企业信息安全的概念范文

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的5篇企业信息安全的概念范例，将为您的写作提供有力的支持和灵感！

篇1

2007年2月国务院国有资产监督管理委员会和国务院信息化工作办联合印发了《关于加强中央企业信息化工作的指导意见》，加快了国有企业信息化建设的步伐。国有企业审计是中国特色社会主义国家审计的重要组成部分。由于企业与公共部门在内部控制、管理和治理方面的差异，导致了企业信息系统审计与公共部门信息系统审计的不同特点。

一、增强国有企业信息系统的可信性

审计机关的审计目标取决于法定要求。根据《中华人民共和国审计法》的规定，审计机关对国有企业财务收支的真实、合法、效益，依法进行审计监督。显然，真实性是国有企业审计的目标之一。信息系统审计是国有企业审计的重要组成部分。国有企业审计的总体目标，决定了国有企业信息系统审计的目标。国有企业审计的真实性目标，必然要求国有企业信息系统提供真实性的信息，这意味着，审计机关的国有企业信息系统审计必须把真实性作为审计目标之一。

根据相关法律的规定，注册会计师也可以对国有企业进行审计。根据我国公司法第165条的规定，“公司应当在每一会计年度终了时编制财务会计报告，并依法经会计师事务所审计。”而且，2008年10月通过的《中华人民共和国企业国有资产法》第六十七条明确规定，“履行出资人职责的机构根据需要，可以委托会计师事务所对国有独资企业、国有独资公司的年度财务会计报告进行审计，或者通过国有资本控股公司的股东会、股东大会决议，由国有资本控股公司聘请会计师事务所对公司的年度财务会计报告进行审计，维护出资人权益。”大家知道，依据注册会计师执业审计准则的规定，会计师事务所对企业财务报表审计的目的是“提高财务报表预期使用者对财务报表的信赖程度。”①这说明，注册会计师国有企业审计的目标是要求财务报表提供的信息具有可信性。注册会计师所审计的国有企业财务报表中的信息是由国有企业的信息系统产生形成的，因而必须对信息系统进行审计。注册会计师对国有企业财务报表审计的可信性目标，决定了注册会计师对国有企业信息系统审计的可信性目标。

同样的审计对象，不同的审计主体，导致了两种不同的国有企业信息系统审计目标。从上述分析不难发现，无论是审计机关还是注册会计师对国有企业进行审计，其中对企业信息系统的审计都是不可或缺的重要组成部分。根据审计法的规定，审计机关对国有企业信息系统审计的目标是真实性。而根据注册会计师执业审计准则，对国有企业信息系统审计的目标是可信性。那么，什么是真实性？什么是可信性？这两种目标之间有什么样的联系和区别？为什么说审计机关应当把增强国有企业信息系统可信性作为审计目标呢？

（一）真实性与可信性的基本涵义

我国审计法强调真实性，根据2010年9月颁布的中华人民共和国国家审计准则（以下简称国家审计准则）的规定，“真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度。”那么，什么是真实性呢？真实性只是对财政财务收支及有关经济活动信息质量的最低要求。如果会计信息是真实的，但是不够完整或者披露不及时，仍然不能满足信息使用者的需要，甚至会导致错误的投资决策。事实上，就真实性本身而言，由于会计估计、核算方法等因素的影响，会计信息的真实性也只是相对的，而不是绝对的。所以，把真实性作为审计目标，具有一定的局限性。所谓可信性，从国际审计准则第200号（ISA200）可以看出，当编制的财务报表公允表达（presented fairly）或真实公允（true and fair）时，它才是可信性的。从字面上讲，公允（fair）或公平的要求，强调了财务报表各种使用者之间的利益平衡。从理论上讲，公允表达或真实公允的概念比真实性概念具有更多的内涵，涉及会计适当性、适当披露及审计责任等概念。在国际审计准则第200号（ISA200）中，公允表达是指财务报表是否在所有重大方面按照适用的财务报告框架编制，“公允”还意味着超出财务报告框架所要求披露范围的必要性，以及在极端情况下必须偏离财务报告框架的可能性。适用的财务报告框架，主要是指适用的会计法律法规、会计准则、会计制度等。大家知道，我国会计法强调“保证会计资料真实、完整”。根据会计法的要求，我国的财务报表不仅要具有真实性，而且还要具有完整性。总的来说，可信性并不否认真实性，真实性是可信性的必要前提之一，但真实的并不一定是可信的，可信性的内涵更加丰富，真实性是对财务信息质量的最低要求，可信性反映了对财务信息质量更高的要求。

（二）可信性目标反映了注册会计师审计发展的新阶段

一般认为，受社会需求变化、自身技术手段及审计风险等因素的影响，注册会计师审计目标的发展演变至今经历了四个阶段，即20世纪30年代之前的查错纠弊阶段、30年代中期至80年代验证会计报表真实公允阶段、80年代至90年代中期真实公允与查错纠弊并重阶段，及90年代后期以来的增强信息可信性阶段。虽然同为注册会计师审计的目标，然而从历史发展演变的角度看，真实性只是注册会计师审计的早期目标，当前注册会计师审计准则中的可信性目标反映了注册会计师审计的最新发展，是更高级发展阶段的目标。

（三）可信性目标比“真实公允”具有更加广泛的适用性

20世纪90年代后期，传统的财务报表审计成为更为广义的概念――“保证业务”（Assurance Service）的一个组成部分。我国注册会计师协会译为“鉴证业务”②。2004年国际会计师联合会了《国际保证业务框架》，2005年1月1日生效。2006年我国制定了《中国注册会计师鉴证业务基本准则》，2007年1月1日起施行。鉴证业务是指注册会计师对鉴证对象信息提出结论，以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象与鉴证对象信息具有多种形式，主要包括：当鉴证对象为财务业绩或状况时（如历史或预测的财务状况、经营成果和现金流量），鉴证对象信息是财务报表；当鉴证对象为非财务业绩或状况时（如企业的运营情况），鉴证对象信息可能是反映效率或效果的关键指标；当鉴证对象为物理特征时（如设备的生产能力），鉴证对象信息可能是有关鉴证对象物理特征的说明文件；当鉴证对象为某种系统和过程时（如企业的内部控制或信息技术系统），鉴证对象信息可能是关于其有效性的认定；当鉴证对象为一种行为时（如遵守法律法规的情况），鉴证对象信息可能是对法律法规遵守情况或执行效果的声明。不难看出，传统的财务报表审计只是鉴证业务中的一种。鉴证标准随着鉴证对象的不同，也从财务报表审计中按照适用的财务报表编制框架，如编制财务报表所使用的会计准则和相关会计制度，扩展到单位内部制定的行为准则、绩效水平等方面。从其定义看，鉴证业务的目的在于增强除责任方之外的预期使用者对鉴证对象信息的信任程度。真实公允目标是针对财务报表审计的审计目标，可信性目标在概念外延上具有更加广泛的适用性。可信性目标不仅适用于对财务信息的可信性，而且还适用于非财务信息（绩效信息）的可信性。对财务报表来说，如果它是真实公允的，即在所有重大方面是按照适用的财务报表框架编制的，它就是可信性；对于其他鉴证信息来说，如果它是符合适用的鉴证标准，就是可信性的。企业内部的信息系统，现在已不仅仅是财务信息系统，还包括各种业务和管理信息系统。与此同时，为满足企业的业务需求，信息系统所提供的信息也不局限于财务信息，而且还包括许多非财务信息。所以，在国有企业信息系统审计中，把可信性作为国有企业信息系统审计的目标比真实性目标更加符合企业信息化发展的客观要求。

（四）可信性目标反映了审计理论的深化和发展

可信性不是一个孤立的术语，它是新审计理论（或一组新的相互联系的审计概念）中的一个关键性概念。随着注册会计师的业务从传统的财务报表审计发展到鉴证业务，传统的审计理论也得到了深化和发展。大家知道，审计三方关系是指审计人、被审计人、审计授权或委托人之间的关系。传统的受托责任论，即审计动因论，是建立在传统的审计三方关系之上的。然而，在我国现行的《注册会计师鉴证业务基本准则》中给出了一种新的审计三方关系，即注册会计师、责任方和预期使用者。在新的审计三方关系中，被审计人与审计授权或委托人之间责任关系的含义更加丰富，除传统的受托责任关系外还有其他种类不带委托性质的责任关系③。在新的审计三方关系中，预期使用者应包括企业所有的利益相关者，除了传统受托责任关系中的股东外，还应包括经营者、员工、顾客、供应商、债权人、潜在的投资者、监管层、竞争者等。聘请注册会计师的通常是预期使用者或其代表，但也可能是责任方。责任方、预期使用者和注册会计师三方之间的关系，可以看作是信息提供者、信息使用者和信息可信性的保证者之间的关系④。增强信息的可信性，实际上是减少了信息提供者与预期使用者之间的信息不对称，鉴于预期使用者的广泛性，在市场经济条件下，将有利于完善市场机制，提高市场资源配置效率，从而拓展了审计的社会功能。可信性不是一个空洞的概念，鉴证对象信息是否具有可信性，需要执行一定的业务程序。审计师在收集证据的基础上，依据一定的标准，检查责任方的鉴证对象信息在所有重大方面是否符合适当的标准后，才能为鉴证对象信息的可信性提供一定程度的保证，从而提供给预期使用者。鉴证业务的保证程度被细分为合理保证和有限保证，鉴证对象信息被划分为财务信息和非财务信息，其中财务信息被进一步细分为历史财务信息和预测性财务信息。可信性概念是这些新审计理论中的关键性概念之一，相比之下，真实性概念在新的审计理论中却没有相应的理论地位。

（五）可信性目标反映了国家审计的发展趋势

在世界审计组织（INTOSAI）的道德准则（Code of Ethics）中，强调了信赖（trust）、信任（confidence）、信誉（credibility）对于审计机关的至关重要性。在南非审计署1911至2011年百年纪念的纪念品和网站首页上有一句格言：“Auditing to build public confidence”，即“审计旨在建立公共信任”。我国审计署2011年7月15日印发的《审计署关于深化经济责任审计工作的指导意见》中提出，要确保经济责任审计结果的可信、可靠和可用。刘家义审计长提出，国家审计是国家治理的一个组成部分。孔子曰：“足食，足兵，民信之矣”，“民无信不立”，说明了信任、守信在国家治理中的重要性。我们知道，“诚信友爱”是构建社会主义和谐社会的基本要求之一。国家审计可以增强政府的公信力，增强整个社会的诚信。从国家治理的角度看，可信性目标比真实性目标更好地体现了国家审计在国家治理中的作用。

经过上述真实性和可信性两种审计目标含义的对比，不难发现，虽然真实性目标是国有企业审计的传统目标之一，但是可信性比真实性的涵义更为丰富，可信性目标中不但包含了真实性目标，而且可信性目标要求信息系统提供更高质量的信息。两种目标都对信息系统提供的信息质量提出了要求，国家审计对信息质量的要求不应低于注册会计师审计。因此，笔者认为，尽管现行的审计法规定了国有企业信息系统审计的真实性目标，但是，从理论上讲以及从未来发展趋势看，审计机关应当选择可信性作为国有企业信息系统审计的目标，即国有企业信息系统审计应当促进企业信息系统提供可信的信息。

二、促进国有企业信息系统的遵循性

最高审计机关国际组织（INTOSAI）在审计基本原则（ISSAI-100）中，把政府审计业务分为两大类，即合规审计（regularity audit）和绩效审计（performance audit），并制定了相应的审计执行指南，即财务审计执行指南（Implementation Guidelines on Financial Audit）、遵循审计执行指南（implementation guidelines on compliance audit）和绩效审计执行指南（Implementation Guidelines on Performance Audit）。在这个准则指南框架中，合规性审计包括了财务审计和遵循性审计。遵循性审计是指对公共部门实体的活动是否与相关法律法规及授权要求相一致的审计。在《国际审计准则第250号――财务报表审计中对法律法规的考虑》（ISA250）中，非遵循（non-compliance），是指被审计单位不履行法律法规责任或者违反法律法规的犯罪，故意地或者非故意地，与执行的法律或法规对立的行为。在COSO内部控制框架中，遵循性（compliance）作为内部控制的目标之一，是指符合适用的法律法规。由此看来，在上述准则指南中，遵循性，就是我国国家审计中的合法性。但是，在本文中，作为国有企业信息系统审计的目标之一，遵循性与合法性不同。

为满足业务需求，对信息系统提供的信息有一般性的要求，在IT治理框架COBIT4.1中，这些要求也被称之为信息标准（information criteria）。遵循性（compliance）作为其中的标准之一，是指“涉及业务流程与所需遵守的法律、法规及合同约定之间的符合程度的属性，即外部的强制要求和内部政策的遵循性。”⑤在本文中，遵循性作为国有企业信息系统审计的目标之一，采用COBIT4.1中遵循性的概念，即国有企业信息系统的设计、建设、运行和监控不仅要符合来自企业外部的强制性要求（合法性），而且还应符合国有企业内部制定的各种规定的要求。

我国审计机关对国有企业的财务收支的真实、合法和效益，依法进行审计监督。合法性是国有企业审计的审计目标之一。作为国有企业审计的重要内容，信息系统审计应当促进国有企业信息系统的合法性。那么，为什么我们要把国有企业内部制定的各种规定同时也纳入国有企业信息系统审计的目标呢？企业内部如何制定关于其信息系统的规定是企业自己的事情，似乎审计机关不应干预，但是，效益性也是国有企业审计的审计目标之一。当信息系统不符合国有企业某些内部规定的要求时就会影响到企业效益，这些内部规定，如内部控制、管理和治理等，也应纳入国有企业信息系统审计的遵循性目标范围。

三、改善国有企业信息系统的绩效性

绩效性目标是企业信息化不断发展的产物。我国企业信息化建设已经发展到了关注绩效性的阶段。绩效性目标也是IT管理和IT治理的重要内容。IT管理和IT治理的国际标准或良好实务，为开展信息系统绩效审计提供了审计标准。

（一）企业信息系统绩效性的概念

当企业信息化发展水平达到一定程度后，信息系统的绩效问题逐渐引起了人们的关注。在企业信息化的早期阶段，信息系统主要应用于企业的财务会计领域，这时人们对信息系统关注的焦点主要是信息系统的可信性和遵循性问题，相应的措施主要集中在内部控制方面，强调信息系统的一般控制和应用控制。随着企业信息化水平的不断提高，信息系统在企业中的应用范围逐渐从财务会计领域扩展到整个业务领域和管理领域，与此同时，信息系统的建设投入和运行成本显著提高。这时人们发现，大量的信息化投入并不一定能够带来预期的收益，而且还带来巨大的潜在风险，个别企业甚至因高投入造成利润下降或财务危机，有的企业因业务流程改造滞后，还会导致管理混乱。在这种情况下，人们对信息系统关注的焦点，逐渐从“投入”转向“产出”，从技术和内部控制问题转向管理和治理问题，在企业内部出现了专门的IT管理部门，IT管理和IT治理逐渐从企业的一般管理和治理中独立出来，而“绩效”是描述信息系统投入产出、管理和治理的核心概念。

信息系统的绩效性是指利用IT资源提供企业信息服务的经济性、效率性和效果性。为它的利益相关者提供价值是企业存在的基本前提。企业信息系统的目的在于利用IT资源，通过IT流程，提供企业信息服务，以满足业务需求。信息系统要实现的绩效目标必须与企业的业务需求或业务目标相一致。

（二）绩效性目标的可行性

从我国企业信息化发展阶段看，目前信息系统的绩效问题已经成为关注的焦点。2011年2月，工信部电子一所和用友软件股份有限公司联合了《2010年中国企业信息化指数调研报告》。该报告将中国企业的信息技术应用分为四个阶段，分别为基础应用阶段、关键应用阶段、扩展整合及优化升级应用阶段以及战略应用阶段，如图1所示。

该报告认为，目前我国企业信息化总体上处于由基础应用和关键应用向扩展整合与优化升级过渡阶段。报告的主要结论之一是，2010年“信息技术应用范围的变化主要体现在应用广度和深度两方面，企业基本完成了信息技术在各业务领域的应用覆盖，已逐渐开始深度关注企业业务发展需求，着力提升信息技术的应用价值。”提高信息系统的绩效，也已经成为我国企业信息化深度发展的方向。把绩效性作为国有企业信息系统审计的目标，符合我国企业信息化发展的现状，在现实中具有可行性。

（三）绩效性是IT管理和IT治理的重要内容

IT管理目的在于如何降低成本，以更好的弹性及更快的响应速度，向组织内外部顾客提供高质量的IT服务，提供顾客的满意度。IT管理的目标就是要追求信息系统的绩效性，即经济性、效率性和效果性。

信息系统的绩效性也是IT治理追求的目标之一。在IT治理国际标准ISO/IEC38500（组织的信息技术治理）中规定了“绩效”原则，即IT应适合于支持组织的目的并提供服务，服务等级和服务质量应满足当前和将来的业务要求。IT治理框架COBIT4.1有四个基本特征：以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。在该框架中，绩效测评是IT治理的关键，并且指出，“多项调研已经表明，IT成本、价值和风险管理缺乏透明是驱动IT治理最重要的一个因素。相对于其他关注的领域，提高透明度主要通过绩效测评来实现。”⑥

（四）绩效审计的参照标准

IT管理和IT治理从企业管理和治理中独立出来，为开展单独立项的信息系统绩效审计创造了条件。就像企业审计要关注被审计单位的管理和治理那样，企业信息系统审计要关注被审计单位的IT管理和IT治理情况。IT管理和IT治理的国际标准或良好实务，则为开展信息系统绩效审计提供了审计标准，也可以作为向被审计单位提出改进建议的参照标准。常见的IT管理和IT治理国际标准有：ISO/1EC20000（信息技术――服务管理）、ITIL（信息技术基础库）、ISO/IEC38500（组织的信息技术治理）、COBIT4.1（信息及其相关技术控制目标）等。

四、维护国有企业信息系统的安全性

维护国有企业信息系统的安全，对于维护国家经济安全至关重要。随着信息技术的发展和应用，人们对信息系统安全性的认识也不断深化。正确理解信息安全的涵义，对于开展信息系统安全性审计具有重要的意义。

（一）安全性目标的重要性

根据1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》，维护计算机信息系统的安全性，就是要保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行⑦。从这里可以看出，信息系统的安全包括：信息本身的安全、系统设施设备的安全和系统运行环境的安全三个层面。就三个层面的关系而言，信息是核心，系统设施设备及其运行环境是保障，信息本身的安全是目的，系统设施设备的安全及其运行环境的安全是手段。

国有企业信息系统安全是国家信息安全和经济安全的重要组成部分。为了保护中央企业信息系统的安全稳定运行，2010年12月，公安部和国务院国有资产监督管理委员会联合颁布了《关于进一步推进中央企业信息安全等级保护工作的通知》。据统计，截至2010年5月，已有89.6%的中央企业开展了信息安全等级保护工作，中央企业总计建成投入使用的信息系统有16 092个，已定级14 539个，占比90.3%；应向公安机关备案的系统（二级及以上）有11 370个，已备案8 113个，占应备案系统的71.4%；列入2010年定级计划的有1 598个。中央企业在公安机关备案的信息系统总数约占全国信息系统备案总数的21%，第三、四级重要系统约占全国重要信息系统备案总数的30%⑧。这些数据表明，国有企业信息系统已成为国家信息安全的重要组成部分。《中华人民共和国企业国有资产法》第七条规定，“国家采取措施，推动国有资本向关系国民经济命脉和国家安全的重要行业和关键领域集中，优化国有经济布局和结构，推进国有企业的改革和发展，提高国有经济的整体素质，增强国有经济的控制力、影响力。”由于国有企业集中在国民经济命脉和国家安全的重要行业和关键领域，如电信、电力、石油、石化等重要行业，其重要信息系统已成为国家关键基础设施，是国民经济命脉之命脉，保护国有企业信息系统的安全稳定运行，对于维护国家经济安全和社会稳定具有重要的意义。

（二）信息安全概念的演变

根据我国计算机信息系统安全保护条例中的定义，计算机信息系统的安全性，包括信息本身的安全、系统设施设备的安全和支撑环境的安全。其中，信息本身的安全，即信息安全，是信息系统安全的核心和目的。那么，究竟什么是信息安全呢？

人们对信息系统安全性的认识经历了一个不断深化的发展过程。20世纪80年代美国国防部制定的《可信计算机系统评估准则TCSEC》把保密性当作信息安全的重点。20世纪90年代初由英、法、德、荷四国制定的《信息技术安全评估准则ITSEC》开始把完整性、可用性与保密性作为同等重要的因素。自此，信息安全的概念，即信息的保密性、完整性和可用性，逐渐被普遍接受。在2002年的国际标准ISO/IEC17799：2000《信息技术――信息安全管理业务规范》中明确规定，信息安全，是指保护：“保密性（confidentiality），即确保信息只能够由获得授权的人访问；完整性（integrity），即保护信息的正确性和完整性以及信息处理方法；可用性（availability），即保证经授权的用户可以访问到信息，如果需要的话，还能够访问相关资产。”然而，在2005年的该国际标准修订版即ISO/IEC17799：2005中，信息安全的定义，包括了七种安全特性：信息的保密性（confidentiality）、完整性（integrity）、可用性（availability）及其他属性，如真实性（authenticity）、责任性（accountability）、不可抵赖性（non-repudiation）、可靠性（reliability）等，而且，这种修订后的信息安全定义，被2007年的国际标准ISO/IEC27001（《信息安全管理体系――规范与使用指南》）引用。在学术界，有人认为，信息安全的特性还应进一步包括可控性（controllability）、可预测性（predictability）、可审计性（auditability）、遵循性（compliance）等。

随着信息技术的发展与应用，信息安全的内涵越来越丰富，从最初的信息保密性发展到保密性、完整性和可用性，进而又发展到相关的真实性、责任性、抗抵赖性、可靠性等。相应地，对企业信息安全的考虑，也从最初关注企业信息安全技术层面，发展到关注企业信息安全控制、管理和治理等层面。

（三）正确理解信息安全涵义需要注意的几个问题

1.信息安全与信息保密不同。从信息安全概念的涵义可以看出，信息保密与信息安全是两个不同的概念，信息安全比信息保密的涵义更加丰富。尽管我国新修订的保密法对信息系统的保密问题作出了规定，但是保密法不能代替信息安全法。目前，我国对信息安全的立法仍然比较滞后，尚无专门的信息安全法。信息安全法是国家信息安全保障体系不可或缺的组成部分。

2.微观信息安全与宏观信息安全的联系。企业信息系统的安全离不开系统运行环境的支撑，系统环境包括物理环境和社会环境。从社会环境看，主要是指有关信息安全法律法规、安全意识、人才培养等。这就是说，微观层面单个组织的信息系统安全，还离不开宏观层面国家信息安全保障体系的构建。与此同时，微观层面的信息安全是基础，没有微观层面的信息安全，也就没有宏观层面的信息安全。

3.授权管理的重要性。信息安全的概念有三个核心涵义：保密性、完整性和可用性。这三个核心涵义都涉及一个共同的要素，即“授权”。保密性意味着只有获得授权才能访问；完整性意味着没有授权不得对信息进行删除或修改；可用性意味着拥有授权者随时可以使用。这表明，授权管理是信息安全管理的一项关键内容。信息系统是一种人机系统，授权管理主要涉及对人员行为的安全管理。

4.安全性目标与遵循性、绩效性、可信性目标的联系。从信息安全的涵义可以看出，信息系统的安全性目标不同于其遵循性、绩效性和可信性目标，但是，安全性与它们之间又是相互联系的。首先，安全性必须满足遵循性的要求，信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下，特别是各种信息安全法律法规、保密法，以及知识产权、个人隐私权方面的法律法规；其次，信息安全没有绝对的安全，所有的信息安全都是风险可接受条件下的安全，高水平的安全保护需要大量的投入成本，因而需要在成本、收益、风险和安全之间进行权衡，即安全性与绩效性的联系；最后，在信息安全技术层面，可信计算技术是信息安全技术的一个重要研究领域，从而表明安全性与可信性之间也有内在的联系。

笔者认为，目前国际上制定的有关信息安全等级评估、信息安全风险评估、信息安全管理体系等方面的国际标准，无论是在理论概念还是在操作实务方面，对于我国审计机关开展信息系统审计都具有重要的借鉴价值。这些国际标准或良好实务可以作为审计的参照标准，同时也可以作为审计机关向被审计单位提出改进信息系统安全性建议的依据。同时，在对国有企业信息系统的安全性进行审计时，还要立足我国实际，由于我国国有企业信息系统是国民经济命脉之命脉，事关国家经济安全和社会稳定，在重视企业本身信息系统安全的同时，还应当从宏观上揭示国有企业信息系统的安全风险，维护国家经济安全。

篇2

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说，企业信息安全管理工作是一项极为重要而隐秘的工作，因此，必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计，目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上，对企业信息安全管理工作人员的道德素养，职业素养，风险意识并没有严格要求。此外，绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训，并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督，这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术，包括信息技术，计算机技术，密码技术，网络应用技术等等，应当说成熟的计算机应用技术是做好企业信息安全管理的基础，但是，现实是许多企业的信息安全管理技术并不过关，一方面企业的信息安全管理硬件并不过关，在物理层面对企业信息缺乏保护，另一方面，企业信息安全管理工作的专业技术没有及时更新，一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验，企业信息安全管理的知识也并没有及时更新，从而导致企业的信息安全管理理论严重滞后，这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂，很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业，企业内部设备数量比较多，尤其是客户端数量占了较大比重，仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外，企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善，更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析，许多企业虽然建立了企业信息安全管理制度，但是通常情况下，这些制度只能流于形式，企业信息安全管理工作缺少有效的制约和监督，企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全，企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一，企业员工对于信息安全管理的认识严重不足，对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新，使用，甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关，认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二，企业内部信息安全管理制度并没有形成联动机制，企业信息安全管理工作仅仅由企业信息安全部门“一人包干”，企业信息安全反映的问题并没有得到积极的反馈，一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构，它的设计初衷是面向客户的，提供给客户各种安全应用，安全应用必须依靠安全服务来实现，而安全服务又是由各种安全机制来保障的。所以，安全服务标志着一个安全系统的抗风险的能力，安全服务数量越多，系统就越安全。

2.P2DR模型

P2DR模型包含四个部分：响应、安全策略、检测、防护。安全策略是信息安全的重点，为安全管理提供管理途径和保障手段。因此，要想实施动态网络安全循环过程，必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应，防护通常是通过采用一些传统的静态安全技术或者方法来突破的，比如有防火墙、访问控制、加密、认证等方法，检测是动态响应的判断依据，同时也是有力落实安全策略的实施工具，通过监视来自网络的入侵行为，可以检测出骚扰行为或错误程序导致的网络不安全因素；经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中，应急响应占有重要的地位，它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者，企业信息安全工作人员直接主导企业信息安全管理工作，企业信息安全工作人员不仅仅是企业信息安全的保障者，也是企业信息安全管理的威胁者。因此，HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外，HTP模式同样是建立在企业信心安全体系，信息安全技术防范的基础上，HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后，HTP强调动态管理，动态监督，对于企业信息安全管理工作始终保持高强度的监督与管理，在实际工作中，通过HTP模型的应用，找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

（1）充分调查和分析企业的安全系统，建立一个全面合理的系统模型，安全系统被划分成各个子系统，明确实施步骤和功能摸块，将企业常规管理工作和安全管理联动协议相融合，实现信息安全监控的有效性和高效性。

（2）成立一个中央数据库，整合分布式数据库里的数据，把企业的所有数据上传到中央数据库，实现企业数据信息的集中管理与有效运用。

（3）设计优良的人机界面，通过对企业数据信息进行有效的运用，为企业管理阶层人员、各级领导及时提供各种信息，为企业领导的正确决策提供数据支持，根本上提高信息数据的管理水平。

（4）简化企业内部的信息传输通道，对应用程序和数据库进行程序化设计，加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

（1）确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中，首要工作是设计企业信息安全风险评估的目标，只有明确了企业信息安全管理的目标，明确了企业信息安全管理的要求和工作能容，才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度，才能顺利通过对风险控制的结果的定量考核，检测企业信息安全管理的风险，定性定量地企业信息安全管理工作进行分析，找准企业信息安全管理的工作办法。

（2）确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的，因此，对于不同的企业的特殊性应该采取不同的风险控制办法，其中，不同企业对于能够承受的信息安全风范围有所不同，企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此，企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

篇3

伴随着我国电力行业的迅速发展，特别是南网、国网、华电等大型的电力企业，它们的发展速度更是非常迅速的，目前，电力行业在我国经济的发展当中发挥着中流砥柱的作用，并且是确保整个社会稳定剂经济健康迅速发展的根本性要素，可是，最近几年随着先进科学技术的不断研发，电力企业信息开始面临着泄漏、不可掌控等一系列的安全性威胁，并且，自云计算出现，其依赖于自身优质的性能与全新的有效计算、存储模式受到了各行各业的喜爱，云计算电力与以往的电力企业信息储存系统及运行性能相比具备非常明显的优势。为此，云计算环境下电力企业信息安全是目前整个电力行业急需探究的重要问题。

 

1 云计算的概念与基本原理

 

在分布式处理、并行式处理及先进网络计算科学技术不断发展的基本前提下形成的一种新型计算模式即云计算，其面对的是超大规模的分布式氛围，主要发挥着将供应数据储存及网络服务的作用，并且具体的实现平台、服务于应用程序都是在整个云计算环境下得以实现的。云计算能够把全部的计算资源融合在一起，通过具体软件促使自动化管理、无人为参与，并且能够提供各种各样的认为服务。

 

云计算的基本原理是把相关的计算逐一分布在多个分布式计算机当中，在远程服务器的具体计算当中可以促使电力企业信息处于正常的运行状态，有利于企业将资源更改为具体的需求得以运用，并且能够按照实际需求对计算机进行访问。云计算基本原理为一场历史性的转变创举。

 

2 目前我国电力企业信息安全结构状况

 

2.1 电力企业信息网络结构

 

随着电力企业逐渐进入网络自动化及智能化阶段，为此，目前电力企业信息安全结构一般是以公共网络与专用网络有效综合的一种网络结构形式，其中，专用电力信息网络指的是在因特网进行连接的基础上形成的一种电力企业信息网络及调度信息网络相互综合的形式。

 

2.2 电力信息安全系统结构

 

以信息中的信息性能及信息业务为出发点将电力企业信息划分为三种层面：自动化、生产管理、办公室自动化及电力企业信息管理。其中，办公室自动化及电力企业信息管理是与电力企业信息网络结构紧密联系在一起的，形成的是一个安全工作区域，在这个安全区域当中SPDnet支撑的一种自动化，可具备监控性能的实时监控，譬如，配电自动化、调度自动化、变电站自动化等，同时，安全生产管理区域同样也是SPDnet来作为基本支撑的。

 

3 云计算环境下电力企业信息安全技术的运用

 

3.1 数据传输-存储安全技术

 

在整个电力企业信息当中，涵盖了大量的有关电力企业发展的资料及所有数据信息，譬如：电力企业的财务信息、用户信息、经营管理信息等等，所以，对于整个电力企业而言，数据的传输-存储安全技术在其中发挥着极为重要的作用。

 

一般情况下，云计算环境下，严格加密技术可促使电力企业信息数据在具体的传输过程中将会处于非常安全的一种状态下，主要是由于云计算能够利用加密技术将那些潜存的非法访客完全的拒之门外，预防数据传输过程中发生窃取的事件。

 

从电力企业信息数据存储技术的角度进行分析，其涵盖了数据恢复、数据分离、数据备份、数据存贮位置的选择等几方面内容，而云计算环境下，电力企业便能够利用私有云这一高度集中的存储技术把相关的数据信息以基本性能、重要系数为依据来选择不同的存贮方位，这样可以促使不同种类数据间隔离的实现，并且可起到预防数据信息泄露的作用。

 

云计算的运用可促使电力企业信息能够实现实时备份，使得电力企业信息在有突况出现的时候能够在第一时间达到相关数据的及时恢复。

 

3.2 权限认证及身份管理安全技术

 

云计算能够成功的预防非工作人员使用非法用户对电力企业信息系统进行访问，这主要是由于在私有云的内部全部的企业信息都能够实现禁止访问技术，电力企业信息管理工作者能够通过私有云进行身份管理、权限认证技术的相关设置，按照企业工作人员的级别及具体的规定对于相关数据及应用业务作出明确的规定及权限的划分，这样可成功的预防了非法访问的事件发生，同时实现合法用户根据个人权限来进行企业信息的具体操作。

 

3.3 网络安全隔离技术

 

对于整个电力企业信息来讲，云计算实则是互联网当中的一种内部性系统，通常情况下，电力企业信息网络能够从网络安全的被动保护层面来促使入侵检验技术、防火墙设置等安全防火技术得以实现，可是，云计算环境下，电力企业信息安全采用的是防火墙技术、物理隔离技术、协议隔离技术等先进的科学技术，其中，防火墙技术是对于企业外部网络及电力企业信息网络而创建的一道安全性保护屏障，通过对个人信息的严格检测、审核，将具有破坏性入侵的访客实施的一种有效防护，能够最大限度上将那些越过防火墙对电力企业信息安全网络及正常运行造成破坏的数据流进行完全性的屏蔽;物理隔离技术指的是在云计算环境下对于电力企业内外部网络实施的一种分割，这样能够有效的将内外部网络系统的连接状态完全阻断;

 

协议隔离技术指的是在云计算环境下利用网络配置隔离器对内外部网络进行的一种隔离，在协议隔离技术的支撑下，内外部网络是完全分离的一种状态，而唯有云计算环境下的电力企业信息进行相互交换的过程当中，内外部网络才能够通过协议由隔离的状态转变为正常连接状态。

 

4 结语

 

篇4

引言

随着计算机信息的不断发展，云计算作为计算机中的新兴技术，受到了诸多企业的认可与广泛的应用，但随着时代的发展，云计算环境中的信息安全也被众多相关人士的所重视，而电力企业将云计算技术应用于自身的管理系统中，能够在一定程度上提升自身信息管理的水平。但在提升的同时，也存在着一定的风险性。

1云计算概念解析

云计算的核心里面便是互联网为基础将众多的计算机组合成可以控制的资源体系，最后利用该资源体系完成众多的计算任务。因此就云计算的实质而言，其就是以Internet为基础的计算方法。云计算经过长时间的发展具备了服务弹性大、可扩展性强等诸多优势，但云计算在具备这些优势同时也具备了相关的信息安全问题。所谓的信息安全问题指的便是基于互联网而衍生出来的信息风险。其具体包括数据访问权限风险、传输、储存安全风险等等，而电力企业需要用云计算完成的任务具体有以下几个方面，用户个人信息管理、电力营销、电力数据仿真等等。

2云计算环境下电力信息安全问题简析

有关技术人员根据云计算服务性质的不同，将云计算分为了混合云、私有云、公有云三类，根据我国现代电力企业对于云计算的应用情况，发现其不仅仅涉及到了公有云，而且还包涉及到私有云。而在电力企业中电力私有云在一般情况下是指电力企业为了实现系统内整个IT架构的提升专门构建的云计算。电力企业的私有云较之于公有云而言，提升了一定的安全性与服务质量，但其还存在着较多的风险。

2.1边界模糊

所谓边界风险指的就是因为云计算本身就是以虚拟化构架为基础建造起来的，因此其不具备明确的安全边界，而且传统的安全区分系统很难满足云计算对于安全的需求。

2.2访问权限风险

访问权限在现阶段的云计算系统中，已被大量广泛采用，因为电力企业很大一部分业务系统都处于云中。因此如果不具备相关的身份识别方式，很多人都有可能接触到企业的机密信息，从而导致机密泄露问题的发生。

2.3数据的存储与传输的问题

现阶段很多电力企业信息都会在存储与传输的过程中受到攻击，在很多时候会造成企业机密信息的泄露。很多电力企业信息在存储时会收到代码的恶意攻击，因此电力企业数据的存储与传输的问题必须得到解决。

3云计算环境下电力信息安全策略简析

3.1边界防护技术的应用得到加强计算机安全策略

常见的应用类型便是边界防护功能技术，最为常见的便是防火墙技术、入侵检测系统等等。防护墙技术从本质而言就是一种屏障技术，一般由软硬件组合而成，应用的方面是内部网与外部网之间，具体而言防火墙技术由服务访问规则、数据验证相关工具、包过滤、应用网关，这四大件构成，只要是经过这四大构建的数据都会被严格的审核，审核通过后才会被放行，因此电力信息安全的云计算可以提升防火墙技术来完成对信息的保护，而入侵检测技术其实是一种安全警报技术，入侵检测技术在运行的时候能将准确地识别外来信息的入侵，并且向相关的管理人员发出警报，而且入侵检测系统技术能够将入侵的，信息进行统一的收集处理，并且加以分析，便于工作人员的管理。因此电力企业应当应用较为先进的入侵检测技术系统，便能够在极短时间来发现外来信息的入侵并及时的采取相应的措施，便能够有效的防止电力企业核心资料的泄漏[2]。

3.2完善身份认证体系

屏蔽端口是完善身份认证体系作为主要的一个环节，上文也提及电力信息安全的一个主要问题便是访问权限安全，只有完善身份认证体系才能更好的保护电力企业的机密信息，而完善身份认证体系可以很好的防止个人信息账号被盗问题的发生，在一般情况下，非法攻击或者黑客在对管理员账号进行窃取时，一般都会选择采用服务器的3389端口来进行界限的突破工作，因此电力企业的技术人员只有把流经此端口的计算信息进行彻底的屏蔽，才能实现对电力企业信息的保障。

3.3加强云服务器的安全防护

关于数据的储存以及传输的安全可以通过相应的加密软件来解决，或者电力企业的技术人员根据企业数据的实际情况将数据进行了分类加密。对于核心的数据进行高端加密软件和多层加密。对于普通的数据流进行了一般的加密，如此一来不仅仅节约了企业成本，还解决了数据的存储以及传输的安全的问题。而且电力企业该应该对云服务器的安全防护能力进行一定的加强，其主要的措施就是应用清马以及修补漏洞的方式来实现，电力企业的技术人员对系统的漏洞的检查力度进行一定的加强，对于发现的漏洞进行及时的解决，对于网页上的木马进行及时的查杀，并且统计归纳已经出现的漏洞以及木马，建立较为完善的病毒库，以便下一次更好的防止木马的入侵。

4结语

本文通过对云计算环境下电力信息安全问题的深入分析，并结合了云计算相关的概念，提出了云计算环境下电力信息安全的相关策略，对云计算环境下电力信息安全的各个方面进行了深入的研究分析，最后得出，云计算环境下的电力企业信息安全是保证电力企业实现良好发展的保障之一，因此必须得到重视。

参考文献

篇5

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2012） 20-0000-02

1 中小型企业网络安全

1.1 中小型企业网络安全概念。国际组织（ISO）对网络安全规定为在网络间进行数据处理系统建立是所采取的相应的安全技术，这些技术可以对网络进行时时监控和安全，并保证不让任何人使用的程序通过网络来进行计算机，并始终通过网络有效的保证计算机算硬件的安全，不通过网络泄露个人或者企业等单位的秘密。以此我们可以这样理解中小型企业网络安全为是通过采用各种高科技技术和一定的管理措施，使的中小企业网络系统能够进行正常运作，进而来保证中小企业网络数据的可用性、完整性和保密性。

1.2 中小型企业网络职能。一个安全的中小企业网络职能应该是具有一定的可靠性、可用性、完整性、保密性和真实性等的。中小企业网络的安全不仅要保护企业内部的计算机网络设备的安全和计算机网络系统安全，更重要的是要对企业数据安全的保护。所以对于一个中小型企业来说网络安全最终的职能就是保护企业重要的信息数据。

2 中小型企业信息网络安全的困惑

2.1 中小企业信息网络操作系统安全的困惑。中小型企业经常出现的困惑就是针对信息网络操作时出现的安全困惑，所谓中小型企业信息网络操作系统安全就是指通常是指进行信息网络操作系统的安全。操作系统的某一合法用户可任意运行一段程序来修改该用户拥有的文件访问控制信息，而操作系统无法区别这种修改是用户自己的合法操作还是计算机病毒的非法操作；另外，也没有什么一般的方法能够防止计算机病毒将信息通过共享客体从一个进程传送给另一个进程。为此，中小型企业认识到必须采取更强有力的访问控制手段，这就是强制访问控制。在强制访问控制中，系统对主体与客体都分配一个特殊的一般不能更改的安全属性，系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。中小型企业为某个目的而运行的程序，不能改变它自己及任何其它客体的安全属性，包括该用户自己拥有的客体。强制访问控制还可以阻止某个进程生成共享文件并通过这个共享文件向其它进程传递信息。目前来说中小型企业的信息网络操作系统多为Windows和UNIX操作系统，这些操作系统本身就有自身的网络安全漏洞，因为操作系统本身都是有后门的，而这些后门和安全漏洞都将存在重大的信息网络安全隐患，造成中小企业信息网络的安全困惑。所以这就要求在进行中小型企业信息网络系统安装时，不只要考虑到企业的自身需求，更多的时候要考虑到中小型企业的信息网络安全，不能因为系统的安装造成过大的中小型企业信息安全的困惑。

2.2 中小企业信息网络应用安全的困惑。现阶段我国的中小型企业网络安全应用仅网络系统就存在很大的安全隐患，系统、应用和数据的安全存在较大的风险。目前，实施的安全方案是基于当时的认识进行的，主要工作集中于网络安全，对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证，对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段，很容易被冒充；又如数据备份缺乏整体方案和制度规范，容易造成重要数据的丢失和泄露。当时的网络安全的基本是一种外部网络安全的概念，是基于这样一种信任模型的，即网络内部的用户都是可信的。在这种信任模型下，假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部，并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。针对外部网络安全，人们提出了内部网络安全的概念，它基于这样一种信任模型：所有的用户都是不可信的。在这种信任模型中，假设所有用户都可能对信息安全造成威胁，并且可以各种更加方便的手段对信息安全造成威胁，比如内部人员可以直接对重要的服务器进行操控从而破坏信息，或者从内部网络访问服务器，下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。美国联邦调查局（FBI）和计算机安全机构（CSI）等权威机构的研究也证明了这一点：超过80%的信息安全隐患是来自组织内部，这些隐患直接导致了信息被内部人员所窃取和破坏。信息系统的安全防范是一个动态过程，某公司缺乏相关的规章制度、技术规范，也没有选用有关的安全服务。不能充分发挥安全产品的效能。

2.3 中小企业信息网络管理安全的困惑。中小型企业信息网络管理方面存在的安全困惑主要包括了，中小型企业的内部管理人员们或者是员工们图方便省事，对自身的计算机不进行密码的设置，没用自己的用户口令，或者是有些管理者和员工设置的密码和口令过短或者是过于简单，这样就导致密码和口令很容易被破解，这样来当出现了信息网络的安全问题时，容易责任不清，并且很难一下就找到问题出现的计算机，因为整个公司都使用相同的用户名和口令，使得整体信息网络的管理出现严重的混乱，并且容易出现企业重要信息的泄密。进行中小型企业信息网络管理是信息网络安全的重要组成部分，是能保证中小型企业信息网络安全的重要组成部分，是可以对外来病毒进行防止的重要环节，是中小型企业内部信息网络不被入侵必须的部分。也是中小型企业信息网络暗中的管理困惑，是普遍中小型企业都会存在的困惑之一。

3 如何进行中小型企业信息网络安全的架构

3.1 中小型企业信息网络安全架构Internet的接入。中小型企业信息网络安全构架中Internet的接入，多是采用了PIX515作为外部边缘得防火墙设备，中小型企业内部的用户登录则是通过互联网时会经过NetEye防火墙，然后再由PIX映射到互联网。PIX与NetEye之间形成了DMZ映射区，这是一种需要进行提供互联网服务的邮件服务和Web服务器等防止在该DMZ区内。中小型企业进行此防火墙的安全策略步骤是：首先要从Internet上设置只能访问到DMZ内Web服务器的80端口和邮件服务器的25端口，其次，则是要从Internet和DMZ区设定出不能进行访问内部网任何资源，最后则是要从Internet进行访问内部网资源的时候只能通过VPN系统进行。

3.2 中小型企业信息网络安全架构用户的认证。中小型企业信息网络安全架构的用户认证系统主要就是用于解决通过电话进行拨号时出现的安全问题和通过VPN进行接入时出现的安全问题，信息网络安全架构的用户认证系统是目前为止运用最为完善的系统用户认证系统、访问控制系统和使用审计系统方面的功能来增强信息网络系统的安全性，并采用了目前为止最为高端的ACS用户认证系统。中小型企业的ERP系统一般采用C/S（客户机/服务器）体系结构，架构于企业内网Intranet上。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输；VPN还可用于不断增长的移动用户的全球互联网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路。在信息网络的主域服务器上安装Radius服务器，在Cisco拨号路由器和PIX防火墙上配置了Radius客户端。这样当任何人进行电话拨号和VPN用户身份认证时，就会在Radius的服务器上直接进行，这样一来用户账号就会集中的在主域服务器上进行开设。这样做就可以在系统中设置较为严格的用户访问策略和口令策略，能有效的强制使用用户进行定期的口令修改。

综上所述，中小型企业信息网络安全保障是开展其它一切业务往来与技术交流的关键，要想企业长足发展，必须重视信息网络安全的构建。