由於審計職業的特殊性,審計人員經常出差到異地辦公,筆記本電腦成為審計人員隨身攜帶的必備工具;筆記本數據的安全已經成為審計人員實現計算機數據安全的關鍵。筆者從“硬件”、“軟件”、“系統”三個方面談談如何實現計算機數據的安全。對於筆記本電腦,要整體制定壹個集體安全計劃。至於個人,要根據自身條件區別對待,但都要包括防盜、防系統崩潰、防黑客攻擊和病毒感染、數據備份。
認證和加密等。
首先,要把“軟”環境放在安全意識的首位。
從軟件和相關配置來說,是電腦操作人員最關心的事情,也是與之關系最密切的。審計人員的筆記本電腦應配備BIOS引導密碼和硬盤密碼,重要數據應采用加密軟件保護。除此之外,還應安裝殺毒和防火墻軟件,或將機密數據保存在移動硬盤、u盤或刻錄到光盤等存儲介質上進行備份,以防不測。應特別註意以下幾個方面:
(a)從壹開始,檢查筆記本電腦的安全性能是否完整。其中要設置開機密碼,開機密碼要經常不定期更換。
(2)如有可能,設置硬盤鎖密碼,確保筆記本電腦中存儲的重要數據在被盜後不會落入他人之手。筆記本電腦大多使用密碼機制來為數據提供基本的保護措施,所以最簡單的措施就是設置開機密碼。但是只設置開機密碼並不能保證數據的安全,因為小偷可以把硬盤取出拿到另壹臺電腦上讀取原始數據,所以他要設置硬盤鎖密碼,這樣筆記本電腦每次開機都必須用密碼解密硬盤,所以即使小偷把硬盤插到另壹臺電腦上也很難讀取原始數據。
(3)筆記本電腦使用的操作系統應具有良好的穩定性,同時應使用具有安全防護性能的操作系統。筆記本最好安裝Windows2000作為操作系統平臺。
,並將分區設置為NTFS格式,然後設置登錄密碼,不使用時確保處於預登錄狀態,防止他人竊取筆記本電腦上的機密信息。
(四)筆記本電腦中存儲的重要文件受到加密保護。由於竊賊攻擊和破壞手段的不斷發展,僅僅依靠密碼不足以防止有經驗的竊賊擦除系統配置信息(包括密碼),然後入侵系統獲取存儲在其中的機密信息。因此,要有效保護筆記本電腦中存儲的機密數據的安全,最好使用磁盤加密程序,如ISS Limited生產的iProtect,至少對最重要的數據采取上述保護措施(當然,不要加密所有對象,這樣會降低電腦性能)。
(5)經常備份數據,以防筆記本電腦丟失。為了防止意外,筆記本電腦上的數據要備份,這樣即使筆記本電腦丟失,信息也不會丟失,損失降到最低。
(6)使用數據恢復軟件,減少誤刪造成的影響。建議同時使用Final Data 2.0 2.0或以上版本,重要數據要全部刪除,市面上有很多相關軟件。另外,很多新的殺毒軟件也有上述功能,可以探索使用。
第二,硬件是實現數據安全的捷徑。
如有可能,可以考慮通過購買相關硬件來提高審計人員筆記本電腦的整體安全性、防盜性和防泄露性。其中電腦防盜鎖簡單實用,成為首選。電腦防盜鎖是專門為保護電腦而設計的。通常筆記本電腦上有壹個橢圓形的防盜鎖孔叫“安全槽”,旁邊有鎖的標誌。這是肯辛頓公司的專利標誌,現在已經成為計算機行業的標準。
目前市場上主流的筆記本產品,PDA,投影儀等等都有這種防盜鎖孔。我們常見的筆記本電腦防盜鎖有線纜鎖和按鈕鎖。繩鎖相對便宜耐用,按鈕鎖功能多但價格較高。
如果審計人員經常在人員密集的地方使用筆記本電腦,存在意外泄露的可能,會對電腦數據的安全造成壹定的威脅,可以選擇防泄露過濾器。這是壹個黑色的塑料屏幕。用膠帶粘在液晶屏上後,只有筆記本前面的人才能看到屏幕上的內容,旁邊的人只能看到黑屏,防止信息泄露。對於高級用戶,除上述措施外,建議購買帶有安全解決方案、IC智能卡、指紋識別系統等產品。
當然,移動辦公的安全防護是壹個系統工程,是壹個體系,既包括信息在存儲過程中的安全防護,也包括信息在傳輸和流通過程中的安全防護。僅針對移動辦公中筆記本電腦的信息安全,就有很多方面需要進壹步關註。
三、安全意識必須通過制度和相應的規則來規範。
信息安全在於確保信息的機密性、完整性和可用性不被破壞。目前,我國的信息安全管理主要依靠傳統的管理方法和技術手段。傳統的管理模式缺乏現代系統管理思想,往往不適合管理現代信息,技術手段也有其局限性。國際公認的保護信息安全最有效的方法是采用系統化的方法(管理+技術),即確定信息安全管理的方針和範圍,在風險分析的基礎上選擇合適的控制目標和方法進行控制。我們在制定部門信息安全制度或規則時,可以具體考慮學習BS7799。BS7799是英國標準協會(簡稱BSI)制定的信息安全管理體系標準,包括兩部分。第壹部分《信息安全管理實施規則》已於2000年底被國際標準化組織(ISO)納入世界標準,編號為ISO/IEC17799。
BS7799涵蓋了所有的信息安全問題,如安全策略的制定、責任的歸屬、風險評估、安全參數和訪問控制的定義和加強,甚至反病毒相關策略,其中對信息安全尤其是計算機數據安全有明確的規定。BS7799已經成為國際公認的信息安全實施標準,適用於各種行業和組織。
審計人員應重視安全教育。
,提高安全意識。計算機安全預防措施必須基於法律法規。