前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的信息化论文主题范文,仅供参考,欢迎阅读并收藏。
a)IT技术应用程度的评价。通过IT技术的评价,可以得知信息技术在多大程度上支持管理系统的功能,更多得熟悉系统采用的技术先进性和可靠性,在用户体检界面和系统运维等方面也可以有更多了解。b)数据应用程度的评价。信息系统的运行要靠数据的开发和利用来支持,数据是信息系统的血液,对数据应用程度的评价,主要包括评估数据应用水平以及企业知识管理水平,主要通过数据的收集、加工、报表展示等方面进行评价。c)信息安全的评价。当前,利用相应的信息系统窃取、扰乱信息系统中的信息内容的恶意事件逐渐增多。2014年,国家成立网络语信息安全工作领导小组,从国家层面高度功重视信息安全问题,企业也同样面临着严峻的信息安全形势,因此,企业信息化安全的评价应当作为信息化建设评价的重要组成部分,引起足够的重视。d)人力资源的评价。系统需求方、系统开发商、系统运维团队、系统用户等都是信息化建设过程的重要参与者,是信息化建设和应用的主体。人力资源评价,应重点考察系统开发和运维人员的计算机软件设计开发能力,以及软件技术与应用需求的结合能力;其他人员应侧重于员工执行力的提高和员工参与信息化程度的评价。e)信息化组织和控制的评价。企业比如利用完善的制度体系、通过制定严格的信息化相关标准,颁布企业内部控制制度,保障信息建设过程管控以及信息系统的正常运行。该项工作主要评价信息化规划、组织与控制机制与企业日常管理的融合程度。f)效益的评价。信息化的本质是投资,投资必须要有产出。信息化的效益评价包括管理效益和经济效益两种。常见的如减少人工时、加速资金周转、降低库存等。通过效益评价,可以让管理层对信息化的资本投入有清晰的概念,也是通常信息化项目立项时的重点考虑因素。
2某企业信息化评价整改措施及效果
笔者所在企业,在近年开展以ERP为建设重点,覆盖全产业链的大规模信息化建设后,采取专项工作,对企业信息化水平进行全面的评价,内容涵盖信息技术水平、信息\数据资源利用、信息安全、信息化队伍建设、信息化组织和管控、信息化效益等主要方面。通过该项工作,笔者所在企业找到了制约其信息化建设发展和管理水平提升的严重问题,针对这些问题制定了如下具体改进措施:a)针对发现信息技术的问题,以公司发展战略为基础,一是统一规划了信息化建设蓝图,实施一个基础网络平台的网络拓扑改造、应用系统分层以及和一致的信息化管控体系,二是统一基础设施标准和规范,三是拓宽网络主链路、建设备份链路、保障通讯畅通。b)针对发现的信息资源问题,公司首先确立信息化愿景:一是建立健全信息共享平台,确保公司信息安全,支持公司战略目标的实现;二是确立“统一规划、统一管理、统一标准、统一建设”的四统一原则;三是确立“IT是技术的提供者、业务的支持者”的定位;四是加强信息化建设项目的立项论证和建设过程管控。c)针对发现的信息安全问题,公司首先建立信息安全管理制度和规范;其次,快速实施统一身份认证的准入控制系统,实施强制密码策略;第三,每年定期开展计网络安全大检查和培训;第四,每年对网络和信息系统进行安全测评和整改;第五,建设灾备中心。d)针对发现的人力资源问题,公司一是建立IT岗位序列,明确人员晋升标准;二是引进社会成品人才;三是组织技术交流、培训和认证;四是加强信息化专、兼职机构建设。e)针对发现的组织和控制问题,公司首先编制、颁布信息化规划;其次,理顺管理流程,明确以CIO制度为核心的信息化管理组织架构;第三,全面建立健全信息化内控制度体系。f)针对发现的经济效益评价问题,公司建立了信息化立项论证和评价体系,颁布信息化后评价办法和指标。对重点项目进行立项时的定量或定性效益评价,完工验收满一年后开展后评价。
关键词:信息化建设理念教学模式信息技术
教育部在《2003-2007年教育振兴行动计划》中提出要“实施教育信息化工程”,经过几年的努力,我国高校信息化建设取得了巨大的成就,大多数高校都建立了各自的信息网络,信息化水平在不断提高。但是从目前情况看,高校信息化仍存在诸多不足,信息化建设仍任重道远。
一、高校信息化建设对高校发展的推动作用
近年来高校信息化建设进行得如火如荼,信息化使学校的管理更为便捷高效,学生的学习效果明显提高,资源和成本得到有效的利用,浪费得到遏制,对高校的发展起到了极为重要的作用,引发了教育教学的重大变革。
1.促进了教学模式的丰富和发展
以课堂与老师为中心的传统教学模式受到信息化的冲击,网络、电子课件、多媒体设备等先进的现代化技术不断在教学活动中得到运用,辅助教学手段的丰富使得教学过程更为生动,教学效果明显提高。课堂不再是老师单纯的板书和讲授,整个授课过程更具生动性、互动性和启发性,课堂技术含量和知识量都大幅提高,教学质量进步明显。
2.优化了人才培养模式,提高了培养人才的素质
高数量、高质量的教学资源、信息资源的共享和传播,使得高校教育更为灵活,学生学习更为自主。学生可以获取更多的信息和资源,增强处理信息的能力,进一步促进其信息素养与自身创新能力,人才培养模式从注重知识传授转变为培养学生的自主学习能力和自主创新能力,并进一步促使知识价值的转化。信息化的发展对培养新型创新的高素质人才起到了强力的催化作用。
3.保障了教育规模的扩大和教育效益的提升
随着高等教育大众化时代的到来,高校教育规模不断扩大,师资、教学场地等教学资源的不足是困扰各个高校的一大问题,通过网络化和信息化来进行教学容量的扩充成为解决问题的有效手段。许多高校通过信息化的发展实现了对本校教育资源的最大优化,提高了办学效益和办学质量。
4.提高了教学管理水平和工作效率
许多高校利用信息化建设提高了学校管理层面的办公自动化水平,加快了学校管理业务流程的合理重组和管理职能的转变,服务进一步突出,许多日常管理工作更为快捷,提高了工作效率,形成了高效的、充满活力的新型管理机制。
二、高校信息化建设面临的主要问题
1.思想观念上认识不到位,缺少统一规划和长远目标
当前,数字化、信息化应用不断进入企业、政府乃至家庭的各方各面。为适应社会的发展,作为社会科技进步的前沿阵地,高校纷纷开始建设高效发达的信息网络应用体系。然而许多高校信息化建设没有长远规划,资金投入只是以满足现有的应用为目标,由于信息产业的更新换代极为迅速,信息化建设投入的后备资金不足,势必造成升级和维护的困难,使信息化建设难以可持续发展。
(1)对信息化理解不深,未能统筹规划
教育信息化是项庞大的系统工程,要求全校各个部门协调统一,全局考虑,进行信息化的建设,这样全校资源才能有效共享,提高各项工作的效率。而许多高校的信息化建设没有统一思想和认识,缺乏合理规划和组织协调,信息化设备的配置不平衡。信息系统的开发由校内各部门根据业务分工不同自行组织实施,各系统采用的技术架构和技术实现方案差异很大,造成一些关键性的数据和代码缺乏统一的标准,系统之间的信息共享非常困难,影响了信息化资源的有效利用。各种应用系统各自为政,显得零乱和低效。
(2)制度和政策不健全
信息化建设应是项长久的可持续发展的工程,需要建立与之配套的规章制度和政策方针,而许多高校都没有建立完善的关于信息化工程的规章制度,对于信息化建设过程中的管理、使用和维护缺乏相应的政策和规定,使得信息化建设难以规范,信息化成果不能有效利用。
(3)缺乏统一的强有力的校级信息化管理机构
校园信息化建设无论从基础设施论证、规划和建设,还是相应制度、政策制订和日常管理都涉及学校的各个方面,这不仅需要一个强有力的技术支持部门,而且需要管理部门、业务部门和学术机构的密切配合和参与。因此成立专门机构来组织和管理整个学校的信息化工作对于从组织和制度上保障校园信息化工程的顺利实施是非常必要的。而我国大多数高校缺少这样一个强力的管理部门。
2.规划不合理,重硬件轻维护,重建设轻应用现象突出
高校信息化过程中普遍出现的一大问题是建成易,维护难。在建设过程中偏重于硬件设施的建设,在初始的硬件和软件建设建成后,是否能有效利用却是无人问津。有些部门缺少技术人员和维护人员,无力进行相应的后续更新和维护管理,空有一流的设备,却发挥不出其应有的作用。
我国高校的信息化建设现阶段还处于从软硬件基础设施建设向信息化应用的过渡阶段,许多高校投入巨资兴建起信息网络,开发或购买了大量应用软件,建设成了很好的基础平台,但对硬件系统和软件系统却不能物尽其用。多数高校主要的软件应用平台有教务管理系统、学生管理系统、财务管理系统等办公自动化系统,它们存在的普遍问题是各自为政,自成体系,不能有效共享。真正能应用于网络教学和管理的高信息化配套建设还很薄弱。
我国大多数高校对信息化建设不重视,学校投入大量资金进行各项开发建设,但用于建设的资金分配却不甚合理。有统计资料表明:高校投入资金的47%用于购买硬件,40%用于购买软件,9%用来开发,只有4%计划用来培训。“重建设,轻应用”现象十分突出,造成了购买来的计算机半数以上没有充分利用而处于闲置状态。这使我国高校普遍存在一个突出问题:一方面资金利用不合理,一方面却又陷入建设和维护经费不足的窘境。
3.忽视人力资源建设
我国高校许多部门信息技术力量都比较薄弱,信息化系统的应用能力和维护能力较差,需要进行大量的培训和教育,但许多高校对于人力方面的建设做得极为不够。一方面学校没有形成固定的长期的培训模式,另一方面由于没有相应的激励机制,有些教师、管理人员和学生对参加相关培训积极性不高。造成了许多高校的师资队伍和管理人员跟不上信息化的节奏,信息化素养不高,应用效率较低。致使主要的应用开发和维护工作仍严重依赖于校外公司技术力量或校内学生,导致项目生命周期短,可维护性差且维护费用高。因此,为充分利用信息化资源,促进信息化工作稳步、协同、有序的发展,必须建立切实有效的运行机制,加强培训和人力资源建设。
三、加强理念建设是高校信息化建设的关键
空有优秀的技术人员是无法解决信息化建设中的各种问题的,在高校推进信息化的发展过程中,仍然存在许多落后和陈旧的理念,严重影响着信息化建设的发展。高校信息化建设过程中出现的问题追根溯源要从源头,从思想观念上来提高认识,全民动员,这样才能解决。理念的差异造成各个高校信息化建设的发展程度和信息化的利用效率各不相同。以往在高校的信息化建设中,主要突出基础设施的建设,却忽视了高校各级人员的思想观念和相关理念,致使信息化建设中出现各种问题。因此必须加强信息化建设中的理念建设,提高高校各层次人群的信息化素养,使人们的思想观念能适应信息化建设的需要。
1.领导者的理念:要与时俱进,把握信息化趋势
高校信息化建设是个巨大的工程,需要投入大量的人力、物力和财力,因此几乎每个高校信息化建设的规划和部署都是由校级领导亲自把关。信息化建设中,领导是关键,不但制定建设规划,设定建设基准,对设备、资源、人力和培训等进行详细的规划,而且要组织制定各项规章制度,使信息化建设后的管理和使用能有章可循,其目的是保障信息化成果能合理使用和有效使用。因此领导的理念必须紧跟时代步伐,大局观强,对信息化的发展趋势要有清楚的认识,并能从自身做起,学习先进的信息化理论,这样才能统揽全局,高瞻远瞩,全盘规划,制定适合自己学校的信息化建设方案和长远目标。
现在许多高校提出了建立专门的校级信息化管理机构,设立对学校办学目标、策略理解透彻,对信息化建设能全程负责的首席信息官CIO,使信息化发展能统筹规划、集中建设。这种设想的提出,也反映了需要加强领导者的理念建设,信息化建设需要具有先进理念的领导者。2.教师的理念:要紧跟时代步伐,充分掌握和利用信息化技术为教学科研服务
信息获取能力、识别能力、接受能力、存储能力、评价能力、利用能力以及创造能力已成为信息时代教师必备的信息能力。而有的教师却忽视信息素养的培养,信息意识较弱,观念陈旧,他们排斥用多媒体系统来上课,不愿使用网上教学系统和科研系统,信息能力低下,主要表现为缺乏信息检索知识和计算机运用能力。如果抱着这种传统的观念,不认可信息化的优势,或是因教学、科研繁忙不愿花时间学习信息技术,宁愿采用传统的方式进行学习研究,必将对信息化的发展产生巨大的阻力,在一定程度上也会阻碍自身能力的发展。产生这种现象的原因是教师对信息化的理解不深,不能看到信息化能带来的好处。因此学校应加强对这些教师的信息化理念的培养,着重提供各种培训和体验活动,使其能体会到现代信息化对教学科研的帮助,并颁布各项条例鼓励或规定其使用信息技术,使其从思想理念上认可信息化,并利用信息技术为自己服务。教师在信息化过程中从传统向现代化转化,要循序渐进。
3.学生的理念:要充分理解信息化带来的便利,自觉学习信息化技术
学生作为高校的主体,学习上已不再单纯依赖书本和黑板,现化化教学信息手段的应用使学生的学习有了更大的自主性和灵活性,也使得学生的学习效率大幅提高。当前高校一卡通的实行,大量信息终端的设立,使传统的学习生活中融入了大量的信息化内容,对学生信息化素质的要求也越来越高。高校学生现阶段对信息化知识的学习态度呈两极分化态势:一极对信息化持积极态度,他们从思想上认识现代化信息手段的重要性,对信息化理论的学习有迫切要求,利用各种途径学习信息化知识;而另一极则仍以传统的书本学习为主,思想上认为只要从书本中学习相关专业知识即可,没有认识到信息化的优势,不愿投入精力进行现代化电子信息技术相关知识的学习。
学生是善于接受新事物的群体,信息化带来的便利很容易使他们从理念上重视信息化资源的使用。但同时也要给以合适的引导,使他们摒弃不良的网络习惯和网上诱惑,使信息网络能成为他们学习和生活的工具。因此要合理引导他们利用学校信息化资源,将大量的学习资源、校内公告及时在网络上公布,以此培养学生的信息化热情,正确引导他们从学习互联网知识到通过互联网学习的过程,将信息网络及技术变成自觉学习、自我发现、自我探索的工具。在高校学生中应培养这样一种理念:应像看书写字一样利用信息网络,不知如何利用网上信息,就等于成为了高校中的“文盲”。
4.管理人员的理念:应着重培养服务的意识,自觉利用信息化办公平台
高校管理人员是校园信息化系统使用的主体,网上办公是信息化建设的一个基本目标。不同于教师阶层,我国多数高校的管理人员仍存在素质不高,层次参差不齐等问题,许多人员信息化水平较低,习惯于按传统的手工模式进行日常办公。因此加强教育和培训是十分重要的。尤其是要加强管理人员在观念上对信息化的理解,在理念上跟上学校和社会信息化的步伐,培养办公人员的信息化意识,使其能对工作领域内的信息化应用提出合理化建议,从而实现效率的提高和成本的节约。高校管理人员的服务精神在信息化建设过程中应起贯穿和指导作用。
5.技术人员的理念:应加强服务意识,树立合作意识,强调管理和维护
专业技术人员能紧跟科技发展的步伐,在建设和维护中发挥着主导作用。但他们建设的出发点基本停留在技术层面,而对各部门实际的需求却不能很好地把握。因此与一般技术人员不同,高校信息化技术人员要培养服务意识,加强与校内各个部门和实际使用者的交流和合作,深入调研,了解各部门的实际需求,根据学校的实际情况,加强创新性和务实性,综合考虑技术层面和实际应用的需要进行相应的设计和建设。同时要明确信息化建设是“三分建设,七分管理和维护”这一理念,强调有效的维护和管理才能使信息化建设成果发挥出应有的作用。
四、结束语
大力进行信息化建设是高校发展的必然趋势,一方面,飞速发展的现代信息社会对人才培养的模式、人才的素质等提出了更高更新的要求,需要高等学校培养出更多适应现代社会需要的人才。另一方面,高等教育本身需要以变革求生存,以创新求发展,突破传统教育模式的束缚,走向教育现代化。这两方面都需要以教育信息化作为支撑,教育信息化是我国高等学校进一步发展的必由之路。
信息化要发展,理念要先行,信息化理念的建设是高校信息化建设中的重要方面,信息化的发展依赖于理念的进步,树立正确的信息化理念,才能促进信息化建设合理有序地发展。各高校要从思想观念上提高对信息化建设的认识,加强教育和培训工作,每个人都要把信息化技术作为自己工作学习中的重要工具,不断学习和更新自身的信息化知识,解决相关的信息化问题,充分发挥信息化系统的优势,利用信息化系统为自己、学校服务。
参考文献:
[1]伏秋平.对高校信息化建设的若干思考[J].教育信息化.2006(11):11-13.
[2]孙敬武.高校教育信息化建设的思考[J].中国青年政治学院学报.2006(6):79-81.
随着计算机技术和信息技术的高速发展,各行各业已经快速接受这一现代科技革命的新成果,从而使工作方式发生了革命性的变化,大大提高了社会生产效率,为我国经济发展带来许多好处。企业生产经营过程中也已经大量借鉴和引进计算机技术和信息技术,促进了生产自动化和智能化。但是企业的内部审计工作由于种种原因,其引进新技术的速度要远远落后于企业的其它活动,当前我国企业的内部审计工作依然延续着传统的工作方式,存在着效率低下,工作质量不高等问题,严重阻碍审计工作作用的发挥,不利于我国企业的健康发展。因此为了顺应时代大势,必须大力推进企业内部审计的信息化。
二、企业内部审计信息化的约束因素
但是,从总体上说,目前我国事业单位内部审计工作还存在一些问题,其中一个重要的方面就是内部审计工作的信息化水平不高,需要进一步完善,从而更好地发挥内部审计工作在规范企业经济行为方面的作用。当前制约我国企业内部审计工作的信息化的因素主要有以下几个方面:
1.领导重视程度不够,对内审工作信息化的意义缺乏充分认识。
我国企业内部审计工作信息化建设多年来一直难以有效推进,多年来企业内部审计工作信息化仍然处于起步阶段,存在组织结构不完善,制度建设滞后等诸多问题,导致这些问题的一个重要原因就是认识上存在问题。一些企业领导虽然知道信息化有好处但是总觉得实现内部审计信息化需要的投资太多,而且回报慢,因此缺乏推进企业内部审计信息化的内在动力,使得企业内部审计信息化缺少资金支持和精神动力,信息化建设动作缓慢。目前虽然一些企业已经开始尝试内部审的信息化建设,但是绝大多数依旧停留在较低层次的电子数据处理方面,与真正的信息化还有较大的差距。
2.审计人员的水平有待提高。
审计工作本身就是一项专业性很强的工作,对工作人员的素质有较高的要求。内部审计信息化要求企业内部审计员工具有较高的计算机水平,能够熟练进行计算机软件操作,因此企业内部审计工作人员不仅要学好审计专业本身的知识还要掌握现代计算机技术。但是当前我国还缺少这样的复合型人才。从我国企业的情况来看,绝大部分的审计工作人员都难以达到这种标准。因为我国多数企业的审计人员就是财务系统的工作人员,而财务人员一般都是会计专业出身,他们往往缺少计算技术相关的知识,因此难以胜任内部审计信息化的重任。
3.缺乏有效的信息系统设计和实施方法。
内部审计工作涉及许多方面,是一个复杂的系统,因此,在信息化条件下与之相对应的内部审计信息系统也是一个复杂的系统。当前,我国内部审计部门的电脑虽然已经与互联网实现连接,但是能够适应企业内部审计工作的应用软件却十分有限,从而导致企业内部审计工作难以实现不同部门、不同审计项目等之间的信息交流与共享,使得企业内部审计工作效率低下,难以充分发挥内审工作的作用。因此,当前信息系统设计和实施方法的缺乏是阻碍企业内部审计信息化的一个重要因素,必须大力解决。
4.理论建设滞后。
内部审计信息化与其它各种工作一样需要理论进行指导,理论是行动的指南,只有在科学先进的理论指导下,才能使工作得以顺利有效推进,反之,则会阻碍实践活动的开展。我国内部审计信息化建设存在着理论滞后的情况。多年来该领域的研究一直跟不上现实审计信息化工作的发展要求,最近几年,随着国家的重视程度增加,该领域的研究学者有所增加,所以相应的推动了内部审计信息化理论工作的进步,提出了一些针对性较强的理论方法,对当前的审计工作起到了有力的推动作用。但是这些研究相关研究依旧显得稀少而零散,一直没有形成一个完整的理论体系,这种情况阻碍了我国企业内部审计信息化工作的开展。
三、加强我国企业内部审计信息化的措施
内部审计工作是我国监督体系的重要组成部分,企业内部审计工作承担着确保企业经济活动合法地进行,防止经济犯罪和滋生的重任。经过多年的努力,我国企业的内部审计工作已经取得了很大的进步,内部审计制度日益完善,组织结构不断得到改进,但我们还要进一步完善。
1.提高认识水平。
内部审计是一项具有很大意义的工作,如果充分发挥内审工作的作用可以有效地促进企业健康稳定发展。因此作为企业及其管理人员来讲必须转变观念,大力推进内部审计信息化建设。首先企业管理层要充分认识到在内部审计中推行信息化的重要意义,为在企业中顺利推行提供必要保障。其次还要加强员工的培训,使得企业各个部门员工理解支持内部审计工作,提高信息化在企业中全面实行。
2.提升审计人员素质。
首先要努力加强专业素养,树立在学习中工作、在工作中学习的理念,切实掌握经营活动中的理论知识和实践经验,努力提高解决审计工作中出现的新情况、新问题的能力,准确把握审计工作转型的基本内涵、原则要求和重要意义,切实增强工作的主动性和针对性。将事业单位经济管理、控制和体制改革等实施中存在的问题及时反映给行政负责人及上级主管部门,当好领导的参谋,真正做好内审工作,服务于内部经营管理。其次,要扩大自己的知识范围,不能在固守本专业,在信息化背景下尤其要重视对计算机技术的学习,努力提高自身的计算机技术水平,以适应内部审计信息化的发展趋势。从审计部门来说,需要设计一套有效的内部审计人员选拔、考核的制度,同时加大审计人员的培训力度,注重提高内部审计工作人员计算机技术和信息技术水平,建立针对审计人员的奖惩机制,充分发挥事业单位内部审计人员的主观能动性,从而提高审计人员工作的积极性。
3.制定内部审计信息化实施计划。
首先,要认真研究设计内部审计信息系统的构建方案,确定信息系统由哪些子系统构成,各系统之间如何连接。其次,要合理确定软硬件的配置,同时规定计算机的工作方式。第三建立内部审计信息化工作平台。吸收现代管理理念,整合企业内部审计资源,努力尝试根据企业内部审计工作的具体情况自主开发应用软件,审计工作平台主要包括数据库、门户体统、审计系统、管理系统、监控系统等。
4.加强理论建设。
1.转变以往核算方式在会计信息化全面普及之后,其做账方式也发生了一定的变化。在现如今,财会人员只要将一张凭证输入到计算集中,电算化系统就能够瞬间完成一系列工作。虽说该系统为我们的工作带来了极大便利,但和以往的核算方式相比,会令人们更加的依赖于电脑,进而淡化了传统会计核算方式。
2.增加危险因素以往的会计工作是依靠手工记账来实现的。其信息载体为纸张,在此其中记录的会计数据不能随便更改。在会计信息化普及的现如今,企业中的会计信息极易受到不法分子的破坏,甚至达到了更改信息后不留下任何痕迹的地步。现在的财务软件的中心是数据库,很多、软件缺少相关加密功能,甚至有的软件不具备加密技术,这在很大程度上给会计信息增加了危险因素,令一些没有权限的能够随意将数据库打开,更改相关数据。
3.会计信息失真一些控制会计信息的人员为了自身利益,将会计信息真实性原则抛在脑后,对会计凭证肆意篡改。造成会计信息失真现象。利用电算化系统做账更加容易出现此类现象。向对于电算化,以往的做账方式则能够在一定程度上保证会计信息的真实性。
二、消除会计信息化对会计职能不良影响的相关策略
社会的全面信息化是企业生存的基础,我国经济的增长是依靠千千万万生产企业的金融流通与其相关的服务信息所组成的。如果没有会计信息化,就谈不上有我国国民经济的信息化。从某种程度上来讲,企业信息化是我国当前信息化重点内容,决定了企业能否在竞争如此激烈的环境下得以生存。会计信息化能够利用计算机将企业中的会计信息进行一系列处理,并将其当作一种传播的工具,应用到具体的事务之中。在根本上实现自动记账,而且还能够将会计信息进行准确分析与判断。由此可以下这样一个定论,会计信息化是其技术发展的一个总体趋势。在会计信息化普及过程中,出现了一些不利影响,消除相关影响的方式有以下几种:
1.对相关账务进行一体化处理,每个数据的相关处理工作都需要由会计软件来自动完成。会计人员不能进行人工干预,在整个工作中,要在真正意义上做到一气呵成。一切工作都要由计算机完成,如果信息使用者想获知一些会计信息,使用该系统能够轻易的查询到,整个工作流程要保证高度连贯与严谨性,在根本上将会计核算一体化趋势加以展现,在根本上将会计报告的时效性加以全面突显。
2.强化企业中会计信息化网络的建设工作,随着我国信息化的发展,把以前的会计业务结合到现如今的信息时代之中,将电子计算机应用于会计业务中去。选择最新型的应用软件。把计信息的网络延伸到企业生产与经营的相关领域当中去,同时将严谨规范的会计信息制度加以全面制定,将会计信息的取得随意性现象在根本上加以改善。
3.加强会计信息的危险因素的相关对策要想在根本上将会计信息化的安全问题加以全面解决。就要在企业的成本收益,安全级别,与相关预防方面作为基础,对于相关操作人员要进行强化培训。令其信息安全得到有效保证,并建立起一套相对完整的信息安全系统。强化加密技术,做好数据的归档工作。当系统受到不法分子侵害的时候,应该依照恢复计划来完成相关修复工作,同时最好备份。
三、结束语
1.1金融会计规范风险
首先从客观角度上讲,目前我国金融会计理论虽然已经取得了一定的成效,但在经济全球化和金融一体化的形势下,我国市场有着太多不可估量的因素,因此我们仍然无法做到完全规避风险。在我国,会计规范过于灵活难以把握,对于一些业务行为界定不明确,这给了很多银行管理层的机会。其次,我国的会计准则目前还处于不规范阶段,与国际上的相关规定还是有很大的出入,在一些细节问题上考虑还不够全面,这也导致金融行业时常出现钻政策漏洞的现象。再次,随着网络信息化的不断深入,金融行业的衍生产品种类太多,有些甚至已经深入到虚拟市场当中,我们无法对所有产品进行及时的监控,这也导致了风险的不可避免性。
1.2.核算风险
金融会计的核算风险主要是指金融会计在企业会计实务中,因会计核算的许多环节失控带来的风险。其主要表现为:对记账凭证审查不严、没有及时进行账务处理、对账务复核监管不当、没有完善的电脑制约机制以及采取不当的核算方法而造成的资金被挪用、骗取、截留、贪污、盗窃等等的损失。这属于非故意失误,可以通过完善相关会计核算机制,通过定期审核财务资料等方法来减少其发生的概率。
1.3监督风险
金融会计在日常业务过程中除了要完成必要的记录和核算外,还要对企业的运营状况进行监督。由于制度和管理机制的不健全,很多公司存在会计执行监督不严,监督作用不明显等现象,没有对那些不合理或者不合法行为进行有效的监督。比如在金融业,很多银行追逐利益最大化,一味地追求存款规模,没有较为严谨的制度监督,时常会先预支再入账,因此企业超支的情况屡屡发生。长此以往,企业的信誉会愈来愈低,不利于企业的长期发展。
1.4信息操纵风险
信息操纵风险是目前金融会计行业最为普遍的风险之一。通常情况下,属于故意形成风险。金融会计作为特殊的角色,常常会因为自身行为不当或者为了满足一己私利,使得金融部门的会计信息存在虚假成分,并且由于相关部门不能够及时地进行风险评估,导致情况进一步地恶化,给企业和国家带来不可估量的损失。
2信息化金融会计风险出现的原因
通常来讲,金融会计风险的产生主要有两种原因,即客观原因和主观原因。由于金融市场处于重大转型期,各方面因素较为复杂,因此很难做到完全的公平管理和公平竞争,也很难做到对金融市场及时地监控,这就导致一些企业为了获利而采取不正当手段造成信息失真,进而导致金融会计风险的出现。同时,不可否认金融会计风险在一定程度上也是因为一些会计人员意志不坚定,面对诱惑无法做到公平判断。以我国金融市场为例,很多的金融会计风险都是由主观原因引起的。因此,下面通过对非故意形成的金融会计风险和故意形成的会计风险这两方面来阐述其产生的原因。
2.1非故意形成的金融会计风险产生的原因
非故意会计风险主要是指由于客观因素而引起的金融会计风险。2.1.1外部经济环境的影响随着我国社会主义市场经济的快速发展,国际经济形势将对我国的市场造成冲击,金融市场竞争日趋激烈,少数企业受利益的驱动,通过一些不正当的手段进行恶意竞争,这些手段有:低息放贷,高息揽储,或违背会计原则虚增虚减利润等,这样的违法手段不仅增大了企业的经营成本,也破坏了竞争基本原则,不可避免地产生企业金融会计风险。这类风险通常很难避免和预判,企业只能科学管理,尽量减少风险发生的可能。2.1.2金融监管模式不完善客观上讲,目前我国的金融机构管理体制还不够健全,这样会导致金融市场存在很多的隐性风险。例如,本地保护政策让金融行业存在着很多不公平公正的现象;部分金融机构内部控制机制不完善,会计信息造假等现象时有发生。[3]2.1.3内部管理模式不健全由于企业管理层对于内部控制和监督制约机制不够重视,也没有形成定期的审核财务会计资料的相应制度,从而导致会计人员工作不认真导致记错,漏记等现象。失真的会计信息将导致企业的经营活动不能实现科学化、制度化,影响了企业的健康有序发展。当然,通过严格的管理和审查制度,这类风险一般可以避免。
2.2故意形成的会计风险产生的原因
不可否认,在我国金融行业此类风险发生的概率在逐年增加,其风险的来源主要是会计人员或者管理层。在日常业务中,金融会计故意编造虚假的会计信息的原因通常有两种:①会计人员为了满足一己私利,擅自编造、伪造或者涂改会计资料,进而形成了会计风险。尤其是金融行业常常会接触比较大的资金流动,使得工作人员很难保持绝对公正。②管理层诱导会计编造虚假信息。这可能是因为一些金融机构为了稳定股价,或者是在企业财务状况出现问题时为了转移投资者视线采取这种方式。同时还有少数不良企业为了偷税漏税,进而采取造假账的方法,严重地危害了国家利益。此外,还有一些管理者为了提高自己的管理业绩,因此会授意会计人员编造虚假信息等等。金融会计所服务的不同利益群体对于会计有着不同的要求。会计工作人员无法真正做到满足各方利益,就不可避免地给一些利益群体带来一定的损失。
3信息化金融会计风险的防范与化解
3.1建立完善的内部管理和监督体制
①建立完善的内部管理体制,首先应对企业实行上下监管的管理体制,互相制约,互相监督,从而使企业具有健全的会计控制体系。若出现风险状况,会计人员能迅速反应,处理必要的金融风险,从而使金融风险不断地减少。②建立完善的监督体制,应该从制度规定和行为带头作用两方面入手。企业既需要完善的监督体制规定,也需要企业高层以身作则,互相监督,上下联动,充分发挥金融会计的监督作用。
3.2加强金融会计人员队伍建设
不仅应从法制教育和职业道德教育着手,采取多种形式和途径,让金融会计人员爱岗敬业,切实提高守法意识,能够依法办事。同时,不断完善金融会计人员的业务技术培训机制,通过多种形式的业务技能培训,不断提高其业务技能。此外,应建立针对会计人员的奖励和处罚制度,使金融会计人员自觉地将业务工作纳入有效的管理机制之中。
3.3不断完善金融企业的会计制度
十以来,我国金融领域的改革步伐明显加快,市场化脉络日渐清晰。在这样的大背景之下,金融市场将会愈来愈活跃。为了防范金融风险的发生,企业必须制定与时俱进的、完善的会计制度,确保会计在进行日常业务记录时的准确性,才能有效地规避金融风险。同时学习国外的先进理论,结合中国实际国情进行创新,审慎对待。
4综述
1.1整合资源,优化方案
通过信息化管理,电力企业可将生产、营销、人力、物资、财务等资源优化整合,消除管理中的灰色地带,使资源信息更加清晰透明,从而取得1+1大于2的效果。信息技术强大的数据分析能力与精确的计算结果,为方案选择提供可靠依据。
1.2简化流程,提高效率
信息化管理在很大程度上简化工程审批、资金划拨等繁琐冗长的业务流程。经办人利用相应办公系统申报业务,系统会自动提示涉及业务的有关部门负责人审批,且通过信息化系统,可随时了解业务的最新状态,有利于后续工作的开展。
1.3远程协助,数据共享
电力企业通过内部局域网实现数据共享与远程协助。云技术的研发为资源共享打开一扇新的大门。它拥有海量的数据承载能力,强大的可扩展性,能充分满足企业内部的信息交流。而远程协助消除时间与空间的阻碍,为应对突发事件起到至关重要的作用。
2企业信息化管理的劣势
2.1使用环境要求高
企业信息化管理以计算机网络平台为媒介,对使用环境提出了更高的要求。电源质量、室内温度等因素都会对集成电路造成影响,从而决定存储数据的完整性与可用性。黑客技术、网络攻击、病毒感染等威胁时刻觊觎企业内部信息。因此,企业必须建立完善、可靠的防御机制,以防止重要资料丢失,核心技术外泄。
2.2前期工作量大
信息化管理的前提是企业数据库建设。高质量的数据库是企业科学分析和决策管理的前提条件。电力企业体系庞大,机构繁多,涉及领域广泛,各专业相互联系,导致相应数据库建设难度也会增大。正确的数据统计、精准的信息归类要求更多的工作时间,而这必然会影响正常工作,使许多企业信息化管理半途而废。
2.3维护成本较高
随着电力企业高速发展,集团规模扩展和管理级别提升,要求信息化管理同步跟进。可实际情况往往不能满足客观要求,企业信息化管理大多以当下工作为出发点进行设计,系统上线后适用于之前的工作需要,而实际工作需要仍不断地增长。因此,就会出现频繁的软件更新、系统升级、数据库扩展等问题,导致人员培训、设备替换的成本支出增加。
3企业信息化管理存在的问题
3.1数据质量参差不齐
高质量的数据库是企业信息化管理的基础。一些单位和部门,没有以发展的眼光看待企业信息化管理,仍然固守原有的管理模式,缺少原始数据积累,不顾质量、误写瞒报,以求尽快完成工作任务,给企业数据库建设带来极大隐患,长此以往,没有牢固的基础数据做支撑,公司信息化管理将很难进行下去。
3.2人员素质有待提高
企业人员在思想观念上对信息化认识有限,应用能力和水平不足,在信息化建设中表现为徘徊观望,不能积极配合。这是由于企业很少对员工进行信息化管理方面的培训,而软件供应服务商一般很少提供培训服务,或提供的培训仅限于自己产品的应用,不能提供全面提升员工信息化素质的培训服务。
3.3刻意追求信息化
信息化管理是提升企业竞争力的有效途经,但不能因为要“信息化”而“信息化”。企业信息化涉及技术、管理、战略决策等一系列复杂问题,因此,制定科学、全面的总体规划是企业信息化建设的基础。一个系统上线,应充分论证其实用性和可行性,还要考虑地域差异及实际需求,不应只关注短期效益。刻意追求信息化,缺乏总体规划,是企业当前信息化系统应用出现的一个主要问题,其导致应用集成度低、信息孤岛、重复建设、系统互不相容等不良后果。
4企业信息化管理的对策
4.1提高意识,转变观念
企业各部门要提高对信息化管理的重视程度。电力企业各级人员都是信息化管理的直接参与者,树立信息化管理意识势在必行。各部门应清醒认识到,企业信息化管理不是面子工程,而是企业加速发展的助燃剂。通过强化意识教育、多渠道宣传等手段,纠正员工的错误认识,使其明白数据、资源信息化不是无用功。信息化是手段,管理是最终目的。突出信息化管理优势,让各级员工从根本上接受信息化管理,从而全身心投入到企业信息化建设中来。
4.2以人为本,加强建设
企业要坚持以人为本,加强职工培训,对信息化建设进行有效控制。信息化培训要以增强员工信息化意识和能力为目的,经常组织各种应用培训,从初级的日常软件应用、网络安全到企业信息化建设意义和内容,再到行业性、专业性很强的软件应用培训。真正做到人人都懂“信息化”,随手能用“信息化”。
4.3突出重点,整体规划
管理关键靠“人”。人员素质始终是关系到档案管理水平和工作效率的核心问题。提高社保档案管理信息化水平,一方面,要重点围绕《档案法》、《社会保险业务档案管理规定》等法律、规章,组织开展各种形式的教育培训活动。培养档案管理人员依法办事的法制意识和责任意识。与此同时,要认真抓好社会保险法律法规和业务经办的学习培训。由于社会保险档案是在业务经办管理服务的过程中逐步形成的,从产生到立卷、从归档到利用,整个过程都与社会保险业务经办有着密切的关系。因此,社保档案管理人员必须达到熟练掌握社会保险业务,从而实现更加科学、规范、安全的管理和应用。另一方面,要积极开展以计算机应用为主要内容的信息技术学习。作为社保档案管理人员,要继续提高计算机应用与管理创新能力。要从目前档案管理人员的素质水平出发,有计划、有侧重、分层次地培养出操作应用、系统运维和程序开发人员。在注重人员培养时,也要注重改善档案管理人员结构,更多地吸收和接纳年轻化、专业化、知识化的青年骨干力量。在尊重人才的同时更要尊重知识,从学历层次、专业结构、人员素质等方面造就一支既懂理论又懂实践、既能操作又善于创新的档案信息化管理队伍。
二、强化手段,有效运用网络电子数字技术
实现社保档案管理的信息化,才能实现社保档案资源共享,从而提升社会保险公共管理服务水平。一是通过网络、数据库技术为骨架科学管理社保档案。由于社保数据成倍增加,对数据服务器和数据库的稳定性和业务处理的速度及数据存储能力和安全性的要求越来越高。在选择设备和软件时可以选择技术成熟厂商的产品。例如IBM小型机和其自主研发的AIX6.0操作系统。数据库可选择DB2数据库或oralce数据库。数据存储可以采用SAN或NAS等方式。在门户网站和数据服务器之间要设置防火墙,做好访问策略以保证数据的安全。二是利用通信设备和网络技术,能够方便、快捷地提供服务,供参保群众查询,辅助领导决策,实现社会的有效监督。使用信息化技术后,可以极大地提高工作效率,为推动社会保险事业进步提供极大的技术支持。在社会保险档案现有电子设备、网络设备的基础上进行改造,与社会保险经办业务系统共享资源,能够极大地降低改造成本,提供更加详实、有效的信息。在开发系统时要适应社会的发展,尤其在当今社会移动网络的全面覆盖,wifi设备广泛使用及4G移动网络技术的不断成熟,使手机、iPAD等移动终端设备可以随时随地访问互联网查询资料。档案管理机构更应与时俱进在原有门户网站的基础上开发适应苹果OSX和Android系统的手机、iPAD等移动设备的应用查询程序。三是通过社会保险经办机构门户网站,增加相应的栏目来介绍社会保险档案工作,提供参保单位和个人方便查询档案信息的界面,使参保单位和个人及时了解自己的参保情况、档案信息的记载。同时网站开发时也适应手机、iPAD等移动设备用户的访问需求。在网站的建设中相应地考虑到档案信息的共享,提升社会保险经办机构服务社会、服务参保群众的能力,并且为其他政府部门提供信息支持。
三、注重细节,不断研究新情况,解决新问题
【论文关键词】农业信息化水平;波拉特法;凉山州
1引言
凉山彝族自治州幅员辽阔,资源富集,极具开发潜力与发展潜力,在四川少数民族地区经济发展中具有重要地位。而农业作为凉山州的主要产业,因地理位置和基础设施条件落后的原因,仍然停留在较为传统的发展层面上。面对全球信息化的浪潮和国家西部大开发战略的深入实施,如何利用农业信息化建设来进一步优化凉山州农业资源配置,进而推动凉山州农业和经济的整体发展;如何评价和测定凉山州农业信息化的发展水平,找出差距以及科学预测农业信息化未来的发展趋势已成为当前急需研究的重要课题。
此前,国内对凉山州农业与农村经济发展的研究方向主要集中在资源利用、民族文化开发等领域,对凉山州农业信息化建设及农业信息化水平的测度研究近乎空白。而这恰好是当前和今后凉山州经济发展所需面临的现实问题。为此,研究凉山州的农业信息化的发展水平,找出差距以及科学预测农业信息化未来的发展趋势无论从宏观上还是微观上都会给凉山州及四川省其他少数民族地区的经济发展带来长远的利益。
农业信息化作为社会信息化的一个重要组成部分,要对其水平进行测度,完全可利用测度社会信息化水平的方法。但由于现行国民经济统计指标和统计方法是面向物质经济的,信息和信息活动的贡献被分散在各产业部门和活动领域,没有独立的分项统计数据。因此,在此主要运用波拉特法,先找出农业中的第一、第二信息部门,然后再计算出农业第一、第二信息部门的产值以及农业信息部门产值占农业总产值的比重,从而测算出凉山州农业信息化的水平。
2基于波拉特法测度凉山州农业信息化水平
2.1农业第一信息部门产值的测算
首先,运用波拉特方法识别并选择出农业信息行业构成,接下来就是具体测算出农业第一信息部门的增加值。我国现有的统计资料对很多行业的具体产值和数据并没有独立列项分类统计,为此,要对农业第一信息部门中各行业所创造的国内生产总值(增加值)进行统计归纳,即认为农业第一信息部门中只有农林牧渔服务业完全属于农业,其他的像科学研究和综合技术服务业、教育文化艺术及,播电影电视业和邮电通信业等不只是为农业服务,所以要计算它们所创造的GDP,就可以把农林牧渔服务业的增加值完全归人到农业第一信息部门,而科学研究和综合技术服务业、教育文化艺术及广播电影电视业、邮电通信业为农业服务的那部分产值则要利用其总产值乘以一个相关系数。这个相关系数的确定主要依据农业总值(某一年)与当年国内生产总值之比。这样就可以计算出2001—2005年凉山州农业第一信息部门的产值(见表1)。
2-2农业第二信息部门产值的测算
在测算第二信息部门产对,采用如下公式来计算
第二信息部门增加值=第二信息部门的信息劳动者收入+第二信息部门的固定资产折旧值
=第二信息部门信息劳动者人数×(人均工资+人均固定资产折旧值)
式中:第二信息部门信息劳动者的收人为各行业平均工资与各信息职业的人数乘积之和。
根据《四川统计年鉴)(2001年),确定各信息职业的就业人数,即以2001年的就业人数为基准保持不变,从而计算出2001~2005年凉山州农业第二信息部门信息劳动者的收人(见表2和表3)。
接下来计算农业第二信息部门固定资产折旧,由于已经知道了农业第二信息部门信息劳动者的人数,在此,只需算出所测各年人均农业固定资产折旧。
由2005年《凉山彝族自治州统计年鉴》可知,2004年农业固定资产折旧为9060万元,2005年农业固定资产折旧为34051万元,2001、2002年和2003年的农业固定资产折旧资料无法查得,所以采用2004年的数据。在农业行业分布的职业者在业人数为1925300人,则可行2005年人均固定资产折旧为176.86元,2001~2004年人均固定资产折旧为47.06元。
农业第二信息部门的就业总人数为2063800人,由此可得农业第二信息部门固定资产折旧,见表4。
至此,农业第二信息部门所创造的增加值即可由农业第二信息部门的信息劳动者收人和农业第二信息部门的固定资产折旧值相加而得(见表5)。
2.3凉山州农业信息化水平的测度结果
根据波拉特的“国民生产总值比重法”,可以得出农业信息部门的产值占农业产值的比重(见表6),
这是反映我国农业信息化水平的一个重要指标。同时,也在一定程度上反映了凉山州农业信息化的发展状况。
3结论与讨论
论文关键词:金融信息系统金融信息化信息安全安全模型
1.我国金融信息化的产生和发展
中国的金融电子化建设开始于20世纪70年代,在80年代中期,由中国人民银行牵头成立了金融系统电子化领导小组,经过大量的调查研究,制定了金融电子化建设规划和远期发展目标;‘六五’做准备,‘七五’打基础,‘八五’上规模,‘九五’基本实现电子化。在最近的二三十年,我国的金融电子化建设经历了重要的、具有历史意义的四个发展阶段:第一阶段,大约70年代末到80年代,银行的储蓄、对公等业务以计算机处理代替手工操作;第二阶段,大约从80年代到90年代中,逐步完成银行业务的联网处理;第三阶段,大约从90年代初到90年代末,实现全国范围的银行计算机处理联网,互联互通,支付清算和业务管理、办公逐步实现计算机处理;第四阶段,从现在开始,完成业务的集中处理,利用互联网技术与环境,加快金融创新,逐步开拓网上金融服务,包括网上银行、网上支付等。科学技术是第一生产力。当人类走进21世纪时,步入了以网络、信息技术为特征的知识经济时代。在这一发展机遇面前,我国金融业也同时面临着加入世界贸易组织后更广阔的市场和来自发达国家同行业更严竣的竞争压力。金融信息化是我国金融业的必然选择。金融行业是国民经济的重要组成部分,是现代市场经济的核心,金融信息化是国家信息化中至关重要的、不可缺少的一环。金融信息化既是金融业本身为提高其竞争能力、降低经营成本、提高服务质量以应对日益激烈的市场竞争的内在要求,同时也是悦务、海关、贸易和电子商务等国民经济信息化的基础。金融信息化不仅实现了业务处理自动化和办公自动化、经营网络化,更进一步为监管电子化、管理和决策的科学化提供强有力的支持,同时也是金融服务创新、制度创新坚实的技术基础。
2金触信息系统的安全
安全是金融信息系统的生命。在金融信息系统日益发展,信息越来越向上集中,规模越来越大,金融业对它的依赖性不断增加的同时,金融信息化系统安全的重要性也与日俱增。它关系到金融机构的生存和经营的成败,所以,应把金融信息化系统的安全视同资金的安全一样,看作是金融机构的生命。金融信息系统的安全不仅是金融行业本身的问题,它与我国的经济安全、社会安全和国家安全紧密相连,是保障金融业稳定发展、增强竞争力和生存能力的重要组成部分,金融信息系统的安全已成为我国金融信息化建设中具有战略意义的关键问题。
据英国PA咨询集团公司调查,在20世纪末的5年中,电脑诈骗每年使英国银行损失40-50亿英镑,美国每年因计算机犯罪造成银行损失也多达55亿美元,德国银行每年因此损失约50亿美元。在我国,自从1986年7月发生首例金融计算机犯罪以来,发案率逐年上升,给银行造成了巨大的损失。仅1997,1998两年,四家国有商业银行就发生了141起计算机犯罪案件,涉案人员166人,涉案金额16129万元,造成经济损失5853万元。朱铭基同志在扬州发生的一起利用遥控发射装置浸入银行电脑系统,盗取巨款的案件报告上批示:“这是一个信号,我们的银行家要抓电脑技术,不能落在犯罪分子的后面’。
2.1信息系统面临的威胁和攻击手段
信息安全从技术上讲,有如下几方面的含义:保密性、完整性、可用性、真实性、不可抵赖性、可控性。金融信息系统是一个网络环境下的计算机系统,它处理的对象是信息。信息资源具有先天的脆弱性,系统中存储的信息密度极高,信息的可访问性、信息的聚生性、系统工作时产生电磁辐射、磁性介质的剩磁效应等都使系统中的信息面临着安全风险。概括而言,金融信息系统面的威协主要有三种形式:通信过程中面临的威协、存储过程中面临的威胁和处理过程中面临的威协。对金融信息系统的攻击手段主要有窃取、推断绒分析(属于被动攻击)、冒充、墓改、重放和病毒(属于主动攻击)。
2.2信息安全技术
2.2.1密码技术。密码技术是信息安全技术的核心。要保证信息系统中信息的保密性,使用密码对其加密是最有效的办法;要保证信息的完整性同样可以使用密码技术实施数字签名,进行身份认证,通过对信息进行完整性校验来实现;保障信息系统和信息为授权者所用,利用密码进行系统登录管理,存取授权管理是有效的办法;保证电子信息系统的可控性也可以有效地利用密码和密钥管理来实施。
1949年Shannon发表了《保密系统的通信理论》,引起了密码学的一场革命,从而使密码真正成为一门科学。密码学(Crypto-graphy)是通信技术、计算机技术和应用数学之间的边缘学科,数学和计算机科学是其重要的工具,涉及到数论、信息论、算法复杂性理论等学科分支。保密系统的Shannon模型如图l所示。
70年代中期,在安全保密研究中出现了两个引人注目的事件:一是D}ffe和Hellman发表了《密码学的新方向》,冲破人们长期以来一直沿用的单钥体制,提出一种崭新的密码体制,即公开密码体制。该体制可使发信者和收信者之间无须事先交换密钥就可建立起保密通信。二是美国国家标准局(NBS)于1977年正式公布实施了美国数据加密标准(DES)。公开密码体制的出现是现代密码学研究的一项重大突破,它的主要优点是可以适应网络开放性的使用环境,密钥管理相对简单,可以方便、安全地实现数字签名和认证。对称密码体制下比较著名的算法有IBM公司开发的DES算法及其各种变形(如Tri讨eDES等)、欧洲的IDEA算法、LOKI,RCA,RCS等;公开密码体制下比较著名的算法有RSA算法、背包密码,Diffe一Hellman}ElGamal算法等等。与通信安全保密相比,计算机安全保密具有更广泛的内容,涉及计算机硬件、软件以及所处理数据等的安全和保密。除了沿用通信安全保密的理论、方法和技术外,计算机安全保密有自己独特的内容,并构成自己的研究体系。在计算机安全保密研究中,主体(subject)和客体(object)是两个重要概念,保护客体的安全、限制主体的权限构成了存取控制的主题。信息系统的安全保密相对于通信安全保密和计算机安全保密而言处在一个更高的层次,它涵盖了通信安全保密和计算机安全保密的所有内容,把整个系统的安全保密作为其目标。金融信息系统因其自身高机密性和高风险性的特点,不同于一般的信息系统,而类似于军事系统,有极高的安全保密需求。
2.2.2访问控制技术。限制主体的权限,防止非授权主体对客体的越权访问是访问控制的主要内容。存取控制的研究内容涉及到存取控制模型、存取控制策略、存取控制机制、存取控制的实现等。存取控制是建立在用户识别的基础上的,系统通过唯一标识符验证用户的合法性.决定是否允许用户进入系统。认证总是要求用户提供足够能证明他身份的特殊信息,这些信息是保密的,可以采用单向加密算法加密后保存在系统中。口令机制是一种简便易行的认证手段,但比较脆弱。生物技术是一种比较有前途的方法,如视网膜、指纹等,但限于技术条件,目前还不能广泛采用。信息系统中存在大量的主体和客体。主体与客体关系如何表示,主体对客体的存取权限如何获取,是存取控制研究中的两个基本问题。系统中所有主体与客体之间的相互关系构成存取控制数据库。主体、客体、存取控制数据库、存取控制策略之间的关系构成存取控制基本模型。
存歇控制策略决定存取控制的水平。存取控制策略研究权限分配原则、方法和约束。等级授权方式是最常见的权力分配方式,根据权力分配细则,由安全专家根据一定的制度和规范制定。
权力分配原则则涉及一些誉遍适用的存取陀制策略:。.最小授权策略(leastprivilegepolicy),即只给主体授予执行任务所必须的最小仅力;b.最小泄露策略(leaseexposurepolicy),按需知(needtoknow)原则给主体完成任务所必须知道的那部分保密信息,得到信息的主体要承担信息保护的责任;;c.多级安全策略(multilevelsecuritypolicy),将主体和客体都进行分级,除了对主体对客体的访问权限进行规定外,还对主体对客体促使信息的流向加以控制。存取控制模型如图2所示。
自主访问控制(DAC)是一种最替扁的访问控制方式,在自主访问控制下,用户可以按自己的意愿对系统参数进行适当的修改,以决定哪些用户可以存取其文件。自主访问控制是安全操作系统需要具有的最基本的访问控制机制,对于军事鱿金融系统,它的访问控制能力尚嫌不足。自主访问控制不能抵御特洛伊木马、电子欺骗(Spoof),黑客(Hacker)的攻击。这样就产生了强制访问控制(MAC)。
所谓强制访问控制,就是系统中主体和客体的安全属性(存即类)是由系统安全管理员按照严格的规则进行分配的,用户和用户程序不能修改系统中确定的安全属性,就是客体的所有者也不能修改。强制访问控制增强了系统的安全性。金融信息系统是一个网络信息系统,为了保证其安全性,有必要提供一种网络访问控制手段。防火墙技术就是一种用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的资源不被破坏,避免内部网络的敏感数据被窃取的系统,它能增强机构内部网络的安全性。防火墙实际上是一种访问控制规则,它无法完全保护系统免受来自外部网络的攻击,另外,它对来自系统内部的攻击无能为力。
VPN(虚拟专用网)是一种为处于不同地点的两个分公司网络通过不安全的公共网络Inteme:建立可靠连接的技术。VPN所用的隧道技术就是用某种协议(如PPTP,IPsec等)建立双方通信隧道,将内部网所用协议和数据封装在IP包中,对隧道中传送的包进行加密/解密。VPN能从很大程度上解决网络面临不安全因素的威胁,作为远程用户利用公用网络接入公司内部网络的较简单的一种接入技术,现在正越来越体现出其价值。
2.2.3漏洞扫描和入浸检测技术。漏洞扫描与网络安全评佑紧密相关,其主要目的是先于入浸者发现安全漏洞并及时弥补,从而进行安全防护,是一种‘事前’(攻击发生前)防护手段。由于网络环境比较复杂,一般利用工具来进行漏洞检查,针对网络层、操作系统层、数据库层、应用系统层多个层面上进行。因为网络是动态变化的,所以漏洞扫描与评沽应该定期执行;入侵检测则是对网络活动和系统事件进行实时监控,检查是否有来自网络内部和外部的入浸。入浸检测强调时间连续性,是一种事中.防护手段。网络是动态变化的,所以应该不断跟踪分析黑客行为和手法,研究网络和系统的安全漏洞,提高漏洞扫描水平和入浸位测水平。
2.2.4响应和恢复技术。任何一个信息系统无论采取了多么先进、复杂的安全技术,也不可能保证系统是绝对安全的,响应和恢复技术就是在系统遭到入侵或破坏的时候,如何把损失降到最低程度,并在最短的时间内将系统恢复正常。响应和恢复技术是一种‘事后’防护手段。
2.2.5审计技术。审计类似机上的“黑匣子.,利用系统运行日志,对系统进行事故原因查询、定位,为事故发生后的处理提供详细可靠的依据戴支持,是一种‘事后’的补充防护手段。
2.2.6病毒防治技术。病毒防治技术是研究在网络环境下,如何及时识别、发现病毒,如何强化系统对病毒的免疫能力,以及如何消灭病毒,减轻戴完全消除病毒对系统的危害。
2.3安全模型金融信息系统的安全是一个系统工程,不仅与信息系统的安全技术有关,同时也与国家的法律与法规、金融行业的管理及其制度建设幽切相关。安全技术在金融信息系统安全中起着重要的作用,但决不能过分依赖信息安全技术,安全技术只是信息系统安全的基础,安全管理则是金融信息系统安全的关键。
在研究信息系统安全的过程中,人们建立了不同的信息系统安全模型。其中,P2DR充分考虑了信息系统随时间而不断改变的动态性,建立在基于时间的安全理论之上,并且体现了闭环控制的思想,是具有代表性的信息系统安全模型(如图3所示)。
P2DR是Policy(安全策略)、Protection(防护)、Detection(检测)和Response晌应)的缩写。安全策略是P2DR安全模型的核心,所有的防护、检测、晌应都是依据安全策略实施的。保护通常是通过采用一些传统的静态安全技术及方法来实现的,主要有防火墙、加密、认证等方法。在P2DR模型,检测是非常重要的一个环节,检测是动态晌应和加强防护的依据,它也是强制落实安全策略的有力工具,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈及时做出有效的晌应。紧急晌应在安全系统中占有最重要的地位,是解决安全潜在性最有效的办法。从某种意义上讲,安全问题就是要解决紧急晌应和异常处理问题。要解决好紧急晌应问题,就要制汀好紧急晌应的方案,做好紧急晌应方案中的一切准备工作。
P2DR模型有自己的理论体系,有数学模型作为其论述基础—基于时间的安全理论。该理论认为,信息安全相关的所有活动都要消耗时间,因此可以用时间来衡里一个体系的安全性和安全能力。P2DR模型可以用一些典型的数学公式来表达安全的要求:
公式1:Pt>Dt+Rt
Pt代表系统的防护时间,续者理解为在安全措施保护下,黑客(入浸者)攻击目标所花费的时间;Dt代表从入浸者开始发动入浸开始,系统能够检测到入浸行为所花费的时间;Rt代表从发现入浸行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间;那么,如果上述数学公式满足—防护时间大于检测时间加上响应时间,也就是在入浸者危害安全目标之前就能够被检测到并及时处理。
公式2:Et=Dt+Rt,如果Pt=0
公式2的前提是假设防护时间为0。这种假设对WebServer这样的系统可以成立。Dt代表从入浸者破坏了安全目标系统开始,系统能够检测到破坏行为所花费的时间。Rt代表从发现遭到破坏开始,系统能够做出足够的晌应,将系统调整到正常状态的时间。那么,Dt与Rt的和就是该安全目标系统的暴露时间Et针对于需要保护的安全目标,如果Et越小系统就越安全。
通过上面两个公式的描述,实际上给出了安全一个全新的定义:‘及时的检测和晌应就是安全,“及时的检测和恢复就是安全.P2DR模型阐述了这样一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和晌应时间。
3发展、深化金融信息化建设.保障信息安全