前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇談?wù)剬π畔踩睦斫夥段?，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

談?wù)?/a>物聯(lián)網(wǎng)的安全和互聯(lián)網(wǎng)的安全有什么不同，貴公司覺得物聯(lián)網(wǎng)安全研究的現(xiàn)狀是怎樣的？

李瑛女士：物聯(lián)網(wǎng)的推廣使用能夠給人們的生活帶來便利，可以提高工作效率，同時推動國民經(jīng)濟的發(fā)展，但是也必須注意到物聯(lián)網(wǎng)的大范圍普及會存在巨大的安全隱患。信息化與網(wǎng)絡(luò)化帶來的風(fēng)險問題，在物聯(lián)網(wǎng)中會變得更加迫切與復(fù)雜。由于物聯(lián)網(wǎng)連接和處理的對象主要是機器和物，以及相關(guān)的數(shù)據(jù)，其感知節(jié)點大都部署在無人監(jiān)控的環(huán)境，具有能力脆弱、資源受限等特點，其“所有權(quán)”特性導(dǎo)致物聯(lián)網(wǎng)對信息安全的要求比以處理文本為主的互聯(lián)網(wǎng)更高，對保護隱私權(quán)和保障可信度的要求也更高。在物聯(lián)網(wǎng)發(fā)展的高級階段，由于物聯(lián)網(wǎng)場景中的實體均具有一定的感知、計算和執(zhí)行能力，廣泛存在的這些感知設(shè)備對國家基礎(chǔ)設(shè)施、社會和個人信息安全存在新的安全隱患。

我們都知道物聯(lián)網(wǎng)目前存在安全問題，如果這些問題不能得到很好的解決，或者說沒有很好的解決辦法，將會在很大程度上制約物聯(lián)網(wǎng)的進一步發(fā)展。我們在強調(diào)標(biāo)準(zhǔn)、技術(shù)、應(yīng)用方案以及人才的同時，也不能忽視物聯(lián)網(wǎng)安全的重要性。

根據(jù)物聯(lián)網(wǎng)的特點，2009年歐盟物聯(lián)網(wǎng)項目研究組制定的《未來物聯(lián)網(wǎng)戰(zhàn)略》中明確指出：物聯(lián)網(wǎng)在安全和隱私方面的研究以節(jié)能高效的安全算法和低成本、安全、高效的安全認證設(shè)備為研究方向。國內(nèi)對物聯(lián)網(wǎng)安全技術(shù)的研究以安全框架和探索研究居多，具體安全技術(shù)的研究較少。我們的物聯(lián)網(wǎng)密碼認證系統(tǒng)是不是行業(yè)唯一的物聯(lián)網(wǎng)安全系統(tǒng)，我不能肯定，但是我確實沒有聽到有類似的產(chǎn)品。在今年4月份北京召開的中國（北京）國際物聯(lián)網(wǎng)博覽會和8月份深圳召開的中國（深圳）國際物聯(lián)網(wǎng)技術(shù)與應(yīng)用博覽會上，物聯(lián)網(wǎng)安全系統(tǒng)方面的參展商只有北京金奧博數(shù)碼信息技術(shù)有限責(zé)任公司一家。

本刊記者：請您簡單介紹一下金奧博，貴公司是一個什么樣的公司，公司在安全系統(tǒng)研究方面有什么積累或優(yōu)勢，最初又是怎樣想到要做“物聯(lián)網(wǎng)安全系統(tǒng)”的？

李瑛女士：北京金奧博數(shù)碼信息技術(shù)有限責(zé)任公司是北京市科學(xué)技術(shù)情報研究所下屬的、具有獨立法人資格的股份制高新技術(shù)企業(yè)。金奧博是遵照科技部的有關(guān)科研機構(gòu)改制要求，以北京市科技情報研究所的計算機部為基礎(chǔ)，為更好地適應(yīng)社會發(fā)展，轉(zhuǎn)變經(jīng)營管理模式而成立的具有獨立法人資格的股份制高新技術(shù)企業(yè)。金奧博繼承了以往服務(wù)政府和社會的優(yōu)良傳統(tǒng)，堅持為政府及廣大企事業(yè)單位提供信息技術(shù)的研究與開發(fā)服務(wù)。近年來，金奧博在計算機及網(wǎng)絡(luò)技術(shù)方面不斷創(chuàng)新和提高，特別是在互聯(lián)網(wǎng)安全領(lǐng)域有較為豐富的積累。公司目前是北京市密碼產(chǎn)品定點生產(chǎn)和銷售單位，所研制的多項安全產(chǎn)品都通過了國密辦的安全鑒定。最近，北京金奧博數(shù)碼信息技術(shù)有限責(zé)任公司組建的網(wǎng)絡(luò)密碼認證實驗室也被認證為北京市重點實驗室，承擔(dān)物聯(lián)網(wǎng)安全方面的研究工作。

在物聯(lián)網(wǎng)概念興起時，我們發(fā)現(xiàn)，物聯(lián)網(wǎng)和互聯(lián)網(wǎng)其實是密不可分的?，F(xiàn)有網(wǎng)絡(luò)安全體系中的大部分機制仍然可以適用于物聯(lián)網(wǎng)，并能夠提供一定的安全性，如認證機制、加密機制等，但是還需要根據(jù)物聯(lián)網(wǎng)的特征對安全機制進行調(diào)整和補充。所以我們開始將多年積累的安全技術(shù)以及對數(shù)據(jù)安全的理解應(yīng)用到物聯(lián)網(wǎng)中來，并開始研究與物聯(lián)網(wǎng)特征對應(yīng)的安全機制。目前，國內(nèi)都在談物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展存在的問題，但很少有企業(yè)站出來表示能解決物聯(lián)網(wǎng)的安全問題或者愿意著手解決這些安全問題?？紤]到物聯(lián)網(wǎng)對中國未來經(jīng)濟的重要性、國家安全的重要性，必須要有中國自己的企業(yè)來承擔(dān)這一神圣使命。北京金奧博數(shù)碼信息技術(shù)有限責(zé)任公司是為數(shù)不多的愿意承擔(dān)這一使命的企業(yè)，也是為數(shù)不多的明確從事物聯(lián)網(wǎng)安全研發(fā)且又有實際產(chǎn)品的企業(yè)。希望北京金奧博數(shù)碼信息技術(shù)有限責(zé)任公司能為中國物聯(lián)網(wǎng)的網(wǎng)絡(luò)信息安全做出自己的貢獻。

談?wù)剬π畔踩睦斫夥段牡?篇

羅洪元，《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》國家標(biāo)準(zhǔn)推廣應(yīng)用組專家?，F(xiàn)任國家電子計算機質(zhì)量監(jiān)督檢驗中心、國家電子標(biāo)簽產(chǎn)品質(zhì)量監(jiān)督檢驗中心、信息產(chǎn)業(yè)部IC卡質(zhì)量監(jiān)督檢驗中心主任。多年來羅教授從事計算機軟件開發(fā)、小型計算機技術(shù)服務(wù)、信息技術(shù)產(chǎn)品等質(zhì)量檢驗與質(zhì)量管理工作。

近年來，羅教授承擔(dān)的信息產(chǎn)業(yè)部電子信息產(chǎn)業(yè)發(fā)展基金項目：“基于Linux和國產(chǎn)BIOS的微機安全操作系統(tǒng)”、“無觸點IC卡及機具產(chǎn)品質(zhì)量檢測技術(shù)的研究”、“計算機網(wǎng)絡(luò)、第二代居民身份證及相關(guān)產(chǎn)品測試平臺建設(shè)”、“工業(yè)控制計算機產(chǎn)品及系統(tǒng)測試平臺建設(shè)”、“電子標(biāo)簽產(chǎn)品及系統(tǒng)檢測平臺建設(shè)”已經(jīng)通過了信息產(chǎn)業(yè)部組織的驗收，并獲得廣泛好評。

記者：您作為國家電子計算機質(zhì)量監(jiān)督檢驗中心主任，多年來一直致力于系統(tǒng)研究方面的工作。請您談?wù)勀壳皣鴥?nèi)計算機技術(shù)在智能建筑工程中的應(yīng)用情況？

羅教授：隨著微電子技術(shù)、網(wǎng)絡(luò)技術(shù)和通信技術(shù)的快速發(fā)展，計算機技術(shù)在智能建筑工程中的應(yīng)用越來越普遍和深入，智能建筑中的“智能”應(yīng)該都是計算機的“功勞”，如智能建筑中可能涉及到的“程控交換接入系統(tǒng)”、“電視網(wǎng)絡(luò)系統(tǒng)”、“廣播系統(tǒng)”、“物業(yè)管理系統(tǒng)”、“家用電子系統(tǒng)”、“IC卡應(yīng)用”、“信息安全”、“安全防范系統(tǒng)”、“設(shè)備監(jiān)控系統(tǒng)”和“火災(zāi)自動報警及消防聯(lián)動控制系統(tǒng)”等都離不開計算機技術(shù)。目前國內(nèi)計算機技術(shù)在智能建筑工程中得到了廣泛應(yīng)用，有很多成功應(yīng)用的案例，計算機技術(shù)將在智能建筑工程中的“智能”、“節(jié)能”發(fā)揮越來越大的作用。

記者：您參與了《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》國家標(biāo)準(zhǔn)制定的工作，請您為大家介紹一下數(shù)字化國標(biāo)的制定在規(guī)范居住區(qū)信息化建設(shè)方面發(fā)揮了怎樣的作用?

羅教授：GB/T 20299.1~4-2006《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用規(guī)范》系列標(biāo)準(zhǔn)是在總結(jié)多年應(yīng)用經(jīng)驗、參考國內(nèi)外類似標(biāo)準(zhǔn)并考慮技術(shù)發(fā)展的基礎(chǔ)上制定的。該系列標(biāo)準(zhǔn)的頒布實施為建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用項目的總體規(guī)劃提供了統(tǒng)一的技術(shù)要求，為建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用項目的市場準(zhǔn)入提供了技術(shù)門檻，為建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用項目的過程質(zhì)量控制提供了統(tǒng)一的依據(jù)，對規(guī)范建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用發(fā)揮了非常重要的作用。

記者：在《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》國家標(biāo)準(zhǔn)中，您參與了“檢測驗收”部分的編寫制定工作，其中信息系統(tǒng)是智能社區(qū)的重要基礎(chǔ)系統(tǒng)，請您為我們介紹一下信息安全檢測驗收方面的情況？

羅教授：“GB/T 20299-2006系列標(biāo)準(zhǔn)”中對信息系統(tǒng)以及信息系統(tǒng)的信息安全的規(guī)定是針對智能社區(qū)中各種信息系統(tǒng)安全的特點，結(jié)合國家相關(guān)信息安全政策、標(biāo)準(zhǔn)而制定的，智能社區(qū)的建設(shè)和運營機構(gòu)應(yīng)該對信息系統(tǒng)的信息安全問題給予足夠重視。根據(jù)信息安全的等級要求采取相應(yīng)的措施，保障信息系統(tǒng)的安全，確?？蛻魯?shù)據(jù)安全。“GB/T 20299.2-2006”《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用規(guī)范》第2部分，“檢測驗收”的第6章專門介紹“信息安全”檢測驗收方面的內(nèi)容。智能社區(qū)中的信息系統(tǒng)安全既涉及技術(shù)方面的內(nèi)容同時也涉及管理方面的問題，在系統(tǒng)設(shè)計、產(chǎn)品采購、施工、驗收等過程都必須執(zhí)行國家相關(guān)信息安全政策、標(biāo)準(zhǔn)，任一環(huán)節(jié)的疏漏都可能留下隱患。在進行系統(tǒng)設(shè)計時，應(yīng)根據(jù)標(biāo)準(zhǔn)規(guī)定的等級要求，對系統(tǒng)建設(shè)所使用的產(chǎn)品和系統(tǒng)本身提出明確的信息安全要求。國家有信息安全認證要求的產(chǎn)品在采購時必須要求供貨廠家提供認證文件，信息系統(tǒng)的安全性評估、檢測和驗收要按照“GB/T 20299.2-2006標(biāo)準(zhǔn)“規(guī)定的程序執(zhí)行，記錄、文檔資料文本規(guī)范、內(nèi)容齊全，做到發(fā)生問題時可追溯。

記者：目前國內(nèi)的家居智能化領(lǐng)域，國內(nèi)外產(chǎn)品在技術(shù)指標(biāo)上各不相同，不少高端消費者更青睞于國外產(chǎn)品。您曾負責(zé)處理過東芝筆記本電腦的質(zhì)量糾紛，對于如何正確選擇國外產(chǎn)品有哪些方面是應(yīng)該值得注意的？

羅教授：在產(chǎn)品技術(shù)選型時，我個人認為應(yīng)兼顧考慮如下幾個問題：不片面追求技術(shù)先進，夠用就行，避免造成不必要的浪費；考慮知識產(chǎn)權(quán)，特別是要防止部分國外企業(yè)先讓你上鉤，事后再要你不斷給他付錢的專利陷阱。

在技術(shù)條件滿足的情況下，盡量考慮采用國內(nèi)成熟企業(yè)技術(shù)與產(chǎn)品；要考慮國內(nèi)產(chǎn)業(yè)的技術(shù)支持、批量供貨等綜合能力；考慮技術(shù)選型符合國際通用標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)要求；在技術(shù)條件滿足當(dāng)前應(yīng)用需求情況下，適當(dāng)考慮應(yīng)用的可擴展性；考慮信息安全措施的必要性及國家有關(guān)部門的管理要求(如密鑰等)；終端產(chǎn)品、后臺處理軟件、數(shù)據(jù)庫系統(tǒng)、服務(wù)器、資金清算中心和網(wǎng)絡(luò)架構(gòu)的配置要求等。

記者：據(jù)了解，您同時還負責(zé)信息產(chǎn)業(yè)部IC卡質(zhì)量監(jiān)督檢驗中心和國家金卡工程IC卡及機具產(chǎn)品檢驗中心的工作。請您簡單介紹一下我國IC卡應(yīng)用過程中存在的問題，以及在數(shù)字化國標(biāo)的制定過程中對于IC卡應(yīng)用做了哪些針對性的工作？

羅教授：我個人認為：我國IC卡應(yīng)用過程中主要存在如下一些共性問題：部門利益協(xié)調(diào)不到位，造成系統(tǒng)重復(fù)建設(shè)資金浪費(管理問題)；同行業(yè)應(yīng)用情況信息收集不夠，特別是系統(tǒng)建設(shè)失敗的信息；系統(tǒng)需求分析不充分，對未來的應(yīng)用需求估計不足，建成后的系統(tǒng)可擴展性很差；技術(shù)選型兩個極端，一是盲目追求技術(shù)先進性造成浪費，二是采用過時技術(shù)造成系統(tǒng)整體性能下降；在制定應(yīng)用方案時，一些關(guān)鍵技術(shù)問題未適當(dāng)開展模擬驗證試驗導(dǎo)致系統(tǒng)建設(shè)周期過長；不重視標(biāo)準(zhǔn)化工作，系統(tǒng)中所采用的產(chǎn)品的互換性、兼容性、一致性和環(huán)境適應(yīng)性太差，增加了系統(tǒng)的維護成本；系統(tǒng)的建設(shè)過程未開展質(zhì)量、成本和進度控制，造成系統(tǒng)建設(shè)工期超標(biāo)、投資超預(yù)算等。

從2000年開始，我們中心受建設(shè)部IC卡應(yīng)用服務(wù)中的委托，承擔(dān)了建設(shè)事業(yè)IC卡及終端產(chǎn)品的檢測，參與”GB/T 20299-2006“系列國家標(biāo)準(zhǔn)的編寫工作，具體負責(zé)”GB/T 20299.2-2006標(biāo)準(zhǔn)”第17章“IC卡應(yīng)用檢測”編寫的執(zhí)筆，同時還參與了建設(shè)部行業(yè)標(biāo)準(zhǔn)”CJ/T 243-2007”《建設(shè)事業(yè)集成電路（IC）卡產(chǎn)品檢測》的編寫工作，在IC卡及終端產(chǎn)品檢驗方面積累了豐富的經(jīng)驗，為IC卡產(chǎn)業(yè)的健康發(fā)展和技術(shù)應(yīng)用的順利推進做出了貢獻?！盙B/T 20299.2-2006”、”CJ/T 243-2007”標(biāo)準(zhǔn)有關(guān)IC卡應(yīng)用檢測方面的內(nèi)容針對性、可操作性強，對智能建筑工程中的IC卡應(yīng)用系統(tǒng)設(shè)計、技術(shù)選型、采購、產(chǎn)品檢測和系統(tǒng)驗收具有指導(dǎo)作用。

記者：數(shù)字化國標(biāo)等相關(guān)國家標(biāo)準(zhǔn)的制定對于推進我國的信息化建設(shè)起到了規(guī)范項目設(shè)計技術(shù)的作用。除此之外，您認為在推進信息化工程建設(shè)的過程中，還應(yīng)該從哪些方面入手？

羅教授：我認為在推進信息化工程建設(shè)的過程中，除了在工程設(shè)計方面需要依據(jù)”GB/T 20299-2006”系列國家標(biāo)準(zhǔn)和相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)外，還應(yīng)該在信息化工程建設(shè)招投標(biāo)、預(yù)算與報價、產(chǎn)品采購與驗收、工程實施、工程監(jiān)理、系統(tǒng)階段性測試、系統(tǒng)聯(lián)調(diào)、工程驗收等幾個方面，面向有關(guān)人員宣傳貫徹GB/T 20299-2006系列國家標(biāo)準(zhǔn)和相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，增強大家的標(biāo)準(zhǔn)化意識，理解標(biāo)準(zhǔn)的技術(shù)要點，真正發(fā)揮信息化工程建設(shè)標(biāo)準(zhǔn)先行的作用。

記者：最后請您展望一下，計算機技術(shù)在建筑智能化領(lǐng)域下一步的發(fā)展趨勢。

談?wù)剬π畔踩睦斫夥段牡?篇

【關(guān)鍵詞】網(wǎng)絡(luò)安全；入侵檢測

0.引言

隨著計算機技術(shù)、通信技術(shù)和信息技術(shù)的飛速發(fā)展，各種各樣的網(wǎng)絡(luò)應(yīng)用已經(jīng)越來越廣泛地滲透到人類地生活、工作的各個領(lǐng)域。特別是通過Internet，人們可以極為方便地產(chǎn)生、發(fā)送、獲取和利用信息。Internet在給人們帶來巨大便利的同時，也產(chǎn)生了許多意想不到的問題，網(wǎng)絡(luò)安全就是其中一個突出的問題。造成Internet不安全的原因，一方面是Internet本身設(shè)計的不安全以及操作系統(tǒng)、應(yīng)用軟件等存在著安全漏洞；另一方面是由于網(wǎng)絡(luò)安全的發(fā)展落后于網(wǎng)絡(luò)攻擊的發(fā)展。目前網(wǎng)絡(luò)中應(yīng)用最廣、功能最強大的安全工具莫過于防火墻，但是防火墻的安全功能是有限的，它很難防止偽造IP攻擊。因此，發(fā)展一種新的網(wǎng)絡(luò)安全防御手段來加強網(wǎng)絡(luò)安全性便成了亟待解決的問題。入侵檢測是幫助系統(tǒng)對付網(wǎng)絡(luò)內(nèi)部攻擊和外部攻擊的一種解決方案。入侵檢測技術(shù)是當(dāng)今一種非常重要的動態(tài)安全技術(shù)，它與靜態(tài)防火墻技術(shù)等共同使用，可以大大提高系統(tǒng)的安全防護水平。

1.入侵檢測的概念及功能

入侵就是指任何試圖危及信息資源的機密性、完整性和可用性的行為。而入侵檢測就是對入侵行為的發(fā)覺，它通過從計算機網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點收集信息，并對這些信息進行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象。通常入侵檢測系統(tǒng)（Intrusion Detection System， IDS）是由軟件和硬件組成的。入侵檢測是防火墻的合理補充，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。另外，它也擴展了系統(tǒng)管理員的安全管理能力，有助于提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，是對原有安全系統(tǒng)的一個重要補充。入侵檢測系統(tǒng)收集計算機系統(tǒng)和網(wǎng)絡(luò)的

信息，并對這些信息加以分析，對被保護的系統(tǒng)進行安全審計、監(jiān)控、攻擊識別并做出實時的反應(yīng)。

入侵檢測的主要功能包括：（1）監(jiān)視、分析用戶及系統(tǒng)活動；（2）系統(tǒng)構(gòu)造和弱點的審計；（3）映已知進攻的活動模式并進行相關(guān)人士報警；（4）模式的統(tǒng)計分析；（5）要系統(tǒng)和數(shù)據(jù)文件的完整性；（6）的審計跟蹤管理，并識別用戶違反安全策略的行為。

2.入侵檢測的信息來源

對于入侵檢測系統(tǒng)而言，輸入數(shù)據(jù)的選擇是首先需要解決的問題，目前的入侵檢測系統(tǒng)的數(shù)據(jù)來源主要包括：（1）操作系統(tǒng)的審計記錄；（2）系統(tǒng)日志；（3）應(yīng)用程序日志；（4）基于網(wǎng)絡(luò)數(shù)據(jù)的信息源；（4）來自其他安全產(chǎn)品的數(shù)據(jù)源。

3.入侵檢測系統(tǒng)的基本模型

在入侵檢測系統(tǒng)的發(fā)展過程中，大致經(jīng)歷了集中式、層次式和集成式三個階段，代表這三個階段的入侵檢測系統(tǒng)的基本模型分別是通用入侵檢測模型（Denning模型）、層次化入侵檢測模型（IDM）和管理式入侵檢測模型（SNMP-IDSM）。

3.1 通用入侵檢測模型

Denning于1987年最早提出一個通用的入侵檢測模型（如圖2.1所示）。

該模型由6個部分組成：（1） 主體（Subject）；（2） 對象（Object）；（3） 審計記錄（Audit Records）；（4） 活動簡檔（Activity Profile）；（5） 異常記錄（Anomaly Record）；（6）活動規(guī)則。

3.2 IDM模型

Steven Snapp在設(shè)計和開發(fā)分布式入侵檢測系統(tǒng)DIDS時，提出一個層次化的入侵檢測模型，簡稱IDM。該模型將入侵檢測分為六個層次，分別為：數(shù)據(jù)（data）、事件（event）、主體（subject）、上下文（context）、威脅（threat）、安全狀態(tài)（security state）。

IDM模型給出了在推斷網(wǎng)絡(luò)中的計算機受攻擊時數(shù)據(jù)的抽象過程。也就是說，它給出了將分散的原始數(shù)據(jù)轉(zhuǎn)換為高層次有關(guān)入侵和被監(jiān)測環(huán)境的全部安全假設(shè)過程。通過把收集到的分散數(shù)據(jù)進行加工抽象和數(shù)據(jù)關(guān)聯(lián)操作，IDM構(gòu)造了一臺虛擬的機器環(huán)境，這臺機器由所有相連的主機和網(wǎng)絡(luò)組成。將分布式系統(tǒng)看成一臺虛擬計算機的觀點簡化了跨越單機入侵行為的識別。IDM也應(yīng)用于只有單臺計算機的小型網(wǎng)絡(luò)。

3.3 SNMP-IDSM模型

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)攻擊手段也越來越復(fù)雜，攻擊者大都是通過合作的方式來攻擊某個目標(biāo)系統(tǒng)，而單獨的IDS難以發(fā)現(xiàn)這種類型的入侵行為。然而，如果IDS系統(tǒng)也能夠像攻擊者那樣合作，就有可能檢測到入侵者。這樣就要有一種公共的語言和統(tǒng)一的數(shù)據(jù)表達格式，能夠讓IDS系統(tǒng)之間順利交換信息，從而實現(xiàn)分布式協(xié)同檢測。北卡羅萊那州立大學(xué)的Felix Wu等人從網(wǎng)絡(luò)管理的角度考慮IDS模型，突出了基于SNMP的IDS模型，簡稱SNMP-IDSM.。

SNMP-IDSM以SNMP為公共語言來實現(xiàn)IDS系統(tǒng)之間的消息交換和協(xié)同檢測，它定義了IDS-MIB，使得原始事件和抽象事件之間關(guān)系明確，并且易于擴展。SNMP-IDSM定義了用來描述入侵事件的管理信息庫MIB，并將入侵事件分析為原始事件（Raw Event）和抽象事件（Abstract Event）兩層結(jié)構(gòu)。原始事件指的是引起安全狀態(tài)遷移的事件或者是表示單個變量遷移的事件，而抽象事件是指分析原始事件所產(chǎn)生的事件。原始事件和抽象事件的信息都用四元組來描述。

4.入侵檢測的分類和分析方法

4.1入侵檢測的分類

通過對現(xiàn)有的入侵檢測系統(tǒng)和技術(shù)研究，可對入侵檢測系統(tǒng)進行如下分類：

根據(jù)目標(biāo)系統(tǒng)的類型可以將入侵檢測系統(tǒng)分為兩類：

（1） 基于主機（Host-Based）的IDS。通常，基于主機的入侵檢測系統(tǒng)可以監(jiān)測系統(tǒng)事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時，入侵檢測系統(tǒng)就將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。

（2） 基于網(wǎng)絡(luò)（Network-Based）的IDS。該系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源，利用一個運行在混雜模式下的網(wǎng)絡(luò)適配器來實時監(jiān)測并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。

根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源，數(shù)據(jù)源可以是主機系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序的日志、防火墻報警日志以及其他入侵檢測系統(tǒng)的報警信息等，可以將入侵檢測系統(tǒng)分為基于不同分析數(shù)據(jù)源的入侵檢測系統(tǒng)。

根據(jù)入侵檢測方法可以將入侵檢測系統(tǒng)分為兩類：

（1） 異常IDS。該類系統(tǒng)利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測系統(tǒng)中入侵、異?；顒拥囊罁?jù)。

（2） 誤用IDS。誤用入侵檢測系統(tǒng)根據(jù)已知入侵攻擊的信息（知識、模式）來檢測系統(tǒng)的入侵和攻擊。

根據(jù)檢測系統(tǒng)對入侵攻擊的響應(yīng)方式，可以將入侵檢測系統(tǒng)分為兩類：

（1） 主動的入侵檢測系統(tǒng)。它在檢測出入侵后，可自動的對目標(biāo)系統(tǒng)中的漏洞采取修補、強制可疑用戶（可能的入侵者）退出系統(tǒng)以及關(guān)閉相關(guān)服務(wù)等對策和響應(yīng)措施。

（2） 被動的入侵檢測系統(tǒng)。它在檢測出對系統(tǒng)的入侵攻擊后只是產(chǎn)生報警信息通知系統(tǒng)安全管理員，至于之后的處理工作則有系統(tǒng)管理員完成。

根據(jù)系統(tǒng)各個模塊運行的分步方式，可以將入侵檢測系統(tǒng)分為兩類：

（1） 集中式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)都集中在一臺主機上運行，這種方式適用于網(wǎng)絡(luò)環(huán)境比較簡單的情況。

（2） 分布式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊分布在網(wǎng)絡(luò)中不同的計算機、設(shè)備上，一般而言，分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上，如果網(wǎng)絡(luò)環(huán)境比較復(fù)雜、數(shù)據(jù)量比較大，那么數(shù)據(jù)分析模塊也會分布，一般是按照層次性的原則進行組織。

當(dāng)前眾多的入侵檢測系統(tǒng)和技術(shù)，基本上是根據(jù)檢測方法、目標(biāo)系統(tǒng)、信息數(shù)據(jù)源來設(shè)計的。

4.2 入侵檢測的分析方法

從入侵檢測的角度來說，分析是指對用戶和系統(tǒng)活動數(shù)據(jù)進行有效的組織、整理及特征提取，以鑒別出感興趣的攻擊。這種行為的鑒別可以實時進行，也可以事后分析，在很多情況下，事后的進一步分析是為了尋找行為的責(zé)任人。入侵檢測的方法主要由誤用檢測和異常檢測組成。

誤用檢測對于系統(tǒng)事件提出的問題是：這個活動是惡意的嗎？誤用檢測涉及到對入侵指示器已知的具體行為的解碼信息，然后為這些指示器過濾事件數(shù)據(jù)。要想執(zhí)行誤用檢測，需要有一個對誤用行為構(gòu)成的良好理解，有一個可靠的用戶活動記錄，有一個可靠的分析活動事件的方法。

異常檢測需要建立正常用戶行為特征輪廓，然后將實際用戶行為和這些特征輪廓相比較，并標(biāo)示正常的偏離。異常檢測的基礎(chǔ)是異常行為模式系統(tǒng)誤用。輪廓定義成度量集合。度量衡量用戶特定方面的行為。每一個度量與一個閾值相聯(lián)系。異常檢測依靠一個假定：用戶表現(xiàn)為可預(yù)測的、一致的系統(tǒng)使用模式。

有些入侵檢測方法既不是誤用檢測也不屬異常檢測的范圍。這些方案可應(yīng)用于上述兩類檢測。它們可以驅(qū)動或精簡這兩種檢測形式的先行活動，或以不同于傳統(tǒng)的影響檢測策略方式。這類方案包括免疫系統(tǒng)方法、遺傳算法、基于檢測以及數(shù)據(jù)挖掘技術(shù)。

5.入侵檢測系統(tǒng)的局限性與發(fā)展趨勢

5.1入侵檢測系統(tǒng)的局限性

現(xiàn)有的IDS系統(tǒng)多采用單一體系結(jié)構(gòu)，所有的工作包括數(shù)據(jù)的采集、分析都由單一主機上的單一程序來完成。而一些分布式的IDS只是在數(shù)據(jù)采集上實現(xiàn)了分布式，數(shù)據(jù)的分析、入侵的發(fā)現(xiàn)還是由單一個程序完成。這樣的結(jié)構(gòu)造成了如下的缺點：

（1） 可擴展性較差。單一主機檢測限制了監(jiān)測的主機數(shù)和網(wǎng)絡(luò)規(guī)模，入侵檢測的實時性要求高，數(shù)據(jù)過多將會導(dǎo)致其過載，從而出現(xiàn)丟失網(wǎng)絡(luò)數(shù)據(jù)包的問題。

（2） 單點失效。當(dāng)IDS系統(tǒng)自身受到攻擊或某些原因不能正常工作時，保護功能會喪失。

（3） 系統(tǒng)缺乏靈活性和可配置性。如果系統(tǒng)需要加入新的模塊和功能時，必須修改和重新安裝整個系統(tǒng)。

5.2 入侵檢測的發(fā)展趨勢

入侵檢測的發(fā)展趨勢主要主要表現(xiàn)在：（1） 大規(guī)模網(wǎng)絡(luò)的問題； （2） 網(wǎng)絡(luò)結(jié)構(gòu)的變化； （3） 網(wǎng)絡(luò)復(fù)雜化的思考；（4） 高速網(wǎng)絡(luò)的挑戰(zhàn)；（5） 無線網(wǎng)絡(luò)的進步；（6） 分布式計算；（7） 入侵復(fù)雜化；（8） 多種分析方法并存的局面。

對于入網(wǎng)絡(luò)侵檢測系統(tǒng)，分析方法是系統(tǒng)的核心。多種分析方法綜合運用才是可行之道，將各種分析方法有機結(jié)合起來，構(gòu)建出高性能的入侵檢測系統(tǒng)是一個值得研究的問題，我們需要不斷的研究去完善它。

參考文獻：

[1]張宏. 網(wǎng)絡(luò)安全基礎(chǔ)（第一版）[M].北京：機械工業(yè)出版社， 2004.

[2]石志國，薛為民，江俐.計算機網(wǎng)絡(luò)安全教程[M].北京：清華大學(xué)出版社，2004年.

[3]唐正軍. 網(wǎng)路入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)（第一版） [M]北京：電子工業(yè)出版社，2002.

[4]郭魏，吳承榮. [J]入侵檢測方法概述. 《計算機工程》，1999年 第11期.

[5]泰和信科.內(nèi)網(wǎng)安全管理[M].重慶：泰和信科，2003年.

[6]薛靜鋒， 寧宇朋等.入侵檢測技術(shù)（第一版）[M].北京：機械工業(yè)出版社，2004.

[7]葉中行. 信息論基礎(chǔ)（第一版） [M].北京：高等教育出版社，2003.

[8]杜虹.談?wù)劇皟?nèi)網(wǎng)”安全. [J].《信息安全與通信保密》，2005年 第2期.

談?wù)剬π畔踩睦斫夥段牡?篇

關(guān)鍵詞：產(chǎn)學(xué)結(jié)合；校園；電子商務(wù)

1產(chǎn)學(xué)結(jié)合構(gòu)建校園電子商務(wù)的現(xiàn)實意義

（1）校園電子商務(wù)提供學(xué)院教學(xué)系創(chuàng)辦實習(xí)工廠/公司的虛擬場地。

在校園開展電子商務(wù)，可以為學(xué)生提供電子商務(wù)的實踐環(huán)境，為電子商務(wù)理論教學(xué)提供了實習(xí)基地。利用校園電子商務(wù)，構(gòu)建校園電子商務(wù)實習(xí)基地，營造出良好的電子商務(wù)環(huán)境，使學(xué)生能進行的真實商務(wù)活動，從而鍛煉學(xué)習(xí)者運用自身的綜合知識結(jié)構(gòu)解決實際問題。

（2）校園電子商務(wù)為專業(yè)特長學(xué)生提供發(fā)展空間。

我校地處郊區(qū)、遠離商業(yè)區(qū)，這使得許多大學(xué)生外出購物很不方便?，F(xiàn)代大學(xué)生腦子靈活，具有創(chuàng)新意識，創(chuàng)業(yè)意識也很強，許多學(xué)生平時也會兼職賣一些小物品，但這浪費了學(xué)生很多時間，而校園電子商務(wù)正好能迎合這部分人的需要，給學(xué)生提供了一個發(fā)展的平臺，我院作為經(jīng)貿(mào)類院校，開設(shè)了許多與商貿(mào)相關(guān)的專業(yè)，如電子商務(wù)專業(yè)、國際貿(mào)易專業(yè)、市場營銷專業(yè)、物流管理專業(yè)、信息管理專業(yè)、計算機網(wǎng)絡(luò)專業(yè)和計算機多媒體專業(yè)等，電子商務(wù)專業(yè)、國際貿(mào)易專業(yè)、市場營銷專業(yè)的學(xué)生可以參與網(wǎng)上開店，進行商務(wù)活動，進行自己的專業(yè)實踐；信息管理專業(yè)的學(xué)生可進行商城的管理以及人力資源管理，發(fā)揮自己的專業(yè)特長。校園電子商務(wù)為專業(yè)特長生提供了發(fā)展空間。

（3）校園電子商務(wù)為部分學(xué)生提供勤工儉學(xué)機會。

我院結(jié)合學(xué)院特點，提出校園電子商務(wù)新模式。即“創(chuàng)業(yè)平臺+校園勤工助學(xué)配送中心”模式?？梢猿浞掷眯@內(nèi)的這種優(yōu)勢，聯(lián)合各專業(yè)人才搭建技術(shù)平臺，通過這種虛擬網(wǎng)絡(luò)平臺將買賣雙方的供求信息聚集在一起，最終滿足在校師生的購物需求。校園內(nèi)還應(yīng)建有自己的配送中心，考慮到各高校仍然有許多貧困生，該配送中心的成員均由貧困生組成，以給他們勤工助學(xué)的機會。這種模式將由在校學(xué)生的自主創(chuàng)業(yè)建立的虛擬網(wǎng)絡(luò)平臺與一支勤工儉學(xué)的配送隊伍有機的結(jié)合在一起。

（4）校園電子商務(wù)扶持學(xué)生無資金創(chuàng)業(yè)理念的實現(xiàn)。

培養(yǎng)學(xué)生創(chuàng)業(yè)的精神和能力，就是把未來的求職者，變?yōu)槁殬I(yè)崗位的創(chuàng)造者。校園電子商務(wù)為推動創(chuàng)業(yè)大造輿論，以激發(fā)學(xué)生的創(chuàng)業(yè)動機，培養(yǎng)他們的創(chuàng)業(yè)能力，并且為學(xué)生創(chuàng)業(yè)提供了技術(shù)平臺。許多學(xué)生想創(chuàng)業(yè)，但苦于沒有資金，校園電子商務(wù)為大學(xué)生開辟創(chuàng)業(yè)新門路。

（5）校園電子商務(wù)扶持當(dāng)?shù)刂行∑髽I(yè)實現(xiàn)現(xiàn)代商務(wù)經(jīng)營。

高職院校的教學(xué)要服務(wù)于地方經(jīng)濟，現(xiàn)在雖然是網(wǎng)絡(luò)經(jīng)濟時代，但當(dāng)?shù)匾恍┲行∑髽I(yè)由于技術(shù)跟不上，管理理念沒有更新等原因，還在采用傳統(tǒng)的商務(wù)方式，這很大地抑制了企業(yè)的發(fā)展。校園電子商務(wù)可以在技術(shù)和管理理念上對這些企業(yè)進行扶持，讓他們實現(xiàn)現(xiàn)代商務(wù)經(jīng)營。我院校園電子商務(wù)采用招商引進的方法，把企業(yè)請進來，請中上企業(yè)入駐我們的商城，對方只需提品，我們提供技術(shù)支持，包括網(wǎng)站建設(shè)，商品上架，廣告宣傳，店鋪經(jīng)營等，為中小企業(yè)開拓了市場，提高了產(chǎn)品知名度，讓中小企業(yè)實現(xiàn)現(xiàn)代商務(wù)經(jīng)營模式。

（6）校園電子商務(wù)動作提高高職院校教師專業(yè)和技能水平。

由于電子商務(wù)是一門新的課程，一個新的領(lǐng)域，知識結(jié)構(gòu)復(fù)雜，技術(shù)性強，屬于商務(wù)、計算機、管理交叉學(xué)科，要辦好電子商務(wù)專業(yè)對師資提出了更高的要求，這要求教師不只是談?wù)勆虅?wù)理論，而應(yīng)兼顧實踐，多參與電子商務(wù)實踐活動，校園電子商務(wù)提供了完整的實踐活動環(huán)節(jié)，教師要指導(dǎo)學(xué)生進行電子商務(wù)活動，提供更強的技術(shù)支持，參與管理開展校園電子商務(wù)，教師的專業(yè)和業(yè)務(wù)水平得到提高，同時也提高了師資隊伍水平、優(yōu)化師資的知識結(jié)構(gòu)、提高教學(xué)質(zhì)量。

（7）校園電子商務(wù)為電子商務(wù)專業(yè)的教學(xué)提供真實案例。

電子商務(wù)的整個運作都在網(wǎng)上進行，因此傳統(tǒng)的教學(xué)方式大多給人紙上談兵的感覺，只有對電子商務(wù)的實際模擬教學(xué)才會是最有效的。但校園電子商務(wù)來得更具體、更真實一些，校園電子商務(wù)能滿足《電子商務(wù)概論》、《市場營銷》、《網(wǎng)絡(luò)營銷》等理論課的實踐訓(xùn)練要求，它為學(xué)習(xí)電子商務(wù)及相關(guān)專業(yè)的學(xué)生和所有對電子商務(wù)領(lǐng)域知識有興趣的學(xué)生提供一次理論結(jié)合實踐的機會，同學(xué)們通過實際操作將原本只在書本上的電子商務(wù)實際應(yīng)用在目前的校園電子商務(wù)中，解決課堂教學(xué)中無法實現(xiàn)的實踐環(huán)節(jié)。這樣校園電子商務(wù)在培養(yǎng)當(dāng)代大學(xué)生的實踐能力、創(chuàng)新能力和團隊協(xié)作能力的同時，也有助于推動我國電子商務(wù)高等教育的系統(tǒng)化和高水平發(fā)展；鍛煉學(xué)生的營銷意識；考驗學(xué)生的毅力與韌性，推進校園文化與社會交往的互動，全面培養(yǎng)中國優(yōu)秀的電子商務(wù)人才。

（8）校園電子商務(wù)提供二手市場流通學(xué)生閑置物品。

高校的二手交易市場廣闊。每年畢業(yè)生離校時都要進行舊物交易，并且日常學(xué)習(xí)、生活中，學(xué)生之間也經(jīng)常會進行一些閑置物品交易。這些都能在網(wǎng)上二手交易市場中實現(xiàn)。賣主可在網(wǎng)上自己要銷售的物品信息、售賣價格及聯(lián)系方式，買主則可以在網(wǎng)上搜索自己所需要的物品，若搜索不到也可以在網(wǎng)上求購信息。校園電子商務(wù)二手交易市場不受時間和空間限制，而且搜索物品更快更方便，購買商品時所產(chǎn)生的信用及物流配送問題也能得到很好的解決。開展有校園電子商務(wù)，通過供求信息，就可以很好地解決二手市場的供求關(guān)系，校園電子商務(wù)很好地流通了學(xué)生的閑置物品。

（9）校園電子商務(wù)一定程度解決電子商務(wù)中信用、安全支付與物流配送等難題。

相對來說，目前物流是制約電子商務(wù)發(fā)展的瓶頸之一，而電子商務(wù)中的安全支付和信用問題也是眾多專家致力研究的課題。但在這種基于校園網(wǎng)及校園卡的校園電子商務(wù)系統(tǒng)中，物流和支付都可以得到很好的解決。在高校里，由于校園一般來說就是方圓10多平方公里。商品的配送相對來說，是非常方便的。一般當(dāng)天就能夠送到購買者手里。物流可以采取買賣雙方通過E-mail或電話聯(lián)系，共同商討供貨方式。而支付除了現(xiàn)金支付外，還可通過校園網(wǎng)利用校園卡轉(zhuǎn)賬功能進行安全、快捷的資金網(wǎng)上支付，這也是校園電子商務(wù)系統(tǒng)中解決支付問題的最佳方式。因在同一所高校里，購買商品的時候，已經(jīng)在某種程度上默認了對方的可信。于是，就更容易促使達成買賣交易。信用機制在校園里是比較穩(wěn)定安全的。所以，校園電子商務(wù)一定程度解決電子商務(wù)中信用、安全支付與物流配送的難題。

2實現(xiàn)校園電子商務(wù)的技術(shù)保障

實現(xiàn)校園電子商務(wù)需要一定的技術(shù)保障，為配合科研組的研究工作，信息類高職專業(yè)教學(xué)系部可成立“經(jīng)貿(mào)信息技術(shù)服務(wù)有限公司”，開設(shè)專業(yè)教學(xué)實踐基地，經(jīng)營和管理包括網(wǎng)絡(luò)商城在內(nèi)的校內(nèi)實習(xí)基地各項教學(xué)和經(jīng)營活動，讓學(xué)生真正做到產(chǎn)中學(xué)，學(xué)中產(chǎn)，教師在產(chǎn)學(xué)中研究專業(yè)應(yīng)用。技術(shù)服務(wù)公司除了商城管理中心人員之外，還可招聘學(xué)生在商城中以開設(shè)店鋪形式開展電腦維修、數(shù)碼創(chuàng)意、軟件開發(fā)、商務(wù)服務(wù)（圖文編排裝訂）、職業(yè)資格等培訓(xùn)業(yè)務(wù)。

（1）電子商務(wù)專業(yè)較新較活理念指導(dǎo)和運營商城店鋪。

電子商務(wù)專業(yè)學(xué)生運用所學(xué)的商務(wù)知識、營銷知識、管理知識、計算機知識，指導(dǎo)和運營商城店鋪?？韶撠?zé)市場調(diào)研工作，跟蹤校園動態(tài)，研究學(xué)生消費心理.發(fā)掘新的消費市場，幫助拓展公司業(yè)務(wù)。收集公司內(nèi)外的各種相關(guān)信息，負責(zé)信息收集、公司對外信息以及與各大傳媒交流。如在開展校園電子商務(wù)活動時，必須要進行大量的宣傳。我們可以在校園里開展各種形式的促銷活動，如發(fā)放傳單、張貼海報等等。通過這些活動進而擴大自己網(wǎng)站的影響力。積極采取優(yōu)惠的價格策略，低廉的價格是吸引大學(xué)生們進行網(wǎng)上消費的主要原因，無論何種商務(wù)模式，只有建立完整的客戶資料庫，才能以客戶為中心安排業(yè)務(wù)流程，才能創(chuàng)建方便快捷的個性化服務(wù)。校園電子商務(wù)系統(tǒng)可以通過建立類似會員制的環(huán)境來主動聯(lián)絡(luò)顧客。讓學(xué)生在實踐中不斷完善理論知識，從而對電子商務(wù)也會有更全面的理解。另一方面，通過這種實踐，學(xué)生在學(xué)校里就已經(jīng)充分具有了網(wǎng)站構(gòu)架、資料庫應(yīng)用等多方面的技術(shù)，以及增加了對物流、資金流的控制能力，這使得他們畢業(yè)投入就業(yè)市場時，就能快速的掌握公司整體的電子商務(wù)運作狀況，甚至于還可能針對公司現(xiàn)行的營運情況做更高效能的規(guī)劃，增強了學(xué)生畢業(yè)后進入就業(yè)市場的競爭力。

（2）軟件技術(shù)和網(wǎng)絡(luò)技術(shù)專業(yè)是經(jīng)營商城網(wǎng)站堅強的技術(shù)后盾。

商城網(wǎng)站的經(jīng)營，需要后臺管理人員對程序、數(shù)據(jù)庫進行管理，信息安全問題的解決，軟件技術(shù)專業(yè)學(xué)生可以提供較硬的軟件應(yīng)用水平，網(wǎng)絡(luò)專業(yè)學(xué)生可以在信息安全和網(wǎng)絡(luò)線路上提供技術(shù)支持。軟件技術(shù)人員維護商城后臺程序和數(shù)據(jù)，管理和推廣域名，給網(wǎng)站嵌入后臺管理代碼，培訓(xùn)商戶創(chuàng)建店鋪網(wǎng)站。根據(jù)業(yè)務(wù)需要，為商城、學(xué)院行政管理部門和企業(yè)開發(fā)專門的管理小型信息管理軟件。網(wǎng)絡(luò)技術(shù)人員負責(zé)商城網(wǎng)站的暢通，信息安全的保障，電子支付的實施，網(wǎng)絡(luò)布線，保障網(wǎng)絡(luò)線路的順暢等技術(shù)服務(wù)。

（3）多媒體技術(shù)專業(yè)是商品圖片、網(wǎng)絡(luò)廣告設(shè)計的制作者。

網(wǎng)上商城需要美工制作人員，網(wǎng)上店鋪的宣傳需要很好的策劃和網(wǎng)絡(luò)廣告投入，網(wǎng)上商品的宣傳必須有相關(guān)實物圖片。多媒體技術(shù)專業(yè)學(xué)生可以利用所學(xué)的攝影攝像知識，圖片處理知識，對上架商品進行拍攝和圖片加工；可以利用網(wǎng)站建設(shè)知識，設(shè)計網(wǎng)站；利用平面設(shè)計、動畫制作和廣告實務(wù)知識，設(shè)計制作網(wǎng)絡(luò)廣告。為商城的運作添加了飛翔的翅膀。同時，為全面開發(fā)專業(yè)課程實踐教學(xué)需要，成立數(shù)碼工作室，可開展攝影攝像業(yè)務(wù)，刻錄影集，剪接錄像等專業(yè)技術(shù)服務(wù)。在時機成熟時，可開設(shè)校園網(wǎng)絡(luò)廣播，由學(xué)生設(shè)計主持廣播節(jié)目。

（4）信息管理專業(yè)是商城管理的主力軍。

一個成功的商城經(jīng)營，離不開好的管理，不論是商城經(jīng)營模式還是人力資源，信息管理專業(yè)學(xué)生可以成為商城管理的主力軍。信息管理專業(yè)可以利用所學(xué)知識，對商城進行規(guī)劃管理，設(shè)計符合本校特點的經(jīng)營管理模式?？筛鶕?jù)不同的崗位，制定各部門各級管理崗位職責(zé)，招收各類學(xué)生管理員，進行員工培訓(xùn)，協(xié)調(diào)好各部門間的關(guān)系。校園電子商務(wù)系統(tǒng)與校園卡數(shù)據(jù)整合后，把所有校內(nèi)師生都直接以“立足校園，服務(wù)師生”為宗旨，采取在線訂購.送貨上門的交易方式。根據(jù)學(xué)校的特殊群體以校園網(wǎng)為依托.參照目前流行的電子購物模式，建立一個適合校園需求特點的專業(yè)校園電子商務(wù)平臺。

3結(jié)語

在高職院校發(fā)展電子商務(wù)，可以很好地利用校園資源，通過網(wǎng)上商城的技術(shù)和經(jīng)營管理，教師在實踐中提升科研能力，學(xué)生在實踐中學(xué)習(xí)專業(yè)知識和操作技能。目前我院海南經(jīng)貿(mào)網(wǎng)上商城已開通，學(xué)生實踐基地已成立，網(wǎng)上商城可以為學(xué)生提供校內(nèi)社會實踐和勤工儉學(xué)機會，為有創(chuàng)業(yè)能力的學(xué)生提供發(fā)展的舞臺，利用信息科技，利用網(wǎng)絡(luò)，讓學(xué)生和飛速發(fā)展的信息社會進行正面的接觸。根據(jù)市場發(fā)展，結(jié)合當(dāng)?shù)氐慕?jīng)濟文化，準(zhǔn)確定位，尋求多方共贏合作，做好組織與管理，就能辦出特色，推動相關(guān)的精品課程和教學(xué)團隊建設(shè)，從而輔助專業(yè)建設(shè)走特色化道路。

參考文獻

［1］杜江萍.校園電子商務(wù)模式探析［N］.江西財經(jīng)大學(xué)學(xué)報，2005，（3）.

［2］勒中堅，吳琴芬，陳瑞華.基于高校校園電子商務(wù)環(huán)境的大學(xué)生創(chuàng)業(yè)風(fēng)險分析［J］.商場現(xiàn)代化，2008，（2）.

談?wù)剬π畔踩睦斫夥段牡?篇

地點：賽迪大廈18層會議室

形式：中計在線嘉賓現(xiàn)場對話

對話嘉賓：

王衛(wèi)鄉(xiāng)

中國中信集團公司管理信息部副主任

周梓滔

德勤華永會計師事務(wù)所有限公司企業(yè)風(fēng)險管理服務(wù)高級經(jīng)理

錢晨

科索路咨詢公司副理

田海波

北京銳思盈泰科技有限公司董事副總經(jīng)理

無內(nèi)控等于慢性自殺

主持人：企業(yè)內(nèi)部控制的目的是什么？有什么需求？

錢晨：企業(yè)內(nèi)部控制的目的是在保證實現(xiàn)公司戰(zhàn)略目標(biāo)前提下，對存在的風(fēng)險進行控制。無論董事會還是全體員工都要對企業(yè)披露的信息的可靠性負責(zé)，但最終責(zé)任會落在董事會上。

IT內(nèi)審的引入是因為在給上市公司內(nèi)控評估時，IT是其中的一個重要的組成部分和方法。

主持人：請德勤公司的周經(jīng)理談?wù)勚袊髽I(yè)的內(nèi)控跟國外企業(yè)的有什么差異？

周梓滔：主要是在理解法案、標(biāo)準(zhǔn)時可能會不一樣，因為中國的國情和中國企業(yè)的管理方法跟國外企業(yè)不盡相同。比如說，國外企業(yè)可能會成立專門的審計委員會，但國內(nèi)企業(yè)可能會把審計委員會放在某一個組織里面，如在財務(wù)部，這就造成了獨立性的不同。

主持人：作為用戶的代表，請王主任講講中信集團在內(nèi)控方面是怎么考慮的？

王衛(wèi)鄉(xiāng)：目前中信集團有好幾家上市公司，如剛上市的中信銀行，中信證券、中信國安等。我們一直非常關(guān)注企業(yè)內(nèi)控，其中包括IT內(nèi)審和薩班斯法案。我們的審計部是唯一一個由集團公司董事長直接分管的部門。

實際上，從我們公司上一任董事長王軍開始就一直特別強調(diào)內(nèi)控。他曾指出：“沒有發(fā)展的內(nèi)控等于慢性自殺，沒有內(nèi)控的發(fā)展，發(fā)展越快損失越大”。中信集團自1979年成立到現(xiàn)在快30年了，一直都保持快速發(fā)展。在高速發(fā)展的20世紀(jì)90年代中期，我們深感管理手段和發(fā)展的速度不匹配，導(dǎo)致有些項目最后失去控制，并造成很大的損失。

現(xiàn)在我們已經(jīng)采取了一些技術(shù)手段，并引進了一些軟件來加強審計，如加拿大的ACL審計軟件。我們的內(nèi)部審計目前主要強調(diào)的內(nèi)容包括：離任審計――像下屬的子公司領(lǐng)導(dǎo)任期換屆，中長期項目在項目實施過程中是否存在重大失誤的專項審計，其他的，如下屬的公司層面，因資產(chǎn)的分布不是很均衡，金融業(yè)務(wù)領(lǐng)域是由金融控股公司的風(fēng)險管理部來主抓。

主持人：各位嘉賓能否總結(jié)一下信息技術(shù)對企業(yè)內(nèi)部控制的價值是什么？

錢晨：IT是企業(yè)內(nèi)控的一個重要內(nèi)容和手段。現(xiàn)在多數(shù)企業(yè)都會用到IT系統(tǒng)，很多流程都嵌入到IT系統(tǒng)中，企業(yè)內(nèi)部控制也應(yīng)該對IT系統(tǒng)進行控制。同時，我們在進行內(nèi)部控制的時候，也應(yīng)該通過IT手段來輔助實現(xiàn)。

周梓滔：我們看到一個很重大的改變：以前內(nèi)部控制都是通過手工來實現(xiàn)的，非常復(fù)雜；現(xiàn)在借助IT系統(tǒng)來實現(xiàn)內(nèi)控，效率大大提高了。另外，對IT系統(tǒng)進行控制，可以優(yōu)化系統(tǒng)，提高系統(tǒng)性能。

王衛(wèi)鄉(xiāng)：任何事情都有兩面性，IT技術(shù)可以幫助我們進行內(nèi)部審計、獲取更加及時、有效的信息，但是如果不加強對IT本身的審計，可能會被人利用，拿這個工具去做不正當(dāng)?shù)氖虑?。所以要從觀念上重視IT內(nèi)審。

田海波：從客戶的反應(yīng)上也可以看到IT內(nèi)審的價值。我們之前是做電信行業(yè)的BOSS系統(tǒng)的，在跟客戶接觸過程中發(fā)現(xiàn)客戶對IT內(nèi)審的需求很大。因為客戶覺得內(nèi)控工作非常煩瑣，希望能夠借助有效的工具來幫助他們輕松實現(xiàn)。

主持人：那么，企業(yè)應(yīng)該怎樣進行IT內(nèi)審呢？

周梓滔：如錢經(jīng)理所言，IT審計有兩個方面，一個是對IT進行審計，另外一個是利用IT技術(shù)來進行審計。首先要看IT有什么東西要做審計：現(xiàn)在很多ERP系統(tǒng)中已經(jīng)就內(nèi)部控制做了設(shè)置；另外可以利用DQI方法(利用數(shù)據(jù)庫、程序去運行大量數(shù)據(jù)可以幫助企業(yè)分析發(fā)現(xiàn)業(yè)務(wù)上的問題，以供企業(yè)進行調(diào)整)。這是一個非常有效的審計方法。

對IT進行審計是指對整個IT環(huán)境各方面的審核工作，如信息安全、軟件開發(fā)、系統(tǒng)維護等。

錢晨：也有說法認為IT控制有兩個方面：一個是應(yīng)用控制，即IT必須對業(yè)務(wù)流程進行某些控制；另一個是通常性控制，對于支撐公司運作的IT基礎(chǔ)技術(shù)架構(gòu)平臺進行有效管理控制。

主持人：我聽一個在香港上市的企業(yè)的CIO說，IT內(nèi)審對他們來說就是會計師事務(wù)所給他們提供一個與IT相關(guān)的表格，他們只需按照這個表格的要求來執(zhí)行就可以了。是這樣的嗎？

王衛(wèi)鄉(xiāng)：沒有這么簡單。這可能要牽扯到兩個部門：一個是IT部門，一個是審計部門，實際上這是跨兩個領(lǐng)域的事情。

周梓滔：我們給企業(yè)做IT內(nèi)審的時候，要先了解被審企業(yè)的情況，了解他們的業(yè)務(wù)范圍是什么，管理層對IT管控持什么樣的看法，然后再按我們的方法論對風(fēng)險較高的地方進行審計。

業(yè)務(wù)不同，IT審計的策略也就不同。比如一個企業(yè)擁有大型的數(shù)據(jù)中心，并依賴該數(shù)據(jù)中心為客戶提供服務(wù)，那么該數(shù)據(jù)中心的物理環(huán)境安全就是非常重要的環(huán)節(jié)。但如果是一個銷售企業(yè)，他們的IT系統(tǒng)會相對簡單，數(shù)據(jù)中心的物理安全也會影響他們的財務(wù)數(shù)據(jù)，但要求就不那么高了。

IT內(nèi)審誰在喝彩

主持人：去年大家都對IT內(nèi)審比較關(guān)注，但是最近好像沒什么大動靜了。實際情況是這樣嗎？出現(xiàn)這種情況的原因又是什么呢？

周梓滔：我看到的情況有點不同。剛才王總說得很對，現(xiàn)在做IT審計的人并不多。企業(yè)如果成立專門的IT內(nèi)審部門成本太高，所以往往會外包給一些第三方公司來做。

上交所、深交所要求他們的上市公司也要進行內(nèi)控，其中IT內(nèi)審是很重要的環(huán)節(jié)。有些母公司在國外的跨國企業(yè)在IT內(nèi)審方面做得比較多，因為他們的網(wǎng)絡(luò)、系統(tǒng)是全球化的，要符合母公司所在地相關(guān)法規(guī)的規(guī)定。

國內(nèi)的一些大型企業(yè)在這方面也有很大的改善。但我們發(fā)現(xiàn)需求增加的速度比IT內(nèi)審提高的速度要快很多。其中很重要的原因就是專業(yè)IT審計人才的缺乏。比如說有個全國性的銀行，他們的IT審計部門只是一個小組，很難進行大的推動。

王衛(wèi)鄉(xiāng)：銀行、電信企業(yè)強調(diào)IT審計取決于他們的業(yè)務(wù)特點。銀行的服務(wù)器壞了可能會影響一大片。

此外，企業(yè)本身環(huán)境的要求或者政府的管制要求也很重要。美國政府已經(jīng)以法案的形式來進行約束。其實國內(nèi)前幾年也發(fā)生過不少因為內(nèi)控失效造成重大損失的案例，那在目前牛市的情況下，如果還不加強控制的話，影響就會更大。

沒人喝彩好像是沒有動靜，但不能說就沒有行動。我相信政府一直在推動，我們企業(yè)也在考慮怎么加強這方面的工作。當(dāng)然，如果將政府和企業(yè)兩者結(jié)合起來，推動的效果會更好。

田海波：我們涉及這塊業(yè)務(wù)是因為我們有一個電信客戶希望能從數(shù)據(jù)模型角度來評估系統(tǒng)設(shè)計是否滿足其業(yè)務(wù)需求，要對軟件實施過程中階段性成果進行驗證。這是IT內(nèi)審的一部分。

主持人：在國內(nèi)上市的公司也同樣那么重視IT內(nèi)審嗎？

周梓滔：深交所、上交所的《指引》中提出的內(nèi)控要求主要是針對上市企業(yè)。但是隨著相關(guān)法案的出臺，越來越多的國內(nèi)上市企業(yè)意識到了IT 審計的重要作用和影響，很多公司已經(jīng)開始了相關(guān)的工作。

王衛(wèi)鄉(xiāng)：我覺得企業(yè)進行內(nèi)控往往從自發(fā)和自覺兩個角度出發(fā)。從自覺的角度來做內(nèi)控的企業(yè)，很明白內(nèi)控對企業(yè)發(fā)展的好處。如果企業(yè)要發(fā)展，是不可能不去做這方面工作的，應(yīng)該是一個自發(fā)的行為。有些上市公司大張旗鼓地宣揚自己的內(nèi)控做得怎么好，這實際上是他們自己應(yīng)該做的。

主持人： IT內(nèi)審的推廣還有哪些比較現(xiàn)實的問題呢？

王衛(wèi)鄉(xiāng)：我覺得最難的還是觀念問題。如果在觀念上沒有重視這個事情，其他的技術(shù)再高超、完善，但如果不去用，那就一點用都沒有。

還有一個問題就是現(xiàn)在很多企業(yè)的信息化建設(shè)還不盡如人意，在這種情況下強調(diào)太多的IT審計還沒有必要。

主持人：IT內(nèi)審是一個中長期的工作，上市公司該怎么看IT內(nèi)審的運作成本和收益？

王衛(wèi)鄉(xiāng)：我個人認為這個投入非常值得，既能夠維持公司良好的運轉(zhuǎn)，又能夠比較好地監(jiān)控公司運轉(zhuǎn)的狀況。IT審計是一個提供保障的機制，不會直接創(chuàng)造效益，但是它至少不會讓已經(jīng)創(chuàng)造的效益流失。

錢晨：對。也許企業(yè)什么都不做也能成功運轉(zhuǎn)很長時間，但風(fēng)險永遠是存在的，像“9•11”那樣的小概率事件也是會發(fā)生。

王衛(wèi)鄉(xiāng)：為此，我們公司建立了金融的災(zāi)備中心，是和運營中心分開的。這應(yīng)該是IT審計或者企業(yè)內(nèi)控的一個重要組成部分，而且尤其對大型企業(yè)來說特別重要。

周梓滔：當(dāng)企業(yè)很大程度上依賴IT的時候，IT內(nèi)控不但能夠幫助企業(yè)理順業(yè)務(wù)流程、培養(yǎng)人才和提高技術(shù)能力，能夠降低風(fēng)險、提升能力，還能推動業(yè)務(wù)模式的轉(zhuǎn)變。我們有個客戶，他們的IT部門原來是個成本中心，后來通過IT內(nèi)審優(yōu)化業(yè)務(wù)模式，使他們公司的服務(wù)達到了世界一流水平，很多國外公司都來找他們咨詢。后來這個公司的IT部門因此慢慢成長為一個咨詢公司。

中國路線怎么走

主持人：各位認為適合中國國情的IT內(nèi)審規(guī)范應(yīng)該是什么樣的？

王衛(wèi)鄉(xiāng)：這個問題很難回答。但是全球化以后，很多中國企業(yè)都在海外上市，要求我們?nèi)ミm應(yīng)海外交易所的法規(guī)，同時也會帶來一些好的做法，我們可以借鑒一下。

主持人：那中國的IT內(nèi)審規(guī)范應(yīng)該怎么來做？

周梓滔：IT內(nèi)審并不是因為薩班斯法案才有的，這在上個世紀(jì)80年代就開始有了。當(dāng)時行內(nèi)人已經(jīng)為通過打孔機從電腦上提取數(shù)據(jù)的計算機進行IT審計?，F(xiàn)在隨著IT技術(shù)的發(fā)展，IT審計的內(nèi)容、方法、技術(shù)等各方面都已經(jīng)發(fā)生了變化。

錢晨：我們可以先西學(xué)中用，把國外做得好的拿過來借鑒，再對用得不好的加以改進。

田海波：我覺得中國IT內(nèi)審如果能夠形成一個大的產(chǎn)業(yè)鏈會更好，像當(dāng)初推項目管理時那樣，對相關(guān)的咨詢、培訓(xùn)起了很大的推動作用。

主持人：很多企業(yè)不知道自己的IT內(nèi)審該如何開始，請各位給他們提點建議。

周梓滔：首先可以找我們這樣的專業(yè)機構(gòu)來做。如果企業(yè)一定要內(nèi)部自己做，自己培養(yǎng)人才，可以讓IT部門負責(zé)信息安全的同事去學(xué)習(xí)一些審計知識――信息安全是IT審計的一部分。但這樣有很多東西需要學(xué)習(xí)和推動，可能歷時比較長。

主持人：內(nèi)部控制標(biāo)準(zhǔn)委員會公布了《企業(yè)內(nèi)部控制規(guī)范――基本規(guī)范》和17項具體規(guī)范(征求意見稿)。不知道各位對這個征求意見稿有什么期望？

周梓滔：征求意見稿不僅參考了薩班斯法案，還參考了很多其他地方的法規(guī)，對信息安全、系統(tǒng)運作、應(yīng)用系統(tǒng)開發(fā)等各個方面都有所提及。但是有一點值得我們注意，很多法規(guī)都已經(jīng)推行好幾年了，我們應(yīng)該充分吸取這些法規(guī)推行后的經(jīng)驗和教訓(xùn)，并加以消化吸收。比如說，要充分考慮企業(yè)內(nèi)控的成本。

錢晨：我國對上市公司的內(nèi)控監(jiān)管還不夠，遠遠達不到薩班斯法案那樣的力度。

王衛(wèi)鄉(xiāng)：說到監(jiān)管力度，我們可以分別來看看歐洲、美國和中國三塊市場。對市場的監(jiān)管力度最強的是美國，歐洲比較溫和。從歷史上看，歐洲的貴族文化本身對自律性要求比較高，在歐洲上市的公司如果運作不好，自動就退市了。美國雖然只有200多年的歷史，但相關(guān)制度為他們的發(fā)展提供了有力的保障。如果運作不好就有強硬的措施逼著它退市。我覺得中國應(yīng)該兼顧這兩個市場的特點。我們有5000年的文化，好的地方要繼承下來，不好的地方要通過制度來完善。希望現(xiàn)在的征求意見稿能起到這個作用，真正實現(xiàn)對上市企業(yè)的違規(guī)行為的約束。

詳情請見中計在線“阡陌三人行”訪談實錄(.cn/Special/InternalAuditing/)

鏈接:有關(guān)IT內(nèi)審的外包

周梓滔：企業(yè)如果成立專門IT內(nèi)審部門成本太高，可以外包給專業(yè)的第三方公司來做。

王衛(wèi)鄉(xiāng)：我贊成這個觀點，IT內(nèi)審業(yè)務(wù)的外包是比較可取的，因為這對技術(shù)要求很高，而且需要經(jīng)驗。

錢晨：IT審計外包更能夠體現(xiàn)審計結(jié)果的獨立性。如果IT部門本身既做系統(tǒng)管理又做系統(tǒng)的審計，這本身就是一個矛盾的問題，看問題就不會很客觀，也會造成利益的沖突。

中國中信集團公司管理信息部副主任 王衛(wèi)鄉(xiāng)

IT審計包括對IT系統(tǒng)的審計、通過IT輔助審計工作和審計管理的信息化。

德勤華永會計師事務(wù)所有限公司企業(yè)風(fēng)險管理服務(wù)高級經(jīng)理 周梓滔

我們應(yīng)充分吸取其他地方相關(guān)法規(guī)推行后的經(jīng)驗和教訓(xùn)，并加以消化吸收。

科索路咨詢公司副理

錢晨

內(nèi)部控制的目標(biāo)是在保證實現(xiàn)公司戰(zhàn)略目標(biāo)的前提下，對存在的風(fēng)險進行控制。