時間:2023-09-15 17:31:09
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全有效性評估,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】網絡 安全預測 方法 信息處理
計算機的日常基本運作離不開網絡,但隨著互聯網的不斷發展,網絡環境存在巨大的安全隱患,傳統的網絡安全保護方式像入侵檢測系統、防火墻等,已經不能再滿足用戶的網絡安全防護需求。目前,網絡安全勢態預測方法是最受關注的問題,引起眾多學者的激烈探討,不少學者已經對此展開研究,提出了眾多的網絡安全勢態預測方法,為改善網絡安全問題做出了巨大的貢獻。
1 網絡安全態勢預測方法的概述
網絡安全勢態預測方法主要是指查找潛在的網絡安全問題,并收集與這些問題相關的信息,在此基礎上運用相關經驗進行分析,以數學模型計算作為輔助,預測網絡安全問題產生的原因和發展趨勢,為網絡安全管理提供準確無誤的數據信息。網絡安全態勢的預測具有復雜性和層次性兩大特點。
2 準確的數據是網絡安全態勢預測的前提
數據信息整合的概念最早起源于20世紀中期的傳感器觀測,主要是指依照時序及時記錄傳感器觀測所顯示的數據信息,再將這些數據信息根據一定的準則,通過計算機的基本技術進行運算,將計算結果進行分類匯總,從而實現網絡安全態勢的評估和預測。在網絡安全態勢預測的過程中會出現許多數據,因此,在確保預測方法正確的前提下,需要確保數據的準確性。確保數據的準確性則需要人們掌握較高的數學模型使用能力和網絡模型能力。通常采用整合數據信息和挖掘數據信息等方式預測網絡安全態勢,從而提高網絡安全態勢預測數據的精準性和科學性。然而,由于數據信息整合的概念使用角度和使用領域的不同,存在較大的差別,因此,目前對于數據信息的整合目前還沒有統一的標準。
3 網絡安全態勢預測的系統框架結構
網絡安全勢態預測的系統框架結構主要包括數據采集、評估數據庫、網絡安全勢態評估三大部分。數據采集是指收集網絡安全態勢預測中具有重要意義的數據,主要包括兩個部分:第一,網絡節點信息。網絡安全態勢的預測需要評估網絡風險,評估過程中的網絡安全態勢理論性較強,需要以網絡節點實時性為依據進行修改。第二,IDS報警日志的信息。IDS的信息有眾多具有攻擊性的網絡信息,是網絡安全態勢的重要監測數據。IDS信息較為復雜,需要對這些信息進行分級和提取,降低評估時的難度。評估數據庫包括威脅信息庫、資產信息庫、日至系統等,利用主機信息掃描應用程序得到相關信息。網絡安全勢態預測通常運用Markov模型預測勢態,將評估的結果利用HMM參數訓練,運用HMM-NSSP預算法進行下一個狀態的預測。
4 網絡安全態勢勢態預測的基本原理
網絡安全管理的態勢猶如軍事領域中的戰場態勢,當出現分析對象的范圍較大,又有許多干擾因素時,需要用態勢來了解分析對象目前的狀態和表現,并對此加以說明。這種態勢是以建立高效的、精確的網絡安全勢態綜合體系為核心目的,使網管人員對整體網絡安全有更全面、更及時的把握。在收集數據信息上,網絡安全態勢需要根據時間的順序;在處理信息時,根據時間將信息排成序列;進行變量輸入時,需要注意選取前段的時間態勢值,將下一段時間所顯示的態勢值作為輸出變量。網絡安全態勢的預測和評估都需要根據與網絡安全問題相關的產出進行處理,包括產生的次數、發生的概率以及被威脅的程度等等,再將所得的網絡安全數據結合成一個準確反映網絡狀況的態勢值,通過過去的態勢值和目前的態勢值預測未來的網絡安全態勢。由此可以得出結論:網絡安全態勢的預測從本質上來看,就是分析和研究按照時間順序有一定序列的態勢值,從而預測未來更多的態勢值。
5 網絡安全態勢預測方法的應用
網絡安全態勢預測的應用主要有三種評估模型,主要是以下三種:第一,網絡態勢的察覺。網絡態勢的察覺是指在分析網絡環境的基礎上提取與網絡態勢相關的元素,再將這些網絡態勢相關的元素進行分類和處理,這種模型屬于像素級別的結合。第二,網絡態勢的理解。網絡態勢的理解需要有具備充分專業知識的專家人士,將專家的系統結合網絡態勢的特征,在分析總結過后專家對網絡勢態做出有效的解釋,為網絡安全勢態的預測提供相關依據,屬于特征級別的結合。第三,網絡勢態預測。網絡勢態預測主要是負責多個級別的預測,包括像素級別和特征級別,預測各個級別由單體行為轉變為全局網絡態勢的整個過程,這種模型屬于決策級別,是最高的模型。除此之外,網絡安全態勢預測方法的應用也包括挖掘數據信息,挖掘數據信息主要是指找出網絡數據庫中具有較大的潛在利用價值的數據信息,再將這些數據進行分析評估。同源的數據信息更具有準確性和有效性,與單源的數據相比有較大的優勢。另外,準確的數據需要依靠多個傳感器,通常情況下,多個傳感器能夠處理多個級別甚至多個層面的信息,提高了網絡安全勢態預測的精確度。
6 結束語
網絡安全態勢預測是目前最受關注的問題,也是一項技術含量十分高的工程,需要引起人們的重視。網絡安全態勢的預測需要有嚴謹的數學邏輯和精準的數據,通過人們的不斷努力,營造安全的網絡環境指日可待。只有合理運用網絡安全態勢方法,才能減少因網絡安全問題帶來的損失。
參考文獻
[1]譚荊.無線局域網通信安全探討[J].通信技術,2010(07):84.
[2]楊雪.無線局域網通信安全機制探究[J].電子世界,2013(19):140.
[3]李曉蓉,莊毅,許斌.基于危險理論的信息安全風險評估模型[J].清華大學學報,2011,51(10):1231-1235.
論文摘要:隨著信息化建設的不斷深入,醫院信息系統的應用也越來越廣泛。醫院各種信息的網絡化,共享化,也為其安全帶來了一定程度的考驗。本文通過分析醫院信息系統的特點,對其數據信息的安全和保密工作進行了技術和管理上的探討。
醫院信息系統是一個復雜龐大的計算機網絡系統,其以醫院的局域網為基礎依托、以患者為信息采集對象、以財務管理為運轉中心,對醫院就診的所有患者進行全面覆蓋。醫院信息系統包括了醫患信息和醫院管理等各種信息,對信息的網絡安全進行保護,保證其信息的完整性和可靠性,是醫院信息系統正常運轉的根本條件。因此有必要對醫院信息系統的網絡數據進行安全管理,避免各種自然和人為因素導致的安全問題,保證整個系統的安全有效。
一、醫院信息系統特點分析
醫院信息系統的網絡結構決定著系統功能性及有效性。系統的各種集散數據、通信和所提供的系統的擴充能力、自我維護、信息服務等都很大程度上依賴與醫院信息計算機系統的網絡結構。星形拓撲結構有利于信息的集中控制,能避免局部或個體客端機故障影響整個系統的正常工作,因此可以采用以星形拓撲為基礎的分層復合型結構的信息系統進行醫院數據的全面管理。其次,作為醫院信息系統的主要數據管理模式和管理工具,醫院的數據庫系統是保證醫院信息系統完整性和安全性的關鍵。
一般認為網絡安全就是針對黑客、病毒等攻擊進行的防御,而實際上對于醫院的信息系統而言,網絡安全還受到其他很多因素的威脅,比如:網絡設計缺陷、用戶非法進入、通訊設備損壞等。網絡出現故障將造成患者重要信息損壞和財務管理數據丟失,導致醫院的正常作業不能開展。因此本文從技術和管理兩個層面對醫院信息系統的網絡安全維護進行了探討。
二、醫院信息系統網絡安全的技術實現
網絡、應用、數據庫和用戶這四個方面是建立醫院信息系統安全體系的主要組成部分,只有保證了這些結構的安全,才能從基本上實現醫院信息系統的網絡安全。
首先是確保網絡的安全。醫院網絡安全包括醫院內部網絡安全和內外網絡連接安全,防火墻、通訊安全技術和網絡管理工具等是最常用的技術。其次是確保應用系統的安全。計算機的應用系統完整性主要包括數據庫系統和硬件、軟件的安全防護。可以采用風險評估、病毒防范、安全審計和入侵檢測等安全技術對系統的完整性進行保護。其中,網絡安全事件的80%是來自于病毒,因此病毒防范是保證系統完整性的主要措施。然后是確保數據庫的安全。對處于安全狀態的數據庫,可以采用預防性技術措施進行防范;對于已發生損壞的數據庫,可以采用服務器集群、雙機熱備、數據轉儲及磁盤容錯等技術進行數據恢復。最后是確保用戶賬號的安全。采用用戶分組、用戶認證及唯一識別等技術對醫院信息系統的用戶賬號進行保護。
三、醫院信息系統網絡安全的管理體系
除了在技術上對醫院信息系統的網絡安全進行確保,還需要建立完善合理的安全管理體系,更高層次的保證醫院所有有用數據的安全。 (一)進行網絡的信息管理。作為現代化醫院的重要資產,且具有一定的特殊性,醫院的所有信息都有必要根據實際情況,對不同類型的信息因地制宜的制定各種合理的管理制度,分類管理,全面統籌。(二)進行網絡的系統安全管理。隨時關注網絡上的系統補丁相關信息,及時完善醫院信息系統,對需要升級的系統進行更新,通過確保系統的安全達到保護整個醫院信息管理安全的目的。(三)進行網絡的行為管理。由專門的網絡管理人員利用網絡管理軟件對醫院信息系統內的各種操作和網絡行為進行實時監控,制定網絡行為規范,約束蓄意危害網絡安全的行為。(四)進行身份認證與授權管理。通過規定實現身份認證與權限核查,對醫院信息系統的用戶身份和操作的合法性進行檢查驗證,從而區分不同用戶以及不同級別用戶特征,授權進入信息系統。(五)進行網絡的風險管理。通過安全風險評估技術,定期研究信息系統存在的缺陷漏洞和面臨的威脅風險,對潛在的危害進行及時的預防和補救。(六)進行網絡的安全邊界管理。現代化醫院的信息交流包括其內部信息和內外聯系兩部分。與外界的聯系主要是通過Internet進行,而Internet由于其傳播性和共享性,給醫院的信息系統帶來較大的安全隱患。(七)進行桌面系統安全管理。桌面系統作為用戶訪問系統的直接入口,用戶能夠直接接觸的資源和信息一般都存放其上,因此對其進行安全管理非常重要。用戶可以采用超級兔子魔法設置或Windows優化大師等應用軟件對無關操作和非法行為進行限制。(八)進行鏈路安全管理。針對鏈路層下層協議的攻擊一般是通過破壞鏈路通信而竊取系統傳輸的數據信息。因此要對這些破壞和攻擊進行防御,醫院可以通過加密算法對數據處理過程實施加密,并聯合采用數字簽名和認證儀器確保醫院信息數據的安全。(九)進行病毒防治管理。網絡技術和信息技術的不斷發展,也滋長了各種病毒的出現。病毒是計算機系統最大的安全隱患,對系統信息的安全造成很大的威脅。(十)進行數據庫安全管理。對數據庫的安全管理應該配備專人專機,對不同的數據庫類型采取不同的使用方式和廣利制度,保護醫院信息系統的核心安全。(十一)進行災難恢復與備份管理。百密總有一疏,任何安全防護體系都不肯能完全對病毒進行防殺,因此為了避免數據的損壞和事故的發生,需要制定相應的數據恢復措施,對重要數據進行定期備份。
四、結束語
當今信息化的不斷發展給醫院的管理和高效運轉帶來了方便,但同時也帶來了挑戰。為了維護病人醫患信息和醫院財務信息,需要從技術和管理上加強對網絡的安全工作,需要與時俱進,不斷采用新技術,引進新方法,適應社會需求,將醫院的信息化建設推向更高平臺。
參考文獻
[1]尚邦治.醫院信息系統安全問題[J].醫療設備信息,2004,9
[2]從衛春.淺談醫院信息系統安全穩定運行[J].醫療裝備,2009,15
【關鍵詞】 計算機網絡 網絡維護 網絡管理
良好的計算機網絡狀態維護對保持網絡的高效可靠應用與運行具有十分重要的意義。充分發揮計算機網絡在數據傳輸與處理方面的性能優勢,提升相關人員的工作效率,避免因網絡故障所引起的網絡終端設備受損、網絡數據受到安全威脅等情況的發生。
一、計算機網絡概述
計算機網絡是指多個計算機終端以特定的規則和通信協議連接形成的一個可以進行數據傳遞與共享、協同工作與運行的計算機系統。在計算機網絡中的服務器中部署與應用相關的管理軟件可以對網絡運行狀態和網絡內的軟硬件進行實時監控與管理,保障網絡用戶的工作環境免受安全威脅和惡意破壞,促進整個計算機網絡的安全有效運轉。
二、計算機網絡的維護
2.1 軟件安全維護
為保障計算機網絡的安全,首先需要從計算機軟件入手,對其進行集中安全與管理,避免惡意軟件影響網絡數據的安全。同時,統一軟件安裝還能夠提升網絡維護的效率與質量,增強防火墻、通信協議與策略、入侵檢測等網絡安全防護技術的有效性。
2.2 權限分配與口令設置
對計算機網絡終端及操作人員進行層次分級,并依照對應的層次為其分配登陸口令與操作權限可以進一步的提升計算機網絡的可靠性,避免非授權用戶的網絡登入行為,提升網絡的安全性能。同時,該維護策略還能夠有效提升計算機網絡日志的應用效率,在網絡出現問題時及時對問題進行定位和分析,縮短網絡故障時間,提升網絡故障排除精確度。
2.3 網絡層級的殺毒軟件部署
計算機網絡具有較高的開放性和共享性,一旦網絡內某一終端感染到病毒,其就會對整個網絡內的終端帶來安全威脅。在網絡服務器中安裝與部署殺毒軟件可以及時發現與清除終端內存在的病毒,避免其他終端被感染,維護網絡通信的安全。
2.4 硬件維護與通信協議管理
計算機網絡的運行離不開硬件系統的支持。維護計算機網絡的穩定性和可靠性還應該從硬件層面著手,開展相關的維護工作。如網線制作標準可選用568B;網絡部署過程中要對網絡連接進行檢測;對網卡的驅動和連接等進行檢查等。
三、計算機網絡的管理
3.1 網絡配置
對計算機網絡進行配置是計算機網絡維護工作的首要內容,其設計網絡參數設置、級別定義等內容。良好的網絡配置方案可以降低路由器的工作負擔,增強網絡拓撲結構的魯棒性,降低網絡擁塞的發生概率。
3.2 網絡故障管理
計算機網絡處于不間斷服務狀態,其運行過程中可能會出現網絡故障,為縮短故障時間,避免故障的重復出現,需要對網絡狀態進行分析,獲得一個大致的評估結構,依照該結果對網絡進行管理。常見的網絡故障有因硬件傳輸線路故障所引起的數據傳輸中斷;因路由器、終端主機故障所引起的數據傳輸中斷;因DNS服務、數據庫錯誤等問題所引起的通信故障等。了解與掌握上述故障的特點及故障內容,定期檢查和更新相關配置,不僅能夠及時查找到故障的原因還能夠協助制定高效可行的故障排除方案。
3.3 網絡性能管理
維持網絡性能是計算機網絡管理與維護工作的重要內容之一,其直接關系到計算機網絡的應用質量與運行效率。反映網絡性能的指標有吞吐量、轉發率、丟包率、節點處理延時等,針對這些指標可以從網絡配置和狀態查詢等入手開展網絡性能管理,通過配置合理的參數來提升傳輸信道的利用率。常見的性能管理手段有帶寬分配、連通時間控制、IP地址及其對應權限配置、流量配置等。
3.4 網絡安全管理
網絡安全的管理應該遵循完整性、可控性、保密性、抗抵賴性等幾方面原則,在此基礎上分兩層分別進行管理。第一層主要是對網絡安全及其風險評估方法與策略制定;第二層是在第一層的基礎上應用適當的系統化管理方法開展生命周期管理、層次化管理、協作化管理、動態化管理以及應急響應等具體管理。
四、總結
計算機網絡是現代數據傳輸與存儲的主要載體,對人們的工作與生活具有重要意義。維持計算網絡的正常穩定運轉不僅能夠提升網絡的應用效果,還能夠保障網絡內數據通信的安全,避免為網絡用戶帶來經濟損失。
參 考 文 獻
[1] 田小虎. 計算機系統安全與計算機網絡安全淺析[J]. 現代商業,2010(35)
關鍵詞:醫院 信息系統 安全
中圖分類號:R197.3 文獻標識碼:A 文章編號:1003-9082 (2017) 04-0222-01
在醫院信息系統建設中,信息安全為一種重要組成部分。醫院信息系統的安全性主要涉及備份方案的可靠性、網絡安全、計算機病毒防治等。信息系統一旦出現安全問題,會對醫院工作效率、工作質量產生嚴重影響。因此,加強對醫院信息系統安全實施科學管理,對醫療機構相關醫療服務工作開展效率及質量的保證及提高均具有重要價值[1]。本文主要以新形勢下醫院在信息安全方面所面臨的挑戰作為切入點,對醫院信息安全有效防治措施進行深入研究,旨在為醫院信息系統安全性提供更多保障。
一、新形勢下醫院信息系統安全面臨挑戰
1.信息安全管理策略、責任缺乏明確性
目前,多數醫院在實施信息安全管理過程中,未能制定符合醫院實際情況的安全管理措施、規劃,或未能及時對管理策略進行修改。同時,醫院領導對信息安全管理重視程度不夠,未能及時發現存在的安全隱患,未能實施預見性、針對性風險評估和防范。這導致醫院信息安全管理缺乏有效、科學的防治措施,管理責任含糊不清,安全防控效果差。
2.系統數據存在安全隱患,信息安全事件頻發
目前,多數醫院在實施網絡安全建設過程中所選用的安全產品還缺乏聯動,部署存在不均衡性,安全信息未能得到有效挖掘,縱深安全防護未能形成,防護效果較低[2]。同時,隨著計算機網絡技術發展速度的不斷加快,計算機系統漏洞、病毒泛濫等網絡安全問題頻發。醫院網絡因未能形成有效的安全防護,用戶終端未能及時實施系統升級、漏洞修補、病毒查殺等,這均為網絡信息系統安全埋下隱患,對醫院信息安全造成巨大威脅。保證用戶端的安全,通過用戶端對威脅入侵網絡進行阻止,對訪問網絡實施嚴格控制,為保證醫院網絡安全和信息安全的重要前提,同時也是醫院目前信息系統安全管理中必須要解決的一個重要問題。
二、應對信息安全挑戰措施
1.加強制度、隊伍等建設及完善,提升安全管理水平
首先,醫院須積極建設安全機構,將信息系統安全管理責任進行明確劃分。同時設立專門信息安全領導小組,并將小組中各個成員的安全管理職責和責任明確,并嚴格把控相關責任人管理責任的落實情況。領導小組須不定期組織開展信息系統安全檢查,并實施安全事件處理應急演練。其次,加強管理隊伍建設,提升管理人員的安全防范意識。醫院應積極建設一支高專業素質和能力的安全管理隊伍,為信息系統能夠正常運行提供有效保障。醫院可通過院內培訓、院外引進等方式,加強對管理人員實施信息安全教育和培訓,促進其安全防范意識以及應急處理能力得到有效提高。再次,積極建設并不斷完善安全制度,對安全管理策略進行不斷改進和優化。醫院須建立一套包含網絡、應用、運行、信息安全等諸多個方面的,具有可行性和可行性的規章制度。同時,醫院以自身信息系統實際情況作為根據,對信息安全管理的等級、范圍進行明確,制訂出切實可行的出入機房管理制度、網絡操作使用規程、網絡系統應急措施及維護制度等,積極建立起適合自身實際情況的信息安全管理策略,提高管理有效性,保證醫院信息系統運行的安全性。
2.制定規范性信息安全管理流程
首先,對信息系統登錄密碼實施規范化管理。單位中所使用的密碼須通過“暗文”的方式進行保存,同時配上相應的修改密碼記錄,定期實施密碼修改。其次,對系統使用權限進行規范管理。業務軟件需要將原有用戶取消或增加新用戶時,必須要嚴格按照要求認真填寫情況說明表,經所在科室負責人簽字,之后信息科才能實施用戶撤銷或新用戶添加操作,同時向新用戶分配相應的操作權限[3]。同時,當員工需實施統計、其他操作權限變更時,須按照要求填寫好說明表,交由科室負責人簽字,然后交由相關行政科室進行審批,獲得同意后信息科才能進行修改。再次,對第三方訪問進行規范控制管理。將第三方訪問者須將計算機的IP地址綁定于MAC地址,然后才能訪問單位內部網絡。第三方訪問內部網絡或出入信息科均須認真填寫登記表;應要求第三方使用信息科計算機訪問內部網絡,其不使用信息科電腦訪問網絡時須填寫申請表格,并有信息科負責人簽字,由相關科室進行審批,同時之后才能訪問。
3.運用技術加強信息安全管理
首先,積極強化冗余技術應用。醫院的信息網絡運行狀況直接關系整個醫院業務系統的運行狀況,網絡變化、故障的出現均會導致醫院相關業務正常運行遭受嚴重影響,甚至可導致業務系統出現中斷,因此,在信息安全管理過程中必須保證網絡運行的可靠性進行充分考慮。冗余技術的運用可有效保證網絡運行的可靠性。該種技術主要由處理器冗余、電源冗余、模塊冗余等技術構成。其次,強化加密處理技術。為了保證信息系統涉及相關數據的安全性,必須建立可靠、安全的數據中心,杜絕相關安全隱患,增加數據安全等,保證患者信息及時交互得以實現。加強對信息實施加密處理,選用先進的驅動級加密技術、虛擬化技術等,對重要信息及文件M行加密。此外,還應加強使用先進入侵檢測技術,保證被攻擊組件及時得到識別被隔離,提高系統防御能力,保證信息系統安全。
三、結束語
醫院信息安全管理為一項具有復雜性、系統性的工程,為了保證信息系統安全、可靠性,醫院必須建立起一套健全、有效的安全管理控制及防御體系,積極應用相關先進技術實施安全防治工作。只有這樣才能正在保證醫院信息系統運行的安全性。
參考文獻
[1]開拓.醫院網絡信息的不安全因素分析及防護措施分析[J].網絡空間安全,2016,16(Z1):609-610.
關鍵詞:電子商務;身份認證;防火墻
一、有關電子商務的安全性要求
1.對電子商務活動安全性的要求:
(1)服務的有效性要求。電子商務系統應能防止服務失敗情況的發生,預防由于網絡故障和病毒發作等因素產生的系統停止服務等情況,保證交易數據能準確快速的傳送。
(2)交易信息的保密性要求。電子商務系統應對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。
(3)數據完整性要求。數字完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業利益。
(4)身份認證的要求。電子商務系統應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發生交易糾紛時提供法律依據。
2.電子商務的主要安全要素
(1)信息真實性、有效性。電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
(2)信息機密性。電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
(3)信息完整性。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
(4)信息可靠性、可鑒別性和不可抵賴性。可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在internet上每個人都是匿名的,電子商務系統應充分保證原發方在發送數據后不能抵賴;接收方在接收數據后也不能抵賴。
二、電子商務采用的主要安全技術
1.網絡節點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指局域網或城域網)隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供一個相對更安全的平臺。
防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統,而沒有全面的安全策略,那么防火墻就形同虛設。
2.通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。[論/文/網LunWenNet/Com]
3.應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為,才能發現像這些問題一樣的錯誤。
4.用戶的認證管理
(1)身份認證。電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現。CA證書用來認證服務器的身份,IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
(2)CA證書。要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書。
(3)安全套接層SSL協議。安全套接層SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。
SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構(CA,CertificateAuthority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如Ht2tp、Ftp、Telnet等)以保證應用層數據傳輸的安全性。SSL協議握手流程由兩個階段組成:服務器認證和用戶認證。
三、電子商務安全需要進一步完善的配套措施
電子商務要真正成為一種主導的商務模式,尤其對發展中的中國來說,發展電子商務,就必須從以下幾個方面來完善配套措施:
(1)突破關鍵技術受制于人的瓶頸。
(2)我國應盡快對電子商務的有關細則進行立法。
(3)大力開發大型商務網站,發展與之相配套的物流公司。
(4)為了確保系統的安全性,除了采用技術手段外,還必須建立嚴格的內部安全機制。
(5)建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。
(6)對于重要數據要及時進行備份,且對數據庫中存放的數據,數據庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。[論\文\網LunWenNet\Com]
參考文獻:
[1]吳洋.電子商務安全方法研究[D].天津:天津大學,2006.
[2]李艷.電子商務信息安全策略研究[J].甘肅科技,2005(6).
[3]成衛青,龔儉.網絡安全評估[J].計算機工程,2003(2).
[4]甘悅.淺議電子商務信息安全體系的構建[J].西北成人教育學報,2007(2).
[5]周明,黃元江,李建設.電子商務中的安全技術研究[J].株洲工學院學報,2005(1).
[6]張娟.電子商務網絡安全技術探究[J].甘肅科技縱橫,2005(4).
[7]趙乃真.電子商務技術與應用[M].北京:中國鐵道出版社,2003.
【 關鍵詞 】 Windows Server 2003、安全評估、審核
The Research of Security Assessment System based on Windows Server 2003
Li Bing-bing 1 Wang Shuang 2
( 1.Foshan Polytechnic GuangdongFoshan 528137;2. Zhengzhou Technical College HenanZhengzhou 450121 )
【 Abstract 】 the rapid development in information technology , computer security has become a potentially huge problem. In order to effectively protect the host system security, avoid an attack, and appeared to security assessment system, its purpose is to host malicious attacks before, with the host security status was assessed, allow users to understand the host security condition, so that take corresponding preventive measures and setting the corresponding security strategy. Host security assessment system is a safety assessment platform, through the invocation of each module, system to complete the overall assessment. This paper from the system requirements analysis, followed by the object oriented design method to complete the module design and implementation process.
【 Keywords 】 windows server 2003; safety assessment; audit
0 引言
隨著計算機網絡的發展,計算機網絡安全成為人們關注的話題,越來越多的個人用戶參與到互聯網絡的活動中來。在信息時代,信息可以幫助團體或個人,使他們受益,同樣,信息也可以用來對他們構成威脅,造成破壞。隨著Windows Server 2003操作系統使用的范圍越來越廣,被發現的漏洞越來越多,這就需要網絡管理員不斷地對系統進行修補,但由于Windows Server 2003系統的復雜性,新的安全漏洞總是層出不窮。因此,除了對安全漏洞進行修補之外,還要對系統的運行狀態進行實時監視,以便及時發現利用各種漏洞的入侵行為。如果已有安全漏洞但還沒有全部得到修補時,這種監視就顯得尤其重要。我們可以通過安全審核功[2]能來實現這一監視。其實這是Windows自帶的一項非常有用的功能。因此,用安全技術、安全策略、安全模型和安全法規等安全措施來保證網絡安全成為當前信息領域的研究熱點,并受到了人們的廣泛關注和極大重視。
1 需求分析
審核是指“為獲得審核證據并對其進行客觀評價,以確定滿足審核準則的程度所進行的系統的、獨立的并形成文件的過程”。 審核是一種評價過程.這種評價是以審核準則為依據,以審核證據為前提,然后進行客觀的評價。并通過評價來確定評價對象的符合性和有效性,從而找出可以改進的方面。審核準則可以是要求或規范標準。適用的法律法規,也可以是組織自己編寫的管理體系文件;審核證據可以是審核員觀察到的活動事實、文件或記錄等。
1.1 基于主機的安全需求
每當用戶執行了指定的某些操作,審核日志就會記錄一個審核項。計算機上的操作系統和應用程序的狀態是動態變化的。作為企業風險管理項目的一部分,定期分析可以使管理員跟蹤并確保每個計算機有足夠的安全級別。分析的重點是專門指定的、與安全有關的所有系統方面的信息。這使管理員可以調整安全級別,而且最重要的是,可以檢測到系統中隨著時間的推移而有可能產生的所有安全威脅。
1.2 基于評估系統的安全需求
從本論文角度上來講,當前對評估系統的研究工作,主要存在幾個問題:(1)插件個數不夠細化;(2)并無單一的插件是關于審核策略評估的,甚至在則策略掃描中也沒有關于審核策略評估;(3)一些企業更側重于對審核策略的研究。
根據以上的分析,可以得知要對評估系統進行細化的方法之一是專門添加一塊審核策略的評估。這是對評估系統的完善,同時也對一些企業的需求做了一下補充。為了對審核策略便于管理,要收集9個審核策略類型的所有安全事件信息,設計自己的安全評估庫,并且要對所有的審核策略進行原理分析。安全評估庫中存放了審核策略的9個類型、相關配置情況和配置安全等級。只有這樣系統管理員才能真正得知主機的審核策略配置情況。
1.3 運行環境
本系統運行在Windows Server 2003 服務器 環境下,裝有ACCESS數據庫。
2 總體分析和關鍵技術
2.1 研究方案
源于審核策略評估是安全評估系統的新模塊,在了解主機評估系統的功能設計的基礎上,需要了解審核策略的配置類型。在經過研究后,發現主機評估系統是基于插件(形式為動態鏈接庫,DLL庫),而且審核策略在注冊表中很難查出相關配置。但是審核策略的配置一定會產生相關的安全事件,并記錄在安全日志中。因此需要研究安全日志的數據存儲格式和如何獲取相關信息。
在獲取“事件類型”和“事件ID”之后,先讓“事件ID”與已知的安全事件庫比對獲取安全事件庫的值。然后剛獲取的“事件類型”(成功、失敗)與值進行“&”運算,得出審核策略的配置情況。最后根據審核策略配置與安全評估庫的比對,得出安全配置的等級。
2.2 關鍵技術
(1)插件的機制
在于不修改程序主體(平臺)的情況下對軟件功能進行擴展與加強,當插件的接口公開后,任何公司或個人都可以制作自己的插件來解決一些操作上的不便或增加新的功能,也就是實現真正意義上的“即插即用”軟件開發。 這里主要是通過DLL庫的使用實現的。
(2)動態鏈接庫(DLL庫)
在Windows中存在一種叫做DLL(Dynamic Linkable Library)的文件,這種文件可以提供一些應用程序可以導入的數據、函數和類。
一般情況下DLL主要是為外部應用程序提供可調用的函數,因此在DLL中必須定義一些函數。DLL中的函數如果是外部應用程序可以調用的,那么這種函數叫做導出函數,導出函數在客戶端叫做導入函數。
DEF(Module Definition File)文件又叫模塊定義文件,這是一個用于描述DLL屬性的文本文件,每個DEF文件一般要包含以下模塊的定義語句:LIBRARY語句,指出DLL的名字,將把這個名字放到DLL庫中;EXPORTS語句,列出庫中導出函數的名稱及導出函數的序號。DISCRIPTION描述語句。
在創建DLL時,編譯鏈接器將要使用DEF 文件創建兩個文件:一個導出文件(.exp)和一個導入文件(.lib),然后使用導出文件(.exp) 再創建DLL文件。
(3)數據庫的使用
考慮到網絡安全評估系統工作在Windows平臺,且該系統所使用的數據庫規模不是特別大,但要求該系統在其他操作系統上的適應性要好,而且有合理的數據庫的訪問技術,對于提高整個安全評估系統的性能是至關重要的,故采用Windows平臺上ACCESS數據庫。
(4)掃描安全日志的審核事件技術
MFC封裝了決大多數的API函數,因此利用相應的API函數可以對安全日志的相應信息進行讀寫操作。
3 詳細設計
3.1 系統的相關算法
這里的算法主要是研究評估標準。源于目前并無有關審核策略評估規范的評估標準,根據微軟“Microsoft TechNet”網站提供的“創建Windows Server 2003 服務器的成員服務器基準”,本文自定義審核策略評估標準。其中,“成功審核”是個安全事件,“失敗審核”也是個安全事件;換言之,沒發現“成功審核”和“失敗審核”則是不安全的。其設置如 表1和表2所示.
3.2 庫設計
本文中用到三個庫:AuditPingGu表、Auditshijian表和Vulnerability表,主要設計了AuditPingGu表和Auditshijian表。其中,AuditPingGu表定義和保存了審核策略評估信息,Auditshijian表定義和保存了審核事件的信息。如表3 Auditshijian表定義和表4 AuditPingGu表定義。
3.3 核心代碼
_RecordsetPtr serset;
CString serSQL;
ADOConn m_AdoConn;
_variant_t var;
// variant_t類封閉了VARIANT數據類型,VARIANT是一個結構體類型,
CString strName;
serSQL="SELECT sheheleixing FROM Auditshijian
WHERE shijianID ='"+sTrEventID+"' ";
//已經找到與事件ID相匹配的
_bstr_t sql=(_bstr_t)serSQL;
serset=m_AdoConn.GetRecordSet(sql);
try
{
while(!serset->adoEOF)
{
var = serset->GetCollect("sheheleixing");
if(var.vt != NULL) //.vt是變體類型
{
strName = (LPCSTR)_bstr_t(var); if(strName=="審核系統事件"&&
event_category=="失敗審核"&& shdx[0].failure=="假")
{
shdx[0].failure="真"; //shdx[0] :失敗 審核系統事件;
serset->MoveNext(); break;
}
else if(strName=="審核系統事件"&&
event_category=="成功審核"&&shdx[0].success=="假")
{
shdx[0].success="真";//shdx[0] :成功審核系統事件; serset->MoveNext();
break;
}
}
4 總結
本文針對Windows Server 2003的安全問題展開研究,設計其安全評估系統,首先根據當前社會的需求進行了需求分析,其次又對系統進行總體分析和關鍵技術的介紹,最后對系統進行了詳細的分析,對系統采用的算法,庫的設計和核心代碼都進行了細致的描述。由于篇幅不足,本文對整個系統的描述難免有不足之處,希望此方面研究的同行,共同研究和探討。
參考文獻
[1] 苗軍民,張彬,劉勁松.Windows Server 2003的安全機制分析[D].網絡安全與應用,2007.
[2] 王靜.主機安全風險評估方法研究[D].軟件導刊,2007-08.
[3] 楊忠儀,蔡志平,肖儂.插件技術在安全掃描中的應用[D] .中國科技信息,2006,8.
[4] 吳金平等.Visual C++編程與實踐[M] .北京:中國水利水電出版社,2004.
作者簡介:
關鍵詞:公鑰基礎設施(PKI);數字認證(CA);礦區管理;信息安全;密碼服務器
0引言
當前我國礦山企業安全生產形勢依然嚴峻,安全生產基礎相對薄弱,事故總量還是很大,煤礦、金礦等高危行業結構不合理,應急處置以及救援搶險能力相對不足,部分企業違規違章現象依然存在,給安全生產帶來一定的安全隱患[1]。隨著計算機通信和網絡技術的快速發展,礦山企業安全生產的信息化管理成為衡量企業現代化建設的重要指標,也是促進企業安全生產、提升效益的重要方式。礦區安全生產管理平臺在部署時,采用開放式架構,兼容主流信息技術,在.NET平臺的基礎上,為了滿足多種信息源服務終端的需求,平臺采用了多種基礎數據庫模型技術,保證安全管理平臺的系統整合能力。平臺采用面向服務的架構(SOA)設計,并基于分層和分類結合的混合模式,數據交換模式采用標準的XML等技術,應用統一規范的數據交換接口及應用程序接口,安全機制相對可靠[2]。平臺基于J2EE技術架構,支持HTML和DHTML等Web瀏覽器標準,設計原則遵循高內聚、低耦合的原則,降低系統各個功能模塊間的耦合度,降低操作難度,提高系統的通用性。根據礦山企業礦區分散、不聚集的特點,為保證礦山生產網和辦公信息網之間以及與外網之間的信息交換暢通,確保信息在產生、存儲、傳輸和處理過程中的安全性,需要建立全網統一的認證與授權機制、時間服務和密碼服務。目前,在各種技術,基于PKI/CA的信息安全技術能合理的作用于礦區安全生產信息化管理平臺,從而保證安全策略得以完整準確的實現,該技術是解決數據加密、保護信息安全最有效的方案[3]。
1基于PKI技術的安全生產管理平臺體系研究
1.1安全生產管理平臺的需求分析
礦區安全生產管理平臺為解決礦山企業安全統一管理應運而生,以安全生產風險管控為核心的風險管理平臺是目前各個礦山企業信息化建設的新趨勢。以安全生產管理為核心的平臺建設可以實現對危險隱患的合理分析,形成事前管理、事中風險預控、事后應急救援在內貫穿安全生產管理全過程的監督管理,從而達到提升安全管理水平的目的。
1.2安全生產管理平臺的系統功能設計
以礦區實際情況為前提,以信息資源規劃和開發利用為主線,以安全法律法規為支撐,根據功能需求,在成熟的軟件開發方法論的指導下,礦山企業安全生產信息化管理系統的主要功能框架如圖1所示,其子系統設計如下:包括風險管理子系統、事故管理子系統、安全隱患管理子系統、應急救援子系統、安全培訓子系統、監督檢查子系統、質量標準化子系統等7大部分。其中風險管理子系統主要負責礦區風險評估,衡量事故發生的可能性并對其可能造成的相關損失進行評估,根據風險評估結果,制定相應的管理標準及措施;事故管理子系統主要負責對已發生的事故進行統計,形成事故報告、事故月報、事故數據庫等,方便查詢,根據需求進行事故通報和責任追究;安全隱患管理子系統主要進行安全隱患追蹤、及時對隱患信息進行登記、上報、匯總等,形成隱患整改通知單,及時開展追蹤和銷號管理等;應急救援子系統主要針對突發緊急事件進行預防、救援、恢復等管理,以應急救援案例庫為依托,類比實際案例,推送相關匹配度最高的案例輔助應急救援決策,此外該模塊涵蓋救援隊伍、救援機構等詳細信息;安全培訓子系統主要負責相關人員安全的培訓信息統計,及時對持證人員進行過期預警提示,服務于公司的安全培訓管理等制度;監督檢查子系統主要進行安全活動制定、、總結等,下設安全檢查、整改落實、經驗總結等三個子模塊,為安全監督管理機構安全檢查發現的問題、形成原因、改進措施、整改建議等;質量標準化子系統主要為管理人員提供標準庫查詢、檢查數據匯總等服務,方便現場檢查及質量便準化考核等。
1.3安全生產管理平臺的PKI/CA技術分析
1.3.1PKI技術體系簡介
隨著當前信息系統建設的快速發展和數字網絡化的應用的普及,不同部門之間、跨部門的信息共享和綜合分析的需求也在日益增加,與此同時當前信息網絡應用中也面臨著信息量大、數據種類繁多,不同數據訪問要求不同等現狀,因此包括信息保密性、身份認證、訪問權限管理等在內的信息安全問題急需解決。公鑰基礎設施(publickeyinfrastructure)簡稱PKI,為解決大型信息網絡面臨的安全問題應運而生。PKI是當前信息化安全建設的基礎和重要保證。PKI是一種具有安全性和透明性的密鑰管理系統,通過為用戶提供密鑰和證書管理服務,提供安全策略,從而建立安全有效的網絡環境,保證數據信息在安全傳輸的過程中不被非法偷看以及非授權者篡改等,從而達到保護用戶信息機密、完整的目的[4-6]。通常來說,一個完整的PKI系統包含認證中心數CA(certificateauthority)、證書庫、密鑰備份及恢復系統,證書作廢處理系統,客戶端證書處理系統等五大部分,其中CA是PKI的核心執行機構,證書庫是存放公鑰和用戶證書的信息庫[5-7]。
1.3.2基于PKI體系的礦山安全生產信息化管理體系結構
PKI作為一種安全技術,已經深入到常規網絡的各個層面,使用戶可以在多種應用環境中使用加密及數據簽名技術,是當前網絡信息安全問題的綜合解決方案,為企業的信息安全保駕護航。對于本文分析的礦山企業安全生產管理平臺,PKI技術將重點解決用戶訪問權限、信息傳輸、數據共享等問題,如準確驗證登錄用戶身份、保證跨部門之間的信息保密與共享、防止信息竊取保證信息安全傳輸等等。礦山安全生產信息化管理平臺的PKI安全服務體系主要包括證書簽發管理和PKI安全服務兩部分,如圖2的方框所示。其中PKI的主體是證書機構CA、注冊機構RA(registrationauthority)、密鑰管理KM(keymanagement),其中核心組成CA是數字證書的頒發機構,數字證書就是網絡用戶的身份證,CA審核用戶身份等信息并與公鑰結合形成數字證書,從而確保其真實有效性,使得PKI能夠為網絡用戶提供較好的安全服務[7]。RA在整個體系中起承上啟下的銜接作用,是連接用戶和CA之間的橋梁,既向CA轉發證書請求,也向安全服務器轉發CA簽發的證書等。KM主要負責密鑰的備份、恢復、保存等管理服務,三個系統完成了證書簽發、管理等功能。公共安全接口具有一套通用、抽象的系統函數,實現語言較多,具體的密碼算法不會影響到該接口,設計者可以根據自己對于系統的需求對安全接口進行開發,該接口根據工作環節及性能分為初始化部分、安全操作部分、解編部分、通信部分等。
管理調度單元銜接公共安全接口與密碼服務單元,公共安全初始化部分通過管理調度單元選擇密碼服務單元,而管理調度單元向負載最小的密碼服務單元進行申請密碼服務,從而使得服務器負載均衡。當系統調度單元出現故障時,系統會隨機分配一個密碼服務單元,保證應用系統的正常運行,在保證系統負載均衡的同時,也保證數據的冗余備份,從而為應用系統提供及時安全的密碼服務。密碼服務單元是PKI密碼服務的核心部分,負責提供相關密碼算法及密鑰管理功能。密碼服務器根據配置需求及應用情況包含多個密碼服務單元,當一個單元出現故障時,可以通過管理調度單元進行分配,從而保證應用系統的正常運行。密碼算法根據功能特性主要分為三類:非對稱密碼算法(公鑰密碼)、對稱密碼算法(傳統密碼)和安全Hash算法[9-10]。非對稱密碼算法計算速度相對較慢,但其電子簽名和密鑰交換功能有更廣闊的應用范圍;對稱密碼算法運算速度較快,適用于大數據高流速的數據加密/解密功能,但是難以實現用戶身份識別等功能;安全Hash算法可以用來實現數據完整性驗證和輔助電子簽名等功能。密鑰管理主要包括密鑰的產生、更新、泄露處理、有效期管理、存儲、銷毀等功能,從而保證密鑰的安全有效運行。實時監控單元對密碼服務器中的單元狀態進行實時監控,及時找到密碼服務的相關故障,此外實時監控單元的日志功能可以記載密碼服務器出現問題的詳細信息。以PKI技術為核心的信息安全架構體系可以有效的作用于礦山安全生產信息化管理平臺的正常設計和應用中,尤其是多層次的網絡系統中,從而保證安全策略順利實施,從而保證整個平臺系統的信息安全和應用安全。
2PKI/CA相關技術在礦山企業安全生產管理建設中的應用效果
以密碼技術為核心的PKI/CA技術,提高了網絡的安全性與可靠性,較好地解決了信息共享開放與信息保密隱私的關系、網絡互聯性與局部網絡隔離的關系,保證礦山企業安全生產管理建設的信息安全性,為企業內部用戶提供了安全信賴的網絡環境,保證了企業不受信息安全威脅,為礦山的安全生產、信息管理提供了技術保障,在數據安全管理、業務協調以及實時智能指揮等領域取得了一定的應用效果。
2.1在數據安全管理領域的應用效果
2.1.1身份認證和訪問控制方面
安全生產管理平臺用戶角色眾多,有企業監管人員,公眾訪問人員,平臺內部測試管理人員等,一人多賬戶多角色多權限,容易帶來極大的安全隱患問題,因此具有支持多種認證方式同時具有統一認證訪問控制的安全機制及用戶權限管理方案變的非常重要。安全生產管理平臺基于PKI技術將證書策略應用于用戶的訪問控制中,不同級別的登錄人員可以設置不同的訪問權限,通過網上進行信息傳遞的身份證明,為用戶和數據之間建立起可信任的橋梁,有效的保證了平臺信息的安全服務。
2.1.2安全傳輸方面
礦山安全生產信息化管理會產生大量的數據,數據規模大、種類繁多,隨之而來的是數據安全管理和通訊安全的問題,安全的信息通訊是解決信息安全威脅的重要手段之一。安全生產管理平臺采用的PKI相關技術,可以使用不同系統間的跨域共享和靈活授權,可以提供不同系統訪問的授權管理、密鑰管理、身份認證、責任認定,使得系統傳輸的數據信息具有較高的安全性、完整性、并在消息傳遞過程中完成信息的加密和數字簽名,大大提高了平臺通訊的安全性。
2.2在業務協調、實時智能指揮領域的應用效果
安全生產管理平臺以安全生產風險管控為核心,在成熟的軟件開發方法論的指導下,將風險管理、事故管理、安全隱患排查、應急救援、安全培訓、監督檢查等內容整合到統一平臺。PKI相關技術保證了各個系統之間的數據共享和安全通信,通過登陸人員訪問權限和各模塊之間協調管理,為公司的安全生產提供了技術保證,從而對生產過程中的風險進行有效管理,提升安全管理效率,降低安全生產事故。PKI技術保證了系統通訊的正常安全運轉,實現各個系統之間的資源共享,消除各個系統之間的信息孤島,實現各個子系統的協調調度,使得各類用戶可以方便快捷的訪問、管理平臺,將各類信息安全的聯系起來,同時借助系統對監控數據進行智能分析和決策支持,使得事故實時智能指揮成為可能,并逐步實現了事故管理由事后應急響應到事前預警提示,對于提高礦區防災能力,實現礦區安全高效生產、提高安全管理水平具有重要的引領作用。
3結語
PKI技術體系通過管理數字證書和密鑰的方式,為用戶搭建安全可靠的網絡平臺,使得用戶可以在多種用戶環境中方便的進行加密和數字簽名,保證了礦區安全生產管理平臺身份識別、信息傳遞、訪問權限等的安全實施,依托數字證書、密鑰管理等技術,可以有效的生成、保存、更新管理密鑰,解決了網絡身份認證、信息完整性和抗依賴性等安全難題,為解決礦山安全生產信息化管理中存在的信息安全等因素提供了強大的技術支撐。考慮到PKI技術本身缺點以及礦山企業的行業特性,該技術仍有一定的缺陷。在實際中,PKI技術構建和運行成本高昂,此外用戶認識水平、相關法律政策等因素的制約,都不利于PKI技術應用發展。因此,需要解決多個獨立PKI系統之間的交叉認證與互操作性等,以及證書過期、撤銷、丟失帶來的密鑰托管和證書安全等問題[11]。盡管如此,PKI技術的前景仍然是廣闊的,隨著相關技術的快速發展,PKI相關技術仍然是礦山安全管理信息化建設中解決通訊安全問題的必然選擇。
參考文獻
[1]劉星魁,謝金亮,LIUXing-kui,等.煤礦安全生產現狀及對策探討[J].煤炭技術,2008,27(1):139-141.
[2]史科蕾,石秋發.基于PKI/CA技術在礦區服務平臺中安全管理的設計與實現[J].煤炭技術,2013(6):280-281.
[3]熊萬安,龔耀寰.基于公開密鑰基礎結構(PKI)的信息安全技術[J].電子科技大學學報:社會科學版,2001,3(1):4-6.
[4]張慧.PKI技術研究[J].湖北第二師范學院學報,2007,24(8):42-44.
[5]李彥,王柯柯.基于PKI技術的認證中心研究[J].計算機科學,2006,33(2):110-112.
[6]謝冬青,冷健.PKI原理與技術[M].北京:清華大學出版社,2004.
[7]黃蘭英.PKI技術和網絡安全模型研究[J].孝感學院學報,2007,27(6):62-64.
[8]陳雨婕.基于PKI的礦山企業網絡信息安全研究[J].礦山測量,2011(3):46-47.
[9]秦志光.密碼算法的現狀和發展研究[J].計算機應用,2004,24(2):1-4.
[10]張曉豐,樊啟華,程紅斌.密碼算法研究[J].計算機技術與發展,2006,16(2):179-180.
[關鍵詞] 信息系統;審計;特點;目標;流程
[中圖分類號] F239.1 [文獻標識碼] A [文章編號] 1673 - 0194(2013)03- 0029- 03
進入21世紀,隨著計算機技術的不斷進步,以計算機為核心的信息系統得到了迅猛發展,信息系統也廣泛深入地滲透到社會的各個領域。被審計單位高度依賴信息系統來提高工作效率和加強管理已成為必然。信息系統作為被審計單位的主要資源,它的安全性、可靠性、有效性和效率性必須得到充分的保障。因此,信息系統審計便應運而生。
1 信息系統審計的含義及特點
信息系統審計是指根據公認的標準和指導規范,對信息系統從規劃、實施到運行維護各個環節進行審查評價,對信息系統及其業務應用的完整性、有效性、效率性、安全性等進行監測、評估和控制的過程以確定預定的業務目標得以實現,并提出一系列改進建議的管理活動。信息系統區別于傳統的手工審計,具有以下特點。
1.1 審計內容具有廣泛性
信息系統審計的對象是以計算機為核心的信息系統。在信息系統中,計算機按照設計好的程序自動處理數據,中間一般不再進行人工干預。這樣,系統的合法性、效益性、輸出結果的真實性不僅取決于輸入的數據、工作人員,還取決于計算機的硬件和軟件等。要確定系統的合法性、效益性、輸出結果的真實性,不僅要對輸出數據、工作人員、打印輸出的資料進行審查,而且還要對系統的硬件、系統軟件、應用軟件和數據文件進行審查,這些工作在傳統的手工審計中是沒有的。從生命周期看,信息系統審計覆蓋了信息系統從開發、運行、維護到報廢的全生命周期的各種業務。因此,信息系統的審計范圍要比傳統的手工審計更為廣泛。
1.2 審計線索具有隱蔽性和易逝性
在信息系統中,審計線索大部分存儲在介質上(例如硬盤),這些線索容易被更改、隱匿、轉移、偽造。在審計中,如果操作不當,很可能破壞系統的數據文件和程序,不僅銷毀了重要的審計線索,而且干擾了被審計單位的工作。
1.3 審計技術具有復雜性
首先,被審計單位的信息系統配備的計算機硬件、軟件有很大的差異。審計人員在審計過程中,要和信息系統的硬件和系統軟件打交道,這就增加了審計技術的復雜性。其次,被審計單位的業務規模和性質不同,所采用的數據處理及存儲方式也不同,審計所采用的方法、技術也不同。第三,不同被審計單位的應用軟件開發方式、所使用的程序設計語言也不同,其審計方法和技術也不同。
1.4 審計取證具有動態性
在很多被審計單位中,信息系統已經成為一個中樞系統,系統如果停止工作,將會直接影響被審計單位的經營管理活動。因此,信息系統審計,一般是在系統運行的過程中進行取證,審計人員在完成審計任務的同時,不能妨礙和干擾被審計單位系統的正常運行,這就給審計取證帶來一定的難度。
1.5 信息系統審計是事后、事前、事中審計的結合體
如信息系統在開發過程中,由審計人員介入所進行的審計屬于事中審計。此項審計相對于系統運行后而對其所進行的審計而言又可以看作是事前審計;信息系統運行后,對其在一定期間的運作情況所進行的審計則為事后審計。
2 信息系統審計目標
審計機關針對被審計單位信息系統開展審計,目的是揭示由于信息系統缺陷導致的信息安全風險、經濟安全風險,促進被審計單位加強信息化環境下的內部管理和控制,提高信息化建設項目的效益,同時保證審計所需數據的可靠性、可用性,降低審計風險。
2.1 保證信息系統的合規性和合法性
隨著信息系統在組織中的應用范圍日益擴大和應用水平日益提高,利用信息系統進行違法犯罪的可能性越來越大,手段也越來越隱蔽。在信息化環境下,被審計單位依賴于信息系統,通過對信息系統的輸入、處理、輸出及控制功能是否符合國家的法律、法規和有關部門的規章制度的審查,不僅可以有效地堵塞犯罪,而且可以避免國家和組織遭受由此帶來的損失。
2.2 保證數據的準確性
數據準確性是指數據能夠滿足規定的條件,防止錯誤信息的輸入和輸出,以及非授權狀態下修改信息所造成的無效操作和錯誤后果。各種復雜業務的出現對信息是否真實、完整提出了鑒證要求。如果數據完整性得不到保護,被審計單位就會失去競爭優勢。然而,維護數據的完整性需要成本,因此,要確保所獲收益大于所需的控制步驟的成本。信息系統審計有助于控制信息處理系統的風險,提高事務處理的完整性,實現組織目標。
2.3 保護資產的完整性
信息系統的資產包括硬件、軟件、數據文件、系統文檔等。由于重要的系統文檔、軟件、數據文件等資產一般集中存放在信息系統中,如果信息系統的運行出現故障,如服務器宕機、遭到木馬等病毒攻擊、業務資料被盜、系統突然發生死機等故障,會對被審計單位的資產保護造成巨大威脅。所以保護信息系統資產的完整性成為許多組織要達到的一個重要目標,也是信息系統審計追求的目標之一。
2.4 提高系統的有效性
系統的有效性是指系統能否達到預期的目標。有效性審計常在系統運行一段時間之后進行,以評估系統是否能夠實現既定的目標,這個評估為系統是否繼續運行或者進行某種程度的修改提供決策。有效性審計也可以在系統設計階段進行。信息系統審計從獨立、客觀、公正的第三方角度,以目標驅動,對信息的質量進行審查,對產生信息的系統、信息的產生過程及相應的內部控制進行評價、審計,審查業務數據并評估其完整性和可靠性,從而為管理者了解用戶的特征和決策環境提供了依據。
2.5 提高系統的效率性
系統的效率是指系統達到預定目標所消耗的資源。信息系統的效率主要取決于計算機硬件的配置和軟件設計的水平。硬件選擇要科學、合理、協調,不是越先進越好、越貴越好。軟件設計主要是指要在充分滿足業務需求的基礎上構造出高效的算法。
3 信息系統審計流程
信息系統審計有兩種組織方式:一種是將信息系統審計作為常規項目審計的一部分,是為整個審計項目的總體目標服務的。另一種是獨立立項的信息系統審計,直接針對信息系統進行審計,將信息系統本身的安全性、可靠性和有效性作為審計目標。不管哪種組織方式,其流程是相同的,分為準備階段、實施階段、報告階段。
3.1 準備階段
信息系統都是根據本單位業務流程開發出來的,因此,調查了解被審計單位的業務流程以及及信息系統基本情況應該作為審計工作的第一步。審計人員進入被審計單位了解信息系統開發使用情況、業務量大小和數據完整程度,以判斷是否適合開展信息系統審計以及風險大小。然后審計人員要明確審計目的,確定審計范圍和重點,制訂信息系統審計實施方案,確定所需的時間、人員和測試所需的軟件及硬件設備。在調查階段還可以預先進行數據庫分析工作,分析數據庫中表的結構以及字段名。這樣在正式實施審計時能夠節約時間、提高效率。
3.2 實施階段
在實施階段,審計人員的工作主要是采用相應的審計方法,對信息系統進行測試、分析,取得審計證據。其中的重點環節分為內部控制審計、應用程序審計和系統安全性審計等部分。
3.2.1 內部控制審計
為了對信息系統的內控制度進行評價,審計人員必須驗證內部控制制度是否合理,并取得審計證據,證明內控制度的完整性和有效性。(1)組織管理控制審計:檢查被審計單位信息系統的管理制度,了解被審計單位是否制定了完善的人員分工、業務授權和崗位職責分離制度,是否建立了內部監督和考核機制。(2)數據安全控制審計:檢查信息系統以及數據庫有無加密措施或是權限設置來控制未經授權的人員進行系統文件及數據的存取。(3)計算機病毒及控制審計:信息系統是否有良好的硬件和軟件措施來防止計算機病毒入侵,病毒軟件是否定期升級以及是否有漏洞掃描措施。(4)環境控制審計:實地檢查機房物理環境,審查是否為信息系統硬件設備提供必要的工作環境,保證設備正常運轉。(5)信息系統開發維護控制審計:審計人員應對系統的開發維護過程進行審查,應審查是否有立項申請報告,報告是否經過專家論證,審查是否有系統說明書對開發過程進行控制等。(6)災難恢復控制審計:檢查是否有系統災難恢復計劃,評估計劃的充分性和實效性。是否定期或在重要操作前對數據進行備份,是否有異地容災或備份設施,以減少意外導致損失的可能性。(7)數據處理控制:檢查應用程序的的輸入、處理和輸出控制是否健全有效。(8)應用程序控制:檢查程序編碼是否符合規章制度的規定,是否正確地進行了邏輯處理。
內部控制審計的主要方法包括:詢問法、檢查法、觀察法等。詢問法是指與被審計單位人員面對面交談、詢問有關情況以收集審計證據的方法;檢查法主要是檢查與信息系統有關的文檔,以了解信息系統的總體情況、控制情況以及開發設計情況等,并將檢查過程和結果記入工作底稿中;觀察法是審計人員對信息系統的物理環境、硬件設施和辦公場所,對信息系統的開發設計、構成和操作情況進行了解,對控制措施的實施進行實地查看的方法。
3.2.2 應用程序審計
程序是差錯和舞弊最容易發生的地方,只有通過對應用程序進行審計,才能對系統的合規性、合法性、正確性、有效性做出評價。應用程序審計方法包括:測試數據法 、程序編碼代碼檢查法、程序運行結果檢查法、平行模擬法、嵌入審計模塊法、虛擬實體法、受控處理法、受控再處理法和日志檢查法等。(1)測試數據法是指審計人員把預先設計好的檢測數據輸入到計算機中,讓被審計程序處理,觀察比較輸出是否與預期相符。(2)程序編碼檢查法是通過對被審程序的指令逐條來發現存在的問題,并對程序的合法性、能否完成預定功能及其質量進行評判的方法。(3)程序運行結果檢查法是指通過對系統輸出結果的檢查,來判斷信息系統處理功能的正確性和有效性。(4)平行模擬法是指審計人員自己或請計算機專業人員開發一個與被審計單位信息系統或程序模塊功能相同的模擬系統,將被審計單位的實際數據放入模擬系統中運行,觀察其輸出是否與被審計單位信息系統相一致。(5)嵌入審計模塊法是在被審計單位的信息系統中加入為執行特定的審計功能而設計的程序代碼,它可以在特定的條件下觸發,為審計人員提供有關數據和報告。(6)虛擬實體法是對測試數據法的改良,一般是在信息系統中建立虛擬的實體,然后將虛擬實體的有關數據與真實的數據一起輸入信息系統進行處理,最后將輸出結果與預期進行比較,確定信息系統的控制功能是否發生作用。(7)受控處理法是指審計人員在對被審計單位的真實業務數據在處理之前先進行核實,然后在被審計單位的信息系統中監督處理或親自處理,并將處理結果與預期結果進行比較分析,以判斷被審計單位的系統是否符合規定的要求。(8)受控再處理法是將已經由被審計單位處理過的數據,在審計人員的監督下,或由審計人員親自在相同的信息系統上再處理一次,將二次處理的結果相比較,判斷當前的信息系統程序是否符合既定要求。(9)日志檢查法是指通過對系統自動記錄日志的檢查來推測信息系統的處理和控制功能是否正常。
3.2.3 系統安全性審計
信息系統安全審計的內容有:數據庫安全審計、網絡安全審計和邏輯訪問控制審計。
數據庫安全是保證信息系統能夠正常運行的基礎,數據庫安全審計是系統安全性測試審計的一個重要環節。數據庫安全審計的重點是分析和測試數據庫數據的一致性、完整性,數據規劃的合理性,以及數據庫訪問的安全性。
網絡安全審計需要審查信息系統的數據在傳輸中是否完整、安全。檢查網絡是否有能力阻止黑客入侵、木馬攻擊,是否配備防火墻。是否有文件共享檢測、流量監測以及對異常流量的識別和報警,網絡設備運行的監測等。
邏輯訪問控制審計檢查是否只有被授權的用戶才能使用信息系統、訪問信息系統中的信息。比如檢查授權用戶密碼強度是否足夠,檢查操作人員是否進行分工,是否經過授權操作且只能操作特定模塊,用戶開設、終止、授權是否存在漏洞等。
3.3 報告階段
一、公司風險管理的必要性與風險管理過程的目標
(一)實行風險管理的必要性
競爭能力關系到公司的生存與發展,競爭必然帶來風險。由于未來環境的不確定性,管理層對戰略計劃預算的決策、組織實施、資源利用效果和效益難以把握,因而實現目標的管理過程客觀存在風險,有必要實行風險管理。
“風險”是指某種不利因素產生的可能性,其衡量標準是遭受損失的后果與可能性。“風險”具有雙面性,它既可能帶來損失(負面影響),也可能帶來機會(正面影響)。公司是以盈利為目的的法人實體,目標是維護信譽與價值。公司可能面臨的風險有:⑴組織風險。組織結構和戰略目標的適應程度。⑵企業文化、人員素質對競爭環境的適應及全員對戰略目標和管理政策決策的認同程度。⑶生產經營風險。不經濟地獲取或無效利用資源。⑷采用新技術風險。包括革新成本高于收益,技術周期過短或運用新技術干擾日常工作。⑸信譽風險。產品或服務不受歡迎,媒體負面宣傳等使公司信譽受損。⑹內部控制風險。對記錄、計算機程序及數據文件等的接觸,缺乏權限控制及會計核算錯誤和舞弊行為。⑺業績評價風險。以不適當的標準體系衡量業績,或未對經營業績定期進行獨立的審查,影響公司的效益、效率和效果。⑻資產安全。因授權和分工不當影響資產的保護。⑼使用錯誤或片面的信息資料導致決策失誤。⑽活動偏離政策、計劃、程序,影響目標和任務的完成。
各種風險因素由于客觀條件的綜合作用,表現為風險征兆,如不及時控制其變化趨勢和觸發條件,將給公司經營帶來損失。實行風險管理,建立風險控制體系,可轉化風險影響,爭取有利后果。對風險來源、可能的風險事件和風險征兆預測分析后,采取風險應對措施是風險管理過程關鍵所在,包括通過消除風險起因來規避某一特定威脅,如強化控制降低風險,通過合作者分擔或投保轉移風險,采取調整投資回報率或其它措施來減輕風險損失。管理層在比較控制、規避風險的成本和預期貨幣值,權衡利弊后接受剩余風險。
(二)評價公司實現風險管理過程的目標
公司管理層出于了解和處理所面對風險的需要,必須建立機制以識別、分析與管理相關的風險,稱之為風險管理過程。內部審計評價風險管理的充分性,應取得審計證據,確認是否達到風險管理過程的五個主要目標,即:⑴找出影響經營戰略與業務活動領域的風險,按風險大小排序;⑵管理層和審計委員會已經確定了公司可以接受的剩余風險,包括為實現戰略目標而接受的風險;⑶設計和實施了降低風險的內控活動,把風險降低和控制在管理層和審計委員會可以接受的水平上;⑷持續地觀測監督活動,定期對風險的控制及有效性進行再評估,降低管理風險;⑸管理層定期聽取風險管理過程的結果報告。公司經營管理過程應該包括定期向有相關利益各方傳達風險預測、風險戰略和控制情況。最后,管理層所應用的特定風險管理過程必須適合該公司的企業文化,管理風格以及工作目標。
二、內部審計在風險管理中的優勢
內部審計處于相對獨立的地位和在管理過程定的職能,在評價內部控制、協助建立健全風險控制過程方面具有諸多優勢和重要作用。
首先,內部審計以推進公司規范化運作和管理,優化內控環境,增加公司價值為目的,具備服務內向性的定位優勢。相對于國家審計與中介審計,內審始終圍繞增加公司價值開展工作,目標定位是“管理,效益”。它與公司的生存發展息息相關。它熟悉管理過程、貼近內部管理,是規范經營管理的助推器。
其二,內部審計是一個持續的內部監督服務過程,是現代企業管理的重要職能,其作用是其它職能部門無法替代的。內部審計處于公司各職能部門或所屬分支機構之間,不直接參與經營活動,具有相對的獨立性。因此,內審不僅要抓好以評價經營活動及其信息的真實性、合規性為主要內容的基礎審計,還要利用基礎審計資料,通過開展對各種信息的真實完整、資產安全、資源有效利用的全面審計活動,評價內控制度的健全性、遵循性、科學性;保證戰略目標和計劃、各種政策、制度、程序得以貫徹執行;檢查公司目標的完成情況和運營的效率、效果與效益,提出改進意見,并抓好整改促進規范化管理。
其三,實行內部審計是企業風險管理的需要。公司外部環境的快速變化和成本壓力、諸多風險因素給管理層危機感,需要建立內部權力制衡機制和激勵約束機制,以保證公司控制政策、程序和控制活動的實施。內部審計通過內控制度的評價,對公司經營活動進行風險識別和評價,符合公司市場化經營管理的需要。內審職責是采取系統化、規范化的方法促進建立風險管理過程,強化內部控制,改進風險管理與控制體系,通過審計及時發現風險,報告預測后果,提請管理層關注風險、科學決策,完善管理、提高效率,轉化風險負面影響,利用風險機會提升企業競爭能力和應變能力,從而實現公司目標。
三、內部審計在風險管理過程如何發揮作用
(一)內部審計應熟悉公司的經營管理過程,有效識別風險。
內審熟悉公司業務流程和管理過程,因而具備有效識別風險,分析影響的優勢。如“中油”是集科研、勘探、開采、生產加工、銷售為一體的境外上市公司,業務流程包括資金流、物流、人才流、信息流,能源流等。確定發展目標、資源的取得與配置、生產經營、業績考核控制等管理多個過程貫穿整個業務流程。總部通過預算管理制度及業績考核、用人激勵機制,將風險壓力層層傳遞,實施各種應對風險的控制活動。如“中油”所屬某銷售分公司是委托法人,承擔的經營管理職能不全面。其經營職能是加快流通速度,完成商品流通,降低費用、實現優良價值,贏得市場與效益最大化。其面臨的風險主要有以下幾方面:(1)建設投資風險;(2)庫存商品風險;(3)推介與促銷“雙贏”的風險;(4)企業信譽風險;(5)資金管理風險;(6)是業績評價和用人激勵機制風險;(7)內部控制風險;(8)實際活動偏離計劃、預算的風險;(9)審計風險。
(二)以風險評估為基礎,優選審計項目。
內部審計范圍包括檢查、評價籌資投資管理、經濟運行與資產安全、資金管理及會計核算等管理過程的內部控制效果與效益。審計計劃和項目選擇,應以風險評估結果確定優先順序。只要存在風險暴露,不管其表現為實際業務偏離計劃預算、資產的潛在損失還是管理與會計信息的錯報,都應列為審計重點排序。風險影響類似的選機率較高的,風險機率相近的選征兆明顯的。有違規跡象或財務狀況不佳,或業績與預算差距較大、資產或投資額大、審計間隔較長、高層管理人事調整、變更經營預算或業務流程等,都可作為首選審計對象。
(三)內部審計的重點是進行管理過程的內控審計。
內部審計應幫助管理層有效識別風險因素,相應調整經營策略和強化內部控制,進行各項克服風險的活動,適時將“威脅”轉化為“機會”。內部控制是保證公司達到目標的有效的控制系統和必要手段,其總體設計應以風險評估為依據,包括控制環境、風險評價、控制活動、信息和溝通。管理層利用內部控制設計公司組織機構、崗位設置與管理運行機制,建立各種控制政策、程序和措施,運營過程授權、操作、監控,崗位責權分離,防止或發現公司職員履行職責時的重大違規行為和虛假信息,保證資產安全和核算真實;了解目標實施情況、適時糾正偏離行為,保證管理各個過程,流程各個環節的活動圍繞組織目標進行。
內部審計要檢查內部控制的設置合理性與執行情況、控制效果,特別關注高風險領域和內控不健全區域的潛在威脅,發現、剖析、糾正經營管理缺陷,通過持續監督與評價,達到控制目的,確保目標與預算如期完成。進行基礎審計、經營審計進而開展管理審計,都應從與之相關的內部控制找準審計切入點,評價控制系統的充分性和有效性。可將投資、資金、預算管理控制內容作為審計重點范圍。(1)固定資產投資內部控制審計。投資管理過程不確定因素多,風險機率較高,風險管理過程要預測分析立項可研、決策、招投標發包、工程概算、預算、決算和資金使用及項目運營后評估各個控制環節存在的風險類型、機率及影響,采取應對措施,實行有效內部控制。(2)資金管理內控制度審計。資金是經營活動的血液,不能及時回收貨款或反映債權的信息失真,會嚴重影響到資源及時配置并增大進貨成本,延長商品流轉期、延誤價值實現,影響資金的周轉安全及使用效果。許多審計事例說明,造成資金損失的原因在于資金管理內控的不完善和業務流程授權和監控環節職責不到位,關鍵崗位缺少相互牽制。完善管理的途徑是強化內部控制,對資金、會計信息的接觸實行授權與權限管理,優化核算環境,建立健全有關管理規定及責任追究制度,確保信息真實完整,資金運行效益良好。(3)實行預算管理全過程控制審計。實施預算管理審計要測試、評價預算編制、實施、調整糾偏三個過程的內部控制。首先要檢查有無預算管理組織,編制是否以銷售預算為基礎、采用零基方式分項細化及按程序編制與調整預算;二是檢查事中控制效果及應變預算方案與例外事項應急措施,確定預算管理機制的有效性和預算完成進度;三是評價內部激勵、監督機制的實際效能,加強事中控制,保證公司目標的完成。
為達到內控目標:①實行嚴格的組織控制,適時修正設計不合理的崗位職責與制度、規程。②強化檢查控制。建立信息反饋系統,揭示失控或舞弊及原因,并運用激勵機制獎懲。③設立有預警功能的“應急方案”,補救偏離目標行為的負面影響,降低風險損失。④為實現計劃目標、遵守政策合同,應評價控制的實施效果和效率,促進系統的完善,優化風險管理環境。
四、推進構建風險管理框架進程,增強企業抗風險能力
在公司持續變革的進程中,審計要相應轉型,拓展參與風險管理的深度與廣度,科學預測評估風險因素,促進公司建立風險管理框架,幫助管理層化解經營風險,提升企業信譽,維護公司價值。
(一)內部審計發展要多方位轉變,營造良好控制環境
內部審計發展到增殖型審計的多方面轉變特征:(1)由事后發現檢查轉向事前防范為主,預測和評估可能發生的風險,檢查現行控制的有效性。(2)評價內部控制的科學合理性,應檢查控制設計是否包含對“例外”情況的補救措施,降低風險到可接受范圍之內。(3)由純粹依據已有的審計準則(包括政策、計劃、程序)開展符合性測試,轉向評價現有控制是否能保證實現公司目標。(4)審計領域由僅局限于評價經營管理與會計活動的合規性和真實性,拓展到測試管理信息網絡與決策系統的效率與安全。(5)由僅靠內部審計測試評價內控,轉向促進并參與管理層的自我評價,將控制的觀念植入企業文化,營造良好的控制環境。
(二)構建良好的信息管理網絡,幫助機構增強抗風險能力
關鍵詞:互聯網金融;網絡信貸風險;風險應對
一、引言
P2P行業從2006年開始萌芽,在無準入門檻、無行業標準、無監管機制的特定行業發展背景下,伴隨互聯網金融迅猛發展的強勁東風,各種P2P網貸平臺蜂擁而起,據網貸之家的數據顯示,截至2015年10月底,P2P行業累計平臺數量達到3598家,月成交規模達1196.49億元。與此同時,陷入提現困難、停業困境和跑路的問題平臺達到1089家,占比為30.3%。這表明伴隨著規模的不斷擴張,P2P網貸平臺的風險也日益凸顯。2015年7月18日,中國人民銀行等十部委《關于促進互聯網金融健康發展的指導意見》,開啟了包括P2P網貸平臺在內的互聯網金融行業規范運作和系統化監管的新階段。面對當前網貸平臺發展運作中存在的問題,提示其風險隱患,剖析其產生風險的原因,采取有效的風險管控措施,對于提升網貸平臺風險抵御和防范能力,促使網貸平臺規發展、穩健經營具有重要的現實意義。
二、基于互聯網金融的P2P網絡信貸風險分析
(一)資金安全的不確定性
當前業務發展模式下,互聯網金融業務進程中表現比較突出的是信用風險,信用風險主要表現為交易一方違約給其他交易方帶來的損失。首先,金融機構在P2P網絡信貸中,扮演著中介機構一職,因此可以避免連帶賠償責任,而出借人對出借資金這一行為所有的了解都來自于P2P平臺,因此對于出借人來說風險巨大。同時,由于我國網絡信貸平臺未被允許調用征信管理系統的個人征信信息,網絡平臺本身也很難了解借款人的信用狀況,再加上,各個網貸平臺之間各自為政,并沒有對用戶的信用情況進行共享,而信用審核成本高且難度大,因此網貸平臺本身對借款人真實的財務狀況、身份信息以及還款能力并不能準確掌握,即使借款人偽造個人信息以獲取高額融資款項,也不易被發現。一旦借款人出現逾期不還款等違約情況,網貸平臺很難進行追討。
(二)資金真實投向的不可控性
當前我國互聯網金融資金尚未建立完善的資金追蹤制度,以P2P網絡平臺表現突出,互聯網金融平臺幾乎不會對資金實施追蹤程序或是資金投向測試,同時由于沒有健全的外部監管機構對互聯網金融活動進行監督管理,頻繁發生的資金挪用的情況通常會給金融投資者帶來巨大的經濟損失。P2P網絡平臺的透明性表現為為出借人提供出借資金的使用信息,但這一透明性的成立前提是借款人的忠實履行,如果借款人在尋求借款的時候刻意隱瞞真實的借款目的,或是將借款挪作他用,比如投資股票等高風險市場,難以及時變現的房地產市場,或是轉借給其他人獲取高額利息等,由于P2P網貸平臺對出借資金后的監管乏力,大部分借款也沒有任何抵押物,一旦借款人出現還款困難,出借人的資金安全就難以得到保證,大面積的挪用資金,使得資金大量涌入高風險投資市場,也會影響國家宏觀調控手段的效果。
(三)個人信息安全的不確定性
互聯網金融業務在很大程度上依托互聯網技術,而目前,我國互聯網金融機構中,計算機技術的水平良莠不齊,一旦出現網絡故障或是黑客攻擊,客戶個人信息,系統自身的信息以及客戶資金都岌岌可危。P2P網貸平臺要求借款人提供詳細的個人信息,有的甚至要求填寫親朋好友的個人信息作為擔保,其中甚至包括一些身份證號、銀行卡號等個人敏感信息。我國很多P2P網貸平臺,比如拍拍貸,宜信等,都各自持有數十萬的注冊用戶,在如今這個信息時代,這些信息形成了一筆價值相當可觀的隱形財富,系統漏洞或黑客入侵等原因造成的這些信息被竊取或是被泄露,將會給網貸平臺及其用戶帶來不可估量的損失,同時必然引起人們對P2P網貸平臺的信任危機,導致互聯網金融發展困難。
(四)法律法規的不完善
最近幾年,互聯網金融在我國發展迅速,各種互聯網金融業務發展態勢普遍向好,而現有的金融行業的法律體系難以實現對互聯網金融的有效監管。盡管有《網上銀行業務管理暫行辦法》、《非金融機構支付服務管理辦法》、《P2P信貸有關風險提示》的相繼出臺,但都是臨時管理辦法或是風險提示,我國目前還沒有建立起能夠應對互聯網金融的市場準入,交易方身份審核,資金監管等具體事項的法律體系。目前,面對P2P網絡信貸,除了《人人貸有關風險提示的通知》和主要目的在于向商業銀行警示網貸平臺風險的《支付業務風險提示———加大審核力度提高管理水平防范網貸平臺風險》,我國尚未出臺關于規范網絡信貸行業的法律法規,因此,也沒有合適的法律依據能夠要求相關的政府職能部門對網絡信貸進行監管,從而導致P2P網絡借貸行業魚龍混雜,提供的金融服務也是良莠不齊。
(五)監管缺位
盡管互聯網金融國內的發展態勢看起來一片大好,但是其監管方面仍然困難重重。主要是因為互聯網金融跨行業,跨領域的趨勢日益明顯,在我國“分業經營,分業監管”的機制下,可以說是一個監管邊緣地帶,很難確定具體的執法部門或監管部門。對于P2P網絡信貸來說,無論是處于維護金融市場穩定的目的,還是保護消費者權益的目的,一個監管主體都是必要的。一方面,P2P網絡信貸準入門檻比較低,只要在工商部門注冊就可以運營,其后期的運營和發展都是自發無序的。工商部門可以對網絡信貸進行對口監管,公安、信息產業等部門也應該進行監管或協管,但既缺少相關的法律支持,其本身又缺少金融監管技能和經驗。另一方面是我國目前對金融行業的監管手段針對的都是傳統的金融業,而P2P的運作模式、業務流程等和傳統金融有著很大的區別,現有監管手段并不適用。
三、基于互聯網金融的P2P網絡信貸風險應對
(一)推動征信系統的建立與共享
以配合互聯網金融發展為導向,推動征信系統建設,是當前維護投資者利益,保證互聯網金融健康發展的第一要務。全面審查借款人身份信息,通過信用卡使用情況、貸款還款情況、交通違章等歷史征信信息,對借款人進行系統的信用評價,并將互聯網金融用戶的信用信息納入征信統計數據。為了應對P2P網貸平臺信用風險,保證出借人資金安全,首先,將一些持有相關資質,有著適當內部控制舉措以及嚴格的風險控制程序的P2P網貸平臺納入征信信息采集系統,讓這些P2P網貸平臺提供注冊用戶的身份信息,交易情況和信用狀況,與人行共同建立覆蓋全社會的真實、全面、系統的征信系統,共享用戶的信用信息。這樣一來,就可以引導投資者將資金投向較為有保障的P2P網貸平臺,也有利于推動P2P網貸平臺加強其內部控制建設和風險控制管理,提高自身對客戶資金的保護能力,從而提高P2P網貸平臺整體的服務質量。其次,設立借款保證金也是可行的,每借出一筆資金,P2P網貸平臺就要交一定比例的保證金,對出借人資金進行全額的擔保。這樣讓P2P網貸平臺本身對出借人資金進行擔保,有利于推動P2P網貸平臺加大對借款人信息的審查力度,維護出借人的利益。
(二)建立健全資金追蹤制度,構建出借人保護機制
當前我國互聯網金融迫切的需要建立資金追蹤制度和第三方存管制度。完善的資金追蹤制度能夠增強資金投向的透明度,減少投資者風險,給投資者一顆定心丸,吸引更多的投資者的資金,優化資源配置,避免投資者盲目的追求更高的收益率而將資金投向信息不對稱的欺騙性項目。而第三方存管制度則是防范金融機構挪用客戶資金,將客戶資金投向高風險領域,危及客戶財產安全,甚至攜款潛逃。目前P2P網貸平臺對于借出資金之后的追蹤制度還是一片空白,P2P網貸平臺本身也很難控制資金借出后的流向,也很難確定資金投向是否危害出借人資金安全,因此,建立健全資金追蹤制度就變得迫在眉睫。首先,P2P網貸平臺可以根據評估風險及借款人信用狀況要求借款人設置適當的抵押,這有利于保證出借人資金安全,維護P2P網貸平臺本身的聲譽;其次P2P網貸平臺可以采用“一次批準,分批放款”的放貸策略,一旦發現資金流向有異常,及時停止發放借款,視情況決定是否提前收回借款,這一策略一定程度上可以對借款人形成一定的威懾作用,有利于及時止損。
(三)完善互聯網信息技術
考慮到互聯網金融對互聯網技術的依賴性,強化計算機系統的防火墻、密鑰,數據加密技術以及智能卡技術等安全防護功能,建立安全可靠的互聯網金融運行環境對保證客戶資金安全和信息安全有著重大意義。同時要積極研究和開發先進的科技手段,為網絡安全提供保障,使得系統實現高效穩定的運轉。在P2P網貸平臺中,為了避免不法分子惡意破壞網站,或是中介服務機構工作人員為謀取非法利益,將客戶信息出售給第三方的情況發生,首先,P2P網貸平臺應該積極加大科研力度,確保客戶信息數據庫的穩定與安全,建立起具有自主知識產權的網絡安全防護體系,避免不法分子利用系統漏洞盜走客戶資金或是客戶的個人信息。除此以外,授權管理也是不可忽略的重要環節,將客戶較為隱私較為重要的信息只授予小部分有必要了解客戶相關信息的人查看的權力,根據工作人員的工作需要分配授權,不得濫用授權,且應當遵守保密協定。
(四)建立和完善互聯網金融相關法律法規
一方面立法機關要加大力度推進互聯網金融的立法進度,就電子交易的合法性、電子商務的安全性、數字簽名、電子憑證的有效性,眾籌融資等新型互聯網金融業務方面加快立法進程,以適應實際生活中互聯網金融帶來的法律糾紛的需要。另一方面要完善現行的金融業相關的法律法規,就如何確定互聯網金融犯罪的量刑力度,如何明確交易主體責任等方面做出增補和修正。鑒于P2P網貸平臺的特殊性及其發展態勢,明確規定P2P網貸業務的經營性質、組織形式、必要的核心數據公示、業務范圍等方面,并將其納入法律法規變得迫在眉睫。P2P網貸平臺的立法重點主要是以下幾方面:首先,清晰界定出借人、借款人、P2P網貸平臺,等交易主體之間的關系和法律責任;其次是明確監管主體,銀監會、工商部門、稅務部門等職能部門應該多方協作,共同監管;第三是引導行業自律,推動行業自律協會自發的形成利于行業發展的行業規章制度,建立統一的信用風險控制制度和準備金制度,以應對信用風險和流動性風險。
(五)明確互聯網金融監管主體
目前,我國的互聯網金融混業特征日趨明顯,產品與業務往往跨越多個行業和市場。這種情況下,打破現有的分業監管模式,實現保監會、銀監會、證監會、人民銀行、公安系統以及工信部對互聯網金融的高效協作,明確監管職責和范圍,對于增強資金流動性,提高互聯網金融交易效率,優化資源配置,有著非比尋常的意義。英國將P2P納入金融行為監管局(FCA)的監管之下,美國將網絡信貸納入證券業監管,聯邦證券交易委員會(SEC)對P2P網貸平臺的準入進行監管。針對我國目前P2P網貸平臺監管缺位的問題,首先,不妨根據P2P業務內容,分配其監管,比如第三方資金存管交由銀監會進行監管,資金結算交由人民銀行進行監管,而證監會對P2P網貸平臺的高級從業人員的資質進行審查,對P2P網貸平臺的經營范圍進行審核。鑒于法律和監管的逐步建立可能曠日彌久,加強行業自律,提升行業透明度,也是P2P網貸平臺應對資信風險,獲取社會信任的直接有效的方式。
作者:中明 劉文妮 單位:江蘇大學財經學院
參考文獻:
[1]閆真宇.關于當前互聯網金融風險的若干思考[J].現代商業銀行,2013(12).
[2]鈕明.草根金融———P2P信貸模式研究[J].金融理論與實踐,2012(02).
[3]楊宇焰,陳倩,田忠成,P2P網絡信貸平臺的主要模式、風險及政策建議[J].西南金融,2014(01).
[4]王怡.論網絡信貸的風險類別及其監管策略[J].常州大學學報(社會科學版),2013(04).
[5]熊歡彥,劉劍橋,互聯網金融風險及風險防范研究[J].金融視線,2014(11).
[6]吳菲菲,互聯網時代市場金融監管探究[J],現代經濟信息,2014(08).
關鍵詞:服務接觸;顧客情感;滿意度;作用路徑
中圖分類號:F831 文獻標識碼:A 文章編號:1006-1428(2011)08-0102-05
一、引言
花旗銀行fCitibank)迄今已有近200年的歷史,其驕人業績無不得益于1977年以來銀行服務營銷戰略的成功實施。
具體而言,Hansen(1959)、R.J.Johnston(1994)和Fazio(1995)分別從交通便利性、空間距離和態度聯想三個方面指出了銀行服務與顧客接觸過程的可達性因素,即如何保證服務對于顧客是觸手可及的。而張新華(2006)認為,商品化有助于創造和引領顧客的服務需求,良好的服務接觸也要通過商品化的有形展示來提高顧客的認知度和增強服務接觸的可感知程度。Vad和Heten(2003)則建議服務企業在進行國際營銷時應采取本土化的策略,通過服務的差異化、當地性來滿足不同顧客的需要。Normann(2006)將服務接觸稱作關鍵時刻。Surprenant和Solomon(1987)將服務接觸定義為“顧客與服務提供者之間的動態交互過程”。菲利普?科特勒(1997)認為,在高度復雜的環境中,品牌可能是唯一有效的差異化因素,銀行需要獨特的服務品牌,并在消費者的心中建立強勢的品牌形象。
本文將針對服務接觸、顧客情緒和顧客滿意度之間的關系進行研究,并主要探討以下三個方面的問題:服務接觸的關鍵要素是什么?服務接觸過程如何影響顧客的情緒?顧客態度的轉變如何影響到滿意度目標?
二、概念模型與假設關系
服務接觸fservice encounterl一詞最早出現于20世紀80年代初期。R.B.Chase最早提出了“服務接觸”的概念,并在1981年建立了服務接觸的理論基礎和首個可操作的定義,即“顧客必須待在服務現場的時間占總服務時間的比重”。首先,Czepiel,Solomon和Surprenant(1985)認為服務接觸是人機互動的過程。服務接觸是服務情景中,服務提供者和接收者之間的面對面互動。其次,Shostack(1985)提出廣義服務互動的觀點,認為“服務交互”(Service Interaction)不僅包括顧客與服務人員的交互,而且也包括顧客與設備設施的交互。再次,Amilton(2001)提出非現場自助的觀點,認為除了以上的實體接觸外(Physical Encounter),公司網站等無形接觸(Virtual Encounter)也是服務接觸的重要組成部分。最后,Zeithaml,Parasuraman和Berry(1985)認為實體環境影響顧客的行為并能建立良好的印象,在服務業尤為明顯。這些觀點為探求服務接觸的關鍵維度以及明晰其對顧客情緒及滿意度的作用機理提供了幫助。為此,本文將重點探討便利性(BLX)、顧客服務感受(GS)、銀行服務形象(IM-AGE)、銀行互動服務(HDX)、服務響應性(XYX)、服務可靠性(KKX)、服務移情性(YQX)以及服務品牌(PPH)對顧客積極情緒(JJQx)和消極情緒(xjQx)的作用效果,以及顧客滿意度(MYD)的形成過程。
1、服務接觸構面變量之間的假設關系。
第一,服務接觸過程首先表現為便利的服務網絡,這有助于增加銀行在顧客心目中的曝光度,加強對銀行服務的認知。銀行服務便利性具體表現為:合作伙伴、網點數量、自助服務、營業時間和網點位置。
假設Hla:服務的便利性對顧客的積極消費情感有直接的正向影響。
假設Hlb:服務的便利性對顧客的消極消費情感有直接的負向影響。
第二,顧客服務感受具體表現為:營業環境、員工禮貌、性價比、網絡服務、專業素養和準確服務。銀行服務接觸過程中如果能夠為顧客帶來好的感受和體驗,就會影響到顧客的情感。如果顧客的服務體驗質量較差,就會形成消極的情感,并導致顧客的滿意度降低。
假設H2a:顧客服務感受對顧客的積極消費情感有直接的正向影響。
假設H2b:顧客服務感受對顧客的消極消費情感有直接的負向影響。
第三,企業形象將會使消費者對企業的產品或服務產生期望的標準,而該標準相對于顧客消費后之感受,將會影響顧客滿意的程度。銀行服務形象包括如下變量:多樣服務、快速創新、顧客至上、顧客信心、名人代言和客戶經理。良好的銀行服務形象會給顧客帶來積極的情感,而讓人失望的服務會帶給客戶消極情緒,并影響顧客的滿意程度。
假設H3a:銀行服務形象對顧客的積極消費情感有直接的正向影響。
假設H3b:銀行服務形象對顧客的消極消費情感有直接的負向影響。
第四,互動營銷是實現和客戶互動的主要手段之一,強調和客戶良性互動。銀行服務接觸中的互動包括:服務標準化、減少排隊、服務效率、可觀察的員工行為、標準服務時間、科技植入、顧客間交流互動以及多媒體終端等。
假設H4a:銀行互動服務對顧客的積極消費情感有直接的正向影響。
假設H4b:銀行互動服務對顧客的消極消費情感有直接的負向影響。
第五,響應性是指銀行主動、快速地響應顧客需求,隨時準備愿意為顧客提供快捷、有效的服務。銀行服務的響應性包括:快速應答、服務員接觸、會員服務、上門服務、面對面接觸、消極態度、期望偏差、情緒約束等。
假設H5a:銀行服務響應性對顧客的積極消費情感有直接的正向影響。
假設H5b:銀行服務響應性對顧客的消極消費情感有直接的負向影響。
第六,可靠性是指銀行在一定條件下無故障地提供特定服務的能力及可能性。這里考察的可靠性指標包括:操作技能、兼職員工、流程統一、服務抱怨、服務承諾、資金安全、網絡安全、崗位角色。
假設H6a:銀行服務可靠性對顧客的積極消費情感有直接的正向影響。
假設H6b:銀行服務可靠性對顧客的消極消費情感有直接的負向影響。
第七,企業和服務人員能設身處地為顧客著想,努力滿足顧客的要求。這就要求服務人員有一種投入的精神,想顧客之所想,急顧客之所需,了解顧客的實際需求。以至特殊需求,千方百計地予以滿足,給予客戶充分的關心和相應的體貼,使服務過程充滿人情味,這便是移情性的體現。具體包括:主動著想、員工培訓、內部滿意、社會責任、服務授權等。
假設H7a:銀行服務移情性對顧客的積極消費情
感有直接的正向影響。
假設H7b:銀行服務移情性對顧客的消極消費情感有直接的負向影響。
第八,目前全世界很多的企業實行的都是品牌化戰略。當顧客對某一品牌產生了“依賴感”之后,就會形成一種特定的偏好。品牌化其實是對某一類或一系列產品的認知標準化、宣傳標準化。以達到市場突出和市場區別的作用。具體包括社會參照、慈善營銷、吉祥物、本地服務、個、地區文化等影響因素。
假設H8a:銀行服務品牌化對顧客的積極消費情感有直接的正向影響。
假設H8b:銀行服務品牌化對顧客的消極消費情感有直接的負向影響。
2、服務情感構面變量之間的假設關系。
美國學者Price,Deibler&Amoud(1995)指出顧客消費過程中的情感會隨著顧客與企業的接觸深入而發生變化。在產品和服務消費過程中,顧客的消費心情會不斷變化,顧客在前一個消費階段的心情會影響他們在后一個消費階段的心情。Nyer(1997)的研究結果表明。顧客服務消費前的情感會影響顧客對服務經歷的總體滿意感和顧客的再購意向,但他只研究了顧客的消費前情感與顧客評估的服務實績之間的關系,而沒有研究顧客消費前情感對顧客消費后情感的影響。
顧客的滿意程度既受認知性因素的影響(如服務質量),又受情感性因素的影響。如果顧客在消費過程中經歷了高興、興奮等積極情感,就會對企業的服務感到滿意:相反,如果顧客在消費過程中經歷了失望、后悔等消極情感,就會對企業的服務感到不滿意。
假設9a:顧客的積極消費情感對顧客滿意有直接的正面影響。
假設9b:顧客的消極消費情感對顧客滿意有直接的負面影響。
3、服務滿意度構面變量之間的假設關系。
在顧客滿意的研究中,學者最關心的是顧客滿意的影響因素研究。或者說是顧客滿意度的測評研究。從Oliver(1980)的“期望一實績”模型,Parasuraman(1985)的“期望與感知差距模型”,Oliver(1993)的“認知一情感”模型,以及ACSL與ECSL等研究看,顧客滿意的前置影響因素有:企業形象、與顧客期望與產品或服務實績相關的顧客感知質量、感知公平性’、消費情感、感知價值等。本文將重點關注顧客滿意度的后置因素:整體滿意、重構意愿、口碑傳播和互動意愿。
假設10a:顧客滿意對于顧客銀行整體服務的滿意度有正向影響。
假設10b:顧客滿意對顧客銀行服務的重構意愿有正向影響。
假設10c:顧客滿意對顧客的口碑傳播有正向的影響。
假設10d:顧客滿意對提高顧客與銀行的互動意愿具有正向影響。
三、服務接觸、顧客情感與滿意度的關系檢驗
1、量表設計與數據采集。
本文量表設計目的主要是為了研究顧客在銀行服務過程中消費前消極情感和期望如何影響對服務接觸質量的評判,以及服務接觸要素如何影響顧客消費情感,進而共同影響顧客滿意度。本研究為了確保所用量表的信度與效度水平,盡量借鑒國外學者使用的量表,再結合國內學者的研究成果,專家訪談的體會,對量表進行進一步的改進。
本文對中信銀行不同省區的132位員工進行了問卷調研。對于回收的問卷,本研究根據研究目的和假設檢驗的需要,將運用SPSS13.0分析軟件與AMOS7.0軟件對調查數據進行分析。同時,本文利用修正后總相關系數(CITC)和Cronbach’s a系數與標準差來檢驗問卷的信度。
在問卷前測,凈化測量指標與大規模發放問卷的基礎上,正式研究仍采用Cronbach內部一致性系數(a系數1來分析各測量指標的信度。本研究的總體信度分析結果:服務接觸構面變量總體的a系數值為0.928,顧客情緒構面變量的總體a系數值為0.941,顧客滿意度構面變量的總體a系數值為0.615,明顯大于0.6,表明本研究總體上具有較高的信度。
2、概念模型的檢驗。
結構方程模型分析方法是一種驗證性分析技術。而不是探測性手段(劉清峰,2006)。也就是說,應用結構方程模型分析方法可以確定一個特定的模型是否合理,本文是為了驗證筆者提出的銀行服務接觸、顧客情感與顧客滿意之間的關系模型,因此選用結構方程模型作為本研究的分析工具是適當的。本研究按照國際上的慣例,用X2/df、GFI、NFI、IFI、CFI和RMSEA這6項指標來評價模型。
表2的擬合結果表明,x2/df的值為2.691
從表3可知,形成積極情感的服務接觸要素主要包括可靠性、響應性、形象認知、移情性、顧客服務和便利性,而品牌化和互動性因素對顧客積極情感的共享為負值。導致銀行服務消極情感的因素有品牌形象較差、移情性差、便利性和互動性不足、顧客服務創新不足;而可靠性、銀行形象和響應性方面較好。研究結果表明,積極的情感有助于提高顧客的滿意度,消極的情感并沒有導致顧客極大的抱怨。
四、結論與對策建議
我國金融市場由于外資銀行和商業銀行的進入,競爭越來越激烈,有實力的公司不斷地加入到中國市場中,國有銀行面臨的壓力也越來越大。為了爭奪顧客,國有銀行采取了很多措施,諸如提出的“優化服務環境、改善服務質量,提高顧客滿意度”口號。
1、服務接觸中打造積極情感提升滿意度。
第一,銀行在與顧客的服務接觸過程中,首先要加強服務的可靠性、響應性、形象認知、移情性、顧客服務和便利性,這有助于形成顧客的積極情感,讓顧客感到愉悅,并形成對銀行服務的滿意度。通過改善員工的操作技能,加強對兼職人員管理,優化服務流程,加強服務承諾以及確保顧客的資金和網絡安全有助于提高銀行服務的可靠性。其次,銀行需要加快對顧客的應答和響應速度,通過員工服務接觸和上門服務等,改善服務態度,提高服務質量。再次,銀行應該提高員工的內部滿意度,加強對員工的培訓和授權,主動為顧客著想,進而為顧客提供個性化服務。最后,通過優化服務網點、改善服務環境、提高服務素養和構建專業的網絡服務等,提高顧客的滿意度。
第二,品牌化和互動性成為銀行塑造積極情感的主要障礙。一方面,銀行需要提高顧客的社會地位,加強慈善營銷,通過開展本地個性化營銷,加強銀行的服務文化建設。另一方面,銀行需要在與顧客的互動過程中,增加顧客的積極情緒。例如,提高服務的標準化,減少顧客的排隊等待時間,提高為顧客的服務效率,員工的行為能夠被顧客觀察,引入科技手段,加強與顧客的交流等。
2、服務接觸中規避消極情感,提升滿意度。
第一,銀行服務中還需要避免顧客產生消極情感,進而改善顧客的滿意度狀態。如加強銀行服務對于顧客的優越感,形成較好的社會參照效應,提升社會在享受銀行服務過程中的心理感知:通過慈善營銷或者選擇代言人與吉祥物等提升銀行服務的形象認知;增加顧客個性化服務的創新,開發顧客的潛在需求;增加服務網點,減少顧客接觸服務的障礙,增加與顧客的互動,通過新的媒體和平臺加強與顧客的深入交流與溝通等。
