A. 如何理解信息安全问题是当今信息化进程中比较突出并亟待解决的难题
一、信息安全概述
随着信息技术的飞速发展,计算机网络在政治、经济、社会、文化等各个领域起着越来越大的作用。统计显示,截至1999年底,全球个人电脑总数达4.4亿台,因特网使用者达2.59亿。据预测,到2005年全球因特 网用户将达到7.65亿。此外,基于因特网的电子商务也迅速发展,预计到2002年,全球通过入门网站达成的贸易额将达5万亿美元。不难想象信息安全如果得不到保障将会给如此庞大的计算机网络造成多么大的损失。
目前我国已形成国家公用网络、国家专用网络和企业网络三大类别的计算机网络系统,互联网已覆盖我 国200多个城市,3000多个政府数据库和10000多个企业数据库链接在互联网上,在网上自由传递的电子邮件 等更是难以数计。然而,与庞大的用户需求所不相称的是,我国计算机网络信息安全存在相当大的漏洞。网络安全意识淡薄、制度不严、疏于管理等使得病毒、黑客有机可乘;客观上则存在网络安全技术滞后的问题,尤其在安全协议和系统安全方面的工作与国外还有很大差距。因此信息安全问题已经成为我国信息化进程 中比较突出而且亟待解决的难题。
通俗地讲,信息安全是要保证信息的完整性、可用性和保密性。目前的信息安全可以分为三个层面:网络的安全、系统的安全以及信息数据的安全。
网络层安全问题的核心在于网络是否得到控制,也就是说,是不是任何一个IP地址来源的用户都能够进入网络?一旦危险的访问者进入企业网络,后果是不堪设想的。这就要求网络能够对来访者进行分析,判断 来自这一IP地址的数据是否安全,以及是否会对本网络造成危害;同时还要求系统能自动将危险来访拒之门外,并对其进行自动记录,使其无法再次为害。
系统层面的安全问题,主要是病毒对于网络的威胁。病毒的危害已是人尽皆知了,它就像是暗藏在网络中的不定式炸弹,系统随时都有可能遭到破坏而导致严重后果甚至造成系统瘫痪。因此企业必须做到实时监测、随时查毒、杀毒,不能有丝毫的懈怠与疏忽。
信息数据是安全问题的关键,其要求保证信息传输完整性、保密性等。这一安全问题所涉及的是:使用系统中的资源和数据的用户是否是那些真正被授权的用户?这就要求系统能够对网络中流通的数据信息进行监测、记录,并对使用该系统信息数据的用户进行强有力的身份认证,以保证企业的信息安全。
目前,针对这三个层面而开发出的信息安全产品主要包括杀毒软件、防火墙、安全管理、认证授权、加密等。其中以杀毒软件和防火墙应用最为广泛。
(1)防火墙
防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻 止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术、应用网关技术、代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流 的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但其本身可能存在安全问题,也可能会是一个潜在的瓶颈。
(2)虚拟专有网
虚拟专有网VPN是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。
(3)安全服务器
安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。
(4)电子签证机构
电子签证机构(CA)作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证 证书,为用户提供成员身份验证和密钥管理等功能。
(5)用户认证产品
由于IC卡技术的日益成熟和完善,IC卡被更为广泛地用于用户认证产品中,用来存储用户的个人私钥, 并与其他技术如动态口令相结合,对用户身份进行有效地识别。同时,还可利用IC卡上的个人私钥与数字签名技术结合,实现数字签名机制。随着模式识别技术的发展,诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用,并与数字签名等现有技术结合,必将使得对于用户身份的认证和识别更趋完善。
(6)安全管理中心
由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
(7)安全操作系统
给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。
二、我国信息安全产品市场现状
随着因特网在我国的迅速发展以及以电子商务为代表的因特网应用的开展,网络安全正日益引起人们的 重视,成为人们关注的焦点。确实,网络在给人们提供便利、带来效益的同时,也使我们面临着信息安全方 面的巨大挑战。一方面,网络信息的安全是关系到国家的主权和安全的大问题,另一方面,网络信息安全已 经成为国民经济健康发展的基本条件。因此,信息安全产品在信息化建设中的地位正日益提高,它已经不再 只是国家机关和国防部门才需要的产品,其市场需求正迅速扩大。
1999年我国安全软件的销售额为4.55亿元,较1998年的3.40亿元增长33.8%。近两年我国安全软件的市 场增长率均在30%以上,明显高于整个软件市场的增长速度。而且从市场细分看,由于涉及到国家安全而得到政府的保护,信息安全软件将是国内软件厂商能够占据优势的三个领域之一(另外两个是财务管理软件和中文信息处理软件)。
与发达国家相比,我国用于信息安全方面的投资还很低,一般不足企业信息系统建设总成本的2%,而国外企业用于安全系统的投资占整个网络建设投资的15%~20%。在美国,1999年一年网络安全产品销售额达2 0亿美元。
随着我国电脑的应用逐步普及和互联网的高速发展,尤其在将来的电子商务实施的过程中,将对网络安全、信息保密的越来越高。信息安全产品市场将是一个未来成长迅速、需求旺盛的软件细分市场。
1、杀毒软件市场
目前杀毒软件的大部分市场份额掌握占国内软件厂商手中,特别是单机上的杀毒软件已经进入寡头竞争阶段,市场份额较为集中。目前主要的厂商和反病毒软件有北京江民新技术有限公司的KV300、北京瑞星电脑科技公司的瑞星、冠群金辰软件有限公司的KILL和南京信源公司的VRV。单机杀病毒软件的市场价格也下降到200~400元之间。
今年上半年单机版杀毒市场竞争更加激烈,降价之声此起彼伏。不断有新的竞争者进入中国杀毒市场。国内有金山推出了金山毒霸,欧洲销量第一的熊猫卫士也登陆中国市场,包括此前的三家美国公司赛门铁克公司(Norton)、网络联盟公司(Macfee)、趋势科技(Pc-cillin),全球最大的四家杀病毒软件公司均已登陆中国。我国杀毒市场上更为激烈的竞争刚刚展开,国际国内的杀毒精英将大战一场,国内几大厂商垄断市场的局面可能被打破。
随着互联网的推广和单机版杀毒软件的低价扩张,越来越多的病毒开始通过Internet传播。据国际计算 机安全协会的调查,现在新增60%以上的病毒是通过Internet传播,可以说Internet的防毒能力成为杀病毒 软件关键技术。国际的杀毒软件如:熊猫卫士、Norton、Macfee走到了前面,它们均可以支持所有的Internet协议,辨识出其中病毒,而国内的杀毒厂商则相对滞后,还正处在从杀病毒软件的单机应用逐步过渡到企业级的防护。今后网络杀毒软件的竞争将更多体现在技术及服务层面,而企业防病毒软件的市场无疑将越来越大。在我国的网络防病毒软件市场上,主要厂商是NAI、冠群金辰和Symantec,国内厂商中北信源在其中占据了一席之地。
目前进入杀毒市场的上市公司不多,仅河南豫能一家,它在1999年9月增资重组了河南经纬软件有限公司,成立了由河南豫能控股70%的河南豫能信息技术有限公司。河南省经纬软件有限公司推出过一款杀毒软件,即AV95电脑安全卫士。但是该产品市场占有率不高,而且增资重组后公司转向管理信息系统(MIS)的开发,杀毒软件没有成为其发展重点。
2、网络安全市场
目前网络安全技术和产品有软件防火墙、VPN(Virtual;Private;Networks)、信息加密、访问控制、身份认证、日志审核、安全评估、入侵探测、存储安全等。防火墙产品在网络信息安全软件中应用最为广泛。防火墙主要分为两大类:包过滤型防火墙和代理型防火墙。现在也有一些采用动态包过滤技术、自适应技术。
从网络安全技术上看,国外的大型网络安全软件厂商处于领先地位。由于国外大型网络安全厂商大多成立于90年代初,一方面得益于Interet爆炸性增长,另一方面用户对安全的迫切需求和日益重视也是促使网络安全软件快速发展的原因。目前国外的大部分着名网络安全软件厂商进入了中国,在我国的高端网络安全软件市场拥有相当的优势。当今国内网络安全市场上60%以上的产品是国外的品牌,据不完全统计,1999年国内 的“防火墙”产品只有10多种,真正上市的防火墙也只有三四家而已,到今年防火墙产品增加数目并不多,而且尚没有一家企业能够在这一领域形成自己的优势。
对国内的网络安全软件厂商来讲,虽然起步较晚,但是对先进的安全技术的研究和掌握的进程较快,而且本地化优势和国家对安全产品的特殊政策,将会使得国内厂商在高端市场逐步成熟,最终将会占据市场主动地位。
密码类产品市场为国家保护的市场,研制、生产和销售密码产品的单位必须是国家密码管理委员会、中央密码工作领导小组指定的单位,现允许生产和销售核密和普密产品的单位仅有信息产业部数据所、信息产业部30所和总参五十六所等有限的几家。商密产品相对管理比较宽松,市场竞争也尤为激烈。
3、我国从事信息安全产品生产的企业及其产品
由于信息安全已成为事关国家安危的一个重大战略问题,建立具有自主知识产权的、安全的信息产业是 大势所趋。目前国家相关部门都非常重视信息安全产品的研制和开发。2000年7月20日,我国第一个国家高技 术研究发展计划信息安全产业化基地在成都高新技术产业开发区奠基。成都信息安全基地是由成都高新技术产业开发区、信息产业部电子第三十研究所、成都卫士通信息产业股份有限公司倡议组建的。这个信息安全基地将按照政府搭台、企业唱戏、市场导向的原则逐步建立。其定位是为国内提供通用基础信息安全产品,重点建立完整的“通用基础信息安全产品”的产业化体系。力争在3至5年内,在中国西部形成信息安全的产业群,培育出一批在国内、国际均有一定实力的信息安全企业,创造10亿元以上的收入,成为国家信息安全产业的重要支撑。
另外,上海也将建立信息安全产品的研发基地,同时国家将在北京设立国家信息安全工程技术研究中心 。我国的信息产品产业化已经有了一个良好的开端。
国内有二百多家信息安全产品生产企业,但有实力、有规模的企业也只有信息产业部数据所、东大阿尔派等十五家左右。根据《中华人民共和国计算机信息系统安全保护条例》,依据公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》规定程序,我国信息安全产品实行销售许可证制度,由公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构的审批工作。
B. 信息安全中,审计系统目前存在哪些现状如何解决
随着高新技术的迅猛发展,全球网络化、信息化正在渗透到社会、政治、经济的各个领域,以电子商务为基础的网络经济以及与之相适应的网络财务迅速发展的同时,也促使传统审计向网络审计方向发展。在网络安全整体解决方案日益流行的今天,安全审计系统是网络安全体系中的一个重要环节。企业客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。
像风信子认证审控系统网络审计等产品.结合网络中的安全问题,为企业已建立的系统部署本产品后,可以实时的、集中的、可视化审计,有效/及时的评估系统的安全性,并及时发现安全隐患并处理可能出现的安全事故。通过事后查询可快速确定安全事故出现的原因,帮助管理员有效定位责任人,最大可能降低网络系统的安全事故和安全损失。在同一网络中多个不同或者相同厂商的产品实现了技术上互操作,实现集中的审计,加强了系统的安全性,并且有效促进了管理;本产品可适用于各种具有信息化网络的企业。
C. 对于网络安全隐患应该注意什么
网络安全是指网络系统的硬件、软件和系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏,更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从本质上讲就是网络信息安全,包括静态的信息存储安全和信息传输安全。
进入21世纪以来,信息安全的重点放在了保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。信息的保密性、完整性、可用性 、可控性就成了关键因素。
Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被开发和应用。但是,即便是在这样的情况下,网络的安全依旧存在很大的隐患。
企业网络的主要安全隐患
随着企业的信息化热潮快速兴起,由于企业信息化投入不足、缺乏高水平的软硬件专业人才、以及企业员工安全意识淡薄等多种原因,网络安全也成了中小企业必须重视并加以有效防范的问题。病毒、间谍软件、垃圾邮件……这些无一不是企业信息主管的心头之患。
1.安全机制
每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具,它可以隐藏内部网络结构,细致外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往无能为力,很难发觉和防范。
2.安全工具
安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理员和普通用户,不正当的设置就会产生不安全因素。
3.安全漏洞和系统后门
操作系统和应用软件中通常都会存在一些BUG,别有心计的员工或客户都可能利用这些漏洞想企业网络发起进攻,导致某个程序或网络丧失功能。有甚者会盗窃机密数据,直接威胁企业网络和企业数据的安全。即便是安全工具也会存在这样的问题。几乎每天都有新的BUG被发现和公布,程序员在修改已知BUG的同时还可能产生新的BUG。系统BUG经常被黑客利用,而且这种攻击通常不会产生日志,也无据可查。现有的软件和工具BUG的攻击几乎无法主动防范。
系统后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以经过防火墙而不被察觉。
第2页:网络安全探讨(二)
4.病毒、蠕虫、木马和间谍软件
这些是目前网络最容易遇到的安全问题。病毒是可执行代码,它们可以破坏计算机系统,通常伪装成合法附件通过电子邮件发送,有的还通过即时信息网络发送。
蠕虫与病毒类似,但比病毒更为普遍,蠕虫经常利用受感染系统的文件传输功能自动进行传播,从而导致网络流量大幅增加。
木马程序程序可以捕捉密码和其它个人信息,使未授权远程用户能够访问安装了特洛伊木马的系统。
间谍软件则是恶意病毒代码,它们可以监控系统性能,并将用户数据发送给间谍软件开发者。
5.拒绝服务攻击
尽管企业在不断的强化网络的安全性,但黑客的攻击手段也在更新。拒绝服务就是在这种情况下诞生的。这类攻击会向服务器发出大量伪造请求,造成服务器超载,不能为合法用户提供服务。这类攻击也是目前比较常用的攻击手段。
6.误用和滥用
在很多时候,企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中,企业员工的信息安全意识是相对落后的。而企业管理层在大部分情况下也不能很好的对企业信息资产做出鉴别。从更高的层次来分析,中小企业尚无法将信息安全的理念融入到企业的整体经营理念中,这导致了企业的信息管理中存在着大量的安全盲点和误区。
网络安全体系的探讨
1.防火墙
防火墙是企业网络与互联网之间的安全卫士,防火墙的主要目的是拦截不需要的流量,如准备感染带有特定弱点的计算机的蠕虫;另外很多硬件防火墙都提供其它服务,如电子邮件防病毒、反垃圾邮件过滤、内容过滤、安全无线接入点选项等等。
在没有防火墙的环境中,网络安全性完全依赖主系统的安全性。在一定意义上,所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同的安全性水平上的可管理能力就越小,随着安全性的失策和失误越来越普遍,入侵就时有发生。
防火墙有助于提高主系统总体安全性。 防火墙的基本思想——不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏蔽保护网络的信息和结构。
防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部。防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。 防火墙的技术已经经历了三个阶段,即包过滤技术、代理技术和状态监视技术。
第3页:网络安全探讨(三)
2.网络病毒的防范
在网络环境下,病毒传播扩散加快,仅用单机版杀毒软件已经很难彻底清除网络病毒,必须有适合于局域网的全方位杀毒产品。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,并且定期或不定期更新病毒库,使网络免受病毒侵袭。
3.系统漏洞
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患和弱点。面对大型我那个罗的复杂性和变化,仅仅依靠管理员的技术和经验寻找安全漏洞和风险评估是不现实的。最好的方法就是使用安全扫描工具来查找漏洞并提出修改建议。另外实时给操作系统和软件打补丁也可以弥补一部分漏洞和隐患。有经验的管理员还可以利用黑客工具对网络进行模拟攻击,从而寻找网络的薄弱点。
4.入侵检测
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,能识别出任何不希望有的行为,从而达到限制这些活动,保护系统安全的目的。
5.内网系统安全
对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的入侵则无能为力。在这种情况下我们可以采用对各个子网做一个具有一定功能的审计文件,为管理员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序监听子网内计算机间互联情况,为系统中各个服务器的审计文件提供备份。
企业的信息安全需求主要体现在迫切需要适合自身情况的综合解决方案。随着时间的发展,中小企业所面临的安全问题会进一步复杂化和深入化。而随着越来越多的中小企业将自己的智力资产建构在其信息设施基础之上,对于信息安全的需求也会迅速的成长。
总之,网络安全是一个系统工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,与科学的网络管理结合在一起,才能生成一个高效、通用、安全的网络系统。
D. 什么是网络安全网络安全的主要内容是什么。
网络安全的主要内容:
1、操作系统没有进行相关的安全配置
不管使用的是哪一种操作系统,安装不完全的情况下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,只要自己设置的密码很强就没有问题。网络软件的漏洞和“后门”是进行网络攻击的首选目标。
2、没有进行CGI程序代码审计
如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
3、拒绝服务(DoS,DenialofService)攻击
现在的网站对于实时性的要求是越来越高,DoS或DDoS对网站的威胁越来越大。如果一个网络攻击是以网络瘫痪为目标的,那么它的袭击效果是很强烈的,破坏性很大,造成危害的速度和范围也是我们预料不到的,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪。
4、安全产品使用不当
虽然很多网站都采用了基本的网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有发挥到应有的作用。很多安全厂商的产品对配置人员的技术要求很高,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
5、缺少严格的网络安全管理制度
网络安全最重要的还是要有相应的制度去保障,建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
E. 对于网络安全隐患应该注意什么
1、防火墙
安装必要的防火墙,阻止各种扫描工具的试探和信息收集,甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。
2、漏洞扫描
使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描,来发现潜在的安全问题,并确保由于升级或修改配置等正常的维护工作不会带来安全问题。
3、安全配置
关闭不必要的服务,最好是只提供所需服务,安装操作系统的最新补丁,将服务升级到最新版本并安装所有补丁,对根据服务提供者的安全建议进行配置等,这些措施将极大提供服务器本身的安全
4、优化代码
优化网站代码,避免sql注入等攻击手段。检查网站漏洞,查找代码中可能出现的危险,经常对代码进行测试维护。
5、入侵检测系统
利用入侵检测系统的实时监控能力,发现正在进行的攻击行为及攻击前的试探行为,记录黑客的来源及攻击步骤和方法。
这些安全措施都将极大提供服务器的安全,减少被攻击的可能性。
F. 涉密岗位安全审计员存在哪些保密管理风险点,防护措施有哪些
风险点:不具备上岗资格或者知识技术水平不足 , 审计内容不全面 ,审计不及时 ,审计报告不完整,信息输入时病毒侵入的风险。 通过中间机进行信息输入时,可能会有含恶意代码的病毒随有用信息进入内部各单台计算机。数据丢失的风险。 各单台涉密计算机中存储的数据信息可能因各种原因损害,造成数据丢失。
防护措施 针对以上可能存在的风险,制定如下防范措施。
(1) 计算机病毒与恶意代码防护 :每台涉密计算机中必须安装正版瑞星杀毒软件,由使用人员每周进行一次病毒查杀。 综合办负责每周更新计算机病毒与恶意代码样本库,以光盘的形式下发给使用人员,由使用人员对所使用的计算机进行病毒库升级。
(2) 身份验证 所有单台涉密计算机的密码分二级共三种密码。一级密码为主机BIOS密码,由计算机安全保密管理员掌握。密码有效期为一年,满一年后计算机安全保密管理员进行更换。二级密码包括主机开机密码,操作系统密码和屏幕保护密码(操作系统密码和屏幕保护密码相同)。由计算机安全保密管理员统一设置,并配发给涉密机使用人;密码有效期为30天, 涉密机使用人不得自行更改涉密机的任何密码。
⑶密码要求 主机BIOS密码和开机密码长度不能少于8个字符,操作系统密码和屏幕保护密码长度不能少于10个字符,字符中需要包括英文字母、数字和字母的大、小写。
⑷技术防护 除涉密中间计算机外的所有涉密计算机,必须安装和使用国产正版瑞星杀毒软件和经国家保密部门认证合格的《XX非授权外联监管系统》和《XXUSB移动存储介质使用管理系统》进行技术处理,从技术上防止非法外联和非法拷贝。
G. 网络安全和信息化,取得显着进步和成绩,同时也存在不少短板和问题有哪
一是责任分工不明确.中国是一个讲诚信、讲法制的国度,体现诚信和法制最重要的一方面就是责任感.食品安全的产生,无论是谁做出来的,损害的都是人民的利益,“政府是人民的政府,人民政府是负责任的政府”,就需要政府机关团结一致,将不法分子绳之于法.纵然有一定的权限分工,但是不能因此而推卸责任.对此,我认为,明确部门职责,明确责任意识,强化作风建设,就可以弥补此项不足. 二是监督体制不健全.有问题,无处申诉;申诉了,却得不到解决,从而暴露了监督体制的问题和政府与民众信息渠道的不畅通.部门之间之所以能推卸责任,在于无视甚至无恐于人民的检举,这就滋长了“踢皮球”现象的泛滥,最终损害的还是人民的利益,降低的还是政府的威信.对此,我认为,完善监督体制,加强纪委、两院、人大、审计等部门的内部监督,畅通群众、媒体等外部监督,使得渎职行为无处藏身.
H. 现在的网络环境存在怎样的安全问题
一、网络安全概述
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如党政部门信息系统、金融业务系统、企业商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求,这主要表现在:开放性的网络,导致网络的技术是全开放的,任何一个人、团体都可能获得,因而网络所面临的破坏和攻击可能是多方面的,例如:可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击;可以是对软件实施攻击,也可以对硬件实施攻击。国际性的一个网络还意味着网络的攻击不仅仅来自本地网络的用户,它可以来自Internet上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。自由意味着网络最初对用户的使用并没有提供任何的技术约束,用户可以自由地访问网络,自由地使用和发布各种类型的信息。用户只对自己的行为负责,而没有任何的法律限制。
尽管开放的、自由的、国际化的Internet的发展给政府机构、企事业单位带来了革命性的改革和开放,使得他们能够利用Internet提高办事效率和市场反应能力,以便更具竞争力。通过Internet,他们可以从异地取回重要数据,同时又要面对Internet开放带来的数据安全的新挑战和新危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
1. 什么是安全
安全包括五个要素:机密性、完整性、可用性、可控性与可审查性。
· 机密性:确保信息不暴露给未授权的实体或进程。
· 完整性:只有被允许的人才能修改数据,并能够判别出数据是否已被篡改。
· 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
· 可控性:可以控制授权范围内的信息流向及行为方式。
· 可审查性:对出现的网络安全问题提供调查的依据和手段。
2. 安全威胁
一般认为,目前网络存在的威胁主要表现在:
· 利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
· 非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
· 信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、账号等重要信息。),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
· 破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
· 拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
3. 安全服务、机制与技术
· 安全服务:包括服务控制服务、数据机密性服务、数据完整性服务、对象认证服务、防抵赖服务 。
· 安全机制:包括访问控制机制、加密机制、认证交换机制、数字签名机制、防业务流分析机制、路由控制机制 。
· 安全技术:包括防火墙技术、加密技术、鉴别技术、数字签名技术、审计监控技术、病毒防治技术 。
在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现;而安全服务又是由各种安全机制或安全技术实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。
4. 安全工作目的
安全工作的目的就是为了在安全法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,完成以下任务:
· 使用访问控制机制,阻止非授权用户进入网络,即“进不来”,从而保证网络系统的可用性。
· 使用授权机制,实现对用户的权限控制,即不该拿走的“拿不走”,同时结合内容审计机制,实现对网络资源及信息的可控性。
· 使用加密机制,确保信息不暴露给未授权的实体或进程,即“看不懂”,从而实现信息的保密性。
· 使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,而其它人“改不了”,从而确保信息的完整性。
· 使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“走不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。
二、网络安全问题分析
网络面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害,我们这里主要研究的是前者。具体来说,危害网络安全的主要威胁有:非授权访问,即对网络设备及信息资源进行非正常使用或越权使用等;冒充合法用户,即利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的;破坏数据的完整性,即使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用;干扰系统正常运行。指改变系统的正常运行方法,减慢系统的响应时间等手段;病毒与恶意攻击,即通过网络传播病毒或恶意Java、XActive等。
除此之外,Internet非法内容也形成了对网络的另一大威胁。有关部门统计显示,有30%-40%的Internet访问是与工作无关的,甚至有的是去访问色情、暴力、反动等站点。在这样的情况下,Internet资源被严重浪费。尤其对教育网来说,面对形形色色、良莠不分的网络资源,如不具有识别和过滤作用,不但会造成大量非法内容或邮件出入,占用大量流量资源,造成流量堵塞、上网速度慢等问题,而且某些不良网站含有暴力、色情、反动消息等内容,将极大地危害青少年的身心健康。
三、网络安全策略
通过对网络的全面了解,按照安全策略的要求及风险分析的结果,整个网络措施应按系统体系建立,具体的安全控制系统由以下几个方面组成: 物理安全、网络安全、信息安全。
1. 物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全:包括媒体数据的安全及媒体本身的安全。
显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米,这给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。
2. 网络安全
网络安全,包括:系统(主机、服务器)安全、反病毒、系统安全检测、审计分析网络运行安全、备份与恢复、局域网与子网安全、访问控制(防火墙)、网络安全检测、入侵检测。
3. 信息安全
主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面,具体包括数据加密、数据完整性鉴别、防抵赖、信息存储安全、数据库安全、终端安全、信息的防泄密、信息内容审计、用户授权。
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理,组织管理和人员录用等方面有许多的不安全因素,而这又是计算机网络安全所必须考虑的基本问题,所以应引起网络管理员的重视。
四、防治计算机病毒
计算机病毒在网络中泛滥已久,一旦入侵到本地网络,在本地局域网中会快速繁殖,导致局域网计算机的相互感染,下面介绍一下有关局域网病毒的入侵原理及防范方法。
1. 局域网病毒入侵原理及现象
一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站、无盘工作站和远程工作站)。计算机病毒一般首先通过各种途径进入到有盘工作站,也就进入网络,然后开始在网上的传播。具体地说,其传播方式有以下几种。
1)病毒直接从工作站拷贝到服务器中或通过邮件在网内传播;
2)病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;
3)病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中
4)如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器,就可通过它迅速传染到整个网络的每一个计算机上。
在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外,还具有一些新的特点。
1)感染速度快
在单机环境下,病毒只能通过介质从一台计算机带到另一台,而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定,在网络正常工作情况下,只要有一台工作站有病毒,就可在十几分钟内将网上的数百台计算机全部感染。
2)扩散面广
由于病毒在网络中扩散非常快,扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将病毒在一瞬间传播到千里之外。
3)传播的形式复杂多样
计算机病毒在网络上一般是通过“工作站”到“服务器”到“工作站”的途径进行传播的,但现在病毒技术进步了不少,传播的形式复杂多样。
4)难于彻底清除
单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。而网络中只要有一台工作站未能清除干净,就可使整个网络重新被病毒感染,甚至刚刚完成杀毒工作的一台工作站,就有可能被网上另一台带毒工作站所感染。因此,仅对工作站进行杀毒,并不能解决病毒对网络的危害。
5)破坏性大
网络病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络崩溃,破坏服务器信息,使网络服务瘫痪。
2. 局域网病毒防范方法
查杀病毒的基本步骤:
1)首先要断开网络,使受感染的机器隔离;
2)使用杀毒软件进行查杀,可以使用金山或瑞星的专杀工具,彻底清除病毒;
3)安装IE 相应最新补丁或升级IE 版本,如果是服务器还要安装IIS补丁;
4)把系统中出现的一些非法共享(如C、D 等),应该将其共享属性去掉;对于服务器,查看一下Administrators 组中是否加进了“guest”用户,要把guest 用户从Administrators 组中删除。
随着各公司机构内部网不断建立和扩充,用户通过局域网与因特网连接,内部有Web服务器和FTP服务器,一旦网络病毒在内部局域网传播,即便将每台电脑的网线都拔下,也很难彻底查杀干净,另外管理员的工作量也变得很大。实际上目前已经有很多解决这种问题的产品和方案,网络版杀毒软件是其中比较好的一个选择。网络版杀毒软件和单机版杀毒软件最大的区别在于,网络版是针对局域网内部电脑的管理而设置了控制操作平台,供网管统一管理使用,而单机版杀毒软件是不具备管理功能的。并且,随着信息化进程的不断推进,网络环境日益复杂,面对日益复杂的网络环境,以及一些黑客程序和木马程序的攻击,单机版无法保证整个网络安全。如果把单机版杀毒软件当作网络版杀毒软件使用,用户将不能随时了解每台机器的状况。若局域网中的一台机器感染了病毒,将会在很短的时间内传播开,而通过网络版杀毒软件,网络管理员就可以通过一台服务器管理整个局域网的机器,由中心端来对客户端进行统一管理,对客户端自动分发最新病毒码,即便客户端不能访问外网,也可以保持最新的病毒码定义。
五、过滤不良网络信息
网络一项重要的功能就是让用户通过路由器或代理服务器(网关)浏览Internet,面对形形色色、良莠不分的网络资源,如不具有识别和过滤作用,不但会造成大量非法内容或邮件出入,占用大量流量资源,造成流量堵塞、上网速度慢等问题,而且某些网站的娱乐、游戏、甚至暴力、色情、 反动消息等不良内容,将极大地危害青少年学生的身心健康。
许多企业和学校都在努力尝试解决不良信息的浏览问题,由于多数不良信息来源于互联网,解决方法主要是针对互联网进行限制,主要可以分为三类:断开物理连接、地址库过滤和防火墙过滤。
断开物理连接的做法很直接,就是在内网里使用虚拟互联网软件单独设置一个区域给用户用来上网,但是实际上这个区域和互联网是断开的,用户使用浏览器浏览网页的时候实际上是在浏览本地服务器。用户虽然可以用浏览器浏览网页,但是可以浏览的资源有限,而且网页内容也完全取决于本地服务器的更新速度。这样做虽然可以起到一定的作用,但同时也忽视了互联网最大的特点──实时性,而且可浏览的范围太小。而且因为要经常从互联网下载网页,网络管理员的工作量增加,大大降低了网络的使用效率。
地址库过滤则是在局域网连接互联网接口的网关处设置一个软件的“关卡”,这个“关卡”会检查每个HTTP 请求,把每个请求和一个记录着被禁止访问的网站地址库进行比较。这样的处理方式会大大降低浏览互联网的速度,而且地址库的更新也是问题。每天在互联网上出现的新网站有成千上万,不可能被及时的一一检查。
防火墙过滤也是在局域网连接互联网接口的网关处设置软、硬件设施,这类过滤形式可以设置对关键词比如说“性”等的禁止,当软件发现含有关键词的访问请求时,会自动切断访问,但对于打包的邮件无能为力;而且,这种过滤往往矫枉过正,比如说软件发现“正确性”一词中含有“性”,也不分青红皂白一律关闭;由于牵涉到在入口处对内容进行检查,Internet的浏览速度在人数多时奇慢无比;另外从资金角度来看,由于目前适合中小规模局域网使用的低价位防火墙大多依赖于LINUX 操作系统,学校或企业需要另行购买一台防火墙服务器,加大了资金投入。
七、拒绝恶意网页和垃圾邮件
1. 拒绝恶意网页
Internet 网上除了前面说过的不良信息外,还有危害更大的网络陷阱,其中以一些恶意网页为代表,这些网页通过恶意代码纂改注册表中的源代码,达到更改用户主页的目的,轻则造成用户IE 浏览器被锁定、主页无法改回、弹出众多窗口耗尽资源等严重危害,重则通过浏览网页让电脑在不知不觉中被植入木马,传播病毒,或盗取用户重要个人信息,其危害可见一斑。
实际上恶意网页一般都是利用IE的文本漏洞通过编辑的脚本程序修改注册表,以达到篡改用户浏览器设置的目的。我们常见到的比如IE标题栏显示“欢迎访问⋯⋯网站”、默认主页被更改为陌生网址、每次打开IE都自动登录到此网站、右键菜单被添加莫名其妙的广告、用户无法更改IE设置等现象都属此类问题,解决方法有两种:第一种方法是使用注册表编辑器,手动把被篡改的注册表信息改回初始值。第二种方法是使用专门的解锁工具,如着名的“超级兔子”或“3721 网络工具”等可以很简单地解除被修改的IE 浏览器。
另外有的恶意网页是利用IE 的脚本漏洞,用含有有害代码的ActiveX网页文件,让用户自动运行木马程序,因此建议在访问一些陌生网站时在IE 设置中将ActiveX 插件和控件、Java 脚本等禁止。由于IE 是使用频率最高的网络浏览器,因此针对其本身漏洞的攻击也非常多,要保持及时给IE 升级或打补丁,这样才能尽量堵塞漏洞,提高IE 的安全性。
2. 拒绝垃圾邮件
除了猖獗的网络病毒外,垃圾邮件的危害也早已受到了人们的普遍关注,实际上现在网络病毒中有约80%是通过邮件传播的,更不用说一些色情、反动、迷信邮件的危害了。有效地防范垃圾邮件已经成为所有网络用户的共同目标,在学校教育中防范垃圾邮件也是衡量校园网络安全的重要标准之一。
首先要做好预防工作,保护自己的邮箱不会成为垃圾邮件的攻击目标,经查阅有关资料,有关专家提出了以下建议:
1) 给信箱起个相对复杂的名称。如果用户名过于简单或者过于常见,则很容易被当作攻击目标。因为过于简单的名字,垃圾邮件的发送者很可能通过简单排列组合,搜索到用户的邮件地址,从而发送垃圾邮件。因此在申请邮箱时,不妨起个保护性强一点的用户名,比如英文和数字的组合,尽量长一点,可以少受垃圾邮件骚扰。
2) 避免泄露邮件地址。不要随意地在浏览BBS(Bulletin Board Service,公告牌服务)时,公开自己的邮件地址,目前有一些别有用心的人往往在BBS 上散布一些具有诱惑性的消息,诱使其他用户提供电子邮件地址进行收集。
3) 不要轻易回应垃圾邮件。因为一旦回复,就等于告诉垃圾邮件发送者该地址是有效的,这样会招来更多的垃圾邮件。
4) 最实用的是使用邮件客户端程序的邮件管理、过滤功能。
5)最后还可以利用一些专门的防垃圾邮件软件指定条件检测邮件接收服务器,自动删除垃圾邮件。
对于一些恶意的病毒邮件,就不仅是干扰人们正常生活这么简单了,邮件病毒其实和普通的电脑病毒一样,只不过由于它们的传播途径主要是通过电子邮件,所以才被称为邮件病毒。它们一般是通过在邮件中附件夹带的方法进行扩散的,运行了该附件中的病毒程序,才能够使电脑染毒。知道了这一点,我们就不难采取相应的措施进行防范了。
当遇到带有附件的邮件时,如果附件为可执行文件(*.exe、*.com)或word文档时,不要急于打开,可以用两种方法来检测是否带有病毒。一种方法是,利用杀毒软件的邮件病毒监视功能来过滤掉邮件中可能存在的病毒;另一种方法是,把附件先存放在硬盘上,然后利用杀毒软件查毒。所以在邮件接收过程中用一款可靠的防毒软件对邮件进行扫描过滤是非常有效的手段,我们通过设置杀毒软件中的邮件监视功能,在接收邮件过程中对邮件进行处理,可以有效防止邮件病毒的侵入。
八、结语
网络安全的主要问题是网络安全和信息安全,具体可分为预防病毒、访问控制、身份验证和加密技术、系统安全漏洞等问题。
对网络内的网络病毒,处理方法是选择优秀的杀毒软件;对网络不良信息的处理方法应该以使用网络信息过滤系统为主;在面对网络上的各种恶意网页和垃圾邮件时应通过设置邮件系统安全选项,提高安全意识并结合杀毒软件提供保护。
要想建设一个合格的网络,一方面要考虑网络内部的安全性,一方面要关注本网络和外部信息网络互联时的安全性。网络的安全问题是一个较为复杂的系统工程,从严格的意义上来讲,没有绝对安全的网络系统,提高网络的安全系数是要以降低网络效率和增加投入为代价的。随着计算机技术的飞速发展,网络的安全有待于在实践中进一步研究和探索。在目前的情况下,我们应当全面考虑综合运用防毒软件、防火墙、加密技术等多项措施,互相配合,加强管理,从中寻找到确保网络安全与网络效率的平衡点,综合提高网络的安全性,从而建立起一套真正适合民众使用的安全体系。
I. 管理信息系统审计的现状和发展趋势
随着网络技术的发展和普及,企业信息化程度不断提高,生产经营管 理、财务管理和会计核算等均具有了网络信息化的新特点。广大审计工作 者与时俱进,在实际工作中逐步探索计算机审计技术方法和应用领域,审 计效率事半功倍,审计成果显着。计算机技术在审计工作中的运用,是审 计事业发展的一个里程碑,也是审计技术和手段的一场深刻变革。笔者仅 就现阶段计算机审计中存在的不足和未来的发展趋势,谈几点看法。
一、计算机审计发展现状 随着各级审计部门对计算机审计的重视程度日益提高,越来越多的人 参与到理论研究与实践应用中来,为计算机审计工作的发展创造了良好的 局面。但是,由于我国计算机审计起步较晚,基础较为薄弱,所以仍然存 在着一定的不足。 (一)计算机审计软件适用性不强 目前,计算机审计软件的开发,在我国已经形成了一定的规模,比较 有影响力的如“审计之星”、“思博审计”、 “中油审计”等,尤其是“中 油审计”软件,是针对中国石油天然气总公司“中油财务管理信息系统” 开发的财务审计软件,从技术角度上讲,已经是较为成熟的产品,并在实 际应用中取得很好的效果。但是,目前开发的许多审计软件因跟不上业务 需求的发展,往往昙花一现即被弃用,存在着资源浪费严重的问题。 (二)计算机审计领域不广泛 计算机审计资源投入的领域,“贫富悬殊”现象严重。对于电算化会 计这一信息化程度较高的领域,开发出了相对较多的审计软件系统,并已 经很好的应用到实际工作中。而对于非财务信息领域,相应的审计信息系 统建设起步相对较晚,计算机审计水平难以满足对这些行业的审计需要。 因此,加强对这些领域的审计信息化建设已刻不容缓。 (三)计算机审计应用水平不高 几年来的摸索与实践,为审计行业造就了一批计算机审计人才,这些 人才为计算机审计工作的发展起到了关键的作用,但是计算机技术的普 及,对于审计队伍来讲还不能满足需求。一方面,部分审计人员虽然有丰 富的传统审计专业知识和经验,但由于历史、客观的原因使他们在计算机 知识结构上有一定欠缺;另一方面,绝大多数的审计人员虽然掌握一定的 计算机知识,但仅仅掌握的是浅层次的计算机运用技能,缺乏对计算机程 序编译检测、系统设计等专业技能。 (四)计算机审计法律依据不充分 随着电子商务技术的不断发展,电子货币流通、电子数据审核、电子 合同审核、电子签名辨别等网络信息技术的运用也越来越广泛,伴随而来 的信息系统合理性、安全性保障措施、网络信息资源的所有权、使用权认 证、认证中心和数字证书的法律地位等,都需要制订法律法规加以规范。 鉴于此,完善计算机审计立法工作,时机已经日趋成熟。
二、计算机审计发展趋势 (一)计算机审计是促进审计工作向管理效益审计延伸的主要手段 随着计算机审计理论和实践水平的不断提高,计算机审计将会广泛的 深入到各个领域,通过计算机审计手段,能够从管理制度和管理环节入手, 审查企业管理中存在的漏洞,揭发违法乱纪行为,发现企业管理存在的不 足。通过计算机审计,对被审计单位经济活动的效率、效果和效益等方面 进行检查和分析以及提出建议,促使其经济效益提高。在将来,一个合格 的审计工作者必须要熟练掌握计算机审计手段。 (二)运用计算机技术对信息系统审计是内部控制审计的重要环节 由于企业信息网(包括网络办公自动化、行业信息管理、电子商务等 系统)拥有多样化的信息资源,采用多种网络信息技术,系统较为复杂, 舞弊手段更加隐蔽,因此,网络数据和网络资金安全成为一个非常重要的 新问题。在这种情况下,审计人员关注的重点在于内部控制的符合性测试 和具体业务实质性测试方面,整个信息系统运转的核心也是系统程序对内 部控制的落实上。 (三)计算机审计软件的开发将更注重网络化、智能化和专业适用 性 随着电子计算机的人工智能和软件技术的日益发展,审计工作将与 计算机技术更加紧密地结合在一起,而计算机对于被审计数据的预警、综 合分析、穿透查询等功能将更加强大。未来的审计软件设计将更加注重与 审计人员的实际工作相结合,从审前调查、行业咨询、网络信息互动、方 案的设定、数据查询、数据分析、数据取证、底稿、报告的形成都与审计 人员的职业判断能够紧密地结合,成为审计人员手中的“超级武器”。计 算机审计与科技的共同进步,使计算机审计的前景将更为广阔。
三、进一步推进和深化计算机审计的对策 (一)整合计算机审计资源 1.整合软件资源。为避免在软件开发上的重复建设而造成的资源浪 费,在资金、技术、软件开发、推广、应用、后期维护等方面应进行信息 互动,集中整合。及时根据一线审计人员实际应用的需求,对软件进行更 新维护,加强实用性,延长使用寿命,最大限度地发挥软件的整体功能。 2.整合人力资源。 企业计算机审计系统是构建于通用计算机技术、数据库技术、 INTERNET 技术等当代先进信息技术基础上的,以企业信息网为平台,应 用专业的审计软件进行审计。因此,审计工作需要得到技术部门的全力支 持。如果审计队伍本身具备相应的人才,也可以成立专门计算机审计机构, 负责技术的开发与推广。 (二)注重利用通用计算机技术对信息系统进行审计 计算机审计技术的应用,首要的一点是其实用性,由于信息管理系统 种类多样,应用的专业和范围广泛,逐一开发出相应的审计软件较为困难, 因此,利用通用计算机技术对被审计单位信息管理系统的相关数据进行破 解,整理和分析,往往能够使审计工作起到事半功倍的效果。大庆石油管 理局在开展设备修理行业专项审计中,应用此方法就取得了很好的效果, 而且通用计算机技术实用性强,审计人员比较容易掌握。 (三)开展行业或部门系统软件的开发审计 这主要是针对企业自行开发软件而言,如企业信息网络平台、物资进 销存系统、设备修理结算系统和电子商务系统等开发审计,是一种事前审 计。审计人员参与电算会计或审计软件开发,从而使系统具有较强的可审 性。对企业而言,有审计人员参加,检查系统是否运行正常、可靠、准确, 减少由系统弊端带来的损失。 (四)加强对企业内部信息系统使用的规范和监管力度 由于不同部门,不同行业的信息管理系统应用和使用状况不尽相同, 因此,审计部门必须全面掌握其应用情况,计算机审计工作必须建立在全 面了解信息系统应用和普及状况的基础上。同时与相关管理部门共同督促 使用者加强信息系统管理力度,保障信息系统提供数据的准确性,为今后 全面开展计算机审计工作创造有利条件,并规避可能出现的计算机审计风 险。
综上所述,利用计算机审计技术促进传统审计手段向现代审计转型, 有效地发挥审计监督职能,是审计工作发展的必然趋势,是拓展审计空间 的重要途径,必将对审计事业发展产生深远的影响。