網(wǎng)絡(luò)信息安全等級保護條例范文

時間:2024-02-23 17:45:28

導(dǎo)語:如何才能寫好一篇網(wǎng)絡(luò)信息安全等級保護條例,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

網(wǎng)絡(luò)信息安全等級保護條例

篇1

動聯(lián)產(chǎn)品擁有“計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證”、“商用密碼產(chǎn)品型號證書”、“信息系統(tǒng)安全產(chǎn)品認(rèn)證”、“軍用信息安全產(chǎn)品認(rèn)證證書”、“產(chǎn)品信息安全認(rèn)證證書”等資質(zhì)。

動聯(lián)產(chǎn)品主要應(yīng)用領(lǐng)域有:為各種機構(gòu)IT信息系統(tǒng),如計算機主機、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、中間件、數(shù)據(jù)庫、管理軟件等提供登錄保護,滿足國家《信息安全等級保護條例》等政策性要求,為客戶提供安全又方便的動態(tài)密碼身份安全保護服務(wù)。

動聯(lián)身份認(rèn)證產(chǎn)品

動聯(lián)動態(tài)密碼身份認(rèn)證軟件是由動聯(lián)自主研發(fā)的一種安全可靠、簡單易用的身份認(rèn)證軟件。該軟件基于動態(tài)密碼技術(shù),采用雙因素認(rèn)證機制,可以為網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和其他信息系統(tǒng)登錄提供高強度的身份認(rèn)證保護,保障信息系統(tǒng)的安全。

動聯(lián)動態(tài)密碼身份認(rèn)證軟件支持多種動態(tài)密碼認(rèn)證技術(shù),為用戶的賬號提供全面保護:通過動態(tài)密碼來保護賬號,可以有效防止盜號木馬攻擊;通過主機認(rèn)證,可以有效防止網(wǎng)絡(luò)釣魚;通過簽名動態(tài)密碼,可以有效保護用戶交易的真實性和安全性,防止中間人的攻擊。

動聯(lián)身份認(rèn)證軟件支持多種動態(tài)密碼認(rèn)證終端,并支持多種終端混合使用。支持終端的形式包括多種品牌的多個型號的硬件動碼令、軟件動碼令、手機動碼令、SIM動碼令和短信動碼令等。客戶可以根據(jù)自己的實際需求和預(yù)算選擇適合自己的認(rèn)證終端。

動聯(lián)身份認(rèn)證軟件具備極高的性能,只需采用一套動聯(lián)身份認(rèn)證軟件就可以為企業(yè)主要信息資產(chǎn)提供全面的動態(tài)密碼保護,保護的范圍包括多個應(yīng)用系統(tǒng)、VPN訪問、大型數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、服務(wù)器和計算機終端。

動聯(lián)提供全面的接口調(diào)用,包括Socket方式(可提供Jar包、動態(tài)鏈接庫或Socket編程方式),支持WebServices和Radius協(xié)議。動聯(lián)動態(tài)密碼身份認(rèn)證軟件與應(yīng)用系統(tǒng)的集成開發(fā)極為方便,在實際的應(yīng)用案例中,往往1~3天內(nèi)即可完成。

電子政務(wù)身份認(rèn)證解決方案

動聯(lián)結(jié)合電子政務(wù)的實際需求,采用動態(tài)密碼認(rèn)證機制來鑒別用戶的身份合法性。只允許提供了動態(tài)密碼的用戶接入系統(tǒng),最大程度地保證登錄用戶確實為授權(quán)的個體,大大降低了攻擊和非法訪問的風(fēng)險。

完全兼容現(xiàn)有電子政務(wù)系統(tǒng)的基礎(chǔ)認(rèn)證體系,包括公務(wù)員內(nèi)部辦公認(rèn)證、外部公眾身份認(rèn)證等。在認(rèn)證過程中,不影響電子政務(wù)系統(tǒng)的原業(yè)務(wù)邏輯,與電子政務(wù)系統(tǒng)應(yīng)用服務(wù)器之間的通信過程中采取雙向身份認(rèn)證的機制,能夠保證整個認(rèn)證過程不被繞過。

動聯(lián)電子政務(wù)解決方案符合國家“信息安全等級保護條例”等政策性要求,從物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全等各方面提供了身份鑒別保護,幫助政府提高政務(wù)工作的效率,提升電子政務(wù)系統(tǒng)的安全等級。

篇2

信息安全作為國家安全的重要組成部分,是一項關(guān)系全局的戰(zhàn)略任務(wù),具有極端的重要性、緊迫性、長期性和復(fù)雜性??梢哉f,目前我國信息安全產(chǎn)業(yè)是通過等級保護、可信計算和產(chǎn)業(yè)化發(fā)展相互結(jié)合,實現(xiàn)網(wǎng)絡(luò)虛擬世界秩序的安全和可信。

產(chǎn)業(yè)化成為重點

中國的信息安全產(chǎn)業(yè)僅有二十多年歷史,快速發(fā)展也只是近十年的事,尚存諸多不足。在互聯(lián)網(wǎng)應(yīng)用與普及方面,我國已經(jīng)進入了世界大國的行列,因此我國的信息安全問題與國際上的問題基本一樣。

中國工程院院士方濱興認(rèn)為,我國在網(wǎng)絡(luò)安全方面的解決策略是政府重在行動,企業(yè)重在引導(dǎo),公眾重在宣傳。就是說,凡是政府信息系統(tǒng),必須接受信息系統(tǒng)安全等級保護條例的約束,以行政的手段來強化信息系統(tǒng)的安全。凡是企業(yè)的系統(tǒng),通過對信息安全產(chǎn)品的市場準(zhǔn)入制度,以保證企業(yè)所采用的信息安全防護手段符合國家的引導(dǎo)思路。公眾方面則通過對網(wǎng)絡(luò)安全方面的廣泛宣傳,讓公眾對網(wǎng)絡(luò)安全具有正確的認(rèn)識,從而提高相應(yīng)的防范能力。

據(jù)悉,教育部、公安部、工業(yè)和信息化部、國家標(biāo)準(zhǔn)化管理委員會等單位已經(jīng)將“為國家信息化建設(shè)及國家信息安全基礎(chǔ)設(shè)施提供支撐的信息安全產(chǎn)品產(chǎn)業(yè)化”作為2009年信息安全重點工作。其中涉及到四個方面:

1.重點支持基于國產(chǎn)可信計算芯片的安全應(yīng)用產(chǎn)品,以及基于自主密碼技術(shù)的高性能集成應(yīng)用產(chǎn)品的產(chǎn)業(yè)化。

2.重點支持移動存儲介質(zhì)保密管理、惡意代碼防治、電子文檔安全管理、網(wǎng)絡(luò)數(shù)字版權(quán)保護、電子數(shù)據(jù)取證、安全保密檢查等產(chǎn)品,移動終端、桌面終端安全防護等計算機安全保護產(chǎn)品,以及面向無線網(wǎng)絡(luò)的安全管理與安全應(yīng)用產(chǎn)品的產(chǎn)業(yè)化。

3.重點支持安全操作系統(tǒng)、安全數(shù)據(jù)庫、安全中間件、安全服務(wù)器、安全接入設(shè)備、安全存儲、容災(zāi)備份軟件、安全辦公軟件等產(chǎn)品的產(chǎn)業(yè)化。

4.重點支持高性能專用安全芯片和專用安全設(shè)備,以及適用于新一代網(wǎng)絡(luò)環(huán)境的具有高性能、多安全功能的軟硬件集成化產(chǎn)品的產(chǎn)業(yè)化。

技術(shù)成果的產(chǎn)業(yè)化過程應(yīng)當(dāng)是一個市場化、社會化的過程。將核心技術(shù)產(chǎn)品產(chǎn)業(yè)化地發(fā)展,推動產(chǎn)業(yè)結(jié)構(gòu)升級,是提升核心技術(shù)發(fā)展的破局之舉。

可信計算成為標(biāo)尺

雖然我國的信息化技術(shù)同國際先進技術(shù)相比,存在一定的差距。但是,中國和國際上其他組織幾乎是同步在進行可信計算平臺的研究和部署工作。其中,部署可信計算體系中,密碼技術(shù)是最重要的核心技術(shù)。

絕對的信息安全是不存在的,但信息安全卻存在著一種終極的理想狀態(tài),那就是:進不去、看不見、拿不走和賴不掉。總結(jié)起來,這12字方針的目標(biāo)就是可信計算。

中國可信計算工作組組長、中科院軟件所副總工程師馮登國介紹,可信計算的基礎(chǔ)是在每個終端平臺上植入一個信任根,讓PC從BIOS到操作系統(tǒng)內(nèi)核層,再到應(yīng)用層,均構(gòu)建信任關(guān)系,由此建立一個能在網(wǎng)絡(luò)上廣泛傳遞的信任鏈。這樣,人們將夢想進入一個計算免疫的時代――終端被攻擊時可以實現(xiàn)自我保護、自我管理和自我恢復(fù)。

可以說,可信計算根就像是一把丈量計算機可信度的標(biāo)尺。它會在啟動之初對計算機系統(tǒng)上所有的運行軟件進行可信性(完整性)分析,由此判定它們是否被非授權(quán)篡改。若判定不可信則阻止該軟件運行,并自動恢復(fù)其合法的版本。所以,計算機一旦嵌入了該技術(shù),即可在啟動操作系統(tǒng)時發(fā)現(xiàn)內(nèi)核已改,并根據(jù)用戶需求進行阻止和恢復(fù)。

中國可信計算工作組發(fā)言人劉曉宇說,隨著《可信計算密碼支撐平臺功能與接口規(guī)范》等一系列國家政策的出臺與推動,以可信密碼模塊為TCM核心的PC、筆記本電腦、服務(wù)器、加密機等系列產(chǎn)品和解決方案,將逐步被我國政府/軍隊、制造、金融、企業(yè)/科研、公共機構(gòu)、航天等行業(yè)在IT領(lǐng)域廣泛采用。

劉曉宇說,我國自主研發(fā)的可信技術(shù)從芯片到PC硬件到系統(tǒng)/應(yīng)用軟件以及CA認(rèn)證,早已形成了一條初具規(guī)模的完整產(chǎn)業(yè)鏈。

馮登國表示:“2009年將是中國可信計算蓬勃發(fā)展的一年,為打造更為強大的可信計算體系,中國可信計算工作組將優(yōu)化和完善TCM硬件平臺,還將致力于打通產(chǎn)、學(xué)、研之間的一切壁壘,促進業(yè)內(nèi)同行實質(zhì)性的合作交流。”

等級保護推力強勁

信息安全等級保護,是這幾年聽到最多的詞之一。從1994年國務(wù)院147號令至今,已經(jīng)過去了15年。這些年間我國在信息安全領(lǐng)域已經(jīng)制定了數(shù)十個國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),初步形成了信息安全等級保護標(biāo)準(zhǔn)體系。

方濱興說,目前,政府在信息系統(tǒng)等級保護方面加大了推進力度,已經(jīng)完成了等級保護的定級工作,接下來的工作就是采取有效措施來實施信息系統(tǒng)的安全等級保護技術(shù)。等級保護的大力推動,一方面在國際上展示了我國政府對信息安全和網(wǎng)絡(luò)安全的管理決心;另一方面,等級管理制度的建立,突破了我國慣性思維的管理理念。

隨著工業(yè)和信息化部的成立,公安部與工業(yè)和信息化部在信息系統(tǒng)等級保護管理方面出現(xiàn)了職能交叉,因此,等級保護工作的進一步開展將取決于兩個部委的有效協(xié)調(diào)和合作。

2003年,國家出臺《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(簡稱“27號文件”),明確要求我國信息安全保障工作實行等級保護制度,2007年出臺《信息安全等級保護管理辦法》(簡稱“43號文件”)。隨著兩項標(biāo)志性文件的下發(fā),2007年被稱為等級保護的啟動元年;由于要對現(xiàn)有信息安全系統(tǒng)進行加固,大量產(chǎn)品和服務(wù)采購開始,2008年被普遍視為等級保護采購元年;更有業(yè)內(nèi)人士說,2009年等級保護的好戲才真正上演。

“當(dāng)前的信息與網(wǎng)絡(luò)安全研究,處在忙于封堵現(xiàn)有信息系統(tǒng)安全漏洞的階段?!惫膊烤W(wǎng)絡(luò)安全保衛(wèi)局處長郭啟全認(rèn)為,“要徹底解決這些迫在眉睫的問題,歸根結(jié)底取決于信息安全保障體系的建設(shè)。目前,我們迫切需要根據(jù)國情,從安全體系整體著手,在建立全方位的防護體系的同時,完善法律體系,并加強管理體系。只有這樣,才能保證國家信息化的健康發(fā)展,確保國家安全和社會穩(wěn)定?!?/p>

“事實上,信息安全等級保護的核心思想就是根據(jù)不同的信息系統(tǒng)保護需求,構(gòu)建一個完整的信息安全保護體系。分析《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則(GB 17859-1999)》可以看出,信息安全等級保護的重點在于內(nèi)網(wǎng)安全措施的建設(shè)和落實。建立一個完整的內(nèi)網(wǎng)安全體系,是信息系統(tǒng)在安全等級保護工作中的一個重點?!惫鶈⑷f。

篇3

關(guān)鍵詞:信息安全;技術(shù)創(chuàng)新;分級管理

21世紀(jì)以來,隨著我國網(wǎng)絡(luò)信息化的高速發(fā)展和“三網(wǎng)融合”的積極推進,廣電行業(yè)的網(wǎng)絡(luò)化、數(shù)字化和智能化的趨勢與日俱增。人們在享受便利的同時,也面臨著信息安全的嚴(yán)峻挑戰(zhàn)。

一、信息安全的概念和要求

網(wǎng)絡(luò)的開放性和共享性,使其更容易受到病毒、黑客的侵襲,從而導(dǎo)致信息外泄、惡意篡改、密碼被盜、網(wǎng)絡(luò)竊聽等問題。因此,網(wǎng)絡(luò)的信息安全,從根本上說是指網(wǎng)絡(luò)系統(tǒng)本身運行穩(wěn)定,以及系統(tǒng)中的相關(guān)數(shù)據(jù)信息在任何情況下,不會被泄漏、更改或干擾。其內(nèi)涵主要包括系統(tǒng)安全、內(nèi)容安全、傳輸安全等。信息安全防護工作應(yīng)該滿足以下要求:一是保密性,要求在保證為授權(quán)使用者正常使用的同時,能保護數(shù)據(jù)不被非法截獲;二是完整性,能確保數(shù)據(jù)信息在運行過程中是未被篡改或破壞的原始信息;三是可用性,要保證系統(tǒng)時刻正常運行,用戶在任何情況下都能及時得到或使用數(shù)據(jù);四是可控性,確保用戶身份的真實性,保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理,同時能有效防范黑客、病毒等。

二、廣電行業(yè)信息安全存在的問題

廣電行業(yè)的網(wǎng)絡(luò)化、信息化和智能化的趨勢,對信息安全工作提出了嚴(yán)峻的挑戰(zhàn)。一方面,由于信息安全管理和技術(shù)的專業(yè)性,目前無論是人員數(shù)量上還是技能上,都存在不足;另一方面,互聯(lián)網(wǎng)的開放性和共享性使黑客攻擊更方便、破壞更廣,會給單位和個人信息造成很大的安全隱患。因此,提高信息安全集中監(jiān)管的能力和技術(shù)水平,成為廣電行業(yè)發(fā)展的中心課題。雖然我國信息安全工作也在穩(wěn)步開展,但還是存在一些不容忽視的共性問題。1.管理制度不完善,執(zhí)行不到位安全保護工作日益受到各級領(lǐng)導(dǎo)的重視,各相關(guān)單位對網(wǎng)絡(luò)和信息系統(tǒng)的安全保護日常管理工作基本規(guī)范,但未能嚴(yán)格按照等級保護管理要求,建立完整的安全管理制度;沒有制定具體崗位工作職責(zé),如系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員崗位不明確;安全管理制度執(zhí)行過程中的記錄存在缺失現(xiàn)象;缺乏整體的信息安全應(yīng)急預(yù)案和演練記錄;在信息系統(tǒng)建設(shè)時有規(guī)劃,但缺少相關(guān)安全技術(shù)專家對安全設(shè)計方案進行論證和審定,決策的民主性、科學(xué)性不足;專門針對安全技能方面的培訓(xùn)和考核需要加強。2.信息安全技術(shù)滯后,創(chuàng)新性不足在安全技術(shù)方面各單位雖然也采取了隔離技術(shù)、防火墻技術(shù)等,但仍存在明顯不足:沒有從物理安全、主機安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全幾個方面建立完整的技術(shù)防范體系;目前依賴于外網(wǎng)隔離、延播和備播等傳統(tǒng)安全播出手段,很難適應(yīng)日益發(fā)展的新媒體平臺建設(shè),在互聯(lián)網(wǎng)上提供點播和直播內(nèi)容服務(wù);管理用戶的身份鑒定大多數(shù)采取用戶名/口令的方式,而且缺乏有效的口令更新周期機制,存在被暴力破解和竊聽的風(fēng)險;平臺未能按照三權(quán)分立的原則設(shè)定系統(tǒng)管理員、安全管理員和安全審計員,造成系統(tǒng)存在超級用戶,權(quán)力過大;目前廠家可通過第三方軟件或者遠(yuǎn)程桌面直接登錄到應(yīng)用服務(wù)器,且操作沒有行為記錄,存在安全風(fēng)險,需要加強對廠家進行系統(tǒng)運維的監(jiān)管。3.管理隊伍素質(zhì)參差不齊,安全意識淡薄由于編制和經(jīng)費等因素的制約,很多管理人員身兼多職,一人多崗。一方面,專業(yè)技術(shù)人員明顯存在不足;另一方面,有的技術(shù)人員年齡偏大、專業(yè)知識老化,對一些新技術(shù)、新病毒缺乏職業(yè)敏感性,更缺乏預(yù)見性。此外,安全教育工作也沒有跟上,部分人員安全意識淡薄。

三、廣電行業(yè)信息安全管理的對策

信息安全問題,不僅是一個技術(shù)問題,更是一個管理方面的問題。加強信息安全管理,必須從以下幾個方面入手。1.增強信息安全意識,樹立整體信息安全觀信息安全的保障能力是21世紀(jì)國家核心競爭力的重要組成部分,必須從國家戰(zhàn)略層面加以重視,人人都要樹立信息安全觀。同時,信息安全防護也是一個比技術(shù)防護層面和一般社會管理層面更高層次的問題,它應(yīng)該是基于安全技術(shù)為基礎(chǔ)的集法律、道德、管理、技術(shù)和人才于一體的綜合保障體系,因此,必須樹立整體信息安全觀。2.加強信息安全立法,構(gòu)筑信息安全法律之網(wǎng)有效解決網(wǎng)絡(luò)信息安全問題不僅要依靠技術(shù)手段,還必須將技術(shù)性規(guī)范法律化。雖然我國的《計算機信息系統(tǒng)安全保護條例》《計算機病毒防治管理辦法》《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》等相繼出臺,在保障網(wǎng)絡(luò)信息安全方面發(fā)揮了重要作用,但是現(xiàn)行的法律制度仍然難以適應(yīng)日益發(fā)展的網(wǎng)絡(luò)信息化的新形勢,因此,加快相關(guān)立法、構(gòu)建更加完善的信息安全法律保障體系,成為廣電網(wǎng)快速發(fā)展的必然要求。3.健全信息安全管理體系,加強信息安全頂層設(shè)計隨著網(wǎng)絡(luò)的普及和深入,信息安全已不是一個孤立的問題,依靠任何單一的安全技術(shù)或產(chǎn)品,都不能保證網(wǎng)絡(luò)信息的安全。這就需要構(gòu)建一個以安全技術(shù)措施為基礎(chǔ),科學(xué)決策、規(guī)范管理、安全運行的有機統(tǒng)一的安全管理體系。其中,最關(guān)鍵是要建立和落實信息安全分級保護制度,根據(jù)不同單元的重要程度或風(fēng)險程度劃分為不同的保護等級,分別采取必要的保護技術(shù)和措施,以達(dá)到安全有效保護的目的。4.建立完整高效的技術(shù)防范體系,為信息安全提供技術(shù)支撐不斷加強網(wǎng)絡(luò)技術(shù)的研究與開發(fā),從物理安全、主機安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)幾個方面建立完整高效的技術(shù)防范體系。加大對內(nèi)容過濾和檢測技術(shù)、加密技術(shù)等關(guān)鍵信息技術(shù)的研發(fā)力度;同時,推行信息安全技術(shù)設(shè)備的國產(chǎn)化,進一步提升廣電網(wǎng)信息安全的管控水平。合理劃分安全域是建立信息安全防范技術(shù)體系的前提。通過合理劃分安全域,網(wǎng)絡(luò)邊界更加明確,這樣既有利于實現(xiàn)對物理區(qū)域和網(wǎng)絡(luò)區(qū)域之間的有效隔離和訪問控制,也增強了安全域的邊界安全及內(nèi)部進行重點安全防護的針對性。另外,要不斷優(yōu)化終端設(shè)備、IP協(xié)議以及網(wǎng)絡(luò)上下行頻率分配等,改善用戶體驗,提升信息服務(wù)水平。5.提高管理人員素質(zhì),為信息安全提供人才保障要制定科學(xué)合理的人才發(fā)展規(guī)劃,充分發(fā)揮技術(shù)人才的作用。一方面,加大專業(yè)技術(shù)人才的引進力度,落實人才優(yōu)惠政策,既要吸引人才,更要留住人才。另一方面,重視對員工的業(yè)務(wù)技能培訓(xùn)和職業(yè)道德教育,使其增強保密意識,遵守工作規(guī)范,履行崗位職責(zé),讓每一名信息管理人員成為守護信息安全的忠誠衛(wèi)士。

四、結(jié)語

推進三網(wǎng)融合是促進我國信息化建設(shè)的必由之路。廣電網(wǎng)是三網(wǎng)融合中很重要的一個環(huán)節(jié),確保網(wǎng)絡(luò)信息安全舉足輕重。然而,開放共享的網(wǎng)絡(luò)也是一把“雙刃劍”,使用網(wǎng)絡(luò)就必然存在網(wǎng)絡(luò)信息安全問題。因此,在融合過程中,必須緊緊抓住信息安全這條主線,加強信息基礎(chǔ)設(shè)施建設(shè),健全法律體系,加強技術(shù)創(chuàng)新,落實信息安全分級保護制度,不斷提升廣電網(wǎng)的安全性,切實保障黨和國家的財產(chǎn)安全以及人民群眾的切身利益。人力資源是企業(yè)最根本、最核心的資源之一。企業(yè)以實現(xiàn)利益最大化為目標(biāo),而企業(yè)利益必須依靠人來創(chuàng)造和獲取。因此,優(yōu)化人力資源管理,已經(jīng)成為國有煤炭企業(yè)可持續(xù)發(fā)展的重中之重。一、國有煤炭企業(yè)人力資源管理存在的問題1.“以人為本”的觀念在實際工作中體現(xiàn)不夠國有煤炭企業(yè)體制機制上的弊端反映在人力資源管理上,即強調(diào)“聽從安排”,否定個性發(fā)展,重?fù)碛胁恢厥褂?,造成部分員工工作主動性和創(chuàng)造性不足。雖然企業(yè)也積極探索“以人為本”的人力資源管理新模式,但口頭上、形式上、表面上的“以人為本”,覆蓋了實質(zhì)上、實際上、實效上的“以人為本”。2.沒有正確認(rèn)識“人力資本”的意義國有煤炭企業(yè)對人力資源的管理基本上還停留在經(jīng)驗管理為主的傳統(tǒng)模式,缺乏對“人力資本”的認(rèn)識,“人力資本”的概念更是模糊不清,仍然習(xí)慣于人多好干活、人海戰(zhàn)術(shù)的勞動密集型人力資源管理方式。這造成很多部門和崗位人員偏多,工作效率較低。同時,計劃經(jīng)濟的“大鍋飯”思想束縛了員工工作的主動性和自覺性,人力資本的潛能無法發(fā)揮作用。3.員工整體素質(zhì)有待提高國有煤炭企業(yè)員工整體素質(zhì)較低,參加工作之前接受學(xué)校的教育程度和知識水平不高,缺乏煤礦專業(yè)系統(tǒng)性理論知識,根基打得不牢、不實,造成工作中業(yè)務(wù)技能難以提升。

作者:錢英 單位:安徽智圣通信技術(shù)股份有限公司

參考文獻(xiàn)

[1]張愛華.試論我國網(wǎng)絡(luò)信息安全的現(xiàn)狀與對策[J].江西社會科學(xué),2006(09):252-255.

[2]毋晶晶,肖晏夏.關(guān)于對企業(yè)信息安全等級保護的思考[J].科技創(chuàng)新與生產(chǎn)力,2011(08):60-61.

[3]張瑞芝.廣電行業(yè)信息安全等級保護工作探究[J].信息網(wǎng)絡(luò)安全,2010(9):72-73.

篇4

這是怎樣的一種安全工具?它的工作原理是什么?它真的能取代IDS嗎?本期特組織了一組討論NBA的專題。

為什么需要

網(wǎng)絡(luò)行為分析

近年來,全球許多大公司都將“法規(guī)遵從”列入了自己的工作議程中,其原因在于:全球的立法機關(guān)和政府部門為了應(yīng)對網(wǎng)絡(luò)世界日益增多的各種安全威脅,都在不斷與時俱進,相應(yīng)出臺了許多新的法規(guī),比如美國出臺了《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》、《薩班斯-奧克斯利法案》和《健康保險可攜性及責(zé)任性法案》等標(biāo)準(zhǔn),中國政府出臺了信息安全等級保護條例、信息系統(tǒng)災(zāi)難恢復(fù)指南標(biāo)準(zhǔn),等等。這些標(biāo)準(zhǔn)與法規(guī)要求企業(yè)必須懂得數(shù)據(jù)如何得到安全的處理。企業(yè)不僅要保護網(wǎng)絡(luò)安全、信息安全,還要通過全面的報告機制來證明自己的網(wǎng)絡(luò)是安全的。

這些新標(biāo)準(zhǔn)的出臺,證明各國政府對信息安全的重視與積極應(yīng)對的態(tài)度,但遺憾的是,這些標(biāo)準(zhǔn)中并沒有建議企業(yè)應(yīng)該采取哪些具體的技術(shù)措施來幫助維護數(shù)據(jù)安全,這導(dǎo)致了各種安全技術(shù)的流行。

防火墻、反病毒軟件、內(nèi)容過濾器和驗證系統(tǒng)等常規(guī)的安全工具逐漸被越來越多的用戶接受,成為許多公司安全武器庫當(dāng)中的必要部分。但是隨著網(wǎng)絡(luò)變得日益復(fù)雜起來,這些工具越來越不能迅速識別及挫敗越來越狡猾的威脅。因此,最近出現(xiàn)的一個新的技術(shù)手段――網(wǎng)絡(luò)行為分析(NBA)工具逐漸開始流行,正是因為它結(jié)合了基于網(wǎng)絡(luò)流的異常檢測和網(wǎng)絡(luò)性能監(jiān)控,可用來管理網(wǎng)絡(luò)及安全。它不同于傳統(tǒng)流量識別系統(tǒng)的地方在于: 它能檢查流量的行為,而不是檢查流量是什么模樣。

傳統(tǒng)安全措施

尚存不足

在PC和互聯(lián)網(wǎng)得到廣泛使用之前,公司網(wǎng)絡(luò)通常使用專有的協(xié)議和專用硬件來進行內(nèi)外網(wǎng)隔離。針對這種通過“黑盒子”方式提供安全的模式,黑客和病毒編寫者為了攻擊系統(tǒng),不得不了解每個攻擊目標(biāo)存在的各種安全漏洞。因此,黑客對目標(biāo)的攻擊往往僅局限于單獨的系統(tǒng),很難發(fā)動大規(guī)模的攻擊。而如今,我們生活在PC主導(dǎo)企業(yè)、互聯(lián)網(wǎng)是公司業(yè)務(wù)必要組成部分的大環(huán)境下,這種技術(shù)的一致性在創(chuàng)造了便利的同時,也為黑客、病毒編寫者及信息世界的其他不法分子提供了可乘之機。

一些安全應(yīng)用軟件(如反病毒軟件)往往依靠特征引擎(signature engine)來識別威脅。特征引擎將產(chǎn)生的數(shù)據(jù)與病毒庫中已有病毒特征進行對比。如果特征引擎發(fā)現(xiàn)兩者匹配,那么它就會發(fā)出報警,或者采取某種措施來緩解威脅?;谔卣鞯耐{識別對付已知威脅非常有效,但在識別未知威脅方面效果有限,這就暴露了特征引擎模式存在的巨大缺陷。變通辦法是不斷更新病毒特征庫。但是在新威脅出現(xiàn),反病毒軟件廠商努力開發(fā)出合適的特征代碼時,已經(jīng)存在明顯的時差了:不管停機還是被全面感染,用戶的網(wǎng)絡(luò)都可能面臨慘重?fù)p失。而且許多病毒和蠕蟲很容易偽裝和變種,這樣反病毒引擎在下一次特征更新之前很難發(fā)現(xiàn)它們。

傳統(tǒng)的安全產(chǎn)品歷來側(cè)重于保護網(wǎng)絡(luò)邊界,因此很多公司在網(wǎng)絡(luò)邊界上使用了防火墻,但遺憾的是,現(xiàn)實普遍的情況是,網(wǎng)絡(luò)的核心更不安全。因此,包括賽門鐵克在內(nèi)的很多安全產(chǎn)品提供商提出了端點防護的建議,端點安全似乎是堵住這種缺口的一種方法,但這種方法在大型網(wǎng)絡(luò)上很不方便,因為用戶往往有許多不同的應(yīng)用,所以那些“一應(yīng)俱全式”的單一桌面配置方法很難實現(xiàn)。更司空見慣的情況是,我們需要配置多個桌面及配置多個用戶文件,所以公司需要很多端點安全策略。

很多防火墻廠商在防火墻中添加了反病毒和基于特征的內(nèi)容過濾,但其效果也僅限于網(wǎng)絡(luò)邊界。大部分公司并沒有采用內(nèi)部防火墻來保護自己內(nèi)部網(wǎng)或廣域網(wǎng)(WAN)等其他專用的基礎(chǔ)架構(gòu)。即便使用了內(nèi)部防火墻,這些技術(shù)仍受到特征庫更新頻率和準(zhǔn)確性的局限。

NBA彌補不足

而新出現(xiàn)的行為分析工具(NBA)則克服了這些傳統(tǒng)安全產(chǎn)品的不足。但它不是取代后者,而是后者一個很好的補充。NBA技術(shù)可收集及分析網(wǎng)絡(luò)中的數(shù)據(jù),提供流量分析和網(wǎng)絡(luò)流報告。這是通過對流量信息運用統(tǒng)計算法來實現(xiàn)的。網(wǎng)絡(luò)探測程序歸類的流量異常情況常常被認(rèn)為是攻擊的前兆。很容易從NetFlow或者sFlow數(shù)據(jù)流中識別主機或者端口偵測和掃描行為。比如,如果出現(xiàn)了一種未知蠕蟲,在它還沒有被傳統(tǒng)的入侵檢測/預(yù)防系統(tǒng)的特征識別出來之前,NBA系統(tǒng)則能立即識別這種蠕蟲不同尋常的流量模式,這種行為模式往往會尋找網(wǎng)絡(luò)上可以被感染的鄰近主機。NBA系統(tǒng)可以監(jiān)控這些行為,并且向網(wǎng)絡(luò)管理員發(fā)出報警。

NBA最吸引人的一項功能在于,它不再與網(wǎng)絡(luò)邊界聯(lián)系。一個NetFlow或者sFlow收集設(shè)備能同時監(jiān)控網(wǎng)絡(luò)上的多個內(nèi)部和邊界的節(jié)點。另外,NBA可與現(xiàn)有的身份管理解決方案融合在一起,把流量異常與相應(yīng)的用戶名稱聯(lián)系起來,從而全面了解這個用戶的網(wǎng)絡(luò)活動。幾種解決方案的無縫集合不但滿足了法規(guī)遵從的要求,還能夠解析異常流量――一直到解析用戶名稱,而不是單單解析IP地址。這種機制還有可能實現(xiàn)雙向操作,那樣還可以通過解析用戶名稱來識別IP地址,從而確定可疑用戶遭遇的攻擊面。這無疑提高了故障排除能力,并且加快了補救與安全相關(guān)的問題。

篇5

【關(guān)鍵詞】 信息系統(tǒng); 審計; 審計目標(biāo)

2007年2月國務(wù)院國有資產(chǎn)監(jiān)督管理委員會和國務(wù)院信息化工作辦聯(lián)合印發(fā)了《關(guān)于加強中央企業(yè)信息化工作的指導(dǎo)意見》,加快了國有企業(yè)信息化建設(shè)的步伐。國有企業(yè)審計是中國特色社會主義國家審計的重要組成部分。由于企業(yè)與公共部門在內(nèi)部控制、管理和治理方面的差異,導(dǎo)致了企業(yè)信息系統(tǒng)審計與公共部門信息系統(tǒng)審計的不同特點。

一、增強國有企業(yè)信息系統(tǒng)的可信性

審計機關(guān)的審計目標(biāo)取決于法定要求。根據(jù)《中華人民共和國審計法》的規(guī)定,審計機關(guān)對國有企業(yè)財務(wù)收支的真實、合法、效益,依法進行審計監(jiān)督。顯然,真實性是國有企業(yè)審計的目標(biāo)之一。信息系統(tǒng)審計是國有企業(yè)審計的重要組成部分。國有企業(yè)審計的總體目標(biāo),決定了國有企業(yè)信息系統(tǒng)審計的目標(biāo)。國有企業(yè)審計的真實性目標(biāo),必然要求國有企業(yè)信息系統(tǒng)提供真實性的信息,這意味著,審計機關(guān)的國有企業(yè)信息系統(tǒng)審計必須把真實性作為審計目標(biāo)之一。

根據(jù)相關(guān)法律的規(guī)定,注冊會計師也可以對國有企業(yè)進行審計。根據(jù)我國公司法第165條的規(guī)定,“公司應(yīng)當(dāng)在每一會計年度終了時編制財務(wù)會計報告,并依法經(jīng)會計師事務(wù)所審計?!倍遥?008年10月通過的《中華人民共和國企業(yè)國有資產(chǎn)法》第六十七條明確規(guī)定,“履行出資人職責(zé)的機構(gòu)根據(jù)需要,可以委托會計師事務(wù)所對國有獨資企業(yè)、國有獨資公司的年度財務(wù)會計報告進行審計,或者通過國有資本控股公司的股東會、股東大會決議,由國有資本控股公司聘請會計師事務(wù)所對公司的年度財務(wù)會計報告進行審計,維護出資人權(quán)益。”大家知道,依據(jù)注冊會計師執(zhí)業(yè)審計準(zhǔn)則的規(guī)定,會計師事務(wù)所對企業(yè)財務(wù)報表審計的目的是“提高財務(wù)報表預(yù)期使用者對財務(wù)報表的信賴程度?!雹龠@說明,注冊會計師國有企業(yè)審計的目標(biāo)是要求財務(wù)報表提供的信息具有可信性。注冊會計師所審計的國有企業(yè)財務(wù)報表中的信息是由國有企業(yè)的信息系統(tǒng)產(chǎn)生形成的,因而必須對信息系統(tǒng)進行審計。注冊會計師對國有企業(yè)財務(wù)報表審計的可信性目標(biāo),決定了注冊會計師對國有企業(yè)信息系統(tǒng)審計的可信性目標(biāo)。

同樣的審計對象,不同的審計主體,導(dǎo)致了兩種不同的國有企業(yè)信息系統(tǒng)審計目標(biāo)。從上述分析不難發(fā)現(xiàn),無論是審計機關(guān)還是注冊會計師對國有企業(yè)進行審計,其中對企業(yè)信息系統(tǒng)的審計都是不可或缺的重要組成部分。根據(jù)審計法的規(guī)定,審計機關(guān)對國有企業(yè)信息系統(tǒng)審計的目標(biāo)是真實性。而根據(jù)注冊會計師執(zhí)業(yè)審計準(zhǔn)則,對國有企業(yè)信息系統(tǒng)審計的目標(biāo)是可信性。那么,什么是真實性?什么是可信性?這兩種目標(biāo)之間有什么樣的聯(lián)系和區(qū)別?為什么說審計機關(guān)應(yīng)當(dāng)把增強國有企業(yè)信息系統(tǒng)可信性作為審計目標(biāo)呢?

(一)真實性與可信性的基本涵義

我國審計法強調(diào)真實性,根據(jù)2010年9月頒布的中華人民共和國國家審計準(zhǔn)則(以下簡稱國家審計準(zhǔn)則)的規(guī)定,“真實性是指反映財政收支、財務(wù)收支以及有關(guān)經(jīng)濟活動的信息與實際情況相符合的程度?!蹦敲?,什么是真實性呢?真實性只是對財政財務(wù)收支及有關(guān)經(jīng)濟活動信息質(zhì)量的最低要求。如果會計信息是真實的,但是不夠完整或者披露不及時,仍然不能滿足信息使用者的需要,甚至?xí)?dǎo)致錯誤的投資決策。事實上,就真實性本身而言,由于會計估計、核算方法等因素的影響,會計信息的真實性也只是相對的,而不是絕對的。所以,把真實性作為審計目標(biāo),具有一定的局限性。所謂可信性,從國際審計準(zhǔn)則第200號(ISA200)可以看出,當(dāng)編制的財務(wù)報表公允表達(dá)(presented fairly)或真實公允(true and fair)時,它才是可信性的。從字面上講,公允(fair)或公平的要求,強調(diào)了財務(wù)報表各種使用者之間的利益平衡。從理論上講,公允表達(dá)或真實公允的概念比真實性概念具有更多的內(nèi)涵,涉及會計適當(dāng)性、適當(dāng)披露及審計責(zé)任等概念。在國際審計準(zhǔn)則第200號(ISA200)中,公允表達(dá)是指財務(wù)報表是否在所有重大方面按照適用的財務(wù)報告框架編制,“公允”還意味著超出財務(wù)報告框架所要求披露范圍的必要性,以及在極端情況下必須偏離財務(wù)報告框架的可能性。適用的財務(wù)報告框架,主要是指適用的會計法律法規(guī)、會計準(zhǔn)則、會計制度等。大家知道,我國會計法強調(diào)“保證會計資料真實、完整”。根據(jù)會計法的要求,我國的財務(wù)報表不僅要具有真實性,而且還要具有完整性。總的來說,可信性并不否認(rèn)真實性,真實性是可信性的必要前提之一,但真實的并不一定是可信的,可信性的內(nèi)涵更加豐富,真實性是對財務(wù)信息質(zhì)量的最低要求,可信性反映了對財務(wù)信息質(zhì)量更高的要求。

(二)可信性目標(biāo)反映了注冊會計師審計發(fā)展的新階段

一般認(rèn)為,受社會需求變化、自身技術(shù)手段及審計風(fēng)險等因素的影響,注冊會計師審計目標(biāo)的發(fā)展演變至今經(jīng)歷了四個階段,即20世紀(jì)30年代之前的查錯糾弊階段、30年代中期至80年代驗證會計報表真實公允階段、80年代至90年代中期真實公允與查錯糾弊并重階段,及90年代后期以來的增強信息可信性階段。雖然同為注冊會計師審計的目標(biāo),然而從歷史發(fā)展演變的角度看,真實性只是注冊會計師審計的早期目標(biāo),當(dāng)前注冊會計師審計準(zhǔn)則中的可信性目標(biāo)反映了注冊會計師審計的最新發(fā)展,是更高級發(fā)展階段的目標(biāo)。

(三)可信性目標(biāo)比“真實公允”具有更加廣泛的適用性

20世紀(jì)90年代后期,傳統(tǒng)的財務(wù)報表審計成為更為廣義的概念――“保證業(yè)務(wù)”(Assurance Service)的一個組成部分。我國注冊會計師協(xié)會譯為“鑒證業(yè)務(wù)”②。2004年國際會計師聯(lián)合會了《國際保證業(yè)務(wù)框架》,2005年1月1日生效。2006年我國制定了《中國注冊會計師鑒證業(yè)務(wù)基本準(zhǔn)則》,2007年1月1日起施行。鑒證業(yè)務(wù)是指注冊會計師對鑒證對象信息提出結(jié)論,以增強除責(zé)任方之外的預(yù)期使用者對鑒證對象信息信任程度的業(yè)務(wù)。鑒證對象與鑒證對象信息具有多種形式,主要包括:當(dāng)鑒證對象為財務(wù)業(yè)績或狀況時(如歷史或預(yù)測的財務(wù)狀況、經(jīng)營成果和現(xiàn)金流量),鑒證對象信息是財務(wù)報表;當(dāng)鑒證對象為非財務(wù)業(yè)績或狀況時(如企業(yè)的運營情況),鑒證對象信息可能是反映效率或效果的關(guān)鍵指標(biāo);當(dāng)鑒證對象為物理特征時(如設(shè)備的生產(chǎn)能力),鑒證對象信息可能是有關(guān)鑒證對象物理特征的說明文件;當(dāng)鑒證對象為某種系統(tǒng)和過程時(如企業(yè)的內(nèi)部控制或信息技術(shù)系統(tǒng)),鑒證對象信息可能是關(guān)于其有效性的認(rèn)定;當(dāng)鑒證對象為一種行為時(如遵守法律法規(guī)的情況),鑒證對象信息可能是對法律法規(guī)遵守情況或執(zhí)行效果的聲明。不難看出,傳統(tǒng)的財務(wù)報表審計只是鑒證業(yè)務(wù)中的一種。鑒證標(biāo)準(zhǔn)隨著鑒證對象的不同,也從財務(wù)報表審計中按照適用的財務(wù)報表編制框架,如編制財務(wù)報表所使用的會計準(zhǔn)則和相關(guān)會計制度,擴展到單位內(nèi)部制定的行為準(zhǔn)則、績效水平等方面。從其定義看,鑒證業(yè)務(wù)的目的在于增強除責(zé)任方之外的預(yù)期使用者對鑒證對象信息的信任程度。真實公允目標(biāo)是針對財務(wù)報表審計的審計目標(biāo),可信性目標(biāo)在概念外延上具有更加廣泛的適用性??尚判阅繕?biāo)不僅適用于對財務(wù)信息的可信性,而且還適用于非財務(wù)信息(績效信息)的可信性。對財務(wù)報表來說,如果它是真實公允的,即在所有重大方面是按照適用的財務(wù)報表框架編制的,它就是可信性;對于其他鑒證信息來說,如果它是符合適用的鑒證標(biāo)準(zhǔn),就是可信性的。企業(yè)內(nèi)部的信息系統(tǒng),現(xiàn)在已不僅僅是財務(wù)信息系統(tǒng),還包括各種業(yè)務(wù)和管理信息系統(tǒng)。與此同時,為滿足企業(yè)的業(yè)務(wù)需求,信息系統(tǒng)所提供的信息也不局限于財務(wù)信息,而且還包括許多非財務(wù)信息。所以,在國有企業(yè)信息系統(tǒng)審計中,把可信性作為國有企業(yè)信息系統(tǒng)審計的目標(biāo)比真實性目標(biāo)更加符合企業(yè)信息化發(fā)展的客觀要求。

(四)可信性目標(biāo)反映了審計理論的深化和發(fā)展

可信性不是一個孤立的術(shù)語,它是新審計理論(或一組新的相互聯(lián)系的審計概念)中的一個關(guān)鍵性概念。隨著注冊會計師的業(yè)務(wù)從傳統(tǒng)的財務(wù)報表審計發(fā)展到鑒證業(yè)務(wù),傳統(tǒng)的審計理論也得到了深化和發(fā)展。大家知道,審計三方關(guān)系是指審計人、被審計人、審計授權(quán)或委托人之間的關(guān)系。傳統(tǒng)的受托責(zé)任論,即審計動因論,是建立在傳統(tǒng)的審計三方關(guān)系之上的。然而,在我國現(xiàn)行的《注冊會計師鑒證業(yè)務(wù)基本準(zhǔn)則》中給出了一種新的審計三方關(guān)系,即注冊會計師、責(zé)任方和預(yù)期使用者。在新的審計三方關(guān)系中,被審計人與審計授權(quán)或委托人之間責(zé)任關(guān)系的含義更加豐富,除傳統(tǒng)的受托責(zé)任關(guān)系外還有其他種類不帶委托性質(zhì)的責(zé)任關(guān)系③。在新的審計三方關(guān)系中,預(yù)期使用者應(yīng)包括企業(yè)所有的利益相關(guān)者,除了傳統(tǒng)受托責(zé)任關(guān)系中的股東外,還應(yīng)包括經(jīng)營者、員工、顧客、供應(yīng)商、債權(quán)人、潛在的投資者、監(jiān)管層、競爭者等。聘請注冊會計師的通常是預(yù)期使用者或其代表,但也可能是責(zé)任方。責(zé)任方、預(yù)期使用者和注冊會計師三方之間的關(guān)系,可以看作是信息提供者、信息使用者和信息可信性的保證者之間的關(guān)系④。增強信息的可信性,實際上是減少了信息提供者與預(yù)期使用者之間的信息不對稱,鑒于預(yù)期使用者的廣泛性,在市場經(jīng)濟條件下,將有利于完善市場機制,提高市場資源配置效率,從而拓展了審計的社會功能。可信性不是一個空洞的概念,鑒證對象信息是否具有可信性,需要執(zhí)行一定的業(yè)務(wù)程序。審計師在收集證據(jù)的基礎(chǔ)上,依據(jù)一定的標(biāo)準(zhǔn),檢查責(zé)任方的鑒證對象信息在所有重大方面是否符合適當(dāng)?shù)臉?biāo)準(zhǔn)后,才能為鑒證對象信息的可信性提供一定程度的保證,從而提供給預(yù)期使用者。鑒證業(yè)務(wù)的保證程度被細(xì)分為合理保證和有限保證,鑒證對象信息被劃分為財務(wù)信息和非財務(wù)信息,其中財務(wù)信息被進一步細(xì)分為歷史財務(wù)信息和預(yù)測性財務(wù)信息??尚判愿拍钍沁@些新審計理論中的關(guān)鍵性概念之一,相比之下,真實性概念在新的審計理論中卻沒有相應(yīng)的理論地位。

(五)可信性目標(biāo)反映了國家審計的發(fā)展趨勢

在世界審計組織(INTOSAI)的道德準(zhǔn)則(Code of Ethics)中,強調(diào)了信賴(trust)、信任(confidence)、信譽(credibility)對于審計機關(guān)的至關(guān)重要性。在南非審計署1911至2011年百年紀(jì)念的紀(jì)念品和網(wǎng)站首頁上有一句格言:“Auditing to build public confidence”,即“審計旨在建立公共信任”。我國審計署2011年7月15日印發(fā)的《審計署關(guān)于深化經(jīng)濟責(zé)任審計工作的指導(dǎo)意見》中提出,要確保經(jīng)濟責(zé)任審計結(jié)果的可信、可靠和可用。劉家義審計長提出,國家審計是國家治理的一個組成部分??鬃釉唬骸白闶常惚?,民信之矣”,“民無信不立”,說明了信任、守信在國家治理中的重要性。我們知道,“誠信友愛”是構(gòu)建社會主義和諧社會的基本要求之一。國家審計可以增強政府的公信力,增強整個社會的誠信。從國家治理的角度看,可信性目標(biāo)比真實性目標(biāo)更好地體現(xiàn)了國家審計在國家治理中的作用。

經(jīng)過上述真實性和可信性兩種審計目標(biāo)含義的對比,不難發(fā)現(xiàn),雖然真實性目標(biāo)是國有企業(yè)審計的傳統(tǒng)目標(biāo)之一,但是可信性比真實性的涵義更為豐富,可信性目標(biāo)中不但包含了真實性目標(biāo),而且可信性目標(biāo)要求信息系統(tǒng)提供更高質(zhì)量的信息。兩種目標(biāo)都對信息系統(tǒng)提供的信息質(zhì)量提出了要求,國家審計對信息質(zhì)量的要求不應(yīng)低于注冊會計師審計。因此,筆者認(rèn)為,盡管現(xiàn)行的審計法規(guī)定了國有企業(yè)信息系統(tǒng)審計的真實性目標(biāo),但是,從理論上講以及從未來發(fā)展趨勢看,審計機關(guān)應(yīng)當(dāng)選擇可信性作為國有企業(yè)信息系統(tǒng)審計的目標(biāo),即國有企業(yè)信息系統(tǒng)審計應(yīng)當(dāng)促進企業(yè)信息系統(tǒng)提供可信的信息。

二、促進國有企業(yè)信息系統(tǒng)的遵循性

最高審計機關(guān)國際組織(INTOSAI)在審計基本原則(ISSAI-100)中,把政府審計業(yè)務(wù)分為兩大類,即合規(guī)審計(regularity audit)和績效審計(performance audit),并制定了相應(yīng)的審計執(zhí)行指南,即財務(wù)審計執(zhí)行指南(Implementation Guidelines on Financial Audit)、遵循審計執(zhí)行指南(implementation guidelines on compliance audit)和績效審計執(zhí)行指南(Implementation Guidelines on Performance Audit)。在這個準(zhǔn)則指南框架中,合規(guī)性審計包括了財務(wù)審計和遵循性審計。遵循性審計是指對公共部門實體的活動是否與相關(guān)法律法規(guī)及授權(quán)要求相一致的審計。在《國際審計準(zhǔn)則第250號――財務(wù)報表審計中對法律法規(guī)的考慮》(ISA250)中,非遵循(non-compliance),是指被審計單位不履行法律法規(guī)責(zé)任或者違反法律法規(guī)的犯罪,故意地或者非故意地,與執(zhí)行的法律或法規(guī)對立的行為。在COSO內(nèi)部控制框架中,遵循性(compliance)作為內(nèi)部控制的目標(biāo)之一,是指符合適用的法律法規(guī)。由此看來,在上述準(zhǔn)則指南中,遵循性,就是我國國家審計中的合法性。但是,在本文中,作為國有企業(yè)信息系統(tǒng)審計的目標(biāo)之一,遵循性與合法性不同。

為滿足業(yè)務(wù)需求,對信息系統(tǒng)提供的信息有一般性的要求,在IT治理框架COBIT4.1中,這些要求也被稱之為信息標(biāo)準(zhǔn)(information criteria)。遵循性(compliance)作為其中的標(biāo)準(zhǔn)之一,是指“涉及業(yè)務(wù)流程與所需遵守的法律、法規(guī)及合同約定之間的符合程度的屬性,即外部的強制要求和內(nèi)部政策的遵循性。”⑤在本文中,遵循性作為國有企業(yè)信息系統(tǒng)審計的目標(biāo)之一,采用COBIT4.1中遵循性的概念,即國有企業(yè)信息系統(tǒng)的設(shè)計、建設(shè)、運行和監(jiān)控不僅要符合來自企業(yè)外部的強制性要求(合法性),而且還應(yīng)符合國有企業(yè)內(nèi)部制定的各種規(guī)定的要求。

我國審計機關(guān)對國有企業(yè)的財務(wù)收支的真實、合法和效益,依法進行審計監(jiān)督。合法性是國有企業(yè)審計的審計目標(biāo)之一。作為國有企業(yè)審計的重要內(nèi)容,信息系統(tǒng)審計應(yīng)當(dāng)促進國有企業(yè)信息系統(tǒng)的合法性。那么,為什么我們要把國有企業(yè)內(nèi)部制定的各種規(guī)定同時也納入國有企業(yè)信息系統(tǒng)審計的目標(biāo)呢?企業(yè)內(nèi)部如何制定關(guān)于其信息系統(tǒng)的規(guī)定是企業(yè)自己的事情,似乎審計機關(guān)不應(yīng)干預(yù),但是,效益性也是國有企業(yè)審計的審計目標(biāo)之一。當(dāng)信息系統(tǒng)不符合國有企業(yè)某些內(nèi)部規(guī)定的要求時就會影響到企業(yè)效益,這些內(nèi)部規(guī)定,如內(nèi)部控制、管理和治理等,也應(yīng)納入國有企業(yè)信息系統(tǒng)審計的遵循性目標(biāo)范圍。

三、改善國有企業(yè)信息系統(tǒng)的績效性

績效性目標(biāo)是企業(yè)信息化不斷發(fā)展的產(chǎn)物。我國企業(yè)信息化建設(shè)已經(jīng)發(fā)展到了關(guān)注績效性的階段。績效性目標(biāo)也是IT管理和IT治理的重要內(nèi)容。IT管理和IT治理的國際標(biāo)準(zhǔn)或良好實務(wù),為開展信息系統(tǒng)績效審計提供了審計標(biāo)準(zhǔn)。

(一)企業(yè)信息系統(tǒng)績效性的概念

當(dāng)企業(yè)信息化發(fā)展水平達(dá)到一定程度后,信息系統(tǒng)的績效問題逐漸引起了人們的關(guān)注。在企業(yè)信息化的早期階段,信息系統(tǒng)主要應(yīng)用于企業(yè)的財務(wù)會計領(lǐng)域,這時人們對信息系統(tǒng)關(guān)注的焦點主要是信息系統(tǒng)的可信性和遵循性問題,相應(yīng)的措施主要集中在內(nèi)部控制方面,強調(diào)信息系統(tǒng)的一般控制和應(yīng)用控制。隨著企業(yè)信息化水平的不斷提高,信息系統(tǒng)在企業(yè)中的應(yīng)用范圍逐漸從財務(wù)會計領(lǐng)域擴展到整個業(yè)務(wù)領(lǐng)域和管理領(lǐng)域,與此同時,信息系統(tǒng)的建設(shè)投入和運行成本顯著提高。這時人們發(fā)現(xiàn),大量的信息化投入并不一定能夠帶來預(yù)期的收益,而且還帶來巨大的潛在風(fēng)險,個別企業(yè)甚至因高投入造成利潤下降或財務(wù)危機,有的企業(yè)因業(yè)務(wù)流程改造滯后,還會導(dǎo)致管理混亂。在這種情況下,人們對信息系統(tǒng)關(guān)注的焦點,逐漸從“投入”轉(zhuǎn)向“產(chǎn)出”,從技術(shù)和內(nèi)部控制問題轉(zhuǎn)向管理和治理問題,在企業(yè)內(nèi)部出現(xiàn)了專門的IT管理部門,IT管理和IT治理逐漸從企業(yè)的一般管理和治理中獨立出來,而“績效”是描述信息系統(tǒng)投入產(chǎn)出、管理和治理的核心概念。

信息系統(tǒng)的績效性是指利用IT資源提供企業(yè)信息服務(wù)的經(jīng)濟性、效率性和效果性。為它的利益相關(guān)者提供價值是企業(yè)存在的基本前提。企業(yè)信息系統(tǒng)的目的在于利用IT資源,通過IT流程,提供企業(yè)信息服務(wù),以滿足業(yè)務(wù)需求。信息系統(tǒng)要實現(xiàn)的績效目標(biāo)必須與企業(yè)的業(yè)務(wù)需求或業(yè)務(wù)目標(biāo)相一致。

(二)績效性目標(biāo)的可行性

從我國企業(yè)信息化發(fā)展階段看,目前信息系統(tǒng)的績效問題已經(jīng)成為關(guān)注的焦點。2011年2月,工信部電子一所和用友軟件股份有限公司聯(lián)合了《2010年中國企業(yè)信息化指數(shù)調(diào)研報告》。該報告將中國企業(yè)的信息技術(shù)應(yīng)用分為四個階段,分別為基礎(chǔ)應(yīng)用階段、關(guān)鍵應(yīng)用階段、擴展整合及優(yōu)化升級應(yīng)用階段以及戰(zhàn)略應(yīng)用階段,如圖1所示。

該報告認(rèn)為,目前我國企業(yè)信息化總體上處于由基礎(chǔ)應(yīng)用和關(guān)鍵應(yīng)用向擴展整合與優(yōu)化升級過渡階段。報告的主要結(jié)論之一是,2010年“信息技術(shù)應(yīng)用范圍的變化主要體現(xiàn)在應(yīng)用廣度和深度兩方面,企業(yè)基本完成了信息技術(shù)在各業(yè)務(wù)領(lǐng)域的應(yīng)用覆蓋,已逐漸開始深度關(guān)注企業(yè)業(yè)務(wù)發(fā)展需求,著力提升信息技術(shù)的應(yīng)用價值?!碧岣咝畔⑾到y(tǒng)的績效,也已經(jīng)成為我國企業(yè)信息化深度發(fā)展的方向。把績效性作為國有企業(yè)信息系統(tǒng)審計的目標(biāo),符合我國企業(yè)信息化發(fā)展的現(xiàn)狀,在現(xiàn)實中具有可行性。

(三)績效性是IT管理和IT治理的重要內(nèi)容

IT管理目的在于如何降低成本,以更好的彈性及更快的響應(yīng)速度,向組織內(nèi)外部顧客提供高質(zhì)量的IT服務(wù),提供顧客的滿意度。IT管理的目標(biāo)就是要追求信息系統(tǒng)的績效性,即經(jīng)濟性、效率性和效果性。

信息系統(tǒng)的績效性也是IT治理追求的目標(biāo)之一。在IT治理國際標(biāo)準(zhǔn)ISO/IEC38500(組織的信息技術(shù)治理)中規(guī)定了“績效”原則,即IT應(yīng)適合于支持組織的目的并提供服務(wù),服務(wù)等級和服務(wù)質(zhì)量應(yīng)滿足當(dāng)前和將來的業(yè)務(wù)要求。IT治理框架COBIT4.1有四個基本特征:以業(yè)務(wù)為中心、以流程為導(dǎo)向、以控制為基礎(chǔ)、以績效測評為驅(qū)動。在該框架中,績效測評是IT治理的關(guān)鍵,并且指出,“多項調(diào)研已經(jīng)表明,IT成本、價值和風(fēng)險管理缺乏透明是驅(qū)動IT治理最重要的一個因素。相對于其他關(guān)注的領(lǐng)域,提高透明度主要通過績效測評來實現(xiàn)?!雹?/p>

(四)績效審計的參照標(biāo)準(zhǔn)

IT管理和IT治理從企業(yè)管理和治理中獨立出來,為開展單獨立項的信息系統(tǒng)績效審計創(chuàng)造了條件。就像企業(yè)審計要關(guān)注被審計單位的管理和治理那樣,企業(yè)信息系統(tǒng)審計要關(guān)注被審計單位的IT管理和IT治理情況。IT管理和IT治理的國際標(biāo)準(zhǔn)或良好實務(wù),則為開展信息系統(tǒng)績效審計提供了審計標(biāo)準(zhǔn),也可以作為向被審計單位提出改進建議的參照標(biāo)準(zhǔn)。常見的IT管理和IT治理國際標(biāo)準(zhǔn)有:ISO/1EC20000(信息技術(shù)――服務(wù)管理)、ITIL(信息技術(shù)基礎(chǔ)庫)、ISO/IEC38500(組織的信息技術(shù)治理)、COBIT4.1(信息及其相關(guān)技術(shù)控制目標(biāo))等。

四、維護國有企業(yè)信息系統(tǒng)的安全性

維護國有企業(yè)信息系統(tǒng)的安全,對于維護國家經(jīng)濟安全至關(guān)重要。隨著信息技術(shù)的發(fā)展和應(yīng)用,人們對信息系統(tǒng)安全性的認(rèn)識也不斷深化。正確理解信息安全的涵義,對于開展信息系統(tǒng)安全性審計具有重要的意義。

(一)安全性目標(biāo)的重要性

根據(jù)1994年我國頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》,維護計算機信息系統(tǒng)的安全性,就是要保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全,運行環(huán)境的安全,保障信息的安全,保障計算機功能的正常發(fā)揮,以維護計算機信息系統(tǒng)的安全運行⑦。從這里可以看出,信息系統(tǒng)的安全包括:信息本身的安全、系統(tǒng)設(shè)施設(shè)備的安全和系統(tǒng)運行環(huán)境的安全三個層面。就三個層面的關(guān)系而言,信息是核心,系統(tǒng)設(shè)施設(shè)備及其運行環(huán)境是保障,信息本身的安全是目的,系統(tǒng)設(shè)施設(shè)備的安全及其運行環(huán)境的安全是手段。

國有企業(yè)信息系統(tǒng)安全是國家信息安全和經(jīng)濟安全的重要組成部分。為了保護中央企業(yè)信息系統(tǒng)的安全穩(wěn)定運行,2010年12月,公安部和國務(wù)院國有資產(chǎn)監(jiān)督管理委員會聯(lián)合頒布了《關(guān)于進一步推進中央企業(yè)信息安全等級保護工作的通知》。據(jù)統(tǒng)計,截至2010年5月,已有89.6%的中央企業(yè)開展了信息安全等級保護工作,中央企業(yè)總計建成投入使用的信息系統(tǒng)有16 092個,已定級14 539個,占比90.3%;應(yīng)向公安機關(guān)備案的系統(tǒng)(二級及以上)有11 370個,已備案8 113個,占應(yīng)備案系統(tǒng)的71.4%;列入2010年定級計劃的有1 598個。中央企業(yè)在公安機關(guān)備案的信息系統(tǒng)總數(shù)約占全國信息系統(tǒng)備案總數(shù)的21%,第三、四級重要系統(tǒng)約占全國重要信息系統(tǒng)備案總數(shù)的30%⑧。這些數(shù)據(jù)表明,國有企業(yè)信息系統(tǒng)已成為國家信息安全的重要組成部分?!吨腥A人民共和國企業(yè)國有資產(chǎn)法》第七條規(guī)定,“國家采取措施,推動國有資本向關(guān)系國民經(jīng)濟命脈和國家安全的重要行業(yè)和關(guān)鍵領(lǐng)域集中,優(yōu)化國有經(jīng)濟布局和結(jié)構(gòu),推進國有企業(yè)的改革和發(fā)展,提高國有經(jīng)濟的整體素質(zhì),增強國有經(jīng)濟的控制力、影響力。”由于國有企業(yè)集中在國民經(jīng)濟命脈和國家安全的重要行業(yè)和關(guān)鍵領(lǐng)域,如電信、電力、石油、石化等重要行業(yè),其重要信息系統(tǒng)已成為國家關(guān)鍵基礎(chǔ)設(shè)施,是國民經(jīng)濟命脈之命脈,保護國有企業(yè)信息系統(tǒng)的安全穩(wěn)定運行,對于維護國家經(jīng)濟安全和社會穩(wěn)定具有重要的意義。

(二)信息安全概念的演變

根據(jù)我國計算機信息系統(tǒng)安全保護條例中的定義,計算機信息系統(tǒng)的安全性,包括信息本身的安全、系統(tǒng)設(shè)施設(shè)備的安全和支撐環(huán)境的安全。其中,信息本身的安全,即信息安全,是信息系統(tǒng)安全的核心和目的。那么,究竟什么是信息安全呢?

人們對信息系統(tǒng)安全性的認(rèn)識經(jīng)歷了一個不斷深化的發(fā)展過程。20世紀(jì)80年代美國國防部制定的《可信計算機系統(tǒng)評估準(zhǔn)則TCSEC》把保密性當(dāng)作信息安全的重點。20世紀(jì)90年代初由英、法、德、荷四國制定的《信息技術(shù)安全評估準(zhǔn)則ITSEC》開始把完整性、可用性與保密性作為同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐漸被普遍接受。在2002年的國際標(biāo)準(zhǔn)ISO/IEC17799:2000《信息技術(shù)――信息安全管理業(yè)務(wù)規(guī)范》中明確規(guī)定,信息安全,是指保護:“保密性(confidentiality),即確保信息只能夠由獲得授權(quán)的人訪問;完整性(integrity),即保護信息的正確性和完整性以及信息處理方法;可用性(availability),即保證經(jīng)授權(quán)的用戶可以訪問到信息,如果需要的話,還能夠訪問相關(guān)資產(chǎn)?!比欢?,在2005年的該國際標(biāo)準(zhǔn)修訂版即ISO/IEC17799:2005中,信息安全的定義,包括了七種安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他屬性,如真實性(authenticity)、責(zé)任性(accountability)、不可抵賴性(non-repudiation)、可靠性(reliability)等,而且,這種修訂后的信息安全定義,被2007年的國際標(biāo)準(zhǔn)ISO/IEC27001(《信息安全管理體系――規(guī)范與使用指南》)引用。在學(xué)術(shù)界,有人認(rèn)為,信息安全的特性還應(yīng)進一步包括可控性(controllability)、可預(yù)測性(predictability)、可審計性(auditability)、遵循性(compliance)等。

隨著信息技術(shù)的發(fā)展與應(yīng)用,信息安全的內(nèi)涵越來越豐富,從最初的信息保密性發(fā)展到保密性、完整性和可用性,進而又發(fā)展到相關(guān)的真實性、責(zé)任性、抗抵賴性、可靠性等。相應(yīng)地,對企業(yè)信息安全的考慮,也從最初關(guān)注企業(yè)信息安全技術(shù)層面,發(fā)展到關(guān)注企業(yè)信息安全控制、管理和治理等層面。

(三)正確理解信息安全涵義需要注意的幾個問題

1.信息安全與信息保密不同。從信息安全概念的涵義可以看出,信息保密與信息安全是兩個不同的概念,信息安全比信息保密的涵義更加豐富。盡管我國新修訂的保密法對信息系統(tǒng)的保密問題作出了規(guī)定,但是保密法不能代替信息安全法。目前,我國對信息安全的立法仍然比較滯后,尚無專門的信息安全法。信息安全法是國家信息安全保障體系不可或缺的組成部分。

2.微觀信息安全與宏觀信息安全的聯(lián)系。企業(yè)信息系統(tǒng)的安全離不開系統(tǒng)運行環(huán)境的支撐,系統(tǒng)環(huán)境包括物理環(huán)境和社會環(huán)境。從社會環(huán)境看,主要是指有關(guān)信息安全法律法規(guī)、安全意識、人才培養(yǎng)等。這就是說,微觀層面單個組織的信息系統(tǒng)安全,還離不開宏觀層面國家信息安全保障體系的構(gòu)建。與此同時,微觀層面的信息安全是基礎(chǔ),沒有微觀層面的信息安全,也就沒有宏觀層面的信息安全。

3.授權(quán)管理的重要性。信息安全的概念有三個核心涵義:保密性、完整性和可用性。這三個核心涵義都涉及一個共同的要素,即“授權(quán)”。保密性意味著只有獲得授權(quán)才能訪問;完整性意味著沒有授權(quán)不得對信息進行刪除或修改;可用性意味著擁有授權(quán)者隨時可以使用。這表明,授權(quán)管理是信息安全管理的一項關(guān)鍵內(nèi)容。信息系統(tǒng)是一種人機系統(tǒng),授權(quán)管理主要涉及對人員行為的安全管理。

4.安全性目標(biāo)與遵循性、績效性、可信性目標(biāo)的聯(lián)系。從信息安全的涵義可以看出,信息系統(tǒng)的安全性目標(biāo)不同于其遵循性、績效性和可信性目標(biāo),但是,安全性與它們之間又是相互聯(lián)系的。首先,安全性必須滿足遵循性的要求,信息系統(tǒng)的設(shè)計、運行、使用和管理可能要置于法律規(guī)定的和合同約定的安全要求的約束之下,特別是各種信息安全法律法規(guī)、保密法,以及知識產(chǎn)權(quán)、個人隱私權(quán)方面的法律法規(guī);其次,信息安全沒有絕對的安全,所有的信息安全都是風(fēng)險可接受條件下的安全,高水平的安全保護需要大量的投入成本,因而需要在成本、收益、風(fēng)險和安全之間進行權(quán)衡,即安全性與績效性的聯(lián)系;最后,在信息安全技術(shù)層面,可信計算技術(shù)是信息安全技術(shù)的一個重要研究領(lǐng)域,從而表明安全性與可信性之間也有內(nèi)在的聯(lián)系。

筆者認(rèn)為,目前國際上制定的有關(guān)信息安全等級評估、信息安全風(fēng)險評估、信息安全管理體系等方面的國際標(biāo)準(zhǔn),無論是在理論概念還是在操作實務(wù)方面,對于我國審計機關(guān)開展信息系統(tǒng)審計都具有重要的借鑒價值。這些國際標(biāo)準(zhǔn)或良好實務(wù)可以作為審計的參照標(biāo)準(zhǔn),同時也可以作為審計機關(guān)向被審計單位提出改進信息系統(tǒng)安全性建議的依據(jù)。同時,在對國有企業(yè)信息系統(tǒng)的安全性進行審計時,還要立足我國實際,由于我國國有企業(yè)信息系統(tǒng)是國民經(jīng)濟命脈之命脈,事關(guān)國家經(jīng)濟安全和社會穩(wěn)定,在重視企業(yè)本身信息系統(tǒng)安全的同時,還應(yīng)當(dāng)從宏觀上揭示國有企業(yè)信息系統(tǒng)的安全風(fēng)險,維護國家經(jīng)濟安全。

最后應(yīng)當(dāng)指出的是,在審計實踐中,根據(jù)具體情況,單個審計項目可以選取上述可信性、績效性和安全性目標(biāo)中的一個或多個作為審計目標(biāo)。