信息安全服务(共12篇)
信息安全服务 篇1
摘要:目前大部分空管中心之间的联系仍然是通过话音和点对点的数据交互,因此人的能力限制了协调的速度和精确性,对管制中心之间的影响范围产生了约束。全系统信息管理(System Wide Information Management,SWIM)作为一种分布式信息系统,最主要目的是实现在管制系统之间的互连网络,并且通过协同和提高空域的有效利用率带来实质性的收益,其主要核心服务之一是信息安全保障,但是安全性在大范围的分布式系统中是很难保证的,对信息安全性比较薄弱的系统来说是更大的挑战。文章从信息安全服务体系和安全技术方面对SWIM的信息安全进行了研究,给出了安全体系的研究途径。
关键词:全系统信息管理,安全服务,安全技术
0 引言
全系统信息管理(System Wide Information Management,SWIM)是基于信息网络技术,采用SOA面向服务架构,无缝连接航空公司、机场、空管等相关单位,有效、及时地共享和交换相关数据,为不同单位、不同信息系统之间提供数据交换的基础平台,通过协同和提高空域的有效利用率带来实质性的收益。
SWIM作为大范围的分布式系统,依托统一的信息平台,把原有空管信息化“点对点”的链形连接变为“一对多”的星形连接,最大限度地实现资源共享。各信息系统需经适配器进行接口转换、消息转换、数据过滤等操作后,经适配器翻译成SWIM平台能够接收的数据格式、消息格式,方能与SWIM平台上其他系统进行信息交互。在大范围的分布式系统中安全性是很难保证的,对信息安全性比较薄弱的系统来说是更大的挑战。
安全服务是SWIM提供的核心服务之一,需要采用新的安全技术来提供保障,同时也遵循以Web服务安全标准为主的通用安全机制。文章对信息安全服务体系的研究途径和安全功能体系进行了分析,对影响SWIM信息安全生命周期的主要层次的安全技术进行了研究。
1 SWIM概念与体系结构
1.1 SWIM运行概念
参考单一欧洲天空空管研究联合行动(Sing European Sky ATM Research,SESAR)中的SWIM运行概念标准[1],SWIM运行概念包括的要素分为空中交通管理(ATM)信息参考模型、信息服务参考模型、信息管理、SWIM技术基础设施和SWIM应用。
ATM信息参考模型(ATM Information Reference Model,AIRM)通过逻辑数据模型对ATM信息进行标准定义,引入了ATM信息新的标准,比如AIXM-5的航空数据;信息服务参考模型(Information Service Reference Model,ISRM)对所需信息服务和行为模式进行逻辑细化;信息管理包括用户身份鉴定、资源传输、安全方面(可信、密码、授权、通告服务、注册),用以支持信息共享;SWIM技术基础设施通过ATM数据和服务的分发、交互实现实时协作的架构;SWIM应用对各类关键数据信息交换,为终端用户即空管、航空公司、机场、军方和社会公众等提供有关信息数据。
通过SWIM进行交换的数据包括:通过集成、分析和格式化的航空数据信息;航空器4D详细飞行航迹,这样航空器的位置可以根据时间获取;机场各种要素的状态,包括进近、跑道、停机位、闸门等机场运行信息;过去、当前和未来对空中交通有关联的地球气象信息;空中交通流量信息等。
1.2 SWIM安全性架构
SWIM安全性架构[2]如图1所示,它从逻辑上被划分为3个组成部分。最顶层是空管系统使命功能,它利用SWIM的服务功能进行协作;最底层是信息技术基础设施(ITI)功能(包括网络和安全等),这些是上层功能运行所必需的;边界保护功能处于SWIM服务和ITI之间。
SWIM能够通过不同的应用实现广泛用户之间可信赖的信息共享。用户应用包括:飞行员在飞行器的起飞、导航和降落阶段获取共享信息;机场运行中心管理起飞、地面运行、进近和着陆时的共享信息;航空公司制定时刻表、规划飞行路、降低延误时的信息共享;民航管制中心的空中交通服务信息共享;提供气象发布和预报的气象服务信息共享;军航管制中心使用空域的信息共享。
2 SWIM信息安全服务体系研究
SWIM信息安全服务涉及保护SWIM共享信息的保密性、完整性、可用性和不可抵赖性,其最终目的是为SWIM环境下的ATM应用和服务的实现提供可靠的中间件支持和标准的安全保障。而服务安全基于信息交互、数据存取的消息安全,SWIM环境下的消息以XML格式为基础,其可靠传输有赖于底层机制和整个环境本身的安全[3]。
在信息的生命周期内对信息的完全保护,信息安全体系的主要层次必须具备其自己的保护机制,通过深层机制的防护对安全性方法进行构建、设置和更新。涉及的主要服务层次包括公共信息管理层、公共数据传输层和应用层。
2.1 安全技术研究途径
构建SWIM信息安全体系,首先需要建立安全技术的研究途径,分为4个步骤:安全风险评估、安全需求分析、技术安全评估和安全设计,如图2所示。
安全风险评估负责计算系统范围失败的可能性,但是不包括计算受到攻击的可能性,因为受到攻击的可能性会随着时间变化,攻击源和攻击性质都有可能更改[4];安全需求分析将安全风险评估的结果作为输入,负责体系的机密性、完整性、可用性、可批判性、可说明性等方面的分析;技术安全评估对可用技术的安全性进行评估;安全设计对采用的安全服务技术进行设计和决策。
2.2 SWIM安全功能体系
根据SWIM信息安全服务的机密性、完整性等安全性要求,按照安全技术研究途径,建立SWIM安全功能体系,保障信息在数据交换时得到保护。将SWIM安全功能体系分为4个模块,包括安全体系服务、安全体系支撑、安全策略管理和安全策略执行,如图3所示。安全体系服务分为身份管理服务、验证服务、授权服务、保密服务、数据源鉴定服务和监听服务。安全体系支撑作为安全体系服务的基础建设,分为密匙管理、时统服务和注册与存储。
1)安全体系服务
(1)身份管理服务:为了确保SWIM的数据安全,防止隐私数据的外泄,阻止非授权用户的非法访问,必须研究有效的SWIM用户认证方法,为SWIM安全服务架构提供第一道防线;
(2)验证服务:服务请求者须获得一个安全凭证,以便于当它访问所需资源时向同样信任该安全凭证服务(Security Token Service,STS)的服务提供者出示该凭证;
(3)授权服务:SWIM系统的交互和信息的共享带来安全要求的提高和扩展,只有对用户身份做出可靠的确认才能有效地保证合法用户接入网络并对其使用的相应资源进行收费,同时阻止非法用户对网络进行恶意访问和破坏;
(4)保密服务:采用各种加/解密算法,加强网络协议的安全防护;
(5)数据源鉴定服务:对提供数据源的数据信息安全性进行检查,只有安全的信息才进入;
(6)监听服务:为网络安全管理人员提供监视的网络状态、数据流动情况以及网络上传输的信息,监控发现入侵痕迹并及时作出响应;
(7)密匙管理:通过用户身份信息和与身份信息绑定的密钥来定位公钥;
(8)时统服务:接收可靠时钟源的对时信息和网络时间,进行本系统内部和业务软件对时;
(9)注册与存储:为服务请求者提供注册和存储服务。
2)安全策略管理
SWIM核心服务将为各种应用提供统一服务,而这些应用到服务的策略是通过WS-Policy进行规范的。WS-Policy提供一种简单的基于XML的结构,用于描述应用到Web服务的需求、首选项和性能,并给出了各种策略处理模型,如标准化、交集、融合等。
2.3 SWIM安全技术
基于SWIM安全功能体系,采用以Web服务安全标准为主的通用标准,按照公共数据传输层、公共信息管理层和应用层对信息安全体系进行功能层次分层,如图4所示。
1)公共数据传输层
公共数据传输层提供SWIM数据交换底层的安全机制,包括网络层安全、传输层安全和XML安全[5]。
网络层数据安全包括底层数据的封装、加密、访问控制、完整性检查等,采用IPSec技术可保障SWIM的IP通信,实现基于连接逐跳安全机制的数据传输。传输层安全主要防御会话消息中继节点的攻击,实现数据传输中保密、认证和完整性检查等安全措施,建议采用传输安全协议(Transport Layer Security,TLS)实现基于会话端到端的安全机制。可扩展标记语言(XML)安全包括XML签名(XML Signature)和XML加密(XML Encryption),XML签名将消息发送者的身份与简单对象访问协议(Simple Object Access Protocol,SOAP)消息绑定,既用来描述网络资源、XML文档和协议消息的签名,也用来计算和验证这些签名。XML加密为网络资源、XML文档和协议消息提供数字加密。
2)公共信息管理层
公共信息管理层负责基于消息的安全,包括消息的可靠、有序、无重复传输等。
公共信息管理层可采用SOAP消息格式,SOAP可以和现存的许多因特网协议和格式结合使用,包括超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、多用途网际邮件扩充协议(MIME)等,是一种轻量的、简单的、基于XML的协议。SWIM消息安全由WS安全规范(WS-Security)和WS安全会话规范(WS-Secure Conversation)提供支持。SWIM环境下的XML和SOAP消息在各式各样的协议之上传输,这些消息可能包括FTP、JMS、MQ等。可靠消息传输采用WS-Reliability和WS-Reliable Messaging标准提供支持,该消息传输安全机制保障消息被可靠地传输。
3)应用层
应用层安全为用户提供基于服务和应用的安全,涵盖了安全体系服务中的功能,如身份管理服务、验证服务、授权服务、保密服务等。
身份管理服务由WS-Federation技术标准提供支持,通过互信的网络服务间身份、属性认证使不同的安全域相联的机制,假设网络服务请求方理解新的安全机制并能够与网络服务提供方互相通信,既可用于主动请求,也可用于被动请求。验证服务可采用WS-Trust技术标准。该标准由WS-Security扩展而来,用以描述STS。在STS模型下服务请求者须获得一个安全凭证,以便于当它访问所需资源时向同样信任该STS的服务提供者出示该凭证。授权服务采用安全声明标记语言(Security Assertion Markup Language,SAML)。SAML是一种描述用户认证、授权和属性信息的基于XML的框架,它声明的可以是用户的认证结果、授权证书列表或者授权决定表达式,SAML不局限于SOAP消息,也可以用于基于REST的网络服务。数据源鉴定服务采用XML密钥注册服务规范(X-KRSS),X-KRSS通过用户身份信息和与身份信息绑定的密钥来定位公钥,X-KRSS允许XML应用向XKMS信任的服务提供者注册密钥对。
3 结束语
全系统信息管理是下一代空管系统的核心能力,可有效解决空管、机场、航空公司、气象等部门存在的各自对空管信息掌握不完整、表述不相同、认知有差异等问题,通过协同和提高空域的有效利用率带来实质性的收益。文章从保护SWIM核心服务安全的角度出发,研究了SWIM安全功能体系,分析了以Web服务安全标准为主的SWIM安全服务和基础设施所应遵循的安全技术,给出了安全体系的研究途径,为SWIM的部署、实施和发展提供安全服务技术支持。
参考文献
[1]Matias K,Martin G J.Learn to SWIM[C]//International conference on availability,reliability and security 2014.Fribourg:IEEE Press,2014:556-560.
[2]Stephens B,Tectura C,Bellevue W A.Security architecture for system wide information management[C]//24th digital avionics systems conference.Washington:IEEE Press,2005:344-348.
[3]吴志军,赵婷,雷缙.广域信息管理SWIM信息安全技术标准研究[J].信息网络安全,2014,1(1):1-4.
[4]Martin G J,Tor E F.Sink or SWIM:Information security requirements in the sky[C]//International conference on availability,reliability and security 2013.Regensburg:IEEEPress,2013:794-801.
[5]Federal aviation administration.System wide information management(SWIM)extensible markup language(XML)gateway requirements[EB/OL].[2009-9-21].www.faa.gov/nextgen/programs/swim/documentation/media/gateway/xml_gateway_reqts_v2.0.doc.
信息安全服务 篇2
信息安全服务资质申请指南
(安全工程类一级)
©版权2008—中国信息安全测评中心
2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
目录
一、认定依据................................................................................................................................4
二、级别划分................................................................................................................................4三、一级资质要求........................................................................................................................4
3.1 基本资格要求...................................................................................................................5 3.2 基本能力要求...................................................................................................................5
3.2.1 组织与管理要求.....................................................................................................5 3.2.2 技术能力要求.........................................................................................................5 3.2.3 人员构成与素质要求.............................................................................................6 3.2.4 设备、设施与环境要求.........................................................................................6 3.2.5 规模与资产要求.....................................................................................................6 3.2.6 业绩要求.................................................................................................................6 3.3 安全工程过程能力要求...................................................................................................7 3.4 项目和组织过程能力要求...............................................................................................7
四、资质认定................................................................................................................................8
4.1认定流程图........................................................................................................................8 4.2申请阶段.............................................................................................................................9 4.3资格审查阶段.....................................................................................................................9 4.4能力测评阶段.....................................................................................................................9
4.4.1静态评估..................................................................................................................9 4.4.2现场审核................................................................................................................10 4.4.3综合评定................................................................................................................10 4.4.4资质审定................................................................................................................10 4.5证书发放阶段...................................................................................................................10
五、监督、维持和升级..............................................................................................................11
六、处置......................................................................................................................................11
七、争议、投诉与申诉..............................................................................................................11
八、获证组织档案......................................................................................................................12
九、费用及周期..........................................................................................................................12
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
引言
中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的主要职能是:
1.为信息技术安全性提供测评服务; 2.信息安全漏洞分析; 3.信息安全风险评估;
4.信息技术产品、信息系统和工程安全测试与评估; 5.信息安全服务和信息安全人员资质测评; 6.信息安全技术咨询、工程监理与开发服务。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC提出信息安全工程服务一级资质申请的境内外组织。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
一、认定依据
信息安全工程服务资质认定是对信息安全工程服务提供者的资格状况、技术实力和安全工程实施过程质量保证能力等方面的具体衡量和评价。
信息安全工程服务资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全工程服务资质具体要求,在对申请组织的基本资格、技术实力、信息安全工程服务能力以及安全工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分
信息安全工程服务资质认定是对信息安全工程服务提供者的综合实力的客观评价和确认,信息安全工程服务资质级别反映了信息安全工程服务提供者从事信息安全工程服务保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、安全工程过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级 二级:计划跟踪级 三级:充分定义级 四级:量化控制级 五级:持续改进级三、一级资质要求
申请信息安全工程服务一级资质的组织需要在基本资格和基本能力、安全工程过程能力和项目与组织过程能力等几个方面符合《信息安全工程服务一级资质具体要求》的规定。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
3.1 基本资格要求
申请信息安全工程服务资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2 基本能力要求 3.2.1 组织与管理要求
1.必须拥有健全的组织和管理体系,为持续的信息安全工程服务提供保障;
2.必须具有专业从事信息安全工程服务的队伍和相应的质量保证; 3.与安全工程服务相关的所有成员要签订保密合同,并遵守有关法律法规。
3.2.2 技术能力要求
1.了解信息系统技术的最新动向,有能力掌握信息系统的最新技术; 2.具有不断的技术更新能力;
3.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;
4.能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度;
5.具有对发生的突发性安全事件进行分析和解决的能力;
6.具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力;
7.具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力;
8.具有对集成的信息系统进行检测和验证的能力; 9.有能力对信息系统系统进行有效的维护;
10.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
3.2.3 人员构成与素质要求
1.具有充足的人力资源和合理的人员结构;
2.所有与信息安全服务有关的管理和销售人员应具有基本的信息安全知识;
3.有相对稳定的从事信息安全服务的技术队伍;
4.技术骨干人员应系统地掌握信息系统安全基础理论和核心技术,并有足够的专业工作经验;
5.必须有2名以上(含2名)专职的注册信息安全专业人员(CISP)。
3.2.4 设备、设施与环境要求
1.具有固定的工作场所和良好的工作环境; 2.具有先进的开发、测试或模拟环境; 3.具有先进的开发、生产和测试设备;
4.具有实施相关服务必需的开发、生产和测试工具。
3.2.5 规模与资产要求
1.有足够的注册资金和充足的流动资金;
2.具有与所申请安全服务业务范围、承担的安全工程规模相适应的服务体系;
3.有足够的人员从事直接与信息安全服务相关的活动。
3.2.6 业绩要求
1.从事信息安全服务1年以上; 2.至少承接过2个以上的安全工程项目;
3.近3年完成的信息安全服务的项目总值应在100万以上;
4.近3年内在信息安全工程服务方面,没有出现验收未通过的项目。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
3.3 安全工程过程能力要求
安全工程过程能力是评价信息安全工程服务专业水平高低的标志。申请组织应能实施以下11个安全工程过程域: 1.评估系统面临的安全威胁; 2.评估系统的脆弱性; 3.评估安全对系统的影响; 4.评估系统的安全风险; 5.确定系统的安全需求; 6.为系统提供必要的安全输入; 7.管理系统的安全控制; 8.监测系统的安全状况; 9.安全协调;
10.检验并证实系统的安全性; 11.建立并提供安全性保证论据。
3.4 项目和组织过程能力要求
项目和组织过程能力是评价信息安全工程服务规范性和质量保证成熟度标志。
申请组织应能实施以下8个项目和组织过程域: 1.质量保证; 2.管理配置; 3.管理项目风险; 4.监控技术活动; 5.规划技术活动; 6.管理系统工程支持环境; 7.提供不断发展的技能和知识; 8.与供应商协调。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
四、资质认定
4.1认定流程图
申请委托人申请不受理形式化审查申请阶段资格审查阶段受理决定受理静态评估现场审核限期整改综合评定不通过综合评定通过资质审定不通过发证决定抽样检查通过证书发放不予发证能力测评阶段证书发放阶段公告证后监督证后监督阶段
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
4.2申请阶段
申请组织应首先到CNITSEC网站(http://ITSEC,同时提交申请费。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将向申请组织发出受理通知书,正式受理该申请,并通知相关费用的缴纳事宜等。
4.4能力测评阶段
当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。
4.4.1静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的信息安全工程服务能力做出基本判断,初步确定申请组织的信息安全工程服务能力水平状况,发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
为现场审核做准备。如果静态评估阶段发现有不符合要求的内容,CNITSEC将要求申请组织进一步补充资料,以便反映申请组织的客观情况。
4.4.2现场审核
现场审核是对申请组织从事信息安全工程服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
4.4.3综合评定
在综合评定阶段,将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、信息安全工程服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。逾期未整改的,视作整改不符合。
4.4.4资质审定
根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的信息安全工程服务资质进行审查,并最终做出是否通过的决定。
4.5证书发放阶段
资质审定通过后,CNITSEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全工程过程能力。CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交调查表,并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。根据申请组织的变化情况,CNITSEC将进行换证维持的资质审查或进一步要求进行现场审核,以确定获证组织符合信息安全工程服务能力一级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站(http://ITSEC申请二级资质。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以以下处置:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
获证组织应妥善处理因自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC将在必要时查阅获证企业的申诉/投诉记录。
八、获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上,升级,确认或者复核换证时,只需补交所要求的相应材料,CNITSEC实行记录累加制度。
九、费用及周期
信息安全服务资质认定收费划分为如下四个部分:
(一)申请费:2000元
(二)测评费:3000元/人日
(三)审定与注册费(含证书费):3000元
(四)年金(含标志使用费):5000元/年
获得一级资质证书总体费用:
2000(申请费)+3000×3×2(三人二日测评费)+3000(审定与注册费)+5000(一年年金)=28000元。
申请组织还应承担因现场审核活动审核组成员所发生的交通和食宿费用。
从受理到颁发证书的周期为三个月,但由于申请方原因(如,资料补充需要的时间等)造成的时间不计算在内。
信息安全服务 篇3
信息技术咨询公司Gartner在最新一份报告中指出,信息技术安全服务公司10%的产品服务性能将于2015年融入云端,且基于云的安全服务市场总额将于2016年突破42亿美元。
同时,这些服务也正在改变市场目前的格局,在关键的安全技术领域的表现尤其明显,如安全电子邮件服务、安全Web服务网管、远程漏洞评估以及身份及访问管理。调查发现,美国与欧洲的安全服务买家来自各行各业,公司规模也各不相同。不过,这些买家均表示,未来一年计划加大在普通云服务方面的投入。
Gartner的研究部主任Eric Ahlm说:“目前,针对基于云的安全服务,市场上有大量需求,但存在人员与技术短缺、降低成本、更快满足安全规范等问题。这也改变了买家的购买习惯,从传统的机房设备转向基于云的配送模型。这一转变为具有云交付能力技术与服务提供商提供了巨大机会,然而,不具备云交付能力的企业则需要增强竞争力,以迅速适应这一新兴转变。”
此外,27%的受访者表示,他们曾考虑将标记化(tokenization,允许企业在本地存储敏感信息,也允许其他数据和数据指针在云端存储。Token代替核心人物数据,保护信息安全)视作云服务。作为一种服务形式,标记化能帮助安全服务购买者管理个人可识别信息(PII)或其他机密信息。这项服务还能帮助各组织机构摆脱规范环境带来的负担。
这份报告还指出,将安全信息与事件管理作为服务是另一个即将迎来迅速发展的领域。其中,人们最感兴趣的是监管合规性与安全服务购买者在日志管理、达标报告与降低安全事件监管成本方面的需求。
Ahlm 表示:“消费者对于云安全服务的海量需求为企业提供机会创建云服务代理或与其合作。消费者对代理的需求愈来愈明显,各组织机构也会将更多的资产向云端转移,这要求更加全面、可靠的安全服务来连接各种云/或混合云与机房设备。”
2013年1月,Gartner的安全支出调查表明,安全服务购买者对基于云的安全服务有较大需求。Gartner建议增值零售商为产品提供基于云的可供选择的解决方案,帮助客户降低运营成本,并更好地维系客户关系。
Ahlm 总结说:“云服务给安全服务购买者带来的价值体现在降低资本与运营成本上。安全服务供应商目前仅提供基于硬件/软件的解决方案,这要求在实现过程中必须创建产品路线图,帮助客户向云端过渡。”
这份报告同时还提醒增值零售商,若无法提供基于云的可供选择的解决方案,那其收入将受影响,因为他们可能失去市场中寻求云解决方案的客户。
Gartner也指出,许多企业客户仍对云服务持保守态度,不愿意将敏感的日志信息转移到云端,而这也是安全即服务的供应商今后必须要着力解决的一个难题。
网络环境下档案信息服务安全对策 篇4
一、建立健全档案信息网络安全管理体制
只有制定合理而严密的管理措施和规范, 才能真正保护数字档案信息的真实性、可靠性和完整性。因此, 必须加强领导, 统一思想, 建立健全组织机构。在统一的安全组织领导下, 各档案馆应把网络安全问题纳入自己的工作职责, 做到人人有责, 层层负责, 建立网络安全体系, 并根据安全管理目标, 建立相应的档案信息安全管理制度。具体包括:1.建立统一的安全管理机制。提高安全防范意识, 制定相应的机房管理、网络管理、数据及加密管理、设备管理、应急处理、人员管理、技术管理、口令守则等制度, 加强规范管理和制度管理。2.制定完善的系统维护制度。包括对网络系统使用的情况、系统管理人员对用户权限的分配及管理等;对系统故障发生的原因、维护内容和维护前后的情况等事项, 要详细记录。3.建立计算机网络安全预警中心。对本馆进行网络安全监控、预警, 实时发现网上异常活动和不安全活动, 监视网络数据库的安全。4.加强网络“病毒”的安全防控。在全馆建立“病毒”防控监管系统。把杀灭“病毒”作为一项经常性工作来抓。同时, 要定期制作备份文档, 异地存放保管。5.加强对工作人员的网络安全教育培训。除具备专业知识和网络知识外, 还要接受保密教育和法制教育, 以避免工作人员由于安全意识淡薄而对工作带来危害。
二、完善档案信息安全保障法规体系
目前, 我国颁布了《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等, 对网络信息安全作了相关规定, 但我国档案信息化的有关法律、法规和行政命令还不够完善, 尤其在档案信息化建设方面, 还没有专门的法规标准, 仅依靠通用的计算机法律、法规来维护档案信息化建设的安全。为此, 档案部门应根据本行业部门实际情况制定具有可操作性的档案网络信息的安全保障体系, 有效保障网络安全, 将网络安全危害降到最低程度。
三、采用多种安全技术手段
1. 防火墙技术。
包括计算机防火墙和网络防火墙。计算机防火墙设置在外部网络和计算机用户之间, 阻止非法信息进入计算机。网络防火墙设置在内部网络与外部网络之间, 是两个网络之间执行控制与安全策略的系统。通过安全访问控制保护内部网络。由于技术进步的加快, 各种病毒和非法入侵手段层出不穷, 档案馆可以充分利用防火墙提供的功能自行设定符合本单位要求的安全策略, 确定可以通过防火墙的信息类型, 对外部网络与内部网络之间交流的数据进行检查。
2. 入侵检测技术。
它是一种主动的网络安全防护措施, 是防火墙的合理补充。它不仅检测来自外部的入侵行为, 同时也指出内部用户的未授权活动。入侵检测通过收集计算机、网络及用户活动的状态和行为的信息, 并加以数据分析, 从而发现系统中是否有违反安全策略的行为和被攻击的迹象。
3. 防病毒技术。
即利用专用的防病毒软件和硬件, 发现、诊断和消灭各种计算机病毒和网络病毒。防病毒必须从网络整体考虑, 改变被动劣势, 主动防御, 从方便管理人员的工作着手, 通过网络环境管理网络上的所有机器, 如利用查毒功能对客户进行扫描, 检查病毒情况;利用在线报警功能对网络上受病毒侵袭出现故障的机器, 作出相应的反应。
4. 加密技术。
用密码技术防范“黑客”的攻击是保障网络安全的有效方法。档案信息的特殊性决定了它的非公开性, 采用加密技术可以确保档案信息内容的非公开性。加密的强度基本由加密密钥来决定, 如收发文通常采用“双密钥码”, 网络中的每一个加密通讯者拥有一对密钥:一个是公开的加密密钥, 一个是严格保密的接密密钥, 发方使用收方的公开密钥发文, 收方只用自己知道的解密密钥解密, 这样任何人都可以利用公开密钥向收方发文, 而只有收方才能获得这些加密的文件。由于加密和解密使用不同的密钥, 因此第三方很难从截获的密文中解出原文来, 这对于传输中的档案信息具有很好的保护作用。
5. 数字水印技术。
数字水印技术是一种有效的数字产品版权保护和数据安全维护技术。它是通过一定的方法将一些标志性信息直接嵌入到档案信息当中, 但不影响原文的价值与使用, 并且不能被人的知觉系统觉察或注意到, 只有通过专用的检测器或阅读器才能提取。加了水印的数字产品在传输的过程中, 即使被非法截获, 获得者也不能正常、合法地使用, 因为他不能消除数字产品中水印的信息。
四、加速培养档案信息安全人才
信息安全服务 篇5
(征求意见稿)
第一章 总 则
第一条 为加强邮政行业寄递服务用户个人信息安全管理,保护用户合法权益,维护邮政通信与信息安全,促进邮政行业健康发展,根据《中华人民共和国邮政法》、《邮政行业安全监督管理办法》及相关的法律法规和规定,制定本规定。
第二条 在中华人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及与之相关的监督管理工作,适用本规定。
第三条 本规定所称寄递服务用户个人信息(以下简称寄递用户信息),是指用户在使用寄递服务过程中的个人信息,包括寄(收)件人的姓名、地址、身份证件号码、电话号码、单位名称,以及寄递单号、时间、物品明细等内容。
第四条 寄递用户信息安全监督管理坚持安全第一、预防为主、综合治理的方针,保障用户个人信息安全,保护公民合法权益。
第五条 国务院邮政管理部门负责全国邮政行业寄递用户信息安全监督管理工作。
省、自治区、直辖市邮政管理机构负责本行政区域内的邮政行业寄递用户信息安全监督管理工作。
- 1 - 按照国务院规定设立的省级以下邮政管理机构负责本辖区的邮政行业寄递用户信息安全监督管理工作。
国务院邮政管理部门和省、自治区、直辖市邮政管理机构以及省级以下邮政管理机构,统称为邮政管理部门。
第六条 邮政管理部门应当与有关部门相互配合,健全寄递用户信息安全保障机制,维护寄递用户信息安全。
第七条 邮政企业、快递企业及其从业人员应当遵守国家有关信息安全管理的规定及本规定,对寄递用户信息的安全负责。
第二章 一般规定
第八条 邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施,确定各部门、岗位的安全责任,加强安全责任考核。
第九条 加盟制快递企业应当在加盟协议中设立寄递用户信息安全保障条款,明确被加盟人与加盟人的安全责任关系。对于加盟人出现的信息安全事故,被加盟人应承担相应的安全管理责任。
第十条 邮政企业、快递企业应当与从业人员签订寄递用户信息保密协议,明确保密义务。
第十一条 邮政企业、快递企业应当组织从业人员进行寄递用户信息安全保护相关知识、技能的培训,加强职业道德教育,不断提高从业人员的法制观念和责任意识。
- 2 - 第十二条 邮政企业、快递企业应当建立寄递用户信息安全投诉处理机制,公布有效的联系方式,接受并及时处理有关投诉。
第十三条 邮政企业、快递企业接受网络购物、电视购物和邮购等经营者委托提供寄递服务的,在与委托方签订协议时,应当约定寄递用户信息安全保障条款,明确信息使用范围、使用方式、信息交换使用的安全保护措施、信息泄露责任划分等内容。
第十四条 邮政企业、快递企业委托第三方录入寄递用户信息的,应当确认其具有信息安全保障能力,并签订信息安全保障协议条款,明确企业与第三方的安全责任。对于第三方出现的信息安全事故,邮政企业、快递企业应承担相应责任。
第十五条 未经法律明确授权或者用户书面同意,邮政企业、快递企业及其从业人员不得将其掌握的寄递用户信息提供给任何组织或者个人。
第十六条 国家安全机关、公安机关、检察机关的工作人员依据法律规定调阅、检查邮件(快件)实物及电子信息档案,必须凭被调阅企业所在地的县级以上(含县级)国家安全机关、公安机关、检察机关出具的书面证明办理相关调阅和交接手续,实施调阅、检查时,应当出示工作证件。邮政企业、快递企业应当配合,并对有关情况予以保密。
第十七条 邮政企业、快递企业应当建立寄递用户信息安全应急处置机制。对于突发的寄递用户信息安全事故,应立即采取
- 3 - 补救措施,按照规定报告邮政管理部门,不得迟报、漏报、瞒报,并配合邮政管理部门和相关部门对案件进行调查处理。
第三章 寄递详情单实物信息安全管理
第十八条 邮政企业、快递企业应当加强对寄递详情单的管理,对发放空白单情况进行登记,对号段进行全程跟踪,形成跟踪记录。
第十九条 邮政企业、快递企业应当加强对营业场所、处理场所的管理,对用户服务区域与邮件(快件)处理、存放场地进行物理隔离。严禁无关人员进出邮件(快件)处理、存放场地,严禁无关人员接触、翻阅邮件(快件),防止实物信息在处理过程中被窃取、泄露。
第二十条 邮政企业、快递企业应当优化寄递处理流程,减少接触实物信息的处理环节和操作人员。
第二十一条 鼓励邮政企业、快递企业采用技术手段,防止信息在寄递过程中被窃取、泄露。
第二十二条 邮政企业、快递企业应当配备符合国家标准的安全监控设备,安排具备专门技术和技能的人员,对收寄、分拣、运输、投递等环节的实物信息处理进行安全监控。
第二十三条 邮政企业、快递企业应当建立健全寄递详情单实物档案管理制度,实行集中管理,确定集中存放地,及时回收- 4 - 寄递详情单妥善保管。设立、变更集中存放地时应当告知所在地邮政管理部门。
第二十四条 邮政企业、快递企业在实物档案集中存放地应当设立专用档案室,设专人管理。采取必要的安全存储措施,做好防灾、防盗、防泄露工作,确保实物档案安全。
第二十五条 邮政企业、快递企业的业务部门因工作需要查阅档案时,应经主管领导批准。查阅人员应当保持档案完整无损,不得私自携带出室,并做好查阅记录。
第二十六条 寄递详情单实物档案应当满足国家相关标准规定的保存期限。保存期满后,由企业监督进行集中销毁,并做好销毁记录,严禁丢弃或贩卖。
第二十七条 邮政企业、快递企业应当对寄递详情单实物安全保障情况进行定期自查,记录自查情况,及时消除自查中发现的信息安全问题。
第四章 寄递详情单电子信息安全管理
第二十八条 邮政企业、快递企业应按照国家、行业相关规定,加强寄递服务用户信息相关系统和网络设施的信息安全管理。
第二十九条 邮政企业、快递企业信息系统应当建立符合国家信息安全要求的、合理的网络架构,划分安全区域,各安全区域之间应当进行有效隔离,并具有防范、监控和阻断来自内外部网络攻击破坏的能力。
- 5 - 第三十条 邮政企业、快递企业应配置必要的防病毒软硬件,确保信息系统和网络具有防范木马等各类病毒的能力,防止恶意代码破坏信息系统和网络,避免信息泄露或者被篡改。
第三十一条 邮政企业、快递企业构建信息系统和网络,应避免使用信息系统和网络供应商提供的默认密码、安全参数,对通过开放公共网络传输的寄递用户信息设置加密措施,严格审查并监控对信息系统、网络设备的远程访问。
第三十二条 邮政企业、快递企业在采购软硬件产品或者技术服务时,应当与供应商签订保密协议,明确其安全责任及发生信息安全事件时配合邮政管理部门和相关部门调查工作的义务。
第三十三条 邮政企业、快递企业应加强信息系统及网络的权限管理,应基于权限最小化原则和权限分离原则,对从业人员分配满足工作需要的最小操作权限和可访问的最小信息范围。
邮政企业、快递企业应加强对系统管理员、数据库管理员、网络管理员的权限限制,使其有且仅有进行系统、数据库、信息网络运行维护和优化的权限,其所有管理维护操作应得到安全管理员的授权,并受到安全审计员的监控和审计。
第三十四条 邮政企业、快递企业应加强相关系统密码管理,使用高安全级别密码策略,强制定期更换密码,禁止将密码转告他人。
第三十五条 邮政企业、快递企业应加强寄递用户电子信息的存储安全管理,包括:
- 6 -
(一)使用独立物理区域存储寄递用户信息,禁止非授权人员进出该区域;
(二)采用加密方式存储寄递用户信息;
(三)确保安全使用、保存和处置存有寄递用户信息的计算机、移动设备和移动介质(包括磁带、磁盘、笔记本电脑、设备USB口、可写光驱等输入输出介质等)。明确管理数据存储设备、介质的负责人,建立设备、介质使用和借用登记,限制USB口、可写光驱、无线接口等设备输出接口的使用。及时删除销毁报废设备和存储介质中的寄递用户信息数据。
第三十六条 邮政企业、快递企业应加强寄递用户信息的应用安全管理,对所有批量导出、复制、销毁用户个人信息的操作进行审查,并采取防泄密措施,同时记录进行操作的人员、时间、地点、事项,作为以后进行信息安全审计的依据。
第三十七条 邮政企业、快递企业应加强信息系统账户管理,应在从业人员离职时对其进行信息安全审计,及时禁用相关系统账户。
第三十八条 邮政企业、快递企业应当制定本企业与市场相关主体的信息系统安全互联技术规则,对存储寄递服务信息的信息系统实行接入审查,并定期进行安全风险评估。
第三十九条 邮政企业、快递企业应当建立信息系统安全内部审计制度,定期开展内部审计,对发现的问题及时整改。
- 7 -
第五章 监督管理
第四十条 邮政管理部门依法履行下列职责:
(一)制定保障寄递用户信息安全的政策、制度和相关标准,并监督实施;
(二)指导与监督邮政企业、快递企业落实信息安全责任制,督促企业加强内部信息安全管理;
(三)对寄递用户信息安全进行监测、预警和应急管理;
(四)指导与监督邮政企业、快递企业开展信息安全的宣传教育和培训;
(五)依法对邮政企业、快递企业实施信息安全监督检查;
(六)组织调查或者参与调查寄递用户信息安全事故,查处违反寄递用户信息安全监管规定的行为;
(七)法律、法规、规章规定的其他职责。
第四十一条 邮政管理部门应当加强邮政行业寄递用户信息安全管理制度和安全知识的宣传,提高从业人员的信息安全意识,增强公众对个人信息保护的安全意识。
第四十二条 邮政管理部门应当加强邮政行业寄递用户信息安全运行的监测预警,建立信息管理体系,收集、分析与信息安全有关的各类信息。
省级邮政管理部门和省级以下邮政管理机构应当及时向上一级邮政管理部门报告邮政行业寄递用户信息安全情况,并定期通- 8 - 报相关的工业和信息化、通信管理、公安、国家安全、商务和工商行政管理等部门。
第四十三条 邮政管理部门应当对邮政企业、快递企业建立健全和遵守信息安全制度以及企业防范信息安全风险、规范从业人员信息安全行为等情况进行检查。
第四十四条 邮政管理部门发现邮政企业、快递企业存在违反寄递用户信息安全管理规定,妨害或者可能妨害寄递用户信息安全的,应当对其调查。违法行为涉及其他部门的管理职权的,邮政管理部门应当会同有关部门,共同对邮政企业、快递企业进行调查。
第四十五条 邮政管理部门应当加强对邮政企业、快递企业及其从业人员遵守本规定情况的监督检查。
第四十六条 邮政企业、快递企业拒不配合寄递用户信息安全监督检查的,依据《中华人民共和国邮政法》第七十七条的规定予以处罚。
第四十七条 邮政企业、快递企业及其从业人员因泄露寄递用户信息对用户造成损失的,应当依法予以赔偿。
属于从业人员违法泄露寄递用户信息造成损失的,邮政企业、快递企业应当依法进行赔偿,并向从业人员追责。
第四十八条 邮政企业、快递企业及其从业人员违法提供寄递用户信息,尚未构成犯罪的,依照《中华人民共和国邮政法》第七十六条规定予以处罚。邮政企业、快递企业逾期不履行邮政
- 9 - 管理部门处罚决定的,由邮政管理部门依法申请人民法院强制执行。构成犯罪的,移送司法机关追究刑事责任。
第四十九条 任何单位和个人有权向邮政管理部门举报违反本规定的行为。邮政管理部门接到举报后,应当依法及时处理。
第五十条 邮政管理部门可以在行业内通报邮政企业、快递企业违反寄递用户信息安全监管有关规定、发生信息安全事件以及对有关责任人员进行处理的情况,必要时可以向社会公开上述信息,但涉及国家秘密、商业秘密与个人隐私的除外。
第五十一条 邮政管理部门及其工作人员对在履行职责中知悉的寄递用户信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第五十二条 邮政管理部门工作人员在信息安全监督管理工作中滥用职权、玩忽职守、徇私舞弊,依照《邮政行业安全监督管理办法》第五十五条的规定予以处理。
第六章 附 则
第五十三条 本规定自年月日起施行。
档案信息服务部门的服务机制研究 篇6
关键词:档案信息服务机制
0引言
随着社会实践活动信息化的开展,档案工作领域也呈现出档案信息化的趋势,然而传统档案信息服务在方式、制度等方面都出现了滞后的情况。档案信息服务工作在其中发挥了重要作用。因此,调整传统的档案信息服务模式使之走出封闭、与社会实践相脱节的信息服务状态以适应社会实践发展的要求,建立信息化社会背景下,档案信息服务部门的服务机制的构建成为档案工作者必须面对的问题。
1档案信息服务的界定
1.1档案信息服务的含义从广义上讲,档案信息服务指的是档案信息机构整个的业务工作,即所有为了促进档案信息流通,加快档案信息传播,提高档案信息利用率,便于利用者获取档案信息所进行的各项活动。狭义上讲,是指档案馆(室)工作人员根据利用者的档案信息需求,组织利用者获取和利用档案信息的工作。本文研究的档案信息服务从狭义理解,是档案部门为了最大限度的发挥档案信息的社会效益、经济效益,在服务理念支配下,通过健全的制度、合理的程序,特定机构而将档案信息通过各种方式提供给利用者利用,并为社会大众创造良好的档案信息利用氛围、环境,以发挥档案作为人类活动记录的作用,提高社会整体的档案信息服务水平,并通过档案信息服务工作的成功开展带动档案工作其他环节的发展,以提高档案事业的社会地位。
1.2档案信息服务系统构成要素档案信息服务系统由档案信息服务对象——利用者、档案信息服务人员——档案工作者、档案信息服务设施、档案信息服务方法、档案信息服务资源构成。具体的,利用者是档案信息服务的客体,是档案信息服务存在的原动力;档案工作者是档案信息服务的主体,包括相关的业务人员与服务人员;档案信息服务设施是档案信息服务工作的物质条件;服务方法与信息资源分别是档案信息服务实现的前提与工作对象。这些要素相互依存,共同构成了档案信息服务系统。档案信息服务系统是档案信息服务模式运行的先决条件,它与档案信息服务模式共同构成档案信息服务工作的基本框架。此外,从档案工作系统本身来看,档案信息服务系统还要受到档案鉴定、检索、档案信息开发及公开等诸多环节的影响。
2信息化社会档案信息服务机制的组织保障——服务机构的变革
信息化社会下,改变传统封闭式、分散型的运行机制,建立起开放式的、协作型的运行机制非常必要。我国传统档案信息服务模式是用户直接面对档案信息服务部门(如图1),这种服务机构垄断的状况随着政府体制创新的推进,转化为新型服务模式(如图2):可见,传统档案信息服务模式由档案信息服务机构垄断着档案信息及其供给的情况,使行政与服务效率低下、资源浪费的问题突出。而新型服务模式出现了中间环节,利于改进档案信息服务质量,提高档案机构运作效率,同时也为档案信息服务机构同其他部门、中介或企业等合作带来了可能。一方面,档案信息服务机构与各类信息服务部门合作,可以通过建立网络信息中心实现。档案机构与各类信息服务部门的合作基础是基于网络环境。钱学森的《论系统工程》中指出:“从系统工程的技术角度来看,情报资料、图书、文献和档案都是一种信息,系统工程的目的是信息存储,信息的检索、提取、传输和显示。”网络环境下,档案机构同各类信息部门一样,成为社会信息系统的一个节点和信息资源的集散地。
改变传统封闭式、分散型的运行机制,建立起开放式的、协作型的运行机制。可在国家档案行政管理部门内建立一个全国档案信息资源开发的规划协调小组,负责全国档案信息资源开发项目的调研和立项工作,制定有关的规章制度。通过公开招标的方式,择优确定项目负责单位和负责人。由负责单位组织有关档案馆实施项目内容,并开展服务。开发资金的来源,除向国家中请专项基金外,还可以吸引一些私人、社会团体等的捐赠。形成档案信息服务的经济实体,以保证档案事业发展与档案信息服务有充足资金。
3信息化社会档案信息服务部门的服务机制构建
档案信息服务机制是存在于档案信息服务系统正常运行的内在各部分之间的必然联系和规律。对档案信息服务机制的构建,可以在实践中减少消耗、取得更高效益。同时,应该看到,服务机制也是档案信息服务部门把档案信息资源同社会需求、社会发展有机结合的桥梁和纽带。档案信息部门服务机制的构建应该从以下三方面进行:
3.1引入竞争机制,提高信息资源利用的效率我国传统档案信息服务工作是由政府出资,是一种社会资金的再分配形式。按理说,档案部门完全可以利用这笔投资以更好地为社会服务,但是,由于档案部门并不直接对这笔投资自负盈亏,这部分资金的投资效果如何,到底是取得正效益还是负效益,都是由社会来共同承担,因此,投资的目的并非为了让档案部门去创收赢利,向国家上缴利润,而是要让它利用这些投资更好地开发档案信息资源,发挥档案部门的社会效益。但是,应该看到,这种方式会抑制信息增值服务市场的竞争,形成政府信息资源的垄断性经营,而减少竞争必然带来信息资源建设的低速度和应用的低效率,信息资源利用的低效率必然导致政府信息服务的低水平。
因此,为了克服信息服务投资主体单一、服务方式单一、服务效益不高的弊端,满足社会信息需求的全面性与多样性,需要政府把市场机制引入档案信息服务部门中,充分利用市场竞争所具有的积极性与活力,通过各类档案信息服务部门的相互竞争和对信息内容的创造性经营,提升信息服务的质量和效益。同时,政府要通过立法、质量评估等措施加大对信息服务市场的宏观监管力度,确保信息服务竞争的有序性和规范性。
此外,档案信息服务机构内部引入竞争机制,还利于调动档案人员积极性与创造性。要建立健全科学的管理体制和激励机制,关键是调动人的积极性与创造性,使档案服务岗位没有闲、懒人员;多劳多得,通过经济杠杆启动竞争机制。市场经济条件下,竞争无处不在,只有通过竞争档案工作者才能发挥最大积极性、创造性与主动性。档案信息服务工作者要勇于竞争、参与竞争,既要有开拓创新的能力又要有独当一面的魄力,更要有多种技能,通过竞争使档案队伍年轻化、知识化、专业化,这样才能使档案信息服务机构充满活力。因此,竞争机制的引入可以为档案信息服务部门带来了一系列变化尤其是形成了市场检验、优胜劣汰的局面,进而促使档案信息供给的效率与服务水平提高。
3.2建立反馈机制,保持档案信息服务工作快速发展反馈就是根据过去的活动情况去调整未来的行为。如果没有反馈,那就无法了解档案管理工作的实际状况与目标之间的不一致或不协调,也就不能修正和调整档案管理工作中不科学、不合理的行为和现象。档案作为一种信息资源,不仅要开发利用,而且要注意掌握利用效益信息的反馈,这样才能取得档案信息资源开发利用的最佳效果,进而探索出档案信息服务的规律。档案信息服务反馈系统,按照范围可分档案服务工作的外部信息反馈与档案服务工作的内部信息反馈两部分。前者是一个开放系统,需要档案工作者主动去收集,以便针对客观现实而采取相应的对策;后者是一个封闭系统,是指档案信息服务系统内,各组成要素或环节的不协调应及时反映给档案利用部门,以便其及时调节达到新的平衡。反馈系统之中还可以采用档案信息服务测评方式,建立测评指标体系、选择测评的时间与空间以及测评结果等。
建立反馈机制应注意以下几点:①保证需要决策的各个环节或组成部分得到最必需的、切实可靠的信息资料;②信息的收集、处理、贮存和传递,都应密切结合档案服务活动和组织机构建制进行;③在档案信息服务工作系统中,应考虑到各类档案服务工作系统的不同规模以及服务活动的组织和管理水平的差别等;④在档案服务工作系统内部也要从实际出发,先从问题较多、影响力较大的方面着手,先抓点,取得实效,总结出适合自己特点的系统设置模式和方法后,再逐步扩大服务反馈系统的范围。
具体的档案反馈机制可以应该做到以下几点:①有必要成立档案利用信息反馈协作小组。改协作小组首先要以档案馆馆长为核心,其成员可以由档案馆各个部门负责人、档案法规宣传部门有关人员、利用档案较为频繁的相关单位负责人等组成。②有必要定期地召开档案利用的信息反馈工作会议。在档案利用中出现的问题和用户反映的意见,它们成为档案利用工作中的薄弱环节,档案利用会议的定期组织,可以集中研讨利用工作中出现的问题,以及时化解矛盾,纠正工作中的失误,更好地为用户服务。③有必要设立档案信息反馈员专报制度。档案馆可与社会有关部门建立联系,聘任该部门档案人员或办公室人员为信息反馈员,直接倾听和搜集社会对档案部门的呼声和要求,对于及时反馈信息并为档案部门提出合理化建议的工作人员给予一定的物质或精神奖励。
反馈机制可以便于档案信息服务部门提供回应性服务。传统的档案信息服务抹杀了公众的积极性、主动性和创造性,无效率地提供档案信息,对利用者提出的要求不敏感。造成档案信息供给的高成本、低效率和浪费。而回应性服务,通过用户参与管理、征求他们对服务的意见和要求,并测量其满意程度,可以满足利用者的不同需求。
3.3运用转化机制,实现档案信息的潜在价值转化机制是指信息服务经过消费的转化或增值的过程,它是信息服务市场特有的运行机制。转化机制对于信息服务市场的作用在于:充分的转化能促进生产的发展,促成更新更高层次的信息服务需求,并促进信息服务市场的深化和发展。
档案信息服务部门有必要建立起多形式、多渠道的信息服务转化方式:为公众提供指导和帮助,以提高公众对档案信息的认识,刺激其信息消费能力,便于档案信息服务的价值充分实现;对于某些科技信息成果,档案信息服务人员可以深入到用户有关科研、管理和生产决策等课题的攻关和研究环节中去,根据课题需要进行档案信息的专供服务,直到课题完成或某个关键性问题得以解决。转化机制只有包含了服务人员与用户更多的交流与沟通,才能更圆满地完成服务。为了切实保障转化机制的规范运转,档案信息服务部门对“售后服务”问题应该加以重视,以便使供需双方在信息服务的转化过程中各负其责、有序操作,从而吸引更多利用者关注档案信息。
终上所述,我们应该看到的是,档案信息服务体系的构建除了需要信息服务部门之外,还需要理念、制度、方法等各方面的密切配合,这样档案信息服务系统才会更有生机和有效。
参考文献:
[1]薛四新,彭荣.陈永生.档案信息化应用系统建设[M].北京:机械工业出版社.2006.
[2]薛四新,杨艳,黄存勋.现代档案管理基础[M].北京:机械工业出版社.2007.
[3]白桦.提高档案服务创新水平[J].黑龙江档案.2005.(06).
信息安全服务 篇7
信息系统安全直接关系到国家的利益和企业的生存发展。近来年, 从中央到地方各级政府对信息系统安全问题都十分重视, 陆续出台了一系列的政策、意见、标准, 并要求各单位必须定期开展对信息系统安全的测评工作。实际上, 如果被测系统在前期规划设计和建设阶段未完全按照相关标准来实施, 且未充分考虑重点测评内容的建设等问题, 系统一旦投入使用后会出现大量的安全隐患, 这些都是单靠定期的信息系统安全测评难以解决的。
信息安全测评与其他信息安全服务 (例如安全咨询、体系规划、安全管理、应急响应等) 逐渐融为一体, 构成了信息系统生命周期的一体化综合保障体系[1]。受该思想启发, 结合安全测评理论和实际测评工作经验, 本文对信息系统安全测评服务的管理框架、建设内容及方法等进行了探讨, 对安全测评服务各阶段的重点建设指标进行了设计。
1 相关工作
目前, 信息安全测评的研究和开发集中在标准规范建设、静态脆弱性扫描和动态的态势评估等方面。
在安全测评标准建设方面, 国外的典型代表如:可信计算机系统评估准则 (TCSEC) 、信息技术安全性评估通用准则 (CC) 、信息安全管理体系规范BS7799 (ISO/IEC17799) , 以及美国国家安全局推出的《信息保障技术框架》 (IATF) 等。国内的主要标准如《计算机信息系统安全保护等级划分准则》 (GB17859-1999) 、GB/T 20984-2007《信息安全技术信息安全风险评估规范》[2]等。
静态扫描技术主要基于主动防御思想, 充分挖掘信息系统各层面的安全漏洞, 主要包括脆弱性扫描技术和定量定性的安全评估算法等。在脆弱性扫描技术和工具方面, 典型的代表工具如COPS、ISS、OVAL Scanner、Nmap、Nessus、PVS等。在定量定性的安全评估算法方面, 借助的主要数学工具有贝叶斯网络、模糊数学、隐马尔可夫过程、攻击图、故障树、Perti网、层次分析法等[3]。
动态态势评估是对信息系统安全运行状况的宏观反映。研究内容包括态势要素收集、态势评估和态势预测等。根据态势要素收集内容的不同, 可分为脆弱性态势评估、威胁性态势评估和攻击性态势评估等。态势评估的研究热点主要集中在海量数据融合和挖掘等方面。而网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机等方法[4]。
此外, 在信息系统测评技术和工具研发方面, 研究的另一热点集中在如何将信息安全测评标准所规定的工作流程和测评方法进行规范化、自动化操作上, 典型代表如基于专家系统的测评工具COBRA、@RISK、BDSS等[5]。
上述各种信息安全测评研究热点主要集中在探讨安全测评技术的某一方面上, 而信息系统安全测评的智能化、综合化和服务一体化的发展趋势要求将信息系统安全测评融入到整个信息系统安全建设的全过程中, 本文以上述测评理论和技术为指导, 结合实际测评工作经验, 提出信息系统安全测评服务管理框架和方法。
2 信息系统安全测评服务管理框架
一般来说, 信息系统建设包含策略、管理、技术、工程等4大要素。这些要素贯穿于信息系统规划设计、建设实施、运行维护等三个阶段。要保障信息系统安全测评效果, 必须在信息系统建设的整个生命周期中, 从信息系统安全测评的重点检查内容出发, 对信息系统安全建设提供策略建议、技术培训以及重点内容建设的监督等服务。
2.1 信息系统安全测评服务阶段
如图1所示, 信息系统安全测评服务管理流程应当贯穿于信息系统建设的整个生命周期, 从源头保障信息安全测评的实际效果。
(1) 信息系统规划设计阶段
信息系统规划设计初期, 需要为系统建设单位提供业务咨询、系统建设需求分析等服务。与一般的信息系统规划方法不同, 上述规划设计的咨询、需求和方案制定着重于信息安全角度, 特别是重点考虑基于标准的重点测评内容和测评要点的建设方案设计。
(2) 信息系统建设实施阶段
信息系统在前期经过设计规划后, 在具体的建设实施过程中, 需要有类似测评中心等第三方机构及时提供建设指导及工程监理等服务, 确保信息系统的安全建设, 特别是重点测评对象的建设质量。
(3) 信息系统运行维护阶段
信息系统建成投入使用后, 第三方单位应根据用户单位提交的测评申请, 定期到用户单位对系统安全性进行测评, 并将测评结果及时反馈给用户单位。此外, 还要根据对同一单位不同时间的多期测评结果汇总、提取, 分析该单位系统运行的安全态势, 根据态势报告及时告知用户单位调整信息系统安全防护方法和措施。
2.2 信息系统安全测评服务内容
在上述三个阶段中, 策略制定、培训指导、态势分析和系统加固指导是主要的服务内容。
(1) 策略服务
在上述信息系统建设的三大阶段中, 第三方提供的策略服务贯穿始终, 策略服务是整个信息系统安全测评服务的核心。在系统规划设计阶段, 需要根据系统的实际运行环境, 定制各种安全策略;在系统建设实施阶段, 根据实际建设情况, 进一步完善各种安全策略;在系统的运行维护阶段, 根据定期测评结果及时对系统进行策略检查和调整。策略的设计根据系统的实际运行环境及重要程度等实际要求, 分为技术和管理两大类进行定制。
(2) 培训服务
同策略服务一样, 围绕培训展开的信息系统安全测评服务也贯穿于系统生命周期的各个阶段, 是测评服务得以成功实施的重要保障。培训服务对有效执行各种安全策略起到非常重要的作用, 主要包括安全教育培训、管理培训和技术培训等。
(3) 监督指导服务
信息系统安全测评服务的另一个核心服务就是第三方机构所提供的监督指导作用。特别是在系统建设实施过程和运行维护阶段, 测评中心应提供运行测评、结果反馈、态势分析等一系列监督指导服务。
3 信息系统安全测评服务指标设计
要实现上述测评服务, 并保证服务质量, 在信息安全测评服务管理流程的各阶段均要设计相应的指标。
3.1 工程实施监理测评服务管理指标
工程实施监理指标主要包括物理环境建设指标、业务安全建设指标和网络安全建设指标。
其中物理环境建设指标主要参照标准中对物理安全的要求设计。
业务安全测评服务的一级指标项主要包括:业务安全体系架构、应用系统安全、业务数据存储安全、定制应用程序源代码安全审查等项目。一级指标项下根据实际工作需求又细分二级指标和三级指标, 限于篇幅, 本文不再展开介绍。
网络安全建设测评服务的一级指标项包括:系统网络结构设计、外网访问控制、内网访问控制、系统边界安全防护、日志及安全审计、身份认证、恶意代码防护、备份和应急响应等内容。
3.2 运行维护测评指标
信息系统运行维护过程的测评指标主要按照系统的用户角色划分来设定不同的测评服务指标。以下分为系统管理员、系统安全员、系统审计员和普通终端用户等四类用户来设计运维指标[6]。
(1) 普通终端用户一级评估指标主要包括硬件设备使用情况、身份鉴别、访问控制、日志管理、信息备份、计算机病毒与恶意代码防护、联网情况、移动介质使用情况和操作系统信息等八大指标。为了便于操作, 这些指标又根据国家标准进一步的进行划分。比如说身份鉴别就包括身份鉴别方式、口令构成方式、口令存储方式、口令更换周期、尝试次数、口令保护措施、口令传输方式等若干个二级指标。
(2) 系统管理员主要负责单位软硬件安装、策略配置及日常管理维护。其一级评估指标体系设计被分为物理环境和网络平台两大类。以网络平台为例, 又分为系统布线、布线接点、网络拓扑、IP地址分配、硬件、软件等内容。与普通终端用户指标体系设计类似, 考虑到实际评估的可操作性, 上述指标又被细分若干二级指标。
(3) 系统审计员主要负责系统的日志审查和安全审计工作。其指标体系设计又分为安全审计系统基本情况、安全审计情况、日志审查情况三类一级指标。
(4) 系统安全员主要负责网络安全设备软硬件策略配置及日常管理维护。其指标体系设计又分为密级管理、系统建设集成资质、物理隔离情况、安全保密产品、安全员划分等一级指标。
3.3 态势分析指标
根据前期系统运行维护过程中的安全测评结果, 进行数据融合和挖掘。如表2所示, 其态势评估一级指标主要包括业务系统态势和网络系统态势。其中业务系统态势的二级指标包括业务系统重要度和业务系统安全度, 网络系统态势的二级指标包括主机 (网络设备) 重要度;主机 (网络设备) 安全度等。
4 结束语
信息系统安全测评智能化、综合化和服务一体化的发展趋势要求对信息系统安全测评工作的内容和方法提出了更高的要求。本文提出的信息安全测评服务管理建设的思想就是从这个角度出发, 按照保障信息系统建设整个生命周期各阶段安全的思路, 提供科学的、全方位的、更有效的测评服务。
参考文献
[1]冯登国.信息安全测评理论与技术专辑前言[J].计算机学报.
[2]冯登国, 张阳, 张玉清.信息安全风险评估综述[J].通信学报, 2004, 25 (7) :10-18.
[3]基于层次模型的局域网安全评估算法[C].第20届全国信息保密学术会议论文集.IS2010, 2010:76-79.
[4]Bass t, Arbor a.Multisensor data fusion for next generation distributed intrusion detection system[C].Proceeding of Iris national symposium on sensor and data fusion.1999:24-27.
[5]系统化的信息安全评估方法[J].计算机科学, 2011, 38 (9) :45-49.
信息安全服务 篇8
1 大数据时代“云服务”的特征
在信息发达的现代社会, “云服务”带给我们非常好的数据存储平台。我们可以将自己的信息放到云端, 以便于随时随地的应用。将云服务的主要特征划分为以下几个方面:一, 方便快捷。“云服务”的普及, 使得使用者具有了一个内存大且不易丢失的存储工具, 人们只要将数据信息传到上面, 就可以放心的查看, 使用, 大大的节省了时间, 给人们的生活带来便捷。二, 高性能, 高可靠性。“云服务”的各个单元相互独立, 不会互相影响, 它们有各自的软件及硬件资源, 提供了高性能的服务。同时, 在云端, 提供各种数据的存储以及备份, 还可以在工作失误的情况下, 提供恢复的服务, 大大的提高了使用的可靠性。三, 隐私问题的保护和安全性有待提高。每件事情都有两面性, “云服务”也有。如何保证用户的数据不被非法的查看、盗窃、修改, 是现在技术方面要着重考虑的问题。
2“云服务”信息安全隐患产生原因
2.1 前期开发阶段安全性不高
软件在开发过程中, 设计者没有考虑到来自互联网方面的各种危害, 没有对软件本身的安全度加固。还有就是监管不到位, 使用者没有注意到软件的防护与定期监管, 就会使得各种恶意软件有了入侵的机会。
2.2 使用者安全意识淡薄
使用者在注册登录的时候设置的密码过于简单, 大大的降低了安全度。此外, 没有做好安全加固和内部访问设限等都是潜在的安全隐患。
2.3 黑客对信息的窃取
因为“云服务”的大范围使用, 用户会将很多重要信息传到云端, 这样就吸引大部分的竞争者。他们想要窃取并修改对方的信息, 以造成对方的巨大损失, 这样就产生了很多侵入别人信息内部的黑客。黑客是“云服务”信息安全的重大隐患。
2.4 相关使用法律不规范
“云服务”的相关法律法规存在不规范之处, 其对于使用者缺乏有效的监管与约束, 从而造成了大量的使用者肆意妄为的现象频频发生。
3 大数据时代“云服务”信息安全保护的重要性
因为“云服务”使用的范围广泛, 大到国家, 军队的相关信息, 小到企业, 个人的相关信息都与“云服务”密切相关。一个信息的泄露有可能影响到全局的发展, 所以提高安全性是必要的。
信息是一种资源, 而信息安全主要包括信息的完整性、可用性、保密性和可靠性。完整性是指确保信息完整, 不能丢失。当用户将数据传输到云端, 要确保数据永久存在, 这样才可以让广大的使用者产生信任, 吸引更多的使用者。可用性是指数据传输成功后, 当用户再次使用, 应确保数据仍旧可以被使用。保密性是指信息不能被泄露和修改。最后一个可靠性是指这个平台无论是本身存储方面, 还是后期的管理方面, 都要确保万无一失。这样才能使“云服务”更加广泛、放心地被使用。
4“云服务”信息安全保护措施
4.1 加强技术保护
技术能力的提高是信息安全保护的直接方式。在网络普及的现代, 侵权者的手段在不断的提高, 过去保护的方法已经被破解, 为了信息的安全存储, 技术方面的提高迫在眉睫。在各方面迅速发展的情况下, 研究新型的技术, 培养高技术人才是网络信息安全保护的重大任务。
4.2 加强监管能力
这里的监管包括软件自身的监管, 行政监管和本身使用规范的监管三方面。软件自身的监管就是要增强软件自身防恶意侵袭和对软件时刻监管的能力, 只有这个能力增强了, 软件自身的可靠性也就大大的提高了。行政监管就是网络安全部门要制定相关的制度, 必须明确使用者权限以及越权的相关惩罚。本身使用的监管就是使用者本身要有自我约束能力。
4.3 增强加密系统
设置加密系统, 首先要设定用户权限。具体表现为;为不同用户设置不同的使用权限, 当非本人操作时, 就会发出报警和自动加锁。其次要对数据进行加密, 当用户申请访问数据时, 就会有相应的解密, 如果解密成功, 就可以访问。反之, 就会发出报警。当然, 针对时间长久遗忘了相关加密信息的使用者, 也应该有相关的验证, 然后重新获取。
4.4 增加相关保护法则
近年来, 国家越来越致力于大数据的应用, 那么越来越多的重要信息被传入到“云服务”。这些数据都是至关重要的, 应该添加重要的法则加以约束。
5 结语
大数据和“云服务”的时代已经到来, 各行各业得到了迅速的发展, 这给我们带来众多益处的同时也带来了更多的机遇和挑战。我们应该积极的面对, 不断地发展, 提高使用的安全性, 让使用者更加放心的使用, 让时代快速发展。
参考文献
信息安全服务 篇9
SOA是工业界的一个热点主题。它是一个策略、实践和框架的集合, 能够为提供跨域注册、动态发现和自动机制提供内建的基础设施。并且提供的服务封装, 通过消息协议提供可由双方共同操作的服务。SOA也为服务质量控制和资源管理及其它的监控服务和异常处理机制准备了基础设施。作为一个agility-pursued体系结构, SOA将企业逻辑从技术实现分离, 从而使围绕SOA体系结构建立的应用能够满足企业和技术领域持续变化的需求。它也将有益于可复用性和系统集成, 以及可扩展性、分布性和跨域注册。
1 问题发现
我们在SOA安全体系结构上的研究发现了以下几个问题。
(1) 缺少企业信息安全集成体系结构, 引入了不同的、相互独立的信息安全系统和解决方案, 这会导致整个系统的不兼容性, 导致无法达到期望的风险管理控制。
(2) 由于在信息风险管理系统的信息采集还处于半自动化阶段, 人工的信息采集过程会导致人为造成的错误。
(3) ISO/IEC 27002系统为企业信息安全管理提供非常好的方法和指南, 但由于缺乏合适的工具进行管理, 无法很好解决企业信息安全。
(4) 我们需要注意SOA自身的可靠性和安全性问题。
2 信息安全体系结构的设计
根据上述问题, 提出本文的基于SOA的信息安全体系的设计。
通过研究, 我们提出了一个面向服务架构的企业信息安全体系结构, 它是底层基于数据仓库/数据集市技术, 并以安全服务总线作为hub, 为企业信息安全活动提供集成信息安全的管理和有效的控制, 使用BPM (企业过程管理) 、规则引擎 (Rule Engine, RE) 和, 企业智能 (Business Intelligence, BI) 技术。它有益于企业公司达到需要的信息安全管理级别。并且建立一个PDCA (Plan-Do-Check-Act) 适配器, 以确保信息安全管理和风险控制活动, 能够进行自我优化。
2.1 体系结构的结构
参考七层OSI设计, 我们设计了五层的智能企业信息安全体系结构。自下向上为安全数据库层、安全应用层、安全服务总线、集成和智能层、信息安全框架。
(图1) 说明了智能企业信息安全体系结构的结构。
(1) 安全数据层。体系结构的底层是整个体系结构的基础层。这是因为安全数据易于被其它应用和服务使用。这一层的数据被分为两个部分:操作数据和分析数据。
(2) 安全应用层。应用层包括所有的信息安全系统, 如防火墙、入侵防御系统、反病毒系统, 以及被防护的设备, 如网络设备、服务器和桌面环境等。它也包括这些系统上的各种各样的操作系统。
(3) 安全服务总线。是基于SOA的信息安全体系结构的中枢。我们在这一层定义SOA服务总线的结构和需要的各种各样的信息安全服务。在面向服务的信息安全体系结构中, 我们能够将当前和未来的安全需求定义为安全服务, 但这些服务的实现是隐藏的。
(4) 集成&智能层。体系结构中数据、过程和应用都是在这一层进行处理实现的解决一个企业各种业务问题, 满足快速变化的环境。集成层具有“应用之间”和“过程之间”进行通信的能力, 通过适配器, 它还能够与其他企业过程、服务提供者或数据提供者通信。
(5) 信息安全辅助设计。这是信息安全对外的接口, 主要是由匀衡器、关键风险指示仪以及监控接口。
企业智能模型提供各种各样的服务例如报告、查询、OLAP、数据挖掘和多维分析。规则引擎, 作为工作流的一部分, 可以结合到BPM模型。因为有了规则引擎, 我们能够更加有效地执行信息安全管理和风险控制。PDCA适配器是一个特殊的工具, 它利用人工智能能够帮助公司达到信息安全管理中持续提高和自我优化的目标。
2.2 特点和优势
本文提出的企业信息安全体系结构具有以下特点。
(1) 集成。它也能够将信息安全管理和风险控制联合起来作为一个集成的框架。
(2) 可复用。体系结构是比较独立的, 适合于企业和小型组织。服务的封装使得可复用, 与其他服务联合使用。
(3) 面向服务的体系结构。SOA体系机构的采用提供了服务的独立性、自我管理和自我弹性。
(4) 集成的数据环境。集成的数据结构使之适合于各种数据库进行对接。
(5) 企业智能。这个体系结构将企业智能应用到信息安全管理, 信息安全管理主要使用了数据挖掘和模式识别技术。这可以大大减少由于人工误操作引起的损失, 增强信息安全管理和风险控制操作。
(6) 开放的体系结构。体系结构开放设计, 以满足整个企业的安全需求;面向服务的特征使得体系结构式开放的, 允许多个接口与外部应用通信。
3 结论
与传统的信息安全体系结构设计相比, 本文提出的体系结构设计具有几个优势, 包括开放、集成、可复用、面向服务、集成数据平台和商业智能。信息安全管理人员可以自由地执行重要的任务, 如风险分析等。最后, 这个体系结构式我们建立集成和智能企业信息安全体系结构的开端, 以后会有更多的、更好的产品出现。
参考文献
[1]魏东, 陈晓江, 房鼎益, 等.基于SO A体系结构的软件开发方法研究[J].微电子学与计算机, 2005, 22 (6) :73-76.
[2]叶宇风.基于SOA的企业应用集成研究[J].微电子学与计算机, 2006, 23 (5) :211-213.
[3]雷冬艳.SOA环境下的数字图书馆信息安全研究[J].科教文汇, 2010 (33) :189-190.
[4]李益文.基于SOA的商业系统的信息安全技术探讨[J].电脑编程技巧与维护, 20 10 (20) :114-115, 154.
[5]霍林.基于SOA架构的信息管理系统的设计实现[D].华中科技大学, 2006.
信息安全服务 篇10
网上银行能够为用户带来许多快捷便利的服务,为银行节省巨大的成本费用和带来更多利润增长点,于是各大银行都积极拓展网上银行业务,工行、建行、农行、中行、招行已成为国内网上银行交易额排名居前的银行[1,2]。为了消除客户对网银安全方面的担忧,网银都纷纷加大了技术力量的投入,推出了各种信息安全产品。易观国际发布的《中国网上银行用户研究报告2009》显示,工商银行的U盾、电子银行口令卡,用户覆盖率为53.3%,排名第一,建设银行的网银盾,用户覆盖率为39%,招商银行的免驱动“优key”,用户覆盖率为30.2%,农业银行的K宝,用户覆盖率为21.8%,中国银行的免费动态口令牌,用户覆盖率为14.1%[3],在保障网银客户信息、资金的安全方面取得了显著成效。
然而,我们对网上银行客户论坛数据的跟踪调查结果显示[4],客户在使用网银及其信息安全产品的过程中,仍然存在很多问题,这主要是因为网银提供的信息安全产品以及相关的服务与顾客所期望的服务存在一定的差距,即顾客感知的服务质量差距[5]。本文试图从服务营销理论中的服务质量差距模型出发,分析出网上银行信息安全产品的服务质量差距的种种具体表现,识别出影响网银信息安全产品服务质量差距的主要因素,分析服务质量差距产生的主要原因,为研究服务质量差距弥合策略提供有价值的依据。
二、服务质量差距模型概述
服务质量差距分析模型是由美国的服务管理研究组合PZB(A.Parasuraman,Zeithaml,V.anL.Berry)[6]于1985年在长期实践基础上提出来的,如图1所示。
该模型将服务质量差距分为以下几个层次:
顾客期望与企业感知的差距,指企业没有能够准确地感知到顾客对服务的期望。
企业感知与服务标准的差距,指企业没有能够准确地设计出服务标准。
服务标准与服务传递间的差距,指企业的服务传递没能达到其所制定的服务标准。
服务传递与外部沟通间的差距,指企业提供的服务与对外沟通中所做的承诺不一致。
顾客期望与顾客感知间的差距,指顾客所感知到的服务质量与其预期的不一致。
该模型认为:前面4个服务质量差距是供应商差距,属于企业内部行为,由于一个或多个供应商差距的存在,导致了顾客感知的服务差距,虽然我们关注的核心是顾客差距,但是弥合顾客差距的关键在于弥合所有的供应商差距,并应使其处于持续弥合状态[7]。服务质量差距模型层次清晰,简明易懂,是发现顾客与企业对服务质量的感知差距的一种直观而有效的工具,为企业诊断影响服务质量的因素提供了一条实用的路径[8]。
三、网上银行信息安全产品的服务质量差距分析
从服务质量差距分析模型出发,将面向顾客的外部沟通归纳到服务传递差距中,结合现今各大银行提供的网上银行信息安全产品及其相关服务,并根据对各大网银的网上论坛以及对传统网点顾客的问卷调查,我们可以清晰地分析出网上银行信息安全产品的服务质量差距的具体表现及其产生的原因,归纳出影响服务质量差距的各种主要因素,为网银制定信息安全产品的服务质量差距弥合策略提供依据。
(一)网银信息安全产品的顾客期望与银行感知的差距
当银行推出网上银行及其信息安全产品与相关服务的时候,由于互联网信息技术是一个全新的领域,银行常常会根据以往的经验来认知顾客的需求,而顾客则是通过售前宣传册、广告、对互联网服务的一些体验经历、相互交流等途径来期望这种全新产品及其相关服务,银行对顾客需求的认知和顾客的期望之间通常会产生一定的差距,这些具体表现如表1所示。
从表1我们可以看到,网上银行最为关注的是安全性,主观地认为只要安全性提高了,顾客就会满意,而顾客除了关注安全性外,还会更加关注价格、方便性、易用性以及出现问题后网银的解决速度,其对产品与服务的期望贯穿了购买、使用的全过程。由于我国银行业一直以来都是垄断行业,银行的服务意识一直比较薄弱,对顾客需求的挖掘不够重视;而且,网上银行是一个以互联网信息技术为基础的新生事物,近几年发展极为迅猛,网上银行和传统银行网点的管理层与员工对网银及其信息安全产品的认识也都极为有限,传统银行网点通常会认为其只需负责为顾客办理开通网上银行业务,销售网上银行信息安全产品,而与网银及其信息安全产品的相关服务都属于网上银行部门的责任范畴,这些都是导致银行认知与顾客期望之间产生差距的主要原因。
(二)网银对顾客期望的认知与服务设计的差距
一旦识别出顾客对网银信息安全产品及其服务的期望,网银管理者面临的下一个挑战就是如何准确地把对顾客期望的认知转化为具体的服务。网银管理者对顾客期望的认知和他们基于这些认知所设计的服务标准之间,通常也会产生一定的差距,具体表现如表2所示。
基于网银管理层对顾客期望的认知和服务设计之间所产生的差距,主要体现在没有考虑不同信息技术知识结构、不同收入层次的顾客对网银信息安全产品及其服务的需求,如大部分信息化程度较低的顾客仍然需要面对面的指导,对于收入较低的顾客,60元~100元的价格将是一个很高的门槛,因而产品的丰富多样性不够;再有,过分依赖网上的自助操作指南,与传统网点的沟通、协调、分工不够明确,对网点员工对网银的宣传、传播角色的服务设计不够;此外,没有把握好安全性与便捷性之间的平衡,过分强调了安全性,忽视了方便性、易用性、便捷性的服务设计,对新顾客的促销活动较多,而对老顾客的优惠活动的设计却很少,对特殊问题的服务模式设计不足。
(三)网银信息安全产品的服务设计与服务传递的差距
正确的服务设计和标准确立以后,网银还必须确保系统、流程、人员全部到位,才能保证服务传递与正确的服务设计和标准相匹配,否则就会导致网银员工的实际服务绩效与服务设计标准之间产生传递差距。网银信息安全产品的服务传递与服务设计之间的传递差距的具体表现如表3所示。
网银信息安全产品的服务传递差距主要表现在服务传递过程中面向顾客的外部沟通不足,没有充分利用传统网点及其网银体验中心进行顾客教育与培训。因为网上的自助服务指南只能满足信息化程度较高的顾客,而对于大部分信息化程度较低的顾客还需要传统网点面对面的指导与培训,对网银信息安全产品这样一个全新的服务面向顾客的服务承诺也有欠缺,使得顾客不能完全放心地使用网银。其次,银行对传统网点员工信息化程度的提升、培训、约束和激励措施不足,传统网点员工的信息化程度普遍比较低,不能有效、及时地解答顾客在安装、使用、更新网银信息安全产品时所遇到的问题,对顾客的主动宣传力度也不够。另外,对老顾客的关注与优惠不足,U盾驱动程序版本过多,升级频率过高,安全控件安装和更新的提示页面会对顾客造成一定的心理负担,对特殊问题的解答不够及时等方面也存在一些服务传递差距。
(四)网银信息安全产品的顾客期望与顾客感知差距
享受任何产品及其服务的顾客都会自觉或不自觉地把自己所感知的服务质量与其所期望的服务质量进行对比,顾客所期望的服务和感知到的服务不一致时就会导致顾客感知的服务质量差距。网银对顾客期望的认知,信息安全产品设计的服务标准与实际传递的服务,最终都将导致顾客对网银信息安全产品服务的期望与其对服务的感知出现差距,具体表现如表4所示。
在使用网银及其信息安全产品之前,顾客对网银信息安全产品的期望来自于网银的宣传册、广告以及各种传播途径,他们期望能享受免费的或低价的服务,除了安全性要有保障外,使用起来还应非常方便。在使用过网银及其信息安全产品之后,他们对于网银信息安全产品的期望更为深入和细化,对于网银信息安全产品及服务的期望集中在使用过程的各个环节,但仍然可以归结为使用的便捷性或在保证安全性上的便捷性。最后是对售后服务过程中疑难问题解答的及时性,希望有形展示以及面对面的指导,尽管网上有各个栏目、各种指南,顾客还是希望传统网点能够提供专业的、技术的、面对面的指导。
四、结束语
网上银行信息安全产品在保障网银用户信息和资金安全方面发挥着巨大的作用,由于网上银行及其信息安全产品的功能日趋完善,所以网上银行客户获取的竞争在很大程度上已经转化为网银及其信息安全产品的服务质量的竞争。通过将服务质量差距分析模型应用于网上银行信息安全产品及其服务质量差距识别中,我们从顾客期望与银行感知的差距,银行感知与服务标准设计的差距,服务设计与服务传递的差距,顾客感知与顾客期望的差距等几个方面,分析了导致网银信息安全产品服务质量差距的具体表现,识别出了影响网银信息安全产品服务质量差距的主要因素,如有网上银行部门与传统网点银行各部门之间的沟通协调不够,对传统网点员工信息化程度的培训与提升,服务绩效的考评与激励不够,没有能够设计出满足不同信息化水平、不同收入层次、不同个性的顾客需求的服务标准,没有充分利用传统网点与传统网点的网银体验中心,对顾客使用网银信息安全产品的全过程给予面对面的指导和疑难问题解答等,并分析了服务质量差距产生的主要原因,希望为今后提出相应的服务质量差距弥合策略提供有价值的依据。
摘要:网上银行业务的迅猛发展,为实体商业银行带来了巨大的成本节约和高额的利润增长。网上银行的客户竞争,在很大程度上已经转化为网银信息安全产品服务质量的竞争。网上银行信息安全产品的服务质量差距主要体现为:网银信息安全产品的顾客期望与银行感知的差距、网银对顾客期望的认知与服务设计的差距、网银信息安全产品的服务设计与服务传递的差距、网银信息安全产品的顾客期望与顾客感知的差距。分析这些差距可以为今后研究服务质量差距弥合策略提供依据。
关键词:网上银行,信息安全产品,服务质量,差距分析
参考文献
[1]中国互联网络信息中心.第26次中国互联网络发展状况统计报告[R].北京:中国互联网络信息中心,2010.
[2]王开宇.不惧金融危机,中国网银用户量逆市向上——CF-CA发布2009中国网上银行调查报告[J].信息安全与通信保密,2010,(1):36-37.
[3]艾瑞咨询集团.2009-2010年中国网上银行行业发展报告[EB/OL].http/:/report.iresearch.cn/Reports/Charge/1442.html,2010-09-02.
[4]佚名.工商银行网上银行论坛[EB/OL].https/:/service.icbc.com.cn/bbs/index.jsp,2011-09-30.
[5]许缦.营销组合视角下的服务质量差距分析[J].黑龙江对外经贸,2010,(7):96-98.
[6]A.Parasuraman,Valarie A.Zeithaml&Leonard L.Berry.A Conceptual Model of Service Quality and Its Implica-tions for Future Research[J].Journal of Marketing,1985,(49):41-50.
[7]泽丝曼尔.服务营销[M].张金成,等译.北京:机械工业出版社,20082:7-35.
舆情服务—图书馆信息服务新模式 篇11
关键词:輿情信息服务 缺陷 完善策略
中图分类号:G251 文献标识码:A 文章编号:1672-3791(2014)09(a)-0253-01
舆情信息工作是指信息服务部门按照上级领导的部署,建立起统一高效的搜集、整理、分析、报送社情民意的机制,全面反映社会舆情、网络舆论的总体态势,并提出一系列切实有效的对策建议,从而对领导部门的决策行为产生影响效应的过程或活动。近几年,舆情信息工作日益受到各级党委政府的高度重视,其服务大局、服务决策的作用得以充分发挥。
1 图书馆舆情信息服务的意义
中国共产党在十六大上重点强调了中央领导要高度重视相关舆情信息服务,在科学制定决策方面舆情所发挥的作用越来越凸显。舆情,狭义上指民众对国家管理者产生和持有的社会政治态度;广义上指民众的全部生活状况、社会环境和民众的主观意愿,即“社情民意”。
图书馆开展舆情信息服务,反映了时代的脉动、社会的变迁,是相关人员制定方针政策的依据。舆情信息服务所具有针对性、预见性、有效性与主动性,使得政府、企业等信息服务机构对它的依赖程度日益增大。作为极其重要的信息服务机构的图书馆,在现代社会,高效充分的利用图书馆的资源、人才等方面的优势,开展图书馆舆情信息服务,可以相应拓宽图书馆的服务领域,并增加图书馆提供的服务内容。
2 图书馆舆情信息服务存在的缺陷
当前,我国很多图书馆都已开始尝试开展舆情服务,且已经取得了显而易见的成效,但在其发展过程中,可以发现舆情信息服务工作中仍存在着许多需要提高与改进的缺陷。
2.1 传统的服务方式时效性差,周期性长
众所周知,信息具有很强的时效性,信息从发出到使用之间的时间越长,信息的价值含量就越低。就目前而言,以印刷型为图书馆主要舆情信息服务的产品依旧占据着当前的信息服务市场,传统的图书馆舆情信息服务的产品,主要通过邮寄等以“月”为周期的方式送到用户,真正能达到以“周”“日”为周期的少之又少,这就致使我们所提供的信息时效性差而且内容滞后。随着信息技术的不断更新,专业的舆情服务数据库为我们的工作提供了方便。例如:新华社的舆情在线。数据库的建立不仅周期性短,而且时效性强,能够提供即时应用和检索。
2.2 不重视网络舆情
我们如今处在信息大爆炸的时代,网络信息技术的飞速发展,使得网络逐渐成为主要的民意反应渠道,相比于传统的报刊书籍等,民众在网络环境下通过博客、QQ、论坛和微博帐号等移动通讯设备发表评论或意见。因此,应将图书馆舆情信息服务的重点放在网络舆情,通过网络舆情可以更加准确真实地加深对社会民众的动态了解,为用户提供更好的舆情服务。
2.3 图书馆舆情信息服务的互动少
图书馆当前单向的舆情模式,使得用户只能被动接受图书馆提供的服务,用户的参与度严重不足。图书馆主动提供服务,但用户只是被动的接受,两者之间的互动性严重不足,致使图书馆在舆情信息服务工作中难以实时快速了解用户的反馈与需求变化,因此无法有针对性的提供舆情信息服务。
3 图书馆舆情信息服务的完善策略
3.1 建立、健全网络信息服务的相关制度
从法律上讲,国家有义务保护公民的网络言论自由,但国家同时有界定公民网络自由界限的责任。中国的图书馆尤其是高校图书馆绝大多数为国家办学,新兴的民办高等教育机构也受到较严格的控制。中国宪法第51条,刑法第363条,出版管理条例第26条,以及互联网信息服务管理办法等有关法律、法规,都应当作为图书馆制定信息管理与服务章程的依据。
3.2 加强服务创新
图书馆在当前舆情信息日益重要的前提下应转变传统的服务观念,把以市场化作为运营手段的信息服务机构作为楷模,将用户需求作为导向,通过不断的创新,主动提供给用户人性化、有特色以及现代化的信息服务,这样才能在激烈的舆情信息服务机构竞争中脱颖而出。
3.3 加强用户信息需求的把握和跟踪
服务是需求的前提,我们要明确用户需求,有针对性地制定出相应的信息服务的方案,使信息产品的开发更具有目的性。图书馆可以通过问卷调查、采访等方式了解用户的需求变化,并根据用户的反馈完善改进服务。大部分的商业信息机构在经济利益的驱动下,向用户提供虚假的片面的信息,严重损害了用户的利益,不利于舆情信息服务市场的良性发展。图书馆应坚持求真务实的工作态度,对用户的评价、建议应做出真实客观的反馈。
3.4 博采众长,充分发挥各自优势
图书馆在舆情信息服务的工作中,应该加强与其他舆情信息服务机构的合作,扬长避短,发挥各自的优势,提高舆情产品的服务质量。例如吉林省图书馆就与新华社展开合作,充分利用新华社特有的资源与专家优势,开发了高端舆情信息服务产品—— 《吉林文化舆情参考》,获得吉林省文化系统领导的高度评价和文化行业用户的广泛赞誉,获得了良好的社会效益和经济效益。
3.5 加强利用图书馆网络舆情
与传统媒体相比,网络舆情的信息多元,互动性强,具有非常好的优势,对社会产生的影响也较大。但是,在开展网络舆情的同时,我们必须注意到由于网络舆情的主体的非实名制的性质,在网络上会出现一些虚假的信息和从众而非理性的大量声音。因此,为了避免对民众产生误导以及对社会产生不良的影响,相关部门要注重加强舆情信息服务工作者的信息素质,加强其对海量的舆情信息能够快速科学的梳理和对失真的舆情信息正确处理的能力。
3.6 图书馆舆情信息服务应走可持续发展的道路
图书馆舆情信息服务应适当的加入市场运营的理念,在舆情信息服务工作中应该遵循舆情信息增值服务的规则和舆情信息服务可持续发展的原则。舆情信息服务工作的负责人应充分的调动舆情信息服务工作人员服务的热情以及工作的积极性,优化舆情信息服务团队在技术,设施和人才等方面的配置,促使图书馆舆情信息服务走上专业化、良性循环以及可持续发展的道路。
在改革开放的新时期,中国的社会经济逐渐朝着多元化,外向型的状态发展,社会各个层面对舆情信息越来越重视。目前,地方社科院图书馆在舆情信息的收集和分析方面有较丰富的经验,各个图书馆应借鉴先进的图书馆舆情信息服务,改进和创新自己的舆情服务工作方式,使得舆情服务工作更加顺利地高效地开展。
参考文献
[1]刘秉宇,周洪光,周伟光.舆情服务—图书馆信息服务新模式[J].现代情报,2013(1):71-73.
[2]张勇.图书馆舆情信息服务工作中存在的问题及对策探析[J].图书馆学研究,2012(22):82-84.
[3]贾玲.新形势下地方社科院图书馆加强舆情信息服务工作的思考[J].天府新论,2011(6):122-124.
信息安全服务 篇12
一、服务营销与服务定价的基本理论
服务营销中产品的概念包括产品本身的价值和附着于它的所有服务价值,产品和服务是描述一个产品的不同方面、两个范畴,包含了产品和服务的要素比例。事实上服务与产品之间的区别并不总是那么地清晰,许多服务都至少含有一些产品元素,而绝大多数产品都至少提供递送服务,对于那些兼营产品和服务的企业来说,产品和服务之间的界限就更加模糊了,越来越多的产品制造商正在向着服务提供商的方向转变[4]。尽管存在种种困惑,产品和服务之间还是存在一些明确的区别,一般来说产品被定义为物品、设备和实物,而服务则被定义为行动、过程和表现,产品与服务的本质区别就是服务的无形性、异质性,与产品相比,服务更加难以做出评估,价格与质量的关系也非常复杂[2]。
(一)服务定价的基本理论
按照传统的价格理论,企业定价的主要方法有成本导向定价法,需求导向定价法和竞争导向定价法。成本是服务产品价值的基础部分,它决定着产品的最低界限,如果价格低于成本,企业便无利可图;市场需求影响顾客对产品价值的认识,进而决定着产品价格的上限,而市场竞争状态则调节着价格在上线和下限之间不断波动并最终确定产品的市场价格。在研究服务定价时,除了要评估服务产品的成本、市场供求和竞争状况,还必须同服务的基本特征联系起来,同时考虑顾客感知价值、利润、产品、法律等各方面因素。
顾客感知到的服务价值代表着顾客享受服务产品所带来的利益部分,而为使用服务所支付的价格就是顾客感知的成本部分,当顾客在获取的服务与支付的价格间权衡时,服务所提供的价值会随着支付的价格而减少。从企业的角度出发,价格是影响价值的直接因素,对于开发和提供一项服务,服务供应商发生的成本需要由顾客支付的价格来补偿。由于服务供应商不能仅基于成本来定价,过高的价格会降低顾客感知到的价值,顾客就会决定不再使用该供应商的服务,因此顾客的支付意愿通常是服务提供商进行服务定价的更重要的决定因素。因此,在许多情况下,顾客的支付意愿并不是完全相同的,总有一些顾客愿意支付较高的价格获得高质量的服务,而另外一些顾客则只愿意支付较低的价格,这就使得服务定价变得相当复杂。
(二)常用的服务定价策略
为服务定价是一项很困难的工作,服务消费者往往很难明确预定价格,更多的只是将价格作为衡量服务质量的指标。在某种意义上,消费者正在购买一种经历,他们经常对于将要为其支付价格的东西感到困惑。由于服务提供商出售的是一种无形产品,无法像实体货物那样仅仅依靠成本定价,许多服务供应商通常为之感到困惑与迷惘,进而忽略了自身的成本结构与竞争优势。与此相反,成功的服务供应商应遵循的服务定价原则包括价格应该很容易让顾客理解,价格应代表给予顾客的价值,价格应该增强顾客忠诚度,促进顾客与服务供应商之间的关系,价格应该加强顾客信任度,价格应减少顾客的不确定程度。
二、网上银行信息安全产品的顾客感知价值
顾客感知价值的核心是顾客在感知利得和感知利失之间的权衡,如果顾客感知到的利得大于其感知到的利失时,则相应的价格会带来积极的影响,使顾客需求增加;如果顾客感知到的利失大于其感知到的利得时,则相应的价格会带来消极的影响,使顾客需求减少[5]。顾客感知的利得因素不仅包含了产品价值,还包含了服务价值、关系价值、形象价值;顾客感知的利失因素除了包含有货币成本,还包含了时间成本、搜寻成本、便利成本以及心理成本[6]。
(一)网上银行信息安全产品的顾客感知利得
顾客在选择网上银行信息安全产品时,多数用户首要考虑的是安全保障性,其次是产品的价格,操作的便捷性,更新升级以及申办挂失的繁琐性。本文将网上银行信息安全产品的顾客感知利得,概括为产品价值以及与产品相关的服务价值,关系价值和形象价值等几个方面[7]。
1.产品价值是指顾客感知到的网上银行信息安全产品的功能、质量等方面的价值,主要体现在产品对网上银行安全的保障力度,其可靠性,响应性,安全性,产品是否处于同行业的领先地位,产品的功能,种类是否能满足不同客户群体的需求,使用过程以及更新升级是否方便快捷,价格是否合理,性价比如何,为其付出多少货币成本是值得的[6]。
2.服务价值是指顾客感知到的网上银行围绕着信息安全产品所提供的各种服务的价值,包括使用指南,网点工作人员对信息安全产品的了解,掌握程度,问题回答的响应速度等,顾客根据服务质量及其体验到的总体满意度来感知服务价值。根据国外的调查资料表明,有68%的消费者是由于对服务不满意而去购买其他公司的产品,仅有14%的人是由于产品本身的问题而购买其他公司的产品。
3.关系价值是指顾客所感受到的网上银行为建立,维护和加强与客户的长期关系所做出的努力,如向老顾客提供低价或增值服务,跟踪顾客的网上购物、网上支付、网上付费、转账等行为偏好,为其量身订做个性化的服务,当顾客感知得到的价值比从其他竞争对手那里得到的更多时,顾客将会保持对原公司的忠诚。
4.形象价值是指顾客感知的网上银行提供的金融服务产品在社会公众中形成的总体形象所产生的价值,品牌形象会影响顾客的购买行为,顾客通常喜欢把自己和某个品牌联系在一起,如某个网上银行信息安全产品的品牌会让顾客觉得符合自己的身份,自身地位得到了体现,当顾客对品牌形象有积极的感知时,他们往往更倾向于使用该品牌的服务。另外一些用户之所以开始使用网银,是因为象征着时尚的品味和高科技的生活能够给自己带来正面的形象。
(二)网上银行信息安全产品的顾客感知利失
网上银行信息安全产品的顾客感知利失包括顾客在购买和使用时所需付出的各种成本,本文将网上银行信息安全产品的顾客感知利失概括为货币成本、时间成本、搜索成本、便利成本、心理成本等几个方面[8],而时间成本搜索成本、便利成本、心理成本又都属于非货币成本的范畴。
1.货币成本主要是指顾客在购买网上银行信息安全产品时所需要支付的货币费用,这个费用包含的范围非常广,主要包括了开通以及购买网上银行信息安全产品时的费用,另外还包括了相应的上网费用、电脑等硬件设备的费用。
2.非货币成本是指顾客购买及使用网上银行信息安全产品时需要付出的其他代价,包括时间成本、搜寻成本、便利成本以及心理成本[9]。如顾客在购买和使用网上银行信息安全产品时会花费时间,在选择网上银行和信息安全产品类别时,由于互联网、网上银行、网上银行信息安全产品对大多数传统银行顾客来说仍然是新生事物,顾客在使用这些信息安全产品之前对产品的了解程度不高,需要通过对不同的网上银行进行对比才能做出决定,会付出比其他产品更多的搜寻成本;在服务的便利成本方面,由于使用网上银行信息安全产品涉及较多的环节,除了正常的安装、登陆、支付、转账操作等环节外,还会涉及到产品相应软件更新换代所需的下载、升级等操作,手续繁琐,对于大多数传统银行客户来说,使用网上银行及其安全产品的便利成本就会很高;另外在心理成本方面,由于顾客对网上银行及其信息安全产品的信心不足,总是会担心在开放的互联网中使用网上银行时存在种种的安全风险,如账户,密码被盗导致资金损失等,还有对自己的购物行为、消费习惯等隐私流失的担心,这些都是顾客使用网上银行及其信息安全产品时所感知到的心理成本。
三、网上银行信息安全产品的服务定价策略
银行业是同质性非常强的行业之一,想做到差别化非常的不易,加上各大网上银行竞争激烈,因此围绕着网上银行信息安全产品提供的各种服务对于网上银行的发展来说非常的有意义。服务定价区别于传统商品定价的最大特点是必须要考虑非货币价值和非货币成本,因此服务定价应该是需求导向的,即定价应与顾客感知价值相一致,价格以顾客会为所提供的服务支付多少为导向,根据对顾客感知价值的构成要素的分析,我们知道增加顾客感知利得和减少顾客感知利失,都可以增加顾客感知价值,下面我们将探讨网上银行信息安全产品的服务定价策略。
(一) 增加顾客感知利得的服务定价策略
增加网上银行信息安全产品的顾客感知利得包括增加顾客感知的产品价值、服务价值、关系价值和形象价值等几个方面。
1.增加顾客感知的产品价值的服务定价策略。
产品细分的服务定价策略是对于不同的目标顾客群体提供相应产品和服务的一种定价策略,产品本身的功能可能并没有根本的差异,但会根据不同顾客群体的感知价值,设定产品的价格,提供相应的服务,通过产品细分定价策略可以增加顾客对高端产品的感知价值。网上银行常用的信息安全产品有静态口令卡,动态口令卡,文件数字证书和移动数字证书,尽管静态口令卡,文件数字证书通常是免费的,动态口令卡,移动数字证书是收费的,但由于静态口令卡,文件数字证书的安全性比动态口令卡,移动数字证书都要低,所以在交易权限、交易金额方面都有一定的限制,移动数字证书虽然价格最贵,由于其安全性最高,所以没有交易权限、交易金额的限制,使用起来最方便,适合对货币成本不敏感的客户群体,如企业客户和高收入客户等,因此通过产品细分的定价策略增加了顾客对移动数字证书的感知价值。
2.增加顾客感知的服务价值的定价策略。
增加服务价值的有效定价策略是指围绕着基本产品,提供高度相关联的多种服务,并对各种服务的定价进行有机的协调,以达到增加顾客感知的服务价值的最佳效果,相应的定价策略有价格束、互补定价、价格结构、超值定价。对于网上银行信息安全产品中的数字文件证书,移动数字证书的使用中的各个环节,如使用前的证书、驱动程序的下载、安装;使用过程中的更新等环节,提供各种使用指导服务,将这些服务的价格和产品的价格相关联,进行价格束定价、互补定价、价格结构定价和超值定价。可以将产品本身的价格降低,对后续提供的下载、安装、更新、使用指导、网上代购等服务项目收取一定的服务费用和管理费用,以弥补降低产品价格的收入损失,这样就降低了顾客利用网上银行信息安全产品的门槛,可以培育出大量的潜在目标客户群体。还可以设定各种服务组合,使顾客可以根据自身需求单独选取其中一种服务,也可以选取全程服务,单独选取的服务价格的总和将大于全程服务的价格。
3.增加关系价值的服务定价策略。
增加关系价值的服务定价策略首先可以采用特殊对待定价策略,如为各种服务设定会员价格,VIP会员价格,鼓励顾客成为长期会员,以获得特殊交易机会,特殊价格,得到优先接待,特别关怀等服务[10]。其次是增加信任价值的定价策略,如对长期利用网上银行信息安全产品的顾客给予更多的服务承诺,如果顾客使用网上银行信息安全产品出现问题,可根据顾客利用信息安全产品时间的长短,所利用的网上支付金额的高低,设置承诺的赔偿限度,以增加顾客对网上银行信息安全产品的信心。最后是增加社会价值的定价策略,如免费提供网上银行信息安全产品的使用指南,常见问题解答,网上购物导购,使顾客逐渐习惯并喜欢利用网上银行信息安全产品,网上购物方式,网上购物过程,形成一种家庭式的感觉,同时建立一种社会关系,这对于提高顾客感知的社会关系支持价值非常重要,甚至可能达到或超过服务提供商所提供的产品价值。
4.增加形象价值的服务定价策略。
一个银行的形象价值是通过银行为顾客提供的服务在顾客的心中形成的,增加形象价值通常选择声望定价和撇脂定价策略,一般是提供高质量或高档次服务的公司采用的一种特殊的需求导向定价形式。各个银行可以根据自身的形象品牌,推出不同的能代表自身形象的网上银行品牌,例如招商银行的“一网通U盾”品牌,每当人们提到网银时就会想起它,给人的印象就是安全快捷。出色的银行可以根据自身品牌的优势,对优势服务项目索要高价,一些顾客可能确实看重高价,因为其代表着声望或高质量。实际上,声望定价中需求或许随着价格提高而增长,因为较昂贵的服务在表现质量和声望方面更具价值。
(二) 降低顾客感知利失的服务定价策略
降低网上银行信息安全产品的顾客感知利失包括减少顾客感知的货币成本、时间成本、搜索成本、便利成本、心理成本等几个方面。
1.降低货币成本的服务定价策略。
对于普通的顾客来说,因为服务产品的特殊性,顾客对于产品的其他价值并不能直接的感受到,而货币成本的改变是顾客所能感知到的最直观的价值变化。在其他因素不变的情况下,价格的降低会提高顾客感知价值,一般可采用低价定价方法,包括尾数定价策略、折扣定价策略、以及渗透定价法。如对U盾的定价可采用99.9元,促销活动期间可以打3折,如招商银行推出的USB-key三折销售活动,另外在特别优惠促销活动期间,还可以采用免费,从第二年开始收取年管理费用的渗透定价法。
2.降低非货币成本的服务定价策略。
顾客选择网上银行信息安全产品时,不仅付出了货币成本,还付出了大量的非货币成本,非货币成本包括了时间成本、搜寻成本、便利成本、心理成本、降低非货币成本,也是增加顾客感知价值的有效措施。在降低时间成本方面,网上银行可以加强24小时客服热线服务,安排专业人员通过电话帮助顾客解决网银信息安全产品的使用问题,对于一些不熟悉网络的顾客来说,银行可以充分利用网银体验中心,并安排专业人士对顾客进行一对一的辅导,这样可以为顾客节省大量相应软件下载、安装、更新的时间。对于这些服务的定价可以采用渗透定价法、互补定价法,将基本服务费用转移到未来的年管理费用中。
在降低搜寻成本方面,由于银行的品牌繁多,服务的同质性很高,顾客要找到适合自身使用的网上银行信息安全产品仍需要投入一定的精力,需要搜集各大网银的信息并进行对比。如果提供一种把各行网银信息安全产品的特点罗列出来并进行比较的信息服务,顾客就可以直接选出适合自己的网银,从而降低顾客搜寻成本,这种信息服务可以采用声望定价法,通过提供高质量或高档次服务获取利润。
在降低便利成本方面可以通过U盾的产品更新与升级,如“免驱动”U盾的开发和应用,省略驱动安装步骤,消除了USB Key安装失败的困扰,可有效降低便利成本,对具有行业领先地位的“免驱动”U盾可以采用撇脂定价的方法,利用最新的产品与服务,在愿意支付高价获得最好服务的顾客身上得到更多利润。另外可以用于登陆超级网银的U-KEY,可直接向各家银行发送交易指令并完成汇款操作,彻底免去了使用传统网银需进行多次登陆、查询操作的麻烦,这也将大大降低顾客使用的便利成本,而这种供超级网银使用的信息安全产品及相关服务也可以采用声望定价法。另外通过撇脂定价法,以高价和大量的促销投入推出新服务,可以在更多关心获得服务而不是服务成本的顾客身上获得利润。
在降低心理成本方面可以推出“预留信息验证”服务,如当客户登录中国工商银行个人网上银行在购物网站上进行支付或在线签订委托缴费协议时,网页上会自动显示客户预留的信息,以便客户验证是否为真实的工商银行网站。另外短信提示服务,将网银和手机绑定,诸如登陆、查询、交易以及退出的每一个环节都有短信提示。这些服务都达到了降低顾客的心理成本的目的,可以采用价格结构、价格束、互补定价、或结果导向定价等定价方法。
四、结束语
由于各大网上银行竞争激烈,所提供的信息安全产品功能都很相近,所以围绕网上银行信息安全产品的使用环节,使用过程所提供各种相关的服务,将成为各大网银获取客户,扩大客户群体的重要手段之一。网上银行信息安全产品本身的定价应该是成本导向和竞争导向的,而围绕着网上银行信息安全产品的所提供的各种顾客服务及其定价策略,应该是顾客需求导向的,合理的服务定价策略对于网上银行扩大市场占有率有着非常重要的意义。我们从顾客感知价值的角度出发,将其分成感知利得和感知利失两部分,探讨了增加网上银行信息安全产品的顾客感知利得和减少顾客感知利失的服务定价策略。
在增加顾客感知的利得方面,可以对不同的信息安全产品设置不同权限,交易金额来增加顾客感知的产品价值,针对信息安全产品使用过程中的各个环节提供各种体验指导服务可以增加顾客感知的服务价值,对长期利用网上银行信息安全产品的顾客给予更多的特殊对待,更多的服务承诺可以增加顾客感知的关系价值,通过提升网上银行及其信息安全产品的品牌形象可以增加顾客感知的形象价值。在降低顾客感知的利失方面,采用尾数定价策略、折扣定价策略以及渗透定价策略可以降低顾客感知的货币成本;24小时客服热线,网银体验中心可以降低顾客感知的时间成本,具有行业领先地位的“免驱动”U盾的推出可以降低顾客感知的便利成本;安全保障服务承诺,短信提示服务可以降低顾客使用网上银行及其信息安全产品的心理成本。当网上银行努力通过调动各方面的力量,不断地从顾客感知的价值观出发提供各种服务时,顾客会感知到获益并得到激励,从而长期保持这个关系,成为“忠诚”的客户,使得网上银行可以利用长期的客户关系来获取,优化各方面的利益,实现业绩的持续改善和长期增长。
参考文献
[1]汪晓梅.基于顾客感知价值的信息产品定价方法研究[J].情报杂志,2010(2):164-167.
[2]雷蕾.关于商业银行定价管理的若干思考[J].新金融,2008(2):42-44
[3][美]K.道格拉斯.霍夫曼.服务营销精要———概念,战略和案例(原书第2版)[M].北京:北京大学出版社,2008:166-189.
[4]叶力源.基于顾客感知价值的服务营销初探[J].经济论坛,2009(12):135-136.
[5]Zeithaml.Consumer Perceptions of Price,Qualityand Value:A Means———End Model and Syn-thesisof Evidence.Journal of Marketing,1988(7):52.
[6]黄绿群.浅析个人网银顾客感知价值的构成因素[J].商业研究,2009(9):73-75.
[7]罗海青,刘宏志.顾客价值评价实证研究[J].市场营销,2003(24):63-67.
[8]郑立明,何宏金.顾客价值分析模型[J].商业研究,2004(4).100-106.
[9]范旭泉,甘碧群.顾客感知价值矩阵研究[J].学术研究,2004(5):32-36.
【信息安全服务】推荐阅读:
信息安全等级保护服务08-23
信息安全服务资质一级申请指南10-11
信息化档案信息安全11-06
浅析基于信息安全企业经济信息管理信息安全论文计算机论文11-13
安全信息11-03
信息安全技术网络安全07-06
信息安全计算机安全11-10
信息安全风险07-16
文档信息安全07-21
信息安全防御05-13