實現對電力企業信息的保障。
3.3加強云服務器的安全防護
關于數據的儲存以及傳輸的安全可以通過相應的加密軟件來解決,或者電力企業的技術人員根據企業數據的實際情況將數據進行了分類加密。對于核心的數據進行高端加密軟件和多層加密。對于普通的數據流進行了一般的加密,如此一來不僅僅節約了企業成本,還解決了數據的存儲以及傳輸的安全的問題。而且電力企業該應該對云服務器的安全防護能力進行一定的加強,其主要的措施就是應用清馬以及修補漏洞的方式來實現,電力企業的技術人員對系統的漏洞的檢查力度進行一定的加強,對于發現的漏洞進行及時的解決,對于網頁上的木馬進行及時的查殺,并且統計歸納已經出現的漏洞以及木馬,建立較為完善的病毒庫,以便下一次更好的防止木馬的入侵。
4結語
本文通過對云計算環境下電力信息安全問題的深入分析,并結合了云計算相關的概念,提出了云計算環境下電力信息安全的相關策略,對云計算環境下電力信息安全的各個方面進行了深入的研究分析,最后得出,云計算環境下的電力企業信息安全是保證電力企業實現良好發展的保障之一,因此必須得到重視。
參考文獻
[1]張云生.淺談發電企業信息安全與風險控制[J].機電信息,2016(27).
