前言:中文期刊網精心挑選了當前網絡環境存在風險范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
當前網絡環境存在風險范文1
關鍵詞:網絡環境;會計;內部控制
中圖分類號:F23 文獻標識碼:A文章編號:16723198(2012)10011601
企業會計內部控制能提升會計信息的質量,有效保護企業的資產的安全,提升企業經營活動的整體運作效率,大大降低企業經營上存在的風險,保證企業經營管理目標能得以實現等方面具有重要的現實意義。
1 重新確立企業會計組織結構
網絡環境下ERP的運用,讓企業會計業務的運作環境與運作模式發生了很大的變化,會計內部控制體系建設也需要作出適當的調整。在內部環境方面,為確保網絡環境下會計信息內部控制的嚴密性,企業應該在扁平化結構下重新確立會計組織結構,并將其設定成會計信息系統運作組、財稅金融組以及計算機中心管理組。會計信息系統的運作組主要是管理會計信息系統,主要包含會計信息的采集、審核、分析等;而計算機中心管理組包含軟件開發、系統設計等;財稅金融組包含納稅籌劃、資金管理等。
2 創建企業全面風險管理系統
企業在網絡環境下實行內部控制時,有風險控制能力弱的問題,其原因是企業在風險管理方面的意識比較淡薄,同時還未建立與之相聯的風險管理體系,這讓企業沒有能力去應對會計信息系統控制中遇見的風險。當前,網絡環境下會計信息系統遇到的風險逐漸加大,例如授權方式的改變、網絡環境本身的開放性等,這無疑增加了企業風險管理難度,所以,加強i企業風險管理能力的重心是創建風險管理系統。創建全面的風險管理系統,需要從以下兩個方面出發:
一方面,企業建立專門的風險管理組織機構。企業設立專門的風險管理委員會,該委員會負責研究并制定企業風險管理的策略,而企業的董事會則主要是負責監督與決策,對企業風險管理的實效性對股東會負責;企業經歷對企業的風險管理和策略加以執行,尤其是要抓好企業的風險管理日常事務,將企業風險管理的有效性來對企業董事會負責;企業財務等風險管理部門可以進行科學有效的分工,相互之間聯系,構成一個有機體;企業財務部內的人員應對本部門的業務非常熟悉,并能對具體案例進行風險評估。所以,企業財務部門的應該建立專門負責會計信息系統風險評估團隊。另一方面,創建企業風險預警系統。企業風險預警系統應包括企業風險識別、風險評估與風險處理。企業將風險預警系統內嵌在會計信息系統的程序內,當會計信息系統在遇到風險時,其能提供預警方面的功能,生成具體的預警信息,通過網絡傳輸給負責人。負責人按照風險的具體性質,選取恰當的風險評估與處理方案,以便完成風險控制。
3 開展網上確認控制
為了進一步完善網絡環境會計內部控制框架建設,企業在控制活動過程中,需要加強網上確認技術,加強會計信息安全方面的控制。網絡環境下,會計信息原始資料數字化進一步加大了會計信息的安全風險。為了有效防止會計原始信息被篡改與盜用,企業完全可以充分利用網絡所具有的實施傳輸方面的功能,對原始交易憑證的第三方進行嚴格控制,也就是開展網上確認。企業在網絡上的認證機構申請數字簽名與密碼,當雙方進行相關的業務往來的時候,將相關的單據和交易憑證傳輸給認證機構,再由認證機構對其進行核實,對其進行數字簽名,并進行加密,之后將已經加密與沒有加密的憑證傳輸給雙方,這就完成了雙方都認可的公正交易。在這樣的交易中,交易一方因為沒有辦法獲得另外一方的簽名與密碼,所以不能對交易憑證進行修改。與此同時,這一憑證采用加密與未加密兩種形式存在企業數據庫內,企業會計人員也是只能對沒有加密的進行修改,企業的主管人員對某項業務出現疑惑時,只將加密憑證交給客戶與指定的認證機構進行解密,將結果進行對照,就可以得到答案,大大增加了會計信息的安全性。
4 對會計信息系統進行審計
網絡環境下,企業內部審計機構對會計信息的開發、維護與操作的整個流程進行檢測,將出現的問題及時進行匯報,這能彌補信息系統控制上的缺陷,確保會計信息系統的安全性與完整性。在條件許可的情形下,對信息系統進行審計。信息系統審計一般是由專門的審計人員進行審計,采用第三方對企業會計信息系統進行綜合性的檢測與評價,向被審計企業提出存在的問題與進一步改進的建議。會計信息系統審計,綜合使用了信息技術、審計理論等為會計信息系統的使用人員提供了保證。
總之,在網絡環境下,企業會計內部控制框架的建設,應從重新確立企業會計組織結構、創建企業全面風險管理系統、開展網上確認控制、對會計信息系統進行審計等方面出發,提升網絡環境下企業會計管理水平。
參考文獻
[1]李峰.網絡環境下會計信息系統內部控制研究[J]. 科技創新導報,2008,(02).
[2]王健.會計信息系統內部控制研究[J]. 中國新技術新產品,2010,(16) .
當前網絡環境存在風險范文2
關鍵詞:網絡營銷;感知風險;購買行為
在網絡營銷模式中,企業與消費者通過互聯網直接交流,企業能夠得到消費者對產品、服務和競爭情況的及時反饋。網絡營銷模式必定會是未來營銷模式的大趨勢。但企業不考慮網絡營銷模式中消費者感知風險對其購買決策的影響,網絡營銷終將難以持久。因此,研究網絡營銷模式中感知風險對消費者購買決策的影響成為了當今乃至未來很長一段時間的熱點課題。
一、網絡營銷模式研究綜述
縱觀學者們對網絡營銷模式的研究大多集中在分析其優缺點、直銷模式與物流的關系以及直銷模式建立的建模研究等方面。徐國蘭研究分析了直銷模式的優缺點。認為,對于企業來說,網上直銷不僅是面向上網個體的銷售方式,更包含了企業間的網上直接交易。田肇云討論了以廠商利潤最大化為目標,如何確定最優銷售價格和最優退貨價格的問題。朱虹、張科、黃韞慧認為,直銷在我國遭遇到信任危機,消費者容易把直銷與傳銷等消極概念混淆,并通過內隱聯想實驗證實了消費者對直銷行業的不信任態度。浦徐進認為,網絡直銷模模式運作的成功,關鍵在于第三方物流的運作。
二、消費者感知風險研究綜述
1.國外研究綜述
國外學者對感知風險的研究主要集中在感知風險維度(感知風險類型)和基于理理論或者相關理論的感知風險兩方面。
感知風險這一名詞最初是從心理學衍生出來的。最早將這一概年引入營銷領域的是Bauer,他認為消費者作出購買決策時,對購買結果存在某些不確定性,這些不確定性就是消費者感知風險最初的概念。他研究得出:消費者的任意購買行為,都存在無法肯定預期結果的可能性,某些決策結果可能達不到自己預期要求。同時,他將感知風險劃分為兩個方面:第一是錯誤決策后果的嚴重程度,第二是不能確定的決策結果。在他的研究中,感知風險是指消費者在購買產品或服務時所感知到的不確定性和不利后果的可能性。
(1)感知風險維度
Cox(1967)研究發現,消費者感知風險與金融和社會心理密切相關。Cox和Cunningham(1967)研究發現,一旦消費者意識到購買行為達不到自己原有需求時,便會產生感知風險,在他的研究中,消費者感知風險被劃分為五個方面。第一是對消費者身體的損害,第二是購買決策所產生的不良社會后果,第三是消費者的時間成本,第四是消費者的資金成本,第五是產品性能不能達到消費者心理預期的風險。Jacoby&Kaplan(1972)研究發現,從身體風險、心理風險、功能風險和財務風險這幾個維度可以解釋約61.5%的總體認知風險。Stone和Gronhaug(1990)在借鑒Jacoby&Kaplan對感知風險維度劃分的基礎上,得出了能解釋近90%的感知風險維度。即:心理風險、功能風險、身體風險、經濟風險、社會風險和時間風險。
(2)基于理理論或者相關理論的感知風險
王全勝等學者認為信任直接影響感知風險。他研究發現,消費者對產品的信任可以直接影響其的購買決策,也可以先影響消費者購買產品時所感知到的購買風險,再通過感知風險影響消費者的購買決策。而Das、Teng Kim等學者的研究確發現,消費者感知風險和消費者對產品的信任一起影響著消費者的購買決策,它們不是前因后果關系,而應是一種平行關系。Mcknight等學者則認為消費者感知風險在信任和消費者購買意愿間起調節作用。
總結來看,目前國外學者對網上購物的消費者感知風險認知以及研究尚處于初級階段。大多數研究仍舊參照實體購物環境下感知風險的6維模型,盡管有些研究也提出了新的感知風險的因素,但并沒有對這些新因素展開研究。
2.國內研究綜述
從閱讀文獻來看,學者們的文獻研究可以分為兩大類,第一是從實體購物環境的角度出發,研究消費者感知風險和信任二者的關系,第二則是通過技術接受模型來分析與消費者信任或感知風險之間的關系。這兩大類研究雖然為感知風險的研究奠基了基礎,但都沒形成完整的理論體系。對網絡營銷銷下,消費者感知風險對購買決策的影響的研究文獻則甚為少見。目前國內學者的研究總主要從以下兩個方面展開。
(1)企業自身角度
董雅麗,李曉楠從風險媒介的角度研究了感知風險,他們在對影響網絡購物環境下消費者購買意愿的文獻研究進行分析的基礎上,提出了網上消費者購買決策模型。嚴中華等(2004)的研究發現了三種影響方式,第一、信任獨立影響消費者的購買行為,同時感知風險也獨立影響著消費者的購買行為。第二、消費者信任作為感知風險和購買行為的中介發揮作用。第三、消費者信任調節感知風險和消費者購買行為。
何其幗,廖文欣從網絡零售企業服務質量的角度研究了消費者感知風險,他們認為消費者購買行為受到銷售方服務質量和消費者自身感知風險的影響。劉建新等(2008)則更明確地提出,消費者感知風險主要產生于企業和消費者自身素養。孫瑾、郭賢達(2007)研究了傳統購物環境下的消費者感知風險對其購買行為的影響。并提出了銷售方可以依靠提高服務質量來降低消費者的感知風險的結論。張廣玲,付祥偉,熊嘯等認為正面的企業責任行為會提高消費者對產品質量的感知,降低其對產品風險的感知,從而都會提高消費者購買意愿。感知質量和感知風險在企業社會責任和消費者購買意愿的作用路徑中起中介作用。
(2)企業外部環境角度
有關團購中感知風險研究。周國龍通對網絡購物環境中感知風險與消費者購買意愿的實證研究,提出了感知不確定性——感知風險——購買意愿的三維結構模型。張喆、盧昕昀則認為消費者對網絡購物環境的感知實用性、感知便利性和感知風險共同影響消費者對網絡購物的意愿。同時,他得出了感知實用性與消費者購買意愿呈正相關的結論。
三、總結
縱觀國內外的研究文獻,上述文獻為直銷模式或消費者感知風險對其購買行為的影響研究提供了一些理論及實證基礎,分析已有研究成果發現,當前研究主要集中在網絡直銷模式的建立條件和優缺點,或是直銷模式建立的建模研究,或是消費者感知風險類型、傳統購物環境下研究感知風險和信任的關系,或是網絡環境下感知風險對消費者夠買行為的影響方面。而對界定為生產者與消費者直接通過互聯網進行交易的網絡直銷模式中,消費者感知風險對其購買決策的影響的研究尚有不足。(作者單位:西南民族大學管理學院)
參考文獻:
[1]王全勝,姚硯清,吳少微.在線購物環境下的信任與風險:理論回顧與概念模型[J].科技進步與對策,2007(6):40-44.
[2]趙冬梅,紀淑嫻.信任和感知風險對消費者網絡購買意愿的實證研究[J].數理統計與管理,2010(2):305-314.
[3]綦曉燕.網絡購物感知風險的研究綜述[J].科技創新,2010(11)144-146.
當前網絡環境存在風險范文3
關鍵詞:電子商務;信息安全;風險評估;對策
基金項目:鄭州科技學院大學生創新創業訓練計劃項目:電子商務信息安全風險評估關鍵技術及應用(編號:DCY2019007)
1.引言
電子商務是以互聯網為基礎,以商城消費者產品物流為構成要素進行的電子商務活動。當電子商務相關部門或人員在進行項目開發時,擁有一套信息安全風險評估系統可以幫助其采用科學合理的方法對潛在威脅進行分析并保證經濟系統的安全。所以將信息安全技術與現代化新興技術結合,將為我們打造一個更加優質的網絡環境。
2.電子商務系統中存在的信息安全問題及現狀
一般來說,電子商務的信息安全是指在電子商務交易的過程中雙方使用各種技術和法律手段等確保交易不會因為意外,惡意或者披露這些不利要求而受到損害的信息安全。在21世紀初葉,我國金融系統中的計算機犯罪率一直在不斷地增加,我國金融網絡信息安全形勢非常嚴峻,需要加強改善。下面就電子商務網絡中的信息安全問題做一個簡要介紹,主要涉及以下幾個方面:
(1)由于編寫的電子商務系統軟件可以使用不同的形式,因此在實際應用過程中難以避免的會留下安全漏洞。例如,網絡操作系統本身會存在一些安全問題,例如非法訪問I/0,這些不完全的調解和混亂的訪問控制會造成數據庫安全漏洞,而這些漏洞嚴重影響了電子商務系統的信息安全性.特別是在設開始設計之前就沒有考慮TCP/IP通信協議的安全性,這一切都表明當前的電子商務系統網絡軟件中有一些可以避免或不可避免的安全漏洞。此外信息共享處理帶來也存在風險。在信息的傳遞過程中,需要不斷地對信息源進行加工和重現,截取有用信息,不可避免會出現信息轉化方面的風險。尤其是在當下“社交+商務”的模式下,一條消息可能瞬間在社交網站上轉載數萬次或者更多,一旦在信息轉載中出現誤差,影響非常大,風險應當給予重視。
(2)隨著網絡技術的廣泛應用,計算機病毒帶來的問題越來越廣泛,壓縮文件,電子郵件已經成為計算機病毒傳播的主要途徑,因為這些病毒的種類非常多樣化,破壞性極強,使得計算機病毒的傳播速度大大加快了。近年來,新病毒種類的數量迅速增加,互聯網為這些病毒的傳播提供了良好的媒介。這些病毒可以通過網絡大量傳播任何粗心大意都會造成無法彌補的經濟損失。此外還有信息傳遞過程所帶來的風險。信息是一種重要的資源,良好的流動性能實現信息價值的最大化,但是在信息的傳遞過程中需要經過許多路徑,而在這過程中往往存在一些不安全因素,給信息安全帶來一定的風險。
(3)當前的黑客攻擊,除了計算機病毒的傳播外,黑容的惡意行為也越來越猖狂。特洛伊木馬使黑容可以使用計算機病毒從而變得更加有目的性,使得計算機記錄的登錄信息被特洛伊木馬程序惡意篡改,導致很多重要信息、文件,甚至是金錢被盜。
(4)由人為因素造成的電子商務公司的安全問題,大部分保密工作是通過員工的操作來進行的,這就需要員工具有很好的保密性,責任心和責任感等道德素質。如果員工的責任心不強,態度不正確,就容易被別人利用,讓無關人員隨意進出房間或向他人泄露機密信息,可以讓罪犯廢除重要信息。如果工作人員缺乏良好的職業道德,可能會非法超出授權范圍更改或刪除他人的信息,而且還可以利用所學專業知識和工作位置來竊取用戶密碼和標識符,進行非法出售。
3.電子商務信息安全風險評估存在的問題
經過大量的數據收集與分析不難發現對信息安全風險評估是當前科研工作中噬待解決的問題。目前,國內也有一些關于信息安全風險評估的研究和應用,但是這些研究都只是簡單的分析,包括常用的具有風險的風險評估工具。評估矩陣,問卷,風險評估矩陣與問卷方法,專家系統相結合。對于更深層次的探究還需進一步努力。此外,網絡信息安全風險評估方法常用定量因子分析方法,時間序列模型,決策樹方法和回歸模型進行。風險評估方法,定性分析主要包括邏輯分析,Delphi方法,因子分析方法,歷史比較方法等。其中,定量和定性評估方法相結合,是由模糊層次分析法,基于D-S證據理論等的評估方法組成。同時網絡信息安全風險評估還存在一定問題,例如隨著網絡的發展,我國從開始的2G邁向4G現在又率先進入5G時代。其中也出現了各種問題,網民數量的增加需要迫切提高他們對信息安全的警惕意識。
3.1欠缺對電子商務信息安全風險評估的認識
當前,許多相關人員對電子商務信息系統面臨著巨大的挑戰的現狀并未有足夠的意識,缺少信息安全風險評估經驗。因此他們沒有重視信息安全風險評估的重要性,其原因如下。第一,公司或單位的風險評估尚未通過標準檢驗,培訓標準,信息安全風險評估工作的研究尚未得到系統的相關理論,方法和技術工具,這是由于一些信息安全評估工作相關領導層和工作人員對信息評估風險評估的重要性的認識不足,因此自然而然不將此類風險評估工作包括在當前的信息安全系統框架中。第二,盡管有許多部門將信息安全工作置于地位重要,但受到人力、物力,財力等方面的限制,社會制度的制約,政策法規的欠缺使得信息安全系統的信息安全風險評估工作無法得到應有的重視。
3.2缺乏信息安全風險評估方面的專業技術人才
首先,信息安全風險評估的技術內容要求非常高,它要求員工具有很高的技術水平,現在很多公司都將通用信息用作風險評估技術人員。其次,信息安全風險評估是一項集綜合性,專業性于一體的工作,不僅涉及公司的所有業務信息,也涉及人力,物力和財力的方方面面,因此需要各部門之間相互配合,現在大多數公司僅依靠信息部門,獨立的參與信息安全風險評估毫無爭議他們要想完成信息安全風險評估工作是非常艱難的。綜上所述,培養信息安全風險評估專業技術人員是今后信息技術方面發展的方向。
3.3風險評估工具相對缺乏
當前,除專家系統外,其他分析工具相對來說都比較簡易,除此之外還缺乏實用的理論基礎。此外,這種信息風險評估工具在應用中的發展呈現的現狀。表明國內和外部失衡,在中國相對落后。可見解決信息安全問題的關鍵在于有成熟的風險評估工具。
4.防范電子商務信息安全及風險的建議
4.1增強電子商務信息安全和風險評估的意識
大多數信息的傳輸和處理,與人是密不可分的。特別是掌握人員的重要信息和核心業務,人員的個人因素,管理因素和環境存在風險。主要包括人員的技術能力,監控管理,安全性。特別需要做好監督審計公司的工作,確保信息安全風險管理融入實踐,充分發揮內部監督作用,促進社會責任認可和實施信息安全風險管理工作。電子商務公司必須對工人進行必要的信息安全知識教育培訓,了解與之相關的法律法規,做好對客戶關鍵信息的隱秘保護。不隨意查看和泄露客戶購買信息。
企業應該加大力度保障網絡通信操作時信息的機密性和完整性,加強密鑰管理,提高應對網絡攻擊能力,采取措施避免越權或濫用,消除用戶在交易中的風險。在信息安全風險控制中必須由內到外地保護內部系統環境、網絡邊界、骨干網安全。為網絡信息系統建立完善的管理系統,并提供全面的安全保障。運用端到端策略。對于移動電子商務中用戶終端設備種類繁多,安全環境復雜難以控制的問題,必須做好數據傳輸中的重要環節中的身份鑒定。通過人臉識別、指紋識別等技術有效提高用戶訪問身份鑒別能力,極大地提高賬戶的安全性,確保數據傳輸的安全性,確保交易的真實有效。
4.2提供專業的技術培訓,提高專業人員的技能
認真選擇第三方合作伙伴,增強信息管理水平,加強績效監督管理。樹立合理的企業內部組織結構和有效資金保障,培養員工信息安全意識,創造良好信息安全工作氛圍,加強信息安全專業技術人員對信息安全風險評估的意識和能力,通過大量的實驗發現可以通過下列方法培訓相關人員:第一,定期開展信息安全風險評估工作,將公司員工集合共同學習相關資料以提升他們對信息安全的意識彌補存在的缺陷。第二,對信息安全部門的員工進行專門的技術培訓和指導,可通過模擬分析來提升技術;第三,公司應增加對技術資源的投入,聘請經驗豐富的專家學者組成第三方評估機構,引進風險評估設備。以備不時之需;第四,公司應對技術人員進行標準化認證培訓,執行職業資格準入制度,提高技術人員的門檻,納入信息安全風險評估,技術人員的全面質量保證評估。以上這些方法只是單純就培訓方式對于具體的實施以及可能遇到的問題依然需要研究。
4.3提升對信息安全防范技術的研究和應用
為移動數據庫存儲的數據進行加密以防止泄漏,采用不同的加密方法來保護數據安全,進行身份認證,數據恢復,數據加密存儲,物理隔離,防火墻,網絡,網絡設備,網絡入侵檢測,網絡漏洞掃描,網絡設備備份,網絡管理,專線,實現網絡管理等一系列技術手段,從而提高數據庫的安全性。同時提高認識到物理設施的重要性,定期維護物理設施。為了監測信息安全和實施評估系統,我們要保證基本硬件和芯片的獨立在建立獨立于信息安全的評估體系中,國內外統一組織重要的信息安全技術研究,建立創新的電子商務信息安全與評估體系。
當前網絡環境存在風險范文4
(一)網絡信息技術的引入和網絡金融業務自身特性
導致網絡金融風險類型具有多樣性。互聯網金融的風險包括來自網絡技術安全和技術選擇的技術風險以及網絡金融業務自身存在的業務風險。互聯網金融業務和風險控制主要依托電腦程序和軟件系統來實現,技術本身的安全性和穩定性成為制約網絡金融運行的最為重要的技術風險,一旦存在風險隱患,容易受到來自網絡外部的黑客攻擊或者病毒破壞,互聯網金融中的安全風險是一種系統性風險,其影響普及范圍最廣。同時,在互聯網金融發展初期,網絡技術標準尚未建立,在網絡技術的選擇上存在風險,如果投入運營當中的技術本身存在選擇失誤,將對整個網絡金融系統造成巨大經濟損失。互聯網金融的業務風險包括信用風險、流動性風險、支付與清算風險、法律風險以及其他風險等,這些風險在傳統金融業務中也存在,但由于互聯網具有充分開放、管理松散和不設防護等特點,使得互聯網金融在延續融合傳統金融風險的同時,放大了網絡金融業務風險。依托互聯網平臺和移動終端技術開展的網絡金融業務,涉及到的參與主體存在差異,且通過接入網絡,任何人都有進入網絡金融系統的可能性,存在著潛在的網絡安全風險。
(二)互聯網金融外部效應的放大提高了網絡金融風險識別與預警難度
不確定性程度高。金融系統自身具有公共品的外部性,而網絡信息技術的引入使得網絡金融的外部性比傳統金融更為嚴重,這種外部性一方面能通過網絡結構的放大降低網絡金融的邊際成本,使網絡金融具有邊際收益遞增的效果,另一方面網絡平臺使各個主體之間的聯系更為緊密,一旦發生風險,風險也將通過網絡平臺而無限放大。網絡的外部性使得網絡金融風險的識別與預警難度加大,并且由于互聯網金融的創新程度高,業務鏈條較為復雜,虛擬化程度高,使得網絡金融的風險具有隱蔽性和擴散性。網絡本身具有一定的脆弱性,對網絡關鍵節點的依賴性較強,一旦關鍵網絡節點發生風險,容易引發網絡金融系統的崩潰。如以P2P網貸平臺為核心的網絡金融業務鏈條上,網絡平臺公司是整個業務鏈條的中心,一旦網絡平臺公司出現經營困難、信用危機等問題,將波及到整個借貸鏈條,投資人利益無法保障。網絡金融風險的成因較為復雜,金融風險在何時、何地發生,風險程度和影響范圍難以進行事前估計,具有較大的不確定性。
(三)網絡的虛擬化與快捷化使網絡金融風險程度提高
波及范圍更廣,復雜性提高。互聯網金融的虛擬性使網絡金融的交易能夠突破空間限制,成為一種全球性的金融活動,網絡金融活動的運營依賴于遠程通訊實現,網絡金融活動的參與者不需要通過面對面的接觸,這為識別參與者的真實身份與信用情況、分辨客戶的善意等問題難以進行準備評估,使網絡金融機構承擔更大的信用風險。網絡的快捷性對投資者而言,可以在全球范圍內選擇資金滿意的網絡金融機構,并且隨時可以在不同的金融機構之間進行轉移;對網絡金融機構而言,金融機構能夠通過持續的金融產品和服務創新吸引更多的客戶,強化了金融機構之間的競爭,使得金融機構為了維持穩定的客戶群要付出較高的成本,且客戶的流動性增大將導致金融機構資產負債情況的大幅度變化,這為金融機構自身經營狀況評估帶來困難,容易發生流動性風險。同時網絡的實時結算要求金融機構保證足夠的資金儲備以應對客戶的兌付,否則容易導致擠提風險,其擴散程度更廣,危害更大。網絡的虛擬化、快捷化和信息化等特性,使得網絡金融風險具有特殊性,多種風險交織在一起,提高了其復雜程度和監管難度。
二、互聯網金融監管框架的構建
(一)互聯網金融發展初期金融監管要把握適度原則
我國網絡金融處于初期快速發展階段,對網絡金融的監管要在兼顧網絡金融風險防范的同時兼顧網絡金融的創新發展。由于網絡金融發展初期的監管相對滯后,市場準入門檻較低,互聯網企業、電子商務公司、傳統金融機構及其他主體對于加入到網絡金融行業具有較強的積極性,且網絡金融產品和服務的創新不斷涌現,這對于激發參與主體的創新活力,通過市場機制營造競爭氛圍,促進整個網絡金融業態的發展具有重要意義,因此,對網絡金融的監管不能過于過度,否則容易扼殺市場主體的積極性,限制了參與主體的準入,不利于網絡金融創新,限制網絡金融行業的發展。這一時期的監管,要同時兼顧風險防范與創新發展,要把握好監管的“度”,監管的藝術在于既不限制市場的創造力,又能敏銳地嗅到新的市場風險而防患于未然。
(二)網絡化和虛擬化特征使得監管內容具有復雜性
由于網絡金融的虛擬易,網絡金融機構主要通過無紙化操作進行交易,使得整個交易無憑證可查,監管當局難以收集到相關資料做進一步的JRYJJ稽核審查。同時網絡金融交易的電子記錄可以隨意進行修改,難以對交易真實性進行有效確認以保障網絡交易的安全性。這些因素導致監管部門對金融機構所從事的網絡金融業務無法核查,監管數據無法真實、準確反映金融機構的實際運行情況。網絡金融系統的安全性成為網絡金融監管的重要內容之一。同時,由于網絡化對于金融創新的影響較大,當前互聯網金融模式花樣繁多,主流機構包括第三方支付、P2P貸款平臺和網絡信貸機構,網絡金融模式的多樣性也導致了監管內容具有復雜性。
(三)互聯網金融監管的主體具有多元性和協同性
網絡化促進了金融業的混業經營趨勢,網絡金融產品創新上也更加注重不同金融產品之間的融合,這就要求網絡金融監管向著全面性的綜合化監管轉變。但由于當前我國仍采用分業經營的監管體制,綜合化的統一監管難以在短期內實現,對于網絡金融的監管應在監管主體多元性的前提下,更加注重監管主體之間的協同性。此外,由于網絡金融涉及到參與主體眾多、金融領域和產品范圍較為廣泛,且是虛擬化的運營方式,難以由單一外部監管主體實現對某一網絡金融機構的全面監管,因此,在具體監管過程中應調動網絡金融運營機構的積極性,將其納入到監管主體的范疇,作為金融機構內部監管的重要內容,充分依賴金融企業和市場的自我管理與規范,構建內部監管與外部監管相結合監管體系。監管部門要承擔起網絡金融發展合作者、促進者和協調者的角色,加強基礎設施建設、金融信息溝通、提供積極的服務,才能在這一過程中實現其管理的職能。
(四)注重風險識別、防控與事后處理的全程監管
由于網絡金融風險的多樣性、不確定性和復雜性,網絡金融風險一旦發生,通過網絡的擴散效應,風險的波及范圍和影響程度將難以預測,將會對整個經濟社會體系造成不良影響。因此,網絡金融監管不同于傳統的監管,重在事后處罰,處罰本身不是監管的目的,對于網絡金融監管來說,事前的風險識別、防控和監測更為重要。當然,監管部門不但要提高識別和發現金融風險的能力,還應當提高金融風險處置能力和風險發生后的救濟能力,使網絡金融監管目的、監管手段、監管效果相互一致,最終實現維護金融秩序,維護社會公眾利益,促進金融創新和經濟平穩健康發展的有機統一。
(五)互聯網金融監管創新向自由化和國際化方向發展
隨著網絡信息技術的應用不斷普及,金融產品的延伸、金融服務信息化和多元化以及各種新金融產品銷售渠道的建立,使網絡金融業務將不斷向著綜合化、混業經營的趨勢發展,且跨國化的網絡金融交易規模也將不斷擴大,這將導致網絡金融監管呈現自由化和國際合作兩方面的特點。一方面,傳統金融監管中的分業經營模式和防止金融壟斷的監管政策將會被網絡化背景下的開放、融合、自由的綜合化監管模式所替代。另一方面,隨著網絡化和全球化趨勢的不斷深化,互聯網將極大地縮短空間距離,使得跨國的網絡金融交易成為可能,且交易量將呈現不斷上升的趨勢,這種背景下,跨國的全球范圍網絡金融監管的合作與聯動成為必要,監管政策的制定上要兼顧不同國家和地區政策的一致性與協調性,構建跨區域的網絡金融風險防范體系。
(六)構建完善互聯網金融監管的制度體系和政策體系
網絡金融的健康發展依賴于良好的制度環境,要建立健全各種相關的網絡金融法律和措施并確保其能夠有效實施。其一,建立嚴格市場準入機制,金融業是一個高風險的行業且具有強外部性,各國金融監管機構對金融業的市場準入均有嚴格控制,由于網絡金融的業務手段、運行方式的擴展,使得網絡金融的市場準入問題應更加嚴格,否則,容易引發網絡金融風險。其二,推進社會信用體系建設,當前我國社會征信體系建設滯后,對網絡金融業態的發展和監管造成困難。構建引導互聯網金融業健康發展的社會信用體系,保護金融消費者的信息安全,為金融體系創新以及金融支持實體經濟發展創造良好的市場環境。其三,積極完善關于網絡金融的法律法規,為了使網絡金融迅速順利發展,必須加快關于網絡金融的法律制度建設,有利于使當地的虛擬金融服務市場得到一個被法律有效保護的發展空間。其四,制定相應的行業性激勵機制,促使網絡金融正常運作。相關經驗表明,僅僅依靠法律和法規難以有效地對網絡金融進行監管。因為網絡金融是虛擬的金融活動,這使傳統的金融監管方式如現場稽核的方式不再適用,增加了金融監管當局進行監管的難度。因此,制定相應的行業性激勵機制是維護金融秩序的好方法。
三、結束語
當前網絡環境存在風險范文5
【關鍵詞】計算機 網絡風險 防范模式 分析
1 引言
在這個信息的年代,信息已成為了一項重要的戰略資源,在社會經濟發展過程過程中,有著舉足輕重的作用。在當前這個計算機信息技術普及的時代,為了降低計算機網絡所存風險的影響,計算機網絡風險防范模式的建立和分析已成為了當前計算機研究的一個熱點話題,如果計算機網絡風險的防范工作沒有做好,不僅會影響系統正常運行,同時還會間接影響社會公眾的利益,甚者還會對國家安全造成影響。
2 計算機網絡風險的管理
計算機網絡風險的管理主要包括三個步驟,即網絡屬性特征的分析、風險防范以及風險評估,其中在網絡屬性特征的分析中又包括了四個階段,即風險管理的準備、信息系統的調查和分析以及信息安全的分析。在計算機整個網絡的風險防范階段,明確網絡屬性這一過程為其前提。而在風險評估過程中又包含了風險與風險影響識別與評價、降低風險的相關建議。在風險管理中,風險防范為其第三步驟,其主要包括了三個方面的內容,即優先級排序、評價以及在風險評估階段中建議的相關安全控制,通過安全控制來降低風險。
3 計算機網絡風險模式
3.1 防范體系
該模式包括了風險防范措施與防范策略的選擇,以及風險防范的實施,在進行風險防范過程中又包含了以下內容:第一,優先排序風險防范行動;第二,評價建議安全控制的類別與成本收益的分析;第三,風險防范控制措施的選擇與責任的分配;第四,安全措施計劃的制定;第五,分析殘余風險。
3.2 防范措施
計算機網絡風險防范為一種系統的方式,在風險管理過程中,管理人員可通過以下措施來實現風險的防范。
第一,風險的假設。在管理過程中,接受潛在風險,同時持續進行IT系統的運行,通過安全控制措施來將風險降到可接受范圍內。
第二,風險的規避。經過風險原因或者后果的消除,即在識別出風險的時候,將系統的某項功能放棄或者關閉,以此來規避風險。
第三,風險的限制。利用某項安全控制措施來限制風險,通過這些安全控制系統可把因系統弱點被破壞帶來的各種不利影響降到最低或者最小化。
第四,風險計劃。通過風險防范計劃的制定,有計劃且有目的的來進行風險的管理。在該計劃中,主要是對安全控制實施優先級排序、維護以及實現等。
第五,風險的轉移。基于對系統自身缺陷的了解,采用相關措施來進行損失的補償,將風險進行轉移。
3.3 網絡風險的防范――防火墻
當計算機連接至網絡后,為了防止其受到非法入侵危害,其中最為有效的一種防護方式就是在其外部網絡與局域網間進行防火墻的架設,以此將外部網和局域網分割開來,這樣外部網就不可直接進行局域網地址的查找,同時也就不能和局域網之間進行數據的交流,只有經過防火墻過濾以后,局域網中內部的信息才會傳遞至外部網,且二者間的數據交流只有經過防火墻過濾后才可執行,從而提高內部網絡安全性。進行防火墻架設的目的就是為了有效控制網絡間訪問,避免外部一些非法用戶隨意獲取或者使用內部資源,保護內部網中的設備。所有外部網信息在進入到內部網絡前均要事先通過防火墻,由防火墻系統來明確哪些信息可以進行訪問,哪些不可進行訪問,通過對這些信息的檢查,明確只有授權后的數據才可進入到內部網中。
3.4 計算機網絡風險防范模式的執行
第一,優先級排序風險行動,并安全控制其評價建議。在風險評估的報告中,基于其所提出的相關風險級別,優先級排序行動。應優先排序被標為非常高或者較高等級的風險項目,并采取相應的糾正行動來確保其利益。在風險的評估過程中,在安全控制評價建議時,應對所采用的這些安全控制措施自身的可行性以及有效性進行分析,選擇最為合適且科學的措施來降低風險。
第二,分析成本和效益,并選擇相應的安全控制。在這一過程中,進行成本和效益的分析主要是為了給管理層的決策提供相應的依據,從中選擇最好且合理的安全控制措施。在選用安全控制時,應結合管理方面、技術方面以及操作方面的相關因素,要確保其所選用的安全控制不僅滿足機構的需求,同時還可保證其IT系統的安全。
第三,分配責任和安全措施計劃的制定。在完成上述步驟后,選擇具備相應技能與專長的控制人員,同時進行責任的分配。接著再進行安全措施計劃的制定,在該計劃中主要包括以下內容:風險與風險級別、建議的相關安全控制、行動的排序、在安全控制中所需的資源、人員的劃分和責任的分配、實施日期與完成日期以及維護要求等。除此之外,還有一個步驟就是殘余風險的分析與防范。
4 結束語
綜上所述,隨著信息技術網絡的快速發展,計算機在運行過程中,很容易受到來自各個方面因素的干擾和影響,使得計算機網絡存在嚴重的風險問題。為了防范這些網絡風險,文章基于計算機網絡風險管理的研究和分析,提出了一種風險防范體系的結構以及模式,通過該風險防范模式的實際應用情況來看,按照該模式來實施風險的防范,可使風險降到可接受范圍內,同時所產生的負面影響也較小。但是因在計算機網絡風險中,其風險類型自身還存在著不可預見性,在今后計算機網絡風險防范模式的建立和分析中,該模式還有待加強和改進。
參考文獻
[1]楊濤,李樹仁,黨德鵬等.計算機網絡風險防范模式研究[J].中國人口?資源與環境,2011,21(2):96-99.
[2]莫成達.基于計算機網絡風險的防范模式探究[J].企業技術開發(學術版),2011,30(6):39-40.
[3]李鈺翠,武建軍,劉榮霞等.計算機網絡風險防范數據倉庫的研究與設計[J].中國人口?資源與環境,2011,21(2):91-95.
當前網絡環境存在風險范文6
論文關健詞:應用流分析;風險評估;流量分組
論文摘要:針對網絡中的各種應用服務的識別檢測,采用應用層協議簽名的流量識別技術和流量分組技術,實現網絡應用流的分析和風險評估系統——RAS,提出基于流量分組技術的應用流風險評估模型。該系統為網絡資源分配和網絡安全的預測提供有價值的依據。實驗結果表明,TARAS系統具有良好的流量分析效率和風險評估準確性。
1概述
基于互聯網的新技術、新應用模式及需求,為網絡的管理帶來了挑戰:(1)關鍵應用得不到保障,OA, ERP等關鍵業務與BT,QQ等爭奪有限的廣域網資源;(2)網絡中存在大量不安全因素,據CNCERT/CC獲得的數據表明,2006年上半年約有14萬臺中國大陸主機感染過Beagle和Slammer蠕蟲;(3)傳統流量分析方法已無法有效地應對新的網絡技術、動態端口和多會話等應用,使得傳統的基于端口的流量監控方法失去了作用。
如何有效地掌握網絡運行狀態、合理分配網絡資源,成為網絡管理者們的當務之急。針對以上需求,作者設計并實現了一套網絡應用流分析與風險評估系統(Traffic Analysis and Risk Assessment System, TARAS)。
當前,網絡流量異常監測主要基于TCP/IP協議。文獻[5]提出使用基于協議簽名的方法識別應用層協議。本系統采用了應用層協議簽名的流量分析技術,這是目前應用流分析最新技術。然而,簡單的流量分析并不能確定網絡運行狀態是否安全。因此,在流量分析的基礎上,本文提出了應用流風險評估模型。該模型使用流量分組技術從定量和定性兩方面對應用流進行風險評估,使網絡運行狀態安全與杏這個不確定性問題得到定性評估,這是當前網絡管理領域需要的。
2流量分析模型
目前應用流識別技術有很多,本文提出的流量識別方法是對Subhabrata Sen提出的應用協議特征方法的改進。針對種類繁多的應用層協議采用了兩級匹配結構,提高效率。
應用識別模塊在Linux環境下使用Libpcap開發庫,通過旁路監聽的方式實現。在設計的時候考慮到數據報文處理的效率,采用了類似于Linux下的NetFilter框架的設計方法,結構見圖1。
采取上述流量識別框架的優點:(1)在對TCP報文頭的查找中使用了哈希散列算法,提高了效率;(2)借鑒狀態防火墻的技術,使用面向流(flow)的識別技術,對每個TCP連接的只分析識別前10個報文,對于該連接后續的數據報文則直接查找哈希表進行分類,這樣避免了分析每個報文帶來的效率瓶頸;(3)模式匹配模塊的設計使得可擴展性較好。
在匹配模塊設計過程中,筆者發現如果所有的協議都按照基于協議特征的方式匹配,那么隨著協議數量的增大,效率又會成為一個需要解決的問題。
因此,在設計應用流識別模塊時,筆者首先考慮到傳輸層端口與網絡應用流之間的聯系,雖然兩者之間沒有絕對固定的對應關系,但是它們之間存在著制約,比如:QQ協議的服務器端口基本不會出現在80, 8000, 4000以外的端口;HTTP協議基本不會出現在80, 443, 8080以外的端口等,因此,本文在流量分析過程中首先將一部分固定端口的協議使用端口散列判斷進行預分類,提高匹配效率。
對于端口不固定的應用流識別,采用兩級的結構。將最近經常檢測到的業務流量放在常用流量識別子模塊里面,這樣可以提高查找的速度。另外,不同的網絡環境所常用的網絡應用流也不同,因此,也沒有必要在協議特征庫中大范圍查找。兩級查詢匹配保證了模型對網絡環境的自適應性,它能夠隨著網絡環境的改變以及網絡應用的變化而改變自己的查詢策略,但不降低匹配效率。應用流識別子模塊的設計具體結構見圖2。
3風險評估模型
本文采用基于流量分組技術的風險評估方法。流量分組的目的是為流量的安全評估提供數據。
3.1應用流的分組
網絡應用種類多、變化頻度高,這給應用流的評估帶來了麻煩,如果要綜合考慮每一種應用流對網絡帶來的影響,顯然工作量是難以完成的。因此,本文引入應用流分組的概念。應用流分組的目的是從網絡環境和安全角度的考慮,將識別后的流量進行歸類分組。筆者在長期實驗過程中,根據應用的重要性、對網絡的占用率、對網絡的威脅性等因素得到一個較為合理的分組規則,即將網絡流量分為:關鍵業務,傳統流量,P2P及流媒體,攻擊流,其他5類。應用流分組確定了流量評估的維度,這樣有利于提高評估的效率。表1列舉了部分應用流的分組。
應用流分組模塊有2個功能。首先是將檢測到的各種應用流量按照表1中的分組歸類,并計算各分組應用流量的大小、連接數目、通信主機數目3個方面的信息,并以一定的時間周期向流量安全評估模塊傳送數據。另外一個是在安全事件出現時,向安全響應模塊提供異常應用流名稱和其他相關信息。應用流分組模塊的輸入是各應用流的流量大小,而輸出有2個:
(1)整個網絡的流量分布矩陣。
(2)異常主機流量分組中的成份。
筆者引入流量矩陣的概念。流量矩陣A的數學定義為
其中,aij表示第i臺主機的第j組流量的大小,aij的單位為實際流量的單位大小。流量矩陣反映了網絡中信息流動的整體情況。
由于TCP/IP協議的廣泛應用,網絡流量中的絕大部分使用基于TCP的傳輸層協議,因此傳輸層的網絡連接數也在一定程度上反映了網絡流量的情況。定義網絡連接數矩陣為
其中,Lij表示第i臺主機第J組應用流的網絡連接數。
在網絡通信過程中,每個流量分組的通信主機數量具有參考價值,在此引入通信主機數量矩陣,數學描述為
其中,hij為表示某一分組流量的通信主機數目。
另外,流量分組模塊在接收到安全響應模塊的請求時,會向其發送該異常網絡節點的應用流類別信息。
信息內容為:主機IP地址,主機應用流分組名,應用流名稱列表。
3.2應用流的風險評估
網絡流量的特征是網絡安全性的重要表現。本節主要描述網絡用戶流量的安全評估過程和機制。流量的安全評估實際上是網絡風險評估過程的一部分。風險評估的方法有定量評估、定性評估和定性與定量結合的評估方法。在此本文借鑒風險評估定性與定量結合的方法設計流量的安全評估子模型。
本節首先確定該模型的評估的對象、指標和目標,評估的具體方法如下:
(1)流量安全評估的對象是每個網絡節點的應用流分組。
(2)評估對象的定量指標分別是網絡流量大小、網絡連接數和網絡通信主機數。
(3)評價的目標是確定各應用流的安全性。
(4)評估方法是以先定量后定性的方法為原則,具體方法如下:
1)制定各分組流量的安全評估規則,為量化評估提供依據。
2)參照安全評估規則,根據3個量化指標評價網絡用戶流量的安全性,并得到安全評分。
3)根據安全性評價集,將量化后的安全評分指標定性化。另外,對于攻擊流進行特別評估,并且當出現攻擊流時,攻擊流安全等級代表主機安全等級。
安全評估子模型的結構如圖3所示。
3.2.1各分組流量的安全定量評價
對于不同分組的通信行為和流量特點,本模塊采用分指標量化評估的方法進行安全評估。表2中各指標的安全性劃分是根據實驗得出的結論。
對于各流量安全評估節點,A各節點應用分組流量的集合;L為網絡連接的集合;H是各節點通信主機數集合;Sij是各節點量化評估的結果集合。定義安全評估函數F(A,L,H)=Sij(1≤ i ≤ n, 1≤ j ≤ 5),用于表示目標節點流量安全評估的量化結果,從而實現對目標安全狀況的定量分析。
將該評價方法設為F則該過程可用數學描述如下:
其中,Sij為各網絡節點中應用流分組的安全評分。
3.2.2流量安全定性評價
量化后的安全評分對與安全程度的描述仍然有很大的不確定性,因此,需要將安全評分定性化以確定其所在的安全級別。每個安全級別確定安全分數以及對于攻擊流的安全等級劃分如表3—表5所示。
以上5個安全等級對于流量的安全性的區分如下:
(1)安全狀態表明該分組流量屬于正常情況;
(2)可疑狀態表明該分組流量中有可疑成分或流量大小超過正常情況;
(3)威脅狀態表明該類流量威脅到網絡的正常運行和使用;
(4)危險狀態主要指該分組流量危害網絡的正常運行;
(5)高危狀態表明該類分組的流量成分已嚴重危害網絡正常運行。
量化安全評分經過定性劃分后可以得到一個定性的流量安全評估矩陣Th,將該過程用運算h表示為
其中,Tij為第i臺主機第j組應用流的安全等級。
4實驗結果
4.1應用流的識別率
由于TARAS系統能夠識別多種應用流量,因此識別算法的準確性是一個重要的指標。網絡環境重的各種因素以及網絡應用協議特征不斷變化等原因,TARAS系統對應用流的識別存在漏報和誤報的間題。應用流的識別率見表6。由表6的統計數據可以看到,TARAS對各種協議的識別存在漏報和誤報的情況。具體來看,eMule應用由于大量使用UDP傳輸數據,因此識別率不高。另外,http協議通常使用傳輸層80端口,但這個端口也被QQ和MSN 2個聊天軟件使用,除此之外一些木馬后門程序為了防止防火墻的封殺也往往使用該端口,因此,在識別過程中http協議會產生誤報,即將非http協議數據也當作http協議計算。
4.2應用流的風險評估
為了測試TARAS系統風險評估的準確性,筆者在擁有8臺主機的局域網中做相關測試,并以其中3臺(主機17、主機77和主機177)進行實驗。局域網內8臺主機各應用分組流量狀況如表7所示。關鍵業務和其他應用的分組流量為0。
主機17使用傳統應用FTP執行下載任務,其他流量分組中無或只有極少流量,從表7可以看出,該主機的傳統應用分組流量達到2 Mb/s,此時傳統應用流量分組應該達到威脅級別,而其他分組應該都是安全級別,主機的總體評價為安全。主機77不斷受到Nimda蠕蟲病毒的攻擊,從表7可以發現,該主機高危分組的流量為2 048 kb/s,此時該分組應該達到高危級別,而其他分組由于流量為0因此為安全,主機的總體評價為高危。主機177使用BT進行下載,并使其流量達到1 536 kb/s,根據風險評估策略,該主機的P2P及流媒體分組應該達到威脅級別,其他分組應該都是安全級別,主機的總體評價為安全。表8為TETRAS系統對表7所示流量狀況進行評估所得的風險評估結果。
對比表7和表8可以發現,TARAS系統能夠正確地對網絡中各主機流量狀況進行風險評估。同時該實驗結果也證實:雖然TARAS系統對于應用流的識別存在一定誤差,但是該誤差沒有嚴重影響網絡運行狀況和風險級別安全,誤差在可接受范圍內。
5結束語
本文針對當前網絡管理面臨的問題,將應用流成份分析和風險評估引入到網絡流量分析和評估領域中,設計并實現了應用流分析和評估系統——TARAS。該系統主要解決網絡流量管理中的2個問題:
