首页 > 文章中心 > 谈谈对信息安全的理解

谈谈对信息安全的理解

前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇谈谈对信息安全的理解范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。

谈谈对信息安全的理解

谈谈对信息安全的理解范文第1篇

关键词: 物联网;信息安全;金奥博;网络密码

北京金奥博数码信息技术有限责任公司在计算机及网络技术方面不断创新和提高,特别是在互联网安全领域具有较为丰富的积累。金奥博是北京市密码产品定点生产和销售单位,他们研制的多项安全产品通过了国密办的安全鉴定。公司日前组建的网络密码认证实验室也被认证为北京市重点实验室,承担物联网安全方面的研究工作。

为了更加深入地了解和探讨物联网的安全问题,《物联网技术》杂志记者日前对北京金奥博数码信息技术有限责任公司信息安全部技术总监、网络密码认证技术北京重点实验室副主任、北京市科技新星李瑛女士就物联网的安全问题进行了专访。

本刊记者:我们了解的北京金奥博数码信息技术有限责任公司在互联网安全领域有较为丰富的积累。新一代信息技术革命又让我们进入了物联网时代。请您谈谈物联网的安全和互联网的安全有什么不同,贵公司觉得物联网安全研究的现状是怎样的?

李瑛女士:物联网的推广使用能够给人们的生活带来便利,可以提高工作效率,同时推动国民经济的发展,但是也必须注意到物联网的大范围普及会存在巨大的安全隐患。信息化与网络化带来的风险问题,在物联网中会变得更加迫切与复杂。由于物联网连接和处理的对象主要是机器和物,以及相关的数据,其感知节点大都部署在无人监控的环境,具有能力脆弱、资源受限等特点,其“所有权”特性导致物联网对信息安全的要求比以处理文本为主的互联网更高,对保护隐私权和保障可信度的要求也更高。在物联网发展的高级阶段,由于物联网场景中的实体均具有一定的感知、计算和执行能力,广泛存在的这些感知设备对国家基础设施、社会和个人信息安全存在新的安全隐患。

我们都知道物联网目前存在安全问题,如果这些问题不能得到很好的解决,或者说没有很好的解决办法,将会在很大程度上制约物联网的进一步发展。我们在强调标准、技术、应用方案以及人才的同时,也不能忽视物联网安全的重要性。

根据物联网的特点,2009年欧盟物联网项目研究组制定的《未来物联网战略》中明确指出:物联网在安全和隐私方面的研究以节能高效的安全算法和低成本、安全、高效的安全认证设备为研究方向。国内对物联网安全技术的研究以安全框架和探索研究居多,具体安全技术的研究较少。我们的物联网密码认证系统是不是行业唯一的物联网安全系统,我不能肯定,但是我确实没有听到有类似的产品。在今年4月份北京召开的中国(北京)国际物联网博览会和8月份深圳召开的中国(深圳)国际物联网技术与应用博览会上,物联网安全系统方面的参展商只有北京金奥博数码信息技术有限责任公司一家。

本刊记者:请您简单介绍一下金奥博,贵公司是一个什么样的公司,公司在安全系统研究方面有什么积累或优势,最初又是怎样想到要做“物联网安全系统”的?

李瑛女士:北京金奥博数码信息技术有限责任公司是北京市科学技术情报研究所下属的、具有独立法人资格的股份制高新技术企业。金奥博是遵照科技部的有关科研机构改制要求,以北京市科技情报研究所的计算机部为基础,为更好地适应社会发展,转变经营管理模式而成立的具有独立法人资格的股份制高新技术企业。金奥博继承了以往服务政府和社会的优良传统,坚持为政府及广大企事业单位提供信息技术的研究与开发服务。近年来,金奥博在计算机及网络技术方面不断创新和提高,特别是在互联网安全领域有较为丰富的积累。公司目前是北京市密码产品定点生产和销售单位,所研制的多项安全产品都通过了国密办的安全鉴定。最近,北京金奥博数码信息技术有限责任公司组建的网络密码认证实验室也被认证为北京市重点实验室,承担物联网安全方面的研究工作。

在物联网概念兴起时,我们发现,物联网和互联网其实是密不可分的。现有网络安全体系中的大部分机制仍然可以适用于物联网,并能够提供一定的安全性,如认证机制、加密机制等,但是还需要根据物联网的特征对安全机制进行调整和补充。所以我们开始将多年积累的安全技术以及对数据安全的理解应用到物联网中来,并开始研究与物联网特征对应的安全机制。目前,国内都在谈物联网产业发展存在的问题,但很少有企业站出来表示能解决物联网的安全问题或者愿意着手解决这些安全问题。考虑到物联网对中国未来经济的重要性、国家安全的重要性,必须要有中国自己的企业来承担这一神圣使命。北京金奥博数码信息技术有限责任公司是为数不多的愿意承担这一使命的企业,也是为数不多的明确从事物联网安全研发且又有实际产品的企业。希望北京金奥博数码信息技术有限责任公司能为中国物联网的网络信息安全做出自己的贡献。

谈谈对信息安全的理解范文第2篇

罗洪元,《建筑及居住区数字化技术应用》国家标准推广应用组专家。现任国家电子计算机质量监督检验中心、国家电子标签产品质量监督检验中心、信息产业部IC卡质量监督检验中心主任。多年来罗教授从事计算机软件开发、小型计算机技术服务、信息技术产品等质量检验与质量管理工作。

近年来,罗教授承担的信息产业部电子信息产业发展基金项目:“基于Linux和国产BIOS的微机安全操作系统”、“无触点IC卡及机具产品质量检测技术的研究”、“计算机网络、第二代居民身份证及相关产品测试平台建设”、“工业控制计算机产品及系统测试平台建设”、“电子标签产品及系统检测平台建设”已经通过了信息产业部组织的验收,并获得广泛好评。

记者:您作为国家电子计算机质量监督检验中心主任,多年来一直致力于系统研究方面的工作。请您谈谈目前国内计算机技术在智能建筑工程中的应用情况?

罗教授:随着微电子技术、网络技术和通信技术的快速发展,计算机技术在智能建筑工程中的应用越来越普遍和深入,智能建筑中的“智能”应该都是计算机的“功劳”,如智能建筑中可能涉及到的“程控交换接入系统”、“电视网络系统”、“广播系统”、“物业管理系统”、“家用电子系统”、“IC卡应用”、“信息安全”、“安全防范系统”、“设备监控系统”和“火灾自动报警及消防联动控制系统”等都离不开计算机技术。目前国内计算机技术在智能建筑工程中得到了广泛应用,有很多成功应用的案例,计算机技术将在智能建筑工程中的“智能”、“节能”发挥越来越大的作用。

记者:您参与了《建筑及居住区数字化技术应用》国家标准制定的工作,请您为大家介绍一下数字化国标的制定在规范居住区信息化建设方面发挥了怎样的作用?

罗教授:GB/T 20299.1~4-2006《建筑及居住区数字化技术应用规范》系列标准是在总结多年应用经验、参考国内外类似标准并考虑技术发展的基础上制定的。该系列标准的颁布实施为建筑及居住区数字化技术应用项目的总体规划提供了统一的技术要求,为建筑及居住区数字化技术应用项目的市场准入提供了技术门槛,为建筑及居住区数字化技术应用项目的过程质量控制提供了统一的依据,对规范建筑及居住区数字化技术应用发挥了非常重要的作用。

记者:在《建筑及居住区数字化技术应用》国家标准中,您参与了“检测验收”部分的编写制定工作,其中信息系统是智能社区的重要基础系统,请您为我们介绍一下信息安全检测验收方面的情况?

罗教授:“GB/T 20299-2006系列标准”中对信息系统以及信息系统的信息安全的规定是针对智能社区中各种信息系统安全的特点,结合国家相关信息安全政策、标准而制定的,智能社区的建设和运营机构应该对信息系统的信息安全问题给予足够重视。根据信息安全的等级要求采取相应的措施,保障信息系统的安全,确保客户数据安全。“GB/T 20299.2-2006”《建筑及居住区数字化技术应用规范》第2部分,“检测验收”的第6章专门介绍“信息安全”检测验收方面的内容。智能社区中的信息系统安全既涉及技术方面的内容同时也涉及管理方面的问题,在系统设计、产品采购、施工、验收等过程都必须执行国家相关信息安全政策、标准,任一环节的疏漏都可能留下隐患。在进行系统设计时,应根据标准规定的等级要求,对系统建设所使用的产品和系统本身提出明确的信息安全要求。国家有信息安全认证要求的产品在采购时必须要求供货厂家提供认证文件,信息系统的安全性评估、检测和验收要按照“GB/T 20299.2-2006标准“规定的程序执行,记录、文档资料文本规范、内容齐全,做到发生问题时可追溯。

记者:目前国内的家居智能化领域,国内外产品在技术指标上各不相同,不少高端消费者更青睐于国外产品。您曾负责处理过东芝笔记本电脑的质量纠纷,对于如何正确选择国外产品有哪些方面是应该值得注意的?

罗教授:在产品技术选型时,我个人认为应兼顾考虑如下几个问题:不片面追求技术先进,够用就行,避免造成不必要的浪费;考虑知识产权,特别是要防止部分国外企业先让你上钩,事后再要你不断给他付钱的专利陷阱。

在技术条件满足的情况下,尽量考虑采用国内成熟企业技术与产品;要考虑国内产业的技术支持、批量供货等综合能力;考虑技术选型符合国际通用标准、国家标准和行业标准要求;在技术条件满足当前应用需求情况下,适当考虑应用的可扩展性;考虑信息安全措施的必要性及国家有关部门的管理要求(如密钥等);终端产品、后台处理软件、数据库系统、服务器、资金清算中心和网络架构的配置要求等。

记者:据了解,您同时还负责信息产业部IC卡质量监督检验中心和国家金卡工程IC卡及机具产品检验中心的工作。请您简单介绍一下我国IC卡应用过程中存在的问题,以及在数字化国标的制定过程中对于IC卡应用做了哪些针对性的工作?

罗教授:我个人认为:我国IC卡应用过程中主要存在如下一些共性问题:部门利益协调不到位,造成系统重复建设资金浪费(管理问题);同行业应用情况信息收集不够,特别是系统建设失败的信息;系统需求分析不充分,对未来的应用需求估计不足,建成后的系统可扩展性很差;技术选型两个极端,一是盲目追求技术先进性造成浪费,二是采用过时技术造成系统整体性能下降;在制定应用方案时,一些关键技术问题未适当开展模拟验证试验导致系统建设周期过长;不重视标准化工作,系统中所采用的产品的互换性、兼容性、一致性和环境适应性太差,增加了系统的维护成本;系统的建设过程未开展质量、成本和进度控制,造成系统建设工期超标、投资超预算等。

从2000年开始,我们中心受建设部IC卡应用服务中的委托,承担了建设事业IC卡及终端产品的检测,参与”GB/T 20299-2006“系列国家标准的编写工作,具体负责”GB/T 20299.2-2006标准”第17章“IC卡应用检测”编写的执笔,同时还参与了建设部行业标准”CJ/T 243-2007”《建设事业集成电路(IC)卡产品检测》的编写工作,在IC卡及终端产品检验方面积累了丰富的经验,为IC卡产业的健康发展和技术应用的顺利推进做出了贡献。”GB/T 20299.2-2006”、”CJ/T 243-2007”标准有关IC卡应用检测方面的内容针对性、可操作性强,对智能建筑工程中的IC卡应用系统设计、技术选型、采购、产品检测和系统验收具有指导作用。

记者:数字化国标等相关国家标准的制定对于推进我国的信息化建设起到了规范项目设计技术的作用。除此之外,您认为在推进信息化工程建设的过程中,还应该从哪些方面入手?

罗教授:我认为在推进信息化工程建设的过程中,除了在工程设计方面需要依据”GB/T 20299-2006”系列国家标准和相关国家标准、行业标准外,还应该在信息化工程建设招投标、预算与报价、产品采购与验收、工程实施、工程监理、系统阶段性测试、系统联调、工程验收等几个方面,面向有关人员宣传贯彻GB/T 20299-2006系列国家标准和相关国家标准、行业标准,增强大家的标准化意识,理解标准的技术要点,真正发挥信息化工程建设标准先行的作用。

记者:最后请您展望一下,计算机技术在建筑智能化领域下一步的发展趋势。

谈谈对信息安全的理解范文第3篇

【关键词】网络安全;入侵检测

0.引言

随着计算机技术、通信技术和信息技术的飞速发展,各种各样的网络应用已经越来越广泛地渗透到人类地生活、工作的各个领域。特别是通过Internet,人们可以极为方便地产生、发送、获取和利用信息。Internet在给人们带来巨大便利的同时,也产生了许多意想不到的问题,网络安全就是其中一个突出的问题。造成Internet不安全的原因,一方面是Internet本身设计的不安全以及操作系统、应用软件等存在着安全漏洞;另一方面是由于网络安全的发展落后于网络攻击的发展。目前网络中应用最广、功能最强大的安全工具莫过于防火墙,但是防火墙的安全功能是有限的,它很难防止伪造IP攻击。因此,发展一种新的网络安全防御手段来加强网络安全性便成了亟待解决的问题。入侵检测是帮助系统对付网络内部攻击和外部攻击的一种解决方案。入侵检测技术是当今一种非常重要的动态安全技术,它与静态防火墙技术等共同使用,可以大大提高系统的安全防护水平。

1.入侵检测的概念及功能

入侵就是指任何试图危及信息资源的机密性、完整性和可用性的行为。而入侵检测就是对入侵行为的发觉,它通过从计算机网络或系统中的若干关键点收集信息,并对这些信息进行分析,从而发现网络系统中是否有违反安全策略的行为和遭到攻击的迹象。通常入侵检测系统(Intrusion Detection System, IDS)是由软件和硬件组成的。入侵检测是防火墙的合理补充,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。另外,它也扩展了系统管理员的安全管理能力,有助于提高信息安全基础结构的完整性,是对原有安全系统的一个重要补充。入侵检测系统收集计算机系统和网络的

信息,并对这些信息加以分析,对被保护的系统进行安全审计、监控、攻击识别并做出实时的反应。

入侵检测的主要功能包括:(1)监视、分析用户及系统活动;(2)系统构造和弱点的审计;(3)映已知进攻的活动模式并进行相关人士报警;(4)模式的统计分析;(5)要系统和数据文件的完整性;(6)的审计跟踪管理,并识别用户违反安全策略的行为。

2.入侵检测的信息来源

对于入侵检测系统而言,输入数据的选择是首先需要解决的问题,目前的入侵检测系统的数据来源主要包括:(1)操作系统的审计记录;(2)系统日志;(3)应用程序日志;(4)基于网络数据的信息源;(4)来自其他安全产品的数据源。

3.入侵检测系统的基本模型

在入侵检测系统的发展过程中,大致经历了集中式、层次式和集成式三个阶段,代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型(Denning模型)、层次化入侵检测模型(IDM)和管理式入侵检测模型(SNMP-IDSM)。

3.1 通用入侵检测模型

Denning于1987年最早提出一个通用的入侵检测模型(如图2.1所示)。

该模型由6个部分组成:(1) 主体(Subject);(2) 对象(Object);(3) 审计记录(Audit Records);(4) 活动简档(Activity Profile);(5) 异常记录(Anomaly Record);(6)活动规则。

3.2 IDM模型

Steven Snapp在设计和开发分布式入侵检测系统DIDS时,提出一个层次化的入侵检测模型,简称IDM。该模型将入侵检测分为六个层次,分别为:数据(data)、事件(event)、主体(subject)、上下文(context)、威胁(threat)、安全状态(security state)。

IDM模型给出了在推断网络中的计算机受攻击时数据的抽象过程。也就是说,它给出了将分散的原始数据转换为高层次有关入侵和被监测环境的全部安全假设过程。通过把收集到的分散数据进行加工抽象和数据关联操作,IDM构造了一台虚拟的机器环境,这台机器由所有相连的主机和网络组成。将分布式系统看成一台虚拟计算机的观点简化了跨越单机入侵行为的识别。IDM也应用于只有单台计算机的小型网络。

3.3 SNMP-IDSM模型

随着网络技术的飞速发展,网络攻击手段也越来越复杂,攻击者大都是通过合作的方式来攻击某个目标系统,而单独的IDS难以发现这种类型的入侵行为。然而,如果IDS系统也能够像攻击者那样合作,就有可能检测到入侵者。这样就要有一种公共的语言和统一的数据表达格式,能够让IDS系统之间顺利交换信息,从而实现分布式协同检测。北卡罗莱那州立大学的Felix Wu等人从网络管理的角度考虑IDS模型,突出了基于SNMP的IDS模型,简称SNMP-IDSM.。

SNMP-IDSM以SNMP为公共语言来实现IDS系统之间的消息交换和协同检测,它定义了IDS-MIB,使得原始事件和抽象事件之间关系明确,并且易于扩展。SNMP-IDSM定义了用来描述入侵事件的管理信息库MIB,并将入侵事件分析为原始事件(Raw Event)和抽象事件(Abstract Event)两层结构。原始事件指的是引起安全状态迁移的事件或者是表示单个变量迁移的事件,而抽象事件是指分析原始事件所产生的事件。原始事件和抽象事件的信息都用四元组来描述。

4.入侵检测的分类和分析方法

4.1入侵检测的分类

通过对现有的入侵检测系统和技术研究,可对入侵检测系统进行如下分类:

根据目标系统的类型可以将入侵检测系统分为两类:

(1) 基于主机(Host-Based)的IDS。通常,基于主机的入侵检测系统可以监测系统事件和操作系统下的安全记录以及系统记录。当有文件发生变化时,入侵检测系统就将新的记录条目与攻击标记相比较,看它们是否匹配。

(2) 基于网络(Network-Based)的IDS。该系统使用原始网络数据包作为数据源,利用一个运行在混杂模式下的网络适配器来实时监测并分析通过网络的所有通信业务。

根据入侵检测系统分析的数据来源,数据源可以是主机系统日志、网络数据包、应用程序的日志、防火墙报警日志以及其他入侵检测系统的报警信息等,可以将入侵检测系统分为基于不同分析数据源的入侵检测系统。

根据入侵检测方法可以将入侵检测系统分为两类:

(1) 异常IDS。该类系统利用被监控系统正常行为的信息作为检测系统中入侵、异常活动的依据。

(2) 误用IDS。误用入侵检测系统根据已知入侵攻击的信息(知识、模式)来检测系统的入侵和攻击。

根据检测系统对入侵攻击的响应方式,可以将入侵检测系统分为两类:

(1) 主动的入侵检测系统。它在检测出入侵后,可自动的对目标系统中的漏洞采取修补、强制可疑用户(可能的入侵者)退出系统以及关闭相关服务等对策和响应措施。

(2) 被动的入侵检测系统。它在检测出对系统的入侵攻击后只是产生报警信息通知系统安全管理员,至于之后的处理工作则有系统管理员完成。

根据系统各个模块运行的分步方式,可以将入侵检测系统分为两类:

(1) 集中式入侵检测系统。系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行,这种方式适用于网络环境比较简单的情况。

(2) 分布式入侵检测系统。系统的各个模块分布在网络中不同的计算机、设备上,一般而言,分布性主要体现在数据收集模块上,如果网络环境比较复杂、数据量比较大,那么数据分析模块也会分布,一般是按照层次性的原则进行组织。

当前众多的入侵检测系统和技术,基本上是根据检测方法、目标系统、信息数据源来设计的。

4.2 入侵检测的分析方法

从入侵检测的角度来说,分析是指对用户和系统活动数据进行有效的组织、整理及特征提取,以鉴别出感兴趣的攻击。这种行为的鉴别可以实时进行,也可以事后分析,在很多情况下,事后的进一步分析是为了寻找行为的责任人。入侵检测的方法主要由误用检测和异常检测组成。

误用检测对于系统事件提出的问题是:这个活动是恶意的吗?误用检测涉及到对入侵指示器已知的具体行为的解码信息,然后为这些指示器过滤事件数据。要想执行误用检测,需要有一个对误用行为构成的良好理解,有一个可靠的用户活动记录,有一个可靠的分析活动事件的方法。

异常检测需要建立正常用户行为特征轮廓,然后将实际用户行为和这些特征轮廓相比较,并标示正常的偏离。异常检测的基础是异常行为模式系统误用。轮廓定义成度量集合。度量衡量用户特定方面的行为。每一个度量与一个阈值相联系。异常检测依靠一个假定:用户表现为可预测的、一致的系统使用模式。

有些入侵检测方法既不是误用检测也不属异常检测的范围。这些方案可应用于上述两类检测。它们可以驱动或精简这两种检测形式的先行活动,或以不同于传统的影响检测策略方式。这类方案包括免疫系统方法、遗传算法、基于检测以及数据挖掘技术。

5.入侵检测系统的局限性与发展趋势

5.1入侵检测系统的局限性

现有的IDS系统多采用单一体系结构,所有的工作包括数据的采集、分析都由单一主机上的单一程序来完成。而一些分布式的IDS只是在数据采集上实现了分布式,数据的分析、入侵的发现还是由单一个程序完成。这样的结构造成了如下的缺点:

(1) 可扩展性较差。单一主机检测限制了监测的主机数和网络规模,入侵检测的实时性要求高,数据过多将会导致其过载,从而出现丢失网络数据包的问题。

(2) 单点失效。当IDS系统自身受到攻击或某些原因不能正常工作时,保护功能会丧失。

(3) 系统缺乏灵活性和可配置性。如果系统需要加入新的模块和功能时,必须修改和重新安装整个系统。

5.2 入侵检测的发展趋势

入侵检测的发展趋势主要主要表现在:(1) 大规模网络的问题; (2) 网络结构的变化; (3) 网络复杂化的思考;(4) 高速网络的挑战;(5) 无线网络的进步;(6) 分布式计算;(7) 入侵复杂化;(8) 多种分析方法并存的局面。

对于入网络侵检测系统,分析方法是系统的核心。多种分析方法综合运用才是可行之道,将各种分析方法有机结合起来,构建出高性能的入侵检测系统是一个值得研究的问题,我们需要不断的研究去完善它。

参考文献:

[1]张宏. 网络安全基础(第一版)[M].北京:机械工业出版社, 2004.

[2]石志国,薛为民,江俐.计算机网络安全教程[M].北京:清华大学出版社,2004年.

[3]唐正军. 网路入侵检测系统的设计与实现(第一版) [M]北京:电子工业出版社,2002.

[4]郭魏,吴承荣. [J]入侵检测方法概述. 《计算机工程》,1999年 第11期.

[5]泰和信科.内网安全管理[M].重庆:泰和信科,2003年.

[6]薛静锋, 宁宇朋等.入侵检测技术(第一版)[M].北京:机械工业出版社,2004.

[7]叶中行. 信息论基础(第一版) [M].北京:高等教育出版社,2003.

[8]杜虹.谈谈“内网”安全. [J].《信息安全与通信保密》,2005年 第2期.

谈谈对信息安全的理解范文第4篇

关键词:产学结合;校园;电子商务

1产学结合构建校园电子商务的现实意义

(1)校园电子商务提供学院教学系创办实习工厂/公司的虚拟场地。

在校园开展电子商务,可以为学生提供电子商务的实践环境,为电子商务理论教学提供了实习基地。利用校园电子商务,构建校园电子商务实习基地,营造出良好的电子商务环境,使学生能进行的真实商务活动,从而锻炼学习者运用自身的综合知识结构解决实际问题。

(2)校园电子商务为专业特长学生提供发展空间。

我校地处郊区、远离商业区,这使得许多大学生外出购物很不方便。现代大学生脑子灵活,具有创新意识,创业意识也很强,许多学生平时也会兼职卖一些小物品,但这浪费了学生很多时间,而校园电子商务正好能迎合这部分人的需要,给学生提供了一个发展的平台,我院作为经贸类院校,开设了许多与商贸相关的专业,如电子商务专业、国际贸易专业、市场营销专业、物流管理专业、信息管理专业、计算机网络专业和计算机多媒体专业等,电子商务专业、国际贸易专业、市场营销专业的学生可以参与网上开店,进行商务活动,进行自己的专业实践;信息管理专业的学生可进行商城的管理以及人力资源管理,发挥自己的专业特长。校园电子商务为专业特长生提供了发展空间。

(3)校园电子商务为部分学生提供勤工俭学机会。

我院结合学院特点,提出校园电子商务新模式。即“创业平台+校园勤工助学配送中心”模式。可以充分利用校园内的这种优势,联合各专业人才搭建技术平台,通过这种虚拟网络平台将买卖双方的供求信息聚集在一起,最终满足在校师生的购物需求。校园内还应建有自己的配送中心,考虑到各高校仍然有许多贫困生,该配送中心的成员均由贫困生组成,以给他们勤工助学的机会。这种模式将由在校学生的自主创业建立的虚拟网络平台与一支勤工俭学的配送队伍有机的结合在一起。

(4)校园电子商务扶持学生无资金创业理念的实现。

培养学生创业的精神和能力,就是把未来的求职者,变为职业岗位的创造者。校园电子商务为推动创业大造舆论,以激发学生的创业动机,培养他们的创业能力,并且为学生创业提供了技术平台。许多学生想创业,但苦于没有资金,校园电子商务为大学生开辟创业新门路。

(5)校园电子商务扶持当地中小企业实现现代商务经营。

高职院校的教学要服务于地方经济,现在虽然是网络经济时代,但当地一些中小企业由于技术跟不上,管理理念没有更新等原因,还在采用传统的商务方式,这很大地抑制了企业的发展。校园电子商务可以在技术和管理理念上对这些企业进行扶持,让他们实现现代商务经营。我院校园电子商务采用招商引进的方法,把企业请进来,请中上企业入驻我们的商城,对方只需提品,我们提供技术支持,包括网站建设,商品上架,广告宣传,店铺经营等,为中小企业开拓了市场,提高了产品知名度,让中小企业实现现代商务经营模式。

(6)校园电子商务动作提高高职院校教师专业和技能水平。

由于电子商务是一门新的课程,一个新的领域,知识结构复杂,技术性强,属于商务、计算机、管理交叉学科,要办好电子商务专业对师资提出了更高的要求,这要求教师不只是谈谈商务理论,而应兼顾实践,多参与电子商务实践活动,校园电子商务提供了完整的实践活动环节,教师要指导学生进行电子商务活动,提供更强的技术支持,参与管理开展校园电子商务,教师的专业和业务水平得到提高,同时也提高了师资队伍水平、优化师资的知识结构、提高教学质量。

(7)校园电子商务为电子商务专业的教学提供真实案例。

电子商务的整个运作都在网上进行,因此传统的教学方式大多给人纸上谈兵的感觉,只有对电子商务的实际模拟教学才会是最有效的。但校园电子商务来得更具体、更真实一些,校园电子商务能满足《电子商务概论》、《市场营销》、《网络营销》等理论课的实践训练要求,它为学习电子商务及相关专业的学生和所有对电子商务领域知识有兴趣的学生提供一次理论结合实践的机会,同学们通过实际操作将原本只在书本上的电子商务实际应用在目前的校园电子商务中,解决课堂教学中无法实现的实践环节。这样校园电子商务在培养当代大学生的实践能力、创新能力和团队协作能力的同时,也有助于推动我国电子商务高等教育的系统化和高水平发展;锻炼学生的营销意识;考验学生的毅力与韧性,推进校园文化与社会交往的互动,全面培养中国优秀的电子商务人才。

(8)校园电子商务提供二手市场流通学生闲置物品。

高校的二手交易市场广阔。每年毕业生离校时都要进行旧物交易,并且日常学习、生活中,学生之间也经常会进行一些闲置物品交易。这些都能在网上二手交易市场中实现。卖主可在网上自己要销售的物品信息、售卖价格及联系方式,买主则可以在网上搜索自己所需要的物品,若搜索不到也可以在网上求购信息。校园电子商务二手交易市场不受时间和空间限制,而且搜索物品更快更方便,购买商品时所产生的信用及物流配送问题也能得到很好的解决。开展有校园电子商务,通过供求信息,就可以很好地解决二手市场的供求关系,校园电子商务很好地流通了学生的闲置物品。

(9)校园电子商务一定程度解决电子商务中信用、安全支付与物流配送等难题。

相对来说,目前物流是制约电子商务发展的瓶颈之一,而电子商务中的安全支付和信用问题也是众多专家致力研究的课题。但在这种基于校园网及校园卡的校园电子商务系统中,物流和支付都可以得到很好的解决。在高校里,由于校园一般来说就是方圆10多平方公里。商品的配送相对来说,是非常方便的。一般当天就能够送到购买者手里。物流可以采取买卖双方通过E-mail或电话联系,共同商讨供货方式。而支付除了现金支付外,还可通过校园网利用校园卡转账功能进行安全、快捷的资金网上支付,这也是校园电子商务系统中解决支付问题的最佳方式。因在同一所高校里,购买商品的时候,已经在某种程度上默认了对方的可信。于是,就更容易促使达成买卖交易。信用机制在校园里是比较稳定安全的。所以,校园电子商务一定程度解决电子商务中信用、安全支付与物流配送的难题。

2实现校园电子商务的技术保障

实现校园电子商务需要一定的技术保障,为配合科研组的研究工作,信息类高职专业教学系部可成立“经贸信息技术服务有限公司”,开设专业教学实践基地,经营和管理包括网络商城在内的校内实习基地各项教学和经营活动,让学生真正做到产中学,学中产,教师在产学中研究专业应用。技术服务公司除了商城管理中心人员之外,还可招聘学生在商城中以开设店铺形式开展电脑维修、数码创意、软件开发、商务服务(图文编排装订)、职业资格等培训业务。

(1)电子商务专业较新较活理念指导和运营商城店铺。

电子商务专业学生运用所学的商务知识、营销知识、管理知识、计算机知识,指导和运营商城店铺。可负责市场调研工作,跟踪校园动态,研究学生消费心理.发掘新的消费市场,帮助拓展公司业务。收集公司内外的各种相关信息,负责信息收集、公司对外信息以及与各大传媒交流。如在开展校园电子商务活动时,必须要进行大量的宣传。我们可以在校园里开展各种形式的促销活动,如发放传单、张贴海报等等。通过这些活动进而扩大自己网站的影响力。积极采取优惠的价格策略,低廉的价格是吸引大学生们进行网上消费的主要原因,无论何种商务模式,只有建立完整的客户资料库,才能以客户为中心安排业务流程,才能创建方便快捷的个性化服务。校园电子商务系统可以通过建立类似会员制的环境来主动联络顾客。让学生在实践中不断完善理论知识,从而对电子商务也会有更全面的理解。另一方面,通过这种实践,学生在学校里就已经充分具有了网站构架、资料库应用等多方面的技术,以及增加了对物流、资金流的控制能力,这使得他们毕业投入就业市场时,就能快速的掌握公司整体的电子商务运作状况,甚至于还可能针对公司现行的营运情况做更高效能的规划,增强了学生毕业后进入就业市场的竞争力。

(2)软件技术和网络技术专业是经营商城网站坚强的技术后盾。

商城网站的经营,需要后台管理人员对程序、数据库进行管理,信息安全问题的解决,软件技术专业学生可以提供较硬的软件应用水平,网络专业学生可以在信息安全和网络线路上提供技术支持。软件技术人员维护商城后台程序和数据,管理和推广域名,给网站嵌入后台管理代码,培训商户创建店铺网站。根据业务需要,为商城、学院行政管理部门和企业开发专门的管理小型信息管理软件。网络技术人员负责商城网站的畅通,信息安全的保障,电子支付的实施,网络布线,保障网络线路的顺畅等技术服务。

(3)多媒体技术专业是商品图片、网络广告设计的制作者。

网上商城需要美工制作人员,网上店铺的宣传需要很好的策划和网络广告投入,网上商品的宣传必须有相关实物图片。多媒体技术专业学生可以利用所学的摄影摄像知识,图片处理知识,对上架商品进行拍摄和图片加工;可以利用网站建设知识,设计网站;利用平面设计、动画制作和广告实务知识,设计制作网络广告。为商城的运作添加了飞翔的翅膀。同时,为全面开发专业课程实践教学需要,成立数码工作室,可开展摄影摄像业务,刻录影集,剪接录像等专业技术服务。在时机成熟时,可开设校园网络广播,由学生设计主持广播节目。

(4)信息管理专业是商城管理的主力军。

一个成功的商城经营,离不开好的管理,不论是商城经营模式还是人力资源,信息管理专业学生可以成为商城管理的主力军。信息管理专业可以利用所学知识,对商城进行规划管理,设计符合本校特点的经营管理模式。可根据不同的岗位,制定各部门各级管理岗位职责,招收各类学生管理员,进行员工培训,协调好各部门间的关系。校园电子商务系统与校园卡数据整合后,把所有校内师生都直接以“立足校园,服务师生”为宗旨,采取在线订购.送货上门的交易方式。根据学校的特殊群体以校园网为依托.参照目前流行的电子购物模式,建立一个适合校园需求特点的专业校园电子商务平台。

3结语

在高职院校发展电子商务,可以很好地利用校园资源,通过网上商城的技术和经营管理,教师在实践中提升科研能力,学生在实践中学习专业知识和操作技能。目前我院海南经贸网上商城已开通,学生实践基地已成立,网上商城可以为学生提供校内社会实践和勤工俭学机会,为有创业能力的学生提供发展的舞台,利用信息科技,利用网络,让学生和飞速发展的信息社会进行正面的接触。根据市场发展,结合当地的经济文化,准确定位,寻求多方共赢合作,做好组织与管理,就能办出特色,推动相关的精品课程和教学团队建设,从而辅助专业建设走特色化道路。

参考文献

[1]杜江萍.校园电子商务模式探析[N].江西财经大学学报,2005,(3).

[2]勒中坚,吴琴芬,陈瑞华.基于高校校园电子商务环境的大学生创业风险分析[J].商场现代化,2008,(2).

谈谈对信息安全的理解范文第5篇

地点:赛迪大厦18层会议室

形式:中计在线嘉宾现场对话

对话嘉宾:

王卫乡

中国中信集团公司管理信息部副主任

周梓滔

德勤华永会计师事务所有限公司企业风险管理服务高级经理

钱晨

科索路咨询公司副理

田海波

北京锐思盈泰科技有限公司董事副总经理

无内控等于慢性自杀

主持人:企业内部控制的目的是什么?有什么需求?

钱晨:企业内部控制的目的是在保证实现公司战略目标前提下,对存在的风险进行控制。无论董事会还是全体员工都要对企业披露的信息的可靠性负责,但最终责任会落在董事会上。

IT内审的引入是因为在给上市公司内控评估时,IT是其中的一个重要的组成部分和方法。

主持人:请德勤公司的周经理谈谈中国企业的内控跟国外企业的有什么差异?

周梓滔:主要是在理解法案、标准时可能会不一样,因为中国的国情和中国企业的管理方法跟国外企业不尽相同。比如说,国外企业可能会成立专门的审计委员会,但国内企业可能会把审计委员会放在某一个组织里面,如在财务部,这就造成了独立性的不同。

主持人:作为用户的代表,请王主任讲讲中信集团在内控方面是怎么考虑的?

王卫乡:目前中信集团有好几家上市公司,如刚上市的中信银行,中信证券、中信国安等。我们一直非常关注企业内控,其中包括IT内审和萨班斯法案。我们的审计部是唯一一个由集团公司董事长直接分管的部门。

实际上,从我们公司上一任董事长王军开始就一直特别强调内控。他曾指出:“没有发展的内控等于慢性自杀,没有内控的发展,发展越快损失越大”。中信集团自1979年成立到现在快30年了,一直都保持快速发展。在高速发展的20世纪90年代中期,我们深感管理手段和发展的速度不匹配,导致有些项目最后失去控制,并造成很大的损失。

现在我们已经采取了一些技术手段,并引进了一些软件来加强审计,如加拿大的ACL审计软件。我们的内部审计目前主要强调的内容包括:离任审计――像下属的子公司领导任期换届,中长期项目在项目实施过程中是否存在重大失误的专项审计,其他的,如下属的公司层面,因资产的分布不是很均衡,金融业务领域是由金融控股公司的风险管理部来主抓。

主持人:各位嘉宾能否总结一下信息技术对企业内部控制的价值是什么?

钱晨:IT是企业内控的一个重要内容和手段。现在多数企业都会用到IT系统,很多流程都嵌入到IT系统中,企业内部控制也应该对IT系统进行控制。同时,我们在进行内部控制的时候,也应该通过IT手段来辅助实现。

周梓滔:我们看到一个很重大的改变:以前内部控制都是通过手工来实现的,非常复杂;现在借助IT系统来实现内控,效率大大提高了。另外,对IT系统进行控制,可以优化系统,提高系统性能。

王卫乡:任何事情都有两面性,IT技术可以帮助我们进行内部审计、获取更加及时、有效的信息,但是如果不加强对IT本身的审计,可能会被人利用,拿这个工具去做不正当的事情。所以要从观念上重视IT内审。

田海波:从客户的反应上也可以看到IT内审的价值。我们之前是做电信行业的BOSS系统的,在跟客户接触过程中发现客户对IT内审的需求很大。因为客户觉得内控工作非常烦琐,希望能够借助有效的工具来帮助他们轻松实现。

主持人:那么,企业应该怎样进行IT内审呢?

周梓滔:如钱经理所言,IT审计有两个方面,一个是对IT进行审计,另外一个是利用IT技术来进行审计。首先要看IT有什么东西要做审计:现在很多ERP系统中已经就内部控制做了设置;另外可以利用DQI方法(利用数据库、程序去运行大量数据可以帮助企业分析发现业务上的问题,以供企业进行调整)。这是一个非常有效的审计方法。

对IT进行审计是指对整个IT环境各方面的审核工作,如信息安全、软件开发、系统维护等。

钱晨:也有说法认为IT控制有两个方面:一个是应用控制,即IT必须对业务流程进行某些控制;另一个是通常性控制,对于支撑公司运作的IT基础技术架构平台进行有效管理控制。

主持人:我听一个在香港上市的企业的CIO说,IT内审对他们来说就是会计师事务所给他们提供一个与IT相关的表格,他们只需按照这个表格的要求来执行就可以了。是这样的吗?

王卫乡:没有这么简单。这可能要牵扯到两个部门:一个是IT部门,一个是审计部门,实际上这是跨两个领域的事情。

周梓滔:我们给企业做IT内审的时候,要先了解被审企业的情况,了解他们的业务范围是什么,管理层对IT管控持什么样的看法,然后再按我们的方法论对风险较高的地方进行审计。

业务不同,IT审计的策略也就不同。比如一个企业拥有大型的数据中心,并依赖该数据中心为客户提供服务,那么该数据中心的物理环境安全就是非常重要的环节。但如果是一个销售企业,他们的IT系统会相对简单,数据中心的物理安全也会影响他们的财务数据,但要求就不那么高了。

IT内审谁在喝彩

主持人:去年大家都对IT内审比较关注,但是最近好像没什么大动静了。实际情况是这样吗?出现这种情况的原因又是什么呢?

周梓滔:我看到的情况有点不同。刚才王总说得很对,现在做IT审计的人并不多。企业如果成立专门的IT内审部门成本太高,所以往往会外包给一些第三方公司来做。

上交所、深交所要求他们的上市公司也要进行内控,其中IT内审是很重要的环节。有些母公司在国外的跨国企业在IT内审方面做得比较多,因为他们的网络、系统是全球化的,要符合母公司所在地相关法规的规定。

国内的一些大型企业在这方面也有很大的改善。但我们发现需求增加的速度比IT内审提高的速度要快很多。其中很重要的原因就是专业IT审计人才的缺乏。比如说有个全国性的银行,他们的IT审计部门只是一个小组,很难进行大的推动。

王卫乡:银行、电信企业强调IT审计取决于他们的业务特点。银行的服务器坏了可能会影响一大片。

此外,企业本身环境的要求或者政府的管制要求也很重要。美国政府已经以法案的形式来进行约束。其实国内前几年也发生过不少因为内控失效造成重大损失的案例,那在目前牛市的情况下,如果还不加强控制的话,影响就会更大。

没人喝彩好像是没有动静,但不能说就没有行动。我相信政府一直在推动,我们企业也在考虑怎么加强这方面的工作。当然,如果将政府和企业两者结合起来,推动的效果会更好。

田海波:我们涉及这块业务是因为我们有一个电信客户希望能从数据模型角度来评估系统设计是否满足其业务需求,要对软件实施过程中阶段性成果进行验证。这是IT内审的一部分。

主持人:在国内上市的公司也同样那么重视IT内审吗?

周梓滔:深交所、上交所的《指引》中提出的内控要求主要是针对上市企业。但是随着相关法案的出台,越来越多的国内上市企业意识到了IT 审计的重要作用和影响,很多公司已经开始了相关的工作。

王卫乡:我觉得企业进行内控往往从自发和自觉两个角度出发。从自觉的角度来做内控的企业,很明白内控对企业发展的好处。如果企业要发展,是不可能不去做这方面工作的,应该是一个自发的行为。有些上市公司大张旗鼓地宣扬自己的内控做得怎么好,这实际上是他们自己应该做的。

主持人: IT内审的推广还有哪些比较现实的问题呢?

王卫乡:我觉得最难的还是观念问题。如果在观念上没有重视这个事情,其他的技术再高超、完善,但如果不去用,那就一点用都没有。

还有一个问题就是现在很多企业的信息化建设还不尽如人意,在这种情况下强调太多的IT审计还没有必要。

主持人:IT内审是一个中长期的工作,上市公司该怎么看IT内审的运作成本和收益?

王卫乡:我个人认为这个投入非常值得,既能够维持公司良好的运转,又能够比较好地监控公司运转的状况。IT审计是一个提供保障的机制,不会直接创造效益,但是它至少不会让已经创造的效益流失。

钱晨:对。也许企业什么都不做也能成功运转很长时间,但风险永远是存在的,像“9•11”那样的小概率事件也是会发生。

王卫乡:为此,我们公司建立了金融的灾备中心,是和运营中心分开的。这应该是IT审计或者企业内控的一个重要组成部分,而且尤其对大型企业来说特别重要。

周梓滔:当企业很大程度上依赖IT的时候,IT内控不但能够帮助企业理顺业务流程、培养人才和提高技术能力,能够降低风险、提升能力,还能推动业务模式的转变。我们有个客户,他们的IT部门原来是个成本中心,后来通过IT内审优化业务模式,使他们公司的服务达到了世界一流水平,很多国外公司都来找他们咨询。后来这个公司的IT部门因此慢慢成长为一个咨询公司。

中国路线怎么走

主持人:各位认为适合中国国情的IT内审规范应该是什么样的?

王卫乡:这个问题很难回答。但是全球化以后,很多中国企业都在海外上市,要求我们去适应海外交易所的法规,同时也会带来一些好的做法,我们可以借鉴一下。

主持人:那中国的IT内审规范应该怎么来做?

周梓滔:IT内审并不是因为萨班斯法案才有的,这在上个世纪80年代就开始有了。当时行内人已经为通过打孔机从电脑上提取数据的计算机进行IT审计。现在随着IT技术的发展,IT审计的内容、方法、技术等各方面都已经发生了变化。

钱晨:我们可以先西学中用,把国外做得好的拿过来借鉴,再对用得不好的加以改进。

田海波:我觉得中国IT内审如果能够形成一个大的产业链会更好,像当初推项目管理时那样,对相关的咨询、培训起了很大的推动作用。

主持人:很多企业不知道自己的IT内审该如何开始,请各位给他们提点建议。

周梓滔:首先可以找我们这样的专业机构来做。如果企业一定要内部自己做,自己培养人才,可以让IT部门负责信息安全的同事去学习一些审计知识――信息安全是IT审计的一部分。但这样有很多东西需要学习和推动,可能历时比较长。

主持人:内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿)。不知道各位对这个征求意见稿有什么期望?

周梓滔:征求意见稿不仅参考了萨班斯法案,还参考了很多其他地方的法规,对信息安全、系统运作、应用系统开发等各个方面都有所提及。但是有一点值得我们注意,很多法规都已经推行好几年了,我们应该充分吸取这些法规推行后的经验和教训,并加以消化吸收。比如说,要充分考虑企业内控的成本。

钱晨:我国对上市公司的内控监管还不够,远远达不到萨班斯法案那样的力度。

王卫乡:说到监管力度,我们可以分别来看看欧洲、美国和中国三块市场。对市场的监管力度最强的是美国,欧洲比较温和。从历史上看,欧洲的贵族文化本身对自律性要求比较高,在欧洲上市的公司如果运作不好,自动就退市了。美国虽然只有200多年的历史,但相关制度为他们的发展提供了有力的保障。如果运作不好就有强硬的措施逼着它退市。我觉得中国应该兼顾这两个市场的特点。我们有5000年的文化,好的地方要继承下来,不好的地方要通过制度来完善。希望现在的征求意见稿能起到这个作用,真正实现对上市企业的违规行为的约束。

详情请见中计在线“阡陌三人行”访谈实录(.cn/Special/InternalAuditing/)

链接:有关IT内审的外包

周梓滔:企业如果成立专门IT内审部门成本太高,可以外包给专业的第三方公司来做。

王卫乡:我赞成这个观点,IT内审业务的外包是比较可取的,因为这对技术要求很高,而且需要经验。

钱晨:IT审计外包更能够体现审计结果的独立性。如果IT部门本身既做系统管理又做系统的审计,这本身就是一个矛盾的问题,看问题就不会很客观,也会造成利益的冲突。

中国中信集团公司管理信息部副主任 王卫乡

IT审计包括对IT系统的审计、通过IT辅助审计工作和审计管理的信息化。

德勤华永会计师事务所有限公司企业风险管理服务高级经理 周梓滔

我们应充分吸取其他地方相关法规推行后的经验和教训,并加以消化吸收。

科索路咨询公司副理

钱晨

内部控制的目标是在保证实现公司战略目标的前提下,对存在的风险进行控制。