前言:我们精心挑选了数篇优质网络安全风险防范文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
前言
随着网络普及率逐年成长,为了提高信息的传输与存储效率,各行各业中信息网络管理已得到充足的应用,也极大地促进了企业信息管理效率。但是由于网络攻击也层出不穷,已严重威胁到网络信息的安全,其中分布式拒绝服务攻击是常见的威胁之一。为了确保企业自身的网络安全,建置入侵防护系统为不可或缺的方法。由于开放原始码(OpenSource)软件的兴起与其可客观化的功能性,使得免费的入侵侦测系统软件——Snort广受欢迎。Snort在应用上多以入侵侦测的角色为主,通过侦测到攻击产生警讯后,通知管理者或SIEM(SecurityInformationEventManager)设备,但此方式并无法在面对攻击时,实时地阻断攻击来源。Snort可通过部署的架构方式或统计信息地址的权重来判断其是否遭受攻击,但若核心的侦测引擎与规则无法侦测到此类攻击,会导致侦测效率不佳[1]。
1当前信息网络面临的安全风险问题
阻断服务(Denial-of-Service,DoS)攻击是一种阻绝的攻击方式,这类攻击会使被害者如计算机、服务器或网络系统,无法提供可用的网络资源。大部分阻断服务攻击利用大量的联机请求来瘫痪被害者的计算机、服务器的网络频宽或联机资源,达到拒绝服务之目的。分布式阻断服务攻击则是通过如木马、后门程序,事先入侵大量计算机并植入傀儡,在同一时间对感染计算机或服务器启动攻击指令,对被害者计算机执行阻断服务攻击,达到影响合法使用者存取的功能[2]。当有大量的Half-OpenConnection发生时,因为其联机缓冲区已经满载,目标计算机将无法再接收新的联机请求。对于这样的行为,多数的计算机均设有Timeout机制来预防,也就是当设定的时间间隔内未收到ACK封包,就切断该联机释放缓冲区的资源,以接收新的联机请求。每一个状态的信息若触发的事件等级小于或等于原提升状态的等级事件,则仍停留在原状态。此外,每一个信息地址纪录有其点数值,此点数值会逐日递减,直至点数为零。因为攻击的发生通常会在短时间内,如一周、一个月,而不会间隔太长的时间。通过将Snort的入侵事件纪录进行分级,同时将所纪录到的信息地址进行分级,建构一个信息地址状态数据库储存,提供管理人员不同层级的纪录数据,减轻管理人员负担,并能实时监控网络的入侵行为[3]。传统的分布式阻断服务攻击是先入侵多台计算机主机,然后利用这些主机同时对目标计算机进行攻击,达到妨碍合法使用者无法存取资源之目的。因为此类攻击技术门坎不高,有许多黑客将其制作成单一工具,使得许多人也可通过此类工具进行攻击,大多称其为脚本小子。PacketSniffer的功能如同电话窃听一样,差别在于它是窃听网络上的信息,而非语音。所谓网络信息即是信息地址流量,这些流量中也包含较高层的通讯协议,包含TCP、UDP、ICMP、信息地址Sec等,许多Sniffer工具会将这些不同的通讯协议转换成人类可读的信息。Snort的第一个组件即是Sniffer,它能将收集到的封包直接转存至Logger,也能交由下个组件——Preprocessor,供后续分析使用[4]。当封包进入Preprocessor后,这个阶段的任务便是分析封包流量的行为。Snort的Preprocessor包含许多的Plug-ins,如HTTPPlug-in、PortScannerPlug-in等。这些Plug-ins会逐一针对封包做特定行为的检查,一旦符合行为规范,便将这些封包再传送至下一个组件─DetectionEngine。
2信息网络面临安全风险的防范措施
2.1强化个人端或伺服端的计算机主机安全
强化个人端或伺服端的计算机主机安全永远是防御各类网络攻击的最佳方案。然而,信息安全的核心虽在于人,也就是人员对信息安全的素质,但此部分却也是最难以实现的。因为有时为了便利性,我们可能就会选择牺牲某些可以保护我们计算机的方式,比如操作计算机使用管理者账号登入、减少恼人的操作提示窗口。但当减少此恼人的行为,也等同给予黑客减少这个繁琐的管理者密码输入提示[5]。优良的服务质量除了自身系统平台稳健外,更须防范外在的网络攻击。因为一旦遭受攻击如阻断服务,短时间内便可能损失极大的利益,甚至会造成使用者的不信任感。
2.2启用Snort的规则侦测
NIDSMode则是启用Snort的规则侦测,让每个流经Snort的封包进行规则比对与检测,当发现有符合规则定义时,即产生警讯(Alert),告知管理人员当前网络出现疑似攻击的情况。Preprocessor对IDS而言是一个很重要的特性,因为它可以自由地启用或停用,达到资源配置或警讯多寡的目标[6]。比如说,当架设完Snort作为IDS后,发现有大量且持续性的PortScan警讯,假如管理人员明确知道自身网络环境是安全的,可忽略这些警讯,那么就可进入Preprocessor停用PortScannerPlug-in,Snort将不再产生PortScan的警讯,但其它的Plug-ins仍旧维持正常运作,不会有所谓的非全有即全无(All-or-nothing)特性[7]。
2.3加强云平台自身的网络安全防护
云平台自身的网络安全防护特别是对海量数据安全的防护将面临着挑战[8]。另外是云平台的安全审核和管理机制问题,目前大多数云服务商的安全审核机制并不完善,用户租用后作何用途,云服务商并不清楚知晓。也未作严格审核或周期性检查,因此出现黑客在云平台部署钓鱼网站、传播恶意代码或发动攻击的情况,如不及时加强管理,未来这种现象将继续增多。
3实施效果
通过强化个人端或伺服端的计算机主机安全、启用Snort的规则侦测、加强云平台自身的网络安全防护等相关信息网络安全风险防范措施,利用强化个人端或伺服端的计算机主机安全强化内部安全信息防范,同时利用Snort的规则侦测安全危险源,加强云平台的网络安全防护保证外部网络环境的安全,由内而外的建立信息网络安全防范模式,可以构建全面、科学、高效、合理的网络安全管理体系,强化安全管理水平,对危害信息网络安全的风险起到一个重要的拦截作用,充分保障信息的安全性,保障其不受到恶意程序的攻击,避免了信息的破坏、恶意修改及其泄漏等安全问题。同时这些举措也有助于强化信息网络产业的管理与监督,确保信息网络系统的正常运行。
4结论
不论网络的形态、种类如何发展,不论网络的技术如何变化,其影响的范围将越来越广,使用的人群越来越多,存在的各种风险与危害也将越来越大。因此,加强对泛在网中各类技术及管理方法的研究,构建统一标准的互联网信息安全保障体系是十分重要的。本文主要论述了将现有网络中的各种技术及管理方法,将其融合到互联网中,充分利用已有的技术来保障互联网的安全运行。
参考文献:
[1]李依琳.网络会计电算化的信息安全风险分析及防范策略[J].当代经济,2017.
[2]杨巍.信息网络安全风险防范模式探析[J].黑龙江科技信息,2017.
[3]李华,胡菲.网络信息安全的社会风险防控[J].苏州市职业大学学报,2016.
[4]段利均.信息共享与供应链网络安全风险的关系研究[J].商场现代化,2016.
(1)业财一体化
财务信息化是在不断进步的,在发展的过程中,企业中的财务部门与其他相关部门之间不再是各自为政,而是有了更多联系与合作,企业内部的业务流程、财务流程以及管理流程实现了交汇融合,企业内部的各类数据,不同部门之间都是共享的,这样可以让员工更加了解企业的经营状况,真正实现业财一体化和协同化。
(2)核算动态化
企业每天的经营活动是不断变化的,随之产生的业务材料也会在系统中进行上传和更新,与此同时,财务处理是跟随经营业务在不断变化的,由此可见,企业中的财务会计核算工作具有动态化的特征。
(3)集中管理
现如今互联网技术更加完善和成熟,在这种条件下,财务信息系统有了新功能,可以进行远程操作,这种不受时间地点限制的技术,帮助企业可以在任何一个时间点去调取想要的数据信息,而且也可以对经营业务做到随时追踪和调查,这种技术会让数据分析的处理效率得到较大的提高,并且在企业进行决策的时候,会为其提供更多帮助,这样对企业的内部资源整合有着非常大的帮助,能够有效促进管理水平的提升。
2财务信息化中的网络安全风险
(1)硬件系统方面
硬件系统是企业实施网络财务信息化的重要前提,只有硬件系统过硬,才能让财务信息化的实现和运行更加顺利。但是如果硬件系统出现了问题,那么将会直接影响财务软件的工作。尤其是硬件系统中负责存储工作的部分出现问题,那么保存的数据都会有丢失的风险,这将会严重影响财务工作的推进。
(2)软件系统方面
软件系统是企业网络财务信息运行的基础,企业要想提升网络财务信息系统的工作效率,首先要保证系统的平稳化运行,而要做到这一点,需要的是更加成熟和完善的软件系统。不仅如此,网络财务软件的使用不是暂时的,而是长时间持续使用。我们都知道,企业中的财务政策、管理要求等都是跟随形势在不断变化的,如果此时财务信息系统没有跟随这些信息的变化而变化,长此以往会影响工作的效率,这对财务信息工作来说是不利的,对其及时性特点的发挥造成了阻碍。
(3)网络环境方面
网络的特点之一就是开放性,网络环境也是开放的,在网络中有各种各样的信息和用户,这些用户在通过网络获取信息的时候,存在很大的风险和隐患。一方面,网络中的用户不乏恶意访问者,其通过不正当的网络手段攻击企业网络系统,获得企业的机密信息,这种类似的情况会让企业财务系统存在非常大的安全隐患,非法入侵的风险是随时都存在的;另一方面,网络环境有好有坏,不同信息的交织使其更加复杂化,因此风险指数直线上升。比如网络病毒越来越多,且很难对其进行全面的防范。网络病毒具有传播范围广、破坏力强、危害大的显著特点。与此同时,网络环境下的财务信息系统与通信线路是否稳定也有着莫大的联系。
(4)数据存储方面
第一,财务数据的存储,过去更多是纸质保存,但是财务管理融合信息技术以后,存储的方式便不再仅仅依靠纸质了,电子存储被财务管理更多地运用。但是在纸质向电子存储过渡的阶段,很多原始数据会有丢失的情况,甚至还会出现被盗和损坏。第二,财务系统中录入的数据,有一部分属于机密数据,会设置访问权限或者加密等,这样做可以大幅度提升机密数据的安全性,但是也会让数据的提取工作出现更多麻烦。当信息没有在规定时间录入到系统中的时候,那么在查询信息的时候会有无法查询的情况,甚至会计档案在信息系统中进行保管的时候,也承担着一定的风险。第三,财务系统更多依赖互联网技术,财务系统信息化的特征越来越明显,系统存储的各项数据随着时间的延长,数量是在不断增长的,所以存储设备如果容量太小,就无法储存更多的数据信息,扩容工作是必须要做的,如果扩容不及时,那么数据就不能顺利储存,而且数据量超过存储容量的时候,会让系统的运行出现更大的问题。
(5)人员责任方面
财务管理信息化的形势愈加明显,并且网络财务信息系统已经在企事业单位中得到了广泛的普及,在这种条件下,财务人员的个人专业能力和素质需要随之提升的,在具备专业会计技能和财务技能的基础上,更需要具备计算机网络等相关技能。很多企业中年长的会计人员因年龄大,接受新鲜事物的能力比较弱,所以对计算机网络知识不能全盘接受,甚至会有抵触的心理,这会让其工作受到影响。另外,还有一种现象是财务人员的财会技能比较弱,并且没有较强的安全风险防范意识,对待工作的责任心不足,在工作中频繁失误。除此之外,权限划分的问题,内控监管的问题等,都是导致机密数据遭到泄漏和非法篡改等风险产生的重要原因。
3防范财务信息化网络安全风险的有效策略和方法
(1)提升财务信息化系统软硬件设施的稳定性
财务信息化能够顺利运行,需要网络系统具备稳定性。为了保证网络系统的稳定性,企业要从网络的软件和硬件两方面进行加强。硬件方面需要在日常管理和维护工作中进行加强,指派相应人员对其负责,在企业内部形成并落实定期检查和维修网络硬件的制度,这样做能够最大程度上保证网络硬件设施能够更加安全稳定,确保财务信息化的水准和质量,降低硬件风险;软件方面,相关人员管理维护意识要逐步培养,维护制度也需要进一步完善和加强,对于网络软件的运行需要特定人员的监督,当发现软件系统的运行出现异常,需要在第一时间进行处理。另外,信息操作系统的调整和升级也是需要不断重视的,将政策的变化等在软件系统中随时更新,在充分保证与时俱进的基础上,促进软件系统更加符合企业发展的需要。
(2)制定和完善管理制度
只有在企业内部建立完善相关管理制度,才能让网络安全风险防范工作能够具有一定的效果,另外,硬件操作基本流程要求也是必不可少的。首先,需要将设备和数据的使用要求进行更加具体的规定;其次,要保证访问系统操作程序的稳定性,相关的标准要更加明确,同时操作人员使用财务系统的操作权限和流程也是需要进一步规范的;最后,为了促进档案管理工作的全方面和全方位等要求的实现,需要将档案管理制度进行确定,同时把财务系统内的数据、资料以及文件等列入档案保管范围中。
(3)提升安全风险防范和应急补救的力度
财务信息系统安全风险的防范工作要做到位,进而才能让网络运行环境更加安全和稳定,对于此,企业需要做好防护工作,还需要对信息系统的安全监测进一步加强,另外,要借助访问控制技术、防火墙技术以及信息加密技术等手段,将网络抵抗外部侵袭的能力进行增强,从而让网络系统可以更加安全稳定,网络中的数据资源的安全也能得到保证。不仅如此,企业对于安全风险的应急补救工作也需要加以重视,为了降低不良现象带来的严重后果,以及在最短时间内将不良现象持续的时间缩短,需要针对各项安全风险隐患,制定好具有针对性的应急补救措施,进而让企业的损失降到最低。同时企业也能在风险中获得更多经验,将内部的技术和管理制度进一步完善,防止相似问题的出现。
(4)做好档案管理工作
首先,在财务信息化背景下,档案管理的范围囊括了电子档案,将档案管理制度进一步完善,档案的保管工作要做到专人负责,同时,档案保管还需要在等级、管理和查询等方面做出努力;其次,为了档案数据损失的风险能够降到最低,需要制定实施档案定期备份,将数据文件在第一时间做好妥善的保存;再次,为了在今后使用财务信息系统的时候能够更加方便查询和故障恢复的操作,需要将隔代数据兼容的问题处理好,原始数据以及重要数据信息,需要通过不同的方式做好备份;最后,档案的存放管理工作也是非常重要的,特别是重要资料,不仅要进行数据备份,还需要在数据管理的时候将原始数据和备份数据进行异地管理,两份数据资料需要在不同的地点保存好,加强保密的工作。
(5)确定并落实岗位责任制
企业财务信息化的推行,要将工作人员的岗位责任制度进行落实,从岗位职责入手,明确操作者的使用权限,同时操作流程和工作流程需要事先确定好,这样能让财务管理人员明确工作的职责和范围,将网络安全风险在源头上进行遏制。
关键词:计算机;网络安全;风险防范;分析
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 14-0056-01
一、计算机网络安全的主要问题
(一)网络防火墙的局限性
在计算机网络的使用过程中,网络防火墙虽然能在安全性上起到一定的保护作用,但不能完全对网络安全起作用,很多时候对来自网络内部的攻击和计算机病毒的侵入方面不能起到有效的安全防护作用。计算机网络在使用过程中需要相应的系统与软件支持,以保证信息的存储、传送和接收。各种软件的设计不同,针对的作用也不同,在使用过程中不可能以同一种方式去进行网络安全保护,每一种软件也都存在着不同的系统漏洞,网络黑客就是利用了这些漏洞对计算机网络或计算机系统进行破坏或侵入。由于计算机网络安全产生的破坏促使计算机网络安全技术得到了大家的重视,并使计算机网络安全技术得到了快速发展。
(二)网络的多重性
计算机网络是全球网络,在对网络进行攻击的敌人不光来自于本地区用户,它包括全球每一个用户,不受时间和空间的限制;计算机网络面对全体用户开放,这就使我们无法预测到网络受到的攻击来自何方,进行何种类型的破坏;网络的使用具有很大的自由度,用户可以通过网络结点自由上网,并进行和获取各类信息。
二、计算机网络安全技术的种类
计算机网络安全技术随着计算机技术应用的范围越来越广也在不断地发展,不断更新的计算机网络安全技术使计算机网络安全问题得到了不断的改善。
(一)虚拟专用网技术
虚拟专用网(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式)、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。虚拟专用网技术是对行业内部局域网络的改善,它可以帮助用户进行远程访问,行业内部各机构构建局域内专用网络安全连接,并可以保证传递的信息的安全性。
(二)防火墙技术
防火墙是指由一个有软件和硬件设备组合而成的,在内网和外网之间、专用网与公共网之间构造的保护屏障。它是一种隔离控制技术,在某个机构的网络和不安全的网络之间建立一个安全网关,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出,以达到保护网络信息不受到非法用户的侵害。防火墙技术从原理上可分为包过滤型防火墙、应用级网关、电路级网关和规则检查防火墙四种,它们之间防范方式各不相同,根据具体需要可采用其中一种或混合使用。
(三)安全扫描技术
安全扫描是采用模拟黑客攻击的方式对目标可能存在的已知安全漏洞进行逐项检测,以便对工作站、服务器、交换机和数据库等各种对象进行安全漏洞检测。通过安全扫描可以有效的检测网络和主机中存在的薄弱点,防止攻击者利用已知的漏洞实施入侵。虽然安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发现安全漏洞。
三、计算机网络安全风险防范措施
近年来,网络黑客活对网络攻击的事件越来越多,这就要求我们的网络安全技术更加完善,以应对各种侵入事件的发生,达到保护网络信息安全的目的。
(一)入侵检测技术
入侵检测技术能够帮助计算机系统应对网络攻击,提高了系统管理员的对网络安全的管理能力,以确保信息安全基础结构的完整性。它从计算机网络系统中的各关键点收集传递的信息,并对传递过程中的这些信息进行分析处理,以达到检查出网络中违反安全策略的行为和遭到袭击的迹象。入侵检测技术是在不影响计算机网络各项性能的情况下对网络进行实时监测,从而完成对内外部攻击和误操作的实时保护。入侵检测系统可以使系统管理员随时了解程序、文件和硬件设备等网络系统的任何变化,还可以为网络安全策略的制订给予一定的帮助。使用的过程比较简单,可以使工作人员很容易地获得网络安全。入侵检测的规模是根据对网络产生的威胁和对安全的需求的不同而设置,在入侵检测系统在发现被入侵后,能够及时作出响应,确保网络安全。入侵检测技术是一种主动性的安全防护技术,提供了对内外部攻击和误操作的实时保护,在网络系统受到侵入之前进行拦截。从国外市场入侵检测产品的快速发展可以看出,入侵检测技术受到人们的高度重视。国内入侵检测产品发展较慢,急需具有自主版权的入侵检测产品的迅速发展,入侵检测产品的发展仍具有较大的提升空间。
(二)防范IP地址欺骗技术攻击
IP欺骗技术也就是伪造某台主机的IP地址的技术。通过IP地址的伪装使得某台主机能够伪装另外一台主机,而这台主机往往具有某种特权或被另外的主机所信任。网络黑客在进行攻击时都是先对我们的主机信息进行侦察,以获取主机在网络中的IP地址,有取具体的IP地址,就可以使这个IP地址成为他的攻击目标,并向这个IP发动攻击。在防止IP地址被欺骗攻击可以在连接到网络时采用服务器的方法,从而保证网络安全。服务器的就是在客户机和远程服务器之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,服务器首先获取用户的请求,然后服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。在使用服务器后,其它用户只能探测到服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。
四、提高计算机网络信息安全的优势
关键词:国有大型国企;网络安全;风险防范
中图分类号:F279 文献标识码:A 文章编号:1007-9416(2017)01-0204-02
互联网的飞速发展,海量的信息资源极大的方便了用户的信息需求,但同时也给网络用户带来了信息安全问题。网络的开放性使得其在安全性上存在病毒入侵、信息泄露等安全风险,据不完全统计全球平均每20秒就会发生一次网络安全事件;我国超过90%的网络管理系统都遭到过黑客攻击或病毒入侵。尽管完全遏制网络攻击几乎是不可能的,任一组织的网络系统都不可能是真正的“金刚”之身,可以说网络安全是网络时代的永恒任务。
1 大型国企的主要网络安全风险
我国大型国有企业已普遍建立了统一的计算机信息系统平台,由于生产、管理数据集中于一个平台上,一损俱损,因而对网络安全提出了很高的要求。以目前我国大型国企的网络安全现状来看,其安全威胁主要来自以下方面:(1)内网威胁。有调查显示约有七成的网络安全威胁来自于企业内部,对于国有企业而言,内部人员的非法操作或误操作对企业的危害是极大的。这些威胁主要表现为:内部人员无意或有意的泄露、盗取企业信息,滥用或误用内部敏感、关键数据等。尽管目前我国大型国企虽然内部T工的网络隐患防范意识正在逐步提高,但这些安全威胁仍然普遍存在的现实情况。(2)外网威胁。在当前这个信息互联的时代,几乎任何国有企业的局域网都实现是与外网互联。在复杂的网络系统中,可能每一天都有入侵者试图闯入网络节点。一旦有员工主机受到网络攻击或感染病毒,就有可能影响整个企业的网络系统,甚至还可能影响到与企业网络系统有链接的其它单位网络。(3)系统风险。系统风险包括,操作系统风险与应用系统风险两大类。目前没有安全漏洞的操作系统是不存在的,当企业网络连上外网之后,必然存在非法入侵的可能。如果大型国有企业操作系统没有采用较高安全级别的系统配置与系统应用,就很容易被人侵入,给企业带来网络安全风险。应用系统的安全风险则更为复杂,因为应用系统是动态的。对于大型国企而言,应用系统的风险主要包括:1)服务器风险。大型国有企业的网络应用多为共享资源,员工有意或无意将硬盘中的信息共享,并长期暴露在网络邻居上的现象是很常见的,这些信息很容易被泄露出去,影响企业的信息安全。2)数据库风险。包括猜测或盗取口令访问、非授权用户的访问、攻击数据库漏洞等风险。当然,因意外导致数据库信息丢失,造成的安全问题也不应该被忽视。3)病毒侵害。通常病毒程序会通过网上下载、人为投放、电子邮件等途径潜入企业内部网络系统。由于大型国企的网络平台是统一的,因此一旦有一台主机感染病毒,就可能迅速影响整个企业内部网络,造成信息泄露、死机、文件数据丢失等安全隐患。4)数据传送风险。对于大型国有企业而言,数据安全尤为重要,数据在公网传输过程中也可能被人非法窃取、删改,一些与竞争对手可能通过技术手段给传送线路上的信息做手脚,造成数据受损或泄露。(4)管理风险。网络管理是大型国有企业网络安全防范中的重要内容,是必要的部分,对降低企业网络安全风险作用重大。其主要包括:1)责任不清,权限管理混乱,致使信息泄露,且出现问题后,追责也较为困难;2)内部不满员工也可能导致信息泄露;3)为了省事或便于记忆,有些大型国有企业设置的登录口令过于简单,导致极易破解,造成网络安全风险等。
2 确保大型国企网络安全的主要技术
所谓网络安全技术,即解决介入控制及确保数据传输安全的技术手段。目前主要的网络安全技术有:(1)网络防火墙技术。作为一种加强网络间访问控制,阻止外网非法入侵的技术手段,网络防火墙技术对保护大型国企内部网络操作环境,维护网络安全有着重要的作用。它能够按照一定得安全策略检测网络间得通信许可,并监视系统的网络运行情况。防火墙负责网络的安全认证,是整个网络安全体系中的最底一层。现代防火墙技术发展迅速,目前已开始向网络层之外的其他安全层级延伸,不再只是单纯的安全过滤,还可以向网络应用提供一定的安全服务,有一些防火墙产品甚至可以提供数据安全、病毒防御、用户认证等多种安全服务。(2)安全隔离。从安全风险来看,基于网络层与基于应用层的攻击较多,难以防范。几年来兴起了一种全新安全防护技术――安全隔离技术。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成信息的安全交换。(3)网络防毒及防蠕虫技术。蠕虫病毒与普通病毒不同,这类病毒通常可以单独安装到系统中,可以独立运行――这也是蠕虫病毒与普通计算机病毒的主要区别。目前,蠕虫病毒越来越多,隐蔽性也越来越强,很难被用户发现,因此危害极大。控制普通病毒的方法是搭建全网终端的集中式防病毒系统;而控制蠕虫病毒需要“阻断”其传播途径,构建邮件防御、漏洞防御、共享防御等立体式的防病毒系统。(4)加密技术。加密技术可分对称加密与非对称加密。对称加密即对信息的加密和解密都使用相同的钥,该方法可简化加密处理过程,信息交换双方都不必彼此研究和交换钥的加密算法。非对称加密即将密钥被分解公钥和私有密钥。这对密钥中任何一把都可以作为公钥(加密密钥)通过非加密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。
3 大型国企网络安全风险的防范措施
对于大型国有企业而言,计算机网络信息资源直接关系到其内部各项业务的运行,如果出现安全问题,轻则影响其网络的正常使用,重则导致整个网络平台瘫痪,数据丢失,信息外泄,给企业带来巨大的损失。因此应根据大型国企的实际情况制定安全防范措施,确保网络安全。
一方面,要加强网络安全管理。对于大型国有企业而言,网络安全管理特别重要,在实践中,我们发现许多网络安全问题出现在组织资源管理上。大型国有企业,可在遵循网络安全多人负责、职责分离、任期有限制的原则下,根据企业需要,制定与企业安防重点、工作环境、业务流程相应的安全管理制度,降低网络安全风险。第一,加强口令安全管理。所有企业内部员工必须对自己的工号或上机口令保密,并定期更改,以防被盗用,尤其是要加强对超级用户的口令保密。为了确保超级用户口令安全,超级用户或系统管理员应只在中心机房登陆,减少密码口令被盗风险。第二,建立严格的设备维护制度。设备安全是其他安全性措施的前提。除了要做好计算机的防火、防雷、防水、防盗等物理设备安全外,还应在不同地点,采用多介质备份操作系统及数据库系统,以防因设备问题导致数据、信息丢失。此外,对于大型国有企业而言,还应编制网络系统的运行记录,以便及时掌握全网运行状态。第三,构建病毒立体防御管理机制。包括定期对网络系统进行查毒、杀毒、升级杀毒程序;对员工进行防病毒教育;严谨在生产机器上安全与业务无关的软件等。通过安全管理,可使大型国企员工充分意识到网络安全工作的重要性。
另一方面,病毒与黑客技术也发展很快,且种类很多,因此,对于大型国有企业来说,充分利用、发展现代安防技术,构建立w防御体系也是极为必要的。第一,划分并隔离不同安全域。以大型国有企业的安全需求划分、隔离不同的安全域,防止误操作域无权访问。第二,建立防火墙系统。对网络接口、网络拨号接口、数据库、PC终端、DMZ等建立防火墙系统,并有针对性的进行防火墙隔离。第三,防范病毒和外部入侵。大型国企网管可以在CISCO路由设备中设置用户口令及EN―ABLE口令,解决网络层的安全问题;可以利用UNIX系统的安全机制,保证用户身份、用户授权和基于授权的系统的安全;对各服务器操作系统和数据库设立访问权限,以防非法用户使用TELNET、FTP等远程登录工具非法入侵。第四,加密、认证技术。加密技术主要用于网络安全传输、公文安全传输、桌面安全防护等方面;采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,从而发现系统遭受的攻击伤害。第五,PKI体系。公钥基础设施(PKI)是通过使用公钥技术和数字证书来确保系统网络安全并负责验证数字证书持有者身份的一种体系。PKI可以提供的服务包括:认证服务,保密(加密),完整,安全通信,安全时间戳,不可否认服务(抗抵赖服务),特权管理,密钥管理等。总之,大型国企的网络安全管理,其重要在于关键点管理,企业应在可以接受的成本范围内对症下药,通过“整体防御+重点保护”相结合,维护网络安全。
参考文献
关键词:网络信息;风险;防范
一、当前网络信息存在的风险
网络信息信息作为一种资源是用来供给人们运用参考,是需要经历了不同的转化过程,这也使得网络信息在每个运用环节中都有可能出现风险,具体可体现在以下环节:
1、网络连接。互联网络所覆盖的面积十分宽广,小至城市,大至国家都建立了网络连接。但这种大面积的网络连接最危险的地方在于可能出现多个隐患点,入侵者可以通过不断寻找的方式来找到网络薄弱的连接处以实现对网络系统的破坏。如:当彼此连接的网络有一处被侵入,必将影响同一网络上的安全[2]。
2、内部系统。操作系统是计算机网络的核心部件,系统的安全状况直接决定着网络信息的安全指数。用户在安全操作系统时常常只考虑使用功能的需要,并未注重内部系统的安全设置。如:在重新安装系统时以缺省选项进行设置,这就运用了大量不需要的服务模块、端口,给网络系统带来安全隐患,增加了网络信息的风险。
二、引发网络信息风险的原因
从网络信息风险的多样性可以思考出,引发网络信息出现安全隐患的原因也必然会是多方面的,用户只有掌握了风险的引发因素才能做好有效的防范与处理措施,维护网络信息的安全。
1、硬件设置缺乏。硬加是计算机的重要组成部分,硬件设置的具体情况将决定了网络系统的运行状态,决定了网络信息是否正常安全。硬件设置导致网络信息风险主要体现在文件服务器、网卡工作站两大方面[3]。文件服务器的配置不过关将影响网络系统功能的发挥,而网卡工作站出现问题会造成网络不稳定。
2、访问控制复杂。当前有很多站点于防火墙配置上不断地增加访问权限,未考虑到访问权限过大也会造成很大的安全隐患。访问权限的扩大很容易让别人随便利用网络而造成网络混乱。而访问控制配置过于复杂将引起配置出现问题,让别人能够入侵。
3、电脑病毒破坏。病毒几乎是和计算机一并产生的,只要运用到计算机网络,就必然会出现各种电脑病毒。其一般会造成计算机网络瘫痪、信息被盗取等风险问题。而如今计算机病毒技术的不断更新,使其给网络信息造成的破坏力逐渐增加。
4、网络系统漏洞。当前计算机操作系统与早期相比已经加快了升级的速度,各种高性能的系统正被逐渐研发使用。但不管是什么系统都有着自身难以消除的系统漏洞,用户仅能依靠检测修复的方式来避免漏洞风险却无法从根本上改变系统的漏洞风险。
三、防范网络风险的有效措施
鉴于网络风险给社会乃至国家的信息安全造成了巨大的安全隐患,作为网络的用户必须要提高风险防范意识,从多个角度采取措施来维护计算机系统的安全,避免网络信息遭到人为破坏。笔者通过研究列举了以下几种防范技术:
1、防火墙技术。对计算机网络安装防火墙最大的作用在于能够避免遭到黑客入侵。防火墙技术的预防原理为结合防火墙的功能对网络通讯实施相应的访问控制规定,只能同意用户允许的人和数据进入内部网络中,对于未经允许的用户和数据则会自动屏蔽,这样能够有效防止黑客的入侵,避免网络信息被更改、窃取。
2、抗病毒技术。网络病毒不仅危害大,而且传播速度极快,能以很短的时间散布于各个计算机网络。增加抗病毒技术的运用能够对网络病毒起到良好的抵制作用。当前抗病毒技术主要是通过安装不同的杀毒软件实现,如:卡巴斯基等。当杀毒软件安装完毕后需要定期对计算机进行杀毒或修复漏洞,维护计算机处于正常状态。
3、分段技术。分段技术的根本在于从源头开始对网络风险进行控制,当前局域网的传输方式主要是利用交换机作为中心、路由器作为边界,而中心交换机具备优越的访问控制功能及三层交换功能[4]。这就为分段技术的运用提供了有利的条件,如:通过物理分段、逻辑分段对局域网进行安全控制,把存在病毒的网络资源屏蔽,确保信息的安全使用。
4、系统安全技术。只有系统处于安全状态才能保证网络信息的安全性,利用相关的技术对网络系统进行维护是必不可少的安全措施。防护、检测、反映和恢复等是网络系统安全技术的重要组成部分。其具体方式在于对网络做好安全防范措施,定期对网络进行安全检测,对出现的问题进行及时反映,利用针对性的措施恢复系统的正常使用性能,通过这些防御措施来维护网络信息。
5、数据加密技术。数据加密是防范网络信息风险最直接最有效的一种方式,该技术主要是引导用户对传输过程中的数据设置有效的密码。数据加密包括了线路加密、端与端加密等,两种方式都有着自己的特点。线路加密主要对保密信息使用相应的加密密钥进行安全保护。端与端加密主要是对信息的发送者端进行加密,当数据到达TCP/IP后利用数据包回封。
四、加强网络信息化法制建设
降低网络信息的安全风险不能仅仅依靠网络方面采取的措施,还需要依靠国家法律的制裁与保护。惩治非法操作。对于网络上出现的非法操作,立法部门需要积极加强立法明细工作,对具体威胁到网络信息安全的行为给予惩治,以法律的权威性来制止网络违法犯罪的出现。我国立法机关应坚持安全原则,保证信息在网络传输、存储、交换环节中避免丢失、泄露、窃听[5]。降低网络信息风险需要从多方面开展工作,重点实施网络安全防范技术的同时还要结合国家法律部门的立法工作,以确保网络信息的安全。
【参考文献】
[1]蒋坡.论构建我国网络法的体系框架[J].政治与法律,2003,20(16):99-101.
[2]胡昌振.新时期的信息安全概念及方法论探讨[M].科技导报,2004,40(30):324-325.
【关键词】信息网络 安全风险 防范措施
引言
随着信息网络的日趋复杂,安全风险日益突出。如何系统地分析信息网络所面临的安全威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的防范策略,将信息网络的安全风险控制在可接受的水平,是信息网络安全研究面临的重大挑战。本文将从风险管理的角度,对信息网络面临的安全风险进行分析,并提出相应的防范策略。
1 信息网络安全的定义
信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。伴随各个领域中计算机的广泛应用,通过计算机信息系统管理着政府部门和企事业单位的经济、政治、办公、商务等有关信息,通过计算机网络为承载的信息系统实现了前所未有的快速发展。所以,计算机信息系统变成了一些黑客、不法分子经常攻击目标,妄图窃取数据信息或者破坏信息系统。加强计算机信息系统的安全,也就变成了人们越来越高度关注的安全问题。
2当前存在的信息网络风险问题分析
2.1 计算机病毒
在网络系统中,往往存在一些计算机病毒,即人为的在计算机程序中植入用来破坏计算机各项功能,甚至用来销毁数据,可以自我复制的一组程序代码。它是网络安全最大的敌人。计算机病毒有破坏性、触发性、寄生性、传染性、隐蔽性等显著特点。按其破坏性特点又可以分为恶性病毒和良性病毒, 计算机病毒可以破坏主板、硬盘、显示器、光驱等。
2.2系统漏洞
系统漏洞是程序员在编写操作软件或应用软件时,逻辑设计上出现的缺陷或者错误。系统漏洞会被黑客或者不法分子利用,通过植入病毒、木马来控制计算机或者窃取计算机中的重要信息和资料,甚至会破坏整个计算机系统,如果连接到网络,通过网络的传播会严重危害到整个网络系统的安全。
2.3 黑客入侵
黑客分为骇客和传统的黑客。黑客是在没有经过他人许可的情形下,通过自己特殊手段和技能登录到他人的网络服务器甚至是连接在网络上的单个用户的计算机,并且对其进行一些未经许可甚至是违法操作行为的人员。黑客对网络的攻击手段非常多,其中主要包括隐藏指令、获取网站的控制权限、在Cookie 中植入代码、种植病毒和制造缓冲区溢出等。最为常用的手段是特洛伊木马程序技术,在一些正常的程序中植入必要的操作代码,该程序会在计算机启动时唤醒,从而能够控制用户计算机。
2.4个人信息泄露
互联网的发展并不意味着用户的隐私防范意识也在快速发展, 平时用中可能为了享受网上的某些服务, 而注册各种各样的账号, 而注册账号的过程中, 网站通常会要求用户填写一些个人信息, 而这些个人信息在网站后台的数据库中并不一定能够得到很好的保存, 这些个人信息很可能被泄露。另外, 很多用户为了方便好记将账户的密码用很简单的数字组合进行保存, 这样就进一步加剧了账号密码被盗取的风险。
3 信息网络风险防范对策
根据安全风险的类别及可能存在的安全事件,制订相应的安全风险防范策略。
3.1采取物理安全措施
物理安全指的是通过物理隔离来实现网络安全,而隔离的方法是将内部网络间接连在Internet 网络上。主要目的是为了保护路由器、网络服务器和工作站等硬件设备和通信,免于遭到人为、自然灾害和窃听攻击。只有实现了内部网与公共网的物理隔离,才能保证内部的信息网络不受黑客侵犯,保证其安全。同时,物理隔离也增强了网络的可控性,便于管理员的内部管理。
3.2病毒防范技术
在如今现代化的办公环境里,几乎每一个用户都受到过计算机病毒的危害,只是程度各异。计算机病毒是一种可执行程序,不仅可以自我复制,很多病毒还具有破坏应用程序、格式化硬盘和删除文件的能力。由于病毒在网络环境中具有巨大的破坏力和威胁性,因此对计算机网络环境病毒的防范成为了网络信息安全建设的重中之重。病毒的爆发对于用户的隐私和安全构成严重威胁,所以必须建立科学有效的病毒防护系统。常见的网络病毒防范技术主要包括预防病毒、检测病毒和网络消毒这三种技术。
3.3 构建有效的风险防范机制
信息网络安全管理以及风险防范除了在技术层面需要采取有效措施之外,在实际工作过程中,对于相关人员的管理以及制度的完善同样重要。应该加强对于单位内部人员网络安全知识的培训,防止因为内部人员的操作失误而给予外界人员的攻击机会。同时制定有效的风险防范管理制度并严格执行,最大程度上避免系统被攻击的可能性。
3.4身份认证技术
身份认证指的是在计算机网络应用中确认操作者身份。身份认证包括两种:用户和主机间的认证,主机和主机间的认证。用户和主机之间的认证可以用如下的因素来实现:用户所清楚的东西,比如设置的口令或者密码;用户所拥有的东西,比如智能卡;用户所具有的生理特征,比如指纹和声音。身份认证对于网络安全的构建具有重要作用。
4 结束语:
信息网络的安全风险是客观存在的,也是在不断地动态变化的。我们必须牢固树立安全风险的科学管理意识,运用适用的 方法和手段,针对信息网络面临的安全威胁及可能带来的安全隐患,系统地分析安全风险,并采取切实可行的防范策略,才能全面提高信息网络的安全保障能力,为用户提供安全可靠的信息服务。
参考文献
[1]李思伟,苏忠,赖建荣,周刚.信息网络的安全风险分析与防范策略[J].计算机安全,2010,06:36-37+42.
[2]伍卫民.信息网络的安全与防范策略[J].中国新通信,2012,17:81-82.
[3]蔡晓莲,李平.计算机网络安全威胁及防范策略的探讨[J].网络与信息,2009,06:30-31.
[4]栗晓禹,佐春之.信息网络的安全防范策略[J].辽宁教育行政学院学报,2009,07:168-169.
随着信息科技的高速发展,网络在越来越多地为人们生活提供便利的同时,也为企业节省了大量的人力和物力,但是企业在使用网络与外界交流时也同样承担着巨大的风险。本文介绍了医院网络中存在风险的原因、存在的风险及其对策。为医院在网络安全方面提供了一定的建议。
关键字:企业网络 医院网络 网络安全 网络体系 技术手段
Abstract:With the high-speed development of information science and technology, the network, offering the facility to people more and more, and also help the company to save a large number of manpower and material resources. But the trade company is undertaking the enormous risk while using the network to exchange with external world too. This text has introduced the reason of existing risk and countermeasure with the risk in enterprise's network. Have offered certain suggestion in online security for the trade company.
Keyword: Enterprise's network
Security of network
Network system
Technological means
前言:
随着信息技术的高速发展,互联网越来越被人们所重视,从农业到工业再到高科技产业各行各业都在使用互联网参与行业生存与竞争。企业对网络的依存度越来越高,网络在企业中所处的位置也越来越重要,系统中存储着维系企业生存与竞争的重要资产-------企业信息资源。但是,诸多因素威胁着计算机系统的正常运转。如,自然灾害、人员的误操作等,不仅会造成系统信息丢失甚至完全瘫痪,而且会给企业造成无法估量的损失。因此,企业必须有一套完整的安全管理措施,以确保整个计算机网络系统正常、高效、安全地运行。本文就影响医院计算机网络安全的因素、存在的安全隐患及其应对策略三个方面进行了做了论述。
一、医院网络安全存在的风险及其原因
1.自然因素:
1.1病毒攻击
因为医院网络同样也是连接在互联网上的一个网络,所以它不可避免的要遭到这样或者那样的病毒的攻击。这些病毒有些是普通没有太大破坏的,而有些却是能造成系统崩溃的高危险病毒。病毒一方面会感染大量的机器,造成机器“罢工“并成为感染添另一方面会大量占用网络带宽,阻塞正常流量,形成拒绝服务攻击。我们清醒地知道,完全避免所有终端上的病毒是不可能的,但要尽量减少病毒爆发造成的损失和恢复时延是完全可能的。但是由于一些工作人员的疏忽,使得医院网络被病毒攻击的频率越来越高,所以病毒的攻击应该引起我们的关注。
1.2软件漏洞
任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击,主要在以下几个方面:
1.2.1、协议漏洞。例如,IMAP和POP3协议一定要在Unix根目录下运行,攻击者利用这一漏洞攻击IMAP破坏系统的根目录,从而获得超级用户的特权。
1.2.2、缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下,就接受任何长度的数据输入,把溢出部分放在堆栈内,系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令,来造成系统不稳定状态。
1.2.3、口令攻击。例如,U nix系统软件通常把加密的口令保存在一个文件中,而该文件可通过拷贝或口令破译方法受到入侵。因此,任何不及时更新的系统,都是容易被攻击的。
2、人为因素:
2.1操作失误
操作员安全配置不当造成的安全漏洞,用户安全意识不强.用户口令选择不慎.用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在企业计算机网络使用初期较常见,随着网络管理制度的建立和对使用人员的培训,此种情况逐渐减少.对网络安全己不构成主要威胁。
2.2恶意攻击
这是医院计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下.进行截获、窃取、破译以获得重要机密信急。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络(内联网)和公网安全构成巨大威胁,每年企业和网络运营商都要花费大量的人力和物力用于这方而的网络安全防范,因此防范人为的恶意攻击将是医院网络安全工作的重点。
二、构建安全的网络体系结构
1.设计网络安全体系的原则
1.1、体系的安全性:设计网络安全体系的最终目的是为保护信息与网络系统的安全所以安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性和可扩展性。
1.2、系统的高效性:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点。网络系统的安全体系包含一些软件和硬件,它们也会占用网络系统的一些资源。因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。
1.3、体系的可行性:设计网络安全体系不能纯粹地从理论角度考虑,再完美的方案,如果不考虑实际因素,也只能是一些废纸。设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了实际价值。
1.4、体系的可承担性:网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由企业来支持,要为此付出一定的代价和开销如果我们付出的代价比从安全体系中获得的利益还要多,那么我们就不该采用这个方案。所以,在设计网络安全体系时,必须考虑企业的业务特点和实际承受能力,没有必要按电信级、银行级标准来设计这四个原则,可以简单的归纳为:安全第一、保障性能、投入合理、考虑发展。
2、网络安全体系的建立
网络安全体系的定义:网络安全管理体系是一个在网络系统内结合安全
技术与安全管理,以实现系统多层次安全保证的应用体系。
网络系统完整的安全体系
系统物理安全性主要是指从物理上保证系统中各种硬件设备的安全可靠,确保应用系统正常运行。主要包括以下几个方面:
(1)防止非法用户破坏系统设备,干扰系统的正常运行。
(2)防止内部用户通过物理手段接近或窃取系统设备,非法取得其中的数据。
(3 )为系统关键设备的运行提供安全、适宜的物理空间,确保系统能够长期、稳定和高效的运行。例如:中心机房配置温控、除尘设备等。
网络安全性主要包括以下几个方面:
(1)限制非法用户通过网络远程访问和破坏系统数据,窃取传输线路中的数据。
(2)确保对网络设备的安全配置。对网络来说,首先要确保网络设备的安全配置,保证非授权用户不能访问任意一台计算机、路由器和防火墙。
(3)网络通讯线路安全可靠,抗干扰。屏蔽性能好,防止电磁泄露,减
少信号衰减。
(4)防止那些为网络通讯提供频繁服务的设备泄露电磁信号,可以在该设备上增加信号干扰器,对泄露的电磁信号进行干扰,以防他人顺利接收到泄露的电磁信号。
应用安全性主要是指利用通讯基础设施、应用系统和先进的应用安全控制技术,对应用系统中的数据进行安全保护,确保能够在数据库级、文档/记录级、段落级和字段级限制非法用户的访问。
另外,对存放重要数据的计算机(服务器、用户机)应使用安全等级较高的操作系统,利用操作系统的安全特性。
三、网络安全的技术实现
1、防火墙技术
在外部网络同内部网络之间应设置防火墙设备。通过防火墙过滤进出网络的数据,对进出网络的访问行为进行控制和阻断,封锁某些禁止的业务,记录通过防火墙的信息内容和活动。对网络攻击进行监测和告警。防火墙可分为包过滤型、检测型、型等,应根据不同的需要安装不同的防火墙。
2、划分并隔离不同安全域
根据不同的安全需求、威胁,划分不同的安全域。采用访问控制、权限控制的机制,控制不同的访问者对网络和设备的访问,防止内部访问者对无权访问区域的访问和误操作。
我们可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。在关键服务器区域内部,也同样需要按照安全级别的不同进行进一步安全隔离。
划分并隔离不同安全域要结合网络系统的安防与监控需要,与实际应用环境、工作业务流程和机构组织形式密切结合起来。
3、防范病毒和外部入侵
防病毒产品要定期更新升级,定期扫描。在不影响业务的前提下,关闭系统本身的弱点及漏洞并及时打上最新的安全补丁。防毒除了通常的工作站防毒外,email防毒和网关式防毒己经越来越成为消除病毒源的关键。还应使用扫描器软件主动扫描,进行安全性检查,找到漏洞并及时修补,以防黑客攻击。
医院网管可以在CISCO路由设备中,利用CISCO IOS操作系统的安全保护,设置用户口令及ENABLE 口令,解决网络层的安全问题,可以利用UNIX系统的安全机制,保证用户身份、用户授权和基于授权的系统的安全,:对各服务器操作系统和数据库设立访问权限,同时利用UNIX的安全文件,例如/etc/hosts. equiv文件等,限制远程登录主机,以防非法
用户使用TELNET、FTP等远程登录工具,进行非法入侵。
4、备份和恢复技术
备份是保证系统安全最基本、最常用的手段。采取数据的备份和恢复措施,有些重要数据还需要采取异地备份措施,防止灾难性事故的发生。
5、加密和认证技术
加密可保证信息传输的保密性、完整性、抗抵赖等,是一个非常传统,但又非常有效的技术。加密技术主要用于网络安全传输、公文安全传输、桌面安全防护、可视化数字签名等方面。
6、实时监测
采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络实时监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征。
7、 PKI技术
公开密钥基础设施(PKI )是通过使用公开密钥技术和数字证书来确保系统网络安全并负责验证数字证书持有者身份的一种体系。PKI 可以提供的服务包括:认证服务,保密(加密),完整,安全通信,安全时间戳,小可否认服务(抗抵赖服务),特权管理,密钥管理等。
四、结束语:
网络的安全与医院利益息息相关,一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,医院网络管理人员要掌握最先进的技术,把握住医院网络安全的大门。
五、参考文献
[1] 李国栋,刘克勤。Internet常用的网络安全技术。现代电力。2001. 11. 21
[2] 肖义等,PKI网络安全平台的研制与开发。2002. 1.23
关键词:互联网 网上银行 高效 安全 技术 防范措施
1 概念
网上银行(Internet Bank),是随着互联网的高速发展开始出现的银行服务的新渠道,由商业银行等金融机构通过互联网向其客户提供金融信息和金融交易等各种服务。网上银行突破了传统银行的局限性,打破了传统银行业的经营模式和经营理念。网上银行是指通过互联网或其他共用信息网将客户的电脑终端连接到银行,将银行的服务直接送到客户家中或办公室的服务系统,又称网络银行和在线银行。通过网络,网上银行能够向客户提供开户、销户、查询、对账以及跨行转账、网上证券以及投资理财等服务项目,使客户不受限于银行地理环境、上班时间的限制,从而突破空间距离和物体媒介的限制。由于客户在管理活期和定期存款以及信用卡和个人投资等业务时,足不出户,这样就大大方便了客户与银行之间的联系。因此说,在网络上,网上银行是虚拟的银行柜台。网上银行给人们的生活带来了极大的便利与快捷,但是我们还没有来得及去感受,就被不断出现的黑客和“网银大盗”将一切美好的愿望打碎。尤其近期频繁发生的网银钱财被盗的事件,更为网银用户的心头蒙上了一层阴影。
2 网上银行目前存在的风险
随着网上银行业务的发展,网络银行服务器暴露在互联网上,因而它不可避免地会面临来自互联网上的各种安全风险,主要有以下几种:
2.1 系统漏洞带来的安全风险 系统漏洞往往会带来不可预计以及不可控制的安全后果,如在2009年5月由于暴风影音软件的一个微小漏洞导致多省发生大面积断网事件。目前,多数在Unix操作系统上架设网银系统,采用WebSphere等中间件和DB2等数据库,也有一部分网银采用了Windows系统。网银业务赖以运转的基础软件都会不可避免的且不时的出现一些系统漏洞,如果被互联网的攻击者利用,就会造成网银账号失窃或数据篡改。如果黑客利用OS系统漏洞入侵网银系统,就会盗取客户的身份证号码、银行账号以及密码等敏感信息,从而非法转移网银用户的资金。
2.2 Web安全问题带来的风险 由于网银业务通常采用B/S架构,因此,网银的引用安全与Web安全密切相关。根据知名Web安全与数据库安全研究组织OWASP提供的报告显示,SQL注入攻击和跨站脚本攻击是威胁Web业务最严重的两种方式。SQL注入攻击的原理是:程序员在编写代码的时候没有对用户输入的数据进行合法性判断,从而导致入侵者通过恶意的SQL命令执行,从而读取数据以及修改权限。
2.3 数据库安全问题带来的风险 数据库作为网银系统的核心,前两种安全风险最终也会危害数据库的安全。但是针对网银系统,滥用数据库权限也会带来安全问题,如违规越权操作以及恶意入侵等导致数据库敏感信息失窃,并且事后无法有效追溯和审计。
2.4 DDoS攻击带来的安全风险 攻击合法或非法利用互联网上的大量其他机器是DDOS的本质,其对攻击目标发起多对一的攻击,并且随着攻防对抗的发展,当前基于应用层的DDOS攻击方式逐渐成为了DDOS的主流。DDOS攻击的危害体现在网银上,即攻击报文占用网银系统的服务器资源或宽带资源,从而导致网银业务无法正常运行。另外,利用超级网银的“授权支付”欺诈是2013年年初截获的新型高危骗术。骗子通过钓鱼链接、交易失败提示、客服聊天等组合,诱骗受害者进行“网银授权支付”,授权骗子用另一个网银账户对自己账户进行资金操作,短短几分钟内就能将受害者账户中的资金大量转出,受害者损失高达数千甚至数万元。
3 银行信息系统安全分析及管理建议
客户隐私、用户权益、信息内容安全以及客户可信接入银行网等问题是目前银行用户关注的信息化安全问题,如:
全面整合银行信息化安全建设,在此基础上建立银行信息安全保障、应急以及监管系统。银行系统在考虑建设信息安全保障体系的同时,应当围绕标准控制与管理中心的建设,以及数据与内容安全、边界安全、信息基础设施安全以及数字证书、业务行为监管和服务等方面进行安全建设。
以安全观点再度审核银行应用数据大集中的安全建设问题。同时对银行的重点ISP、ICP的安全也应加以足够的重视。
建立功能强大的网络管理与标准化监管中心,这个中心要对数据管理、系统管理、网络管理、安全管理、密钥管理、内部人员行为监控、(agent)管理、网络远程服务监控和标准化执行实施统一监管。
银行使用卫星通信的重要系统尽快实施多星、多转发器备份、天地备份项目,为银行系统通讯提供稳定可靠的环境。
同时银行信息系统安全性总的原则应该是:制度防内,技术防外。所谓“制度防内”,是要建立严密的计算机管理规章制度、运行规程,形成内部各层人员、各职能部门、各应用系统的相互制约关系,杜绝内部作案的可能性,并建立良好的故障处理反应机制,保障银行信息系统的安全正常运行。“技术防外”主要是指从技术手段上加强安全措施,防止外部黑客的入侵。我们在不影响银行正常业务与应用的基础上建立银行的安全防护体系,从而满足银行网络系统环境要求。经过对银行系统的安全风险和安全需求分析,我们提出通过部署防火墙子系统、VPN子系统、入侵检测子系统、服务器核心防护子系统、防病毒子系统、日志审计子系统、内网监控子系统、安全管理等子系统,并通过统一的平台进行集中管理。
4 网银安全风险防范措施
如何防范网银安全风险,确保用户资金安全无忧呢?有专家认为只有银行、用户携手并进,各自采取各种防御的软硬措施,网上银行的黑手才能无处行窃,达到真正意义的“双赢”局面,网上银行的明天才会更美好:
4.1 银行方面 ①及时升级自身信息系统。网上银行交易系统的稳定与安全,是交易得以顺利进行的基础与保障,如果说银行只有在出现问题以后才去弥补自身的不足,必将会被用户所淘汰。所以,面对目前层出不穷的攻击形式与无所不在的安全危机,只有积极、主动的不断升级自身系统,才可以真正做到防患于未然。②加快发展网络加密技术。银行应尽快学习和借鉴美国等发达国家的先进技术和经验,加快网络加密技术的创新、开发和应用,包括乱码加密处理、系统自动签退技术、网络使用记录检查评定技术、人体特征识别技术等。③加强公众网上银行安全教育。首先银行可通过各种宣传渠道向公众明示本行正确的网上银行官方网址和服务号码;其次,在本行网站首页显著位置开设网上银行安全教育专题;第三,在客户申办网银时查实是本人,并做好风险提示,最好是印制并向客户配发语言通俗,形象直观的网上银行安全宣传折页或手册,让客户了然于心;第四,在网上银行使用过程中应在电脑屏幕上向用户醒目提示相关的安全注意事项等。
4.2 客户方面 ①保护好网上银行的信息。拿到银行给的初始密码,第一件事就应该是改掉这个密码,并且定期修改电子银行的登录密码和U盾密码;在任何情况下,绝对不要将网银用户名、密码和动态口令等网银资料透露给他人。②做好交易记录。对于网上银行办理的转账和支付等业务,客户应当做好记录并且定期查看“历史交易明细”,定期将网银业务的对账单打印出来,如果发现账务错误或交易异常,立即与银行联系以避免损失。③谨防钓鱼网站。我们应当将正确的银行网址收藏起来,尽量不要通过“超链接”进入银行系统且进行操作。此外,为了防止一些不法分子恶意模拟银行网站来骗取账户信息,客户应当留意登录的网址与法定的网址是否相符。④不要把所有银行卡都绑定网银。建议客户只绑定一张或两张储蓄卡,且不要在卡里留太多的金额,这样从根本上大大降低了风险存在的可能性。⑤健全软件。为了防止黑客窃取个人账户信息,建议客户在个人电脑上安装防火墙程序并经常升级。此外,及时更新下载Windows操作系统的补丁程序以防止他人利用软件漏洞进入计算机窃取资料。
参考文献:
[1]张健.网上银行安全防范工具可行性探析[J].武汉船舶职业技术学院学报,2008(04).
[2]陈朝晖.我国网上银行发展之法律问题[J].石家庄经济学院学报,2007(01).
[3]黄小虎,文斌,胡致杰.电子支付的安全性分析与策略[J].华南金融电脑,2008(04).
关键词 计算机网络;安全风险;黑客;防范措施
中图分类号TP393 文献标识码A 文章编号 1674-6708(2012)72-0209-01
近十几年来,计算机技术的快速发展,推动了全社会的信息化进程,计算机的广泛应用,提高了各个行业的工作效率。但是,计算机互联网由于其开放性、互连性特征,易遭到黑客以及恶意软件的攻击,给计算机的使用者带来极大的损害。由于互联网存在诸多潜在的安全风险,使得计算机网络的安全问题面临着严峻的考验。因此,分析计算机网络存在的安全风险,探讨相应的防范措施,具有重要的现实意义。
1 计算机网络安全风险分析
计算机网络的安全风险,主要存在于以下六个方面:
1)计算机网络系统本身的安全风险。计算机系统的网络结构,普遍应用的是混合型结构,多种设备的结构混合为一体,而每种设备,都会不同程度的影响到网络的运行,对计算机网络系统形成潜在的安全风险。此外,由于开放性和共享性是网络技术的优点,但是,由于互联网的复杂性、交错性,其开放性、共享性的优点,同时也成了弱点,使得计算机系统容易遭受到黑客的攻击,造成了安全风险;2)计算机病毒。计算机病毒,指的是人为编制的一组计算机指令或代码,其进入计算机程序后,能够毁坏计算机的数据,破坏计算机的功能。随着近年来互联网规模的日益扩大,计算机病毒传播的主要手段,成为了网络传播,病毒能够在局域网内进行传播、扩大。计算机用户在上网时,正常的浏览网页、看新闻、下载图片及视频资料、收发电子邮件等,都有可能感染上计算机病毒。电脑一旦感染了病毒,电脑的程序和系统都会遭到严重的破坏,导致计算机无法正常工作;3)黑客攻击。黑客是指利用计算机的系统安全漏洞,对网络进行攻击破坏,或窃取资料的人。计算机网络系统本身的安全风险,给黑客带来了可乘之机,黑客通过密码探测,对计算机进行入侵、攻击,通过网络侦察,截获将电脑用户的信息,窃取用户资料,破译用户密码,得到电脑使用者的机密信息,给电脑使用者造成很大的损害;4)垃圾邮件。由于计算机用户的电子邮件地址具有公开性的特点,使得黑客可以把垃圾邮件强行发送到众多计算机用户的电子邮箱中,使用户面临可能感染计算机病毒的风险;5)网络软件漏洞。很多的网络软件存在安全漏洞,很大一部分的服务器,由于网络软件没有及时打上补丁,而成为了黑客攻击的对象,导致很严重的安全风险;6)网络管理力度不够。很多网络站点的防火墙配置,由于访问权限过大,这些权限一旦被黑客使用,就会使计算机面临被黑客攻击的风险,从而降低了网络系统的安全性。
2 计算机网络安全防范措施
1)设置访问控制。为了防范网络风险,通常采取的最主要的措施,就是设置访问控制。设置访问控制,可以保证计算机网络不被非法访问和使用,是保证计算机网络安全最重要的核心措施;2)运用计算机病毒防范技术。由于计算机病毒的破坏性很强,会对电脑造成严重的危害,所以计算机用户要在使用的电脑上,安装适合的杀毒软件,并经常升级杀毒软件。同时,计算机用户还要注意上网安全,对于感觉可疑的网页链接,不要轻易打开;对于感觉可疑的文件,不要轻易下载;3)运用防火墙技术。防火墙具有限制外界用户对内部网络访问、管理内部用户访问外界网络的作用。防火墙技术按照一定的安全策略,对网络中的链接方式进行检查,来判断网络之间的通信是否被允许,同时对网络运行的状态进行实时的监控。把所有安全软件配置在防火墙上,可以有效防止非法用户的入侵,极大地降低计算机网络的安全风险;4)安装杀毒软件。只需要几分钟的时间,就可以把杀毒软件安装到计算机的NT服务器上,还可下载到所有的目的机器上。好的杀毒软件能够自动提供最佳的网络病毒防御措施,计算机用户要选择合适的网络杀毒软件,对计算机网络定期进行查毒、杀毒、网络修复等。与此同时,用户要对杀毒软件及时进行升级换代,以确保其对病毒的杀伤力;5)运用信息加密技术。由于计算机网络具有复杂性、开放性的特点,同时计算机自身存在缺陷,当信息数据通过网络进行传输时,信息数据易被泄露,因此,信息加密技术就显得尤为重要。计算机网络数据加密在整个过程中,其进行传输的时候,都是以密文形式进行的,因此可使保障数据传输的安全,得到有效的保障;6)落实网络安全管理。网络安全的防范,除了应用先进的软件之外,还需要落实网络安全管理。网络管理员要加大网络监控力度,对网络安全状况进行准确的评估,针对计算机网络安全存在的风险,提出相应的整改意见,并制定应急预案,以防患于未然。同时,做好计算机设备的维护,营造优良的网络环境,确保计算机网络的安全。
总之,针对计算机网络存在的安全风险,加强计算机网络的安全防范措施,不但要采用先进的软件技术,而且要加强网络的安全管理,才能确保计算机网络的安全运行。
参考文献
[1]何莉,许林英,姚鹏海.计算机网络概论[M],2006(1).
[2]彭珺,高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011(9).
[3]金晓倩.基于计算机防火墙安全屏障的网络防范技术[J].素质论坛,2009(11).
[4]王小芹.计算机网络安全的防范技术及策略[J].内蒙古科技与,2005(15).
关键词:网络安全;威胁;防范
随着经济社会的发展,网络应用的范圃越来越广泛,社会对网络的依赖程度也越来越大,通过网络阐述、存储和处理的信息量迅速增长。这些信息涉及的范围十分广泛,如果有些保密信息或敏感信息受到怀有不良目的的人或组织的攻击或者破坏,就可能会造成严重的后果。因此,网络安全已经成为关系国家安全、经济发展和社会稳定的一个重大问题。
1 网络面临的安全风险
计算机网络一直面临着来自多方面的安全威胁,这些威胁有来自外部系统的恶意攻击、系统本身的安全缺陷或安全漏洞威胁,有系统内部各种应用软件的安全漏洞威胁,人为或偶然事故构成的威胁,还有自然灾害构成的威胁等。这些威胁,表现形式是多种多样的,主要有以下几点:1)身份窃取,即非法获取合法用户的身份信息;2)非授权访问,即对网络设备及信息资源进行非正常使用或越权使用;3)冒充合法用户,即利用各种假冒或欺骗的手段非法获得合法用户的权限,以达到占用合法用户资源的目的;4)数据窃取,即通过网络窃听他人传输的信息内容,非法获取数据信息;5)破坏数据的完整性,即利用中断、篡改和伪造等攻击手段,攻击或破坏数据的完整性,干扰用户的正常使用;6)拒绝服务,即阻碍或禁止通信设施的正常使用和管理,使网络通信被删或实时操作被延时等;7)否认,即参与通信的各方事后否认其参与的行为;8)数据流分析,即通过分析通信线路中的信息流向、流量、流速、频率和度等,从而获得有用信息;9)旁路控制,即攻击者发现系统的缺陷或安全弱点,从而渗入系统,对系统进行攻击;10)干扰系统正常运行,即改变系统的正常运行方法,降低系统的运行速率或者是减慢系统的响应时间等;11)病毒与恶意攻击,即通过网络传播病毒,或者对网络进行恶意攻击,破坏网络资源,使其不能正常工作,甚至导致瘫痪;12)电磁泄漏,即从设备发出的电磁辐射中泄露信息;13)人员疏忽,即工作人员没有按照安全规章制度要求办事,给网络带来威胁。
2 网络安全内容
网络安全是指通过各种技术手段和安全管理措施,保护网络系统的硬件、软件和信息资源免于受到各种自然或人为的破坏影响,保证系统连续可靠地正常运行。硬件资源包括:计算机、通信设备和通信线路等;软件资源包括:维持网络运行的系统软件和应用软件;信息资源包括:通过网络传输、交换和存储的各种数据信息。信息安全是网络安全的本质核心,保护信息资源的机密性、完整性和真实性,并对信息的传播及内容有控制能力是网络安全的核心任务。按照网络安全的机构层次来划分,网络安全可以进一步分为物理安全、运行系统安全和网络信息安全等3个基本组成部分。 2.1物理安全
物理安全即实体安全,是指保护计算机设备、网络设施及其他媒体免遭地震、水灾、火灾、雷击、有害气体和其他环境事故(包括电磁污染等)的破坏以及防止人为的操作失误和各种计算机犯罪导致的破坏等。物理安全是网络系统安全的基础和前提,是不可缺少和忽视的重要环节。只有安全的物理环境,才有可能提供安全的网络环境。物理安全进一步可以分为环境安全、设备安全和媒体安全。环境安全包括:计算机系统机房环境安全、区域安全、灾难保护等;设备安全包括:设备的防盗、防火、防水、防电磁辐射及泄漏、防线路截获、抗电磁干扰及电源防护等;媒体安全包括:媒体本身安全及媒体数据安全等。
2.2 网络信息安全
网络信息安全就是要保证在网络上传输信息的机密性、完整性和真实性不受侵害,确保经过网络传输、交换和存储的数据不会发生增加、修改、丢失和泄露等。网络信息安全主要涉及安全技术和安全协议设计等内容。通常采用的安全技术措施包括:身份认证、访问权限、安全审计、信息加密和数字签名等。另外,网络信息安全还应当包括防止和控制非法信息或不良信息的传播。
3 防火墙技术与病毒防范技术
3.1 防火墙技术
防火墙是基于网络访问控制技术的一种网络安全技术。防火墙是由软件或硬件设备组合而成的保护网络安全的系统,防火墙通常被置于内部网络与外部网络之间.是内网与外网之间的一道安全屏障。因此,通常将防火墙内的网络称为“可信赖的网络”,而其外的网络称为“不可信赖的网络”。际上,防火墙就是在一个被认为是安全和可信的内部网络与一个被认为是不安全和不可信的外部网络之间提供防御功能的系统。防火墙能够限制外部网络用户对内部网络的访问权限,防止外部非法用户的攻击和进入,同时也能够对内部闷络用户对外部网络的访问行为进行有效的管理。
根据防火墙的实现方式不同,防火墙一般又可以分为双宿/多宿网关防火墙、屏蔽主机防火墙和屏蔽子网防火墙等3种类型。
3.1.1 双宿/多宿网关防火墙
双宿/多宿网关防火墙是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,是由一台称为堡垒主机的设备来承担。通常的实现方法是在该堡垒主机上安装两块或多块网卡,由它们分别连接不同的网络,如一个网络接口连接到内部的可信任网络,另一个连接到外部不可信任网络。通过堡垒主机上运行的防火墙软件,利用应用层数据共享或者是应用层服务功能来实现两个或多个网络之间的通信。双宿/多宿网关防火墙,可以根据网络安全、性能及用户需求等的不同,可以采用包过滤防火墙技术或服务防火墙技术予以实现。
3.1.2 屏蔽主机防火墙
屏敝主机防火墙是由包过滤路由器和堡垒主机共同构成。在屏蔽主机防火墙中,包过滤路由器连接外部网络,并利用过滤规则实现分组过滤,同时也使位于内部网络的堡垒主机成为外部网络能够直接访问的唯一主机。外部网络非法入侵者要想侵入内部网络,必须通过包过滤路由器和堡垒主机两道屏障。因此,屏蔽主机防火墙提供了比双宿/多宿网关防火墙更高的安全性,
3.1.3 屏蔽子网防火墙
屏蔽子网防火墙是目前最安全的防火墙系统之一,它支持网络层和应用层安全功能。屏蔽子网防火墙通常由两个包过滤路由器(即外部包过滤路由器和内部包过滤路由器)和D个堡垒主机共同构成。
3.2 病毒防范
病毒本身就是一段特殊的代码或程序,一般内3个基本部分组成,即引导部分、传染部分和破坏部分。当计算机执行病毒所依附的程序时、病毒程序就获取了对计算机的控制权,开始执行它的引导部分,然后根据条件是否满足调用传染部分和破坏部分。通常情况下、传染条件容易满足,因此病毒的传染比破坏来得容易。在病毒的破坏条件未被满足时。病毒处于潜伏状态。
病毒检测技术是通过对计算机病毒特征的检测来发现病毒的技术,但是自计算机病毒被发现以来,病毒的种类以几何级数在增长,并且病毒的机制和变种也在不断地进行演变,给检测病毒带来了很大难度。目的常用的病毒检测方法主要有比较法、特征代码法、分析法、行为检测法和软件仿真扫描法等。
病毒防范不仅涉及防范技术,还包括应当采取的防范措施等内容。预防是对付病毒最理想的方法之一。病毒的预防技术是通过预防系统自身首先驻留计算机系统内存,优先获得系统的控制权,并对系统进行监视来判断是否有病毒存在的可能,进而阻止病毒进入计算机系统及对计算机系统进行破坏。常见的病毒预防技术主要有:信息加密、系统引导区保护、系统监控及读写控制等。此外,为了防范病毒,除了防范技术外,还要认真落实必要的安全管理措施,必要时候遇到特殊情况还可以使用法律的手段保护网络安全。
总之,网络安全涉及安全技术、安全管理和相应的安全法律法规等方面。安全技术是基础,安全管理是手段,安全法律法规是保障,它们共同构成网络的安全体系,要提高网络安全性,就必须从这三个方面着手,不断增强安全意识,完善安全技术,制定安全策略,加强安全教育和安全管理.以提高防范安全风险的能力。网络安全是一项长期而重要的任务,应当常抓不懈。
参考文献
[1]林小青,郎静宏.网络安全防范体系的研究与应用[J].保密科学技术,2011(3).
一、信息系统安全风险的形式
会计信息系统的安全是指系统保持正常稳定运行状态的能力。会计信息系统的安全风险是指由于人为的或非人为的因素使得会计信息系统保护安全的能力减弱,从而造成系统的信息失真、失窃,资金财产损失,系统硬件、软件无法正常运行等结果发生的可能性。保护系统的安全就是保护系统免遭破坏或遭到损害后系统能够较容易再生、会计信息系统的安全风险主要表现在几方面:
1、会计信息失真。会计信息的真实、完整、准确是对会计信息处理的基本要求,由于会计信息是企业生产经营活动的综合、全面的反映,企业的各个职能部门几乎都不同程度的需要、利用会计信息,因此,会计信息的质量不仅仅关系到会计信息系统,还企业管理的其他子系统乃至企业的整个管理决策。一旦会计信息系统的安全受到侵害,最直接的影响就是会计数据错误、数据丢失或被篡改使会计信息失真,从而不同程序地影响会计信息的使用者进行有关决策。
2、企业资产损失。利用非法手段侵吞企业资财是会计信息系统安全风险的主要形式之一。其手段主要有:未经许可非法侵入他人机设施、通过散布病毒等有害程序、非法转移资金及盗窈银行存款等。比如,深圳一家证券公司的经理利用工作之便,通过电脑盗走了某证券部门的200多万元保证金;广东省某市银行在一宗信用卡犯罪案件中损失了近干亿元等等,造成了极大的资财损失。随着犯罪技术的日趋多样化、复杂化,信息系统犯罪更加隐蔽,更加难以发现,涉及的金额也从最初的几千元到几万元,甚至上亿元,安全风险损失越来越大,后果越来越严重。
3、企业重要信息泄露。信息技术高速发展的今天,信息在企业的经营管理中变得尤为重要,成为企业的一项重要资本,甚至决定了企业在激烈的市场竞争中的成败。因此利用高技术手段窃取企业机密是当今计算机犯罪的主要目的之一,也是构成系统安全风险的重要形式。比如:窃取企业重要的会计信息并泄露给竞争对手以达到某种非法目的等,常常会对企业造成无法估量的损失。
4、系统无法正常运行。无论是无法避免的灾害,还是出于非法目的而输入破坏性程序、操作者有意、无意的操作造成硬件设施的损害、计算机病毒的破坏等都有可能使会计信息系统的软件、硬件无法正常工作,甚至系统瘫痪,造成巨大损失。
二、影响会计信息系统安全风险的因素
影响网络化会计信息系统安全风险的因素可以从硬件系统、软件系统、会计数据三个方面考虑(一)影响硬件系统安全的因素1、不正确的操作。计算机系统的操作人员对硬件设备的不正确操作可以引起系统的损坏,从而危害系统的安全。不正确的操作主要是指操作人员不按规定的程序使用硬件设备,例如不按顺序开机、关机,有可能烧毁计算机的硬盘,从而造成数据的全部丢失。
2、人为的有意破坏。有意破坏系统硬件设备者可能是系统内部操作人员,也可能是系统外部人员。破坏者出于某种目的(如发泄私愤或谋取不法利益)而破坏计算机硬件,致使系统运行中断或毁灭。这种破坏行为可能是以暴力的方式破坏计算机设备,也可能通过盗窈等手段破坏计算机系统,例如窃走存有数据的磁带或磁盘;或者计算机病毒的发作造成硬件损坏等。
3、不可预测的灾害。不可预测的灾害虽然发生的概率非常小、但对信息系统的破坏性极大,所以必须引起足够的重视,例如火灾或元件的突然损坏,可能造成整个系统的毁灭、(二)软件系统的不安全因素l、操作人员的有意破坏计算机系统的操作人员可以通过对程序作非法改动来篡改程序文件,或者利用非法操作即操作员或其他人不按操作规程或不经允许上机操作,改变计算机的运行路径等手段修改系统软件,从而破坏软件系统安全。
2、计算机病毒计算机病毒实际上是一段小程序,它具有自我复制功能,常驻留于内存、磁盘的引导扇区或磁盘文件,在计算机系统之间传播,常常在某个特定的时刻破坏计算机内的程序、数据甚至硬件。据统计,全世界发现的各种计算机病毒已经超过了24000种,并且正以每月300一500种的速度疯狂增长。出现了一种叫CIH的恶性病毒,是由某大学毕业生所设计,由于能直接攻击、破坏硬件系统,主要传染windows95/98可执行程序,极大的威胁着系统安全。以前计算机病毒主要靠磁盘或光盘传播,但在网络化系统中,计算机病毒升始通过网络来传播,时下有一种“梅利沙”病毒,隐藏在word文件中,通过电子邮件传播、破坏电子邮件服务器。由于病毒的隐蔽性强、传播范围广、破坏力大等特点,对远程网络会计信息传输的安全构成了极大的威胁。查杀病毒已成为系统安全保护的一个重要。
3、网络黑客黑客是指非授权侵入网络的用户或程序。黑客最常用的诡计有以下几种:第一,捕获,许多程序能够使破坏者捕获到个人信息、,尤其是口令。第二,查卡,这种程序是“捕获”程序的一部分,它主要捕获信用卡密码。第三、即时消息轰炸,利用即时消息功能,黑客可以采用多种程序,以极快的速度用无数的消息“轰炸”某个特定用户。第四,电了邮件轰炸,用数百条消息、填塞某人的E一mail信箱,是一种确实可靠的在线袭扰的。第五,违反业务条款,这种诡计相当于在网上陷害某人,有些程序可使这种欺骗活动看起来就好象是某个用户向黑客发送了一条攻击性的E一mail消息。第六,病毒和“特洛伊木马”,这些程序看起来像一种合法的程序,但是它静静地记录着用户输人的每个口令,然后把它们发送给黑客的Internet信箱,从而通过盗窃系统合法用户的口令,然后以此口令合法登陆系统实现非法目的。
(三)会计数据的不安全因素1、操作人员篡改程序和数据文件。通过对程序作非法改动,导致会计数据的不真实、不可靠、不准确或以此达到某种非法目的,如,转移单位资金到指定的个人账户等。
2,有权和无权用户的非法操作。主要是操作员或其他人员不按操作规程或非法操作系统,改变计算机系统的执行路径从而破坏数据的安全。
3、窃取或篡改商业秘密、非法转移电子资金和数据泄密等。对会计数据的泄密主要是指系统的用户或数据保管人员把本企业会计信息通过磁盘、磁带、光盘或网络等介质透露给竞争对手;窃取或篡改商业秘密是系统非法转移用户利用不正常手段获取企业重要机密的行为。借助高技术设备和系统的通讯设施非法转移资金对会计数据的安全保护构成很大威胁。
另外操作人员通过非法修改、销毁输出信息等损坏计算机系统的方式达到掩盖舞弊行为和获取私人利益的目的,也是构成系统安全风险的一个因素。
三、会计信息系统安全风险的防范策略
(一)在软件功能上施加必要的控制措施来保护会计数据的安全1、增加必要的提示功能如软件执行备份时,存储介质上无存储空间、备份介质未正确插人和安装;执行打印时未连接打印机或未打开打印机电源;用户输入数据时输入了与系统当前数据项不符的数据或未按要求输人等等,此时系统应给予必要的提示,并自动中断程序的执行。
2、增加必要的保护功能在突然断电、程序运行中用户的突然干扰等偶发事故,如软件执行结帐时用户干预等发生时,能自动保护好原有的数据文件,防止数据破坏或丢失、同时对重要数据系统可增加退出系统时的强行备份功能,用户再次进人系统时自动把备份数据与机内数据比较对照,及时发现数据文件的改变。
3、必要的检验功能(1)设计适应电算化帐务处理的核算组织程序。任何由原始凭证人工编制的记帐凭证都应进行严格的审核、复核。在网络环境系统中,输人的工作量由多人共同分担,凭证数据的输人可以采用一组人员输入,换人复核;或者采用两组人员两次输人,输人的数据分别存放在两个暂存文件中,然后由计算机对两个数据文件中的记录逐条进行比较。对于存在差异的记录进行对照显示或打印,便于找出错误,进行修改。只有完全相同,系统才把录入的数据作为正式的凭证数据存贮。未经校验的数据系统应作上标记,不允许进人记帐凭证文件。
(2)对输人系统的数据、代码等都要进行检验。如:输人记帐凭证时、每张凭证都要经过曰期合法性、会计科目合法性、凭证类合法性、对应科目的合法性、金额借、贷平等校验。对于不符合要求的数据系统不予通过。根据会计核算的要求和网络系统的特点、系统对输人的同类记帐凭证、原始凭证自动按日或月分类顺序编号,并且对多个用户同时访问同一个数据文件时各用户操作的记录进行锁定,拒绝其它用户的访问。这样可以避免多个用户同时操作易引起的凭证断号、重号和串号,而且使于分清责任,达到会计控制的目的。
4、增加必要的限制功能(l)修改限制。修改功能可以方便用户,提高系统的实用性,但同时也增加了系统的不安全因索。因此在帐务处理中有必要对修改功能加以限制:①对末记帐的凭证,一经修改,必须进行复核,只有正确之后系统才对修改结果予以确认;②对已经记帐的凭证系统不提供直接修改帐目的功能。只能通过编制记帐凭证,对错误的凭证进行冲正或补充登记;对修改过的凭证,系统予以标识,保留更改痕迹,并可以打印输出以作核查依据;③输出的财务报表,其数据由系统自动按照用户定义的格式和数据来源的公式生成、不提供对数据的修改功能;④基础数据,如:科目库、代码库等的修改权限只授予系统维护员。
(2)处理数据的一次性限制。在帐务处理中、期末结帐,一旦执行,系统应予以标识,如果系统的某些设置(比如会计期间)未变,则不能再执行第二次。
(二)建立必要的管理制度l、实行用户权限分级授权管理,建立起化环境下信息系统的岗位责任制按照网络化会计系统业务的需求设定各会计上机操作岗位,明确岗位职责和权限,并通过为每个用户进行系统功能的授权落实其责任和权限。结合密码管理措施,使各个用户进人系统时必须输人自己的用户号和口令,进人系统之后也只能执行自己权限范围内的功能,防止非法操作。同时做到不相容职务的分离;比如:系统的维护人员和系统管理员不得上机处理日常会计业务;会计业务处理人员不能进行系统维护,会计软件保管人员不能由上述人员兼任等等。
同时防止单用户系统中利用数据库管理系统篡改数据文件;网络系统中要对会计系统的所有数据文件按照如下的使用权限;只读数据、修改数据行、增加数据行、建立数据文件的索引文件、删除数据行、修改数据文件结构等进行授权、并且视需要进行权限的收回。
2、建立严格的内部牵制制度对系统的所有岗位要职责范围清楚、同时做到不相容职务的分离,各岗位之间要有一定的内部牵,制作保障。如:软件维护后,必须经过维护人员、内审人员和用户的共同测试和签章才能正式投人使用系统数据输人人员不能兼做审核;系统的维护人员和系统管理员不得上机处理日常会计业务,系统进行备份数据恢复时必须由具体操作员和主管共同批准等。
3、建立必要的上机操作控制和系统运行记录控制(l)建立严格的硬件操作规程。安装机硬件系统时,必须按照一定的顺序进行;启动计算机时,要按照先开外设再开主机、关机时先关主机再关外设;计算机处于工作(加电)状态时、不得拔插各种外部设备;计算机进行软盘读写操作时,不得强行将软盘取出;网络的布线要避免电磁干扰或人为的损坏,不要随意插拔网络缆线的接头,也不要经常移动计算机等。
(2)制定操作员访问系统的标准操作规程、明确规定各个操作员进人系统后执行程序的顺序、各硬件设备的使用要求、数据文件和程序文件的使用要求以及处理系统偶发事故的操作要求,如设备突然断电的处理、设备的重新启动要求等、同时要制定数据文件的处置标准,对数据文件的名称、保留时间、存放地点、文件重建等事项做出规定,以便统一管理。
(3)通过设置软件功能、利用系统提供的功能或人工控制记录等措施对各用户操作系统的所有活动予以记录,并定期由系统主管进行监察和检验及时了解非法用户和有权用户越权使用系统的情况。
4、建立严格的硬件管理制度和损害补救措施比如采用磁盘双工和磁盘镜像可以在一块硬盘失效时,由另一块硬盘替换工作;双机热备份可以在一台计算机(服务器)失效时,由备用的计算机接替继续工作。
建立健全设备管理制度,确保硬件设备的运行环境、电源、温度、湿度、静电、尘土、电磁干扰、辐射等,例如计算机系统要求配置稳压电源,不间断电源(UPS),有时还需要配置备份电源,以便在长时间断电的情况下启用备份电源来保证设备的正常运行。
其次,各系统操作人员应分清责任,各自管理和使用自己职责范围内的硬件设备,不得越权使用、禁止非计算机操作人员使用计算机系统,以免不当的操作损坏硬件设备。多个用户使用同一台设备的,要进行严格的登记,并记录运行情况。
5、建立严格的档案管理制度首先,系统投人使用之后,原系统的所有程序文件、软、硬件技术资料应作为档案进行保管,并应由专人负责,同时严格限制无权用户、有权用户非正常时间等对程序的不正常接触;在档案调用时也必须经系统主管和程序保管共同批准,并对使用人、程序名称、调出时间、使用原因和目的以及归还时间等进行详细的登记,以便曰后核查。
其次,所有会计数据文件应做档案保管并严格限制无权用户、有权用户非正常时间等的不正常接触;建立一定的应急措施,如数据文件的定期备份、备份数据的存放地点、存放条件要求、系统数据文件损坏后的再生规则等,从管理上严把关。
6、建立预防病毒的安全措施(1)坚持使用正版的软件,不要使用盗版或来历不明的软件。
(2)定时备份磁盘的数据和软件。
(3)在不能确定计算机、是否带有病毒的情况下,要读取软盘的数据应使软盘处于写保护状态。
⑷不要打开和阅读来历不明的邮件。
(5)经常对计算机硬盘和软盘进行病毒检测。
7、建立对黑客的防护措施(1)设置防火墙,使用入侵检测软件。入侵检测软件可以检测非法入侵的黑客,并将它拒之内部网络之外。
(2)抓好网内主机的管理。用户名和密码管理永远是系统安全管理中最重要的环节之一,对网络的任何攻击,都不可能没有合法的用户名和密码(后台网络程序开后门例外)。但绝大部分系统管理员只注重对特权用户的管理,而忽视对普通用户的管理。主要表现在设置用户时图省事方便,胡乱设置用户的权限、组别和文件权限,为非法用户窃取信息和破坏系统留下了空隙。
(3)设置好的网络环境。网上访问的常用工具有网络操作命令,对它们的使用必须加以限制。但这样做会使网外的一切访问都被拒绝,即使是合法访问也不例外。这种闭关自守的做法不值得提倡,因为这样会使本网和网外隔绝开,也会给自己带来不便。应该尽量做到有条件的限制(允许)网上访问。
(4)加强对重要资料的保密。重要资料主要包括路由器、连接调制解调器的电脑号码及所用的通信软件的种类、网内的用户名等,这些资料都应采取一些保密措施,防止随意扩散。如可向电信部门申请通信专用的电话号码不刊登、不供查询等。由于公共的或普通邮电交换设备的介入,信息通过它们后可能被篡改或泄露。
【关键词】 网络信息系统 医院网络安全 病案管理系统
网络信息的安全关系到国家的安全和以及社会稳定等重要问题,并且随着全球信息化步伐的加速发展而越来越重要。而医院的网络安全又是一个比较特殊的而且应该引起极大重视的事,新的医改方案的出台,提出要建立一个资源共享的医疗卫生信息系统用以推进信息化建设,重点在于医院的管理和电子病历上,这意味着医院的信息系统将会是一个高科技和高风险并存的系统,它将承载着更多的医疗管理业务,而网络信息系统本身的脆弱性和复杂性,使得网络信息系统所要面临的威胁也越大。因此,医院的网络系统安全问题也会变得越来越重要和充满着挑战性。
一、医院的网络安全系统与重要性
医院的网络安全系统包括操作系统的安全和医保及互联网的安全,。随着技术的发展,互联网已大量普及,使得网络安全成为了需要重点考虑的问题,这也是现在医院当务之急最应该做的事,医院网络安全的重要性体现在:
1、医院患者数据的特殊性
医院的病案管理数据就好像是一个及其重要的医学文献,它的每个数据都是医院所最宝贵的财富,一旦弄丢或者出现差错,将带来无法预计的损失,因为每个病人的疾病发生症状、演变还有每次医务人员的诊断和治疗过程都被完整的记录了下来,这是医学现代化的一个发展和应用,而且也直观的可以将医务人员的素质以及现代医疗的技术水平呈现出来。而医院本身的数据又非常庞大和复杂,以前数据这些都需要有专业的人员深入到科室去对各种病案进行收集分类和整理,工作量非常的大而且又容易出现误差,因如果借助医院的网络手段就可以进行现代化的管理,使得病案的存储和处理变得更加的便捷和精确,这样的话将会大大的提高医院的工作效率。所以医院的网络安全问题就显得尤其的重要。
2、网络安全犯罪事件越来越多
现在信息技术发展的飞快,掌握网络犯罪技术的人员也越来越多,网络安全系统的漏洞不断被检测出来,一旦医院的网络系统出现故障,不仅会影响到医院日常工作的进行,也会给医院带来非常不利的影响。同时医院数据的庞大,也对医院网络的数据处理能力提出了更高的要求,所以建立健全一个完善的的医院网络系统是非常迫切同时也非常重要的事!
二、网络安全中存在的问题分析
1、网络协议存在安全隐患
TCP/IP协议中容易遭受到IP的劫持和Smuff攻击等风险,劫持者利用序列号预测,而在连接中植入自己的数据,Smuff攻击则假冒受害者主机的IP地址,引起受害主机的崩溃。而FrP协议的口令设置会方便入侵者盗取口令并传播木马等病毒,用以窃取用户的数据,@DDNS提供解析域名等服务,很容易遭受到假冒域名的攻击, 路由协议缺陷使得入侵者可以伪造ARP包不,不停地更改序列号,冒充主机,然后就可以监听主机的数据包,影响整个网络系统的运行稳定。
2、来自病毒的频繁攻击事件
网络病毒肆掠,黑客的频繁攻击,所造成的危害越来越严重,给医院的正常运行带来重重阻碍,大多数的网络安全事件都是由于用户终端的脆弱造成,在医院网络中,系统漏洞和杀毒软件的落后的现场非常常见,而医院的网络处于互联网中,难免会遇到各种的病毒攻击,这些病毒可能会是医院的系统崩塌,并感染其他的电脑,安全威胁将会快速的扩展到更广的范围里。所以医院急需解决的是要保证用户终端的健康安全使用,同、同时须完善自身的病毒防御系统。
3、安全制度存在漏洞,安全策略不完善
鉴于医院信息的特殊性,对医院信息安全系统的建设将会是一个非常复杂的工程。一些医院没有建立完善的网络安全机制,也没有采取和调整相应的网络安全策略,而仅仅是注重于采购各种网络安全产品,没有给自己制定相关的中、长期规划,这样的话,医院的信息安全产品其实没有起到应有的作用。
4、人员的操作失误
操作人员的安全意识薄弱,不了解网络安全所应承担的责任,自身的操作技术不过关,又无法应付网络安全的突发事件,这样可能会带来引入危害程序,泄漏网络信息,造成网络的崩塌等安全隐患。所以非常需要加强对操作人员的安全意识和技术培训。
三、相关的建议和解决措施
1、完善网络安全策略
根据医院的具体情况制定一套自上而下的完整的安全策略,同时对网络进行实时的安全监控,确保可以及时的了解到医院的网络安全状况,提前发现网络中入侵动作,并且运用防火墙来进行阻止,这样医院就可以随时了解到网络中存在的缺陷,在发生损失之前就采取必要的安全措施,提高自身的安全防御水平。
2、借助先进的网络安全技术
(1)在外网同内网之间设置好防火墙,利用防火墙来对进出网络的数据进行监控和过滤,达到控制和阻断存在安全隐患的进出网络访问行为,对于应当禁止的业务要及时进行封锁,并把防火墙的工作信息和内容详细的记录下来,以此来提前监测和预警可能要进行的网络攻击,防火墙的种类有过滤型、检测型和型等,在实际运用中,要根据不同的情况以便安装不同的防火墙。
(2)根据不同的安全需求来划分和隔离出不同的安全域,可利用控制访问和权限等机制、来达到对不同的访问者访问网络和设备时的控制,防止内部访问者在无权访问的区域进行访问和采取错误的操作。通常将网络安全级别划分为关键的服务区域和外部接入的服务区域,我们可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部并且要安全的隔离这两大区域之间,针对关键的服务器区域内部, 也需要按不同的安全级别而进行不同的安全隔离,划分并隔离不同安全域要结合网络系统的安防与监控需要,与实际应用环境、工作业务流程和机构组织形式密切结合起来。
(3)要定期更新升级防病毒的工具,并且要经常对网络进行安全扫描,以防范病毒和带有安全隐患的入侵,注意加强系统薄弱的地方,及时检查漏洞并修补漏洞。除了平常的防毒工作站外,消除病毒的关键还在于email防毒和网关式防毒。平时还需要经常使用扫描器主动扫描,及时发现网络的安全隐患并进行修补,以防黑客攻击。
(4)要采取先进的加密和认证技术,通过加密,可以使要传输的信息得到很好的保密,这是一个非常常见但是效果又很明显的技术,主要是在文件传输和桌面的安全防御中得到广泛的应用。
(5)要对数据经常进行备份,医院信息系统的核心是数据库,它关系着患者的治疗资料和隐私,数据库的安全要保证数据的正常的存储与应用,而且要对对数据库的破获和攻击采取防御措施,所以数据的重要性对于医院来说是不言而喻的。即使没有病毒与网络攻击,自己自身的错误操作或者系统的断电及其他的一些意外,都会导致数据的不可挽回的丢失,所以我们必须要有制定一套完整的保护方案和应急手段才行,而备份是一种最常用的最基本的系统安全维护手段,利用数据的备份和恢复功能,有些数据甚至能异地存储备份,这样可以避免严重的事故发生。
3、健全风险的评测体制,增强医院的安全管理体制
可以长期与专业的安全服务公司进行合作,以便建立一套完整的风险评估机制,在部门之间加强信息的沟通与资源的共享,采用其先进的风险评估技术,同时结自身网络系统安全实际的实际情况,去不断发现信息系统中所存在的安全隐患,然后寻求有效的补救方法。同时也要安排专门的人员对硬件设备和系统进行维护和优化。可以设立完善的安全管理机构,由专门的网络安全的小组的领导组成,落实职责。加强网络安全队伍建设,保证医院的信息系统可以正常运行。在执行安全策略时需要采取制度化管理,规范各个业务系统的操作和数据库管理员的工作等,而对于不同敏感类型的信息要依据相关的管理制度和方法来管理。
4、建立应急预案,定期进行演练
在医院网络系统的运行过程中,难免会会出现各类的故障,为了确保医院的安全系统可以正常运行,应当建立应急预案,使得医院在突发事件中提高系统的处理的能力,是不利的影响和损失能够降到最低,制定应急预案,所以首先,从医院的实际业务特点出发,来进行不同规模的应急演练,同时应当注意对不同的故障制定不同的应急预案,并设立专门的领导小组作为保证,而启动应急预案会给医院的正常工作很大挑战,因为需要调动大量的人力和物力所以对于应急预案启动的条件要严格控制。在应急预案建立好后,还需定期的组织演练,确保应急方案的切实可行。
5、提高相关人员的素质,加强员工的培训
操作人员的素质高低会直接影响到医院网络完全的系统建立,对员工进行相关的安全培训则是非常关键的手段。安全培训可以分为信息科的专业人员的安全技术培训和所有使用人员的操作安全培训这两种。信息科的培训针对的是各类的安全技术和安全策略,而系统使用人员的操作培训,要则主要在于怎样安全的使用各类计算机设备和怎么样对设备进行维修保养。
总之,我们都知道不存在绝对安全的网络防御系统,网络信息的安全风险的存在是客观的现象,也是一个在不断演变和前进的的系统,科技的发达与便捷,促使医院的业务对网络技术的依赖也越来越强,当然相关的风险也就大大的提高了,而当故障发生时,不可避免的会给医院的服务和秩序带来无法估计的影响。所以,必须高度重视技术上的和理论上的网络安全。随着计算机技术与医院自身的信息系统的不断完善,未来在网络安全上的体制也将会更完善。
参 考 文 献
[1] 式志红. 医院信息系统的安全维护措施[J]. 中国医疗设备,2009(1)
(一)信息化时代经济的新诠释
网络经济的概述并不真正理解网络经济的运用,这时需要我们对不同形式的经济进行对比分析,才能真正实现网络经济的界定分析,并进行充分的应用(谢芳,2007)。知识经济充分运用生产知识、生产信息等进行合理分配,建立以知识推动生产的发展体系,只有建立在知识经济的前提下,网络经济才有充足的结构体系支撑,并有了发展的内核。相同的,信息经济提供了充足的信息技术支撑,实现了高速化发展的信息来源。
(二)网络经济发展的重要特征
1.网络经济具备有多样性。
网络经济内容众多且有明显的渗透性。这导致网络经济在工业、农业的投入较多,服务业的运用也逐年增加。特别是网络经济促进了高科技电子行业、金融业、商业、通讯业以及科学研究等发展,使我国生产力发展愈发需要网络经济的支持。可以说,信息时代的经济竞争便是网络竞争,依靠知识和技术的竞争更加有利于资源与金钱的竞争。
2.网络经济涵盖虚拟经营。
虚拟经营成为近年来重要的经济发展方式,也是推动网络经济发展不可取代的因素。当网络银行开通后,我国出现了大量的网络购物平台,使网络经济的发展再上一层楼。支付宝等虚拟网络支付平台出现后,占据了中国互联网第三方支付平台一半以上的份额,对金融发展的影响不可忽视。当然,虚拟经营与现实经营相结合,才能发挥信息化经济运行的一体化。本文通过数据表明网络经济的增长时态,体现网络交易的增长变化。
3.网络经济具有成长性。
从上文的数据中便能得出结论,我国网络经济具有成长性。网络经济的成长性来自于网络经济的便捷化和高效化,也正是近年来经济发展的方向之一。可以说,网络经济的成长性与用户的反馈息息相关,如果有正面的用户反馈,则将会作用于更多的用户,促进发展;相反,如果有部分用户给予否定的评价,则会反作用于后面的用户,导致危机的出现因此网络经济的成长不可估量,这也正是它出现风险的重要来源。
二、信息时代我国网络经济风险种类以及成因分析
(一)财政风险
财政风险是网络信息化经营数量增加过多所致,同时与经济全球化非对称性相关。网络经济大部分经济活动是需要借助于网络交易平台来进行的,而这些交易平台的存在导致了电子商务数量的增加,大大冲击了传统的经济贸易模式。由于网络经济的诸多优良特性广受人们青睐,导致传统贸易的数额逐年减少,直接影响了当前税基。特别是一部分网络经济交易避开了“纳税区”,导致纳税款的减少,并且查税难度也逐渐加大,给政府财政管理造成安全隐患。其次,网络经济促进了经济一体化的发展,导致我国经济风险跟随经济全球化,我国经济受到西方国家金融危机的影响就越大。网络经济容易受到网络的约束和影响,特别是网络的“交叉感染”使网络经济容易出现网络漏洞,譬如计算机病毒、网络“黑客”攻击等(孙文远,2012)。再者,虚拟货币的出现给现实货币流通造成严重的影响,如果不能权衡虚拟货币和现实货币两者的关系,极有可能导致货币政策监管失控,造成不可估量的经济损失。
(二)监管风险
网络经济涉及面非常广,部分企业网络经营管理人力不够,导致出现了监管风险。监管风险分为内外监督两部分。据调查,有80.15%的网络非法行为是企业内部人员操作,给企业和网络用户造成严重的不稳定影响。同时,监管不力还导致企业不能积极地实现企业与经济变革的接轨,企业内部管理制度缺失,商业机密泄露和经济损失便在所难免。从我国当前部分网络企业来看,缺乏系统的监管部门,不能及时有效地对外界出现的状况做出全面的调整。从统计来看,百分之九十的网络企业信息防控都存在不足,如果不能实现有力的监管,就极有可能导致风险的爆发。外部监管的困难在于交易网络化、信息化、交易变化性大、消费者信息不能完全确保正确等(杜雷鸣,2005)。
(三)技术风险
技术风险指的是技术漏洞而导致网络经济出现的风险。一般来说,技术风险的构成因素包括网络攻击、网络病毒感染、技术漏洞等。技术风险是影响网络经济的关键风险之一,如果不能克服技术风险,将会给网络经济带来灾难。技术风险又包括以下几点:
1.网络硬件、软件风险。
硬软件风险在于破坏硬软件或者利用软件漏洞所造成的风险。包括计算机、服务器设备的破坏,计算机病毒和黑客干扰。特别是部分企业进口一些不正规的计算机部件,使计算机硬件使用寿命出现安全隐患。更严重的是,部分硬件在出厂时便被预先设置计算机病毒等,给使用企业带来威胁。我国网络使用规模位居世界第三,但是由于网络基础设施建设并不完善,可操作平台相较发达国家较低,极难确保网络使用的安全性。发展硬软件迫在眉睫,可见硬软件风险还会在一定时期内给网络安全带来损失。
2.网络运行风险。
运行风险体现在人们没有科学的网络操作意识,有高达百分之八十的运行风险是来自于不正当的网络操作。正确的网络运行操作能够有效地减少网络病毒和黑客的攻击,能够有效地减少网络数据传输安全。与此同时,还能确保网络信息传输的可靠性,对减少技术风险有着不可取代的作用。
(四)信息风险
信息风险指的是因为网络信息的虚假性和不准确性等带来的风险。虚假的网络信息成为网络诈骗的必要条件,只有遏制虚假网络信息的传播才能有效地发现诈骗信息并及时处理。据2012年统计,我国出现的网络诈骗额高达300亿人民币,并随着时间的推移,网络诈骗的数额和数目也逐渐加大。伴随着电子网银的发展,快捷支付已经成为众多网民网络付款的重要方式,然而快捷支付所出现的漏洞也是巨大的。只要非法份子掌握了用户的银行卡号码、身份证号码以及手机号码就有可能破解用户的网上支付平台,从中进行非法操作。这也是由于用户没有妥当保存好个人信息导致的。
三、信息时代我国网络经济风险化解对策
(一)普及网络安全意识并提升风险防范能力
上文笔者便提到,有很大部分的技术风险和监管风险都来自于企业内部,因此提高企业内部员工的基本网络安全意识是必要的。普及网络经济的风险,使员工清楚地认识到风险的重要性,并把网络风险防范当成工作的一部分。建立网络安全教育平台,全面提升员工的风险防范素质;同时,要加大道德教育的力度,强化责任感,把保障企业安全和用户安全当成自己的本职工作,学会尊重用户的个人隐私和保护用户信息安全。定期进行安全操作技能考核,确保企业员工在长期内提高防范敏感度,只有这样才能把网络经济风险防范到极致。
(二)建立健全网络安全监督机制
没有规矩不成方圆,网络经济的风险防范需要健全的监督监管机制来执行。这要求我们国家建立网络经济风险监管机构,可以选取部分网络经营企业和实体经营企业经营加盟。根据我国的实际情况定制网络风险管理战略、监督管理策略、运行监督规定以及其他相关规定,完善国家网络经济安全防范制度。除此之外,国家还要强化税收监督,针对税收问题定制相应的征税管理公约,修订和完善网络经济税收法,避免出现网络经济“免税区”。以网络交易和支付平台为重点保护对象,定制相应的网络保护法律,明确电子支付平台的职能和作用等。
(三)增加网络安全技术研发投入
网络硬软件安全是网络安全的必然保障。因此增加网络安全技术研发的投入是提升网络安全的必要做法。这要求我们提升网络硬软件建设水平,加大资金投入以提升企业硬软件的整体水平,完善网络经济运行的基本投入。加大网络安全技术研发的投入适用于以下方面:提升信息安全研发、防火墙建设、网络数据监控研发、内部数据保密建设、网络设备引进等。通过技术研发和技术引用实现企业的保密、反病毒等能力,提升企业网络风险整体防范水平。
(四)加强网络合作和网络互助
经济全球化使全球经济合为一体,单独依靠个别企业的成长是远远不够的。特别是网络经济的全时空性更加要求企业加强全球合作和网络互助。因此需要建立一个全球网络经济安全机制,使全球网络风险判断有相同的标准。当个别企业或者国家出现网络金融危机时,给予相应的援助和技术支持。加强网络合作能够增加风险权衡能力、提升企业的整体抗风险能力。同时加强网络合作还能实现个别企业的技术和设备升级、提升企业整体风险防范水平。
(五)完善网络保险制度
网络经济是无形的,但是它的作用是巨大的。如果一个网络运营企业没有充分的保险作为前提,一旦出现风险经济损失便难以挽回,这时就需要保险来减少经济损失。网络企业购买保险也是风险防范的重要步骤。本文以支付宝为例子:支付宝打造的余额增值服务。把钱转入余额宝即购买了由天弘基金提供的增利宝货币基金,可获得收益。余额宝在创造收益的同时,还可能会有风险。当然,这些风险是由支付宝和由众安保险承保,被盗100%赔付,可见保险的重要性。
四、结语
关键词 计算机;网络风险;防范模式;防范流程
中图分类号 F062.5 [KG*2]文献标识码 A [KG*2]文章编号 1002-2104(2011)02-0096-04
在信息时代,信息成为第一战略资源,更是起着至关重要的作用。因此,信息资产的安全是关系到该机构能否完成其使命的大事。资产与风险是天生的一对矛盾,资产价值越高,面临的风险就越大。信息资产有着与传统资产不同的特性,面临着新型风险。计算机网络风险防范的目的就是要缓解和平衡这一对矛盾,将风险防范到可接受的程度,保护信息及其相关资产,最终保证机构能够完成其使命。风险防范做不好,系统中所存在的安全风险不仅仅影响系统的正常运行,且可能危害到政府部门自身和社会公众,严重时还将威胁国家的安全。论文提出了在选择风险防范策略时如何寻找合适的风险防范实施点并按照实施风险防范的具体过程来进行新技术下的风险防范,从而帮助完成有效的风险管理过程,保护组织以及组织完成其任务。
1 计算机网络风险管理
计算机网络风险管理包括三个过程:计算机网络属性特征分析、风险评估和风险防范。计算机网络属性特征分析包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段。在计算机网络风险防范过程中,计算机网络属性的确立过程是一次计算机网络风险防范主循环的起始,为风险评估提供输入。风险评估过程,包括对风险和风险影响的识别和评价,以及降低风险措施的建议。风险防范是风险管理的第三个过程,它包括对在风险评估过程中建议的安全控制进行优先级排序、评价和实现,这些控制可以用来减轻风险。
2 网络风险模式研究
2.1 风险防范体系
计算机风险防范模式包括选择风险防范措施(风险假设、风险规避、风险限制、风险计划、研究和了解、风险转移)、选择风险防范策略(包括寻找风险防范实施点和防范控制类别的选择)、实施风险防范3个过程。在实施风险防范的过程中包括对行动进行优先级排序、评价建议的安全控制类别、成本-收益分析、选择风险防范控制、分配责任、制定安全措施实现计划、实现被选择的安全控制,最后还要进行残余风险分析。
2.2 风险防范措施
风险防范是一种系统方法,高级管理人员可用它来降低使命风险。风险防范可以通过下列措施实现:
(1)风险假设:接受潜在的风险并继续运行IT系统,或实现安全控制以把风险降低到一个可接受的级别。
(2)风险规避:通过消除风险的原因或后果(如当识别出风险时放弃系统某项功能或关闭系统)来规避风险。
(3)风险限制:通过实现安全控制来限制风险,这些安全控制可将由于系统弱点被威胁破坏而带来的不利影响最小化(如使用支持、预防、检测类的安全控制)。
(4)风险计划:制定一套风险减缓计划来管理风险,在该计划中对安全控制进行优先排序、实现和维护。
(5)研究和了解:通过了解系统弱点和缺陷,并研究相应的安全控制修正这些弱点,来降低风险损失。
(6)风险转移:通过使用其他措施补偿损失,从而转移风险,如购买保险。
在选择风险防范措施中应该考虑机构的目标和使命。要解决所有风险可能是不实际的,所以应该对那些可能给使命带来严重危害影响的威胁/弱点进行优先排序。同时,在保护机构使命及其IT系统时,由于每一机构有其特定的环境和目标,因此用来减缓风险的措施和实现安全控制的方法也各不相同。最好的方法是从不同的厂商安全产品中选择最合适的技术,再伴以适当的风险防范措施和非技术类的管理措施。
2.3 风险防范策略
高级管理人员和使命所有者在了解了潜在风险和安全控制建议书后,可能会问:什么时候、在什么情况下我们该采取行动?什么时候该实现这些安全控制来进行风险防范,从而保护我们的机构?
如图1所示的风险防范实施点回答了这个问题。在图1中,标有“是”的地方是应该实现风险防范的合适点。
总结风险防范实践,以下经验可以对如何采取行动来防范由于故意的人为威胁所带来的风险提供指导:
杨涛等:计算机网络风险防范模式研究中国人口•资源与环境 2011年 第2期(1)当存在系统漏洞时,实现保证技术来降低弱点被攻击的可能性;
(2) 当系统漏洞被恶意攻击时,运用层次化保护、结构化设计以及管理控制将风险最小化或防止这种情形的发生;
(3) 当攻击者的成本比攻击得到更多收益时,运用保护措施,通过提高攻击者成本来降低攻击者的攻击动机(如使用系统控制,限制系统用户可以访问或做些什么,这些措施能够大大降低攻击所得);
(4) 当损失巨大时,运用设计原则、结构化设计以及技术或非技术类保护措施来限制攻击的程度,从而降低可能的损失。
上面所述的风险防范策略中除第三条外,也都可运用来防范由于环境威胁或无意的人员威胁所带来的风险。
2.4 风险防范模式的实施
在实施风险防范措施时,要遵循以下规则:找出最大的风险,然后争取以最小的代价充分减缓风险,同时要使对其他使命能力的影响最小。实施措施通过以下七个步骤来完成,见图2。
2.4.1 对行动进行优先级排序
基于在风险评估报告中提出的风险级别,对行动进行优先级排序。在分配资源时,那些标有不可接受的高风险等级(如被定义为非常高或高风险级别的风险)的风险项目应该最优先。这些弱点/威胁需要采取立即纠正行动以保护机构的利益和使命。步骤一输出―从高到低优先级的行动。
2.4.2 评价建议的安全控制
风险评估过程中建议的安全措施对于具体的机构和IT系统可能不是最适合和可行的。在这一步中,要对建议
图1 网络风险防范实施点
Fig.1 Network implementation point of risk prevention
图2 实施风险防范措施流程及其输入输出
Fig.2 Implementation of risk prevention measures and
the input and output processes
的安全控制措施的可行性(如兼容性、用户接受程度)和有效性(如保护程度和风险防范级别)进行分析。目的是选择最适当的安全控制措施以最小化风险。步骤二输出―可行安全控制清单。
2.4.3 实施成本-收益分析
为了帮助管理层做出决策并找出性价比好的安全控制,要实施成本―收益分析。第三步输出―成本-收益分析,其中描述了实现或者不实现安全控制所带来的成本和收益 。
2.4.4 选择安全控制
在成本-收益分析的基础上,管理人员确定性价比最好的安全控制来降低机构使命的风险。所选择的安全控制应该结合技术、操作和管理类的控制元素以确保IT系统和机构适度的安全。步骤四输出―选择好的安全控制。
2.4.5 责任分配
遴选出那些有合适专长和技能来实现所选安全控制的人员(内务人员或外部签约人员),并分配以相应责任。步骤五输出―责任人清单。
2.4.6 制定一套安全措施实现计划
在这一步,将制定一套安全措施实现计划(或行动计划)。这套计划应该至少包括下列信息:
(1)风险(弱点/威胁)和相关的风险级别(风险评估报告输出)。
(2)建议的安全控制(风险评估报告输出)。
(3)优先排序过的行动(标有给那些有非常高和高风险级别的项目分配的优先级)。
(4)被选择的计划好的安全控制(基于可行性、有效性、机构的收益和成本来决定)。
(5)实现那些被选择的计划好的安全控制所需要的资源。
(6)负责小组和人员清单。
(7)开始实现日期。
(8)实现完成的预计日期。
(9)维护要求。
2.4.7 实现被选择的安全控制
根据各自的情况,实现的安全控制可以降低风险级别但不会根除风险。步骤七输出―残余风险清单。
3 网络风险防范案例
以某市政府官方门户网络应用系统为例,首先要对网络应用系统进行属性分析,风险评估,然后根据风险评估报告和承受能力来决定风险防范具体措施。
3.1 风险评估
该计算机网络应用系统安全级别要求高,根据手工和自动化网络风险评估,结果如下所示:
数据库系统安全状况为中风险等级。在检查的33个项目中,共有9个项目存在安全漏洞。其中:3 个项目为高风险等级,占总检查项目的 9%;1 个项目为中风险等级,占总检查项目的 3%;5 个项目为低风险等级,占总检查项目的 15%。
3.2 风险防范具体措施
选择风险防范措施中的研究和了解同时进行风险限制。确定风险防范实施点,该数据库的设计存在漏洞并且该漏洞可能被利用,所以应该实施风险防范。实施步骤如下:
步骤一:对以上扫描结果中的9个漏洞进行优先级排序,确立每个项目的风险级别。
步骤二:评价建议的安全控制。在该网站主站数据库被建立后针对评估报告中的安全控制建议进行分析,得出要采取的防范策略。
步骤三:对步骤二中得出相应的若干种防范策略进行成本收益分析,最后得出每种防范策略的成本和收益。
步骤四:选择安全控制。对上述扫描的9个漏洞分别选择相应的防范策略。
步骤五:责任分配,输出负责人清单。
步骤六:制定完整的漏洞修复计划。
步骤七:实施选择好的防范策略,按表1对这9个漏洞进行一一修复。
表1 防范措施列表
Tab.1 List of preventive measures
漏洞ID
Vulnerability
ID 漏洞名称
Vulnerability
Name级别
level风险防范策略
Risk prevention
strategiesAXTSGL1006Guest用户检测高预防性技术控制AXTSGL1008登录模式高预防性技术控制AXTSGL3002审计级别设置高监测和恢复技术控制AXTSGL3011注册表存储过程权限中支持和预防性技术控制AXTSGL2001允许远程访问低预防性技术控制AXTSGL2012系统表访问权限设置低预防性技术控制AXTSGL3003安全事件审计低监测恢复技术控制AXTSGL3004黑盒跟踪低恢复管理安全控制AXTSGL3006C2 审计模式低监测和恢复技术控制
4 总 结
在进行计算机网络风险管理分析的基础上,提出了新技术下的风险防范模式和体系结构,同时将该防范模式成功应用到某市官方网站的主站数据库中。应用过程中选择了恰当的防范措施,根据新技术下风险防范实施点的选择流程确立了该数据库的防范实施点并严格按照风险防范实施步骤进行风险防范的执行,成功地使风险降低到一个可接受的级别,使得对机构的资源和使命造成的负面影响最小化。
虽然该防范模式在一定程度上降低了风险的级别,但是由于风险类型的不可预见性和防范策略的局限性,该模式未必使机构或系统的风险降到最低,因此风险防范有待于进一步改进和完善,这将是一个长期的任务。
参考文献(References)
[1]蔡昱,张玉清.风险评估在电子政务系统中的应用[J].计算机工程与应用,2004,(26):155-159.[Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System[J]. Computer Engineering and Applications: 2004(26):155-159.]
[2]张平,蒋凡.一种改进的网络安全扫描工具[J].计算机工程,2001.27(9):107-109,128.[Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering[J].2001,27(9):107-109,128.]
[3]卿斯汉.网络安全检测的理论和实践[J].计算机系统应用,2001,(11):24-28.[Qing Sihan. Network Security Detection Theory and Practice[J]. Computer SystemApplication,2001,(11):24-28.]
[4]戴志峰,何军.一种基于主机分布式安全扫描的计算机免疫系统模型[J].计算机应,2001,21(10):24-26,29.[Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer[J]. Computer Application, 2001,21(10):24-26,29.]
Research on Risk Precention Model of Computer Network
YANG Tao1 LI Shuren1 DANG Depeng2
( 1. Computer Network Information Center,Chinese Academy of Sciences,Beijing 100190,China;
2. College of Information Science and Technology,Beijing Normal University,Beijing100875,China)
关键词:国库资金;风险防范;内控
中图分类号:F830 文献标识码:B 文章编号:1007-4392(2011)02-0065-02
一、当前国库资金风险的表现形式
国库资金风险,是指国库资金在流转的过程中,遭受损失的可能性。主要表现为制度风险、系统风险、操作风险、监督管理风险和人员风险等。这些风险的存在,势必造成国库资金的安全隐患。
(一)制度风险
随着国库会计核算方式及业务操作手段的更新和变化,国库会计各项制度也在不断补充和完善,近几年来,尽管一系列国库制度不断重新修改和制定,但是随着国库会计核算系统的不断升级,集中支付、国库直拨、财税库银横向联网和国库会计数据集中系统即将上线运行,这些制度和办法远远不能满足当前国库会计核算发展的需要。虽然我们对国库制度建设空前关注,但是国库的现行制度仍不能涵盖整个国库核算业务的全过程,在一定程度上还存在制度的空白点和真空,制度的制定和完善还滞后于业务的发展,在实际操作中已经造成资金风险。
(二)系统及网络风险
国库会计核算从原始手工到使用计算机、到发展网络资金汇划是一大飞跃。一随着国库会计核算系统、国库统计分析系统、国债系统、同城票据交换系统、国库集中支付系统和刚刚上线的国库信息管理系统、财税库银横向联网系统等系统的推广使用,国库现代化支付手段越来越多样化,国库业务对计算机和网络的依赖性也不断增强,因此,网络和计算机系统安全成为国库资金风险防范工作中的重要内容。国库系统及网络安全隐患主要体现在:一是目前国库业务处理对网络的依赖性较强,一旦计算机遭受病毒入侵或网络遭受非法侵害,将严重影响国库业务的处理;二是国库计算机网络是利用人民银行内联网这种半开放式的网络平台,国库应用系统本身的设计对系统访问的控制不够严密,又无备份网络,易产生系统和网络方面的风险;三是国库系统还未建立完整有效、严密的防御体系,如遇到突发状况发生,很难采取积极有效的应对措施。
(三)操作风险
国库加入现代化支付系统进程加快后,资金汇划渠道也发生了重大改变,如横向联网系统运行后,税款缴库方式也发生了较大变化。但是由于目前税款入库没有完全实现无纸化,传统的税款缴库方式和通过横联系统进行缴税同时进行,这不仅带来了国库工作量的增加,也加大了产生国库资金风险的机率。一是由于新系统运行时间较短,一些国库人员还不能系统熟练地掌握,工作中难免因技术操作不当产生操作风险;二是制度学习掌握不全面,执行不到位,容易在办理业务过程中产生风险。
(四)监督检查风险
国库在现代化支付系统的依托下,办理资金汇划的速度和效率不断提高,而国库事后的监督工作仍停留在手工翻阅凭证、查对账簿的阶段,“账平表对”是其监督的标准,事后监督人员不能登录国库业务系统对会计流程、国库资金风险点进行实时监督,造成国库会计事后监督的盲点;其次,近年来随着国库新业务相继开展,国库事后监督人员难以准确掌握监督范围和标准,同时,手工监督效率低,劳动强度大,导致监管工作流于表面,监管重点失控,这些都是造成国库资金风险的主要原因。
(五)人员风险
近年来,国库部门结合国库资金风险案例不断组织国库人员学习,加强国库人员提高资金风险防范意识的教育,但是国库资金违法案件仍时有发生。一方面是由于国库管理体制改革和国库业务的不断发展,对国库人员的综合素质提出了更高的要求:另一方面是有些国库人员的道德素质较差,抵御社会不良风气和防腐拒变能力较弱,造成国库资金安全的无形隐患。
二、构建国库资金风险防范体系的措施
(一)加强制度建设,建立内控长效机制
制度建设是加强内控、抵御风险的根本。一是针对制度与现行业务不配套、滞后的情况,对现有国库制度进行修改、补充和完善,对于国库创新业务仍处于真空的规章制度应尽早出台;二是建立自控、互控相结合的内控长效机制。“自控”是基础,国库人员在办理业务过程中要自觉遵守制度,建立“以人为本”的制约机制,杜绝“一手清”、越权代办、违规操作等现象的发生,形成严于律己、按章办事的良好局面;“互控”是补充,国库人员在做好本职工作的同时,又要监督他人,形成岗位环环监督、业务处理流程完整的风险防范机制,通过自控、互控的有机结合,全面实现国库资金风险防范。
(二)加强计算机网络安全管理
在制定和完善计算机网络安全管理制度的基础上,不断提高自身网络安全技术水平。一是应将现运行的国库会计核算系统与人民银行内联网进行分离,设置单独的IP地址,只有经过授权的用户才能进入,限制非国库人员的访问权限:二是将所有业务用机安装杀毒软件,并且对杀毒软件随时进行更新;三是对系统数据备份实行异地备份,以防在遇到突发事件情况下无法对数据进行及时恢复,导致系统运行瘫痪。
(三)进一步强化国库人员的系统操作训练
国库部门要针对新开展的业务,及时组织国库人员对系统操作手册进行学习,分清岗位设置,明确岗位职责,只能按照所授予的权限、遵循一定的操作规程对系统进行操作,不得超越权限接触系统。坚决杜绝因系统掌握不熟练,技术操作不当造成国库资金风险的情况发生。
(四)创新事后监督手段,提高监督检查效能
随着信息技术和网络技术的不断成熟,国库事后监督的技术手段也应不断提高,不能长期停留在传统的手工操作上,应积极依靠科学技术,结合国库事后监督发展的新要求,开发一套符合业务发展和操作需要的国库事后监督系统,使国库数据能与事后监督共享。对国库业务进行实时监督,提高事后监督对国库业务监督的时效性,这样既能降低事后监督人员工作的劳动强度,又能扫除国库业务监督盲点,从而达到全方位、多角度地防范国库资金风险。
(五)提高国库人员综合素质和职业道德修养