信息安全行业分析报告篇1
【关键词】装备;质量与可靠性;强制报告;自愿报告
0引言
随着大数据时代的到来,数据资源的价值越来越受到重视,尤其是近几年伴随网络信息化的快速发展,一些有前瞻性眼光的企业已经开始利用现代化的手段进行数据挖掘,取得了非常好的效果。军工行业在数据信息挖掘方面还相对落后,受样本量、保密等限制,无法使用先进的手段进行数据信息收集、分析、处理、预测等活动。因此,针对军工行业开展装备质量与可靠性信息方面的研究就显得尤为重要。质量与可靠性信息是装备研制、生产、使用当中的重要信息,反映着装备的通用质量特性。如何有效获取装备全寿命周期内的质量和可靠性信息是当前急需研究解决的问题。
质量与可靠性信息是装备研制、生产、使用的重要信息,如何有效获取装备在研制、生产、使用过程中的质量与可靠性数据是摆在每个军工单位面前的一大难题,从现有的信息获取渠道来看,主要有研制、生产过程中的FRaCaS报告表,使用过程中的数据统计较为困难。主要是通过售后部门来收取使用当中的故障数据,从效果来看,1)收集的数据较为单一,只有设备故障时才纳入收集对象,对使用过程中的缺陷以及环境和管理(人为因素)等信息无法获取。2)收集的故障数据不全,有些装备的外协件故障后,直接由外协单位去处理问题,有时甚至部队直接联系外协厂家,所以这部分数据在统计上有所遗漏。3)数据收集渠道单一,售后毕竟无法做到面面俱到,再加上人力资源的限制,无法独自有效完成这项工作。装备研制和生产方每年都有大量的外场保障或联调联试人员,他们在外场可以获取很多有关于质量和可靠性方面的信息,此外,装备使用方在使用装备的过程中也会遇到很多问题,如果能将这些信息有效的收集起来进行分析,那将对装备的研制、改进、筛选、质量控制等多方面起到积极作用。
1报告系统分类框架
通过对国内外相关文献的研究后发现,欧美等国在质量和可靠性问题数据收集方面做得相对成熟,在大多重要行业都有开展强制报告收集数据信息,在一些典型的行业有开展自愿报告(如波音、空客等),很多行业是两种报告形式相结合(航空、医疗、核工业等),运行多年的效果显示,收到了很大的成效。国内在借鉴国外先进经验的基础上,在民航和医疗领域也开展了强制和自愿报告,其他一些领域也有要开展的想法[1-3]。
借鉴国内外先进的理论和方法,结合我国军工行业实际情况,设想构建具有我国军工行业特色的质量与可靠性报告系统。将报告系统分为强制和自愿两种形式,强制报告的内容和形式在已有的基础上进行改进完善。自愿报告对于军工行业是一个全新的内容,需要在内容和形式与强制报告保持一致性,便于信息的分析利用,报告流程以及保密等是需要结合实际进行创新。自愿报告系统的基本原则是自愿、保密、非处罚,其中非处罚性和保密性是自愿报告系统的“敏感带”,也是其能否成功运行的关键所在,是报告者自愿行为的前提和基础。
2报告内容与运行形式
在对装备研制、生产、使用过程中出现的问题分析后发现,装备的质量和可靠性问题大致可分为硬件、软件、环境、管理四类。特别是对于环境和管理类的问题现有手段很难统计和分析,但这两类问题在装备使用当中出现的频率却很高,采取自愿报告的形式可以弥补这一缺陷。
通过对国内外各种类型的报告系统(aSRS、CHiRp、SCaSS、XSCRS等)运行程序比较分析[4-6],初步建立装备质量与可靠性信息报告系统运行程序如图3所示。基本流程涵盖了上报、分析、反馈、提高等环节,其中,外环表示报告系统的主要运行流程,内环总结了系统运行过程中的所有步骤,整个系统运行程序即是不断提高装备质量与可靠性水平的循环过程。
3系统设计分析
系统设计是报告系统能否成功运行的关键所在,采用先进的系统工程理念,结合当前军工行业质量与可靠性信息收集难题,研究设计出一套系统化的信息收集报告流程,创建切实可行的质量可靠性信息报告平台,图4是初步设计的信息报告系统功能结构图。
在系统设计模块,主要解决信息收集、信息分析整理、信息反馈三大难题,信息收集是基础,信息收集的渠道初步设计了三条:机要邮寄自愿报告表、FRaCaS强制报告表、报送或自取强制/自愿报告表等。报告表的表单设计决定着后续程序的顺利运行,需要参考FRaCaS报告表的内容,能够将各种信息进行统一归类分析。
信息分析整理需要专家库的支撑,同时,信息分析整理结果支持着专家库的建设,质量与可靠性信息数据库和分析方法库是专家库的基础。信息反馈是信息论的最主要特点,也是报告系统能否真正指导实际工作的最后环节,反馈的形式可以是多样的,如研究报告、信息简报、告警信息等。
4数据分析与反馈
从信息的反馈律角度来分析,自愿/强制报告系统的建立,使得装备质量特性在装备系统效能中持续发挥作用,构成一个完整的闭环控制系统。
从不同使用环境和场所收集到的质量与可靠性信息,表现形式多样,如何把多种形式的信息分类整合,怎样整合更有利于后期分析,采用什么方法对整合后的信息进行分析,这些都是报告系统信息分析的关键环节。将报告中的信息分类存储到数据库后,接下来就要对信息进行相关分析。相关性分析需要在模型的基础上开展,基于Reason模型的HFaCS是航空领域广泛应用的方法之一,但该方法开发之初是主要用于研究航空人为因素的,用该方法研究硬件、软件以及环境的适用性有待考究。此外,还有一些数据挖掘技术可作为报告系统信息分析的工具。
5小结
本文针对装备质量与可靠性信息收集、报告、分析、反馈进行了初步探索,目的是为了建立具有我国军工行业特色的强制/自愿报告系统,系统地讨论了信息分类框架、报告内容与流程以及系统功能结构等内容,为后续建立信息报告系统奠定了基础。
【参考文献】
[1]航空安全自愿报告系统研究.航空安全自愿报告系统研究课题组[R].2004,12.
[2]Dr.arnabmajumdarConfidentialReportingSchemes:theinternationalexperience2005iCaSSmeetinginSingapore[C].
[3]孙瑞山航空安全自愿报告系统[J].中国民用航空,2002,8,20:42-44.
[4]世界航空安全自愿报告系统研究报告.航空安全自愿报告系统研究课题组[R].2004,12:2-3.
信息安全行业分析报告篇2
一、基于事项法的会计信息披露模式优势分析
1969年索特教授提出了事项法会计的观点,他从信息使用者的角度出发,将会计信息加工的出发点定位于满足信息使用者柔性化的需求层次,认为信息使用者的信息需求不能提前预知,信息使用者的信息需求与其多变的管理决策需求相对应。因此,会计信息的目的应该满足各种不同的决策需求,而不仅仅局限于会计报表的输出,也就是说,会计信息应该反映经济活动的事实,将经济业务活动的原始状态原汁原味地保存下来,尽量不掺杂人的主观判断因素,从而保证会计信息的准确性与可靠性。事项法的观点是满足不同信息使用者的决策需要,传统价值法下信息使用者在做出决策时,往往找不到合适的信息支撑,其原因在于价值法下的信息都是经过高度汇总后加工处理而成,而这种加工汇总方法并不能每次都迎合管理者的需求,因此只能“退而求其次”。事项法通过对原始经济活动的全面记录,通过事项驱动因子,将会计信息按照管理决策者的需求进行组合,可以大大提高信息的相关性和有用性,避免价值法统一标准下信息处理的弊端。虽然两者对信息加工处理的方式有着很大区别,但是两者的共同性在于提供的会计信息必须满足决策有用性的特征,如果提供的会计信息不具备会计信息的基本质量特征,也就失去了价值。
索特教授在他的文章里并没有明确提出事项法的概念界定,但是他认为事项法之所以区别于价值法,应该具备两个层面的特征:第一事项法必须以事项作为基础,也就是反映经济活动的全貌。事项法的最终目标与价值法相同,即为信息使用者提供管理决策有用的信息,但是实现途径却有着很大的区别。事项法强调对事项本身的立体化多维描述,以求完整地重现经济活动,通过将一系列的基本事件输入决策模型来达到决策支持的目的。第二多重计量维度的思想。事项法多维地描述财务与非财务信息,突破了价值法下单一描述财务信息的瓶颈。由于事项法的多重计量维度的特征,因为可以更加全面、更加完整地提供零散的事项信息,避免出现信息的遗漏和主观处理,为信息的结构化处理提供了新的思路。从受托责任观的角度,会计信息的最终目的在于提供决策支持,因此必须提供柔性化的会计信息,高度汇总的会计信息使会计信息的追溯性变得困难,无法验证其真实可靠,因此,相比较价值法下的会计信息,信息需求者更期望获得原汁原味的信息,然后根据自己的需求对其进行快速处理。
二、基于事项法与XBRL技术的会计信息传导过程分析
(一)事项法与XBRL的协同XBRL分类标准包括两个层次,一是财务报表层次的分类标准(XBRLFR),二是交易层次的分类标准(XBRLGL)。财务报表层次的分类标准用于财务报表的编制过程,面向企业外部;交易层次的分类标准用于对经济活动的处理过程,面向企业内部。事项法下的会计信息一般通过Rea模型进行数据的结构化处理,将信息打碎用资源(resources)、事件(events)、参与者(agents)这种数据库结构表示,存储于事项数据库中。然后通过事项处理模块,按照交易层次的分类标准将事项数据转换成XBRL格式的数据元和数据实例,XBRL数据元和数据实例在财务报表层次的分类标准指导下,可以编制报表和进行其他数据处理。如图1所示,将交易层次的分类标准在企业各个信息系统及其子系统中抽取事项信息,并在财务报告层次分类标准的指导下生成对外报告,提供给信息使用者,从而实现事项法与XBRL的协同处理。
(二)基于事项法的XBRL数据传导过程将企业的各项交易信息分解为事项法下包括事项、资源、参与者、地点的要素时,XBRL便能对其进行一一标记,形成事项元素。事项元素存储在事项数据库当中,通过事项模块将事项元素剖析分解成与XBRL元素相对应的结构,然后再在XBRL模块下按照XBRL技术规范组合成XBRL实例,XBRL实例的集合便形成了企业的XBRL数据库。企业可以根据信息使用者的需求披露符合要求的包含财务信息和非财务信息的XBRL网络财务报告,信息使用者通过使用XBRL应用软件将对获取的XBRL报告进行指标分析,挖掘所需要的信息,从而为外部信息使用者更好的评价企业的营运能力、偿债能力、盈利能力和发展能力,并基于评价做出正确的投资管理决策提供依据。数据传导过程如图2所示。
图2基于事项法的XBRL数据传导过程
三、基于事项法与XBRL技术的会计信息披露运作机理
(一)信息采集
(1)事件数据库。事件数据库的基本思想是完整反映企业发生的经济业务活动,通过对经济业务进行建模达到对每一个元数据进行结构化的处理,实现对经济业务的解析,进而实现对发生的经济业务活动的完整重现。
(2)报告数据库。XBRL实例在XBRLFR财务报表层次分类标准的处理下形成报告数据库,专门针对报表输出的相应数据处理。在报告数据库中,XBRLGL属于交易层次的分类标准,处在报告数据库的下层;XBRLFR数据报告层次的分类标准,处在报告数据库的上层,遵循由低到高的原则,先实例后报表。利用三库理论构建的双层数据库如图3所示。
图3双层数据库模型表
(二)信息加工与传输
(1)XBRL实例文档导入。XBRL规格说明、XBRL分类标准、XBRL实例文档和样式表组成了一个完整的XBRL文件。通过XBRL规格说明对XBRL以及XBRL的实现从技术层面进行解释说明,进而形成框架体系,对XBRL分类标准进行梳理。
(2)XBRL实例文档解析。在导入XBRL实例文档后,需要进行实例文档的解析。XBRL文件解析主要用于数据分析服务和会计信息检索服务,其解析结果包括解析对象和数据流,其中解析对象主要用于数据分析服务,而数据流主要用于会计信息的检索。解析流程从将XBRL文件导入一个XmL解析引擎开始,该文件可以是临时导入也可以从数据库中获得,整个过程如图4所示。
图4XBRL实例文档解析流程
(3)在线分析平台。信息使用者通过会计信息披露平台对企业进行各方面的评价,数据处理器中内置了大量的功能模块,如数据处理、数据分析、报表处理器,自定义功能模块等,可以根据信息需求者的个性化需求处理不同的会计信息。由于事项法下的信息不局限于传统价值法的单一货币衡量,所以信息使用者除了利用财务指标外,还可以通过非财务指标的使用综合全面评价企业的经营绩效。同时,XBRL技术的引入使得会计信息具有了结构化的特征,信息使用者可以迅速地进行不同企业间的横向绩效对比,同一企业的纵向绩效对比,减少数据收集、处理、分析的时间。基于事项法与XBRL技术的会计信息披露在线分析平台总体应用框架如图5所示。
图5基于事项法与XBRL技术的会计信息披露在线分析平台
(三)安全性思考会计信息是对企业财务状况和经营成果一定程度的反映,外部信息使用者的信息需求不能触及企业底线,否则便会引发会计信息披露机制的混乱。因此,进行数据采集时所涉及的信息是否涉及企业的商业机密,是否会造成严重的公众性危害需要事先进行规避的。对数据库数据的输出进行筛选,允许披露的信息可以进行实时输出,不允许披露的信息则需要进行筛选适当加以限制,从而控制企业会计信息披露的范围。XBRL财务报告是对外公布的报告,对外连接的方式只能通过互联网,因此XBRL财务报告的传输必须使企业的数据库通过网络与外部的数据库相连。网络环境在带来便捷的同时,也带来了安全性风险,因此在条件允许的情况下,必须采取相应的安全技术来保证数据的安全。常用的安全技术有防火墙技术、病毒防护技术以及身份识别技术等。
会计信息的根本目的在于为信息使用者提供决策支持,如何将会计信息及时、准确、完整地传达给信息使用者,是XBRL网络财务报告产生的基本思想。事项法的引入从完整性上解决了非财务信息披露的不足,满足了信息使用者柔性化的信息需求。但由于事项法的范围锁定在企业的内部,使得会计信息披露的安全性受到考验。企业应建立健全信息披露的安全机制,在充分披露的基础上,保障自身的信息安全。
信息安全行业分析报告篇3
关键词:安全运维;技术支撑;信息安全
中图分类号:tp3文献标识码:a
1引言(introduction)
为进一步规范信息安全管理,提高信息安全管理水平,建设一套集“监、管、控”功能为一体的安全运维管理平台势在必行[1,2],通过对it基础设施与应用系统的集中监控,实时反映it资源的运行状况,对事件、问题、变更、配置等运维服务进行集中处理,最终实现信息资产可知、运行状态可视、服务流程可管、运维操作可控,全面提升信息安全保障能力,有效支撑业务系统的稳定运行,为运维工作提供有效技术支撑。
2it运维中存在的问题(problemsintheoperation
management)
随着it业务和规模不断在扩展,给信息中心人员的管理带来了一定程度上的难度,主要体现在以下几个方面:
一是随着网络环境的日趋复杂,传统的“来电响应式”的it运维管理模式无法及时发现潜在的网络异常及隐患,如何实现网络的事前管理和透明化监控是保障应用系统稳定运行、核心业务正常运转的关键。
二是业务系统的数量不断增多,往往是业务部门向信息中心反映系统出现问题后,运维人员才发现系统出现了故障,具有滞后性。同时无法从业务角度来审视系统的健康度,导致故障无法快速定位业务故障点,也无法通过资源的故障判断它所影响到的业务系统等。
三是缺少有效技术手段,对网络边界完整性进行监控与管理,不能及时发现私自内联与非法外联等高风险行为。对业务访问、后台运维等操作行为缺少必要的监控与审计管理技术手段。
3建设内容(thecontentoftheconstruction)
信息系统安全运维管理平台应该包括以下内容:
3.1综合监控管理子系统
综合监控管理子系统实现对it基础层的路由交换设备、安全设备、服务器、数据库、中间件、服务等以及资源关联的应用进程、端口、日志等的全面监管,帮助管理人员及时了解it架构(各类it资源)的运行情况,形成安全事件关联分析,支持策略管理,能自动或手工设定启动相关事件处理流程。
3.2安全运维服务管理子系统
运维服务管理子系统是安全管理、日常工作和服务管理的有机结合。运维服务管理子系统应基于itiL(运维管理最佳实践等)和实际管理需求,提供服务流程管理、业务资源管理、安全管理为主的综合性管理,以保障运维管理的规范化和标准化,提升日常运维管理效能。
3.2.1安全信息采集与分析
采集各种厂商、各种类型的日志信息,针对采集的各类安全要素信息,实现性能与可用性分析、配置符合性分析、安全事件分析、脆弱性分析、风险分析和宏观态势分析。其中,风险分析包括了资产价值分析、影响性分析、弱点分析、威胁分析等;宏观态势分析包括了地址熵分析、热点分析、关键安全指标分析、业务健康度分析、关键管理指标分析。可集成第三方安全管理中心软件。
(1)安全事件采集
根据前期从各种网络设备、服务器、存储、应用等对象收集的各种安全资源、对象的安全事件、安全配置、安全漏洞、资产信息等数据,进行范式化处理,把各种不同表达方式的日志转换成的统一的描述形式。
(2)安全事件分析
透过智能化的安全事件关联分析,提供基于规则的关联分析、基于情境的关联分析和基于行为的关联分析技术。
管理对象的日志量和告警事件量应在应用系统拓扑图显示;用户点击拓扑节点可以查询事件和告警信息详情;可以对一段时间内的安全事件进行行为分析,形象化地展示海量安全事件之间的关联关系,从宏观的角度来协助定位安全问题。
安全事件以可视化视图展示,具备多种展现手段,至少包括事件拓扑图、ip全球定位图、动态事件移动图、事件多维分析图、资产拓扑图等。
3.2.2安全隐患预警与处置
采用主动管理方式,能够在威胁发生之前进行事前安全管理。主要提供安全威胁预警管理、主动漏洞扫描管理、主动攻击测试等方式配合进行安全核查。
安全威胁预警管理,用户可以通过预警管理功能内部及外部的早期预警信息,并与资产进行关联,分析出可能受影响的资产,提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。
主动漏洞扫描管理,能够主动地、定期自动化地发起漏洞扫描、攻击测试等,并将扫描结果与资产进行匹配,进行资产和业务的脆弱性管理。
配合安全检查管理,够协助运维管理人员建立安全配置基线管理体系,实现资产安全配置检查工作的标准化、自动化,并将其纳入全网业务脆弱性和风险管控体系。
3.2.3告警管理
为了全面的收集各类事件告警,系统应提供所有事件告警的统一管理。
(1)告警内容
告警内容包含事件的节点、类型、级别、位置、相关业务等,帮助运维人员在收到故障报警时能够迅速了解故障相关的资源、人员、业务等信息,快速作出反应。
(2)告警处理
系统需要针对各业务系统涉及it资源环境进行实时故障处理。它能从主机和业务系统的各个环节收集事件信息,通过对这些信息的过滤、处理、关联,分递给相关人员,使得最重要的故障能够优先地被关注及处理。
告警消息能按照应用类别、消息种类、消息级别和处理岗位进行分类处理。消息种类可分为:操作系统、数据库、中间件、存储、硬件、应用、安全和网络等。
(3)告警
能对告警级别进行自定义,根据级别确定电话告警,短信告警,邮件告警的方式进行报警。
3.2.4风险管理
信息安全风险管理工作是在安全信息分析与处理功能的基础上进行信息安全风险评估、信息安全整改任务等工作。
信息安全风险评估,根据安全信息分析结果开展风险评估流程,将风险评估结果形成丰富而详细的图形及报表。
信息安全整改,将信息安全风险评估信息汇总,归并各个部门需处置的信息安全风险,进行集中处置工作并进行整改落实情况分析。
4结论(Conclusion)
建立以资产管理为基础,项目管理为纽带,以信息系统为核心,建立对it业务的全生命周期的完整管理,从状态监控、行为审计、风险评估、服务管理四个维度建立起来的一套适合安全运维工作需求的统一业务支撑平台,使得各类用户能够对系统的关联性、健康性、可用性、风险性、连续性、安全性等多维度进行精确度量、分析评估,实现事后运维向事中运维以至向事前防范的转变,最终实现信息系统的持续安全运营。
参考文献(References)
[1]景义琼.基于itiL的网络运维管理系统的设计与实现[D].复
旦大学,2010:15-18.
[2]李荣华.基于itiL的it运维管理系统的设计与实现[D].北京
邮电大学,2010:13-15.
[3]李长征.电子政务运维管理的关注因素[J].信息化建设,2009
(02):1-2.
信息安全行业分析报告篇4
【关键词】管理决策内部信息控制措施
信息资源是一个企业赖以生存的重要因素之一,它贯穿于企业进行管理决策、控制及日常运作的整个过程。信息的有效沟通和传递为企业内部控制活动的实施提供可靠的前提和保障。财政部等五部委专门制定了《企业内部控制应用指引第17号――内部信息传递》,以促进企业信息传递制度的建立,保障生产经营管理信息在内部各管理层级之间的有效沟通和充分利用。
一、内部信息传递控制概述
企业所需的信息主要是指能够反映企业生产运营状况,并为企业的决策与控制以及日常运营管理提供支持的资源。信息在企业内部进行有目的地传递,对于制定与实施企业发展战略、识别与防控风险、保证企业生产经营有序运行具有重要作用。
企业内部信息的传递,是服务于企业生产经营管理决策,因此,内部信息传递的对象仅限于企业内部的管理层。企业内部管理层按照职责与权限一般分为高层管理者、中层管理者和基层管理者三类。每层管理者由于权限与职责不同,其所需要的信息和所应知悉的信息也有所不同。高层管理人员需要大量内部和外部的,与组织未来发展有关的信息;中层管理人员需要来自本部门以及相关部门的大量内部信息,以及少量的与业务相关的、关乎组织未来的外部信息;基层管理人员更多需要来自操作层和本部门的内部信息,对与组织未来相关的信息需求较少。
信息贯穿于整个管理决策与控制过程的始终,企业各职能部门在履行各自职责分工时,都需要进行信息收集、分析、使用和传递,进行决策与控制。这就导致了有的部门既是信息供应者又是信息处理者和使用者。众多部门参与内部信息传递,既可能发生重复劳动,浪费人力资源,又可能使部门信息称为“孤岛”,不能为其他部门所共享,还有可能“各自为政”,影响企业信息化水平的提高。因此有必要建立比较完善的内部信息传递体系。目前比较完善、应用也比较广泛的内部信息传递体系是矩阵式内部信息传递体系,该体系强调各部门协调配合,明确各部门的信息管理职责,统一管理、分级负责、分工协作。在部门设置上,针对信息管理需求,设立信息化管理委员会、信息中心以及总经理办公室,分别履行不同职责,更好的完成内部信息的传递。
二、内部信息传递流程与主要风险
(一)内部信息传递流程
内部信息传递是企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。内部信息传递流程要根据企业生产经营的特点、组织架构、职责分工而定。一般来说,内部信息传递可以分为内部报告形成、内部报告使用和内部报告考评三个阶段,包括内部报告需求调研分析、设置内部报告指标体系、收集信息、整理分析信息、编制内部报告、审核内部报告、内部报告的流转、使用内部报告、评估内部报告、绩效评价与奖惩十个环节。各项内容之间相互关联、相互作用、相互衔接,并周而复始地循环,从而实现对企业所有经济活动的科学管理与有效控制。
(二)内部信息传递的主要风险
企业进行内部信息传递至少应该关注以下三项主要风险:
1.内部报告系统缺失、功能不健全、内容不完整,可能影响生产经营有序运行。通过内部报告的传递,满足企业决策与控制需要,从而使得企业内外部资源进行有效整合,促进企业生产经营活动的有序运行。如果内部报告系统缺失、不健全、内容不完整,企业管理者就无法充分获取所需要的相关信息,企业的资源配置将失去信息支持,企业管理所具有的计划、组织、指挥、协调与控制功能将无法实现,企业的机遇将会丧失,企业生产经营的有序运行可能会受到影响。
2.内部信息传递不通畅、不及时,可能导致决策失误、相关政策措施难以落实。在日趋激烈的竞争环境中,能否及时作出准确、恰当的决策对企业的发展甚至存亡至关重要。这就要求内部信息顺畅、及时地进行传递,保证相关决策人员及时获取所需的信息并对信息进行处理和利用。如果企业政策措施落实过程中相关信息的传递和反馈受阻,必然影响控制的效果,相关政策措施就难以落实。
3.内部信息传递中泄露商业秘密,可能削弱企业核心竞争力。内部信息一旦泄露,就可能被竞争对手利用,削弱自身的核心竞争力,从而导致企业丧失相对竞争优势,或者丧失机遇。
三、内部信息传递的控制措施
为了让信息在企业内部更安全、快速、有效的传递,合理的规避风险,应当从信息传递的各个环节都进行适当的控制,保证信息传递的质量。具体来说,可以从以下几个方面进行控制。
(一)内部报告指标体系设置
内部报告指标体系设置是内部信息传递的起点,也是内部信息传递的关键环节。因此,在设置指标体系时要根据发展战略、风险控制和业绩考核要求,合理设置关键信息指标和辅助信息指标,并及时进行补充和完善。这就要求在设置指标体系时,要进行深入的信息需求分析,同时与全面预算相结合,使指标的设置符合企业整体利益,满足企业长期发展以及战略管理的需要,实现资源的有效配置和管理的协同效应。逐步建立内部报告指标动态调整机制,及时调整和完善内部报告指标体系。
(二)信息收集环节
信息的收集贯穿于整个生产经营活动过程的始终,有助于企业随时掌握市场情况、政策变化等,因此信息的收集要准确、适用、及时、经济。这就要求在此环节,首先要制定切实可行的收集计划,按照信息收集的目的和要求设计出合理的收集提纲和表格,按不相容职务相互分离的原则安排专门人员对信息进行审核和鉴别,以调查报告、数据图表等形式把获得的信息整理出来,进行对比分析和评价,保证信息质量。
(三)内部报告编制环节
收集的信息要形成高质量的内部报告,为企业的战略规划、前景预测等提供重要的分析指导和保障,因此报告要尽量客观准确、简洁易懂、及时有效。为此,在编制报告环节首先要对收集的信息进行适度的加工,去伪存真、去粗存精,使信息简明扼要、条理清晰。让企业不同层级的管理人员合理的参与报告的编制,从而明确信息使用者的需求,形成准确、适用的报告。最后,应当委派专门人员对其传递过程进行复核,确保信息正确的传递给使用者。
(四)内部信息传递环节
内部信息传递是信息资源价值得以实现的重要条件。报告形成以后,要及时、有效、安全的进行传递,明确传递对象,有选择性和针对性的传递到需要的用户手中。因此,企业可根据信息的重要性、内容等特征,确定流转环节,明确传递责任和传递方式、规定传递时限、界定查阅权限,对内部报告的流转应做好记录,出现问题及时查明原因,做出处理,充分利用信息技术,选择恰当的信息传递方式,建立用户身份识别,关键流程中设置适当的职权分离,加强管控,确保信息安全。
(五)内部报告使用环节
能够充分发挥信息的作用,信息的传递才有意义。在报告的使用环节,要保障信息使用的充分、有效、及时、保密。因此,企业可以通过效益指标的考核,间接促使企业管理层充分利用相关信息。完善监督机制,明确风险防范责任,发挥信息反馈作用。严格内部报告保密制度,建立内部报告保管制度。
(六)内部报告评估环节
内部报告的评估是企业内部信息传递的最后一个环节,是对内部报告从形成到使用整个过程的综合评价。如果缺少了评估环节,可能导致各种程序和相关制度得不到执行和遵守,内部信息传递体系的建设就会流于形式。因此,建立科学合理的内部报告的评估制度,定期组织对内部报告的形成和使用情况进行全面评估,重点关注内部报告的及时性、安全性和有效性。对制定的评估制度要严格执行,严格奖惩机制,发现问题的,及时修订和完善。
(七)反舞弊环节
信息安全行业分析报告篇5
[关键词]XBRL;分类标准;实例文档
doi:10.3969/j.issn.1673-0194.2015.05.045
[中图分类号]F230[文献标识码]a[文章编号]1673-0194(2015)05-0082-04
XBRL是商业和财务数据电子化交流的一种语言,它为企业在互联网上编制、存储、财务报告和其他信息提供了一种标准化的方法,这样XBRL就为财务数据的提供者节约了成本,提高了效率,同时企业财务数据的使用者也能高效、可靠、准确地获得相关信息。XBRL作为一种新的财务数据披露技术,使会计理论界和实务界都受到很大影响,这一影响将会向全球逐步蔓延。
1XBRL技术介绍
XBRL利用XmL技术标准,依据其技术规范和分类标准,将财务报告内容分解成不同的元素,然后对元素赋予唯一的数据标记,从而提供给信息使用者标准化的的信息。XBRL主要由技术规范(Specifications)、分类标准(taxonomy)、实例文档(instanceDocuments)、样式单(StyleSheets)4个方面组成。
1.1XBRL技术规范
XBRL技术规范是XBRL的基础,是用来创建XBRL分类标准和其他XBRL文件的技术性解释。XBRL技术规范、修改等工作一般由XBRL指导委员会负责,在XBRL技术规范方面,XBRL指导委员会先后推出了XBRLSpecification1.0,Specification2.0及Specification2.1等标准,其中最新版本Specification2.1无论从易用性还是从扩展性上都要好于之前的两个规范版本。
1.2分类标准
XBRL分类标准是XBRL技术中最重要的部分,它定义了财务报告中要使用的各个财务报告元素及其属性,同时还定义了各种关系。XBRL分类标准由两部分组成:模式文件(Schema)和链接库文件(Linkbase)。模式文件主要是定义分类标准中的概念和概念的属性。链接库文件主要定义在模式文件中的元素之间的关系。XBRL分类标准的研究、制定、推广应用和修订工作主要是由XBRL指导委员会以及各成员国相关组织负责完成,主要目的就是为企业提供一个范本,是生成实例文档的关键。各国可以参照该分类标准制定适合本国企业的分类标准。目前,XBRL指导委员会制定的最新分类标准是iFRS―Gp分类标准。该分类标准旨在允许盈利性公司根据国际财务报告准则生成基于XBRL的中期和年度财务报告,对主要财务报表、会计政策和公开性解释所涉及的项目用XBRL来表示。
1.3实例文档
XBRL实例文档是依据XBRL技术规范和分类标准,对企业财务数据运用分类标准标记后的具体财务报告实例的集合。
1.4样式单
样式单用于定义财务报告时的显示项目和格式。通过使用样式单,可以将财务信息呈报为阅读性很强的各种类型财务报表。
2国内外XBRL进展
2.1国外XBRL进展
以美国为例,美国是XBRL的诞生地,1998年,XBRL由美国注册会计师查尔斯・霍夫曼首次提出,美国注册会计师协会为此成立了专门委员会,并为XBRL的发展和研究提供资金支持,而且在标准制定和应用推广上美国都位于世界前列。其发展情况见表1。
2.2国内XBRL进展
在我国,2002年,中国证监会就组织上海证券交易所、深圳交易所联合软件公司对XBRL开展研究,并于2003年底颁布了上市公司信息披露标准,明确提出引用XBRL作为这一规范的技术体系。发展情况见表2。
表2中国XBRL进展情况
3我国推广应用XBRL中存在的问题
3.1XBRL的应用模式亟待改进
目前XBRL的应用主要有两种模式:一种是从企业信息系统中获取财务数据,根据企业具体情况,编制一系列分类标准文件,然后依据具体实例数据形成实例文件;另一种是有预置的固定分类标准文件模板,根据企业具体的财务数据情况,填写相应的实例数据,最后生成报表。事实上,这两种方式并没有把XBRL的优势充分发挥出来,显得比较笨拙和不安全。并且不管是通过以上哪种方式转换生成的XBRL财务报告,并没有经过再次审计。目前上市公司的由pDF等格式文档转换后的XBRL财务报告中经常有错误出现,甚至是一些比较低级的错误,比如资产负债表不平衡等情况。
3.2XBRL信息安全性缺乏保障
XBRL财务信息的和使用要有一个开放平台才能发挥其最大优势,这不可避免地就会使XBRL数据安全问题更加严峻。基于网络的XBRL系统信息资源是透明、开放与共享的,如果没有切实有效的网络安全保障措施,企业就会面临信息外泄、截取、篡改等问题,从而使企业在市场竞争中处于被动和不利地位。所以,网络安全问题也是一直阻挠着XBRL网络财务报告普及和发展的重要原因。
3.3缺少明确的样式单
实例文档中的数据只有在样式单的帮助下才能够变成可阅读的报告。样式单中包含了可以将XBRL实例文档以多种形式显示的表现和转换规则,这就造成针对同一个XBRL实例文档,由于选择了不同的样式单,而产生不同类型的报告,并且可以为特定的信息使用者量身打造其专门的报告。但是目前XBRL国际组织只是推荐了样式单的编辑语言XSLt(eXtensileStylesheetLanguagetransformation),还没有明确的样式单存在。这样就容易造成同类型信息因为样式单规则不同而生成不同类型的财务报告,从而不便于进行比较分析。
3.4缺乏完善的配套XBRL软件
从基础数据导入系统,利用分类标准文件对数据进行拆分和组织,然后生成实例文档,再把实例文档通过样式单转化成各种报表的输出,以及信息使用者对XBRL信息的提取和分析,这些都离不开XBRL程序和软件的支持。由于这个行业的新兴性,目前我国对XBRL软件开发的企业不多,虽然已经出现相关的XBRL软件,但是还非常的不成熟,跟XBRL的应用要求存在较大的差距,操作性较差。出于自身的需要,上海证券交易所和深圳证券交易所开发的相应应用系统,相对来说对XBRL的实施取得了重要推动作用,但是距离市场化相差甚远,且双方标准不统一。
3.5企业实施XBRL技术积极性不足
企业实施XBRL技术,前期的投入是比较大的,比如相关软件的购买或开发、人员的新增和培训,以及XBRL的实施对企业原有业务流程的影响,这些都是实实在在的投入成本,但与之相应的收益却是短时间很难看到的,所以很多企业目前在没有尝到XBRL技术甜头的情况下,认为实施XBRL技术是多此一举。另外企业对XBRL技术认识不足,又担心实施XBRL后可能导致企业信息过度披露,所以企业实施XBRL的积极性不足。
4我国推广应用XBRL的对策
4.1构建独立的XBRL网络财务信息平台
随着信息系统的不断完善,基于XBRL报表的功能可以独立出来,形成一个以XBRL数据为中心的信息平台,为XBRL信息使用者提供多种获取和分析接口。通过XBRL信息平台,对于各种报表使用者,都有着统一的信息系统入口,这样使其提取有用信息更加便捷,分析信息更加高效;对于报表提供者,其原有系统不仅不需要改变,而且其财务数据也不会因放开权限而遭破坏。所以,独立的XBRL网络财务信息平台的构建,是非常可行和必要的。企业财务信息内外部使用者较多,他们对财务信息的需求也是多种多样的,根据不同信息使用者的不同需求,基于XBRL的网络平台可以分层次提供信息披露和使用。另外,鉴于XBRL财务信息平台的数据体系会比较庞大,参与的单位组织也比较多,因此,政府部门最好能牵头维护,这样企业财务的准确性和合法性才能更好地得到保障。另外,仍要对pDF等格式文档转换后的XBRL财务报告进行再审计,但审计的内容主要是XBRL财务报告与pDF披露数据的一致性,所以工作量并不大。
4.2构建多层次的信息安全体系
在推行XBRL的过程中,可以通过构建多层次的信息安全体系来保证XBRL财务报告信息的安全。具体措施有:①保密性设置,由于XBRL的和使用主要是通过网络传递来实现的,那么信息在网络传递过程中的安全非常重要,可以对需要进行网络传递的XBRL财务报告信息设置一定密码加强保护,这种加密处理是对XBRL数据防护的主要措施。目前,常用的加密方法主要有:通信协议加密和数据秘钥加密。数据加密的对象可以是整个XBRL文档,也可以是XBRL文档中的某个元素。②授权设置,赋予不同信息使用者不同的报告阅读权限;③数据完整性保证设置。除此之外,为了保护XBRL数据安全完整,还可以采用数字签名的方法加强数据保护。数字签名实际上数据加密的扩展应用,它可以通过发件人的验证信息保证端到端的消息安全完整性,利用数字签名,收件人可验证获取的消息与发件人原本发送的消息是否一致。数字签名的对象是一系列XBRL元素,定义签名的元素可以通过很多形式在任何XBRL文档中,比如内嵌在XBRL文档中。在XBRL文档中原始内容的某个字节被修改的情况下,签名验证将会失败。④对数据进行强行备份设置,对要和传递的信息做好强制备份设置,以备传输数据遭到破坏后,还能找到完整的数据信息。⑤安全维护设置,启动防火墙设置,做好预警工作,及时进行病毒查杀和清理,定期升级更新杀毒软件,有效抵御非法入侵XBRL系统的黑客、病毒。
4.3加快配套XBRL软件建设
目前XBRL软件情况实际上是市场需求缺失的体现,所以相关政府部门要给予全面的指导和帮助,让软件开发企业充分意识到XBRL相关软件开发会给企业带来的长远利益。首先,政府可以给予XBRL软件开发企业税收优惠等政策上的帮助,并鼓励XBRL软件在企业中实践;其次,政府相关部门可以对XBRL软件产业给予引导,使XBRL软件市场环境逐步开放;再次,政府相关部门应指导软件开发企业严格按照我国XBRL相关规范要求开发XBRL相关应用软件,并根据相关新规范的调整适时更新;最后,XBRL软件开发企业还应该开展XBRL理论和实务相关培训。
4.4完善相关样式单
除此之外,样式单实质上是一种应用程序,这种程序可以将信息呈报为特定或各种格式,由于样式单的开发可以由不同的软件供应商完成,所以同种信息由于样式单不同而产生不同的报告。因此,政府部门可以指导不同软件公司对于同类信息使用者需要的同类信息产生设计同样的样式单,从而可以方便信息使用者对不同公司的各种财务报告进行分析。
4.5加大对XBRL的宣传,采取激励措施
相关政府部门应该成立专门的XBRL推广小组,可以通过借助媒体力量对XBRL进行大力宣传,如将一些XBRL成功案例,特别是其取得的收益,通过网络、电视、报纸、杂志等进行宣传,为众多企业树立标杆,让企业充分认识到实施XBRL会给自己带来长期效益。另外,政府可以采取一些激励措施来推进XBRL的应用,比如,政府可以对最先应用和实施XBRL的企业和个人加以物质或荣誉奖励,还可以给予以税收等一些政策上的优惠,进而吸引更多的企业和个人认识和重视XBRL,推动XBRL的应用。
主要参考文献
[1]高锦萍,张天西.XBRL财务报告分类标准评价[J].会计研究,2006
(11):24-29.
[2]陈小林,袁德利.XBRL财务报告中审计信息的披露设计[J].会计之友,
2009(35):10-13.
[3]旷彦昌.我国目前应用与发展XBRL的对策研究[J].价值工程,2011
(30):149.
[4]张天西.XBRL财务报告:理论、规范及应用[m].北京:经济科学出版
社,2010:10-16.
[5]陈文军,周超.关于加快XBRL在我国推广应用的深层次思考[J].中国
管理信息化,2010(13):4-7.
[6]Debreceny,etal.FinancialReportinginXBRLontheSeC′seDGaR
信息安全行业分析报告篇6
2.我国XBRL人才欠缺XBRL技术属于一门交叉性学科,要求操作人员必须具备财务和计算机两个方面的专业技能,既能够熟练掌握XBRL软件的运用,进行财务工作,编制财务报表,又能够对XBRL软件进行日常的维护和完善,但对这两项学科都掌握精通的复合型人才并不充裕,这无疑是对企业的财会人员和信息技术人员的能力提出了更为严苛的要求。XBRL技术是一门新兴的学科,对于所有人来说都是一个几乎未曾接触的概念。我国精通XBRL技术的权威人才稀缺,大学内也缺乏相关领域的教授对其进行教学和传播,也缺乏实践的条件和机会。但不仅仅是缺乏技术运用方面的人才,同时也缺乏软件开发设计方面的人才。
3.我国XBRL技术水平低我国的XBRL技术发展不够成熟,技术水平较低。虽然理论上已经证明了XBRL技术的诸多优点,但想在实践过程中全面推广仍具有一定的难度。要想在我国快速广泛的推广XBRL,不仅需要财务人员和技术人员方面的人才支持,也同样需要软件开发商为企业提供一个更好的平台,提供技术方面的支持,让传统的网络财务报告模式能够快速的转化为基于XBRL的网络财务报告模式。就我国目前的情况来看,我国目前独立开发XBRL系统软件的水平与美国等国家之间还具有很大的差距,想要达到完备的水平还有很大的提升发展空间,这成了XBRL在我国发展的主要障碍。运用XBRL技术的企业非常少,发展迟缓,甚至几乎陷入停滞。这就是由于缺乏好的运行的基础以及先进技术的支撑,并且缺乏经验,没有过硬的技术,我国多个领域的发展就都会受到制约,各个行业都将依赖有关XBRL的应用软件提供支撑,以保证财务信息链上的每个使用者能够更好地对财务信息进行了解、分析和交流。因此,XBRL技术迫切的需要升级,也需要政府的投资和支持。4.政府支持不足政府支持是关于基于XBRL的网络财务报告在我国发展的一项重要外部因素。我国相关领域人才较少,政府重视和宣传力度不够,对技术支持和人才培养的资金投入也不够,国内并没有形成使用基于XBRL的网络财务报告的良好氛围。如若政府对基于XBRL的网络财务报告要求强制使用,其实并不能达到推广其的效果。只有政府加大技术和人才投资,让XBRL完备发展,同时加强宣传和文化渗透,必须让企业管理层和各个利益相关者真正了解到基于XBRL的网络财务报告所带来的好处,让其从内心愿意接受,才能够达到推广普及的作用,从而推动XBRL市场的蓬勃,激发市场活力。三、完善基于XBRL的网络财务报告应用的建议(一)提高企业的认识度和积极性企业在XBRL的应用推广中扮演者最重要的角色,是关键所在。企业或许会因为最初投入使用基于XBRL的网络财务报告中遇到一些问题,甚至投入和收益不成正比,但企业应当从长远利益的角度出发,却学会接纳一个新兴的事物。在国内外推动发展XBRL的大趋势下,基于XBRL的网络财务报告会更广泛更普遍地运用到财务工作中,企业若能够拥有核心的XBRL技术,将能够大大提升企业的竞争力。
企业管理层应将推动基于XBRL的网络财务报告的发展列入企业发展战略中去,以更好的顺应时代的潮流。会计信息化需要更加开放的、完备的信息系统,需要企业能够利用现代信息技术自动的生成报送基于XBRL的网络财务报告,企业管理层应当突破思维局限,达到这一认知。同时企业应当对财会人员加强业务和知识的培训,可适当的进行激励机制,形成学习XBRL的良好氛围。对于国家出台的关于XBRL的相关政策,企业也当积极作出响应,并在实施的过程中进行实时的反馈和改善。对于一切国外或其他企业的成功案例,企业也可结合自身的情况对其进行借鉴。
(二)加强复合型人才培养为了推动XBRL技术在我国企业中更好的普及,我国迫切的的需要扩充人才储备,要培养更多的同时具备财会知识和互联网计算机知识的人才。对于许多上市公司来说,人才的匮乏使得在推进开展XBRL工作时有心无力。会计人员应当要具备编制基于XBRL的网络财务报告的能力,也能够通过XBRL对财务数据和财务信息进行分析,提出合理化管理建议。上交所在试点XBRL的项目中,开发并向企业提供了免费的软件及平台。但许多企业的财务人员几乎是在不了解的情况下将财务数据单一的嵌入模板完成编制,出现了许多错误。因此,企业应当重视对XBRL复合型人才的培养,对于财务人员,熟识会计通用准则及XBRL通用分类标准和技术规范是基础能力,还有具备根据自身企业或行业的特征对分类标准进行合理扩展的能力。企业要将人才战略作为公司战略的一部分,并积极招纳引进相关领域的人才,做好人才储备工作。
信息安全行业分析报告篇7
关键字:入侵检测;协议分析;模式匹配;智能关联a
1引言
入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术,它对计算机和
网络资源上的恶意使用行为进行识别和响应,不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。但是随着网络入侵技术的发展和变化以及网络运用的不断深入,现有入侵检测系统暴露出了诸多的问题。特别是由于网络流量增加、新安全漏洞未更新规则库和特殊隧道及后门等原因造成的漏报问题和iDS攻击以及网络数据特征匹配的不合理特性等原因造成的误报问题,导致iDS对攻击行为反应迟缓,增加安全管理人员的工作负担,严重影响了iDS发挥实际的作用。
本文针对现有入侵监测系统误报率和漏报率较高的问题,对几种降低iDS误报率和漏报率的方法进行研究。通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络
安全的运行。
2入侵检测系统
入侵是对信息系统的非授权访问及(或)未经许可在信息系统中进行操作,威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自外界对攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行非法访问,入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统iDS(intrusionDetectionSystem)是从多种计算机系统机及网络中收集信息,再通过这些信息分析入侵特征的网络安全系统。
现在的iDS产品使用的检测方法主要是误用检测和异常检测。误用检测是对不正常的行为进行建模,这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方法主要是模式匹配,即将每一个已知的攻击事件定义为一个独立的特征,这样对入侵行为的检测就成为对特征的匹配搜索,如果和已知的入侵特征匹配,就认为是攻击。异常检测是对正常的行为建模,所有不符合这个模型的事件就被怀疑为攻击。现在异常检测的主要方法是统计模型,它通过设置极限阈值等方法,将检测数据与已有的正常行为比较,如果超出极限阈值,就认为是入侵行为。
入侵检测性能的关键参数包括:(1)误报:实际无害的事件却被iDS检测为攻击事件。(2)漏报:攻击事件未被iDS检测到或被分析人员认为是无害的。
3降低iDS误报率方法研究
3.1智能关联
智能关联是将企业相关系统的信息(如主机特征信息)与网络iDS检测结构相融合,从而减少误报。如系统的脆弱性信息需要包括特定的操作系统(oS)以及主机上运行的服务。当iDS使用智能关联时,它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞,iDS将抑制告警的产生。
智能关联包括主动和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助操作系统的指纹识别技术,即通过分析ip、tCp报头信息识别主机上的操作系统。
3.1.1被动指纹识别技术的工作原理
被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的tCp、ip报头信息,另一个是特征数据库中的目标主机信息,通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口(winDowSiZe)、数据报存活期(ttL)、DF(dontfragment)标志以及数据报长(totallength)。
窗口大小(wsize)指输入数据缓冲区大小,它在tCp会话的初始阶段由oS设定。数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的ttL值可以代表不同的操作系统(oS),ttL=64,oS=UniX;ttL=12,oS=windows。DF字段通常设为默认值,而openBSD不对它进行设置。数据报长是ip报头和负载(payload)长度之和。在SYn和SYnaCK数据报中,不同的数据报长代表不同的操作系统,60代表Linux、44代表Solaris、48代表windows2000。
iDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如ttL=64,初步判断oS=Linux/openBSD;如果再给定wsize的值就可以区分是Linux还是openBSD。因此,(ttL,wsize)就可以作为特征库中的一个特征信息。3.1.2被动指纹识别技术工作流程
具有指纹识别技术的iDS系统通过收集目标主机信息,判断主机是否易受到针对某种漏洞的攻击,从而降低误报率。
因此当iDS检测到攻击数据包时,首先查看主机信息表,判断目标主机是否存在该攻击可利用的漏洞;如果不存在该漏洞,iDS将抑制告警的产生,但要记录关于该漏洞的告警信息作为追究法律责任的依据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。
3.2告警泛滥抑制
iDS产品使用告警泛滥抑制技术可以降低误报率。在利用漏洞的攻击势头逐渐变强之时,iDS短时间内会产生大量的告警信息;而iDS传感器却要对同一攻击重复记录,尤其是蠕虫在网络中自我繁殖的过程中,这种现象最为重要。
所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。iDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样。网管人员可以专注于公司网络的安全状况,不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源ip、目的ip以及时间窗大小)融入到iDS传感器中,使传感器能够识别告警饱和现象并实施抵制操作。有了这种技术,传感器可以在告警前对警报进行预处理,抑制重复告警。例如,可以对传感器进行适当配置,使它忽略在30秒内产生的针对同一主机的告警信息;iDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。
3.3告警融合
该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息,这有助于解决误报和漏报问题。当与低级别警告有关的条件或规则满足时,安全管理员在iDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件,如果单独考虑每次扫描,可能认为每次扫描都是独立的事件,而且对系统的影响可以忽略不计;但是,如果把在短时间内产生的一系列事件整合考虑,会有不同的结论。iDS在10min内检测到来自于同一ip的扫描事件,而且扫描强度在不断升级,安全管理人员可以认为是攻击前的渗透操作,应该作为高级别告警对待。例子告诉我们告警融合技术可以发出早期攻击警告,如果没有这种技术,需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆;而通过设置元警告相关性规则,安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义参数包括时间窗、事件数量、事件类型ip地址、端口号、事件顺序。
4降低iDS漏报率方法研究
4.1特征模式匹配方法分析
模式匹配是入侵检测系统中常用的分析方法,许多入侵检测系统如大家熟知的snort等都采用了模式匹配方法。
单一的模式匹配方法使得iDS检测慢、不准确、消耗系统资源,并存在以下严重问题:
(1)计算的负载过大,持续该运算法则所需的计算量极其巨大。
(2)模式匹配特征搜索技术使用固定的特征模式来探测攻击,只能探测明确的、唯一的攻击特征,即便是基于最轻微变换的攻击串都会被忽略。
(3)一个基于模式匹配的iDS系统不能智能地判断看似不同字符串/命令串的真实含义和最终效果。在模式匹配系统中,每一个这样的变化都要求攻击特征数据库增加一个特征记录。这种技术攻击运算规则的内在缺陷使得所谓的庞大特征库实际上是徒劳的,最后的结果往往是付出更高的计算负载,而导致更多的丢包率,也就产生遗漏更多攻击的可能,特别是在高速网络下,导致大量丢包,漏报率明显增大。
可见传统的模式匹配方法已不能适应新的要求。在网络通信中,网络协议定义了标准的、层次化、格式化的网络数据包。在攻击检测中,利用这种层次性对网络协议逐层分析,可以提高检测效率。因此,在数据分析时将协议分析方法和模式匹配方法结合使用,可以大幅度减少匹配算法的计算量,提高分析效率,得到更准确的检测结果。超级秘书网
4.2协议分析方法分析
在以网络为主的入侵检测系统中,由于把通过网络获得的数据包作为侦测的资料来源,所以数据包在网络传输中必须遵循固定的协议才能在电脑之间相互沟通,因此能够按照协议类别对规则集进行分类。协议分析的原理就是根据现有的协议模式,到固定的位置取值(而不式逐一的去比较),然后根据取得的值判断其协议连同实施下一步分析动作。其作用是非类似于邮局的邮件自动分捡设备,有效的提高了分析效率,同时还能够避免单纯模式匹配带来的误报。
根据以上特点,能够将协议分析算法用一棵协议分类树来表示,如图2所示。这样,当iDS进行模式匹配时,利用协议分析过滤许多规则,能够节省大量的时间。在任何规则中关于tCp的规则最多,大约占了50%以上,因此在初步分类后,能够按照端口进行第二次分类。在两次分类完成后,能够快速比较特征库中的规则,减少大量不必要的时间消耗。如有必要,还可进行多次分类,尽量在规则树上分叉,尽可能的缩减模式匹配的范围。
每个分析机的数据结构中包含以下信息:协议名称、协议代号以及该协议对应的攻击检测函数。协议名称是该协议的唯一标志,协议代号是为了提高分析速度用的编号。为了提高检测的精确度,可以在树中加入自定义的协议结点,以此来细化分析数据,例如在Http协议中可以把请求URL列入该树中作为一个结点,再将URL中不同的方法作为子节点。
分析机的功能是分析某一特定协议的数据,得出是否具有攻击的可能性存在。一般情况下,分析机尽可能的放到树结构的叶子结点上或尽可能的靠近叶子结点,因为越靠近树根部分的分析机,调用的次数越多。过多的分析机聚集在根部附近会严重影响系统的性能。同时叶子结点上的协议类型划分越细,分析机的效率越高。
因此,协议分析技术有检测快、准确、资源消耗少的特点,它利用网络协议的高度规则性快速探测攻击的存在。
5结束语
本文对几种降低iDS误报率和漏报率的方法进行分析研究,通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络安全的运行。由于方法论的问题,目前iDS的误报和漏报是不可能彻底解决的。因此,iDS需要走强化安全管理功能的道路,需要强化对多种安全信息的收集功能,需要提高iDS的智能化分析和报告能力,并需要与多种安全产品形成配合。只有这样,iDS才能成为网络安全的重要基础设施。
参考文献:
[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002(6):28-32.
[2]唐洪英,付国瑜.入侵检测的原理与方法[J].重庆工学院学报,2002(4):71-73.
[3]戴连英,连一峰,王航.系统安全与入侵检测技术[m].北京:清华大学出版社,2002(3).
[4]郑成兴.网络入侵防范的理论与实践[m].北京:机械工业出版社,2006:48-56.
信息安全行业分析报告篇8
关键词互联网名誉侵权用户隐私权媒体责任
作者简介:任俊媛,北京理工大学。
上海徐汇区法院对该案进行了审理并作出一审判决,该判决按照名誉侵权构成要件认定被告每日经济新闻报社有限公司等被告侵权行为成立,判令停止销售侵权的当期报纸,删除其网站上所有涉案报道与授权转载链接,并赔偿150万元。《最高人民法院关于审理名誉权案件若干问题的解释》(1998)也指出新闻单位报道的主要内容失实,损害其名誉的,应当认定为侵害名誉权。笔者赞同法院的认定构成名誉侵权。更多的是,该案对名誉侵权情形认定过程中双方的陈述引发了笔者对此案的进一步思考。
奇虎360诉每日经济新闻报社有限公司案折射出来的不仅仅是名誉权侵权的问题,从法院的判决书争议点来看,笔者认为如下几点值得思考:
一、互联网大数据时代用户隐私权保护的范围
涉案报道称360通过在其安全产品中留有后门和插件,盗取用户隐私,将用户的证券期货账号密码上传到其服务器,引起证券公司的惊慌和自卫行为。最终被法院认定为不实报道诋毁原告且误导消费者构成损害原告名誉的情形。由此点折射出来的是在互联网时代何为用户隐私,其范围又如何?
如今人们在网络社会可进行的活动越来越多,发表言论、拥有虚拟账号、进行交易、浏览新闻视频等等,由于网络的特殊性,一旦上网就会不自觉的留下“痕迹”,留下不少自己的用户信息。同时,互联网的发展使得用户信息越来越有价值,在互联网大数据时代,用户隐私权除了固有的人身属性,其财产属性也正在加强。不仅体现在用户通过其个人账号进行交易行为并逐步建立信用,也体现在互联网经验者通过统计用户的上网偏好以及浏览信息的类别来进行精准的定位广告投放。谈到用户隐私,在互联网预警下主要包括了用户信息,何为用户信息?
为落实《全国人大常委会关于维护互联网安全的决定》而于2013年制定的《电信和互联网用户个人信息保护规定》,其中对于用户个人信息定义是指“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。
笔者认为随着互联网技术的发展,特别是大数据时代中关于用户信息二次(多次)处理技术的发展,电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户各类信息如操作信息与用户身份、隐私信息的技术关联度越来越强,用户的身份与行为也越来越容易被识别,那么用户隐私权所保护的范围也应随之扩大,不仅包括那些直接反映用户姓名身份证账号等信息,还包括那些用户的上网过程记录信息,这些信息与ip等信息结合非常容易判断用户的身份,也包括通过程序可获取的存储在用户个人电脑硬盘的信息,互联网产品提供者在获取这些信息时需要对用户做出明确的申明并获得用户的同意。
二、互联网信息服务或者产品提供商,特别安全服务、产品的提供商提供服务时涉公共利益问题
在本案中,被告抗辩称原告在网络安全领域拥有市场支配地位并认为其产品的安全问题涉及公共利益,应该纳入公共领域交由公众监督。法院认为原告在该领域不拥有市场支配地位,并认为即使因产品的安全性被而被纳入公众领域需要监督,也是需要正当的监督,对于被告用“癌式扩张”等倾向性描述的不实报道,应构成名誉侵权情形。由被告的抗辩理由折射出互联网王安全服务、产品提供商提供安全服务是否涉及公共利益?
我国《宪法》规定了公民的通信自由和通信秘密权。《侵权责任法》第2条将隐私权明确规定为一项独立的民事权益。目前,据统计我国网民人数有7亿多,由此可见,互联网网络安全及用户隐私不仅仅涉及个体权益,特别是大数据时代,其涉及公共利益、国家安全的问题也将越来越凸显。《互联网信息服务管理办法》、《中华人民共和国计算机信息系统安全保护条例》等相关规定中均体现了对互联网信息服务或者产品提供商的监管,而提供安全服务、产品的公司在提供服务中,通常会对用户的账号信息、交易信息等保护,在保护的过程中收集、使用到的用户信息较之其他普通服务提供而言,数量更多,性质也更为敏感,故笔者认为安全服务、产品提供商应承担更严格的被监管义务,比如在特定安全产品在研发过程中采用的技术需满足国家相关要求,产品上市之前还需要获得相关的销售许可。此外,《电信和互联网用户个人信息保护规定》中还规定了电信业务经营者和互联网信息服务提供者在收集和使用公民个人电子信息时,应当遵循合法、正当、必要的原则并对收集到的个人电子信息负有保密义务。故应更加明确政府监管范围与媒体舆论监督的边界,关于互联网产品或服务是否侵犯了公共利益与用户隐私应该由国家相关行政部门进行监管,媒体的监督应当在理性、客观的范围内进行报道。三、互联网竞争环境下,媒体的责任范围问题
涉案报道分为两个部分一部分针对360产品的技术问题,一部门针对360不正当行为。在技术问题部分,报道引用了身份不明的网络化名人士以及没有软件检测资质的民间组织的表述,表述对360浏览器的运行过程进行了描述,如描述了存在“dll”后缀的文件,“StB”前缀文件,向se.360.cn请求数据包,下载“pe”类型文件,删除“dll”后缀文件等技术现象,并指出这些技术现象是产生了从“后门”中获取用户网银和支付账号信息的技术效果。而对于360的安全产品通过了有软件检测资质的机构的安全检测的信息只字不提,对于360在其《360用户隐私白皮书》对其技术现象的披露分析也未报道。这种倾向性的报道态度引出在互联网竞争环境下,信息传播如此迅速的背景下,媒体所应承担的责任范围?
笔者在此先要明确的是,技术现象不等于技术效果,从技术现象得出技术效果的结论需要充分的论证,尤其在互联网时代,大量的普通用户不是技术专家,无法理解其中的技术原理,容易对这些没有经过论证的侵向性意见误导。从技术现象分析技术效果是非常复杂的,并且会涉及到企业的技术秘密。考虑到分析难度还是分析权限,对于技术现象分析的权威性结论意见应由有权机构作出。从保护用户知情权的角度,媒体应本着客观、严谨、中立的报道态度,让用户客观的了解互联网、了解互联网产品,而不是未经充分论证的分析解读,进行选择性报道从而误导消费者。
此外,《规范互联网信息服务市场秩序若干规定》中明确了竞争规则,互联网信息服务提供者不得捏造、散布虚假事实损害其他互联网信息服务提供者的合法权益,或者诋毁其他互联网信息服务提供者的服务或者产品。因此,互联网媒体的在进行新闻报道时应遵守有关互联网市场秩序的规定,否则应承担相应的法律责任,不能打着娱乐监督的名义任意妄为。
四、互联网企业名誉侵权损害赔偿范围认定问题
该案中,法院在判决被告赔偿原告的经济损失的数额时考虑了如下因素:原告的商标以及原告企业的市值、被告行为造成原告在用户数量和流量方面方面的损失导致了原告的推广费用损失以及广告收入减少、原告品牌声誉的受损、涉案报道的传播范围、新闻媒体的责任限度、原告维权的合理费用等方面。由此可看出,互联网企业不同于传统企业,互联网企业以满足用户需求,获得用户认可而生存的首要前提,尤其是对于提供安全服务的企业,用户的信任更是决定企业发展的关键因素,一旦用户失去了对企业的信任,便会卸载其安全产品。积累用户的信任度对于企业是不容易的,需要不断的挖掘用户的偏好、不断的对产品进行创新,这种积累需要人力、财力、以及时间。而对于信誉的损害是比较容易的,因为绝多数网络用户并不是计算机专业人士,并不了解软件运行的具体情况,非常容易被煽动性的报道误导。故在特殊商业领域的名誉侵权案件中,应结合行业特点对损失范围进行计算,法院考虑原告商标、声誉、用户数量、广告收入等因素是合理的,笔者也比较赞同。
信息安全行业分析报告篇9
【关键词】XBRL;石油企业;财务呈报
XBRL(theextensibleBusinessReportingLanguage)是目前应用于非结构化信息处理尤其是财务信息处理的最新技术。其对财务数据进行了识别和分类,并为财务信息提供了强大的解释和分析平台不仅提高了商业报告的透明度,还提高了数据的安全性。但是,由于其技术性能相对于传统报告模式存在很多差异,导致XBRL环境下石油企业财务呈报出现了许多新的问题。因此我们有必要解决这些问题,为XBRL在我国石油企业的全面发展提供一些依据。
1.XBRL概述
XBRL是互联网企业财务报告编制、(可以采用各种格式)、数据交换和财务报表及所含信息分析的一种标准方法。它以可扩展标记语言XmL为基础,可以为公司提供一个统一的方法在网上标记财务和其他信息;它将计算机技术应用于财务领域,可以实现公司披露的会计信息更方便的检索、分析和使用;通过XBRL,有关数据可以准确地在不同操作系统、不同数据库、不同软件之间传输和交换,提高了财务报告数据交换、搜索、共享等方面的效率[1]。
2.XBRL环境下石油企业财务呈报存在的问题
2.1财务人员XBRL的技术不高
XBRL是网络环境下新兴的技术,其涉及财务、会计、管理、计算机等多门学科,具有很高的学科综合性。我国石油行业的XBRL技术起源于2009年,我国石油企业作为一个大型的集团,包含很多类型的财务人员,大多数财务人员未学习过此技术,他们对XBRL的应用基本停留在肤浅的层面,缺少真正掌握这门技术的专业性人才。因此,我国石油企业在此环境下使用XBRL技术进行财务呈报存在一定的不利因素。
2.2石油企业财务呈报面临着网络安全问题
在我国,石油企业占据重要的位置,对我国经济的发展起着至关重要的作用,其会计信息必然必须受到外界信息使用者的重视,所以信息的安全是至关重要的。只有保证其安全性,我们才可以相信其会计信息的真实性,才可以保证石油企业健康的发展。所以石油企业的网络系统如果遭到破坏,如硬件故障、软件故障、非法操作、计算机病毒等,会使网络系统陷入瘫痪,所披露的会计信息质量在生成XBRL实例文档之前就会受到严重的影响。由于互联网的开放性,网络黑客或竞争对手也可能会非法修改或恶意篡改网上XBRL实例文档。这种不安全主要来自两个方面:
(1)来自石油企业内部的不安全因素
我国石油企业内部环境目前存在一些弊端,其招聘的财务人员多数是内部子弟,他们缺少会计人员应有的素质而且在工作岗位上不负责任。他们会为了自己的利益而做一些不利于企业的事,由此会导致一系列不安全问题的存在。如内部财务人员未经授权的操作,篡改会计数据,商业机密的外泄,导致信息的保密性受损;系统的程序遭到攻击,造成系统的瘫痪、数据丢失;内部审计部门形同虚设,不能发挥监管的作用;公司的网络管理规章制度不健全,等。任何一个因素都会导致XBRL财务报告在网络呈报之前质量受损,对其财务呈报的效果产生很不利的影响。
(2)来自石油企业外部环境的不安全因素
石油企业是我国的重要经济单位,很多不法人员通过一些不法手段来获取信息为自己牟利。而且XBRL下的财务呈报属于web服务,而web平台是开放的、交互的,其存在者安全隐患。XBRL财务呈报的过程中面临着来自外部的网络黑客或竞争对手非法恶意修改的危险。对网络财务报告系统构成安全威胁的因素通常有:信息篡改、信息泄露、信息取代、更改ip地址、拒绝接受服务、破解用户密码、计算机病毒。网络黑客和网络入侵者通过以上几种方式给XBRL财务报告的网络呈报设置了障碍,一旦攻击成功将会给石油企业的财务呈报带来不可估量的损失[2]。
3.完善XBRL环境下的石油企业财务呈报
3.1加大XBRL的研究和对相关人员进行培训
针对我国石油企业大多数财务人员XBRL应用技术不高的问题,应加大对XBRL的教学力度、深化研究和强化现行石油企业财务人员对XBRL的认识和学习。如石油企业可以聘请XBRL专家对石油企业从上直下的财务人员进行培训和教育,尤其是那些直接使用XBRL技术的财务人员,成就一批该技术的专业人才,还要聘请专业型的人才及时对企业的财务人员进行专业培训,将XBRL技术的最新动态传递给他们,防止他们使用了落后的技术,给石油企业造成影响。由于该技术起源于国外,我们还应当要及时向国外的专家进行学习,以弥补我国石油企业财务人员认识中的不足。为石油企业培养该类型的人才,确保其财务呈报的可靠性。
3.2加强石油企业内部网络环境建设
石油企业的网络环境是系统运作的基础,要加强石油企业内部网络环境建设和完善应对外部的攻击的措施,从源头上保证会计信息系统,给企业的财务呈报创造一个安全的环境,发挥XBRL环境下财务呈报的优势。
(1)完善石油企业的电算化控制
主要是对会计信息系统的构成包括(人、硬件、软件及实施环境)的控制,重点应加强对系统开发和维护控制、文件资料控制、系统设备、数据、程序的控制。如应当对相关资料实行授权访问、专人专管,对这些岗位进行不定期检查和加大企业的监督力度,做好事前、事中和事后控制。
(2)加强对网络管理人员素质的教育
首先要从招聘制度上进行改革,要招聘一些有素质和责任感的财务人员,而不是那些所谓的内部子弟。其次是公司应加强组织控制,严格制定网络管理人员工作制度,加强考核和奖惩力度,并定期对网络管理人员进行培训,提高其业务素质和道德素养,保证工作质量,为财务呈报的环境提供一个有力的保证。
(3)建立风险防范控制机制
会计信息系统在运行中不可避免地会遇到各种各样的风险,石油企业应聘用一些风险方面的专家,使其定期对系统所面临的风险进行评估,在此基础上不断改进风险防范措施,为其财务呈报相应地减低风险。由于每项网络信息安全技术的实施成本和适用情况不同,加上XBRL对数据保密的程度不同,各企业应根据自己的实际情况建立一个安全有效的多层次信息安全体系[3]。
(4)完善内部审计控制制度
一个大型的石油企业,内部审计是至关重要的。石油企业应当在平时内审工作中不断发现企业内部控制存在的问题并对其进行完善,对会计信息系统的产出即会计信息的质量进行监控,完善的内部控制对企业的财务呈报起到保证性作用。
参考文献
[1]姜彤彤.中国证券业应用XBRL的现状及相关建议[J].财会研究,2008(5):65.
[2]凌兰兰,朱卫东.基于XBRL的网络财务报告呈报及安全问题研究[J].中国管理信息化,2006(11):35-36.
[3]李九斤,徐畅,王玉翠,杨占发.基于价值链会计的石油企业XBRL财务报告应用研究[J].价值工程,2012(17):9.
信息安全行业分析报告篇10
一、网络财务报告的发展阶段
目前,从我国网络发展现状和网络本身所处的环境和安全方面看,网络财务报告的发展不可能一蹴而就,企业对利用网络披露财务报告大概可以分为三个阶段:
(一)自愿阶段
这是网络财务报告发展的初期阶段,一些大型企业或高新技术企业为了能够获得相对优势,增加或赢得投资、市场和顾客,自愿利用先进技术来为企业实施经营投资战略服务。利用网络来披露财务报告可以更好地与投资者、顾客等利益集团进行交流。本阶段的特征就是相对来说较少的企业采用网络技术来披露财务报告,在披露的形式、内容、技术运用等方面很不规范,可能会给信息使用者带来不同程度的误导。我国目前正处于这个阶段。
(二)引导阶段
在网络技术发展逐渐成熟和应用日益广泛时,越来越多的企业意识到网络的巨大潜力而竞相采用网络来披露财务报告。这个阶段的典型特征是:由于国家会计准则制定机构或证券市场监管机构已经意识到企业利用网络披露财务报告是大势所趋,但实务操作很不规范,如不加以规范可能会对经济发展产生负面影响。于是便研究准则或制度对采用网络财务报告的企业行为进行规范,但不强制企业实施网络财务报告。在这个阶段,企业也可以自愿选择网络来披露财务报告。
(三)强制阶段
随着社会经济的发展,网络已成为企业与外界进行交流不可或缺的工具,在披露财务报告方面也是如此。为了保证信息质量,维护信息用户的利益,国家会计准则制定机构或证券监管机构对企业利用网络披露财务报告进行全面规范,而此时企业会被强制遵守网络财务报告披露的有关规定。在强制阶段,企业利用网络传递财务报告,能提高会计核算效率,降低信息处理成本,增加会计信息的种类和及时性,同时明显增强了会计信息的可信性和决策相关性。
二、我国网络财务报告的发展趋势
由于技术的改善和经济环境的改变,促使财务报告由传统方式向现代方向转变,向网络技术条件下的自动化、信息内容的多样化转变。这种趋势主要体现在以下几个方面:
(一)报表项目的改变
网络经济直接导致有关报表项目在财务报表中的重要性发生改变。企业的虚拟化使企业资产构成产生显著变化,一方面,固定资产、存货等有形硬资产收缩,另一方面,无形资产(商誉、专利权、特许经营权、版权等)等软资产的比例迅速提升,成为企业财富的主要来源。反映在资产负债表上,固定资产、存货的金额比例大大降低,而无形资产的金额所占比例则不断增加。在网络经济环境下,可以预见无形资产将成为最重要的资产之一。以有形资产的计量和报告为核心的传统会计信息系统在现代信息技术面前显然已经不适应越来越多的技术资产的计量和报告,传统财务报告的价值不断下降,变革势在必行。
目前,国际上对无形资产的确认普遍遵循稳健性原则,除购买的专利和合并中产生的商誉可以入账外,对研究与开发费用采取全部费用化或有条件的部分费用化。与此同时,对无形资产按照何种成本入账也是一个问题,如果按历史成本入账,在网络经济环境下,对企业资产价值的偏离将非常严重,而按公允价值入账则涉及到公允价值的确定和数据的可靠性。
(二)报表体系结构的改变
现行的报表体系包括相互勾稽的三张报表,即资产负债表、利润表和现金流量表,其中利润表和现金流量表属于动态报表,前者依据权责发生制,后者依据收付实现制。根据这种思路,可以增加第四张报表,与资产负债表一起作为静态报表。资产负债表仍按历史成本计价,而第四张报表反映公允价值下企业资产的增值、减值状况,笔者认为,此表可以命名为资产负债表―――副表。未来财务报告的信息量将进一步增加,由以披露过去的交易为主转向以披露昭示未来的信息为主,最典型的有关衍生金融工具和预测性财务信息的披露;非财务信息和定性信息将大幅度增加:提高表外揭示质量,使之与报表本身共同构成财务报表的基本内容;更加注重人力资源和知识产权等无形资产的详细分析列报和披露;由提供集合型、标准型会计信息向提供多元化信息转变,以满足不同信息使用者对信息的不同选择。这必然要求对财务报表的有关内容进行分析、调整,删除不适应的会计科目,增加或合并一些相关的会计科目,并将表外的相关科目纳入新的账户体系。
(三)加强非财务信息的披露
非财务信息是指与公司财务状况无直接关联,但与公司生产经营密切相关的各种信息,大都不能量化描述,因此着重于定性分析,其揭示内容和方式具有较大的灵活性和选择性。具体包括:(1)背景信息。主要披露公司简介、产品与服务情况、市场动态、关联企业交易状况、公司经营的总体规划和战略目标、公司技术水平和竞争能力、产业结构的调整对公司的影响等;(2)前瞻性信息。主要提供公司发展前景规划、公司管理决策部门的经营计划与投资计划、公司未来财务状况与经营效益的预测、公司将面临的机会与风险信息;(3)社会责任信息。主要包括公司对员工的责任信息、公司对所在区域的责任信息和对生态环境维护的责任信息。只有充分披露了这些非财务信息,才能提高网络财务报告的相关性和可靠性,给需求者决策提供有用的信息。
三、网络财务报告所引发的问题
在我国,网络技术的发展与西方发达国家相比,还存在一定的差距。由企业自愿通过internet向使用者传递财务报告必将带来一系列的问题。比如,如何保证使用者在internet上得到的财务报告是可靠的:如果使用者根据企业自愿通过internet传递的存在错误的财务报告做出错误的经济决策,责任由谁来承担?也许企业并非有意篡改internet上的财务报告,但是internet上的安全问题不容忽视,如果电脑黑客侵入企业网站,篡改了财务报告,而企业未及时发现做出更正,使用者因此而遭受损失,责任又将由谁承担?internet上财务报告是否也应进行审计?这里有两个主要的问题亟待解决:一是网络财务报告的真实性问题,二是网络财务报告的安全性问题。
(一)关于网络财务报告的真实性
目前企业在互联网上披露财务信息的行为在相当大的程度上是属于自愿披露的范围,目前的证券监管机构对互联网上的财务报告问题也还处于观察、研究阶段,完善的规范尚未形成,企业将经过审计的财务报告与其他不需审计的财务信息不加区别地置于公司主页,如果不加提示,使用者很难对该信息是否已经经过审计获得清楚的认识,这无疑将影响使用者对这些财务信息的使用。这一问题的解决可能需要相当长的时间,一个较好的方案是大力开展注册会计师网上签证业务,同时要求企业对公司所披露的财务报告及其他财务信息是否经过审计给予使用者必要的提示。事实上,intel公司在这一点上就是一个很好的范例。在使用者浏览公司的年度报告并要离开时,将会出现一条特别提示,询问使用者是否确实离开,并提醒用户其选择的目标将不再属于年度报告的范围。这也就清楚地界定了网上年度报告的边界。这从技术上并不难做到。iaSC在其《互联网上的企业报告》研究报告中对此提出了专门的行为规范建议:“在企业网站上,遵循iaS的整套财务报表的边界线应可清楚地识别,以便让访问者在离开iaS财务报表区域时知晓;当用户从财务报告(含经审计的财务报表、有关经营和财务数据)达到撤离点(departurepoint)时,应该给予用户清楚的指示。”
(二)关于网络财务报告的安全性
其实不仅是网络财务报告,其他的网络信息同样面临着安全性的问题,财务报告的安全性问题可能更有代表性。这里的安全性问题包括上面所提出的黑客入侵,还包括企业恶意或过失造成信息不实,还包括网络技术因素引起的网络瘫痪、数据库无法使用以及电脑病毒所引发的系统崩溃等。这些问题的解决应从两个方面着手。一是企业建立完善的计算机系统内部控制制度,从软硬件管理和维护控制、组织机构和人员的管理和控制、系统环境和操作的管理和控制、文档资料的保护和控制、计算机病毒的预防与消除等各个方面建立一整套行之有效的制度,从制度上保证网络系统的安全运行。二是在技术上对整个财务网络系统的各个层次(通信平台、网络平台、操作系统平台、应用平台)都要采取安全防范措施和规则,建立综合的多层次的安全体系。在财务软件中提供周到、强力的数据安全保护,包括数据存贮安全性、数据操作安全性、数据传输安全性以及数据运用、查询、分析时的安全性。充分利用防火墙(Firewall)、加密技术、数字签名、安全协议等技术措施。当然,由于信息安全技术总是落后于信息技术的发展,安全的实现不可能是一成不变的。因此,企业要把系统风险评估与管理制度化,以保证系统的控制方案及安全政策不断随系统本身的发展而不断完善。
四、我国网络财务报告发展的几点建议
由于客观的原因,包括制度建设、真实性、安全性等,我国网络财务报告的发展进步还存在好多障碍,在此,笔者给出几点建议,希望能给我国网络财务的发展起到一些作用。
第一,上市公司网站的建设,促使上市公司充分利用inter?鄄net的覆盖面宽、信息提供量大以及信息提供及时的优势。
第二,会计制度制定者应尽快制定出有关网络财务报告披露内容、形式的规章制度和网上信息披露的行为准则,一方面使上市公司有章可循,另一方面也加强了信息使用者使用网上信息的信心,从而提高网上财务信息的可比性和可靠性,推动网络财务报告的发展。
第三,积极投入开发XBRL(extensiveBusinessReportingLanguage)―――扩展企业报告语言。现在,国外的一些软件公司(如微软,Sap,oracle)已将XBRL语言应用到他们的产品中去。我国应借鉴国外的研究成果,使网络财务报告最终能满足不同信息使用者的不同需求,从而推进网络财务报告的更深层次的发展。
第四,做好人员支持工作。网络财务报告不仅仅是一个会计领域的问题,更需要其他专业的支持。目前在我国既懂得网络信息技术,又具备商务经营管理知识,且精通会计知识的复合型人才还非常缺乏。要适应网络会计发展的需要,必须培养一大批复合型的会计人才,这类人才的培养和开发,是信息时代保证网络会计成功快速发展的关键。面对全新的会计环境,会计人员、审计人员等都面临着新的角色转换。只有不断更新、完善相关知识,跟上时代步伐,才能真正为会计业的发展提供有力的支持。