云安全规范范例(3篇)
云安全规范范文
2013年,我国累计已有30多个省市出台了云计算战略规划、行动方案或实施工程。广东省制定《广东省云计算发展规划(2013―2022年)》,厦门市印发《闽台云计算产业示范区总体规划(2013―2022年)》,天津提出重点发展“六云”(云感知、云计算、云存储、云安全、云方案、云灾备)产业。北京、上海、深圳、杭州等率先开展云计算建设的城市经过3年的前期探索,已在技术、产品、基础设施建设方面取得一定成果,将进入产业攻坚阶段,加速关键技术突破,推进云计算在各行业、各领域应用。同时,一批二、三线城市也启动云计算发展计划,开展基础设施建设与行业应用,我国云计算布局正在展开。
随着云计算产品服务不断创新、应用加速落地,企业和个人用户数迅猛增长。亚马逊、IBM、微软等跨国企业的公有云服务纷纷抢夺我国市场。微软云服务Azure在上线半个月内就获得金蝶软件、观致汽车、人人网、PPTV和蓝汛通信等本土客户,观致汽车将其QorosQloud业务除移动客户端以外的所有开发、测试工作都放在WindowsAzure云端完成。国内以百度、腾讯、阿里巴巴为代表的互联网企业,华为、中兴、用友等传统软硬件企业,以及其他云服务提供商继续开拓云计算领域,国内市场竞争愈加激烈。百度、腾讯、奇虎等企业的云服务平台用户均已超过1亿,阿里和金蝶云服务支持的中小企业数量超过70万家。
发展契机
自云计算概念引入以来,在国内一直处于技术发展和概念推广期。综合各方面的判断,“十三五”时期,云计算产业将进入成熟发展期,云计算市场和产业规模将高速增长。具体表现为:
云计算市场需求趋旺。首先,我国网民数已突破6亿,他们所产生的庞大数据量和对信息实时交互、存储的需求,将推动公共云计算获得更大的发展。包括互联网公司、电信运营商在内的越来越多地企业都开始进军公共云计算领域;其次,大型企业对于私有云计算平台的建设热情高涨,其数据中心更多的采用虚拟化技术和自动化管理软件;再次,我国中小企业众多,这些企业信息化程度不高,云计算模式降低了信息化管理成本,这也是云计算市场强有力的增长点。
云计算产业布局趋于合理。各地从产业、区域市场及市场参与者类型出发,制定产业政策和发展措施,选择产业链中有影响力的产业环节作为发展重点,构建示范性应用。对于IT资源过剩的地区进行资源整合,对于IT资源不足的地区进行新建扩建,盲目投资和重复建设的风险逐步降低,产业布局将日趋合理。
云计算相关标准不断完善。一方面,跨国公司主导了云计算国际标准的制定。国内企业和机构通过开展云计算标准的交流和研讨,必将有更多企业和机构直接参与国际标准的制定;另一方面,由于大力倡导自主知识产权,不断有行业领军企业参与国家标准的制定,云计算国家标准体系正逐步建立。
云计算应用需求成为信息基础设施建设的重要出发点。为避免网络成为云计算发展的瓶颈,各地会充分考虑云计算应用需求,重点解决网络速度和可靠性问题。同时,将整合自动化、虚拟化、安全以及绿色节能等技术,统筹规划大规模数据中心的布局和建设,为云计算市场提供有力保障。
云计算关键技术不断突破。首先,依托国家实验室、产业基地和公共服务平台,大型企业可以独立或联合高校、科研院所组建研发机构,承担云计算关键技术的研发任务,发挥示范引领作用;其次,各地设立的科技专项和产业基金,将更好地支撑云计算基础技术和共性技术的研发;再次,越来越多的企业走出国门进行国际交流与合作,广泛利用开源等技术条件,引进云计算技术和服务理念并二次创新,增强本土企业在云计算产业中的核心竞争力。
云计算法规日益健全。我国将不断完善和制定法律法规,保护网络数据、个人隐私和知识产权。在行业管理制度建立方面,云安全、云可靠性和市场准入机制将进一步细化,对云计算服务提供商的基础资源情况、运维能力、安全资质、信用水平等各方面的要求会越来越严格。通过制度和标准,确保云服务提供商确保客户数据的安全。
行业影响
对企业信息化模式的影响。降低企业信息化成本。企业无需再购买繁杂的IT设备,只需要通过互联网远程应用等软件,就可以实现信息化管理。在使用费用上,用户只需每月支付一定的租金。就可以租用这些软件和服务,服务功能还会不断增加。降低企业信息基础设施的投资风险。当企业把应用程序部署到“云”中时,可扩展性和基础设施等问题也就转移给了云服务提供商。企业需求可以得到快速回应,在企业定制好需求以后,云服务商会选择相应的成熟模块,快速地部署实施。中小企业的信息化程度将会提升,应用云计算以后,中小企业只需支付非常低的租金就可以使用与大中型企业相当的资源。
对软件业和电子商务的影响。云计算给传统软件产业带来根本性变化。云计算将省略传统软件复杂的购买和安装程序,其所有应用和许可都可以随时购买生效,并通过网络完成软件服务等应用,无需占用本地过多的资源。同时,云计算也打破了绑定在某一个单独机器上的对软件应用空间和时间的限制,所有应用需要的计算能力、存储、带宽、电力等都由数据中心提供。云计算将助推电子商务的发展,云计算的应用降低了企业电子商务的运营成本,电子商务系统以及后台的维护支持等任务将由云计算运营商承担。
对互联网服务业的影响。更多资源将从用户端走向“云”端,互联网的“端到端”理念面临巨大挑战。互联网将提供更多层次的服务;云计算应用后,用户软件的购买、维护和升级等工作都由云计算运营商去完成。软件厂商会因此而将各类业务转移至云计算平台,建有大型云计算数据中心的运营商将有偿提供计算及存储资源服务。服务成本将明显降低,通过云技术,将多个低端服务器组合成集群,就可以实现与大型服务器相同的功能,而商业成本将大大降低。联网监管模式将随之转变,云计算的出现打破了地域的概念,资源的跨地域存储与本地化监管之间的矛盾将进一步凸显。对此,互联网监管必须在不同地域之间做好资源存储、资源共享和网络安全等方面的协调工作。
南京对策
明确云计算产业发展思路。首先,应加强关于云计算发展战略和产业布局的研究,提出我市云计算应用和云计算产业的总体发展思路,确定云计算发展不同阶段的战略步骤;其次,研究借鉴美日等发达国家的经验,总结国内城市、各大企业探索云计算应用的经验和做法,在充分调研的基础上,制定“十三五”市云计算产业的发展规划和行动指南,为云计算应用发展建立一个良好的市场预期和政策环境。
按照云计算应用需要,加强信息基础设施建设。首先,应提高互联网带宽、网速和安全性。“十三五”将是云计算产业的成熟发展期,此阶段的特征是产业规模迅速扩大,这必将对网络速度和可靠性提出更高的要求。要进一步加强网络基础设施建设,尤其是下一代宽带互联网的建设,评估云计算发展带来的网络带宽和可靠性要求,力求布局网络基础设施建设时以满足云计算应用需求为前提。其次,在规划基础设施建设时,应统筹考虑全市统一的大规模数据中心的建设和布局,基于云计算技术建设整合虚拟化、自动化、广域数据加速、安全以及绿色节能的新一代数据中心,为云计算市场提供有力支撑。全市的电信运营商和大型电商应逐步开放云计算服务,同时注意区域布局问题,避免不必要的重复建设。
多措并举确保“云安全”。首先,在国家法律框架内,制定云计算安全规范,明确各方责任。明确云服务提供商与用户的责任和义务,并以安全规范为指导确定云服务的合同范本。用户与服务商签订协议,具体规定详细的责任条款及承担的后果。其次,建立云计算安全审计制度。应建立审计标准和制度,定期对云服务提供商进行安全评估,以提高服务商内部操作的透明度,保证其可靠性。审计目的在于通过第三方验证来确保、促使云服务供应商对客户数据提供保护。对审计的结果应该予以公示,不符合审计标准的厂商应停业整顿。再次,支持本地云计算企业的发展。目前,大型跨国公司仍然掌握着云计算领域的核心技术和设备制造能力。出于国家安全的长远考虑,一方面,要积极参与国际合作,广泛利用开源等产业技术条件,建立自主可控的核心技术体系,在实现技术自主的基础上进一步做大做强。另一方面,在核心环节,扶持具备关键技术能力与产业优势的企业,发挥积极的示范与导向作用。可以考虑以产业环节的骨干企业为主体,建立南京地区云计算产业联盟,通过上下游产业的相互协调、相互带动,提高本市云计算厂商的制造和服务能力。
支持云计算关键技术研发。依托南京高校和科研院所的优势,加强对云计算相关的虚拟化技术、分布式存储、分布式计算等关键基础技术、共性技术的研发。建立云计算的国家实验室和产业技术公共服务平台,承担云计算关键技术研发的任务,并向产业界扩散。鼓励有条件的软件企业独立或联合高校、科研院所组建研发机构,从事云计算关键技术的研究。鼓励企业加强国际交流与合作,对云计算技术引进、消化、吸收、再创新,在商业化使用的基础上,逐步掌握云计算领域的关键技术,实现技术和服务模式的同步创新。
积极参与制定国家标准。位于南京江宁开发区的曙光云计算产业基地项目一期投资约为1亿元,计算规模达到50万亿次/秒,存储规模达到200T,同步进行的二期“南京云计算中心”的计算规模将提升至300万亿次/秒,存储规模达到500T,并且3年内云计算中心计算规模将扩展至千万亿次/秒,存储达到1P。全市要以云计算产业基地、中科院数据云东南节点暨江宁开发区云数据中心等建设为契机,积极开展云计算国际标准研讨交流,争取与国际机构对等交流,直接参与国际标准和国家标准的制定。同时,大力提倡自主知识产权标准的制定,在云计算的国家标准体系赢得话语权。
云安全规范范文
“《安全生产法》已经由过去经济法的范畴提高到社会管理法的范畴,安全生产工作也已提升到维护社会稳定的重要位置。《安全生产法》要真正体现以人为本,科学发展,安全发展。”在谈到《安全生产法》修正的原因时,国家安全监管总局政法司副司长邬燕云如是说。
谈到《安全生产法》修正要达到哪些目的,邬燕云概括说,就是要对原法律中比较原则的规定进行细化,增加可操作性,对难以执行的地方进行补充完善,同时将近年来安全生产工作中的一些好的、行之有效的经验做法以及方针政策等进行制度化、法定化,通过法律的形式加以明确和规范,使各级政府、企业、中介机构、从业人员在安全生产工作中都有法可依。
《安全生产法》修正原因和目的都已讲清楚,具体细节在《安全生产法》中如何体现的呢?邬燕云对照《安全生产法》修正案的征求意见稿,着重讲解了一些重要条款的修正依据和作用。
高危行业趋完善
“这次《安全生产法》修正案的征求意见稿中,将冶金、轨道交通运营、危化品运输企业纳入高危企业的范畴,要求这些企业同矿山、建筑施工、危化品生产、经营、储存企业一样,设立安全生产机构或者配备专职安全生产管理人员。这一条款是根据近几年来安全生产出现的新问题进行补充完善的。”邬燕云说,“这是对高危企业加强安全管理提出明确要求,补充一点重要信息是从业人员在300人以下的,可以委托注册安全工程师提供安全生产管理服务。当然,注册安全工程师的管理办法由国务院安全生产监督管理部门和人力资源社会保障部门共同制定。”
为加强建设项目安全管理,预防和减少生产安全事故,国家安全监管总局根据有关法律法规并结合《国务院关于进一步加强企业安全生产工作的通知》等要求,制定过《建设项目安全设施“三同时”监督管理暂行办法》。邬燕云分析说,这次《安全生产法》修正案的征求意见稿中,对“三同时”制度做了进一步完善,不仅是矿山、冶金、危化品生产、储存建设项目,其他安全风险较大的建设项目,也需进行安全条件论证,并且经具有国家规定资质的机构进行的安全预评价才有效。除矿山、冶金等高危企业的建设项目继续执行现行的安全设施设计审查和竣工验收外,同时在安全风险较大的建设项目安全设施设计、竣工验收环节,增加了安全生产监督管理部门或者其他部门进行抽查的条款,加大安全督察的力度。从建设项目的安全预评价到安全设施的设计、施工、竣工,相当于形成“四道关口”,提升“三同时”制度的法律效力。
邬燕云还指出,根据近几年安全生产领域出现的新的事故倾向,《安全生产法》修正案的征求意见稿中将危险作业的范围由过去的爆破、吊装扩展到地下挖掘、临近高压输电线路或油气管道作业和其他类别,其他危险作业通过目录形式加以规定,具体目录由国务院安全生产监督管理部门会同国务院有关部门确定,既增加可操作性,又便于及时调整补充。对于危险作业,企业要安排专人进行现场安全管理。此外,将近几年国家推进的事故隐患排查治理制度、安全生产标准化建设等有效促进安全生产工作的手段在《安全生产法》修正案中加以明确,督促企业落实安全生产的主体责任,达到“预防为主”的目的。
热点问题有规范
“安全生产费用”在《安全生产法》修正案的征求意见稿中首次被明确提出,邬燕云介绍说,这是从法律层面强调企业要重视安全生产投入,让企业有章可循。《安全生产法》对安全投入作出原则性的规范,具体实施办法可见国家安全监管总局2012年2月出台的《企业安全生产费用提取和使用管理办法》,里面详细规定了企业应该如何提取、使用安全费用,解决很多企业保障安全生产投入的问题。
《安全生产法》修正案的征求意见稿中新增一条关于“安全生产责任保险”的规定。对此,邬燕云解释说,国家安全监管总局倡导在高危行业推行“安全生产责任保险”,以用于赔偿因生产安全事故造成的第三方伤害、死亡事故,如外来人员、穿过人员,或生产安全事故抢险救援、事故调查等。因为本单位的员工若出事故,有工伤保险等社会保障系统按程序解决,而第三方人员就比较麻烦,让企业参加安全生产责任保险则可降低这方面的风险。邬燕云还举例说,河南、湖南有一些小的烟花爆竹企业,往往一出事故,整个企业没人承担救援、抢险、事故处理等工作,需要政府垫资处理,如果造成周围群众的伤亡,更无法承担相应赔偿。如果参加安全生产责任保险,风险就容易控制些。就好比财产保险一样,若家里着火什么都没有了,之前加入财产保险,就会有保险机构给赔偿。邬燕云又说,对这个问题还存在不同看法,专家之间有争议,有的认为安全生产责任保险属于商业险,不宜纳入法律强制实行,有的认为安全生产责任保险仅在局部地区试点,不宜法律明确,但是从降低高危行业安全生产风险的角度考虑,这项制度还是很好的,最起码可以朝这个方向引导。
劳务派遣用工形式在近些年越来越普遍,许多企业为节约用工成本纷纷采用这一形式,随之而出现一些高危行业岗位劳务派遣工人的工伤或其他事故。邬燕云说,抛开同工不同酬的问题,单从安全角度讲,很多从事风险岗位的劳务派遣工人没有经过基本的安全培训,不懂安全知识,不熟悉操作技能,用工企业没有进行安全培训,劳务派遣公司也没有能力进行安全培训,就容易发生事故。针对这些情况,《安全生产法》修正案的征求意见稿中也做出相应规定,即被派遣劳动者享有和从业人员同样的权利、义务。《安全生产法》作为基础法,对劳务派遣用工作出原则性规范,也便于与地方安全生产条例相衔接。邬燕云认为,《北京市安全生产条例》对劳务派遣用工作了较好的规定,要求劳务派遣单位应当对劳务派遣人员进行必要的安全生产教育和培训;用工单位应当对劳务派遣人员进行岗位安全操作规程和安全操作技能的教育和培训。这样明确派遣公司和用工企业双方的职责,有利于保障劳务派遣人员的安全。
云安全规范范文篇3
关键词:大数据时代;会计信息化;云会计
目前,随着经济的高速发展和科学技术的快速进步,我国经历了农业社会、工业社会和信息社会,现在步入了大数据时代,大数据时代不仅使人们的生活更为便捷,而且对会计信息化效率的提升有重要作用。大数据具有海量资料的含义,可以从规模巨大的数据资料中以较快的速度选取出对企业有用的信息,并且可以应用在任何行业,其发展趋势是大数据与云计算的深度融合。基于大数据时代的会计信息化是指通过对会计行业内相关从业人员的工作信息进行收集、整理和分类,使工作人员能方便快捷的获取到所需信息,云计算的出现也为会计信息化未来的深度发展提供了支持。通过将会计行业的工作相关资料信息化,并上传到会计信息化的共享平台上,向其他工作人员分享,有利于实现资源的最佳利用。大数据为会计信息化创造了共享平台,降低了成本,提高了效率,但同时也使会计信息化的发展面临一些风险。
一、基于大数据时代的会计信息化风险因素
网络会计信息化系统属于特殊的信息处理系统,除了具有一般的信息系统的安全特征,还有自己特殊的安全特点。基于大数据时代的会计信息化风险因素主要包括共享平台建设滞后、存在身份认证和数据加密的安全漏洞以及会计信息化标准与法规不完善等。
1.会计信息化共享平台建设滞后
信息化成功建设的关键在于共享平台,只有依托共享平台才能实现资源的共享。会计信息化的建设同样也需要共享平台,在云会计的实际应用和发展中就需要云计算平台的支撑。对于云计算的供应商来说,需要提供能够满足不同企业用户的服务,因此要对用户需求进行综合分析,进行大量的前期准备工作,从而对于所提供的服务的适应性、灵活性和扩展性和需要运用的技术要求较高,因而云计算平台建设的起点也较高。相比国外先进的云计算平台,如谷歌、Facebook、亚马逊等,我国刚起步研发的会计信息化云计算平台还不够成熟,并且产品的推广力度不够,建设滞后,因此云会计这种新型会计信息化的发展面临巨大障碍。
2.会计信息化共享平台存在安全隐患
从统计资料中可以得到,从安全性的角度出发,大约有70%的企业不愿在公有云中放上自己的会计与经济数据,这是由于在网络会计信息系统中目前还存在两大安全隐患:身份认证和数据加密。在目前的身份认证中,我国常采用的方式为用户名和密码方式,这种方式相比其他的认证方式,设置较为简单,因此安全系数低,在实际的应用中,容易被木马程序或监听设备等病毒截获。在数据加密技术中,我国相关技术还不成熟,软件开发商在数据密钥模块的开发中,设置过于简单,如果没有对数据进行加密,则数据在互联网中传输容易出现安全性问题。如果企业最为机密的核心财务数据遭黑客盗窃、篡改,或是被意外泄露给非相关人员,这对企业无疑是致命的。
3.会计信息化标准和法规不够完善
基于大数据时代的会计信息化的标准是技术的统一规范,只有拥有统一的技术标准和一体化的协调机制才能促进技术的应用和推广,使整个市场及产业井井有条。2010年XBRL技术规范系列国家标准和XBRL通用分类标准的,代表我国会计信息化标准的起步,物联网技术标准体系建设还任重道远。此外,我国在信息安全立法建设方面也进度缓慢,还没有出台《信息安全法》,这种现象表明我国的金融创新明显领先于网络信息的金融监管,监管出现了滞后。相关立法的缺失使企业在遇到数据被盗取等合法权益被侵犯时,无法在现有法律框架内获得权益保护,这也是阻碍当前云会计等新型会计信息化发展的重要障碍。
二、基于大数据时代的会计信息化风险防范
1.加快会计信息化共享平台的建设
针对我国会计信息化共享平台建设滞后的现状,政府应做好牵线工作,加快会计信息化共享平台的建设,具体来说,可以通过整合各行业资源进行联合开发、设立专项工程和示范工程这三种路径。整合各行业资源主要是针对国内企业技术和资金状况薄弱的现状,政府集结各企业的技术、资金、人力资源联合开发云计算平台,以降低云计算平台开发难度及成本。设立云计算重大专项工程通过加大云计算平台的建设投入,加以优惠政策,以鼓励企业积极自主建设云计算平台。云计算平台示范工程是云计算平台的样板,可以为各企业的资助研发提供参考和借鉴。在云会计平台建设过程中应注意防范会计信息系统与企业现行使用的ERP和BI等其他信息系统不能有效融合,即“新信息孤岛”的现象。为此,在实现会计信息化系统与ERP的融合时,必须打破过去会计系统的传统功能局限,以财务会计工作为核心,形成基于云计算的ERP,使企业信息一体化得以实现。在会计系统与BI的集成实现中,应逐步添加基于云计算的功能与服务,以实现BI系统的见效快、风险小、可个性定制的特性。因而会计管理可以借助共享平台,通过建立人工智能系统和专家系统,并利用神经元网络和决策树等先进技术,实现会计系统的高端应用。
2.建立会计信息化的安全防护体系
云计算的安全和可靠对于企业是否采用基于云计算处理的会计核心运用模式有决定性的作用,因此云计算服务商必须加强云计算应用安全。对于会计信息化共享平台存在安全隐患的问题,可以从以下三个方面着手进行解决,首先是加强身份认证和安全管理,云计算财务平台可以根据操作人员的身份对其设置不同的权限及权限的组合,形成全方位的防控机制,还可以通过密钥管理技术,对企业存放于云中的数据进行加密处理,以防止不相关人员看到数据,这个密钥由企业来掌管。其次是加强数据的加密工作,可从虚拟机软件方面着手进行防护,通过虚拟机软件对一个运行在完全隔离环境中的、具有完整硬件系统功能的计算机系统进行模拟,并构建虚拟化的安全网关,以对数据存储和运输的安全进行高度保障。再次是加强数据备份工作,云会计服务的供应商可以通过数据的每日正常备份和异地备份来应对企业的历史数据在系统出现异常情况时,还能够及时进行恢复,以防止重要财务信息丢失。并通过建立妥善的数据恢复性测试制度,定期进行数据恢复性测试,保证使用云会计的企业的关键财务信息的准确性和完整性。
3.完善会计信息化系统标准和法律法规
我国云会计的发展目前还刚刚起步,云会计相关标准和法规的出台对提高云会计在企业中的认同度是十分有利的,因此对会计信息化系统制定标准刻不容缓,以使其实现健康良性的发展和运行。为此,首先应根据我国具体的云会计市场发展现状,并结合发达国家的经验制定初步的云会计标准,再根据我国云会计接下来的发展和变化进行修订,形成产业规范,之后以此为基础加快国家层面的信息安全立法步伐,规范云会计市场,完善我国信息安全法律体系。其次要规范云会计服务运营商的资质建立,设立适当门槛,筛选出诚信高和技术强的供应商,这样既能够对数据库安全进行保障,而且有利于创造良好的云会计竞争市场环境。再次,在云会计产业规范和服务运营商资质规范建立的同时,第三方监管机构的成立也是不容忽视的,监管机构不仅要承担定期审查有资质的云会计服务供应商的运营情况,针对审查中发现的问题进行监督整改,并取消不合格运营行为的服务商的资质,还要积极组织服务商的后续教育,为其普及云技术的风险。
总之,大数据时代的到来推动了云会计的发展,使会计信息化发生了实质性的变革,但是基于大数据的会计信息化也存在不少的风险,政府和企业应及时应对,制定相应的风险防范措施,使会计信息化能健康稳定的发展。
参考文献:
[1]彭超然.大数据时代下会计信息化的风险因素及防范措施[J].财政研究,2014(04).
