序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇企業(yè)信息安全的概念，期待它們能激發(fā)您的靈感。

篇1

企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源，對于企業(yè)自身來說具有重要意義，企業(yè)需要妥善管理自身企業(yè)的信息。近年來，企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機，網(wǎng)絡(luò)開展，因此，企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革，把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作，同時將企業(yè)信息安全管理與風(fēng)險控制結(jié)合起來，這是一個正確的選擇，能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風(fēng)險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險控制定義，因此，本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險控制的定義。

企業(yè)的信息安全管理包含十分豐富的內(nèi)容，簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件，保護網(wǎng)絡(luò)存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標(biāo)，即保證信息數(shù)據(jù)的完整，保證信息數(shù)據(jù)不被泄露，保證信息數(shù)據(jù)能夠正常使用，保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理，首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及，信息傳遞的方式越來越多，常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播，局域網(wǎng)傳播，硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理，其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學(xué)科知識基礎(chǔ)的工作，從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計算機技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講，最為關(guān)鍵的一項工作時保護企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結(jié)，企業(yè)信息安全不僅僅需要信息技術(shù)的支持，更需要通過建立完善的企業(yè)風(fēng)險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標(biāo)。

所以，怎樣把企業(yè)信息安全管理與風(fēng)險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險體系實現(xiàn)。企業(yè)的信息安全風(fēng)險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前，提前對企業(yè)的信息進行風(fēng)險預(yù)估，并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風(fēng)險，從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險體系建立主要包含以下幾個方面的內(nèi)容。第一，建立企業(yè)信息安全風(fēng)險管理制度，明確企業(yè)信息安全管理的責(zé)任分配機制，明確企業(yè)各個部門對各自信息安全所應(yīng)承擔(dān)的責(zé)任，并建立相應(yīng)的問責(zé)機制。第二，設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險管理指標(biāo)，對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險定級，方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三，企業(yè)要加強對信息安全管理人員的培訓(xùn)，提高企業(yè)信息安全管理工作人員的風(fēng)險意識，讓企業(yè)內(nèi)部從事信息安全管理工作人員認識到自身工作的重要性，讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為，正確履行職責(zé)的重要性。第四，將企業(yè)信息安全管理與風(fēng)險控制有效融合，重視企業(yè)信息安全管理工作，通過風(fēng)險控制對企業(yè)內(nèi)部信息安全的管理方式進行正確評估，找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對于企業(yè)來說，企業(yè)信息安全管理工作是一項極為重要而隱秘的工作，因此，必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計，目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上，對企業(yè)信息安全管理工作人員的道德素養(yǎng)，職業(yè)素養(yǎng)，風(fēng)險意識并沒有嚴格要求。此外，絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn)，并沒有通過建立相關(guān)管理制度以及問責(zé)機制對企業(yè)信息安全管理工作人員實行監(jiān)督，這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù)，包括信息技術(shù)，計算機技術(shù)，密碼技術(shù)，網(wǎng)絡(luò)應(yīng)用技術(shù)等等，應(yīng)當(dāng)說成熟的計算機應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ)，但是，現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān)，一方面企業(yè)的信息安全管理硬件并不過關(guān)，在物理層面對企業(yè)信息缺乏保護，另一方面，企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新，一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗，企業(yè)信息安全管理的知識也并沒有及時更新，從而導(dǎo)致企業(yè)的信息安全管理理論嚴重滯后，這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂，很多服務(wù)器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè)，企業(yè)內(nèi)部設(shè)備數(shù)量比較多，尤其是客戶端數(shù)量占了較大比重，僅僅靠少數(shù)幾個管理員進行管理是難以承擔(dān)如此大量的工作量。另外，企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析，許多企業(yè)雖然建立了企業(yè)信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督，企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全，企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一，企業(yè)員工對于信息安全管理的認識嚴重不足，對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新，使用，甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關(guān)，認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二，企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機制，企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”，企業(yè)信息安全反映的問題并沒有得到積極的反饋，一些企業(yè)領(lǐng)導(dǎo)對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu)，它的設(shè)計初衷是面向客戶的，提供給客戶各種安全應(yīng)用，安全應(yīng)用必須依靠安全服務(wù)來實現(xiàn)，而安全服務(wù)又是由各種安全機制來保障的。所以，安全服務(wù)標(biāo)志著一個安全系統(tǒng)的抗風(fēng)險的能力，安全服務(wù)數(shù)量越多，系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分：響應(yīng)、安全策略、檢測、防護。安全策略是信息安全的重點，為安全管理提供管理途徑和保障手段。因此，要想實施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程，必須制定一個企業(yè)的安全模式。在安全策略的指導(dǎo)下實施所有的檢測、防護、響應(yīng)，防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的，比如有防火墻、訪問控制、加密、認證等方法，檢測是動態(tài)響應(yīng)的判斷依據(jù)，同時也是有力落實安全策略的實施工具，通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為，可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素；經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中，應(yīng)急響應(yīng)占有重要的地位，它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者，企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作，企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者，也是企業(yè)信息安全管理的威脅者。因此，HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外，HTP模式同樣是建立在企業(yè)信心安全體系，信息安全技術(shù)防范的基礎(chǔ)上，HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后，HTP強調(diào)動態(tài)管理，動態(tài)監(jiān)督，對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理，在實際工作中，通過HTP模型的應(yīng)用，找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

（1）充分調(diào)查和分析企業(yè)的安全系統(tǒng)，建立一個全面合理的系統(tǒng)模型，安全系統(tǒng)被劃分成各個子系統(tǒng)，明確實施步驟和功能摸塊，將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合，實現(xiàn)信息安全監(jiān)控的有效性和高效性。

（2）成立一個中央數(shù)據(jù)庫，整合分布式數(shù)據(jù)庫里的數(shù)據(jù)，把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫，實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。

（3）設(shè)計優(yōu)良的人機界面，通過對企業(yè)數(shù)據(jù)信息進行有效的運用，為企業(yè)管理階層人員、各級領(lǐng)導(dǎo)及時提供各種信息，為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持，根本上提高信息數(shù)據(jù)的管理水平。

（4）簡化企業(yè)內(nèi)部的信息傳輸通道，對應(yīng)用程序和數(shù)據(jù)庫進行程序化設(shè)計，加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計企業(yè)信息安全管理風(fēng)險體系

（1）確定信息安全風(fēng)險評估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險體系的設(shè)計過程中，首要工作是設(shè)計企業(yè)信息安全風(fēng)險評估的目標(biāo)，只有明確了企業(yè)信息安全管理的目標(biāo)，明確了企業(yè)信息安全管理的要求和工作能容，才能建立相關(guān)圍繞信息安全風(fēng)險控制為目標(biāo)的信息安全管理工作制度，才能順利通過對風(fēng)險控制的結(jié)果的定量考核，檢測企業(yè)信息安全管理的風(fēng)險，定性定量地企業(yè)信息安全管理工作進行分析，找準(zhǔn)企業(yè)信息安全管理的工作辦法。

（2）確定信息安全風(fēng)險評估的范圍

不同企業(yè)對于風(fēng)險的承受能力是有區(qū)別的，因此，對于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險控制辦法，其中，不同企業(yè)對于能夠承受的信息安全風(fēng)范圍有所不同，企業(yè)的信息安全風(fēng)險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此，企業(yè)的信息安全風(fēng)險評估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法。

篇2

【關(guān)鍵詞】 信息系統(tǒng)； 審計； 審計目標(biāo)

2007年2月國務(wù)院國有資產(chǎn)監(jiān)督管理委員會和國務(wù)院信息化工作辦聯(lián)合印發(fā)了《關(guān)于加強中央企業(yè)信息化工作的指導(dǎo)意見》，加快了國有企業(yè)信息化建設(shè)的步伐。國有企業(yè)審計是中國特色社會主義國家審計的重要組成部分。由于企業(yè)與公共部門在內(nèi)部控制、管理和治理方面的差異，導(dǎo)致了企業(yè)信息系統(tǒng)審計與公共部門信息系統(tǒng)審計的不同特點。

一、增強國有企業(yè)信息系統(tǒng)的可信性

審計機關(guān)的審計目標(biāo)取決于法定要求。根據(jù)《中華人民共和國審計法》的規(guī)定，審計機關(guān)對國有企業(yè)財務(wù)收支的真實、合法、效益，依法進行審計監(jiān)督。顯然，真實性是國有企業(yè)審計的目標(biāo)之一。信息系統(tǒng)審計是國有企業(yè)審計的重要組成部分。國有企業(yè)審計的總體目標(biāo)，決定了國有企業(yè)信息系統(tǒng)審計的目標(biāo)。國有企業(yè)審計的真實性目標(biāo)，必然要求國有企業(yè)信息系統(tǒng)提供真實性的信息，這意味著，審計機關(guān)的國有企業(yè)信息系統(tǒng)審計必須把真實性作為審計目標(biāo)之一。

根據(jù)相關(guān)法律的規(guī)定，注冊會計師也可以對國有企業(yè)進行審計。根據(jù)我國公司法第165條的規(guī)定，“公司應(yīng)當(dāng)在每一會計年度終了時編制財務(wù)會計報告，并依法經(jīng)會計師事務(wù)所審計。”而且，2008年10月通過的《中華人民共和國企業(yè)國有資產(chǎn)法》第六十七條明確規(guī)定，“履行出資人職責(zé)的機構(gòu)根據(jù)需要，可以委托會計師事務(wù)所對國有獨資企業(yè)、國有獨資公司的年度財務(wù)會計報告進行審計，或者通過國有資本控股公司的股東會、股東大會決議，由國有資本控股公司聘請會計師事務(wù)所對公司的年度財務(wù)會計報告進行審計，維護出資人權(quán)益。”大家知道，依據(jù)注冊會計師執(zhí)業(yè)審計準(zhǔn)則的規(guī)定，會計師事務(wù)所對企業(yè)財務(wù)報表審計的目的是“提高財務(wù)報表預(yù)期使用者對財務(wù)報表的信賴程度。”①這說明，注冊會計師國有企業(yè)審計的目標(biāo)是要求財務(wù)報表提供的信息具有可信性。注冊會計師所審計的國有企業(yè)財務(wù)報表中的信息是由國有企業(yè)的信息系統(tǒng)產(chǎn)生形成的，因而必須對信息系統(tǒng)進行審計。注冊會計師對國有企業(yè)財務(wù)報表審計的可信性目標(biāo)，決定了注冊會計師對國有企業(yè)信息系統(tǒng)審計的可信性目標(biāo)。

同樣的審計對象，不同的審計主體，導(dǎo)致了兩種不同的國有企業(yè)信息系統(tǒng)審計目標(biāo)。從上述分析不難發(fā)現(xiàn)，無論是審計機關(guān)還是注冊會計師對國有企業(yè)進行審計，其中對企業(yè)信息系統(tǒng)的審計都是不可或缺的重要組成部分。根據(jù)審計法的規(guī)定，審計機關(guān)對國有企業(yè)信息系統(tǒng)審計的目標(biāo)是真實性。而根據(jù)注冊會計師執(zhí)業(yè)審計準(zhǔn)則，對國有企業(yè)信息系統(tǒng)審計的目標(biāo)是可信性。那么，什么是真實性？什么是可信性？這兩種目標(biāo)之間有什么樣的聯(lián)系和區(qū)別？為什么說審計機關(guān)應(yīng)當(dāng)把增強國有企業(yè)信息系統(tǒng)可信性作為審計目標(biāo)呢？

（一）真實性與可信性的基本涵義

我國審計法強調(diào)真實性，根據(jù)2010年9月頒布的中華人民共和國國家審計準(zhǔn)則（以下簡稱國家審計準(zhǔn)則）的規(guī)定，“真實性是指反映財政收支、財務(wù)收支以及有關(guān)經(jīng)濟活動的信息與實際情況相符合的程度。”那么，什么是真實性呢？真實性只是對財政財務(wù)收支及有關(guān)經(jīng)濟活動信息質(zhì)量的最低要求。如果會計信息是真實的，但是不夠完整或者披露不及時，仍然不能滿足信息使用者的需要，甚至?xí)?dǎo)致錯誤的投資決策。事實上，就真實性本身而言，由于會計估計、核算方法等因素的影響，會計信息的真實性也只是相對的，而不是絕對的。所以，把真實性作為審計目標(biāo)，具有一定的局限性。所謂可信性，從國際審計準(zhǔn)則第200號（ISA200）可以看出，當(dāng)編制的財務(wù)報表公允表達（presented fairly）或真實公允（true and fair）時，它才是可信性的。從字面上講，公允（fair）或公平的要求，強調(diào)了財務(wù)報表各種使用者之間的利益平衡。從理論上講，公允表達或真實公允的概念比真實性概念具有更多的內(nèi)涵，涉及會計適當(dāng)性、適當(dāng)披露及審計責(zé)任等概念。在國際審計準(zhǔn)則第200號（ISA200）中，公允表達是指財務(wù)報表是否在所有重大方面按照適用的財務(wù)報告框架編制，“公允”還意味著超出財務(wù)報告框架所要求披露范圍的必要性，以及在極端情況下必須偏離財務(wù)報告框架的可能性。適用的財務(wù)報告框架，主要是指適用的會計法律法規(guī)、會計準(zhǔn)則、會計制度等。大家知道，我國會計法強調(diào)“保證會計資料真實、完整”。根據(jù)會計法的要求，我國的財務(wù)報表不僅要具有真實性，而且還要具有完整性。總的來說，可信性并不否認真實性，真實性是可信性的必要前提之一，但真實的并不一定是可信的，可信性的內(nèi)涵更加豐富，真實性是對財務(wù)信息質(zhì)量的最低要求，可信性反映了對財務(wù)信息質(zhì)量更高的要求。

（二）可信性目標(biāo)反映了注冊會計師審計發(fā)展的新階段

一般認為，受社會需求變化、自身技術(shù)手段及審計風(fēng)險等因素的影響，注冊會計師審計目標(biāo)的發(fā)展演變至今經(jīng)歷了四個階段，即20世紀30年代之前的查錯糾弊階段、30年代中期至80年代驗證會計報表真實公允階段、80年代至90年代中期真實公允與查錯糾弊并重階段，及90年代后期以來的增強信息可信性階段。雖然同為注冊會計師審計的目標(biāo)，然而從歷史發(fā)展演變的角度看，真實性只是注冊會計師審計的早期目標(biāo)，當(dāng)前注冊會計師審計準(zhǔn)則中的可信性目標(biāo)反映了注冊會計師審計的最新發(fā)展，是更高級發(fā)展階段的目標(biāo)。

（三）可信性目標(biāo)比“真實公允”具有更加廣泛的適用性

20世紀90年代后期，傳統(tǒng)的財務(wù)報表審計成為更為廣義的概念――“保證業(yè)務(wù)”（Assurance Service）的一個組成部分。我國注冊會計師協(xié)會譯為“鑒證業(yè)務(wù)”②。2004年國際會計師聯(lián)合會了《國際保證業(yè)務(wù)框架》，2005年1月1日生效。2006年我國制定了《中國注冊會計師鑒證業(yè)務(wù)基本準(zhǔn)則》，2007年1月1日起施行。鑒證業(yè)務(wù)是指注冊會計師對鑒證對象信息提出結(jié)論，以增強除責(zé)任方之外的預(yù)期使用者對鑒證對象信息信任程度的業(yè)務(wù)。鑒證對象與鑒證對象信息具有多種形式，主要包括：當(dāng)鑒證對象為財務(wù)業(yè)績或狀況時（如歷史或預(yù)測的財務(wù)狀況、經(jīng)營成果和現(xiàn)金流量），鑒證對象信息是財務(wù)報表；當(dāng)鑒證對象為非財務(wù)業(yè)績或狀況時（如企業(yè)的運營情況），鑒證對象信息可能是反映效率或效果的關(guān)鍵指標(biāo)；當(dāng)鑒證對象為物理特征時（如設(shè)備的生產(chǎn)能力），鑒證對象信息可能是有關(guān)鑒證對象物理特征的說明文件；當(dāng)鑒證對象為某種系統(tǒng)和過程時（如企業(yè)的內(nèi)部控制或信息技術(shù)系統(tǒng)），鑒證對象信息可能是關(guān)于其有效性的認定；當(dāng)鑒證對象為一種行為時（如遵守法律法規(guī)的情況），鑒證對象信息可能是對法律法規(guī)遵守情況或執(zhí)行效果的聲明。不難看出，傳統(tǒng)的財務(wù)報表審計只是鑒證業(yè)務(wù)中的一種。鑒證標(biāo)準(zhǔn)隨著鑒證對象的不同，也從財務(wù)報表審計中按照適用的財務(wù)報表編制框架，如編制財務(wù)報表所使用的會計準(zhǔn)則和相關(guān)會計制度，擴展到單位內(nèi)部制定的行為準(zhǔn)則、績效水平等方面。從其定義看，鑒證業(yè)務(wù)的目的在于增強除責(zé)任方之外的預(yù)期使用者對鑒證對象信息的信任程度。真實公允目標(biāo)是針對財務(wù)報表審計的審計目標(biāo)，可信性目標(biāo)在概念外延上具有更加廣泛的適用性。可信性目標(biāo)不僅適用于對財務(wù)信息的可信性，而且還適用于非財務(wù)信息（績效信息）的可信性。對財務(wù)報表來說，如果它是真實公允的，即在所有重大方面是按照適用的財務(wù)報表框架編制的，它就是可信性；對于其他鑒證信息來說，如果它是符合適用的鑒證標(biāo)準(zhǔn)，就是可信性的。企業(yè)內(nèi)部的信息系統(tǒng)，現(xiàn)在已不僅僅是財務(wù)信息系統(tǒng)，還包括各種業(yè)務(wù)和管理信息系統(tǒng)。與此同時，為滿足企業(yè)的業(yè)務(wù)需求，信息系統(tǒng)所提供的信息也不局限于財務(wù)信息，而且還包括許多非財務(wù)信息。所以，在國有企業(yè)信息系統(tǒng)審計中，把可信性作為國有企業(yè)信息系統(tǒng)審計的目標(biāo)比真實性目標(biāo)更加符合企業(yè)信息化發(fā)展的客觀要求。

（四）可信性目標(biāo)反映了審計理論的深化和發(fā)展

可信性不是一個孤立的術(shù)語，它是新審計理論（或一組新的相互聯(lián)系的審計概念）中的一個關(guān)鍵性概念。隨著注冊會計師的業(yè)務(wù)從傳統(tǒng)的財務(wù)報表審計發(fā)展到鑒證業(yè)務(wù)，傳統(tǒng)的審計理論也得到了深化和發(fā)展。大家知道，審計三方關(guān)系是指審計人、被審計人、審計授權(quán)或委托人之間的關(guān)系。傳統(tǒng)的受托責(zé)任論，即審計動因論，是建立在傳統(tǒng)的審計三方關(guān)系之上的。然而，在我國現(xiàn)行的《注冊會計師鑒證業(yè)務(wù)基本準(zhǔn)則》中給出了一種新的審計三方關(guān)系，即注冊會計師、責(zé)任方和預(yù)期使用者。在新的審計三方關(guān)系中，被審計人與審計授權(quán)或委托人之間責(zé)任關(guān)系的含義更加豐富，除傳統(tǒng)的受托責(zé)任關(guān)系外還有其他種類不帶委托性質(zhì)的責(zé)任關(guān)系③。在新的審計三方關(guān)系中，預(yù)期使用者應(yīng)包括企業(yè)所有的利益相關(guān)者，除了傳統(tǒng)受托責(zé)任關(guān)系中的股東外，還應(yīng)包括經(jīng)營者、員工、顧客、供應(yīng)商、債權(quán)人、潛在的投資者、監(jiān)管層、競爭者等。聘請注冊會計師的通常是預(yù)期使用者或其代表，但也可能是責(zé)任方。責(zé)任方、預(yù)期使用者和注冊會計師三方之間的關(guān)系，可以看作是信息提供者、信息使用者和信息可信性的保證者之間的關(guān)系④。增強信息的可信性，實際上是減少了信息提供者與預(yù)期使用者之間的信息不對稱，鑒于預(yù)期使用者的廣泛性，在市場經(jīng)濟條件下，將有利于完善市場機制，提高市場資源配置效率，從而拓展了審計的社會功能。可信性不是一個空洞的概念，鑒證對象信息是否具有可信性，需要執(zhí)行一定的業(yè)務(wù)程序。審計師在收集證據(jù)的基礎(chǔ)上，依據(jù)一定的標(biāo)準(zhǔn)，檢查責(zé)任方的鑒證對象信息在所有重大方面是否符合適當(dāng)?shù)臉?biāo)準(zhǔn)后，才能為鑒證對象信息的可信性提供一定程度的保證，從而提供給預(yù)期使用者。鑒證業(yè)務(wù)的保證程度被細分為合理保證和有限保證，鑒證對象信息被劃分為財務(wù)信息和非財務(wù)信息，其中財務(wù)信息被進一步細分為歷史財務(wù)信息和預(yù)測性財務(wù)信息。可信性概念是這些新審計理論中的關(guān)鍵性概念之一，相比之下，真實性概念在新的審計理論中卻沒有相應(yīng)的理論地位。

（五）可信性目標(biāo)反映了國家審計的發(fā)展趨勢

在世界審計組織（INTOSAI）的道德準(zhǔn)則（Code of Ethics）中，強調(diào)了信賴（trust）、信任（confidence）、信譽（credibility）對于審計機關(guān)的至關(guān)重要性。在南非審計署1911至2011年百年紀念的紀念品和網(wǎng)站首頁上有一句格言：“Auditing to build public confidence”，即“審計旨在建立公共信任”。我國審計署2011年7月15日印發(fā)的《審計署關(guān)于深化經(jīng)濟責(zé)任審計工作的指導(dǎo)意見》中提出，要確保經(jīng)濟責(zé)任審計結(jié)果的可信、可靠和可用。劉家義審計長提出，國家審計是國家治理的一個組成部分。孔子曰：“足食，足兵，民信之矣”，“民無信不立”，說明了信任、守信在國家治理中的重要性。我們知道，“誠信友愛”是構(gòu)建社會主義和諧社會的基本要求之一。國家審計可以增強政府的公信力，增強整個社會的誠信。從國家治理的角度看，可信性目標(biāo)比真實性目標(biāo)更好地體現(xiàn)了國家審計在國家治理中的作用。

經(jīng)過上述真實性和可信性兩種審計目標(biāo)含義的對比，不難發(fā)現(xiàn)，雖然真實性目標(biāo)是國有企業(yè)審計的傳統(tǒng)目標(biāo)之一，但是可信性比真實性的涵義更為豐富，可信性目標(biāo)中不但包含了真實性目標(biāo)，而且可信性目標(biāo)要求信息系統(tǒng)提供更高質(zhì)量的信息。兩種目標(biāo)都對信息系統(tǒng)提供的信息質(zhì)量提出了要求，國家審計對信息質(zhì)量的要求不應(yīng)低于注冊會計師審計。因此，筆者認為，盡管現(xiàn)行的審計法規(guī)定了國有企業(yè)信息系統(tǒng)審計的真實性目標(biāo)，但是，從理論上講以及從未來發(fā)展趨勢看，審計機關(guān)應(yīng)當(dāng)選擇可信性作為國有企業(yè)信息系統(tǒng)審計的目標(biāo)，即國有企業(yè)信息系統(tǒng)審計應(yīng)當(dāng)促進企業(yè)信息系統(tǒng)提供可信的信息。

二、促進國有企業(yè)信息系統(tǒng)的遵循性

最高審計機關(guān)國際組織（INTOSAI）在審計基本原則（ISSAI-100）中，把政府審計業(yè)務(wù)分為兩大類，即合規(guī)審計（regularity audit）和績效審計（performance audit），并制定了相應(yīng)的審計執(zhí)行指南，即財務(wù)審計執(zhí)行指南（Implementation Guidelines on Financial Audit）、遵循審計執(zhí)行指南（implementation guidelines on compliance audit）和績效審計執(zhí)行指南（Implementation Guidelines on Performance Audit）。在這個準(zhǔn)則指南框架中，合規(guī)性審計包括了財務(wù)審計和遵循性審計。遵循性審計是指對公共部門實體的活動是否與相關(guān)法律法規(guī)及授權(quán)要求相一致的審計。在《國際審計準(zhǔn)則第250號――財務(wù)報表審計中對法律法規(guī)的考慮》（ISA250）中，非遵循（non-compliance），是指被審計單位不履行法律法規(guī)責(zé)任或者違反法律法規(guī)的犯罪，故意地或者非故意地，與執(zhí)行的法律或法規(guī)對立的行為。在COSO內(nèi)部控制框架中，遵循性（compliance）作為內(nèi)部控制的目標(biāo)之一，是指符合適用的法律法規(guī)。由此看來，在上述準(zhǔn)則指南中，遵循性，就是我國國家審計中的合法性。但是，在本文中，作為國有企業(yè)信息系統(tǒng)審計的目標(biāo)之一，遵循性與合法性不同。

為滿足業(yè)務(wù)需求，對信息系統(tǒng)提供的信息有一般性的要求，在IT治理框架COBIT4.1中，這些要求也被稱之為信息標(biāo)準(zhǔn)（information criteria）。遵循性（compliance）作為其中的標(biāo)準(zhǔn)之一，是指“涉及業(yè)務(wù)流程與所需遵守的法律、法規(guī)及合同約定之間的符合程度的屬性，即外部的強制要求和內(nèi)部政策的遵循性。”⑤在本文中，遵循性作為國有企業(yè)信息系統(tǒng)審計的目標(biāo)之一，采用COBIT4.1中遵循性的概念，即國有企業(yè)信息系統(tǒng)的設(shè)計、建設(shè)、運行和監(jiān)控不僅要符合來自企業(yè)外部的強制性要求（合法性），而且還應(yīng)符合國有企業(yè)內(nèi)部制定的各種規(guī)定的要求。

我國審計機關(guān)對國有企業(yè)的財務(wù)收支的真實、合法和效益，依法進行審計監(jiān)督。合法性是國有企業(yè)審計的審計目標(biāo)之一。作為國有企業(yè)審計的重要內(nèi)容，信息系統(tǒng)審計應(yīng)當(dāng)促進國有企業(yè)信息系統(tǒng)的合法性。那么，為什么我們要把國有企業(yè)內(nèi)部制定的各種規(guī)定同時也納入國有企業(yè)信息系統(tǒng)審計的目標(biāo)呢？企業(yè)內(nèi)部如何制定關(guān)于其信息系統(tǒng)的規(guī)定是企業(yè)自己的事情，似乎審計機關(guān)不應(yīng)干預(yù)，但是，效益性也是國有企業(yè)審計的審計目標(biāo)之一。當(dāng)信息系統(tǒng)不符合國有企業(yè)某些內(nèi)部規(guī)定的要求時就會影響到企業(yè)效益，這些內(nèi)部規(guī)定，如內(nèi)部控制、管理和治理等，也應(yīng)納入國有企業(yè)信息系統(tǒng)審計的遵循性目標(biāo)范圍。

三、改善國有企業(yè)信息系統(tǒng)的績效性

績效性目標(biāo)是企業(yè)信息化不斷發(fā)展的產(chǎn)物。我國企業(yè)信息化建設(shè)已經(jīng)發(fā)展到了關(guān)注績效性的階段。績效性目標(biāo)也是IT管理和IT治理的重要內(nèi)容。IT管理和IT治理的國際標(biāo)準(zhǔn)或良好實務(wù)，為開展信息系統(tǒng)績效審計提供了審計標(biāo)準(zhǔn)。

（一）企業(yè)信息系統(tǒng)績效性的概念

當(dāng)企業(yè)信息化發(fā)展水平達到一定程度后，信息系統(tǒng)的績效問題逐漸引起了人們的關(guān)注。在企業(yè)信息化的早期階段，信息系統(tǒng)主要應(yīng)用于企業(yè)的財務(wù)會計領(lǐng)域，這時人們對信息系統(tǒng)關(guān)注的焦點主要是信息系統(tǒng)的可信性和遵循性問題，相應(yīng)的措施主要集中在內(nèi)部控制方面，強調(diào)信息系統(tǒng)的一般控制和應(yīng)用控制。隨著企業(yè)信息化水平的不斷提高，信息系統(tǒng)在企業(yè)中的應(yīng)用范圍逐漸從財務(wù)會計領(lǐng)域擴展到整個業(yè)務(wù)領(lǐng)域和管理領(lǐng)域，與此同時，信息系統(tǒng)的建設(shè)投入和運行成本顯著提高。這時人們發(fā)現(xiàn)，大量的信息化投入并不一定能夠帶來預(yù)期的收益，而且還帶來巨大的潛在風(fēng)險，個別企業(yè)甚至因高投入造成利潤下降或財務(wù)危機，有的企業(yè)因業(yè)務(wù)流程改造滯后，還會導(dǎo)致管理混亂。在這種情況下，人們對信息系統(tǒng)關(guān)注的焦點，逐漸從“投入”轉(zhuǎn)向“產(chǎn)出”，從技術(shù)和內(nèi)部控制問題轉(zhuǎn)向管理和治理問題，在企業(yè)內(nèi)部出現(xiàn)了專門的IT管理部門，IT管理和IT治理逐漸從企業(yè)的一般管理和治理中獨立出來，而“績效”是描述信息系統(tǒng)投入產(chǎn)出、管理和治理的核心概念。

信息系統(tǒng)的績效性是指利用IT資源提供企業(yè)信息服務(wù)的經(jīng)濟性、效率性和效果性。為它的利益相關(guān)者提供價值是企業(yè)存在的基本前提。企業(yè)信息系統(tǒng)的目的在于利用IT資源，通過IT流程，提供企業(yè)信息服務(wù)，以滿足業(yè)務(wù)需求。信息系統(tǒng)要實現(xiàn)的績效目標(biāo)必須與企業(yè)的業(yè)務(wù)需求或業(yè)務(wù)目標(biāo)相一致。

（二）績效性目標(biāo)的可行性

從我國企業(yè)信息化發(fā)展階段看，目前信息系統(tǒng)的績效問題已經(jīng)成為關(guān)注的焦點。2011年2月，工信部電子一所和用友軟件股份有限公司聯(lián)合了《2010年中國企業(yè)信息化指數(shù)調(diào)研報告》。該報告將中國企業(yè)的信息技術(shù)應(yīng)用分為四個階段，分別為基礎(chǔ)應(yīng)用階段、關(guān)鍵應(yīng)用階段、擴展整合及優(yōu)化升級應(yīng)用階段以及戰(zhàn)略應(yīng)用階段，如圖1所示。

該報告認為，目前我國企業(yè)信息化總體上處于由基礎(chǔ)應(yīng)用和關(guān)鍵應(yīng)用向擴展整合與優(yōu)化升級過渡階段。報告的主要結(jié)論之一是，2010年“信息技術(shù)應(yīng)用范圍的變化主要體現(xiàn)在應(yīng)用廣度和深度兩方面，企業(yè)基本完成了信息技術(shù)在各業(yè)務(wù)領(lǐng)域的應(yīng)用覆蓋，已逐漸開始深度關(guān)注企業(yè)業(yè)務(wù)發(fā)展需求，著力提升信息技術(shù)的應(yīng)用價值。”提高信息系統(tǒng)的績效，也已經(jīng)成為我國企業(yè)信息化深度發(fā)展的方向。把績效性作為國有企業(yè)信息系統(tǒng)審計的目標(biāo)，符合我國企業(yè)信息化發(fā)展的現(xiàn)狀，在現(xiàn)實中具有可行性。

（三）績效性是IT管理和IT治理的重要內(nèi)容

IT管理目的在于如何降低成本，以更好的彈性及更快的響應(yīng)速度，向組織內(nèi)外部顧客提供高質(zhì)量的IT服務(wù)，提供顧客的滿意度。IT管理的目標(biāo)就是要追求信息系統(tǒng)的績效性，即經(jīng)濟性、效率性和效果性。

信息系統(tǒng)的績效性也是IT治理追求的目標(biāo)之一。在IT治理國際標(biāo)準(zhǔn)ISO/IEC38500（組織的信息技術(shù)治理）中規(guī)定了“績效”原則，即IT應(yīng)適合于支持組織的目的并提供服務(wù)，服務(wù)等級和服務(wù)質(zhì)量應(yīng)滿足當(dāng)前和將來的業(yè)務(wù)要求。IT治理框架COBIT4.1有四個基本特征：以業(yè)務(wù)為中心、以流程為導(dǎo)向、以控制為基礎(chǔ)、以績效測評為驅(qū)動。在該框架中，績效測評是IT治理的關(guān)鍵，并且指出，“多項調(diào)研已經(jīng)表明，IT成本、價值和風(fēng)險管理缺乏透明是驅(qū)動IT治理最重要的一個因素。相對于其他關(guān)注的領(lǐng)域，提高透明度主要通過績效測評來實現(xiàn)。”⑥

（四）績效審計的參照標(biāo)準(zhǔn)

IT管理和IT治理從企業(yè)管理和治理中獨立出來，為開展單獨立項的信息系統(tǒng)績效審計創(chuàng)造了條件。就像企業(yè)審計要關(guān)注被審計單位的管理和治理那樣，企業(yè)信息系統(tǒng)審計要關(guān)注被審計單位的IT管理和IT治理情況。IT管理和IT治理的國際標(biāo)準(zhǔn)或良好實務(wù)，則為開展信息系統(tǒng)績效審計提供了審計標(biāo)準(zhǔn)，也可以作為向被審計單位提出改進建議的參照標(biāo)準(zhǔn)。常見的IT管理和IT治理國際標(biāo)準(zhǔn)有：ISO/1EC20000（信息技術(shù)――服務(wù)管理）、ITIL（信息技術(shù)基礎(chǔ)庫）、ISO/IEC38500（組織的信息技術(shù)治理）、COBIT4.1（信息及其相關(guān)技術(shù)控制目標(biāo)）等。

四、維護國有企業(yè)信息系統(tǒng)的安全性

維護國有企業(yè)信息系統(tǒng)的安全，對于維護國家經(jīng)濟安全至關(guān)重要。隨著信息技術(shù)的發(fā)展和應(yīng)用，人們對信息系統(tǒng)安全性的認識也不斷深化。正確理解信息安全的涵義，對于開展信息系統(tǒng)安全性審計具有重要的意義。

（一）安全性目標(biāo)的重要性

根據(jù)1994年我國頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》，維護計算機信息系統(tǒng)的安全性，就是要保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行⑦。從這里可以看出，信息系統(tǒng)的安全包括：信息本身的安全、系統(tǒng)設(shè)施設(shè)備的安全和系統(tǒng)運行環(huán)境的安全三個層面。就三個層面的關(guān)系而言，信息是核心，系統(tǒng)設(shè)施設(shè)備及其運行環(huán)境是保障，信息本身的安全是目的，系統(tǒng)設(shè)施設(shè)備的安全及其運行環(huán)境的安全是手段。

國有企業(yè)信息系統(tǒng)安全是國家信息安全和經(jīng)濟安全的重要組成部分。為了保護中央企業(yè)信息系統(tǒng)的安全穩(wěn)定運行，2010年12月，公安部和國務(wù)院國有資產(chǎn)監(jiān)督管理委員會聯(lián)合頒布了《關(guān)于進一步推進中央企業(yè)信息安全等級保護工作的通知》。據(jù)統(tǒng)計，截至2010年5月，已有89.6%的中央企業(yè)開展了信息安全等級保護工作，中央企業(yè)總計建成投入使用的信息系統(tǒng)有16 092個，已定級14 539個，占比90.3%；應(yīng)向公安機關(guān)備案的系統(tǒng)（二級及以上）有11 370個，已備案8 113個，占應(yīng)備案系統(tǒng)的71.4%；列入2010年定級計劃的有1 598個。中央企業(yè)在公安機關(guān)備案的信息系統(tǒng)總數(shù)約占全國信息系統(tǒng)備案總數(shù)的21%，第三、四級重要系統(tǒng)約占全國重要信息系統(tǒng)備案總數(shù)的30%⑧。這些數(shù)據(jù)表明，國有企業(yè)信息系統(tǒng)已成為國家信息安全的重要組成部分。《中華人民共和國企業(yè)國有資產(chǎn)法》第七條規(guī)定，“國家采取措施，推動國有資本向關(guān)系國民經(jīng)濟命脈和國家安全的重要行業(yè)和關(guān)鍵領(lǐng)域集中，優(yōu)化國有經(jīng)濟布局和結(jié)構(gòu)，推進國有企業(yè)的改革和發(fā)展，提高國有經(jīng)濟的整體素質(zhì)，增強國有經(jīng)濟的控制力、影響力。”由于國有企業(yè)集中在國民經(jīng)濟命脈和國家安全的重要行業(yè)和關(guān)鍵領(lǐng)域，如電信、電力、石油、石化等重要行業(yè)，其重要信息系統(tǒng)已成為國家關(guān)鍵基礎(chǔ)設(shè)施，是國民經(jīng)濟命脈之命脈，保護國有企業(yè)信息系統(tǒng)的安全穩(wěn)定運行，對于維護國家經(jīng)濟安全和社會穩(wěn)定具有重要的意義。

（二）信息安全概念的演變

根據(jù)我國計算機信息系統(tǒng)安全保護條例中的定義，計算機信息系統(tǒng)的安全性，包括信息本身的安全、系統(tǒng)設(shè)施設(shè)備的安全和支撐環(huán)境的安全。其中，信息本身的安全，即信息安全，是信息系統(tǒng)安全的核心和目的。那么，究竟什么是信息安全呢？

人們對信息系統(tǒng)安全性的認識經(jīng)歷了一個不斷深化的發(fā)展過程。20世紀80年代美國國防部制定的《可信計算機系統(tǒng)評估準(zhǔn)則TCSEC》把保密性當(dāng)作信息安全的重點。20世紀90年代初由英、法、德、荷四國制定的《信息技術(shù)安全評估準(zhǔn)則ITSEC》開始把完整性、可用性與保密性作為同等重要的因素。自此，信息安全的概念，即信息的保密性、完整性和可用性，逐漸被普遍接受。在2002年的國際標(biāo)準(zhǔn)ISO/IEC17799：2000《信息技術(shù)――信息安全管理業(yè)務(wù)規(guī)范》中明確規(guī)定，信息安全，是指保護：“保密性（confidentiality），即確保信息只能夠由獲得授權(quán)的人訪問；完整性（integrity），即保護信息的正確性和完整性以及信息處理方法；可用性（availability），即保證經(jīng)授權(quán)的用戶可以訪問到信息，如果需要的話，還能夠訪問相關(guān)資產(chǎn)。”然而，在2005年的該國際標(biāo)準(zhǔn)修訂版即ISO/IEC17799：2005中，信息安全的定義，包括了七種安全特性：信息的保密性（confidentiality）、完整性（integrity）、可用性（availability）及其他屬性，如真實性（authenticity）、責(zé)任性（accountability）、不可抵賴性（non-repudiation）、可靠性（reliability）等，而且，這種修訂后的信息安全定義，被2007年的國際標(biāo)準(zhǔn)ISO/IEC27001（《信息安全管理體系――規(guī)范與使用指南》）引用。在學(xué)術(shù)界，有人認為，信息安全的特性還應(yīng)進一步包括可控性（controllability）、可預(yù)測性（predictability）、可審計性（auditability）、遵循性（compliance）等。

隨著信息技術(shù)的發(fā)展與應(yīng)用，信息安全的內(nèi)涵越來越豐富，從最初的信息保密性發(fā)展到保密性、完整性和可用性，進而又發(fā)展到相關(guān)的真實性、責(zé)任性、抗抵賴性、可靠性等。相應(yīng)地，對企業(yè)信息安全的考慮，也從最初關(guān)注企業(yè)信息安全技術(shù)層面，發(fā)展到關(guān)注企業(yè)信息安全控制、管理和治理等層面。

（三）正確理解信息安全涵義需要注意的幾個問題

1.信息安全與信息保密不同。從信息安全概念的涵義可以看出，信息保密與信息安全是兩個不同的概念，信息安全比信息保密的涵義更加豐富。盡管我國新修訂的保密法對信息系統(tǒng)的保密問題作出了規(guī)定，但是保密法不能代替信息安全法。目前，我國對信息安全的立法仍然比較滯后，尚無專門的信息安全法。信息安全法是國家信息安全保障體系不可或缺的組成部分。

2.微觀信息安全與宏觀信息安全的聯(lián)系。企業(yè)信息系統(tǒng)的安全離不開系統(tǒng)運行環(huán)境的支撐，系統(tǒng)環(huán)境包括物理環(huán)境和社會環(huán)境。從社會環(huán)境看，主要是指有關(guān)信息安全法律法規(guī)、安全意識、人才培養(yǎng)等。這就是說，微觀層面單個組織的信息系統(tǒng)安全，還離不開宏觀層面國家信息安全保障體系的構(gòu)建。與此同時，微觀層面的信息安全是基礎(chǔ)，沒有微觀層面的信息安全，也就沒有宏觀層面的信息安全。

3.授權(quán)管理的重要性。信息安全的概念有三個核心涵義：保密性、完整性和可用性。這三個核心涵義都涉及一個共同的要素，即“授權(quán)”。保密性意味著只有獲得授權(quán)才能訪問；完整性意味著沒有授權(quán)不得對信息進行刪除或修改；可用性意味著擁有授權(quán)者隨時可以使用。這表明，授權(quán)管理是信息安全管理的一項關(guān)鍵內(nèi)容。信息系統(tǒng)是一種人機系統(tǒng)，授權(quán)管理主要涉及對人員行為的安全管理。

4.安全性目標(biāo)與遵循性、績效性、可信性目標(biāo)的聯(lián)系。從信息安全的涵義可以看出，信息系統(tǒng)的安全性目標(biāo)不同于其遵循性、績效性和可信性目標(biāo)，但是，安全性與它們之間又是相互聯(lián)系的。首先，安全性必須滿足遵循性的要求，信息系統(tǒng)的設(shè)計、運行、使用和管理可能要置于法律規(guī)定的和合同約定的安全要求的約束之下，特別是各種信息安全法律法規(guī)、保密法，以及知識產(chǎn)權(quán)、個人隱私權(quán)方面的法律法規(guī)；其次，信息安全沒有絕對的安全，所有的信息安全都是風(fēng)險可接受條件下的安全，高水平的安全保護需要大量的投入成本，因而需要在成本、收益、風(fēng)險和安全之間進行權(quán)衡，即安全性與績效性的聯(lián)系；最后，在信息安全技術(shù)層面，可信計算技術(shù)是信息安全技術(shù)的一個重要研究領(lǐng)域，從而表明安全性與可信性之間也有內(nèi)在的聯(lián)系。

筆者認為，目前國際上制定的有關(guān)信息安全等級評估、信息安全風(fēng)險評估、信息安全管理體系等方面的國際標(biāo)準(zhǔn)，無論是在理論概念還是在操作實務(wù)方面，對于我國審計機關(guān)開展信息系統(tǒng)審計都具有重要的借鑒價值。這些國際標(biāo)準(zhǔn)或良好實務(wù)可以作為審計的參照標(biāo)準(zhǔn)，同時也可以作為審計機關(guān)向被審計單位提出改進信息系統(tǒng)安全性建議的依據(jù)。同時，在對國有企業(yè)信息系統(tǒng)的安全性進行審計時，還要立足我國實際，由于我國國有企業(yè)信息系統(tǒng)是國民經(jīng)濟命脈之命脈，事關(guān)國家經(jīng)濟安全和社會穩(wěn)定，在重視企業(yè)本身信息系統(tǒng)安全的同時，還應(yīng)當(dāng)從宏觀上揭示國有企業(yè)信息系統(tǒng)的安全風(fēng)險，維護國家經(jīng)濟安全。

最后應(yīng)當(dāng)指出的是，在審計實踐中，根據(jù)具體情況，單個審計項目可以選取上述可信性、績效性和安全性目標(biāo)中的一個或多個作為審計目標(biāo)。

篇3

隨著企業(yè)信息化水平的提升，大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備，但信息安全防護理念還停留在防的階段，信息安全策略都是在安全事件發(fā)生后再補救，導(dǎo)致了企業(yè)信息防范的主動性和意識不高，信息安全防護水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求。

2企業(yè)信息系統(tǒng)安全防護的構(gòu)建原則

企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時應(yīng)該遵循以下幾個原則：

2.1建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范，來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善。基本企業(yè)信息安全管理過程包括：分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴謹?shù)膱?zhí)行策略、選用安全可靠的的防護產(chǎn)品等。

2.2提高企業(yè)員工自身的信息安全防范意識

在企業(yè)信息化系統(tǒng)安全管理中，防護設(shè)備和防護策略只是其中的一部分，企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實施信息化安全管理時，絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實施企業(yè)信息安全前，應(yīng)制定企業(yè)員工信息安全行為規(guī)范，有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運行，保證企業(yè)信息安全。其次階段遞進的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓(xùn)，強化企業(yè)員工對信息安全的概念，提升員工的安全意識。使員工的行為符合整個企業(yè)信息安全的防范要求。

2.3及時優(yōu)化更新企業(yè)信息安全防護技術(shù)

當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時，就應(yīng)當(dāng)考慮采用何種安全防護技術(shù)來支撐整個信息安全防護體系。對于安全防護技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實時監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源，并且可以根據(jù)員工級別分配人員訪問權(quán)限，達到企業(yè)敏感信息的安全保障。

3企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設(shè)架構(gòu)，在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護體系時，我們需要重點關(guān)注以下幾個方面：

3.1實施終端安全，規(guī)范終端用戶行為

在企業(yè)信息安全事件中，數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為。企業(yè)信息安全體系建立前，企業(yè)員工對自己的個人行為不規(guī)范，造成了員工可以通過很多方式實現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為，我們在建設(shè)安全防護體系時，僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺前，就對用戶的終端系統(tǒng)進行安全規(guī)范檢查，符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計，使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范，從終端用戶提升企業(yè)的防護水平。

3.2建設(shè)安全完善的VPN接入平臺

企業(yè)在信息化建設(shè)中，考慮總部和分支機構(gòu)的信息化需要，必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSLVPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對于分支機構(gòu)可以考慮專用的VPN設(shè)備和總部進行IPSec連接，這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSLVPN方式。在這種情況下，就必須做好對于移動終端的身份認證識別。其實我們在設(shè)備采購時，可以要求設(shè)備商做好多種接入方式的需求，并且?guī)椭髽I(yè)搭建認證方式。這將有利于企業(yè)日常維護，提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時，要面對多個部門和分支結(jié)構(gòu)，合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為：物理層；數(shù)據(jù)鏈路層；網(wǎng)絡(luò)層；傳輸層；會話層；表示層；應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下，根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險程度，做出適合企業(yè)信息安全的防護策略和訪問控制策略。根據(jù)相應(yīng)防護設(shè)備進行深層次的安全防護，真正實現(xiàn)OSI的L2～L7層的安全防護。

3.4實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理

為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護體系，重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理，做到對整個網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時會產(chǎn)生大量的安全日志，如果單靠相關(guān)人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當(dāng)安全事件發(fā)生時，企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時，就必須要考慮安全設(shè)備日志之間的統(tǒng)一化，設(shè)定相應(yīng)的訪問控制和安全策略實現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。

4結(jié)束語

篇4

關(guān)鍵詞：信息化；信息安全；安全管理

1企業(yè)信息安全現(xiàn)狀

近幾年，隨著行業(yè)信息化建設(shè)逐步深入，伴隨著OA辦公自動化、ERP、卷煙生產(chǎn)經(jīng)營決策管理和MES生產(chǎn)制造執(zhí)行等系統(tǒng)相繼投入使用，與生產(chǎn)經(jīng)營息息相關(guān)的關(guān)鍵業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高，企業(yè)也逐步認識到信息安全的重要性，企業(yè)員工的安全意識也都得到逐步提高。行業(yè)也相繼出臺了煙草行業(yè)信息安全保障體系建設(shè)指南和各類信息安全制度，并通過這幾年信息安全檢查工作，促進企業(yè)的信息安全水平得到了進一步提高。由于企業(yè)信息安全意識不斷提高，企業(yè)不斷加大信息安全方面的投入，如建立標(biāo)準(zhǔn)化的機房、購買與部署各類信息安全軟件和設(shè)備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網(wǎng)絡(luò)等也隨著計算機技術(shù)的發(fā)展不斷更新，攻擊手段也越發(fā)隱蔽和多樣化。企業(yè)不僅要應(yīng)對外部的攻擊，也要應(yīng)對來自于企業(yè)內(nèi)部的信息安全威脅，安全形勢不容樂觀。企業(yè)的信息安全已不僅僅是技術(shù)問題，還需要借助管理手段來保障。企業(yè)如果不能正確樹立信息風(fēng)險導(dǎo)向意識，一味注重“技術(shù)”的作用，忽略“管理”的重要性，就很難發(fā)揮信息安全技術(shù)的作用，無法把企業(yè)的各項信息安全措施落到實處，企業(yè)的信息安全也就無從談起。只有切實發(fā)揮管理作用，企業(yè)的信息安全才能得到有效保障。

2企業(yè)信息安全體系架構(gòu)

在談到信息安全時，大多數(shù)剛接觸的人都比較疑惑，都說保障信息安全十分重要，那到底什么是信息安全呢？下面就簡單介紹一下信息安全的概念以及企業(yè)的信息安全體系架構(gòu)。2.1信息。對企業(yè)來說，信息是一種無形資產(chǎn)，具有一定商業(yè)價值，以電子、影像、話語等多種形式存在，必須進行保護。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制，避免造成不良影響或者資產(chǎn)損失。2.3企業(yè)信息安全體系架構(gòu)。在保障企業(yè)信息安全過程中，信息安全技術(shù)是保障信息安全的重要手段。通過上文對企業(yè)信息安全現(xiàn)狀的分析，不難看出企業(yè)信息安全體系主要分為技術(shù)、管理兩個重要體系，進一步細分則涉及安全運維方面。2.3.1信息安全技術(shù)體系作用。主要是指通過部署信息安全產(chǎn)品，合理制定安全策略，實現(xiàn)防止信息泄露、被篡改、被損壞等安全目標(biāo)。信息安全產(chǎn)品主要是指實現(xiàn)信息安全的工具平臺，如防火墻類產(chǎn)品、防攻擊類產(chǎn)品、殺毒軟件類產(chǎn)品和密碼類產(chǎn)品等，而信息安全技術(shù)則是指實現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)。2.3.2信息安全管理體系作用。完善信息安全組織機構(gòu)、制度，細化職責(zé)分工，制定執(zhí)行標(biāo)準(zhǔn)，確保日常管理、檢查等制度有效執(zhí)行，最大程度發(fā)揮信息安全技術(shù)體系作用，確保信息安全相關(guān)保護措施有效執(zhí)行。通過上文簡單介紹，對信息安全以及信息安全系統(tǒng)有了大概了解。可以看出單純借助技術(shù)或管理無法保障企業(yè)信息安全，因此，建立企業(yè)信息安全管理體系的重要性也就不言而喻。

3信息安全管理體系概念

3.1信息安全管理。運用技術(shù)、管理手段，做好信息安全工作整體規(guī)劃、組織、協(xié)調(diào)與控制，確保實現(xiàn)信息安全目標(biāo)。3.2管理體系。體系是指相互關(guān)聯(lián)和相互作用的一組要素，而管理體系則是建立方針和目標(biāo)并實現(xiàn)這些目標(biāo)的體系。3.3信息安全管理體系（ISMS）。在一定組織范圍內(nèi)建立、完成信息安全方針和目標(biāo)，采取或運用方法的體系。作為管理活動最終結(jié)果，包含方針、原則、目標(biāo)、方法、過程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業(yè)總管理體系的一個子體系，目的是建立、實施、運行、監(jiān)視、評審、保持和改進信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機構(gòu)。明確職責(zé)分工，確保信息安全工作組織與落實。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。3.5.3資源。提供體系運轉(zhuǎn)所需的資金、設(shè)備與人員等。

4信息安全管理體系機構(gòu)設(shè)置以及作用

在建立企業(yè)的信息安全管理體系之前，如果沒有設(shè)置相應(yīng)的信息安全組織機構(gòu)，那么建立體系所需要的資源（資金、人員等）就無法得到保障，企業(yè)的信息安全制度和策略也就無法貫徹落實，企業(yè)的信息安全管理體系就形同虛設(shè)起不到任何作用。因此，企業(yè)在建立信息安全管理體系前必須建立健全信息安全組織機構(gòu)，機構(gòu)設(shè)置可以根據(jù)職責(zé)分為三個層次。4.1信息安全決策機構(gòu)。信息安全決策機構(gòu)處于安全組織機構(gòu)的第一個層次，是本單位信息安全工作的最高管理機構(gòu)。應(yīng)以單位主要領(lǐng)導(dǎo)負責(zé)，對信息安全規(guī)劃、信息安全策略和信息安全建設(shè)方案等進行審批，并為企業(yè)信息安全工作提供各類必要資源。4.2管理機構(gòu)。處于安全組織機構(gòu)的第二個層次，在決策機構(gòu)的領(lǐng)導(dǎo)下，主要負責(zé)企業(yè)日常信息安全的管理、監(jiān)督以及安全教育與培訓(xùn)等工作，此類工作大部分都由企業(yè)的信息化部門承擔(dān)。4.3執(zhí)行機構(gòu)。處于信息安全組織機構(gòu)的第三個層次，在管理機構(gòu)的領(lǐng)導(dǎo)下，負責(zé)保證信息安全技術(shù)體系的有效運行及日常維護，通過具體技術(shù)手段落實安全策略，消除安全風(fēng)險，以及發(fā)生安全事件后的具體響應(yīng)和處理，執(zhí)行機構(gòu)人員可以由信息中心技術(shù)人員與各部門專職或兼職信息安全員組成。

5信息安全管理體系的建立

ISO/IEC27001:2005標(biāo)準(zhǔn)的“建立ISMS”章節(jié)中，已明確了信息安全管理體系建立的10項強制性要求和步驟。企業(yè)應(yīng)結(jié)合自身實際情況，遵照這些內(nèi)容和步驟，建立自己的信息安全管理體系，并形成相應(yīng)的體系文件。5.1建立的步驟。（1）結(jié)合企業(yè)實際，明確體系邊界與范圍，并編制體系范圍文件。（2）明確體系策略，構(gòu)建目標(biāo)框架、風(fēng)險評價的準(zhǔn)則等，形成方針文件。（3）確定風(fēng)險評估方法。（4）識別信息安全風(fēng)險，主要包括信息安全資產(chǎn)、責(zé)任、威脅以及造成的后果等。（5）進行安全風(fēng)險分析評價，編制評估報告，確定信息安全資產(chǎn)保護清單。（6）明確安全保護措施，編制風(fēng)險處理計劃。（7）制定工作目標(biāo)、措施。（8）管理者審核、批準(zhǔn)所有殘余風(fēng)險。（9）經(jīng)管理層授權(quán)實施和運行安全體系。（10）準(zhǔn)備適用性聲明。以上步驟解釋不詳盡之處，參看ISO/IEC27001:20054.2.1章節(jié)中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素，必須與ISO/IEC27001:2005標(biāo)準(zhǔn)保持一致，同時也要結(jié)合企業(yè)實際，確保員工遵照要求嚴格執(zhí)行。而且也要符合企業(yè)的實際情況和信息安全需要。在實際工作中，企業(yè)員工應(yīng)按照文件要求嚴格執(zhí)行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針，涵蓋硬件、網(wǎng)絡(luò)、軟件、訪問控制等；程序類主要是指“過程文件”，涉及輸入、處理與輸出三個環(huán)節(jié)，結(jié)果常以“記錄”形式出現(xiàn)；記錄類主要是記錄程序文件結(jié)果，常以是表格形式出現(xiàn)。至于適用性聲明文件，企業(yè)應(yīng)結(jié)合自身情況，參照ISO/IEC27001:2005標(biāo)準(zhǔn)的附錄A，有選擇性地作出聲明，并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風(fēng)險評估、處理、文件控制、記錄控制、內(nèi)部審核、糾正與預(yù)防、控制措施有效性測量、管理評審與適用性聲明等。5.2.3任意性文件。企業(yè)可以針對自身業(yè)務(wù)、管理與信息系統(tǒng)等情況，制定自己獨有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關(guān)法律法規(guī)、ISO/IEC27001:2005標(biāo)準(zhǔn)以及企業(yè)實際要求，保證與企業(yè)其他體系文件協(xié)調(diào)一致，避免沖突，同時在文字描述準(zhǔn)確且無二義。

6體系實施與運行

主要包括策略控制措施、過程和程序，涉及制定和實施風(fēng)險處理計劃、選擇控制措施與驗證有效性、安全教育培訓(xùn)、運行管理、資源管理以及安全事件應(yīng)急處理等。

7體系的監(jiān)視與評審

主要指對照策略、目標(biāo)與實際運行情況，監(jiān)控與評審運行狀態(tài)，主要涉及有效性評審、控制措施測試驗證、風(fēng)險評估、內(nèi)部審核、管理評審等環(huán)節(jié)，并根據(jù)評審結(jié)果編制與完善安全計劃。

8體系的保持和改進

主要是依據(jù)監(jiān)視與評審結(jié)果，有針對性地持續(xù)改進。主要包括改進措施、制定完善措施、整改總結(jié)等，同時需相關(guān)方進行溝通，確保達到預(yù)計改進標(biāo)準(zhǔn)。

9結(jié)語

篇5

【關(guān)鍵詞】云計算；電力信息；電力企業(yè)

引言

隨著計算機信息的不斷發(fā)展，云計算作為計算機中的新興技術(shù)，受到了諸多企業(yè)的認可與廣泛的應(yīng)用，但隨著時代的發(fā)展，云計算環(huán)境中的信息安全也被眾多相關(guān)人士的所重視，而電力企業(yè)將云計算技術(shù)應(yīng)用于自身的管理系統(tǒng)中，能夠在一定程度上提升自身信息管理的水平。但在提升的同時，也存在著一定的風(fēng)險性。

1云計算概念解析

云計算的核心里面便是互聯(lián)網(wǎng)為基礎(chǔ)將眾多的計算機組合成可以控制的資源體系，最后利用該資源體系完成眾多的計算任務(wù)。因此就云計算的實質(zhì)而言，其就是以Internet為基礎(chǔ)的計算方法。云計算經(jīng)過長時間的發(fā)展具備了服務(wù)彈性大、可擴展性強等諸多優(yōu)勢，但云計算在具備這些優(yōu)勢同時也具備了相關(guān)的信息安全問題。所謂的信息安全問題指的便是基于互聯(lián)網(wǎng)而衍生出來的信息風(fēng)險。其具體包括數(shù)據(jù)訪問權(quán)限風(fēng)險、傳輸、儲存安全風(fēng)險等等，而電力企業(yè)需要用云計算完成的任務(wù)具體有以下幾個方面，用戶個人信息管理、電力營銷、電力數(shù)據(jù)仿真等等。

2云計算環(huán)境下電力信息安全問題簡析

有關(guān)技術(shù)人員根據(jù)云計算服務(wù)性質(zhì)的不同，將云計算分為了混合云、私有云、公有云三類，根據(jù)我國現(xiàn)代電力企業(yè)對于云計算的應(yīng)用情況，發(fā)現(xiàn)其不僅僅涉及到了公有云，而且還包涉及到私有云。而在電力企業(yè)中電力私有云在一般情況下是指電力企業(yè)為了實現(xiàn)系統(tǒng)內(nèi)整個IT架構(gòu)的提升專門構(gòu)建的云計算。電力企業(yè)的私有云較之于公有云而言，提升了一定的安全性與服務(wù)質(zhì)量，但其還存在著較多的風(fēng)險。

2.1邊界模糊

所謂邊界風(fēng)險指的就是因為云計算本身就是以虛擬化構(gòu)架為基礎(chǔ)建造起來的，因此其不具備明確的安全邊界，而且傳統(tǒng)的安全區(qū)分系統(tǒng)很難滿足云計算對于安全的需求。

2.2訪問權(quán)限風(fēng)險

訪問權(quán)限在現(xiàn)階段的云計算系統(tǒng)中，已被大量廣泛采用，因為電力企業(yè)很大一部分業(yè)務(wù)系統(tǒng)都處于云中。因此如果不具備相關(guān)的身份識別方式，很多人都有可能接觸到企業(yè)的機密信息，從而導(dǎo)致機密泄露問題的發(fā)生。

2.3數(shù)據(jù)的存儲與傳輸?shù)膯栴}

現(xiàn)階段很多電力企業(yè)信息都會在存儲與傳輸?shù)倪^程中受到攻擊，在很多時候會造成企業(yè)機密信息的泄露。很多電力企業(yè)信息在存儲時會收到代碼的惡意攻擊，因此電力企業(yè)數(shù)據(jù)的存儲與傳輸?shù)膯栴}必須得到解決。

3云計算環(huán)境下電力信息安全策略簡析

3.1邊界防護技術(shù)的應(yīng)用得到加強計算機安全策略

常見的應(yīng)用類型便是邊界防護功能技術(shù)，最為常見的便是防火墻技術(shù)、入侵檢測系統(tǒng)等等。防護墻技術(shù)從本質(zhì)而言就是一種屏障技術(shù)，一般由軟硬件組合而成，應(yīng)用的方面是內(nèi)部網(wǎng)與外部網(wǎng)之間，具體而言防火墻技術(shù)由服務(wù)訪問規(guī)則、數(shù)據(jù)驗證相關(guān)工具、包過濾、應(yīng)用網(wǎng)關(guān)，這四大件構(gòu)成，只要是經(jīng)過這四大構(gòu)建的數(shù)據(jù)都會被嚴格的審核，審核通過后才會被放行，因此電力信息安全的云計算可以提升防火墻技術(shù)來完成對信息的保護，而入侵檢測技術(shù)其實是一種安全警報技術(shù)，入侵檢測技術(shù)在運行的時候能將準(zhǔn)確地識別外來信息的入侵，并且向相關(guān)的管理人員發(fā)出警報，而且入侵檢測系統(tǒng)技術(shù)能夠?qū)⑷肭值模畔⑦M行統(tǒng)一的收集處理，并且加以分析，便于工作人員的管理。因此電力企業(yè)應(yīng)當(dāng)應(yīng)用較為先進的入侵檢測技術(shù)系統(tǒng)，便能夠在極短時間來發(fā)現(xiàn)外來信息的入侵并及時的采取相應(yīng)的措施，便能夠有效的防止電力企業(yè)核心資料的泄漏[2]。

3.2完善身份認證體系

屏蔽端口是完善身份認證體系作為主要的一個環(huán)節(jié)，上文也提及電力信息安全的一個主要問題便是訪問權(quán)限安全，只有完善身份認證體系才能更好的保護電力企業(yè)的機密信息，而完善身份認證體系可以很好的防止個人信息賬號被盜問題的發(fā)生，在一般情況下，非法攻擊或者黑客在對管理員賬號進行竊取時，一般都會選擇采用服務(wù)器的3389端口來進行界限的突破工作，因此電力企業(yè)的技術(shù)人員只有把流經(jīng)此端口的計算信息進行徹底的屏蔽，才能實現(xiàn)對電力企業(yè)信息的保障。

3.3加強云服務(wù)器的安全防護

關(guān)于數(shù)據(jù)的儲存以及傳輸?shù)陌踩梢酝ㄟ^相應(yīng)的加密軟件來解決，或者電力企業(yè)的技術(shù)人員根據(jù)企業(yè)數(shù)據(jù)的實際情況將數(shù)據(jù)進行了分類加密。對于核心的數(shù)據(jù)進行高端加密軟件和多層加密。對于普通的數(shù)據(jù)流進行了一般的加密，如此一來不僅僅節(jié)約了企業(yè)成本，還解決了數(shù)據(jù)的存儲以及傳輸?shù)陌踩膯栴}。而且電力企業(yè)該應(yīng)該對云服務(wù)器的安全防護能力進行一定的加強，其主要的措施就是應(yīng)用清馬以及修補漏洞的方式來實現(xiàn)，電力企業(yè)的技術(shù)人員對系統(tǒng)的漏洞的檢查力度進行一定的加強，對于發(fā)現(xiàn)的漏洞進行及時的解決，對于網(wǎng)頁上的木馬進行及時的查殺，并且統(tǒng)計歸納已經(jīng)出現(xiàn)的漏洞以及木馬，建立較為完善的病毒庫，以便下一次更好的防止木馬的入侵。

4結(jié)語

本文通過對云計算環(huán)境下電力信息安全問題的深入分析，并結(jié)合了云計算相關(guān)的概念，提出了云計算環(huán)境下電力信息安全的相關(guān)策略，對云計算環(huán)境下電力信息安全的各個方面進行了深入的研究分析，最后得出，云計算環(huán)境下的電力企業(yè)信息安全是保證電力企業(yè)實現(xiàn)良好發(fā)展的保障之一，因此必須得到重視。

參考文獻

[1]張云生.淺談發(fā)電企業(yè)信息安全與風(fēng)險控制[J].機電信息，2016（27）.