[关键词]电子商务;网络隐私权;信息安全技术;安全协议;P2P技术;安全对策
随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题。在利益驱使下,有些商家在网络应用者不知情或不情愿的情况下,采取各种技术手段取得和利用其信息,侵犯了上网者的隐私权。对网络隐私权的有效保护,成为电子商务顺利发展的重要市场环境条件。
一、网络隐私权侵权现象
1.个人的侵权行为。个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。
2.商业组织的侵权行为。专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息,利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料,建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以谋利,或是用于其他商业目的。根据纽约时报报道,、Toysmart和等网站,都曾将客户姓名、住址、电子邮件甚至信用卡号码等统计分析结果标价出售,以换取更多的资金。
3.部分软硬件设备供应商的蓄意侵权行为。某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该处理器的计算机能在网络中被识别,生产厂商可以轻易地收到用户接、发的信息,并跟踪计算机用户活动,大量复制、存储用户信息。
4.网络提供商的侵权行为
(1)互联网服务提供商(ISPInternetServiceProvider)的侵权行为:①ISP具有主观故意(直接故意或间接故意),直接侵害用户的隐私权。例:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。②ISP对他人在网站上发表侵权信息应承担责任。
(2)互联网内容提供商(ICPInternetContentProvider)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散,ICP构成侵害用户隐私权,应当承担过错责任。
5.网络所有者或管理者的监视及窃听。对于局域网内的电脑使用者,某些网络的所有者或管理者会通过网络中心监视使用者的活动,窃听个人信息,尤其是监控使用人的电子邮件,这种行为严重地侵犯了用户的隐私权。
二、网络隐私权问题产生的原因
网络隐私权遭受侵犯主要是由于互联网固有的结构特性和电子商务发展导致的利益驱动这两个方面的原因。
1.互联网的开放性。从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。由于互联网成员的多样和位置的分散,其安全性并不好。互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。
2.网络小甜饼cookie。某些Web站点会在用户的硬盘上用文本文件存储一些信息,这些文件被称为Cookie,包含的信息与用户和用户的爱好有关。现在的许多网站在每个访客进入网站时将cookie放入访客电脑,不仅能知道用户在网站上买了些什么,还能掌握该用户在网站上看过哪些内容,总共逗留了多长时间等,以便了解网站的流量和页面浏览数量。另外,网络广告商也经常用cookie来统计广告条幅的点击率和点击量,从而分析访客的上网习惯,并由此调整广告策略。一些广告公司还进一步将所收集到的这类信息与用户在其他许多网站的浏览活动联系起来。这显然侵犯了他人的隐私。
3.网络服务提供商(ISP)在网络隐私权保护中的责任。ISP对电子商务中隐私权保护的责任,包括:在用户申请或开始使用服务时告知使用因特网可能带来的对个人权利的危害;告知用户可以合法使用的降低风险的技术方法;采取适当的步骤和技术保护个人的权利,特别是保证数据的统一性和秘密性,以及网络和基于网络提供的服务的物理和逻辑上的安全;告知用户匿名访问因特网及参加一些活动的权利;不为促销目的而使用数据,除非得到用户的许可;对适当使用数据负有责任,必须向用户明确个人权利保护措施;在用户开始使用服务或访问ISP站点时告知其所采集、处理、存储的信息内容、方式、目的和使用期限;在网上公布数据应谨慎。
目前,网上的许多服务都是免费的,如免费电子邮箱、免费下载软件、免费登录为用户或会员以接收一些信息以及一些免费的咨询服务等,然而人们发现在接受这些免费服务时,必经的一道程序就是登录个人的一些资料,如姓名、地址、工作、兴趣爱好等,服务提供商会声称这是为了方便管理,但是,也存在着服务商将这些信息挪作他用甚至出卖的可能。
三、安全技术对网络隐私权保护
1.电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于安全技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。
(1)防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。
(2)加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
(3)数字签名技术。数字签名(Digital??Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整、不可否认服务中都要用到数字签名技术。
(4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(DigitaTime-stamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。
2.电子商务信息安全协议
(1)安全套接层协议(SecureSocketsLayer,SSL)。SSL是由NetscapeCommunication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
(2)安全电子交易公告(SecureElectronicTransactions,SET)。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。
(3)安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。
(4)安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。
(5)UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。
3.P2P技术与网络信息安全。P2P(Peer-to-Peer,即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络,最根本的思想,同时它与C/S最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。
(1)隐私安全性
①目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征,获得IP地址。甚至可以使用一些跟踪软件直接从IP地址追踪到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容,但是这些机制并不能隐藏是谁发送了这些信息。而在P2P中,系统要求每个匿名用户同时也是服务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次通信都可能包含许多潜在的用户。
②目前解决Internet隐私问题主要采用中继转发的技术方法,从而将通信的参与者隐藏在众多的网络实体之中。而在P2P中,所有参与者都可以提供中继转发的功能,因而大大提高了匿名通讯的灵活性和可靠性,能够为用户提供更好的隐私保护。
(2)对等诚信
为使得P2P技术在更多的电子商务中发挥作用,必须考虑到网络节点之间的信任问题。实际上,对等诚信由于具有灵活性、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任管理的必然选择。
对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度模型中,买卖双方在每次交易以后可以相互提升信誉度,一名用户的总的信誉度为过去6个月中这些信誉度的总和。eBay依靠一个中心来管理和存储信誉度。同样,在一个分布式系统中,对等点也可以在每次交易以后相互提升信誉度,就象在eBay中一样。例如,对等点i每次从j下载文件时,它的信誉度就提升(+1)或降低(-1)。如果被下载的文件是不可信的,或是被篡改过的,或者下载被中断等,则对等点i会把本次交易的信誉度记为负值(-1)。就象在eBay中一样,我们可以把局部信誉度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。
每个对等点i可以存贮它自身与对等点j的满意的交易数,以及不满意的交易数,则可定义为:
Sij=sat(i,j)-unsat(i,j)
四、电子商务中的隐私安全对策
1.加强网络隐私安全管理。我国网络隐私安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。
2.加快网络隐私安全专业人才的培养。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。
3.开展网络隐私安全立法和执法。加快立法进程,健全法律体系。结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。
4.抓紧网络隐私安全基础设施建设。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。
5.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。
6.强化网络技术创新,重点研究关键芯片与内核编程技术和安全基础理论。统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。
7.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。目前,国际上出现许多关于网络隐私安全的技术规范、技术标准,目的就是要在统一的网络环境中保证隐私信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。
参考文献:
[1]屈云波.电子商务[M].北京:企业管理出版社,1999.
[2]赵立平.电子商务概论[M].上海:复旦大学出版社,2000.
[3]赵战生.我国信息安全及其技术研究[J].中国信息导报,1999,(8).
防火墙的保护是必要的,但绝不是仅仅的保护手段,防火墙需要开通必须的服务,内部需要收发邮件、需要访问Internet、需要对外提供WEB和MAIL服务,在提供正常业务的同时也给了入侵者可乘之机,他们可以通过外设设备、邮件、浏览器攻进网络,也可以直接攻击WEB和MAIL企业中的重要的业务服务器;原有的安全设备,包括防火墙的策略配置复杂,需要考虑各种协议、隐藏策略、全局策略、目标对象、Inbound和Outbound、地址欺骗、先后顺序、等众多因素,稍有偏差就会出现防护漏洞[1];而且有些防火墙自身存在漏洞,目前最好的防火墙技术都不可避免的存在这样或那样的问题,这在业界已经是不争的事实。
入侵检测系统作为固有的防火墙防护手段的有利补充和互补,是安全防护体系的第二道防线,入侵检测系统可以帮助运维人员直观的掌握当前网络的安全状况,可以感知的安全问题在多数情况下都是防火墙无法防御的,由于这些安全问题都是非常规的安全攻击事件,因此入侵检测系统检测信息对运维人员来说是非常重要的参考和借鉴,因此要求入侵检测系统可用性较高,其必须可以实施监控网络情况,又由于入侵检测系统自身的检测技术决定了入侵检测系统在某些情况下告警信息不够准确,误报的情况出现的较多,信息可参考的价值大大折扣,需要我们通过策略优化等方式使入侵检测系统发挥更重要的作用,入侵检测系统部署完毕的后期运维工作变得尤为重要,入侵检测系统的运维工作涉及到很多方面,将在下文进行详细阐述。
1入侵检测系统(IDS)技术架构
入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统[2]。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
IDS是企业网络中的监视系统,它通过对网络中的威胁实时监视,一旦发现异常情况和威胁事件就发出警告。IDS入侵检测系统以威胁事件信息来源的不同和事件规则检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作[3]。因此,对IDS的部署,唯一的要求是:IDS应当挂旁路部署在所有所关注流量都必须流经的链路上或者设备上。在这里,"所关注流量"指的是来自全网络区域、高危网络区域的访问流量和需要进行统计、监视的网络报文和网络访问事件。在如今的网络拓扑中,已经很难找到以前的HUB式的网络共享介质的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源、网络数据集中或者尽可能靠近受保护资源的位置。
IDS系统的一个典型的工作流程是[4]:传感器收集和检测对网络、系统的攻击。事件收集器收集传感器所记录的实时事件进行即时响应,并将这些事件存储在数据库中。控制台将根据响应实时显示安全事件和安全事件统计图。被存贮在数据库中的数据,可以被报表程序调用,根据一些统计规则生成用户关心的统计报表。
2入侵检测系统运维管理体系
2.1维护作业计划
当完成入侵检测系统部署后,企业安全技术人员对入侵检测系统进行维护以保障系统的高效运行和使用。
主要工作流程内容包括:
(1)入侵检测系统用户管理;(2)系统管理组件功能,添加,删除组件等;(3)系统策略配置;(4)安全事件收集显示;(5)查看IDS报表功能;(6)在数据库中表空间中以各种条件查询数据的功能。
日常运维作业计划体系流程如图1。
2.2变更管理
系统变更是指:根据业务需要,对IDS的部署位置,IP地址,检测端口等进行改变[5],变更管理一般是在有系统搬迁,扩容等事件发生时才需要进行,不属于周期性的日常维护工作,建议变更管理流程如图2。
2.3告警管理
根据多年从事信息安全系统建设的经验及在日常工作中积累了丰富的IDS监控及告警处理经验,IDS日常监控方法如下:
(1)关注高风险事件;(2)关注新增事件;(3)定期统计检测事件报表了解网络中安全事件类型;(4)定期统计检测事件报表了解安全事件数量变化趋势;(5)对高风险的检测安全事件进行详细统计,以此为依据控制安全风险。
IDS告警分析处理方法如下[6]:
(1)查看告警详细信息;(2)查看告警帮助信息;(3)查看相关签名参数说明;(4)梳理网络结构;(5)了解相关系统应用;(6)综合分析处理;(7)总结编写、更新《IDS告警处理标准化流程手册》。
2.4故障处理
出现故障时的判断步骤
(1)检查整体网络的连通性和业务系统的运行性。保证整个网元设备之间的网络通讯正常;(2)检查入侵检测系统的运行状态,通过察看入侵检测系统部署在核心交换机的监听端口是否正常工作和指示灯变化来判断;(3)使用console界面上提供的工具来确认主要网元设备之间的通讯访问是否正常;(4)使用sensor调试工具察看sensor端的状态;(5)使用外接显示器或串口的方式察看sensor的工作状态;(6)重新启动sensor,判断网络故障现象能否重现;(7)确定故障出现之前的网络或设备有无重要变化,根据网络环境的变化判断可能引起故障的原因;
组件直接通信状态是否正常的检测方法有很多种,如:Ping命令:判断组件之间的网络连通性;telnet命名:判断组件的相应端口是否打开;console界面上的工具:组件之间的连通性和运行状态测试[7]。
3结语
随着人们对互联网信息安全的重要性的认识程度逐步加深和了解,对网络安全状况需求的增强,入侵检测系统已经越来越多地被很多企业所使用,入侵检测系统发挥为用户提供有助信息的首要条件就是做好系统的运维工作,保证系统运行的连续性、策略、告警信息的准确性,可以通过专人专责、制订工作计划、规划相关处理流程来规范化运维工作。在智能化和流程化如果能够建立一套完善的体系或者框架,那将是对入侵检测系统的运维体系提高到新的高度。
报告分析了网站安全技术前沿趋势。一、数据驱动安全将引领技术潮流。今年以来,主流的网站安全厂商均开始转向研发以全流量日志记录和大规模数据关联分析为基础的大数据安全监测与防御系统。这种监测系统会将网站的所有流量及访问过程进行记录并优化存储,并不断地通过多维度数据的关联分析来检测系统异常,一旦发现网络攻击,还可以迅速地还原攻击过程,发现攻击手法,甚至是实现攻击的溯源。
未来基于大数据技术的网站安全产品,其市场竞争力将主要体现在四个方面:对未知威胁的实时发现能力,对网络攻击的实时溯源能力,对网络威胁的及时预测能力以及对威胁情报的使用能力。
二、威胁情报将成市场关注的焦点。威胁情报将是未来一两年内,最具发展潜力的新兴安全服务技术。目前,威胁情报在国际上已有一些商业实践,但在国内尚属于新鲜事物。有能力提供威胁情报服务的厂商屈指可数。2015年8月,360建成了国内首个威胁情报中心,并于9月开始正式商用,目前主要为相关政府机构和大型企业提供威胁情报的信息服务。
三、机器学习与可视化技术迅速发展。预计在未来五年内,在机器学习方面的技术和人才储备水平,将成为网络安全企业竞争力的核心体现。
大数据安全技术的另外一项辅助分析技术也显得特别关键,这就是安全可视化技术。安全数据的可视化技术可以帮助安全人员更加迅速而有效地分析安全问题,捕获安全线索,发现未知威胁。安全可视化技术是安全“看见”能力重要的“外在”表现形式。
制定网络安全基线
网络安全基线是阻止未经授权信息泄露、丢失或损害的第一级安全标准。确保与产品相关的人员、程序和技术都符合基线,将有效提高政府的网络安全等级。网络安全基线应体现在采办程序的技术需求以及性能标准中,以明确在整个采办生命周期内产品或服务的网络风险。由于资源有限以及采办中风险的多样性,政府应采取渐进和基于风险的方法,逐步增加超越基线的网络安全需求。这种需求应在合同内清晰且专门列出。
开展网络安全培训
政府应对工业合作伙伴开展采办网络安全培训。通过这种培训向工业合作伙伴明确展示,政府正通过基于风险的方法调整与网络安全相关的采购活动,且将在特定采办活动中提出更多网络安全方面的要求。
明确通用关键网络安全事项定义
明确联邦采办过程中关键网络安全事项的定义将提高政府和私营部门的效率和效益。需求的有效开发和完善很大程度上依赖于对关键网络安全事项的共同认识。在采办过程中,不清晰、不一致的关键网络安全事项定义将导致网络安全不能达到最优效果。定义的清晰界定应建立在公认或国际通用的标准上。
建立采办网络风险管理战略
政府需要一个部门内普遍适用的采办网络风险管理战略。该战略将成为政府企业风险管理战略的一部分,并要求政府部门确保其行为符合采办网络风险目标。该战略应建立在政府通用的采办愿景基础上,并与美国家标准与技术研究院制定的“网络安全框架”相匹配。战略应为采办建立网络风险等级,并包含基于风险的采办优先次序。战略还应包含完整的安全需求。制定战略时,政府应将网络风险列入企业风险管理,并积极与工业界、民间和政府机构以及情报机构合作,共享已验证的、基于结果的风险管理程序和最佳经验。
加强采购来源的网络风险管控
确保提供给政府的产品真实、未被篡改和替代是降低网络风险的重要环节。伪冒产品往往不能进行安全更新,或达不到原始设备制造商产品的安全标准。政府需要从原始设备制造商、授权商获取产品,或者从合格供应商表中确定可信采购来源。政府通过一系列基于采办类型的网络安全标准,评估供应商的可信情况,建立合格供应商表。即便来自可信采购来源的产品也可能存在网络安全缺陷。对此,政府应限制原始设备制造商、授权商以及可信供应商的来源,并将资格要求贯彻到全采办生命周期。政府从供应商获取产品或服务时,若供应商未与原始设备制造商建立信任关系,政府应要求其就产品的安全和完整性提供担保。
一,良好的思想政治表现
我为人处事的原则是“认认真真学习,踏踏实实工作,堂堂正正做人,开开心心生活”,对自己,我严格要求,工作认真,待人诚恳,言行一致,表里如一。做到遵纪守法,谦虚谨慎,作风正派,具有良好的思想素质和职业道德,能用“三个代表”的要求来指导自己的行动。积极要求进步,团结友善,明礼诚信。在党员先进性教育主题演讲比赛中获得过三等奖,“知荣明耻爱报社”演讲比赛中获得过三等奖,
“我为报社改革发展献一策”活动中获得过三等奖。连续四年被评为集团先进工作者,并获得过“市属机关优秀团员”称号.
二,负重锻炼,鼓劲挖潜,较好地完成本职工作
20*至20*年来是报业集团改革与发展的关键时期,集团正朝着规模化、多媒体化、多元化,网络化的方向快速发展,生产规模、管理理念、业务流程等都发生了很大的变化,在报业快速变革时期,记者编辑的数量增加,集团办公区域的扩大,并且在技术人员不足的环境条件下,集团采编流程,经营流程,网络安全,机房建设,信息化成本研究等方面的都进行了较大规模的设计建设与完善。在信息建设的过程中,一方面在较少技术支持下独立研究项目的合理性,科学性,安全性,另一方面又要面对很多系统与网络核心维护,以及大量其他技术人员无法解决的问题。在报业集团这些日子里,较好的完成了集团领导下达的责任目标.
1.报业集团信息中心机房平台安全运转,没有出现过重大事故,工作有序开展,集团网络与系统总体正常运行,信息机房建设水平达到新的高度,
空调通风系统,应急照明系统,消防系统,机房UPS配电系统,机房防雷接地系统的安全系数进一步得到提高.
2.报业系统集成,管理流程得到提高,
报业采编流程系统逐步升级.渊博系统已为报人提供方便快捷的全文检索功能,报社经略广告系统的研究,使的广告管理模式电脑化、科学化和规范化,广告数据更加的准确性、完整性和安全性.报业集团的发行系统实施已大大推动报业自办发行的进程与规模.
二次开发报业业绩考核管理系统,统计出记者和编辑业绩情况,以便对其进行定期考核,提高全体员工办报的热情.
3.实现创建集团的域控制系统,采编数据库系统,文件服务器系统,UPS不间断电源监控系统,也同时协助设计与实施财务集中管理与监控,逐步完善财务经营管理一体化.
4.协助完成集团报业数字化大楼建设,监督与完善3楼发行中心,8楼商报7楼行政经营区域结构化布线子系统,,网络系统接入性,扩展性,使其稳定性得到提升,
让区域需求得以改变,使的网络能够逐步向成熟期过渡.并且完成22个镇区网络接入,系统与报社中心整合运行已向多分支性机构过渡.
5.架设网络版防病毒防御系统,并与硬件防病毒墙进行联动,降低网络的安全风险,提高网络安全性。VPN远程办公系统与报社网关级别防毒墙设计与规划实施为报人提供安全的信息多元化通道,完善的网络存储集中备份,为整个网络中的数据实现统一的存储控制管理,从而防止物理损坏,以及部分逻辑损坏,保护好集团的数据资源。实现核心交换机的双机热备份,维持核心网络层安全、稳定的运行,最大限度的降低网络的风险。上网行为监控的研究与设计实现。规范报人上网行为,使网络资源合理利用,提高报业集团竞争力。磁盘阵列存储系统,相关的灾难恢复,数据库管理,存储策略得到进一步的扩展.
加强了网络安全,为报人服务,深度研究与准备架构一个动态的、整体的安全体系:
安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全模块.找出网络,与系统运行规律,进而来预测未来可能发生趋势.
三,加强责任感、发扬吃苦耐劳的精神、增强开拓创新的意识
这些年来,集团的技术领域特殊的环境使我能够以大局为重、宽宏大量,不斤斤计较个人利益。由于工作的特殊性与重要性,这些年来很多时候都在超负荷工作,甚至几天几夜才能睡上几个小时,每一次技术改造与创新,每一个项目的设计与架设都要付出巨大的艰辛,即要协调维护好集团及报人家庭将近上千万的信息设备,又要进行预测,研究信息化过程中可能出现的问题,敢于尝试,把新知识、新技术、新理念融入实施过程中,提出高效的解决方案,又要对集团技术管理进行阶段深入研究。
四,不断加强理论学习,拓展知识领域
潜心研究计算机技术领域的国内外现状和发展趋势,吸收丰富的计算机理论知识,提高解决本专业实际问题的能力,能将本专业与相关专业相互配合,协调解决有关技术难题,并且能指导工程师工作和学习。并且也加强了写作能力、组织协调能力和判断分析能力。为了加强自身计算机水平的提高,于20*年度在微软授权培训中心接受微软系统工程师培训,并获得中国微软颁发的MCSE系统工程师证书时.同年也获得北大方正采编高级系统管理证书,在20*年在cisco授权培训中心接受cisco网络工程师培训,同年获得美国思科颁发的CCNA网络工程师证书,并自学CCNP网络专家课程.为了掌握更扎实的技术,充实自己的理论知识,从20*年开始就读于电子科技大学软件工程研究生专业,并且在20*年底顺利拿到工程硕士文凭。在论文方面,
,先后在电脑报,计算机世界,中国地市报人等报刊发表过论文.
五,今后努力方向
1.陷于较为严重的事务性工作的特殊情况,
必须进行角色技术转变,新时期的现代报业技术人员应是技术组织者,网络,网络安全建设者,新闻信息产品的开发员,信息技术服务咨询专家,信息技术教师的身份.
2.要创新,技术管理更需要有潜意识加强,技术和管理应该并重.
一、网络审计产生的动因
首先,审计机构的自身利益驱动,促使了它不断地进行创新。根据经济学原理,一个企业的发展是以利润最大化原则去运作经营,作为中介服务的审计同样如此。如何实现利润最大化目标,不外乎通过增加服务收入,减少成本费用等方式来实现。在网络时代,随着客户服务偏好的转向,越来越需要提供实时化、个性化的服务,这就促使了审计机构向在线实时服务为主的方向发展,充分利用网络的低成本性、快捷性、跨越时空性等优势。因此审计机构会渐渐地建立起以网络为依托的审计新模式,从而更有效的服务于社会经济。
其次,随着信息高科技的飞速发展,Intranet技术的不断成熟以及电子商务模式在企业中的广泛运用,越来越使信息的处理和传递突破了时空的界限,电子商务不仅提供了集信息流、物流和资金流于一体的商务交易模式,而且处处体现出其快捷、方便、高效率、高效益的显著特征,同时也带来了经济结构和运作方式的变革。审计作为中介服务的一部分,将直接受到其服务对象交易模式的影响,企业采用了新的电子商务模式,产生了新的运作机制,势必需要产生一种新的监督机制来维护和保障市场的正常运作,体现其公平性,这一历史重任必将推动着审计进行创新,从而为网络审计的产生和发展提供了驱动力。
再次,网络经济是跨越时空的经济。全球经济一体化是它的特征之一,对于每个提供审计服务的机构而言,网络经济给它带来了机遇,使它能摆脱传统地域观念的束缚,开拓新的审计领域,同时网络经济也给它带来了挑战,全球审计服务市场的进一步开放,将使竞争更趋激烈,只有在竞争中寻求合作,才能更好的参与竞争,保持优势。因此在这种环境下势必会培育出一种新型的市场运作机制,这也是网络审计所必需的。
最后,由于审计与会计的血缘性,使它的发展受到会计制度和实务创新的影响。随着企业局域网的建立和完善,会计的无纸化,电子化进程不断加快特别是诸如网络财务、网上远程会计等新概念的提出。进一步要求与之适应的网上监督机制的建立,这在一定程度上推动着网络审计的产生和发展。
鉴于上述不同的原因,我们有理由相信,网络审计的产生和发展不仅仅只停留在理论研究上,它的产生符合网络经济的需要,目前我们讨论网络审计将具有前瞻性意义。
二、网络审计的概念
网络审计这一全新概念的推出,必将在网络经济社会中成为审计工作中最为时髦的管理运作理念,那么,什么是“网络审计”呢?它与传统桌面审计有何区别呢?它将如何有效地实施呢?这一连串的问题都将影响对网络审计概念的界定,应该说当今世界上对网络审计还只存在于理论研究,对其也没有一个统一的定义。一般来说,网络审计的定义有狭义和广义之分,其中,狭义的网络审计指借助电子计算机的先进的数据处理技术和联网技术,以磁性介质作为主要载体来存储数据以便于用网络来处理、传送、查阅这些数据,使审计工作与计算机网络组成一个有机的整体,从而提高审计的现代化水平。而广义的网络审计是指在网络环境下,借助大容量的信息数据库,并运用专业的审计软件对共享资源和授权资源进行实时、在线的个性化审计服务。为了对网络审计有个整体的了解,在此,本文统称其为“网络审计”,不加区分。下面笔者将从技术层面、管理系统、法制环境等方面来构筑网络审计的架构,以展示新型审计模式的初步框架。
三、网络审计的架构设想
(一)网络审计的技术支持
在网络经济时代里,电子商务的普及,虚拟企业的不断涌现,使得企业的运作机制发生了根本性改变,作为对企业经营进行监控的审计机构,同样需要建立起适应自身业务系统的集硬件平台、软件平台、网络平台和数据平台于一体的网络化操作平台,并对数据进行仓库式管理和挖掘分析。下图初步展示了网络审计的整体结构:
1.网络审计信息系统的运作
网络审计信息系统的结构是构建于计算机技术、数据库技术、Internet/Intranet等现代信息技术基础之上,旨在满足客户的信息需求,其运行机制如下:
(1)将经济事项信息通过Internet、EDI或者虚拟专用网传递到并保存在信息数据库中,这些信息包括财务信息,也包括非财务信息。
(2)通过交互式报告生成器,实现信息系统与客户和外界信息使用者之间的交流。
第一,登录授权,该功能是确认使用者的身份真伪和权限层次,以便提供不同程度的信息;
第二,报告框架,报告框架是审计机构提供信息项目的一个基本结构,为了方便客户和其他信息使用者的比较,在报告的基本部分应统一格式,而在扩展部分则可根据客户的需要灵活选择所需报告格式,制作出个性化的审计报告形式。
第三,以模块化的审计处理程序为中心,联结报告生成器和信息数据库,并对授权数据信息进行处理。在模块化的审计处理程序中存放了各种可供选择使用的审计处理软件,能提供使用不同的计量属性、计量单位、确认基础等多元化的审计处理程序,它是审计软件的组成部分,是数据信息处理的中枢,是网络审计的关键技术所在。
2.网络安全技术和机制的建立
网络审计作为一种网络化运营模式而存在,与其他行业的电子商务交易模式一样,同样需要对网络的安全性进行实时监控和维护,这也是网络审计得以产生和发展的必要技术基础。对于网络安全,首先必须具有一个安全、可靠的通信网络,以保证数据信息安全、快速传递;其次,要求对数据库服务器有绝对的控制权,禁止未授权客户和黑客的闯入、盗窃和破坏数据信息。网络审计不管从审计软件和数据库等方面都要利用安全技术,并建立起一套安全机制,以保障网络审计的安全。对于安全机制,主要包括接入管理、安全监视和安全恢复等三方面,首先对于接入管理,主要处理好身份鉴别(身份真伪和权限)和接入控制,以控制信息资源的使用;其次是安全监视,主要功能有安全报警设置、安全报警报告以及检查跟踪;最后是安全恢复,主要是及时恢复因网络故障而丢失的信息。对于安全技术而言,主要可以应用防火墙、数据认证、数据加密等技术;另外还可以将不断开发出的新型安全技术及时应用于网络审计中,如将隧道技术充分地运用于虚拟专用网(VPN)等。因此在安全的网络技术和安全机制的控制下,网络审计的产生和发展从技术层面上奠定了坚实的基础。
(二)网络审计的管理系统
在网络经济环境下,审计机构主要进行两方面的管理,即审计的质量控制管理和审计的网络风险管理。首先是审计质量控制的管理,审计质量是审计职业生存和发展的源泉,没有良好的质量控制体系作保障,审计职业将无法赢得社会的信任,质量控制还是保障审计准则得到遵守和落实的重要手段,因此,审计的质量控制管理是其他管理的基础,在管理体系中居于核心地位,它的好坏直接影响到审计工作的其他各个方面,因此在网络审计中首先必须加强审计质量的控制管理;其次,要进行网络风险管理,这是网络审计特有的管理机制,出于网络风险的特殊性,本文将另起一部分进行详细论述。
(三)网络审计的风险与防范管理
随着网络审计的产生与发展,不可避免地会产生新环境下的风险,与传统审计风险相对应,网络审计风险指的是审计人员利用网络技术对有关信息系统进行审计后发表不恰当的意见的可能性。
1.网络审计的新型审计风险
(1)篡改数据,不留审计线索。在网络环境中,数据的电子化并以磁介质为主要存储载体,这为舞弊者或攻击者对原始数据进行非法修改和删除,且不留篡改痕迹成为可能,这将无法保证数据的完整性和真实性,给审计监督带来了风险。
(2)信息丢失。主要有三种原因:一是运行间的断电和死机等故障;二是计算机病毒破坏;三是人为的毁损。
(3)黑客侵入和数据失窃。计算机黑客为了获取重要的商业秘密、数据资源,经常用IP地址欺骗攻击网络系统。黑客伪装为源自内部主机的一个外部站点,利用一定的技术进入目标系统窃取或破坏数据。
(4)职责分离不恰当引起内控失灵。在网络环境下,如果对数据维护、系统管理和数据输入、数据核对确认等岗位不作适当的分离,就会有人利用网络的弱点故意修改数据、舞弊或窃取秘密信息从中捞取利益。
2.网络审计风险的防范和控制
为了有效地降低网络审计风险,就必须采取相应的防范和控制措施,具体表现为:
(1)应用审计软件,对相关网络系统进行实时跟踪。首先对被审计单位的网络系统进行评价,并利用专用的审计对比软件,将存放于数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;其次对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;再次要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。
(2)建立审计服务信息库。审计人员可将被审计单位的有关信息,通过网络建立一个完善的大容量的信息库,这些信息包括被审计单位的背景资料,最新动态和一些以前审计的档案信息,以便以后开展审计时查阅和运用,这样将可大大减少工作时间,提高工作效率,同时也相应地降低了审计的风险。
(3)加强对网络系统的安全性和保密性进行审计。在网络中运行,信息的安全性即可靠性和保密性构成了审计的风险防范和控制的重点。首先对网络系统职责分离情况进行审查,遵循的原则仍为不相容职责必须分离,但侧重对数据的输入、输出,软件开发和维护及系统程序修改或管理等之间的关系处理进行审查;其次对被审计单位网络结构进行分析与评价,以确认防范黑客侵入的能力;再次对被审计单位的系统容错处理机制,安全管理体制和安全保密技术等作深入的了解,以评价其系统安全性的等级,从而有效地控制审计风险。
(四)网络审计的法律环境
由于网络时代社会的信息化加大了社会的不确定性,著名的摩尔定律所蕴涵的正是这种不确定性,由于法律是人们在社会生活中形成的一种共识,它在规范社会经济的运作,控制社会的不确定性上具有无可替代的功能优势。因此,在网络经济中法律的重要性将更为凸现。作为一个经济服务领域,审计首先要充分利用和维护已有的适应于自己的法律体系,作为维系共同利益的法律屏障,这些法律主要包括刑法、民法和商法等;其次,审计服务由于要处处体现其独立性,从而存在其自身的特征,因此迫切需要一套符合自身发展规律的法律来规范,这就需要建立起规范网络审计的审计准则。就新的审计准则而言,必须做到既有独创的一面,又有沿袭传统的一面,说它独创性的一面,主要表现在规范审计企业的网络信息系统为中心的一整套制度以及电子版本的业务约定书、管理层说明书、审计报告等电子文件的合法化,这些制度具有浓厚的网络特色,这与传统审计准则具有明显的区别;由于网络审计在审计独立性、客观公正以及审计的职业道德等方面仍然类似于传统审计,并且有时还离不开实地审计的参与,所以在规范类似审计方面可以适当的沿袭仍适用的传统审计准则。基于上述网络审计法律环境的建立,网络审计的运作将更加规范,更有保障。
关键词:网络条件;企业会计;信息系统构建
网络时代中的企业会计信息系统就是利用计算机技术与互联网等网络技术来构建的,这种方式可以在很大程度上提高企业的工作效率,使工作人员能够在相同的时间内做更多的工作,因此企业必须加强对会计信息系统的网络构建工作。
1.网络条件下会计信息系统的构造目标
1.1企业提供的信息
在企业会计工作中,大部分的使用者都需要依靠企业提供的一些信息来了解会计工作,在企业所提供的会计信息中,首先企业可以向使用者提供财务和非财务数据,而且会有专业人员对这些数据进行详细的分析,使使用者能够有准确的了解;其次是企业可以提供一些具有前瞻性的信息,这样会帮助使用者做出合适的判断;另外是可以提供一些管理者及股东或者是企业自身的消息,使人更加了解企业。
1.2财务报告提供的信息
使用者大都希望可以从财务报告中获得更多的消息,但是财务报告可以提供的信息也是有限的,首先财务报告可以提供一些企业分部的情况,还有一些创新金融工具的信息;其次是财务报告可以展示一些季度报告信息,这样使用者可以知道企业每个季度的工作信息;最后是可以知道一些关于企业负债的消息等,使人们对企业会计信息有更加深入的了解。
1.3网络会计信息系统可以提供的信息
传统的会计信息系统不能够满足使用者对信息的需求,但是网络会计信息系统就可以很好地解决这些不足。网络条件下的会计信息系统所提供的信息不只是包括企业与财务报告所提供的相关消息,还可以提供一些独有的信息。按照当前使用者对信息的需求,企业就可以设计一个可以多元化的会计信息系统,采用联机实时操作,使信息得到及时更新,使人们能够在第一时间之内就可以掌握最新的企业会计情况。
2.网络条件下会计信息系统的构造原则
在当下,使用网络技术构建会计信息系统时必须得注重其构造原则。一是全面性,在构建时必须得把有关信息全部整合到会计信息系统中,不能有遗漏的内容;二是系统性,由于会计信息系统的内容非常复杂,因而在构建时需要分类整理,使信息系统中的内容系统有条理,便于查找;三是及时性,会计信息必须及时在信息系统中反映出来,不能延误,使信息能及时更新;四是发展性,在信息时代,计算机网络技术是不断进步的,因而会计信息系统也必须注重发展性,使其能够一直延续下去,因此必须得加强计算机技术的培训工作,保证与时俱进,不断适应会计环境的变化。
3.网络条件下会计信息系统存在的问题
3.1企业管理水平低,缺乏数据交换的需求
由于网络技术的广泛应用,许多企业都意识到了网络的重要性,开始利用网络来建立会计信息系统,但是许多企业管理者的网络知识没有及时跟上。由于企业管理水平有限,不能将会计信息进行有效地管理,不利于数据之间的交换,这样将会影响信息系统的更新速度。而且因为网络知识有限,在操作过程中也存在一些不利之处,不利于信息的收集及与其他企业之间的相互交流沟通。
3.2会计人员及管理人员信息技术欠缺
会计信息系统的工作需要具有一定的网络技术,只有这样才能保证工作人员可以正常工作,但是在当下许多企业会计人员及管理人员的技术有所欠缺,这样长期下去将会影响会计信息系统的运行。在应用会计信息系统的过程中,需要工作人员进行数据的远程控制或者是网络系统的管理,这就要求具有较高水平的网络技术,这样才可以保持信息系统的运行。
3.3会计信息系统管理缺乏安全和保密措施
传统的会计信息都是纸质版的,但是在信息时代已经用网络技术开始保存,但是使用网络保存的会计信息却存在一定的安全隐患。虽然运用网络技术保存信息比较便利,但是由于网络的不稳定性,可能会将会计信息泄露,而且由于计算机技术的不断进步,更新换代很快,在这一过程中,容易导致信息的丢失或者是系统被一些黑客攻击泄露重要信息。另外,工作人员也没有注意信息系统保密的重要性,导致系统很容易被破坏,这将严重影响会计管理的安全性。
3.4计算机传输具有脆弱性,数据传输受到威胁
在网络时代,会计信息可以通过数据传输来获得,但是计算机传输具有脆弱性,在传输的过程中容易受到网络病毒等的影响而出现问题。随着人们操作水平的进步,网络病毒的威胁越加严重,极易使传输中的数据遭到破坏,使信息系统出现严重问题。
4.网络时代会计信息系统的改进
4.1优化计算机网络运行环境
由于在计算机传输过程中容易出现问题,因而需要优化计算机网络的运行环境,这样才能保证信息传输的准确性。在网络条件下建立的会计信息系统,一定要考虑网络的品质要求,而且在建立网络系统后,一定要注意定期修理,保证计算机网络的正常运行。
4.2完善企业内部控制制度
由于目前企业管理水平比较低,使会计信息系统中的数据在交换时存在诸多不便,为了改善这种现象,就需要加强企业内部控制制度。完善企业内部控制制度,不仅有利于企业管理者提高管理水平,极大地提高了工作效率,还可以完善信息系统的安全与保密措施,使网络系统的安全得到保证。
4.3加强网络会计信息风险的控制
在网络条件下的会计信息系统中存在着一定的风险,为了保证会计信息系统的安全性,就需要加强对这些风险的控制。如,可以通过设置防火墙、使用病毒检测及杀毒软件的方式来提高计算机网络的安全性,从而加强对网络会计信息风险的控制。
参考文献:
漏洞扫描技术的原理
漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序(安全漏洞通常指硬件、软件、协议的具体实现或系统安全策略方面存在的安全缺陷)。漏洞扫描按功能大致可分为:操作系统漏洞扫描、网络漏洞扫描和数据库漏洞扫描。若针对检测对象的不同,漏洞扫描还可分为网络扫描、操作系统扫描、WWW服务扫描、数据库扫描以及最近出现的无线网络扫描。目前,漏洞扫描,从底层技术来划分,也可以分为基于网络的扫描和基于主机的扫描这两种类型。
漏洞扫描主要通过以下两种方法来检测目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在(如图1所示);通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。一旦模拟攻击成功,则表明目标主机系统存在安全漏洞,下面列出两种漏洞扫描实现的方法。
(1)漏洞库的特征匹配方法
基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞特征库。通过采用基于规则的模式特征匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后再在此基础之上构成相应的匹配规则,由扫描程序自动进行漏洞扫描。若没有被匹配的规则,系统的网络连接是禁止的。
因此,漏洞库信息的完整性和有效性决定了漏洞扫描系统的性能,漏洞库的修订和更新的性能也会影响漏洞扫描系统运行的时间。因此,漏洞库的编制不仅要对每个存在安全隐患的网络服务建立对应的漏洞库文件,而且应当能满足前面所提出的性能要求。
(2)功能模块(插件)技术
插件是由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测出系统中存在的一个或多个漏洞。添加新的插件就可以使漏洞扫描软件增加新的功能,扫描出更多的漏洞。插件编写规范化后,甚至用户自己都可以用Perl、C等脚本语言编写的插件来扩充漏洞扫描软件的功能。这种技术使漏洞扫描软件的升级维护变得相对简单,而专用脚本语言的使用也简化了编写新插件的编程工作,使漏洞扫描软件具有很强的扩展性。
基于网络的漏洞扫描技术
基于网络的漏洞扫描器,就是通过网络来扫描远程计算机中TCP/IP不同端口的服务,然后将这些相关信息与系统的漏洞库进行模式匹配,如果特征匹配成功,则认为安全漏洞存在;或者通过模拟黑客的攻击手法对目标主机进行攻击,如果模拟攻击成功,则认为安全漏洞存在。
网络漏洞扫描系统(简称扫描器),是指通过网络远程检测目标网络和主机系统漏洞的程序,它对网络系统和设备进行安全漏洞检测和分析,从而发现可能被入侵者非法利用的漏洞。漏洞扫描器多数采用基于特征的匹配技术,与基于误用检测技术的入侵检测系统相似。扫描器首先通过请求/应答,或通过执行攻击脚本,来搜集目标主机上的信息,然后在获取的信息中寻找漏洞特征库定义的安全漏洞,若匹配成功,则认为安全漏洞存在。可以看到,安全漏洞能否发现很大程度上取决于漏洞特征的定义。基于网络的漏洞扫描器,一般有以下几个主要模块组成(如图2所示):
漏洞数据库模块:漏洞数据库包含了各种操作系统的各种漏洞信息,以及如何检测漏洞的指令。由于新的漏洞会不断出现,该数据库需要经常更新,以便能够检测到新发现的漏洞。
扫描引擎模块:扫描引擎是扫描器的主要部件。根据用户配置控制台部分的相关设置,扫描引擎组装好相应的数据包,发送到目标系统,将接收到的目标系统的应答数据包与漏洞数据库中的漏洞特征进行比较,来判断所选择的漏洞是否存在。
扫描知识库模块:通过查看内存中的配置信息,该模块监控当前活动的扫描,将要扫描的漏洞的相关信息提供给扫描引擎,同时还接收扫描引擎返回的扫描结果。
结果存储器和报告生成工具:报告生成工具,利用当前活动扫描知识库中存储的扫描结果,生成扫描报告。扫描报告将告诉用户配置控制台设置了哪些选项,根据这些设置,扫描结束后,在哪些目标系统上发现了哪些漏洞。
基于主机的漏洞扫描技术
主机漏洞扫描器则通过在主机本地的程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描,搜集他们的信息,然后与系统的漏洞库进行比较,如果满足匹配条件,则认为安全漏洞存在。比如,利用低版本的DNSBind漏洞,攻击者能够获取root权限,侵入系统或者攻击者能够在远程计算机中执行恶意代码。使用基于网络的漏洞扫描工具,能够监测到这些低版本的DNSBind是否在运行。一般来说,基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具,根据不同漏洞的特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。
漏洞扫描技术中存在的问题
网络安全扫描产品的核心功能在于检测目标网络设备存在的各种网络安全漏洞,针对发现的网络安全漏洞提供详尽的检测报告和切实可行的网络安全漏洞解决方案,使系统管理员在黑客入侵之前将系统可能存在的各种网络安全漏洞修补好,避免黑客的入侵而造成不同程度的损失。
网络漏洞扫描系统发展迅速,产品种类繁多,且各具特点,在功能和性能上存在着一定的差异。漏洞扫描系统大多采用软件产品来实现,也有厂家采用硬件产品来实现漏洞扫描。通常以三种形式出现:单一的扫描软件,安装在计算机或掌上电脑上,例如ISSInternetScanner;基于客户机(管理端)/服务器(扫描引擎)模式或浏览器/服务器模式,通常为软件,安装在不同的计算机上,也有将扫描引擎做成硬件的,例如Nessus;其他安全产品的组件,例如防御安全评估就是防火墙的一个组件。在安全扫描中,硬件设备的资源能够承受多数量的主机。与通常的软件扫描器相比,由于承载的硬件嵌入系统平台经过特别优化,其扫描效率远远高于一般的安全扫描软件。本文分别介绍了基于网络的漏洞扫描工具和基于主机的漏洞扫描工具,现有的漏洞扫描系统基本上是采用上述的两种方法来完成对漏洞的扫描,但是这两种方法在不同程度上也各有不足之处,主要表现在:
(1)系统配置特征规则库问题
网络系统漏洞库是基于漏洞库的漏洞扫描的灵魂所在,而系统漏洞的确认是以系统配置特征规则库为基础的。但是,这样的系统配置特征规则库存在其局限性。专家建议,系统配置特征规则库应能不断地被扩充和修正,这样也是对系统漏洞库的扩充和修正,但这些又需要专家的指导和参与才能够实现。
(2)针对漏洞库信息要求
漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。如果漏洞库信息不全面或得不到即时的更新,不但不能发挥漏洞扫描的作用,还会给系统管理员以错误的引导,从而对系统的安全隐患不能采取有效措施并及时消除。专家建议,在按照某一标准设计漏洞库的同时,还应该让漏洞库信息具备完整性、有效性、简易性等特点,这样即使是用户自己也易于对漏洞库进行添加配置,从而实现对漏洞库的即时更新。
结束语
【关键词】决策有用性;网络会计;网络财务报告;swot分析法;xbrl
随着网络信息技术革命推动世界经济迈进数字化时代,世界各地经济的联系日益紧密。网络经济时代已经到来,会计环境在这个新的时代中也发生了巨大的改变。会计信息使用群体越来越重视会计信息的有用性,通常称为决策有用性。因此,财务信息决策有用性是当前信息使用者对会计信息质量的最基本的要求,而传统财务报告在应对信息的相关性、准确性以及资金的高速流动性方面都存在缺陷,这就需要一种新的财务报告模式来弥补传统的不足。在信息用户需求和网络经济环境的推动下,计算机、internet、信息网络技术在会计领域中的应用更为广泛和深入,企业会计产生了一个新的发展趋势——网络会计。在这一新趋势下,人们获取企业财务信息的主要方式开始转为网络财务报告,对于网络财务报告有助于增强财务信息决策有用性这一观点已经得到大家的认可。本文将对网络财务报告的优劣势和面临的机遇和威胁进行深入、系统地分析,通过swot分析法最终得出,网络财务报告带来的财务信息决策有用性及其网络会计的兴起,使网络财务报告的实行成为必然和可能。
一、网络财务报告兴起的背景
信息使用者获取企业相关的财务会计新信息主要是通过企业对外公布的财务报告。在网络会计出现以前,企业几乎都是以纸质的财务报告向信息使用者传递相关信息。随着知识经济时代的到来,信息经济高速发展,电子商务日趋成熟,衍生金融工具不断出现,电子货币和支付工具诞生……这些使得信息使用者对会计信息质量的相关性和可靠性都有了更高的要求,会计信息的质量直接关系到最终财务信息的决策有用性上。传统财务报告模式在新环境下已显不足,缺陷越来越明显,不论是信息提供者还是使用者都希望报告模式得到改进和完善,加之网络信息技术的发展为会计信息系统提供了最大限度的全方位的信息支持,网络会计应运而生。从本质上讲,网络会计就是一个基于互联网的会计信息系统,其核心价值在于解决会计信息的相关性和可靠性这两个关键问题。网络会计的产生改变了财务信息的获取与利用方式,为财务报告的呈报方式和模式的改进提供了契机。
网络财务报告是伴随着网络会计的诞生而出现的,是时展的必然产物。eliott(1992,1994)和wallman(1995,1997)最早研究了网络等新技术对公司财务报告的影响。eliott认为信息技术改变了商业交易运作的方式,这种变化也要求外部报告也有所变革。在网络环境下,通过internet与数据库和报告分析技术的结合和相互的支持,公开披露企业的财务信息和各项经营情况,信息更为丰富和及时,满足了不同利益群体的不同需求和要求。从此,传播和获取财务报告的媒介从纸质开始走向互联网,财务报告制度也从传统的定期到现在的及时。这种更加个性化、针对性、时效性和智能性的网络财务报告已经成为国内外企业和会计界关注的热点。
二、对网络财务报告的swot分析
从国内外各类文献、书刊及网络可以了解到,目前已经有众多的学者对网络财务报告的优越性和存在的相关问题等方面都做过深入细致的研究,不过他们更多的是把目光集中在了网络财务报告相对于传统财务报告的优越性和它所面临的机遇方面。但是任何新事物的出现都有双面性,外部环境在提供给网络财务报告更多发展机遇的同时,也并存着一些潜在的威胁和挑战。因此,网络财务报告将在优劣势伴生、机遇和威胁共存的环境下存在和发展。
下面,笔者将用swot分析,即态势分析对网络财务报告进行探讨。将网络财务报告自身具有的特点和会计外部环境有机结合,用来确定网络财务报告自身的优势(strength)、劣势(weakness)、机会(opportunity)和威胁(threat),明确网络财务报告的发展方向。
(一)网络财务报告自身的优势分析(strength)
1.网络财务报告的及时性和时效性:这是指网络财务报告披露信息更为及时、实时,大大提高了会计信息时效性。随着知识经济时代的到来和衍生金融工具的推陈出新,资本市场竞争更为激烈。企业生产经营活动中的不确定性因素越来越多,这使得企业财务信息使用群体更加重视所获得会计信息的时效性。而传统的定期财务报告制度和静态性的纸质报告,已经满足不了人们的要求。
相比之下,网络财务报告突破了空间和时间的局限,一方面,从会计信息提供者角度看,网络财务报告具有实时跟踪功能,用网络技术能实时采集、加工会计信息,实现了业务和财务处理的一体化,缩短了会计财务信息的生成、传输、获取的时间,从而在财务报告的最终编制和时间上优于传统报告;另一方面,从会计信息使用者角度看,网络财务报告具有实时跨越时空传输的功能。会计信息使用者可以进入企业网站点击相关的网点,获取财务报告的信息,并进行比较分析,及时作出预测和决策。
2.网络财务报告的动态性和低成本性:这是指网络财务报告披露信息的方式和模式动态化,报告的呈报更加方便灵活,而且也降低了报告的编制成本和呈报成本。
动态性表现在两个方面:财务报告呈报模式的动态性和呈报方式的动态性。网络财务报告改变了传统财务报告呈报的模式和方式,从定期模式到及时模式,从纸质呈报到电子网络呈报。网络技术的不断发展及普及使得会计核算工作走上了无纸化阶段,超越传统方式,企业将会计报告相关数据信息存储在企业的数据库和相关网站上,通过互联网财务报告无需印制成册和刊登公布。这是从传统的静态化模式向动态化模式的转变。动态化传递信息模式更加方便快捷,使用也更灵活,这都节约了人力物力资源,从而降低了成本。网络财务报告使得“成本效益原则”得到了最优体现。
3.网络财务报告的针对性和互动性:internet实现了人机对话交流,提供了多种互动交流模式。互动性是网络财务报告的一个重要特征。会计信息使用者和提供者之间可以更为直接地交流,充分了解到供需信息。双方的互动性增强了信息的针对性。信息提供者一方不再传统地编制和提供统一固定的财务报告格式,在传统报告模式的通用性基础上更加具有针对性。网络财务报告使企业更好地满足了日益个性化,为特殊性信息使用者的要求提供了技术保证。信息使用者一方则可以根据自己实际需要和要求、决策模型等来重新组合企业提供在网络上的数据,然后对其筛选加工处理,这改变了传统的信息使用者被动地接受统一格式的局面。网络财务报告的这个特点提升了信息使用者的反馈价值。
4.网络财务报告的全面性和广泛性:这是指网络会计在线数据库包括了企业的所有财务及其非财务信息,突破了传统财务报告的种种约束。传统财务报告无法反映非数字化的信息,无法反映报告的生成程序和数据处理方法等方面的信息。网络会计下,企业实时输入与经济业务相关的所有数据源,存入企业专用数据库,生成与信息使用者相关的财务信息。同时,也揭示了非财务信息如:企业的预测信息,管理信息,资金筹备信息等。这都弥补了传统财务报告的不足和空缺,有效地扩大了会计报表和辅助信息含量,提供更加丰富完整,满足不同层次的信息使用者。
5.网络财务报告的真实性和可靠性:可靠性是会计信息有用性的最重要的质量特征之一。可靠性是财务会计信息区别于其他信息的最主要特征,也是财务会计的优势(葛家澍,2003)。
葛家澍和杜兴强在《当代会计的发展趋势》一书中写到:会计信息的可靠性表现在两个方面,即单个会计数据的可靠性和一系列会计数据经过企业会计人员的主观判断、分析综合、加工汇总后的反映在财务报表上的单一、仿佛十分精确的项目的可靠性。
传统上编制和提供财务报告时,人工参与的更多,很大程度上会受到会计人员的主观判断、估计等人为因素的影响。从客观上看,传统会计信息生成中涉及到的处理程序和编制方法受到技术和专业水平限制,其推导出的财务报告数据真实性、精确性都不能得到有效保证。使得最终获得的信息可靠性受到影响,进而降低了决策有用性。随着计算机处理信息技术的发展和升级以及相关系统分析性工具或财务软件的开发更新,会计信息的收集、加工处理传递过程更多地由计算机、网络、软件分析工具来完成,这避免了人为的主观操纵。先进的处理技术和程序,使得最终的会计信息更为准确、真实、可验,增强了可靠性。
6.网络财务报告的开放性和公允性:以往传统财务报告仅局限于把企业财务信息通过财务报告方式提供给当前的利益相关群体如企业的股东,投资者,债权人,而没有考虑到其他对企业有投资意向和合作意向的潜在利益群体的信息需求,这不利于企业业务的拓展和资本的壮大。相比之下,在网络财务报告形式下,自愿披露的企业将财务信息的公开在可供众多人群获取、使用的互联网上。广阔的信息披露平台——企业网站,让更多人了解到企业的经营情况和财务状况,使企业在完成应有的披露任务之时,也附带地起到了宣传作用,有助于企业形象的提升,增强了竞争优势,将会赢得更多的潜在投资者,债权人和供应商的支持。
网络财务报告的公开性赋予了更强的公允性,报告的公开让其使用群体更为广泛,不仅有来自于股东、投资者、债权人的关注,而且有来自于同行业竞争对手和其他行业(如同类行业企业、政府、银行、供应商、证券、审计、外汇、财税等部门)的关注。在关注的同时也起到了一种监督的作用。信息关注人数的增加,使监督企业财务报告人数增加,则企业提供不可靠性信息就更可能受到指责、批评和攻击。绝对没有一个企业会搬起石头砸自己的脚,自取灭亡。在网络财务报告形式下,企业会更加诚实地反映企业信息,通常会站在不偏不倚的立场来反映经济事项,这充分体现出网络财务报告比传统财务报告更具有公允性。
(二)网络财务报告自身的劣势分析(weakness)
虽然网络财务报告的出现更多地呈现了它众多无可比拟的优越性,但是它也具有两面性,其劣势与优势是共同存在的。我们有必要对其自身的劣势进行分析了解,绝不能忽略。笔者主要归纳为以下几点:
1.网络财务报告使企业在竞争者面前更多地暴露了自己。网络是一把双刃剑,它使企业在利用internet寻找潜在贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中(张运来,2007)。网络财务报告体系下,会计信息的公开性使企业的透明度得到提高。从企业立场上考虑,这种透明度的提高也使得企业受到了更多同业竞争者的“跟踪监视”,面临了更多的竞争压力和风险。
在网络经济和信息技术盛行的当今市场上,各类企业的竞争是来自多方面的,有来自生产技术、资源获取、资本积累、知识水平、员工素质、管理结构更改方面的,也有来自对同行业竞争企业的相关信息的了解程度的竞争。“知己知彼,百战不殆”,那么,及时、准确、全面地获悉竞争者的情况就显得尤其重要,而被看作是企业核心的财务会计信息更是竞争者之间最想获取的信息。而网络财务报告的披露平台——互联网,具有公开性、广泛性、便捷性和快速性等特征,这让竞争对手获得企业的财务信息和经营状况等提供了技术上的可能。企业的竞争对手,通过网络财务报告获得了诸如财务报表和财务指标之类的数量化信息和非数量化信息(管理会计信息、预测信息、前瞻性信息和盈利构成信息等),可以分析、判断企业的当期状况,可以预测出企业在未来将采取的行动,以此制定相应竞争策略,减少不确定性。这对企业本身来讲,网络财务报告的公开性、透明性对自身也是一种风险。所以,企业从自身利益和立场考虑,应该对网络财务报告公开性和透明性的两面性进行权衡。
2.网络财务报告使企业在信息使用者面前容易粉饰和伪装。在先前罗列的网络财务报告优势中有提到:网络会计出现后,会计核算工作走上了无纸化的道路。会计信息的加工处理过程多交给计算机系统和分析软件,最终信息使用者也是根据自己的要求来筛选及控制信息的获取。总体上讲,这使得会计信息更为真实、精确、可靠。但如果企业对所披露的原始数据源加以修改,对其数据库中数据的实时输入和储存环节做手脚,或是更改信息系统的处理程序,以此出具更加具有吸引力的网络财务报告,则这样的“粉饰手段”在网络财务报告中是很难被使用者发现的。因为企业的交易业务从发生时就开始录入到数据库中,接下来的信息收集、分析、处理最终生成报表都是由网络一手操办的,这样,会计信息的可靠性主要取决于企业在其数据库中实时录入和保存,还有信息处理系统的科学性、标准性、严密性。而企业内部人员篡改伪造数据库中的原始数据是及其容易且隐蔽的,并且鉴于网络技术和软件开发技术本质上也是人为设计开发的,对信息处理系统进行更改是很容易的。不像传统财务报告,更改、伪造、涂改的迹象很明显,并且更容易受到原始凭证单据这些实物证据的验证核查。
对于外部审计工作而言:会计网络化后,手工明细账、日记账不存在了,记账凭证数据存储在磁性介质上。传统审计线索变化了,而且计算过程也不直观了。财务处理过程在计算机内自动完成,肉眼可见的审计线索大大减少,过去证账、账账核对的办法现在不方便使用了,这无疑给审计工作者带来了困难。
(三)网络财务报告所面临的机遇(opportunity)
在信息用户需求和网络经济推动下,计算机、互联网及其各类分析工具和财务软件都被广泛应用于会计领域。会计环境的改变给网络财务报告的诞生和实行创造了良好的外部环境,为它提供了快速发展的机遇。
1.计算机、internet、extranet(企业外联网)和intranet(企业内联网)的发展,为会计信息系统提供了最大限度、全方位的信息技术支持,使企业可以随时通过企业信息网络采集数据,实现了财务与业务协同,而且会计数据处理呈现集成化趋势,可以根据需要随时生成财务报告并在企业网络上,大大提高了企业编制和披露财务报告的效率。同时,各类财务软件和应用程序开发快速和实时升级更新,符合当今各类企业的不同业务需要和信息用户要求,更好地减少了企业随时出现的不确定因素的影响。企业各部门可充分利用网络服务器和财务软件实现资源的共享,优化使用效率,实现会计业务的分布式处理,为网络财务报告的实行奠定了坚实的技术基础。
2.xbrl技术的成功开发和普及。企业财务报告是商业社会受数字时代影响的最后领域之一。传统收集、整理和编制企业所需的信息既耗费时间,缺乏及时性,又收集不全面且容易出错,成本费用高昂。最主要的问题是,各企业系统使用的报告语言也有差异,也造成了语言转换的额外负担。为此,一种新的语言工具——xbrl被开发出来。xbrl是可扩展性商业语言(extensiblebusinessreportinglanguage)的缩写,它是一种可免费获取的用于财务报告的商业语言,为财务机构准备、公布各种格式的财务报表、可靠地抽取公司的财务信息和其他信息提供标准化方法,用以整合不同来源企业数据的方法,使得数据可以在不同系统之间以及公司内外使用。采用xbrl可以让原先分析软件需要几小时才能整理完整的报告在几秒内便可完成,它让企业能够更有效地传达和管理所披露的数据,而且信息用户只要付出更少的额外成本就能收集到更多的信息。xbrl的开发和普及是存取网络财务报告的一大创新,为网络财务报告创造了更广阔的发展空间。
3.虚拟性信息经济的出现、电子商务交易的盛行、衍生金融工具的出现、支付工具和方式的改变都要求会计领域适应这些变化,这为网络财务报告的出现提供了可能性。
(四)网络财务报告所面临的威胁(threat)
网络经济的到来、会计环境的改变、信息技术的提高在给网络财务报告带来发展机遇的同时,潜在的威胁将与其共存,并向它提出了挑战。因此,不论是企业还是信息用户要想更好地利用网络财务报告来满足自己的需求以作出有用决策,在抓住机遇充分发挥其优势之时,必须意识到所潜在的威胁并加以防范,这对于风险的降低更为必要和重要。
1.来自于计算机网络系统的安全性和各类财务分析软件科学性的威胁。网络会计下,企业的会计核算系统、网络财务报告的生成披露流程都是建立在企业内外网络系统和财务软件平台上的。基础平台的安全性和科学性的高低将直接影响到报告的质量。从现实状况看,外部风险主要包括黑客的袭击、高破坏性的病毒到处施虐、不安全媒体的拦截、潜在不道德事件、客户欺诈风险等。加之企业使用的各类财务软件并不是尽善尽美的,漏洞不可避免,缺乏严密性,这些都给网络财务报告构成了威胁,带来了高风险性,可能会严重影响甚至破坏最终网络财务报告中的数据。特别是对于那些交易业务网络化、会计业务处理自动化的金融行业(银行,证券,股票,外汇……)而言,其带来的损失更是无法估量。
2.网络财务报告缺乏相关法律法规的保护。现有的会计准则和法律规范对网络财务报告这一块还相对缺乏。网络会计还是一个新事物,会计准则和规范中还没对其出台具体的相关标准。因此,在实务中,各企业在具体的会计程序、方法操作不一,可能会出具不同模式的网络财务报告,不便于会计信息使用者对企业间信息的比较分析,导致会计信息可比性降低。同时,与之相关的如《电子商务法》、《网络知识产权法》等法律也都不完善,宏观上缺乏对计算机信息系统的控制以及对网络经济业务的监督,网络犯罪日益猖獗,对网络会计的发展和网络财务报告的决策有用性造成了威胁,企业的相关利益群体利益受损,误导信息使用者做出决策。
三、对网络财务报告中存在问题的解决措施
为了更好地迎合网络经济中信息提供者和使用者的各种需求,体现网络会计的作用,确保网络财务报告的相关性和可靠性,增强财务信息决策有用性,对于其自身劣势和面临的威胁应综合治理。
(一)加强对会计人员素质的提高
网络会计的出现要求会计人员不仅掌握专业财务知识,还要熟悉电算化知识和网络知识及其对各类软件的操作运用。企业应该对他们定期进行网络操作和网络安全业务培训,以使会计人员能适应虚拟办公条件下的特定会计方法、程序及控制和评价措施。
(二)加强对网络设备、软件系统的开发使用和安全管理
在开发使用上,寻找技术合作伙伴,根据企业自身具备的条件开发个性化的会计信息系统,以使最终的网络财务报告更具参考价值。在安全管理上,应该多从技术上和制度上考虑到其安全措施,防范网络风险。充分利用系统的安全功能和安全机制,加强存取控制,防止非法访问。同时,要加强内联网与互联网连接的管理,防止病毒从外部网络侵入内联网,要经常进行检查,定期对重要文件和数据进行备份。使用先进的防杀毒软件,及时进行软件升级。
(三)建立健全的会计准则和法律法规
“没有规矩,不成方圆”,任何事物都应该有相应的法律来保障实施。网络会计正处于发展初期,需要政府适时的制定出相关的政策法规,行业部门也要作出相应的规范和标准,而不要等到网络会计实践成熟后才开始制定,这样才能指导网络会计的发展,企业公布披露的网络财务报告才能更好地为会计信息使用者服务,创造出更多的价值。
四、结论
随着网络会计的应运而生,会计角色受到信息技术演进的极大影响,网络财务报告逐步成为人们提供和获取相关企业财务会计信息的主要方式。从swot分析中可以看到,网络财务报告优劣势并存,外部环境所带来的机遇和威胁并存,总体上是优势多于劣势。这使得传统财务报告走向网络财务报告成为必然。外部环境带来的众多机遇也为网络财务报告的实行提供了极大的可能性。依托网络信息技术的网络财务报告显现出的及时性、相关性、针对性等优势以及经济快速发展带来会计外部环境的改变都使得网络财务会计的发展成为必然和可行。网络财务报告的运用给会计信息披露带来了一场革命,这是不容置疑的。
但是,处于发展初期的网络财务报告面临着网络技术安全性、相关复合人才的缺乏以及法律和会计法规不健全带来的道德风险等方面的挑战。我们应有效地利用其优势,抓住机遇,迎接挑战,制定具体的对策,使网络财务报告披露的信息相关性和可靠性更强,迎合时代的发展,满足各类群体的需要,以便决策者们获取更多利益。
【参考文献】
[1]布莱恩·伯杰伦(bryanbergeron):xbrl语言精要——21世纪的财务报告.廉晓红等译.中国人民大学出版社,2004,(9).
[2]葛家澍,陈少华.改进企业财务报告问题研究.中国财政经济出版社,2002,(6).
[3]葛家澍.现行财务会计与报告的缺陷及改进.财会通讯,2004,(5).
[4]黎庆元.网络会计发展面临的问题及解决对策研究.中国农业银行武汉培训学院学报,2003,(6).
[5]何玉,张天西.自愿实施网络财务报告公司的特征研究.会计研究,2005,(12).
[6]沈颖玲.网络财务报告研究.立信会计出版社,2005.
[7]张运来.会计发展新趋势——网络会计探析.中国总会计师,2007,(8).
[8]张天西.网络财务报告:xbrl的理论基础研究.会计研究,2006,(9).
[9]郑庆良.网络会计信息系统安全风险及其防范.财会通讯,2006,(12).
[10]周仁俊.会计信息的相关性与可靠性.中南财经政法大学学报,2002,(3).
[11]elliott.r.k..1992.thethirdwavebreaksontheshoresofaccounting.accountinghorizons,6(2).
1总则
1.1编制目的
为保障XX市医疗保障局网络和信息安全,提高应对网络安全事件的能力,预防和减少网络安全事件造成的损失和危害,进一步完善网络安全事件应急处置机制,制定本预案。
1.2编制依据
《中华人民共和国网络安全法》、《国家网络安全事件应急预案》、《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)、《信息安全事件管理指南》(GB/Z20985-2007)、《应急预案编制导则》(GBA29639-2013)、《信息技术服务运行维护第3部分:应急响应规范》(GBA28827.3-2012)等相关规定。
1.3工作原则
强化监测,主动防御。强化网络和信息安全防护意识,加强日常安全检测,积极主动防御,做到安全风险早发现。
明确分工,落实责任。加强网络和信息安全组织体系建设,明确网络安全应急工作权责,健全安全信息通报机制,做到安全风险早通报。
快速响应,有效处置。加强日常监管和运维,强化人力、物资、技术等基础资源储备,增强应急响应能力,做到安全问题早处置。
1.4适用范围
本预案适用于市医疗保障局网络和信息安全事件应急工作。
2事件分级与监测预警
2.1事件分类
网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件。
(1)有害程序事件。包括:计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件。包括:拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件。包括:信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件。指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障。包括:软硬件自身故障、保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件。指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件。指除以上所列事件之外的网络安全事件。
2.2事件分级
按照事件性质、严重程度、可控性和影响范围等因素,将市医疗保障局网络和信息安全事件划分为四级:Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级,分别对应特别重大、重大、较大和一般安全应急事件。
(1)Ⅰ级(特别重大)。局网络和信息系统发生全局性瘫痪,事态发展超出控制能力,产生特别严重的社会影响或损害的安全事件。
(2)Ⅱ级(重大)。局网络与信息系统发生大规模瘫痪,对社会造成严重损害,需要局各科室(单位)协同处置应对的安全事件。
(3)Ⅲ级(较大)。局部分网络和信息系统瘫痪,对社会造成一定损害,事态发展在掌控之中的安全事件。
(4)Ⅳ级(一般)。局网络与信息系统受到一定程度的损坏,对社会不构成影响的安全事件。
2.3预警监测
有关科室(单位)应加强日常预警和监测,必要时应启动应急预案,同时向局网络安全和信息化领导小组(以下简称“领导小组”)通报情况。收到或发现预警信息,须及时进行技术分析、研判,根据问题的性质、危害程度,提出安全预警级别。
(1)对发生或可能发生的Ⅳ级安全事件,及时消除隐患避免产生更为严重的后果。
(2)对发生或可能发生的Ⅲ级安全事件,迅速组织技术力量,研判风险,消除影响,并将处置情况和结果报领导小组,由领导小组预警信息。
(3)对发生和可能发生的Ⅱ级安全事件,应迅速启动应急预案,召开应急工作会议,研究确定事件等级,研判事件产生的影响和发展趋势,组织技术力量进行应急处置,并将处置情况报领导小组,由领导小组预警信息。
(4)对于发生和可能发生的Ⅰ级安全事件,迅速启动应急预案,由领导小组向省医疗保障局、市委网络安全和信息化委员会办公室、市公安局通报,并在省级有关部门的指挥下开展应急处置工作,预警信息由省级有关部门。
3应急处置
3.1网页被篡改时处置流程
(1)网页由主办网站的科室(单位)负责随时密切监视显示内容。
(2)发现非法篡改时,通知技术单位派专人处理,并作好必要记录,确认清除非法信息后,重新恢复网站访问。
(3)保存有关记录及日志,排查非法信息来源。
(4)向领导小组汇报处理情况。
(5)情节严重时向公安部门报警。
3.2遭受攻击时处置流程
(1)发现网络被攻击时,立即将被攻击的服务器等设备断网隔离,并及时向领导小组通报情况。
(2)进行系统恢复或重建。
(3)保持日志记录,排查攻击来源和攻击路径。
(4)如果不能自行处理或属严重事件的,应保留记录资料并立即向公安部门报警。
3.3病毒感染处置流程
(1)发现计算机被感染上病毒后,将该机从网络上隔离。
(2)对该设备的硬盘进行数据备份。
(3)启用杀病毒软件对该机器进行杀毒处理工作。
(4)必要时重新安装操作系统。
3.4软件系统遭受攻击时处置流程
(1)重要的软件系统应做异地存储备份。
(2)遭受攻击时,应及时采取相应措施减少或降低损害,必要时关停服务,断网隔离,并立即向领导小组报告。
(3)网络安全人员排查问题,确保安全后重新部署系统。
(4)检查日志等资料,确定攻击来源。
(5)情况严重时,应保留记录资料并立即向公安部门报警。
3.5数据库安全紧急处置流程
(1)主要数据库系统应做双机热备,并存于异地。
(2)发生数据库崩溃时,立即启动备用系统。
(3)在备用系统运行的同时,尽快对故障系统进行修复。
(4)若两主备系统同时崩溃,应立即向领导小组报告,并向软硬件厂商请求支援。
(5)系统恢复后,排查原因,出具调查报告。
3.6网络中断处置流程
(1)网络中断后,立即安排人员排查原因,寻找故障点。
(2)如属线路故障,重新修复线路。
(3)如是路由器、交换机配置问题,应迅速重新导入备份配置。
(4)如是路由器、交换机等网络设备硬件故障,应立即使用备用设备,并调试通畅。
(5)如故障节点属电信部门管辖范围,立即与电信维护部门联系,要求修复。
3.7发生火灾处置流程
(1)首先确保人员安全,其次确保核心信息资产的安全,条件允许的情况下再确保一般信息资产的安全。
(2)及时疏散无关人员,拨打119报警电话。
(3)现场紧急切断电源,启动灭火装置。
(4)向领导小组报告火灾情况。
4调查与评估
(1)网络和信息安全事件应急处置结束后,由相关科室(单位)自行组织调查的,科室(单位)对事件产生的原因、影响以及责任认定进行调查,调查报告报领导小组。
(2)网络和信息安全事件应急处置结束后,对按照规定需要成立调查组的事件,由领导小组组织成立调查组,对事件产生的原因、影响及责任认定进行调查。
(3)网络和信息安全事件应急处置结束后,对产生社会影响且由省级有关部门进行调查的,按照省级有关部门的要求配合进行事件调查。
5附则
关键词:计算机系统安全;漏洞;扫描器
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)11-20235-02
1引言
随着计算机技术、网络技术的飞速发展和普及应用,网络安全已日渐成为人们关注的焦点问题之一。近几年来,安全技术和安全产品已经有了长足的进步,部分技术与产品已日趋成熟。但是,单个安全技术或者安全产品的功能和性能都有其局限性,只能满足系统与网络特定的安全需求。目前使用较多的安全产品有防火墙和入侵检测系统(IDS),但是它们都有其局限性,如防火墙不能解决来自内部网络的攻击和安全问题,IDS无法抵挡碎片攻击和拒绝服务攻击。因此,如何有效利用现有的安全技术和安全产品来保障系统与网络的安全已成为当前信息安全领域的研究热点之一。而目前一种实用的方法就是在建立比较容易实现的安全系统的同时,按照一定的安全策略建立相应的安全辅助系统,漏洞扫描器就是这样一类系统。
2漏洞扫描器
2.1概念
漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护的服务器的各种TCP/UDP端口的分配、提供的服务、服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。同时,漏洞扫描器还能从主机系统内部检测系统配置的缺陷,模拟系统管理员进行系统内部审核的全过程,发现能够被黑客利用的种种误配置。漏洞扫描的结果实际上就是对系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为系统安全解决方案的一个重要组成部分。
从底层技术上来划分,漏洞扫描可以分为基于网络的扫描和基于主机的扫描两类,二者体系结构不同。基于网络的漏洞扫描器通过网络扫描远程目标主机的漏洞,但无法直接访问目标机的文件系统;基于主机的漏洞扫描器在目标主机上安装一个,以便能够访问目标机所有的文件和进程。由于基于网络的漏洞扫描器价格便宜、操作维护简便,目前被大多数中小型企事业单位或一般政府部门所使用。本文只限于讨论基于网络的漏洞扫描器的工作原理及实现技术。
2.2工作原理
基于网络的漏洞扫描器根据漏洞库中不同漏洞的特性,构造网络数据包,发送给网络中的一个或多个目标服务器,远程检测目标主机TCP/UDP不同端口上提供的服务,并记录目标主机的应答。通过这种方法搜集目标主机的各种信息(例如是否能匿名登陆、是否有可写的FTP目录等),并将这些信息与漏洞扫描系统提供的漏洞库进行匹配,匹配成功则判定系统存在相应的漏洞。此外,通过模拟黑客的攻击方法,对目标主机进行攻击性的漏洞扫描,也是漏洞扫描的方法之一,但此种方法存在着使目标机崩溃的风险,应谨慎使用。
基于网络的漏洞扫描器,一般由以下几部分组成:
(1)漏洞数据库:漏洞数据库包含了各种操作系统的各种漏洞信息,以及如何检测漏洞的指令。由于新的漏洞会不断出现,该数据库需要经常更新,以便能够检测到新发现的漏洞。
(2)用户配置控制台:用户配置控制台与安全管理员进行交互,用来设置要扫描的目标主机,以及扫描哪些漏洞。
(3)扫描引擎:扫描引擎是扫描器的主要部件。根据用户配置控制台的相关设置,扫描引擎构造相应的数据包,发送到目标主机,将接收到的目标主机的应答数据包,与漏洞数据库中的漏洞特征进行比较,来判断所选择的漏洞是否存在。
(4)报告生成工具:报告生成工具接收扫描引擎返回的扫描结果,生成扫描报告。扫描报告将列出用户配置控制台设置了哪些选项,根据这些设置,扫描结束后,在哪些目标系统上发现了哪些漏洞。
3漏洞扫描器设计和实现
3.1总体设计
本系统基于WindowsNT网络操作系统设计实现了漏洞扫描器,主要是通过对Windows操作系统中的弱口令用户帐号、Web漏洞、FTP漏洞等一些常见漏洞进行检测,实现对系统和网络的漏洞扫描,并采用网页的形式提交扫描报告。整个扫描器实现在Windows系统的TCP/IP网络环境中,其总体结构如图1所示。其中运行Windows的工作站为发起扫描的主机(称为扫描主机),在其上运行扫描模块和用户配置控制平台。扫描模块直接从扫描主机上通过网络以其它机器为对象(称为目标机)进行扫描,而控制平台则提供一个人机交互的界面。整个扫描器的功能是基于VC++6.0集成开发环境来实现的。
基于网络的漏洞扫描器的工作过程是当用户通过配置控制平台发出了扫描命令之后,配置控制平台即向扫描模块发出相应的扫描请求,扫描模块在接到请求之后立即启动相应的子功能模块,对被扫描主机进行扫描。通过对目标主机返回信息的分析判断,扫描模块将扫描结果返回给漏洞报告生成模块,该模块将扫描结果以简洁易懂的形式呈现给用户。
漏洞扫描方式采用了最基本的TCP/UDP的完全连接方式,即在程序中通过调用socket函数connect()连接到目标主机上,扫描器的功能由不同的子模块来实现。另外系统采用了多线程和TCP/UDP的非阻塞连接技术加快了系统扫描的速度。
3.2漏洞库设计
一个网络漏洞扫描系统的灵魂就是它所使用的系统漏洞库,漏洞库信息的完整性和有效性决定了扫描系统的功能,漏洞库的编制方式决定了匹配原则,以及漏洞库的修订、更新的性能,同时影响扫描系统的运行时间。
通过比较分析和实验分析,在漏洞库的设计中,我们遵循了以下两条原则:
(1)文本方式记录漏洞
从漏洞库的简易性、有效性出发,选择以文本方式记录漏洞。这样易于用户自己对漏洞库进行添加配置。因此在提供漏洞库升级的基础上,又多出了一条途径更新漏洞库,以保持漏洞库的实时更新,也使得漏洞库可以根据不同的实际环境而具有相应的特色。
(2)建立针对网络服务安全隐患的漏洞库文件
服务器主机一般受到黑客对其提供的网络服务的攻击,而网络服务是基于主机端口的,因此本系统基于端口扫描方式来进行漏洞扫描,并建立针对网络服务安全隐患的漏洞库文件。为了适应对不同网络操作系统漏洞的检测,漏洞库文件应针对各操作系统建立网络服务的不同漏洞信息。同时对漏洞危险性进行分级,这有助于系统管理员了解漏洞的危险性,从而决定所要采取的措施。
3.3功能模块设计
扫描功能模块的设计使用了插件技术。每个插件都封装一个或者多个漏洞的检测手段,主扫描程序通过调用插件的方法来执行扫描。仅仅是添加新的插件就可以使软件增加新功能,扫描更多漏洞。根据插件编写规范,用户可以自己编写插件来扩充扫描的对象。
(1)用户配置控制模块
该模块为用户提供了一个扫描配置及命令发送界面,可以用来设置目标机的IP范围以及所扫描的漏洞类型,目前本扫描器仅实现了对系统弱口令、Web漏洞、FTP漏洞、DDos漏洞、RPC漏洞的扫描,系统用户可以在配置界面中对以上系统漏洞进行相关信息的设置。
(2)扫描模块
整个漏洞扫描器的核心是扫描模块,该模块实际上是由各扫描子模块组成,每个扫描子模块对应一种类型的漏洞。为了减少不必要的空检测,提高系统的扫描速度,扫描主机在对指定IP的目标机进行扫描之前,首先向目标机发送ICMP回显报文请求,根据返回值来分析判断目标机是否在线。如果目标机在线,则采用TCP/UDPconnect技术来对目标机的1~65535端口进行探测,若连接成功则表示端口服务处于打开状态,此时可以开始根据用户设置的扫描配置信息进行相应的漏洞扫描,即漏洞扫描建立在端口扫描基础之上,这样避免了不必要的扫描子模块调用,进一步提高了系统效率。
当漏洞扫描模块扫描完毕,就把所扫描到的漏洞信息与漏洞库进行比较,如果某漏洞扫描结果与漏洞库相匹配,表示系统存在该漏洞。
(3)漏洞报告生成模块
漏洞匹配之后,由漏洞报告生成模块负责记录扫描分析结果,该模块采用Web网页的形式,将扫描信息写入网页中。每个主机上的信息用IP地址分开,而所有网段的信息都集中在一起,便于用户查看所有的信息,系统管理员根据这些信息进行系统和网络维护。
4结束语
本文主要讨论了基于网络的漏洞扫描系统的体系结构及实现技术,并针对一些常见漏洞实现了漏洞扫描功能,由于采用了插件技术设计漏洞扫描子模块,便于针对新的漏洞扩充系统扫描对象,同时系统使用了多线程技术及socket非阻塞连接方式,提高了扫描速度。系统不足之处在于只是简单给出了扫描的漏洞信息,并没有提出全面的安全评估及合理改进建议,今后在系统的智能化方面需要加以完善。
参考文献:
[1]董玉格,等.攻击与防护―网络安全与实用防护技术[M].人民邮电出版社,2002.
[2]许榕生,等.黑客攻击技术揭秘[M].机械工业出版社,2002.
[3]Anonymous,等,著.朱鲁华,等,译.最高安全机密[M].机械工业出版社,2003.
[4]马安鹏.VisualC++6.0程序设计导学[M].北京科海电子出版社,2002.
关键词:网络财务报告问题成因
随着互联网的普及,网络报告作为一种新的披露方式,已经引起了众多财务报告需求者的关注,传统的财务报告披露形式已逐渐被网络财务报告所取代。然而,现行的网络财务报告也存在诸多局限。
现行网络财务报告存在的问题及成因
更新不及时。从理论上讲,利用计算机强大的运算和传输功能,企业可以随时在网上更新报告,用户可以及时获得相关信息,特别是一些无需独立审计且自愿性披露的信息以及非财务信息。但是,由于企业对增加网络披露的内容缺乏积极性,并且无意改变目前的财务呈报模式,致使网络财务报告更新速度慢,信息使用者不能及时得到相关信息。
内容缺乏可靠性。首先,在传统会计环境下导致会计信息失真的原因,也同样会导致网络环境下的会计信息失真;其次,网上财务信息披露没有注册会计师出具的审计报告,信息使用者无法了解网上财务信息的准确性;最后,竞争对手和电脑黑客入侵,对信息进行恶意篡改和伪造,以及计算机病毒的感染,甚至是企业恶意或过失的行为,均可导致网络财务报告信息的不可靠。
缺乏可比性。到目前为止,除要求在证监会指定的国际互联网网站上刊载年度报告外,我国针对网络财务信息没有一套规范的政策法规,这就会造成公司披露财务信息以及非财务信息无章可循,有一定的任意性,造成披露的信息不可比。
披露方式和技术较简单。我国现有的网络财务报告形式还处在发展的初级阶段。公司在网上的财务报告多为PDF和HTML形式,基本还是纸制报告的翻版或替代品。某些上市公司在网络上仅以文字形式摘要说明财务状况,有的则重新选取部分主要财务指标进行披露,报告的方式和技术的简单,使其处在界面的定期报告状态,没有充分体现出信息技术带给会计的快速和便捷,网络的互动功能还有待开发。
数据分析处理不易。信息使用者所获得的信息格式经常是多种多样的,由于信息提供者未能提供使用者网上进行自动分析的工具,使用者即使成功下载信息,其后续分析处理也很不容易,这将加大数据分析和处理的成本,使许多信息使用者望而却步。
路标设置不明显。对于很多公司而言,网站仅是公司宣传新产品和信息的工具,许多公司在主页上把“财务报告”放在“投资者关系”一栏里,要经过几个链接才能找到目标文件,而且在链接过程中不断有公司新产品的广告出现,干扰链接。
信息安全维护成本大。网站的安全问题对于在网上财务信息的公司来说至关重要,因为在信息前,公司内部人员可能会出于利己的目的,对原始会计数据及系统程序进行非法篡改或泄密,造成信息失真;信息后,网络黑客和竞争对手可能会非法修改或恶意篡改网上信息。公司必须花费高额费用设立多层防护屏障的防火墙和入侵监测系统,以及自动恢复系统,防范黑客的侵入,确保公司的年报在网上准确而及时地。
政策法规滞后。财务信息在网上披露的时间、内容、范围及程度等方面,还没有可操作的指南性文件,所以在比较不同公司的网上财务报告时会有很大的差别。同时,报告在网上披露后,对擅自改动报告内容的公司或当事人如何界定其法律责任,目前还没有正式的法规。
披露行为受公司业绩影响大。经研究发现,盈利水平对公司是否披露财务信息以及披露信息的质量成正比关系。业绩好的公司愿意如实披露财务信息。在对上海30家指数公司与ST和PT公司的对比中发现,这30家指数公司年报和中报披露率明显高于一般上市公司,而ST和PT公司年报和中报披露率明显低于一般上市公司,披露的积极性也较差。
完善网络财务报告质量的思路
制定网络财务报告准则。网络财务报告的广泛使用及发展要求制定新的相关会计准则,以解决网络环境下的新问题,规范网络财务报告披露的时间、内容、形式、信息质量标准等。至今,网络财务报告还没有一个国际通用的规范模式,也没有形成体系的规范对其进行约束,这使网络财务报告的质量受到一定的置疑,若相关会计准则不及时出台,网络财务报告的发展将大大受到阻碍。相关机构应尽快制定网络财务报告准则框架,建立电子报告模型,使公司披露信息有章可循,达到规范网络财务报告的目的,克服信息披露的任意性而带来的信息不可比等问题。
加强网上财务信息的监管。传统财务报告不仅要遵循企业会计准则,而且信息内容和格式方面也有诸多的规定。这些有关财务报告格式和披露的规定,其本质是为了避免信息不对称,保护广大投资者的利益并维护证券市场秩序。纵观目前网上财务信息披露的实际,基本仍为企业的自愿行为而缺乏监管机构的介入。因此信息内容的不完整性与不一致性无法避免。目前我国企业在其网上披露财务信息已经十分普遍,所以在我国必须加强对网上财务信息披露的监管,监管部门应加快制定有关网络财务报告的法规和制度,一方面确保网络财务报告的健康发展,另一方面中介机构也应出台相应的措施来保证网上披露内容的真实与可靠。
加强网络审计和审计立法工作。面对网络会计的出现,网络审计应运而生,网络审计的对象、线索、方法、流程、结果等方面均发生了变化,所以应加强网络审计立法,建立网络审计准则,如网络系统内部控制准则、网络系统安全可靠性评价标准、网络审计人员的一般要求等,给网络审计工作提供公认的质量标准,保证网络财务信息的可信性。
研发和使用可扩展企业报告语言(XBRL)。可扩展企业报告语言XBRL是基于可扩展标记语言(XML)的结构,提供一种标准的方法来编制、公司财务报告和其他信息,XBRL对有关财务信息内容增加标签,一旦数据被加上统一的标签,它们就易于识别并获取。对于提供财务信息的企业来说,运用XBRL提高了报表编制的效率,因为财务信息生成后,就可以转换成各种类型的报告在互联网上,这不仅减少了数据输入错误的风险,而且不需要多次以不同格式输入数据,可以降低公司准备及公布财务报告的成本。通过XBRL技术,各个账户都按现行会计准则和有关规定加上标签,企业可以很快将有关账户的数据汇总并形成相应的财务会计信息。财务信息从资料库产生后,直接通过网络进行交换,在信息自动分析和查找上将更具流通性,使用也更便利。同时,使会计信息按需报告成为可能,提高了会计信息的可比性及相关性,使用者根据自己的要求组合信息,避免了信息超载的问题。
加强网络系统安全控制。一是要建立完善的计算机系统内容控制制度。在操作系统中建立数据保护机构,调用计算机机密文件时应登录户名、日期、使用方式和使用结果,修改文件和数据必须登录备查。同时系统可自动识别有效的终端入口,当有非法用户企图登录或错误口令超限额使用时,系统会锁定终端,冻结此用户标识,记录有关情况,并立即报警。二要在技术上对整个财务网络系统的各个层次(通信平台、网络平台、操作系统平台、应用平台)采取安全防范措施和规则,建立综合的多层次安全体系。在财务软件中提供周到、强大的数据安全保护,包括数据存储、数据操作、数据传输安全性以及数据运用、查询、分析时的安全性。充分利用防火墙、加密技术、数字签名、安全协议等技术措施。三是要完善计算机安全与犯罪的立法工作。计算机安全与犯罪立法,是防治网络财务报告会计信息失真的一个重要措施。通过计算机安全与犯罪立法,一方面可以使计算机会计系统安全措施法律化、规范化、制度化,提高电算化会计信息的可靠性;另一方面可以为打击篡改、伪造以及盗窃网上信息的犯罪分子提供有力的法律依据。企业要把系统风险评估与管理制度化相统一,以保证系统控制方案即安全政策不断随系统本身的发展而不断完善。