前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇談?wù)剬?duì)信息安全的理解范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

談?wù)剬?duì)信息安全的理解范文第1篇

關(guān)鍵詞： 物聯(lián)網(wǎng)；信息安全；金奧博；網(wǎng)絡(luò)密碼

北京金奧博數(shù)碼信息技術(shù)有限責(zé)任公司在計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)方面不斷創(chuàng)新和提高，特別是在互聯(lián)網(wǎng)安全領(lǐng)域具有較為豐富的積累。金奧博是北京市密碼產(chǎn)品定點(diǎn)生產(chǎn)和銷(xiāo)售單位，他們研制的多項(xiàng)安全產(chǎn)品通過(guò)了國(guó)密辦的安全鑒定。公司日前組建的網(wǎng)絡(luò)密碼認(rèn)證實(shí)驗(yàn)室也被認(rèn)證為北京市重點(diǎn)實(shí)驗(yàn)室，承擔(dān)物聯(lián)網(wǎng)安全方面的研究工作。

為了更加深入地了解和探討物聯(lián)網(wǎng)的安全問(wèn)題，《物聯(lián)網(wǎng)技術(shù)》雜志記者日前對(duì)北京金奧博數(shù)碼信息技術(shù)有限責(zé)任公司信息安全部技術(shù)總監(jiān)、網(wǎng)絡(luò)密碼認(rèn)證技術(shù)北京重點(diǎn)實(shí)驗(yàn)室副主任、北京市科技新星李瑛女士就物聯(lián)網(wǎng)的安全問(wèn)題進(jìn)行了專(zhuān)訪。

本刊記者：我們了解的北京金奧博數(shù)碼信息技術(shù)有限責(zé)任公司在互聯(lián)網(wǎng)安全領(lǐng)域有較為豐富的積累。新一代信息技術(shù)革命又讓我們進(jìn)入了物聯(lián)網(wǎng)時(shí)代。請(qǐng)您談?wù)?/a>物聯(lián)網(wǎng)的安全和互聯(lián)網(wǎng)的安全有什么不同，貴公司覺(jué)得物聯(lián)網(wǎng)安全研究的現(xiàn)狀是怎樣的？

李瑛女士：物聯(lián)網(wǎng)的推廣使用能夠給人們的生活帶來(lái)便利，可以提高工作效率，同時(shí)推動(dòng)國(guó)民經(jīng)濟(jì)的發(fā)展，但是也必須注意到物聯(lián)網(wǎng)的大范圍普及會(huì)存在巨大的安全隱患。信息化與網(wǎng)絡(luò)化帶來(lái)的風(fēng)險(xiǎn)問(wèn)題，在物聯(lián)網(wǎng)中會(huì)變得更加迫切與復(fù)雜。由于物聯(lián)網(wǎng)連接和處理的對(duì)象主要是機(jī)器和物，以及相關(guān)的數(shù)據(jù)，其感知節(jié)點(diǎn)大都部署在無(wú)人監(jiān)控的環(huán)境，具有能力脆弱、資源受限等特點(diǎn)，其“所有權(quán)”特性導(dǎo)致物聯(lián)網(wǎng)對(duì)信息安全的要求比以處理文本為主的互聯(lián)網(wǎng)更高，對(duì)保護(hù)隱私權(quán)和保障可信度的要求也更高。在物聯(lián)網(wǎng)發(fā)展的高級(jí)階段，由于物聯(lián)網(wǎng)場(chǎng)景中的實(shí)體均具有一定的感知、計(jì)算和執(zhí)行能力，廣泛存在的這些感知設(shè)備對(duì)國(guó)家基礎(chǔ)設(shè)施、社會(huì)和個(gè)人信息安全存在新的安全隱患。

我們都知道物聯(lián)網(wǎng)目前存在安全問(wèn)題，如果這些問(wèn)題不能得到很好的解決，或者說(shuō)沒(méi)有很好的解決辦法，將會(huì)在很大程度上制約物聯(lián)網(wǎng)的進(jìn)一步發(fā)展。我們?cè)趶?qiáng)調(diào)標(biāo)準(zhǔn)、技術(shù)、應(yīng)用方案以及人才的同時(shí)，也不能忽視物聯(lián)網(wǎng)安全的重要性。

根據(jù)物聯(lián)網(wǎng)的特點(diǎn)，2009年歐盟物聯(lián)網(wǎng)項(xiàng)目研究組制定的《未來(lái)物聯(lián)網(wǎng)戰(zhàn)略》中明確指出：物聯(lián)網(wǎng)在安全和隱私方面的研究以節(jié)能高效的安全算法和低成本、安全、高效的安全認(rèn)證設(shè)備為研究方向。國(guó)內(nèi)對(duì)物聯(lián)網(wǎng)安全技術(shù)的研究以安全框架和探索研究居多，具體安全技術(shù)的研究較少。我們的物聯(lián)網(wǎng)密碼認(rèn)證系統(tǒng)是不是行業(yè)唯一的物聯(lián)網(wǎng)安全系統(tǒng)，我不能肯定，但是我確實(shí)沒(méi)有聽(tīng)到有類(lèi)似的產(chǎn)品。在今年4月份北京召開(kāi)的中國(guó)（北京）國(guó)際物聯(lián)網(wǎng)博覽會(huì)和8月份深圳召開(kāi)的中國(guó)（深圳）國(guó)際物聯(lián)網(wǎng)技術(shù)與應(yīng)用博覽會(huì)上，物聯(lián)網(wǎng)安全系統(tǒng)方面的參展商只有北京金奧博數(shù)碼信息技術(shù)有限責(zé)任公司一家。

本刊記者：請(qǐng)您簡(jiǎn)單介紹一下金奧博，貴公司是一個(gè)什么樣的公司，公司在安全系統(tǒng)研究方面有什么積累或優(yōu)勢(shì)，最初又是怎樣想到要做“物聯(lián)網(wǎng)安全系統(tǒng)”的？

李瑛女士：北京金奧博數(shù)碼信息技術(shù)有限責(zé)任公司是北京市科學(xué)技術(shù)情報(bào)研究所下屬的、具有獨(dú)立法人資格的股份制高新技術(shù)企業(yè)。金奧博是遵照科技部的有關(guān)科研機(jī)構(gòu)改制要求，以北京市科技情報(bào)研究所的計(jì)算機(jī)部為基礎(chǔ)，為更好地適應(yīng)社會(huì)發(fā)展，轉(zhuǎn)變經(jīng)營(yíng)管理模式而成立的具有獨(dú)立法人資格的股份制高新技術(shù)企業(yè)。金奧博繼承了以往服務(wù)政府和社會(huì)的優(yōu)良傳統(tǒng)，堅(jiān)持為政府及廣大企事業(yè)單位提供信息技術(shù)的研究與開(kāi)發(fā)服務(wù)。近年來(lái)，金奧博在計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)方面不斷創(chuàng)新和提高，特別是在互聯(lián)網(wǎng)安全領(lǐng)域有較為豐富的積累。公司目前是北京市密碼產(chǎn)品定點(diǎn)生產(chǎn)和銷(xiāo)售單位，所研制的多項(xiàng)安全產(chǎn)品都通過(guò)了國(guó)密辦的安全鑒定。最近，北京金奧博數(shù)碼信息技術(shù)有限責(zé)任公司組建的網(wǎng)絡(luò)密碼認(rèn)證實(shí)驗(yàn)室也被認(rèn)證為北京市重點(diǎn)實(shí)驗(yàn)室，承擔(dān)物聯(lián)網(wǎng)安全方面的研究工作。

在物聯(lián)網(wǎng)概念興起時(shí)，我們發(fā)現(xiàn)，物聯(lián)網(wǎng)和互聯(lián)網(wǎng)其實(shí)是密不可分的?，F(xiàn)有網(wǎng)絡(luò)安全體系中的大部分機(jī)制仍然可以適用于物聯(lián)網(wǎng)，并能夠提供一定的安全性，如認(rèn)證機(jī)制、加密機(jī)制等，但是還需要根據(jù)物聯(lián)網(wǎng)的特征對(duì)安全機(jī)制進(jìn)行調(diào)整和補(bǔ)充。所以我們開(kāi)始將多年積累的安全技術(shù)以及對(duì)數(shù)據(jù)安全的理解應(yīng)用到物聯(lián)網(wǎng)中來(lái)，并開(kāi)始研究與物聯(lián)網(wǎng)特征對(duì)應(yīng)的安全機(jī)制。目前，國(guó)內(nèi)都在談物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展存在的問(wèn)題，但很少有企業(yè)站出來(lái)表示能解決物聯(lián)網(wǎng)的安全問(wèn)題或者愿意著手解決這些安全問(wèn)題?？紤]到物聯(lián)網(wǎng)對(duì)中國(guó)未來(lái)經(jīng)濟(jì)的重要性、國(guó)家安全的重要性，必須要有中國(guó)自己的企業(yè)來(lái)承擔(dān)這一神圣使命。北京金奧博數(shù)碼信息技術(shù)有限責(zé)任公司是為數(shù)不多的愿意承擔(dān)這一使命的企業(yè)，也是為數(shù)不多的明確從事物聯(lián)網(wǎng)安全研發(fā)且又有實(shí)際產(chǎn)品的企業(yè)。希望北京金奧博數(shù)碼信息技術(shù)有限責(zé)任公司能為中國(guó)物聯(lián)網(wǎng)的網(wǎng)絡(luò)信息安全做出自己的貢獻(xiàn)。

談?wù)剬?duì)信息安全的理解范文第2篇

羅洪元，《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》國(guó)家標(biāo)準(zhǔn)推廣應(yīng)用組專(zhuān)家?，F(xiàn)任國(guó)家電子計(jì)算機(jī)質(zhì)量監(jiān)督檢驗(yàn)中心、國(guó)家電子標(biāo)簽產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、信息產(chǎn)業(yè)部IC卡質(zhì)量監(jiān)督檢驗(yàn)中心主任。多年來(lái)羅教授從事計(jì)算機(jī)軟件開(kāi)發(fā)、小型計(jì)算機(jī)技術(shù)服務(wù)、信息技術(shù)產(chǎn)品等質(zhì)量檢驗(yàn)與質(zhì)量管理工作。

近年來(lái)，羅教授承擔(dān)的信息產(chǎn)業(yè)部電子信息產(chǎn)業(yè)發(fā)展基金項(xiàng)目：“基于Linux和國(guó)產(chǎn)BIOS的微機(jī)安全操作系統(tǒng)”、“無(wú)觸點(diǎn)IC卡及機(jī)具產(chǎn)品質(zhì)量檢測(cè)技術(shù)的研究”、“計(jì)算機(jī)網(wǎng)絡(luò)、第二代居民身份證及相關(guān)產(chǎn)品測(cè)試平臺(tái)建設(shè)”、“工業(yè)控制計(jì)算機(jī)產(chǎn)品及系統(tǒng)測(cè)試平臺(tái)建設(shè)”、“電子標(biāo)簽產(chǎn)品及系統(tǒng)檢測(cè)平臺(tái)建設(shè)”已經(jīng)通過(guò)了信息產(chǎn)業(yè)部組織的驗(yàn)收，并獲得廣泛好評(píng)。

記者：您作為國(guó)家電子計(jì)算機(jī)質(zhì)量監(jiān)督檢驗(yàn)中心主任，多年來(lái)一直致力于系統(tǒng)研究方面的工作。請(qǐng)您談?wù)勀壳皣?guó)內(nèi)計(jì)算機(jī)技術(shù)在智能建筑工程中的應(yīng)用情況？

羅教授：隨著微電子技術(shù)、網(wǎng)絡(luò)技術(shù)和通信技術(shù)的快速發(fā)展，計(jì)算機(jī)技術(shù)在智能建筑工程中的應(yīng)用越來(lái)越普遍和深入，智能建筑中的“智能”應(yīng)該都是計(jì)算機(jī)的“功勞”，如智能建筑中可能涉及到的“程控交換接入系統(tǒng)”、“電視網(wǎng)絡(luò)系統(tǒng)”、“廣播系統(tǒng)”、“物業(yè)管理系統(tǒng)”、“家用電子系統(tǒng)”、“IC卡應(yīng)用”、“信息安全”、“安全防范系統(tǒng)”、“設(shè)備監(jiān)控系統(tǒng)”和“火災(zāi)自動(dòng)報(bào)警及消防聯(lián)動(dòng)控制系統(tǒng)”等都離不開(kāi)計(jì)算機(jī)技術(shù)。目前國(guó)內(nèi)計(jì)算機(jī)技術(shù)在智能建筑工程中得到了廣泛應(yīng)用，有很多成功應(yīng)用的案例，計(jì)算機(jī)技術(shù)將在智能建筑工程中的“智能”、“節(jié)能”發(fā)揮越來(lái)越大的作用。

記者：您參與了《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》國(guó)家標(biāo)準(zhǔn)制定的工作，請(qǐng)您為大家介紹一下數(shù)字化國(guó)標(biāo)的制定在規(guī)范居住區(qū)信息化建設(shè)方面發(fā)揮了怎樣的作用?

羅教授：GB/T 20299.1~4-2006《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用規(guī)范》系列標(biāo)準(zhǔn)是在總結(jié)多年應(yīng)用經(jīng)驗(yàn)、參考國(guó)內(nèi)外類(lèi)似標(biāo)準(zhǔn)并考慮技術(shù)發(fā)展的基礎(chǔ)上制定的。該系列標(biāo)準(zhǔn)的頒布實(shí)施為建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用項(xiàng)目的總體規(guī)劃提供了統(tǒng)一的技術(shù)要求，為建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用項(xiàng)目的市場(chǎng)準(zhǔn)入提供了技術(shù)門(mén)檻，為建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用項(xiàng)目的過(guò)程質(zhì)量控制提供了統(tǒng)一的依據(jù)，對(duì)規(guī)范建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用發(fā)揮了非常重要的作用。

記者：在《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》國(guó)家標(biāo)準(zhǔn)中，您參與了“檢測(cè)驗(yàn)收”部分的編寫(xiě)制定工作，其中信息系統(tǒng)是智能社區(qū)的重要基礎(chǔ)系統(tǒng)，請(qǐng)您為我們介紹一下信息安全檢測(cè)驗(yàn)收方面的情況？

羅教授：“GB/T 20299-2006系列標(biāo)準(zhǔn)”中對(duì)信息系統(tǒng)以及信息系統(tǒng)的信息安全的規(guī)定是針對(duì)智能社區(qū)中各種信息系統(tǒng)安全的特點(diǎn)，結(jié)合國(guó)家相關(guān)信息安全政策、標(biāo)準(zhǔn)而制定的，智能社區(qū)的建設(shè)和運(yùn)營(yíng)機(jī)構(gòu)應(yīng)該對(duì)信息系統(tǒng)的信息安全問(wèn)題給予足夠重視。根據(jù)信息安全的等級(jí)要求采取相應(yīng)的措施，保障信息系統(tǒng)的安全，確?？蛻?hù)數(shù)據(jù)安全?！癎B/T 20299.2-2006”《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用規(guī)范》第2部分，“檢測(cè)驗(yàn)收”的第6章專(zhuān)門(mén)介紹“信息安全”檢測(cè)驗(yàn)收方面的內(nèi)容。智能社區(qū)中的信息系統(tǒng)安全既涉及技術(shù)方面的內(nèi)容同時(shí)也涉及管理方面的問(wèn)題，在系統(tǒng)設(shè)計(jì)、產(chǎn)品采購(gòu)、施工、驗(yàn)收等過(guò)程都必須執(zhí)行國(guó)家相關(guān)信息安全政策、標(biāo)準(zhǔn)，任一環(huán)節(jié)的疏漏都可能留下隱患。在進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)，應(yīng)根據(jù)標(biāo)準(zhǔn)規(guī)定的等級(jí)要求，對(duì)系統(tǒng)建設(shè)所使用的產(chǎn)品和系統(tǒng)本身提出明確的信息安全要求。國(guó)家有信息安全認(rèn)證要求的產(chǎn)品在采購(gòu)時(shí)必須要求供貨廠家提供認(rèn)證文件，信息系統(tǒng)的安全性評(píng)估、檢測(cè)和驗(yàn)收要按照“GB/T 20299.2-2006標(biāo)準(zhǔn)“規(guī)定的程序執(zhí)行，記錄、文檔資料文本規(guī)范、內(nèi)容齊全，做到發(fā)生問(wèn)題時(shí)可追溯。

記者：目前國(guó)內(nèi)的家居智能化領(lǐng)域，國(guó)內(nèi)外產(chǎn)品在技術(shù)指標(biāo)上各不相同，不少高端消費(fèi)者更青睞于國(guó)外產(chǎn)品。您曾負(fù)責(zé)處理過(guò)東芝筆記本電腦的質(zhì)量糾紛，對(duì)于如何正確選擇國(guó)外產(chǎn)品有哪些方面是應(yīng)該值得注意的？

羅教授：在產(chǎn)品技術(shù)選型時(shí)，我個(gè)人認(rèn)為應(yīng)兼顧考慮如下幾個(gè)問(wèn)題：不片面追求技術(shù)先進(jìn)，夠用就行，避免造成不必要的浪費(fèi)；考慮知識(shí)產(chǎn)權(quán)，特別是要防止部分國(guó)外企業(yè)先讓你上鉤，事后再要你不斷給他付錢(qián)的專(zhuān)利陷阱。

在技術(shù)條件滿(mǎn)足的情況下，盡量考慮采用國(guó)內(nèi)成熟企業(yè)技術(shù)與產(chǎn)品；要考慮國(guó)內(nèi)產(chǎn)業(yè)的技術(shù)支持、批量供貨等綜合能力；考慮技術(shù)選型符合國(guó)際通用標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)要求；在技術(shù)條件滿(mǎn)足當(dāng)前應(yīng)用需求情況下，適當(dāng)考慮應(yīng)用的可擴(kuò)展性；考慮信息安全措施的必要性及國(guó)家有關(guān)部門(mén)的管理要求(如密鑰等)；終端產(chǎn)品、后臺(tái)處理軟件、數(shù)據(jù)庫(kù)系統(tǒng)、服務(wù)器、資金清算中心和網(wǎng)絡(luò)架構(gòu)的配置要求等。

記者：據(jù)了解，您同時(shí)還負(fù)責(zé)信息產(chǎn)業(yè)部IC卡質(zhì)量監(jiān)督檢驗(yàn)中心和國(guó)家金卡工程IC卡及機(jī)具產(chǎn)品檢驗(yàn)中心的工作。請(qǐng)您簡(jiǎn)單介紹一下我國(guó)IC卡應(yīng)用過(guò)程中存在的問(wèn)題，以及在數(shù)字化國(guó)標(biāo)的制定過(guò)程中對(duì)于IC卡應(yīng)用做了哪些針對(duì)性的工作？

羅教授：我個(gè)人認(rèn)為：我國(guó)IC卡應(yīng)用過(guò)程中主要存在如下一些共性問(wèn)題：部門(mén)利益協(xié)調(diào)不到位，造成系統(tǒng)重復(fù)建設(shè)資金浪費(fèi)(管理問(wèn)題)；同行業(yè)應(yīng)用情況信息收集不夠，特別是系統(tǒng)建設(shè)失敗的信息；系統(tǒng)需求分析不充分，對(duì)未來(lái)的應(yīng)用需求估計(jì)不足，建成后的系統(tǒng)可擴(kuò)展性很差；技術(shù)選型兩個(gè)極端，一是盲目追求技術(shù)先進(jìn)性造成浪費(fèi)，二是采用過(guò)時(shí)技術(shù)造成系統(tǒng)整體性能下降；在制定應(yīng)用方案時(shí)，一些關(guān)鍵技術(shù)問(wèn)題未適當(dāng)開(kāi)展模擬驗(yàn)證試驗(yàn)導(dǎo)致系統(tǒng)建設(shè)周期過(guò)長(zhǎng)；不重視標(biāo)準(zhǔn)化工作，系統(tǒng)中所采用的產(chǎn)品的互換性、兼容性、一致性和環(huán)境適應(yīng)性太差，增加了系統(tǒng)的維護(hù)成本；系統(tǒng)的建設(shè)過(guò)程未開(kāi)展質(zhì)量、成本和進(jìn)度控制，造成系統(tǒng)建設(shè)工期超標(biāo)、投資超預(yù)算等。

從2000年開(kāi)始，我們中心受建設(shè)部IC卡應(yīng)用服務(wù)中的委托，承擔(dān)了建設(shè)事業(yè)IC卡及終端產(chǎn)品的檢測(cè)，參與”GB/T 20299-2006“系列國(guó)家標(biāo)準(zhǔn)的編寫(xiě)工作，具體負(fù)責(zé)”GB/T 20299.2-2006標(biāo)準(zhǔn)”第17章“IC卡應(yīng)用檢測(cè)”編寫(xiě)的執(zhí)筆，同時(shí)還參與了建設(shè)部行業(yè)標(biāo)準(zhǔn)”CJ/T 243-2007”《建設(shè)事業(yè)集成電路（IC）卡產(chǎn)品檢測(cè)》的編寫(xiě)工作，在IC卡及終端產(chǎn)品檢驗(yàn)方面積累了豐富的經(jīng)驗(yàn)，為IC卡產(chǎn)業(yè)的健康發(fā)展和技術(shù)應(yīng)用的順利推進(jìn)做出了貢獻(xiàn)?！盙B/T 20299.2-2006”、”CJ/T 243-2007”標(biāo)準(zhǔn)有關(guān)IC卡應(yīng)用檢測(cè)方面的內(nèi)容針對(duì)性、可操作性強(qiáng)，對(duì)智能建筑工程中的IC卡應(yīng)用系統(tǒng)設(shè)計(jì)、技術(shù)選型、采購(gòu)、產(chǎn)品檢測(cè)和系統(tǒng)驗(yàn)收具有指導(dǎo)作用。

記者：數(shù)字化國(guó)標(biāo)等相關(guān)國(guó)家標(biāo)準(zhǔn)的制定對(duì)于推進(jìn)我國(guó)的信息化建設(shè)起到了規(guī)范項(xiàng)目設(shè)計(jì)技術(shù)的作用。除此之外，您認(rèn)為在推進(jìn)信息化工程建設(shè)的過(guò)程中，還應(yīng)該從哪些方面入手？

羅教授：我認(rèn)為在推進(jìn)信息化工程建設(shè)的過(guò)程中，除了在工程設(shè)計(jì)方面需要依據(jù)”GB/T 20299-2006”系列國(guó)家標(biāo)準(zhǔn)和相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)外，還應(yīng)該在信息化工程建設(shè)招投標(biāo)、預(yù)算與報(bào)價(jià)、產(chǎn)品采購(gòu)與驗(yàn)收、工程實(shí)施、工程監(jiān)理、系統(tǒng)階段性測(cè)試、系統(tǒng)聯(lián)調(diào)、工程驗(yàn)收等幾個(gè)方面，面向有關(guān)人員宣傳貫徹GB/T 20299-2006系列國(guó)家標(biāo)準(zhǔn)和相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，增強(qiáng)大家的標(biāo)準(zhǔn)化意識(shí)，理解標(biāo)準(zhǔn)的技術(shù)要點(diǎn)，真正發(fā)揮信息化工程建設(shè)標(biāo)準(zhǔn)先行的作用。

記者：最后請(qǐng)您展望一下，計(jì)算機(jī)技術(shù)在建筑智能化領(lǐng)域下一步的發(fā)展趨勢(shì)。

談?wù)剬?duì)信息安全的理解范文第3篇

【關(guān)鍵詞】網(wǎng)絡(luò)安全；入侵檢測(cè)

0.引言

隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和信息技術(shù)的飛速發(fā)展，各種各樣的網(wǎng)絡(luò)應(yīng)用已經(jīng)越來(lái)越廣泛地滲透到人類(lèi)地生活、工作的各個(gè)領(lǐng)域。特別是通過(guò)Internet，人們可以極為方便地產(chǎn)生、發(fā)送、獲取和利用信息。Internet在給人們帶來(lái)巨大便利的同時(shí)，也產(chǎn)生了許多意想不到的問(wèn)題，網(wǎng)絡(luò)安全就是其中一個(gè)突出的問(wèn)題。造成Internet不安全的原因，一方面是Internet本身設(shè)計(jì)的不安全以及操作系統(tǒng)、應(yīng)用軟件等存在著安全漏洞；另一方面是由于網(wǎng)絡(luò)安全的發(fā)展落后于網(wǎng)絡(luò)攻擊的發(fā)展。目前網(wǎng)絡(luò)中應(yīng)用最廣、功能最強(qiáng)大的安全工具莫過(guò)于防火墻，但是防火墻的安全功能是有限的，它很難防止偽造IP攻擊。因此，發(fā)展一種新的網(wǎng)絡(luò)安全防御手段來(lái)加強(qiáng)網(wǎng)絡(luò)安全性便成了亟待解決的問(wèn)題。入侵檢測(cè)是幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)內(nèi)部攻擊和外部攻擊的一種解決方案。入侵檢測(cè)技術(shù)是當(dāng)今一種非常重要的動(dòng)態(tài)安全技術(shù)，它與靜態(tài)防火墻技術(shù)等共同使用，可以大大提高系統(tǒng)的安全防護(hù)水平。

1.入侵檢測(cè)的概念及功能

入侵就是指任何試圖危及信息資源的機(jī)密性、完整性和可用性的行為。而入侵檢測(cè)就是對(duì)入侵行為的發(fā)覺(jué)，它通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并對(duì)這些信息進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象。通常入侵檢測(cè)系統(tǒng)（Intrusion Detection System， IDS）是由軟件和硬件組成的。入侵檢測(cè)是防火墻的合理補(bǔ)充，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。另外，它也擴(kuò)展了系統(tǒng)管理員的安全管理能力，有助于提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，是對(duì)原有安全系統(tǒng)的一個(gè)重要補(bǔ)充。入侵檢測(cè)系統(tǒng)收集計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的

信息，并對(duì)這些信息加以分析，對(duì)被保護(hù)的系統(tǒng)進(jìn)行安全審計(jì)、監(jiān)控、攻擊識(shí)別并做出實(shí)時(shí)的反應(yīng)。

入侵檢測(cè)的主要功能包括：（1）監(jiān)視、分析用戶(hù)及系統(tǒng)活動(dòng)；（2）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；（3）映已知進(jìn)攻的活動(dòng)模式并進(jìn)行相關(guān)人士報(bào)警；（4）模式的統(tǒng)計(jì)分析；（5）要系統(tǒng)和數(shù)據(jù)文件的完整性；（6）的審計(jì)跟蹤管理，并識(shí)別用戶(hù)違反安全策略的行為。

2.入侵檢測(cè)的信息來(lái)源

對(duì)于入侵檢測(cè)系統(tǒng)而言，輸入數(shù)據(jù)的選擇是首先需要解決的問(wèn)題，目前的入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來(lái)源主要包括：（1）操作系統(tǒng)的審計(jì)記錄；（2）系統(tǒng)日志；（3）應(yīng)用程序日志；（4）基于網(wǎng)絡(luò)數(shù)據(jù)的信息源；（4）來(lái)自其他安全產(chǎn)品的數(shù)據(jù)源。

3.入侵檢測(cè)系統(tǒng)的基本模型

在入侵檢測(cè)系統(tǒng)的發(fā)展過(guò)程中，大致經(jīng)歷了集中式、層次式和集成式三個(gè)階段，代表這三個(gè)階段的入侵檢測(cè)系統(tǒng)的基本模型分別是通用入侵檢測(cè)模型（Denning模型）、層次化入侵檢測(cè)模型（IDM）和管理式入侵檢測(cè)模型（SNMP-IDSM）。

3.1 通用入侵檢測(cè)模型

Denning于1987年最早提出一個(gè)通用的入侵檢測(cè)模型（如圖2.1所示）。

該模型由6個(gè)部分組成：（1） 主體（Subject）；（2） 對(duì)象（Object）；（3） 審計(jì)記錄（Audit Records）；（4） 活動(dòng)簡(jiǎn)檔（Activity Profile）；（5） 異常記錄（Anomaly Record）；（6）活動(dòng)規(guī)則。

3.2 IDM模型

Steven Snapp在設(shè)計(jì)和開(kāi)發(fā)分布式入侵檢測(cè)系統(tǒng)DIDS時(shí)，提出一個(gè)層次化的入侵檢測(cè)模型，簡(jiǎn)稱(chēng)IDM。該模型將入侵檢測(cè)分為六個(gè)層次，分別為：數(shù)據(jù)（data）、事件（event）、主體（subject）、上下文（context）、威脅（threat）、安全狀態(tài)（security state）。

IDM模型給出了在推斷網(wǎng)絡(luò)中的計(jì)算機(jī)受攻擊時(shí)數(shù)據(jù)的抽象過(guò)程。也就是說(shuō)，它給出了將分散的原始數(shù)據(jù)轉(zhuǎn)換為高層次有關(guān)入侵和被監(jiān)測(cè)環(huán)境的全部安全假設(shè)過(guò)程。通過(guò)把收集到的分散數(shù)據(jù)進(jìn)行加工抽象和數(shù)據(jù)關(guān)聯(lián)操作，IDM構(gòu)造了一臺(tái)虛擬的機(jī)器環(huán)境，這臺(tái)機(jī)器由所有相連的主機(jī)和網(wǎng)絡(luò)組成。將分布式系統(tǒng)看成一臺(tái)虛擬計(jì)算機(jī)的觀點(diǎn)簡(jiǎn)化了跨越單機(jī)入侵行為的識(shí)別。IDM也應(yīng)用于只有單臺(tái)計(jì)算機(jī)的小型網(wǎng)絡(luò)。

3.3 SNMP-IDSM模型

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)攻擊手段也越來(lái)越復(fù)雜，攻擊者大都是通過(guò)合作的方式來(lái)攻擊某個(gè)目標(biāo)系統(tǒng)，而單獨(dú)的IDS難以發(fā)現(xiàn)這種類(lèi)型的入侵行為。然而，如果IDS系統(tǒng)也能夠像攻擊者那樣合作，就有可能檢測(cè)到入侵者。這樣就要有一種公共的語(yǔ)言和統(tǒng)一的數(shù)據(jù)表達(dá)格式，能夠讓IDS系統(tǒng)之間順利交換信息，從而實(shí)現(xiàn)分布式協(xié)同檢測(cè)。北卡羅萊那州立大學(xué)的Felix Wu等人從網(wǎng)絡(luò)管理的角度考慮IDS模型，突出了基于SNMP的IDS模型，簡(jiǎn)稱(chēng)SNMP-IDSM.。

SNMP-IDSM以SNMP為公共語(yǔ)言來(lái)實(shí)現(xiàn)IDS系統(tǒng)之間的消息交換和協(xié)同檢測(cè)，它定義了IDS-MIB，使得原始事件和抽象事件之間關(guān)系明確，并且易于擴(kuò)展。SNMP-IDSM定義了用來(lái)描述入侵事件的管理信息庫(kù)MIB，并將入侵事件分析為原始事件（Raw Event）和抽象事件（Abstract Event）兩層結(jié)構(gòu)。原始事件指的是引起安全狀態(tài)遷移的事件或者是表示單個(gè)變量遷移的事件，而抽象事件是指分析原始事件所產(chǎn)生的事件。原始事件和抽象事件的信息都用四元組來(lái)描述。

4.入侵檢測(cè)的分類(lèi)和分析方法

4.1入侵檢測(cè)的分類(lèi)

通過(guò)對(duì)現(xiàn)有的入侵檢測(cè)系統(tǒng)和技術(shù)研究，可對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行如下分類(lèi)：

根據(jù)目標(biāo)系統(tǒng)的類(lèi)型可以將入侵檢測(cè)系統(tǒng)分為兩類(lèi)：

（1） 基于主機(jī)（Host-Based）的IDS。通常，基于主機(jī)的入侵檢測(cè)系統(tǒng)可以監(jiān)測(cè)系統(tǒng)事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時(shí)，入侵檢測(cè)系統(tǒng)就將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。

（2） 基于網(wǎng)絡(luò)（Network-Based）的IDS。該系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源，利用一個(gè)運(yùn)行在混雜模式下的網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)測(cè)并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。

根據(jù)入侵檢測(cè)系統(tǒng)分析的數(shù)據(jù)來(lái)源，數(shù)據(jù)源可以是主機(jī)系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序的日志、防火墻報(bào)警日志以及其他入侵檢測(cè)系統(tǒng)的報(bào)警信息等，可以將入侵檢測(cè)系統(tǒng)分為基于不同分析數(shù)據(jù)源的入侵檢測(cè)系統(tǒng)。

根據(jù)入侵檢測(cè)方法可以將入侵檢測(cè)系統(tǒng)分為兩類(lèi)：

（1） 異常IDS。該類(lèi)系統(tǒng)利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測(cè)系統(tǒng)中入侵、異?；顒?dòng)的依據(jù)。

（2） 誤用IDS。誤用入侵檢測(cè)系統(tǒng)根據(jù)已知入侵攻擊的信息（知識(shí)、模式）來(lái)檢測(cè)系統(tǒng)的入侵和攻擊。

根據(jù)檢測(cè)系統(tǒng)對(duì)入侵攻擊的響應(yīng)方式，可以將入侵檢測(cè)系統(tǒng)分為兩類(lèi)：

（1） 主動(dòng)的入侵檢測(cè)系統(tǒng)。它在檢測(cè)出入侵后，可自動(dòng)的對(duì)目標(biāo)系統(tǒng)中的漏洞采取修補(bǔ)、強(qiáng)制可疑用戶(hù)（可能的入侵者）退出系統(tǒng)以及關(guān)閉相關(guān)服務(wù)等對(duì)策和響應(yīng)措施。

（2） 被動(dòng)的入侵檢測(cè)系統(tǒng)。它在檢測(cè)出對(duì)系統(tǒng)的入侵攻擊后只是產(chǎn)生報(bào)警信息通知系統(tǒng)安全管理員，至于之后的處理工作則有系統(tǒng)管理員完成。

根據(jù)系統(tǒng)各個(gè)模塊運(yùn)行的分步方式，可以將入侵檢測(cè)系統(tǒng)分為兩類(lèi)：

（1） 集中式入侵檢測(cè)系統(tǒng)。系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)都集中在一臺(tái)主機(jī)上運(yùn)行，這種方式適用于網(wǎng)絡(luò)環(huán)境比較簡(jiǎn)單的情況。

（2） 分布式入侵檢測(cè)系統(tǒng)。系統(tǒng)的各個(gè)模塊分布在網(wǎng)絡(luò)中不同的計(jì)算機(jī)、設(shè)備上，一般而言，分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上，如果網(wǎng)絡(luò)環(huán)境比較復(fù)雜、數(shù)據(jù)量比較大，那么數(shù)據(jù)分析模塊也會(huì)分布，一般是按照層次性的原則進(jìn)行組織。

當(dāng)前眾多的入侵檢測(cè)系統(tǒng)和技術(shù)，基本上是根據(jù)檢測(cè)方法、目標(biāo)系統(tǒng)、信息數(shù)據(jù)源來(lái)設(shè)計(jì)的。

4.2 入侵檢測(cè)的分析方法

從入侵檢測(cè)的角度來(lái)說(shuō)，分析是指對(duì)用戶(hù)和系統(tǒng)活動(dòng)數(shù)據(jù)進(jìn)行有效的組織、整理及特征提取，以鑒別出感興趣的攻擊。這種行為的鑒別可以實(shí)時(shí)進(jìn)行，也可以事后分析，在很多情況下，事后的進(jìn)一步分析是為了尋找行為的責(zé)任人。入侵檢測(cè)的方法主要由誤用檢測(cè)和異常檢測(cè)組成。

誤用檢測(cè)對(duì)于系統(tǒng)事件提出的問(wèn)題是：這個(gè)活動(dòng)是惡意的嗎？誤用檢測(cè)涉及到對(duì)入侵指示器已知的具體行為的解碼信息，然后為這些指示器過(guò)濾事件數(shù)據(jù)。要想執(zhí)行誤用檢測(cè)，需要有一個(gè)對(duì)誤用行為構(gòu)成的良好理解，有一個(gè)可靠的用戶(hù)活動(dòng)記錄，有一個(gè)可靠的分析活動(dòng)事件的方法。

異常檢測(cè)需要建立正常用戶(hù)行為特征輪廓，然后將實(shí)際用戶(hù)行為和這些特征輪廓相比較，并標(biāo)示正常的偏離。異常檢測(cè)的基礎(chǔ)是異常行為模式系統(tǒng)誤用。輪廓定義成度量集合。度量衡量用戶(hù)特定方面的行為。每一個(gè)度量與一個(gè)閾值相聯(lián)系。異常檢測(cè)依靠一個(gè)假定：用戶(hù)表現(xiàn)為可預(yù)測(cè)的、一致的系統(tǒng)使用模式。

有些入侵檢測(cè)方法既不是誤用檢測(cè)也不屬異常檢測(cè)的范圍。這些方案可應(yīng)用于上述兩類(lèi)檢測(cè)。它們可以驅(qū)動(dòng)或精簡(jiǎn)這兩種檢測(cè)形式的先行活動(dòng)，或以不同于傳統(tǒng)的影響檢測(cè)策略方式。這類(lèi)方案包括免疫系統(tǒng)方法、遺傳算法、基于檢測(cè)以及數(shù)據(jù)挖掘技術(shù)。

5.入侵檢測(cè)系統(tǒng)的局限性與發(fā)展趨勢(shì)

5.1入侵檢測(cè)系統(tǒng)的局限性

現(xiàn)有的IDS系統(tǒng)多采用單一體系結(jié)構(gòu)，所有的工作包括數(shù)據(jù)的采集、分析都由單一主機(jī)上的單一程序來(lái)完成。而一些分布式的IDS只是在數(shù)據(jù)采集上實(shí)現(xiàn)了分布式，數(shù)據(jù)的分析、入侵的發(fā)現(xiàn)還是由單一個(gè)程序完成。這樣的結(jié)構(gòu)造成了如下的缺點(diǎn)：

（1） 可擴(kuò)展性較差。單一主機(jī)檢測(cè)限制了監(jiān)測(cè)的主機(jī)數(shù)和網(wǎng)絡(luò)規(guī)模，入侵檢測(cè)的實(shí)時(shí)性要求高，數(shù)據(jù)過(guò)多將會(huì)導(dǎo)致其過(guò)載，從而出現(xiàn)丟失網(wǎng)絡(luò)數(shù)據(jù)包的問(wèn)題。

（2） 單點(diǎn)失效。當(dāng)IDS系統(tǒng)自身受到攻擊或某些原因不能正常工作時(shí)，保護(hù)功能會(huì)喪失。

（3） 系統(tǒng)缺乏靈活性和可配置性。如果系統(tǒng)需要加入新的模塊和功能時(shí)，必須修改和重新安裝整個(gè)系統(tǒng)。

5.2 入侵檢測(cè)的發(fā)展趨勢(shì)

入侵檢測(cè)的發(fā)展趨勢(shì)主要主要表現(xiàn)在：（1） 大規(guī)模網(wǎng)絡(luò)的問(wèn)題； （2） 網(wǎng)絡(luò)結(jié)構(gòu)的變化； （3） 網(wǎng)絡(luò)復(fù)雜化的思考；（4） 高速網(wǎng)絡(luò)的挑戰(zhàn)；（5） 無(wú)線網(wǎng)絡(luò)的進(jìn)步；（6） 分布式計(jì)算；（7） 入侵復(fù)雜化；（8） 多種分析方法并存的局面。

對(duì)于入網(wǎng)絡(luò)侵檢測(cè)系統(tǒng)，分析方法是系統(tǒng)的核心。多種分析方法綜合運(yùn)用才是可行之道，將各種分析方法有機(jī)結(jié)合起來(lái)，構(gòu)建出高性能的入侵檢測(cè)系統(tǒng)是一個(gè)值得研究的問(wèn)題，我們需要不斷的研究去完善它。

參考文獻(xiàn)：

[1]張宏. 網(wǎng)絡(luò)安全基礎(chǔ)（第一版）[M].北京：機(jī)械工業(yè)出版社， 2004.

[2]石志國(guó)，薛為民，江俐.計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M].北京：清華大學(xué)出版社，2004年.

[3]唐正軍. 網(wǎng)路入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)（第一版） [M]北京：電子工業(yè)出版社，2002.

[4]郭魏，吳承榮. [J]入侵檢測(cè)方法概述. 《計(jì)算機(jī)工程》，1999年 第11期.

[5]泰和信科.內(nèi)網(wǎng)安全管理[M].重慶：泰和信科，2003年.

[6]薛靜鋒， 寧宇朋等.入侵檢測(cè)技術(shù)（第一版）[M].北京：機(jī)械工業(yè)出版社，2004.

[7]葉中行. 信息論基礎(chǔ)（第一版） [M].北京：高等教育出版社，2003.

[8]杜虹.談?wù)劇皟?nèi)網(wǎng)”安全. [J].《信息安全與通信保密》，2005年 第2期.

談?wù)剬?duì)信息安全的理解范文第4篇

關(guān)鍵詞：產(chǎn)學(xué)結(jié)合；校園；電子商務(wù)

1產(chǎn)學(xué)結(jié)合構(gòu)建校園電子商務(wù)的現(xiàn)實(shí)意義

（1）校園電子商務(wù)提供學(xué)院教學(xué)系創(chuàng)辦實(shí)習(xí)工廠/公司的虛擬場(chǎng)地。

在校園開(kāi)展電子商務(wù)，可以為學(xué)生提供電子商務(wù)的實(shí)踐環(huán)境，為電子商務(wù)理論教學(xué)提供了實(shí)習(xí)基地。利用校園電子商務(wù)，構(gòu)建校園電子商務(wù)實(shí)習(xí)基地，營(yíng)造出良好的電子商務(wù)環(huán)境，使學(xué)生能進(jìn)行的真實(shí)商務(wù)活動(dòng)，從而鍛煉學(xué)習(xí)者運(yùn)用自身的綜合知識(shí)結(jié)構(gòu)解決實(shí)際問(wèn)題。

（2）校園電子商務(wù)為專(zhuān)業(yè)特長(zhǎng)學(xué)生提供發(fā)展空間。

我校地處郊區(qū)、遠(yuǎn)離商業(yè)區(qū)，這使得許多大學(xué)生外出購(gòu)物很不方便?，F(xiàn)代大學(xué)生腦子靈活，具有創(chuàng)新意識(shí)，創(chuàng)業(yè)意識(shí)也很強(qiáng)，許多學(xué)生平時(shí)也會(huì)兼職賣(mài)一些小物品，但這浪費(fèi)了學(xué)生很多時(shí)間，而校園電子商務(wù)正好能迎合這部分人的需要，給學(xué)生提供了一個(gè)發(fā)展的平臺(tái)，我院作為經(jīng)貿(mào)類(lèi)院校，開(kāi)設(shè)了許多與商貿(mào)相關(guān)的專(zhuān)業(yè)，如電子商務(wù)專(zhuān)業(yè)、國(guó)際貿(mào)易專(zhuān)業(yè)、市場(chǎng)營(yíng)銷(xiāo)專(zhuān)業(yè)、物流管理專(zhuān)業(yè)、信息管理專(zhuān)業(yè)、計(jì)算機(jī)網(wǎng)絡(luò)專(zhuān)業(yè)和計(jì)算機(jī)多媒體專(zhuān)業(yè)等，電子商務(wù)專(zhuān)業(yè)、國(guó)際貿(mào)易專(zhuān)業(yè)、市場(chǎng)營(yíng)銷(xiāo)專(zhuān)業(yè)的學(xué)生可以參與網(wǎng)上開(kāi)店，進(jìn)行商務(wù)活動(dòng)，進(jìn)行自己的專(zhuān)業(yè)實(shí)踐；信息管理專(zhuān)業(yè)的學(xué)生可進(jìn)行商城的管理以及人力資源管理，發(fā)揮自己的專(zhuān)業(yè)特長(zhǎng)。校園電子商務(wù)為專(zhuān)業(yè)特長(zhǎng)生提供了發(fā)展空間。

（3）校園電子商務(wù)為部分學(xué)生提供勤工儉學(xué)機(jī)會(huì)。

我院結(jié)合學(xué)院特點(diǎn)，提出校園電子商務(wù)新模式。即“創(chuàng)業(yè)平臺(tái)+校園勤工助學(xué)配送中心”模式?？梢猿浞掷眯@內(nèi)的這種優(yōu)勢(shì)，聯(lián)合各專(zhuān)業(yè)人才搭建技術(shù)平臺(tái)，通過(guò)這種虛擬網(wǎng)絡(luò)平臺(tái)將買(mǎi)賣(mài)雙方的供求信息聚集在一起，最終滿(mǎn)足在校師生的購(gòu)物需求。校園內(nèi)還應(yīng)建有自己的配送中心，考慮到各高校仍然有許多貧困生，該配送中心的成員均由貧困生組成，以給他們勤工助學(xué)的機(jī)會(huì)。這種模式將由在校學(xué)生的自主創(chuàng)業(yè)建立的虛擬網(wǎng)絡(luò)平臺(tái)與一支勤工儉學(xué)的配送隊(duì)伍有機(jī)的結(jié)合在一起。

（4）校園電子商務(wù)扶持學(xué)生無(wú)資金創(chuàng)業(yè)理念的實(shí)現(xiàn)。

培養(yǎng)學(xué)生創(chuàng)業(yè)的精神和能力，就是把未來(lái)的求職者，變?yōu)槁殬I(yè)崗位的創(chuàng)造者。校園電子商務(wù)為推動(dòng)創(chuàng)業(yè)大造輿論，以激發(fā)學(xué)生的創(chuàng)業(yè)動(dòng)機(jī)，培養(yǎng)他們的創(chuàng)業(yè)能力，并且為學(xué)生創(chuàng)業(yè)提供了技術(shù)平臺(tái)。許多學(xué)生想創(chuàng)業(yè)，但苦于沒(méi)有資金，校園電子商務(wù)為大學(xué)生開(kāi)辟創(chuàng)業(yè)新門(mén)路。

（5）校園電子商務(wù)扶持當(dāng)?shù)刂行∑髽I(yè)實(shí)現(xiàn)現(xiàn)代商務(wù)經(jīng)營(yíng)。

高職院校的教學(xué)要服務(wù)于地方經(jīng)濟(jì)，現(xiàn)在雖然是網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代，但當(dāng)?shù)匾恍┲行∑髽I(yè)由于技術(shù)跟不上，管理理念沒(méi)有更新等原因，還在采用傳統(tǒng)的商務(wù)方式，這很大地抑制了企業(yè)的發(fā)展。校園電子商務(wù)可以在技術(shù)和管理理念上對(duì)這些企業(yè)進(jìn)行扶持，讓他們實(shí)現(xiàn)現(xiàn)代商務(wù)經(jīng)營(yíng)。我院校園電子商務(wù)采用招商引進(jìn)的方法，把企業(yè)請(qǐng)進(jìn)來(lái)，請(qǐng)中上企業(yè)入駐我們的商城，對(duì)方只需提品，我們提供技術(shù)支持，包括網(wǎng)站建設(shè)，商品上架，廣告宣傳，店鋪經(jīng)營(yíng)等，為中小企業(yè)開(kāi)拓了市場(chǎng)，提高了產(chǎn)品知名度，讓中小企業(yè)實(shí)現(xiàn)現(xiàn)代商務(wù)經(jīng)營(yíng)模式。

（6）校園電子商務(wù)動(dòng)作提高高職院校教師專(zhuān)業(yè)和技能水平。

由于電子商務(wù)是一門(mén)新的課程，一個(gè)新的領(lǐng)域，知識(shí)結(jié)構(gòu)復(fù)雜，技術(shù)性強(qiáng)，屬于商務(wù)、計(jì)算機(jī)、管理交叉學(xué)科，要辦好電子商務(wù)專(zhuān)業(yè)對(duì)師資提出了更高的要求，這要求教師不只是談?wù)勆虅?wù)理論，而應(yīng)兼顧實(shí)踐，多參與電子商務(wù)實(shí)踐活動(dòng)，校園電子商務(wù)提供了完整的實(shí)踐活動(dòng)環(huán)節(jié)，教師要指導(dǎo)學(xué)生進(jìn)行電子商務(wù)活動(dòng)，提供更強(qiáng)的技術(shù)支持，參與管理開(kāi)展校園電子商務(wù)，教師的專(zhuān)業(yè)和業(yè)務(wù)水平得到提高，同時(shí)也提高了師資隊(duì)伍水平、優(yōu)化師資的知識(shí)結(jié)構(gòu)、提高教學(xué)質(zhì)量。

（7）校園電子商務(wù)為電子商務(wù)專(zhuān)業(yè)的教學(xué)提供真實(shí)案例。

電子商務(wù)的整個(gè)運(yùn)作都在網(wǎng)上進(jìn)行，因此傳統(tǒng)的教學(xué)方式大多給人紙上談兵的感覺(jué)，只有對(duì)電子商務(wù)的實(shí)際模擬教學(xué)才會(huì)是最有效的。但校園電子商務(wù)來(lái)得更具體、更真實(shí)一些，校園電子商務(wù)能滿(mǎn)足《電子商務(wù)概論》、《市場(chǎng)營(yíng)銷(xiāo)》、《網(wǎng)絡(luò)營(yíng)銷(xiāo)》等理論課的實(shí)踐訓(xùn)練要求，它為學(xué)習(xí)電子商務(wù)及相關(guān)專(zhuān)業(yè)的學(xué)生和所有對(duì)電子商務(wù)領(lǐng)域知識(shí)有興趣的學(xué)生提供一次理論結(jié)合實(shí)踐的機(jī)會(huì)，同學(xué)們通過(guò)實(shí)際操作將原本只在書(shū)本上的電子商務(wù)實(shí)際應(yīng)用在目前的校園電子商務(wù)中，解決課堂教學(xué)中無(wú)法實(shí)現(xiàn)的實(shí)踐環(huán)節(jié)。這樣校園電子商務(wù)在培養(yǎng)當(dāng)代大學(xué)生的實(shí)踐能力、創(chuàng)新能力和團(tuán)隊(duì)協(xié)作能力的同時(shí)，也有助于推動(dòng)我國(guó)電子商務(wù)高等教育的系統(tǒng)化和高水平發(fā)展；鍛煉學(xué)生的營(yíng)銷(xiāo)意識(shí)；考驗(yàn)學(xué)生的毅力與韌性，推進(jìn)校園文化與社會(huì)交往的互動(dòng)，全面培養(yǎng)中國(guó)優(yōu)秀的電子商務(wù)人才。

（8）校園電子商務(wù)提供二手市場(chǎng)流通學(xué)生閑置物品。

高校的二手交易市場(chǎng)廣闊。每年畢業(yè)生離校時(shí)都要進(jìn)行舊物交易，并且日常學(xué)習(xí)、生活中，學(xué)生之間也經(jīng)常會(huì)進(jìn)行一些閑置物品交易。這些都能在網(wǎng)上二手交易市場(chǎng)中實(shí)現(xiàn)。賣(mài)主可在網(wǎng)上自己要銷(xiāo)售的物品信息、售賣(mài)價(jià)格及聯(lián)系方式，買(mǎi)主則可以在網(wǎng)上搜索自己所需要的物品，若搜索不到也可以在網(wǎng)上求購(gòu)信息。校園電子商務(wù)二手交易市場(chǎng)不受時(shí)間和空間限制，而且搜索物品更快更方便，購(gòu)買(mǎi)商品時(shí)所產(chǎn)生的信用及物流配送問(wèn)題也能得到很好的解決。開(kāi)展有校園電子商務(wù)，通過(guò)供求信息，就可以很好地解決二手市場(chǎng)的供求關(guān)系，校園電子商務(wù)很好地流通了學(xué)生的閑置物品。

（9）校園電子商務(wù)一定程度解決電子商務(wù)中信用、安全支付與物流配送等難題。

相對(duì)來(lái)說(shuō)，目前物流是制約電子商務(wù)發(fā)展的瓶頸之一，而電子商務(wù)中的安全支付和信用問(wèn)題也是眾多專(zhuān)家致力研究的課題。但在這種基于校園網(wǎng)及校園卡的校園電子商務(wù)系統(tǒng)中，物流和支付都可以得到很好的解決。在高校里，由于校園一般來(lái)說(shuō)就是方圓10多平方公里。商品的配送相對(duì)來(lái)說(shuō)，是非常方便的。一般當(dāng)天就能夠送到購(gòu)買(mǎi)者手里。物流可以采取買(mǎi)賣(mài)雙方通過(guò)E-mail或電話聯(lián)系，共同商討供貨方式。而支付除了現(xiàn)金支付外，還可通過(guò)校園網(wǎng)利用校園卡轉(zhuǎn)賬功能進(jìn)行安全、快捷的資金網(wǎng)上支付，這也是校園電子商務(wù)系統(tǒng)中解決支付問(wèn)題的最佳方式。因在同一所高校里，購(gòu)買(mǎi)商品的時(shí)候，已經(jīng)在某種程度上默認(rèn)了對(duì)方的可信。于是，就更容易促使達(dá)成買(mǎi)賣(mài)交易。信用機(jī)制在校園里是比較穩(wěn)定安全的。所以，校園電子商務(wù)一定程度解決電子商務(wù)中信用、安全支付與物流配送的難題。

2實(shí)現(xiàn)校園電子商務(wù)的技術(shù)保障

實(shí)現(xiàn)校園電子商務(wù)需要一定的技術(shù)保障，為配合科研組的研究工作，信息類(lèi)高職專(zhuān)業(yè)教學(xué)系部可成立“經(jīng)貿(mào)信息技術(shù)服務(wù)有限公司”，開(kāi)設(shè)專(zhuān)業(yè)教學(xué)實(shí)踐基地，經(jīng)營(yíng)和管理包括網(wǎng)絡(luò)商城在內(nèi)的校內(nèi)實(shí)習(xí)基地各項(xiàng)教學(xué)和經(jīng)營(yíng)活動(dòng)，讓學(xué)生真正做到產(chǎn)中學(xué)，學(xué)中產(chǎn)，教師在產(chǎn)學(xué)中研究專(zhuān)業(yè)應(yīng)用。技術(shù)服務(wù)公司除了商城管理中心人員之外，還可招聘學(xué)生在商城中以開(kāi)設(shè)店鋪形式開(kāi)展電腦維修、數(shù)碼創(chuàng)意、軟件開(kāi)發(fā)、商務(wù)服務(wù)（圖文編排裝訂）、職業(yè)資格等培訓(xùn)業(yè)務(wù)。

（1）電子商務(wù)專(zhuān)業(yè)較新較活理念指導(dǎo)和運(yùn)營(yíng)商城店鋪。

電子商務(wù)專(zhuān)業(yè)學(xué)生運(yùn)用所學(xué)的商務(wù)知識(shí)、營(yíng)銷(xiāo)知識(shí)、管理知識(shí)、計(jì)算機(jī)知識(shí)，指導(dǎo)和運(yùn)營(yíng)商城店鋪?？韶?fù)責(zé)市場(chǎng)調(diào)研工作，跟蹤校園動(dòng)態(tài)，研究學(xué)生消費(fèi)心理.發(fā)掘新的消費(fèi)市場(chǎng)，幫助拓展公司業(yè)務(wù)。收集公司內(nèi)外的各種相關(guān)信息，負(fù)責(zé)信息收集、公司對(duì)外信息以及與各大傳媒交流。如在開(kāi)展校園電子商務(wù)活動(dòng)時(shí)，必須要進(jìn)行大量的宣傳。我們可以在校園里開(kāi)展各種形式的促銷(xiāo)活動(dòng)，如發(fā)放傳單、張貼海報(bào)等等。通過(guò)這些活動(dòng)進(jìn)而擴(kuò)大自己網(wǎng)站的影響力。積極采取優(yōu)惠的價(jià)格策略，低廉的價(jià)格是吸引大學(xué)生們進(jìn)行網(wǎng)上消費(fèi)的主要原因，無(wú)論何種商務(wù)模式，只有建立完整的客戶(hù)資料庫(kù)，才能以客戶(hù)為中心安排業(yè)務(wù)流程，才能創(chuàng)建方便快捷的個(gè)性化服務(wù)。校園電子商務(wù)系統(tǒng)可以通過(guò)建立類(lèi)似會(huì)員制的環(huán)境來(lái)主動(dòng)聯(lián)絡(luò)顧客。讓學(xué)生在實(shí)踐中不斷完善理論知識(shí)，從而對(duì)電子商務(wù)也會(huì)有更全面的理解。另一方面，通過(guò)這種實(shí)踐，學(xué)生在學(xué)校里就已經(jīng)充分具有了網(wǎng)站構(gòu)架、資料庫(kù)應(yīng)用等多方面的技術(shù)，以及增加了對(duì)物流、資金流的控制能力，這使得他們畢業(yè)投入就業(yè)市場(chǎng)時(shí)，就能快速的掌握公司整體的電子商務(wù)運(yùn)作狀況，甚至于還可能針對(duì)公司現(xiàn)行的營(yíng)運(yùn)情況做更高效能的規(guī)劃，增強(qiáng)了學(xué)生畢業(yè)后進(jìn)入就業(yè)市場(chǎng)的競(jìng)爭(zhēng)力。

（2）軟件技術(shù)和網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)是經(jīng)營(yíng)商城網(wǎng)站堅(jiān)強(qiáng)的技術(shù)后盾。

商城網(wǎng)站的經(jīng)營(yíng)，需要后臺(tái)管理人員對(duì)程序、數(shù)據(jù)庫(kù)進(jìn)行管理，信息安全問(wèn)題的解決，軟件技術(shù)專(zhuān)業(yè)學(xué)生可以提供較硬的軟件應(yīng)用水平，網(wǎng)絡(luò)專(zhuān)業(yè)學(xué)生可以在信息安全和網(wǎng)絡(luò)線路上提供技術(shù)支持。軟件技術(shù)人員維護(hù)商城后臺(tái)程序和數(shù)據(jù)，管理和推廣域名，給網(wǎng)站嵌入后臺(tái)管理代碼，培訓(xùn)商戶(hù)創(chuàng)建店鋪網(wǎng)站。根據(jù)業(yè)務(wù)需要，為商城、學(xué)院行政管理部門(mén)和企業(yè)開(kāi)發(fā)專(zhuān)門(mén)的管理小型信息管理軟件。網(wǎng)絡(luò)技術(shù)人員負(fù)責(zé)商城網(wǎng)站的暢通，信息安全的保障，電子支付的實(shí)施，網(wǎng)絡(luò)布線，保障網(wǎng)絡(luò)線路的順暢等技術(shù)服務(wù)。

（3）多媒體技術(shù)專(zhuān)業(yè)是商品圖片、網(wǎng)絡(luò)廣告設(shè)計(jì)的制作者。

網(wǎng)上商城需要美工制作人員，網(wǎng)上店鋪的宣傳需要很好的策劃和網(wǎng)絡(luò)廣告投入，網(wǎng)上商品的宣傳必須有相關(guān)實(shí)物圖片。多媒體技術(shù)專(zhuān)業(yè)學(xué)生可以利用所學(xué)的攝影攝像知識(shí)，圖片處理知識(shí)，對(duì)上架商品進(jìn)行拍攝和圖片加工；可以利用網(wǎng)站建設(shè)知識(shí)，設(shè)計(jì)網(wǎng)站；利用平面設(shè)計(jì)、動(dòng)畫(huà)制作和廣告實(shí)務(wù)知識(shí)，設(shè)計(jì)制作網(wǎng)絡(luò)廣告。為商城的運(yùn)作添加了飛翔的翅膀。同時(shí)，為全面開(kāi)發(fā)專(zhuān)業(yè)課程實(shí)踐教學(xué)需要，成立數(shù)碼工作室，可開(kāi)展攝影攝像業(yè)務(wù)，刻錄影集，剪接錄像等專(zhuān)業(yè)技術(shù)服務(wù)。在時(shí)機(jī)成熟時(shí)，可開(kāi)設(shè)校園網(wǎng)絡(luò)廣播，由學(xué)生設(shè)計(jì)主持廣播節(jié)目。

（4）信息管理專(zhuān)業(yè)是商城管理的主力軍。

一個(gè)成功的商城經(jīng)營(yíng)，離不開(kāi)好的管理，不論是商城經(jīng)營(yíng)模式還是人力資源，信息管理專(zhuān)業(yè)學(xué)生可以成為商城管理的主力軍。信息管理專(zhuān)業(yè)可以利用所學(xué)知識(shí)，對(duì)商城進(jìn)行規(guī)劃管理，設(shè)計(jì)符合本校特點(diǎn)的經(jīng)營(yíng)管理模式?？筛鶕?jù)不同的崗位，制定各部門(mén)各級(jí)管理崗位職責(zé)，招收各類(lèi)學(xué)生管理員，進(jìn)行員工培訓(xùn)，協(xié)調(diào)好各部門(mén)間的關(guān)系。校園電子商務(wù)系統(tǒng)與校園卡數(shù)據(jù)整合后，把所有校內(nèi)師生都直接以“立足校園，服務(wù)師生”為宗旨，采取在線訂購(gòu).送貨上門(mén)的交易方式。根據(jù)學(xué)校的特殊群體以校園網(wǎng)為依托.參照目前流行的電子購(gòu)物模式，建立一個(gè)適合校園需求特點(diǎn)的專(zhuān)業(yè)校園電子商務(wù)平臺(tái)。

3結(jié)語(yǔ)

在高職院校發(fā)展電子商務(wù)，可以很好地利用校園資源，通過(guò)網(wǎng)上商城的技術(shù)和經(jīng)營(yíng)管理，教師在實(shí)踐中提升科研能力，學(xué)生在實(shí)踐中學(xué)習(xí)專(zhuān)業(yè)知識(shí)和操作技能。目前我院海南經(jīng)貿(mào)網(wǎng)上商城已開(kāi)通，學(xué)生實(shí)踐基地已成立，網(wǎng)上商城可以為學(xué)生提供校內(nèi)社會(huì)實(shí)踐和勤工儉學(xué)機(jī)會(huì)，為有創(chuàng)業(yè)能力的學(xué)生提供發(fā)展的舞臺(tái)，利用信息科技，利用網(wǎng)絡(luò)，讓學(xué)生和飛速發(fā)展的信息社會(huì)進(jìn)行正面的接觸。根據(jù)市場(chǎng)發(fā)展，結(jié)合當(dāng)?shù)氐慕?jīng)濟(jì)文化，準(zhǔn)確定位，尋求多方共贏合作，做好組織與管理，就能辦出特色，推動(dòng)相關(guān)的精品課程和教學(xué)團(tuán)隊(duì)建設(shè)，從而輔助專(zhuān)業(yè)建設(shè)走特色化道路。

參考文獻(xiàn)

［1］杜江萍.校園電子商務(wù)模式探析［N］.江西財(cái)經(jīng)大學(xué)學(xué)報(bào)，2005，（3）.

［2］勒中堅(jiān)，吳琴芬，陳瑞華.基于高校校園電子商務(wù)環(huán)境的大學(xué)生創(chuàng)業(yè)風(fēng)險(xiǎn)分析［J］.商場(chǎng)現(xiàn)代化，2008，（2）.

談?wù)剬?duì)信息安全的理解范文第5篇

地點(diǎn)：賽迪大廈18層會(huì)議室

形式：中計(jì)在線嘉賓現(xiàn)場(chǎng)對(duì)話

對(duì)話嘉賓：

王衛(wèi)鄉(xiāng)

中國(guó)中信集團(tuán)公司管理信息部副主任

周梓滔

德勤華永會(huì)計(jì)師事務(wù)所有限公司企業(yè)風(fēng)險(xiǎn)管理服務(wù)高級(jí)經(jīng)理

錢(qián)晨

科索路咨詢(xún)公司副理

田海波

北京銳思盈泰科技有限公司董事副總經(jīng)理

無(wú)內(nèi)控等于慢性自殺

主持人：企業(yè)內(nèi)部控制的目的是什么？有什么需求？

錢(qián)晨：企業(yè)內(nèi)部控制的目的是在保證實(shí)現(xiàn)公司戰(zhàn)略目標(biāo)前提下，對(duì)存在的風(fēng)險(xiǎn)進(jìn)行控制。無(wú)論董事會(huì)還是全體員工都要對(duì)企業(yè)披露的信息的可靠性負(fù)責(zé)，但最終責(zé)任會(huì)落在董事會(huì)上。

IT內(nèi)審的引入是因?yàn)樵诮o上市公司內(nèi)控評(píng)估時(shí)，IT是其中的一個(gè)重要的組成部分和方法。

主持人：請(qǐng)德勤公司的周經(jīng)理談?wù)勚袊?guó)企業(yè)的內(nèi)控跟國(guó)外企業(yè)的有什么差異？

周梓滔：主要是在理解法案、標(biāo)準(zhǔn)時(shí)可能會(huì)不一樣，因?yàn)橹袊?guó)的國(guó)情和中國(guó)企業(yè)的管理方法跟國(guó)外企業(yè)不盡相同。比如說(shuō)，國(guó)外企業(yè)可能會(huì)成立專(zhuān)門(mén)的審計(jì)委員會(huì)，但國(guó)內(nèi)企業(yè)可能會(huì)把審計(jì)委員會(huì)放在某一個(gè)組織里面，如在財(cái)務(wù)部，這就造成了獨(dú)立性的不同。

主持人：作為用戶(hù)的代表，請(qǐng)王主任講講中信集團(tuán)在內(nèi)控方面是怎么考慮的？

王衛(wèi)鄉(xiāng)：目前中信集團(tuán)有好幾家上市公司，如剛上市的中信銀行，中信證券、中信國(guó)安等。我們一直非常關(guān)注企業(yè)內(nèi)控，其中包括IT內(nèi)審和薩班斯法案。我們的審計(jì)部是唯一一個(gè)由集團(tuán)公司董事長(zhǎng)直接分管的部門(mén)。

實(shí)際上，從我們公司上一任董事長(zhǎng)王軍開(kāi)始就一直特別強(qiáng)調(diào)內(nèi)控。他曾指出：“沒(méi)有發(fā)展的內(nèi)控等于慢性自殺，沒(méi)有內(nèi)控的發(fā)展，發(fā)展越快損失越大”。中信集團(tuán)自1979年成立到現(xiàn)在快30年了，一直都保持快速發(fā)展。在高速發(fā)展的20世紀(jì)90年代中期，我們深感管理手段和發(fā)展的速度不匹配，導(dǎo)致有些項(xiàng)目最后失去控制，并造成很大的損失。

現(xiàn)在我們已經(jīng)采取了一些技術(shù)手段，并引進(jìn)了一些軟件來(lái)加強(qiáng)審計(jì)，如加拿大的ACL審計(jì)軟件。我們的內(nèi)部審計(jì)目前主要強(qiáng)調(diào)的內(nèi)容包括：離任審計(jì)――像下屬的子公司領(lǐng)導(dǎo)任期換屆，中長(zhǎng)期項(xiàng)目在項(xiàng)目實(shí)施過(guò)程中是否存在重大失誤的專(zhuān)項(xiàng)審計(jì)，其他的，如下屬的公司層面，因資產(chǎn)的分布不是很均衡，金融業(yè)務(wù)領(lǐng)域是由金融控股公司的風(fēng)險(xiǎn)管理部來(lái)主抓。

主持人：各位嘉賓能否總結(jié)一下信息技術(shù)對(duì)企業(yè)內(nèi)部控制的價(jià)值是什么？

錢(qián)晨：IT是企業(yè)內(nèi)控的一個(gè)重要內(nèi)容和手段?，F(xiàn)在多數(shù)企業(yè)都會(huì)用到IT系統(tǒng)，很多流程都嵌入到IT系統(tǒng)中，企業(yè)內(nèi)部控制也應(yīng)該對(duì)IT系統(tǒng)進(jìn)行控制。同時(shí)，我們?cè)谶M(jìn)行內(nèi)部控制的時(shí)候，也應(yīng)該通過(guò)IT手段來(lái)輔助實(shí)現(xiàn)。

周梓滔：我們看到一個(gè)很重大的改變：以前內(nèi)部控制都是通過(guò)手工來(lái)實(shí)現(xiàn)的，非常復(fù)雜；現(xiàn)在借助IT系統(tǒng)來(lái)實(shí)現(xiàn)內(nèi)控，效率大大提高了。另外，對(duì)IT系統(tǒng)進(jìn)行控制，可以?xún)?yōu)化系統(tǒng)，提高系統(tǒng)性能。

王衛(wèi)鄉(xiāng)：任何事情都有兩面性，IT技術(shù)可以幫助我們進(jìn)行內(nèi)部審計(jì)、獲取更加及時(shí)、有效的信息，但是如果不加強(qiáng)對(duì)IT本身的審計(jì)，可能會(huì)被人利用，拿這個(gè)工具去做不正當(dāng)?shù)氖虑?。所以要從觀念上重視IT內(nèi)審。

田海波：從客戶(hù)的反應(yīng)上也可以看到IT內(nèi)審的價(jià)值。我們之前是做電信行業(yè)的BOSS系統(tǒng)的，在跟客戶(hù)接觸過(guò)程中發(fā)現(xiàn)客戶(hù)對(duì)IT內(nèi)審的需求很大。因?yàn)榭蛻?hù)覺(jué)得內(nèi)控工作非常煩瑣，希望能夠借助有效的工具來(lái)幫助他們輕松實(shí)現(xiàn)。

主持人：那么，企業(yè)應(yīng)該怎樣進(jìn)行IT內(nèi)審呢？

周梓滔：如錢(qián)經(jīng)理所言，IT審計(jì)有兩個(gè)方面，一個(gè)是對(duì)IT進(jìn)行審計(jì)，另外一個(gè)是利用IT技術(shù)來(lái)進(jìn)行審計(jì)。首先要看IT有什么東西要做審計(jì)：現(xiàn)在很多ERP系統(tǒng)中已經(jīng)就內(nèi)部控制做了設(shè)置；另外可以利用DQI方法(利用數(shù)據(jù)庫(kù)、程序去運(yùn)行大量數(shù)據(jù)可以幫助企業(yè)分析發(fā)現(xiàn)業(yè)務(wù)上的問(wèn)題，以供企業(yè)進(jìn)行調(diào)整)。這是一個(gè)非常有效的審計(jì)方法。

對(duì)IT進(jìn)行審計(jì)是指對(duì)整個(gè)IT環(huán)境各方面的審核工作，如信息安全、軟件開(kāi)發(fā)、系統(tǒng)維護(hù)等。

錢(qián)晨：也有說(shuō)法認(rèn)為IT控制有兩個(gè)方面：一個(gè)是應(yīng)用控制，即IT必須對(duì)業(yè)務(wù)流程進(jìn)行某些控制；另一個(gè)是通常性控制，對(duì)于支撐公司運(yùn)作的IT基礎(chǔ)技術(shù)架構(gòu)平臺(tái)進(jìn)行有效管理控制。

主持人：我聽(tīng)一個(gè)在香港上市的企業(yè)的CIO說(shuō)，IT內(nèi)審對(duì)他們來(lái)說(shuō)就是會(huì)計(jì)師事務(wù)所給他們提供一個(gè)與IT相關(guān)的表格，他們只需按照這個(gè)表格的要求來(lái)執(zhí)行就可以了。是這樣的嗎？

王衛(wèi)鄉(xiāng)：沒(méi)有這么簡(jiǎn)單。這可能要牽扯到兩個(gè)部門(mén)：一個(gè)是IT部門(mén)，一個(gè)是審計(jì)部門(mén)，實(shí)際上這是跨兩個(gè)領(lǐng)域的事情。

周梓滔：我們給企業(yè)做IT內(nèi)審的時(shí)候，要先了解被審企業(yè)的情況，了解他們的業(yè)務(wù)范圍是什么，管理層對(duì)IT管控持什么樣的看法，然后再按我們的方法論對(duì)風(fēng)險(xiǎn)較高的地方進(jìn)行審計(jì)。

業(yè)務(wù)不同，IT審計(jì)的策略也就不同。比如一個(gè)企業(yè)擁有大型的數(shù)據(jù)中心，并依賴(lài)該數(shù)據(jù)中心為客戶(hù)提供服務(wù)，那么該數(shù)據(jù)中心的物理環(huán)境安全就是非常重要的環(huán)節(jié)。但如果是一個(gè)銷(xiāo)售企業(yè)，他們的IT系統(tǒng)會(huì)相對(duì)簡(jiǎn)單，數(shù)據(jù)中心的物理安全也會(huì)影響他們的財(cái)務(wù)數(shù)據(jù)，但要求就不那么高了。

IT內(nèi)審誰(shuí)在喝彩

主持人：去年大家都對(duì)IT內(nèi)審比較關(guān)注，但是最近好像沒(méi)什么大動(dòng)靜了。實(shí)際情況是這樣嗎？出現(xiàn)這種情況的原因又是什么呢？

周梓滔：我看到的情況有點(diǎn)不同。剛才王總說(shuō)得很對(duì)，現(xiàn)在做IT審計(jì)的人并不多。企業(yè)如果成立專(zhuān)門(mén)的IT內(nèi)審部門(mén)成本太高，所以往往會(huì)外包給一些第三方公司來(lái)做。

上交所、深交所要求他們的上市公司也要進(jìn)行內(nèi)控，其中IT內(nèi)審是很重要的環(huán)節(jié)。有些母公司在國(guó)外的跨國(guó)企業(yè)在IT內(nèi)審方面做得比較多，因?yàn)樗麄兊木W(wǎng)絡(luò)、系統(tǒng)是全球化的，要符合母公司所在地相關(guān)法規(guī)的規(guī)定。

國(guó)內(nèi)的一些大型企業(yè)在這方面也有很大的改善。但我們發(fā)現(xiàn)需求增加的速度比IT內(nèi)審提高的速度要快很多。其中很重要的原因就是專(zhuān)業(yè)IT審計(jì)人才的缺乏。比如說(shuō)有個(gè)全國(guó)性的銀行，他們的IT審計(jì)部門(mén)只是一個(gè)小組，很難進(jìn)行大的推動(dòng)。

王衛(wèi)鄉(xiāng)：銀行、電信企業(yè)強(qiáng)調(diào)IT審計(jì)取決于他們的業(yè)務(wù)特點(diǎn)。銀行的服務(wù)器壞了可能會(huì)影響一大片。

此外，企業(yè)本身環(huán)境的要求或者政府的管制要求也很重要。美國(guó)政府已經(jīng)以法案的形式來(lái)進(jìn)行約束。其實(shí)國(guó)內(nèi)前幾年也發(fā)生過(guò)不少因?yàn)閮?nèi)控失效造成重大損失的案例，那在目前牛市的情況下，如果還不加強(qiáng)控制的話，影響就會(huì)更大。

沒(méi)人喝彩好像是沒(méi)有動(dòng)靜，但不能說(shuō)就沒(méi)有行動(dòng)。我相信政府一直在推動(dòng)，我們企業(yè)也在考慮怎么加強(qiáng)這方面的工作。當(dāng)然，如果將政府和企業(yè)兩者結(jié)合起來(lái)，推動(dòng)的效果會(huì)更好。

田海波：我們涉及這塊業(yè)務(wù)是因?yàn)槲覀冇幸粋€(gè)電信客戶(hù)希望能從數(shù)據(jù)模型角度來(lái)評(píng)估系統(tǒng)設(shè)計(jì)是否滿(mǎn)足其業(yè)務(wù)需求，要對(duì)軟件實(shí)施過(guò)程中階段性成果進(jìn)行驗(yàn)證。這是IT內(nèi)審的一部分。

主持人：在國(guó)內(nèi)上市的公司也同樣那么重視IT內(nèi)審嗎？

周梓滔：深交所、上交所的《指引》中提出的內(nèi)控要求主要是針對(duì)上市企業(yè)。但是隨著相關(guān)法案的出臺(tái)，越來(lái)越多的國(guó)內(nèi)上市企業(yè)意識(shí)到了IT 審計(jì)的重要作用和影響，很多公司已經(jīng)開(kāi)始了相關(guān)的工作。

王衛(wèi)鄉(xiāng)：我覺(jué)得企業(yè)進(jìn)行內(nèi)控往往從自發(fā)和自覺(jué)兩個(gè)角度出發(fā)。從自覺(jué)的角度來(lái)做內(nèi)控的企業(yè)，很明白內(nèi)控對(duì)企業(yè)發(fā)展的好處。如果企業(yè)要發(fā)展，是不可能不去做這方面工作的，應(yīng)該是一個(gè)自發(fā)的行為。有些上市公司大張旗鼓地宣揚(yáng)自己的內(nèi)控做得怎么好，這實(shí)際上是他們自己應(yīng)該做的。

主持人： IT內(nèi)審的推廣還有哪些比較現(xiàn)實(shí)的問(wèn)題呢？

王衛(wèi)鄉(xiāng)：我覺(jué)得最難的還是觀念問(wèn)題。如果在觀念上沒(méi)有重視這個(gè)事情，其他的技術(shù)再高超、完善，但如果不去用，那就一點(diǎn)用都沒(méi)有。

還有一個(gè)問(wèn)題就是現(xiàn)在很多企業(yè)的信息化建設(shè)還不盡如人意，在這種情況下強(qiáng)調(diào)太多的IT審計(jì)還沒(méi)有必要。

主持人：IT內(nèi)審是一個(gè)中長(zhǎng)期的工作，上市公司該怎么看IT內(nèi)審的運(yùn)作成本和收益？

王衛(wèi)鄉(xiāng)：我個(gè)人認(rèn)為這個(gè)投入非常值得，既能夠維持公司良好的運(yùn)轉(zhuǎn)，又能夠比較好地監(jiān)控公司運(yùn)轉(zhuǎn)的狀況。IT審計(jì)是一個(gè)提供保障的機(jī)制，不會(huì)直接創(chuàng)造效益，但是它至少不會(huì)讓已經(jīng)創(chuàng)造的效益流失。

錢(qián)晨：對(duì)。也許企業(yè)什么都不做也能成功運(yùn)轉(zhuǎn)很長(zhǎng)時(shí)間，但風(fēng)險(xiǎn)永遠(yuǎn)是存在的，像“9•11”那樣的小概率事件也是會(huì)發(fā)生。

王衛(wèi)鄉(xiāng)：為此，我們公司建立了金融的災(zāi)備中心，是和運(yùn)營(yíng)中心分開(kāi)的。這應(yīng)該是IT審計(jì)或者企業(yè)內(nèi)控的一個(gè)重要組成部分，而且尤其對(duì)大型企業(yè)來(lái)說(shuō)特別重要。

周梓滔：當(dāng)企業(yè)很大程度上依賴(lài)IT的時(shí)候，IT內(nèi)控不但能夠幫助企業(yè)理順業(yè)務(wù)流程、培養(yǎng)人才和提高技術(shù)能力，能夠降低風(fēng)險(xiǎn)、提升能力，還能推動(dòng)業(yè)務(wù)模式的轉(zhuǎn)變。我們有個(gè)客戶(hù)，他們的IT部門(mén)原來(lái)是個(gè)成本中心，后來(lái)通過(guò)IT內(nèi)審優(yōu)化業(yè)務(wù)模式，使他們公司的服務(wù)達(dá)到了世界一流水平，很多國(guó)外公司都來(lái)找他們咨詢(xún)。后來(lái)這個(gè)公司的IT部門(mén)因此慢慢成長(zhǎng)為一個(gè)咨詢(xún)公司。

中國(guó)路線怎么走

主持人：各位認(rèn)為適合中國(guó)國(guó)情的IT內(nèi)審規(guī)范應(yīng)該是什么樣的？

王衛(wèi)鄉(xiāng)：這個(gè)問(wèn)題很難回答。但是全球化以后，很多中國(guó)企業(yè)都在海外上市，要求我們?nèi)ミm應(yīng)海外交易所的法規(guī)，同時(shí)也會(huì)帶來(lái)一些好的做法，我們可以借鑒一下。

主持人：那中國(guó)的IT內(nèi)審規(guī)范應(yīng)該怎么來(lái)做？

周梓滔：IT內(nèi)審并不是因?yàn)樗_班斯法案才有的，這在上個(gè)世紀(jì)80年代就開(kāi)始有了。當(dāng)時(shí)行內(nèi)人已經(jīng)為通過(guò)打孔機(jī)從電腦上提取數(shù)據(jù)的計(jì)算機(jī)進(jìn)行IT審計(jì)?，F(xiàn)在隨著IT技術(shù)的發(fā)展，IT審計(jì)的內(nèi)容、方法、技術(shù)等各方面都已經(jīng)發(fā)生了變化。

錢(qián)晨：我們可以先西學(xué)中用，把國(guó)外做得好的拿過(guò)來(lái)借鑒，再對(duì)用得不好的加以改進(jìn)。

田海波：我覺(jué)得中國(guó)IT內(nèi)審如果能夠形成一個(gè)大的產(chǎn)業(yè)鏈會(huì)更好，像當(dāng)初推項(xiàng)目管理時(shí)那樣，對(duì)相關(guān)的咨詢(xún)、培訓(xùn)起了很大的推動(dòng)作用。

主持人：很多企業(yè)不知道自己的IT內(nèi)審該如何開(kāi)始，請(qǐng)各位給他們提點(diǎn)建議。

周梓滔：首先可以找我們這樣的專(zhuān)業(yè)機(jī)構(gòu)來(lái)做。如果企業(yè)一定要內(nèi)部自己做，自己培養(yǎng)人才，可以讓IT部門(mén)負(fù)責(zé)信息安全的同事去學(xué)習(xí)一些審計(jì)知識(shí)――信息安全是IT審計(jì)的一部分。但這樣有很多東西需要學(xué)習(xí)和推動(dòng)，可能歷時(shí)比較長(zhǎng)。

主持人：內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)公布了《企業(yè)內(nèi)部控制規(guī)范――基本規(guī)范》和17項(xiàng)具體規(guī)范(征求意見(jiàn)稿)。不知道各位對(duì)這個(gè)征求意見(jiàn)稿有什么期望？

周梓滔：征求意見(jiàn)稿不僅參考了薩班斯法案，還參考了很多其他地方的法規(guī)，對(duì)信息安全、系統(tǒng)運(yùn)作、應(yīng)用系統(tǒng)開(kāi)發(fā)等各個(gè)方面都有所提及。但是有一點(diǎn)值得我們注意，很多法規(guī)都已經(jīng)推行好幾年了，我們應(yīng)該充分吸取這些法規(guī)推行后的經(jīng)驗(yàn)和教訓(xùn)，并加以消化吸收。比如說(shuō)，要充分考慮企業(yè)內(nèi)控的成本。

錢(qián)晨：我國(guó)對(duì)上市公司的內(nèi)控監(jiān)管還不夠，遠(yuǎn)遠(yuǎn)達(dá)不到薩班斯法案那樣的力度。

王衛(wèi)鄉(xiāng)：說(shuō)到監(jiān)管力度，我們可以分別來(lái)看看歐洲、美國(guó)和中國(guó)三塊市場(chǎng)。對(duì)市場(chǎng)的監(jiān)管力度最強(qiáng)的是美國(guó)，歐洲比較溫和。從歷史上看，歐洲的貴族文化本身對(duì)自律性要求比較高，在歐洲上市的公司如果運(yùn)作不好，自動(dòng)就退市了。美國(guó)雖然只有200多年的歷史，但相關(guān)制度為他們的發(fā)展提供了有力的保障。如果運(yùn)作不好就有強(qiáng)硬的措施逼著它退市。我覺(jué)得中國(guó)應(yīng)該兼顧這兩個(gè)市場(chǎng)的特點(diǎn)。我們有5000年的文化，好的地方要繼承下來(lái)，不好的地方要通過(guò)制度來(lái)完善。希望現(xiàn)在的征求意見(jiàn)稿能起到這個(gè)作用，真正實(shí)現(xiàn)對(duì)上市企業(yè)的違規(guī)行為的約束。

詳情請(qǐng)見(jiàn)中計(jì)在線“阡陌三人行”訪談實(shí)錄(.cn/Special/InternalAuditing/)

鏈接:有關(guān)IT內(nèi)審的外包

周梓滔：企業(yè)如果成立專(zhuān)門(mén)IT內(nèi)審部門(mén)成本太高，可以外包給專(zhuān)業(yè)的第三方公司來(lái)做。

王衛(wèi)鄉(xiāng)：我贊成這個(gè)觀點(diǎn)，IT內(nèi)審業(yè)務(wù)的外包是比較可取的，因?yàn)檫@對(duì)技術(shù)要求很高，而且需要經(jīng)驗(yàn)。

錢(qián)晨：IT審計(jì)外包更能夠體現(xiàn)審計(jì)結(jié)果的獨(dú)立性。如果IT部門(mén)本身既做系統(tǒng)管理又做系統(tǒng)的審計(jì)，這本身就是一個(gè)矛盾的問(wèn)題，看問(wèn)題就不會(huì)很客觀，也會(huì)造成利益的沖突。

中國(guó)中信集團(tuán)公司管理信息部副主任 王衛(wèi)鄉(xiāng)

IT審計(jì)包括對(duì)IT系統(tǒng)的審計(jì)、通過(guò)IT輔助審計(jì)工作和審計(jì)管理的信息化。

德勤華永會(huì)計(jì)師事務(wù)所有限公司企業(yè)風(fēng)險(xiǎn)管理服務(wù)高級(jí)經(jīng)理 周梓滔

我們應(yīng)充分吸取其他地方相關(guān)法規(guī)推行后的經(jīng)驗(yàn)和教訓(xùn)，并加以消化吸收。

科索路咨詢(xún)公司副理

錢(qián)晨

內(nèi)部控制的目標(biāo)是在保證實(shí)現(xiàn)公司戰(zhàn)略目標(biāo)的前提下，對(duì)存在的風(fēng)險(xiǎn)進(jìn)行控制。