四、 建立数据安全机制的一些相关策略
1、保证数据质量
首先,数据质量是信息的生命,保证数据安全的前提首先是要保证数据质量,而数据质量要从数据产生的源头抓起,因此在信息进入计算机系统之前,就应采用诸如表格式设计、编码设计、指标设计、校验检查、用户核对等数据控制技术来保证数据的质量,因为错误的数据进入计算机系统后,产出的还是错误的、无价值的数据,所以首先必须严把数据质量关。
2、形成数据管理的长效机制
保证数据安全,要从如下几个方面着手做好建立数据安全机制的工作。首先,一个单位对于其关键数据,需要借鉴银行业以风险监管为核心的原则,即内部控制的核心原则,实现财务、业务、资金的三集中管理。可采用双人审核、自动凭证生成、电子对帐、财务结算等技术措施,由自身掌管政策和数据,由银行完成货币操作。
其次,是规范流程,约束操作。数据维护,是需要强化管理的基础性工作,要通过建立严格的数据维护制度,来实现对数据的全面管理,确保数据资源的持续发展和可利用。当需要对关键信息进行维护时,必须经业务部门人员审核、单位负责人审批后,由专人进行维护,并及时建立数据维护信息台帐,按月形成月报上报到相关部门备案。
再有,是加强客户监督。凡是具有与银行、保险、证券交易所有类似业务的行业,可采用客户审核的方式保证数据安全,即借鉴银行、保险、证券交易所等给客户打印对帐单的方式,让客户协助监督数据安全,客户出于保护自己权益的原则,也会对账目进行仔细审核。此外,还可以采用邮寄、网上查询等多种方式让客户对数据进行核查。
3、加强对用户权限的控制
对生产区用户权限的控制,指对在生产区内进行操作的各级业务、财务人员权限的分配和控制,这是在生产系统中保证数据安全的重要措施之一。权限的分配应采用层层负责制,在本单位所属的各级机构指定专人负责权限的分配,核心部门的系统管理员负责创建下级机构系统管理员的用户,并分配初始密码,一般人员的初始账户由本级系统管理员统一创建,并分级建立用户档案。
用户初次登录时,应有强制性修改本级帐户密码的程序措施,各级管理员应相对固定,如该系统管理员无法继续从事本级系统管理员工作时,应与接替人员对照账户文档,现场核对帐户及当时的用户信息,检查无误后方可进行工作交接,接替人员应立即变更本级系统管理员密码及账户信息。
生产区的用户身份认证系统要具有充分的完备性和应用性,即具备所有必须的组件,并满足所有的业务要求,能与业务应用紧密组合。用户权限应在准确理解各项操作的基础上,经测试成功后再赋予直接用户,设置中应避免权限重叠和相互抵触、交叉、及嵌套的情况发生。对于具有特殊的或个别修改权限人员帐户的设置,应仅对专门的部门或人员进行,并定期审计其操作记录。当有人员调离或岗位变更的情况发生时,应立即删除相应用户。
4、采用相关安全套件强化用户登录检验
除了由所执行的应用程序来进行用户的合法性校验和权限核准外,还可采用相关的辅助手段和工具对用户登录系统做强制认证,例如采用域控制作为用户登录网络的第一级审验,可进一步提高了网络登录的安全性,从而提高核心数据的安全性。目前已有很多公司推出了身份管理、网络准入控制的解决方案以及相关技术产品,有的甚至是基于SOA的、可以热插拔的形式嵌入在应用系统之中,它们的核心都是对接入系统的终端用户进行合法性、完整性检查以及权限的控制,以增加系统的安全性、可用性,并可对进入网络的用户实施高效、集中的监控、管理和审计。
5、建立和加强法规遵从
2002年,在安然事件后的一片混乱中,美国颁布了萨班斯-奥克斯利法案(Sarbanes-Oxley Act,简称“萨班斯法案”)。该法案对美国商业界以至IT界影响巨大,从此也产生了法规遵从的概念和实践。萨班斯法案是一部涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律,其基本目标是:遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者的利益。萨班斯法案为公司的外部审计师创建了一个新的监督体制,并把对财务报告的内部控制作为关注的具体内容,不仅要求管理层报告公司对财务报告的内部控制,而且要求外部审计师证实管理层所披露报告的准确性。
为了识别管理层对财务报告所作的相关认定,审计师需审核每个重要账户潜在的错报、漏报及产生原因,而公司在对财务报告做出确认时往往需要借助于IT系统,所以审计师要同时评价公司IT系统的性质、使用状况以及复杂程度,如IT系统中是否有一套为财务报告的建立和维持而应具备的内部控制结构和流程,影响财务报告的记录是否可能被毁坏、更改或弄虚作假,因此对IT系统提出了更高的要求,而数据的安全和保护在这个内部控制结构中扮演着关键角色。
前车之鉴,我国目前从中央各部委到地方各行业,也在积极制定相关的法律法规,以促进各重要企业和部门建立健全起有效的内控机制和管理制度,以进行更严格监管和审计,促进国民经济平稳有序的健康发展,数据的安全保护也将进入有法可依、有规可从的新阶段。
