前言:中文期刊网精心挑选了电子合同安全性范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
电子合同安全性范文1
关键词:变电 自动化 稳定性
中图分类号:TM 文献标识码:A 文章编号:1007-0745(2013)06-0368-01
0引言
目前的电力常规自动化系统主要就是微机管理,这种自动化改造近视一种局部的自动化,这就造成了系统不具有自我诊断的能力,即在系统出现二次故障时无法检测,于是,在现实中不得不定期对设备进行维护检测和调试,而且,一旦设备出现了不可预见的故障,便会影响到整个电网的运行。
1变电的自动化系统
1.1集中式结构
集中式结构是将系统设备按其功能归类划分,形成若干个独立系统,各系统分别采用集中装置来完成自身的功能。集中式结构一般由 1 个或 2 个 CPU 实现对整个变电系统的保护、监视、测量、远动的集中控制。而且为了提高可靠性,一般采用双系统瓦为备用。该系统可采用前置主机和后台辅机相结合的配置方式。前置主机完成模拟最和开关量以及脉冲量的采样输入、开关量输出控制与信号输出、向辅机传送数据等功能。辅机主要完成负荷显示、打印输出、远动通信和丰机问的数据串行通信等功能。前置主机可采用 STD 总线工业控制机,后台辅机以管理为主,可采用 PC机。为了提高系统可靠性,可采用双系统互为备用方案,2 套 STD 系统通过管理器来协调运行。管理器采用可编程序控制器(PC 机),系统正常运行时,一套系统与 PC 机通信,PC 机监视其运行是否正常,一旦发现异常立即由控制同路启动另一套系统,使之投入运行,同时退出故障系统。
1.2分散式结构
分散式结构是将设备划分成多个单元,将控制、保护和数据收集单元安装在高压户外断路器的附近,或者将设备安装在用户的户内开关附近。这种设计结构是根据一次回路设计,将各个分散单元用电缆连接,构成一个网络式的综合系统。这种分散式结构既相对独立又相互联系,方便维护和扩展,可靠性高、抗干扰能力强。局部发生故障时不至于影响整个电网,并且大大的减少了二次设备的占地以及电缆使用。但是其成本相对其他结构较高。
1.3集中与分散结合式结构
这种结构是集中和分散两种结构的集合,这种结合式结构形式多样,应用较多的形式是分散式结构及集中式组屏,其集中了分散式结构的各项优点,稳定性高,便于扩展和维护,同时又采用了有利于设计安装和管理维护的组屏式的集中结构。
2变电自动化系统内的通信网络设计
变电的自动化是建立在网络技术、计算机技术、通讯技术的发展的基础上的。网络构建的安全化、灵活化是自动化变电系统的重要保障,也是电力系统自动化的前提条件。自动化系统完成的 63 种功能可分为 7 组:远动功能、自动控制功能、测量表计功能、继电保护功能、与继电保护有关的功能、接口功能、系统功能。现场总线技术是网络技术的通讯手段,其通讯速率和及时性为小数据的工业测控的通讯提供了性价比极高的网络构架。并且,相对于串行通讯技术,具有可靠和灵活的特点,基于此类原因,现场总线技术成为了变电自动化的系统主要通讯技术,改变了变电系统的整体结构。当现场总线技术作为自动化的主干网时,总体性能随节点数的增长迅速下降。因太过忽视通用性,没有稳定的同意国际化标准,于是这种结构也显现出其不可忽视的缺陷:(1)通讯节点对响应速率影响较大,随着节点数量的增加系响应速率下降,很难适应通讯需求。(2)带宽也对于数据的传输有着限制。(3) 总线拓扑结构的局限性是当网络出现任何一处故障时,均有可能使整个系统瘫痪。因此,自动化系统的通讯技术要求需要高度的可靠性、稳定性,这就要求,计算机网络技术需要通用、标准的网络技术。在综合性的评估中,自动化系统的通讯发展方向越来越倾向于计算机技术以及网络通讯技术。
3变电自动化系统安全控制和稳定性分析
3.1稳定性危机(Stability crisis)
电力系统暂态过程积蓄的能量可能破坏其运行稳定性,即不能再回到初始状态或停留在一个允许的新状态。这一过程历时很短,如几秒钟。
3.2持久性危机(Viability crisis)
局部或整个系统发电、送电和负荷不平衡,导致系统运行参数大幅度偏离正常值,可能破坏对用户的持续供电。这一过程历时较长,如几秒钟至几分钟。电力系统在极不稳定状态下为了维持稳定运行和持续供电,必须采取必要的控制措施。这种控制称为紧急控制(Emergency control)或预测控制(Predictive con-trol),也称为极不稳定状态下的安全控制或动态安全控制。对稳定性危机的紧急控制称为稳定性控制(Stabilitycontrol)。通过稳定性控制可能使系统恢复正常状态,也可能使系统暂时处于另一种稳定状态,即恢复状态。针对持久性危机的紧急控制,通常称为校正控制(Correc-tive control)。如控制电压和无功功率、切机或限制发电机出力、限制负荷和系统解列等,以便使系统恢复到正常状态或转为恢复状态,保持对用户的持续供电。恢复状态下系统的完整性一般会受到破坏,如某些发电机或负荷被切除,系统某些部分被解列等,而且安全储备通常也是不足的。因而需要进行恢复控制(Restorativecontrol)。恢复控制包括起动备用设备,增加发电机组的功率,重新投入被切机组、负荷和线路等。
电力系统的预防控制、紧急控制和恢复控制总称电力系统安全控制(Security control)。安全控制是维持电力系统安全运行所不可缺少的部分。不过在电力系统发展的初始阶段,这种控制比较容易实现,一般可使用就地设置的比较简单的装置。随着电力系统的发展扩大,对安全控制提出越来越高的要求,安全控制成为电力系统运行和控制的一个极其重要的课题。
4结论
综上所述,由于电力系统的不断发展扩大,因此对电力系统动态过程的分析越来越复杂,对系统自动控制的要求也越来越高。分层分布式综合自动化变电系统通过各种设备间相互交换信息、数据共享,实现对变电运行的自动监视、管理、协调和控制,从而提高了变电保护和控制性能,改善和提高了电网的控制水平。有利于系统扩展的方便性和灵活性。特别是利用计算机网络技术作为通信系统发展模式,更是日后变电自动化发展的趋势。
参考文献:
[1]黄晓涛.变电所综合自动化系统抗干扰的措施 [J] .农村电气化,2004, (1) :17- 18.
[2]路文梅.综合自动化技术 [M] .北京:中国电力出版社,2004.
电子合同安全性范文2
关键词:电子商务;支付;安全问题;对策
中图分类号:TP39 文献标识码:A 文章编号:1672-8122(2017)06-0018-02
随着电子商务的不断升温,其安全性问题已引起各界人士和普通群众的热切关注,根据中国互联网信息中心近几年的调查表明,人们越来越关心电子商务的支付安全。更有数据显示,与一般传统模式的公司比起来,涉及电子商务的公司网站更容易遭到“黑客”的恶意袭击,这极大地威胁了网上支付的安全性。
一、电子商务支付现状
根据艾瑞咨询统计数据可知,2015年第二季度中国电子商务市场的整体交易规模为3.75万亿元,同比增长了22.1%,环比增长了7.8%。3G、4G网络技术和智能手机的成功运用及成熟,手机购物变得愈发便捷,也很大程度上促进了电子商务的发展[1]。此外,团购、O2O、众筹等模型对电子商务的发展起到了巨大的推动作用。
作为经济增长的一个新的驱动力,网络购物的影响,从消费领域蔓延到生产领域再到服务领域,真正的经济的发展是实现其深度的整合。近期,中国互联网络信息中心(CNNIC) 了《第37次中国互联网络发展状况统计报告》。报告显示,截至2015年12月,中国的网购用户规模已达4亿1300万,同时,网民使用网络购物的比例已达60%。在2015年网购用户新增了5183万,增长率为14.3%。中国的移动电话网络购物用户规模增长迅速,达到43.9%的增长率,移动互联网购物的比例从42.4%上升到54.8%[2]。
二、电子商务支付存在的安全问题
电子商务支付中存在着许多安全问题,包括网络安全、系统安全、信息安全、支付系统协议和监管。
1.网络安全问题。网络安全问题一般主要涉及下述三个方面:(1)钓鱼平台:网络钓鱼者通过仿冒URL地址或者向网民发送欺诈性电子邮件或篡改网站来开展活动。通常是钓鱼者将自己伪装成知名企业或银行,并伪建一个与真实原网站相似并有相同产品的网站,受骗用户往往会在网页中输入登陆用户名和密码甚至会泄露银行卡账号、密码及口令;(2)业务拒绝:用户合法访问信息或网络资源会被拒绝。攻击者会对操作系统的漏洞进行利用,并且对系统进行非常大数量的合法或非法、根本不可能成功的访问请求,或者故意重复输错支付密码,让系统负荷过量最后账户冻结,导致系统资源不能被合法用户使用[3];(3)网络跟踪:通过对用户网站使用痕迹的跟踪,利用跟踪监测软件,监测终端支付过程,用户的登陆账号及密码有可能被得到,并且个人财产将会被盗取,肆意修改账户信息,破坏用户数据,甚至病毒会被放进其中,整个系统最终将会瘫痪。
2.系统安全问题。系统安全问题一般主要涉及下述两个方面:(1)黑客攻击:黑客自己编写程序或者利用系统现有的常用工具、技术,入侵并攻击服务器,达到破坏系统盗取信息的目的。黑客的攻击方式一般有网络中断、破解密码、窃听等;(2)木马、病毒入侵:传统病毒通过移动设备进行传播,现在主要通过网络造成病毒侵害,在网页中恶意代码,用户在访问有安全问题的网页时即会被感染。木马则是黑客的一种攻击手段,可帮助黑客实时掌握上线用户信息,远程监视用户访问记录甚至控制计算机。将木马植入在计算机系统中,且不易被用户察觉,等待外界的指令,两者都是黑客编写的恶意程序。
3.信息安全问题。信息安全问题一般主要涉及下述三个方面:(1)假冒合法用户:有一些人利用交易双方互不相见无法客观判断对方可信程度、难以有效身份验证识别的漏洞,采取各种不正当手段取得合法用户的身份信息,并将得来资料展示给网络安全拦截者使之判定其为合法实体,然后不法分子冒充合法用户进行活动攫取非法利益;(2)信息泄露窃取:信息泄露被主w外的人得到,网络攻击者通过互联网等各种介质利用非法手段截取交易双方传输的内容数据来窃取用户支付密码等关键信息,或者是对信息进行参数分析得出结果。用户使用过于简单重复密码,以及在各门户网站设置统一密码的现象也普遍存在,用强效的破解软件即可瓦解泄露出去。攻击者通常非法使用窃取的信息骗取信任再与他人进行交易;(3)信息篡改破坏:攻击者熟知网站结构编写方式,通过技术手段恶意破坏程序,删除、修改传输过程中的信息,破坏交易支付过程的准确性和真实性。除了被攻击之外,也可能由于网络系统自身问题而导致信息的丢失和错误。
4.支付系统协议问题。目前,网上支付协议SSL(安全套接层协议)和SET(安全电子交易协议)更是众所周知的,是电子商务交易系统中常用的协议和标准体系[4]。两者都具有显著地优势,但同时本身也带有缺点。SSL协议在将客户账户信息传递给商户过程中利用加密手段建立起安全的信息通行渠道,有利于商家验证客户的身份信息,使用起来相对SET要便捷,但也只是认证服务器与客户双方,并不能向客户验证商家的合法性,这一协议不能很好地保护客户的利益,阻止不了商家的恶意欺瞒。SET协议则是对商家、持卡人和收支方银行传送资料的规范,保护数据在支付过程中更加完整和安全,这点已得到被国际标准化组织的认可,但是操作复杂麻烦,不方便生疏者使用。
5.监管问题。我国对电子商务网络支付法律法规缺乏专门的监管。虽然近几年我国的合同法和侵权行为法进行了调整,但消费者始终处于劣势,难以有效维护合法权益。另外电子商务支付还缺乏监管,例如,双方对产品的监管、税收监管、信用监管和信息监管,电子合同也是模糊网络安全支付的重要问题。
三、解决电子商务支付安全问题的对策
电子商务支付安全的对策主要是与前文中出现的网络安全问题、系统安全问题、信息安全问题、支付系统协议和监管问题方面一一对应的。
1.解决网络安全问题的对策。加强预防病毒,支付安全级别的上升,将推动网络交易速率。而高交易率也会给病毒入侵提供很大的便利。所以要经常对计算机进行,清除计算机中的病毒。除了经常检查硬盘外,多采用先进技术,全面封锁病毒。
加强防火墙技术,防火墙是保证计算机的正常运行,是安全运行的重要措施之一,它能有效阻止网络对邪恶的攻击,形成一个保护屏障,相当于提高通信的门槛,让未授权的访问者不能进入,有效的提升了网络安全。
2.解决系统安全问题的对策。加大对黑客的打击力度,严厉打击,加大处罚力度,一旦发现有黑客攻击破坏他人利益就严加搜索,一旦逮捕必将严惩不贷。另外,要加强对青少年的思想道德素质教育,在让他们学好知识的同时,更多的是为社会做贡献,而不是为一己之私,危害他人财产安全。加强杀毒软件的开发与利用,最大程度上避免木马和病毒入侵,对恶意软件和程序进行封杀。加强对工作人员的安全意识教育,如果发现因工作人员不负责任而造成财产损失,对工作人员采取严厉的处罚措施。
3.解决信息安全问题的对策。中国的社会信用体系依旧很不健全,有些人在电子商务中利用技术进行商务欺诈,危害到消费者和金融行业的利益,但是难以被发现仍然逍遥法外。需要加紧建立合理科学、公正而又具有权威性的一套完整社会信用服务机构,创造信息资源交流的共享平台,逐渐形成与国际接轨又符合我国形势的信用体系。若发现某些人对电子商务的安全造成了威胁,便将个人的不良行为纳入其中,可以通过查询系统得知个人的信用记录。这一定程度上能阻止体动歪念头,遏制网上犯罪,对电子商务支付安全具有辅助作用。
电子商务支付的安全离不开每个人的责任认知。我们不可轻易相信钓鱼网站、诈骗分子的糖衣炮弹,改善不良消费习惯,要不断学习互联网知识,提升计算机安全技术的掌握和支付手段熟练程度以及提高电子商务的安全意识[5]。我们也应具有良好的道德品质,即使它只是一小部分,也要坚持个人道德和维护网络秩序。
4.解决支付系统协议问题的对策。由我国电子商务支付发展的现状,针对我国目前在电子商务在线支付中信用卡的使用不普及,多是借记卡的特殊性,对PIN数据项进行扩展,为SET协议在我国的推广与使用提供了一个实际且可行的方法,增强了SET协议在我国的适用性,这在很大程度上减小了其复杂性,变得更加好操作。另外,提高SSL的安全性能,根据消费者的需要选择不同安全级别和复杂程度,这样使得安全协议有着更好的适用性。
5.解决监管问题的对策。政府和企业间应该进行合作,一起制定和完善相应的法律法规。如果发现问题要及时的采取措施,并且追究负责人的责任,保证电子商务支付安全。
制定有关电子支付的法律或者行政法规,大多数问题背后的根本问题是监管法律层级太低。由国务院制定的电子商务支付行政法规、法律或行政法规,对电子商务支付机构注册资金的最低金额,这样就不会违反公司法的规定。
降低准入门槛,加强对电子商务在虚拟互联网的监管,始终是一个巨大的风险。鉴于此,互联网金融监管必须考虑到市场的发展需要和创新[6]。政府应由注重事前转为更加的去注重事中和事后的监管,这对长期重视事前审批、轻视事中事后监管的当局来讲,是新的考验和挑战。但具体实施情况和此前监管部门的监管远不如事前审批,行政审批通常是几百次,而事后监管的措施也不多,也缺乏经验。但是相关单位必须要将人民的利益放在首位,努力提高自身的监管水平。
四、结 语
尽管文中针对电子商务支付安全出现的问题都提出了相应的对策,可是计算机领域的不断进步以及不断更新的网络技术,黑客也在不断进步着,他们更加聪明,发出的攻击也更加猛烈和复杂,电子商务支付安全还是令人如履薄冰。所以,我们不能只从一方面去考虑问题,我们需要不断开发新的技术的同时,增强民众的安全支付意识,不去破坏他人财物。另外,电子商务支付安全的相关法律也需不断完善。每个人都有责任去保护好我们的支付环境,这样,电子商务才能更加进步,更好地服务大众。
参考文献:
[1] 栗李川.流数据挖掘在电子商务中的应用与研究[D].天津工业大学,2014.
[2] 孟凡新.中国网络购物市场研究报告[J].互联网天地,2013(6).
[3] 薛飞.浅析网络安全及常用安全技术[J].科学家,2015(9).
[4] 高艳丽.浅析移动支付安全[J].商场现代化,2012(6).
电子合同安全性范文3
[关键词]建设工程;管理;主体;安全职责
中图分类号:TU198文献标识码: A 文章编号:
建设工程管理中建设方应承担的安全职责
建设方为建设工程项目投资主体,起到主导作用,其享有选择设计方、施工单位与监理方的权利,同时可选购工程应用主材,并做好施工进程验收核查,确保工程质量水平,管控实施进度,对各类款项应用进程进行监督,并富有综合管理职能。通过对建设工程频繁发生的安全事故,我们发现,较多是由于建设方没有规范从事市场行为而引发。目前,行业竞争日益激烈,一些建设方为一己之力,不择手段非法行事,压低投标价格,令报价甚至比成本价还低。为压低成本,则对施工、设计以及勘察方提出了不合法的强制规定,令勘察设计资料内容变更,并对施工现场安全管理措施投入成本不认可,拒绝支付,进一步令建设工程施工方确保安全建设以及文明施工的经费欠缺。一些建设单位还强制施工方触犯合同条款,擅自加快进度,交付拆除工程至不具有安全生产条件的施工方,令安全事故机率大大增加。由此不难看出,要想保证建设工程的安全管理生产,首要目标在于促进建设方市场行为的合理规范。不应单纯的借助行政管理与社会舆论进行监督,还应配设完善的法律约束机制进行有效制约。应明确建设方是建设工程安全管理的责任主体,确保其不应对其他各方提出不遵循安全生产条例、制度以及强制规定要求。不应随意压缩合同约束的建设工期。编制概算阶段中,建设方应明确安全生产环境与管理措施投入经费,不应通过非法手段令施工方采购与应用不满足安全生产标准的器具设施。同时建设方应承担安全生产责任义务,对于触犯行业规定标准的行为应严厉惩处。
勘察设计方安全职责
勘察设计方以及建设工程施工应用设施器具的生产租赁方等,应履行一定的义务并担负安全职责。勘察单位应全面执行操作规范,确保建设工程管线、四周构筑物的可靠安全。同时应依据相关标准,进行细化研究、明确分析,进行场地地质状况的综合评估,明确施工区域环境、地质岩土等标准,并做好勘察资料的编撰。实践阶段中应全面遵循法律规范,依据建设工程设计、防火、地基基础、结构规划、抗震结构设计、鉴定、质量管理、加固维护等标准实施规范作业,维护公众利益与财产人身安全。设计方出具相关设计文件尤为重要,应全面满足安全施工标准,各类重要环节与部位应清晰在设计资料中标注,并出具防范事故的指导管理意见。应满足安全建设规程与操作技术标准,提升建设工程总体安全性能。再者,进行设计资料的编制阶段中,应参照建设工程特征与实际状况,全面考量安全管理与防护要求,为施工安全管理措施的明确提供必要的操作指导。对于施工安全管理重要环节,在文件中标明外,还应就设计意图进行说明并组织技术交底,出具指导意见。重要的施工安全管理环节主体包括地下管线安全防护、外部电路、临时用电保护以及深基坑工程安全管理等。对于地下管线应优选材料,明确具体布设方位,制定合理保护措施。对于施工现场用电线路应设计好布置距离,确保周围设施安全。对于深基坑工程,应明确基坑侧壁安全标准系数,应用优质的护壁施工方式,做好支护体系结构的选型,并完善地下水管控,进行细化验算与测试。应做好承载水平极限以及正常应用状况的计算与分析,遵循质量测试与监理标准,同时应注意安全作业的相关规范事项。
工程监理方承担必要职责
工程监理方为委托监管单位,其属于第三方责任机构,对于施工安全负有管控责任。应核查施工设计各项安全措施的规范性、方案合理性。明确组织设计中各项管理保障体系具备合理的组织机构,考核特种人员总量、明确是否持证上岗并接受了资格教育。同时应探究施工生产规范责任的制定、规章体制与操作规程履行状况。对于施工应用各类起重设施、电气设备应核查规范性。并应对基坑支护、安装施工、脚手架、施工器具等设置状况进行有效监理。为预防紧急事故发生,应核查应急救援方案的制定状况,并应考察季节施工方案的合理性。对于建设工程总体施工平面图应进行细化考量,尤其核查各类办公区域、住宿就餐区域设施状况,施工场地的排水排污设施、安全防火设备配备情况、运输道路畅通性,明确文明施工具体标准。应衡量施工组织设计各类专项施工建设方案的具体措施合理性,临时用电的规定方案。例如应查明有否具备土方开挖、爆破、基坑支护、调运起重施工工程、降水工程等的方案全面性与合理性。重点审查事项为,各项技术措施与方案有否遵循强制标准,针对不满足要求的工程,应责令施工方实施尽快完善补充。安全生产渗透至建设工程施工的整体过程,包含各个环节以及部位,因此监理方应做好各个施工环节管理把关。基于建设工程产品不可逆,因此监理方应对全体施工阶段做好全面管控,一旦引发安全隐患,监理方应责令施工方快速整改。对于问题严重,则应予以停工处理并上报建设方。直至消除隐患,达到合格标准,方可继续复工。
施工方安全生产责任
建设工程施工任务繁杂,环境相对恶劣,多在露天环境与高处施工,因此更应确保安全、稳定。伴随工程进度深入,各类隐患事故增加,因此施工方应承担安全管理的主要职责,规范市场行为,扩充安全成本投入,促进生产责任体制的完善健全,并确保落实到位。同时应把好进人关口,不引进没有参加培训且成绩合格的人员上岗。同时应细化制定各项安全生产规程,杜绝违章施工、指挥的现象发生。施工单位全员应创建良好的企业文化,提升安全生产意识,遵循相关法律规范,做好定期内部检验与专项核查,促进各项安全措施的科学执行。对于发现的安全隐患应加快制定解决方案,及时整改,将伤亡与损失降到最低。同时施工单位全员应全面熟悉生产作业流程,深入施工现场了解最新工程进度进展状况,预防违章作业与管理指挥,做好全程监督管理。
5、结语
总之,建设工程可靠安全的生产是确保利润效益、实现工期进度目标,提升施工质量的重要前提。由于建设工程需要较多主体参与,各方实践活动均同安全建设生产紧密相连。为此,明确各方安全职责尤为重要。我们只有清楚明确建设工程管理中各方主体应承担的安全职责,方能提升核心竞争力,优化生产建设,实现持续全面发展。
[参考文献]
电子合同安全性范文4
【关键词】云计算;云计算安全
互联网的急速发展,计算机存储能力、能量消耗、数据处理能力急剧增长,计算机软硬件使用成本也随之升高;同时,大型企业数据资源的收集与分析对计算机的数据处理能力要求激增。2006年8月,Google首席执行官埃里克・施密特在搜索引擎大会上首次提出“云计算”(Cloud Computing)。随后,“云计算”席卷了整个IT界,为全球IT界带来了一场全新的变革。但是由于云计算不同于现有的以桌面为核心的数据处理和应用服务都在本地计算机中完成的使用习惯,而是把这些都转移到“云”中,改变我们获取信息,分享内容和相互沟通的方式,所以云计算安全关系到我们所有的数据的安全,关系到云计算这种革命性的计算模式是否能够被业界接受。本文将针对云计算的概念、云计算所面临的诸多安全问题进行分析。
一、云计算的概念
(一)云计算的定义
云计算并不是突然横空出世的全新技术,它是网格计算、分布式计算、并行计算、效用计算网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展的产物。它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统,并借助SaaS、PaaS、IaaS、MSP等先进的商业模式把这强大的计算能力分布到终端用户手中。Cloud Computing的一个核心理念就是通过不断提高“云”的处理能力,进而减少用户终端的处理负担,最终使用户终端简化成一个单纯的输入输出设备,并能按需享受“云”的强大计算处理能力。简单来说,人们常把云计算服务比喻成电网的供电服务。云计算对技术产生的作用就像电力网络对电力应用产生的作用一样,电力网络改进了公司的运行,每个家庭从此可以享受便宜的能源,而不必自己家里发电。这意味着计算能力也可以作为一种商品进行流通,就像煤气、水电一样,取用方便,费用低廉。
(二)云计算体系结构和特点
云计算的基本原理是通过使计算分布在大量的分布式计算机上,而非本地计算机或远程服务器中,企业数据中心的运行将更与互联网相似。这使得企业能够将资源切换到需要的应用上,根据需求访问计算机和存储系统。
云计算有高可靠性、通用性、高可伸缩性和高危险性四大特点。
高可靠性“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠。通常,本地计算终端受到影响的因素过多,使得计算结果具有高风险的错误率,而通过云计算,使得用户需求的计算可以通过其他用户的需求进行类比,达到多副本容错性,最大程度地降低了错误的概率,减少了不必要的错误出现。
通用性云计算不针对特定的应用,在“云”的支撑下可以构造出千变万化的应用,同一个“云”可以同时支撑不同的应用运行。在云计算中,任何计算都可以得到响应,只要用户提出需求,“云”就可以安排相应的计算平台来进行运算,使得用户不必查找相应的平台来适应自身的计算,故“云”可以支撑任何用户计算需求,通用性非常高。
高可伸缩性“云”的规模可以动态伸缩,以满足应用和用户规模增长的需要。可扩展性是“云”又一大优势,它可以无限伸展来满足各类需求。只要用户提出需求,“云”可以调动世界各地的运算终端来满足计算需要。尤其是,用户只需要单一的大型计算,无需增加任何配置,即可以通过“云”来满足自己的需要。
高危险性云计算服务除了提供计算服务外,还必须提供存储服务功能。如果云计算服务当前控制在私人机构(企业)手中,他们则仅仅能够提供商业信用的保证。所以,对于政府机构、涉及公共利益或敏感信息的商业机构(如银行),选择云计算服务时应保持足够的警惕。
二、云计算的现状
目前,云计算主要是由Amazon、Google、IBM、微软等ICT巨头在积极推动研究和部署,比较成熟的云计算业务和应用包括Google的App Engine,Amazon的弹性计算云EC2和简单存储服务S3,微软的Azure云平台,IBM的“蓝云”等。Amazon:使用弹性计算云(EC2)和简单存储服务(S3)为企业提供计算和存储服务。收费的服务项目包括存储服务器、带宽、CPU资源以及月租费。月租费与电话月租费类似,存储服务器、带宽按容量收费,CPU根据时长(小时)运算量收费。
Google:是当今最大的云计算的使用者。Google搜索引擎就建立在分布在200多个地点、超过100万台服务器的支撑之上,这些设施的数量正在迅猛增长。Google地球、地图、Gmail、Docs等也同样使用了这些基础设施。采用Google Docs之类的应用,用户数据会保存在互联网上的某个位置,可以通过任何一个与互联网相连的系统十分便利地访问这些数据。
IBM:2007年11月推出了“蓝云”,为客户带来即买即用的云计算平台。它包括一系列的自动化、自我管理和自我修复的虚拟化云计算软件,使来自全球的应用可以访问分布式的大型服务器池。使得数据中心在类似于互联网的环境下运行计算。
微软:2008年10月推出了Windows Azure操作系统。Azure(译为“蓝天”)是继Windows取代DOS之后,微软的又一次颠覆性转型――通过在互联网架构上打造新云计算平台,让Windows真正由PC延伸到“蓝天”上。微软拥有全世界数以亿计的Windows用户桌面和浏览器,现在它将它们连接到“蓝天”上。Azure的底层是微软全球基础服务系统,由遍布全球的第四代数据中心构成。
三、云计算的安全问题
(一)对云的不良使用
IaaS(基础设施即服务)供应商对登记程序管理不严。任何一个持有有效信用卡的人都可以注册并立即使用云服务。通过这种不良的滥用,网络犯罪分子可以进行攻击或发送恶意软件。云供应商需要有严格的首次注册制度和验证过程,并监督公共黑名单和客户网络活动。
(二)不安全的API
通常云服务的安全性和能力取决于API的安全性[1],用户用这些API管理和交互相关服务。这些API接口的设计必须能够防御意外和恶意企图的政策规避行为,以确保强用户认证、加密和访问控制的有效。
(三)恶意的内部人员
当缺乏对云供应商程序和流程认识的时候,恶意内部人员的风险就会加剧。企业应该了解供应商的信息安全和管理政策,强迫其使用严格的供应链管理以及加强与供应商的紧密合作。同时,还应在法律合同中对工作要求有明确的指定说明,以规范云计算运营商处理用户数据等这些隐蔽的过程。
(四)共享技术的问题
IaaS厂商用在基础设施中并不能安全地在多用户架构中提供强有力的隔离能力。云计算供应商使用虚拟化技术来缩小这一差距,但是由于安全漏洞存在的可能性,企业应该监督那些未经授权的改动和行为,促进补丁管理和强用户认证的实行。
(五)数据丢失或泄漏
降低数据泄漏的风险,意味着实施强有力的API访问控制以及对传输过程的数据进行加密。
(六)账户或服务劫持
如果攻击者控制了用户账户的证书,那么他们可以为所欲为,窃听用户的活动、交易,将数据变为伪造的信息,将账户引到非法的网站。企业应该屏蔽用户和服务商之间对账户证书的共享,在需要的时候使用强大的双因素认证技术。
(七)未知的风险
了解用户所使用的安全配置,无论是软件的版本、代码更新、安全做法、漏洞简介,入侵企图还是安全设计。查清楚谁在共享用户的基础设施,尽快获取网络入侵日志和重定向企图中的相关信息[2]。
四、针对云计算安全问题的对策
针对云计算存在的一系列的安全问题,可以通过云计算安全服务体系来解决。云计算安全服务体系是由一系列云安全服务构成,是实现云用户安全目标的重要技术手段。根据其所属层次的不同,云安全服务可以进一步分为可信云基础设施服务、云安全基础服务以及云安全应用服务3类。
(一)安全云基础设施服务
云基础设施服务为上层云应用提供安全的数据存储、计算等IT资源服务,是整个云计算体系安全的基石。这里,安全性包含两个层面的含义:其一是抵挡来自外部黑客的安全攻击的能力;其二是证明自己无法破坏用户数据与应用的能力。一方面,云平台应分析传统计算平台面临的安全问题,采取全面严密的安全措施。例如,在物理层考虑厂房安全,在存储层考虑完整性和文件/日志管理、数据加密、备份、灾难恢复等,在网络层应当考虑拒绝服务攻击、DNS安全、网络可达性、数据传输机密性等,系统层则应涵盖虚拟机安全、补丁管理、系统用户身份管理等安全问题,数据层包括数据库安全、数据的隐私性与访问控制、数据备份与清洁等,而应用层应考虑程序完整性检验与漏洞管理等。另一方面,云平台应向用户证明自己具备某种程度的数据隐私保护能力。例如,存储服务中证明用户数据以密态形式保存,计算服务中证明用户代码运行在受保护的内存中,等等。由于用户安全需求方面存在着差异,云平台应具备提供不同安全等级的云基础设施服务的能力。
(二)云安全基础服务
云安全基础服务属于云基础软件服务层,为各类云应用提供共性信息安全服务,是支撑云应用满足用户安全目标的重要手段。其中比较典型的几类云安全服务包括:
1.云用户身份管理服务
主要涉及身份的供应、注销以及身份认证过程。在云环境下,实现身份联合和单点登录可以支持云中合作企业之间更加方便地共享用户身份信息和认证服务,并减少重复认证带来的运行开销。但云身份联合管理过程应在保证用户数字身份隐私性的前提下进行。由于数字身份信息可能在多个组织间共享,其生命周期各个阶段的安全性管理更具有挑战性,而基于联合身份的认证过程在云计算环境下也具有更高的安全需求;
2.云访问控制服务
云访问控制服务的实现依赖于如何妥善地将传统的访问控制模型(如基于角色的访问控制、基于属性的访问控制模型以及强制/自主访问控制模型等)和各种授权策略语言标准(如XACML,SAML等)扩展后移植入云环境。此外,鉴于云中各企业组织提供的资源服务兼容性和可组合性的日益提高,组合授权问题也是云访问控制服务安全框架需要考虑的重要问题。
3.云审计服务
由于用户缺乏安全管理与举证能力,要明确安全事故责任就要求服务商提供必要的支持。因此,由第三方实施的审计就显得尤为重要。云审计服务必须提供满足审计事件列表的所有证据以及证据的可信度说明。当然,若要该证据不会披露其他用户的信息,则需要特殊设计的数据取证方法。此外,云审计服务也是保证云服务商满足各种合规性要求的重要方式。
4.云密码服务
由于云用户中普遍存在数据加、解密运算需求,云密码服务的出现也是十分自然的。除最典型的加、解密算法服务外,密码运算中密钥管理与分发、证书管理及分发等都可以基础类云安全服务的形式存在。云密码服务不仅为用户简化了密码模块的设计与实施,也使得密码技术的使用更集中、规范,也更易于管理。
(三)云安全应用服务
云安全应用服务与用户的需求紧密结合,种类繁多。典型的例子,如DDOS攻击防护云服务、Botnet检测与监控云服务、云网页过滤与杀毒应用、内容安全云服务[3]、安全事件监控与预警云服务、云垃圾邮件过滤及防治等。传统网络安全技术在防御能力、响应速度、系统规模等方面存在限制,难以满足日益复杂的安全需求,而云计算优势可以极大地弥补上述不足:云计算提供的超大规模计算能力与海量存储能力,能在安全事件采集、关联分析、病毒防范等方面实现性能的大幅提升,可用于构建超大规模安全事件信息处理平台,提升全网安全态势把握能力。此外,还可以通过海量终端的分布式处理能力进行安全事件采集,上传到云安全中心分析,极大地提高了安全事件搜集与及时地进行相应处理的能力。
总之,随着云计算的推广和普及,对云计算的安全研究不会停止,在关注云计算用户接入、数据加密、访问控制、虚拟化技术安全的同时,不仅要严格使用安全服务体系来降低云计算安全问题,同时也要加强法律与人员对云计算安全的支持。
参考文献
[1]冯登国.云计算安全研究[J].软件学报,2011,22(1).
[2]卢宪雨.浅析云环境下可能的网络安全风险[J].计算机光盘软件与应用,2012(10).
[3]刘鹏.云计算(第二版)[M].电子工业出版社,2011,5,1.
电子合同安全性范文5
一、人民银行开展金融消费权益保护的基本定位
新的时期,尤其是在“十二五”期间,“以竞争促发展”的发展主线,对金融稳定、消费者保护以及交叉性金融市场的监管有了更高的要求,一个显著的变化就是:我们需要由政策金融向法制金融转变,引进功能性监管与原则性监管的理念,建立以经济手段为主,法律手段和行政手段为辅的监管模式,并通过金融改革与创新,逐步形成政府调控、自律监管与多层次法律支撑有机结合的协作机制,从而使我们金融监管更贴合货币政策的运行机制,使央行在货币政策与金融监管的双重职能上取得一个有效的平衡。使金融机构从传统利益最大化的逐利发展模式扭转为其金融行为和反应朝向社会主义和谐社会的需求以及一般民众对金融认知的预期发展,进而在形成一个健全的金融市场,形成一种合理有序的竞争环境,为金融稳定、消费者保护、多元监管提供有力的支持。因此,在金融稳定方面,要通过监管,防范金融业风险,最大限度减低金融机构进入风险失控情景的概率,从而实现价格稳定、银行稳定、金融安全与消费者信心坚强四个目标;在消费者保护方面要通过维护消费者的金融隐私权,打击银行欺诈行为,遏止金融业不正当牟利与竞争,释放民众对金融系统的对抗情绪,并提供必要的替代式纠纷解决机制,并在产生危机后,通过维权来缓冲危机效应,避免其扩大化;在交叉性金融市场方面,要在日益弱化的金融压抑环境下,正视金融创新与交叉性金融业务的发展,重点关注现有的金融控股公司的发展情况,加强对金融衍生工具的监管。要争取在“十二五”期间,由央行主导,初步建立起一个全面的风险评价、预警、监测和防范体系,提高事前预防的力度和频度,不再过于依赖事后补救,使我们的金融环境与经济发展相适应,使金融助推经济的功能效应得以最大化。
二、在基层实践工作中,金融消费权益保护工作面临的困难
目前,根据人民银行金融消费权益保护局的要求,各省会中支将陆续成立法律事务处,负责辖内的条法工作以及金融消费权益保护工作的推进。在较高一级的层面上,可以说条件还是基本具备的。但在地市与县支行一级,“钱”与“人”的问题较为突出。一是“钱”的问题。推进金融消费权益保护工作在前期需要搭建系统、收集信息,配备必要的设备,并进行积极的宣传,但此项工作上级并未明确是否有专项的资金。而缺乏资金很多工作是难以开展的,争取地方政府的支持毕竟是杯水车薪,很难完全解决问题。以人民银行目前推进的信用体系建设工作相比,各分支机构以及相关领导对此项工作的重视程度并不够、资金支持也不到位,在工作的前期,持观望等待态度的占大多数,特别是县支行,更不愿意投入过大。二是“人”的问题。虽然上级的成立的法律事务处,但地市一级仍是以在办公室的条法科为主要工作力量,县支行则是以兼职的法律事务人员全权负责。姑且不谈能力,单就人员资源的配比上,这也是一种严重的失衡。尤其是当前,基层一级法律事务人员还要处理大量行政许可、行政处罚的工作,基本上没有时间和精力去兼顾即将全面推开的金融消费权益保护工作。虽然每个人都斗志昂然,充满热诚,但在缺“钱”与缺“人”的现实下,工作的开展举步维艰。
三、要做好工作,微观的操作才是履职的要旨
虽然,人未到位,经费不够,这是需要上级部门思考的。作为基层人民银行,有些工作已经可以开始着手,实践操作上,基层人民银行还要“处理好一个关系、制定好一个指引”,并在此基础上推开工作。
(一)处理好“金融消费权益保护”与“12315”的关系
工商部门正在力推的“12315”是一个较好的平台化、综合化的工程建设,虽然金融消费权益保护与“12315”有着本质的区别,但“12315”平台近年来,通过深入地推进,具有广泛的群众基础和社会认可度,是一个较为成熟的平台,处理好与“12315”的关系,将对我们的工作具有很大的助力。对此,我们应该注意三个方面:一是在制度层面上,要在借鉴消费者权益保护立法思路的同时,体现金融消费权益的专业性。应该在制定相关的法律、法规时,在使用“金融消费者”概念的前提下,将金融消费者的权利进行分层概述,表述为“金融消费权益保护旨在保护个人隐私权以及提供反金融机构欺诈。”。在两个关键点之下,再进行基础权利的表述。基础权利的分解可以参照《消费者权益保护法》,但没有必要对权利进行全列举式的方式,主要是避免条文冗长,同时防止在权利与义务的对应关系上出现断层,但作为金融消费权益保护的核心权利:安全权、知情权、选择权与求偿权,应该作为金融消费权益保护的亮点应进行突出。二是应该充分利用好“12315”的平台信息传递功能。目前,工商部门的“12315”已经完成了进商场、进超市、进市场、进企业、进景点、进校园初步目标,按照“七个一”的要求,悬挂一块机构牌匾、安排一批人员、制定一套制度、配备一台电脑、设置一部电话、建立一本台账,将在各商业银行营业点建立12315联络站、消费维权示范站。在基层人民银行还缺乏一定条件的情况下,应该充分利用好这个已经搭建起来的平台,将其作为金融消费权益保护的宣传窗口和信息收纳口,与工商部门进行有效衔接,发挥好其深入基层,网点众多的特点。在工作初期,利用“12315”平台作为人民银行开展金融消费权益保护工作的宣传点,普及金融消费权益保护知识,定期或不定期进行金融知识普及宣传、并在条件成熟时,进行金融风险提示;在工作开展的过程中,要关注来自于“12315”的金融消费投诉,收集投诉进行集中处理,在处理结果的出口上,要突出人民银行维护金融消费权益的职能特点,避免将纠纷当作群众意见回馈、事件等一般性维权工作,要在处理上凸显金融维权的专业性和权威性;在工作的后期,根据各个区域的不同,有条件的地方,应该成立独立的金融消费权益维权中心,进一步整合金融执法资源,提供更到位的保护;条件不成熟的地区,可以在“12315”的平台上,逐步凸显金融消费权益保护的标识性,依托现有平台开展好工作,用最少的成本取得最大的效益。三是应该充分关注来自与各个部门的职能博弈,不要将金融消费权益保护工作作为博取职能疆界的手段。目前,各地的消协虽然名为消费者的自律性组织,但设置在工商局内部负责消保工作的部门已经赋予了消协很强的政治背景与行政色彩。在开展实际工作中,要将其作为一个“准行政部门”来对待,合理运用法律、法规,处理好与消协、工商部门的关系,主动协调,主动联系,积极争取其支持,并将金融消费权益保护工作作为一项民生工程来推动,取得政府部门的认可,提升工作的影响力,更好地塑造人民银行的区域形象。
(二)要制定出一个简明易懂、内容完备的操作指引
必要的制度是开展工作的前提,金融消费权益保护局,正在积极拟定《中国人民银行金融消费权益保护管理工作办法(试行)》(下文简称:《办法》)、《金融消费权益保护指引》两个重要文件,正在广泛征求意见,相信下一步的出台也是很快的。其中对工作有较大指导意义的《办法》作为人民银行内部的管理文件是否能够对分支机构的工作进行有效的指导,还是在之后由各分支机构根据实际情况再行制定各种实施细则,情况尚不清楚。但在实际工作中,我们的操作指引应该有一些必要且具有时代意义的表述来丰满金融消费权益保护工作。
1.人民银行开展金融消费权益保护工作的立场要明确。明确立场主要是为了避免在之后的工作中,由于法律地位不清晰,导致人民银行各分支机构陷入到一些不必要的诉讼及法律程序中。因此,一些立场性的原则要在指引中表述清楚,至少有五个:一是人民银行不干涉银行业金融机构的有关服务标准及商业决定,例如:银行业金融机构的定价政策、合同安排以及民事纠纷处理;二是人民银行不介入银行与客户之间的纠纷或就该纠纷做出仲裁;三是人民银行不就已进入法律程序或已呈堂的案件,或是等待公、检、法机关进行法律行动的个案提供法律意见和评论;四是人民银行不会指令银行业金融机构做出赔偿;人民银行基于保密理由,不向社会公众公布对银行业金融机构的调查结果、检查情况以及采取的措施;五是人民银行不向金融消费者提供法律援助,金融消费者有法律援助需求的,应向相应的政府法律部门求助①。这五个立场性的原则是否明确,在一定程度上决定了开展金融消费权益保护工作能否取得应有的成效,并在取得成效时,减低基层部门的工作量,避免因为纠纷耗费大量的成本。
2.对个人信息的保密是一个关键环节。金融消费权益保护工作的重点之一就是要保护好个人的金融隐私权,而在实际工作中,各个部门的工作人员,肯定会接触到大量敏感的个人信息。为了体现法治精神,必须有一些严厉的规定,包括:一是基本保密要求。人民银行、银行业金融机构都应配备必要的程序、设备保障金融消费者个人身份信息不外泄。所有对信息使用的权限和范围,均应符合宪法以及相关法律、法规的规定。所有与投诉有关的资料和信息应视为重要材料,采用保密制度管理,设定授权机制,由需要知情的有关负责人或部门领导处理,限制接触资料和信息的人员数量及范围;二是防止信息泄露。人民银行和银行业金融机构,不会采用电话、电邮、书信或是其他任何方式,直接或间接获取事关金融消费者账户安全的任何密码、文件、密钥、口令等,可能危害金融消费者账户、资金安全性的材料和文件。金融消费者可以根据自身情况,拒绝任何人员提出的上述要求,并可以向人民银行、银行业金融机构进行举报;三是严格信息传递。所有投诉人向人民银行递交的材料均作为保密材料处理,如果没有投诉人的书面批准,人民银行不会转发。四是明确失、泄密的追究和惩罚机制,进一步保障金融消费者的个人信息。对在工作过程中,恶意使用获取的个人信息或是因疏忽导致个人信息泄漏的工作人员,均按照相关规定严肃处理,涉及犯罪的,移交司法部门处理。
3.任何制度都应该体现一些人性关怀。在开展实际工作时,由于各地区的情况并不相同,前来投诉的群众可能面临着自身障碍而导致投诉不能的情况。因此,在指引中我们还要有一些人性化的规定,诸如:银行业金融机构允许金融消费者以任何合理的途径:书信、电话、传真、电子邮件(具备网络条件)或亲自提出投诉。对残疾、语言障碍、书写障碍或是其他不方便表达意愿的金融消费者提供特别协助,以彰显人性关怀。这些细节上的工作,将极大提升群众对工作的满意度和认可度,道理就与我们今天在银行填写单据时,银行一般均会为老年人提供老花眼镜一样。这项工作投入不大、成本不高,却体现着和谐社会以人为本、金融服务顾客至上的价值,是需要做好的。
4.降低群众对金融消费权益保护工作的理解难度。金融消费权益保护工作要推得远、推得深、推得广,通俗、便民是相当重要的。纵观消费者权益保护工作之所以成效显著,简单易懂的“三包”政策是很关键的。作为金融消费权益保护,我们的指引可以制定得系统全面,但在对群众的宣传上,方式和方法可能需要改进。这里有两个方法可以选择。一是指引本身的内容需要通俗易懂便以理解。从目前《办法》的征求意见稿看,可能性不大。由于《办法》本身的层级,在一些表述上不能完全通俗化,一些专业的概念也不容模糊。但鉴于广大农村地区金融知识的普及程度,如果人民银行各分支机构完全按照《办法》拟定指引,并以此进行宣传,群众在理解上可能会有困难。所以,指引本身通俗化比较困难。二是人民银行各分机构可以根据地区情况、民族特点和农村的风俗,制定符合各个地方的《金融消费权益保护须知》之类的宣传册。宣传册可以采用图文并茂的方式,采用不同地区的语言,利用最少的篇幅,通俗易懂地为群众解答维护自身权益中遇到的问题。可以借鉴我们近年来印发的反假宣传册、征信宣传册等的方式。这样,不但可以加大宣传力度,也可以逐步奠定工作的群众基础。而《办法》或是指引,可以作为专门的文件,在群众进入投诉过程中时,由人民银行的工作人员或是金融机构工作人员进行详细的解释,确保群众对自身权利的知晓。
诚然,金融消费权益保护工作在宏观和微观层面上都存在着困难,很多新的工作领域也是人民银行之前的工作未涉及到的。无论缺少什么,我们都应该积极补齐,认真应对。“十二五”时期是我国金融业大有作为的重要战略时期。经过三十年的改革开放,中国的金融业发展进入了一个新的阶段。随着全球化金融的融合与交叉态势,中国的金融改革和金融创新按照预定的规划逐步迈进,并在此进程中不断汲取国际先进经验,完善自身体系与规则。按照一般的认识,发达市场经济有两个重要的标志:一是合理有序的市场竞争秩序;一是对处于弱势的消费者进行有效保护。所以,能否对金融消费者的权益进行有效的保护,不但决定了我们金融市场能否媲美发达国家,而且其关键是这将为实体经济的发展提供一个稳定有序的金融环境。
希望,在2013年人民银行全面推开金融消费权益保护工作的过程,我们所有同仁凝心聚力,集思广益,真正在金融消费权益保护工作上打出人民银行的品牌、树好人民银行的形象,为央行权威性的提升注入强劲的动力。
