大学生安全感综述

大学生安全感综述（共10篇）

大学生安全感综述 篇1

摘要：对近年来大学生安全感研究的现状及其相关研究进行了总结, 就安全感概念、测量工具、影响因素等3个问题进行探讨, 指出了目前国内该研究的不足。

关键词：大学生,安全感

一、安全感的定义

关于安全感至今没有一个公认的看法, 不同的研究者有不同的看法:

1、黄希庭认为安全感是人在摆脱危险情境或受到保护时体验到的情感, 是维持个体与社会生存不可缺少的因素。[1]

2、马斯洛认为安全感是决定心理健康的最重要的因素, 是指“一种从恐惧和焦虑中脱离出来的信心、安全和自由的感觉, 特别是满足一个人现在 (和将来) 各种需要的感觉”。[2]

3、丛中和安丽娟则认为, 安全感是对可能出现的对身体或心理的危险或风险的预感, 以及个体在应对处置时的有力感与无力感, 主要表现为确定感和可控制感。

综合以上观点, 虽然不同专家对安全感的解释不同, 但他们对安全感的本质的理解却类似。可以发现在心理学意义上安全感具有以下特性:

(1) 安全感是一种主观感受和体验;

(2) 安全感总是对外界风险的预测和评估, 它可以是外部实际环境带来的, 同时也是主体内心感受到的风险。

本文, 认为具有良好安全感的大学生:认为自己在学校环境里是安全的, 相信自己有处理现实以及未来潜在风险的能力, 同时被自己重要他人所喜爱、支持。

二、安全感的测量工具

1、安全感量表 (SecurityQuestionnaire) , 由丛中、安丽娟2002年编制, 分为人际安全感和确定控制感两个维度。该量表有16个题目, 每个维度为八个题目, 以1—5级评分。量表的内部一致性系数为0.80, 间隔3周的重测系数为0.74。

2、马斯洛的安全感—不安全感量表 (S-I) 量表, 编制于上世纪50年代, 该量表有75个题目, 有“是”、“否”两个选择。其中0~24分属于正常范围;25分以上, 则具有不安全感的倾向;31分以上, 则具有不安全感, 39分以上则具有严重的不安全感, 即存在着严重的心理障碍。

三、影响安全感的因素

影响大学生学校安全感的相关因素有很多。目前研究表明, 大学生学校适应既与主体自身的人格特点、气质、神经症等内在因素有关, 也与其家庭、社会支持等外在因素有关。

1、内在因素

大学生的个性特点、身体状况、气质等内在因素都会影响大学生安全感。钟友斌教授特别指出:强迫的核心是恐惧和不安全感。汪海彬, 姚本先研究得出:大学生心理安全感与神经质维度呈显著负相关, 高神经质人格特征的人多喜怒无常、多愁善感, 对各种刺激容易产生强烈的反应, 激动之后又久久不能平静, 较难适应环境的变化, 很难获得较高的安全感;外倾性与人际安全感、安全感总分相关呈显著正相关, 这可能是因为外倾人格有爱社交, 广交朋友的特点, 此类型的人能在日常的生活与学习中建立起良好的人际关系网, 因此在心理安全感中人际安全感维度上的得分就比较高。[3]亲和型、自强型的幽默风格对安全感有显著的正向预测作用, 嘲讽型对安全感有显著的负向预测作用, 自贬型对安全感的预测作用不显著。[4]

2、外部因素

家庭因素谭凤娥指出:安全感高的大学生与安全感的低的大学生在亲密度、矛盾性、成功性、知识性、娱乐性、道德宗教、组织性、独立性上都差异显著;家庭类型 (完整、不完整) , 家庭收入 (上、中、下) 对安全感的主效应显著;在安全感高的组别上, 家庭类型与家庭收入交互作用显著, 即降级收入好的家庭在一定程度上可抵消不完整家庭所带来的不安全感。[5]王艳芝发现正式工、工作年限长、收入高的幼儿园工作人员的安全感要高于临时工、工作年限短、收入低的工作人员。[6]

社会支持雷丹、赵玉芳等实证研究发现, 社会支持与安全感各维度均显著相关, 当加入社会支持的调节作用后, 改变了安全感对创伤后应激障碍的回归系数大小, 说明当个体具有较低的安全感的时候, 如果能够给予强大的社会支持, 灾民的创伤后应激障碍的严重程度将明显下降。[7]在研究初中阶段留守儿童的安全感的特点和弹性发展就中发现, 社会支持中客观支持和主观支持能正向预测安全感弹性发展, 即社会支持越多, 心理安全感发展的越好。[8]

小结

国内对安全感理论, 虽然目前的研究还是比较少:

1、安全感的定义, 还没有一个权威的、统一的定义, 对其内容研究的角度也有所不同, 根据不同的角度划分为不同的维度;

2、对安全感的研究, 只是两两变量进行研究, 缺少对影响安全感的整体因素的分析, 同时鲜有有研究者从学校适应的后置性因素进行研究。

3、国内大学生安全感量表, 多采用马斯洛S-I量表或者丛中、安丽娟的自编安全感量表。首先S-I量表编制于上世纪50年代, 时效性较差, 中西文化差异也比较大, 而且国内也没人对此量表进行科学化的修订;对于丛中、安丽娟的量表虽然也可以用于正常人群安全感的测查, 但是对于大学生这一高学历群体, 针对性就不是很好。

参考文献

[1]黄希庭:《简明心理学辞典》, 安徽人民出版社, 2004:528。

[2]阿瑟·S·雷伯:《心理学词典》, 上海译文出版社, 1996:765。

[3]汪海彬、张俊杰、姚本先:《大学生负性生活事件、人格与心理安全感的关系研究》, 中华行为医学与脑科学杂志, 2009 (12) 。

[4]高珊珊、姚本先:《大学生幽默风格与安全感的关系研究》, 中国新医学, 2009, 13 (1) :13-15。

[5]杨元花、谭凤娥:《大学生安全感发展与家庭环境因素的相关研究》, 江西青年职业学院学报, 2007, 17 (2) 。

[6]孟海英、王艳芝、冯超:《大学生心理安全感相关因素分析》, 中国组织工程研究与临床康复, 2007 (39) 。

[7]雷丹、赵玉芳、汤永隆、邓丽俐、刘玲爽、李哲:《四川灾区震后一个月PTSR、社会支持、安全感状况及相互关系》, 西南大学学报, 2009, 31 (8) 。

[8]朱丹:《初中阶段留守儿童安全感的特点及弹性发展研究》, 中国特殊教育, 2009, 104 (2) 。

大学生安全感综述 篇2

全国煤矿安全形势综述

20,全国各省、市、区认真贯彻国务院关于加强煤矿安全工作的一系列重要文件精神,各煤矿安全监察机构认真贯彻落实国家局关于加强煤矿安全监察的工作部署,依法加大煤矿安全监察行政执法力度,全面开展煤矿安全程度评估,进一步深化煤矿安全生产专项整治,推进安全质量标准化建设,推动煤矿瓦斯治理“十二字”方针的全面实施,促进了全国煤矿安全生产形势趋于好转.

作 者：支同祥  作者单位：国家局调度中心主任 刊 名：煤炭企业管理 英文刊名：COAL ENTERPRISE MANAGEMENT 年，卷(期)： “”(2) 分类号：F4 关键词： 

计算机系统安全综述 篇3

关键词：计算机系统；安全性能；安全问题；研究

中图分类号：TP391文献标识码：A文章编号：1007-9599 (2013) 06-0000-02

1引言

计算机的硬件和软件，不断的发展和进步，使得相关的计算机系统编程了一个生活当中十分普遍并且有着重要应用的工具。在生活和生产的各个角落当中，都可以看见计算机的身影，而计算机网络技术的发展和进步，则使得整个社会的信息资源都可以很好的贡献，同时也是的社会工作的分工成为了一种历史发展的必然趋势，大量的信息和数据等，通过网络在不同的计算机系统之间进行传输，使人们更加迫切的系统针对计算机系统的安全性进行合理的提升，进而保护自己的数据安全。而面对现今越来越严重的计算机网络安全性的问题，需要直面安全性的重点和难点，针对主要的威胁进行有效的改进，同时，针对安全性问题产生的主要原因等，进行深入的探究，进而提出合理化的改进方案措施，从实际的角度出发进行有效的解决。

2计算机系统安全性的主要问题

详细的分析目前计算机系统当中存在的安全性问题，主要存在于以下几个方面当中。

2.1系统的硬件难以得到完全的安全保障。这一类威胁以及安全性攻击，主要是针对计算机本身以及相关的外部环境等受到的影响，而造成计算机系统的非正常运行。例如地震、火灾等一系列不可以预测的，同时还有电磁信号的干扰，来自于系统硬件的电磁干扰，电磁波、静电、漏电等等，都有可能会对计算机系统的运行造成一定的问题。此外，计算机硬件的设备老化和陈旧等，也有可能会导致计算机的硬件处于不安全的环境当中，进而引发相关的安全性问题。

2.2计算机系统的软件数据等被破坏或者是使用方式不恰当。管理者针对计算机数据系统等使用不恰当，也有可能会导致相关的安全性问题发生。计算机内部的数据被人为的篡改、删除、取代等，同时，软件系统在运行的过程当中，还有可能会存在一定的设计上的错误、编程方面的错误以及使用上的错误等等，这一些存在的问题都有可能会导致计算机处于一种不安全的环境当中。就目前来讲，最大的危险还是来源于网络黑客的攻击，这种攻击甚至可以使计算机处于瘫痪的状态。

2.3计算机自身的硬件故障等引发的安全性问题。在数据处理为中心的计算机系统制作，其系统的本身，就是一个比较复杂同时人机的系统也较为脆弱，进而导致计算机系统当中的各个相关联的部件和设备等，发生一定的故障也会直接的导致计算机系统内部的数据受到较大的影响。例如计算机自身的硬件故障等问题，可能会引发较为严重的损失。

2.4计算机系统是一个复杂的人机系统，其中有一些不确定的因素。早期的计算机系统开发设计人员，不能够开发建设处完美的系统，所以，相关的疏漏和错误等，都有可能会导致一系列的安全隐患和安全性漏洞。系统的管理隐患针对系统的操作不恰当，也会在一定程度之上降低计算机系统的安全性，同时，相关的计算机系统操作人员没有严格的按照操作的要求和规范来进行实践的使用，则会导致保护性的措施失去应有的效应。

2.5计算机病毒的威胁。根据相关的资料和研究，可以发现不存在有吸引可以检测出所有的病毒，所以，采取有针对性的措施方案，是非常有必要的。在互联网流行以后，计算机病毒的传播速度是惊人的，而计算机病毒则会引发系统的软件以及数据信息等的损害，同时会对计算机的硬件造成损坏，对系统的安全性造成较大的威胁。

3计算机系统安全的重要性

根据上文的详细阐述和分析，可以对计算机系统的主要安全性问题有着详细的了解和掌握。接下来，将针对计算机系统安全的重要性进行分析和概述。

3.1计算机存储的安全，直接的关系到国家的经济、整治、国防以及军事等方面，所以，针对一些敏感的信息和数据等，加强保护，一方面可以有效的提升部门和组织机构等的数据保密性，同时还可以对计算机系统之内较为脆弱的因素进行改进，避免计算机系统由于受到破坏而被敌方的势力所利用。

3.2现今，随着社会的不断和进步，计算机系统的实际功能，也在不断的前进当中，系统的组成也随之更加复杂，规模更大。人们对于计算机系统的需求，也在与日俱增，这一点事社会发展的一个必然的趋势，无法改变和逆转，所以，针对目前计算机的使用已经遍布各个角落的状况，需要对安全性进行加强。

3.3计算机的系统安全性涉及到许多学科和许多的领域，所以是一个综合性的复杂问题，技术、方式等，都会随着计算机系统的应用环境和实际的状况等改变，而随着计算机学科的不断发展和前进，相关的系统安全性也会随之更新换代。

4加强和提升计算机系统安全性的措施方案

根据上文的详细阐述和分析，可以进一步的明晰加强计算机系统安全性的重要意义，而在实践操作当中，加强计算机系统的安全性，还需要从以下几个方面来入手进行。

4.1针对相关的制度进行完善，加强安全制度的建立，并且落实长远的规划原则。一个良好的制度是建设起安全性的管理体系的前提保障，所以，在加强计算机系统的安全性的工作当中，首要的一点就是需要推行标准化的管理制度，并且克服传统的仅仅凭借个人的才能和影响力来进行管理的情况，实施标准化的管理。而对于标准化的管理流程来讲，其具体的流程并不会因为人员的改变而出现变化，自始至终的都会为实际的系统运行带来较好的管理经验和管理的方式。

4.2加强网络安全的建设。在此项工作当中，并不仅仅是针对某一个单一的层面来进行安全性的建设，而是需要针对网络系统的安全，进行全面的、彻底的设计，由最高的一层到最低的一层，每一层都需要进行详细的考虑和建设，从硬件到软件，针对安全性进行提升。首先，需要建立起网络防火墙，针对外部用户以及非法手段进入内部网络的访问，进行有效的拦截，进而合理的保护了内部的系统资源不会受到外界的侵犯；其次，利用防病毒技术手段以及设置相关的网络用户额权限，来提升病毒的防护技术水准，进而增强系统的安全性能；第三，施加一定的加密措施以及权限设置，防止内部的存储设备或者数据等，被随意的删除或者更改；第四，进行必要的数据备份，有效的保障计算机系统内部的数据安全，避免发生安全故障之时造成数据的丢失；第五，不断的针对系统进行更新，针对安全性的漏洞等进行加强；最后，针对防御体系进行构建，针对监视以及侦查等，进行全方位的加强和完善，力求能够迅速并且及时的发现存在的问题，有效的改进。

5结束语

综上所述，根据对计算机系统安全进行全面的综述，从实际存在的问题出发，提出改进的措施和方案，力求全面的解决不足之处，有效的提升计算机系统的安全性。

参考文献：

[1]王长平.浅议计算机系统的安全性和加强的措施[J].现代网络技术,2011,3.

[2]张军.试论计算机系统的安全性提升[J].计算机科学技术,2008,5.

[3]刘辉.浅议计算机安全性存在的问题[J].中国新技术新产品,2009,3.

大学生安全感综述 篇4

一、“90后”大学生的独特成长经历

(一) 与“60后”相比, 物质条件的优越化和家庭地位的中心化

“90后”大学生自出生到成长, 一直处于我国经济飞速发展的阶段, 人民生活日渐富足的时代, 物质生活水平得到了很大的提高。“90后”大学生在成长过程中, 没有经历过社会的动荡, 作为以经济建设为中心的环境中成长的青年, 没有经历“文革”的和青年的思想混乱, 没有经历饥饿的折磨和寒冷的肆虐[1]。一些在优越物质条件下成长的“90后”大学生, 犹如温室里的花朵, 抗挫折和抗压能力较差, 并不懂得珍惜幸福生活的来之不易。“计划生育”的实施使得“90后”大学生多为独生子女, 家庭模式多为“4-2-1”。与“60后”不同, “90后”得到了家庭成员更多的关注与关心, 得到了家庭资源更多的占有与分配。在社会对教育越来越重视的大环境下, 家长的疼爱、老师的鼓励、使他们成为名副其实的家庭中心、社会中心。

(二) 与“70后”相比, 改革开放的深入化和价值观念的多元化

在改革和市场经济的大背景下, “90后”大学生的价值观念更趋向利己务实, 人生目标以获取个人利益和成功为主要追求, 从而导致青年一代理想信念缺失, 缺乏崇高远大的理想和牺牲奉献精神[2]。“90后”大学生有着超越以往几代人的竞争意识, 这使得他们乐于展示自己、乐于接受新事物、乐于接受挑战。形成了他们自信、自主、张扬的性格特征。“90后”大学生的成长期是中国社会转型变革的重要时期。社会主义市场经济制度的不完善引发了一系列道德方面的问题, 随着改革开放的深入, 西方思潮不断涌入, 深深影响了社会转型中人们的思想观念。“90后”大学生就是在多元文化冲击下, 产生了多元的价值观。社会大环境中充斥着各种各样对他们心理成长具有巨大影响力的社会价值标准和文化氛围。“爱国主义”与“集体主义”仍然是社会思想的主流, 但“拜金主义”、“享乐主义”等价值观念也越来越渗入他们的思想之中。

(三) 与“80后”相比, 成长环境的网络化

与“80后”相比, “90后”在成长的过程中接触网络的时间更早, 很小就学会如何使用这种新媒体、利用新资源。这一优势在于, 网络使得“90后”大学生获取信息广泛, 思想早熟, 见多识广, 善于利用网络查阅资料、社交、游戏和学习, “90后”大学生相对于其他年代大学生最大的优势在于知识的极大丰富。但是, “由于网络所承载的信息良莠不齐, 各种不同的观点、不同的文化、不同的价值观, 甚至消极的、不健康的或反动的思想观点随时出现, 各种势力在网络领域的争斗也日趋激烈, 增加了大学生辨别真伪、善恶等的难度, 无疑对大学生的思想观点和精神世界产生着影响。”[3]

二、“90后”大学生的个性特点

(一) 个性张扬、自我中心

“90后”大学生性情的率真、表现欲望的强烈, 使得他们成为性格上更有活力、更为张扬的青年群体。同时, 随着经济的发展和生活水平的提高, “90后”大学生的生活条件较以往优越, 且多为独生子女, 得到父母的关爱更多。自小家庭的培养, 让他们具备了一定的特长, 比如:声乐、美术、体育等方面。这种个性趋向的发展, 很容易出现以“自我”为中心, 比如, “90后”大学生希望摆脱束缚, 不愿意呆在家里, 厌烦父母的管教;在学校不希望老师干预[4]。

(二) 人际交往能力差、做事功利化

“90后”大学生在与人交往上过于以自我为中心, 缺少了尊重、理解与包容。加之, 现在网络化的普及, 很多大学生沉溺于网络之中, 他们更愿意与网友交流而冷待忽视了现实生活中身边的朋友。这些因素导致他们的团队协作较差, 缺少责任感与归属感。“90后”大学生更崇尚成功、注重结果, 他们解决问题的方式多采取请客吃饭、送礼等功利化的表现形式。为达目的而重视人际关系的改善和维护, 与教师的关系可以证明这一点, “90后”大学生与教师的互动程度和亲密关系是近几十年来在高校中少有的, 这种现象在民办高校和年轻教师中最为明显。[5]

(三) 追求新事物、心理承受能力较差

“90后”大学生追求新事物能力强, 他们与网络一同成长, 对新媒体的接触与掌握远远超越“70后”和“80后”。他们热衷于电子产品的更新换代、热衷于网络新词的使用、热衷于对新事物的追随。物质生活水平的提高, 使得“90后”大学生的成长道路与前几代人相比较为平坦与顺利, 经历的失败与挫折较少。这样导致他们普遍的心理素质不高, 抗压力较差的现象。

(四) 思想开放独立、自信心强

与“80后”相比, “90后”大学生眼界更高、更广, 思想更前卫、更开放, 行为更大胆、更独立。敢想、敢说、敢闯的他们对人和事物有着自己的观点和理解。同时, 由于第三产业的快速发展, 给“90后”大学生提供了更多参加社会实践的岗位。实践中的体验不仅满足了他们物质的需求, 更积累了他们丰富的工作经验。使他们觉得自己离职场并不遥远、就业并不困难, 极大的增强了自信心。

三、“90后”大学生公共安全教育现存问题研究

其一, 教育内容陈旧枯燥, 不能体现出时代性与创新性, 缺乏科学的教材和系统的理论知识, 公共安全教育内容大多是泛泛而谈, 内容的广度与深度都非常欠缺, 很难达到教学效果。“90后”大学生公共安全教育的内容包括以下几个方面。

国家安全教育。国家安全包括国防、外交、政治、经济、文化、科技、隐蔽战线斗争等领域与国家安全和利益有关的诸多方面。近年来随着改革开放的不断加深, 高校邀请外籍人员来参观访问、举办讲座的情况日益增多, 本国高校与外国高校之间的科研合作也不断加深, 使得高校在国家安全工作上面临了许多新问题、新挑战。虽然“90后”大学生的国家安全意识强烈, 但其并没有能正确认识改革开放条件下隐蔽斗争的新形式和新特点的能力, 缺乏自觉抵御境内外敌对势力的渗透活动的行为。

信息安全教育。网络的大规模普及与发展, 使越来越多的人接受并具备驾驭网络的技能。寝室中不一定会有电视, 不一定会有报纸杂志, 但是至少会有一台电脑、一部手机。网络成为了大学生接收知识、了解社会, 与人交往的重要信息枢纽。但大学生网络安全意识淡薄, 并不熟悉网络安全的法律法规。如果不具备良好的选择能力、自我控制能力和分辨是非的能力, 大学生很容易在良莠不齐的网络信息中迷失自己, 受到不健康信息的诱惑和危害。其次, 近些年来网络交友工具盛行, 如微信、陌陌等, 在虚拟世界轻信他人而导致被骗的案例较多, 大学生尚处于青春期, 心理还不定型, 很难分辨出一些别有用心的人的企图。因此, 网络安全俨然已成为高校公共安全管理工作的一个新课题。

消防安全教育。一般高校都有几十年甚至更久时间的历史, 校内存在许多的老建筑, 电线的老化, 消防设备的缺乏、都容易引起火灾。同时, 实验室内存在大量的危险物品、化学药品、危险品, 如不引起安全重视, 也极易引发安全事故。而近年来随着我国大学招生数量的不断增大, 校园人员越来越密集, 新兴建了一大批的宿舍、教学楼、图书馆、实验室等, 使得学校消防重点部位不断增多, 消防安全形势更加严峻。加上“90后”大学生消防安全意识较淡薄, 缺乏基础的消防知识和必要的逃生技能, 使得学生在发生危险时不知所措, 使得小灾变大灾, 财产、生命被火无情的剥夺。

心理安全教育。我国高校自年扩招以来, 毕业人数大幅上升, 从2003年到2012年, 我国每年的大学毕业生人数由212万激增到680万。再加上历年来未能及时就业的大学生、以及农民工和城市失业人员, 总体需要就业的人数达两三千万以上。与以往相比, 大学生不仅面临着巨大的就业压力, 而且学业压力、人际关系紧张、考试失败以及恋爱受挫等问题, 也极容易使大学生产生心理方面的各种问题[6]。一项调查表明, 大学生求学期间最焦虑的问题:51.82%的学生认为是“学业问题”, 71.34%的学生认为是“就业压力”, 15.33%的大学生认为是“人际关系问题”, 14.99%的大学生认为是“情绪低落自己无法调整问题”。这些问题都会导致大学生出现心理困惑、抑郁以及其他严重的心理问题, 从而使他们在遇到问题时容易出现极端现象。

其二, 教育途径多元, 但缺乏规范化。如今在对“90后”大学生进行公共安全教育时, 已不单单局限于辅导员的讲授。多种多样的教育途径出现在“90后”的校园, 如请专家和学者来校进行讲评讲座、校内课程活动的开展、校外社会实践的实施等。但是, 在展开诸多教育活动时, 缺乏规范化、制度化的标尺, 使学生在接受教育时效果不佳。

其三, 教育方法有所拓展, 但发展不足。对于“90后”大学生在公共安全方面的教育, 在继承了以往讲授法的基础上又有所拓展。针对于以往大学生的动手实践能力不足、实践操作能力不够的问题, 更多的运用了参观法;针对以往大学生对传统说教的厌烦、兴趣的低迷, 更多的运用了陶冶法。但是, 在对于新方法的使用上, 由于缺少经验, 方法运用得还不够熟练。

摘要：我国学者自2003年非典以来, 开始关注对校园危机的研究。这使得更多的高校管理者越发认识到, 危机管理不单是政府、社会的事, 更是高校不得不面对的一个全新领域。以此为起点, 关于高校的公共安全教育也越来越得到学者们的重视。文章对学术界关于我国“90后”大学生独特成长经历、“90后”大学生个性特点和“90后”大学生公共安全教育现存问题研究的成果与观点进行了梳理, 以期能推动对该问题研究的进一步加深。

关键词：“90后”,大学生,公共安全教育

参考文献

[1]赵癸萍.“90后”大学生矛盾性思想特点及成因分析[J].轻工科技, 2013, 4.

[2]同上.

[3]唐凤芬.“90后”大学生知行协调路径的初步探讨[J].经济研究导刊, 2009, (9) .

[4]郭平平.浅析“90后”大学生心理特征及思想政治教育策略[J].才智, 2013 (20) .

[5]郭小梅.浅谈对“90后”大学生思想政治教育的对策[J].赤峰学院学报 (自然科学版) , 2013, 3.

开发区安全工作亮点综述 篇5

——安全亮点工作汇报材料

晋 中 开 发 区 教 育 局

2014.10

夯实基础 强化管理 打造平安和谐校园

晋中经济技术开发区为山西省人民政府于1996年批准成立的省级经济技术开发区，位处省城太原市和晋中市城区之间的接壤地带，规划控制面积55.8平方公里，辖17个行政村，现为国家级开发区。近年来，我区教育系统严格按照晋中市教育局、开发区党工委、管委会要求，增大校园安全三防投入，加强校园内部安全管理，开展丰富多彩教育活动，提升师生自护自救能力，努力构建平安和谐校园，现将我区安全工作情况汇报如下：

一、基本情况

我区共有各级各类（注册）学校、幼儿园28所园：其中中学2所，小学12所、幼儿园13所（含民办幼儿园8所），培训机构2所，早教机构1所。

二、亮点工作

（一）加强校园安全投入，夯实校园安全工作基础。开发区党工委、管委会历来重视校园安全工作，将校园安全“三防”建设作为重要的学校工作来抓。近年来，校园安全工作投入经费逐年增加，为做好该项工作提供了有力的保障，实现了校舍安全、视频监控、专职保安、安保器材、交通警示标志的“全覆盖”。

1、校舍安全全覆盖。我区全面实施“校安工程”，开展学校危房改造工作，加固学校6所，新建学校8所，全部按照国家抗震标准9°设防，全部按照相关国家标准设计施工，实现了全区学校无危房，校舍安全有保障。

2、视频监控全覆盖。我区视频监控配套分两步走，第一步为校安工程新建校视频监控配套工作，于2012年9月完工，配套学校8所，投资94万元；第二步为剩余学校安装数字高清监控系统，于2014年7月完工，配套学校6所，投资150余万元。目前，我区所有公立中小学、幼儿园实现视频监控系统全覆盖。其余私立幼儿园、培训机构等也按照相关要求全部配备视屏监控设施。

3、专职保安全覆盖。我区校园保安配备始于2010年6月，为全市最早配备专职保安的县区。目前，我区共有专职保安63名，按照市教育局要求与学校规模进行合理配备。来自晋中市保安服务公司的高素质保安队伍，有效地保卫了校园安全，成为校园安全保障的头道防线。在2013年1月5日，王杜小学发生的精神病患者，持凶器入校寻衅滋事事件中，正是保安发挥了重要作用，杜绝了校园伤害事故的发生。该校保安受到晋中市公安局、综治委、教育局的联合表彰。

4、安保器材全覆盖。2013年5月20日，由开发区财政投资5万余元为各中小学校配备钢叉24把、防刺背心42件、保安头盔42顶、防割手套42副、喊话器34个、对讲机80台，锥形隔离墩100余个，向各中小学校进行配发。安保装备配备到位后，我区保安仿佛能力得到极大提升。

5、交通警示标志全覆盖。2012年，我区投资51000余元，为全区14所中小学、3所公立幼儿园配备“前方学校，减速慢行”警示标志。2014年，我区投资7000余元，为7所交通环境比较复杂的学校绘制“斑马线”、禁止停车线等标线，我区交通环境得到极大改善。

另外，我区党工委、管委会对整改学校安全隐患的资金投入基本达到“有求必应”，例如：汇通路中学消防隐患的改造、迎宾西街小学西侧围墙隐患的改造、杨盘小学地面下沉隐患的改造等。凡涉及学校安全的重大隐患，学校无法通过自身努力解决的问题，党工委、管委会均给予大力支持与保障。

（二）加强校园安全管理，提高校园安全工作质量。

校园安全管理是搞好学校安全工作的重要环节，我们从落实工作上做文章，落实安全责任，完善规章制度，强化日常管理，开展隐患排查，严格学校内部安全管理，有效地提升安全工作的实效性。

1、安全责任公示全覆盖。我区根据“一岗双责”“三责教育”以及教育部《中小学校岗位安全工作指导手册》的要求，在各学校实行安全责任公示制度。要求将学校全体教职工的分管工作及安全责任在校园内显著位置进行公示，做到安全责任人人担，安全工作人人管，充分落实一岗双责的要求。

2、制度、预案全覆盖。根据我区的实际情况，结合各校的具体要求，参考相关部门规章制度，各校制定并完善学校安全工作的各项制度，除了将相关制度制作版面上墙外，还组织相关人员进行学习，做到知责、履责；此外，各校还制定各类应急预案，内容涉及防震、防踩踏、防食物中毒、防暴力侵害等。制度预案的完善，为学校搞好安全工作提供了重要的依据和保障。

3、逃生演练全覆盖。按照市教育局的要求，我区各校坚持每月进行一次逃生演练。并将逃生演练的过程进行造册登记，在学生进行逃生演练的过程中，提升学生自护自救能力。

4、校方责任险全覆盖。近年来，我区共有各中小学校全部的公办教师、临聘人员、中小学生、幼儿全部投保校方责任保险，实现不差一校，不落一人。8所私立幼儿园的全部教职工、幼儿全部参保。从2013年开始，我区有食堂的学校（幼儿园），还为就餐师生投保餐饮意外保险，有效地提升了校园抵御风险的能力。

5、安全隐患排查全覆盖。组织专门人员，发动广大师生、家长，协调相关职能部门，集中时间，积极开展校园及周边隐患的排查与整治，做到了全方位、全覆盖、不留死角。实现了校园安全天天查（以《山西省中小学幼儿园安全日志》为载体），安全隐患月月报（以安全隐患排查台账为载体，每月上报校园安全隐患，并将学校难以通过自身努力解决的隐患上报社管处，协调相关部门解决）人人都是排查员（建立值周领导、值班教师、班主任、班级学生安全员联动排查机制，发现隐患层层上报）安全隐患定时消（对隐患明确责任人，确定时限，落实资金，按时消除）的工作格局。

（三）开展安全教育活动，提升师生安全教育意识。

1、安全培训全覆盖。我区校园安全管理人员参加开发区、晋中市组织的“三责”教育培训；食堂管理人员、炊管人员参加开发区组织的食品安全培训；各校司炉工参加开发区质监局、社管处共同组织的司炉工培训；暑期所有中小学幼儿园教师参加校园安全知识培训；每年举行针对全体教师的“送训进校面对面”活动；参加晋中市组织的“安全大讲堂”活动等。我们本着“安全培训有多少都不为过”的思想，要求每位教师每学期还要撰写安全培训笔记不少于8篇。

2、安全课程全覆盖。按照晋中市教育局的要求，在全区中小学间周安排安全法制课一节，并做到“师资、教材、课时、教案、教研、考核”六落实。2014年，配备专职安全教研员一名，指导各校开展安全课程教学及教研活动。各校均能按照市局要求配备专兼职安全课教师开展安全课程教学活动。2013年举办安全课程优质课比赛，对促进我区安全课程的开设起到积极的作用。

3、主题教育全覆盖。充分利用主题教育日开展安全形式多样的安全教育活动。每学期开学的第一周为我区的“安全教育演练周”，利用一周的时间对学生开展安全教育。利用“中小学安全教育日”、“5.12防震减灾日”、“安全宣传月”、“安全第一课”、“交通安全日”、“消防安全日”等重大节日开展主题教育，通过主题班队会、校园广播、演讲比赛、手抄报比赛、宣传栏、黑板报等形式与载体开展活动，收到良好效果。

4、家长通知书全覆盖。各校在重大节日假前（五

一、国庆、寒假、暑假等）重大事项（乘车、防溺水、防踩踏、防暴恐等）、重要责任（家长监护、接送学生等）方面，实行家长通知书告知的方式与家长进行沟通，并要求家长认真学习，签字后将回执交回学校保存。通过发放通知书或一封信，使家长明确了自己应该承担的监护责任，同时也对家长进行了必要的安全教育。

（四）拓宽互动沟通渠道，打造家校社会共管体系。

1、校园警务室全覆盖。2012年8月，我区教育局同开发区治安大队，共商校园警务室建设事宜。由开发区公安分局派驻民警入校，全面负责校园周边治安工作。投资制作校园警务室灯箱13个，总计投入8940元，校园安保设施进一步完善，安保能力大大加强，在保障校园安全的同时，有效地震慑了不法分子入校滋事。

2、法制副校长全覆盖。我区每年以区教育局下文的形式，为全区各中小学校、幼儿园聘请开发区龙湖街、汇通路两个派出所的民警担任学校的法制副校长，并要求每学期之至少邀请法制副校长入校讲座一次。

3、安全专委会全覆盖。在各校成立的“家长学校”与家长委员会中成立安全专委会，通过“家长学校”对学生家长开展安全教育。将以往的“告状会”改为“培训会”，以此来提升家长的安全保护意识，履行好自身的监护责任，更好地配合学校的工作。

4、责任公示牌全覆盖。以“春蕾行动”为契机，建立与治安、消防、交通、食药、文化、工商等部门的联系，将上述部门领导的姓名、手机号码或单位电话等制作公示牌，在各学校门口显著位置悬挂，一经发现涉及上述部门的违法、违规现象，任何人均可按照公式牌公布电话直接举报或投诉。该举措明确了社会各部门对学校的责任，缩短了群众办事的流程，强化了社会监督的作用，形成了家、校、社会共管共育的良好风尚。

信息安全综述 篇6

关键词：信息安全,安全策略,管理体系

21世纪是信息高速发展的时代。然而事物发展速度过快必有其弊端。随着信息技术的飞速发展,整个信息领域呈现出及其繁荣的状态。然而,在繁荣的背后,信息安全的事件也常有发生,并且这种危害信息安全的形势颇为严重。因为信息的安全对国家以及社会的稳定进步产生了负面的影响。因此,国家的技术人员必须采取一定的措施来保证我国信息系统的健康稳定发展。对于信息安全的研究大体上分为信息安全管理体系、信息安全评估以及信息安全策略的研究。信息的安全管理研究是指对信息的安全标准、策略和信息的测评。对信息安全策略是对安全系统进行有效的设计、实现、运行以及管理。对系统中特定的信息进行安全管理,重点需要对哪些资源进行保护,需要采取哪些措施,完成哪些安全任务。安全测评则是根据特定的安全标准对设计的保护信息安全产品和信息系统进行安全性能的测试。

1 信息安全管理体系

信息安全管理是用来指示组织对信息安全风险管理的一系列活动。关于信息安全风险的的管理通常情况下包含制定信息安全方针、控制特定安全目标与方式选择、安全风险评估、安全风险控制、信息安全保证等。信息安全最基本的目标是保护有效信息的私密性、完整性和准确性。需要构造一个信息安全管理框架来完成安全管理的目的。

信息安全管理框架的设立需要遵循特定的过程完成。首先,需要系统内各个组织依据自身运行的状况来完成适用于本身发展和信息安全需求的安全管理框架。然后通过正常的业务流程的进行中详细地实现该框架的安全体系。在业务进行的同时,需要对与信息安全管理框架对应的有关文件进行有效的管理。最后,需要对实现信息安全管理框架的过程中发生的的各种信息安全事故进行及时的记录,并通过一定的流程建立反馈机制。

2 信息安全风险评估

我国对于信息安全风险评估系统的研究是最近几年刚刚起步的,目前主要的工作重心着眼于系统组织架构建立和业务体系的搭建,对于信息安全系统相关的规范标准和技术攻关尚处于研究阶段。随着电子政务和电子商务的高速发展,信息风险评估系统以及基于该系统的信息安全工程已经得到我国相关部门和机构的高度重视,具有广阔的研究空间。

信息安全风险评估是信息安全管理的基础。通过对信息安全状况的风险评估从而确定安全事故的严重程度从而确定风险控制方式,进而对安全事故实施一定的控制手段,将安全的风险控制在系统承受范围之内。对信息安全风险评估的时候需要考虑的如下几个因素:信息资产的估值,信息安全对资产的威胁大小,信息安全事故发生的几率,以及已经掌握的安全控制方式。

风险评估过程如图1所示,它的基本步骤如下:

1)按照系统的运行过程进行特定资产智能识别,根据特定的估价方式对资产进行相对准确的估价。

2)针对特定资产的可能遭遭受的安全威胁,对已经掌握的安全事件控制措施进行确定。

3)在对信息安全的识别的情形下,评估该受到威胁的资产的风险指数,并给出风险评估报告。

4)根据信息安全风险评估的结果,提出合理的方法管理风险。

在对信息安全风险评估时使用哪种方法对评估结果的有效性有特别重要的作用。对信息安全评估方法的选择还会影响信息评估过程中的其他过程的实现,甚至可能影响到最终的评估结果。所以我们需要根据系统的特定状况,选择合理的信息安全风险评估方法。信息安全风险评估的方法有许多种,目前比较通用的有如下两个方法:定量安全风险评估方法和定性安全风险评估方法。

3 结论

安全需求工程研究综述 篇7

关键词：安全需求,安全需求工程,安全需求获取,安全需求分析,安全需求建模,模型检测,风险评估

0 引 言

近年来,需求工程被认为是大型软件开发项目成功与否的关键因素。对于需求工程阶段产生的缺陷,在软件开发过程中的设计阶段被检查出来并修正比在前期的分析阶段检查出来要多花费10-200倍[1]。在大多数软件开发项目中,需求工程阶段产生的缺陷往往占到整个软件开发过程中产生缺陷的50%以上[2]。同时,重新解决需求中产生的缺陷要花费整个项目的40%-50%的时间和精力[3]。在开发周期的早期阶段引进安全分析和安全工程实践比在应用设计阶段才引进分析的投资回报,要高出12%-21%[4]。低下的安全需求花费表明即使在这一领域的微小进步也能产生很高的价值。

最近几年安全需求工程已经引起了广泛的关注。但是安全仅仅被看作是一种非功能性需求,用系统质量的约束和限制来表征。虽然软件设计师已经意识到在需求阶段考虑系统的可靠性和性能等非功能性需求对于系统设计至关重要,但对于安全性这种特殊的非功能性需求仍然是在设计和实施阶段才考虑的。这就意味着满足安全需求的安全机制不得不和先前存在的设计相适应,但由于安全机制和软件系统的功能性需求或有用性存在潜在的冲突,先前的设计可能不适应安全机制。而且软件系统的实现可能出于用户之间的信任关系的假想,也可能出于用户和暂时未开发出来的系统之间关系的假想。而它们之间的实际信任关系可能与假想不一致[24]。反过来说,如果在实现中采用保护机制,而这些机制很可能阻碍了软件系统在一个可信领域中的运行,此时,软件工程师却并没有意识到系统运行在一个可信领域中。概括说,当前软件需求工程方法不能解决安全及信任相关的问题。因此,国内外的许多研究者提出了在软件需求阶段对开发系统进行安全分析,从而能有效减少在开发过程中造成的不安全因素而引起巨大损失。目前软件工程研究者们开始考虑把安全因素融入到主流的需求工程中,并提出了安全需求工程的概念。

1 安全需求工程的起源与发展

1.1 安全需求工程的发展史

自NATO于1968年提出软件工程概念以来,软件工程界已经提出了一系列的理论、方法、语言和工具,解决了软件开发过程中的各种问题。

起初,研究者们主要是将精力集中在软件开发过程中的功能需求分析上,安全问题往往是在系统做好以后才去考虑的,但最终都无法保证软件系统的安全性,安全已经在软件系统中扮演着重要的角色。因此,许多研究者提出在需求阶段对其进行安全分析,从而能有效减少在开发过程中造成的不安全因素而引起巨大损失。软件工程研究者们开始考虑把安全因素融入到主流的需求工程中,安全需求工程应运而生。

在安全需求工程发展的前期,大多数安全需求工程师无法区分系统的安全需求与安全需求的实现手段,他们仅仅针对某个单独的安全目标进行分析[20],并提出相应的解决方案。自1999年12月Common Criteria(CC)2.1正式版[23]成为信息安全技术国际标准以来,软件工程研究者将CC整合到软件开发周期中,并在此基础上提出基于特定框架的安全需求模型。典型的有:面向组织层面建模的Secure Tropos[30],使用Tropos中相同的概念,如参与者、目标、任务、资源、依赖等,在需求分析阶段对信任、授权等安全需求进行分析,到目前为止已经形成了一套支持安全需求分析和建模的理论,并开发出相应的工具ST-Tool;另有一些面向系统层面建模的方法,比如CORAS等对诸如机密性和访问控制等安全相关的特征进行建模。2005年 Nancy R. Mead等人提出安全质量需求工程Security Quality Requirements Engineering (SQUARE),这个过程围绕着需求工程师和一个IT项目的涉众之间的交互展开,由统一定义,识别安全目标,开发工件,执行风险评估,选择获取技术,获取安全需求,对需求分类,优化需求,需求检测等9个步骤组成。随着SQUARE的提出,安全需求工程已成为软件工程研究者们日益关注的对象。

纵观安全需求发展过程,安全问题从最初的软件设计完之后考虑到在需求阶段就引进相关的安全机制,再到利用已经存在建模框架进行安全需求建模,逐步发展成为以面向组织层面建模的潮流,划分了面向组织的模型框架与传统的面向系统的模型框架的界限。安全需求的发展在安全需求工程实践中发挥了重要的指导作用。

1.2 安全需求工程的主要研究方向

基于框架的安全需求建模方法成为目前建立软件系统安全性行为的流行方法,使软件系统的安全需求与实现这些需求的手段日趋明显,如何描述,获取,分析,建模安全需求?如何验证一个安全需求是否符合期望的系统需求?如何基于安全需求建模框架开发实例化的软件系统?将是安全需求工程中必须研究和解决的核心问题。根据现有的安全需求工程的研究活动,主要包括如下几个方面:

1) 安全需求描述语言

2) 安全需求的获取与分析

3) 安全需求的建模

4) 安全需求的模型检测

5) 安全需求的系统支持工具

6) 软件系统的安全风险评估

2 安全需求工程的研究现状式说明

2.1 安全需求工程的有关定义

用安全需求工程是一门涉及到需求工程和信息安全的交叉学科。需求工程是指应用已证实的有效的技术、方法进行需求分析,确定客户需求,帮助分析人员理解问题并定义目标系统的所有外部特征的一门学科;信息安全是通过实施一组控制而达到的,包括策略、措施、过程,组织结构及软件功能,是对机密性、完整性和可用性保护的一种特性。因此,将信息系统的安全属性整合到主流的需求工程中则产生了安全需求工程这门新兴学科。

Moffett等人[25]对安全需求的定义:安全需求被看作是对系统功能需求的约束,采用相关的安全操作术语来描述系统必须达到的安全目标。同功能需求一样,安全需求是为了达到预期的安全效果提供的一种规格说明。

Albin Zuccato[24]把系统作为一个整体,考虑所有的组件及其之间的依赖关系。他对安全需求采取了如下定义:安全需求被看作是一种合并的资源,包括风险、业务过程和涉众(环境),以及这三种资源之间的依赖关系。

虽然许多专家学者都致力于进行与安全需求相关的各种研究,但对于什么是安全需求还没有公认的定义。在某种程度,他们仅仅把它描述成一种高于功能需求的需求。

2.2 安全需求工程研究的不同思路

实践表明:一个好的安全需求获取、分析与建模方法是系统开发成功的重要因素。但由于对软件系统的安全需求和实现这些需求的手段的不同理解,安全需求工程可以分为典型的两种派别:学院派与实用派。学院派研究者侧重于安全需求工程的形式化理论研究,主要是对安全需求分析的早期阶段进行分析、建模。如i*/Tropos框架[14]等;而实用派则是从具体的一些方面对安全需求进行分析,找出一种有效的方法和防范机制来解决安全问题。如文献[11]中提到的12种需求:身份识别需求、认证需求、授权需求、免疫需求、完整性需求、入侵检测需求、不可否定性需求、隐私需求、安全审查需求、系统可生存性需求、物理防护需求、系统的安全维护需求,并对这些需求给出了相应的解决方案。

2.3 安全需求工程研究的主要内容与进展

目前,安全需求工程研究的活动主要集中在以下几个领域:

(1) 安全需求描述语言

为了保证需求工程师和涉众对安全需求进行有效和清晰的交流,需要使用一致的安全术语。SWEBOK,IEEE和Wikipedia等相关组织制定的标准已经对需求工程中可能使用的公共安全术语进行了定义。

同时,研究者们还提出了若干适用于特定领域的安全需求描述语言,主要有:SDL(Scenario Description Language)[6],一种基于安全评估标准的场景片段织入型安全需求描述语言,通过SDL描述的与安全相关的特定场景片段能够通过织入技术自动定位、插入到相关主成功场景,从而实现安全需求的自动织入;H. Abie 等提出了一种能够精确描述应用安全需求的高级描述语言SRL(Security Requirement Language)[10],它基于一阶谓词逻辑,并通过模态算子和语法抽象机制对其进行了相应扩展,以致力于描述分布式系统的安全通信协议;Jan Bialkowski 和 Kevin Heineman提出了应用脆弱性描述语言AVDL(Application Vulnerability Description Language)[7],其目标是为描述应用系统的安全脆弱性提供一种统一的描述形式,它是一种安全数据互操作标准,适用于描述Web应用程序之间交换信息时产生的安全脆弱性;另有国内的研究者提出了一种基于XML的安全需求体系结构描述语言[8]—XSSRA/ADL,它引入了安全构件,半安全构件,安全连接件,半安全连接件等设计单元,不仅能够描述安全需求的体系结构,而且也较好地描述了软件系统中业务需求与安全需求在较高层次的交互和依赖关系。

(2) 安全需求的获取与分析

使用合适的安全需求获取技术是成功获取安全需求的首要条件。除了面谈、头脑风暴等非结构化的需求获取方法外,目前结构化需求获取技术主要有误用例法MC、软系统法SSM、控制需求表达法CORE、问题分析法IBIS、联合应用开发法JAD、面向特征领域分析法FODA、关键步骤分析法CDA和加速需求获取法ARM等。Nancy R. Mead 等人[9]从适应性(是否适合进行安全需求获取)、CASE工具、客户接受程度、复杂度、实施周期、学习曲线等方面对这些需求获取技术进行了比较,结果表明,MC、IBIS、JAD和ARM方法比较适合获取安全需求(如表1所示)。

注:3=优 2=一般 1=差

其中,MC与IBIS方法侧重于通过错误或问题定位安全威胁,JAD和ARM方法则侧重于就各方提出的安全需求进行联合讨论。

有一些研究者利用框架来进行安全需求获取:J.Moffett等人[26]提出一种构造系统情景和系统安全满意度参数的安全需求获取方法。它首先分析了大量基于系统资产的安全目标,通过这些目标派生出功能约束形式的安全需求,然后使用一个以问题为中心的概念描述来构造系统的满意度参数。也有些人通过问题、反目标等诱导机制捕获安全需求。

安全需求的获取实际上是一个对用户意图不断进行揭示和判断的过程。当用户在对信息系统自身的状况和可能遇到的安全危险并不太了解的情况下,只能提出一些较为抽象的安全需求。安全危险性分析的目标就是对各种危险信息进行全面地收集和充分地分析,以使用户能够进一步地明确系统的脆弱点和可能遭受的安全威胁,从而能够提出详细的、准确的安全需求。

当前安全需求分析技术有很多,主要从两方面分析系统安全需求。一类是非形式化分析方法,分析系统可能遭受的安全威胁。例如,软件故障树分析(SFTA)[31]法,以一种逆推的方式对一个已知的入侵行为进行建模分析。另一类是形式化分析方法,从身份识别、权限管理、密码保护、信任评估等方面分析系统应满足的安全需求。这些方法都是从系统层面或使用系统的组织机构层面来定性的分析安全需求。

(3) 安全需求的建模

针对安全需求工程中的概念和研究理论的不同,提出了相应的安全需求建模方法。最具代表性的是:Giorgini 等人以Tropos/i*框架为基础;另有一些人提出了面向系统的安全需求建模方法,是对访问控制策略建模和怎样把这些策略整合到模型驱动的软件开发过程中。比如,Jürjens提出了一种扩展的统一建模语言(UML),即UMLsec,对诸如机密性和访问控制等安全相关的特征进行建模;R. Fredriksen等人提出的一种对风险和脆弱性建模的CORAS方法[13];也有一些人提出了从反面通过诱导,对攻击者的行为进行安全需求建模的方法。典型的有:McDermott和Fox[32]采用用例(用例描述了系统允许的一个功能)来获取和分析安全需求,并引进了反用例模型(通过对系统的不受限制和约束的任意使用,来增加系统的危险性)。

通过对以上各种安全需求建模方法的分析,我们可以预测,未来的发展将会继续以已经存在的建模框架为基础,把安全相关的因素整合到框架中,并将CC融入到安全需求模型中,从而使安全需求建模方法更加完善,更加有效。

(4) 安全需求的模型检测

目前的安全需求分析技术主要分为形式化和非形式化两大类。非形式化方法一般通过如攻击树等手段分析系统可能遭受的安全威胁;形式化方法则主要通过将安全需求转化为形式化验证工具所能支持的表述形式进行验证。需求检测在创造一个准确和可验证的安全需求中是关键因素,目前已经开发出了几种模型检测器:Giorgini 等人把形式化Tropos规约映射成能被模型检测器NUSMV[12]处理的一种语言,通过T-Tool工具来实现。NUSMV应用于许多领域的需求验证,从软件需求的形式化确认到状态图模型验证再到自动任务规划,是一种健壮的、结构良好的、开放的、灵活的符号模型检测平台;Jürjens使用SPIN[27]模型检测器来验证UMLsec模型中的安全属性,把UMLsec模型转换成Promela代码来执行,比如加密协议;又有人提出一种安全需求监控框架[15],来检测系统在运行时其行为是否违背了先前描述的需求。总而言之,模型检测技术已经成为安全需求工程研究领域中的关键技术。

(5) 安全需求的系统支持工具

基于安全需求工程中的各种建模框架,开发出相应的支持工具。例如Giorgini等人开发出的图形工具ST-Tool[30],由ST-Tool内核和外部解析器两部分组成,能支持Tropos框架中提出的所有新特征。系统设计者可以从菜单中选择需要的Tropos元素进行模型设计,并能检查对应元素需求规约的正确性。ST-Tool能对功能需求和安全需求建模,并将Secure Tropos图形模型自动转化为数据日志和形式化规约。

此外,最新开发出的si*-tool,也能对Security Tropos进行建模,它与ST-Tool具有相同的功能,并作为一种插件嵌入到主流的eclipse开发平台中,使用XML作为它的文档格式。

Jürien等人提出的UMLsec则以AutoFocus 案例工具[29]来建模安全需求。AutoFocus主要是由一个管理项目开发文档库的中央服务器组成,并提供客户端访问控制和版本管理机制。客户端包括一个项目浏览器和编辑各种UML图的图形编辑器。但由于它的知识库中只有少量的数据文件,当前的AutoFocus版本不能为建模提供足够的服务,并在扩展性等方面也存在缺陷。

(6) 软件系统的安全风险评估

软件系统的安全风险评估主要是识别系统面临的脆弱性和威胁性。安全风险是由于某种不希望事件的发生,从而对系统造成影响的可能性。根据系统安全工程能力成熟度模型(SSE-CMM)中的理论,能够成为风险的事件有三个重要的组成部分:安全威胁、系统脆弱点和事件造成的影响。一般而言,这三个因素必须同时存在才能构成安全风险。目前,主要有以下风险评估技术:政府问责办公室风险评估模型(GAO model)[16],美国标准技术研究所风险评估模型(NIST model) [17],INFOSEC评估法[18], RFRM模型[19],可生存系统分析法。在SQUARE中[9],Nancy R. Mead 等人从是否适合小组织(进行风险评估)、短时间风险评估框架、需要额外收集数据、需求及风险平均值等方面进行了对比,结果表明,NIST的信息技术系统的风险管理指南(“Risk Management Guide for Information Technology Systems)(RMGITS)和Haimes的风险过滤、排序和管理框架(Risk Filtering, Ranking, and Management Framework)(RFRM)是最有发展前景的风险评估方法。

风险评估不仅能在前期阶段对系统的安全属性进行分析,也能在后期阶段对安全需求进行优化。表2是风险评估文献的结果对比。

注:1=最适合 2=比较适合 3=有点不适合 4=根本不适合

3 安全需求工程研究存在的不足

目前,尽管在安全需求工程领域取得了上述的若干成果,但在理论上,安全需求工程的研究方法还不够成熟,对安全需求工程相关概念的理解都比较模糊;在应用方面,不能有效地指导软件工程实践、为开发出安全软件提供一个好的指导原则,安全需求工程还有若干问题需要解决。

总结对安全需求工程的研究,我们认为主要存在以下不足:

(1) 缺乏统一的安全需求概念,导致安全需求工程的研究范畴模糊。比如,学院派研究者着重考虑从理论上对安全需求建模,而实用派则主要对安全需求的实现手段进行需求建模,概念的不统一导致设计人员交流上的困难,不利于支持工具的开发,也不利于软件系统的应用。

(2) 对安全术语还没有形成统一的标准化定义,例如在Tropos方法中可以引进本体技术对安全需求相关概念进行描述,建模。

(3) 在需求阶段,没有把时间等相关因素考虑进去(比如安全的时效性),无法保证开发出的产品安全相关因素的存活期。

(4) 对于模型检测技术仅仅从形式化方法进行描述,未开发出可视化的检测工具。

(5) 目前的安全需求风险评估系统还不完善,安全风险度量理论还不成熟,不能有效的平衡系统所功能与开发系统时的经济花销。

4 结 语

近年来,安全需求工程已经受到广大研究者的关注。 而软件工程研究者已经逐渐意识到安全和隐私在系统的开发和部署中扮演着一个重要的角色,许多研究者建议把安全和隐私因素融入到主流的需求和软件工程方法中,然而,仅仅只有少数的几篇论文描述复杂的案例研究。

以i*/Tropos和UML为框架对安全需求进行分析建模已经成了主流的安全需求开发方法,从概念—模型—形式化—工具[14],已经形成一套相对成熟的理论,但仍有很多东西需要完善,比如在安全需求工程的研究中,理论和实践之间存在巨大的差距,科学家正在研究一种形式化方法来对安全需求进行规约和验证,把开发好的框架广泛应用于实践中。

目前的安全需求工程研究的理论方法以ISO-15408和ISO-17799安全管理策略为基础,特别是在形式化分析技术中逐渐改正并完善自己的理论、方法。

针对安全需求工程未来的发展趋势,主要是基于本体对安全需求中所涉及的概念进行描述;以面向领域的安全需求获取与分析方法作为建模的先决条件,开发出能直接映射成可运行代码的框架,实现真正的理论应用于实践。

食品安全问题研究综述 篇8

1 对食品安全问题的认知

对食品安全问题的认知可归为对食品安全问题的关注度、对食品安全风险的认知、对不同食品种类的安全认知等。研究表明, 外部事件、消费者认知和消费者行为三者密切相关, 食品安全关注度与消费者信心成正相关。在国内外研究中, 关于信任和风险感知的关系, 常把食品变质过期、假冒食品、农药残留、食品添加剂和转基因食品6类问题纳入研究, 不同的学者提出了不同的观点, 如Brom指出生物技术在食品生产中的使用加剧了消费者的担忧, 消费者担忧可理解为信任缺失的一种信号①;而Chen则指出对食品安全问题的消极认知与食品安全信任并不存在负向关系。由于食品种类的多样性和复杂性, 不同学者考察了不同食品组别对食品安全信任的影响, 发现对鱼类和肉类安全的认知与信心水平紧密相关, 这与过去一些食品丑闻的发生有关。

2 影响食品安全的因素

2.1 企业经营者道德缺失

20世纪90年代, 我国确立了社会主义市场经济, 我国经济的转形过程中, 社会的传统价值观念也在接受着挑战, 市场经济快速发展的同时, 价值标准也开始朝着多元化发展。人们在社会生活中更多考虑经济价值、经济指标, 企业则更多的考虑自身利润的多少, 不公平分配现象、贫富差距现象加剧, 这些都充斥着金钱利益的气味, 人们传统的重视情谊轻利益、注重整体利益的价值观念受到冲击, 部分人们传统的信仰、道德取向发生了动摇。反映在企业上就是经济利润成了企业生产经营的最大的动力。而企业的经营者作为企业领导的核心, 其价值观念的变化对企业有着重要作用, 在现实经济运营中, 有的经营者重视个体利益、经济利益, 不遵守职业道德, 难以在全企业内形成带头作用, 忽视企业的社会责任。企业如人, 人无信则不利。例如现在很多奶农、乳制品生产企业, 在生产过剩中非法添加三聚氰胺, 上海的染色馒头事件, 件件都曝露出企业经营者道德的沦丧。针对这些事件, 温家宝总理曾多次在公共场合疾呼要求:“企业家身上应该流着道德的血液。”

2.2 食品企业社会责任观念不强

市场经济下, 各行各业面临着激烈的竞争, 为了获取更大的商业利润, 在竞争中取胜, 有的企业不惜采取非法手段降低成本。漠视应尽的义务, 疯狂的追求金钱和利益。从前几年的三鹿三聚氰胺到最近的双汇瘦肉精、染色馒头风波, 在这中间有的中小企业生产条件极其恶劣, 生产车间污水横流, 采用腐烂的肉质品进行加工制作, 在一些商贩的经营场所, 脏乱差, 从业人员无证经营, 安全卫生条件差, 这些企业盲目追求经济利益, 给社会、周围环境等造成了损害, 这都是企业社会责任企业观念不强的表现。

2.3 我国食品安全配套法体系和安全标准体系不健全

根据我国现行食品安全法的规定, 我国对于社会上的保健食品采取严格的管理监督制度, 监管条例明确规定由国务院制定。但是由于我国在经济发展中一系列原因的存在, 监管条例到现在为止还没有出台。当前各地监管部门对保健食品市场监管时容易发生于法无据的现象。又如, 食品安全法第二十九条第三款规定“食品生产加工小作坊和食品摊贩从事食品生产经营活动, 应当符合本法规定的与其生产经营规模、条件相适应的食品安全要求, 保证所生产经营的食品卫生、无毒、无害, 有关部门应当对其加强监督管理, 具体管理办法由省、自治区、直辖市人民代表大会常务委员会依照本法制定。”而在现实中很多省份, 尤其在偏远的市区并没有出台相关规定, 即使已经出台了但实施性不强。

3 食品安全的消费者行为

女性对食品安全信任倾向较低, 原因是女性负有照顾家庭饮食的责任;性别对食品安全信任没有影响。教育水平越高, 对食品安全信任倾向越高, 原因是他们能够理性乐观地看待食品安全问题;但由于对食品信息知晓较多, 也容易导致对食品安全现状的不满。年龄大的比年龄小的更容易感知风险;但食品安全信任的可能性会增加, 原因是年长的阅历丰富, 能够从一个相对乐观的角度看待事物发展趋势。家庭月收入与食品安全信任存在正相关, 原因是高收入家庭拥有较多资源, 支付能力较强;但同时消费者对食品安全的期望也会随之增加。此外, 家庭结构、个性特征等对食品安全信任的影响也存在不一致性, 有待于进一步研究。国内研究表明, 监管部门的低效和无序加剧了消费者对食品安全的不信任程度, 法律法规的有效实施可以显著提高消费者信心, 如王威、尚杰指出交易中的市场失灵和相关部门的监管失效导致乳制品信任链的断裂;卢菲菲等指出政府、企业、奶站的信任度均对食品安全信任有正向影响, 其中对政府的信任保持在一个较高的水平, 这可能是因为消费者能够通过媒体及时了解政府的动态。

4 食品安全的生产者行为

很多食品企业把利润最大化作为自己唯一的经营目标, 只注重眼前利益而忽视长久发展。再加上来自国外食品企业的激烈竞争和原材料价格的持续上涨对企业利润的挤占效应, 很多食品企业为了保住自己的利润, 为了能够降低成本, 不惜削减产品质量水平, 甚至危害消费者健康。再者就是道德文化建设缺失企业道德文化建设在中国起步较晚, 企业自身对社会责任的认识和实践比较薄弱, 侵害劳动者、消费者、债权人和社会公共利益的行为普遍存在。很多食品企业责任人甚至连道德文化和社会责任是什么都不知道。

5 食品安全的政府管理

我国食品安全事故频繁发生直接暴露了食品安全监管体制中的诸多漏洞。其中, 地方政府职责缺位难逃其咎。因此, 地方政府的职责定位成为目前学界研究食品监管过程中无法回避的重要问题。首先, 地方利益造成信息不对称。目前分段多头管理体制下, 我国的食品安全涉及六大监管部门, 由于这六大部门分别隶属不同行业, 因此系统内部管理方式也不尽相同。“其中, 工商、质检和食药部门都是垂直管理, 卫生、农业和商务部门是属地管理。由于这种隶属关系的差异与各部门与当地政府的利益关系的不同, 地方监管机构可能迫于保护地方利益, 成为不法企业和不法分子的‘保护伞’, 从而造成中央和地方政府机构的信息不对称”②。其次, 地方利益导致监管缺位。有学者根据委托-代理模式, 提出由于“代理人也是经济理性人, 也有自身的利益, 代理人在实行代理的过程中, 会根据自身利益最大化原则来决定是否如实遵循委托人的意愿以及如何代理委托人来采取行动”③, 因此, 地方政府的监管职责在实践中往往让位于地方经济利益, 造成目前监管权形同虚设。

参考文献

[1]张涛.食品安全法律规制研究[D].重庆:西南政法大学, 2005.

[2]周应恒, 霍丽月.食品质量安全问题的经济学思考[J].南京农业大学学报, 2003, (3) .

[3]张涛.食品安全法律规制研究[D].重庆:西南政法大学, 2005.

[4]李磊.新时期食品安全与卫生教育的社会性思考[J].南京医科大学学报 (社会科学版) , 2005, (4) .

[5]陈兴乐.从阜阳奶粉事件分析我国食品安全监管体制[J].中国公共卫生, 2004, (10) .

云计算安全技术研究综述 篇9

按照美国国家标准和技术学会(NIST)的定义,云计算是一种利用互联网实现随时随地、按需、便捷地访问共享资源池(如计算设施、存储设备、应用程序等)的计算模式。云计算以其便利、经济、高可扩展性等优势引起了产业界、学术界、政府等各界广泛的关注,国际、国内很多成功的云计算案例纷纷涌现。国际上,Amazon的EC2/S3、Google的Map Reduce/App Engine、Yahoo!的HDFS、微软的Azure、IBM的蓝云等都是著名的案例;而国内,无锡的云平台、山东东营的政务云、中化集团的中化云等也逐渐呈现,同时,云计算的国家级策略也在不断酝酿。

但当前,云计算发展面临许多关键性问题,安全问题首当其冲,并且随着云计算的普及,安全问题的重要性呈现逐步上升趋势,成为制约其发展的重要因素。在云计算环境下,虽然数据集中存储,数据中心的管理者对信息资源进行统一管理、统一分配、均衡负载、部署软件、控制安全,并进行可靠的安全实时监测,从而使用户的数据安全得到最大限度的保证。然而,集中管理的云计算中心也必将成为黑客攻击的重点目标。由于云计算环境的巨大规模以及前所未有的开放性与复杂性,其安全性面临着比以往更为严峻的考验。对于普通用户来说,其安全风险不是减少而是增大了。Gartner的2009年调查结果显示,70%以上受访企业的CTO认为近期不采用云计算的首要原因是存在数据安全性与隐私性的忧虑。EMC信息安全部RSA和欧洲网络和信息安全研究所ENISA也提出:数据的私密性和安全性以及服务的稳定性已成为用户考虑是否使用云服务和如何选择云提供商的关键衡量指标。而近来Amazon、Google等云计算发起者不断爆出的各种安全事故更加剧了人们的担忧。因此,要让企业和组织大规模应用云计算技术与平台,就必须全面地分析并着手解决云计算所面临的各种安全问题。

2 云计算的基本特征及安全问题

参照NIST的定义,云计算具有五个基本特征:一是按需自助服务,用户可对计算资源进行单边部署以自动化地满足需求,并且无须服务提供商的人工配合;二是泛在网络连接,云计算资源可以通过网络获取和通过标准机制访问,这些访问机制能够方便用户通过异构的客户平台来使用云计算;三是与地理位置无关的资源池,云计算服务商采用多用户模式,根据用户需求动态地分配和再分配物理资源和虚拟资源,用户通常不必知道这些资源具体所在的位置,资源包括存储器、处理器、内存、网络及虚拟机等;四是快速灵活地部署资源,云计算供应商可快速灵活地部署云计算资源,快速地放大和缩小,对于用户,云计算资源通常可以被认为是无限的,即可以在任何时间购买任何数量的资源;五是服务计费,通过对不同类型的服务进行计费,云计算系统能自动控制和优化资源利用情况。可以监测、控制资源利用情况,为云计算提供商和用户就所使用的服务提供透明性。

其中,资源虚拟化和服务化是云计算最重要的外部特征。在云计算的模式下,用户基本上不再拥有使用信息技术所需的基础设施,而仅仅是租用并访问云服务供应商所提供的服务。云计算把各层次功能封装为抽象实体,对用户提供各层次的云服务,这些服务通过虚拟化技术实现。虚拟化技术将底层的硬件,包括服务器、存储与网络设备全面虚拟化,在虚拟化技术之上,通过建立一个随需而选的资源共享、分配、管控平台,可根据上层的数据和业务形态的不同需求,搭配出各种互相隔离的应用,形成一个以服务为导向的可伸缩的IT基础架构,从而为用户提供以出租IT基础设施资源为形式的云计算服务。用户在任意位置、使用各种终端从云中获取应用服务,而无需了解它的具体实现和具体位置。

云计算的以上特征带来了诸多新的安全问题,其中核心安全问题是用户不再对数据和环境拥有完全的控制权。云计算的出现彻底打破了地域的概念,数据不再存放在某个确定的物理节点,而是由服务商动态提供存储空间,这些空间有可能是现实的,也可能是虚拟的,还可能分布在不同国家及区域。用户对存放在云中的数据不能像从前那样具有完全的管理权,相比传统的数据存储和处理方式,云计算时代的数据存储和处理,对于用户而言,变得非常不可控。

传统模式下,用户可以对其数据通过物理和逻辑划分安全域实现有效的隔离和保护;而在云计算环境下,各类云应用没有固定不变的基础设施和安全边界,数据安全由云计算提供商负责,不再依靠机器或网络的物理边界得以保障,因此云环境中用户数据安全与隐私保护难以实现。

同时,云中大量采用虚拟技术,虚拟平台的安全无疑关系到云体系架构的安全。随着功能与性能上的不断提升,虚拟化平台变得越来越复杂和庞大,管理难度也随之增大。目前,虚拟平台的安全漏洞不断涌现,如果黑客利用漏洞获得虚拟平台管理软件的控制权,将会直接威胁到云安全的根基。

此外,云计算中多层服务模式也将引发安全问题。云计算发展的趋势之一是IT服务专业化,即云服务商在对外提供服务的同时,自身也需要购买其他云服务商所提供的服务。因而用户所享用的云服务间接涉及到多个服务提供商,多层转包无疑极大地提高了问题的复杂性,进一步增加了安全风险。

从目前云计算的发展来看,用户数据的安全、用户隐私信息的保护问题、数据的异地存储以及云计算自身的稳定性等诸多安全和云计算监管方面的问题,直接关系到用户对云计算业务的接受程度,已成为影响云计算业务发展的最重要因素。

传统的安全域划分、网络边界防护等安全机制已难以保障云计算的安全防护需求。作为面向服务的架构体系,云计算体系各层作为服务提供者将共同面临着非法用户的访问、合法用户的非法操作、合法用户的恶意破坏等威胁。因此,研究云计算安全防护体系以及用户认证、访问控制等问题,将是云计算安全领域的重点。

3 云计算安全技术研究进展

云计算源于网络运营商的商业运作,是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展融合的产物。由于是一种融合技术,从实践走向实践,所以云计算缺乏严谨的理论基础,在其发展过程中,几乎所有的大型云计算推广厂商都出现了各种各样的故障,引发业界对云计算安全的讨论和研究。

目前,对云计算安全技术的理论研究滞后于实践应用,尚处于初级阶段,但已得到越来越多学术界的关注。信息安全国际会议RSA2010将云计算安全列为焦点问题,许多企业组织、研究团体及标准化组织都启动了相关研究,安全厂商也在关注各类安全云计算产品。但只有CSA和ENISA以及微软等几个为数不多的组织和公司能够比较清晰地提出各自对云计算安全问题的基本认识以及关于云计算安全问题的初步解决方案。

3.1 云安全联盟CSA

目前,对云安全研究最为活跃的组织是云安全联盟CSA(Cloud Security Alliance),CSA是于2009年成立的一个非盈利性组织,企业成员涵盖国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。CSA于2009年12月发布了《云计算关键领域安全指南V2.1》,总结了云计算的技术架构模型、安全控制模型以及相关合规模型之间的映射关系。根据CSA提出的云安全控制模型,“云”上的安全首先取决于云服务的分类,其次是“云”上部署的安全架构以及业务、监管和其它合规要求。CSA还确定了云计算安全的15个焦点领域,分别为信息生命周期管理、政府和企业风险管理、法规和审计、普通立法、eDiscovery、加密和密钥管理、认证和访问管理、虚拟化、应用安全、便携性和互用性、数据中心、操作管理事故响应、通知和修复、传统安全影响(商业连续性、灾难恢复、物理安全)、体系结构。2010年3月CSA发布了云计算安全面临的七个最大的安全威胁,即对云的不良使用、不安全的接口和API、恶意的内部人员、共享技术的问题、数据丢失或泄漏、账户或服务劫持、未知的风险等,获得了广泛的引用和认可。

3.2 欧洲网络和信息安全研究所ENISA

欧洲网络和信息安全研究所ENISA(European Network and Information Security Agency)是负责欧盟内部各个国家网络与信息安全的一个研究机构,其在云计算安全方面的主要研究成果是从企业的角度出发分析云计算可能带来的好处以及安全方面的风险。ENISA认为,企业使用云计算的好处是内容和服务随时都可存取,并可不必管理超过需求的数据中心容量,而是使用云计算提供商提供的云计算服务,依照实际用量付费,不必维护某些硬件或软件,不仅可以降低企业成本,而且可以“解放”企业内部的IT资源。但是目前由于安全性问题,企业仍对云计算望而却步。企业质疑,是否能够放心把企业的数据、甚至整个商业架构,交给云计算服务供货商。因此,ENISA建议,企业必须做风险评估,比较数据存在云中和存储在自己内部数据中心的潜在风险,比较各家云服务供应商,取得优选者的服务水平保证。应该清楚指定哪些服务和任务由公司内部的IT人员负责、哪些服务和任务交由云服务供应商负责。ENISA的报告指出,如果选对云计算供应商,数据存在云中是非常安全的,甚至比内部的安全维护更固若金汤、更有弹性、更能快速执行,也可以更有效率地部署新的安全更新,并维持更广泛的安全诊断。

3.3 典型的云安全技术解决方案

除了学术界,产业界对云计算的安全问题非常重视,并为云计算服务和平台开发了若干安全机制,各类云计算安全产品与方案不断涌现。其中Sun公司发布开源的云计算安全工具可为Amazon的EC2,S3以及虚拟私有云平台提供安全保护。微软推出了云计算平台Windows Azure。在Azure上,微软通过采用强化底层安全技术性能、使用所提出的Sydney安全机制,以及在硬件层面上提升访问权限安全等系列技术措施为用户提供一个可信任的云,从私密性、数据删除、完整性、可用性和可靠性五个方面保证云安全。Yahoo!的开源云计算平台Hadoop也推出安全版本,引入kerberos安全认证技术,对共享敏感数据的用户加以认证与访问控制,阻止非法用户对Hadoop clusters的非授权访问。EMC,Intel,Vmware等公司联合宣布了一个“可信云体系架构”的合作项目,并提出了一个概念证明系统。该项目采用Intel的可信执行技术(Trusted Execution Technology)、Vmware的虚拟隔离技术、RSA的en Vision安全信息与事件管理平台等技术相结合,构建从下至上值得信赖的多租户服务器集群。2010年为使其安全措施、政策及涉及到谷歌应用程序套件的技术更透明,谷歌发布了一份白皮书,向当前和潜在的云计算客户保证强大而广泛的安全基础。此外,谷歌在云计算平台上还创建了一个特殊门户,供使用应用程序的用户了解其隐私政策和安全问题。

4 云计算服务安全模型

云计算以服务的方式满足用户的需求,根据服务的类型,云计算服务可以分为三个层次:基础设施即服务(Iaa S)、云平台即服务(PaaS)、云软件即服务(SaaS),构成云计算服务模型。IaaS位于最底层,提供所有云服务必需的处理、存储的能力;PaaS建立在IaaS之上,为用户提供平台级的服务;SaaS又以Paa 为基础,提供应用级的服务。用户可以根据自身业务特点和需求,选择合适的云服务模式,不同的云计算服务模式意味着不同的安全内容和责任划分。目前比较获得认可的云计算安全模型就是基于云计算服务模型构建的,如图1所示。此模型中,云服务提供商所在的层次越低,云用户自己所要承担的安全管理职责就越多。不同云服务模式的安全关注点是不一样的,当然也有一些是这三种模式共有的,如数据安全、加密和密钥管理、身份识别和访问控制、安全事件管理、业务连续性等。

4.1 IaaS层安全

IaaS提供硬件基础设施部署服务,为用户按需提供实体或虚拟的计算、存储和网络等资源。在使用IaaS层服务的过程中,用户需要向IaaS层服务提供商提供基础设施的配置信息,运行于基础设施的程序代码以及相关的用户数据。数据中心的管理和优化技术以及虚拟化技术是IaaS层的关键技术。IaaS层安全主要包括物理安全、主机安全、网络安全、虚拟化安全、接口安全,以及数据安全、加密和密钥管理、身份识别和访问控制、安全事件管理、业务连续性等。

4.2 PaaS层安全

PaaS位于IaaS之上,是云计算应用程序运行环境,提供应用程序部署与管理服务。通过PaaS层的软件工具和开发语言,应用程序开发者只需上传程序代码和数据即可使用服务,而不必关注底层的网络、存储、操作系统的管理问题。PaaS层的安全主要包括接口安全、运行安全以及数据安全、加密和密钥管理、身份识别和访问控制、安全事件管理、业务连续性等,其中PaaS层的海量数据的安全问题是重点。Roy等人提出了一种基于Map Reduce平台的隐私保护系统Airavat,集成强访问控制和区分隐私,为处理关键数据提供安全和隐私保护。

4.3 SaaS层安全

SaaS位于IaaS和PaaS之上,它能够提供独立的运行环境,用以交付完整的用户体验,包括内容、展现、应用和管理能力。企业可以通过租用SaaS层服务解决企业信息化问题,如企业通过Gmail建立属于该企业的电子邮件服务。该服务托管于Google的数据中心,企业不必考虑服务器的管理、维护问题。对于普通用户来讲,SaaS层服务将桌面应用程序迁移到互联网,可实现应用程序的泛在访问。SaaS层的安全主要是应用安全,当然也包括数据安全、加密和密钥管理、身份识别和访问控制、安全事件管理、业务连续性等。如,由于云服务器由许多用户共享,且云服务器和用户不在同一个信任域里,所以需要对敏感数据建立访问控制机制。由于传统的加密控制方式需要花费很大的计算开销,而且密钥发布和细粒度的访问控制都不适合大规模的数据管理,Yu等人讨论了基于文件属性的访问控制策略,在不泄露数据内容的前提下将与访问控制相关的复杂计算工作交给不可信的云服务器完成,从而达到访问控制的目的。

5 结束语

随着云计算技术的快速发展和更广泛应用,云计算将会面临更多的安全风险。目前业界对云计算安全的研究尚处于初步阶段,对云计算安全的解决也没有统一的标准和解决方法,并且对云计算安全的研究集中于企业。未来需要学术界、产业界、政府共同参与解决云计算的安全问题,推动云计算的发展。

参考文献

[1]MELL P,GRANCE T.The NIST Definition of Cloud Computing[R].National Institute of Standards and Technology,2011.

[2]Cloud Computing[EB/OL].[2009-05-23].http://en.wikipedia.org/wiki/Cloud_computing.

[3]王伟,高能,江丽娜.云计算安全需求分析研究[J].信息网络安全,2012(08):75-78.

[4]冯登国,张敏,张妍等.云计算安全研究[J].软件学报,2011(1):71-83.

[5]张健.全球云计算安全研究综述[J].电信网技术,2010(9):15-18.

[6]Cloud Security Alliance.Security Guidance for Critical Areas of Focus in Cloud Computing[EB/OL].http://www.cloudsecurityalliance.org/csaguide.pdf.

[7]Cloud Security Alliance.Top Threats to Cloud Computing V1.0[EB/OL].http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf.

[8]ENISA.Cloud Computing Information Assurance Framework.http://www.enisa.europaeu/act/rm/files/deliverables/cloudcomputing-information-assurance-framework.

[9]ENISA.Benefits,risks and recommendations for information security.http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport.

[10]Securing Microsoft’s Cloud Infrastructure.http://www.global-foundationservices.com/security/documents/SecuringtheMSCloudMay09.pdf.

[11]陈军,薄明霞,王渭清.云安全研究进展及技术解决方案发展趋势[J].现代电信科技,2011(6):50-54.

食品安全信任研究综述 篇10

一、消费者食品安全认知的研究

食品安全信任的形成是一种认知过程, 认知信任也是信任的重要维度之一, 因而消费者的食品安全认知水平受到了国内外学者们的关注。Raab&Woodburn (1997) 进行的社会调查显示, 消费者食品安全认知处于较低的水平, 仅仅知道问题食品会对健康造成危害, 而对问题食品产生的原因及如何加以识别都不甚了解。杨万江等 (2005) 对浙江省消费者的调查结果表明, 消费者对绿色食品、无公害食品以及有机食品的安全认知水平较低。学者们在研究过程中发现, 消费者食品安全认知自身也受到多种因素的影响。Brewer (1994) 的研究发现, 以微生物污染为代表的污染因素、以食品添加剂为代表的化学因素、以营养平衡性为代表的健康因素、以食品检验为代表的政策因素以及知感性因素和欺骗性因素等六大因素会对消费者食品安全认知产生影响。调查显示, 消费者对健康因素、污染因素和化学因素较为关注, 且关注水平存在着显著性差异。常向阳 (2014) 基于选择试验法研究消费者对食品安全属性的不同行为表现。结果显示, 消费者对食品安全属性的偏好的确存在较为明显的差异。在品牌与口碑、产品安全、营养成份、距保质期时间这四个食品安全属性方面, 消费者表现出较强的偏好。此外, 消费者对于转基因食品的安全认知也是国内外学者关注的焦点。Huffman (2004) 的实证研究表明, 不同的民族特征、宗教及文化差异是欧美消费者对转基因食品的安全认知水平存在差异的重要影响因素。王志刚 (2003) 对天津消费者的调查发现, 性别、年龄、教育水平及吸烟状况等消费者个体特征对消费者的转基因食品安全认知水平有着显著影响。

二、消费者对安全食品的支付意愿的研究

消费者对安全食品的支付意愿可以理解为消费者为了获得更加安全健康的食品而愿意为此付出更多额外的费用, 从而也表明了消费者对该食品的安全信任。国外学者采用多种不同的方法来评估消费者的支付意愿。Halbrendt等 (1995) 将价格、技术参数以及肉类脂肪含量作为测量指标, 运用结合分析法估计了消费者对猪肉的支付意愿。Henson (1996) 在估计消费者对有安全标识桃子的支付意愿的研究中采用了假设评价法, 结果发现, 消费者不愿意为有安全标识的桃子增加支付。Fox等 (1998) 利用实验拍卖法对美国加利福尼亚等四个州的在校大学生进行调查, 研究他们对低沙门氏菌污染风险的猪肉三明治的支付意愿, 结果显示, 被调查者愿意为此多付出0.5~1.4美元。国内学者也进行了类似的研究, 发现中国消费者对安全食品的支付意愿普遍较高, 有的甚至高于发达国家消费者 (钟甫宁, 易小兰, 2010) 。周洁红 (2004) 对浙江城镇消费者在安全蔬菜方面的支付意愿进行了调查, 调查结果表明, 消费者愿意为安全蔬菜付出比普通蔬菜价格高出10~20%的额外费用。周应恒, 吴丽芬 (2012) 对南京市城市消费者进行低碳猪肉支付意愿的调查, 运用条件价值评估法估算消费者对低碳猪肉的意愿支付水平, 研究结果表明, 消费者的平均支付意愿为3.95元, 比普通猪肉价格上涨了26.33%, 支付意愿处于较高的水平。研究还发现, 消费者支付意愿受到价格、认知度以及家庭人口、家庭收入、学历等人口统计特征的显著影响。常向阳 (2014) 研究表明, 出于“健康动机”的考虑, 消费者愿意为食品安全属性及其“衍生属性” (品牌、口碑等) 承担相应的支付溢价。

三、食品安全信任影响因素的研究

(一) 个人因素对食品安全信任的影响

国内外学者将年龄、学历、个性特征和行为偏好等个人因素纳入对食品安全信任的影响因素分析中, 并得出了各自不同的结论。王冀宁 (2013) 基于江苏、浙江、山东、安徽、上海、北京、四川、山西、新疆等地2409位消费者的食品安全信任调查问卷, 对我国消费者的食品安全信任状况进行了实证研究, 结果发现:年龄、学历等个人因素显著影响了食品安全信任水平。在年龄方面, 18~55岁的消费者信任水平较低, 影响为负, 其食品安全信任水平随着年龄的增长而下降。该年龄段的消费者主要是家庭食品购买者, 接触到问题食品的可能性更大, 且年龄越大消费时间越长, 长期食品安全状况难以改善使其失去信任。在学历方面, 随着学历水平的提高, 对食品安全信任的影响系数呈下降趋势。也就是说, 消费者受教育程度越高, 对食品安全相关新闻和常识关注度越高, 对于食品安全的文件或标志了解更多, 对食品安全事件认识更深刻, 其信任水平越低。Jonge (2007) 的研究结论却与此相反, 他认为由于可以理性乐观地面对食品安全问题, 学历水平越高的消费者, 其食品安全信任水平越高。巩顺龙等 (2012) 以711份调查问卷数据为基础, 对消费者的食品安全信任与消费者的焦虑特质之间的关系进行了实证检验。研究表明, 消费者在处理事务时表现出的过分担忧的倾向, 对消费者的食品安全信任有显著的负效应。

(二) 食品安全信息对食品安全信任的影响

Chen (2008) 指出食品安全信任主要来源于真实的信息以及特定组织机构的绩效。Poppe (2003) 认为信息可以提高信任, 消费者不信任是由于缺乏真实信息或错误地理解信息。周应恒, 霍丽玥等 (2004) 对南京超市食品消费者的调查表明, 消费者最关心的六类食品安全信息以从高到低的顺序排列依次为:判断食品是否变质过期的生产日期与保质期 (50%) ;判断是否遭受农药、兽药等化学污染的化学残留 (27.7%) ;判断加工环节是否存在污染问题的防腐剂、色素等添加剂使用 (12.8%) ;判断是否存在掺假问题的产地、厂商以及经销商 (7%) ;判断是否存在健康损害问题的盐、糖和脂肪等的含量 (1.4%) ;是否使用了转基因技术 (1.1%) 。全世文、曾寅初 (2013) 将食品安全信息划分为六类, 调查发现, 由于存在食品安全信息可得性较低的问题, 出现了消费者对各类食品安全信息需求程度偏高而了解水平偏低的现象。消费者在搜寻食品安全事件类信息、食品安全标准类与常识类信息、食品安全法规类与认证类信息时, 分别面临信息真假难辨、信息量不足、信息过于专业化等突出问题, 而信息渠道不畅与信息价值不高则属于共性问题。

(三) 信息来源对食品安全信任的影响

食品厂商、政府部门、新闻媒体、社会团体、亲人朋友、自身体验等都可以成为食品安全信息的来源。Grunet (2002) 认为, 食品安全信任程度的高低取决于消费者对监管部门和食品厂商是否愿意保护消费者权益、是否能够提供可信赖的食品安全信息的判断。Hornibrook (2005) 研究了牛肉市场消费者的食品安全信息来源。其中, 食品安全信息最主要的是来自于亲身体验、亲朋推荐等消费者主导的信息源, 其次是来自于包装、店员等厂商主导的信息源, 而最差的是来自于政府部门和新闻媒体的中性信息源。国外研究表明, 消费者对食品安全事件的了解, 会对事件所涉及到的食品的安全信任产生负面影响。Verbeke等 (2001) 研究了负面报道对消费者肉类需求是否会产生影响的情况, 研究发现, 媒体对疯牛病的负面报道会导致消费者对牛肉的需求量下降, 取而代之的是消费者对没有受到媒体负面报道的猪肉的需求量大幅提高。Smith等 (1988) 以1982年发生在夏威夷的杀虫剂污染牛奶事件为研究对象, 调查了牛奶污染事件发生前后消费者的牛奶需求变化状况。调查发现, 消费者对牛乳制品的需求量在很大程度上受到新闻媒体对牛奶污染事件大篇幅负面报道的影响。

在对信息源的研究中, 国内学者的研究结论与国外学者大相径庭。胡卫中、齐羽和华淑芳 (2007) 对浙江蔬菜市场消费者食品安全信息需求的实证研究, 识别出了12种能有效降低食品安全风险认知的信息源。最有效的是中性信息源, 其中卫生、质监部门和消费者协会是食品安全信息发布的最佳途径。消费者主导的信息源也很重要, 其效果超过中性信息源中的媒体, 而厂商主导信息源的效果最差。张莉侠, 刘刚 (2010) 考察了上海消费者对生鲜食品质量安全信息的需求状况, 以及对消费者搜寻生鲜食品质量安全信息产生影响的因素。研究发现, 消费者所获取的信息中有35.49%是来自于电视、网络等媒体, 47.26%的消费者把政府职能部门作为最信任的食品安全信息发布渠道。

(四) 质量信号发送行为对食品安全信任的影响

国内外学者的研究表明, 食品质量安全属性所具有的“信任品”特征, 导致消费者难以对食品质量安全水平进行有效鉴别, 食品市场因存在严重的信息不对称问题, 使得逆向选择问题长期无法解决。而通过质量信号的传递实现质量区分, 则可以有效地解决这一问题。具体而言, 市场上存在着高质量和低质量两类食品, 当高质量食品生产厂商的质量信号发送所获收益高于其发送成本, 而低质量食品生产厂商的质量信号发送所获收益低于其发送成本时, 前者就会积极进行信号发送, 而后者只能被迫选择放弃, 从而实现了分离均衡。质量信号的作用在于, 将食品的信任品特征有效地转换为搜寻品特征, 以便于消费者观察和信赖 (Grossman, 1981;古川, 安玉发, 2012;张红霞, 2014) 。国外众多学者将食品标识、质量认证、产地认证等作为质量信号显示载体 (Northen, 2001;Aurioll, Davidson, 2003) 。在我国, 食品质量安全信号主要通过商品标签来显示, 《中华人民共和国食品安全法》第42条做出了明确规定。

从消费者角度看, 他们通常也会通过借助质量信号推断产品质量的方式来应对信息不对称的情况 (Kirmani, Rao, 2000) 。Dawar&Parker (1994) 认为出现以下几种情况时消费者会使用质量信号:希望降低感知风险;缺乏直接评判质量 (下转第13页) (上接第4页) 的能力;较低的涉入水平;无法知晓实际质量, 或过高的推断成本;有信息搜索偏好。Mc Cluskey (2003) 在分别测试了消费者对转基因食品标识、疯牛病检测标识等的偏好后, 发现消费者对不同标识的食品安全感知上存在明显的差异。Amy (2003) 研究发现, 无论是苏格兰地处市区的消费者还是地处乡村的消费者, 都将标识作为食品安全的指标, 并且认为苏格兰牛肉要比英格兰的更安全、更值得信任。钟甫宁, 丁玉莲 (2004) 通过社会实验的方式模拟真实的市场情景, 以探测南京市消费者对转基因食品的潜在购买意愿。调查发现, 高达94.58%的消费者认为转基因食品应该加贴标签, 这样有助于消费者更好地了解和选择。

综上所述, 国内外学者就食品安全信任的相关问题进行了广泛的探索和研究。目前国内外学者的研究主要集中在探索和实证影响食品安全信任的具体因素, 即前因性研究, 并取得了非常丰富的研究成果。但现有的国内外文献在食品安全信任机制构建方面的研究尚不多见, 较少有学者从机制性研究的角度对食品安全信任形成的过程和基础进行探讨。

摘要：时至今日, 食品安全信任方面的研究成果呈现井喷式增长, 研究视角也呈现出多元化的特点。面对如此丰硕又各具学科特点的研究成果, 如何设计一条清晰的分析思路, 对相关的文献进行有针对性地归纳总结, 这是文章在对食品安全信任的大量研究成果进行梳理时的一项重要任务, 也是文章的研究重点。

关键词：食品安全信任,食品安全认知,支付意愿,影响因素

参考文献

[1]胡卫中.消费者食品安全风险认知的实证研究[D].浙江:浙江大学, 2010.

[2]古川, 安玉发.食品安全信息披露的博弈分析[J].经济与管理研究, 2012, (01) .

[3]周应恒, 吴丽芬.城市消费者对低碳农产品的支付意愿研究-以低碳猪肉为例[J].农业技术经济, 2012, (08) .