開(kāi)篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感�����,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)安全有效性評(píng)估��,希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友��,陪伴您不斷探索和進(jìn)步��。
第1篇
【關(guān)鍵詞】網(wǎng)絡(luò) 安全預(yù)測(cè) 方法 信息處理
計(jì)算機(jī)的日常基本運(yùn)作離不開(kāi)網(wǎng)絡(luò)�����,但隨著互聯(lián)網(wǎng)的不斷發(fā)展��,網(wǎng)絡(luò)環(huán)境存在巨大的安全隱患����,傳統(tǒng)的網(wǎng)絡(luò)安全保護(hù)方式像入侵檢測(cè)系統(tǒng)����、防火墻等,已經(jīng)不能再滿足用戶的網(wǎng)絡(luò)安全防護(hù)需求�����。目前�����,網(wǎng)絡(luò)安全勢(shì)態(tài)預(yù)測(cè)方法是最受關(guān)注的問(wèn)題,引起眾多學(xué)者的激烈探討,不少學(xué)者已經(jīng)對(duì)此展開(kāi)研究,提出了眾多的網(wǎng)絡(luò)安全勢(shì)態(tài)預(yù)測(cè)方法�����,為改善網(wǎng)絡(luò)安全問(wèn)題做出了巨大的貢獻(xiàn)��。
1 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法的概述
網(wǎng)絡(luò)安全勢(shì)態(tài)預(yù)測(cè)方法主要是指查找潛在的網(wǎng)絡(luò)安全問(wèn)題��,并收集與這些問(wèn)題相關(guān)的信息,在此基礎(chǔ)上運(yùn)用相關(guān)經(jīng)驗(yàn)進(jìn)行分析����,以數(shù)學(xué)模型計(jì)算作為輔助����,預(yù)測(cè)網(wǎng)絡(luò)安全問(wèn)題產(chǎn)生的原因和發(fā)展趨勢(shì)��,為網(wǎng)絡(luò)安全管理提供準(zhǔn)確無(wú)誤的數(shù)據(jù)信息����。網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)具有復(fù)雜性和層次性兩大特點(diǎn)�����。
2 準(zhǔn)確的數(shù)據(jù)是網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的前提
數(shù)據(jù)信息整合的概念最早起源于20世紀(jì)中期的傳感器觀測(cè)�����,主要是指依照時(shí)序及時(shí)記錄傳感器觀測(cè)所顯示的數(shù)據(jù)信息,再將這些數(shù)據(jù)信息根據(jù)一定的準(zhǔn)則,通過(guò)計(jì)算機(jī)的基本技術(shù)進(jìn)行運(yùn)算,將計(jì)算結(jié)果進(jìn)行分類匯總,從而實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估和預(yù)測(cè)��。在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的過(guò)程中會(huì)出現(xiàn)許多數(shù)據(jù)��,因此��,在確保預(yù)測(cè)方法正確的前提下,需要確保數(shù)據(jù)的準(zhǔn)確性�����。確保數(shù)據(jù)的準(zhǔn)確性則需要人們掌握較高的數(shù)學(xué)模型使用能力和網(wǎng)絡(luò)模型能力�����。通常采用整合數(shù)據(jù)信息和挖掘數(shù)據(jù)信息等方式預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)����,從而提高網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)數(shù)據(jù)的精準(zhǔn)性和科學(xué)性�����。然而��,由于數(shù)據(jù)信息整合的概念使用角度和使用領(lǐng)域的不同,存在較大的差別,因此�����,目前對(duì)于數(shù)據(jù)信息的整合目前還沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)����。
3 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的系統(tǒng)框架結(jié)構(gòu)
網(wǎng)絡(luò)安全勢(shì)態(tài)預(yù)測(cè)的系統(tǒng)框架結(jié)構(gòu)主要包括數(shù)據(jù)采集、評(píng)估數(shù)據(jù)庫(kù)����、網(wǎng)絡(luò)安全勢(shì)態(tài)評(píng)估三大部分�����。數(shù)據(jù)采集是指收集網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)中具有重要意義的數(shù)據(jù)����,主要包括兩個(gè)部分:第一,網(wǎng)絡(luò)節(jié)點(diǎn)信息��。網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)需要評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)����,評(píng)估過(guò)程中的網(wǎng)絡(luò)安全態(tài)勢(shì)理論性較強(qiáng),需要以網(wǎng)絡(luò)節(jié)點(diǎn)實(shí)時(shí)性為依據(jù)進(jìn)行修改����。第二�����,IDS報(bào)警日志的信息。IDS的信息有眾多具有攻擊性的網(wǎng)絡(luò)信息�����,是網(wǎng)絡(luò)安全態(tài)勢(shì)的重要監(jiān)測(cè)數(shù)據(jù)�����。IDS信息較為復(fù)雜�����,需要對(duì)這些信息進(jìn)行分級(jí)和提取,降低評(píng)估時(shí)的難度����。評(píng)估數(shù)據(jù)庫(kù)包括威脅信息庫(kù)、資產(chǎn)信息庫(kù)、日至系統(tǒng)等,利用主機(jī)信息掃描應(yīng)用程序得到相關(guān)信息。網(wǎng)絡(luò)安全勢(shì)態(tài)預(yù)測(cè)通常運(yùn)用Markov模型預(yù)測(cè)勢(shì)態(tài)��,將評(píng)估的結(jié)果利用HMM參數(shù)訓(xùn)練��,運(yùn)用HMM-NSSP預(yù)算法進(jìn)行下一個(gè)狀態(tài)的預(yù)測(cè)�����。
4 網(wǎng)絡(luò)安全態(tài)勢(shì)勢(shì)態(tài)預(yù)測(cè)的基本原理
網(wǎng)絡(luò)安全管理的態(tài)勢(shì)猶如軍事領(lǐng)域中的戰(zhàn)場(chǎng)態(tài)勢(shì)��,當(dāng)出現(xiàn)分析對(duì)象的范圍較大,又有許多干擾因素時(shí)����,需要用態(tài)勢(shì)來(lái)了解分析對(duì)象目前的狀態(tài)和表現(xiàn)��,并對(duì)此加以說(shuō)明。這種態(tài)勢(shì)是以建立高效的����、精確的網(wǎng)絡(luò)安全勢(shì)態(tài)綜合體系為核心目的��,使網(wǎng)管人員對(duì)整體網(wǎng)絡(luò)安全有更全面、更及時(shí)的把握�����。在收集數(shù)據(jù)信息上�����,網(wǎng)絡(luò)安全態(tài)勢(shì)需要根據(jù)時(shí)間的順序��;在處理信息時(shí),根據(jù)時(shí)間將信息排成序列;進(jìn)行變量輸入時(shí)��,需要注意選取前段的時(shí)間態(tài)勢(shì)值����,將下一段時(shí)間所顯示的態(tài)勢(shì)值作為輸出變量��。網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)和評(píng)估都需要根據(jù)與網(wǎng)絡(luò)安全問(wèn)題相關(guān)的產(chǎn)出進(jìn)行處理��,包括產(chǎn)生的次數(shù)、發(fā)生的概率以及被威脅的程度等等,再將所得的網(wǎng)絡(luò)安全數(shù)據(jù)結(jié)合成一個(gè)準(zhǔn)確反映網(wǎng)絡(luò)狀況的態(tài)勢(shì)值,通過(guò)過(guò)去的態(tài)勢(shì)值和目前的態(tài)勢(shì)值預(yù)測(cè)未來(lái)的網(wǎng)絡(luò)安全態(tài)勢(shì)����。由此可以得出結(jié)論:網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)從本質(zhì)上來(lái)看�����,就是分析和研究按照時(shí)間順序有一定序列的態(tài)勢(shì)值,從而預(yù)測(cè)未來(lái)更多的態(tài)勢(shì)值。
5 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法的應(yīng)用
網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的應(yīng)用主要有三種評(píng)估模型�����,主要是以下三種:第一�����,網(wǎng)絡(luò)態(tài)勢(shì)的察覺(jué)��。網(wǎng)絡(luò)態(tài)勢(shì)的察覺(jué)是指在分析網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上提取與網(wǎng)絡(luò)態(tài)勢(shì)相關(guān)的元素,再將這些網(wǎng)絡(luò)態(tài)勢(shì)相關(guān)的元素進(jìn)行分類和處理����,這種模型屬于像素級(jí)別的結(jié)合��。第二,網(wǎng)絡(luò)態(tài)勢(shì)的理解����。網(wǎng)絡(luò)態(tài)勢(shì)的理解需要有具備充分專業(yè)知識(shí)的專家人士,將專家的系統(tǒng)結(jié)合網(wǎng)絡(luò)態(tài)勢(shì)的特征�����,在分析總結(jié)過(guò)后專家對(duì)網(wǎng)絡(luò)勢(shì)態(tài)做出有效的解釋��,為網(wǎng)絡(luò)安全勢(shì)態(tài)的預(yù)測(cè)提供相關(guān)依據(jù)����,屬于特征級(jí)別的結(jié)合����。第三,網(wǎng)絡(luò)勢(shì)態(tài)預(yù)測(cè)����。網(wǎng)絡(luò)勢(shì)態(tài)預(yù)測(cè)主要是負(fù)責(zé)多個(gè)級(jí)別的預(yù)測(cè)�����,包括像素級(jí)別和特征級(jí)別�����,預(yù)測(cè)各個(gè)級(jí)別由單體行為轉(zhuǎn)變?yōu)槿志W(wǎng)絡(luò)態(tài)勢(shì)的整個(gè)過(guò)程,這種模型屬于決策級(jí)別��,是最高的模型����。除此之外,網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法的應(yīng)用也包括挖掘數(shù)據(jù)信息�����,挖掘數(shù)據(jù)信息主要是指找出網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中具有較大的潛在利用價(jià)值的數(shù)據(jù)信息����,再將這些數(shù)據(jù)進(jìn)行分析評(píng)估����。同源的數(shù)據(jù)信息更具有準(zhǔn)確性和有效性,與單源的數(shù)據(jù)相比有較大的優(yōu)勢(shì)�����。另外��,準(zhǔn)確的數(shù)據(jù)需要依靠多個(gè)傳感器����,通常情況下����,多個(gè)傳感器能夠處理多個(gè)級(jí)別甚至多個(gè)層面的信息,提高了網(wǎng)絡(luò)安全勢(shì)態(tài)預(yù)測(cè)的精確度����。
6 結(jié)束語(yǔ)
網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)是目前最受關(guān)注的問(wèn)題����,也是一項(xiàng)技術(shù)含量十分高的工程����,需要引起人們的重視。網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)需要有嚴(yán)謹(jǐn)?shù)臄?shù)學(xué)邏輯和精準(zhǔn)的數(shù)據(jù),通過(guò)人們的不斷努力��,營(yíng)造安全的網(wǎng)絡(luò)環(huán)境指日可待�����。只有合理運(yùn)用網(wǎng)絡(luò)安全態(tài)勢(shì)方法,才能減少因網(wǎng)絡(luò)安全問(wèn)題帶來(lái)的損失。
參考文獻(xiàn)
[1]譚荊.無(wú)線局域網(wǎng)通信安全探討[J].通信技術(shù)����,2010(07):84.
[2]楊雪.無(wú)線局域網(wǎng)通信安全機(jī)制探究[J].電子世界��,2013(19):140.
[3]李曉蓉,莊毅,許斌.基于危險(xiǎn)理論的信息安全風(fēng)險(xiǎn)評(píng)估模型[J].清華大學(xué)學(xué)報(bào)�����,2011�����,51(10):1231-1235.
第2篇
論文摘要:隨著信息化建設(shè)的不斷深入����,醫(yī)院信息系統(tǒng)的應(yīng)用也越來(lái)越廣泛。醫(yī)院各種信息的網(wǎng)絡(luò)化,共享化,也為其安全帶來(lái)了一定程度的考驗(yàn)��。本文通過(guò)分析醫(yī)院信息系統(tǒng)的特點(diǎn)��,對(duì)其數(shù)據(jù)信息的安全和保密工作進(jìn)行了技術(shù)和管理上的探討�����。
醫(yī)院信息系統(tǒng)是一個(gè)復(fù)雜龐大的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),其以醫(yī)院的局域網(wǎng)為基礎(chǔ)依托、以患者為信息采集對(duì)象����、以財(cái)務(wù)管理為運(yùn)轉(zhuǎn)中心��,對(duì)醫(yī)院就診的所有患者進(jìn)行全面覆蓋�����。醫(yī)院信息系統(tǒng)包括了醫(yī)患信息和醫(yī)院管理等各種信息��,對(duì)信息的網(wǎng)絡(luò)安全進(jìn)行保護(hù),保證其信息的完整性和可靠性,是醫(yī)院信息系統(tǒng)正常運(yùn)轉(zhuǎn)的根本條件。因此有必要對(duì)醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行安全管理�����,避免各種自然和人為因素導(dǎo)致的安全問(wèn)題��,保證整個(gè)系統(tǒng)的安全有效�����。
一、醫(yī)院信息系統(tǒng)特點(diǎn)分析
醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)決定著系統(tǒng)功能性及有效性��。系統(tǒng)的各種集散數(shù)據(jù)�����、通信和所提供的系統(tǒng)的擴(kuò)充能力����、自我維護(hù)��、信息服務(wù)等都很大程度上依賴與醫(yī)院信息計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)��。星形拓?fù)浣Y(jié)構(gòu)有利于信息的集中控制,能避免局部或個(gè)體客端機(jī)故障影響整個(gè)系統(tǒng)的正常工作,因此可以采用以星形拓?fù)錇榛A(chǔ)的分層復(fù)合型結(jié)構(gòu)的信息系統(tǒng)進(jìn)行醫(yī)院數(shù)據(jù)的全面管理。其次����,作為醫(yī)院信息系統(tǒng)的主要數(shù)據(jù)管理模式和管理工具�����,醫(yī)院的數(shù)據(jù)庫(kù)系統(tǒng)是保證醫(yī)院信息系統(tǒng)完整性和安全性的關(guān)鍵��。
一般認(rèn)為網(wǎng)絡(luò)安全就是針對(duì)黑客��、病毒等攻擊進(jìn)行的防御,而實(shí)際上對(duì)于醫(yī)院的信息系統(tǒng)而言��,網(wǎng)絡(luò)安全還受到其他很多因素的威脅����,比如:網(wǎng)絡(luò)設(shè)計(jì)缺陷、用戶非法進(jìn)入�����、通訊設(shè)備損壞等����。網(wǎng)絡(luò)出現(xiàn)故障將造成患者重要信息損壞和財(cái)務(wù)管理數(shù)據(jù)丟失,導(dǎo)致醫(yī)院的正常作業(yè)不能開(kāi)展�����。因此本文從技術(shù)和管理兩個(gè)層面對(duì)醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全維護(hù)進(jìn)行了探討����。
二�����、醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全的技術(shù)實(shí)現(xiàn)
網(wǎng)絡(luò)、應(yīng)用����、數(shù)據(jù)庫(kù)和用戶這四個(gè)方面是建立醫(yī)院信息系統(tǒng)安全體系的主要組成部分,只有保證了這些結(jié)構(gòu)的安全�����,才能從基本上實(shí)現(xiàn)醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全����。
首先是確保網(wǎng)絡(luò)的安全。醫(yī)院網(wǎng)絡(luò)安全包括醫(yī)院內(nèi)部網(wǎng)絡(luò)安全和內(nèi)外網(wǎng)絡(luò)連接安全��,防火墻��、通訊安全技術(shù)和網(wǎng)絡(luò)管理工具等是最常用的技術(shù)�����。其次是確保應(yīng)用系統(tǒng)的安全。計(jì)算機(jī)的應(yīng)用系統(tǒng)完整性主要包括數(shù)據(jù)庫(kù)系統(tǒng)和硬件、軟件的安全防護(hù)��?�?梢圆捎蔑L(fēng)險(xiǎn)評(píng)估����、病毒防范�����、安全審計(jì)和入侵檢測(cè)等安全技術(shù)對(duì)系統(tǒng)的完整性進(jìn)行保護(hù)����。其中�����,網(wǎng)絡(luò)安全事件的80%是來(lái)自于病毒,因此病毒防范是保證系統(tǒng)完整性的主要措施。然后是確保數(shù)據(jù)庫(kù)的安全�����。對(duì)處于安全狀態(tài)的數(shù)據(jù)庫(kù)����,可以采用預(yù)防性技術(shù)措施進(jìn)行防范;對(duì)于已發(fā)生損壞的數(shù)據(jù)庫(kù)�����,可以采用服務(wù)器集群��、雙機(jī)熱備����、數(shù)據(jù)轉(zhuǎn)儲(chǔ)及磁盤容錯(cuò)等技術(shù)進(jìn)行數(shù)據(jù)恢復(fù)����。最后是確保用戶賬號(hào)的安全。采用用戶分組、用戶認(rèn)證及唯一識(shí)別等技術(shù)對(duì)醫(yī)院信息系統(tǒng)的用戶賬號(hào)進(jìn)行保護(hù)。
三��、醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全的管理體系
除了在技術(shù)上對(duì)醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全進(jìn)行確保����,還需要建立完善合理的安全管理體系,更高層次的保證醫(yī)院所有有用數(shù)據(jù)的安全。 ?����。ㄒ唬┻M(jìn)行網(wǎng)絡(luò)的信息管理。作為現(xiàn)代化醫(yī)院的重要資產(chǎn),且具有一定的特殊性,醫(yī)院的所有信息都有必要根據(jù)實(shí)際情況,對(duì)不同類型的信息因地制宜的制定各種合理的管理制度,分類管理�����,全面統(tǒng)籌��。(二)進(jìn)行網(wǎng)絡(luò)的系統(tǒng)安全管理。隨時(shí)關(guān)注網(wǎng)絡(luò)上的系統(tǒng)補(bǔ)丁相關(guān)信息����,及時(shí)完善醫(yī)院信息系統(tǒng)����,對(duì)需要升級(jí)的系統(tǒng)進(jìn)行更新��,通過(guò)確保系統(tǒng)的安全達(dá)到保護(hù)整個(gè)醫(yī)院信息管理安全的目的��。(三)進(jìn)行網(wǎng)絡(luò)的行為管理。由專門的網(wǎng)絡(luò)管理人員利用網(wǎng)絡(luò)管理軟件對(duì)醫(yī)院信息系統(tǒng)內(nèi)的各種操作和網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)監(jiān)控,制定網(wǎng)絡(luò)行為規(guī)范����,約束蓄意危害網(wǎng)絡(luò)安全的行為����。(四)進(jìn)行身份認(rèn)證與授權(quán)管理�����。通過(guò)規(guī)定實(shí)現(xiàn)身份認(rèn)證與權(quán)限核查����,對(duì)醫(yī)院信息系統(tǒng)的用戶身份和操作的合法性進(jìn)行檢查驗(yàn)證����,從而區(qū)分不同用戶以及不同級(jí)別用戶特征,授權(quán)進(jìn)入信息系統(tǒng)�����。(五)進(jìn)行網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理��。通過(guò)安全風(fēng)險(xiǎn)評(píng)估技術(shù),定期研究信息系統(tǒng)存在的缺陷漏洞和面臨的威脅風(fēng)險(xiǎn)��,對(duì)潛在的危害進(jìn)行及時(shí)的預(yù)防和補(bǔ)救��。(六)進(jìn)行網(wǎng)絡(luò)的安全邊界管理?�,F(xiàn)代化醫(yī)院的信息交流包括其內(nèi)部信息和內(nèi)外聯(lián)系兩部分。與外界的聯(lián)系主要是通過(guò)Internet進(jìn)行�����,而Internet由于其傳播性和共享性��,給醫(yī)院的信息系統(tǒng)帶來(lái)較大的安全隱患����。(七)進(jìn)行桌面系統(tǒng)安全管理�����。桌面系統(tǒng)作為用戶訪問(wèn)系統(tǒng)的直接入口,用戶能夠直接接觸的資源和信息一般都存放其上����,因此對(duì)其進(jìn)行安全管理非常重要�����。用戶可以采用超級(jí)兔子魔法設(shè)置或Windows優(yōu)化大師等應(yīng)用軟件對(duì)無(wú)關(guān)操作和非法行為進(jìn)行限制。(八)進(jìn)行鏈路安全管理����。針對(duì)鏈路層下層協(xié)議的攻擊一般是通過(guò)破壞鏈路通信而竊取系統(tǒng)傳輸?shù)臄?shù)據(jù)信息。因此要對(duì)這些破壞和攻擊進(jìn)行防御,醫(yī)院可以通過(guò)加密算法對(duì)數(shù)據(jù)處理過(guò)程實(shí)施加密�����,并聯(lián)合采用數(shù)字簽名和認(rèn)證儀器確保醫(yī)院信息數(shù)據(jù)的安全。(九)進(jìn)行病毒防治管理。網(wǎng)絡(luò)技術(shù)和信息技術(shù)的不斷發(fā)展�����,也滋長(zhǎng)了各種病毒的出現(xiàn)�����。病毒是計(jì)算機(jī)系統(tǒng)最大的安全隱患����,對(duì)系統(tǒng)信息的安全造成很大的威脅����。(十)進(jìn)行數(shù)據(jù)庫(kù)安全管理。對(duì)數(shù)據(jù)庫(kù)的安全管理應(yīng)該配備專人專機(jī)����,對(duì)不同的數(shù)據(jù)庫(kù)類型采取不同的使用方式和廣利制度��,保護(hù)醫(yī)院信息系統(tǒng)的核心安全。(十一)進(jìn)行災(zāi)難恢復(fù)與備份管理�����。百密總有一疏�����,任何安全防護(hù)體系都不肯能完全對(duì)病毒進(jìn)行防殺,因此為了避免數(shù)據(jù)的損壞和事故的發(fā)生����,需要制定相應(yīng)的數(shù)據(jù)恢復(fù)措施��,對(duì)重要數(shù)據(jù)進(jìn)行定期備份。
四、結(jié)束語(yǔ)
當(dāng)今信息化的不斷發(fā)展給醫(yī)院的管理和高效運(yùn)轉(zhuǎn)帶來(lái)了方便����,但同時(shí)也帶來(lái)了挑戰(zhàn)�����。為了維護(hù)病人醫(yī)患信息和醫(yī)院財(cái)務(wù)信息,需要從技術(shù)和管理上加強(qiáng)對(duì)網(wǎng)絡(luò)的安全工作,需要與時(shí)俱進(jìn),不斷采用新技術(shù)����,引進(jìn)新方法����,適應(yīng)社會(huì)需求��,將醫(yī)院的信息化建設(shè)推向更高平臺(tái)����。
參考文獻(xiàn)
[1]尚邦治.醫(yī)院信息系統(tǒng)安全問(wèn)題[J].醫(yī)療設(shè)備信息��,2004����,9
[2]從衛(wèi)春.淺談醫(yī)院信息系統(tǒng)安全穩(wěn)定運(yùn)行[J].醫(yī)療裝備�����,2009,15
第3篇
【關(guān)鍵詞】 計(jì)算機(jī)網(wǎng)絡(luò) 網(wǎng)絡(luò)維護(hù) 網(wǎng)絡(luò)管理
良好的計(jì)算機(jī)網(wǎng)絡(luò)狀態(tài)維護(hù)對(duì)保持網(wǎng)絡(luò)的高效可靠應(yīng)用與運(yùn)行具有十分重要的意義�����。充分發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)在數(shù)據(jù)傳輸與處理方面的性能優(yōu)勢(shì)����,提升相關(guān)人員的工作效率,避免因網(wǎng)絡(luò)故障所引起的網(wǎng)絡(luò)終端設(shè)備受損��、網(wǎng)絡(luò)數(shù)據(jù)受到安全威脅等情況的發(fā)生。
一�����、計(jì)算機(jī)網(wǎng)絡(luò)概述
計(jì)算機(jī)網(wǎng)絡(luò)是指多個(gè)計(jì)算機(jī)終端以特定的規(guī)則和通信協(xié)議連接形成的一個(gè)可以進(jìn)行數(shù)據(jù)傳遞與共享�����、協(xié)同工作與運(yùn)行的計(jì)算機(jī)系統(tǒng)����。在計(jì)算機(jī)網(wǎng)絡(luò)中的服務(wù)器中部署與應(yīng)用相關(guān)的管理軟件可以對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)和網(wǎng)絡(luò)內(nèi)的軟硬件進(jìn)行實(shí)時(shí)監(jiān)控與管理��,保障網(wǎng)絡(luò)用戶的工作環(huán)境免受安全威脅和惡意破壞����,促進(jìn)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的安全有效運(yùn)轉(zhuǎn)�����。
二����、計(jì)算機(jī)網(wǎng)絡(luò)的維護(hù)
2.1 軟件安全維護(hù)
為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全����,首先需要從計(jì)算機(jī)軟件入手�����,對(duì)其進(jìn)行集中安全與管理����,避免惡意軟件影響網(wǎng)絡(luò)數(shù)據(jù)的安全�����。同時(shí)��,統(tǒng)一軟件安裝還能夠提升網(wǎng)絡(luò)維護(hù)的效率與質(zhì)量,增強(qiáng)防火墻��、通信協(xié)議與策略����、入侵檢測(cè)等網(wǎng)絡(luò)安全防護(hù)技術(shù)的有效性。
2.2 權(quán)限分配與口令設(shè)置
對(duì)計(jì)算機(jī)網(wǎng)絡(luò)終端及操作人員進(jìn)行層次分級(jí),并依照對(duì)應(yīng)的層次為其分配登陸口令與操作權(quán)限可以進(jìn)一步的提升計(jì)算機(jī)網(wǎng)絡(luò)的可靠性�����,避免非授權(quán)用戶的網(wǎng)絡(luò)登入行為����,提升網(wǎng)絡(luò)的安全性能。同時(shí)����,該維護(hù)策略還能夠有效提升計(jì)算機(jī)網(wǎng)絡(luò)日志的應(yīng)用效率,在網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)及時(shí)對(duì)問(wèn)題進(jìn)行定位和分析,縮短網(wǎng)絡(luò)故障時(shí)間,提升網(wǎng)絡(luò)故障排除精確度��。
2.3 網(wǎng)絡(luò)層級(jí)的殺毒軟件部署
計(jì)算機(jī)網(wǎng)絡(luò)具有較高的開(kāi)放性和共享性����,一旦網(wǎng)絡(luò)內(nèi)某一終端感染到病毒,其就會(huì)對(duì)整個(gè)網(wǎng)絡(luò)內(nèi)的終端帶來(lái)安全威脅。在網(wǎng)絡(luò)服務(wù)器中安裝與部署殺毒軟件可以及時(shí)發(fā)現(xiàn)與清除終端內(nèi)存在的病毒,避免其他終端被感染�����,維護(hù)網(wǎng)絡(luò)通信的安全����。
2.4 硬件維護(hù)與通信協(xié)議管理
計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行離不開(kāi)硬件系統(tǒng)的支持。維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的穩(wěn)定性和可靠性還應(yīng)該從硬件層面著手��,開(kāi)展相關(guān)的維護(hù)工作。如網(wǎng)線制作標(biāo)準(zhǔn)可選用568B;網(wǎng)絡(luò)部署過(guò)程中要對(duì)網(wǎng)絡(luò)連接進(jìn)行檢測(cè);對(duì)網(wǎng)卡的驅(qū)動(dòng)和連接等進(jìn)行檢查等。
三����、計(jì)算機(jī)網(wǎng)絡(luò)的管理
3.1 網(wǎng)絡(luò)配置
對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行配置是計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)工作的首要內(nèi)容�����,其設(shè)計(jì)網(wǎng)絡(luò)參數(shù)設(shè)置、級(jí)別定義等內(nèi)容。良好的網(wǎng)絡(luò)配置方案可以降低路由器的工作負(fù)擔(dān)����,增強(qiáng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的魯棒性�����,降低網(wǎng)絡(luò)擁塞的發(fā)生概率。
3.2 網(wǎng)絡(luò)故障管理
計(jì)算機(jī)網(wǎng)絡(luò)處于不間斷服務(wù)狀態(tài)����,其運(yùn)行過(guò)程中可能會(huì)出現(xiàn)網(wǎng)絡(luò)故障,為縮短故障時(shí)間,避免故障的重復(fù)出現(xiàn),需要對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行分析����,獲得一個(gè)大致的評(píng)估結(jié)構(gòu)����,依照該結(jié)果對(duì)網(wǎng)絡(luò)進(jìn)行管理��。常見(jiàn)的網(wǎng)絡(luò)故障有因硬件傳輸線路故障所引起的數(shù)據(jù)傳輸中斷����;因路由器�����、終端主機(jī)故障所引起的數(shù)據(jù)傳輸中斷�����;因DNS服務(wù)、數(shù)據(jù)庫(kù)錯(cuò)誤等問(wèn)題所引起的通信故障等����。了解與掌握上述故障的特點(diǎn)及故障內(nèi)容����,定期檢查和更新相關(guān)配置����,不僅能夠及時(shí)查找到故障的原因還能夠協(xié)助制定高效可行的故障排除方案。
3.3 網(wǎng)絡(luò)性能管理
維持網(wǎng)絡(luò)性能是計(jì)算機(jī)網(wǎng)絡(luò)管理與維護(hù)工作的重要內(nèi)容之一��,其直接關(guān)系到計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用質(zhì)量與運(yùn)行效率�����。反映網(wǎng)絡(luò)性能的指標(biāo)有吞吐量、轉(zhuǎn)發(fā)率��、丟包率�����、節(jié)點(diǎn)處理延時(shí)等�����,針對(duì)這些指標(biāo)可以從網(wǎng)絡(luò)配置和狀態(tài)查詢等入手開(kāi)展網(wǎng)絡(luò)性能管理,通過(guò)配置合理的參數(shù)來(lái)提升傳輸信道的利用率����。常見(jiàn)的性能管理手段有帶寬分配��、連通時(shí)間控制、IP地址及其對(duì)應(yīng)權(quán)限配置����、流量配置等�����。
3.4 網(wǎng)絡(luò)安全管理
網(wǎng)絡(luò)安全的管理應(yīng)該遵循完整性����、可控性����、保密性�����、抗抵賴性等幾方面原則��,在此基礎(chǔ)上分兩層分別進(jìn)行管理。第一層主要是對(duì)網(wǎng)絡(luò)安全及其風(fēng)險(xiǎn)評(píng)估方法與策略制定����;第二層是在第一層的基礎(chǔ)上應(yīng)用適當(dāng)?shù)南到y(tǒng)化管理方法開(kāi)展生命周期管理�����、層次化管理、協(xié)作化管理、動(dòng)態(tài)化管理以及應(yīng)急響應(yīng)等具體管理。
四����、總結(jié)
計(jì)算機(jī)網(wǎng)絡(luò)是現(xiàn)代數(shù)據(jù)傳輸與存儲(chǔ)的主要載體��,對(duì)人們的工作與生活具有重要意義。維持計(jì)算網(wǎng)絡(luò)的正常穩(wěn)定運(yùn)轉(zhuǎn)不僅能夠提升網(wǎng)絡(luò)的應(yīng)用效果�����,還能夠保障網(wǎng)絡(luò)內(nèi)數(shù)據(jù)通信的安全����,避免為網(wǎng)絡(luò)用戶帶來(lái)經(jīng)濟(jì)損失。
參 考 文 獻(xiàn)
[1] 田小虎. 計(jì)算機(jī)系統(tǒng)安全與計(jì)算機(jī)網(wǎng)絡(luò)安全淺析[J]. 現(xiàn)代商業(yè)��,2010(35)
第4篇
關(guān)鍵詞:醫(yī)院 信息系統(tǒng) 安全
中圖分類號(hào):R197.3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1003-9082 (2017) 04-0222-01
在醫(yī)院信息系統(tǒng)建設(shè)中��,信息安全為一種重要組成部分��。醫(yī)院信息系統(tǒng)的安全性主要涉及備份方案的可靠性、網(wǎng)絡(luò)安全、計(jì)算機(jī)病毒防治等�����。信息系統(tǒng)一旦出現(xiàn)安全問(wèn)題��,會(huì)對(duì)醫(yī)院工作效率��、工作質(zhì)量產(chǎn)生嚴(yán)重影響。因此����,加強(qiáng)對(duì)醫(yī)院信息系統(tǒng)安全實(shí)施科學(xué)管理�����,對(duì)醫(yī)療機(jī)構(gòu)相關(guān)醫(yī)療服務(wù)工作開(kāi)展效率及質(zhì)量的保證及提高均具有重要價(jià)值[1]。本文主要以新形勢(shì)下醫(yī)院在信息安全方面所面臨的挑戰(zhàn)作為切入點(diǎn),對(duì)醫(yī)院信息安全有效防治措施進(jìn)行深入研究,旨在為醫(yī)院信息系統(tǒng)安全性提供更多保障。
一����、新形勢(shì)下醫(yī)院信息系統(tǒng)安全面臨挑戰(zhàn)
1.信息安全管理策略��、責(zé)任缺乏明確性
目前,多數(shù)醫(yī)院在實(shí)施信息安全管理過(guò)程中,未能制定符合醫(yī)院實(shí)際情況的安全管理措施����、規(guī)劃����,或未能及時(shí)對(duì)管理策略進(jìn)行修改�����。同時(shí)�����,醫(yī)院領(lǐng)導(dǎo)對(duì)信息安全管理重視程度不夠,未能及時(shí)發(fā)現(xiàn)存在的安全隱患�����,未能實(shí)施預(yù)見(jiàn)性��、針對(duì)性風(fēng)險(xiǎn)評(píng)估和防范����。這導(dǎo)致醫(yī)院信息安全管理缺乏有效、科學(xué)的防治措施,管理責(zé)任含糊不清�����,安全防控效果差�����。
2.系統(tǒng)數(shù)據(jù)存在安全隱患,信息安全事件頻發(fā)
目前�����,多數(shù)醫(yī)院在實(shí)施網(wǎng)絡(luò)安全建設(shè)過(guò)程中所選用的安全產(chǎn)品還缺乏聯(lián)動(dòng),部署存在不均衡性�����,安全信息未能得到有效挖掘�����,縱深安全防護(hù)未能形成����,防護(hù)效果較低[2]�����。同時(shí)��,隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展速度的不斷加快,計(jì)算機(jī)系統(tǒng)漏洞����、病毒泛濫等網(wǎng)絡(luò)安全問(wèn)題頻發(fā)��。醫(yī)院網(wǎng)絡(luò)因未能形成有效的安全防護(hù),用戶終端未能及時(shí)實(shí)施系統(tǒng)升級(jí)��、漏洞修補(bǔ)�����、病毒查殺等����,這均為網(wǎng)絡(luò)信息系統(tǒng)安全埋下隱患�����,對(duì)醫(yī)院信息安全造成巨大威脅��。保證用戶端的安全,通過(guò)用戶端對(duì)威脅入侵網(wǎng)絡(luò)進(jìn)行阻止,對(duì)訪問(wèn)網(wǎng)絡(luò)實(shí)施嚴(yán)格控制��,為保證醫(yī)院網(wǎng)絡(luò)安全和信息安全的重要前提����,同時(shí)也是醫(yī)院目前信息系統(tǒng)安全管理中必須要解決的一個(gè)重要問(wèn)題。
二����、應(yīng)對(duì)信息安全挑戰(zhàn)措施
1.加強(qiáng)制度����、隊(duì)伍等建設(shè)及完善����,提升安全管理水平
首先,醫(yī)院須積極建設(shè)安全機(jī)構(gòu)����,將信息系統(tǒng)安全管理責(zé)任進(jìn)行明確劃分����。同時(shí)設(shè)立專門信息安全領(lǐng)導(dǎo)小組����,并將小組中各個(gè)成員的安全管理職責(zé)和責(zé)任明確,并嚴(yán)格把控相關(guān)責(zé)任人管理責(zé)任的落實(shí)情況。領(lǐng)導(dǎo)小組須不定期組織開(kāi)展信息系統(tǒng)安全檢查,并實(shí)施安全事件處理應(yīng)急演練。其次�����,加強(qiáng)管理隊(duì)伍建設(shè)����,提升管理人員的安全防范意識(shí)����。醫(yī)院應(yīng)積極建設(shè)一支高專業(yè)素質(zhì)和能力的安全管理隊(duì)伍,為信息系統(tǒng)能夠正常運(yùn)行提供有效保障。醫(yī)院可通過(guò)院內(nèi)培訓(xùn)�����、院外引進(jìn)等方式�����,加強(qiáng)對(duì)管理人員實(shí)施信息安全教育和培訓(xùn)����,促進(jìn)其安全防范意識(shí)以及應(yīng)急處理能力得到有效提高�����。再次����,積極建設(shè)并不斷完善安全制度����,對(duì)安全管理策略進(jìn)行不斷改進(jìn)和優(yōu)化。醫(yī)院須建立一套包含網(wǎng)絡(luò)�����、應(yīng)用����、運(yùn)行��、信息安全等諸多個(gè)方面的�����,具有可行性和可行性的規(guī)章制度����。同時(shí)��,醫(yī)院以自身信息系統(tǒng)實(shí)際情況作為根據(jù)����,對(duì)信息安全管理的等級(jí)����、范圍進(jìn)行明確,制訂出切實(shí)可行的出入機(jī)房管理制度��、網(wǎng)絡(luò)操作使用規(guī)程�����、網(wǎng)絡(luò)系統(tǒng)應(yīng)急措施及維護(hù)制度等�����,積極建立起適合自身實(shí)際情況的信息安全管理策略,提高管理有效性�����,保證醫(yī)院信息系統(tǒng)運(yùn)行的安全性����。
2.制定規(guī)范性信息安全管理流程
首先����,對(duì)信息系統(tǒng)登錄密碼實(shí)施規(guī)范化管理。單位中所使用的密碼須通過(guò)“暗文”的方式進(jìn)行保存��,同時(shí)配上相應(yīng)的修改密碼記錄��,定期實(shí)施密碼修改�����。其次,對(duì)系統(tǒng)使用權(quán)限進(jìn)行規(guī)范管理���。業(yè)務(wù)軟件需要將原有用戶取消或增加新用戶時(shí),必須要嚴(yán)格按照要求認(rèn)真填寫情況說(shuō)明表,經(jīng)所在科室負(fù)責(zé)人簽字�����,之后信息科才能實(shí)施用戶撤銷或新用戶添加操作�����,同時(shí)向新用戶分配相應(yīng)的操作權(quán)限[3]��。同時(shí),當(dāng)員工需實(shí)施統(tǒng)計(jì)����、其他操作權(quán)限變更時(shí),須按照要求填寫好說(shuō)明表,交由科室負(fù)責(zé)人簽字�,然后交由相關(guān)行政科室進(jìn)行審批�����,獲得同意后信息科才能進(jìn)行修改。再次,對(duì)第三方訪問(wèn)進(jìn)行規(guī)范控制管理����。將第三方訪問(wèn)者須將計(jì)算機(jī)的IP地址綁定于MAC地址�����,然后才能訪問(wèn)單位內(nèi)部網(wǎng)絡(luò)���。第三方訪問(wèn)內(nèi)部網(wǎng)絡(luò)或出入信息科均須認(rèn)真填寫登記表��;應(yīng)要求第三方使用信息科計(jì)算機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò),其不使用信息科電腦訪問(wèn)網(wǎng)絡(luò)時(shí)須填寫申請(qǐng)表格,并有信息科負(fù)責(zé)人簽字,由相關(guān)科室進(jìn)行審批,同時(shí)之后才能訪問(wèn)。
3.運(yùn)用技術(shù)加強(qiáng)信息安全管理
首先,積極強(qiáng)化冗余技術(shù)應(yīng)用�。醫(yī)院的信息網(wǎng)絡(luò)運(yùn)行狀況直接關(guān)系整個(gè)醫(yī)院業(yè)務(wù)系統(tǒng)的運(yùn)行狀況��,網(wǎng)絡(luò)變化、故障的出現(xiàn)均會(huì)導(dǎo)致醫(yī)院相關(guān)業(yè)務(wù)正常運(yùn)行遭受嚴(yán)重影響,甚至可導(dǎo)致業(yè)務(wù)系統(tǒng)出現(xiàn)中斷��,因此��,在信息安全管理過(guò)程中必須保證網(wǎng)絡(luò)運(yùn)行的可靠性進(jìn)行充分考慮��。冗余技術(shù)的運(yùn)用可有效保證網(wǎng)絡(luò)運(yùn)行的可靠性。該種技術(shù)主要由處理器冗余���、電源冗余、模塊冗余等技術(shù)構(gòu)成�。其次����,強(qiáng)化加密處理技術(shù)�。為了保證信息系統(tǒng)涉及相關(guān)數(shù)據(jù)的安全性,必須建立可靠���、安全的數(shù)據(jù)中心�,杜絕相關(guān)安全隱患,增加數(shù)據(jù)安全等�,保證患者信息及時(shí)交互得以實(shí)現(xiàn)��。加強(qiáng)對(duì)信息實(shí)施加密處理,選用先進(jìn)的驅(qū)動(dòng)級(jí)加密技術(shù)�����、虛擬化技術(shù)等��,對(duì)重要信息及文件M行加密��。此外,還應(yīng)加強(qiáng)使用先進(jìn)入侵檢測(cè)技術(shù)�����,保證被攻擊組件及時(shí)得到識(shí)別被隔離����,提高系統(tǒng)防御能力,保證信息系統(tǒng)安全。
三�����、結(jié)束語(yǔ)
醫(yī)院信息安全管理為一項(xiàng)具有復(fù)雜性�����、系統(tǒng)性的工程�����,為了保證信息系統(tǒng)安全、可靠性��,醫(yī)院必須建立起一套健全�、有效的安全管理控制及防御體系����,積極應(yīng)用相關(guān)先進(jìn)技術(shù)實(shí)施安全防治工作。只有這樣才能正在保證醫(yī)院信息系統(tǒng)運(yùn)行的安全性���。
參考文獻(xiàn)
[1]開(kāi)拓.醫(yī)院網(wǎng)絡(luò)信息的不安全因素分析及防護(hù)措施分析[J].網(wǎng)絡(luò)空間安全,2016����,16(Z1):609-610.
第5篇
關(guān)鍵詞:電子商務(wù);身份認(rèn)證;防火墻
一��、有關(guān)電子商務(wù)的安全性要求
1.對(duì)電子商務(wù)活動(dòng)安全性的要求:
(1)服務(wù)的有效性要求。電子商務(wù)系統(tǒng)應(yīng)能防止服務(wù)失敗情況的發(fā)生,預(yù)防由于網(wǎng)絡(luò)故障和病毒發(fā)作等因素產(chǎn)生的系統(tǒng)停止服務(wù)等情況,保證交易數(shù)據(jù)能準(zhǔn)確快速的傳送��。
(2)交易信息的保密性要求����。電子商務(wù)系統(tǒng)應(yīng)對(duì)用戶所傳送的信息進(jìn)行有效的加密,防止因信息被截取破譯,同時(shí)要防止信息被越權(quán)訪問(wèn)���。
(3)數(shù)據(jù)完整性要求�。數(shù)字完整性是指在數(shù)據(jù)處理過(guò)程中,原來(lái)數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致�����。為了保障商務(wù)交易的嚴(yán)肅和公正,交易的文件是不可被修改的,否則必然會(huì)損害一方的商業(yè)利益���。
(4)身份認(rèn)證的要求��。電子商務(wù)系統(tǒng)應(yīng)提供安全有效的身份認(rèn)證機(jī)制,確保交易雙方的信息都是合法有效的,以免發(fā)生交易糾紛時(shí)提供法律依據(jù)。
2.電子商務(wù)的主要安全要素
(1)信息真實(shí)性�����、有效性�����。電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人�����、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)�����。
(2)信息機(jī)密性�����。電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密��。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的���。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障����。
(3)信息完整性。電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整�����、統(tǒng)一的問(wèn)題��。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同���。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。
(4)信息可靠性、可鑒別性和不可抵賴性��?�?煽啃砸蠹词悄鼙WC合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式�����。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同�����、契約�����、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。
在無(wú)紙化的電子商務(wù)方式下,通過(guò)手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的��。因此,要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)��。在internet上每個(gè)人都是匿名的,電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴�����。
二、電子商務(wù)采用的主要安全技術(shù)
1.網(wǎng)絡(luò)節(jié)點(diǎn)的安全
防火墻是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開(kāi)的屏障�����。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供一個(gè)相對(duì)更安全的平臺(tái)。
防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過(guò)靈活有效地運(yùn)用這些功能,制定正確的安全策略,將能提供一個(gè)安全、高效的Intranet系統(tǒng)��。應(yīng)給予特別注意的是,防火墻不僅僅是路由器�����、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個(gè)部分�����。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問(wèn)���、服務(wù)訪問(wèn)�、本地和遠(yuǎn)地的用戶認(rèn)證�����、撥入和撥出、磁盤和數(shù)據(jù)加密���、病毒防護(hù)措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)�����。僅設(shè)立防火墻系統(tǒng),而沒(méi)有全面的安全策略,那么防火墻就形同虛設(shè)�����。
2.通訊的安全
在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過(guò)加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全�����。目前采用的是瀏覽器缺省的40位加密強(qiáng)度,也可以考慮將加密強(qiáng)度增加到128位��。為在瀏覽器和服務(wù)器之間建立安全機(jī)制,SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書,證書包括一個(gè)公鑰,由一家可信證書授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)���。驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份,而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(下載可以在訪問(wèn)之前或訪問(wèn)時(shí))。驗(yàn)證此證書是合法的服務(wù)器證書通過(guò)后利用該證書對(duì)稱加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰,然后用此對(duì)稱算法加密傳輸?shù)拿魑?����。此時(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示��。[論/文/網(wǎng)LunWenNet/Com]
3.應(yīng)用程序的安全性
即使正確地配置了訪問(wèn)控制規(guī)則,要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的,因?yàn)榫幊体e(cuò)誤也可能引致攻擊��。程序錯(cuò)誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時(shí);程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行,而不是只有有限的指令子集在特權(quán)模式下運(yùn)行,其他的部分只有縮小的許可;程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源,如一個(gè)文件和目錄���。不是顯式地設(shè)置訪問(wèn)控制(最少許可),程序員認(rèn)為這個(gè)缺省的許可是正確的���。
這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中����。不正確地輸入?yún)?shù)被用來(lái)騙特權(quán)程序做一些它本來(lái)不應(yīng)該做的事情。緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度���。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來(lái)增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹@?緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)��。訪問(wèn)控制系統(tǒng)中沒(méi)有什么可以檢測(cè)到這些問(wèn)題�����。只有通過(guò)監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)像這些問(wèn)題一樣的錯(cuò)誤����。
4.用戶的認(rèn)證管理
(1)身份認(rèn)證���。電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過(guò)服務(wù)器CA證書與IC卡相結(jié)合實(shí)現(xiàn)�����。CA證書用來(lái)認(rèn)證服務(wù)器的身份,IC卡用來(lái)認(rèn)證企業(yè)用戶的身份����。個(gè)人用戶由于沒(méi)有提供交易功能,所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制�。
(2)CA證書。要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性,需要一份數(shù)字證書進(jìn)行驗(yàn)證,這份數(shù)字證書就是CA證書,它由認(rèn)證授權(quán)中心(CA中心)發(fā)行。認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)��。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書的申請(qǐng)���、簽發(fā)及對(duì)數(shù)字證書的管理����。CA中心一般是社會(huì)公認(rèn)的可靠組織,它對(duì)個(gè)人��、組織進(jìn)行審核后,為其發(fā)放數(shù)字證書,證書分為服務(wù)器證書和個(gè)人證書��。建立SSL安全鏈接不需要一定有個(gè)人證書,實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份�����。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書�����。
(3)安全套接層SSL協(xié)議�。安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)��。
SSL通過(guò)數(shù)字簽名和數(shù)字證書來(lái)實(shí)行身份驗(yàn)證,數(shù)字證書是從認(rèn)證機(jī)構(gòu)(CA,CertificateAuthority)獲得的,通常包含有唯一標(biāo)識(shí)證書所有者的名稱�����、唯一標(biāo)識(shí)證書者的名稱���、證書所有者的公開(kāi)密鑰��、證書者的數(shù)字簽名、證書的有效期及證書的序列號(hào)等。在用數(shù)字證書對(duì)雙方的身份驗(yàn)證后,雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了��。
SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法��、連接密鑰并認(rèn)證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如Ht2tp�、Ftp�����、Telnet等)以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴SL協(xié)議握手流程由兩個(gè)階段組成:服務(wù)器認(rèn)證和用戶認(rèn)證�����。
三����、電子商務(wù)安全需要進(jìn)一步完善的配套措施
電子商務(wù)要真正成為一種主導(dǎo)的商務(wù)模式,尤其對(duì)發(fā)展中的中國(guó)來(lái)說(shuō),發(fā)展電子商務(wù),就必須從以下幾個(gè)方面來(lái)完善配套措施:
(1)突破關(guān)鍵技術(shù)受制于人的瓶頸。
(2)我國(guó)應(yīng)盡快對(duì)電子商務(wù)的有關(guān)細(xì)則進(jìn)行立法���。
(3)大力開(kāi)發(fā)大型商務(wù)網(wǎng)站,發(fā)展與之相配套的物流公司。
(4)為了確保系統(tǒng)的安全性,除了采用技術(shù)手段外,還必須建立嚴(yán)格的內(nèi)部安全機(jī)制�����。
(5)建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時(shí)便于跟蹤查詢����。
(6)對(duì)于重要數(shù)據(jù)要及時(shí)進(jìn)行備份,且對(duì)數(shù)據(jù)庫(kù)中存放的數(shù)據(jù),數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)視其重要性提供不同級(jí)別的數(shù)據(jù)加密。
安全實(shí)際上就是一種風(fēng)險(xiǎn)管理�����。任何技術(shù)手段都不能保證100%的安全��。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞����、攻擊的風(fēng)險(xiǎn)�。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)。電子商務(wù)的安全運(yùn)行必須從多方面入手,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的�����。安全只是相對(duì)的,而不是絕對(duì)的�����。因此,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問(wèn)題,使電子商務(wù)系統(tǒng)相對(duì)更安全。[論\文\網(wǎng)LunWenNet\Com]
參考文獻(xiàn):
[1]吳洋.電子商務(wù)安全方法研究[D].天津:天津大學(xué),2006.
[2]李艷.電子商務(wù)信息安全策略研究[J].甘肅科技,2005(6).
[3]成衛(wèi)青,龔儉.網(wǎng)絡(luò)安全評(píng)估[J].計(jì)算機(jī)工程,2003(2).
[4]甘悅.淺議電子商務(wù)信息安全體系的構(gòu)建[J].西北成人教育學(xué)報(bào),2007(2).
[5]周明,黃元江,李建設(shè).電子商務(wù)中的安全技術(shù)研究[J].株洲工學(xué)院學(xué)報(bào),2005(1).
[6]張娟.電子商務(wù)網(wǎng)絡(luò)安全技術(shù)探究[J].甘肅科技縱橫,2005(4).
[7]趙乃真.電子商務(wù)技術(shù)與應(yīng)用[M].北京:中國(guó)鐵道出版社,2003.
第6篇
【 關(guān)鍵詞 】 Windows Server 2003����、安全評(píng)估��、審核
The Research of Security Assessment System based on Windows Server 2003
Li Bing-bing 1 Wang Shuang 2
( 1.Foshan Polytechnic GuangdongFoshan 528137;2. Zhengzhou Technical College HenanZhengzhou 450121 )
【 Abstract 】 the rapid development in information technology ��, computer security has become a potentially huge problem. In order to effectively protect the host system security����, avoid an attack, and appeared to security assessment system�����, its purpose is to host malicious attacks before���, with the host security status was assessed����, allow users to understand the host security condition, so that take corresponding preventive measures and setting the corresponding security strategy. Host security assessment system is a safety assessment platform, through the invocation of each module�����, system to complete the overall assessment. This paper from the system requirements analysis, followed by the object oriented design method to complete the module design and implementation process.
【 Keywords 】 windows server 2003����; safety assessment�����; audit
0 引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展����,計(jì)算機(jī)網(wǎng)絡(luò)安全成為人們關(guān)注的話題,越來(lái)越多的個(gè)人用戶參與到互聯(lián)網(wǎng)絡(luò)的活動(dòng)中來(lái)�。在信息時(shí)代���,信息可以幫助團(tuán)體或個(gè)人�����,使他們受益,同樣,信息也可以用來(lái)對(duì)他們構(gòu)成威脅,造成破壞。隨著Windows Server 2003操作系統(tǒng)使用的范圍越來(lái)越廣�����,被發(fā)現(xiàn)的漏洞越來(lái)越多���,這就需要網(wǎng)絡(luò)管理員不斷地對(duì)系統(tǒng)進(jìn)行修補(bǔ)�,但由于Windows Server 2003系統(tǒng)的復(fù)雜性,新的安全漏洞總是層出不窮。因此��,除了對(duì)安全漏洞進(jìn)行修補(bǔ)之外�����,還要對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)視��,以便及時(shí)發(fā)現(xiàn)利用各種漏洞的入侵行為。如果已有安全漏洞但還沒(méi)有全部得到修補(bǔ)時(shí)��,這種監(jiān)視就顯得尤其重要����。我們可以通過(guò)安全審核功[2]能來(lái)實(shí)現(xiàn)這一監(jiān)視��。其實(shí)這是Windows自帶的一項(xiàng)非常有用的功能��。因此,用安全技術(shù)�����、安全策略��、安全模型和安全法規(guī)等安全措施來(lái)保證網(wǎng)絡(luò)安全成為當(dāng)前信息領(lǐng)域的研究熱點(diǎn)�,并受到了人們的廣泛關(guān)注和極大重視�����。
1 需求分析
審核是指“為獲得審核證據(jù)并對(duì)其進(jìn)行客觀評(píng)價(jià)�����,以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過(guò)程”��。 審核是一種評(píng)價(jià)過(guò)程.這種評(píng)價(jià)是以審核準(zhǔn)則為依據(jù)���,以審核證據(jù)為前提�,然后進(jìn)行客觀的評(píng)價(jià)。并通過(guò)評(píng)價(jià)來(lái)確定評(píng)價(jià)對(duì)象的符合性和有效性,從而找出可以改進(jìn)的方面����。審核準(zhǔn)則可以是要求或規(guī)范標(biāo)準(zhǔn)����。適用的法律法規(guī),也可以是組織自己編寫的管理體系文件;審核證據(jù)可以是審核員觀察到的活動(dòng)事實(shí)���、文件或記錄等�。
1.1 基于主機(jī)的安全需求
每當(dāng)用戶執(zhí)行了指定的某些操作,審核日志就會(huì)記錄一個(gè)審核項(xiàng)���。計(jì)算機(jī)上的操作系統(tǒng)和應(yīng)用程序的狀態(tài)是動(dòng)態(tài)變化的。作為企業(yè)風(fēng)險(xiǎn)管理項(xiàng)目的一部分��,定期分析可以使管理員跟蹤并確保每個(gè)計(jì)算機(jī)有足夠的安全級(jí)別��。分析的重點(diǎn)是專門指定的�、與安全有關(guān)的所有系統(tǒng)方面的信息����。這使管理員可以調(diào)整安全級(jí)別,而且最重要的是�����,可以檢測(cè)到系統(tǒng)中隨著時(shí)間的推移而有可能產(chǎn)生的所有安全威脅���。
1.2 基于評(píng)估系統(tǒng)的安全需求
從本論文角度上來(lái)講��,當(dāng)前對(duì)評(píng)估系統(tǒng)的研究工作�����,主要存在幾個(gè)問(wèn)題:(1)插件個(gè)數(shù)不夠細(xì)化;(2)并無(wú)單一的插件是關(guān)于審核策略評(píng)估的����,甚至在則策略掃描中也沒(méi)有關(guān)于審核策略評(píng)估�����;(3)一些企業(yè)更側(cè)重于對(duì)審核策略的研究�。
根據(jù)以上的分析,可以得知要對(duì)評(píng)估系統(tǒng)進(jìn)行細(xì)化的方法之一是專門添加一塊審核策略的評(píng)估����。這是對(duì)評(píng)估系統(tǒng)的完善����,同時(shí)也對(duì)一些企業(yè)的需求做了一下補(bǔ)充��。為了對(duì)審核策略便于管理��,要收集9個(gè)審核策略類型的所有安全事件信息,設(shè)計(jì)自己的安全評(píng)估庫(kù)�����,并且要對(duì)所有的審核策略進(jìn)行原理分析�����。安全評(píng)估庫(kù)中存放了審核策略的9個(gè)類型����、相關(guān)配置情況和配置安全等級(jí)����。只有這樣系統(tǒng)管理員才能真正得知主機(jī)的審核策略配置情況。
1.3 運(yùn)行環(huán)境
本系統(tǒng)運(yùn)行在Windows Server 2003 服務(wù)器 環(huán)境下����,裝有ACCESS數(shù)據(jù)庫(kù)。
2 總體分析和關(guān)鍵技術(shù)
2.1 研究方案
源于審核策略評(píng)估是安全評(píng)估系統(tǒng)的新模塊���,在了解主機(jī)評(píng)估系統(tǒng)的功能設(shè)計(jì)的基礎(chǔ)上,需要了解審核策略的配置類型���。在經(jīng)過(guò)研究后���,發(fā)現(xiàn)主機(jī)評(píng)估系統(tǒng)是基于插件(形式為動(dòng)態(tài)鏈接庫(kù)����,DLL庫(kù))��,而且審核策略在注冊(cè)表中很難查出相關(guān)配置。但是審核策略的配置一定會(huì)產(chǎn)生相關(guān)的安全事件,并記錄在安全日志中���。因此需要研究安全日志的數(shù)據(jù)存儲(chǔ)格式和如何獲取相關(guān)信息。
在獲取“事件類型”和“事件ID”之后,先讓“事件ID”與已知的安全事件庫(kù)比對(duì)獲取安全事件庫(kù)的值����。然后剛獲取的“事件類型”(成功��、失敗)與值進(jìn)行“&”運(yùn)算,得出審核策略的配置情況���。最后根據(jù)審核策略配置與安全評(píng)估庫(kù)的比對(duì),得出安全配置的等級(jí)�。
2.2 關(guān)鍵技術(shù)
(1)插件的機(jī)制
在于不修改程序主體(平臺(tái))的情況下對(duì)軟件功能進(jìn)行擴(kuò)展與加強(qiáng)�����,當(dāng)插件的接口公開(kāi)后,任何公司或個(gè)人都可以制作自己的插件來(lái)解決一些操作上的不便或增加新的功能����,也就是實(shí)現(xiàn)真正意義上的“即插即用”軟件開(kāi)發(fā)�。 這里主要是通過(guò)DLL庫(kù)的使用實(shí)現(xiàn)的��。
(2)動(dòng)態(tài)鏈接庫(kù)(DLL庫(kù))
在Windows中存在一種叫做DLL(Dynamic Linkable Library)的文件����,這種文件可以提供一些應(yīng)用程序可以導(dǎo)入的數(shù)據(jù)��、函數(shù)和類。
一般情況下DLL主要是為外部應(yīng)用程序提供可調(diào)用的函數(shù)�����,因此在DLL中必須定義一些函數(shù)��。DLL中的函數(shù)如果是外部應(yīng)用程序可以調(diào)用的���,那么這種函數(shù)叫做導(dǎo)出函數(shù)����,導(dǎo)出函數(shù)在客戶端叫做導(dǎo)入函數(shù)�����。
DEF(Module Definition File)文件又叫模塊定義文件����,這是一個(gè)用于描述DLL屬性的文本文件�����,每個(gè)DEF文件一般要包含以下模塊的定義語(yǔ)句:LIBRARY語(yǔ)句��,指出DLL的名字,將把這個(gè)名字放到DLL庫(kù)中�;EXPORTS語(yǔ)句��,列出庫(kù)中導(dǎo)出函數(shù)的名稱及導(dǎo)出函數(shù)的序號(hào)。DISCRIPTION描述語(yǔ)句���。
在創(chuàng)建DLL時(shí),編譯鏈接器將要使用DEF 文件創(chuàng)建兩個(gè)文件:一個(gè)導(dǎo)出文件(.exp)和一個(gè)導(dǎo)入文件(.lib)�����,然后使用導(dǎo)出文件(.exp) 再創(chuàng)建DLL文件�。
(3)數(shù)據(jù)庫(kù)的使用
考慮到網(wǎng)絡(luò)安全評(píng)估系統(tǒng)工作在Windows平臺(tái)�,且該系統(tǒng)所使用的數(shù)據(jù)庫(kù)規(guī)模不是特別大,但要求該系統(tǒng)在其他操作系統(tǒng)上的適應(yīng)性要好���,而且有合理的數(shù)據(jù)庫(kù)的訪問(wèn)技術(shù),對(duì)于提高整個(gè)安全評(píng)估系統(tǒng)的性能是至關(guān)重要的�����,故采用Windows平臺(tái)上ACCESS數(shù)據(jù)庫(kù)。
(4)掃描安全日志的審核事件技術(shù)
MFC封裝了決大多數(shù)的API函數(shù)��,因此利用相應(yīng)的API函數(shù)可以對(duì)安全日志的相應(yīng)信息進(jìn)行讀寫操作�����。
3 詳細(xì)設(shè)計(jì)
3.1 系統(tǒng)的相關(guān)算法
這里的算法主要是研究評(píng)估標(biāo)準(zhǔn)����。源于目前并無(wú)有關(guān)審核策略評(píng)估規(guī)范的評(píng)估標(biāo)準(zhǔn)���,根據(jù)微軟“Microsoft TechNet”網(wǎng)站提供的“創(chuàng)建Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)”���,本文自定義審核策略評(píng)估標(biāo)準(zhǔn)��。其中����,“成功審核”是個(gè)安全事件�����,“失敗審核”也是個(gè)安全事件;換言之,沒(méi)發(fā)現(xiàn)“成功審核”和“失敗審核”則是不安全的��。其設(shè)置如 表1和表2所示.
3.2 庫(kù)設(shè)計(jì)
本文中用到三個(gè)庫(kù):AuditPingGu表�、Auditshijian表和Vulnerability表,主要設(shè)計(jì)了AuditPingGu表和Auditshijian表。其中�����,AuditPingGu表定義和保存了審核策略評(píng)估信息���,Auditshijian表定義和保存了審核事件的信息�����。如表3 Auditshijian表定義和表4 AuditPingGu表定義�����。
3.3 核心代碼
_RecordsetPtr serset���;
CString serSQL����;
ADOConn m_AdoConn;
_variant_t var;
// variant_t類封閉了VARIANT數(shù)據(jù)類型,VARIANT是一個(gè)結(jié)構(gòu)體類型���,
CString strName;
serSQL="SELECT sheheleixing FROM Auditshijian
WHERE shijianID ='"+sTrEventID+"' ";
//已經(jīng)找到與事件ID相匹配的
_bstr_t sql=(_bstr_t)serSQL���;
serset=m_AdoConn.GetRecordSet(sql);
try
{
while(!serset->adoEOF)
{
var = serset->GetCollect("sheheleixing")�����;
if(var.vt �����!= NULL) //.vt是變體類型
{
strName = (LPCSTR)_bstr_t(var); if(strName=="審核系統(tǒng)事件"&&
event_category=="失敗審核"&& shdx[0].failure=="假")
{
shdx[0].failure="真"; //shdx[0] :失敗 審核系統(tǒng)事件;
serset->MoveNext()��; break���;
}
else if(strName=="審核系統(tǒng)事件"&&
event_category=="成功審核"&&shdx[0].success=="假")
{
shdx[0].success="真"���;//shdx[0] :成功審核系統(tǒng)事件��; serset->MoveNext()���;
break����;
}
}
4 總結(jié)
本文針對(duì)Windows Server 2003的安全問(wèn)題展開(kāi)研究,設(shè)計(jì)其安全評(píng)估系統(tǒng),首先根據(jù)當(dāng)前社會(huì)的需求進(jìn)行了需求分析�����,其次又對(duì)系統(tǒng)進(jìn)行總體分析和關(guān)鍵技術(shù)的介紹�����,最后對(duì)系統(tǒng)進(jìn)行了詳細(xì)的分析��,對(duì)系統(tǒng)采用的算法,庫(kù)的設(shè)計(jì)和核心代碼都進(jìn)行了細(xì)致的描述。由于篇幅不足��,本文對(duì)整個(gè)系統(tǒng)的描述難免有不足之處����,希望此方面研究的同行��,共同研究和探討�����。
參考文獻(xiàn)
[1] 苗軍民,張彬�����,劉勁松.Windows Server 2003的安全機(jī)制分析[D].網(wǎng)絡(luò)安全與應(yīng)用��,2007.
[2] 王靜.主機(jī)安全風(fēng)險(xiǎn)評(píng)估方法研究[D].軟件導(dǎo)刊���,2007-08.
[3] 楊忠儀�����,蔡志平,肖儂.插件技術(shù)在安全掃描中的應(yīng)用[D] .中國(guó)科技信息���,2006,8.
[4] 吳金平等.Visual C++編程與實(shí)踐[M] .北京:中國(guó)水利水電出版社���,2004.
作者簡(jiǎn)介:
第7篇
關(guān)鍵詞:公鑰基礎(chǔ)設(shè)施(PKI);數(shù)字認(rèn)證(CA)�;礦區(qū)管理����;信息安全����;密碼服務(wù)器
0引言
當(dāng)前我國(guó)礦山企業(yè)安全生產(chǎn)形勢(shì)依然嚴(yán)峻����,安全生產(chǎn)基礎(chǔ)相對(duì)薄弱,事故總量還是很大����,煤礦�����、金礦等高危行業(yè)結(jié)構(gòu)不合理,應(yīng)急處置以及救援搶險(xiǎn)能力相對(duì)不足�����,部分企業(yè)違規(guī)違章現(xiàn)象依然存在�����,給安全生產(chǎn)帶來(lái)一定的安全隱患[1]��。隨著計(jì)算機(jī)通信和網(wǎng)絡(luò)技術(shù)的快速發(fā)展�����,礦山企業(yè)安全生產(chǎn)的信息化管理成為衡量企業(yè)現(xiàn)代化建設(shè)的重要指標(biāo),也是促進(jìn)企業(yè)安全生產(chǎn)�����、提升效益的重要方式�。礦區(qū)安全生產(chǎn)管理平臺(tái)在部署時(shí),采用開(kāi)放式架構(gòu)�,兼容主流信息技術(shù),在.NET平臺(tái)的基礎(chǔ)上�����,為了滿足多種信息源服務(wù)終端的需求�����,平臺(tái)采用了多種基礎(chǔ)數(shù)據(jù)庫(kù)模型技術(shù)���,保證安全管理平臺(tái)的系統(tǒng)整合能力���。平臺(tái)采用面向服務(wù)的架構(gòu)(SOA)設(shè)計(jì)�����,并基于分層和分類結(jié)合的混合模式,數(shù)據(jù)交換模式采用標(biāo)準(zhǔn)的XML等技術(shù),應(yīng)用統(tǒng)一規(guī)范的數(shù)據(jù)交換接口及應(yīng)用程序接口�����,安全機(jī)制相對(duì)可靠[2]���。平臺(tái)基于J2EE技術(shù)架構(gòu)���,支持HTML和DHTML等Web瀏覽器標(biāo)準(zhǔn)����,設(shè)計(jì)原則遵循高內(nèi)聚、低耦合的原則����,降低系統(tǒng)各個(gè)功能模塊間的耦合度,降低操作難度,提高系統(tǒng)的通用性��。根據(jù)礦山企業(yè)礦區(qū)分散����、不聚集的特點(diǎn),為保證礦山生產(chǎn)網(wǎng)和辦公信息網(wǎng)之間以及與外網(wǎng)之間的信息交換暢通����,確保信息在產(chǎn)生���、存儲(chǔ)�、傳輸和處理過(guò)程中的安全性��,需要建立全網(wǎng)統(tǒng)一的認(rèn)證與授權(quán)機(jī)制�、時(shí)間服務(wù)和密碼服務(wù)��。目前����,在各種技術(shù)����,基于PKI/CA的信息安全技術(shù)能合理的作用于礦區(qū)安全生產(chǎn)信息化管理平臺(tái),從而保證安全策略得以完整準(zhǔn)確的實(shí)現(xiàn),該技術(shù)是解決數(shù)據(jù)加密����、保護(hù)信息安全最有效的方案[3]�。
1基于PKI技術(shù)的安全生產(chǎn)管理平臺(tái)體系研究
1.1安全生產(chǎn)管理平臺(tái)的需求分析
礦區(qū)安全生產(chǎn)管理平臺(tái)為解決礦山企業(yè)安全統(tǒng)一管理應(yīng)運(yùn)而生,以安全生產(chǎn)風(fēng)險(xiǎn)管控為核心的風(fēng)險(xiǎn)管理平臺(tái)是目前各個(gè)礦山企業(yè)信息化建設(shè)的新趨勢(shì)。以安全生產(chǎn)管理為核心的平臺(tái)建設(shè)可以實(shí)現(xiàn)對(duì)危險(xiǎn)隱患的合理分析�,形成事前管理�����、事中風(fēng)險(xiǎn)預(yù)控����、事后應(yīng)急救援在內(nèi)貫穿安全生產(chǎn)管理全過(guò)程的監(jiān)督管理,從而達(dá)到提升安全管理水平的目的����。
1.2安全生產(chǎn)管理平臺(tái)的系統(tǒng)功能設(shè)計(jì)
以礦區(qū)實(shí)際情況為前提����,以信息資源規(guī)劃和開(kāi)發(fā)利用為主線�����,以安全法律法規(guī)為支撐����,根據(jù)功能需求���,在成熟的軟件開(kāi)發(fā)方法論的指導(dǎo)下���,礦山企業(yè)安全生產(chǎn)信息化管理系統(tǒng)的主要功能框架如圖1所示����,其子系統(tǒng)設(shè)計(jì)如下:包括風(fēng)險(xiǎn)管理子系統(tǒng)、事故管理子系統(tǒng)����、安全隱患管理子系統(tǒng)�、應(yīng)急救援子系統(tǒng)�、安全培訓(xùn)子系統(tǒng)、監(jiān)督檢查子系統(tǒng)���、質(zhì)量標(biāo)準(zhǔn)化子系統(tǒng)等7大部分�����。其中風(fēng)險(xiǎn)管理子系統(tǒng)主要負(fù)責(zé)礦區(qū)風(fēng)險(xiǎn)評(píng)估��,衡量事故發(fā)生的可能性并對(duì)其可能造成的相關(guān)損失進(jìn)行評(píng)估,根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果����,制定相應(yīng)的管理標(biāo)準(zhǔn)及措施�;事故管理子系統(tǒng)主要負(fù)責(zé)對(duì)已發(fā)生的事故進(jìn)行統(tǒng)計(jì)���,形成事故報(bào)告���、事故月報(bào)���、事故數(shù)據(jù)庫(kù)等�,方便查詢,根據(jù)需求進(jìn)行事故通報(bào)和責(zé)任追究�����;安全隱患管理子系統(tǒng)主要進(jìn)行安全隱患追蹤�、及時(shí)對(duì)隱患信息進(jìn)行登記、上報(bào)�����、匯總等����,形成隱患整改通知單,及時(shí)開(kāi)展追蹤和銷號(hào)管理等;應(yīng)急救援子系統(tǒng)主要針對(duì)突發(fā)緊急事件進(jìn)行預(yù)防����、救援���、恢復(fù)等管理���,以應(yīng)急救援案例庫(kù)為依托����,類比實(shí)際案例��,推送相關(guān)匹配度最高的案例輔助應(yīng)急救援決策���,此外該模塊涵蓋救援隊(duì)伍�����、救援機(jī)構(gòu)等詳細(xì)信息;安全培訓(xùn)子系統(tǒng)主要負(fù)責(zé)相關(guān)人員安全的培訓(xùn)信息統(tǒng)計(jì)����,及時(shí)對(duì)持證人員進(jìn)行過(guò)期預(yù)警提示��,服務(wù)于公司的安全培訓(xùn)管理等制度;監(jiān)督檢查子系統(tǒng)主要進(jìn)行安全活動(dòng)制定、�、總結(jié)等���,下設(shè)安全檢查�、整改落實(shí)�、經(jīng)驗(yàn)總結(jié)等三個(gè)子模塊,為安全監(jiān)督管理機(jī)構(gòu)安全檢查發(fā)現(xiàn)的問(wèn)題、形成原因、改進(jìn)措施�����、整改建議等��;質(zhì)量標(biāo)準(zhǔn)化子系統(tǒng)主要為管理人員提供標(biāo)準(zhǔn)庫(kù)查詢、檢查數(shù)據(jù)匯總等服務(wù)�����,方便現(xiàn)場(chǎng)檢查及質(zhì)量便準(zhǔn)化考核等����。
1.3安全生產(chǎn)管理平臺(tái)的PKI/CA技術(shù)分析
1.3.1PKI技術(shù)體系簡(jiǎn)介
隨著當(dāng)前信息系統(tǒng)建設(shè)的快速發(fā)展和數(shù)字網(wǎng)絡(luò)化的應(yīng)用的普及,不同部門之間���、跨部門的信息共享和綜合分析的需求也在日益增加,與此同時(shí)當(dāng)前信息網(wǎng)絡(luò)應(yīng)用中也面臨著信息量大、數(shù)據(jù)種類繁多���,不同數(shù)據(jù)訪問(wèn)要求不同等現(xiàn)狀,因此包括信息保密性��、身份認(rèn)證���、訪問(wèn)權(quán)限管理等在內(nèi)的信息安全問(wèn)題急需解決�����。公鑰基礎(chǔ)設(shè)施(publickeyinfrastructure)簡(jiǎn)稱PKI�����,為解決大型信息網(wǎng)絡(luò)面臨的安全問(wèn)題應(yīng)運(yùn)而生。PKI是當(dāng)前信息化安全建設(shè)的基礎(chǔ)和重要保證��。PKI是一種具有安全性和透明性的密鑰管理系統(tǒng)�����,通過(guò)為用戶提供密鑰和證書管理服務(wù),提供安全策略�����,從而建立安全有效的網(wǎng)絡(luò)環(huán)境�,保證數(shù)據(jù)信息在安全傳輸?shù)倪^(guò)程中不被非法偷看以及非授權(quán)者篡改等,從而達(dá)到保護(hù)用戶信息機(jī)密、完整的目的[4-6]���。通常來(lái)說(shuō)�����,一個(gè)完整的PKI系統(tǒng)包含認(rèn)證中心數(shù)CA(certificateauthority)、證書庫(kù)��、密鑰備份及恢復(fù)系統(tǒng)���,證書作廢處理系統(tǒng)���,客戶端證書處理系統(tǒng)等五大部分����,其中CA是PKI的核心執(zhí)行機(jī)構(gòu),證書庫(kù)是存放公鑰和用戶證書的信息庫(kù)[5-7]����。
1.3.2基于PKI體系的礦山安全生產(chǎn)信息化管理體系結(jié)構(gòu)
PKI作為一種安全技術(shù)�����,已經(jīng)深入到常規(guī)網(wǎng)絡(luò)的各個(gè)層面,使用戶可以在多種應(yīng)用環(huán)境中使用加密及數(shù)據(jù)簽名技術(shù)�����,是當(dāng)前網(wǎng)絡(luò)信息安全問(wèn)題的綜合解決方案�����,為企業(yè)的信息安全保駕護(hù)航。對(duì)于本文分析的礦山企業(yè)安全生產(chǎn)管理平臺(tái)�����,PKI技術(shù)將重點(diǎn)解決用戶訪問(wèn)權(quán)限����、信息傳輸、數(shù)據(jù)共享等問(wèn)題�����,如準(zhǔn)確驗(yàn)證登錄用戶身份��、保證跨部門之間的信息保密與共享�、防止信息竊取保證信息安全傳輸?shù)鹊?。礦山安全生產(chǎn)信息化管理平臺(tái)的PKI安全服務(wù)體系主要包括證書簽發(fā)管理和PKI安全服務(wù)兩部分,如圖2的方框所示。其中PKI的主體是證書機(jī)構(gòu)CA���、注冊(cè)機(jī)構(gòu)RA(registrationauthority)、密鑰管理KM(keymanagement),其中核心組成CA是數(shù)字證書的頒發(fā)機(jī)構(gòu),數(shù)字證書就是網(wǎng)絡(luò)用戶的身份證����,CA審核用戶身份等信息并與公鑰結(jié)合形成數(shù)字證書�,從而確保其真實(shí)有效性��,使得PKI能夠?yàn)榫W(wǎng)絡(luò)用戶提供較好的安全服務(wù)[7]���。RA在整個(gè)體系中起承上啟下的銜接作用�����,是連接用戶和CA之間的橋梁��,既向CA轉(zhuǎn)發(fā)證書請(qǐng)求����,也向安全服務(wù)器轉(zhuǎn)發(fā)CA簽發(fā)的證書等���。KM主要負(fù)責(zé)密鑰的備份����、恢復(fù)�����、保存等管理服務(wù),三個(gè)系統(tǒng)完成了證書簽發(fā)、管理等功能。公共安全接口具有一套通用、抽象的系統(tǒng)函數(shù)��,實(shí)現(xiàn)語(yǔ)言較多���,具體的密碼算法不會(huì)影響到該接口���,設(shè)計(jì)者可以根據(jù)自己對(duì)于系統(tǒng)的需求對(duì)安全接口進(jìn)行開(kāi)發(fā)�,該接口根據(jù)工作環(huán)節(jié)及性能分為初始化部分、安全操作部分、解編部分����、通信部分等����。
管理調(diào)度單元銜接公共安全接口與密碼服務(wù)單元���,公共安全初始化部分通過(guò)管理調(diào)度單元選擇密碼服務(wù)單元��,而管理調(diào)度單元向負(fù)載最小的密碼服務(wù)單元進(jìn)行申請(qǐng)密碼服務(wù),從而使得服務(wù)器負(fù)載均衡�����。當(dāng)系統(tǒng)調(diào)度單元出現(xiàn)故障時(shí)����,系統(tǒng)會(huì)隨機(jī)分配一個(gè)密碼服務(wù)單元,保證應(yīng)用系統(tǒng)的正常運(yùn)行�����,在保證系統(tǒng)負(fù)載均衡的同時(shí)�,也保證數(shù)據(jù)的冗余備份,從而為應(yīng)用系統(tǒng)提供及時(shí)安全的密碼服務(wù)�。密碼服務(wù)單元是PKI密碼服務(wù)的核心部分�����,負(fù)責(zé)提供相關(guān)密碼算法及密鑰管理功能。密碼服務(wù)器根據(jù)配置需求及應(yīng)用情況包含多個(gè)密碼服務(wù)單元����,當(dāng)一個(gè)單元出現(xiàn)故障時(shí)���,可以通過(guò)管理調(diào)度單元進(jìn)行分配�,從而保證應(yīng)用系統(tǒng)的正常運(yùn)行�����。密碼算法根據(jù)功能特性主要分為三類:非對(duì)稱密碼算法(公鑰密碼)����、對(duì)稱密碼算法(傳統(tǒng)密碼)和安全Hash算法[9-10]���。非對(duì)稱密碼算法計(jì)算速度相對(duì)較慢��,但其電子簽名和密鑰交換功能有更廣闊的應(yīng)用范圍;對(duì)稱密碼算法運(yùn)算速度較快�����,適用于大數(shù)據(jù)高流速的數(shù)據(jù)加密/解密功能��,但是難以實(shí)現(xiàn)用戶身份識(shí)別等功能�;安全Hash算法可以用來(lái)實(shí)現(xiàn)數(shù)據(jù)完整性驗(yàn)證和輔助電子簽名等功能���。密鑰管理主要包括密鑰的產(chǎn)生����、更新�����、泄露處理、有效期管理�、存儲(chǔ)�、銷毀等功能��,從而保證密鑰的安全有效運(yùn)行��。實(shí)時(shí)監(jiān)控單元對(duì)密碼服務(wù)器中的單元狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控,及時(shí)找到密碼服務(wù)的相關(guān)故障���,此外實(shí)時(shí)監(jiān)控單元的日志功能可以記載密碼服務(wù)器出現(xiàn)問(wèn)題的詳細(xì)信息。以PKI技術(shù)為核心的信息安全架構(gòu)體系可以有效的作用于礦山安全生產(chǎn)信息化管理平臺(tái)的正常設(shè)計(jì)和應(yīng)用中��,尤其是多層次的網(wǎng)絡(luò)系統(tǒng)中�,從而保證安全策略順利實(shí)施���,從而保證整個(gè)平臺(tái)系統(tǒng)的信息安全和應(yīng)用安全��。
2PKI/CA相關(guān)技術(shù)在礦山企業(yè)安全生產(chǎn)管理建設(shè)中的應(yīng)用效果
以密碼技術(shù)為核心的PKI/CA技術(shù)����,提高了網(wǎng)絡(luò)的安全性與可靠性�����,較好地解決了信息共享開(kāi)放與信息保密隱私的關(guān)系��、網(wǎng)絡(luò)互聯(lián)性與局部網(wǎng)絡(luò)隔離的關(guān)系,保證礦山企業(yè)安全生產(chǎn)管理建設(shè)的信息安全性,為企業(yè)內(nèi)部用戶提供了安全信賴的網(wǎng)絡(luò)環(huán)境����,保證了企業(yè)不受信息安全威脅�,為礦山的安全生產(chǎn)���、信息管理提供了技術(shù)保障�����,在數(shù)據(jù)安全管理����、業(yè)務(wù)協(xié)調(diào)以及實(shí)時(shí)智能指揮等領(lǐng)域取得了一定的應(yīng)用效果���。
2.1在數(shù)據(jù)安全管理領(lǐng)域的應(yīng)用效果
2.1.1身份認(rèn)證和訪問(wèn)控制方面
安全生產(chǎn)管理平臺(tái)用戶角色眾多����,有企業(yè)監(jiān)管人員���,公眾訪問(wèn)人員����,平臺(tái)內(nèi)部測(cè)試管理人員等,一人多賬戶多角色多權(quán)限��,容易帶來(lái)極大的安全隱患問(wèn)題��,因此具有支持多種認(rèn)證方式同時(shí)具有統(tǒng)一認(rèn)證訪問(wèn)控制的安全機(jī)制及用戶權(quán)限管理方案變的非常重要���。安全生產(chǎn)管理平臺(tái)基于PKI技術(shù)將證書策略應(yīng)用于用戶的訪問(wèn)控制中����,不同級(jí)別的登錄人員可以設(shè)置不同的訪問(wèn)權(quán)限����,通過(guò)網(wǎng)上進(jìn)行信息傳遞的身份證明,為用戶和數(shù)據(jù)之間建立起可信任的橋梁,有效的保證了平臺(tái)信息的安全服務(wù)�����。
2.1.2安全傳輸方面
礦山安全生產(chǎn)信息化管理會(huì)產(chǎn)生大量的數(shù)據(jù)�����,數(shù)據(jù)規(guī)模大���、種類繁多����,隨之而來(lái)的是數(shù)據(jù)安全管理和通訊安全的問(wèn)題��,安全的信息通訊是解決信息安全威脅的重要手段之一�。安全生產(chǎn)管理平臺(tái)采用的PKI相關(guān)技術(shù)����,可以使用不同系統(tǒng)間的跨域共享和靈活授權(quán),可以提供不同系統(tǒng)訪問(wèn)的授權(quán)管理���、密鑰管理、身份認(rèn)證����、責(zé)任認(rèn)定���,使得系統(tǒng)傳輸?shù)臄?shù)據(jù)信息具有較高的安全性����、完整性�、并在消息傳遞過(guò)程中完成信息的加密和數(shù)字簽名,大大提高了平臺(tái)通訊的安全性���。
2.2在業(yè)務(wù)協(xié)調(diào)、實(shí)時(shí)智能指揮領(lǐng)域的應(yīng)用效果
安全生產(chǎn)管理平臺(tái)以安全生產(chǎn)風(fēng)險(xiǎn)管控為核心����,在成熟的軟件開(kāi)發(fā)方法論的指導(dǎo)下���,將風(fēng)險(xiǎn)管理����、事故管理�����、安全隱患排查、應(yīng)急救援���、安全培訓(xùn)、監(jiān)督檢查等內(nèi)容整合到統(tǒng)一平臺(tái)。PKI相關(guān)技術(shù)保證了各個(gè)系統(tǒng)之間的數(shù)據(jù)共享和安全通信�,通過(guò)登陸人員訪問(wèn)權(quán)限和各模塊之間協(xié)調(diào)管理����,為公司的安全生產(chǎn)提供了技術(shù)保證����,從而對(duì)生產(chǎn)過(guò)程中的風(fēng)險(xiǎn)進(jìn)行有效管理,提升安全管理效率,降低安全生產(chǎn)事故�。PKI技術(shù)保證了系統(tǒng)通訊的正常安全運(yùn)轉(zhuǎn)���,實(shí)現(xiàn)各個(gè)系統(tǒng)之間的資源共享����,消除各個(gè)系統(tǒng)之間的信息孤島�,實(shí)現(xiàn)各個(gè)子系統(tǒng)的協(xié)調(diào)調(diào)度,使得各類用戶可以方便快捷的訪問(wèn)�����、管理平臺(tái)�����,將各類信息安全的聯(lián)系起來(lái)�,同時(shí)借助系統(tǒng)對(duì)監(jiān)控?cái)?shù)據(jù)進(jìn)行智能分析和決策支持�,使得事故實(shí)時(shí)智能指揮成為可能����,并逐步實(shí)現(xiàn)了事故管理由事后應(yīng)急響應(yīng)到事前預(yù)警提示����,對(duì)于提高礦區(qū)防災(zāi)能力�,實(shí)現(xiàn)礦區(qū)安全高效生產(chǎn)、提高安全管理水平具有重要的引領(lǐng)作用。
3結(jié)語(yǔ)
PKI技術(shù)體系通過(guò)管理數(shù)字證書和密鑰的方式����,為用戶搭建安全可靠的網(wǎng)絡(luò)平臺(tái)��,使得用戶可以在多種用戶環(huán)境中方便的進(jìn)行加密和數(shù)字簽名,保證了礦區(qū)安全生產(chǎn)管理平臺(tái)身份識(shí)別�����、信息傳遞�、訪問(wèn)權(quán)限等的安全實(shí)施,依托數(shù)字證書����、密鑰管理等技術(shù)����,可以有效的生成��、保存�、更新管理密鑰����,解決了網(wǎng)絡(luò)身份認(rèn)證、信息完整性和抗依賴性等安全難題,為解決礦山安全生產(chǎn)信息化管理中存在的信息安全等因素提供了強(qiáng)大的技術(shù)支撐��??紤]到PKI技術(shù)本身缺點(diǎn)以及礦山企業(yè)的行業(yè)特性,該技術(shù)仍有一定的缺陷。在實(shí)際中���,PKI技術(shù)構(gòu)建和運(yùn)行成本高昂,此外用戶認(rèn)識(shí)水平、相關(guān)法律政策等因素的制約����,都不利于PKI技術(shù)應(yīng)用發(fā)展。因此��,需要解決多個(gè)獨(dú)立PKI系統(tǒng)之間的交叉認(rèn)證與互操作性等����,以及證書過(guò)期、撤銷、丟失帶來(lái)的密鑰托管和證書安全等問(wèn)題[11]���。盡管如此,PKI技術(shù)的前景仍然是廣闊的�����,隨著相關(guān)技術(shù)的快速發(fā)展����,PKI相關(guān)技術(shù)仍然是礦山安全管理信息化建設(shè)中解決通訊安全問(wèn)題的必然選擇。
參考文獻(xiàn)
[1]劉星魁���,謝金亮,LIUXing-kui�����,等.煤礦安全生產(chǎn)現(xiàn)狀及對(duì)策探討[J].煤炭技術(shù)��,2008�,27(1):139-141.
[2]史科蕾����,石秋發(fā).基于PKI/CA技術(shù)在礦區(qū)服務(wù)平臺(tái)中安全管理的設(shè)計(jì)與實(shí)現(xiàn)[J].煤炭技術(shù),2013(6):280-281.
[3]熊萬(wàn)安���,龔耀寰.基于公開(kāi)密鑰基礎(chǔ)結(jié)構(gòu)(PKI)的信息安全技術(shù)[J].電子科技大學(xué)學(xué)報(bào):社會(huì)科學(xué)版���,2001�����,3(1):4-6.
[4]張慧.PKI技術(shù)研究[J].湖北第二師范學(xué)院學(xué)報(bào)�,2007,24(8):42-44.
[5]李彥��,王柯柯.基于PKI技術(shù)的認(rèn)證中心研究[J].計(jì)算機(jī)科學(xué)���,2006��,33(2):110-112.
[6]謝冬青����,冷?���。甈KI原理與技術(shù)[M].北京:清華大學(xué)出版社,2004.
[7]黃蘭英.PKI技術(shù)和網(wǎng)絡(luò)安全模型研究[J].孝感學(xué)院學(xué)報(bào)����,2007��,27(6):62-64.
[8]陳雨婕.基于PKI的礦山企業(yè)網(wǎng)絡(luò)信息安全研究[J].礦山測(cè)量,2011(3):46-47.
[9]秦志光.密碼算法的現(xiàn)狀和發(fā)展研究[J].計(jì)算機(jī)應(yīng)用�,2004��,24(2):1-4.
[10]張曉豐,樊啟華�����,程紅斌.密碼算法研究[J].計(jì)算機(jī)技術(shù)與發(fā)展���,2006�,16(2):179-180.
第8篇
[關(guān)鍵詞] 信息系統(tǒng)����;審計(jì);特點(diǎn)�;目標(biāo)�;流程
[中圖分類號(hào)] F239.1 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194(2013)03- 0029- 03
進(jìn)入21世紀(jì)�����,隨著計(jì)算機(jī)技術(shù)的不斷進(jìn)步��,以計(jì)算機(jī)為核心的信息系統(tǒng)得到了迅猛發(fā)展,信息系統(tǒng)也廣泛深入地滲透到社會(huì)的各個(gè)領(lǐng)域���。被審計(jì)單位高度依賴信息系統(tǒng)來(lái)提高工作效率和加強(qiáng)管理已成為必然。信息系統(tǒng)作為被審計(jì)單位的主要資源,它的安全性����、可靠性�����、有效性和效率性必須得到充分的保障。因此,信息系統(tǒng)審計(jì)便應(yīng)運(yùn)而生�。
1 信息系統(tǒng)審計(jì)的含義及特點(diǎn)
信息系統(tǒng)審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范�,對(duì)信息系統(tǒng)從規(guī)劃���、實(shí)施到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審查評(píng)價(jià)�����,對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整性�、有效性�����、效率性、安全性等進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過(guò)程以確定預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn),并提出一系列改進(jìn)建議的管理活動(dòng)���。信息系統(tǒng)區(qū)別于傳統(tǒng)的手工審計(jì),具有以下特點(diǎn)���。
1.1 審計(jì)內(nèi)容具有廣泛性
信息系統(tǒng)審計(jì)的對(duì)象是以計(jì)算機(jī)為核心的信息系統(tǒng)�����。在信息系統(tǒng)中,計(jì)算機(jī)按照設(shè)計(jì)好的程序自動(dòng)處理數(shù)據(jù),中間一般不再進(jìn)行人工干預(yù)���。這樣,系統(tǒng)的合法性、效益性��、輸出結(jié)果的真實(shí)性不僅取決于輸入的數(shù)據(jù)��、工作人員�����,還取決于計(jì)算機(jī)的硬件和軟件等。要確定系統(tǒng)的合法性、效益性�、輸出結(jié)果的真實(shí)性�����,不僅要對(duì)輸出數(shù)據(jù)、工作人員����、打印輸出的資料進(jìn)行審查�,而且還要對(duì)系統(tǒng)的硬件���、系統(tǒng)軟件�、應(yīng)用軟件和數(shù)據(jù)文件進(jìn)行審查���,這些工作在傳統(tǒng)的手工審計(jì)中是沒(méi)有的���。從生命周期看�����,信息系統(tǒng)審計(jì)覆蓋了信息系統(tǒng)從開(kāi)發(fā)�、運(yùn)行���、維護(hù)到報(bào)廢的全生命周期的各種業(yè)務(wù)�。因此,信息系統(tǒng)的審計(jì)范圍要比傳統(tǒng)的手工審計(jì)更為廣泛�。
1.2 審計(jì)線索具有隱蔽性和易逝性
在信息系統(tǒng)中��,審計(jì)線索大部分存儲(chǔ)在介質(zhì)上(例如硬盤),這些線索容易被更改���、隱匿、轉(zhuǎn)移�、偽造����。在審計(jì)中����,如果操作不當(dāng),很可能破壞系統(tǒng)的數(shù)據(jù)文件和程序��,不僅銷毀了重要的審計(jì)線索�����,而且干擾了被審計(jì)單位的工作。
1.3 審計(jì)技術(shù)具有復(fù)雜性
首先�����,被審計(jì)單位的信息系統(tǒng)配備的計(jì)算機(jī)硬件�����、軟件有很大的差異����。審計(jì)人員在審計(jì)過(guò)程中����,要和信息系統(tǒng)的硬件和系統(tǒng)軟件打交道����,這就增加了審計(jì)技術(shù)的復(fù)雜性����。其次,被審計(jì)單位的業(yè)務(wù)規(guī)模和性質(zhì)不同�,所采用的數(shù)據(jù)處理及存儲(chǔ)方式也不同��,審計(jì)所采用的方法、技術(shù)也不同��。第三����,不同被審計(jì)單位的應(yīng)用軟件開(kāi)發(fā)方式、所使用的程序設(shè)計(jì)語(yǔ)言也不同���,其審計(jì)方法和技術(shù)也不同�。
1.4 審計(jì)取證具有動(dòng)態(tài)性
在很多被審計(jì)單位中,信息系統(tǒng)已經(jīng)成為一個(gè)中樞系統(tǒng)���,系統(tǒng)如果停止工作,將會(huì)直接影響被審計(jì)單位的經(jīng)營(yíng)管理活動(dòng)。因此����,信息系統(tǒng)審計(jì)���,一般是在系統(tǒng)運(yùn)行的過(guò)程中進(jìn)行取證�,審計(jì)人員在完成審計(jì)任務(wù)的同時(shí)�����,不能妨礙和干擾被審計(jì)單位系統(tǒng)的正常運(yùn)行�����,這就給審計(jì)取證帶來(lái)一定的難度。
1.5 信息系統(tǒng)審計(jì)是事后��、事前�、事中審計(jì)的結(jié)合體
如信息系統(tǒng)在開(kāi)發(fā)過(guò)程中,由審計(jì)人員介入所進(jìn)行的審計(jì)屬于事中審計(jì)��。此項(xiàng)審計(jì)相對(duì)于系統(tǒng)運(yùn)行后而對(duì)其所進(jìn)行的審計(jì)而言又可以看作是事前審計(jì)�����;信息系統(tǒng)運(yùn)行后���,對(duì)其在一定期間的運(yùn)作情況所進(jìn)行的審計(jì)則為事后審計(jì)���。
2 信息系統(tǒng)審計(jì)目標(biāo)
審計(jì)機(jī)關(guān)針對(duì)被審計(jì)單位信息系統(tǒng)開(kāi)展審計(jì)���,目的是揭示由于信息系統(tǒng)缺陷導(dǎo)致的信息安全風(fēng)險(xiǎn)、經(jīng)濟(jì)安全風(fēng)險(xiǎn)����,促進(jìn)被審計(jì)單位加強(qiáng)信息化環(huán)境下的內(nèi)部管理和控制����,提高信息化建設(shè)項(xiàng)目的效益����,同時(shí)保證審計(jì)所需數(shù)據(jù)的可靠性、可用性�,降低審計(jì)風(fēng)險(xiǎn)��。
2.1 保證信息系統(tǒng)的合規(guī)性和合法性
隨著信息系統(tǒng)在組織中的應(yīng)用范圍日益擴(kuò)大和應(yīng)用水平日益提高��,利用信息系統(tǒng)進(jìn)行違法犯罪的可能性越來(lái)越大,手段也越來(lái)越隱蔽。在信息化環(huán)境下�����,被審計(jì)單位依賴于信息系統(tǒng),通過(guò)對(duì)信息系統(tǒng)的輸入、處理、輸出及控制功能是否符合國(guó)家的法律、法規(guī)和有關(guān)部門的規(guī)章制度的審查����,不僅可以有效地堵塞犯罪����,而且可以避免國(guó)家和組織遭受由此帶來(lái)的損失�����。
2.2 保證數(shù)據(jù)的準(zhǔn)確性
數(shù)據(jù)準(zhǔn)確性是指數(shù)據(jù)能夠滿足規(guī)定的條件,防止錯(cuò)誤信息的輸入和輸出����,以及非授權(quán)狀態(tài)下修改信息所造成的無(wú)效操作和錯(cuò)誤后果���。各種復(fù)雜業(yè)務(wù)的出現(xiàn)對(duì)信息是否真實(shí)����、完整提出了鑒證要求。如果數(shù)據(jù)完整性得不到保護(hù)�����,被審計(jì)單位就會(huì)失去競(jìng)爭(zhēng)優(yōu)勢(shì)���。然而���,維護(hù)數(shù)據(jù)的完整性需要成本,因此���,要確保所獲收益大于所需的控制步驟的成本。信息系統(tǒng)審計(jì)有助于控制信息處理系統(tǒng)的風(fēng)險(xiǎn)���,提高事務(wù)處理的完整性,實(shí)現(xiàn)組織目標(biāo)���。
2.3 保護(hù)資產(chǎn)的完整性
信息系統(tǒng)的資產(chǎn)包括硬件、軟件����、數(shù)據(jù)文件、系統(tǒng)文檔等。由于重要的系統(tǒng)文檔���、軟件、數(shù)據(jù)文件等資產(chǎn)一般集中存放在信息系統(tǒng)中,如果信息系統(tǒng)的運(yùn)行出現(xiàn)故障��,如服務(wù)器宕機(jī)�、遭到木馬等病毒攻擊、業(yè)務(wù)資料被盜、系統(tǒng)突然發(fā)生死機(jī)等故障����,會(huì)對(duì)被審計(jì)單位的資產(chǎn)保護(hù)造成巨大威脅�����。所以保護(hù)信息系統(tǒng)資產(chǎn)的完整性成為許多組織要達(dá)到的一個(gè)重要目標(biāo),也是信息系統(tǒng)審計(jì)追求的目標(biāo)之一�。
2.4 提高系統(tǒng)的有效性
系統(tǒng)的有效性是指系統(tǒng)能否達(dá)到預(yù)期的目標(biāo)���。有效性審計(jì)常在系統(tǒng)運(yùn)行一段時(shí)間之后進(jìn)行�,以評(píng)估系統(tǒng)是否能夠?qū)崿F(xiàn)既定的目標(biāo)�,這個(gè)評(píng)估為系統(tǒng)是否繼續(xù)運(yùn)行或者進(jìn)行某種程度的修改提供決策。有效性審計(jì)也可以在系統(tǒng)設(shè)計(jì)階段進(jìn)行�。信息系統(tǒng)審計(jì)從獨(dú)立�����、客觀、公正的第三方角度,以目標(biāo)驅(qū)動(dòng),對(duì)信息的質(zhì)量進(jìn)行審查�,對(duì)產(chǎn)生信息的系統(tǒng)�、信息的產(chǎn)生過(guò)程及相應(yīng)的內(nèi)部控制進(jìn)行評(píng)價(jià)、審計(jì)���,審查業(yè)務(wù)數(shù)據(jù)并評(píng)估其完整性和可靠性,從而為管理者了解用戶的特征和決策環(huán)境提供了依據(jù)���。
2.5 提高系統(tǒng)的效率性
系統(tǒng)的效率是指系統(tǒng)達(dá)到預(yù)定目標(biāo)所消耗的資源。信息系統(tǒng)的效率主要取決于計(jì)算機(jī)硬件的配置和軟件設(shè)計(jì)的水平�。硬件選擇要科學(xué)、合理、協(xié)調(diào)�,不是越先進(jìn)越好�、越貴越好���。軟件設(shè)計(jì)主要是指要在充分滿足業(yè)務(wù)需求的基礎(chǔ)上構(gòu)造出高效的算法�����。
3 信息系統(tǒng)審計(jì)流程
信息系統(tǒng)審計(jì)有兩種組織方式:一種是將信息系統(tǒng)審計(jì)作為常規(guī)項(xiàng)目審計(jì)的一部分����,是為整個(gè)審計(jì)項(xiàng)目的總體目標(biāo)服務(wù)的���。另一種是獨(dú)立立項(xiàng)的信息系統(tǒng)審計(jì)��,直接針對(duì)信息系統(tǒng)進(jìn)行審計(jì)���,將信息系統(tǒng)本身的安全性���、可靠性和有效性作為審計(jì)目標(biāo)����。不管哪種組織方式�,其流程是相同的,分為準(zhǔn)備階段、實(shí)施階段、報(bào)告階段�。
3.1 準(zhǔn)備階段
信息系統(tǒng)都是根據(jù)本單位業(yè)務(wù)流程開(kāi)發(fā)出來(lái)的����,因此�����,調(diào)查了解被審計(jì)單位的業(yè)務(wù)流程以及及信息系統(tǒng)基本情況應(yīng)該作為審計(jì)工作的第一步。審計(jì)人員進(jìn)入被審計(jì)單位了解信息系統(tǒng)開(kāi)發(fā)使用情況����、業(yè)務(wù)量大小和數(shù)據(jù)完整程度�����,以判斷是否適合開(kāi)展信息系統(tǒng)審計(jì)以及風(fēng)險(xiǎn)大小。然后審計(jì)人員要明確審計(jì)目的���,確定審計(jì)范圍和重點(diǎn),制訂信息系統(tǒng)審計(jì)實(shí)施方案����,確定所需的時(shí)間�����、人員和測(cè)試所需的軟件及硬件設(shè)備。在調(diào)查階段還可以預(yù)先進(jìn)行數(shù)據(jù)庫(kù)分析工作����,分析數(shù)據(jù)庫(kù)中表的結(jié)構(gòu)以及字段名�。這樣在正式實(shí)施審計(jì)時(shí)能夠節(jié)約時(shí)間��、提高效率����。
3.2 實(shí)施階段
在實(shí)施階段����,審計(jì)人員的工作主要是采用相應(yīng)的審計(jì)方法,對(duì)信息系統(tǒng)進(jìn)行測(cè)試���、分析,取得審計(jì)證據(jù)��。其中的重點(diǎn)環(huán)節(jié)分為內(nèi)部控制審計(jì)���、應(yīng)用程序?qū)徲?jì)和系統(tǒng)安全性審計(jì)等部分���。
3.2.1 內(nèi)部控制審計(jì)
為了對(duì)信息系統(tǒng)的內(nèi)控制度進(jìn)行評(píng)價(jià)�,審計(jì)人員必須驗(yàn)證內(nèi)部控制制度是否合理,并取得審計(jì)證據(jù)�����,證明內(nèi)控制度的完整性和有效性�。(1)組織管理控制審計(jì):檢查被審計(jì)單位信息系統(tǒng)的管理制度,了解被審計(jì)單位是否制定了完善的人員分工�����、業(yè)務(wù)授權(quán)和崗位職責(zé)分離制度����,是否建立了內(nèi)部監(jiān)督和考核機(jī)制。(2)數(shù)據(jù)安全控制審計(jì):檢查信息系統(tǒng)以及數(shù)據(jù)庫(kù)有無(wú)加密措施或是權(quán)限設(shè)置來(lái)控制未經(jīng)授權(quán)的人員進(jìn)行系統(tǒng)文件及數(shù)據(jù)的存取��。(3)計(jì)算機(jī)病毒及控制審計(jì):信息系統(tǒng)是否有良好的硬件和軟件措施來(lái)防止計(jì)算機(jī)病毒入侵�����,病毒軟件是否定期升級(jí)以及是否有漏洞掃描措施�。(4)環(huán)境控制審計(jì):實(shí)地檢查機(jī)房物理環(huán)境��,審查是否為信息系統(tǒng)硬件設(shè)備提供必要的工作環(huán)境��,保證設(shè)備正常運(yùn)轉(zhuǎn)。(5)信息系統(tǒng)開(kāi)發(fā)維護(hù)控制審計(jì):審計(jì)人員應(yīng)對(duì)系統(tǒng)的開(kāi)發(fā)維護(hù)過(guò)程進(jìn)行審查�,應(yīng)審查是否有立項(xiàng)申請(qǐng)報(bào)告���,報(bào)告是否經(jīng)過(guò)專家論證,審查是否有系統(tǒng)說(shuō)明書對(duì)開(kāi)發(fā)過(guò)程進(jìn)行控制等�����。(6)災(zāi)難恢復(fù)控制審計(jì):檢查是否有系統(tǒng)災(zāi)難恢復(fù)計(jì)劃�,評(píng)估計(jì)劃的充分性和實(shí)效性。是否定期或在重要操作前對(duì)數(shù)據(jù)進(jìn)行備份���,是否有異地容災(zāi)或備份設(shè)施,以減少意外導(dǎo)致?lián)p失的可能性��。(7)數(shù)據(jù)處理控制:檢查應(yīng)用程序的的輸入�����、處理和輸出控制是否健全有效�。(8)應(yīng)用程序控制:檢查程序編碼是否符合規(guī)章制度的規(guī)定���,是否正確地進(jìn)行了邏輯處理���。
內(nèi)部控制審計(jì)的主要方法包括:詢問(wèn)法�、檢查法、觀察法等。詢問(wèn)法是指與被審計(jì)單位人員面對(duì)面交談���、詢問(wèn)有關(guān)情況以收集審計(jì)證據(jù)的方法;檢查法主要是檢查與信息系統(tǒng)有關(guān)的文檔,以了解信息系統(tǒng)的總體情況、控制情況以及開(kāi)發(fā)設(shè)計(jì)情況等,并將檢查過(guò)程和結(jié)果記入工作底稿中�;觀察法是審計(jì)人員對(duì)信息系統(tǒng)的物理環(huán)境�����、硬件設(shè)施和辦公場(chǎng)所,對(duì)信息系統(tǒng)的開(kāi)發(fā)設(shè)計(jì)����、構(gòu)成和操作情況進(jìn)行了解����,對(duì)控制措施的實(shí)施進(jìn)行實(shí)地查看的方法���。
3.2.2 應(yīng)用程序?qū)徲?jì)
程序是差錯(cuò)和舞弊最容易發(fā)生的地方�����,只有通過(guò)對(duì)應(yīng)用程序進(jìn)行審計(jì)����,才能對(duì)系統(tǒng)的合規(guī)性���、合法性、正確性、有效性做出評(píng)價(jià)����。應(yīng)用程序?qū)徲?jì)方法包括:測(cè)試數(shù)據(jù)法 、程序編碼代碼檢查法、程序運(yùn)行結(jié)果檢查法、平行模擬法���、嵌入審計(jì)模塊法、虛擬實(shí)體法、受控處理法����、受控再處理法和日志檢查法等��。(1)測(cè)試數(shù)據(jù)法是指審計(jì)人員把預(yù)先設(shè)計(jì)好的檢測(cè)數(shù)據(jù)輸入到計(jì)算機(jī)中,讓被審計(jì)程序處理,觀察比較輸出是否與預(yù)期相符����。(2)程序編碼檢查法是通過(guò)對(duì)被審程序的指令逐條來(lái)發(fā)現(xiàn)存在的問(wèn)題����,并對(duì)程序的合法性�、能否完成預(yù)定功能及其質(zhì)量進(jìn)行評(píng)判的方法�����。(3)程序運(yùn)行結(jié)果檢查法是指通過(guò)對(duì)系統(tǒng)輸出結(jié)果的檢查���,來(lái)判斷信息系統(tǒng)處理功能的正確性和有效性�。(4)平行模擬法是指審計(jì)人員自己或請(qǐng)計(jì)算機(jī)專業(yè)人員開(kāi)發(fā)一個(gè)與被審計(jì)單位信息系統(tǒng)或程序模塊功能相同的模擬系統(tǒng)��,將被審計(jì)單位的實(shí)際數(shù)據(jù)放入模擬系統(tǒng)中運(yùn)行��,觀察其輸出是否與被審計(jì)單位信息系統(tǒng)相一致。(5)嵌入審計(jì)模塊法是在被審計(jì)單位的信息系統(tǒng)中加入為執(zhí)行特定的審計(jì)功能而設(shè)計(jì)的程序代碼�,它可以在特定的條件下觸發(fā)����,為審計(jì)人員提供有關(guān)數(shù)據(jù)和報(bào)告��。(6)虛擬實(shí)體法是對(duì)測(cè)試數(shù)據(jù)法的改良���,一般是在信息系統(tǒng)中建立虛擬的實(shí)體����,然后將虛擬實(shí)體的有關(guān)數(shù)據(jù)與真實(shí)的數(shù)據(jù)一起輸入信息系統(tǒng)進(jìn)行處理����,最后將輸出結(jié)果與預(yù)期進(jìn)行比較,確定信息系統(tǒng)的控制功能是否發(fā)生作用���。(7)受控處理法是指審計(jì)人員在對(duì)被審計(jì)單位的真實(shí)業(yè)務(wù)數(shù)據(jù)在處理之前先進(jìn)行核實(shí),然后在被審計(jì)單位的信息系統(tǒng)中監(jiān)督處理或親自處理����,并將處理結(jié)果與預(yù)期結(jié)果進(jìn)行比較分析,以判斷被審計(jì)單位的系統(tǒng)是否符合規(guī)定的要求�。(8)受控再處理法是將已經(jīng)由被審計(jì)單位處理過(guò)的數(shù)據(jù)��,在審計(jì)人員的監(jiān)督下,或由審計(jì)人員親自在相同的信息系統(tǒng)上再處理一次�,將二次處理的結(jié)果相比較����,判斷當(dāng)前的信息系統(tǒng)程序是否符合既定要求�。(9)日志檢查法是指通過(guò)對(duì)系統(tǒng)自動(dòng)記錄日志的檢查來(lái)推測(cè)信息系統(tǒng)的處理和控制功能是否正常。
3.2.3 系統(tǒng)安全性審計(jì)
信息系統(tǒng)安全審計(jì)的內(nèi)容有:數(shù)據(jù)庫(kù)安全審計(jì)�����、網(wǎng)絡(luò)安全審計(jì)和邏輯訪問(wèn)控制審計(jì)。
數(shù)據(jù)庫(kù)安全是保證信息系統(tǒng)能夠正常運(yùn)行的基礎(chǔ)���,數(shù)據(jù)庫(kù)安全審計(jì)是系統(tǒng)安全性測(cè)試審計(jì)的一個(gè)重要環(huán)節(jié)。數(shù)據(jù)庫(kù)安全審計(jì)的重點(diǎn)是分析和測(cè)試數(shù)據(jù)庫(kù)數(shù)據(jù)的一致性����、完整性����,數(shù)據(jù)規(guī)劃的合理性��,以及數(shù)據(jù)庫(kù)訪問(wèn)的安全性��。
網(wǎng)絡(luò)安全審計(jì)需要審查信息系統(tǒng)的數(shù)據(jù)在傳輸中是否完整、安全����。檢查網(wǎng)絡(luò)是否有能力阻止黑客入侵��、木馬攻擊,是否配備防火墻���。是否有文件共享檢測(cè)、流量監(jiān)測(cè)以及對(duì)異常流量的識(shí)別和報(bào)警����,網(wǎng)絡(luò)設(shè)備運(yùn)行的監(jiān)測(cè)等。
邏輯訪問(wèn)控制審計(jì)檢查是否只有被授權(quán)的用戶才能使用信息系統(tǒng)、訪問(wèn)信息系統(tǒng)中的信息�����。比如檢查授權(quán)用戶密碼強(qiáng)度是否足夠�,檢查操作人員是否進(jìn)行分工,是否經(jīng)過(guò)授權(quán)操作且只能操作特定模塊,用戶開(kāi)設(shè)、終止、授權(quán)是否存在漏洞等�。
3.3 報(bào)告階段
第9篇
一�、公司風(fēng)險(xiǎn)管理的必要性與風(fēng)險(xiǎn)管理過(guò)程的目標(biāo)
(一)實(shí)行風(fēng)險(xiǎn)管理的必要性
競(jìng)爭(zhēng)能力關(guān)系到公司的生存與發(fā)展����,競(jìng)爭(zhēng)必然帶來(lái)風(fēng)險(xiǎn)。由于未來(lái)環(huán)境的不確定性,管理層對(duì)戰(zhàn)略計(jì)劃預(yù)算的決策�����、組織實(shí)施���、資源利用效果和效益難以把握�,因而實(shí)現(xiàn)目標(biāo)的管理過(guò)程客觀存在風(fēng)險(xiǎn),有必要實(shí)行風(fēng)險(xiǎn)管理�����。
“風(fēng)險(xiǎn)”是指某種不利因素產(chǎn)生的可能性��,其衡量標(biāo)準(zhǔn)是遭受損失的后果與可能性�?!帮L(fēng)險(xiǎn)”具有雙面性,它既可能帶來(lái)?yè)p失(負(fù)面影響),也可能帶來(lái)機(jī)會(huì)(正面影響)。公司是以盈利為目的的法人實(shí)體�����,目標(biāo)是維護(hù)信譽(yù)與價(jià)值�。公司可能面臨的風(fēng)險(xiǎn)有:⑴組織風(fēng)險(xiǎn)。組織結(jié)構(gòu)和戰(zhàn)略目標(biāo)的適應(yīng)程度。⑵企業(yè)文化���、人員素質(zhì)對(duì)競(jìng)爭(zhēng)環(huán)境的適應(yīng)及全員對(duì)戰(zhàn)略目標(biāo)和管理政策決策的認(rèn)同程度�。⑶生產(chǎn)經(jīng)營(yíng)風(fēng)險(xiǎn)。不經(jīng)濟(jì)地獲取或無(wú)效利用資源��。⑷采用新技術(shù)風(fēng)險(xiǎn)���。包括革新成本高于收益���,技術(shù)周期過(guò)短或運(yùn)用新技術(shù)干擾日常工作����。⑸信譽(yù)風(fēng)險(xiǎn)。產(chǎn)品或服務(wù)不受歡迎,媒體負(fù)面宣傳等使公司信譽(yù)受損。⑹內(nèi)部控制風(fēng)險(xiǎn)。對(duì)記錄��、計(jì)算機(jī)程序及數(shù)據(jù)文件等的接觸���,缺乏權(quán)限控制及會(huì)計(jì)核算錯(cuò)誤和舞弊行為。⑺業(yè)績(jī)?cè)u(píng)價(jià)風(fēng)險(xiǎn)。以不適當(dāng)?shù)臉?biāo)準(zhǔn)體系衡量業(yè)績(jī),或未對(duì)經(jīng)營(yíng)業(yè)績(jī)定期進(jìn)行獨(dú)立的審查,影響公司的效益、效率和效果���。⑻資產(chǎn)安全。因授權(quán)和分工不當(dāng)影響資產(chǎn)的保護(hù)。⑼使用錯(cuò)誤或片面的信息資料導(dǎo)致決策失誤��。⑽活動(dòng)偏離政策�����、計(jì)劃��、程序,影響目標(biāo)和任務(wù)的完成。
各種風(fēng)險(xiǎn)因素由于客觀條件的綜合作用,表現(xiàn)為風(fēng)險(xiǎn)征兆�����,如不及時(shí)控制其變化趨勢(shì)和觸發(fā)條件����,將給公司經(jīng)營(yíng)帶來(lái)?yè)p失��。實(shí)行風(fēng)險(xiǎn)管理����,建立風(fēng)險(xiǎn)控制體系�,可轉(zhuǎn)化風(fēng)險(xiǎn)影響,爭(zhēng)取有利后果����。對(duì)風(fēng)險(xiǎn)來(lái)源�、可能的風(fēng)險(xiǎn)事件和風(fēng)險(xiǎn)征兆預(yù)測(cè)分析后�����,采取風(fēng)險(xiǎn)應(yīng)對(duì)措施是風(fēng)險(xiǎn)管理過(guò)程關(guān)鍵所在���,包括通過(guò)消除風(fēng)險(xiǎn)起因來(lái)規(guī)避某一特定威脅�����,如強(qiáng)化控制降低風(fēng)險(xiǎn),通過(guò)合作者分擔(dān)或投保轉(zhuǎn)移風(fēng)險(xiǎn)�,采取調(diào)整投資回報(bào)率或其它措施來(lái)減輕風(fēng)險(xiǎn)損失��。管理層在比較控制、規(guī)避風(fēng)險(xiǎn)的成本和預(yù)期貨幣值�,權(quán)衡利弊后接受剩余風(fēng)險(xiǎn)�。
(二)評(píng)價(jià)公司實(shí)現(xiàn)風(fēng)險(xiǎn)管理過(guò)程的目標(biāo)
公司管理層出于了解和處理所面對(duì)風(fēng)險(xiǎn)的需要�,必須建立機(jī)制以識(shí)別、分析與管理相關(guān)的風(fēng)險(xiǎn)����,稱之為風(fēng)險(xiǎn)管理過(guò)程��。內(nèi)部審計(jì)評(píng)價(jià)風(fēng)險(xiǎn)管理的充分性��,應(yīng)取得審計(jì)證據(jù)�,確認(rèn)是否達(dá)到風(fēng)險(xiǎn)管理過(guò)程的五個(gè)主要目標(biāo)����,即:⑴找出影響經(jīng)營(yíng)戰(zhàn)略與業(yè)務(wù)活動(dòng)領(lǐng)域的風(fēng)險(xiǎn),按風(fēng)險(xiǎn)大小排序;⑵管理層和審計(jì)委員會(huì)已經(jīng)確定了公司可以接受的剩余風(fēng)險(xiǎn)��,包括為實(shí)現(xiàn)戰(zhàn)略目標(biāo)而接受的風(fēng)險(xiǎn)��;⑶設(shè)計(jì)和實(shí)施了降低風(fēng)險(xiǎn)的內(nèi)控活動(dòng)��,把風(fēng)險(xiǎn)降低和控制在管理層和審計(jì)委員會(huì)可以接受的水平上;⑷持續(xù)地觀測(cè)監(jiān)督活動(dòng)����,定期對(duì)風(fēng)險(xiǎn)的控制及有效性進(jìn)行再評(píng)估�����,降低管理風(fēng)險(xiǎn);⑸管理層定期聽(tīng)取風(fēng)險(xiǎn)管理過(guò)程的結(jié)果報(bào)告�。公司經(jīng)營(yíng)管理過(guò)程應(yīng)該包括定期向有相關(guān)利益各方傳達(dá)風(fēng)險(xiǎn)預(yù)測(cè)�、風(fēng)險(xiǎn)戰(zhàn)略和控制情況��。最后��,管理層所應(yīng)用的特定風(fēng)險(xiǎn)管理過(guò)程必須適合該公司的企業(yè)文化���,管理風(fēng)格以及工作目標(biāo)�。
二���、內(nèi)部審計(jì)在風(fēng)險(xiǎn)管理中的優(yōu)勢(shì)
內(nèi)部審計(jì)處于相對(duì)獨(dú)立的地位和在管理過(guò)程定的職能�����,在評(píng)價(jià)內(nèi)部控制、協(xié)助建立健全風(fēng)險(xiǎn)控制過(guò)程方面具有諸多優(yōu)勢(shì)和重要作用。
首先�����,內(nèi)部審計(jì)以推進(jìn)公司規(guī)范化運(yùn)作和管理����,優(yōu)化內(nèi)控環(huán)境,增加公司價(jià)值為目的�����,具備服務(wù)內(nèi)向性的定位優(yōu)勢(shì)���。相對(duì)于國(guó)家審計(jì)與中介審計(jì)��,內(nèi)審始終圍繞增加公司價(jià)值開(kāi)展工作���,目標(biāo)定位是“管理��,效益”。它與公司的生存發(fā)展息息相關(guān)。它熟悉管理過(guò)程、貼近內(nèi)部管理����,是規(guī)范經(jīng)營(yíng)管理的助推器���。
其二��,內(nèi)部審計(jì)是一個(gè)持續(xù)的內(nèi)部監(jiān)督服務(wù)過(guò)程,是現(xiàn)代企業(yè)管理的重要職能,其作用是其它職能部門無(wú)法替代的�。內(nèi)部審計(jì)處于公司各職能部門或所屬分支機(jī)構(gòu)之間�,不直接參與經(jīng)營(yíng)活動(dòng)����,具有相對(duì)的獨(dú)立性�。因此,內(nèi)審不僅要抓好以評(píng)價(jià)經(jīng)營(yíng)活動(dòng)及其信息的真實(shí)性、合規(guī)性為主要內(nèi)容的基礎(chǔ)審計(jì),還要利用基礎(chǔ)審計(jì)資料����,通過(guò)開(kāi)展對(duì)各種信息的真實(shí)完整�、資產(chǎn)安全�����、資源有效利用的全面審計(jì)活動(dòng)�,評(píng)價(jià)內(nèi)控制度的健全性��、遵循性����、科學(xué)性;保證戰(zhàn)略目標(biāo)和計(jì)劃����、各種政策��、制度、程序得以貫徹執(zhí)行�;檢查公司目標(biāo)的完成情況和運(yùn)營(yíng)的效率、效果與效益�,提出改進(jìn)意見(jiàn),并抓好整改促進(jìn)規(guī)范化管理���。
其三,實(shí)行內(nèi)部審計(jì)是企業(yè)風(fēng)險(xiǎn)管理的需要�。公司外部環(huán)境的快速變化和成本壓力��、諸多風(fēng)險(xiǎn)因素給管理層危機(jī)感,需要建立內(nèi)部權(quán)力制衡機(jī)制和激勵(lì)約束機(jī)制���,以保證公司控制政策�、程序和控制活動(dòng)的實(shí)施���。內(nèi)部審計(jì)通過(guò)內(nèi)控制度的評(píng)價(jià)����,對(duì)公司經(jīng)營(yíng)活動(dòng)進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)價(jià)����,符合公司市場(chǎng)化經(jīng)營(yíng)管理的需要。內(nèi)審職責(zé)是采取系統(tǒng)化、規(guī)范化的方法促進(jìn)建立風(fēng)險(xiǎn)管理過(guò)程����,強(qiáng)化內(nèi)部控制,改進(jìn)風(fēng)險(xiǎn)管理與控制體系,通過(guò)審計(jì)及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn),報(bào)告預(yù)測(cè)后果���,提請(qǐng)管理層關(guān)注風(fēng)險(xiǎn)���、科學(xué)決策�,完善管理���、提高效率,轉(zhuǎn)化風(fēng)險(xiǎn)負(fù)面影響����,利用風(fēng)險(xiǎn)機(jī)會(huì)提升企業(yè)競(jìng)爭(zhēng)能力和應(yīng)變能力���,從而實(shí)現(xiàn)公司目標(biāo)。
三����、內(nèi)部審計(jì)在風(fēng)險(xiǎn)管理過(guò)程如何發(fā)揮作用
(一)內(nèi)部審計(jì)應(yīng)熟悉公司的經(jīng)營(yíng)管理過(guò)程��,有效識(shí)別風(fēng)險(xiǎn)。
內(nèi)審熟悉公司業(yè)務(wù)流程和管理過(guò)程���,因而具備有效識(shí)別風(fēng)險(xiǎn),分析影響的優(yōu)勢(shì)�。如“中油”是集科研���、勘探���、開(kāi)采、生產(chǎn)加工��、銷售為一體的境外上市公司���,業(yè)務(wù)流程包括資金流、物流���、人才流���、信息流���,能源流等���。確定發(fā)展目標(biāo)�、資源的取得與配置、生產(chǎn)經(jīng)營(yíng)���、業(yè)績(jī)考核控制等管理多個(gè)過(guò)程貫穿整個(gè)業(yè)務(wù)流程??偛客ㄟ^(guò)預(yù)算管理制度及業(yè)績(jī)考核�����、用人激勵(lì)機(jī)制�,將風(fēng)險(xiǎn)壓力層層傳遞,實(shí)施各種應(yīng)對(duì)風(fēng)險(xiǎn)的控制活動(dòng)�����。如“中油”所屬某銷售分公司是委托法人����,承擔(dān)的經(jīng)營(yíng)管理職能不全面���。其經(jīng)營(yíng)職能是加快流通速度����,完成商品流通���,降低費(fèi)用、實(shí)現(xiàn)優(yōu)良價(jià)值,贏得市場(chǎng)與效益最大化。其面臨的風(fēng)險(xiǎn)主要有以下幾方面:(1)建設(shè)投資風(fēng)險(xiǎn)����;(2)庫(kù)存商品風(fēng)險(xiǎn);(3)推介與促銷“雙贏”的風(fēng)險(xiǎn)����;(4)企業(yè)信譽(yù)風(fēng)險(xiǎn)���;(5)資金管理風(fēng)險(xiǎn)����;(6)是業(yè)績(jī)?cè)u(píng)價(jià)和用人激勵(lì)機(jī)制風(fēng)險(xiǎn)���;(7)內(nèi)部控制風(fēng)險(xiǎn)�;(8)實(shí)際活動(dòng)偏離計(jì)劃、預(yù)算的風(fēng)險(xiǎn)����;(9)審計(jì)風(fēng)險(xiǎn)���。
(二)以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)����,優(yōu)選審計(jì)項(xiàng)目。
內(nèi)部審計(jì)范圍包括檢查�、評(píng)價(jià)籌資投資管理�����、經(jīng)濟(jì)運(yùn)行與資產(chǎn)安全、資金管理及會(huì)計(jì)核算等管理過(guò)程的內(nèi)部控制效果與效益。審計(jì)計(jì)劃和項(xiàng)目選擇�,應(yīng)以風(fēng)險(xiǎn)評(píng)估結(jié)果確定優(yōu)先順序���。只要存在風(fēng)險(xiǎn)暴露,不管其表現(xiàn)為實(shí)際業(yè)務(wù)偏離計(jì)劃預(yù)算���、資產(chǎn)的潛在損失還是管理與會(huì)計(jì)信息的錯(cuò)報(bào),都應(yīng)列為審計(jì)重點(diǎn)排序��。風(fēng)險(xiǎn)影響類似的選機(jī)率較高的���,風(fēng)險(xiǎn)機(jī)率相近的選征兆明顯的�����。有違規(guī)跡象或財(cái)務(wù)狀況不佳�,或業(yè)績(jī)與預(yù)算差距較大�����、資產(chǎn)或投資額大����、審計(jì)間隔較長(zhǎng)�、高層管理人事調(diào)整、變更經(jīng)營(yíng)預(yù)算或業(yè)務(wù)流程等��,都可作為首選審計(jì)對(duì)象���。
(三)內(nèi)部審計(jì)的重點(diǎn)是進(jìn)行管理過(guò)程的內(nèi)控審計(jì)�。
內(nèi)部審計(jì)應(yīng)幫助管理層有效識(shí)別風(fēng)險(xiǎn)因素,相應(yīng)調(diào)整經(jīng)營(yíng)策略和強(qiáng)化內(nèi)部控制�,進(jìn)行各項(xiàng)克服風(fēng)險(xiǎn)的活動(dòng)��,適時(shí)將“威脅”轉(zhuǎn)化為“機(jī)會(huì)”。內(nèi)部控制是保證公司達(dá)到目標(biāo)的有效的控制系統(tǒng)和必要手段�,其總體設(shè)計(jì)應(yīng)以風(fēng)險(xiǎn)評(píng)估為依據(jù)���,包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)價(jià)��、控制活動(dòng)����、信息和溝通。管理層利用內(nèi)部控制設(shè)計(jì)公司組織機(jī)構(gòu)、崗位設(shè)置與管理運(yùn)行機(jī)制�,建立各種控制政策�����、程序和措施,運(yùn)營(yíng)過(guò)程授權(quán)、操作�����、監(jiān)控���,崗位責(zé)權(quán)分離���,防止或發(fā)現(xiàn)公司職員履行職責(zé)時(shí)的重大違規(guī)行為和虛假信息�,保證資產(chǎn)安全和核算真實(shí);了解目標(biāo)實(shí)施情況、適時(shí)糾正偏離行為,保證管理各個(gè)過(guò)程,流程各個(gè)環(huán)節(jié)的活動(dòng)圍繞組織目標(biāo)進(jìn)行。
內(nèi)部審計(jì)要檢查內(nèi)部控制的設(shè)置合理性與執(zhí)行情況�、控制效果�����,特別關(guān)注高風(fēng)險(xiǎn)領(lǐng)域和內(nèi)控不健全區(qū)域的潛在威脅,發(fā)現(xiàn)����、剖析�、糾正經(jīng)營(yíng)管理缺陷���,通過(guò)持續(xù)監(jiān)督與評(píng)價(jià),達(dá)到控制目的�,確保目標(biāo)與預(yù)算如期完成。進(jìn)行基礎(chǔ)審計(jì)、經(jīng)營(yíng)審計(jì)進(jìn)而開(kāi)展管理審計(jì)����,都應(yīng)從與之相關(guān)的內(nèi)部控制找準(zhǔn)審計(jì)切入點(diǎn)�����,評(píng)價(jià)控制系統(tǒng)的充分性和有效性。可將投資���、資金、預(yù)算管理控制內(nèi)容作為審計(jì)重點(diǎn)范圍。(1)固定資產(chǎn)投資內(nèi)部控制審計(jì)����。投資管理過(guò)程不確定因素多����,風(fēng)險(xiǎn)機(jī)率較高����,風(fēng)險(xiǎn)管理過(guò)程要預(yù)測(cè)分析立項(xiàng)可研、決策、招投標(biāo)發(fā)包、工程概算����、預(yù)算����、決算和資金使用及項(xiàng)目運(yùn)營(yíng)后評(píng)估各個(gè)控制環(huán)節(jié)存在的風(fēng)險(xiǎn)類型��、機(jī)率及影響��,采取應(yīng)對(duì)措施,實(shí)行有效內(nèi)部控制。(2)資金管理內(nèi)控制度審計(jì)。資金是經(jīng)營(yíng)活動(dòng)的血液,不能及時(shí)回收貨款或反映債權(quán)的信息失真,會(huì)嚴(yán)重影響到資源及時(shí)配置并增大進(jìn)貨成本���,延長(zhǎng)商品流轉(zhuǎn)期�����、延誤價(jià)值實(shí)現(xiàn)�,影響資金的周轉(zhuǎn)安全及使用效果���。許多審計(jì)事例說(shuō)明�,造成資金損失的原因在于資金管理內(nèi)控的不完善和業(yè)務(wù)流程授權(quán)和監(jiān)控環(huán)節(jié)職責(zé)不到位,關(guān)鍵崗位缺少相互牽制�。完善管理的途徑是強(qiáng)化內(nèi)部控制��,對(duì)資金、會(huì)計(jì)信息的接觸實(shí)行授權(quán)與權(quán)限管理����,優(yōu)化核算環(huán)境����,建立健全有關(guān)管理規(guī)定及責(zé)任追究制度��,確保信息真實(shí)完整�,資金運(yùn)行效益良好����。(3)實(shí)行預(yù)算管理全過(guò)程控制審計(jì)。實(shí)施預(yù)算管理審計(jì)要測(cè)試����、評(píng)價(jià)預(yù)算編制�����、實(shí)施、調(diào)整糾偏三個(gè)過(guò)程的內(nèi)部控制����。首先要檢查有無(wú)預(yù)算管理組織,編制是否以銷售預(yù)算為基礎(chǔ)、采用零基方式分項(xiàng)細(xì)化及按程序編制與調(diào)整預(yù)算�;二是檢查事中控制效果及應(yīng)變預(yù)算方案與例外事項(xiàng)應(yīng)急措施���,確定預(yù)算管理機(jī)制的有效性和預(yù)算完成進(jìn)度�����;三是評(píng)價(jià)內(nèi)部激勵(lì)���、監(jiān)督機(jī)制的實(shí)際效能�����,加強(qiáng)事中控制,保證公司目標(biāo)的完成�����。
為達(dá)到內(nèi)控目標(biāo):①實(shí)行嚴(yán)格的組織控制�����,適時(shí)修正設(shè)計(jì)不合理的崗位職責(zé)與制度��、規(guī)程。②強(qiáng)化檢查控制�。建立信息反饋系統(tǒng)����,揭示失控或舞弊及原因�����,并運(yùn)用激勵(lì)機(jī)制獎(jiǎng)懲。③設(shè)立有預(yù)警功能的“應(yīng)急方案”,補(bǔ)救偏離目標(biāo)行為的負(fù)面影響��,降低風(fēng)險(xiǎn)損失��。④為實(shí)現(xiàn)計(jì)劃目標(biāo)����、遵守政策合同��,應(yīng)評(píng)價(jià)控制的實(shí)施效果和效率����,促進(jìn)系統(tǒng)的完善���,優(yōu)化風(fēng)險(xiǎn)管理環(huán)境���。
四���、推進(jìn)構(gòu)建風(fēng)險(xiǎn)管理框架進(jìn)程�,增強(qiáng)企業(yè)抗風(fēng)險(xiǎn)能力
在公司持續(xù)變革的進(jìn)程中,審計(jì)要相應(yīng)轉(zhuǎn)型,拓展參與風(fēng)險(xiǎn)管理的深度與廣度��,科學(xué)預(yù)測(cè)評(píng)估風(fēng)險(xiǎn)因素�����,促進(jìn)公司建立風(fēng)險(xiǎn)管理框架��,幫助管理層化解經(jīng)營(yíng)風(fēng)險(xiǎn),提升企業(yè)信譽(yù),維護(hù)公司價(jià)值。
(一)內(nèi)部審計(jì)發(fā)展要多方位轉(zhuǎn)變,營(yíng)造良好控制環(huán)境
內(nèi)部審計(jì)發(fā)展到增殖型審計(jì)的多方面轉(zhuǎn)變特征:(1)由事后發(fā)現(xiàn)檢查轉(zhuǎn)向事前防范為主,預(yù)測(cè)和評(píng)估可能發(fā)生的風(fēng)險(xiǎn)�����,檢查現(xiàn)行控制的有效性��。(2)評(píng)價(jià)內(nèi)部控制的科學(xué)合理性,應(yīng)檢查控制設(shè)計(jì)是否包含對(duì)“例外”情況的補(bǔ)救措施���,降低風(fēng)險(xiǎn)到可接受范圍之內(nèi)。(3)由純粹依據(jù)已有的審計(jì)準(zhǔn)則(包括政策���、計(jì)劃、程序)開(kāi)展符合性測(cè)試����,轉(zhuǎn)向評(píng)價(jià)現(xiàn)有控制是否能保證實(shí)現(xiàn)公司目標(biāo)�。(4)審計(jì)領(lǐng)域由僅局限于評(píng)價(jià)經(jīng)營(yíng)管理與會(huì)計(jì)活動(dòng)的合規(guī)性和真實(shí)性,拓展到測(cè)試管理信息網(wǎng)絡(luò)與決策系統(tǒng)的效率與安全。(5)由僅靠?jī)?nèi)部審計(jì)測(cè)試評(píng)價(jià)內(nèi)控�,轉(zhuǎn)向促進(jìn)并參與管理層的自我評(píng)價(jià)�,將控制的觀念植入企業(yè)文化��,營(yíng)造良好的控制環(huán)境����。
(二)構(gòu)建良好的信息管理網(wǎng)絡(luò)��,幫助機(jī)構(gòu)增強(qiáng)抗風(fēng)險(xiǎn)能力
第10篇
關(guān)鍵詞:互聯(lián)網(wǎng)金融�����;網(wǎng)絡(luò)信貸風(fēng)險(xiǎn);風(fēng)險(xiǎn)應(yīng)對(duì)
一、引言
P2P行業(yè)從2006年開(kāi)始萌芽,在無(wú)準(zhǔn)入門檻�、無(wú)行業(yè)標(biāo)準(zhǔn)����、無(wú)監(jiān)管機(jī)制的特定行業(yè)發(fā)展背景下�,伴隨互聯(lián)網(wǎng)金融迅猛發(fā)展的強(qiáng)勁東風(fēng),各種P2P網(wǎng)貸平臺(tái)蜂擁而起,據(jù)網(wǎng)貸之家的數(shù)據(jù)顯示,截至2015年10月底,P2P行業(yè)累計(jì)平臺(tái)數(shù)量達(dá)到3598家,月成交規(guī)模達(dá)1196.49億元�。與此同時(shí)����,陷入提現(xiàn)困難����、停業(yè)困境和跑路的問(wèn)題平臺(tái)達(dá)到1089家���,占比為30.3%�����。這表明伴隨著規(guī)模的不斷擴(kuò)張���,P2P網(wǎng)貸平臺(tái)的風(fēng)險(xiǎn)也日益凸顯����。2015年7月18日���,中國(guó)人民銀行等十部委《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見(jiàn)》���,開(kāi)啟了包括P2P網(wǎng)貸平臺(tái)在內(nèi)的互聯(lián)網(wǎng)金融行業(yè)規(guī)范運(yùn)作和系統(tǒng)化監(jiān)管的新階段�。面對(duì)當(dāng)前網(wǎng)貸平臺(tái)發(fā)展運(yùn)作中存在的問(wèn)題,提示其風(fēng)險(xiǎn)隱患�����,剖析其產(chǎn)生風(fēng)險(xiǎn)的原因��,采取有效的風(fēng)險(xiǎn)管控措施���,對(duì)于提升網(wǎng)貸平臺(tái)風(fēng)險(xiǎn)抵御和防范能力���,促使網(wǎng)貸平臺(tái)規(guī)發(fā)展、穩(wěn)健經(jīng)營(yíng)具有重要的現(xiàn)實(shí)意義。
二、基于互聯(lián)網(wǎng)金融的P2P網(wǎng)絡(luò)信貸風(fēng)險(xiǎn)分析
(一)資金安全的不確定性
當(dāng)前業(yè)務(wù)發(fā)展模式下,互聯(lián)網(wǎng)金融業(yè)務(wù)進(jìn)程中表現(xiàn)比較突出的是信用風(fēng)險(xiǎn)����,信用風(fēng)險(xiǎn)主要表現(xiàn)為交易一方違約給其他交易方帶來(lái)的損失����。首先�����,金融機(jī)構(gòu)在P2P網(wǎng)絡(luò)信貸中����,扮演著中介機(jī)構(gòu)一職�����,因此可以避免連帶賠償責(zé)任�����,而出借人對(duì)出借資金這一行為所有的了解都來(lái)自于P2P平臺(tái)��,因此對(duì)于出借人來(lái)說(shuō)風(fēng)險(xiǎn)巨大。同時(shí)����,由于我國(guó)網(wǎng)絡(luò)信貸平臺(tái)未被允許調(diào)用征信管理系統(tǒng)的個(gè)人征信信息��,網(wǎng)絡(luò)平臺(tái)本身也很難了解借款人的信用狀況,再加上�����,各個(gè)網(wǎng)貸平臺(tái)之間各自為政���,并沒(méi)有對(duì)用戶的信用情況進(jìn)行共享�,而信用審核成本高且難度大�����,因此網(wǎng)貸平臺(tái)本身對(duì)借款人真實(shí)的財(cái)務(wù)狀況����、身份信息以及還款能力并不能準(zhǔn)確掌握����,即使借款人偽造個(gè)人信息以獲取高額融資款項(xiàng),也不易被發(fā)現(xiàn)。一旦借款人出現(xiàn)逾期不還款等違約情況�,網(wǎng)貸平臺(tái)很難進(jìn)行追討���。
(二)資金真實(shí)投向的不可控性
當(dāng)前我國(guó)互聯(lián)網(wǎng)金融資金尚未建立完善的資金追蹤制度�,以P2P網(wǎng)絡(luò)平臺(tái)表現(xiàn)突出�,互聯(lián)網(wǎng)金融平臺(tái)幾乎不會(huì)對(duì)資金實(shí)施追蹤程序或是資金投向測(cè)試,同時(shí)由于沒(méi)有健全的外部監(jiān)管機(jī)構(gòu)對(duì)互聯(lián)網(wǎng)金融活動(dòng)進(jìn)行監(jiān)督管理,頻繁發(fā)生的資金挪用的情況通常會(huì)給金融投資者帶來(lái)巨大的經(jīng)濟(jì)損失�。P2P網(wǎng)絡(luò)平臺(tái)的透明性表現(xiàn)為為出借人提供出借資金的使用信息���,但這一透明性的成立前提是借款人的忠實(shí)履行�,如果借款人在尋求借款的時(shí)候刻意隱瞞真實(shí)的借款目的���,或是將借款挪作他用�,比如投資股票等高風(fēng)險(xiǎn)市場(chǎng),難以及時(shí)變現(xiàn)的房地產(chǎn)市場(chǎng),或是轉(zhuǎn)借給其他人獲取高額利息等�����,由于P2P網(wǎng)貸平臺(tái)對(duì)出借資金后的監(jiān)管乏力����,大部分借款也沒(méi)有任何抵押物�,一旦借款人出現(xiàn)還款困難,出借人的資金安全就難以得到保證����,大面積的挪用資金�����,使得資金大量涌入高風(fēng)險(xiǎn)投資市場(chǎng),也會(huì)影響國(guó)家宏觀調(diào)控手段的效果��。
(三)個(gè)人信息安全的不確定性
互聯(lián)網(wǎng)金融業(yè)務(wù)在很大程度上依托互聯(lián)網(wǎng)技術(shù)��,而目前���,我國(guó)互聯(lián)網(wǎng)金融機(jī)構(gòu)中����,計(jì)算機(jī)技術(shù)的水平良莠不齊���,一旦出現(xiàn)網(wǎng)絡(luò)故障或是黑客攻擊,客戶個(gè)人信息����,系統(tǒng)自身的信息以及客戶資金都岌岌可危���。P2P網(wǎng)貸平臺(tái)要求借款人提供詳細(xì)的個(gè)人信息���,有的甚至要求填寫親朋好友的個(gè)人信息作為擔(dān)保����,其中甚至包括一些身份證號(hào)�����、銀行卡號(hào)等個(gè)人敏感信息。我國(guó)很多P2P網(wǎng)貸平臺(tái)���,比如拍拍貸,宜信等���,都各自持有數(shù)十萬(wàn)的注冊(cè)用戶,在如今這個(gè)信息時(shí)代�,這些信息形成了一筆價(jià)值相當(dāng)可觀的隱形財(cái)富�,系統(tǒng)漏洞或黑客入侵等原因造成的這些信息被竊取或是被泄露��,將會(huì)給網(wǎng)貸平臺(tái)及其用戶帶來(lái)不可估量的損失�����,同時(shí)必然引起人們對(duì)P2P網(wǎng)貸平臺(tái)的信任危機(jī),導(dǎo)致互聯(lián)網(wǎng)金融發(fā)展困難��。
(四)法律法規(guī)的不完善
最近幾年���,互聯(lián)網(wǎng)金融在我國(guó)發(fā)展迅速����,各種互聯(lián)網(wǎng)金融業(yè)務(wù)發(fā)展態(tài)勢(shì)普遍向好,而現(xiàn)有的金融行業(yè)的法律體系難以實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)金融的有效監(jiān)管��。盡管有《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》�、《非金融機(jī)構(gòu)支付服務(wù)管理辦法》、《P2P信貸有關(guān)風(fēng)險(xiǎn)提示》的相繼出臺(tái)�����,但都是臨時(shí)管理辦法或是風(fēng)險(xiǎn)提示���,我國(guó)目前還沒(méi)有建立起能夠應(yīng)對(duì)互聯(lián)網(wǎng)金融的市場(chǎng)準(zhǔn)入�����,交易方身份審核,資金監(jiān)管等具體事項(xiàng)的法律體系。目前�,面對(duì)P2P網(wǎng)絡(luò)信貸��,除了《人人貸有關(guān)風(fēng)險(xiǎn)提示的通知》和主要目的在于向商業(yè)銀行警示網(wǎng)貸平臺(tái)風(fēng)險(xiǎn)的《支付業(yè)務(wù)風(fēng)險(xiǎn)提示———加大審核力度提高管理水平防范網(wǎng)貸平臺(tái)風(fēng)險(xiǎn)》,我國(guó)尚未出臺(tái)關(guān)于規(guī)范網(wǎng)絡(luò)信貸行業(yè)的法律法規(guī),因此��,也沒(méi)有合適的法律依據(jù)能夠要求相關(guān)的政府職能部門對(duì)網(wǎng)絡(luò)信貸進(jìn)行監(jiān)管���,從而導(dǎo)致P2P網(wǎng)絡(luò)借貸行業(yè)魚龍混雜�����,提供的金融服務(wù)也是良莠不齊�����。
(五)監(jiān)管缺位
盡管互聯(lián)網(wǎng)金融國(guó)內(nèi)的發(fā)展態(tài)勢(shì)看起來(lái)一片大好,但是其監(jiān)管方面仍然困難重重�����。主要是因?yàn)榛ヂ?lián)網(wǎng)金融跨行業(yè)���,跨領(lǐng)域的趨勢(shì)日益明顯,在我國(guó)“分業(yè)經(jīng)營(yíng)����,分業(yè)監(jiān)管”的機(jī)制下����,可以說(shuō)是一個(gè)監(jiān)管邊緣地帶����,很難確定具體的執(zhí)法部門或監(jiān)管部門��。對(duì)于P2P網(wǎng)絡(luò)信貸來(lái)說(shuō)���,無(wú)論是處于維護(hù)金融市場(chǎng)穩(wěn)定的目的����,還是保護(hù)消費(fèi)者權(quán)益的目的�����,一個(gè)監(jiān)管主體都是必要的�����。一方面,P2P網(wǎng)絡(luò)信貸準(zhǔn)入門檻比較低,只要在工商部門注冊(cè)就可以運(yùn)營(yíng),其后期的運(yùn)營(yíng)和發(fā)展都是自發(fā)無(wú)序的����。工商部門可以對(duì)網(wǎng)絡(luò)信貸進(jìn)行對(duì)口監(jiān)管���,公安���、信息產(chǎn)業(yè)等部門也應(yīng)該進(jìn)行監(jiān)管或協(xié)管���,但既缺少相關(guān)的法律支持�,其本身又缺少金融監(jiān)管技能和經(jīng)驗(yàn)�。另一方面是我國(guó)目前對(duì)金融行業(yè)的監(jiān)管手段針對(duì)的都是傳統(tǒng)的金融業(yè)��,而P2P的運(yùn)作模式���、業(yè)務(wù)流程等和傳統(tǒng)金融有著很大的區(qū)別�����,現(xiàn)有監(jiān)管手段并不適用。
三�����、基于互聯(lián)網(wǎng)金融的P2P網(wǎng)絡(luò)信貸風(fēng)險(xiǎn)應(yīng)對(duì)
(一)推動(dòng)征信系統(tǒng)的建立與共享
以配合互聯(lián)網(wǎng)金融發(fā)展為導(dǎo)向�,推動(dòng)征信系統(tǒng)建設(shè),是當(dāng)前維護(hù)投資者利益����,保證互聯(lián)網(wǎng)金融健康發(fā)展的第一要?jiǎng)?wù)����。全面審查借款人身份信息�����,通過(guò)信用卡使用情況���、貸款還款情況�、交通違章等歷史征信信息��,對(duì)借款人進(jìn)行系統(tǒng)的信用評(píng)價(jià)����,并將互聯(lián)網(wǎng)金融用戶的信用信息納入征信統(tǒng)計(jì)數(shù)據(jù)����。為了應(yīng)對(duì)P2P網(wǎng)貸平臺(tái)信用風(fēng)險(xiǎn),保證出借人資金安全����,首先��,將一些持有相關(guān)資質(zhì),有著適當(dāng)內(nèi)部控制舉措以及嚴(yán)格的風(fēng)險(xiǎn)控制程序的P2P網(wǎng)貸平臺(tái)納入征信信息采集系統(tǒng)�����,讓這些P2P網(wǎng)貸平臺(tái)提供注冊(cè)用戶的身份信息�,交易情況和信用狀況,與人行共同建立覆蓋全社會(huì)的真實(shí)���、全面、系統(tǒng)的征信系統(tǒng)�,共享用戶的信用信息����。這樣一來(lái)���,就可以引導(dǎo)投資者將資金投向較為有保障的P2P網(wǎng)貸平臺(tái)���,也有利于推動(dòng)P2P網(wǎng)貸平臺(tái)加強(qiáng)其內(nèi)部控制建設(shè)和風(fēng)險(xiǎn)控制管理���,提高自身對(duì)客戶資金的保護(hù)能力����,從而提高P2P網(wǎng)貸平臺(tái)整體的服務(wù)質(zhì)量。其次��,設(shè)立借款保證金也是可行的���,每借出一筆資金�����,P2P網(wǎng)貸平臺(tái)就要交一定比例的保證金,對(duì)出借人資金進(jìn)行全額的擔(dān)保���。這樣讓P2P網(wǎng)貸平臺(tái)本身對(duì)出借人資金進(jìn)行擔(dān)保,有利于推動(dòng)P2P網(wǎng)貸平臺(tái)加大對(duì)借款人信息的審查力度����,維護(hù)出借人的利益�。
(二)建立健全資金追蹤制度�,構(gòu)建出借人保護(hù)機(jī)制
當(dāng)前我國(guó)互聯(lián)網(wǎng)金融迫切的需要建立資金追蹤制度和第三方存管制度。完善的資金追蹤制度能夠增強(qiáng)資金投向的透明度,減少投資者風(fēng)險(xiǎn),給投資者一顆定心丸,吸引更多的投資者的資金�����,優(yōu)化資源配置����,避免投資者盲目的追求更高的收益率而將資金投向信息不對(duì)稱的欺騙性項(xiàng)目。而第三方存管制度則是防范金融機(jī)構(gòu)挪用客戶資金,將客戶資金投向高風(fēng)險(xiǎn)領(lǐng)域��,危及客戶財(cái)產(chǎn)安全���,甚至攜款潛逃�����。目前P2P網(wǎng)貸平臺(tái)對(duì)于借出資金之后的追蹤制度還是一片空白��,P2P網(wǎng)貸平臺(tái)本身也很難控制資金借出后的流向���,也很難確定資金投向是否危害出借人資金安全�����,因此�,建立健全資金追蹤制度就變得迫在眉睫����。首先,P2P網(wǎng)貸平臺(tái)可以根據(jù)評(píng)估風(fēng)險(xiǎn)及借款人信用狀況要求借款人設(shè)置適當(dāng)?shù)牡盅海@有利于保證出借人資金安全��,維護(hù)P2P網(wǎng)貸平臺(tái)本身的聲譽(yù)�;其次P2P網(wǎng)貸平臺(tái)可以采用“一次批準(zhǔn),分批放款”的放貸策略,一旦發(fā)現(xiàn)資金流向有異常����,及時(shí)停止發(fā)放借款���,視情況決定是否提前收回借款�����,這一策略一定程度上可以對(duì)借款人形成一定的威懾作用,有利于及時(shí)止損。
(三)完善互聯(lián)網(wǎng)信息技術(shù)
考慮到互聯(lián)網(wǎng)金融對(duì)互聯(lián)網(wǎng)技術(shù)的依賴性����,強(qiáng)化計(jì)算機(jī)系統(tǒng)的防火墻�����、密鑰,數(shù)據(jù)加密技術(shù)以及智能卡技術(shù)等安全防護(hù)功能���,建立安全可靠的互聯(lián)網(wǎng)金融運(yùn)行環(huán)境對(duì)保證客戶資金安全和信息安全有著重大意義。同時(shí)要積極研究和開(kāi)發(fā)先進(jìn)的科技手段�,為網(wǎng)絡(luò)安全提供保障,使得系統(tǒng)實(shí)現(xiàn)高效穩(wěn)定的運(yùn)轉(zhuǎn)����。在P2P網(wǎng)貸平臺(tái)中�����,為了避免不法分子惡意破壞網(wǎng)站,或是中介服務(wù)機(jī)構(gòu)工作人員為謀取非法利益��,將客戶信息出售給第三方的情況發(fā)生�,首先,P2P網(wǎng)貸平臺(tái)應(yīng)該積極加大科研力度��,確?����?蛻粜畔?shù)據(jù)庫(kù)的穩(wěn)定與安全��,建立起具有自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)安全防護(hù)體系,避免不法分子利用系統(tǒng)漏洞盜走客戶資金或是客戶的個(gè)人信息�。除此以外��,授權(quán)管理也是不可忽略的重要環(huán)節(jié),將客戶較為隱私較為重要的信息只授予小部分有必要了解客戶相關(guān)信息的人查看的權(quán)力��,根據(jù)工作人員的工作需要分配授權(quán)�,不得濫用授權(quán),且應(yīng)當(dāng)遵守保密協(xié)定�����。
(四)建立和完善互聯(lián)網(wǎng)金融相關(guān)法律法規(guī)
一方面立法機(jī)關(guān)要加大力度推進(jìn)互聯(lián)網(wǎng)金融的立法進(jìn)度�,就電子交易的合法性、電子商務(wù)的安全性���、數(shù)字簽名、電子憑證的有效性���,眾籌融資等新型互聯(lián)網(wǎng)金融業(yè)務(wù)方面加快立法進(jìn)程,以適應(yīng)實(shí)際生活中互聯(lián)網(wǎng)金融帶來(lái)的法律糾紛的需要���。另一方面要完善現(xiàn)行的金融業(yè)相關(guān)的法律法規(guī)���,就如何確定互聯(lián)網(wǎng)金融犯罪的量刑力度����,如何明確交易主體責(zé)任等方面做出增補(bǔ)和修正。鑒于P2P網(wǎng)貸平臺(tái)的特殊性及其發(fā)展態(tài)勢(shì)��,明確規(guī)定P2P網(wǎng)貸業(yè)務(wù)的經(jīng)營(yíng)性質(zhì)���、組織形式、必要的核心數(shù)據(jù)公示�、業(yè)務(wù)范圍等方面���,并將其納入法律法規(guī)變得迫在眉睫���。P2P網(wǎng)貸平臺(tái)的立法重點(diǎn)主要是以下幾方面:首先�,清晰界定出借人����、借款人、P2P網(wǎng)貸平臺(tái)�,等交易主體之間的關(guān)系和法律責(zé)任�;其次是明確監(jiān)管主體��,銀監(jiān)會(huì)�����、工商部門、稅務(wù)部門等職能部門應(yīng)該多方協(xié)作�,共同監(jiān)管�;第三是引導(dǎo)行業(yè)自律��,推動(dòng)行業(yè)自律協(xié)會(huì)自發(fā)的形成利于行業(yè)發(fā)展的行業(yè)規(guī)章制度,建立統(tǒng)一的信用風(fēng)險(xiǎn)控制制度和準(zhǔn)備金制度,以應(yīng)對(duì)信用風(fēng)險(xiǎn)和流動(dòng)性風(fēng)險(xiǎn)����。
(五)明確互聯(lián)網(wǎng)金融監(jiān)管主體
目前�����,我國(guó)的互聯(lián)網(wǎng)金融混業(yè)特征日趨明顯,產(chǎn)品與業(yè)務(wù)往往跨越多個(gè)行業(yè)和市場(chǎng)。這種情況下,打破現(xiàn)有的分業(yè)監(jiān)管模式,實(shí)現(xiàn)保監(jiān)會(huì)、銀監(jiān)會(huì)����、證監(jiān)會(huì)����、人民銀行��、公安系統(tǒng)以及工信部對(duì)互聯(lián)網(wǎng)金融的高效協(xié)作�����,明確監(jiān)管職責(zé)和范圍,對(duì)于增強(qiáng)資金流動(dòng)性,提高互聯(lián)網(wǎng)金融交易效率�,優(yōu)化資源配置��,有著非比尋常的意義。英國(guó)將P2P納入金融行為監(jiān)管局(FCA)的監(jiān)管之下,美國(guó)將網(wǎng)絡(luò)信貸納入證券業(yè)監(jiān)管,聯(lián)邦證券交易委員會(huì)(SEC)對(duì)P2P網(wǎng)貸平臺(tái)的準(zhǔn)入進(jìn)行監(jiān)管。針對(duì)我國(guó)目前P2P網(wǎng)貸平臺(tái)監(jiān)管缺位的問(wèn)題�����,首先��,不妨根據(jù)P2P業(yè)務(wù)內(nèi)容���,分配其監(jiān)管�����,比如第三方資金存管交由銀監(jiān)會(huì)進(jìn)行監(jiān)管�,資金結(jié)算交由人民銀行進(jìn)行監(jiān)管,而證監(jiān)會(huì)對(duì)P2P網(wǎng)貸平臺(tái)的高級(jí)從業(yè)人員的資質(zhì)進(jìn)行審查���,對(duì)P2P網(wǎng)貸平臺(tái)的經(jīng)營(yíng)范圍進(jìn)行審核。鑒于法律和監(jiān)管的逐步建立可能曠日彌久�,加強(qiáng)行業(yè)自律�,提升行業(yè)透明度��,也是P2P網(wǎng)貸平臺(tái)應(yīng)對(duì)資信風(fēng)險(xiǎn)�,獲取社會(huì)信任的直接有效的方式�。
作者:中明 劉文妮 單位:江蘇大學(xué)財(cái)經(jīng)學(xué)院
參考文獻(xiàn):
[1]閆真宇.關(guān)于當(dāng)前互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)的若干思考[J].現(xiàn)代商業(yè)銀行,2013(12).
[2]鈕明.草根金融———P2P信貸模式研究[J].金融理論與實(shí)踐,2012(02).
[3]楊宇焰,陳倩,田忠成,P2P網(wǎng)絡(luò)信貸平臺(tái)的主要模式、風(fēng)險(xiǎn)及政策建議[J].西南金融,2014(01).
[4]王怡.論網(wǎng)絡(luò)信貸的風(fēng)險(xiǎn)類別及其監(jiān)管策略[J].常州大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2013(04).
[5]熊歡彥,劉劍橋,互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)及風(fēng)險(xiǎn)防范研究[J].金融視線,2014(11).
[6]吳菲菲,互聯(lián)網(wǎng)時(shí)代市場(chǎng)金融監(jiān)管探究[J],現(xiàn)代經(jīng)濟(jì)信息,2014(08).
第11篇
關(guān)鍵詞:服務(wù)接觸����;顧客情感���;滿意度����;作用路徑
中圖分類號(hào):F831 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-1428(2011)08-0102-05
一、引言
花旗銀行fCitibank)迄今已有近200年的歷史��,其驕人業(yè)績(jī)無(wú)不得益于1977年以來(lái)銀行服務(wù)營(yíng)銷戰(zhàn)略的成功實(shí)施���。
具體而言���,Hansen(1959)����、R.J.Johnston(1994)和Fazio(1995)分別從交通便利性、空間距離和態(tài)度聯(lián)想三個(gè)方面指出了銀行服務(wù)與顧客接觸過(guò)程的可達(dá)性因素,即如何保證服務(wù)對(duì)于顧客是觸手可及的��。而張新華(2006)認(rèn)為����,商品化有助于創(chuàng)造和引領(lǐng)顧客的服務(wù)需求��,良好的服務(wù)接觸也要通過(guò)商品化的有形展示來(lái)提高顧客的認(rèn)知度和增強(qiáng)服務(wù)接觸的可感知程度�����。Vad和Heten(2003)則建議服務(wù)企業(yè)在進(jìn)行國(guó)際營(yíng)銷時(shí)應(yīng)采取本土化的策略,通過(guò)服務(wù)的差異化����、當(dāng)?shù)匦詠?lái)滿足不同顧客的需要�。Normann(2006)將服務(wù)接觸稱作關(guān)鍵時(shí)刻�。Surprenant和Solomon(1987)將服務(wù)接觸定義為“顧客與服務(wù)提供者之間的動(dòng)態(tài)交互過(guò)程”。菲利普?科特勒(1997)認(rèn)為��,在高度復(fù)雜的環(huán)境中��,品牌可能是唯一有效的差異化因素�,銀行需要獨(dú)特的服務(wù)品牌����,并在消費(fèi)者的心中建立強(qiáng)勢(shì)的品牌形象。
本文將針對(duì)服務(wù)接觸���、顧客情緒和顧客滿意度之間的關(guān)系進(jìn)行研究,并主要探討以下三個(gè)方面的問(wèn)題:服務(wù)接觸的關(guān)鍵要素是什么?服務(wù)接觸過(guò)程如何影響顧客的情緒?顧客態(tài)度的轉(zhuǎn)變?nèi)绾斡绊懙綕M意度目標(biāo)?
二����、概念模型與假設(shè)關(guān)系
服務(wù)接觸fservice encounterl一詞最早出現(xiàn)于20世紀(jì)80年代初期���。R.B.Chase最早提出了“服務(wù)接觸”的概念��,并在1981年建立了服務(wù)接觸的理論基礎(chǔ)和首個(gè)可操作的定義,即“顧客必須待在服務(wù)現(xiàn)場(chǎng)的時(shí)間占總服務(wù)時(shí)間的比重”��。首先�,Czepiel��,Solomon和Surprenant(1985)認(rèn)為服務(wù)接觸是人機(jī)互動(dòng)的過(guò)程�。服務(wù)接觸是服務(wù)情景中��,服務(wù)提供者和接收者之間的面對(duì)面互動(dòng)�。其次�,Shostack(1985)提出廣義服務(wù)互動(dòng)的觀點(diǎn),認(rèn)為“服務(wù)交互”(Service Interaction)不僅包括顧客與服務(wù)人員的交互,而且也包括顧客與設(shè)備設(shè)施的交互�。再次��,Amilton(2001)提出非現(xiàn)場(chǎng)自助的觀點(diǎn),認(rèn)為除了以上的實(shí)體接觸外(Physical Encounter),公司網(wǎng)站等無(wú)形接觸(Virtual Encounter)也是服務(wù)接觸的重要組成部分����。最后��,Zeithaml,Parasuraman和Berry(1985)認(rèn)為實(shí)體環(huán)境影響顧客的行為并能建立良好的印象,在服務(wù)業(yè)尤為明顯�����。這些觀點(diǎn)為探求服務(wù)接觸的關(guān)鍵維度以及明晰其對(duì)顧客情緒及滿意度的作用機(jī)理提供了幫助���。為此����,本文將重點(diǎn)探討便利性(BLX)�����、顧客服務(wù)感受(GS)、銀行服務(wù)形象(IM-AGE)�、銀行互動(dòng)服務(wù)(HDX)�、服務(wù)響應(yīng)性(XYX)���、服務(wù)可靠性(KKX)����、服務(wù)移情性(YQX)以及服務(wù)品牌(PPH)對(duì)顧客積極情緒(JJQx)和消極情緒(xjQx)的作用效果�����,以及顧客滿意度(MYD)的形成過(guò)程��。
1、服務(wù)接觸構(gòu)面變量之間的假設(shè)關(guān)系。
第一�,服務(wù)接觸過(guò)程首先表現(xiàn)為便利的服務(wù)網(wǎng)絡(luò)�,這有助于增加銀行在顧客心目中的曝光度��,加強(qiáng)對(duì)銀行服務(wù)的認(rèn)知�����。銀行服務(wù)便利性具體表現(xiàn)為:合作伙伴、網(wǎng)點(diǎn)數(shù)量、自助服務(wù)���、營(yíng)業(yè)時(shí)間和網(wǎng)點(diǎn)位置。
假設(shè)Hla:服務(wù)的便利性對(duì)顧客的積極消費(fèi)情感有直接的正向影響。
假設(shè)Hlb:服務(wù)的便利性對(duì)顧客的消極消費(fèi)情感有直接的負(fù)向影響���。
第二,顧客服務(wù)感受具體表現(xiàn)為:營(yíng)業(yè)環(huán)境、員工禮貌、性價(jià)比���、網(wǎng)絡(luò)服務(wù)、專業(yè)素養(yǎng)和準(zhǔn)確服務(wù)。銀行服務(wù)接觸過(guò)程中如果能夠?yàn)轭櫩蛶?lái)好的感受和體驗(yàn)���,就會(huì)影響到顧客的情感。如果顧客的服務(wù)體驗(yàn)質(zhì)量較差,就會(huì)形成消極的情感,并導(dǎo)致顧客的滿意度降低�����。
假設(shè)H2a:顧客服務(wù)感受對(duì)顧客的積極消費(fèi)情感有直接的正向影響�����。
假設(shè)H2b:顧客服務(wù)感受對(duì)顧客的消極消費(fèi)情感有直接的負(fù)向影響。
第三�����,企業(yè)形象將會(huì)使消費(fèi)者對(duì)企業(yè)的產(chǎn)品或服務(wù)產(chǎn)生期望的標(biāo)準(zhǔn)��,而該標(biāo)準(zhǔn)相對(duì)于顧客消費(fèi)后之感受��,將會(huì)影響顧客滿意的程度。銀行服務(wù)形象包括如下變量:多樣服務(wù)�、快速創(chuàng)新��、顧客至上、顧客信心����、名人代言和客戶經(jīng)理�。良好的銀行服務(wù)形象會(huì)給顧客帶來(lái)積極的情感���,而讓人失望的服務(wù)會(huì)帶給客戶消極情緒����,并影響顧客的滿意程度。
假設(shè)H3a:銀行服務(wù)形象對(duì)顧客的積極消費(fèi)情感有直接的正向影響�。
假設(shè)H3b:銀行服務(wù)形象對(duì)顧客的消極消費(fèi)情感有直接的負(fù)向影響���。
第四����,互動(dòng)營(yíng)銷是實(shí)現(xiàn)和客戶互動(dòng)的主要手段之一,強(qiáng)調(diào)和客戶良性互動(dòng)��。銀行服務(wù)接觸中的互動(dòng)包括:服務(wù)標(biāo)準(zhǔn)化����、減少排隊(duì)���、服務(wù)效率���、可觀察的員工行為����、標(biāo)準(zhǔn)服務(wù)時(shí)間、科技植入�、顧客間交流互動(dòng)以及多媒體終端等�。
假設(shè)H4a:銀行互動(dòng)服務(wù)對(duì)顧客的積極消費(fèi)情感有直接的正向影響�。
假設(shè)H4b:銀行互動(dòng)服務(wù)對(duì)顧客的消極消費(fèi)情感有直接的負(fù)向影響。
第五����,響應(yīng)性是指銀行主動(dòng)���、快速地響應(yīng)顧客需求�,隨時(shí)準(zhǔn)備愿意為顧客提供快捷��、有效的服務(wù)�。銀行服務(wù)的響應(yīng)性包括:快速應(yīng)答�、服務(wù)員接觸、會(huì)員服務(wù)��、上門服務(wù)���、面對(duì)面接觸�、消極態(tài)度、期望偏差�����、情緒約束等�。
假設(shè)H5a:銀行服務(wù)響應(yīng)性對(duì)顧客的積極消費(fèi)情感有直接的正向影響。
假設(shè)H5b:銀行服務(wù)響應(yīng)性對(duì)顧客的消極消費(fèi)情感有直接的負(fù)向影響�。
第六,可靠性是指銀行在一定條件下無(wú)故障地提供特定服務(wù)的能力及可能性。這里考察的可靠性指標(biāo)包括:操作技能���、兼職員工、流程統(tǒng)一、服務(wù)抱怨、服務(wù)承諾、資金安全��、網(wǎng)絡(luò)安全���、崗位角色���。
假設(shè)H6a:銀行服務(wù)可靠性對(duì)顧客的積極消費(fèi)情感有直接的正向影響�。
假設(shè)H6b:銀行服務(wù)可靠性對(duì)顧客的消極消費(fèi)情感有直接的負(fù)向影響。
第七,企業(yè)和服務(wù)人員能設(shè)身處地為顧客著想��,努力滿足顧客的要求����。這就要求服務(wù)人員有一種投入的精神,想顧客之所想,急顧客之所需�,了解顧客的實(shí)際需求����。以至特殊需求�����,千方百計(jì)地予以滿足�,給予客戶充分的關(guān)心和相應(yīng)的體貼����,使服務(wù)過(guò)程充滿人情味,這便是移情性的體現(xiàn)。具體包括:主動(dòng)著想�、員工培訓(xùn)���、內(nèi)部滿意�����、社會(huì)責(zé)任、服務(wù)授權(quán)等。
假設(shè)H7a:銀行服務(wù)移情性對(duì)顧客的積極消費(fèi)情
感有直接的正向影響����。
假設(shè)H7b:銀行服務(wù)移情性對(duì)顧客的消極消費(fèi)情感有直接的負(fù)向影響�����。
第八,目前全世界很多的企業(yè)實(shí)行的都是品牌化戰(zhàn)略。當(dāng)顧客對(duì)某一品牌產(chǎn)生了“依賴感”之后���,就會(huì)形成一種特定的偏好。品牌化其實(shí)是對(duì)某一類或一系列產(chǎn)品的認(rèn)知標(biāo)準(zhǔn)化、宣傳標(biāo)準(zhǔn)化����。以達(dá)到市場(chǎng)突出和市場(chǎng)區(qū)別的作用�。具體包括社會(huì)參照�、慈善營(yíng)銷、吉祥物、本地服務(wù)��、個(gè)��、地區(qū)文化等影響因素���。
假設(shè)H8a:銀行服務(wù)品牌化對(duì)顧客的積極消費(fèi)情感有直接的正向影響�����。
假設(shè)H8b:銀行服務(wù)品牌化對(duì)顧客的消極消費(fèi)情感有直接的負(fù)向影響。
2���、服務(wù)情感構(gòu)面變量之間的假設(shè)關(guān)系。
美國(guó)學(xué)者Price,Deibler&Amoud(1995)指出顧客消費(fèi)過(guò)程中的情感會(huì)隨著顧客與企業(yè)的接觸深入而發(fā)生變化。在產(chǎn)品和服務(wù)消費(fèi)過(guò)程中����,顧客的消費(fèi)心情會(huì)不斷變化,顧客在前一個(gè)消費(fèi)階段的心情會(huì)影響他們?cè)诤笠粋€(gè)消費(fèi)階段的心情����。Nyer(1997)的研究結(jié)果表明����。顧客服務(wù)消費(fèi)前的情感會(huì)影響顧客對(duì)服務(wù)經(jīng)歷的總體滿意感和顧客的再購(gòu)意向��,但他只研究了顧客的消費(fèi)前情感與顧客評(píng)估的服務(wù)實(shí)績(jī)之間的關(guān)系����,而沒(méi)有研究顧客消費(fèi)前情感對(duì)顧客消費(fèi)后情感的影響��。
顧客的滿意程度既受認(rèn)知性因素的影響(如服務(wù)質(zhì)量)�,又受情感性因素的影響����。如果顧客在消費(fèi)過(guò)程中經(jīng)歷了高興、興奮等積極情感����,就會(huì)對(duì)企業(yè)的服務(wù)感到滿意:相反��,如果顧客在消費(fèi)過(guò)程中經(jīng)歷了失望、后悔等消極情感�����,就會(huì)對(duì)企業(yè)的服務(wù)感到不滿意�����。
假設(shè)9a:顧客的積極消費(fèi)情感對(duì)顧客滿意有直接的正面影響����。
假設(shè)9b:顧客的消極消費(fèi)情感對(duì)顧客滿意有直接的負(fù)面影響��。
3、服務(wù)滿意度構(gòu)面變量之間的假設(shè)關(guān)系��。
在顧客滿意的研究中���,學(xué)者最關(guān)心的是顧客滿意的影響因素研究?��;蛘哒f(shuō)是顧客滿意度的測(cè)評(píng)研究。從Oliver(1980)的“期望一實(shí)績(jī)”模型���,Parasuraman(1985)的“期望與感知差距模型”,Oliver(1993)的“認(rèn)知一情感”模型����,以及ACSL與ECSL等研究看�����,顧客滿意的前置影響因素有:企業(yè)形象、與顧客期望與產(chǎn)品或服務(wù)實(shí)績(jī)相關(guān)的顧客感知質(zhì)量�、感知公平性’�、消費(fèi)情感���、感知價(jià)值等��。本文將重點(diǎn)關(guān)注顧客滿意度的后置因素:整體滿意�����、重構(gòu)意愿、口碑傳播和互動(dòng)意愿����。
假設(shè)10a:顧客滿意對(duì)于顧客銀行整體服務(wù)的滿意度有正向影響。
假設(shè)10b:顧客滿意對(duì)顧客銀行服務(wù)的重構(gòu)意愿有正向影響。
假設(shè)10c:顧客滿意對(duì)顧客的口碑傳播有正向的影響。
假設(shè)10d:顧客滿意對(duì)提高顧客與銀行的互動(dòng)意愿具有正向影響。
三��、服務(wù)接觸�、顧客情感與滿意度的關(guān)系檢驗(yàn)
1、量表設(shè)計(jì)與數(shù)據(jù)采集。
本文量表設(shè)計(jì)目的主要是為了研究顧客在銀行服務(wù)過(guò)程中消費(fèi)前消極情感和期望如何影響對(duì)服務(wù)接觸質(zhì)量的評(píng)判�,以及服務(wù)接觸要素如何影響顧客消費(fèi)情感�����,進(jìn)而共同影響顧客滿意度。本研究為了確保所用量表的信度與效度水平,盡量借鑒國(guó)外學(xué)者使用的量表���,再結(jié)合國(guó)內(nèi)學(xué)者的研究成果,專家訪談的體會(huì),對(duì)量表進(jìn)行進(jìn)一步的改進(jìn)。
本文對(duì)中信銀行不同省區(qū)的132位員工進(jìn)行了問(wèn)卷調(diào)研���。對(duì)于回收的問(wèn)卷,本研究根據(jù)研究目的和假設(shè)檢驗(yàn)的需要,將運(yùn)用SPSS13.0分析軟件與AMOS7.0軟件對(duì)調(diào)查數(shù)據(jù)進(jìn)行分析。同時(shí)��,本文利用修正后總相關(guān)系數(shù)(CITC)和Cronbach’s a系數(shù)與標(biāo)準(zhǔn)差來(lái)檢驗(yàn)問(wèn)卷的信度�����。
在問(wèn)卷前測(cè)��,凈化測(cè)量指標(biāo)與大規(guī)模發(fā)放問(wèn)卷的基礎(chǔ)上,正式研究仍采用Cronbach內(nèi)部一致性系數(shù)(a系數(shù)1來(lái)分析各測(cè)量指標(biāo)的信度。本研究的總體信度分析結(jié)果:服務(wù)接觸構(gòu)面變量總體的a系數(shù)值為0.928����,顧客情緒構(gòu)面變量的總體a系數(shù)值為0.941�,顧客滿意度構(gòu)面變量的總體a系數(shù)值為0.615�,明顯大于0.6,表明本研究總體上具有較高的信度。
2�����、概念模型的檢驗(yàn)���。
結(jié)構(gòu)方程模型分析方法是一種驗(yàn)證性分析技術(shù)���。而不是探測(cè)性手段(劉清峰���,2006)�����。也就是說(shuō),應(yīng)用結(jié)構(gòu)方程模型分析方法可以確定一個(gè)特定的模型是否合理�����,本文是為了驗(yàn)證筆者提出的銀行服務(wù)接觸、顧客情感與顧客滿意之間的關(guān)系模型���,因此選用結(jié)構(gòu)方程模型作為本研究的分析工具是適當(dāng)?shù)摹1狙芯堪凑諊?guó)際上的慣例�,用X2/df�、GFI�����、NFI�����、IFI、CFI和RMSEA這6項(xiàng)指標(biāo)來(lái)評(píng)價(jià)模型。
表2的擬合結(jié)果表明�,x2/df的值為2.691
從表3可知���,形成積極情感的服務(wù)接觸要素主要包括可靠性��、響應(yīng)性、形象認(rèn)知、移情性����、顧客服務(wù)和便利性,而品牌化和互動(dòng)性因素對(duì)顧客積極情感的共享為負(fù)值�。導(dǎo)致銀行服務(wù)消極情感的因素有品牌形象較差��、移情性差、便利性和互動(dòng)性不足��、顧客服務(wù)創(chuàng)新不足�;而可靠性、銀行形象和響應(yīng)性方面較好���。研究結(jié)果表明,積極的情感有助于提高顧客的滿意度��,消極的情感并沒(méi)有導(dǎo)致顧客極大的抱怨����。
四、結(jié)論與對(duì)策建議
我國(guó)金融市場(chǎng)由于外資銀行和商業(yè)銀行的進(jìn)入���,競(jìng)爭(zhēng)越來(lái)越激烈,有實(shí)力的公司不斷地加入到中國(guó)市場(chǎng)中�,國(guó)有銀行面臨的壓力也越來(lái)越大���。為了爭(zhēng)奪顧客���,國(guó)有銀行采取了很多措施����,諸如提出的“優(yōu)化服務(wù)環(huán)境���、改善服務(wù)質(zhì)量�,提高顧客滿意度”口號(hào)。
1���、服務(wù)接觸中打造積極情感提升滿意度。
第一��,銀行在與顧客的服務(wù)接觸過(guò)程中�����,首先要加強(qiáng)服務(wù)的可靠性、響應(yīng)性、形象認(rèn)知、移情性�、顧客服務(wù)和便利性����,這有助于形成顧客的積極情感����,讓顧客感到愉悅,并形成對(duì)銀行服務(wù)的滿意度����。通過(guò)改善員工的操作技能��,加強(qiáng)對(duì)兼職人員管理,優(yōu)化服務(wù)流程,加強(qiáng)服務(wù)承諾以及確保顧客的資金和網(wǎng)絡(luò)安全有助于提高銀行服務(wù)的可靠性。其次�����,銀行需要加快對(duì)顧客的應(yīng)答和響應(yīng)速度,通過(guò)員工服務(wù)接觸和上門服務(wù)等����,改善服務(wù)態(tài)度�,提高服務(wù)質(zhì)量���。再次�����,銀行應(yīng)該提高員工的內(nèi)部滿意度����,加強(qiáng)對(duì)員工的培訓(xùn)和授權(quán)����,主動(dòng)為顧客著想��,進(jìn)而為顧客提供個(gè)性化服務(wù)��。最后,通過(guò)優(yōu)化服務(wù)網(wǎng)點(diǎn)、改善服務(wù)環(huán)境����、提高服務(wù)素養(yǎng)和構(gòu)建專業(yè)的網(wǎng)絡(luò)服務(wù)等���,提高顧客的滿意度���。
第二��,品牌化和互動(dòng)性成為銀行塑造積極情感的主要障礙。一方面,銀行需要提高顧客的社會(huì)地位���,加強(qiáng)慈善營(yíng)銷,通過(guò)開(kāi)展本地個(gè)性化營(yíng)銷,加強(qiáng)銀行的服務(wù)文化建設(shè)����。另一方面�,銀行需要在與顧客的互動(dòng)過(guò)程中����,增加顧客的積極情緒。例如,提高服務(wù)的標(biāo)準(zhǔn)化���,減少顧客的排隊(duì)等待時(shí)間,提高為顧客的服務(wù)效率�,員工的行為能夠被顧客觀察,引入科技手段��,加強(qiáng)與顧客的交流等���。
2����、服務(wù)接觸中規(guī)避消極情感,提升滿意度�。
第一����,銀行服務(wù)中還需要避免顧客產(chǎn)生消極情感����,進(jìn)而改善顧客的滿意度狀態(tài)。如加強(qiáng)銀行服務(wù)對(duì)于顧客的優(yōu)越感���,形成較好的社會(huì)參照效應(yīng),提升社會(huì)在享受銀行服務(wù)過(guò)程中的心理感知:通過(guò)慈善營(yíng)銷或者選擇代言人與吉祥物等提升銀行服務(wù)的形象認(rèn)知���;增加顧客個(gè)性化服務(wù)的創(chuàng)新,開(kāi)發(fā)顧客的潛在需求���;增加服務(wù)網(wǎng)點(diǎn),減少顧客接觸服務(wù)的障礙��,增加與顧客的互動(dòng),通過(guò)新的媒體和平臺(tái)加強(qiáng)與顧客的深入交流與溝通等����。
