时间:2023-06-07 09:24:54
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇计算机犯罪研究论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:计算机犯罪侦查;信息安全;培养方.案;课程体系;
中图分类号:G642 文献标识码:A
1 引言
随着信息化的发展,虚拟空间的计算机犯罪呈快速发展的趋势,严重影响了信息化社会的健康发展,影响了现实社会的社会安定、社会安全和国家安全。为了应对新型的计算机犯罪问题,公安部组建并成立了公共信息网络安全监察局,并拥有覆盖全国的相关机构,以处理不断增多、形式多样的计算机犯罪问题。在和公安部下属的院校、研究所,以及普通科研机构中科院下属的软件研究所和高能物理研究所,北京大学、武汉大学等高等院校也展开了对计算机犯罪问题的研究工作。
信息安全学科是由数学、计算机科学与技术、信息与通信工程等学科交叉形成的一门综合性学科。信息安全专业是一个综合性的专业,它以计算机、通信、数学、法学等专业为基础,主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全、信息隐藏与伪装等。
计算机犯罪侦查专业目前主要在公安院校设立,2004年首先在中国人民公安大学、沈阳刑警学院的计算机科学与技术专业发展而来。本文结合作者在中国人民公安大学信息安全工程系的教学工作,就如何在计算机犯罪侦查专业教学中设置信息安全相关课程进行了探讨,包括课程设置、实践环节设计、实验室建设等内容。
2 课程设置
2.1 课程设置原则
课程设置要符合专业知识体系特点,由于计算机犯罪侦查专业是交叉学科,要求的基础面比较宽,不可能开设所有相关的专业基础课,因此对这些基础课程必须进行一些取舍。专业课程设置可分为专业基础课、专业主干课、专业提高课和专业实验实践课。为了培养多方面多层次的人才,在课程设置上还应注重多层面内容的结合,特别加强了专业实验实践教学来提高学生运用知识的能力。其中在专业提高课中,注重学生的分流,对有深造愿望的一部分学生加强专业理论的学习,对就业的大部分同学加强专业知识的实践运用。专业实验实践课程主要加强在公安实践中的专业知识的运用。
课程方案基于2004年版中国人民公安大学计算机犯罪侦查专业培养方案(以下简称原有方案)的课程体系进行设计,参照了国内外院校信息安全专业课程设置的相关材料,既体现计算机科学与技术学科基础,突出信息安全学科专业方向内容,同时又保持我校公安侦查特色与优势。
2.1 课程设置方案
根据原有课程设置方案,计算机犯罪侦查专业课程设置大致分为通识教育内容、专业教育内容和公安学教育内容三个部分,每个部分又包含若干个知识体系。通识教育内容包括:人文社会科学、自然科学、思想教育、外语、计算机信息技术、体育和实践动手能力训练等7个知识体系。专业教育课程大致包括:专业基础课程、专业主干课程、专业提高课程、专业实验实践课程等4个知识体系。公安学教育内容包括刑法学、公安学、侦查学、刑事科学技术、治安学和警体技能等6个知识体系。
参考全国高校本科信息安全专业本科教学规范和相关高校计算机学院信息安全专业的人才培养方案,结合公安业务部门一线需求实践,保留我校计算机犯罪侦查专业的特色和优势,我们可以对原有方案的课程设置做如下调整:
(1)大学通识教育课程和公安学课程类保持不变。
(2)对专业基础课程进行调整,使其涵盖数学、计算机、电子、通信学科的基础内容。在原有方案中,增加“电路与电子技术”、“通信原理”两门课程。同时把“离散数学”改为“信息安全数学基础”,增加数论和群环域等代数内容,侦查学课程只保留侦查学概论(公安学课程类中已讲)、侦查程序内容。
(3)对专业主干课程进行调整。专业特色课程包括原有方案的“现代密码学”、“网络安全”、“信息网络安全监察技术”、“计算机犯罪侦查技术”,以及新增的“信息安全体系结构”和“计算机犯罪取证技术”。
(4)在专业提高课程中,对专业提高课进行了增减,包括原有“数字信号处理”、“嵌入式系统”、“多媒体技术”、“JAVA与面向对象程序设计”、“Linux原理与应用”以及新增的“信息隐藏与数字水印”、“电磁防护与物理安全”、“信息内容安全”、“信息安全新技术讲座”、“电子取证技术”和“网络程序设计”等。调整后的提高课程,增加了信息安全与计算机侦查技术的知识广度,同时加强了学生程序开发能力。专业提高课程是按知识结构进行了简单的分类,而在学生选修课程时可以打破选修方向限制,可根据兴趣同时选修每个方向的每门课程。
(5)专业实验实践课程,在下一节介绍。
表1给出了计算机犯罪侦查专业方向的课程设置方案。
3 计算机犯罪侦查专业实验实践教学的设计
计算机犯罪侦查是一个实践性很强的学科,尤其适应公安网监等部门的业务要求,要求学生有更强的解决实际问题的能力,计算机犯罪侦查专业必须加强实践环节的教学。因此我校特别加强了专业实验实践课,包括独立实验课程、专业课题设计、项目实践、毕业课题、科技创新、公安认知型实践、公安专业业务实习等多种形式。
(1)专业实验课程。包括原有方案中的“密码技术应用实验”、“微机系统与接口实验”、“计算机取证技术训练”和“计算机组成实验”,以及新增的“计算机网络实验”、“信息安全综合实验”、“网络安全实验”等。
(2)专业课程设计。在专业课教学中,由任课教师安排组织学生组成若干项目组,根据教学内容设计题目进行编程开发和系统实现。可进行“嵌入式系统设计”、“计算机网络系统设计”和“信息安全工程系统设计”等一般性课程设计,也可以进行“程序设计综合训练”、“信息安全系统软件”等大型应用软件课程设计。
(3)项目实践。引导有特长的学生参与到系部老师在研的项目中,进行实际项目开发与工程实践。
(4)科技创新。系部资助经费,鼓励学生参加程序设计大赛、电子设计大赛、嵌入式系统大赛、科技创新或发明大赛、创新或创业设计大赛、撰写学术论文等。
(5)毕业课题设计。由指导教师确定题目或结合公安实习单位相关项目,进行技术专题研究或工程设计。
(6)公安认知型实践。主要在大一和大二的暑假,要求学生参与基层派出所工作,初步了解基层公安工作,树立警察意识,培养警察职业的感性认识和适应能力。
(7)公安专业业务实习。大三和毕业实习中,深入了解公安业务,参与到网监部门工作,掌握警察执勤办案程序,并结合所学计算机犯罪侦查专业,参与到实习单位项目开发中,培养独立工作能力。
表2给出了一个计算机犯罪侦查专业的实践教学的安排。
公安大学计算机犯罪侦查实验室结合了公安专业特色,目前建了计算机基础实验室、计算机软件工程实验室、计算机硬件实验室、网络攻防实验室、计算机犯罪侦查实验室和信息安全实验室。我校信息安全工程系和安全防范系合作申请部级“电子证据实验室”,主要以我国公安、司法部门针对计算机犯罪应用的法律和技术方面相关需求为导向,开展面向电子证据取证的技术、标准、检验方法、取证模型等领域的研究。
公安大学计算机基础实验室主要完成全校计算机公共课的实验教学。计算机软件工程实验室主要面向计算机犯罪侦查系专业课学习,可进行软件工程、面向对象语言等教学实验。计算机硬件实验室为“数字逻辑实验”、“微机系统与接口实验”和“计算机组成实验”等实验教学服务。网络攻防实验室主要进行网络攻击与防御技术、计算机病毒原理与防治、入侵检测等实验教学。计算机犯罪侦查实验室主要进行计算机犯罪侦查技术、计算机犯罪取证技术和侦控、监控技术的教学实验。信息安全实验室主要为现代密码学等相关内容的教学实验服务。在申请的“电子证据实验室”将为学生可以提供计算机犯罪侦查和电子取证的综合软硬件的实验实践场所。
论文摘要:结合单位的实际,分析了现有计算机专业课程特点和不足,讨论了高师计算机专业学生开设信息安全法律法规课程的必要性、可行性,分析了信息安全技术课程、与信息安全有关法律法规课程的特点.给出了高师信息安全法律课程的教学目标定位、设置方法.
论文关键词:高师计算机专业;信息安全;法律法规课程
人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球.
网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说,面临着前所未有的机遇和挑战,这不仅因为,自己一方面要传授学生先进的网络技术,另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看,违法与不违法只是一两条指令之间的事情,更重要的是高师计算机专业学生将来可能成为老师去影响他的学生,由此可见,在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义.如何抓住机遇,研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题.本文主要结合我校的实际,就如何在高师计算机专业中开设信息安全法律课程作一些探讨.
1现有的计算机专业课程特点
根据我校人才培养目标、服务面向定位,按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路,沟通不同学科、不同专业之间的课程联系.全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类,下面仅就计算机专业课程的特点介绍.
1.1专业基础课程专业基础课是按学科门类组织的基础知识课程模块,均为必修课.目的是在大学学习的初期阶段,按学科进行培养,夯实基础,拓宽专业口径.考虑到学科知识体系、学生转专业等需要,原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同.主要内容包括:计算机科学概论、网页设计与制作、C++程序设计、数据结构、操作系统等.
1.2专业方向课程各专业应围绕人才培养目标与规格设置主要课程,按照教育部《普通高等学校本科专业目录》的有关要求,结合学校实际设置必修课程和选修课程.同时可以开设2—3个方向作为限选.学生可以根据自身兴趣和自我发展的需要,在任一方向课程组中选择规定学分的课程修读.主要内容包括:计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等.
1.3现有计算机专业课程设置的一些不足计算机技术一日千里,对于它的课程设置应该具有前瞻性,考虑到时代的变化,计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员,现有我校的计算机专业课程是针对这一目标进行设置的,但这一设置主要从技术的角度来考虑问题,没有充分考虑到:随着时代的发展,人们更广泛的使用网络、更关注信息安全这一事实,作为计算机专业的学生更应该承担起自觉维护起信息安全的责任,作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情.
2高师计算机专业学生开设信息安全法律法规的必要性和可行性
2.1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成,是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系.该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及的知识点也非常庞杂.
仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(著作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务.
高师计算机专业,虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程.但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力,只要具备这些能力且信息安全意识不强的人,都可能有意识或无意识的干出违反法律的事情,例如“YAI”这个比CIH还凶猛的病毒的编写者为重庆某大学计算机系一名大学生.由此可见,在高师计算机专业的学生中开设相关的法律法规选修课程是必要的.
2.2可行性技术与法律原本并不关联,但是在信息安全领域,技术与法律却深深的关联在一起,在全世界各国都不难发现诸如像数字签名、PKI应用与法律体系紧密关联.从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要.这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴.
根据前面对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性.
3信息安全技术课程特点
信息安全技术课程所涉及的内容众多,有数学、计算机、通信、电子、管理等学科,既有理论知识,又有实践知识,理论与实践联系十分紧密,新方法、新技术以及新问题不断涌现,这给信息安全课程设置带来了很大的难度,为使我校计算机专业学生了解、掌握这一新技术,我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课.我校本课程具有以下特点:
(1)每学期都对知识内容进行更新.
(2)对涉及到的基本知识面,分别采用开设专业课、专业选修课、讲座等多种方式,让学生了解信息安全知识体系,如有操作系统、密码学基础、防火墙技术、VPN应用、信息安全标准、网络安全管理、信息安全法律课程等.
(3)对先修课程提出了较高的要求.学习信息安全技术课程之前,都可设了相应的先行课程让学生了解、掌握,如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程.
(4)注重实践教学.比如密码学晦涩难懂的概念,不安排实验实训,不让学生亲手去操作,就永远不能真正理解和运用.防火墙技术只有通过亲手配置和测试.才能领会其工作机理.对此我们在相关的课程都对学生作了实践、实训的要求.
4涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规.
4.1目的多样性作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的.
4.2涉及领域的广泛性随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域.
4.3技术的复杂性信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求.
4.4信息安全法律优先地位综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位.
5高师信息安全技术课程中的法律法规内容教学目标
对于计算机专业或信息安全专业的本科生和研究生,应深入理解和掌握信息安全技术理论和方法,了解所涉到的常见的法律法规,深入理解和掌握网络安全技术防御技术和安全通信协议.
而对普通高等师范院校计算机专业学生来说,由于课程时间限制,不能对信息安全知识作较全面的掌握,也不可能过多地研究密码学理论,更不可能从法律专业的角度研究信息安全所涉到的法律法规,为此,开设信息安全法律法规课程内容的教学目标定位为:了解信息安全技术的基本原理基础上,初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准.如:《中华人民共和国信息系统安全保护条例》,《中华人民共和国数字签名法》,《计算机病毒防治管理办法》等.
6高师信息安全技术法律法规课程设置探讨
根据我校计算机专业课程体系结构,信息安全有关的法律法规课程,其中多数涉及信息安全技术层面,主要以选修课、讲座课为主,作为信息安全课程的补充.主要可开设以下选修课课程或讲座课程.
(1)信息安全法律法规基础讲座:本讲座力图改变大家对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题,让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规,主要内容包括:国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等.
(2)黑客攻击手段与防护策略:通过本课程的学习,可以借此提高自己的安全意识,了解常见的安全漏洞,识别黑客攻击手法,熟悉提高系统抗攻击能力的安全配置方法,最重要的还在于掌握一种学习信息安全知识的正确途径和方法.
(3)计算机犯罪取证技术:计算机取证是计算机安全领域中的一个全新的分支,涉及计算机犯罪事件证据的获取、保存、分析、证物呈堂等相关法律、程序、技术问题.本课程详细介绍了计算机取证相关的犯罪的追踪、密码技术、数据隐藏、恶意代码、主流操作系统取证技术,并详细介绍了计算机取证所需的各种有效的工具,还概要介绍了美国与中国不同的司法程序.
论文关键词:高师计算机专业;信息安全;法律法规课程
人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球.
网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说,面临着前所未有的机遇和挑战,这不仅因为,自己一方面要传授学生先进的网络技术,另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看,违法与不违法只是一两条指令之间的事情,更重要的是高师计算机专业学生将来可能成为老师去影响他的学生,由此可见,在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义.如何抓住机遇,研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题.本文主要结合我校的实际,就如何在高师计算机专业中开设信息安全法律课程作一些探讨.
1现有的计算机专业课程特点
根据我校人才培养目标、服务面向定位,按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路,沟通不同学科、不同专业之间的课程联系.全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类,下面仅就计算机专业课程的特点介绍.
1.1专业基础课程专业基础课是按学科门类组织的基础知识课程模块,均为必修课.目的是在大学学习的初期阶段,按学科进行培养,夯实基础,拓宽专业口径.考虑到学科知识体系、学生转专业等需要,原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同.主要内容包括:计算机科学概论、网页设计与制作、C++程序设计、数据结构、操作系统等.
1.2专业方向课程各专业应围绕人才培养目标与规格设置主要课程,按照教育部《普通高等学校本科专业目录》的有关要求,结合学校实际设置必修课程和选修课程.同时可以开设2—3个方向作为限选.学生可以根据自身兴趣和自我发展的需要,在任一方向课程组中选择规定学分的课程修读.主要内容包括:计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等.
1.3现有计算机专业课程设置的一些不足计算机技术一日千里,对于它的课程设置应该具有前瞻性,考虑到时代的变化,计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员,现有我校的计算机专业课程是针对这一目标进行设置的,但这一设置主要从技术的角度来考虑问题,没有充分考虑到:随着时代的发展,人们更广泛的使用网络、更关注信息安全这一事实,作为计算机专业的学生更应该承担起自觉维护起信息安全的责任,作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情.
2高师计算机专业学生开设信息安全法律法规的必要性和可行性
2.1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成,是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系.该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及的知识点也非常庞杂.
仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(著作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务.
高师计算机专业,虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程.但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力,只要具备这些能力且信息安全意识不强的人,都可能有意识或无意识的干出违反法律的事情,例如“YAI”这个比CIH还凶猛的病毒的编写者为重庆某大学计算机系一名大学生.由此可见,在高师计算机专业的学生中开设相关的法律法规选修课程是必要的.
2.2可行性技术与法律原本并不关联,但是在信息安全领域,技术与法律却深深的关联在一起,在全世界各国都不难发现诸如像数字签名、PKI应用与法律体系紧密关联.从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要.这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴.
根据前面对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性.
3信息安全技术课程特点
信息安全技术课程所涉及的内容众多,有数学、计算机、通信、电子、管理等学科,既有理论知识,又有实践知识,理论与实践联系十分紧密,新方法、新技术以及新问题不断涌现,这给信息安全课程设置带来了很大的难度,为使我校计算机专业学生了解、掌握这一新技术,我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课.我校本课程具有以下特点:
(1)每学期都对知识内容进行更新.
(2)对涉及到的基本知识面,分别采用开设专业课、专业选修课、讲座等多种方式,让学生了解信息安全知识体系,如有操作系统、密码学基础、防火墙技术、VPN应用、信息安全标准、网络安全管理、信息安全法律课程等.
(3)对先修课程提出了较高的要求.学习信息安全技术课程之前,都可设了相应的先行课程让学生了解、掌握,如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程.
(4)注重实践教学.比如密码学晦涩难懂的概念,不安排实验实训,不让学生亲手去操作,就永远不能真正理解和运用.防火墙技术只有通过亲手配置和测试.才能领会其工作机理.对此我们在相关的课程都对学生作了实践、实训的要求.
4涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规.
4.1目的多样性作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的.
4.2涉及领域的广泛性随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域.
4.3技术的复杂性信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求.
4.4信息安全法律优先地位综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位.
5高师信息安全技术课程中的法律法规内容教学目标
对于计算机专业或信息安全专业的本科生和研究生,应深入理解和掌握信息安全技术理论和方法,了解所涉到的常见的法律法规,深入理解和掌握网络安全技术防御技术和安全通信协议.
而对普通高等师范院校计算机专业学生来说,由于课程时间限制,不能对信息安全知识作较全面的掌握,也不可能过多地研究密码学理论,更不可能从法律专业的角度研究信息安全所涉到的法律法规,为此,开设信息安全法律法规课程内容的教学目标定位为:了解信息安全技术的基本原理基础上,初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准.如:《中华人民共和国信息系统安全保护条例》,《中华人民共和国数字签名法》,《计算机病毒防治管理办法》等.
6高师信息安全技术法律法规课程设置探讨
根据我校计算机专业课程体系结构,信息安全有关的法律法规课程,其中多数涉及信息安全技术层面,主要以选修课、讲座课为主,作为信息安全课程的补充.主要可开设以下选修课课程或讲座课程.
(1)信息安全法律法规基础讲座:本讲座力图改变大家对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题,让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规,主要内容包括:国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等.
(2)黑客攻击手段与防护策略:通过本课程的学习,可以借此提高自己的安全意识,了解常见的安全漏洞,识别黑客攻击手法,熟悉提高系统抗攻击能力的安全配置方法,最重要的还在于掌握一种学习信息安全知识的正确途径和方法.
(3)计算机犯罪取证技术:计算机取证是计算机安全领域中的一个全新的分支,涉及计算机犯罪事件证据的获取、保存、分析、证物呈堂等相关法律、程序、技术问题.本课程详细介绍了计算机取证相关的犯罪的追踪、密码技术、数据隐藏、恶意代码、主流操作系统取证技术,并详细介绍了计算机取证所需的各种有效的工具,还概要介绍了美国与中国不同的司法程序.
关键词: 计算机网络 教学改革 考试改革 仿真平台 协议分析
随着工业化、信息化程度的不断提高,计算机网络在社会生产、生活各领域发挥越来越重要的作用。很多行业在选用网络相关技术人才时考核学生掌握的网络基本知识、基本原理掌握程度及网络规划、建设、管理、运维能力,这就为高校应用型人才培养提出明确目标。
1. “计算机网络”考试改革提出的背景
适应网络新技术与新应用带来的新形势,为维护网络社会稳定、打击网络违法犯罪,公安院校需要为网络警察实战部门培养后备军。互联网是网络警察执法的工作阵地,需要学生在校期间系统、扎实地掌握网络协议、工程、应用相关知识和技能,才能胜任日后在网络环境下从事公共信息网络安全监管、信息监控、攻击防御、侦查取证等执法工作。加强计算机网络课程教学的课程改革和实战训练是实现网络保卫执法技术专业人才培养目标的重要手段。
1.1 课程定位
“计算机网络”是网络安全保卫执法技术专业的专业基础课、必修课,在大学二年级春季学期开设。网络知识的理解和实践,既为学生继续学习网络安全、信息对抗、网络犯罪侦查等专业课提供支撑,又为学生在网络环境下从事公共信息网络安全监管、信息监控、攻击防御、侦查取证提供支撑 [1]。
1.2 教学内容及组织形式
“计算机网络”课程主要讲授互联网体系结构、网络建设及网络应用。通过课程学习,学生可以系统理解网络通信协议,掌握网络规划、设计、建设及运维,精通协议通信处理过程及相关网络设备组件特性,灵活利用TCP/IP参考模型知识指导解决网络安全保卫、计算机犯罪侦查工作中碰到的疑难问题。即学生对于计算机网络的学习,应当理论与实践并重,理解网络工作原理和网络工程项目实践并重。
然而,“计算机网络”课程的知识体系繁杂、互联网协议工作原理深奥难懂、实践能力培养对路由器、交换机、服务器等硬件依赖性强。为此,在教学改革过程中提出基于“教学练战一体化”的计算机网络教学设计,如下图所示。
2.考试改革的目的
2.1原有考试存在的弊端
考试是检验教学质量和效果的重要手段。传统的“期末闭卷笔试”已经不适应教学练战一体化教学模式下的计算机网络课程的考核,原因分析如下:
2.1.1将考试时间安排在期末,即所有教学内容已经完成,考试目的只是检测“教”与“学”的最终效果,虽然阅卷过程中教师可以统计分析学生对教学重点、难点的掌握程度,但因为课程已经结束,无法及时反馈学生学习效果,不能良性促进课堂教学内容、手段、方法的调整。
2.1.2采用闭卷、笔试考试形式[2][3],测试内容偏重理论及理论的运用,导致学生忽视平时积累、考前集中突击背诵,无法实现“养成素质、掌握知识、精通能力”的培养目标。
2.1.3纸质试卷无法检验“练”和“战”的效果。在教学过程中,学生要借助Packet Tracer仿真软件,Wireshark协议分析软件及硬件路由器、交换机等工具积累网络规划设计、运维管理能力。这些知识和技能的掌握程度无法通过一张纸质试卷检测和评定。
2.2考试改革的目的
考试改革的出发点在于加强理论与实践的结合,使学生通过实际动手操作,更深入地理解和掌握理论知识,灵活运用网络原理解决网络组建、应用过程中遇到的问题,这一考试改革的出发点符合公安院校应用型人才要“精于实战”的培养目标。
3.考试改革的内容与组织形式
为充分发挥考试的检验与反馈作用,“计算机网络”课程考试改革设置课堂作业、实验实训、期中测试、课程论文、上机测试五个考核环节,占比权重分别为10%、10%、20%、10%、40%。具体分析如下:
3.1课堂作业考评
课堂作业考评重点检测学生对单元知识点的理解和掌握程度。教师随堂布置作业,题目设计要紧扣教学重点和难点。通过学生的作业完成情况,教师可以及时调整教学安排,对于作业中的共性问题通过重点讲解,结合案例深入剖析,使学生克服畏难心理,将理论部分扎实掌握。
3.2实验实训考评
实验实训考评重点检测学生对软硬件实验平台的熟悉程度,考核学生网络规划、设计、组建、故障诊断与维护网络的能力。通常“计算机”网络课一学期有四个实验实训项目,教师指导完成其中的两个验证性实验。另外一个设计型实验和一个综合型实验列入考试改革考评、教师引导,学生以小组形式根据设定的网络情境,进行组网方案设计和故障诊断排除,考评侧重于方案设计、团队组织分工、网络性能评价等指标。
3.3期中测试
期中测试安排在期中教学检查周随堂进行,考核前半学期的教学重点,主要评估学生对基本知识和原理的掌握程度。期中测试以笔试闭卷或开卷形式进行,题目难度应适中或稍微增加难度。增加该环节,可以及时有效地反馈学生学习效果,提高学习主动性,坚持预习、学习、复习不间断。
3.4课程论文
增加课程论文的目的是鼓励学生在学习掌握现有网络理论体系的基础上,跟踪网络新技术与新应用的发展,探讨前沿技术及应用在公安信息化、网络安全保卫执法领域应用的现状与趋势。
3.5上机测试
基于仿真的上机测试是安排在学期末进行的综合考试,在整个考评环节中占比最大,为40%,重点考核案例分析能力、发现问题解决问题的能力。结合培养方案和教学大纲的要求,上机测试设计三个大的题目,分别考评学生网络工程、协议分析、网络原理及应用的综合知识和技能。
3.5.1网络工程题要求学生根据题目设定的情境,进行局域网组网方案设计、规划IP地址;在Cisco Packet Tracer仿真平台上进行路由器、交换机、服务器设备选型,按照规划的网络进行网络设备联网和调试;分析网络连接状态,完成故障诊断;最终在实现网络连接、设备互联互通。测试学生网络工程实践能力。
3.5.2协议分析题是对于特定环境下的网络捕包文件进行分析,使用Wireshark软件对应用层、传输层、网络层、网络接口层协议数据单元进行还原,从中提取出关键信息,测试学生根据捕获数据流重现通信主机IP地址、使用账号密码、使用的软件名称、传输数据内容等网络行为的能力。
3.5.3网络原理及应用题目属于综合性题目,从网络应用协议的工作原理、解释网络服务工作过程中遇到的应用现象出发,内容覆盖了教学大纲中的多个知识点,这部分题目实际是考查学生理论联系实际,并灵活运用理论指导实践、解决实践中遇到问题的能力。
4.考试改革实践
我校2006年建立计算机网络硬件实验室,实践教学增加了交换网络、路由网络、服务器搭建、协议分析等实验。2010年在教学中引入Cisco Packet Tracer仿真工具辅助学生课下自主学习。近年来,在教学练战一体化教学模式下的“计算机网络”改革过程中,为科学评价学生的学习质量和效果,不断调整完善考试改革内容、方法和组织形式,最终形成课堂作业、实验实训、期中测试、课程论文、上机测试五个考核环节。根据连续两年实施考试改革的实践效果,对480名学生进行听课状态、作业质量、实践能力、考试分数,以及学生学习其他专业课的知识储备能力方面进行跟踪评估,可以肯定该考试改革极大地调动了学生学习的主动性、创造性。学生能够扎实掌握计算机网络基础知识和技能,灵活运用网络知识和技能解决后续课程学习中遇到的困难。
5.结语
本文提出考试改革,采用多种形式对学生学习阶段全过程考核,可以检验课程“教”“学”“练”“战”的效果,理论与实践相结合,提高学生学习的积极性、主动性,真正提高教学质量。
参考文献:
[1]黄淑华. 网络仿真工具在警务实训中的应用研究与实践.警察技术,2012(4).
【关键词】计算机,网络安全,威胁,维护措施
中图分类号:TN711 文献标识码:A 文章编号:
一.前言
知识经济是现代经济发展的重要趋势之一,掌握了信息便掌握了各种竞争力,掌握着主动权,。在知识信息时代,各种各数据信息在国家经济的发展,政治的稳定,社会的和谐和人们生活水平的提高中都扮演着越来越重要的角色。在计算机网络技术广泛被应用到各个领域的同时,也有越来越多的人逐渐认识到整个网络安全管理的重要意义。在信息时代,计算机网络技术在广泛运用的同时,也因为各种原因面临着破坏或者是数据的丢失,不仅仅严重妨碍了整个信息系统的安全和其功能的正常发挥,比如设备故障,数据丢失,操作人员失误,数据库受到病毒侵袭等,在造成整个信息系统无法正常使用的同时,对一些核心数据也有着泄露的风险,带来巨大的经济损失,随着计算机网络的逐渐推广,加强对信息的安全管理,提高操作人员的专业技能,规范操作,从设备等各个方面,加强安全控制,保证整个计算机网络系统的安全运行。
二.计算机网络安全所面临的威胁分析
1.操作中存在问题
在操作过程中国,主要是体现在操作系统中存在的问题,比如各种病毒,数据和操作系统的关联等。主要体现几个方面。第一,各种病毒会使得数据库中存在很多的安全隐患,比如特洛伊木马程序能够从操作系统中,利用操作系统和数据库的关联性,很大程度的威胁到整个数据库的安全性,比如,特洛伊木马程序会更改入住程序的密码,使得程序的信息密码安全被入侵者威胁。第二,在整个操作系统的后面,由于数据库的相关参数使得管理更方便管理,但是也因此使得数据库的服务主机上容易出现各种后门,这些后门也为各种入侵的黑客提供了方便。
2.安全管理力度不够,管理缺乏规范性
在计算机网络的使用过程中,对计算机网络的安全管理缺乏重视,对计算机网络安全管理的意义没有能够真正深入了解,从而,在使用计算机网络时候,操作不规范,各种安全管理措施没有能够得到贯彻落实。比如,在数据库管理过程中,安全管理人员没有按照规定定期对数据库补丁进行修复,对数据库服务器的访问权限没有做出较好设置等,这些不规范的操作都使得整个数据库系统时刻都面临着各种风险的侵袭,比如,如果数据库管理人员几个月都没有对补丁进行修复,则随时会让数据库处于漏洞状态,为各种病毒,黑客的入侵大开了方便之门。笔者多年计算机数据库安全管理经验而言,在计算机网络的安全管理中,很大程度上,各种风险都是因为计算机网络系统中存在的安全漏洞没有得到修复,或者是太过简单的登陆密码很久没有进行修改造成的。计算机网络系统的使用人员缺乏安全意识,风险控制常识缺乏,这是整个计算机网络面临着很大威胁最为关键的原因之一。
3.计算机网络系统自身存在缺陷
在我国,计算机网络技术的推广应用已经有了比较长的时间了,理论上,各种产品和系统也较为成熟,特性也比较强大,但是,在具体实际操作中,现在广泛使用的计算机网络技术中那些比较强大的特性没有能够真正的显现出来,比如安全性能,在整个系统中远远难以满足需求。总的而言,现在的各种计算机网络系统在成熟度上依然缺乏。
4. 人为的恶意攻击
这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏
三.计算机网络安全管理措施分析
1.加强访问控制和识别
(一)加强用户标识的识别和鉴定
在计算机网络系统中,系统会对用户的标识做出识别和鉴定,这是整个计算机网络系统安全保护最基本的措施之一。经过几十年的发展,用户标识的识别鉴定已经有了多种方法,比如,用户用身份证来验证,或者是通过身份证来回答验证口令,或者随机进行数据运算回答等等,因此,要据计算机网络系统的实际情况作出科学合理的选择。也可以在同一个系统中同时使用多种鉴别方法,如此,可以很大程度的提高整个系统的安全性。
(二)加强访问控制
在计算机网络系统安全管理中,要能够使得系统能够满足用户的访问,加强安全控制,这是整个系统安全管理的重要措施之一。加强对计算机网络系统的访问控制便可以限制一些非法用户进行破坏,或者是越权使用一些受到保护的网络资料,通过严格的访问控制,使得对数据的输入,修改,删除等各个环节都有着严格的规范,防止没有授权的用户访问,保证整个系统信息的机密性和安全性。
2.物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
3. 防火墙控制
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进 / 出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
四.结束语
计算机网络的安全管理是整个信息系统安全管理的重要组成部分,在安全管理的各个环节中,最关键的是减少各种风险和威胁,避免各种来自外部风险的威胁,很多类型的威胁和风险是无法彻底消除的,那就需要采取有效的措施,对各种可能发生风险的环节做出强有力的控制,以减少对企业核心数据库的威胁和破坏要从多方面进行,不仅仅要不断研发计算机网络安全技术,也要采用先进合理的系统设备,并加强对操作人员的专业技术培训,规范操作,利用网络安全技术将整个计算机网络的安全管理纳入到规范管理范围,促进整个计算机网络安全性能的提升,保证数据安全,实现良好的社会经济效益。
参考文献:
[1]于柏仁 张海波 浅析计算机网络安全的威胁及维护措施 [期刊论文] 《中小企业管理与科技》 -2008年29期
[2]张瑞娟 新网络环境下的计算机网络安全思考 [期刊论文] 《科技广场》 -2011年11期
[3]李尹浩 计算机网络安全的威胁及维护措施 [期刊论文] 《中国科技纵横》 -2010年11期
[4]庄伟 维护计算机网络安全的措施研究 [期刊论文] 《中国科技财富》 -2010年4期
[5]刘晓明 宋吉亮 论辽宁省地方税务系统计算机网络安全 [会议论文]2008 - 2008全国税务信息化技术应用与建设成果交流论坛
论文摘要:内部控制关系到企业财产物资的安全完整,关系到会计系统对企业经济活动反映的正确性和可靠性,本文从计算机会计系统的系统开发,发展控制为出发点,详细论述了电算化会计的日常控制。
1 强化电算化会计系统的内部控制势在必行
计算机的使用改变了企业会计核算的环境 企业使用计算机处理会计和财务数据后,企业的会计核算的环境发生了很大的变化,会计部门的组成人员从原来由财务、会计专业人员组成,转变为由财务、会计专业人员和计算机数据处理系统的管理人员及计算机专家组成。会计部门不仅利用计算机完成基本的会计业务,还能利用计算机完成各种原先没有的或由其他部门完成的更为复杂的业务活动。
电算化会计系统改变了会计凭证的形式 在电算化会计系统中,原先的书面形式的资料减少了,有些甚至消失了。由于电子商务、网上交易、无纸化交易等的推行,每一项交易发生时,有关该项交易的有关信息由业务人员直接输入计算机,并由计算机自动记录,原先使用的每项交易必备的各种凭证、单据被部分地取消了,原来在核算过程中进行的各种必要的核对、审核等工作有相当一部分变为由计算机自动完成了。原来书面形式的各类文件、现在储存在磁性介质上,因此,电算化会计系统的内部控制与手工会计系统的内部控制制度有着很大的不同,控制的重点由对人的控制为主转变为对人、机控制为主,控制的程序也应当与计算机处理程序相一致。
计算机的使用提高了控制舞弊、犯罪的难度 随着计算机使用范围的扩大,利用计算机进行的贪污、舞弊、诈骗等犯罪活动也有所增加,由于储存在计算机磁性媒介上的数据容易被篡改,未经授权的人员有可能通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的数据。计算机犯罪具有很大的隐蔽性和危害性,因此,电算化会计系统的内部控制不仅难度大、复杂,而且还要有各种控制的计算机技术手段。
2 电算化会计系统的内部控制要体现在工作的全过程
系统开发、发展控制。计算机会计系统的系统开发、发展控制包括开发前的可行性研究、资本预算、经济效益评估等工作,开发过程中系统分析、系统设计、系统实施等工作,以及对现有系统的评估、企业发展需求、系统更新的可行性研究、更新方案的决策等工作。系统开发、发展控制的主要内容一般包括以下几方面。
①授权和领导认可。认可和授权,计算机会计系统的开发项目一般投资金额都比较大,对企业整体管理目标的影响也比较大,往往需要对原有的管理体制进行较大的改革,是牵一发动全身的重大举措,因此必需得到授权和领导认可。
②符合标准和规范。计算机会计系统的开发和发展项目,不论是自行组织开发还是购买商品化软件,都必需遵循国家有关机关和部门制订的标准和规范。其中包括符合标准和规范的开发和审批过程、合格的开发人员或软件制造商、系统的文件资料和流程图、系统各功能模块的设计等等。
③人员培训。计算机会计系统应在开发阶段就要对使用该系统的有关人员进行培训,提高这些人员对系统的认识和理解,以减少系统运行后出错的可能性。外购的商品化软件应要求软件制作公司提供足够的培训机会和时间,在系统运行前对有关人员进行的培训,不仅应包括系统的操作培训,还应包括对运行流程,内部控制等多方面的培训。
④系统转换。新的计算机会计系统在投入使用,替换原有的手工会计系统或旧的计算机会计系统,必需经过一定的转换程序。企业应在系统转换之际,采取有效的控制手段,作好各项转换的准备工作,企业在系统转换购买自行开发相关系统后,应运行一段时间,以便检验新的计算机会计系统。运行的时间一般至少为三个月。
⑤程序修改控制。企业经营活动变化及经营环境变化,可能导致使用中的软件进行修改,对会计软件进行修改必须经过周密计划和严格记录,修改过程的每一个环节都必须设置必要的控制,计算机会计系统的操作人员不能参与软件的修改,所有与软件修改有关的记录都应该打印后存档。
管理控制 管理控制是指企业建立起一整套内部控制制度,以加强和完善对计算机会计系统涉及的各个部门和人员的管理和控制。管理控制包括组织机构的设置、责任划分、上机管理、档案管理、设备管理等等。
①组织机构设置。企业实现了会计电算化后,应对原有的组织机构进行适当的调整,以适应计算机会计系统的要求。企业可以按会计数据的不同形态划分,也可以按会计岗位和工作职责划分岗位。组织机构的设置必须适合企业的实际规模和企业总体经营目标,并且应按精简、合理的原则对组织机构的设置进行成本效益分配。
②职责划分。内部控制的关键之点就在于不相容职务的分离,计算机会计系统与手工会计系统一样,对每一项可能引起舞弊或欺诈的经济业务,都不能由一个人或一个部门经手到底,必须分别由几个人或几个部门承担。企业为防止舞弊或欺诈。应建立一整套符合职责划分原则的内部控制制度,同时,还应建立起职务轮换制度。
③上机管理。企业用于计算机会计系统的计算机应尽可能是专用的,企业应对计算机的使用建立一整套管理制度,以保证每一个工作人员和每一台计算机都只做其应该做的事情。
④档案管理。计算机会计系统有关的资料应及时存档,企业应建立起完善的档案制度,加强档案管理。
⑤设备管理。对于用于计算机会计系统的各种硬件设备,应当建立一套完备的管理制度以保证设备的完好,保证设备能够正常运行。硬件设备的管理包括对设备所处的环境进行的温度、湿度、防火、防雷击、防静电等的控制,也包括对人文环境的控制,如防止无关人员进入计算机工作区域、防止设备被盗、防止设备用于其他方面等。
日常控制。日常控制是指企业计算机会计系统运行过程中的经常性控制。日常控制包括经济业务发生控制、数据输入控制、数据通讯控制、数据处理控制、数据输出控制和数据储存控制等。
①业务发生控制。业务发生控制又称“程序检查”,主要目的是采用相应的控制程序,甄别、拒纳各种无效的、不合理的及不完整的经济业务。
②数据输入控制。由于计算机处理数据的能力很强,处理速度非常快,如果输入的数据不准确,处理结果就会出现差错,在数据输入时如果存在哪怕是很小的错误数据,一旦输入计算机就可能导致错误的扩大化,影响整个计算机会计系统的正常运行。因此,企业应该建立起一整套内部控制制度以便对输入的数据进行严格的控制,保证数据输入的准确性。
③数据通讯控制。数据通讯控制是企业为了防止数据在传输过程中发生错误、丢失、泄密等事故的发生而采取的内部控制措施。企业应该采用各种技术手段以保证数据在传输过程中的准确、安全,可靠。
④数据处理控制。数据处理控制是指对计算机会计系统进行数据处理的有效性和可靠性进行的控制。数据处理控制分为有效性控制和文件控制。
⑤数据输出控制。数据输出控制是企业为了保证输出信息的准确、可靠而采取的各种控制措施。输出数据控制一般应检查输出数(上接第90页)
关键词:高校;财务;信息化;内控分析
中图分类号:G475 文献标识码:A 文章编号:1001-828X(2013)06-0-01
一、高校财务信息化管理和内部控制概述
高校财务信息化主要是指高校的财务业务流程利用计算机技术和网络技术以及数据库技术通过系统化的管理模式,利用财务信息平台整合财务信息,为高校的运营觉得、战略决策和管理决策提供准确有效的财务信息。高校财务管理信息化系统会直接影响到内部控制系统。财务信息内部控制是财务管理者为了保护财务信息而组织的资产安全系统,只有通过内部控制系统保证财务信息的完整性和安全性,才能促进财务管理政策得以有效实施。高校财务信息化管理的内部控制系统主要由控制环境、风险评估、控制活动、信息与沟通、监控等五个基本部分构成。高效的财务管理信息化建设能够为高校财务信息奠定良好的基础,而成功的内部控制,是保证财务资产安全完整的前提。并且实现财务信息共享和信息整合,促进财务管理与高校管理的现代化。成功的内部控制,可以保证财务管理信息化的高效实施和企业经营目标的顺利实现。
二、高校财务信息化中内部控制系统的构建
随着信息技术和网络技术的应用和发展,给高校财务信息化的内部控制系统注入了新的内涵和血液。使得财务内部控制成为系统安全保障和稽核牵制相结合的控制体制。财务内部控制系统一般来说可以分为系统控制和管理控制两大类:
1.系统控制:主要是指财务信息系统的程序设计和数据处理以及运行维护的过程,同时还包括网络维护和系统检测的控制制度。通过系统控制实现高校财务管理信息化管理和内部控制相结合。
2.管理控制:主要是指通过运用现代化的管理学知识中的组织规划和资源整合等技术,制定财务业务流程、业务程序和岗位职责分工等一系列的财务内部管理制度。使得财务管理信息实现资源的优化配置。
三、高校财务信息化中实现合理内控的对策
1.在财务信息管理中建立科学合理的风险评估体系
高校为了适应财务内控环境的改变,需要完善和制定相关的财务内部控制制度。同时培养高校财务系统整体的信息技术能力。在财务管理信息化的形势下,建立科学合理的风险评估体系。通过风险评估体系将财务的流程控制、系统控制和管理控制的数据结果进行统计和汇总,继而对统计和汇总的结果进行分析。同时再结合高校的财务资源和外部环境进行内控的风险评估,为高校内控决策提供科学依据,还可以建立相应的风险评估反馈机制。
2.加强对财务信息系统的全面控制
一个有效的财务内控制度需要及时对财务数据进行检查纠错和预防,在信息技术和网络技术的双重环境下,广泛使用信息技术和网络技术为财务信息的决策和信息资源整合过程提供了战略机会,也提供了预防和纠错的机会。随着计算机在财务工作中的广泛使用,财务管理部门对计算机产生的各种数据和财务报表信息越来越依赖。但是计算机也并不是万无一失的,计算机病毒会攻击篡改计算机内部的重要数据,所以要对计算机中的财务信息进行严格的控制和核对,这就要求加强财务信息系统的全面控制,及时发现并纠正系统的运行错误。这样才能保证财务信息数据的可靠性和准确性,同时也能控制计算机犯罪的可能性。
3.对财务信息系统进行定期的评估和更新
在信息化财务管理过程中,需要及时准确的获取来自高校的内部财务数据和外部财务数据,同时在内部进行有效的沟通,使财务工作人员有效的获取相关控制信息和要履行的责任。财务内部控制的信息化使得财务内部控制具有一定的依赖性,随之也增加了差错发生的可能性。网络技术的应用,使得财务系统的内部控制有人工控制和程序控制相结合的特点。在这样的情况下,更应该注意财务系统内部控制的监督和完整,由专门的工作人员定期及时评估内部控制的设计和运作情况。一般来说新技术带给人们的方便快捷使得大部分人们没有完全意识到其自身存在的风险,所以财务信息内部控制系统必须要进行定期的评估和更新,控制系统程序和高校的具体环境息息相关,当新的业务和信息流程提出后,控制目标应当保持不变,但为达到该目标的具体控制措施必须改变,以适应新的形势,不要让财务信息化内部控制程序限制财务管理更加有效的运行。
结束语
信息技术和网络技术的应用使得财务内部控制框架得以完善和改进,同时财务信息系统也发生着新的变化。而高校财务管理系统作为支持高校发展的关键动力,也要随之改变高校的财务管理环境和内部控制理念,不断提高财务内部控制效率,增强财务内部控制效果。要知道高科技在给财务管理过程带来新机会的同时也存在着潜在的风险,所以财务管理人员要充分认识到这些风险,并且在必要的时候采取合理科学的应对措施。只有这样才能让财务信息化的内部控制系统在一个良好的平台上继续发展。
参考文献:
[1]樊维宁.高校财务信息化集中与内部控制[J].湘潭大学学报(哲学社会科学版),2006(04).
[2]荆华.网络环境下会计信息系统的内部控制研究[J].全国商情,2008(11).
论文摘要:本文就会计电算化对会计信息的影响以及如何提高会计信息的质量问题进行了探讨。在提高会计信息质量方面,应从软件方面着手保证会计信息的完整性和可用性;建好内部控制制度,保证会计信息的保密性和安全性;提高会计人员素质,做好会计基础工作。
由于会计电算化是一项系统工程,在发展过程中有许多工作要做,有许多问题要及时解决,否则将严重阻碍我国会计电算化向更深层次的发展。下面就当前我国会计电算化进程中必须重视和需要解决的几个问题进行探讨。
1目前我国会计电算化工作中存在的问题
1.1会计信息的完整性和可用性还不够完善
1.1.1会计电算化未能站在企业管理信息化的高度进行研究。因过分注意软件的会计核算功能,而轻视了财务管理和控制、决策功能。会计软件相对于传统的思维方式,模拟手工核算方法,缺少管理功能。财务系统大多以记账凭证输入开始,经过计算机处理,完成记账、算账、报账等工作,并局限在财务部门内部。目前流通的会计核算软件大多功能在提高财务信息系统的范畴,只能完成事后记账、算账、报账以及提供初级管理功能,不具有事前预测、事中控制、事后分析决策等管理会计功能。近年来虽然倡导发展管理型会计软件,但由于各种原因,一般只从财务管理的要求出发,未能达到较为理想的效果。
1.1.2会计信息系统与企业管理信息系统未能有机结合。会计信息系统不仅与生产、设备、采购、销售、库存、运输、人事等子系统脱节,而且会计软件内部各子系统也只以转账凭证的方式联系。从而造成数据在内外子系统之间不能共享,信息不能通畅,既影响财务管理功能的发挥,又不能满足企业对现代化管理的需要。在综合的企业管理信息系统中会计子系统应该从其他业务子系统获取诸如成本、折旧、销售、工资等原始数据,提高数据采集效率和管理能力各业务子系统也应从财务子系统取得支持,但由于各自独立发展,互相之间不能实现数据共享,往往一个子系统的打印输出成了另一个子系统的键盘输入。许多商品化会计软件在开发时,没有统一规划,而是采用单项开发,再通过“转账凭证”的方式传递各种数据,未能形成一个有机的整体,各个核算模块是彼此孤立的“孤岛”。
1.1.3会计信息系统仍然是个封闭式的系统。会计系统的开放性除了体现在企业内部各子系统之间的信息共享之外,更体现在会计向外界披露信息的内容和方式上。但目前会计信息系统既不能通过Internet网络向股东财务报表等综合信息和明细信息,也不能通过网络直接向税务、财政、审计、银行等综合管理部门提供信息,更不能有选择地披露相关的人事、技术、设备以及股东所关心的其他信息。此外,普遍存在支持跨网集团的多方业务,使财务信息资源的价值得不到充分利用。
1.2会计信息的保密性和安全性较差
会计电算化是建立在计算机网络技术和安全技术等信息技术基础之上的,会计信息是以足够的安全技术为保障,以一定的计算机硬件支撑。在相应的软件管理下在网络中流通、存储和处理,并最终以人们需要的形式变现出来。随着计算机应用的扩大,利用计算机进行贪污、舞弊、诈骗等犯罪现象屡见不鲜。在会计电算化环境下,会计信息以各种数据文件的形式记录在磁性存储介质上,这些存储介质上的信息机器可读形式存在的,因此很容易被复制、删除、篡改,而不留下任何痕迹。数据库技术的高度集中,未经授权的人员可以通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的财务数据。可见会计电算化犯罪是一种高科技、新技术下的新型犯罪,具有很大的隐蔽性和危害性,使会计信息安全风险大大增加。
1.3会计人员计算机操作业务素质较低
目前,不少单位的电算化人员是由过去的会计、出纳等经过短期培训而来,他们在使用微机处理业务的过程中往往很多是除了开机使用财务软件之外,对微机的软硬件知识了解甚少,一旦微机出现故障或与平常见到的界面不同时,就束手无策,即使厂家在安装会计软件时都作了系统的培训,但一些从未接触过计算机的会计人员入门还是很慢,而且在上机时经常出现误操作,一旦出错,可能就会使自己很长时间的工作成果付诸东流,使系统数据丢失,严重的导致系统崩溃,这种低素质的会计人员是不能胜任会计电算化工作的。
2改进会计电算化工作的对策
2.1要解决人们对会计电算化的思想认识问题
我国电算化事业起步较晚,人们的思维观念还未充分认识到电算化的意义及重要性。多数单位电算化都是应用于代替手工核算,仅仅是从减轻会计人员负担、提高核算效率方面入手,根本未认识到建立完整的会计信息系统对企业的重要性,使现有会计提供的信息不能及时、有效地为企业决策及管理服务。
2.2要做好管理基础工作,尤其是会计基础工作
管理基础主要指有一套比较全面、规范的管理制度和方法,以及较完整的规范化的数据;会计基础工作主要指会计制度是否健全,核算规程是否规范,基础数据是否准确、完整等,这是搞好电算化工作的重要保证。因为计算机处理会计业务,必须是事先设置好的处理方法,因而要求会计数据输入、业务处理及有关制度都必须规范化、标准化,才能使电算化会计信息系统顺利进行。没有很好的基础工作,电算化会计信息系统无法处理无规律、不规范的会计数据,电算化工作的开展将遇到重重困难。管理人员的现代化管理意识,在整个企业管理现代化总体规划的指导下做好会计电算化的长期、近期发展规划和计划并认真组织实施,重新调整会计及整个企业的机构设置、岗位分工,建立一系列现代企业管理制度,提高企业管理要求。还要修改扩建机房,选购、安装、调试设备,自行开发或购买会计软件,培训会计电算化人员,进行系统的试运行等等工作。以上所列的各项工作必须做好,否则电算化会计系统将不能正常工作,有损于会计电算化的整体效益并使其不能深入持久地开展下去,会计和企业管理现代化将无法实现。
2.3要加强会计信息系统的安全性、保密性
财务上的数据往往是企业的绝对秘密,在很大程度上关系着企业的生存与发展。但当前几乎所有的软件系统都在为完善会计功能和适应财务制度大伤脑筋,却没有几家软件公司认真研究过数据的保密问题。数据保密性、安全性差。为了对付日益猖獗的计算机犯罪,国家应制定并实施计算机安全法律,在全社会加强对计算机安全的宏观控制,政府主管部门还应进一步完善会计制度,对危害计算机安全的行为进行制裁,为计算机信息系统提供一个良好的社会环境。对于重要的计算机系统应加电磁屏蔽,以防止电磁辐射和干扰。制定计算机机房管理规定,制定机房防火、防水、防盗、防鼠的措施,以及突发事件的应急对策等。
必要的内部控制:在电脑网络环境下,某些内部人员的恶意行为及工作人员的无意行为都可能造成会计信息的不安全性,因此建立内部控制制度是必要的。第一,实行用户权限分级授权管理,建立网络环境下的会计信息岗位责任。第二,建立健全对病毒、电脑黑客的安全防范措施。第三,从电算化网络软件的设计入手,增加软件本身的限制功能。第四,建立会计信息资料的备份制度,对重要的会计信息资料要实行多级备份。第五,强化审计线索制。第六,建立进入网络环境的权限制。
增强网络安全防范能力:网络会计实现了会计信息资源的共享,但同时也将自身暴露于风险之中,这些风险主要来自泄密和网上黑客的攻击等。为了提高网络会计信息系统的安全防范能力应采用一些措施,例如采用防火墙技术、网络防毒、信息加密存储通讯、身份认证、授权等。
加强数据的保密与保护:在进入系统时加一些诸如用户口令、声音监测、指纹辨认等检测手段和用户权限设置等限制手段,另外还可以考虑硬件加密、软件加密或把系统作在芯片上加密等机器保密措施和专门的管理制度,如专机专用、专室专用等。加强磁介质载体档案的管理:为确保档案的真实性和可靠性,实行纸质档案和新型载体档案双套保管,并逐渐向完全保管新型磁介质载体过渡。
总之,我国会计改革已迈出了稳健、有序的步伐,并取得了辉煌成就。但是,由于会计属于上层建筑范畴,其在观念、理论、方法等方面均应随着客观经济环境的变化而不断改革、发展和完善。在网络时代,要使我国的会计电算化工作能够健康的发展,我们必须从理论上和实践上进行认真的探讨。21世纪的会计应该是一个以信息技术为中心的崭新会计,而不是一个修修补补的会计。新晨:
参考文献
[1]常剑峰.电算化会计信息系统的数据库控制方法[J].中国会计电算化,2003(11).
[2]张卫.网络会计的信息安全与防范[J].市场周刊.商务,2004(12).
论文关键词:金融信息系统金融信息化信息安全安全模型
1.我国金融信息化的产生和发展
中国的金融电子化建设开始于20世纪70年代,在80年代中期,由中国人民银行牵头成立了金融系统电子化领导小组,经过大量的调查研究,制定了金融电子化建设规划和远期发展目标;‘六五’做准备,‘七五’打基础,‘八五’上规模,‘九五’基本实现电子化。在最近的二三十年,我国的金融电子化建设经历了重要的、具有历史意义的四个发展阶段:第一阶段,大约70年代末到80年代,银行的储蓄、对公等业务以计算机处理代替手工操作;第二阶段,大约从80年代到90年代中,逐步完成银行业务的联网处理;第三阶段,大约从90年代初到90年代末,实现全国范围的银行计算机处理联网,互联互通,支付清算和业务管理、办公逐步实现计算机处理;第四阶段,从现在开始,完成业务的集中处理,利用互联网技术与环境,加快金融创新,逐步开拓网上金融服务,包括网上银行、网上支付等。科学技术是第一生产力。当人类走进21世纪时,步入了以网络、信息技术为特征的知识经济时代。在这一发展机遇面前,我国金融业也同时面临着加入世界贸易组织后更广阔的市场和来自发达国家同行业更严竣的竞争压力。金融信息化是我国金融业的必然选择。金融行业是国民经济的重要组成部分,是现代市场经济的核心,金融信息化是国家信息化中至关重要的、不可缺少的一环。金融信息化既是金融业本身为提高其竞争能力、降低经营成本、提高服务质量以应对日益激烈的市场竞争的内在要求,同时也是悦务、海关、贸易和电子商务等国民经济信息化的基础。金融信息化不仅实现了业务处理自动化和办公自动化、经营网络化,更进一步为监管电子化、管理和决策的科学化提供强有力的支持,同时也是金融服务创新、制度创新坚实的技术基础。
2金触信息系统的安全
安全是金融信息系统的生命。在金融信息系统日益发展,信息越来越向上集中,规模越来越大,金融业对它的依赖性不断增加的同时,金融信息化系统安全的重要性也与日俱增。它关系到金融机构的生存和经营的成败,所以,应把金融信息化系统的安全视同资金的安全一样,看作是金融机构的生命。金融信息系统的安全不仅是金融行业本身的问题,它与我国的经济安全、社会安全和国家安全紧密相连,是保障金融业稳定发展、增强竞争力和生存能力的重要组成部分,金融信息系统的安全已成为我国金融信息化建设中具有战略意义的关键问题。
据英国PA咨询集团公司调查,在20世纪末的5年中,电脑诈骗每年使英国银行损失40-50亿英镑,美国每年因计算机犯罪造成银行损失也多达55亿美元,德国银行每年因此损失约50亿美元。在我国,自从1986年7月发生首例金融计算机犯罪以来,发案率逐年上升,给银行造成了巨大的损失。仅1997,1998两年,四家国有商业银行就发生了141起计算机犯罪案件,涉案人员166人,涉案金额16129万元,造成经济损失5853万元。朱铭基同志在扬州发生的一起利用遥控发射装置浸入银行电脑系统,盗取巨款的案件报告上批示:“这是一个信号,我们的银行家要抓电脑技术,不能落在犯罪分子的后面’。
2.1信息系统面临的威胁和攻击手段
信息安全从技术上讲,有如下几方面的含义:保密性、完整性、可用性、真实性、不可抵赖性、可控性。金融信息系统是一个网络环境下的计算机系统,它处理的对象是信息。信息资源具有先天的脆弱性,系统中存储的信息密度极高,信息的可访问性、信息的聚生性、系统工作时产生电磁辐射、磁性介质的剩磁效应等都使系统中的信息面临着安全风险。概括而言,金融信息系统面的威协主要有三种形式:通信过程中面临的威协、存储过程中面临的威胁和处理过程中面临的威协。对金融信息系统的攻击手段主要有窃取、推断绒分析(属于被动攻击)、冒充、墓改、重放和病毒(属于主动攻击)。
2.2信息安全技术
2.2.1密码技术。密码技术是信息安全技术的核心。要保证信息系统中信息的保密性,使用密码对其加密是最有效的办法;要保证信息的完整性同样可以使用密码技术实施数字签名,进行身份认证,通过对信息进行完整性校验来实现;保障信息系统和信息为授权者所用,利用密码进行系统登录管理,存取授权管理是有效的办法;保证电子信息系统的可控性也可以有效地利用密码和密钥管理来实施。
1949年Shannon发表了《保密系统的通信理论》,引起了密码学的一场革命,从而使密码真正成为一门科学。密码学(Crypto-graphy)是通信技术、计算机技术和应用数学之间的边缘学科,数学和计算机科学是其重要的工具,涉及到数论、信息论、算法复杂性理论等学科分支。保密系统的Shannon模型如图l所示。
70年代中期,在安全保密研究中出现了两个引人注目的事件:一是D}ffe和Hellman发表了《密码学的新方向》,冲破人们长期以来一直沿用的单钥体制,提出一种崭新的密码体制,即公开密码体制。该体制可使发信者和收信者之间无须事先交换密钥就可建立起保密通信。二是美国国家标准局(NBS)于1977年正式公布实施了美国数据加密标准(DES)。公开密码体制的出现是现代密码学研究的一项重大突破,它的主要优点是可以适应网络开放性的使用环境,密钥管理相对简单,可以方便、安全地实现数字签名和认证。对称密码体制下比较著名的算法有IBM公司开发的DES算法及其各种变形(如Tri讨eDES等)、欧洲的IDEA算法、LOKI,RCA,RCS等;公开密码体制下比较著名的算法有RSA算法、背包密码,Diffe一Hellman}ElGamal算法等等。与通信安全保密相比,计算机安全保密具有更广泛的内容,涉及计算机硬件、软件以及所处理数据等的安全和保密。除了沿用通信安全保密的理论、方法和技术外,计算机安全保密有自己独特的内容,并构成自己的研究体系。在计算机安全保密研究中,主体(subject)和客体(object)是两个重要概念,保护客体的安全、限制主体的权限构成了存取控制的主题。信息系统的安全保密相对于通信安全保密和计算机安全保密而言处在一个更高的层次,它涵盖了通信安全保密和计算机安全保密的所有内容,把整个系统的安全保密作为其目标。金融信息系统因其自身高机密性和高风险性的特点,不同于一般的信息系统,而类似于军事系统,有极高的安全保密需求。
2.2.2访问控制技术。限制主体的权限,防止非授权主体对客体的越权访问是访问控制的主要内容。存取控制的研究内容涉及到存取控制模型、存取控制策略、存取控制机制、存取控制的实现等。存取控制是建立在用户识别的基础上的,系统通过唯一标识符验证用户的合法性.决定是否允许用户进入系统。认证总是要求用户提供足够能证明他身份的特殊信息,这些信息是保密的,可以采用单向加密算法加密后保存在系统中。口令机制是一种简便易行的认证手段,但比较脆弱。生物技术是一种比较有前途的方法,如视网膜、指纹等,但限于技术条件,目前还不能广泛采用。信息系统中存在大量的主体和客体。主体与客体关系如何表示,主体对客体的存取权限如何获取,是存取控制研究中的两个基本问题。系统中所有主体与客体之间的相互关系构成存取控制数据库。主体、客体、存取控制数据库、存取控制策略之间的关系构成存取控制基本模型。
存歇控制策略决定存取控制的水平。存取控制策略研究权限分配原则、方法和约束。等级授权方式是最常见的权力分配方式,根据权力分配细则,由安全专家根据一定的制度和规范制定。
权力分配原则则涉及一些誉遍适用的存取陀制策略:。.最小授权策略(leastprivilegepolicy),即只给主体授予执行任务所必须的最小仅力;b.最小泄露策略(leaseexposurepolicy),按需知(needtoknow)原则给主体完成任务所必须知道的那部分保密信息,得到信息的主体要承担信息保护的责任;;c.多级安全策略(multilevelsecuritypolicy),将主体和客体都进行分级,除了对主体对客体的访问权限进行规定外,还对主体对客体促使信息的流向加以控制。存取控制模型如图2所示。
自主访问控制(DAC)是一种最替扁的访问控制方式,在自主访问控制下,用户可以按自己的意愿对系统参数进行适当的修改,以决定哪些用户可以存取其文件。自主访问控制是安全操作系统需要具有的最基本的访问控制机制,对于军事鱿金融系统,它的访问控制能力尚嫌不足。自主访问控制不能抵御特洛伊木马、电子欺骗(Spoof),黑客(Hacker)的攻击。这样就产生了强制访问控制(MAC)。
所谓强制访问控制,就是系统中主体和客体的安全属性(存即类)是由系统安全管理员按照严格的规则进行分配的,用户和用户程序不能修改系统中确定的安全属性,就是客体的所有者也不能修改。强制访问控制增强了系统的安全性。金融信息系统是一个网络信息系统,为了保证其安全性,有必要提供一种网络访问控制手段。防火墙技术就是一种用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的资源不被破坏,避免内部网络的敏感数据被窃取的系统,它能增强机构内部网络的安全性。防火墙实际上是一种访问控制规则,它无法完全保护系统免受来自外部网络的攻击,另外,它对来自系统内部的攻击无能为力。
VPN(虚拟专用网)是一种为处于不同地点的两个分公司网络通过不安全的公共网络Inteme:建立可靠连接的技术。VPN所用的隧道技术就是用某种协议(如PPTP,IPsec等)建立双方通信隧道,将内部网所用协议和数据封装在IP包中,对隧道中传送的包进行加密/解密。VPN能从很大程度上解决网络面临不安全因素的威胁,作为远程用户利用公用网络接入公司内部网络的较简单的一种接入技术,现在正越来越体现出其价值。
2.2.3漏洞扫描和入浸检测技术。漏洞扫描与网络安全评佑紧密相关,其主要目的是先于入浸者发现安全漏洞并及时弥补,从而进行安全防护,是一种‘事前’(攻击发生前)防护手段。由于网络环境比较复杂,一般利用工具来进行漏洞检查,针对网络层、操作系统层、数据库层、应用系统层多个层面上进行。因为网络是动态变化的,所以漏洞扫描与评沽应该定期执行;入侵检测则是对网络活动和系统事件进行实时监控,检查是否有来自网络内部和外部的入浸。入浸检测强调时间连续性,是一种事中.防护手段。网络是动态变化的,所以应该不断跟踪分析黑客行为和手法,研究网络和系统的安全漏洞,提高漏洞扫描水平和入浸位测水平。
2.2.4响应和恢复技术。任何一个信息系统无论采取了多么先进、复杂的安全技术,也不可能保证系统是绝对安全的,响应和恢复技术就是在系统遭到入侵或破坏的时候,如何把损失降到最低程度,并在最短的时间内将系统恢复正常。响应和恢复技术是一种‘事后’防护手段。
2.2.5审计技术。审计类似机上的“黑匣子.,利用系统运行日志,对系统进行事故原因查询、定位,为事故发生后的处理提供详细可靠的依据戴支持,是一种‘事后’的补充防护手段。
2.2.6病毒防治技术。病毒防治技术是研究在网络环境下,如何及时识别、发现病毒,如何强化系统对病毒的免疫能力,以及如何消灭病毒,减轻戴完全消除病毒对系统的危害。
2.3安全模型金融信息系统的安全是一个系统工程,不仅与信息系统的安全技术有关,同时也与国家的法律与法规、金融行业的管理及其制度建设幽切相关。安全技术在金融信息系统安全中起着重要的作用,但决不能过分依赖信息安全技术,安全技术只是信息系统安全的基础,安全管理则是金融信息系统安全的关键。
在研究信息系统安全的过程中,人们建立了不同的信息系统安全模型。其中,P2DR充分考虑了信息系统随时间而不断改变的动态性,建立在基于时间的安全理论之上,并且体现了闭环控制的思想,是具有代表性的信息系统安全模型(如图3所示)。
P2DR是Policy(安全策略)、Protection(防护)、Detection(检测)和Response晌应)的缩写。安全策略是P2DR安全模型的核心,所有的防护、检测、晌应都是依据安全策略实施的。保护通常是通过采用一些传统的静态安全技术及方法来实现的,主要有防火墙、加密、认证等方法。在P2DR模型,检测是非常重要的一个环节,检测是动态晌应和加强防护的依据,它也是强制落实安全策略的有力工具,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈及时做出有效的晌应。紧急晌应在安全系统中占有最重要的地位,是解决安全潜在性最有效的办法。从某种意义上讲,安全问题就是要解决紧急晌应和异常处理问题。要解决好紧急晌应问题,就要制汀好紧急晌应的方案,做好紧急晌应方案中的一切准备工作。
P2DR模型有自己的理论体系,有数学模型作为其论述基础—基于时间的安全理论。该理论认为,信息安全相关的所有活动都要消耗时间,因此可以用时间来衡里一个体系的安全性和安全能力。P2DR模型可以用一些典型的数学公式来表达安全的要求:
公式1:Pt>Dt+Rt
Pt代表系统的防护时间,续者理解为在安全措施保护下,黑客(入浸者)攻击目标所花费的时间;Dt代表从入浸者开始发动入浸开始,系统能够检测到入浸行为所花费的时间;Rt代表从发现入浸行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间;那么,如果上述数学公式满足—防护时间大于检测时间加上响应时间,也就是在入浸者危害安全目标之前就能够被检测到并及时处理。
公式2:Et=Dt+Rt,如果Pt=0
公式2的前提是假设防护时间为0。这种假设对WebServer这样的系统可以成立。Dt代表从入浸者破坏了安全目标系统开始,系统能够检测到破坏行为所花费的时间。Rt代表从发现遭到破坏开始,系统能够做出足够的晌应,将系统调整到正常状态的时间。那么,Dt与Rt的和就是该安全目标系统的暴露时间Et针对于需要保护的安全目标,如果Et越小系统就越安全。
通过上面两个公式的描述,实际上给出了安全一个全新的定义:‘及时的检测和晌应就是安全,“及时的检测和恢复就是安全.P2DR模型阐述了这样一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和晌应时间。
3发展、深化金融信息化建设.保障信息安全
论文摘要:随着科学技术的发展,计算机的使用己经非常普及,从政府机关到社会,从单位到家庭,计算机无处不在,它己经成了我们工作生活中不可缺少的工具。企事业单位在管理中使用计算机己经成为一种普遍现象。计算机给管理工作带来的好处显而易见,它可以提高工作效率,提高管理质量,提高各方面的综合事务处理能力。经济越发展,会计越重要。管理信息化是大势所趋,会计电算化更是重中之重。
2 会计电算化系统安全性
2.1 会计电算化系统故障风险
计算机会计信息系统主要由硬件和软件构成,硬件是系统的身躯,软件是系统的灵魂。由于机械故障、零配件损坏、突然断电、操作人员失误等原因有可能导致硬件系统失灵,由于非法调用和修改,软件系统因此受到破坏。在网络环境中,网络的开放性、动态性和虚拟性导致系统的一致性和可控性降低,一旦遭遇系统阻塞、病毒侵入或黑客袭击,将导致系统的混乱甚至瘫痪。
2.2 数据输入输出错误风险
在电算化条件下,会计数据来源于原始凭证或记账凭证,如果缺乏有效的控制,一旦输入错误的数据,计算机接受这部分数据并进行自动化处理,将引发错误的连续性和重复性,造成会计账簿和会计报表等信息输出错误,给投资人、债权人及其关联单位等信息的使用者带来重大损失,会计数据的真实性和完整性难以保证。在网络环境中,会计数据通过通讯线路传输,数据来源的广泛性使得其面临着被未授权人员的非法截取或修改,会计数据的安全性和可靠性难以保证。
2.3 实际业务不规范造成的风险
企业应用现代化管理工具替代了陈旧落后、繁琐的手工核算,但是企业管理者的思想观念没转变,严格而科学的管理往往只停留在形式上,所以,犯罪分子利用内部防范制度的薄弱环节,未授权人员非法盗取企业的商业机密,不惜以身试法,利用合法身份、滥用或盗用操作密码进行越权操作,从而达到侵吞企业财产或出卖商业机密换取钱财的目的。
2.4 计算机维护不当酿成的风险
在电算化高速发展的时代,会计账目、货币现金、信息存储、文件传递等都变成了电子文件存入计算机内,通过网络进行传输。由于会计信息存储电磁化,电算化系统下会计信息以电磁信号的形式存储在磁性介质中,是肉眼不可见的,很容易被删除或篡改而不会留下痕迹,往往使应用人员和维护人员疏忽潜在危险的存在。
3 防范会计电算化系统安全风险的对策
3.1 外部环境的完善
3.1.1 完善会计电算化的规范化管理
对于会计规范化管理,主要是通过国家颁布的指定的会计准则和具体的会计准则来进行的。只有用会计准则指导会计业务,才能规范会计行为。在会计电算化普及的今天,用会计准则同样可以规范会计电算化行为。规范的具体内容有:财务会计软件采用的标准、具体业务处理、人员职责等。财务部新颁布《会计电算化管理办法》和《会计核算软件基本功能规范》便是完善会计电算化规范的最好准则。
3.1.2 开发全过程实行严格管理
开发商与用户应加强在线测试。在软件开发和应用过程中,开发商与用户应加强交流,充分测试。例如,用户通过网络向开发商提出要求或建议,开发商通过网络把软件传送给用户。双方在软件应用过程中应注意监控,及时发现并解决问题。开发商可通过网络对用户的系统进行定期在线测试,一旦发现问题,应进行升级,以便提高系统运行的安全性。
试运行。系统完成开发后必须反复测试,证明达到设计要求后才能交付使用,不能边检测、边使用、边补救。
制定应急计划。系统设计完成后,开发方应编制与系统相关的运行文件,并提出有关注意事项,以使在出现意外情况时能够有条不紊地采取相应措施,使用单位也应制订自己的应急计划,以备急需。令人担忧的是,不少单位恰恰忽视了这一关键步骤,没有起码的应急计划,系统一旦出现故障,后果不堪设想,损失将是巨大的。
加强风险控制,保证信息安全。一方面制订各种严格的管理制度,加强风险控制;另一方面加强对员工的信息安全教育,严禁未经授权人员上机操作,禁止连接互联网及其它与业务无关的终端,采用先进的加密技术,并安装“病毒防火墙”,防止人为非法破坏数据。实践证明,严格、有效的管理制度是信息安全的最好保障。
3.2 单位内部机制的加强
3.2.1 建立严密科学的计算机风险控制系统
首先,合理设置内部机构,科学划分职责权限,形成相互制衡机制。其次,规范内部操作制度,保证单位内部机构、岗位及其职责权限的合理设置和分工,确保不同机构和岗位之间权责分明,相互制约、相互监督。
3.2.2 建立健全一整套会计电算化模式下的规章制度
为了形成良好的内控环境,应建立一整套会计电算化模式下健全的规章制度。这些内控制度应遵循以下原则:
不兼容权限分离原则。对会计电算化权限严格控制,凡上机操作人员必须经过授权,禁止原系统开发人员接触或操作计算机,非计算机操作人员不允许任意进入机房,系统应有拒绝错误操作功能。
相互制约原则。加强对会计电算化系统数据输入、处理、输出的控制,明确管理人员、操作人员、维护人员的职责范围。
安全、保密原则。安全主要是对软硬件、文档的安全检查保障控制。保密主要是建立设备设施安全措施、档案保管安全控制、联机接触控制等;使用侦测装置、防伪措施和系统监控等。
内部防范原则。主要解决个人垄断现象以及对系统管理人员的监管控制问题。所有这些都是制定会计电算化规章制度必须加以考虑的问题。
3.2.3 计算机操作人员和技术管理人员的职责要严格界定
计算机操作人员和技术管理人员的职责要严格界定,严禁计算机专业管理人员直接接触实际业务操作,系统管理主要负责系统的硬软件管理工作,从技术上保证系统的正常运行。业务操作人员不得随意进入程序,擅自改动程序内容。也不得将自身业务交与他人操作。系统管理岗位应保持相对稳定,若有变动应办理严格的交接手续和密码更换手续。分工科学,责任明确,各岗位都要得到一定的授权,并用密码控制。防止非法操作、越权操作。这样人员互相制约和内部牵动,能防止违法行为的发生并能及时发现错误。
3.2.4 建立防病毒措施,严格限制随意使用业务用计算机软硬盘,防止数据丢失
为了避免数据丢失,严格限制使用业务用计算机软硬盘进行非业务处理,可采用移动硬盘,U盘等多种硬件设备进行数据备份,做到有备无患。对会计数据定期或不定期检查,监督电算化过程中数据保存形式的安全性、合法性,防止非法删除、修订和篡改历史会计数据及对电算化系统运行各环节进行检查,防止出现漏洞。
计算机内的会计业务数据不得随意拷贝,未经批准不得用于调试程序,不得用于培训人员,进入机房必须两人以上;需要通过计算机网络传送的会计数据,应采取安全性措施;备份的会计业务数据,应专人保管,非工作时间加锁入库,严密调阅手续,不得随意拷贝、携带、转借备份的数据信息。
实行数据通信控制时,在传输过程中采用数据加密,回响检查等技术手段进行会计电算化的规范管理。
3.2.5 为防范外部攻击,应建立和完善电脑报警装置
防范外部攻击,加快建立立法进程,完善电脑报警装置。计算机立法主要是为了防止计算机从设计到实际运行全过程的计算机犯罪行为的发生。财务系统应加紧研究制定内部会计控制制度,促进单位内部制约机制不断完善。
防范外部攻击和计算机病毒最为有效的措施就是加强安全教育,提高财会人员的防御外部攻击和计算机病毒业务能力;其次,加强网络的安全设施建设,健全并严格执行防范管理制度。
加强网络法制建设,加大网上执法力度,对不法分子的不法行为进行打击以起到威慑作用已迫在眉睫。
结论:会计电算化系统的安全性问题,是个综合性的问题,需要硬件,网络,软件,人员相互协调,共同应对解决的问题。是个需要强化安全意识,做足预防管理的问题。通过以上对会计电算化系统的安全性分析与防范措施,希望可以使会计电算化系统的安全性问题降到最低程度,使会计电算化系统能够顺利实施,安全运行无虞。
参考文献
一、高校审计信息化建设优势分析
(一)高校自身意识不断加强 随着计算机技术的广泛运用,我国信息化水平也在飞速发展,高校作为社会一个较为特殊的主体,对于信息化的认识正在逐步加深。近年来,正是由于高校自身对于信息化意识的不断加强,高校对于信息化建设的资金投入不断加大,建设力度也在不断加强。高校财务信息化的发展已到达一个高度,与之相对应的高校审计信息化还十分滞后,各高校也意识了这一点,正在逐步改善这种情况。正确的主观认识会推动正确的社会实践,高校对于审计信息化意识的不断提升,无疑是高校进行审计信息化的一个优势条件。
(二)硬件设施达到一定水平 硬件设施是高校审计信息化的基石。硬件设施包括校园网络以及相关计算机设备的配置。校园网络是高校信息化平台最底层的基础设施,没有相应的网络基础设施,信息不能流动,就不可能形成信息空间。高校内部审计信息化更无从说起。自20世纪90年代起,经过几十年的发展,各高校的校园网在学生宿舍、教学、科研与管理楼宇的覆盖率达到85.32%,学校无线网覆盖学校公共区域的比例达到15.82%。计算机设备的配置方面,目前高校的审计部门的审计人员基本上都配备了计算机,审计人员的日常办公也都在逐步的实现计算机化和自动化。由此可见,高校审计信息化的硬件设施建设以及达到了一定的水平。
二、高校审计信息化建设劣势分析
(一)审计信息共享程度低 目前,高校审计部门的确都配备相应的计算机,但针对高校审计的成熟软件仍缺乏,即使有些高校已经开展了计算机审计,但基本处在利用单机版审计工具软件进行工程审计和财务审计的阶段,完整的计算机审计系统尚未建立,各个电脑上的数据仍然是如同单机版。审计流程上的各类审计信息仍是离散的,不同的审计人员所采集的信息都在不同的计算机上,无法实现审计信息的共享,这将不利于审计成果的管理和进一步利用,甚至形成一个个“信息孤岛”。此外,在审计过程中,需要与上级主管部门和内部职能部门进行沟通,审计委托函以及审计报告需要这些部门的传达或批复,而目前这些批复是以纸质形式下达,审计信息的输入和加工滞后,延长了审计时间,影响了审计结果的时效性,并且由于高校内部审计信息不能得到及时的共享,也造成了人力、物力以及财力上的浪费。
(二)缺乏复合型审计人才 目前,高校审计机关的审计人员知识结构单一,缺乏复合型审计人才。一方面,大部分年龄较长的审计人员虽然有丰富的财务、会计、审计知识和经验,但由于历史、客观的原因没有什么机会接触到计算机,造成知识结构上的欠缺。另一方面,年轻的审计人员虽然掌握一定的计算机知识,但由于是非计算机专业毕业,仅仅掌握了较浅层次的计算机基础知识和运用技能,缺乏深层次的计算机系统设计、程序编译检测技能,不能有效地分析系统结构。因此要真正运用计算机软件完成难度较大的实质性审计程序,高校内部审计人员需依赖专业的计算机技术人员协助,计算机技术人员虽然对计算机和网络技术比较熟悉,但不熟悉会计、审计知识,不知道要审什么、该怎样审,这样就造成审计人员独立性减弱、审计结果偏差等后果。因此,同时熟悉掌握会计、审计知识和计算机知识的复合型审计人才的缺乏制约着高校审计信息化的发展。
三、高校审计信息化建设机遇分析
(一)信息技术的高速发展 目前,信息技术的支持和高速发展使高校审计信息化成为可能。在信息技术应用于审计之前,审计人员必须把被审单位的数据打印成纸质凭证然后进行审计。但信息系统中的原始数据是未经过加工和整理过的,导致面对枯燥和重复的打印凭证,审计人员用传统的方法很难达到审计目的。现在,虽然高校审计部门采用了相应的财务审计软件,但由于和会计信息系统或管理信息系统没有标准的接口,审计所需数据无法从被审对象系统转移到审计业务系统中。但随着数据库技术、网络技术、存储技术的发展,标准接口的规范,高校审计人员在高校审计信息化的最终道路上,一定可以在审计系统中通过电子数据交换导入存有被审对象数据的文件。信息技术的高速发展,为高校审计信息化的发展带来了前所未有的良好机遇。
(二)相关政策的支持 随着国家经济的发展,审计的重要性已经深入人心。2002 年5 月,审计署正式启动“金审工程”,标志着大规模信息化建设的开始。《审计署2008 至2012 年信息化发展规划》中表明要探索和完善信息化环境下的审计方式,推进审计信息化建设,以探索创新信息化环境下的审计方式为核心,加大适应信息化需要的审计人才队伍建设力度,努力提高审计工作效率、质量和水平,为审计事业发展提供信息技术支持和保障。高校内部审计作为高校管理的一个重要组成部分以及内部控制评价体系的一个关键环节,其信息化建设也应当成为而且会成为高校信息化建设的重要子系统。2010年3月,总理在政府工作报告中,将加强审计工作列入“努力建设人民满意的服务型政府”篇章,审计的要求愈来越高,审计的任务更加艰巨,审计工作者任重道远。为促进审计的“三个服务”目标,国家审计署着重提出“五大建设”目标,“信息化建设”的要求已经跻身其中。这一系列的国家政策方针的推出,标志着国家有意支持审计信息化的发展,而高校审计信息化的发展在这样的大环境下,也必然会乘风破浪,勇往直前。
四、高校审计信息化建设威胁分析
(一)相关法规和准则不够完善 审计必须依法进行,为规范我国审计人员开展计算机审计工作,我国在一定程度上已建立了相应的准则和规范。审计署于1996年12月了《审计机关计算机辅助审计办法》,中国注册会计师协会于1999年2月颁布的《独立审计具体准则第20号――计算机信息系统环境下的审计》,国务院办公厅于2001年11月16日颁布《关于利用计算机信息系统开展审计工作有关问题的通知》(88号文),但针对于网络经济和计算机应用的相关法律法规还很不完善,有些甚至还是完全空白。比如,大家都比较熟悉的计算机犯罪适用的法律的有关立法还很欠缺。这给依法开展高校内部审计信息化带来很大的障碍。尽管我国审计署和中注协都已颁发了一些有关计算机审计的准则和规范,但是这些准则和规范还不完善,缺乏系统性和结构性。而且,完全针对高校审计信息化的法规和准则并没有,己有的那些规范还比较概括、笼统,没有相应的实施细则。对高校审计信息化建设尚处于摸索阶段的高校审计人员来说,显然还缺乏具体的指南。
(二)缺乏统一的管理平台 伴随着客观形势和当前国家公共财政的改革,在高校表面“暴富”的同时,其内部审计和内在财务监控却相对薄弱,外部财务监管依然实行单一的“点对点”封闭行政监督。部分高校在结合廉政建设和风险管理要求以及自身审计管理和内部控制管理要求,在已有的信息化管理和信息化建设的基础上逐步开始进行系统规划和探索。然而,在对已有成果进行正面的评价的同时,也发现这类高校审计信息化软件或系统的研究较多停留在数据采集、财务收支审计、审计信息化的文本管理层面,没有开发出一套通用的、适合大多高校(至少是某一省市的全部高校)的审计信息化软件。也就是说,当前高校有关审计信息化研究较多的是“单打独斗”,其成果应用辐射面以及资源整合的效果并不高。相关外部监管部门更是没有相应的统一管理平台。
参考文献:
[1]蒋东兴、宓、郭清顺:《高校信息化发展现状与政策建议》,《中国教育信息化》2009年第15期。
法益保护前置化的倾向在现代社会中体现的愈发明显,这与现代社会所处的环境密不可分。“自从20世纪中期以来,工业社会的社会机制已经面临着历史上前所未有的一种可能性,即一项决策可能会毁灭我们人类赖以生存的这颗行星上的所有生命。仅仅这一点就足以说明,当今时代已经与我们人类历史上所经历的各个时代都有着根本的区别。”①为了维系社会秩序以及回应民众对于安全性的追求,国家将刑法作为控制风险的工具加以利用的倾向便愈发显著,在所谓的“风险社会”中,刑法的介入比以往更显得前置化。
一、法益保护前置化的新类型
现代刑法中,法益保护前置化主要采用了“抽象危险犯”的方式。所谓的“抽象危险犯”,从广义上来讲,是指以抽象的危险作为处罚根据的犯罪形态。立法者通过对个案的观察归纳,发现某些行为与危害结果之间有极强的关联性,而且通常这类行为会造成个人法益或公众法益的严重侵害,如果不前置化处罚会来不及保护法益,才将此类行为抽离出来,界定为抽象危险犯这一种独立的犯罪类型。抽象危险犯,成为了现代社会尤其是风险社会中使用越来越多的风险管控手段,正如德国著名学者雅科布斯所指出的那样:“一种特别令人感叹的发展是,把保护相当严密地划定范围的法益特别是私人法益的刑法通过这种法益范围的延伸引向抽象的危险犯。”②
现代刑法对特定行为的前置化处罚的倾向最开始源于反恐对策立法中,之后以此为契机开始在环境犯罪、经济犯罪、犯罪、计算机犯罪等立法中显现。③具体地体现在对以下新类型犯罪的处罚中:
(一)单纯行为犯
单纯的行为犯,是指不必引起任何结果甚至具体危险,只要有特定的作为或不作为,即构成犯罪的行为样态,因此它属于广义上的抽象危险犯。非法侵入计算机罪就属于典型的单纯行为犯。比如,1990年英国制定的《计算机滥用法》(Computer Misuse Act)第1条规定,非法侵入计算机罪(unauthorized access to computer material)是指行为人未经授权,故意侵入计算机系统以获取其程序或数据的行为。此行为并不要求直接针对特定的程序或数据,只要是未经授权,接触计算机数据,哪怕仅仅是一般的浏览也构成犯罪。依照简易程序定罪,该罪可处6个月以下监禁或不超过5级标准的罚金,或者二者并处。可见,对这种单纯行为犯的处罚还是比较重的。德国刑法也有类似非法侵入计算机罪的条款,其第202条a(探知数据罪)第1款规定:非法为自己或他人探知不属于自己的为防止被他人非法获得而作了特殊安全处理的数据的,处3年以下自由刑或罚金刑。
(二)蓄积犯的“单纯行为犯”政策
所谓蓄积犯,或者累积犯,是指每个单独行为自身的危险性程度都很低,但是当其累积到相当的程度,危险性明显地显露出来时,其危险的程度无论是在质上还是量上都已经达到了必须动用刑事法加以防止的程度。蓄积犯的概念最初产生于环境犯罪领域,在环境污染物质长时期积累可能造成健康损害或者可能造成破坏环境和生态系统的场合,刑法便予以介入。从理论上来说,蓄积犯是一种具体的危险犯,只有当蓄积的危险达到具体危险的程度时,方可以予以处罚。但是,在累积的危险(作为危险源的污染等)之排除(不仅在技术上而且从费用上)不可能或极其困难的情况下,从预防的观点出发,便产生了处罚危险性程度低的个别行为。④这就是蓄积犯中的“单纯行为犯”政策的运用。在1997年,日本对《产业废弃物处理法》做出了重大修改,其中在第16条中规定了禁止废弃物的一般投弃,同时,加大了对违反该禁令的处罚:修改前,对于抛弃应该特别管理的废弃物的,可以处1年以下有期徒刑或者100万日元以下罚金;抛弃其他废弃物的,可以处6个月以下拘役或者50万日元以下罚金;修改后,所有抛弃废弃物的行为,都可以处3年以下有期徒刑或者1000万日元以下的罚金,同时也可以并罚(第25条第6款)。⑤修改后的规定,不仅体现出法益保护前置化的特征,也体现出刑法处罚严厉化的倾向。
(三)预备犯
预备犯,是为实行犯罪准备工具或制造条件的犯罪形态。在仅仅处罚实行犯仍不能周延地保护法益时,就有必要前置性地处罚预备犯。在日本,由于磁卡犯罪日益猖獗,原有的“不正当制作电磁性记录罪”已经不能充分满足打击此类犯罪的需要,2001年日本刑法又增设了“有关支付用磁卡电磁记录的犯罪”,其中就包括了“为不正当制作支付用磁卡电磁记录作准备罪”(第163条之4)。该罪是为了规制不正当制作支付用磁卡所必不可少的准备行为,包括磁卡信息的获取、提供与保管行为,以及为制作磁卡准备器械或原料的行为。获取行为的典型例子是所谓的“速读”行为,即在使用信用卡的终端机上偷偷地设置读取、储存信息用的器械(扫描仪)以获取信息的行为。另外,接受利用这种方式所获取的信息的行为也属于获取行为。⑥一般认为,处罚这种获取罪的依据是针对具有财产性价值的信息所实施的“盗窃”行为。保管行为,是指保管前已经获取的磁卡信息,其行为形态多是作为数字信息保管在扫描仪中,或者下载到磁盘中加以保管,也有作为数字信息记录在纸张上加以保管的情形。为制作磁卡准备器械或原料的行为,则包括准备为不正当制作支付用磁卡所必要的一切器械(包括扫描仪、读卡器、印刷机等)及原料(包括原始卡、未完成的卡、印刷用的材料等)。从形式上看,该罪显然是非法制作、提供电磁记录罪(第161条之2)的预备犯,但是刑法对这种预备行为单独处罚,这也是为了应对眼下愈演愈烈的伪造支付用磁卡的现状所不得不采取的处罚早期化的做法。⑦
(四)违反特定禁止令的不作为犯
为了管控风险,有必要针对从事特定科技的相关主体制定相应的安全操作规范,以规制相关主体在正常的范围内活动。因此,缺乏必要的许可或者严重违背特定行政规范所科处的义务,给人类生活带来巨大危险的,刑法便不能袖手旁观。以核 材料犯罪为例,除了前置化处罚持有等行为,刑法对于违背相应禁止令的行为也采取了提前打击与严厉打击的方法。如德国刑法第327条(未经许可开动核设备)、第328条(未经许可的放射性物质及其他危险物品的交易)都规定,如果是缺乏必要的许可或违反可执行的禁止令,实施相应行为的,即推定为具备相应的危险,因此需要受到处罚。违背禁止令实施的行为不必等到造成后果或具体的危险才处罚,这大概是因为人们仍对切尔诺贝利核电站泄漏事件心有余悸。⑧除了核材料犯罪外,对于非法器官移植的犯罪,刑法也采取了前置化处罚的措施。如我国澳门地区刑法规定,违反摘取手术安全性的要求,未按规定在医生直接监督下施行摘取和移植手术,或是在许可医院以外进行此类手术的,处以2年有期徒刑或课以240日的罚款。⑨之所以连“在许可医院以外进行此类手术的行为”都要受到处罚,是因为法律推定在其他非许可医院实施此类手术必然具有更大的风险,出于安全的考虑,法律对于这种拟制的风险也要防范。
二、法益保护前置化的理论基础
针对现代社会中的法益保护前置化的倾向,在日本刑法学界,出现了持肯定立场、否定立场以及中间立场等不同的主张:
肯定立场认为,根据重视刑法的规范意识形成机能的立场,为了形成适合现代社会的新的伦理,通过刑法保护的早期化而形成刑法上的行为规范这一积极意义正逐步得到认可。根据最近在德国盛行的“积极的一般预防理论”,人们正试图努力通过处罚来确证规范的妥当与否,并以此确立公民的规范意识,正因为如此,该理论也可将刑法保护的早期化作为其理论根据。否定立场认为,刑法的保护对象应仅限于个人的生命、身体、自由、财产等传统的法益,根据贯彻法益概念拥有的自由保障机能这一立场,则刑法保护的早期化有可能被批判为是刑法的过度介入。中间立场认为,根据在现代社会中,刑法保护的适当早期化是不得已而为之,只是在运用上、适用上应当予以必要的限定,有学者坚持在刑事立法的象征化、符号化这个意义上肯定刑法的保护的早期化。⑩这一争论至今仍在持续。
本文认为,否定立场显然忽视了现代刑法所处环境有别于传统刑法的这一基本事实,试图以传统刑法的研究范式一以贯之的做法也必然在解释学上捉襟见肘。其将刑法对犯罪处罚固守在实害犯与具体危险犯的范围内,对于现代社会下重大法益的保护无疑会呈现出不力与迟延之态。其立论的法益论基础完全排斥了超个人法益,也不符合现代法益论的发展方向。正如有学者所言,将超个人法益纳入抽象危险犯处罚之范畴,则是立法者为了避免个人利益实现或发展的制度性条件陷入危险或崩溃,始行采取的作法,如经济刑法与环境刑法,在如此脉络下有其正当性根据。(11)本文坚持认为,应当承认刑法价值的多元性,应当承认刑法体系的割裂性的现实,据此也应当肯定现代社会下刑法对于重大法益提前保护的必要性。采用以抽象危险犯为主要特征的法益保护前置化,其理论基础可以从几个方面说明:
(一)“积极的一般预防”机能的实现
积极的一般预防论所追求的是确证现行刑法规范的妥当性,以及与之相伴的规范意识的强化、觉醒。现代社会下的法益保护前置化的措施强调的正是这种积极的一般预防机能的实现。正如赫尔佐克教授指出的那样,为了保护规范意识的创造和模糊的体制信赖,就只能以尚未发生实害的行为人的外部态度为问题点,一方面力图发挥应该采取正确的态度这种教育的效果,另一方面要科处刑罚,此乃是现代的抽象危险犯的目的。因此,作为处理社会中种种危险状况的手段,并且为了其理论的正当化,就出现了积极的一般预防论。(12)
从前述法益保护前置化的措施中可以看出,积极的一般预防论更为重视的,是通过立法来宣示立法者对于某些行为的不能容忍,并采用科处刑罚的方法来实现创造新的规范意识的目的。当然,为了使新的规范意识根植于社会,积极的一般预防论重视训练人们对规范的信赖,这一特征在刑事立法上体现为对所谓的“普遍法益”的保护和抽象危险犯的扩张。前置化处罚也使刑法成为了支持刑事政策的工具:民众常常要求政府对危害重大法益的风险行为予以迅速反应,刑法早期化的介入恰恰满足了这种政策性的要求。
(二)对法益实现条件的确保
我国台湾学者王皇玉指出,刑法介入的早期化实际上是对法益实现条件的确保。法益保护并不是对于孤立或静止状态的个人利益加以保护,还应该进而考虑到保护人们得以理性支配与运用这些个人利益的机会、条件与制度。如果没有实现机会与条件的利益那只能是虚假的利益,同样,如果没有制度性保障的利益也不可能持久而真实的存在。不过,对于那些作为法益得以实现与发展的机会、条件与制度,不能认为其理所当然地存在,而应该通过一些具有前瞻性的法律措施,使其能够得到保护和维持。可以说抽象危险犯的设立,正是立法者为了避免个人利益支配可能性得以发展的条件遭到攻击或陷入危险,而通过法律化的方式所作出的保证。(13)本文赞同这一观点。
(三)行为无价值论的必然结论
以抽象危险犯为特征的法益保护前置化措施,体现出现代刑法与传统刑法的不同之处,即不是把罪行的中心放在对法益的侵害结果上,而是放在对行为者的行为义务的违反上。换言之,行为者的行为即使没有对特定的法益造成损害结果或具体危险,但是只要违反了行为规范,就推定行为对法益产生了侵害的抽象危险,就应该受刑法上的否定性评价。正如赫尔佐克(Herzog)所言,“危险刑法不再耐心等待社会损害结果的出现,而是着重在行为的非价判断上,以制裁手段恫吓、震慑带有社会风险的行为。”(14)从结果无价值论转为行为无价值论,是刑法规制风险的必然选择。
三、法益保护前置化的适用界限
肯定法益保护前置化的正当性,并不代表放弃对其过度介入市民的自由领域的忧虑。因为,如果仅仅以社会的必要性为由就动用刑法进行规制,无异于将规制的妥当性与否委于立法者的政策判断,这有使刑法的管辖范围变得无边无际之虞,也会使近代刑法以来创立出的刑法谦抑主义毁于一旦。刑法作为补充法的基本原则必须被遵守,即使肯定法益前置化的正当性,也只是在承认这一原则的框架内,对谦抑性原则所做出的弹性解释而已。
除此之外,还应当清醒地看到,针对危险状况采取刑法措施 时,不应忽视作为“次生效果”的其他危险。“仔细考察一下法律制度就可以不言自明,为了阻止任意堕胎的泛滥,通过立法对人工流产科处严刑时,私下的堕胎就会蔓延开来;通过立法对药物犯罪予以严惩时,药物就会变成暴力团伙的庞大资金来源。”(15)在不考虑发展其他的管制措施的情况下迷信刑法的力量,是永远无法解决这些问题的。那么,法益保护前置化就应当有其适用的界限。
(一)对法益的考察与评估
1.应当考察危险行为有无对人的法益的侵害
现代刑法承认保护超个人法益,但是超个人法益只有在能够还原为个人法益的场合,才能进行刑事规制。比如在处罚环境犯罪的场合,只有认为环境是对人类生存而言的构成要素,破坏环境的行为侵害了人的生命和健康,采用刑法手段才具备正当性。在完全不会发生对人的法益侵害的场合,就应该避免刑罚权的行使,这就是德国哈塞默(Hassemer)教授所提倡的“人本法益论”(die personale Rechtsgüter)。(16)“人本法益论”使得刑法从纯粹的象征中解放出来,要使刑法成为解决问题的手段就要恢复刑法的实效性,为此,就应该将刑罚权的使用限制在现实上能够处理的范围之内。
2.应当评估危险行为侵害法益的程度
如果说从“人本法益论”中找出了用刑法保护利益的基础和关联的话,还要考虑的是能否将遭到侵害的生活利益具体化?能够在多大程度上将其具体化?仅仅是将家庭垃圾丢进河里,即使在伦理上、道德上加以谴责,也只能说个人行为的侵害性轻微。只有当这种行为蓄积起来,才产生重大的社会危害性。因此,本文认为,处罚积蓄犯中的单独行为,其理论基础是脆弱的。
在考虑危险行为尤其是科技危险行为对侵害法益的程度时,不可能不考虑危险的评估问题。所谓危险评估,也称危险评价,是指为认识科学技术性危险,并推测和评价因危险而发生法律权益侵害的可能性过程。美国国家研究会把危险评价划分为既有区别又有联系的四个阶段,即对危险的认识、对于露出量的反映评价、露出评价和危险特征评价。(17)通过这些指标,我们可以去解释关于保护法益的科学技术性危险的内容和程度。
3.应当检验“不前置处罚法益保护就不充分”的真实性
在考虑是否有必要运用抽象危险犯这样的前置处罚的条款时,需要检验是否会出现“如不前置处罚就会来不及保护法益”的情况。对于单纯的危险,如果总是期待以刑法的手段除去引发危险的原因的话,不仅会阻碍人类在科学技术领域里的创造性活动,而且也极有可能会造成新的风险——对风险规制越严格,对人的自由侵犯的风险就越大。比例原则要求应当尽可能地依据民事法、行政法对法律权益进行保护。因此,如果实证数据表明,采用征收过期费等行政处罚方式,已经足以有效地抑制了环境污染的危险源,那么就不需要进入到刑法的视野。如果行政处罚尚不能防止危险时,才需要强制实施刑罚处罚的对策。
如果现行法已有相关的刑罚制裁条款,还要考虑是否可以依据现有条款而不必单独创设前置性条款予以规制。如果根据现有条款,充分应用刑法解释的技术,仍然不能规制部分危险行为的,为了更周全地保护法益,就存在创设单独的前置性条款的可能。
(二)防止象征刑法的措施
前述日本学者所持的中间立场主张在刑事立法的象征化、符号化这个意义上肯定刑法的保护的早期化,这实际上是肯定了“象征刑法”的存在意义。所谓“象征刑法”,是指在一个纯粹的功能刑法体系下,刑法最大的功能在于象征性的功能,而这种象征性的功能成为现代刑法(相对于对刑法固有的古典性预测)的共通的且独立重要的内涵。(18)显而易见,象征刑法只强调刑法的宣示性功能,即宣示对刑法规范违反的不允许的态度以及培育国民信赖法秩序的期待,而在司法上则往往容易因为不具有任何的可操作性沦为“死亡条款”。本文坚决反对法益保护前置化成为象征性地响应市民的不安的严罚化的方法,相反,本文坚持认为刑法处罚应当落到实处,否则刑法规制本身的意义将大打折扣。为此,应当探讨有效的立法技术,使刑法避免符号化、象征化,使之具备实效性、可操作性。
1.预备行为的实行行为化
在对预备犯的处罚中,由于大陆法系刑法对于预备犯的态度是原则上不罚,因此,如果依照总则中的条款处罚预备阶段的行为必然面临着理论和实践上的双重困境。但是,如果将预备行为分则立法化,即在刑法分则中单独设立罪名、具备独立的构成要件,便会消解这种处罚上的尴尬。前文所述的日本刑法中的“为不正当制作支付用磁卡电磁记录作准备罪”,实际上就是对“非法制作、提供电磁记录罪”的预备犯的单独立法化。
2.持有行为的单独处罚
持有犯,因其有利于减轻公诉机关的证明责任,故而也是现代社会中法益保护前置化的一项有效的技术。如对核材料或放射性物质非法持有行为的规制即属此项。2005年4月13日第59届联合国大会一致通过的《制止核恐怖行为国际公约》(The Convention on the Suppression of Acts of Nuclear Terrorism)第2条第1款第1项就明确规定,以危害人、财产和环境为目的,拥有放射性物质或核装置的,构成犯罪。我国台湾地区“刑法”第187条之一规定的“非法产销、持有核子原料设备及放射性物质罪”也体现了这一精神。
3.不作为犯的转向处罚
在对于某些行为直接处罚存在困难的情况下,以不作为犯的方式进行“转向”的处罚,就可避免来自刑法谦抑主义的批判,同时因其处罚具备可操作性而不易形成“象征刑法”的局面。如前所述,对核材料犯罪与器官移植犯罪的处罚,就是采用以违反禁止令(19)的不作为犯的方式转向处罚,从而使得此类案件在司法中得以顺利处理。
(三)运用反证来限缩处罚范围
上述的刑事实体法技术,一方面可以有效地避免象征刑法的产生,另一方面因其法定性的特征也有利于节制抽象危险犯的滥用。除此之外,还应当积极探索缓和抽象危险犯过于激进地进行法益保护的措施。有学者提出,可以在部分抽象危险犯的实体性规范中植入程序性内容。即为了合理控制抽象危险犯的处罚不以危险存在为必要所导致的处罚范围过大问题,应当允许行为人对立法推定进行反驳,通过反证的方式证明立法推定 的危险行为实际上在个案中并不存在危险,进而予以减轻、免除处罚。论者并指出,德国刑法理论与判例认为,如果行为人能够证明放火行为不会造成危险,可以适用该条减轻刑罚的规定。(20)
论者提出了是否可以用反证的方式来减轻、免除处罚的问题,但是在笔者看来,更为准确的表述应当是,抽象危险犯是否可以用反证来排除的问题。对于这一问题,在德国刑法学界存在激烈的争论,在诸如盗窃枪支这一类的犯罪中,较为一致地否认了允许反证的可能性。但是在一些特殊的放火的场合,比如行为人确认建筑物内一个人也没有时才放火,多数学者反而认为,该行为并不能构成刑法第306条第2款的放火罪,如果对这样的场合也认定为放火罪,那么就违背了责任主义的原则。(21)
本文赞成在特定的案件中以允许反证方法来排除犯罪的观点,这样做的依据是因为抽象危险犯的危险是根据行为符合构成要件这一点推定出来的危险,那么在具体的场合,这种抽象危险还是可能不存在的。当然,这里的反证要求应当是非常严格的,即不仅仅是证明对不特定人的生命没有侵害危险,而且要证明对不特定人的财产也不可能带来侵害的危险(如该房屋附近没有可以延烧的财产),只有两方面均可证明,才能否定上述放火罪的成立。(22)
四、法益保护前置化在中国刑法上的回应
基于客观主义的理论与现实,我国刑法仍然采取结果本位的体系,应当说基本是合理的。但是,与西方刑法中的法益保护“前置化”倾向相对照的是,我国刑法一些条款体现了极端的“后置化”倾向,这不仅与现代社会所处的背景不符,也与科学发展观背道而驰。
以我国刑法第338条为例,该条规定,只有造成严重后果的情况下才构成本罪。2008年7月14日印发的《最高人民检察院公安部关于公安机关管辖的刑事案件立案追诉标准的规定(一)》第60条具体规定了该罪的立案标准:
违反国家规定,向土地、水体、大气排放、倾倒或者处置有放射性的废物、含传染病病原体的废物、有毒物质或者其他危险废物,造成重大环境污染事故,涉嫌下列情形之一的,应予立案追诉:
(一)致使公私财产损伤三十万元以上的;
(二)致使基本农田、防护林地、特种用途林地五亩以上,其他农用地十亩以上,其他土地二十亩以上基本功能丧失或者遭受永久性破坏的;
(三)致使森林或者其他林木死亡五十立方米以上,或者幼树死亡二千五百株以上的;
(四)致使一人以上死亡、三人以上重伤、十人以上轻伤或者一人以上重伤并且五人以上轻伤的;
(五)致使传染病发生、流行或者人员中毒达到《国家突发公共卫生事件应急预案》中突发公共卫生事件分级Ⅲ级以上情形,严重危害人体健康的;
(六)其他致使公私财产遭受重大损失或者人身伤亡的严重后果的情形。
依据该解释的规定,只有像造成“基本功能”丧失或者遭受“永久性”破坏的后果这样的“超级实害犯”才能受到刑法处罚。过高的立案标准不仅与世界各国普遍处罚环境危险犯的立法例不符,也使得处罚标准本应较低的“重大环境污染事故罪”提升到仅次于“危害国家安全罪”的“高处不胜寒”的地位,继而造成了适用该罪寥寥无几之怪现状。然而,高速发展的中国社会必须要正视自己所处的时代,中国甚至要接受比西方发达国家更加巨大的风险挑战。那么,出于保障安全、维护良性发展的要求,这种无视风险规制的过于“后置化”的处罚模式就应当有所改变。
值得欣喜的是,我国的刑事立法已经开始有所回应。在2011年颁布的刑法修正案(八)中,第46条对于刑法第338条进行了修正,“违反国家规定,排放、倾倒或者处置有放射性的废物、含传染病病原体的废物、有毒物质或者其他有害物质,严重污染环境的,处三年以下有期徒刑或者拘役,并处或者单处罚金;后果特别严重的,处三年以上七年以下有期徒刑,并处罚金。”修改后的条文使本罪由结果犯改为行为犯,即不再要求“造成重大环境污染事故,致使公私财产遭受重大损失或者人身伤亡的严重后果”的要件,这一转变体现了行为无价值论的思想,有利于有效管控环境犯罪产生的风险,使得法益得以前置化的保护,值得肯定。此外,修改后的条文规定采用简单罪状的方式,使本罪成立范围的包容性更强。
除此之外,刑法修正案(八)还有一些条文也体现了法益保护前置化的思想,如增设的危险驾驶罪。随着我国《道路交通安全法》的出台,诸如无资格驾驶、超速驾驶、醉酒或服用镇静类药物后驾驶、严重超载驾车以及驾驶存在危险隐患的车辆上路等驾驶行为均被行政法规认定为危险驾驶行为,然而,对于这些危险驾驶行为在尚未造成严重后果时,现行刑法规定的交通肇事罪无力调整,刑法存在着规制的空白。随着民众对于飙车、醉驾等危险驾驶行为的痛恨程度的不断加强,对于此类行为进行刑法处罚的呼声日益高涨,刑法修正案(八)顺应民意,参考德日等国的刑法规定,新增了危险驾驶罪,即“在道路上驾驶机动车追逐竞驶,情节恶劣的,或者在道路上醉酒驾驶机动车的,处拘役,并处罚金”。这一前置化的处罚行为有利于对民生的保护,正如张明楷教授所言,“酒后驾车是交通肇事的高概率的先在行为,酒后驾车罪名的设立将会有利于减少重大交通事故的发生。”(23)
再如,刑法修正案(八)第23条对生产、销售假药罪进行了修正,将罪状修改为“生产、销售假药的,处……”和原来的规定相比,新的条文取消“足以严重危害人体健康”的要件的限制,即由具体危险犯改为抽象危险犯,使得处罚条件得以前置。
总之,中国刑法应当充分考虑法益保护前置化的合理性,应对日益增多的风险。刑法修正案(八)已经为我们提供了一条渐进式的改革设想:即首先考虑对某些行为予以犯罪化,尽快弥补立法上的空白;其次,对于某些已有犯罪目前只处罚实害犯的可以考虑扩张至危险犯;最后,再考虑对某些特殊行为是否增设抽象危险犯的条款。这种改革在适用范围上,应当先在诸如环境犯罪、计算机犯罪、食品药品犯罪等特定领域予以尝试,待经验成熟后再有选择地推广。需要说明的是,在改革的过程中也应当防止前置化所带来的“次生效果”即刑法的“严罚化”。(24)过于严厉的刑罚措施来防范未来的风 险,不仅与制度设计初衷相悖,也不符合比例性原则。我国应当调整刑罚结构,积极推行“严而不厉”的处罚模式,稳步推进刑罚的轻缓化。
注释:
①[德]乌尔里希·贝克:“从工业社会到风险社会(上篇)”,编译,载《与现实》2003年第3期。
②[德]格吕恩特·雅科布斯著:《行为责任刑法》,冯军译,中国政法大学出版社1997年版,第118页。
③[日]金尚均:“危险社会と刑法”,载《立命馆法学》2003年第5号。
④[日]伊东研祐:“现代社会中危险犯的新类型”,郑军男译,载何鹏、李洁主编:《危险犯与危险概念》,吉林大学出版社2006年版,第180页。
⑤冷罗生著:《日本公害诉讼理论与案例评析》,商务印书馆2005年版,第358页。
⑥[日]西田典之著:《日本刑法各论》(第三版),刘明祥、王昭武译,中国人民大学出版社2007年版,第271页。
⑦[日]山口厚:“危险犯总论”,王充译,载何鹏、李洁主编:《危险犯与危险概念》,吉林大学出版社2006年版,第13页。
⑧相信最近发生的日本福岛核电站的危机,使人们对于核风险的管控有了更新、更深刻的认识。
⑨张锋、任静远:“澳门有关人体器官和组织捐献、摘取及移植的法律制度”,载《法律与医学杂志》2000年第3期。
⑩[日]高桥则夫:“刑法的保护の早期化と刑法の界限”,载《法律时报》2003年第75卷第2号。
(11)王皇玉:“论危险犯”,载《月旦法学杂志》2008年第159期。
(12)[日]金尚均:“现代社会にぉける刑法の机能”,载《刑法杂志》2001年第40卷第2号,第174页。
(13)王皇玉:“论贩卖罪”,载《政大法学评论》2005年第84期。转引自高巍:“抽象危险犯的概念及正当性基础”,载《法律科学》2007年第1期。
(14)林东茂著:《危险犯与经济刑法》,五南图书出版公司1996年版,第15页。
(15)[日]高桥则夫:“刑法的保护の早期化と刑法の界限”,载《法律时报》2003年第75卷第2号。
(16)[日]金尚均:“人格的法益论とダイヴア—アジョンの可能性”,载《刑法杂志》2007年第47卷第1号。
(17)[韩]许一泰:“在危险社会之刑法的任务”,韩相敦译,载京师刑事法治网criminallawbnu.cn/criminal/Info/showpage.asp?showhead=&ProgramID=40&pkID=8376&keyword=。
(18)林宗翰著:《风险与功能——论风险刑法的理论基础》,台湾大学法律学研究所2006年硕士论文,第85页。
(19)我国刑法修正案(八)中首次出现了“禁止令”的规定,但仅限于对于管制犯、缓刑犯的规制,不过笔者乐观地相信这一规定的出台必将促成学界对于“禁止令”的进一步深入研究。
(20)谢杰、王延祥:“抽象危险犯的反思性审视与优化展望——基于风险社会的刑法保护”,载《政治与法律》2011年第2期。
(21)[日]山口厚著:《危险犯の研究》,东京大学出版社1982年版,第234—236页。
(22)鲜铁可著:《新刑法中的危险犯》,中国检察出版社1998年版,第107页。
(23)张明楷:“危险驾驶的刑事责任”,载《吉林大学社会科学学报》2009年第6期。
