前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的国内信息安全认证主题范文,仅供参考,欢迎阅读并收藏。
“我的信息安全吗?”相信所有对信息技术有所了解的人都会存在这个担忧。就我们所使用的IT设备而言,软硬件的安全性将直接影响信息的安全。是否有什么手段来认定软硬件的安全性呢?答案是肯定的,那就是对其进行安全认证。
多年来,嘉兴市辰翔信息科技有限公司致力于IT软硬件安全检测认证,凭借着国际一流的技术,为IT软硬件“盖”上了信息安全的“合格章”。
权威认证覆盖全球
据国家工信部的《2013年电子信息产业统计公报》显示,我国2013年电子信息产业销售收入总规模达到12.4万亿元,同比增长12.7%。在信息安全日益受重视的今天,这意味着巨大的安全认证市场。就全球而言,反病毒软件的检测认证市场销售规模在2亿人民币左右,而安全硬件提供商全球多达几万家,销售额至少在几百亿人民币。检测认证行业作为IT软硬件方案服务提供商的服务商,市场前景巨大。如此大的“蛋糕”,此前一直被AV-TEST、ISCA LABs、Virus Bulletin等几家巨头垄断。
为了打破国外检测机构对计算机安全软硬件检测垄断的局面,辰翔科技通过多年来的理论研究和实践应用研发了一系列符合计算机安全技术潮流发展的检测技术和认证标准,并在一些关键的技术环节大量应用了新的检测标准和检测技术,是大中华区唯一专业从事计算机安全软硬件测试认证的公司,也是公安部计算机病毒应急响应中心的合作伙伴和唯一具有公安机关病毒分析备案的公司。除了自行研发外,辰翔科技还通过与国内高等院校的合作,研究如何将病毒流行度指标应用在计算机安全检测之上,相关论文也已经在国际会议上发表。另外,其关于计算机安全软硬件检测的专用认证标志已经在欧盟、美国和大陆成功注册。
辰翔科技作为全球主要的安全软件检测认证服务提供商,客户基本已经涵盖主要的杀毒软件提供商。值得一提的是,在手机Android操作系统安全测试领域,公司已经基本实现垄断。除了手机端的安全认证外,辰翔科技还与美国微软总部合作研发Windows安全认证体系。目前辰翔科技在全球安全软件测试认证行业主要竞争对手有6个,目标客户覆盖率基本达到国外同行水平。未来,辰翔科技将以电源产品作为切入点,进一步开展通用IT硬件(如CPU、内存、音响制品、显示器等)与安全硬件(如嵌入式反病毒硬件,硬件防火墙,邮件过滤器等)的检测认证工作。
打造全方位“防御体系”
通过从计算机软件到硬件,再加上手机与网站的安全测评,辰翔科技打造了一个全方位的安全防御圈。
安全软件测试
通过测试安全软件的多层防御能力来判断安全软件的综合防御能力。关键技术在于多层实时检测技术,传统的安全软件检测比较单一、一般都只检测安全的一个参数值,比如病毒的查杀率,误报水平等,而辰翔科技对测评体系进行了升级,摆脱单一功能检测无法反映软件综合性能的缺失,目前已经基本运用到日常检测认证中来。
云安全检测认证
辰翔科技采集最新最全的病毒样本,运用高性能的爬虫系统,通过大量的新出现的病毒和常用软件来判断云安全软件对未知病毒的响应能力、白名单库的收集能力和误报水平、云安全技术的稳定性判断,在国内率先提出了云安全检测技术的思路和测试基本框架。
手机安全软件检测认证
通过手机操作系统模拟器或真机来模拟或者重现手机安全软件在各系统上的运行情况,包括对病毒的检测查杀能力、常用功能的比较和不同病毒对手机用户的危害。目前,辰翔科技建立了一套完整的病毒分析流程,可以为杀毒软件公司提供分析支持和软件配套服务。
软件安全性评估
通过代码和行为分析判断软件是否具有恶意行为,对验证无恶意行为的软件颁发认证标志。
非安全软件类软硬件检测认证
通过辅助软件对同类通用软件和硬件进行性能评估和检测认证,对达标产品相对应的认证标志。通用软硬件的测评和认证将由辰翔科技和中国计量学院、浙江质监局共同进行研发,远期将提供市场准入认证和产品改良服务。
网络挂马钓鱼分析系统的建立和网站认证
信息安全是国家安全的基础和关键,在信息安全保障的三大要素(人员、技术、管理)中,管理要素的地位和作用越来越受到重视。面对越来越严重的安全威胁,不单在IT技术领域,各行业的企业组织都越来越意识到信息安全的重要性,但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题,因此这对当前高校的信息安全专业的人才培养也提出了更高的要求。
一、信息安全培训体系概况
信息安全培训作为高校信息安全专业教育的一种重要补充,主要用于解决学历教育和社会实践、社会认证培训的结合、信息安全人才培养不规范等问题。现有培训主要可分为四类。
第一,安全意识培训:其面向机构一般员工、非技术人员以及所有信息系统的用户,目的是提高整个组织普遍的安全意识和人员安全防护能力,使组织员工充分了解既定的安全策略,并能够切实执行。
第二,安全技能培训:其面向机构网络和系统管理员、安全专职人员、技术开发人员等,目的是让其掌握基本的安全攻防技术,提升其安全技术操作水平,培养解决安全问题和杜绝安全隐患的技能。
第三,安全管理培训:其面向组织的管理职能和信息系统、信息安全管理人员,目的是提升组织整体的信息安全管理水平和能力,帮助组织有效建立信息安全管理体系。
第四,认证资质培训:其针对特殊岗位所需的职能人员,包括审核部门、监管部门、信息保障部门等。通过提供国际信息安全相关认证考试的辅导培训,可以帮助人员顺利通过考试获得各类信息安全资质认证培训。
前三类认证主要依托专业的培训机构或安全设备厂商进行。第四类培训是当前培训的主体。
二、信息安全相关资质认证培训情况
资质认证类培训是针对资质认证特点和内容要求设计,依托专业机构进行的。一些认证的培训机构是由资质管理机构专门指定的。当前,信息安全相关资质认证主要分三类:
第一,国内以信息产业部,信息安全评测机构为代表的组织来管理实施的信息安全资格认证(或与国际组织联合颁发);这类的认证培训有:CISP培训、NCSE培训、CISM培训、INSPC培训、CIW认证培训等。
第二,由国外软件、网络产品厂商自己组织管理的产品专家认证(侧重于厂商产品、技术认证);相关的认证培训有:微软Microsoft认证培训、思科安全认证CCSP培训、趋势认证信息安全TCSE培训等。
第三,国际权威信息安全组织、研究部门或培训机构组来管理组织的国际化专业资格认证。相关的认证培训有:信息系统安全认证CISSP培训、信息安全管理体系主任审核员ISO 27001培训、国际注册信息系统审计师认证CISA培训、国际IT运营与服务管理资格认证ITIL培训等。
下面以CISP培训为例,分析其知识体系构建情况。
CISP即“注册信息安全专家”,是国家对信息安全人员资质的最高认可。其经由中国信息安全测评中心实施国家认证。CISP认证和培训赋予如下专业资质和能力:有关信息安全企业、咨询服务机构、测评认证机构、授权测评机构和企事业有关信息系统建设、运行和应用管理的技术部门和标准化部门必备的专业岗位人员。
在整个CISP的知识体系结构中,共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类。 CISP知识体系以信息安全保障为主线,全面覆盖信息安全保障工作所需的基础、标准、法规、技术、管理和工程等领域。CISP培训知识体系结构共包含五个知识类,分别为:(1)信息安全保障概述:介绍了信息安全保障的框架、基本原理和实践,它是注册信息安全专业人员首先需要掌握的基础知识。(2)信息安全技术:主要包括密码技术、访问控制、审计监控等安全技术机制,网络、操作系统、数据库和应用软件等方面的基本安全原理和实践,以及信息安全攻防和软件安全开发相关的技术知识和实践。(3)信息安全管理:主要包括信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识和实践。(4)信息安全工程:主要包括信息安全相关的工程的基本理论和实践方法。(5)信息安全标准法规:主要包括信息安全相关的标准、法律法规、政策和道德规范,是注册信息安全专业人员需要掌握的通用基础知识。
CISP的注册要求如下:
第一,教育与工作经历:硕士研究生以上,具有1年工作经历;或本科毕业,具有2年工作经历;或大专毕业,具有4年工作经历。
第二,专业工作经历:至少具备1年从事信息安全有关的工作经历。
第三,培训资格:在申请注册前,成功地完成了CNITSEC或其授权培训机构组织的注册信息安全专业人员培训课程相应资质所需的分类课程,并取得培训合格证书。
第四,通过由CNITSEC举行的注册信息安全专业人员考试。
三、信息安全专业培训体系构建的建议
1.构建完善的高校信息安全专业人才培训体系
传统的培训体系,比较侧重于知识和技能传授的过程控制,在对知识的共享、隐性知识的转换等方面,已经不能满足当前的要求,高校可以通过借鉴、学习CISP认证和培训体系结构和CISSP认证课程内容设置,从信安全岗位所需的基础、标准、法规、技术、管理和工程等领域来完善信息安 全专业人才培训体系。根据培训对象的不同将课程分为五种类型(层次):操作层面的基本安全意识培训;
技术层面的各项安全技能培训;管理层面的信息安全管理培训;专家级的资质认证培训。当然在培训体系里面信息安全技术方面的培训仍然是重点,为了加强网络基础设施等新兴重点网络安全技术领域的培训,可以参考思科安全认证CCSP培训的模式,对当前使用的防火墙、侵入检测、VPN、身份验证和安全管理等主流网络安全防护装备进行系统性的专题培训。
2.建立逐级培训的信息安全专业人才培训模式
当前信息安全技术的发展日新月异,信息化的网络攻防形式也发生着翻天覆地的变化,因此对于信息安全专业人员的培训,仅靠一两次培训是远远不够的,必须连续、有针对性的接受相应岗位和层次的逐级培训,才能保证知识、能力结构的不断优化和提高。在逐级培训过程中要明确不同职务、技术等级的不同要求,使得逐级培训过程级与级之间层次清晰又衔接有序。如果没有通过低级别的培训、认证,便不能参加后门高级别的培训。同时利用职业资格证、学历证书、执行证书等为牵引,通过多阶段培训、资格培训、升级培训使得知识结构、能力素质、岗位需求同步发展,取得相应的职业证书才能晋升上岗,否则不予任用。
3.通过合理的认证标准来动态更新和完善培训体系的目标任务
只有对培训成果进行合理判断,确定受训人员知识技能水平的提高幅度,才能了解培训项目是否达到原定的目标和要求,从而为进一步改进培训体系提供重要依据。通过对培训人员最终考评成绩的分析以及部队调研,培训学员信息反馈等方式,针对培训内容和教学组织形式听取意见,并及时调整,使得培训效果真正适应培训学员的实际需求,提高培训效果。这样才能在保持相对稳定的情况下对培训内容实施动态更新,不断完善。
国际上,网络与信息技术不断演进,以云计算、大数据、移动互联网为主导的新技术在推动产业发展的同时,也带来了更多新的挑战,信息安全更成为各国相互搏弈的重要阵地。
成长于信息安全身份认证领域的众人科技,在国内外大环境的激发下,正努力打造成为中国信息安全领域的标杆企业。
回顾历史,众人科技走过一段风雨兼程的路。
2007年9月,众人科技成立。主要从事拥有完全自主知识产权的iKEY身份认证系统及系列产品的研发、生产和销售。
众人科技创业之初,创始人谈剑峰就满怀激情与希望,励志在中国信息安全行业打下一片江山:研发有完全自主知识产权的身份认证技术和产品,与当时充斥中国市场的国外信息安全身份认证产品抗衡,保护国家信息安全。确定了产品方向,众人科技在这个当时国内尚处于空白的细分领域开始了艰难的探索。
众人科技从成立伊始就确立了自主研发、设计、生产的国产化道路,以完全的自主可控作为追求,目的就是为国家和大众的信息安全把好核心的那一道“门”,由此而带来的是漫长且枯燥的技术攻关和资格认证过程。
整整4年时间,众人科技团队全身心投入技术研发、打磨产品,并通过了国家相关机构、专家对动态密码技术的论证、检测、认定,在2009年初,众人科技率先拿到了国家密码主管部门颁发的动态口令类产品资质企业许可证,其研发的iKEY身份认证产品被中国科学院科技查新中心评定为“填补国内空白,国际先进水平”。
经过不断拼搏、奋斗,众人科技越过了一道一道的坎――资金、人员、资质、技术。终于,众人科技拥有了从密码专用安全芯片、终端产品到后台系统的全产业链自主知识产权,并自主设计了国内领先的具有世界领先水平的密码令牌全自动柔性生产线;还作为组长单位参与制定了国家密码行业标准GM/T 0021-2012《动态口令密码应用技术规范》,作为国家密码主管部门密码检测标准制密项目组组长单位,组织编写“动态口令密码检测”的相关规范;同时参与制定动态口令产品行业标准、身份认证技术相关标准。
2011年,众人科技更是被工业和信息化主管部门从百家企业中遴选为基于安全可控软硬件产品云计算解决方案供应商;2014年,众人科技成为了上海市“专精特新”企业及推进“新技术、新产业、新模式、新业态”的“四新”企业;值中国互联网接入20周年之际,众人科技更荣获了“中国互联网20周年・技术创新贡献殊荣”,成为“SHCERT网络安全应急服务支撑单位”及上海市信息安全服务推荐单位。
在飞速发展的七年时间里,众人科技成为了中国中小企业协会副会长单位、中国互联网金融工作委员会副主任委员单位、中国软件行业协会网游信息安全工作委员会主任单位、中国信息协会常务理事、上海现代服务业联合会会员、上海市计算机行业协会副会长单位、上海市信息服务业行业协会副会长单位、上海市信息安全行业协会副会长单位等。
也正是在这七年里,移动互联网以及互联网金融迅速崛起。来自银行的数据显示,目前建设银行和工商银行的手机银行客户总数已经超过1亿户,交行、农行、中行的客户数也超过了5000万户。其中,部分银行的手机端客户数量目前已然接近了其传统电脑端网银客户的数量。中国互联网络信息中心的报告显示,2014年6月我国手机网民规模已达5.27亿,中国手机端网民规模首次超过了PC端,这为银行手机端的金融服务奠定了良好的市场基础,也为各银行转向手机端带来了足够大的动力。
在互联网金融行业大环境的影响下,众人科技自主研发了一系列适于金融业发展的动态密码产品。
在竞争激烈的互联网环境里,众人科技深知创新和产品质量决定一切。
iKEY身份认证系统是由众人科技自主研发的基于时间同步技术的多因素认证系统,是一种安全便捷、稳定可靠的身份认证系统。其强大的用户认证机制替代了传统的基本口令安全机制,消除了因口令欺诈而导致的损失,防止恶意入侵者对资源的破坏,解决了因口令泄密导致的入侵问题,有效提高了身份认证的安全性和便捷性。其硬件产品线包括isKEY动态密码令牌系列。isCARD动态密码智能卡系列、isMemory 动态密码SD卡系列及手机令牌等,均采用国家密码主管单位指定的国密算法。
众人科技在此基础上进一步开发的智慧城市公共区域安全网络系统,以动态密码的核心技术为基础,用云计算搭建统一身份认证云平台,快速、有效地解决了公共区域网络的安全认证问题。其通过各类认证技术和安全机制的结合,可提高公共区域网络的身份认证的安全性,最终提高用户使用的便捷性和满意度。同时以其强大的用户认证机制以及安全监管功能,有助于规范国家公共网络管理系统,在大数据时代为国家信息安全保驾护航。
作为一家飞速发展的信息安全企业,众人科技在金融领域有着丰富的服务经验与优良的解决方案,在金融行业以外领域,也正在逐渐建立自己的品牌口碑。众人科技以动态密码技术为核心,总结多年发展经验,以市场为导向,逐步研发了如网络的4A审计系统、基于IBC标识密码的加密邮件系统、针对APT攻击的多维度网络威胁预警系统等多结构、多类型的产品,拓宽了国内信息安全产业市场,在国家智慧城市建设等领域走得更远。
随着移动互联网、大数据的迅速崛起,移动支付迅猛发展。尤其在金融领域,电子银行,手机支付的发展超出了人们的想象。
数据灾难备份必不可少
从美国“9·11”事件、日本大地震,到花旗银行丢失390万客户信息的“数据门事件”,到汶川地震,再到雅安地震……面对难以抗拒的严重事件和自然灾害,数据安全问题需要我们认真对待和仔细考量。在信息和数据主宰的时代,偶发性的天灾人祸很可能对金融、电力、交通、医疗、通信等重要组织机构赖以生存与运转的信息系统造成毁灭性打击,其业务连续性管理也会因此受到损害。对此,中科同向提醒用户:给数据信息上“保险”应成为企业的重中之重,信息化时代数据的灾难备份必不可少。
美国的“9·11”事件后,Gartner Group的相关资料显示,40%的公司在经历大灾难后再也不能恢复运行,很快倒闭了;另外33%的公司在两年内也紧接着倒闭;只有少量的公司因为实施了容灾备份系统,在大灾后仍能立即恢复工作,和大部分公司丢失了数据后一蹶不振的情况形成了鲜明的对比。
明尼苏达大学的一项研究显示,金融企业由于灾难而导致突然停止运营后,两天之内所受损失为日营业额的50%,若两个星期之内无法恢复信息系统,75%的公司将陷入业务停顿状态,其中43%的公司甚至再也无法开业。以上数据表明,面对灾难带来的不可预知的毁灭,建立预防性的数据灾难备份系统具有非常重要的价值。
专业的解决方案
目前,不少企业已经投入巨资建设灾难恢复系统,以确保业务稳定、连续地发展。对于另外一些还未实施容灾数据备份的企业,中科同向建议不要再持观望态度,应立即实施备份容灾系统。
中科同向在数据备份容灾方面有多年实施经验和多领域的成功案例。针对不同类型的灾害,中科同向已经成功实施了洪水治理应急恢复系统、人防应急系统等。在容灾方面,中科同向尤其有优势:不仅适应异构的存储设备,同时也能适应异构的服务器平台。这样的远程容灾建设方案可以支持更加广泛的应用类型,不但可以保障用户当前投资建设的系统得到充分利用,同时也对容灾系统未来的适应性提供了保障。
中科同向本着取之于社会、服务于社会的宗旨,实践“同一个方向,同一个梦想”的企业价值。中科同向相信,坚定不移的努力一定能让自主研发的国内数据备份容灾产品走向世界。
关于中科同向
关键词:XBRL;审计流程再造;连续审计
中图分类号:F239.省略成为可能,给审计带来一波巨大冲击。XBRL网络财务报告需要XBRL审计的支撑,如何构造基于XBRL的审计流程显得尤为重要。只有真正解决好这一问题,审计鉴证才能为XBRL网络财务报告的高效运行保驾护航,真正成为虚假会计信息的“过滤器”和利益相关者的“保护神”。因此,审计模式面临重构,审计方法和审计技术有待改善。
一、研究背景
作为一种新型的网络财务报告技术,XBRL一经出现便引起了国内外学者的广泛关注,都从不同方面对XBRL进行了探讨和研究。XBRL网络财务报告模式的发展必将对传统审计模式、审计方法和审计技术提出新的挑战和要求。作为“经济警察”,注册会计师通过会计报表审计鉴证对企业会计信息的真实性提供合理保证,是企业公司治理生态中关键的一环,对维护资本市场秩序具有重要作用。正如培根所说,没有执行制度比没有制度更可怕。近年来国内外发生的一系列重大事件如安然、世通信、银广夏、红光、科隆-德勤等无一不与审计失败有关,这恰恰从侧面反映出了审计的重要性。XBRL的出现,使得连续审计根据Rezaee的定义,连续审计是收集电子化审计证据来证明无纸化实时会计系统下财务报表是否公允表达的电子审计过程。
二、文献回顾
目前,国内外关于XBRL与审计的研究,较具代表性的有以下几个方面。Rezaee等[1]认为,随着XBRL的广泛应用,现行审计程序必须向连续审计转变。并指出:连续审计(continuous auditing),是收集电子化审计证据来证明无纸化实时会计系统下财务报表是否公允表达的电子审计过程。CICA[2]认为,XBRL财务报告编制过程与传统的编制过程不同,必然需要增加审计程序以确保XBRL文档的可靠性。并进一步指出:当XBRL被用来生成定期财务报告时,审计人员必须关注实施XBRL的额外程序和政策,并评价分类标准的使用与数据标记的恰当性、被标记数据的真实性、信息产生过程控制的有效性;当XBRL被用来生成实时财务报告时,将需要实施控制程序来保证被标记数据的真实性,因此审计人员必须持续评价这些控制的有效性,即实时审计。Wagenhofer[3]则认为,由于投资者将使用XBRL软件提取信息而不考虑信息编制的细节,那么企业将有可能不对某些不利信息进行标记或用特定标记对其进行标记,因此为了保证信息披露质量,审计人员必须验证企业是否对所有事项进行了标记;同时,如果企业进行实时报告或允许使用者接受其原始数据,审计人员将不得不将结果导向的审计程序改为连续的过程导向的审计程序。Boritz和No[4-5]认为,尽管XBRL的应用会带来很多好处,但是其一个重要缺陷就是未考虑信息质量。XBRL文档容易受到非法攻击,任何人都可以轻易地创建与篡改XBRL实例文档,从而致使XBRL报告的可靠性存在威胁,这势必影响XBRL的成功应用。因此,他们建议研究XBRL的保障机制,并提出了XRAL(eXtensible Assurance Reporting Language)。按Boritz and NO的定义,XARL“是基于XML的规范,它通过公认的鉴证程序和安全技术来加强网络信息的可靠性。XARL是XML的一种应用,是XBRL的扩展,将有关XBRL信息可靠性的信息扩展进来。” Murthy和Groomer[6]认为,基于XARL,并借助于Web服务便可实现对实时信息系统的连续审计。Boritz和No[7]进一步指出,如果没有良好的安全机制,XBRL与XARL将不可能完全发挥作用,因此又在XARL的基础上提出了网络财务报告服务安全机制。国内方面,张天西和高锦萍[8]深入探讨了XBRL对审计功能、审计程序和审计技术的具体影响,并认为随着XBRL的深入应用,将最终实现对实时信息系统的连续审计。
综上所述,目前国内外关于XBRL与审计的研究主要集中在XBRL财务报告的安全性及连续审计方面,并给出了有价值的建议。然而,以往研究大都停留在理论分析层面,未能结合相关技术给出基于XBRL的具体审计流程。本文将在以上研究的基础上,引入相关技术,对基于XBRL的具体审计流程进行初步探讨,以期解决其安全性问题,并实现连续审计目标。
三、XBRL网络财务报告及其对审计的影响
1.XBRL网络财务报告
XBRL的提出改变了传统的商业报告信息披露方式,影响整个商业报告信息供应链的各个方面,乃至将对会计制度、会计准则产生重大影响。XBRL是XML在商业报告信息交换方面的应用,是一种基于互联网技术的新型企业财务报告语言,是目前应用于非结构化信息处理尤其是财务信息处理的最新技术。XBRL能够提高软件提供商、程序员和最终用户创建、交换和比较商业报告信息的能力。近年来,XBRL获得了迅速的发展,尤其作为财务信息处理的最新标准和技术,XBRL增加了公司财务报告披露的透明度,提高了财务报告信息处理的效率和能力。如今,我国的会计信息化委员会即XBRL中国组织已经成立,成功加入XBRL国际组织成为XBRL会员。2010年10月,财政部了《企业会计准则通用分类标准》及其指南。在XBRL网络财务报告及分类账模式下,企业发生的经济业务和事项首先交由企业的会计信息系统(AIS)进行加工处理;其次由工具软件据此自动生成XBRL财务报告(实例文档);最后,利益相关者借助XBRL工具对财务报告信息进行在线分析或生成个性化财务报告,并可下钻至明细信息。正如Coffin所预言的,与不同国家会计准则相异有关的问题将因XBRL迎刃而解,如分析师不再需要对依据不同国家会计准则编制的报告作调整工作,因为企业能够从同一套数据依据不同的XBRL财务报告分类标准生成符合不同准则要求的财务报告。
2.XBRL网络财务报告对审计的主要影响
获取被审计单位的电子数据即数据采集,是开展计算机审计的第一步。传统计算机审计技术主要面临两大问题:一是数据接口问题;二是数据标准化问题。由于企业使用的管理软件和财务软件种类繁多,且基于不同的操作系统、数据库、开发平台,没有统一的数据接口标准。因此,如何进行数据采集,以获取标准化的统一的企业财务数据,一直是制约传统计算机审计技术得以有效实施的首要瓶颈因素。其次,由于我国存在多种会计规范,不同企业所使用的会计科目(特别是明细科目)可能不尽相同,这样,即便获取了企业的电子数据,也只是解决了所谓的“语法”问题,而相关的“语义”问题并未得以解决。因审计系统无法自动“读懂”企业的数据含义而限制了查询、统计、分析功能的使用。对于上述第一个问题即数据接口问题,目前审计系统所采取的策略大致有两种:一种是审计系统供应商通过了解主流管理软件产品所使用的后台数据库系统、系统数据库结构、用户数据库结构等多方面信息,并把这些信息“固化”在审计系统系统中,从而实现所谓的智能采集,方便用户的使用。这就需要软件商做大量的基础性工作,甚至需要做到“逐日盯市”,紧密跟踪主流管理软件产品版本更新情况,因此工作量是巨大的,设计、运行成本较高,也在一定程度上限制了智能采集的应用范围。另一种方式是手工采集,即由用户自行采集所需的电子数据。这种方式尽管给了用户较大的自由度,但是操作相对复杂,对用户的要求较高,那就是必须熟悉管理软件的数据库结构。对于上述第二个问题即数据标准化问题,目前主要是通过数据映射(主要是科目映射)来加以解决。只有在用户电子数据与系统提供的标准数据之间建立了映射关系,电子数据才得以具备语义功能,后续的自动查询、统计、分析功能才能顺利得以实现。因此,工作量是巨大的,运行成本是较高的。
XBRL的出现,为上述问题提供了最佳(至少从目前来看是这样)解决方案,使得语法功能和语义功能同时得以实现。在XBRL技术框架内,存在XBRL GL和XBRL FR两个层次的分类标准。XBRL GL分类标准位于底层,用于规范交易层面的原始数据和分类账;XBRL FR分类标准位于上层,用于规范财务报告相关信息。由于所有企业的财务报告及分类账都遵循统一的XBRL规范和分类标准,这就使得数据接口得以标准化;同时,由于XBRL将财务报告(特别是财务报表)要素以及分类账都进行了统一“贴标”,因而也就解决了“语法”问题,这将使得审计系统能否自动识别所有报告要素,并能下钻至明细账和记账凭证,也使得审计系统预先内置的大量统计分析经验模型和专家知识库的自动执行成为可能。因此,在XBRL框架下,连续审计这一动态审计模式将有可能成为现实。
同时,由于XBRL技术是基于Internet的,对Internet的高度依赖将使得基于XBRL的审计模式的安全性面临挑战。党的十六届四中全会将信息安全作为国家安全的重要组成部分,明确提出“增强国家安全意识,完善国家安全战略”,并确保“国家的政治安全、经济安全、文化安全和信息安全”。作为信息安全的内容之一,网络财务报告安全是我们不得不正视的一个重要问题。不彻底解决其安全性问题,基于XBRL的审计模式将存在巨大安全隐患,由此便不可能得以广泛应用。只有将安全防范技术应用于审计流程,才能化解潜在的安全风险,降低社会应用成本,解决应用XBRL审计模式的后顾之忧。成功失败往往只在一线之间,从这种意义上说,安全性将成为决定XBRL审计模式能否得以成功应用的关键因素。
四、基于XBRL的审计流程设计
1.流程中所引入的关键技术
基于XBRL的连续审计流程必须重点加以解决的基础性问题在于动态信息获取机制和网络安全的实现。为此,本文引入了Web服务技术以实现动态信息获取机制;同时,引入了数据加密技术、数字签名技术以及安全认证技术来保障网络财务报告信息安全。
(1)Web服务技术。传统的网络财务报告披露模式是“拉式”的,即信息使用者必须登录相关网站自行搜寻查找所需信息。这种“拉式”的信息披露模式,显然不利于实现动态审计模式。为此,有必要引入一种“推式”的信息披露模式。在“推式”信息披露模式下,会自动响应合法的在线客户端请求并将其所需信息“推向”客户端,继而交由其应用软件进行分析处理。Web服务基于HTML和XML,支持动态发现机制,因而可用于实现“推式”信息披露模式。Web服务主要包括SOAP(Simple Object Access Protocol,简单对象访问协议)、WSDL(Web Services Description Language,Web服务描述语言)、UDDI(Universal Description,Discovery and Integration,统一描述、发现和集成)。因此,企业可以将XBRL财务报告和分类账实例文档封装成Web服务,并为审计方提供Web服务的客户端程序,这样审计系统就可以在其本机在线调用Web服务,获取财务报告及分类账信息,从而可以动态获取企业最新数据并使其自动流向审计系统。同时,因为XBRL实例文档是根据XBRL GL和XBRL FR分类标准生成的,这就保证了审计人员可以非常方便地获取审计所需数据并自由地进行汇总、下钻、统计查询和分析了。
(2)数据加密技术。安全性方面,必须解决两个层面的问题:数据保密问题和数据真实性完整性的验证。关于数据保密问题可以借助日益成熟的数据加密技术加以实现。由于公开密钥技术无须事先交换密钥,也无须经常变换密钥,各个用户间可以进行保密通信,在网络环境下有较大的优越性。我们知道,企业拥有会计信息的产权,公开披露的会计信息既具有私人物品属性,又具有公共物品属性,但是在会计信息被公布之前仍然属于企业的秘密资料,尚不具备公共物品属性。同时,基于XBRL的财务报告不仅仅包括财务报告,还包括了分类账甚至是原始交易数据,其中必然有一些涉及企业的商业秘密。因此,财务报告数据被公开披露之前的保密性问题至关重要。通过引入上述的非对称加密技术,可以有效地防止企业财务报告及分类账信息泄密。
(3)数字签名技术。所谓数字签名,是指利用通过某种密码运算生成的一系列符号及代码组成的电子密码对电子文件进行的签名。数字签名技术可以确认发送者身份,防止抵赖和冒名顶替;同时,可以保护电子数据文件内容的完整性和准确性,确保不被篡改。我国曾于2004年8月28日颁布了《中华人民共和国电子签名法》,其中所称的电子签名主要就是指数字签名。数据加密技术可以有效防止企业和审计方之外的第三方窃取会计信息,但是不能解决如下问题:企业否认文件是自己发送的;审计方伪造一份来自企业方的文件,或私自修改接收到的文件;他人冒充企业或审计方。通过引入数字签名技术可以有效解决上述问题。
(4)安全认证技术。在实际应用中,上述的非对称数据加密技术和数字签名技术是通过安全认证机构提供的电子认证服务加以实现的。安全认证机构(Certificate Authority,简称CA)负责为网络用户颁发数字证书,并为证书持有者生成不同的密钥对。通过安全认证技术,既可以实现数据加密,又可以验证数字签名的真实性,从而起到保护信息安全、对外防止欺诈、对内防止否认的作用。截至目前,经主管部门授权,我国已有20余家单位获得了电子认证服务许可,这将为实现连续审计起到保驾护航的作用。依托安全认证技术,就将可以解决网络审计的数据安全问题。
2.基于XBRL的审计流程
基于以上分析,本文在考虑XBRL网络财务报告的网络安全性、连续审计内在特性和要求的基础上,构造了基于XBRL的审计流程,如图1所示。
图1基于XBRL的审计流程
第一,根据企业信息系统生成的XBRL实例文档通过安全认证机构进行加密和数字签名;第二,根据加密和数字签名后的XBRL实例文档生成XML Web服务并在XML Web服务注册中心进行注册;第三,审计方即XML Web服务客户端根据授权访问企业XML Web服务中心,获取审计所需的XBRL实例文档;第四,根据XBRL分类标准,审计系统对企业方提供的XBRL实例文档进行一致性验证;同时对企业数据进行逻辑校验,如期初余额试算平衡、期末余额试算平衡、发生额试算平衡、凭证试算平衡、账账核对、账证核对、科目账与辅助账核对、凭证科目合法性检验、基础资料完整性检验等。如有问题,可记录于工作底稿;第五,实施审计作业。基于XBRL的财务报告及分类账,既统一了数据接口标准,又使得所有数据都带有唯一的标签,因而更利于审计过程中查询统计工作的进行。同时,还可以结合相关领域研究成果制作专家库系统,如风险评估模型、舞弊识别模型等都可以应用到审计作业中。当然,无论审计模式、审计技术如何,都必须结合账实核对开展审计作业。审计作业过程中可以随时将审计内容、审计中遇到的问题及疑点在审计工作底稿进行记录,并最终根据审计工作底稿生成审计报告;第六,将审计报告通过安全认证中心进行加密和数字签名,并将加密和数字签名后的审计报告发送至企业服务器。这样,企业便可以向相关部门机构提交财务报告及审计报告。
参考文献:
[1]Rezaee,Z.,Elam,R.,Sharbatoghlie,A.Continuous Auditing:The Audit of the Future[J].Managerial Auditing Journal,2001,16(3):150-158.
[2]CICA. Audit & Control Implications of XBRL[R].Information Technology Advisory Committee,2002. http://cica.ca/multimedia/Download_Library/Standards/Studies/English/CI-CA-XBRL-0502-e.pdf.
[3]Wagenhofer, A.Economic Consequences of Internet Financial Reporting[J].Schmalenbach Business Review,2003,55(10):262-279.
[4]Boritz,J.E.,No,W.G.Assurance Reporting for XBRL:XARL(Extensible Assurance Reporting Language)[R].In Trust and Data Assurances in Capital Markets:The Role of Technology Solutions,ed.S.J.Roohani,2003.17-31.
[5]Boritz,J.E., No,W.G.Assurance Reporting for XML-Based Information Services:XARL(Extensible Assurance Reporting Language)[J].Accounting Perspectives,2004,3(2):207-233.
[6]Murthy,U.S.,Groomer,S.M.A Continuous Auditing Web Services Model for XML-Based Accounting Systems[J].International Journal of Accounting Information Systems,2004,5(2):139-163.
[7]Boritz,J.E.,No,W.G.Security in XML-Based Financial Reporting Services on the Internet[J].Journal of Accounting and Public Policy,2005,24(1):11-35.
[8]张天西,高锦萍.XBRL对审计的影响研究[J].当代财经,2007,(6):101-104.
[9]Hoffman,C.,Kurt,C.,Koreto,R.J.The XML Files[J].Journal of Accountancy,1999,187(5):71-77.
[10]Hoffman,C.,Strand,C.XBRL Essentials[M].American Institute of Certified Public Accounting,2001.
[11]Debreceny, R.,Gray,G.L.,Rahman,A.The Production and Use of Semantically Rich Accounting Reports on the Internet:XML and XBRL. International [J].Journal of Accounting Information Systems,2001,(2):47-74.
[12]Strand, C.,McGuire,B.,Watson,L.,Hoffman,C.The XBRL Potential[J].Strategic Finance,2001,82(12):58-60.
[13]Weber, R.XML,XBRL,and the Future of Business and Business Reporting[R].In Trust and Data Assurances in Captial Markets:The Role of Technology Solutions.Research Monograph Sponsored by Pricewaterhouse Coopers,2003.3-6.
[14]Jones, A.,Willis,M.The Challenge of XBRL:Business Reporting for the Investor[J].Balance Sheet,2003,11(3):29-37.
【关键词】网上银行;安全;监管
一、网络银行现状分析
(一)网络银行机构数量及规模现状
自从世界第一家网络银行――美国安全第一网络银行于1995年在互联网上开业以来,国际金融界便掀起了一股网络银行风潮,目前,国外85%的银行投资发展网上银行业务,美国70%、日本50%的家庭使用电子银行服务。
在我国,自1997年招商银行创建一网通以来,国内其他银行纷纷开始开通网上银行。目前中国已有20多家银行的200多个分支机构拥有网址和主页。根据艾瑞咨询《2008--2009年中国网上银行行业发展报告》,2009年中国网上银行交易额规模为445.0万亿元,其中工商银行占据了36.6%的市场份额,位居首位,比居第二位的建设银行(占17.0%)高出近20个百分点。
(二)网络银行安全与监管现状
1 安全性
网上银行系统是银行业务服务的延伸,客户可以通过互联网方便地使用商业银行核心业务服务,完成各种非现金交易。但另一方面,互联网是一个开放的网络,银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。
目前保障网上银行交易系统安全系统的技术措施包括:1)设立防火墙,隔离相关网络。2)高安全级别的WEB服务器。3)24小时实时安全监控。对于个人身份认证方面,采用认证介质。包括密码、文件数字证书、动态口令卡、动态手机口令等等。
另外,银行卡持有人的安全意识也是影响网上银行安全性的不可忽视的重要因素。目前为止,国内网上银行交易额已达到数千亿元,银行方面出现过安全问题较少,只有个别客户由于保密意识不强而造成资金损失。
2 监管与法规
除了中国人民银行以及银监会对银行业的监督外,对于网络银行的安全,中国金融安全认证中心(CFCA)是中国金融业唯―合法的、国家级权威第三方安全认证机构,经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融安全基础设施之一。CFCA作为权威、公正的第三方安全认证机构,通过发放数字证书为网上银行、电子商务、电子政务提供安全认证服务:确保网上信息传递双方身份的真实性、信息的保密性和完整性、以及网上交易的不可否认性。
目前我国的法律法规环境也已经初步建立,基本法《银行法》中已经加入了针对网上银行业务的规定。除此之外,2001年颁布的《网上银行业务管理暂行办法》和2005年颁布的《电子签名法》标志着我国对电子商务及网上银行的安全性管理已经做到了有法可依。2006年颁布的《电子支付指引》及《电子银行业务管理办法》等法规意见稿都为进一步规范和管理我国的网上银行市场奠定了良好的基础。
(三)网上银行存在问题与挑战
虽然我国对银行业的监管以及法规重视程度都很高,但是,由于网上银行的发展过快,现行的法规以及监管模式已经完全滞后与网上银行的发展。近几年来,由于银行的失误以及法规的不完善,网上银行出现了不少问题,而最终却由客户来承担损失。《电子商务研究》统计,网络银行安全事故中出于员工疏忽的占57%,外部恶意攻击占24%,病毒发作占14%,用户误操作占5%。专家认为,网上银行的安全事故频发,一方面与用户安全意识淡薄有关,另一方面也与网上银行本身存在的安全隐忧密不可分。
二、对我国网络银行监管的对策与建议
经过了上文对于我国网络金融概念和现状分析,已对网上银行监管存在的不足和问题有了具体的了解。对于我国网络金融监管的发展现作出如下的几点建议:
1 电子货币
作为网络经济中最重要的元素,尽快建立针对电子货币的监管体系。同时,要适时放松对电子货币发行主体的监管。受信息和通讯产业发展水平所限,我国目前还没有能力研发出具有世界领先水平的电子货币,更多的是采用西方发达国家的技术标准。因此,要求多用途电子货币发行主体仅限于银行是目前防范风险的有效措施。但随着我国信息和通讯产业的发展,在时机成熟时应考虑允许信息企业与银行合作开发电子货币产品或由非银行机构单独开发,以增强我国电子货币的国际竞争力。对非银行机构发行电子货币,应采用欧洲中央银行的监管办法,使非银行机构接受同银行一样的监管标准。
2 监管机构
加强各监管机构间的协调,在条件成熟时形成统一的金融监管部门。从我国目前的经济发展水平、法律环境、金融经营者的素质、金融机构内部风险控制机制、金融监管水平来看,现阶段我国“分业经营、分业监管”的原则是符合我国国情的。但面临我国已加入世贸组织的现状及网络金融迅速发展的现实,我们应特别关注混业经营、混业监管问题。在目前不能迅速转变金融监管体制的情况下,要注重加强各金融监管机构间的协调,加强沟通与合作,避免监管真空或交叉。最好能建立其专门监管网络金融行业的专门监督机构或者自律性组织。
3 法规制度
加快网络金融业务管理规章的制定。不仅要注重对技术风险的管理,更要强调对战略风险、操作风险、法律风险的管理;不仅要完善对内监管制度,也要建立企业间、行业间以及市场整体全面检查和监管机制。
众所周知,在互联网信息安全领域进行着两场旷日持久的战争,一场是安全产品与病毒、木马、流氓软件、网络诈骗之间的战争,另一场是某些功能相近的安全软件在网民桌面掀起的内战。理想情况下,我们希望互联网世界一片安定祥和,但是,在现实中人们尚不能建立“路不拾遗、夜不闭户”的理想之邦,更不要寄希望于遍布隐蔽、阴暗角落的互联网,所以第一场战争的存在是必然的。而对于安全产品的内战,我们极不愿意看到,却又无可奈何地接受——将所有的责任都推给厂商是不合理的,因为“免费”是他们的商业模式,而非发展公益和慈善事业。
在红海中逐利,移动互联网照搬了传统互联网的竞争模式,安全领域也未能幸免。移动信息安全涉及的内容也大体类似,终端物理安全、系统安全、应用安全、数据安全等等。当然,移动互联网下终端设备的移动属性使得物理安全较固定设备更为突出,而目前尚未形成统一可行的防范方法;移动支付、移动金融的崛起又将系统和业务安全重新定义,带来更多的“宝藏”。
移动互联网安全 终端安全先行
移动互联网伴随移动终端的出现而诞生,又随着智能移动终端的普及而发展成熟。今天,人们手中的智能设备已经集掌上计算机、MP3、游戏机、相机、GPS等多种功能于一体,不仅可以使用互联网服务、数据计算、文件存储,还可以实现多媒体娱乐、数码影像摄制等用途。现在,这些智能设备已经深入人们工作、学习、生活的方方面面,其业务应用也越来越多地涉及商业秘密和个人隐私等敏感信息,所以它的安全性变得更加重要。
与桌面PC的情况相同,移动智能设备面临多种安全威胁,比如病毒、木马等恶意软件入侵,设备丢失,数据泄露等等。智能设备系统安全领域早已是一片红海,安全产品内战的激烈程度与桌面端有过之而无不及。好在经历了几次“战火纷争”之后,用户已经明白这些安全产品争斗的实质,所以这类争斗的反面效果越来越明显,到现在战火虽未停息,但也不再像以前那样喧嚣。
人们需要安全的移动互联网,需要真正的终端安全,因此,一些标准化组织针对移动终端提出了信息安全技术要求,比如中国通信标准化协会(CCSA)明确提出移动终端需提供措施保证系统参数和数据、用户数据、密钥信息和证书以及应用程序的完整性、机密性,终端关键器件的完整性、可靠性以及用户身份的真实性。
CCSA规定移动终端应用开发、设计时应充分考虑和提供一系列安全策略:对操作系统、应用程序和终端关键器件进行一致性检验;对用户的身份进行认证然后根据用户的授权提供资源及对象的访问和操作权限;对终端的密钥、证书、系统数据和用户数据等进行有效的安全管理,保证存储数据的安全;对终端各种接口提供接入安全控制,安全的接入各种网络;终端中的关键器件还应具有抵抗防篡改等物理攻击的能力,以提高移动终端的自身安全防护能力。
对安全标准的研究和认证服务,是第一处值得思考的“宝藏”。
不过,在全球范围内移动智能设备的硬件方案屈指可数,以智能手机为例,芯片方案仅有高通、苹果、三星、英特尔、联发科、美满电子、华为海思等,而软件系统平台更少,由苹果ios、谷歌Andriod和微软Windows Phone统领。因此,不论是硬件还是应用软件的安全认证,系统级别的认证离不开大平台的支持,所以在应用层面发挥的余地更大。
围绕终端安全的周边,依然大有可为。目前面市的一些终端采用了生物特征识别认证,过去在笔记本电脑上比较普遍,如今在摩托罗拉、苹果手机上都相继出现。这是安全的另一种思路,从硬件上进行安全保护,比打着免费的旗帜在用户那里扮演“炸弹”要高明得多。另外,移动终端往往配备最先进的无线传输功能,比如最新标准的蓝牙4.1、NFC等,都是移动场景下带来的应用,瞄准无线传输的安全,也能挖出“宝藏”。
移动支付热潮唤醒移动金融安全意识
时下最热闹的移动应用莫过于打车软件,而让打车软件火起来的原因是腾讯、阿里两家企业在移动支付领域的角逐。数月以来,腾讯、阿里烧钱补贴用户,在移动支付方面“打”的不可开交,这也说明了移动互联网的发展给移动支付带来巨大的市场空间。与此同时,不少金融产品也开通了移动理财通道,移动金融安全付出水面。
包括移动支付在内的移动金融涉及互联网服务端和移动用户终端之间的信息互联,所以传统互联网安全的内容完全适用:服务器安全需要维护,阻止网络攻击,阻止黑客窃取数据;终端安全需要维护,要阻止病毒、木马窃取用户隐私信息,要加密敏感数据,等等。近日,国内漏洞报告平台乌云曾淘宝和支付宝认证存在安全缺陷的消息,黑客可利用漏洞登录他人淘宝/支付宝账号进行操作,另一大移动支付平台微信也被曝存在安全漏洞,伪装成为微信红包的钓鱼链接能够利用该漏洞窃取用户手机信息,用户微信绑定的银行卡也将面临泄露风险。移动金融安全还应该有业务方面的安全保障。有报道称,今年1月广州天河一市民遇到手机丢失、手机卡被他人冒名补办导致余额宝内49000元被盗的情况。
移动金融业务涉及的系统、应用和业务流程的漏洞防护是移动互联网安全的基础内容,也是一般人们对“安全防护”的认识。然而,换一种思维去保障安全,也能够在移动金融领域得到肯定,比如支付宝引入平安保险为期业务风险作保障。移动金融安全的本质是保障用户的资金安全,当用户资金遭受损失后能获得赔偿,这也是一种安全保障。由此可见,保险业在为移动互联网安全提供保障的时候也获得了一份“宝藏”。
政府参与CA认证
电子政务是网络信息技术带来的对传统政府管理模式的变革,使长期困扰政府部门的如何缩短办事周期、提高办事效率高公务人员的服务水平、监督公务人员的服务质量等问题,在很大程度上得以解决。电子政务的初步试用,使市民缴纳个人所得税、申办因私护照和政府了解社情民意都得以在互联网上进行,提高了政府部门的工作效率,更有利于政务公开。
但是,作为所有事务之重中之重的政务,它的安全性是各个级别、各个机构、各个执行者都要考虑并且保证的。因此CA认证开始逐渐渗透到政府领域。政府参与CA认证,主要涉及以下两个方面,一方面为了保证CA认证机构的权威性,政府必须参与CA认证机构的建设;另一方面是政府在政务处理中要应用CA认证。
很多国家在电子认证上设定的形式一般有两大类;第一类是直接由国家有关部门下属单位直接设立,从事电子认证服务工作,或者是由政府的相关部门扮演cA体系中最高一层的认证中心角色。第二类是由政府相关部门授权,规定严格的审批条件和程序,同时对得到授权的专门从事cA认证的企业行使监督权,以确保网络交易的安全。无论是哪种形式,政府扮演的角色都是至关重要的。因为CA认证中心最基本的特征是它的权威性,只有经国家主管部门授权经营的电子认证服务公司或政府下属的CA认证机关签发的电子证书才最有权威性。在一定意义上,这正如只有经公安部门发放的个人身份证才具有绝对可靠的权威性一样。另一方面由于政府主管部门在CA认证中扮演国家的角色,因此在体系的建立、技术标准和程序的设定,以及兼容跨国认证等方面都会达到统一性。
经过政府批准的认证中心,可以提供完整的安全电子商务解决方案,为交易的参与方提供了安全保障,为网上交易构筑了一个互相信任的环境,解决了网上身份认证、公钥分发及信息安全等一系列问题。
现在,各级政府部门在处理电子政务中都或多或少地采用了CA认证。比如从全国政协九次会议开始,全面推出了政协电子认证系统,使委员们又多了一条提交议案的便捷途径――E-mall。每位委员都有一个密码,据此进入政协电子认证系统后,经过CA认证,即可发送提案。此系统采用先进的CA认证技术,可以确认发信人的身份,确保工作系统安全,还可以避免冒名发信及过多的垃圾邮件给工作带来不必要的麻烦。这是电子政务安全认证迈出的可喜的一步,相信随着一系列法律和技术举措的相继出台及认证体系的不断完善,电子政务的安全前景将越来越广阔。同,比如招标方认可投标方在一年内成为其投标客户之一,即一年的供货商之一。虽然看起来CA认证方式,还不能完全代替传统商务的一些合同、协议,但这主要是相关法律问题没解决。但CA认证还是在很大程度上提高了商家的工作效率,因为如果投标方一旦成为招标方一年的供货商,且有了相关的CA证书,那么双方就没有必要为每一次交易都去签定合同,只需中标后在网下补签合同即可。CA的实施,为每一次网上的交易行为,提供了一定的信用保证,使网上的商务交流具备了可信性。
不过我们也应该看到,由于我国电子商务起步晚,目前还停留在对安全、保密、认证、法律等是否成熟可靠的讨论阶段,实际应用很少,总体上可以说是在初级阶段。我国的整个网络商务环境还不成熟,这就导致许多企业对网络的应用程度不高,应用得少,自然对CA的需求就不强烈。相比之下,一些做进出口贸易的企业更注重CA认证,因为国外发达国家的网络应用水平,明显高于我国,我们的企业要跟人家做生意,就需要有平等对话的条件。CA认证显然是条件之一,否则连相互信任都谈不上,还能做什么交易呢?
值得――提的是,以往国内的CA企业总是关注自己的技术水平如何,现在他们关注的是企业的网络商务行为到底需要什么样的CA,而他们又能为企业提供什么样的。企业与企业之间的安全认证,企业与政府之间的安全认证,都可以说是做CA认证企业的商机所在,关键在于当中国国内大部分企业还未完全意识到CA时,去主动找他们。更关键的在于对CA的认识不能只停留在它是一种安全技术的层面,而应该关注到CA如何在网络商务中应用。随着我国电子商务的全面开展,企业对网络商务需要的真正提高,CA将会成为企业网络的幕后主角,发挥其更充分的作用。
消费者依赖GA认证
随着互联网技术日新月异的快速发展,电子商务已成为人们日常生活不可缺少的一部分。但消费者在享受着网络带来的快速、便利的同时,开始担心网上商务的安全,根据IDC最近对在线购物持保留态度的网民所做的调查中发现,20%的人最担心在线购物安全问题。
怎样才能保证某些有价值的或者敏感的信息不被滥用?远隔千里的商家和买主能否保证在互联网上进行真实可靠的金融交易运作,并且能够使交易各方都具有信心,网上商务系统呼唤可靠的安全保密技术!这就引入了个人的CA认证问题。商户、支付网关、银行、消费者都应该向CA中心申请数字证书,以确保交易过程身份的真实性,保证信息的安全性和交易的不可抵赖性,从而使个人参与电子商务成为可能。
从实际的应用来看,CA个人认证就象是给个人发放的身份证,身份证发放机构有一系列的物理设备将公民的各种信息比如姓名、生日、照片等等和身份证捆绑在一起,这样使得身份证很难被更改。而CA是使用计算机平台和算法来创建和验证一个网络用户的电子身份,CA创建电子证书,它的权威性和可信任性都是通过使用CA的私有密钥进行的数字签名来保证的,用户可以使用CA的公开密钥来验证CA数字签名的可靠性。
我国金融领域率先掀起了一轮金融电子化浪潮,各家商业银行为了在电子商务时代取得新的竞争优势,纷纷利用先进的信息技术,发展建设网上银行、网上电子支付系统。比如1999年,招商银行首家在国内全面启动网上银行服务,建立了由网上企业银行、网上个人银行、网上证券、网上商城、网上支付组成的较为完善的网络银行服务体系。网上银行系统对于在互联网上开展银行业务的安全性提出了极高的要求,要求确保网上银行服务中所传递信息的真实性、完整性和不可否认性,防范网上银行业务中假冒、欺诈和抵赖行为发生,因此CA认证至关重要。
当消费者在某网上商店选购商品,把它放到购物筐里进行结算时,启动电子钱包,输入密码,在电子钱包中选出一张信用卡(如招商银行的一卡通,建设银行的龙卡)来付款。这时,计算机上会显示一个窗口来确认商店,实际上就是在起验证作用,表明这是一家经过认证的真实商店,这些信息来自于CA认证中心和支付网关。下一步是验证客户的账户是否有足够的钱,当信息经由支付网关进入银行网络完成验证并反馈回来时,客户需支付的款项实际上已经从账户中扣去了,网上购物支付手续才算完成。
同时我们也可以看到,包括国家电网等在内的越来越多的用户开始采用国产数据库产品。
规模化应用在即
在过去很长一段时间,和其他基础软件一样,国产数据库的发展不尽如人意,我国的数据库市场基本上被甲骨文公司等跨国数据库厂商所占据,一直是困扰我国业界的一个难题。
谈到这种状态形成的原因,人大金仓总裁任永杰指出,这一方面是因为经过国外数据库厂商经过长期的市场教育,用户和开发商普遍熟悉国外数据库产品,而对国产数据库了解不多;另一方面是因为国产数据库产品成熟度不高,产品中存在的一些小毛病会影响用户体验。
那么,在这种情况下国产数据库该怎样发展呢?任永杰分析说,尽管以人大金仓为代表的国产数据库企业经过10多年的发展,已经在技术、产品、市场、服务等方面取得了长足进步,但是国产数据库厂商要想全面赶超甲骨文公司等这样的跨国数据库厂商是不现实的,国产数据厂商应该在某些领域进行重点突破。
他指出,事实上国产数据库已经拥有三个较为明显的优势:第一,产品的体量较小,对硬件的要求较低;第二,能够为用户提供个性化的定制服务,更加贴近用户需求;第三,国产数据库产品是安全、自主可控的。
正因为如此,国产数据库已经被越来越多用户所接受并应用。据了解,国产数据库产品已经成功应用于政府、军工、电力、金融、教育、卫生、农业、交通、制造等行业。
任永杰认为,随着政策的推动与市场环境的日趋成熟,国产数据库的市场表现已经转好。就拿人大金仓来说,其2011年的销售增长达到了40%~50%。
“国产数据库2011年的市场表现充分表明国产数据库厂商早已蓄势待发。未来几年,国产数据库有望迎来一个发展的春天。”任永杰说。
就在4月6日举办的海量数据处理技术及云数据库研讨会上,数据库专家、上海交通大学计算机系教授白英彩指出:“如果说前几年国产数据库开始见到了曙光,那么说现在就已经看到早晨的太阳了。”
关注信息安全
值得一提的是,我国一直在强调基础软件的发展,最主要的原因是出于对国家安全的考虑。与此同时,目前我国国产数据库产品的用户,很大部分都是政府部门或者涉及国计民生的领域,因此我国数据库厂商要想取得长期较好的发展,必须重视信息安全环节。
正因为如此,我国国产数据库对数据库安全问题格外重视。任永杰在接受记者采访时指出:“安全是包括国产数据库在内的国产基础软件支撑国家战略的一个立足点,国产基础软件最终要为国家信息安全提供支撑。而国产基础软件发展成功与否,关键在于国产数据库。”
无论是人大金仓的KingbaseES V7还是达梦的DM7,都在强调对包括列存储、云计算等新技术的支持的同时,强调对安全的强化。
值得一提的是,人大金仓新推出的数据库产品KingbaseES V7通过了公安部结构化保护级(第四级)的安全认证并获得销售许可证。据悉,安全四级是GB/T 20273-2006第四级结构化保护级的简称,是目前国内数据库产品所能达到的最高安全等级。