网络安全建议书
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全建议书范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全建议书范文第1篇
1威胁计算机网络安全的因素
计算机网络安全所面临的威胁是多方面的,一般认为,目前网络存在的威胁主要表现在:
1.1非授权访问
没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。
1.2信息泄漏或丢失
指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括:信息在传输中丢失或泄漏(如"黑客"利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、账号等重要信息)、信息在存储介质中丢失或泄漏、通过建立隐蔽隧道等窃取敏感信息等。
1.3破坏数据完整性
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。
1.4拒绝服务攻击
它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
1.5利用网络传播病毒
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
2网络安全建设方法与技术
网络具有访问方式多样、用户群庞大、网络行为突发性较高的特点。网络安全问题要从网络规划阶段制定各种策略,并在实际运行中加强管理。为保障网络系统的正常运行和网络信息的安全,需要从多个方面采取对策。攻击随时可能发生,系统随时可能被攻破,对网络的安全采取防范措施是很有必要的。常用的防范措施有以下几种。
2.1计算机病毒防治
大多数计算机都装有杀毒软件,如果该软件被及时更新并正确维护,它就可以抵御大多数病毒攻击。定期地升级软件是很重要的。在病毒入侵系统时,对于病毒库中已知的病毒或可疑程序、可疑代码,杀毒软件可以及时地发现,并向系统发出警报,准确地查找出病毒的来源。大多数病毒能够被清除或隔离。再有,对于不明来历的软件、程序及陌生邮件,不要轻易打开或执行。感染病毒后要及时修补系统漏洞,并进行病毒检测和清除。
2.2防火墙技术
防火墙是控制两个网络间互相访问的一个系统。它通过软件和硬件相结合,能在内部网络与外部网络之间构造起一个"保护层",网络内外的所有通信都必须经过此保护层进行检查与连接,只有授权允许的通信才能获准通过保护层。防火墙可以阻止外界对内部网络资源的非法访问,也可以控制内部对外部特殊站点的访问,提供监视Internet安全和预警的方便端点。当然,防火墙并不是万能的,即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。根据需要合理的配置防火墙,尽量少开端口,采用过滤严格的WEB程序以及加密的HTTP协议,管理好内部网络用户,经常升级,这样可以更好地利用防火墙保护网络的安全。
2.3安全漏洞扫描技术
安全漏洞扫描技术可以自动检测远程或本地主机安全性上的弱点,让网络管理人员能在入侵者发现安全漏洞之前,找到并修补这些安全漏洞。安全漏洞扫描软件有主机漏洞扫描,网络漏洞扫描,以及专门针对数据库作安全漏洞检查的扫描器。各类安全漏洞扫描器都要注意安全资料库的更新,操作系统的漏洞随时都在,只有及时更新才能完全的扫描出系统的漏洞,阻止黑客的入侵。
2.4数据加密技术
数据加密技术是最基本的网络安全技术,被誉为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。
2.5安全隔离技术
面对新型网络攻击手段的不断出现和高安全网络的特殊需求,全新安全防护理念"安全隔离技术"应运而生。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成网络间信息的安全交换。隔离概念的出现是为了保护高安全度网络环境。
2.6网络安全管理防范措施
对于安全领域存在的问题,应采取多种技术手段和措施进行防范。在多种技术手段并用的同时,管理工作同样不容忽视。规划网络的安全策略、确定网络安全工作的目标和对象、控制用户的访问权限、制定书面或口头规定、落实网络管理人员的职责、加强网络的安全管理、制定有关规章制度等等,对于确保网络的安全、可靠运行将起到十分有效的作用。
(接上页)
图6 A、B两样品的EDS能谱图
2.5样品的EDS分析
样品进行X射线能谱分析(EDS),分别采集两个样品的EDS能谱,其能谱图见图6中所示,由图可知A、B两样品中都主要含有镍和铜两种元素和少量的碳元素。分析可知,铜元素来源于制样时的基底材料铜栅上,碳元素来源于铜栅表面的碳膜或者泡沫镍骨架中未被完全烧透的有机残留物。而A样品中出现极少量的氧杂质,这是未被完全还原的产物。而B样品中出现了少量的Zn,来源于镀液中的杂质。
网络安全建议书范文第2篇
论文关键词:计算机网络安全 入侵检测技术
论文摘要:随着计算机与网络技术的不断发展,网络安全也日益受到人们越来越多的关注。防范网络入侵、加强网络安全防范的技术也多种多样,其中入侵检测技术以其低成本、低风险以及高灵活性得到了广泛的应用,并且有着广阔的发展前景。本文就入侵检测技术在计算机网络安全维护过程中的有效应用提出探讨。
一、入侵检测系统的分类
入侵检测系统可以分为入侵检测、入侵防御两大类。其中入侵检测系统是根据特定的安全策略,实时监控网络及系统的运行状态,尽量在非法入侵程序发起攻击前发现其攻击企图,从而提高网络系统资源的完整性和保密性。而随着网络攻击技术的日益提高,网络系统中的安全漏洞不断被发现,传统的入侵检测技术及防火墙技术对这些多变的安全问题无法全面应对,于是入侵防御系统应运而生,它可以对流经的数据流量做深度感知与检测,丢弃恶意报文,阻断其攻击,限制滥用报文,保护带宽资源。入侵检测系统与入侵防御系统的区别在于:入侵检测只具备单纯的报警作用,而对于网络入侵无法做出防御;而入侵防御系统则位于网络与防火墙的硬件设备中间,当其检测到恶意攻击时,会在这种攻击开始扩散前将其阻止在外。并且二者检测攻击的方法也不同,入侵防御系统对入网的数据包进行检查,在确定该数据包的真正用途的前提下,再对其是否可以进入网络进行判断。
二、入侵检测技术在维护计算机网络安全中的应用
(一)基于网络的入侵检测
基于网络的入侵检测形式有基于硬件的,也有基于软件的,不过二者的工作流程是相同的。它们将网络接口的模式设置为混杂模式,以便于对全部流经该网段的数据进行时实监控,将其做出分析,再和数据库中预定义的具备攻击特征做出比较,从而将有害的攻击数据包识别出来,做出响应,并记录日志。
1.入侵检测的体系结构
网络入侵检测的体系结构通常由三部分组成,分别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包进行监视,找出攻击信息并把相关的数据发送至管理器;Console的主要作用是负责收集处的信息,显示出所受攻击的信息,把找出的攻击信息及相关数据发送至管理器;Manager的主要作用则是响应配置攻击警告信息,控制台所的命令也由Manager来执行,再把所发出的攻击警告发送至控制台。
2.入侵检测的工作模式
基于网络的入侵检测,要在每个网段中部署多个入侵检测,按照网络结构的不同,其的连接形式也各不相同。如果网段的连接方式为总线式的集线器,则把与集线器中的某个端口相连接即可;如果为交换式以太网交换机,因为交换机无法共享媒价,因此只采用一个对整个子网进行监听的办法是无法实现的。因此可以利用交换机核心芯片中用于调试的端口中,将入侵检测系统与该端口相连接。或者把它放在数据流的关键出入口,于是就可以获取几乎全部的关键数据。
3.攻击响应及升级攻击特征库、自定义攻击特征
如果入侵检测系统检测出恶意攻击信息,其响应方式有多种,例如发送电子邮件、记录日志、通知管理员、查杀进程、切断会话、通知管理员、启动触发器开始执行预设命令、取消用户的账号以及创建一个报告等等。升级攻击特征库可以把攻击特征库文件通过手动或者自动的形式由相关的站点中下载下来,再利用控制台将其实时添加至攻击特征库中。而网络管理员可以按照单位的资源状况及其应用状况,以入侵检测系统特征库为基础来自定义攻击特征,从而对单位的特定资源与应用进行保护。
(二)对于主机的入侵检测
通常对主机的入侵检测会设置在被重点检测的主机上,从而对本主机的系统审计日志、网络实时连接等信息做出智能化的分析与判断。如果发展可疑情况,则入侵检测系统就会有针对性的采用措施。基于主机的入侵检测系统可以具体实现以下功能:对用户的操作系统及其所做的所有行为进行全程监控;持续评估系统、应用以及数据的完整性,并进行主动的维护;创建全新的安全监控策略,实时更新;对于未经授权的行为进行检测,并发出报警,同时也可以执行预设好的响应措施;将所有日志收集起来并加以保护,留作后用。基于主机的入侵检测系统对于主机的保护很全面细致,但要在网路中全面部署成本太高。并且基于主机的入侵检测系统工作时要占用被保护主机的处理资源,所以会降低被保护主机的性能。
三、入侵检测技术存在的问题
尽管入侵检测技术有其优越性,但是现阶段它还存在着一定的不足,主要体现在以下几个方面:
第一:局限性:由于网络入侵检测系统只对与其直接连接的网段通信做出检测,而不在同一网段的网络包则无法检测,因此如果网络环境为交换以太网,则其监测范围就会表现出一定的局限性,如果安装多台传感器则又增加了系统的成本。
第二:目前网络入侵检测系统一般采有的是特征检测的方法,对于一些普通的攻击来说可能比较有效,但是一些复杂的、计算量及分析时间均较大的攻击则无法检测。
第三:监听某些特定的数据包时可能会产生大量的分析数据,会影响系统的性能。
第四:在处理会话过程的加密问题时,对于网络入侵检测技术来说相对较难,现阶段通过加密通道的攻击相对较少,但是此问题会越来越突出。
第五:入侵检测系统自身不具备阻断和隔离网络攻击的能力,不过可以与防火墙进行联动,发现入侵行为后通过联动协议通知防火墙,让防火墙采取隔离手段。
四、总结
现阶段的入侵检测技术相对来说还存在着一定的缺陷,很多单位在解决网络入侵相关的安全问题时都采用基于主机与基于网络相结合的入侵检测系统。当然入侵检测技术也在不断的发展,数据挖掘异常检测、神经网络异常检测、贝叶斯推理异常检测、专家系统滥用检测、状态转换分析滥用检测等入侵检测技术也越来越成熟。总之、用户要提高计算机网络系统的安全性,不仅仅要靠技术支持,还要依靠自身良好的维护与管理。
参考文献:
[1]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术,2010,11
网络安全建议书范文第3篇
一、构建专业风险管理框架
1、公司成立负责风险管控的专业部门(如风险管理委员会),明确风险管理委员会及各专业委员会,风险管控部、各渠道部门,后援部门和资源部门等在风险管理工作中的角色及工作职责,通过不断修订和完善风险管理制度、流程、加强分公司风险管理体系建设,保证风险管理目标的实现。
2、公司各部门结合部门的风险类别,建立并完善相应的内部控制制度,实现风险管理的制度化,标准化,推动分公司风险管理制度建设。各部门要通过对日常业务进行风险监控,收集风险管理信息,对风险点提出整改建议并及时报送风险管控部。依据风险管控部下发的风险管理建议书完成整改。
4、公司明确将风险管理纳入各部门日常经营的各个环节,各部门负责人为本部门风险管理第一责任人,对于违反相关内容的部门和个人,依据公司下发的规定结合自身的实际情况,给予追究和处罚。
二、公司各部门有效配合风险管理工作
1、风险管控部牵头组织,定期收集整理各部门上报的各类风险信息,以及外部监管信息,通过分析汇总,由公司风险管理委员会审批后发放至各部门遵照执行。该部在年度风险识别和评估的基础上,对“内险分类标准”、“内险识别和评估方法”不断进行补充和完善,建立公司风险管理库。制定年度计划,组织开展风险排查和制度执行检查工作,对各部门、各机构的风险管理和内控合规效果进行评估,对需要整改的事项下达风险管理建议书。风险管控部年中、年末组织召开风险管控工作建议,总结公司风险管控工作开展情况,并提出改进建议上报风险管理委员会。
2、人力资源部负责建立绩效考核制度,对各级管理人员的考核,薪酬、奖惩、晋升等决定与风险管理和内控合规成效相挂钩。配合风险管控部每月定期组织开展风险排查和内部审计检查工作,对检查中发现的各级人员的违规情况报备人力资源部,人力资源部记入人员档案并纳入各层级绩效考核。
3、计划财务部根据下发的会计制度进行日常会计处理;依据预算体系,完成预算的编制、执行、调整、分析与考核的工作;建立财产日常管理制度和定期清查制度,确保财产安全,配合风险管控部进行财务数据相关调查。
4、销售管理工作由营销业务部,培训部、银行业务部、团体业务部、健康保险部、保费部、财富管理业务部、各机构共同完成,主要负责建立并保持书面程序,对销售人员的甄选、签约、薪酬、考核、档案、品质管理、宣传材料管理等进行控制;定期对销售人员进行专业培训和职业道德教育,建立销售人员失信惩戒机制;对于销售过程中已识别的风险,建立并保持控制程序;执行公司的风险管理制度。
5、运营管理部和法人运营部主要负责核保核赔,单证管理及保全管理,建立明确有核保,核赔标准,实施权责明确、分级授权,相互制约,规范操作的承保理赔管理机制;明确核保核赔人员的适任条件,定期对核保核赔人员进行培训,确保核保核培人员具有专业操守并勤勉尽职;对单证的印刷、保管、领用、作废和核销及档案的保管实施控制。
6、客户服务部主要负责客户的咨询投诉管理、客户的回访、客户服务及柜面管理。建立并保持咨询投诉处理程序,对咨询投诉处理中发现的问题进行核实、分析、反馈、进行整改和跟踪监督,并对公司业务品质管理进行原则确定、统一管理;建立并实施业务操作标准和服务质量标准,对柜面活动的服务质量进行规范管理,并建立客户服务质量考评机制;按照有关规定确定客户回访范围和内容,对客户反馈信息进行分析整改并定期跟踪。
7、信息技术部主要负责信息安全管理、建立信息安全管理体系、对硬件、操作系统,应用程序和操作环境实施控制,确保信息的完整性,安全性和可用性;出入计算机机房有严格的审批程序和出入记录;对系统数据资料采取加密措施,建立健全网络管理系统,对网络安全,故障、性能、配置等进行有效管理;对完络设备,操作系统,数据库系统,应用程序等设置必要的日志。
8、办公室主要负责行政管理,负责建立并保持书面程序,对公司的印鉴,合同档案,职场管理,招标投标、文件、品牌宣传、固定资产及物料管理等环节进行控制,定期对固定资产及物料进行清查,保证财产的安全,对工作当中已经识别出的风险保持控制。
9、企划部主要根据公司的战略规划,统一制定分支机构组织设置,职责权限,建立健全分支机构管控制度,实现对分支机构的全面、动态、有效管理、包含公司经营目标,经营计划的督导追踪、分支机新设、撤销、变更、晋级等业务。
三、树立良好的企业风险管理文化
网络安全建议书范文第4篇
一、网站认证的由来
(一)产生背景
1997年,美国政府正式提出了电子商务框架(E-business framework)的概念。Business to Business(BtoB),Business to Customer(BtoC)的电子商务形式,以及Internet Service Provider(ISP),Application Service Provider(ASP)和Certificated Authorities(CA)等服务随之丰富和繁荣起来。同一年,AICPA与CICA联合提出了一项旨在帮助网站浏览者增强对网站的信任,帮助保障隐私,认证网站安全和减低网络商业诈骗风险的新的互联网网站鉴证服务—Webtrust。这项鉴证服务是由持有特许专业执照的注册会计师,按照AICPA和CICA公布的“网站认证”准则与规范(Principles and Criterias)对被审查网站的在线隐私(Online Privacy)、安全性(Security)、有效性(Availability)、商业模式与交易信誉(Business Practices/Transaction Integrity)、认可(Non-repudiation)、保密性(Confidentiality)、CA服务等七方面进行审查和鉴证,对于符合准则与规范的网站,允许其将AICPA或CICA委托Verisign公司管理的“网站认证”徽记以超链接(Hyperlink)方式放置在该网站的主页(首页)上,供浏览网站的顾客点击后,以安全方式查看位于Verisign网站的注册会计师鉴证报告。
网络安全、隐私权和浏览者信任等问题一直是严重阻碍网络经济发展的主要问题。一方面,各网站公司、安全技术机构和微软等的研发中心都在不断的更新完善加密技术,推出一些认证方式,维护网络安全;但另一方面,在开放型的网络世界中,人们不断听到、看到和受到各种网络安全的威胁,因此对于网上交易戒心重重。此外,虚拟的网站使顾客只能通过网页的内容来了解公司而无法知晓公司的规模、诚信、产品和服务的实际状况,更无法确认网站承诺的安全保密条款会否得到不折不扣地执行,而且越是有名的安全技术性认证,越容易引起黑客的攻击兴趣。AICPA和CICA正是看到了这一新兴的市场,利用自身独立、客观、公正的良好第三者形象和专业的技能知识开始介入这一市场,使“网站认证”服务应运而生。
(二)准则内容
也许是受到计算机行业惯例的影响,AICPA在推出其“网站认证准则与规范”时使用了X.0版的模式。其最新的3.0版准则与前期的2.0版和1.0版比较,有了很大的进步,将网站认证的范围扩大到了BtoB、ISP、CA等范围。3.0版准则提供给网站更多的认证选择,以满足其具体的需要。例如提供BtoC服务的网站会对“在线隐私”和“商业模式与交易完整”认证更感兴趣;提供BtoB服务的网站会对“安全”和“认可”认证更感兴趣。以下是3.0版准则的简要介绍:
1.在线隐私。2000年11月30日AICPA制定了“在线隐私”准则与规范3.0版:“网站应该充分地揭示其对在线商务隐私的运作程序,并遵守这些程序,保持对这些程序的有效控制,对在电子商务中产生的私人信息的安全提供合理的保证”。该准则适用于BtoC、ISP和ASP服务。
2.安全性。2001年1月1日,AICPA制定了“安全性”准则与规范3.0版:“网站应揭示、执行和保持其安全保护政策,并对所有接近电子商务系统和数据的人都是通过了安全政策下的授权提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。
3.商业模式与交易信誉。2001年1月1日,AICPA制定了“商业模式与交易完整”准则与规范3.0版:“网站应揭示、执行和保持其既定的商业运作政策,并为商务运作完整、准确和一致的遵循其政策提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。
4.有效性。2001年1月1日,AICPA制定了“有效性”准则与规范3.0版:“网站应揭示、执行和保持其既定的有效性政策,并为电子商务交易的有效性提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。
除上述准则外,“网站认证”的其他准则与规范与以前旧版模式内容没有太大变化。
(三)发展现状
根据AICPA网站2001年5月的消息,目前共有17个国家和地区的注册会计师协会获准其会员提供网站认证鉴证服务,其中包括香港会计师公会(HKSA)。但是,获得网站认证徽记的网站不足40家。台湾学者的相关研究认为,网站认证发展受阻的主要原因是:1.公众对注册会计师的网站认证鉴证服务还很不熟悉。2.网站认证的收费较高,对于很多网站来说不具成本效益。3.消费者是因为对网站感兴趣才进入该网站。4.注册会计师不善于进行网站认证营销。可见,网站认证还处于起步阶段,需要注册会计师们的大力推广,不断更新。
二、网站认证的特点
由于网络的虚拟特性,信息、证据的痕迹不能直接观察,网络技术环境更新迅速以及网站信誉鉴证有特殊目的等原因,使得这一鉴证服务有别于传统审计业务,具有许多新的特点。
(一)目标和审点。
网站认证不是以网站的财务状况、经营业绩为审查的中心目标,而是以网站的安全性、信息的管理保护等为审查对象,以评价这些内容是否符合有关准则与规范为目标进行的鉴证服务。这一目标的变化,直接导致了鉴证的各要素和鉴证方法的变化。因此,可以说网站认证是一种全新的审计概念。
我们认为,网站认证仍然是一种审计活动,而不是其他的管理咨询等非审计业务。美国会计学会(AAA)对审计的定义是“为确定关于经济行为及经济现象的结论和所制定的标准之间的一致程度,而对这种结论有关的证据进行收集、评定,并将结果传达给利害关系人的有组织的过程。”可见,现代审计的概念早已经拓宽到管理审计、经济效益审计等多方面。“网站认证”作为现代审计的新分支,是网络经济的产物,是在注册会计师对网站进行审计时,结合客观现实的需要应运而生的。从审计的本质上讲,网站认证是对虚拟网站向客户提供BtoB、BtoC商务模式以及ISP、ASP、CA等经济活动是否符合有关规范所进行的评价与鉴证。
(二)审计职能
一般认为,审计具有监督、评价、鉴证职能。网站认证的评价职能是显而易见的,注册会计师对网站的营运方式分析、系统的安全测试、数据资料的管理维护抽样调查等都是为了要评价网站的安全性、有效性、合规性。虽然说评价的内容有所变化,但评价职能本身是没有改变的。网站认证的鉴证职能是其本身目标的直接体现,正是因为有了鉴证职能,网站浏览者和客户才会加强对网站的信任感,才能实现电子商务剂的功能。“网站认证”由于是注册会计师接受网站本身的委托对其进行的审查活动,除对网站内部人员有一定监督作用外,监督职能因此并不突出。
(三)审计的主体、客体和对象
虽然网站认证依然是由注册会计师进行的,但是它对注册会计师提出了更高的要求。首先,注册会计师必须有特殊的专业执照才能进行这项业务,这不同于管理审计、管理咨询等业务。其次,注册会计师必须充分考虑是否需要其他专家的协助,而这往往是必不可少的,就犹如人寿保险审计,需要有精算师的配合与协助一样。最后,网站认证徽记是由Verisign网站提供和管理。所以网站认证审计的主体已经不再像传统审计那样单纯了。
网站认证的客体是网站。由于这一客体与传统的公司、组织有显着不同,因此“网站认证”审计也显得与众不同。网站公司往往实体业务很简单,更多更主要的经济活动是发生在虚拟的网络世界中,对这样的客体进行审计必须选择与之相适应的手段和方法。
网站认证的对象是网站的系统安全模式、网站的经济活动程序等等,这与传统的审计大不一样。
(四)审计风险
一方面,网站认证报告的对象是不确定的所有网站服务使用者,不局限于审计委托人;另一方面,网络的变化迅速,使用“网站认证”鉴证报告的浏览者得到的是根据以前信息做出的安全认证,这对于网络世界来说是明显滞后的。所以,注册会计师的风险很大,必须在认证报告中加入适当的说明,以明确责任。
(五)审计方法、手段和报告方式
综上所述,我们知道网站认证的目标、客体和对象与传统审计相比较有了很大变化,因此在审计手段和方法上也有相应的变化。
首先,网站认证的审计程序是:评价委托风险接受委托并获得管理当局声明书系统管理控制评价符合测试、实质测试完成审计工作,提出管理建议书,要求进行改进以达到标准出具报告,申请给与网站认证徽记每3个月进行复核测试。其中的最后一个步骤就是传统审计所没有的,是适应网络经济飞速发展的客观需要而采取的一项重要内容。而且,网站认证中管理当局声明书的内容较传统审计有很大不同,管理当局被要求对其管理网站的各项安全保密政策以及其他要求注册会计师审计的方面的政策和执行情况进行揭示与责任说明。网站认证中的管理当局声明书相当于传统审计中的会计报表加管理当局声明书,这与传统审计有所区别。
其次,许多审计测试都必须通过计算机进行,不存在绕过计算机审计的方法。例如,在进行客户登录是否有安全保护,是否只能进入授权级别的内容,交易是否是在安全模式下进行等测试只能在网络上进行,相关的审计证据也是以电子方式存在,这是网站认证审计的一大特点。
第三,网站认证的委托人(审计报告的对象)与传统的报表审计不同。一般来说,“网站认证”是由网站管理当局委托注册会计师进行的,审计报告的对象是网站的管理当局,这是与目前的网站认证报告的使用目的相关的。网站所有者并不需要网站认证来证明网站的安全,因为这只是经营者提高业绩而进行的努力,所以网站认证的委托人大都是网站的管理当局。
最后,网站认证的报告方式别具一格。网站认证报告是通过被审计网站主页上的一个超链接图标与Verisign网站的相关报告链接,浏览者点击该图标就可以看到注册会计师的审计报告。这种审计报告是网站通过了何种认证标准的报告,不存在传统概念下的保留意见、否定意见或拒绝表示意见报告。以下是一份根据网站认证3.0版“安全性”准则与规范书写的报告范例:
独立审计师报告
兴隆公司管理当局:
我们已经审查了贵公司2000年1月1日到2000年12月31日的管理声明书(链接到管理声明书),声明包括揭示了所有重要的电子商务安全政策,并遵循了这些政策,且对只有获得授权的人才能在上述安全政策下接近电子商务系统和数据保持了有效的控制。我们的审查是根据美国注册会计师协会“网站认证”安全性准则进行的(可链接到安全性准则)。执行程序、揭示政策、遵循和控制是兴隆公司管理当局的责任。我们的责任是根据我们的审查发表审计意见。
我们的审计程序是按照美国注册会计师协会的标准执行的,这些审计程序包括:(1)获得和了解兴隆公司揭示的安全政策和相关安全控制程序,(2)测试这些安全政策的执行遵守情况,(3)测试和评价安全控制执行的有效性,(4)其它我们认为必要的审计程序。我们认为我们的审查为我们的审计意见提供了合理的基础。
我们认为,兴隆公司的上述管理声明书,依据美国注册会计师协会“网站认证”安全标准,在所有重要方面都进行了公允地表达。
由于控制内在的限制,一些错误和舞弊可能存在而没有被检查出来。并且,基于我们的发现而得出的结论,在未来的期间,存在这些结论不适用的风险,因为:(1)安全系统和控制可能改变,(2)执行环境的变化,(3)时间流逝带来的变化,(4)对安全政策和程序的遵循可能懈怠。
在兴隆公司网站上的网站认证徽记是本报告内容的一种符号表示,它不是对本报告的更新,也不代表任何更进一步的保证。
埃得华会计师事务所
弗内斯特·埃得华 注册会计师
华盛顿特区
2001年2月1日
三、中国注册会计师应如何面对网站认证
网站认证审计在我国还是个新鲜的事物。如何发展我国注册会计师的网站认证业务呢?笔者认为,我国注册会计师行业的建设随着时间与经验的积累,水平在逐渐提高。但由于种种原因,社会大众对我们注册会计师这个行业的信任度还不是很高。这是我国注册会计师拓展网络鉴证服务市场的主要阻碍。要克服这些障碍,我们仍有许多方面的工作必须加以努力。具体来讲:
1.有必要建立一部管理电子商务的基本法。没有法律的保护,任何行业的自律,任何第三方的证明,都不能使消费者和客户真正的放心。如果消费者权益没有明确的法律保护,那么电子商务将是一件风险很高的商业行为,更何况是网站认证。
2.中国注册会计师协会应该为网站认证或网站审计制定标准,提供资格认证。每一个行业都有自身的特点,虽然我们没必要为每一个行业制定特殊的审计准则,但是对于个别重要或特殊的行业还是应该根据实际情况,进行相应的处理。我们完全可以参考金融保险企业审计那样,为网站认证或网站审计规定新的游戏规则。
3.随着经济环境的变化,注册会计师必须无时无刻地加强自身的专业技能与知识创新,提高职业道德水平。事务所应该努力延伸在网络经济方面的触角,学习新事物,拓展新市场。反观我国注册会计师工作压力重,再学习时间少,全面更新专业技能知识难度大。
4.网站认证的发展壮大依赖于网络经济、电子商务的发展壮大。我国社会主义市场经济的建设事业还没有完全完成,市场经济的规则还不完善,旧的习惯和方法还桎梏着一小部分人的思维,网络经济道途坎坷的情况有待逐步改善。
网络安全建议书范文第5篇
关键词:电力信息网络安全;风险评估;措施
中图分类号:TK124文献标识码:A
信息安全工作对信息网络的安全状况进行评估,对信息系统起到保障作用,在高新科技时代,电力企业建立安全有效的信息网络刻不容缓。面对越来越重要的电力信息网络的风险评估,本文结合当前电力信息系统现状,分析了信息安全评估的方法,总结了风险评估技术。
1电力信息网络风险评估技术的现状
目前,我国的电力信息系统已经建立了安全管理体系,并在不断地完善,将原先信息网络和实施控制体系相互分离开来。然而,我国电力信息网络的安全存在着许多缺陷,包括缺乏网络防火墙、数据备份问题、缺少长远的规划等,系统的安全管理体系还需要更进一步地完善建设。
1.1电力信息网络的风险评估技术的运用
电力企业信息化硬件设备足够,网络建设成功完成。信息化在电力生产、电力调度、输变电、配网自动化等方面广泛使用。在网络硬件上采用多种技术,如千兆骨干网等;在软件上运用电网自动化体系调度和相关技术系统,并有效运用营销系统、配网自动化等系统。现在的电力信息网络在安全生产、节能降耗、降低成本、缩短工期、提高劳动生产率等方面发挥了社会效益和经济效益,信息化治理机制逐步改善,在电力生产、建设、经营、治理、科研、设计等方面得到充分的利用。
1.2电力信息网络的风险评估技术有待改进的地方
1.2.1增加安全防范
计算机信息技术高速发展带动计算机信息安全策略和技术的发展。建立完善的、有指导意义的电力系统计算机及信息网络系统,才能保证体系的安全运行。
1.2.2建立计算机信息安全体系
计算机运用在电力系统的生产、经营、治理等方面,但是安全策略、安全技术以及安全措施的投资力度不足。
1.2.3防范黑客攻击
建立广域网之后,计算机网络化使之前孤立的局域网面临巨大的外部安全攻击。现在不仅仅要防止意外破坏和内部职员的安全控制,还要能防止互联网上的安全攻击。
1.2.4保护数据信息
以明文形式存储的信息存在泄漏的可能,要防止存储介质的泄露,以及黑客可以绕过操纵系统、数据库治理系统的控制而得到信息,要注意系统后门和来自软硬件系统制造商的风险。
1.2.5完善数据备份措施
不能只用一台工作站备份数据,要有完善的数据备份设备、数据备份策略和数据备份的管理制度,并且对数据备份的介质妥善保管。
2面对的风险、解决措施和风险控制
2.1风险
2.1.1操作系统安全风险
系统安全管理保证了操作系统的安全性,但是当前许多服务器都存在信息安全隐患。
2.1.2数据库安全风险
数据库是全部业务应用、决策支持、行政办公和外部信息系统的信息管理核心,相关的生产数据都要得到保护。统一的数据备份和恢复,以及可用性高的保障机制,安全管理数据库等可以提升安全管理的级别,规避风险。目前,电力的数据库管理系统的安全级别还算高,但是还有安全漏洞。应用系统软件在数据的安全管理也有安全漏洞,要综合评估数据库和应用的安全性。
2.1.3Web系统安全风险
要访问电力系统企业内部资源,WebServer是其中的通道,但其服务器越来越复杂,安全漏洞也越来越多。
2.1.4桌面应用系统的安全风险
桌面应用系统是优化整个应用系统的重要部分,是访问系统资源和管理系统资源的入口,因此对于系统风险的防范尤为重要。桌面应用系统的管理和使用不当,就会产生安全风险。
2.1.5病毒危害
电力信息系统中办公自动化,作为核心的电子邮件传送是传播计算机病毒的媒介,防病毒软件的安装还不够。此外,新病毒越来越多,威胁性也越来越大。病毒感染方式的改变,要求防毒工作要从整体安全考虑,思考如何网络防毒。
2.1.6黑客入侵
黑客入侵一般是来源于内部,入侵者通过网络探测、扫描网络及操作系统存在的安全漏洞,用相应的攻击程序攻击,使得服务器超负荷工作,最后系统瘫痪。当然还有来自于外部的,如入侵者通过网络监听、用户渗透、系统渗透、拒绝服务、木马等得到用户的用户名以及口令登录后偷取内部网的重要信息,令系统终止服务。出于以上原因,要防止信息外泄就要对外部和内部网络隔离,过滤外网的服务请求,只接收正常通信的数据。
2.2解决措施
2.2.1做好经管工作
在人员管理方面,首先需要加强安全教育工作,保证网络管理者和安全管理者相对稳定,这样能够尽可能地避免网络机密泄露,在人员调离工作岗位时,也尤其需要注意进行保密工作。对于一些具有风险的操作,包括对网络装备、服务器、存储设备的操作,需要相关手续才能进行,应包括签字和监督,杜绝修改错误、非法修改、机密泄露等情况的发生。在密码管理方面,尤其需要妥善保管,不能够使用默认密码、原始密码,甚至不设立密码,每次登陆均需要重新输入,保障网络的安全,并且密码的设置不能过于简单,需要时常更换,尤其是在人员岗位变动的时候。数据的管理方面,需要及时进行备份工作,备份介质的保管需要稳妥。
2.2.2确定风险评估范围和策略
对安全系统进行有效评估,需要对该体系进行详细分析,包括电力网络拓扑结构、带宽、硬件、Internet的接口、业务系统的配置防火墙的策略配置等多个方面,最终得出相关的风险分析报告,制作改进建议书。要评估主机和信息网络等基础设施、系统软件、应用系统及服务、现有的安全技术措施以及安全管理措施。还有要制定资产评估,其中有物理资产、信息资产、软件资产、人员资产和服务。
2.3风险控制
对于电力信息网络的风险控制可以通过多个方面来进行,不仅需要技术完备,管理机制的健全也是非常重要的。
2.3.1技术手段
技术手段是把威胁降低到最低危害程度的第一道保障,可以对关键数据定期或实时容灾备份,使用信息加密技术和防火墙、入侵检测系统。
2.3.2管理机制
对于电力系统信息安全风险控制而言不可缺少管理机制,安全管理机制应包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化影响着系统的安全。为了组织建立科学、系统的安全管理体系基础,应该建立安全评价,实现组织安全绩效的持续改进。降低安全风险,制定严格的安全管理制度,明确划分好部门安全职责,并且合理安排人员的工作。
3结束语
电力系统的生产运作要用到计算机信息系统和计算机网络,所以信息安全管理要进行信息网络的风险评估,保证信息系统的安全。虽然现在电力信息网络风险评估强度很高,但是还需要改进。面对越来越重要的电力信息网络风险评估,要解决的问题是保证电力系统信息安全,重点解决网络风险的问题和评估,解决操作系统安全风险、数据库安全风险、Web系统安全风险、桌面应用系统的安全风险、病毒危害风险以及黑客入侵风险,做好经管工作和风险控制等。
参考文献:
[1]李梅.电力信息网络的风险评估技术研究[D].保定:华北电力大学,2008.
[2]彭著熙.电力信息网络的风险评估技术分析[J].电子技术与软件工程,2013,(22):230-231.
