敏感信息安全范文1
有的档案部门和人员甚至因为怕泄密而人为扩大保密范围、不及时开展档案降解密和档案公布工作、忽视档案信息利用服务,这些情况导致了档案信息封闭于档案馆库高墙之内的后果,进而影响了档案信息资源的社会共享。在公众信息权益不断觉醒、社会信息资源共享需求不断增强、档案机构信息服务不断改善的今天,档案信息资源的共享利用已经成为一种大趋势。然而,值得一提的是,由于档案信息资源的特殊性,尤其是军事外交、国防科技、商业秘密、个人资料等档案信息的极端重要性和高度敏感性,以及这些信息背后错综复杂的联系,使得档案信息资源共享过程中隐藏着许多信息挖掘推理通道和泄密隐患,极容易被恶意攻击者所利用。因此,在档案信息资源共享利用的过程中,必须高度警惕和重视档案敏感信息泄露的问题,在保证档案敏感信息安全的前提下,尽可能多地实现档案信息资源社会共享。档案在信息共享方面的优势及敏感信息的安全问题以电子档案为例,档案信息资源共享与敏感信息保护的矛盾关系更为突出。在过去的十几年间,信息技术的发展使社会的方方面面都发生了深刻的变革,在档案领域的一个重要体现就是,由计算机产生和管理的电子档案大量增加,随着人类社会进一步向数字社会和信息时代迈进,这种趋势将越来越明显,越来越多的信息将为电子档案所承载,海量电子文件的归档管理与共享利用也就变得极其重要。而电子文件作为一种现代技术的伴生物,其真正的优势在于“传递—传输”[2]。换个角度,这也就是说,电子文件和电子档案在信息传输、传递,进而在知识传播、促进社会信息共享方面具有传统载体档案无可匹敌的优越性。电子档案不同于传统纸质文件的一些特性共同造就了其“传递—传输”效率优势,如大存贮量、高密度、多种信息综合集成、灵活的可操作性等,同时,电子档案与其载体介质具有可分离性,电子档案及其承载的信息可以在不同的计算机和载体之间方便地复制、传递,也可以在网络上传输、传播。人们发现,网络环境下电子档案中蕴含的大量信息和知识的充分共享利用,将对经济、社会、科技进步和人类自身发展产生巨大的促进作用,然而在便于高效快捷地处理的同时,也使得档案信息处于更大的危险之中。例如,电子文件在处理过程中易于修改、拷贝、剪切、粘贴、查询、下载、移动,且不留下痕迹,这直接影响和威胁了电子档案信息的安全性;电子文件在输入、存贮、传输和提供利用的过程中,都可能存在信息干扰、信息丢失、窃密攻击、病毒侵犯、人为破坏等不安全现象。因此,电子档案的特性决定了在其管理、利用过程中必须高度重视信息安全问题,尤其是一些电子档案信息具有高敏感性、保密性,一旦泄密将造成无法挽回的损失。综上所述,档案信息资源共享这个目标必须在安全的基础上进行,在档案信息安全领域引入隐私保护技术,探讨档案敏感信息保护问题,是协调和解决档案信息资源共享与敏感信息保护两者之间矛盾关系的一种探索和尝试。
档案敏感信息安全面临的主要威胁及保护需求
档案敏感信息面临的主要威胁档案信息内容安全是档案信息安全中的重点难点问题。钟义信认为,内容安全直接发生在信息的内核,这是它与基于密码学的信息安全问题的最大区别,后者只对信号的形式进行处理,不需要理解信息的内容[3]。按照来源,威胁因素主要可以分为两个方面:自然威胁和人为威胁。自然威胁是指不可抗力自然灾害、自然消耗损坏、环境干扰等自然因素构成的威胁;人为威胁则是由于人为过失或破坏等人为因素造成的威胁,包括档案信息资源管理者和利用者对档案信息资源的无意攻击或恶意攻击等。在造福人类的同时,信息技术的不断发展和网络的公开性对档案信息资源中敏感信息的安全构成威胁。信息化、数字化、网络化在档案领域的广泛应用,使得档案工作发生深刻变化,档案信息的存储介质由主要是纸介质发展到声、光、电、磁等多种形式介质并存,档案信息的利用方式网络化、便捷化等等,这些方面的变革,大大提升了档案工作信息化水平,也给档案工作带来了许多新情况新问题。例如,档案信息网络化建设是近几年来档案领域重要的工作内容之一,网络环境下,档案信息系统在存储、传输档案信息时极易遇到黑客攻击、病毒感染等问题,档案敏感信息有可能轻易被窃取、泄漏和篡改,这些都使得网络环境下数字化档案与传统介质档案相比,更易发生泄密问题和隐私权侵犯问题。这也是档案信息网络化共享难以推进的重要影响因素之一,因此,积极寻求解决之道,维护网络环境下档案信息安全,是档案界和计算机界面临的共同课题。档案敏感信息安全保护需求根据《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2007),档案信息安全涉及到环境、设备、介质安全,备份恢复、病毒防护,身份认证、访问控制、密码保护、电磁泄露、完整性校验、安全审计、操作系统安全、数据库安全、信息安全性能检测、抗抵赖、边界防护等多个方面。而就电子文件信息安全来说,主要是指对其信息内容的保密性、完整性、可用性、可控性和不可否认性进行的安全保护[4]。本文关注档案敏感信息安全问题的侧重点在于如何应用隐私保护技术和知识技术对档案敏感信息内容本身进行保护,实际上是属于维护档案信息内容保密性的范畴,而对于完整性、可用性、可控性、不可否认性,可在对档案敏感信息资源进行隐私保护处理以后,联合运用身份认证、访问控制、存储加密、数字签名、加密传输、入侵检测、安全隔离等信息安全手段和技术,对档案敏感信息进行一个全方位、多角度的保护。这样,由于对档案敏感信息本身进行了隐私保护处理,那么即便是在突破各种防范手段非法获取了档案信息的情况下,恶意攻击者也无法知晓档案中的敏感信息。对档案敏感信息进行隐私保护处理并不影响档案信息的真实性,因为对档案信息资源进行隐私保护处理的主体是档案馆等档案工作权威机构,档案工作权威机构在对其所有的档案信息资料进行隐私保护处理以后,再经官方途径统一,或按照档案敏感信息访问控制策略提供利用,这样就能保证档案信息及其来源的真实可信。值得一提的是,我们针对档案数据库中的敏感信息保护研究[5]中,为了保护敏感信息不被泄露,会涉及到对数据库中的部分信息进行泛化、隐匿处理,一定程度上会影响档案信息的精确性和完整性,但相比较于限制、禁止开放利用所有包含敏感信息的档案信息资源这种保密处理方式而言,利用隐私保护技术将敏感信息保护起来的方式能够在保证安全的基础上,扩大和深化档案信息资源的共享利用。还有一种情况就是,目前能够或已经开放共享的档案信息资源中,可能存在一些敏感信息,恶意攻击者通过链接攻击和推理攻击等方式,能够将其挖掘出来,造成敏感信息泄露和个人隐私侵犯。如果档案馆在这些档案信息资源之前,能够对其进行隐私保护处理,就可以避免这些问题。因此,本文认为,引入隐私保护技术和知识技术对档案敏感信息本身进行处理,能够保护档案敏感信息安全,并在其基础上推进档案信息资源共享的扩展和深化。
敏感信息安全范文2
【关键词】保密意识 审计信息安全
审计信息是审计人员在工作中运用一定的技术、方法、手段,收集加工提炼整理的业务信息,是反映和体现审计工作成果的重要载体,主要包括审计工作信息和审计项目信息,涉及银行敏感信息及经营决策管理的商业秘密。审计人员泄密风险如影随形,无时不在,审计信息保密事关银行信息安全和审计声誉。因此,审计人员肩负审计数据及信息安全的重任,牢固树立保密意识、严格履行保密职责、执行保密纪律是每个审计人员义不容辞的责任。
一、审计信息渠道
审计信息主要来源于审计管理系统及平台信息和审计业务信息收集两个方面:
第一,审计管理系统及平台信息是审计人员在实施审计项目、进行审计管理的过程中,通过审计应用系统及平台获取审计业务操作与管理的业务和数据信息,包括非现场审计系统(OAS系统)信息、审计管理信息系统(AMIS系统)信息、审计知识库系统信息、任期经济责任审计信息资料库信息、总审计室信息平台等信息。
第二,审计业务信息是审计项目和日常审计工作中由各级机构提供的业务信息以及审计项目信息。业务信息包括审计机构审计计划、审计研究成果、被审计机构经营计划及业务指标、客户及其账户信息、业务管理信息等,以及通过Notes邮箱、办公自动化系统(OA系统)、档案管理信息系统等收集整理的各类业务信息。审计项目信息包括审计方案、审计报告、审计模型、审计证据、审计工作底稿,以及审计过程中通过会计档案管理系统、UAAP统一报表平台、对公信贷业务流程系统(CLPM系统)、个人信贷管理系统(A+P系统)、信贷管理系统(CMISII系统)、ODSB二期及ERPF报表查询等收集加工整理的各类信息。
二、主要问题和风险
(一)审计信息未集中管理,存在泄密的潜在风险隐患
便携式计算机是审计人员的必备工具,其中存储大量重要信息,实施审计项目按照审计方案要求分组开展,审计现场点多面广,审计资料不便于集中,审计人员注重信息资料使用忽视保密管理,对敏感及信息未经加密处理采取保密措施,形成审计信息安全隐患。一是项目实施过程中审计信息处于分散失控状态,缺乏安全管理;二是审计项目结束后,由于未明确和指定专人负责归集审计项目信息,致使审计人员未及时清理、归集移除审计项目电子信息资料,长久滞留审计人员计算机中将可能导致审计信息流失和泄密。
(二)计算机上网导致审计信息失密,造成损失形成银行声誉风险
计算机上网成为信息泄露的主要途径,计算机使用无线键盘或鼠标上网、移动存储介质与联网计算机交叉使用将会导致失泄密。一是审计人员因工作需要,有时通过互联网传送或下载工作信息,或上网查询信贷客户企业注册登记等信息,如果客户敏感信息被不法分子截获并利用,给客户带来不利影响的同时,将会导致银行声誉风险的严重后果。二是审计人员使用的计算机、U盘等磁介质若不采取保密措施,未经加密在互联网上传输行内重要数据或信息,被窃密者运用技术软件窃取,无意中将泄露银行敏感信息或商业秘密,给银行造成无可估量的损失。
(三)审计管理系统用户认证安全机制低、对客户敏感信息访问无控制
由于非现场审计系统对相关敏感数据字段未能加密,在审计项目实施过程中,审计人员登录系统可任意查询导出相关的信息及数据,存在敏感信息和商业秘密泄漏的风险。
三、审计信息安全管理措施
第一,健全制度,落实责任。为加强审计信息安全保密,对于计算机设备使用管理、审计管理系统运行管理及数据信息安全保密管理,制定信息安全管理制度,明确责任,落实保密职责。
第二,加强安全保密培训和教育,筑牢审计人员的安全和风险意识。一是要警钟长鸣,加强警示教育,做到防患于未然。二是建立信息安全的长效机制,将审计信息安全保密作为审计人员培训教育的重要内容,使之深刻认识安全无小事,牢记“失之毫厘、谬以千里”道理,始终绷紧安全保密意识的弦,严守保密纪律,自觉履行保密职责。
第三,加强审计系统用户管理,严格用户操作权限,禁止将用户口令及UKEY转借他人使用。在未开展审计项目阶段限制非现场审计系统操作用户,使用系统必须经过申请批准,以防止敏感信息泄露。搭建开放的非现场审计系统学习培训环境,提供审计人员用于学习操作非现场系统。
第四,利用管理信息平台FTP服务器对审计重要信息进行管理,实现远程资源共享,审计人员可查询相关工作信息,本机不再保存敏感信息和数据,切实防范便携机或移动硬盘存储审计信息失泄密的风险隐患。
第五,落实安全管理责任,签订《审计岗位人员保密协议》,强化保密意识,约束审计信息保密行为。
第六,加强计算机管理,严防信息失泄密。设置屏幕保护的时间和密码,确保在长时间不使用计算机时对屏幕上和系统内的敏感信息进行安全保护。计算机做到专机专用,与互联网物理隔离,禁止通过电子邮箱或互联网传输及重要工作信息,避免移动存储介质交叉使用。
第七,应用技术手段加强信息安全管理,审计条线全员推广使用Windows7(企业版)操作系统,应用全盘加密(BitLocker)功能,能够有效降低因设备物理丢失导致的审计信息泄露风险,有助于加强审计信息安全管理。
敏感信息安全范文3
关键词 网络应用系统;信息安全模式
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)09-0129-01
网络环境存在着复杂性和特殊性,使得网络应用系统往往会遭遇安全的威胁,每个投入使用的网络应用系统都可能会如此,所以有必要采取一定的安全措施来保护网络应用系统的安全。关于信息安全,国内已经进行了不少研究,但往往只能考虑到其中某一方面,或者是资源保护,或者是身份认证,真正研究完整信息安全解决方案的却很少,既要完善,又要能通用,满足这两点要求就比较难。本文在三种安全技术和机制融合的基础上,对并系统安全性需求与可用性、成本等特性之间的平衡进行了综合的考虑[1],提出了一种网络应用系统信息安全模型,其基本的要素,不仅包括信息资源传输和存储安全保护,还包括身份认证安全管理和资源访问安全控制,是为一个可行性方案。
1 信息安全模型设计的总体设想
网络应用系统存在的信息安全问题,实际上也就是分析系统面临的危险,“分析和权衡危险应该是建立在一定安全模型的基础之上”[2]。那么如何应对网络应用系统的信息安全所受到的威胁,主要体现为一些安全服务。实际情况是,信息安全所受的攻击愈发多样化,也更为综合化,各种安全服务之间是不能分割的,所以一些防范技术和机制被用来支持这些服务,因而它们之间也是紧密相关的。因此,要想实现保护系统的安全,不能只依赖于一种防护机制,或者是只依靠一种安全技术。
同时,系统的安全性价比也应该是构建安全系统时需要充分考虑的因素,即系统能合理地对安全粒度进行控制,并且对各种安全技术加以使用,这就使系统在实现安全和保证其它的特性之间寻求到一个平衡点。但大多数情况下,系统的安全性不应当被过分地强调,却牺牲了系统的一些重要特性,这是不值得的。于大多数的企业而言,不愿意投资过多的资金到安全技术上,主要是因为技术方面的投资不能获得较为明显的收益。因此,应用系统的信息安全方面应当重视成本,有选择性投入网络应用系统的花费,计量选择那些易获取有花费不大的安全技术好机制。
资源提供方还需要达到一个平衡点,就是既要达到系统安全性,又要保障来访者权益安全性,还要保证用户操作的简捷。很多的默认方式和便捷得以提供是应用系统应当具备的好的特性,对用户界面进行友好设置,不需要令用户感觉到各项安全技术和机制存在。如果太过于追求安全性,却使得用户操作过于繁杂。这样会让用户不满意应用系统。总之,安全服务目标是的实现是基础和前提,对多种安全机制和安全技术进行有机地组织和融合,安全技和机制要经过实践的检验的安全技术和机制,广泛地将各种安全技术的优点吸收进来,对一些可能存在安全威胁的环节加以信息保护。
2 网络应用系统的信息安全模型总体设计
信息资源传输和存储安全保护是信息安全模型设计的三大要素。计算机安全隐患主攻的方向一般是身份认证安全管理方面,还有对用户访问资源的安全控制方面,以及传输和存储信息资源方面,这是应用系统信息安全模型重点需要进行的安全控制,从根本上保护信息的传输和存储,才可以进行正常的资源访问。要使系统信息资源的安全访问和使用得到保障,就需要依赖于两道防线进行严格的控制,一道防线是关于身份认证;一道是关于系统信息资源的访问控制。
1)身份认证层的设计。身份认证层有两方面内容,一个是用户的身份认证,另一个是关于用户注册信息的管理方面,采用到的认证机制是挑战/应答式动态口令,这是一种还待改进的认证机制,也是目前使用较为普遍认证机制,认证的时候客户端会收到服务器端发送的不同“挑战”,需要给予相应地应答。然而,这种标准的认证机制还存在两点缺陷,攻击者容易对随机数进行截获来冒充服务器端和用户端,另外,就是口令的存放形式比较容易收到攻击,它是以明文形式进行存放的。第一个缺陷可以通过敏感数据加密通道来对随机数进行加密传输来解决;第二个缺点可以改变在服务器数据库的存储方式,可以通过在客户端将用户口令再经过MD5算法散列运算进行。
2)基于RBAC访问控制层的设计。访问控制层则有权限验证与授权和资源限制访问两个部分的内容。访问机制采用的是基于角色的控制机制。将角色的概念引入到RBAC中,主要目的是进行用户和访问权限之间联系的分离,组织中可以有许多不同的岗位,不同的岗位有不同的职能,多项权限被赋予了一个角色,也可以有多个用户被赋予权限。而多个角色也会拥有同一个权限。影响到角色和权限分配是重要的约束机制。而约束机制可以包括以下三方面:一是最大用户容量通过限制一个角色来进行可以支持,例如对应用系统非常重要的角色――超级管理员,这只能被允许授权于一个用户;二是互斥角色的设置。同一个用户是不能被授权于互相排斥的角色的。例如客户类角色就是与管理员类角色相互排斥的;三是互斥功能权限的设置。同样的,同一个角色也不会被授权互相排斥的功能权限。实现RBAC的一个非常重要的环节就是设计数据库结构,设计较为良好的数据库结构也就意味着对RBAC要求的表述。
3)敏感信息资浑传物和存储安全保护的设计。首先,是关于敏感信息资源传输的安全保护。因特网的迅猛发展也带来了网络信息资源的安全隐患,网络安全领域研究的一项重要内容就是实现网络环境下的信息资源传输的安全性,特别是敏感的信息资源,信息传输依据数据的敏感和非敏感情况,将传输通道分成敏感数据加密和非敏感数据明文两方面。这样可以使得不必要开销得到减少,从而使得敏感信息在传输过程中的保密性与完整性得到保障。这不仅使得网络应用系统的安全性得到保证还使得传输效率得到大大提高。其次,是关于敏感信息资源存储的安全保护。网络环境下的系统信息资源包括了大部分,一部分是Web页面,它主要可以由访问控制层来进行协助,分配访问权限主要根据用户的角色来进行,以便最终实现安全保护的目的;另一部分就是数据库信息资源,其自身的安全措施应当不断加强。
3 结束语
采用了B/S模式的情况下借助于J2EE技术平台,信息安全模型得以实现,存在的角色类型有三种,权限的假设有九种之多,在这样综合的前提下,进行了网上银行的一个业务流程的模拟,主要是关于网站的公共服务系统,安全性测试测试出了主要安全防线的效果,结果较为满意。
参考文献
敏感信息安全范文4
摘要:近来,杭萧钢构的股价暴涨事件引起了市场各方的关注,关注的焦点之一就是杭萧钢构是否及时、充分地披露了价格敏感性信息?本文全面分析了杭萧钢构事件的整个信息披露过程,分析结果表明:杭萧钢构事件反映的并不仅仅是公司本身的问题,同时也折射出了我国证券市场价格敏感性信息披露制度上的弊端。文章以此事件为例,剖析了我国价格敏感性信息披露制度的缺陷,并提出了改进建议。
近来,杭萧钢构的股价暴涨事件引起了市场的各方关注,关注的焦点之一就是杭萧钢构是否及时、充分地披露了价格敏感性信息?杭萧钢构在信息披露上存在的问题是由于企业故意违反信息披露制度造成的,还是我国制度本身的缺陷导致企业的非故意行为?杭萧钢构事件究竟折射出我国价格敏感性信息披露制度哪些弊端?本文将对上述问题展开研究。
一、杭萧钢构事件回顾
2月12日-14日,股票连续三个涨停板。
2月12日,杭萧钢构董事长单银木在公司2006年度总结表彰大会上披露了公司将介入一个“国外大项目”的重大内幕消息。
2月15日,公告公司正与有关业主洽谈一境外建设项目,该意向项目整体涉及总金额折合人民币约300亿元。尚未正式签署任何相关合同协议。
2月15日-16日,股票连续两个涨停。
2月17日-25日,春节,股市休市。
2月26日,新年开市第一天,涨停。
2月27日,沪深股市暴跌,杭萧钢构凑巧“因有重大事项披露”停牌。
2月27日-3月12日,因重要事项未公告,停牌。
3月13日,公告公司与中国国际基金有限公司签订了《安哥拉共和国-安哥拉安居家园建设工程-产品销售合同》、《安哥拉共和国-安哥拉安居家园建设工程施工合同》,产品销售合同总价计人民币248.26亿元,施工合同总价计人民币95.75亿元。
3月15日,公司公告称:目前,合同前期设计准备工作已经开始,合同尚未有实质性的履行。如对方未支付相应款项,公司存在不持续执行的可能。上述建设工程项目合同签订后,公司近期内没有形成收益。项目的进度和收益均存在不确定性,对公司影响还需要一定时间和过程才能逐步体现。
3月13日-16日,股票连续四个涨停
3月19日-30日,因重要事项未公告,全天停牌,证监会展开调查
4月2日,复牌,涨停,证监会未公布调查结果。公司澄清公告,就新华社以通稿形式的《杭萧钢构订单利好被公司提前泄漏》澄清公告。同时境外建设工程项目合同进展公告。
4月3日,涨停。
4月4日,开盘交易一分钟后紧急停牌,公司公告称,因涉嫌违法违规行为,证监会决定对公司立案调查。
纵观整个事件过程,存在以下几个疑点:
1、公司尚未签订正式合同之前,就已经泄漏消息,为了保证信息披露的及时性,公司应当立即公开披露签订合同的信息,为什么等到股价上涨三个涨停板才根据上市规则的要求,披露相关信息?
2、在公司停牌期间,证监会就已宣布对事件展开调查,公司为何在此期间还敢继续遮遮掩掩,其连出利好意图何在?
3、3月19日至30日,杭萧钢构停牌,证监会展开调查,但是在调查无果的情况下,证监会却允许杭萧钢构于4月2日复牌,加之公司又适时了澄清公告,很容易被市场解读为一个利好消息,从而导致违规资金出逃,不明真相的投资者无辜接盘。在事情还没有调查清楚的情况下,证监会为什么要让杭萧钢构复牌呢?
杭萧钢构在媒体和投资者的质疑声多次停牌又复牌,连拉12个涨停板,这样的事件反映的并不仅仅是杭萧钢构本身的问题,它同时也折射出了我国价格敏感性信息披露制度上的弊端。
二、我国的价格敏感性信息披露制度
价格敏感性信息是指将有可能或很可能导致公司证券价格发生实质性波动的信息。价格敏感性信息披露制度以强制性信息披露制度为基础,它是强制性信息披露制度的补充,以利更有效地实现信息披露,同时,要判定股价敏感资料,必然会涉及判断,这需要有一个指南来引导市场判断,因而,价格敏感性信息披露制度通常包括制度基础与信息披露指南两部分。
价格敏感性信息披露制度主要有一下几个作用:
1、完善信息披露制度的边界
价格敏感性信息披露制度可以通过股价的实质性波动,一方面检验披露项目的广度边界,一些没有被具体要求法描述的具体项目可能也能引起股价波动;另一方面,检验已披露内容的深度,进而通过事后的监管行动来增加信息披露的广度与深度,完善信息披露的制度边界。
2、指引上市公司信息披露工作
国外信息披露监管经验表明,如果信息披露仅仅被看成是上市公司应遵守的业务,信息披露管理工作将变得非常困难。应该让市场充分认识到,准确、及时的信息披露将提高市场效率,降低资本成本,对于投资者与上市公司是一个双赢的市场策略。
3、加强对上市公司信息披露的监管
价格敏感性信息披露制度为交易所一线监管者提供了较为明确的标准。交易所将持续关注公司股票价格,如果发现价格与交易量出现异常变化,而公司已公布的信息不能做合理解释,交易所将与公司取得联系,要求公司公告信息。通常情况下,上市公司会立即披露新信息,如果立即披露信息有困难,在信息披露之前公司可以申请停牌。
由于价格敏感信息披露具有上述作用,价格敏感性披露制度在世界各国和地区得到了广泛应用,比如英国、澳大利亚、我国的香港地区均建立了价格敏感性信息披露制度。
我国的证券法和上市规则中均有价格敏感性规则,比如我国《证券法》第62条规定,发生可能对上市公司股票交易价格产生较大影响而投资者尚未得知的重大事件时,上市公司应当立即将有关该重大事件的情况向国务院证券监督管理机构和证券交易所提交临时报告,并予公告以说明事件的实质。《上市公司信息披露管理办法》第30条规定:发生可能对上市公司证券及其衍生品种交易价格产生较大影响的重大事件,投资者尚未得知时,上市公司应当立即披露,说明事件的起因、目前的状态和可能产生的影响。沪、深交易所《上市规则》2.2条规定,上市公司应当及时、公开地披露所有对公司股票及其衍生品种交易价格可能产生较大影响的信息,并将公告和相关备查文件在第一时间报送本所。
我国在信息披露制度中采用了价格敏感性规则,但是交易所没有制定价格敏感性信息披露指南,类似指南的披露内容散见于相关规定中,如《上市公司与投资者关系指引》中规定:公司可在定期报告结束后,举行业绩说明会。公司应及时关注媒体的宣传报道,必要时可适当回应。上述内容在英国、澳大利亚等国家的指南中均有规定。
三、我国价格敏感性信息披露制度的缺陷
我国目前的信息披露制度中采用了价格敏感性规则,这些规则在《证券法》、《上市规则》和《上市公司信息披露管理办法》中均有体现。但是缺乏具体的配套制度:
1、缺乏价格敏感性信息披露指引。哪些信息属于股价敏感资料,必然涉及到判断,因此需要有一个指引帮助企业判断和披露股价敏感信息。目前,实施敏感性披露制度的国家如英国、澳大利亚、我国的香港地区具有指南来帮助做好敏感信息的披露工作。我国目前缺乏这样的一个指引,尽管我国在相关规定中也涉及到了指南中的内容,但是由于比较分散,而且不全面,因此并不能替代指南。由于对规则理解的偏差或者蓄意歪曲规则的正确含义,实践操作中很容易出现价格敏感信息披露不及时、不全面的情况。再看一下杭萧钢构,2月12日,公司高层泄漏了股价敏感信息,但是公司并没有及时披露信息,而是等到股价连拉三个涨停板后,才根据上市交易规定,公告。而英国的股价敏感信息披露指南规定:假如股价敏感资料不慎外泄或相信可能已不慎泄露,发行人必须实时发出公告,向整个市场有关资料。根据英国的指南,杭萧钢构应该在2月12日就公布信息,而不是在两天以后。从杭萧钢构事件看,没有具体指引的价格敏感性制度其实并没有发挥应有的作用。
2、缺乏后续监督措施
价格敏感性信息披露制度为一线监管者提供了明确的判断标准,如果公司股票价格出现异常波动,监管人员可以通过强制停牌制度倒逼上市公司披露信息。在我国,也制定了停牌制度,如出现了股价异常波动,交易所一般要求企业公告,至于公告是否真实、充分,监管人员不做深究,事后也没有验证与处罚机制。杭萧钢构在股价连续上涨3个交易日后公告,公告以后即刻复牌,交易所并没有对公告内容进行验证,其股价在利好公告下又连涨数日,直到市场质疑声一片时监管部门才展开调查,但是奇怪的是在调查无果的情况下又允许其复牌。从该事件看,监管部门的停牌制度只是流于形式,为停牌而停牌,没有起到对上市公司的警示作用,杭萧钢构在证监会调查期间连发利好信息,说明停牌制度并没有给杭萧钢构以警示,反而在一定程度上造成了一定的混乱,给投资者一种错觉:杭萧钢构的利好消息是真实的。
四、改进建议
1、尽快建立价格敏感性信息披露指南
由于没有具体的价格敏感性信息披露指南,我国的价格敏感性信息披露制度没有可操作性,价格敏感性信息披露制度在我国没有能完全发挥出这种制度的作用,因此有必要尽快制定并价格敏感性信息披露指南,以帮助做好信息披露工作。
2、完善停牌制度
价格敏感性信息披露制度为交易所一线监管者提供了较为明确的标准。而停牌制度是交易者实施一线监管的主要手段。因此,一个有效的停牌制度将使监管者的一线监管更加有效率,从而保障价格敏感性信息披露制度的顺利执行。
我国目前的停牌制度流于形式,股票上市规则只是规定公司针对造成停牌的信息进行公开披露之后就复牌,至于所披露的信息是否可靠,是否充分等监管者并没有去验证、复核,而是被动地等流言充斥整个市场的时候,才去调查,这时候中小投资者的利益已经严重受到损害。监管者为了停牌而停牌,在公司停牌期间,没有作为,披露什么样的信息企业说了算,监管者要做的事就是披露信息以后复牌,这样的停牌制度形同虚设。因此,必须要改革这种停牌制度,让监管者由被动变为主动,对公司公告内容保留合理怀疑,通过谈话、关注等措施,为投资者营造一个说真话的环境,在信息未充分披露之前,公司将一直处于停牌状态,而不能象杭萧钢构那样,事情尚未调查清楚就复牌,使市场更加混乱。
参考文献:
[1]赵德武等.资本市场与公司财务有关问题德理论分析与实证研究[M].成都:西南财经大学出版社,2006.
[2]陈向民,谭永晖.上市公司信息披露若干问题研究—时间性、信息含量与市场反应[Z].深交所研究报告60号.
[3]何卫东.上市公司自愿性信息披露研究[Z].深交所研究报告70号.
敏感信息安全范文5
摘要:近来,杭萧钢构的股价暴涨事件引起了市场各方的关注,关注的焦点之一就是杭萧钢构是否及时、充分地披露了价格敏感性信息?本文全面分析了杭萧钢构事件的整个信息披露过程,分析结果表明:杭萧钢构事件反映的并不仅仅是公司本身的问题,同时也折射出了我国证券市场价格敏感性信息披露制度上的弊端。文章以此事件为例,剖析了我国价格敏感性信息披露制度的缺陷,并提出了改进建议。
近来,杭萧钢构的股价暴涨事件引起了市场的各方关注,关注的焦点之一就是杭萧钢构是否及时、充分地披露了价格敏感性信息?杭萧钢构在信息披露上存在的问题是由于企业故意违反信息披露制度造成的,还是我国制度本身的缺陷导致企业的非故意行为?杭萧钢构事件究竟折射出我国价格敏感性信息披露制度哪些弊端?本文将对上述问题展开研究。
一、杭萧钢构事件回顾
2月12日-14日,股票连续三个涨停板。
2月12日,杭萧钢构董事长单银木在公司2006年度总结表彰大会上披露了公司将介入一个“国外大项目”的重大内幕消息。
2月15日,公告公司正与有关业主洽谈一境外建设项目,该意向项目整体涉及总金额折合人民币约300亿元。尚未正式签署任何相关合同协议。
2月15日-16日,股票连续两个涨停。
2月17日-25日,春节,股市休市。
2月26日,新年开市第一天,涨停。
2月27日,沪深股市暴跌,杭萧钢构凑巧“因有重大事项披露”停牌。
2月27日-3月12日,因重要事项未公告,停牌。
3月13日,公告公司与中国国际基金有限公司签订了《安哥拉共和国-安哥拉安居家园建设工程-产品销售合同》、《安哥拉共和国-安哥拉安居家园建设工程施工合同》,产品销售合同总价计人民币248.26亿元,施工合同总价计人民币95.75亿元。
3月15日,公司公告称:目前,合同前期设计准备工作已经开始,合同尚未有实质性的履行。如对方未支付相应款项,公司存在不持续执行的可能。上述建设工程项目合同签订后,公司近期内没有形成收益。项目的进度和收益均存在不确定性,对公司影响还需要一定时间和过程才能逐步体现。
3月13日-16日,股票连续四个涨停
3月19日-30日,因重要事项未公告,全天停牌,证监会展开调查
4月2日,复牌,涨停,证监会未公布调查结果。公司澄清公告,就新华社以通稿形式的《杭萧钢构订单利好被公司提前泄漏》澄清公告。同时境外建设工程项目合同进展公告。
4月3日,涨停。
4月4日,开盘交易一分钟后紧急停牌,公司公告称,因涉嫌违法违规行为,证监会决定对公司立案调查。
纵观整个事件过程,存在以下几个疑点:
1、公司尚未签订正式合同之前,就已经泄漏消息,为了保证信息披露的及时性,公司应当立即公开披露签订合同的信息,为什么等到股价上涨三个涨停板才根据上市规则的要求,披露相关信息?
2、在公司停牌期间,证监会就已宣布对事件展开调查,公司为何在此期间还敢继续遮遮掩掩,其连出利好意图何在?
3、3月19日至30日,杭萧钢构停牌,证监会展开调查,但是在调查无果的情况下,证监会却允许杭萧钢构于4月2日复牌,加之公司又适时了澄清公告,很容易被市场解读为一个利好消息,从而导致违规资金出逃,不明真相的投资者无辜接盘。在事情还没有调查清楚的情况下,证监会为什么要让杭萧钢构复牌呢?
杭萧钢构在媒体和投资者的质疑声多次停牌又复牌,连拉12个涨停板,这样的事件反映的并不仅仅是杭萧钢构本身的问题,它同时也折射出了我国价格敏感性信息披露制度上的弊端。
二、我国的价格敏感性信息披露制度
价格敏感性信息是指将有可能或很可能导致公司证券价格发生实质性波动的信息。价格敏感性信息披露制度以强制性信息披露制度为基础,它是强制性信息披露制度的补充,以利更有效地实现信息披露,同时,要判定股价敏感资料,必然会涉及判断,这需要有一个指南来引导市场判断,因而,价格敏感性信息披露制度通常包括制度基础与信息披露指南两部分。
价格敏感性信息披露制度主要有一下几个作用:
1、完善信息披露制度的边界
价格敏感性信息披露制度可以通过股价的实质性波动,一方面检验披露项目的广度边界,一些没有被具体要求法描述的具体项目可能也能引起股价波动;另一方面,检验已披露内容的深度,进而通过事后的监管行动来增加信息披露的广度与深度,完善信息披露的制度边界。
2、指引上市公司信息披露工作
国外信息披露监管经验表明,如果信息披露仅仅被看成是上市公司应遵守的业务,信息披露管理工作将变得非常困难。应该让市场充分认识到,准确、及时的信息披露将提高市场效率,降低资本成本,对于投资者与上市公司是一个双赢的市场策略。
3、加强对上市公司信息披露的监管
价格敏感性信息披露制度为交易所一线监管者提供了较为明确的标准。交易所将持续关注公司股票价格,如果发现价格与交易量出现异常变化,而公司已公布的信息不能做合理解释,交易所将与公司取得联系,要求公司公告信息。通常情况下,上市公司会立即披露新信息,如果立即披露信息有困难,在信息披露之前公司可以申请停牌。
由于价格敏感信息披露具有上述作用,价格敏感性披露制度在世界各国和地区得到了广泛应用,比如英国、澳大利亚、我国的香港地区均建立了价格敏感性信息披露制度。
我国的证券法和上市规则中均有价格敏感性规则,比如我国《证券法》第62条规定,发生可能对上市公司股票交易价格产生较大影响而投资者尚未得知的重大事件时,上市公司应当立即将有关该重大事件的情况向国务院证券监督管理机构和证券交易所提交临时报告,并予公告以说明事件的实质。《上市公司信息披露管理办法》第30条规定:发生可能对上市公司证券及其衍生品种交易价格产生较大影响的重大事件,投资者尚未得知时,上市公司应当立即披露,说明事件的起因、目前的状态和可能产生的影响。沪、深交易所《上市规则》2.2条规定,上市公司应当及时、公开地披露所有对公司股票及其衍生品种交易价格可能产生较大影响的信息,并将公告和相关备查文件在第一时间报送本所。
我国在信息披露制度中采用了价格敏感性规则,但是交易所没有制定价格敏感性信息披露指南,类似指南的披露内容散见于相关规定中,如《上市公司与投资者关系指引》中规定:公司可在定期报告结束后,举行业绩说明会。公司应及时关注媒体的宣传报道,必要时可适当回应。上述内容在英国、澳大利亚等国家的指南中均有规定。
三、我国价格敏感性信息披露制度的缺陷
我国目前的信息披露制度中采用了价格敏感性规则,这些规则在《证券法》、《上市规则》和《上市公司信息披露管理办法》中均有体现。但是缺乏具体的配套制度:
1、缺乏价格敏感性信息披露指引。哪些信息属于股价敏感资料,必然涉及到判断,因此需要有一个指引帮助企业判断和披露股价敏感信息。目前,实施敏感性披露制度的国家如英国、澳大利亚、我国的香港地区具有指南来帮助做好敏感信息的披露工作。我国目前缺乏这样的一个指引,尽管我国在相关规定中也涉及到了指南中的内容,但是由于比较分散,而且不全面,因此并不能替代指南。由于对规则理解的偏差或者蓄意歪曲规则的正确含义,实践操作中很容易出现价格敏感信息披露不及时、不全面的情况。再看一下杭萧钢构,2月12日,公司高层泄漏了股价敏感信息,但是公司并没有及时披露信息,而是等到股价连拉三个涨停板后,才根据上市交易规定,公告。而英国的股价敏感信息披露指南规定:假如股价敏感资料不慎外泄或相信可能已不慎泄露,发行人必须实时发出公告,向整个市场有关资料。根据英国的指南,杭萧钢构应该在2月12日就公布信息,而不是在两天以后。从杭萧钢构事件看,没有具体指引的价格敏感性制度其实并没有发挥应有的作用。
2、缺乏后续监督措施
价格敏感性信息披露制度为一线监管者提供了明确的判断标准,如果公司股票价格出现异常波动,监管人员可以通过强制停牌制度倒逼上市公司披露信息。在我国,也制定了停牌制度,如出现了股价异常波动,交易所一般要求企业公告,至于公告是否真实、充分,监管人员不做深究,事后也没有验证与处罚机制。杭萧钢构在股价连续上涨3个交易日后公告,公告以后即刻复牌,交易所并没有对公告内容进行验证,其股价在利好公告下又连涨数日,直到市场质疑声一片时监管部门才展开调查,但是奇怪的是在调查无果的情况下又允许其复牌。从该事件看,监管部门的停牌制度只是流于形式,为停牌而停牌,没有起到对上市公司的警示作用,杭萧钢构在证监会调查期间连发利好信息,说明停牌制度并没有给杭萧钢构以警示,反而在一定程度上造成了一定的混乱,给投资者一种错觉:杭萧钢构的利好消息是真实的。
四、改进建议
1、尽快建立价格敏感性信息披露指南
由于没有具体的价格敏感性信息披露指南,我国的价格敏感性信息披露制度没有可操作性,价格敏感性信息披露制度在我国没有能完全发挥出这种制度的作用,因此有必要尽快制定并价格敏感性信息披露指南,以帮助做好信息披露工作。
2、完善停牌制度
价格敏感性信息披露制度为交易所一线监管者提供了较为明确的标准。而停牌制度是交易者实施一线监管的主要手段。因此,一个有效的停牌制度将使监管者的一线监管更加有效率,从而保障价格敏感性信息披露制度的顺利执行。
我国目前的停牌制度流于形式,股票上市规则只是规定公司针对造成停牌的信息进行公开披露之后就复牌,至于所披露的信息是否可靠,是否充分等监管者并没有去验证、复核,而是被动地等流言充斥整个市场的时候,才去调查,这时候中小投资者的利益已经严重受到损害。监管者为了停牌而停牌,在公司停牌期间,没有作为,披露什么样的信息企业说了算,监管者要做的事就是披露信息以后复牌,这样的停牌制度形同虚设。因此,必须要改革这种停牌制度,让监管者由被动变为主动,对公司公告内容保留合理怀疑,通过谈话、关注等措施,为投资者营造一个说真话的环境,在信息未充分披露之前,公司将一直处于停牌状态,而不能象杭萧钢构那样,事情尚未调查清楚就复牌,使市场更加混乱。
参考文献:
[1]赵德武等.资本市场与公司财务有关问题德理论分析与实证研究[M].成都:西南财经大学出版社,2006.
[2]陈向民,谭永晖.上市公司信息披露若干问题研究—时间性、信息含量与市场反应[Z].深交所研究报告60号.
[3]何卫东.上市公司自愿性信息披露研究[Z].深交所研究报告70号.
敏感信息安全范文6
[关键词] 安全审计;审计手段;异构环境审计
0引言
随着社会信息化程度的加深,各大中型企事业单位逐渐形成了科学化、多样化的各类信息系统,往往一个企业的信息化系统就多达十余个,在这种复杂的多系统条件下,如何实现细粒度的精准安全审计已成为审计领域一个热点问题。
本文首先对目前信息化环境下的细粒度安全审计进行了概要描述,接下来详细分析了各种安全审计方法特点,最后对异构性多信息化系统环境下的有效审计手段进行分析总结。
1信息系统安全审计简介
1.1 信息系统安全审计定义
信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等[1]。
1.2 信息系统主要安全审计手段
对信息化系统环境下用户操作行为的安全审计可以通过以下几种典型手段实现:
(1)基础日志层面审计:对信息化系统的基础it支撑硬件环境内设备的自身日志进行分析的手段。
(2)网络层面审计:通过采集网络数据包后进行协议解析还原来分析信息系统网络活动的审计手段。
(3)业务层面审计:对信息化系统中业务操作行为日志进行记录审计的手段。
(4)敏感数据专项审计:针对信息化系统定义的具有高风险的企业敏感数据进行细粒度审计的手段。
2安全审计技术特点分析
2.1 概述
基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计是4种比较典型的对信息化系统的审计手段,本文将对各种审计手段的特点进行分析。
2.2安全审计手段特点分析
2.2.1基础层面日志审计
基础层面日志审计面向it支撑系统中的设备层面,是安全审计的基础手段之一,通过对设备自身运行日志、配置变更日志等底层设备日志的审计分析,可对目前设备的自身安全运行状态得出基础判断。
2.2.2网络层面审计
网络层面审计需利用网络抓包分析手段对网络中的数据流进行分析。在分析过程中,主要需重点关注访问源地址异常、访问协议异常、访问次数异常的数据流[2]。
2.2.3业务层面审计
业务层面审计需依赖于良好的业务梳理,形成业务合规操作定义。进行业务审计前,需对信息化系统中业务操作进行日志记录,结合合规操作定义进行比对审计。
2.2.4 敏感数据专项审计
信息化环境下保有的大量数据中存在着对企业来讲极为重要的数据,这些重要的、涉及企业较大利益的敏感数据在安全审计层面需要通过专项审计来满足审计需求。敏感数据审计通过定义需审计的具体数据内容、数据具体存放位置、数据可被访问的手段等具体内容,针对违反上述定义的情况对数据进行逐一的细粒度重点审计。
3安全审计手段整合技术
用基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计等手段虽然可对信息化系统进行安全审计,但复杂多信息化系统环境下大量的审计数据的获取、过滤、关联,必然耗费较大的人力且容易出现审计风险[3]。为避免上述问题,本文综合现有安全审计需求,提出如图1所示的安全审计手段整合架构。首先将各信息化系统的全量日志送入多日志采集平台,由平台统一将各类日志进行标准化处理、过滤后送往不同的二次分析模块(分为网络类与设备类及业务数据类两种),由分析模块根据自己的审计策略进行关联分析,最后将各自模块处理后的数据送入综合审计平台,由综合审计平台对各层面日志进行关联化的综合审计。
4结 论
多信息化系统环境下安全审计的精准实现,需要采用精准化的日志处理及多级关联审计策略,将日志处理为标准可读日志后按照信息化系统的审计需求,横向关联多层面日志、纵向关联多时间段日志,最终满足灵活多变的安全审计需求。
主要参考文献
[1]国际标准化组织. 信息技术安全性评估准则(iso/iec15408-2:1999)[s].1999.
