信息安全技术报告篇1
当前,网络信息安全形势严峻,国内有关评估工作还处于起步阶段,云南电信在这方面作了积极的探索。云南电信2013年成立信息安全评估专家项目组,项目组经过研究工业和信息化部以及集团总部相关文件,一致认为要在集团规范指导下抓细节、治痛点,不能流于形式,应通过创新,完善评估流程和方法,真正使信息安全评估为新技术新业务的运营保驾护航,所做工作要对800多万云南电信用户负责,要能有效地防范用户隐私泄露和恶意扣费的风险。
2云南电信的创新实践
云南电信公司新技术新业务信息安全评估的创新性实践,主要从机制、管理和技术手段方面进行执行细化,具体创新点如下。
2.1基于二加一多层次的信息安全评估模式创新
项目依据新技术信息安全评估的总体原则,从解决业务运营中可能出现的安全技术风险和安全管理风险出发,采用机制设计、管理控制和技术监测建立一套新型多维度的信息安全评估模式。该模式包含两个内部评估机制,即输出新业务项目组自评估报告和信息安全专家评估报告;一个外部技术测评,即输出第三方安全测评系列报告,故称为二加一评估模式。新业务项目组自评估报告重点要求开发方承诺在产品中没有无关后门程序存在,同时要求电信业务管理部门、维护支撑部门及开发方组成的项目组对产品按模板条款进行全面梳理,保证产品上线和运营营销后,其信息安全从技术、管理措施方面按模板要求合法合规,且项目组所有成员应达成共识,签字确认。由业务管理和建设维护、it支撑部门组成的专家组对新技术新业务的自评估报告、新业务的安全管理措施和第三方安全测评报告共同进行审查,各方面达标则出具信息安全评估报告,不达标则对项目组提出整改要求。此外,本评估模式还包括年度业务评估计划统计、已评估档案管理和评估数据积累机制,以确保评估工作的严谨和权威性。
2.2基于新业务平台测评手段的评估技术集成创新
通过具有安全服务能力评定资质的第三方机构对新技术新业务进行平台安全脆弱性扫描,出具第三方安全测评系列报告,报告新业务的平台漏洞状态、账户弱口令状态、主机安全危险状态等信息。如果新产品有移动app客户端,则通过国家信息产业通信软件测评中心的移动互联网应用测试服务平台和手机应用安全测试仪,对业务加测移动恶意代码程序和手机病毒进行扫描,出具相应的测评报告。有安全隐患的发回整改,复查达标才算报告完结。同时,业务上线运营后还将定期对业务进行跟踪复测,出现安全漏洞或病毒的出具复测通知书,限期整改。项目在技术手段方面的集成创新,充分保障了新技术新业务运营的可靠性和安全性,为电信运营商业务的长期应用和持续发展提供了重要的技术支撑。
3推广效果
本项目实施从2013年第四季度正式启动,选定了涵盖前后端的专家组成员,初步确定了评估流程和方式,开始进行评估实践。2014年3月,根据实践,在评估工作中细分出项目组自评估报告和专家评估报告,重点要求产品开发方签字承诺在产品中没有无关后门和恶意程序存在,并要求所有省级新技术新业务必须进行信息安全评估,通过评估后方能上线运营。2014年7月,随着手机恶意吸费、用户隐私泄露等移动互联网安全事件的增多,为了更加严谨评估移动类新业务的安全状况,引入了技术量化测评,云南电信开始针对新业务移动app客户端,委托具有安全评定资质的第三方单位进行移动恶意程序和手机病毒的扫描测评,不达标的要求整改复测。从2015年1月开始,云南电信开始委托具有安全资质的第三方单位进行新业务平台安全扫描测评,同样,不达标的要求整改加固,完成后再次复测,达标后专家组才签字通过。至此,完善而成体系化的云南电信评估流程基本建成,新技术新业务信息安全评估的创新实践对云南电信新技术新业务运营管理起到了质的提升作用。自2014年以来,信息安全评估工作已覆盖云南电信所有部门和单位的新技术新业务,业务类型包括信息服务类、视频监控类、娱乐类、移动即时通信类,产品形式包括web、wap、app、itV等类型。在评估过程中通过安全测评确实发现多起安全漏洞,甚至是高危漏洞,有些业务管理账号存在弱口令设置,有些信息功能审查缺失等。通过严格评估后,上线运营的新技术新业务目前均工作稳定正常,未出现过任何信息安全事故,这无形中为企业和用户挽回了潜在的经济损失。因此,云南电信的评估工作也得到了集团总部和政府管理部门的肯定。今后本项目提供的评估流程将继续严格实施,并有望在中国电信全国体系中推广。
4信息安全评估创造性工作的思考
在信息安全评估创造性工作过程中,有以下几点思考。第一,今后的评估工作应分级分类,根据不同的等级和风险程度,执行不同的评估措施。如对于涉及视频监控、位置服务和用户自媒体发送功能的技术业务,应提升测评审查等级。第二,应加大对评估测评技术的研究和应用,黑客的技术手段在不断翻新发展,因此,安全评估测评的技术和方式也应与时俱进。同时,信息安全评估过程并不代表一劳永逸,定期业务抽查复测也非常必要。第三,应加大对安全评估和安全技术人员的培养。人才是信息时代的第一要素,不仅要培养通信和互联网人才,还要重视信息安全专业人才的培养;同时,信息安全人员的稳定性也不容忽视。第四,对信息安全评估的建立档案管理和评估数据积累机制也至关重要,这既是为新技术新业务安全建档,也是信息安全工作管理和经验的积累过程。第五,信息安全评估是对业务运营的事前进行安全防范,与此同时,事中安全监控和技术拦截、事后的应急处置能力也是电信运营商必须同等重视的环节。
5结束语
信息安全技术报告篇2
关键字:入侵检测;协议分析;模式匹配;智能关联a
1引言
入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术,它对计算机和
网络资源上的恶意使用行为进行识别和响应,不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。但是随着网络入侵技术的发展和变化以及网络运用的不断深入,现有入侵检测系统暴露出了诸多的问题。特别是由于网络流量增加、新安全漏洞未更新规则库和特殊隧道及后门等原因造成的漏报问题和iDS攻击以及网络数据特征匹配的不合理特性等原因造成的误报问题,导致iDS对攻击行为反应迟缓,增加安全管理人员的工作负担,严重影响了iDS发挥实际的作用。
本文针对现有入侵监测系统误报率和漏报率较高的问题,对几种降低iDS误报率和漏报率的方法进行研究。通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络
安全的运行。
2入侵检测系统
入侵是对信息系统的非授权访问及(或)未经许可在信息系统中进行操作,威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自外界对攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行非法访问,入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统iDS(intrusionDetectionSystem)是从多种计算机系统机及网络中收集信息,再通过这些信息分析入侵特征的网络安全系统。
现在的iDS产品使用的检测方法主要是误用检测和异常检测。误用检测是对不正常的行为进行建模,这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方法主要是模式匹配,即将每一个已知的攻击事件定义为一个独立的特征,这样对入侵行为的检测就成为对特征的匹配搜索,如果和已知的入侵特征匹配,就认为是攻击。异常检测是对正常的行为建模,所有不符合这个模型的事件就被怀疑为攻击。现在异常检测的主要方法是统计模型,它通过设置极限阈值等方法,将检测数据与已有的正常行为比较,如果超出极限阈值,就认为是入侵行为。
入侵检测性能的关键参数包括:(1)误报:实际无害的事件却被iDS检测为攻击事件。(2)漏报:攻击事件未被iDS检测到或被分析人员认为是无害的。
3降低iDS误报率方法研究
3.1智能关联
智能关联是将企业相关系统的信息(如主机特征信息)与网络iDS检测结构相融合,从而减少误报。如系统的脆弱性信息需要包括特定的操作系统(oS)以及主机上运行的服务。当iDS使用智能关联时,它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞,iDS将抑制告警的产生。
智能关联包括主动和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助操作系统的指纹识别技术,即通过分析ip、tCp报头信息识别主机上的操作系统。
3.1.1被动指纹识别技术的工作原理
被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的tCp、ip报头信息,另一个是特征数据库中的目标主机信息,通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口(winDowSiZe)、数据报存活期(ttL)、DF(dontfragment)标志以及数据报长(totallength)。
窗口大小(wsize)指输入数据缓冲区大小,它在tCp会话的初始阶段由oS设定。数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的ttL值可以代表不同的操作系统(oS),ttL=64,oS=UniX;ttL=12,oS=windows。DF字段通常设为默认值,而openBSD不对它进行设置。数据报长是ip报头和负载(payload)长度之和。在SYn和SYnaCK数据报中,不同的数据报长代表不同的操作系统,60代表Linux、44代表Solaris、48代表windows2000。
iDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如ttL=64,初步判断oS=Linux/openBSD;如果再给定wsize的值就可以区分是Linux还是openBSD。因此,(ttL,wsize)就可以作为特征库中的一个特征信息。3.1.2被动指纹识别技术工作流程
具有指纹识别技术的iDS系统通过收集目标主机信息,判断主机是否易受到针对某种漏洞的攻击,从而降低误报率。
因此当iDS检测到攻击数据包时,首先查看主机信息表,判断目标主机是否存在该攻击可利用的漏洞;如果不存在该漏洞,iDS将抑制告警的产生,但要记录关于该漏洞的告警信息作为追究法律责任的依据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。
3.2告警泛滥抑制
iDS产品使用告警泛滥抑制技术可以降低误报率。在利用漏洞的攻击势头逐渐变强之时,iDS短时间内会产生大量的告警信息;而iDS传感器却要对同一攻击重复记录,尤其是蠕虫在网络中自我繁殖的过程中,这种现象最为重要。
所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。iDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样。网管人员可以专注于公司网络的安全状况,不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源ip、目的ip以及时间窗大小)融入到iDS传感器中,使传感器能够识别告警饱和现象并实施抵制操作。有了这种技术,传感器可以在告警前对警报进行预处理,抑制重复告警。例如,可以对传感器进行适当配置,使它忽略在30秒内产生的针对同一主机的告警信息;iDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。
3.3告警融合
该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息,这有助于解决误报和漏报问题。当与低级别警告有关的条件或规则满足时,安全管理员在iDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件,如果单独考虑每次扫描,可能认为每次扫描都是独立的事件,而且对系统的影响可以忽略不计;但是,如果把在短时间内产生的一系列事件整合考虑,会有不同的结论。iDS在10min内检测到来自于同一ip的扫描事件,而且扫描强度在不断升级,安全管理人员可以认为是攻击前的渗透操作,应该作为高级别告警对待。例子告诉我们告警融合技术可以发出早期攻击警告,如果没有这种技术,需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆;而通过设置元警告相关性规则,安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义参数包括时间窗、事件数量、事件类型ip地址、端口号、事件顺序。
4降低iDS漏报率方法研究
4.1特征模式匹配方法分析
模式匹配是入侵检测系统中常用的分析方法,许多入侵检测系统如大家熟知的snort等都采用了模式匹配方法。
单一的模式匹配方法使得iDS检测慢、不准确、消耗系统资源,并存在以下严重问题:
(1)计算的负载过大,持续该运算法则所需的计算量极其巨大。
(2)模式匹配特征搜索技术使用固定的特征模式来探测攻击,只能探测明确的、唯一的攻击特征,即便是基于最轻微变换的攻击串都会被忽略。
(3)一个基于模式匹配的iDS系统不能智能地判断看似不同字符串/命令串的真实含义和最终效果。在模式匹配系统中,每一个这样的变化都要求攻击特征数据库增加一个特征记录。这种技术攻击运算规则的内在缺陷使得所谓的庞大特征库实际上是徒劳的,最后的结果往往是付出更高的计算负载,而导致更多的丢包率,也就产生遗漏更多攻击的可能,特别是在高速网络下,导致大量丢包,漏报率明显增大。
可见传统的模式匹配方法已不能适应新的要求。在网络通信中,网络协议定义了标准的、层次化、格式化的网络数据包。在攻击检测中,利用这种层次性对网络协议逐层分析,可以提高检测效率。因此,在数据分析时将协议分析方法和模式匹配方法结合使用,可以大幅度减少匹配算法的计算量,提高分析效率,得到更准确的检测结果。超级秘书网
4.2协议分析方法分析
在以网络为主的入侵检测系统中,由于把通过网络获得的数据包作为侦测的资料来源,所以数据包在网络传输中必须遵循固定的协议才能在电脑之间相互沟通,因此能够按照协议类别对规则集进行分类。协议分析的原理就是根据现有的协议模式,到固定的位置取值(而不式逐一的去比较),然后根据取得的值判断其协议连同实施下一步分析动作。其作用是非类似于邮局的邮件自动分捡设备,有效的提高了分析效率,同时还能够避免单纯模式匹配带来的误报。
根据以上特点,能够将协议分析算法用一棵协议分类树来表示,如图2所示。这样,当iDS进行模式匹配时,利用协议分析过滤许多规则,能够节省大量的时间。在任何规则中关于tCp的规则最多,大约占了50%以上,因此在初步分类后,能够按照端口进行第二次分类。在两次分类完成后,能够快速比较特征库中的规则,减少大量不必要的时间消耗。如有必要,还可进行多次分类,尽量在规则树上分叉,尽可能的缩减模式匹配的范围。
每个分析机的数据结构中包含以下信息:协议名称、协议代号以及该协议对应的攻击检测函数。协议名称是该协议的唯一标志,协议代号是为了提高分析速度用的编号。为了提高检测的精确度,可以在树中加入自定义的协议结点,以此来细化分析数据,例如在Http协议中可以把请求URL列入该树中作为一个结点,再将URL中不同的方法作为子节点。
分析机的功能是分析某一特定协议的数据,得出是否具有攻击的可能性存在。一般情况下,分析机尽可能的放到树结构的叶子结点上或尽可能的靠近叶子结点,因为越靠近树根部分的分析机,调用的次数越多。过多的分析机聚集在根部附近会严重影响系统的性能。同时叶子结点上的协议类型划分越细,分析机的效率越高。
因此,协议分析技术有检测快、准确、资源消耗少的特点,它利用网络协议的高度规则性快速探测攻击的存在。
5结束语
本文对几种降低iDS误报率和漏报率的方法进行分析研究,通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络安全的运行。由于方法论的问题,目前iDS的误报和漏报是不可能彻底解决的。因此,iDS需要走强化安全管理功能的道路,需要强化对多种安全信息的收集功能,需要提高iDS的智能化分析和报告能力,并需要与多种安全产品形成配合。只有这样,iDS才能成为网络安全的重要基础设施。
参考文献:
[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002(6):28-32.
[2]唐洪英,付国瑜.入侵检测的原理与方法[J].重庆工学院学报,2002(4):71-73.
[3]戴连英,连一峰,王航.系统安全与入侵检测技术[m].北京:清华大学出版社,2002(3).
[4]郑成兴.网络入侵防范的理论与实践[m].北京:机械工业出版社,2006:48-56.
信息安全技术报告篇3
第一条为加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理,规范互联网信息服务活动,维护国家安全、社会秩序和公共利益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》,制订本规定。
第二条本规定所称具有舆论属性或社会动员能力的互联网信息服务,包括下列情形:
(一)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;
(二)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。
第三条互联网信息服务提供者具有下列情形之一的,应当依照本规定自行开展安全评估,并对评估结果负责:
(一)具有舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;
(二)使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的;
(三)用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;
(四)发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;
(五)地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形。
第四条互联网信息服务提供者可以自行实施安全评估,也可以委托第三方安全评估机构实施。
第五条互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估下列内容:
(一)确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况;
(二)用户真实身份核验以及注册信息留存措施;
(三)对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户信息记录的留存措施;
(四)对用户账号和通讯群组名称、昵称、简介、备注、标识,信息、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;
(五)个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;
(六)建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况;
(七)建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;
(八)建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。
第六条互联网信息服务提供者在安全评估中发现存在安全隐患的,应当及时整改,直至消除相关安全隐患。
经过安全评估,符合法律、行政法规、部门规章和标准的,应当形成安全评估报告。安全评估报告应当包括下列内容:
(一)互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况;
(二)安全管理制度和技术措施落实情况及风险防控效果;
(三)安全评估结论;
(四)其他应当说明的相关情况。
第七条互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信部门和公安机关。
具有本规定第三条第一项、第二项情形的,互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设前提交安全评估报告;具有本规定第三条第三、四、五项情形的,应当自相关情形发生之日起30个工作日内提交安全评估报告。
第八条地市级以上网信部门和公安机关应当依据各自职责对安全评估报告进行书面审查。
发现安全评估报告内容、项目缺失,或者安全评估方法明显不当的,应当责令互联网信息服务提供者限期重新评估。
发现安全评估报告内容不清的,可以责令互联网信息服务提供者补充说明。
第九条网信部门和公安机关根据对安全评估报告的书面审查情况,认为有必要的,应当依据各自职责对互联网信息服务提供者开展现场检查。
网信部门和公安机关开展现场检查原则上应当联合实施,不得干扰互联网信息服务提供者正常的业务活动。
第十条对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网信部门和公安机关应当组织专家进行评审,必要时可以会同属地相关部门开展现场检查。
第十一条网信部门和公安机关开展现场检查,应当依照有关法律、行政法规、部门规章的规定进行。
第十二条网信部门和公安机关应当建立监测管理制度,加强网络安全风险管理,督促互联网信息服务提供者依法履行网络安全义务。
发现具有舆论属性或社会动员能力的互联网信息服务提供者未按本规定开展安全评估的,网信部门和公安机关应当通知其按本规定开展安全评估。
第十三条网信部门和公安机关发现具有舆论属性或社会动员能力的互联网信息服务提供者拒不按照本规定开展安全评估的,应当通过全国互联网安全管理服务平台向公众提示该互联网信息服务存在安全风险,并依照各自职责对该互联网信息服务实施监督检查,发现存在违法行为的,应当依法处理。
第十四条网信部门统筹协调具有舆论属性或社会动员能力的互联网信息服务安全评估工作,公安机关的安全评估工作情况定期通报网信部门。
第十五条网信部门、公安机关及其工作人员对在履行职责中知悉的国家秘密、商业秘密和个人信息应当严格保密,不得泄露、出售或者非法向他人提供。
信息安全技术报告篇4
1系统概述
“农产品质量安全监测管理系统”基于B/S架构,采用JaVa、XmL、组件技术和模块化设计,具有可扩展性,易于升级;开放式结构和标准化接口,与当前主流的软硬件性兼容性好;系统采用严格的权限管理,具有较高的安全性;提供收样信息的快速复制、自动编制检测报告号、分层次显示选择菜单等工作组件,用户操作简单方便;内置最新农产品安全国家标准(GB2763-2014、GB2762-2012等),可以实现检测结果的自动判定。
该系统将检测机构的技术管理、质量管理和行政管理信息整合于一体,应用于种植业产品的农药残留、畜禽产品的药物残留、农产品的重金属、农业投入品及农业产地环境等监测管理,不仅实现了从样品收取传递、检验任务分配、检测进度跟踪、检测报告生成和检测报告审批等监测步骤的计算机自动化处理,而且还可以进行质控管理、物资管理、日常办公管理等。
2系统结构
“农产品质量安全检测机构管理系统”,按照工作岗位设定工作权限,既方便检测人员需要,又保护了客户信息。该系统由以下几个部分组成:(1)技术管理体系,包括收样管理、检验管理和报告管理等。它是检测机构的工作主线,是数据和结果的形成过程;(2)质量管理体系,包括质量控制、技术标准、样品进度查询等。它是检测机构工作的保证线,保证数据和结果的准确、可靠,保证检测工作在受控条件下进行;(3)行政管理体系,包括标准物质管理、设备管理和采购管理等。它是检测机构工作的保障线,保障检测工作能够正常进行;(4)日常办公和报表管理,包括工作办公、任务提醒和各种报表管理,能够满足日常工作和上报表格的需要。
此外,对于农产品质量安全检测机构来说,样品是原料,检测报告即是终端产品。为了减少检测数据形成过程中的人为错误,规范检测管理,按照农产品质量安全检测工作流程实现工作过程的信息化、自动化(见图3)。
3几个主要业务子系统
3.1技术管理体系
3.1.1收样管理
收样管理,是样品进入农产品质量安全检测机构的第一个环节,其信息正确与否直接关系到检测报告的质量。“收样管理”涵盖了接样人员的主要工作,如样品信息录入、留样登记、任务分配、样品流转、样品销毁和报告发放等。接收样品时,接样人员对有固定报告模板的样品在“标准样品”录入,没有报告模板的在“其他样品”录入。信息录入后,系统自动生成检测报告号,并按照检测项目分配任务,自动生成样品交接单、留样登记记录、检测任务单、检测报告发放单等信息。此外,根据质控需要,质量管理办公室可向待测样品中插入一定量的平行样和标准样,交由接样人员下达质控任务(见图4)。
3.1.2检验管理(见图5)
检测人员接收到样品后,进入本人“检验管理”工作平台,查看检测任务、核对样品、点击“样品接收”,并按照相关要求完成检测任务。
检测人员录入结果时,对于有固定模板的样品,点击“标准样品”录入;对于没有固定模板的样品,点击“其他样品”录入。为了方便检测工作,结果可以预览,如果点击“样品信息”和“称样记录”,还可得到相关的检测信息和原始记录表单。
3.1.3报告管理
报告编制员进入本人工作平台,点击“报告信息编辑”,对样品信息、检测结果转移等内容审核无误后,编辑、打印检测报告。
3.1.3.2报告审核(见图7)
检测报告编辑完成后,系统自动将报告显示在“报告审核”界面,进入审核人员工作平台。审核人员点击相应的检测报告,即可进行审核。如审核发现问题,可点击“审核发现问题”,录入相应信息,系统自动通知问题责任人。
3.1.3.3报告归档(见图8)
审批后的检测报告,需要归档。报告编制员勾选相应的检测报告,点击“归档”或“批量归档”,相应报告可以进行归档管理。
3.2行政管理体系
3.2.1标准物质(见图9)
标准物质管理员点击“标准物质”,可以实现标准物质的入库、领用、报废、过期标示等管理功能。
3.2.2仪器设备(见图10)
仪器管理员点击“仪器设备”,可实现设备信息、设备校准及设备维护等管理功能。
3.2.3采购管理(见图11)
检测机构人员点击“采购管理”,可实现标准物质、试剂耗材、设备等物质的采购申请、审批、验收、入库等管理。
3.3质量管理体系
3.3.1技术标准(见图12)
该系统收录了检测机构最新有效的农产品抽样、检测和判定标准,为规范抽样、检测及结果判定等工作提供了保证。
3.3.2质量控制(见图13)
质控管理办公室人员选中样品记录,点击“质控信息”,录入相应的质控工作内容,可以实现质控工作的管理,并将质控结果等信息即时通知相关人员。
3.3.3样品检测进度跟踪(见图14)
质量管理办公室人员通过高级查询,可以对所有样品的进度进行跟踪,便于对检测过程进行管理。对于即将到约定时间的样品,系统提供报警提示功能。
3.4日常办公及报表管理
检测机构人员进入日常办公管理界面(见图15),录入对应信息,即可实现工作任务、邮箱、公告提醒等功能(见图16)。
信息安全技术报告篇5
适应范围和目的
本方案适用于处置各式各样突发危害国家安全、自然灾害、事故灾难、公共卫生事件、社会安全事件、非法人为事故等,针对给广播电视信息安全造成严重破坏或威胁的突发事件,以及由于责任性、专业技术性、专业管理性和知识技术更新性等原因造成的广播电视信息安全重大事故,针对这类突发性事件的发生,在广播电视信息播出、广播电视信息运作系统等广播电视信息安全方面的应急处置、支援配合和平时大型维护维修等优质快捷的解决。对广播电视信息安全进行考验、与时俱进完善,对应急广播电视信息安小队进行锻炼、磨合机制、科普宣教,是确保高智高效高质实施广播电视信息安全应急措施得到保证。
广播电视信息安全应急指挥体系
(一)广播电视信息安全应急组织体系框架由广播电视信息安全播出系统、广播电视信息安全运作系统(包括卫星广播电视信息安全运作系统,如“村村通”广播电视信息安全运作系统;有线广播电视信息安全动作系统;无线转播广播电视信息安全运作系统、电信运作系统、移动运作系统、宽带运作系统等等)以及相应单位等协调或联动构成,形成逐级归纳,逐级上升的广播电视信息安全应急组织体系如下示意图(基层“三角形”是乡镇站级广播电视信息安全应急组织体系,二层是县级广播电视信息安全应急组织体系,三层是省级广播电视信息安全应急组织体系等)。
(二)应急广播电视信息安全小分队是由对应的广播电视信息组织牵头设立广播电视信息安全指挥部,由对应的广播电视信息局长担任指挥长,主管副局长担任常务副指挥长,副指挥长由局党组成员、广播电视信息安全播出台长、卫星广播电视信息安全运作系统中心主任、有线广播电视信息安全动作系统经理担任、无线转播广播电视信息安全运作系统局长、电信运作系统经理、移动运作系统经理、宽带运作系统经理(含联通网、电信网等)以及相应单位等协调或联动构成领导指挥部,对应的下属成员包括广播电视信息安全播出系统工作人员、有线广播电视信息安全动作系统的工作人员、卫星广播电视信息安全运作系统工作人员、无线转播广播电视信息安全运作系统工作人员、电信运作系统工作人员、移动运作系统工作人员、宽带运作系统工作人员(含联通网、电信网等和局机关各科室部分成员和其它单位共抽出精兵组成应急广播电视信息安全小分队。
(三)应急广播电视信息安全小分队的运行机制是在广播电视信息安全指挥部的统一领导下,以广播电视信息安全指挥部为核心,以突发事件应急响应为主线,上下级联系,分级负责、分级响应,实现联动应急,迅速对突发事件实施应急处置和平时大型维护维修,解决广播电视信息安全。比如广播电视信息安全总指挥部,下分省、市(辖区)和县联系,分组负责,各司其职。
广播电视信息安全指挥部职责
(一)负责对本区域广播电视信息安全各种突发事件应急处置的统一领导、统一研究、统一决策、统一协调,统一应急,并及时向市委(辖区)、县委、县政府及上级广播电视信息安全指挥部汇报突发事件的动态和处置情况;负责与县委、县政府相关部门、单位之间的联系协调;负责广播电视信息系统外的配合、支援和组织协调工作。在中国共产党领导下的具有中国特色的社会主义国家里,在党和政府的统一领导下,统一领导广播电视信息系统工程是中国共产党领导的一项重要组成部分;是中国物质文明和精神文明的重要窗口;是光速传播科学技术的信息工具;是全面传播先进文化的重要渠道;是通过广播电视信息工程向四面八方的现代物质文明的信息交易信息载体;向现代精神文明流通信息载体;是人们及时了解和交流信息的重要渠道;也是保持中国社会稳定、稳步发展、巩固党的执政地位和维护国家安全的舆论前沿。加强广播电视信息安全播出和广播电视信息系统安全运作是中国政府的重要公益职能,各种突发事件应急处置的逐级统一领导、逐级统一研究、逐级统一决策、逐级统一协调,逐级统一应急处置等是符合中国共产党领导的具有中国特色的社会主义时代要求。
(二)应急广播电视信息安全小分队是具有与时俱进的较强对应专业技术理论和较强实践技能的人才组成,又具有全面熟悉本区域的广播电视信息传输系统运作和播出资源情况及动态的人才组成,具有与时俱进的定期检查经验、评估经验和应急处置能力的实干领导班子组成。这个组织是减少各种突发事件等重要因素引起的一联串的损失程度降低到底线关键的关键之关键,是确保国家的广播电视信息的安全的人才智谋宝塔,是急广播电视信息安全小分队发挥应急能力的重要前提。本小分队平时对本区域的广播电视信息安全情况进行及时收集、定期检查和探索评估,对存在问题提出及时改进意见,督导实施改进工作,是减少突发事件的机率和做好各种突发事件应急准备以及技术指导,也是实施和督促维护维修工作的关键,是急广播电视信息安全小分队发挥应急能力的重要前提。我们的应急广播电视信息安全小分队的所有成员不仅应该具有扎实的专业技术理论和本专业技术实践能力,还要了如指掌熟悉本区域的广播电视信息传输系统运作和播出资源情况及动态环境的同时,还要其它方面的并尽力全面知识的素质而精通状态和精神积极性,才能充分发挥本区域广播电视信息安全应急处置瞬时发生的各种突发事件的统一领导、统一研究、统一决策、统一协调,统一应急的职能和日常工作职能。
(三)应急小分队的物质条件
(我们以县级别广播电视应急“演练”为例)
前面讲了应急小分队的人为因素,现在谈一谈应急小分队的物质条件,常言:巧媳妇难为无米之炊。在第一战线上,参加各级广播电视信息安全检查、督察直属广播电视信息安全播出系统、广播电视信息安全运作系统、电力系统、电信系统、移动通讯系统、宽带系统和协调联动机构等等的应急预案的客观物质条件落实情况,组织广播电视信息安全技术培训情况和评估“演练”工作的应急能力情况以用平时维护维修广播电视信息安全处置情况等等,以及在上下级、同事、领导和被领导之间是否都能平等地,快捷地在四面八方查询各式各样的广播电视信息安全技术“资料”信息。在本领域内必须同步、四面八方能了如指撑提供信息条件,四面八方汇集总结信息,对威胁广播电视信息安全的突发事件和事故隐患进行分析和瞬间决策工作,及时下达广播电视信息安全调度令,处置广播电视信息安全的突发事件和事故,这是真正的现代化的应急小分队要求。
(1)根据预警信息,确定突发事件防范的系统保障等级,加强播出、传输、监测等广播电视信息安全系统的保障工作,确保广播电视信息节目不间断、高质量的播出、高质量的运作和大面积的覆盖。广播电视信息安全指挥部根据预警信息,适时启用各种安全应急预案,调配储备应急资源,及时解决和满足本辖区广播电视信息节目的应急与覆盖。播出部在充分保障正常播出供电的同时,配备发电机、不间断电源(UpS)等应急供电设备,确保应急供电设施启动、切换、运行的可靠性。“村村通”维修中心在充分保障正常维修和安装的同时,配备发电机、接收机和高频头等应急设备和防雷措施,同时与供电所协作,确保应急户户通工程和自然“村村通”工程供电设施启动、切换、运行的可靠性。如雷击“村村通”设备、自然“村村通”插播非法信号侵入等。广电网络公司县分公司在充分保障正常维修和安装的同时,配备发电机、光发机、光接机、焊纤器和光缆等设备等应急设备和防雷措施,同时与供电所协作,确保应急全县有线电视网络设施启动、切换、运行的可靠性。如各种断光纤现象、雷击有线广播电视信息网络设备引起的大面积无法收视以及利用有线广播电视信息网络设备插播非法信号侵入等。
(2)各级广播电视信息安全指挥机构与对应的市、县610办公室、国安大队,公安等有关部门组织的应急小分队是否符合组织标准,这支广播电视信息安全应急小分队组织的专业技术理论性如何和解决实际问题效率质量如何等是应急各种突发事件和事故的关键,是及时获取危害广播电视信息安全的境内外信息动态,是及时防范和及时解决广播电视信息安全客观人为因素。随着广播电视信息工程的高速发展,组成应急广播电视信息安全工程队的专业技术理论和解决实际问题效率质量必须与时俱进。他们是密切注意广播电视信息安全异态,分析广播电视信息安全形势,发现广播电视信息安全问题并及时提出方案及时通知有关对应的单位及时解决本问题的核心,广播电视信息指挥部实行应急措施的同时,并同时报告上级业务主管部门。
(3)指挥部及时汇总、分析、跟踪广电机构、值班电话或群众信息或投诉受理中心与广播电视信息安全相关的举报信息。为在本领域内必须同步了如指撑提供信息,四面八方汇集总结信息,信息互通有无,处处“现场”工作、对威胁广播电视信息安全的突发事件和事故隐患进行分析和瞬间决策工作,及时下达广播电视信息安全调度令,处置广播电视信息安全的突发事件和事故等提供重要依据。在这指挥部的所有内部人员能立即调出各式各样的值班电话或群众信息或投诉受理中心与广播电视信息安全相关的举报信息各以用级之间信息等等的第一手原始资料,也便原始的了如指掌,绝对不只收集下一级的第二次汇报资料。
应急响应的组织实施
(我们以县级别广播电视应急“演练”为例)
1局指挥部
在上级通知和下级收集进入广播电视信息安全紧急状态及突发事件发生后,县文体广电局安全指挥部召开紧急会议,汇总情况、科学分析研究形势、决策应急措施、下达启动应急预案令,实施对全县广播电视信息安全的组织指挥。
2电视台
1、当播出机播出的电视画面被利用技术手段窃取信号播出反动宣传片或非法信号侵入,值班技术人员在最短时间内关机,立即切断有线电视网络前端机房信号和总控供电源,同时报告指挥部。
2、当持枪(刀)人员冲进机房,值班人员立即报警;利用专用报警装置通知指挥部和应急小分队在最短时间内赶到机房进行处理。当不法分子威胁值班技术人员要求播出反动宣传片时,值班人员应迅即发送指令信号将总控室的UpS和总电源关掉并沉着应对,尽量拖延时间。
3、当犯罪分子将前端机房光缆线中途切断、传输无线链路插入播出反动宣传片,前端机房发现后立即切网络总电源和关掉相应的调制器。机房不得放置VCD、DVD、放像机等播入设备;如犯罪分子持枪(刀)进入机房协迫要求播出反动宣传片,技术人员应沉着应对,采用第二条的方法处理,拖延时间等待公安部门驰援处置等等。
4、建立严格的值班制度,实行24小时值班员值守和双岗值班制度。
5、建立严格的例行巡检制度,实行执检分开。
6、建立相应的维护与操作规程,明确各种预案、应急处理措施等,并将其作为总前端每一个技术维护与值班人员应知应会要求。
7、建立前端和指挥中心调度体系的信息流转通报机制。
8、建立严格的播出机房进出制度。
3广电网络公司县分公司
1、以建立情报网络队伍和报告制度为平台,以及建立应急小分队,加强对插播和传输光缆人为因素破坏、自然灾害毁损的防范工作。当某一地域发生事件和事故,按照属地管理原则及时报告、及时处置。
2、加强对有线电视网络巡查,对有线电视线缆的低洼地段、城郊结合部及所有有线电视网络可能存在安全隐患地段进行重点巡查,发现问题及时处置,一旦用户发现非法信号,用最快的速度赶往现场,进行排查与处理,以尽量缩短非法信号的影响时间。应急小分队实行24小时轮流值班制度,发现情况紧急出动,对安全隐患地段实施专人守护,确保网络安全畅通。
3、加强对有线电视网络巡查,对有线电视线缆有可能存在广播电视信息安全运作隐患地段进行重点巡查,人为因素破坏、自然灾害等突发事件,如光纤中断、雷击有线广播电视信息网络设施,发现问题及时处置,
4县村村通维修中心
1、以建立情报网络队伍和报告制度为平台,以及建立应急小分队,加强对自然“村村通”工程插播和传输电缆人为因素破坏、自然灾害毁损的防范工作。当某一地域发生事件和事故,按照属地管理原则及时报告、及时处置。
2、加强对“村村通”网络巡查,对“村村通”线缆的低洼地段、边远区结合部及“村村通”网络可能存在安全隐患地段进行重点巡查,并依靠群众,发现问题及时处置,一旦用户发现非法信号,用最快的速度赶往现场,进行排查与处理,以尽量缩短非法信号的影响时间。应急小分队实行24小时轮流值班制度,发现情况紧急出动,对安全隐患地段实施专人守护,确保“村村通”网络安全畅通。
3、加强对“村村通”网络巡查,对“村村通”线缆有可能存在广播电视信息安全运作隐患地段进行重点巡查,人为因素破坏、自然灾害等突发事件,如总线中断、雷击“村村通”广播电视信息网络设施,发现问题及时处置,
5乡镇
各乡镇按照属地管理原则,加强有线电视接收机房的监控和管理,加强本辖区传输光缆和各光接点巡查,加强乡镇“村村通”工程监控和管理,发现情况及时报告、及时处置。
应急程序及处置措施
县广播电视信息安全突发事件信息实行统一管理,重大等级事件信息必须经市广电局安全播出指挥部审批。
(一)发生Ⅰ级突发事件后,相关单位应紧急启动应急预案,采取一切措施,启动所有应急备用设施保证中央广播电视信息节目的安全:
1、县文体广电局立即全县广电系统紧急报警信息,实施突发事件应急的决策指挥;
2、播出机房按要求接转市广电网络公司并机传输的中央广播电视信息重点节目;
3、办公室要调集征用应急所需的设施、设备、人员交通工具等资源;
(二)发生Ⅱ级至Ⅲ级突发事件后,立即启动相应等级的应急预案,保证中央和省、市广播电视信息节目和县电视台节目的安全;
1、接到上级指令或乡镇、相关部门支援请求后,应迅速给予支援和配合。
2、县广电局安全指挥部将按照上级批示要求,及时、准确、全面地转发、应急信息,并及时通报乡镇、有关部门和单位。
3、在广播电视信息安全出现突发紧急情况时,由广电行政部门授权,广播电视信息安全指挥部负责向公众告知报警信息、参数变化、接收方式及其它重要信息。
4、在国家宣布进入紧急状态时,按有关规定和通知要求及时启用各种广播电视信息设备设施,按规定调整节目播出安排,国家紧急报警信息,确保广播电视信息畅通。
5、在部份地区宣布进入紧急状态时,启用相应的广播电视信息设备,调整节目安排,紧急报警信息,确保紧急状态区域内广播电视信息安全与覆盖。
应急报告制度
根据市广电局下发的广电总局统一编制的各类事件报告单(附后),严格报告制度,建立重大、紧急突发事件快速报告渠道,获取突发事件信息后,在向县领导和相关部门报告的同时,应立即报告市局相关部门或领导,并填写快速报告单传真报市广播电视信息安全指挥部;随时报告事件发展、排查和处置情况。
应急组织分工
成立县文体广播电视信息局广播电视信息安全应急指挥部。组成人员如下
指挥长:县文广局局长或高级工程师1人
常务副指挥长:高级工程师(或工程师)兼副局长1人
副指挥长:高级工程师(或工程师)兼经理1人
高级工程师(或工程师)兼台长1人
高级工程师(或工程师)兼村村通维修中心主任(科长))1人
高级工程师(或工程师)兼移动公司经理1人
高级工程师(或工程师)兼电信经理1人
高级工程师(或工程师)兼电力经理1人
高级工程师(或工程师)兼联通经理1人
各乡镇文化服务中心主任1人
成员:县台主持人员、编辑员、机房值班人员
县各副指挥长下属成员副主任(副经理)各1人、维修人员和安装各5人员。
各乡镇文化服务中心主任
各乡镇的省广电网络公司县分公司的工作人员1人。
收集资料人员:县文体广电局办公室人员2人和各成员各派1名,作收集资料。
指挥部下设协调督查组和技术抢修组:
高级工程师(或工程师)兼副局长协调督查组组长。
高级工程师(或工程师)兼电力副经理任电力安全技术抢修组长。
高级工程师(或工程师)兼副台长作电视台广播电视信息安全技术抢修组长。
高级工程师(或工程师)兼村村通维修中心副主任(科长)任县村村通维修中心(卫星广播电视信息)安全技术抢修组长。
高级工程师(或工程师)兼副经理任省广电网络公司县分公司有线广播电视信息安全技术抢修组长
高级工程师(或工程师)兼移动公司副经理任信息安全技术抢修组长。
高级工程师(或工程师)兼电信副经理任信息安全技术抢修组长。
高级工程师(或工程师)兼联通副经理任信息安全技术抢修组长。
本次分队由县文广局广播电视信息安全指挥部统一指挥,各地各部门按分级负责、属地管理的原则分别组织、具体实施,可协调当地公安、村、社区等相关部门参与配合。
应急评估与总结
每年根据应急执行情况、预案与可操作性、应急指挥人员协调能力、参演人员的处置能力、所用设备装备的适用性、成本效益分析、对完善应急预案提出保贵的建议。作如下应急评估与总结。
(一)广播电视信息安全工作事关国家安全和社会稳定大局,是评议各乡镇、各部门尤其是领导干部工作绩效的重要考核项目。对管理松懈、无指挥能力、不执行有关广播电视信息安全管理要求、处置不当和发生安全事故、甚至于盲目性瞎指挥、效率低等问题的单位和个人,要进行整改和培训。
信息安全技术报告篇6
1.总则
1.1编制目的…………………………………………3
1.2工作原则…………………………………………3
1.3制定依据…………………………………………4
1.4现状及其成因……………………………………4
1.5适用范围…………………………………………5
2.组织机构及职责
2.1应急指挥机构……………………………………5
2.2县信息安全专项应急委各成员单位的职责……7
2.3现场应急处理工作组……………………………7
2.4应急指挥机构…………………………………8
3预警和预防机制
3.1信息监测及报告…………………………………8
3.2预警.……………………………………………9
3.3预警支持系统……………………………………9
3.4预防机制…………………………………………9
4应急处理程序
4.1级别的确定………………………………………10
4.2预案启动…………………………………………11
4.3现场应急处理……………………………………11
4.4报告和总结………………………………………12
4.5应急行动结束……………………………………13
5保障措施
5.1技术支撑保障……………………………………13
5.2应急队伍保障……………………………………13
5.3物质条件保障……………………………………13
5.4技术储备保障……………………………………14
6宣传、培训和演习
6.1公众信息交流……………………………………14
6.2人员培训…………………………………………14
6.3应急演习…………………………………………14
7监督检查与奖惩
7.1预案执行监督……………………………………14
7.2奖惩与责任………………………………………15
8附则………………………………………………16
附件一:__县网络与信息安全应急处理组织机构…19
附件二:重大信息安全事件报告……………………20
附件三:重大信息安全事件处理结果报告…………21
附件四:单位自行应急处理指南………………………22
1、总则
1.1编制目的
为科学应对网络与信息安全(以下简称信息安全)突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度的消除信息安全各类突发事件的危害和影响,制定本应急预案。
1.2工作原则
__县网络与信息安全突发事件应急工作,由__县网络与信息安全专项应急委员会统一领导和协调,督促相关部门遵照“统一领导、归口负责、综合协调、各负其职”的原则协同配合、具体实施,完善应急工作体系和机制。
各乡镇人民政府办公室、县直各部门和有关单位,按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制。按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任制和责任追究制。
我县要充分利用现有信息安全应急支援服务设施,整合我县所属信息安全工作力量,充分依靠省市各有关部门在地方的信息安全工作力量,进一步完善应急响应服务体系。
大力宣传信息安全防范知识,贯彻预防为主的思想,树立常备不懈的观念,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
1.3制定依据
《中华人民共和国计算机信息系统安全保护条例》;《中共中央办公厅、国务院办公厅转发〈国家信息化领导小组关于加强网络与信息安全保障工作的意见〉的通知》;《陕西省人民政府办公厅关于认真做好突发公共事件应急预案制定工作的通知》;《延安市人民政府有关部门和单位制定突发事件专项应急预案框架指南》。
1.4现状及其成因
当我们正在享受信息化所带来巨大利益的同时,也面临着信息安全问题的严峻考验。信息安全问题已覆盖了各个领域。特别是信息与网络犯罪有快速蔓延之势。反动组织和境内外敌对势力利用因特网从事各种违法犯罪活动,严重影响着社会稳定、经济发展和政权巩固。近年来,随着我国信息化进程的迅速发展,网络安全也需不断加强。信息安全保障基础工作和技术保障措施相对薄弱,与信息化快速发展的要求和日趋严峻的信息安全形势很不协调。
信息安全突发事件成因可分为两个方面:一是网络与信息系统自身的脆弱性,主要表现在:安全漏洞的普遍性存在,攻击和恶意代码的流行性,入侵检测能力的局限性和准确性,网络和系统管理的复杂性。二是网络与信息系统外部体制性的不安全性,主要表现在:信息安全法制不健全,全社会的信息安全意识淡薄,我县信息安全自主可控能力不强,技术防御整体水平不高,信息安全专业人才相对缺乏,专业队伍建设严重滞后。
1.5适用范围
本预案适用我县网络与信息安全应急处理工作。
基础通信网络的应急处理按照信息产业部有关规定实施,__县人民政府积极支持和配合。
2、组织机构及职责
2.1应急指挥机构
2.1.1__县网络与信息安全突发事件专项应急委员会
在__县应急委员会的统一领导下,设立县网络与信息安全突发事件专项应急委员会(以下简称县信息安全专项应急委),为__县人民政府处理信息安全突发事件应急工作的综合性议事、协调机构。主要职责是:按照国家、县信息安全应急机构的要求开展处置工作;研究决定全县信息安全应急工作的有关重大问题;决定信息安全突发事件应急预案的启动,组织力量对突发事件进行处置。
县信息安全专项应急委,由__县人民政府办公室主任担任主任职务,__县信息办主任担任副主任职务,成员由__县人民政府信息网络中心、县
公安局、县电视台、县财政局、县电信局及其他有关单位负责人组成。
县信息安全专项应急委下设办公室,设在__县人民政府办公室信息网络中心。由县信息化管理办公室主任任主任,承担县信息安全专项应急委的日常工作,负责全县信息安全突发事件日常监测与预警。其主要职责是:
督促落实__县应急委和__县信息安全专项应急委作出的决定和采取的措施;
拟订或者组织拟订县人民政府应对信息安全突发事件的工作规划和应急预案,报县人民政府批准后组织实施;
督促检查县直有关部门和乡镇信息安全专项应急预案的制订、修订和执行情况;
汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议;
监督检查县直有关部门和乡镇信息安全专项应急委的信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作;
组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划,报县人民政府批准后督促落实;
县应急委和县信息安全专项应急委交办的其他工作。
2.1.2__县信息安全应急指挥部
在发生重大信息安全突发事件时,县信息安全专项应急委可以决定启动县信息安全应急指挥部,由分管信息化工作的副县长任总指挥,__县信息管理办公室主任担任副总指挥,统一指挥重大信息安全突发事件的处置工作。其主要职责是:组织组判定突发事件级别,根据情况提出加强或撤销控制措施的建议和意见;组织召开部门协调会议,协调县直各部门、各乡镇人民政府、企事业单位共同做好突发事件处置工作;检查督导突发事件应急措施的落实情况;及时收集、上报和通报突发事件有关情况,负责向县人民政府报告有关工作情况。
2.2__县信息安全专项应急委各成员单位的职责
县信息办:统筹规划建设应急处理技术平台,会同县公安局、县电信局等有关部门组织制定全县突发事件应急处理政策文件及技术方案。负责向县人民政府报告有关工作情况。
县公安局:严密监控境内互联网有害信息传播情况,制止互联网上发生对社会热点和敏感问题的恶意炒作,监测政府网站、新闻网站、门户网站的重大活动及运行安全。对发生重大计算机病毒疫情和大规模网络攻击事件进行预防和处置。依法查处网上散布谣言、制造恐慌、扰乱社会秩序、恶意攻击党和政府的有害信息。打击攻击、破坏网络安全运行等违法犯罪行为。
县财政局:制定经费保障相关政策及方案;保证应急处理体系建设和突发事件应急处理所需经费。
县电信局:提供可靠的网络软硬设施,协同公安系统,严厉打击破坏通信设施的犯罪分子,保证网络线路信息畅通。
2.3现场应急处理工作组
现场应急处理工作组,在出现安全事件后,对计算机系统和网络安全事件的处理提供技术支持和指导,遵循正确的流程,采取正确快速的行动作出响应,提出事件统计分析报告。
现场应急处理工作组由以下各方面的人员组成:
管理方面包含应急指挥部办公室主任或副主任,以及相关成员单位领导及部门负责人。主要确保安全策略的制定与执行;识别网络与信息系统正常运行的主要威胁;在出现问题时决定所采取行动的先后顺序;做出关键的决定;批准例外的特殊情况等。
技术方面县信息安全有关技术支撑机构技术人员。主要负责从技术方面处理发生问题的系统;检测入侵事件,并采取技术手段来降低损失。2.4应急指挥机构
信息安全事件应急组织体系详见附件(一)
3、预警和预防机制
3.1信息监测及报告
3.1.1
__县公安局、县通信、县信息办等部门应加强信息安全监测、分析和预警工作,进一步提高信息安全监察执法能力,加大对计算机犯罪的打击力度。
3.1.2建立信息安全事故报告制度,设立信息安全情况通报中心。
3.1.2.1发生信息安全突发事件的单位应当在事件发生后,应当立即向县信息安全专项应急委办公室报告。县直单位直接向县信息安全专项应急委办公室报告。
3.1.2.2发生信息安全突发事件的单位应当立即对发生的事件进行调查核实、保存相关证据,并在事件被发现或应当被发现时起及时将有关材料报至县信息安全专项应急委办公室。
3.2预警
__县信息安全专项应急委办公室接到信息安全突发事件报告后,应当经初步核实后,将有关情况及时向办公室主任报告,进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策。并及时报县应急委办公室。办公室主任视情况召集协调会,决策行动方案。
3.3预警支持系统
__县信息安全专项应急委办公室应建立和完善信息监测、传递网络和指挥决策支持系统,要保证资源共享、运转正常、指挥有力。
3.4预防机制
积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。
4、应急处理程序
4.1级别的确定
信息安全事件分级的参考要素包括信息密级、公众影响和资产损失等四项。各参考要素分别说明如下:
(1)信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素;
(2)公众影响是衡量信息安全事件所造成
的负面影响范围和程度的要素;
(3)业务影响是衡量信息安全事件对事发单位正常业务开展所造成的负面影响程度的要素;
(4)资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。
信息安全突发事件级别分为四级:一般(iV级)、较大(iii级)、重大(ii级)和特别重大(i级)。
iV级:县市区辖区内较大范围出现并可能造成较大损害的其他信息安全事件。
Ⅲ级:市直属重要部门网络与信息系统、重点网站或者关架到本地区社会事务或经济运行的其他网络与信息系统受到大面积严重冲击。
ii级:市直重要部门或局部地区基础网络、重要信息系统、重点网站瘫痪,导致业务中断,但纵向或横向延伸可能造成严重社会影响或较大经济损失。
i级:敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动,或者市直单位多地点或多地区基础网络、重要信息系统、重点网站瘫痪,导致业务中断,可能造成严重社会影响或巨大经济损失的信息安全事件。
4.2预案启动
发生iV级网络信息安全事件后,县人民政府启动相应预案,并负责应急处理工作;发生iii级网络信息安全事件后,县区人民政府启动相应预案,并由县信息安全应急指挥部负责应急处理工作;发生i、ii级的信息安全突发事件后,上报市人民政府启动相应预案,并由市信息安全应急指挥部负责应急处理工作。县信息安全应急指挥部办公室接到报告后,应当立即上报县信息安全应急指挥部的领导,并会同相关成员单位尽快组织专家组对突发事件性质、级别及启动预案的时机进行评估,向县应急委提出启动预案的建议,报县人民政府批准。在县人民政府作出启动预案决定后,县信息安全应急指挥部立即启动应急处理工作。
4.3现场应急处理
事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息,分别事件类别,确定来源,保护证据,以便缩短应急响应时间。检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。
抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统,实行特殊“防卫状态”安全警戒等。
根除:在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。
清理系统、数据恢复、运行程序、继续服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心,避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到机密数据,需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位,要有不同的担保。如果攻击者获得了超级用户的访问权,一次完整的恢复应该强制性地修改所有的口令。
4.4报告和总结
认真回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报信息办备案。重大信息安全事件处理结果报告表见附件三。
4.5应急行动结束
根据信息安全事件的处置进展情况和现场应急处理工作组意见,县信息安全应急指挥部办公室应组织相关部门对信息安全事件的处置情况进行综合评估,并由县信息安全应急指挥部及时向县应急委提出应急行动结束建议,并报县人民政府批准。应急行动是否结束,由县人民政府决定。
5、保障措施
5.1技术支撑保障
__县设立信息安全应急响应中心,建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
5.2应急队伍保障
我县要不断加强信息安全人才培养,进一步强化信息安全宣传教育,努力建设一支高素质、高技术的信息安全核心人才和管理队伍,提高全社会信息安全防御意识。大力发展信息安全服务业,增强社会应急支援能力。
5.3 物质条件保障
在__县信息化专项资金中安排一定的资金用于预防或应对信息安全突发事件,提供必要的交通运输保障,为信息安全应急处理工作提供可靠的物资保障。
5.4技术储备保障
__县信息安全专项应急委办公室要经常性组织相关技术人员进行培训,在允许的条件下,还可以邀请专家和科研力量,开展应急运作机制、应急处理技术等研究。
6、宣传、培训和演习
6.1公众信息交流
__县信息安全专项应急委办公室在应急预案修订、演练的前后,应利用各种新闻媒介如电视、网络、宣传单等方式进行宣传;并不定期的利用各种安全活动向人们宣传和普及信息安全应急常识。
6.2人员培训
为确保信息安全应急预案高效运行,__县信息安全专项应急委将定期或不定期地举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能熟悉掌握信息安全应急处理的知识和技能。
6.3应急演习
为了提高信息安全突发事件应急响应水平,__县信息安全专项应急委应定期或不定期组织预案演练。通过演习,进一步明确应急响应各岗位责任,对网络与信息预案中存在的问题和不足给予及时补充和完善。
7、监督检查与奖惩
7.1预案执行监督
__县信息安全专项应急委办公室负责对预案实施的全过程进行监督检查,督促成员单位按本预案指定的职责采取应急措施,确保及时、到位。
7.1.1发生重大信息安全事件的单位应当按照规定及时如实地报告事件的有关信息,不得瞒报、缓报。如发现任何人有瞒报、缓报、谎报等重大信息安全事件情况时,直接向__县信息安全应专项应急委举报。
7.1.2应急行动结束后,县信息安全专项应急委办公室对相关成员单位采取的应急行动的及时性、有效性进行评估。
7.2奖惩与责任
7.2.1对下列情况经县信息安全专项应急委办公室评估审核,报县信息安全专项应急委批准后予以奖励。
在应急行动中做出特殊贡献的先进单位或个人;在应急行动中提出重要建议方案,节约大量应急资源或避免重大损失的人员;在应急行动第一线做出重大成绩的现场作业人员。
7.2.2在发生重大信息安全事件后,有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的,县信息安全专项应急委办公室将予以通报批评;对造成严重不良后果的,将视情节由有关主管部门追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。
7.2.3对未及时落实县信息安全专项应急委指令,影响应急行动的效果的单位或个人,按《国务院关于特大安全事故行政责任追究的规定》、《陕西省重大事故责任追究制度》追究相关人员的责任。
8、附则
__县人民政府网络与信息安全重大突发事件应急预案,是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因,__县政府网络与信息系统、关系到国计民生的基础性网络及重要
信息系统的正常运行受到严重影响,出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象,以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动,或者对通信网络或信息设施、重点网站进行大规模的破坏活动,在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接或间接经济损失的事件。信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终原因。信息安全事件的客体是指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点,信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。
本预案通过演习、实践检验,以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势,及时进行修订和完善;
本预案所附的成员、通信地址等发生变化时也应随时修订;
本预案由__县人民政府信息化管理办公室会同县公安局、县电信局,报县人民政府批准后实施,授权县信息安全专项应急委办公室负责对本预案附件及附录的修改、审批和实施。
本预案由__县人民政府制定,由__县网络与信息安全专项应急委办公室负责解释。
本预案日常工作主要由__县人民政府信息网络管理中心负责。
联系电话:0911—8112565
传真:0911—8112021
联系地址:__县人民政府办公室信息网络中心
相关机构及人员通信录由县信息化管理办公室编制。
本预案自之日起实施。
附件一:
__县人民政府网络与信息安全
应急处理组织机构
一、网络与信息安全专项应急委员会
主任:__县人民政府办公室主任
副主任:__县信息网络中心主任
成员单位:县公安局
县信息网络中心
县财政局
县电信局
二、办公室
主任:__县人民政府办公室主任
副主任:__县信息网络中心主任
三、联络员
县公安局县信息网络中心县财政局县电信局
附件二:
重大信息安全事件报告表
报告时间: 年 月 日 时 分
单位名称:报告人:
联系电话:通讯地址:
传真:电子邮件:
发生重大信息安全事件的网络与信息系统名称及用途:
负责部门:负责人:
重大信息安全事件的简要描述(如以前出现过类似情况也应加以说明):
初步判定的事故原因:
当前采取的应对措施:
本次重大信息安全事件的初步影响状况:
事件后果:
影响范围:严重程度:
值班电话:传真:
附件3
重大信息安全事件处理结果报告表
原事件报告时间: 年 月 日 时 分
备案编号: 年 月 日 第 号 总第 号
单位名称:联系人:
联系电话:通讯地址:
网络或信息系统名称及用途:
已采用的安全措施:
重大信息安全事件的补充描述及最后判定的事故原因:
对本次重大信息安全事件的事后影响状况:
事件后果:影响范围:
严重程度:
本次重大信息安全事件的主要处理过程及结果:
针对此类事件应采取的保障网络与信息系统安全的措施和建议:
报告人签名:
附件四:
单位自行应急处理指南
1、网站、网页出现非法言论事件紧急处置措施
(1)网站、网页由主办部门的值班人员负责随时密切监视信息内容。
(2)发现在网上出现非法信息时,值班人员应立即向本单位信息安全负责人通报情况;
(3)信息安全相关负责人应在接到通知后立即赶到现场,作好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用。(4)追查非法信息来源,并将有关情况向本单位网络领导小组汇报。
(5)信息化领导小组组长召开小组会议,如认为事态严重,则立即向县人民政府信息化主管部门和公安部门报警。
2、黑客攻击事件紧急处置措施
(1)当有关值班人员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向信息安全负责人通报情况。
(2)信息安全相关负责人应在接到通知后立即赶到现场,并首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并将有关情况向本单位信息化领导小组汇报。
(3)对现场进行分析,并写出分析报告存档。
(4)恢复与重建被攻击或破坏系统
(5)信息化领导小组组长召开小组会议,如认为事态严重,则立即向县人民政府信息化主管部门和公安部门报警。
3、病毒事件紧急处置措施
(1)当发现有计算机被感染上病毒后,应立即向信息安全负责人报告,将该机从网络上隔离开来。
(2)信息安全相关负责人员在接到通报后立即赶到现场。
(3)启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
(4)如果现行反病毒软件无法清除该病毒,应立即向本单位信息化领导小组报告,并迅速联系有关产品商研究解决。
(5)信息化领导小组经会商,认为情况严重的,应立即县人民政府信息化主管部门和公安部门报警。
(6)如果感染病毒的设备是主服务器,经本单位信息化领导小组同意,应立即告知各下属单位做好相应的清查工作。
4、软件系统遭破坏性攻击的紧急处置措施
重要的软件系统平时必须做好备份工作,并将它们保存到安全的地方;一旦软件遭到破坏性攻击,应立即向信息安全负责人报告,并将该系统暂停运行;信息安全负责人要认真检查信息系统的日志等资料,确定攻击来源,并将有关情况向本单位信息化领导小组汇报,再恢复软件系统和数据;信息化领导小组组长召开小组会议,如认>,!
5、数据库安全紧急处置措施
主要数据库系统应做多个数据库备份;一旦数据库崩溃,值班人员应立即启动备用系统,并向信息安全负责人报告;在备用系统运行期间,信息安全工作人员应对主机系统进行维修并作数据恢复。
6、广域网外部线路中断紧急处置措施
(1)广域网线路中断后,值班人员应立即向信息安全负责人报告。
(2)信息安全相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。
(3)如属我方管辖范围,由信息安全工作人员立即予以恢复。
(4)如属电信部门管辖范围,立即与电信维护部门联系,要求修复。
7、局域网中断紧急处置措施
设备管理部门平时应准备好网络备用设备,存放在指定的位置。局域网中断后,信息安全相关负责人员应立即判断故障节点,查明故障原因,有必要时并向网络安全组组长汇报。如属线路故障,应重新安装线路。如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。如有必要,应向__县人民政府信息化主管部门汇报。
8、设备安全紧急处置措施
信息安全技术报告篇7
一、主要内容
2003年2月14日,美国公布了《确保网络空间安全的国家战略》报告(以下简称报告)。该报告共76页,是布什政府对《美国国土安全的国家战略》(2002年7月份公布)的补充,并由《保护至关重要的基础设施和关键资产的国家战略》(2003年2月14日公布)作为其补充部分。该报告确定了在网络安全方面的三项总体战略目标和五项具体的优先目标。其中的三项总体战略目标是:阻止针对美国至关重要的基础设施的网络攻击;减少美国对网络攻击的脆弱性;在确实发生网络攻击时,使损害程度最小化、恢复时间最短化。五项优先目标是:(1)建立国家网络安全反应系统;(2)建立一项减少网络安全威胁和脆弱性的国家项目;(3)建立一项网络安全预警和培训的国家项目;(4)确保政府各部门的网络安全;(5)国家安全与国际网络安全合作。
该报告明确规定,国土安全部将成为联邦政府确保网络安全的核心部门,并且在确保网络安全方面充当联邦政府与各州、地方政府和非政府组织,即公共部门、私营部门和研究机构之间的指挥中枢。国土安全部将制定一项确保美国关键资源和至关重要的基础设施安全的全面的国家计划,以便向私营部门和其他政府机构提供危机管理、预警信息和建议、技术援助、资金支持等5项责任。该报告把关键基础设施定义为"那些维持经济和政府最低限度的运作所需要的物理和网络系统,包括信息和通信系统、能源部门、银行与金融、交通运输、水利系统、应急服务部门、公共安全以及保证联邦、州和地方政府连续运作的领导机构"。该报告强调,确保美国网络安全的关键在于美国公共与私营部门的共同参与,以便有效地完成网络预警、培训、技术改进、脆弱性补救等工作。
二、出台背景
美国自20世纪40年明第一台计算机以来,相继建立了信息高速公路(nii)和全球信息基础设施(Gii),并涌现出英特尔芯片公司、微软公司、iBm公司等一大批全球信息产业的领头羊。因此,美国的信息技术及其应用水平遥遥领先,成为信息第一大国。信息技术及其产业不仅成为美国经济发展的支柱和动力,而且也成为美国交通、能源、金融、通讯乃至国防、情报等赖以存在和发展的基础。美国拥有世界上最为强大的军事和经济力量。这两种力量相互强化,相互依赖,同时也日益依赖于关键基础设施和网络信息系统。这种依赖关系成为了脆弱性的根源。因此,在美国政府看来,计算机网络的脆弱性已经给美国国家安全提出了一个紧迫的问题,关键基础设施和信息系统的安全成为美面临的首要威胁之一,"电子珍珠港"事件随时可能爆发,美国必须采取措施保障关键基础设施和信息系统的安全,避免"信息灾难"。
由大量信息系统组成的国家信息基础结构,已成为美国经济的命脉和国家的生命线,也成为容易受到攻击的高价值的战略目标。1988年,美国康奈尔大学计算机系研究生罗伯特o莫里斯制造出震惊世界的"莫里斯蠕虫病毒"事件,造成全球6000多所大学和军事机构的计算机受到感染而瘫痪,而美国遭受的损失最为惨重。美国政府2001年公布的评估报告显示,在2000年,黑客至少获得了美国的155个政府和18家民间机构计算机系统的完全控制权;美国商务部对下属部门的计算机系统进行全面监测后,发现存在5000多个安全漏洞,在被监测的1200多台工作站和主机中,有30%被划归"极度危险"类。针对网络安全方面的这些严重事故或隐患,美国前总统克林顿忧心忡忡地指出,"这个充满希望的时代也充斥着危险。所有受计算机驱动的系统都容易遭到入侵和破坏。重要经济部门或者政府机构的计算机一旦受到合力攻击,就会产生灾难性的后果"。
从20世纪80年代开始,美国政府以政府通告、总统行政命令等形式,不断推出有关信息安全的政策方针和各类规章制度,而且每隔数年就重新进行审定,以适应科技的发展趋势。与此同时,通过设立层层主管机构,逐步形成一整套信息安全防范体系。这一防范体系从关键基础设施和信息系统的脆弱性分析入手,要求各级政府和私营企业建立"预警一检测一反应一恢复"体系并制定出完善的补救计划,同时强调推广安全意识的教育,加强保护基础设施的研发工作,并力图在收集和分析有关国家威胁美基础设施的情报及开展国际合作方面有所建树。
1984年以来美国政府共了近10个涉及关键基础设施和信息安全的国家政策、通告、总统行政命令和国家计划,对如何维护关键基础设施和信息系统的安全提出了具体的要求。例如,克林顿总统于1998年5月签署的第63号总统令(pDD-63)规定,拥有最关键系统的政府部门被指定为第一批实施信息安全保护计划的要害部门,其中包括中央情报局、商务部、国防部、能源部、司法部、联邦调查局、交通部、财政部、联邦紧急事务处理局、国家安全局等,它们已经在1998年11月完成了其保护其关键信息系统的计划。2000年1月,根据pDD-63的要求,美国政府制定了《信息系统保护国家计划》,将信息安全保护分为十项内容,涉及到脆弱性评估、信息共享、事件响应、人才培养以及隐私保护、法律改革等。该计划要求在2000年12月建立一个具备初步运作能力的关键信息系统防备体系,到2003年5月实现全部运转。该计划力图实现三个主要目标,即准备和预防、侦查和反应及建立牢固的基础设施。
2001年10月,布什政府了《信息时代保护关键基础设施》的行政命令,组建了总统关键基础设施委员会,其成员包括国务卿、国防部长、司法部长、商务部长、行政管理与预算局局长、科学与技术政策办公室主任、国家经济委员会主席、总统国家安全事务助理、总统国土安全助理等官员。根据该命令,委员会主席将成为总统网络安全事务的特别顾问。他有权了解各部/局内属于其管辖范围的所有情况,并召集和主持委员会的各种会议、制定委员会的议事日程,向相关官员提供保护关键基础设施的政策和方案,并向总统国家安全事务助理和国土安全助理汇报。
今年2月14日,布什政府又公布了《确保网络空间安全的国家战略》,明确规定国土安全部将成为联邦政府确保网络安全的核心部门,并且在确保网络安全方面充当联邦政府与各州、地方政府和非政府组织,即公共部门、私营部门和研究机构之间的指挥中枢。
三、作用与影响
该报告是美国在网络安全方面专门出台的第一份国家战略,既凸现了布什政府对美国网络安全的担心与重视,也显示出其在新世纪确保美国信息霸权和安全的长远战略目标,必将对美国未来的国家安全战略指导思想、网络安全管理机制产生深远的影响。
第一,该报告显示,确保网络安全已经被提升为美国国家安全战略的一个重要组成部分。布什政府认为,信息技术的迅猛发展与计算机网络在美国的普及,已经使美国的国家安全问题不再局限于军事安全、经济安全和政治安全。网络的便捷使美国社会越来越依赖于信息技术,信息技术的发展已使之成为21世纪美国发展的支柱,而网络成为美国发展的神经中枢。以信息化方式运作的金融、商贸、交通、通信、军事等系统,成为美国国家经济与社会的基础。防止敌对组织或个人对美国的信息系统和全国性网络的破坏,已不再只是一个技术层面的概念,而成为与社会、政治、经济、文化等各个方面密切相关的问题,即这些领域的安全直接关系到美国国家安全的重要因素,信息安全已成为美国国家安全的一个重要组成部分,直接影响到美国的国家运转、经济发展和社会稳定。因此,布什政府出台这份《确保网络空间安全的国家战略》报告,显示出其对网络安全的高度重视。
第二,该报告是美国在"9·11"事件之后,为确保网络安全而采取的一系列举措中的一个核心步骤。其实,"9·11"事件发生后,布什政府一直担心恐怖分子会对美国发动网络恐怖袭击,因此,它采取一系列预防和打击网络恐怖活动的措施。布什政府经国会批准将反恐开支增加到600亿美元,为2000年反恐经费的5倍。其中用于打击网络恐怖活动的开支也增加了两倍多;迅速成立了"国土安全办公室"(即目前已经成立的国土安全部的前身),将打击网络恐怖作为其主要职责之一;任命网络反恐怖专家理查德o克拉克为总统网络安全顾问,并出任在"国土安全办公室"统辖下新设立的"电脑信息网络安全委员会"主席,负责制定、协调全美政府机构网络反恐计划和行动;着手建立一个政府网络(Govnet),使它与现行互联网分离,以保障政府通讯信息网络的安全性和保护美国国家信息基础设施;召集有副总统理查德·切尼、司法部长约翰·阿什克罗夫特和美国10大网络供应商高官参加的"网络恐怖袭击对策"会议;在美联邦调查局内新设反网络犯罪局,专门负责打击网络犯罪;指令美军加强网络战准备,防范网络恐怖袭击以及打击网络恐怖活动和支持网络恐怖的国家。美国总统布什还对美国指认的所谓纵容网络恐怖主义的国家发出警告称,"如果任何国家为网络恐怖主义者提供安全的避风港,国际社会将切断它与国际互联网的联系,把它排斥在互联网之外。"《确保网络空间安全的国家战略》报告明确提出,美国在网络安全方面的管理机构将会进一步加以整合,最终使国土安全部成为联邦政府确保网络安全的核心部门。
第三,该报告尤其强调发动社会力量对网络安全进行全民防御。虽然美国历届政府在维护信息系统安全方面采取了众多的措施,但它也意识到,仅仅依靠政府的力量是不够的,必须建立起一个全方位的防御体系,动员一切可以动员的社会力量。因此,美国政府十分重视与私营企业之间建立合作关系,重视发挥学术研究机构的优势,同时也重视培养美国公民的信息安全意识。首先,美国历届政府把建立政府和私营企业间的合作关系作为一个主要内容。政府强调保护美国的关键基础设施仅仅依靠联邦政府是不行的,必须与企业界、各州及地方政府进行积极有效的合作。例如,1998年11月,能源部、天然气研究所和电力研究所共同主办了能源论坛,邀请了100余家电力、天然气和石油企业和政府代表参加;1999年10月1日,由政府和私营企业联合发起建立了金融服务信息共享及分析中心。2001年1月,包括iBm在内的500多家公司加入了FBi成立的一个被称作"infraGard"的组织,共同打击日趋嚣张的网络犯罪活动。《确保网络空间安全的国家战略》报告也多次指出,"确保美国网络安全的关键在于美国公共与私营部门的共同参与"。
其次,重视发挥大专院校和社会科研机构的力量。目前许多大学都设有与信息技术和信息安全相关的学院、研究中心和专业,例如,卡内基-梅隆大学的软件工程研究所,乔治敦大学的计算机信息安全研究所、美国全国计算机安全协会、国际战略研究中心(CSiS)的技术委员会,卡内基国际和平研究所的信息革命与国际关系研究项目等等。目前,美国还开始利用高等院校的科研实力为其服务,2002年2月,美众院通过《网络安全研究与发展法案》,同意在5年内为大学和研究机构提供8.7亿美元的资助,用来研究保护美国计算机网络不受恐怖主义分子和黑客袭击的技术。政府与这些机构展开合作的最好事例就是,由国防部高级研究计划局出资,在卡内基-梅隆大学软件工程研究所内设立了计算机应急处理小组协调中心(CeRt)。该中心提供24小时紧急情况联络点,通过与世界范围内it界和专家之间的交流,提高人们对计算机安全的认识。
最后,重视人才的培养和公民的安全意识教育。该报告认为,到目前为止,还没有"电子珍珠港"事件能够唤醒公众采取行动保护美国网络的意识。许多美国人没有认识到美经济和国家安全对计算机和信息系统依赖到何种程度。而保卫美国的网络空间则需要所有美国人的行动,包括最普通的大众。《确保网络空间安全的国家战略》提出的具体措施包括:完善"网络公民计划",对美国儿童进行有关网络道德和正确使用互联网和其他通讯方式的教育;借助"关键基础设施安全伙伴"建立美国企业和信息技术精英间的合作关系;保证政府雇员具备保护信息系统安全的意识;在上述行动的基础上,把提高安全意识的活动推广到其他私营部门和普通公众。
参考书目:
1.国务院发展研究中心国际技术经济研究所编:《信息战与信息安全战略》,金城出版社,1995年。
信息安全技术报告篇8
【关键词】XBRL;网络财务报告;文献综述;研究现状;云计算
一、XBRL介绍
XBRL(eXtensibleBusinessReportingLanguage)是可扩展商业报告语言的缩写。它是基于XmL(eXtensiblemarkupLanguage,可扩展标记语言)产生的针对商务报告而设定的一种计算机通用语言,也就是说XBRL是XmL定的一种语言。它有着与XmL相同的可被各种软件和系统识别的功能,可以有效完成“商业信息编制、分析和交流”,达到低成本、高效率地提供准确可靠商业信息的功能。
XBRL最早是由美国注册会计师CharlesHoffman提出,很快在全球范围内掀起XBRL应用和推广浪潮。自1998年被aiCpa重视后,XBRL的发展受到多方关注,并受到各国争相学习与模仿。直至今日,全部的美国上市公司都已被强制要求使用XBRL披露财务报告。尽管我国的XBRL发展较晚,但自2006年财政部启动了XBRL项目以来,XBRL的研究受到财政部等机构的密切关注。到2010年,XBRL中国地区组织成为正式地区组织成员,标志着我国XBRL进展的又一里程碑。
XBRL技术构架主要由三部分构成:XBRL技术规范、XBRL分类标准、XBRL实例文档。其作用如图1所示。
正如人们当初预期的那样,XBRL的出现革新了财务信息采集的流程,整合了财务信息供应链,低成本、高质量、广范围地完成了会计报表要求,并加强了数据的可读性和有用性,实现了财务数据电子化交流。
二、我国研究XBRL的现状
目前,我国XBRL相关研究正处于初步发展阶段。正如我国研究XBRL资深学者张天西(2005)对我国境内72家具有证券审计资格的会计师事务所和74家不具有证券审计资格的事务所进行的典型调查和抽样调查结果显示,1.5%的事务所对XBRL知识有全面的了解;17.9%的事务所较为了解;41.8%的事务所了解一般;26.9%的事务所知识在相关网站和期刊杂志上见过,但对具体内容了解不多;11.9%的事务所在本次问卷调查之前没有听说过XBRL(截至2005年11月)。在如此被动的形势下,中国会计学会从2007年开始向广大学者以“信息化下的会计、财务与审计问题研究”主题进行征文,并在年会中将其作为主要议题之一进行探讨。经过几年的努力,第九届中国会计学会会计信息化年会将XBRL研究推向高潮(2010)。当年公开发表的关于XBRL的文章多达130余篇。同年,XBRL中国地区组织成为正式地区组织成员,并建立了XBRL技术规范及通用分类标准。
虽然短短5年来中国不断适应国际准则,加快aiS(会计信息系统)的完善,但不可否认,中国跟美国等其他XBRL技术成熟国家相比还有很长的路需要走。
为了更客观和定量地了解我国XBRL研究成果的现状,笔者深入搜索了中国学术期刊网络出版总库、中国学术期刊全文数据库、中国重要会议论文全文数据库、国家科技成果数据库等各类文献数据库,并对“XBRL”、“网络财务报告”为主题的所有期刊和会议论文(截至2011年8月)进行汇总,提取其中在国内具有代表性的核心重要刊物上发表的118篇进行深入分析,分类综述,并以图表的形式形象生动地呈现研究结果(表1,图2,图3,图4,表2)。
据表1、图2所示,我国学者对XBRL研究从公开发表刊物的数目上来看,数目还不是很多,XBRL的研究对于大多数人来说还是一个比较新的课题。每年公开发表期刊篇数有一定起伏,与XBRL愈来愈受到相关行业如会计、审计、信息技术、监管和政府重视的趋势不存在线性关系。说明我国XBRL的推广还存在不足,缺乏一批固定数量的学者对XBRL进行探索和研究。
据图4所示,近年来我国在XBRL应用及推广方面文献较多,而在审计与内控、文献综述、国外案例及其他(包括教育、政策与监管、其他各专项领域)等方向的内容还不够深入。大多公开发表文章的深度不够,基本上没有对我国XBRL使用状况进行实证研究,更多的是处于叙述问题和表达想法的阶段,缺乏从理论上对问题的论证和从实践上对数据的验证和反馈。
据表2所示,笔者将样本选取的118篇期刊和会议论文按照“安全与技术”、“分类标准与披露方式”、“内控和审计”及“应用及推广”等7个类别分别概括了其主要研究方向或关键词,以下对每个类别主要思想进行综述。
(一)在安全与技术方面
我国安全技术方面研究,主要分为两类:一类以风险控制和安全性为主要研究方向;另一类以技术实现为主要研究方向。两者相辅相成,构成实现基于XBRL技术的网络财务报告的两股力量。
在安全与风险方面,李承为、黄嘉临(2006)分析了网络风险和XBRL自身风险两个因素对网络财务报告呈报的影响,提出了完善公司内部网络环境建设,采取现代信息技术防范网络风险和对XBRL财务报告进行信息完整性验证相结合的方法来提高XBRL财务报告在网络环境下应用的有效性,并对XBRL财务报告网络呈报流程进行了改进。凌兰兰、朱卫东(2006)认为将XaRL与wSSm两种技术相结合,能构建一种可满足“为网络中处于各种系统下的合法信息使用者及时提供安全可靠的财务信息”安全要求的安全体系;并提出基于XBRL的无缝化网上报告安全体系的新思路,并详细阐述了实现其构想的具体流程。李建、申自玉(2007)结合当前会计信息化管理工作中存在的问题,详细分析了影响会计信息化管理中数据安全的因素及其防范对策,并提出我国可以参照美国的CoSo风险控制模型和国际信息系统审计与控制协会提出的信息系统和技术控制目标CoBit模型,以“适度防范”为原则,建立起在风险评估基础上的综合利用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、pKi服务、取证、网络入侵陷阱、主动反击等多种技术与产品的“技术防火墙”,保证企业信息系统的机密性、完整性和可靠性。
在技术方面,毛华扬、王瑞华(2008)分析和比较了目前实际应用中采用的存储方式(文件系统、关系数据库、原生XmL数据库)的优缺点,认为选择XBRL会计数据的存储方式时可从XBRL技术特点、会计数据特性和外部环境三个角度出发;指出目前采用拆分方式存储于关系数据库更符合实际应用,但原生XmL数据库是未来发展的必然选择,须加强在XBRL存储技术方面的研究。朱建国、陈志勇(2010)对XBRL方案的财务数据单次校验流程模式和两次校验流程模式进行了比较和分析,并在此基础上提出了在选择和发展数据传输校验模式时切不可忽视数据接收方和数据提供方双方的经济效用。黄敏、王震、杨诚、王颖(2010)针对目前我国证券行业信息披露方面主要通过把XBRL文档转化为关系表的方法处理XBRL数据中存在的映射转换过程复杂,转化中经常会造成信息丢失、冗余等问题,提出解决XBRL数据存储查询方案,探索XBRL在原生XmL数据库DB2中的存储与检索。其主要思路是:用DB2原生XmL方式存储XBRL数据(实例文档、模式文件和链接库文件),实例文档作为XmL属性列储存在关系表中;在XBRL实例文档列上对查询相关度高的元素建立XmL索引,根据实际需求对其进行检索;针对XBRL实例文档中的长文本数据,利用DB2netSearchextender建立基于XBRL的全文检索。以此作为解决当前XBRL技术应用在效率上与处理流程上存在诸多缺点的方案。
(二)在分类标准与披露方式方面
此类文献主要包括对XBRL基本概念与框架、分类标准制定、呈报(披露)方式与平台建设方面的研究,其中分类标准的制定与信息披露方式方面研究较为成熟。
李立成(2008)认为我国在引入XBRLGL时需要根据我国的会计准则、相关法规的要求以及我国的语言环境来进行定制,制定我国的XBRLGL要遵循符合我国会计准则的要求、符合XBRLGL的一般规范、便于国际间财务信息的交流、适应网络发展的新趋势、提高数据的共享程度和可拓展性的原则,按财务事实数据来源、结构、搜集数据、输入、整理、测试与输出7个步骤来建立。姚靠华、洪昀(2009)从本体论的内涵、XBRL层次结构和本体论基础、本体论的研究前景展望三个方面在发展、推广XBRL过程中本体论的重要性及作用。杨周南、朱建国、赵英吉等(2010)以第三方非营利组织理论、本体论、软件体系架构理论和软件成熟度模型理论作为理论基础,结合XBRL分类标准认证的内容,尝试建立了XBRL分类标准认证的方法学体系,并对方法学体系的构成要素和要素之间的关系进行了详细阐述。谌家兰(2011)首先依据iFRS、twGaap、GnGaap、USGaap所制定的XBRL进行分析及比较,建立一个新的XBRL,称为nCCUXBRLFR,搜集一般行业编制集团财务信息之流动资产和流动负债;接着透过对应标签的技术,设计逻辑规则库,内建四类nCCUXBRLFR分别对应四类XBRLFR之XBRL计算链接库,即可自动转换nCCUXBRLFR和四类XBRLFR的信息;最后利用四类之原本XBRLFR计算链接库,计算编制合并报表信息前的个别报表信息。张天西、黄长胤、吴忠生(2011)从财务信息元素出发提出“粒度”概念,建立元素粒度度量模型,并进一步研究了粒度量化度量的条件、原理和方法及其在分类标准制定过程中的作用,并给出了具体算例。为解决分类标准制定过程中的问题,提高分类标准质量,提出了基于元素粒度的分类标准元素遴选模型,并阐述了如何在制定分类标准的过程中利用该模型进行元素遴选,以确定分类标准元素边界。
在信息呈报与披露方式方面研究上,姚靠华、胡爱萍(2006)认为网络财务报告的语言标准化问题是网络财务报告发展过程中亟待解决的一个重要问题。针对这个问题,提出以XBRL为网络财务报告的标准平台的建议,并从技术、经济、需求和实践效果四个方面就其可行性和实现方式进行探讨。杨黎明(2007)认为XBRL平台的搭建有利于推动我国上市公司信息披露和证券信息服务业的规范、有序发展,并通过对基于XBRL的财务报告报送流程及推广难点进行分析,给出应对对策。张育强(2008)以截至2006年底在中小企业板上市的102家中小上市公司为样本对象,研究了中小企业在以计算机技术、互联网技术为特征的信息技术环境下的网络财务信息披露状况,探析了中小企业网络财务呈报水平、网络财务呈报形式、网络财务呈报态度以及融资困境与财务信息化的关系等问题;并就中小企业资源短缺,融资困难和财务信息化理念缺乏的实际提出变革中小企业网络财务呈报的建议。聂萍、周戴(2011)采用专家咨询法对服务平台的质量进行了评分,在此基础上对上海证券交易所、深圳证券交易所、台湾证券交易所、以色列证券交易所和美国证券交易委员会等所设置的XBRL示范服务平台从信息质量特征和网站适航性等方面进行比较与分析,提出了改进中国XBRL环境网络财务报告网页呈现质量的政策建议。
(三)在内控和审计方面
由于内控、审计与鉴证服务、信息质量等方面关系密切,其研究内容大多有交叉。故笔者将以上几个内容统一归类在“内控和审计”分类中,以方便综述。首先,在内控与信息质量方面,任家华(2009)参考CoSo框架,从内部控制5要素(控制环境、风险评估、控制活动、信息与沟通、监控)入手,分析XBRL系统的内部控制风险,并提出了相应的防范机制和可采用的国际经验借鉴,为中国上市公司的XBRL内控风险管理实务提供了指导意见。其次,在审计与鉴证方面,欧阳电平、郑春梅(2007)通过对XBRL财务报告的结构特征和风险分析,讨论XBRL财务报告的审计和鉴证服务的产生与发展,并对国外一种鉴证标准和技术XaRL的应用和发展进行剖析,以期对我国的审计界有所启示与借鉴。瞿晓龙、喻光继、陈军(2010)详细解读了网络环境、XBRL技术及审计流程三方面对审计的影响,提出审计人员应分阶段对被审计单位提供数据的可靠性、相关性进行验证,以更好地理解在信息系统中的业务流程和相关控制活动,更多关注连续审计环境下信息系统实时内部控制活动的有效性的建议。安宁(2011)以美国持续审计发展的制度分析为切入点,从正式约束与非正式约束两个方面阐释了制度环境对持续审计的影响,指出我国持续审计理论研究刚刚起步,实践活动面临多重困难与不确定性,并对相关制度环境的建设和完善提出对策。孙凡(2011)从XBRL鉴证服务的主体与客体、内容与种类等方面探讨了XBRL鉴证服务的结构与范畴等基本问题,从多角度提出发展XBRL鉴证服务的建议。
(四)在国外案例方面
朱琳(2009)对XBRL在美国的发展和研究进行深入探讨,并提出关于XBRL在中国的推广和应用的建议。杨海峰、黄长胤、赵英吉(2009)提供了XBRL在国际会计理事会、欧盟等组织和美国、法国、意大利、西班牙、加拿大、日本、印度等国家当前发展的最新动态汇总。彭屹松(2011)对XBRL技术及软件进行国际比较,分析我国XBRL软件开发中存在的问题,得到针对我国XBRL软件开发的启示。
(五)在研究综述方面
卢馨、雷蕾(2010)选择了国内外具有代表性的核心期刊和中国优秀博士论文库,围绕XBRL理论基础及其价值优势、XBRL分类标准制定以及XBRL财务报告的审计鉴证等方面进行了分类综述。通过对现有文献的样本统计分析发现,基于XBRL风险分类标准的财务报告审计鉴证研究将会成为新一轮的研究热点。明兆春、万■、那博(2010)从技术优势、技术认知、推广影响因素等研究方面的文献进行综述,认为目前的学者只是泛泛地探讨网络环境下会计业务流程重组问题,没有对不同行业的会计流程重组分别进行具体研究,因此对文章中分类综述的三方面XBRL研究方向给出自己的见解与意见。庄明来、魏森淼(2011)从XBRL的分类标准与会计应用、公司治理与审计、财务分析与流程再造、推广策略及其他四个方面对2001―2010年发表在核心期刊上的有关XBRL研究的文献进行概括与梳理。
(六)在应用及推广方面
刘永泽、胡仁昱、伊鸣(2007)分析了XBRL的特性及应用领域,并就XBRL在我国应用中存在的问题提出解决方案和发展前景展望。薛林生(2008)指出传统的财务报告是pDF、DoC、HtmL等格式的非结构化文档,甚至是纸介质的打印版,难于查询,更难于进行数据分析,无法获得信息使用者所需求的信息。而基于XBRL语言的价值链会计财务报告,是一种网络财务报告,是一种高效、可靠、廉价的财务报告方式,它可以让价值链上财务信息的使用者方便、及时地运用价值链会计核算体系提供的资料进行分析、管理与控制。作者从XBRL的基本原理、XBRL财务报告实现模式出发,对XBRL价值链会计财务报告系统实施的步骤作了具体划分,并对XBRL价值链会计财务报告在我国的推广应用提出自己的见解与意见。刘玉廷(2010)结合基于企业会计准则的可扩展商业报告语言(XBRL)通用分类标准和XBRL技术规范系列国家标准,就我国推广应用XBRL,推进会计信息化建设相关问题进行了论述,并就“实施企业会计准则通用分类标准,推动XBRL在我国财务报告领域的应用”和“推广应用XBRL的工作安排与具体措施”两方面给予指导性意见。张莲苓(2011)认为传统网络财务报告具有模式单一、数据不易抽取、无法提供实时的报告信息等缺陷,结合XBRL清晰的层次关系表达、内置验证机制、方便进行数据挖掘的技术特点,分析了XBRL的网络财务报告生成和报送环节的各种模式,并针对XBRL网络财务报告在我国的应用情况提出意见。
(七)其他
1.在政策与监管方面
凌兰兰、朱卫东(2007)针对国有企业监管信息收集困难、监管效率低的现状,提出将XBRL应用于国有企业监管系统,构建了中央国资委、省市级国资委和国有企业等利益相关主体监管系统,并分析了其益处。
2.在教育方面
瞿晓龙、胡国强(2010)认为XBRL是我国今后一段时期会计信息化建设与发展的重要一环,它的出现对会计人才培养提出了新要求。作者将相关会计人才分为三类(设计开发人才、操作维护人才和信息使用人才)分别进行论述,并针对我国会计人才培养现状,提出培养通晓XBRL会计人才的对策。谢筠、单禹(2011)认为审计对于全面推进XBRL,向社会提供经验证的共享、真实、完整的信息至关重要。作者在分析XBRL对审计产生影响的基础上,提出与XBRL相关的审计教学改革措施。
3.在专项领域方面
苑泽明、任志芬(2011)指出知识产权融资活动中的信息需求,总结基于融资目的的知识产权信息披露理论,并分别阐述从公权属性出发的对知识产权公共信息的强制披露和从保护私权属性出发的对知识产权私人信息的自愿披露的实现路径。
三、启示
首先,技术是信息共享的基础,安全是信息有效的保障。虽然“安全与技术”方面研究占总研究数的24%,但当前研究的广度和深度是无法满足未来XBRL使用要求的。我国XBRL安全与风险控制、技术方面研究仍需要大力推进,如XBRL数据的校验、清洗等。同时,XBRL的技术类文章,主要是由会计人员撰写,但此类文献与技术人员发表的文章其技术深度仍存在一定差距。从会计人员的角度出发,“安全与技术”类文章可以更多地从信息需求、技术支持等方面结合会计思考,而不是简单地讨论技术应用。
其次,在2006年至2011年间,国内关于XBRL文献综述的许多文章所综述的文献都是XBRL推广和应用早期发表的,距今年份较久,缺乏对我国XBRL研究现状的分析和探究。虽然我们不得不承认直至今日那些早期的文献仍具有研究和参考价值,但是同时也需要关注更多更贴近当下的文献。因为只有这样学者才有可能更加了解当下XBRL研究进展,弥补当前研究盲点和薄弱环节,提出新的思考。
再次,关于XBRL技术培训、软件应用及自定义编程的教育方面研究,在可预见的巨大的XBRL发展空间中却没有被重视。正如许多支持者所坚持的,XBRL能给我们带来巨大利益,具有可以跨平台实现“一次录入多次使用”的信息共享的优势。但很少有人提出如何培养具有XBRL专业知识及与其关联紧密的各行业专业知识的人才。如何应对未来缺乏这种跨学科、跨专业人才的现象,该如何普及相关知识认知与教育,还有待进一步分析与研究。中国XBRL研究刚刚起步,对于国内缺乏相关跨学科人才的现状,我们不得不作出思考,如何在大力推广XBRL应用的同时,保证未来多个相关行业、相关交叉学科专业人才的培养是现在亟待解决的问题。只有在了解、熟悉XBRL和其他相关专业知识的学者人才充裕的情况下,XBRL的发展才会一往无前,其巨大潜力才能够得以发挥。
最后,尽管我国对XBRL应用于审计与内控方面研究的文献从2010年起逐渐增多,但是仅仅参照国外利用XBRL技术进行审计的模式是不够的。结合我国特殊情况,分阶段、分步骤、分模块地逐步在审计、税收等模块中应用XBRL技术,才能实现经济利益最大化目标。笔者认为,可以将XBRL与eRp、云计算等结合使用,这不仅符合现实eRp软件推广上线和国内会计报告编制的发展趋势,同时还可有效推进内部会计控制制度规范目标的达成。正如大家所知,当前许多如oracle、Sap等软件公司,已将XBRL技术融入eRp软件中。从软件提供商角度来看,这不仅能满足eRp软件客户输出XBRL文档的要求,同时也为提供eRp软件服务的公司利用XBRL技术简化搜索和存储带来方便。同时近年我国许多大型企业纷纷上线eRp软件来对其财务、交易及人员进行管理,国内软件商如金蝶、用友等公司还为中小型企业提供“在线会计”、“在线CRm”等基于云计算的服务。如果我们能将XBRL技术嵌入eRp和云计算软件中,那么在XBRL文档的输出、存储,以及企业内部控制、审计、监管等方面都将大大获益。如在管理会计上,XBRL与eRp或云计算软件的结合使用,使得整个企业的资金流和业务状况清楚明晰且易于跟踪监察,完成企业内控目标;在财务会计上,XBRL与eRp或云计算软件的结合使用,轻松解决当前将pDF或HtmL格式的财务报告转化为XBRL格式文档的困扰,原生XmL方式产生的财务报告不仅信息可靠度高,同时还易于验证和存储;在审计方面,XBRL与eRp或云计算软件的结合使用,使得整个审计流程和难度得到简化;在人才培养方面,XBRL与eRp或云计算软件的结合使用,可以将相关技术的培训和数据的维护落实在eRp及云计算软件提供商身上,而不再是每个企业所懊恼的问题,软件提供商通过对提供软件服务进行定价,来弥补人才培养与教育的支出。如果这个设想成立,那XBRL与eRp、云计算的结合运用,将在不改变会计信息内容的原则上,以最小的沉没成本最大化地满足企业内部会计控制、相关XBRL技术人才培养及审计数据的采用等各方面要求。
【参考文献】
[1]刘世平,罗黎明,董凤江.XBRL实用案例剖析[m].经济科学出版社,2010.
[2]张天西,等.网络财务报告――论XBRL的理论框架及技术[m].复旦大学出版社,2006.
[3]XBRL中国地区组织.XBRL入门[eB].2010.
[4]李承为,黄嘉临.基于XBRL的无缝化网上报告安全体系之构想[J].中国注册会计师,2006(6).
[5]凌兰兰,朱卫东.基于XBRL的网络财务报告呈报及安全问题研究[J].中国管理信息化,2006(11).
[6]李建,申自玉.会计信息化管理中数据安全的风险与防范[J].中国管理信息化(会计版),2007(8).
[7]毛华扬,王瑞华.XBRL会计数据存储方案探讨[J].中国管理信息化,2008(16).
[8]朱建国,陈志勇.XBRL财务数据传送校验模式比较分析[J].会计之友,2010(9).
[9]黄敏,王震,杨诚,王颖.XBRL数据在原生XmL数据库中存储与检索的研究[C].第九届全国会计信息化年会论文集(上),2010.
[10]李立成.浅谈我国XBRL总账分类标准的制定[J].中国管理信息化,2008(3).
[11]姚靠华,洪昀.XBRL的本体论基础研究[J].财务与会计,2009(5).
[12]杨周南,朱建国,刘锋,孙凡,赵英吉.XBRL分类标准认证的理论基础和方法学体系研究[J].会计研究,2010(11).
[13]谌家兰.运用XBRL分类标准之会计准则转换――以集团企业合并管理财务信息为例[J].会计之友,2011(21).
[14]张天西,黄长胤,吴忠生.XBRL中的财务信息元素的粒度研究[J].会计之友,2011(21).
[15]姚靠华,胡爱萍.以XBRL为网络财务报告标准平台的探讨[J].中国管理信息化(综合版),2006(10).
[16]杨黎明.基于XBRL的上市公司信息披露研究[J].中国管理信息化(会计版),2007(9).
[17]张育强.中小企业网络财务呈报现状及建议――基于中小企业板上市公司的数据[J].中国管理信息化,2008(9).
[18]聂萍,周戴.基于XBRL环境网络财务报告网页呈现质量实证研究[J].会计研究,2011(4).
[19]任家华.基于XBRL的内部控制问题研究[J].中国管理信息化,2009(24).
[20]欧阳电平,郑春梅.XBRL财务报告的新风险及其审计鉴证[C].中国会计学会2007年学术年会论文集(上册),2007.
[21]瞿晓龙,喻光继,陈军.论网络环境下基于XBRL实施审计[J].会计之友,2010(4).
[22]安宁.构建我国持续审计变迁的制度环境[J].中国注册会计师,2011(7).
[23]孙凡.XBRL鉴证服务探讨[J].会计之友,2011(21).
[24]朱琳.XBRL在美国的发展及启示[J].财务与会计,2009(1).
[25]杨海峰,黄长胤,赵英吉.XBRL最新国际动态[J].会计研究,2009(3).
[26]彭屹松.国外XBRL软件开发技术比较及启示[J].财会月刊,2011(8).
[27]卢馨,雷蕾.XBRL的研究现状与展望[J].财会通讯,2010(27).
[28]明兆春,万■,那博.信息技术对会计业务流程的效应分析――基于对XBRL的文献综述[J].财会通讯,2010(30).
[29]庄明来,魏森淼.我国XBRL研究的十年回顾:2001-2010[J].会计之友,2011(21).
[30]刘永泽,胡仁昱,伊鸣.XBRL的应用分析与发展前景[J].财务与会计,2007(21).
[31]薛林生.基于XBRL的价值链会计财务报告的应用研究[J].会计之友,2008(12).
[32]刘玉廷.推广应用XBRL推进会计信息化建设[J].会计研究,2010(11).
[33]张莲苓.关于XBRL网络财务报告实现模式的分析[J].会计之友,2011(21).
[34]凌兰兰,朱卫东.XBRL在国有企业监管系统中的应用研究[J].会计之友,2007(5).
[35]瞿晓龙,胡国强.XBRL对会计人才培养的影响与对策[C].第九届全国会计信息化年会论文集(下),2010.
信息安全技术报告篇9
【关键词】会计信息质量XBRL财务报告分类标准
一、XBRL简介
XBRL是基于XmL语言的标准化财务报告,相对于传统的财务报告,其优越性主要体现在:第一基于XmL的跨平台优势,能够解决“信息孤岛”问题;第二是可靠性方面,XBRL自身提供了强大的验证机制,而且其柔性化报告模式的可能性能够在未来实现连续审计;第三是克服信息过载的问题,加强信息使用者获取信息的方便程度。
XBRL的技术架构按层次分为技术规范、分类标准和实例文档三部分。技术规范定义了创建XBRL分类标准和实例文档等应遵循的技术规则;分类标准由技术规范的FRta制定,包含一个模式文档和若干链接库文件,是财务元素概念和关系的集合;实例文档由技术规范的FRiS和分类标准共同决定,是对财务元素的情景化和实值化,最终体现为财务报告。分类标准和实例文档是会计人员接触的范畴。
二、XBRL对会计信息质量的改善作用
(一)分类标准对于会计信息质量的改善
本文主要介绍分类标准部分功能在可靠性和可比性上的提高作用。在最新XBRL2.1规范的支持下,通用分类标准的制定上能够对公式链接库和维度链接库进行定义。XBRL文件中的公式链接库具备强大的本地验证功能,其断言功能能够判断财务数据勾稽关系的一致性和异常值。相对于狭义的公式,公式链接库会根据事实值来生成布尔值进行断言,只要将会计业务规则转化在公式中进行实现,那么财务数据的验证效率和正确率将得以显著提高,提高信息质量的可靠性。另一方面,XBRL文件中的维度链接库克服了传统财务报告表格数据的结构固化导致的可比性差的问题,在文件中的超立方体项包含了定义好的各种维度,基本的财务元素会通过超立方体项加载上不同的维度成员,例如“库存商品”可以装载上“地区”和“商品种类”两个维度来制表。维度链接库灵活列示表格信息的功能有效解决了传统财务报告表格维度不一致而可比性差的难题。
(二)XBRL外部技术支持对会计信息质量的改善
针对XBRL的平台和技术等外部支持也能提高会计信息质量。对于传统财务报告,当多种不同需求主体需求财务报告时,往往需要在需求主体的相应系统中进行二次人工转换,会提高信息差错的可能性,而XBRL具备跨平台的优势,可以自由在不同系统之间进行无缝交换,加强了信息的可靠性和获取相关信息的及时性。而且,对于不同的信息需求者来讲,XBRL实例文档能根据各种样式表转换为各种不同的列报方式,支持主表和附注之间的跳转,降低信息使用者的认知成本,改善信息的相关性。目前,沪深两市的XBRL平台已经实现了会计信息的相互可比,信息使用者可以得到最多5家不同企业的横向比较与同一企业5年信息的纵向比较,信息的可比性也得到显著提高。
三、XBRL信息质量的现存问题分析
(一)分类标准的适用性问题
我国财政部考虑了与iFRS的趋同性,因此在制定模式上效仿iFRS分类标准,以会计准则为导向进行通用分类标准的制定,这使得通用分类标准能够与企业会计准则高度契合,财务元素与披露规则的匹配性较好。但这样的分类标准制定模式没有考虑到企业在报告实务中的偏好性问题,这导致企业在XBRL的编制中会自行扩展财务元素。在自行扩展上,企业在不仅要扩展元素,还需要扩展元素之间的关系,我国会计人员的XBRL技能与经验尚不成熟,在XBRL的编制上出错率较高,容易出现对扩展元素概念和概念关系的认知差错,元素的扩展反而会降级信息质量的可靠性。
(二)XBRL的技术复杂性问题
通用分类标准的维度链接库为信息质量的改善提供了强大的功能。但是维度仍然由财政部固化在分类标准当中,不同行业为满足自身在附注上的实务偏好也要对维度进行扩展,这对会计从业人员的计算机水平提出了更高的要求。目前通用分类标准的元素结构实现了扁平化,元素之间的关系只能通过定义、展示等链接库进行表示。而我国的会计人员缺乏XBRL培训的背景,对这种扁平而缺乏层次的财务元素结构难以理解,很难灵活运用XBRL的维度功能。同时XBRL技术的复杂性导致进入成本较高,其在企业中采纳和扩散也受到了阻碍。因此,XBRL对信息质量的改善上目前存在着较大的局限性。
(三)XBRL信息安全和审计问题
公式链接库的校验功能主要通过软件开发商来实现,而且已经能够满足证券市场对XBRL业务规则的需求。但是该优势仅体现在本地检验上。XmL自身并没有对数据传输过程中的完整性提供校验和加密机制,这使得XBRL报表在传输过程中仍然存在着信息丢失和遭受拦截篡改的可能性。我国沪市在同步报送财务报告和XBRL报告时,会提醒用户以财务信息仍然要以pDF报告为准,也反应了这一情况。除了信息安全存在风险之外,我国对也没有针对XBRL报告的审计体系,目前两市直接以审计后的pDF报告生成XBRL文档,没有对XBRL的分类标准质量和实例文档的质量进行进一步审计,这也使XBRL表达出来财务信息缺乏足够的可靠性和准确性。在国外已有学者基于XBRL上扩展出了XaRL语言,目的是对XBRL报告进行审计鉴证,提高信息使用者对于信息真实性评估的确定性,目前国内对于XaRL的研究极少,相关工作也难以开展。
(四)XBRL蟾娴挠杏眯晕侍
张天西、李晓荣(2011)指出XBRL的潜力之一就是支持数据挖掘工作。目前沪深两市仍然在采用各自的分类标准,实例文档中仅包含了合并过后的数据信息,没有对财务信息元素进行进一步细分,数据的向下挖掘没有实现。要实现从报表到账簿的追溯,需要将会计账簿标准化,这需要XBRLGL的支持。我国对标准账的应用仍处于探索阶段,目前XBRL并不能提高内部决策的有用性。另外,沪深两市的XBRL平台的功能比较单一,用户仅能获取限定年份的主表信息,主表和附注之间的跳转等帮助用户理解的功能也没有实现,外部决策的有用性上也没有得到充分体现。
四、小结
对于XBRL对信息质量改善存在的问题,相关部门应充分考虑不同的行业特征,改善通用分类标准,避免企业自行扩展过多的财务元素;投入资金加强会计人员的XBRL技能培训,提高市场的认知接纳水平,加快通用分类标准在两市的推广运用;建立XBRL的信息安全保障体系,在信息安全管理方面加快建立风险评估和审计机制;利用多种优惠政策鼓励软件开发商对于标准账的开发工作,尽快实现XBRL信息的数据挖掘功能。
参考文献
[1]陈潇怡.2016.XBRL财务报告实施现状、质量风险与对策.财会月刊[J],1:24-27.
信息安全技术报告篇10
一、下载申报相关材料和模板
访问全国信息安全标准化技术委员会网站(tc260.org.cn),点击上方“工作动态”标签,点击左侧边栏“通知公告”,在通知公告中找到“关于印发《2021年网络安全国家标准项目申报指南》的通知”,下载通知下方附件。
二、准备申报材料
按照《全国信息安全标准化技术委员会标准制修订工作程序》的要求,根据《2021年网络安全国家标准项目申报指南》的支持范围进行申报,填写《网络安全国家标准项目申请书》、《国家标准项目建议书》,并准备标准草案。
三、在线填报申报材料
访问全国信息安全标准化技术委员会网站(tc260.org.cn),点击右上方“平台登录”标签,使用相应工作组的成员单位账号(wG或SwG开头的账号)进行登录;进入“信息安全标准项目管理与服务平台”页面后,选择“立项管理”模块;根据申报项目的类型,选择“制修订立项管理”或“研究立项管理”;点击右上方“新增”按钮,进入立项信息在线填报页面;按照平台要求完整填写相应信息,上传《网络安全国家标准项目申请书》、《国家标准项目建议书》和《标准草案》(均需提交woRD版);点击“申请”完成在线立项申报流程。
四、报送纸质申报材料
项目申报单位将在线上传的《网络安全国家标准项目申请书》、《国家标准项目建议书》和《标准草案》等纸质文件各一份,加盖所在单位公章,寄送至全国信息安全标准化技术委员会秘书处。
五、秘书处联系方式
全国信息安全标准化技术委员会秘书处
北京市安定门东大街1号(100007)
联系人:蔡一鸣