企业内部网络安全问题

企业内部网络安全问题（通用12篇）

企业内部网络安全问题 篇1

摘要：随着时代的发展, 计算机已进入千家万户, 企业内网的安全是企业信息管理的保障。部分企业的内网管理还存在着管理意识不强、系统存在漏洞等问题。企业要通过严格管理使用、加强技术维护、定期进行检测等方法, 针对不同问题, 加强对硬件和软件的及时调整, 建立完善的网络安全管理体系。

关键词：计算机网络,内网安全,存在问题,预防方案

1. 引言

当今社会科技高速发展, 信息技术应用逐渐广泛, 不少企事业、单位均在内部建立了大型的网路 (计算机网络) , 比如生产指挥系统, 铁路局域网, 车站客户购票系统等大型系统。随着信息技术带给人们极大的快捷、方便, 网路信息技术的安全也就越来越重要。计算机网络安全所指的是计算机网络系统的软硬件及数据受到的保护, 不因为人为因素的影响而被破坏、更改, 从而正常工作。此文针对探讨的就是如何加强对内网安全的管理、维护, 以及防范等问题。

2. 企业内部计算机网络 (以下简称内网) 的特点

2.1 与外界网络的隔离。

为了企业的生产、管理运行和工作, 大多数企业都建立了内部网, 比较独立, 因此, 物理连接方面与外界计算机网络联系很少, 与外界不进行沟通。为了满足企业与外界的联系, 内网中个别客户端计算机可能与外界联系, 但绝大多数用户仍与外界隔绝。

2.2 建立起S/C结构的应用。

内部网中普遍设立了大量的S/C结构, 可以提供很多功能, 如web服务、ftp服务、实时通讯、网上会议等功能。其中, 一些企业安装了专门使用的软件, 并且建立了专门数据库, 可以帮助企业制造大量的公文, 并且进行流转、处理, 各种文件传输, 也可以进行会议等。

2.3 企业的日程运转越来越依赖于内网。

由于ERP、CAD等办公和生产系统的大量应用, 企业的日常运转对信息流通的依赖性越来越大, 尤其是内部信息网络。另外, 内部网络由于生产和办公软件系统的电子化、智能化, 已经成为单位信息和指令传输的重要组成部分。

2.4 对网络安全提出了更高的要求。

大批量的终端、网络设备和服务器共同组成了内部网络, 相互协调工作, 成为严密的整体, 因此, 为了不使整个内部网络发生不必要的意外, 企业在任何一方面的安全问题都应当引起足够的重视。这就要求内网中的各部分要有较高的稳定性、可靠性和可控性, 尤其是服务器和数据库。

3. 一般内网安全存在的问题

计算机的安全级别若从高到低来讲, 可以分为主机系统的应用服务安全、文件系统安全, 系统服务安全, 操作系统内核安全, 主机系统的物理安全。由于了解了内部网络的特征, 我们可以很清楚地看出, 内网安全存在着很明显的问题, 特别是技术和管理使用方面。

3.1 内网管理、使用方面存在问题。

3.1.1 网络安全意识不强。

由于内网还未得到大面积普及, 部分企业的内网组建比较仓促, 导致一些管理、使用人员对计算机知识了解不清楚, 对网络的安全问题意识不够, 并且对信息资产保护的意识相对薄弱。因此, 在每次计算机信息损坏, 从而导致泄漏信息、文件遗失等安全问题。这些问题都会造成直接的经济损失。

3.1.2 内部人员使用不规范。

使用人员对计算机设备操作错误而产生的问题在内网中占绝大多数。譬如, 操作人员在计算机还未完全关闭后就关闭UPS电源, 还有些操作人员在不经常杀毒的前提下随意在多台计算机上使用U盘、活动硬盘拷贝文件, 给电脑病毒以可乘之机。有的用户在没有确定软件地安全性就随意地安装, 还有的计算机用户随意地将自己的账户密码告知别人, 给计算机安全问题造成巨大隐患。

3.2 科技角度存在的漏洞。

3.2.1 操作系统不能及时进行升级完善。

没有哪个操作系统是完美的, 任何操作系统一定有自身的缺陷。正是这样才给计算机病毒提供了温床。原因在于内网系统是一个独立的体系, 因而操作系统得不到及时升级, 从而无法保证内网的安全。同样, 在应用软件方面也存在着不足。一般而言IIS的漏洞方式有:远程溢出漏洞、配置错误漏洞、权限漏洞、解码漏洞等, 数据库的漏洞形式注入式漏洞等。然而, 有些编程人员却忽略了安全这一重大问题, 产生了操作系统的缺陷和漏洞, 更有甚者, 为了便利而故意设置软件的漏洞。

3.2.2 关注匮乏, 信息安全无法顾及全面。

在部分企业管理人员的观念中对信息安全的关注不够, 从而造缺乏对信息安全产品的投入。在部分企业中有放弃使用网络版防火墙和防病毒软件以单机版产品替代的, 有的企业使用一套防病毒软件安装多台计算机, 甚至有的企业根本没有使用任何防火墙和防病毒软件。

4. 预防方案

4.1 敲响网络安全的警钟。

企业管理人员要培养网络安全意识是稳定企业内网信息安全的先决条件。要及时对其进行相应的网络应用技术培训, 促使其专业技术水平提高, 真正为企业消除在设备性能、信息安全方面的后顾之忧。对于因一线操作人员水平存在缺陷或因工作疏忽误操作而造成的问题, 技术人员应利用加密、屏幕保护加密、目录加密、文件加密、网络传输加密等专业技术来加以预防。

4.2 加强有关规章完善, 严格管理网络使用。

加强网络安全管理, 提高有关规章制度完善程度, 将有利于保障网络安全、可靠运行。完善计算机操作使用流程制度、网络操作规范制度、U盘、活动硬盘等信息介质的妥善管理规定、保密机和密钥等密码安全问责制度, 同时建立健全计算机的维护制度和应急措施、预案, 以保障网络系统的安全等。为使计算机安全工作有章可循, 责任到人的目的, 可尝试上网信息保密审批领导责任制等安全隐患问责制度, 将计算机可能存在安全隐患的各个环节都能加以严格掌控。

4.3 增强对计算机内部网络的技术维护。

4.3.1 对专业人才进行针对培养, 加大计算机硬件的防护措施。

在制定生存发展战略的同时, 企业往往对专业人才的引进与培养倾注大量精力, 而其中计算机专业的技术人员相对较为缺乏。为了推动企业发展, 必须采取相应的针对措施。第一, 加大对计算机专业技术人才的引进;第二, 为了对计算机保持长期有效的维护, 定期对内网技术专业人员进行集中技能培训, 提高其专业素质;第三, 为保证内网设备的正常运行, 应针对设备的使用环境、运行情况进行周期性检查, 及时更新和维护相应的配件。

4.3.2 保持计算机操作系统的更新, 修补减少编程堵塞漏洞。

第一, 保证操作系统正常运行的首要条件就是定期对其进行更新和补漏, 并且由于互联网没有与内网直通, 更新与升级的任务需要靠维护人员手动完成。补丁管理软件能够针对这一情况减轻维护人员的工作量, 每次只需在服务器上更新一次, 相应所有客户端便能够自动更新, 安全便捷。如微软公司 (Microsoft) 的WSUS (Windows Server Update Services) 补丁管理软件等, 在现如今内网服务器和终端较多的情况下, 推荐使用这类软件。第二, 为最大限度地保证信息安全, 类似系统中的WEB服务, 数据库读、写等由开发人员直接编程的专用程序应用, 要求加大安全力度, 尽量将程序编写的严密, 将涉及用户名与口令的程序封在服务端, 对于与数据库连接的用户名与口令应给予用户最小的权限, 营造一个安全的信息环境。

4.3.3 运用防火墙、防病毒软件等工具, 定期对网络进行监测和检查。

为营造安全访问空间, 阻挡木马病毒的传播与侵入, 应在服务器、各终端边界上建立起通信监控系统, 利用防火墙技术来进行实时检查与隔离, 从而提高内网的安全性。安装网络监控软件, 能够及时发现内网中存在的异常情况, 并提供有效证据, 为事后追查问题根源提供便捷。通过安装网络版防病毒软件来加强病毒检测, 及时发现病毒并予以清杀, 可有效阻止其在网络上的蔓延和破坏。

5. 结语

网络安全是企业应该高度重视的一个综合性课题, 它既包括信息系统本身的安全, 又有物理和逻辑的技术措施, 涉及技术、管理、使用等许多方面。企业应针对不同方面的问题, 开发新技术, 加强对硬件和软件的及时调整, 研究维护网络安全的完备方法, 建立起完善的网络安全管理体系, 为保证企业信息系统的安全运行而积极防范。

参考文献

[1]谢希仁.计算机网络 (第6版) [M].北京:电子工业出版社, 2011.

[2]胡道元.计算机局域网[M].北京:清华大学出版社, 2010.

[3]朱理森, 张守连.计算机网络应用技术[M].北京:专利文献出版社, 2010.

[4]黄怡强.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛, 2011 (01) .

企业内部网络安全问题 篇2

增效说明：

1.2.3.4. 开场白，向被访谈说明调查的意图和时间等，并申明谈话的保密性和对他工作的帮助。每个被访谈人时间不少于35分钟，不多于80分钟，有助于得到更多有效信息。记录人请尽量记录被访谈人的问题描述原话。

尽量只使用其中20%问题，引出话题，将80%的时间留给被访谈人陈述

基础信息

1.2.3.4.介绍一下本部门的运作概况、工作内容及业务流程。部门人数、人员学历、能力构成是怎样的？ 部门员工的收入构成及收入水平是怎样的？ 您认为本公司自身的优势在哪里？劣势在哪里？

5.您的日常工作是哪些？各项工作所占的时间比例？

 战略规划

1.2.3.4.5.6.7.行业的发展趋势 市场竞争分析 企业发展定位 企业五年发展计划 如何运用、培养、留住人才 如何创建企业文化 如何塑造品牌

 管理制度（重点部分）

（此部分重点在于了解：现有管理制度是否完善，如果有漏洞，请详细记录这些漏洞）8.9.您认为本公司的组织架构合理吗？岗位责任有没有具体落实？ 公司有没有明确具体的管理制度？

10.你认为公司现有管理制度是否有效？ 11.你认为你的任务是否明确？

12.公司明确告诉了您职责任务是什么吗？

13.你觉得完成这些任务，遇到过的困难没有？都有哪些困难，后来解决了吗？如果没有，为什么？ 14.如果工作任务没有完成，公司一般会怎么处理？有没有例外？

 工作环境（重点部分）

（此部分重点在于了解：内部工作环境是否存在较多阻碍发展的因素，请详细记录这些阻碍因素）1.2.3.4.5.6.7.8.9.平时经常与哪些部门打交道比较多？本部门和其他部之间的日常业务协作关系是怎样的？沟通如何？平时和同事配合如何？ 与各领导关系如何？

公司内部沟通如何？是否经常开会沟通？开会一般都讨论什么内容，你觉得效果如何？ 你经常向谁汇报？除了刚才说的还需要向谁汇报，是否有双重领导？ 你平时工作中花费时间最多的是什么事情？ 您是否觉得本部门的工作流程顺畅？ 您对本部门领导的满意程度如何 你认为部门内合作的团队意识强吗？

10.你认为部门与部门间工作是否配合？ 关系如何？ 11.是否存在必须去做，但是没人做的事情？ 12.你觉得是否有哪些地方需要完善

 绩效薪酬

（此部分重点在于了解：员工对工作的满意程度，如果有不满意，可以继续追问上述两方面更详细情况并记录）1.2.3.4.你是否清楚你的工资构成？ 你对你的工资满意吗？

公司是如何评价你的绩效的？标准是什么？你认为合理性如何？ 你有什么好的想法和建议？

 激励机制（此部分重点在于了解：人才发展空间是否存在限制因素）

1.2.3.4.对自己的工作是否充满信心？ 企业是否有正式的激励体系/政策

曾经有过什么突出贡献得到过公司何种奖励？ 对目前的工作你觉得是否有提升的空间？

 个人能力（此部分重点在于了解：人才发展空间是否存在限制因素）

1.2.3.4.你是否清楚你的专长在哪里? 你觉得你的专长是否已经充分发挥? 您对公司用人标准的有什么看法? 如果不是,你认为是哪些因素阻碍了你的发挥?  企业文化（此部分要求被访谈对象给出一个总体综合评价，为最终报告收集素材）

企业内部网络安全问题 篇3

【关键词】内部审计；协同效应；内部协同；协同机制

一、内部协同效应在企业内部审计工作实施中的重要性

企业实施内部审计的目的在于通过对企业各项运营要素进行审核、检查和确认，来提高企业内部控制的有效性。影响内部审计工作的要素包括：内部审计管理层的重视程度、执行审计工作专业人员的综合素质、审计机构的权限大小、审计部门同其他部门的协同配合以及审计机构的独立性等。其中，审计部门同其他部门的协同配合就是对内部协同机制的充分肯定和重视。

在企业内部审计工作中发挥协同效应的重要性主要体现在：第一，能够促进企业资源的有效整合，提高管理要素之间的契合度和协同度；第二，能够为企业各部门间的有效沟通创造条件；第三，内部协同效应能够加强管理理论、管理实践同内部审计工作的融合，从而促进企业内部审计、内部控制、财务预算等子系统发挥最大价值和效用。

二、企业内部审计工作中协同效应管理所存在的问题

1.企业内部审计实效性差，审计人员协调方式不当

首先，据统计调查发现，按照国家法规自主设立内部审计机构的企业所照比例为50%，这就意味着，还有一半的企业未真正重视内部审计职能的设置，仅仅是为了满足相关工作的需要。另外，设置了内部审计部门的企业，能够充分利用内部审计职权进行协同管理的单位寥寥可数，因此难以发挥企业内部审计工作的实效性。

其次，审计人员的协调方式不当。内部审计工作像企业的血液一样，连接着企业的各个职能部门，如果审计人员认为其可以凌驾于其他职能部门，指挥其他部门，就极易诱发部门冲突，从而削弱内部协同管理的有效性。

2.企业内部审计部门与其他职能部门协同配合效率低下

首先，很多职能部门对内部审计工作的认识存在偏颇，片面认为这只是审计部门的工作，因此对审计部门的协同配合积极性低下。

其次，内部审计部门对其他职能部门的审核、检查会使部门内潜藏的问题暴露出来，从而损害其他职能部门的根本利益，因此，其他职能部门对内部审计机构具有消极抵触情绪。

3.企业内部审计机构的监督管理职能被削弱

首先，内部审计部门在管理层级中处于中等机构，职能权限有限，因此难以全面发挥审计监管职能。

其次，其他职能部门对内部审计持有质疑态度，只认可外部审计的权威性，忽视内部审计的职能价值。

4.企业内部审计与外部审计沟通协同动力不足，反馈不及时

虽然企业内部审计和外部审计的职能分工和审核目的有所不同，但是企业内部审计仍然可以借助外部审计的结果和资料来展开工作，从而便于直击企业痛点，降低审计成本。

三、加强企业内部审计协同效应的建议和对策

1.构建“服务导向型”内部审计协同机制

第一，内部审计部门要树立服务意识，在充分权衡、考虑多方利益的前提下，加强各职能部门协助和配合，积极建立动态协同机制，从而加速企业利益目标的实现。

第二，企业内部审计人员要端正工作态度，不断提升自身人际关系处理能力、专业审计执行能力，并通过调动其他职能部门的协同积极性来推进审计工作的进程。

2.加强内部审计部门同其他职能部门的协同互助

第一，内部审计部门在开展审计工作时，要秉承公平公正公开的原则，积极同其他职能部门建立良好的合作关系。一方面，要对被审计的部门给出的专业性建议给予肯定和采纳；另一方面对于重大的审计决策要与被审计部门的领导或小组进行洽谈磋商，从而确保内部审计协同效应的顺利实施。

第二，内部审计部门要学会进行审计成本的控制和压缩，因此，内部审计部门可以有效的运用各职能部门的工作成果来提高内部审计效率，降低审计工作的额外支出。

第三，建立内部审计责任制，一方面借助周边绩效考核指标来提高其他职能部门的协同度和配合度；另一方面可以清晰划分审计职责，从而便于追踪溯源，寻找责任方。

3.明确内部审计部门职能权限，强化其监管权力

第一，加强内部审计机构的职责划分，突出内部审计部门的独立性，内部审计部门的直属领导要突破管理层的限制，可以由董事长直接领导。

第二，要以书面文件的形式向各职能部门传达内部审计部门的权责范围，并要求各部门妥善配合内部审计工作，从而为内部审计协同效应的发挥提供制度保障。

3.4搭建企业内部审计与外部审计信息共享平台

第一，加强内部审计的信息化建设，积极推进内部审计工作中的预算管理、协同管理，借助信息化平台，增强企业内部审计和外部审计的协同沟通力度。

第二，构建联网审计协同机制，从而便于内部审计部门能够及时的查询、获取外部审计信息。

参考文献：

[1] 林仁灶.企业内部审计内部协同效应问题与对策.《会计之友》. 2016年3期 .

企业内部网络安全问题 篇4

在这个网络不断发展的时代, 网络在各个领域中都已广泛应用, 在人们的工作与生活中已经不可或缺。对于传统审计工作, 网络技术在其各个方面也都产生了深刻的影响。

我国内部审计开始建立于20世纪80年代, 随着经济体制的逐步改革, 企业集团不断涌现, 内部审计在企业集团中开始出现。我国的内部审计起步晚、发展时间短, 但发展是比较快速的, 一大批具有丰富财务知识的专业人才为了企业集团内部审计的快速发展而从事企业内部审计工作, 并为此不断探索。总体来说, 我国中小企业的内部审计的发展还处于发展的初级阶段。

目前, 我国中小企业在企业总数中所占比重在90%以上, 在国民经济中的比重已经超过了30%, 在我国经济发展的过程中发挥着越来越重要的作用, 但是所面临的问题也不容忽视。中小企业规模有限、资金少、经营范围小、受到传统体制及宏观经济的影响比较大, 因此, 中小企业在财务会计和审计管理方面存在着与当前的市场经济不适应的情况。自从加入世界贸易组织, 我国的中小企业所面临的挑战更加严峻, 因此, 加强中小企业内部审计的管理, 对于减少财务支出, 提高经济收益, 增强中小企业整体竞争力有着十分重要的意义。

二、网络环境下的审计风险及防范

在网络环境下, 被审计单位的会计系统运行的效率可能会得到提高, 同时也可能会导致新风险的产生。1983年, AICPA发布了第47号审计标准说明《审计业务的审计风险和重要性》, 其中提出了新的审计风险模型:审计风险=固有风险×控制风险×检查风险。

(一) 固有风险

固有风险是指在内部因素和客观环境的影响下, 不考虑内部控制结构, 企业的账户、财务报表发生重大错误的可能性。在审计过程中, 固有风险具有独立性和客观性, 不同因素对固有风险的影响不同, 是因为与其敏感关系不同。防范固有风险, 我们需要:加强安全控制, 防止数据的滥用、篡改及丢失;完善软件设计, 增加审计线索;改进录入技术, 减少错误。

(二) 控制风险

控制风险是指被审计单位的会计报表上出现了错报或漏报, 但其内部控制机构却未能及时发现或防止的可能性。它独立存在于审计过程中, 注册会计师可以设定控制风险的计划估计水平, 但无法降低控制风险。防范控制风险, 我们需要:提高网络操作的效率效果, 避免软件出现错误;建立与银行之间的网络连接, 避免数据出现不一致。

(三) 检查风险

检查风险是指注册会计师未能发现某一认定存在的错报的可能性, 这种错报连同其他错报是重大的。注册会计师的工作直接影响其实际水平, 但是由于注册会计师在有限的时间里全面地测试数据是不现实的, 这就增大了检查风险。防范检查风险, 我们需要:采用统一的格式存储文件, 便于审计师审查文件;设计一个检查程序, 使其能够针对性地降低检查风险。

三、网络环境下中小企业内部审计存在的问题及原因

内部审计是我国中小企业管理活动中重要的组成部分之一, 在我国中小企业完善经营管理的过程中发挥了重要的作用。然而, 我国的内部审计起步较晚, 仍有诸多问题存在于实际工作中, 导致内部审计的作用无法最大限度地发挥出来, 这对我国中小企业的经营和发展产生了一些负面的影响。

(一) 缺乏独立性和权威性

在我国, 中小企业的内部审计机构大多是由企业管理人员领导的, 导致了内部审计的独立性得不到保障, 这也是造成内部审计工作成果收效不高的重要原因之一。内部审计同时接受利益需求完全不同的两个阶层的领导并同时为他们服务, 这使得内部审计机构难以作出正确的判断, 最终, 内部审计机构往往会偏向于与其有相同物质利益需求的阶层, 因此, 内部审计很难在独立客观的角度上对财务状况进行真实合理的评价。同样, 内部审计在受国家审计机关的业务指导的同时还要接受本单位的行政领导, 这种情况下内部审计人员无法自主地开展工作, 这就使内部审计逐渐失去了权威性。我国中小企业内部审计机构的设置十分不合理, 大多由企业的管理人员领导, 有些中小企业甚至不设置内部审计机构及人员, 使内部审计得不到应有的权力和地位, 无法有效保证内部审计机构的独立性和权威性, 进而无法保证内部审计风险的有效规避, 这就等于在企业的经营管理中埋下了一个巨大的隐患。

(二) 对内部审计的理解不准确

在长期计划经济体制的影响下, 中小企业的管理人员和内部审计的工作人员对内部审计的理解都是比较片面的。很多中小企业的管理人员认为内部审计仅仅是检查内部的经济问题, 因此内部审计工作未能深入到经营管理的领域。有些管理人员将内部审计工作与会计稽核工作相混淆, 有的甚至将内部审计与经营管理对立起来, 从而对于内部审计机构与其工作人员实行合并设置, 甚至有会计负责人领导内部审计机构的情况出现, 致使内部审计机构得不到其应有的地位。同时, 某些内部审计的工作人员也不能正确理解自己的工作性质及工作地位, 没有认真的开展内部审计工作, 不能发挥出内部审计工作的积极作用。他们对内部审计的理解都是不准确的, 内部审计工作在我国中小企业的经营管理方面与增加收益方面都具有巨大潜力, 但是大多数人都没有意识到这些, 而且不愿意支持内部审计工作的开展, 使中小企业的内部审计工作无法真正的发展起来。

(三) 工作人员素质较低

随着市场经济的发展, 中小企业对于内部审计工作人员的素质要求也进一步提高, 原来单纯的财务、审计人员已经无法适应内部审计工作的需要, 如今的内部审计人员不仅要具备足够的财务、审计方面的知识和与他人沟通的技巧, 还应当精通中小企业中各项相关业务方面的知识。然而目前来看, 中小企业的内部审计工作人员的素质普遍不高。由于现在内部审计方面的专业知识还不够系统, 因此, 相当一部分中小企业的内部审计人员是从财务部门中被挑选出来的, 这些人中很多都没有接受过系统专业的内部审计实务培训, 缺乏足够的经营管理方面的经验, 并没有能力适应当今社会中小企业对内部审计工作的要求。同时, 内部审计人员素质偏低的状况还影响了他们在中小企业中的地位及收入, 内部审计的工作性质又容易被其他员工所误解, 使内部审计工作人员往往会感到工作开展困难, 最终致使内部审计工作人员逐渐失去工作的积极性, 因此, 内部审计工作人员的素质偏低极大地阻碍了内部审计的快速发展。

(四) 相关法律法规不完善

目前, 我国具备为数不少的内部审计相关法律法规, 但可操作性都比较低, 不能发挥出法律法规的指导作用。因此我国缺乏一套科学完整的内部审计准则来指导内部审计的实际工作, 对于内部审计的相关法律法规还需要不断的完善。我国内部审计准则与国际内部审计准则还是存在很大差异的, 无论是在具体内容上还是总体框架上, 我国都需要吸纳国际内部审计准则中先进的并适合我国国情的部分, 来逐步完善我国的内部审计准则。同时, 我国在内部审计的制度化、规范化方面仍需继续努力。

四、解决网络环境下中小企业内部审计存在问题的建议

在网络环境下, 我国中小企业的内部审计存在着多种多样的问题, 这些问题严重地影响到了我国中小企业的经营与发展, 而中小企业在我国国民经济中占着不小的比重, 因此, 解决中小企业的内部审计问题对于增强我国中小企业的整体竞争力以及我国国民经济的发展有着十分重大的意义。为了解决这些问题, 提出以下几点建议:

(一) 合理完善内部审计机构的设置

内部审计机构的类型是多种多样的, 各个企业应当根据自身的实际情况来设置适合本企业的内部审计机构。目前, 我国中小企业的内部审计机构大多缺乏独立性及权威性。

目前, 我国中小企业的内部审计机构大多由企业的主要管理人员直接领导, 使得内部审计工作受到了极大的限制, 要保持内部审计的独立性, 增强内部审计的权威性, 内部审计机构应当由中小企业根据自身的实际情况主动进行设置, 并推行由政府委派内部审计人员的制度, 这样不仅能够做到向管理人员及时的提出问题及建议, 还能够提高内部审计机构在企业中的地位。坚持这独立性与权威性原则, 不仅能够改变如今普遍存在于中小企业中的内部审计机构形同虚设的局面, 还能够将内部审计机构的定位从平行于其他各部门的管理体制向更完善、更高地位的管理体制转变, 是改变内部审计工作现状的根本决策。

(二) 加强对内部审计的理解

中小企业中管理人员对内部审计理解的准确程度决定了内部审计在企业的经营管理中发挥作用的大小。而目前来说, 多数人对内部审计的理解都是很片面的, 这就使内部审计无法发挥出其真正的作用。

加强管理人员对内部审计的理解, 应当多加宣传《审计法》以及内部审计准则, 让更多的管理者认识到, 内部审计在中小企业发展的过程中是必不可少的要素之一, 它能够增强企业的自主性、帮助中小企业适应当今社会的市场竞争。同时, 内部审计协会也应当采取一定的宣传手段, 结合国际上的先进技术, 为中小企业提出改进的意见, 做好中小企业内部审计工作的参谋和顾问。

通过宣传, 中小企业的管理人员就会加强对内部审计的理解, 走出误区, 充分的意识到内部审计在企业的经营管理中所起到的作用是无可替代的, 正是内部审计的存在, 才使企业的管理经营有了保障。这样, 中小企业的管理者才能为内部审计机构提供足够的人力及技术资源, 成为内部审计工作发展的巨大推动力, 而内部审计工作的有效施行提供保障。

内部审计人员也应当认真执行工作, 及时向管理人员汇报出现的问题并提出合理的建议, 保证内部审计工作的有效执行。同时, 内部审计人员还应定期接受培训, 不断地丰富自身的专业知识, 以便更好地协助管理人员进一步提高本企业的经营管理水平, 使企业在日益激烈的市场竞争中脱颖而出。

(三) 提升内部审计人员的素质

随着内部审计的发展, 原有的人才结构已经无法适应如今的内部审计工作需要, 只有精通财务与审计方面知识的人才是远远不够的, 还需要聘请精通相关各方面专业知识的专门人才或技术人员, 要多方面考虑未来内部审计发展方向。

原有的内部审计人员也需要通过不断的学习把综合素质提升起来。由于内部审计的不断发展和相关专业知识的不断更新, 内部审计人员应当不断吸收新的知识、不断更新知识体系, 始终保持足够的专业能力, 并在此基础上, 学习国际上的各种先进的内部审计技术, 结合我国的基本国情和本企业的实际情况, 综合应用到本企业的业务中来。

另外, 我国应当根据国际审计师协会的国际注册内部审计师资格考试办法尽快推出注册内部审计师资格考试制度, 并规定只有获得这个资格的人才才可以从事内部审计工作。

(四) 加强内部审计的制度建设

近年来, 我国出台的有关内部审计方面的制法律法规也有不少, 例如:《中华人民共和国审计法》及实施条例、《审计署关于内部审计工作的规定》及《中国内部审计准则》等, 但是这些法律法规远远无法满足现代中小企业内部审计工作的实际需要。

我国需要在此基础上不断地完善内部审计的相关法律法规, 加强内部审计制度的可操作性, 尽快制定一套全国统一的内部审计准则, 在内部审计的实际工作中起到具体、全面、科学的指导作用。我国的中小企业应当在企业内部根据这些法律法规及企业实际情况制定出一套企业内部审计制度, 并加强对内部审计人员的职业法律教育, 使他们严格遵守国家内部审计制度, 提高内部审计工作的规范性。

参考文献

[1]刘强.计算机系统审计:风险及其防范[J].硅谷, 2009 (10)

[2]王奇杰.浅析计算机审计下审计风险的控制[J].财会通讯, 2004 (9)

企业内部会计控制现状与问题分析 篇5

江苏云波实业有限公司主营业务有：水泥、钢材、白灰、袋沙、过梁等。

这些材料在建筑市场有很大的份额，目前该公司已经与许多零售商和代理商进行长期合作。

江苏云波实业有限公司经销的水泥、各种钢材、白灰、袋沙、过梁品种齐全、价格合理。

江苏云波实业有限公司实力雄厚，重信用、守合同、保证产品质量，以多品种经营特色和薄利多销的原则，赢得了广大客户的信任。

在公司建立之初，已经建立了较为完善的内部会计控制体系，然而随着企业的不断扩大，与时代的不断进步，原有的内部会计控制体系已经不能够适应当今市场的发展需求。

因此，建立一个完善的内部会计控制体系，以适应企业的长期发展，是有效保证企业生存与发展的关键性所在。

如今，市场竞争不断加强，经济全球化的趋势也在逐渐的加快，企业在面临同行业的激烈的市场竞争的时候，必须充分的调节企业内部的资源以保障其得到合理的利用。

因此，为有效促进江苏云波公司的长期发展，就需对其目前在内部会计控制这一块的现状与存在的问题进行分析，进而针对存在的相关问题提出行之有效的建议，以完善江苏云波有限公司内部会计控制体系。

二、江苏云波实业有限公司内部会计控制现状与问题分析

在企业运营的过程当中，内部会计控制是管理企业内部的经营及外部的社会经济活动的主要承担者，一个有效的企业内部会计控制体系对于配置企业内部资源和提高企业的盈利水平的重要保障，同时也是维持企业内部能够稳定可持续发展的重要措施。

1.流动资金缺乏

江苏云波实业有限公司内部的会计控制体系目前尚不规范，在运用资金的过程，往往需要花费大量的时间，而且效果并不明显。

如企业在会计的结算工作中，就会出现使用多个账号，从而给管理带来极大的不变，或是企业在经营的过程中，有时会出现内部资金告急的情况，严重影响到企业的原材料的购买，进而影响到企业的正常的业务运行。

同时，在企业的实际发展过程中，企业内部的财务部门对其它的业务控制上常会出现不合理的现象，如在全面的预算控制与成本的控制方面存在着不足的情况。

2.会计制度有效性缺失

在江苏云波有限公司的正常运作体系中，现行的一些管理制度的适用范围仅仅限于一般问题的解决，但对于特殊的问题则失去了效力，企业往往对其不能够及时的采取措施进行处理，

或是在处理的过程中，直接照搬其它企业的处理方法，没有根据本企业发展的实际情况进行有效的处理，从而到时了企业内部有效会计上面存在的问题不能够得到及时有效的解决，阻碍企业的长期健康发展。

同时，企业所建立的内部会计控制体系部健全，常会出现职责混乱的情况，而且在相关的考察方面，缺乏有效的激励制度，无法激发会计人员工作的积极性与主动性。

3.公司会计人员的素质较低

江苏云波有限公司要想更好更快地发展，公司的会计人员要不断学习以具备更全面的专业知识和专业技术，注意对会计工作经验进行积累，这样才能够担任会计工作。

但是，在公司的实际经营活动中，公司会计部门的相关工作人员在后续教育和培训工作上经常是停留在形式上，使得该公司的会计工作人员的专业技能一直得不到提升。

另外，江苏云波有限公司的人事部门在选用会计人员上也有着问题，会计工作上依然有一些非专业人员担任会计工作，然而有一部分人是经过一些不正当的方法才能从事企业的会计工作，

这样的会计很容易就被领导意愿所影响，只听从领导的命令工作，把会计的法规和会计职业道德抛在一边，把会计数据相关的信息进行伪造，用来满足和迎合领导的想法。

导致江苏云波有限公司在内部会计控制方面产生问题的原因可以从外部和内部两个角度考虑。

其外部原因主要是江苏云波有限公司对于其公司内部的会计控制规范性不够，且目标定位过低，没有形成系统的控制法规，以及该公司在内部的会计控制的行为执行上不到位等。

而内部原因主要就是江苏云波有限公司本身就缺乏较为良好的内部控制的环境，没有形成正确的管理理念、控制目标以及企业文化氛围等。

同时，该公司在组织设置方面存在着一定的问题，没有建立有效的信息反馈渠道，从而导致内部的监督力度不够致使企业的内部的会计控制方面存在部分问题。

三、完善江苏云波实业有限公司内部会计控制的对策

随着社会经济的不断发展，企业内部控制体系逐渐形成。

目前，我国市场经济体制日益完善，并且成为了世贸组织的一员，各企业已经逐渐开始意识到建立并完善企业内部的会计控制制度，以有效加强企业的内部管理制度，对促进企业的长期发展有着重要的作用。

江苏云波实业有限公司，自公司成立以来，其外部经营的环境和公司内部的相关组织结构都发生了很大的变化，公司成立之初建立的内部会计控制制度已经不能够适应时代对公司的发展需求，为企业获得最大化的利益需求有着一定的阻碍作用。

因此，江苏云波公司为了获得长期的生存与发展，就必须改变其内部会计控制制度，从而有效提高企业的市场竞争力。

1.改善流动资金的合理利用

江苏云波有限公司在经营过程中，就流动资金少这一问题进行分析发现解决途径是要在资金的流入和流出环节上实行制度化管理。

对于资金流动的金额要有明确的规定，一旦资金上超过规定，该资金要划入到锦涛公司的账户中;对锦涛公司每天的流入资金要在规定的时间内存入企业的账户;而锦涛公司的资金要有合理的预算，

对于购买材料的费用，经营生产，公司员工花费的各项费用都要有专门的部门进行估算，避免不必要的浪费。

在管理资金流动中，资金的安全管理很重要，资金周转快有利于资金安全回收。

同时，江苏云波有限公司应该摒弃传统的资金流动观念，树立新的运营观，对资金实施监控。

对资金进行监控是为了方便企业对各个资金的使用有明确的概念，从而便于管理。

并在资金的运转和流入流出过程中，公司需实施跟踪，避免资金的浪费，集中管理库存现金以及资金存入账户等问题，这样有利于提高资金的运营效果。

2.建立健全的会计工作制度

搞懂自我评价需要做什么是完善会计工作制度的前提。

建立内部会计控体系可以事前预防、事中监督、发现和事后改正公司运转过程中的错误行为，以保证公司的安全运营，维护投资者的利益。

因此内部会计控制的自我评价应该围绕锦涛公司的内部会计控制制度是否完善、健全，是否得到了积极的、严格的贯彻执行，是否有效地防止、发现、纠正了本公司在经营活动中的错误和舞弊行为来进行，

即评价内部会计控制的健全性、有效性;其次必须明确由谁来评价、要保证自我评价的客观、公平、公正及权威性，必须由具有相对独立权限的机构来负责。

该机构应直接向董事会报告工作，由董事会垂直领导。

3.加强对会计人员的培训，培养高级会计人才

江苏云波有限公司想要发展，首先要从转变公司管理层的观念开始，管理层要深刻领悟内部会计控制对公司的重要性，带头严格执行，否则就是管理者的失职。

内部会计控制既是对本公司的人、财、物进行有效控制、管理和使用的.关键，又是本公司执行有效经济活动责、权、利明确划分的制度保障，涉及到公司所有的经营活动和每一个经营环节，

这就要求锦涛公司的高层管理者思想上重视内部会计控制，行动上带头严格执行内部控制制度，把自觉严格遵守本公司内部控制制度作为提高企业质量的重要任务来抓，让全体员工了解他们的职责是什么，

企业内部控制问题研究 篇6

关键词：公司治理 企业 内部控制

1 内部控制与公司治理的相互关系

1.1 公司治理与内部控制都统一于实现企业的目标 内部控制的主要目标是减少虚假会计信息，保护资产的安全和完整，其基本目标仍是保证企业目标的实现。而公司治理的目标是保证企业运行在正确的轨道上，防止董事、经理等代理人损害股东的利益。健全的公司治理是企业目标得以实现的保证，只有实现企业目标，股东财富最大化才能实现。因此，内部控制和公司治理都统一于企业目标的实现。

1.2 公司治理结构与内部控制同源两者的产生具有同源性 两者所面临的核心问题都是如何分权和制衡以实现企业效率的最优化。在委托代理关系的框架内，内部控制就是当委托人授权代理人从事某项活动时，为了保证代理人的行为能够符合委托人利益最大化的要求而采取的措施和手段，内部控制作为系统的一种制约机制，实施所有者对经营者及经营者对经营过程的控制，其根源是所有者与经营者间、上下级间的代理行为；公司治理结构是在企业所有权和经营权分离的基础上产生的委托代理关系契约，因而其产生也源于由企业委托代理关系而出现的代理问题，因此两者具有同源性。

1.3 公司治理与内部控制都与一定的组织结构相适应 组织结构是企业为了便于管理，实现组织的目标而分成的若干个管理机构和管理层次，随着组织进入规范化阶段，制度和规程的繁多可能会束缚中层管理者和员工的自主性和创造性，由于制度在企业运转中的巨大作用，企业组织部门与部门，员工与员工之间的沟通减少，企业因此会出现一种缺乏人性化的情况，组织慢慢的僵化。为了克服这种组织结构带来的危机，就要建立恰当的内部控制制度与组织相适应，此时，内部控制在制度建设方面要以人为本，加强交流与沟通，充分发挥各个层次人员的主观能动性，促进组织效率的提高和企业经营目标的实现。

2 我国企业内部控制存在的问题

2.1 内部控制在董事会—经理层层面控制薄弱 内部控制虽然是由董事会、管理层和其他人员完成的过程，但在实际执行时，内部控制点主要集中在管理层以下的财务会计系统和业务执行系统，主要控制程序还是限定在CEO之下，针对的还是普通员工，而对于企业的高层即董事会与管理层的控制点较少，仅仅限于某些事情的高层授权。近几年发生的许多事件就是因为上层领导破坏有关的职责分离、授权批准等控制制度。因此，内部控制存在高层控制弱作用域。企业内部控制要得到有效实施，企业领导首先要重视并且带头执行。否则，企业内部管理只会一片混乱。

2.2 缺乏风险控制意识 随着市场经济的发展企业间的竞争越来越激烈，为了能够生存，就必须重视可能面临的各种风险。企业经营过程中面临的主要风险有政治风险、自然风险、市场风险、经营风险、财务风险等，前三种风险对企业而言是不可控风险。如果管理层缺乏风险概念，不设置风险管理机制，当遇到风险时就会束手无策。从我国企业现状来看，不少企业管理者还受计划经济观念的影响，采取各种经营政策时，往往很少考虑可能存在的风险，缺乏风险控制意识，缺乏有效的风险管理机制。

2.3 内部审计缺乏独立性 企业内部审计的主要工作是对内部控制的管理监督和对企业内部控制的运行进行评价。内部审计本身就是内部控制系统的重要组成部分，内部审计作为内部控制的再控制，应从第三者的立场上客观公正地对企业的内部控制进行再监督，但由于我国许多公司的内审部门隶属于企业管理层，缺乏应有的独立性，无法做出公正的判断和进行有效的监督。

2.4 内部控制制度执行不力 从目前内部控制的制定与执行效果来看，大多数企业都会按照本单位的具体情况制定一系列相应的内部控制制度，甚至是严格逐级逐层的制定控制环节和控制点。但对内部控制是否有效的执行却存在明显的漏洞，如无人监督和难以落到实处，造成有章不循，有制度不依，处罚不严，使单位内控制度被明显弱化，内部控制形同虚设。这势必造成整个公司管理的无序性和随意性，严重扭曲了内部控制既定目标和应发挥作用的初衷，丧失了它的权威性，更谈不上在有效的执行好内部控制制度的基础上，确保内部控制质量。

3 完善企业内部控制的对策

3.1 完善内部控制环境

3.1.1 充分发挥董事会的作用 董事会要发挥其监督经营者的功能，发挥其在内部控制中的核心作用，关键问题是要保证董事会的独立性。构建我国的独立董事制度，关键是要设计一整套用以解决独立董事的功能定位、任免、资格、职权等问题的具体制度和一些必要的用以协调冲突的规范，使之确实能够在我国特殊的现实环境下行之有效。这些制度主要包括如下各项：确保独立董事应有的权力。独立董事有必要通过董事会下设的审计委员会、薪酬委员会、提名委员会来行使权力；独立董事提议聘用和解聘会计师事务所，独立聘请外部审计机构和咨询机构；完善独立董事的激励和约束机制。报酬机制不仅有激励的作用，也是对独立董事的约束。

3.1.2 注重管理者素质与品行塑造 管理者素质的高低直接影响到企业内部控制的效率和效果。管理者往往是内部控制设计和执行的关系人，其素质的高低，品行的优劣对于整个企业都有重大影响。董事及公司的管理层应建立并传达正直品行及正确的价值观，优化企业文化，使公司员工理解公司的相关政策，树立全体员工的是非判断标准，并以自己的实际行动影响下属人员。

3.2 健全内部审计的制度 内部审计在内部控制和管理中的作用勿庸置疑，而其在公司治理中也充当着重要的角色。为使内部审计在内部控制与公司治理中更好的发挥其作用，最基本的就是要健全机构的设置，为内部审计作一个有利的制度安排。对于上市公司，由于其规模一般较大，业务也较复杂，所以应同时设置审计委员会和审计部。从机构隶属上来看，监事会、审计委员会、审计部分别对股东大会、董事会和总经理负责，同时三者存在着业务指导关系。同时，内部审计又要满足经理层的各种需要，若内部审计的一切活动都需直接由审计委员会决定，既无必要也影响效率，这就需要在董事会和经理层间就内部审计范围进行权限的划分。其中，以经理层为监督对象的内部审计活动，如对经理层执行董事会决议的监督、对经营业绩的鉴证和评价、经理离任审计等，均应由审计专门委员会组织开展；而以分权单位为监督对象的内部审计活动，如对公司其他职能部门、下属分支机构的监督、考评，以管理咨询为目的的专题审计活动，都可由经理层组织实施，但审计结果应报审计委员会备案，且审计委员会有权对审计情况进行检查。另外，对于监事会而言，它代表的是全体股东，其机构隶属自然是股东大会，因而其定位应是内部监督评价体系的最高领导者，在必要时可检查审计专门委员会组织的内部审计事宜，并对内部监督评价中发生的争议作最终裁决。

3.3 建立有效的激励约束机制

3.3.1 约束方面 一是合理的授权控制，内部控制实质上是对企业经营过程中员工行为的控制，要把岗位的责权利严格确定下来，使员工的工作在制度的约束中进行。二是要建立适时的监控系统，让不称职的员工离开其岗位。三是严格的责任追究和惩罚制度，这是企业内控制度贯彻执行的根本保证。

3.3.2 激励方面 应借鉴公司治理中的激励机制，引入相应的激励措施进入业务执行层，提高基层人员参与内部控制的主动性和积极性。具体来说：一是科学的目标管理。要组织员工参加有关工作目标的制定，并将企业目标层层分解，落实到每个员工，这样有利于激发员工的积极性，并使其主动维护企业的各项制度。二是制定科学的业绩评价体系。业绩考评机制由董事会或薪酬委员会对公司高级管理人员，以及人力资源部门对普通员工的业绩和履职情况进行考评，并据考评结果决定下一年度的薪酬、岗位安排等事宜。

3.4 加强对内部控制的信息披露 鉴于我国上市公司及许多国有企业存在的诸多问题，我国政府应该加强对上市公司内部控制信息披露的要求，制订有关规章制度，通过法律法规的形式对财务报告内部控制有效性评价进行强制性规定。具体措施如下：

3.4.1 确定信息披露的内容 因为内部控制设计范围非常广泛，如果要求上市公司对所有内容进行披露，管理当局及公司等会大大地增加成本，而且目前许多制度尚不完备，即使全部披露不一定会收到很好成效，处于内部控制效益成本原则考虑，可以参考美国的做法只实行财务报告内部控制，即管理当局只要求公司就财务报告可靠性的内部控制出具评价报告。

3.4.2 确定信息披露的责任主体 要保证内部控制信息披露的准确性，保证内部控制责任落到实处，必须确定信息披露的责任主体，即内部控制由谁负责。我国法律法规没有明确规定内部控制的责任主体，所有相关文件都仅仅强调监事会、审计委员会对公司内部控制的监督、审查责任，没有直接明确内部控制的制定和执行由谁负责的问题。针对我国公司内部控制环境的特点，应该把内部控制的责任主体确定为掌有实权的关键人物和实际负责公司资产安全和财务可靠性的高级管理人员。

3.4.3 统一财务报告内部控制评价和审核的标准 为提高财务报告内部控制报告的可操作性和可比性，对财务报告内部控制的评价应当遵循比较统一的标准。建议审计准则委员会研究发布有关指导意见，在我国公司治理环境下，对管理当局内部控制报告的验证提供指导。

综上所述，良好的内部控制是完善公司治理的重要保证，健全的公司治理又是内部控制有效运行的基础。有效的内部控制可以规范会计行为，以保证提供高质量的会计信息，而高质量的会计信息又能促进治理结构的优化。一方面，有效的内部控制，能够降低契约的不完整程度，从而简化治理结构所引发的问题：有利于对董事会、经理人员和职工的行为进行监督、评价；有利于设计和实施激励机制。另一方面，内部控制处于公司治理设定的大环境之下，公司治理是内部控制的制度环境。只有在良好的公司治理环境中，内部控制系统才能真正发挥它的作用，提高企业的经营效率与效果，并加强信息披露的真实性。

参考文献：

[1]裘宗舜.完善企业内部控制——提高会计信息质量的关键所在[J].会计之友,2005(7).

[2]陈萍.自愿性会计信息披露存在的主要问题研究[J].吉林大学学报(自科版).2006(2).

[3]程新生.公司治理、内部控制、组织结构互动关系研究[J].会计研究.

[4]王晓清.内部控制与信息披露的制度性分析[J].集团经济研究,2006(17)37.

[5]朱荣恩.内部控制评价[M].中国时代出版社.2002.9.

[6]汪晓红.中航油(新加坡)事件体现出的企业控制系统问题探析[J].经济师.2006(6).

企业内部网络安全研究 篇7

目前, 在我国的各个行业系统中, 无论是涉及科学研究的大型研究所, 还是拥有自主知识产权的发展中企业, 都有大量的技术和业务机密存储在计算机和网络中, 如何有效地保护这些机密数据信息, 已引起各单位的巨大关注。

防病毒、防黑客、数据备份是目前常用的数据保护手段, 我们通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭, 因此采取了一系列的防范措施, 如建立两套网络, 一套仅用于内部员工办公和资源共享, 称之为内部网络;另一套用于连接互联网检索资料, 称之为外部网络, 同时使内外网物理断开;另外采用防火墙、入侵检测设备等。但是, 各种计算机网络、存储数据遭受的攻击和破坏, 80%是内部人员所为。来自内部的数据失窃和破坏, 远远高于外部黑客的攻击!事实上, 来自内部的攻击更易奏效。

1 内部网络更易受到攻击

为什么内部网络更容易受到攻击呢?主要原因如下:

(1) 信息网络技术的应用正日益普及, 应用层次正在深入, 应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。网络已经是许多企业不可缺少的重要的组成部分, 基于Web的应用在内部网正日益普及, 典型的应用如财务系统、PDM系统、ERP系统、SCM系统等, 这些大规模系统应用密切依赖于内部网络的畅通。

(2) 在对Internet严防死守和物理隔离的措施下, 对网络的破坏, 大多数来自网络内部的安全空隙。另外也因为目前针对内部网络安全的重视程度不够, 系统的安装有大量的漏洞没有去打上补丁。也由于内部拥有更多的应用和不同的系统平台, 自然有更多的系统漏洞。

(3) 一些傻瓜式的黑客工具在网络上很容易获得, 这些工具能对互联网及内部网络往往具有很大的危害性。这是内部人员 (包括对计算机技术不熟悉的人) 能够对内部网络造成巨大损害的原因之一。

(4) 内部网络更脆弱。由于网络速度快, 百兆甚至千兆的带宽, 能让黑客工具大显身手。

(5) 为了简单和易用, 在内网传输的数据往往是不加密的, 这为别有用心者提供了窃取机密数据的可能性。

(6) 内部网络的用户往往直接面对数据库、直接对服务器进行操作, 利用内网速度快的特性, 对关键数据进行窃取或者破坏。

(7) 众多的使用者所有不同的权限, 管理更困难, 系统更容易遭到口令和越权操作的攻击。服务器对使用者的管理也不是很严格, 对于那些如记录键盘敲击等黑客工具比较容易得逞。

(8) 涉密信息不仅仅限于服务器, 同时也分布于各个工作计算机中, 目前对个人硬盘上的涉密信息缺乏有效的控制和监督管理办法。

(9) 由于人们对口令的不重视, 弱口令很容易产生, 很多人用诸如生日、姓名等作为口令, 在内网中, 黑客的口令破解程序更易奏效。

2 内部网络的安全现状

目前很多企事业单位都加快了企业信息化的进程, 在网络平台上建立了内部网络和外部网络, 并按照国家有关规定实行内部网络和外部网络的物理隔离;在应用上从传统的、小型业务系统逐渐向大型、关键业务系统扩展, 典型的应用如财务系统、PDM系统甚至到计算机集成制造 (CIMS) 或企业资源计划 (ERP) , 逐步实现企业信息的高度集成, 构成完善的企事业问题解决链。

在网络安全方面系统内大多企业或是根据自己对安全的认识, 或是根据国家和系统内部的相关规定, 购置部分网络安全产品, 如防火墙、防病毒、入侵检测等产品来配置在网络上, 然而这些产品主要是针对外部网络可能遭受到安全威胁而采取的措施, 在内部网络上的使用虽然针对性强, 但往往有很大的局限性。由于内部网络的高性能、多应用、涉密信息分散的特点, 各种分立的安全产品通常只能解决安全威胁的部分问题, 而没有形成多层次的、严密的、相互协同工作的安全体系。同时在安全性和费用问题上形成一个相互对立的局面, 如何在其中寻找到一个平衡点, 也是众多企业中普遍存在的焦点问题。

3 保护内部网络的安全

内部网络的安全威胁所造成的损失是显而易见的。如何保护内部网络, 使遭受的损失减少到最低限度是目前网络安全研究人员不断探索的目标。本人根据自己在工作中的经验, 形成自己对网络安全的理解, 阐述如下:

3.1 内部网络的安全体系

本人认为比较完整的内部网络的安全体系包括安全产品、安全技术和策略、安全管理以及安全制度等多个方面, 整个体系为分层结构, 分为水平层面上的安全产品、安全技术和策略、安全管理, 其在使用模式上是支配与被支配的关系。在垂直层面上为安全制度, 从上至下地规定各个水平层面上的安全行为。

3.2 安全产品的选择

安全产品是各种安全策略和安全制度的执行载体。虽然有了安全制度, 但在心理上既不能把制度理想化, 也不能把人理想化, 因此还必须有好的安全工具把安全管理的措施具体化。目前市场上的网络安全产品林林总总, 功能也千差万别, 通常一个厂家的产品只在某个方面占据领先的地位, 各个厂家的安全产品在遵守安全标准的同时, 会利用厂家联盟内部的协议提供附加的功能。这些附加功能的实现是建立在全面使用同一厂家联盟的产品基础之上的。那么在选择产品的时候会面临这样一个问题, 即是选择所需要的每个方面的顶尖产品呢, 还是同一厂家联盟的产品?本人认为选择每个方面的顶尖产品在价格上会居高不下, 而且在性能上并不能达到l+1等于2甚至大于2的效果。这是因为这些产品不存在内部之间的协同工作, 不能形成联动的、动态的安全保护层, 一方面使得这些网络安全产品本身所具有的强大功效远没有得到充分的发挥, 另一方面, 这些安全产品在技术实现上, 有许多重复工作, 这也影响了应用的效率。因此网络安全产品的选择应该是建立在相关安全产品能够相互通信并协同工作的基础上, 即实现防火墙、IDS、病毒防护系统、信息审计系统等的互通与联动, 以实现最大程度和最快效果的安全保证。目前在国内外都存在这样的网络安全联盟实现产品之间的互联互动, 达到动态反应的安全效果。

3.3 网络安全技术和策略

内部网络的安全具体来说包括攻击检测、攻击防范、攻击后的恢复这三个大方向, 那么安全技术和策略的实现也应从这三个方面来考虑。

积极主动的安全策略把入侵检测概念提升到了更有效、更合理的入侵者检测 (甚至是内部入侵者) 层面。内部安全漏洞在于人, 而不是技术。因此, 应重点由发现问题并填补漏洞迅速转向查出谁是破坏者、采取弥补措施并消除事件再发的可能性。如果不知道破坏者是谁, 就无法解决问题。真正的安全策略的最佳工具应包括实时审查目录和服务器的功能, 具体包括:不断地自动监视目录, 检查用户权限和用户组账户有无变更;警惕地监视服务器, 检查有无可疑的文件活动。无论未授权用户企图访问敏感信息还是员工使用下载的工具蓄意破坏, 真正的安全管理工具会通知相应管理员, 并自动采取预定行动。

在积极查询的同时, 也应该采用必要的攻击防范手段。网络中使用的一些应用层协议, 如HTTP、Telnet, 其中的用户名和密码的传递采用的是明文传递的方式, 极易被窃听和获取。因此对于数据的安全保护, 理想的办法是在内部网络中采用基于密码技术的数字身份认证和高强度的加密数据传输技术, 同时采用安全的密钥分发技术, 这样既防止用户对业务的否认和抵赖, 同时又防止数据遭到窃听后被破解, 保证了数据在网上传输的可靠性。攻击后恢复首先是数据的安全存储和备份, 在发现遭受攻击后可以利用备份的数据快速的恢复;针对WWW服务器网页安全问题, 实施对Web文件内容的实时监控, 一旦发现被非法篡改, 可及时报警并自动恢复, 同时形成监控和恢复日志, 并提供友好的用户界面以便用户查看、使用, 有效地保证了Web文件的完整性和真实性。

3.4 安全管理

安全管理主要是指安全管理人员。有了好的安全工具和策略, 还必须有好的安全管理人员来有效的使用工具和实现策略。经过培训的安全管理员能够随时掌握网络安全的最新动态, 实时监控网络上的用户行为, 保障网络设备自身和网上信息的安全, 并对可能存在的网络威胁有一定的预见能力和采取相应的应对措施, 同时对已经发生的网络破坏行为在最短的时间内做出响应, 使企业的损失减少到最低限度。

企业领导在认识到网络安全的重要性的同时, 应当投入相当的经费用于网络安全管理人员的培训, 或者聘请安全服务提供商来维护内部网络的安全。

3.5 网络安全制度

网络安全的威胁来自人对网络的使用, 因此好的网络安全管理首先是对人的约束, 企业并不缺乏对人的管理办法, 但在网络安全方面常常忽视对网络使用者的控制。要从网络安全的角度来实施对人的管理, 企业的领导必须首先认识到网络安全的重要性, 惟有领导重视了, 员工才会普遍重视, 在此基础上制定相应的政策法规, 使网络安全的相关问题做到有法可依、有据可查、有功必奖、有过必惩, 最大限度地提高员工的安全意识和安全技能, 并在一定程度上造成对蓄意破坏分子的心理震慑。

目前许多企业已认识到网络安全的重要性, 已采取了一些措施并购买了相应的设备, 但在网络安全法规上还没有清醒的认识, 或者是没有较为系统和完善的制度, 这样在企业上下往往会造成对网络安全的忽视, 给不法分子以可乘之机。国际上, 以ISO17799/BSI7799为基础的信息安全管理体系已经确立, 并已被广泛采用, 企业可以此为标准开展安全制度的建立工作。具体应当明确企业领导、安全管理员、财物人员、采购人员、销售人员和其他办公人员等各自的安全职责。安全组织应当有企业高层挂帅, 由专职的安全管理员负责安全设备的管理与维护, 监督其他人员设备安全配置的执行情况。单位还应形成定期的安全评审机制。只有通过以上手段加强安全管理, 才能保证由安全产品和安全技术组成的安全防护体系能够被有效地使用。

4 结论

要想保证内部网络的安全, 在做好边界防护的同时, 更要做好内部网络的管理。所以, 目前在安全业界, 安全重在管理的观念已被广泛接受。没有好的管理思想, 严格的管理制度, 负责的管理人员和实施到位的管理程序, 就没有真正的安全。在有了“法治”的同时, 还要有“人治”, 即经验丰富的安全管理人员和先进的网络安全工具, 有了这两方面的治理, 才能得到一个真正安全的网络。

参考文献

[1]郭鑫, 崔红霞, 姜彬.企业网络安全致胜宝典.电子工业出版社.2007.

[2]曹鹏.企业网络安全维护案例精粹.电子工业出版社.2008.7.

[3]王达.网管员必读--网络安全 (第2版) .电子工业出版社.2007.

内部网络安全问题与防范 篇8

随着计算机网络技术的快速发展和全球信息化步伐的日益加快, 现代计算机网 (Internet、Intranet) 作为信息社会的基础设施已经渗透到社会的各个层面。伴随着信息化的日益发展, 黑客、计算机病毒等因素严重威胁着计算机网络的安全, 尤其是内部网络安全问题已越来越突出地显现出来;其维护和管理也日益成为倍受关注的问题。

2 内网面临的安全问题

根据公安部以及美国FBI/CSI等权威机构的调查:超过85%的安全威胁来自组织内部, 有15%来自内部未授权的存取。据中国国家信息安全测评认证中心调查, 信息安全的现实威胁主要是来自内部信息泄露和内部人员犯罪, 而非病毒和外来黑客所引起。内网所面临的安全威胁主要表现在如下几个方面:

2.1 难以监控外来计算机接入内网

办公楼层规模化的网络接口方便了员工接入网络, 同时也方便了外来计算机接入网络, 但是管理人员对此类情况却难以判定并加以监视和控制, 仅仅依靠交换机上的绑定功能难以实现集中化地有效管理, 一旦发生问题, 网管可能采取的措施非常有限。员工或临时的外

[摘[关

来人员随意接入内网环境, 给内网安全所带来的威胁主要表现在:

(1) 如果外来设备携带有病毒或木马, 一旦未经审查接入内网, 可能对内网安全构成巨大的威胁。

(2) 如果外来设备占用了内网重要服务器或者主机的IP地址, 会造成严重影响。

(3) 如果外来设备是恶意接入, 想盗窃内网中的各类数据, 则会带来更大损失。

(4) 如果没有严格的管理策略, 员工随意设置IP地址, 可能造成IP地址冲突、关键网络设备的工作异常。如果为谋求非法利益而恶意盗用、冒用IP地址的, 其后果将非常严重。

2.2 漏洞转变成病毒或攻击的风险日益增高

微软定期发布修复系统漏洞的更新, 但使用windows操作系统或者应用程序的内网用户往往不能及时应用这些更新, 此时若未及时更新杀毒软件的病毒特征库, 就会给恶意的入侵者提供可乘之机, 使病毒和蠕虫的泛滥成为可能。大规模的蠕虫爆发可能导致内网全部陷于瘫痪, 使业务无法正常进行, 造成重大损失。

2.3 非法外联和外围设备的使用难

以控制

员工通过电话线拨号等方式, 绕过防火墙的监控直接连接外网, 一方面会使内网的IT资源暴露在外部攻击者面前, 攻击者或病毒可通过拨号线路进入内网;另一方面, 内部员工可能通过这种不受监控的网络通道将内部机密泄漏出去, 给本单位带来经济损失。为了保证内部安全, 杜绝信息输出的途径, 要求对网内各计算机设备的外围设备使用情况进行监控, 禁止或限制使用软驱、光驱、USB盘、并行、串行口、红外口、1394口、Modem等外围设备。有些单位的做法是对接口进行硬件上的封杀, 拿掉光驱、软驱, 或用胶条将USB口封住, 这样浪费了硬件资源, 同时管理效果也不理想。USB接口作为计算机常用接口, 应用日益广泛, 而对于一些涉密机构来说, USB设备又是信息输出和交流的主要途径, 因此加强监管十分重要, 需要控制USB存储设备的使用, 甚至要对存储到USB设备中的文件进行加密。

2.4 软件应用缺乏监控

上网聊天、网络游戏等行为严重影响计算机的工作效率, 通过QQ、MSN、ICQ等即时通讯工具来传播病毒, 已经成为新病毒的流行趋势;使用Bit Torrent、电驴等工具疯狂下载电影、游戏、软件等大型文件, 使得关键业务应用系统的带宽无法得到保证。为了提升工作效率, 防止因运行不当软件带来的经济损失, 需要了解并监控各计算机的软件运行情况, 禁止非法软件的运行。

2.5 软硬件设备滥用安全无法保障

内网硬件 (CPU、内存、硬盘等) 被随意更换, 移动存储等外接设备管理难以控制, 缺乏有效的技术跟踪手段;桌面软件丰富, 鱼龙混杂, 容易引起意外冲突和不可预测的灾难;员工可以更改机器IP地址或主机名等配置, 一旦出现攻击行为或者安全事故, 责任认定非常困难。

3 网络安全防范手段

3.1 常规安全防护手段

(1) 完善管理:完善的内网管理制度是保障网络安全的基础。所谓“三分技术, 七分管理”正是对网络安全最好的诠释。安全管理包括安全技术和设备管理两个方面, 制定严格的安全管理制度以及部门与人员的组织规则是网络安全防范的有力措施。管理的制度化极大地影响着整个网络的安全, 严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。针对自身的安全风险, 各单位需制定一系列的安全策略和安全制度来保障自己的网络安全。同时, 随着内网的规模和复杂度的不断上升, 这些安全策略保证被有效执行。

(2) VLAN (虚拟局域网) 技术:选择VLAN技术可较好地从链路层实施网络安全的保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立的一个逻辑网络, 它依靠用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网, 划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴, 还可利用MAC层的数据包过滤技术, 对安全性要求高的VLAN端口实施MAC帧过滤。这样, 即使黑客攻破某一虚拟子网, 也无法得到整个网络的信息。

(3) 网络分段:内部局域网大多采用以广播为基础的以太网, 任何两个节点之间的通信数据包, 可以被处在同一以太网上的任何一个节点的网卡所截取。因此, 黑客只要接入以太网上的任一节点进行侦听, 就可以捕获发生在这个以太网上的所有数据包, 对其进行解包分析, 从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离, 从而达到限制用户非法访问的目的。

(4) 防病毒软件与个人防火墙:所谓病毒就是计算机的一段可执行代码, 这些病毒感染到计算机上的过程完全是被动的。计算机病毒的传统感染过程并不是利用系统上的缺陷, 而是当用户直接跟这些病毒接触, 例如:拷贝文件、访问网站、接收Email等。一旦计算机被感染上病毒, 这些“可执行代码”可以自动被执行, 进而破坏计算机系统。安装并经常更新防病毒软件会对系统安全起到防护作用。防病毒软件可根据病毒的特征, 检查用户系统上是否有病毒, 这个检查过程可以是定期检查, 也可以是实时检查。

(5) 内外网使用物理隔离:客户机使用双硬盘物理隔离设备, 即客户端增加一块PCI卡, 客户端的硬盘或其它的存储设备首先连接到该卡, 然后再转接到主板上。这样通过该卡可控制客户端的硬盘或对其它的存储设备进行选择。而在选择不同的硬盘时, 同时也选择了该卡不同的网络接口, 从而连接到不同的网络上。该产品对用户的使用来说不是很方便, 用户往往需要通过反复的切换才能在双网内工作, 而且还无法在两个工作区内拷贝文件。安全级别低的产品可以对内网和外网进行物理隔离, 此时对用户的各种操作没有其它限制, 但是如果用户将内外网线接口互换, 将会出现信息泄漏的情况。

3.2 主动防御型安全产品

(1) 硬件防火墙:硬件防火墙是指把防火墙程序做到芯片里面, 由硬件执行这些功能, 能减少CPU的负担, 使路由更稳定。防火墙是介于两个网络之间的设备, 用来控制两个网络之间的通信。通过防火墙策略, 可以有效地阻挡外来的网络攻击和一些病毒的入侵, 这是主动防御技术的最初应用。

(2) IDS入侵检测系统:IDS是为监测内网的非法访问而开发的设备, 根据入侵检测识别库的规则, 判断网络中是否存在非法的访问。管理员通过分析这些事件, 来对网络的安全状况进行评估, 再采取相应的防护策略。相对硬件防火墙而言, IDS是基于主动防御技术的更高一级应用。

(3) IPS入侵防护系统:一般来说, IPS系统主要是对数据包进行检测。IPS检查入网的数据包, 确定这种数据包的真正用途, 然后决定是否允许这种数据包进入网络。与IDS和硬件防火墙相比, IPS更智能, 可以通过分析来决定是否允许数据包通行, 这是主动防御技术的最典型应用。

(4) 杀毒软件:在病毒越来越猖狂, 破坏力越来越强大的不利形势下, 过于陈旧的模式让传统的杀毒软件已经无法承担保护计算机安全的重任。为此, 杀毒软件厂商推出了集成了主动防御技术的杀毒软件, 不过该主动防御技术仅仅是对网页、注册表、恶意脚本增加了监测功能, 只能说是最初级的主动防御技术的应用, 距离真正的主动防御还有一定的距离。

4 小结

有了硬件防火墙、入侵检测、入侵防护、防病毒软件, 安全问题却得不到彻底解决。从内因分析, 主要直接原因是安全策略没有得到彻底落实和执行, 虽然单位已经购买了防病毒软件, 但部分用户没有按照要求安装防病毒软件;或者虽然安装了防病毒软件, 但是没有正确启用实时病毒检测功能;或者虽然正确的安装和启用了防病毒软件, 但是没有及时更新病毒库;更本质的原因是内网的脆弱性没有得到及时有效的管理, 即操作系统和应用程序的安全补丁没能及时修补、各种系统的脆弱性配置没能得到有效管理。

一个可以在信息安全实践活动中真正依据的方法, 就是为每个网络建立一套完善的网络安全体系。网络安全体系应该是融合了技术和管理在内的一个可以全面解决安全问题的体系结构, 它应该包括完善的网络信息访问控制策略、机密数据通信安全与保护策略、灾难恢复规划、对犯罪攻击的预防检测等等, 只有这样才能较为完善的保障内部网络的安全性。

1前言

GME1134型UHF液冷模拟电视发射机是我国自主研制开发的国内新一代大功率液冷全固态电视发射设备, 该设备额定输出功率为30k W, 采用LDMOS全固态技术, 在外形及结构上既考虑了标准化、系列化, 又考虑了美观效果和实用性而开发的一款新产品, 图1为液冷模拟电视发射机外形图。该发射机性能稳定可靠、技术先进、操作简单、维护方便。

2整机设计特点

2.1设备特点

2.1.1整机高可靠性、高稳定性、备份冗余设计, 消除单致命故障点

(1) 功放模块功率余量较大。单个功放单元输出功率为2.6k W, 可任意替换, 热插拔设计, 当其中任一个模块出现问题时不影响发射机整机工作;

(2) 主、备激励器互为备份且自动切换。由于具有自诊断功能, 当主激励器出现故障时, 无间断地自动切换到备用激励器;

(3) 冷却系统主要部件采用主备冗余设计。发生故障时主备水泵可实现自动切换, 保证整机液冷系统的正常工作。

2.1.2整机为合放式、功放为全固态, 模块化设计, 采用简洁的积木式组合结构, 整体结构紧凑, 各个功能单元界限分明, 便于维护

(1) 带有PC接口, 实现计算机管理、监控和调试;

(2) 配备有完整的技术数据检测、监控系统和功能完善的计算机控制软件;

(3) 可以实现对发射机远距离遥控、遥测、遥调;

(4) 通过计算机可完成整机指标预校正。

国内新一代30k W液冷全固态电视发射机

文/北京同方吉兆科技有限公司产品部陈敬东//

我国企业内部控制问题 篇9

关键词：内部控制,制度,问题,对策

内部控制是现代企业管理的一个重要组成部分, 其目的是帮助企业经营活动更合理、合法化, 以提高企业的经济效益。目前, 我国企业经济效益普遍较差, 企业经营、会计信息严重失真, 违法违规现象层出不穷, 要解决企业存在的问题需要深入分析企业的内部控制制度。本文根据目前我国企业的现状, 对企业内部控制存在的问题进行分析, 并提出建立良好内部控制制度的对策。

一、我国企业内部控制制度存在的问题

(一) 内部环境方面

1、没有真正建立有效的法人治理结

构和治理机制, 国有企业的法人治理结构, 尤其体现在董事会这一重要机构没有发挥应有的职能。不少企业董事会成员和经理成员高度重叠。同时, 我国国企存在严重的“所有者缺位”, 具体表现为政府作为所有者却把企业的重大经营决策权交给企业管理人员, 授权经营把原应属于股东的权力一并交给了国企经理人员。

2、风险意识淡薄。

在市场经济条件下, 风险是客观存在的, 不可能绝对消除, 风险和收益并存, 没有风险, 就不可能有收益。企业作为市场的主体, 要参与市场竞争, 必然要面对风险。近年来, 随着社会经济的发展, 特别是经济全球化及国际化程度的加深, 使企业经营环境变得日趋复杂, 企业面临的风险也大大增加。但是由于受计划经济体制的长期影响, 国企经营管理的理念并不成熟。

3、管理人员素质不高。

管理者作为企业建立健全内部控制的主要责任人, 管理者的素质自然成为决定内部控制质量的重要因素。但我国国企管理人员的素质远未达到内部控制的要求。

(二) 会计信息质量方面。

从近年来国家审计机关和社会审计机构对国有企业的资产负债损益情况进行审计所公布的情况来看, 发现会计报表严重不真实的企业占半数以上, 有的虚盈实亏, 有的虚亏实盈。

(三) 维护企业资产安全方面。

安全是企业资本运作的前提和基础, 目前国有企业的资产安全状况令人担忧。一方面国有企业通过一段时间的发展, 随着市场体制的变迁, 积压了大量的不良资产;另一方面国有资产流失现象非常严重。

(四) 组织机构方面。

组织保证是做好内控工作的一个前提, 但从目前情况看, 一般企业都是在财务部门设立内控工作办公室, 实际上并没有真正的工作人员, 没有建立起至上而下的组织体系。由于将一个形式上的机构设在了财务部门, 其他部门有意无意地将责任推给了财务部门, 但在内控建设过程中财务部门不可能对公司各个风险点都很熟悉, 要与实际工作的承担者共同完成。另外, 对流程的建立和执行缺少监督, 部分单位没有认真研究确定单位运行的风险点在哪里, 也就谈不上落实到具体岗位, 内控工作没有形成一个完整的闭环。

二、建立良好的内部控制制度

(一) 环境控制。

控制环境指对建立或实施某项政策发生影响的各种因素, 主要反映单位管理者和其他人员对控制的态度、认识和行动。任何一种制度都要与具体的环境相适应, 要建立起一套行之有效的内控制度必须培养适合制度生存的沃土, 培养一种适用于本企业实际情况、健康向上尤其是重视内部控制的企业文化。

(二) 组织规划控制。

根据内部控制的要求, 单位在确定和完善组织结构的过程中, 应当遵循不相容职务相分离的原则。单位的经济活动通常可以划分为:授权、签发、核准、执行和记录。一般情况下, 如果上述每一步骤由相对独立的人员 (或部门) 实施, 就能够保证不相容职务的分离, 便于内部控制作用的发挥。而组织规划控制主要包括:

1、不相容职务的分离。

应当加以分离的职务有:授权进行某项经济业务的职务要分离;执行某项经济业务的职务与审核该项业务的职务要分离;执行某项经济业务的职务与记录该项业务的职务要分离;保管某项财产的职务与记录该项财产的职务要分离, 等等。

2、建立有效的会计系统和管理体系。

建立一个有效的会计系统, 实施会计控制是内控制度的关键。要建立起有效的会计系统必须遵循以下原则: (1) 合法性原则。依法办事是会计工作的首要准则, 也是制定单位内部控制制度的首要原则; (2) 适应性原则。适应性是制度的生命。制度必须充分体现单位实际, 不能生搬硬套书本上或其他单位的管理方法和管理模式, 要与单位其他管理制度相衔接。

(三) 授权批准控制。

授权批准控制指对单位内部部门或职员处理经济业务的权限控制。单位内部某个部门或某个职员在处理经济业务时, 必须经过授权批准才能进行, 否则就无权审批。授权批准控制可以保证单位既定方针的执行和限制滥用职权。授权批准有一般授权和特定授权两种形式。授权批准控制的基本要求是:首先, 要明确一般授权与特定授权的界限和责任;其次, 要明确每类经济业务的授权批准程序;再次, 要建立必要的检查制度, 以保证经授权后所处理的经济业务的工作质量。

(四) 预算控制。

预算控制是内部控制的一个重要方面, 包括筹资、融资、采购、生产、销售、投资、管理等经营活动的全过程。对单位各项经济业务编制详细的预算和计划, 并通过授权, 由有关部门对预算或计划的执行情况进行控制, 其基本要求是:第一, 所编制预算必须体现单位的经营管理目标, 并明确责任。第二, 预算在执行中, 应当允许经过授权批准对预算进行调整, 以便预算更加切合实际。第三, 应当及时或定期反馈预算的执行情况。

(五) 成本与实物资产控制。

现代成本控制可分为“粗放型”和“集约型”两种。粗放型成本控制主要包括:原材料采购的成本控制、材料使用的成本控制、产品销售的成本控制。集约型成本控制又可分为两类:一是通过改善生产技术来降低成本控制。二是通过产品工艺的改善来降低成本的成本控制。实物资产控制主要包括限制接近控制和定期清查控制两种, 这是对单位实物资产安全采取的控制措施。主要包括:第一, 限制接近, 以严格控制对实物资产及与实物资产有关的文件的接触, 如现金、银行存款、有价证券和存货等, 除出纳人员和仓库保管人员外, 其他人员则限制接触, 以保证资产的安全;第二, 定期进行实物资产清查, 保证实物资产实有数量与账面记载相符, 如账实不符, 应查明原因, 及时处理。

(六) 风险控制。

风险按其形成的原因一般可分为经营风险和财务风险两类:

1、经营风险。

经营风险是指因生产经营方面的原因给企业盈利带来的不确定性。由于企业生产经营的许多方面都会受到来源于企业外部和内部诸多因素的影响, 因此具有很大的不确定性, 而这些不确定性, 会引起企业的利润或利润率的高低变化, 从而给企业带来风险。

2、财务风险。

财务风险又称筹资风险, 是指由于举债而给企业财务成果带来的不确定性。企业举债经营, 全部资金中除自有资金外还有一部分借入资金, 这会对企业自有资金的盈利能力造成影响。同时, 借入资金需还本付息, 一旦无力偿还到期债务, 企业便会陷入财务困境甚至破产。对财务风险的控制, 关键是要保证有一个合理的资金结构, 维持适当的负债水平, 既要充分利用举债经营获取财务杠杆收益, 提高自有资金盈利能力, 同时要注意防止过度举债而引起财务风险的增大, 这是企业内部控制的重要环节, 必须采取必要的措施来防范筹资风险。

(七) 监督与评审控制。

监督与评审是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。要确保内部控制制度被切实地执行且执行的效果良好, 对内部控制过程就必须施以恰当的监督。监督评审可以是持续性的或分别单独的, 也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整, 等等。

除上述几项内部控制外, 还有文件记录控制、业绩控制和职工素质控制等方式。我国目前不少企业内部控制不甚理想, 除知识水平方面的原因外, 主要是管理当局建立、实施有效内部控制的动力、压力、强制力不够。这一状况的改变有赖于新《会计法》的贯彻和科学的现代企业制度及法人治理结构的建立。为帮助企业建立内部控制, 可参照其他国家和地区的做法, 由我国有关部门制定一些重要行业的内部控制要点和参考蓝本, 供各单位学习使用, 并逐步健全完善, 以推动内部控制制度在我国企业中全面扎实地开展, 并取得实质上的效益。

参考文献

[1]张俊民.企业内部会计控制目标构造及其分层设计[J].会计研究, 2007.5.

[2]孙永军.关于内部控制鉴证的思考—浅议《企业内部控制鉴证指引》[J].北方经贸, 2009.9.

[3]付林.企业内部控制制度建设的思考[J].哈尔滨商业大学学报, 2004.5.

[4]刘军.控制环境与内部控制制度的发展[J].机械管理开发, 2003.12.

[5]张晓彬.浅议现代企业制度下的内部控制制度[J].哈尔滨市经济管理干部学院学报, 2003.6.

企业内部网络安全影响因素分析 篇10

一、自然环境的影响因素

企业内部网络是由计算机硬件、软件、网络信号传递收发装置以及其它设施组成的。这些设施的良好正常是网络信息安全和可靠正常运行的物质基础保证。但是, 自然环境中有许多不可预见的因素, 对企业内部网络安全造成了威胁。自然环境的影响因素主要包括两个方面:一是自然灾害, 如地震、雷电、火灾等, 自然中的各种极端恶劣气候和灾害会对系统设备带来物理损害;二是环境的干扰, 如突然停电、电源过载, 电压过高和其他因素。这些因素可能造成硬件的部分损害, 甚至导致系统崩溃, 从而使整个公司的网络服务中断, 也可能造成数据存储设备遭到破坏, 使数据损坏或丢失。

二、计算机病毒的影响因素

计算机病毒无孔不入, 防不胜防, 是企业内部网络的重要安全影响因素。计算机病毒以网络为载体进行繁殖和传播, 传播的主要途径是不明来历的电子邮件、文件和链接等。随着电子邮件成为人们信息沟通的重要工具, 有许多不法分子在电子邮件中嵌入计算机病毒, 人们在打开带病毒的电子邮件的同时就致使计算机中毒。访问带病毒的文件和链接也是计算机病毒传播的主要途径, 破坏了用户利益。网络信息系统的病毒已对企业内部构成了严重的威胁, 尤其是传输速度快、范围广、可跨平台、攻击力强、变形种类多等特点, 使得从用户在浏览电子邮件、下载文件和访问网站时, 必须严密防守计算机病毒的侵入。

三、人为操作的影响因素

企业内部网络用户的计算机水平参差不齐, 对网络安全也造成了重大威胁。例如, 用户误操作导致数据丢失或者应用程序的破坏, 系统登录口令泄露、设置过于简单或选择不当形成的安全隐患, 用户操作权限设置不当使得操作人员越权登录和操作程序等等。除此之外, 网络系统管理员或安全管理员因工作疏忽, 造成系统安全漏洞被他人利用。当然, 人为操作的安全影响不仅包括内部用户的误操作, 也包括了外部人员的蓄意破坏。

四、网络硬件设备管理的影响因素

企业网络是基于网络硬件设备上的网络系统。如果这些硬件设备存在安全问题, 那么必将直接影响到整个网络的安全运行。在企业内部网络, 其硬件设备可大致分为两类:一类是网络数据传输线路, 另一类是计算机和网络设备。无论是传输线路还是计算机和网络设备, 主要都存在着两个方面的安全因素:实体安全和电磁安全。影响网络硬件系统实体安全主要有三个方面的因素, 包括硬件系统, 由于质量问题引起的设备故障或运行的不稳定;硬件系统由于达到使用年限引起的自然损坏和由于人为损坏、破坏以及盗窃所引起的硬件设备的物理损坏或丢失。硬件系统除了实体安全之外, 另外一个重要的安全因素就是电磁安全, 包括对传输线路的搭线窃听以及传输线路、计算机和网络设备的电磁泄漏, 这些安全因素都会给网络设备信息数据的保密性造成威胁。

五、系统存在的安全问题

公司网络中应用以及服务全部均为使用软件系统完成, 软件系统一旦存有安全方面的漏洞直接造成公司的网络安全无法保证。通常而言, 公司网络的软件系统由两部分所构成, 一部分为操作系统, 另一部分则为应用系统软件。这两部分的软件所存有安全漏洞主要是来自于两个方面的原因:第一、软件系统自身的结构就存有问题, 结构不尽科学合理;第二、在编程的时候未能发现的漏洞以及因为别的原因导致安全漏洞。

六、网络服务存在的安全问题

网络服务作为公司网络系统的一项重要功能, 在这种的不少服务内容是为了网络用户能够较为便捷的对网络和主机的操作与管理, 而另外的一些服务内容却是公司网络当中必不可少的内容, 而且不少的网络服务其实也是公司网络的重要内容。现在我们经常使用的网络服务通常包含由三部分所组成。第一部分Web, 公司网络利用Web来进行信息的传递工作;第二部分Mail, Mail来收发电邮;第三部分FTP, 利用FTP来实现文件的发送与用户间的共同享有。而且主机系统和网络设备上对于互联网的开放使用也给用户提供了许多方便, 但是也会造成网络的安全遭受考验。

总之, 网络安全并非为一朝一夕所能实现, 是需要花费巨大的气力, 通过长久的探索才可能达到目标。现在网络应用已经有了一段时间的发展, 随之而来的是计算机病毒及其传播的方式也已经有了多样的变化, 安全的问题也变得日趋繁杂, 网络安全的建设也并非是以往单台计算机安全防护那样的轻松解决。现在的网络安全是需要通过打造多层、立体的保护体系, 利用健全管理系统来实现安全保护的目标。

参考文献

[1]殷伟:《计算机安全与病毒防治》, 安徽科学技术出版社, 2004年。

[2]李辉:《计算机网络安全与对策》, 《潍坊学院学报》, 2007, (2) 。

建筑企业内部控制问题研究 篇11

【关键词】建筑企业 内部控制 问题 解决措施

一、建筑企业内部控制概述及必要性

建筑企业内部控制的实质是对企业内部运营管理的自我检查与调整，是与外部控制相对的。目前国内建筑企业通过网络信息技术的应用，对整个施工过程中的人力、物力、财力进行科学合理的评估，发现问题并及时处理。在遵循建筑施工基本制度的前提下，企业内控人员对施工中的每一环节进行监督管理，进而确保施工项目的有序进行，对于施工中遇到的问题，内部控制人员也能够及时、有效进行协调解决，从而提高建筑企业整体运营效率及施工质量。建筑企业内部控制需要随着企业的经营和发展而不断完善，必要性体现如下：一是有效的内部控制可以提高建筑企业整体经济效益。做好内控工作可以优化企业内部管理体系，针对存在的问题寻找切实可行的解决方案，进而提高其经济效益。二是做好内部控制能否有效规避风险。完善的内部控制体系能够对每个运营环节进行风险评估，使企业规避风险大的施工项目，减少由此带来的损失。三是扎实的内控工作能够协助企业核查安全隐患，降低企业经营风险和财务风险。

二、建筑企业内部控制存在的问题

（一）建筑企业成本控制意识不强

我国建筑业已成为国民经济的支柱产业之一，但其发展过快也伴随着诸多的问题，而缺乏对成本的控制显得尤其突出。在建筑业市场日益激烈的环境下，企业盈利空间越来越狭窄，使得一些建筑企业为了生存而不得不降低投标价格，甚至给出了垫资施工的优厚条件，这种不顾成本的经营方式，在周期短的施工项目中或许可行，但遇到工程产值较大、周期较长时，则存在较大风险，不仅占用企业流动资金，增加企业财务费用，而且一旦招标方出现经营问题时，则很可能使建筑企业血本无归。

（二）建筑企业内控环境不健全

建筑企业权责不清，是导致其公司治理结构无法发挥应有效用的主要原因。不少企业存在所有权与经营权、监督权三者一体的问题，出现部分管理人员既是经营决策者，又是企业的监督者，严重影响内部控制作用的发挥。加上企业管理层对内部控制不够重视，使内控工作缺乏独立性和权威性，导致无法有效开展内控工作。此外，内控部门与其他业务部门沟通不畅，致使业务信息在部门间传递不及时、不准确，降低了内部控制效率。一些建筑企业的内控岗位往往是由财会相关人员担任，他们缺乏专业的内部控制知识，影响了内部控制质量。

（三）建筑企业内部控制制度不完善

制定完善的内部控制制度，是建筑企业实施有效内部控制的基础，然而不少建筑企业存在内控制度缺失的问题，这也是制约内控管理质量的主要原因。从实际情况看，内控制度控制力不足、控制效果不佳主要表现为：一是缺乏配套的日常管理制度，无法与内控制度形成互补，因而影响内部控制制度的执行力。二是施工项目责任机制不健全，缺乏相应制度的约束，以至于出现责任不清，出了问题而又无人问责的局面。三是对内部控制效果的监控力度不够，相关内部审计、监督机制有待完善。

（四）建筑企业内部控制信息化水平不高

建筑企业生产经营具有特殊性，如施工项目分散、流动性大等，这本身会影响业务信息、财务信息的反馈与传递，进而影响管理层的经营决策。加上建筑企业信息化水平不高，缺乏相应的网络软件系统，导致业务信息的收集、加工、处理过程较长，且存在信息失真的问题，势必会影响企业会计核算质量，使财务报表无法如实反映企业经营成果和现金流量等，进而影响企业内部控制方案的制定与实施。此外，多数建筑企业内控仍采用现场核查等方式进行，没有通过内控信息系统进行自查自纠，内部控制效率低下。

三、建筑企业内部控制问题的解决措施

（一）增强企业风险防控意识，做好预警工作

建筑企业相关人员应做好施工项目的风险防范工作，对项目中存在的主要风险及风险关键点进行分析，并提出解决方案，不断强化风险防控意识，做到对风险点的早发现早处理。通过建立、完善风险评估预警系统，实现信息的无阻传递，对施工过程中出现的问题及时分析、预警，增强企业对风险的反应能力。对于投资规模较大的项目，企业在承揽业务前要严格审核建设单位的资信情况，做好充分的调研和分析，并充分考虑企业的施工技术。对于分包管理的工程项目，要重视合同的签订和管理，严格执行合同制定、审批的流程，对合同的起草、审批、履行等实施全过程监控，以降低经营风险。

（二）健全企业内控环境，提高制度执行力

建筑企业应以市场为导向，不断健全内控环境，为内部控制的有效实施提供有力保障。企业管理层要重视内控工作，建立并完善与现代企业管理制度匹配的内部控制组织机构，设立独立的内部审计委员会等，建立规范的公司治理结构，合理设置管理岗位并明确其权责。企业要做好各部门间的协调工作，实现其相互配合，共同为经营决策服务的目标。完善内控环境就必须重视对人才的培养和任用，加强企业人力资源管理，建立合理的薪酬分配和绩效考评制度，要将内控工作成效与员工绩效挂钩，通过有效的激励约束机制，将内控工作落实到部门和个人，做到有奖有罚，从而提高内控制度的执行力。

（三）建立健全建筑企业内部控制制度体系

要想充分发挥内部控制的作用，就必须建立健全内部控制制度体系，重视内控制度的全面性和合理性。建筑企业应结合实际经营情况，将施工建设安全性和物资管理、资产增值等作为内控制度制定的出发点。首先，要完善资金管理制度，确保资金的安全性，确保成本费用的支出与收入相配比。要制定资金使用的审批制度，防止项目资金被随意挪用的情况发生。其次，要建立岗位责任制度。在设置相关内部控制岗位时要遵循不相容岗位相分离的原则，从制度层面确保岗位之间相互制约和监督功能的发挥。最后，要建立会计内部控制，加强会计核算、会计信息质量管理，确保会计信息的真实性和可靠性。

（四）构建并充分利用网络信息共享平台

建筑企业应积极构建并合理运用网络信息共享平台，为企业内部控制工作的开展提供数据支持。企业网络信息平台能够及时采集施工项目分散的业务数据，通过加工处理，将其反馈至后台内控部门、财务部门等，以便于及时发现问题、解决问题。信息共享平台的另一作用是作为企业内部各部门信息传递、沟通的渠道，这就需每个部门各司其职，确保本部门信息的可靠性和及时性，为企业内部控制工作的开展提供依据，也能够保证内部控制制度执行的谨慎性。

参考文献

[1]黄红星.加强建筑施工企业内部控制研究[J].企业研究，2012（12）.

[2]沙娜.企业内部控制存在的问题及对策[J].商业经济，2012（2）.

公安内部网络安全问题及解决方法 篇12

1.1 网络安全

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护, 不受偶然的或者恶意的原因而遭到破坏、更改、泄露, 系统连续可靠正常地运行。从其本质上讲, 网络安全就是网络上的信息安全。从广义上来说, 凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全。

网络安全分为两大范畴, 即通信安全范畴和计算机安全范畴。通信安全是对通信过程中所传输的信息施加保护, 它包含操作系统安全、数据库系统安全和网络站点安全。通信安全和计算机安全措施需要与其它类型的安全措施, 诸如物理安全和人员安全措施配合使用, 才能更有效地发挥作用。

随着计算机网络的不断发展, 全球信息化已成为人类发展的大趋势。但由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征, 致使网络易受黑客、恶意软件等其他不轨的攻击, 所以网络与信息安全已成为影响国家大局和长远利益、亟待解决的重大关键问题。对于公安机关, 网上信息的安全和保密尤为重要, 因此, 网络的安全措施应能全方位地针对各种不同的威胁和脆弱性, 这样才能确保网络信息的保密性、完整性和可用性。

1.2 计算机网络面临的威胁

计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。针对网络安全的威胁主要有以下几种:一是人为的无意失误, 如由于配置问题造成的安全漏洞, 用户口令太弱等;二是人为的恶意攻击, 计算机犯罪就属于这一类。主要分为主动攻击和被动攻击;三是网络软件的漏洞和“后门”, 这类威胁所引起的事件主要还是因为安全措施不健全的缘故。表1列出了典型的网络安全威胁的名称, 并分别进行了解释和描述。图1列出了一些典型的威胁以及它们之间的相互关系。

1.3 公安内部网存在的安全问题

公安信息网的安全保障是实现信息共享、快速反应和高效运行的重要保证。安全保障体系首先要保证网络的安全、可靠运行, 其次保证应用系统和业务数据的保密、完整和高度的可用性, 同时还要为将来的信息化应用提供可扩展的空间。因此, 安全保障体系是金盾工程建设的重要组成部分。

安全保障体系涉及到机房、网络、计算机系统、应用系统、数据的安全存储与传输、用户的安全认证、管理规章制度等各方面的内容。目前, 公安网内存在的安全隐患主要有以下几个方面:

①没有建成整个网络的路由备份和网络线路备份策略, 从而不具备较强的容错、容灾能力, 无法保证网络的高可靠性。

②没有在网络的汇接点处配备防火墙等网络安全设备, 没有制定网络与应用的访问控制策略, 从而无法有效防范非法访问网络。

③没有建立一套完备的防病毒体系, 从而无法有效防、查、杀各类病毒, 保障专网与应用系统、计算机资源、公安业务信息的安全。

④没有对操作系统、数据库等系统软件做好安全配置。

⑤没有配备漏洞扫描系统, 从而无法及时发现并弥补系统漏洞, 加强入侵检测系统建设, 及时发现、追踪并制止非法访问行为。

⑥没有采用数据、信道加密与涉密系统安全认证等手段, 无法保证涉密信息的安全存储与传输。

⑦没有在整个公安PKI的框架下, 设立本地CA中心, 实现“单点登陆, 全网漫游”。

⑧没有建立数据异地备份机制, 防止突发性时间与自然灾害对公安信息的危害。

⑨没有建立一套行之有效地安全管理规章制度, 保证各类公安应用系统安全、稳定运行。

2 公安内部网安全风险评估

安全风险评估是指依据有关安全技术与管理标准, 对内部网涉及到的网络、信息、系统等的保密性、完整性和可用性等安全属性进行评价的过程。风险评估主要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性, 并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。安全风险评估是公安建立信息安全管理体系的关键环节, 它贯穿于管理体系的规划、设计、实施、运维、废弃的整个生命周期中。目前公安内部网风险安全评估主要还存在以下几个问题:

①仅从网络和信息的机密性、完整性、可用性、可追溯性、抗抵赖性等进行分析, 对网络和信息内容安全性考虑较少。

②威胁识别和脆弱性识别的方法多借助于入侵检测、漏洞扫描等信息安全产品对网络和信息存在的技术漏洞进行分析, 对人员上网行为的安全分析不够。

③风险评估与等级保护不协调。如资产识别与定级指南, 风险分析和检查准则是否相互一致。

为了更好地提高风险评估的成效, 应从以下几方面进行着手:

①提高安全风险认识, 加强风险评估中的内容安全风险识别。当前的风险评估, 很少考虑信息资产可能遭受的内容安全风险, 其实对一些政务系统, 信息内容安全所带来的风险可能比黑客、恶意代码等所带来的风险更大, 所以进行评估的时候, 应该参照有关法律法规, 识别不安全的信息内容。

②利用计算机取证鉴定的技术, 提高风险评估的威胁识别和脆弱性识别能力。计算机取证包括动态取证和静态取证两个方面, 动态取证主要针对的是网络上传输的电子数据和内存中运行的电子数据;静态取证主要是针对磁盘等存储设备的电子数据。实践证明内部人员的非法操作是信息安全的最大隐患, 因此不仅要从网络中获取威胁, 更应该检查主机内存、磁盘, 通过对其检查, 发现已发生的威胁。

③加强等级保护观念, 使风险评估与等级保护相统一。等级保护和风险评估都强调分级的原则, 等级保护分为自主性保护、指导性保护、监督性保护、强制性保护、专控性保护五大级别;风险评估则对资金进行分级, 不同价值的资产采取不同的评估方法, 如基线评估和详细评估等。为将两者统一起来, 一是风险评估的方式可借鉴等级保护的责任制度, “谁主管谁负责”;二是风险评估的过程要完成等级保护制度要求。测评准备包括安全技术测评和安全管理测评两个方面, 安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全、数据安全;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运行维护管理。

3 公安内部网的安全策略

保障网络安全, 关键是靠人、技术、管理三者的有机结合。公安内部网的安全策略应该由安全标准、管理制度、安全技术三部分组成。下面主要从物理环境、链路、计算机系统、数据、身份认证与访问授权等方面进行阐述, 使读者明白通过综合部署和合理运用这些技术和产品, 可解决大部分网络安全问题。

3.1 物理环境安全设计

3.1.1 机房安全

按照《中华人民共和国国家标准电子计算机机房设计规范》中的要求, 机房建设在机房位置、设备布置、环境条件、建筑、空气调节、电气技术、给水排水、消防安全等方面分为A、B、C三级。根据公安部的要求, 市级以上公安机关机房建设要达到A级, 分县局网络中心机房达到B级, 基层科所队等单位的设备机房要求达到C级。

3.1.2 设备安全

设备主要指网络专用设备 (如路由器、交换机等) 和主机设备 (终端计算机、服务器、防火墙等) 。设备环境安全主要包括设备的防盗、防电磁辐射、防止搭线窃听、抗电磁干扰及电源保护等, 设备冗余备份。设备存放环境如温度、湿度等符合设备的要求, 设备的安装要坚固耐用, 尽量隔离存放, 做到最终用户难以私自安装、拆卸设备的配件, 用户能够接触的只有键盘和屏幕。

3.2 链路与网络安全

3.2.1 链路安全

所有租用的通信线路必须配备防火墙, 各级公安机关须与线路提供商协商共同解决安全问题;为防止被侦听窃听数据, 根据需要可对光纤两端进行加密, 防止其他项目工程实施时破坏公安的光纤线路, 造成线路中断。

3.2.2 网络安全

通过辅助的安全工具与手段进一步加强各级公安内部网的高度安全, 网络设备配置要安全, 尽量采用高质量、高可靠的设备, 如有必要, 优先采用双机或多机冗余设计方案, 如核心交换机/路由器。在网内配置认证服务器, 对网络设备、主机设备、安全设备等的访问进行统一的认证、授权、审计 (AAA) 管理。要严格控制与公网的连接, 与政府部门、企事业单位连接, 要通过专用安全平台, 在保证安全的前提下, 实现信息资源共享。在各级公安机关局域网出入口处配备防火墙, 防止局域网外部用户的非法访问。

防火墙作为隔离网络安全域的有效手段被广泛使用, 是一种被动防卫技术, 适合于相对独立的与外部网络互联途径有限、网络服务种类相对集中的单一网络。通常分为网络级防火墙和应用级防火墙。网络级防火墙只检查地址和端口, 对网络更高协议层的信息没有办法理解。应用级防火墙可以理解应用层协议, 能够做复杂的访问控制, 但效率不如前者。图2是防火墙在公安内部网中的部署示意图。

3.3 计算机系统安全

3.3.1 操作系统安全。

操作系统是应用软件和服务运行的公共平台, 操作系统安全漏洞是网络入侵的重要因素。因此, 首先必须选择安全的操作系统平台, 充分利用操作系统提供的安全功能, 并及时升级操作系统的补丁程序。

3.3.2 数据库系统安全

选用安全级别较高的数据库系统, 必要时对数据库系统实施字段加记录级加密保护。对数据库管理的数据和资源提供安全保护, 主要包括以下几点:

物理完整性, 保证数据能免于物理方面的破坏, 如掉电、火灾等;

逻辑完整性, 能够保持数据库的结构, 如对一个字段的修改不至于影响其他字段;

元素完整性, 包括每个元素中的数据都是准确的;

数据的加密;

用户鉴别, 确保每个用户被正确识别, 避免非法用户入侵;

可获得性, 指一般用户可访问数据库和所有授权访问的数据;

可审计性, 能够追踪到数据库。

要实现对数据库的安全保护, 一是选择安全数据库系统, 即从系统的设计、实现、使用和管理等各个阶段都要遵循一套完整的系统安全策略;二是以现有的数据库系统所提供的功能为基础做安全模块, 增强现有数据库系统的安全性。

3.4 数据安全

①数据传输安全。

采用数据加密实现数据的安全传输, 加密主要采用以下三种方法:对路由包加密、应用软件实现加密、硬件加密机加密。

②数据存储安全。

应用系统应采用在线备份方式, 并按如下方法进行备份:完全备份, 一周一次;增量备份或差异备份, 每天一次。条件允许的情况下, 对重要应用系统应实现异地容灾备份。

③安全工具配备。

市级以上公安机关维护人员需配备网络入侵检测工具与漏洞扫描工具, 及时发现系统存在的漏洞, 随时进行升级;要能及时发现、追踪并制止非法访问行为。县级公安机关可视自己具体情况进行配备。

④建设完善的病毒防范体系。

提供全方位的病毒防护, 要具备集中网络管理功能, 安装正版的、最好国产的网络版防病毒软件, 提供远程自动安装功能、定式扫描功能、病毒源跟踪与隔离功能、网络报警功能等。要提醒广大用户周期性备份工作文件, 维护人员周期性备份源代码文件、数据库文件。

3.5 身份认证与访问授权系统

由于公安系统信息的特殊性以及管理机制的特殊性, 基于数据库技术的数据管理手段难以满足实际应用中不同级别访问用户对不同信息资源访问的需要, 为此需要构造独立于应用系统的访问控制安全机制。在公安金盾工程中, 明确提出建设全国PKI系统和两级RA中心、三级CA中心的构想, 并已逐步实施。

PKI (Public Key Infrastructure) /PMI (Privilege Management Infrastructure) 身份认证和访问控制技术, 在单点登录、全网漫游、访问控制、电子政务、无纸办公以及身份鉴别和授权等方面有着广泛的应用。

PKI即公开密钥基础设施, 是包括硬件、软件、人员、策略和规程的集合, 用于实现基于公钥密码体制密钥和证书的产生、管理、存储、分发和撤销等功能。它通过第三方的可信机构CA (Certification Authority) 把用户的公钥和其它标识信息 (如姓名、身份证号码等) 捆绑在一起, 实现身份的验证。PKI系统主要包括:密钥管理中心 (KMC) 子系统、认证中心 (CA) 子系统、注册中心 (RA) 子系统、发布中心 (DA) 子系统等。

PMI即权限管理基础设施或授权管理基础设施, 是属性证书 (AC) 、属性权威 (AA) 、属性证书库等部件的集合体。PMI主要负责向业务应用系统提供与应用相关的授权服务管理, 提供用户身份到应用授权的映射功能, 实现与具体应用开发和管理无关的访问控制机制, 简化应用中访问控制和权限管理系统的开发与维护。PMI系统包括属性证书签发子系统 (AA) 和属性证书注册子系统 (ARA) 两部分。

4 安全管理建设

做好公安内部网安全工作, 解决安全问题, 关键要做到人、技术、管理三位一体, 就是说, 要实现三分技术和七分管理。加强安全管理, 原因有以下几个:一是保密与窃密的斗争日趋尖锐;二是公安工作对网络和应用系统的依赖程度日益加深;三是快速发展的信息技术给安全保密带来的难度日益加大;四是当前公安网络和信息的安全保密工作存在不少突出问题和重大隐患, 严重危害网络和信息安全。

4.1 安全管理的作用

安全管理是网络信息系统安全的重要组成部分, 是管理者实施系统监管的有力工具, 它的实施促进了安全与应用的真正一体化, 使得各类信息系统逐步过渡到安全信息系统上来。

安全管理不仅是技术层面上的, 更多地涉及到制度以及人的因素。因此必须建立一套科学的、严格的安全管理制度, 才能真正保证公安内部网及其信息系统整体的安全。

4.2 安全管理制度建设

2003年11月, 公安部出台了《公安计算机信息系统安全保护规定》, 明确了公安计算机安全保护工作的任务、主管机构、处罚等, 并要求制定一系列规章制度, 确保各项安全措施的落实。这些制度主要包括:人员安全管理制度 (安全审查制度、岗位安全考核制度、安全培训制度、安全保密契约管理制度、离岗人员安全管理制度等) ;文档管理制度;系统运行环境安全管理制度;软硬件系统的选购、使用和维护制度;应用系统运营安全管理制度;应用系统开发安全管理制度;应急安全管理制度;安全领导小组职责和工作制度;安全事故处理程序规定;访问国际互联网管理规定等。

2005年4月, 公安部为加强公安信息网的安全管理工作, 规范公安机关人民警察使用公安信息网, 出台了《公安机关人民警察使用公安信息网违规行为行政处分暂行规定》, 对规范人民警察上网行为具有很大的约束力和强制力。《暂行规定》明确了7类违规行为和6项行政处分, 对加强安全管理起到了很好的作用。

4.3 内部网安全大检查

根据安全管理的需要, 各级公安机关每年都会进行不定期的安全大检查。大检查主要包含以下几个方面的内容:

公安计算机和服务器的注册、使用情况, 包括IP使用情况、使用人准确度情况;

涉密信息清除情况, 包括涉密机器不联网, 联网机器不涉密等;

违规软件清查情况, 包括各类游戏清查, 禁用软件清查等;

应用系统等级情况, 包括应用系统登记备案情况, 开放端口情况等;

安全设备使用情况, 包括策略设置、维护制度落实等。

从以上可以看出, 安全管理工作在解决内部网安全问题上的重要作用。做好公安网络安全问题, 一方面要加大宣传、教育和培训力度, 另一方面, 要抓好制度、措施的落实, 并及时进行完善。

本文结合山东公安机关的实际和本人多年从事公安信息化工作的阅历, 强调了加强内部网安全管理对实现公安信息化的重要作用, 旨在通过一些探讨, 促进内部网安全策略的强化。当然, 安全问题不可能一下子就彻底解决, 还需要各级公安机关经过上至领导下到普通民警的共同努力, 从制度落实、人员管理、安全技术配备上着手, 真正落实“谁主管、谁负责”、“谁使用、谁负责”的管理责任制, 齐抓共管, 共同努力把公安内部网打造成为公安信息化的坚强后盾。

摘要：公安内部网络, 简称公安网, 采用了Internet的组网技术和应用技术, 也同样存在着当今互联网络共通的安全问题。随着公安网在公安信息化中的重要性越来越大, 构建公安网络和信息安全保障体系就迫在眉睫。本文结合山东公安的实际, 就公安网涉及到的安全问题进行了深入研究, 分析了目前公安网已发现的一系列安全问题以及存在的安全隐患, 提出了相应的解决方法。

关键词：公安内部网,网络安全,病毒防治,安全管理,身份认证

参考文献

[1]吴亚非, 李新友, 禄凯主编.信息安全风险评估.清华大学出版社,

[2]信息安全风险管理指南.

[3]信息安全风险评估规范.

[4]信息系统安全等级保护实施指南.

[5]信息系统安全保护等级定级指南.

[6]信息系统安全等级保护测评准则.

[7]AndrewS.Tanenbuam.计算机网络 (第四版) [M].北京:清华大学出版社, 2002.

[8]邓秀华.计算机网络病毒的危害与防治[J].电脑知识与技术, 2005.7.

[9]Vito Amato.思科网络技术学院教程[M].北京:人民邮电出版社, 2003.

[10]刘建伟, 王育民编著.网络安全-技术与实践.北京:清华大学出版社, 2005.

[11]李文燕主编.计算机犯罪研究.北京:中国方正出版社, 2001.