审计信息安全管理全文(5篇)

时间：2023-10-10 11:03:43

审计信息安全管理

第1篇：审计信息安全管理范文

关键词：城市轨道交通；综合监控系统；安全防护；三级等保

进入21世纪后，大型城市在城市空间结构的优化、城市交通拥挤状况的缓解、城市环境保护等诸多方面均面临着不少的挑战和难题，而城市轨道交通的高速发展为解决上述问题提供了一条有益的途径。但与城市轨道交通高速发展相伴而生的各种安全问题及安全风险也日渐突显。其中，综合监控系统集成和互联了轨道交通众多信息化系统，往往面临较之传统信息化系统更为严峻的网络安全问题。因此对于城市轨道交通综合监控系统的建设，要从系统规划、设计、实施、上线、生产、运维到废弃的整个漫长生命周期的各个阶段考虑网络安全问题，要在综合监控系统建设的同时，同步做好系统的信息安全建设工作。

1综合监控信息安全建设目标

综合监控系统的信息安全建设目标，应结合相应的政策法规、国家标准、行业成功经验及项目建设面临的实际安全风险出发。综合上述视角，要真正做到综合监控系统的网络安全，应按照《计算机信息系统安全保护等级划分准则》中相关要求，将等级保护建设的思路作为最佳实践，以组织制度保障结合有效的技术措施：建立健全综合监控系统的信息安全管理制度和信息安全管理机构，完善信息安全管理体制；建立综合监控系统信息安全纵深防御技术体系，从网络结构到内部流量行为、再到主机本体的全方位技术防护措施，提供三级等级保护要求的相应软硬件及完整的信息安全设计，从而保障综合监控系统平稳、安全、高效运行。

2基于三级等保的信息安全管理体系

根据GB／T22239－2008《信息安全技术信息系统安全等级保护基本要求》、GB／T22240－2008《信息安全技术信息系统安全等级保护定级指南》、GB／T28448－2012《信息安全技术信息系统安全等级保护测评要求》等相关标准，将等级保护分为技术和管理两大模块，其中技术部分包含：网络安全、主机安全、应用安全、数据安全及备份恢复、运维管理共五个方面；管理部分包含：安全管理机构、安全管理制度、人员安全管理、系统建设管理、物理环境管理五个方面。如图1所示。信息安全管理以多个子策略构成了三层结构的完备体系，采用自顶向下的树型结构，顶部把握原则方向等宏观层面，向下逐步过渡到具体措施等微观层面。在信息安全管理树型结构中，树顶代表了信息安全管理体系的最高纲领，是对整个安全管理体系的必要性、基本原则及宏观策略的阐述，以凝练的语言描述了信息安全在技术和管理两个方面的内容。树干部分代表了一系列的管理规定和技术规范，是对最高纲领的分解和进一步阐述，侧重于具体要求的实现方法及途径，并总结在技术和管理方面的共性问题，以更好的指导安全工作；树根部分代表了操作层面，基于树顶和树干的相关策略要求，在树根层面要与实际的网络和应用环境相结合，以闭环、动态作为基本的管理原则，编制具体的细则、流程，具备最直观的可操作性。

3综合监控安全防护技术方案设计

3．1防护总体思路

为满足综合监控系统信息安全防护建设中的若干需求，采用某品牌的工业防火墙、工业审计系统、入侵防御系统、工业漏扫系统、统一运维管理平台、数据库审计系统、工业监管平台系统等硬件设备及工业卫士软件产品分别在控制中心、车站、车辆段等节点及设备维护系统、仿真测试平台、培训系统等系统按需部署安全防护措施，达到等保合规并解决安全隐患的方案效果。根据需求背景和等保技术防护思想，通过技术手段实现的防护主要包含如下几个层面：1）安全区域边界：通过安全设备及网络设备合理划分安全域，实施访问控制及攻击防护满足等保中网络安全的部分要求；2）安全通信网络：通过旁路监听与智能分析技术，对系统的控制、采集请求，数据库存取、系统运维等关键行为进行审计，对攻击及时预警，满足等保中网络安全部分关于安全审计的相关要求；3）安全计算环境：通过符合工业特色的终端安全防护软件对综合监控系统中使用的计算终端进行保护，防止误中病毒等情况的出现，配合系统自身的安全性有关设计，满足等级保护中关于主机安全、应用安全及数据安全的相关需求；4）安全管理中心：通过综合的安全管理平台，实现对安全产品日志的统一采集、分析及主要防护设备的统一运维，形成综合监控系统中的安全运营中心，统一维护日常的信息安全防护，对安全事件的应急处置、攻击行为的发现提供技术支撑。

3．2安全区域边界

（1）控制中心边界防护在控制中心端，应划分为办公自动化系统互联区域、线网中心互联区域、培训系统区域、仿真测试系统区域、综合监控系统和子系统互联区域。根据所隔离区域间的流量特征和防护需求，办公自动化系统系统区域应采用具备访问控制功能的入侵防御系统进行隔离，其他区域间采用工业防火墙进行隔离。具体部署位置为包括：线网中心外部系统与中心综合监控连接处、前置通讯机与中心综合监控系统接口处、网管系统交换机上联处、仿真测试系统交换机上联处，如图2所示。（2）车站边界防护在车站端，应划分为综合监控系统内部区域和系统互联区域，根据所隔离区域间的流量特征和防护需求，区域间采用工业防火墙进行隔离，具体部署位置为通讯前置机与监控系统内网之间，如图3所示。（3）车辆段边界防护在车辆段，应划分为培训系统安全域、设备维护系统安全域、综合监控系统内部区域和系统互联区域，根据所隔离区域间的流量特征和防护需求，区域间采用工业防火墙进行隔离，具体部署位置为设备维护系统交换机上联处、培训系统交换机上联处、前置通讯机与监控系统内网之间，如图4所示。

3．3安全通信网络

（1）控制中心网络风险分析控制中心的安全通信网络保障通过工业审计系统和数据库审计系统的部署实现，工业审计通过旁路模式部署，通过交换机镜像流量方式获取数据源进行分析，根据业务需求，工业审计系统分别部署在控制中心主交换机、软件测试平台内部及网络管理系统内部，见图2。其中，部署在控制中心骨干网络的工业审计采用双机部署保障对风险的不间断识别；网络管理系统与软件测试平台安全域内部的工业审计采用单机部署。此外，数据库审计系统通过旁路部署的方式，部署在网络管理系统安全域内，通过该系统对数据库所面临的风险进行多方位的评估，还可以通过审计功能对数据库所有操作进行审计，提供事后追查机制。（2）车站网络风险分析车站的安全通信网络保障通过工业审计系统的部署实现，工业审计采用旁路模式部署，通过镜像流量进行分析，采用双机保障对风险的不间断识别，见图3。（3）车辆段网络风险分析车辆段的安全通信网络保障通过工业审计系统的部署实现，工业审计通过旁路模式部署，通过交换机镜像流量方式获取数据源进行分析，根据业务需求，工业审计系统分别部署在车辆段主交换机、培训系统内部及设备维护系统内部，见图4。其中，部署在车辆段主干网络的工业审计采用双机部署保障对风险的不间断识别；设备维护系统与培训系统安全域内部的工业审计采用单级部署。

3．4安全计算环境

在控制中心、车辆段及车站对工业终端及工业终端承载的应用业务、核心数据的防护通过在终端部署工业卫士软件实现，需要在控制中心、车辆段、车站的各类工作站、值班站、服务器上部署工业卫士。工业卫士采用轻量级的软件“白名单”机制，仅允许运行受信任的PE文件，完善相应的加固策略，提升安全级别，有效阻止病毒、木马等恶意软件的执行和被利用，实现工控主机从启动、加载、运行等过程全生命周期的安全保障。同时对USB端口等接口进行全面管控，U盘等未授权设备无法接入终端计算机，有效防范通过USB接口发起的高级攻击。综合监控系统在控制中心网络管理系统机房中设置了信息安全管理中心，可以利用其对全部信息安全设备进行整体而全面的管控。

3．5安全管理中心

安全管理中心在网络管理系统中部署，由工业监管平台，工业漏洞扫描系统、统一运维管理平台等系统组成。其中，工业监管平台（信息安全管理平台设备及软件）负责对日志的采集分析、对资产、风险的管理，对安全事件的处置分析和对主要安全设备、软件的统一运维。工业漏洞扫描系统通过定期扫描的形式发掘系统中存在的漏洞、问题。统一运维管理平台为运维堡垒机系统，对系统的运维操作进行审计和管理。

4结束语

本文针对综合监控系统进行了符合等级保护（三级）要求的建设方案设计。方案根据等级保护（三级）的要求设计了基于综合监控系统内生特性的安全防护体系，对控制中心、车站、车辆段、培训中心、网管中心、维护管理系统等从网络边界安全、网络通信安全、主机安全及综合安全运维方面，进行了合理的安全部署设计和安全服务咨询设想，为今后轨道交通综合监控项目安全防护建设提供了参考。

参考文献

［1］青岚昊．城市轨道交通信息网络安全设计［J］．铁路通信信号工程技术，2011（4）：53－55，64

［2］阿曼江•阿不都外力．计算机网络信息安全及其防护措施［J］．新疆职业大学学报，2012（3）：70－72

［3］于力．防火墙与计算机安全研究［J］．软件导刊，2010（2）：127－129

第2篇：审计信息安全管理范文

关键词:安全审计系统;网络安全管理;措施

互联网时代信息技术虽然使人们的生活更加便捷，却带来了网络安全问题。尽管网络外部检测技术和防御系统已经持续建设，在某种程度抵御外部网络的入侵，保护网络数据信息的安全，但是内部网络的违规操作、非法访问等造成的网络安全问题在外部网络的防御措施得不到有效解决。因此可以利用安全审计系统进行网络安全管理，检测访问网络内部系统的用户，监控其网络行为，记录其异常网络行为，针对记录结果解决网络安全问题，对网络安全隐患的评判具有重要作用。本文主要介绍安全审计系统以及作用，阐述其在网络安全管理的必要性以及实际应用。

1网络安全管理的安全审计系统

1.1安全审计系统的组成

①事件产生器；②事件数据库；③事件分析器；④响应单元。事件产生器的作用：将单位网络获得的事件提供给网络安全审计系统；事件分析器的作用：详细地分析所得到的数据；事件响应单元的作用：根据时间分析器得到的分析结果做出相应的反映；事件数据库的作用：保存时间分析器得到的分析结果。

1.2安全审计系统的要求

1.2.1记录与再现记录安全审计系统中全部违规操作、非法行为，再现系统某种状态的主要行为。1.2.2入侵检测审计系统检查出大多数常见的系统入侵的意图，设计相应程序阻止入侵行为。1.2.3记录入侵行为审计系统记录所有的入侵企图，对于成功入侵用户，可以根据入侵记录恢复系统。1.2.4系统本身的安全性安全审计系统必须保证自身系统操作系统和软件安全以及审计数据安全才可以发挥其在网络安全管理的作用。

2网络安全审计的必要性

2.1提高企业数据安全管理绩效

高新科技技术已经渗透到社会方方面面，有利也有弊，其中企业来说，网络信息安全的问题频频出现，这对于企业网络运营和实际经营造成很大的冲击、带来经济损失。防火墙、防病毒软件、反入侵系统虽然可以解决部分内部用户的非法违规网络行为导致的网络信息安全问题，某种程度也保障了网络信息安全。网络信息外部的防卫无法抵御内部用户在没有网络监管时对网络内部的不合法操作，网络外部的安全防卫措施无法解决网络内部出现的故障。所以企业网络要正常运营、企业经营要得到持续发展，必须要建立企业内部的安全审计系统，对内部用户访问网络系统进行严格监控和审计，有必要时可以采取相应措施惩戒造成网络安全问题的人员，让网络信息安全事件不再发生。

2.2提高网络信息安全性

（1）安全审计系统采取访问控制手段对网络信息进行安全审计和监控，从而提高网络信息安全；（2）对网络信息加密实现网络信息安全审计的目的，实现网络数据私有，做到网络安全管理，为了提高网络信息安全水平要经常维护与检查安全日志；（3）安全审计网络中传输的信息，监控网络操作行为，提高网络信息安全性，提供社会组织的网络化行为安全性保障。

3安全审计系统在网络安全管理的应用

安全审计系统和基础网络病毒防护产品相互结合，共同保护网络的整体安全。企业传统的网络安全体系建设只注重网络边界的安全，重点建设针对外部网络向企业内网攻击的防护措施，没有考虑到内网自身存在的安全隐患，企业的网络信息安全无法得到有效保障。因此，借助安全审计系统对企业网络安全进行审计和评估，实现企业网络的全面安全监督。随着互联网科技快速发展，银行金融行业处于信息化时代，信息化推动银行智能化发展，银行网络信息安全对银行安全稳定发展非常重要，如银行数据集中处理有风险、网络金融服务容易受到黑客、病毒攻击等。由于银行涉及到金钱等财务利益上的交易，而且银行作为信息化时代以客户为主导的服务行业，必须严格地对客户信息进行保密，保障客户信息安全。不仅银行关系到国计民生、对社会经济发展也具有重要意义，所以控制银行信息化风险的最有效方法就是建立银行网络信息安全审计系统。网络的广泛应用给教育行业带来很大便利，目前很多高校和发达地区中小学都建立自己的校园网，但是网络问题作为信息化水平发展的附属品，给校园网安全管理造成很大困扰。虽然校园网已经加大网络外部病毒防御系统建设，但是网络内部检测和审计更需要引起重视，为了减少网络有害信息和侵权行为，规范师生上网行为，维护校园网安全稳定运行，非常有必要建立校园网络安全审计系统。

4结语

本文详细介绍了网络安全管理的安全审计系统以及功能，并且阐述了网络安全审计的必要性，安全审计系统的使用，使网络监控力度大大加强，让网络监控效率得到显著提高，为信息化建设提供了良好的保障。

参考文献

[1]付晓坤.网络安全审计技术的运用[J].中国水运,2013(09):50-51.

[2]张文颖.探讨网络安全中安全审计与监控系统的设计与实现[J].电脑知识与技术,2013(16):3738.

[3]伍闽敏.建设企业计算机网络安全审计系统的必要性及其技术要求[J].信息安全与技术,2011(12):34-36.

第3篇：审计信息安全管理范文

关键词：电力企业；信息安全；企业管理策略

0引言

电力是国民经济的命脉，对社会生产生活起着积极地推动作用。随着信息技术的不断发展，电力企业的信息化水平得到提高，一定程度上提高了电力企业的生产经营效率、管理水平以及市场竞争力。但是，信息的收集处理、交换传输以及共享等离不开互联网技术的支持，而互联网本身存在很大的自由性和不确定性，对电力企业信息安全造成巨大威胁。同时也为一些不法分子提供了可乘之机，使得其通过窃取或篡改重要的信息数据，以获取经济利益或达到破坏电力系统正常运行的目的。因此，为了保证电力系统正常运行，加强电力企业信息系统管理力度很有必要，也有助于推动电力企业信息化进一步发展。

1电力企业信息安全管理内容

电力企业信息安全管理主要包括安全策略、风险管理和安全教育三方面，其中安全策略属于电力企业信息安全管理的最高方针，在制定安全策略时需要电力企业根据自身的发展规模、安全需求、业务特点等综合考虑，最终确保形成的书面材料通俗易懂、简单明了，便于信息安全管理人员实施操作；风险管理属于电力企业信息安全管理的对策建议，主要是对影响信息安全的风险因素进行识别、评估和防控，可以事先假定存在某方面的风险，然后通过有效规避风险、合理转嫁风险、科学降低风险和适度接受风险等手段来尽量降低信息风险给企业带来的经济损失；安全教育的目的是确保信息安全管理的有效执行，可以通过信息安全培训的方式直接对企业信息安全管理人员进行信息安全教育，使其了解信息安全管理策略，掌握信息风险防控对策，将信息安全管理的内容内化于心、外化于形，同时将信息安全管理纳入企业文化建设当中。

2电力企业信息化发展特征

2.1基础设施建设完善

电力企业经过多年的信息化发展，与传统的其他行业相比，信息化建设水平相对较高，计算机普及率高达100%，局域网覆盖率达到90%以上，从管理人员到一线具体操作人员均对计算机技术有所了解和掌握。

2.2自动化系统建设成熟

信息技术在电力企业日常生产经营活动中的广泛应用，使得生产自动化系统建设较为成熟，极大地提高了生产效率。目前多数电力企业采用更为先进的SCADA系统，电网三级调度也完全实现了自动化目标，成为引领全球电力调度的航标。

2.3营销管理系统完善

尽管电力行业属于国家的民生工程，享受国家的补贴政策，但仍然需要面对市场的残酷竞争，信息技术与营销管理系统的有机融合，进一步完善了营销管理系统，实现了用电管理、业务受理、客户服务等信息化，为电力企业开展营销活动注入了新的活力。

2.4管理信息系统建设稳步推进

电力企业在管理信息系统建设过程中，相继开发出满足生产、营销、设备、安全等管理要求的各种信息系统，实现了各个层面上的管理系统信息化建设，改善了企业工作环境，推动了企业现代化发展。

3电力企业信息安全管理存在的问题

3.1机构设置不完善

当前很多电力企业的领导层都没有对信息安全管理引起足够的重视，在机构建置上没有设置专门的信息安全管理部门和科学合理的信息安全管理岗位，缺乏专业技能良好、综合素质较高的复合型管理人才，更没有严格的管理制度保障信息安全管理工作的顺利开展。即使有些电力企业设置了信息安全管理部门，但也被规划进科技部或总经理部门下管理，工作缺乏独立性，不利于与企业的其他部门进行协作配合，严重影响电力企业信息化建设。

3.2管理地位不高

电力企业信息贯穿于生产、经营、管理的全过程，涉及的内容点多面广，对互联网技术依赖程度不断增强。但信息安全管理没有纳入企业文化建设中，只是作为一种长期管理、经营过程中形成的特定安全文化独立于企业文化之外，与企业文化是一种附属关系，而不是将信息安全管理看作是企业文化的重要组成部分，这样就降低了信息安全管理的地位，影响了信息安全管理的实施力度，阻碍了电力企业信息化发展。

3.3管理水平偏低

多数电力企业的管理水平较低，管理工作流于形式，工作成效偏低，跟不上自身信息化建设的进程，导致信息系统不能有效发挥应有的作用。虽然部分电力企业在推进信息化建设中引入了先进的管理系统与业务系统，但由于管理模式滞后，开展的管理活动缺少深度，实效性不强，严重影响对信息化管理的及时优化和革新，使得信息系统的使用效果欠佳。

3.4信息安全存在风险

（1）网络结构不合理：虽然电力企业内网和外网之间采用物理隔离，但交换机设置很多企业使用一台二层交换机，结构存在明显缺陷，导致网络中所有用户地位平等，容易出现安全问题。（2）企业内部风险：专业技术人员对网络信息结构与系统应用较为热悉，一旦因网络管理人员私心作祟将重要信息泄漏，将给企业造成致命的信息安全威胁。（3）计算机病毒：计算机病毒具有扩散速度快、侵袭范围广的特点，一旦计算机感染网络病毒，轻则导致数据被窃取或篡改，重则导致整个电力网络系统崩溃。（4）互联网自身开发风险：电力企业网络信息系统是以互联网为基础的，而互联网自身的开放特点使得客户可以直接访问电力企业内部的网络资源，这样在为客户提供方便的同时，也给电力企业带来信息安全和计算软硬件安全风险。（5）系统本身的安全风险：操作系统、数据库系统、各种应用软件系统等均存在一定的风险，很容易遭受黑客恶意攻击。

4电力企业信息安全管理策略

4.1完善组织架构

电力企业信息安全管理实行统一领导、分级管理原则，领导小组由决策层组成，管理层由各部门管理者组成，包括信息安全的规划、监督审计、运行保障等各职能部门，实施专业化管理。同时构建信息安全管理体系框架，包括信息安全的策略、运行、管理和技术措施四个模块。

4.2做好安全规划

电力企业需要根据自身实际情况，从系统角度和网络安全特点出发优先做好信息安全规划工作，对网络信息安全从整体上进行综合考虑和规划，也可以参照一些国外的通行标准构建信息安全管理体系，以达到防范网络安全问题的目的。同时电力企业信息安全实行双网双机管理，内外网之间采用物理隔离，应结合实际情况合理规划内网安全域，通常划分为一般防范区域和重点防范区域，其中重点防范区域属于电力企业信息安全的内部核心，必须实施重点安全防范，因此设置的访问级别较高，用户访问受权限限制，未经许可用户无法进入，目的是防止不法分子侵入系统。安全区域运行OA系统、应用系统等与核心数据相关的重要数据，以保证数据信息安全。

4.3强化安全管理

（1）加强日常安全审计：入侵检测系统均具有审计功能，能够对病毒攻击或不法分子入侵及时启动警报系统，将计算机自动从局域网中隔离，尽可能降低安全隐患问题。因此应当将安全审计工作落实到位，在加强网络日志管理的同时做好审计数据的保存，以确保审计数据真实、全面、可靠，促使系统安全运行。另外，未经授权不得私自更改或删除审计记录。（2）构建病毒防护体系：安装的防病毒软件必须具有远程安装、远程报警、集中管理等特点，同时建立防病毒管理制度，严禁将来历不明的存储设备或随意从互联网上下载的数据接入联网计算机，一旦发现病毒应及时进行处理。（3）信息安全保障举措：根据信息安全分级保护等级落实好“分级、分区、分域”的信息安全防护策略，严格保密核心程序和数据，有效落实信息安全防护预案，实施强逻辑隔离措施，做好安全区域的隔离和划分工作。（4）建立网络入侵保护系统IPS：IPS是一种快速主动的防御体系，能够阻止恶意数据侵入电力系统，提升电力企业网络信息安全管理指标。与常规的防火墙相比，IPS的安全防御功能更加完善，不仅可以对网络恶意数据流量进行数据安全检测，及时消除隐患，还能提供网络虚拟补丁，起到预先拦截黑客攻击或网络病毒传播的作用，以保证电力企业信息系统免受损害。（5）加大对信息安全管理的投入：对新建信息安全系统要做到对设备和部件进行严格检查，明确要求供应商提供相应的安检报告，确保信息安全系统符合标准；对已使用信息安全系统要做到对设备和部件进行定期检查，确保信息安全系统有效开展防护工作。

4.4提升信息安全管理意识

（1）高度重视信息安全管理工作：信息安全问题已经成为制约电力企业发展的瓶颈，领导层应不断提升信息安全管理意识，高度重视信息安全管理工作，结合企业实际情况成立信息安全领导小组，组织所有员工进行信息系统安全运行管理培训，让其了解信息安全管理目标，掌握信息安全评估方法，提高信息安全管理技能，在企业内部形成良好的信息安全管理氛围。（2）建立健全信息安全管理制度：完善的信息安全管理制度应明确相关负责人的工作职责和权限，落实信息安全管理工作责任到人，定期开展信息安全管理工作督导检查，对发现的问题要求及时进行整改，对相关的责任人按规定进行严肃处理，以确保信息安全管理制度的严肃性、强制性、权威性和可执行性。同时也使工作人员在具体操作时，有章可循、有法可依、更加规范，从而避免因操作失误带来的信息安全问题。（3）建立信息安全应急保障机制和不同信息安全风险的预警机制：电力企业信息安全问题较为严重，信息风险无处不在，建立信息安全应急保障机制和不同信息安全风险的预警机制是确保信息系统安全、稳定运行的重要保障，尤其需要加强信息系统的容灾建设、数据保存备份和恢复管理制度建设。

5结论

总之，信息贯穿于电力企业各项工作中，信息安全与生产、经营、管理密不可分，不论是硬件还是软件出现问题都会威胁整个网络系统安全，因此必须在电力企业信息化建设的过程中强化信息安全管理，确保信息系统安全、稳定、可靠、高效运行，帮助电力企业创造更大的经济效益和社会效益，谋求更长远的发展。

参考文献：

[1]郑玉山.电力企业网络和信息安全管理策略思考[J].网络安全技术与应用，2017（6）：121+123.

[2]杨艳辉.浅析电力企业网络信息安全管理[J].工程建设与设计，2016（14）：170-171.

[3]何江南.电力企业信息网络安全问题及对策分析[J].中国新通信，2015，17（7）：63.

第4篇：审计信息安全管理范文

网络会计是基于会计核算网络化的思想，基于电子商务时代集约化发展趋势，打破传统的分散式管理模式，构建标准统一、核算规范、程序合规、交易完善、数据一体化、自动灵活生成报表的电子商务核算平台。在电子商务时代，影响网络会计信息安全的因素很多，网络会计面对的安全挑战主要来自4个方面。

1.1管理缺失

科学有效的管理在保障网络会计信息安全过程中起主导作用。管理因素主要是人的影响，比如操作人员故意、未经授权篡改数据或者不按操作规程操作，都会直接影响原始会计信息的准确性、真实性和可靠性；又如操作人员设置过于简单的验证密码，导致会计系统易被非法入侵。

1.2网络及硬件故障

硬件故障包括电源、输入/输出设备、内存、硬盘等，比如，存储信息的磁盘损毁或系统突然掉电无备份电源接入，都会造成灾难性事故。

1.3软件系统不完善

随着大数据应用的深入，人们对信息系统高度依赖，要求会计软件系统必须具有高度的稳定性和安全性，然而，程序本身设计存在的问题或需求不断更新，导致会计软件系统出现适应性和兼容性弱等问题，都会影响到会计数据的完整性和实用性。

1.4信息失真

由于互联网的开放性，病毒、木马、黑客程序等在网络肆虐，造成系统内敏感或重要信息在传输和使用过程中被泄漏或恶意修改，存在重大安全隐患。信息安全靠的是“三分技术，七分管理”，管理是信息安全的重中之重，是网络会计系统有效实施的关键。只有通过高效的管理，大量的信息才能被合理组织和运用，发挥其最大效用。

2电子商务环境下的会计信息系统安全策略

在电子商务环境下，会计岗位需要重新划分成数据录入员、审核员、分析员、档案管理员、系统管理员和维护员等，各岗位之间相互关联、相互监督。会计系统涵盖企业的关键数据，由于会计信息的特殊性和敏感性，势必会成为各类攻击的重点。会计信息的安全与会计信息系统互为条件也互为因果，必须做到同时规划，有条件时做到同时建设。

2.1原始数据来源安全策略

虽然经过了多年的探索和实践，会计原始数据的采集已实现基本标准化，并且通过公式、定义等方式存储，但由于各种主客观原因造成信息源不准确，信息处理、输出、共享等流程产生错误，都会对后续工作产生不利影响，因此，应该针对信息源头增加识别和审计功能，以防错误或虚假信息进入会计信息系统中。在电子商务环境下，会计信息源来自商务交易主体的内部和外部。会计原始数据量巨大，要保证初始数据准确无误地采集，不仅需要先进的计算机技术和安全措施作支撑，还需要依托正在逐步建立的全社会的诚信系统来维护，以最大限度地从源头减少虚假错误的会计信息，保证原始数据项来源的唯一性和准确性。

2.2基础信息录入安全策略

在确定数据来源正确无误后，信息数据录入是一项重要的基础工作，直接影响到后续流程和输出。在电子商务环境下，从信息源获取的数据途径包括两种，一种是通过客户端（或录入页面）直接输入，另一种是通过其他系统同步到服务器数据库。键盘录入在技术上（例如数据格式、转换和比对等）要保证输入正确，防止信息的泄露，那么就需要对录入人员进行专门培训和监督。实践证明，执行录入工作的操作人员的素质很重要，需要通过制定严格、完善的信息安全管理制度，有效地监督和管理操作人员。会计信息系统中还必须包含监控模块或子系统，对信息的输入进行控制和管理。

2.3信息处理过程安全策略

数据处理是网络会计管理系统的核心。在数据处理期间，内部网络封闭运行，不连接与业务无关的系统和设备。该过程的安全隐患大部分来自黑客攻击和系统开发的漏洞，需要在信息处理全过程进行全程跟踪监控，根据业务需求不同进行有层次的授权和加密，对大额业务往来进行提示，同时建立严格的复核制度，保证数据准确完整。

2.4信息输出安全策略

信息输出对象可能是组织集团或者是具体的相关责任人，也可能是会计信息系统的数据库；输出数据可能涉及公司重要敏感信息甚至是商业秘密，必须有针对性地对输出信息进行内容审计，以防止或追查可能的泄密行为。信息审计系统的使用，可以对输出的信息进行审计并采用严格的规章制度加以规范。

2.5数据存储安全策略

数据存储安全威胁主要来自黑客的威胁以及计算机病毒或木马对数据的破坏或窃取。除在技术上利用网络杀毒软件进行防护外，针对存储部分的操作必须具备日志功能，同时需要建立相应的管理制度，严格管理具有权限的操作人员，尽可能保证输出信息的安全。在电子商务环境下，企业管理各环节高效协同办公，会计信息利用互联网进行传输，单据、票证等数字信息通过在线传递完成整个商务活动。随着科技的不断进步，网络信息安全变得尤为重要，一旦发生信息安全问题，企业将遭受无法估量的损失。

3网络会计信息安全保障体系框架

按照计算机信息安全管理规范，网络会计信息安全保障体系包括：网络会计信息安全管理体系、网络会计信息安全技术体系和网络会计信息安全运行体系三大部分。其中，安全管理体系明确了信息安全的方针和目标，以及完成这些目标所用的方法；安全技术体系是信息安全工作开展的有力支撑，指明了信息安全建设过程中所需的技术手段，主要包括信息安全产品和工具；信息安全运行体系阐示了日常信息安全工作的主要过程和内容，是信息安全规范要求和控制措施的具体落实，主要包括日常信息安全管理行为和安全管理中心。

3.1网络会计信息安全管理体系

网络会计信息安全管理体系含括了在电子商务会计活动中建立信息安全方针、原则和目标，以及完成这些目标所用的方法。信息安全不单是指网络安全，还包括业务信息安全、人员安全、组织安全等众多方面的内容。建立网络会计信息安全管理体系，首先应该建立管理机构，明确各部门任务，并在管理机构的领导下，建立信息安全管理制度和保障制度落实的可操作的工作机制，界定相关安全责任，并在实际工作中进行监督和考核。信息安全管理体系提倡在行为规范上严格要求。企业应致力于培养出一批具有标准意识、思维和行为方式，具有信息安全管理知识与技能的网络会计人员，避免发生重大事故。表面上看，建立安全规则对网络会计人员多了一道约束，而事实上是对网络会计人员的保护，许多大事故往往是由小失误累积而成的。

3.2网络会计信息安全技术体系

网络会计信息安全技术体系是落实安全管理和运行的核心，企业可以利用各种可靠的安全技术、产品和防护工具，分别从物理层、网络层、系统层和应用层进行防护，具体防护手段主要包括系统身份认证、访问控制、审计和数据备份恢复等。3.3网络会计信息安全运行体系多年的实践表明，以往“重建设轻运行维护”的思路会给信息系统造成灾难式的后果。在网络会计信息系统的生命周期中，信息安全事件大量发生在运行阶段，通过建立、健全安全运行管理中心，形成有效的安全运行维护体系，企业最终可以实现动态的、系统化的、制度化的信息安全管理。电子商务环境下，网络会计信息系统的可靠安全运行是保障其完成使命的关键所在。

4结论

第5篇：审计信息安全管理范文