前言:中文期刊网精心挑选了当前网络环境存在风险范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
当前网络环境存在风险范文1
关键词:网络环境;会计;内部控制
中图分类号:F23 文献标识码:A文章编号:16723198(2012)10011601
企业会计内部控制能提升会计信息的质量,有效保护企业的资产的安全,提升企业经营活动的整体运作效率,大大降低企业经营上存在的风险,保证企业经营管理目标能得以实现等方面具有重要的现实意义。
1 重新确立企业会计组织结构
网络环境下ERP的运用,让企业会计业务的运作环境与运作模式发生了很大的变化,会计内部控制体系建设也需要作出适当的调整。在内部环境方面,为确保网络环境下会计信息内部控制的严密性,企业应该在扁平化结构下重新确立会计组织结构,并将其设定成会计信息系统运作组、财税金融组以及计算机中心管理组。会计信息系统的运作组主要是管理会计信息系统,主要包含会计信息的采集、审核、分析等;而计算机中心管理组包含软件开发、系统设计等;财税金融组包含纳税筹划、资金管理等。
2 创建企业全面风险管理系统
企业在网络环境下实行内部控制时,有风险控制能力弱的问题,其原因是企业在风险管理方面的意识比较淡薄,同时还未建立与之相联的风险管理体系,这让企业没有能力去应对会计信息系统控制中遇见的风险。当前,网络环境下会计信息系统遇到的风险逐渐加大,例如授权方式的改变、网络环境本身的开放性等,这无疑增加了企业风险管理难度,所以,加强i企业风险管理能力的重心是创建风险管理系统。创建全面的风险管理系统,需要从以下两个方面出发:
一方面,企业建立专门的风险管理组织机构。企业设立专门的风险管理委员会,该委员会负责研究并制定企业风险管理的策略,而企业的董事会则主要是负责监督与决策,对企业风险管理的实效性对股东会负责;企业经历对企业的风险管理和策略加以执行,尤其是要抓好企业的风险管理日常事务,将企业风险管理的有效性来对企业董事会负责;企业财务等风险管理部门可以进行科学有效的分工,相互之间联系,构成一个有机体;企业财务部内的人员应对本部门的业务非常熟悉,并能对具体案例进行风险评估。所以,企业财务部门的应该建立专门负责会计信息系统风险评估团队。另一方面,创建企业风险预警系统。企业风险预警系统应包括企业风险识别、风险评估与风险处理。企业将风险预警系统内嵌在会计信息系统的程序内,当会计信息系统在遇到风险时,其能提供预警方面的功能,生成具体的预警信息,通过网络传输给负责人。负责人按照风险的具体性质,选取恰当的风险评估与处理方案,以便完成风险控制。
3 开展网上确认控制
为了进一步完善网络环境会计内部控制框架建设,企业在控制活动过程中,需要加强网上确认技术,加强会计信息安全方面的控制。网络环境下,会计信息原始资料数字化进一步加大了会计信息的安全风险。为了有效防止会计原始信息被篡改与盗用,企业完全可以充分利用网络所具有的实施传输方面的功能,对原始交易凭证的第三方进行严格控制,也就是开展网上确认。企业在网络上的认证机构申请数字签名与密码,当双方进行相关的业务往来的时候,将相关的单据和交易凭证传输给认证机构,再由认证机构对其进行核实,对其进行数字签名,并进行加密,之后将已经加密与没有加密的凭证传输给双方,这就完成了双方都认可的公正交易。在这样的交易中,交易一方因为没有办法获得另外一方的签名与密码,所以不能对交易凭证进行修改。与此同时,这一凭证采用加密与未加密两种形式存在企业数据库内,企业会计人员也是只能对没有加密的进行修改,企业的主管人员对某项业务出现疑惑时,只将加密凭证交给客户与指定的认证机构进行解密,将结果进行对照,就可以得到答案,大大增加了会计信息的安全性。
4 对会计信息系统进行审计
网络环境下,企业内部审计机构对会计信息的开发、维护与操作的整个流程进行检测,将出现的问题及时进行汇报,这能弥补信息系统控制上的缺陷,确保会计信息系统的安全性与完整性。在条件许可的情形下,对信息系统进行审计。信息系统审计一般是由专门的审计人员进行审计,采用第三方对企业会计信息系统进行综合性的检测与评价,向被审计企业提出存在的问题与进一步改进的建议。会计信息系统审计,综合使用了信息技术、审计理论等为会计信息系统的使用人员提供了保证。
总之,在网络环境下,企业会计内部控制框架的建设,应从重新确立企业会计组织结构、创建企业全面风险管理系统、开展网上确认控制、对会计信息系统进行审计等方面出发,提升网络环境下企业会计管理水平。
参考文献
[1]李峰.网络环境下会计信息系统内部控制研究[J]. 科技创新导报,2008,(02).
[2]王健.会计信息系统内部控制研究[J]. 中国新技术新产品,2010,(16) .
当前网络环境存在风险范文2
关键词:网络营销;感知风险;购买行为
在网络营销模式中,企业与消费者通过互联网直接交流,企业能够得到消费者对产品、服务和竞争情况的及时反馈。网络营销模式必定会是未来营销模式的大趋势。但企业不考虑网络营销模式中消费者感知风险对其购买决策的影响,网络营销终将难以持久。因此,研究网络营销模式中感知风险对消费者购买决策的影响成为了当今乃至未来很长一段时间的热点课题。
一、网络营销模式研究综述
纵观学者们对网络营销模式的研究大多集中在分析其优缺点、直销模式与物流的关系以及直销模式建立的建模研究等方面。徐国兰研究分析了直销模式的优缺点。认为,对于企业来说,网上直销不仅是面向上网个体的销售方式,更包含了企业间的网上直接交易。田肇云讨论了以厂商利润最大化为目标,如何确定最优销售价格和最优退货价格的问题。朱虹、张科、黄韫慧认为,直销在我国遭遇到信任危机,消费者容易把直销与传销等消极概念混淆,并通过内隐联想实验证实了消费者对直销行业的不信任态度。浦徐进认为,网络直销模模式运作的成功,关键在于第三方物流的运作。
二、消费者感知风险研究综述
1.国外研究综述
国外学者对感知风险的研究主要集中在感知风险维度(感知风险类型)和基于理理论或者相关理论的感知风险两方面。
感知风险这一名词最初是从心理学衍生出来的。最早将这一概年引入营销领域的是Bauer,他认为消费者作出购买决策时,对购买结果存在某些不确定性,这些不确定性就是消费者感知风险最初的概念。他研究得出:消费者的任意购买行为,都存在无法肯定预期结果的可能性,某些决策结果可能达不到自己预期要求。同时,他将感知风险划分为两个方面:第一是错误决策后果的严重程度,第二是不能确定的决策结果。在他的研究中,感知风险是指消费者在购买产品或服务时所感知到的不确定性和不利后果的可能性。
(1)感知风险维度
Cox(1967)研究发现,消费者感知风险与金融和社会心理密切相关。Cox和Cunningham(1967)研究发现,一旦消费者意识到购买行为达不到自己原有需求时,便会产生感知风险,在他的研究中,消费者感知风险被划分为五个方面。第一是对消费者身体的损害,第二是购买决策所产生的不良社会后果,第三是消费者的时间成本,第四是消费者的资金成本,第五是产品性能不能达到消费者心理预期的风险。Jacoby&Kaplan(1972)研究发现,从身体风险、心理风险、功能风险和财务风险这几个维度可以解释约61.5%的总体认知风险。Stone和Gronhaug(1990)在借鉴Jacoby&Kaplan对感知风险维度划分的基础上,得出了能解释近90%的感知风险维度。即:心理风险、功能风险、身体风险、经济风险、社会风险和时间风险。
(2)基于理理论或者相关理论的感知风险
王全胜等学者认为信任直接影响感知风险。他研究发现,消费者对产品的信任可以直接影响其的购买决策,也可以先影响消费者购买产品时所感知到的购买风险,再通过感知风险影响消费者的购买决策。而Das、Teng Kim等学者的研究确发现,消费者感知风险和消费者对产品的信任一起影响着消费者的购买决策,它们不是前因后果关系,而应是一种平行关系。Mcknight等学者则认为消费者感知风险在信任和消费者购买意愿间起调节作用。
总结来看,目前国外学者对网上购物的消费者感知风险认知以及研究尚处于初级阶段。大多数研究仍旧参照实体购物环境下感知风险的6维模型,尽管有些研究也提出了新的感知风险的因素,但并没有对这些新因素展开研究。
2.国内研究综述
从阅读文献来看,学者们的文献研究可以分为两大类,第一是从实体购物环境的角度出发,研究消费者感知风险和信任二者的关系,第二则是通过技术接受模型来分析与消费者信任或感知风险之间的关系。这两大类研究虽然为感知风险的研究奠基了基础,但都没形成完整的理论体系。对网络营销销下,消费者感知风险对购买决策的影响的研究文献则甚为少见。目前国内学者的研究总主要从以下两个方面展开。
(1)企业自身角度
董雅丽,李晓楠从风险媒介的角度研究了感知风险,他们在对影响网络购物环境下消费者购买意愿的文献研究进行分析的基础上,提出了网上消费者购买决策模型。严中华等(2004)的研究发现了三种影响方式,第一、信任独立影响消费者的购买行为,同时感知风险也独立影响着消费者的购买行为。第二、消费者信任作为感知风险和购买行为的中介发挥作用。第三、消费者信任调节感知风险和消费者购买行为。
何其帼,廖文欣从网络零售企业服务质量的角度研究了消费者感知风险,他们认为消费者购买行为受到销售方服务质量和消费者自身感知风险的影响。刘建新等(2008)则更明确地提出,消费者感知风险主要产生于企业和消费者自身素养。孙瑾、郭贤达(2007)研究了传统购物环境下的消费者感知风险对其购买行为的影响。并提出了销售方可以依靠提高服务质量来降低消费者的感知风险的结论。张广玲,付祥伟,熊啸等认为正面的企业责任行为会提高消费者对产品质量的感知,降低其对产品风险的感知,从而都会提高消费者购买意愿。感知质量和感知风险在企业社会责任和消费者购买意愿的作用路径中起中介作用。
(2)企业外部环境角度
有关团购中感知风险研究。周国龙通对网络购物环境中感知风险与消费者购买意愿的实证研究,提出了感知不确定性——感知风险——购买意愿的三维结构模型。张喆、卢昕昀则认为消费者对网络购物环境的感知实用性、感知便利性和感知风险共同影响消费者对网络购物的意愿。同时,他得出了感知实用性与消费者购买意愿呈正相关的结论。
三、总结
纵观国内外的研究文献,上述文献为直销模式或消费者感知风险对其购买行为的影响研究提供了一些理论及实证基础,分析已有研究成果发现,当前研究主要集中在网络直销模式的建立条件和优缺点,或是直销模式建立的建模研究,或是消费者感知风险类型、传统购物环境下研究感知风险和信任的关系,或是网络环境下感知风险对消费者够买行为的影响方面。而对界定为生产者与消费者直接通过互联网进行交易的网络直销模式中,消费者感知风险对其购买决策的影响的研究尚有不足。(作者单位:西南民族大学管理学院)
参考文献:
[1]王全胜,姚砚清,吴少微.在线购物环境下的信任与风险:理论回顾与概念模型[J].科技进步与对策,2007(6):40-44.
[2]赵冬梅,纪淑娴.信任和感知风险对消费者网络购买意愿的实证研究[J].数理统计与管理,2010(2):305-314.
[3]綦晓燕.网络购物感知风险的研究综述[J].科技创新,2010(11)144-146.
当前网络环境存在风险范文3
关键词:电子商务;信息安全;风险评估;对策
基金项目:郑州科技学院大学生创新创业训练计划项目:电子商务信息安全风险评估关键技术及应用(编号:DCY2019007)
1.引言
电子商务是以互联网为基础,以商城消费者产品物流为构成要素进行的电子商务活动。当电子商务相关部门或人员在进行项目开发时,拥有一套信息安全风险评估系统可以帮助其采用科学合理的方法对潜在威胁进行分析并保证经济系统的安全。所以将信息安全技术与现代化新兴技术结合,将为我们打造一个更加优质的网络环境。
2.电子商务系统中存在的信息安全问题及现状
一般来说,电子商务的信息安全是指在电子商务交易的过程中双方使用各种技术和法律手段等确保交易不会因为意外,恶意或者披露这些不利要求而受到损害的信息安全。在21世纪初叶,我国金融系统中的计算机犯罪率一直在不断地增加,我国金融网络信息安全形势非常严峻,需要加强改善。下面就电子商务网络中的信息安全问题做一个简要介绍,主要涉及以下几个方面:
(1)由于编写的电子商务系统软件可以使用不同的形式,因此在实际应用过程中难以避免的会留下安全漏洞。例如,网络操作系统本身会存在一些安全问题,例如非法访问I/0,这些不完全的调解和混乱的访问控制会造成数据库安全漏洞,而这些漏洞严重影响了电子商务系统的信息安全性.特别是在设开始设计之前就没有考虑TCP/IP通信协议的安全性,这一切都表明当前的电子商务系统网络软件中有一些可以避免或不可避免的安全漏洞。此外信息共享处理带来也存在风险。在信息的传递过程中,需要不断地对信息源进行加工和重现,截取有用信息,不可避免会出现信息转化方面的风险。尤其是在当下“社交+商务”的模式下,一条消息可能瞬间在社交网站上转载数万次或者更多,一旦在信息转载中出现误差,影响非常大,风险应当给予重视。
(2)随着网络技术的广泛应用,计算机病毒带来的问题越来越广泛,压缩文件,电子邮件已经成为计算机病毒传播的主要途径,因为这些病毒的种类非常多样化,破坏性极强,使得计算机病毒的传播速度大大加快了。近年来,新病毒种类的数量迅速增加,互联网为这些病毒的传播提供了良好的媒介。这些病毒可以通过网络大量传播任何粗心大意都会造成无法弥补的经济损失。此外还有信息传递过程所带来的风险。信息是一种重要的资源,良好的流动性能實现信息价值的最大化,但是在信息的传递过程中需要经过许多路径,而在这过程中往往存在一些不安全因素,给信息安全带来一定的风险。
(3)当前的黑客攻击,除了计算机病毒的传播外,黑容的恶意行为也越来越猖狂。特洛伊木马使黑容可以使用计算机病毒从而变得更加有目的性,使得计算机记录的登录信息被特洛伊木马程序恶意篡改,导致很多重要信息、文件,甚至是金钱被盗。
(4)由人为因素造成的电子商务公司的安全问题,大部分保密工作是通过员工的操作来进行的,这就需要员工具有很好的保密性,责任心和责任感等道德素质。如果员工的责任心不强,态度不正确,就容易被别人利用,让无关人员随意进出房间或向他人泄露机密信息,可以让罪犯废除重要信息。如果工作人员缺乏良好的职业道德,可能会非法超出授权范围更改或删除他人的信息,而且还可以利用所学专业知识和工作位置来窃取用户密码和标识符,进行非法出售。
3.电子商务信息安全风险评估存在的问题
经过大量的数据收集与分析不难发现对信息安全风险评估是当前科研工作中噬待解决的问题。目前,国内也有一些关于信息安全风险评估的研究和应用,但是这些研究都只是简单的分析,包括常用的具有风险的风险评估工具。评估矩阵,问卷,风险评估矩阵与问卷方法,专家系统相结合。对于更深层次的探究还需进一步努力。此外,网络信息安全风险评估方法常用定量因子分析方法,时间序列模型,决策树方法和回归模型进行。风险评估方法,定性分析主要包括逻辑分析,Delphi方法,因子分析方法,历史比较方法等。其中,定量和定性评估方法相结合,是由模糊层次分析法,基于D-S证据理论等的评估方法组成。同时网络信息安全风险评估还存在一定问题,例如随着网络的发展,我国从开始的2G迈向4G现在又率先进入5G时代。其中也出现了各种问题,网民数量的增加需要迫切提高他们对信息安全的警惕意识。
3.1欠缺对电子商务信息安全风险评估的认识
当前,许多相关人员对电子商务信息系统面临着巨大的挑战的现状并未有足够的意识,缺少信息安全风险评估经验。因此他们没有重视信息安全风险评估的重要性,其原因如下。第一,公司或单位的风险评估尚未通过标准检验,培训标准,信息安全风险评估工作的研究尚未得到系统的相关理论,方法和技术工具,这是由于一些信息安全评估工作相关领导层和工作人员对信息评估风险评估的重要性的认识不足,因此自然而然不将此类风险评估工作包括在当前的信息安全系统框架中。第二,尽管有许多部门将信息安全工作置于地位重要,但受到人力、物力,财力等方面的限制,社会制度的制约,政策法规的欠缺使得信息安全系统的信息安全风险评估工作无法得到应有的重视。
3.2缺乏信息安全风险评估方面的专业技术人才
首先,信息安全风险评估的技术内容要求非常高,它要求员工具有很高的技术水平,现在很多公司都将通用信息用作风险评估技术人员。其次,信息安全风险评估是一项集综合性,专业性于一体的工作,不仅涉及公司的所有业务信息,也涉及人力,物力和财力的方方面面,因此需要各部门之间相互配合,现在大多数公司仅依靠信息部门,独立的参与信息安全风险评估毫无争议他们要想完成信息安全风险评估工作是非常艰难的。综上所述,培养信息安全风险评估专业技术人员是今后信息技术方面发展的方向。
3.3风险评估工具相对缺乏
当前,除专家系统外,其他分析工具相对来说都比较简易,除此之外还缺乏实用的理论基础。此外,这种信息风险评估工具在应用中的发展呈现的现状。表明国内和外部失衡,在中国相对落后。可见解决信息安全问题的关键在于有成熟的风险评估工具。
4.防范电子商务信息安全及风险的建议
4.1增强电子商务信息安全和风险评估的意识
大多数信息的传输和处理,与人是密不可分的。特别是掌握人员的重要信息和核心业务,人员的个人因素,管理因素和环境存在风险。主要包括人员的技术能力,监控管理,安全性。特别需要做好监督审计公司的工作,确保信息安全风险管理融入实践,充分发挥内部监督作用,促进社会责任认可和实施信息安全风险管理工作。电子商务公司必须对工人进行必要的信息安全知识教育培訓,了解与之相关的法律法规,做好对客户关键信息的隐秘保护。不随意查看和泄露客户购买信息。
企业应该加大力度保障网络通信操作时信息的机密性和完整性,加强密钥管理,提高应对网络攻击能力,采取措施避免越权或滥用,消除用户在交易中的风险。在信息安全风险控制中必须由内到外地保护内部系统环境、网络边界、骨干网安全。为网络信息系统建立完善的管理系统,并提供全面的安全保障。运用端到端策略。对于移动电子商务中用户终端设备种类繁多,安全环境复杂难以控制的问题,必须做好数据传输中的重要环节中的身份鉴定。通过人脸识别、指纹识别等技术有效提高用户访问身份鉴别能力,极大地提高账户的安全性,确保数据传输的安全性,确保交易的真实有效。
4.2提供专业的技术培训,提高专业人员的技能
认真选择第三方合作伙伴,增强信息管理水平,加强绩效监督管理。树立合理的企业内部组织结构和有效资金保障,培养员工信息安全意识,创造良好信息安全工作氛围,加强信息安全专业技术人员对信息安全风险评估的意识和能力,通过大量的实验发现可以通过下列方法培训相关人员:第一,定期开展信息安全风险评估工作,将公司员工集合共同学习相关资料以提升他们对信息安全的意识弥补存在的缺陷。第二,对信息安全部门的员工进行专门的技术培训和指导,可通过模拟分析来提升技术;第三,公司应增加对技术资源的投入,聘请经验丰富的专家学者组成第三方评估机构,引进风险评估设备。以备不时之需;第四,公司应对技术人员进行标准化认证培训,执行职业资格准入制度,提高技术人员的门槛,纳入信息安全风险评估,技术人员的全面质量保证评估。以上这些方法只是单纯就培训方式对于具体的实施以及可能遇到的问题依然需要研究。
4.3提升对信息安全防范技术的研究和应用
为移动数据库存储的数据进行加密以防止泄漏,采用不同的加密方法来保护数据安全,进行身份认证,数据恢复,数据加密存储,物理隔离,防火墙,网络,网络设备,网络入侵检测,网络漏洞扫描,网络设备备份,网络管理,专线,实现网络管理等一系列技术手段,从而提高数据库的安全性。同时提高认识到物理设施的重要性,定期维护物理设施。为了监测信息安全和实施评估系统,我们要保证基本硬件和芯片的独立在建立独立于信息安全的评估体系中,国内外统一组织重要的信息安全技术研究,建立创新的电子商务信息安全与评估体系。
当前网络环境存在风险范文4
(一)网络信息技术的引入和网络金融业务自身特性
导致网络金融风险类型具有多样性。互联网金融的风险包括来自网络技术安全和技术选择的技术风险以及网络金融业务自身存在的业务风险。互联网金融业务和风险控制主要依托电脑程序和软件系统来实现,技术本身的安全性和稳定性成为制约网络金融运行的最为重要的技术风险,一旦存在风险隐患,容易受到来自网络外部的黑客攻击或者病毒破坏,互联网金融中的安全风险是一种系统性风险,其影响普及范围最广。同时,在互联网金融发展初期,网络技术标准尚未建立,在网络技术的选择上存在风险,如果投入运营当中的技术本身存在选择失误,将对整个网络金融系统造成巨大经济损失。互联网金融的业务风险包括信用风险、流动性风险、支付与清算风险、法律风险以及其他风险等,这些风险在传统金融业务中也存在,但由于互联网具有充分开放、管理松散和不设防护等特点,使得互联网金融在延续融合传统金融风险的同时,放大了网络金融业务风险。依托互联网平台和移动终端技术开展的网络金融业务,涉及到的参与主体存在差异,且通过接入网络,任何人都有进入网络金融系统的可能性,存在着潜在的网络安全风险。
(二)互联网金融外部效应的放大提高了网络金融风险识别与预警难度
不确定性程度高。金融系统自身具有公共品的外部性,而网络信息技术的引入使得网络金融的外部性比传统金融更为严重,这种外部性一方面能通过网络结构的放大降低网络金融的边际成本,使网络金融具有边际收益递增的效果,另一方面网络平台使各个主体之间的联系更为紧密,一旦发生风险,风险也将通过网络平台而无限放大。网络的外部性使得网络金融风险的识别与预警难度加大,并且由于互联网金融的创新程度高,业务链条较为复杂,虚拟化程度高,使得网络金融的风险具有隐蔽性和扩散性。网络本身具有一定的脆弱性,对网络关键节点的依赖性较强,一旦关键网络节点发生风险,容易引发网络金融系统的崩溃。如以P2P网贷平台为核心的网络金融业务链条上,网络平台公司是整个业务链条的中心,一旦网络平台公司出现经营困难、信用危机等问题,将波及到整个借贷链条,投资人利益无法保障。网络金融风险的成因较为复杂,金融风险在何时、何地发生,风险程度和影响范围难以进行事前估计,具有较大的不确定性。
(三)网络的虚拟化与快捷化使网络金融风险程度提高
波及范围更广,复杂性提高。互联网金融的虚拟性使网络金融的交易能够突破空间限制,成为一种全球性的金融活动,网络金融活动的运营依赖于远程通讯实现,网络金融活动的参与者不需要通过面对面的接触,这为识别参与者的真实身份与信用情况、分辨客户的善意等问题难以进行准备评估,使网络金融机构承担更大的信用风险。网络的快捷性对投资者而言,可以在全球范围内选择资金满意的网络金融机构,并且随时可以在不同的金融机构之间进行转移;对网络金融机构而言,金融机构能够通过持续的金融产品和服务创新吸引更多的客户,强化了金融机构之间的竞争,使得金融机构为了维持稳定的客户群要付出较高的成本,且客户的流动性增大将导致金融机构资产负债情况的大幅度变化,这为金融机构自身经营状况评估带来困难,容易发生流动性风险。同时网络的实时结算要求金融机构保证足够的资金储备以应对客户的兑付,否则容易导致挤提风险,其扩散程度更广,危害更大。网络的虚拟化、快捷化和信息化等特性,使得网络金融风险具有特殊性,多种风险交织在一起,提高了其复杂程度和监管难度。
二、互联网金融监管框架的构建
(一)互联网金融发展初期金融监管要把握适度原则
我国网络金融处于初期快速发展阶段,对网络金融的监管要在兼顾网络金融风险防范的同时兼顾网络金融的创新发展。由于网络金融发展初期的监管相对滞后,市场准入门槛较低,互联网企业、电子商务公司、传统金融机构及其他主体对于加入到网络金融行业具有较强的积极性,且网络金融产品和服务的创新不断涌现,这对于激发参与主体的创新活力,通过市场机制营造竞争氛围,促进整个网络金融业态的发展具有重要意义,因此,对网络金融的监管不能过于过度,否则容易扼杀市场主体的积极性,限制了参与主体的准入,不利于网络金融创新,限制网络金融行业的发展。这一时期的监管,要同时兼顾风险防范与创新发展,要把握好监管的“度”,监管的艺术在于既不限制市场的创造力,又能敏锐地嗅到新的市场风险而防患于未然。
(二)网络化和虚拟化特征使得监管内容具有复杂性
由于网络金融的虚拟易,网络金融机构主要通过无纸化操作进行交易,使得整个交易无凭证可查,监管当局难以收集到相关资料做进一步的JRYJJ稽核审查。同时网络金融交易的电子记录可以随意进行修改,难以对交易真实性进行有效确认以保障网络交易的安全性。这些因素导致监管部门对金融机构所从事的网络金融业务无法核查,监管数据无法真实、准确反映金融机构的实际运行情况。网络金融系统的安全性成为网络金融监管的重要内容之一。同时,由于网络化对于金融创新的影响较大,当前互联网金融模式花样繁多,主流机构包括第三方支付、P2P贷款平台和网络信贷机构,网络金融模式的多样性也导致了监管内容具有复杂性。
(三)互联网金融监管的主体具有多元性和协同性
网络化促进了金融业的混业经营趋势,网络金融产品创新上也更加注重不同金融产品之间的融合,这就要求网络金融监管向着全面性的综合化监管转变。但由于当前我国仍采用分业经营的监管体制,综合化的统一监管难以在短期内实现,对于网络金融的监管应在监管主体多元性的前提下,更加注重监管主体之间的协同性。此外,由于网络金融涉及到参与主体众多、金融领域和产品范围较为广泛,且是虚拟化的运营方式,难以由单一外部监管主体实现对某一网络金融机构的全面监管,因此,在具体监管过程中应调动网络金融运营机构的积极性,将其纳入到监管主体的范畴,作为金融机构内部监管的重要内容,充分依赖金融企业和市场的自我管理与规范,构建内部监管与外部监管相结合监管体系。监管部门要承担起网络金融发展合作者、促进者和协调者的角色,加强基础设施建设、金融信息沟通、提供积极的服务,才能在这一过程中实现其管理的职能。
(四)注重风险识别、防控与事后处理的全程监管
由于网络金融风险的多样性、不确定性和复杂性,网络金融风险一旦发生,通过网络的扩散效应,风险的波及范围和影响程度将难以预测,将会对整个经济社会体系造成不良影响。因此,网络金融监管不同于传统的监管,重在事后处罚,处罚本身不是监管的目的,对于网络金融监管来说,事前的风险识别、防控和监测更为重要。当然,监管部门不但要提高识别和发现金融风险的能力,还应当提高金融风险处置能力和风险发生后的救济能力,使网络金融监管目的、监管手段、监管效果相互一致,最终实现维护金融秩序,维护社会公众利益,促进金融创新和经济平稳健康发展的有机统一。
(五)互联网金融监管创新向自由化和国际化方向发展
随着网络信息技术的应用不断普及,金融产品的延伸、金融服务信息化和多元化以及各种新金融产品销售渠道的建立,使网络金融业务将不断向着综合化、混业经营的趋势发展,且跨国化的网络金融交易规模也将不断扩大,这将导致网络金融监管呈现自由化和国际合作两方面的特点。一方面,传统金融监管中的分业经营模式和防止金融垄断的监管政策将会被网络化背景下的开放、融合、自由的综合化监管模式所替代。另一方面,随着网络化和全球化趋势的不断深化,互联网将极大地缩短空间距离,使得跨国的网络金融交易成为可能,且交易量将呈现不断上升的趋势,这种背景下,跨国的全球范围网络金融监管的合作与联动成为必要,监管政策的制定上要兼顾不同国家和地区政策的一致性与协调性,构建跨区域的网络金融风险防范体系。
(六)构建完善互联网金融监管的制度体系和政策体系
网络金融的健康发展依赖于良好的制度环境,要建立健全各种相关的网络金融法律和措施并确保其能够有效实施。其一,建立严格市场准入机制,金融业是一个高风险的行业且具有强外部性,各国金融监管机构对金融业的市场准入均有严格控制,由于网络金融的业务手段、运行方式的扩展,使得网络金融的市场准入问题应更加严格,否则,容易引发网络金融风险。其二,推进社会信用体系建设,当前我国社会征信体系建设滞后,对网络金融业态的发展和监管造成困难。构建引导互联网金融业健康发展的社会信用体系,保护金融消费者的信息安全,为金融体系创新以及金融支持实体经济发展创造良好的市场环境。其三,积极完善关于网络金融的法律法规,为了使网络金融迅速顺利发展,必须加快关于网络金融的法律制度建设,有利于使当地的虚拟金融服务市场得到一个被法律有效保护的发展空间。其四,制定相应的行业性激励机制,促使网络金融正常运作。相关经验表明,仅仅依靠法律和法规难以有效地对网络金融进行监管。因为网络金融是虚拟的金融活动,这使传统的金融监管方式如现场稽核的方式不再适用,增加了金融监管当局进行监管的难度。因此,制定相应的行业性激励机制是维护金融秩序的好方法。
三、结束语
当前网络环境存在风险范文5
【关键词】计算机 网络风险 防范模式 分析
1 引言
在这个信息的年代,信息已成为了一项重要的战略资源,在社会经济发展过程过程中,有着举足轻重的作用。在当前这个计算机信息技术普及的时代,为了降低计算机网络所存风险的影响,计算机网络风险防范模式的建立和分析已成为了当前计算机研究的一个热点话题,如果计算机网络风险的防范工作没有做好,不仅会影响系统正常运行,同时还会间接影响社会公众的利益,甚者还会对国家安全造成影响。
2 计算机网络风险的管理
计算机网络风险的管理主要包括三个步骤,即网络属性特征的分析、风险防范以及风险评估,其中在网络属性特征的分析中又包括了四个阶段,即风险管理的准备、信息系统的调查和分析以及信息安全的分析。在计算机整个网络的风险防范阶段,明确网络属性这一过程为其前提。而在风险评估过程中又包含了风险与风险影响识别与评价、降低风险的相关建议。在风险管理中,风险防范为其第三步骤,其主要包括了三个方面的内容,即优先级排序、评价以及在风险评估阶段中建议的相关安全控制,通过安全控制来降低风险。
3 计算机网络风险模式
3.1 防范体系
该模式包括了风险防范措施与防范策略的选择,以及风险防范的实施,在进行风险防范过程中又包含了以下内容:第一,优先排序风险防范行动;第二,评价建议安全控制的类别与成本收益的分析;第三,风险防范控制措施的选择与责任的分配;第四,安全措施计划的制定;第五,分析残余风险。
3.2 防范措施
计算机网络风险防范为一种系统的方式,在风险管理过程中,管理人员可通过以下措施来实现风险的防范。
第一,风险的假设。在管理过程中,接受潜在风险,同时持续进行IT系统的运行,通过安全控制措施来将风险降到可接受范围内。
第二,风险的规避。经过风险原因或者后果的消除,即在识别出风险的时候,将系统的某项功能放弃或者关闭,以此来规避风险。
第三,风险的限制。利用某项安全控制措施来限制风险,通过这些安全控制系统可把因系统弱点被破坏带来的各种不利影响降到最低或者最小化。
第四,风险计划。通过风险防范计划的制定,有计划且有目的的来进行风险的管理。在该计划中,主要是对安全控制实施优先级排序、维护以及实现等。
第五,风险的转移。基于对系统自身缺陷的了解,采用相关措施来进行损失的补偿,将风险进行转移。
3.3 网络风险的防范――防火墙
当计算机连接至网络后,为了防止其受到非法入侵危害,其中最为有效的一种防护方式就是在其外部网络与局域网间进行防火墙的架设,以此将外部网和局域网分割开来,这样外部网就不可直接进行局域网地址的查找,同时也就不能和局域网之间进行数据的交流,只有经过防火墙过滤以后,局域网中内部的信息才会传递至外部网,且二者间的数据交流只有经过防火墙过滤后才可执行,从而提高内部网络安全性。进行防火墙架设的目的就是为了有效控制网络间访问,避免外部一些非法用户随意获取或者使用内部资源,保护内部网中的设备。所有外部网信息在进入到内部网络前均要事先通过防火墙,由防火墙系统来明确哪些信息可以进行访问,哪些不可进行访问,通过对这些信息的检查,明确只有授权后的数据才可进入到内部网中。
3.4 计算机网络风险防范模式的执行
第一,优先级排序风险行动,并安全控制其评价建议。在风险评估的报告中,基于其所提出的相关风险级别,优先级排序行动。应优先排序被标为非常高或者较高等级的风险项目,并采取相应的纠正行动来确保其利益。在风险的评估过程中,在安全控制评价建议时,应对所采用的这些安全控制措施自身的可行性以及有效性进行分析,选择最为合适且科学的措施来降低风险。
第二,分析成本和效益,并选择相应的安全控制。在这一过程中,进行成本和效益的分析主要是为了给管理层的决策提供相应的依据,从中选择最好且合理的安全控制措施。在选用安全控制时,应结合管理方面、技术方面以及操作方面的相关因素,要确保其所选用的安全控制不仅满足机构的需求,同时还可保证其IT系统的安全。
第三,分配责任和安全措施计划的制定。在完成上述步骤后,选择具备相应技能与专长的控制人员,同时进行责任的分配。接着再进行安全措施计划的制定,在该计划中主要包括以下内容:风险与风险级别、建议的相关安全控制、行动的排序、在安全控制中所需的资源、人员的划分和责任的分配、实施日期与完成日期以及维护要求等。除此之外,还有一个步骤就是残余风险的分析与防范。
4 结束语
综上所述,随着信息技术网络的快速发展,计算机在运行过程中,很容易受到来自各个方面因素的干扰和影响,使得计算机网络存在严重的风险问题。为了防范这些网络风险,文章基于计算机网络风险管理的研究和分析,提出了一种风险防范体系的结构以及模式,通过该风险防范模式的实际应用情况来看,按照该模式来实施风险的防范,可使风险降到可接受范围内,同时所产生的负面影响也较小。但是因在计算机网络风险中,其风险类型自身还存在着不可预见性,在今后计算机网络风险防范模式的建立和分析中,该模式还有待加强和改进。
参考文献
[1]杨涛,李树仁,党德鹏等.计算机网络风险防范模式研究[J].中国人口・资源与环境,2011,21(2):96-99.
[2]莫成达.基于计算机网络风险的防范模式探究[J].企业技术开发(学术版),2011,30(6):39-40.
[3]李钰翠,武建军,刘荣霞等.计算机网络风险防范数据仓库的研究与设计[J].中国人口・资源与环境,2011,21(2):91-95.
当前网络环境存在风险范文6
论文关健词:应用流分析;风险评估;流量分组
论文摘要:针对网络中的各种应用服务的识别检测,采用应用层协议签名的流量识别技术和流量分组技术,实现网络应用流的分析和风险评估系统——RAS,提出基于流量分组技术的应用流风险评估模型。该系统为网络资源分配和网络安全的预测提供有价值的依据。实验结果表明,TARAS系统具有良好的流量分析效率和风险评估准确性。
1概述
基于互联网的新技术、新应用模式及需求,为网络的管理带来了挑战:(1)关键应用得不到保障,OA, ERP等关键业务与BT,QQ等争夺有限的广域网资源;(2)网络中存在大量不安全因素,据CNCERT/CC获得的数据表明,2006年上半年约有14万台中国大陆主机感染过Beagle和Slammer蠕虫;(3)传统流量分析方法已无法有效地应对新的网络技术、动态端口和多会话等应用,使得传统的基于端口的流量监控方法失去了作用。
如何有效地掌握网络运行状态、合理分配网络资源,成为网络管理者们的当务之急。针对以上需求,作者设计并实现了一套网络应用流分析与风险评估系统(Traffic Analysis and Risk Assessment System, TARAS)。
当前,网络流量异常监测主要基于TCP/IP协议。文献[5]提出使用基于协议签名的方法识别应用层协议。本系统采用了应用层协议签名的流量分析技术,这是目前应用流分析最新技术。然而,简单的流量分析并不能确定网络运行状态是否安全。因此,在流量分析的基础上,本文提出了应用流风险评估模型。该模型使用流量分组技术从定量和定性两方面对应用流进行风险评估,使网络运行状态安全与杏这个不确定性问题得到定性评估,这是当前网络管理领域需要的。
2流量分析模型
目前应用流识别技术有很多,本文提出的流量识别方法是对Subhabrata Sen提出的应用协议特征方法的改进。针对种类繁多的应用层协议采用了两级匹配结构,提高效率。
应用识别模块在Linux环境下使用Libpcap开发库,通过旁路监听的方式实现。在设计的时候考虑到数据报文处理的效率,采用了类似于Linux下的NetFilter框架的设计方法,结构见图1。
采取上述流量识别框架的优点:(1)在对TCP报文头的查找中使用了哈希散列算法,提高了效率;(2)借鉴状态防火墙的技术,使用面向流(flow)的识别技术,对每个TCP连接的只分析识别前10个报文,对于该连接后续的数据报文则直接查找哈希表进行分类,这样避免了分析每个报文带来的效率瓶颈;(3)模式匹配模块的设计使得可扩展性较好。
在匹配模块设计过程中,笔者发现如果所有的协议都按照基于协议特征的方式匹配,那么随着协议数量的增大,效率又会成为一个需要解决的问题。
因此,在设计应用流识别模块时,笔者首先考虑到传输层端口与网络应用流之间的联系,虽然两者之间没有绝对固定的对应关系,但是它们之间存在着制约,比如:QQ协议的服务器端口基本不会出现在80, 8000, 4000以外的端口;HTTP协议基本不会出现在80, 443, 8080以外的端口等,因此,本文在流量分析过程中首先将一部分固定端口的协议使用端口散列判断进行预分类,提高匹配效率。
对于端口不固定的应用流识别,采用两级的结构。将最近经常检测到的业务流量放在常用流量识别子模块里面,这样可以提高查找的速度。另外,不同的网络环境所常用的网络应用流也不同,因此,也没有必要在协议特征库中大范围查找。两级查询匹配保证了模型对网络环境的自适应性,它能够随着网络环境的改变以及网络应用的变化而改变自己的查询策略,但不降低匹配效率。应用流识别子模块的设计具体结构见图2。
3风险评估模型
本文采用基于流量分组技术的风险评估方法。流量分组的目的是为流量的安全评估提供数据。
3.1应用流的分组
网络应用种类多、变化频度高,这给应用流的评估带来了麻烦,如果要综合考虑每一种应用流对网络带来的影响,显然工作量是难以完成的。因此,本文引入应用流分组的概念。应用流分组的目的是从网络环境和安全角度的考虑,将识别后的流量进行归类分组。笔者在长期实验过程中,根据应用的重要性、对网络的占用率、对网络的威胁性等因素得到一个较为合理的分组规则,即将网络流量分为:关键业务,传统流量,P2P及流媒体,攻击流,其他5类。应用流分组确定了流量评估的维度,这样有利于提高评估的效率。表1列举了部分应用流的分组。
应用流分组模块有2个功能。首先是将检测到的各种应用流量按照表1中的分组归类,并计算各分组应用流量的大小、连接数目、通信主机数目3个方面的信息,并以一定的时间周期向流量安全评估模块传送数据。另外一个是在安全事件出现时,向安全响应模块提供异常应用流名称和其他相关信息。应用流分组模块的输入是各应用流的流量大小,而输出有2个:
(1)整个网络的流量分布矩阵。
(2)异常主机流量分组中的成份。
笔者引入流量矩阵的概念。流量矩阵A的数学定义为
其中,aij表示第i台主机的第j组流量的大小,aij的单位为实际流量的单位大小。流量矩阵反映了网络中信息流动的整体情况。
由于TCP/IP协议的广泛应用,网络流量中的绝大部分使用基于TCP的传输层协议,因此传输层的网络连接数也在一定程度上反映了网络流量的情况。定义网络连接数矩阵为
其中,Lij表示第i台主机第J组应用流的网络连接数。
在网络通信过程中,每个流量分组的通信主机数量具有参考价值,在此引入通信主机数量矩阵,数学描述为
其中,hij为表示某一分组流量的通信主机数目。
另外,流量分组模块在接收到安全响应模块的请求时,会向其发送该异常网络节点的应用流类别信息。
信息内容为:主机IP地址,主机应用流分组名,应用流名称列表。
3.2应用流的风险评估
网络流量的特征是网络安全性的重要表现。本节主要描述网络用户流量的安全评估过程和机制。流量的安全评估实际上是网络风险评估过程的一部分。风险评估的方法有定量评估、定性评估和定性与定量结合的评估方法。在此本文借鉴风险评估定性与定量结合的方法设计流量的安全评估子模型。
本节首先确定该模型的评估的对象、指标和目标,评估的具体方法如下:
(1)流量安全评估的对象是每个网络节点的应用流分组。
(2)评估对象的定量指标分别是网络流量大小、网络连接数和网络通信主机数。
(3)评价的目标是确定各应用流的安全性。
(4)评估方法是以先定量后定性的方法为原则,具体方法如下:
1)制定各分组流量的安全评估规则,为量化评估提供依据。
2)参照安全评估规则,根据3个量化指标评价网络用户流量的安全性,并得到安全评分。
3)根据安全性评价集,将量化后的安全评分指标定性化。另外,对于攻击流进行特别评估,并且当出现攻击流时,攻击流安全等级代表主机安全等级。
安全评估子模型的结构如图3所示。
3.2.1各分组流量的安全定量评价
对于不同分组的通信行为和流量特点,本模块采用分指标量化评估的方法进行安全评估。表2中各指标的安全性划分是根据实验得出的结论。
对于各流量安全评估节点,A各节点应用分组流量的集合;L为网络连接的集合;H是各节点通信主机数集合;Sij是各节点量化评估的结果集合。定义安全评估函数F(A,L,H)=Sij(1≤ i ≤ n, 1≤ j ≤ 5),用于表示目标节点流量安全评估的量化结果,从而实现对目标安全状况的定量分析。
将该评价方法设为F则该过程可用数学描述如下:
其中,Sij为各网络节点中应用流分组的安全评分。
3.2.2流量安全定性评价
量化后的安全评分对与安全程度的描述仍然有很大的不确定性,因此,需要将安全评分定性化以确定其所在的安全级别。每个安全级别确定安全分数以及对于攻击流的安全等级划分如表3—表5所示。
以上5个安全等级对于流量的安全性的区分如下:
(1)安全状态表明该分组流量属于正常情况;
(2)可疑状态表明该分组流量中有可疑成分或流量大小超过正常情况;
(3)威胁状态表明该类流量威胁到网络的正常运行和使用;
(4)危险状态主要指该分组流量危害网络的正常运行;
(5)高危状态表明该类分组的流量成分已严重危害网络正常运行。
量化安全评分经过定性划分后可以得到一个定性的流量安全评估矩阵Th,将该过程用运算h表示为
其中,Tij为第i台主机第j组应用流的安全等级。
4实验结果
4.1应用流的识别率
由于TARAS系统能够识别多种应用流量,因此识别算法的准确性是一个重要的指标。网络环境重的各种因素以及网络应用协议特征不断变化等原因,TARAS系统对应用流的识别存在漏报和误报的间题。应用流的识别率见表6。由表6的统计数据可以看到,TARAS对各种协议的识别存在漏报和误报的情况。具体来看,eMule应用由于大量使用UDP传输数据,因此识别率不高。另外,http协议通常使用传输层80端口,但这个端口也被QQ和MSN 2个聊天软件使用,除此之外一些木马后门程序为了防止防火墙的封杀也往往使用该端口,因此,在识别过程中http协议会产生误报,即将非http协议数据也当作http协议计算。
4.2应用流的风险评估
为了测试TARAS系统风险评估的准确性,笔者在拥有8台主机的局域网中做相关测试,并以其中3台(主机17、主机77和主机177)进行实验。局域网内8台主机各应用分组流量状况如表7所示。关键业务和其他应用的分组流量为0。
主机17使用传统应用FTP执行下载任务,其他流量分组中无或只有极少流量,从表7可以看出,该主机的传统应用分组流量达到2 Mb/s,此时传统应用流量分组应该达到威胁级别,而其他分组应该都是安全级别,主机的总体评价为安全。主机77不断受到Nimda蠕虫病毒的攻击,从表7可以发现,该主机高危分组的流量为2 048 kb/s,此时该分组应该达到高危级别,而其他分组由于流量为0因此为安全,主机的总体评价为高危。主机177使用BT进行下载,并使其流量达到1 536 kb/s,根据风险评估策略,该主机的P2P及流媒体分组应该达到威胁级别,其他分组应该都是安全级别,主机的总体评价为安全。表8为TETRAS系统对表7所示流量状况进行评估所得的风险评估结果。
对比表7和表8可以发现,TARAS系统能够正确地对网络中各主机流量状况进行风险评估。同时该实验结果也证实:虽然TARAS系统对于应用流的识别存在一定误差,但是该误差没有严重影响网络运行状况和风险级别安全,误差在可接受范围内。
5结束语
本文针对当前网络管理面临的问题,将应用流成份分析和风险评估引入到网络流量分析和评估领域中,设计并实现了应用流分析和评估系统——TARAS。该系统主要解决网络流量管理中的2个问题:
