審計人員如何實現計算機數據的安全

現代社會發展對信息的依賴越來越大，沒有各種信息的支持，社會就不能前進和發展。審計作為利用信息繁多的職業，使其已經成為各級審計機關、社會中介機構的一種重要資產，必須加以妥善保護。具體涉及到審計人員，信息資產安全的概念往往就是計算機數據的安全，而如何實現計算機數據的安全是審計人員面臨的刻不容緩的重要任務。

由于審計職業的特殊性，審計人員往往經常出差到異地工作，筆記本電腦已經成為審計人員隨身攜帶的必備工具；筆記本數據的安全又成為審計人員實現計算機數據安全的關鍵。筆者從“硬件”、“軟件”以及“制度”三方面談談如何實現計算機數據的安全。筆記本電腦，應從整體上制訂集體的安全方案，至于個人應根據自身的情況加以區別，但都應包括防盜、防止系統崩潰、防止黑客攻擊和病毒感染以及數據備份，認證加密等。

一、“軟”環境應放在安全意識的首位

從軟件以及相關配置方面，是電腦操作者最關注的事，也是與其最密切相關的。審計人員的筆記本電腦應設置BIOS開機密碼、硬盤密碼，并且使用加密軟件對重要數據進行加密保護外，還要安裝防病毒和防火墻軟件，或者將機密數據保存在移動硬盤、U盤或者刻錄到光盤等存儲介質上加以備份，以防不測。具體應注意以下幾方面：

（一）從開機開始，檢查筆記本電腦的安全保護性能是否完備。這其中又應設置開機密碼，且開機密碼應經常更換和無規律可循。

（二）如有可能要設置硬盤鎖定密碼，確保筆記本電腦被盜后其中所存儲的重要數據不會落入他人之手。大多數筆記本電腦采用密碼機制對數據提供基本的保護措施，所以，最簡單的措施是設置開機密碼。但只設置開機密碼還不能保證數據的安全性，因為竊密人可以將硬盤拆卸下來拿到另外一臺計算機上讀取原始數據，所以還要設置硬盤鎖定密碼，這樣，該筆記本電腦在每次啟動時都必須使用密碼對硬盤解密，這樣一來即使竊密人將硬盤拔插到另一臺計算機上也很難讀取原始數據。

（三）筆記本電腦所使用的操作系統應具有較好的穩定性，同時應使用具有安全防護性能的操作系統，最好在筆記本上安裝WINDOWS2000作為操作系統平臺，并將分區設置為NTFS格式，然后設置登錄密碼，并確保在不使用時處于登錄前狀態，以防止他人乘機竊取筆記本電腦上的機密信息。

（四）對筆記本電腦中所存儲的重要文件采用加密存放的方式進行保護。由于盜竊者攻擊破壞手段的不斷發展，僅僅依靠密碼并不足以阻止經驗豐富的竊密人擦除系統配置信息（包括密碼在內），而后侵入系統，進而獲取其中存放的機密信息。所以，要切實保護筆記本電腦中存儲的機密數據的安全，最好使用磁盤加密程序，如ISS LIMITED公司出品的IPROTECT，至少對于最重要的數據要采取以上保護措施（當然也不要對所有對象都加密，這樣會降低計算機性能）。

（五）時常進行數據備份，以防在萬一丟失筆記本電腦的情況下減小損失。為預防意外，應對筆記本電腦上的數據存有備份，這樣即使筆記本電腦丟失，仍能保證信息不至于丟失，將損失降至最低。

（六）使用數據恢復軟件，減少誤刪除所帶來的影響，建議使用FINAL DATA2.0以上版本。同時對于重要數據要作到徹底的刪除，市場上相關軟件也較多，另外新版的殺毒軟件有許多也擁有上述功能，可以加以發掘使用。

二、硬件方面是實現數據安全的捷徑

如果可能，可以考慮通過購買相關的硬件提高審計人員筆記本電腦整體的安全性，防盜和防泄密。其中電腦防盜鎖簡單實用，成為首選。電腦防盜鎖是專門為保護電腦而設計的。通常筆記本電腦身上都會有一個被稱為“SECURITY SLOT（安全接口）”的橢圓形防盜鎖孔，旁邊有一個鎖形標志，這是KENSINGTON公司的專利標志，現在已經成為電腦業界的標準，目前市場上主流的筆記本產品、PDA、投影儀等都有這種防盜鎖孔。我們常用的筆記本電腦用的防盜鎖孔有線纜鎖和扣式鎖兩種。線纜相對比較便宜且耐用，扣式鎖功能較多但價格較高。

如果審計人員經常在人多的場所使用筆記本電腦，存在向外泄密的可能性，會對計算機數據的安全帶來一定的威脅，可以選配防泄密濾鏡。他是一塊暗色的塑料屏幕，將他用膠帶粘在液晶屏后就只有筆記本正前方的人才能看見屏幕上的內容，而旁邊的人只看見黑屏，從而防止了信息泄密。對于高級用戶，除了上述措施外，建議選購帶有安全解決方案、IC智能卡、指紋識別系統等產品。

當然，移動辦公的安全防護是一個系統工程，也是一個體系，不但包含信息在存儲過程中的安全保護，還包括信息在傳輸流轉過程中的安全防護問題，單是針對移動辦公中的筆記本電腦的信息安全問題，也有很多方面還需要進一步引起重視。

三、安全意思必須通過制度和相應的規則上加以規范

信息安全在于保證信息的保密性、完整性、可用性三種屬性不被破壞。目前，我國的信息安全管理主要依靠傳統的管理方式與技術手段來實現，傳統的管理模式缺乏現代的系統管理思想，用于管理現代信息往往不適用，而技術手段又有局限性。保護信息安全，國際公認最有效的方式是采用系統的方式（管理+技術），即確定信息安全管理方針和范圍，在風險分析的基礎上選擇適宜的控制目標與方式來進行控制。我們在制訂部門信息安全制度或規則時，具體可以考慮具體研究BS7799。BS7799是英國標準協會（BRITISH STANDARDS INSTITUTION，簡稱BSI）制訂的信息安全管理體系標準，它還包括兩部門，其第一部分《信息安全管理實施規則》于2000年底已經被國際標準化組織（ISO）納入世界標準，編號為ISO／IEC17799。

BS7799廣泛地涵蓋了所有的信息安全議題，如安全方針的制定、責任的歸屬、風險的評估、定義與強化安全參數及訪問控制，甚至包含防病毒的相關策略等，其中對于信息安全，特別是計算機數據安全有明確的規定。BS7799已經成為國際公認的信息安全實施標準，適用于各種產業與組織。

審計人員要重視安全的教育，提高安全防范意識。計算機保密防范必須以法律法規為依據。目前我國已有《保密法》、《計算機信息系統安全保護條例》和《計算機信息網絡國際聯網管理暫行規定》等，按照規定和要求，做好計算機的保密防范工作，努力實現計算機數據的安全。

（作者單位：廣昌縣審計局）