开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇软件安全论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】软件安全漏洞检测技术
信息技术快速发展,尤其Internet的广泛应用,在如今大数据时代,软件是计算机技术一种,在其软件开发过程中,计算机软件存在一定漏洞,要保障计算机软件的安全性,必须提高计算机软件的检测技术,提升计算机软件性能,是提高计算机网络安全的有效途径。
2计算机软件安全漏洞检测技术解读
2.1静态程序解析
静态程序解析是软件安全常用的检测技术,这种检测技术是通过程序代码,通过利用机器语言、汇编语言等进行编译,利用反代码形式,对检测出来的软件漏洞,及时进行修复,提高软件性能,在实际应用过程中,涉及到程序设计中的语言、函数、数组、过程、集合、文件等。利用软件技术解决软件漏洞问题,静态程序解析对程序设计起到保护作用,检测软件漏洞,提升计算机软件性能,这是一种常用的计算机软件安全漏洞检测技术,通过该技术对软件漏洞进行合理检测,提高软件性能,延长软件的生命周期。
2.2利用逻辑公式对程序性质进行表达
根据程序的性质,对计算机软件漏洞进行检测,判断其中的应用能力,逻辑公式能对计算机软件的性能进行检测,检测其的合法性,是否存在软件漏洞,有的软件漏洞是需要升级与更新软件就可以解决的,有的是出现软件错误,必须合理采用措施,解决软件漏洞问题。其中的公理化方法的逻辑是完整的体系,其中的每个公式都是由单个程序语句和其前后置断言共同构成,具体理论当中只有一条赋值公理,形式演算系统以一阶谓词逻辑为基础,各自为顺序、分支以及循环指令增加了相应的演算法则。公理化方法已经被证明具有较强的可靠性和完整性,但匹配的形式演算系统存在半可判定的情况。程序的正确性涉及程序设计人员利用逻辑公式对程序对应的功能规约展开描述,另外一个问题就是要为循环体确定循环不变式。逻辑公式的应用提高了逻辑判断能力,在利用语句进行科学判断,检测计算机软件是否存在漏洞,根据逻辑公式的判断能力,检测软件是否存在漏洞,如果存在漏洞,对其合理的进行修补,解决软件漏洞问题,提升软件性能,完善软件功能。
2.3测试库技术
测试库技术是计算机软件检测中常用技术,对解决计算机软件漏洞起到帮助作用。测试库技术是检测计算机软件中的核心部件,判断计算机软件是否存在漏洞。利用测试库技术只能对动态内存操作函数导致的错误进行判定。而且其主要对运行过程中输入数据进行监控,发现其中的弱点。这种检测并不是从整体上进行判定。这也表明检测过程只是验证BUG是否被发现,但是无法证实BUG的存在。使用这项技术对于普通应用程序而言,并不会存在任何兼容问题。使用测试库技术的主要优势不存在误报。从性能上对这个技术展开分析,其性能消耗较大,从其工作原理很容易能推导出这个结论。利用测试库技术检测计算机软件是否存在漏洞,是所有检测技术中最科学的,也是最准确的,但其测试有一定难度,对计算机软件本身也是一种伤害,提高计算机软件性能,必须合理的利用软件的检测技术,科学的选择检测技术,有目的的进行检测软件是否存在漏洞,科学的解决软件漏洞问题,提高软件性能。
2.4源码改编
利用软件漏洞检测技术,检测出计算机软件存在一定漏洞,没有合理方法进行漏洞修复,就有必要根据软件漏洞的阶段,去修改程序的源代码,这种源码改编技术,是彻底解决计算机软件漏洞的最根本方法,该检测技术对人员的要求很高,能利用其它技术检测出软件漏洞,能利用源码改编技术进行修改,这是计算机软件检测技术的高级阶段,是计算机软件发展到一定程度的需要,也是社会发展对计算机软件技术提出的新要求。
总之,计算机软件技术存在一定漏洞,要解决计算机软件漏洞,必须利用软件检测技术,及时检测,发现问题要及时解决,但在计算机软件发展的过程中,计算机软件肯定存在一定问题,必须科学的合理解决计算机软件的安全问题,提高对软件安全认识,增加计算机软件的应用性,符合现代计算机软件技术发展需要。
参考文献
[1]许跃颖.计算机软件中安全漏洞检测技术及其应用[J].电子制作,2016(02).
[2]颜汉权.基于模糊测试的软件漏洞检测方法[J].求知导刊,2015(11).
[3]高妍.计算机软件安全漏洞检测技术与应用[J].计算机光盘软件与应用,2014(04).
[4]陈斯,卢华.计算机软件中安全漏洞检测技术及其应用[J].电子技术与软件工程,2016(11).
[5]王垌尧.计算机软件安全漏洞检测技术与应用[J].黑龙江科技信息,2016(09).
作者简介
刘璇(1975-),女,辽宁省沈阳市人。大学本科学历、硕士学位。现为辽宁现代服务职业技术学院副教授。研究方向为计算机应用。
关键词:无线射频识别系统,安全,标签
0引言
在RFID系统里,RFID标签通过读写器把标签数据读取出来,传送给RFID应用软件进行相应的数据处理,然后再通过互联网在各个应用环节“交流”信息,从而实现商品信息的流通,如图1所示。
图1RFID系统结构图
RFID的应用越来越广泛,它像计算机网络一样也存在着安全隐患,如果不能很好地解决RFID系统的安全问题,随着应用扩展,未来遍布全球各地的RFID系统安全可能会像现在的网络安全难题
一样考验人们的智慧。随着RFID芯片的功能越来越复杂,它们受到攻击的危险也越高。这些安全问题将会严重阻碍RFID系统的应用推广。
因此,在RFID技术大规模应用之前有必要提前解决预计出现的安全及隐私问题或者把这种危害降低到相对低点。
1存在的安全隐患
RFID系统和其他信息系统一样存在许多安全隐患,这些隐患无疑威胁着RFID系统的正常运行,并且不同于其他信息系统的安全问题。根据上边的RFID系统结构图,我们把系统存在的安全问题分为三类:标签集安全、软件级安全和网络级安全,下面分别分析这三种安全隐患。
1.1标签级安全
目前RFID处于初级起步阶段,标签级安全主要集中在以下三个方面:
(1)对电子标签信息的盗读和篡改[2]
在篡改电子标签内数据方面,存在非法者改写或是重置标签内容的威胁。破坏者也可以通过破坏一组标签的有效工作性能,从而可能使整个供应链陷入瘫痪状态,因此存在标签数据被篡改的危险。
(2)读写器受到干扰或其他攻击
由于RFID的开放式环境,非法用户通过发射干扰信号来影响读写器读取信号,或用其他方式释放攻击信号直接攻击读写器,使读写器无法接收正常的标签数据。
(3)对环境的适应性
由于零售业和物流业的RFID应用环境比较复杂,因此需要RFID具有较强的适应性,包括能够在存在非恶意的信号干扰、金属干扰、潮湿以及一定程度的遮挡等。
1.2软件级安全
数据进入后端系统之后,则属于传统应用软件安全的范畴。在这一领域具有比较强的安全基础,有很多手段来保证这一范畴的安全。。
1.3网络级安全
RFID系统中标签数据进入系统软件,然后再经由现有的Internet网络传输。在的Internet网络也存在很多安全隐患,这是Internet安全的问题。
2主要技术对策及分析
RFID系统存在三个不同层面上的安全隐患:标签、软件、网络。尽管与计算机和网络的安全问题类似,但实际上RFID的安全问题要严峻得多。RFID技术本身就包含了比计算机和网络中更多更容易泄密的不安全节点。对于网络和软件安全方面我们已经耳熏目染,这里只讨论RFID系统特有的安全问题即标签级安全的对策。
RFID芯片本身就存在一些需要我们解决的安全难题。由于RFID芯片很小,内存和存储容量也同样小,这就限制了它能够容纳的数字和加密密钥的长度,从而使它很难实施进行强大加密所需要的公共密钥交换等事情[3]。
标签级安全对策主要有以下几种:
(1)只读标签
这种方式消除了数据被篡改和删除的风险,但仍然具有被非法阅读的风险。
(2)限制标签和读写器之间的通信距离
采用不同的工作频率、天线设计、标签技术和读写器技术可以限制两者之间的通信距离,降低非法接近和阅读标签的风险,但是这仍然不能解决数据传输的风险还以损害可部署性为代价。
(3)实现专有的通信协议
在高度安全敏感和互操作性不高的情况下,实现专有通信协议是有效的。它涉及到实现一套非公有的通信协议和加解密方案。基于完善的通信协议和编码方案,可实现较高等级的安全。但是,这样便丧失了与采用工业标准的系统之间的RFID数据共享能力[4]。
(4)屏蔽
可以使用法拉第网来屏蔽标签,使其丧失了RF特征。。在不需要阅读和通信的时候,这也是一个主要的保护手段,特别是包含有金融价值和敏感数据的标签的场合,可以在需要通信的时候解除屏蔽。(5)使用销毁指令(KillCommand)
如果标签支持Kill指令,当标签接收到读写器发送的Kill命令便会将自己销毁,无法被再次激活,以后它将对读写器的任何指令都无法反应。特别是在零售场合,消费者可以在购买产品后执行Kill命令使标签失效,从而消除了消费者在隐私方面的顾虑。但是使用这种方式影响到商品的反向跟踪,比如退货、维修和售后服务等。因为标签卷标已经无效,相应的信息系统将不能再识别该标签的数据。
(6)使用休眠指令(Sleep)
当支持休眠命令的标签接收到读写器传来的休眠(Sleep)指令,标签即进入休眠状态,不会响应任何读写器的操作;当标签收到读写器的唤醒(WakeUp)命令才会恢复正常。
(7)物理损坏
物理损坏是指使用物理手段彻底销毁标签,并且不必像杀死命令一样担心标签是否失效,但是对一些嵌入的、难以接触的标签则难以做到。
(8)认证和加密
可使用各种认证和加密手段来确保标签和读写器之间的数据安全[5]。读写器操作标签时必须同时发送密码,标签验证密码成功才响应读写器,之前,标签的数据一直处于锁定状态。更严格的还可能同时包括认证和加密方案。
(9)选择性锁定[6]
选择性锁定克服或者平衡了以上各种方法的缺点,也消除了加密和认证方案带来的高成本性,这一方法在安全性和成本之间取得了较好的平衡。需要的时候,Blocker标签可以防止其他读写器读取和跟踪其附近的标签,而在不需要的时候,则可以取消这种阻止,使标签得以重新生效。
以上这些方法各有自己的特色和不足,没有任何一个单一的手段可以彻底保证RFID应用的安全,所以必须针对不同应用灵活选择和组合采用综合性的解决方案,考虑成本和收益之间的关系。
3结束语
参考文献:
[1]甘勇,郑富娥,吉星.RFID中间件关键技术研究[J].电子技术应用,2007,33(9):130-132.
[2]蒋文娟.RFID存在的隐私问题及应用建议[J],计算机安全2005(10):21-22
[3]杨志和.基于中间件和RFID技术的物流管理系统的应用研究[D]:硕士学位论文.广西:广西大学.2006:30-45
[4]周永彬,冯登国.RFID安全协议的设计与分析[J].计算机学报,2006,4:7-8
[5]李晓东.射频识别技术中的隐私安全问题及策略[J].微电子学与计算机.2005:137-140
[6]RFIDPrivacyWorkshop,IEEESECURITY&PRIVACY,MARCH/APRIL2004,p48-50
论文摘要:走进新世纪,科学技术发展日新月异,人们迎来一个知识爆炸的信息时代,信息数据的传输速度更快更便捷,信息数据传输量也随之增加,传输过程更易出现安全隐患。因此,信息数据安全与加密愈加重要,也越来越多的得到人们的重视。首先介绍信息数据安全与加密的必要外部条件,即计算机安全和通信安全,在此基础上,系统阐述信息数据的安全与加密技术,主要包括:存储加密技术和传输加密技术;密钥管理加密技术和确认加密技术;消息摘要和完整性鉴别技术。
当前形势下,人们进行信息数据的传递与交流主要面临着两个方面的信息安全影响:人为因素和非人为因素。其中人为因素是指:黑客、病毒、木马、电子欺骗等;非人为因素是指:不可抗力的自然灾害如火灾、电磁波干扰、或者是计算机硬件故障、部件损坏等。在诸多因素的制约下,如果不对信息数据进行必要的加密处理,我们传递的信息数据就可能泄露,被不法分子获得,损害我们自身以及他人的根本利益,甚至造成国家安全危害。因此,信息数据的安全和加密在当前形势下对人们的生活来说是必不可少的,通过信息数据加密,信息数据有了安全保障,人们不必再顾忌信息数据的泄露,能够放心地在网络上完成便捷的信息数据传递与交流。
1信息数据安全与加密的必要外部条件
1.1计算机安全。每一个计算机网络用户都首先把自己的信息数据存储在计算机之中,然后,才进行相互之间的信息数据传递与交流,有效地保障其信息数据的安全必须以保证计算机的安全为前提,计算机安全主要有两个方面包括:计算机的硬件安全与计算机软件安全。1)计算机硬件安全技术。保持计算机正常的运转,定期检查是否出现硬件故障,并及时维修处理,在易损器件出现安全问题之前提前更换,保证计算机通电线路安全,提供备用供电系统,实时保持线路畅通。2)计算机软件安全技术。首先,必须有安全可靠的操作系统。作为计算机工作的平台,操作系统必须具有访问控制、安全内核等安全功能,能够随时为计算机新加入软件进行检测,如提供windows安全警报等等。其次,计算机杀毒软件,每一台计算机要正常的上网与其他用户交流信息,都必须实时防护计算机病毒的危害,一款好的杀毒软件可以有效地保护计算机不受病毒的侵害。
1.2通信安全。通信安全是信息数据的传输的基本条件,当传输信息数据的通信线路存在安全隐患时,信息数据就不可能安全的传递到指定地点。尽管随着科学技术的逐步改进,计算机通信网络得到了进一步完善和改进,但是,信息数据仍旧要求有一个安全的通信环境。主要通过以下技术实现。1)信息加密技术。这是保障信息安全的最基本、最重要、最核心的技术措施。我们一般通过各种各样的加密算法来进行具体的信息数据加密,保护信息数据的安全通信。2)信息确认技术。为有效防止信息被非法伪造、篡改和假冒,我们限定信息的共享范围,就是信息确认技术。通过该技术,发信者无法抵赖自己发出的消息;合法的接收者可以验证他收到的消息是否真实;除合法发信者外,别人无法伪造消息。3)访问控制技术。该技术只允许用户对基本信息库的访问,禁止用户随意的或者是带有目的性的删除、修改或拷贝信息文件。与此同时,系统管理员能够利用这一技术实时观察用户在网络中的活动,有效的防止黑客的入侵。
2信息数据的安全与加密技术
随着计算机网络化程度逐步提高,人们对信息数据传递与交流提出了更高的安全要求,信息数据的安全与加密技术应运而生。然而,传统的安全理念认为网络内部是完全可信任,只有网外不可信任,导致了在信息数据安全主要以防火墙、入侵检测为主,忽视了信息数据加密在网络内部的重要性。以下介绍信息数据的安全与加密技术。
2.1存储加密技术和传输加密技术。存储加密技术分为密文存储和存取控制两种,其主要目的是防止在信息数据存储过程中信息数据泄露。密文存储主要通过加密算法转换、加密模块、附加密码加密等方法实现;存取控制则通过审查和限制用户资格、权限,辨别用户的合法性,预防合法用户越权存取信息数据以及非法用户存取信息数据。
传输加密技术分为线路加密和端-端加密两种,其主要目的是对传输中的信息数据流进行加密。线路加密主要通过对各线路采用不同的加密密钥进行线路加密,不考虑信源与信宿的信息安全保护。端-端加密是信息由发送者端自动加密,并进入tcp/ip信息数据包,然后作为不可阅读和不可识别的信息数据穿过互联网,这些信息一旦到达目的地,将被自动重组、解密,成为可读信息数据。
2.2密钥管理加密技术和确认加密技术。密钥管理加密技术是为了信息数据使用的方便,信息数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配、保存、更换与销毁等各环节上的保密措施。网络信息确认加密技术通过严格限定信息的共享范围来防止信息被非法伪造、篡改和假冒。一个安全的信息确认方案应该能使:合法的接收者能够验证他收到的消息是否真实;发信者无法抵赖自己发出的消息;除合法发信者外,别人无法伪造消息;发生争执时可由第三人仲裁。按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。数字签名是由于公开密钥和私有密钥之间存在的数学关系,使用其中一个密钥加密的信息数据只能用另一个密钥解开。发送者用自己的私有密钥加密信息数据传给接收者,接收者用发送者的公钥解开信息数据后,就可确定消息来自谁。这就保证了发送者对所发信息不能抵赖。
2.3消息摘要和完整性鉴别技术。消息摘要是一个惟一对应一个消息或文本的值,由一个单向hash加密函数对消息作用而产生。信息发送者使用自己的私有密钥加密摘要,也叫做消息的数字签名。消息摘要的接受者能够通过密钥解密确定消息发送者,当消息在途中被改变时,接收者通过对比分析消息新产生的摘要与原摘要的不同,就能够发现消息是否中途被改变。所以说,消息摘要保证了消息的完整性。
完整性鉴别技术一般包括口令、密钥、身份(介入信息传输、存取、处理的人员的身份)、信息数据等项的鉴别。通常情况下,为达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对信息数据的安全保护。
综上所述,信息数据的安全与加密技术,是保障当前形势下我们安全传递与交流信息的基本技术,对信息安全至关重要。希望通过本文的研究,能够抛砖引玉,引起国内外专家的重视,投入更多的精力以及更多的财力、物力来研究信息数据安全与加密技术,以便更好的保障每一个网络使用者的信息安全。
[1]曾莉红,基于网络的信息包装与信息数据加密[j].包装工程,2007(08).
[2]华硕升级光盘加密技术[j].消费电子商讯,2009(11).
[关键词]会计电算化问题对策
本论文是通过对我国会计电算化的一些弊端,近而提出了会计电算化在观念、理论研究、人才、软件以及内部控制制度等方面存在的问题,并对这些问题进行分析,从而提出如何提高会计电算化在应用中的相应对策。
一、我国会计电算化存在的主要问题
1.对会计电算化认识的不到位
长期以来,我国传统会计以手工记账、算账为主,从古至今已习惯于这种工作方式。而在会计电算化中,计算机呈主要因素,会计人员呈次要因素。同时,外部环境形成了“工作的达标、检查都是以机型的好坏作为评价标准”的风气。因此,各单位不断地更新提高计算机系统档次,却缺乏对财会人员的业务培训。
2.会计电算化专业人才的严重缺乏
会计电算化的专业内容,是会计专业和计算机专业的一个交叉学科,偏重于会计,实践操作又离不开计算机和网络,因此这就要求会计电算化专业人员一方面加强会计理论的学习,另外一个方面还要从会计软件和相应专业软件入手,加强计算机的操作水平练习。所以在实践当中我们总是会遇到要么重理论,要么片操作,导致了部分会计电算化人员专业技能“瘸腿”,不够全面,具体表现问题如下:
(1)会计人员知识不全面。很多资历深的传统会计人员对会计业务很熟悉,对于计算机知识却了解有限,而年青人恰恰相反。
(2)计算机培训教材的老化。计算机技术发展十分迅速。软件操作系统也有很大变化。而现在的教材大多都是几年前的,所介绍的知识实用性不强,经过这样培训并通过考试的人员实际操作能力差,并不能很好的适用于实践。
(3)在工作中,各单位缺乏对会计人员的再培训及定期考核,不能让其与社会的快速变化接轨。
3.会计软件存在的缺陷
会计软件的好坏是会计电算化工作的基础。财务上有些数据是企业的机密,很大程度上关系着企业的命运,但当前大部分软件的系统都没有认真研究过数据的保密问题。可想而知,系统一旦瘫痪或受病毒干扰,恢复起来相对比较困难,要恢复原数据就更是问题。
4.企业内部控制制度尚不健全
很多企业的计算机系统管理和维护工作由受过计算机培训的主管会计人员兼任,这些人员有直接修改数据的机会,使财务数据的安全性受到了很大威胁。
二、提高我国电算化发展对策
1.更新对会计电算化的观念
目前很多企业还没有充分认识到会计电算化的重要性。许多管理者片面认为会计电算化只是会计核算工具的改变,看不到对企业管理的深刻影响。所以,我们必须清醒地认识到电算化不仅改变了会计核算方式、数据处理程序和方法,而且也提高了会计信息质量,改变了会计内部控制与审计的方法和技术,是整个会计理论研究与会计实务的一次根本性变革。
2.加强对复合型电算化人才的培养
为实现会计电算化人的素质的提高是关键,不断改革人才教育培养制度,多方面、高层次培养会计电算化人才。首先,在各高校,及时调整专业设置及培养方向,使毕业生成为既懂计算机知识,又懂会计企业经营管理的复合型人才,重点掌握会计电算化应用软、硬件的开发、改进、维护等问题;其次,对在岗会计人员进行培训和进修,使他们能较系统的了解与掌握会计电算化的基本原理和操作方法。最后,对于系统维护人员,系统的维护对于会计电算化工作的进程有较大影响,因此在人员使用上,应尽量聘用专业的计算机网络系统管理人员,利用他们的实践经验就会获得较好的效果。
3.加大软件开发力度
随着计算机通讯技术的发展和计算机网络的形成,以及信息高速公路的建成,会计信息在国民经济中的重要性将进一步发挥出来。要加大软件的开发力度,只有开发出较完善的通用财务软件,才能满足市场的需要。另外,现行会计软件虽然已从核算型向管理型过度,但总体上讲,模块内容、功能不强,不能适应财务管理的需要。因此要逐步提高会计软件功能,增强具有管理的模块,结合网络开发更加高效、安全实用的会计软件。
4.加强会计信息系统的安全性和保密性
财务数据是企业的绝对秘密,关系着企业的生存与发展。会计信息系统的安全控制是通过计算机程序防止数据泄密、更改或破坏,主要包括:实体安全控制、硬件安全控制、内部控制、软件安全控制、网络安全控制、病毒的防范与控制和加强审计监督等。
三、提高自身系统功能的网络技术
改善和提高会计软件网络功能,真正充分发挥会计电算化的技术优点,结合网络为财务管理提供更多服务,我们可以提高会计软件功能,增加具有网络管理的模块,设计比较分析、因素分析、差额分析、图表分析、网络互助等财务分析模块,资金需求供给预测模块等等。
随着我国会计电算化进一步发展与完善,最终会与国际接轨。而互联网将延伸至财务及企业管理软件的管理范畴,网络技术又帮助企业实现财务与业务协同,彼此共享,实现远程得报表、报账、查账、审计等工作处理,实现动态进行会计核算的在线财务管理,使移动管理最终成为现实。
[1]高腊生,田细菊.财务管理模式的局限性及其创新[J].财会通讯,2005,(5):82-83
[2]吴介军,龚福和.正确处理财务管理中的几个关系[J].财会月刊(综合),2005,(8):13-14
[3]杜强.我国会计电算化存在的问题与对策[J].中国商界(下半月),2010,(03)
关键词:网络信息;系统漏洞;危害;防范
引言
信息系统平台的出现给我们提供了很大的方便的,但同时也带来了许多的网络安全威胁问题,这些问题一直在困扰着我们。其中最主要的问题是系统漏洞。本文以如何保证系统平台信息的安全特方面进行分析,侧重分析漏洞的特点及危害,并且提出了信息系统平台安全的具体策略。
1.信息系统平台漏洞的常见形式
1.1操作系统的安全漏洞
操作系统的安全漏洞涵盖很多,首先是快速用户转换漏洞,视窗系统XP快速用户转换功能存在漏洞,这就会导致信息的泄漏。其次是UPnP服务漏洞,UPnp眼下算是比较先进的技术,已包含在视窗系统XP中,黑客利用这类漏洞能取得其他PC的完全控制权,或发动DOS攻击。如果他知道某一PC的IP地址,就能通过互连网控制该PC。还有建立网络连接时,WinXP远程桌面会把用户名以明文形式发送到连接他的客户端。发送的用户名能是远端主机的用户名,也可能是客户端常用的用户名,网络上的嗅探程式可能会捕捉到这些账户信息。
1.2数据库的安全漏洞
作为一种大型的系统软件,数据库系统中也存在着各种各样的安全漏洞,其中危害性较大的有缓冲区溢出、堆溢出和SQL注入等。SQL注入攻击是发生于应用程序之数据库层的安全漏洞。细致说来,它是一种网页程式码的写作漏洞,此漏洞可允许一般使用者在网页上可供使用者输入内容的栏位,如讨论区、搜索框等当中,输入SQL指令码,并允许其执行,这意味着,一般使用者即可篡改资料库中的资料。未受过良好安全训练的网页应用程式开发人员,可能留下该漏洞,并受到黑客利用。SQLInjection在近年有日趋严重的趋势,因为有许多加壳(Packing)和变形技术,可让系统误以为接收的是正当讯息,而允许其执行。2007年,SQLInjection被开放Web软件安全计划(OpenWebApplicationSecurityProject)选定为10大Web安全漏洞的第2位,然而SQLInjection的攻击仍旧方兴未艾;2008年,许多SQLInjection攻击搭配Google搜索引擎寻找落点,并利用自动攻击工具进行大规模攻击,造成全球超过60万个网站受害。
1.3TCP/IP协议的安全漏洞
绝大多数运行Internet的硬件设备并不会因为TCP/IP协议中的这个漏洞而易受攻击,但会导致“IP欺骗”,入侵者可以利用该漏洞进入一个站点并接管它的IP地址。一旦如此,入侵者便可以这个地址的名义散发信息。然后,入侵者便能够将目标转向其它站点,致使网站设备“崩溃、停机或出现不可预知的行为”。这种攻击手段类似于“拒绝服务(denialofservice)”攻击:入侵者并不真正进入一个站点,而是通过电子邮件或网络流量轰炸来阻塞对该站点的访问。更糟糕的是,入侵者能够隐藏他的真实位置。CERT同时还提供了对这种入侵的防范办法:重新配置网站的路由器或防火墙并在路由路上安装过滤设备,以防止“IP欺骗”攻击。
2.信息系统平台漏洞的危害
针对漏洞的攻击越来越多,利用漏洞的病毒、木马技术进行网络盗窃和诈骗的网络犯罪活动呈快速上升趋势。当信息系统平台用户操作不当时,会产生漏洞,从而遭到木马的攻击。漏洞会迫使平台用户的信息泄漏,就会导致用户权限更改,造成不可预计的损失。由系统层扩展到应用层,由服务端扩展到客户端,由少数操作系统扩展到所有操作系统。由此造成的危害也越来越大,尤其是用户不易察觉的隐性攻击所造成的损失是无法衡量的。
3.信息系统平台漏洞的防范
3.1加强信息系统平台用户的防范能力
信息系统平台用户应该在符合国家有关信息与信息系统安全的法律和法规和满足用户及应用环境对信息系统提出的安全性要求的基础上,加强防范能力。平台用户应该增加自己的防范意识,在操作信息系统时不要随意进一些网站或者接受陌生人的邮件等,最重要的就是要保护好自己的IP,让黑客没有可乘之机。信息系统平台用户应该保证数据库的完整性、保密性。另外,为了防止攻击者借助某种手段直接进入系统访问数据而造成数据泄漏,还可对数据库进行加密,针对这些威胁采取的安全措施有存取管理技术、加密技术和防火墙技术等。
3.2健全网络运输环境的监管机制
计算机信息传输技术在办公自动化中的应用,计算机技术的蓬勃发展,给办公环境带来了一场深刻的革命,信息系统平台在传输信息的过程中应该本着“计算机信息系统,不得与公网、国际互联网直接或间接的连接”,如要相连,“必须采取物理隔离的保密防范措施”。无数信息泄漏的例子告诫我们,想要信息不被泄漏,那么健全网络运输环境的监管机制势在必行。
(三)提高软件开发应用的科技水平
4.结束语
信息系统的不够完善给不法分子带来了可趁之机,本文对过以信息系统平台的安全为视角浅析“漏洞”的危害及防范,,发现并具体的分析了各类漏洞的特点,从而可以有效的防范信息平台的泄漏,对以后系统维护具有参考意义。
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、互连性等特征,加上安全机制的缺乏和防护意识不强,致使网络易受黑客、恶意软件和其他不轨行为的攻击,所以网络信息的安全和保密是一个至关重要的问题。
一、威胁网络安全的主要因素
影响计算机网络安全的因素有很多,威胁网络安全则主要来自人为的无意失误、人为的恶意功击和网络软件系统的漏洞以及“后门”三个方面的因素,归纳起来如下:
1.应用系统和软件安全漏洞。WEB服务器和浏览器难以保障安全,最初人们引入CGI程序目的是让主页活起来,然而很多人在编CGI程序时对软件包并不十分了解,多数人不是新编程序,而是对程序加以适当的修改,这样一来,很多CGI程序就难免具有相同安全漏洞。且每个操作系统或网络软件的出现都不可能是完美无缺,因此始终处于一个危险的境地,一旦连接入网,就有可能成为功击对象。
2.安全策略。安全配置不当造成安全漏洞,例如:防火墙软件的配置不正确,那么它根本不起作用。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限,或者是作为进一步进入其他系统的跳板,或者恶意破坏这个系统,使其毁坏而丧失服务能力。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。
4.病毒。目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。它具有病毒的一些共性,如:传播性、隐蔽性、破坏性和潜伏性等等,同时具有自己的一些特征,如:不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务以及和黑客技术相结合等。
5.黑客。黑客通常是程序设计人员,他们掌握着有关操作系统和编程语言的高级知识,并利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。
二、常用的网络安全技术
1.杀毒软件技术。杀毒软件是我们计算机中最为常见的软件,也是用得最为普通的安全技术方案,因为这种技术实现起来最为简单,但我们都知道杀毒软件的主要功能就是杀毒,功能比较有限,不能完全满足网络安全的需要。这种方式对于个人用户或小企业基本能满足需要,但如果个人或企业有电子商务方面的需求,就不能完全满足了,值得欣慰的是随着杀毒软件技术的不断发展,现在的主流杀毒软件同时对预防木马及其它的一些黑客程序的入侵有不错的效果。还有的杀毒软件开发商同时提供了软件防火墙,具有了一定防火墙功能,在一定程度上能起到硬件防火墙的功效,如:360、金山防火墙和Norton防火墙等。转贴于
2.防火墙技术。防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用措施。防火墙如果从实现方式上来分,又分为硬件防火墙和软件防火墙两类,我们通常意义上讲的硬防火墙为硬件防火墙,它是通过硬件和软件的结合来达到隔离内外部网络的目的,价格较贵,但效果较好,一般小型企业和个人很难实现;软件防火墙它是通过纯软件的方式来达到,价格很便宜,但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。然而,防火墙也并非人们想象的那样不可渗透。在过去的统计中曾遭受过黑客入侵的网络用户有三分之一是有防火墙保护的,也就是说要保证网络信息的安全还必须有其他一系列措施,例如:对数据进行加密处理。需要说明的是防火墙只能抵御来自外部网络的侵扰,而对企业内部网络的安全却无能为力,要保证企业内部网的安全,还需通过对内部网络的有效控制和来实现。
数据加密技术主要是通过对网络数据的加密来保障网络的安全可靠性,能够有效地防止机密信息的泄漏。另外,它也广泛地被应用于信息鉴别、数字签名等技术中,用来防止欺骗,这对信息处理系统的安全起到极其重要的作用。
4.入侵检测技术。网络入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库等比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉等。因此入侵检测是对防火墙有益的补充。可在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。
5.网络安全扫描技术。网络安全扫描技术是检测远程或本地系统安全脆弱性的一种安全技术,通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。利用安全扫描技术,可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行服务,检测在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序、防火墙系统是否存在安全漏洞和配置错误。
[参考文献]
[1]顾巧论.计算机网络安全[M].北京:清华大学出版社,2008.
[2]李军义.计算机网络技术与应用[M].北京:北方大学出版社,2006.
【论文关键词】信息系统内部控制方法
【论文摘要】会计电算化是运用计算机进行会计数据处理,以计算机及数据传输和通讯设备作为数据处理系统的核心,完成从原始数据的搜集、记录、分类、登记、计算、汇总、报告等一系列会计工作。会计从手工处理到电算化处理,不仅是会计数据处理方法的变化,更是影响了企业传统的内部控制制度,使企业在内部控制上发生了根本性的变化。
一、会计信息系统内部控制
二、电算化会计信息系统对内部控制的影响
1、内部控制形式的变化。手工记账中的一些内部控制措施在电算化后不需要存在。如编制科目汇总表、凭证汇总表,试算平衡的检查、总账和明细账的核对。在电算化环境下,人是执行控制的主体,但更多的内部控制方法是通过会计软件来实现。因此,信息系统的内部控制也由人工控制转为人工和程序去共同控制。电算化系统许多应用程序中包含了内部控制功能,这些程序化的内部控制的有效性取决于应用程序,如程序发生错误或不起作用,由于人们的依赖性以及程序运动的重复性,使得控制失效不被及时发现,从而使系统发生错误或违规行为的可能性大。
2、存储介质的改变。在手工会计环境下,企业的经济业务发生均记录于纸张之上,并按会计数据处理的不同过程分为原始凭证、记账凭证、会计账簿和会计报表。这些纸质原件的数据若被修改,很容易找出修改的线索和痕迹,这是传统纸质原件的一个优点。但在电算化系统下,原来纸质的会计数据会被直接记录到磁盘或光盘上,非常容易被删除或篡改,由于在技术上对电子数据非法修改可做到不留迹象,这就难以辨别哪一笔是业务记录的原始数据。另外,电磁介质容易受损坏,所以会计信息还存在丢失或毁坏的危险。
3、内部控制的内容变化。计算机技术的引入,给会计工作增加了新的工作内容,同时也增加了新的控制措施,如计算机硬件及软件分析、编程、维护人员与计算机操作人员内部控制,以及计算机机内及磁盘内会计信息安全保护、计算机病毒防治、计算机操作管理、系统管理员和系统维护人员的岗位责任制度等。
4、财务网络化带来的新问题。随着计算机技术和网络通讯技术的发展,会计信息系统网络化渐渐普及。网络的广泛应用在很大程度上弥补了单机电算化系统的不足,使电算化会计系统的内部控制更加完善,同时也带来了新问题。目前财务软件的网络功能主要包括远程报账、远程报表、远程审计、网上支付、网上催账、网上报税、网上采购、网上销售、网上银行等,实现这些功能就必须有相应的控制,从而加大了会计系统安全控制的难度。
三、完善电算化会计信息系统环境下的内部控制
坚持明确分工、相互独立、互相牵制、相互制约的安全管理原则,建立并不断完善人工与机器相结合的控制机制,使会计电算化运行的每一个过程都处于严密控制之中是我们完善会计电算化内部控制的基本思路。
1、系统维护控制。系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等,涉及到系统功能的调整、扩充和完善。对财务系统进行维护必须经过周密计划和严格记录,维护过程的每一环节都应设置必要的控制,维护的原因和性质必须有书面形式的报告,经批准后才能实施修改。软件修改尤为重要,系统操作员不能参与软件的修改,所有与系统维护有关的记录都应打印后存档。操作环境包括系统操作过程以及系统的维护。操作过程控制主要通过制订一套完整而严格的操作规定来实现。操作规程应明确职责,操作程序和注意事项,并形成一套电算化系统文件。如规定交接班手续和登记运行日志,规定数据备份及机器的使用规范,规定软盘专用以防病毒感染。
2、信息安全控制。电算化会计信息系统的安全控制,是指采用各种方法保护数据和计算机程序,以防止数据泄密、被更改或破坏,主要包括实体安全控制、数据安全控制、网络安全控制等。
(1)实体安全控制。实行电算化以后,设立计算机房的主要目的是给计算机设备创造一个良好的运行环境,保护机器设备;防止各种非法人员进入机房,保护机内程序和数据的安全。具体措施包括:对进入机房内的人员进行严格审查;保证机房设备安全的措施,如机房防火规定等;保证计算机正常运行措施,如机房防潮、防磁及恒温等方面的规定等;会计数据和会计软件安全保密的措施,如数据备份规定及不准在计算机上玩电脑游戏等规定;修改会计核算软件的审批和监督制度。
(2)数据安全控制。计算机会计系统有关的资料应及时存档,企业应建立起完善的档案制度,加强档案管理。一个合理完善的档案管理制度一般有合格的档案管理人员、完善的资料借用和归还手续、完善的标签和索引方法、安全可靠的档案保管设备等。除此之外,还应定期对所有档案进行备份并保管好这些备份。为防止档案被破坏,企业应制订出档案被破坏的事件发生时的应急措施和恢复手段,企业使用的会计软件也应具有强制备份的功能和一旦系统崩溃及时恢复到最近状态的功能。
3、电算化会计信息系统的人员职能控制。人员控制是电算化系统管理的根本,会计电算化人才的缺乏是制约我国会计信息化工作发展的关键环节。为此,首先要通过各种培训提高会计人员的计算机业务水平和职业道德水准、增强遵守各项法规的自觉性,实行考核合格才准上岗的制度。其次要通过各类院校培养既懂会计又掌握一定计算机知识及技能的专业人才充实到会计队伍中。再次,会计人员不仅要具备财会知识和计算机知识,同时还要掌握一定的管理知识。最后,业务主管应当熟悉整个会计电算化处理业务,以便对系统会计工作流程进行监控和指导。
4、信息系统的内部审计。内部审计是单位或企业内部控制系统的重要组成部分,也是强化内部会计监督的制度安排。电算化会计信息系统的运作往往是“人机”对话的特殊形态,对网络环境下的会计信息审核必须运用更复杂的查核技术,只有精通计算机网络知识、熟悉审计财务程序的人员才能胜任此项工作,这给内部审计加大了难度。内部审计制度是保障内部控制的重要手段之一,通过内部审计可以了解现有的一些内部控制措施是否能满足为内部会计系统提供准确、可靠的信息,以及这些控制措施能否有效地运作以达到预期的目的。在电算化系统运行过程中,审计人员对会计业务处理等工作进行评价和检验,有利于检测财务软件的可靠性,发现存在的问题、提出解决问题的建议,有利于提高会计核算质量和管理水平。
在电算化条件下,关键的会计信息处理和业务核算工作已由会计电算化软件集中代替,会计工作的执行主体演变为人与电算化软件两个因素,且电算化软件是主要的执行因素。这种变化使得会计电算化系统中的内部控制实施主体也演变为人与软件两个因素,且电算化软件导致的系统问题风险将成为会计系统中内部控制的主要风险。完善有效的计算机系统及管理制度是电算化会计信息系统安全之本,提高会计电算化人员素质,规范和完善电算化会计信息系统操作和管理章程,重视内部审计,增强数据安全意识,是当前强化电算化会计信息系统内部控制的关键问题。
证券电子商务的概念
证券电子商务是证券行业以互联网络为媒介为客户提供的一种全新商业服务,它是一种信息无偿、交易有偿的网络服务。其基本内容包括:1.证券电子商务能为企业及投资者提供投资理财的全方位服务;2.证券电子商务所需条件是互联网络的普及、货币电子化和解决网络安全问题(微观、宏观)等。证券电子商务比其它行业电子商务少了电子商务三大要素之一的物流,因此证券电子商务能够更快更好地实现;3.证券电子商务能够为投资者提供国际经济分析、政府政策分析、企业经营管理分析、证券板论文块分析、证券静态动态分析等方面的服务;4.证券电子商务能够以每日国内外经济信息、证券行情、证券买卖、投资咨询、服务对象的辅助决策分析及提供特别专题报告等方式来为投资者服务;同时也提供外汇、期货等方面的辅助服务方式。
特点与典型模式
2、个性化:所有服务可精确的按照每个用户的需要进行。服务方式可以是主动服务,也可是被动服务。
3、成本低:由于服务的虚拟性,对原有事务性工作的场地及人工不再有要求,加上技术进步对信息处理效率的极大改进,因而有效降低了证券公司的基础运营成本。
4、优质服务更为重要:由于硬件不再重要,网络的竞争只能依靠软性的服务。并且网络跨越时空的能力会将这种优势服务的能力无限制放大。强者恒强的马太效应在网络经济模式下更是一条不变的规律。
5、创新是竞争的要素:由于网络缩小了时空的概念,因此任何一种新的业务思想或技术很快能被对手效仿,为始终保持领先,企业只有依靠不断的创新才能保证竞争的优势,否则会很快被竞争对手超越。
6、技术是核心资源:在证券电子商务中,技术构成了服务与业务的基础平台。因此技术不仅仅是一种手段,还是核心的资源。技术的创新便可意味着服务与业务的创新。
证券电子商务的典型模式主要有以下几种:
1,E——Trade模式:完全以WEB方式提供纯虚拟的投资与服务,其特点就是用尽可能低的折扣吸引对价格在意而对服务要求不高的自助投资者。价格是这些公司的主要竞争模式。这方面的典型代表有E——Trade,Ameritrade等。
3,MerrillLynch模式:美林证券是美国乃至全球的著名品牌。由于有庞大的客户托管资产作为后盾,美林对于90年代兴起的网上经纪浪潮反应迟钝,迟至99年六月一日才其在线交易系统。
问题和应对策略
1、证券投资主体不合理。我国目前证券投资不是以投资基金和投资经纪为主,而是民众广泛介入,从资源优化配置角度出发,这是不可取的。随着我国证券市场的规范,证券投资的主要操作者应该是基金管理者、证券经纪人、投资银行管理者等,证券营业部的计算机系统和网络也将有较大的改变。随着证券投资主体的进一步多元化,证券电子商务前景将更加明朗。
3、证券电子商务的网络问题。证券电子商务有三方面的网络问题:互联网的安全、网络稳定可靠性、网络速度。互联网的安全不仅是证券电子商务所关心的,它更是整个国家的安全问题,特别是象金融证券业这类国家支柱产业的互联网络,更要严格使用国产关键技术,以确保安全性。所幸的是,最近中科院的计算机网络安全关键技术与产品开发获重要进展,该项目包括:实用非否认协议、智能卡软件安全规范、智能卡安全集成平台、Internet安全集成系统、Internet网络安全监视器、防火墙系列产品、计算机网络安全产品评测、″黑客″入侵防范软件、安全引擎工具包、网络安全教育等。网络稳定可靠性和网络速度问题有赖于我国电信网络和有线电视网络技术的提高,我国证券交易多次发生过交易笔数太大导致证券交易所和证券商计算机及通信系统阻塞事件。
1、加强超前技术防范
本系统内的各个局域网不能单独和外界的网络连接,这样本级政府的网络安全就有了保障。
2、加快网络法制建设和增强执法力度
电子政务工作内容和工作流程及国家核心任务,其安全关系到国家、国家的安全和公众利益,所以电子政务安全实施保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据,为司法和执法者提供法律依据,对违法犯罪者形成重大威慑.对于破坏国家秘密的犯罪。国家法律已制定有专门条文。《刑法》在“危害国家安全罪”、“防碍社会管理秩序罪”、“渎职罪”和“军人违反职责罪”中规定了九种危害国家秘密犯罪的罪名,其中最重的是“间谍罪”和“为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报罪”,最高刑期为死刑。这说明国家从立法上对国家秘密的保护是有力的。关键是要严格执法。不要因为这样的犯罪活动是产生在计算机网络中和使用了新的犯罪工具而使执法受阻。
从全球角度看,现在的问题是网络犯罪是高技术犯罪,普遍存在惩罚不力的情况。如在美国,有的网络犯罪分子不仅不受到应有惩罚,相反还得到国家情报机构的重用。我们对此绝不能“如法炮制”。美国电子政务拥有自己完整的一套高技术平台。它可以利用“坏人”来打击它的“国家敌人”,而我们却不能。
3、依法正确划分保密信息和确定密级
依法正确划分保密信息和确定密级是作好保密工作的前提。政府的保密信息主要有工作秘密和国家秘密。工作秘密是机关、单位内部不能向外公开的事项。
4、设“专官”负责网络系统的安全工作
在我国政府部门中,在技术上实际控制网络的人都是低级职员。许多政府官员都是网络技术盲和网络法制盲,甚至有的领导至今还没有掌握计算机的基本操作也不过问网络问题。因此无权的人掌握网上大权。有权的人无力行使政府的网上权力,这是目前电子政务建设的一大安全隐患。所以建议,政府可否从编制上考虑设置一个官职,类似于现代企业组织中的“首席知识官”、“首席技术官”或“技术执行官”之类的工作职能。这个“官”应该对政府的网上信息有巨大的影响和处置力,真正是由“官”来行使“网上政府”大权。或者是县级以上政府部门都成立信息安全小组。组长应由该级政府的正职领导担任。
5、发达国家经验借鉴
(1)美国的电子政务
美国于1994年制定了《政府资讯科技服务的远景》计划,从而推动了电子化政府的建设。
在具体实施过程中。美国在推动跨部门的资源共享、实现无纸化办公的同时。把电子化政府的应用领域主要集中在六个方面:
1)建立全国性、整合性的电子福利支付系统;2)发展全国整合性的网络接入和信息内容服务;3)发展全国性的执法以及公共安全咨询网络,保证执法体系的快速反应;4)共跨各级政府的纳税申报及交税处理系统;5)建立国际贸易资料系统;6)推动整个政府部门电子邮件系统。
(2)加拿大的电子政务
加拿大发展信息高速公路的目的是要建立高品质、低成本的信息网络。使每一个加拿大公民皆能公平享有就业、教育、投资、娱乐、医疗保健及社会福利信息的机会,并使加拿大成为全球信息高速公路的主要使用者及服务提供者。以促进加拿大经济、社会及文化建设方面的发展。
政府已经推动的应用项目包括:1)电子化的公共招投标系统;2)推动单一的商业注册登记号码;3)运用电子资料交换与扩大推动电子商务进行政府采购、支付和税费的征收;4)实行以电子布告栏及国际互联网络传送政府的电子文件。
(3)英国的电子政务
1995年,英国议会科学技术办公室提出了《电子化政府》的研究报告。1996年英国政府出版了“直接政府”绿皮书,从而把英国的电子化政府推向新的阶段。
4)实现资源共享,通过电子信息手段。提供政府部门与机构间的资源共享。减少政府支出简化行政系统。
5)公共信息,除了部分受到法律限制不能公开的资料如国家安全、商业机密或个人隐私等外,其他政府信息,都要公开。以便让社会查询
(4)法国的电子政务
从1998年起,法国政府开始重视信息化的发展,并制定了一系列相应的,划。主要采取了以下一些措施。
1、行政管理部门提供的各种窗口服务。必须进入网络,将政府信息对外开放;2、为了使农村及偏僻地区使用互联网,国家和地方政府增设一些公共网点,帮助信息产品进入家庭;3、增加网上教育的内容,鼓励学校等机构更多地应用网络;4、推动网络政府的国际合作,提高政府在国际社会中的竞争力等。
(5)日本的电子政务
日本政府于2001年初制订了“电子日本战略”准备在五年内把日本建成世界最先进的IT即信息技术国家。为此日本成立了由首相和所有内阁大臣及部分民间人士参加的IT战略委员会负责“电子日本”计划的实施。
总结上面四个例子,我们不难看出,我国电子政务的漏洞百出。如果我们能够成功运用并且实施,一定会促进政府的职能转变,也可以促进我国电子政务建设水平的提高。更能使我国在电子政务方面有个新的飞跃及突破。
(6)经验、评价及借鉴
在管理方面,中国需要成立国家级部门协调小组,知道全盘的政府信息化战略,包括统一的政府信息标准,加强信息基础建设的鼓励政策、人员培训标准、政府信息集成的标准等。电子政务的全民化;在加强对政府部门的信息化技能培训时;需要知道面向全社会的公众网络技能培训计划;保障公民的数字平等权利。另外要加强政府网站的服务信息,政务行政透明化得以体现。要改变以技术为中心的思想,确立以服务、公民为中心的观念。起作用是一是公民能够方便地和政府进行互动并获得服务;二是提高政府效能;三是提高政府响应公民的能力。
“电子政府”作为政府改革的重要方向。高度重视实现高效电子政府,并把通过加大使用互联网和计算机资源来提供政府服务作为政府改革五大目标之一。高度重视电子政府安全体系建设。首先是通过颁布各项法律法规和各种文件,如联邦信息管理安全法、电子签名法、国家信息基础设施保护法、计算机安全法、电子通信隐私法、计算机欺骗和滥用法等多部法律,从法律上保护信息安全和隐私。
美国联邦政府还规定,任何联邦政府的信息系统在没有通过隐私保护的评估和将评估报告送交美国联邦政府首席信息官之前均不得开始采集公众信息和投入使用。其次是建立完备的安全体系机构。从人员安全、物理安全、信息技术解决方案、安全管理规定等层面进行安全防范。美国电子政府采取的主要措施包括用户身份认证和审查、存取控制、存取管理、防抵赖、收据保留、完整性、隐私和加密、服务可用性、信息可用性、审计和记录等,使用的主要技术包括虚拟专用网、公开密钥基础实施、入侵检测和数字签名等。再次是从资金上予以保证。如布什政府曾拨款1亿美元专款用于开发数字签名技术以确保电子政府网上通信的安全。
二、总结
通过这次论文写作,另我受益匪浅,看到了中国政府经济的弊端,也看到我国电子政务建设的误区。
也很多心得可以提供参考如下:
①统一领导、组织保障;②统筹规划、标准规范;
③基础先行、保障安全;④阶段推进、重点突出;
论文摘要:企业流程重组是个焦点话题,它涉及到企业人员、技术、组织结构、经营过程、文化建设等各方面的重新构建,在实现企业重构的过程中,信息技术是其有力的手段。针对我国施工行业普遍存在的问题,施工企业流程重组和信息化显得十分迫切和必要,但在具体实践中,还必须针对可能出现的风险做出相应的分析和有效的规避。
流程重组是一种新的管理思想,它于1990年由美国的MichaelHammer提出,随后便迅速发展并被广泛实施。上世纪90年代中期,此种管理思想首次引入我国学术界,后随国内ERP应用的热潮而进入各类企业的视野。流程重组本质在于据新技术条件信息处理的特点和事物发生的自然过程去寻找解决问题的途径,其中,信息技术作为流程重组的出发点和终极目标的体现者,决定了流程重组的核心便是信息技术的应用。
一、企业流程重组与信息化
企业信息化即通过对信息技术的应用,开发和使用企业信息资源,以提高企业管理水平、经营水平、开发能力的过程。就发展程度而言,它包括三个层面,一则以计算机技术实现对企业产品生产制造过程的自动控制;二则以计算机系统实现企业内部管理系统化;三则借助于互联网开展电子商务。企业信息化目的在于提高企业经济效益和市场竞争力,其要求企业以企业流程重组为基础,在一定广度和深度上利用计算机技术、网络技术、数据库技术等信息技术,实现对企业生产经营活动中所有信息的控制和集成化管理,使企业内部外信息达到共享和有效利用。
由定义即可得出,企业成功实施流程重组须从软硬两种因素入手,一则革新企业组织结构框架、管理体系、业务流程等硬性条件,二则改变企业组织文化、领导行为、沟通方式等软性因素。但实现这两方面的变革,很大程度上取决于企业对信息技术的恰当运用,也就是说,正确高效的流程是发挥信息技术效用的有效途径,企业流程重组是信息技术得以应用的前提和基础,信息技术则是企业实施业务流程重构的有力手段,企业信息化将大幅度改善业务流程绩效。
二、施工企业流程重组
1.施工企业业务流程存在的问题
据职能分类,施工企业业务部门包括工程部、物资部、经营部、财务部、施工队等,在企业正常运转过程中,各个部门在项目经理统一领导下各司其职。但实际的经营状况却是,施工企业现有业务存在较多重复无效的业务流程,各部门对工作目标缺乏了解,各职能部门间多以一对一的方式沟通,工作状况完全分离,不能实现整个系统的全局最优,特别是物资、经营、财务部门脱离生产实际,物资部不以工程生产实际消耗来订单发料,经营部不严格计算工程量和控制施工用料,财务部不据实际情况发放工程款和货款。
2.施工企业流程重组的必要性
我国施工企业遭遇的发展瓶颈使施工企业进行流程重组显得十分必要。除了上述施工企业自身存在的问题外,从资源角度讲,我国施工企业任务资源普遍不足,不容乐观的现状导致施工行业一直处于高度竞争状况;从竞标角度讲,不乏施工企业为求中标而不惜一再降低价格,试图低价中标,造成企业不可控成本大大上升,受理了工程结果反而亏损。
在企业产品、成本、资源等均被削弱的困境下,要提高自身竞争力,施工企业不得不对现有业务流程进行彻底性改造,尤其在生产和运作管理方面,必须以顾客为导向,通过准时、灵活、高效、低耗地位顾客提供合格产品和服务,为企业获取好的效益和持续性竞争能力。显然,只有打破职能分割、减少管理层次、加强团队组织和并行工作、完善信息系统建设,才能实现企业的现代管理模式,合理利用信息技术,促成以流程为中心、以顾客为导向、以市场为基础的良性竞争格局,也才能为施工企业及整个行业带来实质性变化。
3.施工企业新型业务流程
施工组织设计是施工企业流程重组的核心环节,其关联到施工方案、施工计划、施工预算等项目的编制,并对工程项目进展状况带来直接影响。该环节主要由施工企业工程部门负责,因而工程部门管理系统化成为施工企业流程重组的重点内容。完善工程管理系统,必须增加数据库服务器,对工程投标、工程管理、工
同时,施工企业还应利用ERP系统将企业内部所有部门系统化,除建立工程管理系统外,人事管理系统、财务管理系统、物资采购管理系统、物资仓储管理系统、固定资产管理系统等也都要随之构建,以此促进施工企业业务流程自动化和集成化,既优化配置资源,又实现了信息集成的现代企业管理思想和方法。施工企业经过如此流程重组后,以前一对一的沟通方式转变为现在的多对多交流,各部门实时掌握整个项目动态,且相互协调工作、提高流程运作效率,物资部、财务部、经营部便可有的放矢地间接参与到工程项目进展中,这不仅增强了施工企业的信息化,也真正实践了企业以顾客为中心的理念。
三、施工企业实现信息化的风险分析
1.主要风险
(1)管理风险
流程重组首先属于管理范畴,信息和管理技术的发展共同推动着企业信息化的变革,并为企业经营管理理念带来质的飞跃。企业信息化如果不能先从管理入手,具体实践中势必出现以旧有管理模式引导信息化实施的局面,其结果只能是实现计算机的普及,而不能使企业产生本质的变革,但若对管理进行革新,其风险性也就必然存在。
(2)组织风险
企业流程重组是个复杂的信息化建设过程,其涉及范围广、部门多、要求知识综合性强。进行信息化建设,既要囊括企业各个职能部门,又要把客户、供应商、运输商、分销中心等涵盖其中,建立一个内外互动的企业信息化系统。这一综合性项目涉及到现场施工人员、职能部门专业人员、各个部门经理等,其组织难度大、细节多,组织风险也较复杂。
(3)技术风险
信息技术是企业流程重组的推动力。根据流程重组的总体规划,设计企业信息化的硬件和网络实施方案,选择相应的信息化系统软件、系统集成商和咨询商。这要求企业充分考虑系统软件种类和价格、软件安全性评估、软件兼容性、系统使用方便性等,每个环节都对技术提出较高要求,也都存在一定的技术风险,尤其是信息的安全性、唯一性、集成性和共享性,更是所有关键技术中的最难点。
(4)人员风险
施工企业实施流程重组和信息化建设,必须先建立一支属于企业自身的信息化队伍,这支队伍须具备懂业务、懂管理、懂网络技术的复合性人才,此类人才需要企业去培养并留得住。同时,系统软件开发质量不稳定、通用性较差、维护和版本更新困难等一系列现实问题,也对企业提出巨大的人力、财力要求。企业要实现信息化建设,其必须付出一定的人员成本,并承担相应的人员风险。
2.风险规避
(1)慎重选择软件系统
目前,ERP是企业实施信息化的主要手段。ERP并非一个单纯的软件系统,根据企业的规模大小、业务活动、经营战略、发展目标、管理文化、员工水平等,企业应恰当选取相应的国内或国外的ERP厂商,慎重考虑ERP软件的功能、价格、升级以及售后服务等各种事项。
(2)妥善进行系统规划
企业流程重组和信息化属于复杂的系统工程,在开始之前,企业应做好完整的系统规划。据实际情况,先进行可行性分析,确定阶段性目标,然后结合企业本身承受能力及管理中存在的问题和主要矛盾,本着“总体规划、分步实施、先易后难、持续优化”的原则,循序渐进地推进企业流程重组和信息化工作。
(3)变革企业组织结构
企业业务流程重组由规划转变为现实的过程中,管理信息系统起着重要的催化作用,只有将良好的企业管理与流程重组有效配合,才能为信息化建设扫除各种障碍。在对企业组织结构实施网络化组织的重新设计时,应考虑到解决企业管理上的混乱状态,特别要在人员变动、权力分配、部门调整等问题上有所作为。
(4)合理控制进度和质量
明确可行的阶段性实施计划是企业流程重组和信息化顺利开展的基础,而对每一阶段计划执行情况进行必要的检查和监督,则是为了实现对信息化进度和质量的有效控制。系统实施前先明晰各阶段的目标和期望,某个阶段完成后及时作出评价和修正,系统上线后对各个流程一一实验,使整个系统达到企业预定目标。
四、结语
随着计算机技术的飞速发展,全球化和网络化已成为世界经济发展中不可抗拒的潮流,信息技术展现出的巨大作用并不是促使传统工作更有效率,其真正能力在于使企业打破了传统的工作规则、创造出崭新的工作方式,而这恰恰是企业流程重组的核心所在。在传统劳动分工原则下,施工企业的业务流程被分割成一个个独立的环节,流程重组和信息化建设根据新技术条件下信息处理的特点,为施工企业再造出一套管理思路和方法,很大程度上满足了企业发展所需,同时从质量成本、产出周期、流通效率等多方面提高了业务流程绩效。
参考文献:
[1]王玉荣.流程管理.北京:机械出版社,2004.
[2]甘利人.企业信息化建设与管理.北京:北京大学出版社,2001.
信息化和全球化使社会对兼备计算机专业知识和外语能力的复合型人才的需求不断增加,建设现代化武警也对培养面向未来的高素质复合型警官提出了要求。战斗在武警部队工作一线的信息安全保密人员,必须熟练掌握信息安全专业英语,以便能够方便地获取第一手资料,保质保量地完成任务。这引发了实际工作需要与专业外语教学之间的矛盾,因此,必须以需求为牵引,整合教学资源,抓好教改创新,针对教学薄弱环节稳步推进专业外语的教学改革。
一、正视短板,主动作为
专业英语是培养大学本科三年级学生科技英文文献阅读、翻译与写作能力的课程。开课时学生一般都通过了CET-4考试,具备一定英语听说读写的能力。在通用英语基础上,进一步增强具有鲜明专业特色的科技英语运用能力,是学习本课程的重要教学目标。
长期以来,专业外语课程未得到重视,教学方法简单,常常以冗长的课文翻译作为课堂主要或唯一的教学手段,学生学习兴趣不浓,收获有限,教学效果与教学目标存在较大差距。因此亟需探索适合专业外语教学的新模式。
为了充分发挥专业英语课程在通用英语、专业学习以及实际应用中的衔接作用,使学生真正掌握专业英语知识和运用能力。电子技术系机要指挥教研室主动作为,在"信息研究与安全"专业120名学员中实施了专业英语教学改革的尝试。初步教改实践证明,只要目标明确、锐意进取、措施得当、持之以恒、稳步推进,一定能弥补不足,取得丰硕的成果。
二、明确目标,稳扎稳打
针对专业外语教学中存在的问题,我们将专外教改的目标设定为:采用主动式教学、任务式教学、浸入式教学相结合的方法,摸索出一套高效、合理和新颖的专业英语教学模式,使学员除了在英语听、说、读、写基本能力之外,翻译、搜索、撰写科技文献等方面的能力也得到全面提高。并在此基础上逐步向武警部队推广,促进广大官兵英语应用水平的提高。
为达到教改目标,我们制订了完善的计划,开展了专外教学调研活动,围绕提高学员听、说、读、写、译等方面能力设计了多项教学活动。在教学内容方面,我们加强了"信息安全"教学内容的份量,增加的主题包括:计算机硬件及安全、操作系统及软件安全、网络安全、恶意代码、数据安全、密码学基础、信息隐藏等。在教学形式方面,我们探索了主动式、任务式和浸入式多种外语教学模式的融合,采用这些理念先进、形式灵活的教学方式,使专外授课变得生动活泼、引人入胜,取得了事半功倍的效果。
三、取长补短,大胆尝试
(一)建设开放式网络教学平台支持主动式、交互式教学
建构主义理论强调教学要以"学"为中心,充分发挥学生学习的自主性,教师在整个学习过程中主要起组织者、指导者的作用。为了督促学生的自主学习,必须利用计算机网络为其提供方便、丰富和灵活的学习环境和学习内容。
(二)设置多样化教学环节推动合作式、任务式教学
我们在三个区队的专外教改中分别开展了经典电影桥段角色扮演、英语演讲、英语辩论等活动。共计51名学生选择了英语演讲任务,每人利用5-10分钟介绍自己感兴趣的IT名人或技术。这一活动扩展了学员的知识面,使大家了解了图灵、高德纳、乔布斯、比尔盖茨、马云等名人的轶事以及Internet、Angrybirds、NIVADA等技术和产品,提高了学员收集资料、制作PPT、撰写演讲稿以及口语表达的能力;55名学员选择了经典电影桥段角色扮演任务,该任务由2-4名小组成员合作完成,他们分别从《音乐之声》、《肖申克的救赎》、《教父》、《蝙蝠侠》、《冰河世纪》等经典影片中选出精彩片段进行模仿加工,在团队协作、合作学习、角色扮演等方面得到了锻炼。课程过半之后,三个区队精心准备,分别针对互联网与人类的关系展开了精彩的英语辩论活动,展示了学员在英语思维、口语表达方面的进步。
(三)采用全英语授课促进集中式、浸入式教学
在浸入式教学探索中,我们主要坚持了以下两个原则:一是听说领先原则。所谓听说领先原则是指浸入式教学中,学生完全浸入在语言中,听说机会多,教学每节课浸入语言的量及丰富程度多于传统教学,学生有大量口语表达机会。二是活动性原则。活动性原则就是指教学中,结合教学内容设计活动,为学生提供最自然、最丰富、最积极的语言环境,学生通过积极参与活动达到理解、记忆、掌握和运用语言的目的。
浸入式教学对教师的要求很高。教师要不断接受新的知识信息,掌握有效的学习策略与方法,要在专业知识、计算机技术、教学方法等方面不断提高水平。教师不仅要进行教材与教学内容的研究,同时也要进行教育心理学的研究,才能胜任。因此,参与教改的老师们通过集体备课、听课、讲座、讨论和观摩等多种形式进行了理论和实践方面的交流,改进了教学方法,提高了教学水平。
四、持之以恒,继往开来
在专外教改前后调查问卷的对比分析中,我们发现学员一致认为本次教学内容丰富、形式灵活,效果很好。可见,专外教改激发了学员学习英语的兴趣和热情,更重要的是使学员掌握了正确的学习方法,这为学员今后能够实际运用英语打下了良好的基础。