前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的外審員信息安全主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:信息安全;網(wǎng)絡(luò)安全危脅;安全防護(hù)系統(tǒng)
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2012)26-6245-03
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)迅猛發(fā)展,各發(fā)電企業(yè)信息化網(wǎng)絡(luò)日漸普及,成為了企業(yè)科技化管理的重要手段。通過對(duì)數(shù)據(jù)的集中、共享、處理使得信息系統(tǒng)為發(fā)電企業(yè)生產(chǎn)經(jīng)營(yíng)、安全生產(chǎn)等各方面提供了巨大的科技支撐。但同時(shí)伴隨出現(xiàn)的病毒蔓延、不良黑客入侵、流氓軟件等多方面問題成為了不得不面對(duì)的問題,同時(shí)對(duì)發(fā)電企業(yè)的安全生產(chǎn)也形成了巨大的威脅,以此進(jìn)一步加強(qiáng)發(fā)電企業(yè)信息化安全是在信息化建設(shè)初期首要考慮的問題。
1發(fā)電企業(yè)面臨的網(wǎng)絡(luò)安全威脅
因?yàn)樾畔⒕W(wǎng)絡(luò)的互通性,發(fā)電企業(yè)信息化威脅,既有可能來(lái)自本企業(yè)內(nèi)部,也同時(shí)可能來(lái)源于外部。其內(nèi)部威脅主要來(lái)自于員工、各信息系統(tǒng)管理員等,根據(jù)統(tǒng)計(jì),網(wǎng)絡(luò)安全破壞活動(dòng)近80%來(lái)自于競(jìng)爭(zhēng)對(duì)手、任何惡意的組織和個(gè)人。主要表現(xiàn)的安全威脅為:
1)截獲用戶標(biāo)識(shí):截獲標(biāo)識(shí)指以非法手段取得合法用戶的身份信息,主要是用戶的帳號(hào)和密碼,這是絕大多數(shù)發(fā)電信息系統(tǒng)采用的認(rèn)證防護(hù)措施。如果侵入者得知了某位合法用戶的帳號(hào)和密碼,即便該合法用戶并未被賦予其他的特權(quán),也有可能威脅整個(gè)系統(tǒng)的安全。如果帳號(hào),特別是密碼,被以明文的方式由信息網(wǎng)絡(luò)傳遞,侵入者通過安裝協(xié)議分析軟件對(duì)網(wǎng)絡(luò)通信進(jìn)行監(jiān)視,則可以輕松獲取。如果密碼通過明文格式保存在用戶的計(jì)算機(jī)的內(nèi)存或者硬盤中,侵入者更能夠有方法發(fā)現(xiàn)并利用這些密碼,同時(shí)如果密碼很簡(jiǎn)單(如手機(jī)號(hào)碼、用戶生日、私家車號(hào)牌、用戶姓名等),更加容易被侵入者通過軟件得知,在網(wǎng)絡(luò)上大肆傳播的黑客工具都是通過幾種常用習(xí)慣的詞典來(lái)獲取用戶密碼。
2)偽裝:當(dāng)未通過授權(quán)的用戶假扮成具有合法授權(quán)的用戶,登錄發(fā)電信息系統(tǒng)時(shí)就形成了偽裝。當(dāng)未通過授權(quán)的用戶經(jīng)過偽裝成信息系統(tǒng)管理員或者具有信息管理超級(jí)特權(quán)的有關(guān)用戶時(shí),截獲用戶標(biāo)識(shí)的情況是威脅最大的。應(yīng)為侵入者已經(jīng)獲取了某位合法用戶的標(biāo)識(shí),或者因?yàn)榍秩胝咭呀?jīng)使信息系統(tǒng)相信其擁有另外的而實(shí)際上并不存在的權(quán)限,所以偽裝是很容易出現(xiàn)的。網(wǎng)絡(luò)地址欺騙實(shí)際上就是偽裝的一中形式,侵入者通過一個(gè)合法的IP地址,然后通過此地址截獲已被授予該合法地址的系統(tǒng)或者是服務(wù)器訪問權(quán)限。
3)非授權(quán)操作:非授權(quán)操作使用信息系統(tǒng)或者資源時(shí),信息網(wǎng)絡(luò)安全就受到了極大的威脅。例如,企業(yè)的發(fā)電數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)有可能被未經(jīng)授權(quán)的侵入者,非法修改并利用。
4)病毒:病毒是伴隨計(jì)算機(jī)技術(shù)產(chǎn)生,能夠通過不斷自我復(fù)制,大范圍傳播,對(duì)計(jì)算機(jī)、信息系統(tǒng)及其數(shù)據(jù)產(chǎn)生極大破壞的程序。因?yàn)椴《揪哂械碾[藏性和可變異性,使得廣大用戶無(wú)法防范。據(jù)有關(guān)資料調(diào)查,99%的企業(yè)或者個(gè)人受到過計(jì)算機(jī)病毒的感染,63%的數(shù)據(jù)和系統(tǒng)損壞來(lái)源于病毒。給受害企業(yè)或個(gè)人帶來(lái)巨大的時(shí)間和人力資源的浪費(fèi),同時(shí)重要數(shù)據(jù)文件的丟失和損壞是無(wú)法用金錢來(lái)衡量的。
5)服務(wù)拒絕:通過向發(fā)電企業(yè)信息化系統(tǒng)發(fā)送大量的請(qǐng)求或者垃圾數(shù)據(jù),使得服務(wù)器的資源被大量占用,直至資源耗盡,使其達(dá)到無(wú)法繼續(xù)提供正常服務(wù)或者服務(wù)器崩潰的目的。在發(fā)電企業(yè)信息化系統(tǒng)中,這樣的攻擊可能造成重大的安全威脅。
6)惡意程序代碼:伴隨著可自執(zhí)行的計(jì)算機(jī)程序與WWW站點(diǎn)的集成,惡意程序代碼通過Microsoft ActiveX控件或Sun Java程序的大量使用形成了極大的安全威脅。
7)特權(quán)濫用:信息系統(tǒng)的超級(jí)管理員故意或者錯(cuò)誤地通過對(duì)某系統(tǒng)的特權(quán)來(lái)獲取其不應(yīng)獲取的敏感數(shù)據(jù)。
8)誤操作:信息系統(tǒng)超級(jí)管理員、業(yè)務(wù)系統(tǒng)管理員、一般用戶等因?qū)夹g(shù)方面熟練度不高,操作時(shí)的失誤,引起對(duì)信息系統(tǒng)安全性、完整性和可靠性的損壞。
9)權(quán)限變更:一般用戶利用信息系統(tǒng)的漏洞提高其用戶等級(jí),以獲取未經(jīng)授權(quán)的系統(tǒng)權(quán)限。
10)后門:信息系統(tǒng)研發(fā)人員出于故意或者為了日后維護(hù)便利在信息系統(tǒng)中設(shè)置的專用通道,使用其可以不受企業(yè)信息系統(tǒng)安全措施的控制。經(jīng)常被人為利用控制、破壞正常運(yùn)行的系統(tǒng)。
11)系統(tǒng)研發(fā)中的錯(cuò)誤和調(diào)試不全:其包含對(duì)有關(guān)數(shù)據(jù)不進(jìn)行充分的檢查、對(duì)系統(tǒng)的邏輯運(yùn)行定義不準(zhǔn)確,同時(shí)這些錯(cuò)誤和不完善沒有通過大量的、齊全的系統(tǒng)調(diào)試檢查出來(lái),有可能在運(yùn)行中導(dǎo)致數(shù)據(jù)被錯(cuò)誤生成且引入信息系統(tǒng),破壞了實(shí)際數(shù)據(jù)的準(zhǔn)確性。
12)特洛伊木馬:它通過提供一些有價(jià)值的或者僅僅是有趣的功能,在用未經(jīng)用戶許可的情況下拷貝文件、竊取用戶的帳號(hào)和密碼、發(fā)送用戶的重要資料或者破壞用戶系統(tǒng)等。木馬程序是一種常見的危害性較大的威脅,由于其不易被發(fā)現(xiàn),在一般情況下,它是在二進(jìn)制代碼中被發(fā)現(xiàn),且大多數(shù)后綴名都為無(wú)法直接打開的文件,其特點(diǎn)與病毒有許多相似的地方。
13)社會(huì)工程共計(jì):主要是的是攻擊者利用人的心理活動(dòng)進(jìn)行攻擊,其無(wú)需采用高深的科技手段,同時(shí)無(wú)需入侵系統(tǒng)來(lái)完成。僅需要通過向特定用戶了解帳號(hào)和密碼,達(dá)到其獲取數(shù)據(jù)或者信息系統(tǒng)訪問權(quán)的目的。絕大多數(shù)情況下、攻擊者的主要目標(biāo)是企業(yè)的辦公室接待員、行政或者技術(shù)支撐人員,通過對(duì)這些類別的用戶通過電話、EMAIL或者聊天工具等方式即可完成攻擊。
2發(fā)電企業(yè)信息化情況(以五大發(fā)電集團(tuán)某下屬發(fā)電公司為例)
2.1信息化網(wǎng)絡(luò)狀況
圖1
2.2信息化系統(tǒng)狀況
1)財(cái)務(wù)及資產(chǎn)管理(簡(jiǎn)稱:FAM)系統(tǒng),是集中部署的核心應(yīng)用系統(tǒng),涵蓋電廠財(cái)務(wù)核算、費(fèi)用報(bào)銷、資金計(jì)劃、物資采購(gòu)、庫(kù)存管理、物資計(jì)劃、超市管理、合同管理、缺陷管理、檢修管理、設(shè)備維護(hù)等功能模塊。
2)OA辦公自動(dòng)化系統(tǒng)。實(shí)現(xiàn)下屬企業(yè)以及與集團(tuán)公司間收發(fā)文交互、內(nèi)部收發(fā)文管理、郵件及通訊目錄功能。系統(tǒng)還提供了值班管理、督察督辦、會(huì)議管理、車輛管理、辦公用品等行政辦公管理功能。
3)PI實(shí)時(shí)信息系統(tǒng):本系統(tǒng)采集、存儲(chǔ)DCS系統(tǒng)、電能量、環(huán)保系統(tǒng)等實(shí)時(shí)運(yùn)行參數(shù),除滿足電廠對(duì)實(shí)施信息的管理需求外,還將有關(guān)數(shù)據(jù)實(shí)時(shí)傳送集成到集團(tuán)公司實(shí)時(shí)系統(tǒng)、集團(tuán)公司生產(chǎn)與營(yíng)銷實(shí)時(shí)監(jiān)管系統(tǒng)。
4)電廠多業(yè)務(wù)管理平臺(tái)。系統(tǒng)包括運(yùn)行管理、計(jì)劃管理、生產(chǎn)統(tǒng)計(jì)、班組管理、標(biāo)準(zhǔn)制度、政工管理、監(jiān)審管理、合理化建議等功能,其中統(tǒng)計(jì)、政工、監(jiān)審等模塊實(shí)現(xiàn)了與集團(tuán)公司層面相應(yīng)管理模塊的系統(tǒng)集成。
5)安全管理平臺(tái):功能包括安全信息、安全報(bào)表、安全檢查、工作票、操作票等管理。
6)公司MIS系統(tǒng):本系統(tǒng)不僅作為下屬企業(yè)所有管理信息系統(tǒng)入口門戶,還提供了項(xiàng)目申報(bào)、生產(chǎn)日?qǐng)?bào)、人力資源、融合機(jī)制管理、培訓(xùn)考試、安全認(rèn)證管理、靈活報(bào)表等應(yīng)用功能。
7)檔案管理系統(tǒng):本系統(tǒng)由集團(tuán)公司統(tǒng)一實(shí)施,各單位檔案系統(tǒng)建設(shè)須按照集團(tuán)公司統(tǒng)一規(guī)劃,以便于OA系統(tǒng)統(tǒng)一接口、版本升級(jí)、技術(shù)培訓(xùn)等。
8)網(wǎng)站系統(tǒng)由各下屬企業(yè)自主建設(shè)和運(yùn)維管理,界面設(shè)計(jì)須符合集團(tuán)公司VI視覺識(shí)別系統(tǒng)標(biāo)準(zhǔn),內(nèi)容、運(yùn)維管理遵照公司和集團(tuán)公司有關(guān)規(guī)定和要求,嚴(yán)格執(zhí)行安全保密等有關(guān)規(guī)定。
3發(fā)電企業(yè)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)方案
發(fā)電企業(yè)信息安全體系機(jī)構(gòu)由網(wǎng)絡(luò)安全防護(hù)、數(shù)據(jù)備份和恢復(fù)、應(yīng)用系統(tǒng)安全、信息安全管理等幾部分組成。
3.1網(wǎng)絡(luò)安全防護(hù)
3.1.1系統(tǒng)安全域防護(hù)
將企業(yè)信息系統(tǒng)通過網(wǎng)絡(luò)安全域的形式,分為服務(wù)器、用戶兩個(gè)安全域,同時(shí)劃分多個(gè)二級(jí)安全域,主要為生產(chǎn)信息系統(tǒng)、財(cái)務(wù)系統(tǒng)、系統(tǒng)管理員、一線生產(chǎn)班組、普通用戶等。
3.1.2網(wǎng)絡(luò)的高可靠性
1)企業(yè)核心網(wǎng)絡(luò)設(shè)備采取雙機(jī)互為熱備形式,兩臺(tái)中心交換機(jī)設(shè)備通過雙鏈路互聯(lián);接入層與核心層也通過雙鏈路互聯(lián)。
2)重要用戶安全域通過雙鏈路與企業(yè)核心交換連接,進(jìn)一步保證其鏈路的可靠性。
3)企業(yè)核心業(yè)務(wù)系統(tǒng)服務(wù)器也必須通過雙鏈路接入核心層。
3.1.3防病毒
1)企業(yè)管理信息大區(qū)按照要求統(tǒng)一部署防病毒系統(tǒng),采用國(guó)內(nèi)知名品牌網(wǎng)絡(luò)版。安全區(qū)一、二與三區(qū)各自擁有自己的防病毒服務(wù)器。
2)對(duì)管理信息大區(qū)的服務(wù)器、終端用戶,強(qiáng)制按照規(guī)定部署統(tǒng)一的可網(wǎng)管的防病毒產(chǎn)品。
3)在互聯(lián)網(wǎng)接口部署防病毒網(wǎng)關(guān),以防其從外部傳播到企業(yè)管理信息大區(qū)。
4)注重防病毒管理,保證病毒特征碼得到有效的更新,通過查看病毒軟件的歷史記錄,了解病毒威脅情況并積極應(yīng)對(duì)。
3.1.4防火墻
在位于內(nèi)外網(wǎng)接口處部署防火墻一臺(tái),采用高性能硬件防火墻,國(guó)內(nèi)知名品牌,具有雙安全操作系統(tǒng);可以提供對(duì)復(fù)雜環(huán)境的接入支持,包括路由、透明以及混合接入模式;具備防火墻、IPSEC VPN,SSL VPN、防病毒、IPS等安全功能。
3.1.5入侵檢測(cè)系統(tǒng)
在核心層部署一個(gè)入侵檢測(cè)的探頭,保證入侵檢測(cè)系統(tǒng)能夠及時(shí)發(fā)現(xiàn)有關(guān)威脅。
3.1.6主機(jī)安全加固
發(fā)電企業(yè)的關(guān)鍵應(yīng)用系統(tǒng)(如生產(chǎn)營(yíng)銷實(shí)施監(jiān)管系統(tǒng)、財(cái)務(wù)系統(tǒng))的服務(wù)器,采取定期安全加固的形式。形式包括:定期檢查安全配置、安全補(bǔ)丁、加強(qiáng)服務(wù)器系統(tǒng)的訪問控制能力等。
3.2備份與恢復(fù)
對(duì)于關(guān)鍵應(yīng)用系統(tǒng),必須采用每天定期備份,同時(shí)人工每月全備份一次。備份的數(shù)據(jù)必須采用異地存儲(chǔ)的形式,且需做到專人定期檢查,防止遺漏。
3.3應(yīng)用系統(tǒng)安全
管理信息大區(qū)中的發(fā)電企業(yè)應(yīng)用系統(tǒng)應(yīng)著重確保其安全性能夠得到保證。其主要安全建設(shè)內(nèi)容包括:對(duì)系統(tǒng)的訪問控制、用戶帳號(hào)密碼及權(quán)限管理、操作審計(jì)管理、數(shù)據(jù)加密管理、數(shù)據(jù)完整性檢查等。
3.4信息安全管理
1)通過成立企業(yè)信息化領(lǐng)導(dǎo)小組,加強(qiáng)信息工作包括信息安全工作的整體管理;
2)通過制定信息網(wǎng)絡(luò)管理制度及各級(jí)安全防護(hù)策略;并通過正式公文下發(fā),嚴(yán)格執(zhí)行。
3)通過設(shè)立專業(yè)的信息管理人員和成立涵蓋各業(yè)務(wù)部門的兼職信息員,形成覆蓋全面的信息化安全管理網(wǎng)絡(luò)。
綜上所述,發(fā)電企業(yè)網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程,不能僅靠殺毒軟件、防火墻、漏洞掃描等硬件設(shè)備的防護(hù),還要意識(shí)到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)人機(jī)系統(tǒng),在建立以計(jì)算機(jī)網(wǎng)絡(luò)安全硬件產(chǎn)品為基礎(chǔ)的網(wǎng)絡(luò)安全系統(tǒng)的同時(shí),也應(yīng)樹立各個(gè)用戶的網(wǎng)絡(luò)信息安全意識(shí)才能防微杜漸,構(gòu)建一個(gè)高效、安全的網(wǎng)絡(luò)系統(tǒng)。
綜上所述,發(fā)電企業(yè)信息安全是一個(gè)系統(tǒng)工程,不僅需要入侵檢測(cè)系統(tǒng)、防火墻等硬件安全設(shè)備,同時(shí)還要注意信息系統(tǒng)是一個(gè)廣泛使用的人機(jī)互動(dòng)系統(tǒng),必須通過系列的安全管理措施和規(guī)章制度,進(jìn)一步強(qiáng)化各級(jí)用戶的信息安全意識(shí),做到信息安全人人有責(zé)、信息安全從自我做起,才能構(gòu)建起一個(gè)高效、安全的企業(yè)信息化網(wǎng)絡(luò)。
參考文獻(xiàn):
關(guān)鍵詞: 網(wǎng)絡(luò)財(cái)務(wù);安全問題;對(duì)策
中圖分類號(hào):F812.0 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1001-828X(2013)02-0-01
一、網(wǎng)絡(luò)財(cái)務(wù)的安全問題
(一)原始數(shù)據(jù)的安全問題
傳統(tǒng)會(huì)計(jì)中的原始憑證因筆跡各異具有可辨認(rèn)性,因多聯(lián)復(fù)寫具有相互牽制性,難以非法修改。而在以電子商務(wù)為主要內(nèi)容的網(wǎng)絡(luò)會(huì)計(jì)中,原始憑證的數(shù)據(jù)轉(zhuǎn)變成磁性介質(zhì),對(duì)電子數(shù)據(jù)的刪除或修改可以不留任何痕跡,給原始數(shù)據(jù)的安全帶來(lái)很多隱患。
(二)會(huì)計(jì)信息的真實(shí)性問題
一方面,網(wǎng)絡(luò)財(cái)務(wù)是一個(gè)開放的會(huì)計(jì)系統(tǒng),一些企業(yè)內(nèi)部和外部計(jì)算機(jī)高手出于某種利益,故意破壞系統(tǒng)的安全,盜取會(huì)計(jì)資料、篡改會(huì)計(jì)信息;財(cái)務(wù)硬件設(shè)施偶然故障;財(cái)務(wù)人員操作不當(dāng)都會(huì)造成會(huì)計(jì)信息的失真、缺乏完整。另一方面,網(wǎng)絡(luò)技術(shù)下,會(huì)計(jì)信息透明度是非常高的。其在互聯(lián)網(wǎng)上傳播速度非??欤?cái)務(wù)數(shù)據(jù)的收集及大量經(jīng)濟(jì)業(yè)務(wù)處理也缺乏有效的確實(shí)標(biāo)識(shí),這將直接影響會(huì)計(jì)信息數(shù)據(jù)庫(kù)系統(tǒng)中派生的會(huì)計(jì)賬簿和會(huì)計(jì)報(bào)表的真實(shí)性和準(zhǔn)確性,從而使網(wǎng)上會(huì)計(jì)信息的真實(shí)性受到質(zhì)疑。同時(shí),信息使用者和提供者的理解差異都會(huì)給企業(yè)會(huì)計(jì)信息帶來(lái)失真的風(fēng)險(xiǎn)。
(三)企業(yè)內(nèi)部控制問題
在網(wǎng)絡(luò)財(cái)務(wù)軟件中,會(huì)計(jì)信息的處理和存儲(chǔ)集中于網(wǎng)絡(luò)系統(tǒng),大量不同的會(huì)計(jì)業(yè)務(wù)交叉在一起,財(cái)務(wù)信息復(fù)雜,交叉速度加快,使傳統(tǒng)會(huì)計(jì)系統(tǒng)中某些職權(quán)分工的控制失效。網(wǎng)絡(luò)的應(yīng)用減少了人工輸入環(huán)節(jié),數(shù)據(jù)訪問和數(shù)據(jù)交換都通過應(yīng)用服務(wù)器進(jìn)行,網(wǎng)絡(luò)數(shù)據(jù)處理的集中性使得傳統(tǒng)的組織控制功能減弱。網(wǎng)絡(luò)計(jì)算機(jī)集成化處理促使傳統(tǒng)手工會(huì)計(jì)中制單、記賬、復(fù)核等崗位相互制約關(guān)系弱化。原來(lái)靠賬簿核對(duì)糾正差錯(cuò)的控制已不復(fù)存在,光、電、磁介質(zhì)所載信息能不留痕跡地被修改和刪除,從而加大了會(huì)計(jì)系統(tǒng)安全控制的難度。
(四)網(wǎng)絡(luò)會(huì)計(jì)人員素質(zhì)問題
網(wǎng)絡(luò)財(cái)務(wù)需要大批既懂會(huì)計(jì)又懂管理;既熟悉電算化知識(shí),又熟悉網(wǎng)絡(luò)知識(shí);既會(huì)業(yè)務(wù)操作,又能解決實(shí)際問題的會(huì)計(jì)人員。目前相當(dāng)數(shù)量的會(huì)計(jì)人員的專業(yè)知識(shí)薄弱,尚不能適應(yīng)網(wǎng)絡(luò)會(huì)計(jì)的發(fā)展要求。因此,會(huì)計(jì)人員素質(zhì)不高也是網(wǎng)絡(luò)會(huì)計(jì)發(fā)展中面臨的一個(gè)問題。
針對(duì)上述問題,我們應(yīng)從信息安全、內(nèi)部制度和人才應(yīng)用等幾方面采取相應(yīng)的措施。
二、對(duì)網(wǎng)絡(luò)財(cái)務(wù)發(fā)展的對(duì)策建議
(一)會(huì)計(jì)信息系統(tǒng)安全對(duì)策
會(huì)計(jì)信息系統(tǒng)是一種特殊的信息系統(tǒng),它除了一般信息系統(tǒng)的安全特征外,還具有自身的一些安全特點(diǎn)。會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)是指由于人為的或非人為的因素使會(huì)計(jì)信息系統(tǒng)保護(hù)安全的能力的減弱,從而產(chǎn)生系統(tǒng)的信息失真、失竊,使單位的財(cái)產(chǎn)遭受損失,系統(tǒng)的硬件、軟件無(wú)法正常運(yùn)行等結(jié)果發(fā)生的可能性。保障會(huì)計(jì)信息系統(tǒng)安全對(duì)會(huì)計(jì)信息安全有著重要的意義。
保障會(huì)計(jì)信息安全的措施有二個(gè)方面:一是采用有效安全技術(shù),網(wǎng)絡(luò)財(cái)務(wù)軟件采用兩層加密技術(shù)。為防止非法用戶竊取機(jī)密信息和非授權(quán)用戶越權(quán)操作數(shù)據(jù),在系統(tǒng)的客戶終端和服務(wù)器之間傳輸?shù)乃袛?shù)據(jù)都進(jìn)行兩層加密,確保會(huì)計(jì)信息的傳輸安全。二是制定和實(shí)施安全管理措施。根據(jù)會(huì)計(jì)電算化要求,建立健全崗位責(zé)任制度、安全日志等相關(guān)制度規(guī)定。
(二)內(nèi)部控制措施
為了保證會(huì)計(jì)信息的準(zhǔn)確性和可靠性,企業(yè)應(yīng)在內(nèi)部采取必要的控制措施,來(lái)維護(hù)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全。
(1)組織與管理控制。一是要設(shè)置網(wǎng)絡(luò)管理中心,由網(wǎng)管中心全盤規(guī)劃,采取措施確保各工作站、終端和人員之間適當(dāng)?shù)穆氊?zé)分離。二是要優(yōu)化配置人力資源。制定措施,確保人力資源的合理利用。三是要發(fā)揮內(nèi)部審計(jì)的作用。通過內(nèi)部審計(jì)部門對(duì)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)信息質(zhì)量進(jìn)行獨(dú)立和公正地監(jiān)督與評(píng)價(jià),有利于系統(tǒng)內(nèi)部自我約束機(jī)制的建立。
(2)系統(tǒng)開發(fā)控制。系統(tǒng)開發(fā)控制是為保證網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)開發(fā)過程中各項(xiàng)活動(dòng)的合法性和有效性而設(shè)計(jì)的控制措施,它貫穿于系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施和系統(tǒng)運(yùn)行測(cè)試與維護(hù)各個(gè)階段。其主要內(nèi)容包括:第一,明確開發(fā)目標(biāo),制定管理計(jì)劃,監(jiān)督開發(fā)質(zhì)量,檢查各功能模塊設(shè)置的合理性及程序設(shè)計(jì)的可靠性,提高系統(tǒng)的可審性。第二,利用網(wǎng)絡(luò)在線測(cè)試功能,檢驗(yàn)整個(gè)系統(tǒng)的完整性,并應(yīng)對(duì)系統(tǒng)抗干擾能力和發(fā)生突發(fā)事件的應(yīng)變能力以及系統(tǒng)遭遇破壞后的恢復(fù)能力進(jìn)行重點(diǎn)測(cè)試。第三,一旦發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)各類軟件可能存在的安全漏洞,應(yīng)立即進(jìn)行在線修補(bǔ)與升級(jí),并將所有與軟件修改有關(guān)的記錄報(bào)告及時(shí)存儲(chǔ)歸檔。
(3)網(wǎng)絡(luò)系統(tǒng)安全控制。第一,硬件設(shè)置安全控制。應(yīng)制定網(wǎng)絡(luò)計(jì)算機(jī)機(jī)房和設(shè)置的管理制度、崗位職責(zé)和操作規(guī)程,嚴(yán)格禁止無(wú)關(guān)人員接觸系統(tǒng),關(guān)鍵的硬件設(shè)置可采用雙系統(tǒng)備份。第二,系統(tǒng)軟件安全控制。嚴(yán)格控制系統(tǒng)軟件的安裝與修改,對(duì)系統(tǒng)軟件進(jìn)行定期檢查,系統(tǒng)被破壞時(shí),要求系統(tǒng)軟件具備緊急響應(yīng)、強(qiáng)制備份、快速恢復(fù)的功能。第三,會(huì)計(jì)信息安全控制。會(huì)計(jì)信息安全的基礎(chǔ)是密碼。如通信線路上的數(shù)據(jù)流加密,數(shù)據(jù)庫(kù)中的數(shù)據(jù)文件加密,及訪問者的身份認(rèn)證等。除此之外,模式識(shí)別的方法也在網(wǎng)絡(luò)信息安全方面得到應(yīng)用。
(4)應(yīng)用控制。應(yīng)用控制是指在網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的數(shù)據(jù)輸入、通訊、處理和輸出環(huán)節(jié)所采用的控制程度和措施。第一,輸入控制。輸入控制的重點(diǎn)在于建立適當(dāng)?shù)氖跈?quán)和審批機(jī)制,并對(duì)輸入數(shù)據(jù)的準(zhǔn)確性進(jìn)行校驗(yàn)。第二,通訊控制。通訊控制的重點(diǎn)在于批量控制,業(yè)務(wù)時(shí)序控制、數(shù)據(jù)編碼控制與發(fā)放和接收的標(biāo)識(shí)控制等。第三,處理控制。處理控制的重點(diǎn)在于處理過程的現(xiàn)場(chǎng)控制、數(shù)據(jù)有效性檢測(cè)和錯(cuò)誤糾正控制等。第四,數(shù)據(jù)輸出控制。輸出控制的重點(diǎn)在于數(shù)據(jù)稽核控制,授權(quán)輸出控制和打印程序控制等。
(三)建立安全防范機(jī)制
安全問題是網(wǎng)絡(luò)財(cái)務(wù)發(fā)展中不可回避的重要問題。在網(wǎng)絡(luò)財(cái)務(wù)中,處在網(wǎng)絡(luò)中的任意一臺(tái)計(jì)算機(jī)都可獲得其他計(jì)算機(jī)的信息資源,本企業(yè)的網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)隨時(shí)都可能受到威脅,企業(yè)的財(cái)務(wù)數(shù)據(jù)等重大商業(yè)機(jī)密很容易遭到破壞或泄密,這將造成不可估量的損失,因而保證網(wǎng)上財(cái)務(wù)信息安全可靠成為了關(guān)注的焦點(diǎn)。建立安全防范機(jī)制,保障網(wǎng)絡(luò)系統(tǒng)的安全性是我們必須要做的工作。
保障網(wǎng)絡(luò)系統(tǒng)的安全性:首先,建立一個(gè)安全、可靠的通信網(wǎng)絡(luò)是非常必要的,這樣可以確保會(huì)計(jì)信息快速安全傳遞;其次,制定網(wǎng)絡(luò)計(jì)算機(jī)機(jī)房和設(shè)備的管理制度、崗位職責(zé)和操作規(guī)程,嚴(yán)格禁止無(wú)關(guān)人員接觸系統(tǒng),加強(qiáng)網(wǎng)絡(luò)財(cái)務(wù)的硬件系統(tǒng)安全;第三,加強(qiáng)系統(tǒng)軟件安全控制。建立定時(shí)檢查更新制度,定期對(duì)網(wǎng)絡(luò)財(cái)務(wù)系進(jìn)行維護(hù) 更新,確保數(shù)據(jù)庫(kù)信息的真實(shí)完整,把一些陳舊的會(huì)計(jì)信息保存起來(lái),及時(shí)上傳新的會(huì)計(jì)信息,以便投資者及時(shí)用于投資決策。 第四,技術(shù)防范措施。一些黑客為了獲取企業(yè)重要的、秘密的信息非法對(duì)網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)的入侵,或者采用病毒對(duì)企業(yè)網(wǎng)絡(luò)財(cái)務(wù)信息進(jìn)行攻擊,使企業(yè)會(huì)計(jì)信息流失。為了防范這種人為的侵襲,應(yīng)采取設(shè)置防火墻、身份認(rèn)證和授權(quán)管理、設(shè)立密鑰等安全技術(shù),限制外界故意的侵入,用以隔離開局應(yīng)用系統(tǒng)與外界訪問區(qū)域之間的聯(lián)系,限制外界穿過訪問區(qū)域?qū)W(wǎng)絡(luò)應(yīng)用系統(tǒng)服務(wù)器尤其是對(duì)會(huì)計(jì)數(shù)據(jù)庫(kù)系統(tǒng)的非法訪問;加強(qiáng)原有的基本賬戶和口令的控制,提供授權(quán)訪問控制和用戶身份識(shí)別。
(四)企業(yè)人才策略
企業(yè)要順應(yīng)市場(chǎng)的競(jìng)爭(zhēng),首先要引進(jìn)高層次會(huì)計(jì)人才,其次,要有計(jì)劃、有步驟、有針對(duì)性地組織開展會(huì)計(jì)人員的培訓(xùn)工作。改善會(huì)計(jì)人員的知識(shí)結(jié)構(gòu),不斷進(jìn)行知識(shí)更新。提高會(huì)計(jì)人員的計(jì)算機(jī)應(yīng)用水平,特別是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù),培養(yǎng)熟悉科技與管理知識(shí)的復(fù)合型會(huì)計(jì)人才,以適應(yīng)國(guó)際競(jìng)爭(zhēng)需要。
一、創(chuàng)建獨(dú)立性、權(quán)威性強(qiáng)的內(nèi)審組織
要圓滿地完成內(nèi)部審計(jì)職責(zé),客觀需要設(shè)有獨(dú)立的審計(jì)機(jī)構(gòu),擁有良好的組織環(huán)境,內(nèi)部審計(jì)應(yīng)向隸屬董事會(huì)和審計(jì)委員會(huì)的環(huán)境模式化方向發(fā)展。這種模式的主要特征是獨(dú)立性,內(nèi)部審計(jì)負(fù)責(zé)人直接對(duì)高級(jí)管理層的董事長(zhǎng)負(fù)責(zé),并向董事長(zhǎng)、董事會(huì)、內(nèi)部審計(jì)委員會(huì)報(bào)告工作,其它各部門和個(gè)人不得干涉內(nèi)審工作,內(nèi)部審計(jì)部門的審計(jì)計(jì)劃是獨(dú)立的計(jì)劃,并由董事會(huì)批準(zhǔn)實(shí)施,可以對(duì)企業(yè)各部門、有關(guān)人員進(jìn)行審計(jì);能夠直接與董事會(huì)交流信息;對(duì)審計(jì)意見,被審計(jì)者要在限期內(nèi)予以落實(shí)并向?qū)徲?jì)部門反饋實(shí)施情況;內(nèi)審部門負(fù)責(zé)人的任免,由董事會(huì)辦公會(huì)議確定。
二、內(nèi)審職能價(jià)值化
內(nèi)部審計(jì)主要是管理控制。未來(lái)的內(nèi)審發(fā)展方向是風(fēng)險(xiǎn)導(dǎo)向型審計(jì),以風(fēng)險(xiǎn)評(píng)估為主,主要是為組織貢獻(xiàn)附加價(jià)值。內(nèi)市職能定位轉(zhuǎn)向價(jià)值化,也就是內(nèi)審必須考慮組織的風(fēng)險(xiǎn)和內(nèi)審的風(fēng)險(xiǎn)防范,降低成本,提高組織的經(jīng)濟(jì)效益,使內(nèi)審接近單位經(jīng)營(yíng)活動(dòng)的價(jià)值鍵,不斷提供附加服務(wù)。
首先,職能價(jià)值化帶來(lái)一系列的審計(jì)理念。內(nèi)部審計(jì)是適應(yīng)公司治理、風(fēng)險(xiǎn)管理。內(nèi)部控制之需要,正如國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)現(xiàn)任主席杰奎琳·瓦格娜指出:環(huán)境的變化給內(nèi)部審計(jì)師帶來(lái)增加價(jià)值的機(jī)會(huì)最多的領(lǐng)域是風(fēng)險(xiǎn)管理和公司治理。至于風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)就是要改變內(nèi)部審計(jì)人員對(duì)于控制與風(fēng)險(xiǎn)的思考,使內(nèi)部審計(jì)人員關(guān)心組織的目標(biāo)和風(fēng)險(xiǎn),使審計(jì)的重點(diǎn)前移到和未來(lái)的規(guī)劃,把目前的經(jīng)營(yíng)管理控制同計(jì)劃、策略和風(fēng)險(xiǎn)的評(píng)估結(jié)合起來(lái),內(nèi)部審計(jì)的工作重點(diǎn)也隨著轉(zhuǎn)向經(jīng)濟(jì)效益審計(jì)和風(fēng)險(xiǎn)管理審計(jì)。
其次,職能價(jià)值化使內(nèi)部審計(jì)目標(biāo)明確。內(nèi)審的目標(biāo)旨在提出規(guī)避風(fēng)險(xiǎn)的建議,使被審對(duì)象有效地履行他們的受托責(zé)任,以提高經(jīng)濟(jì)效益。內(nèi)部審計(jì)的服務(wù)對(duì)象主要是董事會(huì)和最高層管理當(dāng)局。內(nèi)部審計(jì)在資源分配時(shí)著眼于組織的風(fēng)險(xiǎn)和審計(jì)的風(fēng)險(xiǎn);內(nèi)審項(xiàng)目考慮節(jié)省成本和投入產(chǎn)品的比例關(guān)系,比如德、法國(guó)家的投入產(chǎn)出之比為1:10.內(nèi)部審計(jì)效益表現(xiàn)在以下十四個(gè)方面:維護(hù)資產(chǎn)安全和促進(jìn)內(nèi)部控制;有效的經(jīng)營(yíng);管理工作有序協(xié)調(diào);成本的節(jié)約;人力資源的開發(fā);多種制度的建設(shè)和特殊問題的處理;審查合同,降低供應(yīng)成衣公司成員道德水平的提高和正直風(fēng)氣的形成:降低外部審計(jì)費(fèi)用;減少舞弊案的發(fā)生提供溝通管道;認(rèn)定發(fā)評(píng)估企業(yè)風(fēng)險(xiǎn);評(píng)估被審計(jì)單位管理業(yè)績(jī);符合反貪污行賄法的規(guī)定。由此可以看出,內(nèi)部審計(jì)部門將成為一個(gè)直接創(chuàng)造價(jià)值的部門,內(nèi)審的增加價(jià)值功能是內(nèi)審強(qiáng)大生命力的根本所在。
三、內(nèi)審多元化
既內(nèi)審的內(nèi)容以風(fēng)險(xiǎn)評(píng)估為主,涉及組織的所有領(lǐng)域的每個(gè)環(huán)節(jié)、每個(gè)系統(tǒng)。具體為:一是在全球一體化和市場(chǎng)競(jìng)爭(zhēng)日趨激烈的情況下,如何進(jìn)行風(fēng)險(xiǎn)管理已成為內(nèi)部審計(jì)的主要內(nèi)容。內(nèi)審工作的重點(diǎn)就是風(fēng)險(xiǎn)存在的領(lǐng)域;要進(jìn)行事前審計(jì),及早發(fā)現(xiàn)風(fēng)險(xiǎn);實(shí)施審計(jì)意見以最大限度地規(guī)避風(fēng)險(xiǎn),內(nèi)部審計(jì)成為組織風(fēng)險(xiǎn)管理的重要手段;二是內(nèi)部審計(jì)評(píng)估組織經(jīng)營(yíng)管理的全過程;三是內(nèi)部審計(jì)評(píng)估組織的發(fā)生因素,主要是人員、任務(wù)、管理三個(gè)基本組織部分,就產(chǎn)品企業(yè)來(lái)說(shuō),包括政策與目標(biāo)、組織與權(quán)責(zé)、產(chǎn)品與生產(chǎn)、市場(chǎng)與銷售、資金與財(cái)務(wù)、與開發(fā)、信息與商務(wù)、控制與管理等各個(gè)系統(tǒng),有效規(guī)避體系風(fēng)險(xiǎn);四是審計(jì)的類型,主要包括經(jīng)營(yíng)審計(jì)、績(jī)效審計(jì)、遵循性審計(jì)、質(zhì)量審計(jì)、財(cái)務(wù)控制審計(jì)、財(cái)務(wù)報(bào)表審計(jì)以及機(jī)審計(jì)和舞弊審計(jì)等。
四、加強(qiáng)信息化管理
內(nèi)部審計(jì)信息化具有特別重要的意義,它迎合新潮需要,以知識(shí)和信息作為核心資源,融入世界經(jīng)濟(jì)主流;它代表最先進(jìn)的生產(chǎn)力,降低成本、縮短時(shí)間、變窄空間,提高組織國(guó)際競(jìng)爭(zhēng)力;有利于內(nèi)部審計(jì)與最高管理當(dāng)局的交流,突破時(shí)空限制,提供快捷而全面的服務(wù)。
內(nèi)部審計(jì)信息化的思路應(yīng)著重考慮如下幾點(diǎn):一是從戰(zhàn)略的高度進(jìn)行整體規(guī)劃。信息化規(guī)劃實(shí)現(xiàn)資源最優(yōu)配置,在認(rèn)識(shí)上和行為上達(dá)成一致,本著統(tǒng)一規(guī)劃、互聯(lián)互用、資源共享的原則,統(tǒng)一信息目標(biāo),明確信息化方針政策,落實(shí)信息化任務(wù),充分考慮內(nèi)部審計(jì)信息化的資源共享;二是構(gòu)建內(nèi)部審計(jì)信息化的平臺(tái),在平臺(tái)上通過機(jī)網(wǎng)絡(luò)信息交換以實(shí)現(xiàn)內(nèi)部審計(jì)目標(biāo);三是設(shè)計(jì)開發(fā)內(nèi)部審計(jì)軟件,涉及組織運(yùn)行的全方位、全過程,提供多接口、多通道、安全可靠、快捷高效的信息網(wǎng)絡(luò)體系;四是對(duì)信息化的網(wǎng)絡(luò)基礎(chǔ)建設(shè)、信息安全建設(shè)、內(nèi)部審計(jì)師的信息化人才建設(shè)等提出更高的要求。
五、依法規(guī)范運(yùn)作
一、信息技術(shù)為現(xiàn)代控制提供了技術(shù)平臺(tái)
1.計(jì)算速度快,為實(shí)時(shí)監(jiān)控提供了基礎(chǔ)
計(jì)算機(jī)超強(qiáng)的計(jì)算能力,大大的減少了信息處理的時(shí)間,使得事件的發(fā)生和信息的取得幾乎同時(shí)進(jìn)行,這為無(wú)時(shí)滯的實(shí)時(shí)監(jiān)控帶來(lái)了可能。企業(yè)管理者希望在每個(gè)時(shí)段,都可以在事件發(fā)生的同時(shí)看到潛在的危機(jī)和出現(xiàn)的機(jī)遇,而當(dāng)今的信息技術(shù)正好為這種應(yīng)用提供了堅(jiān)實(shí)的基礎(chǔ)。
2.計(jì)算精度高,實(shí)現(xiàn)了對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)的精密控制
手工狀態(tài)下,受人的運(yùn)算、記憶等能力的制約,為了能按時(shí)結(jié)賬、上報(bào)報(bào)表,只能簡(jiǎn)化核算方法和核算內(nèi)容,其結(jié)果是降低了所提供信息的精度。而計(jì)算機(jī)數(shù)據(jù)處理精確度高,從根本上克服了手工方式的這一缺陷,這一方面表現(xiàn)為生產(chǎn)中精益求精的質(zhì)量控制,另一方面表現(xiàn)為對(duì)管理中獨(dú)一無(wú)二加密數(shù)據(jù)進(jìn)行的控制。
3.記憶能力強(qiáng),確保了對(duì)企業(yè)的持續(xù)控制
在知識(shí)經(jīng)濟(jì)時(shí)代,廣泛而長(zhǎng)久的儲(chǔ)存信息是對(duì)信息技術(shù)的基本要求。一方面,進(jìn)行現(xiàn)場(chǎng)處理需要在計(jì)算機(jī)內(nèi)保存大量的程序和信息以便隨時(shí)執(zhí)行和調(diào)用;另一方面,為避免電腦病毒,黑客攻擊,自然災(zāi)害等帶來(lái)的損失,維護(hù)程序及數(shù)據(jù)的備份和恢復(fù)系統(tǒng)以確保企業(yè)的持續(xù)運(yùn)營(yíng)。
4.邏輯判斷能力強(qiáng),使內(nèi)部控制趨于智能化
計(jì)算機(jī)具有邏輯判斷能力,從而能自動(dòng)完成工作。只要人們預(yù)先把處理要求,處理步驟,處理對(duì)象等必備元素儲(chǔ)存在系統(tǒng)內(nèi),計(jì)算機(jī)啟動(dòng)后就可以在不需要人工干預(yù)的情況下按預(yù)定程序自動(dòng)完成預(yù)定的處理任務(wù)。它除了能夠避免人工計(jì)算可能產(chǎn)生的諸如疲勞、粗心等所導(dǎo)致的各種錯(cuò)誤外,還能進(jìn)一步拓展應(yīng)用范圍,進(jìn)行諸如資料分類、情報(bào)檢索、歸納推理等具有邏輯加工性質(zhì)的工作。
5.傳輸網(wǎng)絡(luò)化,使內(nèi)部控制由分散趨于集中
網(wǎng)絡(luò)技術(shù)最大的便利就在于消除了時(shí)空距離。網(wǎng)絡(luò)用戶可以通過網(wǎng)絡(luò)服務(wù)共享信息、協(xié)同工作,而不受時(shí)間、地理范圍的局限,也避免了由于時(shí)區(qū)不同造成的混亂,這為現(xiàn)代企業(yè)的集中控制提供了可能。基于網(wǎng)絡(luò)技術(shù)的現(xiàn)代企業(yè)信息系統(tǒng),比如ERP等,為集中控制的扁平化結(jié)構(gòu)提供了技術(shù)基礎(chǔ)。
二、信息系統(tǒng)為現(xiàn)代控制提供了應(yīng)用平臺(tái)
1.系統(tǒng)整體性,有助于信息整合,是事件驅(qū)動(dòng)型流程控制的基礎(chǔ)
整體性是指系統(tǒng)的有機(jī)統(tǒng)一性,即整體綜合效應(yīng)大于各個(gè)要素功能簡(jiǎn)單求和的基本特征。事件驅(qū)動(dòng)型系統(tǒng)的優(yōu)點(diǎn)主要體現(xiàn)在,系統(tǒng)專注于業(yè)務(wù)事件會(huì)促成企業(yè)中各職能部門的融合,并促使財(cái)務(wù)數(shù)據(jù)和非財(cái)務(wù)數(shù)據(jù)融為一體,而所儲(chǔ)存的業(yè)務(wù)活動(dòng)的多方面細(xì)節(jié)將能靈活的提供更完整,更有價(jià)值的信息。集成存儲(chǔ)所有業(yè)務(wù)數(shù)據(jù),而不是存儲(chǔ)生成特定用戶所必需的數(shù)據(jù),減少了數(shù)據(jù)的重復(fù)存儲(chǔ),降低了數(shù)據(jù)的不一致性。將信息處理嵌入業(yè)務(wù)過程的集成處理可實(shí)現(xiàn)實(shí)時(shí)控制,促進(jìn)業(yè)務(wù)重組,實(shí)現(xiàn)處理過程自動(dòng)化,使人們的注意力從業(yè)務(wù)流程轉(zhuǎn)移到面向靈活多變的面向決策的任務(wù)。
2.系統(tǒng)層次性,有助于分工合作,是劃分一般控制、應(yīng)用控制和專業(yè)控制的基礎(chǔ)
系統(tǒng)中各個(gè)組成要素是按照一定的次序和方式進(jìn)行的有機(jī)組合,而不是雜亂無(wú)章的堆積。系統(tǒng)中各組成要素在地位、作用結(jié)構(gòu)與功能上表現(xiàn)出層次性,這為劃分一般控制、應(yīng)用控制和專業(yè)控制奠定了基礎(chǔ)。
3.系統(tǒng)開放性,有助于適應(yīng)環(huán)境
系統(tǒng)具有不斷地與外界環(huán)境進(jìn)行物質(zhì)、能量、信息交換的性質(zhì)與功能,系統(tǒng)向環(huán)境開放是系統(tǒng)得以存在的條件。系統(tǒng)之對(duì)于環(huán)境,既不能完全封閉,也不能完全開放。有條件、有選擇、有過濾性地向環(huán)境開放,既能使系統(tǒng)保持一定的自主性,也能使系統(tǒng)具有應(yīng)付外來(lái)環(huán)境變化的靈活性,以利于自身的發(fā)展。
三、信息技術(shù)環(huán)境下會(huì)計(jì)內(nèi)部控制存在的新問題
1.交易授權(quán)批準(zhǔn)缺乏有效控制機(jī)制
在信息技術(shù)環(huán)境下,權(quán)限分工的主要形式是口令授權(quán),業(yè)務(wù)人員可以利用特殊的授權(quán)文件或口令,獲得某種權(quán)利并運(yùn)行特定程序進(jìn)行業(yè)務(wù)處理,一旦泄漏可能引起失控并造成損失。
2.程序化操作使差錯(cuò)反復(fù)發(fā)生
程序控制處理結(jié)構(gòu)化的基礎(chǔ)作業(yè),它的質(zhì)量好壞直接決定整個(gè)內(nèi)部控制的質(zhì)量,若應(yīng)用程序中存在著嚴(yán)重的BUG或惡意的后門,便會(huì)嚴(yán)重危害系統(tǒng)安全,并且不易被發(fā)現(xiàn),導(dǎo)致差錯(cuò)的反復(fù)發(fā)生。
3.數(shù)據(jù)安全性差
計(jì)算機(jī)的儲(chǔ)存方式是將信息轉(zhuǎn)化為電子形式存儲(chǔ)在磁介質(zhì)之上,而儲(chǔ)存在磁介質(zhì)上的數(shù)據(jù)極易被篡改甚至偽造且不留痕跡,這給控制帶來(lái)了一定的難度,同時(shí)也給一些不法行為提供了機(jī)會(huì)。
4.核算軟件可審性弱
由于會(huì)計(jì)電算化制度的不完善,大部分會(huì)計(jì)核算軟件可審性極弱,因而給審計(jì)工作帶來(lái)極大困難。現(xiàn)有的會(huì)計(jì)核算軟件缺乏設(shè)立明晰的審計(jì)線索的設(shè)計(jì)思想,不能保證計(jì)算機(jī)審計(jì)監(jiān)督。
5.網(wǎng)絡(luò)開放性危害及信息安全
隨著信息社會(huì)人們對(duì)信息質(zhì)量的要求提高,會(huì)計(jì)信息系統(tǒng)從封閉型向開放型發(fā)展。開放型會(huì)計(jì)軟件以實(shí)現(xiàn)廣域化和信息一體化為基本特征。而這種充分開放使得一切信息在理論上都可以被訪問到。因此網(wǎng)絡(luò)環(huán)境下的信息系統(tǒng)很難避免被非法訪問和侵襲,極有可能遭到黑客對(duì)信息的非法竊取和病毒對(duì)信息的胡亂篡改。這種危險(xiǎn)既可能來(lái)自內(nèi)部也可能來(lái)自外部,如果對(duì)于比較大的企業(yè)或者非常重要的政府部門,那么這種信息被竊取或被篡改所帶來(lái)的損失將會(huì)是無(wú)法估計(jì)的,所以開放式的網(wǎng)絡(luò)環(huán)境威脅到信息的安全,威脅到企業(yè)的生存和發(fā)展
四、信息技術(shù)環(huán)境下完善會(huì)計(jì)內(nèi)部控制的對(duì)策
1.加強(qiáng)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制制度體系建設(shè)
完善的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制制度是確保會(huì)計(jì)信息系統(tǒng)正常有效運(yùn)行,實(shí)現(xiàn)會(huì)計(jì)目標(biāo)的根本保證。企業(yè)應(yīng)從組織控制、授權(quán)控制、操作控制等入手,建立健全內(nèi)部控制制度。
2.提高信息系統(tǒng)開發(fā)質(zhì)量
開發(fā)應(yīng)用系統(tǒng),除了強(qiáng)調(diào)一些技術(shù)特征外,更應(yīng)確保業(yè)務(wù)活動(dòng)被正確處理,最大可能地防范風(fēng)險(xiǎn)。在系統(tǒng)設(shè)計(jì)和開發(fā)過程中應(yīng)加強(qiáng)控制機(jī)制的設(shè)計(jì),以幫助用戶發(fā)現(xiàn)或糾正錯(cuò)弊。
3.加強(qiáng)網(wǎng)絡(luò)安全與防范
網(wǎng)絡(luò)的開放性使數(shù)據(jù)信息的不安全性加大,為了加強(qiáng)企業(yè)的內(nèi)部控制,我們必須加強(qiáng)網(wǎng)絡(luò)的安全性。計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)角度上來(lái)說(shuō),主要由防病毒、防火墻、入侵檢測(cè)等多個(gè)安全組件組成,一個(gè)單獨(dú)的組件無(wú)法確保網(wǎng)絡(luò)信息的安全性。目前廣泛應(yīng)用且比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測(cè)技術(shù)、防病毒技術(shù)等。
4.網(wǎng)上公正形成三方牽制
由于信息技術(shù)環(huán)境下原始憑證以數(shù)據(jù)方式存儲(chǔ),所以不能像手工系統(tǒng)那樣對(duì)每一張憑證做痕跡檢驗(yàn),可是利用網(wǎng)絡(luò)技術(shù)所特有的實(shí)時(shí)傳輸和日益豐富的互聯(lián)網(wǎng)服務(wù)項(xiàng)目,則可以實(shí)現(xiàn)原始交易憑證的第三方監(jiān)控即網(wǎng)上公正。
5.增強(qiáng)核算軟件的可審性
在手工系統(tǒng)中,憑證,賬簿和報(bào)表嚴(yán)格按照一定標(biāo)準(zhǔn)和程序填寫登記,所形成的紙質(zhì)審計(jì)線索高度可視,較為有效。但利用信息技術(shù)記載和再現(xiàn)原始業(yè)務(wù)依然可行。核算軟件應(yīng)當(dāng)增強(qiáng)可審性,方便利用電子審計(jì)線索追溯業(yè)務(wù)的來(lái)龍去脈。
由此可見,信息技術(shù)環(huán)境下的內(nèi)部控制,挑戰(zhàn)與機(jī)遇并存,有效地內(nèi)部控制不在于運(yùn)用過多的審核人員,而在于利用信息時(shí)代的控制哲學(xué)與控制技術(shù)實(shí)現(xiàn)對(duì)業(yè)務(wù)和信息過程的充分控制。信息系統(tǒng)中的內(nèi)部控制是否設(shè)計(jì)得當(dāng)決定了該系統(tǒng)的生死存亡。
參考文獻(xiàn)
[1]王曉明.會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)管理[J].合作經(jīng)濟(jì)與科技,2009,3.
【關(guān)鍵詞】 飯店信息系統(tǒng);教學(xué)改革
【中圖分類號(hào)】G642.09 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】2095-3089(2013)33-0-01
隨著信息技術(shù)的飛速發(fā)展,計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)得到了迅速的普及和發(fā)展,酒店的管理越來(lái)越倚重管理信息系統(tǒng),通過管理系統(tǒng)管理,極大地提高酒店管理水平和服務(wù)效率,減少失誤,提高酒店經(jīng)濟(jì)效益和綜合效益。
為了適應(yīng)酒店業(yè)對(duì)信息化人才的需要,越來(lái)越多的職業(yè)學(xué)院酒店管理專業(yè)把《酒店信息系統(tǒng)》課程列為專業(yè)必修課程。由于課程開設(shè)時(shí)間短、軟件投入大、針對(duì)性教材缺乏等現(xiàn)實(shí)原因,酒店管理信息課程實(shí)際教學(xué)過程中仍存在偏重計(jì)算機(jī)知識(shí)講授,上課內(nèi)容與酒店真實(shí)環(huán)境脫節(jié)、學(xué)生操作實(shí)踐不足等問題。酒店信息系統(tǒng)課程教學(xué)改革基于能力本位,利用實(shí)訓(xùn)室安裝的三大酒店信息系統(tǒng)為硬件基礎(chǔ),構(gòu)建酒店真實(shí)運(yùn)營(yíng)情景,模擬酒店真實(shí)運(yùn)轉(zhuǎn)環(huán)境,從培養(yǎng)目標(biāo)、授課內(nèi)容、教學(xué)組織、教學(xué)手段、教學(xué)評(píng)價(jià)五個(gè)方面開展改革,使學(xué)生獲得未來(lái)職業(yè)發(fā)展所需的職業(yè)能力,酒店信息系統(tǒng)課程不但教授學(xué)生如何使用三大酒店信息系統(tǒng)軟件,更將學(xué)習(xí)重點(diǎn)落在“運(yùn)用信息技術(shù)管理酒店”上,即了解系統(tǒng)應(yīng)用情況,選擇合適的信息技術(shù)來(lái)管理酒店,提高酒店經(jīng)濟(jì)收益和服務(wù)質(zhì)量。
一、完備實(shí)訓(xùn)設(shè)施,構(gòu)建一流課程實(shí)訓(xùn)條件
在學(xué)院和酒店管理信息系統(tǒng)供應(yīng)公司的共同努力下,學(xué)院高規(guī)格建設(shè)了酒店信息系統(tǒng)實(shí)訓(xùn)室,與北京時(shí)機(jī)信息科技股份有限公司合作,購(gòu)買當(dāng)前國(guó)際國(guó)內(nèi)酒店業(yè)使用最普及、最受歡迎的三大酒店信息系統(tǒng)管理軟件:Opera酒店管理軟件、Fidelio酒店管理軟件和西湖酒店管理軟件,按照5星酒店規(guī)格裝修設(shè)計(jì)模擬前廳、商務(wù)中心,行李房、總機(jī)等及可以容納60位同學(xué)同時(shí)進(jìn)行上機(jī)操作練習(xí)的酒店信息系統(tǒng)課程專用機(jī)房,學(xué)生可以在學(xué)校全真環(huán)境下模擬真實(shí)酒店前廳運(yùn)作的全過程,利用管理軟件進(jìn)行酒店經(jīng)營(yíng)管理訓(xùn)練。
二、以職業(yè)能力為導(dǎo)向,明確人才培養(yǎng)目標(biāo)
酒店管理專業(yè)學(xué)生所需具備的職業(yè)能力包括職業(yè)道德和職業(yè)能力兩個(gè)方面。職業(yè)道德包括優(yōu)秀的個(gè)性品德、強(qiáng)烈的酒店意識(shí)、高尚的職業(yè)道德。職業(yè)能力包括服務(wù)技能、溝通能力、顧客協(xié)調(diào)技能、執(zhí)行技能、外語(yǔ)技能、管理技能等。酒店管理信息系統(tǒng)是由酒店管理人員、計(jì)算機(jī)硬件與軟件、網(wǎng)絡(luò)、辦公設(shè)備等組成的能進(jìn)行酒店管理信息的收集、傳遞、儲(chǔ)存、加工、維護(hù)和使用,以提高酒店效益和效率為目的,并能為酒店進(jìn)行決策、控制、運(yùn)作的人機(jī)系統(tǒng)。課程的教學(xué)目標(biāo)是使學(xué)生認(rèn)識(shí)信息技術(shù)對(duì)提高酒店管理效益的重要作用,使學(xué)生掌握酒店管理信息系統(tǒng)的實(shí)際操作,了解酒店先進(jìn)信息技術(shù)應(yīng)用情況,具備利用信息系統(tǒng)技術(shù)在酒店開展管理的初步能力。具體包括以下三個(gè)目標(biāo):
(一)模擬酒店情境,培養(yǎng)實(shí)際操作能力。熟練的服務(wù)技能有助于學(xué)生迅速適應(yīng)酒店工作,所以在日常的教學(xué)和實(shí)習(xí)實(shí)訓(xùn)中要模擬酒店的工作環(huán)境以培養(yǎng)學(xué)生的實(shí)際操作能力。該門課程的首要目標(biāo)是使學(xué)生熟練掌握一套酒店管理信息系統(tǒng),能夠運(yùn)用這套系統(tǒng)完成客人的預(yù)定、登記入住、消費(fèi)入賬、客房管理、賬務(wù)審核、經(jīng)理查詢、系統(tǒng)維護(hù)等操作。目前許多院校都引進(jìn)了國(guó)內(nèi)外知名的酒店管理信息系統(tǒng),筆者所在學(xué)院引進(jìn)了全國(guó)用戶最多的Opera、Fidelio和西湖軟件系統(tǒng)。該系統(tǒng)數(shù)據(jù)庫(kù)中有大量仿真的酒店客房數(shù)據(jù)、經(jīng)營(yíng)數(shù)據(jù)以及顧客數(shù)據(jù),充分模擬了酒店情境。
(二)細(xì)化顧客信息,培養(yǎng)信息管理能力。酒店管理專業(yè)學(xué)生在能夠利用軟件進(jìn)行基本業(yè)務(wù)操作的基礎(chǔ)上,還必須能力利用系統(tǒng)軟件來(lái)?yè)Q取酒店全面信息,能夠?qū)π畔⑦M(jìn)行分析、處理,運(yùn)用信息技術(shù)管理飯店。在信息系統(tǒng)課程教學(xué)過程中緊密結(jié)合酒店信息流,學(xué)生全面掌握酒店管理過程中需要掌握的信息,實(shí)際經(jīng)營(yíng)中的難點(diǎn)與矛盾。比如客史檔案信息,不但掌握客史檔案的創(chuàng)建,同時(shí)更理解客史檔案與酒店優(yōu)質(zhì)化服務(wù)作用。學(xué)生不但需要掌握酒店前臺(tái)管理系統(tǒng)外,同時(shí)還需要了解酒店后臺(tái)管理系統(tǒng),如人力、財(cái)務(wù)等模塊的業(yè)務(wù),這些知識(shí)的掌握對(duì)學(xué)生未來(lái)從事酒店管理中、高層的管理具有極大的幫助
(三)采用案例案例,培養(yǎng)學(xué)時(shí)實(shí)際分析問題能力。通過學(xué)生軟件模擬操練、酒店真實(shí)案例分析等授課途徑,不但培養(yǎng)學(xué)生的酒店業(yè)務(wù)工作能力,同時(shí)對(duì)學(xué)生的分析能力、綜合處理問題的能力工作進(jìn)一步培養(yǎng),達(dá)到酒店職業(yè)要求和學(xué)生職業(yè)化的最大融合。通過案例,學(xué)生深刻理解客戶信息管理制度與客戶信息安全的關(guān)系;客戶信息與個(gè)性化、定制服務(wù)的關(guān)系;客房收益管理與酒店?duì)I業(yè)收入的關(guān)系;普通客人與VIP接待區(qū)別處理;客人消費(fèi)賬戶及客戶信息安全;客房設(shè)施設(shè)備的維護(hù)、客房房態(tài)的管理等。
三、圍繞酒店崗位需求與職業(yè)標(biāo)準(zhǔn),開展全真仿真教學(xué)
(一)配置酒店主流軟件,進(jìn)行比較教學(xué)。目前酒店業(yè)使用的管理軟件數(shù)量繁多,使用最為普及的有三種,F(xiàn)ielio、Opera和西湖軟件,為讓學(xué)生盡可能擴(kuò)大知識(shí)面,學(xué)院根據(jù)酒店管理實(shí)際投入大量資金,購(gòu)買三種管理軟件,開展比較教學(xué)。
(二)邊學(xué)邊練,理論教學(xué)實(shí)踐鍛煉結(jié)合。目前酒店管理信息系統(tǒng)常用教材,均相對(duì)理論化,偏重管理信息系統(tǒng)功能介紹,與明確的管理軟件數(shù)據(jù)接入不同意,理論與操作難同步開展,教學(xué)效果差。在該教學(xué)改革模式中,采用業(yè)務(wù)功能模塊教學(xué),分為六個(gè)業(yè)務(wù)模塊,系統(tǒng)概論、預(yù)定、入住、收銀、客房管理、系統(tǒng)維護(hù)與夜審等,課前自學(xué)系統(tǒng)功能操作與系統(tǒng)要求,布置小組作業(yè),利用管理軟件時(shí)間操作,熟悉操作要求,發(fā)現(xiàn)問題、分析問題、解決問題,實(shí)現(xiàn)單一的灌輸式學(xué)習(xí)向自主學(xué)習(xí)轉(zhuǎn)化。
(三)精確操作規(guī)范,嚴(yán)格規(guī)范要求。根據(jù)教學(xué)規(guī)范,將軟件核心功能進(jìn)行簡(jiǎn)化歸納,實(shí)現(xiàn)課堂教學(xué)內(nèi)容濃縮,在教學(xué)中從系統(tǒng)的初始化、數(shù)據(jù)準(zhǔn)備、開始運(yùn)作、輸出結(jié)果等使學(xué)生掌握一個(gè)完整的操作過程,對(duì)系統(tǒng)有完備的了解,幫助學(xué)生更快適應(yīng)酒店工作。因此,在教學(xué)中注重各應(yīng)用模塊功能和工作流程的完整性,時(shí)間操作按照酒店規(guī)范要求,登錄必須輸入用戶名和密碼,規(guī)定嚴(yán)格的部門和員工操作權(quán)限。學(xué)生從系統(tǒng)初始化做起,開展客房狀態(tài)設(shè)置、參數(shù)定義、房間預(yù)定、接待入住、換房、續(xù)住、退房、結(jié)賬等常規(guī)業(yè)務(wù)處理,完成酒店前臺(tái)、后臺(tái)、夜審等功能。
四、以職業(yè)能力為導(dǎo)向,創(chuàng)新教學(xué)方法
(一)角色扮演,情景模擬練習(xí)。在六個(gè)業(yè)務(wù)模塊的學(xué)習(xí)過程中,不同的同學(xué)扮演不同的角色,分別扮演客人,酒店員工,管理人員和督導(dǎo),模擬酒店預(yù)定、入住、離店情境,由學(xué)生扮演具體崗位工作人員,自主獨(dú)立進(jìn)行相關(guān)的操作和問題處理。最后同學(xué)點(diǎn)評(píng)與老師點(diǎn)評(píng)相結(jié)合,指出問題與完成規(guī)范的地方。
(二)團(tuán)隊(duì)合作,小組聯(lián)系,提升溝通協(xié)作能力。溝通能力是酒店管理人員與員工必須掌握核心技能之一,酒店業(yè)務(wù)繁多,部門綜多,且隨時(shí)可能發(fā)生各種突然事情,復(fù)雜的客情、各種突發(fā)事件的處理需要各部門通力協(xié)助,良好的溝通、協(xié)調(diào)能力是高效地解決問題、順利開展工作基礎(chǔ)。該課程在教學(xué)過程中,將所有的學(xué)生按照5人一小組分組,小組內(nèi)部定管理人員、普通員工、客人、督導(dǎo)等角色,分工協(xié)作,明確職責(zé)。根據(jù)下達(dá)的任務(wù),結(jié)合酒店真實(shí)工作環(huán)境,開展業(yè)務(wù)學(xué)習(xí)。通過團(tuán)隊(duì)作業(yè)培養(yǎng)學(xué)生的協(xié)作式學(xué)習(xí)能力與增強(qiáng)學(xué)生的團(tuán)隊(duì)意識(shí)。
五、重視過程性評(píng)價(jià),改革課程評(píng)價(jià)體系
對(duì)學(xué)生的學(xué)習(xí)評(píng)價(jià)不僅重視期末考核,同時(shí)重視過程性評(píng)價(jià),將階段評(píng)價(jià)和期末評(píng)價(jià)相結(jié)合。并且要強(qiáng)調(diào)評(píng)價(jià)的多元化,學(xué)生參與對(duì)同學(xué)之間的學(xué)習(xí)過程評(píng)價(jià)。團(tuán)隊(duì)作業(yè)的評(píng)分由授課老師和其他小組的組長(zhǎng)來(lái)共同決定評(píng)分等級(jí)。
(一)理論知識(shí)評(píng)價(jià)。通過期末閉卷考試進(jìn)行評(píng)測(cè)。
檔案是一種重要的社會(huì)信息資源,對(duì)于檔案信息資源不僅要保障其保密性,還要能夠充分開發(fā)利用其中所含有的信息。本文就高校檔案管理保密工作的問題進(jìn)行分析,提出幾點(diǎn)建議。
【關(guān)鍵詞】
檔案管理;保密;對(duì)策
檔案資料對(duì)于用戶本身意義重大,因此檔案管理的管理工作一定要做好,檔案的開放并不意味著放棄保護(hù),而是在遵循保密規(guī)則的基礎(chǔ)上進(jìn)行正確有序的開發(fā)檔案。如何做好檔案管理的開放工作,需要工作人員對(duì)保密法以及相關(guān)制度規(guī)定非常熟悉,此外還需要工作人員能夠嚴(yán)格執(zhí)行法律法規(guī),進(jìn)而做好檔案的保密工作。
1 檔案管理工作現(xiàn)狀
1.1 對(duì)檔案管理的認(rèn)識(shí)不足
高校的檔案涉及到高校教師與學(xué)生的信息安全,檔案中記錄了學(xué)?;顒?dòng)的全過程,其中包含著教師的工作細(xì)節(jié)、學(xué)生的獎(jiǎng)懲事宜等等,在學(xué)校人動(dòng)或者調(diào)查學(xué)生的詳細(xì)情況時(shí),可以進(jìn)行參考,進(jìn)而能夠保障高校工作的順利進(jìn)行。但是很多學(xué)校都沒有正視檔案的重要性,在就是學(xué)校本身對(duì)檔案管理人員的教育不足,進(jìn)而導(dǎo)致檔案管理人員忽視了檔案的保密工作的重要性。
1.2 檔案丟失現(xiàn)象嚴(yán)重
由于上級(jí)領(lǐng)導(dǎo)對(duì)檔案管理人員的保密教育不足以及檔案管理人員沒有認(rèn)識(shí)到檔案的重要性,導(dǎo)致檔案丟失現(xiàn)象十分嚴(yán)重。其次造成檔案丟失的原因還包括工作人員入職前為進(jìn)行正規(guī)的培訓(xùn),從而造成檔案不能夠嚴(yán)格的執(zhí)行登記、審核、簽字以及復(fù)查等一系列工作程序,情況嚴(yán)重的還會(huì)造成檔案丟失和損壞。學(xué)校檔案管理人員的工作態(tài)度能夠直接影響到學(xué)校檔案的管理質(zhì)量,檔案管理質(zhì)量的好壞會(huì)直接或間接的影響到學(xué)校的正常工作。
1.3 學(xué)校保密措施力度不足
計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,使得保險(xiǎn)箱、防盜門、監(jiān)控器以及防盜器等高科技產(chǎn)品應(yīng)用到了學(xué)校的各種重要設(shè)施中。雖然檔案管理同樣加強(qiáng)了現(xiàn)代化設(shè)備大的使用,但是由于一些學(xué)校對(duì)檔案管理的重視程度較低,進(jìn)而投入的經(jīng)費(fèi)較少,從而導(dǎo)致硬件設(shè)施的落后,除此之外,一些學(xué)校僅僅加強(qiáng)了計(jì)算機(jī)在檔案管理中的應(yīng)用,但是對(duì)于檔案管理的信息化建設(shè)還不完善,計(jì)算機(jī)中的漏洞等對(duì)檔案保密工作的影響十分巨大。
1.4 檔案管理職責(zé)分工不明確
學(xué)校檔案管理工作需要極高的技術(shù)性和專業(yè)性知識(shí)。高校除了要建立完善的檔案管理制度之外,還要明確工作人員的職責(zé)分工。健全的檔案管理制度能夠極大的防止檔案管理過程中不良行為的出現(xiàn)。但是目前許多學(xué)校由于分工不明確,檔案管理制度不健全,進(jìn)而造成檔案保密工作不到位。
2 做好檔案管理的保密工作的建議
2.1 加強(qiáng)對(duì)學(xué)校檔案管理的認(rèn)識(shí)
由于檔案中的資料涉及到許多學(xué)校教師與學(xué)生的一些機(jī)密資料,學(xué)校的高層和檔案管理人員要加強(qiáng)對(duì)檔案保密工作的重視,特別是檔案。并且要能夠正確的分析和認(rèn)識(shí)學(xué)校檔案中的資料具有的現(xiàn)實(shí)意義和歷史作用。除此之外,學(xué)校還應(yīng)該能夠確定檔案的保密級(jí)別以及保密期限,防止檔案信息的泄露對(duì)學(xué)校造成重大的損失。
2.2 完善檔案庫(kù)房管理
隨著科學(xué)技術(shù)的不斷更新,學(xué)校應(yīng)該引進(jìn)一部分新型硬件設(shè)施到檔案管理體系中來(lái)。學(xué)校想加強(qiáng)檔案管理保密工作的進(jìn)行,首先應(yīng)該將檔案庫(kù)房建設(shè)好,檔案庫(kù)房應(yīng)該采用專用的防盜門、加固窗戶,除此之外,庫(kù)房?jī)?nèi)外需要安裝監(jiān)控設(shè)備,從而能夠極大的提高檔案管理的保密性。除了防護(hù)措施外,還應(yīng)該在檔案存放地點(diǎn)建立索引以及文件保密級(jí)別目錄,使檔案能夠科學(xué)的、有效的使用。
2.3 加強(qiáng)檔案監(jiān)督工作
加強(qiáng)檔案監(jiān)督工作應(yīng)該首先建立完善的檔案閱覽制度、外界制度以及復(fù)制制度,從而規(guī)范檔案利用的審批手續(xù)。其次根據(jù)人員的不同劃分不同的使用范圍,防止保密性級(jí)別高的檔案被隨意的閱覽。此外檔案管理人員要勤快,對(duì)于有問題的檔案應(yīng)該及時(shí)的處理,并且在檔案登記簿上進(jìn)行備注說(shuō)明。檔案管理人員還應(yīng)該做好檔案的審查工作,其中審查工作包括初審、中審以及終審。除此之外。還有做好方案的解密工作,對(duì)已過保密期限的檔案列入可以查閱和使用的范圍,進(jìn)而有效的提高檔案的使用效率。
2.4強(qiáng)化檔案管理人員的責(zé)任意識(shí)
檔案管理人員是檔案管理體系中最重要的部分,提高檔案管理人員的安全意識(shí)、責(zé)任意識(shí)以及保密意識(shí)是做好學(xué)校檔案保密工作的前提和基礎(chǔ)。除此之外,檔案管理人員要具備極高的責(zé)任心和保密意識(shí),檔案管理人員不僅要保障檔案完整和安全,還有能夠避免檔案的丟失,確保檔案的安全,完成高校檔案的管理工作。檔案管理人員在日常工作中,要時(shí)刻保持警惕和保密意識(shí),確保檔案資料不外泄。
3 結(jié)語(yǔ)
總之,檔案的保密管理問題是現(xiàn)實(shí)工作中經(jīng)常遇到的一個(gè)實(shí)際問題,我們一定要嚴(yán)肅對(duì)待。在檔案管理工作中,檔案保密和檔案維護(hù)安全始終是放在首位的,在能夠保障檔案保密以及維護(hù)安全的基礎(chǔ)下,進(jìn)行科學(xué)管理、解密等措施,能夠極大的提高檔案的使用價(jià)值,進(jìn)而能夠有效的避免由于檔案的泄露造成重大損失這一情況。
【參考文獻(xiàn)】
[1] 王麗華 論我國(guó)檔案保密工作的現(xiàn)狀及對(duì)策[J]-黑龍江科技信息2011(31)
[2] 房磊 人防工程檔案管理中應(yīng)注意的幾個(gè)問題[J]-蘭臺(tái)世界2011(z1)
[3] 邵永慧 淺談行政事業(yè)單位財(cái)務(wù)會(huì)計(jì)管理中存在的問題與對(duì)策[J]-中國(guó)鄉(xiāng)鎮(zhèn)企業(yè)會(huì)計(jì)2012(3)
計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)使世界進(jìn)入信息。Internet與電子商務(wù)的迅速發(fā)展正使企業(yè)的經(jīng)營(yíng)方式和管理模式發(fā)生重大變化。探索網(wǎng)絡(luò)經(jīng)營(yíng)和網(wǎng)絡(luò)財(cái)會(huì)條件下的審計(jì),是審計(jì)機(jī)構(gòu)和審計(jì)人員面臨的新任務(wù)和新挑戰(zhàn)。本文嘗試探討網(wǎng)絡(luò)經(jīng)營(yíng)與網(wǎng)絡(luò)財(cái)會(huì)對(duì)審計(jì)的影響,以及網(wǎng)絡(luò)化條件下審計(jì)的特點(diǎn)與變化方向。
一、網(wǎng)絡(luò)經(jīng)營(yíng)與網(wǎng)絡(luò)財(cái)會(huì)對(duì)審計(jì)的影響
1.審計(jì)環(huán)境的改變隨著Internet的普及與發(fā)展,電子商務(wù)勢(shì)不可擋。電子商務(wù)大大地改變了企業(yè)的交易模式,為企業(yè)開辟了更廣闊的市場(chǎng)。企業(yè)可以把產(chǎn)品資料、銷售合同樣本、付款方式與折扣條件等都放到企業(yè)的網(wǎng)頁(yè)上,客戶一年365天、一天24小時(shí),隨時(shí)都可以訪問查閱,不受上下班時(shí)間和假日的限制。客戶可以從網(wǎng)上了解商品,詢問價(jià)格,簽定合同,發(fā)送訂單,甚至可以直接在網(wǎng)上設(shè)計(jì)自己喜歡的商品。例如,通用汽車公司別克牌汽車制造廠,在網(wǎng)上為客戶提供自行設(shè)計(jì)所喜歡的汽車服務(wù)??蛻艨梢詮目蛇x擇的方案中分別就車身、車架、發(fā)動(dòng)機(jī)、輪胎、顏色、車內(nèi)結(jié)構(gòu)等作具體的選擇,并從屏幕上即時(shí)看到自己選擇的部件組裝成的汽車模樣及其價(jià)格。客戶還可以利用模擬駕駛軟件進(jìn)行駕駛試驗(yàn),直到滿意自己的設(shè)計(jì)結(jié)果并可立即在網(wǎng)上填寫訂單。企業(yè)可以通過網(wǎng)絡(luò)確認(rèn)交易,出口報(bào)關(guān),發(fā)送商品(僅限于信息產(chǎn)品),傳送發(fā)貨單和發(fā)票,劃賬結(jié)匯等等。隨著電子商務(wù)的推廣,企業(yè)面對(duì)一個(gè)全新的網(wǎng)上空間,交易與信息以光速在網(wǎng)上傳遞。
網(wǎng)絡(luò)技術(shù)與電子商務(wù)不僅改變了企業(yè)傳統(tǒng)的交易模式,而且使企業(yè)內(nèi)部的經(jīng)營(yíng)管理發(fā)生了質(zhì)的變化,企業(yè)的運(yùn)作由計(jì)算機(jī)信息系統(tǒng)(如ERP系統(tǒng))按先進(jìn)的管理模式控制與管理。例如,當(dāng)企業(yè)收到客戶訂單,系統(tǒng)將自動(dòng)檢查該客戶是否為經(jīng)核準(zhǔn)的賒銷客戶,如果是賒銷客戶,系統(tǒng)自動(dòng)檢查該客戶的欠款有無(wú)超過賒銷期、原有欠款加上本次訂貨金額有無(wú)超過其貸項(xiàng)限額,超過的訂單將被掛起并通知客戶,直到客戶歸還欠款或經(jīng)有關(guān)主管特別批準(zhǔn)才能發(fā)貨,如果不是賒銷客戶,系統(tǒng)控制先收款后發(fā)貨。一旦客戶的訂購(gòu)被確認(rèn)生效,通過企業(yè)內(nèi)部網(wǎng),訂單會(huì)自動(dòng)進(jìn)入企業(yè)的生產(chǎn)計(jì)劃,由計(jì)算機(jī)自動(dòng)安排并組織生產(chǎn)。系統(tǒng)按事先定義的產(chǎn)品材料結(jié)構(gòu),根據(jù)生產(chǎn)計(jì)劃制定材料采購(gòu)計(jì)劃。系統(tǒng)按生產(chǎn)訂單和產(chǎn)品用料配方向倉(cāng)庫(kù)發(fā)出發(fā)料通知。確認(rèn)發(fā)料時(shí),系統(tǒng)自動(dòng)編制轉(zhuǎn)賬分錄,進(jìn)行生產(chǎn)領(lǐng)料核算,同時(shí)監(jiān)控材料庫(kù)存量,一旦達(dá)到再訂貨點(diǎn),將通知采購(gòu)部門按計(jì)劃購(gòu)料。企業(yè)的經(jīng)營(yíng)管理走向網(wǎng)絡(luò)化與自動(dòng)化。
除了使企業(yè)的經(jīng)營(yíng)與管理方式改變外,電子商務(wù)和Internet的興起,還帶來(lái)了一種前所未有的企業(yè)——沒有經(jīng)營(yíng)場(chǎng)地、沒有物理實(shí)體、沒有確定辦公地點(diǎn)的虛擬企業(yè)。這些企業(yè)只要在Internet的一個(gè)結(jié)點(diǎn)上租用一定的空間,經(jīng)過數(shù)字認(rèn)證機(jī)構(gòu)的認(rèn)證,即可在網(wǎng)上接受訂單、尋找貨源,進(jìn)行買賣。其辦公地點(diǎn)可以是任何一臺(tái)上網(wǎng)的計(jì)算機(jī),包括可隨身攜帶的手提電腦。
電子商務(wù)與網(wǎng)絡(luò)經(jīng)營(yíng)使企業(yè)的經(jīng)濟(jì)環(huán)境、組織結(jié)構(gòu)、經(jīng)營(yíng)方式與管理模式等審計(jì)環(huán)境都將發(fā)生巨大變化,審計(jì)師必須了解和適應(yīng)審計(jì)環(huán)境的改變。
2.審計(jì)線索的改變?cè)谑止は到y(tǒng)中,由經(jīng)濟(jì)業(yè)務(wù)產(chǎn)生紙性的原始憑證,會(huì)計(jì)人員根據(jù)原始憑證編制記賬憑證,根據(jù)記賬憑證登記明細(xì)賬和總賬,期未根據(jù)賬簿編制會(huì)計(jì)報(bào)表。每一步都有文字記錄,都有經(jīng)手人簽字,審計(jì)線索十分清楚。
在電子商務(wù)和網(wǎng)絡(luò)經(jīng)營(yíng)條件下,傳統(tǒng)的審計(jì)線索可能完全消失。在電子商務(wù)系統(tǒng)中,客戶的訂單、企業(yè)的發(fā)貨單、發(fā)票、支票、電子貨幣或收付款憑證等都以電磁信息的形式在網(wǎng)上傳遞并存儲(chǔ)于磁性介質(zhì)中。網(wǎng)上交易正因?yàn)閭鹘y(tǒng)的紙性單據(jù)消失而被稱為無(wú)紙貿(mào)易。除外部交易的原始憑證無(wú)紙化外,在網(wǎng)絡(luò)經(jīng)營(yíng)條件下,企業(yè)內(nèi)部業(yè)務(wù)的審計(jì)線索也發(fā)生了質(zhì)的變化。不僅記錄業(yè)務(wù)的內(nèi)部原始單據(jù),如領(lǐng)料單、入庫(kù)單、驗(yàn)收單等原始憑證將變?yōu)殡姶呕男畔?,而且?jì)算機(jī)信息系統(tǒng)根據(jù)確認(rèn)的經(jīng)濟(jì)業(yè)務(wù)自動(dòng)編制記賬憑證、登記賬薄、編制報(bào)表,實(shí)現(xiàn)財(cái)會(huì)核算自動(dòng)化。例如,當(dāng)確認(rèn)賒銷發(fā)貨時(shí),系統(tǒng)立即登記有關(guān)客戶的應(yīng)收賬款,并自動(dòng)編制記賬憑證:借:應(yīng)收賬款貸:產(chǎn)品銷售收入(根據(jù)銷量和已定義的單價(jià)計(jì)算)
貸:應(yīng)交增值稅——銷項(xiàng)稅(根據(jù)已定義的稅率自動(dòng)計(jì)算)
同時(shí),系統(tǒng)按標(biāo)準(zhǔn)成本和減相應(yīng)存貨,并自動(dòng)編制結(jié)轉(zhuǎn)銷售成本的記賬憑證:借:產(chǎn)品銷售成本貸:產(chǎn)成品(根據(jù)銷量和已定義的標(biāo)準(zhǔn)成本計(jì)算)
會(huì)計(jì)的確認(rèn)、計(jì)量、記錄和報(bào)告都集中由計(jì)算機(jī)按程序指令執(zhí)行,各項(xiàng)處理再?zèng)]有直接責(zé)任人。代替?zhèn)鹘y(tǒng)紙性免讓、賬簿和報(bào)表的是電磁化的會(huì)計(jì)信息。這些磁性介質(zhì)上的信息不再是肉眼所能識(shí)別的,可能被刪改而不留下痕跡的,有些還可能是只是暫存的。如果系統(tǒng)設(shè)計(jì)時(shí)考慮不周,可能到審計(jì)時(shí)才發(fā)現(xiàn)只留下業(yè)務(wù)處理的結(jié)果而不能追索其來(lái)源。即使系統(tǒng)留有充分的審計(jì)線索,其產(chǎn)生與存儲(chǔ)方式、其特點(diǎn)與風(fēng)險(xiǎn)都與傳統(tǒng)的審計(jì)線索有重大變化。
3.安全控制改變電子商務(wù)與網(wǎng)絡(luò)經(jīng)營(yíng)給企業(yè)帶來(lái)了前所未有的新風(fēng)險(xiǎn)。在傳統(tǒng)的經(jīng)營(yíng)條件下,企業(yè)資產(chǎn)和經(jīng)營(yíng)的安全可以通過建立健全的內(nèi)部控制得以保證。在網(wǎng)絡(luò)經(jīng)營(yíng)條件下,企業(yè)的經(jīng)營(yíng)和資產(chǎn)的安全離不開連在Internet上的計(jì)算機(jī)信息系統(tǒng)和網(wǎng)絡(luò),安全不再是企業(yè)內(nèi)部所能完全控制的。計(jì)算機(jī)病毒和黑客攻擊都可以從地球上的任何一個(gè)角落通過網(wǎng)絡(luò)威脅到網(wǎng)絡(luò)化企業(yè)的安全。雖然國(guó)際上廣泛采用防火墻技術(shù)防止來(lái)自外部的攻擊,但黑客和病毒的入侵仍屢屢得呈。全球著名的雅虎等5大網(wǎng)站曾連續(xù)受到了黑客的攻擊,迫使網(wǎng)站停止服務(wù)許多個(gè)小時(shí),使企業(yè)受到巨大損失。因?yàn)殡姶判畔⒖梢詣h改且不留痕跡,企業(yè)在電子商務(wù)中要面對(duì)如何解決以前通過不可篡改的白紙黑字、簽字蓋章實(shí)現(xiàn)的交易確認(rèn)、付款和網(wǎng)上信息傳遞的保密等。這些問題現(xiàn)在一般是通過由獨(dú)立的第三者加數(shù)字時(shí)間截,綜合運(yùn)用有公鑰和私鑰的非對(duì)稱加密和hash技術(shù)等解決。這些控制措施都是在Internet上實(shí)施的,且都與被審計(jì)單位的資產(chǎn)與經(jīng)營(yíng)的安全可靠有直接的關(guān)系。另外,網(wǎng)絡(luò)化經(jīng)營(yíng)管理還存在計(jì)算機(jī)舞弊問題。計(jì)算機(jī)舞弊常具有智能性、隱蔽性和危害嚴(yán)重性、易逃避責(zé)任的特點(diǎn)。
由于電子商務(wù)與網(wǎng)絡(luò)經(jīng)營(yíng)的特殊性,網(wǎng)絡(luò)化條件下要建立許多全新的安全控制。這些控制除了包括企業(yè)內(nèi)部的管理制度和企業(yè)信息系統(tǒng)的程序控制外,還包括外部網(wǎng)及網(wǎng)上交易的安全控制。如何識(shí)別、、審查和評(píng)價(jià)這些安全控制,是網(wǎng)絡(luò)經(jīng)營(yíng)與網(wǎng)絡(luò)財(cái)會(huì)給審計(jì)提出的一個(gè)新問題。在審計(jì)中,審計(jì)師要對(duì)企業(yè)的內(nèi)部控制進(jìn)行審查和評(píng)價(jià),以作為制定審計(jì)方案和決定抽查范圍的依據(jù)。
4.審計(jì)技術(shù)改變?cè)谑止?huì)計(jì)條件下,對(duì)會(huì)計(jì)資料的審計(jì)一般采用審閱、核對(duì)、分析、比較和困證等。這些審查工作都是由人工執(zhí)行的。在經(jīng)營(yíng)與財(cái)務(wù)網(wǎng)絡(luò)化條件下,由于審計(jì)環(huán)境、審計(jì)線索、安全控制和審計(jì)內(nèi)容的改變,決定了計(jì)算機(jī)輔助審計(jì)技術(shù)是必不可少、效率更高的審計(jì)技術(shù)。首先,審計(jì)人員要對(duì)計(jì)算機(jī)管理系統(tǒng)的處理和控制功能進(jìn)行審查。此項(xiàng)審計(jì)常要利用計(jì)算機(jī)輔助審計(jì)。此外,在網(wǎng)絡(luò)化條件下,由于缺乏紙性的審計(jì)線索,審計(jì)人員不得不使用計(jì)算機(jī)跟蹤電磁性的審計(jì)線索。離開了計(jì)算機(jī),審計(jì)人員根本無(wú)賬可查。利用計(jì)算機(jī)可以更快速、更有效地對(duì)電磁化的經(jīng)濟(jì)信息進(jìn)行抽樣、檢查、核對(duì)、分析、比較和計(jì)算,能有效地提高審計(jì)效率。擴(kuò)大審查范圍、提高審計(jì)質(zhì)量。
信息技術(shù)不僅給審計(jì)人員帶來(lái)挑戰(zhàn),也帶來(lái)機(jī)遇。網(wǎng)絡(luò)化使計(jì)算機(jī)成為審計(jì)必不可少的工具,計(jì)算機(jī)輔助審計(jì)技術(shù)將成為審計(jì)不可缺少的常用技術(shù)。
5.對(duì)審計(jì)人員要求提高在網(wǎng)絡(luò)化條件下,由于審計(jì)環(huán)境、審計(jì)線索、安全控制、審計(jì)內(nèi)容和審計(jì)技術(shù)的改變,決定了對(duì)審計(jì)人員的要求更高。沒有計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)和電子商務(wù)等知識(shí)的審計(jì)人員,會(huì)因?yàn)閷徲?jì)線索的改變而無(wú)法進(jìn)行審計(jì);會(huì)因?yàn)椴欢镁W(wǎng)絡(luò)經(jīng)營(yíng)與網(wǎng)絡(luò)財(cái)會(huì)的特點(diǎn)、風(fēng)險(xiǎn)及其應(yīng)有的安全控制而不能識(shí)別、審查和評(píng)價(jià)企業(yè)的風(fēng)險(xiǎn)和控制;會(huì)因?yàn)椴欢眯畔⑾到y(tǒng)及其開發(fā)而無(wú)法對(duì)信息系統(tǒng)的功能和開發(fā)進(jìn)行審計(jì);會(huì)因?yàn)椴欢糜?jì)算機(jī)和Internet的使用而無(wú)法利用計(jì)算機(jī)審計(jì)。為了在網(wǎng)絡(luò)化條件下能更好地執(zhí)行審計(jì)監(jiān)督、鑒證和評(píng)價(jià)任務(wù),審計(jì)人員不僅要有會(huì)計(jì)、審計(jì)、經(jīng)濟(jì)、管理、法律等方面的知識(shí),而且要掌握計(jì)算機(jī)、網(wǎng)絡(luò)、信息系統(tǒng)、Internet和電子商務(wù)等多方面的知識(shí)和技能。審計(jì)人員要了解網(wǎng)絡(luò)經(jīng)營(yíng)與網(wǎng)絡(luò)財(cái)會(huì)的特點(diǎn)和風(fēng)險(xiǎn),掌握應(yīng)有的控制及其審計(jì)方法;要懂得如何審計(jì)計(jì)算機(jī)管理系統(tǒng)的功能與開發(fā);要能夠利用計(jì)算機(jī)和網(wǎng)絡(luò)進(jìn)行審計(jì)。為了能有效地利用計(jì)算機(jī)進(jìn)行審計(jì),審計(jì)人員還要開發(fā)或協(xié)助開發(fā)各種審計(jì)軟件。經(jīng)營(yíng)與財(cái)會(huì)網(wǎng)絡(luò)化要求審計(jì)人員有更高的技術(shù)素質(zhì)和知識(shí)水平。不過,很難要求會(huì)計(jì)師成為計(jì)算機(jī)與網(wǎng)絡(luò)專家。因此,在網(wǎng)絡(luò)化條件下,計(jì)算機(jī)與網(wǎng)絡(luò)專家、信息系統(tǒng)與電子商務(wù)專家將在審計(jì)組織中擔(dān)任重要角色。
二、經(jīng)營(yíng)與網(wǎng)絡(luò)財(cái)會(huì)條件下的審計(jì)初探
在網(wǎng)絡(luò)經(jīng)營(yíng)與網(wǎng)絡(luò)財(cái)會(huì)化條件下,由于上述種種因素的,審計(jì)業(yè)務(wù)將發(fā)生很大變化,這里筆者僅對(duì)網(wǎng)絡(luò)化條件下審計(jì)的特點(diǎn)和方向作一些探討。
正注重對(duì)機(jī)管理系統(tǒng)開發(fā)的審計(jì)在網(wǎng)絡(luò)化條件下,為了企業(yè)能正常經(jīng)營(yíng)、有效管理,必須建立合法、有效、安全的計(jì)算機(jī)信息系統(tǒng)與企業(yè)內(nèi)部網(wǎng)。為達(dá)到此目標(biāo),有必要對(duì)信息系統(tǒng)(如ERP系統(tǒng))的開發(fā)進(jìn)行事前、事中的審計(jì)。這項(xiàng)審計(jì)工作一般由內(nèi)部審計(jì)人員或企業(yè)聘請(qǐng)的審計(jì)人員執(zhí)行。在系統(tǒng)開發(fā)的各階段,審計(jì)人員要注意審查:(1)系統(tǒng)的可行性;(2)系統(tǒng)經(jīng)營(yíng)業(yè)務(wù)和財(cái)會(huì)處理功能的合法性和正確性;(3)系統(tǒng)程序控制與管理功能的恰當(dāng)性與有效性;(4)系統(tǒng)的可審性(留下充分的審計(jì)線索);(5)系統(tǒng)測(cè)試的全面性和恰當(dāng)性;(6)系統(tǒng)文檔資料的完整性;(7)系統(tǒng)的可擴(kuò)展性。通過事前與事中審計(jì),盡早發(fā)現(xiàn)系統(tǒng)的,及時(shí)提出改進(jìn)的建議,把好系統(tǒng)質(zhì)量第一關(guān);同時(shí)也為審計(jì)人員今后對(duì)系統(tǒng)的處理和控制功能審計(jì)打下基礎(chǔ)。
此外,審計(jì)人員可在系統(tǒng)階段根據(jù)網(wǎng)絡(luò)化審計(jì)的特點(diǎn)對(duì)系統(tǒng)提出審計(jì)方面需求:(1)在系統(tǒng)中建立監(jiān)控程序(又叫嵌入審計(jì)程序),以便計(jì)算機(jī)能對(duì)一些敏感和重要環(huán)節(jié)實(shí)行實(shí)時(shí)監(jiān)控,把異常的情況自動(dòng)記入審計(jì)文件,以便審計(jì)人員審查。(2)在系統(tǒng)中建立審計(jì)子系統(tǒng),提供審計(jì)程序、審計(jì)工具和審計(jì)檔案庫(kù),以便審計(jì)人員進(jìn)行網(wǎng)上審計(jì)。隨著網(wǎng)絡(luò)化的,此項(xiàng)審計(jì)越來(lái)越重要。
2.對(duì)計(jì)算機(jī)信息系統(tǒng)的功能與控制的審計(jì)在網(wǎng)絡(luò)化條件下,手工條件下的賬賬核對(duì)、賬證核對(duì)、賬表核對(duì)等重要的審計(jì)工作在網(wǎng)絡(luò)化條件下將失去意義。因?yàn)樵谟?jì)算機(jī)信息系統(tǒng)中,原始憑證、記賬憑證、各種賬簿、報(bào)表等只是系統(tǒng)中的同一個(gè)數(shù)據(jù)庫(kù),甚至是同一個(gè)數(shù)據(jù)表(如記賬憑證表)的數(shù)據(jù)按不同的方式輸出罷了。這些會(huì)計(jì)信息的正確與否,首先確定于計(jì)算機(jī)信息系統(tǒng)功能的正確性,因此有必要對(duì)系統(tǒng)的功能進(jìn)行審計(jì)。對(duì)系統(tǒng)功能的審計(jì)目標(biāo)包括:(1)審查驗(yàn)證系統(tǒng)對(duì)各項(xiàng)業(yè)務(wù)處理的合法性、正確性和可追索性。(2)審查系統(tǒng)程序控制功能的恰當(dāng)性和有效性。因?yàn)橄到y(tǒng)的程序有被篡改而不留痕跡的特點(diǎn),所以即使系統(tǒng)開發(fā)進(jìn)行過審計(jì),仍有必要對(duì)投入使用后的系統(tǒng)功能進(jìn)行審計(jì)。審計(jì)人員可以用測(cè)試數(shù)據(jù)法、整體檢測(cè)法(ITF)、嵌入審計(jì)程序法等對(duì)系統(tǒng)功能進(jìn)行審查。
在網(wǎng)絡(luò)化情況下,系統(tǒng)提供的信息的可靠性除決定系統(tǒng)的功能外,還決定于系統(tǒng)的操作和內(nèi)部控制。沒有健全的內(nèi)部控制,系統(tǒng)的程序和數(shù)據(jù)都可能隨時(shí)被人篡改。在網(wǎng)絡(luò)化條件下,企業(yè)的內(nèi)部控制包括程序化的控制和要求員工執(zhí)行的管理制度。程序化的控制編寫在系統(tǒng)應(yīng)用程序中,可在系統(tǒng)功能審計(jì)中審查。無(wú)論網(wǎng)絡(luò)化程度有多高,系統(tǒng)還得由人操作。為確保系統(tǒng)的安全可靠和系統(tǒng)輸出信息的真實(shí)正確,必須對(duì)企業(yè)管理制度的完善性和有效性進(jìn)行審計(jì)。網(wǎng)絡(luò)化情況下,系統(tǒng)內(nèi)部控制的符合性測(cè)試要比手工條件下重要得多。
3.開展網(wǎng)上審計(jì)網(wǎng)絡(luò)經(jīng)營(yíng)與網(wǎng)絡(luò)財(cái)會(huì)為開展網(wǎng)上審計(jì)提供了前所未有的機(jī)遇。審計(jì)人員只要把自己的計(jì)算機(jī)接到網(wǎng)上,并取得被審單位給予的審查權(quán)限,就可以在任何地方通過網(wǎng)絡(luò)完成除實(shí)地盤點(diǎn)和觀察外的大部分審計(jì)工作。審計(jì)項(xiàng)目負(fù)責(zé)人可以在網(wǎng)上制定審計(jì)計(jì)劃,給各審計(jì)人員(可以在不同地點(diǎn))分配審計(jì)任務(wù);在網(wǎng)上復(fù)核助理人員的工作底稿,并對(duì)助理人員給予指示與幫助;隨時(shí)了解審計(jì)項(xiàng)目進(jìn)展情況,協(xié)調(diào)各審計(jì)人員的工作;草擬和簽發(fā)審計(jì)報(bào)告。審計(jì)人員可以通過網(wǎng)絡(luò)審查遠(yuǎn)距離外的計(jì)算機(jī)信息系統(tǒng)功能;調(diào)用系統(tǒng)的審計(jì)功能或使用審計(jì)軟件對(duì)系統(tǒng)的磁性與會(huì)計(jì)信息進(jìn)行抽樣。審查、核對(duì)和分析;使用郵件向被審單位的銀行、客戶和供應(yīng)商等進(jìn)行函證;在網(wǎng)上復(fù)制有關(guān)文件或數(shù)據(jù)等審計(jì)證據(jù)、編寫工作底稿等等。若在系統(tǒng)開發(fā)時(shí)嵌入了審計(jì)程序,計(jì)算機(jī)還可以自動(dòng)對(duì)經(jīng)濟(jì)業(yè)務(wù)進(jìn)行實(shí)時(shí)的監(jiān)控,自動(dòng)完成部分審計(jì)任務(wù)。
因?yàn)榫W(wǎng)上審計(jì)的資料與收集的證據(jù)大多是以電磁形式存在的,工作底稿改變?yōu)殡姶呕男畔ⅲ疫@些證據(jù)只能通過計(jì)算機(jī)使用相應(yīng)的私鑰或公鑰才能識(shí)別。因此在網(wǎng)絡(luò)化條件下,這些電磁化的審計(jì)檔案可存儲(chǔ)在審計(jì)機(jī)構(gòu)的檔案庫(kù)中,通過網(wǎng)絡(luò)可供主管復(fù)核、同業(yè)檢查或必要時(shí)作為證據(jù)。
4.外部網(wǎng)及有關(guān)機(jī)構(gòu)的審計(jì)電子商務(wù)的真實(shí)、安全性不僅涉及企業(yè)的內(nèi)部網(wǎng)而且關(guān)系到外部網(wǎng),但外部網(wǎng)不是企業(yè)所能完全控制的。為了證實(shí)電子商務(wù)的真實(shí)和安全性,各單位可能都要求審查網(wǎng)上的認(rèn)證機(jī)構(gòu)、加數(shù)字時(shí)間戳的機(jī)構(gòu)、網(wǎng)上銀行或電子貨幣發(fā)行單位的真實(shí)、可靠性,要求評(píng)價(jià)各種Internet上加密技術(shù)、防火墻技術(shù)等網(wǎng)絡(luò)安全控制措施的有效性。所有這些都由每個(gè)單位組織審查和評(píng)價(jià)是不實(shí)際的,也是不必要的。解決電子商務(wù)有關(guān)單位(如網(wǎng)上認(rèn)證機(jī)構(gòu)、網(wǎng)上銀行等)的真實(shí)、可靠性審計(jì),可以由這些機(jī)構(gòu)聘請(qǐng)信譽(yù)和資質(zhì)都較高的獨(dú)立審計(jì)機(jī)構(gòu)對(duì)這些單位的資格、能力、安全及可靠性進(jìn)行審計(jì),并出具報(bào)告,各有關(guān)單位則依賴這些審計(jì)報(bào)告進(jìn)行評(píng)價(jià)。對(duì)有關(guān)安全保密技術(shù)有效性的審查,同樣可由有信譽(yù)和技術(shù)水平較高的獨(dú)立部門或機(jī)構(gòu)對(duì)這些技術(shù)組織評(píng)審和鑒定,并提出評(píng)價(jià)報(bào)告,供用戶。
關(guān)鍵詞:宣傳;保密;微信公眾號(hào)
“內(nèi)樹信心,外塑形象”,做好宣傳鼓動(dòng),調(diào)動(dòng)和激勵(lì)廣大干部職工積極性的發(fā)揮、不斷增強(qiáng)單位的知名度和美譽(yù)度,歷來(lái)是軍工單位宣傳工作的目標(biāo)。而該項(xiàng)工作在軍工單位跨越發(fā)展的大背景下,在日益嚴(yán)峻的保密形勢(shì)下,顯得尤為重要、緊迫,且富有挑戰(zhàn)性。因此,如何處理好宣傳和保密工作的關(guān)系,在嚴(yán)峻保密形勢(shì)下做好宣傳工作,便成為亟待研究解決的課題。
一、軍工單位宣傳保密工作的嚴(yán)峻性
軍工行業(yè)新聞宣傳保密工作呈現(xiàn)四大主要特點(diǎn):一是涉及范圍廣、載體多;二是泄密渠道日趨增多,互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)成為主渠道;三是泄密速度快、損失嚴(yán)重,危害巨大;四是分寸和時(shí)效性難以掌握。
據(jù)不完全統(tǒng)計(jì),軍工行業(yè)現(xiàn)有上萬(wàn)種媒體,可以說(shuō)每時(shí)每刻都通過報(bào)紙、刊物、互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、圖書、廣播、電視等工具和手段,采取多種形式與社會(huì)發(fā)生聯(lián)系。內(nèi)容涉及本行業(yè)的重大成果、重要活動(dòng)、軍民結(jié)合,涉及武器裝備科研、生產(chǎn)、試驗(yàn),涉及軍工科研發(fā)展規(guī)劃,生產(chǎn)能力、結(jié)構(gòu)、布局、產(chǎn)量等,存在巨大的失泄密隱患。
(一)軍工單位新聞宣傳的特殊性
一是政治性極強(qiáng),高度敏感,對(duì)時(shí)機(jī)、分寸、頻度等的要求高。沒有哪個(gè)行業(yè)的新聞工作能與軍工單位相比,稍有不慎就會(huì)對(duì)國(guó)家安全帶來(lái)?yè)p害,留下隱患或者授人以柄,壓縮我國(guó)在國(guó)際上的回旋余地,影響國(guó)際形象、影響國(guó)與國(guó)之間關(guān)系,影響我技術(shù)引進(jìn),造成巨大的政治和經(jīng)濟(jì)損失。
二是科技含量高,蘊(yùn)含的新聞價(jià)值極高。軍工單位所從事的往往是尖端技術(shù),代表最新成果、最高水平、未來(lái)發(fā)展方向,是大國(guó)角力、競(jìng)爭(zhēng)、爭(zhēng)奪科技制高點(diǎn)的重要領(lǐng)域,一經(jīng)公布就會(huì)成為獲取信息、開展研究的重要來(lái)源,某些性能特點(diǎn)、技術(shù)指標(biāo)就有可能被人分析掌握。
三是社會(huì)關(guān)注度高,沖擊力強(qiáng),國(guó)際影響大。由于軍工行業(yè)和國(guó)家的綜合實(shí)力、國(guó)際地位、國(guó)人的民族感情緊緊聯(lián)系在一起,重要信息一經(jīng)公布就會(huì)引起轟動(dòng),形成關(guān)注熱點(diǎn),并產(chǎn)生強(qiáng)烈的放大效應(yīng),在國(guó)際社會(huì)產(chǎn)生影響,引發(fā)種種解讀和議論。
(二)軍工單位新聞宣傳中泄密的主要原因
一是保密意識(shí)不強(qiáng),敵情觀念淡薄。
二是保密知識(shí)不夠,培訓(xùn)學(xué)習(xí)不足。
三是執(zhí)行保密制度松懈,審查把關(guān)不嚴(yán)。
四是名利思想作怪,法制觀念不強(qiáng)。
我們知道,媒體的特點(diǎn)是追求新鮮刺激的東西,而軍工行業(yè)尤其是關(guān)于武器裝備科研生產(chǎn)的消息,恰恰具有這種價(jià)值。媒體在報(bào)道時(shí)會(huì)主動(dòng)取悅于大眾,千方百計(jì)滿足大眾的心理需求,不爆料就覺得不過癮。新聞價(jià)值很大程度上取決于時(shí)間,有價(jià)值的重要新聞,恰恰在時(shí)間上保密要求非常嚴(yán)格。因此,如果片面追求新聞價(jià)值或轟動(dòng)效應(yīng),稍有疏忽或不慎,就會(huì)造成嚴(yán)重的泄密、失密。
軍工單位部分宣傳人員對(duì)保密缺乏認(rèn)識(shí),只看到新聞,看不到敵情;只注重新聞的價(jià)值和時(shí)效性,而忽視了保密和應(yīng)走的流程;只重視宣傳自己的成績(jī)、經(jīng)驗(yàn)、效益,而忘卻了其中包含的國(guó)家秘密,從而造成了無(wú)可挽回的損失。
二、嚴(yán)峻保密形勢(shì)下做好宣傳工作的對(duì)策
(一)正確處理好保密與宣傳的關(guān)系
新聞和保密是貫穿于軍工單位新聞宣傳工作中一對(duì)相依相存的矛盾。客觀地講,宣傳工作(特別是對(duì)外宣傳)與保密要求之間確實(shí)存在一定矛盾:宣傳部門有責(zé)任將本單位改革發(fā)展的實(shí)績(jī)和職工拼搏奮進(jìn)、無(wú)私奉獻(xiàn)的精神宣傳出去,在外界樹立良好形象;而保密規(guī)則則要求“能不說(shuō)盡量不說(shuō)”,甚至“只做不說(shuō)”。
然而,二者的根本目的又是相同的,都是為了實(shí)現(xiàn)單位利益最大化。因此,正確處理好新聞宣傳與信息保密的關(guān)系,必須堅(jiān)持“保放適度”的原則,以最大限度實(shí)現(xiàn)本單位安全利益、競(jìng)爭(zhēng)利益和發(fā)展利益為準(zhǔn)繩,既要做到該保的堅(jiān)決保住,不以新聞宣傳為由排斥保密;又要做到該宣傳的宣傳好,不以保密為由阻礙宣傳。
要做到萬(wàn)無(wú)一失,必須執(zhí)行“六個(gè)一”紀(jì)律:
建立一套責(zé)任體系――嚴(yán)格執(zhí)行“業(yè)務(wù)誰(shuí)主管,保密誰(shuí)負(fù)責(zé)”的原則,建立逐級(jí)審查的保密責(zé)任體系,明確各級(jí)人員的保密職責(zé)。
確定一個(gè)保密范圍――按照國(guó)家相關(guān)要求,嚴(yán)禁公開報(bào)道涉及我國(guó)國(guó)防科技工業(yè)研制生產(chǎn)的武器裝備性能技術(shù)指標(biāo),我國(guó)國(guó)防科研生產(chǎn)能力、結(jié)構(gòu)、布局、產(chǎn)量、發(fā)展規(guī)劃等內(nèi)容。
完善一套保密制度――建立健全采訪(含拍攝)、發(fā)稿、存檔、銷毀等一系列工作的保密制度文件,做到“有規(guī)可依”,控制泄密源頭,管住各個(gè)環(huán)節(jié)。
規(guī)范一套審查流程――作者自查、部門領(lǐng)導(dǎo)審查、單位主管領(lǐng)導(dǎo)審批、保密管理部門備案,不能出現(xiàn)任何空缺、代替項(xiàng),不能推諉,嚴(yán)把出口關(guān),不走形式。
堅(jiān)持一項(xiàng)批準(zhǔn)原則――對(duì)所有公開的新聞、照片、視頻等,均要堅(jiān)持“凡事必批”“先審后批”的原則,國(guó)家利益高于一切,不能只考慮單位、局部利益,不顧國(guó)家利益。
養(yǎng)成一個(gè)保密習(xí)慣――宣傳人員要靠良好的素質(zhì)和訓(xùn)練養(yǎng)成良好習(xí)慣,要以“保密就是保生存、保安全、保發(fā)展”的態(tài)度開
展工作,確保萬(wàn)無(wú)一失。
(二)在保密前提下做好對(duì)內(nèi)宣傳的途徑
軍工單位做好對(duì)內(nèi)宣傳,首先要嚴(yán)格按照軍工單位新聞宣傳的報(bào)道范圍執(zhí)行、并嚴(yán)格使用各項(xiàng)目的非密代稱;其次,宣傳要多關(guān)注項(xiàng)目推進(jìn)中出現(xiàn)的管理、手段、工具方面的創(chuàng)新做法和超常拼搏的典型事例,避免直接關(guān)注技術(shù)問題或節(jié)點(diǎn)。
具體來(lái)講,應(yīng)重點(diǎn)圍繞以下三方面開展對(duì)刃傳:一是企業(yè)文化;二是本單位改革發(fā)展動(dòng)態(tài)及行業(yè)、上級(jí)機(jī)關(guān)相關(guān)信息;三是先進(jìn)典型事跡。在此基礎(chǔ)上,著力提升宣傳報(bào)道的針對(duì)性和實(shí)效性,提升宣傳報(bào)道的親切感和接受度,通過“快”、“鮮”、“高”、“深”、“廣”的策略,使新聞宣傳真正真正入耳、入眼、入腦、入心。
三、在嚴(yán)峻保密形勢(shì)下拓展對(duì)外宣傳的方法途徑
軍工單位做好對(duì)外宣傳,首先要在不的情況下提升對(duì)外投稿的質(zhì)量和命中率。要認(rèn)真研究包括中央媒體、地方媒體、行業(yè)媒體等在內(nèi)的不同社會(huì)媒體的定位及需求,提前策劃,研判效果,從更高的立意看問題,發(fā)掘好材料不同側(cè)面的價(jià)值意義,采用不同的語(yǔ)言風(fēng)格及篇幅撰寫稿件,做到有的放矢投稿。
在此過程中需特別注意的是:凡是涉軍型號(hào)相關(guān)事項(xiàng)的內(nèi)容、包括可能產(chǎn)生聯(lián)想的內(nèi)容對(duì)外一律不報(bào)道。對(duì)于創(chuàng)先爭(zhēng)優(yōu)和大干百日等活動(dòng)涉及軍品的,要嚴(yán)格審定文字、圖片、攝影攝像,特別要注重?cái)z影攝像背景的審核,嚴(yán)防失泄密。
同時(shí),還要密切關(guān)注社會(huì)媒體對(duì)本單位武器裝備信息的報(bào)道,抓好對(duì)敏感信息披露造成影響的預(yù)警和前期干預(yù),并及時(shí)將相關(guān)情況上報(bào)上級(jí)部門。禁止內(nèi)部媒體跟隨社會(huì)媒體炒作武器裝備研制進(jìn)展,對(duì)外部媒體報(bào)道的內(nèi)容要做到不轉(zhuǎn)載、不評(píng)論,避免出現(xiàn)印證性泄密。
軍工單位做好對(duì)外宣傳,還要以審慎的態(tài)度辦好本單位互聯(lián)網(wǎng)網(wǎng)站及微信公眾號(hào)。二者是軍工單位進(jìn)行對(duì)外宣傳的重要陣地,是其自身完全可控的平臺(tái)。特別是微信公眾號(hào),不僅與當(dāng)下“移動(dòng)互聯(lián)”的時(shí)代特征及大眾碎片化閱讀習(xí)慣相吻合,而且包容性極強(qiáng)。因此,軍工單位要適應(yīng)移動(dòng)化傳播趨勢(shì),創(chuàng)新文體風(fēng)格、編排方式和傳播渠道,善用圖文、音視頻、漫畫等形式,推出更多生動(dòng)形象、鮮活有趣的融媒體產(chǎn)品,切實(shí)增強(qiáng)吸引力和感染力,增強(qiáng)其對(duì)外宣傳的“到達(dá)度”。
四、結(jié)束語(yǔ)
在嚴(yán)峻保密形勢(shì)下,軍工單位既不能麻痹大意、輕率不該的信息;也不能因噎廢食,在宣傳工作、特別是對(duì)外宣傳中毫無(wú)作為、錯(cuò)失塑造形象的良機(jī)。而應(yīng)該通過努力,真正做到“把該保的保住,把該說(shuō)的說(shuō)好”,積極將軍工單位的最新成就、奉獻(xiàn)精神、領(lǐng)軍人物宣傳出去,唱響“軍工好聲音”,努力讓更多的人了解軍工、理解軍工,為軍工單位發(fā)展創(chuàng)造良好的內(nèi)外部環(huán)境。
參考文獻(xiàn):
[1]杰克?富勒[美].陳莉萍譯.信息時(shí)代的新聞價(jià)值觀[M].北京:新華出版社,1998.
[2]薩爾坦?科馬里[美].姚坤,何衛(wèi)紅譯.信息時(shí)代的經(jīng)濟(jì)學(xué)[M].南京:江蘇人民出版社,2001.
電子數(shù)據(jù)安全是建立在機(jī)安全基礎(chǔ)上的一個(gè)子項(xiàng)安全系統(tǒng),它既是計(jì)算機(jī)網(wǎng)絡(luò)安全概念的一部分,但又和計(jì)算機(jī)網(wǎng)絡(luò)安全緊密相連,從一定意義上講,計(jì)算機(jī)網(wǎng)絡(luò)安全其實(shí)質(zhì)即是電子數(shù)據(jù)安全。國(guó)際標(biāo)準(zhǔn)化組織(ISO)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的定義為:“計(jì)算機(jī)系統(tǒng)有保護(hù)計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞。”歐洲幾個(gè)國(guó)家共同提出的“信息技術(shù)安全評(píng)級(jí)準(zhǔn)則”,從保密性、完整性和可用性來(lái)衡量計(jì)算機(jī)安全。對(duì)電子數(shù)據(jù)安全的衡量也可借鑒這三個(gè)方面的,保密性是指計(jì)算機(jī)系統(tǒng)能防止非法泄露電子數(shù)據(jù);完整性是指計(jì)算機(jī)系統(tǒng)能防止非法修改和刪除電子數(shù)據(jù);可用性是指計(jì)算機(jī)系統(tǒng)能防止非法獨(dú)占電子數(shù)據(jù)資源,當(dāng)用戶需要使用計(jì)算機(jī)資源時(shí)能有資源可用。
二、電子數(shù)據(jù)安全的性質(zhì)
電子數(shù)據(jù)安全包括了廣義安全和狹義安全。狹義安全僅僅是計(jì)算機(jī)系統(tǒng)對(duì)外部威脅的防范,而廣義的安全是計(jì)算機(jī)系統(tǒng)在保證電子數(shù)據(jù)不受破壞并在給定的時(shí)間和資源內(nèi)提供保證質(zhì)量和確定的服務(wù)。在電子數(shù)據(jù)運(yùn)行在電子商務(wù)等以計(jì)算機(jī)系統(tǒng)作為一個(gè)組織業(yè)務(wù)目標(biāo)實(shí)現(xiàn)的核心部分時(shí),狹義安全固然重要,但需更多地考慮廣義的安全。在廣義安全中,安全涉及到更多的方面,安全問題的性質(zhì)更為復(fù)雜。
(一)電子數(shù)據(jù)安全的多元性
在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)環(huán)境中,風(fēng)險(xiǎn)點(diǎn)和威脅點(diǎn)不是單一的,而存在多元性。這些威脅點(diǎn)包括物理安全、邏輯安全和安全管理三個(gè)主要方面。物理安全涉及到關(guān)鍵設(shè)施、設(shè)備的安全和硬件資產(chǎn)存放地點(diǎn)的安全等內(nèi)容;邏輯安全涉及到訪問控制和電子數(shù)據(jù)完整性等方面;安全管理包括人員安全管理政策、組織安全管理政策等內(nèi)容。電子數(shù)據(jù)安全出現(xiàn)問題可能是其中一個(gè)方面出現(xiàn)了漏洞,也可能是其中兩個(gè)或是全部出現(xiàn)互相聯(lián)系的安全事故。
(二)電子數(shù)據(jù)安全的動(dòng)態(tài)性
由于信息技術(shù)在不斷地更新,電子數(shù)據(jù)安全問題就具有動(dòng)態(tài)性。因?yàn)樵诮裉鞜o(wú)關(guān)緊要的地方,在明天就可能成為安全系統(tǒng)的隱患;相反,在今天出現(xiàn)問題的地方,在將來(lái)就可能已經(jīng)解決。例如,線路劫持和竊聽的可能性會(huì)隨著加密層協(xié)議和密鑰技術(shù)的廣泛大大降低,而客戶機(jī)端由于B0這樣的黑客程序存在,同樣出現(xiàn)了安全需要。安全問題的動(dòng)態(tài)性導(dǎo)致不可能存在一勞永逸的解決方案。
(三)電子數(shù)據(jù)安全的復(fù)雜性
安全的多元性使僅僅采用安全產(chǎn)品來(lái)防范難以奏效。例如不可能用一個(gè)防火墻將所有的安全問題擋在門外,因?yàn)楹诳统3@梅阑饓Φ母綦x性,持續(xù)幾個(gè)月在防火墻外試探系統(tǒng)漏洞而未被發(fā)覺,并最終攻入系統(tǒng)。另外,攻擊者通常會(huì)從不同的方面和角度,例如對(duì)物理設(shè)施或協(xié)議、服務(wù)等邏輯方式對(duì)系統(tǒng)進(jìn)行試探,可能繞過系統(tǒng)設(shè)置的某些安全措施,尋找到系統(tǒng)漏洞而攻入系統(tǒng)。它涉及到計(jì)算機(jī)和網(wǎng)絡(luò)的硬件、軟件知識(shí),從最底層的計(jì)算機(jī)物理技術(shù)到程序設(shè)計(jì)內(nèi)核,可以說(shuō)無(wú)其不包,無(wú)所不在,因?yàn)楣粜袨榭赡懿⒉皇菃蝹€(gè)人的,而是掌握不同技術(shù)的不同人群在各個(gè)方向上展開的行動(dòng)。同樣道理,在防范這些問題時(shí),也只有掌握了各種入侵技術(shù)和手段,才能有效的將各種侵犯拒之門外,這樣就決定了電子數(shù)據(jù)安全的復(fù)雜性。
(四)電子數(shù)據(jù)安全的安全悖論
,在電子數(shù)據(jù)安全的實(shí)施中,通常主要采用的是安全產(chǎn)品。例如防火墻、加密狗、密鑰等,一個(gè)很的問題會(huì)被提出:安全產(chǎn)品本身的安全性是如何保證的?這個(gè)問題可以遞歸地問下去,這便是安全的悖論。安全產(chǎn)品放置點(diǎn)往往是系統(tǒng)結(jié)構(gòu)的關(guān)鍵點(diǎn),如果安全產(chǎn)品自身的安全性差,將會(huì)后患無(wú)窮。當(dāng)然在實(shí)際中不可能無(wú)限層次地進(jìn)行產(chǎn)品的安全保證,但一般至少需要兩層保證,即產(chǎn)品開發(fā)的安全保證和產(chǎn)品認(rèn)證的安全保證。
(五)電子數(shù)據(jù)安全的適度性
由以上可以看出,電子數(shù)據(jù)不存在l00%的安全。首先由于安全的多元性和動(dòng)態(tài)性,難以找到一個(gè)對(duì)安全問題實(shí)現(xiàn)百分之百的覆蓋;其次由于安全的復(fù)雜性,不可能在所有方面應(yīng)付來(lái)自各個(gè)方面的威脅;再次,即使找到這樣的方法,一般從資源和成本考慮也不可能接受。目前,業(yè)界普遍遵循的概念是所謂的“適度安全準(zhǔn)則”,即根據(jù)具體情況提出適度的安全目標(biāo)并加以實(shí)現(xiàn)。
三、電子數(shù)據(jù)安全審計(jì)
電子數(shù)據(jù)安全審計(jì)是對(duì)每個(gè)用戶在計(jì)算機(jī)系統(tǒng)上的操作做一個(gè)完整的記錄,以備用戶違反安全規(guī)則的事件發(fā)生后,有效地追查責(zé)任。電子數(shù)據(jù)安全審計(jì)過程的實(shí)現(xiàn)可分成三步:第一步,收集審計(jì)事件,產(chǎn)生審記記錄;第二步,根據(jù)記錄進(jìn)行安全違反;第三步,采取處理措施。
電子數(shù)據(jù)安全審計(jì)工作是保障計(jì)算機(jī)信息安全的重要手段。凡是用戶在計(jì)算機(jī)系統(tǒng)上的活動(dòng)、上機(jī)下機(jī)時(shí)間,與計(jì)算機(jī)信息系統(tǒng)內(nèi)敏感的數(shù)據(jù)、資源、文本等安全有關(guān)的事件,可隨時(shí)記錄在日志文件中,便于發(fā)現(xiàn)、調(diào)查、分析及事后追查責(zé)任,還可以為加強(qiáng)管理措施提供依據(jù)。
(一)審計(jì)技術(shù)
電子數(shù)據(jù)安全審計(jì)技術(shù)可分三種:了解系統(tǒng),驗(yàn)證處理和處理結(jié)果的驗(yàn)證。
1.了解系統(tǒng)技術(shù)
審計(jì)人員通過查閱各種文件如程序表、控制流程等來(lái)審計(jì)。
2.驗(yàn)證處理技術(shù)
這是保證事務(wù)能正確執(zhí)行,控制能在該系統(tǒng)中起作用。該技術(shù)一般分為實(shí)際測(cè)試和性能測(cè)試,實(shí)現(xiàn)方法主要有:
(1)事務(wù)選擇
審計(jì)人員根據(jù)制訂的審計(jì)標(biāo)準(zhǔn),可以選擇事務(wù)的樣板來(lái)仔細(xì)分析。樣板可以是隨機(jī)的,選擇軟件可以掃描一批輸入事務(wù),也可以由操作系統(tǒng)的事務(wù)管理部件引用。
(2)測(cè)試數(shù)據(jù)
這種技術(shù)是程序測(cè)試的擴(kuò)展,審計(jì)人員通過系統(tǒng)動(dòng)作準(zhǔn)備處理的事務(wù)。通過某些獨(dú)立的,可以預(yù)見正確的結(jié)果,并與實(shí)際結(jié)果相比較。用此方法,審計(jì)人員必須通過程序檢驗(yàn)被處理的測(cè)試數(shù)據(jù)。另外,還有綜合測(cè)試、事務(wù)標(biāo)志、跟蹤和映射等方法。
(3)并行仿真。審計(jì)人員要通過一程序來(lái)仿真操作系統(tǒng)的主要功能。當(dāng)給出實(shí)際的和仿真的系統(tǒng)相同數(shù)據(jù)后,來(lái)比較它們的結(jié)果。仿真代價(jià)較高,借助特定的高級(jí)語(yǔ)音可使仿真類似于實(shí)際的應(yīng)用。
(4)驗(yàn)證處理結(jié)果技術(shù)
這種技術(shù),審計(jì)人員把重點(diǎn)放在數(shù)據(jù)上,而不是對(duì)數(shù)據(jù)的處理上。這里主要考慮兩個(gè):
一是如何選擇和選取數(shù)據(jù)。將審計(jì)數(shù)據(jù)收集技術(shù)插入應(yīng)用程序?qū)徲?jì)模塊(此模塊根據(jù)指定的標(biāo)準(zhǔn)收集數(shù)據(jù),監(jiān)視意外事件);擴(kuò)展記錄技術(shù)為事務(wù)(包括面向應(yīng)用的工具)建立全部的審計(jì)跟蹤;借用于日志恢復(fù)的備份庫(kù)(如當(dāng)審計(jì)跟蹤時(shí),用兩個(gè)可比較的備份去檢驗(yàn)賬目是否相同);通過審計(jì)庫(kù)的記錄抽取設(shè)施(它允許結(jié)合屬性值隨機(jī)選擇文件記錄并放在工作文件中,以備以后),利用數(shù)據(jù)庫(kù)管理系統(tǒng)的查詢?cè)O(shè)施抽取用戶數(shù)據(jù)。
二是從數(shù)據(jù)中尋找什么?一旦抽取數(shù)據(jù)后,審計(jì)人員可以檢查控制信息(含檢驗(yàn)控制總數(shù)、故障總數(shù)和其他控制信息);檢查語(yǔ)義完整性約束;檢查與無(wú)關(guān)源點(diǎn)的數(shù)據(jù)。
(二)審計(jì)范圍
在系統(tǒng)中,審計(jì)通常作為一個(gè)相對(duì)獨(dú)立的子系統(tǒng)來(lái)實(shí)現(xiàn)。審計(jì)范圍包括操作系統(tǒng)和各種應(yīng)用程序。
操作系統(tǒng)審計(jì)子系統(tǒng)的主要目標(biāo)是檢測(cè)和判定對(duì)系統(tǒng)的滲透及識(shí)別誤操作。其基本功能為:審計(jì)對(duì)象(如用戶、文件操作、操作命令等)的選擇;審計(jì)文件的定義與自動(dòng)轉(zhuǎn)換;文件系統(tǒng)完整性的定時(shí)檢測(cè);審計(jì)信息的格式和輸出媒體;逐出系統(tǒng)、報(bào)警閥值的設(shè)置與選擇;審計(jì)日態(tài)記錄及其數(shù)據(jù)的安全保護(hù)等。
應(yīng)用程序?qū)徲?jì)子系統(tǒng)的重點(diǎn)是針對(duì)應(yīng)用程序的某些操作作為審計(jì)對(duì)象進(jìn)行監(jiān)視和實(shí)時(shí)記錄并據(jù)記錄結(jié)果判斷此應(yīng)用程序是否被修改和安全控制,是否在發(fā)揮正確作用;判斷程序和數(shù)據(jù)是否完整;依靠使用者身份、口令驗(yàn)證終端保護(hù)等辦法控制應(yīng)用程序的運(yùn)行。
(三)審計(jì)跟蹤
通常審計(jì)跟蹤與日志恢復(fù)可結(jié)合起來(lái)使用,但在概念上它們之間是有區(qū)別的。主要區(qū)別是日志恢復(fù)通常不記錄讀操作;但根據(jù)需要,日記恢復(fù)處理可以很容易地為審計(jì)跟蹤提供審計(jì)信息。如果將審計(jì)功能與告警功能結(jié)合起來(lái),就可以在違反安全規(guī)則的事件發(fā)生時(shí),或在威脅安全的重要操作進(jìn)行時(shí),及時(shí)向安檢員發(fā)出告警信息,以便迅速采取相應(yīng)對(duì)策,避免損失擴(kuò)大。審計(jì)記錄應(yīng)包括以下信息:事件發(fā)生的時(shí)間和地點(diǎn);引發(fā)事件的用戶;事件的類型;事件成功與否。
審計(jì)跟蹤的特點(diǎn)是:對(duì)被審計(jì)的系統(tǒng)是透明的;支持所有的應(yīng)用;允許構(gòu)造事件實(shí)際順序;可以有選擇地、動(dòng)態(tài)地開始或停止記錄;記錄的事件一般應(yīng)包括以下:被審訊的進(jìn)程、時(shí)間、日期、數(shù)據(jù)庫(kù)的操作、事務(wù)類型、用戶名、終端號(hào)等;可以對(duì)單個(gè)事件的記錄進(jìn)行指定。
按照訪問控制類型,審計(jì)跟蹤描述一個(gè)特定的執(zhí)行請(qǐng)求,然而,數(shù)據(jù)庫(kù)不限制審計(jì)跟蹤的請(qǐng)求。獨(dú)立的審計(jì)跟蹤更保密,因?yàn)閷徲?jì)人員可以限制時(shí)間,但代價(jià)比較昂貴。
(四)審計(jì)的流程
數(shù)據(jù)安全審計(jì)工作的流程是:收集來(lái)自內(nèi)核和核外的事件,根據(jù)相應(yīng)的審計(jì)條件,判斷是否是審計(jì)事件。對(duì)審計(jì)事件的內(nèi)容按日志的模式記錄到審計(jì)日志中。當(dāng)審計(jì)事件滿足報(bào)警閥的報(bào)警值時(shí),則向?qū)徲?jì)人員發(fā)送報(bào)警信息并記錄其內(nèi)容。當(dāng)事件在一定時(shí)間內(nèi)連續(xù)發(fā)生,滿足逐出系統(tǒng)閥值,則將引起該事件的用戶逐出系統(tǒng)并記錄其內(nèi)容。
常用的報(bào)警類型有:用于實(shí)時(shí)報(bào)告用戶試探進(jìn)入系統(tǒng)的登錄失敗報(bào)警以及用于實(shí)時(shí)報(bào)告系統(tǒng)中病毒活動(dòng)情況的病毒報(bào)警等。
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:統(tǒng)計(jì)源期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:北大期刊
榮譽(yù):Caj-cd規(guī)范獲獎(jiǎng)期刊
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)