企业网络安全存在问题
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业网络安全存在问题范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
企业网络安全存在问题范文第1篇
【关键词】企业;网络信息安全;问题;对策
【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2013)04-0188-01
随着我国经济的快速发展,市场竞争越来越激烈,企业要想在激烈的市场竞争中占得优势必须提高企业的工作效率,提高企业的效率就要依靠技术的发展。随着计算机网络的快速发展和自身的优势,很多企业为了提高企业的工作效率都引入了计算机网络技术,来提高企业内部的管理。的确,计算机网络技术给企业的管理带来了极大的便利,但是在提供便利和提高工作效率的同时也带来了一些企业信息安全的隐患,比如黑客的攻击、病毒的攻击、恶意程序的攻击等危害。因此,为了保证企业信息的安全,必须采取相应的措施来解决这些问题。
一、安全隐患
企业内部网络信息的安全隐患主要包括网络安全风险、系统的安全风险、管理的安全风险、黑客的攻击和病毒的攻击。网络的安全风险主要包括公开服务器面临的威胁和整个网络结构面临的威胁。公开服务器主要的任务就是为外界提供服务,所以每天都要向外界开放相应的服务,这就给黑客的进入提供了机会,一些黑客每时每刻都在准备着闯入网络的节点,这些节点如果不能够时刻保持警惕,黑客就会随时入侵,最后还会出现连黑客是什么时候侵入的都不知道,严重的情况,这些节点还可能成为黑客攻击其他站点的跳板。整个网络的结构是否成熟直接影响着安全系统的建设,只有具备安全的网络系统才能够保证安全的应用网络。有一些企业直接把路由器和网络连接起来,这样的网络结构就比较简单,但正是这种简单的网络结构,才减少了因为网络结构和网络路由所带来的安全的风险。
系统的安全主要是指整个网络操作的系统和网络硬件的平台是否值得信任。从当前我国的信息技术发展的情况来看,或许并不存在绝对安全的操作系统,一些系统本身就存在着很大的漏洞,这些漏洞就给网络信息的安全带来隐患。
企业的网络管理对维护网络信息的安全具有重要的作用,很多企业中存在着责权不明的情况,同时也没有相应的安全管理制度,或者即使有安全管理制度却缺乏可操作性,这些问题都给信息安全带来了严重的隐患。责权不明就会导致管理的混乱,有一些员工利用这样的机会随便的带一些非企业人员进入机房重地,这些工作人员还会在无意之间泄露一些企业的信息,但是由于缺乏管理制度,企业也不会对其进行相应的惩罚,久而久之们就会给企业的网络信息安全带来严重危害。另外,一些企业还会发生内部人员错误操作的事故。这主要是因为,企业信息技术管理人员的计算机水平比较低,或者跟不上计算机更新换代的速度,对计算机网络并不是特别熟悉,在一些情况下就会出现错误操作的事件,这些错误的操作当时可能并不在意,但是它会造成企业信息的丢失或者通过计算机网络系统流失出去,从而给企业信息的安全带来隐患。还有一些企业内部人员故意破坏系统,因此企业必须加强对计算机网络工作人员的管理。
企业的网络随时都会遇到黑客的攻击,黑客会利用网络系统中的和企业管理中的一切漏洞对计算机网络进行攻击。黑客可以轻易的骗过公开服务器软件,直接进入口令文件,另外,黑客还可以开发其他的欺骗程序,监听登陆会话。如果黑客发现有用户登录时,就会把用户的信息储存下来,这样它就拥有了其他人的账户和口令。黑客的攻击给企业的信息安全造成的隐患是最大的。
另外,企业的计算机网络系统还会受到病毒的攻击,一些病毒在侵入网络系统之后还可能会在网络上产生新的病毒,这就给计算机的安全带来了严重的威胁。目前,计算机的病毒的种类和传播的方式不断增加,因此,为了保证企业信息的安全必须加强系统对病毒的防范能力。
二、网络安全技术
1、密码的使用
为了使企业的信息更加安全应该对企业的一些数据进行加密,这样即使有的人切取了数据,但是却没有密码,这些数据在他们那依然发挥不了作用,这样一来就可以充分的保证企业信息的安全。但是,随着科学技术的发展,有些人能够破解密码,这就需要企业拥有较高技术的计算机人才,对数据进行加密。
2、防火墙技术
防火墙系统可以决定哪些企业内部资源可以被外部人员访问,内部人员可以访问哪些外部服务,它是内部网络和外部网络之间的一道屏障,对维护企业信息的安全具有重要的作用。内部网络和外部网络之间所传输的信息,只有经过防火墙的检查才能够通过,这就从更细的部分保证了企业信息的安全。对数据的处理有很多方法,根据这些方法,防火墙可以分为两个体系:包过滤防火墙和防火墙。包过滤防火墙技术本身就具有一些审查原则,如果信息和防火墙的审查原则相符合,那么信息就会进入网络系统,反之就会被防火墙阻挡在网络之外。防火墙采用的是的技术,从网络内部发出的信息在经过防火墙的处理之后,可以隐藏内部的网络结构。从当前的防火墙技术来看。防火墙可以起到更好的保护网络内部信息的作用,防火墙的核心技术其实就是服务器的功能。
3、计算机病毒防治技术
计算机病毒防治技术主要包括文件实时监控技术、嵌入式杀毒技术和特征码扫描法等。文件实时监控技术主要是通过操作系统底部的接口技术,对系统内部的各种文件类型进行实时的监督,能够及时发现侵入系统的病毒。嵌入式杀毒技术主要是针对那些经常遭遇到病毒入侵的文件的,对这些文件提供重点的保护技术,它主要是通过操作系统或者应用程序的内部接口来实现的。它主要是对那些用户使用的频率较高、使用的范围比较广的软件提供保护。特征扫描法主要是通过对病毒的分析,把病毒存放在病毒代码的文件中,在对病毒进行扫描的时候一旦发现病毒的特点和病毒库中的病毒代码相符,从而判定系统染上了病毒。
4、入侵检测技术
当企业的计算机网络技术工作人员对计算机技术不了解时,就会出现利用系统中的非授权的资源,这会造成系统数据的丢失或者使系统数据遭到破坏,与此同时,系统还会拒绝合法的用户的服务请求。在这种情况下,就需要入侵检测技术对网络系统进行保护。入侵检测技术能够及时的发现系统中未授权的资源或者其他异常的现象,它可以充分的维护计算机信息系统的安全,同时它还可以及时的发现违反安全策略的行为。
另外,为了保证企业内部信息的安全还需要工作人员做好备份工作。很多重要的企业内部信息,一旦丢失就会给企业带来严重的经济损失,所以,工作人员除了在企业的计算机网络上存留企业的信息,还应该做好这些信息的备份工作。如可以把重要的信息存储到u盘,但是必须对u盘进行加密,防止信息的流逝。
企业网络安全存在问题范文第2篇
一、网络安全威胁的概念
想要应付网络安全威胁,就要先认识到什么是"安全威胁",因为这种危险会对企业造成很大的损失,据有关调查显示,85%的被采访者表示曾经遇到网络安全问题。另外,还有70%的被采访者表示公司网络曾经被黑客访问过,有时候黑客的入侵会对企业造成潜在的威胁,因此企业网络安全性有两个最大威胁,它们是病毒侵袭和黑客入侵。
(一)病毒的侵袭。计算机只要接入网络,就有可能被病毒所侵袭,可以说计算机病毒无处不在,计算机病毒可以通过很多种形式进行传播,通常计算机病毒隐藏在文件或程序代码内,伺机进行自我复制并够通过网络、U盘等诸多媒介进行传播。计算机网络病毒传播速度快、影响面大,我们要在使用计算机时,对其网络安全意识提高,只有这样才能更有效的预防病毒的侵害,当然,杀毒软件也是对付病毒入侵的一种好办法,但杀毒软件存在的许多弊端会被病毒所利用,甚至会被病毒强制关闭,所以我们还是要提高我们的"忧患意识",自我提高我们的安全防卫意识。
(二)黑客的入侵。一般来说,黑客入侵是通过DOS攻击和计算机漏洞入侵,dos攻击一般能使计算机瘫痪,使得计算机造成严重的破坏,甚至于可以使局域网遭到严重的破坏,黑客使用这种攻击方式进行攻击,是为了对企业造成一定的破坏,使得企业无法进行正常的商务活动。通过非法入侵的方式进行攻击,对企业造成的危害更大,一些黑客通过系统的某个漏洞,进入企业的整个系统,甚至于可以获取到企业的最高权限,然后对企业内部的数据、资料进行非法的删除、复制甚活动,对企业造成很大的损失。黑客入侵行为的这种行为,会导致公司停工、增加清除成本或数据恢复等问题形成的巨大损失。并且黑客的入侵还会对企业的品牌形象造成一定的损失,比如客户对企业的信赖度、企业市场的占有率,企业的竞争力等,都会受到潜在的影响。保障网络安全一般是通过技术和管理来实现,我们日常工作中往往是通过技术领域来进行的网络安全预防,如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术、CA认证技术等,这些技术对计算机网络安全性的提高起到很大的作用,但我们的网络安全除了这些技术之外,还需要每天的日常管理来预防,技术总是存在弊端和软弱的环节的,有时候,只需一个小小的环节存在问题,就可以给黑客机会可乘,我们要在利用这些技术的同时,同时也要进行正常的日常管理,来提高计算机的网络安全性。
二、对网络安全要做好如下保障
(一)规范网络行为。日常的网络行为如果能进行规范的操作,可以有效的避免一些没有目的的病毒感染和黑客攻击,这种规范的操作行为不但是对设备的保护、对数据的维护,还是对企业网络的安全负责,这就是规范企业员工网络行为的重要性之一,如果一个工作人员很随便的浏览不同的网页,下载一些无关紧要的软件或者资料,这会对企业的网络安全造成很大的隐患,网络病毒很有可能通过这些网页或者文件,进入到你的企业网络,然后会企业内部网络内传播,甚至破坏,所以这就要对员工进行严格的规范操作,通过技术设备和规章制度的相结合来指导、促使员工从根本上提高网络安全的意识。安全管理不是靠网络防火墙等技术来完成的,安全管理人才是企业安全管理的核心,一些企业为了增加企业的安全性,花掉大成本来购买最好的防火墙、IPS、病毒威胁发现设备等,想通过这些技术来实现安全性能的提高,而忽视了企业人才的重要性,这就会给黑客有机可乘,如果黑客对企业的这些预防技术了解之后,是可以通过这些技术的弊端轻松进入你的有着安全防御系统的,特别是内部员工如果由于某种原因,更可以轻松的绕过写预防技术而进入到企业网络内部,因为目前为止,没有一套绝对安全的软件存在,更没有绝对安全的防御系统存在,而企业的安全管理人才,是在借助这些技术的同时,对技术的弊端进行弥补的最佳手段,所以人才是网络安全最大的关键。企业管理人员必须为网络安全建立一套监督与使用的管理制度,并且进行实施。
(二)提高安全意识。企业员工的安全意识是企业安全防护的最佳保障,面对层不不穷的安全威胁,除了购买各种安全产品以外,企业还应做到提高员工的安全意识,把安全意识提高到重要位置,让员工共同组建一个完善的安全防御系统。安全设备的建立只是企业信息安全的第一步,设备的合理优化与配置可以有效提高安全系数的增加,并且公司指定有效的安全制度,可以更好的发挥安全设备的作用,员工安全意识的提高可以及时发现许多问题,在设备的技术更新上,更要体现员工的安全意识,提高警惕性,严格做好每天的工作,所以企业IT人员应该有安全意识,重视自己企业的安全措施。公司在加强安全意识的培训的同时,还要对专业水平进行及时的培训,随着时间的推移,安全技术也是在变化的,it人员要及时的了解这些技术的最新动态,更要及时的掌握这些技术,才能有效的提高公司的安全系数,可见员工的安全意识是很重要的。
三、提高网络安全的有效措施
现在的网络安全问题直接关系到企业的发展,IT人员是公司安全问题的直接负责人,这是他们的职责,公司的安全问题做的好与坏,IT人员都要负直接的关系,那么,IT人员应该制定什么措施来履行这个职责呢?笔者感觉IT人员必须通过以下三点来提高公司网络的安全性。
(一)力争在网络安全投入足够预算。任何一个IT人员也不可能靠自己的力量来担负起一个公司的安全责任的,这除了需要同事之间的相互协作以外,还需要资金的保障,企业要力争并确保足够资金投资于IT系统的安全项目,认真的做好网络安全的资金预算,在不浪费的情况下,做到最大效果的提高公司安全性,工作人员要密切关注公司要为网络安全划拨一定金额的预算,例如防病毒软件、防火墙服务器等成本的正常支出。对于网络安全,员工要把每一道安全技术及时的更新,把对公司有威胁的安全问题尽量的做到提前预防。
(二)定期进行网络安全检讨交流会议。网络安全并不是靠技术就可以完成的,严格的日常操作和经验交流是提高网络安全的最有效的方式,所以,我们在明确了网络安全目标之后,IT人员应当就网络安全问题定期地举行检讨与交流。一旦发现现有的业务运作存在网络安全问题,IT人员就需要在一个明确的时间段内设立一个解决网络安全的方案。经常进行安全交流和检讨会议,看起来是繁琐和多余的,特别是公司各安全团队是散布在不同的地区,更会觉得这样做很麻烦,但这样做的好处是可见的,这样做可以确保公司业务能处理日常工作。
(三)明确岗位职责,保障网络安全。岗位职责的问题,需要得到明确的肯定,公司网络安全这个岗位关系着公司的各种数据的正常运行,这是保障本公司网络的安全、完整与可用性的一个重要的岗位。这项工作不能外包出去,因此要在岗位职能上要有明确规定,工作人员在遇到与网络安全相关的行为操作时,就要有足够的权利及时的进行收集、分析与调查,正确判断行为的意图,确保安全不受到威胁。例如职责上明确规定负责安全协调,确保影响网络安全的职能是集成在业务流程过程中而不是独立的任务。
四、让网络远离病毒
虽然病毒是无孔不入,但是我们只要有心去做,按规范进行操作,还是可以保证我们的电脑不受病毒的袭击,让我们的业务系统正常运行,让我们的电脑不是三天两天就进行重装系统。让我们的数据安安全全,不会遭到病毒的破坏。
(一)进行木马、恶意插件扫描。大家上网一段时间后,都会从网上下载一些文件保存在电脑的临时文件夹中,这种临时文件,就是病毒也经常潜伏的地方,尤其是一些广告代码,恶意脚本和以及木马程序。这些文件集中在c盘的DocumentsandSettings文件夹下的子文件夹(你经常用的登陆帐号,例如admin,就是你在装机器的时候,填写的那个登陆帐户的名字)下面的localsetting里面的temp文件夹。所以要经常进行木马扫描,恶意插件扫描,看是否有异常,如果有,进行清除。
(二)及时打补丁来增强安全性。现在的微软系统有很有漏洞,所有的网民都知道,各种各样的安全漏洞给网络病毒开了方便之门,平时除了注意及时对系统软件和网络软件进行必要升级外,还要尽快为操作系统打上最新的补丁。其中一个检测漏洞的简易方法就是直接使用系统中自带的系统更新功能,让微软为你的电脑来一次“全身检查”并打上安全补丁。当然也可以使用其他软件对计算机进行安全检测(例如360安全卫士),以便及早发现漏洞,让每台终端有一个安全防护罩。
(三)加强帐号管理,增强密码的安全性。数据库管理员在数据库系统进行典型安装之后,一般sys和system以及internal这三个用户具有默认的口令,数据库安装成功后,系统管理员作的第一件工作就是修改这些用户的口令,并加强口令的复杂程度,保证数据库的安全性。然而,还有一个用户,叫做DBSNMP的用户,许多管理员往往忽视了这一个用户的安全问题,在数据库系统采用典型安装后,只修改了前面创建的几个用户,这一个用户就没有去修改,而该用户负责运行系统的智能,非常重要的一个用户,该用户的缺省密码也是“DBSNMP”,如果忘记修改该用户的口令,任何人都可以通过该用户进行读取,修改,删除数据库系统文件。
(四)定期进行杀毒。计算机在运行中,会上网,会进行业务系统的工作,在我们的工作中,没有做到双机物理隔离,于是,在上网或进行U盘拷贝数据时,会把病毒带到计算机中,这时就要进行计算机的全盘杀毒,许多计算机人员都没有这一习惯,认为我的电脑安装的杀毒软件就万事大吉了,其实这是一种很肤浅的认识,在计算机管理中,一定要养成定期进行杀毒的习惯,而且还要把杀毒软件更新到最新的版本,病毒库也要更新到最全。
企业网络安全存在问题范文第3篇
关键词:网络信息 安全技术
计算机的广泛应用把人类带入了一个全新的时代,特别是计算机网络的社会化。已经成为了信息时代的主要推动力。由于计算机网络的脆弱性,这种高度的依赖性使国家的经济和国防安全变得十分脆弱,一旦计算机网络受到攻击而不能正常工作,甚至瘫痪,整个社会就会陷入危机。
一、网络信息安全中常见的隐患
网络信息安全中常见的隐患有恶意攻击、窃取机密攻击、机病毒、非法访问等四种。恶意攻击主要包括缓冲溢出攻击拒绝服务攻击,分布式拒绝服务攻击,硬件设备破坏型攻击,网页篡改攻击等。窃取机密攻击是指未经授权的攻击者(黑客)非法访问网络取信息。常见的形式有网络踩点协议栈指纹鉴别、信息流,会话劫持等。计算机病毒是指为了某种目的而蓄意编制的计算机程序,在实际系统中生存,自我复制和传播。并且给计算机系统造重的损坏。非法访问包括口令破解、1P欺骗、特洛伊木马等。
二、影响计算机网络安全的主要因素
1.固有的安全漏洞。新的操作系统或应用软件刚一上市,漏洞就已被找出,没有任何一个系统可以排除漏洞的存在,如缓冲区溢出、拒绝服务等。
2.网络系统在稳定性和可扩充性方面存在问题。由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。
3.网络硬件的配置不协调。一是文件服务器,它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。
4.人为因素。如操作员安全配置不当、资源访问控制设置不合理、用户口令选择不慎、用户与别人共享网络资源或将自己的账号转借他人以及内部人员有意或无意泄密、内部非授权人员有意无意偷窃机密信息、更改网络配置和记录信息、内部人员破坏网络系统等都会对网络安全带来威胁。
三、安全防范措施
1、采用身份鉴别技术
鉴别的目的是验明用户或信息的身份,对实体身份进行识别。以便验证其访问请求、或保证信息来自或到达指定的源和目的。鉴别技术可以验证消息的完整性,有效地对抗冒充、非法访问、重演等威胁。按照鉴别对象的不同,鉴别技术可以分为消息源鉴别和通信双方相互鉴别;按照鉴别内容的不同,鉴别技术可以分为用户身份鉴别和消息内容鉴别。鉴别的方法很多:利用鉴别码验证消息的完整性;利用通行字、密钥、访问控制机制等鉴别用户身份,防治冒充、非法访问;利用单方数字签名,可实现消息源鉴别,访问身份鉴别、消息完整性鉴别。利用收发双方数字签名,可同时实现收发双方身份鉴别、消息完整性鉴别。
2、防火墙与IDS(入侵检测系统)
本着经济、高效的原则,有必要将关键主机和关键网段用防火墙隔离,形成级防护体系,以实现对系统的访问控制和安全的集中管理。在企业网出口处放置防火墙,防止Internet或者本企业外的网络攻击企业网;在安全性要求高的部门与企业网接口处放置防火墙,将该部门与企业网隔离,防止企业内对该部门的攻击。防火墙针对非法访问攻击进行限制,对进出防火墙的攻击进行检测并防御,而网络内部用户之问的攻击不经过防火墙,防火墙没有办法去防止。而IDS(人侵检测系统)作为旁路监听设备,放置在需要保护的网络之中,针对合法访问形成的攻击进行检测。当网络内部有攻击出现时,IDS提供实时的人侵检测,将信息交给防火墙,由防火墙对这些攻击进行控制、隔离或断开。所以对于一个安全的网络,IDS是必不可少的。
3、安装入侵检测系统
通常将未经授权的访问或对信息进行非法操作的行为定义为人侵。入侵检测就是对这种行为进行监控并发现的过程。网络入侵检测系统就是帮助网络管理员发现这些入侵行为的辅助工具。网络入侵检测系统是集成在线网络入侵监测、入侵即时处理、离线入侵分析、入侵侦测查询、数据流量分析、报告生成等多项功能的分布式计算机安全系统,不仅能即时监控网络资源运行状况,为网络管理员提供网络入侵防范解决方案,及时发出网络入侵预警,使得黑客人侵变得有迹可寻,通过对内部网络系统进行实时监控与阻断响应,为用户采取进一步行动提供了强有力的技术支持。
4、合理设计网络系统结构
全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务,应在认真研究的基础上下大气力抓好网络运行质量的设计方案。在总体设计时采用网络分段技术将从源头上杜绝网络的安全隐患问题。因为局域网采用以交换机为中心、以路由器为边界的网络传输格局,再加上基于中心交换机的访问控制功能和三层交换功能,所以采取物理分段与逻辑分段2种方法,来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止非法侦听,保证信息的安全畅通。另外,以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。
5、隐藏IP地址
IP地址在网络安全上是一个很重要的概念,如果攻击者知道了IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻。隐藏IP地址的主要方法是使用服务器。使用服务器后,其它用户只能探测到服务器的IP地址,而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。
6、防范网络病毒
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有合适的全方位防病毒产品如果是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。
总之,网络安全不仅仅是技术问题,同时也是一个安全管理问题,因此,网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。
参考文献:
[1]赵晓敏、赵常林.计算机网络安全技术研究[J].鸡西大学学报,2007,(02)
企业网络安全存在问题范文第4篇
国际互联网的应用,实现了全球化信息交流,以最快的速度提供了信息资源共享。为现代社会提供了新的资源和能量,使得社会的相关经济信息系统得到的突飞猛进的发展,为了配合这种高速的经济信息系统,网络会计模式也应运而出,这是一种科技高速发展、信息高度共享下的全新的现代会计核算模式,改变了企业会计信息生成、报告、披露的方式和形式,不过互联网的无限性和开放性决定了它的安全性,企业应用网络会计产生的信息存在被泄露和篡改的可能性,因此,我们必须认识到网络会计的安全问题,分析出主要的原因,并结合实际情况总结出适合的防范办法,下面就针对这个问题展开探讨。
1. 网络会计的一些基本理论
1.1含义:网络会计就是指在互联网环境下对企业发生的各种交易和事项进行确认、计量和披露的一种新的会计模式。它是以互联网为基础,是现在企业电子商务发展的必须条件,也是其重要的组成部分,利用互联网技术实现企业经济业务和财务核算的协同处理,主要包括报表、报帐、查帐、审计等等,同时,还针对企业的财务管理方式进行了完善和协调,这种模式下支持电子单据与电子货币,从而改变了财务信息的获取与利用方式。
1.2网络会计的一些基本特点
网络会计的依托环境是互联网,所以分析网络会计的特点就要结合互联网的一些问题,主要体现在:一是网络会计可以全面及时的为企业提供信息。传统的会计核算模式决定了财务核算单位要在月末账务核算全部结束的时候才能反馈信息,而网络会计可以信息共享,这样对于相关管理部门进行财务数据的应用,提供了很大的方便,还能有效的增强会计报表及附注的信息容量。二是会计信息使用者在获取信息是更具针对性。计算机网络与其他媒体相比更具有先天的优越性,本文由收集整理因为网络为信息的提供者和使用者之间的及时交流创造了条件。三是会计业务的处理模式更为分散和便捷。传统会计模式下,计算机只能完成某项工作任务,致使计算的的工作任务非常繁重。会计网络模式下,这种情况得到缓解,一项复杂的工作可以划分为许多部分,这既可以保证凭证的及时录入,又可以保证数据存贮的统一,还能大大减少单机版造成的数据冗余。
2. 网络会计发展存在的主要问题分析
2.1网络.安全问题。安全问题主要是网络系统内部及网络边界的安全问题。国外的很多企业,在建设网络架构的时候会将很大一部分份额用于加强内网的网络安全,但是国内的很多企业并没有意识到这个问题的严重性,用户在内网安全方面的投资过低,主要原因就是对于技术含量较高的内网安全管理系统无从下手,安全问题没解决,稳定性也丧失了。大多企业重视提高企业网的边界安全,暂且不提它们在这方面的投资多少,但是大多数企业网络的核心内网还是非常脆弱的,造成网络传递过程中,随时存在被截取、篡改、泄漏机密等安全风险,很难保证其机密性、真实性与完整性。
2.2人员综合素质问题。缺乏知识全面的复合型人才,现在的会计人员能够精通网络会计的人较少,而精通计结合,不能胜任网络会计工作的需求,更谈不上维护网络会计安全,因此复合型高素质人才的缺乏制约着网络会计的发展。
2.3会计信息客观性问题。网络会计环境下,仍然存在信息失真的风险。尽管信息传递的无纸化可以有效避免一些由于人为原因而导致会计失真的现象,但仍不能排除电子凭证、电子账簿可能被随意修改而不留痕迹的行为。
2.4会计信息储存的问题。会计信息的传递和利用需要通过一定的载体才能完成,载体与信息相辅相成。新型磁介质载体将取代纸质档案成为新的管理方式。磁介质载体信息具有可变性、可操作性和对系统的依赖性,而且计算机软硬件更新换代频繁,如果兼容问题得不到很好的解决,档案的安全和保密会面临失效风险。
2.5立法不明确及软件的问题。目前我国尚无网络会计的准则及规范,网络会计研究理论滞后,缺乏相关的 法律、政策。如果选用会计软件时,没有先充分了解产品特色,不能和企业现行的财务流程相适应,企业将花费相当大的成本进行流程改造。如果软件没有任何接口或升级的可能性,必然为以后的应用带来困难。网络会计软件开发还远远不够。
3. 我国网络会计发展存在问题的解决对策
3.1提高网络系统的安全性和保密性
3.1.1安全管理。安全问题是网络会计发展中面临的首要问题,必须要有一个安全、可靠的通信网络以保证会计信息安全迅速地传递,可以把计算机用户对信息的读写或修改控制在一定级别范围之内,如身份认证、权限等。在网络中通常设置三级权限,其他用户的权限由系统管理员授予。
3.1.2保密技术。计算机病毒也是网络安全的一大劲敌,要采取适当的防病毒措施。对病毒的防御现在通用的方法是采用防火墙技术,它可以将包括病毒在内的非法入侵访问抵挡在内部网络之外,从而起到对内部信息的保护作用。对于信息流则普遍采用加密技术,以防止信息在传输过程中被泄密。
3.2加强网络会计人才培养
网络会计要求会计人员不仅能进行计算机操作,还要掌握 现代 信息技术和现代会计知识及管理理论与实务,能解决工作中出现的各种问题。为适应时代要求,必须进行更新会计理论,有计划、有步骤、有针对性地开展现有会计人员的继续 教育 和培训工作,改善会计人员的知识结构不断进行知识更新。
3.3加快建立和完善电子商务法规
企业网络安全存在问题范文第5篇
1利用网络及安全管理的漏洞窥探用户口令或电子帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。
2利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。
3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的经济业务的原始记录以电子凭证的方式
存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。
计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。
一、网络安全审计及基本要素
安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的问题。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。
二、网络安全审计的程序
安全审计程序是安全监督活动的具体规程,它规定安全审计工作的具体内容、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。
安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。
1了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?
2了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。
3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。
安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计分析器。
安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。
三、网络安全审计的主要测试
测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
下面是对网络环境会计信息系统的主要测试。
1数据通讯的控制测试
数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的内容。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。
2硬件系统的控制测试
硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火
灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
3软件系统的控制测试
软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。
4数据资源的控制测试
数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。
5系统安全产品的测试
随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。
四、应该建立内部安全审计制度
