电子商务的安全与评估(精选12篇)
电子商务的安全与评估 第1篇
电子商务是一项与传统交易完全不同的贸易活动, 而其中的网络支付系统就是支持这种新的贸易方式的重要条件和必要支持, 电子商务就是利用相关的计算机技术, 借助Internet而实现在线支付, 即传递商务信息和进行商务活动, 所以它要求数据的传递、交换及处理在网络上能够保障有非常高的安全系数。这就要求电子商务相关部门或人员在进行业务或项目开发时, 对整个项目的信息安全进行风险评估, 得出项目实施可行性等一系列结果。
电子商务系统的信息安全风险评估运用科学合理的分析方法、手段, 运用系统的观点来分析电子商务信息系统所面临的人为或自然因素的威胁以及所存在的脆弱性, 努力在网络的“安全等级”和“风险投资”之间找到一个很好的平衡点。
因此, 整合传统的网络信息安全技术, 并结合现代化的新型技术应用, 研究出一套既安全又可靠的电子商务交易安全体系已经成为当前电子商务网络信息安全研究的重要内容之一。
2 电子商务系统中存在的信息安全问题
一般来讲, 电子商务中所涉及的信息安全性是指在电子商务交易过程中利用各种技术、法律等措施来保证交易信息不会因偶然或恶意原因而遭到破坏或泄露的要求。21世纪初, 我国的金融系统所发生的计算机犯罪率不断攀升。据报道, 2002年一起有关不法分子利用黑客入侵在银行网银服务器植入“木马”病毒程序, 窃取多家客户的保密信息进行不法交易, 所涉金额将近百万。我国金融网络的信息安全现状不容乐观, 亟待改善。
下面我们来简单介绍一下电子商务网络中的信息安全问题, 主要涉及以下几个方面。
(1) 软件和应用漏洞
软件的复杂性以及程序编写的多样性导致电子商务系统中的软件会由于一些原因而留下安全漏洞。例如, 网络操作系统本身就会存在一些安全漏洞, 像I/O的非法访问、不完全中介及访问控制的混乱等都会造成数据库安全漏洞的产生, 这些漏洞严重危害到电子商务系统的信息安全。尤其是在设计初期未考虑到安全性的TCP/IP通信协议, 在连接Internet时就有可能受到外界的恶意攻击或窃取等。这些都显示了目前电子商务系统网络软件存在一些可避免或不可避免的安全漏洞。
(2) 电脑病毒问题
随着网络技术的应用越来越广泛, 压缩文件、电子邮件等已成为电脑病毒传播的主要途径, 加之病毒种类的多样化、破坏性的增强, 使得电脑病毒的传播速度大大加快。而近年来新型病毒种类数量迅速增加, 互联网更是给病毒传播提供了很好的媒介。这些病毒通过网络进行传播甚至是加速传播, 稍有不慎就会造成不可弥补的经济损失。
(3) 黑客入侵
目前, 除了电脑病毒的迅速传播, 黑客的恶意行为也越来越猖狂。黑客常用的木马程序相对于电脑病毒来说更具有目的性, 使得计算机记录的登录信息被木马程序恶意篡改, 最终造成重要信息、文件甚至是资金被盗。
(4) 人为因素造成的安全问题
电子商务公司的大部分保密性工作都是通过工作人员的操作进行的, 因此这需要工作人员具有很好的保密性、严谨性及责任心。如果工作人员的责任心不强、态度不端正, 时常擅离职守, 让无关人员随意进出机房重地, 甚至向他人透露保密信息, 就会让违法分子有机可乘窃取重要信息。再如, 若工作人员缺乏良好的职业道德素质, 便有可能非法超越权限而擅自更改或者删除他人的信息, 也有甚者会利用自己的专业知识与工作职务来窃取相关的用户口令和标识符, 将其非法出卖。
3 电子商务信息安全风险评估的现状及存在问题
通过上面的介绍, 我们可以看出进行信息系统安全风险评估是十分有必要和重要的。目前, 我国也有一些针对信息安全风险评估的研究和应用, 其中常用的风险评估工具有风险评估矩阵、问卷、风险评估矩阵与问卷相结合的方法以及专家系统等。另外, 网络信息安全风险评估常用的方法主要有定量的因子分析法、时序模型、决策树法和回归模型等风险评估方法。定性分析法主要涉及到逻辑分析法、Delphi法、因素分析法、历史比较法等。此外, 还有定量与定性相结合的评估方法, 主要包括模糊层次分析法、基于D-S证据理论的评估方法等。然而, 目前我国的网络信息安全风险评估还存在一定的问题, 需要在以后的研究创新中加以重视和研究。
3.1 对电子商务信息安全风险评估的认识不足
当前, 很多相关人员还没有认识到电子商务信息系统所面临的大挑战, 因此并没有认真重视信息安全风险评估的重要性, 原因有以下几点。一, 目前很多开展信息安全风险评估的公司或单位尚未通过标准、规范的培训, 尚未系统地学习信息安全风险评估工作的相关理论、方法和技术工具等方面内容, 这导致很多与信息安全评估工作相关的领导和工作人员对信息风险评估重要性的认识严重不足, 自然其更没有将这种风险评估的工作纳入到现行的信息安全系统框架里。二, 虽然有不少的单位想将信息安全工作放至重要位置, 但却受到人力、物力、财力等方面的限制, 同时也受到一些财务制度的约束阻碍, 使得信息安全系统前期的信息安全风险评估准备工作得不到应有的重视。
3.2 缺少信息安全风险评估方面的专业技术人才
首先, 就我国现有公司的信息安全风险评估现状来看, 很多公司都缺乏专业的信息安全管理人员, 更不用说专业的风险评估技术人员了。信息安全风险评估的技术含量非常高, 它要求工作人员具有相当高的技术水平, 而现在很多公司都是以普通的信息人员充当风险评估技术人员, 这是不行的。其次, 信息安全风险评估其实是一项综合性很强的工作, 它不仅涉及公司全部的业务信息, 还涉及各方面的人力物力财力, 因此需要各部门相互配合完成, 而现在大多数公司只依靠信息部门进行, 很难较好的完成信息安全风险评估工作。
3.3 风险评估工具相对缺乏
目前, 在电子商务执行过程中的应对工具, 如防火墙、漏洞扫描等都相对成熟, 但是在这些活动前期所涉及的信息安全风险评估工具却较缺乏。例如, 上述我们提到的四个评估工具中, 除专家系统以外, 其他的技术工具都相对较简单, 且缺少实际的理论基础。另外, 这种信息风险评估工具的开发运用方面, 呈现出国内、外极不平衡的状况, 国内相对落后。
4 我国电子商务信息安全及风险评估工作的发展对策
4.1 增强电子商务系统信息安全及风险评估意识
在英国, 曾经做过一项关于信息系统安全问题的调查统计, 结果显示约80%的信息损失是人为因素造成的;在国内, 也经常有因用户口令设置不当、随意将账号借与他人而造成信息安全威胁的现象。防止人为造成的信息安全问题已经成为一个重要内容。因此, 电子商务公司一定要对其从业人员进行必要的信息安全知识教育培训, 最大化地提高他们的信息安全及风险评估意识, 积极防范信息毁损和泄密情况的发生, 从而保证信息的完整性和可靠性, 保障用户利益的同时也可以提高企业的竞争力。
4.2 加强对专业技术人员的培训, 提高风险评估人员的专业技能
针对信息安全风险评估技术人员, 我们可以通过以下方法进行相应的培训:一, 可以整合公司内部的人力资源, 加大风险评估的培训力度, 利用专业的培训教材, 通过学习弥补评估人员的知识缺陷, 提高其技术水平;二, 实行互补型培训, 根据风险评估技术的专业分类, 组织技术人员据此进行相应的培训, 从而培养技术互补型的风险评估队伍;三, 合理利用社会资源, 公司应该加大对技术资源的投资, 可聘请经验丰富的专家学者来组成第三方评估方, 以备公司不时之需;四, 公司人力资源部门可以有计划地对技术人员进行规范化的认证培训, 实施职业技术资格准入制度, 这样就可以从源头提高信息安全风险评估技术人员进入的门槛, 保证评估技术人员的综合素质, 为后期电子商务的信息安全风险评估工作打下坚实的基础。
4.3 积极加强对信息安全防范技术的研究和应用
目前, 常用的保障电子商务系统的信息安全技术主要包括防火墙技术、防病毒技术、入侵检测技术、数据加密和证书技术以及相应的信息安全协议等。电子商务提供了无限的商机与方便, 企业也通过电子商务的开展使得竞争力有所提高。因此, 为了开展安全可靠的电子商务业务, 我们必须在加强对电子商务信息安全及风险评估研究的同时, 进而建立较为科学合理的电子商务信息安全体制。
然而, 如果我国在基础硬件与芯片等方面不能自主, 那么会严重阻碍我们对信息安全监测或评估的实施。在建立自主的信息安全及评估体制时, 要积极利用好国、内外的资源, 统一组织对信息安全重大技术的攻关, 建立创新性的电子商务信息安全及评估体制。
5 结束语
综上所述, 电子商务信息系统的安全问题是一项极其复杂的工程, 这个系统工程既涉及了信息动态传输的安全问题, 还涉及到信息静态存储的安全问题;它既是一项技术问题, 也是一项关乎策略、信用、制度法规和社会公众参与电子商务活动等的非技术问题。而在前面的内容中, 我们就目前电子商务信息系统所可能存在的安全问题进行了介绍, 电脑病毒、软件漏洞、人为因素等相关安全问题不容忽视, 需要加以控制和制止。因此在此基础上, 就需要在信息系统建立之前做好信息安全风险评估工作, 然而面对当前我国信息安全风险评估所存在的缺陷和不足, 要求我们积极做好与此相关的工作, 从信息安全意识、专业人才、新型技术等方面着手加强我国电子商务信息安全风险评估的研究和发展, 为电子商务的发展提供一个良好的信息平台。
摘要:近年来, 电子商务业务在我国的发展日益迅速, 随之而来便是备受人们关注的电子商务系统的信息安全问题及其风险评估。本文在就我国电子商务系统所存在的信息安全问题进行讨论的基础上, 分析了我国电子商务信息安全风险评估的现状与改善对策, 旨在提高我国的电子商务信息安全风险评估意识和技术, 建立一套完善的电子商务信息安全及评估机制。
关键词:电子商务,信息安全,风险评估,对策
参考文献
[1]吴鹏程.电子商务信息安全与风险管理刍议[J].中国新技术新产品, 2009年第7期.
[2]赵刚, 王杏芬.电子商务信息安全管理体系架构[J].北京信息科技大学学报, 2011年第26卷第1期.
[3]伍永锋.基于模糊支持向量机的电子商务交易安全风险评估方法[J].科技通报, 2012年第28卷第9期.
[4]高博.电子商务信息安全风险与防范策略研究[J].现代商贸工业, 2011年第14期.
[5]连秀珍.电子商务的安全评估与审计[J].经济研究导刊, 2012年第13期.
[6]范光远, 辛阳.防火墙审计方案的分析与设计[J].信息网络安全, 2012, (03) :81-84.
电子商务的安全与评估 第2篇
(征求意见稿)
第一章 总则
第一条 为促进电子银行业务的健康发展,保证电子银行业务安全性评估的客观性、及时性、全面性和有效性,依据《中华人民共和国银行业监督管理法》、《中华人民共和国金融机构法》等法律法规和《电子银行业务管理办法》等监管规章,制定本指引。
第二条 电子银行的安全评估,是指对开展电子银行业务的金融机构在电子银行管理过程中的电子银行安全策略、内控制度、系统安全、客户保护等方面,进行的安全测试和风险管理能力等的综合安全考察与评价。
第三条 在中华人民共和国境内开展电子银行业务的金融机构以及利用境内的电子银行系统向境外提供电子银行服务的金融机构,都应定期对电子银行安全进行评估。
第四条 开展电子银行业务的金融机构可以利用外部专业化的评估机构对电子银行安全进行评估,也可以利用内部独立于电子银行业务运营管理部门的评估部门进行电子银行安全评估。
第五条 金融机构的电子银行安全评估工作应纳入金融机构风险管理的总体框架,由金融机构的风险管理委员会或相关机构直接负责。
第六条 金融机构的电子银行安全评估应接受中国银行业监督管理委员会(以下简称中国银监会)的监督指导。
第二章 安全评估机构
第七条 承担金融机构电子银行安全评估工作的机构,可以是外部专业化服务机构,也可以是金融机构内部具备相应条件的相对独立部门。
第八条 外部机构从事电子银行安全评估,应具备以下条件:
(一)具有较为完善的开展电子银行安全评估业务的管理制度和操作规程;
(二)制定了系统全面的内部评估手册或评估指导文件,内容应至少包括评估程序、评估方法和依据、评估标准等;
(三)拥有与电子银行安全评估相关的各类专业人才,了解国际和中国相关行业的行业标准;
(四)其他从事电子银行安全评估应当具备的条件。
第九条 金融机构内部部门从事电子银行安全评估,除应具备第八条规定的有关条件外,还应具备以下条件:
(一)从事电子银行安全评估的部门必须独立于电子银行业务系统开发部门和运营部门;
(二)从事电子银行安全评估的部门未直接参与过有关电子银行设备的选购工作。
第十条 中国银监会负责电子银行安全评估机构资格认定工作。电子银行安全评估机构资格认定工作,每年组织一次。
电子银行安全评估机构在从事金融机构电子银行安全评估业务之前,应向中国银监会申请对其资格进行认定。
第十一条 申请资格认定的电子银行评估机构,应在中国银监会公告的时限内提交以下材料(一式七份):
(一)电子银行安全评估资格认定申请报告;
(二)机构介绍;
(三)安全评估业务管理框架、管理制度、操作规程等;
(四)评估手册或评估指导文件;
(五)主要评估人员简历;
(六)中国银监会要求提供的其他文件和资料。
第十二条 中国银监会收到安全评估机构资格认定的完整材料后三个月内,组织有关专家和监管人员对申请材料进行评议,采用投票的办法决定电子银行安全评估机构是否达到了有关资质要求。
第十三条 中国银监会对评估机构资质评议后,出具《电子银行安全评估机构资格认定意见书》,载明评议意见,对评估机构的资格作出认定。
第十四条 中国银监会出具的《电子银行安全评估机构资格认定意见书》,仅供评估机构与开展电子银行业务的金融机构商恰有关电子银行评估业务时使用,不影响评估机构开展其他经营活动。
评估机构不得将《电子银行安全评估机构资格认定意见书》用于宣传或其他活动。
第十五条 经中国银监会评议并被认为达到有关资质要求的评估机构,每次资格认定的有效期为两年。
经评议未达到认定资格的,评估机构可在下一重新申请资格认定。
第十六条 在有效期内,电子银行安全评估机构如果出现下列情况,中国银监会将撤销已做出的评议和认定意见:
(一)评估机构管理不善,其工作人员泄露被评估机构秘密的;
(二)评估工作质量低下,评估活动出现重要遗漏的;
(三)未按要求提交评估报告,或评估报告中存在不实表述的;
(四)将《电子银行安全评估机构资格认定意见书》用于宣传和其他经营活动的;
(五)存在其他严重不尽职行为的。
第十七条 评估机构有下列行为之一的,中国银监会将在一定期限或无限期不承接评估机构的资格认定请求,银行业金融机构不应再委托该评估机构进行安全评估:
(一)与委托机构合谋,共同隐瞒在安全评估过程中发现的安全漏洞,未按要求写入评估报告;
(二)在评估过程中弄虚作假,编造安全评估报告;
(三)泄漏银行机密信息,或不当使用银行机密资料;
银行业金融机构内部评估机构出现以上情况之一的,中国银监会将按照有关法律法规和行政规章的规定,对相关责任人进行处罚。
第十八条 中国银监会认可的电子银行安全评估机构,以及有关资格认定撤销决定等信息,仅向开展电子银行业务的各金融机构通报,不向社会公布。
第十九条 金融机构不得向第三方泄露中国银监会的有关通报信息,影响外部机构的其他业务活动,也不得将有关信息用于与电子银行安全评估活动无关的其他业务活动。
第二十条 开展电子银行业务的金融机构可以在中国银监会认可的评估机构
范围内,自主选择安全评估机构,签订书面服务协议。
金融机构选择内部部门作为评估机构时,应由电子银行运营部门与评估部门签订评估责任确定书。
第二十一条 金融机构与评估机构签订的服务协议中,必须含有明确的保密条款和保密责任。
第二十二条 安全评估机构应根据评估协议的规定,认真履行评估职责,真实评估被评估机构电子银行运营的安全状况。
第三章安全评估的实施
第二十三条 评估机构在开始电子银行安全评估之前,应就评估的范围、重点、时间与要求等问题,与被评估机构进行充分的沟通,制定评估计划,由双方签字认可。
第二十四条 依据评估计划,评估机构进场对委托机构的电子银行安全进行评估。电子银行安全评估应真实、全面地评价电子银行系统的安全性。
第二十五条 电子银行安全评估至少应包括以下内容:
(一)安全策略;
(二)内控制度建设;
(三)风险管理状况;
(四)系统安全性;
(五)电子银行业务运行连续性计划;
(六)电子银行业务运行应急计划;
(七)电子银行风险预警体系;
(八)其他重要安全环节和机制。
第二十六条 电子银行安全策略的评估,至少应包括以下内容:
(一)安全策略制定的流程与合理性;
(二)系统设计与开发的安全策略;
(三)系统测试与验收的安全策略;
(四)系统运行与维护的安全策略;
(五)系统备份与应急相关策略。
评估机构对金融机构安全策略的评估,不仅要评估安全战略、规章制度和程序是否存在,还要评估这些制度是否能得到贯彻执行,是否能做到及时更新,是否能全面覆盖电子银行业务系统。
第二十七条 电子银行内控制度的评估,应至少包括以下内容:
(一)高级管理层对电子银行安全的认知能力与水平;
(二)安全监控机制的建设与运行;
(三)内部审计制度的建设与运行。
第二十八条 电子银行风险管理状况的评估,应至少包括以下内容:
(一)电子银行管理机构设置的合理性与其他部门的协调性;
(二)电子银行管理部门主要负责人对电子银行的熟知程度;
(三)管理人员配备与培训情况;
(四)电子银行风险管理的规章制度与操作规定、程序等;
(五)电子银行业务风险管理状况;
(六)业务外包管理制度建设与管理状况。
第二十九条 电子银行系统安全性的评估,应至少包括以下内容:
(一)物理安全;
(二)数据通讯安全;
(三)应用系统安全;
(四)密钥管理;
(五)客户信息认证与保密;
(六)入侵监测机制和报告反应机制。
评估机构应突出对数据通讯安全和应用系统安全的评估,客观评价金融机构是否采用了合适的加密技术、合理设计和配置了服务器和防火墙,银行内部运作系统和数据库是否安全等,以及金融机构是否制定了控制和管理修改电子银行系统的制度和控制程序,并能保证各种修改得到及时测试和审核。
第三十条 电子银行业务运行连续性计划,应至少包括以下内容:
(一)电子银行保障业务连续运营的设备和系统能力;
(二)保证业务连续运营的制度安排和执行情况;
第三十一条 电子银行业务运行应急计划,应至少包括以下内容:
(一)电子银行应急制度建设和执行情况;
(二)电子银行应急系统建设;
(三)定期、持续性的检测和演练情况;
(四)应对意外事故或非法攻击的能力。
第三十二条 评估机构进行安全评估的方式,包括审核有关资料、与相关人员谈话等,但在电子银行安全性评估时,必须采取至少一种方法对系统进行测试。
第三十三条 评估机构在进行安全评估时,应根据委托机构的实际情况,确定不同评估内容对电子银行总体风险影响程度的权重,对每项评估内容进行评分,综合计算出所评估机构电子银行的风险等级。
第三十四条 评估完成后,评估机构应及时撰写评估报告,并于评估完成后一个月内向委托机构提交由其法定代表人签字认可的评估报告。
第三十五条 评估报告应至少包括以下内容:
(一)评估的时间、范围及其他协议中重要的约定;
(二)评估的总体框架、程序、主要方法及主要评估人员介绍;
(三)不同评估内容风险权重的确定标准,风险等级的计算方法,以及风险等级的定义;
(四)评估内容与评估活动描述;
(五)评估结论;
(六)其他需要说明的问题;
(七)主要术语定义和所采用的国际或国内标准介绍(可作为附件);
(八)评估工作流程记录表(可作为附件);
(九)参加评估人员名单(可作为附件)。
在评估结论中,评估机构应采用量化的办法,表明被评估机构电子银行的风险等级,并说明被评估机构电子银行安全管理中存在的主要问题与隐患,并说明整改建议。
第三十六条 评估报告完成并提交委托机构后,如需修改,应将修改的原因、依据和修改意见作为附件附在原报告之后,不得直接修改原报告。
第四章 安全评估活动的管理
第三十七条 金融机构在申请开办电子银行业务时,应当按照有关规定对完成测试的电子银行进行安全评估。
第三十八条 金融机构获准开办电子银行业务后,应当至少每年对电子银行进行一次安全评估。
有下列情形之一的,应立即组织安全评估:
(一)由于安全漏洞导致系统被攻击瘫痪,修复完善的;
(二)电子银行系统进行重大的更新和升级的;
(三)电子银行的基础设施出现重大改变的;
(四)基于电子银行安全管理需要应即时评估的。
第三十九条 评估机构的选择应由金融机构的高级管理层最终确定。评估机构确定后,金融机构必须与评估机构签定评估协议,明确界定评估的任务、双方的权利和义务。
评估协议应由金融机构的高级管理层签署。
第四十条 金融机构原则上只能确定一个评估机构进行评估,若有多个评估机构参与评估,金融机构必须确定一个主要的评估机构协调总体评估工作,负责总体评估报告的制作。
金融机构将电子银行的不同系统委托给不同的评估机构进行安全评估,应当明确每个评估机构的安全评估范围,保证不同的评估范围之间没有遗漏。
第四十一条 金融机构应在签署评估协议后2周内,将评估机构简介、拟采用的评估方案和评估步骤等,报送中国银监会。
第四十二条 中国银监会根据监管工作的需要,可派员参加金融机构电子银行安全评估工作,但不作为正式评估人员,不提供评估意见。
第四十三条 评估机构应本着客观、公正、真实和自主的原则,开展评估活动,并严格保守在评估过程中获悉的商业机密。
第四十四条 在评估过程中,委托机构和评估机构之间应建立信息保密工作机制。
(一)评估过程中,调阅相关资料、复制相关文件或数据等,都应建立登记、签字制度;
(二)调阅的文件资料应在指定的场所阅读,不能复印,不得带出指定场所;
(三)复制的文件或数据不应带出工作场地,如确需带出的,必须详细登记带出数据的原因、时间、责任人等;
(四)评估过程中废弃的文件、材料和不再使用的数据,应立即予以销毁或删除;
(五)评估工作结束后,双方应就有关机密数据、资料等的交接情况签署说明。
第四十五条 金融机构在收到评估机构的评估报告一个月内,应将评估报告抄报中国银监会。
金融机构报送评估报告时,可对评估报告中的有关问题作必要的说明。
第四十六条 未经监管部门批准,电子银行安全评估报告不得作为广告宣传资料使用,也不得提供给除监管部门以外的第三方机构。
第四十七条 对未按有关要求进行的安全评估,或者评估程序、方法和评估报告存在重要缺陷的安全评估,中国银监会可以要求金融机构进行重新评估。
第四十八条 中国银监会根据监管工作的需要,可以自己组织或委托评估机构对电子银行系统进行安全评估,金融机构对于中国银监会组织的安全评估应予以配合。
第四十九条 中国银监会根据监管工作的需要,可直接向评估机构了解其评估的方法、范围和程序等。
第五十条 对于评估报告中所反映出的问题,金融机构应采取有效的措施加以纠正。
第五章 附则
第五十一条 本指引由中国银监会负责解释。
电子商务的安全与评估 第3篇
关键词:商务礼仪;实践教学;应用
中图分类号: G712 文献标识码: A 文章编号: 1673-1069(2016)35-154-2
1 概述
高职院校是国家培养生产制造、工程建设、商务服务和基础管理等一线需要技能型人才的主力军,大力加强实践教学,培养和提高学生的实践能力是高职院校的重要任务之一。
随着国家不断深化教育改革,推进人才素质工程,高职院校实践教学课程的开设范围,由最常见应用于对专业技术人才类和技能人才进行培养的学科,已经拓展到各类应用型学科。
进入“十三五”,实践已经成为国家教育改革发展和人才发展的关键热词。《国家中长期教育改革和发展规划纲要(2010-2020年)》中,有21处提及实践,主要包括:
①在“战略主题”中,提出要“着力提高学生……善于解决问题的实践能力”;
②在“高等教育”“提高人才培养质量”方面,提出要“强化实践教学环节”;
③在“人才培养体制改革”“更新人才培养观念”方面,提出要“树立系统培养观念,推进……教学、科研、实践紧密结合”;
④在“创新人才培养模式”“注重知行统一”方面,提出要“坚持教育教学与生产劳动、社会实践相结合。开发实践课程和活动课程,增强学生科学实验、生产实习和技能实训的成效”;
⑤在“重大项目和改革试点”“组织实施重大项目”“职业教育基础能力建设工程”方面,提出要“提升职业教育实践教学水平”。
《国家中长期人才发展规划纲要(2010-2020年)》中,有9处提及实践,主要包括:
①在“突出培养造就创新型科技人才”方面,提出要“创新人才培养模式,建立学校教育和实践锻炼相结合的培养体系,加强实践培养”;
②在“改进完善人才工作管理体制”方面,提出要“用实践造就人才”;
③在“创新人才工作机制”方面,提出要“注重在实践中发现、培养、造就人才,注重靠实践……评价人才,坚持在实践……中识别人才、发现人才”;
④在“实施产学研合作培养创新人才政策”方面,提出要“在实践中集聚和培养创新人才”。
从上述政策条款不难看出,重视实践、加强实践、依靠实践,已经成为落实当前我国教育改革发展和人才发展战略的重要举措之一。
2 高职商务礼仪课程的特点及实践教学的意义
实践教学,是将学科理论知识融入学生实践活动加以巩固,或者通过实践活动使学生加深对学科理论认识的一种教学方法,是促进理论联系实际、提高学生实操技能和应用知识能力的有效途径。结合高职商务礼仪课程特点,我们对该课程应用实践教学方法的可行性、必要性和重要性进行如下分析:
首先,从课程内容来看,商务礼仪是一门讲授在现代商务活动中如何遵守礼仪规范的课程,主要内容包括仪容仪表礼仪、商务通联礼仪、商务交往礼仪、商务宴请礼仪、商务谈判与仪式礼仪等内容。这些教学内容无一不与具体实践密切相关,甚至可以说是对商务礼仪实践中各种优秀经验和成果的总结与固化。因此,商务礼仪是非常适合采用实践教学模式的一门课程。
其次,从课程定位来看,商务礼仪学习可以使学生熟悉并全面掌握商务活动、人际交往中的各种礼仪规范,从细微之处体现对他人的尊重,达到日常工作和商务场合的礼仪要求。如果简单将商务礼仪课程涵盖的知识点讲授给学生,不付诸实践,是根本无法达到课程定位要求的。因此,商务礼仪是必须引入实践教学环节的一门课程。
再次,从教学目标来看,商务礼仪学习可以为学生塑造良好的个人职业形象和企业、机构形象,提高商务礼仪素养、提升个人整体素质。要想达到这一目标,必须让学生有意识地、主动地通过实践运用商务礼仪知识,养成良好的礼仪习惯和职业素养。因此,商务礼仪也是迫切需要提高实践教学质量的一门课程。
综上所述,不断深化实践教学应用,持续提高实践教学质量,既是高职商务礼仪课程教学中不可或缺的必要环节,也是确保教学效果、实现教学目标的必由之路。
3 高职商务礼仪课程的实践教学应用途径
在实际的教学应用中,我们采用了“以内容为载体、以实践为手段、以条件为平台、以考核为导向”,将理论知识点融入课内外实训任务的一种体系化的实践教学应用途径,如图1所示。
从图1中左上方按顺时针看:
首先,我们将高职商务礼仪教学内容提炼为六个子类、若干理论知识点,实现理论知识的要点化;
其次,根据课时安排拟定实训任务,覆盖各理论知识点,实现教学方法与教学内容的融合;
再次,我们按照实训任务的需要提出对教学条件的需求清单,在课程中完成实践应用;
最后,通过教学考核对学生的学习成绩进行综合评价。
从图中下方按逆时针看,教学考核的结果除了可以评价学生成绩,还可以为教学内容、方法、条件的改进提供导向;教学条件既对实训任务的实践起到支撑保障作用,也对实训任务的设计起到约束限制作用;而实训任务的安排情况直接影响学生掌握理论知识的情况。
4 高职商务礼仪课程实践教学效果的评估
根据本文前述内容,我们可以通过学生考核结果和教学记录指导改进商务礼仪教学体系,其主要优点是能够直接反映教学效果,但主要问题也很明显:
一是仍然有很强的主观性,无论是学生考核结果还是教学记录,均受到来自授课教师的主观因素影响;
二是没有与社会实践接轨,无法评估学生在参加工作后对自己当初所学课程的后评价。
为解决这两个问题,我们提出采用问卷调查形式,分别对学习本课程的在校生和就业三年以内的毕业生进行情况摸底,了解他们对本课程的评价和改进建议。
针对学习本课程的在校生,可在学期末发放匿名调查问卷,主要调查以下情况:
①教学内容的适用性;
②教学安排的合理性;
③教学场景布置的满意度;
④教学道具配置的满意度;
⑤教学脚本编排的满意度;
⑥学习效果;
⑦教学中存在的主要问题和解决建议。
第1至6项的评语集可以采用优良差的三个档位,第7项不设评语,由学生自评。同时要求学生以文字描述的形式,对自己做出的评价结果逐一陈述原因,指出问题并提出解决建议。
针对曾经学习本课程的毕业生,可与在校生同步发放实名调查问卷,主要调查以下情况:
①课程内容在实际工作中的适用性;
②实训场景、道具和脚本与实际情境的符合度;
③课程存在的主要问题和解决建议。
上述三个问题,均由被调查人直接写出评价结果、问题所在、原因分析和解决建议。
除此以外,还可以采用访谈式调查用来作为问卷调查的补充。
收集调查问卷和访谈记录之后,我们要及时进行整理,从中识别有效的问题和建设性的建议,形成本课程的问题与建议汇编。
在此基础上,还要积极开展更为深入的研究,对能够立即改进的有效问题和能够很快落实的建设性建议,要立刻改进落实;对受到条件限制无法立即改进的有效问题,或者在落实上存在某些困难的建设性建议,应认真分析,找到约束性短板,提出后续进行改进或落实的措施,并适时加以实施,从而不断完善商务礼仪实践教学体系,提高实践教学质量与效果。
参 考 文 献
[1] 中共中央国务院.国家中长期教育改革和发展规划纲要(2010-2020年)[M].人民出版社,2010,.
电子商务的安全与评估 第4篇
一、高职电子商务课程教学质量评估指标体系构建的原则
电子商务课程教学质量评估原则如下:
(1) 方向性原则。评估具有很强的导向性, 评估的结果往往反作用于工作实践, 并按照评估的标准指导实际工作, 在确定评估要素和评估标准时, 应本着有利于培训目标的实现, 有利于素质的全面提升, 有利于能力水平的提高这一建设宗旨来构建。
(2) 实用性原则。设计本指标体系的目的就是对高职教育软件开发课程教学质量进行评估, 所以在具体指标的选取上要尽量选取具有共性的综合指标, 指标体系的设置避免过于烦琐。
(3) 指导性原则。高职教育软件开发课程教学质量指标体系的构建, 应该对高职软件开发课程教学质量的提高具有积极的指导作用。评估工作应能为教育主管部门和高校教学主管领导的决策提供一定的依据, 使之采用更富有成效的措施来改善高职教育软件开发课程教学质量评估环境。
二、高职电子商务课程教学质量评估指标体系的基本框架
1. 领导作用
主要体现为:学校事业发展规划;办学目标与定位;对人才培养重视程度;校园稳定。
2. 师资队伍
“开发人员”:指直接参加课程体系研究和建设的工作人员。
“一线任课教师”:指正在教学岗位上执教, 所任课程与拟开发课程体系有关的教学人员。
“教务教研治理人员”:指正在从事教务治理和教学研究的工作人员。
3. 课程建设
课程“五个一”工程:一次网上购物;申请一个以上免费淘宝网店;网站销售一件商品;完成一个网络营销策划方案书;在学院的网上商城开一个网店。
4. 实践教学
“实践课程”:指以师生互动为特征, 以培养学员实践能力为目的的教学模式课程, 它通常包括现场考察、讨论、辩论、案例分析与研讨、情景模拟、执法课堂等教学模式的课程。
5. 特色专业建设
创新类的特色课程4%左右。从建设目标、培养模式、课程体系与教学内容、实践教学、教学设计与教学方法、师资队伍、社会服务等方面体现出特色。
6. 教学管理
主要包括以下指标:管理规范;学生管理;质量监控。
7. 社会评价
主要包括:指标生源;就业;社会监控。
三、高职电子商务课程质量评估的实践
1. 教学管理
教学管理者的素质决定着软件开发课程教学的质量, 因此管理者的管理水平应成为软件开发课程教学质量评估指标的二级指标, 具体分为如下四个方面: (1) 管理体制; (2) 激励机制; (3) 课程设置与IT技术及商务管理同步; (4) 教学管理的监控力度。
2. 教学条件与建设
教学基本条件是高职院校完成教学任务、提高教学质量、实现教学目标的重要前提。实习实训等教学环节是高职教育的突出特点, 使学生能受到严格的“真枪实弹”的职业技能训练, 是提高学生实际动手能力的关键。可以表现为: (1) 校内实训基地综合性强; (2) 校外实训基地职业性强; (3) 教材更新速度快。
3. 教师素质
教师对于电子商务知识的理解、专业知识的丰富更新程度直接影响学生对讲授内容的兴趣和学习效果, 从而影响电子商务课程教学的效果;实践案例教学将教学过程模拟成一个具体工作项目, 教学情境紧贴工作环境, 能提高学生的学习兴趣以及就业能力。
4. 学生能力
在电子商务课程教学中, 学生能力的高低决定着对知识的理解和掌握, 只有具备了一定的商务基础知识和计算机基础知识, 才能达到增强学生学习能力的目的。
四、结语
在我们高职电子商务课程的教学中, 一定要将教学质量评估指标体系贯穿于教学过程当中。这样有利于推动整个电子商务课程的建设和开发, 也有利于提高教学水平。
摘要:本文通过对教学管理、教学条件与建设、教师素质和学生能力的量化分析, 初步构建出高职电子商务课程教学的质量评估体系, 该指标体系的构建为高职电子商务课程教学质量评估提供了参考。
关键词:高职,电子商务课程,教学质量,评估,指标体系
参考文献
[1]谈华军.提高高职实践教学质量之我见[J].武汉交通职业学院学报, 2004, 9 (6) .
[2]曾庆柏.高等职业教育教学质量标准研究[J].中国高教研究, 2008 (3) .
电子商务的安全与评估 第5篇
文件
银监办发〔2006〕17号
中国银行业监督管理委员会办公厅 关于印发《电子银行安全评估机构资质
认定工作规程》的通知
机关各部门,各银监局:
现将《电子银行安全评估机构资质认定工作规程》印发给你们,请遵照执行。
二○○六年一月二十六日
电子银行安全评估机构资质认定工作规程
第一条 为规范电子银行安全评估及安全评估机构的资质认定工作,保障评估机构资质认定的公正性、科学性和客观性,依据电子银行业务监管的有关规章制度,制定本规程。
第二条 本规程是中国银行业监督管理委员会(以下简称中国银监会)实施电子银行安全评估机构资质认定的内部工作规程。
第三条 中国银监会电子银行监管协调机制会议(以下简称协调机制会议)负责协调和管理电子银行安全评估机构资质认定,中国银监会电子银行监管协调机制会议秘书处(以下简称秘书处)负责电子银行安全评估机构资质认定的组织工作。
第四条 电子银行安全评估机构的资质认定工作,原则上每年组织1次,每次认定的持续工作时间不超过3个月。
第五条 每年7月之前,秘书处应研究制定本电子银行安全评估机构资质认定工作方案,并将工作方案提交协调机制会议审议批准。
第六条 安全评估机构资质认定工作方案经协调机制会议批准后,秘书处应及时在中国银监会网站和协调机制会议指定的公众媒体上,以中国银监会的名义发布关于电子银行安全评估机构资质认定工作的公告。公告的主要内容包括:受理申请的时限、材料要求及受理方式等。
第七条 秘书处在发布相关公告的同时,应研究制定组成电子银行安全评估机构资质认定专家工作组(以下简称专家工作组)的工作方案,并提出拟聘专家名单,报协调机制会议审议批准。
第八条 专家工作组的成员应包括中国银监会相关部门的专业人员,外部网络金融专家和网络信息技术专家,以及银行业金融机构的代表等。专家工作组的总人数不超过11人,并为单数。
第九条 专家工作组为非常设组织,每届专家工作组自开始审定电子银行安全评估机构资质时设立,安全评估机构资质认定工作结束后解散。
第十条 电子银行安全评估机构的资质认定,按照自由申请、匿名评议、专家审定的原则实施。
第十一条 申请开展电子银行安全评估的机构,应在规定时限内,按照《电子银行安全评估指引》的有关要求,自主向中国银监会提出资质认定的申请。
第十二条 申请机构的申请材料应分A卷和B卷。A卷材料应按照电子银行监管规章的要求,综合介绍申请机构的有关资质情况。在A卷材料中,不得出现申请机构的名称、地址、主要客户等带有申请机构明显识别特征的用语。申请机构可用代码代替以上用语。B卷材料为申请机构的实名材料,应当包括申请机构的简介、联系人,以及A卷材料中有关代码的注释。
第十三条 秘书处负责收集、整理电子银行安全评估机构的申请材料。对于不符合电子银行监管规章要求的评估机构的申请材料,秘书处应及时退回,并向申请人说明原因。
第十四条 申请时限届满后,秘书处应将A卷材料整理汇总,保证申请材料符合匿名评审的要求。
第十五条 申请材料整理完毕后,秘书处应组织召开专家工作组初审会议,对申请材料进行初评。
第十六条 初评结束后,秘书处可以根据专家工作组所提问题,要求有关申请机构补充材料。同时,秘书处应将有关材料和专家工作组的初评意见通报会内监管部门,征询监管部门的意见。
第十七条 申请机构的补充材料和监管部门的意见提交后,秘书处应组织专家工作组评审会议,对申请机构的资质进行评定。
第十八条 专家工作组评审会议,由协调机制会议指派专人主持。参会人员仅限于主持人、专家工作组专家和秘书处工作人员。
第十九条 专家工作组评审会议经充分讨论后,由参加评审会议的专家以无记名的方式,对申请机构的资质进行投票表决,超过三分之二票数以上的机构为合格机构。
第二十条 在评审期间,专家工作组的专家不得私自与申请机构接触,不得收受申请机构的礼金或礼物,不得对外泄露评审会议的内容和评审结果,不得不当使用或向第三方传递评审材料。
第二十一条 对于不遵守有关工作纪律,或者不能履行工作职责的专家,秘书处可停止该专家的工作,并酌情扣减或取消应支付给该专家的劳务报酬。
第二十二条 评审会议结束后,秘书处应将有关评审情况、专家评审会议评定的合格机构名单、相关机构简介,以及秘书处根据电子银行监管的实际情况提出的有关建议等,报送协调机制会议。
第二十三条 协调机制会议负责对有关材料进行研究,对评审结果进行复审,决定中国银监会认定的电子银行安全评估机构名单,并报会领导审批。
第二十四条 根据协调机制会议的决定并经会领导批准后,秘书处负责制作并发送统一格式的《电子银行安全评估机构资质认定意见书》。
第二十五条 《电子银行安全评估机构资质认定意见书》发送后,秘书处应将资质认定的有关情况和认定结果,通知已开办电子银行业务的金融机构。拟开办电子银行业务的金融机构可持单位介绍信,查询有关安全评估机构的认定信息。
第二十六条 本工作规程由电子银行监管协调机制会议秘书处负责解释。
电子商务的安全与评估 第6篇
【摘要】针对目前我国机械电子工程教育质量状况,结合全国工程教育专业认证的需求背景。通过对比国外机械电子工程学科创新能力培养途径与方法,科学分析我国机械电子工程学科培养状况。在此基础上,优化和完善课程建设质量保障体系,提出科学合理的评价指标,建立健全机械电子工程学科培养质量的评估体系与评价机制。以满足国家经济建设和社会发展对机械电子工程专业高素质创新人才的需求和相应课程建设的要求。
【关键词】机械电子 课程建设 创新
【基金项目】2015年中国博士后科学基金资助项目(编号:2015M580945);朝阳区博士后工作经费资助项目(编号:Q5001002201601)。
【中图分类号】G64【文献标识码】A 【文章编号】2095-3089(2016)04-0215-01
机械电子工程学科是国家建设和社会发展的主学科之一。机械电子是工程科学中的一个跨学科专业,在机械制造、电子工程和计算机科学等学科的基础上建立起来的。机械电子工程学科建设与我国高新科技发展和创新型人才的培养直接相关。
一、世界各国机械电子工程学科建设特点
(一)美国机械电子工程学科建设主要特点
美国是当今世界上高等教育的典范,建立了一套成熟的学科建设体系,对其政治、经济、文化、军事和科学技术的发展,以及综合国力的增强发挥了重要作用。在美国,机械电子工程学科非常注重学生的创新能力培养,以及学生的国家化水平。积极引导课程与社会、企业的广泛对接。通过推进学生与企业、市场以及国际化的交流,将新的思维、新模式、新方法引入到本课程中。
重视企业、市场的需求,授课的方法、模式及时更新。课程负责人通过对市场需求的研究,将授课方法,培养模式及时更新,通过现代化特别是以计算机、互联网为代表的信息技术,改革授课方式、课堂管理等。及时将课程大纲、教材更新。鼓励学生在学习阶段创新技术了解市场,创新创业;另一方面也通过对市场的及时把握直接为美国和全球的人力市场输出高科技创新型机械电子工程人才。
在授课过程中,大胆推出个性化教学。不拘泥于课程大纲的限制,依据教师自身的优势和特点,结合学生的特点。学校也鼓励学生的个性化发展,组织教育教学专家指导每位学生的需求。
积极推动以科学研究为先导的教学,重视基础研究,通过大力开展科学研究保证美国科技领先和高级人才的迅速成长。因此,建立了一支高水平的授课团队,在授课过程中严格执行考核要求,保证了培养质量。
(二)英国机械电子工程学科建设主要特点
英国的课程教育已经成为世界上最优秀的研究生教育之一。进入到新时代之后,为了确保本国在教育界的领先地位,维护本国在世界上的学术精英地位,机械电子工程学科教育改革也呈现出新的发展动向。
在英国,授课教师在学生培养过程中起着非常重要的作用。要让学生能够创造性的学习、必须选拔一批极富有创新意识的教师教授课程。因此学校、学院在遴选授课教师的时候非常重视教师的科研创造能力,并且把能否培养出具有创新意识、技能的学生作为评价教师教学工作的重要指标。
在追求教学目标的统一过程中,英国也非常注重学校的个性化发展。尽管培养目标不尽相同,但最终的大的、统一的目标是为了本国社会经济的持续发展、经济进步、科技昌盛作出努力。
英国的学科建设非常重视培养学生的科研能力。学生在上课过程中可以根据自身情况和实际问题选择相应的课题。英国学校经常性的组织多个跨专业的专家和教授指导学生,发挥个人的长处,使得学生扩大视野,并能够在实际问题中得到锻炼。
此外,英国的学校非常重视与企业、工业界和政府的联系和联合。经常性的邀请企业界认识联合制定培养方案,为学生在就业市场取得相当大的前期优势。
(四)大洋洲澳新两国机械电子工程学科建设主要特点
严格的授课教师选拔标准和流程,澳新两国一直仿效的是英国式的教育模式,全力打造具有国际化视野和高标准的教师队伍。同时特别重视授课教师和企业界的合作,经常性的聘请在企业界有着良好口碑的具有工程背景和研发经验的资深人士担任校外教师。
更加严格的入校标准,通过执行严进严出政策把握。建立严格的淘汰机制,通过设立卓越班的形式,每几个月不定时的考察,通过授课教师组织全部人员围绕该项课程的某一点问题讨论。考察成绩由任课教师队伍加权打分,当考核不合格时随时转到普通班。
重视课程的社会服务,努力与企业界建立联系,积极与企业界沟通,探索市场需求,然后根据本学科的特点添置教学设备和优化课程内容。
二、基于层次分析法的学科建设评估体系论证
由于机械电子工程学科交叉学科多,学生质量与热门学科尚有一定差距,授课教师的积极性也受到一定影响。因此需要借鉴国外关于机械电子工程学科建设的优秀成果,结合我国实际建立适合我国国情的机械电子工程学科建设评估体系。
层次分析法是通过对评价结果的逐次分解,对相关评价指标打分再乘以加权系数得到最终结论的分析方法。该方法相对于平衡积分法、专家团评价法来说虽然设立了中间层的检验环节,具有降低主观性的优点,同时计算方法简单、明了具有良好的推广性。
通过对机械电子工程学科的评价内容具体化,科学分解每个目标的内容。选择若干名经验丰富的专家、学者组成评估小组对每一层的权重进行比对和确定,按照两两比对取最大的原则确定所有目标的权重。总分分为优秀、良好、合格、较低、较差,通过计算每一层的最终值将会落入到相应的区域中。完成整个课程体系的评估。
三、研究结论
本文在分析了机械电子工程学科特点的基础上,分析比较了发达国家机械电子工程学科建设的主要特点,通过运用层次分析法对机械电子工程学科建设评价体系进行了深入研究、探讨。本文的研究结果表明,运用层次分析法可以有效地构建机械电子工程学科评价体系,并且简单、科学。同时也可看出,国外对于机械电子工程学科的建设中重视学生的个性化发展和与企业界的紧密联系。这一特点也为我们后续对机械电子工程学科建设目标的设定奠定基础。
参考文献:
[1]教育部高等学校机械学科教学指导委员会.机械学科专业发展战略研究[J].中国大学教学,2005(1):9~12
[2]李丹青. 学科建设: 转型期高校发展的根本[J]. 高等工程教育研究, 2004, 2: 000.
作者简介:
电子商务的安全与评估 第7篇
随着计算机网络的大量普及, 网络安全问题引起人们的重视。目前中国已经有Web、Mail等服务, 随着Internet技术的发展, 电子商务的各种增值业务将会越来越多, 但是计算机网络体系结构TCP/IP的不设防性和开放性使网络安全问题不可避免, 因此信息的安全也显得尤为重要。提升网络的安全性, 首先必须构建一个网络安全的模型, 在模型内部进行优化组合, 为网络的安全性能提供技术保证。
1.1 模型子系统设计
以满足安全需求为目的, 从技术和组织管理两个角度进行模型子系统的综合设计。模型的子系统的优化设计是构建安全网络的基础, 必须以实现总系统的安全需求为目标。将模型的各个子系统根据具体的功能进行细致划分, 前期的划分是组建安全模型的基础, 在系统内部需要进一步的综合, 确保安全模型的各个部分完美搭配。
1.2 内容综合
最优化最安全的网络系统, 内部必须有完整的要素构成, 各个部分之间有机配合, 对实现系统的安全目标有准确的定位。首先要求系统做到专一, 这种专一主要指各部分内容的配合, 内容的特点准确各个内容之间的关系清晰, 如果一个网络系统包含所有的内容, 很难达到内容各要素之间的精确描述和呈现, 网络的安全目标难以达到。
1.3 用户验证
以模型子系统层次关系为基础设计模型, 可以对任何用户, 不管内网和外网的, 进行访问合法性的检验。保护层面的入侵监测系统对用户的身份进行验证, 合法用户将顺利通过, 非法用户将被有效拦截。因此, 用户的身份验证是确定是否具有访问资格的唯一有效信息。系统内部的各层机制相互配合, 可以增加访问的合法性, 避免了出现某个要素遭到破换而导致不合法的访问, 引起整个系统的安全问题。网络的安全管理必须有法治的保证, 使安全管理达到有法可依, 依法行事, 健全当前的网络各项安全法规。在模型内, 网络安全综合管理系统可以联系各个部分, 因此具有重要的地位。安全评估与分析系统, 对系统的各项指标进行分析, 包括定性或定量的指标, 用户根据对系统的评估情况, 对网络系统的安全性采取一定的措施。
1.4 关系分析
对模型的各个子系统进行优化整合是第一步, 然后根据分层原理来构建安全的网络模型。主要从以下的四个层次来划分和组建, 包括保护机制、基础要素、安全管理和响应机制。其中保护机制层包括防火墙、入侵检测、身份认证、数字加密等内容;基础要素层包括用户管理、访问许可管理、密钥管理、网络安全资源管理、漏洞检测等内容;安全管理层主要包括网络安全系统综合管理;响应机制层主要包括安全评估与分析、风险管理、备份与恢复等内容。把保护机制、基础要素、响应机制三个层次紧密联系起来, 形成一个以网络安全管理为中心, 改变各部分的孤立状态, 实现系统内部的进行有机的连接, 孤立分散的状态自动降低了网络的安全性能, 一旦某个系统遭到破坏, 可能导致网络的瘫痪。系统之间相互联系可以使信息共享, 电脑对反馈的信息及时做出反应, 整合系统内部的功能, 阻止不良信息或病毒的入侵, 网络的安全性得到保证。
2 基于信息安全控制的网络技术
网络的信息安全系统是不断变化的, 因为信息的威胁来自两个方面, 内部和外部, 内部的可以及时控制, 外部的危害会带来更加严重的后果。以信息系统的特点为依据进行网络的安全控制, 必须确保各个系统内部的各个要素具有很高的保护标准。一般的安全网络模块有负责通信的相互认证、密钥协商的认证模块和负责用户控制, 动态反馈的控制模块, 这些模块都要有完备性和隔离性。完备性能够使对信息的全部操作都必须经过安全模块的检测, 只有符合标准的才能通过。隔离性是把用户与安全控制模块分开, 这样可以防止模块被非法修改, 也能及时监测到安全模块的不合法操作, 迅速终止非法操作。
网络面对的用户是各种各样的, 不同的用户有不同的要求, 为了达到每一个用户的满意, 必须将各个方面的信息进行快速准确的整合, 系统之间的通讯配置, 要具有高度的精确性。信息在结点之间流动时候产生泄漏或破坏, 因此, 必须有一个统一的控制措施对访问进行控制。以信息安全控制为基础的网络技术实现的是一个繁杂的多样化的有机联系, 保障的是整个系统所用用户的安全, 系统内部各个点的信息都要建立安全的连结, 改变仅一个用户和一个服务器联系的传统安全模式。对用户的身份进行实时检验, 将检测的信息及时反馈给安全控制管理, 这样做的消除了网络内部的安全隐患, 提高了网络内部的安全性能。使这个问题得到了解决。
3 监测漏洞技术的网络安全评估系统
下面描述的模型是基于C--S为基础的一种互动模型。
模型在工作过程中, 通过漏洞驱动的反馈机制, 实现对整个系统的管理。
1) 程序开始。将客户端安装到主机上, 系统内部的中央管控对客户端进行扫描, 将扫描获得的信息搜集整合到一个数据库, 在数据库内部完成信息的初始化。
2) 调度插件。插件的调度根据扫描的不同阶段, 采取不同的办法。插件调度系数高的先调用, 插件的调度系数, 由插件的初始风险系数和扫描漏洞的预期完成时间所决定, 在扫描过程中, 根据特定时刻检测到的漏洞信息, 分析系统的安全状况, 针对安全度的高低来不断调整插件。
中央控管调度中心依照漏洞库对客户端进行扫描, 发现新漏洞后初步修补漏洞, 实时监控客户端的扫描和补丁, 更新日志通过扫描监控模块管理客户端的补丁更新模块, 自动到补丁库更新最新的补丁, 同时提示扫描控制中心进行漏洞补丁库更新。
3) 客户端对发现的系统漏洞进行及时的处理, 如果存在系统的漏洞, 客户端要根据检测到的漏洞判断系统有多大风险, 将系统所处的风险状态快速发给中央控管调度中心, 控管调度中心具有漏洞驱动的反馈机制, 没有反馈信息, 就说明当前的网络系统处在一个安全的状态。
4) 网络安全的评估报告是系统改进的依据, 对完善系统具有重要的作用。插件对系统的风险进行量化的计算, 客户端依据量化计算的结果, 把与漏洞相关的信息抽取出来, 根据这些信息制作网络安全风险报告。网络的管理者根据提供的风险报告, 采取一定的手段提高系统的安全等级。
4 结束语
知识经济时代, 信息在给我们带来巨大便利的同时, 也存在着安全的隐患。随着互网络的普及, 网络的安全问题是当今信息时代的面临的一个严峻问题, 提高网络的安全状态, 关系到信息的安全性, 关系到网络的健康发展, 关系到网络时代每个人的切身利益。所以, 必须引起我们的高度重视。在原有技术的基础上不断进行创新, 促进网络安全技术的不断完善, 实现在网络的安全控制广泛应用, 是我们面临的一个问题。
参考文献
[1]胡健.以信息安全控制原理为基础的安全网络技术[J].才智, 2011, 5 (6) :58.
[2]张恒山, 管会生.基于安全问题描述的网络安全模型[J].通信技术, 2009, 42 (3) :177-182.
岩石锚固工程的长期性能与安全评估 第8篇
关键词:岩土锚固,长期性,安全评价
岩土锚固工程是一项效果非常好的加固技术。主要通过对锚杆的操控, 连接地层深处的坚固岩石和岩石表面, 从而加强岩石的承载能力, 避免岩石发生坍塌现象。这种方法只能短时间内对岩石进行加固, 无法达到长期稳固的效果。但是, 仅仅保障施工现场的安全是足够的。尤其是在水利工程和隧道工程中, 这种技术得到了广泛的应用和推广。山体结构和水下结构并不是很严密, 受到外界强烈的震动很容易产生下陷和坍塌现象, 对施工进程造成了阻碍。而岩石锚固工程正是为了解决这一问题而产生的。锚固技术的长期性能和安全评估也成为研究人员重点研究和关注的问题。
1 锚固技术简介
1.1 岩土锚固技术的概念
锚杆是一种杆件类的物体, 用来固定在地基和边坡的岩土层中, 另一端与工程物相连, 主要用来支撑水土压力加载在工程物上的推力, 锚固技术是岩土工程中一个重要的分支, 在近年来的工程项目中应用十分广泛, 它能有效减少工程上滑坡、坍塌、岩土崩裂等地质灾害, 与传统结构材料相比, 锚杆有着自身特有的性质, 主动控制性能比较强, 比传统材料更加先进, 可以利用一些高科技材料来加强锚杆自身的稳定性。
1.2 锚固技术在国内的发展
锚杆的最初运用是在德国的某一地下挖矿工程中, 施工人员偶然发现锚杆不仅造价比较低, 而且操作手段比较简单, 稳固性能还特别好, 所以锚杆的应用在建筑行业被广泛地推广。我国也早已掌握了这门技术, 经过了不断地发展和完善, 锚杆的类型告别了单一的形式, 实现多样化的标准。但是, 毕竟锚杆流传到我国的时间比较短, 所以岩石锚固技术相比与西方发达国家还比较落后, 锚固技术还有很大的发展空间和发展前景。目前, 我国研究人员主要把研究重点放在了锚固工程长期性能和安全评估上。这是因为锚固工程的长期性能越好, 越能使岩石结构保持长期的稳定性, 确保工程的耐久性和坚固性。
2 锚杆安全性问题分析
锚杆的安全问题是锚固技术的核心问题, 导致锚杆安全性问题的原因:第一, 锚杆的安全系数, 锚杆的安全系数由抗拔安全系数和抗拉安全系数组成, 要选择合理的安全系数, 才能保证整个工程的安全性能。第二, 腐蚀问题, 造成腐蚀的原因有外部自然因素和自身内部构造因素, 锚杆工作环境恶劣, 长期受到空气或雨水中酸性物质的腐蚀, 容易出现腐蚀破坏。
3 提高岩土锚固长期性能的策略分析
提高锚杆设计的安全系数。当锚杆受力不均匀时, 容易导致钢绞线断裂, 提高锚杆设计的安全系数是解决此问题的有效手段, 在对预应力锚杆进行设计时, 要充分考虑锚杆的工作载荷和自由张拉段长度。
对岩土锚杆技术的选择要考虑到生产设备的安全性和稳定性, 如果设备的参数不满足施工实际, 很容易造成一些问题, 这些问题也会严重制约我国经济的发展以及我国社会主义的发展, 所以为了对这些问题进行处理, 要采取相应的岩土锚固工程的策略, 保持施工的稳定性和安全性。
为了提高岩土锚固工程的长期性能和安全性, 实现其不断发展, 加大科研投入是很有必要的, 应改用新型材料, 让锚杆配套锚固机具更加高效、便捷和耐用。另外, 要大力开发新式锚杆, 如自钻式锚杆和让压锚杆, 高压灌浆式锚杆和可拆式组合锚杆等, 只有采取这样的措施, 才会促使我国岩土锚固技术更加成熟。
4 如何对岩土锚固工程进行有效的安全评价
随着我国社会的不断发展, 锚固工程在建筑工程中的应用也日益广泛, 该工程主要是针对环境比较恶劣的地区进行施工, 在不具有环境优势的位置的施工发挥着重要的作用, 不但有效地提高工程的施工质量, 更保证施工的稳定性和可靠性。所以岩土锚固技术为我国社会主义现代化建设提供了有利的条件, 同时也使得我国的建筑水平有了很大提高。
施工人员在施工之前要对整体的施工情况进行考察, 这主要涉及对施工人员技术水平考察, 要想保证施工的顺利进行, 必须考虑到施工人员的身体素质和技术水平。同时也应该注意对施工设备的检查, 在环境恶劣的地方施工需要施工强度比较大的施工设备。另外, 还要注意对施工材料的检查, 施工材料必须符合当地的施工实际, 恶劣环境下的施工和普通的施工材料选择不一样, 要选择稳定性和质量比较强的材料, 因为这种材料可以有效地抵御外界环境所带来的问题。所以, 要保证岩土锚固施工的质量, 就必须要考虑到各方面的人力和物力资源的选择, 这样才能有效地保证施工的安全性和施工的稳定性, 为我国工程建设的发展提供有力的保障。
5 结语
本文通过对岩土锚固工程的介绍, 分析了提高岩土锚固工程的质量的具体方式, 为我国建筑行业的发展提供了有力依据。要想提高岩土锚固工程的质量水平, 必须要加强对当地环境的了解, 并制定合理的施工方案, 同时要注意对施工材料的选择, 提高施工人员的专业水平, 从而可以有效地提高岩土锚固工程的稳定性和可靠性。随着我国科学技术的不断发展, 我国建筑工程的水平也会不断地提高, 为岩土锚固技术的发展提供了有利的条件。
参考文献
[1]韩军, 张智浩, 艾凯.影响岩土锚固工程安全性的几个关键问题[J].岩石力学与工程学报, 2006, (S2) :28-29.
[2]刘克文, 吴蔚.对发展我国岩土锚固的几点意见[J].西部探矿工程, 2005, (04) :54-56.
局域网通信安全的评估与技术依托 第9篇
局域网通信安全是指企业内部网络系统的硬件、软件及其系统中的数据受到保护,不受恶意的或者偶然的原因而遭到破坏、更改、外泄,使网络系统连续、可靠、正常地运行,以及网络服务不被中断[1]。
在网络信息安全的标准化中,众多国际标准化组织如ISO、BSI(英国标准化机构)等,在安全需求服务分析指导、安全技术机制开发、安全评估标准等方面制定了许多标准及草案(如BS7799、ISO27001等),在针对局域网通信安全方面,提出了不少具体的、可量化的评估指标,现将其总结并归纳如下[2,3]:
1.1 物理安全指标
局域网的操作者及其各种网络设备能够最大限度地避免水灾、火灾、地震和雷击等自然灾害的袭击;局域网及其网络设备所处的工作环境和综合布线符合有关标准及规范;杜绝失窃、破坏、非法断电、操作错误等人为的不良倾向[2,4]。
1.2 拓扑结构安全指标
局域网中各子网必须隔离,相互之间的通信应由局域网第三层的互联设备完成;局域网用户与外网之间的通信必经硬件防火墙过滤;对外服务器(例如WEB服务器)应与局域网内部的服务平台完全隔离;远程访问的接入尽量采用加密设备[2,3]。
1.3 操作系统安全指标
采用安全性高、漏洞小的操作系统;拥有安全配置服务,如身份验证、客户权限、审计日志、数据加密和完整性服务;可以执行数字签名、访问控制、注册保护、性能监视等安全机制;关闭有安全隐患的业务功能,及时给操作系统打补丁[3,5]。
1.4 应用软件安全指标
应用软件的选型着重考虑其稳定性及安全性;在使用中应能贯彻安全措施,如通讯授权、传输加密、访问控制、权限控制、数据加密等[5]。
1.5 信息系统安全指标
局域网的各种信息只为授权用户使用,不被泄露给非授权的用户和实体;信息在利用、传输、贮存等过程中不被篡改、丢失和缺损;信息及相关的信息资产在授权人需要的时候,可以立即获得[2,3]。
1.6 管理机制安全指标
网络管理科目(配置管理、性能管理、故障管理、安全管理)健全,能够实时检测、监控、报告(记录)和预警网络安全的事故;能够及时发现非法入侵行为并追踪线索,为破案提供原始依据;建有严格的网络管理规章制度,杜绝人为因素(例如违规操作、内部泄密)引起的安全事故[2,3,5]。
2 局域网通信安全的技术依托
局域网的通信安全系统属于主动防御式系统,因此必须具有相应的技术支撑才能成功构建,从技术层面考虑,局域网通信安全依托主要是由连接设备安全技术、域控制技术、防火墙技术、防病毒技术和监控技术共同承担[7~9]。
2.1 连接设备安全技术
由于局域网各连接设备分别作为网络中各大小不同节点的核心设备,因此它们的安全性首先受到关注。连接设备的安全技术是指安全性能、安全设置和安全管理。现举局域网交换机为例:[9,10]。
2.1.1 安全性能
1)采用MAC模式或IP模式的数据过滤数据包,根据过滤规则决定转发还是丢弃该数据包。
2)配置基于端口的安全访问控制协议802.1X,阻止非法用户进入局域网内部,保障网络的通信安全。
3)安装SNMP v3或SSH的安全网管功能,有效防止非授权用户对管理信息的修改、伪装和窃听,保护重要数据的安全性。
2.1.2 安全设置
1)VLAN设置——将整个局域网划分为若干个大小不同的虚拟子网,并限制它们之间的通信。
2)端口安全设置——限制访问交换机上某个端口的MAC地址以及IP的个数,实现严格控制对该端口的输入量。
3)流量控制设置——当交换机本地端口拥塞数据流时,暂停其他端口的数据发送,直至恢复常态。
4)安全认证设置——利用交换机内置的802.1x协议是基于端口的访问控制协议,通过对连接到局域网的合法用户进行认证和授权。
2.1.3 安全管理
1)注重工作环境——严格依照交换机在温度、湿度、卫生、供电、静电、磁场和接地等方面的工作环境规范和标准放置交换机。
2)配置不同密码——配置内容相对复杂的远程登录密码、console口配置密码、特权密码等,并定时更换新密码。
3)堵塞安全漏洞——关闭交换机内置如HTTP后台服务、自动协商链路聚集、CDP协议服务、定向广播转发等功能,截断非法入侵者的攻击渠道。
4)备份配置文件——定期查看交换机的操作系统和相关配置文件是否被擅改,撰写运行记录和安全日志,并且进行备份。
2.2 域控制技术
域控制技术是一种在安全边界内完全接受控制的网络管理技术,它内置了账户、密码等信息构成的数据库。任何用户接入网络时,域控制器会自动鉴别该用户的账号密码是否属于本域,若身份信息有错则拒绝登录局域网。此外,域控制技术可以将网络资源的分配细化到任一用户,各工作站的软硬件配置完全由管理员统一控制,避免了网络资源及客户端的软硬件受到有意或无意的擅改或破坏[8,9]。
域控制技术在局域网通信安全方面的实施主要在于用户的授权管理和目录进入控制,整合在活动目录中(包括用户的访问和登录权限等),集中控制用户授权不仅能在每一个目录中的对象上定义,而且还能在每一个对象的每个属性上定义,这一点是以前任何管理技术所不能达到的,活动目录还可以提供存储和应用程序作用域的安全策略(包含帐户信息,密码限制、特定域资源访问权等),以及安全策略的存储及应用范围。
2.3 防火墙技术
防火墙技术在局域网通信安全方面的实施,主要通过三个方面进行:
1)根据状态数据包筛选决定允许通过安全网络线路和应用程序层代理服务的数据包。
2)进行线路筛选,为多平台访问以及众多的Internet协议和服务提供了应用程序透明线路网关。
3)采用应用程序筛选检查与处理客户端计算机中应用程序协议(例如HTTP、FTP和Gopher)内的命令,分析应用程序的数据流,以及提供指定应用程序的处理,包括检查、筛选或阻塞、重定向等。
2.4 防病毒技术
现代防病毒技术是构建以防病毒服务器为核心配置的系统,其最大的优势是能够自动更新病毒库,同步控制各客户端的查杀病毒工作,并且能够实时监测各工作站因病毒感染而出现的异常状态,主要的技术特征功如下[6,7,11]:
1)可作为防病毒软件的控制中心,及时通过Internet更新病毒库,并强制局域网中已开机的客户端及时更新病毒库软件。
2)记录各个客户端的病毒库升级情况、局域网中计算机病毒出现的时间、类型以及后续处理措施。
3)对工作站本机的内存、文件的读写进行监控;根据预定的处理方法处理带毒文件;监控邮件收发软件、根据预定处理方法处理带毒邮件。
4)对局域网内的应用服务器进行全面防护,包括Unix/Linux服务器,从而切断病毒在服务器内的寄生和传播。
5)检测微软Windows平台的安全漏洞和补丁安装状态,并且给出详细报表和警示。
2.5 监控技术
监控技术应用于局域网通信安全的监测和控制,能够实时监测网络的各项安全性能指标,为局域网通信安全状况提供可靠的依据,能够及时发现网络上的各种安全隐患,使管理员能够有针对性地排查和解决局域网通信安全故障。监控技术主要是指入侵检测(IDS)、内网监视和服务器监控[6,7,13]。
2.5.1 入侵检测(IDS)
IDS是一种集检测、记录、报警、响应的动态安全技术,不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动。其主要技术功能有:
1)识别黑客入侵手段---通过分析各种攻击的特征,可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段,并做相应的防范。
2)监控网络异常通信---对网络中不正常的通信连接做出快速反应,保证网络通信的合法性;任何不符合网络安全策略的网络数据都会被IDS系统发现到并作出警告。
3)防系统漏洞攻击---通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析,可以有效地发现网络通信中针对系统漏洞进行的非法行为。
4)完善安全管理---通过对入侵的检测及反应,有效地阻止网络犯罪行为,通过监测、统计分析、报表等功能,可以进一步完善网络安全管理。
2.5.2 内网监视
内网监视的范围覆盖路由器以内的所有主机,也能够对外网接入进行全方位监控。监视的内容包括网络的利用率和网络的数据流量(每秒帧数、每秒字节数和每秒广播数),还有邮件监控、Webmail发送监视、聊天及P2P监控、流量监控、并发连接数限制和应用软件限制监控、FTP和TELNET命令监视、网页发送文件监视等。
2.5.3 服务器监控
局域网内各应用服务器通常是攻击者的主要目标,因此对服务器的监控应从以下几个方面进行[6,12,13]:
1)监测服务器硬件性能及网络响应状况。例如CPU的利用率、可用物理内存值、可用连接数、队列长度等信息,了解服务器及其网络资源的使用瓶颈、带宽和流量等物理状态,实时地发现及预报服务器潜在的硬件或软件平台的安全故障。
2)监测安全系统日志。例如有效和无效的登录尝试以及与资源使用相关的事件。检查运行系统日志程序及所有用户使用系统的状况。检查日志程序所定期生成的报表,通过报表分析是否存在安全异象。
3)监测是否受到网络攻击。在欠缺入侵检测系统的情况下,一般可以通过目录和文件系统信息、网络日志文件信息、程序执行异象信息、未授权的网络硬件连接和网络资源访问这几种渠道去查找服务器是否被入侵。
3 结论
电子商务的安全与评估 第10篇
一、我国政府绩效评估所面临的现实困境
在不断发展的现代信息社会中, 电子政务虽然获得了长足的发展, 但我国政府绩效评估制度由于价值理念不明, 实践经验不足, 理论支撑较弱, 宏观体制制约等诸多因素, 出现了许多发展误区, 面临着种种现实困境。
(一) 评估标准混乱, 政府绩效评估呈非理性化。在政府绩效评估的过程中, 由于涉及不同的地区、不同的部门、不同的职能, 因此在评估中难免会出现评估的难统一化。由于没有形成完善的电子政务评估制度, 各种评估范围及对象纵横交错, 界定模糊且不确定, 使得政府工作模糊且不确定, 基层工作无所适从, 这是目前影响电子政务绩效评估制度发展的关键症结之一。一方面, 与管理目标一样, 企业生产的产品通常采用单维的技术标准, 而政府的产品就不简单是一个技术问题, 不同的产品有不同的标准, 即使同一个产品, 还涉及到政治、文化和社会等诸多因素。来自不同领域的评估主题有不同的视角, 有特定的主观感受, 这些都是评估困难所在。另一方面, 在我国绩效评估制度中, 绩效评估的指标设定过程中出现泛经济化趋向, 严重偏向GDP评估, 评估往往只凭主观印象、感觉、人际的亲疏实施, 缺乏理性的数据支持和科学的分析, 造成了统计数据掺杂水分、“官出数字, 数字出官”的现象时有发生。政府的绩效评估是以实现“三E”为目标的, 它试图降低政府投入, 增加产出。政府在电子政务实施中往往强调经济等一些硬指标, 而忽视了公共服务这样一些最本质的软指标。政府的绩效评估制度中指标的设置往往过于简单, 没有细化, 考核也过于片面。
(二) 认识偏差和理念滞后, 政府绩效评估出现“显现时滞”。在经济快速发展的今天, 政府在加强经济调节、市场监管和社会管理的同时, 更要重视政府的公共服务职能。目前, 我国电子政务的建设也开始进入以服务为核心的新阶段。但政府的一些权重设计、流程规划与加强政府公共服务职能还存在偏差。在相当长一段时间内政府对绩效评估还缺乏理论上的完全认知, 定位不合理且重视程度不够, 甚至将政府绩效评估等同于公共部门的“德、能、勤、绩”。而我们国家对政府绩效评估, 既没有明确的制度要求, 也没有建立健全专门的评估机构, 政府绩效评估尚处于自发、半自发状态。政府人员认识的偏差和理论的滞后造成了政府绩效评估制度出现了“显现时滞”。[1]
(三) 公众参与性不足, 导致政府绩效评估的基础动力薄弱。由于政府在绩效评估制度形成的过程中, 政府过多地倾向于自我评价, 特别是上级的评价。在现实生活中只表现为政府官员对上负责。下级官员的评价和判断依赖于下级官员所提供的信息。上级官员为了改变种种格局, 在评价下级政府官员时, 往往选择那些容易量化的、客观的指标, 从而避免其自身的信息弱势, 造成了评估结果的单一化。同时, 由于公众参与的制度安排, 缺乏有效的理论指导, 受到中国政治生活的集权性和非自主性影响, 造成民众对政府的依赖心理和冷漠心理。政治生活似乎淹没了民众社会生活的各个方面, 严重限制和阻碍了公众的政治参与。作为被管理者的公众不愿也很难通过繁琐的层级来参与和自身利益息息相关的政府绩效评估。由我国绩效评估的发起方式, 说明它与美国的绩效评估有很大的不同, 我国主要表现为内力驱动型, 也就是说, 它不是由民众从外部推动产生的, 而是领导在工作需要以及内在责任感的驱动下主动采取的。正是由于我国绩效评估的发起力量相对单一, 具有明显的精英特色。由于电子政务的发展还处在初级阶段, 我国公民的参政意识相对淡薄, 参与的渠道也不是很通畅。民众基础的缺失在强化了评估实践中个人意志主宰特点的同时, 也赋予了绩效评估更为明显的“运动式”特征。
(四) 政府绩效评估规范化、法治化不足。社会不断变迁, 体制不断变革, 观念不断嬗变, 环境因素的变异直接或间接的影响着行政系统的变化与变革。在当今信息化浪潮下, 电子政务的兴起, 绩效信息的不断更新, 公共部门的绩效评估也随之变化。由于缺乏相应的制度和法律作保障, 缺乏相应的系统理论做指导, 在实践中往往具有盲目性。一是中国传统人文化功能的遗存对于绩效评估工作中运动式特征的出现负有明显的责任。重视事态的质的变化倾向, 会令党政主要领导相对缺乏政府效能、服务质量等的持续关注, 而只有相当严重的事态发生时, 才会有极大的热情和动力迅速推进绩效评估。因而, 绩效评估也就会在人文化的支配下, 成为政府管理中的救灾工具之一。这种被动式的推进态势使得绩效评估总有陷于“运动式”境地的可能性, 无法真正成为长效的管理工具。二是我国政府的绩效评估多处于自发状态, 缺乏制度化与规范化。[2]自20世纪80年代以来我国的制度化建设很快。但是, 由于整个社会仍然处于由人治社会向法治社会转型的过程中, 人文化倾向依然在很大程度上左右着人们对制度的审视, 支配着政府制度执行的过程, 制度的理性只在相对有限的范围内受到人们的尊重, 因此, 我们虽然会有一些制度, 但这些制度总是会存在执行的困境。
(五) 评估对象的“策略性”行为, 政府行为的“短期效应”。在现实的操作中, 评估对象为了符合上级的要求, 迎合指标, 往往会采取一些“策略性”行为, 导致人为的数据失真, “效率中心主义”影响过大。虽然政府绩效评估的指标一般以经济、效率、效果和公平为准, 但在我国政府绩效评估实践中都不由自主把效率作为基本的价值取向和判断准则, 对政府的经济性评价特别感兴趣, 进而忽视政府绩效的其他方面, 产生政府行为的“短期效应”。有的地方政府或地区直接把政府考核的目标简化成“绩”, 而“绩”又简单的理解为经济实绩, 忽视了可持续发展等一系列的社会效益, 这就必然使得评估重视投入而忽视结果和产出, 导致评估行为的短期化。为实现经济赶超, 完成上级下达的各项指标, 而采取数量化任务分解的管理方式和物质化的评价体系。目前大多数政府绩效评估都是个短期行为, 缺乏对政府绩效的持续性测定, 这就导致了运动式的行政管理。[3]当某一方面的问题成堆, 社会反映强烈时, 才采取大检查、大评比的方式谋求改进, 而评估对象疲于准备或“补充”汇报材料, 难以把工作重点放在政府绩效的持续改进上。
(六) 绩效申诉的缺位导致部分评估行为失当。绩效申诉, 是评估对象对于评估主体失当行为的救济权。政府绩效评估是一个双向互动的过程, 绩效评估离不开绩效申诉。[4]一方面, 政府绩效评估在我国存在着封闭性和神秘性, 我国的政务公开制度还不健全, 导致评估时透明度不够, 评估的过程和结果多数只是向单位领导反馈, 没有向参与的干部群众公开, 信息渠道的不畅通使得政府与公众之间缺乏有效沟通, 这也直接影响到评估结果的准确性。[5]由于电子政务的发展还处于不成熟阶段, 难以形成有效的监督系统, 而仅靠政府自我监督, 难以达到有效的督促效果, 评估的结果往往是报喜不报忧。另一方面, 人们对政府的认识存在着误区, 认为政府是万能的, 政府的一切行为都是正确的, 这就为政府绩效评估过程中寻租、权钱交易提供了腐败的土壤。同时, 政府绩效评估过程中失当行为的存在, 即评估人员违反行政合理性原则, 在自由裁量权范围做出不适当、不合理的行为, 导致被评估者抵制政府绩效评估, 同时由于对评估部门或评估者不合理行为缺乏专门的行政监察, 必然导致评估缺乏回应性而使评估成为领导者的合法外衣。
二、完善我国政府绩效评估的相关对策
政府绩效评估制度在政府绩效管理中发挥着重要作用, 鉴于我国政府绩效评估制度所面临的种种困境, 笔者认为构建我国政府绩效评估制度的对策主要体现在以下几个方面:
(一) 明确政府绩效评估的定位和价值取向。随着我国经济的快速发展, 政治体制得到了进一步改革, 建立科学的政府绩效评估体系可促进并保障我国政治体制朝着正确的方向变革, 使政府工作由暗箱变为透明, 由垄断变为竞争, 由封闭变为开放, 由人治变为法制, 由低效变为高效。但在实际操作中, 由于评估方法缺乏规范化, 评估工作往往流于形式。同时政府绩效评估制度的制定标准以及绩效准则的不中肯和模棱两可的现象, 使评估结果偏差加大。明确政府绩效评估的定位和价值取向对于完善我国政府的绩效评估制度有重大影响。一是政府绩效评估的目的主要是为了通过评选活动, 找出政府在管理中出现的问题和影响政府效能的因素, 最后找出改进政府部门工作的方法, 以更好的增强政府对人民利益的代表性、回应性和责任性。二是把政府绩效评估作为进一步作好政府工作的一个环节来定位, 是做好绩效评估工作的保证。三是政府绩效评估的价值取向决定了评估绩效的标准, 只有寻求政府绩效评估最基本的两个价值取向, 才能建立科学的绩效评估标准。四是效率和公共责任是政府绩效评估最基本的两个价值取向。政府在竞争中提供公共服务, 既有利于提高效率、打破垄断和减低成本, 又以严明的绩效目标和管理保证其在竞争中对公众负责、提高服务质量。
(二) 充分运用电子政务手段凸显政府绩效评估的“鱼缸效应”。如何使评估制度更加透明化, 展示政府绩效状况, 电子政务的出现无疑成了评估制度透明化的助手。一是政府绩效评估过程是一个信息交流的过程, 只有将政府信息和评估过程、结果公之于众, 形成“鱼缸效应”, 随时接受公众与媒介的监督, 才能使政府官员形成压力感, 迫使其提高绩效, 提供公众满意的服务。二是在信息化时代, 随着电子政务的逐渐推行, 政府的评估环境出现了“鱼缸化”, 使民众对政府干的每一件事真正看得见、摸得到、感受得深。三是在一定程度上, 电子政务的实施使政府信息更加透明化, 使政府与公众之间的信息交流更为通畅, 服务更加满意化, 消除了时空限制, 简化了信息互动流程, 同时有效防止了政府有关人员或组织利用信息垄断权, 搞“黑箱”操作。
(三) 以定性和定量相结合, 推进政府绩效评估制度的规范化建设。虽然自20世纪90年代以来我国政府管理中越来越重视量化的重要性, 但是, 人们往往将量化单纯理解为数字化, 这导致许多部门在不经过科学分析的情况下, 就简单地将一些工作事项与数字相联系, 将量化简单地等同于为工作事项随意配置数值, 结果出现了为量化而量化的倾向。[6]政绩的评估学要有定量的分析, 但又很难完全量化。电子政务效率的实质就是:服务管理范围扩大, 政府成本随服务范围的扩大而下降, 社会化服务效率提高, 成本随服务效率的提高而下降, 服务功能提高, 管理结构随服务功能的提高呈扁平、轻薄、水平、无边界的时空效率, 从而导致政府机构与组织的合理优化、服务功能增强与范围扩大, 并使政府与社会公众更加接近, 更多沟通。政府和社会、公众同处于一种健康良性向上的互动关系。电子政务的边际成本遵循递减法则。
(四) 加强立法, 促进政府绩效评估制度的法制化建设。要在中国构建一套稳定完善的政府绩效评估制度, 政府绩效评估的专门立法是不可或缺的。通过相应的法律法规促使政府绩效评估与管理活动法制化和制度化, 形成相应的制度, 做到绩效评估活动有章可循, 有法可依。
第一, 从法律层面解决政府绩效申诉的缺位。绩效评估要进行下去, 必须授予评估者一定的权力去完成评估, 而且不可能完全在评估方法和评估工具上防止偏见和不公平。这种评估中内在的冲突造成评估的许多不稳定, 必须建立一个消除这种张力扩大的机制, 让评估对象对评估不当行为进行投诉。所以, 评估申诉制度无疑是个纠错工具:一方面通过评估申诉程序, 启动相应的调查评议方法, 来对评估的问题进行评价, 促进评估双方的良性互动, 保障评估的顺利进行;另一方面, 评估申诉本身也是对上级主管领导的一个考核办法, 从而更进一步促进评估的公平和公正, 提高评估的能力和评估的效率。
第二, 通过立法把评估纳入法制化的轨道。一方面要通过立法明确政府绩效评估在政府管理中的重要地位。对政府评估的范围、形式、内容和方式等诸多问题都做出详细规定。使评估有科学的法律依据和规章制度可以遵循, 从而把评估纳入法制化的轨道;另一方面必须从法律上确定政府绩效评估机构在政府机关中所处的地位。保证其收集评估信息、开展评估活动、分析评估结果、提出改进方案等评估全程的畅通无阻, 只有这样, 才能从法律上保证政府评估制度实施的可能性。[7]
(五) 完善信息评估系统, 确保评估制度的科学性和可操作性。从信息论角度看, 政府绩效评估是一个信息筛选的动态循环过程。从输入到输出, 从反馈到评估, 无论是西方发达国家, 还是广大发展中国家, 都缺乏健全的政府绩效评估信息系统, 这无疑给评估工作造成严重障碍。与此相对应, 政府绩效评估中的困难主要体现为评估所需信息难以收集, 很多时候花费了大量的人力、财力和物力, 但仍然难以根据所获取的信息有效开展评估。在评估过程中, 信息不对称现象亦时常出现。[8]推进电子政务建设, 信息交流与沟通是政府绩效评估特征的重要体现。作为现代政府行使职能的有力工具, 电子政务带来的开放性大大提高了政府的透明度和民主化程度, 为政府绩效评估提供了可资利用的载体。一方面, 绩效评估有赖于获取的信息, 良好的绩效评估制度需要一个完善的信息系统。电子政务的信息网络使得行政信息的传递更为迅速及时, 反馈渠道更为畅通, 从而满足了绩效评估制度的信息要求。如英国在中央各部普遍建立了集目标管理、绩效评估为一体的“部长信息管理系统”, 为政府绩效管理提供全面的、规范化的信息。弥补过去行之有效的自上而下的评议制度的局限, 它作为一种自下而上的评议制度, 与自上而下的评议制度起到相互补充的作用。作为最大的公共部门, 政府为了改善当前绩效评估制度不到位、权力分散的状况, 应借鉴国外的经验, 有效利用电子政务这一手段, 深入开展公民评议活动, 让广大公民参与到政府绩效评估制度活动中, 并将这种做法制度化、科学化, 政府绩效评估才能保持其发展的活力和动力。
(六) 运用电子政务, 提高绩效评估的信度和效度。首先, 政府绩效评估制度作为一种改善政府工作行为的一种制度, 盲目性和局限性可能给陷入误区的绩效评估带来资源浪费和发展机遇的延误。在评估过程中出现了“居中”现象, 甚至在实际工作中出现了一种虚化趋势, 导致这种虚化现象的原因是传统的绩效评估制度缺乏足够的信度和效度, 不能把每个被评估者的强项和弱项体现出来, 也不能把好的绩效与差的绩效区分开来。难以真实、全面、准确地反映政府绩效, 使绩效评估制度失去公信力, 最终成了“走过场”。其次, 绩效评估制度的信度决定了绩效评估的精确性, 而效度则说明了多大程度上反映出被测试对象实际工作中存在的问题。在绩效评估制度中, 信度包含了内部和外部信度。运用绩效评估制度测得的绩效水平既包括真实的绩效内容, 又包括了非真实的绩效内容。其中, 没有被纳入绩效评估系统的真实绩效是绩效缺失, 与此相反, 不是真实绩效的内容被纳入绩效评估系统的部分是绩效污染。建立科学而有效的绩效评估制度必须是没有或尽可能地减少绩效缺失和不受污染。所建立的绩效评估系统与真实的绩效内容越是吻合, 则该绩效评估制度的内容效度就越高。电子政务使过去只能在物理空间里行使的政府职能通过数字化方式延伸出去。[9]从而在一定程度上防止了政府绩效评估制度的信息缺失, 避免了绩效污染。
(七) 推行电子政务, 形成政府绩效评估的新载体。首先, 电子政务从根本上打破传统的官僚制组织结构, 通过政府职能重组、组织流程再造, 由金字塔型的垂直结构向扁平化、网络化和交互式转变。这样既有利于决策层、管理层以及操作层之间的沟通, 减少信息失真的程度, 又为公民广泛、深入的行政参与提供了新的载体和通道, 一方面提高了政府管理的透明化、民主化和公正化;另一方面, 电子政务为政府绩效评估迈向科学化、标准化和制度化提供了多方面支持。其次, 电子政务为政府绩效评估制度朝科学化、标准化、制度化方向发展提供了各种支持, 为整个政府绩效管理的开展创造了良好的物质基础和制度环境。电子政务改善了政府部门管理公共事务的方式, 提高了政府管理和决策的速度, 使政府运作更加稳健。在实现向服务政府、责任政府、效能政府转变的过程中, 各级地方政府应当把管理模式的转换与运用先进的科学技术有机地结合起来, 运用信息技术的手段和方式把先进的管理理念表现出来, 构筑数字化政府, 走向在线服务。
三、结语
随着各国政府改革运动不断向纵深化方向发展, 绩效评估制度作为加强政府管理、改善政府服务质量的重要工具, 其功能与作用日益凸显。政府绩效评估虽然已走上实践的舞台但却仍然任重道远。同时, 在这一转变过程中, 我们不可能把绩效评估制度单独从政府体制改革中剥离出来, 而需要国家、政府、社会共同把握信息化的发展机遇, 通过加强电子政务建设, 逐步消解政府绩效评估制度的现实困境, 努力推进政府绩效评估制度的科学化、规范化、法制化和现代化建设的步伐。
参考文献
[1].盛宇华, 王平.绩效显现时滞与动态测评[J].郑州航空工业管理学院学报 (管理科学版) , 2000, 3
[2].李建生, 刘庆利.健全政府绩效评估体制[J].中州今古, 2004, 5
[3].李霞, 周利华.试论中国特色的政府绩效评估体系[J].湖北财经高等专科学校学报, 2005, 1
[4].范柏乃.政府绩效评估——理论与实务[M].北京:人民出版社, 2005:356
[5].王谦.电子政务E——战略、标准、绩效与智能决策[M].重庆:重庆大学出版社, 2005:264
[6].孟华.政府绩效评估——美国经验和中国经验[M].上海:上海人民出版社, 2006:153
[7].徐增辉.我国政府绩效评估存在的难点及对策[J].行政与法, 2005, 6
[8].周义程.公共部门绩效评估的困境及其排解[J].中共济南市委党校学报, 2004, 3
电子商务的安全与评估 第11篇
关键词:起重机械;安全评估;寿命预测
大型起重机械作为重要的物料运输工具当前已经被广泛应用在经济社会的各个领域,大型起重机械的作用也越来越重要。如今的基础设施建设和工业生产已经离不开大型起重机械的使用了。大型起重机械设备已经成为工业生产中的必要设备。
在大型起重机械设备的作用越来越重要的背景下,起重机械设备的安全性能也显得越来越重要。大型起重机械设备的长期频繁使用会对机械本身的性能造成一定损耗,在长期运行过程中机械设备一旦出现问题就会造成严重损失。因此要对大型起重机械设备进行科学的安全评估和寿命预测。本文就以一台运行已经十五年的大型造船用塔式起重机为例来进行详细分析。要想实现目的需要做到以下几点:
1.外观检查与无损检测
对于该大型起重机械设备的检查,首先要对其外观进行详细检查。通过专业的检查工作人员发现该机械受力部位均存在着不同程度的锈蚀问题,在部分位置还存在着漏水孔堵塞导致积水的现象。外观检查的主要目的是要排查起重机整机的危险源。
无损检测。在对大型起重机械设备进行观察的时候还需要专门做无损检测。无损检测的主要工作有以下几点:一是要对整个塔吊的主金属结构实际厚度进行测量;二是对主要零部件进行检查,重点是要明确主要零部件是否存在裂纹危险;三是对吊钩记忆主要轴类件进行磁粉探伤。通过详细考察我们发现该大型起重机械门架总共的观测数目是71个,但是不合格率就达到了21%。塔身的不合格率是25%,吊臂基本上是合格的,平衡臂的不合格率是11%。总的不合格率是22.7%。经过无损检测工程人员就会发现当前该机械设备存在着一系列问题。在实际生产过程中必须要对上述问题保持高度重视。
2.应力测试
应力测试的主要对象是针对该大型起重机械设备的关键部位进行测试。在应力测试过程中首先是要根据整机的关键位置和变截面位置来确定观测点。本次应力测试的测试点总共有27处。在确定了观测点之后还需要应用电阻式传感器来对数据进行实时采集。最后是通过专业软件来对原始数据进行有效处理和分析。大型起重机械设备的荷载方式一般分为空载、中间载荷和大载荷三种形式。
通过对27个观测点数据进行专业分析,工程人员最终实现了对不同工况下应力曲线的针对性分析。工作人员经过认真仔细的分析后发现塔身成对布设的测点数据呈现出特定规律。平衡臂一侧是拉应力,吊臂一侧是压应力。在调查中工作人员发现平衡臂与塔身铰连接部位的应力值是最大的。通过工程人员的专业分析该大型起重机械设备本身在起吊100t货物到20m时尽管最大应力没有超出许用应力,但是动载系数却已经远远超出了规定范围。因而在今后实际应用过程中对于大吨位货物必须要采取两季联吊的方式来进行起吊。在实际应用中要尽量减少大荷载起吊。
3.有限元计算
有限元数值模拟是实现对大型起重机械设备安全评估和科学预测的重要保证。在对大型起重机械设备进行评估的时候由于时间条件等因素的限制,现场实际上只能对特定工况做出预测。要想实现对大型起重机械设备的全面评价和鉴别就需要依靠有限元数值模拟。这里有限元计算主要指的是结构静力学计算和结构动力学计算两种形式。
结构动力学计算。结构动态性能对于大型其中机械设备性能具有非常的的影响。机械振动会使得起重机结构产生疲劳破坏,同时还有可能产生共振和噪音。在考察起重机结构动力性能达到时候需要重点关注起重机结构的模态频率。工作人员主要是通过模态频率来实现对起重机动态性能的观测的。
结构静力学计算。所谓结构静力学计算主要是在最大幅度下对整机结构的应力应变做出科学预测。静力学计算主要是通过建模计算来得到需用应力要求。
4.寿命预测
对起重机寿命进行科学预测对于提升起重机设备性能,对于实现工业生产和基础设施的正常运行具有重要意义。当前疲劳破坏是港口起重机金属结构出现问题的主要原因。长期的疲劳破坏最终会使得机械零件,金属结构出现不同程度的损伤。这对于起重机使用是不利的。这对大型起重机械设备的寿命预测主要是通过累计损伤原理来进行计算的。结合工程应用实际情况并进行综合分析与计算,工程人员最终得出结构当前使用的这台大型起重机械设备的剩余寿命使用期限只有三年了。
大型起重机械设备的安全评估与寿命预测至关重要,本文以某大型起重机械设备为例详细分析了当前安全评估与寿命预测的各个环节和步骤。在今后工作过程中必须要加强对这方面的研究。
参考文献:
[1]李鹤林, 张广利. 失效的预测预防[J]. 理化检验-物理分册, 2006(3).
web应用安全防护与安全评估研究 第12篇
1 web应用安全风险与防护目标
1.1 针对web应用的安全风险
web应用所面临的安全风险与其所处的网络环境、系统运行环境和web应用自身有很大的关系, 主要表现在以下几个方面。
1.1.1 网络环境
网络自身存在的配置问题、协议缺陷等, 很容易被入侵者利用从而攻击web系统。常见的网络监听、木马攻击和DDOS攻击就属于此类安全风险。
1.1.2 操作系统
操作系统配置不当、管理不善会导致服务器存在安全隐患, 如果被攻击者利用, 就会对服务器的安全性造成极大的威胁, 黑客、病毒可以利用这些缺陷对web服务器进行攻击。
1.1.3 web支持软件
目前用得较多的web支持软件主要有IIS、Apache等, 这些web服务器软件自身存在很多安全漏洞或缺口, 如IIS的Null.ht w、MDAC、ISM.dll、Webhits.dll、Unicode解析错误漏洞等多种漏洞给入侵者可乘之机。
1.1.4 web应用程序
在web代码编写过程中, 如果程序员未充分考虑各种安全因素, 就会导致代码中存在安全漏洞, 使得入侵者能够利用这些漏洞发起web攻击。常见的代码导致的安全漏洞有SQL注入、跨站脚本攻击、越权操作、文件上传组件漏洞、下载漏洞等。
1.2 web应用安全防护目标
Web应用安全防护的目标是通过安全产品和安全技术对web进行管理和控制, 保障web站点免受网络攻击和恶意代码的影响, 维护系统的可靠性、服务的可用性、信息的保密性、数据的完整性、用户的可控性。
1.2.1 可靠性
可靠性是web应用系统能够在规定条件下和规定时间内实现规定功能的特性。可靠性是系统安全的最基本要求之一, 是所有web应用系统的建设和运行目标。
1.2.2 可用性
可用性是web服务可被授权实体访问并按需求使用的特性。可用性应满足身份识别与确认、访问控制、业务流控制、路由选择控制、审计跟踪等要求。
1.2.3 保密性
保密性是web应用信息不被泄露给非授权的用户、实体或过程的特性。保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现.它是在可靠性和可用性的基础之上, 保障信息安全的重要手段。
1.2.4 完整性
完整性是网络信息未经授权不能进行改变的特性, 即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入的特性。完整性是一种面向信息的安全性.它要求保持信息的原样, 即信息的正确生成、存储和传输。
1.2.5 可控性
可控性是对网络信息的传播及内容具有控制能力的特性。保障系统依据授权提供服务.使系统在任何时候都不被非授权人使用, 对黑客入侵、口令攻击、用户权限非法提升、资源非法使用等采取防范措施。
2 web安全防护体系
web安全防护体系可以有效降低web面临的风险, 确保web防护目标的实现。狭义的安全防护体系仅仅指的是安全防护平台, 而从实际工作和需求来看, 安全防护体系应该由三个方面组成:完善的管理制度、有效的防护平台、健全的响应机制, 三者相辅相成、缺一不可。
2.1 完善的管理制度
制度是对行为的指导和约束, 管理制度是web安全防护体系中重要的组成部分, 是web应用安全运行的保障。制度的制定要全面、细致, 制度的实施要可行、有效。
web安全防护管理制度应从人员管理、行为规范、技术设施三方面制定。具体来讲, 涉及到值班员、管理员、信息发布员、培训与考核、硬件管理、软件管理、信息更新、数据备份、密码管理、日志管理等。而且, 随着技术和需求的发展, 制度还要不断的更新完善。
2.2 有效的防护平台
从网络协议分层的角度来讲, web的安全防护主要涉及网络层和应用层, 鉴于应用层的安全防护相对比较复杂, 本文将应用层分为为操作系统层、一般服务组件 (web服务器、数据库软件、常用软件、通用组件等) 层和特定web应用层后与网络层并行进行分析 (如图1) 。
与安全防护有关的技术和产品比较多, 但是从应用范围来讲可将其分为通用和不通用两种。对于网络层采用通用的防护技术或产品即可达到较好的效果。在网络层一般需要安装防火墙、入侵检测系统、异常流量检测和过滤等通用设备。防火墙可以有效的保护web应用边界。入侵检测系统则是对防火墙的有益补充, 它可以对针对网络的内部攻击、外部攻击和误操作进行实时监控, 提供动态保护以大幅提高网络的安全性。异常流量检测和过滤设备针对网络入口的流量进行实时监控, 及时检测诸如DDOS等攻击的类型和来源, 当发现攻击发生时, 异常流量检测设备会及时通知异常流量过滤设备对可疑流量和异常流量进行过滤和清除。
但是, 这些安全防护设备无法有效处理应用层协议数据, 更无法结合具体的web应用程序深入分析请求内容, 因而无法防御针对web应用的攻击。
因此, 在操作系统层和一般组件层, 需要安装针对web的安全防护设备:web漏洞扫描系统、web应用防火墙、web防篡改系统和内容安全审计系统。web漏洞扫描系统通过主动扫描可以发现web存在的缺陷和漏洞并对其进行修复和加固, 以实现防患于未然的目的。web应用防火墙以完全代理的工作方式, 作为web客户端和服务器端的中间人, 过滤和处理交互的业务数据流, 从应用角度上避免了web服务器直接暴露于网络上。web防篡改系统则对用户可访问的网页内容进行保护, 确保网页不能被篡改或者在篡改后进行及时恢复。内容安全审计系统对网络通信、网络行为进行实时监测、报警、记录, 发现和捕获各种敏感或不良信息、违规行为, 实时报警响应, 实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位, 为整体网络安全策略的制定提供权威可靠的支持。这种针对操作系统层和一般组件层的安全防护产品可以有效的防御针对web应用的攻击行为, 确保web应用程序的正常运行以及内网数据安全。
但是, 在图1中处于最高层的“用户特定web应用层”中, 由于web应用程序本身复杂化、个性化的特点, 没有某种特定的安全技术能够完全解决这些特殊应用系统的安全问题。因此, 对该层的防护并不能单单考虑被动的、通用的防护方式, 而需要以更为主动的方式进行, 如建立针对第三方软件, 特定功能的木马防护、病毒防治和攻击;此外, 在应用程序的开发、设计过程中要防止安全漏洞出现, 在应用程序正式启用前进行安全测试和代码审计等工作, 也增加web应用自身安全和稳定。
2.3 健全的安全响应机制
网络及其应用的复杂性注定了安全防护不可能做到100%的可靠, 健全的安全响应机制可以将安全损失降低到最小, 并避免类似不安全事件的再次出现。
安全响应机制由三部分构成:事前预警、事后处理和追踪取证。
事前预警的主要作用是在安全事故发生前通过获取的情报信息, 进行相应安全提示和处置预案, 在安全事件发生前将其扼杀。常见的预警有计算机病毒预警、安全漏洞预报。
当安全事故发生后, 根据相应的安全响应要求, 通过技术手段尽快恢复系统或网络的正常运转, 在此过程中需要多方面收集和积累准确的数据资料, 获取和管理有关证据, 并在过程中注意记录和保留有关的原始数据资料。
追踪取证是根据事故处理过程中获取搜集的数据和信息, 分析事故出现的原因和以后的预防措施, 如果属于人为因素, 还需要追踪事故的责任人。
3 web安全评估
web安全防护系统是否有效, 不能简单的依靠日常运行中网络和系统自身的安全状况来判断, 而是采用web安全评估手段进行判断。web安全评估针对目前流行的web安全问题, 利用行业经验和技术, 对web安全防护系统进行全面的评估。
3.1 web安全评估流程
web安全评估主要在客户端web平台上, 分别从外部和内部对web服务进行黑盒和白盒安全测试, 测试完成后形成一个评估报告, 对其中存在的安全漏洞、安全风险进行汇总, 最终提交一个详细风险说明及其用对策略的报告。具体流程如图2所示。
3.2 安全评估方式
web安全评估中最关键的安全评估方式及其评估内容, 从安全安全评估的概念和流程中可以看出, 安全评估主要有外部评估和内部评估两种方式, 而且在评估过程中这两种方式缺一不可。
3.2.1 外部评估
外部评估是在已知web服务所应具有的功能后, 由测试人员在外部发起的、针对web服务的远程评估工作, 模拟主要来自外部的恶意扫描等行为, 以此发现可能存在的安全问题。外部评估主要针对操作系统、应用服务和web服务的安全性。
操作系统及应用服务的安全性测试包含了常见的安全问题, 如远程缓冲区溢出漏洞、远程拒绝服务漏洞、远程信息泄漏漏洞、远程身份验证漏洞等。web服务安全性测试包括常见的web安全问题, 如跨站脚本漏洞、文件包含漏洞、命令执行漏洞、目录遍历漏洞、信息泄漏漏洞、暴力破解漏洞。
由于网站上页面数量和连接数量较多, 使用自动化工具可以明显提高工作效率, 防止遗漏。除了使用web安全评估产品外, 还需要人工进行辅助分析, 一方面需要确认自动化工具扫描结果的准确性, 是否误报;另一方面需要对一些工具无法检查的地方进行补充, 最大化的发现web应用存在的安全问题。
3.2.2 内部评估
内部评估是指从内部发起针对服务器配置、策略及代码本身的安全检查。相对外部安全测试方式来讲, 内部评估注重功能性及安全性的检查, 从根源上发现安全隐患。内部评估主要针对操作系统配置、web配置、数据库权限、代码的安全测试。
针对操作系统层面, 主要检测用户管理、口令策略、网络服务、共享连接、文件系统、网络配置、访问控制、审计设置等方面设置是否安全。
web服务配置检查主要检查web组件、身份认证、权限设置、日志控制、加密传输、ACL设置和目录遍历功能的设置等。
对数据库权限进行检测, 是为了查看数据库中权限是否得到了正确的设置, 一方面保护数据库中数据的安全, 防止未授权用户访问。另一方面防止数据库出现安全问题后, 进一步影响数据库服务器操作系统的安全。
代码安全性检查主要进行挂马检测、WebShell检测和代码审计。代码审计在安全开发中是很重要的一个环节, 进行一次成功的代码审计不仅可以发现应用程序编写时产生的安全漏洞及不规范的代码, 督促开发人员及时修正。同时也能提高开发人员的素质, 从而提升应用程序的质量。
4 结语
web应用安全防护以安全制度为指导、安全平台为手段、安全响应为辅助, 可以有效的降低web面临的风险, 确保web防护目标的实现。随着web承载的业务和信息量的不断增多, 通过定期的web站点安全评估, 能够及时发现、消除web站点中存在的安全隐患和新出现的安全漏洞, 有效增强web站点对各种网络安全威胁和突发性安全事件的抵御能力。
摘要:文章介绍了web应用目前面临的主要安全风险和web安全防护目标, 给出一种基于管理制度、安全平台和响应机制为一体的安全防护体系, 并提出了针对这种安全防护体系的安全评估手段, 进一步保障了安全防护体系的有效性和强壮性。
关键词:web应用,安全防护,安全评估
参考文献
[1]龙娟.Web站点安全评估研究[J].通信技术, 2011.8.
[2]蔡琳, 龚雷.典型网站系统安全保护平台研究[J].电子设计工程, 2012.1.
[3]石火财, 孟绘, 郝贤云, 杜强.网站的安全问题及对策[J].计算机安全技术, 2011.20.
[4]徐竹冰.网站应用层安全防护体系[J].计算机系统应用, 2012.1.
[5]张琳, 袁捷, 李欣, 张冬晨.Web应用的安全防护[J].电信工程技术与标准化, 2010.2.
[6]姚伟.web安全评估与防护[EB/OL].2012-7-20.http://tech.ccidnet.com/art/3089/20090902/1875689_1.html
【电子商务的安全与评估】相关文章:
电子商务安全与策略07-06
电子商务的安全问题07-28
电子商务的分析与设计06-01
电子商务的优势与劣势06-28
电子商务的作用与影响08-13
电子商务的需求与分析01-14
电子商务与物流的发展01-14
试论电子商务与传统商务的协同发展09-10
电子商务中的安全技术06-10