時間:2023-06-07 09:24:54
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇計算機犯罪研究論文,希望這些內容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:計算機犯罪偵查;信息安全;培養(yǎng)方.案;課程體系;
中圖分類號:G642 文獻標識碼:A
1 引言
隨著信息化的發(fā)展,虛擬空間的計算機犯罪呈快速發(fā)展的趨勢,嚴重影響了信息化社會的健康發(fā)展,影響了現實社會的社會安定、社會安全和國家安全。為了應對新型的計算機犯罪問題,公安部組建并成立了公共信息網絡安全監(jiān)察局,并擁有覆蓋全國的相關機構,以處理不斷增多、形式多樣的計算機犯罪問題。在和公安部下屬的院校、研究所,以及普通科研機構中科院下屬的軟件研究所和高能物理研究所,北京大學、武漢大學等高等院校也展開了對計算機犯罪問題的研究工作。
信息安全學科是由數學、計算機科學與技術、信息與通信工程等學科交叉形成的一門綜合性學科。信息安全專業(yè)是一個綜合性的專業(yè),它以計算機、通信、數學、法學等專業(yè)為基礎,主要研究領域涉及現代密碼學、計算機系統安全、計算機與通信網絡安全、信息系統安全、電子商務/電子政務系統安全、信息隱藏與偽裝等。
計算機犯罪偵查專業(yè)目前主要在公安院校設立,2004年首先在中國人民公安大學、沈陽刑警學院的計算機科學與技術專業(yè)發(fā)展而來。本文結合作者在中國人民公安大學信息安全工程系的教學工作,就如何在計算機犯罪偵查專業(yè)教學中設置信息安全相關課程進行了探討,包括課程設置、實踐環(huán)節(jié)設計、實驗室建設等內容。
2 課程設置
2.1 課程設置原則
課程設置要符合專業(yè)知識體系特點,由于計算機犯罪偵查專業(yè)是交叉學科,要求的基礎面比較寬,不可能開設所有相關的專業(yè)基礎課,因此對這些基礎課程必須進行一些取舍。專業(yè)課程設置可分為專業(yè)基礎課、專業(yè)主干課、專業(yè)提高課和專業(yè)實驗實踐課。為了培養(yǎng)多方面多層次的人才,在課程設置上還應注重多層面內容的結合,特別加強了專業(yè)實驗實踐教學來提高學生運用知識的能力。其中在專業(yè)提高課中,注重學生的分流,對有深造愿望的一部分學生加強專業(yè)理論的學習,對就業(yè)的大部分同學加強專業(yè)知識的實踐運用。專業(yè)實驗實踐課程主要加強在公安實踐中的專業(yè)知識的運用。
課程方案基于2004年版中國人民公安大學計算機犯罪偵查專業(yè)培養(yǎng)方案(以下簡稱原有方案)的課程體系進行設計,參照了國內外院校信息安全專業(yè)課程設置的相關材料,既體現計算機科學與技術學科基礎,突出信息安全學科專業(yè)方向內容,同時又保持我校公安偵查特色與優(yōu)勢。
2.1 課程設置方案
根據原有課程設置方案,計算機犯罪偵查專業(yè)課程設置大致分為通識教育內容、專業(yè)教育內容和公安學教育內容三個部分,每個部分又包含若干個知識體系。通識教育內容包括:人文社會科學、自然科學、思想教育、外語、計算機信息技術、體育和實踐動手能力訓練等7個知識體系。專業(yè)教育課程大致包括:專業(yè)基礎課程、專業(yè)主干課程、專業(yè)提高課程、專業(yè)實驗實踐課程等4個知識體系。公安學教育內容包括刑法學、公安學、偵查學、刑事科學技術、治安學和警體技能等6個知識體系。
參考全國高校本科信息安全專業(yè)本科教學規(guī)范和相關高校計算機學院信息安全專業(yè)的人才培養(yǎng)方案,結合公安業(yè)務部門一線需求實踐,保留我校計算機犯罪偵查專業(yè)的特色和優(yōu)勢,我們可以對原有方案的課程設置做如下調整:
(1)大學通識教育課程和公安學課程類保持不變。
(2)對專業(yè)基礎課程進行調整,使其涵蓋數學、計算機、電子、通信學科的基礎內容。在原有方案中,增加“電路與電子技術”、“通信原理”兩門課程。同時把“離散數學”改為“信息安全數學基礎”,增加數論和群環(huán)域等代數內容,偵查學課程只保留偵查學概論(公安學課程類中已講)、偵查程序內容。
(3)對專業(yè)主干課程進行調整。專業(yè)特色課程包括原有方案的“現代密碼學”、“網絡安全”、“信息網絡安全監(jiān)察技術”、“計算機犯罪偵查技術”,以及新增的“信息安全體系結構”和“計算機犯罪取證技術”。
(4)在專業(yè)提高課程中,對專業(yè)提高課進行了增減,包括原有“數字信號處理”、“嵌入式系統”、“多媒體技術”、“JAVA與面向對象程序設計”、“Linux原理與應用”以及新增的“信息隱藏與數字水印”、“電磁防護與物理安全”、“信息內容安全”、“信息安全新技術講座”、“電子取證技術”和“網絡程序設計”等。調整后的提高課程,增加了信息安全與計算機偵查技術的知識廣度,同時加強了學生程序開發(fā)能力。專業(yè)提高課程是按知識結構進行了簡單的分類,而在學生選修課程時可以打破選修方向限制,可根據興趣同時選修每個方向的每門課程。
(5)專業(yè)實驗實踐課程,在下一節(jié)介紹。
表1給出了計算機犯罪偵查專業(yè)方向的課程設置方案。
3 計算機犯罪偵查專業(yè)實驗實踐教學的設計
計算機犯罪偵查是一個實踐性很強的學科,尤其適應公安網監(jiān)等部門的業(yè)務要求,要求學生有更強的解決實際問題的能力,計算機犯罪偵查專業(yè)必須加強實踐環(huán)節(jié)的教學。因此我校特別加強了專業(yè)實驗實踐課,包括獨立實驗課程、專業(yè)課題設計、項目實踐、畢業(yè)課題、科技創(chuàng)新、公安認知型實踐、公安專業(yè)業(yè)務實習等多種形式。
(1)專業(yè)實驗課程。包括原有方案中的“密碼技術應用實驗”、“微機系統與接口實驗”、“計算機取證技術訓練”和“計算機組成實驗”,以及新增的“計算機網絡實驗”、“信息安全綜合實驗”、“網絡安全實驗”等。
(2)專業(yè)課程設計。在專業(yè)課教學中,由任課教師安排組織學生組成若干項目組,根據教學內容設計題目進行編程開發(fā)和系統實現。可進行“嵌入式系統設計”、“計算機網絡系統設計”和“信息安全工程系統設計”等一般性課程設計,也可以進行“程序設計綜合訓練”、“信息安全系統軟件”等大型應用軟件課程設計。
(3)項目實踐。引導有特長的學生參與到系部老師在研的項目中,進行實際項目開發(fā)與工程實踐。
(4)科技創(chuàng)新。系部資助經費,鼓勵學生參加程序設計大賽、電子設計大賽、嵌入式系統大賽、科技創(chuàng)新或發(fā)明大賽、創(chuàng)新或創(chuàng)業(yè)設計大賽、撰寫學術論文等。
(5)畢業(yè)課題設計。由指導教師確定題目或結合公安實習單位相關項目,進行技術專題研究或工程設計。
(6)公安認知型實踐。主要在大一和大二的暑假,要求學生參與基層派出所工作,初步了解基層公安工作,樹立警察意識,培養(yǎng)警察職業(yè)的感性認識和適應能力。
(7)公安專業(yè)業(yè)務實習。大三和畢業(yè)實習中,深入了解公安業(yè)務,參與到網監(jiān)部門工作,掌握警察執(zhí)勤辦案程序,并結合所學計算機犯罪偵查專業(yè),參與到實習單位項目開發(fā)中,培養(yǎng)獨立工作能力。
表2給出了一個計算機犯罪偵查專業(yè)的實踐教學的安排。
公安大學計算機犯罪偵查實驗室結合了公安專業(yè)特色,目前建了計算機基礎實驗室、計算機軟件工程實驗室、計算機硬件實驗室、網絡攻防實驗室、計算機犯罪偵查實驗室和信息安全實驗室。我校信息安全工程系和安全防范系合作申請部級“電子證據實驗室”,主要以我國公安、司法部門針對計算機犯罪應用的法律和技術方面相關需求為導向,開展面向電子證據取證的技術、標準、檢驗方法、取證模型等領域的研究。
公安大學計算機基礎實驗室主要完成全校計算機公共課的實驗教學。計算機軟件工程實驗室主要面向計算機犯罪偵查系專業(yè)課學習,可進行軟件工程、面向對象語言等教學實驗。計算機硬件實驗室為“數字邏輯實驗”、“微機系統與接口實驗”和“計算機組成實驗”等實驗教學服務。網絡攻防實驗室主要進行網絡攻擊與防御技術、計算機病毒原理與防治、入侵檢測等實驗教學。計算機犯罪偵查實驗室主要進行計算機犯罪偵查技術、計算機犯罪取證技術和偵控、監(jiān)控技術的教學實驗。信息安全實驗室主要為現代密碼學等相關內容的教學實驗服務。在申請的“電子證據實驗室”將為學生可以提供計算機犯罪偵查和電子取證的綜合軟硬件的實驗實踐場所。
論文摘要:結合單位的實際,分析了現有計算機專業(yè)課程特點和不足,討論了高師計算機專業(yè)學生開設信息安全法律法規(guī)課程的必要性、可行性,分析了信息安全技術課程、與信息安全有關法律法規(guī)課程的特點.給出了高師信息安全法律課程的教學目標定位、設置方法.
論文關鍵詞:高師計算機專業(yè);信息安全;法律法規(guī)課程
人類進入21世紀,現代信息技術迅猛發(fā)展,特別是網絡技術的快速發(fā)展,互聯網正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球.
網絡已成為人們尤其是大學生獲取知識、信息的最快途徑.網絡以其數字化、多媒體化以及虛擬性、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式,而且正影響著他們的人生觀、世界觀、價值取向,甚至利用自己所學的知識進行網絡犯罪,所有這些使得高師學生思想政治工作特別是從事網絡教學、實踐的計算機專業(yè)的教育工作者來說,面臨著前所未有的機遇和挑戰(zhàn),這不僅因為,自己一方面要傳授學生先進的網絡技術,另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看,違法與不違法只是一兩條指令之間的事情,更重要的是高師計算機專業(yè)學生將來可能成為老師去影響他的學生,由此可見,在高師計算機專業(yè)學生中開設與信息安全有關的法律法規(guī)課程有著十分重要的意義.如何抓住機遇,研究和探索網絡環(huán)境下的高師計算機專業(yè)學生信息安全法律法規(guī)教學的新特點、新方法、新途徑、新對策已成為高師計算機專業(yè)教育者關心和思考的問題.本文主要結合我校的實際,就如何在高師計算機專業(yè)中開設信息安全法律課程作一些探討.
1現有的計算機專業(yè)課程特點
根據我校人才培養(yǎng)目標、服務面向定位,按照夯實基礎、拓寬專業(yè)口徑、注重素質教育和創(chuàng)新精神、實踐能力培養(yǎng)的人才培養(yǎng)思路,溝通不同學科、不同專業(yè)之間的課程聯系.全校整個課程體系分為“通識教育課程、專業(yè)課程(含專業(yè)基礎課程、專業(yè)方向課程)、教師教育課程(非師范除外)、實踐教學課程”四個大類,下面僅就計算機專業(yè)課程的特點介紹.
1.1專業(yè)基礎課程專業(yè)基礎課是按學科門類組織的基礎知識課程模塊,均為必修課.目的是在大學學習的初期階段,按學科進行培養(yǎng),夯實基礎,拓寬專業(yè)口徑.考慮到學科知識體系、學生轉專業(yè)等需要,原則上各學科大類所涵蓋的各專業(yè)的學科專業(yè)基礎課程應該相同.主要內容包括:計算機科學概論、網頁設計與制作、C++程序設計、數據結構、操作系統等.
1.2專業(yè)方向課程各專業(yè)應圍繞人才培養(yǎng)目標與規(guī)格設置主要課程,按照教育部《普通高等學校本科專業(yè)目錄》的有關要求,結合學校實際設置必修課程和選修課程.同時可以開設2—3個方向作為限選.學生可以根據自身興趣和自我發(fā)展的需要,在任一方向課程組中選擇規(guī)定學分的課程修讀.主要內容包括:計算機網絡、匯編語言程序設計、計算機組成原理、數據庫系統、軟件工程導論、軟件工程實訓、計算機系統結構等.
1.3現有計算機專業(yè)課程設置的一些不足計算機技術一日千里,對于它的課程設置應該具有前瞻性,考慮到時代的變化,計算機應用專業(yè)旨在培養(yǎng)一批適合現代軟件工程、網絡工程發(fā)展要求的軟件工程、網絡工程技術人員,現有我校的計算機專業(yè)課程是針對這一目標進行設置的,但這一設置主要從技術的角度來考慮問題,沒有充分考慮到:隨著時代的發(fā)展,人們更廣泛的使用網絡、更關注信息安全這一事實,作為計算機專業(yè)的學生更應該承擔起自覺維護起信息安全的責任,作為高師計算機專業(yè)的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網絡安全的事情.
2高師計算機專業(yè)學生開設信息安全法律法規(guī)的必要性和可行性
2.1必要性信息安全學科群體系由核心學科群、支撐學科群和應用學科群三部分構成,是一個“以信息安全理論為核心,以信息技術、信息工程和信息安全等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系.該學科交叉性、邊緣性強,應用領域面寬,是一個龐大的學科群體系,涉及的知識點也非常龐雜.
僅就法學而言,信息安全涉及的法學領域就包括:刑法(計算機犯罪,包括非法侵入計算機信息系統罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產權法(著作權的侵害、信息網絡傳播權等)等許多法學分支.因此,信息安全教育不是一項單一技術方面的教育,加強相關法律課程設置,是信息安全學科建設過程中健全人才培養(yǎng)體系的重要途徑與任務.
高師計算機專業(yè),雖然沒有開設與信息安全專業(yè)一樣多與信息安全的有關技術類課程.但這些專業(yè)的學生都有從事網絡工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力,只要具備這些能力且信息安全意識不強的人,都可能有意識或無意識的干出違反法律的事情,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生.由此可見,在高師計算機專業(yè)的學生中開設相關的法律法規(guī)選修課程是必要的.
2.2可行性技術與法律原本并不關聯,但是在信息安全領域,技術與法律卻深深的關聯在一起,在全世界各國都不難發(fā)現諸如像數字簽名、PKI應用與法律體系緊密關聯.從本質上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術革命過程中產生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要.這也就要求我們跳出技術思維的影響,重視信息安全中的法律范疇.
根據前面對信息安全法律法規(guī)內容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯系.從事計算機技術的人員很容易轉到從事信息安全技術研究上,加之信息安全技術是當今最熱門技術之一,因此,在高師計算機專業(yè)中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯的信息安全法律法規(guī)選修課程學生容易接受,具有可操作性.
3信息安全技術課程特點
信息安全技術課程所涉及的內容眾多,有數學、計算機、通信、電子、管理等學科,既有理論知識,又有實踐知識,理論與實踐聯系十分緊密,新方法、新技術以及新問題不斷涌現,這給信息安全課程設置帶來了很大的難度,為使我校計算機專業(yè)學生了解、掌握這一新技術,我們在專業(yè)課程模塊中開設《密碼學基礎》、《網絡安全技術》、《入侵檢測技術》等作為專業(yè)選修課.我校本課程具有以下特點:
(1)每學期都對知識內容進行更新.
(2)對涉及到的基本知識面,分別采用開設專業(yè)課、專業(yè)選修課、講座等多種方式,讓學生了解信息安全知識體系,如有操作系統、密碼學基礎、防火墻技術、VPN應用、信息安全標準、網絡安全管理、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學習信息安全技術課程之前,都可設了相應的先行課程讓學生了解、掌握,如開設了計算機網絡基本原理、操作系統、計算機組成原理、程序設計和數論基礎等課程.
(4)注重實踐教學.比如密碼學晦澀難懂的概念,不安排實驗實訓,不讓學生親手去操作,就永遠不能真正理解和運用.防火墻技術只有通過親手配置和測試.才能領會其工作機理.對此我們在相關的課程都對學生作了實踐、實訓的要求.
4涉及到信息安全法律法規(guī)內容的特點
信息安全的特點決定了其法律、法規(guī)內容多數情況下都涉及到網絡技術、涉及到與網絡有關的法律、法規(guī).
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣,如利用網絡進行經濟詐騙;利用網絡獲取國家政治、經濟、軍事情報;利用網絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的.
4.2涉及領域的廣泛性隨著網絡技術的迅速發(fā)展,信息化的浪潮席卷全球,信息化和經濟全球化互相交織,信息在經濟和社會活動中的作用甚至超過資本,成為經濟增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關注,大到軍事政治等機密安全,小到防范商業(yè)企業(yè)機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經濟、政治、軍事等的各個部門、各個領域.
4.3技術的復雜性信息安全不僅涉及到技術問題,也涉及到管理問題,信息安全技術又涉及到網絡、編碼等多門學科,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時,又需要考慮其技術性的特征,符合技術上的要求.
4.4信息安全法律優(yōu)先地位綜上所述,信息安全的法律保護不是靠一部法律所能實現的,而是要靠涉及到信息安全技術各分支的信息安全法律法規(guī)體系來實現.因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網絡法的雙重地位,必須與網絡技術和網絡立法同步建設,因此,具有優(yōu)先發(fā)展的地位.
5高師信息安全技術課程中的法律法規(guī)內容教學目標
對于計算機專業(yè)或信息安全專業(yè)的本科生和研究生,應深入理解和掌握信息安全技術理論和方法,了解所涉到的常見的法律法規(guī),深入理解和掌握網絡安全技術防御技術和安全通信協議.
而對普通高等師范院校計算機專業(yè)學生來說,由于課程時間限制,不能對信息安全知識作較全面的掌握,也不可能過多地研究密碼學理論,更不可能從法律專業(yè)的角度研究信息安全所涉到的法律法規(guī),為此,開設信息安全法律法規(guī)課程內容的教學目標定位為:了解信息安全技術的基本原理基礎上,初步掌握涉及網絡安全維護和網絡安全構建等技術的法律、法規(guī)和標準.如:《中華人民共和國信息系統安全保護條例》,《中華人民共和國數字簽名法》,《計算機病毒防治管理辦法》等.
6高師信息安全技術法律法規(guī)課程設置探討
根據我校計算機專業(yè)課程體系結構,信息安全有關的法律法規(guī)課程,其中多數涉及信息安全技術層面,主要以選修課、講座課為主,作為信息安全課程的補充.主要可開設以下選修課課程或講座課程.
(1)信息安全法律法規(guī)基礎講座:本講座力圖改變大家對信息安全的態(tài)度,使操作人員知曉信息安全的重要性、企業(yè)安全規(guī)章制度的含義及其職責范圍內需要注意的安全問題,讓學生首先從信息安全的非技術層面了解與信息安全有關的法律、法規(guī),主要內容包括:國內信息安全法律法規(guī)概貌、我國現有信息安全相關法律法規(guī)簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學習,可以借此提高自己的安全意識,了解常見的安全漏洞,識別黑客攻擊手法,熟悉提高系統抗攻擊能力的安全配置方法,最重要的還在于掌握一種學習信息安全知識的正確途徑和方法.
(3)計算機犯罪取證技術:計算機取證是計算機安全領域中的一個全新的分支,涉及計算機犯罪事件證據的獲取、保存、分析、證物呈堂等相關法律、程序、技術問題.本課程詳細介紹了計算機取證相關的犯罪的追蹤、密碼技術、數據隱藏、惡意代碼、主流操作系統取證技術,并詳細介紹了計算機取證所需的各種有效的工具,還概要介紹了美國與中國不同的司法程序.
論文關鍵詞:高師計算機專業(yè);信息安全;法律法規(guī)課程
人類進入21世紀,現代信息技術迅猛發(fā)展,特別是網絡技術的快速發(fā)展,互聯網正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球.
網絡已成為人們尤其是大學生獲取知識、信息的最快途徑.網絡以其數字化、多媒體化以及虛擬性、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式,而且正影響著他們的人生觀、世界觀、價值取向,甚至利用自己所學的知識進行網絡犯罪,所有這些使得高師學生思想政治工作特別是從事網絡教學、實踐的計算機專業(yè)的教育工作者來說,面臨著前所未有的機遇和挑戰(zhàn),這不僅因為,自己一方面要傳授學生先進的網絡技術,另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看,違法與不違法只是一兩條指令之間的事情,更重要的是高師計算機專業(yè)學生將來可能成為老師去影響他的學生,由此可見,在高師計算機專業(yè)學生中開設與信息安全有關的法律法規(guī)課程有著十分重要的意義.如何抓住機遇,研究和探索網絡環(huán)境下的高師計算機專業(yè)學生信息安全法律法規(guī)教學的新特點、新方法、新途徑、新對策已成為高師計算機專業(yè)教育者關心和思考的問題.本文主要結合我校的實際,就如何在高師計算機專業(yè)中開設信息安全法律課程作一些探討.
1現有的計算機專業(yè)課程特點
根據我校人才培養(yǎng)目標、服務面向定位,按照夯實基礎、拓寬專業(yè)口徑、注重素質教育和創(chuàng)新精神、實踐能力培養(yǎng)的人才培養(yǎng)思路,溝通不同學科、不同專業(yè)之間的課程聯系.全校整個課程體系分為“通識教育課程、專業(yè)課程(含專業(yè)基礎課程、專業(yè)方向課程)、教師教育課程(非師范除外)、實踐教學課程”四個大類,下面僅就計算機專業(yè)課程的特點介紹.
1.1專業(yè)基礎課程專業(yè)基礎課是按學科門類組織的基礎知識課程模塊,均為必修課.目的是在大學學習的初期階段,按學科進行培養(yǎng),夯實基礎,拓寬專業(yè)口徑.考慮到學科知識體系、學生轉專業(yè)等需要,原則上各學科大類所涵蓋的各專業(yè)的學科專業(yè)基礎課程應該相同.主要內容包括:計算機科學概論、網頁設計與制作、C++程序設計、數據結構、操作系統等.
1.2專業(yè)方向課程各專業(yè)應圍繞人才培養(yǎng)目標與規(guī)格設置主要課程,按照教育部《普通高等學校本科專業(yè)目錄》的有關要求,結合學校實際設置必修課程和選修課程.同時可以開設2—3個方向作為限選.學生可以根據自身興趣和自我發(fā)展的需要,在任一方向課程組中選擇規(guī)定學分的課程修讀.主要內容包括:計算機網絡、匯編語言程序設計、計算機組成原理、數據庫系統、軟件工程導論、軟件工程實訓、計算機系統結構等.
1.3現有計算機專業(yè)課程設置的一些不足計算機技術一日千里,對于它的課程設置應該具有前瞻性,考慮到時代的變化,計算機應用專業(yè)旨在培養(yǎng)一批適合現代軟件工程、網絡工程發(fā)展要求的軟件工程、網絡工程技術人員,現有我校的計算機專業(yè)課程是針對這一目標進行設置的,但這一設置主要從技術的角度來考慮問題,沒有充分考慮到:隨著時代的發(fā)展,人們更廣泛的使用網絡、更關注信息安全這一事實,作為計算機專業(yè)的學生更應該承擔起自覺維護起信息安全的責任,作為高師計算機專業(yè)的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網絡安全的事情.
2高師計算機專業(yè)學生開設信息安全法律法規(guī)的必要性和可行性
2.1必要性信息安全學科群體系由核心學科群、支撐學科群和應用學科群三部分構成,是一個“以信息安全理論為核心,以信息技術、信息工程和信息安全等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系.該學科交叉性、邊緣性強,應用領域面寬,是一個龐大的學科群體系,涉及的知識點也非常龐雜.
僅就法學而言,信息安全涉及的法學領域就包括:刑法(計算機犯罪,包括非法侵入計算機信息系統罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產權法(著作權的侵害、信息網絡傳播權等)等許多法學分支.因此,信息安全教育不是一項單一技術方面的教育,加強相關法律課程設置,是信息安全學科建設過程中健全人才培養(yǎng)體系的重要途徑與任務.
高師計算機專業(yè),雖然沒有開設與信息安全專業(yè)一樣多與信息安全的有關技術類課程.但這些專業(yè)的學生都有從事網絡工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力,只要具備這些能力且信息安全意識不強的人,都可能有意識或無意識的干出違反法律的事情,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生.由此可見,在高師計算機專業(yè)的學生中開設相關的法律法規(guī)選修課程是必要的.
2.2可行性技術與法律原本并不關聯,但是在信息安全領域,技術與法律卻深深的關聯在一起,在全世界各國都不難發(fā)現諸如像數字簽名、PKI應用與法律體系緊密關聯.從本質上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術革命過程中產生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要.這也就要求我們跳出技術思維的影響,重視信息安全中的法律范疇.
根據前面對信息安全法律法規(guī)內容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯系.從事計算機技術的人員很容易轉到從事信息安全技術研究上,加之信息安全技術是當今最熱門技術之一,因此,在高師計算機專業(yè)中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯的信息安全法律法規(guī)選修課程學生容易接受,具有可操作性.
3信息安全技術課程特點
信息安全技術課程所涉及的內容眾多,有數學、計算機、通信、電子、管理等學科,既有理論知識,又有實踐知識,理論與實踐聯系十分緊密,新方法、新技術以及新問題不斷涌現,這給信息安全課程設置帶來了很大的難度,為使我校計算機專業(yè)學生了解、掌握這一新技術,我們在專業(yè)課程模塊中開設《密碼學基礎》、《網絡安全技術》、《入侵檢測技術》等作為專業(yè)選修課.我校本課程具有以下特點:
(1)每學期都對知識內容進行更新.
(2)對涉及到的基本知識面,分別采用開設專業(yè)課、專業(yè)選修課、講座等多種方式,讓學生了解信息安全知識體系,如有操作系統、密碼學基礎、防火墻技術、VPN應用、信息安全標準、網絡安全管理、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學習信息安全技術課程之前,都可設了相應的先行課程讓學生了解、掌握,如開設了計算機網絡基本原理、操作系統、計算機組成原理、程序設計和數論基礎等課程.
(4)注重實踐教學.比如密碼學晦澀難懂的概念,不安排實驗實訓,不讓學生親手去操作,就永遠不能真正理解和運用.防火墻技術只有通過親手配置和測試.才能領會其工作機理.對此我們在相關的課程都對學生作了實踐、實訓的要求.
4涉及到信息安全法律法規(guī)內容的特點
信息安全的特點決定了其法律、法規(guī)內容多數情況下都涉及到網絡技術、涉及到與網絡有關的法律、法規(guī).
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣,如利用網絡進行經濟詐騙;利用網絡獲取國家政治、經濟、軍事情報;利用網絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的.
4.2涉及領域的廣泛性隨著網絡技術的迅速發(fā)展,信息化的浪潮席卷全球,信息化和經濟全球化互相交織,信息在經濟和社會活動中的作用甚至超過資本,成為經濟增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關注,大到軍事政治等機密安全,小到防范商業(yè)企業(yè)機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經濟、政治、軍事等的各個部門、各個領域.
4.3技術的復雜性信息安全不僅涉及到技術問題,也涉及到管理問題,信息安全技術又涉及到網絡、編碼等多門學科,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時,又需要考慮其技術性的特征,符合技術上的要求.
4.4信息安全法律優(yōu)先地位綜上所述,信息安全的法律保護不是靠一部法律所能實現的,而是要靠涉及到信息安全技術各分支的信息安全法律法規(guī)體系來實現.因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網絡法的雙重地位,必須與網絡技術和網絡立法同步建設,因此,具有優(yōu)先發(fā)展的地位.
5高師信息安全技術課程中的法律法規(guī)內容教學目標
對于計算機專業(yè)或信息安全專業(yè)的本科生和研究生,應深入理解和掌握信息安全技術理論和方法,了解所涉到的常見的法律法規(guī),深入理解和掌握網絡安全技術防御技術和安全通信協議.
而對普通高等師范院校計算機專業(yè)學生來說,由于課程時間限制,不能對信息安全知識作較全面的掌握,也不可能過多地研究密碼學理論,更不可能從法律專業(yè)的角度研究信息安全所涉到的法律法規(guī),為此,開設信息安全法律法規(guī)課程內容的教學目標定位為:了解信息安全技術的基本原理基礎上,初步掌握涉及網絡安全維護和網絡安全構建等技術的法律、法規(guī)和標準.如:《中華人民共和國信息系統安全保護條例》,《中華人民共和國數字簽名法》,《計算機病毒防治管理辦法》等.
6高師信息安全技術法律法規(guī)課程設置探討
根據我校計算機專業(yè)課程體系結構,信息安全有關的法律法規(guī)課程,其中多數涉及信息安全技術層面,主要以選修課、講座課為主,作為信息安全課程的補充.主要可開設以下選修課課程或講座課程.
(1)信息安全法律法規(guī)基礎講座:本講座力圖改變大家對信息安全的態(tài)度,使操作人員知曉信息安全的重要性、企業(yè)安全規(guī)章制度的含義及其職責范圍內需要注意的安全問題,讓學生首先從信息安全的非技術層面了解與信息安全有關的法律、法規(guī),主要內容包括:國內信息安全法律法規(guī)概貌、我國現有信息安全相關法律法規(guī)簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學習,可以借此提高自己的安全意識,了解常見的安全漏洞,識別黑客攻擊手法,熟悉提高系統抗攻擊能力的安全配置方法,最重要的還在于掌握一種學習信息安全知識的正確途徑和方法.
(3)計算機犯罪取證技術:計算機取證是計算機安全領域中的一個全新的分支,涉及計算機犯罪事件證據的獲取、保存、分析、證物呈堂等相關法律、程序、技術問題.本課程詳細介紹了計算機取證相關的犯罪的追蹤、密碼技術、數據隱藏、惡意代碼、主流操作系統取證技術,并詳細介紹了計算機取證所需的各種有效的工具,還概要介紹了美國與中國不同的司法程序.
關鍵詞: 計算機網絡 教學改革 考試改革 仿真平臺 協議分析
隨著工業(yè)化、信息化程度的不斷提高,計算機網絡在社會生產、生活各領域發(fā)揮越來越重要的作用。很多行業(yè)在選用網絡相關技術人才時考核學生掌握的網絡基本知識、基本原理掌握程度及網絡規(guī)劃、建設、管理、運維能力,這就為高校應用型人才培養(yǎng)提出明確目標。
1. “計算機網絡”考試改革提出的背景
適應網絡新技術與新應用帶來的新形勢,為維護網絡社會穩(wěn)定、打擊網絡違法犯罪,公安院校需要為網絡警察實戰(zhàn)部門培養(yǎng)后備軍。互聯網是網絡警察執(zhí)法的工作陣地,需要學生在校期間系統、扎實地掌握網絡協議、工程、應用相關知識和技能,才能勝任日后在網絡環(huán)境下從事公共信息網絡安全監(jiān)管、信息監(jiān)控、攻擊防御、偵查取證等執(zhí)法工作。加強計算機網絡課程教學的課程改革和實戰(zhàn)訓練是實現網絡保衛(wèi)執(zhí)法技術專業(yè)人才培養(yǎng)目標的重要手段。
1.1 課程定位
“計算機網絡”是網絡安全保衛(wèi)執(zhí)法技術專業(yè)的專業(yè)基礎課、必修課,在大學二年級春季學期開設。網絡知識的理解和實踐,既為學生繼續(xù)學習網絡安全、信息對抗、網絡犯罪偵查等專業(yè)課提供支撐,又為學生在網絡環(huán)境下從事公共信息網絡安全監(jiān)管、信息監(jiān)控、攻擊防御、偵查取證提供支撐 [1]。
1.2 教學內容及組織形式
“計算機網絡”課程主要講授互聯網體系結構、網絡建設及網絡應用。通過課程學習,學生可以系統理解網絡通信協議,掌握網絡規(guī)劃、設計、建設及運維,精通協議通信處理過程及相關網絡設備組件特性,靈活利用TCP/IP參考模型知識指導解決網絡安全保衛(wèi)、計算機犯罪偵查工作中碰到的疑難問題。即學生對于計算機網絡的學習,應當理論與實踐并重,理解網絡工作原理和網絡工程項目實踐并重。
然而,“計算機網絡”課程的知識體系繁雜、互聯網協議工作原理深奧難懂、實踐能力培養(yǎng)對路由器、交換機、服務器等硬件依賴性強。為此,在教學改革過程中提出基于“教學練戰(zhàn)一體化”的計算機網絡教學設計,如下圖所示。
2.考試改革的目的
2.1原有考試存在的弊端
考試是檢驗教學質量和效果的重要手段。傳統的“期末閉卷筆試”已經不適應教學練戰(zhàn)一體化教學模式下的計算機網絡課程的考核,原因分析如下:
2.1.1將考試時間安排在期末,即所有教學內容已經完成,考試目的只是檢測“教”與“學”的最終效果,雖然閱卷過程中教師可以統計分析學生對教學重點、難點的掌握程度,但因為課程已經結束,無法及時反饋學生學習效果,不能良性促進課堂教學內容、手段、方法的調整。
2.1.2采用閉卷、筆試考試形式[2][3],測試內容偏重理論及理論的運用,導致學生忽視平時積累、考前集中突擊背誦,無法實現“養(yǎng)成素質、掌握知識、精通能力”的培養(yǎng)目標。
2.1.3紙質試卷無法檢驗“練”和“戰(zhàn)”的效果。在教學過程中,學生要借助Packet Tracer仿真軟件,Wireshark協議分析軟件及硬件路由器、交換機等工具積累網絡規(guī)劃設計、運維管理能力。這些知識和技能的掌握程度無法通過一張紙質試卷檢測和評定。
2.2考試改革的目的
考試改革的出發(fā)點在于加強理論與實踐的結合,使學生通過實際動手操作,更深入地理解和掌握理論知識,靈活運用網絡原理解決網絡組建、應用過程中遇到的問題,這一考試改革的出發(fā)點符合公安院校應用型人才要“精于實戰(zhàn)”的培養(yǎng)目標。
3.考試改革的內容與組織形式
為充分發(fā)揮考試的檢驗與反饋作用,“計算機網絡”課程考試改革設置課堂作業(yè)、實驗實訓、期中測試、課程論文、上機測試五個考核環(huán)節(jié),占比權重分別為10%、10%、20%、10%、40%。具體分析如下:
3.1課堂作業(yè)考評
課堂作業(yè)考評重點檢測學生對單元知識點的理解和掌握程度。教師隨堂布置作業(yè),題目設計要緊扣教學重點和難點。通過學生的作業(yè)完成情況,教師可以及時調整教學安排,對于作業(yè)中的共性問題通過重點講解,結合案例深入剖析,使學生克服畏難心理,將理論部分扎實掌握。
3.2實驗實訓考評
實驗實訓考評重點檢測學生對軟硬件實驗平臺的熟悉程度,考核學生網絡規(guī)劃、設計、組建、故障診斷與維護網絡的能力。通常“計算機”網絡課一學期有四個實驗實訓項目,教師指導完成其中的兩個驗證性實驗。另外一個設計型實驗和一個綜合型實驗列入考試改革考評、教師引導,學生以小組形式根據設定的網絡情境,進行組網方案設計和故障診斷排除,考評側重于方案設計、團隊組織分工、網絡性能評價等指標。
3.3期中測試
期中測試安排在期中教學檢查周隨堂進行,考核前半學期的教學重點,主要評估學生對基本知識和原理的掌握程度。期中測試以筆試閉卷或開卷形式進行,題目難度應適中或稍微增加難度。增加該環(huán)節(jié),可以及時有效地反饋學生學習效果,提高學習主動性,堅持預習、學習、復習不間斷。
3.4課程論文
增加課程論文的目的是鼓勵學生在學習掌握現有網絡理論體系的基礎上,跟蹤網絡新技術與新應用的發(fā)展,探討前沿技術及應用在公安信息化、網絡安全保衛(wèi)執(zhí)法領域應用的現狀與趨勢。
3.5上機測試
基于仿真的上機測試是安排在學期末進行的綜合考試,在整個考評環(huán)節(jié)中占比最大,為40%,重點考核案例分析能力、發(fā)現問題解決問題的能力。結合培養(yǎng)方案和教學大綱的要求,上機測試設計三個大的題目,分別考評學生網絡工程、協議分析、網絡原理及應用的綜合知識和技能。
3.5.1網絡工程題要求學生根據題目設定的情境,進行局域網組網方案設計、規(guī)劃IP地址;在Cisco Packet Tracer仿真平臺上進行路由器、交換機、服務器設備選型,按照規(guī)劃的網絡進行網絡設備聯網和調試;分析網絡連接狀態(tài),完成故障診斷;最終在實現網絡連接、設備互聯互通。測試學生網絡工程實踐能力。
3.5.2協議分析題是對于特定環(huán)境下的網絡捕包文件進行分析,使用Wireshark軟件對應用層、傳輸層、網絡層、網絡接口層協議數據單元進行還原,從中提取出關鍵信息,測試學生根據捕獲數據流重現通信主機IP地址、使用賬號密碼、使用的軟件名稱、傳輸數據內容等網絡行為的能力。
3.5.3網絡原理及應用題目屬于綜合性題目,從網絡應用協議的工作原理、解釋網絡服務工作過程中遇到的應用現象出發(fā),內容覆蓋了教學大綱中的多個知識點,這部分題目實際是考查學生理論聯系實際,并靈活運用理論指導實踐、解決實踐中遇到問題的能力。
4.考試改革實踐
我校2006年建立計算機網絡硬件實驗室,實踐教學增加了交換網絡、路由網絡、服務器搭建、協議分析等實驗。2010年在教學中引入Cisco Packet Tracer仿真工具輔助學生課下自主學習。近年來,在教學練戰(zhàn)一體化教學模式下的“計算機網絡”改革過程中,為科學評價學生的學習質量和效果,不斷調整完善考試改革內容、方法和組織形式,最終形成課堂作業(yè)、實驗實訓、期中測試、課程論文、上機測試五個考核環(huán)節(jié)。根據連續(xù)兩年實施考試改革的實踐效果,對480名學生進行聽課狀態(tài)、作業(yè)質量、實踐能力、考試分數,以及學生學習其他專業(yè)課的知識儲備能力方面進行跟蹤評估,可以肯定該考試改革極大地調動了學生學習的主動性、創(chuàng)造性。學生能夠扎實掌握計算機網絡基礎知識和技能,靈活運用網絡知識和技能解決后續(xù)課程學習中遇到的困難。
5.結語
本文提出考試改革,采用多種形式對學生學習階段全過程考核,可以檢驗課程“教”“學”“練”“戰(zhàn)”的效果,理論與實踐相結合,提高學生學習的積極性、主動性,真正提高教學質量。
參考文獻:
[1]黃淑華. 網絡仿真工具在警務實訓中的應用研究與實踐.警察技術,2012(4).
【關鍵詞】計算機,網絡安全,威脅,維護措施
中圖分類號:TN711 文獻標識碼:A 文章編號:
一.前言
知識經濟是現代經濟發(fā)展的重要趨勢之一,掌握了信息便掌握了各種競爭力,掌握著主動權,。在知識信息時代,各種各數據信息在國家經濟的發(fā)展,政治的穩(wěn)定,社會的和諧和人們生活水平的提高中都扮演著越來越重要的角色。在計算機網絡技術廣泛被應用到各個領域的同時,也有越來越多的人逐漸認識到整個網絡安全管理的重要意義。在信息時代,計算機網絡技術在廣泛運用的同時,也因為各種原因面臨著破壞或者是數據的丟失,不僅僅嚴重妨礙了整個信息系統的安全和其功能的正常發(fā)揮,比如設備故障,數據丟失,操作人員失誤,數據庫受到病毒侵襲等,在造成整個信息系統無法正常使用的同時,對一些核心數據也有著泄露的風險,帶來巨大的經濟損失,隨著計算機網絡的逐漸推廣,加強對信息的安全管理,提高操作人員的專業(yè)技能,規(guī)范操作,從設備等各個方面,加強安全控制,保證整個計算機網絡系統的安全運行。
二.計算機網絡安全所面臨的威脅分析
1.操作中存在問題
在操作過程中國,主要是體現在操作系統中存在的問題,比如各種病毒,數據和操作系統的關聯等。主要體現幾個方面。第一,各種病毒會使得數據庫中存在很多的安全隱患,比如特洛伊木馬程序能夠從操作系統中,利用操作系統和數據庫的關聯性,很大程度的威脅到整個數據庫的安全性,比如,特洛伊木馬程序會更改入住程序的密碼,使得程序的信息密碼安全被入侵者威脅。第二,在整個操作系統的后面,由于數據庫的相關參數使得管理更方便管理,但是也因此使得數據庫的服務主機上容易出現各種后門,這些后門也為各種入侵的黑客提供了方便。
2.安全管理力度不夠,管理缺乏規(guī)范性
在計算機網絡的使用過程中,對計算機網絡的安全管理缺乏重視,對計算機網絡安全管理的意義沒有能夠真正深入了解,從而,在使用計算機網絡時候,操作不規(guī)范,各種安全管理措施沒有能夠得到貫徹落實。比如,在數據庫管理過程中,安全管理人員沒有按照規(guī)定定期對數據庫補丁進行修復,對數據庫服務器的訪問權限沒有做出較好設置等,這些不規(guī)范的操作都使得整個數據庫系統時刻都面臨著各種風險的侵襲,比如,如果數據庫管理人員幾個月都沒有對補丁進行修復,則隨時會讓數據庫處于漏洞狀態(tài),為各種病毒,黑客的入侵大開了方便之門。筆者多年計算機數據庫安全管理經驗而言,在計算機網絡的安全管理中,很大程度上,各種風險都是因為計算機網絡系統中存在的安全漏洞沒有得到修復,或者是太過簡單的登陸密碼很久沒有進行修改造成的。計算機網絡系統的使用人員缺乏安全意識,風險控制常識缺乏,這是整個計算機網絡面臨著很大威脅最為關鍵的原因之一。
3.計算機網絡系統自身存在缺陷
在我國,計算機網絡技術的推廣應用已經有了比較長的時間了,理論上,各種產品和系統也較為成熟,特性也比較強大,但是,在具體實際操作中,現在廣泛使用的計算機網絡技術中那些比較強大的特性沒有能夠真正的顯現出來,比如安全性能,在整個系統中遠遠難以滿足需求。總的而言,現在的各種計算機網絡系統在成熟度上依然缺乏。
4. 人為的惡意攻擊
這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏
三.計算機網絡安全管理措施分析
1.加強訪問控制和識別
(一)加強用戶標識的識別和鑒定
在計算機網絡系統中,系統會對用戶的標識做出識別和鑒定,這是整個計算機網絡系統安全保護最基本的措施之一。經過幾十年的發(fā)展,用戶標識的識別鑒定已經有了多種方法,比如,用戶用身份證來驗證,或者是通過身份證來回答驗證口令,或者隨機進行數據運算回答等等,因此,要據計算機網絡系統的實際情況作出科學合理的選擇。也可以在同一個系統中同時使用多種鑒別方法,如此,可以很大程度的提高整個系統的安全性。
(二)加強訪問控制
在計算機網絡系統安全管理中,要能夠使得系統能夠滿足用戶的訪問,加強安全控制,這是整個系統安全管理的重要措施之一。加強對計算機網絡系統的訪問控制便可以限制一些非法用戶進行破壞,或者是越權使用一些受到保護的網絡資料,通過嚴格的訪問控制,使得對數據的輸入,修改,刪除等各個環(huán)節(jié)都有著嚴格的規(guī)范,防止沒有授權的用戶訪問,保證整個系統信息的機密性和安全性。
2.物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。
3. 防火墻控制
防火墻是近期發(fā)展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進 / 出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監(jiān)控系統來隔離內部和外部網絡,以阻檔外部網絡的侵入。
四.結束語
計算機網絡的安全管理是整個信息系統安全管理的重要組成部分,在安全管理的各個環(huán)節(jié)中,最關鍵的是減少各種風險和威脅,避免各種來自外部風險的威脅,很多類型的威脅和風險是無法徹底消除的,那就需要采取有效的措施,對各種可能發(fā)生風險的環(huán)節(jié)做出強有力的控制,以減少對企業(yè)核心數據庫的威脅和破壞要從多方面進行,不僅僅要不斷研發(fā)計算機網絡安全技術,也要采用先進合理的系統設備,并加強對操作人員的專業(yè)技術培訓,規(guī)范操作,利用網絡安全技術將整個計算機網絡的安全管理納入到規(guī)范管理范圍,促進整個計算機網絡安全性能的提升,保證數據安全,實現良好的社會經濟效益。
參考文獻:
[1]于柏仁 張海波 淺析計算機網絡安全的威脅及維護措施 [期刊論文] 《中小企業(yè)管理與科技》 -2008年29期
[2]張瑞娟 新網絡環(huán)境下的計算機網絡安全思考 [期刊論文] 《科技廣場》 -2011年11期
[3]李尹浩 計算機網絡安全的威脅及維護措施 [期刊論文] 《中國科技縱橫》 -2010年11期
[4]莊偉 維護計算機網絡安全的措施研究 [期刊論文] 《中國科技財富》 -2010年4期
[5]劉曉明 宋吉亮 論遼寧省地方稅務系統計算機網絡安全 [會議論文]2008 - 2008全國稅務信息化技術應用與建設成果交流論壇
論文摘要:內部控制關系到企業(yè)財產物資的安全完整,關系到會計系統對企業(yè)經濟活動反映的正確性和可靠性,本文從計算機會計系統的系統開發(fā),發(fā)展控制為出發(fā)點,詳細論述了電算化會計的日常控制。
1 強化電算化會計系統的內部控制勢在必行
計算機的使用改變了企業(yè)會計核算的環(huán)境 企業(yè)使用計算機處理會計和財務數據后,企業(yè)的會計核算的環(huán)境發(fā)生了很大的變化,會計部門的組成人員從原來由財務、會計專業(yè)人員組成,轉變?yōu)橛韶攧铡媽I(yè)人員和計算機數據處理系統的管理人員及計算機專家組成。會計部門不僅利用計算機完成基本的會計業(yè)務,還能利用計算機完成各種原先沒有的或由其他部門完成的更為復雜的業(yè)務活動。
電算化會計系統改變了會計憑證的形式 在電算化會計系統中,原先的書面形式的資料減少了,有些甚至消失了。由于電子商務、網上交易、無紙化交易等的推行,每一項交易發(fā)生時,有關該項交易的有關信息由業(yè)務人員直接輸入計算機,并由計算機自動記錄,原先使用的每項交易必備的各種憑證、單據被部分地取消了,原來在核算過程中進行的各種必要的核對、審核等工作有相當一部分變?yōu)橛捎嬎銠C自動完成了。原來書面形式的各類文件、現在儲存在磁性介質上,因此,電算化會計系統的內部控制與手工會計系統的內部控制制度有著很大的不同,控制的重點由對人的控制為主轉變?yōu)閷θ恕C控制為主,控制的程序也應當與計算機處理程序相一致。
計算機的使用提高了控制舞弊、犯罪的難度 隨著計算機使用范圍的擴大,利用計算機進行的貪污、舞弊、詐騙等犯罪活動也有所增加,由于儲存在計算機磁性媒介上的數據容易被篡改,未經授權的人員有可能通過計算機和網絡瀏覽全部數據文件,復制、偽造、銷毀企業(yè)重要的數據。計算機犯罪具有很大的隱蔽性和危害性,因此,電算化會計系統的內部控制不僅難度大、復雜,而且還要有各種控制的計算機技術手段。
2 電算化會計系統的內部控制要體現在工作的全過程
系統開發(fā)、發(fā)展控制。計算機會計系統的系統開發(fā)、發(fā)展控制包括開發(fā)前的可行性研究、資本預算、經濟效益評估等工作,開發(fā)過程中系統分析、系統設計、系統實施等工作,以及對現有系統的評估、企業(yè)發(fā)展需求、系統更新的可行性研究、更新方案的決策等工作。系統開發(fā)、發(fā)展控制的主要內容一般包括以下幾方面。
①授權和領導認可。認可和授權,計算機會計系統的開發(fā)項目一般投資金額都比較大,對企業(yè)整體管理目標的影響也比較大,往往需要對原有的管理體制進行較大的改革,是牽一發(fā)動全身的重大舉措,因此必需得到授權和領導認可。
②符合標準和規(guī)范。計算機會計系統的開發(fā)和發(fā)展項目,不論是自行組織開發(fā)還是購買商品化軟件,都必需遵循國家有關機關和部門制訂的標準和規(guī)范。其中包括符合標準和規(guī)范的開發(fā)和審批過程、合格的開發(fā)人員或軟件制造商、系統的文件資料和流程圖、系統各功能模塊的設計等等。
③人員培訓。計算機會計系統應在開發(fā)階段就要對使用該系統的有關人員進行培訓,提高這些人員對系統的認識和理解,以減少系統運行后出錯的可能性。外購的商品化軟件應要求軟件制作公司提供足夠的培訓機會和時間,在系統運行前對有關人員進行的培訓,不僅應包括系統的操作培訓,還應包括對運行流程,內部控制等多方面的培訓。
④系統轉換。新的計算機會計系統在投入使用,替換原有的手工會計系統或舊的計算機會計系統,必需經過一定的轉換程序。企業(yè)應在系統轉換之際,采取有效的控制手段,作好各項轉換的準備工作,企業(yè)在系統轉換購買自行開發(fā)相關系統后,應運行一段時間,以便檢驗新的計算機會計系統。運行的時間一般至少為三個月。
⑤程序修改控制。企業(yè)經營活動變化及經營環(huán)境變化,可能導致使用中的軟件進行修改,對會計軟件進行修改必須經過周密計劃和嚴格記錄,修改過程的每一個環(huán)節(jié)都必須設置必要的控制,計算機會計系統的操作人員不能參與軟件的修改,所有與軟件修改有關的記錄都應該打印后存檔。
管理控制 管理控制是指企業(yè)建立起一整套內部控制制度,以加強和完善對計算機會計系統涉及的各個部門和人員的管理和控制。管理控制包括組織機構的設置、責任劃分、上機管理、檔案管理、設備管理等等。
①組織機構設置。企業(yè)實現了會計電算化后,應對原有的組織機構進行適當的調整,以適應計算機會計系統的要求。企業(yè)可以按會計數據的不同形態(tài)劃分,也可以按會計崗位和工作職責劃分崗位。組織機構的設置必須適合企業(yè)的實際規(guī)模和企業(yè)總體經營目標,并且應按精簡、合理的原則對組織機構的設置進行成本效益分配。
②職責劃分。內部控制的關鍵之點就在于不相容職務的分離,計算機會計系統與手工會計系統一樣,對每一項可能引起舞弊或欺詐的經濟業(yè)務,都不能由一個人或一個部門經手到底,必須分別由幾個人或幾個部門承擔。企業(yè)為防止舞弊或欺詐。應建立一整套符合職責劃分原則的內部控制制度,同時,還應建立起職務輪換制度。
③上機管理。企業(yè)用于計算機會計系統的計算機應盡可能是專用的,企業(yè)應對計算機的使用建立一整套管理制度,以保證每一個工作人員和每一臺計算機都只做其應該做的事情。
④檔案管理。計算機會計系統有關的資料應及時存檔,企業(yè)應建立起完善的檔案制度,加強檔案管理。
⑤設備管理。對于用于計算機會計系統的各種硬件設備,應當建立一套完備的管理制度以保證設備的完好,保證設備能夠正常運行。硬件設備的管理包括對設備所處的環(huán)境進行的溫度、濕度、防火、防雷擊、防靜電等的控制,也包括對人文環(huán)境的控制,如防止無關人員進入計算機工作區(qū)域、防止設備被盜、防止設備用于其他方面等。
日常控制。日常控制是指企業(yè)計算機會計系統運行過程中的經常性控制。日常控制包括經濟業(yè)務發(fā)生控制、數據輸入控制、數據通訊控制、數據處理控制、數據輸出控制和數據儲存控制等。
①業(yè)務發(fā)生控制。業(yè)務發(fā)生控制又稱“程序檢查”,主要目的是采用相應的控制程序,甄別、拒納各種無效的、不合理的及不完整的經濟業(yè)務。
②數據輸入控制。由于計算機處理數據的能力很強,處理速度非常快,如果輸入的數據不準確,處理結果就會出現差錯,在數據輸入時如果存在哪怕是很小的錯誤數據,一旦輸入計算機就可能導致錯誤的擴大化,影響整個計算機會計系統的正常運行。因此,企業(yè)應該建立起一整套內部控制制度以便對輸入的數據進行嚴格的控制,保證數據輸入的準確性。
③數據通訊控制。數據通訊控制是企業(yè)為了防止數據在傳輸過程中發(fā)生錯誤、丟失、泄密等事故的發(fā)生而采取的內部控制措施。企業(yè)應該采用各種技術手段以保證數據在傳輸過程中的準確、安全,可靠。
④數據處理控制。數據處理控制是指對計算機會計系統進行數據處理的有效性和可靠性進行的控制。數據處理控制分為有效性控制和文件控制。
⑤數據輸出控制。數據輸出控制是企業(yè)為了保證輸出信息的準確、可靠而采取的各種控制措施。輸出數據控制一般應檢查輸出數(上接第90頁)
關鍵詞:高校;財務;信息化;內控分析
中圖分類號:G475 文獻標識碼:A 文章編號:1001-828X(2013)06-0-01
一、高校財務信息化管理和內部控制概述
高校財務信息化主要是指高校的財務業(yè)務流程利用計算機技術和網絡技術以及數據庫技術通過系統化的管理模式,利用財務信息平臺整合財務信息,為高校的運營覺得、戰(zhàn)略決策和管理決策提供準確有效的財務信息。高校財務管理信息化系統會直接影響到內部控制系統。財務信息內部控制是財務管理者為了保護財務信息而組織的資產安全系統,只有通過內部控制系統保證財務信息的完整性和安全性,才能促進財務管理政策得以有效實施。高校財務信息化管理的內部控制系統主要由控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控等五個基本部分構成。高效的財務管理信息化建設能夠為高校財務信息奠定良好的基礎,而成功的內部控制,是保證財務資產安全完整的前提。并且實現財務信息共享和信息整合,促進財務管理與高校管理的現代化。成功的內部控制,可以保證財務管理信息化的高效實施和企業(yè)經營目標的順利實現。
二、高校財務信息化中內部控制系統的構建
隨著信息技術和網絡技術的應用和發(fā)展,給高校財務信息化的內部控制系統注入了新的內涵和血液。使得財務內部控制成為系統安全保障和稽核牽制相結合的控制體制。財務內部控制系統一般來說可以分為系統控制和管理控制兩大類:
1.系統控制:主要是指財務信息系統的程序設計和數據處理以及運行維護的過程,同時還包括網絡維護和系統檢測的控制制度。通過系統控制實現高校財務管理信息化管理和內部控制相結合。
2.管理控制:主要是指通過運用現代化的管理學知識中的組織規(guī)劃和資源整合等技術,制定財務業(yè)務流程、業(yè)務程序和崗位職責分工等一系列的財務內部管理制度。使得財務管理信息實現資源的優(yōu)化配置。
三、高校財務信息化中實現合理內控的對策
1.在財務信息管理中建立科學合理的風險評估體系
高校為了適應財務內控環(huán)境的改變,需要完善和制定相關的財務內部控制制度。同時培養(yǎng)高校財務系統整體的信息技術能力。在財務管理信息化的形勢下,建立科學合理的風險評估體系。通過風險評估體系將財務的流程控制、系統控制和管理控制的數據結果進行統計和匯總,繼而對統計和匯總的結果進行分析。同時再結合高校的財務資源和外部環(huán)境進行內控的風險評估,為高校內控決策提供科學依據,還可以建立相應的風險評估反饋機制。
2.加強對財務信息系統的全面控制
一個有效的財務內控制度需要及時對財務數據進行檢查糾錯和預防,在信息技術和網絡技術的雙重環(huán)境下,廣泛使用信息技術和網絡技術為財務信息的決策和信息資源整合過程提供了戰(zhàn)略機會,也提供了預防和糾錯的機會。隨著計算機在財務工作中的廣泛使用,財務管理部門對計算機產生的各種數據和財務報表信息越來越依賴。但是計算機也并不是萬無一失的,計算機病毒會攻擊篡改計算機內部的重要數據,所以要對計算機中的財務信息進行嚴格的控制和核對,這就要求加強財務信息系統的全面控制,及時發(fā)現并糾正系統的運行錯誤。這樣才能保證財務信息數據的可靠性和準確性,同時也能控制計算機犯罪的可能性。
3.對財務信息系統進行定期的評估和更新
在信息化財務管理過程中,需要及時準確的獲取來自高校的內部財務數據和外部財務數據,同時在內部進行有效的溝通,使財務工作人員有效的獲取相關控制信息和要履行的責任。財務內部控制的信息化使得財務內部控制具有一定的依賴性,隨之也增加了差錯發(fā)生的可能性。網絡技術的應用,使得財務系統的內部控制有人工控制和程序控制相結合的特點。在這樣的情況下,更應該注意財務系統內部控制的監(jiān)督和完整,由專門的工作人員定期及時評估內部控制的設計和運作情況。一般來說新技術帶給人們的方便快捷使得大部分人們沒有完全意識到其自身存在的風險,所以財務信息內部控制系統必須要進行定期的評估和更新,控制系統程序和高校的具體環(huán)境息息相關,當新的業(yè)務和信息流程提出后,控制目標應當保持不變,但為達到該目標的具體控制措施必須改變,以適應新的形勢,不要讓財務信息化內部控制程序限制財務管理更加有效的運行。
結束語
信息技術和網絡技術的應用使得財務內部控制框架得以完善和改進,同時財務信息系統也發(fā)生著新的變化。而高校財務管理系統作為支持高校發(fā)展的關鍵動力,也要隨之改變高校的財務管理環(huán)境和內部控制理念,不斷提高財務內部控制效率,增強財務內部控制效果。要知道高科技在給財務管理過程帶來新機會的同時也存在著潛在的風險,所以財務管理人員要充分認識到這些風險,并且在必要的時候采取合理科學的應對措施。只有這樣才能讓財務信息化的內部控制系統在一個良好的平臺上繼續(xù)發(fā)展。
參考文獻:
[1]樊維寧.高校財務信息化集中與內部控制[J].湘潭大學學報(哲學社會科學版),2006(04).
[2]荊華.網絡環(huán)境下會計信息系統的內部控制研究[J].全國商情,2008(11).
論文關鍵詞:會計電算化;會計信息;人員素質
由于會計電算化是一項系統工程,在發(fā)展過程中有許多工作要做,有許多問題要及時解決,否則將嚴重阻礙我國會計電算化向更深層次的發(fā)展。下面就當前我國會計電算化進程中必須重視和需要解決的幾個問題進行探討。
1目前我國會計電算化工作中存在的問題
1.1會計信息的完整性和可用性還不夠完善
1.1.1會計電算化未能站在企業(yè)管理信息化的高度進行研究。因過分注意軟件的會計核算功能,而輕視了財務管理和控制、決策功能。會計軟件相對于傳統的思維方式,模擬手工核算方法,缺少管理功能。財務系統大多以記賬憑證輸入開始,經過計算機處理,完成記賬、算賬、報賬等工作,并局限在財務部門內部。目前流通的會計核算軟件大多功能在提高財務信息系統的范疇,只能完成事后記賬、算賬、報賬以及提供初級管理功能,不具有事前預測、事中控制、事后分析決策等管理會計功能。近年來雖然倡導發(fā)展管理型會計軟件,但由于各種原因,一般只從財務管理的要求出發(fā),未能達到較為理想的效果。
1.1.2會計信息系統與企業(yè)管理信息系統未能有機結合。會計信息系統不僅與生產、設備、采購、銷售、庫存、運輸、人事等子系統脫節(jié),而且會計軟件內部各子系統也只以轉賬憑證的方式聯系。從而造成數據在內外子系統之間不能共享,信息不能通暢,既影響財務管理功能的發(fā)揮,又不能滿足企業(yè)對現代化管理的需要。在綜合的企業(yè)管理信息系統中會計子系統應該從其他業(yè)務子系統獲取諸如成本、折舊、銷售、工資等原始數據,提高數據采集效率和管理能力各業(yè)務子系統也應從財務子系統取得支持,但由于各自獨立發(fā)展,互相之間不能實現數據共享,往往一個子系統的打印輸出成了另一個子系統的鍵盤輸入。許多商品化會計軟件在開發(fā)時,沒有統一規(guī)劃,而是采用單項開發(fā),再通過“轉賬憑證”的方式傳遞各種數據,未能形成一個有機的整體,各個核算模塊是彼此孤立的“孤島”。
1.1.3會計信息系統仍然是個封閉式的系統。會計系統的開放性除了體現在企業(yè)內部各子系統之間的信息共享之外,更體現在會計向外界披露信息的內容和方式上。但目前會計信息系統既不能通過Internet網絡向股東財務報表等綜合信息和明細信息,也不能通過網絡直接向稅務、財政、審計、銀行等綜合管理部門提供信息,更不能有選擇地披露相關的人事、技術、設備以及股東所關心的其他信息。此外,普遍存在支持跨網集團的多方業(yè)務,使財務信息資源的價值得不到充分利用。
1.2會計信息的保密性和安全性較差
會計電算化是建立在計算機網絡技術和安全技術等信息技術基礎之上的,會計信息是以足夠的安全技術為保障,以一定的計算機硬件支撐。在相應的軟件管理下在網絡中流通、存儲和處理,并最終以人們需要的形式變現出來。隨著計算機應用的擴大,利用計算機進行貪污、舞弊、詐騙等犯罪現象屢見不鮮。在會計電算化環(huán)境下,會計信息以各種數據文件的形式記錄在磁性存儲介質上,這些存儲介質上的信息機器可讀形式存在的,因此很容易被復制、刪除、篡改,而不留下任何痕跡。數據庫技術的高度集中,未經授權的人員可以通過計算機和網絡瀏覽全部數據文件,復制、偽造、銷毀企業(yè)重要的財務數據。可見會計電算化犯罪是一種高科技、新技術下的新型犯罪,具有很大的隱蔽性和危害性,使會計信息安全風險大大增加。
1.3會計人員計算機操作業(yè)務素質較低
目前,不少單位的電算化人員是由過去的會計、出納等經過短期培訓而來,他們在使用微機處理業(yè)務的過程中往往很多是除了開機使用財務軟件之外,對微機的軟硬件知識了解甚少,一旦微機出現故障或與平常見到的界面不同時,就束手無策,即使廠家在安裝會計軟件時都作了系統的培訓,但一些從未接觸過計算機的會計人員入門還是很慢,而且在上機時經常出現誤操作,一旦出錯,可能就會使自己很長時間的工作成果付諸東流,使系統數據丟失,嚴重的導致系統崩潰,這種低素質的會計人員是不能勝任會計電算化工作的。
2改進會計電算化工作的對策
2.1要解決人們對會計電算化的思想認識問題
我國電算化事業(yè)起步較晚,人們的思維觀念還未充分認識到電算化的意義及重要性。多數單位電算化都是應用于代替手工核算,僅僅是從減輕會計人員負擔、提高核算效率方面入手,根本未認識到建立完整的會計信息系統對企業(yè)的重要性,使現有會計提供的信息不能及時、有效地為企業(yè)決策及管理服務。
2.2要做好管理基礎工作,尤其是會計基礎工作
管理基礎主要指有一套比較全面、規(guī)范的管理制度和方法,以及較完整的規(guī)范化的數據;會計基礎工作主要指會計制度是否健全,核算規(guī)程是否規(guī)范,基礎數據是否準確、完整等,這是搞好電算化工作的重要保證。因為計算機處理會計業(yè)務,必須是事先設置好的處理方法,因而要求會計數據輸入、業(yè)務處理及有關制度都必須規(guī)范化、標準化,才能使電算化會計信息系統順利進行。沒有很好的基礎工作,電算化會計信息系統無法處理無規(guī)律、不規(guī)范的會計數據,電算化工作的開展將遇到重重困難。管理人員的現代化管理意識,在整個企業(yè)管理現代化總體規(guī)劃的指導下做好會計電算化的長期、近期發(fā)展規(guī)劃和計劃并認真組織實施,重新調整會計及整個企業(yè)的機構設置、崗位分工,建立一系列現代企業(yè)管理制度,提高企業(yè)管理要求。還要修改擴建機房,選購、安裝、調試設備,自行開發(fā)或購買會計軟件,培訓會計電算化人員,進行系統的試運行等等工作。以上所列的各項工作必須做好,否則電算化會計系統將不能正常工作,有損于會計電算化的整體效益并使其不能深入持久地開展下去,會計和企業(yè)管理現代化將無法實現。
2.3要加強會計信息系統的安全性、保密性
財務上的數據往往是企業(yè)的絕對秘密,在很大程度上關系著企業(yè)的生存與發(fā)展。但當前幾乎所有的軟件系統都在為完善會計功能和適應財務制度大傷腦筋,卻沒有幾家軟件公司認真研究過數據的保密問題。數據保密性、安全性差。為了對付日益猖獗的計算機犯罪,國家應制定并實施計算機安全法律,在全社會加強對計算機安全的宏觀控制,政府主管部門還應進一步完善會計制度,對危害計算機安全的行為進行制裁,為計算機信息系統提供一個良好的社會環(huán)境。對于重要的計算機系統應加電磁屏蔽,以防止電磁輻射和干擾。制定計算機機房管理規(guī)定,制定機房防火、防水、防盜、防鼠的措施,以及突發(fā)事件的應急對策等。
必要的內部控制:在電腦網絡環(huán)境下,某些內部人員的惡意行為及工作人員的無意行為都可能造成會計信息的不安全性,因此建立內部控制制度是必要的。第一,實行用戶權限分級授權管理,建立網絡環(huán)境下的會計信息崗位責任。第二,建立健全對病毒、電腦黑客的安全防范措施。第三,從電算化網絡軟件的設計入手,增加軟件本身的限制功能。第四,建立會計信息資料的備份制度,對重要的會計信息資料要實行多級備份。第五,強化審計線索制。第六,建立進入網絡環(huán)境的權限制。
增強網絡安全防范能力:網絡會計實現了會計信息資源的共享,但同時也將自身暴露于風險之中,這些風險主要來自泄密和網上黑客的攻擊等。為了提高網絡會計信息系統的安全防范能力應采用一些措施,例如采用防火墻技術、網絡防毒、信息加密存儲通訊、身份認證、授權等。
加強數據的保密與保護:在進入系統時加一些諸如用戶口令、聲音監(jiān)測、指紋辨認等檢測手段和用戶權限設置等限制手段,另外還可以考慮硬件加密、軟件加密或把系統作在芯片上加密等機器保密措施和專門的管理制度,如專機專用、專室專用等。加強磁介質載體檔案的管理:為確保檔案的真實性和可靠性,實行紙質檔案和新型載體檔案雙套保管,并逐漸向完全保管新型磁介質載體過渡。
總之,我國會計改革已邁出了穩(wěn)健、有序的步伐,并取得了輝煌成就。但是,由于會計屬于上層建筑范疇,其在觀念、理論、方法等方面均應隨著客觀經濟環(huán)境的變化而不斷改革、發(fā)展和完善。在網絡時代,要使我國的會計電算化工作能夠健康的發(fā)展,我們必須從理論上和實踐上進行認真的探討。21世紀的會計應該是一個以信息技術為中心的嶄新會計,而不是一個修修補補的會計。
參考文獻
[1]常劍峰.電算化會計信息系統的數據庫控制方法[J].中國會計電算化,2003(11).
[2]張衛(wèi).網絡會計的信息安全與防范[J].市場周刊.商務,2004(12).
論文關鍵詞:金融信息系統金融信息化信息安全安全模型
1.我國金融信息化的產生和發(fā)展
中國的金融電子化建設開始于20世紀70年代,在80年代中期,由中國人民銀行牽頭成立了金融系統電子化領導小組,經過大量的調查研究,制定了金融電子化建設規(guī)劃和遠期發(fā)展目標;‘六五’做準備,‘七五’打基礎,‘八五’上規(guī)模,‘九五’基本實現電子化。在最近的二三十年,我國的金融電子化建設經歷了重要的、具有歷史意義的四個發(fā)展階段:第一階段,大約70年代末到80年代,銀行的儲蓄、對公等業(yè)務以計算機處理代替手工操作;第二階段,大約從80年代到90年代中,逐步完成銀行業(yè)務的聯網處理;第三階段,大約從90年代初到90年代末,實現全國范圍的銀行計算機處理聯網,互聯互通,支付清算和業(yè)務管理、辦公逐步實現計算機處理;第四階段,從現在開始,完成業(yè)務的集中處理,利用互聯網技術與環(huán)境,加快金融創(chuàng)新,逐步開拓網上金融服務,包括網上銀行、網上支付等。科學技術是第一生產力。當人類走進21世紀時,步入了以網絡、信息技術為特征的知識經濟時代。在這一發(fā)展機遇面前,我國金融業(yè)也同時面臨著加入世界貿易組織后更廣闊的市場和來自發(fā)達國家同行業(yè)更嚴竣的競爭壓力。金融信息化是我國金融業(yè)的必然選擇。金融行業(yè)是國民經濟的重要組成部分,是現代市場經濟的核心,金融信息化是國家信息化中至關重要的、不可缺少的一環(huán)。金融信息化既是金融業(yè)本身為提高其競爭能力、降低經營成本、提高服務質量以應對日益激烈的市場競爭的內在要求,同時也是悅務、海關、貿易和電子商務等國民經濟信息化的基礎。金融信息化不僅實現了業(yè)務處理自動化和辦公自動化、經營網絡化,更進一步為監(jiān)管電子化、管理和決策的科學化提供強有力的支持,同時也是金融服務創(chuàng)新、制度創(chuàng)新堅實的技術基礎。
2金觸信息系統的安全
安全是金融信息系統的生命。在金融信息系統日益發(fā)展,信息越來越向上集中,規(guī)模越來越大,金融業(yè)對它的依賴性不斷增加的同時,金融信息化系統安全的重要性也與日俱增。它關系到金融機構的生存和經營的成敗,所以,應把金融信息化系統的安全視同資金的安全一樣,看作是金融機構的生命。金融信息系統的安全不僅是金融行業(yè)本身的問題,它與我國的經濟安全、社會安全和國家安全緊密相連,是保障金融業(yè)穩(wěn)定發(fā)展、增強競爭力和生存能力的重要組成部分,金融信息系統的安全已成為我國金融信息化建設中具有戰(zhàn)略意義的關鍵問題。
據英國PA咨詢集團公司調查,在20世紀末的5年中,電腦詐騙每年使英國銀行損失40-50億英鎊,美國每年因計算機犯罪造成銀行損失也多達55億美元,德國銀行每年因此損失約50億美元。在我國,自從1986年7月發(fā)生首例金融計算機犯罪以來,發(fā)案率逐年上升,給銀行造成了巨大的損失。僅1997,1998兩年,四家國有商業(yè)銀行就發(fā)生了141起計算機犯罪案件,涉案人員166人,涉案金額16129萬元,造成經濟損失5853萬元。朱銘基同志在揚州發(fā)生的一起利用遙控發(fā)射裝置浸入銀行電腦系統,盜取巨款的案件報告上批示:“這是一個信號,我們的銀行家要抓電腦技術,不能落在犯罪分子的后面’。
2.1信息系統面臨的威脅和攻擊手段
信息安全從技術上講,有如下幾方面的含義:保密性、完整性、可用性、真實性、不可抵賴性、可控性。金融信息系統是一個網絡環(huán)境下的計算機系統,它處理的對象是信息。信息資源具有先天的脆弱性,系統中存儲的信息密度極高,信息的可訪問性、信息的聚生性、系統工作時產生電磁輻射、磁性介質的剩磁效應等都使系統中的信息面臨著安全風險。概括而言,金融信息系統面的威協主要有三種形式:通信過程中面臨的威協、存儲過程中面臨的威脅和處理過程中面臨的威協。對金融信息系統的攻擊手段主要有竊取、推斷絨分析(屬于被動攻擊)、冒充、墓改、重放和病毒(屬于主動攻擊)。
2.2信息安全技術
2.2.1密碼技術。密碼技術是信息安全技術的核心。要保證信息系統中信息的保密性,使用密碼對其加密是最有效的辦法;要保證信息的完整性同樣可以使用密碼技術實施數字簽名,進行身份認證,通過對信息進行完整性校驗來實現;保障信息系統和信息為授權者所用,利用密碼進行系統登錄管理,存取授權管理是有效的辦法;保證電子信息系統的可控性也可以有效地利用密碼和密鑰管理來實施。
1949年Shannon發(fā)表了《保密系統的通信理論》,引起了密碼學的一場革命,從而使密碼真正成為一門科學。密碼學(Crypto-graphy)是通信技術、計算機技術和應用數學之間的邊緣學科,數學和計算機科學是其重要的工具,涉及到數論、信息論、算法復雜性理論等學科分支。保密系統的Shannon模型如圖l所示。
70年代中期,在安全保密研究中出現了兩個引人注目的事件:一是D}ffe和Hellman發(fā)表了《密碼學的新方向》,沖破人們長期以來一直沿用的單鑰體制,提出一種嶄新的密碼體制,即公開密碼體制。該體制可使發(fā)信者和收信者之間無須事先交換密鑰就可建立起保密通信。二是美國國家標準局(NBS)于1977年正式公布實施了美國數據加密標準(DES)。公開密碼體制的出現是現代密碼學研究的一項重大突破,它的主要優(yōu)點是可以適應網絡開放性的使用環(huán)境,密鑰管理相對簡單,可以方便、安全地實現數字簽名和認證。對稱密碼體制下比較著名的算法有IBM公司開發(fā)的DES算法及其各種變形(如Tri討eDES等)、歐洲的IDEA算法、LOKI,RCA,RCS等;公開密碼體制下比較著名的算法有RSA算法、背包密碼,Diffe一Hellman}ElGamal算法等等。與通信安全保密相比,計算機安全保密具有更廣泛的內容,涉及計算機硬件、軟件以及所處理數據等的安全和保密。除了沿用通信安全保密的理論、方法和技術外,計算機安全保密有自己獨特的內容,并構成自己的研究體系。在計算機安全保密研究中,主體(subject)和客體(object)是兩個重要概念,保護客體的安全、限制主體的權限構成了存取控制的主題。信息系統的安全保密相對于通信安全保密和計算機安全保密而言處在一個更高的層次,它涵蓋了通信安全保密和計算機安全保密的所有內容,把整個系統的安全保密作為其目標。金融信息系統因其自身高機密性和高風險性的特點,不同于一般的信息系統,而類似于軍事系統,有極高的安全保密需求。
2.2.2訪問控制技術。限制主體的權限,防止非授權主體對客體的越權訪問是訪問控制的主要內容。存取控制的研究內容涉及到存取控制模型、存取控制策略、存取控制機制、存取控制的實現等。存取控制是建立在用戶識別的基礎上的,系統通過唯一標識符驗證用戶的合法性.決定是否允許用戶進入系統。認證總是要求用戶提供足夠能證明他身份的特殊信息,這些信息是保密的,可以采用單向加密算法加密后保存在系統中。口令機制是一種簡便易行的認證手段,但比較脆弱。生物技術是一種比較有前途的方法,如視網膜、指紋等,但限于技術條件,目前還不能廣泛采用。信息系統中存在大量的主體和客體。主體與客體關系如何表示,主體對客體的存取權限如何獲取,是存取控制研究中的兩個基本問題。系統中所有主體與客體之間的相互關系構成存取控制數據庫。主體、客體、存取控制數據庫、存取控制策略之間的關系構成存取控制基本模型。
存歇控制策略決定存取控制的水平。存取控制策略研究權限分配原則、方法和約束。等級授權方式是最常見的權力分配方式,根據權力分配細則,由安全專家根據一定的制度和規(guī)范制定。
權力分配原則則涉及一些譽遍適用的存取陀制策略:。.最小授權策略(leastprivilegepolicy),即只給主體授予執(zhí)行任務所必須的最小僅力;b.最小泄露策略(leaseexposurepolicy),按需知(needtoknow)原則給主體完成任務所必須知道的那部分保密信息,得到信息的主體要承擔信息保護的責任;;c.多級安全策略(multilevelsecuritypolicy),將主體和客體都進行分級,除了對主體對客體的訪問權限進行規(guī)定外,還對主體對客體促使信息的流向加以控制。存取控制模型如圖2所示。
自主訪問控制(DAC)是一種最替扁的訪問控制方式,在自主訪問控制下,用戶可以按自己的意愿對系統參數進行適當的修改,以決定哪些用戶可以存取其文件。自主訪問控制是安全操作系統需要具有的最基本的訪問控制機制,對于軍事魷金融系統,它的訪問控制能力尚嫌不足。自主訪問控制不能抵御特洛伊木馬、電子欺騙(Spoof),黑客(Hacker)的攻擊。這樣就產生了強制訪問控制(MAC)。
所謂強制訪問控制,就是系統中主體和客體的安全屬性(存即類)是由系統安全管理員按照嚴格的規(guī)則進行分配的,用戶和用戶程序不能修改系統中確定的安全屬性,就是客體的所有者也不能修改。強制訪問控制增強了系統的安全性。金融信息系統是一個網絡信息系統,為了保證其安全性,有必要提供一種網絡訪問控制手段。防火墻技術就是一種用于加強網絡間的訪問控制,防止外部用戶非法使用內部網的資源,保護內部網絡的資源不被破壞,避免內部網絡的敏感數據被竊取的系統,它能增強機構內部網絡的安全性。防火墻實際上是一種訪問控制規(guī)則,它無法完全保護系統免受來自外部網絡的攻擊,另外,它對來自系統內部的攻擊無能為力。
VPN(虛擬專用網)是一種為處于不同地點的兩個分公司網絡通過不安全的公共網絡Inteme:建立可靠連接的技術。VPN所用的隧道技術就是用某種協議(如PPTP,IPsec等)建立雙方通信隧道,將內部網所用協議和數據封裝在IP包中,對隧道中傳送的包進行加密/解密。VPN能從很大程度上解決網絡面臨不安全因素的威脅,作為遠程用戶利用公用網絡接入公司內部網絡的較簡單的一種接入技術,現在正越來越體現出其價值。
2.2.3漏洞掃描和入浸檢測技術。漏洞掃描與網絡安全評佑緊密相關,其主要目的是先于入浸者發(fā)現安全漏洞并及時彌補,從而進行安全防護,是一種‘事前’(攻擊發(fā)生前)防護手段。由于網絡環(huán)境比較復雜,一般利用工具來進行漏洞檢查,針對網絡層、操作系統層、數據庫層、應用系統層多個層面上進行。因為網絡是動態(tài)變化的,所以漏洞掃描與評沽應該定期執(zhí)行;入侵檢測則是對網絡活動和系統事件進行實時監(jiān)控,檢查是否有來自網絡內部和外部的入浸。入浸檢測強調時間連續(xù)性,是一種事中.防護手段。網絡是動態(tài)變化的,所以應該不斷跟蹤分析黑客行為和手法,研究網絡和系統的安全漏洞,提高漏洞掃描水平和入浸位測水平。
2.2.4響應和恢復技術。任何一個信息系統無論采取了多么先進、復雜的安全技術,也不可能保證系統是絕對安全的,響應和恢復技術就是在系統遭到入侵或破壞的時候,如何把損失降到最低程度,并在最短的時間內將系統恢復正常。響應和恢復技術是一種‘事后’防護手段。
2.2.5審計技術。審計類似機上的“黑匣子.,利用系統運行日志,對系統進行事故原因查詢、定位,為事故發(fā)生后的處理提供詳細可靠的依據戴支持,是一種‘事后’的補充防護手段。
2.2.6病毒防治技術。病毒防治技術是研究在網絡環(huán)境下,如何及時識別、發(fā)現病毒,如何強化系統對病毒的免疫能力,以及如何消滅病毒,減輕戴完全消除病毒對系統的危害。
2.3安全模型金融信息系統的安全是一個系統工程,不僅與信息系統的安全技術有關,同時也與國家的法律與法規(guī)、金融行業(yè)的管理及其制度建設幽切相關。安全技術在金融信息系統安全中起著重要的作用,但決不能過分依賴信息安全技術,安全技術只是信息系統安全的基礎,安全管理則是金融信息系統安全的關鍵。
在研究信息系統安全的過程中,人們建立了不同的信息系統安全模型。其中,P2DR充分考慮了信息系統隨時間而不斷改變的動態(tài)性,建立在基于時間的安全理論之上,并且體現了閉環(huán)控制的思想,是具有代表性的信息系統安全模型(如圖3所示)。
P2DR是Policy(安全策略)、Protection(防護)、Detection(檢測)和Response晌應)的縮寫。安全策略是P2DR安全模型的核心,所有的防護、檢測、晌應都是依據安全策略實施的。保護通常是通過采用一些傳統的靜態(tài)安全技術及方法來實現的,主要有防火墻、加密、認證等方法。在P2DR模型,檢測是非常重要的一個環(huán)節(jié),檢測是動態(tài)晌應和加強防護的依據,它也是強制落實安全策略的有力工具,通過不斷地檢測和監(jiān)控網絡系統,來發(fā)現新的威脅和弱點,通過循環(huán)反饋及時做出有效的晌應。緊急晌應在安全系統中占有最重要的地位,是解決安全潛在性最有效的辦法。從某種意義上講,安全問題就是要解決緊急晌應和異常處理問題。要解決好緊急晌應問題,就要制汀好緊急晌應的方案,做好緊急晌應方案中的一切準備工作。
P2DR模型有自己的理論體系,有數學模型作為其論述基礎—基于時間的安全理論。該理論認為,信息安全相關的所有活動都要消耗時間,因此可以用時間來衡里一個體系的安全性和安全能力。P2DR模型可以用一些典型的數學公式來表達安全的要求:
公式1:Pt>Dt+Rt
Pt代表系統的防護時間,續(xù)者理解為在安全措施保護下,黑客(入浸者)攻擊目標所花費的時間;Dt代表從入浸者開始發(fā)動入浸開始,系統能夠檢測到入浸行為所花費的時間;Rt代表從發(fā)現入浸行為開始,系統能夠做出足夠的響應,將系統調整到正常狀態(tài)的時間;那么,如果上述數學公式滿足—防護時間大于檢測時間加上響應時間,也就是在入浸者危害安全目標之前就能夠被檢測到并及時處理。
公式2:Et=Dt+Rt,如果Pt=0
公式2的前提是假設防護時間為0。這種假設對WebServer這樣的系統可以成立。Dt代表從入浸者破壞了安全目標系統開始,系統能夠檢測到破壞行為所花費的時間。Rt代表從發(fā)現遭到破壞開始,系統能夠做出足夠的晌應,將系統調整到正常狀態(tài)的時間。那么,Dt與Rt的和就是該安全目標系統的暴露時間Et針對于需要保護的安全目標,如果Et越小系統就越安全。
通過上面兩個公式的描述,實際上給出了安全一個全新的定義:‘及時的檢測和晌應就是安全,“及時的檢測和恢復就是安全.P2DR模型闡述了這樣一個結論:安全的目標實際上就是盡可能地增大保護時間,盡量減少檢測時間和晌應時間。
3發(fā)展、深化金融信息化建設.保障信息安全
論文摘要:隨著科學技術的發(fā)展,計算機的使用己經非常普及,從政府機關到社會,從單位到家庭,計算機無處不在,它己經成了我們工作生活中不可缺少的工具。企事業(yè)單位在管理中使用計算機己經成為一種普遍現象。計算機給管理工作帶來的好處顯而易見,它可以提高工作效率,提高管理質量,提高各方面的綜合事務處理能力。經濟越發(fā)展,會計越重要。管理信息化是大勢所趨,會計電算化更是重中之重。
2 會計電算化系統安全性
2.1 會計電算化系統故障風險
計算機會計信息系統主要由硬件和軟件構成,硬件是系統的身軀,軟件是系統的靈魂。由于機械故障、零配件損壞、突然斷電、操作人員失誤等原因有可能導致硬件系統失靈,由于非法調用和修改,軟件系統因此受到破壞。在網絡環(huán)境中,網絡的開放性、動態(tài)性和虛擬性導致系統的一致性和可控性降低,一旦遭遇系統阻塞、病毒侵入或黑客襲擊,將導致系統的混亂甚至癱瘓。
2.2 數據輸入輸出錯誤風險
在電算化條件下,會計數據來源于原始憑證或記賬憑證,如果缺乏有效的控制,一旦輸入錯誤的數據,計算機接受這部分數據并進行自動化處理,將引發(fā)錯誤的連續(xù)性和重復性,造成會計賬簿和會計報表等信息輸出錯誤,給投資人、債權人及其關聯單位等信息的使用者帶來重大損失,會計數據的真實性和完整性難以保證。在網絡環(huán)境中,會計數據通過通訊線路傳輸,數據來源的廣泛性使得其面臨著被未授權人員的非法截取或修改,會計數據的安全性和可靠性難以保證。
2.3 實際業(yè)務不規(guī)范造成的風險
企業(yè)應用現代化管理工具替代了陳舊落后、繁瑣的手工核算,但是企業(yè)管理者的思想觀念沒轉變,嚴格而科學的管理往往只停留在形式上,所以,犯罪分子利用內部防范制度的薄弱環(huán)節(jié),未授權人員非法盜取企業(yè)的商業(yè)機密,不惜以身試法,利用合法身份、濫用或盜用操作密碼進行越權操作,從而達到侵吞企業(yè)財產或出賣商業(yè)機密換取錢財的目的。
2.4 計算機維護不當釀成的風險
在電算化高速發(fā)展的時代,會計賬目、貨幣現金、信息存儲、文件傳遞等都變成了電子文件存入計算機內,通過網絡進行傳輸。由于會計信息存儲電磁化,電算化系統下會計信息以電磁信號的形式存儲在磁性介質中,是肉眼不可見的,很容易被刪除或篡改而不會留下痕跡,往往使應用人員和維護人員疏忽潛在危險的存在。
3 防范會計電算化系統安全風險的對策
3.1 外部環(huán)境的完善
3.1.1 完善會計電算化的規(guī)范化管理
對于會計規(guī)范化管理,主要是通過國家頒布的指定的會計準則和具體的會計準則來進行的。只有用會計準則指導會計業(yè)務,才能規(guī)范會計行為。在會計電算化普及的今天,用會計準則同樣可以規(guī)范會計電算化行為。規(guī)范的具體內容有:財務會計軟件采用的標準、具體業(yè)務處理、人員職責等。財務部新頒布《會計電算化管理辦法》和《會計核算軟件基本功能規(guī)范》便是完善會計電算化規(guī)范的最好準則。
3.1.2 開發(fā)全過程實行嚴格管理
開發(fā)商與用戶應加強在線測試。在軟件開發(fā)和應用過程中,開發(fā)商與用戶應加強交流,充分測試。例如,用戶通過網絡向開發(fā)商提出要求或建議,開發(fā)商通過網絡把軟件傳送給用戶。雙方在軟件應用過程中應注意監(jiān)控,及時發(fā)現并解決問題。開發(fā)商可通過網絡對用戶的系統進行定期在線測試,一旦發(fā)現問題,應進行升級,以便提高系統運行的安全性。
試運行。系統完成開發(fā)后必須反復測試,證明達到設計要求后才能交付使用,不能邊檢測、邊使用、邊補救。
制定應急計劃。系統設計完成后,開發(fā)方應編制與系統相關的運行文件,并提出有關注意事項,以使在出現意外情況時能夠有條不紊地采取相應措施,使用單位也應制訂自己的應急計劃,以備急需。令人擔憂的是,不少單位恰恰忽視了這一關鍵步驟,沒有起碼的應急計劃,系統一旦出現故障,后果不堪設想,損失將是巨大的。
加強風險控制,保證信息安全。一方面制訂各種嚴格的管理制度,加強風險控制;另一方面加強對員工的信息安全教育,嚴禁未經授權人員上機操作,禁止連接互聯網及其它與業(yè)務無關的終端,采用先進的加密技術,并安裝“病毒防火墻”,防止人為非法破壞數據。實踐證明,嚴格、有效的管理制度是信息安全的最好保障。
3.2 單位內部機制的加強
3.2.1 建立嚴密科學的計算機風險控制系統
首先,合理設置內部機構,科學劃分職責權限,形成相互制衡機制。其次,規(guī)范內部操作制度,保證單位內部機構、崗位及其職責權限的合理設置和分工,確保不同機構和崗位之間權責分明,相互制約、相互監(jiān)督。
3.2.2 建立健全一整套會計電算化模式下的規(guī)章制度
為了形成良好的內控環(huán)境,應建立一整套會計電算化模式下健全的規(guī)章制度。這些內控制度應遵循以下原則:
不兼容權限分離原則。對會計電算化權限嚴格控制,凡上機操作人員必須經過授權,禁止原系統開發(fā)人員接觸或操作計算機,非計算機操作人員不允許任意進入機房,系統應有拒絕錯誤操作功能。
相互制約原則。加強對會計電算化系統數據輸入、處理、輸出的控制,明確管理人員、操作人員、維護人員的職責范圍。
安全、保密原則。安全主要是對軟硬件、文檔的安全檢查保障控制。保密主要是建立設備設施安全措施、檔案保管安全控制、聯機接觸控制等;使用偵測裝置、防偽措施和系統監(jiān)控等。
內部防范原則。主要解決個人壟斷現象以及對系統管理人員的監(jiān)管控制問題。所有這些都是制定會計電算化規(guī)章制度必須加以考慮的問題。
3.2.3 計算機操作人員和技術管理人員的職責要嚴格界定
計算機操作人員和技術管理人員的職責要嚴格界定,嚴禁計算機專業(yè)管理人員直接接觸實際業(yè)務操作,系統管理主要負責系統的硬軟件管理工作,從技術上保證系統的正常運行。業(yè)務操作人員不得隨意進入程序,擅自改動程序內容。也不得將自身業(yè)務交與他人操作。系統管理崗位應保持相對穩(wěn)定,若有變動應辦理嚴格的交接手續(xù)和密碼更換手續(xù)。分工科學,責任明確,各崗位都要得到一定的授權,并用密碼控制。防止非法操作、越權操作。這樣人員互相制約和內部牽動,能防止違法行為的發(fā)生并能及時發(fā)現錯誤。
3.2.4 建立防病毒措施,嚴格限制隨意使用業(yè)務用計算機軟硬盤,防止數據丟失
為了避免數據丟失,嚴格限制使用業(yè)務用計算機軟硬盤進行非業(yè)務處理,可采用移動硬盤,U盤等多種硬件設備進行數據備份,做到有備無患。對會計數據定期或不定期檢查,監(jiān)督電算化過程中數據保存形式的安全性、合法性,防止非法刪除、修訂和篡改歷史會計數據及對電算化系統運行各環(huán)節(jié)進行檢查,防止出現漏洞。
計算機內的會計業(yè)務數據不得隨意拷貝,未經批準不得用于調試程序,不得用于培訓人員,進入機房必須兩人以上;需要通過計算機網絡傳送的會計數據,應采取安全性措施;備份的會計業(yè)務數據,應專人保管,非工作時間加鎖入庫,嚴密調閱手續(xù),不得隨意拷貝、攜帶、轉借備份的數據信息。
實行數據通信控制時,在傳輸過程中采用數據加密,回響檢查等技術手段進行會計電算化的規(guī)范管理。
3.2.5 為防范外部攻擊,應建立和完善電腦報警裝置
防范外部攻擊,加快建立立法進程,完善電腦報警裝置。計算機立法主要是為了防止計算機從設計到實際運行全過程的計算機犯罪行為的發(fā)生。財務系統應加緊研究制定內部會計控制制度,促進單位內部制約機制不斷完善。
防范外部攻擊和計算機病毒最為有效的措施就是加強安全教育,提高財會人員的防御外部攻擊和計算機病毒業(yè)務能力;其次,加強網絡的安全設施建設,健全并嚴格執(zhí)行防范管理制度。
加強網絡法制建設,加大網上執(zhí)法力度,對不法分子的不法行為進行打擊以起到威懾作用已迫在眉睫。
結論:會計電算化系統的安全性問題,是個綜合性的問題,需要硬件,網絡,軟件,人員相互協調,共同應對解決的問題。是個需要強化安全意識,做足預防管理的問題。通過以上對會計電算化系統的安全性分析與防范措施,希望可以使會計電算化系統的安全性問題降到最低程度,使會計電算化系統能夠順利實施,安全運行無虞。
參考文獻
一、高校審計信息化建設優(yōu)勢分析
(一)高校自身意識不斷加強 隨著計算機技術的廣泛運用,我國信息化水平也在飛速發(fā)展,高校作為社會一個較為特殊的主體,對于信息化的認識正在逐步加深。近年來,正是由于高校自身對于信息化意識的不斷加強,高校對于信息化建設的資金投入不斷加大,建設力度也在不斷加強。高校財務信息化的發(fā)展已到達一個高度,與之相對應的高校審計信息化還十分滯后,各高校也意識了這一點,正在逐步改善這種情況。正確的主觀認識會推動正確的社會實踐,高校對于審計信息化意識的不斷提升,無疑是高校進行審計信息化的一個優(yōu)勢條件。
(二)硬件設施達到一定水平 硬件設施是高校審計信息化的基石。硬件設施包括校園網絡以及相關計算機設備的配置。校園網絡是高校信息化平臺最底層的基礎設施,沒有相應的網絡基礎設施,信息不能流動,就不可能形成信息空間。高校內部審計信息化更無從說起。自20世紀90年代起,經過幾十年的發(fā)展,各高校的校園網在學生宿舍、教學、科研與管理樓宇的覆蓋率達到85.32%,學校無線網覆蓋學校公共區(qū)域的比例達到15.82%。計算機設備的配置方面,目前高校的審計部門的審計人員基本上都配備了計算機,審計人員的日常辦公也都在逐步的實現計算機化和自動化。由此可見,高校審計信息化的硬件設施建設以及達到了一定的水平。
二、高校審計信息化建設劣勢分析
(一)審計信息共享程度低 目前,高校審計部門的確都配備相應的計算機,但針對高校審計的成熟軟件仍缺乏,即使有些高校已經開展了計算機審計,但基本處在利用單機版審計工具軟件進行工程審計和財務審計的階段,完整的計算機審計系統尚未建立,各個電腦上的數據仍然是如同單機版。審計流程上的各類審計信息仍是離散的,不同的審計人員所采集的信息都在不同的計算機上,無法實現審計信息的共享,這將不利于審計成果的管理和進一步利用,甚至形成一個個“信息孤島”。此外,在審計過程中,需要與上級主管部門和內部職能部門進行溝通,審計委托函以及審計報告需要這些部門的傳達或批復,而目前這些批復是以紙質形式下達,審計信息的輸入和加工滯后,延長了審計時間,影響了審計結果的時效性,并且由于高校內部審計信息不能得到及時的共享,也造成了人力、物力以及財力上的浪費。
(二)缺乏復合型審計人才 目前,高校審計機關的審計人員知識結構單一,缺乏復合型審計人才。一方面,大部分年齡較長的審計人員雖然有豐富的財務、會計、審計知識和經驗,但由于歷史、客觀的原因沒有什么機會接觸到計算機,造成知識結構上的欠缺。另一方面,年輕的審計人員雖然掌握一定的計算機知識,但由于是非計算機專業(yè)畢業(yè),僅僅掌握了較淺層次的計算機基礎知識和運用技能,缺乏深層次的計算機系統設計、程序編譯檢測技能,不能有效地分析系統結構。因此要真正運用計算機軟件完成難度較大的實質性審計程序,高校內部審計人員需依賴專業(yè)的計算機技術人員協助,計算機技術人員雖然對計算機和網絡技術比較熟悉,但不熟悉會計、審計知識,不知道要審什么、該怎樣審,這樣就造成審計人員獨立性減弱、審計結果偏差等后果。因此,同時熟悉掌握會計、審計知識和計算機知識的復合型審計人才的缺乏制約著高校審計信息化的發(fā)展。
三、高校審計信息化建設機遇分析
(一)信息技術的高速發(fā)展 目前,信息技術的支持和高速發(fā)展使高校審計信息化成為可能。在信息技術應用于審計之前,審計人員必須把被審單位的數據打印成紙質憑證然后進行審計。但信息系統中的原始數據是未經過加工和整理過的,導致面對枯燥和重復的打印憑證,審計人員用傳統的方法很難達到審計目的。現在,雖然高校審計部門采用了相應的財務審計軟件,但由于和會計信息系統或管理信息系統沒有標準的接口,審計所需數據無法從被審對象系統轉移到審計業(yè)務系統中。但隨著數據庫技術、網絡技術、存儲技術的發(fā)展,標準接口的規(guī)范,高校審計人員在高校審計信息化的最終道路上,一定可以在審計系統中通過電子數據交換導入存有被審對象數據的文件。信息技術的高速發(fā)展,為高校審計信息化的發(fā)展帶來了前所未有的良好機遇。
(二)相關政策的支持 隨著國家經濟的發(fā)展,審計的重要性已經深入人心。2002 年5 月,審計署正式啟動“金審工程”,標志著大規(guī)模信息化建設的開始。《審計署2008 至2012 年信息化發(fā)展規(guī)劃》中表明要探索和完善信息化環(huán)境下的審計方式,推進審計信息化建設,以探索創(chuàng)新信息化環(huán)境下的審計方式為核心,加大適應信息化需要的審計人才隊伍建設力度,努力提高審計工作效率、質量和水平,為審計事業(yè)發(fā)展提供信息技術支持和保障。高校內部審計作為高校管理的一個重要組成部分以及內部控制評價體系的一個關鍵環(huán)節(jié),其信息化建設也應當成為而且會成為高校信息化建設的重要子系統。2010年3月,總理在政府工作報告中,將加強審計工作列入“努力建設人民滿意的服務型政府”篇章,審計的要求愈來越高,審計的任務更加艱巨,審計工作者任重道遠。為促進審計的“三個服務”目標,國家審計署著重提出“五大建設”目標,“信息化建設”的要求已經躋身其中。這一系列的國家政策方針的推出,標志著國家有意支持審計信息化的發(fā)展,而高校審計信息化的發(fā)展在這樣的大環(huán)境下,也必然會乘風破浪,勇往直前。
四、高校審計信息化建設威脅分析
(一)相關法規(guī)和準則不夠完善 審計必須依法進行,為規(guī)范我國審計人員開展計算機審計工作,我國在一定程度上已建立了相應的準則和規(guī)范。審計署于1996年12月了《審計機關計算機輔助審計辦法》,中國注冊會計師協會于1999年2月頒布的《獨立審計具體準則第20號――計算機信息系統環(huán)境下的審計》,國務院辦公廳于2001年11月16日頒布《關于利用計算機信息系統開展審計工作有關問題的通知》(88號文),但針對于網絡經濟和計算機應用的相關法律法規(guī)還很不完善,有些甚至還是完全空白。比如,大家都比較熟悉的計算機犯罪適用的法律的有關立法還很欠缺。這給依法開展高校內部審計信息化帶來很大的障礙。盡管我國審計署和中注協都已頒發(fā)了一些有關計算機審計的準則和規(guī)范,但是這些準則和規(guī)范還不完善,缺乏系統性和結構性。而且,完全針對高校審計信息化的法規(guī)和準則并沒有,己有的那些規(guī)范還比較概括、籠統,沒有相應的實施細則。對高校審計信息化建設尚處于摸索階段的高校審計人員來說,顯然還缺乏具體的指南。
(二)缺乏統一的管理平臺 伴隨著客觀形勢和當前國家公共財政的改革,在高校表面“暴富”的同時,其內部審計和內在財務監(jiān)控卻相對薄弱,外部財務監(jiān)管依然實行單一的“點對點”封閉行政監(jiān)督。部分高校在結合廉政建設和風險管理要求以及自身審計管理和內部控制管理要求,在已有的信息化管理和信息化建設的基礎上逐步開始進行系統規(guī)劃和探索。然而,在對已有成果進行正面的評價的同時,也發(fā)現這類高校審計信息化軟件或系統的研究較多停留在數據采集、財務收支審計、審計信息化的文本管理層面,沒有開發(fā)出一套通用的、適合大多高校(至少是某一省市的全部高校)的審計信息化軟件。也就是說,當前高校有關審計信息化研究較多的是“單打獨斗”,其成果應用輻射面以及資源整合的效果并不高。相關外部監(jiān)管部門更是沒有相應的統一管理平臺。
參考文獻:
[1]蔣東興、宓、郭清順:《高校信息化發(fā)展現狀與政策建議》,《中國教育信息化》2009年第15期。
法益保護前置化的傾向在現代社會中體現的愈發(fā)明顯,這與現代社會所處的環(huán)境密不可分。“自從20世紀中期以來,工業(yè)社會的社會機制已經面臨著歷史上前所未有的一種可能性,即一項決策可能會毀滅我們人類賴以生存的這顆行星上的所有生命。僅僅這一點就足以說明,當今時代已經與我們人類歷史上所經歷的各個時代都有著根本的區(qū)別。”①為了維系社會秩序以及回應民眾對于安全性的追求,國家將刑法作為控制風險的工具加以利用的傾向便愈發(fā)顯著,在所謂的“風險社會”中,刑法的介入比以往更顯得前置化。
一、法益保護前置化的新類型
現代刑法中,法益保護前置化主要采用了“抽象危險犯”的方式。所謂的“抽象危險犯”,從廣義上來講,是指以抽象的危險作為處罰根據的犯罪形態(tài)。立法者通過對個案的觀察歸納,發(fā)現某些行為與危害結果之間有極強的關聯性,而且通常這類行為會造成個人法益或公眾法益的嚴重侵害,如果不前置化處罰會來不及保護法益,才將此類行為抽離出來,界定為抽象危險犯這一種獨立的犯罪類型。抽象危險犯,成為了現代社會尤其是風險社會中使用越來越多的風險管控手段,正如德國著名學者雅科布斯所指出的那樣:“一種特別令人感嘆的發(fā)展是,把保護相當嚴密地劃定范圍的法益特別是私人法益的刑法通過這種法益范圍的延伸引向抽象的危險犯。”②
現代刑法對特定行為的前置化處罰的傾向最開始源于反恐對策立法中,之后以此為契機開始在環(huán)境犯罪、經濟犯罪、犯罪、計算機犯罪等立法中顯現。③具體地體現在對以下新類型犯罪的處罰中:
(一)單純行為犯
單純的行為犯,是指不必引起任何結果甚至具體危險,只要有特定的作為或不作為,即構成犯罪的行為樣態(tài),因此它屬于廣義上的抽象危險犯。非法侵入計算機罪就屬于典型的單純行為犯。比如,1990年英國制定的《計算機濫用法》(Computer Misuse Act)第1條規(guī)定,非法侵入計算機罪(unauthorized access to computer material)是指行為人未經授權,故意侵入計算機系統以獲取其程序或數據的行為。此行為并不要求直接針對特定的程序或數據,只要是未經授權,接觸計算機數據,哪怕僅僅是一般的瀏覽也構成犯罪。依照簡易程序定罪,該罪可處6個月以下監(jiān)禁或不超過5級標準的罰金,或者二者并處。可見,對這種單純行為犯的處罰還是比較重的。德國刑法也有類似非法侵入計算機罪的條款,其第202條a(探知數據罪)第1款規(guī)定:非法為自己或他人探知不屬于自己的為防止被他人非法獲得而作了特殊安全處理的數據的,處3年以下自由刑或罰金刑。
(二)蓄積犯的“單純行為犯”政策
所謂蓄積犯,或者累積犯,是指每個單獨行為自身的危險性程度都很低,但是當其累積到相當的程度,危險性明顯地顯露出來時,其危險的程度無論是在質上還是量上都已經達到了必須動用刑事法加以防止的程度。蓄積犯的概念最初產生于環(huán)境犯罪領域,在環(huán)境污染物質長時期積累可能造成健康損害或者可能造成破壞環(huán)境和生態(tài)系統的場合,刑法便予以介入。從理論上來說,蓄積犯是一種具體的危險犯,只有當蓄積的危險達到具體危險的程度時,方可以予以處罰。但是,在累積的危險(作為危險源的污染等)之排除(不僅在技術上而且從費用上)不可能或極其困難的情況下,從預防的觀點出發(fā),便產生了處罰危險性程度低的個別行為。④這就是蓄積犯中的“單純行為犯”政策的運用。在1997年,日本對《產業(yè)廢棄物處理法》做出了重大修改,其中在第16條中規(guī)定了禁止廢棄物的一般投棄,同時,加大了對違反該禁令的處罰:修改前,對于拋棄應該特別管理的廢棄物的,可以處1年以下有期徒刑或者100萬日元以下罰金;拋棄其他廢棄物的,可以處6個月以下拘役或者50萬日元以下罰金;修改后,所有拋棄廢棄物的行為,都可以處3年以下有期徒刑或者1000萬日元以下的罰金,同時也可以并罰(第25條第6款)。⑤修改后的規(guī)定,不僅體現出法益保護前置化的特征,也體現出刑法處罰嚴厲化的傾向。
(三)預備犯
預備犯,是為實行犯罪準備工具或制造條件的犯罪形態(tài)。在僅僅處罰實行犯仍不能周延地保護法益時,就有必要前置性地處罰預備犯。在日本,由于磁卡犯罪日益猖獗,原有的“不正當制作電磁性記錄罪”已經不能充分滿足打擊此類犯罪的需要,2001年日本刑法又增設了“有關支付用磁卡電磁記錄的犯罪”,其中就包括了“為不正當制作支付用磁卡電磁記錄作準備罪”(第163條之4)。該罪是為了規(guī)制不正當制作支付用磁卡所必不可少的準備行為,包括磁卡信息的獲取、提供與保管行為,以及為制作磁卡準備器械或原料的行為。獲取行為的典型例子是所謂的“速讀”行為,即在使用信用卡的終端機上偷偷地設置讀取、儲存信息用的器械(掃描儀)以獲取信息的行為。另外,接受利用這種方式所獲取的信息的行為也屬于獲取行為。⑥一般認為,處罰這種獲取罪的依據是針對具有財產性價值的信息所實施的“盜竊”行為。保管行為,是指保管前已經獲取的磁卡信息,其行為形態(tài)多是作為數字信息保管在掃描儀中,或者下載到磁盤中加以保管,也有作為數字信息記錄在紙張上加以保管的情形。為制作磁卡準備器械或原料的行為,則包括準備為不正當制作支付用磁卡所必要的一切器械(包括掃描儀、讀卡器、印刷機等)及原料(包括原始卡、未完成的卡、印刷用的材料等)。從形式上看,該罪顯然是非法制作、提供電磁記錄罪(第161條之2)的預備犯,但是刑法對這種預備行為單獨處罰,這也是為了應對眼下愈演愈烈的偽造支付用磁卡的現狀所不得不采取的處罰早期化的做法。⑦
(四)違反特定禁止令的不作為犯
為了管控風險,有必要針對從事特定科技的相關主體制定相應的安全操作規(guī)范,以規(guī)制相關主體在正常的范圍內活動。因此,缺乏必要的許可或者嚴重違背特定行政規(guī)范所科處的義務,給人類生活帶來巨大危險的,刑法便不能袖手旁觀。以核 材料犯罪為例,除了前置化處罰持有等行為,刑法對于違背相應禁止令的行為也采取了提前打擊與嚴厲打擊的方法。如德國刑法第327條(未經許可開動核設備)、第328條(未經許可的放射性物質及其他危險物品的交易)都規(guī)定,如果是缺乏必要的許可或違反可執(zhí)行的禁止令,實施相應行為的,即推定為具備相應的危險,因此需要受到處罰。違背禁止令實施的行為不必等到造成后果或具體的危險才處罰,這大概是因為人們仍對切爾諾貝利核電站泄漏事件心有余悸。⑧除了核材料犯罪外,對于非法器官移植的犯罪,刑法也采取了前置化處罰的措施。如我國澳門地區(qū)刑法規(guī)定,違反摘取手術安全性的要求,未按規(guī)定在醫(yī)生直接監(jiān)督下施行摘取和移植手術,或是在許可醫(yī)院以外進行此類手術的,處以2年有期徒刑或課以240日的罰款。⑨之所以連“在許可醫(yī)院以外進行此類手術的行為”都要受到處罰,是因為法律推定在其他非許可醫(yī)院實施此類手術必然具有更大的風險,出于安全的考慮,法律對于這種擬制的風險也要防范。
二、法益保護前置化的理論基礎
針對現代社會中的法益保護前置化的傾向,在日本刑法學界,出現了持肯定立場、否定立場以及中間立場等不同的主張:
肯定立場認為,根據重視刑法的規(guī)范意識形成機能的立場,為了形成適合現代社會的新的倫理,通過刑法保護的早期化而形成刑法上的行為規(guī)范這一積極意義正逐步得到認可。根據最近在德國盛行的“積極的一般預防理論”,人們正試圖努力通過處罰來確證規(guī)范的妥當與否,并以此確立公民的規(guī)范意識,正因為如此,該理論也可將刑法保護的早期化作為其理論根據。否定立場認為,刑法的保護對象應僅限于個人的生命、身體、自由、財產等傳統的法益,根據貫徹法益概念擁有的自由保障機能這一立場,則刑法保護的早期化有可能被批判為是刑法的過度介入。中間立場認為,根據在現代社會中,刑法保護的適當早期化是不得已而為之,只是在運用上、適用上應當予以必要的限定,有學者堅持在刑事立法的象征化、符號化這個意義上肯定刑法的保護的早期化。⑩這一爭論至今仍在持續(xù)。
本文認為,否定立場顯然忽視了現代刑法所處環(huán)境有別于傳統刑法的這一基本事實,試圖以傳統刑法的研究范式一以貫之的做法也必然在解釋學上捉襟見肘。其將刑法對犯罪處罰固守在實害犯與具體危險犯的范圍內,對于現代社會下重大法益的保護無疑會呈現出不力與遲延之態(tài)。其立論的法益論基礎完全排斥了超個人法益,也不符合現代法益論的發(fā)展方向。正如有學者所言,將超個人法益納入抽象危險犯處罰之范疇,則是立法者為了避免個人利益實現或發(fā)展的制度性條件陷入危險或崩潰,始行采取的作法,如經濟刑法與環(huán)境刑法,在如此脈絡下有其正當性根據。(11)本文堅持認為,應當承認刑法價值的多元性,應當承認刑法體系的割裂性的現實,據此也應當肯定現代社會下刑法對于重大法益提前保護的必要性。采用以抽象危險犯為主要特征的法益保護前置化,其理論基礎可以從幾個方面說明:
(一)“積極的一般預防”機能的實現
積極的一般預防論所追求的是確證現行刑法規(guī)范的妥當性,以及與之相伴的規(guī)范意識的強化、覺醒。現代社會下的法益保護前置化的措施強調的正是這種積極的一般預防機能的實現。正如赫爾佐克教授指出的那樣,為了保護規(guī)范意識的創(chuàng)造和模糊的體制信賴,就只能以尚未發(fā)生實害的行為人的外部態(tài)度為問題點,一方面力圖發(fā)揮應該采取正確的態(tài)度這種教育的效果,另一方面要科處刑罰,此乃是現代的抽象危險犯的目的。因此,作為處理社會中種種危險狀況的手段,并且為了其理論的正當化,就出現了積極的一般預防論。(12)
從前述法益保護前置化的措施中可以看出,積極的一般預防論更為重視的,是通過立法來宣示立法者對于某些行為的不能容忍,并采用科處刑罰的方法來實現創(chuàng)造新的規(guī)范意識的目的。當然,為了使新的規(guī)范意識根植于社會,積極的一般預防論重視訓練人們對規(guī)范的信賴,這一特征在刑事立法上體現為對所謂的“普遍法益”的保護和抽象危險犯的擴張。前置化處罰也使刑法成為了支持刑事政策的工具:民眾常常要求政府對危害重大法益的風險行為予以迅速反應,刑法早期化的介入恰恰滿足了這種政策性的要求。
(二)對法益實現條件的確保
我國臺灣學者王皇玉指出,刑法介入的早期化實際上是對法益實現條件的確保。法益保護并不是對于孤立或靜止狀態(tài)的個人利益加以保護,還應該進而考慮到保護人們得以理性支配與運用這些個人利益的機會、條件與制度。如果沒有實現機會與條件的利益那只能是虛假的利益,同樣,如果沒有制度性保障的利益也不可能持久而真實的存在。不過,對于那些作為法益得以實現與發(fā)展的機會、條件與制度,不能認為其理所當然地存在,而應該通過一些具有前瞻性的法律措施,使其能夠得到保護和維持。可以說抽象危險犯的設立,正是立法者為了避免個人利益支配可能性得以發(fā)展的條件遭到攻擊或陷入危險,而通過法律化的方式所作出的保證。(13)本文贊同這一觀點。
(三)行為無價值論的必然結論
以抽象危險犯為特征的法益保護前置化措施,體現出現代刑法與傳統刑法的不同之處,即不是把罪行的中心放在對法益的侵害結果上,而是放在對行為者的行為義務的違反上。換言之,行為者的行為即使沒有對特定的法益造成損害結果或具體危險,但是只要違反了行為規(guī)范,就推定行為對法益產生了侵害的抽象危險,就應該受刑法上的否定性評價。正如赫爾佐克(Herzog)所言,“危險刑法不再耐心等待社會損害結果的出現,而是著重在行為的非價判斷上,以制裁手段恫嚇、震懾帶有社會風險的行為。”(14)從結果無價值論轉為行為無價值論,是刑法規(guī)制風險的必然選擇。
三、法益保護前置化的適用界限
肯定法益保護前置化的正當性,并不代表放棄對其過度介入市民的自由領域的憂慮。因為,如果僅僅以社會的必要性為由就動用刑法進行規(guī)制,無異于將規(guī)制的妥當性與否委于立法者的政策判斷,這有使刑法的管轄范圍變得無邊無際之虞,也會使近代刑法以來創(chuàng)立出的刑法謙抑主義毀于一旦。刑法作為補充法的基本原則必須被遵守,即使肯定法益前置化的正當性,也只是在承認這一原則的框架內,對謙抑性原則所做出的彈性解釋而已。
除此之外,還應當清醒地看到,針對危險狀況采取刑法措施 時,不應忽視作為“次生效果”的其他危險。“仔細考察一下法律制度就可以不言自明,為了阻止任意墮胎的泛濫,通過立法對人工流產科處嚴刑時,私下的墮胎就會蔓延開來;通過立法對藥物犯罪予以嚴懲時,藥物就會變成暴力團伙的龐大資金來源。”(15)在不考慮發(fā)展其他的管制措施的情況下迷信刑法的力量,是永遠無法解決這些問題的。那么,法益保護前置化就應當有其適用的界限。
(一)對法益的考察與評估
1.應當考察危險行為有無對人的法益的侵害
現代刑法承認保護超個人法益,但是超個人法益只有在能夠還原為個人法益的場合,才能進行刑事規(guī)制。比如在處罰環(huán)境犯罪的場合,只有認為環(huán)境是對人類生存而言的構成要素,破壞環(huán)境的行為侵害了人的生命和健康,采用刑法手段才具備正當性。在完全不會發(fā)生對人的法益侵害的場合,就應該避免刑罰權的行使,這就是德國哈塞默(Hassemer)教授所提倡的“人本法益論”(die personale Rechtsgüter)。(16)“人本法益論”使得刑法從純粹的象征中解放出來,要使刑法成為解決問題的手段就要恢復刑法的實效性,為此,就應該將刑罰權的使用限制在現實上能夠處理的范圍之內。
2.應當評估危險行為侵害法益的程度
如果說從“人本法益論”中找出了用刑法保護利益的基礎和關聯的話,還要考慮的是能否將遭到侵害的生活利益具體化?能夠在多大程度上將其具體化?僅僅是將家庭垃圾丟進河里,即使在倫理上、道德上加以譴責,也只能說個人行為的侵害性輕微。只有當這種行為蓄積起來,才產生重大的社會危害性。因此,本文認為,處罰積蓄犯中的單獨行為,其理論基礎是脆弱的。
在考慮危險行為尤其是科技危險行為對侵害法益的程度時,不可能不考慮危險的評估問題。所謂危險評估,也稱危險評價,是指為認識科學技術性危險,并推測和評價因危險而發(fā)生法律權益侵害的可能性過程。美國國家研究會把危險評價劃分為既有區(qū)別又有聯系的四個階段,即對危險的認識、對于露出量的反映評價、露出評價和危險特征評價。(17)通過這些指標,我們可以去解釋關于保護法益的科學技術性危險的內容和程度。
3.應當檢驗“不前置處罰法益保護就不充分”的真實性
在考慮是否有必要運用抽象危險犯這樣的前置處罰的條款時,需要檢驗是否會出現“如不前置處罰就會來不及保護法益”的情況。對于單純的危險,如果總是期待以刑法的手段除去引發(fā)危險的原因的話,不僅會阻礙人類在科學技術領域里的創(chuàng)造性活動,而且也極有可能會造成新的風險——對風險規(guī)制越嚴格,對人的自由侵犯的風險就越大。比例原則要求應當盡可能地依據民事法、行政法對法律權益進行保護。因此,如果實證數據表明,采用征收過期費等行政處罰方式,已經足以有效地抑制了環(huán)境污染的危險源,那么就不需要進入到刑法的視野。如果行政處罰尚不能防止危險時,才需要強制實施刑罰處罰的對策。
如果現行法已有相關的刑罰制裁條款,還要考慮是否可以依據現有條款而不必單獨創(chuàng)設前置性條款予以規(guī)制。如果根據現有條款,充分應用刑法解釋的技術,仍然不能規(guī)制部分危險行為的,為了更周全地保護法益,就存在創(chuàng)設單獨的前置性條款的可能。
(二)防止象征刑法的措施
前述日本學者所持的中間立場主張在刑事立法的象征化、符號化這個意義上肯定刑法的保護的早期化,這實際上是肯定了“象征刑法”的存在意義。所謂“象征刑法”,是指在一個純粹的功能刑法體系下,刑法最大的功能在于象征性的功能,而這種象征性的功能成為現代刑法(相對于對刑法固有的古典性預測)的共通的且獨立重要的內涵。(18)顯而易見,象征刑法只強調刑法的宣示性功能,即宣示對刑法規(guī)范違反的不允許的態(tài)度以及培育國民信賴法秩序的期待,而在司法上則往往容易因為不具有任何的可操作性淪為“死亡條款”。本文堅決反對法益保護前置化成為象征性地響應市民的不安的嚴罰化的方法,相反,本文堅持認為刑法處罰應當落到實處,否則刑法規(guī)制本身的意義將大打折扣。為此,應當探討有效的立法技術,使刑法避免符號化、象征化,使之具備實效性、可操作性。
1.預備行為的實行行為化
在對預備犯的處罰中,由于大陸法系刑法對于預備犯的態(tài)度是原則上不罰,因此,如果依照總則中的條款處罰預備階段的行為必然面臨著理論和實踐上的雙重困境。但是,如果將預備行為分則立法化,即在刑法分則中單獨設立罪名、具備獨立的構成要件,便會消解這種處罰上的尷尬。前文所述的日本刑法中的“為不正當制作支付用磁卡電磁記錄作準備罪”,實際上就是對“非法制作、提供電磁記錄罪”的預備犯的單獨立法化。
2.持有行為的單獨處罰
持有犯,因其有利于減輕公訴機關的證明責任,故而也是現代社會中法益保護前置化的一項有效的技術。如對核材料或放射性物質非法持有行為的規(guī)制即屬此項。2005年4月13日第59屆聯合國大會一致通過的《制止核恐怖行為國際公約》(The Convention on the Suppression of Acts of Nuclear Terrorism)第2條第1款第1項就明確規(guī)定,以危害人、財產和環(huán)境為目的,擁有放射性物質或核裝置的,構成犯罪。我國臺灣地區(qū)“刑法”第187條之一規(guī)定的“非法產銷、持有核子原料設備及放射性物質罪”也體現了這一精神。
3.不作為犯的轉向處罰
在對于某些行為直接處罰存在困難的情況下,以不作為犯的方式進行“轉向”的處罰,就可避免來自刑法謙抑主義的批判,同時因其處罰具備可操作性而不易形成“象征刑法”的局面。如前所述,對核材料犯罪與器官移植犯罪的處罰,就是采用以違反禁止令(19)的不作為犯的方式轉向處罰,從而使得此類案件在司法中得以順利處理。
(三)運用反證來限縮處罰范圍
上述的刑事實體法技術,一方面可以有效地避免象征刑法的產生,另一方面因其法定性的特征也有利于節(jié)制抽象危險犯的濫用。除此之外,還應當積極探索緩和抽象危險犯過于激進地進行法益保護的措施。有學者提出,可以在部分抽象危險犯的實體性規(guī)范中植入程序性內容。即為了合理控制抽象危險犯的處罰不以危險存在為必要所導致的處罰范圍過大問題,應當允許行為人對立法推定進行反駁,通過反證的方式證明立法推定 的危險行為實際上在個案中并不存在危險,進而予以減輕、免除處罰。論者并指出,德國刑法理論與判例認為,如果行為人能夠證明放火行為不會造成危險,可以適用該條減輕刑罰的規(guī)定。(20)
論者提出了是否可以用反證的方式來減輕、免除處罰的問題,但是在筆者看來,更為準確的表述應當是,抽象危險犯是否可以用反證來排除的問題。對于這一問題,在德國刑法學界存在激烈的爭論,在諸如盜竊槍支這一類的犯罪中,較為一致地否認了允許反證的可能性。但是在一些特殊的放火的場合,比如行為人確認建筑物內一個人也沒有時才放火,多數學者反而認為,該行為并不能構成刑法第306條第2款的放火罪,如果對這樣的場合也認定為放火罪,那么就違背了責任主義的原則。(21)
本文贊成在特定的案件中以允許反證方法來排除犯罪的觀點,這樣做的依據是因為抽象危險犯的危險是根據行為符合構成要件這一點推定出來的危險,那么在具體的場合,這種抽象危險還是可能不存在的。當然,這里的反證要求應當是非常嚴格的,即不僅僅是證明對不特定人的生命沒有侵害危險,而且要證明對不特定人的財產也不可能帶來侵害的危險(如該房屋附近沒有可以延燒的財產),只有兩方面均可證明,才能否定上述放火罪的成立。(22)
四、法益保護前置化在中國刑法上的回應
基于客觀主義的理論與現實,我國刑法仍然采取結果本位的體系,應當說基本是合理的。但是,與西方刑法中的法益保護“前置化”傾向相對照的是,我國刑法一些條款體現了極端的“后置化”傾向,這不僅與現代社會所處的背景不符,也與科學發(fā)展觀背道而馳。
以我國刑法第338條為例,該條規(guī)定,只有造成嚴重后果的情況下才構成本罪。2008年7月14日印發(fā)的《最高人民檢察院公安部關于公安機關管轄的刑事案件立案追訴標準的規(guī)定(一)》第60條具體規(guī)定了該罪的立案標準:
違反國家規(guī)定,向土地、水體、大氣排放、傾倒或者處置有放射性的廢物、含傳染病病原體的廢物、有毒物質或者其他危險廢物,造成重大環(huán)境污染事故,涉嫌下列情形之一的,應予立案追訴:
(一)致使公私財產損傷三十萬元以上的;
(二)致使基本農田、防護林地、特種用途林地五畝以上,其他農用地十畝以上,其他土地二十畝以上基本功能喪失或者遭受永久性破壞的;
(三)致使森林或者其他林木死亡五十立方米以上,或者幼樹死亡二千五百株以上的;
(四)致使一人以上死亡、三人以上重傷、十人以上輕傷或者一人以上重傷并且五人以上輕傷的;
(五)致使傳染病發(fā)生、流行或者人員中毒達到《國家突發(fā)公共衛(wèi)生事件應急預案》中突發(fā)公共衛(wèi)生事件分級Ⅲ級以上情形,嚴重危害人體健康的;
(六)其他致使公私財產遭受重大損失或者人身傷亡的嚴重后果的情形。
依據該解釋的規(guī)定,只有像造成“基本功能”喪失或者遭受“永久性”破壞的后果這樣的“超級實害犯”才能受到刑法處罰。過高的立案標準不僅與世界各國普遍處罰環(huán)境危險犯的立法例不符,也使得處罰標準本應較低的“重大環(huán)境污染事故罪”提升到僅次于“危害國家安全罪”的“高處不勝寒”的地位,繼而造成了適用該罪寥寥無幾之怪現狀。然而,高速發(fā)展的中國社會必須要正視自己所處的時代,中國甚至要接受比西方發(fā)達國家更加巨大的風險挑戰(zhàn)。那么,出于保障安全、維護良性發(fā)展的要求,這種無視風險規(guī)制的過于“后置化”的處罰模式就應當有所改變。
值得欣喜的是,我國的刑事立法已經開始有所回應。在2011年頒布的刑法修正案(八)中,第46條對于刑法第338條進行了修正,“違反國家規(guī)定,排放、傾倒或者處置有放射性的廢物、含傳染病病原體的廢物、有毒物質或者其他有害物質,嚴重污染環(huán)境的,處三年以下有期徒刑或者拘役,并處或者單處罰金;后果特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。”修改后的條文使本罪由結果犯改為行為犯,即不再要求“造成重大環(huán)境污染事故,致使公私財產遭受重大損失或者人身傷亡的嚴重后果”的要件,這一轉變體現了行為無價值論的思想,有利于有效管控環(huán)境犯罪產生的風險,使得法益得以前置化的保護,值得肯定。此外,修改后的條文規(guī)定采用簡單罪狀的方式,使本罪成立范圍的包容性更強。
除此之外,刑法修正案(八)還有一些條文也體現了法益保護前置化的思想,如增設的危險駕駛罪。隨著我國《道路交通安全法》的出臺,諸如無資格駕駛、超速駕駛、醉酒或服用鎮(zhèn)靜類藥物后駕駛、嚴重超載駕車以及駕駛存在危險隱患的車輛上路等駕駛行為均被行政法規(guī)認定為危險駕駛行為,然而,對于這些危險駕駛行為在尚未造成嚴重后果時,現行刑法規(guī)定的交通肇事罪無力調整,刑法存在著規(guī)制的空白。隨著民眾對于飆車、醉駕等危險駕駛行為的痛恨程度的不斷加強,對于此類行為進行刑法處罰的呼聲日益高漲,刑法修正案(八)順應民意,參考德日等國的刑法規(guī)定,新增了危險駕駛罪,即“在道路上駕駛機動車追逐競駛,情節(jié)惡劣的,或者在道路上醉酒駕駛機動車的,處拘役,并處罰金”。這一前置化的處罰行為有利于對民生的保護,正如張明楷教授所言,“酒后駕車是交通肇事的高概率的先在行為,酒后駕車罪名的設立將會有利于減少重大交通事故的發(fā)生。”(23)
再如,刑法修正案(八)第23條對生產、銷售假藥罪進行了修正,將罪狀修改為“生產、銷售假藥的,處……”和原來的規(guī)定相比,新的條文取消“足以嚴重危害人體健康”的要件的限制,即由具體危險犯改為抽象危險犯,使得處罰條件得以前置。
總之,中國刑法應當充分考慮法益保護前置化的合理性,應對日益增多的風險。刑法修正案(八)已經為我們提供了一條漸進式的改革設想:即首先考慮對某些行為予以犯罪化,盡快彌補立法上的空白;其次,對于某些已有犯罪目前只處罰實害犯的可以考慮擴張至危險犯;最后,再考慮對某些特殊行為是否增設抽象危險犯的條款。這種改革在適用范圍上,應當先在諸如環(huán)境犯罪、計算機犯罪、食品藥品犯罪等特定領域予以嘗試,待經驗成熟后再有選擇地推廣。需要說明的是,在改革的過程中也應當防止前置化所帶來的“次生效果”即刑法的“嚴罰化”。(24)過于嚴厲的刑罰措施來防范未來的風 險,不僅與制度設計初衷相悖,也不符合比例性原則。我國應當調整刑罰結構,積極推行“嚴而不厲”的處罰模式,穩(wěn)步推進刑罰的輕緩化。
注釋:
①[德]烏爾里希·貝克:“從工業(yè)社會到風險社會(上篇)”,編譯,載《與現實》2003年第3期。
②[德]格呂恩特·雅科布斯著:《行為責任刑法》,馮軍譯,中國政法大學出版社1997年版,第118頁。
③[日]金尚均:“危險社會と刑法”,載《立命館法學》2003年第5號。
④[日]伊東研祐:“現代社會中危險犯的新類型”,鄭軍男譯,載何鵬、李潔主編:《危險犯與危險概念》,吉林大學出版社2006年版,第180頁。
⑤冷羅生著:《日本公害訴訟理論與案例評析》,商務印書館2005年版,第358頁。
⑥[日]西田典之著:《日本刑法各論》(第三版),劉明祥、王昭武譯,中國人民大學出版社2007年版,第271頁。
⑦[日]山口厚:“危險犯總論”,王充譯,載何鵬、李潔主編:《危險犯與危險概念》,吉林大學出版社2006年版,第13頁。
⑧相信最近發(fā)生的日本福島核電站的危機,使人們對于核風險的管控有了更新、更深刻的認識。
⑨張鋒、任靜遠:“澳門有關人體器官和組織捐獻、摘取及移植的法律制度”,載《法律與醫(yī)學雜志》2000年第3期。
⑩[日]高橋則夫:“刑法的保護の早期化と刑法の界限”,載《法律時報》2003年第75卷第2號。
(11)王皇玉:“論危險犯”,載《月旦法學雜志》2008年第159期。
(12)[日]金尚均:“現代社會にぉける刑法の機能”,載《刑法雜志》2001年第40卷第2號,第174頁。
(13)王皇玉:“論販賣罪”,載《政大法學評論》2005年第84期。轉引自高巍:“抽象危險犯的概念及正當性基礎”,載《法律科學》2007年第1期。
(14)林東茂著:《危險犯與經濟刑法》,五南圖書出版公司1996年版,第15頁。
(15)[日]高橋則夫:“刑法的保護の早期化と刑法の界限”,載《法律時報》2003年第75卷第2號。
(16)[日]金尚均:“人格的法益論とダイヴア—アジョンの可能性”,載《刑法雜志》2007年第47卷第1號。
(17)[韓]許一泰:“在危險社會之刑法的任務”,韓相敦譯,載京師刑事法治網criminallawbnu.cn/criminal/Info/showpage.asp?showhead=&ProgramID=40&pkID=8376&keyword=。
(18)林宗翰著:《風險與功能——論風險刑法的理論基礎》,臺灣大學法律學研究所2006年碩士論文,第85頁。
(19)我國刑法修正案(八)中首次出現了“禁止令”的規(guī)定,但僅限于對于管制犯、緩刑犯的規(guī)制,不過筆者樂觀地相信這一規(guī)定的出臺必將促成學界對于“禁止令”的進一步深入研究。
(20)謝杰、王延祥:“抽象危險犯的反思性審視與優(yōu)化展望——基于風險社會的刑法保護”,載《政治與法律》2011年第2期。
(21)[日]山口厚著:《危險犯の研究》,東京大學出版社1982年版,第234—236頁。
(22)鮮鐵可著:《新刑法中的危險犯》,中國檢察出版社1998年版,第107頁。
(23)張明楷:“危險駕駛的刑事責任”,載《吉林大學社會科學學報》2009年第6期。
