時(shí)間:2023-07-04 16:27:09
導(dǎo)語(yǔ):在安全審計(jì)的類(lèi)型的撰寫(xiě)旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能。
① 等價(jià)有償確實(shí)是民法通則所規(guī)定的民事活動(dòng)的原則之一, 但不能因此將該原則理解為一切民事活動(dòng)的必要準(zhǔn)則。道理很簡(jiǎn)單, 民法通則所調(diào)整的社會(huì)關(guān)系并非都是商品交換關(guān)系(比如民法通則所調(diào)整的人身關(guān)系和身分關(guān)系在本質(zhì)上不是商品關(guān)系)。即使民法通則所調(diào)整的商品關(guān)系也未必一定必須是實(shí)行等價(jià)有償原則的關(guān)系( 比如基于自愿的贈(zèng)與關(guān)系和無(wú)息借貸關(guān)系, 基于公法干預(yù)的那部分非完全收費(fèi)的醫(yī)療服務(wù)關(guān)系)。
② 更為重要的是, 就損害賠償關(guān)系的法律調(diào)整而言, 等價(jià)有償原則并不意味著損害賠償關(guān)系的調(diào)整應(yīng)當(dāng)以該項(xiàng)損害賠償關(guān)系的前提關(guān)系是否體現(xiàn)了等價(jià)有償為原則, 換言之, 并不意味著賠償額占實(shí)際損失額的比例應(yīng)當(dāng)與受害人在該項(xiàng)損害賠償關(guān)系的前提關(guān)系中所支付的代價(jià)占其所獲得的利益的比例相一致, 而是意味著應(yīng)當(dāng)賠償?shù)臄?shù)額與實(shí)際損失的金額相符即實(shí)際賠償。正是在這個(gè)意義上, 筆者認(rèn)為, 民法通則關(guān)于侵權(quán)賠償責(zé)任的規(guī)定所體現(xiàn)的實(shí)際賠償原則, 是民法通則總則所確立的等價(jià)有償原則在侵權(quán)責(zé)任關(guān)系中適用的結(jié)果, 是等價(jià)有償原則的具體體現(xiàn)。就民法調(diào)整的醫(yī)患關(guān)系而言, 等價(jià)有償原則對(duì)醫(yī)療服務(wù)關(guān)系(即醫(yī)療事故賠償關(guān)系的前提關(guān)系)的作用在一定范圍內(nèi)或一定程度上受到了體現(xiàn)公共福利政策的公法的制約, 因而醫(yī)療服務(wù)關(guān)系在一定范圍內(nèi)或一定程度上可能并非完全貫徹等價(jià)有償原則,但是,我們不能以醫(yī)療服務(wù)關(guān)系(盡管是一定范圍內(nèi)的)的不完全等價(jià)有償性為由,否定實(shí)際賠償原則在醫(yī)療事故賠償關(guān)系中的適用。
③ 從比較法的角度看, 現(xiàn)代民法發(fā)展的重要趨勢(shì)之一是其權(quán)利救濟(jì)機(jī)能的擴(kuò)張(往往是通過(guò)民事特別法或判例的形式),它不僅作用于傳統(tǒng)的私法關(guān)系領(lǐng)域(商品經(jīng)濟(jì)關(guān)系,私人之間的關(guān)系),而且作用于帶有一定公法性質(zhì)的社會(huì)關(guān)系領(lǐng)域( 公共福利的提供和利用關(guān)系, 國(guó)家與私人之間的行政管理關(guān)系)。其重要的背景之一是人權(quán)保障范圍的擴(kuò)大。資本主義國(guó)家的現(xiàn)代民法是如此, 社會(huì)主義市場(chǎng)經(jīng)濟(jì)國(guó)家的民法更應(yīng)當(dāng)如此。在損害賠償問(wèn)題上,不論侵權(quán)發(fā)生在什么領(lǐng)域, 都應(yīng)當(dāng)貫徹反映等價(jià)有償要求的實(shí)際賠償原則(至于是否有必要在特定侵權(quán)領(lǐng)域設(shè)立懲罰性賠償制度的問(wèn)題另當(dāng)別論)。
(5) 在支持限制醫(yī)療事故賠償、反對(duì)適用民法通則的議論中,有種似乎與上述可能存在的對(duì)等價(jià)有償原則的誤解有關(guān)聯(lián)的意見(jiàn)認(rèn)為,在醫(yī)療事故賠償問(wèn)題上,應(yīng)當(dāng)貫徹權(quán)利與義務(wù)相一致的原則。也就是說(shuō), 醫(yī)療事故被害人所享有的獲得賠償?shù)臋?quán)利應(yīng)當(dāng)與其承擔(dān)的付款義務(wù)相一致, 付款義務(wù)的大小決定了受償權(quán)的大小; 醫(yī)療機(jī)構(gòu)承擔(dān)的賠償義務(wù)應(yīng)當(dāng)與其收取醫(yī)療費(fèi)的權(quán)利相一致, 收費(fèi)權(quán)利的大小決定了賠償義務(wù)的大小。否則, 就是違反了權(quán)利義務(wù)相一致的法律原則。依筆者之見(jiàn), 這種看法也是似是而非的。
① 且不論權(quán)利與義務(wù)相一致這種表述本身是否妥當(dāng), 這種見(jiàn)解不是把權(quán)利義務(wù)相一致理解為權(quán)利和義務(wù)的統(tǒng)一性( 通常大概有幾種的含義, 比如,人們?cè)谙碛泻托惺蛊浞缮系臋?quán)利的同時(shí),應(yīng)當(dāng)履行其承擔(dān)的法律上的義務(wù);不能只享有法律上的權(quán)利,不承擔(dān)法律上的義務(wù),反之亦然;在特定的法律關(guān)系中,一方當(dāng)事人享有的權(quán)利就是另一方當(dāng)事人所承擔(dān)的義務(wù),反之亦然 ),而是理解為人在法律上的權(quán)利和義務(wù)的對(duì)等性, 即任何人享受的法律上的權(quán)利必須和他所承擔(dān)的法律上的義務(wù)相對(duì)等。這種理解顯然是不恰當(dāng)?shù)摹H绻?guī)定人的權(quán)利或義務(wù)的法都是以這種見(jiàn)解為依據(jù)的,那么其中許多的法一定是非常不合理的法。至少在大多數(shù)場(chǎng)合, 這種見(jiàn)解不符合我國(guó)現(xiàn)行法的實(shí)際。
② 即使在醫(yī)患關(guān)系這一特定的法領(lǐng)域, 這種見(jiàn)解也存在明顯的不當(dāng)之處。因?yàn)榘凑者@種見(jiàn)解的邏輯, 就應(yīng)當(dāng)徹底取消我國(guó)公共醫(yī)療服務(wù)行業(yè)所存在的非常有限的福利性或公益性, 應(yīng)當(dāng)徹底實(shí)行有病無(wú)錢(qián)莫進(jìn)來(lái)的醫(yī)療服務(wù)政策。
③ 如果這一見(jiàn)解在醫(yī)療事故賠償關(guān)系的法領(lǐng)域真的可以被認(rèn)為是妥當(dāng)?shù)脑?huà), 那么, 如前所述,合理的賠償標(biāo)準(zhǔn)就應(yīng)當(dāng)是醫(yī)療費(fèi)自付率和損害賠償率成正比,或者是福利程度與損害賠償程度成反比。這么說(shuō)來(lái), 權(quán)利義務(wù)一致論絕非是支持適用條例賠償規(guī)定的論據(jù), 恰恰相反,它實(shí)際上是反對(duì)適用條例的論據(jù)。
3. 醫(yī)療機(jī)構(gòu)的承受能力或償付能力有限這一事實(shí)判斷本身就是不恰當(dāng)?shù)摹<词鼓軌虺闪?也不應(yīng)當(dāng)以此為由限制醫(yī)療侵權(quán)被害人就其所受損害獲得全部賠償?shù)臋?quán)利。
(1) 醫(yī)療機(jī)構(gòu)的承受能力有限這種一般性的一刀切式的事實(shí)認(rèn)定,本身就是不恰當(dāng)?shù)摹R驗(yàn)樗静荒芊从超F(xiàn)實(shí)情況的多樣性:各個(gè)醫(yī)療機(jī)構(gòu)的償付能力因各自的實(shí)力和案件的具體情況而異。同一醫(yī)療機(jī)構(gòu),對(duì)于不同數(shù)額的賠償,其償付能力可能不同;不同的醫(yī)療機(jī)構(gòu),對(duì)于同等數(shù)額的賠償,其各自的償付能力也可能不同。說(shuō)得再通俗一點(diǎn), 對(duì)于一家實(shí)力雄厚的大醫(yī)院而言,即使是一件高達(dá)百萬(wàn)元的賠償,也許算不了什么; 而對(duì)于窮鄉(xiāng)僻壤的一間連工資也發(fā)不出的合作醫(yī)療站而言,即使是一件不足千元的賠償,也許足以使它關(guān)門(mén)倒閉。
(2) 即使醫(yī)療機(jī)構(gòu)的承受能力有限這一判斷在現(xiàn)實(shí)中的特定的某個(gè)案件中也許能夠成立,但由于這一判斷的對(duì)象只不過(guò)是個(gè)別事實(shí),該事實(shí)不具有一般性或典型性或唯一性,因此該事實(shí)與所謂的醫(yī)療福利性一樣,不具有立法事實(shí)的性格。所以, 該事實(shí)不應(yīng)當(dāng)被條例起草者在設(shè)計(jì)醫(yī)療事故賠償?shù)姆秶蜆?biāo)準(zhǔn)時(shí)作為立法事實(shí)加以考慮。如果條例起草者希望醫(yī)療事故處理機(jī)關(guān)在具體確定賠償數(shù)額時(shí)考慮醫(yī)療機(jī)構(gòu)的償付能力的話(huà), 那么就應(yīng)當(dāng)在條例第49條第1款中就此事實(shí)因素作出規(guī)定。只有這樣,條例的限制性賠償標(biāo)準(zhǔn)在具體適用中才可能減少或回避因立法上的一刀切而可能引起的明顯的不公正。
(3) 即使醫(yī)療機(jī)構(gòu)的償付能力有限這一事實(shí)具有相當(dāng)?shù)钠毡樾?并且相當(dāng)多數(shù)的醫(yī)療機(jī)構(gòu)在償付能力上的差異和相當(dāng)多數(shù)的醫(yī)療事故引起的損害在量上的差異小到如此的程度,以致于條例起草者在設(shè)計(jì)統(tǒng)一適用的賠償標(biāo)準(zhǔn)時(shí),可以省去這些差異而把該事實(shí)作為立法事實(shí)加以一刀切式的考慮, 在立法政策上, 這種考慮也是極不妥當(dāng)?shù)摹?/p>
① 醫(yī)療事故的被害人應(yīng)當(dāng)按照什么標(biāo)準(zhǔn)獲得賠償?shù)膯?wèn)題,換言之,發(fā)生醫(yī)療事故的醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)按照什么標(biāo)準(zhǔn)對(duì)被害人進(jìn)行賠償?shù)膯?wèn)題, 是醫(yī)療事故賠償案件的當(dāng)事人在法律上有何權(quán)利義務(wù)的問(wèn)題。條例起草者在解決醫(yī)療事故當(dāng)事人在損害賠償方面的權(quán)利義務(wù)這一問(wèn)題時(shí),當(dāng)然要對(duì)各種各樣的損害作出政策上的評(píng)價(jià), 確定什么樣的損害應(yīng)當(dāng)賠償, 什么樣的損害不應(yīng)當(dāng)賠償, 并在此基礎(chǔ)上規(guī)定應(yīng)當(dāng)賠償?shù)姆秶痛_定應(yīng)當(dāng)賠償?shù)臄?shù)額計(jì)算標(biāo)準(zhǔn), 即確定統(tǒng)一的賠償請(qǐng)求權(quán)和賠償義務(wù)的內(nèi)容。這里的關(guān)鍵問(wèn)題在于,在確定賠償范圍和賠償標(biāo)準(zhǔn),即確定求償權(quán)和賠償義務(wù)的內(nèi)容的時(shí)候,到底應(yīng)當(dāng)考慮什么,不應(yīng)當(dāng)考慮什么,到底應(yīng)當(dāng)以什么為基準(zhǔn)對(duì)某項(xiàng)損失是否應(yīng)當(dāng)作為賠償項(xiàng)目,對(duì)某一程度以上的損失是否應(yīng)當(dāng)賠償進(jìn)行評(píng)價(jià)。依筆者之見(jiàn),醫(yī)療機(jī)構(gòu)的償付能力不應(yīng)當(dāng)被作為評(píng)價(jià)標(biāo)準(zhǔn)或考慮因素之一。條例起草者原本應(yīng)當(dāng)區(qū)分應(yīng)當(dāng)賠償多少和有能力賠償多少這兩個(gè)問(wèn)題,不應(yīng)當(dāng)用賠償義務(wù)人的償付能力這一因素來(lái)限制被害人的賠償請(qǐng)求權(quán)的范圍和數(shù)額。 條例起草者的錯(cuò)誤在于,她把應(yīng)當(dāng)性與可能性混為一談,用可能性否定或限制應(yīng)當(dāng)性。按照條例起草者的邏輯, 我國(guó)民法通則所體現(xiàn)的實(shí)際賠償原則是完全錯(cuò)誤的,因?yàn)樗緵](méi)有考慮到侵害人的償付能力;產(chǎn)品責(zé)任法、消費(fèi)者權(quán)益保護(hù)法等涉及賠償問(wèn)題的民事特別法也都是錯(cuò)誤的,因?yàn)樗鼈円捕紱](méi)有考慮賠償義務(wù)人的償付能力;國(guó)家賠償法則更是錯(cuò)誤的,因?yàn)樗龥](méi)有考慮到國(guó)家這一公共利益的法律上的代表者的償付能力(更嚴(yán)重的錯(cuò)誤也許在于,國(guó)賠法要國(guó)家從國(guó)庫(kù)中拿錢(qián)即拿屬于全體人民的財(cái)產(chǎn)來(lái)賠償受害的私人);至于破產(chǎn)法則是錯(cuò)過(guò)了頭的,因?yàn)樗踔磷屬Y不抵債的企業(yè)關(guān)門(mén)倒閉,讓工人們失業(yè)。
② 筆者不知道條例第1條所規(guī)定的“保護(hù)醫(yī)療機(jī)構(gòu)的合法權(quán)益”這一立法宗旨與條例限制賠償?shù)囊?guī)定有無(wú)關(guān)系,也不知道條例起草者在設(shè)計(jì)賠償制度時(shí)是否意識(shí)到這一立法宗旨。不過(guò)人們從答記者問(wèn)的有關(guān)論述中也許可以發(fā)現(xiàn),答記者問(wèn)似乎把二者聯(lián)系在一起,似乎把條例限制賠償?shù)囊?guī)定理解為保護(hù)醫(yī)療機(jī)構(gòu)的合法權(quán)益.也就是說(shuō),大概在答記者問(wèn)看來(lái),較之其他侵權(quán)領(lǐng)域的賠償義務(wù)人,在同等情況下醫(yī)療事故機(jī)構(gòu)應(yīng)當(dāng)少賠, 少賠是醫(yī)療機(jī)構(gòu)的合法權(quán)益; 條例之所以要賦予醫(yī)療機(jī)構(gòu)這樣的權(quán)益, 理由之一是醫(yī)療機(jī)構(gòu)的償付能力有限。如果筆者的這些推測(cè)屬實(shí), 如果條例起草者也是如此認(rèn)為的話(huà), 那么,不僅條例限制賠償?shù)囊?guī)定, 而且條例所規(guī)定的“維護(hù)醫(yī)療機(jī)構(gòu)的合法權(quán)益”的立法宗旨,作為立法政策都是非常不妥當(dāng)?shù)摹R驗(yàn)檫@一立法宗旨的意圖之一是要賦予醫(yī)療機(jī)構(gòu)這一特定群體少賠的特權(quán).從而明顯地違反了平等原則.
(4) 衛(wèi)生部之所以把醫(yī)療機(jī)構(gòu)的償付能力(有限)作為限制賠償?shù)睦碛芍? 當(dāng)然不是僅僅為了維護(hù)醫(yī)療機(jī)構(gòu)的利益。衛(wèi)生部匯報(bào)表明, 她顯然是想通過(guò)維護(hù)醫(yī)療機(jī)構(gòu)的利益來(lái)維護(hù)廣大患者的就醫(yī)利益。大概在衛(wèi)生部看來(lái)(支持限制賠償政策的許多議論也一樣), 如果不限制賠償而實(shí)行實(shí)際賠償原則, 那么醫(yī)療機(jī)構(gòu)就可能會(huì)因賠償負(fù)擔(dān)過(guò)重發(fā)生運(yùn)營(yíng)上的困難甚至倒閉, 原本能夠向廣大患者提供的醫(yī)療服務(wù)就會(huì)受到嚴(yán)重影響。不僅如此, 醫(yī)療機(jī)構(gòu)也可能將其因支付賠償金而受到的經(jīng)濟(jì)損失, 通過(guò)某種方式轉(zhuǎn)嫁到廣大患者的頭上, 加重廣大患者的就醫(yī)負(fù)擔(dān)。
不過(guò)在筆者看來(lái), 盡管這種顧慮本身也許有一定道理, 但采用限制賠償?shù)姆绞絹?lái)回避實(shí)際賠償所可能引起的負(fù)面后果實(shí)際上大概是行不通的。理由如下。① 限制賠償并不是不要賠償, 現(xiàn)行條例所規(guī)定的賠償范圍和標(biāo)準(zhǔn)對(duì)于許多勢(shì)單力薄的醫(yī)療機(jī)構(gòu)而言, 仍然是難以對(duì)應(yīng)的。一旦發(fā)生損害額較高的醫(yī)療事故, 這些醫(yī)療機(jī)構(gòu)就完全可能面臨資不抵債的危機(jī), 更不用說(shuō)繼續(xù)為廣大患者繼續(xù)提供原有質(zhì)量的醫(yī)療服務(wù)。② 醫(yī)療事故機(jī)構(gòu)大概也不會(huì)因?yàn)樯儋r幾個(gè)錢(qián)就放棄轉(zhuǎn)嫁損失的念頭(如果它想轉(zhuǎn)嫁的話(huà))。所以, 現(xiàn)行條例的限制賠償政策并不能回避在實(shí)際賠償?shù)膱?chǎng)合所可能引起的影響廣大患者就醫(yī)利益的后果。按照醫(yī)療機(jī)構(gòu)償付能力有限論的邏輯, 要避免賠償對(duì)醫(yī)療機(jī)構(gòu)運(yùn)營(yíng)能力和對(duì)廣大患者利益的負(fù)面影響, 徹底的辦法是完全免除醫(yī)療機(jī)構(gòu)的賠償責(zé)任。
4. 經(jīng)濟(jì)發(fā)展水平(不高)這一因素也不能成為條例限制賠償?shù)恼?dāng)理由
說(shuō)我國(guó)經(jīng)濟(jì)發(fā)展水平不高或者說(shuō)我國(guó)仍處于社會(huì)主義初級(jí)階段,國(guó)家還不富裕, 人民生活水平在總體上還比較低, 也許誰(shuí)也不會(huì)有異議。但是如果以此為由, 否定實(shí)際賠償原則對(duì)醫(yī)療事故賠償?shù)倪m用, 說(shuō)條例限制賠償是合理的,人們也許就難以理解了。
所謂“經(jīng)濟(jì)發(fā)展水平(不高) ”這一判斷,當(dāng)然是就我國(guó)與發(fā)達(dá)國(guó)家的比較而言的。它不是關(guān)于我國(guó)國(guó)內(nèi)某一地區(qū)的經(jīng)濟(jì)狀況的判斷,并不涉及國(guó)內(nèi)不同地區(qū)的經(jīng)濟(jì)發(fā)展水平的狀況。那么, 我國(guó)不同地區(qū)的經(jīng)濟(jì)發(fā)展水平和居民生活水平是怎樣的呢? 是基本上均衡的呢? 還是存在巨大差別的呢? 毫無(wú)疑問(wèn),至少就相當(dāng)一部分地區(qū)而言, 答案應(yīng)當(dāng)是后者。
答記者問(wèn)和衛(wèi)生部匯報(bào)之所以強(qiáng)調(diào)我國(guó)經(jīng)濟(jì)發(fā)展水平不高,其目的顯然是想讓患者們明白以下的道理。我國(guó)的經(jīng)濟(jì)水平還遠(yuǎn)遠(yuǎn)沒(méi)有達(dá)到如此高的程度,就像發(fā)達(dá)國(guó)家那樣,老百姓一般能夠付得起相當(dāng)高額的醫(yī)療費(fèi),其生命健康利益或生存利益具有相當(dāng)高的可期待價(jià)值,其生存費(fèi)用也達(dá)到了相當(dāng)高的水準(zhǔn); 醫(yī)療機(jī)構(gòu)能夠賺取高額的醫(yī)療收入因而實(shí)力雄厚,在發(fā)生醫(yī)療事故的情況下有能力承擔(dān)高額的賠償費(fèi); 醫(yī)療事故的被害者可以像發(fā)達(dá)國(guó)家的醫(yī)療事故被害者那樣,有可能或有“資格”獲得相當(dāng)高額的賠償金。既然如此, 在我國(guó)經(jīng)濟(jì)水平還不高的現(xiàn)在和未來(lái)相當(dāng)長(zhǎng)的時(shí)期內(nèi),在醫(yī)療事故賠償問(wèn)題上,就不得不對(duì)患者群體的對(duì)醫(yī)療事故賠償?shù)牟磺袑?shí)際的過(guò)大期待加以合理的限制。
關(guān)于經(jīng)濟(jì)發(fā)展水平和賠償標(biāo)準(zhǔn)或人的生命健康利益在經(jīng)濟(jì)上的價(jià)值之間應(yīng)當(dāng)具有什么樣的關(guān)系的問(wèn)題,本文姑且不加以討論。筆者在此只針對(duì)上述以經(jīng)濟(jì)發(fā)展水平為理由的賠償限制論談點(diǎn)意見(jiàn)。只要人們承認(rèn),在我國(guó)相當(dāng)范圍的不同地區(qū),經(jīng)濟(jì)發(fā)展的水平存在著巨大差異。在已經(jīng)相當(dāng)富裕的沿海大城市和仍然極度貧窮的部分農(nóng)村,不僅兩地居民的生活水平(掙錢(qián)能力、生活費(fèi)用、包括享受醫(yī)療服務(wù)在內(nèi)的消費(fèi)能力或負(fù)擔(dān)能力等)、可期待平均壽命和生命健康利益的經(jīng)濟(jì)價(jià)值(觀)存在著相當(dāng)程度的差異, 而且兩地醫(yī)療機(jī)構(gòu)的經(jīng)濟(jì)實(shí)力也大都存在著相當(dāng)程度的差距,就可以作出如下的論斷。答記者問(wèn)或條例起草者所主張的我國(guó)經(jīng)濟(jì)發(fā)展水平(不高)這一事實(shí),對(duì)于證明條例限制賠償政策的合理性而言,是不合格的,沒(méi)有關(guān)聯(lián)性的。因?yàn)檫@一事實(shí)認(rèn)定僅僅是關(guān)于整個(gè)國(guó)家經(jīng)濟(jì)狀況的判斷,而條例的限制賠償規(guī)定所適用的對(duì)象是發(fā)生在經(jīng)濟(jì)發(fā)展水平可能存在巨大差異的國(guó)內(nèi)不同地區(qū)的醫(yī)療事故賠償案件。基于國(guó)際比較的我國(guó)經(jīng)濟(jì)發(fā)展水平不高這一事實(shí)認(rèn)定,顯然不能用來(lái)作為解決我國(guó)這樣一個(gè)不同地區(qū)經(jīng)濟(jì)發(fā)展水平懸殊、老百姓貧富差距巨大的國(guó)家的醫(yī)療事故賠償標(biāo)準(zhǔn)問(wèn)題的依據(jù)。
5. 四項(xiàng)事實(shí)根據(jù)與條例關(guān)于限制賠償規(guī)定的實(shí)際關(guān)系•有關(guān)限制性規(guī)定存在的主要問(wèn)題[59]
議論至此,有必要概觀一下上述四項(xiàng)事實(shí)根據(jù)與條例關(guān)于賠償?shù)囊?guī)定(第50條)的實(shí)際關(guān)系并對(duì)有關(guān)限制性規(guī)定作一簡(jiǎn)短的評(píng)論。在此先確認(rèn)一點(diǎn),四項(xiàng)事實(shí)根據(jù)中的“醫(yī)療行為的高風(fēng)險(xiǎn)性”似乎與條例關(guān)于賠償?shù)囊?guī)定沒(méi)有什么明顯的關(guān)系。
(1) 條例關(guān)于賠償項(xiàng)目的規(guī)定。
如前所述,條例未將患者本人因醫(yī)療事故致殘喪失勞動(dòng)能力而導(dǎo)致的收入損失和死亡而導(dǎo)致的收入損失作為賠償項(xiàng)目(即殘疾賠償金和死亡賠償金)加以列舉。由于條例關(guān)于賠償項(xiàng)目的列舉是完全列舉,所以條例未列舉這兩個(gè)項(xiàng)目意味著條例否定二者是應(yīng)當(dāng)賠償?shù)膿p失。
依筆者之見(jiàn), 四項(xiàng)事實(shí)根據(jù)中的“醫(yī)療行業(yè)的福利性”和“醫(yī)療機(jī)構(gòu)的償付能力”這兩條大概成了否定該項(xiàng)損失賠償?shù)氖聦?shí)根據(jù)。
將這兩項(xiàng)重要損失排除在賠償范圍之外,從我國(guó)民事賠償法的現(xiàn)狀來(lái)看,可謂條例對(duì)賠償范圍所作的重大限制。如前所述,民法通則第119條雖未列舉這兩項(xiàng)損失,但由于該條的列舉是不完全列舉,所以在特定案件的審理中如果確認(rèn)其存在,法院就可以通過(guò)對(duì)民法通則第119條的解釋將該其納入應(yīng)當(dāng)賠償?shù)姆秶畠?nèi)(當(dāng)然,在最高法院人身?yè)p害賠償解釋于2004年5月1日起實(shí)施后,法院可以直接適用該解釋中關(guān)于這兩項(xiàng)損害賠償?shù)囊?guī)定)。值得注意的是,在衛(wèi)生部考慮修改辦法之前,承認(rèn)這兩項(xiàng)賠償?shù)耐鈬?guó)的和臺(tái)灣的醫(yī)療侵權(quán)賠償制度的有關(guān)情況已為我國(guó)法學(xué)界所熟知,我國(guó)的國(guó)家賠償法也已明確作出了相關(guān)的規(guī)定。因此,衛(wèi)生部當(dāng)然應(yīng)當(dāng)知道這些情況。據(jù)此筆者推測(cè),衛(wèi)生部在修改辦法起草條例時(shí)不是疏忽而是特意將二者排除在賠償范圍之外(遺憾的是,衛(wèi)生部匯報(bào)中沒(méi)有提及這個(gè)重要問(wèn)題,答記者問(wèn)對(duì)此也沒(méi)有直接發(fā)表任何意見(jiàn))。
條例排除對(duì)這兩項(xiàng)損失的賠償是完全說(shuō)不通的。條例既然將非殘疾患者的誤工損失納入賠償范圍,就應(yīng)當(dāng)將殘疾患者因喪失勞動(dòng)能力而導(dǎo)致的收入損失納入賠償范圍,更應(yīng)當(dāng)將死亡患者喪失的收入利益納入賠償范圍。承認(rèn)前者而否定后二者是根本不盡情理的。
(2) 條例關(guān)于賠償標(biāo)準(zhǔn)的規(guī)定。
① 關(guān)于誤工費(fèi)賠償數(shù)額的限制(患者有固定收入的,•••對(duì)收入高于醫(yī)療事故發(fā)生地上一年度職工年平均工資3倍以上的,按照3倍計(jì)算)、殘疾生活補(bǔ)助費(fèi)的支付標(biāo)準(zhǔn)(按照醫(yī)療事故發(fā)生地居民平均生活費(fèi)計(jì)算,自殘疾之月起最長(zhǎng)賠償30年•••)、被扶養(yǎng)人生活費(fèi)的支付標(biāo)準(zhǔn)(按照其戶(hù)籍所在地或者居住地居民最低生活保障標(biāo)準(zhǔn)計(jì)算•••)和精神損害撫慰金數(shù)額的限制(按照醫(yī)療事故發(fā)生地居民年平均生活費(fèi)計(jì)算,造成患者死亡的,賠償年限最長(zhǎng)不超過(guò)6年;造成患者殘疾的,賠償年限最長(zhǎng)不超過(guò)3年)的規(guī)定,大概也與“醫(yī)療的福利性”和“醫(yī)療機(jī)構(gòu)的償付能力”這兩條考慮有關(guān),也可能與“我國(guó)經(jīng)濟(jì)發(fā)展水平(不高) ”這一考慮有關(guān)。另外,關(guān)于陪護(hù)費(fèi)、喪葬費(fèi)、住宿費(fèi)、交通費(fèi)等項(xiàng)費(fèi)用的人數(shù)限制大概也是如此。“按照醫(yī)療事故發(fā)生地……計(jì)算”之類(lèi)的規(guī)定, 顯然是考慮了不同地區(qū)經(jīng)濟(jì)發(fā)展水平不同這一因素,與四項(xiàng)事實(shí)根據(jù)似乎都沒(méi)有關(guān)系。
② 條例關(guān)于賠償標(biāo)準(zhǔn)的規(guī)定明顯違反了實(shí)際賠償原則。其中關(guān)于誤工費(fèi)數(shù)額的限制,根本否定了誤工損失通常因案而異因人而異,因而不同的案件不同的被害人,誤工損失大小不一,可能存在巨大的差異這一事實(shí)。既然是要解決損失的賠償問(wèn)題,那么誤工損失的賠償問(wèn)題就只能由裁判機(jī)關(guān)根據(jù)損失的具體情況作出判斷,預(yù)先在立法上作出一刀切式的規(guī)定是完全不合理的,更不用說(shuō)是低標(biāo)準(zhǔn)的限制。條例關(guān)于賠償標(biāo)準(zhǔn)的規(guī)定的基本特征是平均主義加低標(biāo)準(zhǔn)主義。人們難以感受到這里體現(xiàn)了充分救濟(jì)的民事賠償法的精神。關(guān)于精神損害撫慰金數(shù)額的限制性規(guī)定,筆者在此只想提一個(gè)問(wèn)題,那就是衛(wèi)生部在起草該規(guī)定時(shí)到底有沒(méi)有認(rèn)真考慮過(guò)醫(yī)療侵權(quán)致人傷殘尤其是致人死亡所可能引起的精神損害的嚴(yán)重性。筆者從自己所了解的有關(guān)情況(包括筆者的醫(yī)療侵權(quán)案件)中深切感到,這種精神損害有時(shí)是非常深重的(尤其是在如下場(chǎng)合: 患者或患者的親屬滿(mǎn)懷著期待和信賴(lài)將自己或自己最親愛(ài)的人的健康或生命的命運(yùn)托付給了醫(yī)院和醫(yī)務(wù)人員,不是由于病入膏肓不可挽救,不是由于醫(yī)務(wù)人員單純技術(shù)上的差錯(cuò),而是由于醫(yī)務(wù)人員對(duì)患者診療的明顯的嚴(yán)重失職,甚至是放任不管見(jiàn)死不救,導(dǎo)致原本完全能夠救治的疾病未能得到救治, 原本不應(yīng)當(dāng)發(fā)生的嚴(yán)重殘疾發(fā)生了,原本可能得到或應(yīng)當(dāng)?shù)玫酵炀鹊纳鼏适Я?。條例所規(guī)定的如此低標(biāo)準(zhǔn)的撫慰金難道能夠撫慰那些受到巨大精神痛苦的被害人或其親屬嗎?
(3)如前所述,答記者問(wèn)認(rèn)為,條例是不可能違反民法通則的基本精神的;衛(wèi)生部匯報(bào)表示,條例根據(jù)民法通則的基本原則建立醫(yī)療事故賠償制度,筆者的疑問(wèn)是,在答記者問(wèn)和衛(wèi)生部匯報(bào)看來(lái),民法通則的有關(guān)基本精神或基本原則到底是什么呢?條例對(duì)賠償所作的種種限制難道真的可以說(shuō)是符合民法通則的基本精神或基本原則的嗎?
6. 為了我國(guó)醫(yī)療事業(yè)的發(fā)展,在制定法上與其限制醫(yī)療事故賠償,還不如讓醫(yī)療事故的受害者同其他侵權(quán)的被害者一樣有權(quán)按照實(shí)際賠償原則獲得完全的賠償。實(shí)際賠償制度的適用對(duì)我國(guó)醫(yī)療事業(yè)的發(fā)展所可能帶來(lái)的負(fù)面影響,不應(yīng)當(dāng)通過(guò)限制賠償,而應(yīng)當(dāng)通過(guò)其他的政策手段或制度來(lái)減輕或回避。
(1) 如前所述, 限制賠償不是條例的目的, 而是實(shí)現(xiàn)條例的宗旨即保障和促進(jìn)醫(yī)療事業(yè)的發(fā)展和醫(yī)學(xué)科學(xué)的進(jìn)步的手段。對(duì)于這一宗旨本身, 即使是要求損害賠償?shù)尼t(yī)療事故的被害者大概也不會(huì)不贊成。問(wèn)題不在于目的而在于手段. 我們應(yīng)當(dāng)關(guān)心這樣的問(wèn)題: 為了實(shí)現(xiàn)這一目的, 從比較政策論的觀點(diǎn)看, 限制賠償這一現(xiàn)行條例采用的手段相對(duì)于其他手段是否具有優(yōu)越性,是否比較值得(即具有較好的效果成本比); 是否存在其他較為優(yōu)越的手段可以用來(lái)取代限制賠償。以下是筆者的基本看法。
① 首先必須承認(rèn), 醫(yī)療事故賠償與醫(yī)療事業(yè)的發(fā)展可能存在兩種不同意義上的關(guān)系。其一是醫(yī)療機(jī)構(gòu)的財(cái)務(wù)狀況因醫(yī)療事故賠償金的支付而惡化,醫(yī)療機(jī)構(gòu)的服務(wù)能力因此而下降。如果這種情況嚴(yán)重到一定的程度,醫(yī)療事業(yè)的發(fā)展和醫(yī)療技術(shù)的進(jìn)步會(huì)受到不利的影響。其二是醫(yī)療機(jī)構(gòu)的服務(wù)和管理質(zhì)量,醫(yī)務(wù)人員的職業(yè)責(zé)任感和診療水平因醫(yī)療事故賠償而得到提高,醫(yī)療事業(yè)的發(fā)展因此而得到促進(jìn)。在考察醫(yī)療事故賠償與醫(yī)療事業(yè)的發(fā)展的關(guān)系時(shí),不應(yīng)當(dāng)像答記者問(wèn)和條例起草者那樣,只見(jiàn)前者,無(wú)視后者。
② 減輕或回避醫(yī)療事故賠償對(duì)醫(yī)療事業(yè)可能產(chǎn)生的不利影響的手段或方法可能有若干種,其中包括最近在我國(guó)醫(yī)療賠償議論中成為熱門(mén)話(huà)題的醫(yī)療責(zé)任保險(xiǎn)制度(主張限制賠償?shù)拇鹩浾邌?wèn)也非常關(guān)注這一制度)。因此, 限制賠償只不過(guò)是手段之一, 并非唯一的手段。既然存在若干種選擇方案, 政策制定者就應(yīng)當(dāng)利用效用成本分析, 對(duì)各種手段作出適當(dāng)?shù)脑u(píng)價(jià), 選擇效用較大成本較小的手段或手段的組合。
③ 比較而言, 限制賠償是得不償失的, 效用成本比是較差的(相對(duì)于醫(yī)療責(zé)任保險(xiǎn))。第一,在效用方面, 限制賠償?shù)男в迷谀撤N意義上是比較差的。限制賠償?shù)奶攸c(diǎn)是醫(yī)療機(jī)構(gòu)對(duì)超出限定范圍和標(biāo)準(zhǔn)的損失不予賠償,對(duì)未超出限定范圍和限定標(biāo)準(zhǔn)的損失仍應(yīng)賠償。所以,限定賠償制度只能限制醫(yī)療事故賠償對(duì)醫(yī)療事業(yè)可能發(fā)生的不利影響。與此不同,醫(yī)療責(zé)任保險(xiǎn)的特點(diǎn)是保險(xiǎn)范圍內(nèi)的損失由保險(xiǎn)機(jī)構(gòu)承擔(dān)賠償,醫(yī)療機(jī)構(gòu)只有在損失超出保險(xiǎn)范圍和標(biāo)準(zhǔn)的情況下,就超出部分承擔(dān)賠償責(zé)任。所以, 在發(fā)生醫(yī)療事故的情況下, 只要損失未超出保險(xiǎn)范圍,醫(yī)療機(jī)構(gòu)就無(wú)須賠償,醫(yī)療事業(yè)因此就不會(huì)受到因賠償而帶來(lái)的不利影響。當(dāng)然,事情總是存在兩個(gè)方面。由于限制賠償仍屬事后責(zé)任制,只要不發(fā)生醫(yī)療事故,醫(yī)療機(jī)構(gòu)就不存在花錢(qián)賠償?shù)膯?wèn)題。醫(yī)療責(zé)任保險(xiǎn)則屬于事先花錢(qián)(支付保險(xiǎn)費(fèi))回避或減少賠償風(fēng)險(xiǎn)的制度,保險(xiǎn)金的支付與是否真的發(fā)生醫(yī)療事故無(wú)關(guān)。支付保險(xiǎn)金必然加重醫(yī)療機(jī)構(gòu)的負(fù)擔(dān),從這個(gè)意義上講,醫(yī)療責(zé)任保險(xiǎn)也可能會(huì)給醫(yī)療事業(yè)帶來(lái)不利影響,尤其是在保險(xiǎn)費(fèi)負(fù)擔(dān)過(guò)重的情況下(這個(gè)問(wèn)題在美國(guó)似乎比較嚴(yán)重)。不過(guò)筆者還是認(rèn)為,至少在我國(guó)的現(xiàn)階段,談?wù)撫t(yī)療責(zé)任保險(xiǎn)制度的負(fù)面作用的問(wèn)題沒(méi)有什么實(shí)際意義。因?yàn)槲覈?guó)最近才興起的醫(yī)療責(zé)任保險(xiǎn), 至少在保險(xiǎn)費(fèi)率上還是相當(dāng)?shù)偷?當(dāng)然, 筆者不排除在對(duì)醫(yī)療事故賠償實(shí)行實(shí)際賠償原則的情況下,保險(xiǎn)費(fèi)率有可能上漲)[60]。第二,在成本方面, 限制賠償?shù)某杀撅@然是比較高的。其中最大的成本在于,它是以限制患者獲得完全賠償?shù)臋?quán)利為代價(jià)的。隨著個(gè)人化的人權(quán)觀念在我國(guó)社會(huì)的逐步確立,這個(gè)代價(jià)的性質(zhì)就會(huì)變得更加嚴(yán)重。與此不同,醫(yī)療責(zé)任保險(xiǎn)卻在客觀上有助于患者獲得應(yīng)當(dāng)獲得的賠償,有助于對(duì)患者權(quán)利的充分救濟(jì)(在未加入責(zé)任保險(xiǎn)的醫(yī)療機(jī)構(gòu)發(fā)生了損害額高于其償付能力的醫(yī)療事故的情況下,患者獲得賠償?shù)臋?quán)利將得不到完全的實(shí)現(xiàn))。
(2) 這里有兩個(gè)值得注意的情況。① 衛(wèi)生部匯報(bào)表明, 衛(wèi)生部在選擇限制賠償政策時(shí), 與其在起草辦法時(shí)[61]不同,沒(méi)有將我國(guó)尚未健全醫(yī)療責(zé)任保險(xiǎn)制度這一情況作為理由。據(jù)此筆者推測(cè), 也許在衛(wèi)生部看來(lái), 即使我國(guó)建立了比較健全的醫(yī)療責(zé)任保險(xiǎn)制度, 醫(yī)療機(jī)構(gòu)大都加入了醫(yī)療責(zé)任保險(xiǎn), 只要我國(guó)的醫(yī)療事業(yè)仍然具有公共福利性的事業(yè), 我國(guó)的經(jīng)濟(jì)水平還不夠高, 醫(yī)療機(jī)構(gòu)的償付能力仍然有限, 就仍然應(yīng)當(dāng)堅(jiān)持實(shí)施限制賠償這一特殊政策。② 答記者問(wèn)雖然特別強(qiáng)調(diào)建立醫(yī)療責(zé)任保險(xiǎn)制度對(duì)于解決醫(yī)患之間在賠償問(wèn)題上的矛盾,對(duì)于兼顧患者的權(quán)益和醫(yī)療事業(yè)的發(fā)展所具有的重要意義, 但并未主張以醫(yī)療責(zé)任保險(xiǎn)制度來(lái)取代現(xiàn)行的限制賠償制度。
在筆者看來(lái), 衛(wèi)生部匯報(bào)之所以會(huì)無(wú)視醫(yī)療責(zé)任保險(xiǎn)制度所具有的雙重功能―既有助于患者權(quán)益的切實(shí)保障,又有助于減輕醫(yī)療事故賠償對(duì)醫(yī)療機(jī)構(gòu)的自身利益和服務(wù)能力的影響, 沒(méi)有注意到這一制度所具有的替代(盡管未必是完全替代)限制賠償制度的重要價(jià)值; 答記者問(wèn)之所以會(huì)在論述醫(yī)療責(zé)任保險(xiǎn)制度的意義時(shí)也沒(méi)有提到該制度所具有這種替代性, 這不僅與二者所強(qiáng)調(diào)的限制賠償政策的事實(shí)根據(jù)論有關(guān), 而且可能與公共利益高于個(gè)人利益、為了公共利益可以并且應(yīng)當(dāng)犧牲個(gè)人利益的傳統(tǒng)觀念的影響有關(guān)。 (三) 對(duì)其他相關(guān)問(wèn)題的評(píng)論
1. 關(guān)于對(duì)漫天要價(jià)和天價(jià)判決的憂(yōu)慮
無(wú)論是答記者問(wèn)還是衛(wèi)生部匯報(bào), 對(duì)醫(yī)療事故被害人追求金錢(qián)賠償?shù)挠? 似乎都很憂(yōu)慮。她們似乎擔(dān)心, 如果不事先明確對(duì)醫(yī)療事故賠償?shù)姆秶蜆?biāo)準(zhǔn)作出明確的限制并明確排除民法通則的適用, 患者在醫(yī)療事故案件中就會(huì)設(shè)法盡量利用實(shí)際賠償原則漫天要價(jià),在最高法院采用并用原則的辦法時(shí)代曾經(jīng)出現(xiàn)過(guò)的所謂天價(jià)判決就會(huì)重現(xiàn)。面對(duì)這種憂(yōu)慮, 筆者的疑問(wèn)是, 在衛(wèi)生部和最高法院看來(lái), 我國(guó)醫(yī)療事故賠償?shù)乃疁?zhǔn), 我國(guó)患者的生命健康利益的實(shí)際價(jià)值, 到底是合情合理的, 還是低得不盡情理的? 所謂的漫天要價(jià)和天價(jià)判決, 難道真的已經(jīng)到了離譜的地步, 并有四處蔓延之勢(shì), 以至于有必要在立法上對(duì)醫(yī)療事故賠償?shù)姆秶蜆?biāo)準(zhǔn)作出現(xiàn)行條例這樣的限制, 有必要在案件審理上排除民法通則的適用 ?
2. 關(guān)于國(guó)窮則人命賤的邏輯
關(guān)于我國(guó)老百姓的生命健康利益的損害賠償問(wèn)題, 長(zhǎng)期以來(lái), 有一種相當(dāng)流行的觀點(diǎn), 那就是國(guó)窮則人命賤。在這種觀點(diǎn)看來(lái), 中國(guó)既然是個(gè)人口眾多的窮國(guó), 既然與那些人口不多的富國(guó)存在著如此明顯的天壤之別, 那么, 對(duì)中國(guó)的老百姓而言, 他們可期待的生命健康利益的價(jià)值就應(yīng)當(dāng)遠(yuǎn)遠(yuǎn)低于富國(guó)老百姓所能期待的價(jià)值。如果有人不顧“貧窮”這個(gè)國(guó)情, 想要提高自己個(gè)人的生命健康價(jià)值, 那就是想入非非的漫天要價(jià), 就是無(wú)理要求, 或者就是想借醫(yī)療事故來(lái)敲竹杠發(fā)橫財(cái)。在筆者看來(lái), 國(guó)窮則人命賤的邏輯盡管在某種意義上也許是無(wú)可奈何的命中注定, 但對(duì)于我國(guó)賠償政策的制定和我國(guó)老百姓的生命健康利益的法律保障而言卻是非常有害的。作為賠償政策的制定機(jī)關(guān)和適用機(jī)關(guān), 應(yīng)當(dāng)警惕和肅清這種觀點(diǎn)的影響, 應(yīng)當(dāng)從人權(quán)保障的觀點(diǎn)出發(fā), 反省現(xiàn)行的賠償政策和裁判方針?biāo)嬖诘膯?wèn)題, 探討新的比較好的解決賠償問(wèn)題的方策。
3. 關(guān)于羊毛出在羊身上的比喻
在支持條例的限制賠償規(guī)定的議論中, 有個(gè)聽(tīng)起來(lái)似乎非常通俗易懂實(shí)際上卻令人難以理解的說(shuō)明, 即“羊毛出在羊身上”。其意思是說(shuō), 醫(yī)療事故賠償實(shí)際上是羊毛出在羊身上, 最終還是要分?jǐn)偟剿谢颊呱砩希皇怯蓢?guó)家出資賠償。因此,在審判實(shí)踐中應(yīng)適用條例所規(guī)定的較低賠償標(biāo)準(zhǔn),是可以理解的[62]。筆者的疑問(wèn)是, ① 按照羊毛論的邏輯, 既然醫(yī)療侵權(quán)賠償?shù)淖罱K拔毛者不是醫(yī)療機(jī)構(gòu)而是廣大患者, 那么, 醫(yī)療侵權(quán)賠償制度在事實(shí)上豈不成了制裁廣大患者的制度, 成了對(duì)醫(yī)療事故機(jī)構(gòu)沒(méi)有任何實(shí)質(zhì)性的民事制裁意義的制度? 如果事實(shí)確實(shí)如此, 那么取消而不是限制醫(yī)療侵權(quán)賠償不是更具有合理性嗎? 我們有什么理由要讓廣大無(wú)辜的患者去當(dāng)醫(yī)療事故機(jī)構(gòu)的替罪羊, 為了某個(gè)特定受害者的損失而拔毛呢? 諸如消費(fèi)者權(quán)益保護(hù)法和產(chǎn)品責(zé)任法那樣的加重型或嚴(yán)格型的民事責(zé)任法, 由于會(huì)導(dǎo)致廣大消費(fèi)者被拔去更多的毛, 豈不都成了更不盡情理的法律? ② 羊毛論到底有多少事實(shí)根據(jù)呢? 它能夠確切反映醫(yī)療損害賠償金負(fù)擔(dān)的實(shí)際狀況嗎? 它將醫(yī)療事故被害患者與廣大患者的利益關(guān)系視為對(duì)立的關(guān)系, 這在事實(shí)上難道能夠說(shuō)得通嗎? 羊毛論應(yīng)當(dāng)成為醫(yī)療事故賠償政策的制定依據(jù)和醫(yī)療案件審理的法律適用選擇的依據(jù)嗎? ③ 醫(yī)療事故的被害患者會(huì)被羊毛論說(shuō)服嗎? 她們難道會(huì)為了其他患者的就醫(yī)利益而作出自我犧牲, 心甘情愿地接受較低的賠償標(biāo)準(zhǔn)嗎? 廣大患者會(huì)為了自己的就醫(yī)利益而支持羊毛論嗎? 她們難道會(huì)因此而放棄自己在遭遇醫(yī)療事故時(shí)請(qǐng)求完全賠償?shù)臋?quán)利嗎? 即便是醫(yī)療機(jī)構(gòu)和醫(yī)務(wù)人員, 她們會(huì)贊同羊毛論嗎? 她們難道不怕一旦承認(rèn)了羊毛論, 就等于承認(rèn)了自己千方百計(jì)向廣大患者轉(zhuǎn)嫁賠償負(fù)擔(dān), 因此必將招來(lái)社會(huì)輿論的強(qiáng)烈譴責(zé)嗎?
4. 關(guān)于分配的公正論
答記者問(wèn)所強(qiáng)調(diào)的雙贏論也好, 衛(wèi)生部匯報(bào)所主張的兼顧論也好, 都表明以公正•公平為醫(yī)療事故賠償政策的價(jià)值取向, 反對(duì)不顧其他有關(guān)方面的利益, 只考慮對(duì)被害人的權(quán)利救濟(jì)。在支持賠償限制政策的一些文章中有一種觀點(diǎn)叫做“分配的公正”。在這種觀點(diǎn)看來(lái),醫(yī)療侵權(quán)損害賠償實(shí)質(zhì)上是將醫(yī)療資源這一具有公共性的社會(huì)財(cái)富(由國(guó)家、社會(huì)和醫(yī)療機(jī)構(gòu)所投入或創(chuàng)造的,為不特定多數(shù)患者所共享的財(cái)富)的一部分分配給醫(yī)療侵權(quán)的特定被害人個(gè)人。醫(yī)療侵權(quán)損害賠償?shù)姆秶蜆?biāo)準(zhǔn)實(shí)質(zhì)上就是在被害人個(gè)人和廣大患者之間分配醫(yī)療資源這一社會(huì)財(cái)富的標(biāo)準(zhǔn)。賠償范圍越寬,賠償標(biāo)準(zhǔn)越高,意味著流入被害人個(gè)人的口袋里的醫(yī)療資源就越多,為廣大患者所共享的醫(yī)療資源就越少。如果將民法通則所體現(xiàn)的實(shí)際賠償原則適用于醫(yī)療事故的賠償,那么就可能會(huì)導(dǎo)致醫(yī)療資源在被害個(gè)人和廣大患者之間的不公正的分配。條例限制賠償就是從分配的公正這一觀點(diǎn)出發(fā)調(diào)整醫(yī)療資源在被害個(gè)人和廣大患者之間的分配關(guān)系,使其比較公正。
筆者承認(rèn), 醫(yī)療損害賠償制度的設(shè)計(jì),如同其他任何涉及到(無(wú)論是直接和還是間接的)社會(huì)性財(cái)富的分配問(wèn)題的法制度的設(shè)計(jì)一樣,應(yīng)當(dāng)考慮分配的公正。但是, 公正是一個(gè)相對(duì)性的觀念, 利害關(guān)系的各方可能各有自己的公正觀,并且可能互相對(duì)立,既定的對(duì)利害關(guān)系各方都是公正的客觀標(biāo)準(zhǔn)并不存在。有利害關(guān)系的任何一方(包括代表國(guó)家投資利益的官方)都不應(yīng)當(dāng)把自己認(rèn)為的公正說(shuō)成是利害關(guān)系各方共有的公正。依筆者之見(jiàn), 分配是否公正的問(wèn)題, 與其說(shuō)是實(shí)體問(wèn)題還不如說(shuō)是程序問(wèn)題。法定的分配標(biāo)準(zhǔn)是否具有公正性, 只能以其是否是通過(guò)具有相當(dāng)代表性的、公開(kāi)并且民主的協(xié)商、交涉、表決的方式作出的為判斷標(biāo)準(zhǔn)。
中圖分類(lèi)號(hào):C913 文獻(xiàn)標(biāo)識(shí)碼: A
Keyword: traffic safety audit; indicator system; u-weight analysis
1 研究背景與內(nèi)容
交通安全審計(jì)是對(duì)已有或擬建的道路建設(shè)項(xiàng)目、交通工程項(xiàng)目及其它任何將與用路者發(fā)生相互影響的工程項(xiàng)目的項(xiàng)目方案所進(jìn)行的正式的安全性能測(cè)試[1]。對(duì)現(xiàn)有道路的安全狀況進(jìn)行審計(jì),可以全面地分析影響道路安全的因素,有針對(duì)性的消除安全隱患,有效地?cái)U(kuò)展道路的安全空間和“寬容度”。然而要進(jìn)行交通安全審計(jì),首先要有完備的審計(jì)的指標(biāo)體系。而建立審計(jì)指標(biāo)體系的重點(diǎn)是確定各指標(biāo)的權(quán)重。
2 確定交通安全審計(jì)指標(biāo)
本著科學(xué)、客觀、完備、可行、實(shí)用、明確的原則,通過(guò)參考大量文獻(xiàn)和筆者的經(jīng)驗(yàn)初定指標(biāo)如下:
交通量:車(chē)頭間距
橫斷面:行車(chē)道寬度、路肩寬度、路拱橫坡度、凈空;
平面線(xiàn)形:平曲線(xiàn)半徑、超高、加寬、平曲線(xiàn)長(zhǎng)度、曲線(xiàn)轉(zhuǎn)角、直線(xiàn)長(zhǎng)度;
縱斷面:縱坡坡度、坡長(zhǎng)、豎曲線(xiàn)半徑、豎曲線(xiàn)長(zhǎng)度;
視距:停車(chē)視距、超車(chē)視距
路面:平整度、抗滑能力;
交叉口:類(lèi)型、相鄰交叉口間距、信號(hào)燈、沖突點(diǎn);
交通設(shè)施:護(hù)欄、交通標(biāo)線(xiàn)、照明設(shè)施、交通標(biāo)志、渠化;
共分8個(gè)大類(lèi)28個(gè)指標(biāo)。
3 基于U型權(quán)重分析法計(jì)算各指標(biāo)權(quán)重[2]
3.1 用系統(tǒng)比較法建立指標(biāo)重要性判斷矩陣
系統(tǒng)比較法就是以指標(biāo)的重要性為參照標(biāo)準(zhǔn),由多位評(píng)判者同時(shí)對(duì)各指標(biāo)的重要性多值估量的評(píng)判方法[3]。下面由不同的專(zhuān)家對(duì)這些交通安全審計(jì)指標(biāo)進(jìn)行評(píng)分,評(píng)分的標(biāo)準(zhǔn)(自信程度)如下表所示:
表1 評(píng)分的自信程度描述
完全 絕大部分 大部分 基本 半數(shù) 小半數(shù) 完全不
10 9 8 7 5 3 0
由此構(gòu)造的各指標(biāo)權(quán)重評(píng)判表如下所示,筆者請(qǐng)三位專(zhuān)家針對(duì)西安市道路情況對(duì)所選指標(biāo)進(jìn)行評(píng)判,評(píng)判結(jié)果如下表所示:
表2 自信度評(píng)判表
指標(biāo) 專(zhuān)家A 專(zhuān)家B 專(zhuān)家C
很重要 重要 一般 不重要 很重要 重要 一般 不重要 很重要 重要 一般 不重要
1 0.75 0.5 0.25 1 0.75 0.5 0.25 1 0.75 0.5 0.25
車(chē)頭間距 8 8 10
行車(chē)道寬度 9 9 7
路肩寬度 7 9 9
路拱橫坡度 8 9 7
凈空 8 8 8
平曲線(xiàn)半徑 8 8 8
超高 7 8 8
加寬 7 8 7
平曲線(xiàn)長(zhǎng)度 5 8 8
曲線(xiàn)轉(zhuǎn)角 5 8 8
直線(xiàn)長(zhǎng)度 7 9 8
縱坡坡度 7 8 8
坡長(zhǎng) 7 7 7
豎曲線(xiàn)半徑 7 8 8
豎曲線(xiàn)長(zhǎng)度 5 7 7
停車(chē)視距 8 9 9
超車(chē)視距 8 9 9
平整度 8 9 9
抗滑能力 8 9 7
類(lèi)型 5 7 7
相鄰交叉口間距 5 7 8
視距 7 8 7
沖突點(diǎn) 8 8 8
護(hù)欄 5 8 8
交通標(biāo)線(xiàn) 8 9 8
交通標(biāo)志 8 9 9
照明設(shè)施 7 9 9
渠化 10 10 7
3.2自信度分?jǐn)?shù)向秩次轉(zhuǎn)化
完成將自信度分?jǐn)?shù)到秩次的轉(zhuǎn)化,轉(zhuǎn)化規(guī)則是:
(1)各大于0的量化分?jǐn)?shù),其等級(jí)越高,秩次越小;
(2)同屬于一個(gè)等級(jí)的量化分?jǐn)?shù),其分?jǐn)?shù)值越高,秩次越小;
(3)幾個(gè)指標(biāo)等級(jí)與量化分?jǐn)?shù)相等,則用它們的秩次位置的平均數(shù)來(lái)表示他們的秩次[5]。轉(zhuǎn)化結(jié)果如下表所示:
表3 秩次轉(zhuǎn)化結(jié)果
指標(biāo) 專(zhuān)家 R R2
A B C
車(chē)頭間距 3.5 8.5 1 13 169
行車(chē)道寬度 10 11.5 18.5 40 1600
路肩寬度 23 21 21 65 4225
路拱橫坡度 13 11.5 18.5 43 1849
凈空 13 15.5 13.5 42 1764
平曲線(xiàn)半徑 21 23 23 67 4489
超高 23 27 26.5 76.5 5852.25
加寬 26 27 28 81 6561
平曲線(xiàn)長(zhǎng)度 27.5 27 26.5 81 6561
曲線(xiàn)轉(zhuǎn)角 27.5 23 23 73.5 5402.25
直線(xiàn)長(zhǎng)度 23 11.5 13.5 48 2304
縱坡坡度 17 15.5 13.5 46 2116
坡長(zhǎng) 17 19 18.5 54.5 2970.25
豎曲線(xiàn)半徑 17 15.5 13.5 46 2116
豎曲線(xiàn)長(zhǎng)度 19.5 19 18.5 57 3249
停車(chē)視距 3.5 4 2.5 10 100
超車(chē)視距 13 4 2.5 19.5 380.25
平整度 3.5 4 2.5 10 100
抗滑能力 3.5 4 8 15.5 240.25
類(lèi)型 19.5 25 25 69.5 4830.25
相鄰交叉口間距 9 19 13.5 41.5 1722.25
視距 7.5 8.5 8 24 576
沖突點(diǎn) 13 15.5 13.5 42 1764
護(hù)欄 24 23 23 70 4900
交通標(biāo)線(xiàn) 3.5 4 5.5 13 169
交通標(biāo)志 13 11.5 10 34.5 1190.25
照明設(shè)施 7.5 4 2.5 14 196
渠化 1 1 8 10 100
3.3 計(jì)算肯德?tīng)柡椭C系數(shù)
計(jì)算方法如下:
(1)
其中:表示R的離差平方和。
所以可得
A專(zhuān)家在對(duì)28個(gè)指標(biāo)進(jìn)行打分過(guò)程產(chǎn)生了20個(gè)相同的秩次,B專(zhuān)家產(chǎn)生了22個(gè)相同的秩次,C專(zhuān)家產(chǎn)生了22個(gè)相同的秩次。所以:
(2)
其中:i表示第i個(gè)專(zhuān)家,m表示以為專(zhuān)家在構(gòu)造評(píng)判矩陣時(shí)產(chǎn)生的秩次。所以可得:
所以:
由公式
(3)
得:
其中:K表示所邀請(qǐng)的專(zhuān)家的位數(shù),n表示指標(biāo)的個(gè)數(shù),在這里n=28。
3.4 進(jìn)行肯德?tīng)柡椭C系數(shù)檢驗(yàn)
,查值表可以得到
因?yàn)?/p>
根據(jù)顯著性檢驗(yàn)的理論[5],當(dāng),,則在0.01顯著水平上拒絕H0,采取H1,屬于極其顯著。可知所邀請(qǐng)的這幾位專(zhuān)家對(duì)所選取的這28個(gè)交通安全審計(jì)指標(biāo)的判斷結(jié)果具有較高的一致性。所以,下面可以計(jì)算各指標(biāo)的權(quán)重。
3.5 指標(biāo)權(quán)重的計(jì)算
(1)將專(zhuān)家的自信度矩陣相加
(4)
其中為各個(gè)專(zhuān)家的評(píng)判矩陣,C為3位專(zhuān)家的評(píng)判矩陣之和。得
(2)計(jì)算指標(biāo)的隸屬度
(=1,2…,n)(5)
其中:為第個(gè)指標(biāo)相對(duì)于很重要的隸屬度,為第個(gè)指標(biāo)重要性隸屬于各等級(jí)的自信度,K為專(zhuān)家人數(shù),是等級(jí)參數(shù)的轉(zhuǎn)置矩陣,即:所以由公式可得:
表4 各指標(biāo)相對(duì)于很重要的隸屬度:
e1 e2 e3 e4 e5 e6 e7
0.8667 0.6250 0.4167 0.6000 0.6000 0.4000 0.2500
e8 e9 e10 e11 e12 e13 e14
0.1833 0.1750 0.3083 0.5417 0.5750 0.5250 0.5750
e15 e16 e17 e18 e19 e20 e21
0.4750 0.8667 0.8000 0.8667 0.8000 0.3583 0.5417
e22 e23 e24 e25 e26 e27 e28
0.7333 0.6000 0.3500 0.8333 0.6500 0.8333 0.9000
(3)將其正規(guī)化得到各個(gè)指標(biāo)的權(quán)重如下表所示:
(4)組合構(gòu)建交通安全審計(jì)指標(biāo)體系如下:
表5 交通安全審計(jì)指標(biāo)體系
交通量0.0533 車(chē)頭間距 w10.0533 視距
0.1025 停車(chē)視距 w160.0533
橫斷面 0.1379 行車(chē)道寬度 w2 0.0385
路肩寬度 w3 0.0256 超車(chē)視距 w170.0492
路拱橫坡度 w4 0.0369 路面
0.1025 平整度 w180.0533
凈空 w5 0.0369 抗滑能力 w190.0492
平面線(xiàn)形0.1144 平曲線(xiàn)半徑 w6 0.0246 交叉口
0.1025 類(lèi)型 w200.0221
超高 w7 0.0154 相鄰交叉口間距w210.0333
加寬 w8 0.0113 信號(hào)燈 w220.0451
平曲線(xiàn)長(zhǎng)度 w9 0.0108 沖突點(diǎn)w23 0.0369
曲線(xiàn)轉(zhuǎn)角 w100.0190 交通設(shè)施0.2195 護(hù)欄w24 0.0215
直線(xiàn)長(zhǎng)度 w100.0333 交通標(biāo)線(xiàn)w25 0.0513
縱斷面0.1323 縱坡坡度 w120.0354 照明設(shè)施w26 0.0400
坡長(zhǎng) w130.0323 交通標(biāo)志w27 0.0513
豎曲線(xiàn)半徑 w140.0354 渠化w28 0.0554
豎曲線(xiàn)長(zhǎng)度 w150.0292
其中:wi表示各指標(biāo)的權(quán)重。
電子數(shù)據(jù)安全是建立在機(jī)安全基礎(chǔ)上的一個(gè)子項(xiàng)安全系統(tǒng),它既是計(jì)算機(jī)網(wǎng)絡(luò)安全概念的一部分,但又和計(jì)算機(jī)網(wǎng)絡(luò)安全緊密相連,從一定意義上講,計(jì)算機(jī)網(wǎng)絡(luò)安全其實(shí)質(zhì)即是電子數(shù)據(jù)安全。國(guó)際標(biāo)準(zhǔn)化組織(ISO)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的定義為:“計(jì)算機(jī)系統(tǒng)有保護(hù)計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞。”歐洲幾個(gè)國(guó)家共同提出的“信息技術(shù)安全評(píng)級(jí)準(zhǔn)則”,從保密性、完整性和可用性來(lái)衡量計(jì)算機(jī)安全。對(duì)電子數(shù)據(jù)安全的衡量也可借鑒這三個(gè)方面的,保密性是指計(jì)算機(jī)系統(tǒng)能防止非法泄露電子數(shù)據(jù);完整性是指計(jì)算機(jī)系統(tǒng)能防止非法修改和刪除電子數(shù)據(jù);可用性是指計(jì)算機(jī)系統(tǒng)能防止非法獨(dú)占電子數(shù)據(jù)資源,當(dāng)用戶(hù)需要使用計(jì)算機(jī)資源時(shí)能有資源可用。
二、電子數(shù)據(jù)安全的性質(zhì)
電子數(shù)據(jù)安全包括了廣義安全和狹義安全。狹義安全僅僅是計(jì)算機(jī)系統(tǒng)對(duì)外部威脅的防范,而廣義的安全是計(jì)算機(jī)系統(tǒng)在保證電子數(shù)據(jù)不受破壞并在給定的時(shí)間和資源內(nèi)提供保證質(zhì)量和確定的服務(wù)。在電子數(shù)據(jù)運(yùn)行在電子商務(wù)等以計(jì)算機(jī)系統(tǒng)作為一個(gè)組織業(yè)務(wù)目標(biāo)實(shí)現(xiàn)的核心部分時(shí),狹義安全固然重要,但需更多地考慮廣義的安全。在廣義安全中,安全涉及到更多的方面,安全問(wèn)題的性質(zhì)更為復(fù)雜。
(一)電子數(shù)據(jù)安全的多元性
在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)環(huán)境中,風(fēng)險(xiǎn)點(diǎn)和威脅點(diǎn)不是單一的,而存在多元性。這些威脅點(diǎn)包括物理安全、邏輯安全和安全管理三個(gè)主要方面。物理安全涉及到關(guān)鍵設(shè)施、設(shè)備的安全和硬件資產(chǎn)存放地點(diǎn)的安全等內(nèi)容;邏輯安全涉及到訪(fǎng)問(wèn)控制和電子數(shù)據(jù)完整性等方面;安全管理包括人員安全管理政策、組織安全管理政策等內(nèi)容。電子數(shù)據(jù)安全出現(xiàn)問(wèn)題可能是其中一個(gè)方面出現(xiàn)了漏洞,也可能是其中兩個(gè)或是全部出現(xiàn)互相聯(lián)系的安全事故。
(二)電子數(shù)據(jù)安全的動(dòng)態(tài)性
由于信息技術(shù)在不斷地更新,電子數(shù)據(jù)安全問(wèn)題就具有動(dòng)態(tài)性。因?yàn)樵诮裉鞜o(wú)關(guān)緊要的地方,在明天就可能成為安全系統(tǒng)的隱患;相反,在今天出現(xiàn)問(wèn)題的地方,在將來(lái)就可能已經(jīng)解決。例如,線(xiàn)路劫持和竊聽(tīng)的可能性會(huì)隨著加密層協(xié)議和密鑰技術(shù)的廣泛大大降低,而客戶(hù)機(jī)端由于B0這樣的黑客程序存在,同樣出現(xiàn)了安全需要。安全問(wèn)題的動(dòng)態(tài)性導(dǎo)致不可能存在一勞永逸的解決方案。
(三)電子數(shù)據(jù)安全的復(fù)雜性
安全的多元性使僅僅采用安全產(chǎn)品來(lái)防范難以奏效。例如不可能用一個(gè)防火墻將所有的安全問(wèn)題擋在門(mén)外,因?yàn)楹诳统3@梅阑饓Φ母綦x性,持續(xù)幾個(gè)月在防火墻外試探系統(tǒng)漏洞而未被發(fā)覺(jué),并最終攻入系統(tǒng)。另外,攻擊者通常會(huì)從不同的方面和角度,例如對(duì)物理設(shè)施或協(xié)議、服務(wù)等邏輯方式對(duì)系統(tǒng)進(jìn)行試探,可能繞過(guò)系統(tǒng)設(shè)置的某些安全措施,尋找到系統(tǒng)漏洞而攻入系統(tǒng)。它涉及到計(jì)算機(jī)和網(wǎng)絡(luò)的硬件、軟件知識(shí),從最底層的計(jì)算機(jī)物理技術(shù)到程序設(shè)計(jì)內(nèi)核,可以說(shuō)無(wú)其不包,無(wú)所不在,因?yàn)楣粜袨榭赡懿⒉皇菃蝹€(gè)人的,而是掌握不同技術(shù)的不同人群在各個(gè)方向上展開(kāi)的行動(dòng)。同樣道理,在防范這些問(wèn)題時(shí),也只有掌握了各種入侵技術(shù)和手段,才能有效的將各種侵犯拒之門(mén)外,這樣就決定了電子數(shù)據(jù)安全的復(fù)雜性。
(四)電子數(shù)據(jù)安全的安全悖論
,在電子數(shù)據(jù)安全的實(shí)施中,通常主要采用的是安全產(chǎn)品。例如防火墻、加密狗、密鑰等,一個(gè)很的問(wèn)題會(huì)被提出:安全產(chǎn)品本身的安全性是如何保證的?這個(gè)問(wèn)題可以遞歸地問(wèn)下去,這便是安全的悖論。安全產(chǎn)品放置點(diǎn)往往是系統(tǒng)結(jié)構(gòu)的關(guān)鍵點(diǎn),如果安全產(chǎn)品自身的安全性差,將會(huì)后患無(wú)窮。當(dāng)然在實(shí)際中不可能無(wú)限層次地進(jìn)行產(chǎn)品的安全保證,但一般至少需要兩層保證,即產(chǎn)品開(kāi)發(fā)的安全保證和產(chǎn)品認(rèn)證的安全保證。
(五)電子數(shù)據(jù)安全的適度性
由以上可以看出,電子數(shù)據(jù)不存在l00%的安全。首先由于安全的多元性和動(dòng)態(tài)性,難以找到一個(gè)對(duì)安全問(wèn)題實(shí)現(xiàn)百分之百的覆蓋;其次由于安全的復(fù)雜性,不可能在所有方面應(yīng)付來(lái)自各個(gè)方面的威脅;再次,即使找到這樣的方法,一般從資源和成本考慮也不可能接受。目前,業(yè)界普遍遵循的概念是所謂的“適度安全準(zhǔn)則”,即根據(jù)具體情況提出適度的安全目標(biāo)并加以實(shí)現(xiàn)。
三、電子數(shù)據(jù)安全審計(jì)
電子數(shù)據(jù)安全審計(jì)是對(duì)每個(gè)用戶(hù)在計(jì)算機(jī)系統(tǒng)上的操作做一個(gè)完整的記錄,以備用戶(hù)違反安全規(guī)則的事件發(fā)生后,有效地追查責(zé)任。電子數(shù)據(jù)安全審計(jì)過(guò)程的實(shí)現(xiàn)可分成三步:第一步,收集審計(jì)事件,產(chǎn)生審記記錄;第二步,根據(jù)記錄進(jìn)行安全違反;第三步,采取處理措施。
電子數(shù)據(jù)安全審計(jì)工作是保障計(jì)算機(jī)信息安全的重要手段。凡是用戶(hù)在計(jì)算機(jī)系統(tǒng)上的活動(dòng)、上機(jī)下機(jī)時(shí)間,與計(jì)算機(jī)信息系統(tǒng)內(nèi)敏感的數(shù)據(jù)、資源、文本等安全有關(guān)的事件,可隨時(shí)記錄在日志文件中,便于發(fā)現(xiàn)、調(diào)查、分析及事后追查責(zé)任,還可以為加強(qiáng)管理措施提供依據(jù)。
(一)審計(jì)技術(shù)
電子數(shù)據(jù)安全審計(jì)技術(shù)可分三種:了解系統(tǒng),驗(yàn)證處理和處理結(jié)果的驗(yàn)證。
1.了解系統(tǒng)技術(shù)
審計(jì)人員通過(guò)查閱各種文件如程序表、控制流程等來(lái)審計(jì)。
2.驗(yàn)證處理技術(shù)
這是保證事務(wù)能正確執(zhí)行,控制能在該系統(tǒng)中起作用。該技術(shù)一般分為實(shí)際測(cè)試和性能測(cè)試,實(shí)現(xiàn)方法主要有:
(1)事務(wù)選擇
審計(jì)人員根據(jù)制訂的審計(jì)標(biāo)準(zhǔn),可以選擇事務(wù)的樣板來(lái)仔細(xì)分析。樣板可以是隨機(jī)的,選擇軟件可以?huà)呙枰慌斎胧聞?wù),也可以由操作系統(tǒng)的事務(wù)管理部件引用。
(2)測(cè)試數(shù)據(jù)
這種技術(shù)是程序測(cè)試的擴(kuò)展,審計(jì)人員通過(guò)系統(tǒng)動(dòng)作準(zhǔn)備處理的事務(wù)。通過(guò)某些獨(dú)立的,可以預(yù)見(jiàn)正確的結(jié)果,并與實(shí)際結(jié)果相比較。用此方法,審計(jì)人員必須通過(guò)程序檢驗(yàn)被處理的測(cè)試數(shù)據(jù)。另外,還有綜合測(cè)試、事務(wù)標(biāo)志、跟蹤和映射等方法。
(3)并行仿真。審計(jì)人員要通過(guò)一程序來(lái)仿真操作系統(tǒng)的主要功能。當(dāng)給出實(shí)際的和仿真的系統(tǒng)相同數(shù)據(jù)后,來(lái)比較它們的結(jié)果。仿真代價(jià)較高,借助特定的高級(jí)語(yǔ)音可使仿真類(lèi)似于實(shí)際的應(yīng)用。
(4)驗(yàn)證處理結(jié)果技術(shù)
這種技術(shù),審計(jì)人員把重點(diǎn)放在數(shù)據(jù)上,而不是對(duì)數(shù)據(jù)的處理上。這里主要考慮兩個(gè):
一是如何選擇和選取數(shù)據(jù)。將審計(jì)數(shù)據(jù)收集技術(shù)插入應(yīng)用程序?qū)徲?jì)模塊(此模塊根據(jù)指定的標(biāo)準(zhǔn)收集數(shù)據(jù),監(jiān)視意外事件);擴(kuò)展記錄技術(shù)為事務(wù)(包括面向應(yīng)用的工具)建立全部的審計(jì)跟蹤;借用于日志恢復(fù)的備份庫(kù)(如當(dāng)審計(jì)跟蹤時(shí),用兩個(gè)可比較的備份去檢驗(yàn)賬目是否相同);通過(guò)審計(jì)庫(kù)的記錄抽取設(shè)施(它允許結(jié)合屬性值隨機(jī)選擇文件記錄并放在工作文件中,以備以后),利用數(shù)據(jù)庫(kù)管理系統(tǒng)的查詢(xún)?cè)O(shè)施抽取用戶(hù)數(shù)據(jù)。
二是從數(shù)據(jù)中尋找什么?一旦抽取數(shù)據(jù)后,審計(jì)人員可以檢查控制信息(含檢驗(yàn)控制總數(shù)、故障總數(shù)和其他控制信息);檢查語(yǔ)義完整性約束;檢查與無(wú)關(guān)源點(diǎn)的數(shù)據(jù)。
(二)審計(jì)范圍
在系統(tǒng)中,審計(jì)通常作為一個(gè)相對(duì)獨(dú)立的子系統(tǒng)來(lái)實(shí)現(xiàn)。審計(jì)范圍包括操作系統(tǒng)和各種應(yīng)用程序。
操作系統(tǒng)審計(jì)子系統(tǒng)的主要目標(biāo)是檢測(cè)和判定對(duì)系統(tǒng)的滲透及識(shí)別誤操作。其基本功能為:審計(jì)對(duì)象(如用戶(hù)、文件操作、操作命令等)的選擇;審計(jì)文件的定義與自動(dòng)轉(zhuǎn)換;文件系統(tǒng)完整性的定時(shí)檢測(cè);審計(jì)信息的格式和輸出媒體;逐出系統(tǒng)、報(bào)警閥值的設(shè)置與選擇;審計(jì)日態(tài)記錄及其數(shù)據(jù)的安全保護(hù)等。
應(yīng)用程序?qū)徲?jì)子系統(tǒng)的重點(diǎn)是針對(duì)應(yīng)用程序的某些操作作為審計(jì)對(duì)象進(jìn)行監(jiān)視和實(shí)時(shí)記錄并據(jù)記錄結(jié)果判斷此應(yīng)用程序是否被修改和安全控制,是否在發(fā)揮正確作用;判斷程序和數(shù)據(jù)是否完整;依靠使用者身份、口令驗(yàn)證終端保護(hù)等辦法控制應(yīng)用程序的運(yùn)行。
(三)審計(jì)跟蹤
通常審計(jì)跟蹤與日志恢復(fù)可結(jié)合起來(lái)使用,但在概念上它們之間是有區(qū)別的。主要區(qū)別是日志恢復(fù)通常不記錄讀操作;但根據(jù)需要,日記恢復(fù)處理可以很容易地為審計(jì)跟蹤提供審計(jì)信息。如果將審計(jì)功能與告警功能結(jié)合起來(lái),就可以在違反安全規(guī)則的事件發(fā)生時(shí),或在威脅安全的重要操作進(jìn)行時(shí),及時(shí)向安檢員發(fā)出告警信息,以便迅速采取相應(yīng)對(duì)策,避免損失擴(kuò)大。審計(jì)記錄應(yīng)包括以下信息:事件發(fā)生的時(shí)間和地點(diǎn);引發(fā)事件的用戶(hù);事件的類(lèi)型;事件成功與否。
審計(jì)跟蹤的特點(diǎn)是:對(duì)被審計(jì)的系統(tǒng)是透明的;支持所有的應(yīng)用;允許構(gòu)造事件實(shí)際順序;可以有選擇地、動(dòng)態(tài)地開(kāi)始或停止記錄;記錄的事件一般應(yīng)包括以下:被審訊的進(jìn)程、時(shí)間、日期、數(shù)據(jù)庫(kù)的操作、事務(wù)類(lèi)型、用戶(hù)名、終端號(hào)等;可以對(duì)單個(gè)事件的記錄進(jìn)行指定。
按照訪(fǎng)問(wèn)控制類(lèi)型,審計(jì)跟蹤描述一個(gè)特定的執(zhí)行請(qǐng)求,然而,數(shù)據(jù)庫(kù)不限制審計(jì)跟蹤的請(qǐng)求。獨(dú)立的審計(jì)跟蹤更保密,因?yàn)閷徲?jì)人員可以限制時(shí)間,但代價(jià)比較昂貴。
(四)審計(jì)的流程
數(shù)據(jù)安全審計(jì)工作的流程是:收集來(lái)自?xún)?nèi)核和核外的事件,根據(jù)相應(yīng)的審計(jì)條件,判斷是否是審計(jì)事件。對(duì)審計(jì)事件的內(nèi)容按日志的模式記錄到審計(jì)日志中。當(dāng)審計(jì)事件滿(mǎn)足報(bào)警閥的報(bào)警值時(shí),則向?qū)徲?jì)人員發(fā)送報(bào)警信息并記錄其內(nèi)容。當(dāng)事件在一定時(shí)間內(nèi)連續(xù)發(fā)生,滿(mǎn)足逐出系統(tǒng)閥值,則將引起該事件的用戶(hù)逐出系統(tǒng)并記錄其內(nèi)容。
常用的報(bào)警類(lèi)型有:用于實(shí)時(shí)報(bào)告用戶(hù)試探進(jìn)入系統(tǒng)的登錄失敗報(bào)警以及用于實(shí)時(shí)報(bào)告系統(tǒng)中病毒活動(dòng)情況的病毒報(bào)警等。
1利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶(hù)口令或電子帳號(hào),冒充合法用戶(hù)作案,篡改磁性介質(zhì)記錄竊取資產(chǎn)。
2利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)的商業(yè)秘密以換取錢(qián)財(cái),或利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒以破壞企業(yè)的信息系統(tǒng)。
3建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無(wú)紙化”,越來(lái)越多的經(jīng)濟(jì)業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過(guò)改變電子貨幣帳單、銀行結(jié)算單及其它帳單,就有可能將公私財(cái)產(chǎn)的所有權(quán)進(jìn)行轉(zhuǎn)移。
計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)會(huì)計(jì)系統(tǒng)的開(kāi)放與數(shù)據(jù)共享,而開(kāi)放與共享的基礎(chǔ)則是安全。企業(yè)一方面通過(guò)網(wǎng)絡(luò)開(kāi)放自己,向全世界推銷(xiāo)自己的形象和產(chǎn)品,實(shí)現(xiàn)電子貿(mào)易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財(cái)務(wù)秘密,而其中已實(shí)現(xiàn)了電子化且具有貨幣價(jià)值的會(huì)計(jì)秘密、理財(cái)秘密是最重要的。我們有必要為它創(chuàng)造一個(gè)安全的環(huán)境,抵抗來(lái)自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開(kāi)放的放開(kāi)共享,該封閉的要讓黑客無(wú)奈。
一、網(wǎng)絡(luò)安全審計(jì)及基本要素
安全審計(jì)是一個(gè)新概念,它指由專(zhuān)業(yè)審計(jì)人員根據(jù)有關(guān)的法律法規(guī)、財(cái)產(chǎn)所有者的委托和管理當(dāng)局的授權(quán),對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的有關(guān)活動(dòng)或行為進(jìn)行系統(tǒng)的、獨(dú)立的檢查驗(yàn)證,并作出相應(yīng)評(píng)價(jià)。
沒(méi)有網(wǎng)絡(luò)安全,就沒(méi)有網(wǎng)絡(luò)世界。任何一個(gè)建立網(wǎng)絡(luò)環(huán)境計(jì)算機(jī)會(huì)計(jì)系統(tǒng)的機(jī)構(gòu),都會(huì)對(duì)系統(tǒng)的安全提出要求,在運(yùn)行和維護(hù)中也都會(huì)從自己的角度對(duì)安全作出安排。那么系統(tǒng)是否安全了呢?這是一般人心中無(wú)數(shù)也最不放心的問(wèn)題。應(yīng)該肯定,一個(gè)系統(tǒng)運(yùn)行的安全與否,不能單從雙方當(dāng)事人的判斷作出結(jié)論,而必須由第三方的專(zhuān)業(yè)審計(jì)人員通過(guò)審計(jì)作出評(píng)價(jià)。因?yàn)榘踩珜徲?jì)人員不但具有專(zhuān)門(mén)的安全知識(shí),而且具有豐富的安全審計(jì)經(jīng)驗(yàn),只有他們才能作出客觀、公正、公平和中立的評(píng)價(jià)。
安全審計(jì)涉及四個(gè)基本要素:控制目標(biāo)、安全漏洞、控制措施和控制測(cè)試。其中,控制目標(biāo)是指企業(yè)根據(jù)具體的計(jì)算機(jī)應(yīng)用,結(jié)合單位實(shí)際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易擾或破壞的地方。控制措施是指企業(yè)為實(shí)現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)、配置方法及各種規(guī)范制度。控制測(cè)試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較,確定各項(xiàng)控制措施是否存在、是否得到執(zhí)行、對(duì)漏洞的防范是否有效,評(píng)價(jià)企業(yè)安全措施的可依賴(lài)程度。顯然,安全審計(jì)作為一個(gè)專(zhuān)門(mén)的審計(jì)項(xiàng)目,要求審計(jì)人員必須具有較強(qiáng)的專(zhuān)業(yè)技術(shù)知識(shí)與技能。
安全審計(jì)是審計(jì)的一個(gè)組成部分。由于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國(guó)家安危,更涉及到企業(yè)的經(jīng)濟(jì)利益。因此,我們認(rèn)為必須迅速建立起國(guó)家、社會(huì)、企業(yè)三位一體的安全審計(jì)體系。其中,國(guó)家安全審計(jì)機(jī)關(guān)應(yīng)依據(jù)國(guó)家法律,特別是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身的各種安全技術(shù)要求,對(duì)廣域網(wǎng)上企業(yè)的信息安全實(shí)施年審制。另外,應(yīng)該發(fā)展社會(huì)中介機(jī)構(gòu),對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全提供審計(jì)服務(wù),它與會(huì)計(jì)師事務(wù)所、律師事務(wù)所一樣,是社會(huì)對(duì)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全作出評(píng)價(jià)的機(jī)構(gòu)。當(dāng)企業(yè)管理當(dāng)局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來(lái)的潛在損失時(shí),他們需要通過(guò)中介機(jī)構(gòu)對(duì)安全性作出檢查和評(píng)價(jià)。此外財(cái)政、財(cái)務(wù)審計(jì)也離不開(kāi)網(wǎng)絡(luò)安全專(zhuān)家,他們對(duì)網(wǎng)絡(luò)的安全控制作出評(píng)價(jià),幫助注冊(cè)會(huì)計(jì)師對(duì)相應(yīng)的信息處理系統(tǒng)所披露信息的真實(shí)性、可靠性作出正確判斷。Www.21miSHu.
二、網(wǎng)絡(luò)安全審計(jì)的程序
安全審計(jì)程序是安全監(jiān)督活動(dòng)的具體規(guī)程,它規(guī)定安全審計(jì)工作的具體內(nèi)容、時(shí)間安排、具體的審計(jì)方法和手段。與其它審計(jì)一樣,安全審計(jì)主要包括三個(gè)階段:審計(jì)準(zhǔn)備階段、實(shí)施階段以及終結(jié)階段。
安全審計(jì)準(zhǔn)備階段需要了解審計(jì)對(duì)象的具體情況、安全目標(biāo)、企業(yè)的制度、結(jié)構(gòu)、一般控制和應(yīng)用控制情況,并對(duì)安全審計(jì)工作制訂出具體的工作計(jì)劃。在這一階段,審計(jì)人員應(yīng)重點(diǎn)確定審計(jì)對(duì)象的安全要求、審計(jì)重點(diǎn)、可能的漏洞及減少漏洞的各種控制措施。
1了解企業(yè)網(wǎng)絡(luò)的基本情況。例如,應(yīng)該了解企業(yè)內(nèi)部網(wǎng)的類(lèi)型、局域網(wǎng)之間是否設(shè)置了單向存取限制、企業(yè)網(wǎng)與Internet的聯(lián)接方式、是否建立了虛擬專(zhuān)用網(wǎng)(VPN)?
2了解企業(yè)的安全控制目標(biāo)。安全控制目標(biāo)一般包括三個(gè)方面:第一,保證系統(tǒng)的運(yùn)轉(zhuǎn)正常,數(shù)據(jù)的可靠完整;第二,保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力;第三,對(duì)系統(tǒng)資源使用的授權(quán)與限制。當(dāng)然安全控制目標(biāo)因企業(yè)的經(jīng)營(yíng)性質(zhì)、規(guī)模的大小以及管理當(dāng)局的要求而有所差異。
3了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計(jì)人員應(yīng)充分取得目前企業(yè)對(duì)網(wǎng)絡(luò)環(huán)境的安全保密計(jì)劃,了解所有有關(guān)的控制對(duì)上述的控制目標(biāo)的實(shí)現(xiàn)情況,系統(tǒng)還有哪些潛在的漏洞。
安全審計(jì)實(shí)施階段的主要任務(wù)是對(duì)企業(yè)現(xiàn)有的安全控制措施進(jìn)行測(cè)試,以明確企業(yè)是否為安全采取了適當(dāng)?shù)目刂拼胧?這些措施是否發(fā)揮著作用。審計(jì)人員在實(shí)施環(huán)節(jié)應(yīng)充分利用各種技術(shù)工具產(chǎn)品,如網(wǎng)絡(luò)安全測(cè)試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計(jì)分析器。
安全審計(jì)終結(jié)階段應(yīng)對(duì)企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評(píng)價(jià),并提出改進(jìn)和完善的方法和其他意見(jiàn)。安全審計(jì)終結(jié)的評(píng)價(jià),按系統(tǒng)的完善程度、漏洞的大小和存在問(wèn)題的性質(zhì)可以分為三個(gè)等級(jí):危險(xiǎn)、不安全和基本安全。危險(xiǎn)是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患(如缺乏合理的數(shù)據(jù)備份機(jī)制與有效的病毒防范措施)和系統(tǒng)的盲目開(kāi)放性(如有意和無(wú)意用戶(hù)經(jīng)常能闖入系統(tǒng),對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行查閱或刪改)。不安全是指系統(tǒng)尚存在一些較常見(jiàn)的問(wèn)題和漏洞,如系統(tǒng)缺乏監(jiān)控機(jī)制和數(shù)據(jù)檢測(cè)手段等。基本安全是指各個(gè)企業(yè)網(wǎng)絡(luò)應(yīng)達(dá)到的目標(biāo),其大漏洞僅限于不可預(yù)見(jiàn)或罕預(yù)見(jiàn)性、技術(shù)極限性以及窮舉性等,其他小問(wèn)題發(fā)生時(shí)不影響系統(tǒng)運(yùn)行,也不會(huì)造成大的損失,且具有隨時(shí)發(fā)現(xiàn)問(wèn)題并糾正的能力。
三、網(wǎng)絡(luò)安全審計(jì)的主要測(cè)試
測(cè)試是安全審計(jì)實(shí)施階段的主要任務(wù),一般應(yīng)包括對(duì)數(shù)據(jù)通訊、硬件系統(tǒng)、軟件系統(tǒng)、數(shù)據(jù)資源以及安全產(chǎn)品的測(cè)試。
下面是對(duì)網(wǎng)絡(luò)環(huán)境會(huì)計(jì)信息系統(tǒng)的主要測(cè)試。
1數(shù)據(jù)通訊的控制測(cè)試
數(shù)據(jù)通訊控制的總目標(biāo)是數(shù)據(jù)通道的安全與完整。具體說(shuō),能發(fā)現(xiàn)和糾正設(shè)備的失靈,避免數(shù)據(jù)丟失或失真,能防止和發(fā)現(xiàn)來(lái)自Internet及內(nèi)部的非法存取操作。為了達(dá)到上述控制目標(biāo),審計(jì)人員應(yīng)執(zhí)行以下控制測(cè)試:(1)抽取一組會(huì)計(jì)數(shù)據(jù)進(jìn)行傳輸,檢查由于線(xiàn)路噪聲所導(dǎo)致數(shù)據(jù)失真的可能性。(2)檢查有關(guān)的數(shù)據(jù)通訊記錄,證實(shí)所有的數(shù)據(jù)接收是有序及正確的。(3)通過(guò)假設(shè)系統(tǒng)外一個(gè)非授權(quán)的進(jìn)入請(qǐng)求,測(cè)試通訊回叫技術(shù)的運(yùn)行情況。(4)檢查密鑰管理和口令控制程序,確認(rèn)口令文
件是否加密、密鑰存放地點(diǎn)是否安全。(5)發(fā)送一測(cè)試信息測(cè)試加密過(guò)程,檢查信息通道上在各不同點(diǎn)上信息的內(nèi)容。(6)檢查防火墻是否控制有效。防火墻的作用是在Internet與企業(yè)內(nèi)部網(wǎng)之間建立一道屏障,其有效性主要包括靈活性以及過(guò)濾、分離、報(bào)警等方面的能力。例如,防火墻應(yīng)具有拒絕任何不準(zhǔn)確的申請(qǐng)者的過(guò)濾能力,只有授權(quán)用戶(hù)才能通過(guò)防火墻訪(fǎng)問(wèn)會(huì)計(jì)數(shù)據(jù)。
2硬件系統(tǒng)的控制測(cè)試
硬件控制測(cè)試的總目標(biāo)是評(píng)價(jià)硬件的各項(xiàng)控制的適當(dāng)性與有效性。測(cè)試的重點(diǎn)包括:實(shí)體安全、火災(zāi)報(bào)警防護(hù)系統(tǒng)、使用記錄、后備電源、操作規(guī)程、災(zāi)害恢復(fù)計(jì)劃等。審計(jì)人員應(yīng)確定實(shí)物安全控制措施是否適當(dāng)、在處理日常運(yùn)作及部件失靈中操作員是否作出了適當(dāng)?shù)挠涗浥c定期分析、硬件的災(zāi)難恢復(fù)計(jì)劃是否適當(dāng)、是否制定了相關(guān)的操作規(guī)程、各硬件的資料歸檔是否完整。
3軟件系統(tǒng)的控制測(cè)試
軟件系統(tǒng)包括系統(tǒng)軟件和應(yīng)用軟件,其中最主要的是操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和會(huì)計(jì)軟件系統(tǒng)。總體控制目標(biāo)應(yīng)達(dá)到防止來(lái)自硬件失靈、計(jì)算機(jī)黑客、病毒感染、具有特權(quán)職員的各種破壞行為,保障系統(tǒng)正常運(yùn)行。對(duì)軟件系統(tǒng)的測(cè)試主要包括:(1)檢查軟件產(chǎn)品是否從正當(dāng)途徑購(gòu)買(mǎi),審計(jì)人員應(yīng)對(duì)購(gòu)買(mǎi)訂單進(jìn)行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件、使用外來(lái)軟盤(pán)之前是否檢查病毒。(3)證實(shí)只有授權(quán)的軟件才安裝到系統(tǒng)里。
4數(shù)據(jù)資源的控制測(cè)試
數(shù)據(jù)控制目標(biāo)包括兩方面:一是數(shù)據(jù)備份,為恢復(fù)被丟失、損壞或擾的數(shù)據(jù),系統(tǒng)應(yīng)有足夠備份;二是個(gè)人應(yīng)當(dāng)經(jīng)授權(quán)限制性地存取所需的數(shù)據(jù),未經(jīng)授權(quán)的個(gè)人不能存取數(shù)據(jù)庫(kù)。審計(jì)測(cè)試應(yīng)檢查是否提供了雙硬盤(pán)備份、動(dòng)態(tài)備份、業(yè)務(wù)日志備份等功能,以及在日常工作中是否真正實(shí)施了這些功能。根據(jù)系統(tǒng)的授權(quán)表,檢查存取控制的有效性。
5系統(tǒng)安全產(chǎn)品的測(cè)試
隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要,各種用于保障網(wǎng)絡(luò)安全的軟、硬件產(chǎn)品應(yīng)運(yùn)而生,如VPN、防火墻、身份認(rèn)證產(chǎn)品、CA產(chǎn)品等等。企業(yè)將在不斷發(fā)展的安全產(chǎn)品市場(chǎng)上購(gòu)買(mǎi)各種產(chǎn)品以保障系統(tǒng)的安全,安全審計(jì)機(jī)構(gòu)應(yīng)對(duì)這些產(chǎn)品是否有效地使用并發(fā)揮其應(yīng)有的作用進(jìn)行測(cè)試與作出評(píng)價(jià)。例如,檢查安全產(chǎn)品是否經(jīng)過(guò)認(rèn)證機(jī)構(gòu)或公安部部門(mén)的認(rèn)征,產(chǎn)品的銷(xiāo)售商是否具有銷(xiāo)售許可證產(chǎn)品的安全保護(hù)功能是否發(fā)揮作用。
四、應(yīng)該建立內(nèi)部安全審計(jì)制度
[摘要]計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)是涉及我國(guó)經(jīng)濟(jì)發(fā)展、社會(huì)發(fā)展和國(guó)家安全的重大問(wèn)題。本文結(jié)合網(wǎng)絡(luò)安全建設(shè)的全面信息,在對(duì)網(wǎng)絡(luò)系統(tǒng)詳細(xì)的需求分析基礎(chǔ)上,依照計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo)和計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃,設(shè)計(jì)了一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系。
[關(guān)鍵詞]網(wǎng)絡(luò)安全方案設(shè)計(jì)實(shí)現(xiàn)
一、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)與實(shí)現(xiàn)概述
影響網(wǎng)絡(luò)安全的因素很多,保護(hù)網(wǎng)絡(luò)安全的技術(shù)、手段也很多。一般來(lái)說(shuō),保護(hù)網(wǎng)絡(luò)安全的主要技術(shù)有防火墻技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)、防病毒技術(shù)、加密技術(shù)、身份認(rèn)證技術(shù),等等。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全,必須結(jié)合網(wǎng)絡(luò)的具體需求,將多種安全措施進(jìn)行整合,建立一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系,這樣一個(gè)全面的網(wǎng)絡(luò)安全解決方案,可以防止安全風(fēng)險(xiǎn)的各個(gè)方面的問(wèn)題。
二、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)
1.桌面安全系統(tǒng)
用戶(hù)的重要信息都是以文件的形式存儲(chǔ)在磁盤(pán)上,使用戶(hù)可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率,但同時(shí)也造成用戶(hù)的信息易受到攻擊,造成泄密。特別是對(duì)于移動(dòng)辦公的情況更是如此。因此,需要對(duì)移動(dòng)用戶(hù)的文件及文件夾進(jìn)行本地安全管理,防止文件泄密等安全隱患。
本設(shè)計(jì)方案采用清華紫光公司出品的紫光S鎖產(chǎn)品,“紫光S鎖”是清華紫光“桌面計(jì)算機(jī)信息安全保護(hù)系統(tǒng)”的商品名稱(chēng)。紫光S鎖的內(nèi)部集成了包括中央處理器(CPU)、加密運(yùn)算協(xié)處理器(CAU)、只讀存儲(chǔ)器(ROM),隨機(jī)存儲(chǔ)器(RAM)、電可擦除可編程只讀存儲(chǔ)器(E2PROM)等,以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS(ChipOperatingSystem)、硬件ID號(hào)、各種密鑰和加密算法等。紫光S鎖采用了通過(guò)中國(guó)人民銀行認(rèn)證的SmartCOS,其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改,防止非法軟件對(duì)S鎖進(jìn)行操作。
2.病毒防護(hù)系統(tǒng)
基于單位目前網(wǎng)絡(luò)的現(xiàn)狀,在網(wǎng)絡(luò)中添加一臺(tái)服務(wù)器,用于安裝IMSS。
(1)郵件防毒。采用趨勢(shì)科技的ScanMailforNotes。該產(chǎn)品可以和Domino的群件服務(wù)器無(wú)縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫(kù)中,可防止病毒入侵到LotueNotes的數(shù)據(jù)庫(kù)及電子郵件,實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫(kù)及信件附件中的病毒。可通過(guò)任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作,并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。ScanMail是NotesDominoServer使用率最高的防病毒軟件。
(2)服務(wù)器防毒。采用趨勢(shì)科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念,防毒模塊和管理模塊可分開(kāi)安裝。一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響,另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署,管理和更新。
(3)客戶(hù)端防毒。采用趨勢(shì)科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶(hù)端防毒系統(tǒng),使管理者通過(guò)單點(diǎn)控制所有客戶(hù)機(jī)上的防毒模塊,并可以自動(dòng)對(duì)所有客戶(hù)端的防毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。
(4)集中控管TVCS。管理員可以通過(guò)此工具在整個(gè)企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)趨勢(shì)科技的防病毒軟件,支持跨域和跨網(wǎng)段的管理,并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。無(wú)論運(yùn)行于何種平臺(tái)和位置,TVCS在整個(gè)網(wǎng)絡(luò)中總起一個(gè)單一管理控制臺(tái)作用。簡(jiǎn)便的安裝和分發(fā)部署,網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動(dòng)下載病毒代碼文件和病毒爆發(fā)警報(bào),給管理帶來(lái)極大的便利。
3.動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)
動(dòng)態(tài)口令系統(tǒng)在國(guó)際公開(kāi)的密碼算法基礎(chǔ)上,結(jié)合生成動(dòng)態(tài)口令的特點(diǎn),加以精心修改,通過(guò)十次以上的非線(xiàn)性迭代運(yùn)算,完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散。在此基礎(chǔ)上,采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式,從整體上保證了系統(tǒng)的安全性。
4.訪(fǎng)問(wèn)控制“防火墻”
單位安全網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成,在控制不可信連接、分辨非法訪(fǎng)問(wèn)、辨別身份偽裝等方面存在著很大的缺陷,從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。本設(shè)計(jì)方案選用四臺(tái)網(wǎng)御防火墻,分別配置在高性能服務(wù)器和三個(gè)重要部門(mén)的局域網(wǎng)出入口,實(shí)現(xiàn)這些重要部門(mén)的訪(fǎng)問(wèn)控制。
通過(guò)在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門(mén)之間部署防火墻,通過(guò)防火墻將網(wǎng)絡(luò)內(nèi)部不同部門(mén)的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段,彼此隔離。這樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器,使其不受來(lái)自?xún)?nèi)部的攻擊,也保護(hù)了各部門(mén)網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來(lái)自單位網(wǎng)內(nèi)部其他部門(mén)的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)您的一個(gè)部門(mén),或者如果病毒開(kāi)始蔓延,網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。
5.信息加密、信息完整性校驗(yàn)
為有效解決辦公區(qū)之間信息的傳輸安全,可以在多個(gè)子網(wǎng)之間建立起獨(dú)立的安全通道,通過(guò)嚴(yán)格的加密和認(rèn)證措施來(lái)保證通道中傳送的數(shù)據(jù)的完整性、真實(shí)性和私有性。
SJW-22網(wǎng)絡(luò)密碼機(jī)系統(tǒng)組成
網(wǎng)絡(luò)密碼機(jī)(硬件):是一個(gè)基于專(zhuān)用內(nèi)核,具有自主版權(quán)的高級(jí)通信保護(hù)控制系統(tǒng)。
本地管理器(軟件):是一個(gè)安裝于密碼機(jī)本地管理平臺(tái)上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機(jī)本地管理系統(tǒng)軟件。
中心管理器(軟件):是一個(gè)安裝于中心管理平臺(tái)(Windows系統(tǒng))上的對(duì)全網(wǎng)的密碼機(jī)設(shè)備進(jìn)行統(tǒng)一管理的系統(tǒng)軟件。
6.安全審計(jì)系統(tǒng)
根據(jù)以上多層次安全防范的策略,安全網(wǎng)的安全建設(shè)可采取“加密”、“外防”、“內(nèi)審”相結(jié)合的方法,“內(nèi)審”是對(duì)系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查,識(shí)別系統(tǒng)是否正在受到攻擊以及內(nèi)部機(jī)密信息是否泄密,以解決內(nèi)層安全。
安全審計(jì)系統(tǒng)能幫助用戶(hù)對(duì)安全網(wǎng)的安全進(jìn)行實(shí)時(shí)監(jiān)控,及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài),發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為,忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切,提供取證手段。作為網(wǎng)絡(luò)安全十分重要的一種手段,安全審計(jì)系統(tǒng)包括識(shí)別、記錄、存儲(chǔ)、分析與安全相關(guān)行為有關(guān)的信息。
在安全網(wǎng)中使用的安全審計(jì)系統(tǒng)應(yīng)實(shí)現(xiàn)如下功能:安全審計(jì)自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)分析、安全審計(jì)瀏覽、安全審計(jì)事件存儲(chǔ)、安全審計(jì)事件選擇等。
本設(shè)計(jì)方案選用“漢邦軟科”的安全審計(jì)系統(tǒng)作為安全審計(jì)工具。
漢邦安全審計(jì)系統(tǒng)是針對(duì)目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的安全問(wèn)題,面向企事業(yè)的網(wǎng)絡(luò)管理人員而設(shè)計(jì)的一套網(wǎng)絡(luò)安全產(chǎn)品,是一個(gè)分布在整個(gè)安全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測(cè)、控制系統(tǒng)。
(1)安全審計(jì)系統(tǒng)由安全監(jiān)控中心和主機(jī)傳感器兩個(gè)部分構(gòu)成。主機(jī)傳感器安裝在要監(jiān)視的目標(biāo)主機(jī)上,其監(jiān)視目標(biāo)主機(jī)的人機(jī)界面操作、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情況及共享資源的使用情況。安全監(jiān)控中心是管理平臺(tái)和監(jiān)控平臺(tái),網(wǎng)絡(luò)管理員通過(guò)安全監(jiān)控中心為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則,同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)。主要功能有文件保護(hù)審計(jì)和主機(jī)信息審計(jì)。
①文件保護(hù)審計(jì):文件保護(hù)安裝在審計(jì)中心,可有效的對(duì)被審計(jì)主機(jī)端的文件進(jìn)行管理規(guī)則設(shè)置,包括禁止讀、禁止寫(xiě)、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報(bào)警等功能。以及對(duì)文件保護(hù)進(jìn)行用戶(hù)管理。
②主機(jī)信息審計(jì):對(duì)網(wǎng)絡(luò)內(nèi)公共資源中,所有主機(jī)進(jìn)行審計(jì),可以審計(jì)到主機(jī)的機(jī)器名、當(dāng)前用戶(hù)、操作系統(tǒng)類(lèi)型、IP地址信息。
(2)資源監(jiān)控系統(tǒng)主要有四類(lèi)功能。①監(jiān)視屏幕:在用戶(hù)指定的時(shí)間段內(nèi),系統(tǒng)自動(dòng)每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶(hù)實(shí)時(shí)控制屏幕截獲的開(kāi)始和結(jié)束。②監(jiān)視鍵盤(pán):在用戶(hù)指定的時(shí)間段內(nèi),截獲HostSensorProgram用戶(hù)的所有鍵盤(pán)輸入,用戶(hù)實(shí)時(shí)控制鍵盤(pán)截獲的開(kāi)始和結(jié)束。
③監(jiān)測(cè)監(jiān)控RAS連接:在用戶(hù)指定的時(shí)間段內(nèi),記錄所有的RAS連接信息。用戶(hù)實(shí)時(shí)控制ass連接信息截獲的開(kāi)始和結(jié)束。當(dāng)gas連接非法時(shí),系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連接的操作。
④監(jiān)測(cè)監(jiān)控網(wǎng)絡(luò)連接:在用戶(hù)指定的時(shí)間段內(nèi),記錄所有的網(wǎng)絡(luò)連接信息(包括:TCP,UDP,NetBios)。用戶(hù)實(shí)時(shí)控制網(wǎng)絡(luò)連接信息截獲的開(kāi)始和結(jié)束。由用戶(hù)指定非法的網(wǎng)絡(luò)連接列表,當(dāng)出現(xiàn)非法連接時(shí),系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連接的操作。
單位內(nèi)網(wǎng)中安全審計(jì)系統(tǒng)采集的數(shù)據(jù)來(lái)源于安全計(jì)算機(jī),所以應(yīng)在安全計(jì)算機(jī)安裝主機(jī)傳感器,保證探頭能夠采集進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)。安全監(jiān)控中心安裝在信息中心的一臺(tái)主機(jī)上,負(fù)責(zé)為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則,同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)。單位內(nèi)網(wǎng)中的安全計(jì)算機(jī)為600臺(tái),需要安裝600個(gè)傳感器。
7.入侵檢測(cè)系統(tǒng)IDS
入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā),入侵檢測(cè)理應(yīng)受到人們的高度重視,這從國(guó)際入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。
根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度,選擇IDS探測(cè)器(百兆)配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機(jī)處放置,核心交換機(jī)放置控制臺(tái),監(jiān)控和管理所有的探測(cè)器因此提供了對(duì)內(nèi)部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。
在單位安全內(nèi)網(wǎng)中,入侵檢測(cè)系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)的幾個(gè)要害部門(mén)子網(wǎng)和其他部門(mén)子網(wǎng)之間,通過(guò)實(shí)時(shí)截取網(wǎng)絡(luò)上的是數(shù)據(jù)流,分析網(wǎng)絡(luò)通訊會(huì)話(huà)軌跡,尋找網(wǎng)絡(luò)攻擊模式和其他網(wǎng)絡(luò)違規(guī)活動(dòng)。
8.漏洞掃描系統(tǒng)
本內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決定了整個(gè)系統(tǒng)的安全性。在內(nèi)網(wǎng)高性能服務(wù)器處配置一臺(tái)網(wǎng)絡(luò)隱患掃描I型聯(lián)動(dòng)型產(chǎn)品。I型聯(lián)動(dòng)型產(chǎn)品適用于該內(nèi)網(wǎng)這樣的高端用戶(hù),I型聯(lián)動(dòng)型產(chǎn)品由手持式掃描儀和機(jī)架型掃描服務(wù)器結(jié)合一體,網(wǎng)管人員就可以很方便的實(shí)現(xiàn)了集中管理的功能。網(wǎng)絡(luò)人員使用I型聯(lián)動(dòng)型產(chǎn)品,就可以很方便的對(duì)200信息點(diǎn)以上的多個(gè)網(wǎng)絡(luò)進(jìn)行多線(xiàn)程較高的掃描速度的掃描,可以實(shí)現(xiàn)和IDS、防火墻聯(lián)動(dòng),尤其適合于制定全網(wǎng)統(tǒng)一的安全策略。同時(shí)移動(dòng)式掃描儀可以跨越網(wǎng)段、穿透防火墻,實(shí)現(xiàn)分布式掃描,服務(wù)器和掃描儀都支持定時(shí)和多IP地址的自動(dòng)掃描,網(wǎng)管人員可以很輕松的就可以進(jìn)行整個(gè)網(wǎng)絡(luò)的掃描,根據(jù)系統(tǒng)提供的掃描報(bào)告,配合我們提供的三級(jí)服務(wù)體系,大大的減輕了工作負(fù)擔(dān),極大的提高了工作效率。
聯(lián)動(dòng)掃描系統(tǒng)支持多線(xiàn)程掃描,有較高的掃描速度,支持定時(shí)和多IP地址的自動(dòng)掃描,網(wǎng)管人員可以很輕松的對(duì)自己的網(wǎng)絡(luò)進(jìn)行掃描和漏洞的彌補(bǔ)。同時(shí)提供了Web方式的遠(yuǎn)程管理,網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。另外對(duì)于信息點(diǎn)少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)隱患掃描II型移動(dòng)式掃描儀。移動(dòng)式掃描儀使用靈活,可以跨越網(wǎng)段、穿透防火墻,對(duì)重點(diǎn)的服務(wù)器和網(wǎng)絡(luò)設(shè)備直接掃描防護(hù),這樣保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性,最大可能地消除安全隱患。
在防火墻處部署聯(lián)動(dòng)掃描系統(tǒng),在部門(mén)交換機(jī)處部署移動(dòng)式掃描儀,實(shí)現(xiàn)放火墻、聯(lián)動(dòng)掃描系統(tǒng)和移動(dòng)式掃描儀之間的聯(lián)動(dòng),保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性,最大可能的消除安全隱患,盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ),優(yōu)化資源,提高網(wǎng)絡(luò)的運(yùn)行效率和安全性。
三、結(jié)束語(yǔ)
關(guān)鍵詞:網(wǎng)絡(luò)安全;審計(jì)安全;監(jiān)控系統(tǒng)
中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2013)16-3707-02
1 網(wǎng)絡(luò)安全概述
網(wǎng)絡(luò)安全性一直是人們關(guān)注的話(huà)題,同時(shí)也是網(wǎng)絡(luò)體系中的薄弱環(huán)節(jié)之一,面對(duì)網(wǎng)絡(luò)用戶(hù)對(duì)網(wǎng)絡(luò)安全性的高要求,做好網(wǎng)絡(luò)安全工作十分重要。在網(wǎng)絡(luò)體系中,網(wǎng)絡(luò)安全主要包括以下幾個(gè)方面:網(wǎng)絡(luò)數(shù)據(jù)具有私有性,網(wǎng)絡(luò)系統(tǒng)需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行保護(hù),防止數(shù)據(jù)被非法侵入和利用;數(shù)據(jù)和信息的使用需要經(jīng)過(guò)信息所有者的授權(quán),網(wǎng)絡(luò)系統(tǒng)需要保護(hù)數(shù)據(jù)在非授權(quán)情況下不被非法使用;網(wǎng)絡(luò)信息可以進(jìn)行訪(fǎng)問(wèn)控制,對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)進(jìn)行規(guī)范的控制。針對(duì)網(wǎng)絡(luò)安全問(wèn)題,常見(jiàn)的網(wǎng)絡(luò)安全管理措施主要包括加密技術(shù),授權(quán)管理以及訪(fǎng)問(wèn)控制管理等。還包括對(duì)網(wǎng)絡(luò)安全日志的維護(hù)和檢查,對(duì)安全日志進(jìn)行創(chuàng)建和刪除,建立網(wǎng)絡(luò)日志的安全服務(wù)機(jī)制,相關(guān)安全信息等。
網(wǎng)絡(luò)信息安全的實(shí)現(xiàn),需要對(duì)網(wǎng)絡(luò)信息的傳輸進(jìn)行嚴(yán)格的審計(jì),保證數(shù)據(jù)傳輸?shù)囊?guī)范。同時(shí),還需要對(duì)網(wǎng)絡(luò)操作行為進(jìn)行監(jiān)督,通過(guò)網(wǎng)絡(luò)信息訪(fǎng)問(wèn)控制機(jī)制的建立來(lái)做好對(duì)網(wǎng)絡(luò)信息的審計(jì)和監(jiān)控工作,實(shí)現(xiàn)網(wǎng)絡(luò)信息的安全性保障。網(wǎng)絡(luò)安全的訪(fǎng)問(wèn)控制環(huán)節(jié),主要通過(guò)訪(fǎng)問(wèn)限制的設(shè)置來(lái)實(shí)現(xiàn)對(duì)資源訪(fǎng)問(wèn)的控制,減少和及時(shí)發(fā)現(xiàn)非法入侵,網(wǎng)絡(luò)信息安全體系中常見(jiàn)的訪(fǎng)問(wèn)控制系統(tǒng)主要有網(wǎng)絡(luò)用戶(hù)主體與客體間的安全訪(fǎng)問(wèn)規(guī)則等。通過(guò)對(duì)網(wǎng)絡(luò)安全訪(fǎng)問(wèn)控制機(jī)制的建立,規(guī)范了網(wǎng)絡(luò)信息訪(fǎng)問(wèn)秩序,確定了訪(fǎng)問(wèn)主體以及訪(fǎng)問(wèn)的權(quán)限等,防止未授權(quán)的非法訪(fǎng)問(wèn)。進(jìn)而做好對(duì)網(wǎng)絡(luò)信息的安全審計(jì)以及監(jiān)控工作,確保網(wǎng)絡(luò)信息安全。
2 安全審計(jì)和監(jiān)控系統(tǒng)設(shè)計(jì)技術(shù)分析
1)Web Service技術(shù)
Web Service技術(shù)是Web應(yīng)用技術(shù)的分支,通過(guò)該技術(shù)可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的描述性以及模塊化管理。通過(guò)信息定位以及等方式,Web Service可以進(jìn)行數(shù)據(jù)請(qǐng)求以及數(shù)據(jù)處理等操作。當(dāng)命令發(fā)出之后,Web Service就開(kāi)始對(duì)任務(wù)的執(zhí)行工作,通過(guò)網(wǎng)絡(luò)信息中的各種Web Service應(yīng)用程序來(lái)執(zhí)行任務(wù)服務(wù)。綜上所述,Web Service是網(wǎng)絡(luò)信息環(huán)境中的一種應(yīng)用程序,通過(guò)標(biāo)準(zhǔn)化互聯(lián)網(wǎng)協(xié)議的使用,實(shí)現(xiàn)網(wǎng)絡(luò)信息功能性綱領(lǐng)在互聯(lián)網(wǎng)上的體現(xiàn)。其中使用的互聯(lián)網(wǎng)協(xié)議主要有超文本傳輸協(xié)議(HTP)以及XML協(xié)議等。
2)XML數(shù)據(jù)處理
XML主要是指可擴(kuò)展性的標(biāo)記語(yǔ)言,屬于標(biāo)準(zhǔn)通用標(biāo)記語(yǔ)言的范疇。XML技術(shù)在互聯(lián)網(wǎng)環(huán)境中,實(shí)現(xiàn)了跨平臺(tái)數(shù)據(jù)操作和處理,是一種對(duì)數(shù)據(jù)內(nèi)容依賴(lài)程度比較高的技術(shù),在當(dāng)下一些結(jié)構(gòu)化的文檔信息處理中應(yīng)用的比較廣泛。同時(shí),XML屬于比較簡(jiǎn)單的數(shù)據(jù)存儲(chǔ)語(yǔ)言,對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單的標(biāo)記和描述,標(biāo)記可以通過(guò)特定的方式來(lái)建立,因此,利用XML技術(shù)對(duì)數(shù)據(jù)的處理比較好操作,而且處理方式比較靈活。通過(guò)可擴(kuò)展標(biāo)記語(yǔ)言可以在網(wǎng)絡(luò)信息系統(tǒng)中建立共同信息格式以及共享格式等,主要應(yīng)用在金融行業(yè)內(nèi)部網(wǎng)以及其他網(wǎng)絡(luò)體系中。例如,一些計(jì)算機(jī)制造商往往用同一種標(biāo)準(zhǔn)來(lái)進(jìn)行計(jì)算機(jī)產(chǎn)品相關(guān)信息的定義,然后通過(guò)XML描述產(chǎn)品信息格式。通過(guò)這種標(biāo)準(zhǔn)數(shù)據(jù)描述方式,讓使用戶(hù)通過(guò)智能程序,來(lái)對(duì)各個(gè)計(jì)算機(jī)制造商的信息進(jìn)行了解,最終通過(guò)比較來(lái)得出自己需要的計(jì)算機(jī)產(chǎn)品。
3) 軟件開(kāi)發(fā)和應(yīng)用
網(wǎng)絡(luò)安全環(huán)境下的安全審計(jì)以及監(jiān)控系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)需要軟件平臺(tái)來(lái)支持,通過(guò)軟件系統(tǒng)的開(kāi)發(fā)和應(yīng)用,網(wǎng)絡(luò)信息系統(tǒng)中的上層應(yīng)用為一些同網(wǎng)絡(luò)硬件以及操作系統(tǒng)無(wú)關(guān)的軟件開(kāi)發(fā)以及應(yīng)用提供必要的環(huán)境支持。同時(shí),軟件平臺(tái)也可以為用戶(hù)的各種數(shù)據(jù)處理工作提供便利,例如數(shù)據(jù)訪(fǎng)問(wèn)、數(shù)據(jù)封裝以及數(shù)據(jù)分析等。通過(guò)軟件應(yīng)用為上層透明數(shù)據(jù)訪(fǎng)問(wèn)提供了一個(gè)明確的接口。
3 網(wǎng)絡(luò)安全審計(jì)以及監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
1)安全審計(jì)設(shè)計(jì)
網(wǎng)絡(luò)安全中的安全審計(jì)主要包括以下幾個(gè)步驟:首先需要對(duì)被審計(jì)單位的各項(xiàng)信息數(shù)據(jù)進(jìn)行采集,采集過(guò)程中保證數(shù)據(jù)的全面性和完整性;其次,需要對(duì)采集的各種數(shù)據(jù)進(jìn)行綜合分析和處理,集合審計(jì)工作的具體需要將相關(guān)數(shù)據(jù)進(jìn)行整合,然后轉(zhuǎn)換成審計(jì)所需要的數(shù)據(jù)形式;最后還要對(duì)審計(jì)數(shù)據(jù)進(jìn)行復(fù)核工作,復(fù)核工作主要通過(guò)計(jì)算機(jī)審計(jì)軟件來(lái)完成。在安全審計(jì)設(shè)計(jì)過(guò)程中,數(shù)據(jù)采集環(huán)節(jié)是整個(gè)審計(jì)工作的前提和基礎(chǔ),只有完整、全面、準(zhǔn)確以及及時(shí)的數(shù)據(jù),才能有效的開(kāi)展審計(jì)工作。常用的審計(jì)數(shù)據(jù)采集方式有三種,即直接讀取數(shù)據(jù)、通過(guò)數(shù)據(jù)庫(kù)連接件進(jìn)行數(shù)據(jù)讀取以及文件傳輸讀取數(shù)據(jù)三種。其中,在直接讀取數(shù)據(jù)這種數(shù)據(jù)采集方式中,一般通過(guò)審計(jì)軟件來(lái)進(jìn)行數(shù)據(jù)庫(kù)的審計(jì)工作;在數(shù)據(jù)庫(kù)連接件這種采集方式中,采集時(shí)也需要直接同被審計(jì)單位的數(shù)據(jù)庫(kù)進(jìn)行連接。因此,這兩種數(shù)據(jù)采集方式具有一定的相似性,采用這兩種方式進(jìn)行數(shù)據(jù)采集時(shí),首先需要對(duì)雙方的數(shù)據(jù)存儲(chǔ)格式進(jìn)行了解,當(dāng)采集過(guò)程中有一方的數(shù)據(jù)存儲(chǔ)格式發(fā)生了變化,整個(gè)數(shù)據(jù)采集的存儲(chǔ)格式都需要進(jìn)行重新調(diào)整,在這種情況下,數(shù)據(jù)采集的效率就受到了影響,靈活性也降低了。此外,采集過(guò)程中直接同被采集單位的數(shù)據(jù)進(jìn)行連接,也影響了被采集單位的數(shù)據(jù)安全和數(shù)據(jù)運(yùn)行速度,進(jìn)而影響了被采集單位的正常工作。因此,在進(jìn)行數(shù)據(jù)采集工作時(shí),需要采取第三種方式進(jìn)行,由被采集單位進(jìn)行數(shù)據(jù)格式的指定,然后將數(shù)據(jù)導(dǎo)出,避免同被采集方數(shù)據(jù)庫(kù)的直接連接,在獲得采集數(shù)據(jù)的同時(shí)也保障了被審計(jì)單位的信息安全,真正實(shí)現(xiàn)安全審計(jì)。
2)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)設(shè)計(jì)
在網(wǎng)絡(luò)安全監(jiān)控體系中,最主要的就是對(duì)網(wǎng)絡(luò)操作對(duì)象進(jìn)行監(jiān)控,對(duì)網(wǎng)絡(luò)操作的各種文件和數(shù)據(jù)進(jìn)行監(jiān)控,進(jìn)而實(shí)現(xiàn)網(wǎng)絡(luò)安全運(yùn)行的目標(biāo)。對(duì)操作對(duì)象的監(jiān)控可以通過(guò)Windows程序來(lái)實(shí)現(xiàn),工作原理為:利用Windows程序中的文件過(guò)濾驅(qū)動(dòng)系統(tǒng)來(lái)對(duì)用戶(hù)進(jìn)程中的各種文件操作進(jìn)行攔截,做好對(duì)網(wǎng)絡(luò)數(shù)據(jù)訪(fǎng)問(wèn)的審核和控制,決定用戶(hù)進(jìn)程的訪(fǎng)問(wèn)權(quán)限以及訪(fǎng)問(wèn)方式,在這種監(jiān)控環(huán)境下,網(wǎng)絡(luò)環(huán)境中的文件安全得以保障和實(shí)現(xiàn)。通過(guò)網(wǎng)絡(luò)文件監(jiān)控可以實(shí)現(xiàn)對(duì)文件系統(tǒng)的過(guò)濾和管理,具體表現(xiàn)在:Driver Message Controller負(fù)責(zé)對(duì)監(jiān)控系統(tǒng)的驅(qū)動(dòng)以及通信,通過(guò)監(jiān)控程序來(lái)進(jìn)行消息發(fā)送;利用標(biāo)簽維護(hù)模塊來(lái)進(jìn)行安全標(biāo)簽的處理,比如添加和刪除等,該模塊主要用作文件訪(fǎng)問(wèn)日志的顯示;此外,網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)中的驅(qū)動(dòng)程序消息控制模塊主要借助CDriverMsgController類(lèi)型的多用線(xiàn)程技術(shù)來(lái)實(shí)現(xiàn),進(jìn)而對(duì)驅(qū)動(dòng)程序所監(jiān)視的消息進(jìn)行接收和發(fā)送等方面的處理。
4 結(jié)束語(yǔ)
隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展,網(wǎng)絡(luò)信息安全問(wèn)題也越來(lái)越突出,一些非授權(quán)網(wǎng)絡(luò)信息訪(fǎng)問(wèn)以及非法網(wǎng)絡(luò)入侵行為大量存在,嚴(yán)重影響了金融行業(yè)的網(wǎng)絡(luò)信息安全,危及業(yè)務(wù)系統(tǒng)正常運(yùn)行,甚至造成了信息泄露,系統(tǒng)數(shù)據(jù)被非法篡改等重大損失。做好網(wǎng)絡(luò)安全維護(hù)工作十分重要,在安全的網(wǎng)絡(luò)環(huán)境下開(kāi)展安全審計(jì)工作以及系統(tǒng)監(jiān)控工作時(shí)必須的,金融行業(yè)要做好安全審計(jì)以及監(jiān)控系統(tǒng)的設(shè)計(jì)工作。通過(guò)安全審計(jì)工作的開(kāi)展來(lái)保證金融行業(yè)的信息安全,通過(guò)監(jiān)控系統(tǒng)來(lái)規(guī)范管理網(wǎng)絡(luò)信息環(huán)境,進(jìn)而打造安全的網(wǎng)絡(luò)信息環(huán)境,保證金融行業(yè)及住房公積金行業(yè)的網(wǎng)絡(luò)運(yùn)行安全。
參考文獻(xiàn):
[1] 倪竹清.網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)的探索與實(shí)踐[J].中國(guó)傳媒科技,2011(7).
關(guān)鍵詞:信息管理系統(tǒng) 信息安全 系統(tǒng)安全建設(shè)
中圖分類(lèi)號(hào):TP39 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1003-9082(2014)03-0001-02
一、引言
隨著全球信息化不斷在我國(guó)深化和發(fā)展,我國(guó)各地區(qū)、各行業(yè)使用信息系統(tǒng)開(kāi)展工作的比例越來(lái)越大。一般來(lái)說(shuō),信息化程度越高,對(duì)信息管理系統(tǒng)的依賴(lài)性就越強(qiáng),信息安全問(wèn)題就越為突顯和嚴(yán)重。而信息安全問(wèn)題也正逐漸成為影響各企事業(yè)單位業(yè)務(wù)能否正常運(yùn)行、生產(chǎn)力能否快速發(fā)展的重要因素之一。但是由于我國(guó)信息化建設(shè)起步相對(duì)較晚,與國(guó)外先進(jìn)國(guó)家相比,無(wú)論在信息安全意識(shí)還是信息安全防護(hù)技術(shù)等諸多方面都還存在較大差距,各企事業(yè)單位的信息安全基本上均處于一個(gè)相對(duì)較為薄弱的環(huán)節(jié)。一旦信息管理系統(tǒng)中的個(gè)人信息和敏感數(shù)據(jù)發(fā)生丟失或者泄漏,可能會(huì)對(duì)自身造成無(wú)可估量的損失。因此,重點(diǎn)保障信息管理系統(tǒng)安全已成為各行各業(yè)的首要任務(wù)。信息管理系統(tǒng)安全建設(shè)應(yīng)該系統(tǒng)地、有條理地進(jìn)行全面規(guī)劃,充分地、全方位地考慮安全需求和特性,從而達(dá)到各種安全產(chǎn)品、安全管理、整體安全策略和外部安全服務(wù)的統(tǒng)一,發(fā)揮其最大的效率,給予信息管理系統(tǒng)以最大保障。
二、信息管理系統(tǒng)安全建設(shè)原則
1.安全體系兼容性
安全體系有一個(gè)重要的思想是安全技術(shù)的兼容性,安全措施能夠和目前主流、標(biāo)準(zhǔn)的安全技術(shù)和產(chǎn)品兼容。
2.信息管理系統(tǒng)體系架構(gòu)安全性
系統(tǒng)的系統(tǒng)架構(gòu)已經(jīng)成為保護(hù)系統(tǒng)安全的重要防線(xiàn),一個(gè)優(yōu)秀的系統(tǒng)體系架構(gòu)除了能夠保證系統(tǒng)的穩(wěn)定性以外,還能夠封裝不同層次的業(yè)務(wù)邏輯。各種業(yè)務(wù)組件之間的“黑盒子”操作,能夠有效地保護(hù)系統(tǒng)邏輯隱蔽性和獨(dú)立性。
3.傳輸安全性
由于計(jì)算機(jī)網(wǎng)絡(luò)涉及很多用戶(hù)的接入訪(fǎng)問(wèn),因此如何保護(hù)數(shù)據(jù)在傳輸過(guò)程中不被竊聽(tīng)和撰改就成為重點(diǎn)考慮內(nèi)的問(wèn)題,建議采用傳輸協(xié)議的加密保護(hù)。
4.軟硬件結(jié)合的防護(hù)體系
系統(tǒng)應(yīng)支持和多種軟硬件安全設(shè)備結(jié)合,構(gòu)成一個(gè)立體防護(hù)體系,主要安全軟硬件設(shè)備為防火墻系統(tǒng)、防病毒軟件等。
5.可跟蹤審計(jì)
系統(tǒng)應(yīng)內(nèi)置多粒度的日志系統(tǒng),能夠按照需要把各種不同操作粒度的動(dòng)作都記錄在日志中,用于跟蹤和審計(jì)用戶(hù)的歷史操作。
6.身份確認(rèn)及操作不可抵賴(lài)
身份確認(rèn)對(duì)于系統(tǒng)來(lái)說(shuō)有兩重含義,一是用戶(hù)身份的確認(rèn),二是服務(wù)器身份的確認(rèn),兩者在信息安全體系建設(shè)中必不可少。
7.數(shù)據(jù)存儲(chǔ)的安全性
系統(tǒng)中數(shù)據(jù)存儲(chǔ)方面可以采取兩道機(jī)制進(jìn)行的保護(hù),一是系統(tǒng)提供的訪(fǎng)問(wèn)權(quán)限控制,二是數(shù)據(jù)的加密存放。
三、信息管理系統(tǒng)安全建設(shè)內(nèi)容
按照系統(tǒng)安全體系結(jié)構(gòu),結(jié)合安全需求、安全策略和安全措施,并充分利用安全設(shè)備包括防火墻、入侵檢測(cè)、主機(jī)審計(jì)等,其建設(shè)內(nèi)容主要有:
1.物理安全
機(jī)房要求保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故(如電磁污染、電源故障、設(shè)備被盜、被毀等)破壞。
2.網(wǎng)絡(luò)安全
利用現(xiàn)有的防火墻、路由器,實(shí)行訪(fǎng)問(wèn)控制,按用戶(hù)與系統(tǒng)間的訪(fǎng)問(wèn)規(guī)則,決定允許或拒絕用戶(hù)對(duì)受控系統(tǒng)進(jìn)行資源訪(fǎng)問(wèn)。同時(shí)加強(qiáng)端口、拒絕服務(wù)攻擊、網(wǎng)絡(luò)蠕蟲(chóng)等的監(jiān)控,保障系統(tǒng)網(wǎng)絡(luò)運(yùn)行的暢通。
2.1使用防火墻技術(shù)
通過(guò)使用防火墻技術(shù),建立系統(tǒng)的第二道安全屏障。例如,防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的未授權(quán)訪(fǎng)問(wèn),建立系統(tǒng)的對(duì)外安全屏障。最好是采用不同技術(shù)的防火墻,增加黑客擊穿防火墻的難度。
2.2使用入侵監(jiān)測(cè)系統(tǒng)
使用入侵監(jiān)測(cè)系統(tǒng),建立系統(tǒng)的第三道安全屏障,提高系統(tǒng)的安全性能,主要包括:監(jiān)測(cè)分析用戶(hù)和系統(tǒng)的活動(dòng)、核查系統(tǒng)配置和漏洞、評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性、識(shí)別已知的攻擊行為、統(tǒng)計(jì)分析異常行為、操作系統(tǒng)日志管理,并識(shí)別違反安全策略的用戶(hù)活動(dòng)等功能。
3.主機(jī)安全
系統(tǒng)主機(jī)安全從主機(jī)身份鑒別、訪(fǎng)問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范和資源控制等方面考慮。
3.1主機(jī)身份鑒別
對(duì)登錄操作系統(tǒng)的用戶(hù)進(jìn)行身份設(shè)別和鑒別,對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)設(shè)置復(fù)雜的登錄口令,并且定期進(jìn)行更換。同時(shí)對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)用戶(hù)分配不同的用戶(hù)分配不同用戶(hù)名。
3.2訪(fǎng)問(wèn)控制
通過(guò)三層交換機(jī)和防火墻設(shè)置對(duì)系統(tǒng)服務(wù)器的訪(fǎng)問(wèn)控制權(quán)限。對(duì)服務(wù)器實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離,限制默認(rèn)賬號(hào)的訪(fǎng)問(wèn)權(quán)限,重命名系統(tǒng)默認(rèn)賬戶(hù),修改默認(rèn)密碼。
3.3安全審計(jì)
服務(wù)器操作系統(tǒng)本身帶有審計(jì)功能,要求審計(jì)范圍覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶(hù),審計(jì)內(nèi)容包括重要用戶(hù)行為、系統(tǒng)資源異常使用并進(jìn)行記錄。
信息管理系統(tǒng)也應(yīng)考慮安全審計(jì)功能,記錄系統(tǒng)用戶(hù)行為,系統(tǒng)用戶(hù)操作事件日期、時(shí)間、類(lèi)型、操作結(jié)果等。
3.4入侵防范
利用入侵檢測(cè)系統(tǒng)和防火墻相應(yīng)功能,檢測(cè)對(duì)服務(wù)器入侵行為,記錄入侵源IP、攻擊的類(lèi)型、攻擊的目標(biāo)、攻擊時(shí)間,并在發(fā)生嚴(yán)重的入侵事件時(shí)提供報(bào)警。
3.5惡意代碼防范
在服務(wù)器上安裝服務(wù)器端防病毒系統(tǒng),以提供對(duì)病毒的檢測(cè)、清除、免疫和對(duì)抗能力。
3.6資源控制
在核心交換機(jī)與防火墻配置詳細(xì)訪(fǎng)問(wèn)控制策略,限制非法訪(fǎng)問(wèn)。
4.應(yīng)用安全
4.1安全審計(jì)
信息管理系統(tǒng)應(yīng)提供覆蓋到每個(gè)用戶(hù)的安全審計(jì)功能,對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì),審計(jì)記錄內(nèi)容至少包括事件的日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等,保證無(wú)法刪除、修改或覆蓋審計(jì)記錄。
4.2資源控制
信息管理系統(tǒng)應(yīng)限制用戶(hù)對(duì)系統(tǒng)的最大并發(fā)會(huì)話(huà)連接數(shù)、限制單個(gè)賬戶(hù)的多重并發(fā)會(huì)話(huà)、限制某一時(shí)間段內(nèi)可能的并發(fā)會(huì)話(huà)連接數(shù)。
5.數(shù)據(jù)安全
系統(tǒng)數(shù)據(jù)安全要求確保管理數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)等重要信息在傳輸過(guò)程和存儲(chǔ)過(guò)程中的完整性和保密性。對(duì)于數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù),需對(duì)數(shù)據(jù)項(xiàng)進(jìn)行加密,保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程與存儲(chǔ)過(guò)程中完整性不受到破壞。
對(duì)數(shù)據(jù)進(jìn)行定期備份,確保存儲(chǔ)過(guò)程中檢測(cè)到數(shù)據(jù)完整性錯(cuò)誤時(shí),具有數(shù)據(jù)恢復(fù)能力。必須采用至少兩種手段進(jìn)行備份,備份手段以整體安全備份系統(tǒng)為主,配合其他備份手段,如GHOST、TRUE IMAGE或操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)本身的備份服務(wù)等。備份具體要求如下:
5.1各服務(wù)器專(zhuān)職管理員根據(jù)所管服務(wù)器的具體情況與整體安全備份系統(tǒng)專(zhuān)職管理員協(xié)調(diào)制訂好所管服務(wù)器的備份計(jì)劃及備份策略。
5.2整體安全備份系統(tǒng)專(zhuān)職管理人員必須組織各服務(wù)器專(zhuān)職管理員對(duì)各服務(wù)器每個(gè)季度進(jìn)行一次整體災(zāi)備(冷備)。若某臺(tái)服務(wù)器的配置需要發(fā)生較大變更,該服務(wù)器的專(zhuān)職管理員應(yīng)在對(duì)該服務(wù)器實(shí)施變更前和圓滿(mǎn)完成變更后,分別對(duì)該服務(wù)器做一次整體災(zāi)備,必要時(shí)整體安全備份系統(tǒng)專(zhuān)職管理員需對(duì)整體災(zāi)備提供協(xié)助。
5.3數(shù)據(jù)備份主要分為月備份、周備份、日備份及日志(增量)備份。月備份每月對(duì)各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫(kù)做一次全備(熱備)。周備份每周對(duì)各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫(kù)做一次全備(熱備)。日備份每天對(duì)各服務(wù)器的重要目錄及數(shù)據(jù)庫(kù)做一次備份。日志(增量)備份針對(duì)數(shù)據(jù)更新較頻繁的服務(wù)器,每天進(jìn)行多次增量備份。
5.4除日志(增量)備份外,其它各種備份以每一次獨(dú)立執(zhí)行的備份作為一個(gè)獨(dú)立版本。每個(gè)獨(dú)立版本的備份必須存儲(chǔ)在獨(dú)立的備份介質(zhì)上,不能混合存儲(chǔ)在同一套備份介質(zhì)。整體災(zāi)備(冷備)和月備份一般要求保留至少能覆蓋當(dāng)年及上一年全年時(shí)間的所有版本,周備份要求保留至少最近5個(gè)版本,日備份要求保留至少最近4個(gè)版本,日志(增量)備份保留至少自上一次周備份以來(lái)的所有版本。
5.5備份介質(zhì)應(yīng)放在機(jī)房以外安全的地方保管。所有備份介質(zhì)必須有明確、詳盡的標(biāo)簽文字說(shuō)明。
5.6整體安全備份系統(tǒng)專(zhuān)職管理員必須定時(shí)檢查備份作業(yè)的運(yùn)行情況,備份異常情況應(yīng)盡快查明原因,解決問(wèn)題并在值班登記本上詳細(xì)記錄。
四、安全制度建設(shè)
建設(shè)嚴(yán)格、完整的基本管理制度包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理機(jī)制幾個(gè)方面。
安全管理制度:包括安全策略、安全制度、操作規(guī)程等的管理制度;管理制度的制定和;管理制度的評(píng)審和修訂。
安全管理機(jī)構(gòu):包括職能部門(mén)崗位設(shè)置;系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員的人員配備;授權(quán)和審批;管理人員、內(nèi)部機(jī)構(gòu)和職能部門(mén)間的溝通和合作;定期的安全審核和安全檢查。
人員安全管理:包括人員錄用;人員離崗;人員考核;安全意識(shí)教育和培訓(xùn);外部人員訪(fǎng)問(wèn)管理。
系統(tǒng)建設(shè)管理:包括系統(tǒng)定級(jí);安全方案設(shè)計(jì);產(chǎn)品采購(gòu)和使用;自行軟件開(kāi)發(fā);外包軟件開(kāi)發(fā);工程實(shí)施;測(cè)試驗(yàn)收;系統(tǒng)交付;系統(tǒng)備案;等級(jí)測(cè)評(píng);安全服務(wù)商選擇。
系統(tǒng)運(yùn)維管理:包括機(jī)房環(huán)境管理;信息資產(chǎn)管理;介質(zhì)管理;設(shè)備管理;監(jiān)控管理和安全管理中心;網(wǎng)絡(luò)安全管理;系統(tǒng)安全管理;惡意代碼防范管理;密碼管理;變更管理;備份與恢復(fù)管理;安全事件處置;應(yīng)急預(yù)案管理。
五、結(jié)束語(yǔ)
信息化建設(shè)已經(jīng)涉及到國(guó)民經(jīng)濟(jì)和社會(huì)生活的各個(gè)領(lǐng)域,信息管理系統(tǒng)也成為各行各業(yè)信息化建設(shè)發(fā)展中的重要工具。如何保障信息管理系統(tǒng)安全從而保證信息安全是關(guān)系到國(guó)家安全、社會(huì)安全和行業(yè)安全的大問(wèn)題。我們只有在實(shí)現(xiàn)信息安全的條件下,才能有效利用信息管理系統(tǒng)這個(gè)有力的工具提高生產(chǎn)力,推動(dòng)社會(huì)的發(fā)展。本文通過(guò)對(duì)信息系統(tǒng)安全建設(shè)原則、安全建設(shè)內(nèi)容和安全制度建設(shè)三方面較為詳細(xì)的探討,應(yīng)該對(duì)于各企事業(yè)單位信息管理系統(tǒng)的安全建設(shè)有所幫助和借鑒。
參考文獻(xiàn)
[1] 林國(guó)恩,李建彬,信息系統(tǒng)安全,電子工業(yè)出版社,2010-03
[2] Dieter Gollmann, Computer Security 2 edition, Wiley, 2006
[3]《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn),GB/T 22239-2008
[4] 尚邦治等,做好信息安全等級(jí)保護(hù)工作,中國(guó)衛(wèi)生信息管理雜志,2012.5
關(guān)鍵詞:J2EE; 安全模型; JAAS; 設(shè)計(jì)方案
中圖分類(lèi)號(hào):TN713.1 文獻(xiàn)標(biāo)識(shí)碼:B
文章編號(hào):1004-373X(2010)13-0107-03
Research and Design of Security Server Based on J2EE
YIN Feng-she,JIAO Lei
(Sh
nxi Polytechnic Institute, Xianyang 712000, China)
Abstract: The architecture and security demands of an application server based on J2EE are introducd. The security model of J2EE application server is presented. The main parts of the security model is discussed in detail. A design scheme of the scalable J2EE security server based on Java authentication and authorization service (JAAS) is proposed. The major security issues of J2EE application server were solved to meet the security requirements of J2EE.
Keywords: J2EE; security model; JAAS; design plan
J2EE應(yīng)用服務(wù)器安全模型的核心是安全服務(wù),安全服務(wù)為容器和組件提供安全認(rèn)證、授權(quán)和審計(jì)服務(wù),本文討論了安全服務(wù)的架構(gòu),并給出了安全服務(wù)的主要部分:認(rèn)證服務(wù)、授權(quán)服務(wù)、安全會(huì)話(huà)管理器和審計(jì)服務(wù)的設(shè)計(jì)。
1 安全服務(wù)架構(gòu)
安全服務(wù)由以下幾個(gè)主要部件構(gòu)成:認(rèn)證服務(wù)、訪(fǎng)問(wèn)控制服務(wù)、用戶(hù)信息目錄、安全策略庫(kù)、審計(jì)服務(wù)、會(huì)話(huà)管理器、安全服務(wù)管理接口、安全服務(wù)管理控制臺(tái)和安全服務(wù)客戶(hù)。J2EE安全服務(wù)通過(guò)認(rèn)證器、訪(fǎng)問(wèn)控制器和審計(jì)器3個(gè)接口向外界提供安全服務(wù),而安全服務(wù)的安全元信息保存在用戶(hù)信息目錄和安全策略庫(kù)中[1]。
為了讓安全服務(wù)成為一個(gè)通用的客戶(hù)無(wú)關(guān)的服務(wù),安全服務(wù)獨(dú)立于J2EE環(huán)境運(yùn)行,這樣可以為不同類(lèi)型的應(yīng)用服務(wù)器和應(yīng)用程序提供訪(fǎng)問(wèn)控制機(jī)制。
2 認(rèn)證器和用戶(hù)信息目錄
認(rèn)證器[2]的目的是將外界提供認(rèn)證信息的用戶(hù)映射為系統(tǒng)平臺(tái)內(nèi)部的用戶(hù),通過(guò)認(rèn)證信息標(biāo)識(shí)用戶(hù)的身份。為了保證認(rèn)證機(jī)制的可擴(kuò)展性和靈活性,認(rèn)證器在設(shè)計(jì)時(shí)有以下原則:
(1) 認(rèn)證器需要具備對(duì)不同類(lèi)型認(rèn)證機(jī)制的潛在支持,如密碼認(rèn)證、證書(shū)認(rèn)證。
(2) 認(rèn)證器對(duì)同一種認(rèn)證機(jī)制必須能夠支持多種不同類(lèi)型的用戶(hù)信息目錄。
(3) 必須提供對(duì)一個(gè)用戶(hù)多種認(rèn)證方式的支持。
(4) 必須支持現(xiàn)存遺留的用戶(hù)信息目錄和認(rèn)證機(jī)制。
由于JAAS[3]實(shí)現(xiàn)了標(biāo)準(zhǔn)Plugable Authentication Module(PAM)框架的可插撥認(rèn)證機(jī)制,采用JAAS作為認(rèn)證服務(wù)的實(shí)現(xiàn)機(jī)制,將JAAS的不同認(rèn)證域映射為認(rèn)證服務(wù)的不同認(rèn)證機(jī)制,而將JAAS認(rèn)證域中的LoginModule 映射為不同的用戶(hù)信息目錄認(rèn)證支持。
認(rèn)證器對(duì)不同認(rèn)證機(jī)制的支持可以采用對(duì)象模型方式建模[4],對(duì)象模型如圖1所示。
認(rèn)證器Authenticator 的接口定義如下:
public interface Authenticator{public SessionToken authenticate(Principal principal, Credential credential) throws AuthenticationException;}
認(rèn)證器的Authenticate()方法完成用戶(hù)認(rèn)證功能,不同的認(rèn)證機(jī)制傳入不同類(lèi)型的Principal和Credential 值,認(rèn)證器根據(jù)傳入Principal 和Credential 的類(lèi)型,自動(dòng)選擇適合的認(rèn)證方式,映射到JAAS認(rèn)證域,并使用JAAS進(jìn)行認(rèn)證。同時(shí)通過(guò)將LoginModule 的標(biāo)志設(shè)置為sufficient,保證必須至少有一個(gè)用戶(hù)信息目錄認(rèn)證通過(guò)才能通過(guò)系統(tǒng)認(rèn)證。系統(tǒng)應(yīng)該提供一個(gè)基礎(chǔ)的LoginModule 基類(lèi),用于收集所有必須的用戶(hù)信息,從而提供構(gòu)造適合的令牌需要的用戶(hù)信息。
圖1 支持多種認(rèn)證機(jī)制的對(duì)象模型
用戶(hù)信息目錄中的用戶(hù)信息包含用戶(hù)認(rèn)證需要的特定認(rèn)證的信息以及其他的信息,這些信息和一個(gè)特定的系統(tǒng)用戶(hù)關(guān)聯(lián),系統(tǒng)用戶(hù)通過(guò)一個(gè)全局惟一的用戶(hù)標(biāo)識(shí)符ID來(lái)標(biāo)識(shí)。用戶(hù)認(rèn)證完成之后,訪(fǎng)問(wèn)系統(tǒng)的用戶(hù)被映射為系統(tǒng)中惟一標(biāo)識(shí)的用戶(hù),該用戶(hù)標(biāo)識(shí)和用戶(hù)認(rèn)證信息在建立安全會(huì)話(huà)過(guò)程中與安全會(huì)話(huà)建立關(guān)聯(lián)。
3 安全會(huì)話(huà)和安全會(huì)話(huà)管理器
當(dāng)用戶(hù)認(rèn)證之后,用戶(hù)認(rèn)證狀態(tài)的安全持久保持和驗(yàn)證通過(guò)安全會(huì)話(huà)進(jìn)行,認(rèn)證器認(rèn)證用戶(hù)后會(huì)使用會(huì)話(huà)管理器建立一個(gè)安全會(huì)話(huà),將所有用戶(hù)的安全信息和會(huì)話(huà)綁定。會(huì)話(huà)管理器[5]負(fù)責(zé)統(tǒng)一管理所有用戶(hù)認(rèn)證之后的安全會(huì)話(huà),會(huì)話(huà)管理功能可分為兩類(lèi):操作型和管理型。會(huì)話(huà)管理對(duì)象模型如圖2所示。
圖2 安全會(huì)話(huà)管理對(duì)象模型
用戶(hù)認(rèn)證完之后,安全會(huì)話(huà)管理器給用戶(hù)建立一個(gè)安全會(huì)話(huà),安全會(huì)話(huà)通過(guò)返回給用戶(hù)的會(huì)話(huà)令牌標(biāo)識(shí),會(huì)話(huà)令牌包括的信息有:認(rèn)證方式、認(rèn)證方式相關(guān)信息、用戶(hù)標(biāo)識(shí)符、認(rèn)證Principal和Credential 等,安全會(huì)話(huà)上下文由用戶(hù)獲得的安全令牌表示。
在用戶(hù)退出系統(tǒng)時(shí),會(huì)話(huà)管理器撤銷(xiāo)用戶(hù)會(huì)話(huà),并刪除所有用戶(hù)登錄后生成的信息。在用戶(hù)訪(fǎng)問(wèn)控制過(guò)程中,用戶(hù)相關(guān)的安全信息可以通過(guò)用戶(hù)會(huì)話(huà)的會(huì)話(huà)令牌獲得。
4 訪(fǎng)問(wèn)控制器和訪(fǎng)問(wèn)控制策略
訪(fǎng)問(wèn)控制器的目的是提供對(duì)多種不同類(lèi)型資源各種級(jí)別的訪(fǎng)問(wèn)控制,它使用認(rèn)證之后用戶(hù)的標(biāo)識(shí)和安全策略庫(kù)中的安全訪(fǎng)問(wèn)控制策略元信息來(lái)判斷登錄系統(tǒng)的用戶(hù)有無(wú)對(duì)特定資源的特定的訪(fǎng)問(wèn)權(quán)限,它所采用的是聲明式訪(fǎng)問(wèn)控制機(jī)制。
為了提供訪(fǎng)問(wèn)控制服務(wù)的可擴(kuò)展性和靈活性,訪(fǎng)問(wèn)控制器的設(shè)計(jì)必須遵循以下原則[6]:
(1) 能夠擴(kuò)展支持多種不同類(lèi)型的訪(fǎng)問(wèn)控制策略,如基于角色的訪(fǎng)問(wèn)控制、基于規(guī)則的訪(fǎng)問(wèn)控制;
(2) 必須能夠提供對(duì)不同類(lèi)型策略庫(kù)的支持,如基于XML 文件的策略庫(kù)和基于LDAP 的策略庫(kù);
(3) 必須能夠提供對(duì)各種不同類(lèi)型的資源進(jìn)行訪(fǎng)問(wèn)控制,提供對(duì)各種定制權(quán)限和定制資源的管理;
(4) 訪(fǎng)問(wèn)控制機(jī)制必須獨(dú)立于認(rèn)證器所采用的認(rèn)證機(jī)制,即與用戶(hù)的認(rèn)證方式無(wú)關(guān)。
訪(fǎng)問(wèn)控制機(jī)制的核心是訪(fǎng)問(wèn)控制策略,參考文件系統(tǒng)的訪(fǎng)問(wèn)控制策略[7],將資源使用目錄結(jié)構(gòu)按名字空間以層次型結(jié)構(gòu)組織,并對(duì)層次結(jié)構(gòu)中的所有的節(jié)點(diǎn)配置各種類(lèi)型的安全訪(fǎng)問(wèn)控制策略,這樣,安全訪(fǎng)問(wèn)控制策略按照資源的層次組織方式為基礎(chǔ)進(jìn)行組織。可以將資源或者按資源的類(lèi)型,或者按資源所屬的應(yīng)用程序包劃分為多個(gè)名字空間。
資源通過(guò)系統(tǒng)惟一的統(tǒng)一資源標(biāo)識(shí)符URI標(biāo)識(shí),URI的名字組織方式采用資源層次結(jié)構(gòu)中的資源層次名字統(tǒng)一組織,這樣在安全策略庫(kù)中每一個(gè)資源都有特定的標(biāo)識(shí)符來(lái)惟一表示。
與資源相關(guān)的還有權(quán)限問(wèn)題,不同的資源其可訪(fǎng)問(wèn)的權(quán)限是不一致的。對(duì)于Web資源,可訪(fǎng)問(wèn)的權(quán)限限于幾種標(biāo)準(zhǔn)的HTTP方法,但是對(duì)于EJB資源[8],不同的EJB組件可以被外界調(diào)用的方法是不一致的。為了使安全訪(fǎng)問(wèn)控制系統(tǒng)支持不同類(lèi)型的權(quán)限,提供權(quán)限的擴(kuò)充,圖3給出針對(duì)不同類(lèi)型資源的權(quán)限模型。
圖3 權(quán)限的抽象模型
Right 抽象了所有的權(quán)限,各種不同類(lèi)型資源的特定權(quán)限通過(guò)擴(kuò)展Right 插入安全服務(wù)系統(tǒng)中。所有與特定資源類(lèi)型相關(guān)的權(quán)限信息被封裝在特定類(lèi)型的Right 擴(kuò)展類(lèi)中。
訪(fǎng)問(wèn)控制器AccessController 完成對(duì)資源訪(fǎng)問(wèn)的授權(quán)檢查,它通過(guò)使用當(dāng)前的安全會(huì)話(huà)、需要訪(fǎng)問(wèn)的資源對(duì)象和需要的權(quán)限對(duì)訪(fǎng)問(wèn)策略檢查完成。訪(fǎng)問(wèn)控制器的接口定義如下:
public interface AccessController {public void check(SessionToken token,Resource resource,Right right) throws AuthorizationException; }
5 安全審計(jì)
安全審計(jì)[9]的目的是對(duì)用戶(hù)的認(rèn)證過(guò)程、認(rèn)證之后的安全活動(dòng)、對(duì)資源訪(fǎng)問(wèn)控制的安全授權(quán)過(guò)程以及管理員對(duì)安全策略庫(kù)的管理過(guò)程等所有涉及到安全的活動(dòng)進(jìn)行記錄。
安全服務(wù)支持各種類(lèi)型的審計(jì)策略,通過(guò)標(biāo)準(zhǔn)的接口,可以按照訪(fǎng)問(wèn)的用戶(hù)、被訪(fǎng)問(wèn)的資源或者進(jìn)行的操作進(jìn)行審計(jì)的控制,審計(jì)器使用安全服務(wù)上的審計(jì)策略來(lái)控制和實(shí)施審計(jì)過(guò)程。審計(jì)日志記錄了所有的審計(jì)信息,通過(guò)安全管理接口,可以瀏覽系統(tǒng)所有安全相關(guān)的審計(jì)記錄。通過(guò)一個(gè)標(biāo)準(zhǔn)的接口,安全服務(wù)支持各種類(lèi)型的審計(jì)日志實(shí)現(xiàn)。審計(jì)機(jī)制的對(duì)象模型如圖4所示。
圖4 可擴(kuò)展的審計(jì)模型
6 安全管理接口和安全管理控制臺(tái)
安全管理的目的是提供對(duì)認(rèn)證機(jī)制、授權(quán)機(jī)制和審計(jì)機(jī)制的相關(guān)信息進(jìn)行配置和管理。對(duì)認(rèn)證機(jī)制的配置和管理主要涉及JAAS域認(rèn)證映射、用戶(hù)信息目錄配置、用戶(hù)信息管理,其目的是提供針對(duì)不同應(yīng)用需求為用戶(hù)定制認(rèn)證機(jī)制和用戶(hù)信息目錄。
為了提供上面提到的對(duì)認(rèn)證、授權(quán)和審計(jì)機(jī)制的管理目標(biāo),安全服務(wù)管理應(yīng)該能夠提供如下的功能:
(1) 獲得某資源相關(guān)的所有安全訪(fǎng)問(wèn)控制策略;
(2) 添加和刪除安全訪(fǎng)問(wèn)控制策略;
(3) 獲得某資源的所有可能的權(quán)限;
(4) 對(duì)被管理資源添加和刪除權(quán)限;
(5) 添加新的資源類(lèi)型;
(6) 添加、刪除用戶(hù);
(7) 添加、刪除審計(jì)策略。
由于所有的認(rèn)證策略、訪(fǎng)問(wèn)控制策略和審計(jì)策略都存儲(chǔ)在安全策略庫(kù)中,安全管理的過(guò)程實(shí)際上就是對(duì)安全策略庫(kù)的管理。安全管理接口通過(guò)安全策略庫(kù)接口對(duì)各種遵循標(biāo)準(zhǔn)接口的安全策略庫(kù)進(jìn)行統(tǒng)一管理。安全管理對(duì)象模型[10]如圖5所示。
圖5 安全管理對(duì)象模型
PolicyManager包裝了所有的安全管理相關(guān)的操作,通過(guò)PolicyManager接口可以對(duì)策略庫(kù)進(jìn)行操作完成上面提到的功能。
把對(duì)安全策略庫(kù)及其他安全信息的管理功能包裝成一個(gè)API接口,其優(yōu)點(diǎn)是可以對(duì)這些API的訪(fǎng)問(wèn)設(shè)置安全策略,如授權(quán)策略、審計(jì)策略。這樣系統(tǒng)的安全控制機(jī)制就可以控制和跟蹤管理員對(duì)系統(tǒng)的安全管理過(guò)程。
7 結(jié) 語(yǔ)
安全訪(fǎng)問(wèn)控制是中間層應(yīng)用服務(wù)器提供給運(yùn)行時(shí)組件的重要功能,這里提出的J2EE應(yīng)用服務(wù)器安全機(jī)制的架構(gòu)解決了J2EE應(yīng)用服務(wù)器的主要安全問(wèn)題,滿(mǎn)足了J2EE的安全需求。同時(shí),該安全架構(gòu)從設(shè)計(jì)上具有可移植、通用性、可擴(kuò)展性和靈活性。
參考文獻(xiàn)
[1]Taligent Inc.. Building object-oriented frameworks[ M] . [ S.l.] : Taligent Inc., 2005.
[2]PERRONE Paul J.J2EE構(gòu)建企業(yè)系統(tǒng)專(zhuān)家級(jí)解決方案[ M] .張志偉,譚郁松,張明杰,譯.北京:清華大學(xué)出版社,2001.
[3]LI Gong.Java 2平臺(tái)安全技術(shù)――結(jié)構(gòu)、API設(shè)計(jì)和實(shí)現(xiàn)[ M] .王韻凱,石磊,譯.北京:機(jī)械工業(yè)出版社,2000.
[4]Jamie Jaworski.Java安全手冊(cè)[ M] .邱仲潘,譯.北京:電子工業(yè)出版社,2007.
[5]LAI Charlie, LI Gong, KOVED Larry, et al. User authentication and authorization in the Java(TM) platform[ C] //CSAC. Processings of the 15th Annual Computer Security Applications Conference. AZ: CSAC, 2008: 51-59.
[6]WOLFGANG Pree. Design patterns for object-oriented software development[ M] . [ S.l.] : Addison-Wesley Publishing, 2008.
[7]VOGEL Andreas. Enterprise application for the net with EJB, CORBA and XML[ M] . [ S.l.] : Inprise Corporation,2005.
[8]Tanenbaum A S.分布式操作系統(tǒng)[ M] .陸麗娜,伍衛(wèi)國(guó),劉隆國(guó),等譯.北京:電子工業(yè)出版社,1999.
電子政務(wù)系統(tǒng)的應(yīng)用軟件一般規(guī)模比較大,軟件在應(yīng)用過(guò)程中面向的用戶(hù)較多,系統(tǒng)結(jié)構(gòu)和業(yè)務(wù)流程相對(duì)復(fù)雜,以Web應(yīng)用為主要實(shí)現(xiàn)方式。因而,系統(tǒng)安全常見(jiàn)的風(fēng)險(xiǎn)主要有Web應(yīng)用的SQL注入漏洞、表單繞過(guò)漏洞、上傳繞過(guò)漏洞、權(quán)限繞過(guò)漏洞、數(shù)據(jù)庫(kù)下載漏洞等。同時(shí)也常常存在應(yīng)用系統(tǒng)管理員賬戶(hù)空口令或弱口令、未設(shè)置應(yīng)用賬戶(hù)口令復(fù)雜度限制、無(wú)應(yīng)用系統(tǒng)登錄和操作日志等風(fēng)險(xiǎn)。在軟件應(yīng)用安全層面,安全方面的保證沒(méi)有統(tǒng)一的方法和手段。在保證整個(gè)系統(tǒng)安全運(yùn)行過(guò)程中針對(duì)信息安全的部分,如對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)安全,訪(fǎng)問(wèn)控制,加密與鑒別等應(yīng)用層面的安全防護(hù),主要從客戶(hù)端避免和減少人為非法利用應(yīng)用程序,從應(yīng)用軟件設(shè)計(jì)、實(shí)現(xiàn)到使用維護(hù),以及應(yīng)用軟件對(duì)系統(tǒng)資源、信息的訪(fǎng)問(wèn)等方面保證安全。
二、軟件應(yīng)用安全要求與技術(shù)防護(hù)
2.1身份鑒別與訪(fǎng)問(wèn)控制
用戶(hù)身份認(rèn)證是保護(hù)信息系統(tǒng)安全的一道重要防線(xiàn),認(rèn)證的失敗可能導(dǎo)致整個(gè)系統(tǒng)安全防護(hù)的失敗。電子政務(wù)系統(tǒng)的用戶(hù)對(duì)系統(tǒng)資源訪(fǎng)問(wèn)之前,應(yīng)通過(guò)口令、標(biāo)記等方式完成身份認(rèn)證,阻止非法用戶(hù)訪(fǎng)問(wèn)系統(tǒng)資源。從技術(shù)防護(hù)的角度來(lái)說(shuō),軟件應(yīng)保障對(duì)所有合法用戶(hù)建立賬號(hào),并在每次用戶(hù)登錄系統(tǒng)時(shí)進(jìn)行鑒別。軟件應(yīng)用管理員應(yīng)設(shè)置一系列口令控制規(guī)則,如口令長(zhǎng)度、口令多次失敗后的賬戶(hù)鎖定,強(qiáng)制口令更新等,以確保口令安全。軟件應(yīng)用中對(duì)用戶(hù)登錄全過(guò)程應(yīng)具有顯示、記錄及安全警示功能。用戶(hù)正常登錄后,為防止長(zhǎng)時(shí)間登錄而被冒用等情況,系統(tǒng)應(yīng)有自動(dòng)退出等登錄失效處理功能。此外,應(yīng)用系統(tǒng)需要及時(shí)清除存儲(chǔ)空間中關(guān)于用戶(hù)身份的鑒別信息,如客戶(hù)端的cookie等。系統(tǒng)軟件應(yīng)用中的文件、數(shù)據(jù)庫(kù)等客體資源不是所有用戶(hù)都允許訪(fǎng)問(wèn)的,訪(fǎng)問(wèn)時(shí)應(yīng)符合系統(tǒng)的安全策略。系統(tǒng)中許多應(yīng)用軟件在設(shè)計(jì)和使用過(guò)程中經(jīng)常會(huì)有權(quán)限控制不精確,功能劃分過(guò)于籠統(tǒng)等現(xiàn)象,影響了系統(tǒng)的安全使用。目前,從應(yīng)用軟件的研發(fā)和技術(shù)實(shí)現(xiàn)來(lái)看,授權(quán)訪(fǎng)問(wèn)控制機(jī)制多采用數(shù)據(jù)庫(kù)用戶(hù)和應(yīng)用客戶(hù)端用戶(hù)分離的方式,訪(fǎng)問(wèn)控制的粒度達(dá)到主體為用戶(hù)級(jí),客體為文件、數(shù)據(jù)庫(kù)表級(jí)。在分配用戶(hù)權(quán)限時(shí),用戶(hù)所具有的權(quán)限應(yīng)該與其需使用的功能相匹配,不分配大于其使用功能的權(quán)限,即分配所謂“最小授權(quán)”原則。對(duì)于系統(tǒng)的一些特殊用戶(hù)或角色(如管理和審計(jì))如分配的權(quán)限過(guò)大,則系統(tǒng)安全風(fēng)險(xiǎn)將過(guò)于集中,因此,應(yīng)將特別權(quán)限分配給不同的用戶(hù),并在他們之間形成相互制約的關(guān)系。
2.2通信安全
電子政務(wù)系統(tǒng)應(yīng)用軟件的設(shè)計(jì)、研發(fā)以及應(yīng)用過(guò)程中,需要重點(diǎn)關(guān)注通信安全,特別是對(duì)通信完整性的保護(hù)。除應(yīng)用加密通信外,通信雙方還應(yīng)根據(jù)約定的方法判斷對(duì)方信息的有效性。在信息通信過(guò)程中,為使通信雙方之間能正確地傳輸信息,需要建立一整套關(guān)于信息傳輸順序、信息格式和信息內(nèi)容等的約定,因?yàn)閮H僅使用網(wǎng)絡(luò)通信協(xié)議仍然無(wú)法對(duì)應(yīng)用層面的通信完整性提供安全保障,還需在軟件層面設(shè)計(jì)并實(shí)現(xiàn)可自定義的供雙方互為驗(yàn)證的工作機(jī)制。而且,為防止合法通信的抵賴(lài),系統(tǒng)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)或數(shù)據(jù)接收證據(jù)的功能。為保障信息系統(tǒng)通信的保密性,應(yīng)用軟件需具備在通信雙方建立連接之前,首先利用密碼技術(shù)進(jìn)行會(huì)話(huà)初始化驗(yàn)證,以確保通信雙方的合法性的能力。其次,在通信過(guò)程中,能保證選用符合國(guó)家有關(guān)部門(mén)要求的密碼算法對(duì)整個(gè)報(bào)文或會(huì)話(huà)過(guò)程進(jìn)行加密。通信雙方約定加密算法,對(duì)信息進(jìn)行編碼和解碼。此外,應(yīng)用軟件中需設(shè)置通話(huà)超時(shí)和自動(dòng)退出機(jī)制,即當(dāng)通信雙方中有一方在一段時(shí)間內(nèi)未做任何響應(yīng),這表明可能存在通信異常情況,另一方能夠自動(dòng)結(jié)束會(huì)話(huà),以免造成信息在通信過(guò)程中的泄露。
2.3安全審計(jì)
安全審計(jì)通過(guò)采集各種類(lèi)型的日志數(shù)據(jù),提供對(duì)日志的統(tǒng)一管理和查詢(xún),使用特定規(guī)則,對(duì)系統(tǒng)軟件應(yīng)用狀態(tài)實(shí)時(shí)監(jiān)視,生成安全分析報(bào)告。安全審計(jì)的應(yīng)用,能夠規(guī)范系統(tǒng)用戶(hù)的軟件應(yīng)用行為,起到預(yù)防、追蹤和震懾作用。安全審計(jì)應(yīng)用要覆蓋所有用戶(hù),記錄應(yīng)用系統(tǒng)重要的安全相關(guān)事件,包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等。記錄包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功,及其他與審計(jì)相關(guān)的信息,并有能力依據(jù)安全策略及時(shí)報(bào)警和中斷危險(xiǎn)操作。此外,審計(jì)記錄應(yīng)受到妥善保護(hù),避免受到未預(yù)期的刪除、修改或覆蓋等操作,可追溯到的記錄應(yīng)不少于一年。在日常審計(jì)的基礎(chǔ)上,應(yīng)通過(guò)分析審計(jì)記錄,及時(shí)發(fā)現(xiàn)并封堵系統(tǒng)漏洞,提升系統(tǒng)安全強(qiáng)度,定位網(wǎng)絡(luò)安全隱患的來(lái)源,舉證系統(tǒng)使用過(guò)程中違法犯罪的法律、刑事責(zé)任。電子政務(wù)系統(tǒng)軟件應(yīng)用安全審計(jì)可結(jié)合網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、應(yīng)用和運(yùn)維日志審計(jì)進(jìn)行,幾乎全部需要定制開(kāi)發(fā)。
2.4系統(tǒng)資源控制
電子政務(wù)系統(tǒng)的資源使用主要體現(xiàn)在CPU、內(nèi)存、帶寬等資源的使用上,在這個(gè)過(guò)程中,除了系統(tǒng)軟件以外,應(yīng)用軟件也需要建立一組能夠體現(xiàn)資源使用狀況的指標(biāo),來(lái)判斷系統(tǒng)資源是否能滿(mǎn)足軟件應(yīng)用的正常運(yùn)行要求,當(dāng)系統(tǒng)資源相關(guān)性能降低到預(yù)先規(guī)定的最小值時(shí),應(yīng)能及時(shí)報(bào)警。并對(duì)資源使用的異常情況進(jìn)行檢測(cè),及時(shí)發(fā)現(xiàn)資源使用中的安全隱患。系統(tǒng)資源應(yīng)保證優(yōu)先提供給重要、緊急的軟件應(yīng)用。因此,在資源控制的安全策略上應(yīng)設(shè)定優(yōu)先級(jí),并根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源,從而確保對(duì)關(guān)鍵軟件應(yīng)用的支持。技術(shù)實(shí)現(xiàn)上設(shè)計(jì)用戶(hù)登錄系統(tǒng)時(shí),軟件為其分配與其權(quán)限相對(duì)應(yīng)的連接資源和系統(tǒng)服務(wù),為防止系統(tǒng)資源的重復(fù)分配,應(yīng)禁止同一用戶(hù)賬號(hào)在同一時(shí)間內(nèi)并發(fā)登錄,并且,在用戶(hù)登錄后防止長(zhǎng)時(shí)間非正常占用系統(tǒng)資源,而降低系統(tǒng)的性能或造成安全隱患,通常設(shè)計(jì)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定和鑒別失敗鎖定,并規(guī)定解鎖或終止方式。同樣,系統(tǒng)對(duì)發(fā)起業(yè)務(wù)的會(huì)話(huà)分配所用到的資源,也采用根據(jù)安全屬性(用戶(hù)身份、訪(fǎng)問(wèn)地址、時(shí)間范圍等)允許或拒絕用戶(hù)建立會(huì)話(huà)連接,對(duì)一個(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話(huà)連接數(shù)和單個(gè)用戶(hù)的多重并發(fā)會(huì)話(huà)數(shù)量進(jìn)行限制。在系統(tǒng)整體資源的使用上,對(duì)最大并發(fā)會(huì)話(huà)連接數(shù)進(jìn)行限制。此外,對(duì)電子政務(wù)系統(tǒng)被刪除的文件等的剩余信息,特別是涉及國(guó)家秘密、敏感信息的內(nèi)容,一定要重點(diǎn)關(guān)注并加強(qiáng)安全保護(hù)。可采用下列技術(shù)實(shí)現(xiàn)保護(hù):(1)采用先進(jìn)的磁盤(pán)讀寫(xiě)技術(shù)對(duì)磁盤(pán)的物理扇區(qū)進(jìn)行多次反復(fù)的寫(xiě)操作,直到擦寫(xiě)過(guò)后的磁盤(pán)扇區(qū)內(nèi)數(shù)據(jù)無(wú)法恢復(fù);(2)根據(jù)不同的分區(qū)格式進(jìn)行采用不同的數(shù)據(jù)銷(xiāo)毀處理算法,對(duì)文件在磁盤(pán)上所有存放位置進(jìn)行逐個(gè)清除,確保文件不會(huì)在磁盤(pán)上留下任何痕跡;(3)進(jìn)行目錄、剩余磁盤(pán)空間或整個(gè)磁盤(pán)的數(shù)據(jù)銷(xiāo)毀,銷(xiāo)毀后的目錄、剩余磁盤(pán)空間或者整個(gè)磁盤(pán)不存在任何數(shù)據(jù),無(wú)法通過(guò)軟件技術(shù)手段恢復(fù)。
2.5軟件代碼安全
在電子政務(wù)系統(tǒng)應(yīng)用軟件開(kāi)發(fā)之前,要制定應(yīng)用程序代碼編寫(xiě)安全規(guī)范,要求開(kāi)發(fā)人員遵從規(guī)范編寫(xiě)代碼。應(yīng)用程序代碼自身存在的漏洞被利用后可能會(huì)危害系統(tǒng)安全。因此,應(yīng)對(duì)應(yīng)用軟件代碼進(jìn)行安全脆弱性分析,以幫助其不斷改進(jìn)完善,從而有效降低軟件應(yīng)用的安全風(fēng)險(xiǎn)。研發(fā)工作結(jié)束后,應(yīng)及時(shí)對(duì)程序代碼的規(guī)范性進(jìn)行審查,以查找其設(shè)計(jì)缺陷及錯(cuò)誤信息。代碼審查一般根據(jù)需要列出所需資料清單,由應(yīng)用軟件使用方收集并提供相應(yīng)的材料。代碼測(cè)試人員與開(kāi)發(fā)人員書(shū)面確認(rèn)測(cè)試內(nèi)容和過(guò)程,配置運(yùn)行環(huán)境,對(duì)代碼進(jìn)行預(yù)編譯操作,確認(rèn)可執(zhí)行使用。然后使用特定的測(cè)試工具進(jìn)行代碼的安全測(cè)試操作,對(duì)測(cè)試結(jié)果進(jìn)行分析。對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行風(fēng)險(xiǎn)分析和估算,制作軟件缺陷、問(wèn)題簡(jiǎn)表,撰寫(xiě)測(cè)試報(bào)告并交付開(kāi)發(fā)方修改,并對(duì)已經(jīng)整改的部分進(jìn)行復(fù)測(cè)。值得注意的是,那些已經(jīng)通過(guò)安全測(cè)試的代碼,還需要運(yùn)行在通過(guò)安全測(cè)試的支撐平臺(tái)、編譯環(huán)境中才能實(shí)現(xiàn)真正的安全運(yùn)行。
2.6軟件容錯(cuò)
電子政務(wù)系統(tǒng)中應(yīng)用軟件的高可用性是保障系統(tǒng)安全、平穩(wěn)運(yùn)行的基礎(chǔ)。軟件容錯(cuò)的原理是通過(guò)提供足夠的冗余信息和算法程序,使系統(tǒng)在實(shí)際運(yùn)行時(shí)能夠及時(shí)發(fā)現(xiàn)錯(cuò)誤,并能采取補(bǔ)救措施。對(duì)系統(tǒng)軟件應(yīng)用安全來(lái)說(shuō),應(yīng)充分考慮到軟件自身出現(xiàn)異常的可能性。軟件在應(yīng)用過(guò)程中,除設(shè)計(jì)對(duì)軟件運(yùn)行狀態(tài)的監(jiān)測(cè)外,當(dāng)故障發(fā)生時(shí)能實(shí)時(shí)檢測(cè)到故障狀態(tài)并報(bào)警,防止軟件異常的進(jìn)一步蔓延,應(yīng)具有自動(dòng)保護(hù)能力,即當(dāng)故障發(fā)生時(shí)能夠自動(dòng)保存當(dāng)前所有狀態(tài)。此外,操作人員對(duì)應(yīng)用軟件的操作可能會(huì)出現(xiàn)失誤。因此,系統(tǒng)應(yīng)對(duì)輸入的數(shù)據(jù)、指令進(jìn)行有效性檢查,判斷其是否合法、越權(quán),并能及時(shí)進(jìn)行糾正。關(guān)鍵功能應(yīng)支持按照操作順序進(jìn)行功能性撤銷(xiāo),以避免因誤操作而導(dǎo)致的嚴(yán)重后果。
三、結(jié)語(yǔ)