作者根據(jù)從事社會(huì)保險(xiǎn)信息系統(tǒng)規(guī)劃�����、設(shè)計(jì)和運(yùn)維的多年經(jīng)驗(yàn)�����,將生產(chǎn)區(qū)安全的重要性和相關(guān)問題提煉出來并進(jìn)行了專門的論述����,其中包括怎樣避免因?qū)υO(shè)備、網(wǎng)絡(luò)���、軟件等規(guī)劃不當(dāng)����,可能造成的生產(chǎn)區(qū)數(shù)據(jù)安全問題�����,并對(duì)如何著手建立和維護(hù)數(shù)據(jù)安全機(jī)制和法規(guī)遵從等方面的內(nèi)容也進(jìn)行了獨(dú)特的論述�。
一、 核心數(shù)據(jù)系統(tǒng)威脅越來越重
在考慮信息系統(tǒng)安全問題時(shí)���,人們往往更多關(guān)注的是涉及因特網(wǎng)接入后所帶來威脅���,而這只是整個(gè)信息系統(tǒng)安全的一個(gè)重要方面,通常�,在一般數(shù)據(jù)大集中的系統(tǒng)中,通常將系統(tǒng)分為幾個(gè)區(qū)域��,例如生產(chǎn)區(qū)�����、交換區(qū)、決策區(qū)等���,其中,生產(chǎn)區(qū)是必不可少而且是最重要的區(qū)域���,它所包括的是一個(gè)系統(tǒng)的主機(jī)及存儲(chǔ)系統(tǒng)��、核心數(shù)據(jù)庫系統(tǒng)��、核心網(wǎng)絡(luò)交換系統(tǒng)���、數(shù)據(jù)備份系統(tǒng)等,是信息系統(tǒng)的核心和最重要的部分���。
生產(chǎn)系統(tǒng)終端設(shè)備的使用者�����,主要是單位內(nèi)直接進(jìn)行業(yè)務(wù)操作的內(nèi)部工作人員���,而生產(chǎn)系統(tǒng)網(wǎng)絡(luò)的構(gòu)建,大都是以專線或VPN形式構(gòu)成的內(nèi)部網(wǎng)絡(luò)�,這些網(wǎng)絡(luò)因不與外部構(gòu)成直接連接���,所以稱為內(nèi)網(wǎng)。同時(shí)�����,在生產(chǎn)系統(tǒng)中運(yùn)行的程序�,通常也是最核心和最重要的程序,是在一個(gè)單位或部門進(jìn)行的主要業(yè)務(wù)操作�����,因此��,生產(chǎn)區(qū)的安全性高于體系結(jié)構(gòu)中其它的區(qū)域��,是需要予以最關(guān)注的部分���。生產(chǎn)區(qū)安全包括數(shù)據(jù)����、應(yīng)用軟件和Web服務(wù)���、網(wǎng)絡(luò)周邊和法規(guī)遵從等多方面內(nèi)容�,具有較高的復(fù)雜性和管理難度。
二�、 生產(chǎn)區(qū)內(nèi)主要的安全問題和面臨威脅的甄別
1、數(shù)據(jù)庫系統(tǒng)
數(shù)據(jù)庫所面臨的威脅有:數(shù)據(jù)管理方式和管理流程編制不得當(dāng)�,造成數(shù)據(jù)不準(zhǔn)和修改錯(cuò)誤,過多的采用了直接數(shù)據(jù)庫操作而非程序操作�,沒有做好修改日志記錄或日志遭破壞,對(duì)后臺(tái)數(shù)據(jù)庫沒有通過權(quán)限進(jìn)行有效控制����,與其他單位進(jìn)行數(shù)據(jù)交換時(shí)數(shù)據(jù)遭到損壞���,對(duì)數(shù)據(jù)庫的監(jiān)控不利��,數(shù)據(jù)庫沒有得到優(yōu)化���,DBA權(quán)限得不到應(yīng)有的限制等。
2��、主機(jī)和存儲(chǔ)系統(tǒng)
主機(jī)�、存儲(chǔ)系統(tǒng)如果設(shè)計(jì)能力和容量較低,在使用中會(huì)發(fā)生響應(yīng)遲緩��,存儲(chǔ)容量不足�,如規(guī)劃�����、設(shè)計(jì)能力和容量過高���,則會(huì)造成初始投資過大,資源浪費(fèi)等���,因此必須考慮周全����。主機(jī)的雙機(jī)或集群�,存儲(chǔ)設(shè)備通道和磁盤以RAID形式冗余配置,對(duì)于一個(gè)信息系統(tǒng)的可用性和數(shù)據(jù)保護(hù)�����,都是十分重要的�����。面前敏感數(shù)據(jù)存儲(chǔ)系統(tǒng)多采用SAN網(wǎng)絡(luò)����,SAN交換機(jī)的雙機(jī)冗余配置對(duì)數(shù)據(jù)保護(hù)也是必要的���。
3、應(yīng)用程序
當(dāng)應(yīng)用軟件存在嚴(yán)重漏洞���、對(duì)關(guān)鍵字段控制不嚴(yán)����,以及對(duì)一些誤操作沒有編寫有完好的識(shí)別��、診斷和處理程序時(shí)�,都可能導(dǎo)致程序崩潰或垃圾數(shù)據(jù)的產(chǎn)生�����。有些權(quán)限控制功能嵌套在應(yīng)用程序中�,處理不好時(shí)很可能造成先以低權(quán)限的用戶登錄后,再通過嵌套調(diào)用獲得更高級(jí)別操作權(quán)限����,所以應(yīng)用程序?qū)?shù)據(jù)安全的影響十分重大。
4����、內(nèi)部網(wǎng)絡(luò)和邊界防護(hù)
在集中式數(shù)據(jù)庫應(yīng)用過程中�����,保證網(wǎng)絡(luò)的良好運(yùn)轉(zhuǎn)�����,是保證業(yè)務(wù)正常運(yùn)轉(zhuǎn)的重要環(huán)節(jié)之一�,路由�、交換設(shè)備的能力不足或調(diào)試不當(dāng),IP地址規(guī)劃設(shè)置不合理���,都會(huì)引起數(shù)據(jù)傳輸受阻或引發(fā)網(wǎng)絡(luò)安全問題�����,而網(wǎng)絡(luò)的安全又直接影響到數(shù)據(jù)安全�。病毒的傳播��、黑客的攻擊����,都可能通過沒有設(shè)置很好邊界防護(hù)的網(wǎng)絡(luò)進(jìn)行。即使設(shè)置有很好的網(wǎng)絡(luò)邊界防護(hù),從網(wǎng)絡(luò)的威脅還可能來自內(nèi)部人員直接通過內(nèi)部網(wǎng)絡(luò)的惡意破壞或職務(wù)犯罪���,因此來自網(wǎng)絡(luò)的威脅是多方面的�����。
5�、數(shù)據(jù)備份和災(zāi)難恢復(fù)系統(tǒng)
完整和及時(shí)的數(shù)據(jù)備份是當(dāng)遇有事故發(fā)生后拯救數(shù)據(jù)的最關(guān)鍵手段�,因此也是保證數(shù)據(jù)安全的重要環(huán)節(jié)。對(duì)數(shù)據(jù)備份重視不夠�����,數(shù)據(jù)備份設(shè)備不完好�����,不經(jīng)常檢查和定期更新數(shù)據(jù)備份介質(zhì)�����,都可能產(chǎn)出無效的數(shù)據(jù)備份����,使之在關(guān)鍵時(shí)刻用不上����。
從制度措施上來說�����,對(duì)數(shù)據(jù)庫數(shù)據(jù)備份沒有健全的規(guī)章制度����,數(shù)據(jù)備份策略制定的不合理�,沒有對(duì)數(shù)據(jù)備份介質(zhì)進(jìn)行可靠的存放,也會(huì)給數(shù)據(jù)安全帶來隱患�����。另外���,對(duì)于重要部門而且要求實(shí)時(shí)性高的數(shù)據(jù)中心��,若沒有建立相關(guān)的災(zāi)難恢復(fù)系統(tǒng)�,其數(shù)據(jù)安全等級(jí)也會(huì)受到相應(yīng)的影響��。
6�����、監(jiān)控及輔助系統(tǒng)
對(duì)數(shù)據(jù)庫、主機(jī)���、存儲(chǔ)�、數(shù)據(jù)備份等系統(tǒng)沒有實(shí)施有效監(jiān)控�����,并適時(shí)調(diào)配相關(guān)參數(shù)��,不但會(huì)使整個(gè)系統(tǒng)在工作中效能低下����,同時(shí)還會(huì)造成數(shù)據(jù)安全隱患。對(duì)網(wǎng)絡(luò)�����、防火墻��、入侵檢測(cè)系統(tǒng)監(jiān)控不當(dāng)�����,同樣也會(huì)使系統(tǒng)受到安全威脅�。
輔助設(shè)備,包括維持機(jī)房設(shè)備正常工作的電力設(shè)施�、不間斷電源、空調(diào)等�����,若規(guī)劃設(shè)計(jì)不合理�,參數(shù)調(diào)配不好或得不到有效的維護(hù),也會(huì)間接對(duì)數(shù)據(jù)安全構(gòu)成威脅����。
三、 解決生產(chǎn)區(qū)數(shù)據(jù)安全問題的方法
1����、數(shù)據(jù)庫及應(yīng)用程序的安全保證
在保障數(shù)據(jù)庫和應(yīng)用程序的安全方面,應(yīng)采用相關(guān)數(shù)據(jù)存到同一用戶����,相關(guān)用戶對(duì)應(yīng)于相應(yīng)表空間,執(zhí)行統(tǒng)一的安全管理規(guī)定����,口令定期更改的原則�����。針對(duì)數(shù)據(jù)庫DBA的權(quán)限過高的特點(diǎn)��,除對(duì)其有所限制外�����,還可采取多人按職責(zé)分類監(jiān)管的措施����,有針對(duì)性的加強(qiáng)對(duì)其操作的審計(jì)���,并特別針對(duì)這部分有價(jià)值日志進(jìn)行保護(hù)��。
在一些生產(chǎn)系統(tǒng)中���,權(quán)限的設(shè)置和安全控制都主要依賴于應(yīng)用程序,特別是在將權(quán)限控制功能嵌套在應(yīng)用程序中的系統(tǒng)����,應(yīng)采用權(quán)限管理以功能模塊為單位的策略,對(duì)應(yīng)用程序的調(diào)用過程����,應(yīng)有專人進(jìn)行研究、測(cè)試及審核��,發(fā)現(xiàn)問題及時(shí)更改��。對(duì)所建立賬戶��、密碼在應(yīng)用程序中的加密算法及核對(duì)過程也應(yīng)進(jìn)行研究和控制�。
2�����、主機(jī)和存儲(chǔ)系統(tǒng)的安全保障措施
在重要數(shù)據(jù)管理系統(tǒng)中�,為保證業(yè)務(wù)的連續(xù)性和數(shù)據(jù)安全�,系統(tǒng)數(shù)據(jù)庫主機(jī)應(yīng)配備雙機(jī)系統(tǒng),采用集群或主���、備形式進(jìn)行搭配��。在存儲(chǔ)以及主機(jī)與存儲(chǔ)的連接設(shè)計(jì)上����,應(yīng)采用了雙通道卡���、雙光纖交換機(jī)的設(shè)置����,以使其可靠性更高。
3�、確保數(shù)據(jù)備份的可靠性和可用性
因?yàn)閿?shù)據(jù)備份對(duì)保證數(shù)據(jù)安全非常重要,所以要制定好備份策略���,例如可采用日增量�、周全備等方式進(jìn)行備份策略的安排��。另外��,在采用傳統(tǒng)磁帶庫設(shè)備進(jìn)行備份的同時(shí)�����,還可在每日夜間進(jìn)行一次數(shù)據(jù)下卸�,第二天由存儲(chǔ)陣列導(dǎo)入活動(dòng)硬盤中,相當(dāng)于每日增加了一個(gè)全備份����,而該備份又不同于磁帶,這種雙重備份形式可使數(shù)據(jù)備份及保存更為可靠�����。
對(duì)重要數(shù)據(jù)備份介質(zhì)的存放,必須考慮周全�����,除在機(jī)房介質(zhì)間存放一份����,進(jìn)行每日更換外�����,還應(yīng)在本地其他地方存放一份����,至少每周更換一次,甚至應(yīng)選擇到外地再存放一份��,并進(jìn)行每月或每季度的更換�����,以防地域性災(zāi)難對(duì)備份數(shù)據(jù)的破壞��。
數(shù)據(jù)備份是否成功,必須經(jīng)回裝測(cè)試來進(jìn)行驗(yàn)證����。在一個(gè)系統(tǒng)中最好設(shè)置有與生產(chǎn)系統(tǒng)主機(jī)、存儲(chǔ)及數(shù)據(jù)庫基本相同或類似的測(cè)試系統(tǒng)�����,進(jìn)行定期的和當(dāng)系統(tǒng)有較大變化時(shí)的數(shù)據(jù)回裝測(cè)試�,以驗(yàn)證備份數(shù)據(jù)的有效性。
4�����、網(wǎng)絡(luò)安全措施
加強(qiáng)網(wǎng)絡(luò)的邊界防護(hù)��,是防止經(jīng)外網(wǎng)到內(nèi)網(wǎng)對(duì)數(shù)據(jù)進(jìn)行破壞的重要方式�����,當(dāng)前�����,國內(nèi)外通過網(wǎng)絡(luò)匿名或破譯密碼非法登錄,實(shí)施對(duì)數(shù)據(jù)庫的攻擊�����,盜取���、篡改���、破壞數(shù)據(jù)的案例屢見不鮮�����,因此�����,為確保數(shù)據(jù)安全�,防患于未然,需要在網(wǎng)絡(luò)邊界上設(shè)置防火墻�����,并在網(wǎng)絡(luò)關(guān)鍵部位設(shè)置入侵檢測(cè)設(shè)備�,定期分析相關(guān)日志,以保證內(nèi)網(wǎng)安全。
一個(gè)結(jié)構(gòu)清晰且配置合理的網(wǎng)絡(luò)���,對(duì)網(wǎng)絡(luò)及數(shù)據(jù)安全非常重要�。結(jié)構(gòu)清晰���,指對(duì)網(wǎng)絡(luò)實(shí)施按區(qū)域的劃分和管理�����,并使網(wǎng)絡(luò)具有從主干到局部都結(jié)構(gòu)清晰����、配置方便的特點(diǎn)�,以使查找網(wǎng)絡(luò)故障快捷。網(wǎng)絡(luò)配置合理����,指網(wǎng)絡(luò)設(shè)備配置和IP地址配置的合理。例如主干網(wǎng)可采用A類�、局域網(wǎng)采用C類私有地址,再做細(xì)致劃分時(shí)��,對(duì)每個(gè)單位所分配的地址個(gè)數(shù)����,最好都做細(xì)致測(cè)算��,并按實(shí)際需求進(jìn)行分配�,這樣不僅節(jié)省了IP資源��,而且可在一定程度上使網(wǎng)絡(luò)安全性得以提高�����。
重要環(huán)節(jié)的網(wǎng)絡(luò)系統(tǒng)最好具有雙線路�����,并由兩家運(yùn)營商獨(dú)立提供�,其中一條作為備份線路�����,以提高網(wǎng)絡(luò)對(duì)業(yè)務(wù)連續(xù)性的支持�。
5、提高數(shù)據(jù)交換環(huán)節(jié)的安全性
當(dāng)一個(gè)重要信息系統(tǒng)需要與外單位進(jìn)行數(shù)據(jù)交換時(shí)��,應(yīng)避免采用直接聯(lián)網(wǎng)的交換方式����,最好能通過一個(gè)專用交換平臺(tái)進(jìn)行數(shù)據(jù)交換�,并在交換平臺(tái)中進(jìn)行相應(yīng)的數(shù)據(jù)安全監(jiān)測(cè)和審計(jì)�����,更為保險(xiǎn)的措施是設(shè)置專用的中間數(shù)據(jù)庫對(duì)交換數(shù)據(jù)暫存��,以進(jìn)一步提高數(shù)據(jù)交換的安全性�����。
四���、 建立數(shù)據(jù)安全機(jī)制的一些相關(guān)策略
1���、保證數(shù)據(jù)質(zhì)量
首先,數(shù)據(jù)質(zhì)量是信息的生命�,保證數(shù)據(jù)安全的前提首先是要保證數(shù)據(jù)質(zhì)量,而數(shù)據(jù)質(zhì)量要從數(shù)據(jù)產(chǎn)生的源頭抓起�����,因此在信息進(jìn)入計(jì)算機(jī)系統(tǒng)之前��,就應(yīng)采用諸如表格式設(shè)計(jì)、編碼設(shè)計(jì)�����、指標(biāo)設(shè)計(jì)��、校驗(yàn)檢查���、用戶核對(duì)等數(shù)據(jù)控制技術(shù)來保證數(shù)據(jù)的質(zhì)量�,因?yàn)殄e(cuò)誤的數(shù)據(jù)進(jìn)入計(jì)算機(jī)系統(tǒng)后��,產(chǎn)出的還是錯(cuò)誤的�����、無價(jià)值的數(shù)據(jù)�����,所以首先必須嚴(yán)把數(shù)據(jù)質(zhì)量關(guān)��。
2��、形成數(shù)據(jù)管理的長(zhǎng)效機(jī)制
保證數(shù)據(jù)安全�����,要從如下幾個(gè)方面著手做好建立數(shù)據(jù)安全機(jī)制的工作�����。首先�,一個(gè)單位對(duì)于其關(guān)鍵數(shù)據(jù),需要借鑒銀行業(yè)以風(fēng)險(xiǎn)監(jiān)管為核心的原則��,即內(nèi)部控制的核心原則�,實(shí)現(xiàn)財(cái)務(wù)、業(yè)務(wù)��、資金的三集中管理�。可采用雙人審核���、自動(dòng)憑證生成��、電子對(duì)帳��、財(cái)務(wù)結(jié)算等技術(shù)措施����,由自身掌管政策和數(shù)據(jù),由銀行完成貨幣操作�����。
其次�,是規(guī)范流程,約束操作���。數(shù)據(jù)維護(hù)�����,是需要強(qiáng)化管理的基礎(chǔ)性工作����,要通過建立嚴(yán)格的數(shù)據(jù)維護(hù)制度����,來實(shí)現(xiàn)對(duì)數(shù)據(jù)的全面管理,確保數(shù)據(jù)資源的持續(xù)發(fā)展和可利用��。當(dāng)需要對(duì)關(guān)鍵信息進(jìn)行維護(hù)時(shí)�,必須經(jīng)業(yè)務(wù)部門人員審核�����、單位負(fù)責(zé)人審批后,由專人進(jìn)行維護(hù)�����,并及時(shí)建立數(shù)據(jù)維護(hù)信息臺(tái)帳���,按月形成月報(bào)上報(bào)到相關(guān)部門備案�。
再有�����,是加強(qiáng)客戶監(jiān)督�。凡是具有與銀行、保險(xiǎn)�、證券交易所有類似業(yè)務(wù)的行業(yè),可采用客戶審核的方式保證數(shù)據(jù)安全�,即借鑒銀行、保險(xiǎn)�、證券交易所等給客戶打印對(duì)帳單的方式,讓客戶協(xié)助監(jiān)督數(shù)據(jù)安全���,客戶出于保護(hù)自己權(quán)益的原則��,也會(huì)對(duì)賬目進(jìn)行仔細(xì)審核����。此外,還可以采用郵寄�����、網(wǎng)上查詢等多種方式讓客戶對(duì)數(shù)據(jù)進(jìn)行核查��。
3�、加強(qiáng)對(duì)用戶權(quán)限的控制
對(duì)生產(chǎn)區(qū)用戶權(quán)限的控制,指對(duì)在生產(chǎn)區(qū)內(nèi)進(jìn)行操作的各級(jí)業(yè)務(wù)���、財(cái)務(wù)人員權(quán)限的分配和控制����,這是在生產(chǎn)系統(tǒng)中保證數(shù)據(jù)安全的重要措施之一�����。權(quán)限的分配應(yīng)采用層層負(fù)責(zé)制���,在本單位所屬的各級(jí)機(jī)構(gòu)指定專人負(fù)責(zé)權(quán)限的分配�����,核心部門的系統(tǒng)管理員負(fù)責(zé)創(chuàng)建下級(jí)機(jī)構(gòu)系統(tǒng)管理員的用戶����,并分配初始密碼��,一般人員的初始賬戶由本級(jí)系統(tǒng)管理員統(tǒng)一創(chuàng)建���,并分級(jí)建立用戶檔案����。
用戶初次登錄時(shí)��,應(yīng)有強(qiáng)制性修改本級(jí)帳戶密碼的程序措施�,各級(jí)管理員應(yīng)相對(duì)固定,如該系統(tǒng)管理員無法繼續(xù)從事本級(jí)系統(tǒng)管理員工作時(shí)���,應(yīng)與接替人員對(duì)照賬戶文檔����,現(xiàn)場(chǎng)核對(duì)帳戶及當(dāng)時(shí)的用戶信息,檢查無誤后方可進(jìn)行工作交接�,接替人員應(yīng)立即變更本級(jí)系統(tǒng)管理員密碼及賬戶信息。
生產(chǎn)區(qū)的用戶身份認(rèn)證系統(tǒng)要具有充分的完備性和應(yīng)用性�����,即具備所有必須的組件�,并滿足所有的業(yè)務(wù)要求,能與業(yè)務(wù)應(yīng)用緊密組合��。用戶權(quán)限應(yīng)在準(zhǔn)確理解各項(xiàng)操作的基礎(chǔ)上���,經(jīng)測(cè)試成功后再賦予直接用戶����,設(shè)置中應(yīng)避免權(quán)限重疊和相互抵觸���、交叉����、及嵌套的情況發(fā)生���。對(duì)于具有特殊的或個(gè)別修改權(quán)限人員帳戶的設(shè)置�����,應(yīng)僅對(duì)專門的部門或人員進(jìn)行����,并定期審計(jì)其操作記錄��。當(dāng)有人員調(diào)離或崗位變更的情況發(fā)生時(shí)����,應(yīng)立即刪除相應(yīng)用戶。
4����、采用相關(guān)安全套件強(qiáng)化用戶登錄檢驗(yàn)
除了由所執(zhí)行的應(yīng)用程序來進(jìn)行用戶的合法性校驗(yàn)和權(quán)限核準(zhǔn)外,還可采用相關(guān)的輔助手段和工具對(duì)用戶登錄系統(tǒng)做強(qiáng)制認(rèn)證��,例如采用域控制作為用戶登錄網(wǎng)絡(luò)的第一級(jí)審驗(yàn)�����,可進(jìn)一步提高了網(wǎng)絡(luò)登錄的安全性���,從而提高核心數(shù)據(jù)的安全性���。目前已有很多公司推出了身份管理���、網(wǎng)絡(luò)準(zhǔn)入控制的解決方案以及相關(guān)技術(shù)產(chǎn)品,有的甚至是基于SOA的�����、可以熱插拔的形式嵌入在應(yīng)用系統(tǒng)之中���,它們的核心都是對(duì)接入系統(tǒng)的終端用戶進(jìn)行合法性��、完整性檢查以及權(quán)限的控制��,以增加系統(tǒng)的安全性��、可用性���,并可對(duì)進(jìn)入網(wǎng)絡(luò)的用戶實(shí)施高效、集中的監(jiān)控����、管理和審計(jì)。
5�����、建立和加強(qiáng)法規(guī)遵從
2002年,在安然事件后的一片混亂中����,美國頒布了薩班斯-奧克斯利法案(Sarbanes-Oxley Act,簡(jiǎn)稱“薩班斯法案”)��。該法案對(duì)美國商業(yè)界以至IT界影響巨大�,從此也產(chǎn)生了法規(guī)遵從的概念和實(shí)踐��。薩班斯法案是一部涉及會(huì)計(jì)職業(yè)監(jiān)管��、公司治理����、證券市場(chǎng)監(jiān)管等方面改革的重要法律,其基本目標(biāo)是:遵守證券法律以提高公司披露的準(zhǔn)確性和可靠性���,從而保護(hù)投資者的利益�。薩班斯法案為公司的外部審計(jì)師創(chuàng)建了一個(gè)新的監(jiān)督體制�����,并把對(duì)財(cái)務(wù)報(bào)告的內(nèi)部控制作為關(guān)注的具體內(nèi)容,不僅要求管理層報(bào)告公司對(duì)財(cái)務(wù)報(bào)告的內(nèi)部控制��,而且要求外部審計(jì)師證實(shí)管理層所披露報(bào)告的準(zhǔn)確性���。
為了識(shí)別管理層對(duì)財(cái)務(wù)報(bào)告所作的相關(guān)認(rèn)定�����,審計(jì)師需審核每個(gè)重要賬戶潛在的錯(cuò)報(bào)��、漏報(bào)及產(chǎn)生原因��,而公司在對(duì)財(cái)務(wù)報(bào)告做出確認(rèn)時(shí)往往需要借助于IT系統(tǒng)�����,所以審計(jì)師要同時(shí)評(píng)價(jià)公司IT系統(tǒng)的性質(zhì)���、使用狀況以及復(fù)雜程度,如IT系統(tǒng)中是否有一套為財(cái)務(wù)報(bào)告的建立和維持而應(yīng)具備的內(nèi)部控制結(jié)構(gòu)和流程�����,影響財(cái)務(wù)報(bào)告的記錄是否可能被毀壞�、更改或弄虛作假���,因此對(duì)IT系統(tǒng)提出了更高的要求,而數(shù)據(jù)的安全和保護(hù)在這個(gè)內(nèi)部控制結(jié)構(gòu)中扮演著關(guān)鍵角色�����。
前車之鑒����,我國目前從中央各部委到地方各行業(yè),也在積極制定相關(guān)的法律法規(guī)��,以促進(jìn)各重要企業(yè)和部門建立健全起有效的內(nèi)控機(jī)制和管理制度��,以進(jìn)行更嚴(yán)格監(jiān)管和審計(jì)����,促進(jìn)國民經(jīng)濟(jì)平穩(wěn)有序的健康發(fā)展�����,數(shù)據(jù)的安全保護(hù)也將進(jìn)入有法可依�����、有規(guī)可從的新階段。
五���、總結(jié):數(shù)據(jù)安全不僅看外�����,更多防內(nèi)
當(dāng)今��,大量業(yè)務(wù)處理需要計(jì)算機(jī)系統(tǒng)來完成���,IT系統(tǒng)因?yàn)闃I(yè)務(wù)驅(qū)動(dòng)的原因不斷發(fā)展,使業(yè)務(wù)對(duì)IT系統(tǒng)的依賴更為增強(qiáng)����,這同時(shí)使數(shù)據(jù)安全威脅的復(fù)雜性和嚴(yán)重性也顯著提高,對(duì)信息系統(tǒng)的威脅���,已從過去單純的黑客攻擊���、病毒破壞轉(zhuǎn)向一種有明確目的盜竊和犯罪,安全漏洞的出現(xiàn)也從過去僅給業(yè)務(wù)造成損失和名譽(yù)受到影響發(fā)展為直接的資金財(cái)產(chǎn)損失�,而對(duì)生產(chǎn)區(qū)數(shù)據(jù)安全的威脅除了具有外部因素外,更多的則是來自內(nèi)部工作人員���,因此生產(chǎn)系統(tǒng)中數(shù)據(jù)安全不但包括技術(shù)問題�����,而且是一個(gè)與業(yè)務(wù)密切相關(guān)的問題�,確保數(shù)據(jù)安全要從技術(shù)、管理制度和法規(guī)遵從等多方位進(jìn)行規(guī)劃和考慮�����,這也將使我們對(duì)保證生產(chǎn)系統(tǒng)的數(shù)據(jù)安全提高到一個(gè)新的認(rèn)識(shí)高度��。
