外审员信息安全
开篇:润墨网以专业的文秘视角,为您筛选了八篇外审员信息安全范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
外审员信息安全范文第1篇
关键词:电力系统;信息安全;安全策略
中图分类号:TM39 文献标识码:A
随着飞速发展的电力信息化,电力系统越来越依赖于计算机网络与电子信息系统,电力信息安全系统一旦产生差错,将直接危害电网以及其衍射破坏国民经济,其杀伤力势必无法估量。电力系统信息安全是一项技术复杂度高、管理程度较深综合型系统工程,波及到电力生产、传输、分配与使用等各个环节的同时,需最大限度地确保电力信息的密保性、整体性、可用性、可控性。此外,电力系统信息安全的深入研究,构建电力系统信息安全保障体系显得尤为重要。
一、电力系统现存的信息安全隐患
近几年,快速发展的国内电力信息化,电力通信逐步转变为以光纤和数字微波为主导的的传输方式,并存着卫星、电力线载波、电缆、无线等多种通信方式的全国电力系统通信,为进一步发展国内电气信息化夯实了基础。综合来讲,相对较高的国内电力系统信息安全程度,保障着电力系统信息运行的安全性、稳定性。
虽然我国电力系统信息安全已取得了可喜的成效,但仍有进一步完善之处:
1.未统一规范管理的电力系统信息安全。确保正常运作电力系统,信息安全极为重要,但就目前来说,统一化、权威性的电力系统信息安全管理规范仍未真正落实到位。
2.符合电力行业指标的信息安全保障体系未合理构建。如在电力行业内部缺失计算机信息网络安全意识、未实施完善的数据备份措施、脆弱的身份认证、计算机网络化以及局域网广域化,加大了外在危险的攻击力等问题,屡见不鲜。随着逐步推进的电气信息化进程,计算机网络越来越多的应用于电力系统的生产管理领域,但具有一定运行特点的电力系统,构建与电力工业特点相一致的计算机信息安全保障体系极为关键。
3.涌现出软件内部的安全漏洞。软件的独特定已决定了自身一定不是健全的产品,不同影响的安全漏洞会不断涌现。加之应用广泛的软件,增加了软件接触的条件复杂性,从而一定程度上隐藏了自身潜在的缺陷。
4.假借网页进行恶意攻击。一般情况下,每个电力企业均有自己电力系统网站,在互联网连入后,各种网页均在每位电脑用户搜寻所需的有用信息不断点击下打开。这也是不可回避的情况,然而,并不是打开的所有网页是安全的。部分网站的开发者或拥有者,为获取某种利益,就会巧妙地修改自己的网页,以便其具有一定的特殊功能。如:点击打开某网站链接时,不经意间会发觉自己的浏览器已被自动更换,名称已换成恶意网站的标题。此情况下,运用正常手段根本无法修正。更有甚者,部分网页自身具有携带木马的功能,只要不小心打开或浏览后,就有可能将木马种在你的机器内,之后就会无意间破坏或泄露你个人的信息等。
5.针对当前服务虚拟化快速发展变革期的来临,给电力企业信息系统带来了一定的安全问题。比如攻击内部虚拟机、争夺有限的资源以及增加管理难度等方面。对此,基于信息安全保障体系预设的前提下,可以制定虚拟化感知的安全应对方案,规避争夺资源,进而最大限度的提高服务器处于高峰和非高峰期内的工作效率。
二、构建电力系统信息安全保障体系的几点思考
1.进一步完善信息安全管理机制
整体规划统筹,关注重点,建设信息安全管理制度与规范标准进程需进一步加快,切实制定相关的信息安全制度条例,有效编制电力系统的实施办法,明确信息安全项目的侧重点,规划统筹电力系统信息安全任务。合理构建电力系统信息安全保障体系,为本单位防护信息安全设施完善与更新工作做好全方位指导,及时调查应对产生信息事故之后的规范性工作,从而进一步提高信息安全事件的管理与监督力度。与此同时,针对规范建设灾难恢复系统,需紧抓研究与编制,实施有效的恢复灾难措施,适当规划统筹单位内部恢复灾难的系统建设工作。
除此之外,标准化、规范化是确保电力系统信息安全的基础性工作。电力企业需着手于电力系统的实际特点,格外重视电力系统信息安全的规范化、统一性管理,适当的制定并完善一套标准化、统一性的安全管理规范机制,从而最大限度的弥补电力企业内部信息安全管理存在的不足之处,增强企业的风险承受力。在构建电力系统信息安全保障体系的过程中,电力系统主要管理部门必须严格按照确保电力系统正常运行的指标需求,参照现今的国际安全标准、国家安全标准以及相关的安全法规政策,有效地构建电力系统信息安全的各项管理规范和相关技术标准,进一步规范基础性设施构建、系统与网络平台搭建、应用软件开发、运行管理等各个重要环节,进而为电力系统信息安全的构建创造坚实的基础。
2.加快建设信息安全管控机制
全面落实信息安全保障体系不可忽略主要负责人员的组织、管理工作。结合每人的不同因素,需严格遵循以人为本的安全理念是构建电力系统信息安全保障体系的基本原则之一,对此,在整个电力系统信息安全中,需重视组织安全机制的有效落实工作。在制定健全组织安全机制的过程中,需进一步提高计算机信息网络工作人员的安全意识,并针对专门负责信息安全工作人员开展定期或不定期的安全培训。
建设个人终端标准化工作需加快推进,严格管理个人终端接入网,将个人终端补丁程序与及时自动更新、升级病毒软件落实到日常工作中,而对于随意下载或安装的非正版软件需加大严禁力度。加强实施防治木马病毒等危险因素侵入的安全措施,做好外来用户访问控制工作。全面有效的监控信息安全,尽快构建信息安全监控体系,实现集中监视防火墙、入侵检测等安全防护设施,或对其进行及时有效地警示,同时,深入研究信息安全模型,制定综合评估检测信息安全机制,确保安全信息评估的科学化、简便性。
3.增强安息安全密保工作的认识度
认清形势,对全体员工的密保知识水平与防护技能进行全方面检测,提高网络窃密泄密防范水平。针对外网连接其他公共信息网络,需严格审查或严禁,并严禁外存或处理国家和单位机密在非网上,将保护信息安全工作和职责切实落实到位。与合作单位的开发、咨询工作需强化信息安全保密管理,签订保密协议,严审外来人员的访问,加强授权管理,做好监管与备案工作。定期或不定期开展审查信息系统安全保密活动,对文档做好登记、存档、销毁、定检以及解密等各方面工作,及时发现、解除隐性的或显性的泄密隐患。
在信息安全保障体系设计阶段,确保电力系统信息安全需重点考虑的关键条件之一。规范化使用系统内部的部分安全设施,增强基础设备的安全度,诸如尽可能实行深埋或架空通信线路等措施,避免各种方式的意外损坏。严格化管理保障体系内的部分精密设施,合理制定专项负责制,将责任具体到每人。
三、凭借防火墙及云计算安全手段,保障信息安全
近年来,随着网络科技的快速发展,防火墙技术已作为新兴的计算机网络安全保护性技术措施之一。在网络中,通过阻止黑客访问某个机构的内部网络而设定的屏障,换句话而言,是专门控制超出两个方向的通信门槛。针对边界网络,可利用对应的网络通信监控系统的构建来将内外网络进行隔离,从而防止外部网络的入侵;紧密结合实电力系统,较为合适的利用“防火墙十杀毒软件”配置方式,做好及时升级、更新工作,避免工作流于表面。与此同时,为保密信息因恶意外部破坏造成丢失或网络瘫痪,需认真做好备份重要网络信息和系统数据。此外,备份的有效性定期检验也显得尤为重要。有力鉴定数据备份的有效性关键在于定期的恢复演习,也是有效演练网络负责人恢复数据的操作技能,锻炼应对问题时的从容面对,冷静思考,进而为网络访问创造保障环境。
防火墙的类型多样,具体概况为包过滤防火墙、防火墙与双穴防火墙三大类。其中网络层设置的一般是包过滤防火墙,而在路由器上实现包过滤目的。此类防火墙可以用来对外部非法用户访问的禁止,以及访问某些服务类型的禁止等。又称应用层网管级防火墙的防火墙,其组成主要有服务器和过滤路由器,是当前相对较为流行的防火墙种类之一。而针对双穴防火墙,是在一个网络内进行数据搜集,并有选择性的传送到另一个网络。电力系统信息安全的保障性离不开防火墙的合理配置,确保安全连接各个网络,从而在连接端口规避出现安全漏洞。
同时,通过加强云计算威胁管理,为信息安全保障体系提供灵活的管理策略,进一步丰富审计日志以及报表的功能。并有效结合“云中保险箱技术”,合理利用密钥及管理策略机制,保护用户存储的云隐私与数据信息,使电力企业所运用的云平台或数据交换突破时空限制,且更为安全。
结束语
总的来说,电力系统信息安全保障体系的构建是为了更好地应对电力系统信息安全的潜在威胁,使电力系统信息的安全性不断提高。在总结过去经验的基础上,各电力企业要积极分析电力系统的特点,合理利用云计算安全手段,制定相应的安全策略,建立全面合理的信息安全体系,确保电力信息乃至整个电力系统的安全。
参考文献
[1].吴克河.电力信息系统安全防御体系及关键技术[M].北京: 科学出版社.2011(10).
[2].田雨平.周凤鸣.电力企业现代安全管理[M]. 北京:中国电力出版社.2009(1).
[3].国家电力监管委员会安全监管局.电力安全监督管理工作手册[M].北京:中国电力出版社.2009(4).
外审员信息安全范文第2篇
关键词:网络信息安全;应急响应;联动系统
随着互联网对各个领域的渗透,我国的网络安全防护任务越来越重。从20世纪90年代至今网络信息安全可分为4个阶段的发展过程,即通信安全、计算机安全、网络安全、内容安全。在这4个阶段中,前两个发展阶段属于运行安全方面―OPSEC。而对于网络基础设施与信息的保护则称之为物理安全―PHYSEC。随着网络的发展,随后又提出了内容安全―CONTSEC,其目的是为了解决信息利用方面的安全问题。为了应对日益增加的网络安全事件,网络安全对抗必须进一步的细化以及升级。在此背景下,应急响应联动系统的建立尤为重要,因为通过系统的建立,可以提高政府对各种网络安全事件的解决能力,减少和预防网络安全事件造成的损失和危害。因此目前对应急响应及联动系统的基础理论、框架构建、技术操作方面的研究尤为重要。
1 应急响应的基本内容
1.1 应急响应系统的建立
为应对网络安全事件发生,事前准备工作或事后有效措施的实施便是应急响应系统建立的目的。应急响应系统包含5个步骤。
(1)管理。即组织对事情发生前后人员之间的职能划分。
(2)准备。对于各种网络安全事件提前制定的一些应急预案措施。
(3)响应。网络安全事件发生后进行,系统对事件进行安全检测有效防止系统信息进一步遭到破坏,并对已受到破坏的数据进行恢复。
(4)分析。为各种安全事件的应急预案提供调整的依据,提高防御能力。
(5)服务。通过对各种资源的整合为应急响应对计算机运行安全提供更多的有力的保障。
1.2 应急响应系统建立必须遵循的原则
(1)规范化原则。为能保证应急响应系统有效策略的实施,各个组织都应该建立相应的文档描述。任何组织应急响应系统应该有清晰和完全的文档。并有相关的规章条例保证系统的有效运行。组织成员作为应急响应系统的服务者必须遵守相关的条例,也可以写入工作职责来保证系统的有效运行。
(2)动态性原则。信息安全无时无刻不在发生变化,因此各种安全事件的复杂性使得应急响应策略的制定更加具有难度。为了完善应急响应策略就必须注重信息安全的动态性原则,并对策略实时作出相应调整。
(3)信息共享原则。应急响应过程中,系统会提供大量可能与安全事件无关的信息,如果提高应急响应系统中重要信息被发现的可能性,在信息提取过程中,信息共享是应急响应的关键,应该考虑将信息共享的对象与内容进行筛选,交叉分析。
(4)整体性原则。作为一个系统体系应急响应的策略具有整体性、全局性,应该在所有的互联网范中进行安全防护,不放过任何一点的细节,因为一点点的疏漏都会导致全网的瘫痪。整个应急响应策略体系除了要从技术层面考虑问题也要从管理方面着手,因为管理问题而导致的安全事件更为严重。因此,制定管理方法时要投入更多的精力来进行统筹安排,既要完善管理方法,也要注重技术层面。
(5)现实可行性原则。通过判断应急响应策略是否合理性来衡量是否在线上具有可行性。
(6)指导性原则。应急响应系统体系中的策略并非百分之百的解决方案,ψ橹而言,它只是对于处理网络安全事件方法进行一定的指导,而对整个组织工作也只是提供全局性的指导。
2 应急响应系统体系的总体框架
如果对应急响应系统体系进行划分,可以将其划分为两个中心和两个组。
(1)两个中心。应急响应中心与信息共享分析中心。应急响应系统体系的关键是信息共享分析中心。它主要负责的是对中心收集来的各级组织的信息进行交换和共享,并对整个网络作出预警或者事件的跟踪,并对收集来的信息进行整理。而应急响应中心的任务则是对系统体系预案进行管理,通过对信息共享分析中心各种信息安全事件的分类分析并进行应急响应。
(2)两个组。应急管理组及专业应急组。应急组对整个事件进行全局性指导,并协调各个机构,指导各个组织成员对事件进行应急策略的制定。在各类安全事件发生的过程中,应急响应与救援处于一个重要的环节,而专业应急组是环节的关键,是实现信息安全保障的核心。通过应急组的响应迅速使网络系统得到恢复。
3 应急响应的层次
“八方威胁,六面防护,四位一体,应急响应”这句话形容的则是应急响应体系的整个工作过程。
(1)“八方威胁”是指应急响应系统中的网络安全事件。而根据事件的危害程度对其进行编号的话,1类为有害程度最轻的事件,8类则最为严重,俨然一场网络战争。而且一般的安全事件都不是单独发生的,通常许多事件都是紧密联系环环相扣。
(2)“六面防护”防护是指技术层面的防御,主要是风险评估、等级保护、入侵检测、网络监审、事件跟踪和预防6个方面。
(3)“四位一体” 主要是指各个小组的组织保障体系,如应急组、专业组、组织协调机构、专家顾问组。
(4)应急响应。应急响应系统的核心为应急响应的实施功能。应急响应系统通过对网络安全事件的目标进行分类并分析,通过对事件的判断进行事件分级,制定具体的预案或措施,并有通过各个小组进行信息实施,并有技术组对系统进行恢复重建和应急管理,保证目标的信息系统安全。
4 应急响应体系的周期性
通过应急响应系统的工作,分析应急响应联动系统在网络安全事件中可能具有生命周期性。网络安全事件的生命周期从风险分析开始,一般的风险分析包括网络风险评估和资源损失评估等。对风险分析进行正确有效的分析有利于高效率的应急响应。为了这一阶段响应过程的顺利进行,需要制订安全政策以及各种应急响应优先权的各种规定。安全工具与系统、网络配置工具,使网络的安全性与可用性两者之间处于平衡状态。在检测阶段,通过各种手段收集信息,利用系统特征或IDS工具来预测安全事件的发生。之后响应阶段,利用各种手段抑制、消除安全事件并进行有利反击。最后在恢复阶段对受到攻击的对象进行恢复,使其恢复到事件发生之前。网络安全事件的周期性更全面,更实际地概括了应急响应系统的工作过程。
5 应急响应体系的联动性
(1)“六面防护”的联动。 首先由风险评估对网络安全事件作出安全评估并确定其“威胁”等,再由等级保护进行措施制定,对其入侵的主体进行入侵检测确定威胁漏洞所在,再通过网络监审发现安全事件并进行事件跟踪再由事件跟踪对其事件进行分析,并通过预防对响应策略进行调整,并分析防御的有效性。
(2)“四位一体”的联动。联动的主要目的是为了应急响应系统的有效运行,因此应急组、专业组、组织协调机构、专家顾问组之间就要努力做好协调工作。组织协调机构主要负责总体的协调工作,应急组与专家顾问组主要负责对网络安全事件的应急处理工作,同时应急组还承担着对突发的安全事件进行信息收集,分析以及信息上报的工作,并对组织协调机构提出的相关事件的应急预案或者保护措施进行执行的工作。
(3)应急响应的联动。作为应急响应系统的核心,应急响应实施功能通过信息,在应急预案或保护措施实施过程中,对事件的发展情况、处理进程进行全程跟踪。尤其是在事后对事件进行跟踪分析,从而进行恢复重建,排除事件对系统产生的威胁。除了对事件进行全程跟踪外,作为核心,还应对相关的应急资源进行协调,做好应急管理工作。
外审员信息安全范文第3篇
影响农机监理电子档案安生性的不利因素
1.档案安全保护意识薄弱档案安全保护教育不普遍,档案安全意识淡薄,缺乏安全风险意识,突出表现在档案网络工作“安全第一、预防为主”的意识不强。档案服务及利用人员由于网络安全防护技术较低和安全防护意识不高,造成的无意侵权或电子档案光盘存储的选择等问题,都给农机监理电子档案的安全保管带来威胁。
2.计算机软硬件的设备故障由于农机监理的电子档案一般不能直接利用,它的形成和处理与利用均需借助计算机软硬件设备的支持才能实现。而计算机系统是由许多部分组成,每个部分的薄弱环节都极易遭到破坏。如:数据易被误输;应用软件易被篡改或盗用;硬件设备中的芯片和电子线路易被损坏等。这些故障的发生都有可能导致农机监理电子档案的丢失或破坏,从而对农机监理造成不可挽回的损失。
3.电子档案存储载体的保护技术问题农机监理电子档案的载体材料是磁性物质和光盘。聚酯底基是磁盘和磁带的支持体,它具有易产生静电而吸引尘埃导致卷曲、易与磁粉脱离、伸长后不易恢复等缺点。粘和剂起着连接底基和磁粉的作用,它具有易热胀冷缩、磨损、脱落、粘连、生霉等缺点,直接影响信息再现。并且磁粉中的磁性氧化物颗粒的剩磁感应强度是记录和再现信息的决定因素,它极易受外磁场的影响而导致退磁、消磁等。目前光盘常用的介质主要有碲、碲合金、硒、碳铝化合物以及一些在激光热效应作用下易产生物化性质变化的材料,这些材料不稳定,易氧化,易与碱溶液发生反应。因此,电子档案载体材料的这些特点,决定了农机监理电子档案容易受外部环境的影响。
4.计算机病毒与黑客的攻击计算机病毒已成为当今破坏计算机操作系统的头号杀手,它是一种特殊的具有破坏力的计算机程序,具有自我复制能力,会以各种方式和途径攻击计算机系统的应用软件和数据库以及硬件设备,并可通过非授权入侵在可执行程序或数据文件中,从而造成电子文档的破坏或系统的瘫痪。此外,有些计算机黑客也利用电脑网络进行犯罪活动,他们伺机寻找系统和软件方面的某些缺陷来攻击,通过破译口令与密码而获取使用权限。非法访问、删除或修改某些重要电子文档,使文件所有者和利用者均遭受巨大损失。
加强农机监理电子档案安全管理的相应对策
1.加强电子档案安全管理的宣传教育,增强责任意识要大力普及农机监理电子档案信息安全知识及网络窃密知识,使广大农机监理档案人员了解电子文档的特性,防范农机监理电子文档无意丢失或泄密,提高对各种攻击手段的认识和警惕性,如不随意下载或安装不明软件,不随意打开陌生电子文件等。对农机监理电子档案保护意识融入到档案的价值论中,从而营造农机监理电子档案安全保护新环境。
2.充分采用信息备份技术信息备份是信息安全保障最重要的辅助措施,它可以为受损或崩溃的信息系统提供良好、有效的恢复手段。一旦原文件遭到破坏,还有相同的备份文件可以取而代之,为了防止存档载体物理性能变化或设备故障而丢失信息,农机监理电子档案的备份系统可以从硬件级备份、软件级备份、人工级备份三个层次入手。每年应对备份磁带或光盘进行抽检,并对农机监理电子档案的读取、处理设备的更新情况进行一次检查登记,这种多层次的综合应用才能达到理想的备份目的,做到万无一失。
3.加强电子文件的载体保护电子文件载体使用的是磁性、光学材料等精密型载体,对保存环境提出了很高的要求。因此对电子文件载体的保护可以参照《电子文件归档与管理规范》的要求,改进电子档案的存放环境,保持适应的温湿度,采用去湿机,去湿剂氯化钙和硅胶、空调调节系统等措施调节档案库内温湿度。并将农机监理电子档案避光保存,避免光线尤其是紫外线直接照射光盘,最大限度地减少电子档案曝光时间和曝光强度。同时,农机监理电子档案在整理、保管、利用时应避开电动机、发电机、变压器、电视机、消磁器、无线电装置等具体退滋或消磁设备的干扰。
外审员信息安全范文第4篇
关键词:计算机;数据库管理;措施
中图分类号:TP311.13 文献标识码:A 文章编号:1674-7712 (2012) 14-0065-01
一、目前计算机数据库管理中存在的问题
(一)数据库系统方面存在的问题
数据库系统在人们日常工作中的应用已经有十多年了,而且在各方面的实际应用中,数据库本身的系统也在不断的更新,也已经日趋成熟,有了更多的技术性能,给人们的工作生活带来很多的方便,但是随着科学技术的不断发展,人们生活水平的不断提高,简单的数据库系统已经无法适应人们快节奏的生产需求,因此,在计算机技术高速发展的今天,对数据库系统方面的管理也要引起高度重视,并不断把它应用到实际工作中去,但是更新数据库系统也并非易事,这需要一定的技术含量和科技水平,因此,提高计算机技术水平,不断更新完善数据库系统是非常重要的,如果不能做到定期给数据库系统的升极更新工作,十几年如一日地使用传统、老化的数据库系统,无疑会给数据库文件的录入和管理工作带来麻烦,安全性能得不到保障,准确度也不够高,速度也无法提升上来,最终阻碍数据库管理工作的发展。
(二)计算机数据库在操作时出现的问题
在对数据库系统进行录入等操作时,会出现很多意外情况,例如病毒问题,现如今的电脑病毒像幽灵一样无孔不入,无处不在,尤其在当今科技高速发展的新的历史时期,黑客、木马在人们不注意的时候都可以进入电脑里,把电脑中的文件数据进行改写或盗用,这些都给计算机数据库管理工作带来了很大的威胁和麻烦,严重者甚至会给企业带来不可估量的损失,另外,除了黑客的外来入侵,工作人员对数据文件的管理也容易出现问题,因为数据库系统与操作之间有着密切的关系,数据文件的安全与否不仅取决于操作系统周围的环境,更与硬件设备和管理人员有着密不可分的关系,一般来看,数据库的操作系统中的文件数据,用户可以直接获取,那么,在这种情况下,无疑就是给数据库的操作留下一个后门,一旦用户自行窃取数据文件,管理人员也不得而知,数据的安全性也就无法得到相应的保障了。
(三)数据库管理手段方面存在的问题
数据库虽然作为计算机领域的一个重要部分,是在电脑上操作起来的,但归根到底还要由人来操控的,但是现如今很多工作人员对数据库管理的技术水平不高、素质低、对数据文件的保护意识淡漠,另外,还有一些操作人员技术不够娴熟,往往发生误录或者丢失等失职的现象,这些都导致了很多政策和管理工作落实不到位,无法真正对数据进行保护和保存,发生一些安全性事故,使一些破坏分子趁虚而入,盗用数据库中的机密文件,给企业带来不可挽回的损失。另外,一些工作人员只做表面功夫,没有真正从根本上做到有力地维护数据库安全,网络安全设置也不够完善,这些都使数据库管理工作障碍重重,无法真正意义上为企业的生产服务。
二、解决数据库管理问题的途径和方法
(一)加强对数据库的监督管理工作
加强监督是解决数据库操作中出现问题的直接有效的方法,技术部门要做到经常维护数据库的安全性和可靠性,同时也要维护数据信息的准确性,加强对用户的管理,不断提高监督水平和管理力度,另外,也要严格规范业务权限授予时的制度,控制用户的使用权限,严格把关,以免出现盗用、窃取等现象,同时,在录入数据信息、建好数据库之后,技术人员也要对已经录好的数据库信息进行检查和定期的维护,同时也要做好整合、删除多余信息、合并等各项工作,然后对这些数据信息整理分类,并根据这些信息做出相应的计划和规划,审合之后的信息用以指导接下来的实践活动,最重要的是,要监督技术人员对重要信息数据的备份工作,以免意外丢失,同样,也要构建完善的检索体系,使信息数据的查询更方便快捷,由此来看,只有加强对数据库的监督管理工作,才能使数据库保持较高的稳定性以及高效性。
(二)加强数据库保密管理工作
维护数据库的信息安全是数据库管理工作的重中之重,也是加强数据库管理建设的首要任务,一旦数据信息被恶意盗取或损坏,将给企业带来不可估量的损失,因此,在数据库的工作中,一定要加强防范意识,提高警惕,不忽略任何一个微小细节,处处防范,这样才能规避风险,杜绝信息泄露的情况,由此可见,加强数据库的安全工作,不是单一、片面的,而是多角度、多方面,例如,在实际工作中,可以在数据库当在找到重要数据信息,对其进行重要保护,例如一些银行数据、金融类信息、游戏玩家的帐号密码等,都是不能被外来客户所知道的,那么对于这些机密信息资料就要进行加密,在有外来客户访问时需要密码和验证码等,这就相当于给密码又加了一层保护罩,使其在正常运用的过程中,更增加了安全性,减少了外来人员对数据信息的破坏机会,从而为防止数据库信息泄露提供了方便。
三、结束语
计算机数据库在人们的日常工作和生活中扮演着重要的角色,尤其是在信息化日趋激烈的现代社会,信息量大、形式各样、内容丰富且繁杂,这些无疑给数据库工作带来了前所未有的机遇和挑战,然而目前的数据库管理工作中仍存在手段落后、方式传统、操作不规范等问题,因此,计算机工作人员就要针对实际工作中存在的种种问题,进行相应的分析和探讨,使计算机数据库管理技术不断成熟和发展,提高数据库信息文件的安全性,给人们的工作和生活提供便捷的服务。
参考文献:
[1]李忠哗.数据库的几种安全控制方法[J].张家口师专学报,2003,19(3).
[2]燕蜻.信息系统中的数据组织和管理[J].生产力研究,2002(4).
[3]刘海敏.图书馆科研成果的认定与评判[J].情报资料工作,2002(5).
外审员信息安全范文第5篇
(一)电子文件档案归档背景
随着电子商务、互联网等技术的发展,在21世纪的今天,产生的电子文件也越来越多,如何实现电子文件档案的归档,也就是安全的移交到档案馆、电子文件信息不受损害,以及电子档案的安全利用,是电子文件保护和使用的重要问题。目前,保护电子文件不被修改、盗窃、删除的技术途径主要是防火墙、存取权限控制、数据加密、数字水印、数字印章等①。
(二)3A安全技术的简单介绍
认证:认证提供了对用户的认证,通常采用用户输入输入用户名与密码来进行权限审。
其原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。
授权:比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。
审计:这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。
验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。
二、检察系统中电子档案归档安全性分析及不利因素
(一)影响电子档案安全性的不利因素
1.缺乏集中统一的用户身份认证机制
用户身份认证是建立安全应用系统的第一道防线,各类业务系统和设备管理的用户身份各自为政,互不相同,其认证的方式呈现多样化,用户登陆不同的业务系统可采用完全不同的登陆方式,管理员对于用户的管理在后台是分散的②。
2.缺乏集中统一的资源访问授权机制
各种业务系统对于资源的授权访问方式不同,资源访问授权分散于各类业务系统中,缺乏集中的资源访问授权,使得管理员对于配置细粒度资源访问以及授权往往感到力不从心。
3.缺乏集中统一的日志审计机制
同样,系统资源的访问日志以及系统资源的关键操作审计信息也是分散的,使得管理员对于系统安全时间的分析和追中变得十分复杂。
而3A安全技术可以很好的从认证、授权和审计这三个方面解决上述问题。
(二)电子文件档案归档的安全性分析
电子文件给档案带来了新的挑战,包括容易被删除和被篡改等问题。同时,产生的电子文件形式多样,复杂,量多阱及建立文件的系统的快速变化都是不小的问题。当前,我国主要对电子文件的元数据归档,电子文件的存储介质的安全保护和环境保护、电子文件存取访问控制等技术进行了大量研究。然而,由于电子文件数量的急剧增加和档案信息载体的多样化.档案保护理论与技术研究的范围和重点正在逐步扩大,从广义上来讲,电子文件归档的信息安全保障的内容包括档案信息内容安全、存储安全、系统安全、网络安全、利用安全和管理安全等③。基于以上原因,文章通过分析电子文件在移交归档与提供利用的安全需求和特点,在研究电子文件档案的安全架构基础上,提出一种运用XML技术.以数据安全为核心的具有真实性、完整性、可防篡改验的电子文件归档的安全方案…,实现基于网络的电子文件的安全移交,保证电子文件在移交过程中的真实性、完整性和安全性,以及实现电子文件档案在提供利用时提供合法性的证明,从而达到电子文件移交与利用的立体式、多层次的网络安全保障体系。
三、电子文件归档安全模式设计
上面从理论方面对解决档案归档进行了介绍,接下来,将从简单的模式设计思想方面来介绍如何运用3A技术在档案归档中解决真实性、完整性和不可篡改性这三性问题。设计思想的主体是基于XML的安全模式。
(一)基于XML的电子文件档案归档信息传输安全模式
整个模式可以划分为三个阶段:
第一阶段:归档单位对归档信息的收集处理。
第二阶段:档案馆对归档信息的存储处理。
按照归档方式分为逻辑归档和物理归档两类, 在归档信息收集过程中可分为归档文件与归档信息分离和归档信息封装归档文件两种形式进行。逻辑归档时,只将归档文件的相关信息生成传输信息; 而在物理归档时, 除了背景等相关信息外,在传输信息中还要将文件本身封装进去,从而达到物理归档的目的④。
(二)XML文档加密与解密
文档加密/ 解密包括文档加密、文件解密两过程
1.XML文档加密
(1)数字签名。进行数字签名过程是根据Head结点下的Signature结点信息,采用相应的签名算法(如RSA、哈希算法等)进行数字签名,然后将签名后的信息值封装入SignatureValue结点下,XML签名标准给出了多种可用签名算法。
(2)文档信息加密。文档加密算法可根据需要选择,如DES,RSA等,也可根据需要应用不同的加密强度,其选择是根据Head结点下Encryption结点中的信息。对要加密的结点其下的信息经过加密后封装称EncryptedData结点形式,加密后的信息存放在CipherValue结点下。
2.XML文档解密
(1)数字签名验证。字签名的目的是验证文档信息的发送者的合法性。在接收到文档后,就是对Head结点中的Signature结点下的信息应用解密模块进行数字签名验证。
(2)文档信息解密。文档的解密同样根据Head结点中的Encryption结点信息,利用解密模块对Body结点下的EncryptionData和FormatData结点下相应结点进行解密,得到文档的还原体。
保证电子文件归档的真实性、完整性和有效性除了要制定相应的管理制度管理规范, 更为重要的要靠必要的技术手段,文章针对电子文件归档过程的真实、完整、有效,简单提出了电子文件档案归档的安全模式的构想,为即将建立电子文件档案归档平台打下了坚实的安全基础。
注释:
①李仕宝,许宁,蔡彦虹.电子文件归档与电子档案管理初探[J].农 业科技管理,2005,24(5):41-43.
②壬萍国.外电子文件档案长期存取技术追踪[J].情报科学,2002,20(2):213-215.
外审员信息安全范文第6篇
建立网站的管理系统,实现编辑信息化管理
学报编辑部的“三审”工作头绪多,又很繁杂琐碎,所以如果稍有疏忽就可能出差错。用计算机网络站点对编辑部“三审”的日常工作进行管理,其高效、便捷的程度是传统管理模式无法做到的。学报编辑部可根据实际情况建立自己的网站,在网站上建立起符合本学报工作特点的网站管理系统。使用现代化的手段进行编辑管理,从稿件的登记、初审,专家的复审、修改、审定记录,稿件的终审、录用,到退稿、排版、校对等,都可利用相应站点来完成,从而实现编辑信息化管理,使编辑人员从大量繁琐的事务性工作中摆脱出来,提高工作效率和工作质量。在编辑出版整个过程中,无论对原有信息资源的存储、检查与利用,还是处于动态信息资源的掌握、搜集与分析,网站管理系统都能够提供极大便利,保证编辑工作的有条理性。网站的设置可以包括以下一些内容:
建立论文作者管理系统。通过建立一个来稿作者的数据库,使编审人员增加对他们的了解,包括他们的姓名、性别、年龄、学历、职称、所在单位、联系地址、主要的研究方向、主要论著等信息。建立这一数据库一是便于编辑了解作者的主要情况,加深对稿件内容的理解和把握;二是为编辑物色作者提供信息。数据库要不断补充新作者,注意作者层次结构和知识结构的合理性。运用这一系统,可以扩大作者队伍。目前学报编辑一般在编稿、校对上花费很多时间和精力,难以广泛地接触不同学科、不同行业的专家学者,要物色某一选题的最佳作者并不是一件容易的事。通常情况下,编辑习惯于只选择向自己较为熟悉的专家约稿,这样就会造成作者群狭小、老化问题。而通过网站的建设,可以打破这种封闭性。比如可以在网站的主页上进行有关学报内容、研究领域的情况介绍,让更多的人了解学报,有针对性地投稿,从而扩大作者队伍。
建立稿件管理系统。稿件是编辑的源泉。目前作者多是通过电子邮件、信件或直接到编辑部的方式投稿,由于作者对编辑部投稿要求不清楚,这种方式容易使稿件在编辑部和作者之间多次往返,浪费了很多时间在路上,而且还容易使稿件丢失。编辑部收到稿件后的归档也是一件很花费时间的事,尤其要进行全程计算机管理,还需要将文题、作者等信息录入计算机,做了很多重复的工作。借助网站,编辑部可在自己的主页上投稿要求,让作者在投稿前按编辑部的要求对自己的文章进行处理。我们可以在网站上设定存放作者稿件的目录,作者要投稿时,只需要将自己的文档上传即可。编辑可以通过编程等手段实现文稿自动记录,主要记录来稿情况,包括来稿的编号、题目、作者、字数、日期、联系地址、邮政编码、责任编辑、处理情况、发稿刊期、转载摘录情况等,自动生成数据库。要查询某个文稿情况时,只需输入几个指令就可以很快查出,并可为统计编辑工作量提供可靠数据。也为以后的编辑管理流程现代化奠定了基础。比如编辑部收到稿件后,利用编辑部管理软件,对稿件进行登记分类,先由责任编辑初审,认为可用,然后调出审稿专家数据库,查询作者对口专业的审者,选准审稿专家,有关专家可以直接进入网站点击相应内容进行复审。有些专家当天或隔日就可将审稿意见发给编辑部。经主编终审后,责任编辑通过网站将处理意见告诉作者。这一切都可以充分利用网络的实时传输,通过网站的系统进行操作,这样可以大大提高工作效率,缩短审稿时间,如果出现审者耽搁的情况,也可迅速作出调整,改送其他审稿人。
建立审稿人管理系统。主要包括“三审”中审稿人的姓名、专业、单位或地址、邮编、职称、专长、年龄、审稿费等。以及详细记录专家具体从事的研究领域、专业特长、代表成果、近期研究方向及获奖情况等。学报编辑遇到交叉学科或不熟悉的专业稿件时,可以送有关专家审稿。编辑部建立审稿人数据库,既能提高编辑工作效率,又能了解不同领域有建树的专家情况。审稿人管理系统应是动态变化的,要做到推陈出新,以便找到最适合的审稿者,从而保证审稿质量。
建立选题信息管理系统。主要包括与本学报有关的国家重点科研项目和省部级科研项目信息及其他课题信息,详细记录项目名称、项目负责人及主要成员信息、项目来源、负责单位、已有成果等。这些科研项目都是经过专家评估、科学论证后设立的,涉及内容是国内乃至全世界关注的相关学科的重点热点问题。这些研究动态在一定程度上反映了该学科发展的方向,研究成果也代表着该领域的先进水平。了解这些最新的学术动态,有利于正确制定和规划本学报的选题方向,确定一定时期内刊出论文的专业方向,为及时反映学术前沿的研究成果提供条件。
建立刊物质量、管理的系统。主要包括各级单位、学报界等下发的文件及本学报编辑部制定的各项规章制度,另外分类存入学报历年历期的论文数据及其转载、摘录、获奖、引用情况,编辑人员的工作业绩,包括完成年度工作的数量、质量、奖惩的记录及考核情况,读者、作者对本刊的反馈意见等。可以通过在网站上建立互动交流系统,随时就某一问题向相关专家学者请教或与作者进行探讨。这样就可以避免或减少由于编辑自身专业、信息和视野局限带来的主观性和随意性,为准确把握稿件质量打下坚实基础。
增加网络意识,提高学报编辑人员的信息化管理水平
改变思想观念,树立创新意识。在以开放性、动态性为特点的网络环境下,作为高校学报编辑,应把增强网络意识作为提高自身素质的一个重要方面,充分认识信息时代编辑工作的全新含义,紧跟信息网络化的步伐,运用当前最新最快的网络技术,采用编辑工作的现代化手段,学会更快更好地获取信息和处理信息,以体现高校学报编辑工作的时代性。
掌握现代化编辑手段,创建新的编辑信息管理模式。网络的迅猛发展,要求编辑掌握好现代化编辑手段。按照传统模式,作者的一份稿件送专家审阅返回后,由编辑在稿纸上对稿件进行修改,再由排版人员进行排版。这样修改稿件实际上经过了在纸编辑和在机编辑两道重复性劳动,暴露出稿件处理速度缓慢,效率低,信息利用率差等弊病。在网络环境下,借助网络技术和数据库,学报编辑直接参与计算机编辑、排版、绘图等工作,真正做到学报编辑、排版、校对一体化,从而可大大提高学报的编排质量。在纸编辑向在机编辑、在线编辑转变,是高校学报网络化的必然结果。编辑人员只有在机编辑兼排版,才可避免上述工作的重复和因此而造成的误差,做到简便又准确。尤其在复杂的图、表、公式的编辑加工上,由编辑直接在机扫描、粘贴、绘制,实际上减少了图稿校改次数,既提高了质量,又加快了处理稿件的速度。在线编辑,更有利于网络上返修稿件,做到版面设计更加合理化,真正做到编排一体化,这是网络背景下编辑的必然模式。
掌握计算机网络知识及多媒体技术,促进高校学报编辑工作信息化。随着信息网络化的日益普及,运用多媒体手段对学报进行编辑加工已成为一种趋势,应该说多媒体技术的应用将给编辑工作带来全新的变革。以纸型文稿为主的编稿、校稿方式将逐步减少,作者投稿将以通过网站上传为主要方式,而编辑与作者之间的交流对话也将通过网络技术直接进行。除此之外,传统的编辑加工、文稿校对、清样审读、装帧设计、出版速度等都会产生前所未有的变化。作为信息传播者的高校学报编辑除要进行常规的阅读外,还必须熟练掌握计算机应用技术和网络技术。还要经常上网捕捉各学科发展的最新信息、最新动态,新的知识,储备丰富的资源,开阔视野,提高学报的新颖性。信息时代对编辑的要求目前已出现综合化的趋势,即由过去主要担负稿件加工工作转变为一个人同时兼任稿件的选题策划、编辑加工、输入排版、校对、版式设计。学报编辑在编辑过程中应充分利用因特网等工具,重视先进和完善的编辑信息管理软件的作用,建立一个高效的信息处理反馈系统,对各种信息应做到快速处理,及时反馈,以处理编辑过程中的大量信息,缩短稿件处理时间。
提高自身网络信息的保护能力。除了国家法律法规的安全保障外,编辑应掌握更多计算机知识,以保证学报的网络安全和信息安全,比如密码技术、访问控制技术、病毒检测技术等,从而保证编辑工作的顺利进行。
实现编辑信息化管理对提升学报水平的意义
随着各种网络硬件设施的改善,编辑人员对网络应用技术的应用范围扩大,有效地解决了网络传播这一瓶颈问题,这对高校学报而言,无论是从加快科技信息传播速度,为读者提供最新科技信息和优质服务的角度考虑,还是从争取优质稿件,争取首发权、增强刊物竞争力的角度考虑,都有重要的意义。
使用在机编辑代替在纸编辑,有助于提高编辑的质量。按照传统的方法,作者在投稿时附一份文稿送编辑审阅后,编辑在稿纸上进行修改,修改包括文字上的和格式上的内容,定稿后,再进行排版,这样修改稿件实际上经过了在纸编辑和在机编辑两道重复的程序。实现编辑信息化管理,让编辑人员在机编辑兼排版,就可避免这个没必要的重复,并减少误差,准确又简便。尤其是对复杂的科技图表、公式的处理上,编辑直接在机扫描、绘制、粘贴,就减少了图稿校改的次数,一方面提高了质量,另一方面加快了稿件的处理速度。
使用在线投稿、审稿的方式,提高审稿针对性,缩短稿件流程。实现编辑信息化管理,就可以充分利用网络的实时传输,更快地有针对性地审读稿件,提高稿件处理效率和稿件审核的质量,以保证学报的质量,以吸引更多好的作者前来投稿,形成一个良性的持续的循环。
使用计算机网络数据库,可快速检索。计算机情报联网检索将以其快、新、准的特点成为今后文献检索的主要手段之一。编辑可以利用网络上提供的文献检索系统,了解研究课题的进展,选择审稿专家,查询及核对文献。通过检索,编辑可以了解所用文稿的内容在理论界是否先进、独创,网络文献的检索为编辑核对参考文献提供了方便,也保证了学报办刊的质量。
使用网络约稿,扩大稿源。制作好网站,利用网络宣传学报,向通过网上查阅到的专家发出约稿函,范围可扩大到国外同行,约稿更广,针对性更强,反馈时间快,成功率也较高。
使用电脑校对更显示优势。电脑校对的效率高,电脑校对适用中英文。在电脑校对过程中,还可以扩大校对的范围和提高校对的准确性,可以增加专业词汇,使用自定义库,把校对系统未查出的错误添加进去,随着校对次数的增多和对各类词库的不断扩充,电脑校对的准确性将越来越高。编辑部内部进行联网后,不同编辑加工后的论文不必打印就可传至另一编辑的电脑内进行互相核对。
使用网络发行学报的电子期刊。提高学报的知名度,电子刊物的特点是时效性高,由于省去了印刷、发行等种种环节,可以更快地把最新的消息在第一时间告诉读者,并能按不同读者的口味改变其显示方式,有助于扩大发行量。
结束语
学报通过加强信息化管理所表现出来的优势是明显的,它对传统的编辑概念形成了巨大的冲击,对传统的学报编辑流程也提出了更高的要求,它代表着学报发展的方向。作为高校学报的编辑工作者应该清楚地看到这一点,及时地转变观念,增强紧迫感与危机感,锐意改革,积极探索高校学报信息化管理的新路子。
参考文献:
1.汪道友、王涛:《科技期刊现代化探讨》,《编辑学刊》,2001(4)。
2.陈辉:《论作者队伍建设与科技期刊的可持续发展》,《编辑学报》,1999(4)。
3.培:《创新是科技期刊的生命》,《编辑学刊》,2001(4)。
4.王利群、赵军平:《中国科技期刊上网的形式与思考》,《编辑学报》,1999(11)。
5.赵军平:《网络组稿与编辑经验浅谈》,《中国科技期刊研究》,2000(11)。
外审员信息安全范文第7篇
一、目前审计机关资源整合中存在的问题及原因
1.审计机关人力资源整合中存在的问题及原因。由于我国国家审计现行体制运行模式的限制,审计人力资源数量和质量都与工作要求不符,尤其是质量有待提高。目前的审计专业化人才队伍建设和新的形势、新的任务相比,下级审计机关高层次复合型人才稀缺;培训资源相对匮乏,对于计算机审计、固定资产投资审计和经济责任审计等培训需求强烈;激励机制需要健全,很多经验丰富、年龄偏大的审计人员在政治待遇和经济待遇上不能明显体现其专业价值,激励机制不健全,热情未得到有效激发。审计人员的数量和素质是完成审计任务的根本保证。通过整合审计机关人力资源,可以促进审计人员的优化组合,实现审计人员与现有审计对象的最佳结合,拓展审计项目的深度、广度、力度。
2.审计机关技术资源整合中存在的问题及原因。审计技术资源的整合,主要涉及计算机审计技术方法和一般审计应用技术方法的研究、开发、应用及推广。随着国家金审工程统一部署,审计信息化建设不断加强,计算机审计技术应用的深度和广度得到进一步拓展,联网审计稳步推进。但在实际工作中,有些审计机关重设备配置,对审计软件开发和推广应用办法不多,未真正地改进审计管理方式;许多审计人员的计算机应用水平较低,未充分发挥计算机功能。
3.审计机关信息资源整合中存在的问题及原因。审计信息资源是审计机关在审计过程中所获取的全部资料和所形成的全部审计工作记录。目前,审计财经法规库、地方法规数据库、被审计单位数据库、专家经验库等基础数据库建设初有成效,但审计机关在审计信息资源利用和共享方面还存在诸多问题,导致信息资源优势未能充分发挥。
4.审计机关组织资源整合中存在的问题及原因。审计组织资源整合主要是审计署、特派办及地方各级审计机关之间的资源整合,包括上、下级审计机关的资源整合和地方各级审计机关之间的资源整合。当然,审计机关还应主动与被审计单位所涉及的地方有关部门,如检察院、纪委、主管部门、税务、地方政府等加强联系,取得他们的理解、支持与配合,充分利用各监督部门对被审计单位的近期监管、检查资料。审计机关需要建立审计整改联席会议制度,这些都需要上级审计机关加大对下级审计机关的业务指导力度。
二、审计机关资源有效整合方案
1.上下级审计机关人力资源有效整合方案。(1)根据审计计划合理安排人力资源。对审计项目所需人员实行统一调配,对聘请人员进行统一管理。各级审计机关在每年年初制定审计计划时,都要确定年度审计重点,根据审计计划科学合理地安排人力。在审计项目和计划安排整合的基础上,不拘泥于原有的处室人员分配,打破按专业分工的传统组织模式,选择适合项目的审计人员,科学分工、发挥专长、优势互补,对审计人力资源进行优化整合。在工作调配上实行“一盘棋”思想,不仅能平衡工作量,减轻任务较重部门的负担,而且能使审计干部在参与其工作领域以外的任务中得到锻炼,使其综合业务能力迅速提高。
(2)健全需求为导向的人力资源培训体系。各级审计机关应健全和完善以需求为导向的干部教育培训机制,大力实施审计专业领军人才培养,加大对业务骨干人才、急需人才、青年审计人才、复合型人才的培养力度,整合教育培训资源,深化教育培训内容,创新教育培训方式,更加注重网络和案例学习培训,推行“审计实务导师制”,充分发挥业务骨干对青年审计人才的传、帮、带作用,健全需求为导向的人力资源培训体系。
(3)把好各级审计机关进入的入口关。除了对各级审计机关现有人员加强后续教育外,还需要通过引进高层次复合型人才来改变现有的人才结构。对于新引进的人才,要建立审计资格准入制度,比如具备本科以上学历、具备CPA资格证书或者审计师、高级审计师资格,在现有审计人员基础上,引进一批高层次的审计人才。在补充审计力量时还要招聘一些法律、工程、环境保护、计算机等相关专业人才。除此之外,还要考虑逐步改进审计人员的学历、年龄结构。
(4)建立健全激励机制。各级审计机关应建立行之有效的激励机制,以激发审计人员的工作热情、创造性和主动性,完善以竞争上岗为主体的干部选拔任用机制,建立推行干部交流轮岗、挂职锻炼制度,加快上下级机关的人才双向流动,健全干部考核机制,创新人才激励机制,完善社会人才资源利用机制。人才是审计事业科学发展的第一资源。加速推进审计工作转型升级,必须实施“人才造就工程”,加快造就审计人才队伍。
2.审计机关技术资源有效整合方案。(1)加快信息化审计平台建设。尤其是审计管理平台和现场审计平台建设,广泛应用现场审计实施系统,试点信息系统审计,积极推广对重要行业的联网审计,探索开展对数据大集中的某些行业或项目的上下联动审计,建设信息化审计作业平台。
外审员信息安全范文第8篇
【关键词】施工企业;会计电算化;内部控制;对策
施工企业会计电算化发展的现状会计电算化是以电子计算机的电子技术以及信息技术应用到会计事务上的体现。自从财政部1994年《会计电算化管理办法》以来,许多企业都逐步实施了会计电算化,取得了成效和不少经验。但是施工企业财务管理仍然存在粗放性、财会人员文化程度低等多问题。当前我国只有少部分大型施工企业实施会计电算化,采用电子计算机来代替人工记账和报账,这样采用会计电算化记报账也可以同时对会计信息进行分析、预测,提高了企业财务管理水平,增强了经济效益。大部分施工企业在运用电脑记算账时都比较成熟,然而对会计信息系统的使用还停留在表面上,会计电算化的发展利用水平较低。
一、施工企业会计电算化的必要性
会计电算化的逐步推广,其不仅仅能保证施工企业财务信息在汇总过程中快捷和准确性,而且还具有以下特有的重要性:
(一)防范企业经营风险
面对市场竞争环境的急速变化,以及买方市场的迅速形成,很多施工企业在经营中遇到了许多困难,其中很重要的原因是没有进行会计电算化建设。随着对会计电算化的认识程度的提高,不少建设施工企业相继建立了电算化会计信息系统,但是大多数企业对会计电算化的认识仅停留在其高效的工作效率上,而往往忽视了会计电算化对企业风险防范的作用。相信在不久的将来,会计电算化对施工企业风险防范的作用会日益凸显,人们对其的认识程度也会更高。
(二)适应国际发展趋势
在传统财务会计中,财务报表是财务报告的核心,附表、附注提供报表以外货币性信息和非货币性信息,它们是财务报表的重要补充。互联网在财务会计中的运用,使得财务数据的收集、加工、处理都可以适时进行,不仅迅捷、而且可以双向交流,财务信息的及时性得到极大的提高,甚至报表阅读者可以根据自身的需要,以财务会计的原始数据为基础,进行再加工,获得更深入的信息。
另一方面,财务报告中包含的人力资源、环境保护等信息重要性迅速提高,以附表、附注形式披露的信息不再只是会计报表的补充,以前并不重要的信息或受成本效益原则约束无法披露的信息,都必须进行充分、及时的披露。随着相关制度的完善,市场监管力度的不断提高,以及互联网络的快速普及,传统财务会计报告的结构和内容都已经发生了较大的变革。因此,加强会计电算化系统内部控制就十分必要。
(三)强化审计工作的需要
国际上近代的审计都是以系统为基础的,即审计师要对会计系统的内部控制进行审查和评价,以作为制定审计方案和决定抽查范围的依据。由于会计系统实现了电算化,手工会计系统原有的内容控制已不能适应电子数据处理的新特点,不能有效地降低电算化会计系统特有的风险。在会计电算化条件下,由于内部控制发生巨大变化,审计人员必然研究电算化系统的内部控制,掌握其审查方法。对程序控制,审计员要利用计算机辅助审计技术进行审计。对于电算化会计信息系统内部控制的弱点,审计人员要能评估其影响,并向被审单位提出改进的建议。可见,加强会计电算化系统内部控制具有十分重要的作用。
二、会计电算化对施工企业内部控制的作用
(一)丰富了内部控制形式
原手工操作下一些内部控制措施在电算化后便没有存在的必要性,或转移到计算机内进行,电算化会计除了人这个执行控制的主体外,许多内容和控制方法主要通过会计软件来实现。因此,计算机系统的内部控制也由手工条件下的单一人工控制,转为人工控制和程序控制。由于此特点,电算化系统许多应用程序中包含了内部控制功能,一定程度上丰富了内部控制的形式。
(二)增加了存储介质
在手工操作下,企业的经济业务发生均记录于纸张上,按会计数据处理的不同阶段分为原始凭证、记账凭证、会计账簿和会计报表。纸质原件的数据若被修改,容易辨别出修改的线索和痕迹,但是在电算化系统下,原来纸质的会计数据被直接记录在磁盘或光盘上,很容易被删除或篡改。另外,电磁介质易受损坏,所以会计信息也存在丢失或毁坏的危险。
(三)弱化了财务管理安全
随着计算机技术和网络通讯技术的发展,网络化会计信息系统的日趋普及,网络的广泛应用在很大程度上弥补了单机电算化系统的不足,使电算化会计系统的内部控制更加完善,但是也带来了新问题。目前财务软件的网络功能主要包括:远程报账、远程报表、远程审计、网上支付、网上报税、网上采购、网上销售、网上银行等,实现这些功能就必须有相应的控制,从而加大了会计系统安全控制的难度。
三、施工企业会计电算化内部控制存在的主要问题
电算化会计信息系统的建立对施工企业授权与执行、审计线索、会计信息安全、内部控制方式等方面都产生了重大影响。当前施工企业会计电算化内部控制存在的问题,主要表现在以下几个方面:
(一)会计软件的安全和保密性不高
现在所有的会计软件,都存在着安全隐患。在软件的设计、开发过程中,软件公司为了使系统的功能更加强大,把大量的精力投入进了这个方面,忽略了软件的安全性。会计数据就有可能被篡改,而一旦出现问题,在没有操作记录的情况下,将无法查清原因。
(二)会计人员非法操纵或操纵失误
这是会计电算化内部控制中的主要任务,因其系统的程序、数据、文件等很轻易被仿造、复制和修改,而不会留任何痕迹,所以某些职员为了达到个人目的,利用职务之便或不按操纵规程进行非法操纵,给单位造成严重损失。
(三)缺乏专业的系统技术人员
目前,从施工企业的会计职员来看,缺乏既懂计算机知识又熟悉施工专业知识的财会人员。如有些施工企业的会计人员虽然在会计业务方面的经验丰富,但计算机专业知识却很匮乏,难以胜任用计算机处理业务的工作;计算机软件开发及维护人员对施工企业的会计知识掌握不够,因此软件设计不能满足会计系统内部控制的需求,或软件功能与会计功能相脱离。
(四)未建立有效的内部控制制度
主要表现在以下几个方面:(1)观念上存在分歧。目前我国施工企业的某些高层领导认为内部会计控制就是内部资产控制和内部成本费用控制,甚至认为会计控制不过就是虚设的条条框框。(2)有些施工企业未能满足相关条件就正式使用计算机软件系统。(3)一些企业存在岗位职能混淆的状况。[4]如企业的电算化系统开发人员不应直接接触或者正式操作电算化会计系统,凭证的输入和复核人员必须由不同的人员执行,一旦系统数据被非法修改、拷贝或是系统程序控制失效,就会影响系统运行的稳定性和安全性,严重的可能会导致系统的崩溃,给企业造成不可估量的损失。
四、会计电算化环境下提高施工企业内部控制的若干建议
(一)培养新型会计电算化人才
要加强会计电算化人才的培养和相关工作人员的培训工作。具体而言,可以在企业中以财务工作人员为主体,加上工程技术人员、计算机信息技术人员、管理人员等,培养出既可以胜任企业日常财务管理工作,又能进行风险预测和重大决策分析的现代会计电算化人才。此外,还应当重视对在职财经会计工作人员的培训工作,可以进行多形式多阶段的培训,这其中主要是突出上机实际操作工作的教育和培训,从而使得工作人员对会计信息化工作的要求和具体内容有一个深刻的认识。最后,企业应该制定会计电算化方面人才的引进机制和奖励机制,开展会计信息化人才的储备工作,确保企业日常的财经会计工作的正常进行。
(二)优化会计软件功能和保障信息安全
当今多数施工企业中使用的专业会计软件尽管开始从核算型向管理型转变,但相应的功能模块并不能满足管理的需要。如果想要最大程度上实现会计电算化的优势,使其更好地为施工企业的管理服务,就需要把会计电算化归入整个管理信息系统,优化专业会计软件的功能,增添管理型功能模块,真正实现向现代化管理过渡。
会计电算化工作中,数据的安全性与保密性是内控制度的重中之重。专职系统操作员只能使用经编译并加密的程序,不能接触系统设计文件、程序流程图及源程序清单,不能兼任会计及审核工作;系统软硬件维护人员不能担任系统操作和会计工作:会计软件维护必须经过批准并在监督下执行。各岗位相关人员的职责权限和维护人员的职权是不相容的,必须分工明确,不得兼任,同时,各岗位人员要保持相对稳定。加强财务软件管理,保证软件的安全可靠,降低网络化风险。
(三)业务程序标准化,严把会计核算控制质量关
施工企业内部控制工作不能再停留于“一张嘴、一支笔”的层次上,而要按照会计电算化的需求,运用现代化的手段实现业务程序标准化,严把会计核算控制质量关。[5]会计核算控制是电算化系统内部控制中的重要内容,必须保证账务处理的正确性、规范性、真实性。从核算环节把关,保证整个系统正常运行,做到数据真实、完整和安全,业务处理合法、有效。会计核算控制是防范和化解会计核算风险的重要环节,必须引起高度重视。
(四)制定会计电算化的总体实施方案
根据会计电算化实施方案的要求(目标、计划和验收要求),明确会计电算化的具体工作内容,进行会计电算化试点工作。通过会计电算化的试点探索,对资金投入、计算机(包括交换机、软件)配置、人员设置、财务管理模式等存在的问题加以解决和改进;对内部控制制度和会计电算化管理制度加以完善;对会计电算化软件和上机操作指导书进行不断完善,并通过试点成功后的验收对会计电算化实施经验加以总结,为企业会计电算化的全面推广做好准备;在全面推广会计电算化工作阶段,要制定详细的分阶段实施计划,切实解决人机资源配置和资金投入,根据各分公司、项目部的特点采取具体的针对性措施,做好会计电算化全面推广工作和新项目覆盖工作。
参考文献
[1]鲍玉英.浅谈高校会计电算化后的内部控制[J].池州师专学报. 2007(04)
[2]沈淑红.试论高校会计内部控制体系的建立[J].事业财会.2007(04)
[3]余君.会计电算化对内部会计控制的影响[J].公用事业财会. 2007(03)