本站原创现代社会发展对信息的依赖越来越大,没有各种信息的支持,社会就不能前进和发展.审计作为利用信息繁多的职业,使其已经成为各级审计机关、社会相似度检测机构的一种重要资产,必须加以妥善保护.具体涉及到审计人员,信息资产安全的概念往往就是计算机数据的安全,而如何实现计算机数据的安全是审计人员面临的刻不容缓的重要任务.
由于审计职业的特殊性,审计人员往往经常出差到异地工作,笔记本电脑已经成为审计人员随身携带的必备工具;笔记本数据的安全又成为审计人员实现计算机数据安全的关键.笔者从“硬件”、“软件”以及“制度”三方面谈谈如何实现计算机数据的安全.笔记本电脑,应从整体上制订集体的安全方案,至于个人应根据自身的情况加以区别,但都应包括防盗、防止系统崩溃、防止攻击和病毒感染以及数据备份,认证加密等.
一、“软”环境应放在安全意识的首位
从软件以及相关配置方面,是电脑操作者最关注的事,也是与其最密切相关的.审计人员的笔记本电脑应设置BIOS开机、硬盘,并且使用加密软件对重要数据进行加密保护外,还要安装防病毒和防火墙软件,或者将机密数据保存在移动硬盘、U盘或者刻录到光盘等存储介质上加以备份,以防不测.具体应注意以下几方面:
(一)从开机开始,检查笔记本电脑的安全保护性能是否完备.这其中又应设置开机,且开机应经常更换和无规律可循.
(二)如有可能要设置硬盘锁定,确保笔记本电脑被盗后其中所存储的重要数据不会落入他人之手.大多数笔记本电脑采用机制对数据提供基本的保护措施,所以,最简单的措施是设置开机.但只设置开机还不能保证数据的安全性,因为窃密人可以将硬盘拆卸下来拿到另外一台计算机上读取原始数据,所以还要设置硬盘锁定,这样,该笔记本电脑在每次启动时都必须使用对硬盘解密,这样一来即使窃密人将硬盘拔插到另一台计算机上也很难读取原始数据.
(三)笔记本电脑所使用的操作系统应具有较好的稳定性,同时应使用具有安全防护性能的操作系统,最好在笔记本上安装WINDOWS2000作为操作系统平台,并将分区设置为NTFS格式,然后设置登录,并确保在不使用时处于登录前状态,以防止他人乘机窃取笔记本电脑上的机密信息.
(四)对笔记本电脑中所存储的重要文件采用加密存放的方式进行保护.由于盗窃者攻击破坏手段的不断发展,仅仅依靠并不足以阻止经验丰富的窃密人擦除系统配置信息(包括在内),而后侵入系统,进而获取其中存放的机密信息.所以,要切实保护笔记本电脑中存储的机密数据的安全,最好使用磁盘加密程序,如ISS LIMITED公司出品的IPROTECT,至少对于最重要的数据要采取以上保护措施(当然也不要对所有对象都加密,这样会降低计算机性能).
(五)时常进行数据备份,以防在万一丢失笔记本电脑的情况下减小损失.为预防意外,应对笔记本电脑上的数据存有备份,这样即使笔记本电脑丢失,仍能保证信息不至于丢失,将损失降至最低.
(六)使用数据恢复软件,减少误删除所带来的影响,建议使用FINAL DATA2.0以上版本.同时对于重要数据要作到彻底的删除,市场上相关软件也较多,另外新版的杀毒软件有许多也拥有上述功能,可以加以发掘使用.
二、硬件方面是实现数据安全的捷径
如果可能,可以考虑通过购写相关的硬件提高审计人员笔记本电脑整体的安全性,防盗和防泄密.其中电脑防盗锁简单实用,成为首选.电脑防盗锁是专门为保护电脑而设计的.通常笔记本电脑身上都会有一个被称为“SECURITY SLOT(安全接口)”的椭圆形防盗锁孔,旁边有一个锁形标志,这是KENSINGTON公司的专利标志,现在已经成为电脑业界的标准,目前市场上主流的笔记本产品、PDA、投影仪等都有这种防盗锁孔.我们常用的笔记本电脑用的防盗锁孔有线缆锁和扣式锁两种.线缆相对比较便宜且耐用,扣式锁功能较多但较高.
如果审计人员经常在人多的场所使用笔记本电脑,存在向外泄密的可能性,会对计算机数据的安全带来一定的威胁,可以选配防泄密滤镜.他是一块暗色的塑料屏幕,将他用胶带粘在液晶屏后就只有笔记本正前方的人才能看见屏幕上的内容,而旁边的人只看见黑屏,从而防止了信息泄密.对于高级用户,除了上述措施外,建议选购带有安全解决方案、IC智能卡、指纹识别系统等产品.
当然,移动办公的安全防护是一个系统工程,也是一个体系,不但包含信息在存储过程中的安全保护,还包括信息在传输流转过程中的安全防护问题,单是针对移动办公中的笔记本电脑的信息安全问题,也有很多方面还需要进一步引起重视.
三、安全意思必须通过制度和相应的规则上加以规范
信息安全在于保证信息的保密性、完整性、可用性三种属性不被破坏.目前,我国的信息安全管理主要依靠传统的管理方式与技术手段来实现,传统的管理模式缺乏现代的系统管理思想,用于管理现代信息往往不适用,而技术手段又有局限性.保护信息安全,国际公认最有效的方式是采用系统的方式(管理+技术),即确定信息安全管理方针和范围,在风险分析的基础上选择适宜的控制目标与方式来进行控制.我们在制订部门信息安全制度或规则时,具体可以考虑具体研究BS7799.BS7799是英国标准协会(BRITISH STANDARDS INSTITUTION,简称BSI)制订的信息安全管理体系标准,它还包括两部门,其第一部分《信息安全管理实施规则》于2000年底已经被国际标准化组织(ISO)纳入世界标准,编号为ISO/IEC17799.
BS7799广泛地涵盖了所有的信息安全议题,如安全方针的制定、责任的归属、风险的评估、定义与强化安全参数及访问控制,甚至包含防病毒的相关策略等,其中对于信息安全,特别是计算机数据安全有明确的规定.BS7799已经成为国际公认的信息安全实施标准,适用于各种产业与组织.
审计人员要重视安全的教育,提高安全防范意识.计算机保密防范必须以法律法规为依据.目前我国已有《保密法》、《计算机信息系统安全保护条例》和《计算机信息网络国际联网管理暂行规定》等,按照规定和要求,做好计算机的保密防范工作,努力实现计算机数据的安全.
(作者单位:广昌县审计局)