计算机安全技术与防护论文
计算机安全技术与防护论文【1】
摘要:互连网具有开放性和匿名性的特点,这给计算机黑客、病毒利用网络实施各种犯罪活动创造了机会,同时对网络安全构成了威胁。
在我们使用网络的过程中,总会感染各种各样的网页病毒,在收发电子邮件、使用QQ进行即时聊天过程中,也会导致密码被盗等情况。
同时,由于安全问题,有些网站的数据被破坏,这给我们的工作带来了极大损失。
关键词:计算机;网络;安全技术;防护技术
互联网以其高效率和快捷方便改变着人们的生产与生活,在社会的各个领域得到了广泛的应用,各行各业用其来处理各种事物,比如电子邮件的发送、网上购物、信息的处理、网上炒股和网上办公。
所有这些都与互连网的开放性及匿名性有关。
也正因为这些特征使互联网存在着一定的安全隐患。
但是网络不安全导致人们对网络望而生畏,以上问题也使人们在应用网络与计算机的过程中遭受巨大损失,我在计算机安全技术与防护方面做如下分析。
一、计算机网络信息存在安全隐患
(一)计算机本身存在的问题
计算机的弱项是面对威胁与攻击时容易被破坏甚至导致瘫痪。
因为它自身的防御能力较差,被新病毒攻击时束手无策,在建立网络协议时,有些安全问题没有被安排在内,虽然又新加了许多安全服务与安全机制,但是黑客的攻击还是让计算机本身防不胜防,让一些安全措施显得无力,所以在互联网中的安全问题表现的更加严重。
(二)软件中存在的漏洞
所有的操作系统或网络软件都存在着各种各样的问题,主要是有了黑客的攻击或病毒的入侵以后才进行漏洞的修补,所以在操作系统及网络软件中还存在缺陷和漏洞,这给我们的计算机带来了很大的危险,计算机被接入网络受到的攻击也会更多。
(三)计算机安全配置不正确
进行安全配置时,因为配置不正确导致了安全漏洞的存在。
比如,没有对防火墙进行配置,那么本身的作用不能得到很好的发挥,在这种特定的网络应用程序中,启动过程中,很多安全缺口也会随之打开,可以与这一软件捆绑在一起的应用软件随之启用。
只有在用户禁止此程序的运行,或者对它进行了合理的配置时,才可以排除各种安全隐患。
(四)使用对象的安全意识差
当用户口令设置较简单,有时还把自己的账号借给他人用或者与他人共用,这些给网络安全造成了一定的威胁。
二、计算机病毒的威胁
随着应用的广泛,病毒的种类也在不断增多,破坏性不断增强,病毒的产生与蔓延使信息系统不再可靠,不再安全,计算机受到的威胁是巨大的,同时也给各个单位造成了很多损失,计算机病毒的入侵手段可以归结为以下几类:
(一)数据的欺骗
非法入侵到计算机,对数据进行修改,甚至借机对假数据进行输入。
(二)特洛伊木马
在计算机内通过不正确的手段装入秘密指令或者程序,通过计算机进行犯罪活动。
它通过合法的身份隐藏于其他的程序中,某时刻会发作,这时会产生威胁,当本机在完成任务时,它会实施非授权功能。
比如复制一段超过系统授权的程序等。
(三)截收信息
黑客或者病毒在进行攻击时,有可能会利用搭线或者是电磁辐射的范围内进行截收,对重要信息进行截获或者借助于信息流以及自身的流向、通信频度及长度等参数加以分析,对有用的信息进行判断及保留。
(四)对程序的攻击
这种病毒的攻击性较强,活动较频繁,它深深地隐藏于计算机的存储器中,借助于木马对用户进行技术性的欺骗,对用户进行激活。
甚至借助于逻辑炸弹来发作,对系统进行攻击并产生较大的危害性活动。
(五)其它网络攻击方式
黑客或者病毒破坏网络系统,使其不可用,导致合法用户对网络资源不能进行访问,拒绝各种服务,有的还会严重破坏计算机系统与网络系统,使系统信息不再完整,有些还有可能假装主机对合法用户进行非法入侵,使系统资源遭受破坏等。
三、常用的网络安全技术
(一)操作系统内核的安全性防护技术
操作系统安全内核技术主要是通过传统网络安全技术进行分析,借助于操作系统这一层次对网络的安全性进行分析与假设,对系统内核中可能存在安全性问题在内核中除掉,进一步对系统的安全性问题进行强调,在技术上不断加强。
操作系统平台的安全措施主要有:利用安全系数较高的操作系统;对操作系统进行安全配置;借助于安全扫描系统对操作系统的漏洞进行检查等。
美国国防部技术标准将操作系统的安全等级划分成D1、C1、C2、B1、B2、B3、A几个等级,它的安全等级主要是从低到高。
当前大多数操作系统的安全等级都达到了C2级,它的特征包括:一是利用用户注册名和口令使系统加以识别;二是系统通过用户的注册名对用户访问资源的权限进行裁定;三是通过系统对所有系统中发生的所有事件进行审核与记录;四对其他具有系统管理权限的用户进行创建。
(二)网络防病毒技术
计算机病毒借助于网络环境对系统进行破坏,它的破坏力非常强,它产生的威胁与破坏力是不可估计的,比如CIH病毒及爱虫病毒就充分说明了,如果不对病毒进行提前预防,它所造成损失更大,给社会带来一系列的问题,所以,我们要加强病毒的预防。
网络防病毒技术的具体实现方法主要包括对网络服务器中的文件的频繁破坏,频繁扫描与频繁监测,主要通过工作站对防病毒的芯片、网络目录以及各种文件加强了访问权限的设置等。
预防病毒主要借助于网络这一整体,提高管理人员的技术与防范意识,经常对全网的客户机进行扫描,对病毒情况进行监测;通过在线报警技术,使网络上的每一台机器发生故障、被病毒入侵时,网管人员能够检测到并及时解决这些问题,使网络被攻击的损失达到最小化。
(三)对网络技术的加密
对网络进行加密技术的提高是保障网络安全的行之有效的一项重要措施,做了加密的网络可以防止非法偷听,还可以防止恶意软件的入侵等,对网络信息进行加密主要是对网内的数据进行保护,对网内的文件、口令及控制信息实施保护,对网上传输的数据加以保护。
这种对网络实施的加密主要是通过链路加密、端点加密及节点加密几种方式来实现。
链路加密的目的是为了对网络节点之间的链路信息安全进行保护;对各个端点进行加密的目的是完成对源端用户到目的端用户的数据所做的加密保护;对节点进行加密主要是对源节点到目的节点之间的传输链路进行加密保护。
各用户针对网络情况对上述三种加密方式结合自身情况进行选择。
根据收发双方的密钥的异同进行分类,对这些加密算法可以分为常规密码算法与公匙密码算法。
通过对其应用这一过程,人们主要是把常规密码与公钥密码有机结合。
比如:使用DES或者IDEA完成对信息的加密,而使用RSA对会话密钥进行传递。
假如根据多次加密所处理的比特进行分类,我们可以把加密算法分为序列密码的算法与分组密码的算法,而序列密码的算法在每次计算时只加密一个比特。
(四)加强防火墙技术
网络防火墙主要是对被保护的网络和外界所设置的屏障,它借助于计算机硬件及软件的组合形成了相对安全的网关,对内部网络进行保护,使其不受非法用户的入侵,通过对它的鉴别、限制与更改,使其跨越防火墙的数据流,对通信网络的安全提供保障,为计算机通信网络的发展提供保障。
(五)加强身份验证技术
身份验证技术主要是用户通过系统显示自己身份证明的一个过程。
通过身份认证对用户的身份进行证明。
通过这两个过程对通信双方真实身份进行判定与验证,借助于这两项工作完成身份的验证。
计算机的安全机制主要是对发出请求的用户做出身份验证,对它的合法性进行确认,如果判定为合法用户,对该用户进行审核,判断其是否对所请求的服务或主机可以进行访问。
总之,网络安全是一项综合性、长期性的任务,它主要涉及到技术、管理以及使用的许多问题,主要包括信息系统自身的安全问题,还包括物理方面的和逻辑方面的相应措施。
所以,一定要通过多种防范措施,通过各种比较保密的政策及明晰的安全策略,对信息的机密性、完整性和可用性逐步加强,给网络安全提供保障。
计算机审计【2】
[摘要] 随着经济的发展,信息时代的到来,计算机的运用和普及,传统审计遇到了前所未有的挑战,计算机审计随之而生本 文从计算机审计环境的变化论述了计算机审计产生的必然性然后,从计算机审计的内容和风险方面,提出进一步加 强和深化计算机审计运用,最后提出了计算机审计对审计人员素质的要求
[关键词] 会计电算化;计算机审计;计算机技术;审计风险
随着信息时代的发展,尤其是计算机技术高度发展和普及运用,各行各业的管理逐步走向网络化和办公自动化如何搞好和加强计算机审计,笔者想谈谈自己的认识和看法
一计算机审计的环境改变
1。审计线索的改变
在手工会计系统中,由经济业务产生纸性的原始凭证,会计人员根据原始凭证编制记账凭证,根据记账凭证登记明细账和总账,然后期未根据明细账和总账编制会计报表每一步都有文字记录,都有会计人员签字或盖章,审计线索十分清楚审计人员可以很方便地跟踪审计线索审查
在会计电算化条件下,传统的审计线索可能完全消失会计信息都以电磁信息的形式存储于电磁介质中,原始凭证将变为电磁化的信息,而且计算机信息系统会根据确认的经济业务自动编制记账凭证明细账和总账编制报表,实现会计核算自动化会计的确认计量记录和报告都集中由计算机按编好的程序指令执行,各项会计处理再没有直接责任人代替传统纸性凭证账簿和报表的是电磁化的会计信息这些磁性介质上的信息不再是人们肉眼所能识别的,只有在计算机可读的,可能被删改不留下任何痕迹的,有些还可能是只是暂存的如果系统设计时考虑不周,可能到审计时才发现系统只留下了业务处理的结果而不能追索其来源即使系统留有充分的审计线索,其产生与存储方式其特点与风险都与传统的审计线索有重在变化
2。审计内容改变
在信息化条件下,由于经济业务和会计信息均由计算机按程序自动进行处理,从原始凭证到会计报表都由计算机系统自动产生,诸如手工会计中因工作忙乱疏忽大意而引起的计算机或过账之类的错误几乎不可能发生,但系统的应用程序若有错误或被人篡改,则计算机中会按程序以同样错误的方法处理所有的业务,错误的后果将是不堪设想的系统如果被嵌入一些非法的舞弊程序,不法分子可以利用这些舞弊程序大量侵吞国家或企业的财物
3。审计技术改变
在手工会计条件下,审计一般采用检查核对观察盘点分析比较和函证等方法这些审查工作都是由人工执行的在经营与财务网络条件下,由于审计环境审计线索安全控制和审计内容的改变,决定了计算机辅助审计技术是必不可少效率更高的审计技术首先,审计人员要对计算机信息系统的处理和控制功能进行审计审查,此项审计通常离不开计算机此外,由于缺乏纸性的审计线索,审计人员不得不要使用计算机跟踪电磁化审计线索利用计算机可以更快速更有效地对电磁化的经济信息进行抽样检查核对分析比较和计算,能有效地提高审计效率扩大审查范围提高审计质量
信息技术不仅给审计人员带来挑战,也带来机遇在网络融会贯通条件下计算机是审计必不可少的工具,计算机辅助审计技术将成为审计不可缺少的常用技术
二计算机审计的内容
计算机审计是会计审计信息系统网络技术与计算机应用的交叉科学是指利用计算机技术和审计软件对会计信息系统所进行的审计,也就是利用计算机审计软件通过导入财务软件中最基础的记账凭证以及其他相关信息,根据会计准则和规范会计处理方法,自行生成总账明细账和会计报表,同单位提供的相关会计资料进行对比,从而实现对财务软件本身和财务数据的审计
1。会计系统内部控制的审计
会计电算化系统的内部控制系统由两个子系统构成:一是一般控制系统,它是系统运行环境方面的控制,为应用程序的正常运行提供外围保障一般控制包含组织控制系统开发控制系统安全控制硬件和系统软件控制内容另一个系统是应用控制系统,它是针对具体的应用系统和程序而设置的各种控制措施由于各应用系统有着不同的目的任务和运行规律,因此,需要根据按特定的应用系统设置相应的控制措施不过尽管各应用系统所需要的控制措施不同,但每个应用系统均由输入处理和输出三个部分构成,因此,可以把应用控制分类输入控制处理控制和输出控制电算化会计系统的内部控制是否健全有效,决定了系统是否有可能安全可靠的按既定方针运行,也决定了系统提供的会计信息是否合法真实和可靠以内部控制进行审计的目的在于确定审计人员依赖这些控制的程序,以减少为检验系统执行而进行数据实质性测试仪的范围经评价验证,在内部控制健全的情况,可缩短审计时间,减少审计成本
2。系统开发审计
系统开发审计是指对会计电算化系统开发过程系统所进行的审计这是一种事前审计,它具有积极的意义内容审计人员最适合于进行这种审计,因为他们在地理人事关系被审单位的地位等方面都有很多有利的条件系统开发审计实际上是审计人员参与系统分析设计和调试
3。对应用程序的审计
被审单位会计电算化系统程序是否执行国家财经制度和会计准则规定,所处理业务的程序,许多控制功能和方法都体现在程序之中应用程序质量的高低会影响会计电算化系统的可行性真实性和安全性,从而影响会计数据处理的合规性正确性对应用程序的审计,可以对程序直接进行审查,也可能通过数据在程序上的运行进行间接测试对程序进行直接检查,可借助流程图作为工具,流程图用标准的图形符号等来反映程序的处理逻辑在对程序进行间接测试时,往往需要设计测试数据这种测试数据可以真实的数据,也可以模拟的数据
4。计算机信息资料审计
审计都要对被审单位的证账表及其他反映经济活动的有关资料进行审查在会计电算化条件下,证账表以数据文件的形式存储在电磁介质中,对它们的审计可以利用计算机辅助审计计算机可以快速准确地完成各种繁复的计算,可以对大量的数据按指定要求进行各种审计处理,利用计算机辅助审计可以加快审查速度提高审计效率和审计质量
如果说仅在会计电算化条件下,审计人员还可以绕过计算机,只对打印输出的证账表和有关资料进行审计的话,那么,在网络经营电子商务的条件下,因为没有纸性的审计线索,只有电磁化的电子资料,审计人员不可能绕过计算机审计
例如审计之星(审计软件)就可以通过导入审计软件中的记账凭证以后将生成会计报表与财务软件生成的会计报表进行核对,由于财务软件和审计软件的基础(记账凭证)是一致的,那么可以断定的两者产生的会计报表必然也是一致的如果这两张报表之间不致,并且多个账套都存在相同的情况,就可以大致断定财务软件自身存在一定的问题审计人员就应该进一步比较总账明细账,判断问题的存在
三计算机审计风险
1。审计线索渐渐消失
在传统会计中,从原始凭证,记账凭证,明细账和总账,到财务报表的编制每一步都有文字记录,审计线索十分清楚但在会计电算化系统中,传统的账簿没有了会计信息都存储在磁盘或磁带上因此,所见的线索没有了,且存储在磁盘上的数据很容易被修改,删除,隐匿,转移,又无明显的痕迹因此,审计人员发现错误的可能性就少了,而审计风险就相应增加了
2。被审计单位内部控制不健全
在会计电算化信息系统中,单位内部控制的技术和方法发生了完全的变化,而原有的适合传统会计系统的许多控制措施都不适合,大部分控制措施都是以程序的形式建立在计算机会计信息系统中,计算机会计信息系统的控制功能是否健全都会直接影响系统输出信息的真实和准确,内控环境的复杂性以及内部控制的局限性也使舞弊行为有机可乘,从而增加了审计风险
3。没有规范计算机审计的标准和准则
由于审计对象线索的变化,审计的技术各手段相应地发生了变化,原来的一些标准和准则就显得不适用了,新的会计电算化信息系统审计方面的标准和准则尚未出台因此容易产生审计风险
4。审计人员知识的缺乏
随着会计电算化的实行,审计的对象也更多更复杂了审计人员除了要有专业的审计知识,会计知识外,还必须掌握一定的计算机知识和应用技术否则审计人员作出的审计结论有可能偏离被审单位的实际情况,从而造成审计风
险
四对审计人员要求的提高
由于审计环境审计控制审计内容和审计技术的改变,决定了对审计人员的要求更高审计人员不仅要有会计审计经济管理法律等方面的知识,而且要掌握计算机信息系统等多方面的知识和技能。审计人员要了解计算机审计的特点和风险,掌握计算机信息系统应有的控制及其审计方法?鸦要懂得如何审计计算机信息系统的开发与功能?鸦要能够利用计算机审计为了能有效地利用计算机进行审计,审计人员还要开发或协助开发各种审计软件
当今形势下,计算机审计人员必须具备“五能”,一能打开被审计单位会计系统;二能将被审计数据转换过来;三能使用审计软件和会计软件,采集数据进行查询分析;四能在审计现场搭建临时网络;五能排除常见的软件和硬件故障
审计人员若不掌握计算机审计技术,将无法获取被审计单位的全部财务资料,审计人员可能会陷入“盲动”的境地,审计人员应创新思维方式,更新思想观念,与时俱进,提高学习应用计算机审计的积极性和主动性
参考文献:
[1]晏金桃。审计署关于内部审计工作的规定与新编审计技术实用手册(第一册)[M]。北京:中科多媒体电子出版社,2003。
[2]晏金桃。审计署关于内部审计工作的规定与新编审计技术实用手册(第二册)[M]。北京:中科多媒体电子出版社,2003。
[3]王志红。略谈网络环境下的审计监督工作[N]。中国审计报,2006—03—29。
[4]张驰。略论信息技术对审计工作的影响[N]。中国审计报,2006—03—13。
[5]王强,浅谈如何开展行政事业单位效益审计[N]。中国审计报,2006—03—13。
【计算机安全技术与防护论文】相关文章:
计算机信息安全技术及防护论文10-08
关于计算机信息安全技术防护研究的论文10-09
计算机病毒防护技术的网络安全应用论文10-09
关于计算机网络信息安全及防护技术分析论文10-08
计算机网络安全防护技术探析论文10-08
计算机信息的安全的特点与防护措施论文10-08
计算机信息安全的新特点与安全防护论文10-09
工业建筑施工安全技术与防护措施论文10-08
计算机网络通信技术防护论文10-09