序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁���,我們?yōu)槟x了8篇的安全審計的類型樣本,期待這些樣本能夠為您提供豐富的參考和啟發(fā)�����,請盡情閱讀�。
第1篇
三《條例》限制賠償政策的事實根據(jù)論―答記者問見解的問題性
(一)“特殊立法政策”的內(nèi)容和事實根據(jù)
(二)“特殊立法政策”的事實根據(jù)論的問題性
(三) 對其他相關(guān)問題的評論
四 放棄現(xiàn)行法律適用原則的必要性和解決法律適用問題的代替方案
(一) 放棄“區(qū)分不同案件分別適用法律”原則的必要性
(二) 解決醫(yī)療侵權(quán)賠償案件法律適用問題的代替方案
結(jié)論
三 《條例》限制賠償政策的事實根據(jù)論―答記者問見解的問題性[44]
如前所述,答記著問強調(diào), 條例“體現(xiàn)了國家對醫(yī)療事故處理及其損害賠償?shù)奶厥饬⒎ㄕ摺?��。那? 答記者問所說的特殊立法政策的內(nèi)容是什么呢? 在損害賠償問題的處理上, 條例所體現(xiàn)的立法政策與民法通則所體現(xiàn)的立法政策有什么不同呢? 條例所體現(xiàn)的特殊立法政策又是以什么事實為根據(jù)的呢? 被作為根據(jù)的那些“事實”是否符合客觀現(xiàn)實呢? 即便符合客觀現(xiàn)實, 以這些事實為根據(jù), 是否能夠證明條例對醫(yī)療事故損害賠償?shù)南拗菩砸?guī)定具有政策上的合理性呢? 這些就是本節(jié)要檢討的問題。
(一) 條例所體現(xiàn)的特殊立法政策的內(nèi)容及該政策的事實根據(jù)
條例第1條規(guī)定,制定條例的目的是“正確處理醫(yī)療事故,保護患者和醫(yī)療機構(gòu)及其醫(yī)務(wù)人員的合法權(quán)益,維護醫(yī)療秩序,保障醫(yī)療安全,促進醫(yī)學(xué)科學(xué)的發(fā)展”����。條例起草者衛(wèi)生部的匯報指出, 修改辦法的經(jīng)濟補償制度的原則是“既要使受損害的患者得到合理賠償,也要有利于我國醫(yī)療衛(wèi)生事業(yè)和醫(yī)學(xué)科學(xué)的健康發(fā)展”[45]��。答記者問的表述與衛(wèi)生部匯報的見解基本相同, 但更為直截了當(dāng)。它指出, 條例之所以要對賠償金額作出限制, 就是“為了推動醫(yī)療衛(wèi)生事業(yè)的發(fā)展和醫(yī)療技術(shù)的進步”, 換言之, 如果不對醫(yī)療事故的賠償范圍和標(biāo)準(zhǔn)作出現(xiàn)行條例所作出的限制, 如果法院對醫(yī)療事故引起的賠償案件適用體現(xiàn)了實際賠償原則的民法通則的規(guī)定, 那么, 我國醫(yī)療事業(yè)的發(fā)展和醫(yī)療技術(shù)的進步就會受到不利的影響[46]����。由此可見, 答記者問所強調(diào)的特殊立法政策的“特殊”之處, 亦即在賠償政策上條例與民法通則的不同之處,在于條例以保障和促進醫(yī)療事業(yè)的發(fā)展這一公共利益來限制患者或其遺屬原本根據(jù)民法通則所體現(xiàn)的實際賠償原則所可能得到的賠償這一個別利益�����。筆者在此將該政策簡稱為“公益限制賠償政策”�。
根據(jù)答記者問的說明, 條例所體現(xiàn)的公益限制賠償政策是以下述被政策制定者所認(rèn)定的四項事實為根據(jù)的。① 醫(yī)療行為具有較高的風(fēng)險性, ② 我國醫(yī)療行業(yè)具有公共福利性, ③ 我國醫(yī)療機構(gòu)的承受能力有限, ④ 我國的經(jīng)濟發(fā)展水平較低。對照條例起草者衛(wèi)生部的匯報可以發(fā)現(xiàn), 答記者問所提出的事實根據(jù)論,除了其中的第①項似乎是答記者問自己的看法(筆者不知道衛(wèi)生部是否在其他正式場合表達(dá)過這樣的見解)以外,基本上反映了衛(wèi)生部在匯報中所表達(dá)的見解[47]���。
以下, 筆者對“公益限制賠償政策”的事實根據(jù)論進行分析和評論��。
(二) “公益限制賠償政策”的事實根據(jù)論的問題性
1. 醫(yī)療行為的高風(fēng)險性不能說明條例限制賠償?shù)恼?dāng)性�����。
答記者問沒有說明醫(yī)療行為的高風(fēng)險性與限制賠償?shù)降子泻侮P(guān)系。筆者在此姑且作出兩種推測[48],然后分別加以評論��。
(1) 答記者問也許是想說: 高風(fēng)險性這一客觀因素的存在, 降低了過失這一醫(yī)療侵權(quán)的主觀因素在賠償責(zé)任構(gòu)成中的意義。人們應(yīng)當(dāng)承認(rèn)以下兩個事實, ① 在醫(yī)療過程中, 即使醫(yī)務(wù)人員充分履行了注意義務(wù), 也未必能夠完全回避診療的失敗及由此引起的患者人身損害的發(fā)生; ② 即使醫(yī)務(wù)人員在實施醫(yī)療行為方面確實存在過失, 損害后果的發(fā)生也往往在一定程度上與該項醫(yī)療行為固有的風(fēng)險性存在一定的關(guān)系。因此, 在設(shè)計醫(yī)療事故損害賠償制度時, 應(yīng)當(dāng)考慮到醫(yī)療風(fēng)險這一客觀因素在損害形成中所起的作用, 不應(yīng)當(dāng)把在客觀上應(yīng)當(dāng)歸因于醫(yī)療風(fēng)險的那部分損失也算在醫(yī)療機構(gòu)的頭上����。條例對賠償數(shù)額作出限制反映了醫(yī)療事故損害與醫(yī)療風(fēng)險之間存在一定程度的關(guān)系這一事實, 因此是合情合理的,是正當(dāng)?shù)摹?/p>
筆者基于下述理由認(rèn)為, 上述推論是不能成立的���。① 醫(yī)療行為具有較高的風(fēng)險性這一事實認(rèn)定本身不能反映現(xiàn)實中的醫(yī)療行為與醫(yī)療風(fēng)險的關(guān)系的多樣性。現(xiàn)實情況是,醫(yī)療行為不僅種類極其繁多而且存在于醫(yī)療過程的各個階段各個環(huán)節(jié),有的可能具有高度的風(fēng)險( 比如確診率極低的沒有典型早期癥狀的某些疾病的早期診斷, 成功率極低的涉及人體某一重要器官的復(fù)雜手術(shù),對搶救患者生命雖然必要但嚴(yán)重副作用的發(fā)生可能性極高的急救措施)��,有的則可能幾乎沒有風(fēng)險(比如在遵守操作規(guī)范的情況下的一般注射��,常規(guī)檢驗���,醫(yī)療器械消毒��,藥房配藥,病房發(fā)藥等)② 這種推論誤解了醫(yī)療風(fēng)險與醫(yī)療事故民事責(zé)任的關(guān)系, 因而是根本說不通的���。眾所周知, 我國的醫(yī)療侵權(quán)責(zé)任制度實行過錯責(zé)任原則, 而非嚴(yán)格責(zé)任原則����。既然如此, 那么在醫(yī)療損害的發(fā)生被證明為與醫(yī)療過錯和醫(yī)療風(fēng)險(特指與醫(yī)療過錯無關(guān)的風(fēng)險)[49] 二者都有關(guān)系的場合, 醫(yī)療機構(gòu)只應(yīng)承擔(dān)與其醫(yī)療過錯在損害形成中所起的作用相應(yīng)的賠償責(zé)任����。在醫(yī)療侵權(quán)法上, 風(fēng)險因素與民事責(zé)任不是成正比而是成反比, 風(fēng)險因素對損害的形成所起的作用越大, 醫(yī)療機構(gòu)因其醫(yī)療過錯所承擔(dān)的賠償責(zé)任就越小����。醫(yī)療行為的高風(fēng)險性不是增加而是可能減輕醫(yī)療機構(gòu)民事責(zé)任的因素���。只有在適用嚴(yán)格責(zé)任原則的侵權(quán)領(lǐng)域, 高風(fēng)險性才可能成為增加民事責(zé)任的因素。
(2) 答記者問也許是想說, 如果事先不通過制定法(比如條例)對賠償范圍和數(shù)額作出必要的限制, 那么醫(yī)療機構(gòu)就會因害怕承擔(dān)其不愿意承擔(dān)或難以承擔(dān)的高額賠償責(zé)任而指示其醫(yī)務(wù)人員以風(fēng)險的有無或大小作為選擇治療方案的主要標(biāo)準(zhǔn),盡可能選擇無風(fēng)險或較小風(fēng)險的治療方案; 醫(yī)務(wù)人員在治療患者時就會縮手縮腳,不敢為了搶救患者的生命而冒必要的風(fēng)險, 患者的生命健康利益因此就可能得不到原本應(yīng)當(dāng)?shù)玫降尼t(yī)療保障。所以, 條例限制賠償標(biāo)準(zhǔn),有助于調(diào)動醫(yī)師救死扶傷的職業(yè)積極性, 最終將有利于患者疾病的救治���。筆者認(rèn)為, 這是一個似是而非的�����、嚴(yán)重脫離實際的推論, 因而也是沒有說服力的���。
① 在對賠償數(shù)額不作限制(尤其是不作低標(biāo)準(zhǔn)限制), 實行實際賠償原則的情況下,醫(yī)師果真會從積極變?yōu)橄麡O, 對患者該治的不治, 該救的不救, 該冒的險不敢冒嗎? 限制了賠償數(shù)額,醫(yī)師果真就會因此而積極工作, 勇于擔(dān)負(fù)起治病救人的重任嗎? 這一推論符合醫(yī)療侵權(quán)的實際狀況嗎? 依筆者之見, 在適用民法通則的實際賠償原則或賠償標(biāo)準(zhǔn)高于條例的人身損害賠償解釋的情況下, 醫(yī)師未必會因害怕出差錯•承擔(dān)較高的賠償責(zé)任而該治的不敢治, 該救的不敢救, 該冒的險不敢冒。因為在許多場合, 采取這種消極回避態(tài)度反而會導(dǎo)致醫(yī)療不作為或不完全作為所構(gòu)成的侵權(quán)��。不僅如此, 因為這種消極態(tài)度可能具有放任的性質(zhì), 因而在其導(dǎo)致的侵權(quán)的違法性程度上也許比工作馬虎或醫(yī)術(shù)不良所引起的延誤診療致人損害的侵權(quán)更為嚴(yán)重��。② 醫(yī)療的宗旨是治病救人, 因而是不考慮風(fēng)險違規(guī)亂干不行, 顧忌風(fēng)險違規(guī)不干也不行的典型行業(yè)。醫(yī)師必須遵循診療規(guī)范,充分履行注意義務(wù),盡善管理���。③ 限制或降低賠償標(biāo)準(zhǔn), 就算可能有調(diào)動醫(yī)師積極性減少消極行醫(yī)的效果, 也免不了產(chǎn)生降低醫(yī)師的責(zé)任感, 縱容違規(guī)亂干的嚴(yán)重副作用�����。④ 按照風(fēng)險論的邏輯, 條例規(guī)定的賠償制度還不如辦法規(guī)定的一次性經(jīng)濟補償制度; 對廣大患者而言, 他們的生命健康利益獲得醫(yī)療保障的程度在條例時代反而會降低, 因為醫(yī)務(wù)人員的救死扶傷的積極性由于條例( 較之辦法)加重醫(yī)療事故賠償責(zé)任而降低了����。
2. 即使我國醫(yī)療行業(yè)具有公共福利性質(zhì), 以此為據(jù)限制賠償也是根本沒有說服力的。
答記者問沒有(衛(wèi)生部匯報也沒有)具體說明我國醫(yī)療行業(yè)的公共福利性有何含意, 更未具體說明醫(yī)療行業(yè)的公共福利性與條例的限制賠償政策之間有何關(guān)系����。筆者在此參考有關(guān)的政策法規(guī)文件和一些文章中的議論[50], 分別對這兩個問題的內(nèi)容作出以下的推測��。
(1) 我國醫(yī)療行業(yè)的公共福利性主要表現(xiàn)在以下幾個方面�����。① 在我國醫(yī)療服務(wù)體系中占主導(dǎo)地位的公立醫(yī)療機構(gòu),是非營利性醫(yī)療機構(gòu),是公益事業(yè)單位,它們所提供的醫(yī)療服務(wù)對患者而言, 具有一定的福利性質(zhì)���。② 政府對公共醫(yī)療事業(yè)的財政投入將隨著經(jīng)濟的發(fā)展逐年增加。政府的財政投入為公共醫(yī)療事業(yè)的發(fā)展和醫(yī)療技術(shù)的進步, 從而為廣大患者能夠享受到更好的醫(yī)療服務(wù)創(chuàng)造了一定的物質(zhì)條件��。政府對非營利性醫(yī)療機構(gòu)實行稅收優(yōu)惠和合理補助的政策,為這些機構(gòu)的福利性醫(yī)療服務(wù)提供了一定的支持���。③ 政府為了增進廣大人民群眾的醫(yī)療福利, 減輕患者個人的醫(yī)療費用負(fù)擔(dān), 在城鎮(zhèn)為職工建立作為社會保障的基本醫(yī)療保險制度, 在農(nóng)村推行和資助合作醫(yī)療制度, 邦助越來越多的農(nóng)村居民在當(dāng)?shù)匾材艿玫交镜尼t(yī)療服務(wù)��。④ 政府考慮到廣大人民群眾的負(fù)擔(dān)能力, 對醫(yī)藥品市場價格和非營利性醫(yī)療機構(gòu)的醫(yī)療服務(wù)價格進行適當(dāng)?shù)目刂啤?/p>
(2) 醫(yī)療行業(yè)具有公共福利性這一事實, 決定了因醫(yī)療事故而發(fā)生的醫(yī)患之間的法律關(guān)系具有以下的特點��。① 它是在非自愿( 公共醫(yī)療服務(wù)的提供者在法律上有義務(wù)向需要的患者提供醫(yī)療服務(wù), 無正當(dāng)理由不得拒絕)的并且是非完全等價( 公共醫(yī)療服務(wù)的提供不以完全的等價有償為原則 ) 的基礎(chǔ)上進行利益交換( 患者仍需支付一定的醫(yī)療費用) 的當(dāng)事者之間發(fā)生的賠償關(guān)系, 不同于在完全自愿•等價有償?shù)幕A(chǔ)上進行利益交換的當(dāng)事人即通常的民事活動當(dāng)事人之間發(fā)生的賠償關(guān)系��。② 它是提供醫(yī)療服務(wù)利益的醫(yī)療機構(gòu)和接受醫(yī)療服務(wù)利益的患者之間因前者的利益提供行為發(fā)生錯誤導(dǎo)致后者受到損失而引起的賠償關(guān)系, 換言之, 是好心人辦錯事引起的賠償關(guān)系, 不同于通常的侵犯他人合法權(quán)利所引起的賠償關(guān)系���。③ 它在事實上又是以作為公共醫(yī)療的投資者的政府為第三人( 賠償問題不僅可能影響到政府投資的效益,而且可能使政府投資本身受到損失)同時以利用該醫(yī)療機構(gòu)的廣大患者為第三人( 賠償問題可能影響到該醫(yī)療機構(gòu)的服務(wù)能力,從而影響到利用該醫(yī)療機構(gòu)的廣大患者的利益)的賠償關(guān)系, 不同于僅僅涉及當(dāng)事者雙方利益或至多涉及特定私人第三者利益的賠償關(guān)系��。
(3) 正是因為醫(yī)療行業(yè)具有公共福利性這一事實決定了因醫(yī)療事故而引起的醫(yī)患之間的賠償關(guān)系具有不同于通常的債務(wù)不履行或通常的侵權(quán)所引起的賠償關(guān)系的特征, 所以條例起草者才將該事實作為調(diào)整這種賠償關(guān)系的特殊政策的依據(jù)之一。如果不考慮醫(yī)療行業(yè)的公共福利性, 如果不以該事實為依據(jù)制定特殊的賠償政策, 而是完全根據(jù)或照搬民法通則所體現(xiàn)的實際賠償原則, 那么, 醫(yī)療事故賠償?shù)慕Y(jié)果, 不僅對于賠償義務(wù)人醫(yī)療機構(gòu)可能是不公正或不公平的, 而且會使國家利益和廣大患者群眾的利益受到不應(yīng)有的損害����。
筆者認(rèn)為, 上述見解(假定確實存在), 根本不能說明條例限制賠償政策的合理性�。
(1) 答記者問在論證限制賠償政策具有合理性時, 只提“我國醫(yī)療行業(yè)具有公共福利性”這一“事實”,不提我國的醫(yī)療行業(yè)和醫(yī)療服務(wù)在相當(dāng)范圍和相當(dāng)程度上已經(jīng)市場化和商品化, 我國的絕大多數(shù)公民還得不到醫(yī)療費負(fù)擔(dān)方面的最基本的社會保障這兩個有目共睹的現(xiàn)實����。這種論法很難說是實事求是的?��!拔覈t(yī)療行業(yè)具有公共福利性”這一事實認(rèn)定,本身就是非常片面的; 這一“事實”作為答記者問所支持的條例限制賠償政策的前提之一, 本身就是在很大程度上難以成立的。
① 眾所周知, 在條例起草和出臺之時, 更不用說在答記者問發(fā)表之時, 我國的醫(yī)療行業(yè)已經(jīng)在相當(dāng)范圍內(nèi)和相當(dāng)程度上實現(xiàn)了市場化����。第一, 從我國醫(yī)療行業(yè)的主體來看, 被官方文件定性為“非營利性公益事業(yè)”[51] 單位的公立醫(yī)療機構(gòu),在我國醫(yī)療服務(wù)體系中確實依然占據(jù)主導(dǎo)地位,它們所提供的基本醫(yī)療服務(wù)項目, 據(jù)說因其價格受到政府的控制, 所以對接受該服務(wù)的患者而言,具有一定程度的福利性。但是,在我國的醫(yī)療行業(yè), 非公立的完全營利性的醫(yī)療機構(gòu)早已出現(xiàn), 其數(shù)量以及其提供的醫(yī)療服務(wù)所占有的市場分額均有明顯的增長趨勢; 民間資本或外資與公立醫(yī)療機構(gòu)的各種形式的合資經(jīng)營也已經(jīng)成為常見的現(xiàn)象。它們擴大了完全商品化的醫(yī)療服務(wù)市場。由于它們所提供的醫(yī)療服務(wù), 在價格上是放開的, 所以對接受其服務(wù)的患者而言, 沒有福利性 ( 除非將來有一天把這類醫(yī)療服務(wù)也納入作為社會保障的醫(yī)療保險的范圍)�����。此外, 只有非營利性公立醫(yī)療機構(gòu)才是中央或地方財政投入及有關(guān)的財稅優(yōu)惠政策的實施對象。營利性醫(yī)療機構(gòu)當(dāng)然是自籌資金、完全自負(fù)盈虧的企業(yè)[52] ���。第二, 從公立醫(yī)療機構(gòu)提供的醫(yī)療服務(wù)的價格來看, 首先, 公立醫(yī)療機構(gòu)配售給患者的藥品和消耗性材料的價格往往高于或明顯高于市場零售價(換言之,實際上往往高于或明顯高于醫(yī)院采購成本和管理成本的總和), 具有明顯的營利性(據(jù)說其目的在于“以藥養(yǎng)醫(yī)”); 盡管醫(yī)療機構(gòu)所采購的一定范圍的藥品的市場價格受到政府價格政策的控制(以政府定價或政府指導(dǎo)價的方式), 但這種控制是為了保證基本醫(yī)藥商品的質(zhì)價相符, 防止生產(chǎn)或銷售企業(yè)設(shè)定虛高價格 (明顯高于生產(chǎn)經(jīng)營成本和合理利潤的總和的價格即暴利價格) 謀取不適當(dāng)?shù)母哳~利潤[53]。因此這種政府控制價格與計劃經(jīng)濟時代的計劃價格有本質(zhì)的不同, 并非像有些人所說的那樣是低于市場價格的價格即所謂“低價”, 而是比較合理的市場價格。所以, 這種價格控制, 雖然有利于消費者或患者正當(dāng)利益的保障, 但并沒有任何意義上的福利性�����。其次, 基本診療服務(wù)項目( 比如普通門診和急診; 一定范圍的檢驗和手術(shù); 普通病房等一定范圍的醫(yī)療設(shè)施及設(shè)備的利用)的價格, 雖然在一定程度上受到政府價格政策的控制, 因而也許可以被認(rèn)為具有一定程度的福利性, 但具有明顯的收益性或營利性( 即所謂創(chuàng)收 )的醫(yī)保對象外的五花八門的高收費醫(yī)療服務(wù)( 比如高級專家門診、特約診療卡服務(wù)�����、特需病房�、外賓病房等)在較高等級的許多公立醫(yī)療機構(gòu)(尤其是三級甲等醫(yī)院)中早已出現(xiàn)并有擴大的趨勢�。此外, 在許多醫(yī)療機構(gòu)中, 原本屬于護理業(yè)務(wù)范圍內(nèi)的一部分工作也已經(jīng)由完全按市場價格向患者收費的護工服務(wù)所替代�。所以, 被官方定性為非營利性公益事業(yè)單位的公立醫(yī)療機構(gòu),在事實上正在愈益廣泛地向患者提供沒有福利性的甚至完全收益性或營利性的醫(yī)療服務(wù)�����。
② 從患者負(fù)擔(dān)醫(yī)療費用的情況來看,第一, 加入了基本醫(yī)保的患者,一般除了必須自付一定比例的醫(yī)療費用外,還須支付超出其醫(yī)保限額的醫(yī)療費用�。他們選擇醫(yī)保定點醫(yī)療機構(gòu)所提供的醫(yī)保對象外的醫(yī)療服務(wù),或選擇定點醫(yī)保醫(yī)療機構(gòu)以外的醫(yī)療機構(gòu)(包括營利性醫(yī)療機構(gòu))所提供的醫(yī)療服務(wù),因而完全自付醫(yī)療費的情況并不少見�。同樣是享受醫(yī)保的患者,其享受醫(yī)保的程度即自付醫(yī)療費占實際醫(yī)療費的比例可能不同; 符合特殊條件的一小部分患者,則可能基本上或完全免付遠(yuǎn)遠(yuǎn)大于一般醫(yī)保患者所能免付的范圍的醫(yī)療費[54]�����。第二, 更為重要的事實是, 我國所建立的社會基本醫(yī)保制度,不是以全體居民為對象的醫(yī)療保險制度(比如日本的國民健康保險制度),而是僅僅以城鎮(zhèn)的職工(城鎮(zhèn)中的所有用人單位的職工)本人為對象的醫(yī)保制度[55],加入者的人數(shù)至今還不滿我國總?cè)丝诘氖种籟56]�。換言之, 我國城鎮(zhèn)的相當(dāng)數(shù)量的居民和農(nóng)村的所有居民是不能享受基本醫(yī)保的(即完全自費的或幾乎完全自費的)社會群體(除非加入了商業(yè)醫(yī)保,但商業(yè)醫(yī)保不具有福利性)。政府雖然已決定在農(nóng)村建立由農(nóng)民個人繳費•集體扶持•政府資助的合作醫(yī)療制度,但由于種種原因,且不說這一制度才剛剛開始進行個別的試點(更不用說在一些貧困地區(qū),甚至連最基本的醫(yī)療服務(wù)設(shè)施也不存在),就是全面鋪開,它為廣大農(nóng)村居民所可能提供的醫(yī)療保障的程度也是極其微薄的[57]。要言之, 答記者問和衛(wèi)生部匯報所強調(diào)的醫(yī)療行業(yè)的公共福利性,對于我國的絕大多數(shù)居民來說, 即使在某種意義上(比如公立醫(yī)療機構(gòu)的部分診療服務(wù)的價格受到政府的控制)也許可以被理解為存在,也只是非常有限的,微不足道的。
筆者之所以強調(diào)上述兩個方面的事實, 并非為了批評現(xiàn)行的醫(yī)療福利政策, 而僅僅是為了指出以下兩個多樣性的存在����。第一個多樣性是醫(yī)療行業(yè)或醫(yī)療服務(wù)與醫(yī)療福利的關(guān)系的多樣性�。醫(yī)療行業(yè)既存在福利因素又存在非福利因素, 既存在公益因素又存在營利因素; 有的醫(yī)療服務(wù)具有福利性,有的醫(yī)療服務(wù)則沒有福利性; 有的醫(yī)療服務(wù)具有較高程度的福利性, 有的醫(yī)療服務(wù)只有較低程度的福利性����。第二個多樣性是患者與醫(yī)療福利政策的關(guān)系的多樣性�。有的患者能夠享受較多的醫(yī)療福利, 有的患者則只能享受較少的醫(yī)療福利, 有的患者則完全不能享受醫(yī)療福利; 能夠享受醫(yī)療福利的患者既有可能選擇具有福利性的醫(yī)療服務(wù), 也有可能選擇沒有福利性的醫(yī)療服務(wù); 享受基本醫(yī)保的不同患者所享受的醫(yī)保利益又可能存在種種差別甚至是巨大的差別。據(jù)此, 我們應(yīng)當(dāng)承認(rèn), 支持醫(yī)療事故賠償限制政策的公共福利論無視這兩個方面的多樣性, 嚴(yán)重脫離了現(xiàn)實, 因而沒有充分的說服力。
(2) 即使醫(yī)療行業(yè)所具有的公共福利性能夠成為限制福利性醫(yī)療服務(wù)享受者的醫(yī)療事故賠償請求權(quán)的正當(dāng)理由之一, 現(xiàn)行條例關(guān)于醫(yī)療事故賠償?shù)囊?guī)定, 由于沒有反映以上筆者所指出的患者與醫(yī)療福利政策的關(guān)系的多樣性這一有目共睹的客觀事實, 所以它不僅違反了條例起草者衛(wèi)生部所主張的公共福利論的邏輯, 而且從公共福利論的觀點看, 它又是顯失公正和公平的���。
① 根據(jù)公共福利論的邏輯, 條例原本應(yīng)當(dāng)將患者所接受的引起醫(yī)療事故的醫(yī)療服務(wù)與醫(yī)療福利的關(guān)系(即是否具有福利性, 具有多少程度的福利性)作為確定醫(yī)療事故的具體賠償數(shù)額的考慮因素之一, 原本應(yīng)當(dāng)采取賠償數(shù)額與自費程度成正比•與福利程度成反比的原則,使得自費程度較低的被害人較之自費程度較高的被害人,部分自費的被害人較之完全自費的被害人,在其他條件同等的情況下,獲得較低比例的賠償數(shù)額��。換言之, 使后者能夠獲得較高比例的賠償數(shù)額�。令人感到難以理解的是,條例竟然沒有作出這樣的規(guī)定(條例僅將醫(yī)療事故等級����、醫(yī)療過失行為在醫(yī)療事故損害后果中的責(zé)任程度��、醫(yī)療事故損害后果與患者原有疾病狀況之間的關(guān)系作為確定具體賠償金額時應(yīng)當(dāng)考慮的因素(第49條第1款))。
② 公正性是良好的法律制度的基本標(biāo)準(zhǔn)之一��。如果答記者問和衛(wèi)生部匯報所主張的公共福利論, 從所謂“患者能夠獲得的賠償數(shù)額與該患者自付的醫(yī)療費用應(yīng)當(dāng)實現(xiàn)某種程度的等價性”的觀點看, 確實還帶有那么點“公正性或公平性”的意味的話, 那么, 衛(wèi)生部在以我國醫(yī)療具有公共福利性為事實根據(jù)之一設(shè)計醫(yī)療事故的賠償制度時, 就應(yīng)當(dāng)充分注意患者與醫(yī)療服務(wù)福利性的關(guān)系的多樣性, 所設(shè)計的賠償制度就應(yīng)當(dāng)能夠保證各個醫(yī)療事故的被害患者都有可能按照所謂“等價性”原則獲得相應(yīng)數(shù)額的賠償��。很可惜, 現(xiàn)行條例的賠償規(guī)定在這個問題上犯了嚴(yán)重的一刀切的錯誤�����。說的極端一點, 它使得醫(yī)療費用自付率百分之百的患者, 在其他條件相同的情況下, 只能獲得醫(yī)療費用自付率幾乎接近于零的患者所能夠獲得的賠償數(shù)額��。
③ 從立法技術(shù)論上看, 衛(wèi)生部的失誤在于, 她將醫(yī)療服務(wù)的福利性這個因案而異•極具多樣化和個別化的事實,因而只能在各個案件的處理或裁判時才可能確定的事實,當(dāng)作她在制定統(tǒng)一適用的賠償標(biāo)準(zhǔn)時所依據(jù)的事實即所謂“立法事實”(具有一般性或唯一性并且在立法之時能夠確定或預(yù)見的事實)。衛(wèi)生部顯然沒有分清什么樣的事實屬于立法事實,可以被選擇作為立法的依據(jù), 什么樣的事實不屬于立法事實, 因而不應(yīng)當(dāng)被作為立法的依據(jù),只能被選擇作為法的實施機關(guān)在將法規(guī)范適用于特定案件時認(rèn)定或考慮的事實����?�;煜?是立法上的大忌。如果將后者作為前者加以利用而不是作為一個因素或情節(jié)指示法的實施機關(guān)在處理具體案件時加以認(rèn)定或考慮, 那么,制定出來的法就不僅會因其事實根據(jù)的不可靠而可能成為脫離實際的有片面性的法, 而且在其適用中可能成為不公正的法�。如前所述,為了避免條例制定的賠償標(biāo)準(zhǔn)在適用中引起明顯的不公正后果, 衛(wèi)生部原本(如果她認(rèn)為在政策上確實有此必要的話)應(yīng)當(dāng)將涉及福利性的問題作為醫(yī)療事故處理機關(guān)在具體確定賠償數(shù)額時應(yīng)當(dāng)考慮的因素之一,同醫(yī)療事故等級等因素一起,在條例第49條第1款中加以規(guī)定。 (3) 即使我國醫(yī)療行業(yè)具有相當(dāng)高度的、相當(dāng)廣泛的��、對不同的患者而言相當(dāng)均等的福利性( 比如達(dá)到了日本或一些歐州國家的程度), 以其為據(jù)限制醫(yī)療事故賠償也是沒有說服力的����。
① 生命健康權(quán)是人的最基本的權(quán)利, 理所當(dāng)然地受到現(xiàn)行憲法和一系列相關(guān)法律的保護��。充分保障這一權(quán)利, 建立具有適當(dāng)程度的公共福利性的醫(yī)療制度和社會保障制度, 使每一位居民, 不論其經(jīng)濟能力如何, 都能得到相當(dāng)質(zhì)量的必要的醫(yī)療服務(wù), 是政府在憲法上的責(zé)任��。我國醫(yī)療行業(yè)保留一定范圍和一定程度的公共福利性�,政府從財政上給予醫(yī)療事業(yè)必要的支持, 應(yīng)當(dāng)被理解為是人民權(quán)利的要求, 是政府對其憲法責(zé)任的履行, 而不應(yīng)當(dāng)被看成是政府對人民的恩惠�����。財政對醫(yī)療事業(yè)的投入, 并非來自政府自己的腰包, 而是人民自己創(chuàng)造的財富。在筆者看來, 以醫(yī)療行業(yè)的公共福利性為理由的醫(yī)療事故賠償限制論, 似乎缺少人民的憲法權(quán)利和政府的憲法義務(wù)這一基本的憲法意識, 自覺或不自覺地把醫(yī)療行業(yè)的公共福利性看成是政府通過醫(yī)療機構(gòu)的服務(wù)對百姓患者實施的恩惠。
② 如果說社會福利在有些資本主義國家(比如美國)的一個時期內(nèi), 曾被僅僅視為國家對社會的弱勢群體的特殊照顧或恩惠(不是被視為福利享受者的法律上的權(quán)利)的話, 那么就應(yīng)當(dāng)說在社會主義國家,它當(dāng)然應(yīng)當(dāng)被首先理解為國家性質(zhì)的必然要求����。我國只要還堅持宣告自己是社會主義性質(zhì)的國家, 就必須堅持這種理解����。以醫(yī)療行業(yè)的公共福利性為理由的醫(yī)療事故賠償限制論, 似乎缺少鮮明的社會主義觀念, 自覺或不自覺地把醫(yī)療福利僅僅理解為政府所采取的一種愛民利民政策�。
③ 任何社會福利政策,只有獲得了完全意義上的法律保障才可能真正為人民帶來切實可靠的福利。筆者在此所說的完全意義上的法律保障是指,不僅福利的提供要有法律保障, 而且在福利的享受者因福利的具體提供者的過錯而受到損害的情況下也要有充分的法律救濟的保障����。 否則, 提供福利的法律保障就失去了充分的現(xiàn)實意義, 人民享受的福利就只能是殘缺不全的福利��。以醫(yī)療行業(yè)的公共福利性為理由的醫(yī)療事故賠償限制論, 似乎缺少全面法律保障的觀點, 它弱化了法律救濟的機能, 使本來就程度很低•范圍很窄的醫(yī)療福利退化為殘缺不全的福利��。
④ 治病救人是醫(yī)療行業(yè)的根本宗旨, 嚴(yán)格遵守醫(yī)療規(guī)范�、盡職盡責(zé)為患者服務(wù)、關(guān)愛患者�����、 救死扶傷是醫(yī)務(wù)人員的神圣職責(zé)和法定義務(wù)(執(zhí)業(yè)醫(yī)師法第3條,第22條)����。患者托付給醫(yī)療機構(gòu)和醫(yī)務(wù)人員的是他們作為人的最為寶貴的健康和生命的命運�����。醫(yī)療事故恰恰是起因于醫(yī)療機構(gòu)或醫(yī)務(wù)人員的違規(guī)失職, 恰恰是背離了患者的期待和信賴, 恰恰是危害了患者的健康或生命�。對性質(zhì)在總體上如此嚴(yán)重的侵權(quán)損害, 如果認(rèn)為有必要設(shè)定賠償?shù)姆秶驑?biāo)準(zhǔn)的話, 毫無疑問, 至少不應(yīng)當(dāng)在范圍上小于�����、在標(biāo)準(zhǔn)上低于其它侵權(quán)損害賠償?shù)姆秶蜆?biāo)準(zhǔn)��。筆者百思不得其解的是, 醫(yī)療事故賠償限制論怎么會如此的“理性”, 理性到無視醫(yī)療事故侵權(quán)在總體上的嚴(yán)重性質(zhì), 理性到搬出諸如醫(yī)療的公共福利性�����、醫(yī)療服務(wù)的不等價性之類的似是而非的理論( 無論是土產(chǎn)的還是進口的)���。這些理論又怎么能夠證明限制醫(yī)療事故賠償?shù)暮侠硇曰蛘?dāng)性呢?
第2篇
關(guān)鍵詞:道路��;交通����;安全審計
Abstract: with the rapid growth of China's national economy, China's transportation construction has entered a rapid development stage. Traffic accidentsincrease gradually. In order to improve the level of road traffic safety of the whole traffic system, need to "road traffic safety audit" into the road network planning and design, to prevent traffic accidents, reduce the likelihood and severity of accidents caused.
Keywords: road; traffic safety audit;
中圖分類號:E232.6文獻標(biāo)識碼:A文章編號:2095-2104(2013)
一����、引言
隨著我國國民經(jīng)濟的迅速增長, 我國的交通建設(shè)也進入了快速發(fā)展階段���。到2012年底�,全國已建成通車的公路總里程達(dá)到423.75萬公里,其中高速公路通車?yán)锍桃堰_(dá)9.6萬公里。與此同時, 公路、特大型橋梁的整體設(shè)計施工技術(shù)水平也有了跨越式的提高, 并廣受世人矚目��。公路交通已由制約國民經(jīng)濟發(fā)展的階段向基本適應(yīng)轉(zhuǎn)化�����。我國的公路建設(shè)只用10 余年的時間就走過了西方發(fā)達(dá)國家?guī)资甑陌l(fā)展里程, 成績斐然���。
但是, 與西方發(fā)達(dá)國家經(jīng)過的歷程一樣, 伴隨著經(jīng)濟的迅猛增長, 我國的道路交通安全形勢也十分嚴(yán)峻����。隨著機動車數(shù)量的不斷增長�����,公路交通事故頻發(fā)已成為社會的一大公害����。以2011年為例�����,全國共接報涉及人員傷亡的道路交通事故210812起����,共造成62387人死亡���,直接財產(chǎn)損失達(dá)數(shù)十億元�����。交通死亡事故總數(shù)近幾年一直排名世界第一�����。而對于治理道路交通安全問題的措施��,在道路建設(shè)中實行道路安全審計則是有效預(yù)防交通事故的重要手段之一�。
二、交通安全審計的定義
道路安全審計是從預(yù)防交通事故��、降低事故產(chǎn)生的可能性和嚴(yán)重性入手,對道路項目建設(shè)的全過程���,即規(guī)劃��、設(shè)計����、施工和服務(wù)期進行全方位的安全審核����,從而揭示道路發(fā)生事故的潛在危險因素及安全性能���。道路安全審計可定義為�;由公正獨立����、有資質(zhì)的人員對涉及使用者的道路項目(已建或?qū)⒔椖?進行的正式審查�,以確定對道路使用者任何潛在的不安全特性或構(gòu)成威脅的運營安排����。安全審計的目標(biāo)是:確定項目潛在的安全隱患����;確?��?紤]了合適的安全對策����;使安全隱患得以消除或以較低的代價降低其負(fù)面影響���,避免道路成為事故多發(fā)路段�����;保證道路項目在規(guī)劃、設(shè)計、施工和運營各階段都考慮了使用者的安全需求。因而可以說道路安全審計的目的就是:保證現(xiàn)已運營或?qū)⒔ㄔO(shè)的道路項目都能為使用者提供較高實用標(biāo)準(zhǔn)的交通安全服務(wù)�。
三�����、道路安全審計的意義和經(jīng)濟效益
國內(nèi)外大量研究表明��,道路安全審計可有效地預(yù)防交通事故,降低交通事故數(shù)量及其嚴(yán)重程度,降低道路交通事故的人身賠償費用����,減少道路開通后改建完善和運營管理費用,提高路網(wǎng)的安全性�����;提升交通安全文化,提高道路管理部門和設(shè)計者的安全意識�。
道路安全審計的最大效益在于“只需用鉛筆改變設(shè)計線���,而不是到建成后再去搬動混凝土���;即使是建成后的道路需要搬動混凝土���,那么至少可以避免或減少搬動撞毀的汽車和傷亡的人員”。道路安全審計的費用和改變設(shè)計所花的費用�,要遠(yuǎn)遠(yuǎn)低于在項目建成以后才采取治理措施所需的費用。如果一條道路設(shè)計中有明顯的安全問題���,那么事故耗費將可能成為該項目的整個經(jīng)濟壽命中費用的最主要部分�;如果一條新建道路有安全問題��,又因為采取改動措施耗資巨大����,而采取了其他的補救措施,這將帶來一些不良后果——要么是持續(xù)的事故損失��,要么是由于通行量和車速受到限制而帶來的持續(xù)的經(jīng)濟損失。對社會而言����,在建造之前就避免問題的發(fā)生將是最經(jīng)濟的���。對于公路建設(shè)項目,盡可能減少治理措施��。將會降低預(yù)算開支,并且使資金的使用更為有效��。另外,對現(xiàn)有道路的安全評價將會大大降低事故的損失代價�����,從而明顯地節(jié)省開支。工程規(guī)范及指南為一個好的設(shè)計提供了一個好的開端�����。
道路安全審計���,應(yīng)當(dāng)被視為用來減少事故風(fēng)險的整個道路安全工程的一部分�����。資料表明,審計1個大型的新建工程���,會增加設(shè)計成本的 4 %~10 %。由于設(shè)計成本僅占工程投資的 5 %~6 %����,所以這部分投資的增加是很小的。道路安全審計的收益表現(xiàn)在減少交通事故上����,這些收益主要是指因為交通事故的避免和事故嚴(yán)重程度的減輕,大大降低了交通事故的賠償費用和道路建成后的維護改進費用��。
四���、道路安全審計的內(nèi)容及步驟
(一)道路安全審計是從道路因素方面著手,預(yù)防交通事故�、降低事故產(chǎn)生的可能性和嚴(yán)重性 ,對道路項目建設(shè)的全過程進行全方位的安全審核 ,從而揭示道路發(fā)生事故的潛在危險因素及安全性能 ,是國際上近期興起的以預(yù)防交通事故和提高道路交通安全為目的的一項新技術(shù)手段.
(二)道路安全審計是指對現(xiàn)有道路�、未來道路、交通工程以及與道路使用者有關(guān)的工程進行正式的審計�。審計的對象既包括擬建的道路項目,又包括已有各種不同類型的道路及設(shè)施�����;既可以是大型的、綜合性的高速公路項目���,又可以是小型的���,如1個道路交叉口或1個限速檻���。
(三)道路安全審計要貫穿于項目的規(guī)劃�����、設(shè)計�、施工和營運期的整個過程中���。道路設(shè)計建設(shè)程序可將擬建道路安全審計劃分為五個階段:可行性階段�����、初步設(shè)計階段、施工圖設(shè)計階段、預(yù)通車階段和通車后安全審計�����。其中每個階段審計均是一次完整的審計過程���,每個階段都應(yīng)嚴(yán)格按照安全審計的實施步驟并參照審計條目來執(zhí)行��。審計清單是作為道路安全審計的輔助手段,是有關(guān)道路方面知識和經(jīng)驗的綜合產(chǎn)物����,可使審計者在安全審計時免于遺漏某些重要的東西,同時也可使設(shè)計者在設(shè)計時發(fā)現(xiàn)潛在安全問題。道路安全審計表單內(nèi)容的關(guān)聯(lián)因素具體表現(xiàn)為道路及其環(huán)境因素對交通安全的影響�,與交通安全相關(guān)的道路及其環(huán)境因素有許多,項目通過不同等級公路�����、在不同道路影響因素的各個方面進行了分析與研究�。研究結(jié)果表明:道路的種類與規(guī)格�、路線和線形�����、路基路面�����、交通工程設(shè)施等與道路交通安全的關(guān)聯(lián)緊密�����。因此,對道路進行安全審計時,應(yīng)當(dāng)分別從工程的整體情況��、路線線形����、路基路面、橋梁涵洞、平面交叉�、立體交叉����、隧道����、交通工程及沿線設(shè)施、環(huán)境因素����、道路使用者����、出入口和周邊開發(fā)地區(qū)等方面來進行���。
(四)道路安全審計的每個實施階段都是一個完整的審計過程�����,應(yīng)當(dāng)依次執(zhí)行選擇審計隊伍����、收集背景信息��、開工會議�����、評價分析、現(xiàn)場考察�����、編寫審計報告、完工會議��、跟蹤測評的步驟��。每個步驟中的工作內(nèi)容必須與具體審計項目的性質(zhì)和規(guī)模相適應(yīng)�����。對于規(guī)模較小、交通安全問題較清楚的項目�,有的步驟可以簡化�����,但不能省略,且總的流程次序不能改變�����。例如�,對一些小規(guī)模項目的審計就不需要召開專門的開工會議�����,只需幾個電話通知聯(lián)絡(luò)一下即可,而且審計組提交的書面報告也應(yīng)當(dāng)盡可能的簡潔�;而對于一個大型道路項目的安全審計�����,其過程可能會包括若干次會議�����、大量的計劃以及詳細(xì)的最終審計報告。
第3篇
關(guān)鍵詞:數(shù)據(jù)庫����;安全審計����;安全插件
中圖分類號:TP311.13
數(shù)據(jù)庫系統(tǒng)信息規(guī)模化發(fā)展勢頭強勁����,數(shù)據(jù)庫的應(yīng)用日益廣泛���,涉及到銅礦產(chǎn)業(yè)方方面面����,給公司帶來了實實在在的收益,同時也深刻反映了公司對信息系統(tǒng)的巨大依賴性,對產(chǎn)業(yè)研究和生產(chǎn)起到了重要的引導(dǎo)作用,當(dāng)今數(shù)據(jù)庫的安全問題變得尤為重要。
1 數(shù)據(jù)庫安全總體架構(gòu)
1.1 數(shù)據(jù)庫系統(tǒng)設(shè)計思路
數(shù)據(jù)庫安全系統(tǒng)的重點是解決安全審計和安全插件問題����,對來自網(wǎng)絡(luò)和本地的用戶對數(shù)據(jù)庫的操作行為進行審計����,及時識別和發(fā)現(xiàn)其中是否對數(shù)據(jù)庫系統(tǒng)構(gòu)成威脅,系統(tǒng)提出了用安全插件來提高數(shù)據(jù)庫安全性的設(shè)計方案��。安全插件采用阻斷非法用戶訪問進入系統(tǒng)來保障數(shù)據(jù)庫信息的安全性和可控性���。
1.2 數(shù)據(jù)庫系統(tǒng)設(shè)計目標(biāo)
(1)高安全性:對于一些重要的機密的數(shù)據(jù),足夠的加密強度�����,在共享環(huán)境下保證數(shù)據(jù)所有者的安全����。
(2)統(tǒng)一審計:對日志數(shù)據(jù)庫進行統(tǒng)一審計、客戶端訪問數(shù)據(jù)庫集中控制�����;事后可以整合信息分析導(dǎo)致數(shù)據(jù)庫出現(xiàn)異常的一系列行為�����,追蹤攻擊者的來源提供依據(jù)��。
(3)權(quán)限管理:將管理權(quán)限集中管理����,由系統(tǒng)安全審計引擎統(tǒng)一進行設(shè)置��、解析�����。
1.3 方案總體設(shè)計
數(shù)據(jù)庫安全系統(tǒng)總體構(gòu)架見圖1
圖1
數(shù)據(jù)庫安全審計系統(tǒng)是通過以網(wǎng)絡(luò)審計為主,兼容數(shù)據(jù)庫本地審計的方式。數(shù)據(jù)庫審計監(jiān)管系統(tǒng)將從網(wǎng)上采集到的信息包發(fā)送到前臺審計監(jiān)管平臺上的數(shù)據(jù)庫日志���,通過后臺的審計監(jiān)管服務(wù)器對數(shù)據(jù)包進行分析�����,為管理者和系統(tǒng)管理員提供及時、準(zhǔn)確�、詳細(xì)的數(shù)據(jù)異動信息�,發(fā)現(xiàn)工作中的越權(quán)、違規(guī)、過失����、惡意篡改等操作反饋在審計監(jiān)管管理平臺上�����,實現(xiàn)對數(shù)據(jù)庫系統(tǒng)安全狀況的全面審計,從而保障數(shù)據(jù)庫的安全.
安全插件是在數(shù)據(jù)庫管理系統(tǒng)外的安全防護罩��,登陸數(shù)據(jù)庫系統(tǒng)的用戶訪問應(yīng)用服務(wù)器時,系統(tǒng)自動彈出提示�����,用戶按照提示安裝安全插件����。安全插件截獲數(shù)據(jù)庫各種訪問接口的訪問請求���,對用戶訪問控制進行安全審核,將允許訪問的命令送到數(shù)據(jù)庫管理系統(tǒng),系統(tǒng)插件自動對用戶訪問行為做出安全級別的評價�����,根據(jù)安全級別評價的提示對用戶進行認(rèn)證和監(jiān)控控制�。如果系統(tǒng)發(fā)現(xiàn)非法用戶的指令�,則安全插件將自動切斷用戶對數(shù)據(jù)庫的。
1.4 數(shù)據(jù)庫系統(tǒng)技術(shù)路線
數(shù)據(jù)庫安全系統(tǒng)是采用自主研發(fā)安全插件與數(shù)據(jù)庫安全審計���,并與傳統(tǒng)系統(tǒng)相結(jié)合的路線���,解決支路安全設(shè)備的阻斷問題���。
(1)系統(tǒng)安全插件可自動獲取用戶的IP地址、MAC�����、PC名以及操作系統(tǒng)類別和系統(tǒng)軟件等信息,監(jiān)控中心發(fā)出指令����,防止非授權(quán)的用戶訪問數(shù)據(jù)庫系統(tǒng)���。安全插件具有超高安全性,卸載�����、刪除安全插件系統(tǒng)將自動彈出預(yù)警提示����,防止非法操作破壞系統(tǒng)的安全性。
(2)解決旁路安全產(chǎn)品的阻斷問題
本系統(tǒng)采用數(shù)據(jù)庫審計系統(tǒng)和安全插件的技術(shù)�����,可以成功解決旁路安全設(shè)備的阻斷問題���。即在用戶訪問數(shù)據(jù)庫前假設(shè)個“關(guān)卡”�����,所有要訪問數(shù)據(jù)庫的操作都需先經(jīng)過審計監(jiān)控系統(tǒng),只有審計監(jiān)控系統(tǒng)授權(quán)才能夠?qū)?shù)據(jù)庫進行訪問��。安全插件接收監(jiān)控系統(tǒng)的指令�,阻止非授權(quán)的用戶對數(shù)據(jù)庫服務(wù)器的訪問��。與數(shù)據(jù)庫審計系統(tǒng)進行聯(lián)動���,對數(shù)據(jù)庫用戶的越權(quán)訪問進行阻斷和報警���。
(3)系統(tǒng)集成與安全審計和安全插件的聯(lián)合應(yīng)用
數(shù)據(jù)庫系統(tǒng)安全創(chuàng)新之處在于:數(shù)據(jù)庫集成與安全審計和安全插件管理系統(tǒng)相結(jié)合�,做到系統(tǒng)兼容����、風(fēng)格一致��、界面協(xié)調(diào)。集成后的系統(tǒng)操作界面由兩部分組成:數(shù)據(jù)庫審計子系統(tǒng)和數(shù)據(jù)庫用戶管理子系統(tǒng)�,兩個子系統(tǒng)相得益彰,用戶操作快捷,方便系統(tǒng)管理��。
(4)系統(tǒng)的聯(lián)動
通過數(shù)據(jù)庫系統(tǒng)管理平成前、后臺審計的安全策略和若干審計引擎設(shè)置相結(jié)合的管理方式����,操作簡便快捷和安全性高。審計引擎作為數(shù)據(jù)庫安全的重要組成部分與審計監(jiān)管系統(tǒng)聯(lián)動�,對個別服務(wù)器終端作相應(yīng)的共享�。
1.5 數(shù)據(jù)庫系統(tǒng)功能實現(xiàn)
(1)支持對SQL Server、Oracle�、informix���、MYSQL數(shù)據(jù)庫類型的審計監(jiān)控分析�。
(2)系統(tǒng)提供用戶需要配置條件�。不同性質(zhì)的用戶可按一定的范圍對特定主機和特定網(wǎng)段進行監(jiān)控���,從而保證用戶能夠按照自己的需求實施監(jiān)控。
(3)系統(tǒng)支持?jǐn)?shù)據(jù)庫服務(wù)器的事件統(tǒng)計��、安全報警功能。
(4)數(shù)據(jù)庫系統(tǒng)可生成安全報表:直觀、簡潔��、豐富。
(5)系統(tǒng)采用多級用戶管理體系,包括系統(tǒng)管理員�����、普通管理員�、一般用戶三種權(quán)限用戶����,不同級別的用戶之間彼此制衡,保證了系統(tǒng)安全性和可控性.
2 系統(tǒng)應(yīng)用效果
自數(shù)據(jù)庫安全系統(tǒng)運行以來�����,自動提示用戶安裝的安全插件近70多個����,能夠?qū)ΡWo的數(shù)據(jù)庫服務(wù)器的訪問進行審計和監(jiān)控。數(shù)據(jù)庫安全系統(tǒng)對于科研和生產(chǎn)發(fā)揮了巨大的作用����,取得了很好的效果。
數(shù)據(jù)庫安全系統(tǒng)的實施較好地解決了信息資源的安全問題和可控問題���,主要體現(xiàn)在以下四個方面:
(1)在數(shù)據(jù)庫系統(tǒng)的外網(wǎng)增加了一道安全屏障��,實時監(jiān)控分析���,攔截非法用戶的入侵,通過數(shù)據(jù)庫系統(tǒng)審計平臺管理���,有效防止重要數(shù)據(jù)的破壞和泄漏。
控制非法用戶對數(shù)據(jù)庫系統(tǒng)強行的訪問�,全面記錄用戶對數(shù)據(jù)庫的所有操作行為����,通過系統(tǒng)安全插件提前預(yù)警�,杜絕用戶違規(guī)操作的問題��。
數(shù)據(jù)庫系統(tǒng)提供用戶查詢權(quán)限范圍內(nèi)的數(shù)據(jù)信息�����,通過日志列表查詢和事件列表查詢����,對每條事件信息進行審計,監(jiān)控分析用戶的具體操作行為是否對數(shù)據(jù)庫系統(tǒng)構(gòu)成威脅�����,并且導(dǎo)出系統(tǒng)原始數(shù)據(jù)為管理人員全面掌握數(shù)據(jù)庫資源安全使用情況提供科學(xué)的依據(jù).
可按時間周期來評定系統(tǒng)審計事件的強��、中�、弱三個級別的數(shù)量,以及日志數(shù)和會話的信息。
3 結(jié)語
數(shù)據(jù)庫安全系統(tǒng)伴隨著網(wǎng)絡(luò)的更高層次利用�,需要進一步加強信息資源安全審計和監(jiān)控�����,數(shù)據(jù)庫系統(tǒng)安全管理是一項長期而艱巨的工作�����。信息安全是涉及公司產(chǎn)業(yè)發(fā)展和公司安全的重大問題��。數(shù)據(jù)庫安全系統(tǒng)部署了審計數(shù)據(jù)處理中心��、安全管理系統(tǒng)控制臺、多臺數(shù)據(jù)庫審計系統(tǒng)�����、及大量的數(shù)據(jù)庫安全插件,保障數(shù)據(jù)庫信息的有效性和合法性�。規(guī)范了用戶訪問行為,加強了安全審計����、風(fēng)險級別評價工作����,從而更有力保障數(shù)據(jù)庫系統(tǒng)的安全。
參考文獻:
[1]王永祥.論企業(yè)數(shù)據(jù)安全保護方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用���,2011(61):13-14.
第4篇
【關(guān)鍵詞】網(wǎng)絡(luò)安全邊界
一、基礎(chǔ)設(shè)施安全
全網(wǎng)系統(tǒng)基礎(chǔ)設(shè)施安全就是網(wǎng)絡(luò)平臺全部子系統(tǒng)的安全�����。為確保全網(wǎng)系統(tǒng)網(wǎng)絡(luò)平臺的長期穩(wěn)定運行����,建議部署網(wǎng)絡(luò)管理系統(tǒng)���,對整全網(wǎng)系統(tǒng)網(wǎng)絡(luò)平臺進行統(tǒng)一的管理���。同時需要對網(wǎng)絡(luò)設(shè)備進行安全配置����。
1.1網(wǎng)絡(luò)管理中心
為了全網(wǎng)系統(tǒng)網(wǎng)絡(luò)在日常維護和處理事件時能做到全面、直觀、及時。能夠?qū)W(wǎng)絡(luò)進行統(tǒng)一的管理,需要有一個統(tǒng)一的網(wǎng)絡(luò)安全管理平臺�����,能夠內(nèi)嵌和調(diào)用相關(guān)產(chǎn)品的監(jiān)管系統(tǒng)����,通過遠(yuǎn)程對不同設(shè)備進行實時監(jiān)控和分析�����,監(jiān)控這些設(shè)備的硬件狀態(tài)、網(wǎng)絡(luò)流量、異常�����、故障等狀態(tài)信息����,并提取這些信息,按既定的策略進行分析��,最終以直觀的方式展示出來����,使管理者實時直觀的了解全網(wǎng)運行情況��。同時還可以設(shè)定相關(guān)的報警功能����,設(shè)定一定的策略����,當(dāng)出發(fā)策略被激活后自動以各種方式進行報警����,并及時自動通知和提示管理者的問題所在及相應(yīng)的決策支持信息��。
一套完全集成的、能夠支持多平臺基礎(chǔ)結(jié)構(gòu)、能夠容納第三方產(chǎn)品并且提供開放標(biāo)準(zhǔn)的管理工具是網(wǎng)絡(luò)監(jiān)管所必須的���。目前流行的網(wǎng)管平臺有兩種類型�,即基于SNMP的網(wǎng)管平臺和基于CMIP的網(wǎng)管平臺,其中前者主要用于計算機網(wǎng)絡(luò)和系統(tǒng)的管理�,后者用于電信網(wǎng)絡(luò)的管理。
1.2核心入侵檢測
由于全網(wǎng)上傳輸?shù)男畔?shù)據(jù)量大���,帶寬要求高�����,同時對各級核心IDS的性能和穩(wěn)定要求也非常的高,所以對于IDS檢測引擎要求必須選型為千兆的高速引擎����,并且部署方式為分布式,支持IDS管理中心的統(tǒng)一管理�。通過采用千兆的核心IDS系統(tǒng)�����,可以在漏報率極低的情況下進行實時檢測,保證全網(wǎng)系統(tǒng)各級中心主干網(wǎng)的安全�。各級核心IDS的部署是保證全網(wǎng)系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)安全的基本監(jiān)控措施。
二、全網(wǎng)邊界安全
邊界安全措施是任何一個信息系統(tǒng)的基本安全措施����,也是保障全網(wǎng)系統(tǒng)安全的第一步���。全網(wǎng)系統(tǒng)的邊界安全措施主要包括三個方面:邊界的定義��、邊界的隔離和訪問控制、邊界的入侵檢測�。
2.1邊界定義
安全訪問控制的前提是必須合理的建立安全域�����,根據(jù)不同的安全需求建立不同的安全域��。安全域的建立可以從物理上和邏輯上分別劃分安全域���。在物理上將信息系統(tǒng)從地域上獨立出來,劃分不同物理區(qū)域���。在邏輯上將信息系統(tǒng)或用戶分組,指定不同的訪問權(quán)限��。
安全域邊界定義對目前及日后全網(wǎng)系統(tǒng)的安全運行都是非常重要的因素����,同時也是建立全網(wǎng)系統(tǒng)等級保護安全保障體系的基礎(chǔ)措施。只有合理的劃分了安全域����,才能有效的采取系統(tǒng)分域技術(shù)手段保證全網(wǎng)系統(tǒng)的安全�����。
2.2邊界隔離和訪問控制
安全域定義完成后�����,就是如何設(shè)計各安全域間的邊界控制問題�。一般對于邊界的控制主要有兩種,物理隔離和邏輯隔離����。針對全網(wǎng)的信息交換需求,安全域間通過防火墻實現(xiàn)邊界隔離��。這是用在信任網(wǎng)絡(luò)和不信任網(wǎng)絡(luò)之間的一種訪問控制技術(shù)��,主要有應(yīng)用��、包過濾兩種形式的防火墻設(shè)備��。
利用防火墻的目的主要有兩個:一是控制全網(wǎng)系統(tǒng)各級網(wǎng)絡(luò)用戶之間的相互訪問����,規(guī)劃網(wǎng)絡(luò)的信息流向����,另一個目的是起到一定的隔離作用�����,一旦某一子網(wǎng)發(fā)生安全事故���,避免波及其他子網(wǎng)。
2.3邊界入侵行為檢測
由于我國信息化起步較晚,在網(wǎng)絡(luò)安全概念里�,許多人都認(rèn)為網(wǎng)絡(luò)安全就是為網(wǎng)絡(luò)增配配防火墻���,至今許多單位依然是這樣實施的�����。這種想法是不全面的���,防火墻的部署���,僅能在網(wǎng)絡(luò)邊界起到安全作用,防火墻是主要是為了防止網(wǎng)絡(luò)外部的入侵��,等同于網(wǎng)絡(luò)的第一道關(guān)卡。只能阻止來自外部的部分通用型攻擊��;不能對內(nèi)部進行防范,而堡壘往往是從內(nèi)部攻破的����,而這去正好是防火墻的盲區(qū)。這就需要有專用設(shè)備彌補不足���,在全網(wǎng)的關(guān)鍵位置部署入侵防御系統(tǒng)(IPS)����,對所有通過的數(shù)據(jù)進行監(jiān)控和分析�,為網(wǎng)絡(luò)安全提供既時有效的入侵防范�,并采取有針對性的有效防護手段���。
第5篇
關(guān)鍵詞: 涉密網(wǎng)絡(luò)�;安全審計�;主機審計;系統(tǒng)設(shè)計
1 引 言
隨著網(wǎng)絡(luò)與信息系統(tǒng)的廣泛使用��,網(wǎng)絡(luò)與信息系統(tǒng)安全問題逐漸成為人們關(guān)注的焦點�����。
涉密網(wǎng)與因特網(wǎng)之間一般采取了物理隔離的安全措施�,在一定程度上保證了內(nèi)部網(wǎng)絡(luò)的安全性。然而��,網(wǎng)絡(luò)安全管理人員仍然會對所管理網(wǎng)絡(luò)的安全狀況感到擔(dān)憂,因為整個網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)往往出現(xiàn)在終端用戶��。網(wǎng)絡(luò)安全存在著“木桶”效應(yīng),單個用戶計算機的安全性不足時刻威脅著整個網(wǎng)絡(luò)的安全[ 1 ] ����。如何加強對終端用戶計算機的安全管理成為一個急待解決的問題。
本文從系統(tǒng)的、整體的�����、動態(tài)的角度,參照國家對安全審計產(chǎn)品的技術(shù)要求和對部分主機審計軟件的了解�,結(jié)合實際的信息安全管理需求�,討論主機審計系統(tǒng)的設(shè)計��,達(dá)到對終端用戶的有效管理和控制。
2 安全審計概念��。
計算機網(wǎng)絡(luò)信息系統(tǒng)中信息的機密性、完整性����、可控性、可用性和不可否認(rèn)性��,簡稱“五性”,安全審計是這“五性”的重要保障之一[2 ] ��。
凡是對于網(wǎng)絡(luò)信息系統(tǒng)的薄弱環(huán)節(jié)進行測試�����、評估和分析,以找到極佳途徑在最大限度保障安全的基礎(chǔ)上使得業(yè)務(wù)正常運行的一切行為和手段�����,都可以叫做安全審計[3 ] �����。
傳統(tǒng)的安全審計多為“日志記錄”����,注重事后的審計�,強調(diào)審計的威懾作用和安全事件的可核查性����。隨著國家信息安全政策的改變,美國首先在信息保障技術(shù)框架( IA TF) 中提出在信息基礎(chǔ)設(shè)置中進行所謂“深層防御策略(Defense2in2Dept h St rategy) ”����,對安全審計系統(tǒng)提出了參與主動保護和主動響應(yīng)的要求[4 ] ��。這就是現(xiàn)代網(wǎng)絡(luò)安全審計的雛形,突破了以往“日志記錄”
等淺層次的安全審計概念,是全方位����、分布式、多層次的強審計概念�,符合信息保障技術(shù)框架提出的保護、檢測���、反應(yīng)和恢復(fù)( PDRR) 動態(tài)過程的要求,在提高審計廣度和深度的基礎(chǔ)上����,做到對信息的主動保護和主動響應(yīng)���。
3 主機審計系統(tǒng)設(shè)計�����。
安全審計從技術(shù)上分為網(wǎng)絡(luò)審計、數(shù)據(jù)庫審計�、主機審計、應(yīng)用審計和綜合審計�。主機審計就是獲取���、記錄被審計主機的狀態(tài)信息和敏感操作����,并從已有的主機系統(tǒng)審計記錄中提取信息�,依據(jù)審計規(guī)則分析判斷是否有違規(guī)行為�。
一般網(wǎng)絡(luò)系統(tǒng)的主機審計多采用傳統(tǒng)的審計���,涉密系統(tǒng)的主機審計應(yīng)采用現(xiàn)代綜合審計����,做到對信息的主動保護和主動響應(yīng)�����。因此�����,涉密網(wǎng)絡(luò)的主機審計在設(shè)計時就應(yīng)該全方位進行考慮��。
3. 1 體系架構(gòu)。
主機審計系統(tǒng)由控制中心����、受控端����、管理端等三部分組成�。管理端和控制中心間為B/ S架構(gòu)�,管理端通過瀏覽器訪問控制中心���。對于管理端,其操作系統(tǒng)應(yīng)不限于Windows ��,瀏覽器也不是只有IE。管理端地位重要�,應(yīng)有一定保護措施,同時管理端和控制中心的通訊應(yīng)有安全保障�,可考慮隔離措施和SHTTP 協(xié)議���。
主機審計能夠分不同的角色來使用�����,至少劃分安全策略管理員、審計管理員��、系統(tǒng)管理員����。
安全策略管理員按照制定的監(jiān)控審計策略進行實施���;審計管理員負(fù)責(zé)定期審計收集的信息�����,根據(jù)策略判斷用戶行為(包括三個管理員的行為) 是否違規(guī)�����,出審計報告�;系統(tǒng)管理員負(fù)責(zé)分配安全策略管理員和審計管理員的權(quán)限。三員的任何操作系統(tǒng)有相應(yīng)記錄���,對系統(tǒng)的操作互相配合�,同時互相監(jiān)督�,既方便管理�����,又保證整個監(jiān)控體系和系統(tǒng)本身的安全?��?刂浦行氖菍徲嬒到y(tǒng)的核心�,所有信息都保存在控制中心��。因此���,控制中心的操作系統(tǒng)和數(shù)據(jù)庫最好是國內(nèi)自己研發(fā)的?���?刂浦行牡拇鎯臻g到一定限額時報警,提醒管理員及時備份并刪除信息���,保證審計系統(tǒng)能夠采集新的信息。
3. 2 安全策略管理��。
不同的安全策略得到的審計信息不同。安全策略與管理策略緊密掛鉤��,體現(xiàn)安全管理意志�����。在審計系統(tǒng)上實施安全策略前,應(yīng)根據(jù)安全管理思想�����,結(jié)合審計系統(tǒng)能夠?qū)崿F(xiàn)的技術(shù)途徑���,制定詳細(xì)的安全策略,由安全員按照安全策略具體實施。如安全策略可以分部門��、分小組制定并執(zhí)行����。安全策略越完善�����,審計越徹底����,越能反映主機的安全狀態(tài)。
主機審計的安全策略由控制中心統(tǒng)一管理���,策略發(fā)放采取推拉結(jié)合的方式����,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式���。當(dāng)安全策略發(fā)生更改時���,控制中心可以及時將策略發(fā)給受控端��。但是,當(dāng)受控端安裝了防火墻時�����,推送方式將受阻���,安全策略發(fā)送不到受控端�。由受控端向控制中心定期拉策略,可以保證受控端和控制中心的通訊不會因為安裝個人防火墻或其他認(rèn)證保護措施而中斷�。聯(lián)網(wǎng)主機(服務(wù)器��、聯(lián)網(wǎng)PC 機) 通過網(wǎng)絡(luò)接收控制中心的管理策略向控制中心傳遞審計信息����。單機(桌面PC 或筆記本) 通過外置磁介質(zhì)(如U 盤���、移動硬盤) 接收控制中心管理策略。審計信息存放在主機內(nèi)����,由管理員定期通過外置磁介質(zhì)將審計信息傳遞給控制中心���。所有通訊采用SSL 加密方式傳輸,確保數(shù)據(jù)在傳輸過程中不會被篡改或欺騙�。
為了防止受控端脫離控制中心管理,受控端程序應(yīng)由安全員統(tǒng)一安裝在受控主機���,并與受控主機的網(wǎng)卡地址���、IP 地址綁定。該程序做到不可隨意卸載���,不能隨意關(guān)閉審計服務(wù)�,且不影響受控端的運行性能�。受控端一旦安裝受控程序����,只有重裝操作系統(tǒng)或由安全員卸載���,才能脫離控制中心的管理。聯(lián)網(wǎng)時自動將信息傳到控制中心����,以保證審計服務(wù)不會被繞過。[ hi138\Com]
3. 3 審計主機范圍����。
涉密信息系統(tǒng)中的主機有聯(lián)網(wǎng)主機、單機等���。常用操作系統(tǒng)包括Windows 98 ,Windows2000 �����,Windows XP ,Linux ���,Unix 等�。主機審計系統(tǒng)的受控端支持裝有不同操作系統(tǒng)的聯(lián)網(wǎng)主機、單機等���,實現(xiàn)使用同一軟件解決聯(lián)網(wǎng)機、單機���、筆記本的審計問題��。
根據(jù)國家有關(guān)規(guī)定����,涉密信息系統(tǒng)劃分為不同安全域��。安全域可通過劃分虛擬網(wǎng)實現(xiàn),也可通過設(shè)置安全隔離設(shè)備(如防火墻) 實現(xiàn)�����。主機審計系統(tǒng)應(yīng)考慮不同安全域中主機的管理和控制�����,即能夠?qū)Σ煌W(wǎng)段的受控端和安裝了防火墻的受控端進行控制并將信息收集到控制中心�����,以便統(tǒng)一進行審計。同時能給出簡單網(wǎng)絡(luò)拓?fù)?,為管理人員提供方便�����。
3. 4 主機行為監(jiān)控���。
一般計算機使用人員對計算機軟硬件尤其是信息安全知識了解不多,不清楚計算機的安全狀態(tài)���。主機審計系統(tǒng)的受控端軟件應(yīng)具有主機安全狀態(tài)自檢功能,主要用于檢查終端的安全策略執(zhí)行情況���,包括補丁安裝����、弱口令��、軟件安裝�、殺毒軟件安裝等��,形成檢查報告����,讓使用人員對本機的安全狀況有一個清楚的認(rèn)識��,從而有針對性地采取措施��。自檢功能可由使用人員自行開啟或關(guān)閉�。檢查報告上傳給控制中心��。
主機審計系統(tǒng)對使用受控端主機人員的行為進行限制����、監(jiān)控和記錄�����,包括對文檔的修改��、拷貝�、打印的監(jiān)控和記錄�����,撥號上網(wǎng)行為的監(jiān)控和記錄���,各種外置接口的禁止或啟用(并口����、串口�����、USB 接口等) ��,對USB 設(shè)備進行分類管理�,如USB 存儲設(shè)備(U 盤,活動硬盤) �、USB 輸入設(shè)備(USB 鍵盤�����、鼠標(biāo)) 、USB2KEY以及自定義設(shè)備��。通過分類和靈活設(shè)置��,增強實用性�����,對受控主機添加和刪除設(shè)備進行監(jiān)控和記錄�,對未安裝受控端的主機接入網(wǎng)絡(luò)拒絕并報警���,防止非法主機的接入����。
主機審計系統(tǒng)對接入計算機的存儲介質(zhì)進行認(rèn)證、控制和報警�。做到經(jīng)過認(rèn)證的合法介質(zhì)可以從主機拷貝信息��;未通過認(rèn)證的非法介質(zhì)只能將信息拷入主機內(nèi)����,不能從主機拷出信息到介質(zhì)內(nèi)�,否則產(chǎn)生報警信息,防止信息被有意或者無意從存儲設(shè)備(尤其是移動存儲設(shè)備) 泄漏出去����。在認(rèn)證時�����,把介質(zhì)分類標(biāo)識為非密、秘密����、機密��。當(dāng)合法介質(zhì)從主機拷貝信息時��,判斷信息密級(國家有關(guān)部門規(guī)定���,涉密信息必須有密級標(biāo)識) �,拒絕低密級介質(zhì)拷貝高密級信息����。
在認(rèn)證時�,把移動介質(zhì)編號,編號與使用人員對應(yīng)�����。移動介質(zhì)接入主機操作時記錄下移動介質(zhì)編號,以便審計時介質(zhì)與人對應(yīng)�����。涉密信息被拷貝時會自動加密存儲在移動介質(zhì)上���,加密存儲在移動介質(zhì)上的信息也只能在裝有受控端的主機上讀寫�,讀寫時自動解密���。認(rèn)證信息只有在移動介質(zhì)被格式化時才能清除��,否則無法刪除��。有防止系統(tǒng)自動讀取介質(zhì)內(nèi)文檔的功能���,避免移動介質(zhì)接在計算機上(無論是合法還是非法計算機) 被系統(tǒng)自動將所有文檔讀到計算機上。
3. 5 綜合審計及處理措施����。
要達(dá)到綜合審計�,主機審計系統(tǒng)需要通過標(biāo)準(zhǔn)接口對多種類型��、多個品牌的安全產(chǎn)品進行管理,如主機IDS���、主機防火墻�、防病毒軟件等,將這些安全產(chǎn)品的日志���、安全事件集中收集管理,實現(xiàn)日志的集中分析、審計與報告����。同時���,通過對安全事件的關(guān)聯(lián)分析,發(fā)現(xiàn)潛在的攻擊征兆和安全趨勢���,確保任何安全事件、事故得到及時的響應(yīng)和處理。把主機上一個個原本分離的網(wǎng)絡(luò)安全產(chǎn)品聯(lián)結(jié)成一個有機協(xié)作的整體����,實現(xiàn)主機安全管理過程實時狀態(tài)監(jiān)測�����、動態(tài)策略調(diào)整�����、綜合安全審計�����、數(shù)據(jù)關(guān)聯(lián)處理以及恰當(dāng)及時的威脅響應(yīng)�,從而有效提升用戶主機的可管理性和安全水平,為整體安全策略制定和實施提供可靠依據(jù)�����。
系統(tǒng)的安全隱患可以從審計報告反映出來�����,因此審計系統(tǒng)的審計報告是很重要的。審計報告應(yīng)將收集到的所有信息綜合審計�����,按要求顯示并打印出來���,能用圖形說明問題�����,能按標(biāo)準(zhǔn)格式(WORD���、HTML 、文本文件等) 輸出����。但是,審計信息數(shù)據(jù)多����,直接將收集的信息分類整理形成的報告不能很好的說明問題,還應(yīng)配合審計員的人工分析�。這些信息可以由審計員定期從控制中心數(shù)據(jù)庫備份恢復(fù)��。備份的數(shù)據(jù)自動加密,恢復(fù)時自動解密����。審計信息也可以刪除�,但是刪除操作只能由審計員發(fā)起����,經(jīng)安全員確認(rèn)后才執(zhí)行���,以保證審計信息的安全性、完整性�。
審計系統(tǒng)發(fā)現(xiàn)問題的修復(fù)措施一般有打補丁、停止服務(wù)����、升級或更換程序、去除特洛伊等后門程序�����、修改配置和權(quán)限����、專門的解決方案等����。為了保證所有主機都能得到有效地處理��,通過控制中心統(tǒng)一向受控端發(fā)送軟件升級包�����、軟件補丁��。發(fā)送時針對不同版本操作系統(tǒng)�,由受控端自行選擇是否自動執(zhí)行��。因為有些軟件升級包、軟件補丁與應(yīng)用程序有沖突�����,會影響終端用戶的工作。針對這種情況�,只能采取專門的解決方案��。
在復(fù)雜的網(wǎng)絡(luò)環(huán)境中��,一個涉密網(wǎng)往往由不同的操作系統(tǒng)����、服務(wù)器�����,防火墻和入侵檢測等眾多的安全產(chǎn)品組成。網(wǎng)絡(luò)一旦遭受攻擊后,專業(yè)人員會把不同日志系統(tǒng)里的日志提取出來進行分析����。不同系統(tǒng)的時間沒有經(jīng)過任何校準(zhǔn),會不必要地增加日志分析人員的工作量���。系統(tǒng)應(yīng)提供全網(wǎng)統(tǒng)一的時鐘服務(wù),將控制中心設(shè)置為標(biāo)準(zhǔn)時間�����,受控端在接收管理的同時�,與控制中心保持時間同步,實現(xiàn)審計系統(tǒng)的時間一致性,從而提供有效的入侵檢測和事后追查機制��。
4 結(jié)束語
涉密系統(tǒng)的終端安全管理是一個非常重要的問題��,也是一個復(fù)雜的問題�,涉及到多方面的因素�。本文從體系架構(gòu)�、安全策略管理、審計主機范圍、主機行為監(jiān)控��、綜合審計及處理措施等方面提出主機審計系統(tǒng)的設(shè)計思想,旨在與廣大同行交流���,共同推進主機審計系統(tǒng)的開發(fā)和研究�����,最終開發(fā)出一個全方位的符合涉密系統(tǒng)終端安全管理需求的系統(tǒng)。
參考文獻
[1 ] 網(wǎng)絡(luò)安全監(jiān)控平臺技術(shù)白皮書���。 北京理工大學(xué)信息安全與對抗技術(shù)研究中心,2005.
[2 ] 王雪來��。 涉密計算機信息系統(tǒng)的安全審計。 見:中國計算機學(xué)會信息保密專業(yè)委員會論文集����,13 :67 - 72.
第6篇
關(guān)鍵詞:企業(yè)安全審計系統(tǒng);模塊設(shè)計���;測試模型
中圖分類號:TP311 文獻標(biāo)識碼:A 文章編號:1009-3044(2016)22-0049-02
1 概述
隨著國家改革開放的不斷深入,互聯(lián)網(wǎng)的應(yīng)用深入到了企業(yè)工作中的各個方面����,企業(yè)發(fā)展面臨著前所未有的挑戰(zhàn)�。企業(yè)員工通過互聯(lián)網(wǎng)辦公的行為越來越多���,互聯(lián)網(wǎng)在方便企業(yè)員工的同時,也帶來了員工工作效率低下�、容易泄露企業(yè)秘密��,造成企業(yè)的網(wǎng)絡(luò)安全沒有保障,企業(yè)的信息資源網(wǎng)絡(luò)泄密等風(fēng)險���。企業(yè)安全掃描過程漫長、排查隱患不合理����、問題定位不精確�、掃描缺乏深度����、安全結(jié)論模糊等一系列業(yè)技術(shù)難題�����。這在很大程度上影響了公司的進一步發(fā)展����。本系統(tǒng)正是在這種背景之下提出的���。集中表現(xiàn)在以下幾個方面:
1)提高了企業(yè)的經(jīng)營質(zhì)量和效率��。
2)提高企業(yè)員工辦公的工作效率����,加強企業(yè)互聯(lián)網(wǎng)使用制度管理。
3)降低企業(yè)的人員管理成本���,減少人為因素和管理缺失造成的關(guān)鍵業(yè)務(wù)停頓造成的損失��。
4)降低企業(yè)泄密事件風(fēng)險,為企業(yè)的互聯(lián)網(wǎng)環(huán)境提供安全保障����。
5)管理部門應(yīng)加強對員工互聯(lián)網(wǎng)通信數(shù)據(jù)和通話內(nèi)容的監(jiān)管����、審計��。
2 企業(yè)安全審計系統(tǒng)的需求分析與設(shè)計
通過調(diào)查��,要求系統(tǒng)需要有以下功能��;1)有良好的人機界面����,有較好權(quán)限管理;2)系統(tǒng)操作簡單�,容易學(xué)習(xí)�,容易理解�����,快速上手使用系統(tǒng);3)系統(tǒng)數(shù)據(jù)安全加密、系統(tǒng)具有數(shù)據(jù)備份和數(shù)據(jù)還原功能����;4) 方便的全方位的數(shù)據(jù)查詢�����;5)審計數(shù)據(jù)的瀏覽和下載;6)企業(yè)工作電話的通話內(nèi)容錄制;7)非工作互聯(lián)網(wǎng)網(wǎng)絡(luò)站點的訪問�����;8)企業(yè)員工網(wǎng)絡(luò)數(shù)據(jù)瀏覽的統(tǒng)計和分析�。
通過對企業(yè)需求的分析得出���,需要設(shè)計的模塊為:系統(tǒng)狀態(tài)監(jiān)控、設(shè)置向?qū)?���、員工網(wǎng)絡(luò)行為監(jiān)控�、員工通話記錄�����、員工上網(wǎng)行為過濾�����、員工網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計分析、系統(tǒng)管理七大模塊���。
3 企業(yè)安全審計系統(tǒng)的模塊規(guī)劃與詳細(xì)設(shè)計
安全審計系統(tǒng)是一個典型的數(shù)據(jù)庫開發(fā)與應(yīng)用的程序,能夠通過互聯(lián)網(wǎng)上網(wǎng)的技術(shù)手段對員工互聯(lián)網(wǎng)行為進行監(jiān)督�、審計和管理���,避免企業(yè)重要信息資源泄露���,以及發(fā)生泄密事件后能夠溯源找到相關(guān)證據(jù)和原因提供技術(shù)層面的支持��。其相關(guān)的模塊等部分是本系統(tǒng)的重要組成部分,特此規(guī)劃本系統(tǒng)的功能模塊如下:
系統(tǒng)狀態(tài)監(jiān)控模塊
該模塊主要負(fù)責(zé)系統(tǒng)的接入方式��、數(shù)據(jù)來源的管理狀況��;員工網(wǎng)絡(luò)行為監(jiān)控的狀態(tài)和現(xiàn)在的工作模式��;員工通話記錄的監(jiān)控的啟用和停止?fàn)顟B(tài)���;員工上網(wǎng)行為過濾的啟用和停止?fàn)顟B(tài)。
設(shè)置向?qū)K
該模塊主要負(fù)責(zé)系統(tǒng)監(jiān)管內(nèi)容設(shè)置���、系統(tǒng)互聯(lián)網(wǎng)接入方式設(shè)置、系統(tǒng)用戶使用權(quán)限設(shè)置����、員工互聯(lián)網(wǎng)數(shù)據(jù)監(jiān)控設(shè)置�、員工通話記錄設(shè)置、員工上網(wǎng)行為過濾設(shè)置。
員工網(wǎng)絡(luò)行為監(jiān)控
該模塊主要負(fù)責(zé)對員工網(wǎng)絡(luò)行為監(jiān)控的基本設(shè)置�;啟用和停止監(jiān)控;網(wǎng)絡(luò)行為的回放�、審計和下載――支持對上網(wǎng)時間�、IP、URL����、MAC��、關(guān)鍵字�����、上網(wǎng)賬號���、上網(wǎng)電話、郵件類型進行回放�、審計和下載����。支持對http上傳、http下載��、https、smtp��、pop3�����、telnet、ftp����、qq、msn�����、skype��、微信�����、飛信��、qq傳輸文件�、web郵件傳輸、web網(wǎng)站訪問�、sohu微博�����、sina微博、其他未知協(xié)議跟蹤等具體的按協(xié)議分類的回放����、審計和下載;員工上網(wǎng)身份查詢����;員工網(wǎng)絡(luò)行為實時回放、審計和下載���。
員工通話記錄模塊
該模塊主要負(fù)責(zé)員工辦公室固定電話通話內(nèi)容回放;通話內(nèi)容記錄啟用和停止設(shè)置��。
員工上網(wǎng)行為過濾模塊
該模塊主要負(fù)責(zé)員工上網(wǎng)行為過濾規(guī)則的設(shè)置――支持對ip、mac�����、端口�、url、http�、組合策略(ip+端口����、mac+端口)等規(guī)則進行過濾和放行����;過濾行為啟用和停止設(shè)置�。
員工網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計和分析模塊
該模塊主要負(fù)責(zé)員工網(wǎng)絡(luò)數(shù)據(jù)時間統(tǒng)計和分析――支持對ip、mac�����、賬號的統(tǒng)計和分析�;員工網(wǎng)絡(luò)數(shù)據(jù)軌跡統(tǒng)計和分析――支持對ip�、mac、賬號的統(tǒng)計和分析�����;
系統(tǒng)管理模塊
該模塊主要負(fù)責(zé)權(quán)限管理、數(shù)據(jù)備份�、數(shù)據(jù)還原����、版本升級�����、設(shè)備狀態(tài)、關(guān)閉設(shè)備���、工具下載、操作日志審查�����。
其他功能模塊
該模塊主要負(fù)責(zé)系統(tǒng)版本信息�����、重新登錄、退出系統(tǒng)�����。
4 軟件開發(fā)過程
本系統(tǒng)的開發(fā)結(jié)合軟件信息系統(tǒng)的開發(fā)階段分為下面4個子階段:需求分析階段、架構(gòu)設(shè)計階段����、程序編碼階段���、系統(tǒng)測試和調(diào)試階段�。
1)分析階段
進行需求分析(requirement analysis):理解問題需求��,包括程序是否需要和用戶進行交互���,是否操縱數(shù)據(jù)���,是否有輸出結(jié)果以及輸出結(jié)果的格式等等�。如果程序需要對數(shù)據(jù)進行操作�,開發(fā)人員必須了解數(shù)據(jù)類型及它們的表示方法�����。這時候可能會接觸一些樣本數(shù)據(jù)�����。如果程序有輸出信息�,必須確定它們所生成的結(jié)果及輸出格式等�;如果需要解決的問題過于復(fù)雜,可以把它分解為多個子問題��,在對每個子問題做相應(yīng)的需求分析。
2)設(shè)計階段
結(jié)構(gòu)化設(shè)計方法
將一個問題分解為若干個子問題的方法叫做結(jié)構(gòu)化設(shè)計方法����。結(jié)構(gòu)化設(shè)計方法又叫做自頂向下的設(shè)計方法�、逐步求精方法和模塊化程序設(shè)計方法��。在結(jié)構(gòu)化設(shè)計方法中,問題被分解為若干子問題��,然后分別對每個子問題進行分析和求解。所有子問題的解合并起來就是原始問題的解��。使用結(jié)構(gòu)化設(shè)計方法進行編程就叫做結(jié)構(gòu)化程序設(shè)計���。
面向?qū)ο笤O(shè)計方法
在面向?qū)ο笤O(shè)計方法中��,求解問題的首要步驟是識別稱為“對象”的組件(它是運用該方法求解問題的基礎(chǔ))和確定對象之間如何進行交互��。對象包括數(shù)據(jù)和在數(shù)據(jù)上執(zhí)行的操作�����。對象可以看作數(shù)據(jù)和其上操作的統(tǒng)一體。使用面向?qū)ο蠓椒ň幊?�,最終的程序是交互對象的集合���。實現(xiàn)面向?qū)ο笤O(shè)計方法的編程語言叫做面向?qū)ο蟪绦蛟O(shè)計語言���。
3)編程階段
在編程階段�,編寫和編譯程序代碼��,以實現(xiàn)在設(shè)計階段分析得到的類和函數(shù)��。
4)測試和調(diào)試
系統(tǒng)測試是保證軟件開發(fā)質(zhì)量的主要手段,測試目的不在于找出錯誤����,而在于遍歷軟件系統(tǒng)各功能和邊界條件�,保障軟件系統(tǒng)的正常工作和運行,是評價系統(tǒng)軟件質(zhì)量的重要方法之一��。
5 軟件開發(fā)模型(方法)
本系統(tǒng)開發(fā)采用增量的軟件開發(fā)模型來實現(xiàn)系統(tǒng)各功能模塊。
1)瀑布模型
該模型嚴(yán)格按照需求分析�����、軟件設(shè)計����、程序編碼��、系統(tǒng)測試�、運行和維護一級一級的向下執(zhí)行���,每個階段必須經(jīng)過階段性評審,并通過評審���,再進入下一個開發(fā)階段��。
2)原型方法模型
在開發(fā)的早期階段����,系統(tǒng)需求不確定時采用����。通過一個簡單的功能實現(xiàn)系統(tǒng)再進一步確認(rèn)系統(tǒng)將要實現(xiàn)的各功能的一種開發(fā)模型。
3)增量模型(漸增模型)
結(jié)合了原型方法模型和瀑布模型的基本軟件開發(fā)階段���,該模型首先通過早期的原型系統(tǒng)建立的模型��,再進一步按照瀑布模型的各階段完成系統(tǒng)開發(fā)����。再次迭代原型系統(tǒng)模型和階段開發(fā)模型直至系統(tǒng)所有功能滿足用戶需求。
6 軟件測試與維護
1)軟件測試:
測試這個術(shù)語表示檢測程序的正確性���,即檢查程序是不是完成了需要完成的工作��。而調(diào)試一詞指����,如果程序存在錯誤��,如何找到并修改錯誤���。在每寫完一個函數(shù)或算法后���,接下來應(yīng)該驗證它是否正確工作。在復(fù)雜的大型程序中�����,錯誤是一定存在的。為了提高程序的可靠性,必須在交付用戶前發(fā)現(xiàn)并修改其中的錯誤�����。
測試有兩類方法,即:黑盒測試和白盒測試��。使用黑盒測試方法時,您不需要知道算法或函數(shù)的內(nèi)部實現(xiàn)����,只需要知道程序的功能即可黑盒測試是基于輸入輸出的方法�。它的測試用例通過創(chuàng)建等價類來選取。如果程序?qū)τ诘葍r類中的某個輸入的輸出結(jié)果是正確的話�,那么就認(rèn)為對應(yīng)該等價類中其他輸入也會輸出同樣的正確結(jié)果。白盒測試法需要測試人員遍歷測試程序的內(nèi)部邏輯結(jié)構(gòu)和業(yè)務(wù)處理流程的一種測試方法�。常見的白盒測試方法有:基本路徑測試、循環(huán)覆蓋測試、邏輯覆蓋測試���,測試的重點在于檢驗內(nèi)部邏輯結(jié)構(gòu)和業(yè)務(wù)實現(xiàn)流程。
2)軟件維護:軟件開發(fā)的工作的結(jié)果就是交付一個滿足用戶需求的軟件產(chǎn)品���。軟件產(chǎn)品一旦投入應(yīng)用����,產(chǎn)品的缺陷就會逐漸的暴露出來,運行的環(huán)境會逐漸發(fā)生變化����,新的用戶也會不斷地浮出水面。軟件維護就是要針對這些問題而對軟件產(chǎn)品進行相應(yīng)的修改或演化�,從而真正的修改錯誤��,改善性能或其他特征����。
軟件維護是整個軟件開發(fā)生命周期歷時最長得工作,主要是為了保障軟件系統(tǒng)的正常工作和運行直至軟件使用消亡或更新?lián)Q代����。軟件的維護主要可分為三種:改正性維護(糾正軟件存在的錯誤和缺陷)、適應(yīng)性維護(適應(yīng)內(nèi)����、外部環(huán)境)�����、完善性維護(添加����、擴容和升級新的軟件功能)���。
參考文獻:
[1] 沈備軍.軟件工程原理[M]. 北京:高等教育出版社�,2013.
[2] 張海藩,倪寧.軟件工程[M].北京:人民郵電出版社��,2010.
[3] 陳明.軟件工程導(dǎo)論[M].3版.北京:機械工業(yè)出版社��,2010.
[4] 錢曉明,朱健江�����,王曉勇.軟件工程[M].北京:中國鐵道出版社����,2007.
[5] 呂云翔,王昕鵬.軟件工程[M]. 北京:人民郵電出版社��,2009.
[6] Carig Larman.UML和模式應(yīng)用[M]. 3版. 北京:機械工業(yè)出版社�����,2006.
[7] Grady Booch.Object-Oriented Analysis and Design with Applications[M]. Addison Wesley Longman Publishing Co.����, Inc�����, 2003.
第7篇
【關(guān)鍵詞】電子政務(wù);平臺安全��;建設(shè)中圖分類號:TP39
文獻標(biāo)識碼:A
文章編號:1006-0278(2015)02-112-02
一���、基于安全的平臺物理構(gòu)架
數(shù)據(jù)安全的定義存在對立的兩個層而:一是針對數(shù)據(jù)本身的安全�����,數(shù)據(jù)本身的安全可以通過使用獨特的不為外人所知的密碼算法對數(shù)據(jù)信息進行加密;二是數(shù)據(jù)防護層而的安全��,它的主要方法是利用先進的儲存方式對數(shù)據(jù)進行防護,目前常用的儲存方式有磁盤陣列�����、數(shù)據(jù)備份、異地容災(zāi)等�����。通過對信息進行加密算法傳輸����,并且采取先進的儲存方式��,一般來講可以保證數(shù)據(jù)的安全���。
在數(shù)據(jù)的處理過程中可能會出現(xiàn)因為電路故障引起的硬件障礙����,服務(wù)中斷、程序的錯誤進行�����,以及人為的錯誤操作����,或者外部網(wǎng)絡(luò)的黑客入侵、病毒感染等問題而導(dǎo)致數(shù)據(jù)丟失或者數(shù)據(jù)庫受到破壞����。同時不同的數(shù)據(jù)只有擁有權(quán)限的人員才能瀏覽�,而有些不具備權(quán)限的人員進行瀏覽之后�,可能會出現(xiàn)數(shù)據(jù)外泄的情況����。
數(shù)據(jù)儲存也應(yīng)該具備安全性��。一些數(shù)據(jù)庫的運行是公開的���,這方而的編程人員通過一些常規(guī)手段,都能夠?qū)?shù)據(jù)庫中的信息進行瀏覽或閱讀�����,如果這些人中有人對數(shù)據(jù)進行了修改也是很正常的���。而一旦這些信息落入了非法訪問者手中�,那么就會使內(nèi)部信息外泄�,給整個系統(tǒng)帶來重大的威脅���。
數(shù)據(jù)安全具備以下特點:
1.機密性(Confidentiality)。機密性�,又稱保密性�����,是指信息的獲取需要一點的權(quán)限,不能被隨意獲得�����。在電腦程序中,網(wǎng)絡(luò)瀏覽器和一些網(wǎng)站都有加密設(shè)置����,這樣的目的是為了保證用戶信息的安全;2完整性(Integrity)��。完整性是指數(shù)據(jù)在傳送和儲存的過程中,數(shù)據(jù)信息不被非法用戶篡改或獲取�����,它是信息安全的二個基本要點之一����。完整性和保密性往往容易被混淆��。以普通RSA對數(shù)值信息加密為例,非法用戶如果沒有獲得授權(quán)���,也能夠通過保密文件的線性計算來對數(shù)值的信息進行更改�����。為保證信息的安全,通過散列函數(shù)和數(shù)字簽名可以對文件進行保護���;3可用性(Availability)���。數(shù)據(jù)可用性是指數(shù)據(jù)的可讀性���,它的設(shè)計理念是以使用者為中心,它的重點是根據(jù)使用者的要求對產(chǎn)品進行相應(yīng)的設(shè)計。
對信息安全的認(rèn)識經(jīng)歷了的數(shù)據(jù)安全階段(強調(diào)保密通信)���、網(wǎng)絡(luò)信息安全時代(強調(diào)網(wǎng)絡(luò)環(huán)境)和信息保障時代(強調(diào)不能被動地保護,需要有保護
檢測
反應(yīng)
恢復(fù)四個環(huán)節(jié))���。
二�����、平臺網(wǎng)絡(luò)安全威脅
能夠?qū)?shù)據(jù)的安全帶來威脅的因素是五花八門的��,而以下幾而方而的威脅是最為普遍的:
(一)硬盤驅(qū)動器損壞
硬盤驅(qū)動器一旦損壞�,通過這一驅(qū)動器運行的數(shù)據(jù)就會丟失。而設(shè)備運行過程中的損耗��、運行環(huán)境的破壞和存儲媒介的失效甚至是人為損害都會引起硬盤驅(qū)動器損壞。
(二)人為錯誤
人為操作錯誤的因素有可能造成系統(tǒng)運行參數(shù)的改變��,誤刪除一些重要文件����。
(三)黑客
黑客通過遠(yuǎn)程操作計算機可能對電腦進行一些不安全的更改,從而威脅計算機數(shù)據(jù)的安全��。
(四)病毒
病毒是大家目前熟悉的一種安全威脅�,病毒能夠?qū)τ嬎銠C系統(tǒng)造成很大的破壞。這幾年各種病毒的產(chǎn)生�,是大家對于病毒的危害的理解越來越深刻���,病毒的強感染性和強的傳播性是其成為了威脅系統(tǒng)安全的主要元兇��。
(五)信息竊取
信息的竊取是導(dǎo)致數(shù)據(jù)安全的又一大原因���,因為復(fù)制、盜取等手段會對計算機的數(shù)據(jù)造成威脅���。
(六)自然災(zāi)害
地震�����、火災(zāi)等無法預(yù)料的自然災(zāi)害會造成整個系統(tǒng)的覆滅���,從而帶來無法挽回的損失��。
(七)電源故障
電力的不穩(wěn)�,例如突然的斷電等故障會使硬盤設(shè)施中的數(shù)據(jù)丟失���。
(八)磁干擾
磁性較強的東西會對計算機數(shù)據(jù)造成毀滅性的的傷害。
三、平臺數(shù)據(jù)安全防護措施
電子數(shù)據(jù)安全審計是一個操作記錄�,主要記錄的是用戶在系統(tǒng)中進行的操作,這種做法的目的是為了在發(fā)現(xiàn)違規(guī)操作后���,能夠追查到責(zé)任人��。
電子數(shù)據(jù)安全審計過程可分成二步來實現(xiàn):第一步�,整理用戶對系統(tǒng)進行的操作,對操作過程進行記錄�����;第二步�����,根據(jù)操作的記錄分析是否存在違規(guī)行為;第三步�,發(fā)現(xiàn)問題����,采取處理措施��。
電子數(shù)據(jù)安全審計工作同防火墻等手段的意義是一樣的�。用戶在系統(tǒng)內(nèi)的計算機上進行的所有行為包括上下機的時間���,與系統(tǒng)內(nèi)的敏感的信息。數(shù)據(jù)的接觸都能夠在日志文件中查找到��,這一措施是為了對操作行為進行分析同時一旦發(fā)現(xiàn)了不安全因素便于查找并確定事故責(zé)任�,這也為增強系統(tǒng)安全提供了預(yù)防作用�����。
(一)審計技術(shù)
電子數(shù)據(jù)安全審計技術(shù)可分二種:系統(tǒng)技術(shù)的了解�,驗證處理技術(shù)和處理結(jié)果的驗證�。
1了解系統(tǒng)技術(shù)���。審計人員可以借助閱讀相關(guān)的技術(shù)介紹和查閱程序表和控制流程來了解系統(tǒng)技術(shù)。
2.驗證處理技術(shù)�����。系統(tǒng)指令能夠正確的執(zhí)行主要取決于這一技術(shù)。該技術(shù)由實際測試和性能測試兩部分組成�����,實現(xiàn)方法主要有:
(1)事務(wù)選擇�。根據(jù)制定的審計標(biāo)準(zhǔn)的不同,審計人員可以選擇不同的事務(wù)樣板來進行認(rèn)真的了解��。樣板的選擇可以是隨機的,也可以通過操作系統(tǒng)的事務(wù)管理部件自動引用��。
(2)測試數(shù)據(jù)。測試數(shù)據(jù)是程序測試的擴展�,系統(tǒng)自動生成了準(zhǔn)備處理的事務(wù)。審計人員可以通過一些方法來預(yù)測結(jié)果的正確性�����,并將得出的結(jié)果與實際的結(jié)果相對比。使用這種方法的時候�����,審計人員必須通過系統(tǒng)來檢驗處理過的檢測的數(shù)據(jù)����。除了上述的方法�����,還可以使用事務(wù)標(biāo)志、跟蹤���、綜合測試等方法��。
(3)并行仿真�。審計人員主要借助某一應(yīng)用程序來模擬操作系統(tǒng)的主要功能���。將模擬出的數(shù)據(jù)和給出的實際的數(shù)據(jù)相比較�����。仿真的成本較高�����,可以通過高級語言使仿真模擬與實際的應(yīng)用相接近。
(4)驗證處理結(jié)果技術(shù)�����。在這一過程中�����,審計人員的工作重點不是對于數(shù)據(jù)的處理而是數(shù)據(jù)本身,這里有兩個方而需要重點考慮:一是數(shù)據(jù)的選取�。將審計數(shù)據(jù)收集技術(shù)結(jié)合到應(yīng)用程序?qū)徲嬆K中�����,應(yīng)用程序?qū)徲嬆K的功能是依據(jù)給定的標(biāo)準(zhǔn)來收集數(shù)據(jù)�����;建立全部的審計跟蹤;借用于日志恢復(fù)的備份庫;借助審計庫的記錄來抽取設(shè)施����,它能夠隨機的選擇屬性值相似的文件進行記錄��,并將其放在工作文件中�,為以后的分析提供便利;利用數(shù)據(jù)庫管理系統(tǒng)的查詢設(shè)施抽取用戶數(shù)據(jù)����。二是數(shù)據(jù)內(nèi)容的尋找目標(biāo)。一旦選定了數(shù)據(jù)����,審計人員可以對控制信息進行檢查��;檢查語義完整性約束���;檢查與無關(guān)源點的數(shù)據(jù)。
(二)審計范圍
在整個應(yīng)用系統(tǒng)中�,審計是與其他系統(tǒng)獨立的�����。審計主要涉及的范圍是對操作系統(tǒng)和其他應(yīng)用系統(tǒng)的審計�。
對操作系統(tǒng)進行審計是為了檢測和判定操作對系統(tǒng)的滲透程度并且對誤操作進行識別�。這一過程的基本功能為:選擇審計對象;對審計的文件進行分類并且完成自動轉(zhuǎn)換���;對文件的系統(tǒng)完整性進行定時檢測���;對信息儲存的格式和輸出的媒介進行審計;報警閥值的設(shè)置與選擇�����;對每日操作行為進行審計并對數(shù)據(jù)的安全性進行保護等�����。
應(yīng)用程序?qū)徲嬜酉到y(tǒng)的主要功能是:針對被作為審計對象的應(yīng)用程序的某些操作進行監(jiān)控并且進行記錄,對記錄的記過進行分析�,用以判斷是否應(yīng)用程序是否受到攻擊并別修改���,同時能夠判斷程序和數(shù)據(jù)的完整性�����;采用身份驗證和口令驗證等方法來保證應(yīng)用程序的正常運行��。
(三)審計跟蹤
審計跟蹤與日志恢復(fù)從本質(zhì)上來講是有區(qū)別的��,但是經(jīng)常可以結(jié)合在一起使用����。它們的主要區(qū)別是審計跟蹤能夠進行記錄��,而日志恢復(fù)通常不對操作進行記錄����;但根據(jù)實際的需要��,審計跟蹤可以從日記恢復(fù)中得到所需要的審計信息����。如果將告警功能與審計功能結(jié)合起來����,那么就可以在違規(guī)的或者不合法的操作進行的當(dāng)時向程序人員發(fā)出警告����,以使他們能夠以最快的速度做出反應(yīng),及時的采取解決的對策�,使損失降到最低�。審計記錄所包含的內(nèi)容主要有:操作進行的地點和時間���;進行操作的用戶��;事件的類型�����;事件結(jié)果�。
根據(jù)訪問控制的類型,數(shù)據(jù)庫對于審計跟蹤的請求不加以限定��。獨立的審計跟蹤保密性更強����,審計人員可以對時間進行限定��,但是成本比較高。
(四)審計的流程
第8篇
關(guān)鍵詞:高安全操作系統(tǒng);分區(qū)內(nèi)核����;SKPP�����;安全功能性需求
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1007-9599 (2012) 20-0000-02
隨著嵌入式操作系統(tǒng)的使用越來越廣泛�,它的安全性也越來越受關(guān)注�。分區(qū)內(nèi)核作為嵌入式系統(tǒng)的一個重要組成部分,對其安全性的要求也越來越高。SKPP(Protection Profile for Separation Kernels����,分區(qū)內(nèi)核保護框架)作為一種專門針對分區(qū)內(nèi)核提出的安全需求標(biāo)準(zhǔn),可滿足分區(qū)內(nèi)核對高安全性的需要。使用SKPP的分區(qū)內(nèi)核給任務(wù)關(guān)鍵的嵌入式系統(tǒng)的系統(tǒng)服務(wù)和應(yīng)用的創(chuàng)建提供了高健壯性保障以及給安全相關(guān)策略的執(zhí)行提供高可靠性支持�����。目前,使用SKPP標(biāo)準(zhǔn)設(shè)計出來的分區(qū)內(nèi)核產(chǎn)品只有美國綠山公司的INTEGRITY-178B多級安全實時操作系統(tǒng)和風(fēng)河公司的VXWorks MILS2�,而國內(nèi)對SKPP的使用還在探索階段。本文通過對SKPP的內(nèi)容進行深入理解�,提出了與SKPP安全功能性需求相對應(yīng)的訪問控制機制的實施策略���。
1 SKPP概述
2007年,美國NSA的信息可靠性理事會了一種用于描述高健壯性操作系統(tǒng)的安全需求規(guī)范——SKPP�����,它適用于經(jīng)常處于安全威脅中的分區(qū)內(nèi)核�。SKPP要求產(chǎn)品的開發(fā)過程和形式化分析都十分嚴(yán)格�,所以����,開發(fā)者和用戶通過SKPP評估而得到的可靠性在計算機信息安全領(lǐng)域達(dá)到了前所未有的高度,在歷史上第一次使軟件系統(tǒng)能夠可信的保護財政記錄����,客戶私人信息����,國家秘密等重要信息[1]�����。因此����,用它作為高安全機載操作系統(tǒng)的分區(qū)內(nèi)核設(shè)計標(biāo)準(zhǔn)能極大提高系統(tǒng)的安全性和可靠性。
傳統(tǒng)安全內(nèi)核是在一個安全操作系統(tǒng)中執(zhí)行所有可信功能����,而分區(qū)內(nèi)核與此不同,系統(tǒng)中的所有對象和資源都應(yīng)由安全策略控制����,分區(qū)內(nèi)部或者分區(qū)間的信息流也需由安全策略控制�����。在SKPP中,系統(tǒng)給軟件提供了高可靠性分區(qū)以及信息流控制策略�����,給多種結(jié)構(gòu)系統(tǒng)提供了可配置的可信環(huán)境。例如��,在一組安全系統(tǒng)結(jié)構(gòu)中��,軟件在分區(qū)內(nèi)核安全策略的約束之下執(zhí)行應(yīng)用層安全策略。這里所說的軟件包括與多級安全相關(guān)的監(jiān)視器��,Guard�����,設(shè)備驅(qū)動����,文件管理系統(tǒng),傳送信息服務(wù)以及傳統(tǒng)操作系統(tǒng)�����,中間件��,虛擬機等[1]。
SKPP為分區(qū)內(nèi)核的架構(gòu)和評估提供了安全功能性需求和安全保證性需求��。安全功能性需求指的是由操作系統(tǒng)執(zhí)行的安全策略����。例如�����,一個使用SKPP標(biāo)準(zhǔn)的操作系統(tǒng)必須保證惡意程序不會對系統(tǒng)造成包括拒絕服務(wù)��、竊取信息等在內(nèi)的威脅�。安全保證性需求反映了創(chuàng)建滿足高健壯性的安全可信環(huán)境所需的功能[2]�����。圖1說明了組成安全系統(tǒng)的各個部分���。其中�����,配置功能,系統(tǒng)加載功能����,初始化功能以及可信傳輸功能都應(yīng)按照可靠性需求的要求來設(shè)計����,它們建立了安全功能的初始安全狀態(tài)。在初始化結(jié)束之后��,由安全功能來執(zhí)行安全策略[3]���。安全功能性需求是本文討論的重點。從在系統(tǒng)中的位置來看安全功能性需求主要包括配置數(shù)據(jù)的要求�,軟件運行時的要求以及硬件要求����;從在安全分區(qū)內(nèi)核中功能劃分的角度來看�����,它分為安全審計�、用戶數(shù)據(jù)保護���、識別和鑒定��、安全管理���、安全功能保護以及資源利用六個部分�����。
圖1.安全系統(tǒng)組成
2 安全功能性需求主要內(nèi)容
SKPP中的功能性需求是針對分區(qū)內(nèi)核中安全功能的需求����,它規(guī)定了由分區(qū)內(nèi)核執(zhí)行的安全策略�����。安全功能性需求從審計�、數(shù)據(jù)保護、身份的識別和鑒定�、安全功能的管理���、安全功能的保護以及資源的利用[1]等六個方面全面的規(guī)定了建立安全分區(qū)內(nèi)核中所需的安全功能應(yīng)遵循的要求�����。
SKPP的安全審計部分規(guī)定了進行安全審計的時機,安全審計事件的選擇原則以及安全審計的審查方法�。安全審計需求記錄���、存儲和分析與安全相關(guān)活動的信息,通過檢查審計記錄結(jié)果可判斷發(fā)生了哪些安全相關(guān)活動以及哪些用戶需要對這些活動負(fù)責(zé)����。
用戶數(shù)據(jù)保護部分給與用戶數(shù)據(jù)有關(guān)的系統(tǒng)安全功能和系統(tǒng)安全功能策略規(guī)定了要求���。它定義了信息流控制策略�,主要規(guī)定了策略控制下的主體,策略控制下的信息����,引起受控信息流入、流出的主體操作�,策略的控制范圍以及某些特定功能的規(guī)則����。用戶數(shù)據(jù)保護部分還提出對殘余信息進行保護的要求。
識別和鑒定部分?jǐn)⑹隽私⒑秃藢嵳埱笥脩羯矸莸墓δ苄枨?��,確保了用戶與恰當(dāng)?shù)陌踩珜傩韵嗦?lián)系。授權(quán)用戶身份的正確識別��,用戶和主體之間安全屬性的正確鏈接對既定安全策略的實施至關(guān)重要��。識別和鑒定部分解決用戶身份的確定和核實,明確用戶在安全分區(qū)內(nèi)核中的權(quán)限���,賦予授權(quán)用戶與權(quán)限相匹配的安全屬性�����。用戶的正確識別和鑒定是其它部分(如:用戶數(shù)據(jù)保護�,安全審計)實施的基礎(chǔ)����。
安全分區(qū)內(nèi)核必須給各種類型的安全管理功能提供固定的支持���,而且,安全管理部分規(guī)定必須由被授權(quán)的管理者實施初始化參數(shù)定義���,可信初始化,分區(qū)信息流策略的定義和執(zhí)行����,錯誤檢測以及反饋,可信修復(fù)���,分區(qū)內(nèi)核系統(tǒng)重配置�����。在安全分區(qū)內(nèi)核中���,分區(qū)信息流安全功能策略是根據(jù)配置向量決定的,所以只有授權(quán)主體才能夠改變配置數(shù)據(jù)�����。
在安全功能保護部分����,SKPP主要描述了使分區(qū)內(nèi)核處于安全狀態(tài)的方法���。具體說來����,安全功能保護規(guī)定了運行系統(tǒng)安全狀態(tài)測試的時機�,配置數(shù)據(jù)改變的規(guī)則,重新建立安全態(tài)需要遵守的規(guī)則���,系統(tǒng)保存安全狀態(tài)的時機�����,以及當(dāng)系統(tǒng)處于非安全狀態(tài)時應(yīng)做的操作。系統(tǒng)的安全狀態(tài)和分區(qū)信息流策略都是由配置數(shù)據(jù)生成的配置向量決定的�����,所以當(dāng)配置數(shù)據(jù)改變時,系統(tǒng)應(yīng)重新建立安全態(tài)并按照配置數(shù)據(jù)的說明執(zhí)行分區(qū)信息流策略[4]����。如圖2所示�,分區(qū)內(nèi)核系統(tǒng)通過配置工具把從用戶處獲得的配置數(shù)據(jù)轉(zhuǎn)換成配置向量,再經(jīng)過一些中間步驟的轉(zhuǎn)化變成安全功能的內(nèi)部配置向量�,通過這些配置向量安全功能確定分區(qū)信息流控制策略����,建立分區(qū)內(nèi)核的安全狀態(tài)���。
圖2.配置數(shù)據(jù)轉(zhuǎn)化過程
資源利用部分規(guī)定了分區(qū)能夠使用的系統(tǒng)內(nèi)存和處理時間的限額��,以及其他可預(yù)測的受限執(zhí)行行為的處理時間和存儲資源的使用情況��。
應(yīng)用于分區(qū)內(nèi)核安全的SKPP涉及分區(qū)信息保護,避免未經(jīng)授權(quán)的信息的泄漏��、修改和無法使用的情況發(fā)生��,保護內(nèi)核及信息的機密性��、完整性�、可用性���、可審查性和抗抵賴性�����。SKPP安全功能性需求為實現(xiàn)安全功能規(guī)定了詳細(xì)的要求�����,通過這些要求可以從現(xiàn)有的方法中得出一套安全機制。只有實現(xiàn)這些安全機制����,才能保證安全功能的有效性�,從而保護目標(biāo)系統(tǒng)的安全性����。其中���,訪問控制機制是分區(qū)內(nèi)核實施安全功能最主要的手段,因此�,訪問控制機制的實現(xiàn)與分區(qū)內(nèi)核中安全功能的聯(lián)系是最緊密的,下面我們來討論訪問控制機制與SKPP安全功能性需求的關(guān)系�����。
3 安全功能性需求與訪問控制機制實施策略
在分區(qū)內(nèi)核上���,訪問控制技術(shù)的應(yīng)用是為了保證分區(qū)外的用戶或分區(qū)內(nèi)的用戶對分區(qū)資源的訪問以及對敏感信息的訪問方式而組織的安全策略[5]。訪問控制機制將防止非授權(quán)用戶使用分區(qū)內(nèi)資源或以不正當(dāng)?shù)姆绞绞褂檬跈?quán)資源����。如圖3所示,當(dāng)主體需要訪問分區(qū)資源時�,先向系統(tǒng)發(fā)出訪問資源的請求,由系統(tǒng)驗證主體的權(quán)限�,驗證通過后才允許主體訪問相應(yīng)的分區(qū)資源��。
圖3.訪問控制原理
分區(qū)內(nèi)核訪問控制機制的建立涉及SKPP中用戶數(shù)據(jù)保護部分的內(nèi)容��。其中���,通過信息流控制策略部分的要求確定了信息流控制策略的控制范圍�,比如可控制所有分區(qū)或者所有客體;通過信息流控制功能部分的要求確定了信息流控制策略的特定功能規(guī)則���,比如明確了授權(quán)的通信模式等��。為了保證被訪問客體的可用性��,還涉及資源利用部分的內(nèi)容,描述系統(tǒng)內(nèi)存和處理時間的限額�。
應(yīng)用SKPP的安全內(nèi)核,為了判斷一個主體是否具有對某客體的訪問權(quán)限�,訪問控制機制須鑒別主體的身份�,這涉及SKPP中識別和鑒定部分的內(nèi)容�。它規(guī)定了分區(qū)、主體以及與安全功能相關(guān)的資源的屬性��,明確了各自的信息流權(quán)限����,通過身份的識別和鑒定得出該身份所對應(yīng)的訪問權(quán)限�。在確認(rèn)主體的身份之后,訪問控制機制可以通過該主體已被鑒別的身份使用該主體的信息(比如該主體的從屬關(guān)系信息)或者使用該主體的所擁有的權(quán)限��。這涉及SKPP中安全管理部分安全屬性管理的要求,它定義了授權(quán)主體可以使用的權(quán)限�����,如圖4所示���。
圖4.主體權(quán)限使用流程
綜上所述,訪問控制機制能夠涵蓋SKPP安全功能性需求的用戶數(shù)據(jù)保護部分����、識別與鑒定部分����、安全管理部分以及資源利用部分�����,但是不涉及安全審計和安全功能保護部分的需求�。目前在機載領(lǐng)域,可以應(yīng)用健康監(jiān)控和系統(tǒng)重構(gòu)技術(shù)來覆蓋安全審計和安全功能保護部分的需求�����,但是在實施細(xì)節(jié)上還需進一步探討���。
4 結(jié)論
在SKPP中,系統(tǒng)給軟件提供了高可靠性分區(qū)以及信息流控制策略�,給多種結(jié)構(gòu)的系統(tǒng)提供了可配置的可信基礎(chǔ)����。本文在作者深入理解SKPP內(nèi)涵的基礎(chǔ)上的介紹了SKPP所包含的各個需求領(lǐng)域�,并提出了能夠涵蓋SKPP大部分安全功能性需求的安全分區(qū)內(nèi)核訪問控制機制的實施策略。對滿足SKPP的高安全機載操作系統(tǒng)的研究和設(shè)計具有一定的指導(dǎo)意義���。
參考文獻:
[1]Information Assurance Directorate��, National Security Agency����, Fort George G. Meade. U.S. Government Protection Profile for Separation Kernels in Environments Requiring High Robustness��, June 2007.
[2]Thuy D�,Timothy E.Levin����,Cynthia E.Irvine.TCX Project:High Assurance for Secure Embedded Systems. Proceedings of the IEEE International Conference on Security and Cryptography,2008.
[3]Kevin Elaphinstone���,Gerwin Klein,Philip Derrin�����,et al.Kernel Development for High .2008.7.
[4]Timothy E. Levin, Cynthia E. Irvine�, and Thuy D. Nguyen. Least privilege in separation kernels. In Proceedings of the IEEE International Conference on Security and Cryptography, Setubal����, PT, August 2006.
[5]宋成勇.CC功能要求映射于系統(tǒng)安全措施的方法研究.成都:四川大學(xué)����,2005.
[作者簡介]
