信息安全管理規則范例6篇

前言：中文期刊網精心挑選了信息安全管理規則范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

信息安全管理規則范文1

關鍵詞：移動互聯網；公共信息；安全保障；機制

一、移動互聯網鞏固信息安全概述

移動互聯網信息主要是指利用移動互聯網，可以存取、訪問的涉及到公共利益的信息。移動互聯網公共信息安全具有幾個特點：第一，具備較好的保密性。移動互聯網的公共信息不會在未授權的情況下被解析或者使用。第二，具備較好的完整性。信息在傳播途徑中不會被肆意篡改。第三。具備很好的實用性。幾乎在任何情況或場景下，信息都能夠在滿足用戶基本需求的情況下加以使用。第四，具備很好的真實性。在信息交互的過程中，信息的者和來源通常都是真實可信的。

二、移動互聯網公共信息安全制約因素

（一）移動互聯網的全民使用

移動互聯網在信息安全的保障上之所以會遇到各種阻礙，一個很大的原因在于移動互聯網有著非常大的使用群體。在全民使用的背景下，移動互聯網的管制權限被很大程度分散。由于使用者在使用目的、使用方法和使用模式上的差異，使得移動互聯網資源在管理和保護上很容易發生各種分歧，這不僅使得信息安全的保障工作更難于展開，也使得信息安全問題更加廣泛與普遍。

（二）移動互聯網的監管不力

我國針對移動互聯網信息安全的監管和保障工作在實施上仍然有較大的革新與完善空間。客觀來說，針對移動互聯網的信息安全管理仍然存在很多監管不力的情況。不僅如此，由于很多管理問題界定的不夠明確，且管理人員觀念的滯后，管理模式的低效，這些都是的信息安全的管理難以收獲相應的成效。

（三）相關技術發展的滯后

信息安全的管理需要借助大量技術手段展開，但是，目前國內針對移動互聯網信息安全管理的技術仍然整體滯后。從實際情況來看，我國在移動互聯網的發展和整體的管理上仍然處于起步階段，因此，在管理模式和保障機制的建設上仍然在不斷探索，各類有效的管理技術還沒有真正發展起來。不僅如此，由于我國移動互聯網的很多核心技術來源于國外這使得在進行管理規則和標準的制定上會受到這些國家的制約，這也是我們經常會看到移動互聯網被竊聽或者擾等各類信息頻繁產生的原因。由于我國自由的信息安全管理技術的滯后，這極大的阻礙了信息安全保障體系的建立，也讓整個移動互聯網的管理處于被動的狀態。

（四）信息安全保障機制的缺乏

信息安全需要一套完善健全的保障機制作為依托，但是，目前我國針對移動互聯網的信息安全管理制度和保障機制的建設仍然非常滯后。不僅相關的法律條文不夠完善健全，缺乏良好的可實踐性，整個相關部門也沒有加強對于公共信息安全的監督管理，并沒有采取強有力的措施來保障這部分工作。這些都會產生很多潛在問題，不僅讓信息安全得不到相應的保障，也會直接影響到移動互聯網使用的便利性。

三、移動互聯網公共信息安全保障機制

（一）政府職能部門發揮積極作用

網絡信息安全的管理與實施，這需要國家政府職能部門加強統籌管理，并且在管理制度的建設上有良好落實。對于一個國家的網絡信息安全的管理工作而言，政府部門肩負著絕對的主導和主要的管理職能。政府只有提升對于這部分工作的重視程度，才會相應在法律的制定和管理模式的建立上多下功夫，才能夠維護良好的整體網絡安全環境。政府不僅要在政策層面加強監管，也要對于相應的職能部門和機構做更深入的管理。這樣才能夠推動這些部門功效的發揮，能夠營造更好的網絡安全的管理環境和實施氛圍。

（二）加強信息安全法律建設

加強信息安全的法律建設，這是提升移動互聯網信息安全的有效措施。具體來說可以采取一些相應的管理手段。比如，建立手機實名制法律。

（三）推動管理機構的建立

高質量的信息安全管理和保障機制的建設需要相應的管理機構來完成各項具體工作。目前，我國針對移動互聯網的信息安全管理機構整體上不太完善與健全，因此，很有必要在這個環節上進行嚴格把關，推動管理機構的良好建立，并且讓其功效得到充分發揮。這樣才能夠提供良好的保障體系，讓各類管理和監督工作可以真正落到實處。

信息安全管理規則范文2

［基金項目］教育部人文社會科學研究規劃項目（10YJA790182）；南京審計學院校級一般項目（NSK2009/B22）；江蘇省優勢學科“審計科學與技術”研究項目

［作者簡介］劉國城（1978― ），男，內蒙古赤峰人，南京審計學院講師，碩士，從事審計理論研究。

第27卷第3期2012年5月審計與經濟研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012

［摘要］在分析中觀信息系統風險與損失的成因基礎上，借鑒BS7799標準，一方面從物理層次與邏輯層次兩個方面研究中觀信息系統固有風險的評價模式；另一方面從一般控制與應用控制兩個層面探索中觀信息系統內部控制的評價機制?；贐S7799標準對中觀信息系統審計進行研究，旨在為IT審計師有效實施中觀信息系統審計提供應用指南。

［關鍵詞］BS7799標準；中觀審計；信息系統審計；內部控制；中觀信息系統；中觀信息系統風險

［中圖分類號］F239.4［文獻標識碼］A［文章編號］10044833(2012)03005007

所謂中觀信息系統審計就是指審計主體依據特定的規范，運用科學系統的程序方法，對中觀信息系統網絡的運行規程與應用政策實施的一種監督活動，旨在增強中觀經濟主體特定信息網絡的有效性、安全性、機密性與一致性，以保障中觀信息系統的高效運行［1］。中觀信息系統的審計主體即IT審計師需要重視中觀信息系統審計的復雜性，且有必要借助BS7799標準，構建并完善中觀信息系統審計的實施流程，優化中觀信息系統審計工作，提高審計質量。之所以需要借助BS7799標準，是因為BS7799標準的眾多功能可以滿足中觀信息系統審計工作的需求。在尚未有詳細信息系統審計（以下簡稱“IS審計”）規范的條件下，中觀信息系統審計對信息安全管理策略的需求巨大，而BS7799標準恰恰是問世較早且相對成熟的信息安全管理標準，它能夠確保在計算機網絡系統進行自動通信、信息處理和利用時，在各個物理位置、邏輯區域、存儲和傳媒介質中，較好地實現保密性、完整性、有效性與可用性，能夠在信息管理與計算機科學兩個層面加強信息安全管理向中觀信息系統審計的理論轉化，中觀信息系統審計的需求與BS7799標準的功能具備整合的可行性。

一、 BS7799標準

1995年，英國貿工部制定了世界首部信息安全管理體系標準“BS77991：1995《信息安全管理實施規則》”，并作為各類組織實施信息安全管理的指南［2］，由于該標準采用建議和指導的方式編寫，因而不作為認證標準使用；1998年，英國又制定了信息安全管理體系認證標準“BS77992：1998《信息安全管理體系規范》”，作為對組織信息安全管理體系進行評審認證的標準［3］；1999年，英國再次對信息安全管理體系標準進行了修訂，形成“BS77991：1999”與“BS77992：1999”這一對配套標準；2000年12月，“BS77991：1999”被ISO/IEC正式采納為國際標準“ISO/IEC17799：2000《信息技術：信息安全管理實施規則》”，此外，“BS77992：1999”也于2002年底被ISO/IEC作為藍本修訂，成為可用于認證的“ISO/IEC《信息安全管理體系規范》”；2005年，BS77991與BS77992再次改版，使得體系更為完善。BS7799標準體系包含10個管理要項、36個管理目標、127個控制目標及500多個管理要點。管理要項如今已成為組織實施信息安全管理的實用指南；安全控制目標能夠幫助組織識別運作過程中影響信息安全的因素。BS77991幾乎涵蓋了所有的安全議題，它主要告訴IT審計師安全管理的注意事項與安全制度。BS77992詳細說明了建立、實施和維護信息安全管理的要求，指出組織在實施過程中需要遵循的風險評估等級，從而識別最應該控制的對象并對自身需求進行適當控制。BS77991為信息系統提供了通用的控制措施，BS77992則為BS77991的具體實施提供了應用指南。

國外相對成熟的信息安全管理理論較多，它們各有千秋，彼此之間相互補充且有交叉。BS7799標準僅是眾多信息安全管理理論中的一種，與傳統審計方法相比，僅適用于IS審計范疇。然而，BS7799標準的特別之處表現在：其一，它是一部通用的信息安全管理指南，呈現了較為全面的系統安全控制措施，闡述了安全策略和優秀的、具有普遍意義的安全操作方法，能夠為IT審計師開展審計工作提供全程支持；其二，它遵循“計劃-行動-控制-改善方案”的風險管理思想，首先幫助IT審計師規劃信息安全審計的方針和范圍，其次在審計風險評估的基礎上選擇適當的審計方法及風險控制策略并予以實施，制定持續性管理規劃，建立并運行科學的中觀信息系統審計執行體系。

二、 中觀信息系統的風險與損失

中觀信息系統風險是指成功利用中觀信息系統的脆弱性或漏洞，并造成系統損害的可能性。中觀信息系統風險極其龐雜且非常普遍，每個中觀信息系統面臨的風險都是不同的，這種風險可能是單一的，也可能是組合的［4］。中觀信息系統風險包括：人員風險、組織風險、物理環境風險、信息機密性風險、信息完整性風險、系統風險、通信操作風險、設施風險、業務連續性風險、法律風險及黏合風險（見圖1），它們共同構成了中觀信息系統的風險體系，各種風險除具有各自的特性外，有時還可能相互作用。

中觀信息系統風險的成因離不開外來威脅與系統自身的脆弱性，且風險的最終后果就是損失。圖1中的“a.威脅性”是系統的“風險源”，它是由于未授權訪問、毀壞、數據修改以及拒絕服務等給系統造成潛在危害的任何事件。中觀信息系統的威脅來自于人為因素及非人為因素兩個方面。人為因素是對中觀信息系統造成威脅的決定性力量，人為因素造成威脅的主體有競爭對手、網絡黑客、不滿員工或正常員工。圖1中的“b.脆弱性”是指在系統安全程序、管理控制、物理設計中存在的、可能被攻擊者利用來獲得未授權信息或破壞關鍵處理的弱點，由物理環境、技術問題、管理問題、法律問題四個方面組成。圖1中的“d.風險承受力”是指在中觀信息系統遭遇風險或受到攻擊時，維持業務運行最基本的服務和保護信息資產的抵抗力、識別力、恢復力和自適應能力。

中觀信息系統風險的產生有兩種方式：一是遵循“abc”路徑，這條路徑形成的風險為中觀信息系統“固有風險”，即假定中觀信息系統中不存在內部控制制度，從而造成系統存在嚴重錯誤與不法行為的可能性。該路徑的作用形式為人為因素或非人為因素是風險源，對中觀信息系統構成威脅，該威脅產生后尋找并利用系統的脆弱點（假定中觀信息系統對該脆弱點沒有設計內控制度），當威脅成功作用于脆弱點后，就對系統進行有效攻擊，進而產生中觀信息系統風險。二是遵循“abPc”路徑，該路徑所形成的風險為中觀信息系統的“控制風險”，即內部控制制度體系未能及時預防或發現系統中的某些錯誤或不法行為，以致中觀信息系統遭受損失的可能性。與“abc”路徑比較，該路徑多出“P.內部控制”過程，這說明當威脅已產生并將利用系統的脆弱點時，中觀經濟主體已經對該脆弱點設計了內控制度體系，但是由于內部控制制度設計的不科學、不完善或沒有得到有效執行，從而造成內部控制未能阻止“威脅”，致使中觀信息系統形成風險。中觀信息系統損失的形成遵循“cde”路徑。然而，由于中觀信息系統自身具有一定的風險防御能力（即“d.風險承受力”），因而并非所有風險都將造成損失。當中觀信息系統識別并抵抗部分風險后，最終未能消除的風險通過對系統的負面作用，會給中觀信息系統造成間接或直接的損失。

三、 中觀信息系統固有風險的評價模式

圖1中的“abc”路徑是中觀信息系統固有風險產生的路徑，固有風險形成的條件是“假定不存在內部控制制度”。評價固有風險是中觀信息系統審計準備階段的一項基礎工作，只有正確評價固有風險，才能合理評估審計風險，準確確定審計范圍并制定審計計劃［56］。筆者認為，BS7799標準之所以能夠有效評價中觀信息系統的固有風險，是因為BS7799標準的管理要項、管理目標，控制措施與管理要點組成了信息安全管理體系，這個體系為IT審計師確定與評價系統固有風險提供了指南［7］。BS7799標準對IT審計師評價固有風險的貢獻見上表1。

(一) 物理層次的風險評價

物理層次的內容包括物理環境安全與物理環境設備［7］，其中，物理環境安全包括硬件接觸控制、預防災難措施和網絡環境安全；物理環境設備包括支持設施、硬件設備和網絡物理環境。針對上述分類，下面對物理層次風險評價進行具體分析。

首先是物理環境安全風險評價。在評價物理環境安全風險時，可以借鑒BS7799標準A、B、D1、D3、E、G8、H5、I、J。例如，IT審計師在了解被審中觀信息系統的“預防災難措施”時，可參照“A.安全方針”，依據BS7799對“安全方針”進行闡述，了解被審系統的“信息安全方針”，關注被審系統在相關的“方針與策略”中是否估計到了系統可能遭遇的所有內外部威脅；當威脅發生時，是否有具體的安全保護規定及明確的預防措施；對于方針的執行，是否對每位員工都有所要求。假若IT審計師在審計中未找到被審系統的“安全方針”，或找到了但“安全方針”并未涉及有關“災難預防”方面的安全措施，則IT審計師可直接認定被審系統在這方面存在固有風險。其次，物理環境設備風險評價。在評價物理環境設備風險時，可以借鑒BS7799標準A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如，IT審計師在了解被審系統有關“硬件設備”的情況時，可參照“C1.資產責任”。BS7799標準對“資產責任”的說明有“組織可根據運作流程與系統結構識別資產，列出清單”，“組織的管理者應該確定專人負責相關資產，防止資產的被盜、丟失與濫用”。借鑒C1的信息安全管理目標與措施，IT審計師可以關注被審單位是否列出了系統硬件設備的清單，是否有專人對資產負責。如果相關方面的管理完備，則說明“硬件設備”在責任方面不存在固有風險，IT審計師也不需要再對此方面的固有風險進行評價。再如，IT審計師在確認“硬件設備”方面的固有風險時，還可參照“E3.通用控制”。BS7799標準對“通用控制”的說明有“定期進行資產清查”，“未經授權，資產不能隨便遷移”等。借鑒這一措施，IT審計師需要了解被審系統的有關資產清查記錄以及資產轉移登記手續，如果相關記錄不完整或手續不完備，則IT審計師可直接認定“硬件設備”在控制方面存在固有風險。

(二) 邏輯層次的風險評價

邏輯層次的內容包括軟件環境、系統生命周期和邏輯安全［7］。其中，軟件環境包括系統軟件、網絡軟件與應用軟件；系統生命周期包括系統規劃、分析、設計、編碼、測試、試運行以及維護；邏輯安全包括軟件與數據接觸、數據加密機制、數據完整性、入侵檢測、病毒與惡意代碼以及防火墻。針對以上分類，下面對邏輯層次風險評價進行具體分析。

首先是軟件環境風險評價。在評價軟件環境風險時可以借鑒BS7799標準A、B、C1、D、E1、E3、F、G、H、I、J。例如，IT審計師在掌握被審系統有關“網絡軟件”的情況時，可借鑒“G2.用戶訪問管理”標準。BS7799對該標準的闡述包括“建立用戶登記過程，對用戶訪問實施授權”，“對特權實行嚴格管理”，“對用戶口令進行嚴格管理”等。借鑒G2下相關信息安全管理措施，IT審計師可以詳細核查被審網絡軟件是否建立了用戶注冊與登記過程、被審軟件的特權管理是否嚴格、是否要求用戶秘密保守口令。假若IT審計師發現用戶并未得到訪問網絡軟件的權限卻可以輕易訪問網絡軟件，則該軟件必然存在風險，IT審計師就可通過與BS7799標準比照并發表評價結論。又如，IT審計師在評價“系統軟件”固有風險時，可借鑒“G5.系統訪問與使用的監控”標準。該標準的闡述有“使用終端安全登陸程序來訪問信息服務”，“對高風險的不活動終端采取時限措施”。IT審計師在評價“系統軟件”自身風險時，可套用上述安全措施，逐項分析被審系統軟件是否完全達到上述標準并作出合理的風險評價。其次是系統生命周期的風險評價。在評價系統生命周期風險時，可借鑒BS7799標準A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT審計師在檢查被審系統的“系統設計”時，可參照“H1.系統安全要求”。H1的解釋為“系統設計階段應該充分考慮系統安全性，組織在項目開始階段需要識別所有的安全要求，并將其作為系統設計開發不可或缺的一部分進行調整與確認”。因而，IT審計師在檢查系統設計有關資料時，需要分析被審單位是否把上述解釋融入系統設計中，或是否全面、有效地融入設計過程，如果被審單位考慮了諸因素，IT審計師就可以確認被審系統的設計環節在此方面不存在風險。假若IT審計師發現在系統設計階段被審單位沒有考慮到需要“引入控制”，且在系統運營期間對系統的“控制”也不夠重視，則IT審計師可以作出系統自身安全及系統設計開發過程存在風險的結論。第三是邏輯安全的風險評價。在評價邏輯安全風險時，可以借鑒BS7799標準A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT審計師在檢查被審系統的“病毒與惡意代碼”時，可借鑒“G4.網絡訪問控制”。BS7799對該標準的闡述有“建立并實施網絡用戶服務使用方針”，“從用戶終端到網絡服務的路徑必須受到控制”以及“對外部鏈接的用戶進行身份鑒別”等。IT審計師在審計過程中，應該關注被審系統在上述方面的執行思路與執行程度，假若被審單位對上述方面缺乏重視，則惡意用戶未經授權或未受限制就能輕易訪問系統，系統遭受病毒或惡意代碼損害的風險會相應加大。再如，IT審計師在評價系統“數據完整性”的風險時，可借鑒“F1.操作程序與職責”。該標準的描述有“在執行作業的過程中，提供差錯處理及例外情況的指導”，“進行職責分離，減少出現非授權更改與數據信息濫用的機會”等。結合上述措施，IT審計師應該關注被審單位是否通過外鍵、約束、規則等方式保障數據的完整性，如果被審單位沒有按照上述方法操作，則被審系統將會在“數據完整性”方面存在風險。

需要強調的是中觀信息系統固有風險的評價較為復雜。在理論研究中，本文僅選取BS7799的某些標準舉例進行闡述，但在實踐中，IT審計師不應只借鑒BS7799標準的單個或部分標準，就做出某方面存在“固有風險”的結論。如僅從C1看，“硬件設備”無固有風險，但從E3看，“硬件設備”確實存在固有風險。鑒于此，IT審計師應由“點”及“面”，全面借鑒BS7799標準的整個體系。只有如此，才能更科學具體地進行物理及邏輯層次的風險評價。

四、 中觀信息系統內部控制的評價機制

圖1中的“abPc”路徑是中觀信息系統控制風險產生的路徑，控制風險的形成條件是“假定存在內部控制制度，但是內控制度不科學、不健全或執行不到位”，產生控制風險最主要的原因是內部控制機制失效，即“P”過程出現問題。評價內部控制是IT審計師防范審計風險的關鍵，也是中觀信息系統審計實施階段的一項重要工作。然而，當前我國信息系統審計方面的標準與規范僅有四項，因而IT審計師對信息系統內部控制的評價還處于摸索階段，急需詳細的流程與規范進行指導。筆者認為，BS77991《信息安全管理實施細則》與BS77992《信息安全管理體系規范》能夠為IT審計師評價中觀信息系統的內部控制提供思路。BS7799是一套完備的信息安全管理體系，IT審計師完全可以借鑒其體系與框架來設計中觀信息系統內部控制評價流程，構建適用于中觀信息系統的審計流程。BS7799標準的具體借鑒思路見表1，具體闡述如下。

(一) 一般控制的評價

1. 組織管理的內部控制評價

在評價組織管理的內控時，可借鑒BS7799標準A、B、C1、D1、D3、E、F、G、H、I、J。IT審計師可將BS7799標準體系作為信息系統組織管理內部控制的衡量標準，并以此確認被審系統組織管理內控制度的科學性與健全性。假若某中觀經濟主體將信息系統的部分管理活動外包，則IT審計師可借鑒BS7799中的“B3.外包控制”標準，檢查外包合同的全面性與合理性。如果被審單位在外包合同中規定了信息系統的風險、承包主客體各自的系統安全控制程序，并明確規定了“哪些措施必須到位，以保證涉及外包的所有各方關注各自的安全責任”，“哪些措施用以確定與檢測信息資產的完整性和保密性”，“采取哪些實物的和邏輯的控制以限制和限定授權用戶對系統敏感信息的訪問”以及“發生災難時，采用怎樣的策略來維持服務可用性”，則IT審計師就可確認被審系統在外包方面的控制設計具有科學性與全面性，只需再對外包控制條款的執行效果進行評價就可以得出對被審單位外包活動評價的整體結論。

2. 數據資源管理的內部控制評價

在評價數據資源管理的內控時，可以借鑒BS7799標準A、B、C、D、E1、E3、F、G、H、I、J。信息系統數據包括數據字典、權限設置、存儲分配、網絡地址、硬件配置與系統配置參數，系統數據資源管理有數據存放、備份、恢復等，內容相對復雜。IT審計師在評價數據資源管理的內部控制時，也需要借鑒BS7799標準體系。例如，IT審計師可借鑒“F1.操作程序與職責”或“G6.應用訪問控制”評價數據資源管理。F1與G6的闡述有“識別和記錄重要數據的更改”、“對數據更改的潛在影響作出評估”、“向所有相關人員傳達更改數據的細節”、“數據更改不成功的恢復措施”、“控制用戶的數據訪問權，如對讀、寫、刪除等進行限制”、“在系統共享中，對敏感的數據實施高級別的保護”。IT審計師在審計時，有必要根據上述思路對系統數據管理的控制制度進行深層次評價。在當前缺乏信息系統審計規范的情況下，以BS7799體系作為評價數據資源管理內部控制的指南，不失為一種好的審計策略。

3. 環境安全管理的內部控制評價

在評價環境安全管理的內控時可以借鑒BS7799標準A、B、C1、D、E、F、G、H、I、J。信息系統的環境安全管理包括物理環境安全管理與軟件環境安全管理，系統環境是否安全決定著危險因素對脆弱性的攻擊程度，進而決定著信息系統風險。IT審計師在審計系統環境的安全管理過程時，需要關注設備、網絡、軟件以及硬件等方面。在評價系統環境安全管理的內部控制時，IT審計師有必要借助上述BS7799標準體系。例如，BS7799的“E1.安全區域”標準與“E2.設備安全”標準的解釋有“信息處理設施可能受到非法物理訪問、盜竊、泄密等威脅，通過建立安全區域、嚴格進入控制等控制措施對重要的系統設施進行全面保護”，“應該對信息處理設施運作產生不良影響的環境條件加以監控，如，濕度與溫度的影響”。類似上述的BS7799系列標準都為IT審計師如何確認環境安全管理的內控提供了審計指導，且其指導思路清晰、全面。IT審計師通過借鑒BS7799系列標準，可以深層次挖掘系統環境安全管理規章制度中存在的疏漏以及執行中存在的問題，從而有效評判環境安全管理的控制風險。

4. 系統運行管理的內部控制評價

在評價系統運行管理的內控時，可以借鑒BS7799標準A、B、C1、D、E1、E3、F、G、H、I、J。中觀經濟主體對運行系統的管理相對復雜，涉及到系統組織、系統維護、系統完善等多個方面。由于系統運行中需要管理的環節繁多，而且目前也沒有規范與流程可以參考，因而，評價系統運行管理的內控也有必要借鑒上述BS7799標準體系。例如，BS7799標準“D2.設備安全”與“H5.開發與支持過程中的安全”的闡述有“信息系統操作者需要接受安全意識培訓，熟悉與系統運行相關的安全職責、安全程序與故障制度”，“系統運行中，建立并實施更改控制程序”以及“對操作系統的更改進行技術評審”等方面。IT審計師采用詢問、觀察、檢查、穿行測試等方法評審系統運行管理的內部控制，需要有上述明細的、清晰的信息安全管理規則予以指導，這些標準可以指導IT審計師了解被審系統是否有健全的運行管理規范及是否得到有效運行，借此，IT審計師可以作出全面的內控判斷，進而出具正確的審計結論。

(二) 應用控制的評價

信息系統的應用控制包括輸入控制、處理控制與輸出控制。在評價系統輸入控制、處理控制以及輸出控制三者的內控時，同樣有必要借鑒BS7799標準，且BS7799標準中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相對應的信息安全管理目標與措施能夠在IT審計師對三者進行內控評價時提供相對詳盡的審計框架。為確保信息系統輸入、處理與輸出的信息完整、正確，中觀經濟主體需要加強對信息系統的應用控制。IT審計師在中觀信息系統審計的過程中，需要做到對被審系統應用控制進行正確評價。

在IT審計師對應用控制的符合性測試過程中，上述BS7799標準體系可以對應用控制評價進行全程指導。例如，BS7799標準中“H2.應用系統的安全”提到“數據輸入的錯誤，可以通過雙重輸入或其他輸入檢查偵測，建立用于響應輸入錯誤的程序”，“已正確輸入的數據可因處理錯誤或故意行為而被破壞，系統應有確認檢查功能以探測數據的破壞”，“為確保所存儲的信息相對于各種情況的處理是正確而恰當的，來自應用系統的輸出數據應該得到確認”等控制策略，并提出了相對詳細的控制措施。應用控制環節是信息處理的脆弱集結點，IT審計師在進行應用控制的符合性測試環節時有必要考慮周全，詳盡規劃。IT審計師可以遵循H2全面實施針對應用控制的審計，依照BS7799標準體系，檢查被審系統對于超范圍數值、數據區中的無效字符、丟失的數據、未經認可的控制數據等系統輸入問題的控制措施以及應急處理能力；檢查是否對系統產生的數據進行了確認，系統的批處理控制措施、平衡控制措施等，以及相關控制行為的執行力度；檢查信息輸出是否實施了可信性檢查、一致性控制等措施，如果有相關措施，那么執行力度如何。BS7799標準體系較為全面，對于IT審計師評價系統的應用控制貢獻很大，如果IT審計師能夠創造性借鑒該標準，必可做好符合性測試，為實質性測試夯實基礎，也定會提高審計質量。

五、 結束語

表1是筆者在分析某商業銀行信息系統與某區域物流信息系統的基礎上，對“BS7799標準如何應用于信息系統審計”所進行的設計，當針對其他行業時，或許需要對表1進行適當調整。不同行業、不同特性的中觀經濟主體在信息系統審計中運用BS7799標準時側重點會有所不同。本文以分析中觀信息系統風險為著手點，沿用BS7799標準對中觀信息系統審計進行研究，旨在拋磚引玉。

參考文獻：

［1］王會金,劉國城.中觀經濟主體信息系統審計的理論分析及實施路徑探索［J］.審計與經濟研究,2009(5):2731.

［2］BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management［S］. London:British Standards Institation,2000:179202.

［3］BSI.BS779922002 information security managementspecification for information security management systems［S］. London: British Standards Institation,2002:267280

［4］孫強.信息系統審計［M］.北京:機械工業出版社,2003.

［5］劉國城,王會金.中觀信息系統審計風險的理論探索與體系構架［J］.審計研究,2011(2):2128.

［6］王會金.中觀信息系統審計風險控制體系研究――以COBIT框架與數據挖掘技術相結合為視角［J］.審計與經濟研究，2012（1）：1623.

［7］科飛管理咨詢公司.信息安全管理概論-BS7799理解與實施［M］.北京:機械工業出版社, 2002.

BS7799 Criterion and Its Application in Mesoinformation Systems Audit

LIU Guocheng

（Jinshen College of Nanjing Audit University, Nanjing 210029, China）

信息安全管理規則范文3

關鍵詞:企業網絡;安全策略;信息加密

中圖分類號: TM727文獻標識碼:A文章編號:1009-3044(2009)36-10218-02

The Discussion on Security Problems of Enterprise Network

WANG Feng

(Foundation Department, China Pharmaceutical University, Nanjing 211169, China)

Abstract: With the expansion of network applications, enterprise applications for the process of network security risks have become more serious and complex. Network security issues can lead to internal online intruder to attack, theft or other damage. These factors are unsafe to use, so the network-to-business pose a serious security threat. The following will introduced the major enterprise network security factories and countermeasures.

Key words: enterprise network; security policy; information encryption

隨著互聯網技術和計算機網絡技術的不斷發展,基于網絡的計算機網絡技術在企業中的應用越來越廣泛,基于網絡的應用在給企業的經營管理帶來很大經濟利潤的同時,也不可避免的伴隨而來的出現了網絡安全問題,于2002年之后,蠕蟲、木馬的傳播已經使得企業面臨的數據安全問題進一步嚴重。這些問題對企業信息安全的提高提出了更高的要求。隨著信息技術的迅猛前進,許多大型的企業都意識到了利用先進的信息技術對于提高企業的運營能力與自身的業務將起著極其重要的作用,能夠使企業在激烈的競爭中提高角逐能力[1]。面對著變化萬千的市場,企業正面臨著如何才能夠提高本身于市場中角逐能力的問題,而其內部的效率問題、管理問題、信息傳遞問題、考核問題等,又不時的在制約著自身,特別是信息的安全問題嚴重的制約了自身競爭能力的提高,因此解決網絡的安全問題已成為目前大多數企業增強競爭力的重要策略。

1 影響企業網絡安全的因素

1.1 病毒

也就是指那些自我復制能力比較強的計算機程序,它可以影響到計算機硬件、軟件正常的運行,從而破壞數據的完整與正確。隨著互聯網和計算機的不斷進步與普及,計算機病毒越來越多,總數已經大約達到了3萬種,并且仍然以大約每月五百種左右的速度增加,它的破環性也越來越強大,而網絡病毒的破壞性就顯得更加強大了。一旦出現文件服務器的硬盤遭到病毒傳染,就極有可能引起數據的丟失與系統的損壞,進而使得網絡服務器不能起動,數據和應用程序不能正常的使用,甚至可能引起整個網絡的癱瘓,從而造成非常嚴重的損失。一般來說,網絡病毒的再生復制能力都非常強,可以利用網絡進行傳染與擴散。只要出現某個公用程序遭到了病毒的感染,那么這些病毒就會在整個網絡上進行迅速的傳播,從而感染別的程序。被網絡病毒感染而引起網絡癱瘓的損失是不可估量的。一旦發現了網絡服務器被病毒感染,其殺毒所需耗費的時間將大約達到單機的幾十倍之上。

1.2 惡意攻擊

就是指那些試圖危及企業信息資源的可用性、機密性、完整性的行為。目前企業的網絡大都采用了以廣播技術為基礎的以太網[2]。在相同的以太網中,不同位置的兩個節點之間的通信數據包,不但能夠被這兩個節點的網卡接收,也可以同時被處在相同網絡中的任何節點的網卡截取。此外,為了使的工作更為便捷,企業辦公自動化中的網絡都設置有跟國際互聯網和外網相互連接的出入口,所以,國際互聯網和外網中的黑客一旦侵入了企業的ERP系統或者是辦公自動化網絡中的任何一個節點進行偵聽,那么就能夠捕獲出現在這個網絡上的任何數據包,然后對其進行解包并進行分析,進而竊取一些關鍵的信息;而本以太網中的黑客則可以非常便捷的截取任何一個數據包,因而導致了信息的失竊。

1.3 非法訪問或者冒充合法用戶

1)指對信息資源或者網絡設備進行越權使用或非正常使用等;

2)指利用各種各樣的欺騙或者假冒手段非法竊取正常的使用權限,從而達到合法占用資源的目的。

1.4 破壞數據的完整性

就是指通過不合法的手段,重發、修改或者刪除一些重要的數據信息,從而影響了用戶的正常使用[3]。在企業網絡系統中,導致信息數據破壞的因素有許多種,首先是黑客的入侵,基于各種各樣的原因,黑客侵入到了網絡中,其中惡意入侵對網絡造成的危害一般都是多方面的。其中一種非常常見的危害就是數據的破壞,可以破壞服務器硬盤引導區的信息數據、破壞應用程序的數據、覆蓋或者刪除原始數據庫等。其次就是病毒的破壞,病毒常常會攻擊系統的數據區,通常包含了硬盤主引導扇區、FAT表、文件目錄、Boot扇區等;病毒還極有可能破壞文件數據區,使得文件數據被改名、刪除、丟失數據文件、丟失一些程序代碼;病毒還可能攻擊CMOS并且導致系統CMOS中的數據遭到破壞。最后就是災難破壞,由于突然停電、自然災害、誤操作、強烈震動等引起了數據的破壞。一些重要的數據如果遭到了丟失和破壞,可能會導致企業經營困難與財力、物力、人力的巨大浪費。

1.5 干擾系統的正常運行

就是指通過改變系統正常運行的方法,從而引起了系統響應時間減慢等手段。

1.6 線路竊聽

指通過通信介質的搭線竊聽或電磁泄漏等手段竊取非法信息。

2 企業網絡安全策略

一般來說,企業為了得到最佳的安全性能以便獲得最高的安全投資回報,可以從以下六方面采取相應的措施,如圖1所示。

2.1 訪問控制策略

進行訪問控制的主要目的就是為了防止不合法的訪問[4],從而實現用戶身份的辨別與對服務器、重要網絡的安全控制。其中,防火墻就是一種應用廣泛且比較有效的網絡訪問控制設備,其主要利用對端口號、IP地址等進行控制并應用設置安全等措施,從而實現外部網絡與內部被保護網的隔離。于安全規則方面,企業可以針對一段網絡、一組主機、單獨的主機,根據網絡協議進行相應的設置,進行面向對象的安全規則有關的編輯;依靠網絡通訊端口進行相應的安全規則設置;根據每一天或者星期幾等具體的時間進行設置,以便實現訪問控制策略

2.2 安裝網絡版防病毒軟件

安裝殺毒能力強的網絡版反病毒軟件,建立針對性很強的防病毒策略或者針對局域網的反病毒控制系統。如果有些客戶端想要關掉實時監測功能或者把軟件卸載掉,都需要得到管理員的密碼授權許可才可以執行。網絡版反病毒軟件就好像在網關處建立了一道屏障,任何潛在的病毒首先都必須經過這一關。對于一些具有事先告警機制的反病毒軟件產品,企業客戶能夠在服務器端得到一個警告信號,因此,防止了病毒入侵內部網絡的危險。

2.3 信息加密策略

信息加密主要的目的是為了保護網內的文件、數據、口令以及控制信息,以便保護傳輸于網絡上的數據。網絡加密通常采用的方法有端點加密、節點加密、鏈路加密三種加密方式。端點加密的主要目的是為對目的端用戶與源端用戶之間傳輸的數據進行保護;節點加密的主要目的是為了對目的節點與源節點之間的傳輸鏈路進行保護;鏈路加密的主要目的是為了保護不同網絡節點之間鏈路信息的安全,關于具體選用何種加密方式,用戶可以根據網絡的具體情況選擇相應的加密方式。

2.4 加強安全管理

“三分技術,七分管理”作為網絡安全行業非常流行的話語[5],指出了如果管理混亂、責權不明、安全管理制度不完善以及可操作性缺乏等都有可能導致安全管理的風險。因此,要想真正確保企業網絡的安全,除了需要從技術上提高外,更重要的還得依靠提高安全管理質量來實現,通常安全管理需要貫穿于安全的所有層次中。結合實際工作業務流程、工作環境以及安防技術等特點,需要制訂合適的安全管理規則。

2.5 實時監測

利用信息偵聽的方法搜尋未授權的違規行為和網絡訪問嘗試,通常包含了網絡系統的預警、掃描、跟蹤、記錄、阻斷等,并進而發現系統所受到的攻擊與傷害。作為一種對付電腦黑客非常有效的技術手段,網絡實時監測系統具有自適應、實時、主動響應識和別等特性。

2.6 數據備份策略

對企業數據信息以及服務器應當采用防火墻來實現災難冗余和雙機熱備份。對于可靠性需要非常高的用戶,選擇具有雙機熱備份功能的防火墻是非常必要的,在相同的網絡節點配備兩個相同配置的防火墻,一般于正常情況下是一個處于正常工作狀態[6],而另外一個則處于備份狀態,但是,一旦工作狀態的系統發生了故障之后,處于備份狀態的防火墻便會立即自動的切換到工作狀態,從而保證網絡能夠正常運行。備用防火墻系統可以非常迅速的完成整個切換過程,而不需要其他系統參與或者人為操作,并且在這個切換的過程中,對網絡上的任何信息傳輸與通訊連接均無影響。

3 結束語

總之,雖然影響網絡安全的因素非常復雜,給企業帶來了一些不必要的麻煩,但是,只要樹立正確的企業網絡安全觀念并建立高效的企業網絡安全防護系統,就能保證企業的正常運營,使企業可以真正享受到信息化帶來的豐碩成果。

參考文獻:

[1] 魏清斌.企業網絡的安全與防范措施[J].中國高新技術企業,2008(16):127.

[2] 楊恒廣.淺談企業網絡安全[J].科技信息,2008(7):66-67.

[3] 賴順天.企業網絡安全的風險與防范[J].電腦開發與應用,2008(11):72-73.

[4] 占明艷.企業網絡安全對策研究[J].軟件導刊,2008(9):196-197.

信息安全管理規則范文4

【關鍵詞】婦產科；護理；病歷

提高護理質量和服務質量是護理工作的核心任務。圍繞這一目標，護理界深入研究，探索符合我國國情的護理模式，培養一支高素質的護理隊伍，加強管理，提高效率。計算機已經滲透到護理的各個領域，如醫囑處理系統、整體護理管理系統、護理質量與評估系統、護理工作量管理系統等等。護理信息系統是用于護理信息的采集、存貯、傳輸、處理的信息系統，包括臨床護理信息系統和護理管理信息系統。

1　護理信息化的價值與意義

1976護理信息化的價值與意義主要表現在以下幾個方面：工作流程最優化實現信息化管理后，辦理患者入院、出院、處理醫囑等流程得到了優化。護患關系明朗化醫院信息化后實現了醫囑計價后臺劃價一日清單，提高收費透明度。藥品集中供應后，藥品只計當日的量，藥品數量精確到每片，患者一目了然。因此，可改善護患之間的信任度，減少因收費而引發的糾紛。繼續教育人性化實現網絡在線繼續教育及考試，具有靈活性。護士可根據自己的時間安排學習。對于上班不規律的護士來說，這更具人性化。醫院信息化可實現繼續教育智能化管理，管理者可跟蹤學習的情況，并自動統計學分，加強了對護士繼續教育的管理。

2　護理信息化要求及管理規范

護理信息化的要求及管理規范包括以下幾個方面：

2.1　信息系統的技術管理

信息管理部門工程技術人員是信息系統技術管理的直接責任者，應以實現系統功能為目的，以滿足用戶需求為宗旨，對信息系統的操作和維護進行管理。信息系統內各類設備的配置，由系統負責人提出配置規劃和計劃，報有關領導審批后實施。信息系統管理員負責各工作站模塊登錄口令密碼的設置并做好記錄。工作站操作人員更換時，要立即做好口令的更改。根據系統功能要求，系統負責人提出各子系統和模塊的使用權限和使用分配方案，報請領導小組核準實施。系統負責人管理全面技術工作和運行管理工作，出現技術問題或故障，應遵循《信息系統服務器故障應急處理規程》處理。

2.2　信息系統安全管理

信息系統的安全管理包括數據庫安全管理和網絡設備設施安全管理。系統負責人和信息工程技術人員必須采取有效的方法和技術，防止網絡系統數據或信息的丟失、破壞或失密。對造成“病毒”蔓延的有關人員，應嚴格按照《醫院信息系統安全保護規則》有關條款給予經濟和行政處罰。信息系統所有設備的配置、安裝、調試必須由信息工程技術人員負責，其他人員不得隨意拆卸和移動。所有上網操作人員必須嚴格遵守計算機以及其他相關設備的操作規程，禁止其他人員在工作時進行與系統操作無關的工作。保持機房的清潔衛生，并做好防塵、防火、防水、防靜電、防高壓磁場、防低磁輻射等安全工作。信息工作技術人員有權監督和制止一切違反安全管理的行為。

2.3　工作站管理

各工作站所有使用人員必須嚴格遵守《信息系統管理規則》、《醫院信息系統安全保護規則》、《信息系統工作站錄入人員管理通則》各工作操作規程以及有關信息管理制度。嚴格按照計算機操作使用規程進行操作。操作中必須做到精力集中，細致認真，一絲不茍，快速準確，及時完成各項錄入工作。經常保持各種網絡設備、設施整潔干凈，認真做好信息設備的日清月檢，使網絡設備始終處于良好的工作狀態。加強設備定位定人管理，未經信息工程技術人員允許，不得隨意挪動、拆卸和外借所有計算機及相關網絡設備、設施。機房內嚴禁存放易燃、易爆、易腐蝕及強磁性物品；遇有臨時停電及雷電天氣，應采取保安措施，避免發生意外。機房內不準吸煙、進食、會客、大聲喧嘩；嚴禁無關人員上機操作或進行其他影響網絡正常運行的工作。嚴格交接班制度，工作中遇到的問題要及時報告。

2.4　信息管理保密制度

醫院授權護士通過用戶名和密碼進入醫院信息系統。護士必須通過醫院信息系統的相關培訓，才能獲得授權。護士進入信息系統的目的是與護理服務相關。護士對從醫院信息系統獲取的信息必須保密。護士不能利用信息系統進行未經允許的其他活動，或獲取未經授權的其他信息。從醫院信息系統獲取的信息未經醫院允許，不能擅自帶離醫院。醫院可終止護士使用信息系統的權力。護士在使用信息系統過程中必須遵循醫院的相關管理規定。護士保密自己的用戶名和密碼，對使用自己用戶名和密碼的行為及產生的后果負責。醫院擁有對各種醫療報告、記錄、文書的所有權和處理權。護士有責任維護網絡、信息系統的安全。遵守醫院關于維護信息安全，防止病毒入侵等方面的管理規定和操作指南。

3

護理電子病歷的記錄及醫囑的處理程序

護理電子病歷是電子病歷的重要組成部分，是護理人員對患者的病情觀察和實施護理措施的原始記載，主要包括三測單、醫囑單、入院評估表、入院告知書、一般患者護理記錄、特殊護理記錄、手術護理記錄等項目。運用護理電子病歷可有效提高日常護理工作的效率，規范護理記錄等的書寫、留檔、調閱。醫囑是醫療診治過程中護理人員對患者施行診斷和治療措施的依據。醫囑缺陷往往是構成醫囑差錯的危險因素，而醫囑差錯又是構成醫療事故的危險因素。電子醫囑單由經管醫生在醫生工作站輸入醫囑，辦公護士負責核對，電腦醫囑自動分類匯總、自動生成各種治療卡，減輕了護士手工統計、手工制作治療卡、手工抄寫和整理醫囑的負擔，并具有多窗口的醫囑核查功能，大大減少了差錯發生的幾率?，F在部分醫院將PDA用于護士床旁醫囑的執行與確認，護士在護士站將待執行的醫囑下載到PDA，執行完畢后將執行記錄再上傳到信息系統中。另外，基于PDA系統采集上來的數據可直接生成一些關于護理質量的報表，報表的主要內容包括計劃執行時間、實際執行時間、執行時間差、執行護士姓名、給藥方式、給藥頻率、備注等。PDA作為護士在護理工作中唯一的信息化執行工具，從護士的工作方式轉變中，提高了臨床的工作效率，規范了操作人員的行為，減少了人為干預和隨意變更現象。醫囑的處理程序，醫囑可以分為藥療醫囑和普通醫囑兩類。藥療醫囑由醫生開出保存提交后直接發往藥房，由藥師審方以發現不合理用藥，然后再由藥房護士擺藥后送到病房，最后由病房護士按照醫囑的要求將藥按時發給患者；而普通醫囑由醫生開出保存提交后發往護士工作站，病房護士再根據不同的情況處理醫囑，做到既不遺漏治療，又能及時、準確地收取費用。

4　不孕癥資料收集的內容

4.1　男方檢查和診斷

男方檢查要詢問既往是否有結核、腮腺炎等病史，了解性生活、等情況。除全身體格檢查外，重點應檢查外生殖器，注意各生殖器官發育情況、是否存在畸形或炎癥等其他異常。檢查是常規檢查項目之一，因生理情況下其中一些指標也有較大的波

動，故需多次進行，綜合判斷。

4.2　女方檢查和診斷

病史采集注意詢問婚育史、同居時間和性生活情況、避孕情況、月經史、家族史以及既往有無結核、生殖器炎癥及其他內分泌疾病。體格檢查應注意檢查生殖器和第二性征發育，注意有無溢乳，檢查身高與體重、生長發育及各種畸形。卵巢功能檢查主要了解卵巢的排卵功能、內分泌功能及卵巢儲備能力。常用方法有：基礎體溫測定、子宮頸黏液評分、血清內分泌激素的檢測以及超聲檢測卵泡發育、排卵的情況等。輸卵管通暢實驗、超聲影像學檢查超聲檢查可發現子宮、卵巢、輸卵管的器質性病變。監測卵泡發育、排卵、黃體形成等征象，對不孕病因的診斷有很大幫助。腹腔鏡檢查術，宮腔鏡檢查，輸卵管鏡檢查，子宮內膜組織學檢查，免疫學檢查，后試驗。

參考文獻

1　解穎，沙儒.護理記錄缺陷分析與干預對策[J].中華護理雜志，2011，38(5)：362—364

2　中華人民共和國國務院.醫療事故處理條例(第10條)[M].北京：中國法制出版社，2003：3

3　陳愛芬.質控小組在護理病歷質量管理中的應用[J].護理研究，2011，19(3)：541-542

4　諸玲.過程管理在護理質量管理中的應用[J].中國醫院管理，2011，25(3)：40-41

5　朱勝春.護理病歷中有關護士知識缺陷的分析與對策[J].護理雜志，2011，23(2)：34—35

6　譚堅鈴，梁嘉定.護士(生)進行護理體檢(身體評估)中存在的主要問題與對策[J].熱帶醫學雜志，2011，2(2)：198—199

7　王怡.病歷書寫中存在的問題及其法律后果[J].中華醫院管理雜志，201 1，18(12)：745-746

8　陳翠英，趙志林，王曉燕.如何加強病案形成進程中的質量管理[J].中國醫院管理，2011，22(2)：38

9　寧四姣，寧秀英.重視住院病歷書寫與防范醫療糾紛[J].中國病案，2011，4(2)：17—18

10　黃琦.新《條例》下病案質量管理的思考[J].中國病案，2011.4(4)：20-21

11　《醫療事故處理條例釋義》起草小組.醫療事故處理條例[M].北京：中國法制出版社，2011，186—237

12　李瑋.IS09001標準在護理質量管理中的運用[J].護理管理雜志，2011，4(1)：24-25

13　王建萍，張偉勤.我院實行護理量化管理的實踐與效果[J]，護理管理雜志，2011，4(3)：18—19

信息安全管理規則范文5

關鍵詞：財務管理；信息化；管理效率

信息化建設已經成為各行各業適應時展的必然要求，也是衡量企業綜合實力的主要標志之一。在這個背景下，財務管理信息化對企業提出更高的要求，需要更完善、健全的財務管理信息系統以促進企業發展。

一、南方電視臺財務管理信息化建設情況

隨著改革的深入推進，廣電企業進入了全新的發展階段，呈現出強大的生機和活力。南方電視臺屬于自收自支、完全按照企業化管理的事業單位，在市場競爭中不斷壯大了規模。但是市場競爭的壓力也需要按照現代企業管理要求完善各種管理措施，特別是在信息技術迅速發展的現階段，必須加速信息化建設進程。目前，南方電視臺在財務管理信息化建設方面主要完成了以下工作：

（一）做好信息需求分析

信息需求是信息化建設的動力，做好信息需求分析則是信息化建設的基礎。南方電視臺建設財務管理信息系統時，先后向臺領導、頻道領導、職能部門領導征求意見，著重了解相關部門在開展工作時對財務信息的需求。經過需求分析，逐步建立起南方電視臺財務管理信息系統的主要業務模型和數據模型，為建設財務管理信息系統做好前期準備。

（二）明確財務管理信息系統的功能定位

為了確保財務管理信息系統具有強大功能優勢，南方電視臺邀請了有關專家，結合電視臺經營管理的需求進行分析論證。在專家的指導下，對南方電視臺財務管理信息系統進行了定位，推行全面預算管理模式及多賬簿式功能。

（三）開發支撐以經營為主導的財務軟件

開發財務軟件工作時，南方電視臺邀請了有關軟件專家進行研究開發，提供了處理流程、操作平臺、軟件數據庫、拓展功能等方面契合度很強的財務軟件。

（四）建立統一的財務管理信息規則體系

建立統一的財務信息規則是保證財務管理信息系統安全、穩定、高效運行的基礎。通過制定一整套管理規則體系，為加速信息流通、實現資源共享提供了有力保障。

二、南方電視臺財務管理信息化建設中存在的問題

隨著財務管理信息化的加強，為實現財務工作由核算型向管理型轉變奠定了基礎。但南方電視臺在財務管理信息化建設過程中，也暴露出一些新問題。主要包括：

（一）管理人員對財務管理信息化的重要性認識不足

有些管理人員錯誤地認為，財務管理信息化建設只是用電腦代替手工操作，減輕財務人員的工作量，提升財務工作效率而已。還有一些領導認為，財務管理信息化的目標在于促進會計電算化的實現，甚至有一些管理人員對財務管理信息化持懷疑態度，不相信信息化技術的科學性、先進性和高效性，不能正視財務管理信息化促進電視臺發展變化的事實。上述現象，反映了管理人員對財務管理信息化重要性還沒有達成共識，上述認識已不能適應信息經濟時代的要求，阻礙著電視臺信息化進程，也影響了電視臺的進步。

（二）資金管理系統與管理流程的契合度不高

雖然財務管理的內容與環節眾多，但是在實際業務中，更多以資金結算為主要目標。但是，如果財務管理中主要集中于資金結算功能的話，那么，就勢必削弱財務管理中預算、制作、成本控制、營銷等環節的管理，還可能弱化對臺運營狀況、生產成本、資金效果、盈利能力等方面的監控。這不利于電視臺整體資金資源的優化配置，也不利于電視臺生產經營的發展。

（三）財務管理信息化存在安全隱患

財務管理信息化建設給企業帶來發展機遇，也給財務管理帶來更多的挑戰，增加了安全風險。對于相關的安全防范問題還不是很到位，存在一定的隱患。如果以后出現黑客惡意攻擊，或者人為破壞、使用者的不當操作等，將會給財務管理信息系統安全帶來隱患，還可能引起整個系統的癱瘓。甚至競爭對手可能進入到數據庫中瀏覽重要信息，使電視臺的商業秘密泄露，喪失競爭優勢和市場地位。

（四）缺乏財務信息管理的復合型人才

信息化是基于多項技術融為一體的現代科學技術。要徹底實現財務管理信息化，必須有一批既具有財務管理能力、又具備計算機、網絡、信息通訊等技術人才。但許多財務人員專業素質不高，有些人僅能進行日常的會計賬務處理，對利用信息手段進行多維會計核算歸集處理就感到困難。還有一些年紀稍大的會計人員信息網絡方面的專業技能掌握的程度就更差，網絡出現故障時往往束手無策，無法適應當前財務信息化的要求，o財務管理信息化建設帶來影響。因此，需要不斷地擴充人才隊伍，提升財務人員信息化管理能力，改善專業人才隊伍的結構。

三、加強南方電視臺財務管理信息化建設的建議

財務管理信息化，給電視臺的財務管理帶來發展契機。但還應該促進財務管理信息系統進一步的優化，進而加速電視臺財務管理信息化發展進程，因此，應當注意如下幾方面的工作：

（一）必須重視財務管理信息化建設

首先，必須加以引導，拓寬管理層的視野。讓管理層真正了解到，財務管理信息系統是為實現現代企業管理提供信息支持的基礎性條件；其次，臺領導必須加強學習，更新觀念，從應對生存發展挑戰的高度認識財務管理信息化的重要性與緊迫性。在現代企業管理中，信息化已經成為企業管理水平提升的標志，也是企業在市場競爭中立于不敗之地的重要措施；最后，推廣成功經驗的宣傳，提供其他企業通過實現財務管理信息化建設，促進企業成功發展的典型范例和經驗，讓全體人員能全力支持電視臺的財務管理信息化建設，籌劃全面信息化建設。

（二）構建基于電視臺管理流程的動態資金管理系統

借助計算機網絡技術，構建一個堅持以資金管理為主線，最符合動態資金運行實際的管理系統。首先，建立統一的資金運行機制。統一臺、節目制作團隊、外包項目組以及記者站的財務管理軟件，并采用集中管理模式，將地理上分散的資金管理信息，根據資金的存量、流量、流向信息，將全臺的資金預算計劃、生產進度、經營狀況等方面的信息，統一歸集在這個平臺中；其次，強化經營資金的調撥功能。資金管理系統能及時、準確、全面地反映臺及下屬企業資金的存量、流量、流向、資金預算計劃、生產進度、經營狀況等方面的信息。財務人員可以根據這個平臺提供的信息，及時地發揮整體資金調撥功能，依據預算管理計劃，為臺統籌調劑資金，使資金優化配置，保障生產經營的順利進行。臺領導、管理人員也可以根據這個平臺提供的信息進行經營管理，調整經營策略。最后，強化資金的安全保障?；陔娨暸_的管理流程，在各個關鍵點設置搜尋、分析及管控方法，構筑一個安全的資源配置環境。

（三）建立完善的財務信息安全保障機制

首先，建立起完善的財務信息安全防范系統。嚴格使用身份認證、入侵檢測、防火墻與網絡病毒檢測等網絡枝術手段，抵御各種風險；其次，構建有效、嚴謹的安全防范制度。安全防范制度是財務管理信息系統安全管理的基礎。只有按照制度辦事，才能使安全防范走上制度化、規范化的軌道。要對上機人員、相關人員、實行制度化、規范化要求管理。上機人員必須嚴格遵守操作規程，堅決杜絕違規操作，保障財務信息的真實、安全、可靠。這樣才能使安全防范真正起作用。最后，全面提高財務人員的安全意識與防控能力。必須加強培訓教育，讓財務人員牢固地樹立起網絡安全意識，還要熟練掌握各種安全監控技術和防控知識，使財務人員有較高的防控能力。

（四）全面提升財務管理人員素質

財務管理人員的整體素質，是構建財務管理信息化系統的最基本的人才保障。首先，財務工作人員要樹立起強烈的事業心和高度的責任感，做到堅持原則、求真務實、公正廉潔、業務熟練；其次，要不斷提高財務人員的個人素質，注重其道德修養教育，要有良好的心理素質和協作能力，能化解經營風險，能協調溝通處理各方面關系，主動地做好財務管理工作；最后，在選擇員工時要把握好人才的整體素質。要定期對財務人員進行業務培訓和教育，使財務人員不僅精通財務核算，同時善于管理，真正成為精通財務知識、精通計算機網絡技術、精通智能技術的復合型人才。

⒖嘉南祝

[1]吳丹紅，常江.企業財務管理信息化建設工作探析[J].統計與管理，2015（05）.

[2]張玲.我國企業財務管理信息化建設的探討[J].現代經濟信息，2015（01）.

[3]趙麗昆.信息時代財務管理信息化創新研究[J].現代國企研究，2015（02）.

信息安全管理規則范文6

關鍵詞：大型機場；計算機網絡；安全問題；防范措施

中圖分類號：TN711 文獻標識碼：A 文章編號：

1、計算機網絡安全的概念

計算機網絡安全根據計算機的使用者不同而具有兩層含義。一是從普通的使用者角度講，計算機網絡安全是指在網絡傳輸中保障個人及商業信息的機密性、完整性和真實性，避免他人用非正常手段截取、竊取、破壞、篡改信息，以保障個人隱私和個人利益不受侵害。二是從網絡運營商的角度講，計算機網絡安全是保護和控制本地網絡信息的訪問、讀寫等操作，避免出現病毒、非法存取、拒絕服務和非法占用、控制網絡資源，防御黑客攻擊。

2、計算機網絡安全的特征計算機網絡安全有很多特征，但是最主要的是下面的五個。

（1）完整性完整性是指計算機中的數據如果沒有經過授權，就不能隨意修改的特性。就是說數據在保存或是傳輸過程中要保持不被修改、不被破壞和不能丟失的特性。

（2）保密性保密性是指當計算機中的信息如果沒有經過允許，就不能泄露給沒有授權的用戶，也不能以其他任何形式被非法用戶進行利用。

（3）可控性可控性是指當網絡中的數據在傳輸過程中，要時刻的對數據進行嚴格的控制，防止出現不必要的差錯。

（4）可審查性可審查性是指當計算機網絡出現了安全問題時，要有方法能檢測出來，即出現網絡安全問題時能夠提供解決的對策。

（5）可用性可用性是指計算機中的信息能夠被已授權的用戶進行訪問并按自己的需求使用的特性。即當用戶需要時能否存取和使用自己所需要的信息。

3、計算機網絡安全問題

(1)非人為的、自然力造成的數據丟失、設備失效、線路阻斷。

(2)人因攻擊：如社會工程、釣魚等行為。主要指采取非計算機手段，轉而使用其他方式（如人際關系、欺騙、威脅、恐嚇）等非正常手段獲取信息。釣魚則使用假冒、欺騙性的網站，獲得網絡用戶的敏感信息如賬號、密碼等。

(3)物理攻擊：主要是指通過分析或調換硬件設備來竊取密碼和加密算法。物理攻擊比較難以防范，因為攻擊者往往是來自能夠接觸到物理設備的用戶。

(4)服務拒絕攻擊：通過使被攻擊對象（通常是服務器）的系統關鍵資源過載。從而使目標服務器崩潰或癱瘓，以致停止部分或全部服務。根據利用方法不同又分為資源耗盡和寬帶耗盡兩種方式，服務拒絕攻擊時最容易實施的攻擊行為，也是最難對付的入侵攻擊之一，其中目前已知的服務拒絕攻擊就有幾百種，典型示例有死亡之ping、淚滴、UDPflood、SYNflood、Land攻擊、Smurf攻擊、電子郵件炸彈、畸形消息攻擊等。

(5)非授權訪問：對網絡設備及信息資源進行非正常使用，如非法進行讀、寫或執行等。

(6)掃描攻擊：在連續的非授權訪問嘗試過程中，攻擊者為了獲得網絡內部的資源信息及網絡周圍的信息，通常使用SATAN掃描、端口掃描個IP半途掃描方式。由于互聯網目前廣泛使用的TCP/IP協議族中，各個層次不同的協議均存在一定程度的缺陷，可以利用操作系統和網絡的漏洞進行攻擊。

(7)遠程控制：通過操作系統本身的漏洞或安裝木馬客戶端軟件直接對用戶的及其進行控制的攻擊，主要通過口令猜測、特洛伊木馬、緩沖區溢出等方式。

(8)身份竊?。褐赣脩舻纳矸莼蚍掌鞯纳矸荼凰朔欠ń厝。湫偷挠芯W絡釣魚、DNS轉換、MAC地址轉換、IP假冒技術等。

(9)假消息攻擊：通過在網絡中發送目標配置不正確的消息，主要包括DNS高速緩存污染、偽造電子郵件等。

(10)竊聽：攻擊者通過監聽網絡數據獲得敏感信息，如通過抓包軟件等。

(11)重傳：攻擊者實現獲得部分或全部信息，然后將此信息重新發送給接受者。攻擊者一般通過協議解碼方式，如FTUUser等，完成重傳。解碼后的協議信息可表明期望的活動，然后重新發送出去。

(12)偽造和篡改：攻擊者對合法用戶之間的通信信息進行修改、刪除、插入，再發送給接收者。

4、計算機網絡安全問題的防范措施基本的網絡安全措施應包括這個網絡的安全傳播過程。首先應設置安全的行政人事管理，設立安全管理機構，制定完善的人事安全管理、系統安全管理和行政安全管理規則制度。其次是技術方面的措施，主要的技術手段有以下6種。

(1)物理措施：采取具備優良性能的傳輸工具，制定嚴密的安全規制，保護交換機和大型計算機等關鍵硬件設施。

(2)訪問控制：嚴格把關用戶訪問權限，確保嚴格控制陌生用戶的訪問可能造成的侵襲?？梢赃x用安全穩定的網絡操作系統，對用戶的身份證進行設置，設置加密的口令并進行定期的更新和鑒別，設置用戶訪問目錄和文件的權限，控制網絡設備配置的權限等。

(3)數據加密技術：數據加密是保障信息安全的最基本、最核心的技術措施之一，是保護數據安全的重要手段?？梢栽谡麄€網絡過程中加以應用。加密的作用是保障信息被人截獲后不能直接被利用，能在用戶的數據被截取之后減少用戶的損失，用很小的代價即可為信息提供相當大的保護。按作用不同，數據加密技術一般可以分為數據傳輸、數據存儲、數據完整性鑒別以及密鑰管理技術四種。

(4)隔離技術：通過防火墻劃分VLAN、VPN等方式分隔成獨立區域，將重要的子網絡與其他網絡隔開，可以更好的使重要的數據得到保護，不會輕易的就被截取。

(5)備份措施：可以避免因硬盤損壞。偶然或者而已的數據破壞、病毒入侵、網絡攻擊等帶來的影響，同時也確保了數據的完整性。

(6)防火墻：主要指的是一種對計算機及其網絡流經的通信數據進行掃描的一種軟件技術。通過對相關數據的掃描和過濾，避免計算機被黑客侵入，造成數據和程序縱和控制。

(7)其他措施：其他安全技術包括數字簽名、認證技術、智能卡技術和訪問控制等。

（8）改善計算機應用環境，規范人員操作流程。為了實現計算機網絡的安全、高速運行，需要不斷改善計算機應用環境，增強使用人員的網絡安全意識，提高網絡管理人員的技術手段和安全意識，規范使用人員的操作流程，避免出人為因素造成的網絡安全問題。

結語：總之，計算機網絡出現安全問題是無法避免的。只要我們永不懈怠，及時解決出現的安全問題，同時高度重視對大型機場計算機網絡安全的預防。采用先進的技術去建立嚴密的安全防范體系，加強防范意識，構造全方位的防范策略，給大型機場計算機網絡正常的運行以保證，使計算機網絡更加健康的發展。

參考文獻

[1]鈕炎.計算機網絡技術與應用.北京:清華大學出版社,2010.2.

[2]馬小青.淺析網絡安全問題及其防范措施[J].電腦知識與技術,2009,5