前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全建議書范文，相信會(huì)為您的寫作帶來(lái)幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全建議書范文第1篇

1威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的因素

計(jì)算機(jī)網(wǎng)絡(luò)安全所面臨的威脅是多方面的，一般認(rèn)為，目前網(wǎng)絡(luò)存在的威脅主要表現(xiàn)在：

1.1非授權(quán)訪問(wèn)

沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問(wèn)，如有意避開系統(tǒng)訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息。

1.2信息泄漏或丟失

指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失，它通常包括：信息在傳輸中丟失或泄漏(如"黑客"利用電磁泄漏或搭線竊聽等方式可截獲機(jī)密信息，或通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，推出有用信息，如用戶口令、賬號(hào)等重要信息)、信息在存儲(chǔ)介質(zhì)中丟失或泄漏、通過(guò)建立隱蔽隧道等竊取敏感信息等。

1.3破壞數(shù)據(jù)完整性

以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。

1.4拒絕服務(wù)攻擊

它不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。

1.5利用網(wǎng)絡(luò)傳播病毒

通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范。

2網(wǎng)絡(luò)安全建設(shè)方法與技術(shù)

網(wǎng)絡(luò)具有訪問(wèn)方式多樣、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高的特點(diǎn)。網(wǎng)絡(luò)安全問(wèn)題要從網(wǎng)絡(luò)規(guī)劃階段制定各種策略，并在實(shí)際運(yùn)行中加強(qiáng)管理。為保障網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行和網(wǎng)絡(luò)信息的安全，需要從多個(gè)方面采取對(duì)策。攻擊隨時(shí)可能發(fā)生，系統(tǒng)隨時(shí)可能被攻破，對(duì)網(wǎng)絡(luò)的安全采取防范措施是很有必要的。常用的防范措施有以下幾種。

2.1計(jì)算機(jī)病毒防治

大多數(shù)計(jì)算機(jī)都裝有殺毒軟件，如果該軟件被及時(shí)更新并正確維護(hù)，它就可以抵御大多數(shù)病毒攻擊。定期地升級(jí)軟件是很重要的。在病毒入侵系統(tǒng)時(shí)，對(duì)于病毒庫(kù)中已知的病毒或可疑程序、可疑代碼，殺毒軟件可以及時(shí)地發(fā)現(xiàn)，并向系統(tǒng)發(fā)出警報(bào)，準(zhǔn)確地查找出病毒的來(lái)源。大多數(shù)病毒能夠被清除或隔離。再有，對(duì)于不明來(lái)歷的軟件、程序及陌生郵件，不要輕易打開或執(zhí)行。感染病毒后要及時(shí)修補(bǔ)系統(tǒng)漏洞，并進(jìn)行病毒檢測(cè)和清除。

2.2防火墻技術(shù)

防火墻是控制兩個(gè)網(wǎng)絡(luò)間互相訪問(wèn)的一個(gè)系統(tǒng)。它通過(guò)軟件和硬件相結(jié)合，能在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間構(gòu)造起一個(gè)"保護(hù)層"，網(wǎng)絡(luò)內(nèi)外的所有通信都必須經(jīng)過(guò)此保護(hù)層進(jìn)行檢查與連接，只有授權(quán)允許的通信才能獲準(zhǔn)通過(guò)保護(hù)層。防火墻可以阻止外界對(duì)內(nèi)部網(wǎng)絡(luò)資源的非法訪問(wèn)，也可以控制內(nèi)部對(duì)外部特殊站點(diǎn)的訪問(wèn)，提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。當(dāng)然，防火墻并不是萬(wàn)能的，即使是經(jīng)過(guò)精心配置的防火墻也抵擋不住隱藏在看似正常數(shù)據(jù)下的通道程序。根據(jù)需要合理的配置防火墻，盡量少開端口，采用過(guò)濾嚴(yán)格的WEB程序以及加密的HTTP協(xié)議，管理好內(nèi)部網(wǎng)絡(luò)用戶，經(jīng)常升級(jí)，這樣可以更好地利用防火墻保護(hù)網(wǎng)絡(luò)的安全。

2.3安全漏洞掃描技術(shù)

安全漏洞掃描技術(shù)可以自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性上的弱點(diǎn)，讓網(wǎng)絡(luò)管理人員能在入侵者發(fā)現(xiàn)安全漏洞之前，找到并修補(bǔ)這些安全漏洞。安全漏洞掃描軟件有主機(jī)漏洞掃描，網(wǎng)絡(luò)漏洞掃描，以及專門針對(duì)數(shù)據(jù)庫(kù)作安全漏洞檢查的掃描器。各類安全漏洞掃描器都要注意安全資料庫(kù)的更新，操作系統(tǒng)的漏洞隨時(shí)都在，只有及時(shí)更新才能完全的掃描出系統(tǒng)的漏洞，阻止黑客的入侵。

2.4數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是最基本的網(wǎng)絡(luò)安全技術(shù)，被譽(yù)為信息安全的核心，最初主要用于保證數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的保密性。它通過(guò)變換和置換等各種方法將被保護(hù)信息置換成密文，然后再進(jìn)行信息的存儲(chǔ)或傳輸，即使加密信息在存儲(chǔ)或者傳輸過(guò)程為非授權(quán)人員所獲得，也可以保證這些信息不為其認(rèn)知，從而達(dá)到保護(hù)信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長(zhǎng)度。

2.5安全隔離技術(shù)

面對(duì)新型網(wǎng)絡(luò)攻擊手段的不斷出現(xiàn)和高安全網(wǎng)絡(luò)的特殊需求，全新安全防護(hù)理念"安全隔離技術(shù)"應(yīng)運(yùn)而生。它的目標(biāo)是，在確保把有害攻擊隔離在可信網(wǎng)絡(luò)之外，并保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)絡(luò)間信息的安全交換。隔離概念的出現(xiàn)是為了保護(hù)高安全度網(wǎng)絡(luò)環(huán)境。

2.6網(wǎng)絡(luò)安全管理防范措施

對(duì)于安全領(lǐng)域存在的問(wèn)題，應(yīng)采取多種技術(shù)手段和措施進(jìn)行防范。在多種技術(shù)手段并用的同時(shí)，管理工作同樣不容忽視。規(guī)劃網(wǎng)絡(luò)的安全策略、確定網(wǎng)絡(luò)安全工作的目標(biāo)和對(duì)象、控制用戶的訪問(wèn)權(quán)限、制定書面或口頭規(guī)定、落實(shí)網(wǎng)絡(luò)管理人員的職責(zé)、加強(qiáng)網(wǎng)絡(luò)的安全管理、制定有關(guān)規(guī)章制度等等，對(duì)于確保網(wǎng)絡(luò)的安全、可靠運(yùn)行將起到十分有效的作用。

(接上頁(yè))

圖6 A、B兩樣品的EDS能譜圖

2.5樣品的EDS分析

樣品進(jìn)行X射線能譜分析(EDS)，分別采集兩個(gè)樣品的EDS能譜，其能譜圖見圖6中所示，由圖可知A、B兩樣品中都主要含有鎳和銅兩種元素和少量的碳元素。分析可知，銅元素來(lái)源于制樣時(shí)的基底材料銅柵上，碳元素來(lái)源于銅柵表面的碳膜或者泡沫鎳骨架中未被完全燒透的有機(jī)殘留物。而A樣品中出現(xiàn)極少量的氧雜質(zhì)，這是未被完全還原的產(chǎn)物。而B樣品中出現(xiàn)了少量的Zn，來(lái)源于鍍液中的雜質(zhì)。

網(wǎng)絡(luò)安全建議書范文第2篇

論文關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)安全　入侵檢測(cè)技術(shù)

論文摘要：隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全也日益受到人們?cè)絹?lái)越多的關(guān)注。防范網(wǎng)絡(luò)入侵、加強(qiáng)網(wǎng)絡(luò)安全防范的技術(shù)也多種多樣，其中入侵檢測(cè)技術(shù)以其低成本、低風(fēng)險(xiǎn)以及高靈活性得到了廣泛的應(yīng)用，并且有著廣闊的發(fā)展前景。本文就入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)過(guò)程中的有效應(yīng)用提出探討。

一、入侵檢測(cè)系統(tǒng)的分類

入侵檢測(cè)系統(tǒng)可以分為入侵檢測(cè)、入侵防御兩大類。其中入侵檢測(cè)系統(tǒng)是根據(jù)特定的安全策略，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)及系統(tǒng)的運(yùn)行狀態(tài)，盡量在非法入侵程序發(fā)起攻擊前發(fā)現(xiàn)其攻擊企圖，從而提高網(wǎng)絡(luò)系統(tǒng)資源的完整性和保密性。而隨著網(wǎng)絡(luò)攻擊技術(shù)的日益提高，網(wǎng)絡(luò)系統(tǒng)中的安全漏洞不斷被發(fā)現(xiàn)，傳統(tǒng)的入侵檢測(cè)技術(shù)及防火墻技術(shù)對(duì)這些多變的安全問(wèn)題無(wú)法全面應(yīng)對(duì)，于是入侵防御系統(tǒng)應(yīng)運(yùn)而生，它可以對(duì)流經(jīng)的數(shù)據(jù)流量做深度感知與檢測(cè)，丟棄惡意報(bào)文，阻斷其攻擊，限制濫用報(bào)文，保護(hù)帶寬資源。入侵檢測(cè)系統(tǒng)與入侵防御系統(tǒng)的區(qū)別在于：入侵檢測(cè)只具備單純的報(bào)警作用，而對(duì)于網(wǎng)絡(luò)入侵無(wú)法做出防御；而入侵防御系統(tǒng)則位于網(wǎng)絡(luò)與防火墻的硬件設(shè)備中間，當(dāng)其檢測(cè)到惡意攻擊時(shí)，會(huì)在這種攻擊開始擴(kuò)散前將其阻止在外。并且二者檢測(cè)攻擊的方法也不同，入侵防御系統(tǒng)對(duì)入網(wǎng)的數(shù)據(jù)包進(jìn)行檢查，在確定該數(shù)據(jù)包的真正用途的前提下，再對(duì)其是否可以進(jìn)入網(wǎng)絡(luò)進(jìn)行判斷。

二、入侵檢測(cè)技術(shù)在維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

（一）基于網(wǎng)絡(luò)的入侵檢測(cè)

基于網(wǎng)絡(luò)的入侵檢測(cè)形式有基于硬件的，也有基于軟件的，不過(guò)二者的工作流程是相同的。它們將網(wǎng)絡(luò)接口的模式設(shè)置為混雜模式，以便于對(duì)全部流經(jīng)該網(wǎng)段的數(shù)據(jù)進(jìn)行時(shí)實(shí)監(jiān)控，將其做出分析，再和數(shù)據(jù)庫(kù)中預(yù)定義的具備攻擊特征做出比較，從而將有害的攻擊數(shù)據(jù)包識(shí)別出來(lái)，做出響應(yīng)，并記錄日志。

1.入侵檢測(cè)的體系結(jié)構(gòu)

網(wǎng)絡(luò)入侵檢測(cè)的體系結(jié)構(gòu)通常由三部分組成，分別為Agent、Console以及Manager。其中Agent的作用是對(duì)網(wǎng)段內(nèi)的數(shù)據(jù)包進(jìn)行監(jiān)視，找出攻擊信息并把相關(guān)的數(shù)據(jù)發(fā)送至管理器；Console的主要作用是負(fù)責(zé)收集處的信息，顯示出所受攻擊的信息，把找出的攻擊信息及相關(guān)數(shù)據(jù)發(fā)送至管理器；Manager的主要作用則是響應(yīng)配置攻擊警告信息，控制臺(tái)所的命令也由Manager來(lái)執(zhí)行，再把所發(fā)出的攻擊警告發(fā)送至控制臺(tái)。

2.入侵檢測(cè)的工作模式

基于網(wǎng)絡(luò)的入侵檢測(cè)，要在每個(gè)網(wǎng)段中部署多個(gè)入侵檢測(cè)，按照網(wǎng)絡(luò)結(jié)構(gòu)的不同，其的連接形式也各不相同。如果網(wǎng)段的連接方式為總線式的集線器，則把與集線器中的某個(gè)端口相連接即可；如果為交換式以太網(wǎng)交換機(jī)，因?yàn)榻粨Q機(jī)無(wú)法共享媒價(jià)，因此只采用一個(gè)對(duì)整個(gè)子網(wǎng)進(jìn)行監(jiān)聽的辦法是無(wú)法實(shí)現(xiàn)的。因此可以利用交換機(jī)核心芯片中用于調(diào)試的端口中，將入侵檢測(cè)系統(tǒng)與該端口相連接?；蛘甙阉旁跀?shù)據(jù)流的關(guān)鍵出入口，于是就可以獲取幾乎全部的關(guān)鍵數(shù)據(jù)。

3.攻擊響應(yīng)及升級(jí)攻擊特征庫(kù)、自定義攻擊特征

如果入侵檢測(cè)系統(tǒng)檢測(cè)出惡意攻擊信息，其響應(yīng)方式有多種，例如發(fā)送電子郵件、記錄日志、通知管理員、查殺進(jìn)程、切斷會(huì)話、通知管理員、啟動(dòng)觸發(fā)器開始執(zhí)行預(yù)設(shè)命令、取消用戶的賬號(hào)以及創(chuàng)建一個(gè)報(bào)告等等。升級(jí)攻擊特征庫(kù)可以把攻擊特征庫(kù)文件通過(guò)手動(dòng)或者自動(dòng)的形式由相關(guān)的站點(diǎn)中下載下來(lái)，再利用控制臺(tái)將其實(shí)時(shí)添加至攻擊特征庫(kù)中。而網(wǎng)絡(luò)管理員可以按照單位的資源狀況及其應(yīng)用狀況，以入侵檢測(cè)系統(tǒng)特征庫(kù)為基礎(chǔ)來(lái)自定義攻擊特征，從而對(duì)單位的特定資源與應(yīng)用進(jìn)行保護(hù)。

（二）對(duì)于主機(jī)的入侵檢測(cè)

通常對(duì)主機(jī)的入侵檢測(cè)會(huì)設(shè)置在被重點(diǎn)檢測(cè)的主機(jī)上，從而對(duì)本主機(jī)的系統(tǒng)審計(jì)日志、網(wǎng)絡(luò)實(shí)時(shí)連接等信息做出智能化的分析與判斷。如果發(fā)展可疑情況，則入侵檢測(cè)系統(tǒng)就會(huì)有針對(duì)性的采用措施?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)可以具體實(shí)現(xiàn)以下功能：對(duì)用戶的操作系統(tǒng)及其所做的所有行為進(jìn)行全程監(jiān)控；持續(xù)評(píng)估系統(tǒng)、應(yīng)用以及數(shù)據(jù)的完整性，并進(jìn)行主動(dòng)的維護(hù)；創(chuàng)建全新的安全監(jiān)控策略，實(shí)時(shí)更新；對(duì)于未經(jīng)授權(quán)的行為進(jìn)行檢測(cè)，并發(fā)出報(bào)警，同時(shí)也可以執(zhí)行預(yù)設(shè)好的響應(yīng)措施；將所有日志收集起來(lái)并加以保護(hù)，留作后用。基于主機(jī)的入侵檢測(cè)系統(tǒng)對(duì)于主機(jī)的保護(hù)很全面細(xì)致，但要在網(wǎng)路中全面部署成本太高。并且基于主機(jī)的入侵檢測(cè)系統(tǒng)工作時(shí)要占用被保護(hù)主機(jī)的處理資源，所以會(huì)降低被保護(hù)主機(jī)的性能。

三、入侵檢測(cè)技術(shù)存在的問(wèn)題

盡管入侵檢測(cè)技術(shù)有其優(yōu)越性，但是現(xiàn)階段它還存在著一定的不足，主要體現(xiàn)在以下幾個(gè)方面：

第一：局限性：由于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只對(duì)與其直接連接的網(wǎng)段通信做出檢測(cè)，而不在同一網(wǎng)段的網(wǎng)絡(luò)包則無(wú)法檢測(cè)，因此如果網(wǎng)絡(luò)環(huán)境為交換以太網(wǎng)，則其監(jiān)測(cè)范圍就會(huì)表現(xiàn)出一定的局限性，如果安裝多臺(tái)傳感器則又增加了系統(tǒng)的成本。

第二：目前網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)一般采有的是特征檢測(cè)的方法，對(duì)于一些普通的攻擊來(lái)說(shuō)可能比較有效，但是一些復(fù)雜的、計(jì)算量及分析時(shí)間均較大的攻擊則無(wú)法檢測(cè)。

第三：監(jiān)聽某些特定的數(shù)據(jù)包時(shí)可能會(huì)產(chǎn)生大量的分析數(shù)據(jù)，會(huì)影響系統(tǒng)的性能。

第四：在處理會(huì)話過(guò)程的加密問(wèn)題時(shí)，對(duì)于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)來(lái)說(shuō)相對(duì)較難，現(xiàn)階段通過(guò)加密通道的攻擊相對(duì)較少，但是此問(wèn)題會(huì)越來(lái)越突出。

第五：入侵檢測(cè)系統(tǒng)自身不具備阻斷和隔離網(wǎng)絡(luò)攻擊的能力，不過(guò)可以與防火墻進(jìn)行聯(lián)動(dòng)，發(fā)現(xiàn)入侵行為后通過(guò)聯(lián)動(dòng)協(xié)議通知防火墻，讓防火墻采取隔離手段。

四、總結(jié)

現(xiàn)階段的入侵檢測(cè)技術(shù)相對(duì)來(lái)說(shuō)還存在著一定的缺陷，很多單位在解決網(wǎng)絡(luò)入侵相關(guān)的安全問(wèn)題時(shí)都采用基于主機(jī)與基于網(wǎng)絡(luò)相結(jié)合的入侵檢測(cè)系統(tǒng)。當(dāng)然入侵檢測(cè)技術(shù)也在不斷的發(fā)展，數(shù)據(jù)挖掘異常檢測(cè)、神經(jīng)網(wǎng)絡(luò)異常檢測(cè)、貝葉斯推理異常檢測(cè)、專家系統(tǒng)濫用檢測(cè)、狀態(tài)轉(zhuǎn)換分析濫用檢測(cè)等入侵檢測(cè)技術(shù)也越來(lái)越成熟?？傊⒂脩粢岣哂?jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性，不僅僅要靠技術(shù)支持，還要依靠自身良好的維護(hù)與管理。

參考文獻(xiàn)：

[1]胥瓊丹.入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2010，11

網(wǎng)絡(luò)安全建議書范文第3篇

一、構(gòu)建專業(yè)風(fēng)險(xiǎn)管理框架

1、公司成立負(fù)責(zé)風(fēng)險(xiǎn)管控的專業(yè)部門（如風(fēng)險(xiǎn)管理委員會(huì)），明確風(fēng)險(xiǎn)管理委員會(huì)及各專業(yè)委員會(huì)，風(fēng)險(xiǎn)管控部、各渠道部門，后援部門和資源部門等在風(fēng)險(xiǎn)管理工作中的角色及工作職責(zé)，通過(guò)不斷修訂和完善風(fēng)險(xiǎn)管理制度、流程、加強(qiáng)分公司風(fēng)險(xiǎn)管理體系建設(shè)，保證風(fēng)險(xiǎn)管理目標(biāo)的實(shí)現(xiàn)。

2、公司各部門結(jié)合部門的風(fēng)險(xiǎn)類別，建立并完善相應(yīng)的內(nèi)部控制制度，實(shí)現(xiàn)風(fēng)險(xiǎn)管理的制度化，標(biāo)準(zhǔn)化，推動(dòng)分公司風(fēng)險(xiǎn)管理制度建設(shè)。各部門要通過(guò)對(duì)日常業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)監(jiān)控，收集風(fēng)險(xiǎn)管理信息，對(duì)風(fēng)險(xiǎn)點(diǎn)提出整改建議并及時(shí)報(bào)送風(fēng)險(xiǎn)管控部。依據(jù)風(fēng)險(xiǎn)管控部下發(fā)的風(fēng)險(xiǎn)管理建議書完成整改。

4、公司明確將風(fēng)險(xiǎn)管理納入各部門日常經(jīng)營(yíng)的各個(gè)環(huán)節(jié)，各部門負(fù)責(zé)人為本部門風(fēng)險(xiǎn)管理第一責(zé)任人，對(duì)于違反相關(guān)內(nèi)容的部門和個(gè)人，依據(jù)公司下發(fā)的規(guī)定結(jié)合自身的實(shí)際情況，給予追究和處罰。

二、公司各部門有效配合風(fēng)險(xiǎn)管理工作

1、風(fēng)險(xiǎn)管控部牽頭組織，定期收集整理各部門上報(bào)的各類風(fēng)險(xiǎn)信息，以及外部監(jiān)管信息，通過(guò)分析匯總，由公司風(fēng)險(xiǎn)管理委員會(huì)審批后發(fā)放至各部門遵照?qǐng)?zhí)行。該部在年度風(fēng)險(xiǎn)識(shí)別和評(píng)估的基礎(chǔ)上，對(duì)“內(nèi)險(xiǎn)分類標(biāo)準(zhǔn)”、“內(nèi)險(xiǎn)識(shí)別和評(píng)估方法”不斷進(jìn)行補(bǔ)充和完善，建立公司風(fēng)險(xiǎn)管理庫(kù)。制定年度計(jì)劃，組織開展風(fēng)險(xiǎn)排查和制度執(zhí)行檢查工作，對(duì)各部門、各機(jī)構(gòu)的風(fēng)險(xiǎn)管理和內(nèi)控合規(guī)效果進(jìn)行評(píng)估，對(duì)需要整改的事項(xiàng)下達(dá)風(fēng)險(xiǎn)管理建議書。風(fēng)險(xiǎn)管控部年中、年末組織召開風(fēng)險(xiǎn)管控工作建議，總結(jié)公司風(fēng)險(xiǎn)管控工作開展情況，并提出改進(jìn)建議上報(bào)風(fēng)險(xiǎn)管理委員會(huì)。

2、人力資源部負(fù)責(zé)建立績(jī)效考核制度，對(duì)各級(jí)管理人員的考核，薪酬、獎(jiǎng)懲、晉升等決定與風(fēng)險(xiǎn)管理和內(nèi)控合規(guī)成效相掛鉤。配合風(fēng)險(xiǎn)管控部每月定期組織開展風(fēng)險(xiǎn)排查和內(nèi)部審計(jì)檢查工作，對(duì)檢查中發(fā)現(xiàn)的各級(jí)人員的違規(guī)情況報(bào)備人力資源部，人力資源部記入人員檔案并納入各層級(jí)績(jī)效考核。

3、計(jì)劃財(cái)務(wù)部根據(jù)下發(fā)的會(huì)計(jì)制度進(jìn)行日常會(huì)計(jì)處理；依據(jù)預(yù)算體系，完成預(yù)算的編制、執(zhí)行、調(diào)整、分析與考核的工作；建立財(cái)產(chǎn)日常管理制度和定期清查制度，確保財(cái)產(chǎn)安全，配合風(fēng)險(xiǎn)管控部進(jìn)行財(cái)務(wù)數(shù)據(jù)相關(guān)調(diào)查。

4、銷售管理工作由營(yíng)銷業(yè)務(wù)部，培訓(xùn)部、銀行業(yè)務(wù)部、團(tuán)體業(yè)務(wù)部、健康保險(xiǎn)部、保費(fèi)部、財(cái)富管理業(yè)務(wù)部、各機(jī)構(gòu)共同完成，主要負(fù)責(zé)建立并保持書面程序，對(duì)銷售人員的甄選、簽約、薪酬、考核、檔案、品質(zhì)管理、宣傳材料管理等進(jìn)行控制；定期對(duì)銷售人員進(jìn)行專業(yè)培訓(xùn)和職業(yè)道德教育，建立銷售人員失信懲戒機(jī)制；對(duì)于銷售過(guò)程中已識(shí)別的風(fēng)險(xiǎn)，建立并保持控制程序；執(zhí)行公司的風(fēng)險(xiǎn)管理制度。

5、運(yùn)營(yíng)管理部和法人運(yùn)營(yíng)部主要負(fù)責(zé)核保核賠，單證管理及保全管理，建立明確有核保，核賠標(biāo)準(zhǔn)，實(shí)施權(quán)責(zé)明確、分級(jí)授權(quán)，相互制約，規(guī)范操作的承保理賠管理機(jī)制；明確核保核賠人員的適任條件，定期對(duì)核保核賠人員進(jìn)行培訓(xùn)，確保核保核培人員具有專業(yè)操守并勤勉盡職；對(duì)單證的印刷、保管、領(lǐng)用、作廢和核銷及檔案的保管實(shí)施控制。

6、客戶服務(wù)部主要負(fù)責(zé)客戶的咨詢投訴管理、客戶的回訪、客戶服務(wù)及柜面管理。建立并保持咨詢投訴處理程序，對(duì)咨詢投訴處理中發(fā)現(xiàn)的問(wèn)題進(jìn)行核實(shí)、分析、反饋、進(jìn)行整改和跟蹤監(jiān)督，并對(duì)公司業(yè)務(wù)品質(zhì)管理進(jìn)行原則確定、統(tǒng)一管理；建立并實(shí)施業(yè)務(wù)操作標(biāo)準(zhǔn)和服務(wù)質(zhì)量標(biāo)準(zhǔn)，對(duì)柜面活動(dòng)的服務(wù)質(zhì)量進(jìn)行規(guī)范管理，并建立客戶服務(wù)質(zhì)量考評(píng)機(jī)制；按照有關(guān)規(guī)定確定客戶回訪范圍和內(nèi)容，對(duì)客戶反饋信息進(jìn)行分析整改并定期跟蹤。

7、信息技術(shù)部主要負(fù)責(zé)信息安全管理、建立信息安全管理體系、對(duì)硬件、操作系統(tǒng)，應(yīng)用程序和操作環(huán)境實(shí)施控制，確保信息的完整性，安全性和可用性；出入計(jì)算機(jī)機(jī)房有嚴(yán)格的審批程序和出入記錄；對(duì)系統(tǒng)數(shù)據(jù)資料采取加密措施，建立健全網(wǎng)絡(luò)管理系統(tǒng)，對(duì)網(wǎng)絡(luò)安全，故障、性能、配置等進(jìn)行有效管理；對(duì)完絡(luò)設(shè)備，操作系統(tǒng)，數(shù)據(jù)庫(kù)系統(tǒng)，應(yīng)用程序等設(shè)置必要的日志。

8、辦公室主要負(fù)責(zé)行政管理，負(fù)責(zé)建立并保持書面程序，對(duì)公司的印鑒，合同檔案，職場(chǎng)管理，招標(biāo)投標(biāo)、文件、品牌宣傳、固定資產(chǎn)及物料管理等環(huán)節(jié)進(jìn)行控制，定期對(duì)固定資產(chǎn)及物料進(jìn)行清查，保證財(cái)產(chǎn)的安全，對(duì)工作當(dāng)中已經(jīng)識(shí)別出的風(fēng)險(xiǎn)保持控制。

9、企劃部主要根據(jù)公司的戰(zhàn)略規(guī)劃，統(tǒng)一制定分支機(jī)構(gòu)組織設(shè)置，職責(zé)權(quán)限，建立健全分支機(jī)構(gòu)管控制度，實(shí)現(xiàn)對(duì)分支機(jī)構(gòu)的全面、動(dòng)態(tài)、有效管理、包含公司經(jīng)營(yíng)目標(biāo)，經(jīng)營(yíng)計(jì)劃的督導(dǎo)追蹤、分支機(jī)新設(shè)、撤銷、變更、晉級(jí)等業(yè)務(wù)。

三、樹立良好的企業(yè)風(fēng)險(xiǎn)管理文化

網(wǎng)絡(luò)安全建議書范文第4篇

    一、網(wǎng)站認(rèn)證的由來(lái)

    (一)產(chǎn)生背景

    1997年,美國(guó)政府正式提出了電子商務(wù)框架(E-business framework)的概念。Business to Business(BtoB),Business to Customer(BtoC)的電子商務(wù)形式,以及Internet Service Provider(ISP),Application Service Provider(ASP)和Certificated Authorities(CA)等服務(wù)隨之豐富和繁榮起來(lái)。同一年,AICPA與CICA聯(lián)合提出了一項(xiàng)旨在幫助網(wǎng)站瀏覽者增強(qiáng)對(duì)網(wǎng)站的信任,幫助保障隱私,認(rèn)證網(wǎng)站安全和減低網(wǎng)絡(luò)商業(yè)詐騙風(fēng)險(xiǎn)的新的互聯(lián)網(wǎng)網(wǎng)站鑒證服務(wù)—Webtrust。這項(xiàng)鑒證服務(wù)是由持有特許專業(yè)執(zhí)照的注冊(cè)會(huì)計(jì)師,按照AICPA和CICA公布的“網(wǎng)站認(rèn)證”準(zhǔn)則與規(guī)范(Principles and Criterias)對(duì)被審查網(wǎng)站的在線隱私(Online Privacy)、安全性(Security)、有效性(Availability)、商業(yè)模式與交易信譽(yù)(Business Practices/Transaction Integrity)、認(rèn)可(Non-repudiation)、保密性(Confidentiality)、CA服務(wù)等七方面進(jìn)行審查和鑒證,對(duì)于符合準(zhǔn)則與規(guī)范的網(wǎng)站,允許其將AICPA或CICA委托Verisign公司管理的“網(wǎng)站認(rèn)證”徽記以超鏈接(Hyperlink)方式放置在該網(wǎng)站的主頁(yè)(首頁(yè))上,供瀏覽網(wǎng)站的顧客點(diǎn)擊后,以安全方式查看位于Verisign網(wǎng)站的注冊(cè)會(huì)計(jì)師鑒證報(bào)告。

    網(wǎng)絡(luò)安全、隱私權(quán)和瀏覽者信任等問(wèn)題一直是嚴(yán)重阻礙網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展的主要問(wèn)題。一方面,各網(wǎng)站公司、安全技術(shù)機(jī)構(gòu)和微軟等的研發(fā)中心都在不斷的更新完善加密技術(shù),推出一些認(rèn)證方式,維護(hù)網(wǎng)絡(luò)安全;但另一方面,在開放型的網(wǎng)絡(luò)世界中,人們不斷聽到、看到和受到各種網(wǎng)絡(luò)安全的威脅,因此對(duì)于網(wǎng)上交易戒心重重。此外,虛擬的網(wǎng)站使顧客只能通過(guò)網(wǎng)頁(yè)的內(nèi)容來(lái)了解公司而無(wú)法知曉公司的規(guī)模、誠(chéng)信、產(chǎn)品和服務(wù)的實(shí)際狀況,更無(wú)法確認(rèn)網(wǎng)站承諾的安全保密條款會(huì)否得到不折不扣地執(zhí)行,而且越是有名的安全技術(shù)性認(rèn)證,越容易引起黑客的攻擊興趣。AICPA和CICA正是看到了這一新興的市場(chǎng),利用自身獨(dú)立、客觀、公正的良好第三者形象和專業(yè)的技能知識(shí)開始介入這一市場(chǎng),使“網(wǎng)站認(rèn)證”服務(wù)應(yīng)運(yùn)而生。

    (二)準(zhǔn)則內(nèi)容

    也許是受到計(jì)算機(jī)行業(yè)慣例的影響,AICPA在推出其“網(wǎng)站認(rèn)證準(zhǔn)則與規(guī)范”時(shí)使用了X.0版的模式。其最新的3.0版準(zhǔn)則與前期的2.0版和1.0版比較,有了很大的進(jìn)步,將網(wǎng)站認(rèn)證的范圍擴(kuò)大到了BtoB、ISP、CA等范圍。3.0版準(zhǔn)則提供給網(wǎng)站更多的認(rèn)證選擇,以滿足其具體的需要。例如提供BtoC服務(wù)的網(wǎng)站會(huì)對(duì)“在線隱私”和“商業(yè)模式與交易完整”認(rèn)證更感興趣;提供BtoB服務(wù)的網(wǎng)站會(huì)對(duì)“安全”和“認(rèn)可”認(rèn)證更感興趣。以下是3.0版準(zhǔn)則的簡(jiǎn)要介紹:

    1.在線隱私。2000年11月30日AICPA制定了“在線隱私”準(zhǔn)則與規(guī)范3.0版:“網(wǎng)站應(yīng)該充分地揭示其對(duì)在線商務(wù)隱私的運(yùn)作程序,并遵守這些程序,保持對(duì)這些程序的有效控制,對(duì)在電子商務(wù)中產(chǎn)生的私人信息的安全提供合理的保證”。該準(zhǔn)則適用于BtoC、ISP和ASP服務(wù)。

    2.安全性。2001年1月1日,AICPA制定了“安全性”準(zhǔn)則與規(guī)范3.0版:“網(wǎng)站應(yīng)揭示、執(zhí)行和保持其安全保護(hù)政策,并對(duì)所有接近電子商務(wù)系統(tǒng)和數(shù)據(jù)的人都是通過(guò)了安全政策下的授權(quán)提供合理的保證”。該項(xiàng)準(zhǔn)則適用于BtoB、BtoC、ISP和ASP服務(wù)。

    3.商業(yè)模式與交易信譽(yù)。2001年1月1日,AICPA制定了“商業(yè)模式與交易完整”準(zhǔn)則與規(guī)范3.0版:“網(wǎng)站應(yīng)揭示、執(zhí)行和保持其既定的商業(yè)運(yùn)作政策,并為商務(wù)運(yùn)作完整、準(zhǔn)確和一致的遵循其政策提供合理的保證”。該項(xiàng)準(zhǔn)則適用于BtoB、BtoC、ISP和ASP服務(wù)。

    4.有效性。2001年1月1日,AICPA制定了“有效性”準(zhǔn)則與規(guī)范3.0版:“網(wǎng)站應(yīng)揭示、執(zhí)行和保持其既定的有效性政策,并為電子商務(wù)交易的有效性提供合理的保證”。該項(xiàng)準(zhǔn)則適用于BtoB、BtoC、ISP和ASP服務(wù)。

    除上述準(zhǔn)則外,“網(wǎng)站認(rèn)證”的其他準(zhǔn)則與規(guī)范與以前舊版模式內(nèi)容沒(méi)有太大變化。

    (三)發(fā)展現(xiàn)狀

    根據(jù)AICPA網(wǎng)站2001年5月的消息,目前共有17個(gè)國(guó)家和地區(qū)的注冊(cè)會(huì)計(jì)師協(xié)會(huì)獲準(zhǔn)其會(huì)員提供網(wǎng)站認(rèn)證鑒證服務(wù),其中包括香港會(huì)計(jì)師公會(huì)(HKSA)。但是,獲得網(wǎng)站認(rèn)證徽記的網(wǎng)站不足40家。臺(tái)灣學(xué)者的相關(guān)研究認(rèn)為,網(wǎng)站認(rèn)證發(fā)展受阻的主要原因是:1.公眾對(duì)注冊(cè)會(huì)計(jì)師的網(wǎng)站認(rèn)證鑒證服務(wù)還很不熟悉。2.網(wǎng)站認(rèn)證的收費(fèi)較高,對(duì)于很多網(wǎng)站來(lái)說(shuō)不具成本效益。3.消費(fèi)者是因?yàn)閷?duì)網(wǎng)站感興趣才進(jìn)入該網(wǎng)站。4.注冊(cè)會(huì)計(jì)師不善于進(jìn)行網(wǎng)站認(rèn)證營(yíng)銷。可見,網(wǎng)站認(rèn)證還處于起步階段,需要注冊(cè)會(huì)計(jì)師們的大力推廣,不斷更新。

    二、網(wǎng)站認(rèn)證的特點(diǎn)

    由于網(wǎng)絡(luò)的虛擬特性,信息、證據(jù)的痕跡不能直接觀察,網(wǎng)絡(luò)技術(shù)環(huán)境更新迅速以及網(wǎng)站信譽(yù)鑒證有特殊目的等原因,使得這一鑒證服務(wù)有別于傳統(tǒng)審計(jì)業(yè)務(wù),具有許多新的特點(diǎn)。

    (一)目標(biāo)和審點(diǎn)。

    網(wǎng)站認(rèn)證不是以網(wǎng)站的財(cái)務(wù)狀況、經(jīng)營(yíng)業(yè)績(jī)?yōu)閷彶榈闹行哪繕?biāo),而是以網(wǎng)站的安全性、信息的管理保護(hù)等為審查對(duì)象,以評(píng)價(jià)這些內(nèi)容是否符合有關(guān)準(zhǔn)則與規(guī)范為目標(biāo)進(jìn)行的鑒證服務(wù)。這一目標(biāo)的變化,直接導(dǎo)致了鑒證的各要素和鑒證方法的變化。因此,可以說(shuō)網(wǎng)站認(rèn)證是一種全新的審計(jì)概念。

    我們認(rèn)為,網(wǎng)站認(rèn)證仍然是一種審計(jì)活動(dòng),而不是其他的管理咨詢等非審計(jì)業(yè)務(wù)。美國(guó)會(huì)計(jì)學(xué)會(huì)(AAA)對(duì)審計(jì)的定義是“為確定關(guān)于經(jīng)濟(jì)行為及經(jīng)濟(jì)現(xiàn)象的結(jié)論和所制定的標(biāo)準(zhǔn)之間的一致程度,而對(duì)這種結(jié)論有關(guān)的證據(jù)進(jìn)行收集、評(píng)定,并將結(jié)果傳達(dá)給利害關(guān)系人的有組織的過(guò)程?！笨梢?現(xiàn)代審計(jì)的概念早已經(jīng)拓寬到管理審計(jì)、經(jīng)濟(jì)效益審計(jì)等多方面。“網(wǎng)站認(rèn)證”作為現(xiàn)代審計(jì)的新分支,是網(wǎng)絡(luò)經(jīng)濟(jì)的產(chǎn)物,是在注冊(cè)會(huì)計(jì)師對(duì)網(wǎng)站進(jìn)行審計(jì)時(shí),結(jié)合客觀現(xiàn)實(shí)的需要應(yīng)運(yùn)而生的。從審計(jì)的本質(zhì)上講,網(wǎng)站認(rèn)證是對(duì)虛擬網(wǎng)站向客戶提供BtoB、BtoC商務(wù)模式以及ISP、ASP、CA等經(jīng)濟(jì)活動(dòng)是否符合有關(guān)規(guī)范所進(jìn)行的評(píng)價(jià)與鑒證。

    (二)審計(jì)職能

    一般認(rèn)為,審計(jì)具有監(jiān)督、評(píng)價(jià)、鑒證職能。網(wǎng)站認(rèn)證的評(píng)價(jià)職能是顯而易見的,注冊(cè)會(huì)計(jì)師對(duì)網(wǎng)站的營(yíng)運(yùn)方式分析、系統(tǒng)的安全測(cè)試、數(shù)據(jù)資料的管理維護(hù)抽樣調(diào)查等都是為了要評(píng)價(jià)網(wǎng)站的安全性、有效性、合規(guī)性。雖然說(shuō)評(píng)價(jià)的內(nèi)容有所變化,但評(píng)價(jià)職能本身是沒(méi)有改變的。網(wǎng)站認(rèn)證的鑒證職能是其本身目標(biāo)的直接體現(xiàn),正是因?yàn)橛辛髓b證職能,網(wǎng)站瀏覽者和客戶才會(huì)加強(qiáng)對(duì)網(wǎng)站的信任感,才能實(shí)現(xiàn)電子商務(wù)劑的功能。“網(wǎng)站認(rèn)證”由于是注冊(cè)會(huì)計(jì)師接受網(wǎng)站本身的委托對(duì)其進(jìn)行的審查活動(dòng),除對(duì)網(wǎng)站內(nèi)部人員有一定監(jiān)督作用外,監(jiān)督職能因此并不突出。

    (三)審計(jì)的主體、客體和對(duì)象

    雖然網(wǎng)站認(rèn)證依然是由注冊(cè)會(huì)計(jì)師進(jìn)行的,但是它對(duì)注冊(cè)會(huì)計(jì)師提出了更高的要求。首先,注冊(cè)會(huì)計(jì)師必須有特殊的專業(yè)執(zhí)照才能進(jìn)行這項(xiàng)業(yè)務(wù),這不同于管理審計(jì)、管理咨詢等業(yè)務(wù)。其次,注冊(cè)會(huì)計(jì)師必須充分考慮是否需要其他專家的協(xié)助,而這往往是必不可少的,就猶如人壽保險(xiǎn)審計(jì),需要有精算師的配合與協(xié)助一樣。最后,網(wǎng)站認(rèn)證徽記是由Verisign網(wǎng)站提供和管理。所以網(wǎng)站認(rèn)證審計(jì)的主體已經(jīng)不再像傳統(tǒng)審計(jì)那樣單純了。

    網(wǎng)站認(rèn)證的客體是網(wǎng)站。由于這一客體與傳統(tǒng)的公司、組織有顯著不同,因此“網(wǎng)站認(rèn)證”審計(jì)也顯得與眾不同。網(wǎng)站公司往往實(shí)體業(yè)務(wù)很簡(jiǎn)單,更多更主要的經(jīng)濟(jì)活動(dòng)是發(fā)生在虛擬的網(wǎng)絡(luò)世界中,對(duì)這樣的客體進(jìn)行審計(jì)必須選擇與之相適應(yīng)的手段和方法。

    網(wǎng)站認(rèn)證的對(duì)象是網(wǎng)站的系統(tǒng)安全模式、網(wǎng)站的經(jīng)濟(jì)活動(dòng)程序等等,這與傳統(tǒng)的審計(jì)大不一樣。

    (四)審計(jì)風(fēng)險(xiǎn)

    一方面,網(wǎng)站認(rèn)證報(bào)告的對(duì)象是不確定的所有網(wǎng)站服務(wù)使用者,不局限于審計(jì)委托人;另一方面,網(wǎng)絡(luò)的變化迅速,使用“網(wǎng)站認(rèn)證”鑒證報(bào)告的瀏覽者得到的是根據(jù)以前信息做出的安全認(rèn)證,這對(duì)于網(wǎng)絡(luò)世界來(lái)說(shuō)是明顯滯后的。所以,注冊(cè)會(huì)計(jì)師的風(fēng)險(xiǎn)很大,必須在認(rèn)證報(bào)告中加入適當(dāng)?shù)恼f(shuō)明,以明確責(zé)任。

    (五)審計(jì)方法、手段和報(bào)告方式

    綜上所述,我們知道網(wǎng)站認(rèn)證的目標(biāo)、客體和對(duì)象與傳統(tǒng)審計(jì)相比較有了很大變化,因此在審計(jì)手段和方法上也有相應(yīng)的變化。

    首先,網(wǎng)站認(rèn)證的審計(jì)程序是:評(píng)價(jià)委托風(fēng)險(xiǎn)接受委托并獲得管理當(dāng)局聲明書系統(tǒng)管理控制評(píng)價(jià)符合測(cè)試、實(shí)質(zhì)測(cè)試完成審計(jì)工作,提出管理建議書,要求進(jìn)行改進(jìn)以達(dá)到標(biāo)準(zhǔn)出具報(bào)告,申請(qǐng)給與網(wǎng)站認(rèn)證徽記每3個(gè)月進(jìn)行復(fù)核測(cè)試。其中的最后一個(gè)步驟就是傳統(tǒng)審計(jì)所沒(méi)有的,是適應(yīng)網(wǎng)絡(luò)經(jīng)濟(jì)飛速發(fā)展的客觀需要而采取的一項(xiàng)重要內(nèi)容。而且,網(wǎng)站認(rèn)證中管理當(dāng)局聲明書的內(nèi)容較傳統(tǒng)審計(jì)有很大不同,管理當(dāng)局被要求對(duì)其管理網(wǎng)站的各項(xiàng)安全保密政策以及其他要求注冊(cè)會(huì)計(jì)師審計(jì)的方面的政策和執(zhí)行情況進(jìn)行揭示與責(zé)任說(shuō)明。網(wǎng)站認(rèn)證中的管理當(dāng)局聲明書相當(dāng)于傳統(tǒng)審計(jì)中的會(huì)計(jì)報(bào)表加管理當(dāng)局聲明書,這與傳統(tǒng)審計(jì)有所區(qū)別。

    其次,許多審計(jì)測(cè)試都必須通過(guò)計(jì)算機(jī)進(jìn)行,不存在繞過(guò)計(jì)算機(jī)審計(jì)的方法。例如,在進(jìn)行客戶登錄是否有安全保護(hù),是否只能進(jìn)入授權(quán)級(jí)別的內(nèi)容,交易是否是在安全模式下進(jìn)行等測(cè)試只能在網(wǎng)絡(luò)上進(jìn)行,相關(guān)的審計(jì)證據(jù)也是以電子方式存在,這是網(wǎng)站認(rèn)證審計(jì)的一大特點(diǎn)。

    第三,網(wǎng)站認(rèn)證的委托人(審計(jì)報(bào)告的對(duì)象)與傳統(tǒng)的報(bào)表審計(jì)不同。一般來(lái)說(shuō),“網(wǎng)站認(rèn)證”是由網(wǎng)站管理當(dāng)局委托注冊(cè)會(huì)計(jì)師進(jìn)行的,審計(jì)報(bào)告的對(duì)象是網(wǎng)站的管理當(dāng)局,這是與目前的網(wǎng)站認(rèn)證報(bào)告的使用目的相關(guān)的。網(wǎng)站所有者并不需要網(wǎng)站認(rèn)證來(lái)證明網(wǎng)站的安全,因?yàn)檫@只是經(jīng)營(yíng)者提高業(yè)績(jī)而進(jìn)行的努力,所以網(wǎng)站認(rèn)證的委托人大都是網(wǎng)站的管理當(dāng)局。

    最后,網(wǎng)站認(rèn)證的報(bào)告方式別具一格。網(wǎng)站認(rèn)證報(bào)告是通過(guò)被審計(jì)網(wǎng)站主頁(yè)上的一個(gè)超鏈接圖標(biāo)與Verisign網(wǎng)站的相關(guān)報(bào)告鏈接,瀏覽者點(diǎn)擊該圖標(biāo)就可以看到注冊(cè)會(huì)計(jì)師的審計(jì)報(bào)告。這種審計(jì)報(bào)告是網(wǎng)站通過(guò)了何種認(rèn)證標(biāo)準(zhǔn)的報(bào)告,不存在傳統(tǒng)概念下的保留意見、否定意見或拒絕表示意見報(bào)告。以下是一份根據(jù)網(wǎng)站認(rèn)證3.0版“安全性”準(zhǔn)則與規(guī)范書寫的報(bào)告范例:

    獨(dú)立審計(jì)師報(bào)告

    興隆公司管理當(dāng)局:

    我們已經(jīng)審查了貴公司2000年1月1日到2000年12月31日的管理聲明書(鏈接到管理聲明書),聲明包括揭示了所有重要的電子商務(wù)安全政策,并遵循了這些政策,且對(duì)只有獲得授權(quán)的人才能在上述安全政策下接近電子商務(wù)系統(tǒng)和數(shù)據(jù)保持了有效的控制。我們的審查是根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)“網(wǎng)站認(rèn)證”安全性準(zhǔn)則進(jìn)行的(可鏈接到安全性準(zhǔn)則)。執(zhí)行程序、揭示政策、遵循和控制是興隆公司管理當(dāng)局的責(zé)任。我們的責(zé)任是根據(jù)我們的審查發(fā)表審計(jì)意見。

    我們的審計(jì)程序是按照美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的標(biāo)準(zhǔn)執(zhí)行的,這些審計(jì)程序包括:(1)獲得和了解興隆公司揭示的安全政策和相關(guān)安全控制程序,(2)測(cè)試這些安全政策的執(zhí)行遵守情況,(3)測(cè)試和評(píng)價(jià)安全控制執(zhí)行的有效性,(4)其它我們認(rèn)為必要的審計(jì)程序。我們認(rèn)為我們的審查為我們的審計(jì)意見提供了合理的基礎(chǔ)。

    我們認(rèn)為,興隆公司的上述管理聲明書,依據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)“網(wǎng)站認(rèn)證”安全標(biāo)準(zhǔn),在所有重要方面都進(jìn)行了公允地表達(dá)。

    由于控制內(nèi)在的限制,一些錯(cuò)誤和舞弊可能存在而沒(méi)有被檢查出來(lái)。并且,基于我們的發(fā)現(xiàn)而得出的結(jié)論,在未來(lái)的期間,存在這些結(jié)論不適用的風(fēng)險(xiǎn),因?yàn)?(1)安全系統(tǒng)和控制可能改變,(2)執(zhí)行環(huán)境的變化,(3)時(shí)間流逝帶來(lái)的變化,(4)對(duì)安全政策和程序的遵循可能懈怠。

    在興隆公司網(wǎng)站上的網(wǎng)站認(rèn)證徽記是本報(bào)告內(nèi)容的一種符號(hào)表示,它不是對(duì)本報(bào)告的更新,也不代表任何更進(jìn)一步的保證。

    埃得華會(huì)計(jì)師事務(wù)所

    弗內(nèi)斯特·埃得華  注冊(cè)會(huì)計(jì)師

    華盛頓特區(qū) 

    2001年2月1日

    三、中國(guó)注冊(cè)會(huì)計(jì)師應(yīng)如何面對(duì)網(wǎng)站認(rèn)證

    網(wǎng)站認(rèn)證審計(jì)在我國(guó)還是個(gè)新鮮的事物。如何發(fā)展我國(guó)注冊(cè)會(huì)計(jì)師的網(wǎng)站認(rèn)證業(yè)務(wù)呢?筆者認(rèn)為,我國(guó)注冊(cè)會(huì)計(jì)師行業(yè)的建設(shè)隨著時(shí)間與經(jīng)驗(yàn)的積累,水平在逐漸提高。但由于種種原因,社會(huì)大眾對(duì)我們注冊(cè)會(huì)計(jì)師這個(gè)行業(yè)的信任度還不是很高。這是我國(guó)注冊(cè)會(huì)計(jì)師拓展網(wǎng)絡(luò)鑒證服務(wù)市場(chǎng)的主要阻礙。要克服這些障礙,我們?nèi)杂性S多方面的工作必須加以努力。具體來(lái)講:

    1.有必要建立一部管理電子商務(wù)的基本法。沒(méi)有法律的保護(hù),任何行業(yè)的自律,任何第三方的證明,都不能使消費(fèi)者和客戶真正的放心。如果消費(fèi)者權(quán)益沒(méi)有明確的法律保護(hù),那么電子商務(wù)將是一件風(fēng)險(xiǎn)很高的商業(yè)行為,更何況是網(wǎng)站認(rèn)證。

    2.中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)應(yīng)該為網(wǎng)站認(rèn)證或網(wǎng)站審計(jì)制定標(biāo)準(zhǔn),提供資格認(rèn)證。每一個(gè)行業(yè)都有自身的特點(diǎn),雖然我們沒(méi)必要為每一個(gè)行業(yè)制定特殊的審計(jì)準(zhǔn)則,但是對(duì)于個(gè)別重要或特殊的行業(yè)還是應(yīng)該根據(jù)實(shí)際情況,進(jìn)行相應(yīng)的處理。我們完全可以參考金融保險(xiǎn)企業(yè)審計(jì)那樣,為網(wǎng)站認(rèn)證或網(wǎng)站審計(jì)規(guī)定新的游戲規(guī)則。

    3.隨著經(jīng)濟(jì)環(huán)境的變化,注冊(cè)會(huì)計(jì)師必須無(wú)時(shí)無(wú)刻地加強(qiáng)自身的專業(yè)技能與知識(shí)創(chuàng)新,提高職業(yè)道德水平。事務(wù)所應(yīng)該努力延伸在網(wǎng)絡(luò)經(jīng)濟(jì)方面的觸角,學(xué)習(xí)新事物,拓展新市場(chǎng)。反觀我國(guó)注冊(cè)會(huì)計(jì)師工作壓力重,再學(xué)習(xí)時(shí)間少,全面更新專業(yè)技能知識(shí)難度大。

    4.網(wǎng)站認(rèn)證的發(fā)展壯大依賴于網(wǎng)絡(luò)經(jīng)濟(jì)、電子商務(wù)的發(fā)展壯大。我國(guó)社會(huì)主義市場(chǎng)經(jīng)濟(jì)的建設(shè)事業(yè)還沒(méi)有完全完成,市場(chǎng)經(jīng)濟(jì)的規(guī)則還不完善,舊的習(xí)慣和方法還桎梏著一小部分人的思維,網(wǎng)絡(luò)經(jīng)濟(jì)道途坎坷的情況有待逐步改善。

網(wǎng)絡(luò)安全建議書范文第5篇

關(guān)鍵詞：電力信息網(wǎng)絡(luò)安全；風(fēng)險(xiǎn)評(píng)估；措施

中圖分類號(hào)：TK124文獻(xiàn)標(biāo)識(shí)碼：A

信息安全工作對(duì)信息網(wǎng)絡(luò)的安全狀況進(jìn)行評(píng)估，對(duì)信息系統(tǒng)起到保障作用，在高新科技時(shí)代，電力企業(yè)建立安全有效的信息網(wǎng)絡(luò)刻不容緩。面對(duì)越來(lái)越重要的電力信息網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估，本文結(jié)合當(dāng)前電力信息系統(tǒng)現(xiàn)狀，分析了信息安全評(píng)估的方法，總結(jié)了風(fēng)險(xiǎn)評(píng)估技術(shù)。

1電力信息網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估技術(shù)的現(xiàn)狀

目前，我國(guó)的電力信息系統(tǒng)已經(jīng)建立了安全管理體系，并在不斷地完善，將原先信息網(wǎng)絡(luò)和實(shí)施控制體系相互分離開來(lái)。然而，我國(guó)電力信息網(wǎng)絡(luò)的安全存在著許多缺陷，包括缺乏網(wǎng)絡(luò)防火墻、數(shù)據(jù)備份問(wèn)題、缺少長(zhǎng)遠(yuǎn)的規(guī)劃等，系統(tǒng)的安全管理體系還需要更進(jìn)一步地完善建設(shè)。

1．1電力信息網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估技術(shù)的運(yùn)用

電力企業(yè)信息化硬件設(shè)備足夠，網(wǎng)絡(luò)建設(shè)成功完成。信息化在電力生產(chǎn)、電力調(diào)度、輸變電、配網(wǎng)自動(dòng)化等方面廣泛使用。在網(wǎng)絡(luò)硬件上采用多種技術(shù)，如千兆骨干網(wǎng)等；在軟件上運(yùn)用電網(wǎng)自動(dòng)化體系調(diào)度和相關(guān)技術(shù)系統(tǒng)，并有效運(yùn)用營(yíng)銷系統(tǒng)、配網(wǎng)自動(dòng)化等系統(tǒng)?，F(xiàn)在的電力信息網(wǎng)絡(luò)在安全生產(chǎn)、節(jié)能降耗、降低成本、縮短工期、提高勞動(dòng)生產(chǎn)率等方面發(fā)揮了社會(huì)效益和經(jīng)濟(jì)效益，信息化治理機(jī)制逐步改善，在電力生產(chǎn)、建設(shè)、經(jīng)營(yíng)、治理、科研、設(shè)計(jì)等方面得到充分的利用。

1．2電力信息網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估技術(shù)有待改進(jìn)的地方

1．2．1增加安全防范

計(jì)算機(jī)信息技術(shù)高速發(fā)展帶動(dòng)計(jì)算機(jī)信息安全策略和技術(shù)的發(fā)展。建立完善的、有指導(dǎo)意義的電力系統(tǒng)計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)，才能保證體系的安全運(yùn)行。

1．2．2建立計(jì)算機(jī)信息安全體系

計(jì)算機(jī)運(yùn)用在電力系統(tǒng)的生產(chǎn)、經(jīng)營(yíng)、治理等方面，但是安全策略、安全技術(shù)以及安全措施的投資力度不足。

1．2．3防范黑客攻擊

建立廣域網(wǎng)之后，計(jì)算機(jī)網(wǎng)絡(luò)化使之前孤立的局域網(wǎng)面臨巨大的外部安全攻擊?，F(xiàn)在不僅僅要防止意外破壞和內(nèi)部職員的安全控制，還要能防止互聯(lián)網(wǎng)上的安全攻擊。

1．2．4保護(hù)數(shù)據(jù)信息

以明文形式存儲(chǔ)的信息存在泄漏的可能，要防止存儲(chǔ)介質(zhì)的泄露，以及黑客可以繞過(guò)操縱系統(tǒng)、數(shù)據(jù)庫(kù)治理系統(tǒng)的控制而得到信息，要注意系統(tǒng)后門和來(lái)自軟硬件系統(tǒng)制造商的風(fēng)險(xiǎn)。

1．2．5完善數(shù)據(jù)備份措施

不能只用一臺(tái)工作站備份數(shù)據(jù)，要有完善的數(shù)據(jù)備份設(shè)備、數(shù)據(jù)備份策略和數(shù)據(jù)備份的管理制度，并且對(duì)數(shù)據(jù)備份的介質(zhì)妥善保管。

2面對(duì)的風(fēng)險(xiǎn)、解決措施和風(fēng)險(xiǎn)控制

2．1風(fēng)險(xiǎn)

2．1．1操作系統(tǒng)安全風(fēng)險(xiǎn)

系統(tǒng)安全管理保證了操作系統(tǒng)的安全性，但是當(dāng)前許多服務(wù)器都存在信息安全隱患。

2．1．2數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)

數(shù)據(jù)庫(kù)是全部業(yè)務(wù)應(yīng)用、決策支持、行政辦公和外部信息系統(tǒng)的信息管理核心，相關(guān)的生產(chǎn)數(shù)據(jù)都要得到保護(hù)。統(tǒng)一的數(shù)據(jù)備份和恢復(fù)，以及可用性高的保障機(jī)制，安全管理數(shù)據(jù)庫(kù)等可以提升安全管理的級(jí)別，規(guī)避風(fēng)險(xiǎn)。目前，電力的數(shù)據(jù)庫(kù)管理系統(tǒng)的安全級(jí)別還算高，但是還有安全漏洞。應(yīng)用系統(tǒng)軟件在數(shù)據(jù)的安全管理也有安全漏洞，要綜合評(píng)估數(shù)據(jù)庫(kù)和應(yīng)用的安全性。

2．1．3Web系統(tǒng)安全風(fēng)險(xiǎn)

要訪問(wèn)電力系統(tǒng)企業(yè)內(nèi)部資源，WebServer是其中的通道，但其服務(wù)器越來(lái)越復(fù)雜，安全漏洞也越來(lái)越多。

2．1．4桌面應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)

桌面應(yīng)用系統(tǒng)是優(yōu)化整個(gè)應(yīng)用系統(tǒng)的重要部分，是訪問(wèn)系統(tǒng)資源和管理系統(tǒng)資源的入口，因此對(duì)于系統(tǒng)風(fēng)險(xiǎn)的防范尤為重要。桌面應(yīng)用系統(tǒng)的管理和使用不當(dāng)，就會(huì)產(chǎn)生安全風(fēng)險(xiǎn)。

2．1．5病毒危害

電力信息系統(tǒng)中辦公自動(dòng)化，作為核心的電子郵件傳送是傳播計(jì)算機(jī)病毒的媒介，防病毒軟件的安裝還不夠。此外，新病毒越來(lái)越多，威脅性也越來(lái)越大。病毒感染方式的改變，要求防毒工作要從整體安全考慮，思考如何網(wǎng)絡(luò)防毒。

2．1．6黑客入侵

黑客入侵一般是來(lái)源于內(nèi)部，入侵者通過(guò)網(wǎng)絡(luò)探測(cè)、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，用相應(yīng)的攻擊程序攻擊，使得服務(wù)器超負(fù)荷工作，最后系統(tǒng)癱瘓。當(dāng)然還有來(lái)自于外部的，如入侵者通過(guò)網(wǎng)絡(luò)監(jiān)聽、用戶滲透、系統(tǒng)滲透、拒絕服務(wù)、木馬等得到用戶的用戶名以及口令登錄后偷取內(nèi)部網(wǎng)的重要信息，令系統(tǒng)終止服務(wù)。出于以上原因，要防止信息外泄就要對(duì)外部和內(nèi)部網(wǎng)絡(luò)隔離，過(guò)濾外網(wǎng)的服務(wù)請(qǐng)求，只接收正常通信的數(shù)據(jù)。

2．2解決措施

2．2．1做好經(jīng)管工作

在人員管理方面，首先需要加強(qiáng)安全教育工作，保證網(wǎng)絡(luò)管理者和安全管理者相對(duì)穩(wěn)定，這樣能夠盡可能地避免網(wǎng)絡(luò)機(jī)密泄露，在人員調(diào)離工作崗位時(shí)，也尤其需要注意進(jìn)行保密工作。對(duì)于一些具有風(fēng)險(xiǎn)的操作，包括對(duì)網(wǎng)絡(luò)裝備、服務(wù)器、存儲(chǔ)設(shè)備的操作，需要相關(guān)手續(xù)才能進(jìn)行，應(yīng)包括簽字和監(jiān)督，杜絕修改錯(cuò)誤、非法修改、機(jī)密泄露等情況的發(fā)生。在密碼管理方面，尤其需要妥善保管，不能夠使用默認(rèn)密碼、原始密碼，甚至不設(shè)立密碼，每次登陸均需要重新輸入，保障網(wǎng)絡(luò)的安全，并且密碼的設(shè)置不能過(guò)于簡(jiǎn)單，需要時(shí)常更換，尤其是在人員崗位變動(dòng)的時(shí)候。數(shù)據(jù)的管理方面，需要及時(shí)進(jìn)行備份工作，備份介質(zhì)的保管需要穩(wěn)妥。

2．2．2確定風(fēng)險(xiǎn)評(píng)估范圍和策略

對(duì)安全系統(tǒng)進(jìn)行有效評(píng)估，需要對(duì)該體系進(jìn)行詳細(xì)分析，包括電力網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、帶寬、硬件、Internet的接口、業(yè)務(wù)系統(tǒng)的配置防火墻的策略配置等多個(gè)方面，最終得出相關(guān)的風(fēng)險(xiǎn)分析報(bào)告，制作改進(jìn)建議書。要評(píng)估主機(jī)和信息網(wǎng)絡(luò)等基礎(chǔ)設(shè)施、系統(tǒng)軟件、應(yīng)用系統(tǒng)及服務(wù)、現(xiàn)有的安全技術(shù)措施以及安全管理措施。還有要制定資產(chǎn)評(píng)估，其中有物理資產(chǎn)、信息資產(chǎn)、軟件資產(chǎn)、人員資產(chǎn)和服務(wù)。

2．3風(fēng)險(xiǎn)控制

對(duì)于電力信息網(wǎng)絡(luò)的風(fēng)險(xiǎn)控制可以通過(guò)多個(gè)方面來(lái)進(jìn)行，不僅需要技術(shù)完備，管理機(jī)制的健全也是非常重要的。

2．3．1技術(shù)手段

技術(shù)手段是把威脅降低到最低危害程度的第一道保障，可以對(duì)關(guān)鍵數(shù)據(jù)定期或?qū)崟r(shí)容災(zāi)備份，使用信息加密技術(shù)和防火墻、入侵檢測(cè)系統(tǒng)。

2．3．2管理機(jī)制

對(duì)于電力系統(tǒng)信息安全風(fēng)險(xiǎn)控制而言不可缺少管理機(jī)制，安全管理機(jī)制應(yīng)包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理的制度化影響著系統(tǒng)的安全。為了組織建立科學(xué)、系統(tǒng)的安全管理體系基礎(chǔ)，應(yīng)該建立安全評(píng)價(jià)，實(shí)現(xiàn)組織安全績(jī)效的持續(xù)改進(jìn)。降低安全風(fēng)險(xiǎn)，制定嚴(yán)格的安全管理制度，明確劃分好部門安全職責(zé)，并且合理安排人員的工作。

3結(jié)束語(yǔ)

電力系統(tǒng)的生產(chǎn)運(yùn)作要用到計(jì)算機(jī)信息系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)，所以信息安全管理要進(jìn)行信息網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估，保證信息系統(tǒng)的安全。雖然現(xiàn)在電力信息網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估強(qiáng)度很高，但是還需要改進(jìn)。面對(duì)越來(lái)越重要的電力信息網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估，要解決的問(wèn)題是保證電力系統(tǒng)信息安全，重點(diǎn)解決網(wǎng)絡(luò)風(fēng)險(xiǎn)的問(wèn)題和評(píng)估，解決操作系統(tǒng)安全風(fēng)險(xiǎn)、數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)、Web系統(tǒng)安全風(fēng)險(xiǎn)、桌面應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)、病毒危害風(fēng)險(xiǎn)以及黑客入侵風(fēng)險(xiǎn)，做好經(jīng)管工作和風(fēng)險(xiǎn)控制等。

參考文獻(xiàn)：

［1］李梅．電力信息網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估技術(shù)研究［D］．保定：華北電力大學(xué)，2008．

［2］彭著熙．電力信息網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估技術(shù)分析［J］．電子技術(shù)與軟件工程，2013，（22）：230－231．