前言:中文期刊网精心挑选了安全审计的类型范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
安全审计的类型范文1
① 等价有偿确实是民法通则所规定的民事活动的原则之一, 但不能因此将该原则理解为一切民事活动的必要准则。道理很简单, 民法通则所调整的社会关系并非都是商品交换关系(比如民法通则所调整的人身关系和身分关系在本质上不是商品关系)。即使民法通则所调整的商品关系也未必一定必须是实行等价有偿原则的关系( 比如基于自愿的赠与关系和无息借贷关系, 基于公法干预的那部分非完全收费的医疗服务关系)。
② 更为重要的是, 就损害赔偿关系的法律调整而言, 等价有偿原则并不意味着损害赔偿关系的调整应当以该项损害赔偿关系的前提关系是否体现了等价有偿为原则, 换言之, 并不意味着赔偿额占实际损失额的比例应当与受害人在该项损害赔偿关系的前提关系中所支付的代价占其所获得的利益的比例相一致, 而是意味着应当赔偿的数额与实际损失的金额相符即实际赔偿。正是在这个意义上, 笔者认为, 民法通则关于侵权赔偿责任的规定所体现的实际赔偿原则, 是民法通则总则所确立的等价有偿原则在侵权责任关系中适用的结果, 是等价有偿原则的具体体现。就民法调整的医患关系而言, 等价有偿原则对医疗服务关系(即医疗事故赔偿关系的前提关系)的作用在一定范围内或一定程度上受到了体现公共福利政策的公法的制约, 因而医疗服务关系在一定范围内或一定程度上可能并非完全贯彻等价有偿原则,但是,我们不能以医疗服务关系(尽管是一定范围内的)的不完全等价有偿性为由,否定实际赔偿原则在医疗事故赔偿关系中的适用。
③ 从比较法的角度看, 现代民法发展的重要趋势之一是其权利救济机能的扩张(往往是通过民事特别法或判例的形式),它不仅作用于传统的私法关系领域(商品经济关系,私人之间的关系),而且作用于带有一定公法性质的社会关系领域( 公共福利的提供和利用关系, 国家与私人之间的行政管理关系)。其重要的背景之一是人权保障范围的扩大。资本主义国家的现代民法是如此, 社会主义市场经济国家的民法更应当如此。在损害赔偿问题上,不论侵权发生在什么领域, 都应当贯彻反映等价有偿要求的实际赔偿原则(至于是否有必要在特定侵权领域设立惩罚性赔偿制度的问题另当别论)。
(5) 在支持限制医疗事故赔偿、反对适用民法通则的议论中,有种似乎与上述可能存在的对等价有偿原则的误解有关联的意见认为,在医疗事故赔偿问题上,应当贯彻权利与义务相一致的原则。也就是说, 医疗事故被害人所享有的获得赔偿的权利应当与其承担的付款义务相一致, 付款义务的大小决定了受偿权的大小; 医疗机构承担的赔偿义务应当与其收取医疗费的权利相一致, 收费权利的大小决定了赔偿义务的大小。否则, 就是违反了权利义务相一致的法律原则。依笔者之见, 这种看法也是似是而非的。
① 且不论权利与义务相一致这种表述本身是否妥当, 这种见解不是把权利义务相一致理解为权利和义务的统一性( 通常大概有几种的含义, 比如,人们在享有和行使其法律上的权利的同时,应当履行其承担的法律上的义务;不能只享有法律上的权利,不承担法律上的义务,反之亦然;在特定的法律关系中,一方当事人享有的权利就是另一方当事人所承担的义务,反之亦然 ),而是理解为人在法律上的权利和义务的对等性, 即任何人享受的法律上的权利必须和他所承担的法律上的义务相对等。这种理解显然是不恰当的。如果规定人的权利或义务的法都是以这种见解为依据的,那么其中许多的法一定是非常不合理的法。至少在大多数场合, 这种见解不符合我国现行法的实际。
② 即使在医患关系这一特定的法领域, 这种见解也存在明显的不当之处。因为按照这种见解的逻辑, 就应当彻底取消我国公共医疗服务行业所存在的非常有限的福利性或公益性, 应当彻底实行有病无钱莫进来的医疗服务政策。
③ 如果这一见解在医疗事故赔偿关系的法领域真的可以被认为是妥当的话, 那么, 如前所述,合理的赔偿标准就应当是医疗费自付率和损害赔偿率成正比,或者是福利程度与损害赔偿程度成反比。这么说来, 权利义务一致论绝非是支持适用条例赔偿规定的论据, 恰恰相反,它实际上是反对适用条例的论据。
3. 医疗机构的承受能力或偿付能力有限这一事实判断本身就是不恰当的。即使能够成立,也不应当以此为由限制医疗侵权被害人就其所受损害获得全部赔偿的权利。
(1) 医疗机构的承受能力有限这种一般性的一刀切式的事实认定,本身就是不恰当的。因为它根本不能反映现实情况的多样性:各个医疗机构的偿付能力因各自的实力和案件的具体情况而异。同一医疗机构,对于不同数额的赔偿,其偿付能力可能不同;不同的医疗机构,对于同等数额的赔偿,其各自的偿付能力也可能不同。说得再通俗一点, 对于一家实力雄厚的大医院而言,即使是一件高达百万元的赔偿,也许算不了什么; 而对于穷乡僻壤的一间连工资也发不出的合作医疗站而言,即使是一件不足千元的赔偿,也许足以使它关门倒闭。
(2) 即使医疗机构的承受能力有限这一判断在现实中的特定的某个案件中也许能够成立,但由于这一判断的对象只不过是个别事实,该事实不具有一般性或典型性或唯一性,因此该事实与所谓的医疗福利性一样,不具有立法事实的性格。所以, 该事实不应当被条例起草者在设计医疗事故赔偿的范围和标准时作为立法事实加以考虑。如果条例起草者希望医疗事故处理机关在具体确定赔偿数额时考虑医疗机构的偿付能力的话, 那么就应当在条例第49条第1款中就此事实因素作出规定。只有这样,条例的限制性赔偿标准在具体适用中才可能减少或回避因立法上的一刀切而可能引起的明显的不公正。
(3) 即使医疗机构的偿付能力有限这一事实具有相当的普遍性,并且相当多数的医疗机构在偿付能力上的差异和相当多数的医疗事故引起的损害在量上的差异小到如此的程度,以致于条例起草者在设计统一适用的赔偿标准时,可以省去这些差异而把该事实作为立法事实加以一刀切式的考虑, 在立法政策上, 这种考虑也是极不妥当的。
① 医疗事故的被害人应当按照什么标准获得赔偿的问题,换言之,发生医疗事故的医疗机构应当按照什么标准对被害人进行赔偿的问题, 是医疗事故赔偿案件的当事人在法律上有何权利义务的问题。条例起草者在解决医疗事故当事人在损害赔偿方面的权利义务这一问题时,当然要对各种各样的损害作出政策上的评价, 确定什么样的损害应当赔偿, 什么样的损害不应当赔偿, 并在此基础上规定应当赔偿的范围和确定应当赔偿的数额计算标准, 即确定统一的赔偿请求权和赔偿义务的内容。这里的关键问题在于,在确定赔偿范围和赔偿标准,即确定求偿权和赔偿义务的内容的时候,到底应当考虑什么,不应当考虑什么,到底应当以什么为基准对某项损失是否应当作为赔偿项目,对某一程度以上的损失是否应当赔偿进行评价。依笔者之见,医疗机构的偿付能力不应当被作为评价标准或考虑因素之一。条例起草者原本应当区分应当赔偿多少和有能力赔偿多少这两个问题,不应当用赔偿义务人的偿付能力这一因素来限制被害人的赔偿请求权的范围和数额。 条例起草者的错误在于,她把应当性与可能性混为一谈,用可能性否定或限制应当性。按照条例起草者的逻辑, 我国民法通则所体现的实际赔偿原则是完全错误的,因为它根本没有考虑到侵害人的偿付能力;产品责任法、消费者权益保护法等涉及赔偿问题的民事特别法也都是错误的,因为它们也都没有考虑赔偿义务人的偿付能力;国家赔偿法则更是错误的,因为她没有考虑到国家这一公共利益的法律上的代表者的偿付能力(更严重的错误也许在于,国赔法要国家从国库中拿钱即拿属于全体人民的财产来赔偿受害的私人);至于破产法则是错过了头的,因为它甚至让资不抵债的企业关门倒闭,让工人们失业。
② 笔者不知道条例第1条所规定的“保护医疗机构的合法权益”这一立法宗旨与条例限制赔偿的规定有无关系,也不知道条例起草者在设计赔偿制度时是否意识到这一立法宗旨。不过人们从答记者问的有关论述中也许可以发现,答记者问似乎把二者联系在一起,似乎把条例限制赔偿的规定理解为保护医疗机构的合法权益.也就是说,大概在答记者问看来,较之其他侵权领域的赔偿义务人,在同等情况下医疗事故机构应当少赔, 少赔是医疗机构的合法权益; 条例之所以要赋予医疗机构这样的权益, 理由之一是医疗机构的偿付能力有限。如果笔者的这些推测属实, 如果条例起草者也是如此认为的话, 那么,不仅条例限制赔偿的规定, 而且条例所规定的“维护医疗机构的合法权益”的立法宗旨,作为立法政策都是非常不妥当的。因为这一立法宗旨的意图之一是要赋予医疗机构这一特定群体少赔的特权.从而明显地违反了平等原则.
(4) 卫生部之所以把医疗机构的偿付能力(有限)作为限制赔偿的理由之一, 当然不是仅仅为了维护医疗机构的利益。卫生部汇报表明, 她显然是想通过维护医疗机构的利益来维护广大患者的就医利益。大概在卫生部看来(支持限制赔偿政策的许多议论也一样), 如果不限制赔偿而实行实际赔偿原则, 那么医疗机构就可能会因赔偿负担过重发生运营上的困难甚至倒闭, 原本能够向广大患者提供的医疗服务就会受到严重影响。不仅如此, 医疗机构也可能将其因支付赔偿金而受到的经济损失, 通过某种方式转嫁到广大患者的头上, 加重广大患者的就医负担。
不过在笔者看来, 尽管这种顾虑本身也许有一定道理, 但采用限制赔偿的方式来回避实际赔偿所可能引起的负面后果实际上大概是行不通的。理由如下。① 限制赔偿并不是不要赔偿, 现行条例所规定的赔偿范围和标准对于许多势单力薄的医疗机构而言, 仍然是难以对应的。一旦发生损害额较高的医疗事故, 这些医疗机构就完全可能面临资不抵债的危机, 更不用说继续为广大患者继续提供原有质量的医疗服务。② 医疗事故机构大概也不会因为少赔几个钱就放弃转嫁损失的念头(如果它想转嫁的话)。所以, 现行条例的限制赔偿政策并不能回避在实际赔偿的场合所可能引起的影响广大患者就医利益的后果。按照医疗机构偿付能力有限论的逻辑, 要避免赔偿对医疗机构运营能力和对广大患者利益的负面影响, 彻底的办法是完全免除医疗机构的赔偿责任。
4. 经济发展水平(不高)这一因素也不能成为条例限制赔偿的正当理由
说我国经济发展水平不高或者说我国仍处于社会主义初级阶段,国家还不富裕, 人民生活水平在总体上还比较低, 也许谁也不会有异议。但是如果以此为由, 否定实际赔偿原则对医疗事故赔偿的适用, 说条例限制赔偿是合理的,人们也许就难以理解了。
所谓“经济发展水平(不高) ”这一判断,当然是就我国与发达国家的比较而言的。它不是关于我国国内某一地区的经济状况的判断,并不涉及国内不同地区的经济发展水平的状况。那么, 我国不同地区的经济发展水平和居民生活水平是怎样的呢? 是基本上均衡的呢? 还是存在巨大差别的呢? 毫无疑问,至少就相当一部分地区而言, 答案应当是后者。
答记者问和卫生部汇报之所以强调我国经济发展水平不高,其目的显然是想让患者们明白以下的道理。我国的经济水平还远远没有达到如此高的程度,就像发达国家那样,老百姓一般能够付得起相当高额的医疗费,其生命健康利益或生存利益具有相当高的可期待价值,其生存费用也达到了相当高的水准; 医疗机构能够赚取高额的医疗收入因而实力雄厚,在发生医疗事故的情况下有能力承担高额的赔偿费; 医疗事故的被害者可以像发达国家的医疗事故被害者那样,有可能或有“资格”获得相当高额的赔偿金。既然如此, 在我国经济水平还不高的现在和未来相当长的时期内,在医疗事故赔偿问题上,就不得不对患者群体的对医疗事故赔偿的不切实际的过大期待加以合理的限制。
关于经济发展水平和赔偿标准或人的生命健康利益在经济上的价值之间应当具有什么样的关系的问题,本文姑且不加以讨论。笔者在此只针对上述以经济发展水平为理由的赔偿限制论谈点意见。只要人们承认,在我国相当范围的不同地区,经济发展的水平存在着巨大差异。在已经相当富裕的沿海大城市和仍然极度贫穷的部分农村,不仅两地居民的生活水平(挣钱能力、生活费用、包括享受医疗服务在内的消费能力或负担能力等)、可期待平均寿命和生命健康利益的经济价值(观)存在着相当程度的差异, 而且两地医疗机构的经济实力也大都存在着相当程度的差距,就可以作出如下的论断。答记者问或条例起草者所主张的我国经济发展水平(不高)这一事实,对于证明条例限制赔偿政策的合理性而言,是不合格的,没有关联性的。因为这一事实认定仅仅是关于整个国家经济状况的判断,而条例的限制赔偿规定所适用的对象是发生在经济发展水平可能存在巨大差异的国内不同地区的医疗事故赔偿案件。基于国际比较的我国经济发展水平不高这一事实认定,显然不能用来作为解决我国这样一个不同地区经济发展水平悬殊、老百姓贫富差距巨大的国家的医疗事故赔偿标准问题的依据。
5. 四项事实根据与条例关于限制赔偿规定的实际关系有关限制性规定存在的主要问题[59]
议论至此,有必要概观一下上述四项事实根据与条例关于赔偿的规定(第50条)的实际关系并对有关限制性规定作一简短的评论。在此先确认一点,四项事实根据中的“医疗行为的高风险性”似乎与条例关于赔偿的规定没有什么明显的关系。
(1) 条例关于赔偿项目的规定。
如前所述,条例未将患者本人因医疗事故致残丧失劳动能力而导致的收入损失和死亡而导致的收入损失作为赔偿项目(即残疾赔偿金和死亡赔偿金)加以列举。由于条例关于赔偿项目的列举是完全列举,所以条例未列举这两个项目意味着条例否定二者是应当赔偿的损失。
依笔者之见, 四项事实根据中的“医疗行业的福利性”和“医疗机构的偿付能力”这两条大概成了否定该项损失赔偿的事实根据。
将这两项重要损失排除在赔偿范围之外,从我国民事赔偿法的现状来看,可谓条例对赔偿范围所作的重大限制。如前所述,民法通则第119条虽未列举这两项损失,但由于该条的列举是不完全列举,所以在特定案件的审理中如果确认其存在,法院就可以通过对民法通则第119条的解释将该其纳入应当赔偿的范围之内(当然,在最高法院人身损害赔偿解释于2004年5月1日起实施后,法院可以直接适用该解释中关于这两项损害赔偿的规定)。值得注意的是,在卫生部考虑修改办法之前,承认这两项赔偿的外国的和台湾的医疗侵权赔偿制度的有关情况已为我国法学界所熟知,我国的国家赔偿法也已明确作出了相关的规定。因此,卫生部当然应当知道这些情况。据此笔者推测,卫生部在修改办法起草条例时不是疏忽而是特意将二者排除在赔偿范围之外(遗憾的是,卫生部汇报中没有提及这个重要问题,答记者问对此也没有直接发表任何意见)。
条例排除对这两项损失的赔偿是完全说不通的。条例既然将非残疾患者的误工损失纳入赔偿范围,就应当将残疾患者因丧失劳动能力而导致的收入损失纳入赔偿范围,更应当将死亡患者丧失的收入利益纳入赔偿范围。承认前者而否定后二者是根本不尽情理的。
(2) 条例关于赔偿标准的规定。
① 关于误工费赔偿数额的限制(患者有固定收入的,对收入高于医疗事故发生地上一年度职工年平均工资3倍以上的,按照3倍计算)、残疾生活补助费的支付标准(按照医疗事故发生地居民平均生活费计算,自残疾之月起最长赔偿30年)、被扶养人生活费的支付标准(按照其户籍所在地或者居住地居民最低生活保障标准计算)和精神损害抚慰金数额的限制(按照医疗事故发生地居民年平均生活费计算,造成患者死亡的,赔偿年限最长不超过6年;造成患者残疾的,赔偿年限最长不超过3年)的规定,大概也与“医疗的福利性”和“医疗机构的偿付能力”这两条考虑有关,也可能与“我国经济发展水平(不高) ”这一考虑有关。另外,关于陪护费、丧葬费、住宿费、交通费等项费用的人数限制大概也是如此。“按照医疗事故发生地……计算”之类的规定, 显然是考虑了不同地区经济发展水平不同这一因素,与四项事实根据似乎都没有关系。
② 条例关于赔偿标准的规定明显违反了实际赔偿原则。其中关于误工费数额的限制,根本否定了误工损失通常因案而异因人而异,因而不同的案件不同的被害人,误工损失大小不一,可能存在巨大的差异这一事实。既然是要解决损失的赔偿问题,那么误工损失的赔偿问题就只能由裁判机关根据损失的具体情况作出判断,预先在立法上作出一刀切式的规定是完全不合理的,更不用说是低标准的限制。条例关于赔偿标准的规定的基本特征是平均主义加低标准主义。人们难以感受到这里体现了充分救济的民事赔偿法的精神。关于精神损害抚慰金数额的限制性规定,笔者在此只想提一个问题,那就是卫生部在起草该规定时到底有没有认真考虑过医疗侵权致人伤残尤其是致人死亡所可能引起的精神损害的严重性。笔者从自己所了解的有关情况(包括笔者的医疗侵权案件)中深切感到,这种精神损害有时是非常深重的(尤其是在如下场合: 患者或患者的亲属满怀着期待和信赖将自己或自己最亲爱的人的健康或生命的命运托付给了医院和医务人员,不是由于病入膏肓不可挽救,不是由于医务人员单纯技术上的差错,而是由于医务人员对患者诊疗的明显的严重失职,甚至是放任不管见死不救,导致原本完全能够救治的疾病未能得到救治, 原本不应当发生的严重残疾发生了,原本可能得到或应当得到挽救的生命丧失了)。条例所规定的如此低标准的抚慰金难道能够抚慰那些受到巨大精神痛苦的被害人或其亲属吗?
(3)如前所述,答记者问认为,条例是不可能违反民法通则的基本精神的;卫生部汇报表示,条例根据民法通则的基本原则建立医疗事故赔偿制度,笔者的疑问是,在答记者问和卫生部汇报看来,民法通则的有关基本精神或基本原则到底是什么呢?条例对赔偿所作的种种限制难道真的可以说是符合民法通则的基本精神或基本原则的吗?
6. 为了我国医疗事业的发展,在制定法上与其限制医疗事故赔偿,还不如让医疗事故的受害者同其他侵权的被害者一样有权按照实际赔偿原则获得完全的赔偿。实际赔偿制度的适用对我国医疗事业的发展所可能带来的负面影响,不应当通过限制赔偿,而应当通过其他的政策手段或制度来减轻或回避。
(1) 如前所述, 限制赔偿不是条例的目的, 而是实现条例的宗旨即保障和促进医疗事业的发展和医学科学的进步的手段。对于这一宗旨本身, 即使是要求损害赔偿的医疗事故的被害者大概也不会不赞成。问题不在于目的而在于手段. 我们应当关心这样的问题: 为了实现这一目的, 从比较政策论的观点看, 限制赔偿这一现行条例采用的手段相对于其他手段是否具有优越性,是否比较值得(即具有较好的效果成本比); 是否存在其他较为优越的手段可以用来取代限制赔偿。以下是笔者的基本看法。
① 首先必须承认, 医疗事故赔偿与医疗事业的发展可能存在两种不同意义上的关系。其一是医疗机构的财务状况因医疗事故赔偿金的支付而恶化,医疗机构的服务能力因此而下降。如果这种情况严重到一定的程度,医疗事业的发展和医疗技术的进步会受到不利的影响。其二是医疗机构的服务和管理质量,医务人员的职业责任感和诊疗水平因医疗事故赔偿而得到提高,医疗事业的发展因此而得到促进。在考察医疗事故赔偿与医疗事业的发展的关系时,不应当像答记者问和条例起草者那样,只见前者,无视后者。
② 减轻或回避医疗事故赔偿对医疗事业可能产生的不利影响的手段或方法可能有若干种,其中包括最近在我国医疗赔偿议论中成为热门话题的医疗责任保险制度(主张限制赔偿的答记者问也非常关注这一制度)。因此, 限制赔偿只不过是手段之一, 并非唯一的手段。既然存在若干种选择方案, 政策制定者就应当利用效用成本分析, 对各种手段作出适当的评价, 选择效用较大成本较小的手段或手段的组合。
③ 比较而言, 限制赔偿是得不偿失的, 效用成本比是较差的(相对于医疗责任保险)。第一,在效用方面, 限制赔偿的效用在某种意义上是比较差的。限制赔偿的特点是医疗机构对超出限定范围和标准的损失不予赔偿,对未超出限定范围和限定标准的损失仍应赔偿。所以,限定赔偿制度只能限制医疗事故赔偿对医疗事业可能发生的不利影响。与此不同,医疗责任保险的特点是保险范围内的损失由保险机构承担赔偿,医疗机构只有在损失超出保险范围和标准的情况下,就超出部分承担赔偿责任。所以, 在发生医疗事故的情况下, 只要损失未超出保险范围,医疗机构就无须赔偿,医疗事业因此就不会受到因赔偿而带来的不利影响。当然,事情总是存在两个方面。由于限制赔偿仍属事后责任制,只要不发生医疗事故,医疗机构就不存在花钱赔偿的问题。医疗责任保险则属于事先花钱(支付保险费)回避或减少赔偿风险的制度,保险金的支付与是否真的发生医疗事故无关。支付保险金必然加重医疗机构的负担,从这个意义上讲,医疗责任保险也可能会给医疗事业带来不利影响,尤其是在保险费负担过重的情况下(这个问题在美国似乎比较严重)。不过笔者还是认为,至少在我国的现阶段,谈论医疗责任保险制度的负面作用的问题没有什么实际意义。因为我国最近才兴起的医疗责任保险, 至少在保险费率上还是相当低的(当然, 笔者不排除在对医疗事故赔偿实行实际赔偿原则的情况下,保险费率有可能上涨)[60]。第二,在成本方面, 限制赔偿的成本显然是比较高的。其中最大的成本在于,它是以限制患者获得完全赔偿的权利为代价的。随着个人化的人权观念在我国社会的逐步确立,这个代价的性质就会变得更加严重。与此不同,医疗责任保险却在客观上有助于患者获得应当获得的赔偿,有助于对患者权利的充分救济(在未加入责任保险的医疗机构发生了损害额高于其偿付能力的医疗事故的情况下,患者获得赔偿的权利将得不到完全的实现)。
(2) 这里有两个值得注意的情况。① 卫生部汇报表明, 卫生部在选择限制赔偿政策时, 与其在起草办法时[61]不同,没有将我国尚未健全医疗责任保险制度这一情况作为理由。据此笔者推测, 也许在卫生部看来, 即使我国建立了比较健全的医疗责任保险制度, 医疗机构大都加入了医疗责任保险, 只要我国的医疗事业仍然具有公共福利性的事业, 我国的经济水平还不够高, 医疗机构的偿付能力仍然有限, 就仍然应当坚持实施限制赔偿这一特殊政策。② 答记者问虽然特别强调建立医疗责任保险制度对于解决医患之间在赔偿问题上的矛盾,对于兼顾患者的权益和医疗事业的发展所具有的重要意义, 但并未主张以医疗责任保险制度来取代现行的限制赔偿制度。
在笔者看来, 卫生部汇报之所以会无视医疗责任保险制度所具有的双重功能―既有助于患者权益的切实保障,又有助于减轻医疗事故赔偿对医疗机构的自身利益和服务能力的影响, 没有注意到这一制度所具有的替代(尽管未必是完全替代)限制赔偿制度的重要价值; 答记者问之所以会在论述医疗责任保险制度的意义时也没有提到该制度所具有这种替代性, 这不仅与二者所强调的限制赔偿政策的事实根据论有关, 而且可能与公共利益高于个人利益、为了公共利益可以并且应当牺牲个人利益的传统观念的影响有关。 (三) 对其他相关问题的评论
1. 关于对漫天要价和天价判决的忧虑
无论是答记者问还是卫生部汇报, 对医疗事故被害人追求金钱赔偿的欲望, 似乎都很忧虑。她们似乎担心, 如果不事先明确对医疗事故赔偿的范围和标准作出明确的限制并明确排除民法通则的适用, 患者在医疗事故案件中就会设法尽量利用实际赔偿原则漫天要价,在最高法院采用并用原则的办法时代曾经出现过的所谓天价判决就会重现。面对这种忧虑, 笔者的疑问是, 在卫生部和最高法院看来, 我国医疗事故赔偿的水准, 我国患者的生命健康利益的实际价值, 到底是合情合理的, 还是低得不尽情理的? 所谓的漫天要价和天价判决, 难道真的已经到了离谱的地步, 并有四处蔓延之势, 以至于有必要在立法上对医疗事故赔偿的范围和标准作出现行条例这样的限制, 有必要在案件审理上排除民法通则的适用 ?
2. 关于国穷则人命贱的逻辑
关于我国老百姓的生命健康利益的损害赔偿问题, 长期以来, 有一种相当流行的观点, 那就是国穷则人命贱。在这种观点看来, 中国既然是个人口众多的穷国, 既然与那些人口不多的富国存在着如此明显的天壤之别, 那么, 对中国的老百姓而言, 他们可期待的生命健康利益的价值就应当远远低于富国老百姓所能期待的价值。如果有人不顾“贫穷”这个国情, 想要提高自己个人的生命健康价值, 那就是想入非非的漫天要价, 就是无理要求, 或者就是想借医疗事故来敲竹杠发横财。在笔者看来, 国穷则人命贱的逻辑尽管在某种意义上也许是无可奈何的命中注定, 但对于我国赔偿政策的制定和我国老百姓的生命健康利益的法律保障而言却是非常有害的。作为赔偿政策的制定机关和适用机关, 应当警惕和肃清这种观点的影响, 应当从人权保障的观点出发, 反省现行的赔偿政策和裁判方针所存在的问题, 探讨新的比较好的解决赔偿问题的方策。
3. 关于羊毛出在羊身上的比喻
在支持条例的限制赔偿规定的议论中, 有个听起来似乎非常通俗易懂实际上却令人难以理解的说明, 即“羊毛出在羊身上”。其意思是说, 医疗事故赔偿实际上是羊毛出在羊身上, 最终还是要分摊到所有患者身上,而不是由国家出资赔偿。因此,在审判实践中应适用条例所规定的较低赔偿标准,是可以理解的[62]。笔者的疑问是, ① 按照羊毛论的逻辑, 既然医疗侵权赔偿的最终拔毛者不是医疗机构而是广大患者, 那么, 医疗侵权赔偿制度在事实上岂不成了制裁广大患者的制度, 成了对医疗事故机构没有任何实质性的民事制裁意义的制度? 如果事实确实如此, 那么取消而不是限制医疗侵权赔偿不是更具有合理性吗? 我们有什么理由要让广大无辜的患者去当医疗事故机构的替罪羊, 为了某个特定受害者的损失而拔毛呢? 诸如消费者权益保护法和产品责任法那样的加重型或严格型的民事责任法, 由于会导致广大消费者被拔去更多的毛, 岂不都成了更不尽情理的法律? ② 羊毛论到底有多少事实根据呢? 它能够确切反映医疗损害赔偿金负担的实际状况吗? 它将医疗事故被害患者与广大患者的利益关系视为对立的关系, 这在事实上难道能够说得通吗? 羊毛论应当成为医疗事故赔偿政策的制定依据和医疗案件审理的法律适用选择的依据吗? ③ 医疗事故的被害患者会被羊毛论说服吗? 她们难道会为了其他患者的就医利益而作出自我牺牲, 心甘情愿地接受较低的赔偿标准吗? 广大患者会为了自己的就医利益而支持羊毛论吗? 她们难道会因此而放弃自己在遭遇医疗事故时请求完全赔偿的权利吗? 即便是医疗机构和医务人员, 她们会赞同羊毛论吗? 她们难道不怕一旦承认了羊毛论, 就等于承认了自己千方百计向广大患者转嫁赔偿负担, 因此必将招来社会舆论的强烈谴责吗?
4. 关于分配的公正论
答记者问所强调的双赢论也好, 卫生部汇报所主张的兼顾论也好, 都表明以公正公平为医疗事故赔偿政策的价值取向, 反对不顾其他有关方面的利益, 只考虑对被害人的权利救济。在支持赔偿限制政策的一些文章中有一种观点叫做“分配的公正”。在这种观点看来,医疗侵权损害赔偿实质上是将医疗资源这一具有公共性的社会财富(由国家、社会和医疗机构所投入或创造的,为不特定多数患者所共享的财富)的一部分分配给医疗侵权的特定被害人个人。医疗侵权损害赔偿的范围和标准实质上就是在被害人个人和广大患者之间分配医疗资源这一社会财富的标准。赔偿范围越宽,赔偿标准越高,意味着流入被害人个人的口袋里的医疗资源就越多,为广大患者所共享的医疗资源就越少。如果将民法通则所体现的实际赔偿原则适用于医疗事故的赔偿,那么就可能会导致医疗资源在被害个人和广大患者之间的不公正的分配。条例限制赔偿就是从分配的公正这一观点出发调整医疗资源在被害个人和广大患者之间的分配关系,使其比较公正。
笔者承认, 医疗损害赔偿制度的设计,如同其他任何涉及到(无论是直接和还是间接的)社会性财富的分配问题的法制度的设计一样,应当考虑分配的公正。但是, 公正是一个相对性的观念, 利害关系的各方可能各有自己的公正观,并且可能互相对立,既定的对利害关系各方都是公正的客观标准并不存在。有利害关系的任何一方(包括代表国家投资利益的官方)都不应当把自己认为的公正说成是利害关系各方共有的公正。依笔者之见, 分配是否公正的问题, 与其说是实体问题还不如说是程序问题。法定的分配标准是否具有公正性, 只能以其是否是通过具有相当代表性的、公开并且民主的协商、交涉、表决的方式作出的为判断标准。
安全审计的类型范文2
关键词:网络;安全;管理;协议;审计
中图分类号:TP183文献标识码:A文章编号:1009-3044(2009)36-10443-02
Network Security Management
YANG Wei-zhong
(Shanxi Prouincial Expressway Construction Group CO, Xi'an 710054, China)
Abstract: the basic aim of network security management is to ensure availability of network and system, it involves many factors, such as personnel, hardware, software, data and documentation, laws and regulations, etc. But here we have to consider from the global network security management, but only from the point of technology introduced two kinds of typical network security management protocol. Network management, network management system for the agreement provides methods and network components. They support such as configuration management and audit and management function, the event log for diagnosis of network problems and provides tools.
Key words: network; security; management; protocol; audit
1 安全审计追踪对确保任何网络安全都起了重要的作用
它可以用来检测一个安全策略的正确性,确认与安全策略的一致性,帮助分析攻击,并且收集用于攻击者的证据。安全审计追踪记录了任何可疑的事件(可以产生一个安全警报),也可以记录许多日常事件,如建立和终止连接、使用安全机制和访问敏感资源。同类或不同类的系统都可以检测到被审计的事件,并由系统中的安全审计追踪日志来维护。安全审计追踪功能为将事件信息传递给维护日志并创建和恢复日志实体的系统提供了必要的支持。
在这里讲述的主要标准是安全审计追踪功能(1SO/IEC 10164-8)。因为管理一个安全审计追踪日志的机制基本上与网络管理中的管理任何其他类型的事件日志一样。该标准依赖于以下两个标准――事件报告管理功能(1SO/IEC 10164-5)和日志控制功能(1SO/IEC 10164―6)。
通知一个安全审计追踪的事件的过程类似于产生一个安全警报报告的过程。它包括一些受管对象对一个M-EVENT-REPORT的调用。一个安全审计追踪日志可以记录事件类型参数指示的几乎任何管理通知,包括ISO/IECl0164―7中定义的安全警报报告通知。
安全审计追踪功能标准另外定义了两个特殊的通知,分别与服务报告和使用报告对应。服务报告表明了与一些服务的提供、拒绝或恢复有关的事件。使用报告用于有安全意义的日志统计信息。传递的参数和这些事件类型基本上与安全警报报告中使用的一样,其中包括任何M-EVENT-REPORT通用的参数和任何管理警报通用的参数。服务报告事件类型中定义了一个额外的参数,称为服务报告原因,用于表明报告的原因。这个参数是一个ASN.1对象标识符,也就是说任何人可以定义并注册其值。该标准还定义了一些通用的值:服务请求、拒绝服务、来自服务的回答、服务失败、服务恢复和其他原因。
审计追踪过程的控制和从安全审计追踪中检索实体都独立于上面的通知过程。它们利用了定义在其他标准中的通用过程。事件报告管理功能(1SO/IECl0164―5)为两个系统之间的联系建立了一个长期的事件报告。日志控制功能(1SO/IECl0164―6)支持用于安全审计追踪和其他目的的日志的创建和删除以及这些日志记录的检索。
2 管理资源的访问控制
网络管理有它自己的访问控制要求,有必要控制谁能调用管理功能,谁能创建、删除、修改、或读取管理信息。这样的访问控制在任何使用网络管理协议的网络中都是至关重要的,因为对网络管理资源的破坏也就等于破坏了整个网络。
ISO/IECl0164―9标准中讲述了这种类型的访问控制(访问控制中命名了对象和属性)。该标准给出了一个访问控制模型,以及支持系统之间传递访问控制信息所需要的信息对象定义,并使用了访问控制框架标准(1SO/IEC 10181―3)中的术语和概念模型。包括各种访问控制策略以及各种访问控制机制(如访问控制列表、能力、安全标识和基于内容的控制)。
访问控制决策应用于管理操作的调用例如M-GET或M=SET。包括的体系结构的部件。发起者是管理系统(或系统中的管理员),目标是受管系统的信息资源。一个目标可以是受管对象、受管对象的属性、受管对象的属性值或受管对象的行为。因此,可能为管理员提供了一个非常精确的控制级,在这个控制级上管理员可以为某一目的访问某一管理信息。
基于访问控制规则来决定是允许还是拒绝访问请求。访问规则本身可以表示成管理信息条目并且使用CMIP协议来管理(例如,读或写)。
访问控制规则的三种不同类型是有区别的。一个安全区域权威机构根据特定的发起者或发起者类(例如,区域中可辨认的特定角色)用全局规则来保护区域中的所有对象。条目规则是用于特殊目标的特殊规则。当没有合适的全局或条目规则使用时,可使用缺省规则来做访问决策。
当有许多规则用于一个特定的访问请求时,这些规则的优先级如下:
① 拒绝访问的全局规则;
② 拒绝访问的条目规则;
③ 允许访问的全局规则;
④ 允许访问的条目规则;
⑤ 缺省规则。
一个访问控制规则能够基于安全策略所要求的任何决策过程。一个规则的说明书中包含了许多要素,如:
① 访问的许可:指明是与拒绝服务有关还是与允许访问有关的规则;
② 发起者列表:可应用的发起者列表,以访问控制列表、能力、或安全标签形式表示;
③ 目标列表(只用于条目规则):可用的目标(例如,受管对象,属性和属性值)和作用在这些目标上的操作的列表;
④ 时间表:指明这些规则使用的时间点(如只能在规定的上班时间,或从星期一到星期五);
⑤ 状态条件:指明使用规则的受管对象的属性的状态(例如,在系统处于诊断状态时才可用);
⑥ 认证内容:当要认证发起者时,指明需要认证的等级。
访问控制决策过程如下:首先,需要验证伴随访问请求出现的任何访问控制信息。需要标识发起者和目标使用的任何访问规则的身份,并根据他们的全局/条目/缺省的意义进行归组。然后根据优先级的限制来使用这些规则。
使用规则的方法取决于所使用的特定的访问控制机制。在访问控制列表机制中,将发起者的标识符与使用的访问控制列表进行比较。在能力机制中,将发起者提供的能力与规则中陈述的能力进行比较。在基于标识的机制中,将与发起者相关的标识与规则所识别的标识集进行比较。还需使用基于内容的检测,如时间表、状态条件或认证级别。作出访问决策后,就有其他一系列的行为发生。决策使用的信息需要暂时保存起来用于以后为相同的发起者作决策(这样的信息被称为保留的访问控制决策信息或保留的ADI)。与目标有关的访问控制信息需要修改,例如如果管理操作导致受管对象的建立或删除。由于依赖于安全策略,因此也有必要生成一个安全警报和安全审计追踪通知。
如果访问被拒绝,则有各式各样的方式来应答发起者。安全策略规定了下列类型的应答:指示出拒绝访问的错误、没有响应、错误的响应(例如,发起者看起来已经允许访问)或中断相关的应用。
为支持上面的过程,需要远程管理(例如,创建、更新)来存储用于决策访问控制的信息。为此,标准提供了几个受管对象类和属性类型定义,用于表示访问控制规则和支持信息结构。这些定义能够使用ISO/IEC l0164―1中定义的过程来远程控制访问控制信息。
参考文献:
[1] 李晋平.局域网络络组建和安全治理的实用技术[J].电脑开发与应用,2002,15(10):33-35.
安全审计的类型范文3
关键词:Oracle;数据库;安全策略;安全审计
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)21-5057-02
当前,随着国内信息化的大力发展,政府和企业的网站建设进展迅速,网站建设趋向大型化、综合化,网站建设中对数据库的要求与日俱增。Oracle数据库由于其出色的行业特性,成为网站建设中数据库的首先。出于安全性的考虑,Oracle数据库提供了较为广泛的安全特性,但其自身机制仍无法保证信息的安全,出于对传统静态防护不足的认识,以安全审计为代表的动态防护成为保障数据库安全的有效途径。
1 Oracle网站数据库系统简介
Oracle数据库是由全球最大的数据库厂商美国甲骨文公司(即Oracle)设计研发的一组软件系统产品,其核心是分布式数据库,基础是高级结构化查询语言(SQL)。自Oracle问世以来,市场占有率逐步攀升,据相关统计,全世界有90%以上的上市公司、65%的“全球100强”公司都运用Oracle数据库进行电子商务,绝大部分大型网站运行的都是Oracle数据库。Oracle之所以取得这样的成就,与他的以下特点密不可分:
1)Oracle数据库是一个通用系统,它的数据管理功能是非常完整的。
2)Oracle数据库是一个关系数据库,具有关系完备的特点。
3)Oracle数据库是一种分布式数据库,可实现分布式处理的功能。
4)适用于各种硬件平台,如PC机、大型机和服务器等。
5)适用于各种操作系统,如UNIX、Linux、Windows、Windows NT、VAX/VMS,和VM/CMS等。
6)能够处理多媒体信息,如图片、音频和视频等。
7)提供了广泛的安全特性。Oracle数据库设有多个安全层,访问控制、数据完整性验证、授权机制、视图机制、审计机制及加密机制。
2 Oracle在网站数据库应用中的安全威胁
目前,许多政府部门、企事业单位、银行、证券交易中心等都使用Oracle数据库作为其网站的信息载体,网站中最具价值的部分均集成在数据库里,其安全性就显得尤为重要。如前所述,Oracle数据库本身为保证信息安全,已提供了若干安全防护技术,但任何防护都不是绝对万无一失。数据库厂商在加强产品安全性的同时,计算机犯罪分子及相关组织的攻击手段也日益多样化,Oracle数据库同样会受到各种威胁和攻击,主要有对Oracle数据库信息进行窃取、破坏和篡改、病毒入侵、黑客攻击等等。
2.1 通过SQL语句注入进行攻击
通过SQL语句注入进行攻击是目前黑客的常用攻击手段。Oracle数据库大多采用B/S模式进行开发,基于这种模式进行编程的程序员数量众多,而各个程序员经验、水平上的差异较大,有许多程序员在编程时,没有对输入的数据进行合法性判断,给数据库应用埋下了安全隐患。非法用户通过提交查询代码,依据程序的返回值,就能够非法得到数据,这就是SQL注入。比如在某个网站中,要求用户输入用户名和密码,然后方能登陆,假定该网站有一个用户kitty,其密码是hk0936,有一黑客不知道其密码,却想通过其身份进行登陆,在通常情形下,用户在用户名框里输入kitty,密码框里输入密码hk0936,输入正确则登陆进入,否则无法登陆。如果程序员的查询语句是:
Sql="select*from client where clientname='"&name. values&"'and password= ' "&pass. values&"' "
那么在Oracle数据库系统中执行的程序语句如下:
select* from client where clientname ='kitty' and password=' hk0936'
如果黑客在密码框中输入的不是hk0936, 而是hk0936' "&"' or 0=0,这时在Oracle数据库数据库系统中执行的语句就成为了select* from client where clientname ='kitty' and password=' hk0936' or 0=0,这时,由于0=0一直为真,就会造成where条件为真,黑客成功以kitty为用户名登陆系统。
2.2 默认密码
Oracle数据库自带如scott, ys等初始用户和对应的默认密码。假如网站的管理员缺乏经验,未修改初始密码,黑客就会与普通用户一样,顺利登陆网站数据库。
2.3 暴力破解法
暴力破解法也是黑客破解密码的主要方法之一,对Oracle来讲,是通过非法进程,尝试全部字母、数字的组合来破解密码。由于当前密码已经较为复杂,这种破解方法通常需要很长时间,但黑客往往配备专业的密码字典,并借助计算机程序辅助推算,提高匹配性。这种攻击主要通过密码输入次数受限的方法来防护,另外要提醒用户定时更新密码。
2.4 文件系统的非法访问
对Oracle文件系统的非法访问是一个非常难以解决的问题。在Oracle网站系统中,除Oracle用户外,其他的特权用户也有权限访问数据库中的文件,这就可能造成恶意访问;此外,如果把一台服务器中的文件复制到另一台服务器中,则复制过去的文件也可以由Oracle进行访问,因此,一旦出现存储介质失窃,文件被非法复制等情况,就会造成安全隐患。
3 Oracle网站数据库的安全策略――基于安全审计
在该文上一节指出,在网站中,数据库本身的安全机制及静态的安全防护措施并不能保证系统的绝对安全,仍有被黑客突破的可能。为解决该问题,首先,需要知道Oracle数据库是如何受到攻击的;第二,要弄明白Oracle数据库存在哪些漏洞;第三,在Oracle数据库系统被攻击时需马上警觉;第四,要把黑客的攻击证据留下。安全审计的概念正是基于上述目的而提出,网站数据库的安全审计,简单的说是对网站数据库中与信息安全有关系的事件进行综合处理的系统。
3.1 Oracle数据库的安全审计机制
事实上,安全审计已经成为数据库的安全标准核心,Oracle数据库作为当前市场占有率极高的网络数据库,也有自己的安全审计机制,且功能较为强大,它可以审计Oracle数据库里的全部操作,能够将所形成的审计记录写到操作系统或者SYS. AUD$表。Oracle自身提供的审计记录里包含以下内容:操作、进行操作的用户、时间、类型。对于操作的类型,Oracle审计机制主要针对以下3种,即:登陆企业、操作行为和对象访问。
登陆企图:如前所述,网络黑客经常会采用暴力破解密码的方法,不断尝试其猜测的密码是否正确,试图登陆进系统,这时,Oracle的审计机制能够把这种登陆企图全都记录下来,包括成功的和不成功的。
对象审计:Oracle数据库的审计机制能够对影响对象(如表、链接、同义词、回退段、索引)的所有操作均进行审计。
操作行为:Oracle数据库的审计机制即可以对系统级的操作行为审计,也能对具体的数据操作行为审计。
3.2 Oracle数据库安全审计的优化实现
从应用的角度考虑,一个全面实用的数据库审计应至少具有下列功能:收集、过滤、日志的维护、查询、行为分析以及控制。但是,Oracle数据库自身的审计机制倾向于记录大量的操作,自己并不分析这些操作,而是交给数据库管理员进行人工分析,由于数据量大,人工分析极可能造成漏报、误报等情况,而且往往分析不全面,浪费掉许多记录。因此,需要对Oracle数据库审计进行优化实现。
基于上述功能的实现及对Oracle审计机制的补充,图1给出了一种实用的数据库审计系统框图,该Oracle数据库审计系统包括了5个模块,即登陆模块、审计策略模块、预处理模块、分析模块和异常检测模块。
该Oracle数据库审计系统的具体实现是首先通过对审计的数据进行预处理,然后采用数据挖掘优化算法分析上述处理过的审计数据,继而提取出合法用户的正常操作行为特征,生成正常行为规则库,最后,通过审计系统的异常检测,对数据库操作进行实时监测和动态分析。其实现的流程图如图2所示。
4 结论
该文提出的基于安全审计的Oracle网站数据库的安全策略,一方面实现了对Oracle网站数据库的动态安全策略,克服了静态防护的不足;另一方面,加入了对审计记录的实时分析,弥补了Oracle自身审计机制的不足。具有良好的实用性,且便于动态升级更新。
参考文献:
[1] 赵大力,靳其兵,赵梅.Oracle数据库优化解决方案[J].计算机应用,2005(3).
[2] 庞洋.基于数据挖掘的园区网综合安全审计系统研究与设计[D].郑州:中国人民信息工程大学,2005.
[3] 刘海峰,卿斯汉,刘文清.安全操作系统审计的设计与实现[J].计算机研究与发展,2001,38(10).
安全审计的类型范文4
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
安全审计的类型范文5
1利用网络及安全管理的漏洞窥探用户口令或电子帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。
2利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。
3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。
计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。
一、网络安全审计及基本要素
安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的问题。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。
二、网络安全审计的程序
安全审计程序是安全监督活动的具体规程,它规定安全审计工作的具体内容、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。
安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。
1了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?
2了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。
3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。
安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计分析器。
安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。
三、网络安全审计的主要测试
测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
下面是对网络环境会计信息系统的主要测试。
1数据通讯的控制测试
数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文
件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的内容。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。
2硬件系统的控制测试
硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
3软件系统的控制测试
软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。
4数据资源的控制测试
数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。
5系统安全产品的测试
随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。
四、应该建立内部安全审计制度
安全审计的类型范文6
作为我国电子政务重要基础设施的电子政务外网,为了实现服务各级党政部门,满足各级政务部门社会管理、公共服务等方面需要的重要功能,要求具有互联网出口,并且与互联网逻辑隔离。因此,电子政务外网面临来自互联网和内部网用户两大急需解决的安全难题。
二、设计思路
本方案按照《国家电子政务外网安全保障体系总体规划建议》进行设计,规划范围以市级电子政务外网为主,以市级电子政务外网运维中心为重点,覆盖市委、市政府、市人大、市政协和多个委办局单位以及市属各个县区,根据国家电子政务外网安全保障体系的规划,市级电子政务外网安全体系包括如下三个方面的内容:
(一)安全管理体系。主要包括:按照国家安全保障体系建设标准,建设市级安全管理中心(SOC);以《国家电子政务外网安全标准指南》为标准贯彻执行国家已有安全法规标准,同时制订符合本市电子政务外网自身特点和要求的有关规定和技术规范。
(二)网络安全基础防护体系。主要包括:网络防护与隔离系统、入侵防御系统、接入认证系统、业务隔离和加密传输系统、防病毒、漏洞扫描系统等。
(三)网络信任体系。主要包括:PKI/CA系统、权限管理系统和认证授权审计系统。
三、方案设计
(一)安全管理中心。市级安全管理中心是市级电子政务外网安全的规划、实施、协调和管理机构,上联省级电子政务外网安全管理中心,把各类安全事件以标准格式上报到省中心,同时对县区管理中心下发安全策略,并接收县区的日志、事件。县级安全管理中心在市中心的授权下,具有一定的管理权限,并对县级安全策略及日志、事件进行采集和上报。市级安全管理中心也是市级网络安全设施的管理维护机构,为使安全设施能够最大限度地发挥其安全保障功能,需要建立一个良好的安全综合管理平台,以实现业务流程分析,并对业务系统在安全监控、安全审计、健康性评估等方面的运行进行有效的管控,从全局角度进行安全策略的管理,对各类安全事件作出实时的监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告、健康性报告和风险分析报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除各类安全隐患。
(二)基础防护平台建设。基础防护平台主要是以确定的安全防护模型框架为依据,结合政府业务的实际安全需求,在原有互联网安全设施基础上进行安全基础防护体系的新建或扩充、延伸与扩展。包括边界隔离与控制、身份鉴别、认证与授权、入侵检测与防御、安全审计与记录、流量监测与清洗、数据加密传输、病毒监测与防护、安全扫描与评估、安全策略集中管理、安全监控管理和安全审计管理等基础安全防护措施。最终达到提升系统的整体抗攻击能力,确保电子政务外网能够更好地支撑各类政务应用系统的运转。
(三)边界隔离与控制。防火墙是实现网络边界隔离的首选设备,防火墙是运行于软件和硬件上的,安装在特定网络边界的,实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为破坏内部网络。它可以让用户在一个安全屏障后接入互联网,还可以把单位的公共网络服务器和企业内部网络隔开,同时也可以通过防火墙将网络中的服务器与网络逻辑分离,进行重点防护。部署防火墙能够保护一个网络不受来自另外网络的攻击。
(四)入侵检测与防御。在整体的网络安全中,依靠安全策略的指导,对信息系统防护有积极的意义。但是,无论网络防护得多么牢固,依旧不能说“网络是安全的”。因为随着技术的发展,任何防护措施都不能保证网络不出现新的安全事件,不被手段高超的人员成功入侵。在攻击与防御的较量中,实时监测处在一个核心的地位。
(五)安全审计与记录。安全审计系统记录了网络使用者的全部上网行为,是支撑网络安全事件调查的基础,是审计信息的重要来源,在电子政务外网的建设中,应当尽量延伸安全审计系统部署的范围,并采用多种的安全审计系统类型(如网络审计、主机审计、数据库审计等)扩展安全审计的层面。
(六)流量检测与清洗。流量检测与清洗服务是针对网络传输信息流类型、大小以及诸如DOS/DDOS等安全攻击行为的监控、告警和防护的一种网络安全服务。该服务对进出内部网络的业务数据流量进行实时监控,及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下,清洗掉异常流量。有效满足各业务系统运作连续性的要求。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。
(七)统一病毒防护平台。根据电子政务外网省、市、县三级分布的特点,可采用多级、多种的方式进行病毒防护系统的综合部署,包括在网络边界安装硬件防病毒网关、针对特定应用布署网络防病毒系统、针对多数工作终端布署单机版病毒查杀软件等方式。
(八)终端管理。利用桌面终端管理系统,对于终端电脑从以下四方面进行进行标准化管理:
1.网络准入。通过网络边界部署的防火墙设备、网络交换机设备与终端管理服务器配合,实现终端用户的802.1x准入认证,使得所有终端用户接入电子政务外网网络必须提出申请,并对接入机器做防病毒等安全审核,在安装了准入客户端软件(Agent)并分配了用户名/密码后,才能合法接入网络并使用信息资源,开展业务工作,实现了对终端用户的有效管理。
2.网络切换。通过实现终端用户访问互联网和电子政务外网两网切换使用功能,实现对两网资源使用的严格管理,避免安全隐患的发生。
3.文件保险箱。利用“文件保险箱”功能,在终端用户处于“政务外网”访问状态时可以使用“文件保险箱”功能,并创建、修改、使用加密文件或文件夹,在终端用户处于“互联网”状态时无法使用此功能,不能创建、修改、使用加密文件或文件夹,从而保证工作文件的安全。
4.补丁管理。利用桌面系统补丁管理的功能,帮助管理员对网内基于Windows平台的系统快速部署最新的安全更新和重要功能更新。系统能检测用户已安装的补丁和需要安装的补丁,管理员能通过管理平台对桌面系统下发安装补丁的命令。补丁服务器可自动从微软网站更新补丁库,管理员负责审核是否允许补丁在终端系统安装。通过策略定制,终端系统可以自动检测、下载和安装已审核的补丁。
(九)采用2+N的业务模式。对于利用互联网接入的业务系统,必须采用VPN接入,建设互联网接入区,隔离互联网与政务外网的数据包,将互联网业务进行封装,确保互联网业务在专网的VPN通道内进行传输,对于需要与互联网联接的为公众服务的业务,通过逻辑隔离的安全防范措施,采用防火墙系统、入侵防御系统和网络防病毒系统,对互联网接入业务提供必要安全防护,保障电子政务外网的信息安全。
(十)信任体系设计。建立了基于PKI/CA公钥基础设施的数字证书认证体系。完善、推广、促进数字证书体系的发展和根据业务需要建立相应CA机构,并实现某些应用和管理需要的单点登录要求。
