在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。
一、中小企业的信息化建设意义
在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,百分之八十二的中小企业对网站的应还处于宣传企业形象,发布产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来,企业应该加快信息化的建设。
二、电子信息安全技术阐述
1、电子信息中的加密技术
加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。
加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。
2、防火墙技术
随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。
3、认证技术
消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。
三、中小企业中电子信息的主要安全要素
1、信息的机密性
在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。
2、信息的有效性
随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。
3、信息的完整性
企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。
四、解决中小企业中电子信息安全问题的策略
1、构建中小企业电子信息安全管理体制
解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。
2、利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通, 局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台发布技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。
3、定期对安全防护软件系统进行评估、改进
随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。
参考文献:
[1]温正卫;信息安全技术在电子政务系统中的应用[J];软件导刊,2010
[2]闫兵;企业信息安全概述及防范[J];科学咨讯,2010
论文摘要:随着我国信息技术的不断发展,对中小企业电子信息安全的保护问题也成为人们关注的焦点。本文以电子信息安全为主体,介绍中小企业信息化建设,对电子信息安全技术进行概述,提出主要的安全要素,找出解决中小企业中电子信息安全问题的策略。
在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。
一、中小企业的信息化建设意义
在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,百分之八十二的中小企业对网站的应还处于宣传企业形象,产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来,企业应该加快信息化的建设。
二、电子信息安全技术阐述
1、电子信息中的加密技术
加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。
加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。
2、防火墙技术
随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。
3、认证技术
消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。
三、中小企业中电子信息的主要安全要素
1、信息的机密性
在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。
2、信息的有效性
随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。
3、信息的完整性
企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。
四、解决中小企业中电子信息安全问题的策略
1、构建中小企业电子信息安全管理体制
解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。
2、利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通, 局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。
3、定期对安全防护软件系统进行评估、改进
随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。
参考文献:
[1]温正卫;信息安全技术在电 子政务系统中的应用[J];软件导刊,2010
闫兵;企业信息安全概述及防范[J];科学咨讯,2010
论文摘要:随着我国信息技术的不断发展,对中小企业电子信息安全的保护问题也成为人们关注的焦点。本文以电子信息安全为主体,介绍中小企业信息化建设,对电子信息安全技术进行概述,提出主要的安全要素,找出解决中小企业中电子信息安全问题的策略。
在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。
一、中小企业的信息化建设意义
在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,百分之八十二的中小企业对网站的应还处于宣传企业形象,发布产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来,企业应该加快信息化的建设。
二、电子信息安全技术阐述
1、电子信息中的加密技术
加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。
加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。
2、防火墙技术
随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。
3、认证技术
消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。
三、中小企业中电子信息的主要安全要素
1、信息的机密性
在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。
2、信息的有效性
随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。
3、信息的完整性
企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。
四、解决中小企业中电子信息安全问题的策略
1、构建中小企业电子信息安全管理体制
解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。
2、利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通, 局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台发布技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。
3、定期对安全防护软件系统进行评估、改进
随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。
参考文献:
[1]温正卫;信息安全技术在电子政务系统中的应用[J];软件导刊,2010
[2]闫兵;企业信息安全概述及防范[J];科学咨讯,2010
关键词:电子信息安全 安全技术 安全要素
在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。
一、中小企业的信息化建设意义
在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。
二、电子信息安全技术阐述
1.电子信息中的加密技术
加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。
加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。
2.防火墙技术
随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。
3.认证技术
消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。
三、中小企业中电子信息的主要安全要素
1.信息的机密性
在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。
2.信息的有效性
随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。
3.信息的完整性
企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。
四、解决中小企业中电子信息安全问题的策略
1.构建中小企业电子信息安全管理体制
解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。
2.利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通, 局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。
3.定期对安全防护软件系统进行评估、改进
随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。
参考文献:
首先,鉴于中小企业的特点,在信息安全意识培训过程中需要考虑两个基本点。第一点,对全公司尽量培训一致的安全信息,并且这项计划要由信息技术部门负责管理。中小型企业规模往往比较小,不足以实行具有不同倾向性的多种培训计划。第二点,要清楚中小企业的大部分电脑使用者并不是专业人员,相关的培训应该简单且接近企业用户的水平。
其次,需要考虑的是中小企业信息安全方面需要培训哪些内容。一般而言,需要考虑的培训内容包括:用户管理、网络与电子邮件、移动设备与便携设备使用、对外保密、突发事件、系统操作安全等。
再次,需要根据自身特点选取适合中小企业信息安全意识的培训方法。一般来说,至少有三种途径可以用于企业进行安全意识培训:一是在公司内部寻找培训人员和培训部门,进行内部培训;二是聘请外部专业的培训公司进行培训;三是考虑依托于网络与电脑进行培训。但以上任何一种方案都有可能会超出中小型企业的能力,这时候还要根据企业自身特点来安排适当的途径进行培训。
那么,能满足规模较小的中小企业提高员工信息安全意识培训的合理途径是什么呢?有分析认为,可以在以上提到的三种途径的基础上加以改动,形成两种可用的途径:一是中小企业仍然可以使用内部资源进行范围性培训或者购买网络、电脑的培训程序。二是中小企业可以创造性地在办公室张贴些成本低的彩色安全意识海报,对员工潜移默化地培训。
从企业内部来看,如果企业的信息技术部门能提供一个内部特制的培训计划是可行的。按照美国国家标准与技术研究院(NIST)的指导方针或其他材料,策划一天或半天的课程就足以使员工认识到有关电脑安全的一些重要问题。从企业外部来看,目前市场上也有不少专门面向中小型企业、价格合理的基于网络和电脑安全相关的培训。无论如何,需要考虑企业自身承受能力与受培训者的接受能力,根据实际情况来进行选择。
(河北省承德市双滦区人力资源和社会保障局,承德 067101)
(Shuangluan District Human Resources and Social Security Bureau of Chengde,Hebei Province,Chengde 067101,China)
摘要: 随着计算技术的发展,网络技术的普遍应用,保护商业机密、个人隐私、敏感数据等越显重要。尤其是中小企事业单位由于资金有限,资源不多,各种信息数据时时受到内部的以及外部的威胁。数据信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。本文将对中小企事业单位的数据信息安全问题进行分析,提出相应的安全策略和技术防范措施。
Abstract: With the development of computing technology and widespread application of network technology, the protection of commercial secrets, personal privacy and sensitive data and so on becomes more important. Especially for small and medium-sized enterprises, due to the limited funding and resources, the information data is constantly threatened by internal and external factors. The essence of the data information security is to protect information systems or information in the network information resources from various types of threats, interference and damage, namely guarantee information security. This article analyzes the data information security problems of small and medium-sized enterprises and institutions, and puts forward the corresponding security strategy and technical measures.
关键词 : 数据信息;安全策略;企事业单位
Key words: data information;security policy;enterprises and institutions
中图分类号:TP311.5文献标识码:A文章编号:1006-4311(2015)25-0055-02
作者简介:李晓宾(1979-),男,河北承德人,科员,助理工程师,研究方向为电子信息。
0 引言
Internet为人类社会创造了一个全新的信息空间,随着计算机网络技术的日益成熟,计算机网络在社会上的应用也急剧增多,中小企事业单位越来越多的采用计算机网络技术来进行办公。但是在此过程中,由于中小企事业单位对网络安全问题不够重视以及工作人员的操作不规范等问题,使中小企事业单位的网络安全受到极大的威胁。随着数字化经济的到来,网络系统的不断扩大,信息的快速获取,数据的安全性、可用性变得越来越重要。
1 计算机网络数据安全问题概述
随着网络技术的迅猛发展,各行各业逐步跨入信息时代大平台,这一方面为信息储存、行业推广提供了极大便利,而另一方面也催化了网络信息安全隐患的不断滋长,频频爆出网络用户信息泄漏事件。目前网络已成为中小企事业单位重要的工作手段之一,网络信息泄密使企业面临严重的安全威胁,并且已经有企业为此承担了巨大的经济损失。加强网络信息安全管理已刻不容缓。
2 企事业单位计算机数据安全面临的威胁
①中小企事业单位由于网络管理上的缺失,没有形成统一的网络安全管理制度或者责任分工不明确,不能及时发现计算机网络系统中出现的安全漏洞,造成数据损毁丢失或被黑客篡改。
②U盘、移动硬盘等外来数据与中小企事业单位内部的计算机端口进行非法的连接,造成网络系统感染病毒或者直接瘫痪,对中小企事业单位的内部信息安全够成威胁。
③中小企事业单位对计算机网络终端缺乏有效的监控,当计算机系统出现安全威胁时,无法通过监控系统及时锁定故障点,也无法统一管理计算机网络所配置的应用软件。
④由于单位员工的计算机网络技术水平存在较大差异,大部分员工不能熟练掌握计算机网络的应用技术,经常出现由于工作人员的操作不当,造成数据的删除或者损坏。因没有设置或及时更改计算机网络的使用权限,增加了网络入侵的危险。
3 计算机网络数据信息安全策略与技术防范措施
基于上述安全隐患,而计算机网络在中小企事业单位中的应用又势在必行的现实趋势,中小企事业单位应该针对计算机网络信息制定配套的安全管理策略,切实加强信息安全管理,并且针对安全威胁采取相应的技术防范措施,见表1。
RAID 0追求速度,至少需要2块硬盘,总容量相当于多块硬盘加起来,不过这种方案安全性欠缺,一块硬盘出现问题,数据全毁。RAID 1追求安全,磁盘2是磁盘1的备份,缺点是容量损失,速度与单块硬盘相同。RAID 0+1或RAID 1+0兼顾速度与安全,应用较多。RAID 5相对来说速度较快,安全性较高,应用也比较普遍。
4 典型案例分析
2010年,张建在杭州某电商企业中负责品牌运营和推广工作。在工作中结识了前支付宝员工李明,双方产生了“生意”上的来往。在一次合作中,李明用3万条目标消费者信息来抵付欠张建的500元人民币酬劳。这3万条目标消费者信息中包括公民个人的实名、手机、电子邮箱、家庭住址、消费记录等,张建通过这些定位精准的用户信息进一步筛选出精准的目标消费群体。李明时任支付宝技术员工,其利用工作之便,多次从支付宝后台下载用户信息。据其对警方的供述,其下载的信息的大小容量在20G以上。李明下载用户信息后,伙同两位系统外的IT业者,共同将用户数据加以分析、提炼,并兜售给目标客户。
此案暴露了支付宝公司信息安全管理上的漏洞,如果内部监管得力,及时发现问题,就可制止犯罪行为。如果权限设置得当,他没有相应的权限,就接触不到或者不会轻易得到如此多的隐私数据,就不会发生这类事件了。
5 数据信息安全的目标及要达到的效果
信息安全通常强调CIA三元组的目标,即保密性、完整性和可用性。CIA 的概念阐述源自信息技术安全评估标准(ITSEC,即 Information Technology Security Evaluation Criteria),它也是信息安全的基本要素和安全建设所应遵循的基本原则。
中小企事业单位的目标是在有限的投入中,获得尽可能最大的安全性。防火墙是必须的,既要防病毒又要防黑客;物理隔离网络是必要的,只有这样才能保护专网的数据信息安全;建立完整的备份策略是必然的,防患于未然;内部的监管也是非常重要的,消灭一切威胁到数据信息安全的行为。
6 结论
随着计算机网络技术的发展,中小企事业单位对于计算机网络的应用将越来越广泛,建立健全各种安全制度,增强网络数据信息的安全性刻不容缓。在产业融合的态势下,应该尽量保证数据信息的准确性,完整性,保密性,避免由于网络数据信息丢失、损毁、泄密等给中小企事业单位带来的损失。同时,政府也应该遵循互联网发展的规律,秉承开放、包容、创新、分享的理念,加快建立完善和互联网工作发展相适应的监管制度,修订完善法律法规,不断优化监管思路,创新监管手段,规范市场秩序,着力打造党政部门、互联网企业、科研机构、行业组织,以至普通的网民广泛参与合作等多元监管格局,为互联网潜能的充分释放营造公平、公正、合法、合规的外部环境。
参考文献:
[1]潘柱廷.高端信息安全与大数据[J].信息安全与通信保密,2012(12).
[2]维克托·迈尔·舍恩伯格,周涛.大数据时代:生活、工作与思维的大变革[J].人力资源管理,2013(03).
[3]刘庆宇.浅析计算机网络的安全策略与技术防范对策[J].数字技术与应用,2013(10):207.
[4]关启明.计算机网络安全与保密[J].河北理工学院学报,2003(2):84-89.
关键词:中小型企业;信息网络安全;网络安全架构
Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.
Keywords: small and medium-sized enterprises; network security; network security architecture
中图分类号:TN915.08文献标识码:A文章编号:2095-2104(2013)
1、中小型企业网络安全问题的研究背景
随着企业信息化的推广和计算机网络的成熟和扩大,企业的发展越来越离不开网络,而伴随着企业对网络的依赖性与日俱增,企业网络的安全性问题越来越严重,大量的入侵、蠕虫、木马、后门、拒绝服务、垃圾邮件、系统漏洞、间谍软件等花样繁多的安全隐患开始一一呈现在企业面前。近些年来频繁出现在媒体报道中的网络安全案例无疑是为我们敲响了警钟,在信息网络越来越发达的今天,企业要发展就必须重视自身网络的安全问题。网络安全不仅关系到企业的发展,甚至关乎到了企业的存亡。
2 、中小型企业网络安全的主要问题
2.1什么是网络安全
网络安全的一个通用定义:网络安全是指网络系统中的软、硬件设施及其系统中的数据受到保护,不会由于偶然的或是恶意的原因而遭受到破坏、更改和泄露。系统能够连续、可靠地正常运行,网络服务不被中断。网络安全从本质上说就是网络上的信息安全。广义地说,凡是涉及网络上信息的保密性、完整性、可用性、真实性(抗抵赖性)和可控性的相关技术和理论,都是网络安全主要研究的领域。
2.2网络安全架构的基本功能
网络信息的保密性、完整性、可用性、真实性(抗抵赖性)和可控性又被称为网络安全目标,对于任何一个企业网络来讲,都应该实现这五个网络安全基本目标,这就需要企业的网络应用架构具备防御、监测、应急、恢复等基本功能。
2.3中小型企业的主要网络安全问题
中小型企业主要的网络安全问题主要体现在3个方面.
1、木马和病毒
计算机木马和病毒是最常见的一类安全问题。木马和病毒会严重破坏企业业务的连续性和有效性,某些木马和病毒甚至能在片刻之间感染整个办公场所从而导致企业业务彻底瘫痪。与此同时,公司员工也可能通过访问恶意网站、下载未知的资料或者打开含有病毒代码的电子邮件附件等方式,在不经意间将病毒和木马带入企业网络并进行传播,进而给企业造成巨大的经济损失。由此可见,网络安全系统必须能够在网络的每一点对蠕虫、病毒和间谍软件进行检测和防范。这里提到的每一点,包括网络的边界位置以及内部网络环境。
2、信息窃取
信息窃取是企业面临的一个重大问题,也可以说是企业最急需解决的问题。网络黑客通过入侵企业网络盗取企业信息和企业的客户信息而牟利。解决这一问题,仅仅靠在网络边缘位置加强防范还远远不够,因为黑客可能会伙同公司内部人员(如员工或承包商)一起作案。信息窃取会对中小型企业的发展造成严重影响,它不仅会破坏中小型企业赖以生存的企业商誉和客户关系。还会令企业陷入面临负面报道、政府罚金和法律诉讼等问题的困境。
3、业务有效性
计算机木马和病毒并不是威胁业务有效性的唯一因素。随着企业发展与网络越来越密不可分,网络开始以破坏公司网站和电子商务运行为威胁条件,对企业进行敲诈勒索。其中,以DoS(拒绝服务)攻击为代表的网络攻击占用企业网络的大量带宽,使其无法正常处理用户的服务请求。而这一现象的结果是灾难性的:数据和订单丢失,客户请求被拒绝……同时,当被攻击的消息公之于众后,企业的声誉也会随之受到影响。
3如何打造安全的中小型企业网络架构
通过对中小型企业网络存在的安全问题的分析,同时考虑到中小型企业资金有限的情况,我认为打造一个安全的中小型企业网络架构应遵循以下的过程:首先要建立企业自己的网络安全策略;其次根据企业现有网络环境对企业可能存在的网络隐患进行网络安全风险评估,确定企业需要保护的重点;最后选择合适的设备。
3.1建立网络安全策略
一个企业的网络绝不能简简单单的就定义为安全或者是不安全,每个企业在建立网络安全体系的第一步应该是定义安全策略,该策略不会去指导如何获得安全,而是将企业需要的应用清单罗列出来,再针对不同的信息级别给予安全等级定义。针对不同的信息安全级别和信息流的走向来给予不同的安全策略,企业需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。对关键数据的防护要采取包括“进不来、出不去、读不懂、改不了、走不脱”的五不原则。
“五不原则”:
1.“进不来”——可用性: 授权实体有权访问数据,让非法的用户不能够进入企业网。
2.“出不去”——可控性: 控制授权范围内的信息流向及操作方式,让企业网内的商业机密不被泄密。
3.“读不懂”——机密性: 信息不暴露给未授权实体或进程,让未被授权的人拿到信息也看不懂。
4.“改不了”——完整性: 保证数据不被未授权修改。
5.“走不脱”——可审查性:对出现的安全问题提供依据与手段。
在“五不原则”的基础上,再针对企业网络内的不同环节采取不同的策略。
3.2 信息安全等级划分
根据我国《信息安全等级保护管理办法》,我国所有的企业都必须对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。具体划分情况如下:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
因此,中小型企业在构建企业信息网络安全架构之前,都应该根据《信息安全等级保护管理办法》,经由相关部门确定企业的信息安全等级,并依据界定的企业信息安全等级对企业可能存在的网络安全问题进行网络安全风险评估。
3.3 网络安全风险评估
根据国家信息安全保护管理办法,网络安全风险是指由于网络系统所存在的脆弱性,因人为或自然的威胁导致安全事件发生所造成的可能性影响。网络安全风险评估就是指依据有关信息安全技术和管理标准,对网络系统的保密性、完整想、可控性和可用性等安全属性进行科学评价的过程。
网络安全风险评估对企业的网络安全意义重大。首先,网络安全风险评估是网络安全的基础工作,它有利于网络安全的规划和设计以及明确网络安全的保障需求;另外,网络安全风险评估有利于网络的安全防护,使得企业能够对自己的网络做到突出防护重点,分级保护。
3.4确定企业需要保护的重点
针对不同的企业,其需要保护的网络设备和节点是不同的。但是企业信息网络中需要保护的重点在大体上是相同的,我认为主要包括以下几点:
1.要着重保护服务器、存储的安全,较轻保护单机安全。
企业的运作中,信息是灵魂,一般来说,大量有用的信息都保存在服务器或者存储设备上。在实际工作中,企业应该要求员工把相关的资料存储在企业服务器中。企业可以对服务器采取统一的安全策略,如果管理策略定义的好的话,在服务器上文件的安全性比单机上要高的多。所以在安全管理中,企业应该把管理的重心放到这些服务器中,要采用一切必要的措施,让员工把信息存储在文件服务器上。在投资上也应着重考虑企业服务器的防护。
2.边界防护是重点。
当然着重保护服务器、存储设备的安全并不是说整体的防护并不需要,相反的边界防护是网络防护的重点。网络边界是企业网络与其他网络的分界线,对网络边界进行安全防护,首先必须明确到底哪些网络边界需要防护,这可以通过网络安全风险评估来确定。网络边界是一个网络的重要组成部分,负责对网络流量进行最初及最后的过滤,对一些公共服务器区进行保护,VPN技术也是在网络边界设备建立和终结的,因此边界安全的有效部署对整网安全意义重大。
3.“”保护。
企业还要注意到,对于某些极其重要的部门,要将其划为,例如一些研发部门。类似的部门一旦发生网络安全事件,往往很难估量损失。在这些区域可以采用虚拟局域网技术或者干脆做到物理隔离。
4.终端计算机的防护。
最后作者还是要提到终端计算机的防护,虽然对比服务器、存储和边界防护,终端计算机的安全级别相对较低,但最基本的病毒防护,和策略审计是必不可少的。
3.5选择合适的网络安全设备
企业应该根据自身的需求和实际情况选择适合的网络安全设备,并不是越贵越好,或者是越先进越好。在这里作者重点介绍一下边界防护产品——防火墙的性能参数的实际应用。
作为网络安全重要的一环,防火墙是在任何整体网络安全建设中都是不能缺少的主角之一,并且几乎所有的网络安全公司都会推出自己品牌的防火墙。在防火墙的参数中,最常看到的是并发连接数、网络吞吐量两个指标.
并发连接数:是指防火墙或服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。由于计算机用户访问页面中有可能包含较多的其他页面的连接,按每个台计算机发生20个并发连接数计算(很多文章中提到一个经验数据是15,但这个数值在集中办公的地方往往会出现不足),假设企业中的计算机用户为500人,这个企业需要的防火墙的并发连接数是:20*500*3/4=7500,也就是说在其他指标符合的情况下,购买一台并发连接数在10000~15000之间的防火墙就已经足够了,如果再规范了终端用户的浏览限制,甚至可以更低。
网络吞吐量:是指在没有帧丢失的情况下,设备能够接受的最大速率。随着Internet的日益普及,内部网用户访问Internet的需求在不断增加,一些企业也需要对外提供诸如WWW页面浏览、FTP文件传输、DNS域名解析等服务,这些因素会导致网络流量的急剧增加,而防火墙作为内外网之间的唯一数据通道,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响。因此,考察防火墙的吞吐能力有助于企业更好的评价其性能表现。这也是测量防火墙性能的重要指标。
吞吐量的大小主要由防火墙内网卡,及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。因此,大多数防火墙虽号称100M防火墙,由于其算法依靠软件实现,通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙,由于采用硬件进行运算,因此吞吐量可以达到线性90-95M,才是真正的100M防火墙。
从实际情况来看,中小型企业由于企业规模和人数的原因,一般选择百兆防火墙就已经足够了。
3.6投资回报率
在之前作者曾提到的中小企业的网络特点中资金少是最重要的一个问题。不论企业如何做安全策略以及划分保护重点,最终都要落实到一个实际问题上——企业网络安全的投资资金。这里就涉及到了一个名词——投资回报率。在网络安全的投资上,是看不到任何产出的,那么网络安全的投资回报率该如何计算呢?
首先,企业要确定公司内部员工在使用电子邮件和进行WEB浏览时,可能会违反公司网络行为规范的概率。可以将这个概率称为暴光值(exposure value (EV))。根据一些机构对中小企业做的调查报告可知,通常有25%—30%的员工会违反企业的使用策略,作者在此选择25%作为计算安全投资回报率的暴光值。那么,一个拥有100名员工的企业就有100x 25% = 25名违反者。
下一步,必需确定一个因素——当发现单一事件时将损失多少人民币。可以将它称为预期单一损失(single loss expectancy (SLE))。由于公司中的100个员工都有可能会违反公司的使用规定,因此,可以用这100个员工的平均小时工资作为每小时造成工作站停机的预期单一最小损失值。例如,作者在此可以用每小时10元人民币作为预期单一最小损失值。然后,企业需要确定在一周的工作时间之内,处理25名违规员工带来的影响需要花费多少时间。这个时间可以用每周总工作量40小时乘以暴光值25%可以得出为10小时。这样,就可以按下列公式来计算单一预期损失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后,企业要确定这样的事情在一年中可能会发生多少次。可以叫它为预期年均损失(annualized loss expectancy (ALE))。这样的损失事件可能每一个星期都会发生,一年有52周,如果除去我国的春节和十一黄金周的两个假期,这意味着一个企业在一年中可能会发生50次这样的事件,可以将它称之为年发生率(annual rate of occurrence (ARO))。预期的年均损失(ALE)就等于年发生率(ARO)乘以预期单一损失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
这就是说,该公司在没有使用安全技术防范措施的情况下,内部员工的违规网络操作行为可能会给公司每年造成12.5万元人民币的损失。从这里就可以知道,如果公司只需要花费10000元人民币来实施一个具体的网络行为监控解决方案,就可能让企业每年减少12.5万元人民币的损失,这个安全防范方案当然是值得去做的。
当然,事实却并不是这么简单的。这是由于安全并不是某种安全技术就可以解决的,安全防范是一个持续过程,其中必然会牵扯到人力和管理成本等因素。而且,任何一种安全技术或安全解决方案并不能保证绝对的安全,因为这是不可能完成的任务。
就拿本例来说,实施这个网络行为监控方案之后,能够将企业内部员工的违规行为,也就是暴光值(EV)降低到2%就已经相当不错了。而这,需要在此安全防范方案实施一段时间之后,例如半年或一年,企业才可能知道实施此安全方案后的最终效果,也就是此次安全投资的具体投资回报率是多少。
有数据表明在国外,安全投入一般占企业基础投入的5%~20%,在国内一般很少超过2%,而网络安全事件不论在国内外都层出不穷,企业可能在安全方面投入了很多,但是仍然频频发生网络安全事故。很多企业的高层管理者对于这个问题都比较头疼。其实网络安全理论中著名的木桶理论,很好的解释了这种现象。企业在信息安全方面的预算不够进而导致了投资报酬不成比例,另外很多企业每年在安全产品上投入大量资金,但是却不关注内部人员的考察、安全产品有效性的审核等安全要素。缺乏系统的、科学的管理体系的支持,也是导致这种结果产生的原因。
关键词:信息安全;加密方法;加密软件
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)19-30003-01
1 正确认识中小企业信息安全重要性
信息时代,企业的正常运作离不开信息资源的支持,这包括企业的经营计划、知识产权、生产工艺、流程配方、方案图纸、客户资源以及各种重要数据等,这些都是企业全体员工努力拼搏、刻苦钻研、殚精竭虑、长期积累下来的智慧结晶,是企业发展的方向和动力,关乎着企业的生存与发展,企业的重要信息一旦被泄露会使企业顿失市场竞争优势,甚至会遭受灭顶之灾。因此,企业要保持健康可持续性发展,信息安全是基本的保证之一。
2 危害中小企业信息安全的罪魁祸首
在媒体的宣传下,病毒、木马、蠕虫、黑客已经成为危害信息安全的罪魁祸首,但是据信息专家论证,对计算机系统造成重大破坏的往往不是它们,而是组织内部人员有意或无意对信息的窥探或窃取。未来安全问题不再是过去简简单单的一个病毒或者一个黑客,它将朝着更多元化的方向发展,对于中小企业而言,无论是数据失窃、邮件泄密、打印泄密、还是网络瘫痪,也许都将是一次彻底的毁灭。
3 哪些信息需要保密
一般而言,中小企业发生数据泄露事件的一个主要原因,是他们不知道自己的敏感信息和机密商业信息位于网络或企业系统中的位置。由于缺乏这种了解,加上数据存储方面的控制措施不到位,数据泄露变成了重大威胁。另外,这种危险并不仅仅出现在企业的网络上,还出现在员工和合作伙伴的笔记本电脑及其他便携存储设备上。许多组织越来越担心遇到数据泄密事件。据调查分析,知识产权、商业机密信息、客户及消费者数据,以及员工数据成为面临风险最大的四种数据,当然 也是最需要保密的数据。一般而言,自主研发型的企业产品研发部门是最需要进行电子数据加密的,而其他企业根据经营特点的不同,也可能把营销部门或财务部门等其他部门列为数据安全保护的重点部门。
4 如何选择适合的加密方法
总的来说,目前市场上有如下几种主流的加密方式:
一种是文件夹加密,主要是提供给单个用户使用,对放置机密文件的文件夹进行加密,打开时需要输入密码,此种加密软件多为个人或软件工作室制作,并不稳定,建议慎重使用,一旦重要资料加密后无法打开问题就比较严重了。
第二种就是我们常说的透明加密,这种加密方式的特点在于:不影响正常工作,而密文一旦脱离加密环境就无法打开,可以说是当前一种比较严密的数据保护方法。
第三种是USB接口加密,就是屏蔽USB设备或绑定USB存储设备,对于绑定以外的USB设备无法识别。虽然这种方式不是严格意义上的数据加密,但因其原理简单,对系统底层接触较小,出问题的几率比较小,所以应用范围也很广泛。
对于企业用户我们推荐使用第二种方式,第三种方式虽然也可以,但其硬盘上的资料为明文,一旦硬盘被窃用,或文件通过网络的方式传递出去,也很容易造成泄密。从数据的严格安全性上考虑,可以选择第二种和第三种加密方法同时使用。
5 如何选择合适的加密软件
那么如何选择加密软件,尤其是透明加密类型的软件呢?首先,一定不要当实验品。很多加密软件公司都是刚刚起步,或者刚刚涉足数据加密领域,其产品虽可能与其他软件公司的产品原理相同,功能类似,但其中的Bug一定很多。对于透明数据加密软件,一旦出现问题,计算机上的文件都会无法打开,或者某个文件被破坏永久无法打开,这对正常工作的影响是很大的。所以,我们在选择透明加密产品之前一定要弄清楚该公司此款软件的研发时间,第一个版本的上市时间,目前的软件版本,其客户有哪些,并最好能对其客户进行电话或访问调研。
其次,一定要考察好该公司的售后服务情况。对于此类软件,在实际应用过程中因为环境的不同都多多少少会有一些“水土不服”,这时良好的售后服务会给IT人员减轻很大的“心理”负担。而且IT人员要多给软件公司一些信心,一些比较少见的问题要给予足够的时间进行解决,毕竟此类软件与系统底层接触的比较多,可能出现的问题也会比较多。
再次,购买前一定要进行一段时间的真实环境测试,一般的软件商都会提供试用版,一定要进行充分的试验,尤其是要注意,自己公司使用的工作软件是否全部与该公司软件兼容,如有个别不兼容,软件公司是否有能力进行相应的升级开发予以解决。
本文的案例企业在选择软件时也进行了长时间的测试,并且选择了一家研发实力较强、售后服务较好的企业,购买了该公司5.0版本的透明加密产品,期间虽然也出现过多次问题,但软件公司都及时解决了。
关键词:云环境 中小企业 会计信息安全
随着我国信息产业的飞速发展,越来越多的企业开展了与信息技术相关的变革,中小企业作为我国企业的重要组成部分也参与到信息化改革的进程中去。目前几乎所有的中小企业都面临着移动、互联社交和云环境三种改革。基于云环境开发的国内中小企业服务使用的会计信息化软件可以为企业带来极大的便利性,从某种程度上讲能有效地促进我国中小企业的信息化变革,但中小企业财务信息化的云环境开发同时也存在诸多信息安全方面的问题,值得我们去探析和研究。
一、会计云计算
所谓云指的就是后台网络,云是一种基于网络的运算方式,采取“云”方式可以实现共同拥有软件和硬件等资源和信息的目的,同时还可以根据需要向计算机和其他设备提供这些资源。云技术实现这种功能的主要技术手段是依据网络相关服务的增加以及使用、交付模式,云技术所提供的资源一般是动态易扩展且具有虚拟化特征的资源。云计算可以看作是后台计算,是网络和互联网的一种比喻说法。
当前,会计云计算主要有三种实现方式:一是基础设施级运算。它是以数据库和信息系统这些设备为基础进行的集成操作,基础设施服务的完善依靠的是消费者,通过互联网这一途径实现。二是平台级服务。平台级服务的平台指的是软件开发平台,将这一平台作为服务的一种形式。三是软件级应用。它以互联网为平台,供应商向客户提供软件,软件使用者不需要购买软件,而是通过租用软件的形式完成所需的功能。软件级应用是我国最常见的会计云计算方式。
二、会计云计算下中小企业信息化优势
与传统的信息化模式相比,中小企业信息化进程采用云技术一般具有两方面优势。
(一)降低了在会计管理以及信息化处理方面的费用
对于一些中小企业来说,信息化程度还不是很高,这些企业采用的服务器规模不大并且运行慢,整体质量低。企业需要在服务器维护上花费很多成本。企业信息化的领域比较局限,仅仅在财务、采购、销售等领域实现,以保障企业必要的信息化管理要求。云会计出现以后,对于中小企业来说,可以大大降低会计成本,中小企业不用背负服务器和信息处理软件等大投资的成本,而是可以通过租用供应商的硬件和软件,实现企业的信息化服务。中小企业减少了在信息化处理过程中需要投入的购买硬件和软件的投资,可以降低企业经营成本。不仅如此,对于服务器的维护以及软件的升级等都不需要企业来考虑,这一部分所花费的费用也就可以减少,综合可见,中小企业使用云会计服务后其信息化处理成本将会大大降低。
(二)保证了中小企业会计信息化的拓展需求
供应商为用户提供了最专业的信息处理软件,并且会不断为这些软件进行更新以提供更多功能,使得企业可以通过供应商获得最先进的管理技术,更加全面、深入地满足了企业对于信息处理的要求,并且还大大降低了中小企业在会计信息化进程中的风险。其次,云会计的实现是以云计算发展为前提的。中小企业可以在云空间内存储企业的财务信息,即使中小企业的规模扩大,财务信息不断增加也不用担心其安全性和存储空间的占用,另外,利用云会计技术,企业的财务信息等还可以同其他企业以及政府部门共享,发挥出中小企业在整个商业链中的作用,拓展企业会计信息的利用程度。随着云技术的不断发展,会计云计算会越来越多的用于企业的会计核算,而且云技术提供的会计信息可以共享到企业的各个领域,这大大提高了会计信息的使用价值。
三、会计云计算下中小企业的信息安全问题
从现实情况来看,云技术确实使得中小企业的信息化进程得以提升,但是同时也带来了不可避免的安全问题,因为存储在云端的企业财务信息不同于保留在企业内部的信息那样不容易被挪用,相反,在云端的信息由于其开放性以及传输的快速性很容易被调用,在企业进行会计运算时需要将大量企业信息上传到服务器,虽然云会计的服务提供商有严格的信息安全管理机制,但是在巨大的利益面前,这些信息的安全性势必会减弱。
(一)会计信息的存储安全及其问题
中小企业将企业的会计信息存储在云端非常的方便快捷,在中小企业需要这些会计信息时还可以很快地从服务器中把信息调用出来。但是,只要企业的信息传输到云端,其位置便不是固定的,而是被供应商分布存储。用户并不清楚会计的具体存储位置,而云会计的服务提供商如果擅自违法利用某些特殊的权限会给中小企业带来不良的后果,如果存储安全制度不完善,存储在云端的信息就很容易被盗走,势必造成很大的安全隐患。这就使得存储在云端的会计信息急需解决数据的完整性、机密性以及安全性等重要问题。保障会计信息安全的最常用的做法是采用数据加密的方式。为了确保会计信息的安全,必须采用可靠的会计信息数据加密算法,这必须考虑到算法的先进性以及经济性。但云会计技术的使用者在信息处理和加密等技术上并不熟悉,所以不能够独自完成加密工作,需要供应商提供服务支持,但云会计服务提供商面临的客户量十分巨大,这就需要为大量的用户提供各种加密算法,这大大增加了云会计服务商提供安全管理的难度。由于云会计服务提供商管理难度的加大,会导致人员配置的增多,再加上因特网的开放性,难免会出现一些新的问题。由于云会计服务提供商出于自身利益或者其他原因,有意或者无意地泄露了一些企业的机密信息,或者一些网络黑客侵入到服务器中,通过病毒或者其他的盗取软件从服务器中盗取到竞争对手的商业机密,这些都会对企业的经营造成严重的损失,使得企业的发展受制于人。
(二)会计信息的传输
传统会计信息技术管理下,企业在传输内部会计信息时,往往不需要对传输的数据进行加密,虽然有时也做一些必要的加密,但是总体来说十分安全,但是在云会计下,信息需要传输到网络,在传输过程中,更需要注意信息的安全问题,一是需要保证传输到云端的信息的完整性,防止信息丢失,二是需要保证信息的安全性,防止被盗走。在这种情况下,云服务供应商要研究开发和使用更加复杂的加密算法,还要特别注意防止企业的会计信息泄露给没有经过授权的用户,而企业也要根据需要在传输协议中加强对会计信息工作完整性的校验。会计信息的传输必须依赖于互联网,但信息传输的载体会不断的变化,近几年来手机、ipad等都成为信息传递的载体,这使得信息流动的载体的确认手段也必须丰富多样。而在云服务提供商进行数据交换时,有时竞争对手会截取竞争企业的会计信息,然后做一些手脚,信息在网络上传输也随时会留下痕迹和信息记录,黑客等技术人员就是利用这些蛛丝马迹来获取竞争对手的信息,正是由于这些情况的出现,使得应用云会计时的安全问题值得深思并找到解决之道。
(三)会计信息的使用
会计信息可以说是企业商业机密的集中地,一般只有企业的管理者以及财务人员才能接触到企业财务信息。这是因为在会计信息的使用环节若出现了重大问题,则会对企业产生致命的影响,甚至会导致企业的破产和倒闭。因此,云环境下,会计信息的安全防护非常重要,服务商必须做到万无一失,从而解决客户对系统安全性的担心。而云会计的服务提供商还要保证企业存放的会计信息的安全性并防止信息的泄漏,这些都是使用云会计服务提供商和中小企业亟待解决的问题。企业的财务人员并不具备使用财务信息处理系统的保密常识,并且其保密意识往往也很低,而相关的操作人员在工作中会出现人员和机器的分离,还有些企业出于方便用户的目的,将账号密码设置简化、操作权限设置不当等,导致会计信息在使用过程中存在重大安全风险。
由于会计的云计算模式,很多企业的信息储存在同一个位置的情况并不罕见,企业的会计信息具有核心机密性,绝大多数的中小企业都会担心会计信息的安全,而且出于防范意识更是会担心自己的机密信息被别人知道。在云会计系统中,从上传到存储再到提取会涉及到种种安全问题。这些安全问题如果想要解决,只能依靠供应商的不断壮大,其安全技术的不断提升以及所提供的软件的不断更新。一旦企业会计信息数据的动态调整成为常态,中小企业在选择云会计时必须考虑提供商如何保证企业数据迁移、传输的完整性以及准确性。
四、云计算下中小企业会计信息安全的策略选择
中小企业信息安全政策需要根据云环境的特点制定,从云技术本身、中小企业信息化管理以及云会计服务供应商三个角度入手。
(一)云技术本身
云技术本身就具有安全防范的功能,云技术可以对访问者的身份进行认证和管理,还要加强电子密钥的管理技术,对企业存放于云中的会计信息数据进行加密,并由企业掌握算法的密钥,有效防止服务商和未授权用户访问数据。还要利用虚拟机对信息安全进行保护,由各类服务商提供服务器,对黑客、恶意软件的入侵进行不间断地检测和防御,构建中小企业的虚拟化的安全网关。
(二)中小企业信息化管理
云会计服务提供商自身的技术水平会给中小企业会计信息安全带来风险以外,本企业的非授权员工在工作过程或多或少也会出现各种错误操作,这都会导致企业的会计信息安全受到威胁。企业在内部管理和内部控制过程中,必须要加强对员工在云会计系统中权限的管理,只有部门的核心领导才有权对云系统中每个账号的权限进行开通、变更以及删除。中小企业在与供应商达成安全协议时,要注意对于企业的账号密码等信息的审阅权利,供应商应该记录下公司每个账号的动用情况,并交给公司的管理者。这样可以保证权限不被滥用,避免了本企业的非授权员工泄露或破坏企业内部的会计信息。
想要解决云会计的信息安全问题,需要从多个方面着手,首先是硬件,比如服务器硬件和存储设备,然后是软件系统的安全,信息化安全管理系统的建立应该是每个企业根据自身特点而形成的,除了企业需要建立自身的安全管理系统外,云会计服务的提供商更应着重保护用户的信息安全。中小企业作为云会计技术的使用客户,在众多的信息安全问题中,绝大部分安全风险都是用户的风险防范意识差造成,必须加强用户的安全管理意识,这对于会计信息的安全保障是十分重要的。用户的安全管理包括用户的权限管理以及用户授权审批与控制的各个流程。企业内部不同岗位都应有不同的云会计操作权限以保证信息的安全,当该用户的岗位职责权限发生变化时,必须迅速调整权限。还有,企业的各个账户和密码都应该加以保护,尤其是对于企业的员工来说,一定要有很好的保密意识,这就需要企业进行培训,不泄漏密码给任何人。企业要按照用户安全管理的要求进行检查以及审核。企业必须根据会计信息的安全性规定,通过建立信息安全管理体系,规定好每个用户的操作权限,以及安全的操作流程,通过体系和制度对安全操作加以规定和约束。企业还要完善对各用户的会计信息系统以及操作行为的操作备忘,要详细记录使用会计信息系统的人员名单、操作时间、操作范围、操作功能、涉及的信息等内容。为防止用户的错误操作,中小企业的会计信息系统必须对用户的操作行为进行不间断的审计和监控,当会计信息出现安全风险和事故时追求法律责任的有效证据。
(三)云会计服务供应商
对于云会计服务的供应商必须做好信息系统的数据备份工作,备份可以增加一份,比如既要有一个日常的备份,还要增加一个异地的备份,一式两份可以保证当一份数据出现问题时可以调用另一份数据,不至于丢失重要的数据,从而导致损失。
定期地进行数据的恢复性测试非常重要,所以云技术服务供应商还要根据情况建立完善的数据恢复性测试制度,并需要书面记录其测试结果,通过测试减少应急状态下,处理突发事故的失误,增强数据的安全性,保证用户正常业务的有效进行。
会计信息的安全绝大程度上决定于会计信息系统的安全性,而会计信息的安全性又与会计信息系统的功能以及会计信息系统的可信性密切相关。从现实情况来看,单纯由供应商提供安全防护以及企业自身提高安全意识并不能满足对安全的需求,需要国家相关安全部门的介入,通过安全部门将各大供应商在安全防护方面的优势加以融合,从而提出更具有针对性的安全防护措施,通过各大系统联合对付安全漏洞来解决一些难以攻克的安全难题。
会计信息是组成会计信息系统的主要单位,这要求中小企业必须对云服务提供的会计信息有充足的信任,否则会计信息的安全性也就无从谈起。也就是说必须先增加客户对会计信息系统的信任程度,只有客户充分的信任云会计系统,其可靠性才会更高,客户的信任程度指的就是客户在应用供应商提供的云服务时对这一系统的主观感受,往往有很多因素决定了客户的使用感受,比如客户在使用软件时,软件所表现出的专业性、可靠性、可用性等等。而安全性、实时性、可维护性以及可用性这些都属于可信性的范围。
企业选择好供应商提供的信息处理系统之后,会查看这一系统所表现出的可信属性,如果这一系统可以实现企业需要实现的工作任务,那么其可信性就高,当客户定制完需要的功能,供应商提供了相应的系统时,需要对这一系统进行可行性的评估,以保证系统的可信性达标。
综上可以看出,信息技术的发展是二十一世纪最伟大的进步,它影响到了生活的方方面面,作为时展的一大趋势,企业以及服务供应商和国家相关部门必须联合起来,为了保障整个经济社会的信息安全而共同努力,保证企业能够在安全的信息环境中持续、稳定经营发展。Z
参考文献:
1.程平,何雪峰.“云会计”在中小企业会计信息化中的应用[J].重庆理工大学学报(社会科学),2011(25):55-60.
2.Michael Miller.云计算为财务协作[J].北京:中国计算机用户,2009,(12):52-53.
3.李莉,廖剑伟,欧灵.云计算初探[J].成都:计算机应用研究,2010,27(12).
作者简介:
