網絡安全產業行業報告范文
時間:2023-10-18 17:20:29
導語:如何才能寫好一篇網絡安全產業行業報告,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
文件提出,電信企業自主制定電信業務資費方案時,應當遵循合法、公平、誠信原則,考慮用戶的不同需求,提供業務打包等多種資費方案供用戶選擇。資費方案結構應科學合理、簡單清晰,方案中需列明資費標準、計費方式、對應服務等內容。對涉及用戶基本通信需求的固定語音、移動語音、短信息、寬帶等業務,電信企業進行打包銷售的前提是,必須另外提供包內單項業務單獨的資費方案,國家鼓勵電信企業為城鄉低收入群體提供更加優惠的資費方案。在同一本地網營業區(或業務區)內,電信企業應保證具有同等交易條件的同類用戶對資費方案具有同等的選擇權利。
文件還指出,電信企業應進一步提高資費透明度,建立資費方案公示制度,通過營業廳、代辦點、網站等方式公布所有面向公眾市場的在售資費方案。在業務宣傳推廣時應全面、準確,對資費方案限制性條件及其他需引起用戶注意的事項,應履行提醒義務,不得片面夸大資費優惠幅度或作容易引起用戶誤解的虛假宣傳。
Local 國內 ? 聲音
全球正出現以信息網絡、智能制造、新能源和新材料為代表的新一輪技術創新浪潮,對產業發展產生了日益深刻的影響。世界正處于新一輪技術創新浪潮引發新一輪工業革命的開端,新一輪產業變革的核心是信息網絡技術的應用,信息技術特別是互聯網技術的發展和應用正以前所未有的廣度與深度,加快推進生產方式、發展模式的深刻變革。從某種程度上講,制造業互聯網化正成為一種大趨勢。制造業互聯網化呈現出智能產品、眾包設計、智能制造、在線服務以及基于互聯網的新型商業模式等幾大鮮明特征。
可以說,科學技術從來沒有像現在這樣如此深刻地影響著經濟社會發展和社會進步,科技創新從來沒有像現在這樣顯得重要而緊迫。為適應制造業發展新趨勢,打造中國制造業升級版,必須把增強創新能力擺在更加重要的位置。要深入實施創新驅動發展戰略,加快突破關鍵核心與共性技術,大力推進科技成果轉化和產業化,著力加強以企業為主體的產業技術創新體系建設。
――苗圩,工業和信息化部部長,5月7日, 2014智能制造國際會議”
如果從歷史發展的角度看大數據,正因為信息技術的廣泛深入應用,有足夠能力獲取和處理信息資源,使得信息資源的重要性回歸到其應有的地位,信息、材料、能源真正變成了推動社會進步的基本資源。
大數據的本質、核心、基礎是數據本身,我們需要把對信息的管理和處理水平提高到一個新的高度。要把數據和國家、企業、社會服務連接起來,根據需求采集、處理、應用數據,大數據才能落到實處。我們需要傳感技術來獲取信息,需要傳輸技術來傳輸信息,需要終端技術來承載信息,技術是信息實現價值的核心所在,沒有技術,數據再大、再動態、再前沿、再細,也不能產生價值。同時,我們需要對大數據系列相關技術的發展進行統籌規劃,要有長遠規劃,也要有近期的著力點,不斷滿足發展需求。不管是機構還是企業,都要根據自身急需解決的問題,不要為大數據的概念框架所累,利用信息技術在大數據的體系下提升核心競爭力。
――楊學山,工業和信息化部副部長,4月26日,中國首席信息官聯盟第一次工作會議暨互
聯網創新與信息化論壇
國內 ? 地方
北京“市委網絡安全和信息化領導小組”成立
5月7日下午,北京市委常委會召開會議,決定成立市委網絡安全和信息化領導小組,由市委書記郭金龍任組長,市委副書記、市長王安順任副組長。
會議指出,北京作為我國的“網都”,網絡資源豐富,知名網站云集,信息化程度高,在國家網絡安全和信息化建設中具有重要的地位;理順體制機制,全面整合資源,加強統籌協調,確保本市網絡安全和信息化建設整體推進、協同發展,具有重要意義。會議決定,成立市委網絡安全和信息化領導小組,作為市委常設議事協調機構,受市委常委會領導。領導小組的主要職責是貫徹落實中央的重大戰略、決策、規劃、部署和工作要求,組織領導本市的網絡安全和信息化建設工作,制定發展規劃、政策,推進法治建設,統籌協調、研究解決涉及本市政治、經濟、文化、社會等各個領域的網絡安全和信息化重大問題。
2 0 1 4年上海市電子商務“雙推”平臺企業名單出爐
為推動電子商務平臺發展,扶持中小企業開展電子商務應用,根據《上海市信息化發展專項資金管理辦法》以及《上海市經濟信息化委關于開展2014年電子商務“雙推”平臺企業申報工作的通知》要求,上海市經濟信息化委組織開展了2014年電子商務“雙推”平臺企業的申報和評審工作,經向全社會公開征集,共有50項企業平臺項目參與申報。通過專家評審,共遴選出12家平臺企業作為2014年電子商務“雙推”平臺企業,現予以公示。這12家企業分別是:2014年電子商務“雙推”平臺企業名單上海理想信息產業(集團)有限公司、上海珍島信息技術有限公司、上海新大陸翼碼信息科技有限公司、上海國興農現代農業發展股份有限公司、上海新世界信息產業有限公司、上海齊屹信息科技有限公司、上海鴻洋電子商務有限公司、上海車搭檔汽車技術服務有限公司、上海天呈醫流科技股份有限公司、上海雙擊信息科技有限公司、上海特易信息科技有限公司和上海筑想信息科技有限公司。
國際
紐約:利用舊電話亭建全市性免費WI F I網絡
美國紐約市計劃利用老舊的公用電話亭,建立一個全市性的免費WIFI網絡。
去年將十個付費電話亭轉化成WIFI熱點后,紐約市信息技術和通信部門正打算將所有電話亭變成WIFI樞紐,建立一個超大的WIFI網絡。它已經公告,在紐約所有五個區尋找合作公司,建立這個免費的網絡。
不過,公告也表示,紐約還將繼續建設公用電話設施,去年它推出了復興付費電話計劃,希望利用眾包創意來升級全市的付費電話。
菲律賓: 2 0 1 3年呼叫中心產業收入達到百億美元
菲律賓聯絡中心協會(CCAP)表示,在美國等傳統英語國家市場持續強勁的需求拉動下,2013年菲律賓國內呼叫中心產業收入創紀錄的達到100億美元,與2012年的86億美元相比增長18%。此外,截至2013年底,該行業就業人數達到58.6萬人,遠遠高出2012年的50.2萬人。據分析,盡管美國仍是呼叫中心的主導市場,但英國、澳大利亞和新西蘭等國家的需求也日益強烈。CCAP預測,2015年菲律賓呼叫中心產業收入有望增長14-15%,達到131億美元,2016年達到150億。
日本:擬建“太空太陽能電站”年發電量1 0億瓦
目前,日本計劃建造一個太空太陽能電站,預計2040年從太空衛星每年向東京傳送10億瓦電。
日本宇宙航空研究開發機構(JAXA)提議,未來25年,日本計劃建造太空太陽能電站。該機構詳細描述了這一計劃,從太空太陽能電站創建一個年發電量10億瓦的商業系統,這相當于一座核電站每年發電量。
J A X A退休教授司理佐佐木(SusumuSasaki)概述稱,未來計劃在東京灣海港建造一個3公里長的人造島嶼。這座島嶼布設了50億個天線,能夠傳輸微波能量變換成電能。這些微波能量是從3.6萬公里高空巨大太陽能收集器發射至地面。
為了收集這些太陽能量,人造島嶼兩個巨大鏡面一天24小時對準空中太陽能電站。此外,在人造島嶼上建造一個單獨的變電所,將電能通過海底電纜發送至東京,保證東京市區供電需求。
馬來西亞:政府月底與I T U聯合召開會議 擬定實時監測飛行數據的國際標準
為響應馬來西亞通信和多媒體部長的號召,國際電聯和馬來西亞政府將于5月26日~27日在馬來西亞吉隆坡組織一場有關實時監測(包括黑匣子)飛行數據的專家對話――云計算和大數據時代對國際標準的需求。
馬來西亞政府舉辦這次活動的主要動因是2014年3月8日從吉隆坡起飛的馬航MH370失蹤后開展的復雜調查。搜尋飛機遇到的種種困難表明,有必要改進對飛行中的商用飛機的確認和跟蹤。
據悉,首次專家會議將擬定一份路線圖,指導未來利益相關方為尋求有關實時跟蹤飛行數據的ICT解決方案開展協調。
美國:將表決新版網絡中立法規C P付費使用網絡或成為可能
美國聯邦通信委員會(FCC)主席Tom Wheeler在博客上發文稱,FCC已經起草了新版網絡中立法規,屆時擁有寬帶基礎設施的服務商(如AT&T、Verizon等)有望據此向使用其網絡的內容服務商收取費用。
Wheeler說,新版網絡中立法規不會破壞互聯網的開放精神,“非常簡單,新版建議規定,通過限制互聯網的開放而造成對消費者或是市場競爭不利影響的行為都會被禁止。”屆時,ISP(互聯網服務提供商)可基于“商務上的合理”條款與內容服務商簽訂付費使用合同。
FCC在新版網絡中立法規中建議遵循三大原則:一是所有的ISP必須對流量管理做到透明;二是合法的內容不能受到屏蔽;三是ISP不得在違背商業原則的情況下損害互聯網,包括利用附屬機構區別對待流量。
英國:移動虛擬運營商(MV N O)Sa mb a移動宣布停業
英國移動虛擬運營商(MVNO) Samba移動宣布停業。這是近幾個月來英國倒閉的又一家MVNO。外界分析,其倒閉原因是廣告收入不佳且數據批發成本較高。
Samba移動是在2012年開始營業的,使用的是3UK公司的網絡。其業務模式是,為用戶免費提供3G移動寬帶接入,但用戶需要觀看廣告視頻,Samba則以廣告收入為收入源。
在停業公告后,Samba網站上的一則留言寫道:“Samba停業的根本原因是數據批發成本過高。”不過Samba則表示,停業的原因是沒有與網絡批發伙伴達成新一期的協議。“鑒于我們合約到期,但未能簽訂更低價格的協議,我們不得不立刻停止業務。我們不保證會重啟數據服務,除非合作伙伴同意給我們更低的價格。”
國際 ? 數字
68.6%
2018年全球WiFi熱點將超過1050萬個 68.6%分布亞太地區居首
2013年全球WiFi熱點部署總數達420萬個,并將在2013-2018年間繼續以15.0%的年復合增長率增長,屆時,總數將超過1050萬個。其中約有68.6%分布于亞太地區,其次是拉丁美洲(12.3%)、歐洲(9.0%)、北美洲(8.7%)和中東及非洲地區(1.4%)。
34.9%
全球3D打印產業增速創史上新高同比增長34.9%
據全球最知名的3D打印行業研究機構Wohlers Associate公司日前的“全球打印產業報告”顯示,全球3D打印產業在2013年迎來了高達34.9%的同比增長,創下史上新高。目前包括銷售和生產這些環節在內的全球3D打印產業總值已經達到了30.7億美元。
80%
篇2
圖1 2007-2012年中國IDC市場規模及增長
據中國IDC圈最新的《2012-2013年度中國IDC產業發展研究報告》(簡稱“IDC報告”)數據顯示,2012年中國IDC市場規模達210.5億元人民幣,增速達到23.2%,相比去年增速有較大下滑,但與歐美發達國家相比,還是保持一個較高的增長速度。其中IDC基礎業務市場規模137.2億元人民幣,增速為20%,IDC增值業務市場規模73.3億元人民幣,增速為29.7%,增值業務成為拉動IDC市場增長的主力軍。
圖2 2007-2012年中國IDC市場基礎業務規模及增長
圖3 2007-2012年中國IDC市場增值業務規模及增長
近兩年,國內IDC產業呈現政策導向明顯、產業合并加速、基礎建設火熱等幾個特點,主要得益于國內云計算、大數據等新興產業的推動。雖然近年國內IDC市場增速明顯。據統計,2005~2012年,中國IDC市場規模增長了6倍,年均增長率超過30%。但相比歐美地區,國內45萬座數據中心總量不低,但大型數據中心偏少,僅不足百座,而且目前國內可以為市場用戶提供IDC服務的數據中心僅有有500多座,其中70%以上的數據中心為三家基礎電信運營商所有,主要分布在北京、上海、廣東、江蘇、浙江、山東、四川、湖北等經濟相對發達、業務量大、帶寬資源充足的省市。而且IDC的平均能耗效率(PUE)在2.2一3,遠低于發達國家1.5的水平。
另外,因為受“云模式”發展和數據中心能耗影響,2012年大型IDC服務商業新建數據中心部署開始向西部地區轉移,形成全國跨各大區域分散部署的態勢。中國三家運營商,中國移動,中國電信,中國聯通相繼在西部建立大型數據中心,在業務運營、合作模式等領域開展創新,引領了IDC的新的業務發展模式。
報告圖表摘要:
2012年全球IDC市場規模與增長2012年,全球IDC市場增長的趨勢有所減緩,整體市場規模達到255.2億美元,增速為14.6%。其增長速度的主要拉動力還在于亞太,仍然源于IT企業、互聯網企業和電信企業從自身業務支撐和拓展強烈需求。
圖1 2007-2012年全球IDC市場規模及增長2007-2012年中國電信運營商投資規模2012年,三大運營商都在經歷了電信重組3G大規模建網的幾年后,一方面,通過經營策略調整和業務整合提升競爭力;另一方面,對于新興業務積極探索,尋求開辟新的市場。2012年全年電信運營商固定資產總投資3278億元,比去年增速有所上升,增速達到6.2%。
圖2 2007-2012年中國電信運營商投資規模2007-2012年中國IDC基礎業務和增值業務市場規模近年來,隨著互聯網業務的高速發展,IDC市場正進入快速增長期。據統計,2005~2012年,中國IDC市場規模增長了6倍,年均增長率超過30%。2012年中國IDC基礎業務規模達到137.2億元,同比增長20%,2012年中國IDC增值業務規模達到73.3億元,同比增長29.7%。
圖3 2007-2012年中國IDC市場基礎業務規模及增長
圖4 2007-2012年中國IDC市場增值業務規模及增長2012年中國IDC公司的機房服務器數量根據調研數據顯示,2012年被調查IDC服務商機房擁有服務器數量在5000臺以上所占比例與2011年沒有多大變化;被調查IDC服務商機房擁有服務器數量在1000-3000臺的所占比例下降到23%,說明這兩年行業進行重組整合,較小的IDC服務商已經被重組或者淘汰。
圖5 2012年中國IDC公司的機房服務器數量IDC服務商整體分析2012年,基礎電信運營商所占比例基本上沒有改變,這說明IDC服務提供商產業鏈上下游環節趨向于穩定,隨之而帶來的是市場的有序競爭。
表1 基礎電信運營商與第三方IDC服務商的對比
圖6 2012年中國IDC公司的數量分布2012年中國IDC客戶類型分布2012年,IDC公司客戶分布行業如下:互聯網客戶仍舊是主要快速增長的客戶群體,2012年所占比例達到38.7%;11.7%被調查用戶是制造行業。政府、教育行業增長較快,所占比例分別為8.7%和7.8%,隨著政府電子政府、物聯網以及部分公共云平臺的快速建設,對IDC的需求也在快速增加。教育行業隨著班班通等項目的帶動,一些校園應用平臺的建設與整合,大數據的集中也會帶來對IDC業務的需求。
圖7 2012年中國IDC客戶類型分布 《2012-2013年度中國IDC產業發展研究報告》專題地址:idcquan.com/special/2013baogao/
篇3
關鍵詞:會計報告目標 會計信息流 XBRL
一、會計報告目標實現過程分析
(一)會計報告目標實現應具備的質量特征會計報告目標歷來是會計界學者爭論的焦點,是受托責任還是決策有用。各有各的說法。而隨著證券市場的蓬勃發展,企業變得更加公眾化,與眾多利益相關者相聯系。因此,會計報告目標發展趨勢變得越來越明顯,即向報告使用者提供關于企業財務狀況、經營成果、現金流量等信息,以便使用者做出合理決策。而為使會計信息決策有用,會計信息必須具備一系列質量特征:(1)主要的會計信息質量特征:可靠性和相關性。首先,企業應當以實際發生的交易或者事項為依據進行會計確認、計量和報告,如實反映符合要求的各項會計要素及其他相關信息,保證會計信息真實可靠、內容完整。其次企業提供的會計信息應當與財務會計報告使用者的經濟決策需要相關,有助于財務報告使用者對企業過去、現在或者未來的情況做出評價或者預測。可靠性和相關性兩者缺一不可。若信息沒有反映實際情況,信息的有用性無從談起,會計報告目標無法實現;若信息沒有用處,即使信息可靠,但因對決策無用,會計報告的目標也無法實現。(2)會計信息還應當具有清晰性、可比性、重要性、謹慎性、實質重于形式、效益大于成本以及及時性。只有會計信息具備了這些信息質量特征,會計報告目標才能實現。
(二)引導會計報告目標實現的信息流程若要使會計信息具備基本的信息質量特征,實現決策有用的會計報告目標,不僅需要合理的會計規范體系,完善的公司治理、內部控制,健全的法律制度作支撐,還需要先進的相關技術。會計信息并不是產生后即能發揮其作用,會計信息只有經過幾個階段的傳遞后,會計報告目標才有可能實現。會計信息流的傳輸過程大致可分為三個階段:(I)會計信息的處理階段。在這個階段中,會計人員對每一筆業務進行會計確認,將符合會計要素定義的業務作相應地記錄、計量、報告,對不符合會計要素定義的事項作選擇性的披露。此時,會計信息流主要在企業內部加工、流轉。內部控制有效、公司治理完善、外部法律健全、相關技術先進的情況下,會計信息就更加可靠、相關,因此就更加有助于會計報告目標的實現。反之亦然。(2)會計信息的傳輸階段。此階段會計人員將會計信息處理通過某種介質傳輸給會計信息使用者。介質主要可分為紙質和互聯網兩種。紙質為傳輸介質的條件下,會計信息通常要經過很長一段時間才能傳遞到使用者,而且并不是所有相關利益者有同等條件接受到會計信息。但由于會計信息均是經過了會計師事務所審計的,此時的會計信息相對比較可靠。而以網絡為傳輸介質時,會計信息可以及時傳遞,會計信息使用者的范圍也相應擴大,但安全性不高。如果在傳輸階段會計信息能夠快速、安全地傳遞到廣大的會計信息使用者,會計報告目標的實現就有了進一步的支持。(3)會計信息的使用階段。在這個階段會計信息已經到達使用者,使用者根據自身掌握的知識和信息對會計信息進行提煉、分析、總結,以便最后做出決策。在這個階段,信息列示的方式和內容成為主要影響因素。會計信息列示的方式可包括文字、圖像、動畫。如果列報的方式能夠突破文字、圖表單一的模式,并具有可理解性、可分析性,有助于會計信息使用者做出決策,則說明使用階段對會計報告目標的實現做出了貢獻。雖然會計人員的工作在第一階段便告以段落了,但是會計信息流的傳遞還需要經歷以后的兩個階段方可以發揮作用。即會計信息只有在三個階段都實現了基本信息質量目標以后,會計報告的目標才能實現。通過對會計信息流傳遞過程分解后,可以看出相關披露和傳遞技術是會計報告目標實現的一個重要因素。
二、會計信息傳遞的發展歷程
(一)指定地點的傳遞階段(1992-1993) 我國剛開始進行股份制改革和證券市場試點時,要求上市公司必須將其編制的財務報告放置于指定地點(證券交易所),并告知相關股東前去查詢和閱讀。這種信息傳遞方式比較落后。雖然給投資者和債權人提供了一個了解企業的機會,但是由于時間間隔過長,會計信息失去了決策價值。
(二)報紙為媒介的傳遞階段(1993-1999)
隨著公開交易的資本市場在中國的建立,證監會《公開發行股票公司信息披露實施細則(試行)》出臺,要求上市公司在指定報刊披露財務報告,指定披露的報刊包括《上海證券報》、《中國證券報》、《證券日報》等,由于報刊的發行量大,閱讀面大大增加,開創了報刊登載公司財務報告的新模式,人們通過瀏覽報紙獲取財務信息。此后,證監會義相繼出臺了有關規則,要求上市公司的招股說明書、上市公司公告、中期報告、季報、臨時公告等也需要在規定的報刊披露。這一時期信息傳遞的速度明顯快了許多,而且會計信息比上一階段更有利于位置偏遠的信息使用者擁有了和其他使用者同等的獲取機會。
(三)互聯網財務報告的初始階段(2000-2003)中國證監會1999年修訂的《信息披露的內容與格式準則第2號:年度報告的內容與格式》規定,2000年以后上市公司應將年度報告全文登載于指定的互聯網上,從而使網絡財務報告從自愿披露變為強制性披露,演變為一種被官方認可的閱讀模式。隨后證監會又陸續和修訂了其他相關準則,對于上市公司的年報、半年報、季報、臨時公告、招股說明書的,都規定須在網上公布。此時信息傳遞的速度比上一時期快了許多,并具有獲取方便、便于保存等優勢。但技術上和制度上的某些缺陷又增加了會計信息的危險性。
(四)互聯網財務報告的發展階段(2003至今)2003年一種新的財務報告模式逐漸呈現在人們面前,即基于XBRL的財務報告模式(也可以稱為第二代網絡財務報告模式),與第一代相比,新的網絡財務報告功能發生了根本性變化,它既可以表現為網絡常用PDF格式。滿足人們用眼睛閱讀的習慣,又可以表現為標記語言格式,人們不需直接閱讀,而是利用開發的工具幫助人們閱讀。這是網絡財務的發展階段,彌補了以前一些財務報告的不足,可以說是一次革命性的進步。
三、紙質和前期互聯網披露方式對會計報告目標實現的影響分析
(一)會計信息傳遞成本的影響紙質財務報告由于需經過多個流通環節,將花費大量排版、印刷費用。而在網上財務報告避免了紙質財務報告排版、印刷的費用,節省了成本。在公司治理、內部控制、外部法律制度基本相同的條件下,可以看出網絡報告的成本低于紙質財務報告,使企業更有意愿披露信息。這樣信息使用者決策時有更多的信息作參考,更有可能作出合理決策。
(二)會計信息傳遞時間和空間的影響 由于紙質財務報告印刷數量有限,極大程度上限制了信息使用者對信息的獲取。而互聯網財務報告信息的傳遞不受地域和時間的限制,極大地擴大了信息使用者的范圍。公司通過在網上財務報告,不僅可以與現
有股東保持密切的聯系,而且還可以吸引更多利益相關者的注意。相對于大股東而言,中小股東特別是散戶只有從上市公司公開披露的報告中獲取信息,只有會計信息傳播范圍廣,中小股東的利益才能得到保障,做出合理的決策。此外紙質財務報告經過排版、印刷、出版、分發等流通環節。而互聯網省去了那些環節,能夠更加快速地傳輸。現代社會日新月異,決策周期縮短,只有及時的會計信息才能滿足信息使用者的需要,而網絡財務報告縮短了傳輸時間,更有利于會計報告目標的實現。
(三)會計信息可靠性和可分析理解性的影響互聯網披露存在一定缺陷:其一,財務報告一旦刊登在報刊上,被他人非法篡改的可能性幾乎為零,因此紙質財務報告的安全性較高。而在互聯網上披露財務報告,財務信息可能被黑客更改或破壞。且在網絡數據(HTML版本文件)錄入時可能會出差錯(PDF格式報告不存在這一問題)。會計信息的安全性得不到保證,不僅會誤導信息使用者,并給信息提供者帶來訴訟風險。故安全性是網絡財務報告是否能夠優于紙質財務報告實現其目標的決定性因素。其二,報刊上披露的財務報告均是經過會計師事務所審計的,并附有審計報告,信息具有可信度。而互聯網上的財務報告包括已審計的信息和未被審計的信息,信息使用者很容易混淆兩類信息而做出錯誤的決定。即使指定網站上披露的財務報告是經過審計的,但由于網頁相關信息設置有超級鏈接,信息使用者點擊鏈接后,就可能會進人未被審計的信息范疇,卻誤認為是審計后的可信的財務報告。其三,紙質財務報告比較符合大眾的閱讀習慣,而在網上瀏覽并下載財務報告會對信息使用者特別是計算機初學者造成一些障礙。另一方面,互聯網財務報告也有一定的優勢。報刊只能以數字、文字、圖表來呈現會計信息,顯得枯燥、生硬難懂,且報告格式統一,僅符合第一利益集團的要求,不利于其他使用者分析、利用。而互聯網披露的財務報告具有多媒體特征,除了數字與文字資料外,還可伴有語音說明、圖像等采用視頻形式披露公司的財務活動和重大事件等。另外,配合財務分析軟件,可以把網上披露的數據加工和處理,和歷史數據相對比,和同行業其他公司相對比都因此變得更加方便,使會計信息更具可分析性、可理解性,能夠幫助會計信息使用者分析企業的過去、現在以及未來,并做出相應的決策。基于此,網絡財務報告更具可分析、可理解的信息質量要求,更有助于會計報告目標的實現。
(四)網絡財務報告披露方式的完善對策從以上的分析可看出,與紙質財務報告相比,網絡財務報告(HTML格式和PDF格式)具有覆蓋面廣、易于分析、成本低、速度快等優點,但有安全隱患。在不考慮危險性、誤導性的情況下,網絡財務報告在每個階段都比紙質財務報告更加可靠、相關,更加促進會計報告目標的實現。但是危險性、誤導性是不能不考慮的重點,如果這兩點得不到修復,那么一切將成為泡影。故必須加強安全性和可信度的建設,以使網絡財務報告優于紙質財務報告。應從技術和制度兩方面來完善網絡財務報告,以期實現其目標。其一,加強相關網站安全建設,保證網絡安全,防止黑客的襲擊。其二,相關機構應定期核實網站數據完整性、安全性。保存紙質財務報告,以便作為核實的依據,并在黑客攻擊后作為數據重新錄入的依據。其三,網絡財務報告應根據是否經過審計劃分成已審計和未審計兩類,并在網站上有明確的標識。未被審計的財務報告多是企業自愿披露的信息,可以設外部超級鏈接。而為了確保信息的可信度。已審計的財務報告不能設外部超級鏈接。這樣,會計信息使用者能夠清晰辨認信息的可靠性,做相關決策時不再受到一些誤導性信息的干擾。只有做到這三點,網絡財務報告的安全性得到保證,會計報告目標才能比紙質條件下更好地實現。隨著互聯網技術的不斷發展,于1998年提出的XBRL給互聯網財務報告注入了新的血液,彌補了一些互聯網財務報告的缺陷,也突出和深化了其優點,為實時財務報告奠定了技術基礎。
四、基于XBRL互聯網披露對會計報告目標實現的影響分析
(一)XBRL的涵義XBRL(Extensible Business Reporting Language,可擴展商業報告語言),是XML(Extensible Markup Lan-guage,可擴展標記語言)在財務報告信息交換和提取領域的一種應用,是目前應用于非結構化信息處理,尤其是財務信息處理的最新標準和技術。XBRL技術帶來了全新的網絡財務報告模式,這種模式以高度標準化的財務基礎數據為核心,實現了標準統一、處理高效。XBRL彌補了以前的網絡財務報告一些不足,使網絡財務報告模式優點更加突出,更有利于會計報告目標的實現。
(二)XBRL在實現會計目標上的優勢與初期互聯網財務報告相比,XBRL有著如下優勢:(1)XBRL確立了不同應用程序之間進行數據交換的標準格式,提高了財務報告的編制效率。XBRL體系包括內部財務報告(XBRL聯GL)和外部財務報告(XBRI,聯FR)。使用XBRL聯GL后,會計人員在每筆經濟業務發生之時加上相應的標識(包括發生時間、經辦人、涉及的單據、供應商和客戶等),進行匯總后載人XBRL聯FR。這種報告模式使會計人員更加精確、迅速完成財務報告的編制,提高了編制效率,降低了編制成本、,然而在以前的網絡財務報告模式下,雖然避免了排版、印刷等紙質條件下須發生的費用,但是會計數據在企業內部處理、轉換、匯總還是會耗費大量人力物力財力。所以XBRL財務報告模式降低了成本,使企業更加有意愿進行信息披露,更有利于信息使用者做出決策,使會計報告目標更易實現。(2)XBRL是一種跨平臺的純文本的描述性語言,數據交換也是跨平臺的。XBRL模式的財務報告不需要手工重復輸入,只要所有系統都遵循統一的XBRL語言標準,系統間的數據交換就會保持一致。會計信息流可以免去繁雜的二次輸入由企業的系統載入會計師事務所的系統、證監會的系統以及銀行的系統。這些使用者只需將報告存儲至數據倉庫,審核完畢后,就可以做出決策,財務報告就可以在網上披露了。XBRL模式的財務報告在第二段用時將比以前的網絡財務報告更少。(3)XBRL在數據安全、檢索和分析方面為會計信息使用者創造了更優質的環境。其一,XBRL無需重復的手工輸入,就大大降低了數據出錯的概率,保證了數據的完整和安全性,使會計信息使用者免去了數據遺漏或差錯所帶來的困擾。其二,XBRL能夠使信息使用者更方便快捷地檢索所需要的會計信息。現在的網絡財務報告大多采用HTML格式和PDF格式,前者是WEB信息系統利用超交本傳輸協議交換信息所使用的一種標記語言,后者是一種類似圖形文件的文件格式。由于HTML將樣式、格式、內容定義在同一個文件中,只關注于有關內容在瀏覽器上的顯示,而無法表達和區分數據的具體內涵,因此基于HTML的互聯網財務報告不易進行信息檢索,信息過多而無法檢索使會計信息使用者面對信息的“大海”無從下手。而XBRL良好的技術架構使會計信息使用者不到一秒鐘之內就能獲取到自己所需的特定的會計信息。其三,XBRL網絡財務報告提高了信息的分析效率。PDF格式的網絡財務報告,雖
然為會計信息使用者呈現了會計報告原貌。但是它類似于圖形文件,使用者無法通過程序自動從中讀取數據。這大大降低了報告的可分析性。而XBRL不僅支持數據檢索和提取,而且有助于多方位的分析。信息使用者不僅可以進行縱向的跨越多年份的分析。還可以進行橫向的跨越多報表、多公司、多行業的比較。
篇4
電子商務(EC,Electronic Commerce)就是利用電子數據交換(EDI)、電子郵件(E-mail)、電子資金轉帳(EFT)及Internet的主要技術在個人間、企業間和國家間進行無紙化的業務信息的交換。隨著計算機和計算機網絡的應用普及,電子商務不斷被賦予新的含義。電子商務被認為是通過信息技術(IT)將企業、用戶、供應商及其它商貿活動涉及的職能機構結合起來的應用,是完成信息流、物流和資金流轉移的一種行之有效的方法。隨著Internet的普及以及WWW服務的提供,可以聲、文、圖并茂的方式體現商品的特征,并盡可能地便利用戶。Internet潛在的、對其他產業的影響,使得電子商務在國內外再掀熱潮,電子商務亦被列為未來十大IT主導技術之一,迎接新的“電子商務時代”成為人們討論的主題。
據統計,Cisco公司日營業額達到900萬美元,其中40%的銷售收入是通過Internet實現的,預計其1999財年的銷售總額達50億美元,而營運支出節約了2.7億美元;著名的計算機直銷公司Dell,每日通過其Web站點銷售計算機達600多萬美元;軟件巨人微軟每周網上銷售達300萬美元;1997年西歐各國的電子貿易額達30億美元,預計到2001年將達260億美元;1997年底,美國和加拿大網上購物人數從半年前的47萬人增加到100萬人,電子商務正以每百天1倍的速度增長,到2002年,可望達到3000億美元的規模。據IDC報告,1995年,全球電子商務交易額為2.5億美元,而1996年這一數額則增至7億~10億美元,2000年將達到4000億美元的規模。據中國互聯網信息中心(CNNIC)1999年7月的統計報告,愿意在條件相對成熟的情況下,進行網上購物的占調查人數的85%,比去年同期增加了7%。另外,從1997年7月1日到1998年6月30日一年之間專門討論電子商務的國際學術會議至少舉行了18次,平均每個月一次半,這還沒有算其他各種學術會議可能包含的有關電子商業的研討和報告。由此可見,電子商務確實具有誘人的發展前景,電子商務將是一個巨大的市場,迫切需要研究和開發專門的技術和系統。
盡管電子商務的發展勢頭非常驚人,但它在全球貿易額中只占極小的一部分。一個主要的障礙就是如何保證傳輸數據的安全和交易對方的身份確認。因此,從傳統的基于紙張的貿易方式向電子化的貿易方式轉變的過程中,如何保持電子化的貿易方式與傳統方式一樣安全可靠,則是人們關注的焦點,同時也是電子商務全面應用的關鍵問題之一。
二、 安全要素
1.有效性
EC以電子形式取代了紙張,那么如何保證這種電子形式貿易信息的有效性則是開展EC的前提。EC作為貿易的一種形式,其信息的有效性將直接關系到個人、企業或國家的經濟利益和聲譽。因此,要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。
2.機密性
EC作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。EC是建立在一個開放的網絡環境(如Internet)上的,維護商業機密是EC全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。
3.完整性
EC簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是EC應用的基礎。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復并保證信息傳送次序的統一。
4.可靠性
EC可能直接關系到貿易雙方的商業交易,如何確定要進行交易的貿易方正是進行交易所期望的貿易方,這一問題則是保證EC順利進行的關鍵。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。這也就是人們常說的“白紙黑字”。在無紙化的EC方式下,通過手寫簽名和印章進行貿易方的鑒別已不可能,因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。
三、 安全技術
為了滿足電子商務的安全要求,EC系統必須利用安全技術為EC活動參與者提供可靠的安全服務,主要包括:鑒別服務、訪問控制服務、機密、不可否認服務等。鑒別服務是對貿易方的身份進行鑒別,為身份的真實性提供保證;訪問控制服務通過授權對使用資源的方式進行控制,防止非授權使用資源或控制資源,有助于貿易信息的機密性、完整性和可控性;機密的目標為EC參與者信息在存儲、處理和傳輸過程中提供機密性保證,防止信息被泄露給非授權信息獲得者;不可否認服務針對合法用戶的威脅,為交易的雙方提供不可否認的證據,來解決因否認而產生的爭議提供支持。
各種EC安全服務都是通過安全技術來實現的。EC使用的主要安全技術包括:加密、數字簽名、電子證書、電子信封和雙重簽名等。
1.加密技術
加密技術是EC采取的基本安全措施,貿易方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
在對稱加密方法中,采用相同的加密算法并只交換共享的專用密鑰(加密和解密都使用相同的密鑰)。如果進行通信的貿易方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機密性和報文完整性就可以通過這種加密方法加密機密信息和通過隨報文一起發送報文摘要或報文散列值來實現。因此,對稱加密技術存在著在通信的貿易方之間確保密鑰安全交換的問題。此外,對稱加密方式無法鑒別貿易發起方或貿易最終方。數據加密標準(DES)由美國國家標準局提出,是目前廣泛采用的對稱加密算法,主要應用于銀行業中的EFT領域。DES的密鑰長度為56位。
在非對稱加密體系中,密鑰被分解為一對,即公開密鑰或專用密鑰。公開密鑰(加密密鑰)通過非保密方式向他人公開,而專用密鑰(解密密鑰)加以保存。公開密鑰用于對機密性的加密,專用密鑰則用于對加密信息的解密。專用密鑰只能由生成密鑰對的貿易方掌握,公開密鑰可廣泛,但它只對應于生成該密鑰的貿易方。貿易甲方生成一對密鑰,公布公開密鑰;貿易方乙得到該公開密鑰,使用該密鑰對機密信息進行加密,然后發送給貿易甲方;貿易甲方再用自己保存的專用密鑰對加密后的信息進行解密。貿易方只能用其專用密鑰解密由其公開密鑰加密后的任何信息。RSA算法是非對稱加密領域內最為著名的算法。
2.數字簽名
數字簽名是非對稱加密技術的一類應用。它的主要方式是:報文發送方從報文文本中生成一個128位的散列值(或報文摘要),并用自己的專用密鑰對這個散列值進行加密,形成發送方的數字簽名;然后,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方;報文接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同,那么接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始報文的鑒別和不可否認性。
ISO/IEC JTC1已經起草有關的國際標準規范。該標準的題目是“信息技術安全技術帶附件的數字簽名方案”,它由概述和基于身份的機制兩部分構成。
3.電子證書
數字簽名是基于非對稱加密技術的,存在兩個明顯的問題:第一,如何保證公開密鑰的持有者是真實的;第二,大規模網絡環境下公開密鑰的產生、分發和管理。由此,證書簽發機構(CA,Certificate Authority)應運而生,它是提供身份驗證的第三方機構,由一個或多個用戶信任的組織實體構成。CA核實某個用戶的真實身份以后,簽發一份報文給該用戶,以此作為網上證明身份的依據。這個報文稱為電子證書,包括:唯一標識證書所有者(即貿易方)的名稱、唯一標識證書簽發者的名稱、證書所有者的公開密鑰、證書簽發者的數字簽名、證書的有效期及證書的序列號等。電子證書能夠起到標識貿易方的作用,是目前EC廣泛采用的技術之一。常用的證書有:持卡人證書、商家證書、支付網關證書、銀行證書和發卡機構證書等。微軟公司的Internet Explorer和網景公司的Navigator都提供了電子證書的功能作為身份鑒別的手段。
4.電子信封
電子信封是為了解決傳送更換密鑰問題而產生的技術,它結合了對稱加密和非對稱加密技術的各自優點。發送者使用隨機產生的對稱密鑰加密數據,然后將生成的密文和密鑰本身一起用接收者的公開密鑰加密(稱為電子信封)并發送;接收者先用自己的專用密鑰解密電子信封,得到對稱密鑰,然后使用對稱密鑰解密數據。這樣,保證每次傳送數據都可有發送方選定不同的對稱密鑰。
5.雙重簽名
在實際商務活動中經常出現這種情形,即持卡人給商家發送訂購信息和自己的付款帳戶信息,但不愿讓商家看到自己的付款帳戶信息,也不愿讓處理商家付款信息的第三方看到定貨信息。在EC中要能做到這點,需使用雙重簽名技術。持卡人將發給商家的信息(報文1)和發給第三方的信息(報文2)分別生成報文摘要1和報文摘要2,合在一起生成報文摘要3,并簽名;然后,將報文1、報文摘要2和報文摘要3發送給商家,將報文2、報文摘要1和報文摘要3發送給第三方;接收者根據收到的報文生成報文摘要,再與收到的報文摘要合在一起,比較結合后的報文摘要和收到的報文摘要3,確定持卡人的身份和信息是否被修改過。雙重簽名解決了三方參加電子貿易過程中的安全通信問題。
四、 公開密鑰框架
與DNS和X.500類似,公開密鑰框架(PKI,Public Key Infrastructure)也是一種網絡基礎設施,其目標是向網絡用戶和應用程序提供公開密鑰的管理服務。為了使用戶在不可靠的網絡環境中獲得真實的公開密鑰,PKI引入公認可信的第三方;同時避免在線查詢集中存放的公開密鑰產生的性能瓶頸,PKI引入電子證書。可信的第三方是PKI的核心部件,正是由于它的中繼,系統中任意兩個實體才能建立安全聯系。
電子證書中第三方的數字簽名,使用戶可以離線地確認一個公開密鑰的真實性。當證書中認可的事實發生變化時,證書者必須使用某種機制來撤銷以前發出、但現在失效的證書。除了證書的有效期外,證書撤銷列表(CRL)是另一種證書有效期控制機制。證書者定期CRL,列出所有曾但當前已被撤銷的證書號,證書的使用者依據CRL即可驗證某證書是否已被撤銷。
1.PKI結構模型
PKI框架有三類實體:管理實體、端實體和證書庫。管理實體是PKI的核心,是PKI服務的提供者;端實體是PKI的用戶,是PKI服務的使用者;證書庫是一個分布式數據庫,用于證書/CRL存放和檢索。
證書簽發機構(CA)和注冊機構(RA)是兩種管理實體。CA是PKI框架中唯一能夠/撤銷證書的實體,維護證書的生命周期;RA負責處理用戶請求,在驗證了請求的有效性后,代替用戶向CA提交。RA可以單獨實現,也可以合并在CA中實現。作為管理實體,CA/RA以證書方式向端實體提供公開密鑰的分發服務。
持有者和驗證者是兩種端實體。持有者是證書的擁有者,是證書所聲明事實的主體。持有者向管理實體申請并獲得證書,也可以在需要時請求撤銷或更新證書。持有者使用證書鑒別自己的身份,從而獲得相應的權力。驗證者通常是授權方,確認持有者所提供的證書的有效性和對方是否為該證書的真正擁有者,只有在成功鑒別之后才可授權對方。
證書庫可有WEB、FTP或X.500目錄來實現。由于證書庫中存取對象是證書和CRL,其完整性由數字簽名保證,因此對證書庫的操作可在無特殊安全保護的信道上傳輸。
不同的實體間通過PKI操作完成證書的請求、確認、、撤銷、更新和獲取等過程。PKI操作分成存取操作和管理操作兩類。前者涉及管理實體/端實體與證書庫之間的交互,操作的目的是向/從證書庫存放/讀取證書和CRL,后者涉及管理實體與端實體之間或管理實體內部的交互,操作的目的是完成證書的各項管理任務和建立證書鏈。
2.PKI層次模型
PKI框架描述為三個層次。最低層是傳輸層,向上提供PKI操作報文的可靠傳輸,可以是運輸層協議(如TCP),或應用層協議(如HTTP、SMTP、FTP)。中間層是密碼學服務層,向上提供加解密、數字簽名和報文摘要等基本密碼學服務,可由RSA、MD5和智能卡接口等模塊實現。最高層是證書服務層,使用下兩層提供的加密和傳輸服務,向用戶提供證書的請求、簽證、、撤銷和更新等服務。
PKI的三類實體使用了三層服務。證書庫無需特殊的安全交互措施,所以僅使用傳輸層服務分發證書和CRL;管理實體和端實體使用證書服務層構造PKI證書操作報文,使用密碼學服務層作鑒別和保護交互信息,使用傳輸層服務傳送報文。
3X.509證書
ISO/ITU、ANSI、IETF等組織制定的標準X.509,對電子證書進行了定義,對X.509證書和CRL做了標準化工作,不同組織定義的證書格式并不完全相同。X.509證書適用于大規模網絡環境,它的靈活性和擴展性能夠滿足各種應用系統不同類型的安全要求。X.509證書具有如下五個方面的特性。
(1)支持多種算法。X.509證書獨立于算法,CA根據需要選擇證書的簽名和摘要算法,以及端實體所擁有密鑰對的類型。摘要算法有MD2、MD5和SHA-1,證書簽名算法有RSA和DSA,密鑰對類型有RSA密鑰、DSA簽名密鑰、D-H密鑰交換密鑰、KEA密鑰和ECDSA密鑰。
(2)支持多種命名機制。X.509證書除了使用
X.500名字機制標識持證者和驗證者,還支持
E-mail地址、IP地址、DNS名和URI。
(3)限制證書(公開密鑰)的用途。CA能夠規定證書的使用范圍,如:簽名、不可否認、密鑰加密、數據加密、密鑰協商、證書簽發和CRL簽發等。
(4)定義證書遵循的策略。每個CA都定義了一定的安全策略,規范證書的操作過程。這些策略包括:CA的命名空間、身份驗證、撤銷機制、法律責任和收費等。
(5)控制信任關系的傳遞。建立CA體系,跨域認證,使得每個CA除負責本域的證書管理任務外,還要維護與其他CA間的信任關系。X.509證書定義若干字段用于控制信任關系的傳遞,CA能夠將自己管理域的安全策略體現在信任關系中。
五、 安全電子交易
安全電子交易(SET,Secure Electronic Transaction)是一個通過開放網絡(包括Internet)進行安全資金支付的技術標準,由VISA和MasterCard組織共同制定,1997年5月聯合推出。由于它得到了IBM、HP、Microsoft、Netscape、VeriFone、GTE、Terisa和VeriSign等很多大公司的支持,已成為事實上的工業標準,目前已獲得IETF標準的認可。
SET向基于信用卡進行電子化交易的應用提供了實現安全措施的規則。SET主要由3個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET規范涉及的范圍:加密算法的應用(例如RSA和DES);證書信息和對象格式;購買信息和對象格式;確認信息和對象格式;劃帳信息和對象格式;對話實體之間消息的傳輸協議。SET 1.0版已經公布并可應用于任何銀行支付服務。
SET主要目標如下:1信息在Internet上安全傳輸,保證網上傳輸的數據不被黑客竊取;2定單信息和個人帳號信息的隔離,當包含持卡人帳號信息的定單送到商家時,商家只能看到定貨信息,而看不到持卡人的帳戶信息;3持卡人和商家相互認證,以確定通信雙方的身份,一般由第三方機構負責為在線通信雙方提供信用擔保;4要求軟件遵循相同協議和報文格式,使不同廠家開發的軟件具有兼容和互操作功能,并且可以運行在不同的硬件和操作系統平臺上。
1.SET的購物流程
電子商務的工作流程與實際的購物流程非常接近,使得電子商務與傳統商務可以很容易融合,用戶使用也沒有什么障礙。從顧客通過瀏覽器進入在線商店開始,一直到所定貨物送貨上門或所定服務完成,以及帳戶上的資金轉移,所有這些都是通過公共網絡(Internet)完成的。如何保證網上傳輸數據的安全和交易對方的身份確認是電子商務能否得到推廣的關鍵。這正是SET所要解決的最主要的問題。一個包括完整的購物處理流程的SET的工作過程如下:
(1)持卡人使用瀏覽器在商家的WEB主頁上查看在線商品目錄,瀏覽商品。
(2)持卡人選擇要購買的商品。
(3)持卡人填寫定單,包括項目列表、價格、總價、運費、搬運費、稅費。定單可通過電子化方式從商家傳過來,或由持卡人的電子購物軟件建立。有些在線商場可以讓持卡人與商家協商物品的價格(例如出示自己是老客戶的證明,或給出競爭對手的價格信息)。
(4)持卡人選擇付款方式,此時SET開始介入。
(5)持卡人發送給商家一個完整的定單及要求付款的指令。在SET中,定單和付款指令由持卡人進行數字簽名,同時利用雙重簽名技術保證商家看不到持卡人的帳號信息。
(6)商家收到定單后,向持卡人的金融機構請求支付認可。通過支付網關到銀行,再到發卡機構確認,批準交易。然后返回確認信息給商家。
(7)商家發送定單確認信息給顧客。顧客端軟件可記錄交易日志,以備將來查詢。
(8)商家給顧客裝運貨物,或完成訂購的服務。到此為止,一個購買過程已經結束。商家可以立即請求銀行將錢從購物者的帳號轉移到商家帳號,也可以等到某一時間,請求成批劃帳處理。
(9)商家從持卡人的金融機構請求支付。在認證操作和支付操作中間一般會有一個時間間隔,例如在每天的下班前請求銀行結一天的帳。
前三步與SET無關,從第四步開始SET起作用,一直到第九步,在處理過程中,通信協議、請求信息的格式、數據類型的定義等,SET都有明確的規定。在操作的每一步,持卡人、商家和支付網關都通過CA來驗證通信主體的身份,以確保通信的對方不是冒名頂替。
2.SET的認證
(1) 證書。SET中主要的證書是持卡人證書和商家證書。
持卡人證書是支付卡的一種電子化的表示。持卡人證書不包括帳號和終止日期信息,而是用單向哈希算法根據帳號和截止日期生成的一個碼,如果知道帳號、截止日期、密碼值即可導出這個碼值,反之不行。
商家證書就像是貼在商家收款臺小窗上的付款卡貼畫,以表示它可以用什么卡來結算。在SET環境中,一個商家至少應有一對證書,與一個銀行打交道;一個商家也可以有多對證書,表示它與多個銀行有合作關系,可以接受多種付款方法。
除了持卡人證書和商家證書以外,還有支付網關證書、銀行證書、發卡機構證書。
(2) CA。持卡人可從公開媒體上獲得商家的公開密鑰,但持卡人無法確定商家不是冒充的(有信譽),于是持卡人請求CA對商家認證。CA對商家進行調查、驗證和鑒別后,將包含商家公開密鑰的證書經過數字簽名傳給持卡人。同樣,商家也可對持卡人進行驗證。
CA的主要功能包括:接收注冊請求,處理、批準/拒絕請求,頒發證書。
在實際運作中,CA也可由大家都信任的一方擔當,例如在客戶、商家、銀行三角關系中,客戶使用的是由某個銀行發的卡,而商家又與此銀行有業務關系(有帳號)。在此情況下,客戶和商家都信任該銀行,可由該銀行擔當CA角色,接收、處理客戶證書和商家證書的驗證請求。又例如,對商家自己發行的購物卡,則可由商家自己擔當CA角色。
(3) 證書的樹形驗證結構。在雙方通信時,通過出示由某個CA簽發的證書來證明自己的身份,如果對簽發證書的CA本身不信任,則可驗證CA的身份,依次類推,一直到公認的權威CA處,就可確信證書的有效性。每一個證書與簽發證書的實體的簽名證書關聯。SET證書正是通過信任層次來逐級驗證的。例如,C的證書是由B的CA簽發的,而B的證書又是由A的CA簽發的,A是權威的機構,通常稱為根CA。驗證到了根CA處,就可確信C的證書是合法的。
在網上購物實現中,持卡人的證書與發卡機構的證書關聯,而發卡機構證書通過不同品牌卡的證書連接到根CA,而根的公開密鑰對所有的SET軟件都是已知的,可以校驗每一個證書。
六、 防火墻技術
網絡防火墻技術是一種用來加強網絡之間訪問控制和防止外部網絡用戶以非法手段進入內部網絡、訪問內部網絡資源、保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包,按照一定的安全策略來實施檢查,決定網絡之間通信的權限,并監視網絡的運行狀態。防火墻系統的實現技術主要分為分組過濾(Packet Filter)和服務(Proxy Service)兩種。
分組過濾技術是一種基于路由器的技術,由分組過濾路由器對IP分組進行選擇,允許或拒絕特定的分組通過。過濾一般是基于一個IP分組的有關域(IP源地址、IP目的地址、TCP/UDP源端口或服務類型和TCP/UDP目的端口或服務類型)進行的。基于IP源/目的地址的過濾,即根據特定組織機構的網絡安全規則,過濾掉具有特定IP地址的分組,從而保護內部網絡;基于TCP/UDP源/目的端口的過濾,因為端口號區分了不同的服務類型或連接類型(如SMTP使用端口25,Telnet使用端口23等),所以為分組過濾提供了更大的靈活性。通過防火墻系統中分組過濾路由器對特定端口IP分組的禁止,可以防止黑客利用不安全的服務對內部網絡進行攻擊。
服務技術是由一個高層的應用網關作為服務器,接受外來的應用連接請求,進行安全檢查后,再與被保護的網絡應用服務器連接,使得外部服務用戶可以在受控制的前提下使用內部網絡的服務。同樣,內部網絡到外部的服務連接也可以受到監控。應用網關的服務實體將對所有通過它的連接作出日志記錄,以便對安全漏洞檢查和收集相關的信息。使用應用網關的高層服務實體有以下的優點:1隱蔽信息,內部受保護子網的主機名稱等信息不為外部所知;2日志記錄,便于網絡安全管理;3可以由應用網關有關RPC的服務,進行安全控制。
目前,比較完善的防火墻系統通常結合使用兩種技術。服務可以大大降低分組過濾規則的復雜度,是分組過濾技術的重要補充。這里介紹一種基于網絡地址轉換(NAT,Network Address Translator)的復合型防火墻系統,該系統是我們在國家863課題支持下自行研究和開發的。
1.總體思想
技術造成性能下降的主要原因在于其在指定的應用服務中,傳輸的每一個報文都需主機轉發,應用層的處理量過于繁重,改變這一狀況的最理想的方案是讓應用層僅處理用戶身份鑒別的工作,而網絡報文的轉發由TCP層或IP層來完成。另一方面,包過濾技術僅僅是根據IP包中源及目的地址來判定一個包是否可以通過,而這兩個地址是很容易被篡改和偽造的,一旦網絡的結構暴露給外界后,就很難抵御IP層的攻擊行為。
集中訪問控制技術是在服務請求時由網關負責鑒別,一旦鑒別成功,其后的報文交互都直接通過TCP/IP層的過濾規則,無需象應用層那樣逐個報文轉發,這就實現了與方式同樣的安全水平而處理量大幅下降,性能隨即得到大大提高。另一方面,NAT技術通過在網關上對進出IP包源與目的地址的轉換,實現過濾規則的動態化。這樣,由于IP層將內部網與外部網隔離開,使得內部網的拓撲結構、域名以及地址信息對外成為不可見或不確定信息,從而保證了內部網中主機的隱蔽性,使絕大多數攻擊性的試探失去所需的網絡條件。
2.系統設計
本防火墻系統的總體結構模型由五大模塊組成。
NAT模塊依據一定的規則,對所有出入的數據包進行源與目的地址識別,并將由內向外的數據包中源地址替換成一個真實地址,而將由外向內的數據包中的目的地址替換成相應的虛擬地址。
集中訪問控制(CAC)模塊負責響應所有指定的由外向內的服務訪問,并實施安全的鑒別,為合法用戶建立相應的連接,并將這一連接的相關信息傳遞給NAT模塊,保證在后續的報文傳輸時直接轉發而無需控制模塊干預。
臨時訪問端口表及連接控制(TLTC)模塊通過監視外向型連接的端口數據動態維護一張臨時端口表,記錄所有由內向外連接的源與目的端口信息,根據此表及預先配置好的協議集由連接控制模塊決定哪些連接是允許的而哪些是不允許的,即根據所制定的規則(安全政策)禁止相應的由外向內發起的連接,以防止攻擊者利用網關允許的由內向外的訪問協議類型做反向的連接訪問。由于本模塊所實現的功能實際上仍屬于IP包過濾的范疇,因此,它有可能與NAT模塊所設定的過濾規則相沖突。基于這一原因,在系統總體設計中,本模塊屬于可選部分,將在實際操作時根據需要來安裝或激活。
Interior DNS和Exterior DNS分別為NAT模塊機能所需的Split-DNS系統中的內部域名服務器和外部域名服務器(DNS),是NAT網關不可缺少的輔助部分。Split-DNS系統的主要目的在于解決由于NAT模塊對內外部網的地址屏蔽所造成的內外部域名解析不一致的問題。內部網的域名解析由Interior DNS負責,外部網針對內部網的域名解析由Exterior DNS負責,兩者間的數據同步通過內部通信機制完成。
3.模塊功能
(1)NAT模塊。NAT模塊是本系統的核心部分,而且只有本模塊與網絡層有關,因此,這一部分應和Unix系統本身的網絡層處理部分緊密結合在一起,或對其直接進行修改。本模塊進一步可細分為包交換子模塊、數據包頭替換子模塊、規則處理子模塊、連接記錄子模塊與真實地址分配子模塊及傳輸層過濾子模塊。
(2)CAC模塊。集中訪問控制模塊可進一步細分為用戶鑒別子模塊和連接中繼子模塊及用戶數據庫。用戶鑒別子模塊主要負責與客戶通過一種可信的安全機制交換各種身份鑒別信息,根據內部的用戶數據庫,識別出合法的用戶,并根據用戶預先被賦予的權限決定后續的連接形式。
連接中繼子模塊的主要功能是為用戶建立起一條最終的無中繼的連接通道,并在需要的情況下向內部服務器傳送鑒別過的用戶身份信息,以完成相關服務協議中所需的鑒別流程。
(3)SPLIT DNS系統。內部、外部DNS模塊可以利用現有的DNS服務程序,如BIND(Berkley Internet Name Domain)軟件包,通過與NAT模塊不斷交互,維持域名與地址對應關系的同步,維護兩個動態的內部DNS數據庫和外部DNS數據庫來實現,既達到了總體的設計目標,又保持了對其他服務的透明性。
七、 結束語
電子商務尚是一個機遇和挑戰(風險)共存的新領域,這種挑戰不僅來源于傳統的習慣、來源于計劃體制和市場體制的沖突、更來源于對可使用的安全技術的信賴。總之,用戶對電子商務活動安全性的需求,以及可使用的網絡安全措施,主要包括在如下幾方面:
1.確定通信中的貿易伙伴的真實性
常用的處理技術是身份認證,依賴某個可信賴的機構(CA)發放證書,雙方交換信息之前通過CA獲取對方的證書,并以此識別對方;安全電子交易(SET)規范為在Internet上進行安全的電子商務提供了一個開放的標準。
2.保證電子單證的秘密性,防范電子單證的內容被第三方讀取
常用處理技術是數據加密和解密,包括對稱密鑰加密技術和非對稱密鑰加密技術,單證傳輸的安全性依賴于使用的算法和密鑰長度。
