第一篇:论局域网软件防范策略
一、引言
网络用户为了能很容易在浩如烟海的网页中搜索到自己想要的网址、文档、程序等,频繁地使用搜索软件。搜索软件(Robot或称Spider)作为一个程序,可以运行在Unix、Solaris、Windows、NT、OS2和MAC等平台上,其核心技术为机器程序抓取网页。这种软件自动搜集和索引系统,由软件程序自动在Internet上搜寻www、gopher和ftp等站点资源,返回相应数据并对它建立索引,产生一个数据库。
搜索软件有渗透到Internet每一个角落的趋势,甚至是一些配置不当的数据库、网站里的私人信息,例如Google的桌面搜索工具Desktop Search存在一个信息泄漏的漏洞,入侵者能通过脚本程序欺骗Desktop Search提供用户信息,最常见的就是泄漏磁盘数据。利用这个漏洞提供的信息,入侵者可以伪造相关信件并建立欺骗性的电子商务网站,让用户误以为是大公司发给自己的信函而受欺骗。同时因为Robot一般都运行在速度快、带宽高的主机上,如果它快速访问一个速度比较慢的目标站点,就有可能会导致该站点出现阻塞甚至停机,更为严重的是搜索软件对网络资源的搜索已逐渐成为病毒和黑客窥视的焦点,对网站、局域网安全构成严重的威胁。
值得注意的是:搜索软件对网络的访问在主观上并非都是恶意的,有些甚至是被允许的。
二、搜索软件主要的安全漏洞
1.搜索软件被作为匿名代理。像A1taVista、HotBot等搜索软件能无意识地响应使用者的命令,把一些合乎搜索条件的网页传递给使用者,一般黑客就是利用这一点,利用嵌套技术,层层使用网络代理,通过搜索软件搜索有缺陷的网站并入侵。同时,网络上存在大量的诸如*等网站专门提供匿名代理服务,这极大地方便了黑客,他们只需要几行简单的网页查询语句就能得到一些装有微软信息服务器((IIS)3.0和4.0但配置不当的电脑上的boot.in:文件。
2.搜索软件被作为病毒查找攻击对象的工具。例如,Santy蠕虫病毒的爆发最初发生在一周前,这一蠕虫病毒能够删除BBS论坛上的内容,在上面“涂鸦”它自己的内容。据安全公司表示,该病毒攻击的对象是运行phpBB软件的论坛网站,而且就是利用Google查找攻击目标。在Google公司采取措施对Santy蠕虫病毒对存在有漏洞的BBS论坛网站的查找进行查杀之后,Santy蠕虫病毒的变种正在利用Google、AOL和雅虎等搜索软件进行大肆传播。
3.Google批量黑客搜索攻击技术。事实证明使用Google搜索软件可以让普通人做一次黑客,其原理很简单,很多有特定漏洞的网站都有类似的标志页面,而这些页面如果被Google索引到,我们就可以通过搜索指定的单词来找到某些有指定漏洞的网站。例如Frontpage Extensions是微软IIS上的一个产品,但是其Netscape版本中的口令文件的访问权限设置有错误,黑客取得这些口令文件后,使用暴力破解工具就有可能获取一些弱用户账号口令。利用搜索软件搜索一下这个ext:pwd inurl:(service | authors | administrators | users):“#-Frontpage-”,可以发现有128个口令文件可供下载。
4.搜索软件被利用查找有缺陷的系统。一般黑客入侵的标准程序是首先寻找易受攻击的目标,接着再收集一些目标的信息,最后发起攻击。一般来说,新开通网络服务的主机容易成为攻击目标,因为这些主机最有可能没有很好的防范措施,如安全补丁、安装及时更新的防火墙等。那么搜索软件是怎么成为黑客人侵的工具的呢了?一般来说,装有网络服务的操作系统如Linux和windows通常把管理帮助文件和HTML配置文件放在网络服务的一些标准目录。当搜索软件搜索到这些文件时就会列出来,于是黑客知道这个系统可能是没有很好防范的系统而把它当作攻击目标。比如某个流行的网络产品有漏洞,那么就搜索这个产品的相同的字符串,比如某天phpBB论坛系统出现一个漏洞,那么我们就使用Google搜索“powered by phpBB”,就可以搜索出几乎所有使用phpBB系统的论坛。
5.搜索软件能用来搜索秘密文件。搜索软件中的FTp搜索软件,与HTTp搜索软件相比,存在着更大的网络漏洞。诸如LycosFTp的搜索软件,它产生的成千上万的网络链接能够探测到一些配置不当的FTp服务器上的敏感信息。任何网络使用者,稍懂网络知识,使用这种搜索软件,都可以链接到一些保密的数据和信息,更不用说一些资深的黑客了。并且,一些随意的FIp设置很容易暴露CUTEftp的smdata.dat文件和Netscape Enterprise Server的admpw文件,这些文件都是一些很容易被破译的加密器加密了的密码文件。若用FTp搜索软件搜索出smdata.dat或admpw文件,那么,登陆该ETp服务器的用户名和密码就唾手可得了。至于窃取FTp服务器上放置的保密文件对于黑客来说就更是如探囊取物了。
6.黑客利用桌面搜索攻击个人计算机。近来金山公司发现一种名为“Google DeskTop”的工具能够让使用者很轻易地找到机器当中的私人信息。同时,这个搜索工具还可以搜出系统隐藏的文件,如果利用这个搜索工具就能轻易地修改掉系统文件,而在隐藏文件暴露的情况下,非常容易受到攻击,而且病毒会利用操作系统漏洞进行攻击。所以用户在QQ、MSN聊天时,或者利用电子邮件收发时,个人信息会存在缓存当中,利用这一搜索会轻易搜索到网页的记录。如果有用户在公共场合通过web方式接收邮件,个人隐私会存留在缓存中,通过使用这个工具,输入了某些关键字,会造成使用者轻易搜到相关信息。专家提醒广大用户,不要在公共场所使用这个工具,特别是在网吧,以免造成信息泄露。
三、局域网的信息安全
如果企业内部网络,甚至个人电脑的硬盘都在可搜索之列,那么如何保证信息的安全呢?由于缺乏自主技术支撑,CpU芯片、操作系统和数据库、网关软件大多依赖进口,使我国计算机网络的安全性能大大降低。尤其是企业内部网的信息安全将成为问题的焦点。
影响局域网信息安全的因素主要有:非授权访问、冒充合法用户、破坏数据的完整性、干扰系统正常运行、病毒与恶意攻击、线路窃听等等。
1.常规策略:访问控制。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段,是保证网络安全最重要的核心策略之一。
(1)入网访问控制。它是第一层访问控制,控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。这样的访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。
(2)网络的权限控制。这是针对网络非法操作所提出的一种安全保护措施。控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。
(3)目录级安全控制。控制用户对目录、文件、设备的访问,或可进一步指定对目录下的子目录和文件的权限。
(4)属性安全控制。应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。
(5)网络服务器安全控制。包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
(6)网络监测和锁定控制。服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应有一定的报警方式。同时应能自动记录企图尝试进入网络的对象和次数,并设置阈值以自动锁定和驱逐非法访问的账户。
(7)网络端口和节点的安全控制。网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。
2.非常规却有时更有效的安全策略和技术
(1)屏蔽Cookie程序。Cookie是Web服务器发送到电脑里的数据文件,它记录了诸如用户名、口令和关于用户兴趣取向的信息,因此有可能被入侵者利用,造成安全隐患,因此,我们可以在浏览器中做一些必要的设置,要求浏览器在接受Cookie之前提醒您,或者干脆拒绝它们。通常来说,Cookie会在浏览器被关闭时自动从计算机中删除,可是,有许多Cookie会一反常态,始终存储在硬盘中收集用户的相关信息。
(2)屏蔽ActiveX控件。由于ActiveX控件可以被嵌入到HTML页面中,并下载到浏览器端加以执行,因此会给浏览器端造成一定程度的安全威胁。目前已有证据表明,在客户端的浏览器中,如IE中插入某些ActiveX控件,也将直接对服务器端造成意想不到的安全威胁。同时,一些其他技术,如内嵌于IE的VB Script语言,用这种语言生成的客户端可执行的程序模块,也同 Java小程序一样,有可能给客户端带来安全性能上的漏洞。此外,还有一些新技术,如ASp(Active server pages)技术,由于用户可以为ASp的输出随意增加客户脚本、ActiveX控件和动态HTML,因此在ASp脚本中同样也都存在着一定的安全隐患。
(3)定期清除缓存、历史记录,以及临时文件夹中的内容。我们在上网浏览信息时,浏览器会把我们在上网过程中浏览的信息保存在浏览器的相关设置中,这样下次再访问同样信息时可以很快地达到目的地,从而提高了我们的浏览效率。但是浏览器的缓存、历史记录,以及临时文件夹中的内容保留了我们太多的上网的记录,这些记录一旦被那些无聊的人得到,他们就有可能从这些记录中寻找到有关个人信息的蛛丝马迹。
(4)内部网络系统的密码要定期修改。由于许多入侵者利用穷举法来破解密码,像john这一类的密码破解程序可从因特网上免费下载,只要加上一个足够大的字典在足够快的机器上没日没夜地运行,就可以获得需要的账号及密码,因此,经常修改密码对付这种盗用就显得十分奏效。
(5)不要使用“MyDocuments”文件夹存放Word、Excel文件。Word、Excel默认的文件存放路径是根目录下的“MyDocuments”文件夹,在特洛伊木马把用户硬盘变成共享硬盘后,入侵者从这个目录中的文件名一眼就能看出这个用户是干什么的,这个目录几乎就是用户的特征标识,所以为安全起见应把工作路径改成别的目录,并且层次越深越好,比如:c:abcdefghijkl。
第二篇:局域网通信软件教案
局域网通信软件教案(SOCKET)
2014.02.27
一、概述
研究、学习意义:局域网通信是日常生活中很重要的一部分,其中所涉及到的技术也是多媒体传输项目的核心技术,通过学习编写通信软件能够较为迅速的掌握网络通信的相关软件技术,特制订此教案供教研室同学作入门参考。
实现方法:利用MFC框架实现软件界面;利用Windows Sockets环境实现网络通信功能。
二、通信软件基础
2.1 Windows应用程序:
MFC是一个微软公司提供的类库,以C++类的形式封装了Windows API,并且包含一个应用程序框架,以减少应用程序开发人员的工作量。我们主要利用其实现软件界面的搭建,但同时应该掌握其中的基本windows编程技术:掌握MFC的消息机制,尽量掌握如何使用SendMessage编写自己的消息函数;掌握常用控件的基本成员函数,例如按钮、编辑框、列表框等;掌握什么是类,学会继承类,能重载类的成员函数,尤其是CDialog类的成员函数的作用。
设计界面时要考虑几个方面:
界面的美观:第一印象很重要,没有人会对一眼看上去就很粗糙的东西感兴趣。
简洁性:界面上控件,按钮什么的太多让人也会失去兴趣,因为看上去就很复杂。界面应该尽量的界面。
方便用户:除了简洁,最主要的还是要方便用户。毕竟客户是上帝,客户觉得好用才是最重要的。不能为了界面好看,而把软件的操作弄得复杂。意思就是界面的每个部件最好只实现一个功能,在没有必要时不要把多个功能集成。2.2 Windows Sockets基础:
Windows Sockets(套接字)是windows网络应用程序的接口,基于它我们能够实现在网络上传输数据。
套接字在TCP/IP模型中的位置
下面是套接字简介:
流套接字:使用TCP协议进行通信;具有TCP协议所拥有的各种特征;面向连接的、可靠的数据流传输服务;数据包不会出现丢失、重复、乱序等现象。
数据报套接字:使用UDP协议进行通信;具有UDP协议所拥有的各种特征;面向非连接的、不可靠的用户数据报传输服务;数据包可能出现丢失、重复、乱序等现象。
套接字在使用时分为两种模式:
阻塞式:在阻塞模式下,套接字函数要一直等到全部操作完成后才返回 非阻塞式:在非阻塞模式下,一个套接字函数被调用后会立即返回,即使它执行的操作还没有全部完成,当函数最终完成所执行的操作时,Windows通过发送消息的方式通知程序。
套接字通信示例
创建套接字时要根据实际需要选择套接字的类型,例如:对话消息不需要很强的同步性可以采用数据包套接字,文件传输要保证数据顺序和可靠性要求则需采用流套接字。
更多技术细节参考:孙鑫《VC++深入详解》,Bob Quinn, Dave Shute《Windows Sockets网络编程》。
三、软件功能
整个系统采用C/S架构,其可以分为客服端和服务器端两大部分。整个系统要求实现局域网通信的基本功能,包括三个功能块:用户管理,消息发送接收,文件发送接收。最终实现局域网内多用户之间发送文字消息,单用户与服务器之间传送文件。以下是各功能块介绍。
软件示意图
3.1 用户管理:
服务器端等待客户端连接,客户端主动连接服务器端。客户端通过定时问询的方式判断服务器是否在线,服务器收到某用户问询消息则视其在线。服务器负责对在线用户列表进行更新,并将最新在线用户列表通知客户端。3.2消息发送与接收
服务器与用户同时在线时,双方可以自由发送消息,实现技术: UDP数据报。消息长度不超过200字节(可设置)。发送和接收的消息会在显示区域显示,并显示发送和接收的时间。3.3文件发送与接收
实现单用户与服务器之间的文件发送与接收,实现技术:同步TCP数据流。
四、软件流程
参考以下详细流程实现软件;或者参考其他通信软件采用你认为的合理的软件流程。服务器端
1、启动
初始化用户管理user_socket、消息发收msg_socket、文件接收file_socket,均为阻塞式socket。启动接受用户问询线程、接收消息线程、接收文件线程。
2、等待用户连接
user_socket接收客户端定时发送的消息,并向客户端发送更新后的在线用户列表。
3、收发消息
msg_socket接收客户端发送的消息、发出新的消息,将消息内容显示在界面上。
4、监听(listen)文件接收
文件接收file_socket开始监听,等待客户端发送文件的连接请求。
5、接受(accept)文件接收连接
在接收文件线程中接受客户端发送文件的连接请求。
6、接收文件
在接收文件线程中file_socket接收文件数据并写入新的文件。
7、关闭
关闭各个socket 客户端
1、启动
初始化连接服务器user_socket、消息发收msg_socket、文件发送file_socket,均为阻塞式socket。
2、连接服务器端
通过user_socket定时发送问询消息,如果服务器有回应则其在线,并根据返回的在线用户列表更新在线用户。
3、收发消息 msg_socket接收服务器端发送的消息、发出新的消息,将消息内容显示在界面上。
4、发送文件
启动文件发送线程。客户端file_socket连接(connect)服务器端file_socket,并开始读取本地文件、发送文件数据。
5、关闭
关闭各个socket
五、代码规范及文档
5.1代码规范与注释
编写代码不仅仅是把功能实现,也需要有一定的风格。代码结构要很清晰,让不是编写者的人也可以很快读懂代码。同时代码要添加注释,不仅为了防止时间长了自己忘了代码的作用,也是为了其他人更好的读懂自己的代码。注释在编写代码的过程去添加是因为整个工程编写完再去添加会很繁琐,也容易出错,思路没有当时清晰,而且一旦工程很大的情况下将会花费大量的时间。建议去网上找一些编程规范,找出合适自己的风格,并坚持下去。5.2技术文档
将自己的工程设计方案,详细的设计思路等整理成文档,在文档中对软件的必要的部分要进行详细解释。主要部分有一下几点:
1.软件整体结构; 2.各部分功能; 3.功能实现流程;
4.主要功能函数的输入,输出; 5.使用注意事项。
第三篇:论网上证券交易的风险及防范策略
网上证券交易的风险及防范策略
【摘要】网上证券交易代表着未来证券市场以及证券交易模式的发展趋势,但是网上证券交易,既是证券交易活动,又是一种电子商务,网上证券交易的这种两重性,决定了在网上证券交易中会产生一些新的风险。网上交易的低成本性、便捷性、相对安全性等优点是其得以迅速发展的主要原因,但是由于互联网的开放性和互联性, 加上证券交易本身的无形化和数据化特征, 网上证券交易中不可避免会存在一些意外的或人为的风险。而对此问题的讨论无疑有利于网上证券经纪业务更好的规范和发展, 具有一定的前瞻性和现实意义。文章仅从网上证券的概念种类规定、完善我国网上证券交易的立法建议、网上证券存在的主要风险、风险发生后经纪券商与投资者的风险承担规则以及经纪券商与投资者如何应对交易风险等几个方面进行论述。
一、网上证券交易的内涵及法律属性
(一)网上证券交易的概念
中国证券期货监督管理委员会(简称“证监会”)对网上证券交易是这样描述的:“一笔证券交易可以被描述成以下过程:客户把委托单下到证券营业部,再由证券营业部把委托单传递到证券交易所,在交易所撮合后再通过证券营业部把交易结果返回给客户。如果把客户下单到营业部的过程用互联网来实现,再通过互联网把交易结果从证券营业部传给客户,这就是实现了网上证券交易。”相比较而言,国外对网上证券交易定义的描述非常简单,即通过互联网完成证券交易的过程。具体而言网上证券交易活动可以分为三个层次,分别为网上股票经纪活动、网上股票直接公开发行和网上直接撮合证券买卖(由相当于网上股票交易所的电子通讯网络完成)等。我国现阶段的网上证券交易是经纪交易商向投资者提供的网上交易经纪服务,属于第一层次的网上证券交易活动。在交易流程中,交易所发挥着不可替代的导作用,仍然是一种场内交易。
(二)网上证券交易的法律属性
1、立法现状及存在的问题
(1)电子化交易的基础立法呈空白状态。我国的网上证券立法是随着网上证券交易在我国的快速发展而发展起来的, 不过我国目前还没有一部规范网上交易的基本法, 有关网上证券交易的规定零散见于一些法律、部门规章、行政法规和司法解释中。如全国人大常委会制定的《全国人民代表大会关于维护互联网安全的决定》、《中华人民共和国证券法》、国务院颁布的 《中华人民共和国计算机信息系统安全保护条例》、《商用密码管理条例》等。不可置否的是, 这里显然找不到网络证券交易的风险承担的任何规定。不仅如此, 就连证券监督管理委员会专门针对网上交易的规章《网络证券委托暂行管理办法》、《证券公司网上委托业务核准程序》和《证券公司管理办法》也找不到网络证券交易的风险承担的法律依据。可见, 在网络证券交易的风险承担的立法方面, 处于一个空白状态。
(2)网上证券交易的专门立法不健全。目前,我国专门规范网上证券交易的立法主要是证监会于2000年4月颁布的《网上证券委托暂行管理办法》(以下简称《暂行办法》)和《证券公司网上委托业务核准程序》等金融规章。这些规章对促进网上证券交易的稳定发展无疑具有很好的作用,但却有着明显的不足,很难保证网上证券交易的健康发展。
(3)与网上证券交易相关的传统立法滞后。随着网上证券交易的出现,一些现有的传统立法基本不适应其要求。
(4)网上证券交易的国际协调立法缺失。由于计算机网络的无国界性,制定网上证券交易的国际协调法律规范很有必要。但目前,在我国尚缺这方面的法规,这不仅会影响我国网上证券交易在国际上的发展,而且还有可能引发国与国之间的利益冲突。鉴于此,我国立法机关和证券监督管理部门应该重视网上证券交易立法的完善。
2、网络证券交易的风险承担的立法展望。(1).遵循证券立法的基本原则
第一是公平原则: 所谓公平是指以利益均衡作为价值判断标准来调整民事主体之间的物质利益关系,确定其民事权利和民事责任的要求。在《证券法》中,公平是指证券发行和交易活动必须保持公平的竞争环境, 证券市场参与者不因身份、地位、所有制性质不同而受到歧视, 他们依法入市的条件相同、信息利用的机会相当、投资获利的机会均等, 合法权益亦得到平等保护;第二是诚实信用原则: 诚实信用原则是民商法的基本原则, 更是各类交易法应予遵循的最基本原则之一。由于在网络证券交易中, 关于风险的承担尚无法可依, 风险揭示书和网上委托协议书均是由网络券商拟订, 因此本应由券商承担的风险地转嫁给了投资者, 得网上交易产生的风险差不多都由投资者承担。这严重违背了诚实信用原则。《证券法》第4 条规定,“证券发行、交易活动的当事人具有平等的法律地位, 应当遵守自愿、有偿、诚实信用的原则”。
(2)立法的必要性。就网上证券交易的发展而言, 离不开法律的支持。当下的网络证券交易风险承担问题可以说是法律、法规滞后问题。我国证监会已制定了《网上证券委托暂行管理办法》和《证券公司网上委托业务核准程序》及《证券公司管理办法》, 它们在鼓励市场创新、控制技术风险、维护市场秩序、促进市场的健康发展方面发挥了重要的作用。但从这些法规的内容看, 还只是框架性的, 还没有解决网上交易所涉及的风险承担问题。
(3)基础立法与专门立法的配套建设。基础立法首先借鉴国外立法经验,使我国立法保持相对的先进性和前瞻性。同时,证监会应就《暂行办法》等规范网上交易的规章作更好的完善,尤其应该解决相关当事人权利义务以及风险的分承担问题。其次,应及时修正或补充《证券法》、《票据法》等有关传统立法,以适应网上交易发展的需要。再次,要积极参与国际合作,建立有关网上证券交易的国际协调法律制度。
(4)注重有关立法对投资者的保护。由于在网上证券交易中证券公司始终处于优势地位,所以,立法应倾向于保护广大投资者,尤其要禁止委托交易合同中对与投资者的各种不公平的条例规定,并应当在风险分担方面给投资者于以保护。
3、网上证券交易的法律责任的承担。网上证券交易的瞬时性、高技术性、和无纸化等特点,决定了网上证券交易的风险要高于传统证券交易的风险。对于网上交易风险致使投资者发生损失时的法律责任的承担,是有关当事人十分关注的问题。目前我国并未对此作出专门法规条例,立法应该加以完善。
(1)因证券公司网上交易系统硬件或者软件存在缺陷导致交易出现错误而给投资者造成的损失,应由证券公司承担责任
(2)因网络服务商的过失所致的事故或者故障给投资者造成的损失,应该网络服务商承担责任。但从网络服务商、证券公司和投资者这三方关系的角度看,应该由证券公司先行承担责任,再由证券公司向服务商追究相关责任。(3)因非法侵入交易系统,盗取或篡改指令、相关资料以及资金数据等造成的投资者损失,应由证券公司向投资者承担责任,然后由证券公司向实施侵权行为的人追偿。
(4)因投资者自身的过错,如投资者遗失或泄露密码等原因造成的损失,应由投资者自己承担责任。
二、网上证券交易面临的主要风险问题
网上证券交易所涉及到的环节远多于营业部交易,而且许多环节并不在证券公司控制之内,所以进行网上证券交易的风险性也较传统交易大。网上证券交易的风险主要有两个方面。
(一)证券交易活动中可能存在的风险
1、操作性风险。一是投资者进行网上证券委托交易时, 由于不具备一定的网上操作经验而造成操作不当的风险;二是投资者对完成网上交易必须具备的网上委托的身份认证文件及密码工具保管不当, 被他人窃取后假冒投资者身份进行网上委托交易而导致的投资者经济损失。
2、第三人侵权的风险。第三人或者侵入投资者电脑, 或者截取投资者网上传输过程中的交易指令或者攻击证券公司进行网上证券委托业务的服务器, 以窃取投资者相关证书及密码阻碍投资者交易。
3、银证转账的风险。为了防止网上委托数据受到非法窃取和篡改, 一般的证券公司不直接向投资者提供网上银证转帐业务。
4、虚假信息及失真信息的风险。网络传播的信息虽然量大、方便快捷, 但是网络信息的如果是虚假的或滞后的, 则会给投资者造成损失。
5、财务风险。投资者在采用网上委托交易后, 应在交易当日同营业部进行账务核对, 确认本人资金账户和证券账户的余额及当日发生额准确无误。
(二)网络技术系统可能存在的影响证券交易的风险
1、投资者的电脑系统故障、感染病毒、被非法入侵、电脑设备或软件系统与网上交易系统不匹配,无法下达委托指令或委托失败而产生的损失。
2、互联网故障导致委托指令、行情信息等中断、迟延、错误,使投资者无法在其指定的委托价位成交而产生的损失。
3、通讯线路繁忙、服务器负载过重,投资者不能及时进入行情系统或网上证券委托系统,使投资者不能及时增大收益或止损。
4、网络券商的设备故障、交易系统故障、感染病毒、电力故障等导致投资者的委托指令无法被执行。
5、重复或错误发送交易指令。
(三)交易中还可能面临到得其他风险。
自然灾害和环境因素造成的风险。以及除证券投资包括的一般违约风险、利息率风险、购买力风险、流动性风险和期限性风险等, 证券交易业务还存在特殊风险。
三、网上证券交易风险的防范措施
(一)制定可信的验证机制和可靠的网上证券交易体系。
1、为了保证网上证券交易的保密性、真实性、安全性、准确性和不可否认性 ,防范证券交易和清算与交割过程中的欺诈行为 ,在增强加密措施保护信息传输的同时 ,必须在网上建立一种信任验证机制 ,使得证券公司营业部能对投资者身份的合法性、真实性认证 ,以防假冒。
2、我国证监会发布实施的《管理办法》第 18 条规定 : “证券公司应采用可靠的技术管理措施 ,正确识别网上投资者的身份 ,防止仿冒客户身份或证券公司身份;必须有防止事后否认的技术或措施。”、这就要求网上证券交易者有一个可以被验证的身份标识 ,即数字签证。
3、采用数字签名和身份认证能确保系统所有数据在传输时都有电子签名 ,那些由于传输错误或被恶意伪造的数据都不能通过检验。投资者的每个网上交易指令都应附有有效的交易密码 ,任何虚假的交易指令都会由于密码错误而无效
(二)证券公司应在接受投资者网上委托业务时向投资者进行风险揭示 ,并明确各方的权利与义务。
1、根据《管理办法》第 22 条规定: “证券公司应在入口网站和客户终端软件上进行风险揭示。”第 28 条第 8 款规定 ,证券公司的《风险揭示书》范本应上报证监会 ,作为证券公司在申报网上证券交易时的必备文件。《管理办法》第 6 条规定: “证券公司在为投资者办理网上委托相关手续时 ,应要求投资者提供身份证明原件 ,并向投资者提供证实证券公司身份、资格的证明材料 ,禁止代理办理网上委托相关手续。”这一条所规定的禁止代理办理网上委托手续的根本目的 ,就是证券公司必须向投资者本人进行风险揭示 ,在投资者了解网上证券交易的各种潜在风险后 ,再决定是否进行证券网上委托业务。
2、投资者在对网上证券交易的优缺点进行了充分的了解后 ,如果投资者自愿采用网上委托 ,证券公司应与投资者本人签订专门的书面协议。协议应明确双方的权利和义务 ,具体内容包括证券的委托买卖、清算与交割、信息查询、客户资料保密、替代交易方式、资金存取、转账和转托管、风险防范、交易密码设置和法律责任的承担等。协议的详细约定能弥补法律规定欠缺的缺陷 ,以协议条款作为双方的行为准则 ,能避免纠纷的产生。
(三)证券公司加强风险控制 ,严格业务管理制度。
1、《管理办法》的第 7 条规定 : “证券公司应制定专门的业务工作程序 ,规范网上委托。”第 11 条规定 : “证券公司必须自主决策网上委托系统的建设、管理和维护。有关投资者资金账户、股票账户、身份识别等数据的程序或系统不得托管在证券公司的合法经营场所之外。”
2、证券公司应制订严格的业务流程并定期向投资者提供书面对账单 ,限制单笔委托最大金额以及每日成交最大金额;严禁透支和信用交易 ,加强资金在账户之间划转与存取、指定交易的控制等;在现有的网络技术条件下 ,禁止开展网上证券转托管和计算机及电话形式的资金转账服务。做到在开户、指定交易时的事前控制 ,交易委托的实时控制 ,对交易后的清算与交割的事后控制。
3、证券公司在加强交易程序性制度建设的同时 ,应建立一系列必要的网络管理制度 ,如 :网络系统入网制度、系统数据共享制度、修改程序检查制度、用户信息存取制度、敏感数据安全制度和系统文件备份制度、安全稽核监察制度等。加强自律性管理 ,防止和减少网络交易各参与方可能出现的纠纷。
(四)加强投资者自我保护意识 ,提高其风险防范能力。
1、投资者在做出网上证券交易决策前 ,首先应综合比较各证券公司和进行网上交易网站的安全防范措施、信息质量、传输建设和技术服务等情况 ,选择一个技术力量雄厚 ,风险控制健全的证券公司和网站作为委托对象。
2、其次必须对网上获取的各类信息进行客观地评价并辩明真伪 ,选择适应的安全防范措施 ,注意密码的设置和资料的存放等。应严格地依照法律规定和约定及时检查委托成交情况 ,并按时进行清算交割。如果发现问题要在第一时间与证券公司进行协商处理。
(五)投资者在防范网上证券交易的风险时应注意下列几个方面。
1、遇到技术风险, 投资者应及时对比其他相关信息, 使用其他交易手段(如电话委托), 及时查证成交情况, 规避网络故障带来的技术风险。
2、投资者必须确保在安全状态下设置各类密码, 并妥善保管自己的开户资料、交易密码。尽量避免采用委托他人的方式或在证券营业部营业场所之外开户, 尽量避免投资者开立的证券交易账户交由他人保管使用。
3、投资者在网上委托的过程中, 使用商业银行提供的银证转账业务, 必须按照银行的相关规定办理。
4、某些上市公司或咨询机构在网上发布的信息不够准确,缺乏法律的规范和有效的监管, 误导广大股民借以操纵市场, 投资者应辨别信息真伪, 谨防网上欺诈带来的信息风险。
5、如果投资者对自己的账户有异议或感觉数据异常, 应立即与营业部联系, 以免造成资金损失。
6、针对自然灾害和环境因素造成的风险, 网上证券交易系统的地址选择、房屋结构设计要慎重, 关键的软硬件要添置备援配置, 以保证应用系统在发生紧急情况时不中断运行。防火要添置烟火和温度侦测器、各种灭火器、防火保险柜;为了防水, 主机房和动力设备应尽量安放在二楼;为防断电, 应采用 UPS 电源;为防计算机屏幕发出的辐射被黑客检测出来, 防止打印机、磁盘驱动器和主处理器泄漏信息, 计算机中心应密封屏蔽起来。为了防震, 可在高架地板下架设强力弹簧。
(六)防范网上证券交易风险的技术措施
采用网络隔离手段对证券交易的中心端的软硬件系统与证券公司业务系统实施网络隔离。同时, 在中心端与 Internet 的联接上, 设置防火墙, 对中心端提供额外的监控和保护手段。采用入侵检测技术防止黑客攻击, 以此作为继防火墙之后的第二道安全闸门, 在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。计算机病毒是网络安全的痼疾, 为此, 要求所有券商的计算机上安装能及时升级的网络版防毒产品。此外, 对重要的交易数据要进行定期的备份, 并采用数据加密技术、数字签名技术、数字时间戳、数字证书技术, 利用公钥基础设施安全体系。为解决委托数据在互联网上传输过程中存在的被截取、破译的风险, 还可以使用安全套接层协议或者安全电子交易协议来保证网上证券交易的安全进行。
(七)防范网上证券交易风险的管理框架
要保证网上交易的安全性, 仅仅从加强安全技术手段方面入手是远远不够的, 管理制度在安全管理中起到了重要作用。进行信息管理时由专人负责管理数据库, 做到不泄露投资者开户和个人资料。除了有应付系统中断的备用系统和应付危急的程序外, 还有必要对系统进行日常维护和管理。无论信息管理还是维护管理最终还是归结到人, 人员的素质高低, 法制观念的强弱都会影响到管理的效果。对人员的管理可以从以下几个方面入手: 对证券从业人员和网络管理人员进行包括规章制度和法制等内容的岗前培训;实行岗位责任制, 对违反安全规定的责任人给予严惩;落实安全运行制度与原则。网上证券交易的风险很多方面来自于客户本身, 客户不知道如何操作才能保证安全, 可以利用互联网或在网下对投资者进行相关的安全教育, 让投资者学会进行自我保护。2005 年 4月 1 日起在我国正式实施的《电子签名法》进一步保障网上交易的安全性。投资者将可使用手写签名、电子公章、秘密代号、指纹、声音, 甚至视网膜结构等, 保障自己更安全地在网上进行炒股、电子商务等活动
(八)防范网上证券交易风险的法律与监管策略
从技术上而言, 永远无法保证网上证券交易的绝对安全,只有和先进的管理和规范的法律、监管制度相结合, 才能保证网络交易的绝对安全。因此, 在加强技术保障的同时, 提高管理水平, 建立规范的法律制度, 加强对网站的监管是非常重要的。
1、建立网络证券违规与犯罪调查中心。
在我国, 证券市场网上监管体系尚未形成, 证券管理部门还没有对证券网络犯罪进行直接监管和处罚, 证监会没有司法调查权, 而公安机关对证券网络交易业务熟悉程度不及证券监管机关, 但有关证券网络违规犯罪主要由公安机关管辖。因此, 目前监管体系并不利于对网上证券违规犯罪行为的监管和处罚, 不能适应网上证券犯罪监管的需要, 有必要在现在的中国证监会机构下设立一个独立的部门, 专门负责网上监督。
2、因特网违规与犯罪是无国界的, 凡与因特网直接相连的计算机都有受到网络欺诈攻击的可能, 网络证券违规与犯罪将突破时空限制给不同国家造成同样的危害, 因此, 加强国际间合作就显得十分必要。而目前网上证券交易在全球范围内尚无统一监管规则, 我国监管机构应加强与国际证券监管组织之间的合作, 倡导制订全球统一的网上证券交易监管协议。
(九)加强在电子商务环境下证券活动的监管
1、对披露证券信息的网站实行许可证制度并设立权威网站。券商的网站如用于网上交易的接口, 审批时原则上可与其网上交易业务资格审批同时决定是否予以许可证;对非券商网站, 应视其技术水平决定是否予以进入许可证;不作为网上交易入口的网站, 应视其点击率、网站内容的专业化程度, 决定是否允许其披露证券信息。当不同的网站披露的信息出现差异时, 要以权威网站为准。这些所有网站的名单应予公布, 向广大网民说明, 提高其对信息可靠程度的鉴别力。
2、加强对网站内容的管理。网站必须披露根据《网站证券委托暂行管理办法》第四章的信息披露中的二十二条以及第二十三条规定: 证券公司应在入口网站和客户终端软件上进行风险揭示。如向客户提供证券交易的行情信息, 应标识行情的发布时间或滞后时间;如向客户提供证券信息, 应说明信息来源。并应提示投资者对行情信息及证券信息等进行核实的内容, 监管的重点主要包括券商的网上投资咨询是否违背有关投资咨询方面的法规以及网站中是否传播虚假的、误导性信息。
3、加强对其他相关网站的监管。近一段时间, 频频出现某些国有商业银行的网站被假冒, 还出现了“网银大盗”、“股票大盗”等病毒。这些病毒或假网站有些是通过利用搜索引擎的搜索竞价排名, 诱使用户下载软件或点击假冒的主页, 以达到盗取账户与密码目的。因此, 各相关部门有必要加强对提供搜索引擎功能的网站的监管, 在必要的时候也可以进行处罚, 尽量消除这些假冒网站利用搜索引擎进行诈骗的可能性。
(十)引入保险机制, 保障投资者切身利益 在依靠技术进步, 不断强化安全保密手段, 通过法律措施打击利用互联网进行证券犯罪的同时, 应积极地与保险公司合作, 开发对应的险种, 为投资者投保, 通过保险机制的配套工程来消除投资者的疑虑, 树立投资者对网络安全的信心, 建立保障投资者的切实可行的运行机制。
1、推出“黑客保险”护驾网上交易
对于由于病毒黑客等网络风险带来的损失, 从事网上委托交易的各大证券公司都在网站显著位置发布了风险警示, 警示明文规定“由于账号、密码被泄露或开户资料遗失未办理挂失等使得投资者的网上证券委托的身份可能会被仿冒, 造成证券被盗卖或盗买而引致损失。凡密码正确所进行的一切委托行为, 本公司均视为您本人的委托行为”。事实上, 由“证券大盗”而引发的数起案例, 最终被害股民除了去公安局报案一种选择外, 所有损失只能由自己承担。由于网络的虚拟性, 要想通过病毒传播者留下的蛛丝马迹抓到犯罪分子谈何容易。目前国内还没有一家保险公司开展网络信息安全方面的保险业务。而在国外, 网上证券交易保险的开展已经很普遍, 股民在签订网上证券委托交易协议时, 券商会主动为用户购买一份商业保险, 在遭遇种种不可抗的突发风险时, 保险公司会根据实际情况为股民承担部分损失, 以此保障客户的合法权益。英国和美国的一些保险公司已经推出了“黑客保险”业务, 著名的网上证券经纪商 E-Trade 为每个交易帐户免费提供高达 1 亿美元的保险, 这项措施极大地增加了投资者通过 E-Trade 网站进行网上交易的信心。而在我国, 笔者建议可以采用券商、保险公司以及计算机病毒防治公司三方进行合作, 券商联同保险公司选择合适的计算机病毒防治公司客户端的杀毒软件和防火墙, 提供给采用网上证券交易的投资者使用。投资者在使用该杀毒软件和防火墙后, 如果还是因黑客问题而造成损失时, 由保险公司负责为投资者提供赔偿。
2、推出“网路及交易系统畅通保险”
在我国许多网络券商制订的“网上证券委托协议”中, 往往会有如下规定: 券商因设备故障、通讯故障、网络堵塞、交易统故障, 以及因互联网上传输原因, 交易指令出现中断、停顿、延迟、数据错误等情况因素而造成投资者不能正常交易, 券商不承担责任等等的免责条款。如果让券商来承担这种风险, 则不利于券商积极开展网上证券委托业务, 从而将会阻碍网上证券交易的发展和应用。但是, 券商的这种做法将会极大地损害投资人的利益。笔者考虑是否可能在引入“黑客保险”的同时,也开发出对因券商设备故障和 ISP 的原因而造成投资者损失的“网络及交易系统畅通保险”
答谢辞:感谢在论文写作过程中李备友**老师给予的指导和帮助!*老师耐心的帮助和细心的指导,使我在论文写作初期有了清晰的思路,并帮助我坚定了信心和指出了论文之中不足之处以完善论文,于此,特别感谢李*老师!
参考文献
(1)刘艳慧,.论完善我国网上证券交易立法[J].中国证券期货,2012,(7).(2)陈静,马丽,.网上证券交易系统安全机制的研究[J].信息安全与技术,2011,(5).(3)陈晓明,.网上证券交易面临的问题及对策分析[J].山东纺织经济,2008,(1).(4)张国良.网上证券交易风险及控制方法研究[J].沈阳航空工业学院学报,2004,(6).(5)高芳,.网上证券交易存在的风险及监管制度的研究[J].知识经济,2009,(1).(6)涂斌.网上证券交易的国际比较和借鉴[J].国际经贸探索,2003,(4).
第四篇:论企业财务风险的防范策略
论企业财务风险的防范策略 摘要:财务风险作为一种信号,能够全面综合反映企业的经营状况,要求企业经营者进行经常性财务分析,防范财务危,建立预警分析指标体系,采取切实可行的财务风险策略。
论文关键词:财务风险 偿债能力 盈利能力 策略
第五篇:论软件质量保证的方法和策略
论软件质量保证的方法和策略
【摘要】
本文讨论某省环保厅重点污染源在线监测系统的质量保证方法和策略。该系统的目标是全天候在线监控重点污染源企业污染物排放情况及污染处理设施运行情况,包括污染源自动监控及污染源报警,主要实现污染源远程监测、现场数据采集、自动判断是否超标、超标报警等功能,满足全省环境监察人员对重点污染源企业监测数据的查询分析、报表打印、远程自动采样等需求。污染源在线监测系统对质量要求较高,系统自交付运行以来,用户反馈表明质量特征上很好的满足了在线监测的需求。在软件开发的过程中我们采取了全过程的质量管理,围绕软件的6个质量特征因子,形成了软件开发团队的约束文件,针对不同角色制定了不同的质量主题,做到了软件质量的可控性。在该项目中我担任了项目经理,参与了系统的分析与设计工作。
【正文】
近年来,随着社会经济的发展,环境污染负荷逐渐增加,环境问题已经成为关系到国家和民族生存的重大问题。为有效加强污染源监管,提高环境监察执法信息化应用能力工作迫在眉睫。2008年3月份某省环保厅委托我所在的公司承担污染源在线监测系统的开发。本系统主要实现对企业排污、污染治理设备及监测、监控设备进行实时监测。当发生排污超标、治理设施停运等异常事件时,现场适配器自动识别事件类型,报送环境监察部门,并告知事件内容。该项目整个项目历时7个月,在2008年10月份交付使用。系统使用一年多来该省环保厅环境监测和执法能力有了很大提高,得到了用户的一致好评。
一、需求分析阶段,通过结对分析与需求评审保证需求分析的质量
需求分析的质量是否优良,决定着后继各工作环节能否按既定方向进行。由于客户环境监察工作较为繁忙,计算机应用水平不高等因素,与中层管理人员、基层操作人员的交流有很大困难,参与项目的时间与精力得不到保障,因此,我们制订了结对分析的策略,以提高需求分析的效率与质量。
结对是敏捷软件开发一个最佳编程实践,我们创造性地将其引入到需求分析阶段。需求分析各个环节(包括需求获取、分析,与用户沟通)均由两个开发人员来共同完成,能取得较高的需求分析质量。例如,这一策略在企业信息管理这一关键环节的需求分析上发挥了重要作用。企业信息管理人员年纪较长,对计算机概念模糊,沟通上存在很大障碍,通过两个需求分析人员共同来完成该项工作,做到了分析人员的优势互补。通过结对分析不仅得到较高的需求分析质量,并且节省了用户的时间,对用户也有一定的推动。只有两个分析人员达成一致,才将相应需求嵌入基线库中,保证了需求的科学性。这样做虽然增加了人力成本,但提高了需求分析效率。
强化需求评审。需求评审分为三个层次:①全局评审。参与人员主要是用户方核心管理层、业务领域专家、分析人员。主要任务是评审需求与公司目标、高层想法是否一致。这一评审至关重要,它把握了软件系统实施方向的正确性。②局部评审。参与人员主要是用户方业务中层及一线操作人员、业务领域开发工程师。主要任务是就业务层相关业务流程进行再次确认。因为需求过程中相应部门的业务人员站在自己的角度看待问题,对于整个流程关心不够,需要纠正各部门用户需求不一致的问题。③内部评审。全体开发人员、分析人员参与。分析人员建立初步的UML用例图,工作流程图,活动图等供全体讨论。任务是澄清一部分模糊的需求。
在需求阶段,还采取了其它措施来保证需求分析的质量,如强调需求分析工具的使用等。
二、系统设计、编码阶段,强调纪律与规范
设计与编程质量对于软件产品的质量有着直接的作用。在这一阶段,我们的主要采取的措施是强调纪律与规范,制订相应的约束规范文件,要求设计有可追溯性,强调设计、开发过程标准化。另一主要措施选择适合的工具。我们选择的开发平台为,NET,开发工具为Visual Sutdio 2005,后台数据库为SQL Server 2005,使用数据库智能感知小工具SQL Prompt,代码生成工具CodeSmith生成代码,NDoc来生成设计文档,使用微软企业库。企业库是微软针对共性内容发布的经过实践检验的高质量产品。
我们制订了NET编码规范,目的是保证不同开发人员的代码风格基本一致,降低开发人员流动可能导致的项目风险;强调代码的可理解性与“设计先行与强化注释”;制订了SQL书写规范。这一系列规范标准的制订从源头上保证了软件设计的质量。
编码人员分成两类角色:业务领域工程师和核心代码工程师。业务领域工程师针对具体的业务功能进行编码。在设计时我们要求业务领域工程师要有这样的意识:变更不可避免,在设计时尽可能考虑到将来变更的可能性,尽可能做到模块之间的松耦合,模块内部的高内聚。核心代码工程师完成公共代码的实现与维护。核心代码质量在系统中至关重要。对核心代码工程师加以分组,每组两位工程师实行结对编程。以克服思维局限,共同完成设计、UML图、实现,保证代码质量。实践证明,采取这些办法后,在用户提出相应功能变更时,软件修改相对较轻松,能较好地适应业务变化。
三、强调软件实现与测试同步,强化缺陷管理
测试是保证软件质量较为重要的一个环节。针对开发团队部分成员测试意识不强,项目
组有针对性地进行培训;强调测试与设计同步,测试用例与功能代码的编制同步;及时进行单元测试,统一用VS2005 for Tester作为测试工具;缺陷管理统一存放在服务器中,严格控制缺陷的开启与关闭,并把缺陷数据作为工程师考核依据之一,指派兼职文员进行缺陷管理。
所有测试中出现的问题,经整理后在项目团队例会上进行总结;在团队内部交流并在平台WSS中建立一个专门的警示网站,发布已经暴露的缺陷解决方案,让项目团队共享,避免问题重复出现;构建项目团队自有知识库,作为公司设计重用的一个重要资源。
除了高度重视实现阶段的测试,同时也积极主动地去发现质量问题。团队使用VS2005自带工具进行性能优化分析,找出使用频度高与关键代码进行性能优化。利用VS2005压力测试工具,找出性能瓶颈,制订相应策略进行优化。
系统自交付以来,用户反馈系统运行稳定。实践证明,我们的一系列质量保证策略与实践取得了很大成功。只有在需求分析、设计、开发等各个环节实施质量保证措施,才能保证软件产品的质量。软件项目要做到“有法可依,执法必严”,并要高度重视各个环节辅助工具的使用,这样才能较好地保证最终软件产品的质量。
点击咨询 