第一篇:第四章 电子数据交换技术(讲稿)
第四章 电子数据交换技术
EDI是一种利用计算机进行商务处理的方式。它主要是将贸易、运输、保险、银行和海关等行业的信息,用一种国际公认的标准格式,形成结构化的事务处理的报文数据格式,通过计算机通信网络,使各有关部门、公司与企业之间进行数据交换与处理,并完成以贸易为中心的全部业务过程。EDI包括买卖双方数据交换、企业内部数据交换等。实际上,EDI的发展已经至少经历了20多年,其发展和演变的过程已经充分显示了商业领域对其重视的程度。
人们将EDI称为“无纸贸易”(Paperless Trade),将EFT(电子转帐)称为“无纸付款”(Paperless Payment)已经足以看出EDI对商业运作的影响。
第一节 电子数据交换技术概述
一、EDI概念
早在20世纪60年代以前,人们就已经在用电报报文发送商务文件;
70年代又普遍采用方便、快捷的传真机来替代电报,但由于传真文件是通过纸面打印来传递和管理信息的,不能将信息直接转入到计算机信息管理系统中,数据的重复录入量较大。
70年代末应用于企业间的电子数据交换(EDI,Electronic Data Interchange)技术和银行间的电子资金转账(EFT,Electronic Fund Transfer)技术作为电子商务应用系统的雏形出现了。
有关EDI的最初想法来自美国运输业,原因是运输业流通量大,货物和单证的交接次数多,而单证的交接速度常常赶不上货物的运输速度。
当时的贸易商们在使用计算机处理各类商务文件的时候还发现,由人工输入到一台计算机中的数据70%是来源于另一台计算机输出的文件,过多的人为因素也影响了数据的准确性和工作效率的提高。
这就促成了1975年第一个EDI标准的发表。
应用EDI可以使交易双方将交易过程中产生的各种单据以规定的标准格式在双方的计算机系统上进行端对端的数据传送和自动处理,减少了文字工作并提高了自动化水平,从而使企业实现“无纸贸易”,简化业务流程,减少由于人工操作失误带来的损失,能够大大地提高工作效率,降低交易成本,加强贸易伙伴之间的合作关系。
因此,实用的EDI电子商务在80年代得到了较快的发展,在国际贸易、金融、海关业务、航空公司、连锁店及制造业等领域得到了大量的应用。
多年来,EDI已经演进成了多种不同的技术。
在90年代之前,出于安全的考虑,EDI和EFT是通过租用计算机传输线路在专用网络上实现,使用成本非常高。同时,EDI对技术、设备和人员都有较高的要求。
受这些因素的制约,基于EDI的电子商务目前仅局限在先进国家和地区以及大型企业范围内应用。
实际上,EDI是用电子数据输入代替人工数据录入,以电子数据交换代替传统的人工交换的方法。EDI的主要目的并不是消除纸张的使用,而是消除处理延迟和数据的重新录入。
从上述EDI定义不难看出,EDI由三个基本要素组成:通信网络是EDI应用的基础;计算机硬件、专用软件组成的应用系统是实现EDI的前提条件;EDI标准化是实现EDI的关键。
二、EDI分类
1、最基本的EDI系统是电子订货系统(EOS:Electronic Ordering System),又称为贸易数据互换系统(TDI:Trade Data Interchange),它用电子数据文件来传输订单、发货票和各类通知。
2、第二类常用的EDI系统是电子金融汇兑系统(EFT:Electronic Funds Transfer System),它仍在不断的改进中,最大的改进是同订货系统联系起来,形成一个自动化水平更高的系统。
3、第三类EDI系统是交互式应答系统(Interactive Query Response),它可应用在旅行社或航空公司作为机票预定系统。
4、第四类EDI是带图形资料自动传输的EDI。最常见的是计算机辅助设计(CAD:Computer Aided Design)图形的自动传输。
(二)EDI特点
(1)EDI的使用对象是不同的组织之间,EDI传输的企业间的报文,是企业间信息交流的一种方式;
(2)EDI所传送的资料是一般业务资料,如发票、订单等,而不是指一般性的通知;
(3)EDI传输的报文是格式化的,是符合国际标准的,这是计算机能够自动处理报文的基本前提;
(4)EDI使用的数据通信网络一般是增值网、专用网;
(5)数据传输由收送双方的计算机系统直接传送、交换资料,不需要人工介入操作;
(6)EDI与传真或电子邮件的区别是:传真与电子邮件,需要人工的阅读判断处理才能进入计算机系统。人工将资料重复输入计算机系统中,既浪费人力资源,也容易发生错误,而EDI不需要再将有关资料人工重复输入系统。
(三)EDI优势
1)企业采用EDI可以更快速、更便宜地传送发票、采购定单、传输通知和其它商业单证,提高快速交换单证的能力,加快了商业业务的处理速度,更重要的是,这些过程可以被监督,从而为企业提供了跟踪管理和审计这些操作的能力。
2)通过对数据进行电子传输,避免了人工录入而出现不一致的错误,提高了总体质量。降低数据对人的依赖性,以及减少无意义的处理时间。
3)EDI能更快、更精确地填写订单,以便减少库存,直到零库存管理。4)EDI存储了完备的交易信息和审计记录,为管理决策者提供更准确的信息和数据,进而为企业增加效率和减少成本提供了更大的可能性。
三、EDI的应用
EDI是电子商业贸易的一种工具,能将商业文件如日常咨询、计划、询价、进出口许可证、合同、订单、发票、货运单、报关单、收货通知单和提单等信息,按统一的标准编制成计算机能识别和处理的数据格式,在计算机之间进行传输。目前正在开发用于政府、广告、教育、司法、保险等领域的EDI标准。案例:近年的实践证明,凡是采用EDI的国家和地区,都获提了可观的经济和社会效益。
据有关专家分析,使用EDI业务,可提高商业文件传递速度81%,降低文件成本44%,减少由于错漏造成的商业损失40%,提高竞争能力34%。
美国通用汽车公司采用EDI后,每生产一辆汽车的成本可减少250美元,以每年生产500万辆汽车计算,便可节省12.5亿美元。
美国通用电气的统计表明,应用EDI使其产品零售额上升60%,库存由30天降到6天。每年仅连锁店的文件处理费用一项就节约60万美元,节省运输时间80%。
第二节 电子数据交换系统结构与工作流程
一、EDI通讯网络
要实现EDI的全部功能,需要具备以下四个方面的条件:
1、数据通信网是实现EDI的技术基础 ;
2、计算机应用是实现EDI的内部条件。EDP(Electronic Data Processing),中文译为电子数据处理,它是指企业内部业务处理的自动化,如使用计算机来进行人事、财务、销售、进货等自动化管理。
3、标准化是实现EDI的关键
4、EDI立法是保障EDI顺利运行的社会环境 二EDI标准的分类
(二)按内容分类
1、基础标准体系。主要由UN/EDIFACT的基础标准和开放式EDI基础标准两部分组成,是EDI的核心标准体系。其中,EDIFACT有7项基础标准,包括EDI术语、EDIFACT应用级语法规则、语法规则实施指南、报文设计指南和规则、贸易数据元目录、复合数据元目录、段目录、代码表,我国等同采用了这7项标准;开放式EDI基础标准是实现开放式EDI最重要、最基本的条件,包括业务、法律、通信、安全标准及信息技术方面的通用标准等,ISO/IEC JTC1 SC30推出《开放式EDI概念模型》和《开放式EDI参考模型》,规定了用于协调和制定现有的和未来的开放式EDI标准的总体框架,成为未来开放式EDI标准化工作的指南。随之推出的一大批功能服务标准和业务操作标准等将成为指导各个领域EDI应用的国际标准。
2、单证标准体系。EDI报文标准源于相关业务,而业务的过程则以单证体现。单证标准化的主要目标是统一单证中的数据元和纸面格式,内容相当广泛。其标准体系包括管理、贸易、运输、海关、银行、保险、税务、邮政等方面的单证标准。
3、报文标准体系。EDI报文标准是每一个具体应用数据的结构化体现,所有的数据都以报文的形式传输出去或接收,简称UNSM),其1987年正式形成时只有十几个报文,而到1999年2月止,UN/EDIFACT D.99A版已包括247个报文,其中有178个联合国标准报文(UNS进来。EDI报文标准主要体现于联合国标准报文(United Nations Standard Message M)、50个草案报文(Message in Development,简称MiD)及19个作废报文,涉及到海关、银行、保险、运输、法律、税务、统计、旅游、零售、医疗、制造业等诸多领域。
4、代码标准体系。在EDI传输的数据中,除了公司名称、地址、人名和一些自由文本内容外,几乎大多数数据都以代码形式发出,为使交换各方便于理解收到信息的内容,便以代码形式把传输数据固定下来。代码标准是EDI实现过程中不可缺少的一个组成部分。EDI代码标准体系包括管理、贸易、运输、海关、银行、保险、检验等方面的代码标准。
5、通信标准体系。计算机网络通信是EDI得以实现的必备条件,EDI通信标准则是顺利传输以EDI方式发送或接收的数据的基本保证。EDI通信标准体系包括ITU 的X.25、X.200/ISO 7498、X.400系列/ISO 10021、X.500系列等,其中X.400系列/ISO 10021标准是一套关于电子邮政的国际标准。虽然这套标准,ISO叫做MOTIS,ITU称为MHS,但其技术内容是兼容的,它们和EDI有着更为密切的关系。
6、安全标准体系
由于经EDI传输的数据会涉及商业秘密、金额、订货数量等内容,为防止数据的篡改、遗失,必须通过一系列安全保密的规范给以保证。EDI安全标准体系包括EDI安全规范、电子签名规范、电文认证规范、密钥管理规范、X.435安全服务、X.509鉴别框架体系等。为制定EDIFACT安全标准,联合国于1991年成立了UN/EDIFACT安全联合工作组,进行有关标准的制定。
7、管理标准体系。EDI管理标准体系主要涉及EDI标准维护的有关评审指南和规则,包括标准技术评审导则、标准报文与目录文件编制规则、目录维护规则、报文维护规则、技术评审单格式、目录及代码编制原则、EDIFACT标准版本号与发布号编制原则等。
8、应用标准体系。EDI应用标准体系主要指在应用过程中用到的字符集标准及其他相关标准,包括: 信息交换用七位编码字符集及其扩充方法;信息交换用汉字编码字符集;通用多八位编码字符集;信息交换用汉字编码字符集辅2集、4集等。
EDI标准体系的框架结构并非一成不变,它将随着EDI技术的发展和EDI国际标准的不断完善而将不断地进行更新和充实。
(二)按适用范围来划分
EDI是目前为止最为成熟和使用范围最广泛的电子商务应用系统。其根本特征在于标准的国际化,标准化是实现EDI的关键环节。早期的EDI标准,只是由贸易双方自行约定,随着使用范围的扩大,出现了行业标准和国家标准,最后形成了统一的国际标准。国际标准的出现,大大地促进了EDI的发展。随着EDI各项国际标准的推出,以及开放式EDI概念模型的趋于成熟,EDI的应用领域不仅只限于国际贸易领域,而且在行政管理、医疗、建筑、环境保护等各个领域得到了广泛应用。可见EDI的各项标准是使EDI技术得以广泛应用的重要技术支撑,EDI的标准化工作是在EDI发展进程中不可缺少的一项基础性工作。
三、EDI的工作流程
第三节 电子数据交换的实现
一、EDI的运作类型
1、由于不同行业、不同地区实施EDI所采用的标准和协议的内容是不同的,这样就导致了大量不同结构EDI系统的出现。各个系统之间由于所采纳的标准和传输协议不同,彼此之间相对处于封闭状态,因此,人们称之为封闭式EDI。
2、开放式EDI指的是“使用公共的、非专用的标准,以跨时域、商域、信息技术系统和数据类型的互操作性为目的,自治参与方之间的电子数据互换”。开放式 EDI的概念确定了开放式EDI事务处理的概念、服务和关系的标准文本的集合,用于标识和协调现有的和将来的标准与服务概念模型,以实现全球EDI互操作。它的目的在于最大限度地满足各种应用领域的EDI参与方之间的交换需求,并力求使对专用协议的需求最小化,使互操作范围最大化。
3、交互式EDI两个计算机系统之间以一问一答的对话通信方式进行报文的交换。
二、Internet EDI 20世纪九十年代中期随着“EDI中心”增值服务的出现和行业标准逐步发展成通用标准,加快了EDI的应用和跨行业EDI的发展。EDI在贸易伙伴间长期、稳定的供求链中发挥着重要的作用,即时订货均体现了EDI的功效。
但是传统的EDI也存在着明显的弱点:初期投资成本较高,专网连接使得大多数中小企业难以承受的运作费用。
随着互联网的发展与普及,给EDI带来了新一轮发展机遇,因而WWW/EDI、OPEN EDI、Internet EDI成为当今电子商务的焦点之一,互联网在环境、技术、经济上都为EDI创造了良好的条件
(一)Internet EDI优势
1.比传统封闭式EDI节省投资和运营成本。以国际互联网为基础的EDI比在增值网络上运行的EDI要节省投资和运营成本。增值网络服务商是按照每一笔生意或每千字节来收取费用,而国际互联网的联接一般则只需每月付固定的费用。
例如,位于美国阿里巴马州的Avex Electronics公司将应用Premenos Templar公司的软件推行以互联网为基础的EDI。据该公司估算,如果使用增值网络服务商提供的传统的EDI,每月的费用要2500美元,而以互联网为基础的EDI大约只是其一半的开支。节省初始投资和运营成本是多数企业转向互联网为基础的EDI的主要原因。
由于投资和运营成本相对减少,相对进入的障碍减少,因此以互联网为基础的EDI吸引了不少小企业准备实施EDI。这样EDI交易伙伴的范围就相应扩大了。
2.使电子商务的参与形式多样化
传统的EDI相对缺乏灵活性,因为电脑本身更擅长于高效率地处理标准化、程序化和重复性的事务。以国际互联网为基础的EDI使企业可以在开放性的平台上实施,这样就会使电子商务的参与形式多样化。
例如,企业可以与新的贸易伙伴通过使用电子邮件进行谈判交流。随着国际互联网信息传输速度的提高,可视会议、网上同步谈话等会逐步代替国际长途电话,在有些情况下可以代替面对面的谈判。
3.比传统EDI的接入灵活方便,速度快
传统EDI的网络接入需要特殊的传输协议和接入方式,缺乏灵活性。而由于以国际互联网为基础的EDI是用国际互联网传输交易信息,所以网络接入方便,可以通过专用网,也可以通过电话线直接拨入。
另外,传统的EDI在传输时有长达12至14小时的时滞。而以互联网为基础的EDI比传统EDI的传输速度要快得多。加密解密和压缩的时间也不过几分钟。
(二)Internet EDI劣势
1、安全性问题
EDI安全包括:一是EDI数据的安全,另一个是EDI系统的安全。
EDI系统面临的主要威胁和攻击:冒充、篡改数据、偷看、窃取数据;文件丢失;抵赖或矢口否认;拒绝服务
2、网络运营的可靠性。国际互联网属于公共网络,不管是在哪个国家和地区,其使用者与日俱增。网络运营中传输出现故障或信息丢失的可能性不时会发生。相对于专用网络,公共网络不会提供完善的服务保证。因此,企业在利用国际互联网时往往考虑与第二个国际互联网服务商,建立接入国际互联网的第二通道,以防第一通道出现问题。
3、第三方认证问题。电子商务要求交易的所有参与者有效保留传递的交易信息,在必要时要求提供有力的证据来证实信息传递者的身份、传递的内容、传输方式和传输时间。目前提供EDI服务的专营私营网络往往都相应提供第三方认证的服务,即以第三方公正方的名义证实信息传递者的身份及其信息传递的有效性。然而,目前以国际互联网为基础的EDI方式在这方面仍存在局限性。
(三)基于Internet的EDI的发展 Internet Mail。Internet Mail是最早将EDI引入Internet的方式。它用ISP 取代传统EDI对VAN的依赖,以实现商业数据与信息的电子交换。利用Internet Mail传输EDI单证,采用Internet邮件协议SMTP的扩展MIMEMultipurpose Internet Mail Extensions。基于InternetMIME的EDI系统模块结构及信息流程如图1所示。其中,应用系统产生并读取商业单证,此单证以内部格式(平台文件)存储;翻译模块负责实现用户应用系统内部格式数据和标准格式EDI单证之间的转换;封装/ 拆封模块依据MIME标准,将EDI单证封装Internet/MIME EDI报文,或从Internet/MIME EDI报文中提取EDI单证;安全模块根据用户安全要求,进行相应安全处理。
Standard ICStandard Implementation Conventions,标准执行协定。使用EDI过程中,不同行业或企业常根据自身需要对标准进行选择,IC即指经过选择的消息版本,因而出现多个IC版本。开发IC费用高昂,且各版本间消息不能相互处理。Standard IC是一种特殊的跨行业针对特定应用的国际标准,着重解决Internet EDI的多版本IC问题。此标准不同以往的专业、行业、国家及国际标准,使用简单,无过多选择项,令EDI可在Internet环境下方便使用。
Wed-EDI。Wed-EDI是目前最为流行的EDI与Internet融合方式,使用Web作为EDI单证的接口。其目标是允许中小型企业只需通过浏览器和Internet连接执行EDI交换,此解决方案对SME是可行的。4 XMLEDI。1996年11月波士顿SGML世界年会,新一代数据描述语言可扩展标示语言XMLExtensible Markup Language公布于世。XML是一开放式网络标准,在数据标记、显示风格及超文本链接方面功能强大,可简化互联网与企业网的数据交换。XML应用所引发的Web革命促生新一代的Internet EDI。
第二篇:海上国际集装箱运输电子数据交换管理办法
海上国际集装箱运输电子数据交换管理办法
1.总 则
第一条 为了加强海上国际集装箱运输电子数据交换管理,保障海上国际集装箱运输电子数据交换的运行秩序和当事人的合法权益,根据《中华人民共和国海上集装箱运输管理规定》等国家有关法律、法规和国际惯例,结合我国海上国际集装箱运输实际情况,制订本办法。
第二条 本办法所称的海上国际集装箱运输电子数据交换(以下简称EDI),是指从事海上国际集装箱运输的有关当事人按照协议或规定,对具有一定结构特征的标准信息,经数据通信网络,在各自的电子计算机系统之间进行交换和处理。第三条 本办法适用于在中华人民共和国境内设立的海上国际集装箱运输企业以及与海上国际集装箱运输相关的部门和单位,包括:从事海上国际集装箱运输的航运企业、港口装卸企业、外轮理货企业、船舶代理企业、货运代理企业、内陆中转站、货运站、陆上运输企业、场站企业和多式联运企业,以及EDI中心等。在中国境内从事海上国际集装箱运输经营活动的外资企业也应遵守本办法。第四条 中华人民共和国交通部主管全国海上国际集装箱运输EDI的管理工作,其主要职责:
(一)制订EDI管理的方针、政策和发展规划;
(二)制订EDI管理的规章、技术规范和标准;
(三)制订EDI运行的费目、费率和费收规则;
(四)审批EDI中心的组建
口岸所在地省、自治区、直辖市交通主管部门在本行政区域EDI管理中的主要职责:
(一)积极推动EDI工作的发展;
(二)负责EDI的协调工作;
(三)负责受理EDI用户的投诉工作; 第五条 EDI中心的基本职责是:
(一)负责将用户发送的电子报文传输至接收方;
(二)负责存储用户发送至EDI中心的报文信息;
(三)负责对转发的报文信息的安全保密工作,不得泄露、修改和提取任何未经书面授权的经营机密信息;
(四)负责EDI的增值服务;
(五)除不可抗力之外,负责EDI中心的设备处于良好的不间断的工作状态;
(六)负责受理和审批用户的入网书面申请,并报口岸所在地省、自治区、直辖市交通主管部门备案;
(七)负责新的电子报文的研究和开发,掌握电子报文的变更情况,并对变更的信息及时进行处理;
(八)负责对EDI用户进行培训;
(九)负责承担为司法部门提供法律举证;
(十)EDI中心必须与用户签订协议,协议应符合《海上国际集装箱运输电子数据交换协议规则》并严格履行,用户之间签订有关EDI业务的协议必须向EDI中心备案;
(十一)EDI中心有权拒绝接收、处理、存储、交换和传输不按本办法规定的电子信息。
第六条 用户入网应遵守以下规定:
(一)履行所签协议的各项规定并按规定缴纳有关费用;
(二)确保发送和接收电子报文信息的设施保持良好稳定有效的运行状态;
(三)按规定的报文格式和通信标准进行电子数据交换;
(四)确保进入EDI网络系统的电子数据报文的及时、准确和完整。
第七条 凡从事海上国际集装箱运输的企业以及与海上国际集装箱运输相关的部门和单位都应纳入所在口岸或经营地的港航EDI网络。
第二章 资质管理
第八条 EDI中心是负责口岸海上国际集装箱运输EDI网络电子数据传输、处理和运作,实行有偿服务的企业法人。
第九条 EDI中心设置应符合交通部编制的EDI发展规划。一个口岸地区原则上应由港航企业组建一个EDI中心。
第十条 EDI中心的设立实行经营许可证制度。第十一条 设立EDI中心必须具备以下基本条件:
(一)经行业主管部门批准的有关文件和证明材料;
(二)有与其服务范围相适应的注册资金;
(三)有固定的办公场所;
(四)有与其服务范围相适应的软硬件平台和良好的通信环境;
(五)有经培训考核合格的从业人员;
(六)国家法律、法规规定的其他条件。第十二条 EDI中心应具备以下基本技术条件:
(一)电子数据交换
(二)存证
(三)报文标准格式转换;
(四)安全保密;
(五)提供信息查询和信息增值服务;
(六)提供技术咨询服务;
(七)提供昼夜连续服务;
(八)能对EDI网络进行维护和扩展;
(九)提供报关、报验转换功能。第十三条 组建EDI中心申报的材料:
(一)申请报告;
(二)可行性分析报告;
(三)合同;
(四)章程;
(五)上级主管部门的批文;
(六)资信证明;
(七)行业主管部门要求提供的其他材料。
第十四条 部直属和双重领导单位申请设置EDI中心应将书面申请报告连同符合要求的其他申报材料报交通部审批。
其他单位申请设置EDI中心应将书面申请报告报当地省、自治区、直辖市交通主管部门,当地省、自治区、直辖市交通主管部门审核后,报交通部审批。交通部在收到申报材料的次日起30天内,对符合条件批准设置EDI中心的发给批准文件和经营许可证;对不予批准的发出书面批复告知。
第十五条 EDI网络内的工作人员须经EDI中心专门培训、考核,合格者须持有EDI中心颁发的上岗证书,方可上岗操作。
EDI中心应对上岗人员进行定期或不定期的轮训和考核。EDI中心有权对严重失职者收缴其上岗证书。第十六条 纳入EDI网络的用户应具备以下基本条件:
(一)是本办法所列企业、部门和单位及承认本办法的其它单位;
(二)有可稳定运行的电子计算机设备和良好的通讯环境;
(三)有持有EDI中心颁发的上岗证书的专业管理人员;
(四)有完善的管理制度。
第十七条 用户入网,按以下规定办理入网手续:
(一)用户向所在地的EDI中心提出书面入网申请,并提供有关证明文件和资料;
(二)EDI中心对入网用户的申请进行审查,对符合条件的在十五天内发出书面批准通知书,并抄送所在地省、自治区、直辖市交通主管部门备案;对不符合条件的,发出重新整改、申报的书面通知;
(三)入网用户一经批准,由EDI中心发给EDI入网证书,并登录入网户口,给用户发放密码。
第十八条 经批准入网的用户,应当按照交通部《海上国际集装箱运输电子数据交换协议规则》的规定,与EDI中心以及其他有关用户签订EDI协议。第十九条 入网用户从事EDI运行管理的岗位人员需经EDI中心培训,培训的主要内容是:
(一)安全、保密知识;
(二)有关法规和职业道德;
(三)电子报文的格式;
(四)EDI业务流程和操作方法;
(五)特殊情况的处理程序。
培训结束后,EDI中心应对培训人员进行结业考试,对考试合格的,发给合格证书。
第三章 运行管理
第二十条 EDI的电子报文替代纸面单证必须符合《海上国际集装箱运输电子数据交换电子报文替代纸面单证规则》的规定。
第二十一条 EDI的业务流转必须符合《海上国际集装箱运输电子数据交换报文传递和进出口业务流程规定》。
第二十二条 EDI接收、处理、存储、交换和传输的电子报文应符合交通部有关规范要求。
第二十三条 符合规范要求的电子报文具有与书面单证同等的效力。
第二十四条 EDI报文格式应采用UN/EDIFACT国际标准或国家技术监督局颁布的国家标准。无国际标准和国家标准时,可采用行业标准或协议标准,但在通信中应符合数据交换和自动处理的要求。
第二十五条 EDI报文的代码数据应采用《EDIFACT代码表》所提供的国际代码标准或国家标准。无国际标准和国家标准时,可采用行业标准或协议约定的标准。第二十六条 入网用户需对报文格式与数据结构进行变更,必须按规定程序,经EDI中心等有关方认可后方可变更。
第二十七条 EDI中心及其用户的电子数据交换和传输系统必须安全、可靠,通信线路必须畅通无阻,数据和文档不得丢失。电子数据交换和传输系统除人力不可抗拒因素外,在任何时候、任何覆盖点均不得失效。
第二十八条 电子数据交换和传输系统的运行必须制订严格的保密制度,对电子报文特别是对EDI中心数据库的访问应设定密级,为用户保密。
第二十九条 电子数据交换和传输系统在运行中发生除人力不可抗拒因素外的通信停顿,数据或文档丢失,泄露或失密等事故,EDI中心及相关单位应承担相应的责任。第三十条 入网用户的EDI设备必须实行专人操作,杜绝不洁盘片及文件运作,防止计算机病毒侵入EDI网络。发现计算机网络病毒,应及时报告公安部门和EDI中心,并采取相应的措施。造成计算机病毒侵入的直接责任者应承担相应的责任。
第三十一条 EDI中心可根据信息传输、处理和存储的时间、信息量要求和密级进行收费。收费内容分别有开户、初装、通讯、信息处理、查询、检测和超时超员培训费用。
第三十二条 EDI中心的费收应按交通部制订的费目和费率执行,并应使用交通、税务部门制订的统一发票。
第三十三条 EDI通信方面的收费按国家电信部门的收费标准执行。对提供为社会服务的公共信息不得向服务对象收费。
第四章 附 则
第三十四条 本办法的解释权属交通部。第三十五条 本办法自公布之日起施行。
海上国际集装箱运输电子数据交换协议规则
第一条 为了规范海上国际集装箱运输电子数据交换(以下简称EDI)有关当事人之间所签定的协议,保障当事人的合法权益,维护海上国际集装箱运输EDI的运行秩序,制定本规则。
第二条 本规则适用于海上国际集装箱运输EDI中心和入网用户签订的协议以及入网用户之间签订的协议。
第三条 签订海上国际集装箱运输EDI协议(以下简称EDI协议)的EDI中心,必须是经中华人民共和国交通部批准、具有合法资格的EDI中心;签订EDI协议的入网用户必须是具有合法经营资格的海上国际集装箱运输企业和与海上国际集装箱运输相关的部门和单位。
第四条 EDI协议是按照平等互利、协商一致的原则,依法签订书面协议,协议文本可参照《海上国际集装箱运输电子数据交换协议(合同)提要》(附件)制订。
第五条 EDI协议应包括以下基本内容:
(一)所传递的电子报文的种类和范围;
(二)电子报文所采用的报文标准、代码标准、安全保密标准和管理标准;
(三)对电子报文的安全保密要求和准确性、可靠性要求;
(四)电子报文的传递程序;
(五)电子报文的交接确认手序;
(六)费用的计算标准和结算方式;
(七)变更或解除协议的办法;
(八)违约责任;
(九)各方商定的其它条款。
第六条 当事人在协议内所采用的电子报文必须符合《海上国际集装箱运输电子数据交换电子单证替代纸面单证管理规则》的要求。
第七条 电子报文的传输,需符合国家技术监督局颁布的《海上国际集装箱运输电子数据交换标准体系表》中的报文标准、代码表准、安全保密标准、管理标准。交换的电子报文,应采用UN/EDIFACT电子报文国际标准或国家标准和行业标准。报文中的数据元,必须遵照《EDIFACT数据元之目录》。报文所有代码数据元应参照《EDIFACT代码表》中提供的代码表准。
第八条 对非结构化的信息传输,或用户目前尚不能接受国际标准的电子报文,可采用电子信箱E-mail作为补充传输手段。第九条 电子报文的安全性
(一)为了保证EDI系统的安全,确保电子报文传输安全可靠,必须采取充分的安全措施,共同维护好系统。
(二)当事人应负责防止非法侵入或非法传输,保护业务记录和报文数据不受非法侵入、灭失、篡改或毁损。
(三)一方若发现有违背安全、非法使用或非法传输行为,应立即通知对方及其他有关方,并进行调查,将调查的结果报告对方及其他有关方。在此期间,电子数据交换应暂停直至安全情况恢复到双方满意为止。
第十条 为确保电子报文在交换和传输过程中可靠、完整,当事人可根据需要设置如下安全保密机制:
(一)身份鉴别机制,应采用EDI中心软件提供的口令字方法进行简单鉴别。
(二)确保数据完整性机制,对保密有特殊要求的EDI报文,可采用数据加密方法对整个或部分报文内容进行加密后传输。
(四)防止责任抵赖机制,除了保存EDI报文传输日志外,当事人可协议采用数字签名的方法。
第十一条 对需要数字签名的EDI报文当事人应在发送EDI报文时必须采用秘密密钥,对EDI报文进行数字签名,并将报文、秘密密钥、公开密钥及数字签名的结果留存,直到无争议为止。
第十二条 需由EDI中心接收、存储、转发的电子报文,由EDI中心通过各自的专用管理域(PRMD)进行交换。EDI中心与国外用户的电子报文,必须经由国家行政部门指定的公共管理域(ADMD)进行交换。
第十三条 当传送电子报文的当事人要求协议对方给予收到的确认时,对方必须接受该项要求。
(一)当事人未能在约定的合理时间内收到确认时,应采取相应的措施,否则当事人有权假定最初的传送未被收到。
(二)发现接收到的电文在形式上不正确或不完整或传送不够有序,应尽快通知发送方。
(三)若当事人接收报文经确认该项传送的报文的真正接收人有误时,应立即通知对方并同时应将这项信息从其系统中删除。第十四条 对电子报文内容准确性的认可:
(一)接收方发现所接收的报文不符合标准,应及时通知发送方并要求重新发送。
(二)当事人如需要对其发出的电子报文履行数字签名,则应在EDI协议中加以明确。
(三)接收报文的当事人,有义务留存对方发送来的电子报文,并应在发来的电子报文上注明发送人、接收人、传送日期、时间和地点。
(四)电子报文进入指定接收人信息系统的时间为收到时间。发送人和接收人的作业地点分别为发、收电子报文的地点。第十五条 协议的履行:
(一)协议当事人应在各自的操作部位指定专人负责,记录、保管反映系统运行情况以及所交换的全部电子报文清单输入EDI日志。EDI日志应由各方的专职人员作书面证明。用户可根据需要到EDI中心查询。
(二)任何当事人均不得将本协议书下的利益转让给与本协议无关的其他方。
(三)任何当事人在履行本协议书规定的义务时,因不可抗拒力的作用,无法履行或按时履行与协议有关的事项,应立即通知对方,并尽力采用其他方式通讯。在这期间,电子文件发生延迟、脱漏或错误或偶发的不良后果不负责任。
(四)当事人的一方对另一方的违约表示弃权,应以签署书面声明方为有效。第十六条 费用:
按《海上国际集装箱运输电子数据交换管理办法》有关费用结算的原则进行计费,通讯费用和各方与协议外的其他方发生的费用均自行承担,涉及增值服务的费用各方各自与EDI中心结算。第十七条 协议的变更和终止:
协议签订后,任何一方不得擅自变更或解除。如确有特殊原因不能继续履行或需变更时,需经各当事人同意,并在协议规定的时间内办理变更或终止手续。如在协议规定的期限外提出,必须负担对方已造成的实际损失。变更或终止生效日期前发生的义务和权利不因此而受影响。变更或解除协议,应当以书面形式提出。第十八条 违约责任
当事人违反协议应向对方支付违约金,违约金的数额由当事人商定。当事人违反协议造成
对方经济损失的,应依法承担赔偿责任。违反协议的行为应承担协议规定的违约责任。
第十九条 当事人在履行EDI协议中发生纠纷时,应及时协商解决,或者申请仲裁机关仲裁,也可以直接向人民法院起诉。第二十条 本规则的解释权属交通部。第二十一条 本规则自公布之日起施行。
海上国际集装箱运输电子数据交换
电子报文替代纸面单证管理规则
第一条 为规范海上国际集装箱运输电子数据交换电子报文替代纸面单证的运作,制订本规则。
第二条 本规则适用于在中华人民共和国境内的海上国际集装箱运输电子数据交换(以下简称EDI)运作系统。
第三条 在海上国际集装箱运输EDI运作过程中,电子报文逐步替代传统纸面单证。
电子报文是EDI当事人按照协议和规定,对具有一定结构特征的标准信息,经数据通讯网络,在各自的计算机系统之间进行交换和处理的一种电子文件。第四条 电子报文必须符合语法标准,其报文格式及代码数据须符合《海上国际集装箱运输电子数据交换管理办法》的规定。电子报文还须保证其所载信息的完整性和确定性。
第五条 电子报文替代纸面单证时当事人可按协议使用电子签名技术。第六条 电子报文替代纸面单证时,电子报文与纸面单证具有同等效力;电子报文的保存期与纸面单证相同。
第七条 以下23种电子报文替代相应的纸面单证:
(一)船期表报文(IFTSAI)替代进出口船期预报、船期公告。该报文应包含五日、半月或一个月内的进口船信息、挂港信息、联系人信息。
(二)挂靠信息报文(CALINF)替代24小时确报。该报文应包含进口船信息、挂靠港信息、装卸量信息。
(三)船舶离港报文(VESDEP)替代离港动态。该报文应包含船信息、离挂港时间、卸货时间、装货时间、装卸量。
(四)舱单报文(IFCSUM)替代进口舱单、出口舱单。该报文包含一个航次的船舶信息、提单信息(包括第二个记录),货主信息、收货人信息、通知人信息以及货物信息,其中货物信息包括货物描述和含有运输信息在内的箱信息等。(五)船图报文(BAPLIE)替代进口船图、出口船图。该报文包含一个船名、航次的信息以及含有地点信息、危险品信息和必要注释在内的箱信息。
(六)集装箱装/卸报文(COARRI)替代装船清单、装/卸箱清单、理货清单、集装箱清单。该报文应包含船舶信息和含有装/卸交货地信息和残损信息在内的箱信息。
(七)集装箱残损报文(COARRID)替代集装箱溢卸、短卸、残损单。该报文描述与船舶有关的基本数据、描述与理货有关的单位及个人、描述残损箱信息,还应包含拼箱货提单号、残损信息以及必要的注释。
(八)集装箱溢卸报文(COARRIO)替代集装箱溢卸、短卸、残损单。该报文描述与船舶有关的基本数据、描述与理货有关的单位及个人、描述溢卸箱信息以及必要的注释。
(九)集装箱短卸报文(COARRIS)替代集装箱溢卸、短卸、残损单。该报文描述与船舶有关的基本数据、描述与理货有关的单位及个人、描述短卸箱信息,拼箱货提单号以及必要的注释。
(十)危险品通知报文(IFTDGN)替代危险品性能说明书、危险品货物申报单、危险品货物准运单、危险品船运申报单。该报文应包含船舶信息、装卸港信息、货信息和箱信息。
(十一)危险品清单报文(IFTIAG)替代危险品清单、危险品性能说明书。该报文应包含船舶信息、装卸港信息、危险品货物清单和箱信息。
(十二)装箱单报文(COSTCO)替代装箱单。该报文应包含船舶信息、装卸港信息、货物信息、货物描述、唛头、危险品信息和集装箱信息。
(十三)集装箱进/出门报文(CODECO)具有设备交接单部分功能。该报文应包含船舶信息、箱信息、残损信息和多式联运信息。
(十四)集装箱堆存报文(COEDOR)替代集装箱盘存报表。该报文应包含船舶及集装箱的有关信息、拼箱的提单号信息、以及有关的残损信息。
(十五)正式订舱报文(IFTMBF)替代集装箱货物托运单、订舱申请单。该报文应包含订舱号和港口、收货地和装货港、可选卸货港、发货人、收货人、通知人、订舱预配箱、订舱货物、集装箱细目、货物信息、运费条款以及其它信息。(十六)订舱确认报文(IFTMBC)替代订舱配舱回单。该报文应包含订舱单号和提单号,或者是拒绝订舱理由。
(十七)装箱指示报文(COSTOR)替代装箱单、预配清单。该报文应包含船舶有关的信息、卸货港和交货地点、提单号和集装箱细目、货物信息、货物描述、危险品信息。
(十八)装船指示报文(MOVINS)替代集装箱预配清单。该报文应包含船舶和装船信息、与提单号有关的信息、卸货港和交货地点、集装箱信息以及有关特种箱信息。
(十九)一关三检申报单报文(CUSDEC)替代海关申报单、商品检验申报单、卫生检疫申报单、动植物检疫申报单。该报文应包含船信息、货信息、箱信息、提单信息以及一关三检当局在进口、出口、中转过程中为符合规范操作所要求的货信息。
(二十)一关三检答复报文(CUSRES)替代海关放行单、商品检验放行单、卫生检疫放行单和动植物检疫放行单。该报文应包含船信息、货信息、箱信息、提单信息,以及一关三检当局对在进口、出口、中转过程中所申报的信息作出货物放行、查验、拒绝放行的信息。
(二十一)货物报告报文(CUSCAR)替代海关货物报检单、商品检验报检单、卫生检疫报检单和动植物检疫报检单。该报文应包含船信息、货信息、箱信息、提单信息,以及一关三检当局对在进口、出口、中转过程中查验所需要的货物描述信息。
(二十二)申请作业计划报文(COSDEC)替代作业计划申请单。该报文应包含船信息、货信息、提单信息、箱信息以及通知人信息。
(二十三)作业计划答复报文(COPRES)替代作业计划任务书。该报文应包含船信息、货信息、提单信息、箱信息以及同意安排或拒绝安排的装卸信息。第八条 电子报文的流转顺序按《海上国际集装箱运输电子数据交换报文传递和进出口业务流程规定》执行。
第九条 电子报文替代纸面单证的安全保密问题,由安全技术提供保证,一旦发现擅自破译、篡改报文或冒充用户、抵赖责任等行为,将根据有关法律和法规,给以相应的处罚。
第十条 以下情况应由当事人在协议中予以明确并报EDI中心备案:
(一)电子报文的保存地点和时间;
(二)电子签名的有效期和有效范围;
(三)对有正本、副本之区分的纸面单证,其相应电子报文的替代;
(四)对特殊需要的电子报文的流转程序。
第十一条 本规则第七条中一关三检申报单报文、一关三检答复报文和一关三检货物报告报文涉及到国际集装箱运输各相关部门和单位,在替代过程中还应遵守这些部门和单位的有关规定。
第十二条 EDI运作初期,允许电子报文与纸面单证并行并存,暂未入网的单位仍可使用现行的纸面单证并以纸面单证为准。EDI稳定运作后,交通部将根据实际情况陆续直至全部取消纸面单证。第十三条 本规则的解释权属交通部。第十四条 本规则自公布之日起施行。
海上国际集装箱运输电子数据交换 报文传递和进出口业务流程规定
第一条 为了规范海上国际集装箱运输电子数据交换(以下简称EDI)报文传递和进出口业务流程,保障海上国际集装箱运输EDI的正常运作,制定本规定。第二条 本规定所称的的海上国际集装箱运输EDI报文传递和进出口业务流程是指海上国际集装箱运输电子报文的传递程序,包括进口电子报文和出口电子报文的流转程序。
第三条 海上国际集装箱运输EDI报文传递和进出口业务流程应遵循以下原则:
(一)电子报文的传递和进出口业务流程应当减少环节、简化手续、高速有效;
(二)进口和出口电子报文传递程序在业务流程中不得互为交错,互为通用。
(三)电子报文传递的信息必须准确、及时、可靠、完整;
(四)电子报文的处理必须安全、保密;
(五)电子报文必须按双方协议规定的方式传递;
(六)除根据协议规定必须有电子签名外,电子报文在传递时,收端人必须将接收回执传给发端人方为有效。
第四条 海上国际集装箱运输EDI报文传递规则如下:
(一)船期表报文由船公司(承运人)或其船舶代理传递给港口调度、集装箱码头、外轮理货、货运代理或其货主。
(二)挂靠信息报文由船公司(承运人)或其船舶代理传递给港口调度、引航站、外轮理货、集装箱码头;同时传递给海关、商检、卫检、动植物检、港监、边防。
(三)船舶离港报文由集装箱码头传递给港口调度、外轮理货、船公司(承运人)或其船舶代理;同时传递给海关、港监、卫检、边防。
(四)舱单(进口)报文由船公司(承运人)或其船舶代理传递给集装箱码头、港口调度、外轮理货、港监;同时传递给海关、商检、卫检、动植物检。舱单(出口)报文由船公司(承运人)或其船舶代理传递给海关、外轮理货、集装箱码头。
(五)船图(进口)报文由船公司(承运人)或其船舶代理传递给港口调度、集装箱码头、外轮理货、商检;船图(出口)报文由外轮理货传递给船公司(承运人)或其船舶代理。
(六)集装箱装/卸报文有外轮理货传递给船公司(承运人)或其船舶代理、港口调度、集装箱码头。
(七)集装箱残损报文由外轮理货传递给船公司(承运人)或其船舶代理、集装箱码头、海关、商检、保险。
(八)集装箱溢卸报文由外轮理货传递给船公司(承运人)或其船舶代理、集装箱码头、海关、商检、保险。
(九)集装箱短卸报文由外轮理货传递给船公司(承运人)或其船舶代理、集装箱码头、海关、商检、保险。
(十)危险品通知报文由船公司(承运人)或其船舶代理传递给港口调度、港监、集装箱码头、外轮理货、货主或其货运代理。
(十一)危险品(进口)清单报文由船公司(承运人)或其船舶代理传递给港口调度、集装箱码头、外理、港监;危险品(出口)清单报文由外轮理货传递给船公司(承运人)或其船舶代理、港口调度、集装箱码头、港监。
(十二)装箱单报文由外轮理货、场站传递给海关、商检、集装箱码头、货主或其货运代理、船公司(承运人)或其船舶代理。
(十三)集装箱进/出门报文由集装箱码头、场站传递给船公司(承运人)或其船舶代理、箱管中心。
(十四)集装箱堆存报文由集装箱码头、场站传递给船公司(承运人)或其船舶代理、港口调度、海关、商检、卫检、动植物检。
(十五)正式订舱报文由货主或其货运代理传递给船公司(承运人)或其船舶代理。
(十六)订舱确认报文由船公司(承运人)或其船舶代理传递给货主或其货运代理、海关、商检、卫检、动植物检。
(十七)装箱指示报文由货主或其货运代理传递给海关、商检、卫检、动植物检、船公司(承运人)或其船舶代理、集装箱码头、外轮理货、场站、运输代理公司。(十八)装船指示报文由船公司(承运人)或其船舶代理传递给港口调度、集装箱码头、外轮理货、海关、商检、卫检、动植物检。
(十九)海关、商检、卫检、动植物检申报单报文由货主或其货运代理、报关行,传递给海关、商检、卫检、动植物检。(二十)海关、商检、卫检、动植物检答复报文由海关、卫检、动植物检、商检传递给货主或其货运代理、报关行、集装箱码头。
(二十一)货物报告报文由船公司(承运人)或其船舶代理传递给海关、卫检、动植物检、商检。
(二十二)申请作业计划报文由货主或其货运代理、场站、运输公司传递给集装箱码头。
(二十三)作业计划答复报文由集装箱码头传递给货主或其货运代理、场站、运输公司。
第五条 进口类电子报文的业务流转按以下程序进行:
(一)船公司(承运人)或其船舶代理通过EDI中心,向港口调度、集装箱码头、外轮理货、货运代理或其代理传递船期表报文。
(二)船公司(承运人)或其船舶代理通过EDI中心,向港口调度、集装箱码头、外轮理货、引航站、海关、港监、卫生检疫、边防传递挂靠信息报文。
(三)船公司(承运人)或其船舶代理通过EDI中心,向港口调度、集装箱码头、外轮理货、港监、海关、商检、卫检、动植物检传递进口舱单报文、货物报验报告报文。
(四)船公司(承运人)或其船舶代理通过EDI中心,向港口调度、集装箱码头、外轮理货、商检传递进口船图报文。
(五)船公司(承运人)或其船舶代理通过EDI中心,向港口调度、集装箱码头、外轮理货、港监、货主或其货运代理传递危险品通知报文和进口危险品清单报文。
(六)外轮理货通过EDI中心,向港口调度、集装箱码头、船公司(承运人)或其船舶代理、传递集装箱装/卸报文。
(七)外轮理货通过EDI中心,向船公司(承运人)或其船舶代理、海关、集装箱码头、商品检验、保险传递集装箱残损报文、溢卸报文、短卸报文。
(八)集装箱码头通过EDI中心,向港口调度、船公司(承运人)或其船舶代理、外轮理货、海关、港监、边防传递船舶离港报文。
(九)集装箱码头、场站通过EDI中心,向船公司(承运人)或其船舶代理、港口调度、海关、商检、卫检、动植物检传递集装箱堆存报文。
(十)货主或其货运代理、报关行通过EDI中心,向一关三检传递集装箱海关、商检、卫检、动植物检申报单报文。
(十一)海关、商检、卫检、动植物检通过EDI中心,向货主或其货运代理、报关行、集装箱码头传递集装箱海关、商检、卫检、动植物检答复报文。
(十二)货主或其货运代理、场站、运输公司通过EDI中心向集装箱码头传递申请作业计划报文。
(十三)集装箱码头通过EDI中心,向货主或其货运代理、场站、运输公司传递作业计划答复报文。
(十四)集装箱码头通过EDI中心,向船公司(承运人)或其代理、箱管中心传递集装箱进/出门报文。
第六条 出口类电子报文的业务流转按以下程序进行:
(一)船公司(承运人)或其船舶代理通过EDI中心,向港口调度、集装箱码头、外轮理货、货运代理或其货主传递船期表报文。
(二)船公司(承运人)或其船舶代理通过EDI中心,向港口调度、集装箱码头、外轮理货、引航站、海关、港监、边防传递挂靠信息报文。
(三)货主或其货运代理通过EDI中心,向船公司(承运人)或其船舶代理传递正式订舱报文。
(四)船公司(承运人)或其船舶代理通过EDI中心,向货主或其货运代理传递订舱确认报文。
(五)货主或其货运代理、报关行通过EDI中心,向海关、卫生检疫、动植物检疫、商品检验传递海关、商检、卫检、动植物检申报单报文。
(六)海关、商检、卫检、动植物检通过EDI中心,向货主或其货运代理、报关行、集装箱码头传递海关、商检、卫检、动植物检答复报文。
(七)船公司(承运人)或其船舶代理通过EDI中心,向港口调度、集装箱码头、外轮理货、港监传递危险品清单报文。
(八)货主或其货运代理通过EDI中心,向海关、商检、船公司(承运人)或其船舶代理、卫生检疫、动植物检疫、集装箱码头、场站、运输公司传递集装箱装箱指示报文。
(九)外轮理货、场站通过EDI中心向海关、商检、卫检、动植物检、集装箱码头、货主或其货运代理、船公司(承运人)或其船舶代理传递集装箱单报文。
(十)船公司(承运人)或其船舶代理通过EDI中心,向港口调度、集装箱码头、外轮理货、海关、商检、卫检、边防传递集装箱装船指示报文。
(十一)货主或其货运代理、场站通过EDI中心向集装箱码头传递申请作业计划答复报文。
(十二)集装箱码头通过EDI中心,向货主或其货运代理、场站传递作业计划答复报文。
(十三)外轮理货通过EDI中心,向船公司(承运人)或其船舶代理、海关、商品检验、保险传递集装箱残损报文、集装箱短卸报文。
(十四)集装箱码头通过EDI中心,向船公司(承运人)或其船舶代理、港口调度、海关、卫检、港监、边防传递船舶离港报文。
(十五)集装箱码头、场站通过EDI中心,向船公司(承运人)或其船舶代理、箱管中心传递集装箱进/出门报文。
(十六)外轮理货通过EDI中心,向船公司(承运人)或其船舶代理传递出口船图报文。
(十七)外轮理货通过EDI中心,向船公司(承运人)或其船舶代理传递出口舱单报文。
(十八)船公司(承运人)或其船舶代理通过EDI中心,向海关、商检、下一港传递出口清洁舱单报文。
第七条 海上国际集装箱运输EDI的有关当事方在业务交往过程中传递电子报文时,必须互相配合,共同遵守本规定第五条、第六条所规定的进出口电子报文传递程序。
第八条 本规定的解释权属国务院交通部。第九条 本规定自公布之日起施行。
第三篇:2017年上半年山东省内审师《经营分析技术》:电子数据交换考试试卷
2017年上半年山东省内审师《经营分析技术》:电子数据交换考试试
卷
本卷共分为1大题50小题,作答时间为180分钟,总分100分,60分及格。
一、单项选择题(共50题,每题2分。每题的备选项中,只有一个最符合题意)
1.根据下列资料回答4~6题:一家大型银行拥有30个主要的应用系统,支持着超过250个不同类型的客户账户,包括从标准的支票和存款账户到复杂的信托账户。这个系统已经开发了25年,使用了几种语言和数据库系统。单独就某个系统来说,系统工作得很好并很少发生错误。然而,不同的系统有不同的用户界面,这就增加了对新的账户业务人员培训的时间,也增加了系统使用错误的可能性。8年以前,账户业务人员对所有的账户类型都很熟悉,并且可以向客户建议选择哪种合适的账户。但是现在,只有很少的账户业务人员能够熟悉大多数账户种类,甚至有些人在他们自己的职责范围内也不能很好的帮助客户选择合适的账户组合。管理部门认识到客户服务的质量取决于与客户联系的账户业务人员。如果账户业务人员能够熟悉客户最适合的账户种类,客户就可以得到更好的服务。通过多次讨论,管理部门确信如果不能与客户之间保持良好的关系,本银行将落后于它的竞争对手。同时银行也不能一下子安装所有新的系统。经过许多次会议讨论之后,管理部门和账户业务人员还是不能就新系统应该如何工作和用户的界面达成一致的意见。如果经过了一段时间,银行把账户管理系统开发出来了,并培训了账户业务人员,经过培训这些人员也能够成功地使用系? A:a.生命周期法。B:b.模拟法。C:c.原型法。
D:d.分层-输入-处理-输出(HIPO)。
2.在计划对应收账款的内部控制实施审计时,首席审计执行官索取并得到了外部审计人员的函证。在审查这些工作底稿时,他注意到外部内部审计师使用否定性函证,这是因为 A:运货和开票的内部控制薄弱;
B:外部审计人员怀疑账户余额中有错误和违规; C:许多账户余额较大;
D:内部控制强,且所涉及的许多账户余额都很小。
3.以下哪项内容可提供关于可审计对象之风险的最为可靠的信息? A:带有回归分析的情景假设
B:以往的审计发现和管理失败的案例 C:损失的后果和经济可预见性
D:在内部审计部门开展的管理评估和协作
4.一家宠物医院通过计算机应用程序把每次宠物就诊的账单提供给客户。需要在操作系统的帮助下才能完成的功能是下列哪一项? A:a.需要将就诊费用汇总时。B:b.当对余额进行更新时。
C:c.当对每一个宠物的文件进行调阅时。
D:d.当从通讯录中提取出宠物主人的姓名时。
5.以下哪项雇佣程序能够对求职申请中所提供信息的正确性进行最好的控制?
A:要求申请者在提交申请的同时提供非正式的成绩单复印件,作为他们教育背景的证明。B:证明申请者品行特点的推荐信必须直接邮寄给招聘单位,而不能由申请者提交。C:招聘单位给参加最后一轮选拔的每一名申请者的上一个就职单位打电话,证实他们的就职时间长短和职位情况。
D:要求申请者签署申请表中的信息是真实而正确的,作为对申请表中信息真实性的确认。6.如果应用电子汇款系统,以下哪项内容的风险更高? A:变化控制程序不恰当
B:未经授权进行访问和其他活动 C:网上编辑检查不充分
D:备份和灾后数据恢复不充分
7.首席审计执行官正在面试一名应聘者。首席审计执行官认为这名申请者熟练掌握了内部审计技术、会计和财务知识,不过,申请者在经济学和信息技术方面的知识很有限。以下哪项行动最适当
A:尽管应聘者缺乏一些基本领域的知识,但仍可以为申请者提供一个职位; B:由于缺乏内部审计专业实务标准所需的知识,因而拒绝其申请; C:鼓励申请者接受经济学和计算机方面的培训,然后重新应聘;
D:如果部门的其他员工掌握了充分的经济学和信息技术方面的知识,可以为申请者提供一个职位。
8.以下哪项增长后会引起国内生产总值下降? A:通货膨胀 B:出口 C:进口
D:消费支出
9.以下哪项是对内部审计师在组织现存的风险管理、控制以及治理过程审核目标的最佳描述
A:帮助确定必要测试的性质、时间安排及范围,以实现业务目标; B:确保内部控制系统的薄弱环节得到纠正;
C:为组织的目标和宗旨得以有效率和有效果地实现的过程提供合理的保证; D:确定内部审计过程是否能确保会计记录的正确性以及财务报表的公允披露。10.独立董事任期届满,连续可以连任,但连任时间不得超过几年? A:3 B:4 C:5 D:6 11.以下哪种计算机控制措施对于从个人电脑向主机上载数据完整,而且没有其他数据被添加最为效果?
A:有效限制进入的密码,保证只有合法用户可以把数据上载到主机结构。B:字段层次编辑控制,检查每个字段的完整性。
C:自校验数位,保证只有有效的部分数字被添加到数据库中。D:批处理总数控制,包括控制总数和杂项总和。
12.某内部审计师正检查某机动车辆联营企业的业务情况。该审计人员利用分析性审计技术观察大型轮胎车辆的主要制造费用的趋势。该趋势表明下列各项有关的费用地预见较去年有重大增长(1)正使用的车辆数;(2)车辆运行里程数;(3)设备使用年数;(4)环境状况。审计人员调查发现有两家新维修公司正在被使用。所有维修业务的费用单据项均完整,但在单据上发现维修车辆牌号与正在使用的车辆不一致。审计人员可能采取的措施包括①与维修部门的负责人讨论此事并要求作出解释;②编制正开展的维修项目清单,并与制造业维修指南进行 比较;③对车辆的车票进行分析来确定其中是否隐藏着需要注意的问题;④检查截止日期报告(deadline report),确定所维修的车辆在维修日期并未在使用中;⑤检查派遣时间安排,确定是否存在车辆发生使用而同时维修部门报告中列为维修的情形;⑥与安全部门协商。上述有关行动中你认为哪些较佳? A:①,⑥和④; B:④,⑤和⑥; C:⑥,⑤和②; D:②,③和④。
13.某内部审计部门在开展基建工程审计时,审计师怀疑构架用钢材不符合合同规定。内部审计部门没有工程方面的人员。根据IIA的《标准》,恰当的行动是 A:对这个差异安排一定的财力,编制一份缺陷发现报告。B:询问工程主管,以解释为何存在这种差异。C:要求暂停合同付款,直到这个差异得到解决。
D:询问公司或咨询工程师,确定这种钢材是否符合合同规定。
14.在审计业务计划中,内部审计师应该检查所有相关的信息。下列哪一种信息来源最可能帮助识别那些怀疑违反环境法规的行为 A:与经营经理讨论; B:检查贸易订单;
C:与外部审计人员在业务合作过程中进行的讨论; D:检查机构报送政府机构的函件。
15.管理当局为评价这一建议应考虑的额外标准不包括 A:内部审计人员现有的专业知识。B:被提议审计的总体成本。
C:发挥本组织内部专家作用的必要性。D:外部审计师对一次性审计想法的坚持。16.在内存中检查错误是以下哪项的职能 A:有效性测试; B:范围测试; C:内存保护; D:奇偶校验。
17.制定业务工作方案发生在业务的以下哪个阶段 A:计划阶段;
B:在评价风险管理和控制系统之后; C:在开展业务时;
D:为确保下次业务能涵盖所指出的问题区域,在每次业务结束后对标准业务方案进行修改时。
18.以下哪项提醒审计人员该分部有可能存在舞弊行为? A:该分部当年未安排外部审计。B:销售额增长10%。
C:管理者报酬的相当大部分直接与该分部报告的净收益相关。D:以上三项都对。
19.文件可以提供具有不同程度说服力的信息。如果审计目标是证实从供应商处取得的特定发票确实已经付款,下列哪种文件通常是最具说服力的
A:业务客户现金支出日记账中的分录,该分录有供应商发票的凭证支持; B:支付给供应商并有发票支持的已核销的支票,该支票已包括在审计人员从银行直接取得的截止日银行对账单中;
C:应付账款明细账列示了对发票的付款;
D:已经盖上“付讫”戳记并附有相关支票号码的供应商原始发票。
20.某审计师正设计抽样计划,以测试过去三年中日常生产报告的准确性。所有的报告都包含同样的信息,只有星期五的报告例外—星期五的报告还包括每周总额,而且是由生产经理而不是车间主任编写。在正常情况下,生产活动在接近每月月末时达到高峰。如果审计师希望应用间隔抽样计划每月选取两份报告,那么,以下哪种技术能降低样本出现偏差的可能性? A:推算总体的错误率 B:应用多少随机启动方法 C:提高置信度 D:提高准确度
21.在评价制造业公司计算机化采购活动的业务中,以下哪项应包含在业务工作底稿的永久性档案部分
A:计算机程序文件的副本(或与此有关的详细内容);
B:用内部审计师编制的程序来打印输出数据并检验数据;
C:对上年工作底稿的修改所发生的变化会对本年的业务有影响; D:对每个地点有关计算机运行的管理控制信息。
22.当内部审计师开展的咨询服务给公司带来增值,并改善公司运营时;
A:如果内部审计师开展涉及同一客户的保证服务,上述咨询服务可能有碍其客观性; B:不可能在这些咨询服务中实现保证业务的目标;
C:这些服务应与内部审计部门章程中反映和内审部门授权保持一致;
D:这些服务不应给内部审计师施加向业务客户以外的其他对象反映情况的责任。23.下列哪种变动会导致置信区间范围变窄 A:置信水平从95%增至99% B:置信水平从95%下降至90% C:误拒风险的可接受水平降低 D:精确度提高
24.下列哪一程序可以取得有关应收账款坏账准备充足性的最相关证据? A:函证应收账款。
B:分析下月应收账款账户的回款情况。
C:检查有关应收账款核销的控制,以保证所有核销的坏账都经过管理层的批准。D:通过对应收账款账龄和当前相关经济数据进行分析来确定坏账准备的充足性。25.管理当局为评价这一建议应考虑的额外标准不包括 A:内部审计人员现有的专业知识。B:被提议审计的总体成本。
C:发挥本组织内部专家作用的必要性。D:外部审计师对一次性审计想法的坚持。26.上述舞弊不可能通过以下程序发现 A:分析每一贷款部门主管的贷款数目; B:分析贷款主管的贷款总额; C:针对贷款的内部以外部审计;
D:调节全部在外贷款总额与总帐余额。27.以下哪项不是出具中期报告的优势 A:正式的书面中期报告打消了对特定情形的审计报告的需要 B:中期报告使需要立即引起关注的信息得到沟通 C:中期报告可以是非正式的,可以只通过口头来传递 D:缩短撰写最终报告的时间
28.审计师决定不向审计委员会报告与公司治理有关的薄弱环节。如果情况属实,以下哪项说法可以证明审计师的决定是有道理的?
A:公司治理问题比较复杂,审计师应该依赖管理层对问题范围的分析。B:董事会已单独成立公司治理委员会;
C:与控制薄弱环节有关的金额和潜在的风险对于整个公司来说并不重大; D:管理层已计划启动纠正措施;
29.下面的网络图显示了完成项目所需要的几种活动之间的内在联系。箭头代表了活动,并且以字母表示。括号里面的数字表示了完成每种活动所需要的星期数目。
完成该项目的最短时间是 A:18周 B:17周 C:16周 D:14周
30.安全性软件的主要目的是 A:控制对信息系统资源的进入;
B:限制对阻止安装非法工具软件的进入; C:检查病毒的存在;
D:监控应用软件职责的分开。
31.内部审计师近期接到一个来自于营销部门经理提供的周末免费使用海滨度假的提议。目前内部审计活动不会对营销部门实施审计,而且也不在计划安排中。内部审计师 A:应该拒绝这个提议,并向恰当的领导报告;
B:可以接受这个提议,由于这个提议的价值是非实质性的; C:可以接受这个提议,由于没有开展或计划对营销部门的业务; D:如果得到了适当的领导批准,就可以接受这个提议。
32.资产和负债风险。Ⅱ、与保险方案有关的风险。Ⅲ、影响机构目标实现的风险。A:只有Ⅰ和Ⅱ是对的 B:只有Ⅲ是对的 C:只有Ⅱ是对的 D:Ⅰ、Ⅱ、Ⅲ都对
33.通过以下哪种方式可以最好地防止拥有充分技术的人员绕过安全程序对生产程序进行修改?
A:定期运行测试数据。B:制定合适的职责分离。
C:对已完成工作的报告进行检查。
D:将生产程序与独立控制的拷贝进行比较。
34.内部审计主管被任命参加一评估外部审计师应聘资格的委员会。承担外部审计的会计师事务所业务合伙人邀请内部审计主管一起到其私人狩猎场打猎一周。该内部审计主管应当 A:接受,理由是他们双方的有关条文允许; B:拒绝,鉴于双方的利害关系; C:只要不占用工作时间就可以接受; D:询问主计长,这样做就是违背公司道德守则。
35.以下哪一项内容最可能被视为内部审计保证服务? A:流程设计服务; B:协调业务; C:培训业务; D:合规性业务。
36.当下列哪个因素提高时,企业的经济价值(市值)会提高? A:非系统风险。B:系统风险。C:净现金流。D:贴现率。
37.以下哪种情形违反了IIA道德规范?
A:在一起合伙人起诉某公司诈骗的案件中,该公司内部审计师被法庭传唤,他在法庭上泄漏了机密审计信息。
B:某办公用品制造公司的内部审计师最近完成了对公司市场部进行的审计,基于本次审计经验,周末他花费几个小时为本地一家医院提供有偿咨询,指导这家医院市场部实施类似的审计。
C:一位内部审计师在当地举办的IIA会议上发表了一次讲演,概括了他为某公司电子数据交换系统进行审计而设计的程序,许多该公司主要竞争者的审计师都参加了此次会议。D:在一次审计中,内部审计师了解到某公司将要推出一种能使该产业发生变革的新产品,由于新产品可能成功,该审计师接受了生产经理的建议,多购入了该公司股票。
38.在注意到几处红旗标志之后,内部审计师明显感到可能存在舞弊行为。以下哪项是对内部审计师责任的最佳描述
A:扩大审计活动,以确定进一步调查是否合理;
B:向管理高层和审计委员会报告舞弊存在的可能性,并向他们询问是否继续审计工作; C:向外部法律顾问咨询,确定要采取的一系列行动,如批准已提交的审计工作方案,确保这些方案在法律范围内是可接受的;
D:向审计委员会报告这一事实,并要求提供专款,聘用外部服务提供者,以协助调查可能存在的舞弊行为。
39.根据《专业实务框架》,评估内部控制系统充分性的主要目的是确定;
A:内部控制系统的设计是否是为了保证遵守有关政策、计划、程序、法律和规定; B:内部控制系统是否为实现公司目标提供合理保证; C:内部控制系统是否能降低内在风险;
D:内部控制系统是否能保证管理层所用信息的可靠性和完整性。
40.某内部审计主管揭示了一项明显涉及某执行副总裁的重大舞弊活动。该副总裁正是内部审计主管向其提交报告的高层主管。该主管最好采取下列哪一措施? A:进行调查以确定舞弊程度; B:与副总裁面谈以获得重要证据; C:通知执行部门和警察;
D:将事实报告给总裁和董事会的审计委员会。
41.创建数据库查询的审计师通常需要将几张表合并起来,获得他们需要的信息。一种可以合并表的方法是 A:提取; B:分类; C:合并; D:连接
42.审计发现的摘要显示旅行费用预付款超过规定的最大限额。公司政策允许预支旅基金给经批准的员工在旅行时使用,预付资金不超过45天的预计费用。公司程序不要求在申请大额旅行预付款时提供正当理由,员工能够并实际上累计预借了大额的不需要的预付资金。上述审计发现中,作为审计发现“原因”因素的是 A:公司预付款程序不要求提供具体的正当理由。B:公司政策允许为经批准的员工提供旅行基金。C:员工积累大额的旅行预付款。D:旅行预付款没有及时清理。
43.在以下哪种情况下,首席风险官的职能最有效? A:作为高级管理层的一员来管理风险。B:与直线管理者一起管理风险。C:与首席审计执行官一起管理风险。
D:作为企业风险管理团队的一员来监督风险。
44.审计师了解到计算机的普及为计算机舞弊创造了更多机会,但也促进了检查舞弊的计算机审计技术的发展。编程舞弊是发生在银行业中的一种舞弊,即程序员设计了一个程序,将储蓄账户的日利息计算到四位小数点,然后他截掉最后两位小数并加到自己的账户中。以下哪项计算机审计技术最有效地检查这类舞弊? A:平行模拟;
B:系统控制和审计复核文件。
C:为了向储户函证,用通用审计软件抽取账户余额; D:抽点打印法
45.如果编制工作底稿摘要,则其可用于 A:提高内部审计主管复核工作底稿的效率。B:替代作永久保留之用的详细工作底稿文件。C:用作给高级管理层报送的内部审计报告。D:记录审计发现的所有进展情况。
46.某报纸的头版报道某国际性非盈利机构的总经理一直为私人目的而花费该机构的资金。基于正在对该机构进行审计,某内部审计师有足够证据证明文章中的报道。该报社的一位记者想证实此事而采访他。这位内部审计师最适当的反应是
A:和盘托出,因为内部审计师讲的是与总经理个人有关的事,与该机构无关。B:将这一要求交由审计委员会或董事会处理。
C:提供有关资料但不标明出处,使文章不能明确指出信息的来源。D:以调查不全面而推托。
47.关于模拟模型,以下哪项不对
A:模拟模型用数学语言评估未来的实际情况 B:模拟模型模仿随机系统
C:在本质上,模拟模型是确定的 D:模拟模型可能会用到抽样技术
48.终端仿真软件允许局域网的微机像大型机的终端一样工作。部门局域网用户也需要公司大型机的中心数据库的信息,并使用该部门雇员开发的终端用户计算(EUC)应用系统对这些信息进行处理。在这种环境下,除了一项外都是主要的控制风险? A:部门用户可能未执行充分的针对EUC应用的备份程序。B:雇员可能将未经授权的办公自动化软件拷贝用于私人目的。C:雇员可能将微机用于获得私人利益。
D:在进行终端仿真时,微机的屏幕显示能力可能不足。49.下面哪一种情况说明审计人员可能缺乏客观性?
A:一个与主要客户相连结的新的电子数据交换程序运行之前,审计人员对其进行审核; B:前任采购助理调入内审部门四个月后,对采购业务的内部控制进行审查;
C:审计建议制定控制和业绩考核标准,以便评估与某服务组织签定的处理工资和雇员津贴的合同;
D:编制工资单的会计职员,协助审计人员确认小型电动机的实际库存量。50.可以快速产生用户接口、用户与系统的交互过程以及处理逻辑的模型的系统开发方法称为
A:神经网络。B:原型法。
C:业务流程再造。
D:焦点群(focusgroups)。
第四篇:课堂电子讲稿
课堂电子讲稿是在课堂上用于讲授的课堂知识的稿件,通过讲台的电脑、投影仪和黑板式屏幕来组合展示的电子课件。与传统的黑板+粉笔式的课堂教学相比,教学更方便快捷,内容丰富多彩,也便于学者课下学习交流分享,但是其价格也是昂贵的。常用的课堂电子讲稿为PPT格式、PDF格式、WORD格式和TXT格式等样式稿件,最常用的就是PPT电子稿,展现内容生动,丰富多彩;形式灵活多样。
国家发展改革委.课堂电子项目特色:
1.在教育理念上,课程采用了能够消除师生时空限制的远程教育方式,以视频 /音频配以教学电子演示文稿,从而既充分发挥和远程教育的优势,又为学员创造的一个亲切、自然的虚拟课堂。
2.在教学方法上,课程有效利用电子演示文稿的优势,通过大量图表将深奥的理论直观呈现,有利于学员的理解和掌握;课程除视频讲授以外还设计功能强大的师生互动平台,有经验丰富的专业人士负责为学员解答疑难问题;此外,紧扣教学内容、设计精妙的自测试题是学员自我检查学习效果,寻求有针对性反馈的最佳途径。
3.在课程进度安排方面,为使学员能够最短时间掌握课程精髓,整个课程将原本课堂中需要 56个小时才能讲授完成的内容,通过科学、合理的设计压缩为 27个小时课程,各集配以学习目标、学习重点和知识结构图,以利于学员对内容的把握。
4.在课程讲授方面,主讲教师力图以最精练的语言和要点向学员传授微软在多年软件研发过程总结出的经验。每集结束时,主讲教师将与学员一同回顾本集教学要点,通过总结、归纳已达到加深理解的目的。
5.在教学资源提供方面,除讲授中已经提供的大量知识和内容,为使学员得到更多的相关学习内容和资料,课程还为学员提供扩展阅读的在线链接;而课程提供的思考练习题,则为学员进一步思考与相关内容提供了很好的途径。
第五篇:基于网格安全的XML数据交换技术的原理和实现
摘要:网格是在互连网的基础上发展起来并得到应用的。伴随着互连网开放性所带来的信息安全问题日趋严重,用于网格中数据交换的安全需求也越来越重要。分析了基于可扩展标记语言XML的数据交换的安全需求,介绍了xML安全服务中加密和签名的标准。针对xML数据交换的请求,响应机制,给出了XML数据交换的加密和签名机制及实例。关键词:网格可扩展标记语言加密签名网格概述
网格是基于计算机技术和网络技术发展起来的,他将地理位置上分散的资源集成起来,从而建立起一种构筑在国际互连网上的新型计算平台。通过网格,人们能获得诸如计算机、集群、计算机池、仪器、存储设施、数据、软件等各种资源、功能和服务。使人们共享计算资源、存储资源及其他资源。
有了这种以现有的国际互连网为基础建立的满足人们对资源更高共享需求的计算机平台,人们就能实现跨组织、跨管理域的管理资源,并为网格应用提供全方面的资源共享接口,实现分布资源的有效集成,提供共享各种资源的手段,从而提高资源的利用率,满足人们对广域范围内各种资源的共享需求。
在网格环境下,人们不仅能向网格发出请求资源消息,由网格接收请求并做
出响应,而且客户提出的请求能够同时驱动多个资源工作。多个请求能向多个服务器请求连接。客户程式资源能被其他客户请求作为资源使用。网格的目的是无论地理位置的远近、设备类型的异同,都能为用户提供统一且简单的共享网格资源的环境。为达到网格的目的,需要建立相应的网格体系结构。最简单的一种就是由分布式资源、网格系统及网格用户组成的三层结构(如图1)。底层是网格的物理层,他是分布式网格资源的集合,是建立网格的基础。顶层是网格的应用层,他是应用分布式网格资源的集合,是网格应用的基础。网格系统在物理层和应用层的中间,将用户和资源联系起来提供透明的使用,以支持全方位的资源共享。网格系统提供的功能就是应用层的需求,他直接影响着网格所要达到的目的。
网格是个开放、动态、异构、分布的系统,要想将互连网上分布的各种已接入网络的设备及将要接入网络的设备有机地集成,不是简单的连通问题。网格要为用户和应用提供访问使用资源的统一接口。他要对不同的物理资源进行不同层次的抽象,使不同的模块协调起来;定义好各模块的关系、模块间进行交互的协议及相应的方法和规则。网格是以原有的国际互连网为基础构建的,需要已有的一些协议和规范作为支持。图2所示为支持国际互连网的各网格协议的层次。H1TP、FTP、SMTP都是网格协议的传输载体,同时也都是网格建设的基础。无论网格的具体实现细节怎么,从用户的角度来看,他的确只是个网格接口。通过这个接口,用户向网格发送请求和接收来自网格的信息。网格接口就是要定义实现数据交换的协汉,采用相同协议的双方要能够相互理解对方的含义。在协议中还要指明数据表示格式和数据内容的具体含义。XML就是适合网络上使用的一种数据交换语言,他已在网格领域得到广泛使用。2 XML的运用
目前网格上最常用的数据交换表示形式中最重要和最常用的就是XML。XML是SGML的一个子集,以结构化的方式描述各种类型的数据。他允许文件制作人员创建新的标记,以便更准确地描述数据。XML几乎能描述所有领域的数据。他用严格的嵌套标记表示数据信息,特别适合在国际互连网的多点数据交换环境下使用。
XML本身是可扩展的,只规定了标准的语法。XML是能创建行业词汇和应用的语言,其文件的基本语法由W3C创建文件定义的XML模式所规定。在XML文件中所有开始标记都必须有对应的结束标记,并且这种标记有元素和属性两种类型。元素由起始标记、数据和结束标记三部分组成,如:123</data>就是个元素。而属性是修饰成分,由属性名后跟一个等号加属性值的形式构成,用来描述元素的某些性质。属性必须有一个属性值。例如:<数据编号=“56789”>我的数据<,数据>就是个有属性的,其中“编号”是属性,“56789”是属性值。
在网格环境下,由于XML文件的结构化和可读性,XML数据经常作为公文或流程数据,以合作的形式流转,因此还需要用加密和签名来确保基于XML的数据交换活动中信息的安全性。XML语言的安全是网格上信息交换的基础。为保障XML数据交换的安全性,国际标准化组织W3C提出了一系列XML安全服务的新标准,为以XML作为数据交换载体的应用提供安全性保障。这些标准包括:XML加密(XML Encryption)、XML数字签名(XML Sigllature)、XML密钥管理规范(XKMS)、XML访问控制标记语言(XACML)等。
XML语言的搜索是明确的、无二义性的。在交换敏感信息时,发信方及收信方必须建立安全的通信机制。为确保安全性,在使用XML交换数据时,需要在数据上使用加密及签名技术。
2.1 XML加密机制
XML加密(XML Encryption)是对XML文件中的全部数据或其中部分元素进行加密。对同一文件的不同部分,可采用不同的密钥进行加密,将同一个XML文件分别发给不同的接收者后,接收者只能访问拥有权限的那部分信息。XML加密语法的核心元素是EncryptedData元素,该元素和EncrypledKey元素一起用来将加密密钥从发送方传送到已知的接收方,他描述了一个加密数据包含的所有信息。加密时,EncryptedData元素替换XML文件加密版本中的该元素或内容。当加密的数据是任意数据时,EncryptedData元素可能成为新XML文件的根,或成为一个子元素。当加密整个XML文件时,EncryptedData元素则成为新文件的根。
在加密过程中,对于经过加密的数据,只有指定的接收者才能从中还原出密码本身。XML加密定义了一些元素:EncryptionMethod子元素使用URI惟一标识中所采用的加密算法,目的是确保通信双方能在加密算法上保持一致。KeyInfo子元素表达了加密时所使用的密钥信息,他能根据通信双方的约定,记录密钥名称、密钥值、数字证书,甚至获得密钥转换方法的描述,从而确保密钥的安全性。CipherData子元素标记为被加密的数据。EncryptionProperties子元素能用来描述加密数据和密钥的附加信息,如时间戳、加密序列号。发送者创建符合以上结构的EncryptedData元素发给接收者;接收者能根据从EneryptedData元素中得到的解密所需的加密算法、参数和密钥信息,正确地解密信息。
2.2 XML签名机制
XML签名标准可对所有数据类型提供完整性、消息认证、签名认证等服务。XML签名的主要目的是确保XML文件内容没有被篡改,对来源的可靠性进行验证。XML签名是使用XML应用研发工具实现的,而不是使用专用软件。签名时可直接对XML内容进行处理。
Signature是XML签名的元素,描述传输一个数字签名的完整信息。SigzaedInfo子元素记录被签署的原始信息。CanoniclizationMethod子元素使用URI惟一标识。该数字签名采用XML的数据算法,他是正确解析XML数据签名的前提。因为XML数字签名对SignedInfo子元素的字节流进行运算处理时,采用Canoniealization使XML签名适应各种文件系统和处理器在版式上的差异,使XML签名适应XML文件可能遇见的各种环境。SignatureMethod元素记录的是签名所采用的算法。Reference子元素指定的是摘要算法和摘要值。经过运算的Signedlnfo子元素记录在SignedValue中。Keylnfo子元素是接收者用来得到有效签名的密钥信息。接收者能根据Signature元素包含的信息确定数据的完整性和可靠性。
2.3 XML数据交换安全中实现加密、签名的实例 XML作为实现跨平台信息交换和提高异构系统之间互操作性的最佳解决方案而被提出,这极大地促进了数据交换应用的发展。而基于XML强大的可扩展性而提出的XML安全服务标准,使得能在考虑XML数据信息交换的安全控制问题上,完全采用基于XML标准的体系结构,继承XML的灵活性和可扩展性。图3给出一个安全的XML数据交换请求/响应流程。
在安全处理模块中,操作的对象是根据访问请求生成的原始XML文件,因此能采用XML加密规范和XML签名规范进行安全处理。首先,对其中包含的敏感信息元素采用特定的加密算法加密,或采用非对称密钥体系的公钥进行加密。加密时,首先将算法信息和密钥信息放在
作为一个开放的平台,由于资源的共享性和互操作性,互连网也面临着各种各样的安全威胁,如信息窃取、恶意欺骗、伪装、非法修改及各种扰乱破坏等。随着XML技术的广泛应用和深入发展,在开放环境下进行XML数据交换,确保信息的安全性是XML应用顺利开展的首要条件。XML数据经常作为公文或流程数据,以合作的形式流转,因此需要有加密和签名来支持。依据XML语言自身具有的结构化特征,XML文件同时也具有结构化和可读性,通过对加密机制和签名机制的运用,能确保XML数据交换活动中信息的安全性。XML的安全机制为确保网格资源的安全共享提供了保障。
点击咨询 