網絡安全建議書
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全建議書范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全建議書范文第1篇
1威脅計算機網絡安全的因素
計算機網絡安全所面臨的威脅是多方面的,一般認為,目前網絡存在的威脅主要表現在:
1.1非授權訪問
沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。
1.2信息泄漏或丟失
指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括:信息在傳輸中丟失或泄漏(如"黑客"利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、賬號等重要信息)、信息在存儲介質中丟失或泄漏、通過建立隱蔽隧道等竊取敏感信息等。
1.3破壞數據完整性
以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益于攻擊者的響應;惡意添加、修改數據,以干擾用戶的正常使用。
1.4拒絕服務攻擊
它不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。
1.5利用網絡傳播病毒
通過網絡傳播計算機病毒,其破壞性大大高于單機系統,而且用戶很難防范。
2網絡安全建設方法與技術
網絡具有訪問方式多樣、用戶群龐大、網絡行為突發性較高的特點。網絡安全問題要從網絡規劃階段制定各種策略,并在實際運行中加強管理。為保障網絡系統的正常運行和網絡信息的安全,需要從多個方面采取對策。攻擊隨時可能發生,系統隨時可能被攻破,對網絡的安全采取防范措施是很有必要的。常用的防范措施有以下幾種。
2.1計算機病毒防治
大多數計算機都裝有殺毒軟件,如果該軟件被及時更新并正確維護,它就可以抵御大多數病毒攻擊。定期地升級軟件是很重要的。在病毒入侵系統時,對于病毒庫中已知的病毒或可疑程序、可疑代碼,殺毒軟件可以及時地發現,并向系統發出警報,準確地查找出病毒的來源。大多數病毒能夠被清除或隔離。再有,對于不明來歷的軟件、程序及陌生郵件,不要輕易打開或執行。感染病毒后要及時修補系統漏洞,并進行病毒檢測和清除。
2.2防火墻技術
防火墻是控制兩個網絡間互相訪問的一個系統。它通過軟件和硬件相結合,能在內部網絡與外部網絡之間構造起一個"保護層",網絡內外的所有通信都必須經過此保護層進行檢查與連接,只有授權允許的通信才能獲準通過保護層。防火墻可以阻止外界對內部網絡資源的非法訪問,也可以控制內部對外部特殊站點的訪問,提供監視Internet安全和預警的方便端點。當然,防火墻并不是萬能的,即使是經過精心配置的防火墻也抵擋不住隱藏在看似正常數據下的通道程序。根據需要合理的配置防火墻,盡量少開端口,采用過濾嚴格的WEB程序以及加密的HTTP協議,管理好內部網絡用戶,經常升級,這樣可以更好地利用防火墻保護網絡的安全。
2.3安全漏洞掃描技術
安全漏洞掃描技術可以自動檢測遠程或本地主機安全性上的弱點,讓網絡管理人員能在入侵者發現安全漏洞之前,找到并修補這些安全漏洞。安全漏洞掃描軟件有主機漏洞掃描,網絡漏洞掃描,以及專門針對數據庫作安全漏洞檢查的掃描器。各類安全漏洞掃描器都要注意安全資料庫的更新,操作系統的漏洞隨時都在,只有及時更新才能完全的掃描出系統的漏洞,阻止黑客的入侵。
2.4數據加密技術
數據加密技術是最基本的網絡安全技術,被譽為信息安全的核心,最初主要用于保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文,然后再進行信息的存儲或傳輸,即使加密信息在存儲或者傳輸過程為非授權人員所獲得,也可以保證這些信息不為其認知,從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。
2.5安全隔離技術
面對新型網絡攻擊手段的不斷出現和高安全網絡的特殊需求,全新安全防護理念"安全隔離技術"應運而生。它的目標是,在確保把有害攻擊隔離在可信網絡之外,并保證可信網絡內部信息不外泄的前提下,完成網絡間信息的安全交換。隔離概念的出現是為了保護高安全度網絡環境。
2.6網絡安全管理防范措施
對于安全領域存在的問題,應采取多種技術手段和措施進行防范。在多種技術手段并用的同時,管理工作同樣不容忽視。規劃網絡的安全策略、確定網絡安全工作的目標和對象、控制用戶的訪問權限、制定書面或口頭規定、落實網絡管理人員的職責、加強網絡的安全管理、制定有關規章制度等等,對于確保網絡的安全、可靠運行將起到十分有效的作用。
(接上頁)
圖6 A、B兩樣品的EDS能譜圖
2.5樣品的EDS分析
樣品進行X射線能譜分析(EDS),分別采集兩個樣品的EDS能譜,其能譜圖見圖6中所示,由圖可知A、B兩樣品中都主要含有鎳和銅兩種元素和少量的碳元素。分析可知,銅元素來源于制樣時的基底材料銅柵上,碳元素來源于銅柵表面的碳膜或者泡沫鎳骨架中未被完全燒透的有機殘留物。而A樣品中出現極少量的氧雜質,這是未被完全還原的產物。而B樣品中出現了少量的Zn,來源于鍍液中的雜質。
網絡安全建議書范文第2篇
論文關鍵詞:計算機網絡安全 入侵檢測技術
論文摘要:隨著計算機與網絡技術的不斷發展,網絡安全也日益受到人們越來越多的關注。防范網絡入侵、加強網絡安全防范的技術也多種多樣,其中入侵檢測技術以其低成本、低風險以及高靈活性得到了廣泛的應用,并且有著廣闊的發展前景。本文就入侵檢測技術在計算機網絡安全維護過程中的有效應用提出探討。
一、入侵檢測系統的分類
入侵檢測系統可以分為入侵檢測、入侵防御兩大類。其中入侵檢測系統是根據特定的安全策略,實時監控網絡及系統的運行狀態,盡量在非法入侵程序發起攻擊前發現其攻擊企圖,從而提高網絡系統資源的完整性和保密性。而隨著網絡攻擊技術的日益提高,網絡系統中的安全漏洞不斷被發現,傳統的入侵檢測技術及防火墻技術對這些多變的安全問題無法全面應對,于是入侵防御系統應運而生,它可以對流經的數據流量做深度感知與檢測,丟棄惡意報文,阻斷其攻擊,限制濫用報文,保護帶寬資源。入侵檢測系統與入侵防御系統的區別在于:入侵檢測只具備單純的報警作用,而對于網絡入侵無法做出防御;而入侵防御系統則位于網絡與防火墻的硬件設備中間,當其檢測到惡意攻擊時,會在這種攻擊開始擴散前將其阻止在外。并且二者檢測攻擊的方法也不同,入侵防御系統對入網的數據包進行檢查,在確定該數據包的真正用途的前提下,再對其是否可以進入網絡進行判斷。
二、入侵檢測技術在維護計算機網絡安全中的應用
(一)基于網絡的入侵檢測
基于網絡的入侵檢測形式有基于硬件的,也有基于軟件的,不過二者的工作流程是相同的。它們將網絡接口的模式設置為混雜模式,以便于對全部流經該網段的數據進行時實監控,將其做出分析,再和數據庫中預定義的具備攻擊特征做出比較,從而將有害的攻擊數據包識別出來,做出響應,并記錄日志。
1.入侵檢測的體系結構
網絡入侵檢測的體系結構通常由三部分組成,分別為Agent、Console以及Manager。其中Agent的作用是對網段內的數據包進行監視,找出攻擊信息并把相關的數據發送至管理器;Console的主要作用是負責收集處的信息,顯示出所受攻擊的信息,把找出的攻擊信息及相關數據發送至管理器;Manager的主要作用則是響應配置攻擊警告信息,控制臺所的命令也由Manager來執行,再把所發出的攻擊警告發送至控制臺。
2.入侵檢測的工作模式
基于網絡的入侵檢測,要在每個網段中部署多個入侵檢測,按照網絡結構的不同,其的連接形式也各不相同。如果網段的連接方式為總線式的集線器,則把與集線器中的某個端口相連接即可;如果為交換式以太網交換機,因為交換機無法共享媒價,因此只采用一個對整個子網進行監聽的辦法是無法實現的。因此可以利用交換機核心芯片中用于調試的端口中,將入侵檢測系統與該端口相連接。或者把它放在數據流的關鍵出入口,于是就可以獲取幾乎全部的關鍵數據。
3.攻擊響應及升級攻擊特征庫、自定義攻擊特征
如果入侵檢測系統檢測出惡意攻擊信息,其響應方式有多種,例如發送電子郵件、記錄日志、通知管理員、查殺進程、切斷會話、通知管理員、啟動觸發器開始執行預設命令、取消用戶的賬號以及創建一個報告等等。升級攻擊特征庫可以把攻擊特征庫文件通過手動或者自動的形式由相關的站點中下載下來,再利用控制臺將其實時添加至攻擊特征庫中。而網絡管理員可以按照單位的資源狀況及其應用狀況,以入侵檢測系統特征庫為基礎來自定義攻擊特征,從而對單位的特定資源與應用進行保護。
(二)對于主機的入侵檢測
通常對主機的入侵檢測會設置在被重點檢測的主機上,從而對本主機的系統審計日志、網絡實時連接等信息做出智能化的分析與判斷。如果發展可疑情況,則入侵檢測系統就會有針對性的采用措施。基于主機的入侵檢測系統可以具體實現以下功能:對用戶的操作系統及其所做的所有行為進行全程監控;持續評估系統、應用以及數據的完整性,并進行主動的維護;創建全新的安全監控策略,實時更新;對于未經授權的行為進行檢測,并發出報警,同時也可以執行預設好的響應措施;將所有日志收集起來并加以保護,留作后用。基于主機的入侵檢測系統對于主機的保護很全面細致,但要在網路中全面部署成本太高。并且基于主機的入侵檢測系統工作時要占用被保護主機的處理資源,所以會降低被保護主機的性能。
三、入侵檢測技術存在的問題
盡管入侵檢測技術有其優越性,但是現階段它還存在著一定的不足,主要體現在以下幾個方面:
第一:局限性:由于網絡入侵檢測系統只對與其直接連接的網段通信做出檢測,而不在同一網段的網絡包則無法檢測,因此如果網絡環境為交換以太網,則其監測范圍就會表現出一定的局限性,如果安裝多臺傳感器則又增加了系統的成本。
第二:目前網絡入侵檢測系統一般采有的是特征檢測的方法,對于一些普通的攻擊來說可能比較有效,但是一些復雜的、計算量及分析時間均較大的攻擊則無法檢測。
第三:監聽某些特定的數據包時可能會產生大量的分析數據,會影響系統的性能。
第四:在處理會話過程的加密問題時,對于網絡入侵檢測技術來說相對較難,現階段通過加密通道的攻擊相對較少,但是此問題會越來越突出。
第五:入侵檢測系統自身不具備阻斷和隔離網絡攻擊的能力,不過可以與防火墻進行聯動,發現入侵行為后通過聯動協議通知防火墻,讓防火墻采取隔離手段。
四、總結
現階段的入侵檢測技術相對來說還存在著一定的缺陷,很多單位在解決網絡入侵相關的安全問題時都采用基于主機與基于網絡相結合的入侵檢測系統。當然入侵檢測技術也在不斷的發展,數據挖掘異常檢測、神經網絡異常檢測、貝葉斯推理異常檢測、專家系統濫用檢測、狀態轉換分析濫用檢測等入侵檢測技術也越來越成熟。總之、用戶要提高計算機網絡系統的安全性,不僅僅要靠技術支持,還要依靠自身良好的維護與管理。
參考文獻:
[1]胥瓊丹.入侵檢測技術在計算機網絡安全維護中的應用[J].電腦知識與技術,2010,11
網絡安全建議書范文第3篇
一、構建專業風險管理框架
1、公司成立負責風險管控的專業部門(如風險管理委員會),明確風險管理委員會及各專業委員會,風險管控部、各渠道部門,后援部門和資源部門等在風險管理工作中的角色及工作職責,通過不斷修訂和完善風險管理制度、流程、加強分公司風險管理體系建設,保證風險管理目標的實現。
2、公司各部門結合部門的風險類別,建立并完善相應的內部控制制度,實現風險管理的制度化,標準化,推動分公司風險管理制度建設。各部門要通過對日常業務進行風險監控,收集風險管理信息,對風險點提出整改建議并及時報送風險管控部。依據風險管控部下發的風險管理建議書完成整改。
4、公司明確將風險管理納入各部門日常經營的各個環節,各部門負責人為本部門風險管理第一責任人,對于違反相關內容的部門和個人,依據公司下發的規定結合自身的實際情況,給予追究和處罰。
二、公司各部門有效配合風險管理工作
1、風險管控部牽頭組織,定期收集整理各部門上報的各類風險信息,以及外部監管信息,通過分析匯總,由公司風險管理委員會審批后發放至各部門遵照執行。該部在年度風險識別和評估的基礎上,對“內險分類標準”、“內險識別和評估方法”不斷進行補充和完善,建立公司風險管理庫。制定年度計劃,組織開展風險排查和制度執行檢查工作,對各部門、各機構的風險管理和內控合規效果進行評估,對需要整改的事項下達風險管理建議書。風險管控部年中、年末組織召開風險管控工作建議,總結公司風險管控工作開展情況,并提出改進建議上報風險管理委員會。
2、人力資源部負責建立績效考核制度,對各級管理人員的考核,薪酬、獎懲、晉升等決定與風險管理和內控合規成效相掛鉤。配合風險管控部每月定期組織開展風險排查和內部審計檢查工作,對檢查中發現的各級人員的違規情況報備人力資源部,人力資源部記入人員檔案并納入各層級績效考核。
3、計劃財務部根據下發的會計制度進行日常會計處理;依據預算體系,完成預算的編制、執行、調整、分析與考核的工作;建立財產日常管理制度和定期清查制度,確保財產安全,配合風險管控部進行財務數據相關調查。
4、銷售管理工作由營銷業務部,培訓部、銀行業務部、團體業務部、健康保險部、保費部、財富管理業務部、各機構共同完成,主要負責建立并保持書面程序,對銷售人員的甄選、簽約、薪酬、考核、檔案、品質管理、宣傳材料管理等進行控制;定期對銷售人員進行專業培訓和職業道德教育,建立銷售人員失信懲戒機制;對于銷售過程中已識別的風險,建立并保持控制程序;執行公司的風險管理制度。
5、運營管理部和法人運營部主要負責核保核賠,單證管理及保全管理,建立明確有核保,核賠標準,實施權責明確、分級授權,相互制約,規范操作的承保理賠管理機制;明確核保核賠人員的適任條件,定期對核保核賠人員進行培訓,確保核保核培人員具有專業操守并勤勉盡職;對單證的印刷、保管、領用、作廢和核銷及檔案的保管實施控制。
6、客戶服務部主要負責客戶的咨詢投訴管理、客戶的回訪、客戶服務及柜面管理。建立并保持咨詢投訴處理程序,對咨詢投訴處理中發現的問題進行核實、分析、反饋、進行整改和跟蹤監督,并對公司業務品質管理進行原則確定、統一管理;建立并實施業務操作標準和服務質量標準,對柜面活動的服務質量進行規范管理,并建立客戶服務質量考評機制;按照有關規定確定客戶回訪范圍和內容,對客戶反饋信息進行分析整改并定期跟蹤。
7、信息技術部主要負責信息安全管理、建立信息安全管理體系、對硬件、操作系統,應用程序和操作環境實施控制,確保信息的完整性,安全性和可用性;出入計算機機房有嚴格的審批程序和出入記錄;對系統數據資料采取加密措施,建立健全網絡管理系統,對網絡安全,故障、性能、配置等進行有效管理;對完絡設備,操作系統,數據庫系統,應用程序等設置必要的日志。
8、辦公室主要負責行政管理,負責建立并保持書面程序,對公司的印鑒,合同檔案,職場管理,招標投標、文件、品牌宣傳、固定資產及物料管理等環節進行控制,定期對固定資產及物料進行清查,保證財產的安全,對工作當中已經識別出的風險保持控制。
9、企劃部主要根據公司的戰略規劃,統一制定分支機構組織設置,職責權限,建立健全分支機構管控制度,實現對分支機構的全面、動態、有效管理、包含公司經營目標,經營計劃的督導追蹤、分支機新設、撤銷、變更、晉級等業務。
三、樹立良好的企業風險管理文化
網絡安全建議書范文第4篇
一、網站認證的由來
(一)產生背景
1997年,美國政府正式提出了電子商務框架(E-business framework)的概念。Business to Business(BtoB),Business to Customer(BtoC)的電子商務形式,以及Internet Service Provider(ISP),Application Service Provider(ASP)和Certificated Authorities(CA)等服務隨之豐富和繁榮起來。同一年,AICPA與CICA聯合提出了一項旨在幫助網站瀏覽者增強對網站的信任,幫助保障隱私,認證網站安全和減低網絡商業詐騙風險的新的互聯網網站鑒證服務—Webtrust。這項鑒證服務是由持有特許專業執照的注冊會計師,按照AICPA和CICA公布的“網站認證”準則與規范(Principles and Criterias)對被審查網站的在線隱私(Online Privacy)、安全性(Security)、有效性(Availability)、商業模式與交易信譽(Business Practices/Transaction Integrity)、認可(Non-repudiation)、保密性(Confidentiality)、CA服務等七方面進行審查和鑒證,對于符合準則與規范的網站,允許其將AICPA或CICA委托Verisign公司管理的“網站認證”徽記以超鏈接(Hyperlink)方式放置在該網站的主頁(首頁)上,供瀏覽網站的顧客點擊后,以安全方式查看位于Verisign網站的注冊會計師鑒證報告。
網絡安全、隱私權和瀏覽者信任等問題一直是嚴重阻礙網絡經濟發展的主要問題。一方面,各網站公司、安全技術機構和微軟等的研發中心都在不斷的更新完善加密技術,推出一些認證方式,維護網絡安全;但另一方面,在開放型的網絡世界中,人們不斷聽到、看到和受到各種網絡安全的威脅,因此對于網上交易戒心重重。此外,虛擬的網站使顧客只能通過網頁的內容來了解公司而無法知曉公司的規模、誠信、產品和服務的實際狀況,更無法確認網站承諾的安全保密條款會否得到不折不扣地執行,而且越是有名的安全技術性認證,越容易引起黑客的攻擊興趣。AICPA和CICA正是看到了這一新興的市場,利用自身獨立、客觀、公正的良好第三者形象和專業的技能知識開始介入這一市場,使“網站認證”服務應運而生。
(二)準則內容
也許是受到計算機行業慣例的影響,AICPA在推出其“網站認證準則與規范”時使用了X.0版的模式。其最新的3.0版準則與前期的2.0版和1.0版比較,有了很大的進步,將網站認證的范圍擴大到了BtoB、ISP、CA等范圍。3.0版準則提供給網站更多的認證選擇,以滿足其具體的需要。例如提供BtoC服務的網站會對“在線隱私”和“商業模式與交易完整”認證更感興趣;提供BtoB服務的網站會對“安全”和“認可”認證更感興趣。以下是3.0版準則的簡要介紹:
1.在線隱私。2000年11月30日AICPA制定了“在線隱私”準則與規范3.0版:“網站應該充分地揭示其對在線商務隱私的運作程序,并遵守這些程序,保持對這些程序的有效控制,對在電子商務中產生的私人信息的安全提供合理的保證”。該準則適用于BtoC、ISP和ASP服務。
2.安全性。2001年1月1日,AICPA制定了“安全性”準則與規范3.0版:“網站應揭示、執行和保持其安全保護政策,并對所有接近電子商務系統和數據的人都是通過了安全政策下的授權提供合理的保證”。該項準則適用于BtoB、BtoC、ISP和ASP服務。
3.商業模式與交易信譽。2001年1月1日,AICPA制定了“商業模式與交易完整”準則與規范3.0版:“網站應揭示、執行和保持其既定的商業運作政策,并為商務運作完整、準確和一致的遵循其政策提供合理的保證”。該項準則適用于BtoB、BtoC、ISP和ASP服務。
4.有效性。2001年1月1日,AICPA制定了“有效性”準則與規范3.0版:“網站應揭示、執行和保持其既定的有效性政策,并為電子商務交易的有效性提供合理的保證”。該項準則適用于BtoB、BtoC、ISP和ASP服務。
除上述準則外,“網站認證”的其他準則與規范與以前舊版模式內容沒有太大變化。
(三)發展現狀
根據AICPA網站2001年5月的消息,目前共有17個國家和地區的注冊會計師協會獲準其會員提供網站認證鑒證服務,其中包括香港會計師公會(HKSA)。但是,獲得網站認證徽記的網站不足40家。臺灣學者的相關研究認為,網站認證發展受阻的主要原因是:1.公眾對注冊會計師的網站認證鑒證服務還很不熟悉。2.網站認證的收費較高,對于很多網站來說不具成本效益。3.消費者是因為對網站感興趣才進入該網站。4.注冊會計師不善于進行網站認證營銷。可見,網站認證還處于起步階段,需要注冊會計師們的大力推廣,不斷更新。
二、網站認證的特點
由于網絡的虛擬特性,信息、證據的痕跡不能直接觀察,網絡技術環境更新迅速以及網站信譽鑒證有特殊目的等原因,使得這一鑒證服務有別于傳統審計業務,具有許多新的特點。
(一)目標和審點。
網站認證不是以網站的財務狀況、經營業績為審查的中心目標,而是以網站的安全性、信息的管理保護等為審查對象,以評價這些內容是否符合有關準則與規范為目標進行的鑒證服務。這一目標的變化,直接導致了鑒證的各要素和鑒證方法的變化。因此,可以說網站認證是一種全新的審計概念。
我們認為,網站認證仍然是一種審計活動,而不是其他的管理咨詢等非審計業務。美國會計學會(AAA)對審計的定義是“為確定關于經濟行為及經濟現象的結論和所制定的標準之間的一致程度,而對這種結論有關的證據進行收集、評定,并將結果傳達給利害關系人的有組織的過程。”可見,現代審計的概念早已經拓寬到管理審計、經濟效益審計等多方面。“網站認證”作為現代審計的新分支,是網絡經濟的產物,是在注冊會計師對網站進行審計時,結合客觀現實的需要應運而生的。從審計的本質上講,網站認證是對虛擬網站向客戶提供BtoB、BtoC商務模式以及ISP、ASP、CA等經濟活動是否符合有關規范所進行的評價與鑒證。
(二)審計職能
一般認為,審計具有監督、評價、鑒證職能。網站認證的評價職能是顯而易見的,注冊會計師對網站的營運方式分析、系統的安全測試、數據資料的管理維護抽樣調查等都是為了要評價網站的安全性、有效性、合規性。雖然說評價的內容有所變化,但評價職能本身是沒有改變的。網站認證的鑒證職能是其本身目標的直接體現,正是因為有了鑒證職能,網站瀏覽者和客戶才會加強對網站的信任感,才能實現電子商務劑的功能。“網站認證”由于是注冊會計師接受網站本身的委托對其進行的審查活動,除對網站內部人員有一定監督作用外,監督職能因此并不突出。
(三)審計的主體、客體和對象
雖然網站認證依然是由注冊會計師進行的,但是它對注冊會計師提出了更高的要求。首先,注冊會計師必須有特殊的專業執照才能進行這項業務,這不同于管理審計、管理咨詢等業務。其次,注冊會計師必須充分考慮是否需要其他專家的協助,而這往往是必不可少的,就猶如人壽保險審計,需要有精算師的配合與協助一樣。最后,網站認證徽記是由Verisign網站提供和管理。所以網站認證審計的主體已經不再像傳統審計那樣單純了。
網站認證的客體是網站。由于這一客體與傳統的公司、組織有顯著不同,因此“網站認證”審計也顯得與眾不同。網站公司往往實體業務很簡單,更多更主要的經濟活動是發生在虛擬的網絡世界中,對這樣的客體進行審計必須選擇與之相適應的手段和方法。
網站認證的對象是網站的系統安全模式、網站的經濟活動程序等等,這與傳統的審計大不一樣。
(四)審計風險
一方面,網站認證報告的對象是不確定的所有網站服務使用者,不局限于審計委托人;另一方面,網絡的變化迅速,使用“網站認證”鑒證報告的瀏覽者得到的是根據以前信息做出的安全認證,這對于網絡世界來說是明顯滯后的。所以,注冊會計師的風險很大,必須在認證報告中加入適當的說明,以明確責任。
(五)審計方法、手段和報告方式
綜上所述,我們知道網站認證的目標、客體和對象與傳統審計相比較有了很大變化,因此在審計手段和方法上也有相應的變化。
首先,網站認證的審計程序是:評價委托風險接受委托并獲得管理當局聲明書系統管理控制評價符合測試、實質測試完成審計工作,提出管理建議書,要求進行改進以達到標準出具報告,申請給與網站認證徽記每3個月進行復核測試。其中的最后一個步驟就是傳統審計所沒有的,是適應網絡經濟飛速發展的客觀需要而采取的一項重要內容。而且,網站認證中管理當局聲明書的內容較傳統審計有很大不同,管理當局被要求對其管理網站的各項安全保密政策以及其他要求注冊會計師審計的方面的政策和執行情況進行揭示與責任說明。網站認證中的管理當局聲明書相當于傳統審計中的會計報表加管理當局聲明書,這與傳統審計有所區別。
其次,許多審計測試都必須通過計算機進行,不存在繞過計算機審計的方法。例如,在進行客戶登錄是否有安全保護,是否只能進入授權級別的內容,交易是否是在安全模式下進行等測試只能在網絡上進行,相關的審計證據也是以電子方式存在,這是網站認證審計的一大特點。
第三,網站認證的委托人(審計報告的對象)與傳統的報表審計不同。一般來說,“網站認證”是由網站管理當局委托注冊會計師進行的,審計報告的對象是網站的管理當局,這是與目前的網站認證報告的使用目的相關的。網站所有者并不需要網站認證來證明網站的安全,因為這只是經營者提高業績而進行的努力,所以網站認證的委托人大都是網站的管理當局。
最后,網站認證的報告方式別具一格。網站認證報告是通過被審計網站主頁上的一個超鏈接圖標與Verisign網站的相關報告鏈接,瀏覽者點擊該圖標就可以看到注冊會計師的審計報告。這種審計報告是網站通過了何種認證標準的報告,不存在傳統概念下的保留意見、否定意見或拒絕表示意見報告。以下是一份根據網站認證3.0版“安全性”準則與規范書寫的報告范例:
獨立審計師報告
興隆公司管理當局:
我們已經審查了貴公司2000年1月1日到2000年12月31日的管理聲明書(鏈接到管理聲明書),聲明包括揭示了所有重要的電子商務安全政策,并遵循了這些政策,且對只有獲得授權的人才能在上述安全政策下接近電子商務系統和數據保持了有效的控制。我們的審查是根據美國注冊會計師協會“網站認證”安全性準則進行的(可鏈接到安全性準則)。執行程序、揭示政策、遵循和控制是興隆公司管理當局的責任。我們的責任是根據我們的審查發表審計意見。
我們的審計程序是按照美國注冊會計師協會的標準執行的,這些審計程序包括:(1)獲得和了解興隆公司揭示的安全政策和相關安全控制程序,(2)測試這些安全政策的執行遵守情況,(3)測試和評價安全控制執行的有效性,(4)其它我們認為必要的審計程序。我們認為我們的審查為我們的審計意見提供了合理的基礎。
我們認為,興隆公司的上述管理聲明書,依據美國注冊會計師協會“網站認證”安全標準,在所有重要方面都進行了公允地表達。
由于控制內在的限制,一些錯誤和舞弊可能存在而沒有被檢查出來。并且,基于我們的發現而得出的結論,在未來的期間,存在這些結論不適用的風險,因為:(1)安全系統和控制可能改變,(2)執行環境的變化,(3)時間流逝帶來的變化,(4)對安全政策和程序的遵循可能懈怠。
在興隆公司網站上的網站認證徽記是本報告內容的一種符號表示,它不是對本報告的更新,也不代表任何更進一步的保證。
埃得華會計師事務所
弗內斯特·埃得華 注冊會計師
華盛頓特區
2001年2月1日
三、中國注冊會計師應如何面對網站認證
網站認證審計在我國還是個新鮮的事物。如何發展我國注冊會計師的網站認證業務呢?筆者認為,我國注冊會計師行業的建設隨著時間與經驗的積累,水平在逐漸提高。但由于種種原因,社會大眾對我們注冊會計師這個行業的信任度還不是很高。這是我國注冊會計師拓展網絡鑒證服務市場的主要阻礙。要克服這些障礙,我們仍有許多方面的工作必須加以努力。具體來講:
1.有必要建立一部管理電子商務的基本法。沒有法律的保護,任何行業的自律,任何第三方的證明,都不能使消費者和客戶真正的放心。如果消費者權益沒有明確的法律保護,那么電子商務將是一件風險很高的商業行為,更何況是網站認證。
2.中國注冊會計師協會應該為網站認證或網站審計制定標準,提供資格認證。每一個行業都有自身的特點,雖然我們沒必要為每一個行業制定特殊的審計準則,但是對于個別重要或特殊的行業還是應該根據實際情況,進行相應的處理。我們完全可以參考金融保險企業審計那樣,為網站認證或網站審計規定新的游戲規則。
3.隨著經濟環境的變化,注冊會計師必須無時無刻地加強自身的專業技能與知識創新,提高職業道德水平。事務所應該努力延伸在網絡經濟方面的觸角,學習新事物,拓展新市場。反觀我國注冊會計師工作壓力重,再學習時間少,全面更新專業技能知識難度大。
4.網站認證的發展壯大依賴于網絡經濟、電子商務的發展壯大。我國社會主義市場經濟的建設事業還沒有完全完成,市場經濟的規則還不完善,舊的習慣和方法還桎梏著一小部分人的思維,網絡經濟道途坎坷的情況有待逐步改善。
網絡安全建議書范文第5篇
關鍵詞:電力信息網絡安全;風險評估;措施
中圖分類號:TK124文獻標識碼:A
信息安全工作對信息網絡的安全狀況進行評估,對信息系統起到保障作用,在高新科技時代,電力企業建立安全有效的信息網絡刻不容緩。面對越來越重要的電力信息網絡的風險評估,本文結合當前電力信息系統現狀,分析了信息安全評估的方法,總結了風險評估技術。
1電力信息網絡風險評估技術的現狀
目前,我國的電力信息系統已經建立了安全管理體系,并在不斷地完善,將原先信息網絡和實施控制體系相互分離開來。然而,我國電力信息網絡的安全存在著許多缺陷,包括缺乏網絡防火墻、數據備份問題、缺少長遠的規劃等,系統的安全管理體系還需要更進一步地完善建設。
1.1電力信息網絡的風險評估技術的運用
電力企業信息化硬件設備足夠,網絡建設成功完成。信息化在電力生產、電力調度、輸變電、配網自動化等方面廣泛使用。在網絡硬件上采用多種技術,如千兆骨干網等;在軟件上運用電網自動化體系調度和相關技術系統,并有效運用營銷系統、配網自動化等系統。現在的電力信息網絡在安全生產、節能降耗、降低成本、縮短工期、提高勞動生產率等方面發揮了社會效益和經濟效益,信息化治理機制逐步改善,在電力生產、建設、經營、治理、科研、設計等方面得到充分的利用。
1.2電力信息網絡的風險評估技術有待改進的地方
1.2.1增加安全防范
計算機信息技術高速發展帶動計算機信息安全策略和技術的發展。建立完善的、有指導意義的電力系統計算機及信息網絡系統,才能保證體系的安全運行。
1.2.2建立計算機信息安全體系
計算機運用在電力系統的生產、經營、治理等方面,但是安全策略、安全技術以及安全措施的投資力度不足。
1.2.3防范黑客攻擊
建立廣域網之后,計算機網絡化使之前孤立的局域網面臨巨大的外部安全攻擊。現在不僅僅要防止意外破壞和內部職員的安全控制,還要能防止互聯網上的安全攻擊。
1.2.4保護數據信息
以明文形式存儲的信息存在泄漏的可能,要防止存儲介質的泄露,以及黑客可以繞過操縱系統、數據庫治理系統的控制而得到信息,要注意系統后門和來自軟硬件系統制造商的風險。
1.2.5完善數據備份措施
不能只用一臺工作站備份數據,要有完善的數據備份設備、數據備份策略和數據備份的管理制度,并且對數據備份的介質妥善保管。
2面對的風險、解決措施和風險控制
2.1風險
2.1.1操作系統安全風險
系統安全管理保證了操作系統的安全性,但是當前許多服務器都存在信息安全隱患。
2.1.2數據庫安全風險
數據庫是全部業務應用、決策支持、行政辦公和外部信息系統的信息管理核心,相關的生產數據都要得到保護。統一的數據備份和恢復,以及可用性高的保障機制,安全管理數據庫等可以提升安全管理的級別,規避風險。目前,電力的數據庫管理系統的安全級別還算高,但是還有安全漏洞。應用系統軟件在數據的安全管理也有安全漏洞,要綜合評估數據庫和應用的安全性。
2.1.3Web系統安全風險
要訪問電力系統企業內部資源,WebServer是其中的通道,但其服務器越來越復雜,安全漏洞也越來越多。
2.1.4桌面應用系統的安全風險
桌面應用系統是優化整個應用系統的重要部分,是訪問系統資源和管理系統資源的入口,因此對于系統風險的防范尤為重要。桌面應用系統的管理和使用不當,就會產生安全風險。
2.1.5病毒危害
電力信息系統中辦公自動化,作為核心的電子郵件傳送是傳播計算機病毒的媒介,防病毒軟件的安裝還不夠。此外,新病毒越來越多,威脅性也越來越大。病毒感染方式的改變,要求防毒工作要從整體安全考慮,思考如何網絡防毒。
2.1.6黑客入侵
黑客入侵一般是來源于內部,入侵者通過網絡探測、掃描網絡及操作系統存在的安全漏洞,用相應的攻擊程序攻擊,使得服務器超負荷工作,最后系統癱瘓。當然還有來自于外部的,如入侵者通過網絡監聽、用戶滲透、系統滲透、拒絕服務、木馬等得到用戶的用戶名以及口令登錄后偷取內部網的重要信息,令系統終止服務。出于以上原因,要防止信息外泄就要對外部和內部網絡隔離,過濾外網的服務請求,只接收正常通信的數據。
2.2解決措施
2.2.1做好經管工作
在人員管理方面,首先需要加強安全教育工作,保證網絡管理者和安全管理者相對穩定,這樣能夠盡可能地避免網絡機密泄露,在人員調離工作崗位時,也尤其需要注意進行保密工作。對于一些具有風險的操作,包括對網絡裝備、服務器、存儲設備的操作,需要相關手續才能進行,應包括簽字和監督,杜絕修改錯誤、非法修改、機密泄露等情況的發生。在密碼管理方面,尤其需要妥善保管,不能夠使用默認密碼、原始密碼,甚至不設立密碼,每次登陸均需要重新輸入,保障網絡的安全,并且密碼的設置不能過于簡單,需要時常更換,尤其是在人員崗位變動的時候。數據的管理方面,需要及時進行備份工作,備份介質的保管需要穩妥。
2.2.2確定風險評估范圍和策略
對安全系統進行有效評估,需要對該體系進行詳細分析,包括電力網絡拓撲結構、帶寬、硬件、Internet的接口、業務系統的配置防火墻的策略配置等多個方面,最終得出相關的風險分析報告,制作改進建議書。要評估主機和信息網絡等基礎設施、系統軟件、應用系統及服務、現有的安全技術措施以及安全管理措施。還有要制定資產評估,其中有物理資產、信息資產、軟件資產、人員資產和服務。
2.3風險控制
對于電力信息網絡的風險控制可以通過多個方面來進行,不僅需要技術完備,管理機制的健全也是非常重要的。
2.3.1技術手段
技術手段是把威脅降低到最低危害程度的第一道保障,可以對關鍵數據定期或實時容災備份,使用信息加密技術和防火墻、入侵檢測系統。
2.3.2管理機制
對于電力系統信息安全風險控制而言不可缺少管理機制,安全管理機制應包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。管理的制度化影響著系統的安全。為了組織建立科學、系統的安全管理體系基礎,應該建立安全評價,實現組織安全績效的持續改進。降低安全風險,制定嚴格的安全管理制度,明確劃分好部門安全職責,并且合理安排人員的工作。
3結束語
電力系統的生產運作要用到計算機信息系統和計算機網絡,所以信息安全管理要進行信息網絡的風險評估,保證信息系統的安全。雖然現在電力信息網絡風險評估強度很高,但是還需要改進。面對越來越重要的電力信息網絡風險評估,要解決的問題是保證電力系統信息安全,重點解決網絡風險的問題和評估,解決操作系統安全風險、數據庫安全風險、Web系統安全風險、桌面應用系統的安全風險、病毒危害風險以及黑客入侵風險,做好經管工作和風險控制等。
參考文獻:
[1]李梅.電力信息網絡的風險評估技術研究[D].保定:華北電力大學,2008.
[2]彭著熙.電力信息網絡的風險評估技術分析[J].電子技術與軟件工程,2013,(22):230-231.
