欢迎访问发表云网!为您提供杂志订阅、期刊投稿咨询服务!
首页 学术期刊 科普杂志 SCI杂志 经营许可 购物车(0)
发表咨询 400-808-1731
订阅咨询 400-808-1751
首页 精选范文 小企业信息安全

小企业信息安全大全11篇

时间:2023-10-05 10:18:13

小企业信息安全

小企业信息安全篇(1)

关键词:信息化 信息安全 网络安全

根据国家统计局年初公布的数字显示,国内企业总体的99%都是中小企业,他们贡献了超过一半的国内GDP。但截止到目前,这些中小企业的信息化水平仍然比较落后,其中针对信息安全的投人,更是凤毛麟角。

对于国内占大多数的中小企业来说,如何在充分利用信息化优势的同时,更好地保护自身的信息资产,已经成为一个严峻的挑战。特别是近两年来,网络上的病毒、攻击事件频发,信息安全问题正在日益成为中小企业信息化进程中的难题。

一、什么是信息安全

信息是一种资产,与其它重要的资产一样,它对一个组织而言具有一定的价值,因此需要适当的加以保护,而信息又可以以多种形式存在。如可以打印或者写在纸上,以数字化的方式存储,通过邮局邮寄或电子手段发送,表现在胶片上或以谈话的方式说出来。总之,信息无论以什么形式存在,以什么方式存储、传输或共享,都应得到恰当的保护。

所谓信息安全是指信息具有如下特征:

安全性:确保信息仅可让授权获取的人士访问;完整性:保护信息和处理方法的准确和完善;可用性:确保授权人需要时可以获取信息和相应的资产。

信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。它主要涉及到信息传输的安全、信息存储的安全、以及网络传输信息内容的审计三个方面,它可以通过实施一整套恰当的措施来获得。但目前我国的信息安全令人堪忧,随着政府上网和企业信息化的推进,越来越多的企业的日常业务已经无法脱离网络和信息技术的支持,那么我国中小企业的信息安全现状如何呢?

二、我国企业信息安全的现状

(一)企业的重视程度

随着信息化的加快,企业信息安全越来越受到重视,而我国的中小企业信息安全现阶段正处于初级阶段。在推进企业信息化的进程中,有些中小企业对于信息化概念的认识远远不够,它们认为购置几台电脑放到公司,日常用来打打字,将单个机器连结到网上企业就信息化了,远远没有认识到信息技术给企业所能带来的巨大的变化,对于网络安全更是没有意识。

据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标。如此态度,网络安全更是无从谈起。

(二)资金、技术、人员方面情况

已建立了企业内部信息化平台的企业,由于资金、技术等方面的原因,还没有把重点放到网络安全管理上,尤其是中小企业的安全问题一直隐患重重。

据了解,许多中小企业没有专门的网络管理员,一般采用兼职管理方式,这使中小企业的网络管理在安全性方面存在严重的漏洞,与大型企业相比,它们更容易受到网络病毒的侵害,损失也比较严重。

根据IDC对2005年我国政府、企业用户的信息安全状况分析,约有34.8%的企业因内部雇员的行为(包括对内部资源的不合理使用和对内部数据缺乏有效保护)而造成企业出现安全问题。

(三)网络维护、运行、升级方面的情况

在网络的维护、运行、升级等事务性工作方面,由于工作繁重而且成本较高,一些善于精打细算的中小企业在防范黑客及病毒方面舍不得投入,据相关调查数据资料统计,国内七成以上的中小企业,一是缺乏基本的企业防毒知识,购买一些单机版防毒产品来防护整个企业网络的安全。二是采购了并不适合自身网络系统的企业防毒产品,因此留下许多安全隐患。三是技术力量薄弱,虽然部署了企业防毒产品,但是这些产品操作难度大、使用复杂,最终导致很难全面发挥效用,甚至成了摆设,这样一来企业内部网络就根本没有什么安全而言。

三、如何保证我国中小企业的信息安全

(一)从企业的自身情况考虑

要解决中小企业网络信息安全问题,不能仅依靠企业的安全设施和网络安全产品,而应该考虑如何提高企业自身的网络安全意识,将信息安全问题提升到重视的高度,要重视“人”的因素。具体表现在以下两个方面:

1.提高安全认识

定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识,企业管理层要制定完整的信息安全策略并贯彻执行,对安全问题要做到预先考虑和防备。

2.要求中小企业在上网的过程中要做到“一做三不要”

(1)将存有重要数据的电脑坚决同网络隔离,同时设置开机密码,并将软驱、硬盘加密锁定,进行三级保护。

(2)不要在自己的系统之内使用任何具有记忆命令的程序,因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。

(3)不在网上的任何场合下随意透露自己企业的任何安全信息。

(4)不要启动系统资源共享功能,最后要尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会。

(二)从网络安全角度考虑

1.从网络安全服务商的角度来说,服务商要重视中小企业对网络安全解决方案的需要,充分考虑中小企业的现实状况,仔细调查和分析中小企业的安全因素,开发出适合中小企业实际情况的网络安全综合解决方案。此外,还应该注意投入大量精力在安全策略的施行及安全教育的开展方面,这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。

2.要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级,对应的防火墙软件也应该及时跟着升级,这样就要求我们企业的网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,才能做到有备无患。

3.企业用户最好自己学会如何调试和管理自己的局域网系统,不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力,提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。

小企业信息安全篇(2)

    在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。

    一、中小企业的信息化建设意义

    在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,百分之八十二的中小企业对网站的应还处于宣传企业形象,产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来,企业应该加快信息化的建设。

    二、电子信息安全技术阐述

    1、电子信息中的加密技术

    加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。

    加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。

    2、防火墙技术

    随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。

    3、认证技术

    消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。

    三、中小企业中电子信息的主要安全要素

    1、信息的机密性

    在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。

    2、信息的有效性

    随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。

    3、信息的完整性

    企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。

    四、解决中小企业中电子信息安全问题的策略

    1、构建中小企业电子信息安全管理体制

    解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。

    2、利用企业的网络条件来提供信息安全服务

    很多企业的多个二级单位都在系统内通过广域网被联通, 局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。

    3、定期对安全防护软件系统进行评估、改进

    随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。

    总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。

    参考文献:

    [1]温正卫;信息安全技术在电子政务系统中的应用[J];软件导刊,2010

小企业信息安全篇(3)

    在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。

    一、中小企业的信息化建设意义

    在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,百分之八十二的中小企业对网站的应还处于宣传企业形象,产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来,企业应该加快信息化的建设。

    二、电子信息安全技术阐述

    1、电子信息中的加密技术

    加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。

    加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。

    2、防火墙技术

    随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。

    3、认证技术

    消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。

    三、中小企业中电子信息的主要安全要素

    1、信息的机密性

    在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。

    2、信息的有效性

    随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。

    3、信息的完整性

    企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。

    四、解决中小企业中电子信息安全问题的策略

    1、构建中小企业电子信息安全管理体制

    解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。

    2、利用企业的网络条件来提供信息安全服务

    很多企业的多个二级单位都在系统内通过广域网被联通, 局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。

    3、定期对安全防护软件系统进行评估、改进

    随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。

    总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。

    参考文献:

    [1]温正卫;信息安全技术在电子政务系统中的应用[J];软件导刊,2010

小企业信息安全篇(4)

根据国家统计局年初公布的数字显示,国内企业总体的99%都是中小企业,他们贡献了超过一半的国内GDP。但截止到目前,这些中小企业的信息化水平仍然比较落后,其中针对信息安全的投人,更是凤毛麟角。

对于国内占大多数的中小企业来说,如何在充分利用信息化优势的同时,更好地保护自身的信息资产,已经成为一个严峻的挑战。特别是近两年来,网络上的病毒、攻击事件频发,信息安全问题正在日益成为中小企业信息化进程中的难题。

一、什么是信息安全

信息是一种资产,与其它重要的资产一样,它对一个组织而言具有一定的价值,因此需要适当的加以保护,而信息又可以以多种形式存在。如可以打印或者写在纸上,以数字化的方式存储,通过邮局邮寄或电子手段发送,表现在胶片上或以谈话的方式说出来。总之,信息无论以什么形式存在,以什么方式存储、传输或共享,都应得到恰当的保护。

所谓信息安全是指信息具有如下特征:

安全性:确保信息仅可让授权获取的人士访问;完整性:保护信息和处理方法的准确和完善;可用性:确保授权人需要时可以获取信息和相应的资产。

信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。它主要涉及到信息传输的安全、信息存储的安全、以及网络传输信息内容的审计三个方面,它可以通过实施一整套恰当的措施来获得。但目前我国的信息安全令人堪忧,随着政府上网和企业信息化的推进,越来越多的企业的日常业务已经无法脱离网络和信息技术的支持,那么我国中小企业的信息安全现状如何呢?

二、我国企业信息安全的现状

(一)企业的重视程度

随着信息化的加快,企业信息安全越来越受到重视,而我国的中小企业信息安全现阶段正处于初级阶段。在推进企业信息化的进程中,有些中小企业对于信息化概念的认识远远不够,它们认为购置几台电脑放到公司,日常用来打打字,将单个机器连结到网上企业就信息化了,远远没有认识到信息技术给企业所能带来的巨大的变化,对于网络安全更是没有意识。

据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标。如此态度,网络安全更是无从谈起。

(二)资金、技术、人员方面情况

已建立了企业内部信息化平台的企业,由于资金、技术等方面的原因,还没有把重点放到网络安全管理上,尤其是中小企业的安全问题一直隐患重重。

据了解,许多中小企业没有专门的网络管理员,一般采用兼职管理方式,这使中小企业的网络管理在安全性方面存在严重的漏洞,与大型企业相比,它们更容易受到网络病毒的侵害,损失也比较严重。

根据IDC对年我国政府、企业用户的信息安全状况分析,约有34.8%的企业因内部雇员的行为(包括对内部资源的不合理使用和对内部数据缺乏有效保护)而造成企业出现安全问题。

(三)网络维护、运行、升级方面的情况

在网络的维护、运行、升级等事务性工作方面,由于工作繁重而且成本较高,一些善于精打细算的中小企业在防范黑客及病毒方面舍不得投入,据相关调查数据资料统计,国内七成以上的中小企业,一是缺乏基本的企业防毒知识,购买一些单机版防毒产品来防护整个企业网络的安全。二是采购了并不适合自身网络系统的企业防毒产品,因此留下许多安全隐患。三是技术力量薄弱,虽然部署了企业防毒产品,但是这些产品操作难度大、使用复杂,最终导致很难全面发挥效用,甚至成了摆设,这样一来企业内部网络就根本没有什么安全而言。

三、如何保证我国中小企业的信息安全

(一)从企业的自身情况考虑

要解决中小企业网络信息安全问题,不能仅依靠企业的安全设施和网络安全产品,而应该考虑如何提高企业自身的网络安全意识,将信息安全问题提升到重视的高度,要重视“人”的因素。具体表现在以下两个方面:

1.提高安全认识

定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识,企业管理层要制定完整的信息安全策略并贯彻执行,对安全问题要做到预先考虑和防备。

2.要求中小企业在上网的过程中要做到“一做三不要”

(1)将存有重要数据的电脑坚决同网络隔离,同时设置开机密码,并将软驱、硬盘加密锁定,进行三级保护。

(2)不要在自己的系统之内使用任何具有记忆命令的程序,因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。

(3)不在网上的任何场合下随意透露自己企业的任何安全信息。

(4)不要启动系统资源共享功能,最后要尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会。

(二)从网络安全角度考虑

1.从网络安全服务商的角度来说,服务商要重视中小企业对网络安全解决方案的需要,充分考虑中小企业的现实状况,仔细调查和分析中小企业的安全因素,开发出适合中小企业实际情况的网络安全综合解决方案。此外,还应该注意投入大量精力在安全策略的施行及安全教育的开展方面,这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。

2.要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级,对应的防火墙软件也应该及时跟着升级,这样就要求我们企业的网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,才能做到有备无患。

3.企业用户最好自己学会如何调试和管理自己的局域网系统,不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力,提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。

4.内部网络系统的密码要定期修改。

由于许多黑客利用穷举法来破解密码,像John这一类的密码破解程序可从因特网上免费下载,只要加上一个足够大的字典在足够快的机器上没日没夜地运行,就可以获得需要的账号及密码,因此,经常修改密码对付这种盗用就显得十分奏效。当然,设定密码也有很深的学问,只有随意性强、有足够的长度并及时更新的密码才能算是比较安全的密码。

5.要经常使用杀毒软件来维护局域网系统不受病毒攻击。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能,可以不定期地在脱机的情况下进行检查和清除。另外,有的杀毒软件还提供网络实时监控功能,这一功能可以在黑客从远端执行用户机器上的文件时,提供报警或让执行失败,使黑客向用户机器上载可执行文件后无法正确执行,从而避免了进一步的损失。

6.同其它企业进行联合,共同抵制黑客的入侵,一旦被入侵要及时向有关部门汇报,并共同查找入侵来源,锁定黑客IP地址。将网络的TCP起时限制在15分钟以内,减少黑客入侵的机会。并扩大连接表,增加黑客填写整个连接表的难度。

小企业信息安全篇(5)

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 043

[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2015)21- 0090- 02

信息安全风险评估是以风险管理为基础,通过科学的方法和手段,对企业信息系统所面临的威胁与存在的脆弱性进行全面分析,以安全事故对企业生产经营有可能带来的危害展开评估,进而制定出有效的防御及整改措施[1]。信息安全风险评估在企业信息安全保障体系中占据着十分重要的地位,其不但是重要的评价方法,同时也是利于企业决策的有效机制。如果缺乏准确及时的风险评估,便不能准确的判断出企业所存在的信息安全问题,因此加强企业信息安全风险评估,对每一个中小企业来说,都意义重大。

1 中小企业信息安全评估方法

为了进一步评估信息系统的安全风险,多种风险评估方法被开发出来并在企业中得以运用。定性评估法,定量评估法以及半定量评估法是目前较为常用的几种方法。风险评估中的定量评估方法,主要是结合企业特点,根据评估内容和评估流程,从众多的信息系统、人员和设备中,利用分类分别计算比例的方法,对评估对象合理选定,并进行数量采样[2]。并在此基础上,分析企业信息系统中资产价值、威胁性以及脆弱性三者之间存在的函数关系,从而根据企业实际情况选取恰当的风险计算方法,合理计算出企业信息安全风险评估数值。本文认为定量方法对当前的中小企业来说更具实用价值,主要可从风险计算方法、威胁可能性量化赋值方法着手。

1.1 风险计算方法

后果(Consequence)及可能性(Likelihood)是风险具有的两个基本属性。风险对信息系统的影响,说到底也是这两个因素所造成的。资产的不同自然也使其面临的主要威胁存在差异。而随着威胁可以利用的、资产存在的弱点数量的增加会增加风险的可能性,随着弱点严重级别的提高会增加一该资产面临风险的后果。通常来说, 某项资产风险的可能性为资产脆弱性与存在威胁的可能性的函数,同时风险后果则为资产价值(影响)的函数。本论文采用如下算式来得到资产的风险赋值:

风险值=资产价值×威胁可能性×资产脆弱性

上述公式主要考虑到各参数采取的取值并不十分精确,因而加入了以往的经验和判断,在国际中对此类数据则通常采用数学乘法或矩阵等方法。而采用线性相乘,则主要是为了方便进行计算。企业实施风险分析可以从风险信息和数据,进行不同程度的改进。并根据计算出的风险值的数值范围,确定相应的风险等级。风险数值与风险等级对应的关系见表1。

1.2 脆弱性量化赋值方法

脆弱性和威胁所存在的对应关系,应在评估时充分考虑到,要知道相对应的脆弱性是威胁起作用的基本因素,因此脆弱性与威胁基本上是通过一一对应的形式呈现出来的。对脆弱性大小的评定需要结合评估采集的调研结果、安全漏洞扫描结果以及人工安全检查结果。参照国际通行做法和专家经验,将资产存在的脆弱性分为5个等级,分别是很高(VH)、高(H)、中(M)、低(L)、可忽略(N),并且从高到低分别赋值5-1,具体参照表2。

威胁可能性属性非常难以度量.它依赖于具体的资产、弱点。并且这两个属性都和时间有关系。在威胁评估过程中,评估者的专家经验非常重要。

2 结 语

目前,信息系统已经被广泛运用到中小企业的日常管理工作中,对其的重视程度也越来越高。对中小企业来说,定期进行信息安全风险评估是信息安全工作得以顺利实施的有效保障,通过有效的信息安全风险评估方法则是科学合理地开展信息安全风险评估的前提条件。因此,新形势下中小企业的信息安全风险评估工作必须要做到与时俱进,不断创新,从而以适应快速发展的社会需求。

小企业信息安全篇(6)

(Shuangluan District Human Resources and Social Security Bureau of Chengde,Hebei Province,Chengde 067101,China)

摘要: 随着计算技术的发展,网络技术的普遍应用,保护商业机密、个人隐私、敏感数据等越显重要。尤其是中小企事业单位由于资金有限,资源不多,各种信息数据时时受到内部的以及外部的威胁。数据信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。本文将对中小企事业单位的数据信息安全问题进行分析,提出相应的安全策略和技术防范措施。

Abstract: With the development of computing technology and widespread application of network technology, the protection of commercial secrets, personal privacy and sensitive data and so on becomes more important. Especially for small and medium-sized enterprises, due to the limited funding and resources, the information data is constantly threatened by internal and external factors. The essence of the data information security is to protect information systems or information in the network information resources from various types of threats, interference and damage, namely guarantee information security. This article analyzes the data information security problems of small and medium-sized enterprises and institutions, and puts forward the corresponding security strategy and technical measures.

关键词 : 数据信息;安全策略;企事业单位

Key words: data information;security policy;enterprises and institutions

中图分类号:TP311.5文献标识码:A文章编号:1006-4311(2015)25-0055-02

作者简介:李晓宾(1979-),男,河北承德人,科员,助理工程师,研究方向为电子信息。

0 引言

Internet为人类社会创造了一个全新的信息空间,随着计算机网络技术的日益成熟,计算机网络在社会上的应用也急剧增多,中小企事业单位越来越多的采用计算机网络技术来进行办公。但是在此过程中,由于中小企事业单位对网络安全问题不够重视以及工作人员的操作不规范等问题,使中小企事业单位的网络安全受到极大的威胁。随着数字化经济的到来,网络系统的不断扩大,信息的快速获取,数据的安全性、可用性变得越来越重要。

1 计算机网络数据安全问题概述

随着网络技术的迅猛发展,各行各业逐步跨入信息时代大平台,这一方面为信息储存、行业推广提供了极大便利,而另一方面也催化了网络信息安全隐患的不断滋长,频频爆出网络用户信息泄漏事件。目前网络已成为中小企事业单位重要的工作手段之一,网络信息泄密使企业面临严重的安全威胁,并且已经有企业为此承担了巨大的经济损失。加强网络信息安全管理已刻不容缓。

2 企事业单位计算机数据安全面临的威胁

①中小企事业单位由于网络管理上的缺失,没有形成统一的网络安全管理制度或者责任分工不明确,不能及时发现计算机网络系统中出现的安全漏洞,造成数据损毁丢失或被黑客篡改。

②U盘、移动硬盘等外来数据与中小企事业单位内部的计算机端口进行非法的连接,造成网络系统感染病毒或者直接瘫痪,对中小企事业单位的内部信息安全够成威胁。

③中小企事业单位对计算机网络终端缺乏有效的监控,当计算机系统出现安全威胁时,无法通过监控系统及时锁定故障点,也无法统一管理计算机网络所配置的应用软件。

④由于单位员工的计算机网络技术水平存在较大差异,大部分员工不能熟练掌握计算机网络的应用技术,经常出现由于工作人员的操作不当,造成数据的删除或者损坏。因没有设置或及时更改计算机网络的使用权限,增加了网络入侵的危险。

3 计算机网络数据信息安全策略与技术防范措施

基于上述安全隐患,而计算机网络在中小企事业单位中的应用又势在必行的现实趋势,中小企事业单位应该针对计算机网络信息制定配套的安全管理策略,切实加强信息安全管理,并且针对安全威胁采取相应的技术防范措施,见表1。

RAID 0追求速度,至少需要2块硬盘,总容量相当于多块硬盘加起来,不过这种方案安全性欠缺,一块硬盘出现问题,数据全毁。RAID 1追求安全,磁盘2是磁盘1的备份,缺点是容量损失,速度与单块硬盘相同。RAID 0+1或RAID 1+0兼顾速度与安全,应用较多。RAID 5相对来说速度较快,安全性较高,应用也比较普遍。

4 典型案例分析

2010年,张建在杭州某电商企业中负责品牌运营和推广工作。在工作中结识了前支付宝员工李明,双方产生了“生意”上的来往。在一次合作中,李明用3万条目标消费者信息来抵付欠张建的500元人民币酬劳。这3万条目标消费者信息中包括公民个人的实名、手机、电子邮箱、家庭住址、消费记录等,张建通过这些定位精准的用户信息进一步筛选出精准的目标消费群体。李明时任支付宝技术员工,其利用工作之便,多次从支付宝后台下载用户信息。据其对警方的供述,其下载的信息的大小容量在20G以上。李明下载用户信息后,伙同两位系统外的IT业者,共同将用户数据加以分析、提炼,并兜售给目标客户。

此案暴露了支付宝公司信息安全管理上的漏洞,如果内部监管得力,及时发现问题,就可制止犯罪行为。如果权限设置得当,他没有相应的权限,就接触不到或者不会轻易得到如此多的隐私数据,就不会发生这类事件了。

5 数据信息安全的目标及要达到的效果

信息安全通常强调CIA三元组的目标,即保密性、完整性和可用性。CIA 的概念阐述源自信息技术安全评估标准(ITSEC,即 Information Technology Security Evaluation Criteria),它也是信息安全的基本要素和安全建设所应遵循的基本原则。

中小企事业单位的目标是在有限的投入中,获得尽可能最大的安全性。防火墙是必须的,既要防病毒又要防黑客;物理隔离网络是必要的,只有这样才能保护专网的数据信息安全;建立完整的备份策略是必然的,防患于未然;内部的监管也是非常重要的,消灭一切威胁到数据信息安全的行为。

6 结论

随着计算机网络技术的发展,中小企事业单位对于计算机网络的应用将越来越广泛,建立健全各种安全制度,增强网络数据信息的安全性刻不容缓。在产业融合的态势下,应该尽量保证数据信息的准确性,完整性,保密性,避免由于网络数据信息丢失、损毁、泄密等给中小企事业单位带来的损失。同时,政府也应该遵循互联网发展的规律,秉承开放、包容、创新、分享的理念,加快建立完善和互联网工作发展相适应的监管制度,修订完善法律法规,不断优化监管思路,创新监管手段,规范市场秩序,着力打造党政部门、互联网企业、科研机构、行业组织,以至普通的网民广泛参与合作等多元监管格局,为互联网潜能的充分释放营造公平、公正、合法、合规的外部环境。

参考文献:

[1]潘柱廷.高端信息安全与大数据[J].信息安全与通信保密,2012(12).

[2]维克托·迈尔·舍恩伯格,周涛.大数据时代:生活、工作与思维的大变革[J].人力资源管理,2013(03).

[3]刘庆宇.浅析计算机网络的安全策略与技术防范对策[J].数字技术与应用,2013(10):207.

小企业信息安全篇(7)

云计算从开始出现到现在经历了五个阶段,这五个阶段都是在慢慢的完善云计算,使它更加能适应社会发展需求。它的工作原理就是服务商在一个资源池里提供IT资源,然后用户再通过互联网来在资源池里找到自己所需要的服务。云计算服务系统主要靠三层架构,它们分别是IaaS、PaaS、SaaS,也就是基础设施即服务、平台即服务、软件即服务。这三者之间相辅相成,紧密相连。

1.2会计云计算的优势

(1)降低了中小型企业信息化的成本。

在中小型企业中有些企业的信息化程度不高,他们所采用的服务器规模也不是很大,但是运行却很慢,整体的质量也不是很高。企业的信息化领域不是很大,它有一定的局限性,只是在财务、销售等领域来运行,这样来保障企业的信息化管理。随着会计云计算的出现,企业再也不用对服务器和信息处理进行较大的投资,可以通过向供应商租赁软件和硬件来实现企业的信息化,这样就会降低企业的经营成本。还有就是以前企业对于维护服务器和升级软件也要投入一定的资金,但现在有了云计算之后,这一部分的开支就可以省下来了。整个下来就降低了企业对信息化处理的成本了。

(2)中小型企业会计信息化拓展得到了保障。

既然供应商为企业提供了最适应于企业的信息处理软件,供应商就会不断的更新这些软件,使得软件能够提供更多、更优质的服务。对于企业来说,通过软件的更新获得最先进的信息管理技术,最大程度上自身对信息的需求,并且也降低了会计信息化建设当中的风险。利用会计云计算技术还可以与其他相关的部门或者是企业共享财务信息,会计信息也得到了扩展。

2.云环境下的信息安全

2.1设置访问认证

供应商为企业提供的软件服务基本上都是统一认证的,这对企业来说就是不安全的,所以服务商应该将中小型企业的部门人员进行信息和登录信息的编组,并且存储在服务商的内部资料当中,这样就形成了该企业的访客信息数据库,当有用户登陆的时候服务商就对访客进行信息核对并进行认证,通过的访客就可以查看对应于自己权限的财务情况。

2.2数据安全传送

现如今数据的传输过程不是不安全的,一些黑客通过网络窃取所需要的企业财务信息或者是商业信息,有些还会篡改财务数据等等,中小型企业应该把云端的SQL数据库进行加密,或者是开辟一条专用的网络传输通道,前者可以使得被盗信息在读取的时候不够完整,后者可以使信息在传输的过程中丢失的几率降低。

2.3保持网络稳定

会计的核算是连续性的,这样就要保证网络传输的速度和质量。云服务器以及数据库中的数据在传输当中不能出现拥堵或者是丢包的现象,丢包就会使得数据不完整,影响到企业的整个财务链。在此同时还要对断电事故有应急预案。

2.4保证商业秘密的安全

一个企业的商业秘密被泄漏,会对这个企业造成不同程度的损害。一旦云端数据中心存储的核心财务数据被泄露或盗取,就会牵连到中小型企业的发展,有些甚至会对其生存产生巨大的影响。因此,中小型企业要有效的降低这种风险,保留一部分级别高的数据掌握在自身手里。与此同时还应该建立动态商业机密监控机制,规范访问流程,建立起应对泄密事件发生时的反应机制。

小企业信息安全篇(8)

信息安全主要指的是在网络中承担信息存储的硬件或者软件能够在受到外界认为破坏、修改的情况下长期稳定地运行,保证整个系统的信息服务不中断。在当前网络高度发达的今天,良好稳定的信息安全体系是保障我国企业信息安全的重要保障,企业中的信息安全包含了计算机操作系统、网络传输协议、安全防护等级以及各类认证和签名等安全保障组件,如下图所示:

图1 中小企业信息安全结构

在整个安全体系中,一旦有某一个组件发生了信息安全问题,那么整个信息安全系统乃至整个企业的信息安全都有可能受到安全威胁。

一、我国中小企业信息安全存在的问题

1.信息安全风险大

当前我国的中小企业普遍已经开始认识到信息安全的重要性,但是在思想上还没有对企业的信息安全管理形成足够重要的认识,当前我国的多数中小企业管理人员在日常的工作中仍然沿袭传统的管理方式,并没有进行变革和创新,因此在信息化普遍应用的今天,仍然是一种信息化的表面现象,在信息安全意识没有深入根植的今天,多数的中小企业信息安全工作只是停留在表面。

2.专业人才缺乏

我国的中小企业在信息安全方面的人才一般都比较缺乏,信息安全工作的不重视使得企业管理人员不愿意花过多的资金在安全保障上,毕竟安全不能够直接产生经济效益,因此在这样的情况下,企业的信息化工作很难得到发展,主要体现在没有专业化的信息安全保障团队,即使有了专门的工作人员,也不能够在技术上达到足够专业的程度,管理人员和技术人员互相都不能够沟通和兼顾,

3.安全资金不足

在信息安全方面,由于我国的中小企业管理者普遍不够重视,因此也就很难投入大量的资金,信息化工作是一项注重系统化的工作,无论是硬件系统还是软件系统的建设维护都需要大量的资金投入,因此离开了足够的资金支持信息安全工作也就无法保证。加上我国中小企业普遍竞争激烈,用于安全的资金十分有限,依靠外部融资的话又没有足够的信用进行借贷,加上借贷的风险也十分庞大,大多数的银行或金融机构都不愿意将资金用在信息安全上。

二、我国中小企业信息安全问题的解决对策

1.强化安全风险意识

我国的中小企业,首先就需要从思想上认识到安全也是重要工作这样一种思想,只有了解以后才能够根据当前的问题进行针对性解决。信息安全系统的建设并不是所有的安全工作都到位,还需要根据企业的实际情况建立合适的安全策略,并在意识上强化工作人员的安全防范思想,将安全摆在重要的位置上,也就是说企业的信息安全工作需要企业管理人员的大力支持,还需要适合企业自身的安全防范方案,只有在管理层思想上和执行层的行动上同时做到位,企业的整体信息安全工作才能够真正有效保障企业的安全。

2.建设合理安全策略

在安全策略的选择上,无论企业选择了哪一种方案,企业的用户都要了解安全解决方案只能够是企业信息安全工作的一部分,甚至只是基础性的工作,企业不能够过度依赖安全工具的使用,而疏于防范人的因素,这是由于当前的安全事件统计来看,我国的中小企业在信息安全问题上出现最多的就是人为的安全事件,因此企业的管理者必须要针对内部控制建立有效的内部安全策略,保证企业的每一个员工都能够准确执行自身的工作任务。

值得注意的是,近些年来企业的网络信息交流工具越来越多例如Skype、BT等等,怎样对这些数据传输工具进行管理对于信息安全工作来说是十分重要的,虽然这些信息安全管理会在一定程度上影响到企业的网络质量,但是这些都是目前中小企业无法摆脱的应用工具,因此针对这样的现象我国的中小企业需要进行细分化的处理方式,例如让企业用户使用带有IPS的协议分析过滤功能的交换机,在一定安全限制的条件下进行网络数据传输应用。

3.信息安全外包建设

许多中小企业在自身信息安全建设的过程中,由于经验不足或者专业知识的缺乏无法独立完成建设,因此会在建设过程中带来大量资金的浪费,还有软硬件的升级上也需要后期的大量资金投入,加上建设工作需要消耗大量的人力资源,信息中心的网络维护工作和安全管理人员,这些都是不可避免地投入。

三、总结

总的来说,当前我国中小企业的信息安全建设工作主要集中在自身安全策略以及解决方案上,目前随着时间的发展,中小企业的信息安全漏洞会越来越多,问题也会越来越加剧,但是我国的中小企业已经正在开始意识到该问题,将越来越多的资金投入在信息安全建设上,并通过外包的方式使用性价比较高的解决方案,只有用专业的信息安全建设在自身的管理运营中,中小企业才能够真正在市场竞争中处于优势地位。

参考文献:

[1]林山.中小企业信息安全问题及解决方案[D].重庆大学,2007.

[2]佚名.中小企业您的信息安全吗?[J].网络与信息,2002,(1).

小企业信息安全篇(9)

随着我国信息产业的飞速发展,越来越多的企业开展了与信息技术相关的变革,中小企业作为我国企业的重要组成部分也参与到信息化改革的进程中去。目前几乎所有的中小企业都面临着移动、互联社交和云环境三种改革。基于云环境开发的国内中小企业服务使用的会计信息化软件可以为企业带来极大的便利性,从某种程度上讲能有效地促进我国中小企业的信息化变革,但中小企业财务信息化的云环境开发同时也存在诸多信息安全方面的问题,值得我们去探析和研究。

一、会计云计算

所谓云指的就是后台网络,云是一种基于网络的运算方式,采取“云”方式可以实现共同拥有软件和硬件等资源和信息的目的,同时还可以根据需要向计算机和其他设备提供这些资源。云技术实现这种功能的主要技术手段是依据网络相关服务的增加以及使用、交付模式,云技术所提供的资源一般是动态易扩展且具有虚拟化特征的资源。云计算可以看作是后台计算,是网络和互联网的一种比喻说法。

当前,会计云计算主要有三种实现方式:一是基础设施级运算。它是以数据库和信息系统这些设备为基础进行的集成操作,基础设施服务的完善依靠的是消费者,通过互联网这一途径实现。二是平台级服务。平台级服务的平台指的是软件开发平台,将这一平台作为服务的一种形式。三是软件级应用。它以互联网为平台,供应商向客户提供软件,软件使用者不需要购买软件,而是通过租用软件的形式完成所需的功能。软件级应用是我国最常见的会计云计算方式。

二、会计云计算下中小企业信息化优势

与传统的信息化模式相比,中小企业信息化进程采用云技术一般具有两方面优势。

(一)降低了在会计管理以及信息化处理方面的费用

对于一些中小企业来说,信息化程度还不是很高,这些企业采用的服务器规模不大并且运行慢,整体质量低。企业需要在服务器维护上花费很多成本。企业信息化的领域比较局限,仅仅在财务、采购、销售等领域实现,以保障企业必要的信息化管理要求。云会计出现以后,对于中小企业来说,可以大大降低会计成本,中小企业不用背负服务器和信息处理软件等大投资的成本,而是可以通过租用供应商的硬件和软件,实现企业的信息化服务。中小企业减少了在信息化处理过程中需要投入的购买硬件和软件的投资,可以降低企业经营成本。不仅如此,对于服务器的维护以及软件的升级等都不需要企业来考虑,这一部分所花费的费用也就可以减少,综合可见,中小企业使用云会计服务后其信息化处理成本将会大大降低。

(二)保证了中小企业会计信息化的拓展需求

供应商为用户提供了最专业的信息处理软件,并且会不断为这些软件进行更新以提供更多功能,使得企业可以通过供应商获得最先进的管理技术,更加全面、深入地满足了企业对于信息处理的要求,并且还大大降低了中小企业在会计信息化进程中的风险。其次,云会计的实现是以云计算发展为前提的。中小企业可以在云空间内存储企业的财务信息,即使中小企业的规模扩大,财务信息不断增加也不用担心其安全性和存储空间的占用,另外,利用云会计技术,企业的财务信息等还可以同其他企业以及政府部门共享,发挥出中小企业在整个商业链中的作用,拓展企业会计信息的利用程度。随着云技术的不断发展,会计云计算会越来越多的用于企业的会计核算,而且云技术提供的会计信息可以共享到企业的各个领域,这大大提高了会计信息的使用价值。

三、会计云计算下中小企业的信息安全问题

从现实情况来看,云技术确实使得中小企业的信息化进程得以提升,但是同时也带来了不可避免的安全问题,因为存储在云端的企业财务信息不同于保留在企业内部的信息那样不容易被挪用,相反,在云端的信息由于其开放性以及传输的快速性很容易被调用,在企业进行会计运算时需要将大量企业信息上传到服务器,虽然云会计的服务提供商有严格的信息安全管理机制,但是在巨大的利益面前,这些信息的安全性势必会减弱。

(一)会计信息的存储安全及其问题

中小企业将企业的会计信息存储在云端非常的方便快捷,在中小企业需要这些会计信息时还可以很快地从服务器中把信息调用出来。但是,只要企业的信息传输到云端,其位置便不是固定的,而是被供应商分布存储。用户并不清楚会计的具体存储位置,而云会计的服务提供商如果擅自违法利用某些特殊的权限会给中小企业带来不良的后果,如果存储安全制度不完善,存储在云端的信息就很容易被盗走,势必造成很大的安全隐患。这就使得存储在云端的会计信息急需解决数据的完整性、机密性以及安全性等重要问题。保障会计信息安全的最常用的做法是采用数据加密的方式。为了确保会计信息的安全,必须采用可靠的会计信息数据加密算法,这必须考虑到算法的先进性以及经济性。但云会计技术的使用者在信息处理和加密等技术上并不熟悉,所以不能够独自完成加密工作,需要供应商提供服务支持,但云会计服务提供商面临的客户量十分巨大,这就需要为大量的用户提供各种加密算法,这大大增加了云会计服务商提供安全管理的难度。由于云会计服务提供商管理难度的加大,会导致人员配置的增多,再加上因特网的开放性,难免会出现一些新的问题。由于云会计服务提供商出于自身利益或者其他原因,有意或者无意地泄露了一些企业的机密信息,或者一些网络黑客侵入到服务器中,通过病毒或者其他的盗取软件从服务器中盗取到竞争对手的商业机密,这些都会对企业的经营造成严重的损失,使得企业的发展受制于人。

(二)会计信息的传输

传统会计信息技术管理下,企业在传输内部会计信息时,往往不需要对传输的数据进行加密,虽然有时也做一些必要的加密,但是总体来说十分安全,但是在云会计下,信息需要传输到网络,在传输过程中,更需要注意信息的安全问题,一是需要保证传输到云端的信息的完整性,防止信息丢失,二是需要保证信息的安全性,防止被盗走。在这种情况下,云服务供应商要研究开发和使用更加复杂的加密算法,还要特别注意防止企业的会计信息泄露给没有经过授权的用户,而企业也要根据需要在传输协议中加强对会计信息工作完整性的校验。会计信息的传输必须依赖于互联网,但信息传输的载体会不断的变化,近几年来手机、ipad等都成为信息传递的载体,这使得信息流动的载体的确认手段也必须丰富多样。而在云服务提供商进行数据交换时,有时竞争对手会截取竞争企业的会计信息,然后做一些手脚,信息在网络上传输也随时会留下痕迹和信息记录,黑客等技术人员就是利用这些蛛丝马迹来获取竞争对手的信息,正是由于这些情况的出现,使得应用云会计时的安全问题值得深思并找到解决之道。

(三)会计信息的使用

会计信息可以说是企业商业机密的集中地,一般只有企业的管理者以及财务人员才能接触到企业财务信息。这是因为在会计信息的使用环节若出现了重大问题,则会对企业产生致命的影响,甚至会导致企业的破产和倒闭。因此,云环境下,会计信息的安全防护非常重要,服务商必须做到万无一失,从而解决客户对系统安全性的担心。而云会计的服务提供商还要保证企业存放的会计信息的安全性并防止信息的泄漏,这些都是使用云会计服务提供商和中小企业亟待解决的问题。企业的财务人员并不具备使用财务信息处理系统的保密常识,并且其保密意识往往也很低,而相关的操作人员在工作中会出现人员和机器的分离,还有些企业出于方便用户的目的,将账号密码设置简化、操作权限设置不当等,导致会计信息在使用过程中存在重大安全风险。

由于会计的云计算模式,很多企业的信息储存在同一个位置的情况并不罕见,企业的会计信息具有核心机密性,绝大多数的中小企业都会担心会计信息的安全,而且出于防范意识更是会担心自己的机密信息被别人知道。在云会计系统中,从上传到存储再到提取会涉及到种种安全问题。这些安全问题如果想要解决,只能依靠供应商的不断壮大,其安全技术的不断提升以及所提供的软件的不断更新。一旦企业会计信息数据的动态调整成为常态,中小企业在选择云会计时必须考虑提供商如何保证企业数据迁移、传输的完整性以及准确性。

四、云计算下中小企业会计信息安全的策略选择

中小企业信息安全政策需要根据云环境的特点制定,从云技术本身、中小企业信息化管理以及云会计服务供应商三个角度入手。

(一)云技术本身

云技术本身就具有安全防范的功能,云技术可以对访问者的身份进行认证和管理,还要加强电子密钥的管理技术,对企业存放于云中的会计信息数据进行加密,并由企业掌握算法的密钥,有效防止服务商和未授权用户访问数据。还要利用虚拟机对信息安全进行保护,由各类服务商提供服务器,对黑客、恶意软件的入侵进行不间断地检测和防御,构建中小企业的虚拟化的安全网关。

(二)中小企业信息化管理

云会计服务提供商自身的技术水平会给中小企业会计信息安全带来风险以外,本企业的非授权员工在工作过程或多或少也会出现各种错误操作,这都会导致企业的会计信息安全受到威胁。企业在内部管理和内部控制过程中,必须要加强对员工在云会计系统中权限的管理,只有部门的核心领导才有权对云系统中每个账号的权限进行开通、变更以及删除。中小企业在与供应商达成安全协议时,要注意对于企业的账号密码等信息的审阅权利,供应商应该记录下公司每个账号的动用情况,并交给公司的管理者。这样可以保证权限不被滥用,避免了本企业的非授权员工泄露或破坏企业内部的会计信息。

想要解决云会计的信息安全问题,需要从多个方面着手,首先是硬件,比如服务器硬件和存储设备,然后是软件系统的安全,信息化安全管理系统的建立应该是每个企业根据自身特点而形成的,除了企业需要建立自身的安全管理系统外,云会计服务的提供商更应着重保护用户的信息安全。中小企业作为云会计技术的使用客户,在众多的信息安全问题中,绝大部分安全风险都是用户的风险防范意识差造成,必须加强用户的安全管理意识,这对于会计信息的安全保障是十分重要的。用户的安全管理包括用户的权限管理以及用户授权审批与控制的各个流程。企业内部不同岗位都应有不同的云会计操作权限以保证信息的安全,当该用户的岗位职责权限发生变化时,必须迅速调整权限。还有,企业的各个账户和密码都应该加以保护,尤其是对于企业的员工来说,一定要有很好的保密意识,这就需要企业进行培训,不泄漏密码给任何人。企业要按照用户安全管理的要求进行检查以及审核。企业必须根据会计信息的安全性规定,通过建立信息安全管理体系,规定好每个用户的操作权限,以及安全的操作流程,通过体系和制度对安全操作加以规定和约束。企业还要完善对各用户的会计信息系统以及操作行为的操作备忘,要详细记录使用会计信息系统的人员名单、操作时间、操作范围、操作功能、涉及的信息等内容。为防止用户的错误操作,中小企业的会计信息系统必须对用户的操作行为进行不间断的审计和监控,当会计信息出现安全风险和事故时追求法律责任的有效证据。

(三)云会计服务供应商

对于云会计服务的供应商必须做好信息系统的数据备份工作,备份可以增加一份,比如既要有一个日常的备份,还要增加一个异地的备份,一式两份可以保证当一份数据出现问题时可以调用另一份数据,不至于丢失重要的数据,从而导致损失。

定期地进行数据的恢复性测试非常重要,所以云技术服务供应商还要根据情况建立完善的数据恢复性测试制度,并需要书面记录其测试结果,通过测试减少应急状态下,处理突发事故的失误,增强数据的安全性,保证用户正常业务的有效进行。

会计信息的安全绝大程度上决定于会计信息系统的安全性,而会计信息的安全性又与会计信息系统的功能以及会计信息系统的可信性密切相关。从现实情况来看,单纯由供应商提供安全防护以及企业自身提高安全意识并不能满足对安全的需求,需要国家相关安全部门的介入,通过安全部门将各大供应商在安全防护方面的优势加以融合,从而提出更具有针对性的安全防护措施,通过各大系统联合对付安全漏洞来解决一些难以攻克的安全难题。

会计信息是组成会计信息系统的主要单位,这要求中小企业必须对云服务提供的会计信息有充足的信任,否则会计信息的安全性也就无从谈起。也就是说必须先增加客户对会计信息系统的信任程度,只有客户充分的信任云会计系统,其可靠性才会更高,客户的信任程度指的就是客户在应用供应商提供的云服务时对这一系统的主观感受,往往有很多因素决定了客户的使用感受,比如客户在使用软件时,软件所表现出的专业性、可靠性、可用性等等。而安全性、实时性、可维护性以及可用性这些都属于可信性的范围。

企业选择好供应商提供的信息处理系统之后,会查看这一系统所表现出的可信属性,如果这一系统可以实现企业需要实现的工作任务,那么其可信性就高,当客户定制完需要的功能,供应商提供了相应的系统时,需要对这一系统进行可行性的评估,以保证系统的可信性达标。

综上可以看出,信息技术的发展是二十一世纪最伟大的进步,它影响到了生活的方方面面,作为时展的一大趋势,企业以及服务供应商和国家相关部门必须联合起来,为了保障整个经济社会的信息安全而共同努力,保证企业能够在安全的信息环境中持续、稳定经营发展。Z

参考文献:

1.程平,何雪峰.“云会计”在中小企业会计信息化中的应用[J].重庆理工大学学报(社会科学),2011(25):55-60.

2.Michael Miller.云计算为财务协作[J].北京:中国计算机用户,2009,(12):52-53.

3.李莉,廖剑伟,欧灵.云计算初探[J].成都:计算机应用研究,2010,27(12).

小企业信息安全篇(10)

1 概述

随着互联网的飞速发展,将软件作为一种商务服务形式提供给客户的需求量迅速增加,其中最突出的就是SaaS平台模式。在SaaS平台模式给广大中小企业用户带来诸多好处的同时也存在着诸如安全性、可靠性、稳定性等信息安全隐患,有效防范这些信息安全隐患对中小企业发展和SaaS平台模式的推广都具有非常重要的意义。

2 SaaS平台模式的界定

SaaS是Software-as-a-service的缩写,中文直译过来就是软件即服务。在中国学术期刊网络出版总库中以“SaaS”或“SaaS模式”为题名进行检索,可以分别检索到893篇、256篇从2006年至今的相关学术文献,可见对SaaS的相关研究已经具有一定规模和基础。许多学者对SaaS的概念进行了界定,但仅限于措辞上的差异,基本意义相同,即:SaaS是基于互联网提供软件服务的软件应用模式。在该模式下,服务提供商将应用软件安装在自己的服务器上,用户可以根据自身需求,通过网络向服务提供商购买所需的应用软件服务,按照购买服务的数量和时间向服务提供商支付费用。目前业内平台型SaaS做的较好的服务供应商有八百客、Salesforce等。

3 中小企业应用SaaS平台模式的必要性分析

3.1 中小企业应用SaaS平台模式的必要性。根据权威统计部门数据,一家中小企业每年用于企业信息化方面的投入至少需要20万元,对于我国四千多万家中小企业而言,能够承受企业信息化年投入20万元以上的企业只占这些企业的5-10%。SaaS平台模式减少了企业购买、搭建、维护等费用,是中小企业实现信息化的最好途径。另外,SaaS平台模式具有快速实施和低维护成本等优势,充分弥补了企业资金、人才等方面的短缺。相关数据显示,截至2011年底,SaaS全球市值达到192亿美元,正在被越来越多的中小企业用户选择使用。

3.2 应用SaaS平台模式的优势。与其他传统商务模式相比,应用SaaS平台模式能够给中小企业带来的好处主要体现在以下几方面:

①风险小。SaaS平台模式主要以托管方式来提供服务,这较大程度地降低了由软件开发给企业带来的巨大投入风险。②投入少。SaaS平台模式服务提供商通常是按照企业租用平台模块的数量和时间进行收费。因此,SaaS平台模式的总体投入要比传统模式的企业信息化投入小得多。SaaS平台模式与传统模式的企业信息化预算分配对比如图1所示(图中比例仅用于表示不同模式企业信息化预算变化趋势,并不代表真实比例)。③维护费用低。应用SaaS平台模式,企业既不需要支付高额的维护费用又不需要安排专业人员对软件进行管理,这从很大程度上缓解了企业的资金和人力压力。

图1 SaaS平台模式与传统模式企业信息化预算对比

4 中小企业应用SaaS平台模式存在的信息安全隐患

尽管中小企业应用SaaS平台模式具有诸多优势,但同时也面临着巨大的挑战。对于中小企业特别是处于快速成长期的中小企业而言,其最核心的企业价值就是客户的数据等信息,因此信息安全是企业管理者最关心的问题[4]。由于SaaS平台模式的解决方案要求将用户的全部相关数据存放在服务供应商提供的平台上,这使得企业数据在安全性、可靠性、稳定性等方面存在较大的信息安全隐患。分析机构IDC的分析师Laura DuBois表示:“中小型企业必须非常谨慎的挑选供应商以存储他们宝贵的数据”。

4.1 安全患。安全患是SaaS平台模式面对的首要问题。对于企业来说,数据的安全性至关重要,尤其是作为企业核心机密的财务数据和客户信息。安全患主要体现在以下两方面:一方面,财务管理人员由于缺乏网络信息安全知识和对信息安全规则的认识不足而造成的数据丢失、泄露等隐患。例如,网上报账会使外界干预系统的机会增多,从而加大了更改订单、银行结算单等恶性事件发生的可能性。另一方面,由于目前SaaS 平台模式数据库缺少有效的数据加密措施,外界可以轻而易举地从外部打开数据库并进行修改,从而加大了客户信息遭到泄漏、恶意篡改,甚至被删除,造成整个网络系统瘫痪的可能性。

4.2 可靠患。可靠患主要体现在网络病毒和非法入侵两方面。一是由于企业使用SaaS平台模式必须将其局域网与互联网相连接,因此,使SaaS平台系统感染病毒的机率大大增加,病毒防范的难度加大,任何在互联网上的行为都有可能使SaaS平台系统感染病毒。二是由于SaaS平台模式采用的是公用通信线路,因此存在恶意损坏网络设备、在网络上对系统进行非法入侵活动等可靠患。

4.3 稳定患。稳定患主要是指网络延迟。由于SaaS平台模式服务提供商在数据库设计上普遍采用大型商用关系型数据库和集群技术,使许多个企业用户共享一个数据库,当用户访问量骤然增加时,势必增加响应延迟,影响平台服务的稳定性。

5 防范信息安全隐患的措施

针对SaaS平台模式存在的安全性、可靠性、稳定性等信息安全隐患,无论是SaaS服务提供商还是企业用户,都应该积极采取各种防范措施,减少信息安全隐患的发生。

5.1 增强信息安全防范意识。提高信息安全防范意识是保证SaaS平台模式信息安全的重要前提。对于SaaS平台模式服务提供商而言,要增强信息安全防范意识,首先要制定统管全局的信息安全管理制度,明确责任,使信息安全管理有章可循,有法可依;其次要加强对系统维护人员和技术支持人员的职业道德教育,使其在职业操守上能够恪守职责。

5.2 确保硬件设备安全。硬件设备安全是SaaS平台正常运营的基本保障。SaaS服务提供商应将SaaS平台服务器、通信设备等硬件设备设置在一个高度安全的场所,该场所应具有防火、防盗、防静电设施,配有温度和湿度控制设备,并且电源安全符合网络设备要求,从而确保硬件设备安全。

5.3 建立身份认证和访问控制。在认证与授权方面可以通过对信息操作人员设置不同的权限及权限组合形成多维、多层次、全方位的身份认证和访问控制,最大限度地保证SaaS平台模式的安全性和可靠性。

5.4 采用服务器双机热备份模式。在数据存储上可采用服务器双机热备份技术来对数据进行存储和备份。SaaS平台模式服务提供商同时设立两个服务器数据中心,一个服务器数据中心为主服务器,进行日常数据处理,另一个服务器数据中心作为冗余备份。当主服务器出现故障时,备用服务器将自动接管所有服务,待主服务器恢复正常工作后,备用服务器自动交还服务。这样能够减少由于服务器或防火墙故障问题而停止运行带来的信息安全隐患。

6 结束语

随着互联网应用的不断深化,SaaS平台模式在被越来越多中小企业应用的同时,面临的各种安全隐患也会不断增加。作为一种新兴的电子商务运营模式,其安全性必须得到充分有效的保障。因此,只有不断地探索各种信息安全的关键应用技术和防范措施才能全面有效地增强SaaS平台模式抵御信息安全隐患的能力,从而提高SaaS平台系统整体营运效率,使SaaS平台模式得以全面推广。

参考文献:

[1]刘飞,张力涛,张志辉.SaaS安全风险对策研究[J].信息系统工程,2010.10.

小企业信息安全篇(11)

中图分类号:F23

文献标识码:A

文章编号:16723198(2015)12011602

1 中小型企业现在的会计信息化建设

中小型企业是我国企业的重要组成部分,他们对社会的贡献很大,在社会中也占据着很重要的位置,信息技术的发展给中小型企业也带来了不小的冲击,为了适应这种变化以及提高企业的信息化水平,这其中的关键部分就是会计信息化,随着信息技术和会计核算的不断融合,使得中小型企业资金流通和其他方面之间的沟通更上一层楼,它们之间的高度协同使得会计核算也发生了非常深刻的变化。在发展融合的过程中随着不同的需求,就会出现相应的不同的解决方案或者是各种模式,这些模式在一定程度上也限制了会计信息化的发展。在这个状态下中小型企业会计信息化建设也出现了一些问题。

1.1 在宏观环境条件下还不够完善

第一,我们国家内的市场经济秩序还不够规范,与其配套的一些基础设施例如宽带,网络等都没有完善,缺少对衡量中小型企业会计信息化建设的标准以及配套的规划方案,这就使得中小型企业不够积极的投入到信息化的建设当中;第二,我国在这方面的相关法律还是不够完善,存在着很多的漏洞,没有法律的支持和保护,中小型企业虽然重视信息化建设但是没有对信息化建设的战略规划;第三,到目前为止国家还没有一套完整的针对中小型企业会计信息化的标准体系。

1.2 缺少针对中小型企业会计信息化的产品

其实在市场上针对中小型企业的专有信息化产品有很多,但是他们都是从自身产品性质或者是自身行业的特性所生产出来的,而没有很好的与企业业务结合起来设计产品,对于中小型企业来说,他们的运营方式也是多种多样,这样就出现了供需的矛盾。

1.3 滞后的信息化观念

许多中小型企业它的所有者和经营者都是一体的,也就是说在以盈利为目的的理念下,企业管理者会把工作重点放在生产,销售和业务拓展这些方面,而忽视了财务管理的信息化。有些企业经营者虽然认识到信息化这个重要的机遇,但是对此认识存在着偏差,认为只要进行企业门户网站建立,然后购买相关的软件和硬件就可以了,更有企业花费很大的人力、物力、财力来建设门户网站。这样盲目的追随,忽略了对信息技术的管理和自身内部业务的变革,这样反而是对信息化的浪费。

1.4 资源有限

对于一个企业来说,要想实现企业的良好可持续发展,就要拥有相应的人力,财力、物力、信息等方面的资源。对于中小型企业,它们的规模有限,对于融资的渠道也很狭窄,这就导致了它们缺乏人力和财力。对于发展中的中小型企业来说这更是重中之重。

2 会计云计算及其优势

2.1 云计算

“从狭义的角度来说,狭义云计算是指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需资源。从广义的角度来说,广义云计算也是指通过网络以按需、易扩展的方式获得所需服务,但是这种服务不仅仅是IT基础设施,还可以是其他的服务。它意味着计算能力也可以作为一种商品通过互联网进行流通。云计算从开始出现到现在经历了五个阶段,这五个阶段都是在慢慢的完善云计算,使它更加能适应社会发展需求。它的工作原理就是服务商在一个资源池里提供IT资源,然后用户再通过互联网来在资源池里找到自己所需要的服务。云计算服务系统主要靠三层架构,它们分别是IaaS、PaaS、SaaS,也就是基础设施即服务、平台即服务、软件即服务。这三者之间相辅相成,紧密相连。

2.2 会计云计算的优势

(1)降低了中小型企业信息化的成本。

在中小型企业中有些企业的信息化程度不高,他们所采用的服务器规模也不是很大,但是运行却很慢,整体的质量也不是很高。企业的信息化领域不是很大,它有一定的局限性,只是在财务、销售等领域来运行,这样来保障企业的信息化管理。随着会计云计算的出现,企业再也不用对服务器和信息处理进行较大的投资,可以通过向供应商租赁软件和硬件来实现企业的信息化,这样就会降低企业的经营成本。还有就是以前企业对于维护服务器和升级软件也要投入一定的资金,但现在有了云计算之后,这一部分的开支就可以省下来了。整个下来就降低了企业对信息化处理的成本了。

(2)中小型企业会计信息化拓展得到了保障。

既然供应商为企业提供了最适应于企业的信息处理软件,供应商就会不断的更新这些软件,使得软件能够提供更多、更优质的服务。对于企业来说,通过软件的更新获得最先进的信息管理技术,最大程度上自身对信息的需求,并且也降低了会计信息化建设当中的风险。利用会计云计算技术还可以与其他相关的部门或者是企业共享财务信息,会计信息也得到了扩展。

3 云环境下的信息安全

3.1 设置访问认证

供应商为企业提供的软件服务基本上都是统一认证的,这对企业来说就是不安全的,所以服务商应该将中小型企业的部门人员进行信息和登录信息的编组,并且存储在服务商的内部资料当中,这样就形成了该企业的访客信息数据库,当有用户登陆的时候服务商就对访客进行信息核对并进行认证,通过的访客就可以查看对应于自己权限的财务情况。

3.2 数据安全传送

现如今数据的传输过程不是不安全的,一些黑客通过网络窃取所需要的企业财务信息或者是商业信息,有些还会篡改财务数据等等,中小型企业应该把云端的SQL数据库进行加密,或者是开辟一条专用的网络传输通道,前者可以使得被盗信息在读取的时候不够完整,后者可以使信息在传输的过程中丢失的几率降低。

3.3 保持网络稳定

会计的核算是连续性的,这样就要保证网络传输的速度和质量。云服务器以及数据库中的数据在传输当中不能出现拥堵或者是丢包的现象,丢包就会使得数据不完整,影响到企业的整个财务链。在此同时还要对断电事故有应急预案。

3.4 保证商业秘密的安全

一个企业的商业秘密被泄漏,会对这个企业造成不同程度的损害。一旦云端数据中心存储的核心财务数据被泄露或盗取,就会牵连到中小型企业的发展,有些甚至会对其生存产生巨大的影响。因此,中小型企业要有效的降低这种风险,保留一部分级别高的数据掌握在自身手里。与此同时还应该建立动态商业机密监控机制,规范访问流程,建立起应对泄密事件发生时的反应机制。

4 结语

社会各个方面随着信息技术的发展也都在不断的进步,信息化是21世纪的发展趋势,在这个信息化时代,各种网络技术也在不断的完善,所以中小型企业应该利用这个机会努力的发展自己,同时也要注意网络安全,争取通过各方的努力营造一个良好的信息安全环境。

参考文献

上一篇 初中生卫生健康教育 下一篇 抵债资产风险
返回列表
推荐精选
相关期刊