时间:2023-09-15 17:31:09
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全有效性评估,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】网络 安全预测 方法 信息处理
计算机的日常基本运作离不开网络,但随着互联网的不断发展,网络环境存在巨大的安全隐患,传统的网络安全保护方式像入侵检测系统、防火墙等,已经不能再满足用户的网络安全防护需求。目前,网络安全势态预测方法是最受关注的问题,引起众多学者的激烈探讨,不少学者已经对此展开研究,提出了众多的网络安全势态预测方法,为改善网络安全问题做出了巨大的贡献。
1 网络安全态势预测方法的概述
网络安全势态预测方法主要是指查找潜在的网络安全问题,并收集与这些问题相关的信息,在此基础上运用相关经验进行分析,以数学模型计算作为辅助,预测网络安全问题产生的原因和发展趋势,为网络安全管理提供准确无误的数据信息。网络安全态势的预测具有复杂性和层次性两大特点。
2 准确的数据是网络安全态势预测的前提
数据信息整合的概念最早起源于20世纪中期的传感器观测,主要是指依照时序及时记录传感器观测所显示的数据信息,再将这些数据信息根据一定的准则,通过计算机的基本技术进行运算,将计算结果进行分类汇总,从而实现网络安全态势的评估和预测。在网络安全态势预测的过程中会出现许多数据,因此,在确保预测方法正确的前提下,需要确保数据的准确性。确保数据的准确性则需要人们掌握较高的数学模型使用能力和网络模型能力。通常采用整合数据信息和挖掘数据信息等方式预测网络安全态势,从而提高网络安全态势预测数据的精准性和科学性。然而,由于数据信息整合的概念使用角度和使用领域的不同,存在较大的差别,因此,目前对于数据信息的整合目前还没有统一的标准。
3 网络安全态势预测的系统框架结构
网络安全势态预测的系统框架结构主要包括数据采集、评估数据库、网络安全势态评估三大部分。数据采集是指收集网络安全态势预测中具有重要意义的数据,主要包括两个部分:第一,网络节点信息。网络安全态势的预测需要评估网络风险,评估过程中的网络安全态势理论性较强,需要以网络节点实时性为依据进行修改。第二,IDS报警日志的信息。IDS的信息有众多具有攻击性的网络信息,是网络安全态势的重要监测数据。IDS信息较为复杂,需要对这些信息进行分级和提取,降低评估时的难度。评估数据库包括威胁信息库、资产信息库、日至系统等,利用主机信息扫描应用程序得到相关信息。网络安全势态预测通常运用Markov模型预测势态,将评估的结果利用HMM参数训练,运用HMM-NSSP预算法进行下一个状态的预测。
4 网络安全态势势态预测的基本原理
网络安全管理的态势犹如军事领域中的战场态势,当出现分析对象的范围较大,又有许多干扰因素时,需要用态势来了解分析对象目前的状态和表现,并对此加以说明。这种态势是以建立高效的、精确的网络安全势态综合体系为核心目的,使网管人员对整体网络安全有更全面、更及时的把握。在收集数据信息上,网络安全态势需要根据时间的顺序;在处理信息时,根据时间将信息排成序列;进行变量输入时,需要注意选取前段的时间态势值,将下一段时间所显示的态势值作为输出变量。网络安全态势的预测和评估都需要根据与网络安全问题相关的产出进行处理,包括产生的次数、发生的概率以及被威胁的程度等等,再将所得的网络安全数据结合成一个准确反映网络状况的态势值,通过过去的态势值和目前的态势值预测未来的网络安全态势。由此可以得出结论:网络安全态势的预测从本质上来看,就是分析和研究按照时间顺序有一定序列的态势值,从而预测未来更多的态势值。
5 网络安全态势预测方法的应用
网络安全态势预测的应用主要有三种评估模型,主要是以下三种:第一,网络态势的察觉。网络态势的察觉是指在分析网络环境的基础上提取与网络态势相关的元素,再将这些网络态势相关的元素进行分类和处理,这种模型属于像素级别的结合。第二,网络态势的理解。网络态势的理解需要有具备充分专业知识的专家人士,将专家的系统结合网络态势的特征,在分析总结过后专家对网络势态做出有效的解释,为网络安全势态的预测提供相关依据,属于特征级别的结合。第三,网络势态预测。网络势态预测主要是负责多个级别的预测,包括像素级别和特征级别,预测各个级别由单体行为转变为全局网络态势的整个过程,这种模型属于决策级别,是最高的模型。除此之外,网络安全态势预测方法的应用也包括挖掘数据信息,挖掘数据信息主要是指找出网络数据库中具有较大的潜在利用价值的数据信息,再将这些数据进行分析评估。同源的数据信息更具有准确性和有效性,与单源的数据相比有较大的优势。另外,准确的数据需要依靠多个传感器,通常情况下,多个传感器能够处理多个级别甚至多个层面的信息,提高了网络安全势态预测的精确度。
6 结束语
网络安全态势预测是目前最受关注的问题,也是一项技术含量十分高的工程,需要引起人们的重视。网络安全态势的预测需要有严谨的数学逻辑和精准的数据,通过人们的不断努力,营造安全的网络环境指日可待。只有合理运用网络安全态势方法,才能减少因网络安全问题带来的损失。
参考文献
[1]谭荆.无线局域网通信安全探讨[J].通信技术,2010(07):84.
[2]杨雪.无线局域网通信安全机制探究[J].电子世界,2013(19):140.
[3]李晓蓉,庄毅,许斌.基于危险理论的信息安全风险评估模型[J].清华大学学报,2011,51(10):1231-1235.
论文摘要:随着信息化建设的不断深入,医院信息系统的应用也越来越广泛。医院各种信息的网络化,共享化,也为其安全带来了一定程度的考验。本文通过分析医院信息系统的特点,对其数据信息的安全和保密工作进行了技术和管理上的探讨。
医院信息系统是一个复杂庞大的计算机网络系统,其以医院的局域网为基础依托、以患者为信息采集对象、以财务管理为运转中心,对医院就诊的所有患者进行全面覆盖。医院信息系统包括了医患信息和医院管理等各种信息,对信息的网络安全进行保护,保证其信息的完整性和可靠性,是医院信息系统正常运转的根本条件。因此有必要对医院信息系统的网络数据进行安全管理,避免各种自然和人为因素导致的安全问题,保证整个系统的安全有效。
一、医院信息系统特点分析
医院信息系统的网络结构决定着系统功能性及有效性。系统的各种集散数据、通信和所提供的系统的扩充能力、自我维护、信息服务等都很大程度上依赖与医院信息计算机系统的网络结构。星形拓扑结构有利于信息的集中控制,能避免局部或个体客端机故障影响整个系统的正常工作,因此可以采用以星形拓扑为基础的分层复合型结构的信息系统进行医院数据的全面管理。其次,作为医院信息系统的主要数据管理模式和管理工具,医院的数据库系统是保证医院信息系统完整性和安全性的关键。
一般认为网络安全就是针对黑客、病毒等攻击进行的防御,而实际上对于医院的信息系统而言,网络安全还受到其他很多因素的威胁,比如:网络设计缺陷、用户非法进入、通讯设备损坏等。网络出现故障将造成患者重要信息损坏和财务管理数据丢失,导致医院的正常作业不能开展。因此本文从技术和管理两个层面对医院信息系统的网络安全维护进行了探讨。
二、医院信息系统网络安全的技术实现
网络、应用、数据库和用户这四个方面是建立医院信息系统安全体系的主要组成部分,只有保证了这些结构的安全,才能从基本上实现医院信息系统的网络安全。
首先是确保网络的安全。医院网络安全包括医院内部网络安全和内外网络连接安全,防火墙、通讯安全技术和网络管理工具等是最常用的技术。其次是确保应用系统的安全。计算机的应用系统完整性主要包括数据库系统和硬件、软件的安全防护。可以采用风险评估、病毒防范、安全审计和入侵检测等安全技术对系统的完整性进行保护。其中,网络安全事件的80%是来自于病毒,因此病毒防范是保证系统完整性的主要措施。然后是确保数据库的安全。对处于安全状态的数据库,可以采用预防性技术措施进行防范;对于已发生损坏的数据库,可以采用服务器集群、双机热备、数据转储及磁盘容错等技术进行数据恢复。最后是确保用户账号的安全。采用用户分组、用户认证及唯一识别等技术对医院信息系统的用户账号进行保护。
三、医院信息系统网络安全的管理体系
除了在技术上对医院信息系统的网络安全进行确保,还需要建立完善合理的安全管理体系,更高层次的保证医院所有有用数据的安全。 (一)进行网络的信息管理。作为现代化医院的重要资产,且具有一定的特殊性,医院的所有信息都有必要根据实际情况,对不同类型的信息因地制宜的制定各种合理的管理制度,分类管理,全面统筹。(二)进行网络的系统安全管理。随时关注网络上的系统补丁相关信息,及时完善医院信息系统,对需要升级的系统进行更新,通过确保系统的安全达到保护整个医院信息管理安全的目的。(三)进行网络的行为管理。由专门的网络管理人员利用网络管理软件对医院信息系统内的各种操作和网络行为进行实时监控,制定网络行为规范,约束蓄意危害网络安全的行为。(四)进行身份认证与授权管理。通过规定实现身份认证与权限核查,对医院信息系统的用户身份和操作的合法性进行检查验证,从而区分不同用户以及不同级别用户特征,授权进入信息系统。(五)进行网络的风险管理。通过安全风险评估技术,定期研究信息系统存在的缺陷漏洞和面临的威胁风险,对潜在的危害进行及时的预防和补救。(六)进行网络的安全边界管理。现代化医院的信息交流包括其内部信息和内外联系两部分。与外界的联系主要是通过Internet进行,而Internet由于其传播性和共享性,给医院的信息系统带来较大的安全隐患。(七)进行桌面系统安全管理。桌面系统作为用户访问系统的直接入口,用户能够直接接触的资源和信息一般都存放其上,因此对其进行安全管理非常重要。用户可以采用超级兔子魔法设置或Windows优化大师等应用软件对无关操作和非法行为进行限制。(八)进行链路安全管理。针对链路层下层协议的攻击一般是通过破坏链路通信而窃取系统传输的数据信息。因此要对这些破坏和攻击进行防御,医院可以通过加密算法对数据处理过程实施加密,并联合采用数字签名和认证仪器确保医院信息数据的安全。(九)进行病毒防治管理。网络技术和信息技术的不断发展,也滋长了各种病毒的出现。病毒是计算机系统最大的安全隐患,对系统信息的安全造成很大的威胁。(十)进行数据库安全管理。对数据库的安全管理应该配备专人专机,对不同的数据库类型采取不同的使用方式和广利制度,保护医院信息系统的核心安全。(十一)进行灾难恢复与备份管理。百密总有一疏,任何安全防护体系都不肯能完全对病毒进行防杀,因此为了避免数据的损坏和事故的发生,需要制定相应的数据恢复措施,对重要数据进行定期备份。
四、结束语
当今信息化的不断发展给医院的管理和高效运转带来了方便,但同时也带来了挑战。为了维护病人医患信息和医院财务信息,需要从技术和管理上加强对网络的安全工作,需要与时俱进,不断采用新技术,引进新方法,适应社会需求,将医院的信息化建设推向更高平台。
参考文献
[1]尚邦治.医院信息系统安全问题[J].医疗设备信息,2004,9
[2]从卫春.浅谈医院信息系统安全稳定运行[J].医疗装备,2009,15
【关键词】 计算机网络 网络维护 网络管理
良好的计算机网络状态维护对保持网络的高效可靠应用与运行具有十分重要的意义。充分发挥计算机网络在数据传输与处理方面的性能优势,提升相关人员的工作效率,避免因网络故障所引起的网络终端设备受损、网络数据受到安全威胁等情况的发生。
一、计算机网络概述
计算机网络是指多个计算机终端以特定的规则和通信协议连接形成的一个可以进行数据传递与共享、协同工作与运行的计算机系统。在计算机网络中的服务器中部署与应用相关的管理软件可以对网络运行状态和网络内的软硬件进行实时监控与管理,保障网络用户的工作环境免受安全威胁和恶意破坏,促进整个计算机网络的安全有效运转。
二、计算机网络的维护
2.1 软件安全维护
为保障计算机网络的安全,首先需要从计算机软件入手,对其进行集中安全与管理,避免恶意软件影响网络数据的安全。同时,统一软件安装还能够提升网络维护的效率与质量,增强防火墙、通信协议与策略、入侵检测等网络安全防护技术的有效性。
2.2 权限分配与口令设置
对计算机网络终端及操作人员进行层次分级,并依照对应的层次为其分配登陆口令与操作权限可以进一步的提升计算机网络的可靠性,避免非授权用户的网络登入行为,提升网络的安全性能。同时,该维护策略还能够有效提升计算机网络日志的应用效率,在网络出现问题时及时对问题进行定位和分析,缩短网络故障时间,提升网络故障排除精确度。
2.3 网络层级的杀毒软件部署
计算机网络具有较高的开放性和共享性,一旦网络内某一终端感染到病毒,其就会对整个网络内的终端带来安全威胁。在网络服务器中安装与部署杀毒软件可以及时发现与清除终端内存在的病毒,避免其他终端被感染,维护网络通信的安全。
2.4 硬件维护与通信协议管理
计算机网络的运行离不开硬件系统的支持。维护计算机网络的稳定性和可靠性还应该从硬件层面着手,开展相关的维护工作。如网线制作标准可选用568B;网络部署过程中要对网络连接进行检测;对网卡的驱动和连接等进行检查等。
三、计算机网络的管理
3.1 网络配置
对计算机网络进行配置是计算机网络维护工作的首要内容,其设计网络参数设置、级别定义等内容。良好的网络配置方案可以降低路由器的工作负担,增强网络拓扑结构的鲁棒性,降低网络拥塞的发生概率。
3.2 网络故障管理
计算机网络处于不间断服务状态,其运行过程中可能会出现网络故障,为缩短故障时间,避免故障的重复出现,需要对网络状态进行分析,获得一个大致的评估结构,依照该结果对网络进行管理。常见的网络故障有因硬件传输线路故障所引起的数据传输中断;因路由器、终端主机故障所引起的数据传输中断;因DNS服务、数据库错误等问题所引起的通信故障等。了解与掌握上述故障的特点及故障内容,定期检查和更新相关配置,不仅能够及时查找到故障的原因还能够协助制定高效可行的故障排除方案。
3.3 网络性能管理
维持网络性能是计算机网络管理与维护工作的重要内容之一,其直接关系到计算机网络的应用质量与运行效率。反映网络性能的指标有吞吐量、转发率、丢包率、节点处理延时等,针对这些指标可以从网络配置和状态查询等入手开展网络性能管理,通过配置合理的参数来提升传输信道的利用率。常见的性能管理手段有带宽分配、连通时间控制、IP地址及其对应权限配置、流量配置等。
3.4 网络安全管理
网络安全的管理应该遵循完整性、可控性、保密性、抗抵赖性等几方面原则,在此基础上分两层分别进行管理。第一层主要是对网络安全及其风险评估方法与策略制定;第二层是在第一层的基础上应用适当的系统化管理方法开展生命周期管理、层次化管理、协作化管理、动态化管理以及应急响应等具体管理。
四、总结
计算机网络是现代数据传输与存储的主要载体,对人们的工作与生活具有重要意义。维持计算网络的正常稳定运转不仅能够提升网络的应用效果,还能够保障网络内数据通信的安全,避免为网络用户带来经济损失。
参 考 文 献
[1] 田小虎. 计算机系统安全与计算机网络安全浅析[J]. 现代商业,2010(35)
关键词:医院 信息系统 安全
中图分类号:R197.3 文献标识码:A 文章编号:1003-9082 (2017) 04-0222-01
在医院信息系统建设中,信息安全为一种重要组成部分。医院信息系统的安全性主要涉及备份方案的可靠性、网络安全、计算机病毒防治等。信息系统一旦出现安全问题,会对医院工作效率、工作质量产生严重影响。因此,加强对医院信息系统安全实施科学管理,对医疗机构相关医疗服务工作开展效率及质量的保证及提高均具有重要价值[1]。本文主要以新形势下医院在信息安全方面所面临的挑战作为切入点,对医院信息安全有效防治措施进行深入研究,旨在为医院信息系统安全性提供更多保障。
一、新形势下医院信息系统安全面临挑战
1.信息安全管理策略、责任缺乏明确性
目前,多数医院在实施信息安全管理过程中,未能制定符合医院实际情况的安全管理措施、规划,或未能及时对管理策略进行修改。同时,医院领导对信息安全管理重视程度不够,未能及时发现存在的安全隐患,未能实施预见性、针对性风险评估和防范。这导致医院信息安全管理缺乏有效、科学的防治措施,管理责任含糊不清,安全防控效果差。
2.系统数据存在安全隐患,信息安全事件频发
目前,多数医院在实施网络安全建设过程中所选用的安全产品还缺乏联动,部署存在不均衡性,安全信息未能得到有效挖掘,纵深安全防护未能形成,防护效果较低[2]。同时,随着计算机网络技术发展速度的不断加快,计算机系统漏洞、病毒泛滥等网络安全问题频发。医院网络因未能形成有效的安全防护,用户终端未能及时实施系统升级、漏洞修补、病毒查杀等,这均为网络信息系统安全埋下隐患,对医院信息安全造成巨大威胁。保证用户端的安全,通过用户端对威胁入侵网络进行阻止,对访问网络实施严格控制,为保证医院网络安全和信息安全的重要前提,同时也是医院目前信息系统安全管理中必须要解决的一个重要问题。
二、应对信息安全挑战措施
1.加强制度、队伍等建设及完善,提升安全管理水平
首先,医院须积极建设安全机构,将信息系统安全管理责任进行明确划分。同时设立专门信息安全领导小组,并将小组中各个成员的安全管理职责和责任明确,并严格把控相关责任人管理责任的落实情况。领导小组须不定期组织开展信息系统安全检查,并实施安全事件处理应急演练。其次,加强管理队伍建设,提升管理人员的安全防范意识。医院应积极建设一支高专业素质和能力的安全管理队伍,为信息系统能够正常运行提供有效保障。医院可通过院内培训、院外引进等方式,加强对管理人员实施信息安全教育和培训,促进其安全防范意识以及应急处理能力得到有效提高。再次,积极建设并不断完善安全制度,对安全管理策略进行不断改进和优化。医院须建立一套包含网络、应用、运行、信息安全等诸多个方面的,具有可行性和可行性的规章制度。同时,医院以自身信息系统实际情况作为根据,对信息安全管理的等级、范围进行明确,制订出切实可行的出入机房管理制度、网络操作使用规程、网络系统应急措施及维护制度等,积极建立起适合自身实际情况的信息安全管理策略,提高管理有效性,保证医院信息系统运行的安全性。
2.制定规范性信息安全管理流程
首先,对信息系统登录密码实施规范化管理。单位中所使用的密码须通过“暗文”的方式进行保存,同时配上相应的修改密码记录,定期实施密码修改。其次,对系统使用权限进行规范管理。业务软件需要将原有用户取消或增加新用户时,必须要严格按照要求认真填写情况说明表,经所在科室负责人签字,之后信息科才能实施用户撤销或新用户添加操作,同时向新用户分配相应的操作权限[3]。同时,当员工需实施统计、其他操作权限变更时,须按照要求填写好说明表,交由科室负责人签字,然后交由相关行政科室进行审批,获得同意后信息科才能进行修改。再次,对第三方访问进行规范控制管理。将第三方访问者须将计算机的IP地址绑定于MAC地址,然后才能访问单位内部网络。第三方访问内部网络或出入信息科均须认真填写登记表;应要求第三方使用信息科计算机访问内部网络,其不使用信息科电脑访问网络时须填写申请表格,并有信息科负责人签字,由相关科室进行审批,同时之后才能访问。
3.运用技术加强信息安全管理
首先,积极强化冗余技术应用。医院的信息网络运行状况直接关系整个医院业务系统的运行状况,网络变化、故障的出现均会导致医院相关业务正常运行遭受严重影响,甚至可导致业务系统出现中断,因此,在信息安全管理过程中必须保证网络运行的可靠性进行充分考虑。冗余技术的运用可有效保证网络运行的可靠性。该种技术主要由处理器冗余、电源冗余、模块冗余等技术构成。其次,强化加密处理技术。为了保证信息系统涉及相关数据的安全性,必须建立可靠、安全的数据中心,杜绝相关安全隐患,增加数据安全等,保证患者信息及时交互得以实现。加强对信息实施加密处理,选用先进的驱动级加密技术、虚拟化技术等,对重要信息及文件M行加密。此外,还应加强使用先进入侵检测技术,保证被攻击组件及时得到识别被隔离,提高系统防御能力,保证信息系统安全。
三、结束语
医院信息安全管理为一项具有复杂性、系统性的工程,为了保证信息系统安全、可靠性,医院必须建立起一套健全、有效的安全管理控制及防御体系,积极应用相关先进技术实施安全防治工作。只有这样才能正在保证医院信息系统运行的安全性。
参考文献
[1]开拓.医院网络信息的不安全因素分析及防护措施分析[J].网络空间安全,2016,16(Z1):609-610.
关键词:电子商务;身份认证;防火墙
一、有关电子商务的安全性要求
1.对电子商务活动安全性的要求:
(1)服务的有效性要求。电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
(2)交易信息的保密性要求。电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。
(3)数据完整性要求。数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。
(4)身份认证的要求。电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
2.电子商务的主要安全要素
(1)信息真实性、有效性。电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
(2)信息机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
(3)信息完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
(4)信息可靠性、可鉴别性和不可抵赖性。可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在internet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
二、电子商务采用的主要安全技术
1.网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。
防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
2.通讯的安全
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。[论/文/网LunWenNet/Com]
3.应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现像这些问题一样的错误。
4.用户的认证管理
(1)身份认证。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
(2)CA证书。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。
(3)安全套接层SSL协议。安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。
SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,CertificateAuthority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Ht2tp、Ftp、Telnet等)以保证应用层数据传输的安全性。SSL协议握手流程由两个阶段组成:服务器认证和用户认证。
三、电子商务安全需要进一步完善的配套措施
电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施:
(1)突破关键技术受制于人的瓶颈。
(2)我国应尽快对电子商务的有关细则进行立法。
(3)大力开发大型商务网站,发展与之相配套的物流公司。
(4)为了确保系统的安全性,除了采用技术手段外,还必须建立严格的内部安全机制。
(5)建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。
(6)对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。[论\文\网LunWenNet\Com]
参考文献:
[1]吴洋.电子商务安全方法研究[D].天津:天津大学,2006.
[2]李艳.电子商务信息安全策略研究[J].甘肃科技,2005(6).
[3]成卫青,龚俭.网络安全评估[J].计算机工程,2003(2).
[4]甘悦.浅议电子商务信息安全体系的构建[J].西北成人教育学报,2007(2).
[5]周明,黄元江,李建设.电子商务中的安全技术研究[J].株洲工学院学报,2005(1).
[6]张娟.电子商务网络安全技术探究[J].甘肃科技纵横,2005(4).
[7]赵乃真.电子商务技术与应用[M].北京:中国铁道出版社,2003.
【 关键词 】 Windows Server 2003、安全评估、审核
The Research of Security Assessment System based on Windows Server 2003
Li Bing-bing 1 Wang Shuang 2
( 1.Foshan Polytechnic GuangdongFoshan 528137;2. Zhengzhou Technical College HenanZhengzhou 450121 )
【 Abstract 】 the rapid development in information technology , computer security has become a potentially huge problem. In order to effectively protect the host system security, avoid an attack, and appeared to security assessment system, its purpose is to host malicious attacks before, with the host security status was assessed, allow users to understand the host security condition, so that take corresponding preventive measures and setting the corresponding security strategy. Host security assessment system is a safety assessment platform, through the invocation of each module, system to complete the overall assessment. This paper from the system requirements analysis, followed by the object oriented design method to complete the module design and implementation process.
【 Keywords 】 windows server 2003; safety assessment; audit
0 引言
随着计算机网络的发展,计算机网络安全成为人们关注的话题,越来越多的个人用户参与到互联网络的活动中来。在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏。随着Windows Server 2003操作系统使用的范围越来越广,被发现的漏洞越来越多,这就需要网络管理员不断地对系统进行修补,但由于Windows Server 2003系统的复杂性,新的安全漏洞总是层出不穷。因此,除了对安全漏洞进行修补之外,还要对系统的运行状态进行实时监视,以便及时发现利用各种漏洞的入侵行为。如果已有安全漏洞但还没有全部得到修补时,这种监视就显得尤其重要。我们可以通过安全审核功[2]能来实现这一监视。其实这是Windows自带的一项非常有用的功能。因此,用安全技术、安全策略、安全模型和安全法规等安全措施来保证网络安全成为当前信息领域的研究热点,并受到了人们的广泛关注和极大重视。
1 需求分析
审核是指“为获得审核证据并对其进行客观评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程”。 审核是一种评价过程.这种评价是以审核准则为依据,以审核证据为前提,然后进行客观的评价。并通过评价来确定评价对象的符合性和有效性,从而找出可以改进的方面。审核准则可以是要求或规范标准。适用的法律法规,也可以是组织自己编写的管理体系文件;审核证据可以是审核员观察到的活动事实、文件或记录等。
1.1 基于主机的安全需求
每当用户执行了指定的某些操作,审核日志就会记录一个审核项。计算机上的操作系统和应用程序的状态是动态变化的。作为企业风险管理项目的一部分,定期分析可以使管理员跟踪并确保每个计算机有足够的安全级别。分析的重点是专门指定的、与安全有关的所有系统方面的信息。这使管理员可以调整安全级别,而且最重要的是,可以检测到系统中随着时间的推移而有可能产生的所有安全威胁。
1.2 基于评估系统的安全需求
从本论文角度上来讲,当前对评估系统的研究工作,主要存在几个问题:(1)插件个数不够细化;(2)并无单一的插件是关于审核策略评估的,甚至在则策略扫描中也没有关于审核策略评估;(3)一些企业更侧重于对审核策略的研究。
根据以上的分析,可以得知要对评估系统进行细化的方法之一是专门添加一块审核策略的评估。这是对评估系统的完善,同时也对一些企业的需求做了一下补充。为了对审核策略便于管理,要收集9个审核策略类型的所有安全事件信息,设计自己的安全评估库,并且要对所有的审核策略进行原理分析。安全评估库中存放了审核策略的9个类型、相关配置情况和配置安全等级。只有这样系统管理员才能真正得知主机的审核策略配置情况。
1.3 运行环境
本系统运行在Windows Server 2003 服务器 环境下,装有ACCESS数据库。
2 总体分析和关键技术
2.1 研究方案
源于审核策略评估是安全评估系统的新模块,在了解主机评估系统的功能设计的基础上,需要了解审核策略的配置类型。在经过研究后,发现主机评估系统是基于插件(形式为动态链接库,DLL库),而且审核策略在注册表中很难查出相关配置。但是审核策略的配置一定会产生相关的安全事件,并记录在安全日志中。因此需要研究安全日志的数据存储格式和如何获取相关信息。
在获取“事件类型”和“事件ID”之后,先让“事件ID”与已知的安全事件库比对获取安全事件库的值。然后刚获取的“事件类型”(成功、失败)与值进行“&”运算,得出审核策略的配置情况。最后根据审核策略配置与安全评估库的比对,得出安全配置的等级。
2.2 关键技术
(1)插件的机制
在于不修改程序主体(平台)的情况下对软件功能进行扩展与加强,当插件的接口公开后,任何公司或个人都可以制作自己的插件来解决一些操作上的不便或增加新的功能,也就是实现真正意义上的“即插即用”软件开发。 这里主要是通过DLL库的使用实现的。
(2)动态链接库(DLL库)
在Windows中存在一种叫做DLL(Dynamic Linkable Library)的文件,这种文件可以提供一些应用程序可以导入的数据、函数和类。
一般情况下DLL主要是为外部应用程序提供可调用的函数,因此在DLL中必须定义一些函数。DLL中的函数如果是外部应用程序可以调用的,那么这种函数叫做导出函数,导出函数在客户端叫做导入函数。
DEF(Module Definition File)文件又叫模块定义文件,这是一个用于描述DLL属性的文本文件,每个DEF文件一般要包含以下模块的定义语句:LIBRARY语句,指出DLL的名字,将把这个名字放到DLL库中;EXPORTS语句,列出库中导出函数的名称及导出函数的序号。DISCRIPTION描述语句。
在创建DLL时,编译链接器将要使用DEF 文件创建两个文件:一个导出文件(.exp)和一个导入文件(.lib),然后使用导出文件(.exp) 再创建DLL文件。
(3)数据库的使用
考虑到网络安全评估系统工作在Windows平台,且该系统所使用的数据库规模不是特别大,但要求该系统在其他操作系统上的适应性要好,而且有合理的数据库的访问技术,对于提高整个安全评估系统的性能是至关重要的,故采用Windows平台上ACCESS数据库。
(4)扫描安全日志的审核事件技术
MFC封装了决大多数的API函数,因此利用相应的API函数可以对安全日志的相应信息进行读写操作。
3 详细设计
3.1 系统的相关算法
这里的算法主要是研究评估标准。源于目前并无有关审核策略评估规范的评估标准,根据微软“Microsoft TechNet”网站提供的“创建Windows Server 2003 服务器的成员服务器基准”,本文自定义审核策略评估标准。其中,“成功审核”是个安全事件,“失败审核”也是个安全事件;换言之,没发现“成功审核”和“失败审核”则是不安全的。其设置如 表1和表2所示.
3.2 库设计
本文中用到三个库:AuditPingGu表、Auditshijian表和Vulnerability表,主要设计了AuditPingGu表和Auditshijian表。其中,AuditPingGu表定义和保存了审核策略评估信息,Auditshijian表定义和保存了审核事件的信息。如表3 Auditshijian表定义和表4 AuditPingGu表定义。
3.3 核心代码
_RecordsetPtr serset;
CString serSQL;
ADOConn m_AdoConn;
_variant_t var;
// variant_t类封闭了VARIANT数据类型,VARIANT是一个结构体类型,
CString strName;
serSQL="SELECT sheheleixing FROM Auditshijian
WHERE shijianID ='"+sTrEventID+"' ";
//已经找到与事件ID相匹配的
_bstr_t sql=(_bstr_t)serSQL;
serset=m_AdoConn.GetRecordSet(sql);
try
{
while(!serset->adoEOF)
{
var = serset->GetCollect("sheheleixing");
if(var.vt != NULL) //.vt是变体类型
{
strName = (LPCSTR)_bstr_t(var); if(strName=="审核系统事件"&&
event_category=="失败审核"&& shdx[0].failure=="假")
{
shdx[0].failure="真"; //shdx[0] :失败 审核系统事件;
serset->MoveNext(); break;
}
else if(strName=="审核系统事件"&&
event_category=="成功审核"&&shdx[0].success=="假")
{
shdx[0].success="真";//shdx[0] :成功审核系统事件; serset->MoveNext();
break;
}
}
4 总结
本文针对Windows Server 2003的安全问题展开研究,设计其安全评估系统,首先根据当前社会的需求进行了需求分析,其次又对系统进行总体分析和关键技术的介绍,最后对系统进行了详细的分析,对系统采用的算法,库的设计和核心代码都进行了细致的描述。由于篇幅不足,本文对整个系统的描述难免有不足之处,希望此方面研究的同行,共同研究和探讨。
参考文献
[1] 苗军民,张彬,刘劲松.Windows Server 2003的安全机制分析[D].网络安全与应用,2007.
[2] 王静.主机安全风险评估方法研究[D].软件导刊,2007-08.
[3] 杨忠仪,蔡志平,肖侬.插件技术在安全扫描中的应用[D] .中国科技信息,2006,8.
[4] 吴金平等.Visual C++编程与实践[M] .北京:中国水利水电出版社,2004.
作者简介:
关键词:公钥基础设施(PKI);数字认证(CA);矿区管理;信息安全;密码服务器
0引言
当前我国矿山企业安全生产形势依然严峻,安全生产基础相对薄弱,事故总量还是很大,煤矿、金矿等高危行业结构不合理,应急处置以及救援抢险能力相对不足,部分企业违规违章现象依然存在,给安全生产带来一定的安全隐患[1]。随着计算机通信和网络技术的快速发展,矿山企业安全生产的信息化管理成为衡量企业现代化建设的重要指标,也是促进企业安全生产、提升效益的重要方式。矿区安全生产管理平台在部署时,采用开放式架构,兼容主流信息技术,在.NET平台的基础上,为了满足多种信息源服务终端的需求,平台采用了多种基础数据库模型技术,保证安全管理平台的系统整合能力。平台采用面向服务的架构(SOA)设计,并基于分层和分类结合的混合模式,数据交换模式采用标准的XML等技术,应用统一规范的数据交换接口及应用程序接口,安全机制相对可靠[2]。平台基于J2EE技术架构,支持HTML和DHTML等Web浏览器标准,设计原则遵循高内聚、低耦合的原则,降低系统各个功能模块间的耦合度,降低操作难度,提高系统的通用性。根据矿山企业矿区分散、不聚集的特点,为保证矿山生产网和办公信息网之间以及与外网之间的信息交换畅通,确保信息在产生、存储、传输和处理过程中的安全性,需要建立全网统一的认证与授权机制、时间服务和密码服务。目前,在各种技术,基于PKI/CA的信息安全技术能合理的作用于矿区安全生产信息化管理平台,从而保证安全策略得以完整准确的实现,该技术是解决数据加密、保护信息安全最有效的方案[3]。
1基于PKI技术的安全生产管理平台体系研究
1.1安全生产管理平台的需求分析
矿区安全生产管理平台为解决矿山企业安全统一管理应运而生,以安全生产风险管控为核心的风险管理平台是目前各个矿山企业信息化建设的新趋势。以安全生产管理为核心的平台建设可以实现对危险隐患的合理分析,形成事前管理、事中风险预控、事后应急救援在内贯穿安全生产管理全过程的监督管理,从而达到提升安全管理水平的目的。
1.2安全生产管理平台的系统功能设计
以矿区实际情况为前提,以信息资源规划和开发利用为主线,以安全法律法规为支撑,根据功能需求,在成熟的软件开发方法论的指导下,矿山企业安全生产信息化管理系统的主要功能框架如图1所示,其子系统设计如下:包括风险管理子系统、事故管理子系统、安全隐患管理子系统、应急救援子系统、安全培训子系统、监督检查子系统、质量标准化子系统等7大部分。其中风险管理子系统主要负责矿区风险评估,衡量事故发生的可能性并对其可能造成的相关损失进行评估,根据风险评估结果,制定相应的管理标准及措施;事故管理子系统主要负责对已发生的事故进行统计,形成事故报告、事故月报、事故数据库等,方便查询,根据需求进行事故通报和责任追究;安全隐患管理子系统主要进行安全隐患追踪、及时对隐患信息进行登记、上报、汇总等,形成隐患整改通知单,及时开展追踪和销号管理等;应急救援子系统主要针对突发紧急事件进行预防、救援、恢复等管理,以应急救援案例库为依托,类比实际案例,推送相关匹配度最高的案例辅助应急救援决策,此外该模块涵盖救援队伍、救援机构等详细信息;安全培训子系统主要负责相关人员安全的培训信息统计,及时对持证人员进行过期预警提示,服务于公司的安全培训管理等制度;监督检查子系统主要进行安全活动制定、、总结等,下设安全检查、整改落实、经验总结等三个子模块,为安全监督管理机构安全检查发现的问题、形成原因、改进措施、整改建议等;质量标准化子系统主要为管理人员提供标准库查询、检查数据汇总等服务,方便现场检查及质量便准化考核等。
1.3安全生产管理平台的PKI/CA技术分析
1.3.1PKI技术体系简介
随着当前信息系统建设的快速发展和数字网络化的应用的普及,不同部门之间、跨部门的信息共享和综合分析的需求也在日益增加,与此同时当前信息网络应用中也面临着信息量大、数据种类繁多,不同数据访问要求不同等现状,因此包括信息保密性、身份认证、访问权限管理等在内的信息安全问题急需解决。公钥基础设施(publickeyinfrastructure)简称PKI,为解决大型信息网络面临的安全问题应运而生。PKI是当前信息化安全建设的基础和重要保证。PKI是一种具有安全性和透明性的密钥管理系统,通过为用户提供密钥和证书管理服务,提供安全策略,从而建立安全有效的网络环境,保证数据信息在安全传输的过程中不被非法偷看以及非授权者篡改等,从而达到保护用户信息机密、完整的目的[4-6]。通常来说,一个完整的PKI系统包含认证中心数CA(certificateauthority)、证书库、密钥备份及恢复系统,证书作废处理系统,客户端证书处理系统等五大部分,其中CA是PKI的核心执行机构,证书库是存放公钥和用户证书的信息库[5-7]。
1.3.2基于PKI体系的矿山安全生产信息化管理体系结构
PKI作为一种安全技术,已经深入到常规网络的各个层面,使用户可以在多种应用环境中使用加密及数据签名技术,是当前网络信息安全问题的综合解决方案,为企业的信息安全保驾护航。对于本文分析的矿山企业安全生产管理平台,PKI技术将重点解决用户访问权限、信息传输、数据共享等问题,如准确验证登录用户身份、保证跨部门之间的信息保密与共享、防止信息窃取保证信息安全传输等等。矿山安全生产信息化管理平台的PKI安全服务体系主要包括证书签发管理和PKI安全服务两部分,如图2的方框所示。其中PKI的主体是证书机构CA、注册机构RA(registrationauthority)、密钥管理KM(keymanagement),其中核心组成CA是数字证书的颁发机构,数字证书就是网络用户的身份证,CA审核用户身份等信息并与公钥结合形成数字证书,从而确保其真实有效性,使得PKI能够为网络用户提供较好的安全服务[7]。RA在整个体系中起承上启下的衔接作用,是连接用户和CA之间的桥梁,既向CA转发证书请求,也向安全服务器转发CA签发的证书等。KM主要负责密钥的备份、恢复、保存等管理服务,三个系统完成了证书签发、管理等功能。公共安全接口具有一套通用、抽象的系统函数,实现语言较多,具体的密码算法不会影响到该接口,设计者可以根据自己对于系统的需求对安全接口进行开发,该接口根据工作环节及性能分为初始化部分、安全操作部分、解编部分、通信部分等。
管理调度单元衔接公共安全接口与密码服务单元,公共安全初始化部分通过管理调度单元选择密码服务单元,而管理调度单元向负载最小的密码服务单元进行申请密码服务,从而使得服务器负载均衡。当系统调度单元出现故障时,系统会随机分配一个密码服务单元,保证应用系统的正常运行,在保证系统负载均衡的同时,也保证数据的冗余备份,从而为应用系统提供及时安全的密码服务。密码服务单元是PKI密码服务的核心部分,负责提供相关密码算法及密钥管理功能。密码服务器根据配置需求及应用情况包含多个密码服务单元,当一个单元出现故障时,可以通过管理调度单元进行分配,从而保证应用系统的正常运行。密码算法根据功能特性主要分为三类:非对称密码算法(公钥密码)、对称密码算法(传统密码)和安全Hash算法[9-10]。非对称密码算法计算速度相对较慢,但其电子签名和密钥交换功能有更广阔的应用范围;对称密码算法运算速度较快,适用于大数据高流速的数据加密/解密功能,但是难以实现用户身份识别等功能;安全Hash算法可以用来实现数据完整性验证和辅助电子签名等功能。密钥管理主要包括密钥的产生、更新、泄露处理、有效期管理、存储、销毁等功能,从而保证密钥的安全有效运行。实时监控单元对密码服务器中的单元状态进行实时监控,及时找到密码服务的相关故障,此外实时监控单元的日志功能可以记载密码服务器出现问题的详细信息。以PKI技术为核心的信息安全架构体系可以有效的作用于矿山安全生产信息化管理平台的正常设计和应用中,尤其是多层次的网络系统中,从而保证安全策略顺利实施,从而保证整个平台系统的信息安全和应用安全。
2PKI/CA相关技术在矿山企业安全生产管理建设中的应用效果
以密码技术为核心的PKI/CA技术,提高了网络的安全性与可靠性,较好地解决了信息共享开放与信息保密隐私的关系、网络互联性与局部网络隔离的关系,保证矿山企业安全生产管理建设的信息安全性,为企业内部用户提供了安全信赖的网络环境,保证了企业不受信息安全威胁,为矿山的安全生产、信息管理提供了技术保障,在数据安全管理、业务协调以及实时智能指挥等领域取得了一定的应用效果。
2.1在数据安全管理领域的应用效果
2.1.1身份认证和访问控制方面
安全生产管理平台用户角色众多,有企业监管人员,公众访问人员,平台内部测试管理人员等,一人多账户多角色多权限,容易带来极大的安全隐患问题,因此具有支持多种认证方式同时具有统一认证访问控制的安全机制及用户权限管理方案变的非常重要。安全生产管理平台基于PKI技术将证书策略应用于用户的访问控制中,不同级别的登录人员可以设置不同的访问权限,通过网上进行信息传递的身份证明,为用户和数据之间建立起可信任的桥梁,有效的保证了平台信息的安全服务。
2.1.2安全传输方面
矿山安全生产信息化管理会产生大量的数据,数据规模大、种类繁多,随之而来的是数据安全管理和通讯安全的问题,安全的信息通讯是解决信息安全威胁的重要手段之一。安全生产管理平台采用的PKI相关技术,可以使用不同系统间的跨域共享和灵活授权,可以提供不同系统访问的授权管理、密钥管理、身份认证、责任认定,使得系统传输的数据信息具有较高的安全性、完整性、并在消息传递过程中完成信息的加密和数字签名,大大提高了平台通讯的安全性。
2.2在业务协调、实时智能指挥领域的应用效果
安全生产管理平台以安全生产风险管控为核心,在成熟的软件开发方法论的指导下,将风险管理、事故管理、安全隐患排查、应急救援、安全培训、监督检查等内容整合到统一平台。PKI相关技术保证了各个系统之间的数据共享和安全通信,通过登陆人员访问权限和各模块之间协调管理,为公司的安全生产提供了技术保证,从而对生产过程中的风险进行有效管理,提升安全管理效率,降低安全生产事故。PKI技术保证了系统通讯的正常安全运转,实现各个系统之间的资源共享,消除各个系统之间的信息孤岛,实现各个子系统的协调调度,使得各类用户可以方便快捷的访问、管理平台,将各类信息安全的联系起来,同时借助系统对监控数据进行智能分析和决策支持,使得事故实时智能指挥成为可能,并逐步实现了事故管理由事后应急响应到事前预警提示,对于提高矿区防灾能力,实现矿区安全高效生产、提高安全管理水平具有重要的引领作用。
3结语
PKI技术体系通过管理数字证书和密钥的方式,为用户搭建安全可靠的网络平台,使得用户可以在多种用户环境中方便的进行加密和数字签名,保证了矿区安全生产管理平台身份识别、信息传递、访问权限等的安全实施,依托数字证书、密钥管理等技术,可以有效的生成、保存、更新管理密钥,解决了网络身份认证、信息完整性和抗依赖性等安全难题,为解决矿山安全生产信息化管理中存在的信息安全等因素提供了强大的技术支撑。考虑到PKI技术本身缺点以及矿山企业的行业特性,该技术仍有一定的缺陷。在实际中,PKI技术构建和运行成本高昂,此外用户认识水平、相关法律政策等因素的制约,都不利于PKI技术应用发展。因此,需要解决多个独立PKI系统之间的交叉认证与互操作性等,以及证书过期、撤销、丢失带来的密钥托管和证书安全等问题[11]。尽管如此,PKI技术的前景仍然是广阔的,随着相关技术的快速发展,PKI相关技术仍然是矿山安全管理信息化建设中解决通讯安全问题的必然选择。
参考文献
[1]刘星魁,谢金亮,LIUXing-kui,等.煤矿安全生产现状及对策探讨[J].煤炭技术,2008,27(1):139-141.
[2]史科蕾,石秋发.基于PKI/CA技术在矿区服务平台中安全管理的设计与实现[J].煤炭技术,2013(6):280-281.
[3]熊万安,龚耀寰.基于公开密钥基础结构(PKI)的信息安全技术[J].电子科技大学学报:社会科学版,2001,3(1):4-6.
[4]张慧.PKI技术研究[J].湖北第二师范学院学报,2007,24(8):42-44.
[5]李彦,王柯柯.基于PKI技术的认证中心研究[J].计算机科学,2006,33(2):110-112.
[6]谢冬青,冷健.PKI原理与技术[M].北京:清华大学出版社,2004.
[7]黄兰英.PKI技术和网络安全模型研究[J].孝感学院学报,2007,27(6):62-64.
[8]陈雨婕.基于PKI的矿山企业网络信息安全研究[J].矿山测量,2011(3):46-47.
[9]秦志光.密码算法的现状和发展研究[J].计算机应用,2004,24(2):1-4.
[10]张晓丰,樊启华,程红斌.密码算法研究[J].计算机技术与发展,2006,16(2):179-180.
[关键词] 信息系统;审计;特点;目标;流程
[中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194(2013)03- 0029- 03
进入21世纪,随着计算机技术的不断进步,以计算机为核心的信息系统得到了迅猛发展,信息系统也广泛深入地渗透到社会的各个领域。被审计单位高度依赖信息系统来提高工作效率和加强管理已成为必然。信息系统作为被审计单位的主要资源,它的安全性、可靠性、有效性和效率性必须得到充分的保障。因此,信息系统审计便应运而生。
1 信息系统审计的含义及特点
信息系统审计是指根据公认的标准和指导规范,对信息系统从规划、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整性、有效性、效率性、安全性等进行监测、评估和控制的过程以确定预定的业务目标得以实现,并提出一系列改进建议的管理活动。信息系统区别于传统的手工审计,具有以下特点。
1.1 审计内容具有广泛性
信息系统审计的对象是以计算机为核心的信息系统。在信息系统中,计算机按照设计好的程序自动处理数据,中间一般不再进行人工干预。这样,系统的合法性、效益性、输出结果的真实性不仅取决于输入的数据、工作人员,还取决于计算机的硬件和软件等。要确定系统的合法性、效益性、输出结果的真实性,不仅要对输出数据、工作人员、打印输出的资料进行审查,而且还要对系统的硬件、系统软件、应用软件和数据文件进行审查,这些工作在传统的手工审计中是没有的。从生命周期看,信息系统审计覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务。因此,信息系统的审计范围要比传统的手工审计更为广泛。
1.2 审计线索具有隐蔽性和易逝性
在信息系统中,审计线索大部分存储在介质上(例如硬盘),这些线索容易被更改、隐匿、转移、伪造。在审计中,如果操作不当,很可能破坏系统的数据文件和程序,不仅销毁了重要的审计线索,而且干扰了被审计单位的工作。
1.3 审计技术具有复杂性
首先,被审计单位的信息系统配备的计算机硬件、软件有很大的差异。审计人员在审计过程中,要和信息系统的硬件和系统软件打交道,这就增加了审计技术的复杂性。其次,被审计单位的业务规模和性质不同,所采用的数据处理及存储方式也不同,审计所采用的方法、技术也不同。第三,不同被审计单位的应用软件开发方式、所使用的程序设计语言也不同,其审计方法和技术也不同。
1.4 审计取证具有动态性
在很多被审计单位中,信息系统已经成为一个中枢系统,系统如果停止工作,将会直接影响被审计单位的经营管理活动。因此,信息系统审计,一般是在系统运行的过程中进行取证,审计人员在完成审计任务的同时,不能妨碍和干扰被审计单位系统的正常运行,这就给审计取证带来一定的难度。
1.5 信息系统审计是事后、事前、事中审计的结合体
如信息系统在开发过程中,由审计人员介入所进行的审计属于事中审计。此项审计相对于系统运行后而对其所进行的审计而言又可以看作是事前审计;信息系统运行后,对其在一定期间的运作情况所进行的审计则为事后审计。
2 信息系统审计目标
审计机关针对被审计单位信息系统开展审计,目的是揭示由于信息系统缺陷导致的信息安全风险、经济安全风险,促进被审计单位加强信息化环境下的内部管理和控制,提高信息化建设项目的效益,同时保证审计所需数据的可靠性、可用性,降低审计风险。
2.1 保证信息系统的合规性和合法性
随着信息系统在组织中的应用范围日益扩大和应用水平日益提高,利用信息系统进行违法犯罪的可能性越来越大,手段也越来越隐蔽。在信息化环境下,被审计单位依赖于信息系统,通过对信息系统的输入、处理、输出及控制功能是否符合国家的法律、法规和有关部门的规章制度的审查,不仅可以有效地堵塞犯罪,而且可以避免国家和组织遭受由此带来的损失。
2.2 保证数据的准确性
数据准确性是指数据能够满足规定的条件,防止错误信息的输入和输出,以及非授权状态下修改信息所造成的无效操作和错误后果。各种复杂业务的出现对信息是否真实、完整提出了鉴证要求。如果数据完整性得不到保护,被审计单位就会失去竞争优势。然而,维护数据的完整性需要成本,因此,要确保所获收益大于所需的控制步骤的成本。信息系统审计有助于控制信息处理系统的风险,提高事务处理的完整性,实现组织目标。
2.3 保护资产的完整性
信息系统的资产包括硬件、软件、数据文件、系统文档等。由于重要的系统文档、软件、数据文件等资产一般集中存放在信息系统中,如果信息系统的运行出现故障,如服务器宕机、遭到木马等病毒攻击、业务资料被盗、系统突然发生死机等故障,会对被审计单位的资产保护造成巨大威胁。所以保护信息系统资产的完整性成为许多组织要达到的一个重要目标,也是信息系统审计追求的目标之一。
2.4 提高系统的有效性
系统的有效性是指系统能否达到预期的目标。有效性审计常在系统运行一段时间之后进行,以评估系统是否能够实现既定的目标,这个评估为系统是否继续运行或者进行某种程度的修改提供决策。有效性审计也可以在系统设计阶段进行。信息系统审计从独立、客观、公正的第三方角度,以目标驱动,对信息的质量进行审查,对产生信息的系统、信息的产生过程及相应的内部控制进行评价、审计,审查业务数据并评估其完整性和可靠性,从而为管理者了解用户的特征和决策环境提供了依据。
2.5 提高系统的效率性
系统的效率是指系统达到预定目标所消耗的资源。信息系统的效率主要取决于计算机硬件的配置和软件设计的水平。硬件选择要科学、合理、协调,不是越先进越好、越贵越好。软件设计主要是指要在充分满足业务需求的基础上构造出高效的算法。
3 信息系统审计流程
信息系统审计有两种组织方式:一种是将信息系统审计作为常规项目审计的一部分,是为整个审计项目的总体目标服务的。另一种是独立立项的信息系统审计,直接针对信息系统进行审计,将信息系统本身的安全性、可靠性和有效性作为审计目标。不管哪种组织方式,其流程是相同的,分为准备阶段、实施阶段、报告阶段。
3.1 准备阶段
信息系统都是根据本单位业务流程开发出来的,因此,调查了解被审计单位的业务流程以及及信息系统基本情况应该作为审计工作的第一步。审计人员进入被审计单位了解信息系统开发使用情况、业务量大小和数据完整程度,以判断是否适合开展信息系统审计以及风险大小。然后审计人员要明确审计目的,确定审计范围和重点,制订信息系统审计实施方案,确定所需的时间、人员和测试所需的软件及硬件设备。在调查阶段还可以预先进行数据库分析工作,分析数据库中表的结构以及字段名。这样在正式实施审计时能够节约时间、提高效率。
3.2 实施阶段
在实施阶段,审计人员的工作主要是采用相应的审计方法,对信息系统进行测试、分析,取得审计证据。其中的重点环节分为内部控制审计、应用程序审计和系统安全性审计等部分。
3.2.1 内部控制审计
为了对信息系统的内控制度进行评价,审计人员必须验证内部控制制度是否合理,并取得审计证据,证明内控制度的完整性和有效性。(1)组织管理控制审计:检查被审计单位信息系统的管理制度,了解被审计单位是否制定了完善的人员分工、业务授权和岗位职责分离制度,是否建立了内部监督和考核机制。(2)数据安全控制审计:检查信息系统以及数据库有无加密措施或是权限设置来控制未经授权的人员进行系统文件及数据的存取。(3)计算机病毒及控制审计:信息系统是否有良好的硬件和软件措施来防止计算机病毒入侵,病毒软件是否定期升级以及是否有漏洞扫描措施。(4)环境控制审计:实地检查机房物理环境,审查是否为信息系统硬件设备提供必要的工作环境,保证设备正常运转。(5)信息系统开发维护控制审计:审计人员应对系统的开发维护过程进行审查,应审查是否有立项申请报告,报告是否经过专家论证,审查是否有系统说明书对开发过程进行控制等。(6)灾难恢复控制审计:检查是否有系统灾难恢复计划,评估计划的充分性和实效性。是否定期或在重要操作前对数据进行备份,是否有异地容灾或备份设施,以减少意外导致损失的可能性。(7)数据处理控制:检查应用程序的的输入、处理和输出控制是否健全有效。(8)应用程序控制:检查程序编码是否符合规章制度的规定,是否正确地进行了逻辑处理。
内部控制审计的主要方法包括:询问法、检查法、观察法等。询问法是指与被审计单位人员面对面交谈、询问有关情况以收集审计证据的方法;检查法主要是检查与信息系统有关的文档,以了解信息系统的总体情况、控制情况以及开发设计情况等,并将检查过程和结果记入工作底稿中;观察法是审计人员对信息系统的物理环境、硬件设施和办公场所,对信息系统的开发设计、构成和操作情况进行了解,对控制措施的实施进行实地查看的方法。
3.2.2 应用程序审计
程序是差错和舞弊最容易发生的地方,只有通过对应用程序进行审计,才能对系统的合规性、合法性、正确性、有效性做出评价。应用程序审计方法包括:测试数据法 、程序编码代码检查法、程序运行结果检查法、平行模拟法、嵌入审计模块法、虚拟实体法、受控处理法、受控再处理法和日志检查法等。(1)测试数据法是指审计人员把预先设计好的检测数据输入到计算机中,让被审计程序处理,观察比较输出是否与预期相符。(2)程序编码检查法是通过对被审程序的指令逐条来发现存在的问题,并对程序的合法性、能否完成预定功能及其质量进行评判的方法。(3)程序运行结果检查法是指通过对系统输出结果的检查,来判断信息系统处理功能的正确性和有效性。(4)平行模拟法是指审计人员自己或请计算机专业人员开发一个与被审计单位信息系统或程序模块功能相同的模拟系统,将被审计单位的实际数据放入模拟系统中运行,观察其输出是否与被审计单位信息系统相一致。(5)嵌入审计模块法是在被审计单位的信息系统中加入为执行特定的审计功能而设计的程序代码,它可以在特定的条件下触发,为审计人员提供有关数据和报告。(6)虚拟实体法是对测试数据法的改良,一般是在信息系统中建立虚拟的实体,然后将虚拟实体的有关数据与真实的数据一起输入信息系统进行处理,最后将输出结果与预期进行比较,确定信息系统的控制功能是否发生作用。(7)受控处理法是指审计人员在对被审计单位的真实业务数据在处理之前先进行核实,然后在被审计单位的信息系统中监督处理或亲自处理,并将处理结果与预期结果进行比较分析,以判断被审计单位的系统是否符合规定的要求。(8)受控再处理法是将已经由被审计单位处理过的数据,在审计人员的监督下,或由审计人员亲自在相同的信息系统上再处理一次,将二次处理的结果相比较,判断当前的信息系统程序是否符合既定要求。(9)日志检查法是指通过对系统自动记录日志的检查来推测信息系统的处理和控制功能是否正常。
3.2.3 系统安全性审计
信息系统安全审计的内容有:数据库安全审计、网络安全审计和逻辑访问控制审计。
数据库安全是保证信息系统能够正常运行的基础,数据库安全审计是系统安全性测试审计的一个重要环节。数据库安全审计的重点是分析和测试数据库数据的一致性、完整性,数据规划的合理性,以及数据库访问的安全性。
网络安全审计需要审查信息系统的数据在传输中是否完整、安全。检查网络是否有能力阻止黑客入侵、木马攻击,是否配备防火墙。是否有文件共享检测、流量监测以及对异常流量的识别和报警,网络设备运行的监测等。
逻辑访问控制审计检查是否只有被授权的用户才能使用信息系统、访问信息系统中的信息。比如检查授权用户密码强度是否足够,检查操作人员是否进行分工,是否经过授权操作且只能操作特定模块,用户开设、终止、授权是否存在漏洞等。
3.3 报告阶段
一、公司风险管理的必要性与风险管理过程的目标
(一)实行风险管理的必要性
竞争能力关系到公司的生存与发展,竞争必然带来风险。由于未来环境的不确定性,管理层对战略计划预算的决策、组织实施、资源利用效果和效益难以把握,因而实现目标的管理过程客观存在风险,有必要实行风险管理。
“风险”是指某种不利因素产生的可能性,其衡量标准是遭受损失的后果与可能性。“风险”具有双面性,它既可能带来损失(负面影响),也可能带来机会(正面影响)。公司是以盈利为目的的法人实体,目标是维护信誉与价值。公司可能面临的风险有:⑴组织风险。组织结构和战略目标的适应程度。⑵企业文化、人员素质对竞争环境的适应及全员对战略目标和管理政策决策的认同程度。⑶生产经营风险。不经济地获取或无效利用资源。⑷采用新技术风险。包括革新成本高于收益,技术周期过短或运用新技术干扰日常工作。⑸信誉风险。产品或服务不受欢迎,媒体负面宣传等使公司信誉受损。⑹内部控制风险。对记录、计算机程序及数据文件等的接触,缺乏权限控制及会计核算错误和舞弊行为。⑺业绩评价风险。以不适当的标准体系衡量业绩,或未对经营业绩定期进行独立的审查,影响公司的效益、效率和效果。⑻资产安全。因授权和分工不当影响资产的保护。⑼使用错误或片面的信息资料导致决策失误。⑽活动偏离政策、计划、程序,影响目标和任务的完成。
各种风险因素由于客观条件的综合作用,表现为风险征兆,如不及时控制其变化趋势和触发条件,将给公司经营带来损失。实行风险管理,建立风险控制体系,可转化风险影响,争取有利后果。对风险来源、可能的风险事件和风险征兆预测分析后,采取风险应对措施是风险管理过程关键所在,包括通过消除风险起因来规避某一特定威胁,如强化控制降低风险,通过合作者分担或投保转移风险,采取调整投资回报率或其它措施来减轻风险损失。管理层在比较控制、规避风险的成本和预期货币值,权衡利弊后接受剩余风险。
(二)评价公司实现风险管理过程的目标
公司管理层出于了解和处理所面对风险的需要,必须建立机制以识别、分析与管理相关的风险,称之为风险管理过程。内部审计评价风险管理的充分性,应取得审计证据,确认是否达到风险管理过程的五个主要目标,即:⑴找出影响经营战略与业务活动领域的风险,按风险大小排序;⑵管理层和审计委员会已经确定了公司可以接受的剩余风险,包括为实现战略目标而接受的风险;⑶设计和实施了降低风险的内控活动,把风险降低和控制在管理层和审计委员会可以接受的水平上;⑷持续地观测监督活动,定期对风险的控制及有效性进行再评估,降低管理风险;⑸管理层定期听取风险管理过程的结果报告。公司经营管理过程应该包括定期向有相关利益各方传达风险预测、风险战略和控制情况。最后,管理层所应用的特定风险管理过程必须适合该公司的企业文化,管理风格以及工作目标。
二、内部审计在风险管理中的优势
内部审计处于相对独立的地位和在管理过程定的职能,在评价内部控制、协助建立健全风险控制过程方面具有诸多优势和重要作用。
首先,内部审计以推进公司规范化运作和管理,优化内控环境,增加公司价值为目的,具备服务内向性的定位优势。相对于国家审计与中介审计,内审始终围绕增加公司价值开展工作,目标定位是“管理,效益”。它与公司的生存发展息息相关。它熟悉管理过程、贴近内部管理,是规范经营管理的助推器。
其二,内部审计是一个持续的内部监督服务过程,是现代企业管理的重要职能,其作用是其它职能部门无法替代的。内部审计处于公司各职能部门或所属分支机构之间,不直接参与经营活动,具有相对的独立性。因此,内审不仅要抓好以评价经营活动及其信息的真实性、合规性为主要内容的基础审计,还要利用基础审计资料,通过开展对各种信息的真实完整、资产安全、资源有效利用的全面审计活动,评价内控制度的健全性、遵循性、科学性;保证战略目标和计划、各种政策、制度、程序得以贯彻执行;检查公司目标的完成情况和运营的效率、效果与效益,提出改进意见,并抓好整改促进规范化管理。
其三,实行内部审计是企业风险管理的需要。公司外部环境的快速变化和成本压力、诸多风险因素给管理层危机感,需要建立内部权力制衡机制和激励约束机制,以保证公司控制政策、程序和控制活动的实施。内部审计通过内控制度的评价,对公司经营活动进行风险识别和评价,符合公司市场化经营管理的需要。内审职责是采取系统化、规范化的方法促进建立风险管理过程,强化内部控制,改进风险管理与控制体系,通过审计及时发现风险,报告预测后果,提请管理层关注风险、科学决策,完善管理、提高效率,转化风险负面影响,利用风险机会提升企业竞争能力和应变能力,从而实现公司目标。
三、内部审计在风险管理过程如何发挥作用
(一)内部审计应熟悉公司的经营管理过程,有效识别风险。
内审熟悉公司业务流程和管理过程,因而具备有效识别风险,分析影响的优势。如“中油”是集科研、勘探、开采、生产加工、销售为一体的境外上市公司,业务流程包括资金流、物流、人才流、信息流,能源流等。确定发展目标、资源的取得与配置、生产经营、业绩考核控制等管理多个过程贯穿整个业务流程。总部通过预算管理制度及业绩考核、用人激励机制,将风险压力层层传递,实施各种应对风险的控制活动。如“中油”所属某销售分公司是委托法人,承担的经营管理职能不全面。其经营职能是加快流通速度,完成商品流通,降低费用、实现优良价值,赢得市场与效益最大化。其面临的风险主要有以下几方面:(1)建设投资风险;(2)库存商品风险;(3)推介与促销“双赢”的风险;(4)企业信誉风险;(5)资金管理风险;(6)是业绩评价和用人激励机制风险;(7)内部控制风险;(8)实际活动偏离计划、预算的风险;(9)审计风险。
(二)以风险评估为基础,优选审计项目。
内部审计范围包括检查、评价筹资投资管理、经济运行与资产安全、资金管理及会计核算等管理过程的内部控制效果与效益。审计计划和项目选择,应以风险评估结果确定优先顺序。只要存在风险暴露,不管其表现为实际业务偏离计划预算、资产的潜在损失还是管理与会计信息的错报,都应列为审计重点排序。风险影响类似的选机率较高的,风险机率相近的选征兆明显的。有违规迹象或财务状况不佳,或业绩与预算差距较大、资产或投资额大、审计间隔较长、高层管理人事调整、变更经营预算或业务流程等,都可作为首选审计对象。
(三)内部审计的重点是进行管理过程的内控审计。
内部审计应帮助管理层有效识别风险因素,相应调整经营策略和强化内部控制,进行各项克服风险的活动,适时将“威胁”转化为“机会”。内部控制是保证公司达到目标的有效的控制系统和必要手段,其总体设计应以风险评估为依据,包括控制环境、风险评价、控制活动、信息和沟通。管理层利用内部控制设计公司组织机构、岗位设置与管理运行机制,建立各种控制政策、程序和措施,运营过程授权、操作、监控,岗位责权分离,防止或发现公司职员履行职责时的重大违规行为和虚假信息,保证资产安全和核算真实;了解目标实施情况、适时纠正偏离行为,保证管理各个过程,流程各个环节的活动围绕组织目标进行。
内部审计要检查内部控制的设置合理性与执行情况、控制效果,特别关注高风险领域和内控不健全区域的潜在威胁,发现、剖析、纠正经营管理缺陷,通过持续监督与评价,达到控制目的,确保目标与预算如期完成。进行基础审计、经营审计进而开展管理审计,都应从与之相关的内部控制找准审计切入点,评价控制系统的充分性和有效性。可将投资、资金、预算管理控制内容作为审计重点范围。(1)固定资产投资内部控制审计。投资管理过程不确定因素多,风险机率较高,风险管理过程要预测分析立项可研、决策、招投标发包、工程概算、预算、决算和资金使用及项目运营后评估各个控制环节存在的风险类型、机率及影响,采取应对措施,实行有效内部控制。(2)资金管理内控制度审计。资金是经营活动的血液,不能及时回收货款或反映债权的信息失真,会严重影响到资源及时配置并增大进货成本,延长商品流转期、延误价值实现,影响资金的周转安全及使用效果。许多审计事例说明,造成资金损失的原因在于资金管理内控的不完善和业务流程授权和监控环节职责不到位,关键岗位缺少相互牵制。完善管理的途径是强化内部控制,对资金、会计信息的接触实行授权与权限管理,优化核算环境,建立健全有关管理规定及责任追究制度,确保信息真实完整,资金运行效益良好。(3)实行预算管理全过程控制审计。实施预算管理审计要测试、评价预算编制、实施、调整纠偏三个过程的内部控制。首先要检查有无预算管理组织,编制是否以销售预算为基础、采用零基方式分项细化及按程序编制与调整预算;二是检查事中控制效果及应变预算方案与例外事项应急措施,确定预算管理机制的有效性和预算完成进度;三是评价内部激励、监督机制的实际效能,加强事中控制,保证公司目标的完成。
为达到内控目标:①实行严格的组织控制,适时修正设计不合理的岗位职责与制度、规程。②强化检查控制。建立信息反馈系统,揭示失控或舞弊及原因,并运用激励机制奖惩。③设立有预警功能的“应急方案”,补救偏离目标行为的负面影响,降低风险损失。④为实现计划目标、遵守政策合同,应评价控制的实施效果和效率,促进系统的完善,优化风险管理环境。
四、推进构建风险管理框架进程,增强企业抗风险能力
在公司持续变革的进程中,审计要相应转型,拓展参与风险管理的深度与广度,科学预测评估风险因素,促进公司建立风险管理框架,帮助管理层化解经营风险,提升企业信誉,维护公司价值。
(一)内部审计发展要多方位转变,营造良好控制环境
内部审计发展到增殖型审计的多方面转变特征:(1)由事后发现检查转向事前防范为主,预测和评估可能发生的风险,检查现行控制的有效性。(2)评价内部控制的科学合理性,应检查控制设计是否包含对“例外”情况的补救措施,降低风险到可接受范围之内。(3)由纯粹依据已有的审计准则(包括政策、计划、程序)开展符合性测试,转向评价现有控制是否能保证实现公司目标。(4)审计领域由仅局限于评价经营管理与会计活动的合规性和真实性,拓展到测试管理信息网络与决策系统的效率与安全。(5)由仅靠内部审计测试评价内控,转向促进并参与管理层的自我评价,将控制的观念植入企业文化,营造良好的控制环境。
(二)构建良好的信息管理网络,帮助机构增强抗风险能力
关键词:互联网金融;网络信贷风险;风险应对
一、引言
P2P行业从2006年开始萌芽,在无准入门槛、无行业标准、无监管机制的特定行业发展背景下,伴随互联网金融迅猛发展的强劲东风,各种P2P网贷平台蜂拥而起,据网贷之家的数据显示,截至2015年10月底,P2P行业累计平台数量达到3598家,月成交规模达1196.49亿元。与此同时,陷入提现困难、停业困境和跑路的问题平台达到1089家,占比为30.3%。这表明伴随着规模的不断扩张,P2P网贷平台的风险也日益凸显。2015年7月18日,中国人民银行等十部委《关于促进互联网金融健康发展的指导意见》,开启了包括P2P网贷平台在内的互联网金融行业规范运作和系统化监管的新阶段。面对当前网贷平台发展运作中存在的问题,提示其风险隐患,剖析其产生风险的原因,采取有效的风险管控措施,对于提升网贷平台风险抵御和防范能力,促使网贷平台规发展、稳健经营具有重要的现实意义。
二、基于互联网金融的P2P网络信贷风险分析
(一)资金安全的不确定性
当前业务发展模式下,互联网金融业务进程中表现比较突出的是信用风险,信用风险主要表现为交易一方违约给其他交易方带来的损失。首先,金融机构在P2P网络信贷中,扮演着中介机构一职,因此可以避免连带赔偿责任,而出借人对出借资金这一行为所有的了解都来自于P2P平台,因此对于出借人来说风险巨大。同时,由于我国网络信贷平台未被允许调用征信管理系统的个人征信信息,网络平台本身也很难了解借款人的信用状况,再加上,各个网贷平台之间各自为政,并没有对用户的信用情况进行共享,而信用审核成本高且难度大,因此网贷平台本身对借款人真实的财务状况、身份信息以及还款能力并不能准确掌握,即使借款人伪造个人信息以获取高额融资款项,也不易被发现。一旦借款人出现逾期不还款等违约情况,网贷平台很难进行追讨。
(二)资金真实投向的不可控性
当前我国互联网金融资金尚未建立完善的资金追踪制度,以P2P网络平台表现突出,互联网金融平台几乎不会对资金实施追踪程序或是资金投向测试,同时由于没有健全的外部监管机构对互联网金融活动进行监督管理,频繁发生的资金挪用的情况通常会给金融投资者带来巨大的经济损失。P2P网络平台的透明性表现为为出借人提供出借资金的使用信息,但这一透明性的成立前提是借款人的忠实履行,如果借款人在寻求借款的时候刻意隐瞒真实的借款目的,或是将借款挪作他用,比如投资股票等高风险市场,难以及时变现的房地产市场,或是转借给其他人获取高额利息等,由于P2P网贷平台对出借资金后的监管乏力,大部分借款也没有任何抵押物,一旦借款人出现还款困难,出借人的资金安全就难以得到保证,大面积的挪用资金,使得资金大量涌入高风险投资市场,也会影响国家宏观调控手段的效果。
(三)个人信息安全的不确定性
互联网金融业务在很大程度上依托互联网技术,而目前,我国互联网金融机构中,计算机技术的水平良莠不齐,一旦出现网络故障或是黑客攻击,客户个人信息,系统自身的信息以及客户资金都岌岌可危。P2P网贷平台要求借款人提供详细的个人信息,有的甚至要求填写亲朋好友的个人信息作为担保,其中甚至包括一些身份证号、银行卡号等个人敏感信息。我国很多P2P网贷平台,比如拍拍贷,宜信等,都各自持有数十万的注册用户,在如今这个信息时代,这些信息形成了一笔价值相当可观的隐形财富,系统漏洞或黑客入侵等原因造成的这些信息被窃取或是被泄露,将会给网贷平台及其用户带来不可估量的损失,同时必然引起人们对P2P网贷平台的信任危机,导致互联网金融发展困难。
(四)法律法规的不完善
最近几年,互联网金融在我国发展迅速,各种互联网金融业务发展态势普遍向好,而现有的金融行业的法律体系难以实现对互联网金融的有效监管。尽管有《网上银行业务管理暂行办法》、《非金融机构支付服务管理办法》、《P2P信贷有关风险提示》的相继出台,但都是临时管理办法或是风险提示,我国目前还没有建立起能够应对互联网金融的市场准入,交易方身份审核,资金监管等具体事项的法律体系。目前,面对P2P网络信贷,除了《人人贷有关风险提示的通知》和主要目的在于向商业银行警示网贷平台风险的《支付业务风险提示———加大审核力度提高管理水平防范网贷平台风险》,我国尚未出台关于规范网络信贷行业的法律法规,因此,也没有合适的法律依据能够要求相关的政府职能部门对网络信贷进行监管,从而导致P2P网络借贷行业鱼龙混杂,提供的金融服务也是良莠不齐。
(五)监管缺位
尽管互联网金融国内的发展态势看起来一片大好,但是其监管方面仍然困难重重。主要是因为互联网金融跨行业,跨领域的趋势日益明显,在我国“分业经营,分业监管”的机制下,可以说是一个监管边缘地带,很难确定具体的执法部门或监管部门。对于P2P网络信贷来说,无论是处于维护金融市场稳定的目的,还是保护消费者权益的目的,一个监管主体都是必要的。一方面,P2P网络信贷准入门槛比较低,只要在工商部门注册就可以运营,其后期的运营和发展都是自发无序的。工商部门可以对网络信贷进行对口监管,公安、信息产业等部门也应该进行监管或协管,但既缺少相关的法律支持,其本身又缺少金融监管技能和经验。另一方面是我国目前对金融行业的监管手段针对的都是传统的金融业,而P2P的运作模式、业务流程等和传统金融有着很大的区别,现有监管手段并不适用。
三、基于互联网金融的P2P网络信贷风险应对
(一)推动征信系统的建立与共享
以配合互联网金融发展为导向,推动征信系统建设,是当前维护投资者利益,保证互联网金融健康发展的第一要务。全面审查借款人身份信息,通过信用卡使用情况、贷款还款情况、交通违章等历史征信信息,对借款人进行系统的信用评价,并将互联网金融用户的信用信息纳入征信统计数据。为了应对P2P网贷平台信用风险,保证出借人资金安全,首先,将一些持有相关资质,有着适当内部控制举措以及严格的风险控制程序的P2P网贷平台纳入征信信息采集系统,让这些P2P网贷平台提供注册用户的身份信息,交易情况和信用状况,与人行共同建立覆盖全社会的真实、全面、系统的征信系统,共享用户的信用信息。这样一来,就可以引导投资者将资金投向较为有保障的P2P网贷平台,也有利于推动P2P网贷平台加强其内部控制建设和风险控制管理,提高自身对客户资金的保护能力,从而提高P2P网贷平台整体的服务质量。其次,设立借款保证金也是可行的,每借出一笔资金,P2P网贷平台就要交一定比例的保证金,对出借人资金进行全额的担保。这样让P2P网贷平台本身对出借人资金进行担保,有利于推动P2P网贷平台加大对借款人信息的审查力度,维护出借人的利益。
(二)建立健全资金追踪制度,构建出借人保护机制
当前我国互联网金融迫切的需要建立资金追踪制度和第三方存管制度。完善的资金追踪制度能够增强资金投向的透明度,减少投资者风险,给投资者一颗定心丸,吸引更多的投资者的资金,优化资源配置,避免投资者盲目的追求更高的收益率而将资金投向信息不对称的欺骗性项目。而第三方存管制度则是防范金融机构挪用客户资金,将客户资金投向高风险领域,危及客户财产安全,甚至携款潜逃。目前P2P网贷平台对于借出资金之后的追踪制度还是一片空白,P2P网贷平台本身也很难控制资金借出后的流向,也很难确定资金投向是否危害出借人资金安全,因此,建立健全资金追踪制度就变得迫在眉睫。首先,P2P网贷平台可以根据评估风险及借款人信用状况要求借款人设置适当的抵押,这有利于保证出借人资金安全,维护P2P网贷平台本身的声誉;其次P2P网贷平台可以采用“一次批准,分批放款”的放贷策略,一旦发现资金流向有异常,及时停止发放借款,视情况决定是否提前收回借款,这一策略一定程度上可以对借款人形成一定的威慑作用,有利于及时止损。
(三)完善互联网信息技术
考虑到互联网金融对互联网技术的依赖性,强化计算机系统的防火墙、密钥,数据加密技术以及智能卡技术等安全防护功能,建立安全可靠的互联网金融运行环境对保证客户资金安全和信息安全有着重大意义。同时要积极研究和开发先进的科技手段,为网络安全提供保障,使得系统实现高效稳定的运转。在P2P网贷平台中,为了避免不法分子恶意破坏网站,或是中介服务机构工作人员为谋取非法利益,将客户信息出售给第三方的情况发生,首先,P2P网贷平台应该积极加大科研力度,确保客户信息数据库的稳定与安全,建立起具有自主知识产权的网络安全防护体系,避免不法分子利用系统漏洞盗走客户资金或是客户的个人信息。除此以外,授权管理也是不可忽略的重要环节,将客户较为隐私较为重要的信息只授予小部分有必要了解客户相关信息的人查看的权力,根据工作人员的工作需要分配授权,不得滥用授权,且应当遵守保密协定。
(四)建立和完善互联网金融相关法律法规
一方面立法机关要加大力度推进互联网金融的立法进度,就电子交易的合法性、电子商务的安全性、数字签名、电子凭证的有效性,众筹融资等新型互联网金融业务方面加快立法进程,以适应实际生活中互联网金融带来的法律纠纷的需要。另一方面要完善现行的金融业相关的法律法规,就如何确定互联网金融犯罪的量刑力度,如何明确交易主体责任等方面做出增补和修正。鉴于P2P网贷平台的特殊性及其发展态势,明确规定P2P网贷业务的经营性质、组织形式、必要的核心数据公示、业务范围等方面,并将其纳入法律法规变得迫在眉睫。P2P网贷平台的立法重点主要是以下几方面:首先,清晰界定出借人、借款人、P2P网贷平台,等交易主体之间的关系和法律责任;其次是明确监管主体,银监会、工商部门、税务部门等职能部门应该多方协作,共同监管;第三是引导行业自律,推动行业自律协会自发的形成利于行业发展的行业规章制度,建立统一的信用风险控制制度和准备金制度,以应对信用风险和流动性风险。
(五)明确互联网金融监管主体
目前,我国的互联网金融混业特征日趋明显,产品与业务往往跨越多个行业和市场。这种情况下,打破现有的分业监管模式,实现保监会、银监会、证监会、人民银行、公安系统以及工信部对互联网金融的高效协作,明确监管职责和范围,对于增强资金流动性,提高互联网金融交易效率,优化资源配置,有着非比寻常的意义。英国将P2P纳入金融行为监管局(FCA)的监管之下,美国将网络信贷纳入证券业监管,联邦证券交易委员会(SEC)对P2P网贷平台的准入进行监管。针对我国目前P2P网贷平台监管缺位的问题,首先,不妨根据P2P业务内容,分配其监管,比如第三方资金存管交由银监会进行监管,资金结算交由人民银行进行监管,而证监会对P2P网贷平台的高级从业人员的资质进行审查,对P2P网贷平台的经营范围进行审核。鉴于法律和监管的逐步建立可能旷日弥久,加强行业自律,提升行业透明度,也是P2P网贷平台应对资信风险,获取社会信任的直接有效的方式。
作者:中明 刘文妮 单位:江苏大学财经学院
参考文献:
[1]闫真宇.关于当前互联网金融风险的若干思考[J].现代商业银行,2013(12).
[2]钮明.草根金融———P2P信贷模式研究[J].金融理论与实践,2012(02).
[3]杨宇焰,陈倩,田忠成,P2P网络信贷平台的主要模式、风险及政策建议[J].西南金融,2014(01).
[4]王怡.论网络信贷的风险类别及其监管策略[J].常州大学学报(社会科学版),2013(04).
[5]熊欢彦,刘剑桥,互联网金融风险及风险防范研究[J].金融视线,2014(11).
[6]吴菲菲,互联网时代市场金融监管探究[J],现代经济信息,2014(08).
关键词:服务接触;顾客情感;满意度;作用路径
中图分类号:F831 文献标识码:A 文章编号:1006-1428(2011)08-0102-05
一、引言
花旗银行fCitibank)迄今已有近200年的历史,其骄人业绩无不得益于1977年以来银行服务营销战略的成功实施。
具体而言,Hansen(1959)、R.J.Johnston(1994)和Fazio(1995)分别从交通便利性、空间距离和态度联想三个方面指出了银行服务与顾客接触过程的可达性因素,即如何保证服务对于顾客是触手可及的。而张新华(2006)认为,商品化有助于创造和引领顾客的服务需求,良好的服务接触也要通过商品化的有形展示来提高顾客的认知度和增强服务接触的可感知程度。Vad和Heten(2003)则建议服务企业在进行国际营销时应采取本土化的策略,通过服务的差异化、当地性来满足不同顾客的需要。Normann(2006)将服务接触称作关键时刻。Surprenant和Solomon(1987)将服务接触定义为“顾客与服务提供者之间的动态交互过程”。菲利普・科特勒(1997)认为,在高度复杂的环境中,品牌可能是唯一有效的差异化因素,银行需要独特的服务品牌,并在消费者的心中建立强势的品牌形象。
本文将针对服务接触、顾客情绪和顾客满意度之间的关系进行研究,并主要探讨以下三个方面的问题:服务接触的关键要素是什么?服务接触过程如何影响顾客的情绪?顾客态度的转变如何影响到满意度目标?
二、概念模型与假设关系
服务接触fservice encounterl一词最早出现于20世纪80年代初期。R.B.Chase最早提出了“服务接触”的概念,并在1981年建立了服务接触的理论基础和首个可操作的定义,即“顾客必须待在服务现场的时间占总服务时间的比重”。首先,Czepiel,Solomon和Surprenant(1985)认为服务接触是人机互动的过程。服务接触是服务情景中,服务提供者和接收者之间的面对面互动。其次,Shostack(1985)提出广义服务互动的观点,认为“服务交互”(Service Interaction)不仅包括顾客与服务人员的交互,而且也包括顾客与设备设施的交互。再次,Amilton(2001)提出非现场自助的观点,认为除了以上的实体接触外(Physical Encounter),公司网站等无形接触(Virtual Encounter)也是服务接触的重要组成部分。最后,Zeithaml,Parasuraman和Berry(1985)认为实体环境影响顾客的行为并能建立良好的印象,在服务业尤为明显。这些观点为探求服务接触的关键维度以及明晰其对顾客情绪及满意度的作用机理提供了帮助。为此,本文将重点探讨便利性(BLX)、顾客服务感受(GS)、银行服务形象(IM-AGE)、银行互动服务(HDX)、服务响应性(XYX)、服务可靠性(KKX)、服务移情性(YQX)以及服务品牌(PPH)对顾客积极情绪(JJQx)和消极情绪(xjQx)的作用效果,以及顾客满意度(MYD)的形成过程。
1、服务接触构面变量之间的假设关系。
第一,服务接触过程首先表现为便利的服务网络,这有助于增加银行在顾客心目中的曝光度,加强对银行服务的认知。银行服务便利性具体表现为:合作伙伴、网点数量、自助服务、营业时间和网点位置。
假设Hla:服务的便利性对顾客的积极消费情感有直接的正向影响。
假设Hlb:服务的便利性对顾客的消极消费情感有直接的负向影响。
第二,顾客服务感受具体表现为:营业环境、员工礼貌、性价比、网络服务、专业素养和准确服务。银行服务接触过程中如果能够为顾客带来好的感受和体验,就会影响到顾客的情感。如果顾客的服务体验质量较差,就会形成消极的情感,并导致顾客的满意度降低。
假设H2a:顾客服务感受对顾客的积极消费情感有直接的正向影响。
假设H2b:顾客服务感受对顾客的消极消费情感有直接的负向影响。
第三,企业形象将会使消费者对企业的产品或服务产生期望的标准,而该标准相对于顾客消费后之感受,将会影响顾客满意的程度。银行服务形象包括如下变量:多样服务、快速创新、顾客至上、顾客信心、名人代言和客户经理。良好的银行服务形象会给顾客带来积极的情感,而让人失望的服务会带给客户消极情绪,并影响顾客的满意程度。
假设H3a:银行服务形象对顾客的积极消费情感有直接的正向影响。
假设H3b:银行服务形象对顾客的消极消费情感有直接的负向影响。
第四,互动营销是实现和客户互动的主要手段之一,强调和客户良性互动。银行服务接触中的互动包括:服务标准化、减少排队、服务效率、可观察的员工行为、标准服务时间、科技植入、顾客间交流互动以及多媒体终端等。
假设H4a:银行互动服务对顾客的积极消费情感有直接的正向影响。
假设H4b:银行互动服务对顾客的消极消费情感有直接的负向影响。
第五,响应性是指银行主动、快速地响应顾客需求,随时准备愿意为顾客提供快捷、有效的服务。银行服务的响应性包括:快速应答、服务员接触、会员服务、上门服务、面对面接触、消极态度、期望偏差、情绪约束等。
假设H5a:银行服务响应性对顾客的积极消费情感有直接的正向影响。
假设H5b:银行服务响应性对顾客的消极消费情感有直接的负向影响。
第六,可靠性是指银行在一定条件下无故障地提供特定服务的能力及可能性。这里考察的可靠性指标包括:操作技能、兼职员工、流程统一、服务抱怨、服务承诺、资金安全、网络安全、岗位角色。
假设H6a:银行服务可靠性对顾客的积极消费情感有直接的正向影响。
假设H6b:银行服务可靠性对顾客的消极消费情感有直接的负向影响。
第七,企业和服务人员能设身处地为顾客着想,努力满足顾客的要求。这就要求服务人员有一种投入的精神,想顾客之所想,急顾客之所需,了解顾客的实际需求。以至特殊需求,千方百计地予以满足,给予客户充分的关心和相应的体贴,使服务过程充满人情味,这便是移情性的体现。具体包括:主动着想、员工培训、内部满意、社会责任、服务授权等。
假设H7a:银行服务移情性对顾客的积极消费情
感有直接的正向影响。
假设H7b:银行服务移情性对顾客的消极消费情感有直接的负向影响。
第八,目前全世界很多的企业实行的都是品牌化战略。当顾客对某一品牌产生了“依赖感”之后,就会形成一种特定的偏好。品牌化其实是对某一类或一系列产品的认知标准化、宣传标准化。以达到市场突出和市场区别的作用。具体包括社会参照、慈善营销、吉祥物、本地服务、个、地区文化等影响因素。
假设H8a:银行服务品牌化对顾客的积极消费情感有直接的正向影响。
假设H8b:银行服务品牌化对顾客的消极消费情感有直接的负向影响。
2、服务情感构面变量之间的假设关系。
美国学者Price,Deibler&Amoud(1995)指出顾客消费过程中的情感会随着顾客与企业的接触深入而发生变化。在产品和服务消费过程中,顾客的消费心情会不断变化,顾客在前一个消费阶段的心情会影响他们在后一个消费阶段的心情。Nyer(1997)的研究结果表明。顾客服务消费前的情感会影响顾客对服务经历的总体满意感和顾客的再购意向,但他只研究了顾客的消费前情感与顾客评估的服务实绩之间的关系,而没有研究顾客消费前情感对顾客消费后情感的影响。
顾客的满意程度既受认知性因素的影响(如服务质量),又受情感性因素的影响。如果顾客在消费过程中经历了高兴、兴奋等积极情感,就会对企业的服务感到满意:相反,如果顾客在消费过程中经历了失望、后悔等消极情感,就会对企业的服务感到不满意。
假设9a:顾客的积极消费情感对顾客满意有直接的正面影响。
假设9b:顾客的消极消费情感对顾客满意有直接的负面影响。
3、服务满意度构面变量之间的假设关系。
在顾客满意的研究中,学者最关心的是顾客满意的影响因素研究。或者说是顾客满意度的测评研究。从Oliver(1980)的“期望一实绩”模型,Parasuraman(1985)的“期望与感知差距模型”,Oliver(1993)的“认知一情感”模型,以及ACSL与ECSL等研究看,顾客满意的前置影响因素有:企业形象、与顾客期望与产品或服务实绩相关的顾客感知质量、感知公平性’、消费情感、感知价值等。本文将重点关注顾客满意度的后置因素:整体满意、重构意愿、口碑传播和互动意愿。
假设10a:顾客满意对于顾客银行整体服务的满意度有正向影响。
假设10b:顾客满意对顾客银行服务的重构意愿有正向影响。
假设10c:顾客满意对顾客的口碑传播有正向的影响。
假设10d:顾客满意对提高顾客与银行的互动意愿具有正向影响。
三、服务接触、顾客情感与满意度的关系检验
1、量表设计与数据采集。
本文量表设计目的主要是为了研究顾客在银行服务过程中消费前消极情感和期望如何影响对服务接触质量的评判,以及服务接触要素如何影响顾客消费情感,进而共同影响顾客满意度。本研究为了确保所用量表的信度与效度水平,尽量借鉴国外学者使用的量表,再结合国内学者的研究成果,专家访谈的体会,对量表进行进一步的改进。
本文对中信银行不同省区的132位员工进行了问卷调研。对于回收的问卷,本研究根据研究目的和假设检验的需要,将运用SPSS13.0分析软件与AMOS7.0软件对调查数据进行分析。同时,本文利用修正后总相关系数(CITC)和Cronbach’s a系数与标准差来检验问卷的信度。
在问卷前测,净化测量指标与大规模发放问卷的基础上,正式研究仍采用Cronbach内部一致性系数(a系数1来分析各测量指标的信度。本研究的总体信度分析结果:服务接触构面变量总体的a系数值为0.928,顾客情绪构面变量的总体a系数值为0.941,顾客满意度构面变量的总体a系数值为0.615,明显大于0.6,表明本研究总体上具有较高的信度。
2、概念模型的检验。
结构方程模型分析方法是一种验证性分析技术。而不是探测性手段(刘清峰,2006)。也就是说,应用结构方程模型分析方法可以确定一个特定的模型是否合理,本文是为了验证笔者提出的银行服务接触、顾客情感与顾客满意之间的关系模型,因此选用结构方程模型作为本研究的分析工具是适当的。本研究按照国际上的惯例,用X2/df、GFI、NFI、IFI、CFI和RMSEA这6项指标来评价模型。
表2的拟合结果表明,x2/df的值为2.691
从表3可知,形成积极情感的服务接触要素主要包括可靠性、响应性、形象认知、移情性、顾客服务和便利性,而品牌化和互动性因素对顾客积极情感的共享为负值。导致银行服务消极情感的因素有品牌形象较差、移情性差、便利性和互动性不足、顾客服务创新不足;而可靠性、银行形象和响应性方面较好。研究结果表明,积极的情感有助于提高顾客的满意度,消极的情感并没有导致顾客极大的抱怨。
四、结论与对策建议
我国金融市场由于外资银行和商业银行的进入,竞争越来越激烈,有实力的公司不断地加入到中国市场中,国有银行面临的压力也越来越大。为了争夺顾客,国有银行采取了很多措施,诸如提出的“优化服务环境、改善服务质量,提高顾客满意度”口号。
1、服务接触中打造积极情感提升满意度。
第一,银行在与顾客的服务接触过程中,首先要加强服务的可靠性、响应性、形象认知、移情性、顾客服务和便利性,这有助于形成顾客的积极情感,让顾客感到愉悦,并形成对银行服务的满意度。通过改善员工的操作技能,加强对兼职人员管理,优化服务流程,加强服务承诺以及确保顾客的资金和网络安全有助于提高银行服务的可靠性。其次,银行需要加快对顾客的应答和响应速度,通过员工服务接触和上门服务等,改善服务态度,提高服务质量。再次,银行应该提高员工的内部满意度,加强对员工的培训和授权,主动为顾客着想,进而为顾客提供个性化服务。最后,通过优化服务网点、改善服务环境、提高服务素养和构建专业的网络服务等,提高顾客的满意度。
第二,品牌化和互动性成为银行塑造积极情感的主要障碍。一方面,银行需要提高顾客的社会地位,加强慈善营销,通过开展本地个性化营销,加强银行的服务文化建设。另一方面,银行需要在与顾客的互动过程中,增加顾客的积极情绪。例如,提高服务的标准化,减少顾客的排队等待时间,提高为顾客的服务效率,员工的行为能够被顾客观察,引入科技手段,加强与顾客的交流等。
2、服务接触中规避消极情感,提升满意度。
第一,银行服务中还需要避免顾客产生消极情感,进而改善顾客的满意度状态。如加强银行服务对于顾客的优越感,形成较好的社会参照效应,提升社会在享受银行服务过程中的心理感知:通过慈善营销或者选择代言人与吉祥物等提升银行服务的形象认知;增加顾客个性化服务的创新,开发顾客的潜在需求;增加服务网点,减少顾客接触服务的障碍,增加与顾客的互动,通过新的媒体和平台加强与顾客的深入交流与沟通等。
