期刊在线咨询服务,发表咨询:400-888-9411 订阅咨询:400-888-1571股权代码(211862)
购物车(0)
个人信息安全论文模板(10篇)
个人信息安全论文例1
1.1设备依赖性。
不同于过往的档案记载,信息化的档案资料再也不是一支笔、一份纸记录的过程,从输入到输出都是经由计算机与其辅助设备实现,管理与传输也都依赖各种软件与网络资源共享,信息处理速度与质量在某些程度上依赖于计算机的性能与软件的适应性。
1.2易控性和可变性。
信息化的档案资料一般是以通用的文档、图片、视频、音频等形式储存下来,这给信息共享带来了便利,但也增加了档案资料的易控性和可变性,对于文档资料可以通过office工具删除修改文字、对于图片资料可以通过photoshop轻易地改变其原有的面貌、对于音频和视频资料可以通过adobeaudition和premiere工具的剪辑变成完全不同的模样,这些都造成了档案信息易丢失的现象。
1.3复杂性。
档案信息量不断增加、信息存储形式也变得丰富多样,不仅有前文所述的文档、图像、视频、音频等形式,不同格式之间的信息资料还可以相互转换,如视频与图片、文字与图片的转换等等,进一步增加了档案信息的复杂性。
2目前网络环境下档案信息安全管理存在的问题
2.1网络环境下档案信息安全问题的特性。
档案信息化有其显著特征,在此基础上的档案信息安全问题属性也发生了较大变化。首先表现在信息共享的无边界性,发达的网络技术使得整个世界变成一张巨大的网,上传的信息即使在大洋彼岸也能及时查看,一旦信息泄露,传播的范围广、造成的危害难以估量。同时,在某种程度上档案信息化系统也存在着脆弱性问题,计算机病毒可以入侵系统的众多组成部分,而任何一部分被攻击都可能造成整个系统的崩溃。此外,网络安全问题还存在一定的隐蔽性,无需面对面交流,不用对话沟通,只需打开一个网页或是鼠标轻轻点击,信息就会在极短时间内被窃取,造成严重后果。
2.2网络环境下档案信息安全面临的主要问题。
1)档案信息化安全意识薄弱。很多情况下,档案信息被窃取或损坏并不是因为入侵者手段高明,而是档案信息管理系统自身安全漏洞过多,其本质原因是档案信息管理安全意识不够。受传统档案管理观念的桎梏、自身技术水平的限制,很多管理人员并未将档案信息看作极为重要的资源,对相关资料处理的随意性大,也无法觉察到潜在的风险,日常操作管理不规范,增加了档案安全危机发生的可能性。2)档案信息化安全资金投入不够。现代信息环境复杂多变,数据量急剧增加,信息管理难度也越来越大,对各种硬件、软件设备的要求也进一步提高,需要企业在档案信息管理方面投入更多的人力、物力,定期检查系统漏洞。而就目前情况而言,大部分企业在这方面投入的资源还远远达不到要求,档案信息管理的安全性得不到有效保障。3)档案信息化安全技术问题。技术问题首先表现在互联网自身的开放性特征中,互联网的基石是TCP/IP协议,以效率和及时沟通性为第一追求目标,必然会导致安全性的牺牲,诸如E-mail口令与文件传输等操作很容易被监听,甚至于不经意间计算机就会被远程操控,许多服务器都存在可被入侵者获取最高控制权的致命漏洞。此外,网络环境资源良莠不齐,许多看似无害的程序中夹杂着计算机病毒代码片段,隐蔽性强、传染性强、破坏力大,给档案信息带来了严重威胁。
3网络环境下实现档案信息安全保障原则
3.1档案信息安全的绝对性与相对性。
档案信息安全管理工作的重要性是无需置疑的,是任何企业特别是握有核心技术的大型企业必须注重的问题,然而,档案信息管理并没有一劳永逸的方法,与传统档案一样,不存在绝对的安全保障,某一时期看起来再完善的系统也会存在不易发现的漏洞,随着科技的不断发展,会愈来愈明显地暴露出来。同时,档案信息安全维护技术也没有绝对的优劣之分,根据实际情况的需求,简单的技术可能性价比更高。
3.2管理过程中的技术与非技术因素。
档案信息管理工作不是单一的网络技术维护人员工作,也不是管理人员的独角戏,而需要技术与管理的有机结合。档案管理人员可以不具备专业网络技术人才的知识储备量,但一定要具备发现安全问题的感知力与责任心,对于一些常见入侵迹象要了然于心,对于工作中出现的自身无法解决的可疑现象应及时通知更专业的技术人员查看。可根据企业实际情况建立完善的档案安全管理机制,充分调动各部门员工的力量,以系统性、全面性的理念去组织档案信息管理工作。
4网络环境下档案信息安全管理具体保障方法
4.1建立制度屏障。
完善的制度是任何工作顺利进行的前提与基础,对于复杂网络环境下的档案信息安全管理工作来说更是如此。在现今高度发达的信息背景下,档案管理再不是锁好一扇门、看好一台计算机的简单工作,而是众多高新技术的集合体,因此,做好档案信息安全管理工作首先要加强安全意识的宣传,包括保密意识教育与信息安全基础教育,加强档案管理人员特别是技术操作人员的培训工作。同时,应注重责任制度的落实,详细规定库房管理、档案借阅、鉴定、销毁等责任分配,详细记录档案管理培训与考核工作、记录进出档案室的人员信息,具体工作落实到人。在实际操作中,应严格记录每一个操作步骤,将档案接收、借阅、复制等过程完整、有条理地编入类目中,以便日后查阅。
4.2建立技术屏障。
网络环境下的信息安全技术主要体现在通信安全技术和计算机安全技术两个方面。1)通信安全技术。通信安全技术应用于档案资料的传输共享过程中,可分为加密、确认与网络控制技术等几大类。其中,信息加密技术是实现档案信息安全管理的关键,通过各种不同的加密算法实现信息的抽象化与无序化,即使被劫持也很难辨认出原有信息,这种技术性价比高,较小的投入便可获得较高的防护效果。档案信息确认技术是通过限制共享范围达到安全性要求,每一个用户都掌握着识别档案信息是否真实的方案,而不法接收者难以知晓方案的实际内容,从而预防信息的伪造、篡改行为。2)计算机安全技术。从计算机安全角度入手,可采用芯片卡识别制度,每一名合法使用者的芯片卡微处理机内记录特有编号,只有当编号在数据库范围内时方可通过认证,防止档案信息经由计算机存储器被窃的现象发生。同时,应加强计算机系统的防火墙设计,注意查找系统漏洞。
个人信息安全论文例2
第二章,深入分析信息安全对我国和世界安全的影响。在信息网络广泛渗透于社会生活各个领域的条件下,信息安全成为国家安全的基石。主要体现在:信息安全成为影响政治安全的重要因素,国家的维护更加困难,难以控制的“网上政治总动员”危害社会稳定,颠覆性宣传直接危及国家政权,国家形象更易遭受攻击和歪曲;信息安全是经济安全的重要前提,它关乎国家经济安全的全局,信息产业自身安全令人担忧,网络经济犯罪成为经济安全的顽疾,金融业遭受的安全挑战更加严重;信息安全对文化安全的影响不容忽视,“网络文化帝国主义”威胁我国传统文化的继承和发扬,社会主义意识形态、价值观念和道德规范遭到冲击;信息安全对军事安全的作用更加突出,“制信息权”对战争结局意义重大,信息威慑、网络信息战、黑客攻击与军事泄密严重威胁军事安全。
第三章,中国信息安全面临的挑战与威胁。中国的信息化建设起步较晚,信息安全技术水平也比较滞后,网络安全系数很低,信息安全现状不容乐观,主要从信息流动途径、发达国家的技术遏制及世界信息强国信息战略对我国的威胁和启示等方面进行了分析。在本章中尤其分析了美国、英国、法国、日本、韩国、俄罗斯、印度等国家信息战略,以求对保障中国信息安全提供借鉴与思考。
个人信息安全论文例3
Abstract:The construction of archival safety system has become an essential part of the archival cause development strategy. Facing the shortage of systematic induce in archival safety system theory, this paper point out the source of archival security system theory from these aspects: the archival conservation and management theory, risk society theory, risk management theory, disaster management theory, information security theory and safety culture management theory.
Keywords:Archives safety system; Archives conservation; Disaster management; Risk management; Information security
1 引言
2010年以恚从档案安全体系建设的提出到《关于加强和改进新形势下档案工作的意见》《全国档案事业发展“十三五”规划纲要》《关于进一步加强档案安全工作的意见》等文件的出台说明:档案安全体系建设已成为档案事业发展战略中不可或缺的一部分,得到了党和国家的充分肯定,一个全方位、多角度、深层次的档案安全体系建设“顶层设计”已经形成。反思我国档案安全体系建设快速推进的深层次原因,离不开学界多年来对档案安全问题的不断研究。从最初对档案安全保管、档案安全保护的研究到如今从档案安全体系的层面展开对各类档案安全问题的系统研究,档案界人士充分汲取相关学科的思想源流,并将其融入档案安全问题的研究当中,取得了重大进展。时至今日,我国档案安全领域已经积累了大量的研究成果。但值得注意的是,当前研究当中缺乏对档案安全体系理论的系统归纳和科学提炼。因此,厘清档案安全体系研究的理论源泉,对于促进档案安全体系的深入研究,以及具有中国特色的档案安全理论体系的形成意义重大。
2 档案安全体系研究的主要理论阐释
2.1 档案保护与档案管理理论。形成于20世纪60年代的档案保护技术学是研究档案制成材料损坏规律及科学保护档案技术方法的一门学科,它的任务是最大限度地延长档案的寿命。档案安全的理论最初就体现在档案保护之中。几十年的发展历程中,档案保护研究逐渐从各个层面展开,尤其是在信息技术的推动下,学界不仅对档案保护技术学科赖以存在与发展的知识基础和理论框架进行了全面的总结和梳理,还将目光转移到新材料、新技术、新设备的研究当中。我国档案保护技术学所形成的核心思想和理论方法,是以纸质档案为核心构建起来的知识体系,例如档案修复技术方法、档案馆建筑与设备、档案害虫与微生物的防治等,它们在我国传统档案保护工作以及“国家重点档案抢救与保护”工作中扮演着重要的理论角色。然而,随着数字时代的到来,档案保护的范围逐渐拓展到电子文件(档案)的安全保护、备份与长期保存等领域,而这些领域同样也是档案安全体系建设中的核心内容之一。档案安全体系建设下,档案安全保护是档案安全体系建设的重要组成[1]。总之,在档案安全体系理论建构当中,档案保护领域的理论方法不可或缺。
档案管理理论是围绕档案收集、整理等工作流程形成的一整套理论、原则和方法。科学的档案管理对于维护档案的完整与安全意义重大。从这个角度看,档案安全体系理论的构建离不开档案管理理论的指导。首先,要确保电子文件的安全,除了探讨电子文件信息的安全保密技术与方法外,电子文件的归档、电子文件的长期保存同样是档案安全体系建设中需要关注的重大问题。一方面,电子邮件、政府网站、政务新媒体等新型“文件”的出现,如何确定归档范围,如何鉴定其价值、划定保管期限,如何完整捕获文件内容及其结构和元数据信息都是值得研究的问题。另一方面,电子文件的长期保存和维护,尤其是新型电子文件的长期保存策略方法也是需要涉足的重要问题。其次,从文件生命周期的角度来看,文件(电子文件)从形成到销毁或永久保存的整个周期都存在安全问题,因此,对文件整个生命周期进行安全管理,既要防止重要文件由于没有归档或归档信息不完整造成的丢失,也要防止保管当中的篡改、泄密,以及注意防火、防盗等,当然,还有利用过程的原件保护、信息保密、隐私保护甚至销毁阶段的安全等。
2.2 风险社会理论。德国著名的社会学家乌尔里希・贝克在1986年出版的《风险社会》一书中,首次提出了“风险社会”的理论命题。此后,英国学者斯科特・拉什、安东尼・吉登斯、沃特・阿赫特贝格等人对风险的概念、风险社会理论进行了进一步探讨。风险社会理论对风险、风险社会进行了完整描述,对如何规避和应对风险作了阐释,是开展风险管理的理论与思想源泉。风险社会理论提出之后,风险的经济学、心理学、政治学、文化学等多维度视角也为关注风险社会问题提供了多种理论分析路径。此外,风险社会背景下,风险社会理论已经对政府管理、企业管理、社会治理等领域产生显著影响,基于风险社会视角展开的安全问题研究层出不穷。
对于档案界而言,对档案安全问题的认识通常有两种视角:一是从档案的存在形态、固有特性以及档案保管的场所、方式、管理体制、运行机制等方面着手,力图从内部发现档案安全风险因素;二是从档案安全所面临的外在环境,包括各种自然灾害以及政治、经济和社会等方面着手,力图从外部分析档案安全风险因素。风险社会理论为理解和思考档案安全体系建设面临的诸多问题提供了一个重要的理论视角,为档案安全风险的防范、规避与管理提供重要思路。
总之,探索风险社会理论对档案安全问题研究的理论价值和现实意义,对认识现阶段我国面临的档案安全问题提供理论借鉴。从风险社会理论视角切入对档案安全体系建设进行透视和反思,剖析产生安全问题的深层原因,这对于档案界树立风险意识、培育风险文化有导向作用。此外,有利于档案机构明确风险社会中档案安全的责任担当,从宏观和微观的双重视角展开,树立“大安全观”,建立安全防范机制、制定安全应对策略与相应的政策引导和制度保障机制。
2.3 风险管理理论。风险具有不确定性与客观存在性,它由潜在的损失、损失的大小、潜在损失发生的不确定性三种因素构成。为了避免事件发生的不良后果,减少事件造成的各种损失,即降低风险成本,人们引用管理科学的原理和方法来规避风险,于是风险管理(risk management)便应运而生。
风险管理是一种有目的的管理活动,常被视为一种保险,一个缓解不确定性的缓冲区,最终目标是以最小的成本获取最大的安全保障。因此,在进行风险管理的时候,管理主体通常致力于通过风险的识别、评估等一系列流程矸治瞿谕獠看嬖诘姆缦找蛩兀并制定一系列方案、措施来应对风险,以达到风险管理的目标。目前,风险管理理论已经在企业管理、工程项目管理、医疗护理管理等领域得到了极其深入的应用与理论拓展,并逐步运用到政府管理、信息管理、IT项目管理、自然灾害管理等领域中。
2000年,王健等人翻译了戴维・比尔曼的著作《电子证据――当代机构文件管理战略》,比尔曼认为,在电子文件管理中应导入风险概念,进行风险管理。之后,电子文件的风险管理开始引起国内学者的关注,其中中国人民大学的“电子政务系统中文件管理风险防范与对策研究”课题组进行了系统研究,探索了电子文件管理风险及其产生原因[2][3]、电子文件风险管理的必要性和可行性[4]、电子文件的风险管理流程与方法等[5][6],并于2008年出版了专著《电子文件风险管理》。
总的来说,在文件与档案管理当中引入风险管理理论是十分必要且可行的[7],在数字时代,文件与档案管理活动中面临的风险越来越多,这些风险不仅出现在收集阶段,还出现在整理、利用等各个阶段,尤其是档案信息化(数字化)建设阶段[8]以及档案数字化项目外包当中[9]。在文件与档案管理中引入风险管理理论,已成为我国档案安全管理的重要思想。
2.4 灾害管理理论。灾害是由自然原因、人为原因或两者兼而有之的原因而形成的、发生于自然界的或突发或缓慢发生的能给人类造成各种损害的事件。灾害与防灾、减灾是人类生存与可持续发展所面临的永恒主题。因此,灾害管理(disaster management)逐渐成为应对灾害的重要活动,它通过对灾害的研究、预测、减灾措施实施和灾后恢复等活动,以预防灾害的发生或减少灾害造成的损失。现代灾害管理理论主要有危机管理理论、风险管理理论和GCSP 管理理论。危机管理理论侧重于灾害的防治,风险管理理论更侧重于灾害预防,GCSP管理理论则是综合危机管理和风险管理理论,侧重于灾害的管理方法。
我国自然灾害频繁,档案面临着各种潜在的威胁。国家档案局对自然灾害的防治非常重视,每年都要专门发文强调汛期档案安全,此外还出台了《档案馆防治灾害工作指南》,其目的就在于进一步强化档案工作者的灾难风险意识和防范意识,为各级档案馆和档案工作者在制定灾害管理政策和战略过程中提供必要指导,以便进一步增强档案馆抵御各种灾害的能力,确保档案的安全保管和妥善处置,把各种灾害对档案馆的影响减少到最低程度[10]。针对档案以及档案馆所面临的灾害威胁,灾害管理领域的理论方法(诸如灾害恢复、灾害风险评估、灾害损失预测与评估、灾害分类与等级划分、防灾减灾对策、灾害应急管理、灾害风险管理、灾害危机管理等)对档案安全管理有重要参考借鉴价值。因此,近些年来,有学者对档案灾害预警机制[11]、档案部门灾害事件应急准备能力[12]、档案灾害管理体系[13]、档案防灾减灾体系建设[14]、数字档案灾害[15]等问题进行了探索,还有学者对“档案灾害学”进行了深入研究[16][17]。
2.5 信息安全理论。信息安全是信息时代永恒的需求。可以说信息安全是信息的影子,哪里有信息哪里就存在信息安全问题。当前,信息科学技术空前繁荣,可危害信息安全的事件也不断发生,敌对势力的破坏、恶意软件的入侵、黑客攻击、利用计算机犯罪等,对信息安全构成了极大威胁,信息安全的形势是严峻的。信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一。一般而言,信息安全主要包括设备安全、数据安全、内容安全和行为安全4个层面的内容,而信息安全学科就是研究信息获取、信息存储、信息传输和信息处理领域中如何保障这四个层面安全问题的一门新兴学科。在信息安全理论当中,技术被认为是信息安全保障最重要的手段,在发展过程中出现了数字水印技术、网络防火墙技术、入侵检测技术、访问控制技术、信息加密技术、可信计算技术、RFID技术等安全保护技术。
进入21世纪以来,档案信息安全受到了高度重视。学者们纷纷针对档案信息安全的因素以及档案信息安全管理存在的问题,从技术、管理以及保障体系等层面阐述应对策略。研究中不难发现,档案信息安全研究不能脱离信息安全领域的理论与技术方法的指导,信息安全领域的诸如网络安全机制、隐私保护、设备安全、信息系统安全、信息安全风险评估、信息安全技术、PKI安全认证体系、可信计算技术等理念、技术和方法对档案信息安全研究有重要参考价值。
2.6 安全文化与管理理论。安全问题是伴随人类的出现而产生的,防御灾害、事件和保障安全是人类生存和发展的基本需求之一。安全科学的研究对象就是与“天灾”和“人祸”相关的安全问题。“天灾”包括地震、台风、洪水、旱灾等。“人祸”就包括战争、环境破坏、恐怖活动、网络黑客事件、大面积停电、交通事故、公共安全等。安全科学的基本任务是揭示安全现象中的安全规律,安全科学原理就是安全规律的核心内容。这些原理当中:安全文化原理、安全伦理原理、安全教育原理、安全法律法规原理等社会科学方面的原理对于档案安全体系建设以及档案安全观的形成研究颇有参考价值。此外,从安全管理的层面来看,安全生产管理当中的一些经验教训、体制机制以及管理理念、管理策略方法等同样可以作为档案安全管理的参考。
3 结语
2010年,国家档案局提出建设档案安全体系,并迅速付诸实践。实践工作的快速推进,亟须理论的支撑。因此,有必要梳理已有的相关成果,分析相关的理论思想来源,提炼档案安全体系理论,为指导我国档案安全体系建设提供参考。本文系统梳理了档案安全问题研究当中所涉及的档案学、社会学、管理科学、灾害学、信息安全学以及安全科学等6个领域的7大主要理论思想,其中“档案保护理论”“档案管理理论”是档案安全体系研究的理论基础,其余5种理论则为档案安全体系相关问题的研究提供了理论借鉴和思想源流。然,在各学科理论融合发展的大背景下,后面5种学术理论当中,也存在部分交叉的情况。如灾害管理理论、安全管理理论当中同样借鉴了风险管理理论的思想。因此,笔者认为,针对档案安全问题的广泛性与特殊性,在档案安全体系研究当中各种理论思想之间并不是完全割裂开的,是可以相互借鉴吸收的,其共同目标是应对各类档案安全问题,指导档案安全体系建设。
参考文献:
[1]赵鹏.从档案安全体系建设的角度看档案保护[J].中国档案,2010(6):27.
[2]冯惠玲,王健.电子政务建设中的文件管理风险探析[J].中国行政管理, 2005(4):62~66.
[3]冯惠玲.论电子文件的风险管理[J].档案学通讯, 2005(3):8~11.
[4]徐拥军.电子文件风险管理的必要性与可行性[J]. 档案学通讯, 2005(6):51~55.
[5]张宁.电子文件风险管理:识别与应对[J].电子政务, 2010(6):24~30.
[6]张宁.思维的“逆行”――电子文件风险管理解析[J].中国档案, 2010(7):59~61.
[7]向立文,欧阳华.论加强档案风险管理的必要性与可行性[J].档案学通讯, 2015(4):68~71.
[8]陈国云.档案信息化建设的风险管理[J].北京档案,2008(2):42~43.
[9]黄丽华.引进风险管理方法构建安全管理策略――档案数字化外包潜在风险分析及安全管理措施研究[N].中国档案报,2015-11-23(03).
[10]王良城. 自然灾害对档案的侵袭与应对策略[J]. 北京档案,2010(7):72.
[11]于海燕.档案灾害预警机制研究[J].档案学通讯, 2011(4):81-84.
[12]吴加琪,周林兴.档案部门灾害事件应急准备能力研究[J].浙江档案, 2012(6):16~18.
[13]毛惠芳.预警应急抢救――档案灾害管理体系的构建[D].合肥:安徽大学, 2010.
[14]张新.灾害后的行动与反思――从北川档案抢救看档案防灾减灾体系建设[J].四川档案,2010(3):21~23.
[15]吴晓红,郭莉珠.数字档案灾害初探[J].档案学通讯,2005(3):80~83.
个人信息安全论文例4
doi:10.3969/j.issn.1673 - 0194.2015.16.162
[中图分类号]TP309 [文献标识码]A [文章编号]1673-0194(2015)16-0-03
0 引 言
信息安全是信息化发展到一定阶段的必然产物。Tanenbaum认为网络仅局限于研究人员相互发邮件时自然不会凸显信息安全的重要性,但是一旦渗透到包括银行转账和网上购物等日常行为,或者过渡到云计算时代,信息安全问题就无法再回避。
信息安全管理体系(Information Security Management System,ISMS)被认为是良好的信息安全管理实践集之一,从工程哲学的视野来看,这是由某一(或某些)专业技术为主体和与之配套通用的相关技术,按照一定规则、规律所组成的,为实现某一(或某些)工程目标的组织、集成活动。这其中包括人与自然的关系,也包括人与人、人与社会的关系,并由此构筑了新的存在物。目前绝大部分的研究都集中于信息安全管理体系的应用,而缺乏从整体角度出发,以工程创新为主线,从工程哲学的角度进行审视、思考和分析的研究,本文对这些问题进行分析。
1 以“三元论”的视角审视信息安全管理体系
1.1 科学、技术和工程“三元论”
Mitcham提出工程哲学(Engineering Philosophy)词汇,并阐述哲学对工程的重要性,但是他认为工程处于技术之下,是技术的一部分,而李伯聪教授则认为科学、技术和工程是彼此独立的个体,彼此既有联系又有区别,科学、技术和工程“三元论”是工程哲学得以成立的基础。
科学活动是以探索发现为核心的活动,技术活动是以发明革新为核心的活动,工程活动是以集成建构为核心的活动。人们既不应把科学与技术混为一谈,也不应把技术与工程混为一谈。工程并不是单纯的科学应用或技术应用,也不是相关技术的简单堆砌和剪贴拼凑,而是科学要素、技术要素、经济要素、管理要素、社会要素、文化要素、制度要素以及环境要素等多要素的集成、选择和优化。“三元论”明确承认科学、技术与工程存在密切的联系,而且突出强调它们之间的转化关系,强调“工程化”环节对于转化为直接生产力的关键作用、价值和意义,强调应努力实现工程科学、工程技术和工程实践的有机互动与统一。
1.2 信息安全管理体系的工程本质及特点
信息安全管理体系是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的,包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源等内容。信息安全管理体系的支撑标准为ISO/IEC 27000标准族。在ISO/IEC 27000标准族中,不但给出了“建立、实施、运行、监视、评审、保持和改进信息安全的”“基于业务风险(的)方法”,而且还给出了信息安全管理体系的要求、实用规则、审核指南以及相关安全域的具体指南等。例如,仅GB/T 22081-2008/ISO/IEC 27002:2005信息安全管理实用规则,就包括了11个控制域,39个控制目标,133项控制措施。
信息安全管理体系可在不同的学科中找到其渊源,在实施框架上,信息安全管理体系应用了质量管理中的Plan-Do-Check-Act的戴明环,在具体的控制措施上,则包括了密码学、人员安全以及各类信息安全技术,其研究的特点是将科学思维、工程思维和社会思维相结合,但更强调工程思维的“设计”理论。工程研究活动不同于科学研究活动的基本特征就是“设计”。工程设计活动包括对象设计和过程设计。例如,建造水坝的坝体设计是对象设计,如何实施就是过程设计,在信息安全中,设计组织自己的信息安全管理体系是对象设计,设计如何部署是过程设计。
按照“三元论”理论,信息安全管理体系在其中的位置如图1所示。
2 信息安全管理体系的演化过程与规律
2.1 信息安全管理体系的起源和发展
信息安全管理体系是建立在体系(System)化基础上的“最佳实践集”,到国际标准的正式公布,大致经历了3个阶段。
第一阶段为过度关注技术,忽略人的作用的“技术浪潮”阶段,在这个阶段涌现出了大量的信息安全技术产品,例如,防火墙、防病毒和入侵检测系统(IDS)等。
第二阶段为强调人的作用的“管理浪潮”阶段,在这个阶段大部分企业开始设置专职的信息安全管理岗位,以加强对个人行为的控制。
第三阶段即“体系阶段”,在体系阶段信息安全以目标为导向,不再局限于手段的应用,而是技术、制度和人员管理等各个方面的有机结合。这个阶段是信息安全的工程化阶段,体现了工程的实践性、经验性、继承性、创造性和系统性等特点。
2.2 信息安全管理体系的动力和机制分析
信息安全管理体系的产生和发展过程是一个“需求驱动”的过程。Alvin Toffler在其经典著作《第三次浪潮》中,将人类发展史划分为第一次浪潮的“农业文明”,第二次浪潮的“工业文明”以及第三次浪潮的“信息社会”。在信息社会时代,“信息”成为重要的生产资料,价值非凡,因此面临诸多风险,为保护信息,安全需求的出现是必然的。
科学与技术的进步是信息安全管理体系的推动力。新密码算法的产生,各类以“信息技术解决信息安全”的思路涌现,为信息安全管理体系的产生奠定了基础。信息安全产生的本质原因是信息技术的发展和应用,反过来,解决信息安全问题又依赖于信息技术的发展。例如,速度更快,与防火墙形成联动的入侵检测系统。
国家政策是信息安全管理体系应用的导向力。任何工程活动都是在社会大系统中开展的,都要接受国家(政府)的引导和调控。对工程创新的应用,企业的认识往往是滞后的,因此,国家出台了一系列引导性政策。例如:商务部印发的商资发[2006]556号及商资函[2006]110号,以及各地方政府的鼓励引导政策。
2.3 信息安全管理体系的工程演化特点、方式和规律
对比国外,信息安全管理体系在国内发展体现出了明显的跳跃性,这种跳跃性不但体现在信息工程领域,也表现在其他诸多领域。国内一般不会沿袭其循序渐进的路线,而是直接引用国外的先进经验或者在国外已有的原型上进行模仿开发。
在科学、技术和工程3个领域内,与文化、制度、历史等环境因素联系最紧密的就是工程。在信息安全领域内,作为基础科学的密码学,其算法“放之四海而皆准”,不会因东西方文化的不同而显现不同的特征,绝大部分技术亦如此。但在工程层次,不同的文化制度有时会产生大相径庭的结果,例如,腾讯QQ本来是模仿国际聊天软件ICQ,但是经过十几年的发展后,ICQ,MSN等点对点国外聊天软件均濒临破产,但QQ在线用户却在2010年突破1亿。信息安全管理体系虽然修改自国际标准,但也显现出鲜明的文化特征。例如更强调保密性,和国外用户相比,更多的认证取向等。
3 信息安全管理体系的工程思维与工程方法论
3.1 信息安全管理体系的工程思维
科学思维是“反映性思维”“发现性思维”,体现理论理性的认识,工程思维是“构建性思维”“设计性思维”和“实践性思维”,体现实践理性的认识。科学家通过科学思维发现外部世界中已经存在的事物和自然规律,工程师在工程活动中创造出自然界中从来没有的工程构建物,工程设计是以价值当事人的特定需要为出发点,以构建某种与主体需要相符合的实体为归宿的筹划。
信息安全管理体系标准族的GB/T 22080-2008/ISO/IEC 27001:2005原文别强调:“采用ISMS应当是一个组织的一项战略性决策。一个组织ISMS的设计和实施受其需求和目标、安全要求、所采用的过程以及组织的规模和结构的影响,且上述因素及其支持系统会不断发生变化。按照组织的需求实施ISMS是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。”信息安全管理体系的部署过程也专门设有信息安全风险评估,目的就是找到企业实际存在的问题,然后“对症下药”。
3.2 信息安全管理体系的工程方法论
信息安全管理体系应用了PDCA戴明环,与A.D.Hall的系统工程方法略有差别,但在本质上是遵循这个基本框架的,如图2所示。
参照图2所示的基本工作过程并结合专门指导信息安全管理体系实施的《ISO/IEC 27003:2010信息安全管理体系应用指南》,提取其中的关键过程,并与工程设计的一般过程进行对比,如图3所示,其中左侧为设计方法,右侧为信息安全管理体系设计。
4 结 语
信息安全管理体系既包括数论、密码学和近世代数等科学元素,也包括软件开发技术、单片机技术和网络技术等技术元素,在工程哲学的视野下,是建立在一系列科学与技术基础上的集成创新。在工程创新成为创新活动主战场的今天,对其进行哲学分析,显得尤为重要。这其中包括以下几点。首先,要辩证地对待便利性与安全性的问题。正确利用信息系统,不仅是技术问题,也是哲学命题。坚持用“两点论”的观点看待便利性和安全性,在信息化发展的不同阶段,正确分析主要矛盾和次要矛盾。在信息化发展初期,信息系统尚未大规模使用,主要矛盾是便利性,提高效率,但到现在,信息安全事件层出不穷,美国甚至成立了网络战争司令部,信息战成为攻击手段之一,安全性就成了主要矛盾,“两点论”是有重点的两点论,要在看到主次矛盾和矛盾的主次方面的同时,分清主次,抓住主要矛盾和矛盾的主要方面。其次,从信息安全管理体系演化规律中发现集成创新的一般规律。科学、技术转化为现实生产力的功能一般都要通过工程这一环节,因此,在我国建设创新型国家战略的实施过程中,工程创新是一个关键性的环节。只有从大量的工程中发现工程创新的一般规律,从工程哲学的角度加以分析、归纳和引导,才能创新信息安全管理体系建设,发挥我国信息化发展的后发优势。
主要参考文献
[1]Tanenbaum A.S,Whterall D.J.计算机网络[M].第5版.严伟,潘爱民,译.北京:清华大学出版社,2012.
[2]张艳,胡新.云计算模式下的信息安全风险及其法律规制[J].自然辩证法研究,2012(10).
[3]谢宗晓.信息安全管理体系实施指南[M].北京:中国标准出版社,2012.
[4]张志会.米切姆的工程哲学思想初探[J].工程研究――跨学科视野中的工程,2008.
[5]李伯聪.工程哲学引论――我造物故我在[M].郑州:大象出版社,2002.
[6]殷瑞钰,汪应洛,李伯聪.工程哲学[M].北京:高等教育出版社,2007.
[7]谢宗晓.信心安全管理体系应用手册[M].北京:中国标准出版社,2008.
[8]王宏波.工程哲学与社会工程[M].北京:中国社会科学出版社,2006.
[9]Von Solms Basie.Information Security:The Third Wave[J].Computer & Security,2000(12).
[10]殷瑞钰,汪应洛,李伯聪.工程演化论[M].北京:高等教育出版社,2011.
个人信息安全论文例5
中图分类号:G642.0 文献标志码:A 文章编号:1674-9324(2014)04-0200-02
随着国际一体化的快速推进,信息技术在社会和经济发展中的地位越来越重要,信息安全成为关系到信息技术能否成功得到应用的一个关键因素。培养掌握高级信息安全高级人才已成为我国信息化建设的关键。
一、国内外现状
关于信息安全的教材,国内外有很多,比如由机械工业出版社出版的《网络与信息安全教程》,清华大学出版社出版的《信息系统的安全与保密》及William Stallings著的由电子工业出版社出版的《密码学与网络安全》。这些教材一般都是基于密码学基础,介绍基础的相关网络安全知识和基本原理,比如计算机网络安全的基本概念和技术、数据加密和认证原理技术、入侵与病毒、防火墙原理和技术等内容,比较适合本科生使用。但是随着信息技术及网络技术的快速发展,网络安全涉及的内容也越来越多,技术难度也越来越大,比如可信计算、无线网络安全、信息隐藏和数字水印技术及组播安全等理论和模型,而目前国内外还没有合适的教材涉及以上内容,适合研究生层次的教学。以上这些理论和技术目前只能在相关科研论文或其他文献中查到,这对我校计算机学院所开设的研究生学位课《高级计算机网络安全》的教学极不方便,也影响了同学们的学习。
二、课程内容的探索
本文作者从2006年开始,已经连续8年承担计算机学院《高级计算机网络安全》课程的教学,具有丰富的教课经验,并已积累了大量的教学素材。很多专家和学者也对信息安全和研究生教学进行了探讨和思考。考虑到当前信息安全的多个热点领域和发展方向,该课程内容从可信计算TCG和可信网络TNG开始,深入分析当前信息安全领域的现状和存在的问题,引出现代信息技术所涉及的信息安全的各种理论和相关技术,包括无线网络安全、信息隐藏和数字水印技术、网络流量分析、盲签名/群签名、病毒传播模型及云计算安全等。同时,为了加强学生的理论理解,在课程教学中融合一定的实例和案例分析,力求做到理论和实际相结合,提高学生的动手能力;同时对涉及领域的研究动向进行全面的综述,培养学生的研究能力和创新能力。
三、教学手段的探索
本课程教学最初几年,主要采用教师课堂讲授的方式。但由于课程涉及内容广,难度大,大部分学生有畏难情绪,教学效果并不好。通过和研究生多次交流,并不断总结经验,作者认识到:为了激发学生的学习兴趣、提高学生的学习热情,调动学生的积极性、增强学生的参与度是该课程教学效果的重要手段。近五年来,通过对该课程教学手段的不断改进和完善,慢慢总结出以下有效的教学手段,这些教学手段取得了非常好的教学效果,也得到了学生的好评。
1.基础知识介绍。我校计算机学院本科阶段,开设了《信息安全数学基础》、《密码学与安全协议》、《网络攻防》等课程,为我校毕业的研究生了解、掌握信息安全的基础知识。但我校其他研究生来自全国各高校,有的同学没有修读信息安全相关课程。为了使同学对信息安全基础知识有一个基本了解,在课程开始会利用4个课时对信息安全基础理论和技术做介绍,为后面的专题打好基础。
2.专题介绍及小组选题。信息安全技术发展日新月异,课程教师会总结当前计算机网络安全前沿较新的、较系统的、具有代表性的十多个研究方向和研究进展,并做简单介绍。教师会根据每个学生的研究方向及兴趣爱好将同学分为十多个小组,每个小组4~8名学生,包括一名组长。每个小组选取一个专题。
3.小组学习和讨论。在一定时间内,由组长负责组织小组成员对所选专题进行调研、学习和讨论,要求每个成员了解掌握专题主要内容,包括涉及的关键问题、模型、算法及系统实现等四个主要方面。对调研、学习过程中遇到的难题,如经过小组讨论还无法理解,可和教师沟通,得到教师的指导。最后,小组要按规范制作PPT,并发给教师审核。教师给出修改意见,小组再完善修改,直至定稿。这个过程锻炼了研究生的调研、学习和合作沟通能力。通过这个阶段,小组成员对所负责专题有了较深刻的理解,并对小组成员进入导师实验室,对他们开展进一步研究大有裨益。
4.课堂报告。每个小组将根据教师安排,在课堂汇报所负责专题的内容。为了保证每个小组成员积极参与小组学习和讨论,教师在上课时临时指定上台报告的学生,报告学生表现会作为其个人及其小组成员平时成绩的重要依据。在报告过程中,教师和其他小组同学可以随时就相关问题提问,有时对某一个复杂问题进行深入探讨。因为是学生上台报告,并且同学们可以随时参与讨论,课堂气氛非常活跃,大大增强了该课程的教学效果。
5.课程考核。虽然每个小组在他们负责的专题上投入了很多时间和精力,但该课程的主要目标是每个学生需要了解各个小组报告的专题内容。课程讲解、讨论结束后,所有同学还要参加最后的闭卷考试,考试内容来源于每个小组报告的内容。这样,在每个小组课题报告时,其他小组成员还要认真听讲并积极参与讨论。每个同学在课题上的表现和积极性也将作为该学生平时成绩的一部分。
四、小结
本论文讨论的《高级计算机网络安全》的教学模式和教学方法具有一定新意,主要体现在以下几方面。
1.国内外关于高级计算机网络安全专题的教材还没有,本课程对当前计算机网络安全前沿研究方向进行系统化总结。本课程主要内容既可作为研究生学习当前计算机网络安全领域较新和较成熟的科研成果,也可作为课题研究的参考。
2.本课程涉及的内容较全面,包括可信计算TCG和可信网络TNG、无线网络安全、信息隐藏和数字水印技术、网络流量分析、盲签名/群签名、病毒传播模型以及云计算安全等理论和模型。
3.为了加强学生对相关理论的理解,本课程包含一定的实例和案例分析,力求做到理论和实际相结合,提高学生的动手能力。
4.教学相长,通过小组合作和课堂讨论,引导学生深入研究某一专题,培养学生的团队合作能力和研究能力,增强同学学习的主动性和积极性。此外,还通过网上交流及讲座论坛等形式开展交互式教学。
参考文献:
[1]马建峰,李风华.信息安全学科建设与人才培养现状、问题与对策[J].计算机教育,2005,(1).
[2]王海晖,谭云松,伍庆华,黄文芝.高等院校信息安全专业人才培养模式的研究[J].现代教育科学:高教研究,2006,(5).
个人信息安全论文例6
中图分类号:G64文献标识码:A文章编号:1009-3044(2008)28-0247-02
The Teaching Research of "Information Security" Undergraduate Direction
FENG Wan-li, GAO Shang-bing, ZHANG Yong-jun, LI Xiang
(Department of Computer Engineering, Huaiyin Institute of Techlonogy, Huaiyin 223001, China)
Abstract: For the issue of information security brought by the development of information society, the characteristics of information security disciplines 、information security professional and academic development and the status quo, information security disciplines and their professional status and role of education are analyzed. Huaiyin Institute of Technology raised the direction of information security professional training system of knowledge, reflecting that information security and computer and mathematics is based on the characteristics of cross-disciplinary, presenting teaching practice the achievements and shortcomings of the direction of information security professional.
Key words: information security; culture knowledge systems; teaching practice
1 引言
教育体系是社会科学技术发展的重要组成部分,它反映了社会科学进步的基础。目前高等院校正在大力普及现代信息技术,与之伴随的黑客攻击、病毒肆虐、计算机犯罪等不同形式、不同程度的信息安全问题也日益突出。它们在为人们提供便利、带来效益的同时,也使人们面临着信息安全方面的巨大挑战,这些问题已经对我国高校的教育提出了更加严峻的挑战。然而目前我国只有少数大学能够培养信息安全专业方向的学生,其数量远远不能满足社会需求。面对整个社会信息安全的严峻形势,信息安全教育理应值得高校的关注和探究。
2 信息安全的形势是严峻的
随着计算机在军事、政治、金融、商业等部门的广泛应用,社会对计算机的依赖越来越大,如果计算机系统的安全受到破坏将导致社会的混乱并造成巨大损失。因此,确保计算机系统的安全已成为世人关注的社会问题和计算机科学的热点研究课题。然而,目前影响电子商务和电子政务应用的主要障碍之一是网络安全和信息安全问题。由于Internet的开放性和无政府状态,使Internet成为一个不安全的网络,不能适应电子商务和电子政务对信息安全的要求。
世界主要工业国家中每年因利用计算机犯罪所造成的经济损失,远远超过普通经济犯罪所造成的经济损失。计算机病毒已对计算机系统的安全构成极大的威胁。“黑客”入侵已成为危害计算机信息安全的普遍性、多发性事件。例如: 2000年2月7日起的一周内,“黑客”对Internet网站发动了大规模的攻击,著名的美国雅虎、亚马逊、伊贝等8大网站相继被攻瘫痪,造成直接损失12亿美元。
可见,目前信息安全的形势是严峻的。面对如此严重的威胁,必须采取措施确保信息安全。
3 我国信息安全专业和学科的发展现状
2003年27号文件明确强调了要采取措施“加快信息安全人才培养,增加全民信息安全意识”。2005 年教育部专门发文要进一步加强信息安全学科、专业建设和人才培养工作,从加强信息安全学科体系研究、信息安全博士点硕士点建设、稳定信息安全本科专业设置、促进交叉学科专业探索多样化培养模式新机制、建立信息安全继续教育制度等十个方面提出了指导性的意见。
国内高校信息安全专业建设、学位点建设、相关课程建设工作开展迅速,目前全国约有50所高校设立了信息安全本科专业,25 所高校或研究所设立了信息安全二级学科博士点,至少有三个出版社组织了国内专家编写的信息安全本科专业系列教材已经陆续出版。2004年7月在四川绵阳召开了全国高校本科“信息安全专业规范与发展战略研究”成果与研讨会,2005年10月在云南大理召开了首届全国高校信息安全学科专业建设与发展研讨会,2006年10月在北京召开了第二届全国高校信息安全学科专业建设与发展研讨会。三次研讨会针对高校信息安全学科专业发展及信息安全学科专业建设等方面的诸多问题进行了交流,在总结高等学校信息安全人才教育经验的基础上,对如何培养适合社会和产业发展育体系,整合信息安全教育资源,解决信息安全人才培养与就业等问题进行了讨论。
作者亲身参与了2006年在南京信息工程大学举行的信息安全高层会议,该会议参与对象主要包括省内外设信息安全专业(方向)的高校。会议主要包括两个内容:一是国家信息安全权威专家和国家保密局领导发表意见,二是各个高校人员热烈讨论自己学校的在信息安全专业建设上的成绩和不足。
大家普遍反映在信息安全学科和专业建设方面,目前突出的问题是:学科范围不清、领域不明,专业设置比较杂乱,课程体系不够系统。一方面,这是作为一个新兴交叉学科兴起和发展的必然现象,在社会需求的刺激下,各传统专业拓展到这一新领域的蓬勃的积极性,是信息安全学科专业旺盛生命力的表现。但另外一方面,我们也必须清醒地看到,这样的格局长期不加以改变,必将影响到它的健康发展,结果会导致跟不上国家信息安全保障建设对信息安全人才培养的需求。我们需要用战略的眼光,站在战略的高度来审视和规划信息安全专业和学科的发展。
4 信息安全学科、专业及其教育的地位和作用
4.1 信息安全人才保障体系
面对信息化发展过程中政治、经济、文化和国防对信息安全的迫切需求以及我国信息安全保障能力的不足和未来的严峻挑战,建立国家信息安全保障体系、全面提高信息安全保障能力势在必行。信息安全人才保障体系是国家信息安全保障体系的重要内容,我们不但要求拥有足够的信息安全专业 ,更要加强信息安全学科的建设。
4.2 信息安全学科、专业的地位和作用
信息安全保障建设作为一个系统的工程,需要科研、工程、管理、执法等多方面的人才,而且这种需要是长期的、甚至是永久的。面对信息安全人才这种多样化的需求,信息安全从最初由数学、计算机科学与技术、信息与通信工程等一级学科交叉而成的技术性学科,已经朝着涉及管理学科、法律和伦理道德等跨门类的综合性学科发展。
信息安全学科是紧密围绕国家安全和国民经济建设服务的,所以它更偏向于一门工程学科。信息安全工程的本质是要了解信息系统可能存在的安全威胁,并提出和采用恰当的综合保护措施,包括从技术和管理上来控制这些安全威胁。
信息安全学科的这个特点使得现有的几个相关一级学科都不能单独覆盖,也造成目前信息安全二级学科博士点分别设在了计算机科学与技术、信息与通信工程、数学、控制科学与工程等四个一级学科下的分散格局。在一定程度上造成信息安全学科内涵模糊、主干专业课程体系不清、建设资源不集中等问题,影响了学科的进一步发展。
为了解决上述问题,加强和推进信息安全学科建设,依靠我国教育主管部门在学科设置和建设方面的指导作用,一个可行的办法就是将信息安全列为一级学科,可以起名为“信息安全科学与工程”。它的科学性不仅包含了涉及密码学的数学理论和安全计算理论方面的研究、计算机和网络本身的安全体系结构理论等,而且可以涵盖在系统层次上的信息安全保障理论、安全评估理论和安全管理理论等。
5 淮阴工学院信息安全本科专业方向的人才培养与课程体系
2004年,经省教育厅批准,淮阴工学院创建了信息安全本科专业方向,设有信息安全专业方向的学校在国内目前仍然是少数。由于信息安全具有多学科交叉、理论与实践结合和涉及国家安全等特殊性,信息安全本科人才应当具有一些基本条件:热爱祖国、品德优良、身体健康,掌握信息安全的基本理论和基本技能。
学生是学校教育的产品,检验学校教育质量好坏的标准是毕业生质量。因此,我们在制定办学思路时必须要考虑以上几个方面的因素。淮阴工学院信息安全本科专业方向办在计算机学院,经过两年多的教育实践,形成了自己的办学思路:以学计算机信息科学技术为主,同时加强数学、物理基础,掌握信息安全的基本理论和基本技能,培养优良的品德素质。这一办学思路受到广大学生和家长的欢迎,同时也受到国家信息安全领导机构的好评。
各个学校的情况不同,因此办学的思路也不相同。例如,有的学校把信息安全专业方向办在计算机系,有的学校把信息安全专业方向办在通信系,也有的学校把信息安全专业方向办在数学系,以密码学作为教学的重点。还有的学校把信息安全专业方向办在商学系,以电子商务安全作为教学的重点。我们认为,信息安全专业方向研究的是信息的安全尤其网络信息的安全。在现今社会,信息大部分都是通过网络传送的。因此,学生必须首先学习计算机尤其是网络方面的内容,否则便无法深刻理解和掌握现今流行的信息安全技术。
淮阴工学院信息安全本科专业方向的课程体系体现了淮阴工学院关于信息安全专业方向的办学思路。体现了信息安全的多学科交叉、理论与实践结合和涉及国家安全等特殊性。体现了培养热爱祖国、品德优良、身体健康,掌握信息安全的基本理论和基本技能的信息安全本科人才的基本要求。
在思想品德方面和数学基础方面都设有常规课。为了体现硬件系统安全和操作系统安全在信息安全中的基础地位,除了常规的硬件类课程和操作系统原理课程外,分别增设硬件类课程:“计算机系统结构”;操作系统类课程: “Linux操作系统”。为了体现其它信息安全关键技术,开设:“密码学”、“计算机网络安全”、“信息隐藏技术”、“计算机病毒学”、“软件保护技术”、“数据恢复技术”等课程。为了体现网络技术的在信息安全中的特色,特地开设:“网络互联与路由技术”、“网络编程技术”。在实验方面,主要课程都开有实验课,并且其中部分课程开设课程设计,比如密码学的“加密/解密课程实践周”。
6 教学实践
2004年,淮阴工学院信息安全本科专业方向计划招生70人,考生多,质量好。录取的学生起点高,所以教学活动比较顺利。与此同时,淮阴工学院计算机工程系在信息安全领域的科学研究也得到很大的发展。承担着省高校自然科学基金项目、市科技局项目和企业委托项目,取得了一批有影响的研究成果。教学促进了科学研究,反过来科学研究也促进了教学。
通过三年的教学实践,说明我们的办专业方向思路和课程体系是合适的,受到广大学生和家长的欢迎,同时也受到省市信息安全领导机构的好评。但是,我们创办信息安全本科专业方向的时间短,还没有完成一个完整的教学循环,对信息安全本科专业方向的办学规律还没有全面掌握。因此,可能还有许多问题尚未发现。
目前信息安全方向的教学老师都在建设网络课堂和申报合格、优秀、精品课程,这必然会促进学生学习课程的热情和老师对教学的研究热情。
7 淮阴工学院信息安全本科专业方向教学计划
根据我们的实际情况和办专业方向思路,我们形成了淮阴工学院信息安全本科专业方向教学计划。这一教学计划正在执行过程中,目前执行的情况是良好的。我们将会逐步修改和完善教学计划,使之更适应信息安全学科的特点,适应社会对信息安全人才的需求。
参考文献:
个人信息安全论文例7
2.用户参与对信息安全管理有效性的影响——多重中介方法
3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程
4.论电子档案开放利用中信息安全保障存在的问题与对策
5.美国网络信息安全治理机制及其对我国之启示
6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究
7.“棱镜”折射下的网络信息安全挑战及其战略思考
8.再论信息安全、网络安全、网络空间安全
9.“云计算”时代的法律意义及网络信息安全法律对策研究
10.计算机网络信息安全及其防护对策
11.网络信息安全防范与Web数据挖掘技术的整合研究
12.现代信息技术环境中的信息安全问题及其对策
13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角
14.论国民信息安全素养的培养
15.国民信息安全素养评价指标体系构建研究
16.高校信息安全风险分析与保障策略研究
17.大数据信息安全风险框架及应对策略研究
18.信息安全学科体系结构研究
19.档案信息安全保障体系框架研究
20.美国关键基础设施信息安全监测预警机制演进与启示
21.美国政府采购信息安全法律制度及其借鉴
22.“5432战略”:国家信息安全保障体系框架研究
23.智慧城市建设对城市信息安全的强化与冲击分析
24.信息安全技术体系研究
25.电力系统信息安全研究综述
26.美国电力行业信息安全工作现状与特点分析
27.国家信息安全协同治理:美国的经验与启示
28.论大数据时代信息安全的新特点与新要求
29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究
30.工业控制系统信息安全研究进展
31.电子文件信息安全管理评估体系研究
32.社交网络中用户个人信息安全保护研究
33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述
34.三网融合下的信息安全问题
35.云计算环境下信息安全分析
36.信息安全风险评估研究综述
37.浅谈网络信息安全技术
38.云计算时代的数字图书馆信息安全思考
39.“互联网+金融”模式下的信息安全风险防范研究
40.故障树分析法在信息安全风险评估中的应用
41.信息安全风险评估风险分析方法浅谈
42.计算机网络的信息安全体系结构
43.用户信息安全行为研究述评
44.数字化校园信息安全立体防御体系的探索与实践
45.大数据时代面临的信息安全机遇和挑战
46.企业信息化建设中的信息安全问题
47.基于管理因素的企业信息安全事故分析
48.借鉴国际经验 完善我国电子政务信息安全立法
49.美国信息安全法律体系考察及其对我国的启示
50.论网络信息安全合作的国际规则制定
51.国外依法保障网络信息安全措施比较与启示
52.云计算下的信息安全问题研究
53.云计算信息安全分析与实践
54.新一代电力信息网络安全架构的思考
55.欧盟信息安全法律框架之解读
56.组织信息安全文化的角色与建构研究
57.国家治理体系现代化视域下地理信息安全组织管理体制的重构
58.信息安全本科专业的人才培养与课程体系
59.美国电力行业信息安全运作机制和策略分析
60.信息安全人因风险研究进展综述
61.信息安全:意义、挑战与策略
62.工业控制系统信息安全新趋势
63.基于MOOC理念的网络信息安全系列课程教学改革
64.信息安全风险综合评价指标体系构建和评价方法
65.企业群体间信息安全知识共享的演化博弈分析
66.智能电网信息安全及其对电力系统生存性的影响
67.中文版信息安全自我效能量表的修订与校验
68.智慧城市环境下个人信息安全保护问题分析及立法建议
69.基于决策树的智能信息安全风险评估方法
70.互动用电方式下的信息安全风险与安全需求分析
71.高校信息化建设进程中信息安全问题成因及对策探析
72.高校图书馆网络信息安全问题及解决方案
73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析
74.云会计下会计信息安全问题探析
75.智慧城市信息安全风险评估模型构建与实证研究
76.试论信息安全与信息时代的国家安全观
77.IEC 62443工控网络与系统信息安全标准综述
78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义
79.浅谈网络信息安全现状
80.大学生信息安全素养分析与形成
81.车联网环境下车载电控系统信息安全综述
82.组织控制与信息安全制度遵守:面子倾向的调节效应
83.信息安全管理领域研究现状的统计分析与评价
84.网络信息安全及网络立法探讨
85.神经网络在信息安全风险评估中应用研究
86.信息安全风险评估模型的定性与定量对比研究
87.美国信息安全战略综述
88.信息安全风险评估的综合评估方法综述
89.信息安全产业与信息安全经济分析
90.信息安全政策体系构建研究
91.智能电网物联网技术架构及信息安全防护体系研究
92.我国网络信息安全立法研究
93.电力信息安全的监控与分析
94.从复杂网络视角评述智能电网信息安全研究现状及若干展望
95.情报素养:信息安全理论的核心要素
96.信息安全的发展综述研究
97.俄罗斯联邦信息安全立法体系及对我国的启示
个人信息安全论文例8
本次会议的主题为“面向新需求和新挑战的信息安全”。2013年,国家信息化建设必将以更快的速度全面发展。目前,包括物联网、3G应用与移动网络、三网融合、云计算等一系列信息化应用新概念、新技术、新应用给信息安全行业提出了新的挑战。对新一代信息技术和信息安全的需求不断地提出新的挑战和机遇,也推动信息安全行业迎来新的发展期。同时,由于国际上激烈的政治斗争也在不断地把信息安全问题推向全球注目的焦点。可以说,中国信息安全领域在“十二五”规划伊始,面临着一个充满新需求和新挑战的时代。
本次征文的内容包括物联网安全、移动互联网安全、三网融合与其安全管理、云计算与云安全、网络监测与监管技术、等级保护技术、信息安全应急响应体系、可信计算、信任体系、网络实名制、工业和控制系统安全、网络与信息系统的内容安全、预防和打击计算机犯罪等。凡属于(但不限于)以上信息安全领域的学术论文、研究报告和成果介绍均可投稿。
征文要求:1. 论文主题明确、论据充分、联系实际,能反映信息安全领域最新研究成果,未曾发表,字数控制在5000字左右。2. 提倡学术民主,鼓励新观点、新概念、新成果、新发现的发表和争鸣,提倡端正学风、反对抄袭,专委会将对投稿文章进行相似性比对检查。3. 文责自负,涉及保密的内容在投稿前应由作者所在单位负责进行保密审查。4. 作者须按计算机安全专业委员会秘书处统一发出的论文模版格式排版,在截止日期前将论文电子版和投稿表发送至秘书处邮箱。5. 论文模版及投稿表请到计算机安全专业委员会网站下载(.cn)。
个人信息安全论文例9
1 引言
随着网络信息化时代的到来,信息安全领域面临着新的困难与挑战。国际标准化组织将信息安全定义为:信息的完整性、可用性、保密性。信息的完整性即保护资产准确性和完备性。信息的可用性即已授权实体一旦需要就可访问和使用。信息的保密性即使信息不泄露给未授权的个体、实体、过程或不使信息为其利用。
目前,信息安全涉及诸多范畴,包括攻击、防范、检测、控制、管理、评估等领域的基础理论和实施技术。在信息安全中,密码是核心,协议是桥梁,体系结构是基础,安全集成芯片是关键,安全监控管理是保障,检测攻击与评估是考验。越来越多的国家与组织意识到,信息安全作为信息时代的信息的根本保障,逐渐成为国家安全的基础、经济安全的命脉、国防安全的核心,谁把握了信息安全,谁就把握了信息时代的制高点。
2 信息安全背景
信息安全是研究在特定的应用环境下,依据特定的安全策略,对信息及其系统实施防护、检测和恢复的科学。信息安全的研究涉及数学、计算机、通信、法律等学科,按传统方式可以将信息安全研究领域分为信息安全基础理论研究、信息安全技术研究、信息安全管理策略研究三个部分。
针对信息所发起攻击的信息安全问题有多种,主要形式有几种形式:一是信息截取,即指未经第三方授权以非法的方式从第三方获取信息的行为,这种情况下,信息接收方可能毫无察觉;二是信息伪造,即在未经授权的情况下将伪造信息插入第三方的信息传输系统之中,从而使接收方接收虚假信息;三是信息中断,即利用非法手段使他人的信息传输无法进行;四是信息篡改,即窃取到信息内容后,将原始信息篡改为非法信息后通过传输网络继续传递给接收方。
针对信息安全面临的问题,信息安全研究在不同时代将产生不同的技术与发展。
3 信息安全技术
信息安全技术随着科技时代的发展而不断发展,主要包括一些经典信息安全技术。
3.1 密码技术
密码技术是保证信息安全机密性的核心关键技术。同时对其他安全机制的实现起主导作用或辅助作用。在密码技术体制中,包括信源、信宿、信道、明文、密文、密钥等要素。信源指消息的发送者,信宿指消息的目的地,信道指用来传输的通道,明文指原始待传输数据,密文指加密后消息,密钥为加解密的参数。经典的信息安全加密信源的明文经过加密得到密文,密文通过安全或者不安全通过传递给信宿进行解密后,得到需要的明文。加解密的密钥在传递时需要通过安全信道进行可靠传输。
3.2 数字签名技术
数字签名技术包括两个主要过程:一是签名者对给定的数据单元进行签名;二是接收者验证该签名的合法性。
数字签名的主要实现原理为,报文发送方从报文文本中生成一个一定长度的散列值,并用自己专用密钥对这个散列值进行加密,形成发送方的数字签名。然后,这个数字签名作为报文附件与报文一起发送给报文的接收方,接收方首先从接收到得原始数据中计算出相同长度的散列值,接着用发送方的公丌密钥来对报文附加的数字签名进行解密。比较两个散列值,如果相同则能肯定数字签名的合法性。通过数字签名能够实现原始报文的鉴别和不可抵赖性,保障信息的安全传递。
3.3 软件防护技术
软件防护技术主要采用病毒杀毒软件、恶意代码防护软件等手段。
病毒杀毒软件采用行为防护机制,将计算机系统中的病毒、木马、蠕虫等破坏信息安全的危险源进行安全隔离并删除,保护信息的安全性。恶意代码防护软件是基于操作系统内核级进行完整性保护的安全防护基础平台软件,通过对操作系统完整性保护实现防病毒、防攻击的安全目标。恶意代码防护软件能够提供计算机应用程序完整性保护、防止数据被恶意破坏、移动存储介质安全控制、网络报文安全过滤、安全事件审计等功能,达到防止执行程序型病毒和恶意代码的攻击,提高计算机系统安全性和可用性。
3.4 可信计算技术
可信计算技术是一种可以随时获得的可靠安全的计算,产生使人类信任的计算机的技术。可信计算技术的产生、发展和应用具有变革性的意义。传统的安全防护措施是被动性的,没有从终端源头上解决安全问题,计算机和网络结构上的不安全因素并没有消除。
可信计算的基本思想是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,从节点上建立信息的可信传递模式,保障信息在用户、程序与机器之间的安全传递,通过前移防御关口,有效抵制病毒和黑客针对节点的攻击,从而维护网络和信息安全。
4 信息安全策略
信息安全的规范发展,需要相应的信息安全策略引导。信息安全策略即管理者正式并规范组织在使用计算机系统中如何管理、保护和分发信息资源的一组法律法规、规则、指令和习惯做法。信息安全策略按照关注的层次,可分为信息安全战略,特定信息安全策略和系统配置安全策略。信息安全战略,即组织关于信息安全的总的意图和原则,是组织整体战略的重要组成部分。特定信息安全策略,即针对组织信息全生命周期的各种活动采取的信息安全策略,是为降低信息安全风险,实现信息安全保障。系统配置安全策略,即信息系统根据信息安全目标和特定信息安全策略要求基于系统配置级进行灵活配置保障的安全策略,包括操作系统访问控制策略、防火墙访问控制策略等。
信息安全策略在保障信息安全、规范信息安全发展方向上具有十分重要作用。信息安全策略存在一个使用周期,这个周期一般包括信息安全策略的制定、审批、实施、维护四个阶段,而制定阶段包括获取高层管理者批准、启动项目、确定目标范围、确定安全需求、风险分析评估、撰写六个典型过程。在安全策略使用周期各阶段,有些是关系策略成败的关键,包括制定阶段争取组织高层管理者支持、确定目标和范围以及选择合适的策略粒度,实施阶段确定安全策略实施的方式方法。
5 信息安全发展
随着信息化建设的快速发展,结合目前信息安全面临的问题与挑战,本文提出应该从几个方面思考信息安全发展。
一是应充分认清理论研究的重要性。信息化的高速发展导致知识结构的快速推进,信息安全的攻击、防御理论随着时代的前进而在不断发展,不断出现的新型信息安全威胁因素迫使传统的一些信息安全理论不再有效,如何在新的安全威胁中不断提高信息安全水平,应加强底层的信息安全理论研究,立足于根本并不断适应新的信息安全环境改变,增强信息安全能力。只有扎实的理论基础才能使信息安全地立于不败,走的更远。
二是应在政府支持下建立信息安全产业联盟。信息安全的有效实现是一个庞大的体系工程,贯穿于整个信息化时代,政府应充分发挥其的主持指导重要性,主持建立信息安全产业联盟,实现集体集中攻关,发挥集体智慧推动信息化时代信息安全的建设。
三是应确立正确信息安全防御战略目标。新时期下的信息安全不能仅仅只考虑保障信息安全,应以信息化时代特征为牵引,为保障信息安全实现信息防护,实现信息安全的控制,推动信息安全的主动防御。实现信息安全向任务安全转型。传统的被动防御思维模式正在向主动防御过渡,增强新型信息安全防御战略目标,推动信息安全的跨时展。
四是应把握以人为本的基本方针,建立专业的人才队伍。信息安全的发展应充分认清任何技术的发展根本在于人才,在于组织队伍的建设发展。目前导致信息安全面临更加复杂的一个原因就是缺少高质量的安全专业人才,以及缺少对在职人员信息安全专业培训。
6 结束语
信息安全面临更加广泛的问题,应充分分析其中的难点,结合现有技术以及后续信息安全的发展方向,有针对性地建设信息安全体系。本文首先分析了信息安全面临的问题,以及通常的信息威胁手段,然后分析了部分信息安全技术与信息安全策略,最后给出了对信息安全下一展的看法,为进一步研究信息安全问题给出借鉴参考。
参考文献
[1] 石正喜,张君华.国内外信息安全研究现状及发展趋势研究[J].科技情报开发与经济,2007,17(10):97—98.
[2] BEIGI M S, CALO S, VERMA D. policy transformation techniques in policy-based systems management[J]. Policies for Distributed Systems and Networks,2004(5):13-22.
[3] 冯登国,赵险峰.信息安全技术概论.电子工业出版社,2009,4.
[4] 刘静.Internet环境下信息安全面临的挑战及对策.信息安全与通信保密,2009(12):85-87.
[5] 李晓宾,李淑珍.计算机网络面临的威胁与安全防范[J].煤炭技术,201l(7):198—199.
[6] 曹子建,赵宇峰,容晓峰.网络入侵检测与防火墙联动平台设计[J].信息网络安全,2012,(09):12-14.
[7] 沈昌祥.信息安全导沦[M].北京:电子工业出版社,2009.
[8] TEWFIK A H, SWANSON M. Data hiding for multimedia personalization, interaction, and protection[J], IEEE Signal Processing Magazine,1997,14(4):41-44.
[9] 卢开澄.计算机密码一计算机网络中的数据安全与保密.北京:清华大学出版社,1998,01.
个人信息安全论文例10
一、引言
2009年亿元国内生产总值生产安全事故死亡人数为0.248人;工矿商贸企业就业人员10万人生产安全事故死亡人数为2.4人;煤矿百万吨死亡人数为0.892人。直接财产损失9.1亿元。(《中华人民共和国2010年国民经济和社会发展统计公报》)如此高的损失严重制约了国民经济的健康发展,因此建立行之有效的安全会计信息披露机制对遏制生产事故的频繁发生显得尤为必要。2006年,财政部、国家安全生产监督管理总局根据《国务院进一步加强安全生产工作的决定》,联合制定了《高危行业企业安全生产费用财务管理暂行办法》并于2007年1月正式实施,该《办法》针对高危行业生产企业的安全生产费用的提取、使用、披露、财务监督等方面作了规定,并要求高危行业企业在年度财务会计报告中,披露安全费用提取和使用的具体情况。2008年,财政部了《关于做好执行会计准则企业2008年年报工作的通知》,要求高危行业企业提取安全生产费用。以“专项储备”项目在“盈余公积”下单独列报。2009年,财政部要求企业在所有者权益中单独设置“专项储备”一级科目。法律法规的相继出台表明安全会计信息的报表披露问题已经提上日程。但是据研究,安全会计信息披露的情况并不乐观:李恩柱在《高危行业上市公司安全会计信息披露现状分析》一文中研究发现,选取的样本中只有25.93%的企业披露了安全会计信息。那么,到底哪些因素影响安全会计信息的披露、这些因素与安全会计信息披露之间的互动关系是怎样的,则是本文要解决的问题。
二、安全会计概述
(一)安全会计的定义 关于安全会计的定义,目前国内的学者没有统一的定论。综合来看,主要分为“管理活动论”和“信息系统论”。从“管理活动论”的角度出发,代表的观点如下:李恩柱认为,安全会计是运用以货币为主的多种计量单位,对所有可能发生生产事故单位的安全预防投入资源、事故损失估算及补偿的过程和结果进行反映和控制的一项管理活动。刘朝霞认为,安全会计是以货币为主要计量单位的多重计量方式,连续、系统、准确地反映和监督企、事业单位在生产过程中所有与安全相关的经济业务的一项经济管理活动。王书明、何学秋认为,安全会计是以科学发展观为指导,以货币及中介变量的形式核算并监督安全资源的成本、价值和行为效用,并将其结果报告给有关方面的会计管理方法。 “管理活动论”强调安全会计的管理职能。基于“信息系统论”观点,董桂伶认为,安全会计是以安全会计假设为前提,通过对安全会计对象确认、计量、记录和报告程序,为政府部门、投资者、债权人以及社会利益相关者提供财务信息,以促进企业加强经营管理,提高经济效益的一系列相互联系的目标、原则、基本概念和方法。小芳认为,安全会计是企业会计的一个新型分支,它是运用会计学的基本原理和方法,采用多种计量手段和属性,连续、系统、全面地对企业的安全经济活动进行核算和监督的专门会计。杨永丰认为,安全会计理论体系是以安全会计假设为前提,围绕安全会计对象所形成的一系列相互联系的目标、原则、基本概念和方法体系组成的一个有机整体。 “信息系统论”强调安全会计作为会计的一个新的分支,是为管理提供信息的方法。以上两种观点并无绝对矛盾,关键在于看问题的角度不同。基于此,笔者认为,安全会计是以货币为主要计量单位,安全会计假设为前提,对企业与安全生产相关的经济业务进行连续、系统、准确地核算并监督的经济管理活动。
(二)安全会计的核算 根据财政部《企业会计准则解释第 3 号》规定,高危行业企业按照国家规定提取的安全生产费,应当计入相关产品的成本或当期损益,同时记入“4301 专项储备”科目。企业使用提取的安全生产费时,属于费用性支出的,直接冲减专项储备。企业使用提取的安全生产费形成固定资产的,应当通过“在建工程”科目归集所发生的支出,待安全项目完工达到预定可使用状 态时确认为固定资产;同时,按照形成固定资产的成本冲减专项储备,并确认相同金额的累计折旧。该固定资产在以后期间不再计提折旧。“专项储备”科目期末余额在资产负债表所有者权益项下“减:库存股”和“盈余公积”之间增设“专项储备”项目反映。
(三)安全会计信息披露 (1)安全会计信息披露内容。一是安全政策。包括国家相关部门颁布的安全方面的规定,如果对企业有比较重要的影响,企业应当对规定及所受影响予以披露;企业制定的与安全有关的政策及规章制度。二是安全投资成本费用、事故损失及安全效益。企业应该披露安全投资的成本费用、事故处理损失、停工损失以及安全投资取得的效益,通过这些信息的披露,利益相关者可以更好地了解企业在安全方面的投资与回报以及安全事故所带来的损失。三是安全方面的奖惩。企业应披露因安全事故受到的处罚,或者因为能够从事安全生产、取得安全效益而受到的奖励。四是安全责任信息。对于可能承担的安全责任或者遭受的安全诉讼以及事故赔偿及承担的责任对企业造成的不利影响,企业应该如实披露。(2)安全信息披露方式。安全会计信息可以通过三种方式披露。 第一,补充报告模式。在现有的财务会计报告的基础上,通过增加会计科目、会计报表和报告内容的方式披露企业安全会计信息。“专项储备”可以定量地反映企业安全方面的储备,并且可以在财务报表中体现。但是更多详细的内容如“专项储备--使用”反映的安全投资的成本费用及非正常损失不能通过报表项目获悉,可以在财务报表附注中反映。有些不能定量反映的安全信息,如企业获得的安全认证、国家安全生产政策的影响等,可以在财务报告附注中进行定性地描述。对于董事会议通过的安全方面的决策则可以在董事会报告中进行披露。 第二,独立报告模式。安全会计信息独立报告是一种相对比较正式、规范、专业的披露模式,是用单独的报告来披露企业与安全相关的所有重要信息。但由于没有固定模板、没有统一规定要求以及成本较高等原因,当前很少有企业采用独立报告模式披露安全信息。随着安全生产受到越来越多的重视,安全会计信息独立报告理应成为一种趋势,以后应该会有越来越多的企业自愿或者被要求采用这种模式。 第三,公司重大事项公告。如果企业发生重大安全事故,或者在安全投资等方面做出比较重要的决策,企业应该通过重大事项公告进行披露,以保证信息时效性,使利益相关者能及时获取信息,避免做出错误决策。(3)安全会计信息披露的计量形式。安全会计信息可以通过不同的计量形式进行披露。从货币与非货币的角度考虑,安全会计信息通常以货币、非货币、货币与非货币相结合的计量形式存在。其中,货币形式最多;其次是货币与非货币相结合;最后是非货币形式。需要说明的是,安全生产费用、安全基金、安全设备、事故赔偿等内容主要通过货币形式进行披露。这些内容几乎是在财务报表附注中的某一科目中出现,并作为一个与安全有关的明细科目加以列示。
三、研究设计
(一)理论基础 安全会计理论基础是:(1)委托理论。委托关系是一个人或一些人(委托人)委托其他人(人),根据委托人利益从事某些活动,并相应地授予人某些决策权的契约关系。在这一契约关系中,人们将能够主动设计契约形式的当事人称为委托人,而将被动地在接受或拒绝契约形式之间进行选择的人称为人。由于委托人和人之间的目标函数是不一致的,因而,在委托人与人之间,不可避免地存在着利益上的冲突。会计信息记录了委托的每一个环节,并经如实记录后呈报给相关各方,以方便投资者的预测、决策。企业在经营管理的过程中,这种委托的模式对会计信息披露的真实性与完整性提出了质疑。委托关系的存在,必然涉及到公司治理情况,因而,安全会计信息的披露与公司治理之间是一定的互动关系。(2)信息经济学理论。信息经济学理论( Economics of information)一词起源于1959 年马尔萨克的《信息经济学评论》。从本质上讲,信息经济学是非对称信息搏弈,非对称信息指的是某些参与人拥有、但另一些参与人不拥有的信息。新制度学派认为,现代企业是一系列契约关系的联结点。与公司制产权分离相伴而来的是“信息失衡”。信息失衡将导致管理者利用自己的信息优势作出一些于己有利而损害其他利益集团的决策。从而,加剧经营方与利益集团之间的利益失衡,增加公司运行成本,削弱经营的效率,妨碍资源的合理配置。然而,提高信息披露质量有助于降低公司管理当局与外部资本提供者(股东和债权人等)之间的信息不对称,有助于资本提供者做出合理决策并强化对公司“经营过程”的内在监管,并进而降低资本提供者所面临的不确定风险,最终降低公司资本成本、提高公司价值。这一逻辑的进一步推理是,当公司信息披露的边际成本低于其边际收益时,上市公司有自愿提高信息披露质量的强烈意愿;而当上市公司经营状况良好、盈利能力较强时,其提高信息披露质量的积极性会更高。可见,财务状况是决定公司信息披露质量的基础之一。所以,根据信息经济学理论,安全会计信息披露与公司财务状况也应该有一定的关联。
(二)研究假设 大企业受到社会公众的关注,受到的相关利益者的压力更大,他们为了避免政治成本、保持企业社会形象和回避诉讼风险,更有压力和动力披露安全会计信息,我国的上市企业从其自身发展和政策导向上,都需要扩张规模,因而需要大量的外部资本,而通过资本市场融资已成为规模较大企业融资渠道的首选。上市企业也会自愿提供更多更详细的安全会计信息。因此提出假设1:
假设1:安全会计信息资产规模的对数正相关
公司资产负债率与公司会计信息披露之间的关联关系主要是通过财务风险的作用机理而形成。研究表明,资产负债率越高,公司“粉饰”合并报表、进行盈余管理的动机越强烈,从而信息披露质量也可能越低。因此提出假设2:
假设2:安全会计信息披露与资产负债率负相关
当上市公司经营状况良好、盈利能力较强时,其提高信息披露质量的主观意愿更高。相反,亏损公司在亏损年度存在着人为调减收益的盈余管理行为(陆建桥, 2002)。本文以净资产收益率(ROE)这一综合指标作为财务收益能力的替代变量,并提出假设3:
假设3:安全会计信息披露与净资产收益率正相关
研究表明,当公司治理结构不能有效制约大股东和管理层自利行为时,公司提供高信息质量的可能性就很低。Fama和Jensen认为董事会中较高的独立董事比例,将有利于监督和限制经营者的机会主义行为。从中国实践表现看,独立董事作为决策方面的专家,独立于大股东和管理层,能够客观、公正地评价企业经营决策并提出建议,能够代表利益相关者对企业内部经营管理者进行有效的监督,保证企业经营战略决策的有效实施,限制管理者盈余管理和侵犯利益相关者的利益,督促企业提高会计信息披露的质量和全面性,因而有利于安全会计信息披露。因此提出假设4:
假设4:独立董事比例与安全信息披露正相关
何卫东(2003)的研究表明:与股权集中度低(控股股东持股比例低于30% )的公司相比,股权集中度高(控股股东持股比例超过50% )的公司规模大、信息披露质量高、财务业绩较好;且相对于非国有控股公司,国有控股公司的规模大,信息披露质量高。相反结论也依然存在。笔者认为,股权集中度越高,大股东对上市企业越容易形成操控。当大股东成为企业的“内部人”时,已具备获取信息的能力,更加可能会减少对安全会计信息的披露。因此提出假设5:
假设5:控股股东持股比例与安全会计信息披露相关
理论上认为,董事长和CEO两职合一体制不利于董事会发挥其应有治理作用,因此CEO和董事长分离将是非常必要的;实证研究表明,两职合一公司(即CEO统治公司)对公司自愿性信息披露具有负面影响(Gul和Leung2000):CEO出于自身集团利益的考虑,进行盈余管理的可能性较大、程度高,因而不能很好地履行安全责任,对外隐瞒不利的安全信息。基于上述分析,提出假设6:
假设6:两职合一与否与安全会计信息披露相关
(三)样本选取与数据来源 本文选择深、沪两市属于财政部、国家安全监督管理总局规定的高危行业的381家上市公司2009年的年报作为研究对象,来分析我国安全会计信息披露的现状。数据采集过程如下:(1)样本来自采掘业、建筑业、金属非金属、石化塑胶、交通运输等五个行业,采用的是随机抽样的统计方法;(2)有关公司治理状况、公司经营状况的指标取自国泰安治理数据库和财务数据库;(3)根据前文分析,安全会计信息披露主要以货币形式为主,所以本文的安全会计信息披露与否主要是看公司2009年度财务报表及附注的“专项储备”这一数字披露。(4)各年报下载自巨潮资讯网。采用年报的原因在于年报是外部投资者获取上市企业信息非常重要的途径之一,而且年报的信息披露水平与其他途径的披露水平正相关。本文使用的数据处理统计分析软件是SPSS16.0。
(四)变量定义和模型建立 Logistic回归模型是对二分类因变量进行回归分析时所常用的多元统计方法。其模型的数学表达式为:log it(y)=ln()=a0+a1x1+a2x2+…anxn
等价表示为:p=
在这里, y= (1, 0)表示某一事件发生的次数, y=1表示发生, y=0表示不发生。p=P (y=1)表示事件发生的概率。
a ( i=0,…n)为待估参数,x ( i=1,…n)为自变量。
本文构建以安全会计信息披露为因变量的多元回归方程:y=α+β1X1+β2X2+β3X3+β4X4+β5X5+β6X6+ε
其中,α是常数项,βi(i=1,2,…, n)分别是各个自变量的回归系数,ε是误差项,各自变量的定义及取值情况见(表1)。
四、实证结果分析
(一)显著性检验 笔者采用Enter方法,只进行一步,因此三个统计量观测值完全相同,此处P=0.000<0.001见(表3),统计量检验显著,表明模型有统计意义。
(二)拟合分析 对安全会计信息披露与否的情况进行拟合,对于y=0(未披露)有95.3%的准确性,对于y=1(披露)有19.7%的准确性。对于所有个案有70.1%的准确性见(表4)。
(三)回归分析 其中B为参数估计,S.E.为其标准误,Wald为检验统计量,Sig.为其相伴概率值,Exp(B)为其他条件不变时对应变量每增加一个单位后安全会计信息披露的概率与原安全会计信息披露的概率相比的倍数近似值(表5)所示。由此得到相应的logistic回归方程:ln( )=-8.938+0.274 X1+0.358 X2+1.666 X3+4.523 X4+0.325 X5+0.066 X6,其中p为y=1的概率。
在logistic回归分析中,要比较自变量在回归方程中的重要性,一般直接比较Wald统计量的大小,自变量的Wald统计量越大,显著性就高,也就更重要。从(表2)可知,在安全会计信息披露的logstic回归方程中各自变量Wald统计量大小比较情况为:x1>x3>x4>x2>x5>x6。也就是说在考察诸因素中,对安全会计信息披露的影响程度从大到小分别为:总资产对数、净资产收益率、独立董事比例、资产负债率、控股股东持股比例、两职合一与否。总资产对数对安全会计信息披露的影响最大,而两职合一与否的影响最小。其次,影响安全会计信息披露的因素中,公司财务状况因素高于公司治理因素。选取的六个自变量中,总资产对数、资产负债率、净资产收益率体现的是公司的财务状况,独立董事比例、控股股东持股比例、两职合一与否体现的是公司治理情况。从整体来看,体现公司财务状况的指标的Wald值较大于体现公司治理的指标。也就是说,公司财务状况与公司治理情况相比,前者更容易影响的公司是否倾向于披露安全会计信息。再次,独立董事比例的变动影响最大。独立董事比例,即独立董事数/董事会成员总数。这一指标的Exp(B)=92.068,远大于其他指标的Exp(B)。这表明,在其他条件不变时,独立董事比例每增加一个单位后安全会计信息披露的概率与原安全会计信息披露的概率相比的倍数近似值为92.068,这种变动影响是最为明显的。最后,各因素对安全会计信息披露的具体影响。回归方程中,总资产对数的回归系数为0.274,显著性水平为0.004<0.05,表明总资产对数与安全会计信息披露正相关,且通过检验,假设1成立。净资产收益率、独立董事比例的回归系数分别是1.666、4.523,且均通过显著性检验,表明两者与安全会计信息披露正相关,假设3、假设4成立。资产负债率、控股股东持股比例、两职合一情况的回归系数均为正数,但是其显著性水平均大于0.05,为通过显著性检验,即假设2并没有得到很好的验证,控股股东持股比例、两职合一对安全会计信息的披露影响并不大,假设5、假设6不成立。
五、结论
本文研究结果表明,上市公司目前安全信息披露水平总体不高,资产规模较大、净资产收益率较高、独立董事比例较高的公司更倾向于以“专项储备”披露企业的安全会计信息。企业的股权集中度、资产负债率、两职合一或分离都与安全会计信息披露指数显著不相关。我国目前的公司治理不利于企业安全会计信息披露,企业即使有经济能力承担安全责任也没有积极性。我国的上市公司根据自身所处的行业,如何设置有利于经济和安全双赢的治理结构是个重大的课题。本文的研究存在以下不足:(1)安全会计信息披露的替代变量选取问题。本文以高危行业中的381家企业作为研究样本,安全会计信息是否披露仅仅取决于是否以货币形式单独列示“专项储备―安全生产费”,但根据前文的论述,安全会计信息的披露还包括安全政策、安全投入与产出等内容,所以仅以货币计量的方式来考察安全会计信息披露这一做法是否权威可信,是值得商榷的问题之一。但是根据财政部《企业会计准则解释第3号》的规定,高危行业提取的安全生产费计入相关产品的成本或当期损益,同时计入“专项储备”科目。尽管变量选取可能存在不足,但我认为还是合理和可取的。(2)本文只从年报中收集,而没有统计企业的招股说明书、上市公告书、中期报告等公告里涉及的安全会计信息披露,这可能会影响本文的结论。(3)在讨论安全会计信息披露时,控股股东性质、外部审计师的属性都有可能直接或间接影响安全会计信息的披露,本文仅在一般水平上分析了安全会计信息披露和财务状况、公司治理的关系。尚需扩大样本量,考虑控股股东性质、外部审计师的属性等因素,探讨安全会计信息披露与财务状况、公司治理的互动关系。
