引論：我們為您整理了13篇小企業信息安全范文，供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源，期望它們能夠激發您的創作靈感，讓您的文章更具深度。

篇1

[中圖分類號] TP309 [文獻標識碼] A [文章編號] 1673 - 0194（2015）21- 0090- 02

信息安全風險評估是以風險管理為基礎，通過科學的方法和手段，對企業信息系統所面臨的威脅與存在的脆弱性進行全面分析，以安全事故對企業生產經營有可能帶來的危害展開評估，進而制定出有效的防御及整改措施[1]。信息安全風險評估在企業信息安全保障體系中占據著十分重要的地位，其不但是重要的評價方法，同時也是利于企業決策的有效機制。如果缺乏準確及時的風險評估，便不能準確的判斷出企業所存在的信息安全問題，因此加強企業信息安全風險評估，對每一個中小企業來說，都意義重大。

1 中小企業信息安全評估方法

為了進一步評估信息系統的安全風險，多種風險評估方法被開發出來并在企業中得以運用。定性評估法，定量評估法以及半定量評估法是目前較為常用的幾種方法。風險評估中的定量評估方法，主要是結合企業特點，根據評估內容和評估流程，從眾多的信息系統、人員和設備中，利用分類分別計算比例的方法，對評估對象合理選定，并進行數量采樣[2]。并在此基礎上，分析企業信息系統中資產價值、威脅性以及脆弱性三者之間存在的函數關系，從而根據企業實際情況選取恰當的風險計算方法，合理計算出企業信息安全風險評估數值。本文認為定量方法對當前的中小企業來說更具實用價值，主要可從風險計算方法、威脅可能性量化賦值方法著手。

1.1 風險計算方法

后果（Consequence）及可能性（Likelihood）是風險具有的兩個基本屬性。風險對信息系統的影響，說到底也是這兩個因素所造成的。資產的不同自然也使其面臨的主要威脅存在差異。而隨著威脅可以利用的、資產存在的弱點數量的增加會增加風險的可能性，隨著弱點嚴重級別的提高會增加一該資產面臨風險的后果。通常來說， 某項資產風險的可能性為資產脆弱性與存在威脅的可能性的函數，同時風險后果則為資產價值（影響）的函數。本論文采用如下算式來得到資產的風險賦值：

風險值=資產價值×威脅可能性×資產脆弱性

上述公式主要考慮到各參數采取的取值并不十分精確，因而加入了以往的經驗和判斷，在國際中對此類數據則通常采用數學乘法或矩陣等方法。而采用線性相乘，則主要是為了方便進行計算。企業實施風險分析可以從風險信息和數據，進行不同程度的改進。并根據計算出的風險值的數值范圍，確定相應的風險等級。風險數值與風險等級對應的關系見表1。

1.2 脆弱性量化賦值方法

脆弱性和威脅所存在的對應關系，應在評估時充分考慮到，要知道相對應的脆弱性是威脅起作用的基本因素，因此脆弱性與威脅基本上是通過一一對應的形式呈現出來的。對脆弱性大小的評定需要結合評估采集的調研結果、安全漏洞掃描結果以及人工安全檢查結果。參照國際通行做法和專家經驗，將資產存在的脆弱性分為5個等級，分別是很高（VH）、高（H）、中（M）、低（L）、可忽略（N），并且從高到低分別賦值5-1，具體參照表2。

威脅可能性屬性非常難以度量.它依賴于具體的資產、弱點。并且這兩個屬性都和時間有關系。在威脅評估過程中，評估者的專家經驗非常重要。

2 結 語

目前，信息系統已經被廣泛運用到中小企業的日常管理工作中，對其的重視程度也越來越高。對中小企業來說，定期進行信息安全風險評估是信息安全工作得以順利實施的有效保障，通過有效的信息安全風險評估方法則是科學合理地開展信息安全風險評估的前提條件。因此，新形勢下中小企業的信息安全風險評估工作必須要做到與時俱進，不斷創新，從而以適應快速發展的社會需求。

篇2

1. 中小企業信息安全存在的問題

1.1信息安全管理意識不強。

相對大型企業來說，中小企業信息資產方面的積累相對較為薄弱，并且很多時候這種積累并非企業的有意識行為，所以在正常的信息化應用情況下，往往會忽視對自己信息資產的保護，而只有在信息資產受到破壞，形成了實際的經濟和附加損失的情況下，才會開始意識和重視這信息安全問題。

1.2信息安全管理水平較低信息安全風險較大。

目前的中小企業管理層人員雖然已經認識到了信息化的重要性，但卻沒有認識到企業信息化管理是需要在企業管理念上進行根本變革才能實現的。信息安全大約70%以上的問題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進行改造，結果造成一種信息化的假象，致使“信息化”走向了徒有其表的誤區，信息安全也沒有得到足夠重視。

1.3人才短缺專業人員匱乏。

中小企業一般很難有足夠的吸引力留住信息化及信息安全這一領域的人才。因此，在這種人才短缺的情況下，自然影響到企業信息化的進程。主要表現為：企業一般沒有自己的信息化建設人才隊伍。信息技術專業人員的知識結構也不能達到要求，掌握技術的不懂管理，懂管理的又不會技術，而且信息安全往往沒有專業人員進行管理。

1.4資金短缺。

中小企業的資金狀況決定了其信息化投入遇到的限制相對較多。企業相對有限的資金，一般要優先投入到直接促進公司業績增長的方向，而無形中就造成了信息資產所面臨的巨大風險；特別是在當今越來越多的企業業務與互聯網有密切的聯系，甚至一些企業的業務完全建立在互聯網之上，以平均不到企業總收入1%的信息安全投入，怎么能保障這些業務的正常運行？盡可能使投入比例接近常規，至少應該使企業核心信息資產的安全得到保證，從實際情況來講，在良好的安全理念指導下，進行細致的規劃和評估，通過適當的投入也是可以達到較好的整體效果，因為在中小企業的應用情境下，信息安全防御廣度是相對容易控制的；設計出體現其規律和特點的真正適合中小企業的信息安全產品，才能從根本上滿足中小企業信息安全需求。

1.5中小企業的信息倫理意識不強。

由于某些員工的信息倫理原因而帶來的信息安全問題屢見不鮮。在很多時候，企業的員工都會因為某些不經意的行為對企業的信息資產造成破壞。尤其是在中小企業中員工的信息安全意識往往相對比較落后，對于互聯網上存在的威脅往往缺乏足夠的重視，而企業的管理層對于網絡的使用也沒有很好的管理手段。

2.中小企業信息安全問題的解決措施

2.1從企業的自身情況考慮

要解決中小企業網絡信息安全問題，不能僅依靠企業的安全設施和網絡安全產品，而應該考慮如何提高企業自身的網絡安全意識，將信息安全問題提升到重視的高度，要重視“人”的因素。具體表現在以下兩個方面：

2.1.1提高安全認識

定期對企業員工進行網絡安全教育培訓深化企業的全員信息安全意識，企業管理層要制定完整的信息安全策略并貫徹執行，對安全問題要做到預先考慮和防備。

2.2.2要求中小企業在上網的過程中要做到“一做三不要”

首先將存有重要數據的電腦堅決同網絡隔離，同時設置開機密碼，并將軟驅、硬盤加密鎖定，進行三級保護，其次不要在自己的系統之內使用任何具有記憶命令的程序，因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切，同時不在網上的任何場合下隨意透露自己企業的任何安全信息，最后不要啟動系統資源共享功能，要盡量減少企業資源暴露在外部網上的機會和次數，減少黑客進攻的機會【1】。

2.2從網絡安全角度考慮

2.2.1從網絡安全服務商的角度來說，服務商要重視中小企業對網絡安全解決方案的需要，充分考慮中小企業的現實狀況，仔細調查和分析中小企業的安全因素，開發出適合中小企業實際情況的網絡安全綜合解決方案。此外，還應該注意投入大量精力在安全策略的施行及安全教育的開展方面，這樣才能為中小企業信息安全工作的順利開展提供堅實的保證。

2.2.2要用防火墻將企業的局域網（Intranet）與互聯網之間進行隔離。由于網絡攻擊不斷升級，對應的防火墻軟件也應該及時跟著升級，這樣就要求我們企業的網管人員要經常到有P網站上下載最新的補丁程序，以便進行網絡維護，同時經常掃描整個內部網絡，以發現任何安全隱患并及時更改，才能做到有備無患【2】。

2.2.3企業用戶最好自己學會如何調試和管理自己的局域網系統，不要經常請別人來協助管理。中小企業要培養自己解決安全問題的能力，提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養相關人才。

2.2.4內部網絡系統的密碼要定期修改。動態的密碼有助于防止黑客的攻擊以及來自內部人員的泄密。

2.2.5要經常使用殺毒軟件來維護局域網系統不受病毒攻擊。現在國內的殺毒軟件都推出了清除某些特洛伊木馬的功能，可以不定期地在脫機的情況下進行檢查和清除。

2.2.6同其它企業進行聯合，共同抵制黑客的入侵，一旦被入侵要及時向有關部門匯報，并共同查找入侵來源，鎖定黑客IP地址。將網絡的TCP起時限制在15分鐘以內，減少黑客入侵的機會。并擴大連接表，增加黑客填寫整個連接表的難度【3】。

小結

綜上所述，我國中小企業的信息安全問題日益突出。由于受到管理水平、資金、技術、 意識等幾方面的制約，中小企業完全依靠自己解決所有信息化安全問題是不現實的，它們很難使用大企業中那種復雜的信息安全系統，因此迫切需要適合中小企業自身情況的綜合解決措施。

【參考文獻】：

篇3

對于買方來說電子信息主要優點是方便快捷、操作起來比較簡單。電子信息對于賣方來說主要優點是管理比較方便并且成本較低，但是電子信息最大的缺點就是買賣雙方不能進行交流，主要是貨幣與貨品的交換，并且交易都是通過網絡進行的，之所以交易能夠順利完成，主要的原因是兩者之間存在著誠信。關于誠信主要有兩個方面的內容：有一種系統軟件在買賣的過程中起到安全保障的作用，能將虛擬的貨幣符號轉化成真實的貨幣，同時也能對交易起到保護作用，其中主要是對貨幣賬戶起到安全保障的作用。要想研究電子信息安全，首先要了解信息的內涵。信息主要是指資料、數據以及知識以不同的形式存在，在中小企業中這類信息主要是指買賣雙方的有關信息和資料，犯罪分子能通過非法的手段對電子信息中的買賣雙方采取詐騙行為，或者是通過網絡對進行入侵和盜竊。信息安全管理標準對信息做出了詳細的定義，信息也是屬于資產，與其他的資產相同，對中小企業的發展有著重要的作用，是需要法律保護的。信息安全管理標準將信息劃分為八個部分，主要包括物理資產、文檔資產、文字資產、服務資產、軟件資產、數據資產以及人力資源資產。

中小企業的電子信息主要是以網絡為載體，網絡的交流主要通過數據的傳輸得以實現，網上交易就是交流過程中的主要內容。所以，在信息安全的范疇中電子信息安全技術就成為了重點問題。關于電子信息安全技術的研究大多是關于技術的，但是對于中小企業來說，不僅要對技術進行改進，也要重視管理層，避免信息出現安全問題。

2 電子信息安全的理論

我國關于電子信息安全的研究，仍然較為落后。在國際中的關于信息安全的主要理論為：三觀安全理論、信息循環理論以及信息安全模型理論。

三觀安全理論。在中小企業的電子信息安全系統中，三觀安全理論主要將其分為三個方面的內容，即微觀、中觀以及宏觀。這個理論主要是將宏觀層面的安全理念轉化成微觀層面的管理理念，進而對服務與生產進行指導。

信息安全模型理論。信息安全模型理論是信息安全管理發展過程中的產物，信息安全模型理論主要是將人、軟件、操作以及信息系統相結合，并且全面的保護網絡信息系統。主要倡導的是一種新的安全觀念，并且提出了不能僅靠程序與軟件對系統信息安全進行保護，要注重動態保護。此外，關于電子信息安全問題不能只依賴于安全技術，也要重視管理層安全理念的創新。

電子信息的循環理論。在實施網絡信息安全的過程中電子信息的循環理論將其劃分為四個方面：計劃、執行、檢查以及改進。這四個方面是一個循環的過程，也是一個周期，在循環的過程中，將這個過程看作是一個整體的信息安全管理體制，而不是將其看成某一管理過程。

3 電子信息安全技術對加強中小企業信息安全的作用

上文所述的三個信息安全理論對中小企業的信息安全管理有著重要的作用，主要有以下幾個方面的內容。第一是信息安全領域的建設，第二是中小型企業中加強建設信息安全組織。美國信息安全研究所首次提出了信息安全領域，信息安全領域主要是指根據信息的不同保密程度創建相應的保密級別，網絡控件的安裝要結合用戶信息的不同安全級別，安全信息的選擇要適合用戶的保密級別。在中小企業中，電子信息與資料的分類系統應該有統一的部門進行管理，然后對信息進行分類，并采取不同程度的加密與保密，這類信息主要包含文檔、電子商務的相關資料以及服務等。將這些信息進行分類、保密、歸檔以及整合，有利于中小企業電子信息的調試。

對于中小企業來說，一直都存在電子信息安全性不夠的問題，這主要同企業內部安全管理不足有關，安全管理的工作缺少專業的管理，很多的小型企業并沒有統一的信息安全管理部門。企業安全管理部門的主要職能包含這幾個方面的內容：同企業人力資源管理部門相互配合共同完成工作內容，要定期的審查一些特殊崗位的員工，一旦發現有違反安全規則的情況，要重新進行審查。同時還要對員工進行保密的培訓；組織各個部門的工作，并對各個部門的工作進行協調，使企業的安全目標以及戰略得以實現；企業的安全管理部門主要是對安全問題的管理、計劃以及決策負責。也是企業的應急部門，要想避免企業信息的泄露，信息安全管理部門就必須加強對信息的管理；多聯系各個地區的信息機構以及信息安全管理部門，這樣能給企業帶來新的信息安全管理觀念以及安全技術；采取信息安全報告制，定期的向管理部門匯報信息安全的保護狀況，對于一些重要的事件要及時的匯報，取得管理層對信息安全管理工作的支持。

在網絡工程發展的同時，電子信息也得到了發展，電子信息在企業的發展中有著重要的作用，企業對其也越發的依賴電子信息。但是這只是一個虛擬的場所，主要通過網絡這個載體來完成交易，因此安全技術問題成為了企業普遍關注的問題。

[參考文獻]

[1]陳光匡，興華.信息系統安全風險評估研究[J].網絡安全技術與應用，2009（7）.

篇4

關 鍵 詞：電子信息安全　安全技術　安全要素

在企業的管理信息系統中有眾多的企業文件在流轉，其中肯定有重要性文件，有的甚至涉及到企業的發展前途，如果這些信息在通用過網絡傳送時被競爭對手或不法分子竊聽、泄密、篡改或偽造，將會嚴重威脅企業的發展，所以，中小企業電子信息安全技術的研究具有重要意義。

一、中小企業的信息化建設意義

在這個網絡信息時代，企業的信息化進程不斷發展，信息成了企業成敗的關鍵，也是管理水平提高的重要途徑。如今企業的商務活動，基本上都采用電子商務的形式進行，企業的生產運作、運輸和銷售各個方面都運用到了信息化技術。如通過網絡收集一些關于原材料的質量，價格，出產地等信息來建立一個原材料信息系統，這個信息系統對原材料的采購有很大的作用。通過對數據的分析，可以得到跟多的采購建議和對策，實現企業電子信息化水準。有關調查顯示，百分之八十二的中小企業對網站的應還處于宣傳企業形象，產品和服務信息，收集客戶資料這一階段，而電子商務這樣關系到交易的應用還不到四分之一，這說明企業還未充分開發和利用商業渠道信息。中小企業信息化時代已經到來，企業應該加快信息化的建設。

二、電子信息安全技術闡述

1、電子信息中的加密技術

加密技術能夠使數據的傳送更為安全和完整，加密技術分為對稱和非對稱加密兩種。其中對稱加密通常通過序列密碼或者分組機密來實現，包括明文、密鑰、加密算法以及解密算法等五個基本組成成分。非對稱加密與對稱加密有所不同，非對稱加密需要公開密鑰和私有密鑰兩個密鑰，公開密鑰和私有密鑰必須配對使用，用公開密鑰進行的加密，只有其對應的私有密匙才能解密。用私有密鑰進行的加密，也只有用其相應的公開密鑰才能解密。

加密技術對傳送的電子信息能夠起到保密的作用。在發送電子信息時，發送人用加密密鑰或算法對所發的信息加密后將其發出，如果在傳輸過程中有人竊取信息，他只能得到密文，密文是無法理解的。接受著可以利用解密密鑰將密文解密，恢復成明文。

2、防火墻技術

隨著網絡技術的發展，一些郵件炸彈，病毒木馬和網上黑客等對網絡的安全也造成了很大的威脅。企業的信息化使其網絡也遭到同樣的威脅，企業電子信息的安全也難以得到保證。針對網絡不安全這種狀況，最初采取的一種保護措施就是防火墻。在我們的個人電腦中防火墻也起到了很大的作用，它可以阻止非黑客的入侵，電腦信息的篡改等。

3、認證技術

消息認證和身份認證是認證技術的兩種形式，消息認證主要用于確保信息的完整性和抗否認性，用戶通過消息認證來確認信息的真假和是否被第三方修改或偽造。身份認證使用與鑒別用戶的身份的，包括識別和驗證兩個步驟。明確和區分訪問者身份是識別，確認訪問者身份叫驗證。用戶在訪問一些非公開的資源時必須通過身份認證。比如訪問高校的查分系統時，必須要經過學號和密碼的驗證才能訪問。高校圖書館的一些資源要校園網才能進行訪問，非校園網的不能進入，除非付費申請一個合格的訪問身份。

三、中小企業中電子信息的主要安全要素

1、信息的機密性

在今天這個網絡時代，信息的機密性工作似乎變得不那么容易了，但信息直接代表著企業的商業機密，如何保護企業信息不被竊取，篡改，濫用以及破壞，如何利用互聯網進行信息傳遞又能確保信息安全性已成為各中小企業必須解決的重要問題。

2、信息的有效性

隨著電子信息技術的發展，各中小企業都利用電子形式進行信息傳遞，信息的有效性直接關系的企業的經濟利益，也是個企業貿易順利進行的前提條件。所以要排除各種網絡故障、硬件故障，對這些網絡故障帶來的潛在威脅加以控制和預防，從而確保傳遞信息的有效性。

3、信息的完整性

企業交易各方的經營策略嚴重受到交易方的信息的完整性影響，所以保持交易各方的信息的完整性是非常重要對交易各方都是非常重要的。在對信息的處理過程中要預防對信息的隨意生成、修改，在傳送過程中要防止信息的丟失，保持信息的完整性是企業之間進行交易的基礎。

四、解決中小企業中電子信息安全問題的策略

1、構建中小企業電子信息安全管理體制

解決信息安全問題除了使用安全技術以外，還應該建立一套完善的電子信息安全管理制度，以確保信息安全管

理的順利進行。在一般中小企業中，最初建立的相關信息管理制度在很大程度上制約著一個信息系統的安全。如果安全管理制度出了問題，那么圍繞著這一制度來選擇和使用安全管理技術及手段將無法正常進行，信息的安全性就得不到保證。完善，嚴格的電子信息安全管理制度對信息系統的安全影響很大。在企業信息系統中，如果沒有嚴格完善的信息安全管理制度，電子信息安全技術和相關的安全工具是不可能發揮應有的作用的。

2、利用企業的網絡條件來提供信息安全服務

很多企業的多個二級單位都在系統內通過廣域網被聯通， 局域網在各單位都全部建成，企業應該利用這種良好的網絡條件來為企業提供良好的信息安全服務。通過企業這一網絡平臺技術標準，安全公告和安全法規，提供信息安全軟件下載，安全設備選型，提供在線信息安全教育和培訓，同時為企業員工提供一個交流經驗的場所。

3、定期對安全防護軟件系統進行評估、改進

隨著企業的發展，企業的信息化應用和信息技術也不斷發展，人們對信息安全問題的認識是隨著技術的發展而不斷提高的，在電子信息安全問題不斷被發現的同時，解決信息安全問題的安全防護軟件系統也應該不斷的改進，定期對系統進行評估。

總之，各中小企業電子星系安全技術包含著技術和管理，以及制度等因素，隨著信息技術的不斷發展，不僅中小企業辦公室逐漸趨向辦公自動化，而且還確保了企業電子信息安全。

參考文獻：

[1]溫正衛；信息安全技術在電子政務系統中的應用[j]；軟件導刊，2010

篇5

再次，需要根據自身特點選取適合中小企業信息安全意識的培訓方法。一般來說，至少有三種途徑可以用于企業進行安全意識培訓：一是在公司內部尋找培訓人員和培訓部門，進行內部培訓；二是聘請外部專業的培訓公司進行培訓；三是考慮依托于網絡與電腦進行培訓。但以上任何一種方案都有可能會超出中小型企業的能力，這時候還要根據企業自身特點來安排適當的途徑進行培訓。

那么，能滿足規模較小的中小企業提高員工信息安全意識培訓的合理途徑是什么呢?有分析認為，可以在以上提到的三種途徑的基礎上加以改動，形成兩種可用的途徑：一是中小企業仍然可以使用內部資源進行范圍性培訓或者購買網絡、電腦的培訓程序。二是中小企業可以創造性地在辦公室張貼些成本低的彩色安全意識海報，對員工潛移默化地培訓。

篇6

Keywords: small and medium-sized enterprises; network security; network security architecture

中圖分類號：TN915.08文獻標識碼：A文章編號：2095-2104（2013）

1、中小型企業網絡安全問題的研究背景

隨著企業信息化的推廣和計算機網絡的成熟和擴大，企業的發展越來越離不開網絡，而伴隨著企業對網絡的依賴性與日俱增，企業網絡的安全性問題越來越嚴重，大量的入侵、蠕蟲、木馬、后門、拒絕服務、垃圾郵件、系統漏洞、間諜軟件等花樣繁多的安全隱患開始一一呈現在企業面前。近些年來頻繁出現在媒體報道中的網絡安全案例無疑是為我們敲響了警鐘，在信息網絡越來越發達的今天，企業要發展就必須重視自身網絡的安全問題。網絡安全不僅關系到企業的發展，甚至關乎到了企業的存亡。

2 、中小型企業網絡安全的主要問題

2.1什么是網絡安全

網絡安全的一個通用定義：網絡安全是指網絡系統中的軟、硬件設施及其系統中的數據受到保護，不會由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統能夠連續、可靠地正常運行，網絡服務不被中斷。網絡安全從本質上說就是網絡上的信息安全。廣義地說，凡是涉及網絡上信息的保密性、完整性、可用性、真實性（抗抵賴性）和可控性的相關技術和理論，都是網絡安全主要研究的領域。

2.2網絡安全架構的基本功能

網絡信息的保密性、完整性、可用性、真實性（抗抵賴性）和可控性又被稱為網絡安全目標，對于任何一個企業網絡來講，都應該實現這五個網絡安全基本目標，這就需要企業的網絡應用架構具備防御、監測、應急、恢復等基本功能。

2.3中小型企業的主要網絡安全問題

中小型企業主要的網絡安全問題主要體現在3個方面.

1、木馬和病毒

計算機木馬和病毒是最常見的一類安全問題。木馬和病毒會嚴重破壞企業業務的連續性和有效性，某些木馬和病毒甚至能在片刻之間感染整個辦公場所從而導致企業業務徹底癱瘓。與此同時，公司員工也可能通過訪問惡意網站、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式，在不經意間將病毒和木馬帶入企業網絡并進行傳播，進而給企業造成巨大的經濟損失。由此可見，網絡安全系統必須能夠在網絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。這里提到的每一點，包括網絡的邊界位置以及內部網絡環境。

2、信息竊取

信息竊取是企業面臨的一個重大問題，也可以說是企業最急需解決的問題。網絡黑客通過入侵企業網絡盜取企業信息和企業的客戶信息而牟利。解決這一問題，僅僅靠在網絡邊緣位置加強防范還遠遠不夠，因為黑客可能會伙同公司內部人員（如員工或承包商）一起作案。信息竊取會對中小型企業的發展造成嚴重影響，它不僅會破壞中小型企業賴以生存的企業商譽和客戶關系。還會令企業陷入面臨負面報道、政府罰金和法律訴訟等問題的困境。

3、業務有效性

計算機木馬和病毒并不是威脅業務有效性的唯一因素。隨著企業發展與網絡越來越密不可分，網絡開始以破壞公司網站和電子商務運行為威脅條件，對企業進行敲詐勒索。其中，以DoS(拒絕服務)攻擊為代表的網絡攻擊占用企業網絡的大量帶寬，使其無法正常處理用戶的服務請求。而這一現象的結果是災難性的：數據和訂單丟失，客戶請求被拒絕……同時，當被攻擊的消息公之于眾后，企業的聲譽也會隨之受到影響。

3如何打造安全的中小型企業網絡架構

通過對中小型企業網絡存在的安全問題的分析，同時考慮到中小型企業資金有限的情況，我認為打造一個安全的中小型企業網絡架構應遵循以下的過程：首先要建立企業自己的網絡安全策略；其次根據企業現有網絡環境對企業可能存在的網絡隱患進行網絡安全風險評估，確定企業需要保護的重點；最后選擇合適的設備。

3.1建立網絡安全策略

一個企業的網絡絕不能簡簡單單的就定義為安全或者是不安全，每個企業在建立網絡安全體系的第一步應該是定義安全策略，該策略不會去指導如何獲得安全，而是將企業需要的應用清單羅列出來，再針對不同的信息級別給予安全等級定義。針對不同的信息安全級別和信息流的走向來給予不同的安全策略，企業需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。對關鍵數據的防護要采取包括“進不來、出不去、讀不懂、改不了、走不脫”的五不原則。

“五不原則”：

1.“進不來”——可用性： 授權實體有權訪問數據，讓非法的用戶不能夠進入企業網。

2.“出不去”——可控性： 控制授權范圍內的信息流向及操作方式，讓企業網內的商業機密不被泄密。

3.“讀不懂”——機密性： 信息不暴露給未授權實體或進程，讓未被授權的人拿到信息也看不懂。

4.“改不了”——完整性： 保證數據不被未授權修改。

5.“走不脫”——可審查性：對出現的安全問題提供依據與手段。

在“五不原則”的基礎上，再針對企業網絡內的不同環節采取不同的策略。

3.2 信息安全等級劃分

根據我國《信息安全等級保護管理辦法》，我國所有的企業都必須對信息系統分等級實行安全保護，對等級保護工作的實施進行監督、管理。具體劃分情況如下：

第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

因此，中小型企業在構建企業信息網絡安全架構之前，都應該根據《信息安全等級保護管理辦法》，經由相關部門確定企業的信息安全等級，并依據界定的企業信息安全等級對企業可能存在的網絡安全問題進行網絡安全風險評估。

3.3 網絡安全風險評估

根據國家信息安全保護管理辦法,網絡安全風險是指由于網絡系統所存在的脆弱性，因人為或自然的威脅導致安全事件發生所造成的可能性影響。網絡安全風險評估就是指依據有關信息安全技術和管理標準，對網絡系統的保密性、完整想、可控性和可用性等安全屬性進行科學評價的過程。

網絡安全風險評估對企業的網絡安全意義重大。首先，網絡安全風險評估是網絡安全的基礎工作，它有利于網絡安全的規劃和設計以及明確網絡安全的保障需求；另外，網絡安全風險評估有利于網絡的安全防護，使得企業能夠對自己的網絡做到突出防護重點，分級保護。

3.4確定企業需要保護的重點

針對不同的企業，其需要保護的網絡設備和節點是不同的。但是企業信息網絡中需要保護的重點在大體上是相同的，我認為主要包括以下幾點：

1.要著重保護服務器、存儲的安全，較輕保護單機安全。

企業的運作中，信息是靈魂，一般來說，大量有用的信息都保存在服務器或者存儲設備上。在實際工作中，企業應該要求員工把相關的資料存儲在企業服務器中。企業可以對服務器采取統一的安全策略，如果管理策略定義的好的話，在服務器上文件的安全性比單機上要高的多。所以在安全管理中，企業應該把管理的重心放到這些服務器中，要采用一切必要的措施，讓員工把信息存儲在文件服務器上。在投資上也應著重考慮企業服務器的防護。

2.邊界防護是重點。

當然著重保護服務器、存儲設備的安全并不是說整體的防護并不需要，相反的邊界防護是網絡防護的重點。網絡邊界是企業網絡與其他網絡的分界線，對網絡邊界進行安全防護，首先必須明確到底哪些網絡邊界需要防護，這可以通過網絡安全風險評估來確定。網絡邊界是一個網絡的重要組成部分，負責對網絡流量進行最初及最后的過濾，對一些公共服務器區進行保護，VPN技術也是在網絡邊界設備建立和終結的，因此邊界安全的有效部署對整網安全意義重大。

3.“”保護。

企業還要注意到，對于某些極其重要的部門，要將其劃為，例如一些研發部門。類似的部門一旦發生網絡安全事件，往往很難估量損失。在這些區域可以采用虛擬局域網技術或者干脆做到物理隔離。

4.終端計算機的防護。

最后作者還是要提到終端計算機的防護，雖然對比服務器、存儲和邊界防護，終端計算機的安全級別相對較低，但最基本的病毒防護，和策略審計是必不可少的。

3.5選擇合適的網絡安全設備

企業應該根據自身的需求和實際情況選擇適合的網絡安全設備，并不是越貴越好，或者是越先進越好。在這里作者重點介紹一下邊界防護產品——防火墻的性能參數的實際應用。

作為網絡安全重要的一環，防火墻是在任何整體網絡安全建設中都是不能缺少的主角之一，并且幾乎所有的網絡安全公司都會推出自己品牌的防火墻。在防火墻的參數中，最?？吹降氖遣l連接數、網絡吞吐量兩個指標.

并發連接數：是指防火墻或服務器對其業務信息流的處理能力，是防火墻能夠同時處理的點對點連接的最大數目，它反映出防火墻設備對多個連接的訪問控制能力和連接狀態跟蹤能力，這個參數的大小直接影響到防火墻所能支持的最大信息點數。由于計算機用戶訪問頁面中有可能包含較多的其他頁面的連接，按每個臺計算機發生20個并發連接數計算（很多文章中提到一個經驗數據是15，但這個數值在集中辦公的地方往往會出現不足），假設企業中的計算機用戶為500人，這個企業需要的防火墻的并發連接數是：20*500*3/4=7500，也就是說在其他指標符合的情況下，購買一臺并發連接數在10000~15000之間的防火墻就已經足夠了，如果再規范了終端用戶的瀏覽限制，甚至可以更低。

網絡吞吐量：是指在沒有幀丟失的情況下，設備能夠接受的最大速率。隨著Internet的日益普及，內部網用戶訪問Internet的需求在不斷增加，一些企業也需要對外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS域名解析等服務，這些因素會導致網絡流量的急劇增加，而防火墻作為內外網之間的唯一數據通道，如果吞吐量太小，就會成為網絡瓶頸，給整個網絡的傳輸效率帶來負面影響。因此，考察防火墻的吞吐能力有助于企業更好的評價其性能表現。這也是測量防火墻性能的重要指標。

吞吐量的大小主要由防火墻內網卡，及程序算法的效率決定，尤其是程序算法，會使防火墻系統進行大量運算，通信量大打折扣。因此，大多數防火墻雖號稱100M防火墻，由于其算法依靠軟件實現，通信量遠遠沒有達到100M,實際只有10M-20M。純硬件防火墻，由于采用硬件進行運算，因此吞吐量可以達到線性90-95M,才是真正的100M防火墻。

從實際情況來看，中小型企業由于企業規模和人數的原因，一般選擇百兆防火墻就已經足夠了。

3.6投資回報率

在之前作者曾提到的中小企業的網絡特點中資金少是最重要的一個問題。不論企業如何做安全策略以及劃分保護重點，最終都要落實到一個實際問題上——企業網絡安全的投資資金。這里就涉及到了一個名詞——投資回報率。在網絡安全的投資上，是看不到任何產出的，那么網絡安全的投資回報率該如何計算呢?

首先，企業要確定公司內部員工在使用電子郵件和進行WEB瀏覽時，可能會違反公司網絡行為規范的概率。可以將這個概率稱為暴光值(exposure value (EV))。根據一些機構對中小企業做的調查報告可知，通常有25%—30%的員工會違反企業的使用策略，作者在此選擇25%作為計算安全投資回報率的暴光值。那么，一個擁有100名員工的企業就有100x 25% = 25名違反者。

下一步，必需確定一個因素——當發現單一事件時將損失多少人民幣?？梢詫⑺Q為預期單一損失(single loss expectancy (SLE))。由于公司中的100個員工都有可能會違反公司的使用規定，因此，可以用這100個員工的平均小時工資作為每小時造成工作站停機的預期單一最小損失值。例如，作者在此可以用每小時10元人民幣作為預期單一最小損失值。然后，企業需要確定在一周的工作時間之內，處理25名違規員工帶來的影響需要花費多少時間。這個時間可以用每周總工作量40小時乘以暴光值25%可以得出為10小時。這樣，就可以按下列公式來計算單一預期損失值：

25x ￥10 x 10/ h = ￥2500 (SLE)

最后，企業要確定這樣的事情在一年中可能會發生多少次?？梢越兴鼮轭A期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個星期都會發生，一年有52周，如果除去我國的春節和十一黃金周的兩個假期，這意味著一個企業在一年中可能會發生50次這樣的事件，可以將它稱之為年發生率(annual rate of occurrence (ARO))。預期的年均損失(ALE)就等于年發生率(ARO)乘以預期單一損失(SLE)：

￥2500 x 50 = ￥125,000 (ALE)

這就是說，該公司在沒有使用安全技術防范措施的情況下，內部員工的違規網絡操作行為可能會給公司每年造成12.5萬元人民幣的損失。從這里就可以知道，如果公司只需要花費10000元人民幣來實施一個具體的網絡行為監控解決方案，就可能讓企業每年減少12.5萬元人民幣的損失，這個安全防范方案當然是值得去做的。

當然，事實卻并不是這么簡單的。這是由于安全并不是某種安全技術就可以解決的，安全防范是一個持續過程，其中必然會牽扯到人力和管理成本等因素。而且，任何一種安全技術或安全解決方案并不能保證絕對的安全，因為這是不可能完成的任務。

就拿本例來說，實施這個網絡行為監控方案之后，能夠將企業內部員工的違規行為，也就是暴光值(EV)降低到2%就已經相當不錯了。而這，需要在此安全防范方案實施一段時間之后，例如半年或一年，企業才可能知道實施此安全方案后的最終效果，也就是此次安全投資的具體投資回報率是多少。

篇7

科學技術的迅猛發展，信息化成為現代經濟發展的重要工具，現如今，信息化已經融合在企業發展的各個環節，如：公司制定的技術報告、各種方案、公司設備的操作、營銷計劃、投資理財、調試方案、員工的培訓計劃、公司的客戶信息、合同管理、會計財務報表等所有同企業相關文件及電子版的文件都已經網絡化和信息化。

1.網絡及信息安全對企業商業數據的防泄漏及保密性具有極其重要的作用。因為在當今社會，有些中小企業有自己比較先進的技術及產品，就會涉及到商業數據及商業機密的保密工作，而這些機密關系著企業的生死存亡。

2.保證企業數據的真實性和完整性是中小企業信息安全的必要需求。虛偽的、虛假的、不完整的企業信息很可能會造成企業信譽度喪失甚至損失訂單，。

3.保證企業信息的實用性是中小企業信息安全的需求。中小企業必需要防止信息的中斷而影響企業業務的正常運作。

二、網絡信息安全是中小企業所面臨的重要問題

1.網絡病毒。通過相關調查數據我們可以看出，我們在調查中小企業時，問及使用電腦時，他們最為棘手的問題是啥，有33%的企業的答案是經常受到網絡病毒的入侵。網絡病毒將會對業務的連續性和有效性進行破壞，甚至會造成損失業務、毀壞數據及對客戶的滿意度降低等后果。

2.網絡黑客對企業網站的攻擊。目前企業最為關注的問題之一仍然是黑客。當今，電腦黑客傳播間諜軟件、垃圾廣告、釣魚廣告、垃圾郵件、盜取企業商業機密及攻擊組織團體這些手段中小企業的電腦已成為他們的一個主要途徑。

3.企業郵件中的垃圾郵件。中小企業由于實力有限，對于信息化的一些設備沒有能力及實力，所以只能租用一些工具。

4.惡意的電腦軟件。網絡安全人員統計，每年的每一個季度，都有一百多萬的企業網站被惡意軟件侵入，其中不乏有一部分信任度很好的網站。每十個網頁中就有一個網頁在毫不知情的情況下托管了惡意軟件。很多上網電腦都會在未被告知并經許可的情況下安裝或曾經安裝了各類廣告軟件、瀏覽器劫持、間諜軟件、惡意共享軟件、行為記錄軟件或惡作劇程序，有些間諜軟件、行為記錄軟件能夠在用戶不知情的情況下，在其電腦上安裝后門、收集用戶信息，為黑客打開方便之門，造成了中小企業信息安全的嚴重隱患。

5.信息管理失控。由于中小企業普遍缺乏信息資源、信息資產的保護意識和手段，員工流動性也較大。

三、在中小企業中產生網絡信息安全問題的因素

1.相關專業的人才缺少。中小企業由于實力、公司規模都相對比較小，很難能夠留住這一行業的頂尖人才，再有就是網絡信息行業的人才相當缺少，不要說中小企業，就是中型企業的網絡信息人員也經常只是一個人，而且還經常是一個人身兼多職。

2.中小企業的職工對網絡信息安全意識落后。中小企業的職工對信息安全的意識比較淡薄。在中小企業中，我們常常能夠聽說職工經常會因為一些不注意的行為造成企業信息安全事故的發生。

3.公司資金實力弱小。由于中小企業的資金實力比較有限，所以，其在公司網絡信息安全方面投入非常有限。中小企業本身自己的資金實力極有限，一般在需要資金時，均需從外部進行融資，另外，中小企業還普遍存存活率比較低、資產信用度比較低、幾乎沒有資產用來抵押、信用貸款的風險也比較大，因此一般金融機構不愿意支持中小企業。

4.中小企業內部職工的不穩定性。每個行業都會存在員工的離職問題，而中小企業由于其自身的原因這種現象尤為嚴重。

四、我們應該如何應對中小企業網絡信息安全的問題

我們要解決中小企業網絡信息安全問題許多方面考慮。

1.要把網絡信息安全意識提高到一個層次。中小企業的高層管理人員要重視信息安全，對自己的員工要經常進行安全教育，提高企業員工的安全意識及信息技術能力，把員工的信息安全能力提高一個等級。企業自身要健全自己的信息安全制度，認識到信息安全的必要性。

2.需要及時防病毒、殺病毒。在防病毒、殺病毒方面，企業一方面，需要不斷地更新電腦系統，經常修復漏洞及補丁，避免由于自身系統的漏洞帶來信息安全問題，另外就是一定要及時更新殺毒軟件，避免由于病毒入侵而導致計算機出現問題。再一方面，中小企業應努力實現企業集中安全管理。各企業應該與制作殺毒軟件的服務商聯合，雙方共同研制一套適合中小企業的殺毒軟件，通過采用綜合網絡管理、主動智能化防御、加強型全網漏洞管理、強大的網絡管理能力等方法來實現信息安全。

3.一定要把防火墻設置好。防火墻是信息的唯一出入口，它是在不同網絡或網絡安全領域之間設置的。防火墻分為兩種，一是軟件防火墻，另一種是硬件防火墻。企業自身網絡和企業外部網絡連接的首要條件是硬件防火墻，硬件防火墻的功能比較全面，它比較有效的防止非法攻擊和入侵，而軟件防火墻則是更深一步水位檢查，它通常能檢測到許多其他防火墻檢測不出來的威脅。因此兩者結合，相互補充，能更好的為中小企業的信息安全服務。

4.采取行之有效的反垃圾郵件策略。首先提高企業員工的安全意識，不隨意打開搜索引擎和他人從郵件和聊天窗口發來的鏈接。其次要對每個企業員工的郵箱用戶名進行統一管理，同時，加強對企業員工郵箱使用的監測。第三，要使用最新的反垃圾郵件技術，有效地處理過濾垃圾郵件。如果企業自身缺乏相關技術人員，可以通過引入外部第三方服務商來實現反垃圾郵件的目的。

5.做好數據備份工作

CA公司的BrightStor ARCserve Backup V9，美國CA公司提供的存儲備份軟件能提供對主服務器數據庫的備份，并提供數據災難級的恢復，可以為的數據提供更加安全，更加高級的備份存儲方式。

篇8

SaaS是Software-as-a-service的縮寫，中文直譯過來就是軟件即服務。在中國學術期刊網絡出版總庫中以“SaaS”或“SaaS模式”為題名進行檢索，可以分別檢索到893篇、256篇從2006年至今的相關學術文獻，可見對SaaS的相關研究已經具有一定規模和基礎。許多學者對SaaS的概念進行了界定，但僅限于措辭上的差異，基本意義相同，即：SaaS是基于互聯網提供軟件服務的軟件應用模式。在該模式下，服務提供商將應用軟件安裝在自己的服務器上，用戶可以根據自身需求，通過網絡向服務提供商購買所需的應用軟件服務，按照購買服務的數量和時間向服務提供商支付費用。目前業內平臺型SaaS做的較好的服務供應商有八百客、Salesforce等。

3 中小企業應用SaaS平臺模式的必要性分析

3.1 中小企業應用SaaS平臺模式的必要性。根據權威統計部門數據，一家中小企業每年用于企業信息化方面的投入至少需要20萬元，對于我國四千多萬家中小企業而言，能夠承受企業信息化年投入20萬元以上的企業只占這些企業的5-10%。SaaS平臺模式減少了企業購買、搭建、維護等費用，是中小企業實現信息化的最好途徑。另外，SaaS平臺模式具有快速實施和低維護成本等優勢，充分彌補了企業資金、人才等方面的短缺。相關數據顯示，截至2011年底，SaaS全球市值達到192億美元，正在被越來越多的中小企業用戶選擇使用。

3.2 應用SaaS平臺模式的優勢。與其他傳統商務模式相比，應用SaaS平臺模式能夠給中小企業帶來的好處主要體現在以下幾方面：

①風險小。SaaS平臺模式主要以托管方式來提供服務，這較大程度地降低了由軟件開發給企業帶來的巨大投入風險。②投入少。SaaS平臺模式服務提供商通常是按照企業租用平臺模塊的數量和時間進行收費。因此，SaaS平臺模式的總體投入要比傳統模式的企業信息化投入小得多。SaaS平臺模式與傳統模式的企業信息化預算分配對比如圖1所示（圖中比例僅用于表示不同模式企業信息化預算變化趨勢，并不代表真實比例）。③維護費用低。應用SaaS平臺模式，企業既不需要支付高額的維護費用又不需要安排專業人員對軟件進行管理，這從很大程度上緩解了企業的資金和人力壓力。

■

圖1  SaaS平臺模式與傳統模式企業信息化預算對比

4 中小企業應用SaaS平臺模式存在的信息安全隱患

盡管中小企業應用SaaS平臺模式具有諸多優勢，但同時也面臨著巨大的挑戰。對于中小企業特別是處于快速成長期的中小企業而言，其最核心的企業價值就是客戶的數據等信息，因此信息安全是企業管理者最關心的問題[4]。由于SaaS平臺模式的解決方案要求將用戶的全部相關數據存放在服務供應商提供的平臺上，這使得企業數據在安全性、可靠性、穩定性等方面存在較大的信息安全隱患。分析機構IDC的分析師Laura DuBois表示：“中小型企業必須非常謹慎的挑選供應商以存儲他們寶貴的數據”。

4.1 安全患。安全患是SaaS平臺模式面對的首要問題。對于企業來說，數據的安全性至關重要，尤其是作為企業核心機密的財務數據和客戶信息。安全患主要體現在以下兩方面：一方面，財務管理人員由于缺乏網絡信息安全知識和對信息安全規則的認識不足而造成的數據丟失、泄露等隱患。例如，網上報賬會使外界干預系統的機會增多，從而加大了更改訂單、銀行結算單等惡性事件發生的可能性。另一方面，由于目前SaaS 平臺模式數據庫缺少有效的數據加密措施，外界可以輕而易舉地從外部打開數據庫并進行修改，從而加大了客戶信息遭到泄漏、惡意篡改，甚至被刪除，造成整個網絡系統癱瘓的可能性。

4.2 可靠患。可靠患主要體現在網絡病毒和非法入侵兩方面。一是由于企業使用SaaS平臺模式必須將其局域網與互聯網相連接，因此，使SaaS平臺系統感染病毒的機率大大增加，病毒防范的難度加大，任何在互聯網上的行為都有可能使SaaS平臺系統感染病毒。二是由于SaaS平臺模式采用的是公用通信線路，因此存在惡意損壞網絡設備、在網絡上對系統進行非法入侵活動等可靠患。

4.3 穩定患。穩定患主要是指網絡延遲。由于SaaS平臺模式服務提供商在數據庫設計上普遍采用大型商用關系型數據庫和集群技術，使許多個企業用戶共享一個數據庫，當用戶訪問量驟然增加時，勢必增加響應延遲，影響平臺服務的穩定性。

5 防范信息安全隱患的措施

針對SaaS平臺模式存在的安全性、可靠性、穩定性等信息安全隱患，無論是SaaS服務提供商還是企業用戶，都應該積極采取各種防范措施，減少信息安全隱患的發生。

5.1 增強信息安全防范意識。提高信息安全防范意識是保證SaaS平臺模式信息安全的重要前提。對于SaaS平臺模式服務提供商而言，要增強信息安全防范意識，首先要制定統管全局的信息安全管理制度，明確責任，使信息安全管理有章可循，有法可依;其次要加強對系統維護人員和技術支持人員的職業道德教育，使其在職業操守上能夠恪守職責。

5.2 確保硬件設備安全。硬件設備安全是SaaS平臺正常運營的基本保障。SaaS服務提供商應將SaaS平臺服務器、通信設備等硬件設備設置在一個高度安全的場所，該場所應具有防火、防盜、防靜電設施，配有溫度和濕度控制設備，并且電源安全符合網絡設備要求，從而確保硬件設備安全。

5.3 建立身份認證和訪問控制。在認證與授權方面可以通過對信息操作人員設置不同的權限及權限組合形成多維、多層次、全方位的身份認證和訪問控制，最大限度地保證SaaS平臺模式的安全性和可靠性。

篇9

[文章編號] 1009-6043（2017）02-0125-03

引言

隨著現代經濟的不斷發展，越來越多的企業應用了網絡會計信息系統，但由于使用該系統的水平并沒有達到一定的要求，無論是會計人員還是系統本身都存在一定的風險和安全隱患，造成了企業財務信息的失真和丟失甚至是泄露。一些中小企業認識到了問題的重要性，開始研究解決安全患的方法與措施，學術界的學者也紛紛發表了各自的看法，提供了大量的理論觀點和現實依據，加強了會計信息系統的管理與應用，提高了使用的安全性。本文針對會計信息系統尚存在的安全問題進一步做了研究，為企業今后的發展提供新的參考和依據。

一、網絡環境下會計信息系統的特點

（一）經濟性與高效性

網絡環境下會計信息系統具有經濟性和高效性。從經濟性角度來看，網絡環境最大的特征就是成本低，范圍廣，通過網絡平臺將自己的產品，價格以及功能向大家展示出來。而會計信息系統的建立主要也是通過網絡進行的，只有在此環境下才更有利于信息的收集和數據的分析，同時也是成本最低的采集信息的方式。對于會計信息的監督行為也可以通過網絡遠程操控來實現，對于企業會計管理更具有經濟性；從高效性的角度來看，現如今的社會發展沒有比網絡更快捷高效的方式，尤其對于信息傳播和收集方面，網絡平臺掌握著所有可公開的信息，只需要簡單的搜索就可以實現，尤其是信息的廣泛性，想要針對任何對象都可以進行快速搜索來全面了解，會計信息系統以最快的速度進行反應和決策，所以網絡對于會計信息系統的使用是具有高效性的。

（二）及時性與實效性

傳統的會計信息處理需要登記賬簿，審核憑證等程序，一系列復雜的步驟常常耽誤大量的時間和精力，而網絡環境下會計信息系統的建立避免這些繁瑣的程序，財務部門對于所有相關的企業信息分門別類進行網絡系統存儲，同時對信息進行及時的處理和反饋，使企業最快的做出市場反應。針對一些不斷變化和更新的數據，更需要在網絡中進行及時搜索，會計根據信息的用處抓住有效的信息資源，最快速地將信息整合成整體資料，提供給相關部門，促進企業內部工作效率的提高，所以網絡環境下會計信息系統具有及時性和時效性等特點。

二、網絡環境下中小企業會計信息系統存在的安全問題

（一）財務資料保管不嚴密，易丟失

財務資料反應的是整個企業內部資金狀況和經營現象，關乎企業的發展，是企業最核心的資料，所以財務資料具有保密性的要求。但是目前仍然存在較多的丟失資料和泄露數據的現象，一般來說主要是會計管理人員的工作責任。一方面，針對資料丟失現象，基本是因為會計人員操作錯誤，誤刪或者沒有存儲造成資料丟失；另一方面，如有數據泄露，有可能是由于網絡安全性設置不完善或者內部人員外泄兩個方面，即使設置了安全密保，也有可能被專業人員破解，所以對于起到保密性的軟件開發對企業的信息安全管理更為重要。

（二）會計信息系統存在漏洞，易遭黑客攻擊

現代互聯網環境中，黑客攻擊現象越來越嚴重，尤其對于企業內部數據的侵襲和盜取造成極大的危害。究其根源，會計信息如果遭到網絡黑客的攻擊，一般是由于系統內部存在一定的漏洞，讓黑客鉆了空子，而且目前黑客使用的技術和軟件都比較先進，針對系統存在的漏洞容易發起攻擊，并能夠瞬間盜走數據，同時也可以通過病毒或者木馬進行數據破壞，導致整個會計信息系統的安全指數降低，為企業引入了新的風險。

（三）存在會計信息失真問題

會計信息失真是指所獲得的會計信息和數據不能真實的反應相關的經濟活動，從而對企業的決策造成干擾。一般會計信息失真現象來源于兩個方面，一方面是來源渠道出現問題，造成會計人員無意采用了不真實的數據，大部分原因是因為現代網絡數據確實有不實的現象，會計人員專業水平不夠，會難以分辨數據的真偽；另一方面是由于會計工作人員素質低下，收到外部環境的誘惑或者收買，有意偽造信息，從事了扭曲真實信息的非正常經濟活動。會計信息失真現象最根本的原因在于企業內部管理的缺失，才會引起大量數據不真實和員工的違規行為，企業必須引起重視，有效的控制企業會計信息失真現象。

（四）網絡會計人員缺乏，系統應用不深入

現代中小型企業員工的知識和技能水平較低，尤其是計算機水平，大多數人都達不到要求。目前網絡會計專業人員較少，一部分表現為計算機知識和使用技能缺乏，對軟件和系統的應用不熟練和不專業，造成網絡會計系統存在較大的安全性問題?，F代網絡環境十分復雜，功能也較多，常常會有惡意程序進入電腦，因為會計人員安全意識薄弱，而且專業度不夠，很難發展潛在的危險，盲目的進行操作和處理，無疑會對信息系統造成巨大的破壞。即使是經驗豐富的會計人員，不能合理和科學的操控計算機也無法勝任網絡會計一職，否則出現操作不嚴密和不規范的現象，會嚴重損壞系統的正常運作，甚至造成大量數據遺失，這會給企業帶來更多的安全隱患。

三、網絡環境下中小企業會計信息系統問題存在的原因

（一）會計人員操作不規范

現代網絡會計信息系統的建立是為了更好的適應信息化時代的要求，但是對于計算機使用水平要求較高，會計人員常常會因為操作不規范影響系統的正常運行。會計操作不規范一方面是指對電腦軟件使用不熟悉甚至是不了解，數據收集以及分析處理都不能有效的使用軟件進行，很難發揮財務軟件的多方面功能和作用，尤其進行不懂裝懂的錯誤操作，使軟件完全失去了功能，也失去了效應；另一方是指面對問題處理操作使用的不規范也是造成安全隱患的重要原因。每個系統都會階段性的出現問題，如果不能及時有效的處理就會對系統造成更嚴重的損害，還需要花費大量的時間進行修復。而會計人員如果在面對故障時不但不會因為不了解而放棄處理，反而進行了不合理的操作，將會造成無法彌補的損失，對企業整體的內部財務環境具有嚴重的破壞性。

（二）網絡安全控制制度不健全

許多企業都是因為管理制度缺失造成大量的安全危機。會計信息系統存在安全隱患的額一部分原因是由于網絡安全控制制度不健全。對于安全性能、操作規范程度、策略方法等都尚未建立一整套安全控制制度，同時對于網絡安全的監督體制也不完善，對于某些小型企業甚至沒有相關制度。管理人員因為沒有意識到管理體制，尤其是安全管理體制的重要性，那么出現安全問題也很難及時高效的處理。國家需要有法可依，那么企業需要有制度作為依據才能有序的經營，安全是所有企業最重視的最核心的問題。尤其面對網絡環境，安全性是第一位，所以會計信息系統的安全制度如果不健全，必會對企業信息安全造成一定影響和破壞，阻礙企業經濟的發展和進步。

（三）網絡系統本身的權限開放

會計信息系統并非獨立的系統，集成化信息模式使系統不在單獨針對會計或者財務部門開放，整個企業的物流、資金流、顧客訂單等都將在互聯網平臺共享，而會計信息的安全性能只屬于企業安全管理的一部分。會計信息的管理權限如果沒有得到有效的控制，那么必然會造成信息或者數據被無意或者有意的泄露。如果是過于復雜的權限設置，由于約束條件比較多，例如用戶的身份、不同時間等，限制相關人員數據收集和信息處理，而且還存在大量臨時設立的權限，存在更多的不安全成分。因此權限的設置和控制會對網絡會計信息系統的安全性造成一定的影響。

（四）會計人員職業道德和信息化水平低

網絡會計信息系統主要依靠會計來進行管理和控制，主動權基本掌握在會計工作人員的手上，所以會計人員的職業道德和信息化水平影響著網絡信息安全。大量的數據丟失和泄露有60%的原因是由于會計人員的職業道德低下，禁不住誘惑會出現一些虛假記賬或者泄露信息等行為，而且企業關注會計人員管理的制度如果不完善，缺乏懲罰制度，更加使會計工作人員不會堅持原則和嚴格遵守職業道德，這樣會計人員會不斷出現造假泄密的問題，導致企業財務受損。然而，會計人員的信息水平低也是造成信息系統存在安全隱患的原因，錯誤的操作會使數據誤刪等現象出現，所以，對于網絡會計信息系統的安全性受會計人員的控制，也取決于會計人員的道德素質和信息化技能水平。

四、網絡環境下中小企業會計信息系統問題的解決對策

（一）規范操作步驟，明確工作流程

對于網絡會計信息系統的安全管理，中小企業應該規范操作步驟，明確工作流程。對于規范操作步驟方面，主要針對的是會計人員對系統的操作，對于數據的收集、處理、分析、整合等各個過程都需要制定操作步驟，確保每個人嚴格執行，避免錯誤性操作帶來的危害，同時對相關會計人員進行定期培訓，對于所制定的操作步驟存在的問題進行完善。針對工作流程，企業應該建立一整套基本流程，明確各人員的責任分工，確保每一項任務都有具體人員負責，然后要求大家對整體工作流程有所了解，在完成自己負責的任務的基礎上協助他人，將整個會計信息系統進行規范化和程序化管理。

（二）建立健全網絡安全控制制度

網絡會計信息系統應該建立以及不斷完善網絡安全控制制度。第一，建立網絡風險控制制度，對于會計信息系統可能發生的風險進行預警和控制，做出處理預案，針對不同的風險進行分類以及提出不同處理方法，根據建立的風險管理體制應對不同種類的風險；第二，建立會計人員管理體制，信息系統的安全大部分取決于會計人員的素質和技術水平，企業應該建立有效的員工管理體制，對其保密性和負責的態度都需要不斷加強，根據體制進行對員工工作的規范化管理以及獎懲手段實施；第三，建立信息應用管理制度，主要是針對信息的輸入，處理以及輸出的控制，方便會計人員進行分析、檢測和預防等；第四，建立網絡信息訪問權限控制，對于比較隱秘性和重要性的信息和數據的訪問應該設置訪問權限，確保是專業人員進行高技術設置，盡量避免被黑客盜取和破壞，同時對于內部公開性信息可以建立簡單的員工內部訪問權限，主要是為了提醒大家這屬于企業內部可公開的資源，如果有外泄現象仍然會嚴重處理。

（三）加強會計信息系統硬件管理和軟件升級

針對會計信息系統的軟硬件都需要強化和進一步管理。硬件方面應該負責專門會計人員進行監督管理，未經授權的其他人不能直接使用計算機，使用獨立的服務器，拒絕其他存儲設備外接到計算機設備上造成干擾，在電源、防火、防水等方面嚴格把關，必須要求有專門人員進行機房的管理；針對軟件方面，應該適應現代信息技術水平，勇于開發新的功能技術軟件，同時對原有軟件針對其漏洞不斷升級，保證最先進的軟件技術。

（四）提升會計人員職業道德素質和信息化技能

會計人員的職業道德素質與信息化技能是影響網絡會計信息系統安全的重要因素。企業針對會計人員道德素質方面，需要對會計人員進行日常行為的角度和評價，對員工心理變化及時發現，同時應該建立合理的激勵機制，對于突出表現的員工給予物質或者精神獎勵，反過來對于泄密造假等行為必須給予懲罰，實行制度的同時確保公平公開性原則，這樣員工整體的職業道德素質會被有效的控制；對于員工的信息化水平的提高，應該為員工創造多次培訓學習以及深造的機會，充分掌握市場上最流行先進的技術手段，保證員工信息化水平與市場同步，這樣網絡會計信息系統的安全運行才會有所保障。

（五）持續評估控制會計信息風險

企業面對會計信息風險，應該保證持續評估和控制。每次對于數據的處理和信息的反饋都包含多方面內容的整合，會計人員應該學會整個過程的評估和控制，可以首先建立科學評估指標，依據指標進行對現有信息系統進行評估，預測潛在的風險，然后采用針對性的戰略措施進行有效的控制。對于風險的評估不能間斷，需要專業人員實時檢測和監督，及時發現問題和故障，針對預測的風險做出預案，這樣才會有效的規避風險，促進企業信息管理正常運作和持續的發展。

結語

目前網絡會計信息系統應用較為廣泛，現代企業隨著市場的變化和要求不斷地提高，逐漸加強了企業內部環境的技術水平。網絡會計信息系統是一個比較復雜的現代系統，在數據的輸入與輸出過程中存在較多的安全隱患，一部分來源于會計人員的自身問題，一部分來源于網絡本身的不安全性，這都會對系統有一定的破壞性，從而對企業的財務信息管理造成危害。所以企業管理層已經引起了注意，開始關注針對系統的風險和安全管理與控制問題，現有的理論基礎和體制尚不完善，從會計人員來看仍然存在道德素質低下與技術水平不合格的現象，從網絡技術來看還存在一定的漏洞和不足，需要進一步的改進和加強。本文的研究主要針對網絡會計信息系統現存的問題進行針對性的提出建議，為現代中小企業提供了參考依據，也為企業的管理發展奠定了現實基礎。

[參 考 文 獻]

篇10

1.2會計云計算的優勢

（1）降低了中小型企業信息化的成本。

在中小型企業中有些企業的信息化程度不高，他們所采用的服務器規模也不是很大，但是運行卻很慢，整體的質量也不是很高。企業的信息化領域不是很大，它有一定的局限性，只是在財務、銷售等領域來運行，這樣來保障企業的信息化管理。隨著會計云計算的出現，企業再也不用對服務器和信息處理進行較大的投資，可以通過向供應商租賃軟件和硬件來實現企業的信息化，這樣就會降低企業的經營成本。還有就是以前企業對于維護服務器和升級軟件也要投入一定的資金，但現在有了云計算之后，這一部分的開支就可以省下來了。整個下來就降低了企業對信息化處理的成本了。

（2）中小型企業會計信息化拓展得到了保障。

既然供應商為企業提供了最適應于企業的信息處理軟件，供應商就會不斷的更新這些軟件，使得軟件能夠提供更多、更優質的服務。對于企業來說，通過軟件的更新獲得最先進的信息管理技術，最大程度上自身對信息的需求，并且也降低了會計信息化建設當中的風險。利用會計云計算技術還可以與其他相關的部門或者是企業共享財務信息，會計信息也得到了擴展。

2.云環境下的信息安全

2.1設置訪問認證

供應商為企業提供的軟件服務基本上都是統一認證的，這對企業來說就是不安全的，所以服務商應該將中小型企業的部門人員進行信息和登錄信息的編組，并且存儲在服務商的內部資料當中，這樣就形成了該企業的訪客信息數據庫，當有用戶登陸的時候服務商就對訪客進行信息核對并進行認證，通過的訪客就可以查看對應于自己權限的財務情況。

2.2數據安全傳送

現如今數據的傳輸過程不是不安全的，一些黑客通過網絡竊取所需要的企業財務信息或者是商業信息，有些還會篡改財務數據等等，中小型企業應該把云端的SQL數據庫進行加密，或者是開辟一條專用的網絡傳輸通道，前者可以使得被盜信息在讀取的時候不夠完整，后者可以使信息在傳輸的過程中丟失的幾率降低。

2.3保持網絡穩定

會計的核算是連續性的，這樣就要保證網絡傳輸的速度和質量。云服務器以及數據庫中的數據在傳輸當中不能出現擁堵或者是丟包的現象，丟包就會使得數據不完整，影響到企業的整個財務鏈。在此同時還要對斷電事故有應急預案。

2.4保證商業秘密的安全

一個企業的商業秘密被泄漏，會對這個企業造成不同程度的損害。一旦云端數據中心存儲的核心財務數據被泄露或盜取，就會牽連到中小型企業的發展，有些甚至會對其生存產生巨大的影響。因此，中小型企業要有效的降低這種風險，保留一部分級別高的數據掌握在自身手里。與此同時還應該建立動態商業機密監控機制，規范訪問流程，建立起應對泄密事件發生時的反應機制。

篇11

隨著中國企業信息化系統的不斷完善，信息化平臺已經從固定互聯網向移動互聯網延伸。與此同時，信息安全問題也逐漸面臨更多的挑戰。

對大多數信息化企業而言，其經營計劃、知識產權、生產工藝、業務流程、推廣方案、客戶資源等重要數據都將融入移動互聯網，而這些數據不僅是企業發展的方向和動力，更關乎企業的生存與命運。

如何保證這些數據的安全，并且只容許那些擁有相應權限的企業員工方便地訪問它們？這個問題已經不再像以往“收好保險柜鑰匙”那么簡單了。

無論是大型企業還是中小型企業，信息安全的建設都是信息化建設的首要任務之一。盡管如今的企業移動信息平臺已經能夠勝任電子郵件系統、視頻通話系統、企業內網等大部分原有基于固定互聯網的信息平臺的工作，ERP、SCM、CRM、OA等系統也都可以順利地向移動信息平臺擴展，但是，在擴展之前，企業一定要制定好一套完整的移動安全策略。只有這樣，才能讓移動信息平臺的安全策略與整個信息化系統保持一致。因此，配套而完整的移動安全策略非常重要，因為企業需要的不只是移動終端的安全，更需要企業所有信息的安全。

移動信息平臺的安全性首先體現在后臺管理系統對移動終端的控制力上。一套出色的后臺管理系統應該不僅可以遠程管理終端閱覽信息的權限、調整終端的安全設置、控制終端可使用的功能，在必要時還能刪除終端上的數據，以保證企業信息的安全。

那么，企業在制定移動安全策略時，具體應當考慮哪些方面的舉措呢？根據RIM公司長期的實踐經驗來看，主要應注意企業防火墻、無線數據傳輸、移動終端、病毒及惡意軟件、企業安全標準、安全策略和安全合規等7個方面。另外，合規安全也應作為重要因素考慮進企業的移動安全策略當中。

企業防火墻是防止企業網絡遭受攻擊的重要屏障。由于移動終端通常在防火墻外部使用，防火墻端口的保護就顯得尤為重要。完備的移動解決方案不僅要確保智能手機正常連接企業內網，還不能影響企業防火墻設置中的現有安全策略，繼而保證防火墻端口的安全。

基于移動互聯網的無線數據傳輸是信息安全的重要一環，確保無線數據傳輸具備高度的保密性、完整性和真實性也非常關鍵。這要求移動安全策略不但要保證無線數據的安全性，同時還能驗證無線數據的來源，從根本上保證數據傳輸的安全性。

長期以來，病毒和惡意軟件都是企業IT管理部門頭疼的問題，但現在，這個問題已經能夠得到很好的解決。服務于世界500強的RIM公司研發的智能手機操作系統，具有的獨特性和先進架構使其幾乎不可能被病毒或惡意軟件攻擊。同時，該企業推出的移動解決方案（BES）的高度安全性也保證了整個企業移動解決方案不會給企業信息安全帶來絲毫風險。

此外，移動解決方案還需與企業現有的信息化系統具備絕佳的兼容性，其中包括對企業安全標準的兼容。需要指出的是，方案的部署不應以改變企業的安全策略為代價，而是要能很好地支持現有標準。此外，完備的移動解決方案還能幫助企業網絡管理員很方便地建立、增強及更新安全策略。RIM的移動解決方案不但對所有相關設備都具有很強的綜合控制能力，還能夠令企業的移動信息平臺真正成為一個有機整體，確保安全策略的周全。

篇12

在辦公室里指疾如風地在鍵盤上敲打數據、處理工作的時候,你是不是也曾經一次又一次對電腦屏幕右下角浮現的更新圖標視而不見呢?即使已經有提示框跳到屏幕中央,你是不是也會不耐煩地點擊“忽略”、“下次再提醒我”呢?除了升級本身會導致的電腦運行緩慢,升級完成后必需的電腦重啟工作也讓人不勝其煩,而本來習慣的軟件界面和功能選項的不斷修訂也需要時間重新適應,在手頭業務繁忙的時候,一般的軟件更新簡直就是一場噩夢!

不過數據證明,逃避軟件更新雖然暫時保證了工作的流暢,卻為日后的信息安全埋下了隱患。知名信息安全廠商卡巴斯基實驗室日前在報告中指出: 2010年第三季度在用戶計算機中檢測出的10個分布最廣泛的漏洞中,有多個是其供應商在2007至2009年間就提供過相應補丁程序的。造成這一局面的原因,就是很多用戶不經常升級計算機中的軟件。

當然,要規避這些危險并不是不可能的,如果出于節省時間和精力的目的不愿意經常進行常規軟件的更新和打補丁,那么就一定要配備具備超強時效性的安全解決方案,以應對隨時可能出現的針對性漏洞攻擊。在這一方面,作為業內唯一能做到每小時更新病毒庫的卡巴斯基無疑是相當不錯的選擇。第一時間對新生惡意程序進行響應,是無數企業的首要需求,也符合患有“更新恐懼癥”的員工們最迫切的需要。但是每小時更新是不是與用戶對不斷更新重啟這一軟件行為的排斥相矛盾呢?對于這一問題,卡巴斯基相關負責人表示,卡巴斯基企業版產品不會給用戶帶來這一方面的困擾,無論是病毒庫,還是反病毒模塊,只要是一般情況下的常規更新,都無需進行計算機重啟,可大大減少對用戶日常工作的影響;而更新過程中亦不會降低電腦的運行速度,除了因為卡巴斯基采用的新技術使用了更小的下載安裝包以外,還因為更新程序完全可以由管理員統一設置為后臺運行,用戶幾乎完全感覺不到這一過程。

俗話說:一物降一物?？ò退够罢靶缘姆烙夹g、實時更新的反病毒數據庫和獨到的“后臺無干擾升級”,就是 “更新恐懼癥”的一大克星。而解決了這一看似不起眼的細節問題,才能確保反病毒數據庫的實時更新,從根本上保證企業的信息數據安全。

篇13

經過近幾年的發展，中國鐵建股份有限公司（以下簡稱中國鐵建）的信息化工作全面展開，眾多信息化項目的實施，大量信息系統的上線應用，有力地促進了企業核心競爭力的提升。

隨著信息系統不斷建成與投入應用，信息資源擁有量快速增長，對信息安全的保障需求日顯強烈，信息安全管控建設的滯后與日益增長的信息安全需求的矛盾日益突出。中國鐵建根據國內外成熟的信息安全標準和方法，結合企業業務發展戰略和企業特點，構建符合本公司業務實際和安全需要的信息安全管控體系，全面提升信息安全保障能力，并取得了初步效果。另外，信息安全等級保護制度作為國家在信息安全保障管理上的根本制度，具有強制性的特征，也要求企業認真加以貫徹落實。

在實際工作中利用怎樣的手段來保障信息安全管控體系、信息安全等級保護制度得到切實執行，成為亟待需要解決的問題。

為此，結合中國鐵建所屬各單位地域分布廣、信息化水平差距大的特點，經過初步探索，將信息安全指標納入了中國鐵建信息化績效評價體系，與各子分公司領導考核掛鉤，從“信息安全事故”和“等級保護”兩個維度、四項指標，通過定量對比分析，對各單位的信息安全工作進行評價，以推進信息安全持續改進。

2 考核原則

（1）公開、公平、公正。嚴格按照考核細則對被考核單位，在公開、公平、公正的環境中，進行客觀的評價。

（2）實事求是。被考核單位應如實反映信息安全工作情況，提供的相關資料和數據真實可信。

（3）遵循規劃、貫徹制度、檢查效果、保障安全?？己酥笜说奶岢鲆孕畔踩巹潯⒅贫葹橐罁攸c在信息化建設效果并保障信息安全。

（4）區別對待，逐步演進。根據子公司規模、成長階段、業務特點的不同，區別對待；根據信息安全建設重點，不同年度有不同的考核重點，逐步演進。

3 考核指標

中國鐵建大量的信息系統處于建設時期，因此每年對指標進行調整。目前，根據信息系統等級保護評價指標體系的原則要求， 選擇具有可操作性、可以量化的指標，從信息安全事故和信息系統安全等級保護兩個維度，信息安全事件、等級保護定級率、等級保護備案率、等級保護測評通過率四項指標進行了考核。

3.1 信息安全事件

信息安全事件及分級以中國鐵建《信息安全事件管理規定》定義為準。信息安全事件分為特別重大事件（I級）、重大事件（Ⅱ級）和一般事件（Ⅲ級）三個級別。

指標要點

（1）信息系統安全事件級別的確定。從類別劃分，信息安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、設備設施安全功能故障、災害性事件等五種；從級別劃分，信息安全事件分為特別重大事件（I級）、重大事件（Ⅱ級）和一般事件（Ⅲ級）三個級別。

（2）信息安全事件的瞞報。對于發生信息安全事件后，隱瞞事故，在規定時限內不主動向上級部門如實報告的情況，除扣除其該項考核成績外，按照股份公司有關規定進行通報并嚴肅處理；對多次發生信息安全事件的單位，將加強監督檢查，并責令其徹底整改。

3.2 等保定級率

考核年度在建至驗收投入應用各階段的信息系統與歷年上報的定級報告不重復累計數之比。

指標要點

（1）信息系統定級準確性。部分單位認為信息系統定級級別越高，就要花費更多的資金、精力，加重單位負擔，因此將基礎信息網絡、門戶網站、郵件、財務等重要信息系統定為一級，以逃避備案、測評。

針對這種情況，股份公司按照《信息系統安全等級保護區域劃分原則與定級指南》，對信息系統定級進行規范，并對定為一級、二級的信息系統進行重點檢查，避免定級不準確。

（2）信息系統數量準確性。部分單位在實施等保工作時，上報的信息系統數量小于實際建設數量。因此，在實際操作中，本考核項的分母“信息系統數”以該單位編制信息化項目預算時上報的信息系統數量為準。

（3）需提供加蓋本單位公章的《定級報告》掃描件。

3.3 等保備案率

考核年度在建至驗收投入應用各階段的信息系統數與歷年上報的備案證書不重復累計數之比。

指標要點

（1）備案公安機關的選擇。針對部分單位未根據國家法律法規選擇合適公安機關備案的情況，股份公司在的《信息系統安全等級保護管理辦法》中規定：股份公司統建系統，三級及以上系統向公安部網絡安全保衛局備案、二級系統向北京市公安局鐵道建筑公安局備案；駐京單位自建信息系統向北京市公安局鐵道建筑公安局備案；京外單位自建信息系統向當地市級及以上公安機關備案。

（2）等保備案率的確定。等保備案率中的分母“信息系統數”，指的是該單位編制信息化項目預算時上報的信息系統數量，并非已定級的信息系統數量。

（3）需提供公安機關出具的《備案證明》掃描件。

3.4 等保測評通過率

歷年上報的定級備案證書不重復累計數與歷年測評通過的信息系統不重復累計數之比。

指標要點

（1）測評報告符合率。為防止部分單位將工作精力側重于取得測評報告，而忽視了對測評中反映出的安全問題的整改，在實際工作中，重點對測評不符合率較高的信息系統進行抽查，責令單位定期進行整改。

（2）需提供合格測評機構出具的加蓋測評機構公章的《安全等級測評報告》掃描件。

4 考核權重

4.1 信息安全事件

附加分項，最高減K分。出現一次I級信息安全事件、減K分；出現一次級信息安全事件、減K/2分，最多減K分。

4.2 等保定級率

基本分項，滿分K分?？己四甓仍诮ㄖ硫炇胀度霊酶麟A段的信息系統數為A，歷年上報的定級報告不重復累計數為B，定級率M=B/A，平均定級率∑M=∑B/∑A。定級率得分S=min{（M/∑M）×K，K}。

4.3 等保備案率

基本分項，滿分K分?？己四甓仍诮ㄖ硫炇胀度霊酶麟A段的信息系統數為A，歷年上報的備案證書不重復累計數為C，備案率M=C/A，平均備案率∑M=∑C/∑A。備案率得分S=min{（M/∑M）×K，K}。

4.4 等保通過率

基本分項，滿分K分。歷年上報的定級備案證書不重復累計數為C，歷年測評通過的信息系統不重復累計數為D，測評通過率M=D/C，平均測評通過率∑M=∑D/∑C。測評通過率得分S=min{（M/∑M）×K，K}。

5 指標計算

考核指標項分基本分項、附加分項兩類。以本單位基本分項滿分（Ai）為基數，用實際得分（Bi）計算其得分率（Mi=Bi/Ai），除以最高得分率（Mmax），再乘以信息安全工作績效指標分（C），即為信息安全工作考核實際得分（Si=C×Mi/Mmax）。

6 結束語

本文對中國鐵建將信息安全指標納入信息化績效評價體系進行了概述， 提出了綜合評價的方法，希望能借以推進本企業信息安全工作的開展，提高信息系統的安全性，并切實將國家法律法規落到實處。從實際執行效果看，已經取得了一定的成效。

參考文獻

[1] GB/T 22239―2008，信息系統安全等級保護基本要求.

[2] GB 17859-1999，安全等級保護劃分準則.