网络安全建议书范例6篇

前言:中文期刊网精心挑选了网络安全建议书范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。

网络安全建议书

网络安全建议书范文1

【关键词】无线异构网络 安全路由协议 接入认证技术 入侵检测

无线异构网络是网络通信技术迅速发展的佳绩,它可以将各种各类网络进行融合。4G网络就是无线异构网络融合技术重要成果。异构网络融合技术可以提升蜂窝网络的功能,为我国网络通信发展做出了杰出的贡献,打开了我国网络通信的新局面。

1 安全路由协议

安全路由是实施异构网络的关键技术,它在异构网络中主要作用就是发现移动的协议点和基站。在过去,路由协议的关注点主要集中在选路以及策略,从而忽略了安全问题。但在在UCAN中容易出现的安全问题主要集中在数据转发路径上合法中间节点的鉴定。路由发出的消息中又包含密码的MAC,MAC能够对经过的路径进行鉴定,这样基站就能够对所有的和转发节点的数据流编号进行定位,并且所有的用户都有一个属于基站所给的密码。联合蜂窝接入系统主要功能就是间断个人主机撤消合法主机,和给以转播功能给为认可的主机,并且它还能够阻止自私节点,但是如果发生了碰撞,UCAN的防御能力就会下降。有研究者提出一种新路由算法可以有效解决任意碰撞,新路由算法可以优先保护路由机制和路由数据,并且能够对网络信任模型进行高度融合,并且对安全性能进行有效的分析。新算法的主要原理就是:加强对主机发送信息给基站的线路进行规划,规划的线路具有吞吐量高的特点。这就要求对主机邻近的节点的吞吐量进行测量。

对安全路由协议的研究主要是对基站和移动终端的路由安全以及任意2个移动终端间的路由安全进行研究。无线异构网络的路由协议来源于Ad hoc网络路由协议的扩展,所以在对异构网络路由协议安全性研究应该从Ad hoc网络路由协议安全着手,所以在进行对无线异构网络进行建设时,通常是直接将部分Ad hoc安全路由植入到异构网络的安全路由研究中。

2 接入认证技术

市场上的认证体系主要是适用于一般式集中网络,Kerberos和X.509是运用最为广泛的认证体系,并且这两个体系都具有认证机构发放的证书。异构网络的认证系统则是比较灵活多变的,异构网络既有集中网络,同时又包括分散式网络。接入认证是异构网络安全的第一道防线,所以应该加强对那些已经混入网络的恶意节点的控制。Ad hoc与蜂窝融合网络具有三种体系,当蜂窝技术占据主导位置,接入认证的主要工作就是将Ad hoc中合法的用户安全的接入到蜂窝网络中,当Ad hoc在融合中占据主导位置,接入认证的主要工作则会发生相应的改变,工作的核心就是让Ad hoc内部实现安全,蜂窝管理Ad hoc网络进行安全的传送和控制信息。

接入认证是异构网络安全的第一道防线,所以应该加强对那些已经混入网络的恶意节点的控制。所以在异构网络的认证系统中应该加强对基站和节点的声誉评价。因为UCAN的末端接入网络需要依靠节点的广泛分布和协同工作才能进行正常的运行,在运行中不仅要拒绝恶意节点的接入,同时还要对节点和基站进行正确的评价,保护合法节点免遭恶意节点的影响而被拒绝接入,这样能够有效提升网络资源的利用率。异构网络中声誉机制中心主要是由基站和移动节点担任的,基站在声誉评价中起主要作用,节点对评价进行辅助。同时还可以对节点接入网络时展开预认证,同时网络中的基站以及其他的移动节点可以对节点的踪迹进行追踪,并对节点的恶意行为进行评价。

3 入侵检测技术

无线异构网络和有线网络有着天壤之别,因此,有线网络的入侵检测系统在异构网络中不能发挥作用。传统的入侵检测系统主要工作就是对整个网络进行的业务进行监控和分析,但是在异构网络中的移动环境可以为入侵检测提供部分数据,数据主要是无线通信范围内的与直接通信活动有关的局部数据信息,入侵检测系统就根据这不完整的数据对入侵进行检测。这些一般的入侵检测系统不能对入侵进行识别,同时一般入侵识别系统还不能对系统故障进行判断,但是异构系统能够有效解决这些问题。

异构系统入侵系统主要包含两种如期那检测系统,并且均得到了市场的好评。

(1)移动技术的分布式入侵检测系统。

(2)Ad hoc网络分布式入侵检测系统。

移动技术的分布式入侵检测系统主要构件是移动模块,它的工作原理是,依照有限的移动在Ad hoc中发挥的作用不同,并且将移动发送到不同的节点,在节点中实施检测工作。Ad hoc网络分布式入侵检测系统能够让网络中的每一个节点都参与到入侵检测工作中,并且每一个节点都拥有入侵检测系统,入侵检测系统可以作用于异常检测。所以,当某一个节点发送出异常信号时,不同区域的入侵检测系统就可以共同协作,展开入侵检测工作。

4 节点协作通信

节点协作通信主要工作就是保证节点通信的内容在Ad hoc网络中能够保密的进行传送,并且保证异构网络中Ad hoc网络的安全,免受恶意节点和自私节点的入侵。所以在异构网络中的关键安全技术的研究中还要设计出一种激励策略,来阻止恶意节点的攻击和激励自私节点加入到协作中,完成通信内容在传送过程保密工作。在无线异构网络中的节点写作通信主要有两个方案,一是基于信誉的策略,二是基于市场的策略。

5 结论

异构网络在未来网络发展中占据着重要的位置,所以人们不断对异构网络进行研究。异构无线网络融合技术可以实现无线网络和有线网络的高度融合,未来无线移动网络的发展离不开异构网络,异构无线网络将更好的服务人们的生活生产,为人们创造更多的经济价值。

参考文献

[1]吴蒙,季丽娜,王.无线异构网络的关键安全技术[J].中兴通讯技术,2008,03:32-37.

[2]刘富强,单联海.车载移动异构无线网络架构及关键技术[J].中兴通讯技术,2010,03:47-51+60.

[3]刘鸿雁,胡春静,李远.分层异构无线网络的协议架构和关键技术[J].电信科学,2013,06:17-24.

网络安全建议书范文2

 

一、 下载申报相关材料和模板

访问全国信息安全标准化技术委员会网站(tc260.org.cn),点击上方“工作动态”标签,点击左侧边栏“通知公告”,在通知公告中找到“关于印发《2021年网络安全国家标准项目申报指南》的通知”,下载通知下方附件。

二、 准备申报材料

按照《全国信息安全标准化技术委员会标准制修订工作程序》的要求,根据《2021年网络安全国家标准项目申报指南》的支持范围进行申报,填写《网络安全国家标准项目申请书》、《国家标准项目建议书》,并准备标准草案。

三、 在线填报申报材料

访问全国信息安全标准化技术委员会网站(tc260.org.cn),点击右上方“平台登录”标签,使用相应工作组的成员单位账号(WG或SWG开头的账号)进行登录;进入“信息安全标准项目管理与服务平台”页面后,选择“立项管理”模块;根据申报项目的类型,选择“制修订立项管理”或“研究立项管理”;点击右上方“新增”按钮,进入立项信息在线填报页面;按照平台要求完整填写相应信息,上传《网络安全国家标准项目申请书》、《国家标准项目建议书》和《标准草案》(均需提交WORD版);点击“申请”完成在线立项申报流程。

四、 报送纸质申报材料

项目申报单位将在线上传的《网络安全国家标准项目申请书》、《国家标准项目建议书》和《标准草案》等纸质文件各一份,加盖所在单位公章,寄送至全国信息安全标准化技术委员会秘书处。

五、秘书处联系方式

全国信息安全标准化技术委员会秘书处

北京市安定门东大街1号(100007)

联系人:蔡一鸣 

网络安全建议书范文3

关键词 计算机;网络风险;防范模式;防范流程

中图分类号 F062.5 [KG*2]文献标识码 A [KG*2]文章编号 1002-2104(2011)02-0096-04

在信息时代,信息成为第一战略资源,更是起着至关重要的作用。因此,信息资产的安全是关系到该机构能否完成其使命的大事。资产与风险是天生的一对矛盾,资产价值越高,面临的风险就越大。信息资产有着与传统资产不同的特性,面临着新型风险。计算机网络风险防范的目的就是要缓解和平衡这一对矛盾,将风险防范到可接受的程度,保护信息及其相关资产,最终保证机构能够完成其使命。风险防范做不好,系统中所存在的安全风险不仅仅影响系统的正常运行,且可能危害到政府部门自身和社会公众,严重时还将威胁国家的安全。论文提出了在选择风险防范策略时如何寻找合适的风险防范实施点并按照实施风险防范的具体过程来进行新技术下的风险防范,从而帮助完成有效的风险管理过程,保护组织以及组织完成其任务。

1 计算机网络风险管理

计算机网络风险管理包括三个过程:计算机网络属性特征分析、风险评估和风险防范。计算机网络属性特征分析包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段。在计算机网络风险防范过程中,计算机网络属性的确立过程是一次计算机网络风险防范主循环的起始,为风险评估提供输入。风险评估过程,包括对风险和风险影响的识别和评价,以及降低风险措施的建议。风险防范是风险管理的第三个过程,它包括对在风险评估过程中建议的安全控制进行优先级排序、评价和实现,这些控制可以用来减轻风险。

2 网络风险模式研究

2.1 风险防范体系

计算机风险防范模式包括选择风险防范措施(风险假设、风险规避、风险限制、风险计划、研究和了解、风险转移)、选择风险防范策略(包括寻找风险防范实施点和防范控制类别的选择)、实施风险防范3个过程。在实施风险防范的过程中包括对行动进行优先级排序、评价建议的安全控制类别、成本-收益分析、选择风险防范控制、分配责任、制定安全措施实现计划、实现被选择的安全控制,最后还要进行残余风险分析。

2.2 风险防范措施

风险防范是一种系统方法,高级管理人员可用它来降低使命风险。风险防范可以通过下列措施实现:

(1)风险假设:接受潜在的风险并继续运行IT系统,或实现安全控制以把风险降低到一个可接受的级别。

(2)风险规避:通过消除风险的原因或后果(如当识别出风险时放弃系统某项功能或关闭系统)来规避风险。

(3)风险限制:通过实现安全控制来限制风险,这些安全控制可将由于系统弱点被威胁破坏而带来的不利影响最小化(如使用支持、预防、检测类的安全控制)。

(4)风险计划:制定一套风险减缓计划来管理风险,在该计划中对安全控制进行优先排序、实现和维护。

(5)研究和了解:通过了解系统弱点和缺陷,并研究相应的安全控制修正这些弱点,来降低风险损失。

(6)风险转移:通过使用其他措施补偿损失,从而转移风险,如购买保险。

在选择风险防范措施中应该考虑机构的目标和使命。要解决所有风险可能是不实际的,所以应该对那些可能给使命带来严重危害影响的威胁/弱点进行优先排序。同时,在保护机构使命及其IT系统时,由于每一机构有其特定的环境和目标,因此用来减缓风险的措施和实现安全控制的方法也各不相同。最好的方法是从不同的厂商安全产品中选择最合适的技术,再伴以适当的风险防范措施和非技术类的管理措施。

2.3 风险防范策略

高级管理人员和使命所有者在了解了潜在风险和安全控制建议书后,可能会问:什么时候、在什么情况下我们该采取行动?什么时候该实现这些安全控制来进行风险防范,从而保护我们的机构?

如图1所示的风险防范实施点回答了这个问题。在图1中,标有“是”的地方是应该实现风险防范的合适点。

总结风险防范实践,以下经验可以对如何采取行动来防范由于故意的人为威胁所带来的风险提供指导:

杨涛等:计算机网络风险防范模式研究中国人口•资源与环境 2011年 第2期(1)当存在系统漏洞时,实现保证技术来降低弱点被攻击的可能性;

(2) 当系统漏洞被恶意攻击时,运用层次化保护、结构化设计以及管理控制将风险最小化或防止这种情形的发生;

(3) 当攻击者的成本比攻击得到更多收益时,运用保护措施,通过提高攻击者成本来降低攻击者的攻击动机(如使用系统控制,限制系统用户可以访问或做些什么,这些措施能够大大降低攻击所得);

(4) 当损失巨大时,运用设计原则、结构化设计以及技术或非技术类保护措施来限制攻击的程度,从而降低可能的损失。

上面所述的风险防范策略中除第三条外,也都可运用来防范由于环境威胁或无意的人员威胁所带来的风险。

2.4 风险防范模式的实施

在实施风险防范措施时,要遵循以下规则:找出最大的风险,然后争取以最小的代价充分减缓风险,同时要使对其他使命能力的影响最小。实施措施通过以下七个步骤来完成,见图2。

2.4.1 对行动进行优先级排序

基于在风险评估报告中提出的风险级别,对行动进行优先级排序。在分配资源时,那些标有不可接受的高风险等级(如被定义为非常高或高风险级别的风险)的风险项目应该最优先。这些弱点/威胁需要采取立即纠正行动以保护机构的利益和使命。步骤一输出―从高到低优先级的行动。

2.4.2 评价建议的安全控制

风险评估过程中建议的安全措施对于具体的机构和IT系统可能不是最适合和可行的。在这一步中,要对建议

图1 网络风险防范实施点

Fig.1 Network implementation point of risk prevention

图2 实施风险防范措施流程及其输入输出

Fig.2 Implementation of risk prevention measures and

the input and output processes

的安全控制措施的可行性(如兼容性、用户接受程度)和有效性(如保护程度和风险防范级别)进行分析。目的是选择最适当的安全控制措施以最小化风险。步骤二输出―可行安全控制清单。

2.4.3 实施成本-收益分析

为了帮助管理层做出决策并找出性价比好的安全控制,要实施成本―收益分析。第三步输出―成本-收益分析,其中描述了实现或者不实现安全控制所带来的成本和收益 。

2.4.4 选择安全控制

在成本-收益分析的基础上,管理人员确定性价比最好的安全控制来降低机构使命的风险。所选择的安全控制应该结合技术、操作和管理类的控制元素以确保IT系统和机构适度的安全。步骤四输出―选择好的安全控制。

2.4.5 责任分配

遴选出那些有合适专长和技能来实现所选安全控制的人员(内务人员或外部签约人员),并分配以相应责任。步骤五输出―责任人清单。

2.4.6 制定一套安全措施实现计划

在这一步,将制定一套安全措施实现计划(或行动计划)。这套计划应该至少包括下列信息:

(1)风险(弱点/威胁)和相关的风险级别(风险评估报告输出)。

(2)建议的安全控制(风险评估报告输出)。

(3)优先排序过的行动(标有给那些有非常高和高风险级别的项目分配的优先级)。

(4)被选择的计划好的安全控制(基于可行性、有效性、机构的收益和成本来决定)。

(5)实现那些被选择的计划好的安全控制所需要的资源。

(6)负责小组和人员清单。

(7)开始实现日期。

(8)实现完成的预计日期。

(9)维护要求。

2.4.7 实现被选择的安全控制

根据各自的情况,实现的安全控制可以降低风险级别但不会根除风险。步骤七输出―残余风险清单。

3 网络风险防范案例

以某市政府官方门户网络应用系统为例,首先要对网络应用系统进行属性分析,风险评估,然后根据风险评估报告和承受能力来决定风险防范具体措施。

3.1 风险评估

该计算机网络应用系统安全级别要求高,根据手工和自动化网络风险评估,结果如下所示:

数据库系统安全状况为中风险等级。在检查的33个项目中,共有9个项目存在安全漏洞。其中:3 个项目为高风险等级,占总检查项目的 9%;1 个项目为中风险等级,占总检查项目的 3%;5 个项目为低风险等级,占总检查项目的 15%。

3.2 风险防范具体措施

选择风险防范措施中的研究和了解同时进行风险限制。确定风险防范实施点,该数据库的设计存在漏洞并且该漏洞可能被利用,所以应该实施风险防范。实施步骤如下:

步骤一:对以上扫描结果中的9个漏洞进行优先级排序,确立每个项目的风险级别。

步骤二:评价建议的安全控制。在该网站主站数据库被建立后针对评估报告中的安全控制建议进行分析,得出要采取的防范策略。

步骤三:对步骤二中得出相应的若干种防范策略进行成本收益分析,最后得出每种防范策略的成本和收益。

步骤四:选择安全控制。对上述扫描的9个漏洞分别选择相应的防范策略。

步骤五:责任分配,输出负责人清单。

步骤六:制定完整的漏洞修复计划。

步骤七:实施选择好的防范策略,按表1对这9个漏洞进行一一修复。

表1 防范措施列表

Tab.1 List of preventive measures

漏洞ID

Vulnerability

ID 漏洞名称

Vulnerability

Name级别

level风险防范策略

Risk prevention

strategiesAXTSGL1006Guest用户检测高预防性技术控制AXTSGL1008登录模式高预防性技术控制AXTSGL3002审计级别设置高监测和恢复技术控制AXTSGL3011注册表存储过程权限中支持和预防性技术控制AXTSGL2001允许远程访问低预防性技术控制AXTSGL2012系统表访问权限设置低预防性技术控制AXTSGL3003安全事件审计低监测恢复技术控制AXTSGL3004黑盒跟踪低恢复管理安全控制AXTSGL3006C2 审计模式低监测和恢复技术控制

4 总 结

在进行计算机网络风险管理分析的基础上,提出了新技术下的风险防范模式和体系结构,同时将该防范模式成功应用到某市官方网站的主站数据库中。应用过程中选择了恰当的防范措施,根据新技术下风险防范实施点的选择流程确立了该数据库的防范实施点并严格按照风险防范实施步骤进行风险防范的执行,成功地使风险降低到一个可接受的级别,使得对机构的资源和使命造成的负面影响最小化。

虽然该防范模式在一定程度上降低了风险的级别,但是由于风险类型的不可预见性和防范策略的局限性,该模式未必使机构或系统的风险降到最低,因此风险防范有待于进一步改进和完善,这将是一个长期的任务。

参考文献(References)

[1]蔡昱,张玉清.风险评估在电子政务系统中的应用[J].计算机工程与应用,2004,(26):155-159.[Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System[J]. Computer Engineering and Applications: 2004(26):155-159.]

[2]张平,蒋凡.一种改进的网络安全扫描工具[J].计算机工程,2001.27(9):107-109,128.[Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering[J].2001,27(9):107-109,128.]

[3]卿斯汉.网络安全检测的理论和实践[J].计算机系统应用,2001,(11):24-28.[Qing Sihan. Network Security Detection Theory and Practice[J]. Computer SystemApplication,2001,(11):24-28.]

[4]戴志峰,何军.一种基于主机分布式安全扫描的计算机免疫系统模型[J].计算机应,2001,21(10):24-26,29.[Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer[J]. Computer Application, 2001,21(10):24-26,29.]

Research on Risk Precention Model of Computer Network

YANG Tao1 LI Shuren1 DANG Depeng2

( 1. Computer Network Information Center,Chinese Academy of Sciences,Beijing 100190,China;

2. College of Information Science and Technology,Beijing Normal University,Beijing100875,China)

网络安全建议书范文4

一、网站认证的由来

(一)产生背景

1997年,美国政府正式提出了商务框架(E-business framework)的概念。同一年,AICPA与CICA联合提出了一项旨在帮助网站浏览者增强对网站的信任,帮助保障隐私,认证网站安全和减低网络商业诈骗风险的新的互联网网站鉴证服务—Webtrust。这项鉴证服务是由持有特许专业执照的注册会计师,按照AICPA和CICA公布的“网站认证”准则与规范(Principles and Criterias)对被审查网站的在线隐私(Online Privacy)、安全性(Security)、有效性(Availability)、商业模式与交易信誉(Business Practices/Transaction Integrity)、认可(Non-repudiation)、保密性(Confidentiality)、CA服务等七方面进行审查和鉴证,对于符合准则与规范的网站,允许其将AICPA或CICA委托Verisign公司管理的“网站认证”徽记以超链接(Hyperlink)方式放置在该网站的主页(首页)上,供浏览网站的顾客点击后,以安全方式查看位于Verisign网站的注册会计师鉴证报告。

网络安全、隐私权和浏览者信任等一直是严重阻碍网络经济发展的主要问题。一方面,各网站公司、安全技术机构和微软等的研发中心都在不断的更新完善加密技术,推出一些认证方式,维护网络安全;但另一方面,在开放型的网络世界中,人们不断听到、看到和受到各种网络安全的威胁,因此对于网上交易戒心重重。此外,虚拟的网站使顾客只能通过网页的来了解公司而无法知晓公司的规模、诚信、产品和服务的实际状况,更无法确认网站承诺的安全保密条款会否得到不折不扣地执行,而且越是有名的安全技术性认证,越容易引起黑客的攻击兴趣。AICPA和CICA正是看到了这一新兴的市场,利用自身独立、客观、公正的良好第三者形象和专业的技能知识开始介入这一市场,使“网站认证”服务应运而生。

(二)准则内容

也许是受到计算机行业惯例的影响,AICPA在推出其“网站认证准则与规范”时使用了X.0版的模式。其最新的3.0版准则与前期的2.0版和1.0版比较,有了很大的进步,将网站认证的范围扩大到了BtoB、ISP、CA等范围。3.0版准则提供给网站更多的认证选择,以满足其具体的需要。例如提供BtoC服务的网站会对“在线隐私”和“商业模式与交易完整”认证更感兴趣;提供BtoB服务的网站会对“安全”和“认可”认证更感兴趣。以下是3.0版准则的简要介绍:

1.在线隐私。2000年11月30日AICPA制定了“在线隐私”准则与规范3.0版:“网站应该充分地揭示其对在线商务隐私的运作程序,并遵守这些程序,保持对这些程序的有效控制,对在电子商务中产生的私人信息的安全提供合理的保证”。该准则适用于BtoC、ISP和ASP服务。

2.安全性。2001年1月1日,AICPA制定了“安全性”准则与规范3.0版:“网站应揭示、执行和保持其安全保护政策,并对所有接近电子商务系统和数据的人都是通过了安全政策下的授权提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。

3.商业模式与交易信誉。2001年1月1日,AICPA制定了“商业模式与交易完整”准则与规范3.0版:“网站应揭示、执行和保持其既定的商业运作政策,并为商务运作完整、准确和一致的遵循其政策提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。

4.有效性。2001年1月1日,AICPA制定了“有效性”准则与规范3.0版:“网站应揭示、执行和保持其既定的有效性政策,并为电子商务交易的有效性提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。

除上述准则外,“网站认证”的其他准则与规范与以前旧版模式内容没有太大变化。

(三)发展现状

根据AICPA网站2001年5月的消息,共有17个国家和地区的注册会计师协会获准其会员提供网站认证鉴证服务,其中包括香港会计师公会(HKSA)。但是,获得网站认证徽记的网站不足40家。学者的相关认为,网站认证发展受阻的主要原因是:1.公众对注册会计师的网站认证鉴证服务还很不熟悉。2.网站认证的收费较高,对于很多网站来说不具成本效益。3.消费者是因为对网站感兴趣才进入该网站。4.注册会计师不善于进行网站认证营销。可见,网站认证还处于起步阶段,需要注册会计师们的大力推广,不断更新。

二、网站认证的特点

由于网络的虚拟特性,信息、证据的痕迹不能直接观察,网络技术环境更新迅速以及网站信誉鉴证有特殊目的等原因,使得这一鉴证服务有别于传统审计业务,具有许多新的特点。

(一)目标和审点。

网站认证不是以网站的财务状况、经营业绩为审查的中心目标,而是以网站的安全性、信息的管理保护等为审查对象,以评价这些内容是否符合有关准则与规范为目标进行的鉴证服务。这一目标的变化,直接导致了鉴证的各要素和鉴证的变化。因此,可以说网站认证是一种全新的审计概念。

我们认为,网站认证仍然是一种审计活动,而不是其他的管理咨询等非审计业务。美国会计学会(AAA)对审计的定义是“为确定关于经济行为及经济现象的结论和所制定的标准之间的一致程度,而对这种结论有关的证据进行收集、评定,并将结果传达给利害关系人的有组织的过程。”可见,审计的概念早已经拓宽到管理审计、经济效益审计等多方面。“网站认证”作为现代审计的新分支,是网络经济的产物,是在注册会计师对网站进行审计时,结合客观现实的需要应运而生的。从审计的本质上讲,网站认证是对虚拟网站向客户提供BtoB、BtoC商务模式以及ISP、ASP、CA等经济活动是否符合有关规范所进行的评价与鉴证。

(二)审计职能

一般认为,审计具有监督、评价、鉴证职能。网站认证的评价职能是显而易见的,注册会计师对网站的营运方式、系统的安全测试、数据资料的管理维护抽样调查等都是为了要评价网站的安全性、有效性、合规性。虽然说评价的内容有所变化,但评价职能本身是没有改变的。网站认证的鉴证职能是其本身目标的直接体现,正是因为有了鉴证职能,网站浏览者和客户才会加强对网站的信任感,才能实现电子商务剂的功能。“网站认证”由于是注册会计师接受网站本身的委托对其进行的审查活动,除对网站内部人员有一定监督作用外,监督职能因此并不突出。

(三)审计的主体、客体和对象

虽然网站认证依然是由注册会计师进行的,但是它对注册会计师提出了更高的要求。首先,注册会计师必须有特殊的专业执照才能进行这项业务,这不同于管理审计、管理咨询等业务。其次,注册会计师必须充分考虑是否需要其他专家的协助,而这往往是必不可少的,就犹如人寿保险审计,需要有精算师的配合与协助一样。最后,网站认证徽记是由Verisign网站提供和管理。所以网站认证审计的主体已经不再像传统审计那样单纯了。

网站认证的客体是网站。由于这一客体与传统的公司、组织有显著不同,因此“网站认证”审计也显得与众不同。网站公司往往实体业务很简单,更多更主要的经济活动是发生在虚拟的网络世界中,对这样的客体进行审计必须选择与之相适应的手段和方法。

网站认证的对象是网站的系统安全模式、网站的活动程序等等,这与传统的审计大不一样。

(四)审计风险

一方面,网站认证报告的对象是不确定的所有网站服务使用者,不局限于审计委托人;另一方面,的变化迅速,使用“网站认证”鉴证报告的浏览者得到的是根据以前信息做出的安全认证,这对于网络世界来说是明显滞后的。所以,注册师的风险很大,必须在认证报告中加入适当的说明,以明确责任。

(五)审计、手段和报告方式

综上所述,我们知道网站认证的目标、客体和对象与传统审计相比较有了很大变化,因此在审计手段和方法上也有相应的变化。

首先,网站认证的审计程序是:评价委托风险接受委托并获得管理当局声明书系统管理控制评价符合测试、实质测试完成审计工作,提出管理建议书,要求进行改进以达到标准出具报告,申请给与网站认证徽记每3个月进行复核测试。其中的最后一个步骤就是传统审计所没有的,是适应网络经济飞速的客观需要而采取的一项重要。而且,网站认证中管理当局声明书的内容较传统审计有很大不同,管理当局被要求对其管理网站的各项安全保密政策以及其他要求注册会计师审计的方面的政策和执行情况进行揭示与责任说明。网站认证中的管理当局声明书相当于传统审计中的会计报表加管理当局声明书,这与传统审计有所区别。

其次,许多审计测试都必须通过机进行,不存在绕过计算机审计的方法。例如,在进行客户登录是否有安全保护,是否只能进入授权级别的内容,交易是否是在安全模式下进行等测试只能在网络上进行,相关的审计证据也是以方式存在,这是网站认证审计的一大特点。

第三,网站认证的委托人(审计报告的对象)与传统的报表审计不同。一般来说,“网站认证”是由网站管理当局委托注册会计师进行的,审计报告的对象是网站的管理当局,这是与的网站认证报告的使用目的相关的。网站所有者并不需要网站认证来证明网站的安全,因为这只是经营者提高业绩而进行的努力,所以网站认证的委托人大都是网站的管理当局。

最后,网站认证的报告方式别具一格。网站认证报告是通过被审计网站主页上的一个超链接图标与Verisign网站的相关报告链接,浏览者点击该图标就可以看到注册会计师的审计报告。这种审计报告是网站通过了何种认证标准的报告,不存在传统概念下的保留意见、否定意见或拒绝表示意见报告。以下是一份根据网站认证3.0版“安全性”准则与规范书写的报告范例:

独立审计师报告

兴隆公司管理当局:

我们已经审查了贵公司2000年1月1日到2000年12月31日的管理声明书(链接到管理声明书),声明包括揭示了所有重要的电子商务安全政策,并遵循了这些政策,且对只有获得授权的人才能在上述安全政策下接近电子商务系统和数据保持了有效的控制。我们的审查是根据美国注册会计师协会“网站认证”安全性准则进行的(可链接到安全性准则)。执行程序、揭示政策、遵循和控制是兴隆公司管理当局的责任。我们的责任是根据我们的审查发表审计意见。

我们的审计程序是按照美国注册会计师协会的标准执行的,这些审计程序包括:(1)获得和了解兴隆公司揭示的安全政策和相关安全控制程序,(2)测试这些安全政策的执行遵守情况,(3)测试和评价安全控制执行的有效性,(4)其它我们认为必要的审计程序。我们认为我们的审查为我们的审计意见提供了合理的基础。

我们认为,兴隆公司的上述管理声明书,依据美国注册会计师协会“网站认证”安全标准,在所有重要方面都进行了公允地表达。

由于控制内在的限制,一些错误和舞弊可能存在而没有被检查出来。并且,基于我们的发现而得出的结论,在未来的期间,存在这些结论不适用的风险,因为:(1)安全系统和控制可能改变,(2)执行环境的变化,(3)时间流逝带来的变化,(4)对安全政策和程序的遵循可能懈怠。

在兴隆公司网站上的网站认证徽记是本报告内容的一种符号表示,它不是对本报告的更新,也不代表任何更进一步的保证。

埃得华会计师事务所

弗内斯特·埃得华 注册会计师

华盛顿特区

2001年2月1日

三、注册会计师应如何面对网站认证

网站认证审计在我国还是个新鲜的事物。如何发展我国注册会计师的网站认证业务呢?笔者认为,我国注册会计师行业的建设随着时间与经验的积累,水平在逐渐提高。但由于种种原因,大众对我们注册会计师这个行业的信任度还不是很高。这是我国注册会计师拓展网络鉴证服务市场的主要阻碍。要克服这些障碍,我们仍有许多方面的工作必须加以努力。具体来讲:

1.有必要建立一部管理电子商务的基本法。没有的保护,任何行业的自律,任何第三方的证明,都不能使消费者和客户真正的放心。如果消费者权益没有明确的法律保护,那么电子商务将是一件风险很高的商业行为,更何况是网站认证。

2.中国注册会计师协会应该为网站认证或网站审计制定标准,提供资格认证。每一个行业都有自身的特点,虽然我们没必要为每一个行业制定特殊的审计准则,但是对于个别重要或特殊的行业还是应该根据实际情况,进行相应的处理。我们完全可以保险审计那样,为网站认证或网站审计规定新的游戏规则。

网络安全建议书范文5

关键词:数字城市; 城市规划; 实践

Abstract: the digital city planning represents a kind of brand-new planning concepts and methods, with a brand new planning concept, content and programming method planning. This article from the digital city planning related concepts of digital city planning in China was summarized, the practice of the strategy.

Keywords: digital city; Urban planning; practice

l 数字城市概念

数字城市,在表述上有数码城市(Cyber City)、数字化城市、电子城市、数码港、信息港、数位城市等多种提法。目前,学术界比较趋同于数字城市(DC,DigitaI City)的统一提法。但是,在数字城市的概念内涵上,与数字城市相关的各个领域都有各自的表述。归纳起来,有以建设部为代表的城市建设系统、以测绘局为代表的测绘系统、以3S 企业为代表的3S系统的IT系统等三种观点。

(l)建设部观点。建设部系统对数字城市的理解是,数字城市就是城市规划、建设、管理与服务的数字化,建设数字城市就是要实施城市规划、建设、管理与服务的数字化工程。建设部组织建设系统的高校、企业等部门的专家学者,提出

了城市数字化工程方案,作为建设部系统“十五”信息化与数字城市建设的纲要。建设部在其“十五”科技攻关项目“城市规划、建设、管理与服务数字化工程专项”的建议书中认为,“数字城市”是综合运用GIS、遥感、遥测、网络、多媒体及虚拟仿真等技术对城市的基础设施、功能机制进行信息自动采集、动态监测管理和辅助决策服务的技术系统;它具有城市地理、资源、生态环境、人口、经济、社会等复杂系统的数字化、网络化、虚拟仿真、优化决策支持和可视化表现等强大功能。它是由UGIS - WEB UGIS -COM UGIS - VR UGIS - CYBER UGIS 发展而成,具有城市地理信息系统的全部功能,但功能更强、更丰富,它与其前身———城市地理信息系统的主要区别在于对城市有关数据能够自动采集、处理分析、传输分发、自动或半自动智能决策,可直接为社会公众提供便利的网络服务。目前,建设部已经按照这种思路在全国确立了30 个数字城市示范基地。

(2)测绘系统观点。测绘系统对数字城市的理解是,数字城市就是将真实城市以地理位置及其相关关系为基础而组成数字化的信息框架,并在该框架内嵌入我们所能获得的信息的总称,提供快速、准确、充分和完整地了解及利用城市中各方面的信息。数字城市的本质(或者核心)就是海量城市空间数据与三维城市地理信息系统、时序城市地理信息系统的融合。数字城市首先是国家空间数据基础设施在城市尺度的具体化实施,是指城市空间数据基础设施(USDI,UrbanSpatiaI Data Infrastructure),数字城市工程就是要建立和完善城市空间数据快速高效的获取、共享与应用体系,建设城市基础地理信息系统,完善以城市基础地理数据(4D 数字产品)为核心的城市空间信息基础设施建设,在此基础上建立城市的四维时空参考框架,集成多样化的信息应用。

(3)3S 系统观点。3S 系统对数字城市的定义是,数字城市就是基于3S(地理信息系统GIS、全球定位系统GPS、遥感系统RS)等关键技术,深入开发和应用空间信息资源,建设服务于城市规划、建设和管理,服务于政府、企业、公众,服务于人口、资源环境、经济社会的可持续发展的信息基础设施和信息系统。其本质是建设空间信息基础设施,进一步深化和完善城市地理信息系统建设,并在此基础上深度开发和整合应用各种信息资源。

2 我国数字城市规划的实践策略探析

2.1 我国数字城市规划的实践表现

随着信息技术的飞速发展和日益普及应用, 以数字技术为特征的城市数字规划时代的到来使现代城市规划在很多方面都会受到挑战。首先, 由于数字规划需要多个领域的技术作支撑, 如GIS 技术、RS技术、GPS 技术、MIS 技术、OA 技术、VR 技术、网络技术、数据库技术、CAD 技术等等, 还包括这些技术交叉、融合而派生的新技术, 这就对规划人员的素质和能力提出了更高的要求。其次, 从城市发展的历史来看, 任何一次技术革命或者一个新技术的应用必定带来新的城市问题, 并影响到城市结构、城市功能组织等诸多方面。现有的规划理念、规划内容、规划方法、规划手段和规划工具等各个方面必须作相应的调整, 这需要我们去思考、去探索, 面对即将出现的新问题, 早寻对策。

2.2 我国数字城市规划的实践策略

2.2.1 加快建立数字城市规划的标准体系

体系的缺失导致了标准化工作的滞后,造成大量低水平的重复建设,因此数字城市规划体系的推广应用必须加强标准化工作,围绕城市规划全过程,制定一系列的数据标准、互操作标准、软件适用性标准、信息共享标准、系统运行标准、信息安全措施和业务管理规范等,加快

建立标准化体系,为数字城市规划奠定基础。从政府主管部门的角度着眼, 数字城市技术框架的建立应从政策和标准入手, 集成、整合和发展城市GIS 及相关技术, 为城市规划、建设和管理的信息化和现代化提供完整、全面、创新的解决方案和技术支持。这其中关键的技术标准问题, 一直是中国GIS 技术发展的软肋。因此, 政府主管部门必须尽快组织技术力量, 制定相关的技术标准, 以指导和规范各地方城市的数字城市建设工作。

2.2.2 加强各城市间城市数字化规划的协调管理

数字城市建设要在建设初期制定相应的规则,以便合理规划和建设。当前,要根据国家信息化和城市经济社会发展的需要,编制城市数字化规划。特别要编制好城市数字化的总体规划,搞好顶层设计,确定总体布局和发展重点,合理配置资源。国家已决定将“国民经济信息化”作为中国第十个五年计划中的国家专项规划之一。相应地,我国的各个城市应制定切实可行的城市数字化政策法规和标准规范,以及具体的落实方案和措施。此外,城市数字化是一个庞大的系统工程,搞好组织协凋管理是实现城市数字化的关键环节。“数字城市”建设不能仅依靠某一个行政部门来组织协调,而应在市政府统一领导下,设立信息化办公室,制定“数字城市”的发展纲要以及资源共享的政策与标准,解决各部门各自为政,互相封锁等问题。使城市数字化在市政府的统一领导下健康发展。

2.2.3 国家应加强信息资源开发利用

推进城市数字化进程离不开强大的信息资源支持。因此,国家应加快制定《国家信息资源开发利用规划》和相应管理办法和标准规范,加强信息资源开发利用的管理,规范信息服务市场行为,促进信息资源共享。鼓励经济、科技、教育、文化、卫生等领域信息资源的广泛利用,促进信息资源转化为社会生产力,加大中文信息资源的开发力度,鼓励联网应用服务。同时,随着信息化的不断发展,信息安全和网络安全应越来越受到高度重视。尤其在城市数字化进程中,我国政府要将信息安全和网络安全作为城市数字化建设的重要保障。开展安全体系、安全对策、安全技术和安全设备的研究,开发具有自主产权的安全产品,加强建设和完善中国互联网络信息中心、国家信息安全测评认证中心、国家计算机网络与信息安全管理中心等与信息安全有关的基础设施,为顺利实现我国的城市数字化保驾护航。

2.2.4 建立数字城市示范工程

数字城市建设所需多种基础技术在我国的应用已经比较广泛, 基础较为扎实。许多城市都具备相应的技术与经济实力, 政府有关部门也非常重视相关工作, 并且先期投资开展了部分项目的建设, 这都为实施数字城市建设奠定了基础, 并为搞好示范工程准备了较好的基础和条件。示范工程肩负着验证、完善数字城市建设工程项目的相关技术成果, 为后续广泛应用提供效果示范和实施经验的重任, 同时, 还具有试验与正式工程的双重特点。因此, 示范工程实施的意义非常重大。

3结束语:

网络安全建议书范文6

一、问题提出

(一)电信企业会计核算的规定根据财政部《电信企业会计核算办法》(财会[2002]17号)规定,电信企业的成本核算对象按通信网络划分为固定本地电话网、长途电话网、数据通信网、移动通信网、卫星通信网、无线寻呼网、专用通信网,基础电信企业不对通信产品进行成本核算,只对通信业务的承载网络进行成本核算,其核算的方法是完全成本法,将所有的成本、费用按照一定的比例分摊到上述划分的网络中。

(二)电信行业成本问题的出现在电信行业垄断经营时期,成本问题并不突出,因为政府和企业对成本要求不高,企业缺乏降低成本的动力。但随着市场竞争加剧,基础电信企业受到了竞争者进入电信市场后带来的压力,企业越来越需要科学真实的成本数据来支持决策。同时各国政府为实现企业公平竞争,防止交叉补贴。加强了资费管制,要求主导电信企业提供准确的管制业务成本数据。基于上述原因,电信企业的管理者开始思考如何能降低成本,提高效率;如何有针对性地制定价格策略;不同业务的盈利性如何等问题。这些问题的解决必须有详细、准确的成本信息做支持,以往传统的成本核算及成本管理体系的缺陷逐步暴露出来,在政府及企业自身经营管理的双重压力下,国外电信企业开始建立新的成本核算和成本管理体系。世界电信市场自由化后,作业成本法和作业成本管理(以下简称ABC~ABM)在国外电信企业中得到了广泛应用。随着我国电信行业的改革及加入WTO,我国基础电信企业必将面临更为激烈的竞争,引入ABC和ABM是基础电信企业未来成本管理的发展趋势。

二、相关理论及文献回顾

(一)企业成本法的相关理论 作业成本法(Activity-Based Costing,简称ABC)以作业为中心,通过对作业及作业成本的确认、计量,最终计算出相对真实的产品成本。作业成本法最初应用在制造业,近年来,它被广泛应用在间接成本占较大比例的服务等行业上。其理论基础是成本动因理论,其核心是对作业的分析,价值链分析法是作业分析中最常用的方法。

(二)作业成本法的相关文献自90年代初作业成本法作为企业实施低成本战略的重要基础管理工具已经为人们达成共识。近年来,王平心等(2000,2001,2002)对作业成本法在制造企业(包括先进制造企业和一般制造企业)的应用进行了一定程度的案例研究。潘飞等(2004)结合作业成本法在许继电气的实施过程,从“开始―采用―适应一接受”四阶段进行分析,“给内部转移定价和产品成本控制提供了准确的产品成本信息”得以实现。解决了相关的ABC软件问题,并在制造和仓储部门实现了成本控制。张蕊等(2006)对作业成本方法在烟草企业应用情况进行了研究。林斌、刘运国等(2001)通过对我国铁路运输业应用作业成本法的案例进行调查分析后发现:作业成本法不仅适用于制造业,也适用于运输等非制造业;不仅适用于非国有企业,也适用于国有企业。而在服务行业,特别是电信服务行业,国内目前尚未发现作业成本这方面的专题研究,只有唐晓梅等(2002)对我国电信企业引入作业成本法进行初步探讨,吴刚等(2004)对电信工程项目作业成本进行了初步探讨。

三、案例分析

(一)案例背景中国铁通x分公司是中国铁通集团有限公司的省级分公司,于2001年2月28日挂牌成立。主要经营业务有:固定网本地电话业务、固定网国内长途电话业务、固定网国际长途电话业务、IP电话业务、国际通信设施服务业务、因特网接人服务业务、呼叫中心业务、国内因特网虚拟专用网业务(IP-VPN)、国内多方通信服务业务等。

(二)中国铁通原成本核算模式中国铁通成本是根据财政部《电信企业会计核算办法》(财会[2002]17号)进行核算的。将工资、职工福利费、折旧费、修理费、低值易耗品摊销、业务费、电路及网元租赁费等成本分别归集到固定本地电话网、长途电话网、数据通信网、移动通信网、卫星通信网、无线寻呼网、专用通信网七网中。电信运营企业需要分配的费用,按照“谁受益、谁承担”的原则。根据所发生的费用与各通信网之间的因果关系,将所发生的各项费用能明确归属于哪个通信网的耗费,就直接计入与其相关通信网的成本项目中;凡涉及到两个或两个以上通信网,或者通信网与管理等部门共同使用的费用,按照规定的成本费用分配方法,分配计入相关通信网的成本与管理费用。

(三)铁通产品成本的特点电信产品(电信行业也叫业务)与铁路运输产品有共同点。如铁路运输产品是为旅客和货物提供的“位移”服务。电信产品也是为信息提供“位移”服务,固定网本地电话业务、固定网国内长途电话业务、固定网国际长途电话业务等是提供语音信息的“位移”服务,因特网接人服务业务是提供数据信息的“位移”服务。但位移所需要的时间极短,所以电信产品成本和铁路运输产品成本有共同之处。一是共同成本占总成本比重较大。在语音、数据等信息的“位移”服务中,需要对寿命周期较长的资产进行大量投入,包括新建或购置线路设备等的投资和运营时的养护维护等,如管道、光缆、电缆、交换设备、传输设备等,这些固定资产的折旧费占电信企业成本比重较大。二是产品成本混合在一起。电信运营企业的网络大都是各种电信产品的共同承载体,在原来的成本核算办法中存在大量不能直接认定是否为某项产品的共同成本。例如,本地电话网络需要承载固定网本地电话业务、固定网国内长途电话业务、固定网国际长途电话业务、IP电话业务、因特网接入服务业务、呼叫中心业务等业务;营业厅都是办理综合业务,其成本支出不能直接列入某项产品;为发挥效能,各种生产经营性活动包括市场、建设、运维、服务等无法按产品区分,其成本也不能直接列入某项产品。三是资金成本数额较大。电信运营企业既是劳动密集型产业,也是资金密集型的企业,修建管道、购置机房、设备、电缆等需要大量的投资,占用大量资金,形成数额巨大的资金成本。四是中国铁通具备良好的原始记录和信息化系统,可以提供比较详细的业务量与成本相关的基础数据。以上这些成本特点,

再加上铁通企业规模大、竞争压力大,决定了铁通需要采用作业成本法核算其产品的真实成本,为企业各项经营活动决策提供准确的数据支持。

(四)价值链法在铁通作业中的运用分析 一是铁通产品的价值链(Value Chain)。本案例以骨干传输网、城域网、信令网、计费网、营账网等各种基础网络的建设完成以及与其他电信企业网络互联互通完成为前提,对铁通主要的两项产品:固定网本地电话业务(简称“TEL”)、因特网接入服务业务(简称“ADSL”)进行分析与成本核算。营销阶段:针对大客户的营销,首先在线路资源覆盖区通过各类广告建立铁通产品的知名度,接着面向客户进行产品的营销,对客户通信需求进行了解,介绍铁通产品性能,当客户有明显的需求时,设计接入方案、撰写商务方案与客户进行深入地接洽,客户满意后即签署商务合同,与下一环节进行工作单交接,这就完成市场营销作业活动中的大客户营销。铁通产品市场营销作业图如图1所示:

建设阶段:首先进行建设方案的设计,建设方案及商务合同汇总形成项目建议书,项目批复后立即进行接入设备、光电缆、电话机、MODEN等的采购,厂家设备到现场后进行施工,其中将涉及建设方案设计、项目建议书撰写、采购订单下达、建设方案的报批、管道建设、管道布放、光电缆安装、用户交换机安装、宽带交换机安装、客户端用户线及终端安装、营业厅营账系统用户资料的录入、营业厅优惠方案的选择、机房数据制作激活等作业活动。运维阶段:当建设完工后,承载语音(TEL)、数据(ADSL)产品“位移”的网络才算搭建好,用户可以进行通信消费。由于无数的交换设备、传输设备、光缆、电缆等随着时间推移逐渐老化,同时随着各种外来因素如高温、雷击、洪水、人为障碍、黑客、病毒、甚至施工都可能影响到网络安全,影响到客户的通信使用,因此需要有专业的维护队伍对设备、光电缆进行日常维护、故障处理、应急抢修。按负责的区域可以分为设备运营维护作业,负责机房设备的日常维护、故障处理、应急抢修。干线运维作业,负责骨干网、城域网等干线光、电缆的日常维护、故障处理、应急抢修。用户线运维作业,负责从接入交换机外侧到用户设备端电缆、用户端设备的日常维护、故障处理、应急抢修。客户服务阶段:主要负责对客户的咨询、投诉、建议进行快速反馈,并指挥维护队伍快速处理故障,同时将处理的结果及时反馈到客户,并对客户的评价进行记录。账款营收阶段:是对用户的消费进行收款,其中有发票打印、发票邮寄、收款(营业厅收款、银行划款、上门收款)、销账、清单打印、催款等工作。

电信产品的四种辅活动包括:产品开发及技术支持活动,如新产品研制、策划、技术改造等;综合管理,既指机房设施、机器设备等硬件,也包括法律、质量、公共关系等管理;财务管理,包括计划、预算、成本、人工工资、建设资金安排、费结算等;人力资源管理活动,包括员工的招聘、培训、发展、激励、保险、工资等。通过上述活动的分析,上述作业描绘如图2所示:

二是作业的合并与归集。电信企业的作业多达上千种,对这些作业一一进行区分是不可能的,按照“二八原则”,企业80%的成本是由20%的作业引起的,在作业成本法中,对较多作业的企业核算成本时,只需对那些相对于顾客或企业组织而言比较重要的作业进行分析。通过对各种作业分析,确定重要作业,并归集到营销、建设、运维、客服、营收五个作业中心,如表l所示:

(五)成本重新分类将不属于TEL和ADSL两种产品的成本从总成本中分捡出来,如长途传输设备、长途传输管道、长途传输光电缆的折旧、利息。长途话务通过其他电信企业网络互联互通成本,本地话务通过其他电信企业网络互联互通成本,本地话务通过其他电信企业网络互联互通成本,长途电话卡业务的制卡成本等。由于这些成本是直接成本,可以从总成本中直接分捡出来。同时将属于TEL和ADSL两种产品的直接成本归类到该产品项下。例如:折旧费中DSLAM设备折旧费用、ADSL设备代维费、MODEM材料费、ADSL代办手续费、ADSL~联网流量成本、ADSL广告费用可直接归集到ADSLP品中。属于TEL和ADSL成本分类归集如表2所示:

(六)共同成本按作业分摊“产品消耗作业,作业消耗资源”是作业成本法的基本思想。表2中的各种成本即资源费用需要分摊到各项作业中,其中资源动因是分配的度量标准。经过实际观察、访谈、问卷调查并分析归纳,总结出中国铁通x分公司各项作业成本分配的资源动因。本文仅以运维作业中心为例,说明共同成本分摊到作业的过程。共同成本中涉及运维作业中心的成本项目包括:工资、职工福利费、修理费、房屋租赁费、外购电力费、设备代维费、水电取暖费、水电取暖费、业务用品费、装移机材料费、差旅费、物业管理费、运输工具维修费、办公费、管理费用。其中,修理费、设备代维费、装移机材料费、外购电力费、差旅费、运输工具维修费可根据费用属性据实分配,其他费用中部分属于运维作业中心,需要确定资源动因。运维作业中心资源动因如表3所示:

经调查,公司共有4200A,其中运维生产人员及管理人员共2802人,有318人从事设备维护工作、580人从事管线维护工作、1827人从事用户电缆维护工作、77人从事运维管理工作。公司需要交纳物业管理费的房屋共计14.6万平方米,其中机房(列设备维护)占9.3万平方米,管线维护班组工具房屋约占2300平方米,用户电缆维护班组房屋约占1.1万平方米,运维管理人员房屋面积约占780平方米,合计运维作业约占10.7万平方米房屋。经过计算全年各作业的人工工时为846万人工工时,运维作业中心人工工时为495.5万人工工时,其中设备维护为64万人工工时、管线维护为117万人工工时、用户电缆维护为299万人工工时、运维管理为15,5万人工工时。人工工时工资单价为16369/846=19.3元/人工工时。人工工时职工福利费单价为730/846=0.86元/人工工时。人工工时工资单价与某作业耗用人工工时乘积即为该作业成本。某作业耗用面积占总面积的比例与物业管理费乘积即为该作业成本。某作业耗用人工工时占所有人工工时比例与该科目总费用乘积即为该作业成本。再将修理费、设备代维费、装移机材料费、外购电力费、差旅费、运输工具维修费根据费用属性据实分配到相关运维子作业中。运维作业共同成本分配如表4所示:

(七)作业成本分配至TEL和ADSL产品共同成本(资源费用)分配到各作业是完成核算的第一步,还需要将各作业成本分配到具体的产品中,而作业动因是将作业成本分配到具体产品的度量标准。经过实际观察、访谈、问卷调查并分析归纳,总结出中国铁通x分公司TEL和ADSL两项产品的作业动因,仍以运维作业中心为例,说明作业成本分摊到产品的过程。全年TEL用户端口数221万,ADSL用户端口数62万,则端口维护单价=7137.6/(221+62)=25.2

元,端口,该端口维护单价也即设备维护的作业动因率。根据产品运维成本=作业动因率×业务量,可以算出TEL的设备运维成本为5569万元,ADSL设备运维成本为1562万元。全年,IEL管线故障件数34218件,ADSL管线故障件数23724件,则管线故障维护单价(管线维护作业动因率)=5016×10000÷(34218件+23724件)=866元,件,根据产品运维成本:作业动因率×业务量,可以算出TEL的管线运维成本为2963万元,ADSL管线运维成本为2053万元。全年TEL用户电缆故障件数59292件,ADSL用户电缆故障件数90504件。则用户电缆维护单价(用户电缆维护作业动因率)=13819×10000÷(59292件+90504件)=922元/件,可以算出TEL的用户电缆故障维护成本为5467万元,ADSL设备用户电缆故障维护成本为8352万元。全年TEL用户数184万,ADSL用户数53万,则运维管理单价(运维管理作业动因率)=496×10000÷(184+53)=2.1元/户,可以算出TEL的运维管理成本为386万元,ADSL运维管理成本为110万元。运维作业中心作业动因如表5所示:

(八)TEL与ADSL作业成本计算模型TEL和ADSL产品由于其特殊性,其成本由自身成本加上互联互通成本构成。若信息“位移”只是在铁道本地网络传输,则只有自身成本;若信息“位移”需要传输到其他基础电信企业网络,则成本为自身成本与互联互通成本之和,本文核算TEL成本只考虑自身成本,ADSL成本中考虑了互联互通成本(流量成本)。一是TEL成本计算模型。假设铁通共有m

结果说明:由于目前互联网网间互联政策是非主导电信运营企业按照带宽流量向主导电信企业付费,而在向客户销售ADSL产品时电信运营企业大都采用包时长方式。客户使用中,有的长时间挂在网上下载数据、有的采用几台机使用一个账号等,耗用过长流量致使电信企业亏损,企业采取各种方法降低流量。本文利用作业成本法核算ADSL流量成本,便于企业正确地划出超流量客户的标准,确实将采用几台机使用一个账号的超流量用户清退。采用包时长的销售模式,一方面是客户习惯的原因,但更重要的是电信企业不能真实核算出因特网接入服务业务(ADSL)的流量成本,不得以而采用包时长销售,致使电信企业在面向客户销售时策略单一,形成被动局势。而通过核算出真实的流量成本,则为电信企业制定精细的销售策略奠定了基础。

四、结论与启示