A. 如何理解信息安全問題是當今信息化進程中比較突出並亟待解決的難題
一、信息安全概述
隨著信息技術的飛速發展,計算機網路在政治、經濟、社會、文化等各個領域起著越來越大的作用。統計顯示,截至1999年底,全球個人電腦總數達4.4億台,網際網路使用者達2.59億。據預測,到2005年全球因特 網用戶將達到7.65億。此外,基於網際網路的電子商務也迅速發展,預計到2002年,全球通過入門網站達成的貿易額將達5萬億美元。不難想像信息安全如果得不到保障將會給如此龐大的計算機網路造成多麼大的損失。
目前我國已形成國家公用網路、國家專用網路和企業網路三大類別的計算機網路系統,互聯網已覆蓋我 國200多個城市,3000多個政府資料庫和10000多個企業資料庫鏈接在互聯網上,在網上自由傳遞的電子郵件 等更是難以數計。然而,與龐大的用戶需求所不相稱的是,我國計算機網路信息安全存在相當大的漏洞。網路安全意識淡薄、制度不嚴、疏於管理等使得病毒、黑客有機可乘;客觀上則存在網路安全技術滯後的問題,尤其在安全協議和系統安全方面的工作與國外還有很大差距。因此信息安全問題已經成為我國信息化進程 中比較突出而且亟待解決的難題。
通俗地講,信息安全是要保證信息的完整性、可用性和保密性。目前的信息安全可以分為三個層面:網路的安全、系統的安全以及信息數據的安全。
網路層安全問題的核心在於網路是否得到控制,也就是說,是不是任何一個IP地址來源的用戶都能夠進入網路?一旦危險的訪問者進入企業網路,後果是不堪設想的。這就要求網路能夠對來訪者進行分析,判斷 來自這一IP地址的數據是否安全,以及是否會對本網路造成危害;同時還要求系統能自動將危險來訪拒之門外,並對其進行自動記錄,使其無法再次為害。
系統層面的安全問題,主要是病毒對於網路的威脅。病毒的危害已是人盡皆知了,它就像是暗藏在網路中的不定式炸彈,系統隨時都有可能遭到破壞而導致嚴重後果甚至造成系統癱瘓。因此企業必須做到實時監測、隨時查毒、殺毒,不能有絲毫的懈怠與疏忽。
信息數據是安全問題的關鍵,其要求保證信息傳輸完整性、保密性等。這一安全問題所涉及的是:使用系統中的資源和數據的用戶是否是那些真正被授權的用戶?這就要求系統能夠對網路中流通的數據信息進行監測、記錄,並對使用該系統信息數據的用戶進行強有力的身份認證,以保證企業的信息安全。
目前,針對這三個層面而開發出的信息安全產品主要包括殺毒軟體、防火牆、安全管理、認證授權、加密等。其中以殺毒軟體和防火牆應用最為廣泛。
(1)防火牆
防火牆在某種意義上可以說是一種訪問控制產品。它在內部網路與不安全的外部網路之間設置障礙,阻 止外界對內部資源的非法訪問,防止內部對外部的不安全訪問。主要技術有:包過濾技術、應用網關技術、代理服務技術。防火牆能夠較為有效地防止黑客利用不安全的服務對內部網路的攻擊,並且能夠實現數據流 的監控、過濾、記錄和報告功能,較好地隔斷內部網路與外部網路的連接。但其本身可能存在安全問題,也可能會是一個潛在的瓶頸。
(2)虛擬專有網
虛擬專有網VPN是在公共數據網路上,通過採用數據加密技術和訪問控制技術,實現兩個或多個可信內部網之間的互聯。VPN的構築通常都要求採用具有加密功能的路由器或防火牆,以實現數據在公共信道上的可信傳遞。
(3)安全伺服器
安全伺服器主要針對一個區域網內部信息存儲、傳輸的安全保密問題,其實現功能包括對區域網資源的管理和控制,對區域網內用戶的管理,以及區域網中所有安全相關事件的審計和跟蹤。
(4)電子簽證機構
電子簽證機構(CA)作為通信的第三方,為各種服務提供可信任的認證服務。CA可向用戶發行電子簽證 證書,為用戶提供成員身份驗證和密鑰管理等功能。
(5)用戶認證產品
由於IC卡技術的日益成熟和完善,IC卡被更為廣泛地用於用戶認證產品中,用來存儲用戶的個人私鑰, 並與其他技術如動態口令相結合,對用戶身份進行有效地識別。同時,還可利用IC卡上的個人私鑰與數字簽名技術結合,實現數字簽名機制。隨著模式識別技術的發展,諸如指紋、視網膜、臉部特徵等高級的身份識別技術也將投入應用,並與數字簽名等現有技術結合,必將使得對於用戶身份的認證和識別更趨完善。
(6)安全管理中心
由於網上的安全產品較多,且分布在不同的位置,這就需要建立一套集中管理的機制和設備,即安全管理中心。它用來給各網路安全設備分發密鑰,監控網路安全設備的運行狀態,負責收集網路安全設備的審計信息等。
(7)安全操作系統
給系統中的關鍵伺服器提供安全運行平台,構成安全WWW服務,安全FTP服務,安全SMTP服務等,並作為各類網路安全產品的堅實底座,確保這些安全產品的自身安全。
二、我國信息安全產品市場現狀
隨著網際網路在我國的迅速發展以及以電子商務為代表的網際網路應用的開展,網路安全正日益引起人們的 重視,成為人們關注的焦點。確實,網路在給人們提供便利、帶來效益的同時,也使我們面臨著信息安全方 面的巨大挑戰。一方面,網路信息的安全是關繫到國家的主權和安全的大問題,另一方面,網路信息安全已 經成為國民經濟健康發展的基本條件。因此,信息安全產品在信息化建設中的地位正日益提高,它已經不再 只是國家機關和國防部門才需要的產品,其市場需求正迅速擴大。
1999年我國安全軟體的銷售額為4.55億元,較1998年的3.40億元增長33.8%。近兩年我國安全軟體的市 場增長率均在30%以上,明顯高於整個軟體市場的增長速度。而且從市場細分看,由於涉及到國家安全而得到政府的保護,信息安全軟體將是國內軟體廠商能夠占據優勢的三個領域之一(另外兩個是財務管理軟體和中文信息處理軟體)。
與發達國家相比,我國用於信息安全方面的投資還很低,一般不足企業信息系統建設總成本的2%,而國外企業用於安全系統的投資占整個網路建設投資的15%~20%。在美國,1999年一年網路安全產品銷售額達2 0億美元。
隨著我國電腦的應用逐步普及和互聯網的高速發展,尤其在將來的電子商務實施的過程中,將對網路安全、信息保密的越來越高。信息安全產品市場將是一個未來成長迅速、需求旺盛的軟體細分市場。
1、殺毒軟體市場
目前殺毒軟體的大部分市場份額掌握占國內軟體廠商手中,特別是單機上的殺毒軟體已經進入寡頭競爭階段,市場份額較為集中。目前主要的廠商和反病毒軟體有北京江民新技術有限公司的KV300、北京瑞星電腦科技公司的瑞星、冠群金辰軟體有限公司的KILL和南京信源公司的VRV。單機殺病毒軟體的市場價格也下降到200~400元之間。
今年上半年單機版殺毒市場競爭更加激烈,降價之聲此起彼伏。不斷有新的競爭者進入中國殺毒市場。國內有金山推出了金山毒霸,歐洲銷量第一的熊貓衛士也登陸中國市場,包括此前的三家美國公司賽門鐵克公司(Norton)、網路聯盟公司(Macfee)、趨勢科技(Pc-cillin),全球最大的四家殺病毒軟體公司均已登陸中國。我國殺毒市場上更為激烈的競爭剛剛展開,國際國內的殺毒精英將大戰一場,國內幾大廠商壟斷市場的局面可能被打破。
隨著互聯網的推廣和單機版殺毒軟體的低價擴張,越來越多的病毒開始通過Internet傳播。據國際計算 機安全協會的調查,現在新增60%以上的病毒是通過Internet傳播,可以說Internet的防毒能力成為殺病毒 軟體關鍵技術。國際的殺毒軟體如:熊貓衛士、Norton、Macfee走到了前面,它們均可以支持所有的Internet協議,辨識出其中病毒,而國內的殺毒廠商則相對滯後,還正處在從殺病毒軟體的單機應用逐步過渡到企業級的防護。今後網路殺毒軟體的競爭將更多體現在技術及服務層面,而企業防病毒軟體的市場無疑將越來越大。在我國的網路防病毒軟體市場上,主要廠商是NAI、冠群金辰和Symantec,國內廠商中北信源在其中占據了一席之地。
目前進入殺毒市場的上市公司不多,僅河南豫能一家,它在1999年9月增資重組了河南經緯軟體有限公司,成立了由河南豫能控股70%的河南豫能信息技術有限公司。河南省經緯軟體有限公司推出過一款殺毒軟體,即AV95電腦安全衛士。但是該產品市場佔有率不高,而且增資重組後公司轉向管理信息系統(MIS)的開發,殺毒軟體沒有成為其發展重點。
2、網路安全市場
目前網路安全技術和產品有軟體防火牆、VPN(Virtual;Private;Networks)、信息加密、訪問控制、身份認證、日誌審核、安全評估、入侵探測、存儲安全等。防火牆產品在網路信息安全軟體中應用最為廣泛。防火牆主要分為兩大類:包過濾型防火牆和代理型防火牆。現在也有一些採用動態包過濾技術、自適應技術。
從網路安全技術上看,國外的大型網路安全軟體廠商處於領先地位。由於國外大型網路安全廠商大多成立於90年代初,一方面得益於Interet爆炸性增長,另一方面用戶對安全的迫切需求和日益重視也是促使網路安全軟體快速發展的原因。目前國外的大部分著名網路安全軟體廠商進入了中國,在我國的高端網路安全軟體市場擁有相當的優勢。當今國內網路安全市場上60%以上的產品是國外的品牌,據不完全統計,1999年國內 的「防火牆」產品只有10多種,真正上市的防火牆也只有三四家而已,到今年防火牆產品增加數目並不多,而且尚沒有一家企業能夠在這一領域形成自己的優勢。
對國內的網路安全軟體廠商來講,雖然起步較晚,但是對先進的安全技術的研究和掌握的進程較快,而且本地化優勢和國家對安全產品的特殊政策,將會使得國內廠商在高端市場逐步成熟,最終將會占據市場主動地位。
密碼類產品市場為國家保護的市場,研製、生產和銷售密碼產品的單位必須是國家密碼管理委員會、中央密碼工作領導小組指定的單位,現允許生產和銷售核密和普密產品的單位僅有信息產業部數據所、信息產業部30所和總參五十六所等有限的幾家。商密產品相對管理比較寬松,市場競爭也尤為激烈。
3、我國從事信息安全產品生產的企業及其產品
由於信息安全已成為事關國家安危的一個重大戰略問題,建立具有自主知識產權的、安全的信息產業是 大勢所趨。目前國家相關部門都非常重視信息安全產品的研製和開發。2000年7月20日,我國第一個國家高技 術研究發展計劃信息安全產業化基地在成都高新技術產業開發區奠基。成都信息安全基地是由成都高新技術產業開發區、信息產業部電子第三十研究所、成都衛士通信息產業股份有限公司倡議組建的。這個信息安全基地將按照政府搭台、企業唱戲、市場導向的原則逐步建立。其定位是為國內提供通用基礎信息安全產品,重點建立完整的「通用基礎信息安全產品」的產業化體系。力爭在3至5年內,在中國西部形成信息安全的產業群,培育出一批在國內、國際均有一定實力的信息安全企業,創造10億元以上的收入,成為國家信息安全產業的重要支撐。
另外,上海也將建立信息安全產品的研發基地,同時國家將在北京設立國家信息安全工程技術研究中心 。我國的信息產品產業化已經有了一個良好的開端。
國內有二百多家信息安全產品生產企業,但有實力、有規模的企業也只有信息產業部數據所、東大阿爾派等十五家左右。根據《中華人民共和國計算機信息系統安全保護條例》,依據公安部《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》規定程序,我國信息安全產品實行銷售許可證制度,由公安部計算機管理監察部門負責銷售許可證的審批頒發工作和安全專用產品安全功能檢測機構的審批工作。
B. 信息安全中,審計系統目前存在哪些現狀如何解決
隨著高新技術的迅猛發展,全球網路化、信息化正在滲透到社會、政治、經濟的各個領域,以電子商務為基礎的網路經濟以及與之相適應的網路財務迅速發展的同時,也促使傳統審計向網路審計方向發展。在網路安全整體解決方案日益流行的今天,安全審計系統是網路安全體系中的一個重要環節。企業客戶對網路系統中的安全設備和網路設備、應用系統和運行狀況進行全面的監測、分析、評估是保障網路安全的重要手段。
像風信子認證審控系統網路審計等產品.結合網路中的安全問題,為企業已建立的系統部署本產品後,可以實時的、集中的、可視化審計,有效/及時的評估系統的安全性,並及時發現安全隱患並處理可能出現的安全事故。通過事後查詢可快速確定安全事故出現的原因,幫助管理員有效定位責任人,最大可能降低網路系統的安全事故和安全損失。在同一網路中多個不同或者相同廠商的產品實現了技術上互操作,實現集中的審計,加強了系統的安全性,並且有效促進了管理;本產品可適用於各種具有信息化網路的企業。
C. 對於網路安全隱患應該注意什麼
網路安全是指網路系統的硬體、軟體和系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞,更改、泄露,系統連續可靠正常地運行,網路服務不中斷。網路安全從本質上講就是網路信息安全,包括靜態的信息存儲安全和信息傳輸安全。
進入21世紀以來,信息安全的重點放在了保護信息,確保信息在存儲、處理、傳輸過程中及信息系統不被破壞,確保對合法用戶的服務和限制非授權用戶的服務,以及必要的防禦攻擊的措施。信息的保密性、完整性、可用性 、可控性就成了關鍵因素。
Internet的開放性以及其他方面因素導致了網路環境下的計算機系統存在很多安全問題。為了解決這些安全問題,各種安全機制、策略和工具被開發和應用。但是,即便是在這樣的情況下,網路的安全依舊存在很大的隱患。
企業網路的主要安全隱患
隨著企業的信息化熱潮快速興起,由於企業信息化投入不足、缺乏高水平的軟硬體專業人才、以及企業員工安全意識淡薄等多種原因,網路安全也成了中小企業必須重視並加以有效防範的問題。病毒、間諜軟體、垃圾郵件……這些無一不是企業信息主管的心頭之患。
1.安全機制
每一種安全機制都有一定的應用范圍和應用環境。防火牆是一種有效的安全工具,它可以隱藏內部網路結構,細致外部網路到內部網路的訪問。但是對於內部網路之間的訪問,防火牆往往無能為力,很難發覺和防範。
2.安全工具
安全工具的使用受到人為因素的影響。一個安全工具能不能實現期望的效果,在很大程度上取決於使用者,包括系統管理員和普通用戶,不正當的設置就會產生不安全因素。
3.安全漏洞和系統後門
操作系統和應用軟體中通常都會存在一些BUG,別有心計的員工或客戶都可能利用這些漏洞想企業網路發起進攻,導致某個程序或網路喪失功能。有甚者會盜竊機密數據,直接威脅企業網路和企業數據的安全。即便是安全工具也會存在這樣的問題。幾乎每天都有新的BUG被發現和公布,程序員在修改已知BUG的同時還可能產生新的BUG。系統BUG經常被黑客利用,而且這種攻擊通常不會產生日誌,也無據可查。現有的軟體和工具BUG的攻擊幾乎無法主動防範。
系統後門是傳統安全工具難於考慮到的地方。防火牆很難考慮到這類安全問題,多數情況下,這類入侵行為可以經過防火牆而不被察覺。
第2頁:網路安全探討(二)
4.病毒、蠕蟲、木馬和間諜軟體
這些是目前網路最容易遇到的安全問題。病毒是可執行代碼,它們可以破壞計算機系統,通常偽裝成合法附件通過電子郵件發送,有的還通過即時信息網路發送。
蠕蟲與病毒類似,但比病毒更為普遍,蠕蟲經常利用受感染系統的文件傳輸功能自動進行傳播,從而導致網路流量大幅增加。
木馬程序程序可以捕捉密碼和其它個人信息,使未授權遠程用戶能夠訪問安裝了特洛伊木馬的系統。
間諜軟體則是惡意病毒代碼,它們可以監控系統性能,並將用戶數據發送給間諜軟體開發者。
5.拒絕服務攻擊
盡管企業在不斷的強化網路的安全性,但黑客的攻擊手段也在更新。拒絕服務就是在這種情況下誕生的。這類攻擊會向伺服器發出大量偽造請求,造成伺服器超載,不能為合法用戶提供服務。這類攻擊也是目前比較常用的攻擊手段。
6.誤用和濫用
在很多時候,企業的員工都會因為某些不經意的行為對企業的信息資產造成破壞。尤其是在中小企業中,企業員工的信息安全意識是相對落後的。而企業管理層在大部分情況下也不能很好的對企業信息資產做出鑒別。從更高的層次來分析,中小企業尚無法將信息安全的理念融入到企業的整體經營理念中,這導致了企業的信息管理中存在著大量的安全盲點和誤區。
網路安全體系的探討
1.防火牆
防火牆是企業網路與互聯網之間的安全衛士,防火牆的主要目的是攔截不需要的流量,如准備感染帶有特定弱點的計算機的蠕蟲;另外很多硬體防火牆都提供其它服務,如電子郵件防病毒、反垃圾郵件過濾、內容過濾、安全無線接入點選項等等。
在沒有防火牆的環境中,網路安全性完全依賴主系統的安全性。在一定意義上,所有主系統必須通力協作來實現均勻一致的高級安全性。子網越大,把所有主系統保持在相同的安全性水平上的可管理能力就越小,隨著安全性的失策和失誤越來越普遍,入侵就時有發生。
防火牆有助於提高主系統總體安全性。 防火牆的基本思想——不是對每台主機系統進行保護,而是讓所有對系統的訪問通過某一點,並且保護這一點,並盡可能地對外界屏蔽保護網路的信息和結構。
防火牆是一種行之有效且應用廣泛的網路安全機制,防止Internet上的不安全因素蔓延到區域網內部。防火牆可以從通信協議的各個層次以及應用中獲取、存儲並管理相關的信息,以便實施系統的訪問安全決策控制。 防火牆的技術已經經歷了三個階段,即包過濾技術、代理技術和狀態監視技術。
第3頁:網路安全探討(三)
2.網路病毒的防範
在網路環境下,病毒傳播擴散加快,僅用單機版殺毒軟體已經很難徹底清除網路病毒,必須有適合於區域網的全方位殺毒產品。如果在網路內部使用電子郵件進行信息交換,還需要一套基於郵件伺服器平台的郵件防病毒軟體。所以最好使用全方位的防病毒產品,針對網路中所有可能的病毒攻擊點設置對應的防病毒軟體,並且定期或不定期更新病毒庫,使網路免受病毒侵襲。
3.系統漏洞
解決網路層安全問題,首先要清楚網路中存在哪些安全隱患和弱點。面對大型我那個羅的復雜性和變化,僅僅依靠管理員的技術和經驗尋找安全漏洞和風險評估是不現實的。最好的方法就是使用安全掃描工具來查找漏洞並提出修改建議。另外實時給操作系統和軟體打補丁也可以彌補一部分漏洞和隱患。有經驗的管理員還可以利用黑客工具對網路進行模擬攻擊,從而尋找網路的薄弱點。
4.入侵檢測
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術,是一種用於檢測計算機網路中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄,能識別出任何不希望有的行為,從而達到限制這些活動,保護系統安全的目的。
5.內網系統安全
對於網路外部的入侵可以通過安裝防火牆來解決,但是對於網路內部的入侵則無能為力。在這種情況下我們可以採用對各個子網做一個具有一定功能的審計文件,為管理員分析自己的網路運作狀態提供依據。設計一個子網專用的監聽程序監聽子網內計算機間互聯情況,為系統中各個伺服器的審計文件提供備份。
企業的信息安全需求主要體現在迫切需要適合自身情況的綜合解決方案。隨著時間的發展,中小企業所面臨的安全問題會進一步復雜化和深入化。而隨著越來越多的中小企業將自己的智力資產建構在其信息設施基礎之上,對於信息安全的需求也會迅速的成長。
總之,網路安全是一個系統工程,不能僅僅依靠防火牆等單個的系統,而需要仔細考慮系統的安全需求,並將各種安全技術結合在一起,與科學的網路管理結合在一起,才能生成一個高效、通用、安全的網路系統。
D. 什麼是網路安全網路安全的主要內容是什麼。
網路安全的主要內容:
1、操作系統沒有進行相關的安全配置
不管使用的是哪一種操作系統,安裝不完全的情況下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作系統預設安裝後,只要自己設置的密碼很強就沒有問題。網路軟體的漏洞和「後門」是進行網路攻擊的首選目標。
2、沒有進行CGI程序代碼審計
如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
3、拒絕服務(DoS,DenialofService)攻擊
現在的網站對於實時性的要求是越來越高,DoS或DDoS對網站的威脅越來越大。如果一個網路攻擊是以網路癱瘓為目標的,那麼它的襲擊效果是很強烈的,破壞性很大,造成危害的速度和范圍也是我們預料不到的,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤。
4、安全產品使用不當
雖然很多網站都採用了基本的網路安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有發揮到應有的作用。很多安全廠商的產品對配置人員的技術要求很高,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。
5、缺少嚴格的網路安全管理制度
網路安全最重要的還是要有相應的制度去保障,建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。
E. 對於網路安全隱患應該注意什麼
1、防火牆
安裝必要的防火牆,阻止各種掃描工具的試探和信息收集,甚至可以根據一些安全報告來阻止來自某些特定IP地址范圍的機器連接,給伺服器增加一個防護層,同時需要對防火牆內的網路環境進行調整,消除內部網路的安全隱患。
2、漏洞掃描
使用商用或免費的漏洞掃描和風險評估工具定期對伺服器進行掃描,來發現潛在的安全問題,並確保由於升級或修改配置等正常的維護工作不會帶來安全問題。
3、安全配置
關閉不必要的服務,最好是只提供所需服務,安裝操作系統的最新補丁,將服務升級到最新版本並安裝所有補丁,對根據服務提供者的安全建議進行配置等,這些措施將極大提供伺服器本身的安全
4、優化代碼
優化網站代碼,避免sql注入等攻擊手段。檢查網站漏洞,查找代碼中可能出現的危險,經常對代碼進行測試維護。
5、入侵檢測系統
利用入侵檢測系統的實時監控能力,發現正在進行的攻擊行為及攻擊前的試探行為,記錄黑客的來源及攻擊步驟和方法。
這些安全措施都將極大提供伺服器的安全,減少被攻擊的可能性。
F. 涉密崗位安全審計員存在哪些保密管理風險點,防護措施有哪些
風險點:不具備上崗資格或者知識技術水平不足 , 審計內容不全面 ,審計不及時 ,審計報告不完整,信息輸入時病毒侵入的風險。 通過中間機進行信息輸入時,可能會有含惡意代碼的病毒隨有用信息進入內部各單台計算機。數據丟失的風險。 各單台涉密計算機中存儲的數據信息可能因各種原因損害,造成數據丟失。
防護措施 針對以上可能存在的風險,制定如下防範措施。
(1) 計算機病毒與惡意代碼防護 :每台涉密計算機中必須安裝正版瑞星殺毒軟體,由使用人員每周進行一次病毒查殺。 綜合辦負責每周更新計算機病毒與惡意代碼樣本庫,以光碟的形式下發給使用人員,由使用人員對所使用的計算機進行病毒庫升級。
(2) 身份驗證 所有單台涉密計算機的密碼分二級共三種密碼。一級密碼為主機BIOS密碼,由計算機安全保密管理員掌握。密碼有效期為一年,滿一年後計算機安全保密管理員進行更換。二級密碼包括主機開機密碼,操作系統密碼和屏幕保護密碼(操作系統密碼和屏幕保護密碼相同)。由計算機安全保密管理員統一設置,並配發給涉密機使用人;密碼有效期為30天, 涉密機使用人不得自行更改涉密機的任何密碼。
⑶密碼要求 主機BIOS密碼和開機密碼長度不能少於8個字元,操作系統密碼和屏幕保護密碼長度不能少於10個字元,字元中需要包括英文字母、數字和字母的大、小寫。
⑷技術防護 除涉密中間計算機外的所有涉密計算機,必須安裝和使用國產正版瑞星殺毒軟體和經國家保密部門認證合格的《XX非授權外聯監管系統》和《XXUSB移動存儲介質使用管理系統》進行技術處理,從技術上防止非法外聯和非法拷貝。
G. 網路安全和信息化,取得顯著進步和成績,同時也存在不少短板和問題有哪
一是責任分工不明確.中國是一個講誠信、講法制的國度,體現誠信和法制最重要的一方面就是責任感.食品安全的產生,無論是誰做出來的,損害的都是人民的利益,「政府是人民的政府,人民政府是負責任的政府」,就需要政府機關團結一致,將不法分子繩之於法.縱然有一定的許可權分工,但是不能因此而推卸責任.對此,我認為,明確部門職責,明確責任意識,強化作風建設,就可以彌補此項不足. 二是監督體制不健全.有問題,無處申訴;申訴了,卻得不到解決,從而暴露了監督體制的問題和政府與民眾信息渠道的不暢通.部門之間之所以能推卸責任,在於無視甚至無恐於人民的檢舉,這就滋長了「踢皮球」現象的泛濫,最終損害的還是人民的利益,降低的還是政府的威信.對此,我認為,完善監督體制,加強紀委、兩院、人大、審計等部門的內部監督,暢通群眾、媒體等外部監督,使得瀆職行為無處藏身.
H. 現在的網路環境存在怎樣的安全問題
一、網路安全概述
以Internet為代表的全球性信息化浪潮日益深刻,信息網路技術的應用正日益普及和廣泛,應用層次正在深入,應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,典型的如黨政部門信息系統、金融業務系統、企業商務系統等。伴隨網路的普及,安全日益成為影響網路效能的重要問題,而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求,這主要表現在:開放性的網路,導致網路的技術是全開放的,任何一個人、團體都可能獲得,因而網路所面臨的破壞和攻擊可能是多方面的,例如:可能來自物理傳輸線路的攻擊,也可以對網路通信協議和實現實施攻擊;可以是對軟體實施攻擊,也可以對硬體實施攻擊。國際性的一個網路還意味著網路的攻擊不僅僅來自本地網路的用戶,它可以來自Internet上的任何一台機器,也就是說,網路安全所面臨的是一個國際化的挑戰。自由意味著網路最初對用戶的使用並沒有提供任何的技術約束,用戶可以自由地訪問網路,自由地使用和發布各種類型的信息。用戶只對自己的行為負責,而沒有任何的法律限制。
盡管開放的、自由的、國際化的Internet的發展給政府機構、企事業單位帶來了革命性的改革和開放,使得他們能夠利用Internet提高辦事效率和市場反應能力,以便更具競爭力。通過Internet,他們可以從異地取回重要數據,同時又要面對Internet開放帶來的數據安全的新挑戰和新危險。如何保護企業的機密信息不受黑客和工業間諜的入侵,已成為政府機構、企事業單位信息化健康發展所要考慮的重要事情之一。
1. 什麼是安全
安全包括五個要素:機密性、完整性、可用性、可控性與可審查性。
· 機密性:確保信息不暴露給未授權的實體或進程。
· 完整性:只有被允許的人才能修改數據,並能夠判別出數據是否已被篡改。
· 可用性:得到授權的實體在需要時可訪問數據,即攻擊者不能佔用所有的資源而阻礙授權者的工作。
· 可控性:可以控制授權范圍內的信息流向及行為方式。
· 可審查性:對出現的網路安全問題提供調查的依據和手段。
2. 安全威脅
一般認為,目前網路存在的威脅主要表現在:
· 利用網路傳播病毒:通過網路傳播計算機病毒,其破壞性大大高於單機系統,而且用戶很難防範。
· 非授權訪問:沒有預先經過同意,就使用網路或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網路設備及資源進行非正常使用,或擅自擴大許可權,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。
· 信息泄漏或丟失:指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括,信息在傳輸中丟失或泄漏(如「黑客」們利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、賬號等重要信息。),信息在存儲介質中丟失或泄漏,通過建立隱蔽隧道等竊取敏感信息等。
· 破壞數據完整性:以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益於攻擊者的響應;惡意添加,修改數據,以干擾用戶的正常使用。
· 拒絕服務攻擊:它不斷對網路服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網路系統或不能得到相應的服務。
3. 安全服務、機制與技術
· 安全服務:包括服務控制服務、數據機密性服務、數據完整性服務、對象認證服務、防抵賴服務 。
· 安全機制:包括訪問控制機制、加密機制、認證交換機制、數字簽名機制、防業務流分析機制、路由控制機制 。
· 安全技術:包括防火牆技術、加密技術、鑒別技術、數字簽名技術、審計監控技術、病毒防治技術 。
在安全的開放環境中,用戶可以使用各種安全應用。安全應用由一些安全服務來實現;而安全服務又是由各種安全機制或安全技術實現的。應當指出,同一安全機制有時也可以用於實現不同的安全服務。
4. 安全工作目的
安全工作的目的就是為了在安全法律、法規、政策的支持與指導下,通過採用合適的安全技術與安全管理措施,完成以下任務:
· 使用訪問控制機制,阻止非授權用戶進入網路,即「進不來」,從而保證網路系統的可用性。
· 使用授權機制,實現對用戶的許可權控制,即不該拿走的「拿不走」,同時結合內容審計機制,實現對網路資源及信息的可控性。
· 使用加密機制,確保信息不暴露給未授權的實體或進程,即「看不懂」,從而實現信息的保密性。
· 使用數據完整性鑒別機制,保證只有得到允許的人才能修改數據,而其它人「改不了」,從而確保信息的完整性。
· 使用審計、監控、防抵賴等安全機制,使得攻擊者、破壞者、抵賴者「走不脫」,並進一步對網路出現的安全問題提供調查依據和手段,實現信息安全的可審查性。
二、網路安全問題分析
網路面臨的威脅大體可分為對網路中數據信息的危害和對網路設備的危害,我們這里主要研究的是前者。具體來說,危害網路安全的主要威脅有:非授權訪問,即對網路設備及信息資源進行非正常使用或越權使用等;冒充合法用戶,即利用各種假冒或欺騙的手段非法獲得合法用戶的使用許可權,以達到佔用合法用戶資源的目的;破壞數據的完整性,即使用非法手段,刪除、修改、重發某些重要信息,以干擾用戶的正常使用;干擾系統正常運行。指改變系統的正常運行方法,減慢系統的響應時間等手段;病毒與惡意攻擊,即通過網路傳播病毒或惡意Java、XActive等。
除此之外,Internet非法內容也形成了對網路的另一大威脅。有關部門統計顯示,有30%-40%的Internet訪問是與工作無關的,甚至有的是去訪問色情、暴力、反動等站點。在這樣的情況下,Internet資源被嚴重浪費。尤其對教育網來說,面對形形色色、良莠不分的網路資源,如不具有識別和過濾作用,不但會造成大量非法內容或郵件出入,佔用大量流量資源,造成流量堵塞、上網速度慢等問題,而且某些不良網站含有暴力、色情、反動消息等內容,將極大地危害青少年的身心健康。
三、網路安全策略
通過對網路的全面了解,按照安全策略的要求及風險分析的結果,整個網路措施應按系統體系建立,具體的安全控制系統由以下幾個方面組成: 物理安全、網路安全、信息安全。
1. 物理安全
保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提。物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面:
環境安全:對系統所在環境的安全保護,如區域保護和災難保護;
設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;
媒體安全:包括媒體數據的安全及媒體本身的安全。
顯然,為保證信息網路系統的物理安全,除在網路規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米,這給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上採取一定的防護措施,來減少或干擾擴散出去的空間信號。
2. 網路安全
網路安全,包括:系統(主機、伺服器)安全、反病毒、系統安全檢測、審計分析網路運行安全、備份與恢復、區域網與子網安全、訪問控制(防火牆)、網路安全檢測、入侵檢測。
3. 信息安全
主要涉及到信息傳輸的安全、信息存儲的安全以及對網路傳輸信息內容的審計三方面,具體包括數據加密、數據完整性鑒別、防抵賴、信息存儲安全、資料庫安全、終端安全、信息的防泄密、信息內容審計、用戶授權。
面對網路安全的脆弱性,除了在網路設計上增加安全服務功能,完善系統的安全保密措施外,還必須花大力氣加強網路的安全管理,組織管理和人員錄用等方面有許多的不安全因素,而這又是計算機網路安全所必須考慮的基本問題,所以應引起網路管理員的重視。
四、防治計算機病毒
計算機病毒在網路中泛濫已久,一旦入侵到本地網路,在本地區域網中會快速繁殖,導致區域網計算機的相互感染,下面介紹一下有關區域網病毒的入侵原理及防範方法。
1. 區域網病毒入侵原理及現象
一般來說,計算機網路的基本構成包括網路伺服器和網路節點站(包括有盤工作站、無盤工作站和遠程工作站)。計算機病毒一般首先通過各種途徑進入到有盤工作站,也就進入網路,然後開始在網上的傳播。具體地說,其傳播方式有以下幾種。
1)病毒直接從工作站拷貝到伺服器中或通過郵件在網內傳播;
2)病毒先傳染工作站,在工作站內存駐留,等運行網路盤內程序時再傳染給伺服器;
3)病毒先傳染工作站,在工作站內存駐留,在病毒運行時直接通過映像路徑傳染到伺服器中
4)如果遠程工作站被病毒侵入,病毒也可以通過數據交換進入網路伺服器中一旦病毒進入文件伺服器,就可通過它迅速傳染到整個網路的每一個計算機上。
在網路環境下,網路病毒除了具有可傳播性、可執行性、破壞性等計算機病毒的共性外,還具有一些新的特點。
1)感染速度快
在單機環境下,病毒只能通過介質從一台計算機帶到另一台,而在網路中則可以通過網路通訊機制進行迅速擴散。根據測定,在網路正常工作情況下,只要有一台工作站有病毒,就可在十幾分鍾內將網上的數百台計算機全部感染。
2)擴散面廣
由於病毒在網路中擴散非常快,擴散范圍很大,不但能迅速傳染區域網內所有計算機,還能通過遠程工作站將病毒在一瞬間傳播到千里之外。
3)傳播的形式復雜多樣
計算機病毒在網路上一般是通過「工作站」到「伺服器」到「工作站」的途徑進行傳播的,但現在病毒技術進步了不少,傳播的形式復雜多樣。
4)難於徹底清除
單機上的計算機病毒有時可以通過帶毒文件來解決。低級格式化硬碟等措施能將病毒徹底清除。而網路中只要有一台工作站未能清除干凈,就可使整個網路重新被病毒感染,甚至剛剛完成殺毒工作的一台工作站,就有可能被網上另一台帶毒工作站所感染。因此,僅對工作站進行殺毒,並不能解決病毒對網路的危害。
5)破壞性大
網路病毒將直接影響網路的工作,輕則降低速度,影響工作效率,重則使網路崩潰,破壞伺服器信息,使網路服務癱瘓。
2. 區域網病毒防範方法
查殺病毒的基本步驟:
1)首先要斷開網路,使受感染的機器隔離;
2)使用殺毒軟體進行查殺,可以使用金山或瑞星的專殺工具,徹底清除病毒;
3)安裝IE 相應最新補丁或升級IE 版本,如果是伺服器還要安裝IIS補丁;
4)把系統中出現的一些非法共享(如C、D 等),應該將其共享屬性去掉;對於伺服器,查看一下Administrators 組中是否加進了「guest」用戶,要把guest 用戶從Administrators 組中刪除。
隨著各公司機構內部網不斷建立和擴充,用戶通過區域網與網際網路連接,內部有Web伺服器和FTP伺服器,一旦網路病毒在內部區域網傳播,即便將每台電腦的網線都拔下,也很難徹底查殺干凈,另外管理員的工作量也變得很大。實際上目前已經有很多解決這種問題的產品和方案,網路版殺毒軟體是其中比較好的一個選擇。網路版殺毒軟體和單機版殺毒軟體最大的區別在於,網路版是針對區域網內部電腦的管理而設置了控制操作平台,供網管統一管理使用,而單機版殺毒軟體是不具備管理功能的。並且,隨著信息化進程的不斷推進,網路環境日益復雜,面對日益復雜的網路環境,以及一些黑客程序和木馬程序的攻擊,單機版無法保證整個網路安全。如果把單機版殺毒軟體當作網路版殺毒軟體使用,用戶將不能隨時了解每台機器的狀況。若區域網中的一台機器感染了病毒,將會在很短的時間內傳播開,而通過網路版殺毒軟體,網路管理員就可以通過一台伺服器管理整個區域網的機器,由中心端來對客戶端進行統一管理,對客戶端自動分發最新病毒碼,即便客戶端不能訪問外網,也可以保持最新的病毒碼定義。
五、過濾不良網路信息
網路一項重要的功能就是讓用戶通過路由器或代理伺服器(網關)瀏覽Internet,面對形形色色、良莠不分的網路資源,如不具有識別和過濾作用,不但會造成大量非法內容或郵件出入,佔用大量流量資源,造成流量堵塞、上網速度慢等問題,而且某些網站的娛樂、游戲、甚至暴力、色情、 反動消息等不良內容,將極大地危害青少年學生的身心健康。
許多企業和學校都在努力嘗試解決不良信息的瀏覽問題,由於多數不良信息來源於互聯網,解決方法主要是針對互聯網進行限制,主要可以分為三類:斷開物理連接、地址庫過濾和防火牆過濾。
斷開物理連接的做法很直接,就是在內網里使用虛擬互聯網軟體單獨設置一個區域給用戶用來上網,但是實際上這個區域和互聯網是斷開的,用戶使用瀏覽器瀏覽網頁的時候實際上是在瀏覽本地伺服器。用戶雖然可以用瀏覽器瀏覽網頁,但是可以瀏覽的資源有限,而且網頁內容也完全取決於本地伺服器的更新速度。這樣做雖然可以起到一定的作用,但同時也忽視了互聯網最大的特點──實時性,而且可瀏覽的范圍太小。而且因為要經常從互聯網下載網頁,網路管理員的工作量增加,大大降低了網路的使用效率。
地址庫過濾則是在區域網連接互聯網介面的網關處設置一個軟體的「關卡」,這個「關卡」會檢查每個HTTP 請求,把每個請求和一個記錄著被禁止訪問的網站地址庫進行比較。這樣的處理方式會大大降低瀏覽互聯網的速度,而且地址庫的更新也是問題。每天在互聯網上出現的新網站有成千上萬,不可能被及時的一一檢查。
防火牆過濾也是在區域網連接互聯網介面的網關處設置軟、硬體設施,這類過濾形式可以設置對關鍵詞比如說「性」等的禁止,當軟體發現含有關鍵詞的訪問請求時,會自動切斷訪問,但對於打包的郵件無能為力;而且,這種過濾往往矯枉過正,比如說軟體發現「正確性」一詞中含有「性」,也不分青紅皂白一律關閉;由於牽涉到在入口處對內容進行檢查,Internet的瀏覽速度在人數多時奇慢無比;另外從資金角度來看,由於目前適合中小規模區域網使用的低價位防火牆大多依賴於LINUX 操作系統,學校或企業需要另行購買一台防火牆伺服器,加大了資金投入。
七、拒絕惡意網頁和垃圾郵件
1. 拒絕惡意網頁
Internet 網上除了前面說過的不良信息外,還有危害更大的網路陷阱,其中以一些惡意網頁為代表,這些網頁通過惡意代碼纂改注冊表中的源代碼,達到更改用戶主頁的目的,輕則造成用戶IE 瀏覽器被鎖定、主頁無法改回、彈出眾多窗口耗盡資源等嚴重危害,重則通過瀏覽網頁讓電腦在不知不覺中被植入木馬,傳播病毒,或盜取用戶重要個人信息,其危害可見一斑。
實際上惡意網頁一般都是利用IE的文本漏洞通過編輯的腳本程序修改注冊表,以達到篡改用戶瀏覽器設置的目的。我們常見到的比如IE標題欄顯示「歡迎訪問⋯⋯網站」、默認主頁被更改為陌生網址、每次打開IE都自動登錄到此網站、右鍵菜單被添加莫名其妙的廣告、用戶無法更改IE設置等現象都屬此類問題,解決方法有兩種:第一種方法是使用注冊表編輯器,手動把被篡改的注冊表信息改回初始值。第二種方法是使用專門的解鎖工具,如著名的「超級兔子」或「3721 網路工具」等可以很簡單地解除被修改的IE 瀏覽器。
另外有的惡意網頁是利用IE 的腳本漏洞,用含有有害代碼的ActiveX網頁文件,讓用戶自動運行木馬程序,因此建議在訪問一些陌生網站時在IE 設置中將ActiveX 插件和控制項、Java 腳本等禁止。由於IE 是使用頻率最高的網路瀏覽器,因此針對其本身漏洞的攻擊也非常多,要保持及時給IE 升級或打補丁,這樣才能盡量堵塞漏洞,提高IE 的安全性。
2. 拒絕垃圾郵件
除了猖獗的網路病毒外,垃圾郵件的危害也早已受到了人們的普遍關注,實際上現在網路病毒中有約80%是通過郵件傳播的,更不用說一些色情、反動、迷信郵件的危害了。有效地防範垃圾郵件已經成為所有網路用戶的共同目標,在學校教育中防範垃圾郵件也是衡量校園網路安全的重要標准之一。
首先要做好預防工作,保護自己的郵箱不會成為垃圾郵件的攻擊目標,經查閱有關資料,有關專家提出了以下建議:
1) 給信箱起個相對復雜的名稱。如果用戶名過於簡單或者過於常見,則很容易被當作攻擊目標。因為過於簡單的名字,垃圾郵件的發送者很可能通過簡單排列組合,搜索到用戶的郵件地址,從而發送垃圾郵件。因此在申請郵箱時,不妨起個保護性強一點的用戶名,比如英文和數字的組合,盡量長一點,可以少受垃圾郵件騷擾。
2) 避免泄露郵件地址。不要隨意地在瀏覽BBS(Bulletin Board Service,公告牌服務)時,公開自己的郵件地址,目前有一些別有用心的人往往在BBS 上散布一些具有誘惑性的消息,誘使其他用戶提供電子郵件地址進行收集。
3) 不要輕易回應垃圾郵件。因為一旦回復,就等於告訴垃圾郵件發送者該地址是有效的,這樣會招來更多的垃圾郵件。
4) 最實用的是使用郵件客戶端程序的郵件管理、過濾功能。
5)最後還可以利用一些專門的防垃圾郵件軟體指定條件檢測郵件接收伺服器,自動刪除垃圾郵件。
對於一些惡意的病毒郵件,就不僅是干擾人們正常生活這么簡單了,郵件病毒其實和普通的電腦病毒一樣,只不過由於它們的傳播途徑主要是通過電子郵件,所以才被稱為郵件病毒。它們一般是通過在郵件中附件夾帶的方法進行擴散的,運行了該附件中的病毒程序,才能夠使電腦染毒。知道了這一點,我們就不難採取相應的措施進行防範了。
當遇到帶有附件的郵件時,如果附件為可執行文件(*.exe、*.com)或word文檔時,不要急於打開,可以用兩種方法來檢測是否帶有病毒。一種方法是,利用殺毒軟體的郵件病毒監視功能來過濾掉郵件中可能存在的病毒;另一種方法是,把附件先存放在硬碟上,然後利用殺毒軟體查毒。所以在郵件接收過程中用一款可靠的防毒軟體對郵件進行掃描過濾是非常有效的手段,我們通過設置殺毒軟體中的郵件監視功能,在接收郵件過程中對郵件進行處理,可以有效防止郵件病毒的侵入。
八、結語
網路安全的主要問題是網路安全和信息安全,具體可分為預防病毒、訪問控制、身份驗證和加密技術、系統安全漏洞等問題。
對網路內的網路病毒,處理方法是選擇優秀的殺毒軟體;對網路不良信息的處理方法應該以使用網路信息過濾系統為主;在面對網路上的各種惡意網頁和垃圾郵件時應通過設置郵件系統安全選項,提高安全意識並結合殺毒軟體提供保護。
要想建設一個合格的網路,一方面要考慮網路內部的安全性,一方面要關注本網路和外部信息網路互聯時的安全性。網路的安全問題是一個較為復雜的系統工程,從嚴格的意義上來講,沒有絕對安全的網路系統,提高網路的安全系數是要以降低網路效率和增加投入為代價的。隨著計算機技術的飛速發展,網路的安全有待於在實踐中進一步研究和探索。在目前的情況下,我們應當全面考慮綜合運用防毒軟體、防火牆、加密技術等多項措施,互相配合,加強管理,從中尋找到確保網路安全與網路效率的平衡點,綜合提高網路的安全性,從而建立起一套真正適合民眾使用的安全體系。
I. 管理信息系統審計的現狀和發展趨勢
隨著網路技術的發展和普及,企業信息化程度不斷提高,生產經營管 理、財務管理和會計核算等均具有了網路信息化的新特點。廣大審計工作 者與時俱進,在實際工作中逐步探索計算機審計技術方法和應用領域,審 計效率事半功倍,審計成果顯著。計算機技術在審計工作中的運用,是審 計事業發展的一個里程碑,也是審計技術和手段的一場深刻變革。筆者僅 就現階段計算機審計中存在的不足和未來的發展趨勢,談幾點看法。
一、計算機審計發展現狀 隨著各級審計部門對計算機審計的重視程度日益提高,越來越多的人 參與到理論研究與實踐應用中來,為計算機審計工作的發展創造了良好的 局面。但是,由於我國計算機審計起步較晚,基礎較為薄弱,所以仍然存 在著一定的不足。 (一)計算機審計軟體適用性不強 目前,計算機審計軟體的開發,在我國已經形成了一定的規模,比較 有影響力的如「審計之星」、「思博審計」、 「中油審計」等,尤其是「中 油審計」軟體,是針對中國石油天然氣總公司「中油財務管理信息系統」 開發的財務審計軟體,從技術角度上講,已經是較為成熟的產品,並在實 際應用中取得很好的效果。但是,目前開發的許多審計軟體因跟不上業務 需求的發展,往往曇花一現即被棄用,存在著資源浪費嚴重的問題。 (二)計算機審計領域不廣泛 計算機審計資源投入的領域,「貧富懸殊」現象嚴重。對於電算化會 計這一信息化程度較高的領域,開發出了相對較多的審計軟體系統,並已 經很好的應用到實際工作中。而對於非財務信息領域,相應的審計信息系 統建設起步相對較晚,計算機審計水平難以滿足對這些行業的審計需要。 因此,加強對這些領域的審計信息化建設已刻不容緩。 (三)計算機審計應用水平不高 幾年來的摸索與實踐,為審計行業造就了一批計算機審計人才,這些 人才為計算機審計工作的發展起到了關鍵的作用,但是計算機技術的普 及,對於審計隊伍來講還不能滿足需求。一方面,部分審計人員雖然有豐 富的傳統審計專業知識和經驗,但由於歷史、客觀的原因使他們在計算機 知識結構上有一定欠缺;另一方面,絕大多數的審計人員雖然掌握一定的 計算機知識,但僅僅掌握的是淺層次的計算機運用技能,缺乏對計算機程 序編譯檢測、系統設計等專業技能。 (四)計算機審計法律依據不充分 隨著電子商務技術的不斷發展,電子貨幣流通、電子數據審核、電子 合同審核、電子簽名辨別等網路信息技術的運用也越來越廣泛,伴隨而來 的信息系統合理性、安全性保障措施、網路信息資源的所有權、使用權認 證、認證中心和數字證書的法律地位等,都需要制訂法律法規加以規范。 鑒於此,完善計算機審計立法工作,時機已經日趨成熟。
二、計算機審計發展趨勢 (一)計算機審計是促進審計工作向管理效益審計延伸的主要手段 隨著計算機審計理論和實踐水平的不斷提高,計算機審計將會廣泛的 深入到各個領域,通過計算機審計手段,能夠從管理制度和管理環節入手, 審查企業管理中存在的漏洞,揭發違法亂紀行為,發現企業管理存在的不 足。通過計算機審計,對被審計單位經濟活動的效率、效果和效益等方面 進行檢查和分析以及提出建議,促使其經濟效益提高。在將來,一個合格 的審計工作者必須要熟練掌握計算機審計手段。 (二)運用計算機技術對信息系統審計是內部控制審計的重要環節 由於企業信息網(包括網路辦公自動化、行業信息管理、電子商務等 系統)擁有多樣化的信息資源,採用多種網路信息技術,系統較為復雜, 舞弊手段更加隱蔽,因此,網路數據和網路資金安全成為一個非常重要的 新問題。在這種情況下,審計人員關注的重點在於內部控制的符合性測試 和具體業務實質性測試方面,整個信息系統運轉的核心也是系統程序對內 部控制的落實上。 (三)計算機審計軟體的開發將更注重網路化、智能化和專業適用 性 隨著電子計算機的人工智慧和軟體技術的日益發展,審計工作將與 計算機技術更加緊密地結合在一起,而計算機對於被審計數據的預警、綜 合分析、穿透查詢等功能將更加強大。未來的審計軟體設計將更加註重與 審計人員的實際工作相結合,從審前調查、行業咨詢、網路信息互動、方 案的設定、數據查詢、數據分析、數據取證、底稿、報告的形成都與審計 人員的職業判斷能夠緊密地結合,成為審計人員手中的「超級武器」。計 算機審計與科技的共同進步,使計算機審計的前景將更為廣闊。
三、進一步推進和深化計算機審計的對策 (一)整合計算機審計資源 1.整合軟體資源。為避免在軟體開發上的重復建設而造成的資源浪 費,在資金、技術、軟體開發、推廣、應用、後期維護等方面應進行信息 互動,集中整合。及時根據一線審計人員實際應用的需求,對軟體進行更 新維護,加強實用性,延長使用壽命,最大限度地發揮軟體的整體功能。 2.整合人力資源。 企業計算機審計系統是構建於通用計算機技術、資料庫技術、 INTERNET 技術等當代先進信息技術基礎上的,以企業信息網為平台,應 用專業的審計軟體進行審計。因此,審計工作需要得到技術部門的全力支 持。如果審計隊伍本身具備相應的人才,也可以成立專門計算機審計機構, 負責技術的開發與推廣。 (二)注重利用通用計算機技術對信息系統進行審計 計算機審計技術的應用,首要的一點是其實用性,由於信息管理系統 種類多樣,應用的專業和范圍廣泛,逐一開發出相應的審計軟體較為困難, 因此,利用通用計算機技術對被審計單位信息管理系統的相關數據進行破 解,整理和分析,往往能夠使審計工作起到事半功倍的效果。大慶石油管 理局在開展設備修理行業專項審計中,應用此方法就取得了很好的效果, 而且通用計算機技術實用性強,審計人員比較容易掌握。 (三)開展行業或部門系統軟體的開發審計 這主要是針對企業自行開發軟體而言,如企業信息網路平台、物資進 銷存系統、設備修理結算系統和電子商務系統等開發審計,是一種事前審 計。審計人員參與電算會計或審計軟體開發,從而使系統具有較強的可審 性。對企業而言,有審計人員參加,檢查系統是否運行正常、可靠、准確, 減少由系統弊端帶來的損失。 (四)加強對企業內部信息系統使用的規范和監管力度 由於不同部門,不同行業的信息管理系統應用和使用狀況不盡相同, 因此,審計部門必須全面掌握其應用情況,計算機審計工作必須建立在全 面了解信息系統應用和普及狀況的基礎上。同時與相關管理部門共同督促 使用者加強信息系統管理力度,保障信息系統提供數據的准確性,為今後 全面開展計算機審計工作創造有利條件,並規避可能出現的計算機審計風 險。
綜上所述,利用計算機審計技術促進傳統審計手段向現代審計轉型, 有效地發揮審計監督職能,是審計工作發展的必然趨勢,是拓展審計空間 的重要途徑,必將對審計事業發展產生深遠的影響。