基于网络的会计信息系统安全分析与策略(2)
2016-01-12 01:06
导读:四、网络会计信息系统的安全配置 网络会计信息系统安全应从初始阶段做好规划,考虑相应的物理隔离措施,遵循系***立成网的原则,遵循不同的系统不
四、网络会计信息系统的安全配置
网络会计信息系统安全应从初始阶段做好规划,考虑相应的物理隔离措施,遵循系***立成网的原则,遵循不同的系统不直接相联。不同安全级别的系统不直接相联的原则。对于不同部分间的网络会计信息分系统,可以通过专用网络实现联接。信息治理类系统网络与互联网、外部网络应采用防火墙及进侵检测系统,以保障系统的高度安全性。这样,就可以加大系统的安全,保证生产、治理各项工作正常有序进行。
(一)物理隔离
网络会计信息系统应该遵循独立成网的原则。不同的系统安全需求级别也不同。因此不能直接相联。即使是与企业生产运营直接相关的信息系统,一般也不能直接相联。如有必要联结,必须采用防火墙及进侵检测系统,以保证各个系统的安全。对于相同类型的会计分系统,可以通过专用局域网实现互联,这样可以满足安全性、高速率、可靠性的要求。由于它们对安全的要求高,不答应出现安全题目。
(二)网络安全设置
在网络会计信息系统与Internet的边界应安装防火墙装置,实施相应的安全策略控制。另外,假如对外网提供信息查询等,就要在访问关键服务器进行一定的控制。可以把对外公然服务器作为一个专门的子网,设置防火墙来控制访问。尽管配置了防火墙,但还有漏洞,如:防火墙敞开的后门可能被进侵者寻找到、防火墙内可能也存在进侵者等,弥补的措施是采用进侵检测系统来提供实时的防护手段。网络会计信息系统系统中威胁最大的安全题目是病毒,建立全方位的病毒防范系统是网络系统安全建设的重要方面。
(三)系统自身安全治理
要使整个网络会计信息系统充分发挥作用,在重视各分系统间的网络与数据交换安全的同时,也要留意每一个分系统内自身的安全。对于一个网络会计信息系统而言,有特定的使用人群与维护、治理职员。不同的人群。不能有相同的授权,所以,相应的身份检查是非常必要的。可以采用用户授权与认证的方式。网络的权限控制是针对网络非法操纵所提出的一种安全保护措施。用户和用户组被赋予一定的权限。根据访问权限将用户分为特权用户(即系统治理员)、一般用户,系统治理员根据他们的实际需要为他们分配操纵权限、审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。 五、系统安全策略的具体实施
(转载自http://zw.NSEaC.com科教作文网) (一)身份认证的实施
身份认证是指被认证对象向系统出示自己身份证实的过程,通常是获得系统服务所必须的第一道关卡。身份认证需要证实的是实体本身,而不是消息认证那样证实其正当性、完整性。身份认证的过程一般会涉及两方面的内容:识别和验证。识别,就是要对系统中的每个正当注册的用户具有识别能力,要保证识别的有效性,必须保证任意两个不同的用户都不能具有相同的标识符。验证是指访问者声明自己的身份后,系统还必须对声称的身份进行验证。标识符可以是非秘密的,而验证信息必须是秘密的。身份认证与密码技术密不可分。在实际认证过程中可采取如口令、密钥、智能卡或指纹等方法来验证主体的身份。在广义的网络普遍采取CA(CertificateAuthority),即证书授权。在网络中,所有客户的证书都由授权中心即CA中心分发,该证书内含公然密钥,每一个客户都拥有一个属于自己的私密密钥对应于证书,同时公然密钥加密信息必须用对应的私密密钥来解密。数字签名是公然密钥加密技术的一类应用。主要有基于CA(CertificateAuthority)的身份认证机制、基于DCE/Kerberos的身份认证机制。
(二)防火墙的设置
防火墙是一种计算机硬件和软件的组合,使不可信任的外界网络与可信任的内部网络之间建立起一个安全网关,从而保护网络会计信息系统内部网免受非法用户的侵进。防火墙不是对每台主机系统进行保护,而是对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏蔽,保护网络的信息和结构。固然防火墙技术实现了一些访问控制功能,但仍有很多缺憾,它对计算机病毒在内的数据的攻击缺少很好的防范措施,降低了网络的通讯速率,并且也没有从根本上解决整个网络上传输信息的安全题目,一般来说,网络会计信息系统中,在同Internet的连接中已经设置了一道防火墙,但是该防火墙仅仅提供了系统同Internet连接之间的访问控制,在一定程度上防止了Internet用户对系统的危害。而在这样的防火墙的保护下,整个网络会计信息系统的内部网络用户都可以毫无穷制地访问该系统的服务器群、数据库服务器和数据库处理服务器。这样的防火墙保护显然是无法达到该系统的安全要求的。
