防范會(huì)計(jì)信息安全風(fēng)險(xiǎn)
——影響會(huì)計(jì)從業(yè)人員的IT技術(shù)演進(jìn)分析之三
隨著國(guó)際互聯(lián)網(wǎng)的廣泛應(yīng)用,電子商務(wù)的興起,數(shù)據(jù)和信息的安全問(wèn)題日益突出,怎樣保護(hù)對(duì)企業(yè)具有重要意義的數(shù)據(jù)和信息,已成為企業(yè)不可忽視的一個(gè)問(wèn)題。在本次“影響中國(guó)會(huì)計(jì)從業(yè)人員的十大IT技術(shù)”評(píng)選結(jié)果中,數(shù)據(jù)和信息的安全與控制以較高得分名列第三,這充分說(shuō)明會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題已經(jīng)得到了中國(guó)會(huì)計(jì)人員的高度重視。
信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)。保密性要求對(duì)抗對(duì)手的被動(dòng)攻擊,保證信息不泄漏給未經(jīng)授權(quán)的人;完整性要求對(duì)抗對(duì)手的主動(dòng)攻擊,防止信息被未經(jīng)授權(quán)的篡改;可用性要求保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用;可控性要求對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控。
要使信息安全保障系統(tǒng)具有足夠的保障能力,就必須具有完善的安全服務(wù)和控制機(jī)制,如身份鑒別、訪問(wèn)控制、密碼加密、完整性校驗(yàn)、防止否認(rèn)、審計(jì)管理、有用控制和應(yīng)急備份等,使信息系統(tǒng)的攻擊者“進(jìn)不去、竊不走、看不懂、改不了、打不亂、賴不了、跑不掉”, 建立起有效的安全屏障。
信息技術(shù)日益廣泛和深入的應(yīng)用,提高了會(huì)計(jì)工作的效率和效益;但由于信息技術(shù)本身的特殊性,會(huì)計(jì)信息化進(jìn)程也帶來(lái)了巨大的信息安全風(fēng)險(xiǎn)。如會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)和信息安全得不到保障,將可能會(huì)導(dǎo)致會(huì)計(jì)信息的失真、企業(yè)資產(chǎn)的損失、企業(yè)重要信息的泄露以及系統(tǒng)無(wú)法正常運(yùn)行。為全面控制會(huì)計(jì)數(shù)據(jù)/信息的安全,會(huì)計(jì)人員需要改變傳統(tǒng)的安全保密觀念,根據(jù)信息安全技術(shù)的要求,在會(huì)計(jì)信息系統(tǒng)的分析設(shè)計(jì)、開發(fā)、運(yùn)行和維護(hù)工作中充分考慮信息安全需求,將信息安全控制落實(shí)到會(huì)計(jì)工作的每個(gè)環(huán)節(jié)。可以借鑒的措施有:“雙口令管理”、“數(shù)據(jù)雙備份”、“重要數(shù)據(jù)分布式存儲(chǔ)”以及“建立審計(jì)線索制”等。
學(xué)習(xí)數(shù)據(jù)和信息安全與控制技術(shù)必須學(xué)會(huì)制定安全策略,一套好的安全策略應(yīng)該包括最終用戶和系統(tǒng)管理員兩個(gè)方面。在最終用戶方面,應(yīng)了解員工可以利用計(jì)算機(jī)設(shè)備和應(yīng)用軟件做什么,包括:
● 數(shù)據(jù)和應(yīng)用所有權(quán): 幫助用戶理解他們能夠使用哪些應(yīng)用和數(shù)據(jù),哪些應(yīng)用和數(shù)據(jù)是他們可以和其他人共享的。
● 硬件的使用: 加強(qiáng)企業(yè)內(nèi)正在執(zhí)行的指導(dǎo)方針,規(guī)定對(duì)于工作站,筆記本電腦和手持式設(shè)備的正確操作。
● 互聯(lián)網(wǎng)的使用: 明確互聯(lián)網(wǎng)、用戶組、即時(shí)信息、和電子郵件的正確使用方式。
從系統(tǒng)管理員的角度,應(yīng)該學(xué)習(xí):
● 賬戶管理: 了解密碼配置,以及在需要的時(shí)候,如何切斷某個(gè)特定用戶的使用權(quán)限。
● 補(bǔ)丁管理: 了解對(duì)發(fā)布補(bǔ)丁消息的正確反應(yīng),以及如何進(jìn)行補(bǔ)丁監(jiān)控和定期的維護(hù)。
● 事件報(bào)告制度: 不是所有的緊急事件都是同樣的重要,所以策略里必須包括一個(gè)計(jì)劃,規(guī)定每個(gè)緊急事件應(yīng)該通報(bào)哪些人。
● 數(shù)據(jù)備份策略: 了解信息系統(tǒng)的數(shù)據(jù)備份需求,制定完備的備份策略。
● 災(zāi)難恢復(fù)策略: 了解當(dāng)災(zāi)難發(fā)生時(shí)應(yīng)怎樣以最快的速度使系統(tǒng)恢復(fù)正常運(yùn)轉(zhuǎn)。
隨著國(guó)際互聯(lián)網(wǎng)的廣泛應(yīng)用,電子商務(wù)的興起,數(shù)據(jù)和信息的安全問(wèn)題日益突出,怎樣保護(hù)對(duì)企業(yè)具有重要意義的數(shù)據(jù)和信息,已成為企業(yè)不可忽視的一個(gè)問(wèn)題。在本次“影響中國(guó)會(huì)計(jì)從業(yè)人員的十大IT技術(shù)”評(píng)選結(jié)果中,數(shù)據(jù)和信息的安全與控制以較高得分名列第三,這充分說(shuō)明會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題已經(jīng)得到了中國(guó)會(huì)計(jì)人員的高度重視。
信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)。保密性要求對(duì)抗對(duì)手的被動(dòng)攻擊,保證信息不泄漏給未經(jīng)授權(quán)的人;完整性要求對(duì)抗對(duì)手的主動(dòng)攻擊,防止信息被未經(jīng)授權(quán)的篡改;可用性要求保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用;可控性要求對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控。
要使信息安全保障系統(tǒng)具有足夠的保障能力,就必須具有完善的安全服務(wù)和控制機(jī)制,如身份鑒別、訪問(wèn)控制、密碼加密、完整性校驗(yàn)、防止否認(rèn)、審計(jì)管理、有用控制和應(yīng)急備份等,使信息系統(tǒng)的攻擊者“進(jìn)不去、竊不走、看不懂、改不了、打不亂、賴不了、跑不掉”, 建立起有效的安全屏障。
信息技術(shù)日益廣泛和深入的應(yīng)用,提高了會(huì)計(jì)工作的效率和效益;但由于信息技術(shù)本身的特殊性,會(huì)計(jì)信息化進(jìn)程也帶來(lái)了巨大的信息安全風(fēng)險(xiǎn)。如會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)和信息安全得不到保障,將可能會(huì)導(dǎo)致會(huì)計(jì)信息的失真、企業(yè)資產(chǎn)的損失、企業(yè)重要信息的泄露以及系統(tǒng)無(wú)法正常運(yùn)行。為全面控制會(huì)計(jì)數(shù)據(jù)/信息的安全,會(huì)計(jì)人員需要改變傳統(tǒng)的安全保密觀念,根據(jù)信息安全技術(shù)的要求,在會(huì)計(jì)信息系統(tǒng)的分析設(shè)計(jì)、開發(fā)、運(yùn)行和維護(hù)工作中充分考慮信息安全需求,將信息安全控制落實(shí)到會(huì)計(jì)工作的每個(gè)環(huán)節(jié)。可以借鑒的措施有:“雙口令管理”、“數(shù)據(jù)雙備份”、“重要數(shù)據(jù)分布式存儲(chǔ)”以及“建立審計(jì)線索制”等。
學(xué)習(xí)數(shù)據(jù)和信息安全與控制技術(shù)必須學(xué)會(huì)制定安全策略,一套好的安全策略應(yīng)該包括最終用戶和系統(tǒng)管理員兩個(gè)方面。在最終用戶方面,應(yīng)了解員工可以利用計(jì)算機(jī)設(shè)備和應(yīng)用軟件做什么,包括:
● 數(shù)據(jù)和應(yīng)用所有權(quán): 幫助用戶理解他們能夠使用哪些應(yīng)用和數(shù)據(jù),哪些應(yīng)用和數(shù)據(jù)是他們可以和其他人共享的。
● 硬件的使用: 加強(qiáng)企業(yè)內(nèi)正在執(zhí)行的指導(dǎo)方針,規(guī)定對(duì)于工作站,筆記本電腦和手持式設(shè)備的正確操作。
● 互聯(lián)網(wǎng)的使用: 明確互聯(lián)網(wǎng)、用戶組、即時(shí)信息、和電子郵件的正確使用方式。
從系統(tǒng)管理員的角度,應(yīng)該學(xué)習(xí):
● 賬戶管理: 了解密碼配置,以及在需要的時(shí)候,如何切斷某個(gè)特定用戶的使用權(quán)限。
● 補(bǔ)丁管理: 了解對(duì)發(fā)布補(bǔ)丁消息的正確反應(yīng),以及如何進(jìn)行補(bǔ)丁監(jiān)控和定期的維護(hù)。
● 事件報(bào)告制度: 不是所有的緊急事件都是同樣的重要,所以策略里必須包括一個(gè)計(jì)劃,規(guī)定每個(gè)緊急事件應(yīng)該通報(bào)哪些人。
● 數(shù)據(jù)備份策略: 了解信息系統(tǒng)的數(shù)據(jù)備份需求,制定完備的備份策略。
● 災(zāi)難恢復(fù)策略: 了解當(dāng)災(zāi)難發(fā)生時(shí)應(yīng)怎樣以最快的速度使系統(tǒng)恢復(fù)正常運(yùn)轉(zhuǎn)。
相關(guān)資訊:
- ·免費(fèi)閱讀:正保會(huì)計(jì)網(wǎng)校會(huì)計(jì)考試周刊(2016第10期)
- ·免費(fèi)閱讀:正保會(huì)計(jì)網(wǎng)校會(huì)計(jì)考試周刊(2016第9期)
- ·免費(fèi)閱讀:正保會(huì)計(jì)網(wǎng)校會(huì)計(jì)考試周刊(2016第8期)
- ·免費(fèi)閱讀:正保會(huì)計(jì)網(wǎng)校會(huì)計(jì)考試周刊(2016第7期)
- ·免費(fèi)閱讀:正保會(huì)計(jì)網(wǎng)校會(huì)計(jì)考試周刊(2016第6期)
- ·免費(fèi)閱讀:正保會(huì)計(jì)網(wǎng)校會(huì)計(jì)考試周刊(2016第5期)
- ·免費(fèi)閱讀:正保會(huì)計(jì)網(wǎng)校會(huì)計(jì)考試周刊(2016第4期)
- ·免費(fèi)閱讀:正保會(huì)計(jì)網(wǎng)校會(huì)計(jì)考試周刊(2016第3期)
- ·免費(fèi)閱讀:正保會(huì)計(jì)網(wǎng)校會(huì)計(jì)考試周刊(2016第2期)
- ·免費(fèi)閱讀:正保會(huì)計(jì)網(wǎng)校會(huì)計(jì)考試周刊(2016第1期)
熱點(diǎn)專題:
網(wǎng)站導(dǎo)航:
網(wǎng)校介紹 | 會(huì)計(jì)實(shí)務(wù) | 稅務(wù)網(wǎng)校 | 資訊中心 | 財(cái)經(jīng)法規(guī) 更多>>