网络安全风险评估问题(共12篇)
网络安全风险评估问题 篇1
摘要:网络安全性能的预先识别、对网络整体的安全性能的掌握对网络安全非常重要。该文主要就网络安全风险的系统体系结构设计进行探讨,主要讨论了脆弱性扫描客户方子系统设计、脆弱性扫描服务器以及系统风险评估子系统设计三部分,对于深化网络安全风险评估具有一定作用。
关键词:网络安全,安全风险评估,系统结构体系,脆弱性扫描
1 网络安全评估系统
采用客户/服务器(Client/Server)体系结构,服务器方具体实施网络脆弱性探测,它集成了检测引擎、各个检测模块、脆弱性数据库、测试结果数据库、系统风险等级评估模块以及评估结果数据库。客户方是一个控制平台,它提供了方便、友好的用户界面,用于在测试前配置服务器,在测试过程中实时的显示测试进度,在测试结束后提交测试和评估报告。采用客户/服务器模式还可以方便使用不同的操作平台,降低系统维护和开发的难度[1,2]。
系统在设计时,充分考虑了评估系统的性能指标,其性能主要有:
1)采用基于网络的部署方式。
2)使用客户机/服务器的体系结构。实现扫描模块、评估模块和控制模块的分离。
3)对所有的端口进行扫描。
4)全面检测目标系统的脆弱性。根据现有的脆弱点集合,进行较全面的脆弱性检测,发现目标系统潜在的脆弱点。
5)提出评估目标系统安全风险的方法。网络风险评估系统可以根据发现的脆弱点个数、各种脆弱点的危险等级、脆弱点所在的系统等,对系统的总体安全性进行评估。
6)支持扫描优化。
7)数据库信息全面。有脆弱性信息库、测试结果库、测试记录庠、专家库,便于对脆弱性信息进行全面的分析,给出有效的堵塞脆弱点的方法。
8)提供多种形式的报告结果。网络安全评估系统能够将发现的脆弱点、脆弱点风险等级、脆弱点的种类、脆弱点的修补方法,系统安全性的评估结果等报告给用户。
2 系统体系结构设计
2.1 脆弱性扫描客户方子系统设计
脆弱性扫描客户端基于Windows平台,为用户提供友好的图形化操作界面,用于在扫描前配置服务器,在扫描过程中实时显示扫描的进度,在扫描结束后提交扫描和评估报告。
1)用户登录模块功能设计。用户第一次使用扫描器时必须输入自己的密码,系统将记住该密码,用户下次启动客户方程序时必须输入,这样可以保重系统不被其他人员使用。在密码输入正确后,进入操作界面;用户填写与服务器相关信息以及用户账号、密码等信息,与服务器方建立TCP连接;用户操作界面提供操作主菜单,有插件、脆弱性类型、欲探测的主机地址、端口号等;用户设置修改自身设置,添加扫描范围;用户可以决定对知识库的使用方式。
2)扫描过程信息显示模块功能设计。以图形界面显示扫描信息:扫描进度(包括端口扫描进度和攻击型扫描进度)以及正在运行的插件名;在图形界面上,用户可以选择停止所有的扫描工作或者对某一主机的扫描工作。一旦停止对某一主机的扫描,弹出对话框,显示到目前为止的该主机的扫描结果。一旦停止所有的扫描,将给出目前扫描结果。
3)扫描结果报告模块功能设计
接收并显示扫描结果报告,可以选择查看脆弱性总体情况或者每个脆弱点的详细信息,其中漏洞可以按所在端口分类或者按漏洞类型分类;让用户选择是否存储扫描结果报告,并存储到什么目录下。
2.2 脆弱性扫描服务器子系统设计
从功能上,脆弱性扫描服务器由三大功能模块组成:系统控制模块、扫描程序库模块和扫描数据库模块。
1)系统控制模块功能设计。
模块负责对服务器方进行总体控制,它接收客户方的请求,根据客户方的请求调用相应的扫描模块进行响应,并将执行结果返回给客户方。它主要完成以下的功能:系统初始化。主要完成以下任务:服务器方配置信息初始化、规则初始化、用户初始化、网络初始化等;响应客户方的登录连接请求。当接收到客户方的配置信息以及启动扫描请求后,服务器方的系统控制模块会初始化各个扫描程序,并根据客户方传送来的配置信息,有选择的调用相应的扫描程序。向客户方发送当前扫描的状态信息。在扫描过程中,服务器方的系统控制模块将当前正在被扫描的目标主机、当前所使用的扫描程序以及扫描进度等信息发送到客户方,以便客户方的进度显示模块显示当前的扫描进度;响应客户方的停止扫描请求。在扫描过程中,如果服务器方接收到客户方的停止扫描请求,该模块将立即中断当前的扫描程序;响应客户方的报告形式请求。在扫描结束后,服务器方将一份完整的扫描结果报告发送到客户方;响应客户方的关闭连接请求。当接收到客户方的关闭连接请求时,该模块负责断开与客户方的连接。
2)扫描程序库模块功能设计
该模块包括了常见的脆弱性扫描程序,它涵盖了CERT公布的绝大部分脆弱性,利用这些脆弱性扫描程序对目标系统的脆弱性进行全面的检测和分析。目前本系统定义了以下18大类脆弱性。以上每一类漏洞都由多个扫描程序组成,共有900多个扫描程序,它们基本上涵盖了当前所有的安全漏洞。当发现新的漏洞时,还可以编写新的脆弱性扫描程序,添加到当前的脆弱性程序库中,从而可以方便地实现对扫描程序库的更新维护。
3)数据库模块功能设计
该模块用来存储一些数据和记录信息,便于用户根据不同的需求进行检索和查询操作。另外,通过数据库存储信息还利于系统的维护和升级。它主要由以下几个数据库组成:1)脆弱性信息库。该数据库用来存储当前已知的所有脆弱性信息,包括:漏洞的序列号、漏洞的名称、漏洞的类别、漏洞的具体描述、漏洞的脆弱性等级、漏洞的修补方法等。当发现新的安全漏洞或有了更好的修补方法时,可以将最新的信息方便的添加到数据库中。2)扫描结果库。该数据库用来存储当前的扫描结果。在扫描过程中,各个扫描程序将扫描结果实时地写入数据库中。在扫描结束后,可以根据用户的需求,从扫描结果库中检索出相关的信息进行显示。3)扫描记录库。该数据库中包含所有的扫描记录,如被测目标系统的IP地址、扫描的日期和时间、扫描结果等。利用扫描记录库,可以对同一个系统不同时期的扫描结果进行对比,从而分析出该系统的安全趋势和走向。系统管理员根据系统的安全趋势,采取相应的策略提高其安全性。
2.3 系统风险评估子系统设计
风险评估子系统主要由两部分组成,一部分完成与系统总体安全相关的组件相对与总体安全的重要性权重的计算,另一部分综合系统脆弱性扫描结果和权值评估系统总体风险等级。
1)权值计算模块功能设计
该模块主要功能是根据系统的体系结构、使用目的、安全威胁的来源等构造判断矩阵,计算系统中所有安全因素相对于系统总体安全性的权重值。为定量评估系统的风险等级提供必要的参数。
2)系统风险等级评估模块功能设计
陔模块主要是根据系统脆弱性扫描得到的关于各个脆弱点信息,综合各个组件权值,计算系统总体风险等级值,确定系统总体风险等级。
3 结束语
网络安全评估系统能够发现网络存在的系统脆弱性,提出相应的解决方案,并对网络系统的总体安全性能进行评估。所以,它可以帮助网络管理员及时的了解网络系统的安全状况,发现和堵塞系统的潜在漏洞,在实现网络安全中起着重要的作用。
参考文献
[1]肖道举,杨素娟,周开锋,等.网络安全评估模型研究[J].华中科技大学学报:自然科学版,2002,30(4)37-39.
[2]成卫青,龚俭.网络安全评估[J].计算机工程,2003,29(2):182-184,186.
网络安全风险评估问题 篇2
摘要:食品安全问题是风险社会中的一个重要表征。网络时代风险传播突破了由政府通过传统大众媒介向公众传播的单项传播形式,变为了公众都可进行的双向传播,因而加剧了食品安全问题的传播风险。对“康师傅馊水油”事件的网络传播特点分析发现,食品安全问题的网络传播存在着传播源广泛、意见领袖作用强、政府反应速度偏慢,且舆情回落周期长短受舆情传播中其他声音影响等特征,因此在风险社会中,政府要进一步净化网络环境,提高反应速度,建立与公众的有效沟通机制,加强权威发声权重,允许出现多方声音,以“引”代“堵”,增强信息的对称性,从而增加公众对政府和大众媒体的信任度,使公众能理性的对待风险社会下的食品安全问题。
中图分类号:g206.3
文献标志码:a文章编号:1009-4474(2016)04-0027-05
自2008年“三鹿三聚氰胺”事件以来,诸如“毒豆芽”“熏肉致癌”“僵尸肉”等食品安全事件被频频曝出,而且这些食品安全事件每次曝出后都在网上引起不小的**,使得大众和政府对食品安全问题越来越重视。食品安全问题是风险社会中的一个重要表现,出现的频率高,每次出现都产生一波波舆论潮,那么在风险社会中食品安全问题的网络传播有怎样的表征呢?
一、理论阐释
1.风险社会与风险传播
风险社会是伴随着社会发展现代化的进程出现的,最早由德国社会学家乌尔里希?贝克在其著作《风险社会》中提出,它表现为现有社会存在的危机或潜在的危机水平〔1〕。风险社会形成的因素有很多,如在工业化进程中所出现的环境污染、食品安全、科技风险等突发性社会事件〔2〕。
风险传播是为公众提供用以减少焦虑和恐慌的信息,并为公众提供合理应对危机建议的过程〔3〕。传播媒介是风险传播中很重要的角色,其作用在风险社会中表现为对现有社会中风险失控行为的批评与反思〔4〕。风险社会中的危机事件在网络传播中带有一些网络暴力的色彩,给在网络传播环境下的风险社会增加了更多不确定的影响因素,如网络谣言等,而且风险的不确定性会拓宽风险的强度和广度〔5〕。在网络环境中,风险的不确定性很大程度上来源于传播媒介,公众对事件的认知往往来源于传播媒介的话语导向,传播媒介的批评行为则可能会被放大,所以公众在风险社会中表现出的意识恐慌和社会对抗的程度与传播媒介的传播力息息相关①。
2.风险沟通
根据美国国家科学院对风险沟通的定义,风险沟通指的是“个体、群体以及机构之间交换信息和看法的相互作用过程。这一过程涉及多侧面的风险性质及其相关信息,它不仅直接传递与风险有关的信息,也包括表达对风险事件的关注、意见以及相应的反应,或者发布国家或机构在风险管理方面的法规和措施等”。后来学者在此定义基础上指出风险沟通包含五个要素,即沟通目的、沟通内容、目标人群、信息来源和传播方式。
风险沟通在风险传播中具有极其重要的作用。风险社会中的科学民主的决策离不开有效的媒体沟通,有效的风险沟通就是要在风险传播中通过媒体连接起政府和公众,让政府和公众站在同等的地位,扩大公共领域的话语权,即加强民主程度和增大信息透明程度,从而将风险社会的风险程度降到最小值〔6〕。网络传播中的风险沟通是一种双向传播机制,不再局限于传统意义上由政府通过大众媒体向公众传播的单项传播。在网络风险传播中,政府要控制局面,而公众认同的是自我感知〔7〕,那么政府和公众之间怎样才能达到一种有效的沟通呢?这时风险沟通就显示出其重要性了。
二、“康师傅馊水油”事件在网络传播中的表征
1.事件概述及舆情走向
“康师傅馊水油”事件最先被曝光于微博上。8月2日12点14分,新浪微博认证用户@柯笑阳发布一段游客拍摄的视频,视频中一位台湾女导游在车上跟游客讲:康师傅在台湾发生过馊水油事件,所以康师傅及其所属顶新集团遭到全台湾的抵制,可是在大陆地区贩售的馊水油数量竟达台湾地区数量的56倍。此视频一出,舆论哗然,短时间内被微博疯转,“康师傅”一词登上微博热搜榜。
截至8月5日,以“康师傅”为关键词在百度中的整体搜索指数(一周内)达到58096次,环比上升了约1000%。新闻头条搜索指数在8月3日达到197418次,与康师傅相关的一周内上升最快的检索词为“康师傅地沟油”,同上周相比,搜索指数环比上升了882%。舆情在8月2日出现以后话题迅速集聚,到8月3日形成舆情传播的峰值期,8月3日后舆情迅速回落。
而在舆情发酵到舆情进入高潮的时间内,媒体报道的导向也不断发生改变,统计情况见表1。
2.舆情事件在网络传播中的文本分析
笔者搜集了新浪以“康师傅”为关键词从8月2日舆情首曝开始到8月7日舆情基本回落的微博,对评论量和转发量大的微博进行了整理和聚类,发现这些转发和评论量大的微博主题基本分为四类:一是曝光康师傅使用馊水油,如诸葛文君的微博先于大众媒体曝光康师傅使用馊水油的事件;二是媒体有关康师傅对此的回应态度的报道,如《齐鲁晚报》微博所提及的康师傅报警新闻,微博与传统媒体同步出现此消息;三是话题传播者对大陆媒体的质疑,如北京杨博的微博在比较大陆媒体和台湾媒体对康师傅馊水油事件的报道后,对大陆媒体的报道态度提出了质疑;四是对康师傅馊水油的辟谣贴,如中国新闻网所报道的监察机构的证词。在这几类主题中,微博对新闻事件的报道普遍要早于传统媒体,这是因为新媒体时代人人都可以作为传播者,微博中的传播源远大于传统媒体。在新闻事件的报道中,传统媒体和微博出现同步播报的情况通常是传统媒体的官微对传统媒体所播报的信息进行了转发,而微博中所传播的信息滞后于传统媒体报道的情况通常是一些大v意见领袖针对传统媒体报道中的内容而在自己的微博中提出质疑等看法。
在曝光康师傅馊水油的典型微博(新浪微博)中,诸葛文君题为《崔永元:大陆民众应该知道!》的微博说道:“台湾导游向大陆游客爆出惊天内幕。对于如此恶劣的事件,国内食品安全质检部门应该早有所闻,为什么不调查真相?大陆媒体为什么装聋作哑?抵制无良企业!大家转起!”从8月3日此微博发出后,转发量达到15162条,评论数为2905条。网民对该微博的转发从开始到回落持续了四个小时。通过知微传播软件对此条微博的分析发现,在所有转发的用户中,97%是普通用户,只有3%是vip用户,男女用户比例基本平衡。在传播路径中,通过知微软件对此微博传播层级的分析发现,大部分转发出现在前六个转发层级中,其中第一层级转发量最多,达到6952条,第三层级转发数量也较多,为2520条②,第二层级转发量略低于第三层级,四、五、六层级的转发量小于前三个层级。通过rost软件对以“康师傅馊水油”为关键词的新浪微博的评论进行词频分析发现,在评论中出现高频的词有“康师傅”、“抵制”、“食品”、“安全”等,高频表情为“愤怒”、“拜拜”。通过大v用户的转发评论可以看出,在舆情出现初期,大v用户态度比较理性,并没有以一面之词断定康师傅使用馊水油,本次微博传播路径长,但是由于大v的谨慎态度使得二次传播范围大大缩小,且舆情回落周期缩短。本次传播中用户整体态度偏向消极。
在关于康师傅回应态度的微博中,齐鲁晚报于8月3日14:45发表了题为《康师傅已就“台湾导游呼吁抵制康师傅”一事报警》的微博,其内容为“近日微博热传一视频,内容是台湾导游告诉大陆游客有关康师傅在台湾的馊水油事件,台湾人民正在进行‘灭顶行动’,呼吁大陆游客一同抵制。康师傅控股有限公司今日发表紧急声明,称该名导游恶意中伤,已报案。”关于“康师傅馊水油”视频的舆情经过波动上升于8月3日下午16时左右达到传播峰值而后回落,8月3日21点微博中对康师傅回应态度的微博关注度已降到很低,整个传播过程经历了7个小时。在这一时间段内,齐鲁晚报关于康师傅回应态度的微博转发量为302条,评论量为87条。在转发的用户中,79.1%为普通用户,20.9%为加v用户。笔者通过知微传播软件对此条微博的分析发现,在传播路径中,大部分转发出现在前五个层级中,其中第三层级转发量最多,达到102个,其次为第二层级,数量为88个。在评论中出现的高频词有“康师傅”“不食”“抓起来”“导游”“馊水油”“回应”“真实性”等。这一阶段加v用户参与转发增多,说明大v用户对媒体信息的信任度较高。此条微博的传播规律告诉我们,如果有影响力的意见领袖对原有消息进行转发,舆情传播可能达到一个新的高潮,然后才走向回落。此次传播中舆情仍以负面为主,负面情感值为-74。值得注意的是,这次用户地域以山东地区最多。
在质疑大陆媒体为何没有像台湾媒体一样曝光的微博中,以大v用户“北京杨博”的微博影响力最大。8月3日杨博题为《顶新事件大陆为何集体缄默?》的微博中提到“台湾媒体铺天盖地,连台湾导游都向大陆游客劝说抵制顶新恶劣食品。国内食品安全质检部门、大陆媒体一直保持集体缄默,顶新食品大江南北依然大行其道。是台湾在污蔑顶新,还是大陆人根本不在意食品安全?”博文配图分别为《自由时报》、《联合晚报》、《联合报》等多家台媒转发,转发量达到14695条,评论量达到5982条。而后杨博自己又转发并评论了自己的这条微博,这条评论为“不是坏人太猖獗,而是好人太软弱”的微博转发也达到93条之多。在这些微博的评论中,以“北京”“民众”“软弱”“失声”等评论高频词居多,在这些评论中虽然有挺康师傅和政府派的,也有消极悲观派和愤青派,但不同于舆情开始出现时的一边倒,此时舆情进入了公众声音百花齐放阶段,微博的情感为负面偏向中性。在为康师傅馊水油事件辟谣的微博中,中国新闻网8月6日发布的《监管部门回应康师傅“馊水油”称:“未发现”》微博影响力比较大,其内容为:“近日,康师傅深陷‘馊水油’漩涡,众说纷纭,康师傅主要生产基地所在的食品安全监管部门表示,在对康师傅的每次检查中未发现来自台湾地区的不合格原料油脂,检验产品均合格。”该微博消息浏览量为12290803次,转发量为84条,评论量为140条,舆情从发起到舆情消匿经历了7个小时,微博传播路径主要经过两层,第一层级转发量为51条,第二层级转发量为21条。在这一传播过程中,男女用户比例、普通用户和大v用户比例基本平衡,没有明显的分众特色。舆情情感值为-40,属于中性偏负。在评论中出现的高频词有“围观”“方便面”“检测”“监管部门”等。这一阶段公众对康师傅事件关注点已经明显回落,没有舆情出现初期的恐慌心理了,这一时期选择接受消息或者调侃态度的公众居多。
3.食品安全问题网络传播的一般性表征
通过对“康师傅馊水油”事件的网络传播路径分析可以看出,食品安全问题在网络传播中有以下表征:传播源不仅仅局限于权威的政府和媒体,传播源可以是来自于公众中的任何一份子;传播源的传播广度和受众对传播源的偏信度成正比,较为受众相信的传播源在网络中多来自微博大v,包括权威媒体、知名企业家以及有影响力的草根人士等;公众对政府在食品安全问题中的信任度并不十分强烈,且政府在食品安全问题出现后的回应速度有所滞后;食品安全问题的网络传播路径终会走向回落,但是从舆情爆发到舆情回落的周期长短取决于政府处理舆情的态度和有效性以及传播中是否有其他不安定因素(如多层级传播等)的出现等;从舆情爆发到舆情回落的过程是公众心理从怀疑到感性化表现再到抉择判断最后是理性认知的过程。
三、风险社会中的食品安全问题应对策略
通过对“康师傅馊水油”事件的舆情分析,可以看出人们对食品安全的关注度很大。涉及食品安全的问题不论消息真假、危害大小,都极易引起全民恐慌,网民对食品安全阴谋论的热衷与偏爱达到了很高的程度。对于这种涉及食品安全的网络谣言出现全民性的食品安全论调原因有二:一是源于信息不对称。因为信息的不对称〔8〕,所以在看到熟知的人所传播一些涉密消息时,公众会觉得这种点对点的传播能让自己获得他人或未知的信息,这种传播会带给公众信息获取的满足感;二是公众对于自己熟知的人的信任度大于对大众传播的信任度。在对此次事件的公众群体地域分布分析中发现,食品安全关心人群以北上广深等经济发达地区居多,这可能跟经济发达地区发达的信息网络有关,也与经济发达地区人们更注重健康问题密切相关。
针对食品安全中出现的信息不对称问题,笔者认为政府应该加强权威发声权重,同时应当允许出现多方声音。在这种重大食品安全事件中,权威的发声可以及时杜绝社会上的各种猜忌和谣言,对于缩短舆情传播周期有很强的作用。在权威发声的情况下,也要允许甚至鼓励出现多种声音,避免舆情从一开始就出现“一边倒”的倾向,否则容易使舆论局面混乱,管理失控。其次,政府应当扩大信息公开面,拓宽食品安全宣传渠道。其实康师傅事件早在2014年于台湾地区就曝光过,但在大陆微博出现康师傅馊水油事件时,依然有很多人不知晓,这次的事件很大程度就是旧题新炒,说明政府对食品安全方面的舆情重视程度不够,政府没有利用好大众媒体宣传并及时预警大陆食品危机。
针对食品安全中公众对政府的信任缺失来说,政府应该提高反应速度,同时以“引”代“堵”。从“康师傅馊水油”事件的微博传播特点可以看出,这类食品安全舆情传播速度快,回落速度也快,即传播周期短,虽然信息传播影响大,但是传播价值具有时效性。所以这就要求舆情监管部门尽可能在第一时间监测到舆情,迅速作出反应,将负面社会影响降低到最小值。同时扩大公众在公共领域的参与权,增强公众对自身所处食品环境的安全感。
另外,在食品安全问题中,要进行有效的风险沟通,更应该建立长效沟通机制〔9〕。一是政府需要建立完整的食品安全公开系统,及时对食品安全问题信息公开,培养公众对官方媒体公布数据的信任和依赖感,这可在很大程度上杜绝网络谣言的出现;二是要进行全社会性的食品安全知识普及,增强公众对食品安全问题的认知,只有深刻的认知了,就不会轻易对“xx不能吃”等文章产生恐慌心理;三是要规范食品安全法,明晰食品安全问题所涉及利益群体的权责,根本上保障公共社会的安全。对于传播谣言的传播者,要使其承担向公众解释的责任并对其造成恶劣影响的行为进行惩处。此外,要明晰食品安全事件中每一环节的责任人,如在生产环节责任人是企业,监管环节责任人是政府,网络传播环节责任人是网络谣言首曝者。明晰每一环节的责任后,制定相应的惩处措施,真正做到责任到人,这既可以为食品安全增加一道保障,也可以净化网络舆情环境,而且从长远来看,这种良性循环最终将作用到公众身上,增加公众对政府和大众媒体的信任度,进一步净化网络环境。
注释:①
参见郭小平《风险传播研究的范式转换》,载2006年《中国传播学论坛论文集》92-93页,101页。
网络安全风险评估问题 篇3
【关键词】网络虚拟货币;分类;风险;对策
一、网络虚拟货币简介
虚拟货币是指非真实的货币,网络虚拟货币是以Internet为基础,以计算机和通信技术为手段,将存储在计算机系统中的电子数据以电子信息形式进行传送,并最终实现货币的流通和支付功能。世界上最早流行的网络虚拟货币是由Flooz.com在1998年推出的Flooz币,我国最早出现的网络虚拟货币是由中文利网(China Bounz.com)在2000年推出的积分式虚拟货币。随后,国内各大网站纷纷推出了各自的网络虚拟货币,如腾讯的Q币、网易的POPO币、百度的百度币以及新浪的U币等。
二、网络虚拟货币分类
网络虚拟货币,在本质上是利用一系列经过加密的数字,在网络上进行传输和交易的媒介物。具体而言,是借用现行实体货币的名义,模拟其发行和流通机理,在网络虚拟世界里进行计量和单向流通的一种“代金券”或“提货凭证”,是商家进行营销的一种手段和策略。网络虚拟货币是虚拟世界里的计量单位,不具备法偿货币资格,因此只能在虚拟世界里流通。目前网络虚拟货币有数十种,大致可以分为以下三类:
1.游戏币。是由网络游戏商家开发的,游戏玩家用其提供的游戏币购买游戏所用的道具和各类装备,以便更容易地通过游戏关卡。由于网络游戏时间的不确定性,加之网络转账支付时产生的银行系统服务时间受限问题,以及现金支付需网民去指定地点支付且网络商家需24h提供服务等情况所带来的不便,游戏币也因此而产生,它是一种虚拟货币,游戏玩家通过购买游戏币,便可在规定的时间段内随时在线支付。不同游戏币对应不同的游戏,不能跨游戏使用,也不能将游戏币兑换回现金。
2.积分、消费式虚拟货币。是网站为了吸引网民而推出的一种营销手段,也是一种“奖励措施”,其不直接与现实的货币发生兑换关系。网站根据网民们的在线时长而奖励对应的虚拟货币,网民可以用这些虚拟货币进行网络消费,包括购买各种虚拟产品和虚拟服务等,这是网站用于扩大用户和增加人气的一种重要营销手段。
3.交换式虚拟货币。是网络虚拟货币中数量最多的一种,也是目前社会各界关注的重点。交换式虚拟货币与现实货币存在着固定的交换比例(例如1Q币相当于1RMB),用户通过网上支付等手段将法定货币兑换为虚拟货币,并存在自己的虚拟账户中,之后就可以利用虚拟账户中的虚拟货币,体验该网站所提供的增值服务和消费虚拟物品。
三、网络虚拟货币流通风险
虽然网络虚拟货币与现实货币之间是单向流通的,还未实现双向循环流通,但是这并不表示网络虚拟货币的流通是没有任何风险、可以任意发展的。深入分析网络虚拟货币存在的风险性,对于促进我国网络经济健康发展具有重要意义。
1.网络虚拟货币对实体货币的影响
事实上网络虚拟货币对实体货币的冲击风险是非常小的,但是若忽视不管这种小的冲击风险,其有可能会转化为更大的冲击风险,从而直接影响了我国的现实货币体系。其风险性主要表现在两方面:一是挤兑风险;二是洗钱风险。尤其是在虚拟货币发行商出现资金链断裂情况下,有些网民或企业会大量收购某种虚拟货币,然后将其兑换为人民币,这种虚拟货币与实体货币之间的挤兑问题,会直接影响实体货币系统的正常运转。
2.网络虚拟货币对网络经济的影响
网络虚拟货币是在虚拟的网络世界里流通的,属于网络经济的一部分,随着计算机和网络科学技术的发展,虚拟货币的风险问题必定会影响网络经济的正常发展。其主要表现在以下两方面:一方面,在理论上商家是可以无限量发行虚拟货币的,而网民则是通过现实的货币来购买虚拟货币,因此可能导致网络商家用换得的人民币进行长期投资等现象,而投资的失败会在很大程度上导致网站倒闭,进而影响了网络经济的正常运行;另一方面,虚拟货币的假币现象,以及用户的虚拟货币被盗现象,会大大降低用户对某些网站的信任,进而严重影响了网络经济的健康营运。
四、如何应对虚拟货币风险问题
在网络技术方面,虚拟货币被盗现象的频频发生,大大降低了网民们对网站的信任,也严重影响了网站的正常运转,因此,加快网络技术革新,切实提高网民们虚拟账户的安全性,对于网络虚拟货币的健康有序发展是至关重要的。
在法规政策方面,国家应制定相关措施,明确网络虚拟货币的交易合法性,监管部门要运用法律手段严格监管网络虚拟货币市场。一方面要控制网络虚拟货币的发行规模,规范网络商家的发行行为;另一方面要加强网上交易透明度,深入调查网络虚拟货币的流通市场及其对现实经济体系的影响,在条件成熟时可建立“网上央行”,从而有效监督虚拟货币发行商,避免虚拟货币的不当交易。
参考文献
[1]蔡则祥.网络虚拟货币的本质及其风险管理[J]. 管理世界. 2008(2): 174-175.
[2]尚文敬,吴洪,姬智敏.中国网络虚拟货币发展现状分析[J]. 北京邮电大学学报.北京邮电大学学报.2008,10(2):18-23.
网络审计风险评估相关问题探讨 篇4
一、网络审计风险评估应关注的风险范围
网络审计是指审计人员基于互联网, 借助现代信息技术, 运用专门的方法, 通过人机结合方式, 对被审计单位的网络财务信息系统的开发过程及其本身的合规性、可靠性和有效性以及基于网络的财务信息的合法性、公允性进行远程审计。可以看出, 网络审计的审计对象包括以下两类:一是被审计单位的网络财务信息系统;二是被审计单位基于网络的财务信息。因此, 在网络审计中, 审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。
对于与企业网络财务信息系统相关的风险, 审计人员应该从两个角度来考虑:一是从该信息系统生命周期的各个阶段出发。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段, 一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。审计人员的风险评估应该贯穿信息系统的整个生命周期。二是从该信息系统的各组成部分及运行环境出发。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等。信息系统的运行环境是指信息系统正常运行所依托的物理和管理平台, 具体可将其分为五个层面来关注其风险:物理层, 包括信息系统运行所必备的机房、设备、系统线路及相关环境的风险情况;网络层, 包括信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层, 包括信息系统本身的漏洞情况、配置的缺陷情况;应用层, 包括信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层, 包括企业在该信息系统的运行过程中的组织、策略、技术管理等方面的风险情况。审计人员应就以上方面对被审计单位的信息系统进行全面的风险评估。
对于与企业基于网络的财务信息相关的风险, 笔者认为审计人员应着重关注财务信息的重大错报风险和信息安全风险。重大错报风险指企业基于网络的相关财务信息存在重大错报的可能性, 它是针对企业借助信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计下重大错报风险的内涵与传统审计下重大错报风险的内涵基本上是一致的, 审计人员在审计时应当考虑被审计单位的所属行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能产生的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险, 它主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中, 审计人员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。
与基于网络的财务信息相关的风险和网络信息系统本身是直接相关的, 部分财务信息风险实际上源自系统风险, 如由于信息系统的脆弱点、信息系统面临的威胁被威胁源利用后, 信息系统在对有关账户、交易或事项进行确认、计量或披露的过程中, 可能会发生错报甚至使得信息被截取或篡改, 从而对财务信息产生一定的负面影响, 因此审计人员在评估与信息系统相关的风险和与财务信息相关的风险时, 应将两者结合起来考虑。
二、网络审计风险评估的目的和内容
1. 风险评估的目的。
由于网络审计的目标在于审计人员通过执行审计程序来对被审计单位基于网络的财务信息的合法性、公允性以及被审计单位网络财务信息系统的合规性、可靠性和有效性发表意见, 因此其风险评估的目的主要是识别和评估与企业网络财务信息系统和基于网络的财务信息相关的风险, 以设计和实施进一步审计程序。网络信息系统环境下企业对经营业务数据及交易事项的确认、计量及披露都变得更加及时、迅速, 这使得审计工作从事后审计转变为事前、事中审计, 从静态走向了动态, 此时风险评估为审计人员在进一步的审计工作中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标奠定了基础。
2. 风险评估的内容。
风险评估是指考虑潜在事件对目标实现的影响程度, 这种考虑一般要求从事件发生的可能性和影响程度两方面展开。在网络财务中, 潜在事件发生的可能性主要是指企业的信息系统及基于网络的财务信息可能面临的威胁或可能存在的脆弱点;潜在事件的影响程度主要是指那些威胁和脆弱点对信息系统或财务信息可能带来的影响情况。其中:威胁是指对信息系统及财务信息存在潜在破坏性的可能性因素或者事件, 它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素, 也可能是一些如火灾或通讯线路故障等环境因素;脆弱点是指信息系统及财务信息所存在的薄弱环节, 它是系统或网络财务信息本身固有的, 包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说, 脆弱点本身不会带来损失或信息错报, 威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此, 我们认为网络审计中风险评估的内容应包括以下几方面: (1) 识别被审计单位信息系统及其基于网络的财务信息可能面临的威胁, 并分析威胁发生的可能性; (2) 识别被审计单位信息系统及其基于网络的财务信息可能存在的脆弱点, 并分析脆弱点的严重程度; (3) 根据威胁发生的可能性和脆弱点发生的严重程度, 判断风险发生的可能性; (4) 根据风险发生的可能性, 评价风险对信息系统和基于网络的财务信息可能带来的影响。
值得注意的是, 无论是与信息系统相关的风险还是与财务信息相关的风险, 企业均不可能也没有必要将之降为零, 这意味着即使被审计单位实施了一定的防范措施, 也会有残余风险。审计人员在对被审计单位进行风险评估时, 应该考虑上一期的残余风险是否对本期造成影响以及密切关注本期的残余风险是否可能在下期诱发新的风险。
三、网络审计风险评估的程序和实施流程
1. 风险评估的程序。
《中国注册会计师审计准则第1211号———了解被审计单位及其环境并评估重大错报风险》中提及, 审计人员应当实施询问、分析、观察和检查等程序, 以获取被审计单位的信息, 进而评估被审计单位的重大错报风险。网络审计风险评估的程序与传统财务报表审计风险评估程序在一定程度上具有一致性, 但是在这些程序实施的重点上, 网络审计中更加注重对被审计单位与信息系统及网络技术使用相关的事项的了解和分析。在实施询问程序时, 审计人员的询问对象可大致分为管理人员、系统开发和维护人员 (或信息编制人员) 、系统使用人员 (或信息的内部使用人员) 、系统或网络技术顾问及其他外部相关人员 (如律师) 等五类, 分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时, 除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势, 审计人员应格外关注对信息系统及网络的特性情况、被审计单位对信息系统的使用情况等内容的分析比较。特性情况包括在线系统的响应时间、批处理系统的周转时间、系统的故障强度、系统故障的平均间隔时间、系统故障的平均修复时间、系统的维护周期等;使用情况包括被审计单位连接系统的持续时间、调用功能函数的次数、数据库中存取的记录数、查询次数、系统使用的费用成本等。实施观察和检查程序时, 除执行常规程序外, 审计人员应注意观察信息系统的操作使用和检查信息系统文档, 信息系统文档生成于其生命周期的各个阶段, 包括信息系统的可行性研究报告、项目开发计划、系统和数据需求说明、系统设计说明、测试计划和分析报告、开发月报及总结、维修日志等。
针对技术风险的评估, 审计人员除执行询问、分析、观察和检查程序外, 还需要实施一些特定的程序, 如IDS取样分析、渗透测试、工具扫描、安全策略分析等。其中, IDS取样分析是指通过在核心网络采样监听通信数据的方式, 获取网络中存在的攻击行为和蠕虫病毒, 并对通信流量进行分析;渗透测试是指在获取用户授权后, 通过真实模拟黑客使用的工具、方法来进行实际漏洞发现的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息, 包括主机扫描、网络扫描、数据库扫描等, 用于分析系统、应用、网络设备存在的常见漏洞。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络技术方面的安全风险进行评价, 审计人员在实务中应结合被审计单位的业务性质选择合适的程序。
2. 风险评估的实施流程。
网络审计中风险评估的实施流程可分为以下几个阶段: (1) 系统调研阶段。即调查并了解被审计单位信息系统的业务流程、业务战略和管理制度、主要的业务功能和要求、网络结构和网络环境、系统边界、主要的硬软件、系统和数据及其敏感性、支持和使用系统的人员等内容, 以确定风险评估的范围。系统调研可以采取问卷调查和现场访谈相结合的方式进行。 (2) 制订风险评估方案。即对评估任务分工和责任、各阶段的评估工作计划、时间进度等事项进行安排。风险评估方案主要是为具体评估工作的实施提供一个总体计划, 指导风险评估后续工作的进行。 (3) 识别和评估脆弱点。即对被审计单位信息系统和基于网络的财务信息在技术和管理方面可能存在的漏洞进行识别和分析。 (4) 识别和评估威胁。即识别被审计单位信息系统和基于网络的财务信息在物理层、网络层、系统层、应用层及管理层等层面所面临的各种威胁, 并分析它们发生的可能性。 (5) 管理检查。即审计人员专门对被审计单位的总体管理措施的完备性和有效性进行评估。 (6) 风险评估结果分析。即审计人员根据上述各阶段工作所得到的评估结果, 对信息系统及基于网络的财务信息进行综合的风险评价, 得出风险评估结论。
【注】本文系2009年度浙江省教育厅一般项目“网络审计中的风险评估研究” (项目编号:Y200906438) 的阶段性成果。
参考文献
[1].中国注册会计师协会编.中国注册会计师执业准则指南2006.北京:中国财政经济出版社, 2006
网络安全风险评估问题 篇5
关于印发《质量安全风险排查整治和道德领域突出问题专项教育治理活动实施方案》的通知
局各股室:
现将会理质监局《质量安全风险排查整治和道德领域突出问题专项教育治理活动实施方案》印发给你们,请认真贯彻执行。
二○一二年七月五日
会理质量技术监督局
质量安全风险排查整治和道德领域突出问题
专项教育治理活动实施方案
按照州局办《关于印发<质量安全风险排查整治和道德领域突出问题专项教育治理活动实施方案>的通知》(凉质监办„2012‟25号)要求,结合我县实际,制定本方案。
一、目标要求
深入贯彻落实科学发展观,全面实施国务院《质量发展纲要(2011—2020年)》和《贯彻实施质量发展纲要2012年行动计划》,认真落实“抓质量、保安全、促发展、强质检”和“四转四加强”的工作方针,用半年左右的时间,在全县集中开展质量安全风险排查整治、道德领域突出问题教育治理两个专项行动。专项行动着眼于建立完善长效机制,突出开展“三查三整两建”:全面排查监管产品存在的风险和隐患;全面排查生产企业、使用单位等监管对象存在的风险和隐患;全面排查质监队伍、行风、廉政等自身建设方面存在的风险和隐患。依法从严整治违法行为;大力整顿管理不规范企业、行业“潜规则”和安全责任不落实等问题;督促整改内部工作环节存在的问题隐患。建立健全风险研判处置工作长效机制;建立落实质量安全主体责任企业报告制度。通过专项行动,及早发现、控制和治理质量安全风险,确保不发生区域性、系统性和行业 — — 2性质量安全事件。
二、排查整治重点
(一)食品、食品添加剂、食品相关产品
1.食用植物油。排查“地沟油”、黄曲霉毒素B1、苯并芘、邻苯二甲酸酯类物质以及掺假等问题。
2.酒类。白酒非法添加甜味剂、生产许可资质,以及以假充真、以次充好、掺杂使假,特别是冒用他人厂名厂址、伪造或冒用质量标志、伪造产地以及非法添加和滥用食品添加剂以非固态发酵酒冒充固态发酵酒、无根据标注“年份酒”等。
3.泡菜。排查非法添加酸味物质、滥用防腐剂、邻苯二甲酸酯类物质等问题。
4.调味品。排查违法添加苏丹红、罗丹明B和使用不符合规定的酸水解蛋白等问题。
(二)农资建材等生产资料、日用消费品、特种设备、计量器具及商品包装
1.农资类。重点产品为化肥、农药、农机及配件等。化肥和农药排查有效成分不足、定量包装商品净含量不符合规定,肥料包装标识不符合规定等;农机配件排查偷工减料、掺杂使假,以假充真、以不合格产品冒充合格产品;植保机械和轮式拖拉机排查执行强制性认证、无证生产等问题。
2.建材类。重点产品为建筑钢筋、建筑防水卷材、建筑混凝土预制管桩、砖、水泥等。以用于保障性住房、重点工程的
— 3 — 建材为重点,排查生产假冒伪劣建筑材料及不符合国家强制性标准等质量问题。
3.装饰装修材料类。重点产品为油漆、涂料、粘合剂、人造板等。排查有毒有害物质超标、定量包装净含量不符合规定等问题。
4.家具类。重点产品为板式家具、实木家具,尤其是儿童家具等。排查材质、粘合剂、软体家具染料中有毒有害物质含量等质量问题。
5.被服类。重点产品为儿童、婴幼儿服装,幼儿园、学校、敬老院、福利院用絮棉被等。排查掺杂使假、有毒有害物质含量超标、填充物有效成分不足等问题。
6.电梯及电梯配件。重点为公共场所、学校、医院和保障房使用的电梯、自动扶梯,排查执行安全技术规范、强制性标准的情况。
7.气瓶。重点为液化石油气瓶、车用气瓶的充装站和检验站。排查充装站违规充装超期未检气瓶或报废气瓶(螺丝瓶),检验站违法翻新改造和买卖废旧气瓶,以及车用气瓶安装单位无证安装等行为。
8.大型起重机械。排查是否存在未按规定办理设备使用登记和定期检验手续或超过报废期限仍在使用等问题。
9.特种设备持证上岗。排查特种设备培训、发证是否规范管理,是否存在不按规定考核作业人员,作业人员是否无证操 — — 4作等。
10.计量器具:重点排查集贸市场交易用衡器、加油机、出租车计价器、汽车衡等涉及民生计量领域的计量器具是否存在未经检定或超过检定周期、检定不合格继续使用的计量问题。
11.定量包装商品净含量:重点排查化工、水泥、电线电缆、食品类产品。排查生产企业定量包装商品未正确、清晰地标注净含量的;定量包装商品生产企业未经备案,擅自使用“C”标志的;获得“C”标志的生产企业违反《定量包装商品生产企业计量保证能力评价规范》要求的情况。
12.商品过度包装:重点排查食品、酒类、饮料、茶叶、化妆品类产品。排查生产企业商品包装是否符合国家《限制商品过度包装要求 食品和化妆品》(GB 23350-2009)强制性标准规定的情况。
(三)队伍建设
1.思想作风。通过分析党员干部思想动态,及时排查是否存在宗旨意识不强、党性不强、道德诚信意识淡化等不良倾向。针对排查出的风险,开展党的宗旨教育和社会主义核心价值观教育等,积极引导党员干部牢固树立宗旨意识,弘扬党的优良传统和作风。
2.党风廉政。分析全州质监系统发生的违法违纪案件情况、群众举报反映的问题以及督查工作中发现的问题,排查党员干部是否存在违反政治纪律和《廉政准则》,以及以权谋私、贪
— 5 — 污受贿等方面的苗头性、倾向性问题。针对排查出的风险,深入组织开展反腐倡廉教育,全面推进廉政风险防控体系建设。及时通报典型案例,有针对性地开展警示教育和岗位教育,查找违纪违法案件暴露出来的体制机制漏洞。
3.财务管理。梳理计财工作专项检查和审计发现的问题,排查经费使用、项目实施、财务管理等方面是否存在挪用专项经费、违规建设项目和其他违反财务管理规定的苗头性、倾向性问题。针对排查出的风险,全面推行预算绩效考评,进一步规范财务行为,强化预算执行的严肃性,提高预算执行力度。深入开展“一审双查”活动,重点关注财政财务收支、重大经济事项决策执行、内部管理及控制和政府采购等情况,及时发现和解决存在的问题。
4.政风行风建设。排查各股室是否存在慵、懒、散、慢问题和不作为、乱作为等问题,深入组织开展行风互查活动,严格责任追究制度,推动政风行风创建工作。
6.内部管理。排查公务接待费用、公务车运行费用,以及舆情研判和应对等方面可能存在的风险,排查通讯、消防、安保、办公秩序及设施、车辆管理和交通安全、餐饮安全、防灾减灾,以及应对突发事件等工作存在的风险,加强教育,认真执行中央、省委关于厉行节约、反对铺张浪费的规定,严格控制“三公”经费。加大正面宣传和舆论引导力度。监督检查内部管理各项制度的执行情况,加强应急值守,完善应急工作预 — — 6案。
三、时间安排
开展两个专项行动坚持全面排查与重点整治相结合,着力解决当前问题和建立长效机制;坚持边查边改边完善,突出重点、突破难点,整体推进。活动从即日开始,至年底结束。分三个阶段进行:
(一)全面排查阶段(6月28日—7月10日)
制定工作方案,并报州局专项行动办公室备案。明确目标,细化措施,分解任务,结合当前具体工作大力推进,专项督查。通过行政执法、监督检验、巡查回访等活动,排查产品生产、设备使用等环节存在的问题,充分发挥行业组织、技术机构、新闻媒体和相关企业在发现风险苗头和现象中的作用。建立质量安全风险排查整治和道德领域突出问题专项治理工作档案,将排查出的风险和问题逐一分类登记,以便逐一分析原因,逐一制定整治措施。
(二)集中整治阶段(7月—10月)
1.分析原因,研制措施。在全面排查的基础上,针对排查出的质量安全风险和问题、自身建设存在的问题和不足,划定风险等级,深入分析原因,研究制定防控措施,落实人员、落实任务、落实责任、落实时间,认真整治。
2.突出重点,强力推进。结合贯彻落实《质量发展纲要》,推进“质量监管 质量提升”示范推广工作,对质量安全风险
— 7 — 排查确定的重点产品、重点企业、重点地区进行重点整治,对发现的共性问题,组织集体协商“会诊”,加强源头治理,消除问题隐患;对突出问题,特别是反复发生、长期未能根治的风险顽疾,报请当地政府,制定专门的方案,实施专门治理;紧抓行业性的质量安全“潜规则”线索,深挖根源,彻底根除;专项治理问题严重的产品,关停并转问题严重的企业,挂牌整治问题严重的区域,严肃处理问题严重的单位和人员。对各类违法行为,一经查实,坚决予以打击;对涉嫌构成犯罪的案件,一律移交公安机关处理。
3.加强教育,强化管理。结合推进廉政风险防控体系建设,不断推进基层组织建设年活动,夯实基层基础建设,全面落实道德领域突出问题专项教育治理活动各项措施。紧抓队伍建设,带出一流队伍;紧抓基础建设,保障监管能力;紧抓行风建设,促进风清气正;紧抓制度建设,建立长效机制。
(三)巩固提高阶段(11月—12月)
坚持标本兼治、综合治理的方针,加强风险监测、研判、预警和处置的管理,建立健全以风险管理为中心的各种质量安全监管长效机制,以科学完善的风险监测,及时准确的分析研判,保证正确的预警处置,达到保障质量安全的目的。活动结束后,认真总结两个专项行动工作,梳理工作基本流程,形成工作基本经验,找准工作难点问题,提出思路和想法,谋划来年风险管理。
— — 8
四、工作措施
(一)加强应对,合力处置
增强风险管理意识,健全和完善风险研判处置机制,规范风险管理程序和措施。以整治人民群众反映强烈的产品质量和食品等质量安全问题为切入点,从点到面、从上到下、从内到外,加大质量安全风险分析评估力度,针对不同类别产品,按照高、中、低档风险等级,建立应对处置预案,坚决整治各类质量安全隐患,严厉打击各种质量违法行为,着力构建质量安全长效机制,不断增强质量安全风险处置的主动性、科学性和有效性。相关股室要主动与经信、农业、商务、卫生、工商等部门的风险管理机构联系沟通,积极搭建风险管理协作机制,逐步形成协调统一、资源共享、运转协调的质量安全风险监测平台。在当地政府统一领导下,采取有效措施,形成工作合力,使质量安全风险早发现、早研判、早预警、早处置,努力构建质量安全风险齐抓共管的良好局面。
(二)严格管理,依法行政
进一步增强法治意识,对内依法管理,对外依法行政,既不回避潜在的风险点,又不随意扩大未经研判的风险。要严格内部管理,认真排查质监工作和队伍建设方面存在的风险,着力整治行政不作为、乱作为和慢作为等问题。依法依规开展工作,不得设置不符合法定条件要求,妨碍监管对象正常的生产经营活动。对各类产品风险监测发现的问题,必须在依法核准
— 9 — 后依法查处。严格规范风险信息公开工作,不得随意发布风险监测信息及分析结果。建立落实质量安全主体责任的企业报告制度,推动企业依法依规如实报告原料进厂、生产过程控制、出厂检验把关等环节的质量管理情况。对企业隐瞒不报、排查发现的违法行为,严肃依法查处。
(三)统筹协调,夯实基础
两个专项行动是一项政治任务,更是一项民心工程,要坚持把两项行动与宣传贯彻《质量发展纲要》相结合,与开展“质量监管 质量提升”示范推广工作相结合,与基层组织建设年活动相结合,与推动各项业务工作相结合,统一部署、统一安排、统一行动,尽全力确保不发生区域性、行业性、系统性重大质量安全问题,确保质监工作稳定、质监队伍稳定,切实让老百姓增强安全感,看到希望,充满信心。同时,进一步加大对基础建设和质量安全监管保障能力的投入,加强标准化、计量、认证认可、检验检测等工作,为防控质量安全风险提供有效的技术保障。
(四)加强督查,引导舆论
继续开展“食品安全宣传周”、“质监邀您看企业 食品安全大家行”等食品安全知识和食品监管工作的宣传活动,努力形成良好的社会舆论氛围和社会舆论导向;邀请新闻媒体和人大代表、政协委员、食品专家、普通消费者参与食品监管工作,进一步增强监管工作的公开性和透明度,树立质监部门履 — — 10职尽责、监管为民的良好形象。
领导小组办公室联系人: 张 鑫 电话:*** 食品工作联系人 : 李树琼 电话:*** 质量工作联系人 : 郭成兵 电话:*** 计量工作联系人 : 何文全 电话: ***
主题词:质量监督
风险排查△ 方案
通知
会理质量技术监督局办公室
网络安全风险评估问题 篇6
1 结核病房风险问题
1.1 来自患者或家属方面的风险问题。
1.1.1 由于患者或家属对结核病的相关知识缺乏:对于结核病是由于呼吸道传播引起的呼吸道传染性疾病的风险认识不足,引发对家人、家属、陪伴或探视者可能产生的潜在风险是不安全的因素,因为结核菌可通过空气、飞沫或直接接触传播给这些人,然后向外界传播,往重的说是危害社会。
1.1.2 肺结核病人咳嗽咯血的潜在危险:肺结核是咳嗽咯血最常见的病因,而咯血潜在的危险即呼吸道阻塞会引起窒息。有些病人就是在病房外散步或在上厕所中突然发生大咯血不被人及时发现而错过抢救时机。
1.1.3 跌倒或发生压疮的潜在危险:由于结核病是呼吸道传染性疾病,有些子女害怕被传染不愿意陪护或工作太忙及其他原因没有时间陪护,患者又不愿意麻烦别人或要强,特别是有些脾气倔犟的老年人,生活不能自理又不愿意请求别人帮助,超过自己的活动能力范围而导致跌倒或发生压疮。
1.1.4 健康教育力度不够:对结核病防治知识的卫生宣传未引起高度重视,病人不合理治疗,不按时服药或自行过早停药,药物耐药加上盲目用药;经济的发展,世贸组织的加入,使得流动人口增加,爱滋病蔓延,结核病也成为了获得性疾病。
1.2 来自医护人员的风险问题。
1.2.1 护士工作的特点:自身的健康因素、医院环境、设备、组织管理因素等都成为护理工作中的风险问题。任何一个环节的失误,都直接或间接危害病人的健康甚至生命,同时自己也承担经济、法律、人身的风险。临床工作中,由于护士是各项治疗及护理措施的直接实施者,在护理活动过程中所存在的风险最多最大也最易被人所忽略,事实上,任何临床活动甚至最极为简单或看似微不足道的临床活动都带有风险[2]。如果对风险的管理意识不强,实施风险的防护措施认识不足或不深,势必导致风险的发生。
1.2.2 结核病房的特点:决定了其本身是呼吸道传染性疾病,在结核病房工作的医护人员承担的护理风险除了与普通病房的危险因素,如:病人摔倒、坠床、服错药、打错针、针刺伤(感染爱滋病、肝炎等)、院内感染,还有病人之间发生暴力、失窃、灾害等;还承担呼吸道传染性疾病所带来的危险如空气传播、飞沫传播、直接接触传播;目前新增加的风险还有SARS、禽流感以及其他一些少见的呼吸道传染性疾病。
1.3 来自护患关系或纠纷的风险问题。主要是法律知识缺乏或法律意识淡薄,自我保护意识不强。如有些治疗或护理确实做了,但护理记录单上未记录,在法律上,护理记录单上的任何文字记录都是重要的法律依据,如果有法律纠纷打官司,在法庭上就会因证据不足而败诉,有理难辩。如果不懂得协调护患关系,不懂得履行自己的职责、义务与法律的关系,不将自己的责任与法律责任连在一起,当发生利益冲突时,特别是患者的利益,表现为不向病人讲解所需要的信息、不尊重病人的人格,护理纠纷中常反映为服务态度不好,甚至是恶劣的问题,是护理纠纷的导火线。如果给病人造成了生命、身体和健康伤害,病人一旦起诉,护士承担的责任是行政处分、刑事责任、经济处罚。护理人员稍有言行上的不慎,说话不讲究技巧,做事不讲究方法,也会导致护理纠纷的发生。
2 防护对策
2.1 来自患者或家属方面的风险问题的对策。
2.1.1 对病人和家属讲解知识:肺结核病的传播途径,以呼吸道为主,病人的飞沫或痰液中带有结核菌,健康人吸人后也可能引起发病,每个传染源每年可传播10~15人,随地吐痰、咳嗽、打喷嚏对健康人的危害也非常大,对病人应进行严格的隔离,劝告患者克制自己的不良行为[3],把风险减低至最低程度。
2.1.2 咯血病人的对策:嘱其一定卧床休息,不自行下床或外出,必要时留陪人,上厕所时有人陪守,咳嗽时不要太用力,取侧卧位轻轻将血痰咳出。饮食上进温凉软食,避免辛辣等刺激性的食物,保持大便通畅。做好心理护理,消除病人紧张情绪,保持病房安静,以利病人恢复。
2.1.3 为了避免跌倒或发生压疮的对策:防止原有压疮加重,除了强化护理人员的安全教育和风险管理外,也应强化护工与后勤人员的安全教育和风险管理,病区走廊安装扶手,保持地面干燥平整,清洁地面时放置防滑标志,地面有水及时擦干,每张病床安装护栏。对病人的皮肤应认真查看和评估,对不可避免发生压疮的相关因素应做好分析并申报备案上报;对易发生压疮的高危人群,使用防压棉垫,做到勤翻身(不少于2小时),更换体位可用气垫、水垫;对原有压疮除加强以上措施外,应根据局部创面的情况进行治疗和护理。
2.1.4 加强结核病的健康教育:世界卫生组织将每年的3月24日定为世界结核病防治日,呼吁各国政府加强对结核病防治工作的重视与支持,动员全社会参与,提高全民的结核病防治意识,开展形式多样经常性的健康教育活动,加强流动人口的管理,各人洁身自爱,防止爱滋病蔓延;结核病病人要早期、适量、规律、联合、全程地进行抗结核治疗。
2.2 医护人员的风险防护对策。
2.2.1 护士应加强自身的体质锻炼:自己健康才能对病人负责,医院应加强医疗设备的管理和维修,改善医疗环境;定期召开护士例会,每月进行一次护理质量反馈、护理安全意识的教育,强化风险意识,同时要求护士长利用晨会带领护士学习护理风险的各项防范措施,并随时检查落实情况。医疗护理行为本身是具有超过各种服务之上的高科技行为的组合活动,具有高风险性,也是导致医疗纠纷和投诉发生的隐患[4]。定期培训业务学习、三基训练、法律知识,完善护理风险管理制度,落实各项制度的管理办法,如交接班制度、查对制度、分级护理制度、护理文件书写制度等。
2.2.2 结核病房的医护人员的特殊风险防护:除了做好标准预防外,还应做好空气传播的防护,用来减少传染病菌经空气传播的危险性。特别的空气处理和通风通气处理,紫外线消毒、开窗通风;合适的呼吸道防護(戴口罩和眼保护装置)。飞沫传播的防护是用来减少传染病菌经飞沫传播的危险性,飞沫传播是指含有病原微生物的呼吸道分泌物大颗粒飞沫接触眼睛或鼻、口腔黏膜,这些飞沫是由咳嗽、打喷嚏或谈话传播的;这种途径的传播需要与病人密切接触(通常在2.74尺以内)。因为这种飞沫不停留在空气中,故不需要特殊的空气处理,除了标准预防外还应戴口罩。直接接触传播的防护:用来减少微生物通过直接或间接接触而传播的危险性。直接接触传播包括皮肤-皮肤,以及微生物来自或带菌者的机体传播。间接接触传播指接触受污染的中间体,通常是病人环境中的无机物,进入病人房间应戴口罩和手套并穿长工作服。
2.3 加强法制教育和护理风险管理。提高对风险的认识,对工作中发生的护理问题或纠纷认真分析,教育护士认真对待每件事情,每项操作,每次记录。在法制越来越健全的社会中,了解学法懂法的必要性和重要性,懂得用有关的法律法规知识维护自己,只有依法对待医疗中的护理风险,在维护患者利益的前提下,才是我们的工作之本。属于人为因素可控制的,我们一定从这方面减少风险或杜绝,严格遵守各项规章制度技术操作规程,规范文明用语,热情服务,礼貌周到,耐心细心解释,人性化对待,尊重每位患者。建立安全警示牌,特殊操作风险管理告知制度,并做好交接班记录。
综上所述,护理安全应该受到每个护理管理者的重视[5],提高护理服务质量,杜绝护理风险发生,保证患者生命安全才是我们最基本的问题和职责。
参考文献
1 戴青梅等.护理风险管理研究进展[J].中国护理管理,2006;6(8):36~38
2 向岚.推行护理风险管理提高护理服务质量[J].护士进修杂志,2005;20(5):405
3 卢仲武.38例慢性排菌肺结核患者的护理[J].广西医学,2007;29(7):1112
4 席淑华等.对急诊护理操作实施风险管理的探讨[J].中华护理杂志,2004;39(2):154
网络安全风险评估问题 篇7
军队院校信息化建设始于上个世纪90年代初开始, 如今军校教育教学、机关办公、学员管理等基础业务对网络信息系统的依赖程度越来越大, 同时面临的信息安全问题也越来越复杂多样化、越来越隐蔽化。虽然学校采取了安全监测、入侵防护等安全技术措施, 但由于学员网络安全保密意识不强, 网络安全技术掌握不到位的欠缺, 管理方法针对性不强, 军队院校学员网络安全风险高, 以至网络安全事件甚至泄密事件时有发生。而卫勤军校学员在平时的学习工作中均有可能会涉及并接触到更多的军事秘密, 面临的信息安全问题更加严峻。因此, 迫切需要对卫勤军校学员的网络信息安全现状及风险因素进行客观有效的分析和评估, 依据评估结果为针对军校学员的网络信息安全管理提供指导, 进而有针对性地采取综合性网络安全风险的有效管理措施。
2 军校学员信息安全面临的风险
2.1 网络信息环境复杂, 安全风危险性高
信息时代, 互联网的应用已经深入到各个领域, 但其共享性、开放性和互联性的特点, 使得环境越来越复杂, 危险不安全因素越来越多。
一是网络黑客攻击。网络攻击包括黑客攻击、病毒感染以及针对性军事机构、军队人员的网络监视, 如军校附近的企业、网络监听。目前信息系统技术发达, 网络黑客可以通过极限攻击、读取受限文件、拒绝服务以及口令恢复等一系列技术获取信息, 对军队保密安全形成威胁。学员在使用网络时感染病毒导致文件丢失、破坏, 发生严重的安全事故。此外, 针对军事机构和军事人员的网络监视并不少见, 增加了军校学员网络信息安全的风险。
二是网络陷阱。特别是一些博客、论坛, 借军事爱好、讨论敏感话题、套取军事信息此外, 有些人在网络上设置陷阱, 一旦发现军人身份的网络用户便主动接近, 通过交流和获取军队内部信息。同时, 由网络海量信息形成的巨大信息流, 其中掺杂着诸多不良信息, 更有人借网络进行非法活动的传播, 对大学生进行鼓动和教唆, 严重危害学员身心健康。现代社会的多元化很大程度上反映到了互联网上, 随着网络的发展, 论坛社区、交友网站的兴起, 微博、QQ、MSN等交流交互方式的流行, 智能手机的广泛应用, 吸引着军校学员接触网络, 给学员自身、学校甚至军队的信息安全都带来很大的威胁。
三是病毒感染网络沉迷。互联网的虚拟性极大程度地吸引着学员不断接触网络, 其中网络恋情和网络游戏是最主要的沉迷对象。人生观和价值观正在形成过程中的大学生分辨能力和自制能力较差, 加上军队院校相对封闭的环境, 部分军校学员沉迷于网络恋情或网络游戏而不能自拔, 安全意识更加薄弱, 往往将自身信息和军事机密信息透漏出去, 甚至引发涉密安全事故。
2.2 信息安全意识差, 抵御能力弱
一方面随着智能终端的不断研发, 信息化进程的不断推进, 上网方式已经不再局限于计算机, 智能手机、平板电脑以及各种无线网络设备都可以方便连接网络。学生作为网络的主体, 网络信息安全意识差, 依赖上网方式的多样化和便捷性频繁的接触网络。另一方面, 随着微时代的到来, 微文化流行, 参与便捷, 加之学员的信息安全意识不强, 将校区所处的环境图片、课件、听看到的信息、消息等随手转发到网络上, 给学校和军事机构带来严重的安全隐患。更有甚者, 学员利用网络散播不良信息, 参与黑客等网络破坏活动, 给国家和军队带来严重的损失。迅速发展和广泛应用的互联网, 是广大军校学员获取信息的有效途径, 同时也对信息安全形成巨大挑战。互联网大量的信息集成, 是对每个涉足互联网人员的冲击, 没有强烈的安全意识, 很容易导致安全事故的发生。在管理方式上, 大多数只停留在接受口头安全教育的层面上, 没有意识到现代高端的信息技术和间谍技术带来的威胁。
2.3 网络信息安全管理差, 处理方法少
目前军校面临的信息安全问题也越来越复杂多样化、越来越隐蔽化。虽然杀毒软件、防火墙、入侵检测等安全技术的应用起到一定的防御作用, 但由于管理方法针对性不强, 对于安全事件的处理不到位, 信息安全事故依旧不减。军队院校是培养军队专门人才的特殊教育训练机构, 互联网、校园网、军事信息综合网等各类网络广泛应用。军校学员在生活、学习过程中, 有机会了解和掌握军队的编制体制、方针政策、武器装备等涉及军事秘密等信息, 而针对军校学员的网络信息安全管理办法少、科学性不强, 主要体现在两方面。
一是宣传式教育过于形式化。大多数学校的网络信息安全教育是以口头说教、安全讲座、安全知识考试以及教育传单的形式展开, 而这些宣传式的教育流于表面, 没有真正让学员体会到现代网络环境存在的风险, 也没有意识到自己的网络行为所造成的安全隐患。
二是限制网络使用效果不明显。为了防止安全保密事故的发生, 学校常常用会限制学员的网络使用, 但是这种“堵”的方式只能限制了学员对学校网络和网络设备的使用, 学员依旧可以方便选择通过其他智能终端使用网络, 而且这种方式与现代信息社会格格不入, 阻碍和影响到了学员正常获取学校正常教学、办公信息和知识的途径, 引起教学办公人员的不满。这些办法并没有真正加强学员的安全意识以及阻止安全事件的发生, 也为信息安全带来了风险。
3 军校学员信息安全评估存在的问题
3.1 针对性不强, 评估指标不完善
目前大多数军校都会定期对网络进行检测和维护, 对于信息安全的风险评估大多数侧重于网络硬件和软件的基本情况, 忽视了针对学员的信息风险评估。认为通过限制使用就可以避免风险, 这样不但浪费了资源, 也没有真正起到降低风险的作用。很多风险评估没有针对学员的评估指标, 或者没有深入研究学员的网络行为, 其指标缺乏有针对性, 导致评估在学员信息安全防范措施这一环节上的薄弱。
3.2 科学性不高, 风险量化能力差
对于军校学员的信息安全风险评估大多数指标是定性的, 而定性的安全风险评估无法准确地确定风险的大小, 无法对安全风险进行精确地排序, 从而难以确定系统面临的真正风险。这就要求军校学员信息安全风险评估工作所运用的评估方法必须具备一定的量化能力。量化风险评估分析方法的关键在于输入参数的量化。对制定的量表进行有效的赋值, 并在此基础上归类分析是量化评估的难点, 而目前军校在对学员进行信息安全风险评估时, 处理这些量化难点做的还不够到位。
3.3 系统性评估流于形式, 对评估结果没有充分利用
多数军校只有上级安全部门进行的检查评估时才进行信息安全风险评估工作, 并没有进行自评估, 或者自评估的次数少, 不能及时发现学员存在的信息安全隐患。风险评估在国内发展的时间较短, 在军校学员中开展系统性的信息安全风险评估, 军校引入的并不多, 所以评估的形式欠科学性。同时评估流于形式, 有些军校虽然开展了对学员的评估, 但不能根据评估结果采取相应的安全措施, 失去了评估的意义。
4 军校学员风险评估实施策略
4.1 提高重视程度, 采用先进管理方法
提高对学员信息安全风险评估的重视程度是决定风险评估效果的关键因素。首先, 军校工作人员在对学校整个信息系统进行风险评估时, 应当把对学员的信息安全风险评估单独列出, 着重从伦理道德、纪律规范、网络技能和网络行为等方面进行评估, 提高学员的安全思想意识。其次, 要引进先进的管理办法, 不能只停留在宣传式教育和限制网络上。宣传形式要新颖, 可以用实例向学员宣讲, 同时模拟真实的环境, 让学员参与其中, 从而加深印象, 提高意识。管理上可以对学员进行跟踪监测, 发现学员在网络使用上的漏洞, 将其列为控制的关键环节加强管理;也可以对学员进行调研, 了解学员对于网络行为和信息安全的认识程度, 及时进行针对性教育。同时, 领导层面要加强重视, 才能提供更多的人力物力支持评估工作。各级干部和学员要抓好落实, 养成良好的安全习惯, 配合好风险评估工作。
4.2 深入研究风险, 有针对性地建立指标体系
合理有效的评估指标体系是进行风险评估的基础要素。建立有针对性的评估指标体系:一是要要充分调研学员信息安全存在的风险, 跟踪学员的网络行为, 发现关键环节;二是要把握指标体现建立的原则。首先是一般性原则, 包括系统性原则、典型性原则、导向性原则、针对性原则、简约性原则、可操作性原则以及可延续性原则。风险评估设计要考虑到学员心理行为、网络安全技术和安全管理制度等多方面因素, 依照一般性原则的同时也要综合考虑这些特殊因素;三是要多维度建立评估指标体系。依据信息安全风险评估成熟的理论和方法, 根据对军校学员网络行为的研究结果, 从法律法规、伦理道德、安全保密和安全技术等维度入手, 在每个维度中确立定性和定量的指标, 建立网络安全风险评估架构。
4.3 充分利用评估结果, 将风险评估制度化
在完成了对学员信息安全风险的评估后, 要对采集的数据进行科学的分析。针对学员的信息安全风险评估存在大量的定性指标, 具有结构复杂、不确定性和非线性的特点, 传统的权重赋值方法精度低。人工神经网络是近几年发展起来的一种新兴的科学方法, 它模仿人大脑的工作机理和思维本质, 通过数学模型与计算机的结合, 所建立起来的一套智能的系统。目前, 人工神经网络已经发展了十几种, 适用于不同的实际问题来建模。而径向基神经网络因其能够逼近任意的非线性函数, 解决系统内在难以解析的规律, 因此在实际评估的过程中能很好地处理主观与客观的指标, 得到较为完善的评估结果。针对评估结果, 学校应当采取一系列管理措施, 并制定长期的网络使用规范和有关信息安全的纪律条例, 并根据新的问题进行修改和完善。把对学员信息安全的风险评估制度化、规范化, 真正展现发挥风险评估的效果效用, 从而避免安全事故的发生。
摘要:迅速发展和广泛应用的互联网, 是广大军校学员获取信息的有效途径, 同时也对信息安全形成巨大挑战, 展开针对军校学员信息安全的风险评估具有现实意义势在必行。本文分析了结合对军校学员面临的网络信息安全风险, 指出了行为的调研和信息安全风险评估的技术方法, 同时总结了军校学员面临的信息安全风险和目前风险评估存在的问题, 并提出了具体的实施对策。
我国网络银行风险监管问题研究 篇8
(一) 国外研究状况。
美国阳伦-H-利普斯、托马斯-R-马瑟查尔、简-H.林克合著的《电子银行》, 美国玛丽-J-克洛宁所著《互联网上的银行与金融》这些著作对网络银行的业务特点、竞争优势、风险问题等作了比较全面的介绍, 但对网络银行风险防范及控制问题的研究不够深入细致。Mayr J.Cornin.在《Banking and Finance on the Internet》指出, 加强网络银行风险防范与控制, 要建立起一套严格的内控制度, 从网络银行内部组织机构和规章制度建设上防范和消除网络银行风险。新加坡Tan Chwee Huat在出版的《Financial Markets and Institutions in Singapore》中指出, 网络银行的风险具有开放性、易变性和流动性等特点, 一定不能忽视对其进行监督和管理, 网络银行风险管理主要依靠国家中央银行的指导和各商业银行的通力合作。
欧美等发达国家金融监管机构, 对网络银行的风险监管基本上采取宽松的监管原则, 主要通过补充新的法律、法规, 使原有的监管规则继续适应网络银行环境, 并针对网络银行及其风险的特点, 制定、颁布相应的立法建议和监管指南, 建立了较完善的网络银行监管法律体系。
(二) 国内研究状况。
网络银行在我国的迅速发展开始于2000年前后, 但与其迅速发展的形势相比, 我国网络银行风险监管的理论研究和实践相对滞后。尹龙是国内研究网络银行比较早的学者, 他在论文《对我国网络银行发展与监督问题的研究》一文中, 对网络银行的风险特点和监管措施进行了详细的阐述, 并结合我国网络银行的现状, 提出了完善网络银行监管的必要性和监管策略。张成虎在发表的《信息技术风险监管———银行监管的新领域》一文中, 对银行技术风险进行了定义, 分析了技术风险的表现形式和国内研究现状, 并对我国网络银行风险监管问题提出了对策。张军亮在论文《我国网络银行的风险与监管体系建设》中通过分析我国网络银行风险监管的难点, 提出了从三个层次建立风险监管体系。徐静在《关于完善我国网络银行监管的思考》中, 指出网络银行在我国迅猛发展, 但是网络银行的发展不可避免要带来风险, 监管部门必须重视这个问题, 并采取相应的措施加以防范和化解, 例如建立健全我国的网络银行监管制度, 借鉴国外网络银行监管经验, 改变传统的银行组织架构和管理方式, 积极培养适应网络银行发展的复合型人才。
总体而言, 网络银行风险监管理论还处于不断丰富和完善状态, 这与网络银行的迅猛发展不相适应。
二、网络银行存在的风险分析
(一) 系统技术风险。
网络银行的技术风险大致体现在四个方面:一是密码、口令简单。网络上的许多风险的起源是使用了简单的、静态的口令。网络上的口令可以通过许多方法破译, 其中最常用的两种方法是通过监视信道窃取口令和口令解密;二是系统本身漏洞。UNIX操作系统是一个开放的系统, 从一台联网的计算机客户端使用“跟踪路由”命令的话, 就可以看见数据从客户机传送到服务器要经过许多不同的节点, 这些节点最容易受到攻击;三是信息易窃取。大多数网络上的信息没有加密, 或简单加密, 以至于文件传输很容易被窃取。同时, 网络防火墙的设置比较复杂, 许多系统在设置过程中无意识地扩大了访问权限, 从而被不法人员利用获得信息;四是监视系统。当客户使用文件传输协议或远程登录终端模拟协议连接远程账户时, 他输入的口令是没有加密的。所以, 通过监视携带口令和用户名的IP包可获取他们, 并使用这些用户名和口令到系统。
(二) 操作风险。
操作风险指来源于系统可靠性、稳定性和安全性的重大缺陷而导致的潜在损失的可能性。操作风险主要涉及网络银行账户的授权使用、网络银行的风险管理系统、网络银行与其他银行和客户间的信息交流、真假电子货币的识别等。商业银行职员对业务的漫不经心和客户的疏忽也有可能导致网络银行严重的操作风险, 从而危及网络银行的总体安全。网络银行可能会因为客户欠缺网络安全方面的知识而面临相当高的操作风险。另外, 商业银行职员和客户不能够充分理解网络银行采用的不断更新的软件, 进行误操作也会给银行或客户自身带来操作风险。
(三) 银行经营风险。
经营风险指网络银行在经营过程中, 因为经营不善而使利润下降的风险。网络银行能否获利, 主要取决于客户数量的多少。只有不断增长客户数量和提高客户信任度, 才能确保网络银行的盈利能力。因此, 经营风险又可以分解为注意力分散风险和服务对接风险。注意力分散风险是指网站因为吸引不到足够的点击量, 无法形成一定数量的固定浏览群体, 从而使潜在的客户流失, 造成银行收益下降的可能。服务对接风险是指网络银行不能提供足够多的电子商务网站的在线支付服务, 造成客户转移, 使银行的营业额下降, 最终导致收益损失的可能。
(四) 行业法律风险。
网络银行的法律风险来源于违反相关法律规定、规章和制度, 以及在网上交易中没有遵守有关权利义务的规定。网络银行业务牵涉到商业法律, 包括消费者权益保护法、财务披露制度、隐私保护法、知识产权保护法和货币发行制度等。当前, 我国电子商务还处于起步阶段, 针对网络银行、网上支付的专门法律还没有出台配套的法律法规, 所以, 利用网络及其他电子媒体签订的经济合同中存在着一定的法律风险, 也使得银行、司法机关在打击网上金融犯罪时难以采取主动措施。
三、我国网络银行风险监管存在的问题
(一) 监管模式不合理。
目前, 我国还没有出台一套针对于网络银行监管的模式, 现在用的监管体系都是沿用了传统银行的监管方式, 因此出现了监管的手段跟不上网络银行发展的现象。网络银行业务相当大的一部分具有同质性, 又经常出现在同一个平台进行。这就与传统银行业务按照机构或者产品划分的监管方式有着很大不同。所以传统的银行监管模式很难适用于现阶段的网络银行。同时网络银行涉及到的监管机构相对较多, 目前, 还没有一套科学的协调机制。不同监管机构的监管理念、监管职能、监管手段等方面各具特点, 因此会出现相同的网络银行业务得出不同的监管结果。在进行传统银行业务与网络银行业务的融合过程中, 较多的使用电子记录、电子凭证、电子数据等方式, 从而不能准确预测资金的流动, 不能够满足网络银行监管的要求。
(二) 监管水平较低。
由于网络银行出现的时间还不是很长, 导致我国的网络银行监管部门职能设定不是很清晰, 缺乏熟知网络银行相关法律法规、掌握计算机网络和传统银行业务的监管经验的监管人员, 所以导致监管专业水平较低, 业务能力不强。监管机构和人员对于风险的预测、分析、控制的能力薄弱, 所以较难适应新时期网络银行监管的要求。
(三) 法律法规不健全。
网络银行不受时间和空间的约束, 以其独有的便捷性, 给传统银行带来极大的冲击, 同时在传统银行有效的相关法律运用到网络银行上就显得不是很适应。科学的网络银行相关法律法规需要包括金融理论、通讯理论、计算机理论、网络技术理论等内容。这些内容共同作用才能使网络银行业务的安全有效进展。但是, 目前我国关于网络银行的法律法规还不够完善。现阶段我国有关于信息安全保障以及计算机网络等方面的法律仍然不够, 对于网络银行的业务规范相关法律几乎没有。2001年, 以中国人民银行为主的十几家银行共同建立了我国的金融认证中心, 解决了网络银行认证方面的一部分问题, 但是其影响力只限于签发相关的金融系统的证书, 没有真正形成权威的认证体系。所以, 目前出现了商业银行自己发放认证证书, 并且参与虚拟交易的现象。银行的监管机构所颁布的相关规章制度及行政法规仍不满足网络银行监管的需求。例如, 2006年所颁布的《电子银行业务管理办法》仍然没有关于技术风险管理方面的法规制定。
(四) 缺乏市场准入与退出机制。
市场准入是控制网络银行风险, 维护交易安全的第一道关。把好准入关, 就能够将那些可能存在安全隐患, 造成安全风险的网络银行排除在外。根据《电子银行业务管理办法》, 网络银行的准入适用的仍是审批制。从我国当前网络银行发展的实际情况来看, 对现有银行开办网络银行业务的, 施行严格的审批制是十分必要的, 可有效的降低网络银行乃至整个金融业的风险。但是该规定所具有的时间性、程序复杂性与网络银行业务开展的多样性, 变化性及迅捷性等特点是相互冲突的, 导致传统银行从事网络银行业务条件过高, 市场进入成本较高, 不利于网络银行业务的开展和运行。
同时, 网络银行处在日新月异、纷繁复杂的金融环境中, 同样也受到优胜劣汰规律的制约, 一旦不符合市场要求和经营条件的, 也应当适时退出。如何减少其在退出时造成的损失和负面影响, 需要一套完善的法律制度, 而我国目前缺乏这方面的制度。
四、完善我国网络银行监管体系的对策
(一) 健全网络银行相关法律法规。
只有健全的法律法规才能够做好风险监管的工作。随着互联网高速发展, 电子商务的兴起, 我国需要制定科学的、规范的网络银行相关法律法规以规范网络银行的各种业务, 从而降低网络银行风险。我国在1999年颁布的《合同法》中承认以数据电讯的形式签订的合同具有法律效力。与此同时, 在2004年又出台了专门的《电子签名法》力争完善相关法律。但是现阶段, 我国仍然缺乏对网络虚拟交易税法、信息安全相关立法、网络交易隐私权立法等多方面法律的制定。在国际范围内, 各个国家之间缺乏金融与司法的有效联系, 从而不能够适应网络全球化的需求, 对于跨国网络金融犯罪的国际条例仍然约束力不强, 所以我国要力促健全国际与国内的网络银行相关法律法规, 力促实现网络银行的依法监管目标。
(二) 加强网络银行监管机构建设。
我国的网络银行风险专设机构的建设应当借鉴西方国家的先进经验, 以央行为主体建立完善的网络银行监管机构。从传统的银行监管机构中抽调对计算机网络、银行业务、金融体系等技术理论过硬的人才建立一支监管能力强的网络银行监管队伍。并且对机构中的骨干人员进行有针对性的培训, 负责对网络银行风险预测与指导下属机构业务。与此同时各个地区需要设立相应的网络银行监管机构, 将我国的网络银行风险区域进行合理的划分监管。并且定期的组建网络银行的法律以及电子商务方面的专家进行研讨, 依照我国网络银行风险监管的发展现状以及相关的法律法规、及时的发现问题, 提供意见, 并且将建议及时地提供给中央银行, 以便进行下一步的网络银行风险监管制度改革。由此可见加强监管专业人员的业务素质培养是此环节的重点。
(三) 创新监管思路, 提高监管部门业务水平。
网络银行业务引领了我国的银行业走向网络化的道路, 现阶段我国网络银行业务的发展仍然不够成熟。所以在进行网络银行风险监管的同时要注意不能够阻碍网络银行的正常发展。在预测以及控制风险的过程中要保护网络银行的竞争、不断地创新监管思路。提倡强化主管部门对网络银行的业务监管, 简化网络银行创新业务以及审批业务的冗繁程序, 彻底的简化网络银行业务的审批方式。
(四) 加强市场准入与退出的监管。
加强市场准入方面的监管。国外一些国家和地区的做法通常是对在现有组织框架下开展网络银行的不需要审批, 由其自行发展;而对设立独立的开展存贷款业务的网络银行法人, 则需要审批。英国监管当局认为风险较大的金融机构不宜从事网络银行业务。对于我国而言, 在网络银行业务发展初期, 基于对其业务未知风险的防范, 审批制的存在是合理的也是必要的, 能将那些可能存在安全隐患、造成安全风险的银行排除在外。我国可以进一步在总体上确立审批制度的前提下, 制定灵活的市场准入制度。可以适当放宽市场准入主体条件, 对进入网络银行业的主体予以有条件的开放;逐步放宽网络银行的业务范围, 允许网络银行兼营证券、保险的业务, 逐步实现银行功能的全面化;适当简化审批程序。长远看来, 审批制会加大网络银行的市场准入成本, 因此应当尽可能的简化审批程序, 降低进入成本, 以避免影响网络银行的业务创新和技术进步, 降低银行业的整体竞争力。
加强市场退出方面的监管。当前欧美国家对网络银行的退出处理非常谨慎, 一般要求网络银行制订可靠的信息备漏案、参加储蓄保险计划。网络银行退出时以市场兼并作为主要的措施。网络银行的退出不仅关系到银行的有形资产处置, 还涉及到多年积累的无形资产, 比如客户交易信息、消费信息、个人理财方式等数据的处置。因此, 对网络银行的退出设计应当谨慎, 作出妥当的安排。对此, 可以借鉴国外经验, 我国网络银行的市场退出机制包含以下四点:一是加快建立存款保险制度, 使网络银行均参加储蓄保险, 以抵制市场风险;二是制定可靠的信息备份方案, 减少信息数据处置不当带来的损失;三是确立网络银行审慎退出的监管原则, 减少对金融市场的冲击;四是以市场的办法解决网络银行的退出, 提倡选择企业并购方式。
摘要:互联网和电子商务的飞速发展对银行业产生了深远的影响, 作为金融创新之一的网络银行在信息化、数字化和电子化背景下应运而生。网络银行作为一种新生事物, 其风险与传统银行有所不同, 这就需要对其风险进行分析, 并提出加强风险监管的对策。
关键词:网络银行,风险,监管,对策
参考文献
[1]尹龙.网络银行与电子货币的发展及影响[M].成都:西南财经大学出版社, 2003.
[2]解淑青.我国网络银行监管现状及应对策略[J].哈尔滨学院学报, 2005.9.
云计算的安全隐患及风险问题研究 篇9
关键词:云计算,安全隐患,风险,解决措施
自21世纪以来, 第三代信息技术云计算取得了迅猛的发展, 它正极大的改变着我们的生活方式和生活质量, 云计算将引发信息产业商业模式的根本性的改变。云计算技术给人类带来诸多的好处。, 例如成本低廉, 可用资源丰富、可移动性、无限量的存储能力等, 降低了数字鸿沟。云计算服务的受益包括:“成本低、省时、便捷性等一系列优点。云计算带来了诸多的好处, 无论对需求个体还是企业而言, 巨大的经济优势、便捷性、可扩展性的用户体验等诸多好处都提高了人们的生活质量、改善了生活方式, 促进了人类社会健康发展, 增进人类的幸福。尤其当云计算与物联网等智能手段相结合将给人类生活和生存方式带来巨大的改变和革新。但同时云计算技术的发展也带来了诸如安全、隐私、法律风险等问题, 本文分析了云计算技术的安全隐患以及风险, 提出了相应的解决措施。
1 云计算的概念
到目前为止, 国内外就云计算的定义还未达成统一, 目前普遍获得认可的定义是美国国家标准与技术研究院给出的定义:“云计算是一种按使用量付费的模式, 这种模式提供可用的, 便捷的和按需的网络访问, 只需投入较少的管理, 与服务供应商也不必有过多交互便能进入可自由配置的计算资源共享库, 共享库里的这些资源能够被用户快速便捷的获取和利用。”而中国电子学会云计算专家委员会给出云计算的定义为:“一种基于互联网、大众参与的计算模式, 它具有动态、伸缩和虚拟化特点的计算、存储和交互能力, 提供给用户以服务资源。这种新概念的计算资源的组织、分配和使用方式将大大提高计算资源的利用率, 它是一种真正的绿色计算, 是计算机节能减排的新方式。”赛迪顾问有限公司在其发布的中国云计算发展白皮书中对云计算的定义为:“一种通过互联网络使用户按照其需要, 并且能够以扩展的方式所获得所需的硬件、软件及服务等IT资源的使用模式。”与传统互联网技术服务的模式相比, 云计算具有显著的计算和存储优势, 从云计算的概念上看, 从以传统桌面为中心的应用转移到以Web为中心, 云计算具有丰富的资源共享、成本低廉、强大的规模和计算能力、服务快捷高效和扩展性强等显著的特点, 极大减轻了传统IT基础设施的维护和管理的压力, 弥补了传统互联网服务的不足。
2 云计算的安全隐患和风险
云计算的安全问题一直是IT专业人员和学术界关注和重视的焦点。在云计算的研究和应用中, 如果云计算的安全性问题未能得到解决, 那么其隐私问题和其他的一系列潜在的风险也无法从本质上得到保护和防范。具体的问题表现在以下几个方面:
2.1 存储数据隐私
数据信息未经授权访问和泄漏带来的隐私问题。“根据‘隐私权信息交流中心’调查数据表明, 自2005年至报告发布日, 美国由于安全漏洞问题已有超过2.5亿人次个人隐私记录被泄漏。”用户存储数据隐私的泄漏不仅是对用户隐私权的严重侵犯, 也给云计算这种新的服务模式的隐私保护带来了严峻挑战。政府或利益相关体如企业或云计算提供商, 在查看和收集用户存储数据和信息之前, 事先并未获得用户的同意。有学者认为, 除了云提供商或云平台直接带来的隐私问题之外, 还需要面临或官方法律执行行为的威胁, 官方机关未获得相应的授权 (信息主体或相关数据的持有人) 的情况下对用户的数据进行监控或者检查, 由于云计算技术的特点, 除了用户主体拥有信息数据的拥有权, 还有云计算服务供应商, 甚至还涉及到多个分供应商和多国的政府对信息的查看权, “云计算行业内的服务提供商通过商业决策等手段对用户的信息进行利用和处理, 还有国家政府机构通过合法手段获取用户的个人数据和隐私信息。”
2.2 客户端数据隐私
在云计算平台之上, 云服务提供商可以高效快捷地通过软件平台构建个性化的服务系统, 提供定制个性化的服务是云计算技术不同于传统信息技术的明显特点, 云计算服务商可以根据用户的喜好, 兴趣和专业等特点主动提供并可由用户定制自己的相关信息, 而过滤传统互联网背景下的大量垃圾和色情淫秽信息, 极大的减少了互联网社会下的信息垃圾和信息污染等数据冗余难题, 有利于社会健康的发展, 给广大用户带来了十分优质, 快捷方便的用户体验。云计算供应商提供个性化定制服务在带给客户诸多创新、便捷的同时也带来了隐私信息可能遭到泄漏的潜在隐患。在未经用户授权和许可的情况下基于自身的利益能够方便地监控、收集、传播或泄漏个人的隐私信息, 这给一些不法企业或个人带来了可乘之机。通过虚拟数据收集个人的基本信息, 获取主体的生活方式和习惯。在云计算服务运行中, 一些云计算服务公司 (比如某些盈利性公司) 或违法分子可能有意利用用户在客户端上网的记录, 浏览过的网页或根据用户的爱好兴趣等来掌握用户在云中使用了哪些服务, 导致用户隐私信息的泄漏, 或利用云计算技术跟踪和搜集个人信息, 家庭背景, 感情经历等, 侵入用户的私人领域, 有可能造成不公平的交易或有意的诱导消费。这不仅违背了云计算供应商应该保护客户隐私的义务, 也容易造成客户对服务商的不信任, 甚至给用户的日常生活带来极大的威胁。
2.3 跨文化的隐私保护
跨文化的隐私问题在云服务中也比较突出。云服务的用户将可能面对具体位置占主导为地位的不同文化。首先, 由于云计算的特点其隐私问题将涉及到各国文化差异的问题。尤其在云中存储个人数据的情况下, 隐私的模糊性将可能带来潜在的伤害。因为数据不再在本地存储, 控制权转移到服务供应商, 消费者必须信任云供应商不会暴露特定的个人信息。但是, 对于隐私, 很可能不同的国家不同的云服务供应商有不同的看法。云中的不同层次的服务越来越多的交织在一起, 消费者对似她正交易的云服务商也并不是很清楚。“例如, 一个托管应用程序的公司, 可以建立另一个开发/部署框架。”
2.4 云计算应用带来的经济和政治风险
首先, 云计算应用带来了一定的经济风险。随着云计算的广泛应用, 个体信息成为一种可用资源, 人类的各种身份资料, 家庭信息, 感情经历等集中以数据信息的形式集合于“云”中, 给一些不法分子牟利提供了可乘之机, 一旦这些个人信息遭到传播和利用, 可能导致不公平的竞争, 甚至给用户造成无法弥补的精神伤害和物质损失。其次, 云计算应用中带来的政治风险也不容忽视, 当涉及到敏感的商业秘密或国家机密时, 政客或基于自身利益的国家可能通过获得和监控云用户的机密性信息观察和推举他们的政治主张, 加剧了恶意和不公平的竞争, 从而导致不可估量的政治伤害和经济伤害。最后, 从长远来看, 人类对云计算技术过度的依赖, 是否会导致云计算技术支配人甚至凌驾于人之上昵?如果一旦云计算服务崩溃, 是否会导致不可逆的后果呢?云计算变得如同水电一样普遍和普通时, 我们是否应该思考, 这将对人类造成怎样的改变?云计算供应商对数据的控制和自主权, 使数据远离用户, 潜在的使需求用户对云提供商产生不必要的依赖。因此, 有人把云计算称作为一个“陷阱”。
3 云计算的安全隐患及风险的解决措施
3.1 建立统一的云标准
从云计算技术本身来看, 云计算三大服务模式Iaa S、Paa S和Saa S模式均有各自的服务商, 三种模式之间的互操作性和互通性较低, 且不同类型的云与云之间的标准和协议都不一样, 如何实现云技术的互联性是云计算标准的重点和目标。从云计算的安全问题来看, 应建立和研究以安全服务为核心的统一安全标准。尽管几大云提供商普遍关注和重视到云计算技术带来的安全问题, 并采取了相关规避和防范措施, 但是目前市场上缺乏统一的信息安全标准, 如在协议条款、加密程序等问题上的意见分歧很大, 而且不同的云技术提供商或者IT企业对云安全的标准不一致, 甚至互不兼容, 这无疑加大了云计算技术和服务的安全风险。统一云标准的建立也有利于促进一个平衡竞争的商业优势。笔者认为应该把云计算服务相关的风险与监管规则和各样的标准统一起来, 并依据标准对云计算的供应商和企业进行规范, 尽可能实现最大价值。目前来看, 云标准的缺失进一步加大了云计算技术风险性, 阻碍了云计算技术的发展和运用, 进一步规范和制定统一的云标准显得尤为重要。
3.2 提高国家及国家间数据保护立法和数据管辖权的协调性
3.2.1 首先, 提高和制定以云服务商为核心的数据保护立法是数据保护的关键环节
云计算这样的新生事物, 现行的立法存在众多的空白地带, 尤其是缺乏以云计算服务商与云计算用户为核心的数据立法。一般而言, 云计算服务商与云用户之间以服务协议的形式建立关系, 但是云计算服务商常会基于自身的利益和立场在其服务协议中尽可能规避或并没有明确的协议条文规定相关风险的应对措施, 也不承诺对云计算技术中可能出现的数据泄漏、数据丢失和数据损坏等安全隐私问题承担法律义务和责任, 如2011年云提供商Amazon出现连续四天的宕机故障, 不仅没有违反与其用户签订的服务水平协议, 而且因相关法律保护的缺失也不需为此负担一定的法律责任, 这极大的侵害了云用户的合法权益。
3.2.2 其次, 研究和制定一个全球性法律协议保障云中数据信息
云计算技术的特性决定云计算数据信息存储的物理地址分布在不同的国家和地区, 如中国的用户选择美国的云计算服务商, 而数据中心却位于新加坡。一旦出现纠纷和冲突并没有明确的法律法规规定究竟哪一方能够合法查看这些数据信息, 这将导致各方利益的纠纷和困境。不同的国家对数据的保护和数据的拥有权的法规各不相同。因此, 需要国际上统一进行规范和协调, 并研究和制定出一个全球性法律协议保障各方的利益。协调各国的数据管辖权主要是为了解决网络犯罪的难题。根据传统国际公法的规定, “管辖权是指国家在国际法下所拥有的规制和约束不被国家专属管辖所排除的事务中相关行为的权利。”云计算技术的特性决定必须明确各国的管辖权。尤其在处理跨国犯罪和跨国纠纷时管辖权的明确保障了云用户的合法利益。
3.3 确立审查和评估机制
云计算技术比传统的信息技术更复杂也更特殊, 这就要求云计算的研究和推广应该设立相应的风险评估机构, 最大限度的保护云计算技术应用和发展中用户的利益, 减少其风险系数, 主要从以下两个方面确立审查和评估机制。
3.3.1 首先, 设立审查、监督和评估委员会
国外众多学者也表示应由无利益关系的第三方对云计算技术安全进行外部审查, 监督委员会的设立可以满足这些要求。目前为止, 全球几乎没有设立专门的信息技术审查机制, 更缺乏云计算技术审查机制和委员会。审查机制和委员会的研究和确立是为了保证自主和自由并立于公正和客观的角度对云计算引起的问题进行客观和整体的有效评估, 而不受任何政治、经济和利益的干扰和影响, 对其潜在的未知的风险进行细致的分析和探讨, 对于任何有可能威胁人类和社会健康有序的发展的研究和应用应及时予以限制或者禁止。任何一项技术都应以增进人类的幸福为目的, 云计算技术也不例外。随着云计算技术如水电一样方便的服务, 云计算技术将迅速发展到全世界每一个角落, 极大的普及和空前的影响力促使确立审查和评估机构的必要性。通过审查和评估云计算技术安全隐私风险、知情同意的落实等问题, 为云计算未来的发展提供客观公正建议和意见。
3.3.2 其次, 确立评估体系
云计算评估和审查委员会结合自身技术的特点, 对研究方案的审查和评估的体系应该包括:
(1) 客观全面的权衡其风险和受益比, 虽然全面的规避风险并不现实但是尽量使其达到一个可接受的水平, 如果评估风险大过受益, 应明令禁止或做一定程度的规范和限制。
(2) 至少在短期内不会因为技术的使用和应用造成严重的社会不公正和利益不公的问题, 保障社会公正问题。
(3) 安全问题和隐私泄漏问题尽最大可能控制在可控和预期中, 充分尊重用户的自主权和保护用户的隐私权。云计算是未来IT互联网产业发展的必然趋势, 我们应努力丰富和完善云计算科技学的研究领域, 对云计算科技学领域投入更大的关注和研究。
4 结语
云技术自21世纪诞生以来, 它以其独特的信息处理方式给人类带来巨大的计算优势和快捷便利的服务体验。云计算技术主要应用在网络社交、网络相册、各类数据的计算和存储等领域上, 云用户的群体广泛, 遍布个人、企业甚至全球。本文分析了云计算技术的安全隐患以及风险, 提出了相应的解决措施。云计算的作为高新信息技术领域的一个重要的组成部分, 其应用前景广阔, 丰富和完善该领域的研究成果具有重要的意义。
参考文献
[I]方巍.云计算一概念一技术及应用研究综述[J].南京信息工程大学学报:自然科学版, 2012 (04) .
网络安全风险评估问题 篇10
关键词:油气储运,风险,安全,环保
1 产生火灾风险
油气是具有易燃、易爆、有毒的危险品, 当油气浓度超过正常数值时, 油气就会爆炸、起火;油气储运设备设计不合理、工艺缺陷、密封垫圈老化、损坏等, 都易引起泄漏及爆炸, 污染环境。一旦发生事故, 可能造成巨大的经济损失和人员伤亡。
1.1 管道腐蚀风险
油气在储运过程中, 导致管道腐蚀的影响因素是应力水平和管道材料以及所埋之地的环境。其中, 管道所埋之地的环境是造成管道产生腐蚀的主要因素, 管道所埋环境中土壤的类型、湿度、p H值、硫化物含量、干扰电流、土壤电阻率、氧化还原电位、植物根系都会导致管道腐蚀。制造管道的材质中如果含有杂质, 例如含有硫或者是含有氢都会致使管道产生腐蚀, 同时, 管道表层过于粗糙的材质致使氧化剂发生泄露, 产生火灾。管道承受的应力大于自身屈服应力的40%, , 管道就会产生腐蚀开裂。
1.2 静电危害风险
静电危害是油气储运生产安全的一大威胁, 油气在管道和设备内流动, 油气的电阻率一般为1012左右, 静电导电率越小集聚电荷能力越强, 产生静电越多, 如静电导致火花放电, 就会引起燃烧或爆炸。
1.3 操作人员执行操作规程不严格
操作人员麻痹大意造成误操作, 如关错阀门或未关阀门;该置换的容器及管道换不彻底。未经认真细致地研究系统的操作要求、物理化学特性、工艺流程, 擅自操作设备;操作岗位的习惯性违章警惕性不高, 没有制定相应的管理机制。
2 安全环保
2.1 环节设计的环保节能
当前期工程开展前, 就要进行油气储运环保工作, 对建设环境进行提前评估, 要重点考察建设路线中的水源地带和自然保护区地带, 对于周围环境中可能存在污染的介质也要进行考察。并将水土保护和生态保护纳入油气储运工程设计中, 从而保障水土保护设计和油气储运设计两相结合, 规避因为油气储运施工建设对于周边环境产生污染。进行设计油气储运工程最后的环节, 综合评估建设环境, 降低油气储运因为施工对于周边环境产生的波及伤害。
2.2 油气施工环节中的节能环保
在油气储运工程施工的过程中, 要依据各阶段施工环节来制定出科学的环保计划和监督机制, 对于油气工程各个项目施工监管人员要加强管理, 依据国家环保政策, 保障油气储运工程施工具备科学化、合理化。保障不会损害地表的耕作层, 进行堆放物品土地的地方设立好醒目的标志, 如果因为施工致使地表植被产生破坏, 要及时的采取科学的措施, 保障地表植被恢复正常。
2.3 改进当下工程设计
依据当下存在的风险因素, 改进当下的工程设计工艺。油气防火设备, 根据工艺特征的不同, 选择耐压、耐高温、耐腐蚀的材质, 进行设计的时候要对防爆、防火、通风泄压进行加强, 对于各个设备和装置的防火和防爆要严格的把关。大多数企业采取固定顶油罐进行储存油气, 但是此种方式对于安全和环保构成了一定的威胁, 要用内外浮顶储油罐替代固定顶油罐, 减少环境污染率, 增强油气储运的安全性。对于输油管道的材质予以严格要求, 降低输油管道腐蚀, 有效控制输油管道杂夹物, 减少输油管道含硫量和含氢量, 对管道进行抛丸处理或者喷砂处理来增强管道抗腐蚀能力。
2.4 输油设备的维护和管理
要加强油气储运设备的维护和管理, 及时的检查出设备中的各项安全隐患, 保障后期不会出现问题。并且, 企业还要根据输油设备本身具有的特殊性, 制定出符合本企业的系统维护和保养程序, 建立设备维护责任人制度。对于设备, 维护人员和保养人员要进行定期的检查, 确保输油设备的指标和国家规定的安全指标相同。
2.5 增强工作人员的综合水平
输油管道工作队伍要保证其稳定性, 迅速提高工作人员的综合水平, 严格编制具体的岗位操作规程。工作人员上岗前, 要对其进行科学性、系统性的培训和教育, 增强工作人员的风险识别、安全意识和环保意识以及责任意识。
3 结语
油气资源是不可再生资源, 随着生产力的提高, 经济技术的快速发展, 石油化工企业不仅要在传承过去的优良传统, 还要依据当今大时代的背景, 结合实际的发展需求, 积极、努力的去进行创新和突破。既要对油气资源进行合理开采和使用, 避免过度开采, 最大限度的降低油气储运风险, 安全环保发展。又要深化企业改革, 重视节能环保, 实现经济的可持续发展。
参考文献
[1]韩高田.油气储运中的安全问题与对策[J].河南科技, 2011 (12) :152-153.
[2]翟甲子, 王晶磊, 董玮.关于油气储运方式创新的几点思考[J].中国石油和化工标准与质量, 2011 (8) :145-146.
网络安全风险评估问题 篇11
据统计,成都市城市检查井盖数量较多的主要为污水井盖、雨水井盖和电力井盖,其次为上水井盖、电信井盖和公安井盖,主要分布在水务、电信和公安等部门,数量共计282701个,占全部井盖数的75.43%。由于井盖管理千头万绪,导致无主井盖和不明井盖数量也较大,两者共计62184个,占全部井盖数的16.59%。
由于井盖管理部门众多、数量庞大、规格和标准均不统一,查处办法及处罚力度也不同,导致管理责任难以落实。同时,井盖缺失、损坏、沉陷、井周破损、响动问题十分突出,若不及时处置,对行人、行车以及居民休息必将产生很大影响,甚至对其生命财产安全构成威胁。因井盖缺失、损坏等现象而导致的“吃人”、“吃车”事件时有发生。
一、城市检查井盖存在的主要安全风险管理问题
(一)缺乏井盖管理法律手段
目前,成都市还没有专门的城市道路检查井盖管理的相关法律法规,虽有城市道路管理部门制定的相应管理办法和维护标准,但行政手段对众多的隶属系统以外的井盖责任主体缺乏约束力,对政府其他部门所属的管理单位监管力度也有一定限制。
(二)缺乏井盖管理协调工作机构
井盖责任主体不明,解决问题推诿扯皮,不能及时消除安全隐患,是井盖管理的“老大难”问题。目前,成都市尚无统一监管井盖的权威部门。城管部门作为数字化城管系统主管单位,其主要工作之一是通过监督员发现问题井盖上报后,负责立案、派遣及监督管理,但由于责任主体不明、监管部门较多,问题井盖类别的甄别和协调以及责任单位的确定往往需要较长时间,使得问题井盖不能及时得到处置或长期无人问津。此外,成都市城管局直属道桥处,作为城市道路桥梁维护管理部门,尚缺乏井盖管理的相应职责,管理范围受到局限,且无井盖管理专门机构和井盖检测专业机构,使“无主井盖”问题的甄别能力很有限,协调、处置力度较差。
(三)缺乏井盖管理维护统一标准
由于城市道路检查井盖分属不同部门(行业),井盖规格众多,管理维护单位复杂,因此,存在井盖管理“规章制度不统一,技术要求不统一,维护标准不统一”的“三不统一”现象,而且同一规格的井盖井座几何尺寸误差较大的问题也较为普遍。此外,虽然产权单位对其管理的各类井盖都有备用设施,但在维修时,也常常遇到井盖与井座配套较难的问题,而采取的办法通常只有开挖井周路面更换井座。
(四)缺乏井盖管理防盗措施
目前,城市检查井盖90%以上均为铸铁(含球墨铸铁) 井盖,由于其具有较大的回收价值,导致一些不法分子铤而走险,肆意偷盗井盖以谋取非法利益。且此类盗窃案件屡禁不止,井盖的修复速度远不及被盗速度,建设或管理单位往往防不胜防,导致行车、行人安全事故屡见不鲜。目前成都市井盖管理防盗措施主要是依靠天网监控和人员巡查,但夜间这两种措施作用非常有限,尤其是城乡结合部地区,天网覆盖范围不全面,为不法分子作案留下了可乘之机。
(五)缺乏井盖管理赔偿责任划定标准
长期以来,围绕井盖发生的安全事故时有发生,但因缺乏规范的赔偿责任划定标准,由谁赔偿、如何赔偿时常发生纠纷,也备受关注。在现行制度下,城市道路管理主体与井盖权属分离致使井盖及井周路面维护脱节,推诿扯皮现象已是“家常便饭”,发生安全事故后,各方更是不愿承担责任,事情往往得不到快速解决,安全隐患无法得到及时有效的排除。
二、城市检查井盖安全风险分类分析
(一)井盖安全风险划分
检查井盖安全风险主要有缺损风险、缺损衍生风险(包括“吃人”、“吃车”风险、经济风险、延迟风险)、操作风险(包括设备质量风险、人员素质风险、操作规范风险)和操作衍生风险四种类型。
根据上述风险发生的可能性及不利后果,可将之划分为低级风险、中级风险和高级风险三个层级。
(1)低级风险:此种风险发生可能性比较低,且后果可控制。主要包括操作风险以及操作衍生风险。
(2)中级风险:此种风险发生可能性比较高,且后果可控制。主要包括缺损风险,因为井盖被盗概率较高,但如果做好防盗措施以及发现及时,后果可控制。
(3)高级风险:此种风险发生可能性比较高,产生后果一般较严重。主要包括缺损衍生风险,因井盖损坏、丢失而“吃车”、“吃人”事件发生率高,严重的甚至危及生命财产安全,赔偿责任一般较为严重。
(二)成都市检查井盖缺损风险分析
据统计,2012年1月1日至2012年8月31日,成都市缺损井盖共6760个,占所有检查井盖总数的1.80%。其中,网络井盖缺损总数比重最高,达到11.11%,其次是电视井盖和公安井盖,分别为4.44%和4.26%;热力井盖和军用井盖都是零缺损。从缺失数上来看,污水井盖、雨水井盖和电信井盖最多;从破损数上来看,污水井盖、雨水井盖、电力井盖、公安井盖以及电信井盖较多,这与它们的井盖基数大有关。
三、解决措施及建议
(一)安全风险防范方面
1.加快井盖管理和养护体制改革
针对目前城市检查井盖多部门管理、效率较低的问题,建议转变多头管理模式为单一管理模式,成立专门部门,赋予其统一行使全市城市检查井盖督查、指导和协调等管理职能,进行专业管理,统一承担维护管养职责。如杭州市,已通过数字化城管平台加强对井盖的管理,具体做法是:专业部门接到指挥中心关于问题井盖的指令后,立即派出专业人员到现场进行维修,做好维修记录,再确认问题井盖权属部门并通知其具体维修情况,包括地理位置、问题详情、维修结果和维修费用等,最后于年底与井盖各权属部门进行维修费用的结算。
检查井盖管理权统归专业部门,减少了数字化城管中心确认问题井盖权属部门身份——通知其权属部门——权属部门派出专业人员进行维修这三个环节,有效提高问题井盖维修效率,大大降低问题井盖衍生风险,保障市民人身财产安全。此外,井盖管理专业部门统一培训专业人员,实行竞争上岗制度,可解决人员技术水平良莠不齐问题,以提高专业技术人员队伍整体素质水平和技能水平,更好地为市民服务。
2.健全井盖安全管理机制
尽快建立健全一整套专门针对城市检查井盖安全管理的巡视、保养及奖励机制。一是采用定人、定点、定时巡视机制,对井盖实行一年365天不间断巡视;二是建立奖励制度,对群众举报井盖缺失或破损进行奖励;三是完善抢修承诺制,城区发生井盖问题承诺在规定最短时间到达现场进行处理;四是建立源头管控机制,加强井盖销售渠道的管控力度,对非法偷盗、收购井盖行为,公安、工商、商务和贸易等部门应予以严厉打击;五是健全大车(如运渣车、搅拌车等)管理机制,合理规范大车行车路线,由专业部门在行车路线上安装抗压抗冲击性能较好的铸铁井盖,采用防盗新技术并加强人员巡查,一旦发现井盖缺损、丢失现象立即进行维修补救。
3.加快制定完善统一的建设、管理和维护标准
一是制定全市统一的通用井盖设施规格标准,并监督执行。施工单位在新建道路安装井盖,权属单位在更换井盖、井圈时,都应符合国家相关技术规范标准及其规格标准。二是建立严格的井盖生产、制造和流通领域的准入制度。三是根据检查井盖使用环境的不同条件,明确相应等级的载荷要求,确保井盖安全可靠,降低井盖生产和使用成本,避免资源浪费。
4.强化数字化城管系统功能
尽快实现全市井盖全覆盖监控基础上的精细化管理,弥补城郊及城乡结合部地区的监控漏洞,从根本上扭转新区为城市管理盲区的现状。同时,发动群众力量,加大服务热线、互动网站宣传力度,拓展信息交流渠道(如微博等),弥补监督员巡查漏洞。
加强与井盖各权属部门、井盖管理专业部门和各建设单位的联系,建立和不断完善无主井盖、不明井盖以及确认报废的检查井应急处置工作机制,协助专业部门确定责任单位身份;定期对新增检查井进行确权,保证井盖资料全面、真实、可靠;监督员发现问题井盖同时也报送给井盖管理专业部门,确保信息及时传达,问题及时处置,提高管理效率。
5.加快新材料和新技术的运用
一是加快使用无回收价值材料检查井盖,减少偷盗、缺失现象;二是逐渐采用防盗、防沉降、防响动的“三防”新型井盖,改善市民出行舒适度。目前技术比较成熟的复合材料井盖主要有钢纤维混凝土井盖、再生树脂复合材料井盖和玻璃钢(FRP)井盖三种,各有优缺点,可针对不同使用环境和承载能力选用不同材料的井盖。
对于现有的铸铁井盖,应加强新技术的运用进行防盗。可采用GPS定位系统、条形码智能巡检系统等,给每块井盖植入唯一标识,一旦发生盗窃事件即可进行报警并实时跟踪。逐步推广使用物联网技术,不仅可以防盗,而且可以及时掌握井盖各种病害情况,节约人员成本,提高效率。
6.健全盗窃井盖行为的量刑法律标准
我们在对盗窃井盖行为进行道德谴责的同时,也应呼吁司法机关介入, 对不法分子予以严厉打击。
(二)安全风险转移方面
从城市道路检查井盖的安全风险防范方面来说,各级政府和社会以及井盖管理部门都高度重视,采取诸多措施,必将取得一定成效。但无论如何重视和防范,风险无处不在,只能在一定程度上减少,并不可能杜绝。对此,可建立城市道路检查井盖安全风险转移制度,与风险防范措施双管齐下,最大力度提升井盖的安全管理水平,将不可预见的财政损失和责任风险降低到最小。
安全风险转移是指通过合同或非合同的方式将安全风险转移给另一个人或单位的一种风险处理方式。风险转移是对风险造成的损失的承担的转移,在国际货物买卖中具体是指原有卖方承担的货物的风险在某个时候改归买方承担。据报道,华侨大学焦珊珊对旅游景区安全事故风险转移的保险机制进行了研究;部分省市在校园安全管理方面采取了校园安全风险转移措施,当不可预见的安全事故发生时,起到了较大的风险转移和一定的弥补作用;在城市管理行业,2012年7月,西安已对城市管理综合行政执法局所有执法人员及财政供给的在职职工投保了人身意外伤害保险;为解决窨井盖伤人事件等纠纷,早在2010年,南京市城管局管线管理所就为旗下管养的2万个窨井盖购买了公众责任险,每年保费为10万元,一旦发生意外,将共同赔偿。根据该所与保险公司签署的保险合同,当窨井盖因为缺失、沉降等原因造成伤人、伤车意外时,由保险公司和养护单位共同承担赔偿责任。其中,单次人身伤亡最高赔付30万元,单次财产损失最高赔付15万元,两者相加每次事故最高赔付45万元。
由此,我们可建立各类城市道路检查井盖及附属设施安全风险财务型保险转移制度,即通过订立保险合同,向保险人交纳一定的保险费,将风险转移给保险公司(保险人),一旦预期风险发生并且造成了损失,则保险人必须在合同规定的责任范围之内进行经济赔偿。如此,在井盖的安全过程管理中,将不可预见的财政损失和责任风险降低到最小。
参考文献:
[1]邹开红. 盗窃公路害井盖行为法律适用探析[J].人民检察,2006(3):21-23.
[2]尹昌平、刘钧、曾竟成、曾建祥. 复合材料井盖的现状与发展趋势[J]. 玻璃钢/复合材料, 2004(4):43-45.
[3]王卫星、秦建华. 城市道路窨井现状和面临的问题[N]. 浙江水利水电专科学校学报,2008,2:57-57.
[4]吴斌. 当心马路上的窨井[J]. 素质教育博览,2007,19:22-23.
[5]于永清. 城市道路窨井沉陷原因分析与治理[J].常州信息职业技术学院学报,2004,1:60-61.
[6]周敏、张卫民.浙中地区城市道路窨井病害成因分析及防治措施[J].公路交通科技(应用技术版), 2009,11:10-11.
网络安全风险评估问题 篇12
无线局域网络 (Wireless Local Are Networks;简称WLAN) 是计算机网络与无线通信技术相结合的产物, 是一种相当便利的数据传输系统, 它利用射频或者红外线技术, 取代传统的双绞铜线构成的局域网络, 使得用户能利用简单的存取架构访问它。和传统的有线局域网比较, 无线局域网不需要用户用导线连接计算机到网络, 而是通过接入点AP连接计算机与其它组件到网络, 具有移动接入的功能, 使其具有更大的灵活性和可移植性等优势, 这就给许多需要发送数据但办公地点又不能在固定的办公室的许多工作人员提供方便。
2 无线局域网络常见的安全问题
种种迹象表明, 越来越多的机构和组织包括企业、学校、医院、个人等都在使用无线局域网, 如何拥有较安全的无线局域网络是众多使用者必须面对的难题。无线局域网安全问题有很多, 下图 (图1) 给出了一个无线局域网络受到的常见的安全攻击通用分类法, 帮助大家认识和理解一些无线局域网常受到的攻击。
2.1 被动攻击
被动攻击指非授权用户访问有用的资源, 但并不修改信息和数据。被动攻击主要包括窃听和通信流量分析两种。这两个被动攻击如下所述。
(1) 窃听
窃听是指攻击者获取正在传输的消息。例如:某人偷听网络两个工作站之间的无线传输, 或者入侵无线手机和基站的传输系统, 但并未修改任何内容。例如, 2013年6月, 美国前中情局员工爱德华·斯诺登在接受香港某媒体采访时曝出“自2009年起, 美国安局就一直入侵中国内地和香港的电脑。其中, 国安局在香港的入侵目标就包括香港中文大学、政府公务人员、企业和学生。”这就是典型的窃听。
(2) 通信流量分析
通信流量分析指非授权用户利用通信模式的传输系统获得情报, 从当事人的信息交流中获取大量的信息, 显然这种方式比窃听更精巧更有效, 能一次性获得更多更准确的信息。
2.2 主动攻击
主动攻击指未授权用户擅自修改消息、数据流或文件。这种攻击容易被探测出来但比较难预防。主动攻击主要有以下四种方式 (或是它们的组合方式) :伪装、重放、消息修改和拒绝服务 (Do S) 。这些攻击方式描述如下。
(1) 伪装
伪装指攻击者模仿一个授权用户, 从而获得一定的未经授权的权限。例如, A使用电脑时, 以为收到B发送的消息, 而实质上是C发给他的消息, 这就是伪装。
(2) 重放
重放指攻击者控制传输系统, 作为合法用户重新传输消息。
(3) 信息修改
信息修改指攻击者通过删除、添加、修改、重新排列等方式从而改变一个合法的的消息。
(4) 拒绝服务
拒绝服务指攻击者阻止或禁止合法用户正常使用或者管理通讯设施。攻击者进行拒绝服务攻击方式主要有以下两种:一种是使得服务器缓冲区满, 从而无法接受收新的请求;另一种是使用IP欺骗, 迫使服务器把合法用户的连接复位, 这样使得合法用户无法连接。
主动攻击和被动攻击具有相反的特性。被动攻击难以被察觉, 但是相对来说比较容易被克服;而主动攻击相对来说比较容易被发现, 但是难以绝对地阻止, 因为要做到绝对被阻止, 就必须在任何时间对所有信息、数据进行完全的保护, 这是难以被满足的。因此, 当受到主动攻击时, 应采取有效的方法和手段, 及时制止破坏并从破坏中恢复。
当用户遭受一种或多种上述攻击时, 容易造成例如损失专有信息、难以收回成本、破坏形象、损失网络服务等危害。因此, 当我们用户在使用无线网络时要考虑各个方面的网络安全问题, 尽量减少或避免无线局域网络风险。
3 无线局域网络风险缓解方法
对于无线网络来说, 没有绝对权威的方法能够完全消除它受到的攻击, 也没有一种万能方法能适用于所有的无线网络安全问题。但是, 如果我们能照下面步骤去做的话, 可以有效的减少无线局域网络受到攻击的风险。
3.1 更新默认密码
每个WLAN设备都有自己的默认设置, 其中一些本质上包含安全漏洞。例如, 在一些接入点 (APs) 中默认的配置是不需要密码的, 即密码字段是空白的。但是, 如果没有密码保护, 未经授权的用户可以很容易地访问我们的电脑设备, 我们应该改变默认设置来保证网络安全, 密码可以设置为由字母、数字和特殊字符构成的至少有8个字符的字符串。如果安全性要求非常高, 可以考虑使用一个自动化的密码发生器。
3.2 建立适当的加密设置, 改变默认的密钥设置
加密设置应选择最强的设置。例如, 通常情况下, 接入点 (APs) 有以下三种加密设置:不加密, 40位共享密钥和104位共享密钥。则我们应该采用其中最强的加密设置, 即104位共享密钥, 这并不会给电脑带来额外的负担。但是, 无线网络受到攻击的程度与加密的强度并无关联, 也就是说密码强的无线网络受到攻击强度不一定小。同时我们要注意, 使用默认的共享密钥设置形成了一个安全漏洞, 因为许多生产商在工厂设置时都使用相同的共享密钥。一个恶意用户可能知道默认的共享密钥并使用它来访问无线网络。改变默认的共享密钥设置可以降低被攻击的风险。改变默认的密钥的具体操作如下:登录无线路由器, 在安全设置的相关选项里, 找到修改密码的地方修改即可, 一般至少8位数字符。
3.3 使用MAC地址过滤
使用MAC地址过滤, 能有效的阻止非法用户访问。具体操作是在无线网络MAC地址过滤设置对话框中单击“启用过滤”按钮并单击“添加新条目”按钮, 再输入对应的无线网卡的MAC地址即可。但是必须知道的是, 使用MAC地址过滤能有效对付随意的窃听, 但是不能反击对手。并且, 当终端数目过多时, 使用MAC地址过滤的效率会降低, 因此, 一般认为使用MAC地址过滤适用于安全要求不太高的场合, 例如家庭和小型办公室。
3.4 最大化信标间隔
无线路由器的信标间隔是指发送的信号的周期, 一般默认值是100毫秒, 建议改为500毫秒, 这样APs会更安静且SSID传播得不那么频繁, 使得网络不易被攻击者搜索。
3.5 使用SNMP
使用SNMP (Simple Network Management Protocol, 简单网络管理协议) 能有效保护通信字符串, 具有网络管理的作用。简单点说, SNMP相当于网络的看门狗, 当无线网络受到攻击时, 它会发送一个称为陷阱的警告, 很快的通知用户。使用SNMP代理时, 最好选用SNMP3.0的版本。
3.6 使用IDS
IDS (Intrusion Detection System, 入侵检测系统) 是一个非常有效的工具, 它能够判断是否有未经授权的用户试图访问、已经访问网络或网络已经被盗用, 相当于网络的监视系统。入侵检测系统根据检测对象的不同, 可以分为主机型、网络型等类型。在某些情况下, 主机型入侵检测系统能阻止攻击系统, 而网络型的系统能监视无线局域网的网络流量、数据包, 及时通过通信量发现是否受到攻击。当入侵检测系统检测到攻击时, 会产生警告或日志, 提醒管理员进行相应处理。
3.7 建立无线虚拟专用网
无线虚拟专用网 (Virtual Private Networks, 简称VPN) 主要用于远程用户访问、局域网与局域网站点之间的连接、外联网之间的安全连接。VPN在内部网中建立可靠的安全连接, 使用加密技术保护IP信息, 使VPN频道中的数据被孤立和加密起来, 从而保证数据安全传输。
4 结语
【网络安全风险评估问题】推荐阅读:
校园网络安全风险评估07-14
风险评估电信网络安全06-26
网络安全评估07-04
网络信息安全风险分析05-24
网络金融安全风险防范09-19
网络会计安全问题08-27
网络银行安全问题09-05
校园网络安全问题08-10
网络信息安全问题综述07-23
网络安全性问题08-31