时间:2023-07-04 16:27:09
导语:在安全审计的类型的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
① 等价有偿确实是民法通则所规定的民事活动的原则之一, 但不能因此将该原则理解为一切民事活动的必要准则。道理很简单, 民法通则所调整的社会关系并非都是商品交换关系(比如民法通则所调整的人身关系和身分关系在本质上不是商品关系)。即使民法通则所调整的商品关系也未必一定必须是实行等价有偿原则的关系( 比如基于自愿的赠与关系和无息借贷关系, 基于公法干预的那部分非完全收费的医疗服务关系)。
② 更为重要的是, 就损害赔偿关系的法律调整而言, 等价有偿原则并不意味着损害赔偿关系的调整应当以该项损害赔偿关系的前提关系是否体现了等价有偿为原则, 换言之, 并不意味着赔偿额占实际损失额的比例应当与受害人在该项损害赔偿关系的前提关系中所支付的代价占其所获得的利益的比例相一致, 而是意味着应当赔偿的数额与实际损失的金额相符即实际赔偿。正是在这个意义上, 笔者认为, 民法通则关于侵权赔偿责任的规定所体现的实际赔偿原则, 是民法通则总则所确立的等价有偿原则在侵权责任关系中适用的结果, 是等价有偿原则的具体体现。就民法调整的医患关系而言, 等价有偿原则对医疗服务关系(即医疗事故赔偿关系的前提关系)的作用在一定范围内或一定程度上受到了体现公共福利政策的公法的制约, 因而医疗服务关系在一定范围内或一定程度上可能并非完全贯彻等价有偿原则,但是,我们不能以医疗服务关系(尽管是一定范围内的)的不完全等价有偿性为由,否定实际赔偿原则在医疗事故赔偿关系中的适用。
③ 从比较法的角度看, 现代民法发展的重要趋势之一是其权利救济机能的扩张(往往是通过民事特别法或判例的形式),它不仅作用于传统的私法关系领域(商品经济关系,私人之间的关系),而且作用于带有一定公法性质的社会关系领域( 公共福利的提供和利用关系, 国家与私人之间的行政管理关系)。其重要的背景之一是人权保障范围的扩大。资本主义国家的现代民法是如此, 社会主义市场经济国家的民法更应当如此。在损害赔偿问题上,不论侵权发生在什么领域, 都应当贯彻反映等价有偿要求的实际赔偿原则(至于是否有必要在特定侵权领域设立惩罚性赔偿制度的问题另当别论)。
(5) 在支持限制医疗事故赔偿、反对适用民法通则的议论中,有种似乎与上述可能存在的对等价有偿原则的误解有关联的意见认为,在医疗事故赔偿问题上,应当贯彻权利与义务相一致的原则。也就是说, 医疗事故被害人所享有的获得赔偿的权利应当与其承担的付款义务相一致, 付款义务的大小决定了受偿权的大小; 医疗机构承担的赔偿义务应当与其收取医疗费的权利相一致, 收费权利的大小决定了赔偿义务的大小。否则, 就是违反了权利义务相一致的法律原则。依笔者之见, 这种看法也是似是而非的。
① 且不论权利与义务相一致这种表述本身是否妥当, 这种见解不是把权利义务相一致理解为权利和义务的统一性( 通常大概有几种的含义, 比如,人们在享有和行使其法律上的权利的同时,应当履行其承担的法律上的义务;不能只享有法律上的权利,不承担法律上的义务,反之亦然;在特定的法律关系中,一方当事人享有的权利就是另一方当事人所承担的义务,反之亦然 ),而是理解为人在法律上的权利和义务的对等性, 即任何人享受的法律上的权利必须和他所承担的法律上的义务相对等。这种理解显然是不恰当的。如果规定人的权利或义务的法都是以这种见解为依据的,那么其中许多的法一定是非常不合理的法。至少在大多数场合, 这种见解不符合我国现行法的实际。
② 即使在医患关系这一特定的法领域, 这种见解也存在明显的不当之处。因为按照这种见解的逻辑, 就应当彻底取消我国公共医疗服务行业所存在的非常有限的福利性或公益性, 应当彻底实行有病无钱莫进来的医疗服务政策。
③ 如果这一见解在医疗事故赔偿关系的法领域真的可以被认为是妥当的话, 那么, 如前所述,合理的赔偿标准就应当是医疗费自付率和损害赔偿率成正比,或者是福利程度与损害赔偿程度成反比。这么说来, 权利义务一致论绝非是支持适用条例赔偿规定的论据, 恰恰相反,它实际上是反对适用条例的论据。
3. 医疗机构的承受能力或偿付能力有限这一事实判断本身就是不恰当的。即使能够成立,也不应当以此为由限制医疗侵权被害人就其所受损害获得全部赔偿的权利。
(1) 医疗机构的承受能力有限这种一般性的一刀切式的事实认定,本身就是不恰当的。因为它根本不能反映现实情况的多样性:各个医疗机构的偿付能力因各自的实力和案件的具体情况而异。同一医疗机构,对于不同数额的赔偿,其偿付能力可能不同;不同的医疗机构,对于同等数额的赔偿,其各自的偿付能力也可能不同。说得再通俗一点, 对于一家实力雄厚的大医院而言,即使是一件高达百万元的赔偿,也许算不了什么; 而对于穷乡僻壤的一间连工资也发不出的合作医疗站而言,即使是一件不足千元的赔偿,也许足以使它关门倒闭。
(2) 即使医疗机构的承受能力有限这一判断在现实中的特定的某个案件中也许能够成立,但由于这一判断的对象只不过是个别事实,该事实不具有一般性或典型性或唯一性,因此该事实与所谓的医疗福利性一样,不具有立法事实的性格。所以, 该事实不应当被条例起草者在设计医疗事故赔偿的范围和标准时作为立法事实加以考虑。如果条例起草者希望医疗事故处理机关在具体确定赔偿数额时考虑医疗机构的偿付能力的话, 那么就应当在条例第49条第1款中就此事实因素作出规定。只有这样,条例的限制性赔偿标准在具体适用中才可能减少或回避因立法上的一刀切而可能引起的明显的不公正。
(3) 即使医疗机构的偿付能力有限这一事实具有相当的普遍性,并且相当多数的医疗机构在偿付能力上的差异和相当多数的医疗事故引起的损害在量上的差异小到如此的程度,以致于条例起草者在设计统一适用的赔偿标准时,可以省去这些差异而把该事实作为立法事实加以一刀切式的考虑, 在立法政策上, 这种考虑也是极不妥当的。
① 医疗事故的被害人应当按照什么标准获得赔偿的问题,换言之,发生医疗事故的医疗机构应当按照什么标准对被害人进行赔偿的问题, 是医疗事故赔偿案件的当事人在法律上有何权利义务的问题。条例起草者在解决医疗事故当事人在损害赔偿方面的权利义务这一问题时,当然要对各种各样的损害作出政策上的评价, 确定什么样的损害应当赔偿, 什么样的损害不应当赔偿, 并在此基础上规定应当赔偿的范围和确定应当赔偿的数额计算标准, 即确定统一的赔偿请求权和赔偿义务的内容。这里的关键问题在于,在确定赔偿范围和赔偿标准,即确定求偿权和赔偿义务的内容的时候,到底应当考虑什么,不应当考虑什么,到底应当以什么为基准对某项损失是否应当作为赔偿项目,对某一程度以上的损失是否应当赔偿进行评价。依笔者之见,医疗机构的偿付能力不应当被作为评价标准或考虑因素之一。条例起草者原本应当区分应当赔偿多少和有能力赔偿多少这两个问题,不应当用赔偿义务人的偿付能力这一因素来限制被害人的赔偿请求权的范围和数额。 条例起草者的错误在于,她把应当性与可能性混为一谈,用可能性否定或限制应当性。按照条例起草者的逻辑, 我国民法通则所体现的实际赔偿原则是完全错误的,因为它根本没有考虑到侵害人的偿付能力;产品责任法、消费者权益保护法等涉及赔偿问题的民事特别法也都是错误的,因为它们也都没有考虑赔偿义务人的偿付能力;国家赔偿法则更是错误的,因为她没有考虑到国家这一公共利益的法律上的代表者的偿付能力(更严重的错误也许在于,国赔法要国家从国库中拿钱即拿属于全体人民的财产来赔偿受害的私人);至于破产法则是错过了头的,因为它甚至让资不抵债的企业关门倒闭,让工人们失业。
② 笔者不知道条例第1条所规定的“保护医疗机构的合法权益”这一立法宗旨与条例限制赔偿的规定有无关系,也不知道条例起草者在设计赔偿制度时是否意识到这一立法宗旨。不过人们从答记者问的有关论述中也许可以发现,答记者问似乎把二者联系在一起,似乎把条例限制赔偿的规定理解为保护医疗机构的合法权益.也就是说,大概在答记者问看来,较之其他侵权领域的赔偿义务人,在同等情况下医疗事故机构应当少赔, 少赔是医疗机构的合法权益; 条例之所以要赋予医疗机构这样的权益, 理由之一是医疗机构的偿付能力有限。如果笔者的这些推测属实, 如果条例起草者也是如此认为的话, 那么,不仅条例限制赔偿的规定, 而且条例所规定的“维护医疗机构的合法权益”的立法宗旨,作为立法政策都是非常不妥当的。因为这一立法宗旨的意图之一是要赋予医疗机构这一特定群体少赔的特权.从而明显地违反了平等原则.
(4) 卫生部之所以把医疗机构的偿付能力(有限)作为限制赔偿的理由之一, 当然不是仅仅为了维护医疗机构的利益。卫生部汇报表明, 她显然是想通过维护医疗机构的利益来维护广大患者的就医利益。大概在卫生部看来(支持限制赔偿政策的许多议论也一样), 如果不限制赔偿而实行实际赔偿原则, 那么医疗机构就可能会因赔偿负担过重发生运营上的困难甚至倒闭, 原本能够向广大患者提供的医疗服务就会受到严重影响。不仅如此, 医疗机构也可能将其因支付赔偿金而受到的经济损失, 通过某种方式转嫁到广大患者的头上, 加重广大患者的就医负担。
不过在笔者看来, 尽管这种顾虑本身也许有一定道理, 但采用限制赔偿的方式来回避实际赔偿所可能引起的负面后果实际上大概是行不通的。理由如下。① 限制赔偿并不是不要赔偿, 现行条例所规定的赔偿范围和标准对于许多势单力薄的医疗机构而言, 仍然是难以对应的。一旦发生损害额较高的医疗事故, 这些医疗机构就完全可能面临资不抵债的危机, 更不用说继续为广大患者继续提供原有质量的医疗服务。② 医疗事故机构大概也不会因为少赔几个钱就放弃转嫁损失的念头(如果它想转嫁的话)。所以, 现行条例的限制赔偿政策并不能回避在实际赔偿的场合所可能引起的影响广大患者就医利益的后果。按照医疗机构偿付能力有限论的逻辑, 要避免赔偿对医疗机构运营能力和对广大患者利益的负面影响, 彻底的办法是完全免除医疗机构的赔偿责任。
4. 经济发展水平(不高)这一因素也不能成为条例限制赔偿的正当理由
说我国经济发展水平不高或者说我国仍处于社会主义初级阶段,国家还不富裕, 人民生活水平在总体上还比较低, 也许谁也不会有异议。但是如果以此为由, 否定实际赔偿原则对医疗事故赔偿的适用, 说条例限制赔偿是合理的,人们也许就难以理解了。
所谓“经济发展水平(不高) ”这一判断,当然是就我国与发达国家的比较而言的。它不是关于我国国内某一地区的经济状况的判断,并不涉及国内不同地区的经济发展水平的状况。那么, 我国不同地区的经济发展水平和居民生活水平是怎样的呢? 是基本上均衡的呢? 还是存在巨大差别的呢? 毫无疑问,至少就相当一部分地区而言, 答案应当是后者。
答记者问和卫生部汇报之所以强调我国经济发展水平不高,其目的显然是想让患者们明白以下的道理。我国的经济水平还远远没有达到如此高的程度,就像发达国家那样,老百姓一般能够付得起相当高额的医疗费,其生命健康利益或生存利益具有相当高的可期待价值,其生存费用也达到了相当高的水准; 医疗机构能够赚取高额的医疗收入因而实力雄厚,在发生医疗事故的情况下有能力承担高额的赔偿费; 医疗事故的被害者可以像发达国家的医疗事故被害者那样,有可能或有“资格”获得相当高额的赔偿金。既然如此, 在我国经济水平还不高的现在和未来相当长的时期内,在医疗事故赔偿问题上,就不得不对患者群体的对医疗事故赔偿的不切实际的过大期待加以合理的限制。
关于经济发展水平和赔偿标准或人的生命健康利益在经济上的价值之间应当具有什么样的关系的问题,本文姑且不加以讨论。笔者在此只针对上述以经济发展水平为理由的赔偿限制论谈点意见。只要人们承认,在我国相当范围的不同地区,经济发展的水平存在着巨大差异。在已经相当富裕的沿海大城市和仍然极度贫穷的部分农村,不仅两地居民的生活水平(挣钱能力、生活费用、包括享受医疗服务在内的消费能力或负担能力等)、可期待平均寿命和生命健康利益的经济价值(观)存在着相当程度的差异, 而且两地医疗机构的经济实力也大都存在着相当程度的差距,就可以作出如下的论断。答记者问或条例起草者所主张的我国经济发展水平(不高)这一事实,对于证明条例限制赔偿政策的合理性而言,是不合格的,没有关联性的。因为这一事实认定仅仅是关于整个国家经济状况的判断,而条例的限制赔偿规定所适用的对象是发生在经济发展水平可能存在巨大差异的国内不同地区的医疗事故赔偿案件。基于国际比较的我国经济发展水平不高这一事实认定,显然不能用来作为解决我国这样一个不同地区经济发展水平悬殊、老百姓贫富差距巨大的国家的医疗事故赔偿标准问题的依据。
5. 四项事实根据与条例关于限制赔偿规定的实际关系•有关限制性规定存在的主要问题[59]
议论至此,有必要概观一下上述四项事实根据与条例关于赔偿的规定(第50条)的实际关系并对有关限制性规定作一简短的评论。在此先确认一点,四项事实根据中的“医疗行为的高风险性”似乎与条例关于赔偿的规定没有什么明显的关系。
(1) 条例关于赔偿项目的规定。
如前所述,条例未将患者本人因医疗事故致残丧失劳动能力而导致的收入损失和死亡而导致的收入损失作为赔偿项目(即残疾赔偿金和死亡赔偿金)加以列举。由于条例关于赔偿项目的列举是完全列举,所以条例未列举这两个项目意味着条例否定二者是应当赔偿的损失。
依笔者之见, 四项事实根据中的“医疗行业的福利性”和“医疗机构的偿付能力”这两条大概成了否定该项损失赔偿的事实根据。
将这两项重要损失排除在赔偿范围之外,从我国民事赔偿法的现状来看,可谓条例对赔偿范围所作的重大限制。如前所述,民法通则第119条虽未列举这两项损失,但由于该条的列举是不完全列举,所以在特定案件的审理中如果确认其存在,法院就可以通过对民法通则第119条的解释将该其纳入应当赔偿的范围之内(当然,在最高法院人身损害赔偿解释于2004年5月1日起实施后,法院可以直接适用该解释中关于这两项损害赔偿的规定)。值得注意的是,在卫生部考虑修改办法之前,承认这两项赔偿的外国的和台湾的医疗侵权赔偿制度的有关情况已为我国法学界所熟知,我国的国家赔偿法也已明确作出了相关的规定。因此,卫生部当然应当知道这些情况。据此笔者推测,卫生部在修改办法起草条例时不是疏忽而是特意将二者排除在赔偿范围之外(遗憾的是,卫生部汇报中没有提及这个重要问题,答记者问对此也没有直接发表任何意见)。
条例排除对这两项损失的赔偿是完全说不通的。条例既然将非残疾患者的误工损失纳入赔偿范围,就应当将残疾患者因丧失劳动能力而导致的收入损失纳入赔偿范围,更应当将死亡患者丧失的收入利益纳入赔偿范围。承认前者而否定后二者是根本不尽情理的。
(2) 条例关于赔偿标准的规定。
① 关于误工费赔偿数额的限制(患者有固定收入的,•••对收入高于医疗事故发生地上一年度职工年平均工资3倍以上的,按照3倍计算)、残疾生活补助费的支付标准(按照医疗事故发生地居民平均生活费计算,自残疾之月起最长赔偿30年•••)、被扶养人生活费的支付标准(按照其户籍所在地或者居住地居民最低生活保障标准计算•••)和精神损害抚慰金数额的限制(按照医疗事故发生地居民年平均生活费计算,造成患者死亡的,赔偿年限最长不超过6年;造成患者残疾的,赔偿年限最长不超过3年)的规定,大概也与“医疗的福利性”和“医疗机构的偿付能力”这两条考虑有关,也可能与“我国经济发展水平(不高) ”这一考虑有关。另外,关于陪护费、丧葬费、住宿费、交通费等项费用的人数限制大概也是如此。“按照医疗事故发生地……计算”之类的规定, 显然是考虑了不同地区经济发展水平不同这一因素,与四项事实根据似乎都没有关系。
② 条例关于赔偿标准的规定明显违反了实际赔偿原则。其中关于误工费数额的限制,根本否定了误工损失通常因案而异因人而异,因而不同的案件不同的被害人,误工损失大小不一,可能存在巨大的差异这一事实。既然是要解决损失的赔偿问题,那么误工损失的赔偿问题就只能由裁判机关根据损失的具体情况作出判断,预先在立法上作出一刀切式的规定是完全不合理的,更不用说是低标准的限制。条例关于赔偿标准的规定的基本特征是平均主义加低标准主义。人们难以感受到这里体现了充分救济的民事赔偿法的精神。关于精神损害抚慰金数额的限制性规定,笔者在此只想提一个问题,那就是卫生部在起草该规定时到底有没有认真考虑过医疗侵权致人伤残尤其是致人死亡所可能引起的精神损害的严重性。笔者从自己所了解的有关情况(包括笔者的医疗侵权案件)中深切感到,这种精神损害有时是非常深重的(尤其是在如下场合: 患者或患者的亲属满怀着期待和信赖将自己或自己最亲爱的人的健康或生命的命运托付给了医院和医务人员,不是由于病入膏肓不可挽救,不是由于医务人员单纯技术上的差错,而是由于医务人员对患者诊疗的明显的严重失职,甚至是放任不管见死不救,导致原本完全能够救治的疾病未能得到救治, 原本不应当发生的严重残疾发生了,原本可能得到或应当得到挽救的生命丧失了)。条例所规定的如此低标准的抚慰金难道能够抚慰那些受到巨大精神痛苦的被害人或其亲属吗?
(3)如前所述,答记者问认为,条例是不可能违反民法通则的基本精神的;卫生部汇报表示,条例根据民法通则的基本原则建立医疗事故赔偿制度,笔者的疑问是,在答记者问和卫生部汇报看来,民法通则的有关基本精神或基本原则到底是什么呢?条例对赔偿所作的种种限制难道真的可以说是符合民法通则的基本精神或基本原则的吗?
6. 为了我国医疗事业的发展,在制定法上与其限制医疗事故赔偿,还不如让医疗事故的受害者同其他侵权的被害者一样有权按照实际赔偿原则获得完全的赔偿。实际赔偿制度的适用对我国医疗事业的发展所可能带来的负面影响,不应当通过限制赔偿,而应当通过其他的政策手段或制度来减轻或回避。
(1) 如前所述, 限制赔偿不是条例的目的, 而是实现条例的宗旨即保障和促进医疗事业的发展和医学科学的进步的手段。对于这一宗旨本身, 即使是要求损害赔偿的医疗事故的被害者大概也不会不赞成。问题不在于目的而在于手段. 我们应当关心这样的问题: 为了实现这一目的, 从比较政策论的观点看, 限制赔偿这一现行条例采用的手段相对于其他手段是否具有优越性,是否比较值得(即具有较好的效果成本比); 是否存在其他较为优越的手段可以用来取代限制赔偿。以下是笔者的基本看法。
① 首先必须承认, 医疗事故赔偿与医疗事业的发展可能存在两种不同意义上的关系。其一是医疗机构的财务状况因医疗事故赔偿金的支付而恶化,医疗机构的服务能力因此而下降。如果这种情况严重到一定的程度,医疗事业的发展和医疗技术的进步会受到不利的影响。其二是医疗机构的服务和管理质量,医务人员的职业责任感和诊疗水平因医疗事故赔偿而得到提高,医疗事业的发展因此而得到促进。在考察医疗事故赔偿与医疗事业的发展的关系时,不应当像答记者问和条例起草者那样,只见前者,无视后者。
② 减轻或回避医疗事故赔偿对医疗事业可能产生的不利影响的手段或方法可能有若干种,其中包括最近在我国医疗赔偿议论中成为热门话题的医疗责任保险制度(主张限制赔偿的答记者问也非常关注这一制度)。因此, 限制赔偿只不过是手段之一, 并非唯一的手段。既然存在若干种选择方案, 政策制定者就应当利用效用成本分析, 对各种手段作出适当的评价, 选择效用较大成本较小的手段或手段的组合。
③ 比较而言, 限制赔偿是得不偿失的, 效用成本比是较差的(相对于医疗责任保险)。第一,在效用方面, 限制赔偿的效用在某种意义上是比较差的。限制赔偿的特点是医疗机构对超出限定范围和标准的损失不予赔偿,对未超出限定范围和限定标准的损失仍应赔偿。所以,限定赔偿制度只能限制医疗事故赔偿对医疗事业可能发生的不利影响。与此不同,医疗责任保险的特点是保险范围内的损失由保险机构承担赔偿,医疗机构只有在损失超出保险范围和标准的情况下,就超出部分承担赔偿责任。所以, 在发生医疗事故的情况下, 只要损失未超出保险范围,医疗机构就无须赔偿,医疗事业因此就不会受到因赔偿而带来的不利影响。当然,事情总是存在两个方面。由于限制赔偿仍属事后责任制,只要不发生医疗事故,医疗机构就不存在花钱赔偿的问题。医疗责任保险则属于事先花钱(支付保险费)回避或减少赔偿风险的制度,保险金的支付与是否真的发生医疗事故无关。支付保险金必然加重医疗机构的负担,从这个意义上讲,医疗责任保险也可能会给医疗事业带来不利影响,尤其是在保险费负担过重的情况下(这个问题在美国似乎比较严重)。不过笔者还是认为,至少在我国的现阶段,谈论医疗责任保险制度的负面作用的问题没有什么实际意义。因为我国最近才兴起的医疗责任保险, 至少在保险费率上还是相当低的(当然, 笔者不排除在对医疗事故赔偿实行实际赔偿原则的情况下,保险费率有可能上涨)[60]。第二,在成本方面, 限制赔偿的成本显然是比较高的。其中最大的成本在于,它是以限制患者获得完全赔偿的权利为代价的。随着个人化的人权观念在我国社会的逐步确立,这个代价的性质就会变得更加严重。与此不同,医疗责任保险却在客观上有助于患者获得应当获得的赔偿,有助于对患者权利的充分救济(在未加入责任保险的医疗机构发生了损害额高于其偿付能力的医疗事故的情况下,患者获得赔偿的权利将得不到完全的实现)。
(2) 这里有两个值得注意的情况。① 卫生部汇报表明, 卫生部在选择限制赔偿政策时, 与其在起草办法时[61]不同,没有将我国尚未健全医疗责任保险制度这一情况作为理由。据此笔者推测, 也许在卫生部看来, 即使我国建立了比较健全的医疗责任保险制度, 医疗机构大都加入了医疗责任保险, 只要我国的医疗事业仍然具有公共福利性的事业, 我国的经济水平还不够高, 医疗机构的偿付能力仍然有限, 就仍然应当坚持实施限制赔偿这一特殊政策。② 答记者问虽然特别强调建立医疗责任保险制度对于解决医患之间在赔偿问题上的矛盾,对于兼顾患者的权益和医疗事业的发展所具有的重要意义, 但并未主张以医疗责任保险制度来取代现行的限制赔偿制度。
在笔者看来, 卫生部汇报之所以会无视医疗责任保险制度所具有的双重功能―既有助于患者权益的切实保障,又有助于减轻医疗事故赔偿对医疗机构的自身利益和服务能力的影响, 没有注意到这一制度所具有的替代(尽管未必是完全替代)限制赔偿制度的重要价值; 答记者问之所以会在论述医疗责任保险制度的意义时也没有提到该制度所具有这种替代性, 这不仅与二者所强调的限制赔偿政策的事实根据论有关, 而且可能与公共利益高于个人利益、为了公共利益可以并且应当牺牲个人利益的传统观念的影响有关。 (三) 对其他相关问题的评论
1. 关于对漫天要价和天价判决的忧虑
无论是答记者问还是卫生部汇报, 对医疗事故被害人追求金钱赔偿的欲望, 似乎都很忧虑。她们似乎担心, 如果不事先明确对医疗事故赔偿的范围和标准作出明确的限制并明确排除民法通则的适用, 患者在医疗事故案件中就会设法尽量利用实际赔偿原则漫天要价,在最高法院采用并用原则的办法时代曾经出现过的所谓天价判决就会重现。面对这种忧虑, 笔者的疑问是, 在卫生部和最高法院看来, 我国医疗事故赔偿的水准, 我国患者的生命健康利益的实际价值, 到底是合情合理的, 还是低得不尽情理的? 所谓的漫天要价和天价判决, 难道真的已经到了离谱的地步, 并有四处蔓延之势, 以至于有必要在立法上对医疗事故赔偿的范围和标准作出现行条例这样的限制, 有必要在案件审理上排除民法通则的适用 ?
2. 关于国穷则人命贱的逻辑
关于我国老百姓的生命健康利益的损害赔偿问题, 长期以来, 有一种相当流行的观点, 那就是国穷则人命贱。在这种观点看来, 中国既然是个人口众多的穷国, 既然与那些人口不多的富国存在着如此明显的天壤之别, 那么, 对中国的老百姓而言, 他们可期待的生命健康利益的价值就应当远远低于富国老百姓所能期待的价值。如果有人不顾“贫穷”这个国情, 想要提高自己个人的生命健康价值, 那就是想入非非的漫天要价, 就是无理要求, 或者就是想借医疗事故来敲竹杠发横财。在笔者看来, 国穷则人命贱的逻辑尽管在某种意义上也许是无可奈何的命中注定, 但对于我国赔偿政策的制定和我国老百姓的生命健康利益的法律保障而言却是非常有害的。作为赔偿政策的制定机关和适用机关, 应当警惕和肃清这种观点的影响, 应当从人权保障的观点出发, 反省现行的赔偿政策和裁判方针所存在的问题, 探讨新的比较好的解决赔偿问题的方策。
3. 关于羊毛出在羊身上的比喻
在支持条例的限制赔偿规定的议论中, 有个听起来似乎非常通俗易懂实际上却令人难以理解的说明, 即“羊毛出在羊身上”。其意思是说, 医疗事故赔偿实际上是羊毛出在羊身上, 最终还是要分摊到所有患者身上,而不是由国家出资赔偿。因此,在审判实践中应适用条例所规定的较低赔偿标准,是可以理解的[62]。笔者的疑问是, ① 按照羊毛论的逻辑, 既然医疗侵权赔偿的最终拔毛者不是医疗机构而是广大患者, 那么, 医疗侵权赔偿制度在事实上岂不成了制裁广大患者的制度, 成了对医疗事故机构没有任何实质性的民事制裁意义的制度? 如果事实确实如此, 那么取消而不是限制医疗侵权赔偿不是更具有合理性吗? 我们有什么理由要让广大无辜的患者去当医疗事故机构的替罪羊, 为了某个特定受害者的损失而拔毛呢? 诸如消费者权益保护法和产品责任法那样的加重型或严格型的民事责任法, 由于会导致广大消费者被拔去更多的毛, 岂不都成了更不尽情理的法律? ② 羊毛论到底有多少事实根据呢? 它能够确切反映医疗损害赔偿金负担的实际状况吗? 它将医疗事故被害患者与广大患者的利益关系视为对立的关系, 这在事实上难道能够说得通吗? 羊毛论应当成为医疗事故赔偿政策的制定依据和医疗案件审理的法律适用选择的依据吗? ③ 医疗事故的被害患者会被羊毛论说服吗? 她们难道会为了其他患者的就医利益而作出自我牺牲, 心甘情愿地接受较低的赔偿标准吗? 广大患者会为了自己的就医利益而支持羊毛论吗? 她们难道会因此而放弃自己在遭遇医疗事故时请求完全赔偿的权利吗? 即便是医疗机构和医务人员, 她们会赞同羊毛论吗? 她们难道不怕一旦承认了羊毛论, 就等于承认了自己千方百计向广大患者转嫁赔偿负担, 因此必将招来社会舆论的强烈谴责吗?
4. 关于分配的公正论
答记者问所强调的双赢论也好, 卫生部汇报所主张的兼顾论也好, 都表明以公正•公平为医疗事故赔偿政策的价值取向, 反对不顾其他有关方面的利益, 只考虑对被害人的权利救济。在支持赔偿限制政策的一些文章中有一种观点叫做“分配的公正”。在这种观点看来,医疗侵权损害赔偿实质上是将医疗资源这一具有公共性的社会财富(由国家、社会和医疗机构所投入或创造的,为不特定多数患者所共享的财富)的一部分分配给医疗侵权的特定被害人个人。医疗侵权损害赔偿的范围和标准实质上就是在被害人个人和广大患者之间分配医疗资源这一社会财富的标准。赔偿范围越宽,赔偿标准越高,意味着流入被害人个人的口袋里的医疗资源就越多,为广大患者所共享的医疗资源就越少。如果将民法通则所体现的实际赔偿原则适用于医疗事故的赔偿,那么就可能会导致医疗资源在被害个人和广大患者之间的不公正的分配。条例限制赔偿就是从分配的公正这一观点出发调整医疗资源在被害个人和广大患者之间的分配关系,使其比较公正。
笔者承认, 医疗损害赔偿制度的设计,如同其他任何涉及到(无论是直接和还是间接的)社会性财富的分配问题的法制度的设计一样,应当考虑分配的公正。但是, 公正是一个相对性的观念, 利害关系的各方可能各有自己的公正观,并且可能互相对立,既定的对利害关系各方都是公正的客观标准并不存在。有利害关系的任何一方(包括代表国家投资利益的官方)都不应当把自己认为的公正说成是利害关系各方共有的公正。依笔者之见, 分配是否公正的问题, 与其说是实体问题还不如说是程序问题。法定的分配标准是否具有公正性, 只能以其是否是通过具有相当代表性的、公开并且民主的协商、交涉、表决的方式作出的为判断标准。
中图分类号:C913 文献标识码: A
Keyword: traffic safety audit; indicator system; u-weight analysis
1 研究背景与内容
交通安全审计是对已有或拟建的道路建设项目、交通工程项目及其它任何将与用路者发生相互影响的工程项目的项目方案所进行的正式的安全性能测试[1]。对现有道路的安全状况进行审计,可以全面地分析影响道路安全的因素,有针对性的消除安全隐患,有效地扩展道路的安全空间和“宽容度”。然而要进行交通安全审计,首先要有完备的审计的指标体系。而建立审计指标体系的重点是确定各指标的权重。
2 确定交通安全审计指标
本着科学、客观、完备、可行、实用、明确的原则,通过参考大量文献和笔者的经验初定指标如下:
交通量:车头间距
横断面:行车道宽度、路肩宽度、路拱横坡度、净空;
平面线形:平曲线半径、超高、加宽、平曲线长度、曲线转角、直线长度;
纵断面:纵坡坡度、坡长、竖曲线半径、竖曲线长度;
视距:停车视距、超车视距
路面:平整度、抗滑能力;
交叉口:类型、相邻交叉口间距、信号灯、冲突点;
交通设施:护栏、交通标线、照明设施、交通标志、渠化;
共分8个大类28个指标。
3 基于U型权重分析法计算各指标权重[2]
3.1 用系统比较法建立指标重要性判断矩阵
系统比较法就是以指标的重要性为参照标准,由多位评判者同时对各指标的重要性多值估量的评判方法[3]。下面由不同的专家对这些交通安全审计指标进行评分,评分的标准(自信程度)如下表所示:
表1 评分的自信程度描述
完全 绝大部分 大部分 基本 半数 小半数 完全不
10 9 8 7 5 3 0
由此构造的各指标权重评判表如下所示,笔者请三位专家针对西安市道路情况对所选指标进行评判,评判结果如下表所示:
表2 自信度评判表
指标 专家A 专家B 专家C
很重要 重要 一般 不重要 很重要 重要 一般 不重要 很重要 重要 一般 不重要
1 0.75 0.5 0.25 1 0.75 0.5 0.25 1 0.75 0.5 0.25
车头间距 8 8 10
行车道宽度 9 9 7
路肩宽度 7 9 9
路拱横坡度 8 9 7
净空 8 8 8
平曲线半径 8 8 8
超高 7 8 8
加宽 7 8 7
平曲线长度 5 8 8
曲线转角 5 8 8
直线长度 7 9 8
纵坡坡度 7 8 8
坡长 7 7 7
竖曲线半径 7 8 8
竖曲线长度 5 7 7
停车视距 8 9 9
超车视距 8 9 9
平整度 8 9 9
抗滑能力 8 9 7
类型 5 7 7
相邻交叉口间距 5 7 8
视距 7 8 7
冲突点 8 8 8
护栏 5 8 8
交通标线 8 9 8
交通标志 8 9 9
照明设施 7 9 9
渠化 10 10 7
3.2自信度分数向秩次转化
完成将自信度分数到秩次的转化,转化规则是:
(1)各大于0的量化分数,其等级越高,秩次越小;
(2)同属于一个等级的量化分数,其分数值越高,秩次越小;
(3)几个指标等级与量化分数相等,则用它们的秩次位置的平均数来表示他们的秩次[5]。转化结果如下表所示:
表3 秩次转化结果
指标 专家 R R2
A B C
车头间距 3.5 8.5 1 13 169
行车道宽度 10 11.5 18.5 40 1600
路肩宽度 23 21 21 65 4225
路拱横坡度 13 11.5 18.5 43 1849
净空 13 15.5 13.5 42 1764
平曲线半径 21 23 23 67 4489
超高 23 27 26.5 76.5 5852.25
加宽 26 27 28 81 6561
平曲线长度 27.5 27 26.5 81 6561
曲线转角 27.5 23 23 73.5 5402.25
直线长度 23 11.5 13.5 48 2304
纵坡坡度 17 15.5 13.5 46 2116
坡长 17 19 18.5 54.5 2970.25
竖曲线半径 17 15.5 13.5 46 2116
竖曲线长度 19.5 19 18.5 57 3249
停车视距 3.5 4 2.5 10 100
超车视距 13 4 2.5 19.5 380.25
平整度 3.5 4 2.5 10 100
抗滑能力 3.5 4 8 15.5 240.25
类型 19.5 25 25 69.5 4830.25
相邻交叉口间距 9 19 13.5 41.5 1722.25
视距 7.5 8.5 8 24 576
冲突点 13 15.5 13.5 42 1764
护栏 24 23 23 70 4900
交通标线 3.5 4 5.5 13 169
交通标志 13 11.5 10 34.5 1190.25
照明设施 7.5 4 2.5 14 196
渠化 1 1 8 10 100
3.3 计算肯德尔和谐系数
计算方法如下:
(1)
其中:表示R的离差平方和。
所以可得
A专家在对28个指标进行打分过程产生了20个相同的秩次,B专家产生了22个相同的秩次,C专家产生了22个相同的秩次。所以:
(2)
其中:i表示第i个专家,m表示以为专家在构造评判矩阵时产生的秩次。所以可得:
所以:
由公式
(3)
得:
其中:K表示所邀请的专家的位数,n表示指标的个数,在这里n=28。
3.4 进行肯德尔和谐系数检验
,查值表可以得到
因为
根据显著性检验的理论[5],当,,则在0.01显著水平上拒绝H0,采取H1,属于极其显著。可知所邀请的这几位专家对所选取的这28个交通安全审计指标的判断结果具有较高的一致性。所以,下面可以计算各指标的权重。
3.5 指标权重的计算
(1)将专家的自信度矩阵相加
(4)
其中为各个专家的评判矩阵,C为3位专家的评判矩阵之和。得
(2)计算指标的隶属度
(=1,2…,n)(5)
其中:为第个指标相对于很重要的隶属度,为第个指标重要性隶属于各等级的自信度,K为专家人数,是等级参数的转置矩阵,即:所以由公式可得:
表4 各指标相对于很重要的隶属度:
e1 e2 e3 e4 e5 e6 e7
0.8667 0.6250 0.4167 0.6000 0.6000 0.4000 0.2500
e8 e9 e10 e11 e12 e13 e14
0.1833 0.1750 0.3083 0.5417 0.5750 0.5250 0.5750
e15 e16 e17 e18 e19 e20 e21
0.4750 0.8667 0.8000 0.8667 0.8000 0.3583 0.5417
e22 e23 e24 e25 e26 e27 e28
0.7333 0.6000 0.3500 0.8333 0.6500 0.8333 0.9000
(3)将其正规化得到各个指标的权重如下表所示:
(4)组合构建交通安全审计指标体系如下:
表5 交通安全审计指标体系
交通量0.0533 车头间距 w10.0533 视距
0.1025 停车视距 w160.0533
横断面 0.1379 行车道宽度 w2 0.0385
路肩宽度 w3 0.0256 超车视距 w170.0492
路拱横坡度 w4 0.0369 路面
0.1025 平整度 w180.0533
净空 w5 0.0369 抗滑能力 w190.0492
平面线形0.1144 平曲线半径 w6 0.0246 交叉口
0.1025 类型 w200.0221
超高 w7 0.0154 相邻交叉口间距w210.0333
加宽 w8 0.0113 信号灯 w220.0451
平曲线长度 w9 0.0108 冲突点w23 0.0369
曲线转角 w100.0190 交通设施0.2195 护栏w24 0.0215
直线长度 w100.0333 交通标线w25 0.0513
纵断面0.1323 纵坡坡度 w120.0354 照明设施w26 0.0400
坡长 w130.0323 交通标志w27 0.0513
竖曲线半径 w140.0354 渠化w28 0.0554
竖曲线长度 w150.0292
其中:wi表示各指标的权重。
电子数据安全是建立在机安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
1利用网络及安全管理的漏洞窥探用户口令或电子帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。
2利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。
3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。
计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。
一、网络安全审计及基本要素
安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的问题。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。Www.21miSHu.
二、网络安全审计的程序
安全审计程序是安全监督活动的具体规程,它规定安全审计工作的具体内容、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。
安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。
1了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?
2了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。
3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。
安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计分析器。
安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。
三、网络安全审计的主要测试
测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
下面是对网络环境会计信息系统的主要测试。
1数据通讯的控制测试
数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文
件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的内容。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。
2硬件系统的控制测试
硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
3软件系统的控制测试
软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。
4数据资源的控制测试
数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。
5系统安全产品的测试
随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。
四、应该建立内部安全审计制度
[摘要]计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。
[关键词]网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(ChipOperatingSystem)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。
2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
(1)邮件防毒。采用趋势科技的ScanMailforNotes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是NotesDominoServer使用率最高的防病毒软件。
(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
(3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
(4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
3.动态口令身份认证系统
动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。
4.访问控制“防火墙”
单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域网出入口,实现这些重要部门的访问控制。
通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了单位网络服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。
5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。
SJW-22网络密码机系统组成
网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。
本地管理器(软件):是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。
中心管理器(软件):是一个安装于中心管理平台(Windows系统)上的对全网的密码机设备进行统一管理的系统软件。
6.安全审计系统
根据以上多层次安全防范的策略,安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层安全。
安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。
汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,面向企事业的网络管理人员而设计的一套网络安全产品,是一个分布在整个安全网范围内的网络安全监视监测、控制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。
①文件保护审计:文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。
②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。
(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。②监视键盘:在用户指定的时间段内,截获HostSensorProgram用户的所有键盘输入,用户实时控制键盘截获的开始和结束。
③监测监控RAS连接:在用户指定的时间段内,记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时,系统将自动进行报警或挂断连接的操作。
④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息(包括:TCP,UDP,NetBios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。
单位内网中安全审计系统采集的数据来源于安全计算机,所以应在安全计算机安装主机传感器,保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台,需要安装600个传感器。
7.入侵检测系统IDS
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国际入侵检测产品市场的蓬勃发展就可以看出。
根据网络流量和保护数据的重要程度,选择IDS探测器(百兆)配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其他网络违规活动。
8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户,I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。
联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
三、结束语
关键词:网络安全;审计安全;监控系统
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)16-3707-02
1 网络安全概述
网络安全性一直是人们关注的话题,同时也是网络体系中的薄弱环节之一,面对网络用户对网络安全性的高要求,做好网络安全工作十分重要。在网络体系中,网络安全主要包括以下几个方面:网络数据具有私有性,网络系统需要对网络数据进行保护,防止数据被非法侵入和利用;数据和信息的使用需要经过信息所有者的授权,网络系统需要保护数据在非授权情况下不被非法使用;网络信息可以进行访问控制,对网络资源的访问进行规范的控制。针对网络安全问题,常见的网络安全管理措施主要包括加密技术,授权管理以及访问控制管理等。还包括对网络安全日志的维护和检查,对安全日志进行创建和删除,建立网络日志的安全服务机制,相关安全信息等。
网络信息安全的实现,需要对网络信息的传输进行严格的审计,保证数据传输的规范。同时,还需要对网络操作行为进行监督,通过网络信息访问控制机制的建立来做好对网络信息的审计和监控工作,实现网络信息的安全性保障。网络安全的访问控制环节,主要通过访问限制的设置来实现对资源访问的控制,减少和及时发现非法入侵,网络信息安全体系中常见的访问控制系统主要有网络用户主体与客体间的安全访问规则等。通过对网络安全访问控制机制的建立,规范了网络信息访问秩序,确定了访问主体以及访问的权限等,防止未授权的非法访问。进而做好对网络信息的安全审计以及监控工作,确保网络信息安全。
2 安全审计和监控系统设计技术分析
1)Web Service技术
Web Service技术是Web应用技术的分支,通过该技术可以实现对网络信息的描述性以及模块化管理。通过信息定位以及等方式,Web Service可以进行数据请求以及数据处理等操作。当命令发出之后,Web Service就开始对任务的执行工作,通过网络信息中的各种Web Service应用程序来执行任务服务。综上所述,Web Service是网络信息环境中的一种应用程序,通过标准化互联网协议的使用,实现网络信息功能性纲领在互联网上的体现。其中使用的互联网协议主要有超文本传输协议(HTP)以及XML协议等。
2)XML数据处理
XML主要是指可扩展性的标记语言,属于标准通用标记语言的范畴。XML技术在互联网环境中,实现了跨平台数据操作和处理,是一种对数据内容依赖程度比较高的技术,在当下一些结构化的文档信息处理中应用的比较广泛。同时,XML属于比较简单的数据存储语言,对数据进行简单的标记和描述,标记可以通过特定的方式来建立,因此,利用XML技术对数据的处理比较好操作,而且处理方式比较灵活。通过可扩展标记语言可以在网络信息系统中建立共同信息格式以及共享格式等,主要应用在金融行业内部网以及其他网络体系中。例如,一些计算机制造商往往用同一种标准来进行计算机产品相关信息的定义,然后通过XML描述产品信息格式。通过这种标准数据描述方式,让使用户通过智能程序,来对各个计算机制造商的信息进行了解,最终通过比较来得出自己需要的计算机产品。
3) 软件开发和应用
网络安全环境下的安全审计以及监控系统的设计和开发需要软件平台来支持,通过软件系统的开发和应用,网络信息系统中的上层应用为一些同网络硬件以及操作系统无关的软件开发以及应用提供必要的环境支持。同时,软件平台也可以为用户的各种数据处理工作提供便利,例如数据访问、数据封装以及数据分析等。通过软件应用为上层透明数据访问提供了一个明确的接口。
3 网络安全审计以及监控系统的设计与实现
1)安全审计设计
网络安全中的安全审计主要包括以下几个步骤:首先需要对被审计单位的各项信息数据进行采集,采集过程中保证数据的全面性和完整性;其次,需要对采集的各种数据进行综合分析和处理,集合审计工作的具体需要将相关数据进行整合,然后转换成审计所需要的数据形式;最后还要对审计数据进行复核工作,复核工作主要通过计算机审计软件来完成。在安全审计设计过程中,数据采集环节是整个审计工作的前提和基础,只有完整、全面、准确以及及时的数据,才能有效的开展审计工作。常用的审计数据采集方式有三种,即直接读取数据、通过数据库连接件进行数据读取以及文件传输读取数据三种。其中,在直接读取数据这种数据采集方式中,一般通过审计软件来进行数据库的审计工作;在数据库连接件这种采集方式中,采集时也需要直接同被审计单位的数据库进行连接。因此,这两种数据采集方式具有一定的相似性,采用这两种方式进行数据采集时,首先需要对双方的数据存储格式进行了解,当采集过程中有一方的数据存储格式发生了变化,整个数据采集的存储格式都需要进行重新调整,在这种情况下,数据采集的效率就受到了影响,灵活性也降低了。此外,采集过程中直接同被采集单位的数据进行连接,也影响了被采集单位的数据安全和数据运行速度,进而影响了被采集单位的正常工作。因此,在进行数据采集工作时,需要采取第三种方式进行,由被采集单位进行数据格式的指定,然后将数据导出,避免同被采集方数据库的直接连接,在获得采集数据的同时也保障了被审计单位的信息安全,真正实现安全审计。
2)网络安全监控系统设计
在网络安全监控体系中,最主要的就是对网络操作对象进行监控,对网络操作的各种文件和数据进行监控,进而实现网络安全运行的目标。对操作对象的监控可以通过Windows程序来实现,工作原理为:利用Windows程序中的文件过滤驱动系统来对用户进程中的各种文件操作进行拦截,做好对网络数据访问的审核和控制,决定用户进程的访问权限以及访问方式,在这种监控环境下,网络环境中的文件安全得以保障和实现。通过网络文件监控可以实现对文件系统的过滤和管理,具体表现在:Driver Message Controller负责对监控系统的驱动以及通信,通过监控程序来进行消息发送;利用标签维护模块来进行安全标签的处理,比如添加和删除等,该模块主要用作文件访问日志的显示;此外,网络安全监控系统中的驱动程序消息控制模块主要借助CDriverMsgController类型的多用线程技术来实现,进而对驱动程序所监视的消息进行接收和发送等方面的处理。
4 结束语
随着网络信息技术的发展,网络信息安全问题也越来越突出,一些非授权网络信息访问以及非法网络入侵行为大量存在,严重影响了金融行业的网络信息安全,危及业务系统正常运行,甚至造成了信息泄露,系统数据被非法篡改等重大损失。做好网络安全维护工作十分重要,在安全的网络环境下开展安全审计工作以及系统监控工作时必须的,金融行业要做好安全审计以及监控系统的设计工作。通过安全审计工作的开展来保证金融行业的信息安全,通过监控系统来规范管理网络信息环境,进而打造安全的网络信息环境,保证金融行业及住房公积金行业的网络运行安全。
参考文献:
[1] 倪竹清.网络安全行为监控系统的探索与实践[J].中国传媒科技,2011(7).
关键词:信息管理系统 信息安全 系统安全建设
中图分类号:TP39 文献标识码:A 文章编号:1003-9082(2014)03-0001-02
一、引言
随着全球信息化不断在我国深化和发展,我国各地区、各行业使用信息系统开展工作的比例越来越大。一般来说,信息化程度越高,对信息管理系统的依赖性就越强,信息安全问题就越为突显和严重。而信息安全问题也正逐渐成为影响各企事业单位业务能否正常运行、生产力能否快速发展的重要因素之一。但是由于我国信息化建设起步相对较晚,与国外先进国家相比,无论在信息安全意识还是信息安全防护技术等诸多方面都还存在较大差距,各企事业单位的信息安全基本上均处于一个相对较为薄弱的环节。一旦信息管理系统中的个人信息和敏感数据发生丢失或者泄漏,可能会对自身造成无可估量的损失。因此,重点保障信息管理系统安全已成为各行各业的首要任务。信息管理系统安全建设应该系统地、有条理地进行全面规划,充分地、全方位地考虑安全需求和特性,从而达到各种安全产品、安全管理、整体安全策略和外部安全服务的统一,发挥其最大的效率,给予信息管理系统以最大保障。
二、信息管理系统安全建设原则
1.安全体系兼容性
安全体系有一个重要的思想是安全技术的兼容性,安全措施能够和目前主流、标准的安全技术和产品兼容。
2.信息管理系统体系架构安全性
系统的系统架构已经成为保护系统安全的重要防线,一个优秀的系统体系架构除了能够保证系统的稳定性以外,还能够封装不同层次的业务逻辑。各种业务组件之间的“黑盒子”操作,能够有效地保护系统逻辑隐蔽性和独立性。
3.传输安全性
由于计算机网络涉及很多用户的接入访问,因此如何保护数据在传输过程中不被窃听和撰改就成为重点考虑内的问题,建议采用传输协议的加密保护。
4.软硬件结合的防护体系
系统应支持和多种软硬件安全设备结合,构成一个立体防护体系,主要安全软硬件设备为防火墙系统、防病毒软件等。
5.可跟踪审计
系统应内置多粒度的日志系统,能够按照需要把各种不同操作粒度的动作都记录在日志中,用于跟踪和审计用户的历史操作。
6.身份确认及操作不可抵赖
身份确认对于系统来说有两重含义,一是用户身份的确认,二是服务器身份的确认,两者在信息安全体系建设中必不可少。
7.数据存储的安全性
系统中数据存储方面可以采取两道机制进行的保护,一是系统提供的访问权限控制,二是数据的加密存放。
三、信息管理系统安全建设内容
按照系统安全体系结构,结合安全需求、安全策略和安全措施,并充分利用安全设备包括防火墙、入侵检测、主机审计等,其建设内容主要有:
1.物理安全
机房要求保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染、电源故障、设备被盗、被毁等)破坏。
2.网络安全
利用现有的防火墙、路由器,实行访问控制,按用户与系统间的访问规则,决定允许或拒绝用户对受控系统进行资源访问。同时加强端口、拒绝服务攻击、网络蠕虫等的监控,保障系统网络运行的畅通。
2.1使用防火墙技术
通过使用防火墙技术,建立系统的第二道安全屏障。例如,防止外部网络对内部网络的未授权访问,建立系统的对外安全屏障。最好是采用不同技术的防火墙,增加黑客击穿防火墙的难度。
2.2使用入侵监测系统
使用入侵监测系统,建立系统的第三道安全屏障,提高系统的安全性能,主要包括:监测分析用户和系统的活动、核查系统配置和漏洞、评估系统关键资源和数据文件的完整性、识别已知的攻击行为、统计分析异常行为、操作系统日志管理,并识别违反安全策略的用户活动等功能。
3.主机安全
系统主机安全从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面考虑。
3.1主机身份鉴别
对登录操作系统的用户进行身份设别和鉴别,对操作系统和数据库系统设置复杂的登录口令,并且定期进行更换。同时对操作系统和数据库用户分配不同的用户分配不同用户名。
3.2访问控制
通过三层交换机和防火墙设置对系统服务器的访问控制权限。对服务器实现操作系统和数据库系统特权用户的权限分离,限制默认账号的访问权限,重命名系统默认账户,修改默认密码。
3.3安全审计
服务器操作系统本身带有审计功能,要求审计范围覆盖到服务器上的每个操作系统用户,审计内容包括重要用户行为、系统资源异常使用并进行记录。
信息管理系统也应考虑安全审计功能,记录系统用户行为,系统用户操作事件日期、时间、类型、操作结果等。
3.4入侵防范
利用入侵检测系统和防火墙相应功能,检测对服务器入侵行为,记录入侵源IP、攻击的类型、攻击的目标、攻击时间,并在发生严重的入侵事件时提供报警。
3.5恶意代码防范
在服务器上安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力。
3.6资源控制
在核心交换机与防火墙配置详细访问控制策略,限制非法访问。
4.应用安全
4.1安全审计
信息管理系统应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计,审计记录内容至少包括事件的日期、时间、发起者信息、类型、描述和结果等,保证无法删除、修改或覆盖审计记录。
4.2资源控制
信息管理系统应限制用户对系统的最大并发会话连接数、限制单个账户的多重并发会话、限制某一时间段内可能的并发会话连接数。
5.数据安全
系统数据安全要求确保管理数据和业务数据等重要信息在传输过程和存储过程中的完整性和保密性。对于数据库中的敏感数据,需对数据项进行加密,保证管理数据、鉴别信息和重要业务数据在传输过程与存储过程中完整性不受到破坏。
对数据进行定期备份,确保存储过程中检测到数据完整性错误时,具有数据恢复能力。必须采用至少两种手段进行备份,备份手段以整体安全备份系统为主,配合其他备份手段,如GHOST、TRUE IMAGE或操作系统和数据库管理系统本身的备份服务等。备份具体要求如下:
5.1各服务器专职管理员根据所管服务器的具体情况与整体安全备份系统专职管理员协调制订好所管服务器的备份计划及备份策略。
5.2整体安全备份系统专职管理人员必须组织各服务器专职管理员对各服务器每个季度进行一次整体灾备(冷备)。若某台服务器的配置需要发生较大变更,该服务器的专职管理员应在对该服务器实施变更前和圆满完成变更后,分别对该服务器做一次整体灾备,必要时整体安全备份系统专职管理员需对整体灾备提供协助。
5.3数据备份主要分为月备份、周备份、日备份及日志(增量)备份。月备份每月对各服务器的所有系统、目录及数据库做一次全备(热备)。周备份每周对各服务器的所有系统、目录及数据库做一次全备(热备)。日备份每天对各服务器的重要目录及数据库做一次备份。日志(增量)备份针对数据更新较频繁的服务器,每天进行多次增量备份。
5.4除日志(增量)备份外,其它各种备份以每一次独立执行的备份作为一个独立版本。每个独立版本的备份必须存储在独立的备份介质上,不能混合存储在同一套备份介质。整体灾备(冷备)和月备份一般要求保留至少能覆盖当年及上一年全年时间的所有版本,周备份要求保留至少最近5个版本,日备份要求保留至少最近4个版本,日志(增量)备份保留至少自上一次周备份以来的所有版本。
5.5备份介质应放在机房以外安全的地方保管。所有备份介质必须有明确、详尽的标签文字说明。
5.6整体安全备份系统专职管理员必须定时检查备份作业的运行情况,备份异常情况应尽快查明原因,解决问题并在值班登记本上详细记录。
四、安全制度建设
建设严格、完整的基本管理制度包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理机制几个方面。
安全管理制度:包括安全策略、安全制度、操作规程等的管理制度;管理制度的制定和;管理制度的评审和修订。
安全管理机构:包括职能部门岗位设置;系统管理员、网络管理员、安全管理员的人员配备;授权和审批;管理人员、内部机构和职能部门间的沟通和合作;定期的安全审核和安全检查。
人员安全管理:包括人员录用;人员离岗;人员考核;安全意识教育和培训;外部人员访问管理。
系统建设管理:包括系统定级;安全方案设计;产品采购和使用;自行软件开发;外包软件开发;工程实施;测试验收;系统交付;系统备案;等级测评;安全服务商选择。
系统运维管理:包括机房环境管理;信息资产管理;介质管理;设备管理;监控管理和安全管理中心;网络安全管理;系统安全管理;恶意代码防范管理;密码管理;变更管理;备份与恢复管理;安全事件处置;应急预案管理。
五、结束语
信息化建设已经涉及到国民经济和社会生活的各个领域,信息管理系统也成为各行各业信息化建设发展中的重要工具。如何保障信息管理系统安全从而保证信息安全是关系到国家安全、社会安全和行业安全的大问题。我们只有在实现信息安全的条件下,才能有效利用信息管理系统这个有力的工具提高生产力,推动社会的发展。本文通过对信息系统安全建设原则、安全建设内容和安全制度建设三方面较为详细的探讨,应该对于各企事业单位信息管理系统的安全建设有所帮助和借鉴。
参考文献
[1] 林国恩,李建彬,信息系统安全,电子工业出版社,2010-03
[2] Dieter Gollmann, Computer Security 2 edition, Wiley, 2006
[3]《信息系统安全等级保护基本要求》,中华人民共和国国家标准,GB/T 22239-2008
[4] 尚邦治等,做好信息安全等级保护工作,中国卫生信息管理杂志,2012.5
关键词:J2EE; 安全模型; JAAS; 设计方案
中图分类号:TN713.1 文献标识码:B
文章编号:1004-373X(2010)13-0107-03
Research and Design of Security Server Based on J2EE
YIN Feng-she,JIAO Lei
(Sh
nxi Polytechnic Institute, Xianyang 712000, China)
Abstract: The architecture and security demands of an application server based on J2EE are introducd. The security model of J2EE application server is presented. The main parts of the security model is discussed in detail. A design scheme of the scalable J2EE security server based on Java authentication and authorization service (JAAS) is proposed. The major security issues of J2EE application server were solved to meet the security requirements of J2EE.
Keywords: J2EE; security model; JAAS; design plan
J2EE应用服务器安全模型的核心是安全服务,安全服务为容器和组件提供安全认证、授权和审计服务,本文讨论了安全服务的架构,并给出了安全服务的主要部分:认证服务、授权服务、安全会话管理器和审计服务的设计。
1 安全服务架构
安全服务由以下几个主要部件构成:认证服务、访问控制服务、用户信息目录、安全策略库、审计服务、会话管理器、安全服务管理接口、安全服务管理控制台和安全服务客户。J2EE安全服务通过认证器、访问控制器和审计器3个接口向外界提供安全服务,而安全服务的安全元信息保存在用户信息目录和安全策略库中[1]。
为了让安全服务成为一个通用的客户无关的服务,安全服务独立于J2EE环境运行,这样可以为不同类型的应用服务器和应用程序提供访问控制机制。
2 认证器和用户信息目录
认证器[2]的目的是将外界提供认证信息的用户映射为系统平台内部的用户,通过认证信息标识用户的身份。为了保证认证机制的可扩展性和灵活性,认证器在设计时有以下原则:
(1) 认证器需要具备对不同类型认证机制的潜在支持,如密码认证、证书认证。
(2) 认证器对同一种认证机制必须能够支持多种不同类型的用户信息目录。
(3) 必须提供对一个用户多种认证方式的支持。
(4) 必须支持现存遗留的用户信息目录和认证机制。
由于JAAS[3]实现了标准Plugable Authentication Module(PAM)框架的可插拨认证机制,采用JAAS作为认证服务的实现机制,将JAAS的不同认证域映射为认证服务的不同认证机制,而将JAAS认证域中的LoginModule 映射为不同的用户信息目录认证支持。
认证器对不同认证机制的支持可以采用对象模型方式建模[4],对象模型如图1所示。
认证器Authenticator 的接口定义如下:
public interface Authenticator{public SessionToken authenticate(Principal principal, Credential credential) throws AuthenticationException;}
认证器的Authenticate()方法完成用户认证功能,不同的认证机制传入不同类型的Principal和Credential 值,认证器根据传入Principal 和Credential 的类型,自动选择适合的认证方式,映射到JAAS认证域,并使用JAAS进行认证。同时通过将LoginModule 的标志设置为sufficient,保证必须至少有一个用户信息目录认证通过才能通过系统认证。系统应该提供一个基础的LoginModule 基类,用于收集所有必须的用户信息,从而提供构造适合的令牌需要的用户信息。
图1 支持多种认证机制的对象模型
用户信息目录中的用户信息包含用户认证需要的特定认证的信息以及其他的信息,这些信息和一个特定的系统用户关联,系统用户通过一个全局惟一的用户标识符ID来标识。用户认证完成之后,访问系统的用户被映射为系统中惟一标识的用户,该用户标识和用户认证信息在建立安全会话过程中与安全会话建立关联。
3 安全会话和安全会话管理器
当用户认证之后,用户认证状态的安全持久保持和验证通过安全会话进行,认证器认证用户后会使用会话管理器建立一个安全会话,将所有用户的安全信息和会话绑定。会话管理器[5]负责统一管理所有用户认证之后的安全会话,会话管理功能可分为两类:操作型和管理型。会话管理对象模型如图2所示。
图2 安全会话管理对象模型
用户认证完之后,安全会话管理器给用户建立一个安全会话,安全会话通过返回给用户的会话令牌标识,会话令牌包括的信息有:认证方式、认证方式相关信息、用户标识符、认证Principal和Credential 等,安全会话上下文由用户获得的安全令牌表示。
在用户退出系统时,会话管理器撤销用户会话,并删除所有用户登录后生成的信息。在用户访问控制过程中,用户相关的安全信息可以通过用户会话的会话令牌获得。
4 访问控制器和访问控制策略
访问控制器的目的是提供对多种不同类型资源各种级别的访问控制,它使用认证之后用户的标识和安全策略库中的安全访问控制策略元信息来判断登录系统的用户有无对特定资源的特定的访问权限,它所采用的是声明式访问控制机制。
为了提供访问控制服务的可扩展性和灵活性,访问控制器的设计必须遵循以下原则[6]:
(1) 能够扩展支持多种不同类型的访问控制策略,如基于角色的访问控制、基于规则的访问控制;
(2) 必须能够提供对不同类型策略库的支持,如基于XML 文件的策略库和基于LDAP 的策略库;
(3) 必须能够提供对各种不同类型的资源进行访问控制,提供对各种定制权限和定制资源的管理;
(4) 访问控制机制必须独立于认证器所采用的认证机制,即与用户的认证方式无关。
访问控制机制的核心是访问控制策略,参考文件系统的访问控制策略[7],将资源使用目录结构按名字空间以层次型结构组织,并对层次结构中的所有的节点配置各种类型的安全访问控制策略,这样,安全访问控制策略按照资源的层次组织方式为基础进行组织。可以将资源或者按资源的类型,或者按资源所属的应用程序包划分为多个名字空间。
资源通过系统惟一的统一资源标识符URI标识,URI的名字组织方式采用资源层次结构中的资源层次名字统一组织,这样在安全策略库中每一个资源都有特定的标识符来惟一表示。
与资源相关的还有权限问题,不同的资源其可访问的权限是不一致的。对于Web资源,可访问的权限限于几种标准的HTTP方法,但是对于EJB资源[8],不同的EJB组件可以被外界调用的方法是不一致的。为了使安全访问控制系统支持不同类型的权限,提供权限的扩充,图3给出针对不同类型资源的权限模型。
图3 权限的抽象模型
Right 抽象了所有的权限,各种不同类型资源的特定权限通过扩展Right 插入安全服务系统中。所有与特定资源类型相关的权限信息被封装在特定类型的Right 扩展类中。
访问控制器AccessController 完成对资源访问的授权检查,它通过使用当前的安全会话、需要访问的资源对象和需要的权限对访问策略检查完成。访问控制器的接口定义如下:
public interface AccessController {public void check(SessionToken token,Resource resource,Right right) throws AuthorizationException; }
5 安全审计
安全审计[9]的目的是对用户的认证过程、认证之后的安全活动、对资源访问控制的安全授权过程以及管理员对安全策略库的管理过程等所有涉及到安全的活动进行记录。
安全服务支持各种类型的审计策略,通过标准的接口,可以按照访问的用户、被访问的资源或者进行的操作进行审计的控制,审计器使用安全服务上的审计策略来控制和实施审计过程。审计日志记录了所有的审计信息,通过安全管理接口,可以浏览系统所有安全相关的审计记录。通过一个标准的接口,安全服务支持各种类型的审计日志实现。审计机制的对象模型如图4所示。
图4 可扩展的审计模型
6 安全管理接口和安全管理控制台
安全管理的目的是提供对认证机制、授权机制和审计机制的相关信息进行配置和管理。对认证机制的配置和管理主要涉及JAAS域认证映射、用户信息目录配置、用户信息管理,其目的是提供针对不同应用需求为用户定制认证机制和用户信息目录。
为了提供上面提到的对认证、授权和审计机制的管理目标,安全服务管理应该能够提供如下的功能:
(1) 获得某资源相关的所有安全访问控制策略;
(2) 添加和删除安全访问控制策略;
(3) 获得某资源的所有可能的权限;
(4) 对被管理资源添加和删除权限;
(5) 添加新的资源类型;
(6) 添加、删除用户;
(7) 添加、删除审计策略。
由于所有的认证策略、访问控制策略和审计策略都存储在安全策略库中,安全管理的过程实际上就是对安全策略库的管理。安全管理接口通过安全策略库接口对各种遵循标准接口的安全策略库进行统一管理。安全管理对象模型[10]如图5所示。
图5 安全管理对象模型
PolicyManager包装了所有的安全管理相关的操作,通过PolicyManager接口可以对策略库进行操作完成上面提到的功能。
把对安全策略库及其他安全信息的管理功能包装成一个API接口,其优点是可以对这些API的访问设置安全策略,如授权策略、审计策略。这样系统的安全控制机制就可以控制和跟踪管理员对系统的安全管理过程。
7 结 语
安全访问控制是中间层应用服务器提供给运行时组件的重要功能,这里提出的J2EE应用服务器安全机制的架构解决了J2EE应用服务器的主要安全问题,满足了J2EE的安全需求。同时,该安全架构从设计上具有可移植、通用性、可扩展性和灵活性。
参考文献
[1]Taligent Inc.. Building object-oriented frameworks[ M] . [ S.l.] : Taligent Inc., 2005.
[2]PERRONE Paul J.J2EE构建企业系统专家级解决方案[ M] .张志伟,谭郁松,张明杰,译.北京:清华大学出版社,2001.
[3]LI Gong.Java 2平台安全技术――结构、API设计和实现[ M] .王韵凯,石磊,译.北京:机械工业出版社,2000.
[4]Jamie Jaworski.Java安全手册[ M] .邱仲潘,译.北京:电子工业出版社,2007.
[5]LAI Charlie, LI Gong, KOVED Larry, et al. User authentication and authorization in the Java(TM) platform[ C] //CSAC. Processings of the 15th Annual Computer Security Applications Conference. AZ: CSAC, 2008: 51-59.
[6]WOLFGANG Pree. Design patterns for object-oriented software development[ M] . [ S.l.] : Addison-Wesley Publishing, 2008.
[7]VOGEL Andreas. Enterprise application for the net with EJB, CORBA and XML[ M] . [ S.l.] : Inprise Corporation,2005.
[8]Tanenbaum A S.分布式操作系统[ M] .陆丽娜,伍卫国,刘隆国,等译.北京:电子工业出版社,1999.
电子政务系统的应用软件一般规模比较大,软件在应用过程中面向的用户较多,系统结构和业务流程相对复杂,以Web应用为主要实现方式。因而,系统安全常见的风险主要有Web应用的SQL注入漏洞、表单绕过漏洞、上传绕过漏洞、权限绕过漏洞、数据库下载漏洞等。同时也常常存在应用系统管理员账户空口令或弱口令、未设置应用账户口令复杂度限制、无应用系统登录和操作日志等风险。在软件应用安全层面,安全方面的保证没有统一的方法和手段。在保证整个系统安全运行过程中针对信息安全的部分,如对数据库访问安全,访问控制,加密与鉴别等应用层面的安全防护,主要从客户端避免和减少人为非法利用应用程序,从应用软件设计、实现到使用维护,以及应用软件对系统资源、信息的访问等方面保证安全。
二、软件应用安全要求与技术防护
2.1身份鉴别与访问控制
用户身份认证是保护信息系统安全的一道重要防线,认证的失败可能导致整个系统安全防护的失败。电子政务系统的用户对系统资源访问之前,应通过口令、标记等方式完成身份认证,阻止非法用户访问系统资源。从技术防护的角度来说,软件应保障对所有合法用户建立账号,并在每次用户登录系统时进行鉴别。软件应用管理员应设置一系列口令控制规则,如口令长度、口令多次失败后的账户锁定,强制口令更新等,以确保口令安全。软件应用中对用户登录全过程应具有显示、记录及安全警示功能。用户正常登录后,为防止长时间登录而被冒用等情况,系统应有自动退出等登录失效处理功能。此外,应用系统需要及时清除存储空间中关于用户身份的鉴别信息,如客户端的cookie等。系统软件应用中的文件、数据库等客体资源不是所有用户都允许访问的,访问时应符合系统的安全策略。系统中许多应用软件在设计和使用过程中经常会有权限控制不精确,功能划分过于笼统等现象,影响了系统的安全使用。目前,从应用软件的研发和技术实现来看,授权访问控制机制多采用数据库用户和应用客户端用户分离的方式,访问控制的粒度达到主体为用户级,客体为文件、数据库表级。在分配用户权限时,用户所具有的权限应该与其需使用的功能相匹配,不分配大于其使用功能的权限,即分配所谓“最小授权”原则。对于系统的一些特殊用户或角色(如管理和审计)如分配的权限过大,则系统安全风险将过于集中,因此,应将特别权限分配给不同的用户,并在他们之间形成相互制约的关系。
2.2通信安全
电子政务系统应用软件的设计、研发以及应用过程中,需要重点关注通信安全,特别是对通信完整性的保护。除应用加密通信外,通信双方还应根据约定的方法判断对方信息的有效性。在信息通信过程中,为使通信双方之间能正确地传输信息,需要建立一整套关于信息传输顺序、信息格式和信息内容等的约定,因为仅仅使用网络通信协议仍然无法对应用层面的通信完整性提供安全保障,还需在软件层面设计并实现可自定义的供双方互为验证的工作机制。而且,为防止合法通信的抵赖,系统应具有在请求的情况下为数据原发者或接收者提供数据原发或数据接收证据的功能。为保障信息系统通信的保密性,应用软件需具备在通信双方建立连接之前,首先利用密码技术进行会话初始化验证,以确保通信双方的合法性的能力。其次,在通信过程中,能保证选用符合国家有关部门要求的密码算法对整个报文或会话过程进行加密。通信双方约定加密算法,对信息进行编码和解码。此外,应用软件中需设置通话超时和自动退出机制,即当通信双方中有一方在一段时间内未做任何响应,这表明可能存在通信异常情况,另一方能够自动结束会话,以免造成信息在通信过程中的泄露。
2.3安全审计
安全审计通过采集各种类型的日志数据,提供对日志的统一管理和查询,使用特定规则,对系统软件应用状态实时监视,生成安全分析报告。安全审计的应用,能够规范系统用户的软件应用行为,起到预防、追踪和震慑作用。安全审计应用要覆盖所有用户,记录应用系统重要的安全相关事件,包括重要用户行为、系统资源的异常使用和重要系统功能的执行等。记录包括事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息,并有能力依据安全策略及时报警和中断危险操作。此外,审计记录应受到妥善保护,避免受到未预期的删除、修改或覆盖等操作,可追溯到的记录应不少于一年。在日常审计的基础上,应通过分析审计记录,及时发现并封堵系统漏洞,提升系统安全强度,定位网络安全隐患的来源,举证系统使用过程中违法犯罪的法律、刑事责任。电子政务系统软件应用安全审计可结合网络审计、数据库审计、应用和运维日志审计进行,几乎全部需要定制开发。
2.4系统资源控制
电子政务系统的资源使用主要体现在CPU、内存、带宽等资源的使用上,在这个过程中,除了系统软件以外,应用软件也需要建立一组能够体现资源使用状况的指标,来判断系统资源是否能满足软件应用的正常运行要求,当系统资源相关性能降低到预先规定的最小值时,应能及时报警。并对资源使用的异常情况进行检测,及时发现资源使用中的安全隐患。系统资源应保证优先提供给重要、紧急的软件应用。因此,在资源控制的安全策略上应设定优先级,并根据优先级分配系统资源,从而确保对关键软件应用的支持。技术实现上设计用户登录系统时,软件为其分配与其权限相对应的连接资源和系统服务,为防止系统资源的重复分配,应禁止同一用户账号在同一时间内并发登录,并且,在用户登录后防止长时间非正常占用系统资源,而降低系统的性能或造成安全隐患,通常设计根据安全策略设置登录终端的操作超时锁定和鉴别失败锁定,并规定解锁或终止方式。同样,系统对发起业务的会话分配所用到的资源,也采用根据安全属性(用户身份、访问地址、时间范围等)允许或拒绝用户建立会话连接,对一个时间段内可能的并发会话连接数和单个用户的多重并发会话数量进行限制。在系统整体资源的使用上,对最大并发会话连接数进行限制。此外,对电子政务系统被删除的文件等的剩余信息,特别是涉及国家秘密、敏感信息的内容,一定要重点关注并加强安全保护。可采用下列技术实现保护:(1)采用先进的磁盘读写技术对磁盘的物理扇区进行多次反复的写操作,直到擦写过后的磁盘扇区内数据无法恢复;(2)根据不同的分区格式进行采用不同的数据销毁处理算法,对文件在磁盘上所有存放位置进行逐个清除,确保文件不会在磁盘上留下任何痕迹;(3)进行目录、剩余磁盘空间或整个磁盘的数据销毁,销毁后的目录、剩余磁盘空间或者整个磁盘不存在任何数据,无法通过软件技术手段恢复。
2.5软件代码安全
在电子政务系统应用软件开发之前,要制定应用程序代码编写安全规范,要求开发人员遵从规范编写代码。应用程序代码自身存在的漏洞被利用后可能会危害系统安全。因此,应对应用软件代码进行安全脆弱性分析,以帮助其不断改进完善,从而有效降低软件应用的安全风险。研发工作结束后,应及时对程序代码的规范性进行审查,以查找其设计缺陷及错误信息。代码审查一般根据需要列出所需资料清单,由应用软件使用方收集并提供相应的材料。代码测试人员与开发人员书面确认测试内容和过程,配置运行环境,对代码进行预编译操作,确认可执行使用。然后使用特定的测试工具进行代码的安全测试操作,对测试结果进行分析。对发现的问题进行风险分析和估算,制作软件缺陷、问题简表,撰写测试报告并交付开发方修改,并对已经整改的部分进行复测。值得注意的是,那些已经通过安全测试的代码,还需要运行在通过安全测试的支撑平台、编译环境中才能实现真正的安全运行。
2.6软件容错
电子政务系统中应用软件的高可用性是保障系统安全、平稳运行的基础。软件容错的原理是通过提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现错误,并能采取补救措施。对系统软件应用安全来说,应充分考虑到软件自身出现异常的可能性。软件在应用过程中,除设计对软件运行状态的监测外,当故障发生时能实时检测到故障状态并报警,防止软件异常的进一步蔓延,应具有自动保护能力,即当故障发生时能够自动保存当前所有状态。此外,操作人员对应用软件的操作可能会出现失误。因此,系统应对输入的数据、指令进行有效性检查,判断其是否合法、越权,并能及时进行纠正。关键功能应支持按照操作顺序进行功能性撤销,以避免因误操作而导致的严重后果。
三、结语
购物车(0)