信息網絡安全評估方法范文

時間:2023-09-13 17:18:22

導語:如何才能寫好一篇信息網絡安全評估方法,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

篇1

【關鍵詞】電力 信息網絡安全 風險評估

改革開放以來,我國社會經濟得到了長足的發(fā)展,人民物質文化生活水平不斷提高,用電量亦直線增漲,電力行業(yè)獲得了前所未有的發(fā)展機遇。隨著電力行業(yè)的不斷發(fā)展壯大和信息網絡技術日新月異的發(fā)展,電力行業(yè)和電力企業(yè)也面臨著一系列的挑戰(zhàn),電力信息網絡風險管理和防御顯得日益重要,信息網絡風險量化評估成為重中之重。由于我國電力信息化技術起步較晚,發(fā)展也比較滯后,電力信息網絡風險管理與風險防御是一個新的課題,電力信息網絡風險量化評估在最近幾年才被重視,所以存在不少的問題急待完善。

1 電力信息網絡風險量化評估的必要性

隨著信息技術的不斷發(fā)展,電力信息網絡存在的風險越來越大,電力企業(yè)不得不提高信息網絡風險防控意識,重視電力信息網絡的風險評估工作。進行電力系統(tǒng)信息網絡風險量化評估意義體現(xiàn)在許多方面,可以提高電力企業(yè)管理層和全體員工的信息網絡安全意識,促進電力企業(yè)不斷完善電力信息網絡技術的研發(fā)與提升,防范廣大電力用戶個人信息泄露,為電力企業(yè)今后的良好發(fā)展保駕護航。近年來,電力企業(yè)迎來了黃金發(fā)展時期,電力網絡覆蓋面不斷擴大,電力企業(yè)管理理念也不斷提升,電力系統(tǒng)也隨之步入了數(shù)字化時代,信息網絡安全防范成為當務之急。目前電力系統(tǒng)信息網絡安全防范一般為安裝防病毒軟件、部署防火墻、進行入侵檢測等基礎性的安全防御,缺乏完整有效的信息安全保障體系。風險量化評估技術能夠準確預測出電力信息網絡可能面臨的各種威脅,及時發(fā)現(xiàn)系統(tǒng)安全問題,進行風險分析和評估,盡最大可能地協(xié)助防御電力系統(tǒng)安全威脅。

2 電力系統(tǒng)信息網絡安全風險評估中存在的問題

我國電力信息網絡安全風險評估是近幾年才開始的,發(fā)展相對滯后,目前針對電力信息網絡安全風險評估的相關研究特別少。2008年電力行業(yè)信息標準化技術委員會才討論通過了《電力行業(yè)信息化標準體系》,因此電力信息網絡安全風險評估中存在不少的問題和難題有待解決。

2.1 電力信息網絡系統(tǒng)的得雜性

電力行業(yè),電力企業(yè),各電網單位因為工作性質不同,對電力信息網絡安全風險的認識各不相同,加上相關標準體系的不健全,信息識別缺乏參考,電力信息網絡安全風險識別存在較大的困難。此外電力信息網絡安全風險評估對象難以確定,也給評估工作帶來了很大的困難。

2.2 電力信息網絡安全風險量化評估方法缺乏科學性

我國部分電力企業(yè)的信息網絡安全風險評估方法比較落后簡單,其主要方式是組織專家、管理人員、用戶代表根據一些相關的信息數(shù)據開會研討,再在研討的基礎上進行人為打分,形成書面的文字說明和統(tǒng)計表格來評定電力信息網絡系統(tǒng)可能面臨的各種風險,這種評估方法十分模糊,缺乏科學的分析,給風險防范決策帶來了極大風險,實在不可取。

2.3 傳統(tǒng)的電力信息網絡安全風險評估方法過于主觀

目前用于電力信息網絡安全風險分析計算的傳統(tǒng)方法很多,如層次分析、模糊理論等方法。可是因為電力網絡安全信息的復雜性、不確定性和人為干擾等原因,傳統(tǒng)分析評估方法比較主觀,影響評估結果。在評估的實際工作中存在很多干擾因素,如何排除干擾因素亦是一大難點。電力信息網絡安全風險量化評估要面對海量的信息數(shù)據,如何采用科學方法進行數(shù)據篩選,簡約數(shù)據簡化評估流程是當前的又一重大課題。

3 電力信息網絡所面臨的風險分析

電力信息網絡系統(tǒng)面臨的風險五花八門,影響電力信息網絡系統(tǒng)的因素錯綜復雜,需要根據實際情況建立一個立體的安全防御體系。要搞好電力信息網絡系統(tǒng)安全防護工作首先要分析電力信息網絡系統(tǒng)面臨的風險類別,然后才能各個突破,有效防范。電力信息網絡系統(tǒng)面臨的安全風險主要有兩面大類別:安全技術風險和安全管理風險。

3.1 電力信息網絡安全技術風險

3.1.1 物理性安全風險

是指信息網絡外界環(huán)境因素和物理因素,導致設備及線路故障使電力信息網絡處于癱瘓狀態(tài),電力信息系統(tǒng)不能正常動作。如地震海嘯、水患火災,雷劈電擊等自然災害;人為的破壞和人為信息泄露;電磁及靜電干擾等,都能夠使電力信息網絡系統(tǒng)不能正常工作。

3.1.2 網絡安全風險

是指電力信息系統(tǒng)內網與外網之間的防火墻不能有效隔離,網絡安全設置的結構出現(xiàn)問題,關鍵設備處理業(yè)務的硬件空間不夠用,通信線纜和信息處理硬件等級太低,電力信息網絡速度跟不上等等。

3.1.3 主機系統(tǒng)本身存在的安全風險

是指系統(tǒng)本身安全防御不夠完善,存在系統(tǒng)漏洞,電力企業(yè)內部人員和外部人員都可以利用一定的信息技術盜取用戶所有的權限,竊走或破壞電力信息網絡相關數(shù)據。電力信息網絡安全風險有兩種:一是因操作不當,安裝了一些不良插件,使電力信息網絡系統(tǒng)門戶大開,被他人輕而易舉地進行網絡入侵和攻擊;二是因為主機硬件出故障使數(shù)據丟失無法恢復,以及數(shù)據庫本身存在不可修復的漏洞導致數(shù)據的丟失。

3.2 電力信息網絡安全管理中存在的風險

電力信息網絡是一個龐大復雜的網絡,必須要重視安全管理。電力信息網絡安全管理風險來源于電力企業(yè)的內部,可見其風險威脅性之大。電力信息網絡安全管理中存在風險的原因主要是企業(yè)內部管理混亂,權責劃分不清晰,操作人員業(yè)務技能不過關,工作人員責任心缺乏,最主要還是管理層對電力信息網絡安全管理中存在的風險意識薄弱,風險管理不到位所致。

4 電力信息網絡風險評估的量化分析

4.1 電力信息網絡風險評估標準

目前我國一般運用的電力信息網絡風險評估標準是:GB/T 20984-2007《信息安全技術:信息安全風險評估規(guī)范》,該標準定義了信息安全風險評估的相關專業(yè)術語,規(guī)范了信息安全風險評估流程,對信息網絡系統(tǒng)各個使用壽命周期的風險評估實施細節(jié)做出了詳細的說明和規(guī)定。

4.2 電力信息網絡安全風險計算模型

學界認為電力信息網絡的安全風險與風險事件發(fā)生概率與風險事件發(fā)生后造成的可能損失存在較高的相關性。所以電力信息系統(tǒng)總體風險值的計算公式如下:

R(x)=f(p,c)

其中 R(x)為系統(tǒng)風險總值,p代表概率,c為風險事件產生的后果。

由此可知,利用科學的計算模式來量化風險事件發(fā)生的概率,和風險事件發(fā)生后可能產生的后果,即可演算出電力信息網絡安全的風險總值。

4.3 電力信息網絡安全風險量化評估的方法

4.3.1 模糊綜合評判法

模糊綜合評判法采用模糊數(shù)學進行電力信息網絡安全風險量化評估的一種方法,利用模糊數(shù)學的隸屬度理論,把對風險的定性評估轉化成定量評估,一般運用于復雜龐大的力信息網絡安全防御系統(tǒng)的綜全性評估。利用模糊綜合評判法時,要確定好因數(shù)集、評判集、權重系數(shù),解出綜合評估矩陣值。模糊綜合評判法是一種線性分析數(shù)學方法,多用于化解風險量化評估中的不確定因素。

4.3.2 層次分析法

電力信息網絡風險量化評估層次分析法起源于美國,是將定性與定量相結合的一種風險量化評估分析方法。層次分析法是把信息網絡風險分成不同的層次等級,從最底層開始進行分析、比較和計算各評估要素所占的權重,層層向上計算求解,直到計算出最終矩陣值,從而判斷出信息網絡風險終值。

4.3.3 變精度粗糙集法

電力信息網絡風險量化評估變精度粗糙集法是一種處理模糊和不精確性問題的數(shù)學方法,其核心理念是利用問題的描述集合,用可辨關系與不可辨關系確定該問題的近似域,在數(shù)據中尋找出問題的內在規(guī)律,從而獲得風險量化評估所需要的相關數(shù)據。在實際工作中,電力信息網絡風險量化評估分析會受到諸多因素的影響和干擾,變精度粗糙集法可以把這些干擾因素模糊化,具有強大的定性分析功能。

電力信息網絡風險量化評估是運用數(shù)學工具把評估對象進行量化處理的一種過程。在現(xiàn)實工作中,無論采用哪種信息網絡風險評估的量化分析方法,其目的都是為了更好地進行風險防控,為電力企業(yè)的發(fā)展保駕護航。

5 總結

電力信息網絡安全對保證人民財產安全和電力企業(yè)的日常營運都具有非常重要的意義,電力企業(yè)領導層必須要加以重視,加大科研投入,定向培養(yǎng)相關的專業(yè)人才,強化電力信息網絡安全風險評估工作,為電力企業(yè)的良好發(fā)展打下堅實的基礎。

參考文獻

[1]龐霞,謝清宇.淺議電力信息安全運行維護與管理[J].科技與企業(yè),2012(07):28.

篇2

【 關鍵詞 】 物聯(lián)網系統(tǒng);安全檢測;風險評估;安全檢查

【 中圖分類號 】 TN918

Research on Security Test and Check Method of IoT System

Li Hai-tao Li Cheng-yuan Fan Hong

(The First Research Institute of the Ministry of Public Security Beijing 100048)

【 Abstract 】 With the wide application on the internet of things (IoTs) technology, the IoT systems are confronted with various security threats. There are eager demands on Security test and check of IoT System. In this paper, we have researched on Security test and check method of IoT System from system security test, risk assessment and integration security management.

【 Keywords 】 internet of things system; security test; risk assessment; security check

1 引言

目前在全球市場的數(shù)據統(tǒng)計分析上看,物聯(lián)網成為未來10年發(fā)展迅猛的行業(yè)。據美國市場研究公司Forester預測,到2020年,世界上“物物互連”的應用業(yè)務,跟人與人之間通信的業(yè)務相比,前者是后者的30倍,僅在智能電網和機場入侵檢測系統(tǒng)方面的市場就有上千億美元。因此“物聯(lián)網”必將成為下一個萬億美元級的信息技術產業(yè)。

從經濟發(fā)展角度看,各國齊頭并進,相繼推出物聯(lián)網區(qū)域戰(zhàn)略規(guī)劃。當前,世界各國的物聯(lián)網基本都處于技術研究與試驗階段,美、日、韓、歐盟等都正投入巨資深入研究探索物聯(lián)網關鍵技術。

物聯(lián)網是互聯(lián)網在現(xiàn)實世界的延伸。隨著應用的不斷擴展,物聯(lián)網一旦發(fā)生安全問題,極有可能在現(xiàn)實世界造成電力中斷、金融癱瘓、社會混亂等嚴重危害公共安全的事件,甚至將危及國家安全。由于物聯(lián)網感知節(jié)點和傳輸設備具有能量低、計算能力差、運行環(huán)境惡劣、通信協(xié)議龐雜等特點,使得傳統(tǒng)安全技術無法直接應用于物聯(lián)網,由此引發(fā)眾物聯(lián)網特有的安全問題。

物聯(lián)網安全問題如果得不到有效解決,將嚴重阻礙物聯(lián)網產業(yè)發(fā)展。目前物聯(lián)網安全技術和安全狀況缺乏有效的檢測和評價手段,已有的物聯(lián)網應用急需對其安全性能的檢測和技術支持。所以,對物聯(lián)網安全檢測與檢查方法的研究是解決物聯(lián)網安全問題必不可少的關鍵工作。

2 物聯(lián)網系統(tǒng)面臨的安全威脅

從安全測評的角度來看,物聯(lián)網系統(tǒng)的結構可以分為三層,即智能感知層、接入傳輸層和業(yè)務應用層。物聯(lián)網面臨的安全威脅也來自這三個層次。

由于網絡環(huán)境的不確定性,感知節(jié)點面臨著多方面的威脅,感知節(jié)點本身就是用于監(jiān)測和控制各種感知設備。節(jié)點對各種檢測對象進行監(jiān)測,從而提供感知設備傳輸?shù)臄?shù)據信息來監(jiān)控網絡系統(tǒng)的運行情況。這些智能傳感器節(jié)點是暴露在攻擊者面前的,最容易被攻擊。因此,與傳統(tǒng)的IP網絡比較,所有的監(jiān)控措施、安全防范策略不僅面臨著更復雜的網絡環(huán)境,而且還有更高的實時性要求。物聯(lián)網系統(tǒng)面臨的主要威脅有幾個方面。

(1)安全隱私 射頻識別技術被廣泛用于物聯(lián)網系統(tǒng)中,RFID標簽可能被嵌入到任何物體中,例如人們的生活和生產用品。但是這些物品的擁有者不一定能夠了解相關情況,會導致該對象的擁有者被隨意地掃描、定位和追蹤。

(2)偽造攻擊 與傳統(tǒng)IP網絡相比,傳感設備和電子標簽都是在攻擊者面前的。與此同時,接入傳輸網絡中有一部分是無線網絡,竄擾問題在傳感網絡和無線網絡中是普遍存在的,而無線安全研究方面也顯得非常棘手。因此,在網絡中這些方面面臨的偽造節(jié)點攻擊很大程度上威脅著傳感器節(jié)點的安全,從而影響整個物聯(lián)網安全。

(3)惡意代碼攻擊 惡意代碼在接入傳輸層和傳感層中都可以找到很多可以攻擊的突破口。對攻擊者而言只要進入到網絡,通過傳輸網絡進行病毒傳播就變得輕車熟路,而且具有較強的隱蔽性,這一點與有線網絡相比就更加難以防御。例如類似蠕蟲這樣的惡意代碼,本身又不需要寄生文件,在這種環(huán)境中檢測發(fā)現(xiàn)和清除惡意代碼的難度是非常大的。

(4)拒絕服務攻擊 這種被熟悉的攻擊方式,一般發(fā)生在感知層與接入傳輸層銜接位置的概率是非常大的。由于物聯(lián)網中感知節(jié)點數(shù)量龐大,而且多數(shù)是以集群的方式存在,因此信息在網絡中傳輸時,海量的感知節(jié)點信息傳遞轉發(fā)請求會導致網絡擁塞,產生拒絕服務攻擊的效果。

(5)信息安全 感知節(jié)點一般都具有功能單一、信息處理能力低的特點。因此,感知節(jié)點不可能具有高強度的安全防范措施。同時因為感知層節(jié)點的多樣化,采集的數(shù)據、傳輸?shù)男畔⒁簿筒粫薪y(tǒng)一的格式,所以提供統(tǒng)一的安全防范策略和安全體系架構是很難做到的。

(6)接入傳輸層和業(yè)務應用層的安全隱患 在物聯(lián)網系統(tǒng)的接入傳輸層和業(yè)務應用層除了面臨傳統(tǒng)有線網絡的所有安全威脅的同時,還因為物聯(lián)網在感知層所采集數(shù)據格式的不統(tǒng)一,來自不同類型感知節(jié)點的數(shù)據信息是無法想象的、并且是多源異構數(shù)據,所以接入層和業(yè)務應用層的安全問題也就更加繁雜。

通過對各行業(yè)物聯(lián)網建設方面的調查發(fā)現(xiàn),當前已有的物聯(lián)網應用對其安全性能的檢測和技術支持需求十分迫切,例如移動系統(tǒng)與行業(yè)網的接入安全性評估和檢測、社會公共安全的視頻采集系統(tǒng)的接入安全檢測、基于RFID和車牌識別的智能車輛管控系統(tǒng)安全性評估等檢測業(yè)務都是亟待解決的問題。由此看出,物聯(lián)網安全檢測和檢查方法研究需求迫切。

為了把物聯(lián)網系統(tǒng)安全風險降到最低,應該做到系統(tǒng)建設與檢測檢查同步進行,且檢測檢查過程中要技術與管理并重。本文將從物聯(lián)網系統(tǒng)安全檢測、物聯(lián)網系統(tǒng)風險評估和物聯(lián)網集成化安全管理三個方面進行檢測、檢查的方法研究。

3 物聯(lián)網系統(tǒng)安全檢測

安全檢測是以系統(tǒng)檢測方式對物聯(lián)網系統(tǒng)三層架構的各個層面進行安全符合性和有效性檢測。

(1)智能感知層應該對訪問控制策略配置、身份認證策略配置、數(shù)據完整性保護策略配置、數(shù)據保密性保護策略配置、感知節(jié)點抗攻擊性、安全審計策略配置和物理安全進行符合性測試。

(2)接入傳輸層檢測應該對AKA機制的一致性或兼容性、跨域認證和跨網絡認證、視頻傳輸協(xié)議轉換前后的安全性;傳統(tǒng)認證和數(shù)據交換安全、無線認證網關安全、無線傳輸協(xié)議、身份認證安全等進行符合性和有效性檢測。

(3)業(yè)務應用層應該對數(shù)據庫安全、應用系統(tǒng)和網站安全、應用系統(tǒng)穩(wěn)定性、業(yè)務連續(xù)性以及應用模擬等進行符合性和有效性檢測。

下面從物聯(lián)網系統(tǒng)檢測規(guī)則和檢測工具兩個方面研究物聯(lián)網系統(tǒng)安全檢測方法。

物聯(lián)網系統(tǒng)檢測規(guī)則由三個部分組成分別是智能感知層規(guī)則、接入傳輸層規(guī)則和業(yè)務應用層規(guī)則。

(1)智能感知層規(guī)則主要包括訪問控制、身份認證、數(shù)據完整性保護、數(shù)據保密性保護、抗攻擊、安全審計以及物理安全等安全規(guī)則。

(2)接入傳輸層規(guī)則包括數(shù)字接入系統(tǒng)中接入業(yè)務可管理性、可控性、信息保密性、完整性和可用性的規(guī)則要求,視頻接入系統(tǒng)實現(xiàn)外部視頻資源單向傳輸至內網,視頻控制信令和數(shù)據的會話終止于應用服務區(qū),包含對視頻信令格式進行檢查及內容過濾、合法的協(xié)議和數(shù)據通過、視頻數(shù)據和視頻控制信令安全傳輸?shù)确矫娴囊?guī)則,無線接入系統(tǒng)接入內網,需要與內網的各種信息系統(tǒng)交互信息,包含敏感信息、數(shù)據完整性保護、數(shù)據保密性保護、抗攻擊、安全審計以及物理安全等方面的規(guī)則。

(3)業(yè)務應用層規(guī)則一般包括訪問控制、用戶身份鑒別、資源控制、安全漏洞、安全審計以及數(shù)據備份等安全規(guī)則。

檢測工具是包含物聯(lián)網系統(tǒng)安全檢測中所有測試工具、測試樣本數(shù)據的集合。檢測工具根據其應用范圍可以劃分為三類。

(1)智能感知層檢測工具:主要包括對感知操作安全項目進行檢測所用到的軟硬件工具和測試樣本數(shù)據;感知數(shù)據處理安全檢測工具包括對感知數(shù)據處理安全項目進行檢測所用到的工具;感知數(shù)據存儲安全檢測工具主要包括感知數(shù)據存儲安全項目進行檢測所用到的工具和測試樣本數(shù)據;感知節(jié)點設備安全檢測工具主要包括漏洞掃描工具、自動化攻擊工具以及自身所建立的漏洞補丁知識庫,根據被測設備的操作系統(tǒng)、功能組件,查詢漏洞補丁知識庫,可以發(fā)現(xiàn)漏洞掃描類工具無法直接探測的隱藏漏洞。

(2)接入傳輸層檢測工具:主要包括脆弱性掃描與管理工具、網絡協(xié)議分析工具、主機配置檢測工具、網絡邊界檢測工具等。

(3)業(yè)務應用層檢測工具:主要包括Web應用系統(tǒng)及網站安全檢測工具、數(shù)據庫脆弱性檢測工具和網絡終端安全檢測工具等。

4 物聯(lián)網系統(tǒng)風險評估

物聯(lián)網系統(tǒng)風險評估主要針對物聯(lián)網智能感知層、接入傳輸層和業(yè)務應用層中所包含的各個組成部分。開展物聯(lián)網系統(tǒng)風險評估工作,需要構建物聯(lián)網系統(tǒng)風險評估平臺,對物聯(lián)網可能遭受到的威脅和脆弱性進行安全分析,然后根據安全事件的可能性以及安全事件造成的損失計算出風險值、對安全事件進行風險等級定級,最后結合安全事件所涉及的資產價值來判斷安全事件一旦發(fā)生對物聯(lián)網系統(tǒng)造成的影響。

下面從物聯(lián)網系統(tǒng)風險評估知識庫和風險評估工具兩方面來研究物聯(lián)網系統(tǒng)風險評估方法。

風險評估知識庫應該包含威脅庫、脆弱性庫、風險分析方法和評估案例等。物聯(lián)網系統(tǒng)風險評估服務威脅庫包括智能感知層威脅庫、接入傳輸層威脅庫和業(yè)務應用層威脅庫:智能感知層威脅有RFID安全隱私、RFID標簽復制、傳感網安全路由、感知節(jié)點逐跳加密安全等;接入傳輸層威脅有海量數(shù)據融合信息竊取、海量數(shù)據傳輸安全、三網融合面臨的新威脅等;業(yè)務應用層威脅有位置信息泄露、數(shù)據融合后機密信息泄露、應用系統(tǒng)漏洞等。脆弱性庫,脆弱性識別時的數(shù)據應來自于資產的所有者、使用者,以及相關業(yè)務領域和軟硬件方面的專業(yè)人員等。風險分析方法主要包括系統(tǒng)層次分析方法、基于概率論和數(shù)理統(tǒng)計的方法、模糊數(shù)學方法,這些方法或是在識別風險的基礎上,進一步分析已識別風險,提高風險結果可信度,或是融入風險評估過程中,使評估過程更科學、更合理。

如果物聯(lián)網系統(tǒng)風險評估案例庫建立實際風險評估案例,能夠給出風險分析方法、風險分析過程。系統(tǒng)整體風險評估結果就能一目了然,也為物聯(lián)網系統(tǒng)風險評估工作提供參考案例。

根據在風險評估過程中的主要任務和作用原理的不同,風險評估工具可以分成風險評估與管理工具、系統(tǒng)基礎平臺風險評估工具和風險評估輔助工具三類。

(1)風險評估與管理工具應該是一套集成風險評估各類知識和判定依據的管理信息系統(tǒng),以規(guī)范風險評估的過程和操作方法,或者用于收集評估所需要的數(shù)據和資料,基于專家總結的經驗,對輸人輸出進行自動化的模型分析。

(2)系統(tǒng)基礎平臺風險評估工具主要用于對信息系統(tǒng)的主要部件(如操作系統(tǒng)、數(shù)據庫系統(tǒng)、網絡設備等)的脆弱性進行分析,或實施基于脆弱性的攻擊。

(3)風險評估輔助工具則實現(xiàn)對數(shù)據的采集、現(xiàn)狀分析和趨勢分析等單項功能,為風險評估各要素的賦值、定級提供依據。

5 物聯(lián)網集成化安全管理檢查

目前監(jiān)管體系對不同的物聯(lián)網系統(tǒng)的防護管理要求存在沒有差異和缺乏針對性等問題。因此,物聯(lián)網集成化安全管理勢在必行。根據物聯(lián)網的技術特點,針對物聯(lián)網面臨的安全威脅,應該構建和完善物聯(lián)網的監(jiān)管體系,從防范阻止、檢測發(fā)現(xiàn)、應急處置、審計追查和集中管控五個方面,對物聯(lián)網系統(tǒng)感知層、接入傳輸層和業(yè)務應用層進行安全防護管理。

(1)防范阻止主要指物聯(lián)網系統(tǒng)應該具有安全防護和阻止信息安全威脅影響的措施,從而有效防范本文中提到的安全威脅。從物聯(lián)網的體系結構而言,物聯(lián)網除了面對TCP/IP網絡、無線網絡和移動通信網絡等傳統(tǒng)網絡安全問題之外,還存在著大量自身的特殊安全問題。因此數(shù)據完整性和保密性保護、身份認證、訪問控制、安全審計等方面的安全措施必不可少。

(2)檢測發(fā)現(xiàn)主要是指物聯(lián)網系統(tǒng)應該能夠檢測發(fā)現(xiàn)物聯(lián)網系統(tǒng)存在安全隱患,其中包括感知層檢測、接入傳輸層檢測和業(yè)務應用層檢測,在感知層應能檢測發(fā)現(xiàn)感知設備偽造攻擊。由于感知設備是“”在攻擊者面前的,那么攻擊者就可以輕易地接觸到這些設備,從而對它們造成破壞,甚至通過本地操作更換機器的軟硬件。接入傳輸層應包括邊界接入系統(tǒng)、視頻接入系統(tǒng)和無線接入系統(tǒng)三類接入傳輸系統(tǒng)的安全管理要求。業(yè)務應用層應能檢測發(fā)現(xiàn)業(yè)務應用中的安全隱患,因為TCP/IP網絡的所有安全隱患都同樣適用于物聯(lián)網。同時應能針對物聯(lián)網感知層、接入傳輸層、業(yè)務應用層三個層次進行風險威脅分析,形成反映物聯(lián)網系統(tǒng)安全態(tài)勢的總體視圖。因為安全系統(tǒng)從隱患到影響是一個態(tài)勢變化的過程,因此對物聯(lián)網系統(tǒng)態(tài)勢的分析與威脅防范同樣重要。

(3)應急處置主要是指應該能夠具有高效指導系統(tǒng)維護人員開展應急處置工作的措施,應制定物聯(lián)網信息安全應急預案,并結合實際工作情況,對物聯(lián)網信息安全應急預案做出相應修訂。應明確現(xiàn)場總指揮、副總指揮、應急指揮中心以及各應急行動小組在應急救援整個過程中所擔負的職責。應明確完成應急救援任務應該包含的所有應急程序,以及對各應急程序能否安全可靠地完成對應的某項應急救援任務進行確認。應急預案應具備實用性、可操作性、完整性和可讀性的特點。

(4)審計追查主要是指應該能夠為安全管理人員提供物聯(lián)網系統(tǒng)安全事件倒查的措施,包括日志采集、查詢、分析和追查。其中采集應能對分布在感知層、接入傳輸層和業(yè)務應用層各個部分的用戶和管理員操作日志進行采集。查詢應能對物聯(lián)網信息系統(tǒng)日志進行查詢,包括常規(guī)查詢、條件查詢和權限控制查詢。分析應能根據統(tǒng)計需求,對物聯(lián)網信息系統(tǒng)日志進行統(tǒng)計分析。追查應能根據追查安全事件需求,為安全管理人員提供安全事(案)件的倒查手段。

(5)集中管控主要是指應該能夠為物聯(lián)網系統(tǒng)自身安全管理和控制提供技術手段。它們包括集中監(jiān)控、策略管理、運行監(jiān)控、異常和用戶監(jiān)控,其中集中監(jiān)控應能通過監(jiān)控中心對物聯(lián)網系統(tǒng)進行集中管控,包括系統(tǒng)安全管理和監(jiān)控。策略管理應能對感知層、接入傳輸層和業(yè)務應用層的安全策略進行集中管理,支持管理感知節(jié)點的備份與恢復。運行管控應能對感知層終端運行情況進行監(jiān)控,對物聯(lián)網系統(tǒng)運行情況進行監(jiān)控。異常和用戶監(jiān)控應能對業(yè)務應用層異常進行監(jiān)控,能對系統(tǒng)用戶的操作進行監(jiān)控。

6 結束語

隨著物聯(lián)網產業(yè)的迅猛發(fā)展,信息安全問題也面臨著新的挑戰(zhàn),所以安全作為物聯(lián)網領域的核心問題,沒有完善的安全保護和測評措施,物聯(lián)網就無法被廣泛地應用,這就會對物聯(lián)網優(yōu)勢的發(fā)揮產生嚴重的影響。

本文在分析了物聯(lián)網系統(tǒng)面臨安全威脅的基礎上。根據物聯(lián)網技術特點,針對面臨的安全威脅,從物聯(lián)網系統(tǒng)安全檢測、物聯(lián)網系統(tǒng)風險評估和物聯(lián)網集成化安全管理三個方面進行檢測和檢查的研究。從而進一步明確在物聯(lián)網的建設中,物聯(lián)網應用不僅要投入巨資深入研究系統(tǒng)構建技術,還需要做到安全保障與物聯(lián)網建設齊頭并進,避免先應用后安全的被動局面,增強物聯(lián)網主動保障能力,提高物聯(lián)網安全檢測能力,擴大安全檢測和檢查應用范圍,為推進我國物聯(lián)網安全檢測標準化進程提供保障,使得物聯(lián)網安全檢測工作更加專業(yè)化、規(guī)范化和常態(tài)化。

參考文獻

[1] 丁超, 楊立君, 吳蒙. IoT/CPS的安全體系結構及關鍵技術.中興通訊技術,2011,01(17).

[2] 李向軍.物聯(lián)網安全及解決措施.農業(yè)網絡信息,2010,12.

[3] 戴鐵君.物聯(lián)網安全問題與其解決措施.科技風, 2011,02.

[4] 汪金鵬,胡國華.物聯(lián)網安全性能分析與應用.科技信息, 2010,33.

[5] 姚遠.基于中間件的物聯(lián)網安全模型.電腦知識與技術, 2011,01(07).

[6] 肖毅.物聯(lián)網安全管理技術研究.通信技術. 2011, 01(44).

[7] 蒲石,陳周國祝世雄.震網病毒分析與防范[J].信息網絡安全,2012,(02):40-43.

[8] 武鴻浩.CUDA并行計算技術在情報信息研判中的應用[J].信息網絡安全,2012,(02):58-59.

[9] 王勇.隨機函數(shù)及其在密碼學中的應用研究[J].信息網絡安全,2012,(03):17-18.

[10] 丁麗萍.Android 操作系統(tǒng)的安全性分析[J].信息網絡安全,2012,(03):23-26.

篇3

【關鍵詞】信息系統(tǒng) 網絡安全 風險管理

信息時代的到來帶給我們無限的商機與財富、快捷與便利,但是依舊逃脫不了事物的兩面性,信息系統(tǒng)的也存在著安全隱患與危險。越來越多的病毒,網絡黑客在的盯著互聯(lián)網這塊肥肉,通過網絡渠道肆意的入侵企業(yè)或個人的計算機,盜取重要信息資料,或者破壞信息系統(tǒng)令其崩潰、癱瘓,對企業(yè)和個人造成重大損失的同時,不法分子也可能會利用信息系統(tǒng)中的資料來進行謀利或做出有害于社會的事情。因此,在社會主義高度發(fā)展的今天,信息系統(tǒng)網絡安全非常重要,能夠預測其存在的風險并及時找出管理的方法顯得刻不容緩。

1 信息系統(tǒng)網絡安全問題現(xiàn)狀分析

根據目前的情形,信息系統(tǒng)網絡安全問題面臨著很嚴重的挑戰(zhàn),其安全問題方面不容樂觀。美國計算機小組的統(tǒng)計資料顯示,從2005年后全球發(fā)生重大信息系統(tǒng)網絡安全問題逐年翻倍增長,面臨著很嚴峻的形式。信息系統(tǒng)是一個龐大復雜的大系統(tǒng),一般由多種軟件、接口、硬盤等等組件構成,由于技術和設計上存在不完善性,大量的漏洞和缺陷隨之而來,這些弱點構成了信息系統(tǒng)的脆弱性。信息系統(tǒng)網絡安全問題主要來自兩大方面:首先是人們技術能力和創(chuàng)造能力的局限性,使得信息系統(tǒng)在網絡上存在本身的弱點;其次是社會現(xiàn)實引起的爭斗,商業(yè)競爭、個人報復等等犯罪行為從信息系統(tǒng)的弱點進行入手,來對信息系統(tǒng)網絡進行攻擊。

信息系統(tǒng)在不斷的更新和完善,這是一個無止境的過程,縱觀計算機與網絡技術的發(fā)展,每一項新技術的推出,都會有隨之而來的被“破解”,它的脆弱性會很快被顯現(xiàn)出來,然后就是不斷的進行完善。同樣,信息系統(tǒng)也如此,設計者在設計和工程上存在錯誤或失誤導致信息系統(tǒng)存在一定的缺陷,根據IBM研究人員的統(tǒng)計結果顯示:計算機操作系統(tǒng)、數(shù)據庫都是由幾萬行、幾十萬行程序代碼所編寫而成,平均一千行代碼中就可能存在一個錯誤,那么,信息系統(tǒng)在互聯(lián)網上的應用朝著互聯(lián)互通的一體化方向發(fā)展,技術要求越高,其復雜性就越來越大,同時,導致其網絡安全的脆弱性因素就越來越多。

美國微軟公司推出的號稱是迄今為止“視窗XP”系統(tǒng)不久,就被發(fā)現(xiàn)其系統(tǒng)中存在嚴重缺陷,微軟公司也承認了此項事實,調差顯示:黑客可以通過網絡來控制并操控整個操作系統(tǒng),進而竊取資料,銷毀用戶資料等等,計算機系統(tǒng)的脆弱性暴露無遺。那么,可想而知信息系統(tǒng)也岌岌可危,現(xiàn)在的信息系統(tǒng)網絡安全問題無處不在,可能當你的計算機聯(lián)網時,病毒就隨之而來,且并不會被發(fā)現(xiàn)。病毒是互聯(lián)網中普遍的存在,還有一種特殊的存在--黑客,黑客作為擁有主觀能動性的存在,是信息空間中一種特殊文化現(xiàn)象的產生,他伴隨著信息系統(tǒng)的發(fā)展而存在,并也隨著信息系統(tǒng)的技術提高而提高,黑客扮演著陰暗面的角色,對全球信息系統(tǒng)的惡意攻擊呈現(xiàn)著愈演愈烈的趨勢。現(xiàn)在的信息系統(tǒng)網絡能夠檢測出是否有黑客試圖攻擊,能夠做到及時的發(fā)現(xiàn)和回擊,但是,俗話說“道高一尺,魔高一丈”根據我國新華社的報道,中國近60%的單位信息系統(tǒng)網絡受到國黑客攻擊,甚至于政府部門的重要職能部門都被攻擊過。

隨著網絡技術的發(fā)展,病毒和黑客的攻擊也在不斷的發(fā)展進步,黑客的攻擊方法也在發(fā)生變化,不僅是黑客本身利用IP地址來欺騙,利用程序代碼、分析源代碼或者發(fā)掘應用程序的缺陷來攻擊,而且還有黑客技術和病毒傳播相結合的方式。

如上所述,信心系統(tǒng)網絡安全的問題的現(xiàn)狀一直都存在,技術人員在不斷的創(chuàng)新,同時也在不斷的與網絡上的安全問題、陰暗面在做斗爭,修補脆弱的一面,致力于提高信息系統(tǒng)網絡安全。

2 信息系統(tǒng)網絡安全風險分析

據木桶原理來看,信息系統(tǒng)網絡的安全性取決于它本身最薄弱的環(huán)節(jié),信息系統(tǒng)網絡安全是保證其系統(tǒng)安全正常運行的基本保障,但是信息系統(tǒng)是龐大而復雜的,這就決定了保護信息系統(tǒng)的安全維護不是一蹴而就的事情。分析信息系統(tǒng)網絡中存在的安全風險,便于盡快找到相應的解決措施。

(1)盜取和截獲信息系統(tǒng)網絡中的信息。如果信息系統(tǒng)本身的防火墻和安全措施、加密措施的強度不夠,攻擊者會通過互聯(lián)網、電話線、電磁波輻射范圍內所安裝的裝置、路由器上等可以利用的裝置來截獲傳輸中的數(shù)據信息;更有甚者通過對信息流量數(shù)據、通信次數(shù)的分析,來套取信息系統(tǒng)中的信息。因此,應運用加密技術對信息系統(tǒng)網絡來進行加密處理以保證其機密性。

(2)篡改和假冒信息系統(tǒng)網絡中的信息。

當攻擊者破解了信息系統(tǒng)的程序,熟悉了信息系統(tǒng)的網絡信息內容格式后,很有可能會利用技術和手段在信息系統(tǒng)傳輸信息的過程中,入侵其中并篡改信息內容,從而破壞信息的真實性和完整性。所以,要預防信息系統(tǒng)網絡中的隨意修改、生成、刪除情況。

信息系統(tǒng)網絡中還會出現(xiàn)假冒的信息,攻擊者摸索到信息系統(tǒng)網絡中數(shù)據規(guī)律或解密了機密信息后,可以假冒合法用戶去發(fā)送假冒信息去欺騙用戶,在公司中也可假冒領導發(fā)號施令,調閱機密文件等等。

(3)信息有效性得不到保障?;ヂ?lián)網應用的發(fā)展,信息化社會隨之到來,電子設備的信息傳遞,其有效性是值得關注的問題。由電子商務作為領軍,以電子化形式取代了紙張形式的信息傳遞方式,其信息的有效性是開展業(yè)務的前提。信息系統(tǒng)中信息的有效性關系到企業(yè)、個人甚至國家,因此,對網絡故障、應用程序代碼、系統(tǒng)硬件、軟件、病毒等潛在威脅加以預防和控制,以保證信息系統(tǒng)網絡傳遞的信息是有效的,正確的。

以上三點是信息系統(tǒng)網絡安全的風險分析,風險的存在不是一步就可以解決的問題,分析出了哪些方面存在風險,才可以更好的預防和控制。

3 信息系統(tǒng)網絡風險管理的目的

信息系統(tǒng)網絡的安全是人類面臨的新問題,它普遍的存在人們的日常生活中,信息系統(tǒng)的復雜性和安全問題的突發(fā)性、不確定性使得安全問題的解決面臨困難,沒有完善的全面防范,防范的重點難以確定,具有高突發(fā)性的信息安全問題。積極尋求解決方法和手段是進行治理信息系統(tǒng)網絡安全的務實選擇。 在尋求解決方法、有效對策時,防范不足信息安全會失效;全面防范會造成財力、人力、物力的浪費,或是信息系統(tǒng)網絡的可用性下降。因此,信息系統(tǒng)風險管理是要盡可能的安全卻又不能太過于安全的,要從經濟、技術的可行性上來有效的進行管理。

進入互聯(lián)網時代以后,信息網絡安全威脅不斷增加,也在不斷的迫使人們重新考慮合適的安全模式,信息系統(tǒng)網絡安全觀念是人們探索的新產物。信息安全問題也從過去單純的應對威脅拓展到既要應對威脅,又要面對挑戰(zhàn)。在當今復雜的信息系統(tǒng)環(huán)境下,風險總是存在的,無論你采取多么完美的信息系統(tǒng)安全手段,都難以徹底消除安全問題的威脅。

對信息系統(tǒng)網絡進行風險管理,可以將攻擊和破壞產生后果的程度限制在可承受范圍內,風險管理是對信息系統(tǒng)的一個動態(tài)管理,是一個連續(xù)的過程,即在特定的安全方案下將風險降到最低以致于可以接受的過程,并非完全的消滅風險。風險可以不被一舉消除,但是必須要控制在可接受范圍內,有了對風險的管理,人們就不在被動的受威脅,完全可以在主動、防患于未然的常態(tài)下出擊,從而使信息系統(tǒng)網絡得到安全的保障。

信息系統(tǒng)網絡的風險管理信息安全的新模式,如果運用好風險管理的手段,將會對信息系統(tǒng)起到很好的保障的作用。

4 信息系統(tǒng)網絡安全管理方法

(1)增強安全防護體系。每一項信息系統(tǒng)都會有相應的安全防護體系,但是安全防護體系的脆弱性是網絡攻擊者的目標,現(xiàn)在的網絡安全已不再是一個簡單的概念,它與國家、企業(yè)、個人之間緊密相關, 例如對于企業(yè)信息系統(tǒng)網絡安全而言,安全問題涉及到多層數(shù)據信息,幾乎覆蓋了企業(yè)信息的通信平臺、網絡平臺、應用平臺等系統(tǒng)單元,是企業(yè)網絡至關重要的核心部分。

增強安全防護體系不僅僅是常人眼中的防火墻,還需要更全面的防護體系,來提供安全的服務。

(2)樹立信息安全管理意識?,F(xiàn)今信息系統(tǒng)的網絡安全的使用者還是以電子商務的銀行、證券、電信等為主,中小企業(yè)也隨之使用,對網絡安全的問題也日益重視。信息系統(tǒng)網絡根據互聯(lián)網的特點,是信息在人與人之間的支配,在造成信息破壞的因素中,認為失誤的破壞率遠遠大于技術失誤,所以要提高信息安全的管理意識,三分靠技術,七分靠管理,安全方面的技術和產品僅是為信息系統(tǒng)網絡提供技術層次的手段,然而,能否利用好這些技術更大程度上取決人們對這些技術的應用。

因此,在信息系統(tǒng)網絡安全中,必須加強用戶的安全教育和安全意識的培養(yǎng)。

5 結語

計算機、互聯(lián)網技術的迅速發(fā)展,加快了信息化社會的腳步,隨著信息系統(tǒng)與國家、企業(yè)、個人關系日趨密切,也帶來了信息安全的問題。信息系統(tǒng)網絡安全是產業(yè)運營的基礎,是實現(xiàn)信息資源保值升值的重要途徑。針對信息系統(tǒng)網絡風險與管理提出了相應的建議,以保障信息資源產業(yè)的安全運營和健康發(fā)展。

參考文獻

[1]王璐.信息安全風險評估系統(tǒng)的研究與實現(xiàn)[D].2008.

[2]常顥.具有可實施性的信息安全風險管理體系[J].科技信息,2009(24)

[3]崇小蕾.信息安全風險自評估方法的研究及其輔助工具的設計與實現(xiàn)[D].2006.

[4]孫鵬鵬.信息安全風險評估系統(tǒng)的研究與開發(fā)[D].2006.

篇4

關鍵詞:會計信息系統(tǒng);安全風險;層次分析法

一、引言

近年來,網絡技術的廣泛應用使得企業(yè)在全球范圍內實現(xiàn)信息的交流和共享成為可能。相應的,企業(yè)的會計環(huán)境也發(fā)生了變化,由原來封閉的局域網會計信息系統(tǒng)進入到了互聯(lián)網世界。這種變化給企業(yè)帶來了前所未有的優(yōu)越性的同時,也使得企業(yè)會計信息系統(tǒng)面臨更多樣化的風險與問題。據調查顯示,美國每年因為網絡安全造成的經濟損失超過 170 億美元,75%的公司報告財務損失是由于會計信息系統(tǒng)的安全問題造成的。在我國,企業(yè)為防止泄密而修補信息網絡安全漏洞的投入每年達 700 萬元。因此,會計信息系統(tǒng)的風險分析與評估越來越受到人們的重視(谷增軍,2009)。 運用科學的方法對會計信息系統(tǒng)進行全面、系統(tǒng)的安全風險評估,識別網絡環(huán)境下會計信息系統(tǒng)的主要不安全因素,了解企業(yè)的安全技術與管理現(xiàn)狀,并采取及時的風險應對措施、制定安全策略,確保會計信息系統(tǒng)的安全,對于保證企業(yè)平穩(wěn)健康的運行,保障各方的利益具有重要意義。

針對上述問題,本文首先分析了網絡環(huán)境下企業(yè)會計信息系統(tǒng)存在的主要不安全因素,并應用層次分析法評估主要不安全因素的相對重要程度,據此提出安全風險的防范措施,對于企業(yè)加強會計信息系統(tǒng)安全管理具有一定的指導作用。

二、網絡環(huán)境下企業(yè)會計信息系統(tǒng)主要不安全因素分析

網絡環(huán)境下的會計信息系統(tǒng)是指建立在網絡環(huán)境基礎上的會計信息系統(tǒng),即在互聯(lián)網境下對各種交易中的會計事項進行確認、計量和披露的會計活動。其為企業(yè)與客戶、供應商之間,等部門之間建立開放、實時的雙向信息交流環(huán)境創(chuàng)造了條件,也使企業(yè)會計業(yè)務一體化處理成為現(xiàn)實。但由于互聯(lián)網系統(tǒng)的分布式、開放性等特點,與原有集中封閉的會計信息系統(tǒng)比較,系統(tǒng)在安全上的問題也更加突出,因此網絡環(huán)境下會計信息系統(tǒng)的安全性問題越來越受到人們的重視,同時和其密切相關的安全因素也成為學者們研究的重點(宋彪、常劍鋒,2010)。宋彪、常劍鋒等人在2010年通過對100名會計從業(yè)人員進行問卷調查,得到影響會計信息系統(tǒng)安全的主要因素,按照重要程度分別為會計軟件的缺陷,企業(yè)內部控制方面的失效,操作人員的有意破壞,人為舞弊,計算機病毒,網絡黑客的入侵,不可預測的災害。這些要素之間存在包含關系,如操作人員的有意破壞、人為舞弊都屬于企業(yè)內部控制方面的問題。倪江陵(2008)在其碩士論文中提到網絡環(huán)境下會計信息系統(tǒng)的不安全性因素有硬件系統(tǒng)的不安全因素(硬盤、存儲器、線路故障等)、軟件系統(tǒng)的不安全因素(會計軟件、操作系統(tǒng)、數(shù)據庫系統(tǒng)、數(shù)據中心、會計檔案)、網絡系統(tǒng)的不安全性(黑客攻擊、病毒、電磁波輻射)。谷增軍(2010)比較全面的描述了影響會計信息系統(tǒng)安全的因素:自身的脆弱性(系統(tǒng)硬件選配安裝不當,操作系統(tǒng)問題、傳輸、存儲介質不安全、數(shù)據庫安全問題,軟件開發(fā)設計缺陷)、內控的風險(會計軟件功能的濫用,授權控制下降,操作人員舞弊,系統(tǒng)管理員失職),自然界的威脅(颶風,地震、火災)和外部環(huán)境(間諜、病毒、黑客)的威脅。

由于不安全因素錯綜復雜,學者們在評估會計信息系統(tǒng)的安全風險時,所關注的重點也有所不同。不過,通過對文獻的梳理發(fā)現(xiàn),學者們對于以下安全風險因素達成共識:1、技術方面,包括硬件安裝不當、軟件開發(fā)設計或選配不當、傳輸、存儲介質不安全(潘婧,2008;羅紅,2011;王恒輝,2010等)。2、內部控制風險,包括操作人員舞弊、系統(tǒng)操作不規(guī)范、數(shù)據交易不安全、身份認證安全隱患、授權控制下降(谷增軍,2010;宋彪、常劍鋒,2010;倪江陵,2008等)3、意外因素帶來的風險,如自然災害,如地震、臺風、病毒、黑客入侵(谷增軍,2010;宋彪、常劍鋒,2010;朱海英,2010;程琳,2006等)

三、基于層次分析法的安全風險評估指標體系

層次分析法(Analytic Hierarchy Process)簡稱AHP方法,是20世紀70年代由美國運籌學家T. L. Satty提出的。層次分析法作為一種定性分析與定量分析相結合的評估分析方法,適用于有多種屬性、多個目標或多重準則系統(tǒng)的問題(羅鑫,2010)。鑒于網絡環(huán)境下會計信息系統(tǒng)的安全風險分析問題指標具有層次性、定性與定量指標并存、并且指標數(shù)據不易獲得的特點,本文采用層次分析法評估主要不安全因素的相對重要程度,找到主要文獻因素和次要風險因素,為企業(yè)有針對性的采取規(guī)避措施提供科學的依據。

在第二部分我們分析了會計信息系統(tǒng)主要的不安全因素,根據層次分析法的要求,建立安全風險評估的三層結構:目標層(A層)、一級指標(B層)、二級指標(C層),如表1所示。

四、指標體系權重分析、檢驗及排序

1、構造判斷矩陣

本研究邀請了從業(yè)經驗5年以上的會計工作者6名,吉林大學管理學院會計系副教授職稱以上教師4名,企業(yè)管理中層領導干部2名對各層次的評價指標按照其發(fā)生的可能性、發(fā)生后后果的嚴重性等對其重要性予以比較。在綜合了12名專家的意見后,獲得了各指標在本層的比較得分。本研究采用Satty的1-9標度方法構建兩兩比較矩陣。表2展示的是準則層(B層)對于目標層(A層)的判斷矩陣及相對權重。

2、一致性檢驗

一般當CR

同樣的,表2至表5分別列出了技術風險、內部控制風險和意外因素風險的判斷矩陣和相對權重。

除意外因素風險下只有兩個因素不需要一致性檢驗外,其他判斷矩陣均通過一致性檢驗。

3、指標合成權重的計算及排序

合成權重Wk可以由二級指標各權重及其對應的一級指標相乘獲得。見表6。

五、風險防范策略

由層次分析法得出的各指標的權重實際上表示指標相對于目標層的重要程度。從表6中可以看出,造成會計信息系統(tǒng)安全風險的主要因素有:軟件開發(fā)設計或選配不當、系統(tǒng)硬件安裝不當、數(shù)據交易不安全、病毒、黑客入侵和操作人員舞弊。這五個因素占據不安全因素累積權重的80%以上,為主要因素,必須予以重視。針對上述因素,本文提出以下幾點防范措施,幫助企業(yè)最大限度的減少會計信息系統(tǒng)的安全性風險。

1、軟件開發(fā)設計或選配不當

通過運用層次分析法對會計信息系統(tǒng)的不安全因素按照其重要程度進行排序,軟件開發(fā)設計或選配不當成為影響會計信息系統(tǒng)安全性的最主要問題。一般來講,企業(yè)應用的會計信息系統(tǒng)主要是通過外包或者是直接從軟件公司購買兩種方式獲得的。如果是通過外包的形式開發(fā),企業(yè)應積極安排會計人員與委托開發(fā)公司進行充分的溝通,使需求分析的結果盡可能的反應真實的要求。另外,委托公司的所使用的開發(fā)工具要與企業(yè)實際狀況匹配,以數(shù)據庫為例,SQL server、Oracle、Sybase等主要適用于大型系統(tǒng);Acess、FoxPro等則主要適用于小型系統(tǒng)。如果企業(yè)從軟件公司直接購買已完成開發(fā)的軟件,由于現(xiàn)成的系統(tǒng)不可能完全支持企業(yè)的現(xiàn)有業(yè)務,因此在選擇軟件時,應充分了解企業(yè)的財務經營流程,全面掌握備選軟件的操作流程,在充分比較后謹慎選擇。

2、硬件方面

計算機硬件包括硬盤、磁盤、存儲器等,是會計信息系統(tǒng)的物質基礎。如果硬件方面出現(xiàn)故障,會影響整個運營的效率,甚至導致巨大的災難。為了保證會計信息系統(tǒng)硬件的安全性,企業(yè)在采購硬件時應全面掌握相關信息,了解品牌、產品型號及供應商的信譽等,硬件采購后要進行試運行,在確保其安全性后再投入到企業(yè)的實際應用中。同時,要排除由于安裝不當而導致的安全隱患。

3、數(shù)據交易不安全

網絡環(huán)境下,交易數(shù)據的處理都依托于網絡,計算速度加快,信息資源的共享性和財務復雜程度的增加,許多會計業(yè)務交叉進行,如果系統(tǒng)中權限劃分不明確、內部控制不嚴密,就非常容易造成信息的泄露,數(shù)據交易的不安全性增加。企業(yè)要要保證數(shù)據的安全,一方面需要借助法律、政策及相關規(guī)章制度的約束,另一方面又必須依賴企業(yè)管理人員制定有效的管理制度,同時還必須有嚴格的監(jiān)督與管理手段。會計數(shù)據的安全控制一般分為以下幾個方面:1.依據相關的法律規(guī)章制度建立嚴格的內部管理制度。2.利用數(shù)字簽名技術進行數(shù)據確認。3. 加強監(jiān)控與審計

4、病毒、黑客入侵

網絡傳輸中由于黑客, 病毒, 木馬入侵, 造成非法訪問、信息泄露、非法拷貝、盜竊以及非法監(jiān)視、監(jiān)聽等風險(潘婧,2008)。應對病毒、黑客入侵會計信息系統(tǒng)的主要措施有:(1)定期殺毒。盡管目前卻沒有一款殺毒軟件能夠應對一切病毒,但是定期進行殺毒是防治病毒入侵最直接有效的辦法。對于企業(yè)網等比較復雜的網絡環(huán)境,建議采用網絡殺毒軟件進行殺毒。網絡病毒防治系統(tǒng)可以通過對局域網進行遠程集中安全管理、通過賬號和口令設置來達到一定的網絡病毒防治效果。(2)定期備份財務數(shù)據。財務數(shù)據作為企業(yè)經營狀況的直接指標,是企業(yè)制定經營決策的主要依據。備份財務數(shù)據的意義在于通過將財務數(shù)據復制到不同的介質中保存來防止財務數(shù)據的丟失。一旦會計信息系統(tǒng)遭到病毒或者黑客的入侵,數(shù)據備份可以及時的恢復丟失數(shù)據,支持會計信息系統(tǒng)的正常運行。(3)制度保障。企業(yè)應出臺相應制度,限制運行會計信息系統(tǒng)的計算機的其他上網行為;謹慎使用U盤和移動硬盤;設置 Office 軟件的宏安全級別等。

5、操作人員舞弊

個別操作人員由于專業(yè)素養(yǎng)不夠,對會計信息系統(tǒng)的操作不夠規(guī)范,對整個系統(tǒng)的安全造成了很大的威脅。究其原因,隨著企業(yè)的擴大和發(fā)展,利益相關者的范圍也在逐漸擴大,經營活動也更加廣泛,網絡會計信息系統(tǒng)相關人員面對了更多的誘惑和威脅,這可能會動搖相關人員遵守職業(yè)道德的決心,從而引發(fā)道德風險。安然、世界通訊等重大的舞弊案件的發(fā)生迫使企業(yè)重視人員舞弊的不安全因素。企業(yè)應關注會計信息系統(tǒng)建設中的人員因素,加強人員的培訓, 通過會計培訓使財會人員不斷汲取新知識, 不僅掌握現(xiàn)代網絡技術, 而且充分認識到會計人員的職業(yè)道德的重要性, 自覺抵制各種誘惑, 切實遵守各項規(guī)章制度。與此同時,要對財務人員的崗位職責進行定期的審計。近年來,國家也相應的出臺了一系列的法律法規(guī)和職業(yè)道德規(guī)范來規(guī)范會計人員的職業(yè)道德素質,要求會計人員誠信、保密、獨立等(王恒輝,2010)。(作者單位:大連隆銘會計師事務所有限公司)

參考文獻

[1]潘婧.網絡會計信息系統(tǒng)的安全風險及防范措施[J].財會研究,2008,(2):48-52.

[2]羅紅.網絡會計信息系統(tǒng)安全問題研究[J].財會通訊,2011,(7):33-35.

[3]宋彪,常劍峰.網絡環(huán)境下會計信息系統(tǒng)安全性研究[C].上海: 第九屆全國會計信息化年會,2010.174-180.

[4]胡玉可.淺析網絡環(huán)境下會計信息系統(tǒng)安全控制的實現(xiàn)[J].會計之友,2009,(11):44-45.

[5]韓娜.企業(yè)會計信息系統(tǒng)風險評估方法研究[D].2006.

[6]張繼德,劉盼盼. 會計信息系統(tǒng)安全性現(xiàn)狀及應對策略探討[J].中國管理信息化,2010,13(6):3-5.

[7]王恒輝.網絡環(huán)境下會計信息系統(tǒng)安全性探析[D].2010.

[8]倪江陵. 網絡環(huán)境下會計信息系統(tǒng)安全問題防范對策研究[D].2008.