序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁���,我們?yōu)槟x了8篇的安全審計(jì)的類型樣本�,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請(qǐng)盡情閱讀�。
第1篇
三《條例》限制賠償政策的事實(shí)根據(jù)論―答記者問見解的問題性
(一)“特殊立法政策”的內(nèi)容和事實(shí)根據(jù)
(二)“特殊立法政策”的事實(shí)根據(jù)論的問題性
(三) 對(duì)其他相關(guān)問題的評(píng)論
四 放棄現(xiàn)行法律適用原則的必要性和解決法律適用問題的代替方案
(一) 放棄“區(qū)分不同案件分別適用法律”原則的必要性
(二) 解決醫(yī)療侵權(quán)賠償案件法律適用問題的代替方案
結(jié)論
三 《條例》限制賠償政策的事實(shí)根據(jù)論―答記者問見解的問題性[44]
如前所述,答記著問強(qiáng)調(diào), 條例“體現(xiàn)了國(guó)家對(duì)醫(yī)療事故處理及其損害賠償?shù)奶厥饬⒎ㄕ摺薄D敲? 答記者問所說的特殊立法政策的內(nèi)容是什么呢? 在損害賠償問題的處理上, 條例所體現(xiàn)的立法政策與民法通則所體現(xiàn)的立法政策有什么不同呢? 條例所體現(xiàn)的特殊立法政策又是以什么事實(shí)為根據(jù)的呢? 被作為根據(jù)的那些“事實(shí)”是否符合客觀現(xiàn)實(shí)呢? 即便符合客觀現(xiàn)實(shí), 以這些事實(shí)為根據(jù), 是否能夠證明條例對(duì)醫(yī)療事故損害賠償?shù)南拗菩砸?guī)定具有政策上的合理性呢? 這些就是本節(jié)要檢討的問題�����。
(一) 條例所體現(xiàn)的特殊立法政策的內(nèi)容及該政策的事實(shí)根據(jù)
條例第1條規(guī)定,制定條例的目的是“正確處理醫(yī)療事故,保護(hù)患者和醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員的合法權(quán)益,維護(hù)醫(yī)療秩序,保障醫(yī)療安全,促進(jìn)醫(yī)學(xué)科學(xué)的發(fā)展”�����。條例起草者衛(wèi)生部的匯報(bào)指出, 修改辦法的經(jīng)濟(jì)補(bǔ)償制度的原則是“既要使受損害的患者得到合理賠償,也要有利于我國(guó)醫(yī)療衛(wèi)生事業(yè)和醫(yī)學(xué)科學(xué)的健康發(fā)展”[45]。答記者問的表述與衛(wèi)生部匯報(bào)的見解基本相同, 但更為直截了當(dāng)���。它指出, 條例之所以要對(duì)賠償金額作出限制, 就是“為了推動(dòng)醫(yī)療衛(wèi)生事業(yè)的發(fā)展和醫(yī)療技術(shù)的進(jìn)步”, 換言之, 如果不對(duì)醫(yī)療事故的賠償范圍和標(biāo)準(zhǔn)作出現(xiàn)行條例所作出的限制, 如果法院對(duì)醫(yī)療事故引起的賠償案件適用體現(xiàn)了實(shí)際賠償原則的民法通則的規(guī)定, 那么, 我國(guó)醫(yī)療事業(yè)的發(fā)展和醫(yī)療技術(shù)的進(jìn)步就會(huì)受到不利的影響[46]��。由此可見, 答記者問所強(qiáng)調(diào)的特殊立法政策的“特殊”之處, 亦即在賠償政策上條例與民法通則的不同之處,在于條例以保障和促進(jìn)醫(yī)療事業(yè)的發(fā)展這一公共利益來限制患者或其遺屬原本根據(jù)民法通則所體現(xiàn)的實(shí)際賠償原則所可能得到的賠償這一個(gè)別利益�。筆者在此將該政策簡(jiǎn)稱為“公益限制賠償政策”。
根據(jù)答記者問的說明, 條例所體現(xiàn)的公益限制賠償政策是以下述被政策制定者所認(rèn)定的四項(xiàng)事實(shí)為根據(jù)的�。① 醫(yī)療行為具有較高的風(fēng)險(xiǎn)性, ② 我國(guó)醫(yī)療行業(yè)具有公共福利性, ③ 我國(guó)醫(yī)療機(jī)構(gòu)的承受能力有限, ④ 我國(guó)的經(jīng)濟(jì)發(fā)展水平較低���。對(duì)照條例起草者衛(wèi)生部的匯報(bào)可以發(fā)現(xiàn), 答記者問所提出的事實(shí)根據(jù)論,除了其中的第①項(xiàng)似乎是答記者問自己的看法(筆者不知道衛(wèi)生部是否在其他正式場(chǎng)合表達(dá)過這樣的見解)以外,基本上反映了衛(wèi)生部在匯報(bào)中所表達(dá)的見解[47]���。
以下, 筆者對(duì)“公益限制賠償政策”的事實(shí)根據(jù)論進(jìn)行分析和評(píng)論�����。
(二) “公益限制賠償政策”的事實(shí)根據(jù)論的問題性
1. 醫(yī)療行為的高風(fēng)險(xiǎn)性不能說明條例限制賠償?shù)恼?dāng)性。
答記者問沒有說明醫(yī)療行為的高風(fēng)險(xiǎn)性與限制賠償?shù)降子泻侮P(guān)系��。筆者在此姑且作出兩種推測(cè)[48],然后分別加以評(píng)論����。
(1) 答記者問也許是想說: 高風(fēng)險(xiǎn)性這一客觀因素的存在, 降低了過失這一醫(yī)療侵權(quán)的主觀因素在賠償責(zé)任構(gòu)成中的意義。人們應(yīng)當(dāng)承認(rèn)以下兩個(gè)事實(shí), ① 在醫(yī)療過程中, 即使醫(yī)務(wù)人員充分履行了注意義務(wù), 也未必能夠完全回避診療的失敗及由此引起的患者人身損害的發(fā)生; ② 即使醫(yī)務(wù)人員在實(shí)施醫(yī)療行為方面確實(shí)存在過失, 損害后果的發(fā)生也往往在一定程度上與該項(xiàng)醫(yī)療行為固有的風(fēng)險(xiǎn)性存在一定的關(guān)系�。因此, 在設(shè)計(jì)醫(yī)療事故損害賠償制度時(shí), 應(yīng)當(dāng)考慮到醫(yī)療風(fēng)險(xiǎn)這一客觀因素在損害形成中所起的作用, 不應(yīng)當(dāng)把在客觀上應(yīng)當(dāng)歸因于醫(yī)療風(fēng)險(xiǎn)的那部分損失也算在醫(yī)療機(jī)構(gòu)的頭上。條例對(duì)賠償數(shù)額作出限制反映了醫(yī)療事故損害與醫(yī)療風(fēng)險(xiǎn)之間存在一定程度的關(guān)系這一事實(shí), 因此是合情合理的,是正當(dāng)?shù)摹?/p>
筆者基于下述理由認(rèn)為, 上述推論是不能成立的��。① 醫(yī)療行為具有較高的風(fēng)險(xiǎn)性這一事實(shí)認(rèn)定本身不能反映現(xiàn)實(shí)中的醫(yī)療行為與醫(yī)療風(fēng)險(xiǎn)的關(guān)系的多樣性?���,F(xiàn)實(shí)情況是,醫(yī)療行為不僅種類極其繁多而且存在于醫(yī)療過程的各個(gè)階段各個(gè)環(huán)節(jié),有的可能具有高度的風(fēng)險(xiǎn)( 比如確診率極低的沒有典型早期癥狀的某些疾病的早期診斷, 成功率極低的涉及人體某一重要器官的復(fù)雜手術(shù),對(duì)搶救患者生命雖然必要但嚴(yán)重副作用的發(fā)生可能性極高的急救措施),有的則可能幾乎沒有風(fēng)險(xiǎn)(比如在遵守操作規(guī)范的情況下的一般注射����,常規(guī)檢驗(yàn)����,醫(yī)療器械消毒����,藥房配藥,病房發(fā)藥等)② 這種推論誤解了醫(yī)療風(fēng)險(xiǎn)與醫(yī)療事故民事責(zé)任的關(guān)系, 因而是根本說不通的�。眾所周知, 我國(guó)的醫(yī)療侵權(quán)責(zé)任制度實(shí)行過錯(cuò)責(zé)任原則, 而非嚴(yán)格責(zé)任原則。既然如此, 那么在醫(yī)療損害的發(fā)生被證明為與醫(yī)療過錯(cuò)和醫(yī)療風(fēng)險(xiǎn)(特指與醫(yī)療過錯(cuò)無關(guān)的風(fēng)險(xiǎn))[49] 二者都有關(guān)系的場(chǎng)合, 醫(yī)療機(jī)構(gòu)只應(yīng)承擔(dān)與其醫(yī)療過錯(cuò)在損害形成中所起的作用相應(yīng)的賠償責(zé)任��。在醫(yī)療侵權(quán)法上, 風(fēng)險(xiǎn)因素與民事責(zé)任不是成正比而是成反比, 風(fēng)險(xiǎn)因素對(duì)損害的形成所起的作用越大, 醫(yī)療機(jī)構(gòu)因其醫(yī)療過錯(cuò)所承擔(dān)的賠償責(zé)任就越小���。醫(yī)療行為的高風(fēng)險(xiǎn)性不是增加而是可能減輕醫(yī)療機(jī)構(gòu)民事責(zé)任的因素。只有在適用嚴(yán)格責(zé)任原則的侵權(quán)領(lǐng)域, 高風(fēng)險(xiǎn)性才可能成為增加民事責(zé)任的因素�。
(2) 答記者問也許是想說, 如果事先不通過制定法(比如條例)對(duì)賠償范圍和數(shù)額作出必要的限制, 那么醫(yī)療機(jī)構(gòu)就會(huì)因害怕承擔(dān)其不愿意承擔(dān)或難以承擔(dān)的高額賠償責(zé)任而指示其醫(yī)務(wù)人員以風(fēng)險(xiǎn)的有無或大小作為選擇治療方案的主要標(biāo)準(zhǔn),盡可能選擇無風(fēng)險(xiǎn)或較小風(fēng)險(xiǎn)的治療方案; 醫(yī)務(wù)人員在治療患者時(shí)就會(huì)縮手縮腳,不敢為了搶救患者的生命而冒必要的風(fēng)險(xiǎn), 患者的生命健康利益因此就可能得不到原本應(yīng)當(dāng)?shù)玫降尼t(yī)療保障。所以, 條例限制賠償標(biāo)準(zhǔn),有助于調(diào)動(dòng)醫(yī)師救死扶傷的職業(yè)積極性, 最終將有利于患者疾病的救治��。筆者認(rèn)為, 這是一個(gè)似是而非的���、嚴(yán)重脫離實(shí)際的推論, 因而也是沒有說服力的��。
① 在對(duì)賠償數(shù)額不作限制(尤其是不作低標(biāo)準(zhǔn)限制), 實(shí)行實(shí)際賠償原則的情況下,醫(yī)師果真會(huì)從積極變?yōu)橄麡O, 對(duì)患者該治的不治, 該救的不救, 該冒的險(xiǎn)不敢冒嗎? 限制了賠償數(shù)額,醫(yī)師果真就會(huì)因此而積極工作, 勇于擔(dān)負(fù)起治病救人的重任嗎? 這一推論符合醫(yī)療侵權(quán)的實(shí)際狀況嗎? 依筆者之見, 在適用民法通則的實(shí)際賠償原則或賠償標(biāo)準(zhǔn)高于條例的人身損害賠償解釋的情況下, 醫(yī)師未必會(huì)因害怕出差錯(cuò)•承擔(dān)較高的賠償責(zé)任而該治的不敢治, 該救的不敢救, 該冒的險(xiǎn)不敢冒�。因?yàn)樵谠S多場(chǎng)合, 采取這種消極回避態(tài)度反而會(huì)導(dǎo)致醫(yī)療不作為或不完全作為所構(gòu)成的侵權(quán)��。不僅如此, 因?yàn)檫@種消極態(tài)度可能具有放任的性質(zhì), 因而在其導(dǎo)致的侵權(quán)的違法性程度上也許比工作馬虎或醫(yī)術(shù)不良所引起的延誤診療致人損害的侵權(quán)更為嚴(yán)重。② 醫(yī)療的宗旨是治病救人, 因而是不考慮風(fēng)險(xiǎn)違規(guī)亂干不行, 顧忌風(fēng)險(xiǎn)違規(guī)不干也不行的典型行業(yè)�。醫(yī)師必須遵循診療規(guī)范,充分履行注意義務(wù),盡善管理。③ 限制或降低賠償標(biāo)準(zhǔn), 就算可能有調(diào)動(dòng)醫(yī)師積極性減少消極行醫(yī)的效果, 也免不了產(chǎn)生降低醫(yī)師的責(zé)任感, 縱容違規(guī)亂干的嚴(yán)重副作用����。④ 按照風(fēng)險(xiǎn)論的邏輯, 條例規(guī)定的賠償制度還不如辦法規(guī)定的一次性經(jīng)濟(jì)補(bǔ)償制度; 對(duì)廣大患者而言, 他們的生命健康利益獲得醫(yī)療保障的程度在條例時(shí)代反而會(huì)降低, 因?yàn)獒t(yī)務(wù)人員的救死扶傷的積極性由于條例( 較之辦法)加重醫(yī)療事故賠償責(zé)任而降低了。
2. 即使我國(guó)醫(yī)療行業(yè)具有公共福利性質(zhì), 以此為據(jù)限制賠償也是根本沒有說服力的�����。
答記者問沒有(衛(wèi)生部匯報(bào)也沒有)具體說明我國(guó)醫(yī)療行業(yè)的公共福利性有何含意, 更未具體說明醫(yī)療行業(yè)的公共福利性與條例的限制賠償政策之間有何關(guān)系�。筆者在此參考有關(guān)的政策法規(guī)文件和一些文章中的議論[50], 分別對(duì)這兩個(gè)問題的內(nèi)容作出以下的推測(cè)。
(1) 我國(guó)醫(yī)療行業(yè)的公共福利性主要表現(xiàn)在以下幾個(gè)方面����。① 在我國(guó)醫(yī)療服務(wù)體系中占主導(dǎo)地位的公立醫(yī)療機(jī)構(gòu),是非營(yíng)利性醫(yī)療機(jī)構(gòu),是公益事業(yè)單位,它們所提供的醫(yī)療服務(wù)對(duì)患者而言, 具有一定的福利性質(zhì)。② 政府對(duì)公共醫(yī)療事業(yè)的財(cái)政投入將隨著經(jīng)濟(jì)的發(fā)展逐年增加�。政府的財(cái)政投入為公共醫(yī)療事業(yè)的發(fā)展和醫(yī)療技術(shù)的進(jìn)步, 從而為廣大患者能夠享受到更好的醫(yī)療服務(wù)創(chuàng)造了一定的物質(zhì)條件。政府對(duì)非營(yíng)利性醫(yī)療機(jī)構(gòu)實(shí)行稅收優(yōu)惠和合理補(bǔ)助的政策,為這些機(jī)構(gòu)的福利性醫(yī)療服務(wù)提供了一定的支持�。③ 政府為了增進(jìn)廣大人民群眾的醫(yī)療福利, 減輕患者個(gè)人的醫(yī)療費(fèi)用負(fù)擔(dān), 在城鎮(zhèn)為職工建立作為社會(huì)保障的基本醫(yī)療保險(xiǎn)制度, 在農(nóng)村推行和資助合作醫(yī)療制度, 邦助越來越多的農(nóng)村居民在當(dāng)?shù)匾材艿玫交镜尼t(yī)療服務(wù)。④ 政府考慮到廣大人民群眾的負(fù)擔(dān)能力, 對(duì)醫(yī)藥品市場(chǎng)價(jià)格和非營(yíng)利性醫(yī)療機(jī)構(gòu)的醫(yī)療服務(wù)價(jià)格進(jìn)行適當(dāng)?shù)目刂啤?/p>
(2) 醫(yī)療行業(yè)具有公共福利性這一事實(shí), 決定了因醫(yī)療事故而發(fā)生的醫(yī)患之間的法律關(guān)系具有以下的特點(diǎn)�。① 它是在非自愿( 公共醫(yī)療服務(wù)的提供者在法律上有義務(wù)向需要的患者提供醫(yī)療服務(wù), 無正當(dāng)理由不得拒絕)的并且是非完全等價(jià)( 公共醫(yī)療服務(wù)的提供不以完全的等價(jià)有償為原則 ) 的基礎(chǔ)上進(jìn)行利益交換( 患者仍需支付一定的醫(yī)療費(fèi)用) 的當(dāng)事者之間發(fā)生的賠償關(guān)系, 不同于在完全自愿•等價(jià)有償?shù)幕A(chǔ)上進(jìn)行利益交換的當(dāng)事人即通常的民事活動(dòng)當(dāng)事人之間發(fā)生的賠償關(guān)系。② 它是提供醫(yī)療服務(wù)利益的醫(yī)療機(jī)構(gòu)和接受醫(yī)療服務(wù)利益的患者之間因前者的利益提供行為發(fā)生錯(cuò)誤導(dǎo)致后者受到損失而引起的賠償關(guān)系, 換言之, 是好心人辦錯(cuò)事引起的賠償關(guān)系, 不同于通常的侵犯他人合法權(quán)利所引起的賠償關(guān)系��。③ 它在事實(shí)上又是以作為公共醫(yī)療的投資者的政府為第三人( 賠償問題不僅可能影響到政府投資的效益,而且可能使政府投資本身受到損失)同時(shí)以利用該醫(yī)療機(jī)構(gòu)的廣大患者為第三人( 賠償問題可能影響到該醫(yī)療機(jī)構(gòu)的服務(wù)能力,從而影響到利用該醫(yī)療機(jī)構(gòu)的廣大患者的利益)的賠償關(guān)系, 不同于僅僅涉及當(dāng)事者雙方利益或至多涉及特定私人第三者利益的賠償關(guān)系。
(3) 正是因?yàn)獒t(yī)療行業(yè)具有公共福利性這一事實(shí)決定了因醫(yī)療事故而引起的醫(yī)患之間的賠償關(guān)系具有不同于通常的債務(wù)不履行或通常的侵權(quán)所引起的賠償關(guān)系的特征, 所以條例起草者才將該事實(shí)作為調(diào)整這種賠償關(guān)系的特殊政策的依據(jù)之一�。如果不考慮醫(yī)療行業(yè)的公共福利性, 如果不以該事實(shí)為依據(jù)制定特殊的賠償政策, 而是完全根據(jù)或照搬民法通則所體現(xiàn)的實(shí)際賠償原則, 那么, 醫(yī)療事故賠償?shù)慕Y(jié)果, 不僅對(duì)于賠償義務(wù)人醫(yī)療機(jī)構(gòu)可能是不公正或不公平的, 而且會(huì)使國(guó)家利益和廣大患者群眾的利益受到不應(yīng)有的損害。
筆者認(rèn)為, 上述見解(假定確實(shí)存在), 根本不能說明條例限制賠償政策的合理性���。
(1) 答記者問在論證限制賠償政策具有合理性時(shí), 只提“我國(guó)醫(yī)療行業(yè)具有公共福利性”這一“事實(shí)”,不提我國(guó)的醫(yī)療行業(yè)和醫(yī)療服務(wù)在相當(dāng)范圍和相當(dāng)程度上已經(jīng)市場(chǎng)化和商品化, 我國(guó)的絕大多數(shù)公民還得不到醫(yī)療費(fèi)負(fù)擔(dān)方面的最基本的社會(huì)保障這兩個(gè)有目共睹的現(xiàn)實(shí)�����。這種論法很難說是實(shí)事求是的�����?!拔覈?guó)醫(yī)療行業(yè)具有公共福利性”這一事實(shí)認(rèn)定�,本身就是非常片面的; 這一“事實(shí)”作為答記者問所支持的條例限制賠償政策的前提之一, 本身就是在很大程度上難以成立的�。
① 眾所周知, 在條例起草和出臺(tái)之時(shí), 更不用說在答記者問發(fā)表之時(shí), 我國(guó)的醫(yī)療行業(yè)已經(jīng)在相當(dāng)范圍內(nèi)和相當(dāng)程度上實(shí)現(xiàn)了市場(chǎng)化。第一, 從我國(guó)醫(yī)療行業(yè)的主體來看, 被官方文件定性為“非營(yíng)利性公益事業(yè)”[51] 單位的公立醫(yī)療機(jī)構(gòu),在我國(guó)醫(yī)療服務(wù)體系中確實(shí)依然占據(jù)主導(dǎo)地位,它們所提供的基本醫(yī)療服務(wù)項(xiàng)目, 據(jù)說因其價(jià)格受到政府的控制, 所以對(duì)接受該服務(wù)的患者而言,具有一定程度的福利性��。但是,在我國(guó)的醫(yī)療行業(yè), 非公立的完全營(yíng)利性的醫(yī)療機(jī)構(gòu)早已出現(xiàn), 其數(shù)量以及其提供的醫(yī)療服務(wù)所占有的市場(chǎng)分額均有明顯的增長(zhǎng)趨勢(shì); 民間資本或外資與公立醫(yī)療機(jī)構(gòu)的各種形式的合資經(jīng)營(yíng)也已經(jīng)成為常見的現(xiàn)象����。它們擴(kuò)大了完全商品化的醫(yī)療服務(wù)市場(chǎng)。由于它們所提供的醫(yī)療服務(wù), 在價(jià)格上是放開的, 所以對(duì)接受其服務(wù)的患者而言, 沒有福利性 ( 除非將來有一天把這類醫(yī)療服務(wù)也納入作為社會(huì)保障的醫(yī)療保險(xiǎn)的范圍)����。此外, 只有非營(yíng)利性公立醫(yī)療機(jī)構(gòu)才是中央或地方財(cái)政投入及有關(guān)的財(cái)稅優(yōu)惠政策的實(shí)施對(duì)象����。營(yíng)利性醫(yī)療機(jī)構(gòu)當(dāng)然是自籌資金、完全自負(fù)盈虧的企業(yè)[52] ��。第二, 從公立醫(yī)療機(jī)構(gòu)提供的醫(yī)療服務(wù)的價(jià)格來看, 首先, 公立醫(yī)療機(jī)構(gòu)配售給患者的藥品和消耗性材料的價(jià)格往往高于或明顯高于市場(chǎng)零售價(jià)(換言之,實(shí)際上往往高于或明顯高于醫(yī)院采購(gòu)成本和管理成本的總和), 具有明顯的營(yíng)利性(據(jù)說其目的在于“以藥養(yǎng)醫(yī)”); 盡管醫(yī)療機(jī)構(gòu)所采購(gòu)的一定范圍的藥品的市場(chǎng)價(jià)格受到政府價(jià)格政策的控制(以政府定價(jià)或政府指導(dǎo)價(jià)的方式), 但這種控制是為了保證基本醫(yī)藥商品的質(zhì)價(jià)相符, 防止生產(chǎn)或銷售企業(yè)設(shè)定虛高價(jià)格 (明顯高于生產(chǎn)經(jīng)營(yíng)成本和合理利潤(rùn)的總和的價(jià)格即暴利價(jià)格) 謀取不適當(dāng)?shù)母哳~利潤(rùn)[53]。因此這種政府控制價(jià)格與計(jì)劃經(jīng)濟(jì)時(shí)代的計(jì)劃價(jià)格有本質(zhì)的不同, 并非像有些人所說的那樣是低于市場(chǎng)價(jià)格的價(jià)格即所謂“低價(jià)”, 而是比較合理的市場(chǎng)價(jià)格�。所以, 這種價(jià)格控制, 雖然有利于消費(fèi)者或患者正當(dāng)利益的保障, 但并沒有任何意義上的福利性��。其次, 基本診療服務(wù)項(xiàng)目( 比如普通門診和急診; 一定范圍的檢驗(yàn)和手術(shù); 普通病房等一定范圍的醫(yī)療設(shè)施及設(shè)備的利用)的價(jià)格, 雖然在一定程度上受到政府價(jià)格政策的控制, 因而也許可以被認(rèn)為具有一定程度的福利性, 但具有明顯的收益性或營(yíng)利性( 即所謂創(chuàng)收 )的醫(yī)保對(duì)象外的五花八門的高收費(fèi)醫(yī)療服務(wù)( 比如高級(jí)專家門診、特約診療卡服務(wù)���、特需病房����、外賓病房等)在較高等級(jí)的許多公立醫(yī)療機(jī)構(gòu)(尤其是三級(jí)甲等醫(yī)院)中早已出現(xiàn)并有擴(kuò)大的趨勢(shì)。此外, 在許多醫(yī)療機(jī)構(gòu)中, 原本屬于護(hù)理業(yè)務(wù)范圍內(nèi)的一部分工作也已經(jīng)由完全按市場(chǎng)價(jià)格向患者收費(fèi)的護(hù)工服務(wù)所替代�。所以, 被官方定性為非營(yíng)利性公益事業(yè)單位的公立醫(yī)療機(jī)構(gòu),在事實(shí)上正在愈益廣泛地向患者提供沒有福利性的甚至完全收益性或營(yíng)利性的醫(yī)療服務(wù)。
② 從患者負(fù)擔(dān)醫(yī)療費(fèi)用的情況來看,第一, 加入了基本醫(yī)保的患者,一般除了必須自付一定比例的醫(yī)療費(fèi)用外,還須支付超出其醫(yī)保限額的醫(yī)療費(fèi)用�。他們選擇醫(yī)保定點(diǎn)醫(yī)療機(jī)構(gòu)所提供的醫(yī)保對(duì)象外的醫(yī)療服務(wù),或選擇定點(diǎn)醫(yī)保醫(yī)療機(jī)構(gòu)以外的醫(yī)療機(jī)構(gòu)(包括營(yíng)利性醫(yī)療機(jī)構(gòu))所提供的醫(yī)療服務(wù),因而完全自付醫(yī)療費(fèi)的情況并不少見����。同樣是享受醫(yī)保的患者,其享受醫(yī)保的程度即自付醫(yī)療費(fèi)占實(shí)際醫(yī)療費(fèi)的比例可能不同; 符合特殊條件的一小部分患者,則可能基本上或完全免付遠(yuǎn)遠(yuǎn)大于一般醫(yī)?;颊咚苊飧兜姆秶尼t(yī)療費(fèi)[54]。第二, 更為重要的事實(shí)是, 我國(guó)所建立的社會(huì)基本醫(yī)保制度,不是以全體居民為對(duì)象的醫(yī)療保險(xiǎn)制度(比如日本的國(guó)民健康保險(xiǎn)制度),而是僅僅以城鎮(zhèn)的職工(城鎮(zhèn)中的所有用人單位的職工)本人為對(duì)象的醫(yī)保制度[55],加入者的人數(shù)至今還不滿我國(guó)總?cè)丝诘氖种籟56]���。換言之, 我國(guó)城鎮(zhèn)的相當(dāng)數(shù)量的居民和農(nóng)村的所有居民是不能享受基本醫(yī)保的(即完全自費(fèi)的或幾乎完全自費(fèi)的)社會(huì)群體(除非加入了商業(yè)醫(yī)保,但商業(yè)醫(yī)保不具有福利性)�。政府雖然已決定在農(nóng)村建立由農(nóng)民個(gè)人繳費(fèi)•集體扶持•政府資助的合作醫(yī)療制度,但由于種種原因,且不說這一制度才剛剛開始進(jìn)行個(gè)別的試點(diǎn)(更不用說在一些貧困地區(qū),甚至連最基本的醫(yī)療服務(wù)設(shè)施也不存在),就是全面鋪開,它為廣大農(nóng)村居民所可能提供的醫(yī)療保障的程度也是極其微薄的[57]��。要言之, 答記者問和衛(wèi)生部匯報(bào)所強(qiáng)調(diào)的醫(yī)療行業(yè)的公共福利性,對(duì)于我國(guó)的絕大多數(shù)居民來說, 即使在某種意義上(比如公立醫(yī)療機(jī)構(gòu)的部分診療服務(wù)的價(jià)格受到政府的控制)也許可以被理解為存在,也只是非常有限的,微不足道的。
筆者之所以強(qiáng)調(diào)上述兩個(gè)方面的事實(shí), 并非為了批評(píng)現(xiàn)行的醫(yī)療福利政策, 而僅僅是為了指出以下兩個(gè)多樣性的存在。第一個(gè)多樣性是醫(yī)療行業(yè)或醫(yī)療服務(wù)與醫(yī)療福利的關(guān)系的多樣性�����。醫(yī)療行業(yè)既存在福利因素又存在非福利因素, 既存在公益因素又存在營(yíng)利因素; 有的醫(yī)療服務(wù)具有福利性,有的醫(yī)療服務(wù)則沒有福利性; 有的醫(yī)療服務(wù)具有較高程度的福利性, 有的醫(yī)療服務(wù)只有較低程度的福利性��。第二個(gè)多樣性是患者與醫(yī)療福利政策的關(guān)系的多樣性��。有的患者能夠享受較多的醫(yī)療福利, 有的患者則只能享受較少的醫(yī)療福利, 有的患者則完全不能享受醫(yī)療福利; 能夠享受醫(yī)療福利的患者既有可能選擇具有福利性的醫(yī)療服務(wù), 也有可能選擇沒有福利性的醫(yī)療服務(wù); 享受基本醫(yī)保的不同患者所享受的醫(yī)保利益又可能存在種種差別甚至是巨大的差別�����。據(jù)此, 我們應(yīng)當(dāng)承認(rèn), 支持醫(yī)療事故賠償限制政策的公共福利論無視這兩個(gè)方面的多樣性, 嚴(yán)重脫離了現(xiàn)實(shí), 因而沒有充分的說服力。
(2) 即使醫(yī)療行業(yè)所具有的公共福利性能夠成為限制福利性醫(yī)療服務(wù)享受者的醫(yī)療事故賠償請(qǐng)求權(quán)的正當(dāng)理由之一, 現(xiàn)行條例關(guān)于醫(yī)療事故賠償?shù)囊?guī)定, 由于沒有反映以上筆者所指出的患者與醫(yī)療福利政策的關(guān)系的多樣性這一有目共睹的客觀事實(shí), 所以它不僅違反了條例起草者衛(wèi)生部所主張的公共福利論的邏輯, 而且從公共福利論的觀點(diǎn)看, 它又是顯失公正和公平的����。
① 根據(jù)公共福利論的邏輯, 條例原本應(yīng)當(dāng)將患者所接受的引起醫(yī)療事故的醫(yī)療服務(wù)與醫(yī)療福利的關(guān)系(即是否具有福利性, 具有多少程度的福利性)作為確定醫(yī)療事故的具體賠償數(shù)額的考慮因素之一, 原本應(yīng)當(dāng)采取賠償數(shù)額與自費(fèi)程度成正比•與福利程度成反比的原則,使得自費(fèi)程度較低的被害人較之自費(fèi)程度較高的被害人,部分自費(fèi)的被害人較之完全自費(fèi)的被害人,在其他條件同等的情況下,獲得較低比例的賠償數(shù)額。換言之, 使后者能夠獲得較高比例的賠償數(shù)額。令人感到難以理解的是,條例竟然沒有作出這樣的規(guī)定(條例僅將醫(yī)療事故等級(jí)、醫(yī)療過失行為在醫(yī)療事故損害后果中的責(zé)任程度、醫(yī)療事故損害后果與患者原有疾病狀況之間的關(guān)系作為確定具體賠償金額時(shí)應(yīng)當(dāng)考慮的因素(第49條第1款))��。
② 公正性是良好的法律制度的基本標(biāo)準(zhǔn)之一�。如果答記者問和衛(wèi)生部匯報(bào)所主張的公共福利論, 從所謂“患者能夠獲得的賠償數(shù)額與該患者自付的醫(yī)療費(fèi)用應(yīng)當(dāng)實(shí)現(xiàn)某種程度的等價(jià)性”的觀點(diǎn)看, 確實(shí)還帶有那么點(diǎn)“公正性或公平性”的意味的話, 那么, 衛(wèi)生部在以我國(guó)醫(yī)療具有公共福利性為事實(shí)根據(jù)之一設(shè)計(jì)醫(yī)療事故的賠償制度時(shí), 就應(yīng)當(dāng)充分注意患者與醫(yī)療服務(wù)福利性的關(guān)系的多樣性, 所設(shè)計(jì)的賠償制度就應(yīng)當(dāng)能夠保證各個(gè)醫(yī)療事故的被害患者都有可能按照所謂“等價(jià)性”原則獲得相應(yīng)數(shù)額的賠償。很可惜, 現(xiàn)行條例的賠償規(guī)定在這個(gè)問題上犯了嚴(yán)重的一刀切的錯(cuò)誤��。說的極端一點(diǎn), 它使得醫(yī)療費(fèi)用自付率百分之百的患者, 在其他條件相同的情況下, 只能獲得醫(yī)療費(fèi)用自付率幾乎接近于零的患者所能夠獲得的賠償數(shù)額����。
③ 從立法技術(shù)論上看, 衛(wèi)生部的失誤在于, 她將醫(yī)療服務(wù)的福利性這個(gè)因案而異•極具多樣化和個(gè)別化的事實(shí),因而只能在各個(gè)案件的處理或裁判時(shí)才可能確定的事實(shí),當(dāng)作她在制定統(tǒng)一適用的賠償標(biāo)準(zhǔn)時(shí)所依據(jù)的事實(shí)即所謂“立法事實(shí)”(具有一般性或唯一性并且在立法之時(shí)能夠確定或預(yù)見的事實(shí))���。衛(wèi)生部顯然沒有分清什么樣的事實(shí)屬于立法事實(shí),可以被選擇作為立法的依據(jù), 什么樣的事實(shí)不屬于立法事實(shí), 因而不應(yīng)當(dāng)被作為立法的依據(jù),只能被選擇作為法的實(shí)施機(jī)關(guān)在將法規(guī)范適用于特定案件時(shí)認(rèn)定或考慮的事實(shí)?;煜?是立法上的大忌。如果將后者作為前者加以利用而不是作為一個(gè)因素或情節(jié)指示法的實(shí)施機(jī)關(guān)在處理具體案件時(shí)加以認(rèn)定或考慮, 那么,制定出來的法就不僅會(huì)因其事實(shí)根據(jù)的不可靠而可能成為脫離實(shí)際的有片面性的法, 而且在其適用中可能成為不公正的法�。如前所述,為了避免條例制定的賠償標(biāo)準(zhǔn)在適用中引起明顯的不公正后果, 衛(wèi)生部原本(如果她認(rèn)為在政策上確實(shí)有此必要的話)應(yīng)當(dāng)將涉及福利性的問題作為醫(yī)療事故處理機(jī)關(guān)在具體確定賠償數(shù)額時(shí)應(yīng)當(dāng)考慮的因素之一,同醫(yī)療事故等級(jí)等因素一起,在條例第49條第1款中加以規(guī)定。 (3) 即使我國(guó)醫(yī)療行業(yè)具有相當(dāng)高度的���、相當(dāng)廣泛的��、對(duì)不同的患者而言相當(dāng)均等的福利性( 比如達(dá)到了日本或一些歐州國(guó)家的程度), 以其為據(jù)限制醫(yī)療事故賠償也是沒有說服力的��。
① 生命健康權(quán)是人的最基本的權(quán)利, 理所當(dāng)然地受到現(xiàn)行憲法和一系列相關(guān)法律的保護(hù)�。充分保障這一權(quán)利, 建立具有適當(dāng)程度的公共福利性的醫(yī)療制度和社會(huì)保障制度, 使每一位居民, 不論其經(jīng)濟(jì)能力如何, 都能得到相當(dāng)質(zhì)量的必要的醫(yī)療服務(wù), 是政府在憲法上的責(zé)任��。我國(guó)醫(yī)療行業(yè)保留一定范圍和一定程度的公共福利性�,政府從財(cái)政上給予醫(yī)療事業(yè)必要的支持, 應(yīng)當(dāng)被理解為是人民權(quán)利的要求, 是政府對(duì)其憲法責(zé)任的履行, 而不應(yīng)當(dāng)被看成是政府對(duì)人民的恩惠。財(cái)政對(duì)醫(yī)療事業(yè)的投入, 并非來自政府自己的腰包, 而是人民自己創(chuàng)造的財(cái)富�����。在筆者看來, 以醫(yī)療行業(yè)的公共福利性為理由的醫(yī)療事故賠償限制論, 似乎缺少人民的憲法權(quán)利和政府的憲法義務(wù)這一基本的憲法意識(shí), 自覺或不自覺地把醫(yī)療行業(yè)的公共福利性看成是政府通過醫(yī)療機(jī)構(gòu)的服務(wù)對(duì)百姓患者實(shí)施的恩惠��。
② 如果說社會(huì)福利在有些資本主義國(guó)家(比如美國(guó))的一個(gè)時(shí)期內(nèi), 曾被僅僅視為國(guó)家對(duì)社會(huì)的弱勢(shì)群體的特殊照顧或恩惠(不是被視為福利享受者的法律上的權(quán)利)的話, 那么就應(yīng)當(dāng)說在社會(huì)主義國(guó)家,它當(dāng)然應(yīng)當(dāng)被首先理解為國(guó)家性質(zhì)的必然要求。我國(guó)只要還堅(jiān)持宣告自己是社會(huì)主義性質(zhì)的國(guó)家, 就必須堅(jiān)持這種理解��。以醫(yī)療行業(yè)的公共福利性為理由的醫(yī)療事故賠償限制論, 似乎缺少鮮明的社會(huì)主義觀念, 自覺或不自覺地把醫(yī)療福利僅僅理解為政府所采取的一種愛民利民政策�����。
③ 任何社會(huì)福利政策,只有獲得了完全意義上的法律保障才可能真正為人民帶來切實(shí)可靠的福利���。筆者在此所說的完全意義上的法律保障是指,不僅福利的提供要有法律保障, 而且在福利的享受者因福利的具體提供者的過錯(cuò)而受到損害的情況下也要有充分的法律救濟(jì)的保障。 否則, 提供福利的法律保障就失去了充分的現(xiàn)實(shí)意義, 人民享受的福利就只能是殘缺不全的福利�����。以醫(yī)療行業(yè)的公共福利性為理由的醫(yī)療事故賠償限制論, 似乎缺少全面法律保障的觀點(diǎn), 它弱化了法律救濟(jì)的機(jī)能, 使本來就程度很低•范圍很窄的醫(yī)療福利退化為殘缺不全的福利���。
④ 治病救人是醫(yī)療行業(yè)的根本宗旨, 嚴(yán)格遵守醫(yī)療規(guī)范���、盡職盡責(zé)為患者服務(wù)、關(guān)愛患者�、 救死扶傷是醫(yī)務(wù)人員的神圣職責(zé)和法定義務(wù)(執(zhí)業(yè)醫(yī)師法第3條,第22條)?��;颊咄懈督o醫(yī)療機(jī)構(gòu)和醫(yī)務(wù)人員的是他們作為人的最為寶貴的健康和生命的命運(yùn)���。醫(yī)療事故恰恰是起因于醫(yī)療機(jī)構(gòu)或醫(yī)務(wù)人員的違規(guī)失職, 恰恰是背離了患者的期待和信賴, 恰恰是危害了患者的健康或生命����。對(duì)性質(zhì)在總體上如此嚴(yán)重的侵權(quán)損害, 如果認(rèn)為有必要設(shè)定賠償?shù)姆秶驑?biāo)準(zhǔn)的話, 毫無疑問, 至少不應(yīng)當(dāng)在范圍上小于��、在標(biāo)準(zhǔn)上低于其它侵權(quán)損害賠償?shù)姆秶蜆?biāo)準(zhǔn)��。筆者百思不得其解的是, 醫(yī)療事故賠償限制論怎么會(huì)如此的“理性”, 理性到無視醫(yī)療事故侵權(quán)在總體上的嚴(yán)重性質(zhì), 理性到搬出諸如醫(yī)療的公共福利性���、醫(yī)療服務(wù)的不等價(jià)性之類的似是而非的理論( 無論是土產(chǎn)的還是進(jìn)口的)����。這些理論又怎么能夠證明限制醫(yī)療事故賠償?shù)暮侠硇曰蛘?dāng)性呢?
第2篇
關(guān)鍵詞:道路��;交通����;安全審計(jì)
Abstract: with the rapid growth of China's national economy, China's transportation construction has entered a rapid development stage. Traffic accidentsincrease gradually. In order to improve the level of road traffic safety of the whole traffic system, need to "road traffic safety audit" into the road network planning and design, to prevent traffic accidents, reduce the likelihood and severity of accidents caused.
Keywords: road; traffic safety audit;
中圖分類號(hào):E232.6文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):2095-2104(2013)
一、引言
隨著我國(guó)國(guó)民經(jīng)濟(jì)的迅速增長(zhǎng), 我國(guó)的交通建設(shè)也進(jìn)入了快速發(fā)展階段��。到2012年底����,全國(guó)已建成通車的公路總里程達(dá)到423.75萬公里��,其中高速公路通車?yán)锍桃堰_(dá)9.6萬公里��。與此同時(shí), 公路���、特大型橋梁的整體設(shè)計(jì)施工技術(shù)水平也有了跨越式的提高, 并廣受世人矚目。公路交通已由制約國(guó)民經(jīng)濟(jì)發(fā)展的階段向基本適應(yīng)轉(zhuǎn)化��。我國(guó)的公路建設(shè)只用10 余年的時(shí)間就走過了西方發(fā)達(dá)國(guó)家?guī)资甑陌l(fā)展里程, 成績(jī)斐然��。
但是, 與西方發(fā)達(dá)國(guó)家經(jīng)過的歷程一樣, 伴隨著經(jīng)濟(jì)的迅猛增長(zhǎng), 我國(guó)的道路交通安全形勢(shì)也十分嚴(yán)峻����。隨著機(jī)動(dòng)車數(shù)量的不斷增長(zhǎng)�,公路交通事故頻發(fā)已成為社會(huì)的一大公害。以2011年為例��,全國(guó)共接報(bào)涉及人員傷亡的道路交通事故210812起����,共造成62387人死亡,直接財(cái)產(chǎn)損失達(dá)數(shù)十億元���。交通死亡事故總數(shù)近幾年一直排名世界第一��。而對(duì)于治理道路交通安全問題的措施���,在道路建設(shè)中實(shí)行道路安全審計(jì)則是有效預(yù)防交通事故的重要手段之一�。
二�����、交通安全審計(jì)的定義
道路安全審計(jì)是從預(yù)防交通事故�、降低事故產(chǎn)生的可能性和嚴(yán)重性入手,對(duì)道路項(xiàng)目建設(shè)的全過程�,即規(guī)劃、設(shè)計(jì)�、施工和服務(wù)期進(jìn)行全方位的安全審核,從而揭示道路發(fā)生事故的潛在危險(xiǎn)因素及安全性能��。道路安全審計(jì)可定義為�;由公正獨(dú)立、有資質(zhì)的人員對(duì)涉及使用者的道路項(xiàng)目(已建或?qū)⒔?xiàng)目)進(jìn)行的正式審查�����,以確定對(duì)道路使用者任何潛在的不安全特性或構(gòu)成威脅的運(yùn)營(yíng)安排��。安全審計(jì)的目標(biāo)是:確定項(xiàng)目潛在的安全隱患��;確保考慮了合適的安全對(duì)策��;使安全隱患得以消除或以較低的代價(jià)降低其負(fù)面影響���,避免道路成為事故多發(fā)路段�;保證道路項(xiàng)目在規(guī)劃�、設(shè)計(jì)、施工和運(yùn)營(yíng)各階段都考慮了使用者的安全需求���。因而可以說道路安全審計(jì)的目的就是:保證現(xiàn)已運(yùn)營(yíng)或?qū)⒔ㄔO(shè)的道路項(xiàng)目都能為使用者提供較高實(shí)用標(biāo)準(zhǔn)的交通安全服務(wù)�。
三���、道路安全審計(jì)的意義和經(jīng)濟(jì)效益
國(guó)內(nèi)外大量研究表明�,道路安全審計(jì)可有效地預(yù)防交通事故���,降低交通事故數(shù)量及其嚴(yán)重程度,降低道路交通事故的人身賠償費(fèi)用����,減少道路開通后改建完善和運(yùn)營(yíng)管理費(fèi)用,提高路網(wǎng)的安全性��;提升交通安全文化,提高道路管理部門和設(shè)計(jì)者的安全意識(shí)���。
道路安全審計(jì)的最大效益在于“只需用鉛筆改變?cè)O(shè)計(jì)線�����,而不是到建成后再去搬動(dòng)混凝土�����;即使是建成后的道路需要搬動(dòng)混凝土�,那么至少可以避免或減少搬動(dòng)撞毀的汽車和傷亡的人員”�。道路安全審計(jì)的費(fèi)用和改變?cè)O(shè)計(jì)所花的費(fèi)用,要遠(yuǎn)遠(yuǎn)低于在項(xiàng)目建成以后才采取治理措施所需的費(fèi)用�。如果一條道路設(shè)計(jì)中有明顯的安全問題,那么事故耗費(fèi)將可能成為該項(xiàng)目的整個(gè)經(jīng)濟(jì)壽命中費(fèi)用的最主要部分�;如果一條新建道路有安全問題,又因?yàn)椴扇「膭?dòng)措施耗資巨大��,而采取了其他的補(bǔ)救措施�,這將帶來一些不良后果——要么是持續(xù)的事故損失,要么是由于通行量和車速受到限制而帶來的持續(xù)的經(jīng)濟(jì)損失����。對(duì)社會(huì)而言�����,在建造之前就避免問題的發(fā)生將是最經(jīng)濟(jì)的�����。對(duì)于公路建設(shè)項(xiàng)目����,盡可能減少治理措施�����。將會(huì)降低預(yù)算開支��,并且使資金的使用更為有效�。另外,對(duì)現(xiàn)有道路的安全評(píng)價(jià)將會(huì)大大降低事故的損失代價(jià)�,從而明顯地節(jié)省開支。工程規(guī)范及指南為一個(gè)好的設(shè)計(jì)提供了一個(gè)好的開端�。
道路安全審計(jì)���,應(yīng)當(dāng)被視為用來減少事故風(fēng)險(xiǎn)的整個(gè)道路安全工程的一部分�。資料表明,審計(jì)1個(gè)大型的新建工程����,會(huì)增加設(shè)計(jì)成本的 4 %~10 %。由于設(shè)計(jì)成本僅占工程投資的 5 %~6 %�,所以這部分投資的增加是很小的。道路安全審計(jì)的收益表現(xiàn)在減少交通事故上���,這些收益主要是指因?yàn)榻煌ㄊ鹿实谋苊夂褪鹿蕠?yán)重程度的減輕��,大大降低了交通事故的賠償費(fèi)用和道路建成后的維護(hù)改進(jìn)費(fèi)用���。
四、道路安全審計(jì)的內(nèi)容及步驟
(一)道路安全審計(jì)是從道路因素方面著手,預(yù)防交通事故��、降低事故產(chǎn)生的可能性和嚴(yán)重性 ,對(duì)道路項(xiàng)目建設(shè)的全過程進(jìn)行全方位的安全審核 ,從而揭示道路發(fā)生事故的潛在危險(xiǎn)因素及安全性能 ,是國(guó)際上近期興起的以預(yù)防交通事故和提高道路交通安全為目的的一項(xiàng)新技術(shù)手段.
(二)道路安全審計(jì)是指對(duì)現(xiàn)有道路�����、未來道路�、交通工程以及與道路使用者有關(guān)的工程進(jìn)行正式的審計(jì)。審計(jì)的對(duì)象既包括擬建的道路項(xiàng)目�,又包括已有各種不同類型的道路及設(shè)施;既可以是大型的、綜合性的高速公路項(xiàng)目�,又可以是小型的,如1個(gè)道路交叉口或1個(gè)限速檻����。
(三)道路安全審計(jì)要貫穿于項(xiàng)目的規(guī)劃、設(shè)計(jì)�、施工和營(yíng)運(yùn)期的整個(gè)過程中。道路設(shè)計(jì)建設(shè)程序可將擬建道路安全審計(jì)劃分為五個(gè)階段:可行性階段����、初步設(shè)計(jì)階段、施工圖設(shè)計(jì)階段�、預(yù)通車階段和通車后安全審計(jì)。其中每個(gè)階段審計(jì)均是一次完整的審計(jì)過程�����,每個(gè)階段都應(yīng)嚴(yán)格按照安全審計(jì)的實(shí)施步驟并參照審計(jì)條目來執(zhí)行�。審計(jì)清單是作為道路安全審計(jì)的輔助手段,是有關(guān)道路方面知識(shí)和經(jīng)驗(yàn)的綜合產(chǎn)物�����,可使審計(jì)者在安全審計(jì)時(shí)免于遺漏某些重要的東西��,同時(shí)也可使設(shè)計(jì)者在設(shè)計(jì)時(shí)發(fā)現(xiàn)潛在安全問題。道路安全審計(jì)表單內(nèi)容的關(guān)聯(lián)因素具體表現(xiàn)為道路及其環(huán)境因素對(duì)交通安全的影響�,與交通安全相關(guān)的道路及其環(huán)境因素有許多�,項(xiàng)目通過不同等級(jí)公路、在不同道路影響因素的各個(gè)方面進(jìn)行了分析與研究����。研究結(jié)果表明:道路的種類與規(guī)格、路線和線形���、路基路面�、交通工程設(shè)施等與道路交通安全的關(guān)聯(lián)緊密����。因此,對(duì)道路進(jìn)行安全審計(jì)時(shí)��,應(yīng)當(dāng)分別從工程的整體情況��、路線線形��、路基路面、橋梁涵洞�����、平面交叉、立體交叉�����、隧道�、交通工程及沿線設(shè)施��、環(huán)境因素、道路使用者����、出入口和周邊開發(fā)地區(qū)等方面來進(jìn)行�。
(四)道路安全審計(jì)的每個(gè)實(shí)施階段都是一個(gè)完整的審計(jì)過程�,應(yīng)當(dāng)依次執(zhí)行選擇審計(jì)隊(duì)伍、收集背景信息����、開工會(huì)議���、評(píng)價(jià)分析、現(xiàn)場(chǎng)考察�、編寫審計(jì)報(bào)告、完工會(huì)議��、跟蹤測(cè)評(píng)的步驟��。每個(gè)步驟中的工作內(nèi)容必須與具體審計(jì)項(xiàng)目的性質(zhì)和規(guī)模相適應(yīng)���。對(duì)于規(guī)模較小����、交通安全問題較清楚的項(xiàng)目,有的步驟可以簡(jiǎn)化�,但不能省略�����,且總的流程次序不能改變���。例如,對(duì)一些小規(guī)模項(xiàng)目的審計(jì)就不需要召開專門的開工會(huì)議����,只需幾個(gè)電話通知聯(lián)絡(luò)一下即可,而且審計(jì)組提交的書面報(bào)告也應(yīng)當(dāng)盡可能的簡(jiǎn)潔�;而對(duì)于一個(gè)大型道路項(xiàng)目的安全審計(jì),其過程可能會(huì)包括若干次會(huì)議�、大量的計(jì)劃以及詳細(xì)的最終審計(jì)報(bào)告。
第3篇
關(guān)鍵詞:數(shù)據(jù)庫����;安全審計(jì)����;安全插件
中圖分類號(hào):TP311.13
數(shù)據(jù)庫系統(tǒng)信息規(guī)模化發(fā)展勢(shì)頭強(qiáng)勁���,數(shù)據(jù)庫的應(yīng)用日益廣泛��,涉及到銅礦產(chǎn)業(yè)方方面面��,給公司帶來了實(shí)實(shí)在在的收益��,同時(shí)也深刻反映了公司對(duì)信息系統(tǒng)的巨大依賴性��,對(duì)產(chǎn)業(yè)研究和生產(chǎn)起到了重要的引導(dǎo)作用���,當(dāng)今數(shù)據(jù)庫的安全問題變得尤為重要��。
1 數(shù)據(jù)庫安全總體架構(gòu)
1.1 數(shù)據(jù)庫系統(tǒng)設(shè)計(jì)思路
數(shù)據(jù)庫安全系統(tǒng)的重點(diǎn)是解決安全審計(jì)和安全插件問題,對(duì)來自網(wǎng)絡(luò)和本地的用戶對(duì)數(shù)據(jù)庫的操作行為進(jìn)行審計(jì),及時(shí)識(shí)別和發(fā)現(xiàn)其中是否對(duì)數(shù)據(jù)庫系統(tǒng)構(gòu)成威脅,系統(tǒng)提出了用安全插件來提高數(shù)據(jù)庫安全性的設(shè)計(jì)方案�。安全插件采用阻斷非法用戶訪問進(jìn)入系統(tǒng)來保障數(shù)據(jù)庫信息的安全性和可控性���。
1.2 數(shù)據(jù)庫系統(tǒng)設(shè)計(jì)目標(biāo)
(1)高安全性:對(duì)于一些重要的機(jī)密的數(shù)據(jù)��,足夠的加密強(qiáng)度,在共享環(huán)境下保證數(shù)據(jù)所有者的安全�。
(2)統(tǒng)一審計(jì):對(duì)日志數(shù)據(jù)庫進(jìn)行統(tǒng)一審計(jì)、客戶端訪問數(shù)據(jù)庫集中控制�����;事后可以整合信息分析導(dǎo)致數(shù)據(jù)庫出現(xiàn)異常的一系列行為,追蹤攻擊者的來源提供依據(jù)��。
(3)權(quán)限管理:將管理權(quán)限集中管理�,由系統(tǒng)安全審計(jì)引擎統(tǒng)一進(jìn)行設(shè)置、解析�����。
1.3 方案總體設(shè)計(jì)
數(shù)據(jù)庫安全系統(tǒng)總體構(gòu)架見圖1
圖1
數(shù)據(jù)庫安全審計(jì)系統(tǒng)是通過以網(wǎng)絡(luò)審計(jì)為主���,兼容數(shù)據(jù)庫本地審計(jì)的方式��。數(shù)據(jù)庫審計(jì)監(jiān)管系統(tǒng)將從網(wǎng)上采集到的信息包發(fā)送到前臺(tái)審計(jì)監(jiān)管平臺(tái)上的數(shù)據(jù)庫日志�����,通過后臺(tái)的審計(jì)監(jiān)管服務(wù)器對(duì)數(shù)據(jù)包進(jìn)行分析��,為管理者和系統(tǒng)管理員提供及時(shí)�、準(zhǔn)確�、詳細(xì)的數(shù)據(jù)異動(dòng)信息,發(fā)現(xiàn)工作中的越權(quán)�����、違規(guī)、過失��、惡意篡改等操作反饋在審計(jì)監(jiān)管管理平臺(tái)上�,實(shí)現(xiàn)對(duì)數(shù)據(jù)庫系統(tǒng)安全狀況的全面審計(jì),從而保障數(shù)據(jù)庫的安全.
安全插件是在數(shù)據(jù)庫管理系統(tǒng)外的安全防護(hù)罩���,登陸數(shù)據(jù)庫系統(tǒng)的用戶訪問應(yīng)用服務(wù)器時(shí)�����,系統(tǒng)自動(dòng)彈出提示�,用戶按照提示安裝安全插件��。安全插件截獲數(shù)據(jù)庫各種訪問接口的訪問請(qǐng)求��,對(duì)用戶訪問控制進(jìn)行安全審核��,將允許訪問的命令送到數(shù)據(jù)庫管理系統(tǒng)��,系統(tǒng)插件自動(dòng)對(duì)用戶訪問行為做出安全級(jí)別的評(píng)價(jià)�����,根據(jù)安全級(jí)別評(píng)價(jià)的提示對(duì)用戶進(jìn)行認(rèn)證和監(jiān)控控制��。如果系統(tǒng)發(fā)現(xiàn)非法用戶的指令�,則安全插件將自動(dòng)切斷用戶對(duì)數(shù)據(jù)庫的。
1.4 數(shù)據(jù)庫系統(tǒng)技術(shù)路線
數(shù)據(jù)庫安全系統(tǒng)是采用自主研發(fā)安全插件與數(shù)據(jù)庫安全審計(jì)���,并與傳統(tǒng)系統(tǒng)相結(jié)合的路線�,解決支路安全設(shè)備的阻斷問題����。
(1)系統(tǒng)安全插件可自動(dòng)獲取用戶的IP地址、MAC�、PC名以及操作系統(tǒng)類別和系統(tǒng)軟件等信息,監(jiān)控中心發(fā)出指令��,防止非授權(quán)的用戶訪問數(shù)據(jù)庫系統(tǒng)��。安全插件具有超高安全性���,卸載�、刪除安全插件系統(tǒng)將自動(dòng)彈出預(yù)警提示����,防止非法操作破壞系統(tǒng)的安全性。
(2)解決旁路安全產(chǎn)品的阻斷問題
本系統(tǒng)采用數(shù)據(jù)庫審計(jì)系統(tǒng)和安全插件的技術(shù)��,可以成功解決旁路安全設(shè)備的阻斷問題。即在用戶訪問數(shù)據(jù)庫前假設(shè)個(gè)“關(guān)卡”�,所有要訪問數(shù)據(jù)庫的操作都需先經(jīng)過審計(jì)監(jiān)控系統(tǒng),只有審計(jì)監(jiān)控系統(tǒng)授權(quán)才能夠?qū)?shù)據(jù)庫進(jìn)行訪問����。安全插件接收監(jiān)控系統(tǒng)的指令,阻止非授權(quán)的用戶對(duì)數(shù)據(jù)庫服務(wù)器的訪問�����。與數(shù)據(jù)庫審計(jì)系統(tǒng)進(jìn)行聯(lián)動(dòng)��,對(duì)數(shù)據(jù)庫用戶的越權(quán)訪問進(jìn)行阻斷和報(bào)警��。
(3)系統(tǒng)集成與安全審計(jì)和安全插件的聯(lián)合應(yīng)用
數(shù)據(jù)庫系統(tǒng)安全創(chuàng)新之處在于:數(shù)據(jù)庫集成與安全審計(jì)和安全插件管理系統(tǒng)相結(jié)合��,做到系統(tǒng)兼容�、風(fēng)格一致、界面協(xié)調(diào)����。集成后的系統(tǒng)操作界面由兩部分組成:數(shù)據(jù)庫審計(jì)子系統(tǒng)和數(shù)據(jù)庫用戶管理子系統(tǒng)�,兩個(gè)子系統(tǒng)相得益彰,用戶操作快捷�,方便系統(tǒng)管理�����。
(4)系統(tǒng)的聯(lián)動(dòng)
通過數(shù)據(jù)庫系統(tǒng)管理平成前�、后臺(tái)審計(jì)的安全策略和若干審計(jì)引擎設(shè)置相結(jié)合的管理方式���,操作簡(jiǎn)便快捷和安全性高�����。審計(jì)引擎作為數(shù)據(jù)庫安全的重要組成部分與審計(jì)監(jiān)管系統(tǒng)聯(lián)動(dòng)��,對(duì)個(gè)別服務(wù)器終端作相應(yīng)的共享��。
1.5 數(shù)據(jù)庫系統(tǒng)功能實(shí)現(xiàn)
(1)支持對(duì)SQL Server���、Oracle、informix�����、MYSQL數(shù)據(jù)庫類型的審計(jì)監(jiān)控分析��。
(2)系統(tǒng)提供用戶需要配置條件����。不同性質(zhì)的用戶可按一定的范圍對(duì)特定主機(jī)和特定網(wǎng)段進(jìn)行監(jiān)控���,從而保證用戶能夠按照自己的需求實(shí)施監(jiān)控。
(3)系統(tǒng)支持?jǐn)?shù)據(jù)庫服務(wù)器的事件統(tǒng)計(jì)�����、安全報(bào)警功能��。
(4)數(shù)據(jù)庫系統(tǒng)可生成安全報(bào)表:直觀��、簡(jiǎn)潔�����、豐富�。
(5)系統(tǒng)采用多級(jí)用戶管理體系,包括系統(tǒng)管理員�����、普通管理員�����、一般用戶三種權(quán)限用戶,不同級(jí)別的用戶之間彼此制衡���,保證了系統(tǒng)安全性和可控性.
2 系統(tǒng)應(yīng)用效果
自數(shù)據(jù)庫安全系統(tǒng)運(yùn)行以來��,自動(dòng)提示用戶安裝的安全插件近70多個(gè),能夠?qū)ΡWo(hù)的數(shù)據(jù)庫服務(wù)器的訪問進(jìn)行審計(jì)和監(jiān)控�。數(shù)據(jù)庫安全系統(tǒng)對(duì)于科研和生產(chǎn)發(fā)揮了巨大的作用,取得了很好的效果��。
數(shù)據(jù)庫安全系統(tǒng)的實(shí)施較好地解決了信息資源的安全問題和可控問題�,主要體現(xiàn)在以下四個(gè)方面:
(1)在數(shù)據(jù)庫系統(tǒng)的外網(wǎng)增加了一道安全屏障,實(shí)時(shí)監(jiān)控分析�����,攔截非法用戶的入侵�,通過數(shù)據(jù)庫系統(tǒng)審計(jì)平臺(tái)管理,有效防止重要數(shù)據(jù)的破壞和泄漏����。
控制非法用戶對(duì)數(shù)據(jù)庫系統(tǒng)強(qiáng)行的訪問,全面記錄用戶對(duì)數(shù)據(jù)庫的所有操作行為�,通過系統(tǒng)安全插件提前預(yù)警,杜絕用戶違規(guī)操作的問題��。
數(shù)據(jù)庫系統(tǒng)提供用戶查詢權(quán)限范圍內(nèi)的數(shù)據(jù)信息,通過日志列表查詢和事件列表查詢�,對(duì)每條事件信息進(jìn)行審計(jì),監(jiān)控分析用戶的具體操作行為是否對(duì)數(shù)據(jù)庫系統(tǒng)構(gòu)成威脅�,并且導(dǎo)出系統(tǒng)原始數(shù)據(jù)為管理人員全面掌握數(shù)據(jù)庫資源安全使用情況提供科學(xué)的依據(jù).
可按時(shí)間周期來評(píng)定系統(tǒng)審計(jì)事件的強(qiáng)、中��、弱三個(gè)級(jí)別的數(shù)量�,以及日志數(shù)和會(huì)話的信息。
3 結(jié)語
數(shù)據(jù)庫安全系統(tǒng)伴隨著網(wǎng)絡(luò)的更高層次利用�,需要進(jìn)一步加強(qiáng)信息資源安全審計(jì)和監(jiān)控,數(shù)據(jù)庫系統(tǒng)安全管理是一項(xiàng)長(zhǎng)期而艱巨的工作���。信息安全是涉及公司產(chǎn)業(yè)發(fā)展和公司安全的重大問題�。數(shù)據(jù)庫安全系統(tǒng)部署了審計(jì)數(shù)據(jù)處理中心����、安全管理系統(tǒng)控制臺(tái)、多臺(tái)數(shù)據(jù)庫審計(jì)系統(tǒng)�����、及大量的數(shù)據(jù)庫安全插件����,保障數(shù)據(jù)庫信息的有效性和合法性��。規(guī)范了用戶訪問行為���,加強(qiáng)了安全審計(jì)、風(fēng)險(xiǎn)級(jí)別評(píng)價(jià)工作�,從而更有力保障數(shù)據(jù)庫系統(tǒng)的安全。
參考文獻(xiàn):
[1]王永祥.論企業(yè)數(shù)據(jù)安全保護(hù)方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用��,2011(61):13-14.
第4篇
【關(guān)鍵詞】網(wǎng)絡(luò)安全邊界
一����、基礎(chǔ)設(shè)施安全
全網(wǎng)系統(tǒng)基礎(chǔ)設(shè)施安全就是網(wǎng)絡(luò)平臺(tái)全部子系統(tǒng)的安全���。為確保全網(wǎng)系統(tǒng)網(wǎng)絡(luò)平臺(tái)的長(zhǎng)期穩(wěn)定運(yùn)行�,建議部署網(wǎng)絡(luò)管理系統(tǒng)��,對(duì)整全網(wǎng)系統(tǒng)網(wǎng)絡(luò)平臺(tái)進(jìn)行統(tǒng)一的管理�。同時(shí)需要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置。
1.1網(wǎng)絡(luò)管理中心
為了全網(wǎng)系統(tǒng)網(wǎng)絡(luò)在日常維護(hù)和處理事件時(shí)能做到全面����、直觀、及時(shí)。能夠?qū)W(wǎng)絡(luò)進(jìn)行統(tǒng)一的管理�,需要有一個(gè)統(tǒng)一的網(wǎng)絡(luò)安全管理平臺(tái),能夠內(nèi)嵌和調(diào)用相關(guān)產(chǎn)品的監(jiān)管系統(tǒng)��,通過遠(yuǎn)程對(duì)不同設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控和分析���,監(jiān)控這些設(shè)備的硬件狀態(tài)�、網(wǎng)絡(luò)流量���、異常�、故障等狀態(tài)信息�,并提取這些信息,按既定的策略進(jìn)行分析�,最終以直觀的方式展示出來,使管理者實(shí)時(shí)直觀的了解全網(wǎng)運(yùn)行情況�����。同時(shí)還可以設(shè)定相關(guān)的報(bào)警功能����,設(shè)定一定的策略,當(dāng)出發(fā)策略被激活后自動(dòng)以各種方式進(jìn)行報(bào)警��,并及時(shí)自動(dòng)通知和提示管理者的問題所在及相應(yīng)的決策支持信息。
一套完全集成的�����、能夠支持多平臺(tái)基礎(chǔ)結(jié)構(gòu)��、能夠容納第三方產(chǎn)品并且提供開放標(biāo)準(zhǔn)的管理工具是網(wǎng)絡(luò)監(jiān)管所必須的�。目前流行的網(wǎng)管平臺(tái)有兩種類型,即基于SNMP的網(wǎng)管平臺(tái)和基于CMIP的網(wǎng)管平臺(tái)���,其中前者主要用于計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)的管理�,后者用于電信網(wǎng)絡(luò)的管理��。
1.2核心入侵檢測(cè)
由于全網(wǎng)上傳輸?shù)男畔?shù)據(jù)量大��,帶寬要求高�,同時(shí)對(duì)各級(jí)核心IDS的性能和穩(wěn)定要求也非常的高����,所以對(duì)于IDS檢測(cè)引擎要求必須選型為千兆的高速引擎,并且部署方式為分布式����,支持IDS管理中心的統(tǒng)一管理��。通過采用千兆的核心IDS系統(tǒng)�,可以在漏報(bào)率極低的情況下進(jìn)行實(shí)時(shí)檢測(cè)����,保證全網(wǎng)系統(tǒng)各級(jí)中心主干網(wǎng)的安全。各級(jí)核心IDS的部署是保證全網(wǎng)系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)安全的基本監(jiān)控措施��。
二��、全網(wǎng)邊界安全
邊界安全措施是任何一個(gè)信息系統(tǒng)的基本安全措施��,也是保障全網(wǎng)系統(tǒng)安全的第一步��。全網(wǎng)系統(tǒng)的邊界安全措施主要包括三個(gè)方面:邊界的定義����、邊界的隔離和訪問控制、邊界的入侵檢測(cè)��。
2.1邊界定義
安全訪問控制的前提是必須合理的建立安全域��,根據(jù)不同的安全需求建立不同的安全域��。安全域的建立可以從物理上和邏輯上分別劃分安全域�。在物理上將信息系統(tǒng)從地域上獨(dú)立出來�,劃分不同物理區(qū)域��。在邏輯上將信息系統(tǒng)或用戶分組���,指定不同的訪問權(quán)限���。
安全域邊界定義對(duì)目前及日后全網(wǎng)系統(tǒng)的安全運(yùn)行都是非常重要的因素,同時(shí)也是建立全網(wǎng)系統(tǒng)等級(jí)保護(hù)安全保障體系的基礎(chǔ)措施��。只有合理的劃分了安全域��,才能有效的采取系統(tǒng)分域技術(shù)手段保證全網(wǎng)系統(tǒng)的安全�����。
2.2邊界隔離和訪問控制
安全域定義完成后�����,就是如何設(shè)計(jì)各安全域間的邊界控制問題���。一般對(duì)于邊界的控制主要有兩種,物理隔離和邏輯隔離�����。針對(duì)全網(wǎng)的信息交換需求,安全域間通過防火墻實(shí)現(xiàn)邊界隔離��。這是用在信任網(wǎng)絡(luò)和不信任網(wǎng)絡(luò)之間的一種訪問控制技術(shù)��,主要有應(yīng)用���、包過濾兩種形式的防火墻設(shè)備��。
利用防火墻的目的主要有兩個(gè):一是控制全網(wǎng)系統(tǒng)各級(jí)網(wǎng)絡(luò)用戶之間的相互訪問�,規(guī)劃網(wǎng)絡(luò)的信息流向�,另一個(gè)目的是起到一定的隔離作用,一旦某一子網(wǎng)發(fā)生安全事故�,避免波及其他子網(wǎng)。
2.3邊界入侵行為檢測(cè)
由于我國(guó)信息化起步較晚�����,在網(wǎng)絡(luò)安全概念里�����,許多人都認(rèn)為網(wǎng)絡(luò)安全就是為網(wǎng)絡(luò)增配配防火墻��,至今許多單位依然是這樣實(shí)施的。這種想法是不全面的���,防火墻的部署���,僅能在網(wǎng)絡(luò)邊界起到安全作用,防火墻是主要是為了防止網(wǎng)絡(luò)外部的入侵�,等同于網(wǎng)絡(luò)的第一道關(guān)卡。只能阻止來自外部的部分通用型攻擊���;不能對(duì)內(nèi)部進(jìn)行防范��,而堡壘往往是從內(nèi)部攻破的��,而這去正好是防火墻的盲區(qū)���。這就需要有專用設(shè)備彌補(bǔ)不足,在全網(wǎng)的關(guān)鍵位置部署入侵防御系統(tǒng)(IPS)��,對(duì)所有通過的數(shù)據(jù)進(jìn)行監(jiān)控和分析���,為網(wǎng)絡(luò)安全提供既時(shí)有效的入侵防范���,并采取有針對(duì)性的有效防護(hù)手段。
第5篇
關(guān)鍵詞: 涉密網(wǎng)絡(luò)�����;安全審計(jì)�����;主機(jī)審計(jì)�;系統(tǒng)設(shè)計(jì)
1 引 言
隨著網(wǎng)絡(luò)與信息系統(tǒng)的廣泛使用,網(wǎng)絡(luò)與信息系統(tǒng)安全問題逐漸成為人們關(guān)注的焦點(diǎn)�。
涉密網(wǎng)與因特網(wǎng)之間一般采取了物理隔離的安全措施,在一定程度上保證了內(nèi)部網(wǎng)絡(luò)的安全性�����。然而����,網(wǎng)絡(luò)安全管理人員仍然會(huì)對(duì)所管理網(wǎng)絡(luò)的安全狀況感到擔(dān)憂,因?yàn)檎麄€(gè)網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)往往出現(xiàn)在終端用戶���。網(wǎng)絡(luò)安全存在著“木桶”效應(yīng)�,單個(gè)用戶計(jì)算機(jī)的安全性不足時(shí)刻威脅著整個(gè)網(wǎng)絡(luò)的安全[ 1 ] 。如何加強(qiáng)對(duì)終端用戶計(jì)算機(jī)的安全管理成為一個(gè)急待解決的問題���。
本文從系統(tǒng)的�、整體的�����、動(dòng)態(tài)的角度�,參照國(guó)家對(duì)安全審計(jì)產(chǎn)品的技術(shù)要求和對(duì)部分主機(jī)審計(jì)軟件的了解,結(jié)合實(shí)際的信息安全管理需求���,討論主機(jī)審計(jì)系統(tǒng)的設(shè)計(jì)��,達(dá)到對(duì)終端用戶的有效管理和控制�。
2 安全審計(jì)概念����。
計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中信息的機(jī)密性、完整性�����、可控性�、可用性和不可否認(rèn)性,簡(jiǎn)稱“五性”,安全審計(jì)是這“五性”的重要保障之一[2 ] ���。
凡是對(duì)于網(wǎng)絡(luò)信息系統(tǒng)的薄弱環(huán)節(jié)進(jìn)行測(cè)試�����、評(píng)估和分析,以找到極佳途徑在最大限度保障安全的基礎(chǔ)上使得業(yè)務(wù)正常運(yùn)行的一切行為和手段��,都可以叫做安全審計(jì)[3 ] ����。
傳統(tǒng)的安全審計(jì)多為“日志記錄”,注重事后的審計(jì)�,強(qiáng)調(diào)審計(jì)的威懾作用和安全事件的可核查性。隨著國(guó)家信息安全政策的改變����,美國(guó)首先在信息保障技術(shù)框架( IA TF) 中提出在信息基礎(chǔ)設(shè)置中進(jìn)行所謂“深層防御策略(Defense2in2Dept h St rategy) ”,對(duì)安全審計(jì)系統(tǒng)提出了參與主動(dòng)保護(hù)和主動(dòng)響應(yīng)的要求[4 ] �。這就是現(xiàn)代網(wǎng)絡(luò)安全審計(jì)的雛形,突破了以往“日志記錄”
等淺層次的安全審計(jì)概念��,是全方位��、分布式、多層次的強(qiáng)審計(jì)概念����,符合信息保障技術(shù)框架提出的保護(hù)、檢測(cè)�、反應(yīng)和恢復(fù)( PDRR) 動(dòng)態(tài)過程的要求,在提高審計(jì)廣度和深度的基礎(chǔ)上����,做到對(duì)信息的主動(dòng)保護(hù)和主動(dòng)響應(yīng)。
3 主機(jī)審計(jì)系統(tǒng)設(shè)計(jì)��。
安全審計(jì)從技術(shù)上分為網(wǎng)絡(luò)審計(jì)�、數(shù)據(jù)庫審計(jì)、主機(jī)審計(jì)���、應(yīng)用審計(jì)和綜合審計(jì)��。主機(jī)審計(jì)就是獲取��、記錄被審計(jì)主機(jī)的狀態(tài)信息和敏感操作��,并從已有的主機(jī)系統(tǒng)審計(jì)記錄中提取信息����,依據(jù)審計(jì)規(guī)則分析判斷是否有違規(guī)行為。
一般網(wǎng)絡(luò)系統(tǒng)的主機(jī)審計(jì)多采用傳統(tǒng)的審計(jì)��,涉密系統(tǒng)的主機(jī)審計(jì)應(yīng)采用現(xiàn)代綜合審計(jì)��,做到對(duì)信息的主動(dòng)保護(hù)和主動(dòng)響應(yīng)����。因此��,涉密網(wǎng)絡(luò)的主機(jī)審計(jì)在設(shè)計(jì)時(shí)就應(yīng)該全方位進(jìn)行考慮�����。
3. 1 體系架構(gòu)�。
主機(jī)審計(jì)系統(tǒng)由控制中心、受控端��、管理端等三部分組成�。管理端和控制中心間為B/ S架構(gòu),管理端通過瀏覽器訪問控制中心��。對(duì)于管理端�����,其操作系統(tǒng)應(yīng)不限于Windows ,瀏覽器也不是只有IE�。管理端地位重要,應(yīng)有一定保護(hù)措施�����,同時(shí)管理端和控制中心的通訊應(yīng)有安全保障�,可考慮隔離措施和SHTTP 協(xié)議。
主機(jī)審計(jì)能夠分不同的角色來使用��,至少劃分安全策略管理員�����、審計(jì)管理員���、系統(tǒng)管理員����。
安全策略管理員按照制定的監(jiān)控審計(jì)策略進(jìn)行實(shí)施����;審計(jì)管理員負(fù)責(zé)定期審計(jì)收集的信息,根據(jù)策略判斷用戶行為(包括三個(gè)管理員的行為) 是否違規(guī)��,出審計(jì)報(bào)告;系統(tǒng)管理員負(fù)責(zé)分配安全策略管理員和審計(jì)管理員的權(quán)限��。三員的任何操作系統(tǒng)有相應(yīng)記錄�����,對(duì)系統(tǒng)的操作互相配合���,同時(shí)互相監(jiān)督�,既方便管理�,又保證整個(gè)監(jiān)控體系和系統(tǒng)本身的安全?��?刂浦行氖菍徲?jì)系統(tǒng)的核心,所有信息都保存在控制中心�。因此,控制中心的操作系統(tǒng)和數(shù)據(jù)庫最好是國(guó)內(nèi)自己研發(fā)的��??刂浦行牡拇鎯?chǔ)空間到一定限額時(shí)報(bào)警,提醒管理員及時(shí)備份并刪除信息�,保證審計(jì)系統(tǒng)能夠采集新的信息。
3. 2 安全策略管理�。
不同的安全策略得到的審計(jì)信息不同�����。安全策略與管理策略緊密掛鉤�,體現(xiàn)安全管理意志�����。在審計(jì)系統(tǒng)上實(shí)施安全策略前��,應(yīng)根據(jù)安全管理思想�,結(jié)合審計(jì)系統(tǒng)能夠?qū)崿F(xiàn)的技術(shù)途徑,制定詳細(xì)的安全策略�����,由安全員按照安全策略具體實(shí)施��。如安全策略可以分部門�、分小組制定并執(zhí)行。安全策略越完善�����,審計(jì)越徹底��,越能反映主機(jī)的安全狀態(tài)。
主機(jī)審計(jì)的安全策略由控制中心統(tǒng)一管理��,策略發(fā)放采取推拉結(jié)合的方式�����,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式����。當(dāng)安全策略發(fā)生更改時(shí),控制中心可以及時(shí)將策略發(fā)給受控端��。但是���,當(dāng)受控端安裝了防火墻時(shí)���,推送方式將受阻���,安全策略發(fā)送不到受控端��。由受控端向控制中心定期拉策略����,可以保證受控端和控制中心的通訊不會(huì)因?yàn)榘惭b個(gè)人防火墻或其他認(rèn)證保護(hù)措施而中斷。聯(lián)網(wǎng)主機(jī)(服務(wù)器��、聯(lián)網(wǎng)PC 機(jī)) 通過網(wǎng)絡(luò)接收控制中心的管理策略向控制中心傳遞審計(jì)信息����。單機(jī)(桌面PC 或筆記本) 通過外置磁介質(zhì)(如U 盤、移動(dòng)硬盤) 接收控制中心管理策略��。審計(jì)信息存放在主機(jī)內(nèi)�,由管理員定期通過外置磁介質(zhì)將審計(jì)信息傳遞給控制中心。所有通訊采用SSL 加密方式傳輸���,確保數(shù)據(jù)在傳輸過程中不會(huì)被篡改或欺騙��。
為了防止受控端脫離控制中心管理��,受控端程序應(yīng)由安全員統(tǒng)一安裝在受控主機(jī)���,并與受控主機(jī)的網(wǎng)卡地址、IP 地址綁定���。該程序做到不可隨意卸載�,不能隨意關(guān)閉審計(jì)服務(wù),且不影響受控端的運(yùn)行性能�����。受控端一旦安裝受控程序��,只有重裝操作系統(tǒng)或由安全員卸載����,才能脫離控制中心的管理。聯(lián)網(wǎng)時(shí)自動(dòng)將信息傳到控制中心�,以保證審計(jì)服務(wù)不會(huì)被繞過。[ hi138\Com]
3. 3 審計(jì)主機(jī)范圍�����。
涉密信息系統(tǒng)中的主機(jī)有聯(lián)網(wǎng)主機(jī)�、單機(jī)等。常用操作系統(tǒng)包括Windows 98 �,Windows2000 ,Windows XP �����,Linux ��,Unix 等��。主機(jī)審計(jì)系統(tǒng)的受控端支持裝有不同操作系統(tǒng)的聯(lián)網(wǎng)主機(jī)���、單機(jī)等�,實(shí)現(xiàn)使用同一軟件解決聯(lián)網(wǎng)機(jī)���、單機(jī)��、筆記本的審計(jì)問題�。
根據(jù)國(guó)家有關(guān)規(guī)定��,涉密信息系統(tǒng)劃分為不同安全域�����。安全域可通過劃分虛擬網(wǎng)實(shí)現(xiàn)�,也可通過設(shè)置安全隔離設(shè)備(如防火墻) 實(shí)現(xiàn)。主機(jī)審計(jì)系統(tǒng)應(yīng)考慮不同安全域中主機(jī)的管理和控制�����,即能夠?qū)Σ煌W(wǎng)段的受控端和安裝了防火墻的受控端進(jìn)行控制并將信息收集到控制中心�����,以便統(tǒng)一進(jìn)行審計(jì)。同時(shí)能給出簡(jiǎn)單網(wǎng)絡(luò)拓?fù)?����,為管理人員提供方便�。
3. 4 主機(jī)行為監(jiān)控。
一般計(jì)算機(jī)使用人員對(duì)計(jì)算機(jī)軟硬件尤其是信息安全知識(shí)了解不多�,不清楚計(jì)算機(jī)的安全狀態(tài)。主機(jī)審計(jì)系統(tǒng)的受控端軟件應(yīng)具有主機(jī)安全狀態(tài)自檢功能�,主要用于檢查終端的安全策略執(zhí)行情況,包括補(bǔ)丁安裝�、弱口令、軟件安裝��、殺毒軟件安裝等��,形成檢查報(bào)告���,讓使用人員對(duì)本機(jī)的安全狀況有一個(gè)清楚的認(rèn)識(shí)���,從而有針對(duì)性地采取措施。自檢功能可由使用人員自行開啟或關(guān)閉��。檢查報(bào)告上傳給控制中心。
主機(jī)審計(jì)系統(tǒng)對(duì)使用受控端主機(jī)人員的行為進(jìn)行限制�����、監(jiān)控和記錄����,包括對(duì)文檔的修改�、拷貝、打印的監(jiān)控和記錄�,撥號(hào)上網(wǎng)行為的監(jiān)控和記錄,各種外置接口的禁止或啟用(并口����、串口、USB 接口等) ���,對(duì)USB 設(shè)備進(jìn)行分類管理���,如USB 存儲(chǔ)設(shè)備(U 盤,活動(dòng)硬盤) �、USB 輸入設(shè)備(USB 鍵盤、鼠標(biāo)) �、USB2KEY以及自定義設(shè)備����。通過分類和靈活設(shè)置��,增強(qiáng)實(shí)用性����,對(duì)受控主機(jī)添加和刪除設(shè)備進(jìn)行監(jiān)控和記錄,對(duì)未安裝受控端的主機(jī)接入網(wǎng)絡(luò)拒絕并報(bào)警��,防止非法主機(jī)的接入����。
主機(jī)審計(jì)系統(tǒng)對(duì)接入計(jì)算機(jī)的存儲(chǔ)介質(zhì)進(jìn)行認(rèn)證、控制和報(bào)警�。做到經(jīng)過認(rèn)證的合法介質(zhì)可以從主機(jī)拷貝信息;未通過認(rèn)證的非法介質(zhì)只能將信息拷入主機(jī)內(nèi)����,不能從主機(jī)拷出信息到介質(zhì)內(nèi),否則產(chǎn)生報(bào)警信息���,防止信息被有意或者無意從存儲(chǔ)設(shè)備(尤其是移動(dòng)存儲(chǔ)設(shè)備) 泄漏出去�����。在認(rèn)證時(shí)�,把介質(zhì)分類標(biāo)識(shí)為非密、秘密��、機(jī)密�。當(dāng)合法介質(zhì)從主機(jī)拷貝信息時(shí)���,判斷信息密級(jí)(國(guó)家有關(guān)部門規(guī)定��,涉密信息必須有密級(jí)標(biāo)識(shí)) ��,拒絕低密級(jí)介質(zhì)拷貝高密級(jí)信息����。
在認(rèn)證時(shí)��,把移動(dòng)介質(zhì)編號(hào)��,編號(hào)與使用人員對(duì)應(yīng)�。移動(dòng)介質(zhì)接入主機(jī)操作時(shí)記錄下移動(dòng)介質(zhì)編號(hào),以便審計(jì)時(shí)介質(zhì)與人對(duì)應(yīng)��。涉密信息被拷貝時(shí)會(huì)自動(dòng)加密存儲(chǔ)在移動(dòng)介質(zhì)上����,加密存儲(chǔ)在移動(dòng)介質(zhì)上的信息也只能在裝有受控端的主機(jī)上讀寫����,讀寫時(shí)自動(dòng)解密��。認(rèn)證信息只有在移動(dòng)介質(zhì)被格式化時(shí)才能清除��,否則無法刪除��。有防止系統(tǒng)自動(dòng)讀取介質(zhì)內(nèi)文檔的功能��,避免移動(dòng)介質(zhì)接在計(jì)算機(jī)上(無論是合法還是非法計(jì)算機(jī)) 被系統(tǒng)自動(dòng)將所有文檔讀到計(jì)算機(jī)上���。
3. 5 綜合審計(jì)及處理措施����。
要達(dá)到綜合審計(jì)�,主機(jī)審計(jì)系統(tǒng)需要通過標(biāo)準(zhǔn)接口對(duì)多種類型、多個(gè)品牌的安全產(chǎn)品進(jìn)行管理��,如主機(jī)IDS�、主機(jī)防火墻、防病毒軟件等,將這些安全產(chǎn)品的日志�、安全事件集中收集管理,實(shí)現(xiàn)日志的集中分析�、審計(jì)與報(bào)告。同時(shí)��,通過對(duì)安全事件的關(guān)聯(lián)分析�,發(fā)現(xiàn)潛在的攻擊征兆和安全趨勢(shì),確保任何安全事件�、事故得到及時(shí)的響應(yīng)和處理。把主機(jī)上一個(gè)個(gè)原本分離的網(wǎng)絡(luò)安全產(chǎn)品聯(lián)結(jié)成一個(gè)有機(jī)協(xié)作的整體�,實(shí)現(xiàn)主機(jī)安全管理過程實(shí)時(shí)狀態(tài)監(jiān)測(cè)��、動(dòng)態(tài)策略調(diào)整�����、綜合安全審計(jì)����、數(shù)據(jù)關(guān)聯(lián)處理以及恰當(dāng)及時(shí)的威脅響應(yīng),從而有效提升用戶主機(jī)的可管理性和安全水平��,為整體安全策略制定和實(shí)施提供可靠依據(jù)��。
系統(tǒng)的安全隱患可以從審計(jì)報(bào)告反映出來��,因此審計(jì)系統(tǒng)的審計(jì)報(bào)告是很重要的��。審計(jì)報(bào)告應(yīng)將收集到的所有信息綜合審計(jì)��,按要求顯示并打印出來��,能用圖形說明問題,能按標(biāo)準(zhǔn)格式(WORD�����、HTML �����、文本文件等) 輸出。但是�,審計(jì)信息數(shù)據(jù)多�����,直接將收集的信息分類整理形成的報(bào)告不能很好的說明問題��,還應(yīng)配合審計(jì)員的人工分析。這些信息可以由審計(jì)員定期從控制中心數(shù)據(jù)庫備份恢復(fù)����。備份的數(shù)據(jù)自動(dòng)加密���,恢復(fù)時(shí)自動(dòng)解密����。審計(jì)信息也可以刪除����,但是刪除操作只能由審計(jì)員發(fā)起���,經(jīng)安全員確認(rèn)后才執(zhí)行�,以保證審計(jì)信息的安全性�、完整性�����。
審計(jì)系統(tǒng)發(fā)現(xiàn)問題的修復(fù)措施一般有打補(bǔ)丁��、停止服務(wù)、升級(jí)或更換程序�、去除特洛伊等后門程序�����、修改配置和權(quán)限、專門的解決方案等��。為了保證所有主機(jī)都能得到有效地處理,通過控制中心統(tǒng)一向受控端發(fā)送軟件升級(jí)包����、軟件補(bǔ)丁�。發(fā)送時(shí)針對(duì)不同版本操作系統(tǒng),由受控端自行選擇是否自動(dòng)執(zhí)行��。因?yàn)橛行┸浖?jí)包、軟件補(bǔ)丁與應(yīng)用程序有沖突�����,會(huì)影響終端用戶的工作�。針對(duì)這種情況�,只能采取專門的解決方案。
在復(fù)雜的網(wǎng)絡(luò)環(huán)境中,一個(gè)涉密網(wǎng)往往由不同的操作系統(tǒng)�����、服務(wù)器�����,防火墻和入侵檢測(cè)等眾多的安全產(chǎn)品組成�。網(wǎng)絡(luò)一旦遭受攻擊后�,專業(yè)人員會(huì)把不同日志系統(tǒng)里的日志提取出來進(jìn)行分析。不同系統(tǒng)的時(shí)間沒有經(jīng)過任何校準(zhǔn)��,會(huì)不必要地增加日志分析人員的工作量��。系統(tǒng)應(yīng)提供全網(wǎng)統(tǒng)一的時(shí)鐘服務(wù)���,將控制中心設(shè)置為標(biāo)準(zhǔn)時(shí)間���,受控端在接收管理的同時(shí),與控制中心保持時(shí)間同步�,實(shí)現(xiàn)審計(jì)系統(tǒng)的時(shí)間一致性�,從而提供有效的入侵檢測(cè)和事后追查機(jī)制�。
4 結(jié)束語
涉密系統(tǒng)的終端安全管理是一個(gè)非常重要的問題�,也是一個(gè)復(fù)雜的問題�����,涉及到多方面的因素��。本文從體系架構(gòu)�、安全策略管理��、審計(jì)主機(jī)范圍�、主機(jī)行為監(jiān)控�����、綜合審計(jì)及處理措施等方面提出主機(jī)審計(jì)系統(tǒng)的設(shè)計(jì)思想���,旨在與廣大同行交流�,共同推進(jìn)主機(jī)審計(jì)系統(tǒng)的開發(fā)和研究,最終開發(fā)出一個(gè)全方位的符合涉密系統(tǒng)終端安全管理需求的系統(tǒng)�����。
參考文獻(xiàn)
[1 ] 網(wǎng)絡(luò)安全監(jiān)控平臺(tái)技術(shù)白皮書。 北京理工大學(xué)信息安全與對(duì)抗技術(shù)研究中心�,2005.
[2 ] 王雪來��。 涉密計(jì)算機(jī)信息系統(tǒng)的安全審計(jì)�。 見:中國(guó)計(jì)算機(jī)學(xué)會(huì)信息保密專業(yè)委員會(huì)論文集,13 :67 - 72.
第6篇
關(guān)鍵詞:企業(yè)安全審計(jì)系統(tǒng)����;模塊設(shè)計(jì);測(cè)試模型
中圖分類號(hào):TP311 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2016)22-0049-02
1 概述
隨著國(guó)家改革開放的不斷深入��,互聯(lián)網(wǎng)的應(yīng)用深入到了企業(yè)工作中的各個(gè)方面�,企業(yè)發(fā)展面臨著前所未有的挑戰(zhàn)��。企業(yè)員工通過互聯(lián)網(wǎng)辦公的行為越來越多��,互聯(lián)網(wǎng)在方便企業(yè)員工的同時(shí)�,也帶來了員工工作效率低下�、容易泄露企業(yè)秘密�,造成企業(yè)的網(wǎng)絡(luò)安全沒有保障�,企業(yè)的信息資源網(wǎng)絡(luò)泄密等風(fēng)險(xiǎn)��。企業(yè)安全掃描過程漫長(zhǎng)�、排查隱患不合理、問題定位不精確、掃描缺乏深度、安全結(jié)論模糊等一系列業(yè)技術(shù)難題。這在很大程度上影響了公司的進(jìn)一步發(fā)展。本系統(tǒng)正是在這種背景之下提出的���。集中表現(xiàn)在以下幾個(gè)方面:
1)提高了企業(yè)的經(jīng)營(yíng)質(zhì)量和效率����。
2)提高企業(yè)員工辦公的工作效率,加強(qiáng)企業(yè)互聯(lián)網(wǎng)使用制度管理。
3)降低企業(yè)的人員管理成本�,減少人為因素和管理缺失造成的關(guān)鍵業(yè)務(wù)停頓造成的損失��。
4)降低企業(yè)泄密事件風(fēng)險(xiǎn)�,為企業(yè)的互聯(lián)網(wǎng)環(huán)境提供安全保障。
5)管理部門應(yīng)加強(qiáng)對(duì)員工互聯(lián)網(wǎng)通信數(shù)據(jù)和通話內(nèi)容的監(jiān)管��、審計(jì)�。
2 企業(yè)安全審計(jì)系統(tǒng)的需求分析與設(shè)計(jì)
通過調(diào)查,要求系統(tǒng)需要有以下功能�;1)有良好的人機(jī)界面�,有較好權(quán)限管理��;2)系統(tǒng)操作簡(jiǎn)單�����,容易學(xué)習(xí)�,容易理解���,快速上手使用系統(tǒng)��;3)系統(tǒng)數(shù)據(jù)安全加密���、系統(tǒng)具有數(shù)據(jù)備份和數(shù)據(jù)還原功能�;4) 方便的全方位的數(shù)據(jù)查詢��;5)審計(jì)數(shù)據(jù)的瀏覽和下載�;6)企業(yè)工作電話的通話內(nèi)容錄制�;7)非工作互聯(lián)網(wǎng)網(wǎng)絡(luò)站點(diǎn)的訪問;8)企業(yè)員工網(wǎng)絡(luò)數(shù)據(jù)瀏覽的統(tǒng)計(jì)和分析����。
通過對(duì)企業(yè)需求的分析得出�,需要設(shè)計(jì)的模塊為:系統(tǒng)狀態(tài)監(jiān)控、設(shè)置向?qū)?����、員工網(wǎng)絡(luò)行為監(jiān)控、員工通話記錄�、員工上網(wǎng)行為過濾��、員工網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計(jì)分析�����、系統(tǒng)管理七大模塊����。
3 企業(yè)安全審計(jì)系統(tǒng)的模塊規(guī)劃與詳細(xì)設(shè)計(jì)
安全審計(jì)系統(tǒng)是一個(gè)典型的數(shù)據(jù)庫開發(fā)與應(yīng)用的程序,能夠通過互聯(lián)網(wǎng)上網(wǎng)的技術(shù)手段對(duì)員工互聯(lián)網(wǎng)行為進(jìn)行監(jiān)督��、審計(jì)和管理����,避免企業(yè)重要信息資源泄露,以及發(fā)生泄密事件后能夠溯源找到相關(guān)證據(jù)和原因提供技術(shù)層面的支持�。其相關(guān)的模塊等部分是本系統(tǒng)的重要組成部分�,特此規(guī)劃本系統(tǒng)的功能模塊如下:
系統(tǒng)狀態(tài)監(jiān)控模塊
該模塊主要負(fù)責(zé)系統(tǒng)的接入方式��、數(shù)據(jù)來源的管理狀況�;員工網(wǎng)絡(luò)行為監(jiān)控的狀態(tài)和現(xiàn)在的工作模式����;員工通話記錄的監(jiān)控的啟用和停止?fàn)顟B(tài)�����;員工上網(wǎng)行為過濾的啟用和停止?fàn)顟B(tài)�。
設(shè)置向?qū)K
該模塊主要負(fù)責(zé)系統(tǒng)監(jiān)管內(nèi)容設(shè)置�����、系統(tǒng)互聯(lián)網(wǎng)接入方式設(shè)置���、系統(tǒng)用戶使用權(quán)限設(shè)置、員工互聯(lián)網(wǎng)數(shù)據(jù)監(jiān)控設(shè)置��、員工通話記錄設(shè)置�����、員工上網(wǎng)行為過濾設(shè)置�����。
員工網(wǎng)絡(luò)行為監(jiān)控
該模塊主要負(fù)責(zé)對(duì)員工網(wǎng)絡(luò)行為監(jiān)控的基本設(shè)置��;啟用和停止監(jiān)控;網(wǎng)絡(luò)行為的回放、審計(jì)和下載――支持對(duì)上網(wǎng)時(shí)間�、IP�、URL�、MAC�、關(guān)鍵字�、上網(wǎng)賬號(hào)����、上網(wǎng)電話��、郵件類型進(jìn)行回放���、審計(jì)和下載。支持對(duì)http上傳、http下載�、https���、smtp、pop3、telnet�、ftp���、qq�、msn、skype�����、微信��、飛信���、qq傳輸文件、web郵件傳輸、web網(wǎng)站訪問��、sohu微博�����、sina微博��、其他未知協(xié)議跟蹤等具體的按協(xié)議分類的回放���、審計(jì)和下載�;員工上網(wǎng)身份查詢�����;員工網(wǎng)絡(luò)行為實(shí)時(shí)回放��、審計(jì)和下載�。
員工通話記錄模塊
該模塊主要負(fù)責(zé)員工辦公室固定電話通話內(nèi)容回放;通話內(nèi)容記錄啟用和停止設(shè)置��。
員工上網(wǎng)行為過濾模塊
該模塊主要負(fù)責(zé)員工上網(wǎng)行為過濾規(guī)則的設(shè)置――支持對(duì)ip�����、mac����、端口、url��、http�、組合策略(ip+端口、mac+端口)等規(guī)則進(jìn)行過濾和放行��;過濾行為啟用和停止設(shè)置����。
員工網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計(jì)和分析模塊
該模塊主要負(fù)責(zé)員工網(wǎng)絡(luò)數(shù)據(jù)時(shí)間統(tǒng)計(jì)和分析――支持對(duì)ip、mac��、賬號(hào)的統(tǒng)計(jì)和分析;員工網(wǎng)絡(luò)數(shù)據(jù)軌跡統(tǒng)計(jì)和分析――支持對(duì)ip�、mac、賬號(hào)的統(tǒng)計(jì)和分析�;
系統(tǒng)管理模塊
該模塊主要負(fù)責(zé)權(quán)限管理、數(shù)據(jù)備份��、數(shù)據(jù)還原��、版本升級(jí)�、設(shè)備狀態(tài)、關(guān)閉設(shè)備��、工具下載��、操作日志審查����。
其他功能模塊
該模塊主要負(fù)責(zé)系統(tǒng)版本信息��、重新登錄��、退出系統(tǒng)��。
4 軟件開發(fā)過程
本系統(tǒng)的開發(fā)結(jié)合軟件信息系統(tǒng)的開發(fā)階段分為下面4個(gè)子階段:需求分析階段�、架構(gòu)設(shè)計(jì)階段���、程序編碼階段、系統(tǒng)測(cè)試和調(diào)試階段��。
1)分析階段
進(jìn)行需求分析(requirement analysis):理解問題需求����,包括程序是否需要和用戶進(jìn)行交互,是否操縱數(shù)據(jù)���,是否有輸出結(jié)果以及輸出結(jié)果的格式等等�。如果程序需要對(duì)數(shù)據(jù)進(jìn)行操作����,開發(fā)人員必須了解數(shù)據(jù)類型及它們的表示方法。這時(shí)候可能會(huì)接觸一些樣本數(shù)據(jù)����。如果程序有輸出信息,必須確定它們所生成的結(jié)果及輸出格式等�;如果需要解決的問題過于復(fù)雜,可以把它分解為多個(gè)子問題��,在對(duì)每個(gè)子問題做相應(yīng)的需求分析。
2)設(shè)計(jì)階段
結(jié)構(gòu)化設(shè)計(jì)方法
將一個(gè)問題分解為若干個(gè)子問題的方法叫做結(jié)構(gòu)化設(shè)計(jì)方法��。結(jié)構(gòu)化設(shè)計(jì)方法又叫做自頂向下的設(shè)計(jì)方法���、逐步求精方法和模塊化程序設(shè)計(jì)方法�。在結(jié)構(gòu)化設(shè)計(jì)方法中�,問題被分解為若干子問題,然后分別對(duì)每個(gè)子問題進(jìn)行分析和求解����。所有子問題的解合并起來就是原始問題的解。使用結(jié)構(gòu)化設(shè)計(jì)方法進(jìn)行編程就叫做結(jié)構(gòu)化程序設(shè)計(jì)���。
面向?qū)ο笤O(shè)計(jì)方法
在面向?qū)ο笤O(shè)計(jì)方法中�,求解問題的首要步驟是識(shí)別稱為“對(duì)象”的組件(它是運(yùn)用該方法求解問題的基礎(chǔ))和確定對(duì)象之間如何進(jìn)行交互�����。對(duì)象包括數(shù)據(jù)和在數(shù)據(jù)上執(zhí)行的操作����。對(duì)象可以看作數(shù)據(jù)和其上操作的統(tǒng)一體���。使用面向?qū)ο蠓椒ň幊?��,最終的程序是交互對(duì)象的集合��。實(shí)現(xiàn)面向?qū)ο笤O(shè)計(jì)方法的編程語言叫做面向?qū)ο蟪绦蛟O(shè)計(jì)語言�。
3)編程階段
在編程階段���,編寫和編譯程序代碼��,以實(shí)現(xiàn)在設(shè)計(jì)階段分析得到的類和函數(shù)���。
4)測(cè)試和調(diào)試
系統(tǒng)測(cè)試是保證軟件開發(fā)質(zhì)量的主要手段,測(cè)試目的不在于找出錯(cuò)誤��,而在于遍歷軟件系統(tǒng)各功能和邊界條件�,保障軟件系統(tǒng)的正常工作和運(yùn)行,是評(píng)價(jià)系統(tǒng)軟件質(zhì)量的重要方法之一��。
5 軟件開發(fā)模型(方法)
本系統(tǒng)開發(fā)采用增量的軟件開發(fā)模型來實(shí)現(xiàn)系統(tǒng)各功能模塊��。
1)瀑布模型
該模型嚴(yán)格按照需求分析��、軟件設(shè)計(jì)�、程序編碼�����、系統(tǒng)測(cè)試�、運(yùn)行和維護(hù)一級(jí)一級(jí)的向下執(zhí)行�,每個(gè)階段必須經(jīng)過階段性評(píng)審,并通過評(píng)審�,再進(jìn)入下一個(gè)開發(fā)階段。
2)原型方法模型
在開發(fā)的早期階段�,系統(tǒng)需求不確定時(shí)采用。通過一個(gè)簡(jiǎn)單的功能實(shí)現(xiàn)系統(tǒng)再進(jìn)一步確認(rèn)系統(tǒng)將要實(shí)現(xiàn)的各功能的一種開發(fā)模型��。
3)增量模型(漸增模型)
結(jié)合了原型方法模型和瀑布模型的基本軟件開發(fā)階段�,該模型首先通過早期的原型系統(tǒng)建立的模型,再進(jìn)一步按照瀑布模型的各階段完成系統(tǒng)開發(fā)�����。再次迭代原型系統(tǒng)模型和階段開發(fā)模型直至系統(tǒng)所有功能滿足用戶需求��。
6 軟件測(cè)試與維護(hù)
1)軟件測(cè)試:
測(cè)試這個(gè)術(shù)語表示檢測(cè)程序的正確性�,即檢查程序是不是完成了需要完成的工作。而調(diào)試一詞指�����,如果程序存在錯(cuò)誤�,如何找到并修改錯(cuò)誤。在每寫完一個(gè)函數(shù)或算法后�,接下來應(yīng)該驗(yàn)證它是否正確工作。在復(fù)雜的大型程序中����,錯(cuò)誤是一定存在的。為了提高程序的可靠性�,必須在交付用戶前發(fā)現(xiàn)并修改其中的錯(cuò)誤。
測(cè)試有兩類方法��,即:黑盒測(cè)試和白盒測(cè)試����。使用黑盒測(cè)試方法時(shí),您不需要知道算法或函數(shù)的內(nèi)部實(shí)現(xiàn)��,只需要知道程序的功能即可黑盒測(cè)試是基于輸入輸出的方法�。它的測(cè)試用例通過創(chuàng)建等價(jià)類來選取。如果程序?qū)τ诘葍r(jià)類中的某個(gè)輸入的輸出結(jié)果是正確的話��,那么就認(rèn)為對(duì)應(yīng)該等價(jià)類中其他輸入也會(huì)輸出同樣的正確結(jié)果�。白盒測(cè)試法需要測(cè)試人員遍歷測(cè)試程序的內(nèi)部邏輯結(jié)構(gòu)和業(yè)務(wù)處理流程的一種測(cè)試方法。常見的白盒測(cè)試方法有:基本路徑測(cè)試��、循環(huán)覆蓋測(cè)試、邏輯覆蓋測(cè)試�,測(cè)試的重點(diǎn)在于檢驗(yàn)內(nèi)部邏輯結(jié)構(gòu)和業(yè)務(wù)實(shí)現(xiàn)流程。
2)軟件維護(hù):軟件開發(fā)的工作的結(jié)果就是交付一個(gè)滿足用戶需求的軟件產(chǎn)品�����。軟件產(chǎn)品一旦投入應(yīng)用����,產(chǎn)品的缺陷就會(huì)逐漸的暴露出來,運(yùn)行的環(huán)境會(huì)逐漸發(fā)生變化�����,新的用戶也會(huì)不斷地浮出水面�����。軟件維護(hù)就是要針對(duì)這些問題而對(duì)軟件產(chǎn)品進(jìn)行相應(yīng)的修改或演化�,從而真正的修改錯(cuò)誤,改善性能或其他特征����。
軟件維護(hù)是整個(gè)軟件開發(fā)生命周期歷時(shí)最長(zhǎng)得工作,主要是為了保障軟件系統(tǒng)的正常工作和運(yùn)行直至軟件使用消亡或更新?lián)Q代�����。軟件的維護(hù)主要可分為三種:改正性維護(hù)(糾正軟件存在的錯(cuò)誤和缺陷)、適應(yīng)性維護(hù)(適應(yīng)內(nèi)����、外部環(huán)境)�、完善性維護(hù)(添加、擴(kuò)容和升級(jí)新的軟件功能)���。
參考文獻(xiàn):
[1] 沈備軍.軟件工程原理[M]. 北京:高等教育出版社�,2013.
[2] 張海藩�����,倪寧.軟件工程[M].北京:人民郵電出版社�,2010.
[3] 陳明.軟件工程導(dǎo)論[M].3版.北京:機(jī)械工業(yè)出版社,2010.
[4] 錢曉明��,朱健江���,王曉勇.軟件工程[M].北京:中國(guó)鐵道出版社��,2007.
[5] 呂云翔�,王昕鵬.軟件工程[M]. 北京:人民郵電出版社,2009.
[6] Carig Larman.UML和模式應(yīng)用[M]. 3版. 北京:機(jī)械工業(yè)出版社����,2006.
[7] Grady Booch.Object-Oriented Analysis and Design with Applications[M]. Addison Wesley Longman Publishing Co., Inc�����, 2003.
第7篇
【關(guān)鍵詞】電子政務(wù)����;平臺(tái)安全;建設(shè)中圖分類號(hào):TP39
文獻(xiàn)標(biāo)識(shí)碼:A
文章編號(hào):1006-0278(2015)02-112-02
一�����、基于安全的平臺(tái)物理構(gòu)架
數(shù)據(jù)安全的定義存在對(duì)立的兩個(gè)層而:一是針對(duì)數(shù)據(jù)本身的安全�����,數(shù)據(jù)本身的安全可以通過使用獨(dú)特的不為外人所知的密碼算法對(duì)數(shù)據(jù)信息進(jìn)行加密��;二是數(shù)據(jù)防護(hù)層而的安全�����,它的主要方法是利用先進(jìn)的儲(chǔ)存方式對(duì)數(shù)據(jù)進(jìn)行防護(hù),目前常用的儲(chǔ)存方式有磁盤陣列�、數(shù)據(jù)備份、異地容災(zāi)等�。通過對(duì)信息進(jìn)行加密算法傳輸,并且采取先進(jìn)的儲(chǔ)存方式���,一般來講可以保證數(shù)據(jù)的安全�。
在數(shù)據(jù)的處理過程中可能會(huì)出現(xiàn)因?yàn)殡娐饭收弦鸬挠布系K���,服務(wù)中斷、程序的錯(cuò)誤進(jìn)行�,以及人為的錯(cuò)誤操作,或者外部網(wǎng)絡(luò)的黑客入侵�、病毒感染等問題而導(dǎo)致數(shù)據(jù)丟失或者數(shù)據(jù)庫受到破壞。同時(shí)不同的數(shù)據(jù)只有擁有權(quán)限的人員才能瀏覽��,而有些不具備權(quán)限的人員進(jìn)行瀏覽之后����,可能會(huì)出現(xiàn)數(shù)據(jù)外泄的情況。
數(shù)據(jù)儲(chǔ)存也應(yīng)該具備安全性�����。一些數(shù)據(jù)庫的運(yùn)行是公開的,這方而的編程人員通過一些常規(guī)手段�,都能夠?qū)?shù)據(jù)庫中的信息進(jìn)行瀏覽或閱讀,如果這些人中有人對(duì)數(shù)據(jù)進(jìn)行了修改也是很正常的�。而一旦這些信息落入了非法訪問者手中,那么就會(huì)使內(nèi)部信息外泄�,給整個(gè)系統(tǒng)帶來重大的威脅。
數(shù)據(jù)安全具備以下特點(diǎn):
1.機(jī)密性(Confidentiality)���。機(jī)密性��,又稱保密性��,是指信息的獲取需要一點(diǎn)的權(quán)限����,不能被隨意獲得�����。在電腦程序中����,網(wǎng)絡(luò)瀏覽器和一些網(wǎng)站都有加密設(shè)置,這樣的目的是為了保證用戶信息的安全;2完整性(Integrity)���。完整性是指數(shù)據(jù)在傳送和儲(chǔ)存的過程中�,數(shù)據(jù)信息不被非法用戶篡改或獲取��,它是信息安全的二個(gè)基本要點(diǎn)之一�。完整性和保密性往往容易被混淆。以普通RSA對(duì)數(shù)值信息加密為例��,非法用戶如果沒有獲得授權(quán)�,也能夠通過保密文件的線性計(jì)算來對(duì)數(shù)值的信息進(jìn)行更改。為保證信息的安全���,通過散列函數(shù)和數(shù)字簽名可以對(duì)文件進(jìn)行保護(hù);3可用性(Availability)��。數(shù)據(jù)可用性是指數(shù)據(jù)的可讀性��,它的設(shè)計(jì)理念是以使用者為中心�,它的重點(diǎn)是根據(jù)使用者的要求對(duì)產(chǎn)品進(jìn)行相應(yīng)的設(shè)計(jì)。
對(duì)信息安全的認(rèn)識(shí)經(jīng)歷了的數(shù)據(jù)安全階段(強(qiáng)調(diào)保密通信)���、網(wǎng)絡(luò)信息安全時(shí)代(強(qiáng)調(diào)網(wǎng)絡(luò)環(huán)境)和信息保障時(shí)代(強(qiáng)調(diào)不能被動(dòng)地保護(hù)�����,需要有保護(hù)
檢測(cè)
反應(yīng)
恢復(fù)四個(gè)環(huán)節(jié))�。
二、平臺(tái)網(wǎng)絡(luò)安全威脅
能夠?qū)?shù)據(jù)的安全帶來威脅的因素是五花八門的���,而以下幾而方而的威脅是最為普遍的:
(一)硬盤驅(qū)動(dòng)器損壞
硬盤驅(qū)動(dòng)器一旦損壞����,通過這一驅(qū)動(dòng)器運(yùn)行的數(shù)據(jù)就會(huì)丟失�。而設(shè)備運(yùn)行過程中的損耗、運(yùn)行環(huán)境的破壞和存儲(chǔ)媒介的失效甚至是人為損害都會(huì)引起硬盤驅(qū)動(dòng)器損壞���。
(二)人為錯(cuò)誤
人為操作錯(cuò)誤的因素有可能造成系統(tǒng)運(yùn)行參數(shù)的改變�����,誤刪除一些重要文件��。
(三)黑客
黑客通過遠(yuǎn)程操作計(jì)算機(jī)可能對(duì)電腦進(jìn)行一些不安全的更改��,從而威脅計(jì)算機(jī)數(shù)據(jù)的安全����。
(四)病毒
病毒是大家目前熟悉的一種安全威脅,病毒能夠?qū)τ?jì)算機(jī)系統(tǒng)造成很大的破壞�����。這幾年各種病毒的產(chǎn)生��,是大家對(duì)于病毒的危害的理解越來越深刻�,病毒的強(qiáng)感染性和強(qiáng)的傳播性是其成為了威脅系統(tǒng)安全的主要元兇。
(五)信息竊取
信息的竊取是導(dǎo)致數(shù)據(jù)安全的又一大原因���,因?yàn)閺?fù)制���、盜取等手段會(huì)對(duì)計(jì)算機(jī)的數(shù)據(jù)造成威脅。
(六)自然災(zāi)害
地震����、火災(zāi)等無法預(yù)料的自然災(zāi)害會(huì)造成整個(gè)系統(tǒng)的覆滅�,從而帶來無法挽回的損失。
(七)電源故障
電力的不穩(wěn)��,例如突然的斷電等故障會(huì)使硬盤設(shè)施中的數(shù)據(jù)丟失�����。
(八)磁干擾
磁性較強(qiáng)的東西會(huì)對(duì)計(jì)算機(jī)數(shù)據(jù)造成毀滅性的的傷害。
三��、平臺(tái)數(shù)據(jù)安全防護(hù)措施
電子數(shù)據(jù)安全審計(jì)是一個(gè)操作記錄�,主要記錄的是用戶在系統(tǒng)中進(jìn)行的操作,這種做法的目的是為了在發(fā)現(xiàn)違規(guī)操作后����,能夠追查到責(zé)任人。
電子數(shù)據(jù)安全審計(jì)過程可分成二步來實(shí)現(xiàn):第一步�,整理用戶對(duì)系統(tǒng)進(jìn)行的操作,對(duì)操作過程進(jìn)行記錄�;第二步,根據(jù)操作的記錄分析是否存在違規(guī)行為�;第三步,發(fā)現(xiàn)問題��,采取處理措施�。
電子數(shù)據(jù)安全審計(jì)工作同防火墻等手段的意義是一樣的。用戶在系統(tǒng)內(nèi)的計(jì)算機(jī)上進(jìn)行的所有行為包括上下機(jī)的時(shí)間��,與系統(tǒng)內(nèi)的敏感的信息�。數(shù)據(jù)的接觸都能夠在日志文件中查找到,這一措施是為了對(duì)操作行為進(jìn)行分析同時(shí)一旦發(fā)現(xiàn)了不安全因素便于查找并確定事故責(zé)任��,這也為增強(qiáng)系統(tǒng)安全提供了預(yù)防作用�。
(一)審計(jì)技術(shù)
電子數(shù)據(jù)安全審計(jì)技術(shù)可分二種:系統(tǒng)技術(shù)的了解�����,驗(yàn)證處理技術(shù)和處理結(jié)果的驗(yàn)證�。
1了解系統(tǒng)技術(shù)����。審計(jì)人員可以借助閱讀相關(guān)的技術(shù)介紹和查閱程序表和控制流程來了解系統(tǒng)技術(shù)。
2.驗(yàn)證處理技術(shù)���。系統(tǒng)指令能夠正確的執(zhí)行主要取決于這一技術(shù)��。該技術(shù)由實(shí)際測(cè)試和性能測(cè)試兩部分組成�����,實(shí)現(xiàn)方法主要有:
(1)事務(wù)選擇���。根據(jù)制定的審計(jì)標(biāo)準(zhǔn)的不同,審計(jì)人員可以選擇不同的事務(wù)樣板來進(jìn)行認(rèn)真的了解����。樣板的選擇可以是隨機(jī)的����,也可以通過操作系統(tǒng)的事務(wù)管理部件自動(dòng)引用��。
(2)測(cè)試數(shù)據(jù)�。測(cè)試數(shù)據(jù)是程序測(cè)試的擴(kuò)展�����,系統(tǒng)自動(dòng)生成了準(zhǔn)備處理的事務(wù)��。審計(jì)人員可以通過一些方法來預(yù)測(cè)結(jié)果的正確性��,并將得出的結(jié)果與實(shí)際的結(jié)果相對(duì)比����。使用這種方法的時(shí)候,審計(jì)人員必須通過系統(tǒng)來檢驗(yàn)處理過的檢測(cè)的數(shù)據(jù)��。除了上述的方法���,還可以使用事務(wù)標(biāo)志��、跟蹤��、綜合測(cè)試等方法��。
(3)并行仿真�。審計(jì)人員主要借助某一應(yīng)用程序來模擬操作系統(tǒng)的主要功能。將模擬出的數(shù)據(jù)和給出的實(shí)際的數(shù)據(jù)相比較���。仿真的成本較高��,可以通過高級(jí)語言使仿真模擬與實(shí)際的應(yīng)用相接近�����。
(4)驗(yàn)證處理結(jié)果技術(shù)��。在這一過程中�,審計(jì)人員的工作重點(diǎn)不是對(duì)于數(shù)據(jù)的處理而是數(shù)據(jù)本身����,這里有兩個(gè)方而需要重點(diǎn)考慮:一是數(shù)據(jù)的選取。將審計(jì)數(shù)據(jù)收集技術(shù)結(jié)合到應(yīng)用程序?qū)徲?jì)模塊中��,應(yīng)用程序?qū)徲?jì)模塊的功能是依據(jù)給定的標(biāo)準(zhǔn)來收集數(shù)據(jù)��;建立全部的審計(jì)跟蹤�;借用于日志恢復(fù)的備份庫;借助審計(jì)庫的記錄來抽取設(shè)施,它能夠隨機(jī)的選擇屬性值相似的文件進(jìn)行記錄��,并將其放在工作文件中�,為以后的分析提供便利�;利用數(shù)據(jù)庫管理系統(tǒng)的查詢?cè)O(shè)施抽取用戶數(shù)據(jù)。二是數(shù)據(jù)內(nèi)容的尋找目標(biāo)��。一旦選定了數(shù)據(jù)����,審計(jì)人員可以對(duì)控制信息進(jìn)行檢查;檢查語義完整性約束����;檢查與無關(guān)源點(diǎn)的數(shù)據(jù)。
(二)審計(jì)范圍
在整個(gè)應(yīng)用系統(tǒng)中�,審計(jì)是與其他系統(tǒng)獨(dú)立的。審計(jì)主要涉及的范圍是對(duì)操作系統(tǒng)和其他應(yīng)用系統(tǒng)的審計(jì)��。
對(duì)操作系統(tǒng)進(jìn)行審計(jì)是為了檢測(cè)和判定操作對(duì)系統(tǒng)的滲透程度并且對(duì)誤操作進(jìn)行識(shí)別��。這一過程的基本功能為:選擇審計(jì)對(duì)象�;對(duì)審計(jì)的文件進(jìn)行分類并且完成自動(dòng)轉(zhuǎn)換;對(duì)文件的系統(tǒng)完整性進(jìn)行定時(shí)檢測(cè)�;對(duì)信息儲(chǔ)存的格式和輸出的媒介進(jìn)行審計(jì);報(bào)警閥值的設(shè)置與選擇;對(duì)每日操作行為進(jìn)行審計(jì)并對(duì)數(shù)據(jù)的安全性進(jìn)行保護(hù)等���。
應(yīng)用程序?qū)徲?jì)子系統(tǒng)的主要功能是:針對(duì)被作為審計(jì)對(duì)象的應(yīng)用程序的某些操作進(jìn)行監(jiān)控并且進(jìn)行記錄��,對(duì)記錄的記過進(jìn)行分析����,用以判斷是否應(yīng)用程序是否受到攻擊并別修改����,同時(shí)能夠判斷程序和數(shù)據(jù)的完整性;采用身份驗(yàn)證和口令驗(yàn)證等方法來保證應(yīng)用程序的正常運(yùn)行�。
(三)審計(jì)跟蹤
審計(jì)跟蹤與日志恢復(fù)從本質(zhì)上來講是有區(qū)別的,但是經(jīng)??梢越Y(jié)合在一起使用。它們的主要區(qū)別是審計(jì)跟蹤能夠進(jìn)行記錄��,而日志恢復(fù)通常不對(duì)操作進(jìn)行記錄���;但根據(jù)實(shí)際的需要�,審計(jì)跟蹤可以從日記恢復(fù)中得到所需要的審計(jì)信息�。如果將告警功能與審計(jì)功能結(jié)合起來,那么就可以在違規(guī)的或者不合法的操作進(jìn)行的當(dāng)時(shí)向程序人員發(fā)出警告�,以使他們能夠以最快的速度做出反應(yīng),及時(shí)的采取解決的對(duì)策,使損失降到最低����。審計(jì)記錄所包含的內(nèi)容主要有:操作進(jìn)行的地點(diǎn)和時(shí)間;進(jìn)行操作的用戶����;事件的類型���;事件結(jié)果��。
根據(jù)訪問控制的類型���,數(shù)據(jù)庫對(duì)于審計(jì)跟蹤的請(qǐng)求不加以限定。獨(dú)立的審計(jì)跟蹤保密性更強(qiáng)�����,審計(jì)人員可以對(duì)時(shí)間進(jìn)行限定�,但是成本比較高。
(四)審計(jì)的流程
第8篇
關(guān)鍵詞:高安全操作系統(tǒng)��;分區(qū)內(nèi)核�;SKPP;安全功能性需求
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2012) 20-0000-02
隨著嵌入式操作系統(tǒng)的使用越來越廣泛,它的安全性也越來越受關(guān)注�。分區(qū)內(nèi)核作為嵌入式系統(tǒng)的一個(gè)重要組成部分,對(duì)其安全性的要求也越來越高���。SKPP(Protection Profile for Separation Kernels��,分區(qū)內(nèi)核保護(hù)框架)作為一種專門針對(duì)分區(qū)內(nèi)核提出的安全需求標(biāo)準(zhǔn)��,可滿足分區(qū)內(nèi)核對(duì)高安全性的需要�����。使用SKPP的分區(qū)內(nèi)核給任務(wù)關(guān)鍵的嵌入式系統(tǒng)的系統(tǒng)服務(wù)和應(yīng)用的創(chuàng)建提供了高健壯性保障以及給安全相關(guān)策略的執(zhí)行提供高可靠性支持���。目前,使用SKPP標(biāo)準(zhǔn)設(shè)計(jì)出來的分區(qū)內(nèi)核產(chǎn)品只有美國(guó)綠山公司的INTEGRITY-178B多級(jí)安全實(shí)時(shí)操作系統(tǒng)和風(fēng)河公司的VXWorks MILS2����,而國(guó)內(nèi)對(duì)SKPP的使用還在探索階段。本文通過對(duì)SKPP的內(nèi)容進(jìn)行深入理解�����,提出了與SKPP安全功能性需求相對(duì)應(yīng)的訪問控制機(jī)制的實(shí)施策略��。
1 SKPP概述
2007年,美國(guó)NSA的信息可靠性理事會(huì)了一種用于描述高健壯性操作系統(tǒng)的安全需求規(guī)范——SKPP�,它適用于經(jīng)常處于安全威脅中的分區(qū)內(nèi)核。SKPP要求產(chǎn)品的開發(fā)過程和形式化分析都十分嚴(yán)格��,所以��,開發(fā)者和用戶通過SKPP評(píng)估而得到的可靠性在計(jì)算機(jī)信息安全領(lǐng)域達(dá)到了前所未有的高度���,在歷史上第一次使軟件系統(tǒng)能夠可信的保護(hù)財(cái)政記錄���,客戶私人信息�����,國(guó)家秘密等重要信息[1]�。因此,用它作為高安全機(jī)載操作系統(tǒng)的分區(qū)內(nèi)核設(shè)計(jì)標(biāo)準(zhǔn)能極大提高系統(tǒng)的安全性和可靠性�����。
傳統(tǒng)安全內(nèi)核是在一個(gè)安全操作系統(tǒng)中執(zhí)行所有可信功能��,而分區(qū)內(nèi)核與此不同����,系統(tǒng)中的所有對(duì)象和資源都應(yīng)由安全策略控制��,分區(qū)內(nèi)部或者分區(qū)間的信息流也需由安全策略控制�。在SKPP中�,系統(tǒng)給軟件提供了高可靠性分區(qū)以及信息流控制策略,給多種結(jié)構(gòu)系統(tǒng)提供了可配置的可信環(huán)境�����。例如�,在一組安全系統(tǒng)結(jié)構(gòu)中,軟件在分區(qū)內(nèi)核安全策略的約束之下執(zhí)行應(yīng)用層安全策略�����。這里所說的軟件包括與多級(jí)安全相關(guān)的監(jiān)視器����,Guard,設(shè)備驅(qū)動(dòng)�,文件管理系統(tǒng),傳送信息服務(wù)以及傳統(tǒng)操作系統(tǒng)�,中間件,虛擬機(jī)等[1]�。
SKPP為分區(qū)內(nèi)核的架構(gòu)和評(píng)估提供了安全功能性需求和安全保證性需求����。安全功能性需求指的是由操作系統(tǒng)執(zhí)行的安全策略�。例如,一個(gè)使用SKPP標(biāo)準(zhǔn)的操作系統(tǒng)必須保證惡意程序不會(huì)對(duì)系統(tǒng)造成包括拒絕服務(wù)��、竊取信息等在內(nèi)的威脅�����。安全保證性需求反映了創(chuàng)建滿足高健壯性的安全可信環(huán)境所需的功能[2]��。圖1說明了組成安全系統(tǒng)的各個(gè)部分�����。其中��,配置功能����,系統(tǒng)加載功能�����,初始化功能以及可信傳輸功能都應(yīng)按照可靠性需求的要求來設(shè)計(jì),它們建立了安全功能的初始安全狀態(tài)��。在初始化結(jié)束之后����,由安全功能來執(zhí)行安全策略[3]。安全功能性需求是本文討論的重點(diǎn)�。從在系統(tǒng)中的位置來看安全功能性需求主要包括配置數(shù)據(jù)的要求,軟件運(yùn)行時(shí)的要求以及硬件要求����;從在安全分區(qū)內(nèi)核中功能劃分的角度來看,它分為安全審計(jì)���、用戶數(shù)據(jù)保護(hù)�、識(shí)別和鑒定�����、安全管理�、安全功能保護(hù)以及資源利用六個(gè)部分。
圖1.安全系統(tǒng)組成
2 安全功能性需求主要內(nèi)容
SKPP中的功能性需求是針對(duì)分區(qū)內(nèi)核中安全功能的需求�,它規(guī)定了由分區(qū)內(nèi)核執(zhí)行的安全策略。安全功能性需求從審計(jì)�、數(shù)據(jù)保護(hù)�、身份的識(shí)別和鑒定��、安全功能的管理��、安全功能的保護(hù)以及資源的利用[1]等六個(gè)方面全面的規(guī)定了建立安全分區(qū)內(nèi)核中所需的安全功能應(yīng)遵循的要求�。
SKPP的安全審計(jì)部分規(guī)定了進(jìn)行安全審計(jì)的時(shí)機(jī),安全審計(jì)事件的選擇原則以及安全審計(jì)的審查方法�����。安全審計(jì)需求記錄�、存儲(chǔ)和分析與安全相關(guān)活動(dòng)的信息,通過檢查審計(jì)記錄結(jié)果可判斷發(fā)生了哪些安全相關(guān)活動(dòng)以及哪些用戶需要對(duì)這些活動(dòng)負(fù)責(zé)�。
用戶數(shù)據(jù)保護(hù)部分給與用戶數(shù)據(jù)有關(guān)的系統(tǒng)安全功能和系統(tǒng)安全功能策略規(guī)定了要求。它定義了信息流控制策略�,主要規(guī)定了策略控制下的主體,策略控制下的信息�����,引起受控信息流入�、流出的主體操作���,策略的控制范圍以及某些特定功能的規(guī)則����。用戶數(shù)據(jù)保護(hù)部分還提出對(duì)殘余信息進(jìn)行保護(hù)的要求。
識(shí)別和鑒定部分?jǐn)⑹隽私⒑秃藢?shí)請(qǐng)求用戶身份的功能需求��,確保了用戶與恰當(dāng)?shù)陌踩珜傩韵嗦?lián)系��。授權(quán)用戶身份的正確識(shí)別,用戶和主體之間安全屬性的正確鏈接對(duì)既定安全策略的實(shí)施至關(guān)重要�。識(shí)別和鑒定部分解決用戶身份的確定和核實(shí)�,明確用戶在安全分區(qū)內(nèi)核中的權(quán)限,賦予授權(quán)用戶與權(quán)限相匹配的安全屬性����。用戶的正確識(shí)別和鑒定是其它部分(如:用戶數(shù)據(jù)保護(hù),安全審計(jì))實(shí)施的基礎(chǔ)���。
安全分區(qū)內(nèi)核必須給各種類型的安全管理功能提供固定的支持�����,而且��,安全管理部分規(guī)定必須由被授權(quán)的管理者實(shí)施初始化參數(shù)定義����,可信初始化,分區(qū)信息流策略的定義和執(zhí)行���,錯(cuò)誤檢測(cè)以及反饋��,可信修復(fù)�,分區(qū)內(nèi)核系統(tǒng)重配置�。在安全分區(qū)內(nèi)核中,分區(qū)信息流安全功能策略是根據(jù)配置向量決定的�,所以只有授權(quán)主體才能夠改變配置數(shù)據(jù)。
在安全功能保護(hù)部分�����,SKPP主要描述了使分區(qū)內(nèi)核處于安全狀態(tài)的方法�����。具體說來����,安全功能保護(hù)規(guī)定了運(yùn)行系統(tǒng)安全狀態(tài)測(cè)試的時(shí)機(jī),配置數(shù)據(jù)改變的規(guī)則�,重新建立安全態(tài)需要遵守的規(guī)則,系統(tǒng)保存安全狀態(tài)的時(shí)機(jī)�����,以及當(dāng)系統(tǒng)處于非安全狀態(tài)時(shí)應(yīng)做的操作���。系統(tǒng)的安全狀態(tài)和分區(qū)信息流策略都是由配置數(shù)據(jù)生成的配置向量決定的����,所以當(dāng)配置數(shù)據(jù)改變時(shí)����,系統(tǒng)應(yīng)重新建立安全態(tài)并按照配置數(shù)據(jù)的說明執(zhí)行分區(qū)信息流策略[4]。如圖2所示�,分區(qū)內(nèi)核系統(tǒng)通過配置工具把從用戶處獲得的配置數(shù)據(jù)轉(zhuǎn)換成配置向量,再經(jīng)過一些中間步驟的轉(zhuǎn)化變成安全功能的內(nèi)部配置向量���,通過這些配置向量安全功能確定分區(qū)信息流控制策略�,建立分區(qū)內(nèi)核的安全狀態(tài)�。
圖2.配置數(shù)據(jù)轉(zhuǎn)化過程
資源利用部分規(guī)定了分區(qū)能夠使用的系統(tǒng)內(nèi)存和處理時(shí)間的限額,以及其他可預(yù)測(cè)的受限執(zhí)行行為的處理時(shí)間和存儲(chǔ)資源的使用情況�。
應(yīng)用于分區(qū)內(nèi)核安全的SKPP涉及分區(qū)信息保護(hù),避免未經(jīng)授權(quán)的信息的泄漏�����、修改和無法使用的情況發(fā)生,保護(hù)內(nèi)核及信息的機(jī)密性�、完整性、可用性����、可審查性和抗抵賴性。SKPP安全功能性需求為實(shí)現(xiàn)安全功能規(guī)定了詳細(xì)的要求�����,通過這些要求可以從現(xiàn)有的方法中得出一套安全機(jī)制�����。只有實(shí)現(xiàn)這些安全機(jī)制�����,才能保證安全功能的有效性���,從而保護(hù)目標(biāo)系統(tǒng)的安全性����。其中,訪問控制機(jī)制是分區(qū)內(nèi)核實(shí)施安全功能最主要的手段�����,因此�,訪問控制機(jī)制的實(shí)現(xiàn)與分區(qū)內(nèi)核中安全功能的聯(lián)系是最緊密的���,下面我們來討論訪問控制機(jī)制與SKPP安全功能性需求的關(guān)系�。
3 安全功能性需求與訪問控制機(jī)制實(shí)施策略
在分區(qū)內(nèi)核上���,訪問控制技術(shù)的應(yīng)用是為了保證分區(qū)外的用戶或分區(qū)內(nèi)的用戶對(duì)分區(qū)資源的訪問以及對(duì)敏感信息的訪問方式而組織的安全策略[5]�����。訪問控制機(jī)制將防止非授權(quán)用戶使用分區(qū)內(nèi)資源或以不正當(dāng)?shù)姆绞绞褂檬跈?quán)資源�����。如圖3所示���,當(dāng)主體需要訪問分區(qū)資源時(shí),先向系統(tǒng)發(fā)出訪問資源的請(qǐng)求�����,由系統(tǒng)驗(yàn)證主體的權(quán)限,驗(yàn)證通過后才允許主體訪問相應(yīng)的分區(qū)資源���。
圖3.訪問控制原理
分區(qū)內(nèi)核訪問控制機(jī)制的建立涉及SKPP中用戶數(shù)據(jù)保護(hù)部分的內(nèi)容�。其中�����,通過信息流控制策略部分的要求確定了信息流控制策略的控制范圍�,比如可控制所有分區(qū)或者所有客體;通過信息流控制功能部分的要求確定了信息流控制策略的特定功能規(guī)則����,比如明確了授權(quán)的通信模式等。為了保證被訪問客體的可用性�,還涉及資源利用部分的內(nèi)容,描述系統(tǒng)內(nèi)存和處理時(shí)間的限額�����。
應(yīng)用SKPP的安全內(nèi)核���,為了判斷一個(gè)主體是否具有對(duì)某客體的訪問權(quán)限���,訪問控制機(jī)制須鑒別主體的身份���,這涉及SKPP中識(shí)別和鑒定部分的內(nèi)容。它規(guī)定了分區(qū)�、主體以及與安全功能相關(guān)的資源的屬性,明確了各自的信息流權(quán)限�����,通過身份的識(shí)別和鑒定得出該身份所對(duì)應(yīng)的訪問權(quán)限�。在確認(rèn)主體的身份之后���,訪問控制機(jī)制可以通過該主體已被鑒別的身份使用該主體的信息(比如該主體的從屬關(guān)系信息)或者使用該主體的所擁有的權(quán)限���。這涉及SKPP中安全管理部分安全屬性管理的要求,它定義了授權(quán)主體可以使用的權(quán)限����,如圖4所示。
圖4.主體權(quán)限使用流程
綜上所述�,訪問控制機(jī)制能夠涵蓋SKPP安全功能性需求的用戶數(shù)據(jù)保護(hù)部分、識(shí)別與鑒定部分���、安全管理部分以及資源利用部分�����,但是不涉及安全審計(jì)和安全功能保護(hù)部分的需求�����。目前在機(jī)載領(lǐng)域���,可以應(yīng)用健康監(jiān)控和系統(tǒng)重構(gòu)技術(shù)來覆蓋安全審計(jì)和安全功能保護(hù)部分的需求����,但是在實(shí)施細(xì)節(jié)上還需進(jìn)一步探討�。
4 結(jié)論
在SKPP中,系統(tǒng)給軟件提供了高可靠性分區(qū)以及信息流控制策略����,給多種結(jié)構(gòu)的系統(tǒng)提供了可配置的可信基礎(chǔ)。本文在作者深入理解SKPP內(nèi)涵的基礎(chǔ)上的介紹了SKPP所包含的各個(gè)需求領(lǐng)域���,并提出了能夠涵蓋SKPP大部分安全功能性需求的安全分區(qū)內(nèi)核訪問控制機(jī)制的實(shí)施策略�。對(duì)滿足SKPP的高安全機(jī)載操作系統(tǒng)的研究和設(shè)計(jì)具有一定的指導(dǎo)意義����。
參考文獻(xiàn):
[1]Information Assurance Directorate���, National Security Agency, Fort George G. Meade. U.S. Government Protection Profile for Separation Kernels in Environments Requiring High Robustness����, June 2007.
[2]Thuy D,Timothy E.Levin�����,Cynthia E.Irvine.TCX Project:High Assurance for Secure Embedded Systems. Proceedings of the IEEE International Conference on Security and Cryptography����,2008.
[3]Kevin Elaphinstone���,Gerwin Klein�����,Philip Derrin���,et al.Kernel Development for High .2008.7.
[4]Timothy E. Levin�����, Cynthia E. Irvine���, and Thuy D. Nguyen. Least privilege in separation kernels. In Proceedings of the IEEE International Conference on Security and Cryptography, Setubal�����, PT�, August 2006.
[5]宋成勇.CC功能要求映射于系統(tǒng)安全措施的方法研究.成都:四川大學(xué),2005.
[作者簡(jiǎn)介]
