談談對信息安全的理解

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇談談對信息安全的理解范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

談談對信息安全的理解范文第1篇

關鍵詞： 物聯(lián)網(wǎng)；信息安全；金奧博；網(wǎng)絡密碼

北京金奧博數(shù)碼信息技術有限責任公司在計算機及網(wǎng)絡技術方面不斷創(chuàng)新和提高，特別是在互聯(lián)網(wǎng)安全領域具有較為豐富的積累。金奧博是北京市密碼產(chǎn)品定點生產(chǎn)和銷售單位，他們研制的多項安全產(chǎn)品通過了國密辦的安全鑒定。公司日前組建的網(wǎng)絡密碼認證實驗室也被認證為北京市重點實驗室，承擔物聯(lián)網(wǎng)安全方面的研究工作。

為了更加深入地了解和探討物聯(lián)網(wǎng)的安全問題，《物聯(lián)網(wǎng)技術》雜志記者日前對北京金奧博數(shù)碼信息技術有限責任公司信息安全部技術總監(jiān)、網(wǎng)絡密碼認證技術北京重點實驗室副主任、北京市科技新星李瑛女士就物聯(lián)網(wǎng)的安全問題進行了專訪。

本刊記者：我們了解的北京金奧博數(shù)碼信息技術有限責任公司在互聯(lián)網(wǎng)安全領域有較為豐富的積累。新一代信息技術革命又讓我們進入了物聯(lián)網(wǎng)時代。請您談談物聯(lián)網(wǎng)的安全和互聯(lián)網(wǎng)的安全有什么不同，貴公司覺得物聯(lián)網(wǎng)安全研究的現(xiàn)狀是怎樣的？

李瑛女士：物聯(lián)網(wǎng)的推廣使用能夠給人們的生活帶來便利，可以提高工作效率，同時推動國民經(jīng)濟的發(fā)展，但是也必須注意到物聯(lián)網(wǎng)的大范圍普及會存在巨大的安全隱患。信息化與網(wǎng)絡化帶來的風險問題，在物聯(lián)網(wǎng)中會變得更加迫切與復雜。由于物聯(lián)網(wǎng)連接和處理的對象主要是機器和物，以及相關的數(shù)據(jù)，其感知節(jié)點大都部署在無人監(jiān)控的環(huán)境，具有能力脆弱、資源受限等特點，其“所有權”特性導致物聯(lián)網(wǎng)對信息安全的要求比以處理文本為主的互聯(lián)網(wǎng)更高，對保護隱私權和保障可信度的要求也更高。在物聯(lián)網(wǎng)發(fā)展的高級階段，由于物聯(lián)網(wǎng)場景中的實體均具有一定的感知、計算和執(zhí)行能力，廣泛存在的這些感知設備對國家基礎設施、社會和個人信息安全存在新的安全隱患。

我們都知道物聯(lián)網(wǎng)目前存在安全問題，如果這些問題不能得到很好的解決，或者說沒有很好的解決辦法，將會在很大程度上制約物聯(lián)網(wǎng)的進一步發(fā)展。我們在強調標準、技術、應用方案以及人才的同時，也不能忽視物聯(lián)網(wǎng)安全的重要性。

根據(jù)物聯(lián)網(wǎng)的特點，2009年歐盟物聯(lián)網(wǎng)項目研究組制定的《未來物聯(lián)網(wǎng)戰(zhàn)略》中明確指出：物聯(lián)網(wǎng)在安全和隱私方面的研究以節(jié)能高效的安全算法和低成本、安全、高效的安全認證設備為研究方向。國內對物聯(lián)網(wǎng)安全技術的研究以安全框架和探索研究居多，具體安全技術的研究較少。我們的物聯(lián)網(wǎng)密碼認證系統(tǒng)是不是行業(yè)唯一的物聯(lián)網(wǎng)安全系統(tǒng)，我不能肯定，但是我確實沒有聽到有類似的產(chǎn)品。在今年4月份北京召開的中國（北京）國際物聯(lián)網(wǎng)博覽會和8月份深圳召開的中國（深圳）國際物聯(lián)網(wǎng)技術與應用博覽會上，物聯(lián)網(wǎng)安全系統(tǒng)方面的參展商只有北京金奧博數(shù)碼信息技術有限責任公司一家。

本刊記者：請您簡單介紹一下金奧博，貴公司是一個什么樣的公司，公司在安全系統(tǒng)研究方面有什么積累或優(yōu)勢，最初又是怎樣想到要做“物聯(lián)網(wǎng)安全系統(tǒng)”的？

李瑛女士：北京金奧博數(shù)碼信息技術有限責任公司是北京市科學技術情報研究所下屬的、具有獨立法人資格的股份制高新技術企業(yè)。金奧博是遵照科技部的有關科研機構改制要求，以北京市科技情報研究所的計算機部為基礎，為更好地適應社會發(fā)展，轉變經(jīng)營管理模式而成立的具有獨立法人資格的股份制高新技術企業(yè)。金奧博繼承了以往服務政府和社會的優(yōu)良傳統(tǒng)，堅持為政府及廣大企事業(yè)單位提供信息技術的研究與開發(fā)服務。近年來，金奧博在計算機及網(wǎng)絡技術方面不斷創(chuàng)新和提高，特別是在互聯(lián)網(wǎng)安全領域有較為豐富的積累。公司目前是北京市密碼產(chǎn)品定點生產(chǎn)和銷售單位，所研制的多項安全產(chǎn)品都通過了國密辦的安全鑒定。最近，北京金奧博數(shù)碼信息技術有限責任公司組建的網(wǎng)絡密碼認證實驗室也被認證為北京市重點實驗室，承擔物聯(lián)網(wǎng)安全方面的研究工作。

在物聯(lián)網(wǎng)概念興起時，我們發(fā)現(xiàn)，物聯(lián)網(wǎng)和互聯(lián)網(wǎng)其實是密不可分的。現(xiàn)有網(wǎng)絡安全體系中的大部分機制仍然可以適用于物聯(lián)網(wǎng)，并能夠提供一定的安全性，如認證機制、加密機制等，但是還需要根據(jù)物聯(lián)網(wǎng)的特征對安全機制進行調整和補充。所以我們開始將多年積累的安全技術以及對數(shù)據(jù)安全的理解應用到物聯(lián)網(wǎng)中來，并開始研究與物聯(lián)網(wǎng)特征對應的安全機制。目前，國內都在談物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展存在的問題，但很少有企業(yè)站出來表示能解決物聯(lián)網(wǎng)的安全問題或者愿意著手解決這些安全問題。考慮到物聯(lián)網(wǎng)對中國未來經(jīng)濟的重要性、國家安全的重要性，必須要有中國自己的企業(yè)來承擔這一神圣使命。北京金奧博數(shù)碼信息技術有限責任公司是為數(shù)不多的愿意承擔這一使命的企業(yè)，也是為數(shù)不多的明確從事物聯(lián)網(wǎng)安全研發(fā)且又有實際產(chǎn)品的企業(yè)。希望北京金奧博數(shù)碼信息技術有限責任公司能為中國物聯(lián)網(wǎng)的網(wǎng)絡信息安全做出自己的貢獻。

談談對信息安全的理解范文第2篇

羅洪元，《建筑及居住區(qū)數(shù)字化技術應用》國家標準推廣應用組專家。現(xiàn)任國家電子計算機質量監(jiān)督檢驗中心、國家電子標簽產(chǎn)品質量監(jiān)督檢驗中心、信息產(chǎn)業(yè)部IC卡質量監(jiān)督檢驗中心主任。多年來羅教授從事計算機軟件開發(fā)、小型計算機技術服務、信息技術產(chǎn)品等質量檢驗與質量管理工作。

近年來，羅教授承擔的信息產(chǎn)業(yè)部電子信息產(chǎn)業(yè)發(fā)展基金項目：“基于Linux和國產(chǎn)BIOS的微機安全操作系統(tǒng)”、“無觸點IC卡及機具產(chǎn)品質量檢測技術的研究”、“計算機網(wǎng)絡、第二代居民身份證及相關產(chǎn)品測試平臺建設”、“工業(yè)控制計算機產(chǎn)品及系統(tǒng)測試平臺建設”、“電子標簽產(chǎn)品及系統(tǒng)檢測平臺建設”已經(jīng)通過了信息產(chǎn)業(yè)部組織的驗收，并獲得廣泛好評。

記者：您作為國家電子計算機質量監(jiān)督檢驗中心主任，多年來一直致力于系統(tǒng)研究方面的工作。請您談談目前國內計算機技術在智能建筑工程中的應用情況？

羅教授：隨著微電子技術、網(wǎng)絡技術和通信技術的快速發(fā)展，計算機技術在智能建筑工程中的應用越來越普遍和深入，智能建筑中的“智能”應該都是計算機的“功勞”，如智能建筑中可能涉及到的“程控交換接入系統(tǒng)”、“電視網(wǎng)絡系統(tǒng)”、“廣播系統(tǒng)”、“物業(yè)管理系統(tǒng)”、“家用電子系統(tǒng)”、“IC卡應用”、“信息安全”、“安全防范系統(tǒng)”、“設備監(jiān)控系統(tǒng)”和“火災自動報警及消防聯(lián)動控制系統(tǒng)”等都離不開計算機技術。目前國內計算機技術在智能建筑工程中得到了廣泛應用，有很多成功應用的案例，計算機技術將在智能建筑工程中的“智能”、“節(jié)能”發(fā)揮越來越大的作用。

記者：您參與了《建筑及居住區(qū)數(shù)字化技術應用》國家標準制定的工作，請您為大家介紹一下數(shù)字化國標的制定在規(guī)范居住區(qū)信息化建設方面發(fā)揮了怎樣的作用?

羅教授：GB/T 20299.1~4-2006《建筑及居住區(qū)數(shù)字化技術應用規(guī)范》系列標準是在總結多年應用經(jīng)驗、參考國內外類似標準并考慮技術發(fā)展的基礎上制定的。該系列標準的頒布實施為建筑及居住區(qū)數(shù)字化技術應用項目的總體規(guī)劃提供了統(tǒng)一的技術要求，為建筑及居住區(qū)數(shù)字化技術應用項目的市場準入提供了技術門檻，為建筑及居住區(qū)數(shù)字化技術應用項目的過程質量控制提供了統(tǒng)一的依據(jù)，對規(guī)范建筑及居住區(qū)數(shù)字化技術應用發(fā)揮了非常重要的作用。

記者：在《建筑及居住區(qū)數(shù)字化技術應用》國家標準中，您參與了“檢測驗收”部分的編寫制定工作，其中信息系統(tǒng)是智能社區(qū)的重要基礎系統(tǒng)，請您為我們介紹一下信息安全檢測驗收方面的情況？

羅教授：“GB/T 20299-2006系列標準”中對信息系統(tǒng)以及信息系統(tǒng)的信息安全的規(guī)定是針對智能社區(qū)中各種信息系統(tǒng)安全的特點，結合國家相關信息安全政策、標準而制定的，智能社區(qū)的建設和運營機構應該對信息系統(tǒng)的信息安全問題給予足夠重視。根據(jù)信息安全的等級要求采取相應的措施，保障信息系統(tǒng)的安全，確保客戶數(shù)據(jù)安全。“GB/T 20299.2-2006”《建筑及居住區(qū)數(shù)字化技術應用規(guī)范》第2部分，“檢測驗收”的第6章專門介紹“信息安全”檢測驗收方面的內容。智能社區(qū)中的信息系統(tǒng)安全既涉及技術方面的內容同時也涉及管理方面的問題，在系統(tǒng)設計、產(chǎn)品采購、施工、驗收等過程都必須執(zhí)行國家相關信息安全政策、標準，任一環(huán)節(jié)的疏漏都可能留下隱患。在進行系統(tǒng)設計時，應根據(jù)標準規(guī)定的等級要求，對系統(tǒng)建設所使用的產(chǎn)品和系統(tǒng)本身提出明確的信息安全要求。國家有信息安全認證要求的產(chǎn)品在采購時必須要求供貨廠家提供認證文件，信息系統(tǒng)的安全性評估、檢測和驗收要按照“GB/T 20299.2-2006標準“規(guī)定的程序執(zhí)行，記錄、文檔資料文本規(guī)范、內容齊全，做到發(fā)生問題時可追溯。

記者：目前國內的家居智能化領域，國內外產(chǎn)品在技術指標上各不相同，不少高端消費者更青睞于國外產(chǎn)品。您曾負責處理過東芝筆記本電腦的質量糾紛，對于如何正確選擇國外產(chǎn)品有哪些方面是應該值得注意的？

羅教授：在產(chǎn)品技術選型時，我個人認為應兼顧考慮如下幾個問題：不片面追求技術先進，夠用就行，避免造成不必要的浪費；考慮知識產(chǎn)權，特別是要防止部分國外企業(yè)先讓你上鉤，事后再要你不斷給他付錢的專利陷阱。

在技術條件滿足的情況下，盡量考慮采用國內成熟企業(yè)技術與產(chǎn)品；要考慮國內產(chǎn)業(yè)的技術支持、批量供貨等綜合能力；考慮技術選型符合國際通用標準、國家標準和行業(yè)標準要求；在技術條件滿足當前應用需求情況下，適當考慮應用的可擴展性；考慮信息安全措施的必要性及國家有關部門的管理要求(如密鑰等)；終端產(chǎn)品、后臺處理軟件、數(shù)據(jù)庫系統(tǒng)、服務器、資金清算中心和網(wǎng)絡架構的配置要求等。

記者：據(jù)了解，您同時還負責信息產(chǎn)業(yè)部IC卡質量監(jiān)督檢驗中心和國家金卡工程IC卡及機具產(chǎn)品檢驗中心的工作。請您簡單介紹一下我國IC卡應用過程中存在的問題，以及在數(shù)字化國標的制定過程中對于IC卡應用做了哪些針對性的工作？

羅教授：我個人認為：我國IC卡應用過程中主要存在如下一些共性問題：部門利益協(xié)調不到位，造成系統(tǒng)重復建設資金浪費(管理問題)；同行業(yè)應用情況信息收集不夠，特別是系統(tǒng)建設失敗的信息；系統(tǒng)需求分析不充分，對未來的應用需求估計不足，建成后的系統(tǒng)可擴展性很差；技術選型兩個極端，一是盲目追求技術先進性造成浪費，二是采用過時技術造成系統(tǒng)整體性能下降；在制定應用方案時，一些關鍵技術問題未適當開展模擬驗證試驗導致系統(tǒng)建設周期過長；不重視標準化工作，系統(tǒng)中所采用的產(chǎn)品的互換性、兼容性、一致性和環(huán)境適應性太差，增加了系統(tǒng)的維護成本；系統(tǒng)的建設過程未開展質量、成本和進度控制，造成系統(tǒng)建設工期超標、投資超預算等。

從2000年開始，我們中心受建設部IC卡應用服務中的委托，承擔了建設事業(yè)IC卡及終端產(chǎn)品的檢測，參與”GB/T 20299-2006“系列國家標準的編寫工作，具體負責”GB/T 20299.2-2006標準”第17章“IC卡應用檢測”編寫的執(zhí)筆，同時還參與了建設部行業(yè)標準”CJ/T 243-2007”《建設事業(yè)集成電路（IC）卡產(chǎn)品檢測》的編寫工作，在IC卡及終端產(chǎn)品檢驗方面積累了豐富的經(jīng)驗，為IC卡產(chǎn)業(yè)的健康發(fā)展和技術應用的順利推進做出了貢獻。”GB/T 20299.2-2006”、”CJ/T 243-2007”標準有關IC卡應用檢測方面的內容針對性、可操作性強，對智能建筑工程中的IC卡應用系統(tǒng)設計、技術選型、采購、產(chǎn)品檢測和系統(tǒng)驗收具有指導作用。

記者：數(shù)字化國標等相關國家標準的制定對于推進我國的信息化建設起到了規(guī)范項目設計技術的作用。除此之外，您認為在推進信息化工程建設的過程中，還應該從哪些方面入手？

羅教授：我認為在推進信息化工程建設的過程中，除了在工程設計方面需要依據(jù)”GB/T 20299-2006”系列國家標準和相關國家標準、行業(yè)標準外，還應該在信息化工程建設招投標、預算與報價、產(chǎn)品采購與驗收、工程實施、工程監(jiān)理、系統(tǒng)階段性測試、系統(tǒng)聯(lián)調、工程驗收等幾個方面，面向有關人員宣傳貫徹GB/T 20299-2006系列國家標準和相關國家標準、行業(yè)標準，增強大家的標準化意識，理解標準的技術要點，真正發(fā)揮信息化工程建設標準先行的作用。

記者：最后請您展望一下，計算機技術在建筑智能化領域下一步的發(fā)展趨勢。

談談對信息安全的理解范文第3篇

【關鍵詞】網(wǎng)絡安全；入侵檢測

0.引言

隨著計算機技術、通信技術和信息技術的飛速發(fā)展，各種各樣的網(wǎng)絡應用已經(jīng)越來越廣泛地滲透到人類地生活、工作的各個領域。特別是通過Internet，人們可以極為方便地產(chǎn)生、發(fā)送、獲取和利用信息。Internet在給人們帶來巨大便利的同時，也產(chǎn)生了許多意想不到的問題，網(wǎng)絡安全就是其中一個突出的問題。造成Internet不安全的原因，一方面是Internet本身設計的不安全以及操作系統(tǒng)、應用軟件等存在著安全漏洞；另一方面是由于網(wǎng)絡安全的發(fā)展落后于網(wǎng)絡攻擊的發(fā)展。目前網(wǎng)絡中應用最廣、功能最強大的安全工具莫過于防火墻，但是防火墻的安全功能是有限的，它很難防止偽造IP攻擊。因此，發(fā)展一種新的網(wǎng)絡安全防御手段來加強網(wǎng)絡安全性便成了亟待解決的問題。入侵檢測是幫助系統(tǒng)對付網(wǎng)絡內部攻擊和外部攻擊的一種解決方案。入侵檢測技術是當今一種非常重要的動態(tài)安全技術，它與靜態(tài)防火墻技術等共同使用，可以大大提高系統(tǒng)的安全防護水平。

1.入侵檢測的概念及功能

入侵就是指任何試圖危及信息資源的機密性、完整性和可用性的行為。而入侵檢測就是對入侵行為的發(fā)覺，它通過從計算機網(wǎng)絡或系統(tǒng)中的若干關鍵點收集信息，并對這些信息進行分析，從而發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象。通常入侵檢測系統(tǒng)（Intrusion Detection System， IDS）是由軟件和硬件組成的。入侵檢測是防火墻的合理補充，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。另外，它也擴展了系統(tǒng)管理員的安全管理能力，有助于提高信息安全基礎結構的完整性，是對原有安全系統(tǒng)的一個重要補充。入侵檢測系統(tǒng)收集計算機系統(tǒng)和網(wǎng)絡的

信息，并對這些信息加以分析，對被保護的系統(tǒng)進行安全審計、監(jiān)控、攻擊識別并做出實時的反應。

入侵檢測的主要功能包括：（1）監(jiān)視、分析用戶及系統(tǒng)活動；（2）系統(tǒng)構造和弱點的審計；（3）映已知進攻的活動模式并進行相關人士報警；（4）模式的統(tǒng)計分析；（5）要系統(tǒng)和數(shù)據(jù)文件的完整性；（6）的審計跟蹤管理，并識別用戶違反安全策略的行為。

2.入侵檢測的信息來源

對于入侵檢測系統(tǒng)而言，輸入數(shù)據(jù)的選擇是首先需要解決的問題，目前的入侵檢測系統(tǒng)的數(shù)據(jù)來源主要包括：（1）操作系統(tǒng)的審計記錄；（2）系統(tǒng)日志；（3）應用程序日志；（4）基于網(wǎng)絡數(shù)據(jù)的信息源；（4）來自其他安全產(chǎn)品的數(shù)據(jù)源。

3.入侵檢測系統(tǒng)的基本模型

在入侵檢測系統(tǒng)的發(fā)展過程中，大致經(jīng)歷了集中式、層次式和集成式三個階段，代表這三個階段的入侵檢測系統(tǒng)的基本模型分別是通用入侵檢測模型（Denning模型）、層次化入侵檢測模型（IDM）和管理式入侵檢測模型（SNMP-IDSM）。

3.1 通用入侵檢測模型

Denning于1987年最早提出一個通用的入侵檢測模型（如圖2.1所示）。

該模型由6個部分組成：（1） 主體（Subject）；（2） 對象（Object）；（3） 審計記錄（Audit Records）；（4） 活動簡檔（Activity Profile）；（5） 異常記錄（Anomaly Record）；（6）活動規(guī)則。

3.2 IDM模型

Steven Snapp在設計和開發(fā)分布式入侵檢測系統(tǒng)DIDS時，提出一個層次化的入侵檢測模型，簡稱IDM。該模型將入侵檢測分為六個層次，分別為：數(shù)據(jù)（data）、事件（event）、主體（subject）、上下文（context）、威脅（threat）、安全狀態(tài)（security state）。

IDM模型給出了在推斷網(wǎng)絡中的計算機受攻擊時數(shù)據(jù)的抽象過程。也就是說，它給出了將分散的原始數(shù)據(jù)轉換為高層次有關入侵和被監(jiān)測環(huán)境的全部安全假設過程。通過把收集到的分散數(shù)據(jù)進行加工抽象和數(shù)據(jù)關聯(lián)操作，IDM構造了一臺虛擬的機器環(huán)境，這臺機器由所有相連的主機和網(wǎng)絡組成。將分布式系統(tǒng)看成一臺虛擬計算機的觀點簡化了跨越單機入侵行為的識別。IDM也應用于只有單臺計算機的小型網(wǎng)絡。

3.3 SNMP-IDSM模型

隨著網(wǎng)絡技術的飛速發(fā)展，網(wǎng)絡攻擊手段也越來越復雜，攻擊者大都是通過合作的方式來攻擊某個目標系統(tǒng)，而單獨的IDS難以發(fā)現(xiàn)這種類型的入侵行為。然而，如果IDS系統(tǒng)也能夠像攻擊者那樣合作，就有可能檢測到入侵者。這樣就要有一種公共的語言和統(tǒng)一的數(shù)據(jù)表達格式，能夠讓IDS系統(tǒng)之間順利交換信息，從而實現(xiàn)分布式協(xié)同檢測。北卡羅萊那州立大學的Felix Wu等人從網(wǎng)絡管理的角度考慮IDS模型，突出了基于SNMP的IDS模型，簡稱SNMP-IDSM.。

SNMP-IDSM以SNMP為公共語言來實現(xiàn)IDS系統(tǒng)之間的消息交換和協(xié)同檢測，它定義了IDS-MIB，使得原始事件和抽象事件之間關系明確，并且易于擴展。SNMP-IDSM定義了用來描述入侵事件的管理信息庫MIB，并將入侵事件分析為原始事件（Raw Event）和抽象事件（Abstract Event）兩層結構。原始事件指的是引起安全狀態(tài)遷移的事件或者是表示單個變量遷移的事件，而抽象事件是指分析原始事件所產(chǎn)生的事件。原始事件和抽象事件的信息都用四元組來描述。

4.入侵檢測的分類和分析方法

4.1入侵檢測的分類

通過對現(xiàn)有的入侵檢測系統(tǒng)和技術研究，可對入侵檢測系統(tǒng)進行如下分類：

根據(jù)目標系統(tǒng)的類型可以將入侵檢測系統(tǒng)分為兩類：

（1） 基于主機（Host-Based）的IDS。通常，基于主機的入侵檢測系統(tǒng)可以監(jiān)測系統(tǒng)事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當有文件發(fā)生變化時，入侵檢測系統(tǒng)就將新的記錄條目與攻擊標記相比較，看它們是否匹配。

（2） 基于網(wǎng)絡（Network-Based）的IDS。該系統(tǒng)使用原始網(wǎng)絡數(shù)據(jù)包作為數(shù)據(jù)源，利用一個運行在混雜模式下的網(wǎng)絡適配器來實時監(jiān)測并分析通過網(wǎng)絡的所有通信業(yè)務。

根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源，數(shù)據(jù)源可以是主機系統(tǒng)日志、網(wǎng)絡數(shù)據(jù)包、應用程序的日志、防火墻報警日志以及其他入侵檢測系統(tǒng)的報警信息等，可以將入侵檢測系統(tǒng)分為基于不同分析數(shù)據(jù)源的入侵檢測系統(tǒng)。

根據(jù)入侵檢測方法可以將入侵檢測系統(tǒng)分為兩類：

（1） 異常IDS。該類系統(tǒng)利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測系統(tǒng)中入侵、異常活動的依據(jù)。

（2） 誤用IDS。誤用入侵檢測系統(tǒng)根據(jù)已知入侵攻擊的信息（知識、模式）來檢測系統(tǒng)的入侵和攻擊。

根據(jù)檢測系統(tǒng)對入侵攻擊的響應方式，可以將入侵檢測系統(tǒng)分為兩類：

（1） 主動的入侵檢測系統(tǒng)。它在檢測出入侵后，可自動的對目標系統(tǒng)中的漏洞采取修補、強制可疑用戶（可能的入侵者）退出系統(tǒng)以及關閉相關服務等對策和響應措施。

（2） 被動的入侵檢測系統(tǒng)。它在檢測出對系統(tǒng)的入侵攻擊后只是產(chǎn)生報警信息通知系統(tǒng)安全管理員，至于之后的處理工作則有系統(tǒng)管理員完成。

根據(jù)系統(tǒng)各個模塊運行的分步方式，可以將入侵檢測系統(tǒng)分為兩類：

（1） 集中式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊包括數(shù)據(jù)的收集與分析以及響應都集中在一臺主機上運行，這種方式適用于網(wǎng)絡環(huán)境比較簡單的情況。

（2） 分布式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊分布在網(wǎng)絡中不同的計算機、設備上，一般而言，分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上，如果網(wǎng)絡環(huán)境比較復雜、數(shù)據(jù)量比較大，那么數(shù)據(jù)分析模塊也會分布，一般是按照層次性的原則進行組織。

當前眾多的入侵檢測系統(tǒng)和技術，基本上是根據(jù)檢測方法、目標系統(tǒng)、信息數(shù)據(jù)源來設計的。

4.2 入侵檢測的分析方法

從入侵檢測的角度來說，分析是指對用戶和系統(tǒng)活動數(shù)據(jù)進行有效的組織、整理及特征提取，以鑒別出感興趣的攻擊。這種行為的鑒別可以實時進行，也可以事后分析，在很多情況下，事后的進一步分析是為了尋找行為的責任人。入侵檢測的方法主要由誤用檢測和異常檢測組成。

誤用檢測對于系統(tǒng)事件提出的問題是：這個活動是惡意的嗎？誤用檢測涉及到對入侵指示器已知的具體行為的解碼信息，然后為這些指示器過濾事件數(shù)據(jù)。要想執(zhí)行誤用檢測，需要有一個對誤用行為構成的良好理解，有一個可靠的用戶活動記錄，有一個可靠的分析活動事件的方法。

異常檢測需要建立正常用戶行為特征輪廓，然后將實際用戶行為和這些特征輪廓相比較，并標示正常的偏離。異常檢測的基礎是異常行為模式系統(tǒng)誤用。輪廓定義成度量集合。度量衡量用戶特定方面的行為。每一個度量與一個閾值相聯(lián)系。異常檢測依靠一個假定：用戶表現(xiàn)為可預測的、一致的系統(tǒng)使用模式。

有些入侵檢測方法既不是誤用檢測也不屬異常檢測的范圍。這些方案可應用于上述兩類檢測。它們可以驅動或精簡這兩種檢測形式的先行活動，或以不同于傳統(tǒng)的影響檢測策略方式。這類方案包括免疫系統(tǒng)方法、遺傳算法、基于檢測以及數(shù)據(jù)挖掘技術。

5.入侵檢測系統(tǒng)的局限性與發(fā)展趨勢

5.1入侵檢測系統(tǒng)的局限性

現(xiàn)有的IDS系統(tǒng)多采用單一體系結構，所有的工作包括數(shù)據(jù)的采集、分析都由單一主機上的單一程序來完成。而一些分布式的IDS只是在數(shù)據(jù)采集上實現(xiàn)了分布式，數(shù)據(jù)的分析、入侵的發(fā)現(xiàn)還是由單一個程序完成。這樣的結構造成了如下的缺點：

（1） 可擴展性較差。單一主機檢測限制了監(jiān)測的主機數(shù)和網(wǎng)絡規(guī)模，入侵檢測的實時性要求高，數(shù)據(jù)過多將會導致其過載，從而出現(xiàn)丟失網(wǎng)絡數(shù)據(jù)包的問題。

（2） 單點失效。當IDS系統(tǒng)自身受到攻擊或某些原因不能正常工作時，保護功能會喪失。

（3） 系統(tǒng)缺乏靈活性和可配置性。如果系統(tǒng)需要加入新的模塊和功能時，必須修改和重新安裝整個系統(tǒng)。

5.2 入侵檢測的發(fā)展趨勢

入侵檢測的發(fā)展趨勢主要主要表現(xiàn)在：（1） 大規(guī)模網(wǎng)絡的問題； （2） 網(wǎng)絡結構的變化； （3） 網(wǎng)絡復雜化的思考；（4） 高速網(wǎng)絡的挑戰(zhàn)；（5） 無線網(wǎng)絡的進步；（6） 分布式計算；（7） 入侵復雜化；（8） 多種分析方法并存的局面。

對于入網(wǎng)絡侵檢測系統(tǒng)，分析方法是系統(tǒng)的核心。多種分析方法綜合運用才是可行之道，將各種分析方法有機結合起來，構建出高性能的入侵檢測系統(tǒng)是一個值得研究的問題，我們需要不斷的研究去完善它。

參考文獻：

[1]張宏. 網(wǎng)絡安全基礎（第一版）[M].北京：機械工業(yè)出版社， 2004.

[2]石志國，薛為民，江俐.計算機網(wǎng)絡安全教程[M].北京：清華大學出版社，2004年.

[3]唐正軍. 網(wǎng)路入侵檢測系統(tǒng)的設計與實現(xiàn)（第一版） [M]北京：電子工業(yè)出版社，2002.

[4]郭魏，吳承榮. [J]入侵檢測方法概述. 《計算機工程》，1999年 第11期.

[5]泰和信科.內網(wǎng)安全管理[M].重慶：泰和信科，2003年.

[6]薛靜鋒， 寧宇朋等.入侵檢測技術（第一版）[M].北京：機械工業(yè)出版社，2004.

[7]葉中行. 信息論基礎（第一版） [M].北京：高等教育出版社，2003.

[8]杜虹.談談“內網(wǎng)”安全. [J].《信息安全與通信保密》，2005年 第2期.

談談對信息安全的理解范文第4篇

關鍵詞：產(chǎn)學結合；校園；電子商務

1產(chǎn)學結合構建校園電子商務的現(xiàn)實意義

（1）校園電子商務提供學院教學系創(chuàng)辦實習工廠/公司的虛擬場地。

在校園開展電子商務，可以為學生提供電子商務的實踐環(huán)境，為電子商務理論教學提供了實習基地。利用校園電子商務，構建校園電子商務實習基地，營造出良好的電子商務環(huán)境，使學生能進行的真實商務活動，從而鍛煉學習者運用自身的綜合知識結構解決實際問題。

（2）校園電子商務為專業(yè)特長學生提供發(fā)展空間。

我校地處郊區(qū)、遠離商業(yè)區(qū)，這使得許多大學生外出購物很不方便。現(xiàn)代大學生腦子靈活，具有創(chuàng)新意識，創(chuàng)業(yè)意識也很強，許多學生平時也會兼職賣一些小物品，但這浪費了學生很多時間，而校園電子商務正好能迎合這部分人的需要，給學生提供了一個發(fā)展的平臺，我院作為經(jīng)貿(mào)類院校，開設了許多與商貿(mào)相關的專業(yè)，如電子商務專業(yè)、國際貿(mào)易專業(yè)、市場營銷專業(yè)、物流管理專業(yè)、信息管理專業(yè)、計算機網(wǎng)絡專業(yè)和計算機多媒體專業(yè)等，電子商務專業(yè)、國際貿(mào)易專業(yè)、市場營銷專業(yè)的學生可以參與網(wǎng)上開店，進行商務活動，進行自己的專業(yè)實踐；信息管理專業(yè)的學生可進行商城的管理以及人力資源管理，發(fā)揮自己的專業(yè)特長。校園電子商務為專業(yè)特長生提供了發(fā)展空間。

（3）校園電子商務為部分學生提供勤工儉學機會。

我院結合學院特點，提出校園電子商務新模式。即“創(chuàng)業(yè)平臺+校園勤工助學配送中心”模式。可以充分利用校園內的這種優(yōu)勢，聯(lián)合各專業(yè)人才搭建技術平臺，通過這種虛擬網(wǎng)絡平臺將買賣雙方的供求信息聚集在一起，最終滿足在校師生的購物需求。校園內還應建有自己的配送中心，考慮到各高校仍然有許多貧困生，該配送中心的成員均由貧困生組成，以給他們勤工助學的機會。這種模式將由在校學生的自主創(chuàng)業(yè)建立的虛擬網(wǎng)絡平臺與一支勤工儉學的配送隊伍有機的結合在一起。

（4）校園電子商務扶持學生無資金創(chuàng)業(yè)理念的實現(xiàn)。

培養(yǎng)學生創(chuàng)業(yè)的精神和能力，就是把未來的求職者，變?yōu)槁殬I(yè)崗位的創(chuàng)造者。校園電子商務為推動創(chuàng)業(yè)大造輿論，以激發(fā)學生的創(chuàng)業(yè)動機，培養(yǎng)他們的創(chuàng)業(yè)能力，并且為學生創(chuàng)業(yè)提供了技術平臺。許多學生想創(chuàng)業(yè)，但苦于沒有資金，校園電子商務為大學生開辟創(chuàng)業(yè)新門路。

（5）校園電子商務扶持當?shù)刂行∑髽I(yè)實現(xiàn)現(xiàn)代商務經(jīng)營。

高職院校的教學要服務于地方經(jīng)濟，現(xiàn)在雖然是網(wǎng)絡經(jīng)濟時代，但當?shù)匾恍┲行∑髽I(yè)由于技術跟不上，管理理念沒有更新等原因，還在采用傳統(tǒng)的商務方式，這很大地抑制了企業(yè)的發(fā)展。校園電子商務可以在技術和管理理念上對這些企業(yè)進行扶持，讓他們實現(xiàn)現(xiàn)代商務經(jīng)營。我院校園電子商務采用招商引進的方法，把企業(yè)請進來，請中上企業(yè)入駐我們的商城，對方只需提品，我們提供技術支持，包括網(wǎng)站建設，商品上架，廣告宣傳，店鋪經(jīng)營等，為中小企業(yè)開拓了市場，提高了產(chǎn)品知名度，讓中小企業(yè)實現(xiàn)現(xiàn)代商務經(jīng)營模式。

（6）校園電子商務動作提高高職院校教師專業(yè)和技能水平。

由于電子商務是一門新的課程，一個新的領域，知識結構復雜，技術性強，屬于商務、計算機、管理交叉學科，要辦好電子商務專業(yè)對師資提出了更高的要求，這要求教師不只是談談商務理論，而應兼顧實踐，多參與電子商務實踐活動，校園電子商務提供了完整的實踐活動環(huán)節(jié)，教師要指導學生進行電子商務活動，提供更強的技術支持，參與管理開展校園電子商務，教師的專業(yè)和業(yè)務水平得到提高，同時也提高了師資隊伍水平、優(yōu)化師資的知識結構、提高教學質量。

（7）校園電子商務為電子商務專業(yè)的教學提供真實案例。

電子商務的整個運作都在網(wǎng)上進行，因此傳統(tǒng)的教學方式大多給人紙上談兵的感覺，只有對電子商務的實際模擬教學才會是最有效的。但校園電子商務來得更具體、更真實一些，校園電子商務能滿足《電子商務概論》、《市場營銷》、《網(wǎng)絡營銷》等理論課的實踐訓練要求，它為學習電子商務及相關專業(yè)的學生和所有對電子商務領域知識有興趣的學生提供一次理論結合實踐的機會，同學們通過實際操作將原本只在書本上的電子商務實際應用在目前的校園電子商務中，解決課堂教學中無法實現(xiàn)的實踐環(huán)節(jié)。這樣校園電子商務在培養(yǎng)當代大學生的實踐能力、創(chuàng)新能力和團隊協(xié)作能力的同時，也有助于推動我國電子商務高等教育的系統(tǒng)化和高水平發(fā)展；鍛煉學生的營銷意識；考驗學生的毅力與韌性，推進校園文化與社會交往的互動，全面培養(yǎng)中國優(yōu)秀的電子商務人才。

（8）校園電子商務提供二手市場流通學生閑置物品。

高校的二手交易市場廣闊。每年畢業(yè)生離校時都要進行舊物交易，并且日常學習、生活中，學生之間也經(jīng)常會進行一些閑置物品交易。這些都能在網(wǎng)上二手交易市場中實現(xiàn)。賣主可在網(wǎng)上自己要銷售的物品信息、售賣價格及聯(lián)系方式，買主則可以在網(wǎng)上搜索自己所需要的物品，若搜索不到也可以在網(wǎng)上求購信息。校園電子商務二手交易市場不受時間和空間限制，而且搜索物品更快更方便，購買商品時所產(chǎn)生的信用及物流配送問題也能得到很好的解決。開展有校園電子商務，通過供求信息，就可以很好地解決二手市場的供求關系，校園電子商務很好地流通了學生的閑置物品。

（9）校園電子商務一定程度解決電子商務中信用、安全支付與物流配送等難題。

相對來說，目前物流是制約電子商務發(fā)展的瓶頸之一，而電子商務中的安全支付和信用問題也是眾多專家致力研究的課題。但在這種基于校園網(wǎng)及校園卡的校園電子商務系統(tǒng)中，物流和支付都可以得到很好的解決。在高校里，由于校園一般來說就是方圓10多平方公里。商品的配送相對來說，是非常方便的。一般當天就能夠送到購買者手里。物流可以采取買賣雙方通過E-mail或電話聯(lián)系，共同商討供貨方式。而支付除了現(xiàn)金支付外，還可通過校園網(wǎng)利用校園卡轉賬功能進行安全、快捷的資金網(wǎng)上支付，這也是校園電子商務系統(tǒng)中解決支付問題的最佳方式。因在同一所高校里，購買商品的時候，已經(jīng)在某種程度上默認了對方的可信。于是，就更容易促使達成買賣交易。信用機制在校園里是比較穩(wěn)定安全的。所以，校園電子商務一定程度解決電子商務中信用、安全支付與物流配送的難題。

2實現(xiàn)校園電子商務的技術保障

實現(xiàn)校園電子商務需要一定的技術保障，為配合科研組的研究工作，信息類高職專業(yè)教學系部可成立“經(jīng)貿(mào)信息技術服務有限公司”，開設專業(yè)教學實踐基地，經(jīng)營和管理包括網(wǎng)絡商城在內的校內實習基地各項教學和經(jīng)營活動，讓學生真正做到產(chǎn)中學，學中產(chǎn)，教師在產(chǎn)學中研究專業(yè)應用。技術服務公司除了商城管理中心人員之外，還可招聘學生在商城中以開設店鋪形式開展電腦維修、數(shù)碼創(chuàng)意、軟件開發(fā)、商務服務（圖文編排裝訂）、職業(yè)資格等培訓業(yè)務。

（1）電子商務專業(yè)較新較活理念指導和運營商城店鋪。

電子商務專業(yè)學生運用所學的商務知識、營銷知識、管理知識、計算機知識，指導和運營商城店鋪。可負責市場調研工作，跟蹤校園動態(tài)，研究學生消費心理.發(fā)掘新的消費市場，幫助拓展公司業(yè)務。收集公司內外的各種相關信息，負責信息收集、公司對外信息以及與各大傳媒交流。如在開展校園電子商務活動時，必須要進行大量的宣傳。我們可以在校園里開展各種形式的促銷活動，如發(fā)放傳單、張貼海報等等。通過這些活動進而擴大自己網(wǎng)站的影響力。積極采取優(yōu)惠的價格策略，低廉的價格是吸引大學生們進行網(wǎng)上消費的主要原因，無論何種商務模式，只有建立完整的客戶資料庫，才能以客戶為中心安排業(yè)務流程，才能創(chuàng)建方便快捷的個性化服務。校園電子商務系統(tǒng)可以通過建立類似會員制的環(huán)境來主動聯(lián)絡顧客。讓學生在實踐中不斷完善理論知識，從而對電子商務也會有更全面的理解。另一方面，通過這種實踐，學生在學校里就已經(jīng)充分具有了網(wǎng)站構架、資料庫應用等多方面的技術，以及增加了對物流、資金流的控制能力，這使得他們畢業(yè)投入就業(yè)市場時，就能快速的掌握公司整體的電子商務運作狀況，甚至于還可能針對公司現(xiàn)行的營運情況做更高效能的規(guī)劃，增強了學生畢業(yè)后進入就業(yè)市場的競爭力。

（2）軟件技術和網(wǎng)絡技術專業(yè)是經(jīng)營商城網(wǎng)站堅強的技術后盾。

商城網(wǎng)站的經(jīng)營，需要后臺管理人員對程序、數(shù)據(jù)庫進行管理，信息安全問題的解決，軟件技術專業(yè)學生可以提供較硬的軟件應用水平，網(wǎng)絡專業(yè)學生可以在信息安全和網(wǎng)絡線路上提供技術支持。軟件技術人員維護商城后臺程序和數(shù)據(jù)，管理和推廣域名，給網(wǎng)站嵌入后臺管理代碼，培訓商戶創(chuàng)建店鋪網(wǎng)站。根據(jù)業(yè)務需要，為商城、學院行政管理部門和企業(yè)開發(fā)專門的管理小型信息管理軟件。網(wǎng)絡技術人員負責商城網(wǎng)站的暢通，信息安全的保障，電子支付的實施，網(wǎng)絡布線，保障網(wǎng)絡線路的順暢等技術服務。

（3）多媒體技術專業(yè)是商品圖片、網(wǎng)絡廣告設計的制作者。

網(wǎng)上商城需要美工制作人員，網(wǎng)上店鋪的宣傳需要很好的策劃和網(wǎng)絡廣告投入，網(wǎng)上商品的宣傳必須有相關實物圖片。多媒體技術專業(yè)學生可以利用所學的攝影攝像知識，圖片處理知識，對上架商品進行拍攝和圖片加工；可以利用網(wǎng)站建設知識，設計網(wǎng)站；利用平面設計、動畫制作和廣告實務知識，設計制作網(wǎng)絡廣告。為商城的運作添加了飛翔的翅膀。同時，為全面開發(fā)專業(yè)課程實踐教學需要，成立數(shù)碼工作室，可開展攝影攝像業(yè)務，刻錄影集，剪接錄像等專業(yè)技術服務。在時機成熟時，可開設校園網(wǎng)絡廣播，由學生設計主持廣播節(jié)目。

（4）信息管理專業(yè)是商城管理的主力軍。

一個成功的商城經(jīng)營，離不開好的管理，不論是商城經(jīng)營模式還是人力資源，信息管理專業(yè)學生可以成為商城管理的主力軍。信息管理專業(yè)可以利用所學知識，對商城進行規(guī)劃管理，設計符合本校特點的經(jīng)營管理模式。可根據(jù)不同的崗位，制定各部門各級管理崗位職責，招收各類學生管理員，進行員工培訓，協(xié)調好各部門間的關系。校園電子商務系統(tǒng)與校園卡數(shù)據(jù)整合后，把所有校內師生都直接以“立足校園，服務師生”為宗旨，采取在線訂購.送貨上門的交易方式。根據(jù)學校的特殊群體以校園網(wǎng)為依托.參照目前流行的電子購物模式，建立一個適合校園需求特點的專業(yè)校園電子商務平臺。

3結語

在高職院校發(fā)展電子商務，可以很好地利用校園資源，通過網(wǎng)上商城的技術和經(jīng)營管理，教師在實踐中提升科研能力，學生在實踐中學習專業(yè)知識和操作技能。目前我院海南經(jīng)貿(mào)網(wǎng)上商城已開通，學生實踐基地已成立，網(wǎng)上商城可以為學生提供校內社會實踐和勤工儉學機會，為有創(chuàng)業(yè)能力的學生提供發(fā)展的舞臺，利用信息科技，利用網(wǎng)絡，讓學生和飛速發(fā)展的信息社會進行正面的接觸。根據(jù)市場發(fā)展，結合當?shù)氐慕?jīng)濟文化，準確定位，尋求多方共贏合作，做好組織與管理，就能辦出特色，推動相關的精品課程和教學團隊建設，從而輔助專業(yè)建設走特色化道路。

參考文獻

［1］杜江萍.校園電子商務模式探析［N］.江西財經(jīng)大學學報，2005，（3）.

［2］勒中堅，吳琴芬，陳瑞華.基于高校校園電子商務環(huán)境的大學生創(chuàng)業(yè)風險分析［J］.商場現(xiàn)代化，2008，（2）.

談談對信息安全的理解范文第5篇

地點：賽迪大廈18層會議室

形式：中計在線嘉賓現(xiàn)場對話

對話嘉賓：

王衛(wèi)鄉(xiāng)

中國中信集團公司管理信息部副主任

周梓滔

德勤華永會計師事務所有限公司企業(yè)風險管理服務高級經(jīng)理

錢晨

科索路咨詢公司副理

田海波

北京銳思盈泰科技有限公司董事副總經(jīng)理

無內控等于慢性自殺

主持人：企業(yè)內部控制的目的是什么？有什么需求？

錢晨：企業(yè)內部控制的目的是在保證實現(xiàn)公司戰(zhàn)略目標前提下，對存在的風險進行控制。無論董事會還是全體員工都要對企業(yè)披露的信息的可靠性負責，但最終責任會落在董事會上。

IT內審的引入是因為在給上市公司內控評估時，IT是其中的一個重要的組成部分和方法。

主持人：請德勤公司的周經(jīng)理談談中國企業(yè)的內控跟國外企業(yè)的有什么差異？

周梓滔：主要是在理解法案、標準時可能會不一樣，因為中國的國情和中國企業(yè)的管理方法跟國外企業(yè)不盡相同。比如說，國外企業(yè)可能會成立專門的審計委員會，但國內企業(yè)可能會把審計委員會放在某一個組織里面，如在財務部，這就造成了獨立性的不同。

主持人：作為用戶的代表，請王主任講講中信集團在內控方面是怎么考慮的？

王衛(wèi)鄉(xiāng)：目前中信集團有好幾家上市公司，如剛上市的中信銀行，中信證券、中信國安等。我們一直非常關注企業(yè)內控，其中包括IT內審和薩班斯法案。我們的審計部是唯一一個由集團公司董事長直接分管的部門。

實際上，從我們公司上一任董事長王軍開始就一直特別強調內控。他曾指出：“沒有發(fā)展的內控等于慢性自殺，沒有內控的發(fā)展，發(fā)展越快損失越大”。中信集團自1979年成立到現(xiàn)在快30年了，一直都保持快速發(fā)展。在高速發(fā)展的20世紀90年代中期，我們深感管理手段和發(fā)展的速度不匹配，導致有些項目最后失去控制，并造成很大的損失。

現(xiàn)在我們已經(jīng)采取了一些技術手段，并引進了一些軟件來加強審計，如加拿大的ACL審計軟件。我們的內部審計目前主要強調的內容包括：離任審計――像下屬的子公司領導任期換屆，中長期項目在項目實施過程中是否存在重大失誤的專項審計，其他的，如下屬的公司層面，因資產(chǎn)的分布不是很均衡，金融業(yè)務領域是由金融控股公司的風險管理部來主抓。

主持人：各位嘉賓能否總結一下信息技術對企業(yè)內部控制的價值是什么？

錢晨：IT是企業(yè)內控的一個重要內容和手段。現(xiàn)在多數(shù)企業(yè)都會用到IT系統(tǒng)，很多流程都嵌入到IT系統(tǒng)中，企業(yè)內部控制也應該對IT系統(tǒng)進行控制。同時，我們在進行內部控制的時候，也應該通過IT手段來輔助實現(xiàn)。

周梓滔：我們看到一個很重大的改變：以前內部控制都是通過手工來實現(xiàn)的，非常復雜；現(xiàn)在借助IT系統(tǒng)來實現(xiàn)內控，效率大大提高了。另外，對IT系統(tǒng)進行控制，可以優(yōu)化系統(tǒng)，提高系統(tǒng)性能。

王衛(wèi)鄉(xiāng)：任何事情都有兩面性，IT技術可以幫助我們進行內部審計、獲取更加及時、有效的信息，但是如果不加強對IT本身的審計，可能會被人利用，拿這個工具去做不正當?shù)氖虑椤Ｋ砸獜挠^念上重視IT內審。

田海波：從客戶的反應上也可以看到IT內審的價值。我們之前是做電信行業(yè)的BOSS系統(tǒng)的，在跟客戶接觸過程中發(fā)現(xiàn)客戶對IT內審的需求很大。因為客戶覺得內控工作非常煩瑣，希望能夠借助有效的工具來幫助他們輕松實現(xiàn)。

主持人：那么，企業(yè)應該怎樣進行IT內審呢？

周梓滔：如錢經(jīng)理所言，IT審計有兩個方面，一個是對IT進行審計，另外一個是利用IT技術來進行審計。首先要看IT有什么東西要做審計：現(xiàn)在很多ERP系統(tǒng)中已經(jīng)就內部控制做了設置；另外可以利用DQI方法(利用數(shù)據(jù)庫、程序去運行大量數(shù)據(jù)可以幫助企業(yè)分析發(fā)現(xiàn)業(yè)務上的問題，以供企業(yè)進行調整)。這是一個非常有效的審計方法。

對IT進行審計是指對整個IT環(huán)境各方面的審核工作，如信息安全、軟件開發(fā)、系統(tǒng)維護等。

錢晨：也有說法認為IT控制有兩個方面：一個是應用控制，即IT必須對業(yè)務流程進行某些控制；另一個是通常性控制，對于支撐公司運作的IT基礎技術架構平臺進行有效管理控制。

主持人：我聽一個在香港上市的企業(yè)的CIO說，IT內審對他們來說就是會計師事務所給他們提供一個與IT相關的表格，他們只需按照這個表格的要求來執(zhí)行就可以了。是這樣的嗎？

王衛(wèi)鄉(xiāng)：沒有這么簡單。這可能要牽扯到兩個部門：一個是IT部門，一個是審計部門，實際上這是跨兩個領域的事情。

周梓滔：我們給企業(yè)做IT內審的時候，要先了解被審企業(yè)的情況，了解他們的業(yè)務范圍是什么，管理層對IT管控持什么樣的看法，然后再按我們的方法論對風險較高的地方進行審計。

業(yè)務不同，IT審計的策略也就不同。比如一個企業(yè)擁有大型的數(shù)據(jù)中心，并依賴該數(shù)據(jù)中心為客戶提供服務，那么該數(shù)據(jù)中心的物理環(huán)境安全就是非常重要的環(huán)節(jié)。但如果是一個銷售企業(yè)，他們的IT系統(tǒng)會相對簡單，數(shù)據(jù)中心的物理安全也會影響他們的財務數(shù)據(jù)，但要求就不那么高了。

IT內審誰在喝彩

主持人：去年大家都對IT內審比較關注，但是最近好像沒什么大動靜了。實際情況是這樣嗎？出現(xiàn)這種情況的原因又是什么呢？

周梓滔：我看到的情況有點不同。剛才王總說得很對，現(xiàn)在做IT審計的人并不多。企業(yè)如果成立專門的IT內審部門成本太高，所以往往會外包給一些第三方公司來做。

上交所、深交所要求他們的上市公司也要進行內控，其中IT內審是很重要的環(huán)節(jié)。有些母公司在國外的跨國企業(yè)在IT內審方面做得比較多，因為他們的網(wǎng)絡、系統(tǒng)是全球化的，要符合母公司所在地相關法規(guī)的規(guī)定。

國內的一些大型企業(yè)在這方面也有很大的改善。但我們發(fā)現(xiàn)需求增加的速度比IT內審提高的速度要快很多。其中很重要的原因就是專業(yè)IT審計人才的缺乏。比如說有個全國性的銀行，他們的IT審計部門只是一個小組，很難進行大的推動。

王衛(wèi)鄉(xiāng)：銀行、電信企業(yè)強調IT審計取決于他們的業(yè)務特點。銀行的服務器壞了可能會影響一大片。

此外，企業(yè)本身環(huán)境的要求或者政府的管制要求也很重要。美國政府已經(jīng)以法案的形式來進行約束。其實國內前幾年也發(fā)生過不少因為內控失效造成重大損失的案例，那在目前牛市的情況下，如果還不加強控制的話，影響就會更大。

沒人喝彩好像是沒有動靜，但不能說就沒有行動。我相信政府一直在推動，我們企業(yè)也在考慮怎么加強這方面的工作。當然，如果將政府和企業(yè)兩者結合起來，推動的效果會更好。

田海波：我們涉及這塊業(yè)務是因為我們有一個電信客戶希望能從數(shù)據(jù)模型角度來評估系統(tǒng)設計是否滿足其業(yè)務需求，要對軟件實施過程中階段性成果進行驗證。這是IT內審的一部分。

主持人：在國內上市的公司也同樣那么重視IT內審嗎？

周梓滔：深交所、上交所的《指引》中提出的內控要求主要是針對上市企業(yè)。但是隨著相關法案的出臺，越來越多的國內上市企業(yè)意識到了IT 審計的重要作用和影響，很多公司已經(jīng)開始了相關的工作。

王衛(wèi)鄉(xiāng)：我覺得企業(yè)進行內控往往從自發(fā)和自覺兩個角度出發(fā)。從自覺的角度來做內控的企業(yè)，很明白內控對企業(yè)發(fā)展的好處。如果企業(yè)要發(fā)展，是不可能不去做這方面工作的，應該是一個自發(fā)的行為。有些上市公司大張旗鼓地宣揚自己的內控做得怎么好，這實際上是他們自己應該做的。

主持人： IT內審的推廣還有哪些比較現(xiàn)實的問題呢？

王衛(wèi)鄉(xiāng)：我覺得最難的還是觀念問題。如果在觀念上沒有重視這個事情，其他的技術再高超、完善，但如果不去用，那就一點用都沒有。

還有一個問題就是現(xiàn)在很多企業(yè)的信息化建設還不盡如人意，在這種情況下強調太多的IT審計還沒有必要。

主持人：IT內審是一個中長期的工作，上市公司該怎么看IT內審的運作成本和收益？

王衛(wèi)鄉(xiāng)：我個人認為這個投入非常值得，既能夠維持公司良好的運轉，又能夠比較好地監(jiān)控公司運轉的狀況。IT審計是一個提供保障的機制，不會直接創(chuàng)造效益，但是它至少不會讓已經(jīng)創(chuàng)造的效益流失。

錢晨：對。也許企業(yè)什么都不做也能成功運轉很長時間，但風險永遠是存在的，像“9•11”那樣的小概率事件也是會發(fā)生。

王衛(wèi)鄉(xiāng)：為此，我們公司建立了金融的災備中心，是和運營中心分開的。這應該是IT審計或者企業(yè)內控的一個重要組成部分，而且尤其對大型企業(yè)來說特別重要。

周梓滔：當企業(yè)很大程度上依賴IT的時候，IT內控不但能夠幫助企業(yè)理順業(yè)務流程、培養(yǎng)人才和提高技術能力，能夠降低風險、提升能力，還能推動業(yè)務模式的轉變。我們有個客戶，他們的IT部門原來是個成本中心，后來通過IT內審優(yōu)化業(yè)務模式，使他們公司的服務達到了世界一流水平，很多國外公司都來找他們咨詢。后來這個公司的IT部門因此慢慢成長為一個咨詢公司。

中國路線怎么走

主持人：各位認為適合中國國情的IT內審規(guī)范應該是什么樣的？

王衛(wèi)鄉(xiāng)：這個問題很難回答。但是全球化以后，很多中國企業(yè)都在海外上市，要求我們去適應海外交易所的法規(guī)，同時也會帶來一些好的做法，我們可以借鑒一下。

主持人：那中國的IT內審規(guī)范應該怎么來做？

周梓滔：IT內審并不是因為薩班斯法案才有的，這在上個世紀80年代就開始有了。當時行內人已經(jīng)為通過打孔機從電腦上提取數(shù)據(jù)的計算機進行IT審計。現(xiàn)在隨著IT技術的發(fā)展，IT審計的內容、方法、技術等各方面都已經(jīng)發(fā)生了變化。

錢晨：我們可以先西學中用，把國外做得好的拿過來借鑒，再對用得不好的加以改進。

田海波：我覺得中國IT內審如果能夠形成一個大的產(chǎn)業(yè)鏈會更好，像當初推項目管理時那樣，對相關的咨詢、培訓起了很大的推動作用。

主持人：很多企業(yè)不知道自己的IT內審該如何開始，請各位給他們提點建議。

周梓滔：首先可以找我們這樣的專業(yè)機構來做。如果企業(yè)一定要內部自己做，自己培養(yǎng)人才，可以讓IT部門負責信息安全的同事去學習一些審計知識――信息安全是IT審計的一部分。但這樣有很多東西需要學習和推動，可能歷時比較長。

主持人：內部控制標準委員會公布了《企業(yè)內部控制規(guī)范――基本規(guī)范》和17項具體規(guī)范(征求意見稿)。不知道各位對這個征求意見稿有什么期望？

周梓滔：征求意見稿不僅參考了薩班斯法案，還參考了很多其他地方的法規(guī)，對信息安全、系統(tǒng)運作、應用系統(tǒng)開發(fā)等各個方面都有所提及。但是有一點值得我們注意，很多法規(guī)都已經(jīng)推行好幾年了，我們應該充分吸取這些法規(guī)推行后的經(jīng)驗和教訓，并加以消化吸收。比如說，要充分考慮企業(yè)內控的成本。

錢晨：我國對上市公司的內控監(jiān)管還不夠，遠遠達不到薩班斯法案那樣的力度。

王衛(wèi)鄉(xiāng)：說到監(jiān)管力度，我們可以分別來看看歐洲、美國和中國三塊市場。對市場的監(jiān)管力度最強的是美國，歐洲比較溫和。從歷史上看，歐洲的貴族文化本身對自律性要求比較高，在歐洲上市的公司如果運作不好，自動就退市了。美國雖然只有200多年的歷史，但相關制度為他們的發(fā)展提供了有力的保障。如果運作不好就有強硬的措施逼著它退市。我覺得中國應該兼顧這兩個市場的特點。我們有5000年的文化，好的地方要繼承下來，不好的地方要通過制度來完善。希望現(xiàn)在的征求意見稿能起到這個作用，真正實現(xiàn)對上市企業(yè)的違規(guī)行為的約束。

詳情請見中計在線“阡陌三人行”訪談實錄(.cn/Special/InternalAuditing/)

鏈接:有關IT內審的外包

周梓滔：企業(yè)如果成立專門IT內審部門成本太高，可以外包給專業(yè)的第三方公司來做。

王衛(wèi)鄉(xiāng)：我贊成這個觀點，IT內審業(yè)務的外包是比較可取的，因為這對技術要求很高，而且需要經(jīng)驗。

錢晨：IT審計外包更能夠體現(xiàn)審計結果的獨立性。如果IT部門本身既做系統(tǒng)管理又做系統(tǒng)的審計，這本身就是一個矛盾的問題，看問題就不會很客觀，也會造成利益的沖突。

中國中信集團公司管理信息部副主任 王衛(wèi)鄉(xiāng)

IT審計包括對IT系統(tǒng)的審計、通過IT輔助審計工作和審計管理的信息化。

德勤華永會計師事務所有限公司企業(yè)風險管理服務高級經(jīng)理 周梓滔

我們應充分吸取其他地方相關法規(guī)推行后的經(jīng)驗和教訓，并加以消化吸收。

科索路咨詢公司副理

錢晨

內部控制的目標是在保證實現(xiàn)公司戰(zhàn)略目標的前提下，對存在的風險進行控制。