發布時間:2023-07-30 10:17:14
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的安全審計的類型樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
三《條例》限制賠償政策的事實根據論―答記者問見解的問題性
(一)“特殊立法政策”的內容和事實根據
(二)“特殊立法政策”的事實根據論的問題性
(三) 對其他相關問題的評論
四 放棄現行法律適用原則的必要性和解決法律適用問題的代替方案
(一) 放棄“區分不同案件分別適用法律”原則的必要性
(二) 解決醫療侵權賠償案件法律適用問題的代替方案
結論
三 《條例》限制賠償政策的事實根據論―答記者問見解的問題性[44]
如前所述,答記著問強調, 條例“體現了國家對醫療事故處理及其損害賠償的特殊立法政策”。那么, 答記者問所說的特殊立法政策的內容是什么呢? 在損害賠償問題的處理上, 條例所體現的立法政策與民法通則所體現的立法政策有什么不同呢? 條例所體現的特殊立法政策又是以什么事實為根據的呢? 被作為根據的那些“事實”是否符合客觀現實呢? 即便符合客觀現實, 以這些事實為根據, 是否能夠證明條例對醫療事故損害賠償的限制性規定具有政策上的合理性呢? 這些就是本節要檢討的問題。
(一) 條例所體現的特殊立法政策的內容及該政策的事實根據
條例第1條規定,制定條例的目的是“正確處理醫療事故,保護患者和醫療機構及其醫務人員的合法權益,維護醫療秩序,保障醫療安全,促進醫學科學的發展”。條例起草者衛生部的匯報指出, 修改辦法的經濟補償制度的原則是“既要使受損害的患者得到合理賠償,也要有利于我國醫療衛生事業和醫學科學的健康發展”[45]。答記者問的表述與衛生部匯報的見解基本相同, 但更為直截了當。它指出, 條例之所以要對賠償金額作出限制, 就是“為了推動醫療衛生事業的發展和醫療技術的進步”, 換言之, 如果不對醫療事故的賠償范圍和標準作出現行條例所作出的限制, 如果法院對醫療事故引起的賠償案件適用體現了實際賠償原則的民法通則的規定, 那么, 我國醫療事業的發展和醫療技術的進步就會受到不利的影響[46]。由此可見, 答記者問所強調的特殊立法政策的“特殊”之處, 亦即在賠償政策上條例與民法通則的不同之處,在于條例以保障和促進醫療事業的發展這一公共利益來限制患者或其遺屬原本根據民法通則所體現的實際賠償原則所可能得到的賠償這一個別利益。筆者在此將該政策簡稱為“公益限制賠償政策”。
根據答記者問的說明, 條例所體現的公益限制賠償政策是以下述被政策制定者所認定的四項事實為根據的。① 醫療行為具有較高的風險性, ② 我國醫療行業具有公共福利性, ③ 我國醫療機構的承受能力有限, ④ 我國的經濟發展水平較低。對照條例起草者衛生部的匯報可以發現, 答記者問所提出的事實根據論,除了其中的第①項似乎是答記者問自己的看法(筆者不知道衛生部是否在其他正式場合表達過這樣的見解)以外,基本上反映了衛生部在匯報中所表達的見解[47]。
以下, 筆者對“公益限制賠償政策”的事實根據論進行分析和評論。
(二) “公益限制賠償政策”的事實根據論的問題性
1. 醫療行為的高風險性不能說明條例限制賠償的正當性。
答記者問沒有說明醫療行為的高風險性與限制賠償到底有何關系。筆者在此姑且作出兩種推測[48],然后分別加以評論。
(1) 答記者問也許是想說: 高風險性這一客觀因素的存在, 降低了過失這一醫療侵權的主觀因素在賠償責任構成中的意義。人們應當承認以下兩個事實, ① 在醫療過程中, 即使醫務人員充分履行了注意義務, 也未必能夠完全回避診療的失敗及由此引起的患者人身損害的發生; ② 即使醫務人員在實施醫療行為方面確實存在過失, 損害后果的發生也往往在一定程度上與該項醫療行為固有的風險性存在一定的關系。因此, 在設計醫療事故損害賠償制度時, 應當考慮到醫療風險這一客觀因素在損害形成中所起的作用, 不應當把在客觀上應當歸因于醫療風險的那部分損失也算在醫療機構的頭上。條例對賠償數額作出限制反映了醫療事故損害與醫療風險之間存在一定程度的關系這一事實, 因此是合情合理的,是正當的。
筆者基于下述理由認為, 上述推論是不能成立的。① 醫療行為具有較高的風險性這一事實認定本身不能反映現實中的醫療行為與醫療風險的關系的多樣性。現實情況是,醫療行為不僅種類極其繁多而且存在于醫療過程的各個階段各個環節,有的可能具有高度的風險( 比如確診率極低的沒有典型早期癥狀的某些疾病的早期診斷, 成功率極低的涉及人體某一重要器官的復雜手術,對搶救患者生命雖然必要但嚴重副作用的發生可能性極高的急救措施),有的則可能幾乎沒有風險(比如在遵守操作規范的情況下的一般注射,常規檢驗,醫療器械消毒,藥房配藥,病房發藥等)② 這種推論誤解了醫療風險與醫療事故民事責任的關系, 因而是根本說不通的。眾所周知, 我國的醫療侵權責任制度實行過錯責任原則, 而非嚴格責任原則。既然如此, 那么在醫療損害的發生被證明為與醫療過錯和醫療風險(特指與醫療過錯無關的風險)[49] 二者都有關系的場合, 醫療機構只應承擔與其醫療過錯在損害形成中所起的作用相應的賠償責任。在醫療侵權法上, 風險因素與民事責任不是成正比而是成反比, 風險因素對損害的形成所起的作用越大, 醫療機構因其醫療過錯所承擔的賠償責任就越小。醫療行為的高風險性不是增加而是可能減輕醫療機構民事責任的因素。只有在適用嚴格責任原則的侵權領域, 高風險性才可能成為增加民事責任的因素。
(2) 答記者問也許是想說, 如果事先不通過制定法(比如條例)對賠償范圍和數額作出必要的限制, 那么醫療機構就會因害怕承擔其不愿意承擔或難以承擔的高額賠償責任而指示其醫務人員以風險的有無或大小作為選擇治療方案的主要標準,盡可能選擇無風險或較小風險的治療方案; 醫務人員在治療患者時就會縮手縮腳,不敢為了搶救患者的生命而冒必要的風險, 患者的生命健康利益因此就可能得不到原本應當得到的醫療保障。所以, 條例限制賠償標準,有助于調動醫師救死扶傷的職業積極性, 最終將有利于患者疾病的救治。筆者認為, 這是一個似是而非的、嚴重脫離實際的推論, 因而也是沒有說服力的。
① 在對賠償數額不作限制(尤其是不作低標準限制), 實行實際賠償原則的情況下,醫師果真會從積極變為消極, 對患者該治的不治, 該救的不救, 該冒的險不敢冒嗎? 限制了賠償數額,醫師果真就會因此而積極工作, 勇于擔負起治病救人的重任嗎? 這一推論符合醫療侵權的實際狀況嗎? 依筆者之見, 在適用民法通則的實際賠償原則或賠償標準高于條例的人身損害賠償解釋的情況下, 醫師未必會因害怕出差錯•承擔較高的賠償責任而該治的不敢治, 該救的不敢救, 該冒的險不敢冒。因為在許多場合, 采取這種消極回避態度反而會導致醫療不作為或不完全作為所構成的侵權。不僅如此, 因為這種消極態度可能具有放任的性質, 因而在其導致的侵權的違法性程度上也許比工作馬虎或醫術不良所引起的延誤診療致人損害的侵權更為嚴重。② 醫療的宗旨是治病救人, 因而是不考慮風險違規亂干不行, 顧忌風險違規不干也不行的典型行業。醫師必須遵循診療規范,充分履行注意義務,盡善管理。③ 限制或降低賠償標準, 就算可能有調動醫師積極性減少消極行醫的效果, 也免不了產生降低醫師的責任感, 縱容違規亂干的嚴重副作用。④ 按照風險論的邏輯, 條例規定的賠償制度還不如辦法規定的一次性經濟補償制度; 對廣大患者而言, 他們的生命健康利益獲得醫療保障的程度在條例時代反而會降低, 因為醫務人員的救死扶傷的積極性由于條例( 較之辦法)加重醫療事故賠償責任而降低了。
2. 即使我國醫療行業具有公共福利性質, 以此為據限制賠償也是根本沒有說服力的。
答記者問沒有(衛生部匯報也沒有)具體說明我國醫療行業的公共福利性有何含意, 更未具體說明醫療行業的公共福利性與條例的限制賠償政策之間有何關系。筆者在此參考有關的政策法規文件和一些文章中的議論[50], 分別對這兩個問題的內容作出以下的推測。
(1) 我國醫療行業的公共福利性主要表現在以下幾個方面。① 在我國醫療服務體系中占主導地位的公立醫療機構,是非營利性醫療機構,是公益事業單位,它們所提供的醫療服務對患者而言, 具有一定的福利性質。② 政府對公共醫療事業的財政投入將隨著經濟的發展逐年增加。政府的財政投入為公共醫療事業的發展和醫療技術的進步, 從而為廣大患者能夠享受到更好的醫療服務創造了一定的物質條件。政府對非營利性醫療機構實行稅收優惠和合理補助的政策,為這些機構的福利性醫療服務提供了一定的支持。③ 政府為了增進廣大人民群眾的醫療福利, 減輕患者個人的醫療費用負擔, 在城鎮為職工建立作為社會保障的基本醫療保險制度, 在農村推行和資助合作醫療制度, 邦助越來越多的農村居民在當地也能得到基本的醫療服務。④ 政府考慮到廣大人民群眾的負擔能力, 對醫藥品市場價格和非營利性醫療機構的醫療服務價格進行適當的控制。
(2) 醫療行業具有公共福利性這一事實, 決定了因醫療事故而發生的醫患之間的法律關系具有以下的特點。① 它是在非自愿( 公共醫療服務的提供者在法律上有義務向需要的患者提供醫療服務, 無正當理由不得拒絕)的并且是非完全等價( 公共醫療服務的提供不以完全的等價有償為原則 ) 的基礎上進行利益交換( 患者仍需支付一定的醫療費用) 的當事者之間發生的賠償關系, 不同于在完全自愿•等價有償的基礎上進行利益交換的當事人即通常的民事活動當事人之間發生的賠償關系。② 它是提供醫療服務利益的醫療機構和接受醫療服務利益的患者之間因前者的利益提供行為發生錯誤導致后者受到損失而引起的賠償關系, 換言之, 是好心人辦錯事引起的賠償關系, 不同于通常的侵犯他人合法權利所引起的賠償關系。③ 它在事實上又是以作為公共醫療的投資者的政府為第三人( 賠償問題不僅可能影響到政府投資的效益,而且可能使政府投資本身受到損失)同時以利用該醫療機構的廣大患者為第三人( 賠償問題可能影響到該醫療機構的服務能力,從而影響到利用該醫療機構的廣大患者的利益)的賠償關系, 不同于僅僅涉及當事者雙方利益或至多涉及特定私人第三者利益的賠償關系。
(3) 正是因為醫療行業具有公共福利性這一事實決定了因醫療事故而引起的醫患之間的賠償關系具有不同于通常的債務不履行或通常的侵權所引起的賠償關系的特征, 所以條例起草者才將該事實作為調整這種賠償關系的特殊政策的依據之一。如果不考慮醫療行業的公共福利性, 如果不以該事實為依據制定特殊的賠償政策, 而是完全根據或照搬民法通則所體現的實際賠償原則, 那么, 醫療事故賠償的結果, 不僅對于賠償義務人醫療機構可能是不公正或不公平的, 而且會使國家利益和廣大患者群眾的利益受到不應有的損害。
筆者認為, 上述見解(假定確實存在), 根本不能說明條例限制賠償政策的合理性。
(1) 答記者問在論證限制賠償政策具有合理性時, 只提“我國醫療行業具有公共福利性”這一“事實”,不提我國的醫療行業和醫療服務在相當范圍和相當程度上已經市場化和商品化, 我國的絕大多數公民還得不到醫療費負擔方面的最基本的社會保障這兩個有目共睹的現實。這種論法很難說是實事求是的。“我國醫療行業具有公共福利性”這一事實認定,本身就是非常片面的; 這一“事實”作為答記者問所支持的條例限制賠償政策的前提之一, 本身就是在很大程度上難以成立的。
① 眾所周知, 在條例起草和出臺之時, 更不用說在答記者問發表之時, 我國的醫療行業已經在相當范圍內和相當程度上實現了市場化。第一, 從我國醫療行業的主體來看, 被官方文件定性為“非營利性公益事業”[51] 單位的公立醫療機構,在我國醫療服務體系中確實依然占據主導地位,它們所提供的基本醫療服務項目, 據說因其價格受到政府的控制, 所以對接受該服務的患者而言,具有一定程度的福利性。但是,在我國的醫療行業, 非公立的完全營利性的醫療機構早已出現, 其數量以及其提供的醫療服務所占有的市場分額均有明顯的增長趨勢; 民間資本或外資與公立醫療機構的各種形式的合資經營也已經成為常見的現象。它們擴大了完全商品化的醫療服務市場。由于它們所提供的醫療服務, 在價格上是放開的, 所以對接受其服務的患者而言, 沒有福利性 ( 除非將來有一天把這類醫療服務也納入作為社會保障的醫療保險的范圍)。此外, 只有非營利性公立醫療機構才是中央或地方財政投入及有關的財稅優惠政策的實施對象。營利性醫療機構當然是自籌資金、完全自負盈虧的企業[52] 。第二, 從公立醫療機構提供的醫療服務的價格來看, 首先, 公立醫療機構配售給患者的藥品和消耗性材料的價格往往高于或明顯高于市場零售價(換言之,實際上往往高于或明顯高于醫院采購成本和管理成本的總和), 具有明顯的營利性(據說其目的在于“以藥養醫”); 盡管醫療機構所采購的一定范圍的藥品的市場價格受到政府價格政策的控制(以政府定價或政府指導價的方式), 但這種控制是為了保證基本醫藥商品的質價相符, 防止生產或銷售企業設定虛高價格 (明顯高于生產經營成本和合理利潤的總和的價格即暴利價格) 謀取不適當的高額利潤[53]。因此這種政府控制價格與計劃經濟時代的計劃價格有本質的不同, 并非像有些人所說的那樣是低于市場價格的價格即所謂“低價”, 而是比較合理的市場價格。所以, 這種價格控制, 雖然有利于消費者或患者正當利益的保障, 但并沒有任何意義上的福利性。其次, 基本診療服務項目( 比如普通門診和急診; 一定范圍的檢驗和手術; 普通病房等一定范圍的醫療設施及設備的利用)的價格, 雖然在一定程度上受到政府價格政策的控制, 因而也許可以被認為具有一定程度的福利性, 但具有明顯的收益性或營利性( 即所謂創收 )的醫保對象外的五花八門的高收費醫療服務( 比如高級專家門診、特約診療卡服務、特需病房、外賓病房等)在較高等級的許多公立醫療機構(尤其是三級甲等醫院)中早已出現并有擴大的趨勢。此外, 在許多醫療機構中, 原本屬于護理業務范圍內的一部分工作也已經由完全按市場價格向患者收費的護工服務所替代。所以, 被官方定性為非營利性公益事業單位的公立醫療機構,在事實上正在愈益廣泛地向患者提供沒有福利性的甚至完全收益性或營利性的醫療服務。
② 從患者負擔醫療費用的情況來看,第一, 加入了基本醫保的患者,一般除了必須自付一定比例的醫療費用外,還須支付超出其醫保限額的醫療費用。他們選擇醫保定點醫療機構所提供的醫保對象外的醫療服務,或選擇定點醫保醫療機構以外的醫療機構(包括營利性醫療機構)所提供的醫療服務,因而完全自付醫療費的情況并不少見。同樣是享受醫保的患者,其享受醫保的程度即自付醫療費占實際醫療費的比例可能不同; 符合特殊條件的一小部分患者,則可能基本上或完全免付遠遠大于一般醫保患者所能免付的范圍的醫療費[54]。第二, 更為重要的事實是, 我國所建立的社會基本醫保制度,不是以全體居民為對象的醫療保險制度(比如日本的國民健康保險制度),而是僅僅以城鎮的職工(城鎮中的所有用人單位的職工)本人為對象的醫保制度[55],加入者的人數至今還不滿我國總人口的十分之一[56]。換言之, 我國城鎮的相當數量的居民和農村的所有居民是不能享受基本醫保的(即完全自費的或幾乎完全自費的)社會群體(除非加入了商業醫保,但商業醫保不具有福利性)。政府雖然已決定在農村建立由農民個人繳費•集體扶持•政府資助的合作醫療制度,但由于種種原因,且不說這一制度才剛剛開始進行個別的試點(更不用說在一些貧困地區,甚至連最基本的醫療服務設施也不存在),就是全面鋪開,它為廣大農村居民所可能提供的醫療保障的程度也是極其微薄的[57]。要言之, 答記者問和衛生部匯報所強調的醫療行業的公共福利性,對于我國的絕大多數居民來說, 即使在某種意義上(比如公立醫療機構的部分診療服務的價格受到政府的控制)也許可以被理解為存在,也只是非常有限的,微不足道的。
筆者之所以強調上述兩個方面的事實, 并非為了批評現行的醫療福利政策, 而僅僅是為了指出以下兩個多樣性的存在。第一個多樣性是醫療行業或醫療服務與醫療福利的關系的多樣性。醫療行業既存在福利因素又存在非福利因素, 既存在公益因素又存在營利因素; 有的醫療服務具有福利性,有的醫療服務則沒有福利性; 有的醫療服務具有較高程度的福利性, 有的醫療服務只有較低程度的福利性。第二個多樣性是患者與醫療福利政策的關系的多樣性。有的患者能夠享受較多的醫療福利, 有的患者則只能享受較少的醫療福利, 有的患者則完全不能享受醫療福利; 能夠享受醫療福利的患者既有可能選擇具有福利性的醫療服務, 也有可能選擇沒有福利性的醫療服務; 享受基本醫保的不同患者所享受的醫保利益又可能存在種種差別甚至是巨大的差別。據此, 我們應當承認, 支持醫療事故賠償限制政策的公共福利論無視這兩個方面的多樣性, 嚴重脫離了現實, 因而沒有充分的說服力。
(2) 即使醫療行業所具有的公共福利性能夠成為限制福利性醫療服務享受者的醫療事故賠償請求權的正當理由之一, 現行條例關于醫療事故賠償的規定, 由于沒有反映以上筆者所指出的患者與醫療福利政策的關系的多樣性這一有目共睹的客觀事實, 所以它不僅違反了條例起草者衛生部所主張的公共福利論的邏輯, 而且從公共福利論的觀點看, 它又是顯失公正和公平的。
① 根據公共福利論的邏輯, 條例原本應當將患者所接受的引起醫療事故的醫療服務與醫療福利的關系(即是否具有福利性, 具有多少程度的福利性)作為確定醫療事故的具體賠償數額的考慮因素之一, 原本應當采取賠償數額與自費程度成正比•與福利程度成反比的原則,使得自費程度較低的被害人較之自費程度較高的被害人,部分自費的被害人較之完全自費的被害人,在其他條件同等的情況下,獲得較低比例的賠償數額。換言之, 使后者能夠獲得較高比例的賠償數額。令人感到難以理解的是,條例竟然沒有作出這樣的規定(條例僅將醫療事故等級、醫療過失行為在醫療事故損害后果中的責任程度、醫療事故損害后果與患者原有疾病狀況之間的關系作為確定具體賠償金額時應當考慮的因素(第49條第1款))。
② 公正性是良好的法律制度的基本標準之一。如果答記者問和衛生部匯報所主張的公共福利論, 從所謂“患者能夠獲得的賠償數額與該患者自付的醫療費用應當實現某種程度的等價性”的觀點看, 確實還帶有那么點“公正性或公平性”的意味的話, 那么, 衛生部在以我國醫療具有公共福利性為事實根據之一設計醫療事故的賠償制度時, 就應當充分注意患者與醫療服務福利性的關系的多樣性, 所設計的賠償制度就應當能夠保證各個醫療事故的被害患者都有可能按照所謂“等價性”原則獲得相應數額的賠償。很可惜, 現行條例的賠償規定在這個問題上犯了嚴重的一刀切的錯誤。說的極端一點, 它使得醫療費用自付率百分之百的患者, 在其他條件相同的情況下, 只能獲得醫療費用自付率幾乎接近于零的患者所能夠獲得的賠償數額。
③ 從立法技術論上看, 衛生部的失誤在于, 她將醫療服務的福利性這個因案而異•極具多樣化和個別化的事實,因而只能在各個案件的處理或裁判時才可能確定的事實,當作她在制定統一適用的賠償標準時所依據的事實即所謂“立法事實”(具有一般性或唯一性并且在立法之時能夠確定或預見的事實)。衛生部顯然沒有分清什么樣的事實屬于立法事實,可以被選擇作為立法的依據, 什么樣的事實不屬于立法事實, 因而不應當被作為立法的依據,只能被選擇作為法的實施機關在將法規范適用于特定案件時認定或考慮的事實。混淆二者,是立法上的大忌。如果將后者作為前者加以利用而不是作為一個因素或情節指示法的實施機關在處理具體案件時加以認定或考慮, 那么,制定出來的法就不僅會因其事實根據的不可靠而可能成為脫離實際的有片面性的法, 而且在其適用中可能成為不公正的法。如前所述,為了避免條例制定的賠償標準在適用中引起明顯的不公正后果, 衛生部原本(如果她認為在政策上確實有此必要的話)應當將涉及福利性的問題作為醫療事故處理機關在具體確定賠償數額時應當考慮的因素之一,同醫療事故等級等因素一起,在條例第49條第1款中加以規定。 (3) 即使我國醫療行業具有相當高度的、相當廣泛的、對不同的患者而言相當均等的福利性( 比如達到了日本或一些歐州國家的程度), 以其為據限制醫療事故賠償也是沒有說服力的。
① 生命健康權是人的最基本的權利, 理所當然地受到現行憲法和一系列相關法律的保護。充分保障這一權利, 建立具有適當程度的公共福利性的醫療制度和社會保障制度, 使每一位居民, 不論其經濟能力如何, 都能得到相當質量的必要的醫療服務, 是政府在憲法上的責任。我國醫療行業保留一定范圍和一定程度的公共福利性,政府從財政上給予醫療事業必要的支持, 應當被理解為是人民權利的要求, 是政府對其憲法責任的履行, 而不應當被看成是政府對人民的恩惠。財政對醫療事業的投入, 并非來自政府自己的腰包, 而是人民自己創造的財富。在筆者看來, 以醫療行業的公共福利性為理由的醫療事故賠償限制論, 似乎缺少人民的憲法權利和政府的憲法義務這一基本的憲法意識, 自覺或不自覺地把醫療行業的公共福利性看成是政府通過醫療機構的服務對百姓患者實施的恩惠。
② 如果說社會福利在有些資本主義國家(比如美國)的一個時期內, 曾被僅僅視為國家對社會的弱勢群體的特殊照顧或恩惠(不是被視為福利享受者的法律上的權利)的話, 那么就應當說在社會主義國家,它當然應當被首先理解為國家性質的必然要求。我國只要還堅持宣告自己是社會主義性質的國家, 就必須堅持這種理解。以醫療行業的公共福利性為理由的醫療事故賠償限制論, 似乎缺少鮮明的社會主義觀念, 自覺或不自覺地把醫療福利僅僅理解為政府所采取的一種愛民利民政策。
③ 任何社會福利政策,只有獲得了完全意義上的法律保障才可能真正為人民帶來切實可靠的福利。筆者在此所說的完全意義上的法律保障是指,不僅福利的提供要有法律保障, 而且在福利的享受者因福利的具體提供者的過錯而受到損害的情況下也要有充分的法律救濟的保障。 否則, 提供福利的法律保障就失去了充分的現實意義, 人民享受的福利就只能是殘缺不全的福利。以醫療行業的公共福利性為理由的醫療事故賠償限制論, 似乎缺少全面法律保障的觀點, 它弱化了法律救濟的機能, 使本來就程度很低•范圍很窄的醫療福利退化為殘缺不全的福利。
④ 治病救人是醫療行業的根本宗旨, 嚴格遵守醫療規范、盡職盡責為患者服務、關愛患者、 救死扶傷是醫務人員的神圣職責和法定義務(執業醫師法第3條,第22條)。患者托付給醫療機構和醫務人員的是他們作為人的最為寶貴的健康和生命的命運。醫療事故恰恰是起因于醫療機構或醫務人員的違規失職, 恰恰是背離了患者的期待和信賴, 恰恰是危害了患者的健康或生命。對性質在總體上如此嚴重的侵權損害, 如果認為有必要設定賠償的范圍或標準的話, 毫無疑問, 至少不應當在范圍上小于、在標準上低于其它侵權損害賠償的范圍和標準。筆者百思不得其解的是, 醫療事故賠償限制論怎么會如此的“理性”, 理性到無視醫療事故侵權在總體上的嚴重性質, 理性到搬出諸如醫療的公共福利性、醫療服務的不等價性之類的似是而非的理論( 無論是土產的還是進口的)。這些理論又怎么能夠證明限制醫療事故賠償的合理性或正當性呢?
關鍵詞:道路;交通;安全審計
Abstract: with the rapid growth of China's national economy, China's transportation construction has entered a rapid development stage. Traffic accidentsincrease gradually. In order to improve the level of road traffic safety of the whole traffic system, need to "road traffic safety audit" into the road network planning and design, to prevent traffic accidents, reduce the likelihood and severity of accidents caused.
Keywords: road; traffic safety audit;
中圖分類號:E232.6文獻標識碼:A文章編號:2095-2104(2013)
一、引言
隨著我國國民經濟的迅速增長, 我國的交通建設也進入了快速發展階段。到2012年底,全國已建成通車的公路總里程達到423.75萬公里,其中高速公路通車里程已達9.6萬公里。與此同時, 公路、特大型橋梁的整體設計施工技術水平也有了跨越式的提高, 并廣受世人矚目。公路交通已由制約國民經濟發展的階段向基本適應轉化。我國的公路建設只用10 余年的時間就走過了西方發達國家幾十年的發展里程, 成績斐然。
但是, 與西方發達國家經過的歷程一樣, 伴隨著經濟的迅猛增長, 我國的道路交通安全形勢也十分嚴峻。隨著機動車數量的不斷增長,公路交通事故頻發已成為社會的一大公害。以2011年為例,全國共接報涉及人員傷亡的道路交通事故210812起,共造成62387人死亡,直接財產損失達數十億元。交通死亡事故總數近幾年一直排名世界第一。而對于治理道路交通安全問題的措施,在道路建設中實行道路安全審計則是有效預防交通事故的重要手段之一。
二、交通安全審計的定義
道路安全審計是從預防交通事故、降低事故產生的可能性和嚴重性入手,對道路項目建設的全過程,即規劃、設計、施工和服務期進行全方位的安全審核,從而揭示道路發生事故的潛在危險因素及安全性能。道路安全審計可定義為;由公正獨立、有資質的人員對涉及使用者的道路項目(已建或將建項目)進行的正式審查,以確定對道路使用者任何潛在的不安全特性或構成威脅的運營安排。安全審計的目標是:確定項目潛在的安全隱患;確保考慮了合適的安全對策;使安全隱患得以消除或以較低的代價降低其負面影響,避免道路成為事故多發路段;保證道路項目在規劃、設計、施工和運營各階段都考慮了使用者的安全需求。因而可以說道路安全審計的目的就是:保證現已運營或將建設的道路項目都能為使用者提供較高實用標準的交通安全服務。
三、道路安全審計的意義和經濟效益
國內外大量研究表明,道路安全審計可有效地預防交通事故,降低交通事故數量及其嚴重程度,降低道路交通事故的人身賠償費用,減少道路開通后改建完善和運營管理費用,提高路網的安全性;提升交通安全文化,提高道路管理部門和設計者的安全意識。
道路安全審計的最大效益在于“只需用鉛筆改變設計線,而不是到建成后再去搬動混凝土;即使是建成后的道路需要搬動混凝土,那么至少可以避免或減少搬動撞毀的汽車和傷亡的人員”。道路安全審計的費用和改變設計所花的費用,要遠遠低于在項目建成以后才采取治理措施所需的費用。如果一條道路設計中有明顯的安全問題,那么事故耗費將可能成為該項目的整個經濟壽命中費用的最主要部分;如果一條新建道路有安全問題,又因為采取改動措施耗資巨大,而采取了其他的補救措施,這將帶來一些不良后果——要么是持續的事故損失,要么是由于通行量和車速受到限制而帶來的持續的經濟損失。對社會而言,在建造之前就避免問題的發生將是最經濟的。對于公路建設項目,盡可能減少治理措施。將會降低預算開支,并且使資金的使用更為有效。另外,對現有道路的安全評價將會大大降低事故的損失代價,從而明顯地節省開支。工程規范及指南為一個好的設計提供了一個好的開端。
道路安全審計,應當被視為用來減少事故風險的整個道路安全工程的一部分。資料表明,審計1個大型的新建工程,會增加設計成本的 4 %~10 %。由于設計成本僅占工程投資的 5 %~6 %,所以這部分投資的增加是很小的。道路安全審計的收益表現在減少交通事故上,這些收益主要是指因為交通事故的避免和事故嚴重程度的減輕,大大降低了交通事故的賠償費用和道路建成后的維護改進費用。
四、道路安全審計的內容及步驟
(一)道路安全審計是從道路因素方面著手,預防交通事故、降低事故產生的可能性和嚴重性 ,對道路項目建設的全過程進行全方位的安全審核 ,從而揭示道路發生事故的潛在危險因素及安全性能 ,是國際上近期興起的以預防交通事故和提高道路交通安全為目的的一項新技術手段.
(二)道路安全審計是指對現有道路、未來道路、交通工程以及與道路使用者有關的工程進行正式的審計。審計的對象既包括擬建的道路項目,又包括已有各種不同類型的道路及設施;既可以是大型的、綜合性的高速公路項目,又可以是小型的,如1個道路交叉口或1個限速檻。
(三)道路安全審計要貫穿于項目的規劃、設計、施工和營運期的整個過程中。道路設計建設程序可將擬建道路安全審計劃分為五個階段:可行性階段、初步設計階段、施工圖設計階段、預通車階段和通車后安全審計。其中每個階段審計均是一次完整的審計過程,每個階段都應嚴格按照安全審計的實施步驟并參照審計條目來執行。審計清單是作為道路安全審計的輔助手段,是有關道路方面知識和經驗的綜合產物,可使審計者在安全審計時免于遺漏某些重要的東西,同時也可使設計者在設計時發現潛在安全問題。道路安全審計表單內容的關聯因素具體表現為道路及其環境因素對交通安全的影響,與交通安全相關的道路及其環境因素有許多,項目通過不同等級公路、在不同道路影響因素的各個方面進行了分析與研究。研究結果表明:道路的種類與規格、路線和線形、路基路面、交通工程設施等與道路交通安全的關聯緊密。因此,對道路進行安全審計時,應當分別從工程的整體情況、路線線形、路基路面、橋梁涵洞、平面交叉、立體交叉、隧道、交通工程及沿線設施、環境因素、道路使用者、出入口和周邊開發地區等方面來進行。
(四)道路安全審計的每個實施階段都是一個完整的審計過程,應當依次執行選擇審計隊伍、收集背景信息、開工會議、評價分析、現場考察、編寫審計報告、完工會議、跟蹤測評的步驟。每個步驟中的工作內容必須與具體審計項目的性質和規模相適應。對于規模較小、交通安全問題較清楚的項目,有的步驟可以簡化,但不能省略,且總的流程次序不能改變。例如,對一些小規模項目的審計就不需要召開專門的開工會議,只需幾個電話通知聯絡一下即可,而且審計組提交的書面報告也應當盡可能的簡潔;而對于一個大型道路項目的安全審計,其過程可能會包括若干次會議、大量的計劃以及詳細的最終審計報告。
關鍵詞:數據庫;安全審計;安全插件
中圖分類號:TP311.13
數據庫系統信息規模化發展勢頭強勁,數據庫的應用日益廣泛,涉及到銅礦產業方方面面,給公司帶來了實實在在的收益,同時也深刻反映了公司對信息系統的巨大依賴性,對產業研究和生產起到了重要的引導作用,當今數據庫的安全問題變得尤為重要。
1 數據庫安全總體架構
1.1 數據庫系統設計思路
數據庫安全系統的重點是解決安全審計和安全插件問題,對來自網絡和本地的用戶對數據庫的操作行為進行審計,及時識別和發現其中是否對數據庫系統構成威脅,系統提出了用安全插件來提高數據庫安全性的設計方案。安全插件采用阻斷非法用戶訪問進入系統來保障數據庫信息的安全性和可控性。
1.2 數據庫系統設計目標
(1)高安全性:對于一些重要的機密的數據,足夠的加密強度,在共享環境下保證數據所有者的安全。
(2)統一審計:對日志數據庫進行統一審計、客戶端訪問數據庫集中控制;事后可以整合信息分析導致數據庫出現異常的一系列行為,追蹤攻擊者的來源提供依據。
(3)權限管理:將管理權限集中管理,由系統安全審計引擎統一進行設置、解析。
1.3 方案總體設計
數據庫安全系統總體構架見圖1
圖1
數據庫安全審計系統是通過以網絡審計為主,兼容數據庫本地審計的方式。數據庫審計監管系統將從網上采集到的信息包發送到前臺審計監管平臺上的數據庫日志,通過后臺的審計監管服務器對數據包進行分析,為管理者和系統管理員提供及時、準確、詳細的數據異動信息,發現工作中的越權、違規、過失、惡意篡改等操作反饋在審計監管管理平臺上,實現對數據庫系統安全狀況的全面審計,從而保障數據庫的安全.
安全插件是在數據庫管理系統外的安全防護罩,登陸數據庫系統的用戶訪問應用服務器時,系統自動彈出提示,用戶按照提示安裝安全插件。安全插件截獲數據庫各種訪問接口的訪問請求,對用戶訪問控制進行安全審核,將允許訪問的命令送到數據庫管理系統,系統插件自動對用戶訪問行為做出安全級別的評價,根據安全級別評價的提示對用戶進行認證和監控控制。如果系統發現非法用戶的指令,則安全插件將自動切斷用戶對數據庫的。
1.4 數據庫系統技術路線
數據庫安全系統是采用自主研發安全插件與數據庫安全審計,并與傳統系統相結合的路線,解決支路安全設備的阻斷問題。
(1)系統安全插件可自動獲取用戶的IP地址、MAC、PC名以及操作系統類別和系統軟件等信息,監控中心發出指令,防止非授權的用戶訪問數據庫系統。安全插件具有超高安全性,卸載、刪除安全插件系統將自動彈出預警提示,防止非法操作破壞系統的安全性。
(2)解決旁路安全產品的阻斷問題
本系統采用數據庫審計系統和安全插件的技術,可以成功解決旁路安全設備的阻斷問題。即在用戶訪問數據庫前假設個“關卡”,所有要訪問數據庫的操作都需先經過審計監控系統,只有審計監控系統授權才能夠對數據庫進行訪問。安全插件接收監控系統的指令,阻止非授權的用戶對數據庫服務器的訪問。與數據庫審計系統進行聯動,對數據庫用戶的越權訪問進行阻斷和報警。
(3)系統集成與安全審計和安全插件的聯合應用
數據庫系統安全創新之處在于:數據庫集成與安全審計和安全插件管理系統相結合,做到系統兼容、風格一致、界面協調。集成后的系統操作界面由兩部分組成:數據庫審計子系統和數據庫用戶管理子系統,兩個子系統相得益彰,用戶操作快捷,方便系統管理。
(4)系統的聯動
通過數據庫系統管理平成前、后臺審計的安全策略和若干審計引擎設置相結合的管理方式,操作簡便快捷和安全性高。審計引擎作為數據庫安全的重要組成部分與審計監管系統聯動,對個別服務器終端作相應的共享。
1.5 數據庫系統功能實現
(1)支持對SQL Server、Oracle、informix、MYSQL數據庫類型的審計監控分析。
(2)系統提供用戶需要配置條件。不同性質的用戶可按一定的范圍對特定主機和特定網段進行監控,從而保證用戶能夠按照自己的需求實施監控。
(3)系統支持數據庫服務器的事件統計、安全報警功能。
(4)數據庫系統可生成安全報表:直觀、簡潔、豐富。
(5)系統采用多級用戶管理體系,包括系統管理員、普通管理員、一般用戶三種權限用戶,不同級別的用戶之間彼此制衡,保證了系統安全性和可控性.
2 系統應用效果
自數據庫安全系統運行以來,自動提示用戶安裝的安全插件近70多個,能夠對保護的數據庫服務器的訪問進行審計和監控。數據庫安全系統對于科研和生產發揮了巨大的作用,取得了很好的效果。
數據庫安全系統的實施較好地解決了信息資源的安全問題和可控問題,主要體現在以下四個方面:
(1)在數據庫系統的外網增加了一道安全屏障,實時監控分析,攔截非法用戶的入侵,通過數據庫系統審計平臺管理,有效防止重要數據的破壞和泄漏。
控制非法用戶對數據庫系統強行的訪問,全面記錄用戶對數據庫的所有操作行為,通過系統安全插件提前預警,杜絕用戶違規操作的問題。
數據庫系統提供用戶查詢權限范圍內的數據信息,通過日志列表查詢和事件列表查詢,對每條事件信息進行審計,監控分析用戶的具體操作行為是否對數據庫系統構成威脅,并且導出系統原始數據為管理人員全面掌握數據庫資源安全使用情況提供科學的依據.
可按時間周期來評定系統審計事件的強、中、弱三個級別的數量,以及日志數和會話的信息。
3 結語
數據庫安全系統伴隨著網絡的更高層次利用,需要進一步加強信息資源安全審計和監控,數據庫系統安全管理是一項長期而艱巨的工作。信息安全是涉及公司產業發展和公司安全的重大問題。數據庫安全系統部署了審計數據處理中心、安全管理系統控制臺、多臺數據庫審計系統、及大量的數據庫安全插件,保障數據庫信息的有效性和合法性。規范了用戶訪問行為,加強了安全審計、風險級別評價工作,從而更有力保障數據庫系統的安全。
參考文獻:
[1]王永祥.論企業數據安全保護方案[J].網絡安全技術與應用,2011(61):13-14.
【關鍵詞】網絡安全邊界
一、基礎設施安全
全網系統基礎設施安全就是網絡平臺全部子系統的安全。為確保全網系統網絡平臺的長期穩定運行,建議部署網絡管理系統,對整全網系統網絡平臺進行統一的管理。同時需要對網絡設備進行安全配置。
1.1網絡管理中心
為了全網系統網絡在日常維護和處理事件時能做到全面、直觀、及時。能夠對網絡進行統一的管理,需要有一個統一的網絡安全管理平臺,能夠內嵌和調用相關產品的監管系統,通過遠程對不同設備進行實時監控和分析,監控這些設備的硬件狀態、網絡流量、異常、故障等狀態信息,并提取這些信息,按既定的策略進行分析,最終以直觀的方式展示出來,使管理者實時直觀的了解全網運行情況。同時還可以設定相關的報警功能,設定一定的策略,當出發策略被激活后自動以各種方式進行報警,并及時自動通知和提示管理者的問題所在及相應的決策支持信息。
一套完全集成的、能夠支持多平臺基礎結構、能夠容納第三方產品并且提供開放標準的管理工具是網絡監管所必須的。目前流行的網管平臺有兩種類型,即基于SNMP的網管平臺和基于CMIP的網管平臺,其中前者主要用于計算機網絡和系統的管理,后者用于電信網絡的管理。
1.2核心入侵檢測
由于全網上傳輸的信息數據量大,帶寬要求高,同時對各級核心IDS的性能和穩定要求也非常的高,所以對于IDS檢測引擎要求必須選型為千兆的高速引擎,并且部署方式為分布式,支持IDS管理中心的統一管理。通過采用千兆的核心IDS系統,可以在漏報率極低的情況下進行實時檢測,保證全網系統各級中心主干網的安全。各級核心IDS的部署是保證全網系統的基礎網絡安全的基本監控措施。
二、全網邊界安全
邊界安全措施是任何一個信息系統的基本安全措施,也是保障全網系統安全的第一步。全網系統的邊界安全措施主要包括三個方面:邊界的定義、邊界的隔離和訪問控制、邊界的入侵檢測。
2.1邊界定義
安全訪問控制的前提是必須合理的建立安全域,根據不同的安全需求建立不同的安全域。安全域的建立可以從物理上和邏輯上分別劃分安全域。在物理上將信息系統從地域上獨立出來,劃分不同物理區域。在邏輯上將信息系統或用戶分組,指定不同的訪問權限。
安全域邊界定義對目前及日后全網系統的安全運行都是非常重要的因素,同時也是建立全網系統等級保護安全保障體系的基礎措施。只有合理的劃分了安全域,才能有效的采取系統分域技術手段保證全網系統的安全。
2.2邊界隔離和訪問控制
安全域定義完成后,就是如何設計各安全域間的邊界控制問題。一般對于邊界的控制主要有兩種,物理隔離和邏輯隔離。針對全網的信息交換需求,安全域間通過防火墻實現邊界隔離。這是用在信任網絡和不信任網絡之間的一種訪問控制技術,主要有應用、包過濾兩種形式的防火墻設備。
利用防火墻的目的主要有兩個:一是控制全網系統各級網絡用戶之間的相互訪問,規劃網絡的信息流向,另一個目的是起到一定的隔離作用,一旦某一子網發生安全事故,避免波及其他子網。
2.3邊界入侵行為檢測
由于我國信息化起步較晚,在網絡安全概念里,許多人都認為網絡安全就是為網絡增配配防火墻,至今許多單位依然是這樣實施的。這種想法是不全面的,防火墻的部署,僅能在網絡邊界起到安全作用,防火墻是主要是為了防止網絡外部的入侵,等同于網絡的第一道關卡。只能阻止來自外部的部分通用型攻擊;不能對內部進行防范,而堡壘往往是從內部攻破的,而這去正好是防火墻的盲區。這就需要有專用設備彌補不足,在全網的關鍵位置部署入侵防御系統(IPS),對所有通過的數據進行監控和分析,為網絡安全提供既時有效的入侵防范,并采取有針對性的有效防護手段。
關鍵詞: 涉密網絡;安全審計;主機審計;系統設計
1 引 言
隨著網絡與信息系統的廣泛使用,網絡與信息系統安全問題逐漸成為人們關注的焦點。
涉密網與因特網之間一般采取了物理隔離的安全措施,在一定程度上保證了內部網絡的安全性。然而,網絡安全管理人員仍然會對所管理網絡的安全狀況感到擔憂,因為整個網絡安全的薄弱環節往往出現在終端用戶。網絡安全存在著“木桶”效應,單個用戶計算機的安全性不足時刻威脅著整個網絡的安全[ 1 ] 。如何加強對終端用戶計算機的安全管理成為一個急待解決的問題。
本文從系統的、整體的、動態的角度,參照國家對安全審計產品的技術要求和對部分主機審計軟件的了解,結合實際的信息安全管理需求,討論主機審計系統的設計,達到對終端用戶的有效管理和控制。
2 安全審計概念。
計算機網絡信息系統中信息的機密性、完整性、可控性、可用性和不可否認性,簡稱“五性”,安全審計是這“五性”的重要保障之一[2 ] 。
凡是對于網絡信息系統的薄弱環節進行測試、評估和分析,以找到極佳途徑在最大限度保障安全的基礎上使得業務正常運行的一切行為和手段,都可以叫做安全審計[3 ] 。
傳統的安全審計多為“日志記錄”,注重事后的審計,強調審計的威懾作用和安全事件的可核查性。隨著國家信息安全政策的改變,美國首先在信息保障技術框架( IA TF) 中提出在信息基礎設置中進行所謂“深層防御策略(Defense2in2Dept h St rategy) ”,對安全審計系統提出了參與主動保護和主動響應的要求[4 ] 。這就是現代網絡安全審計的雛形,突破了以往“日志記錄”
等淺層次的安全審計概念,是全方位、分布式、多層次的強審計概念,符合信息保障技術框架提出的保護、檢測、反應和恢復( PDRR) 動態過程的要求,在提高審計廣度和深度的基礎上,做到對信息的主動保護和主動響應。
3 主機審計系統設計。
安全審計從技術上分為網絡審計、數據庫審計、主機審計、應用審計和綜合審計。主機審計就是獲取、記錄被審計主機的狀態信息和敏感操作,并從已有的主機系統審計記錄中提取信息,依據審計規則分析判斷是否有違規行為。
一般網絡系統的主機審計多采用傳統的審計,涉密系統的主機審計應采用現代綜合審計,做到對信息的主動保護和主動響應。因此,涉密網絡的主機審計在設計時就應該全方位進行考慮。
3. 1 體系架構。
主機審計系統由控制中心、受控端、管理端等三部分組成。管理端和控制中心間為B/ S架構,管理端通過瀏覽器訪問控制中心。對于管理端,其操作系統應不限于Windows ,瀏覽器也不是只有IE。管理端地位重要,應有一定保護措施,同時管理端和控制中心的通訊應有安全保障,可考慮隔離措施和SHTTP 協議。
主機審計能夠分不同的角色來使用,至少劃分安全策略管理員、審計管理員、系統管理員。
安全策略管理員按照制定的監控審計策略進行實施;審計管理員負責定期審計收集的信息,根據策略判斷用戶行為(包括三個管理員的行為) 是否違規,出審計報告;系統管理員負責分配安全策略管理員和審計管理員的權限。三員的任何操作系統有相應記錄,對系統的操作互相配合,同時互相監督,既方便管理,又保證整個監控體系和系統本身的安全。控制中心是審計系統的核心,所有信息都保存在控制中心。因此,控制中心的操作系統和數據庫最好是國內自己研發的。控制中心的存儲空間到一定限額時報警,提醒管理員及時備份并刪除信息,保證審計系統能夠采集新的信息。
3. 2 安全策略管理。
不同的安全策略得到的審計信息不同。安全策略與管理策略緊密掛鉤,體現安全管理意志。在審計系統上實施安全策略前,應根據安全管理思想,結合審計系統能夠實現的技術途徑,制定詳細的安全策略,由安全員按照安全策略具體實施。如安全策略可以分部門、分小組制定并執行。安全策略越完善,審計越徹底,越能反映主機的安全狀態。
主機審計的安全策略由控制中心統一管理,策略發放采取推拉結合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。當安全策略發生更改時,控制中心可以及時將策略發給受控端。但是,當受控端安裝了防火墻時,推送方式將受阻,安全策略發送不到受控端。由受控端向控制中心定期拉策略,可以保證受控端和控制中心的通訊不會因為安裝個人防火墻或其他認證保護措施而中斷。聯網主機(服務器、聯網PC 機) 通過網絡接收控制中心的管理策略向控制中心傳遞審計信息。單機(桌面PC 或筆記本) 通過外置磁介質(如U 盤、移動硬盤) 接收控制中心管理策略。審計信息存放在主機內,由管理員定期通過外置磁介質將審計信息傳遞給控制中心。所有通訊采用SSL 加密方式傳輸,確保數據在傳輸過程中不會被篡改或欺騙。
為了防止受控端脫離控制中心管理,受控端程序應由安全員統一安裝在受控主機,并與受控主機的網卡地址、IP 地址綁定。該程序做到不可隨意卸載,不能隨意關閉審計服務,且不影響受控端的運行性能。受控端一旦安裝受控程序,只有重裝操作系統或由安全員卸載,才能脫離控制中心的管理。聯網時自動將信息傳到控制中心,以保證審計服務不會被繞過。[ hi138\Com]
3. 3 審計主機范圍。
涉密信息系統中的主機有聯網主機、單機等。常用操作系統包括Windows 98 ,Windows2000 ,Windows XP ,Linux ,Unix 等。主機審計系統的受控端支持裝有不同操作系統的聯網主機、單機等,實現使用同一軟件解決聯網機、單機、筆記本的審計問題。
根據國家有關規定,涉密信息系統劃分為不同安全域。安全域可通過劃分虛擬網實現,也可通過設置安全隔離設備(如防火墻) 實現。主機審計系統應考慮不同安全域中主機的管理和控制,即能夠對不同網段的受控端和安裝了防火墻的受控端進行控制并將信息收集到控制中心,以便統一進行審計。同時能給出簡單網絡拓撲,為管理人員提供方便。
3. 4 主機行為監控。
一般計算機使用人員對計算機軟硬件尤其是信息安全知識了解不多,不清楚計算機的安全狀態。主機審計系統的受控端軟件應具有主機安全狀態自檢功能,主要用于檢查終端的安全策略執行情況,包括補丁安裝、弱口令、軟件安裝、殺毒軟件安裝等,形成檢查報告,讓使用人員對本機的安全狀況有一個清楚的認識,從而有針對性地采取措施。自檢功能可由使用人員自行開啟或關閉。檢查報告上傳給控制中心。
主機審計系統對使用受控端主機人員的行為進行限制、監控和記錄,包括對文檔的修改、拷貝、打印的監控和記錄,撥號上網行為的監控和記錄,各種外置接口的禁止或啟用(并口、串口、USB 接口等) ,對USB 設備進行分類管理,如USB 存儲設備(U 盤,活動硬盤) 、USB 輸入設備(USB 鍵盤、鼠標) 、USB2KEY以及自定義設備。通過分類和靈活設置,增強實用性,對受控主機添加和刪除設備進行監控和記錄,對未安裝受控端的主機接入網絡拒絕并報警,防止非法主機的接入。
主機審計系統對接入計算機的存儲介質進行認證、控制和報警。做到經過認證的合法介質可以從主機拷貝信息;未通過認證的非法介質只能將信息拷入主機內,不能從主機拷出信息到介質內,否則產生報警信息,防止信息被有意或者無意從存儲設備(尤其是移動存儲設備) 泄漏出去。在認證時,把介質分類標識為非密、秘密、機密。當合法介質從主機拷貝信息時,判斷信息密級(國家有關部門規定,涉密信息必須有密級標識) ,拒絕低密級介質拷貝高密級信息。
在認證時,把移動介質編號,編號與使用人員對應。移動介質接入主機操作時記錄下移動介質編號,以便審計時介質與人對應。涉密信息被拷貝時會自動加密存儲在移動介質上,加密存儲在移動介質上的信息也只能在裝有受控端的主機上讀寫,讀寫時自動解密。認證信息只有在移動介質被格式化時才能清除,否則無法刪除。有防止系統自動讀取介質內文檔的功能,避免移動介質接在計算機上(無論是合法還是非法計算機) 被系統自動將所有文檔讀到計算機上。
3. 5 綜合審計及處理措施。
要達到綜合審計,主機審計系統需要通過標準接口對多種類型、多個品牌的安全產品進行管理,如主機IDS、主機防火墻、防病毒軟件等,將這些安全產品的日志、安全事件集中收集管理,實現日志的集中分析、審計與報告。同時,通過對安全事件的關聯分析,發現潛在的攻擊征兆和安全趨勢,確保任何安全事件、事故得到及時的響應和處理。把主機上一個個原本分離的網絡安全產品聯結成一個有機協作的整體,實現主機安全管理過程實時狀態監測、動態策略調整、綜合安全審計、數據關聯處理以及恰當及時的威脅響應,從而有效提升用戶主機的可管理性和安全水平,為整體安全策略制定和實施提供可靠依據。
系統的安全隱患可以從審計報告反映出來,因此審計系統的審計報告是很重要的。審計報告應將收集到的所有信息綜合審計,按要求顯示并打印出來,能用圖形說明問題,能按標準格式(WORD、HTML 、文本文件等) 輸出。但是,審計信息數據多,直接將收集的信息分類整理形成的報告不能很好的說明問題,還應配合審計員的人工分析。這些信息可以由審計員定期從控制中心數據庫備份恢復。備份的數據自動加密,恢復時自動解密。審計信息也可以刪除,但是刪除操作只能由審計員發起,經安全員確認后才執行,以保證審計信息的安全性、完整性。
審計系統發現問題的修復措施一般有打補丁、停止服務、升級或更換程序、去除特洛伊等后門程序、修改配置和權限、專門的解決方案等。為了保證所有主機都能得到有效地處理,通過控制中心統一向受控端發送軟件升級包、軟件補丁。發送時針對不同版本操作系統,由受控端自行選擇是否自動執行。因為有些軟件升級包、軟件補丁與應用程序有沖突,會影響終端用戶的工作。針對這種情況,只能采取專門的解決方案。
在復雜的網絡環境中,一個涉密網往往由不同的操作系統、服務器,防火墻和入侵檢測等眾多的安全產品組成。網絡一旦遭受攻擊后,專業人員會把不同日志系統里的日志提取出來進行分析。不同系統的時間沒有經過任何校準,會不必要地增加日志分析人員的工作量。系統應提供全網統一的時鐘服務,將控制中心設置為標準時間,受控端在接收管理的同時,與控制中心保持時間同步,實現審計系統的時間一致性,從而提供有效的入侵檢測和事后追查機制。
4 結束語
涉密系統的終端安全管理是一個非常重要的問題,也是一個復雜的問題,涉及到多方面的因素。本文從體系架構、安全策略管理、審計主機范圍、主機行為監控、綜合審計及處理措施等方面提出主機審計系統的設計思想,旨在與廣大同行交流,共同推進主機審計系統的開發和研究,最終開發出一個全方位的符合涉密系統終端安全管理需求的系統。
參考文獻
[1 ] 網絡安全監控平臺技術白皮書。 北京理工大學信息安全與對抗技術研究中心,2005.
[2 ] 王雪來。 涉密計算機信息系統的安全審計。 見:中國計算機學會信息保密專業委員會論文集,13 :67 - 72.
關鍵詞:企業安全審計系統;模塊設計;測試模型
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2016)22-0049-02
1 概述
隨著國家改革開放的不斷深入,互聯網的應用深入到了企業工作中的各個方面,企業發展面臨著前所未有的挑戰。企業員工通過互聯網辦公的行為越來越多,互聯網在方便企業員工的同時,也帶來了員工工作效率低下、容易泄露企業秘密,造成企業的網絡安全沒有保障,企業的信息資源網絡泄密等風險。企業安全掃描過程漫長、排查隱患不合理、問題定位不精確、掃描缺乏深度、安全結論模糊等一系列業技術難題。這在很大程度上影響了公司的進一步發展。本系統正是在這種背景之下提出的。集中表現在以下幾個方面:
1)提高了企業的經營質量和效率。
2)提高企業員工辦公的工作效率,加強企業互聯網使用制度管理。
3)降低企業的人員管理成本,減少人為因素和管理缺失造成的關鍵業務停頓造成的損失。
4)降低企業泄密事件風險,為企業的互聯網環境提供安全保障。
5)管理部門應加強對員工互聯網通信數據和通話內容的監管、審計。
2 企業安全審計系統的需求分析與設計
通過調查,要求系統需要有以下功能;1)有良好的人機界面,有較好權限管理;2)系統操作簡單,容易學習,容易理解,快速上手使用系統;3)系統數據安全加密、系統具有數據備份和數據還原功能;4) 方便的全方位的數據查詢;5)審計數據的瀏覽和下載;6)企業工作電話的通話內容錄制;7)非工作互聯網網絡站點的訪問;8)企業員工網絡數據瀏覽的統計和分析。
通過對企業需求的分析得出,需要設計的模塊為:系統狀態監控、設置向導、員工網絡行為監控、員工通話記錄、員工上網行為過濾、員工網絡數據統計分析、系統管理七大模塊。
3 企業安全審計系統的模塊規劃與詳細設計
安全審計系統是一個典型的數據庫開發與應用的程序,能夠通過互聯網上網的技術手段對員工互聯網行為進行監督、審計和管理,避免企業重要信息資源泄露,以及發生泄密事件后能夠溯源找到相關證據和原因提供技術層面的支持。其相關的模塊等部分是本系統的重要組成部分,特此規劃本系統的功能模塊如下:
系統狀態監控模塊
該模塊主要負責系統的接入方式、數據來源的管理狀況;員工網絡行為監控的狀態和現在的工作模式;員工通話記錄的監控的啟用和停止狀態;員工上網行為過濾的啟用和停止狀態。
設置向導模塊
該模塊主要負責系統監管內容設置、系統互聯網接入方式設置、系統用戶使用權限設置、員工互聯網數據監控設置、員工通話記錄設置、員工上網行為過濾設置。
員工網絡行為監控
該模塊主要負責對員工網絡行為監控的基本設置;啟用和停止監控;網絡行為的回放、審計和下載――支持對上網時間、IP、URL、MAC、關鍵字、上網賬號、上網電話、郵件類型進行回放、審計和下載。支持對http上傳、http下載、https、smtp、pop3、telnet、ftp、qq、msn、skype、微信、飛信、qq傳輸文件、web郵件傳輸、web網站訪問、sohu微博、sina微博、其他未知協議跟蹤等具體的按協議分類的回放、審計和下載;員工上網身份查詢;員工網絡行為實時回放、審計和下載。
員工通話記錄模塊
該模塊主要負責員工辦公室固定電話通話內容回放;通話內容記錄啟用和停止設置。
員工上網行為過濾模塊
該模塊主要負責員工上網行為過濾規則的設置――支持對ip、mac、端口、url、http、組合策略(ip+端口、mac+端口)等規則進行過濾和放行;過濾行為啟用和停止設置。
員工網絡數據統計和分析模塊
該模塊主要負責員工網絡數據時間統計和分析――支持對ip、mac、賬號的統計和分析;員工網絡數據軌跡統計和分析――支持對ip、mac、賬號的統計和分析;
系統管理模塊
該模塊主要負責權限管理、數據備份、數據還原、版本升級、設備狀態、關閉設備、工具下載、操作日志審查。
其他功能模塊
該模塊主要負責系統版本信息、重新登錄、退出系統。
4 軟件開發過程
本系統的開發結合軟件信息系統的開發階段分為下面4個子階段:需求分析階段、架構設計階段、程序編碼階段、系統測試和調試階段。
1)分析階段
進行需求分析(requirement analysis):理解問題需求,包括程序是否需要和用戶進行交互,是否操縱數據,是否有輸出結果以及輸出結果的格式等等。如果程序需要對數據進行操作,開發人員必須了解數據類型及它們的表示方法。這時候可能會接觸一些樣本數據。如果程序有輸出信息,必須確定它們所生成的結果及輸出格式等;如果需要解決的問題過于復雜,可以把它分解為多個子問題,在對每個子問題做相應的需求分析。
2)設計階段
結構化設計方法
將一個問題分解為若干個子問題的方法叫做結構化設計方法。結構化設計方法又叫做自頂向下的設計方法、逐步求精方法和模塊化程序設計方法。在結構化設計方法中,問題被分解為若干子問題,然后分別對每個子問題進行分析和求解。所有子問題的解合并起來就是原始問題的解。使用結構化設計方法進行編程就叫做結構化程序設計。
面向對象設計方法
在面向對象設計方法中,求解問題的首要步驟是識別稱為“對象”的組件(它是運用該方法求解問題的基礎)和確定對象之間如何進行交互。對象包括數據和在數據上執行的操作。對象可以看作數據和其上操作的統一體。使用面向對象方法編程,最終的程序是交互對象的集合。實現面向對象設計方法的編程語言叫做面向對象程序設計語言。
3)編程階段
在編程階段,編寫和編譯程序代碼,以實現在設計階段分析得到的類和函數。
4)測試和調試
系統測試是保證軟件開發質量的主要手段,測試目的不在于找出錯誤,而在于遍歷軟件系統各功能和邊界條件,保障軟件系統的正常工作和運行,是評價系統軟件質量的重要方法之一。
5 軟件開發模型(方法)
本系統開發采用增量的軟件開發模型來實現系統各功能模塊。
1)瀑布模型
該模型嚴格按照需求分析、軟件設計、程序編碼、系統測試、運行和維護一級一級的向下執行,每個階段必須經過階段性評審,并通過評審,再進入下一個開發階段。
2)原型方法模型
在開發的早期階段,系統需求不確定時采用。通過一個簡單的功能實現系統再進一步確認系統將要實現的各功能的一種開發模型。
3)增量模型(漸增模型)
結合了原型方法模型和瀑布模型的基本軟件開發階段,該模型首先通過早期的原型系統建立的模型,再進一步按照瀑布模型的各階段完成系統開發。再次迭代原型系統模型和階段開發模型直至系統所有功能滿足用戶需求。
6 軟件測試與維護
1)軟件測試:
測試這個術語表示檢測程序的正確性,即檢查程序是不是完成了需要完成的工作。而調試一詞指,如果程序存在錯誤,如何找到并修改錯誤。在每寫完一個函數或算法后,接下來應該驗證它是否正確工作。在復雜的大型程序中,錯誤是一定存在的。為了提高程序的可靠性,必須在交付用戶前發現并修改其中的錯誤。
測試有兩類方法,即:黑盒測試和白盒測試。使用黑盒測試方法時,您不需要知道算法或函數的內部實現,只需要知道程序的功能即可黑盒測試是基于輸入輸出的方法。它的測試用例通過創建等價類來選取。如果程序對于等價類中的某個輸入的輸出結果是正確的話,那么就認為對應該等價類中其他輸入也會輸出同樣的正確結果。白盒測試法需要測試人員遍歷測試程序的內部邏輯結構和業務處理流程的一種測試方法。常見的白盒測試方法有:基本路徑測試、循環覆蓋測試、邏輯覆蓋測試,測試的重點在于檢驗內部邏輯結構和業務實現流程。
2)軟件維護:軟件開發的工作的結果就是交付一個滿足用戶需求的軟件產品。軟件產品一旦投入應用,產品的缺陷就會逐漸的暴露出來,運行的環境會逐漸發生變化,新的用戶也會不斷地浮出水面。軟件維護就是要針對這些問題而對軟件產品進行相應的修改或演化,從而真正的修改錯誤,改善性能或其他特征。
軟件維護是整個軟件開發生命周期歷時最長得工作,主要是為了保障軟件系統的正常工作和運行直至軟件使用消亡或更新換代。軟件的維護主要可分為三種:改正性維護(糾正軟件存在的錯誤和缺陷)、適應性維護(適應內、外部環境)、完善性維護(添加、擴容和升級新的軟件功能)。
參考文獻:
[1] 沈備軍.軟件工程原理[M]. 北京:高等教育出版社,2013.
[2] 張海藩,倪寧.軟件工程[M].北京:人民郵電出版社,2010.
[3] 陳明.軟件工程導論[M].3版.北京:機械工業出版社,2010.
[4] 錢曉明,朱健江,王曉勇.軟件工程[M].北京:中國鐵道出版社,2007.
[5] 呂云翔,王昕鵬.軟件工程[M]. 北京:人民郵電出版社,2009.
[6] Carig Larman.UML和模式應用[M]. 3版. 北京:機械工業出版社,2006.
[7] Grady Booch.Object-Oriented Analysis and Design with Applications[M]. Addison Wesley Longman Publishing Co., Inc, 2003.
【關鍵詞】電子政務;平臺安全;建設中圖分類號:TP39
文獻標識碼:A
文章編號:1006-0278(2015)02-112-02
一、基于安全的平臺物理構架
數據安全的定義存在對立的兩個層而:一是針對數據本身的安全,數據本身的安全可以通過使用獨特的不為外人所知的密碼算法對數據信息進行加密;二是數據防護層而的安全,它的主要方法是利用先進的儲存方式對數據進行防護,目前常用的儲存方式有磁盤陣列、數據備份、異地容災等。通過對信息進行加密算法傳輸,并且采取先進的儲存方式,一般來講可以保證數據的安全。
在數據的處理過程中可能會出現因為電路故障引起的硬件障礙,服務中斷、程序的錯誤進行,以及人為的錯誤操作,或者外部網絡的黑客入侵、病毒感染等問題而導致數據丟失或者數據庫受到破壞。同時不同的數據只有擁有權限的人員才能瀏覽,而有些不具備權限的人員進行瀏覽之后,可能會出現數據外泄的情況。
數據儲存也應該具備安全性。一些數據庫的運行是公開的,這方而的編程人員通過一些常規手段,都能夠對數據庫中的信息進行瀏覽或閱讀,如果這些人中有人對數據進行了修改也是很正常的。而一旦這些信息落入了非法訪問者手中,那么就會使內部信息外泄,給整個系統帶來重大的威脅。
數據安全具備以下特點:
1.機密性(Confidentiality)。機密性,又稱保密性,是指信息的獲取需要一點的權限,不能被隨意獲得。在電腦程序中,網絡瀏覽器和一些網站都有加密設置,這樣的目的是為了保證用戶信息的安全;2完整性(Integrity)。完整性是指數據在傳送和儲存的過程中,數據信息不被非法用戶篡改或獲取,它是信息安全的二個基本要點之一。完整性和保密性往往容易被混淆。以普通RSA對數值信息加密為例,非法用戶如果沒有獲得授權,也能夠通過保密文件的線性計算來對數值的信息進行更改。為保證信息的安全,通過散列函數和數字簽名可以對文件進行保護;3可用性(Availability)。數據可用性是指數據的可讀性,它的設計理念是以使用者為中心,它的重點是根據使用者的要求對產品進行相應的設計。
對信息安全的認識經歷了的數據安全階段(強調保密通信)、網絡信息安全時代(強調網絡環境)和信息保障時代(強調不能被動地保護,需要有保護
檢測
反應
恢復四個環節)。
二、平臺網絡安全威脅
能夠對數據的安全帶來威脅的因素是五花八門的,而以下幾而方而的威脅是最為普遍的:
(一)硬盤驅動器損壞
硬盤驅動器一旦損壞,通過這一驅動器運行的數據就會丟失。而設備運行過程中的損耗、運行環境的破壞和存儲媒介的失效甚至是人為損害都會引起硬盤驅動器損壞。
(二)人為錯誤
人為操作錯誤的因素有可能造成系統運行參數的改變,誤刪除一些重要文件。
(三)黑客
黑客通過遠程操作計算機可能對電腦進行一些不安全的更改,從而威脅計算機數據的安全。
(四)病毒
病毒是大家目前熟悉的一種安全威脅,病毒能夠對計算機系統造成很大的破壞。這幾年各種病毒的產生,是大家對于病毒的危害的理解越來越深刻,病毒的強感染性和強的傳播性是其成為了威脅系統安全的主要元兇。
(五)信息竊取
信息的竊取是導致數據安全的又一大原因,因為復制、盜取等手段會對計算機的數據造成威脅。
(六)自然災害
地震、火災等無法預料的自然災害會造成整個系統的覆滅,從而帶來無法挽回的損失。
(七)電源故障
電力的不穩,例如突然的斷電等故障會使硬盤設施中的數據丟失。
(八)磁干擾
磁性較強的東西會對計算機數據造成毀滅性的的傷害。
三、平臺數據安全防護措施
電子數據安全審計是一個操作記錄,主要記錄的是用戶在系統中進行的操作,這種做法的目的是為了在發現違規操作后,能夠追查到責任人。
電子數據安全審計過程可分成二步來實現:第一步,整理用戶對系統進行的操作,對操作過程進行記錄;第二步,根據操作的記錄分析是否存在違規行為;第三步,發現問題,采取處理措施。
電子數據安全審計工作同防火墻等手段的意義是一樣的。用戶在系統內的計算機上進行的所有行為包括上下機的時間,與系統內的敏感的信息。數據的接觸都能夠在日志文件中查找到,這一措施是為了對操作行為進行分析同時一旦發現了不安全因素便于查找并確定事故責任,這也為增強系統安全提供了預防作用。
(一)審計技術
電子數據安全審計技術可分二種:系統技術的了解,驗證處理技術和處理結果的驗證。
1了解系統技術。審計人員可以借助閱讀相關的技術介紹和查閱程序表和控制流程來了解系統技術。
2.驗證處理技術。系統指令能夠正確的執行主要取決于這一技術。該技術由實際測試和性能測試兩部分組成,實現方法主要有:
(1)事務選擇。根據制定的審計標準的不同,審計人員可以選擇不同的事務樣板來進行認真的了解。樣板的選擇可以是隨機的,也可以通過操作系統的事務管理部件自動引用。
(2)測試數據。測試數據是程序測試的擴展,系統自動生成了準備處理的事務。審計人員可以通過一些方法來預測結果的正確性,并將得出的結果與實際的結果相對比。使用這種方法的時候,審計人員必須通過系統來檢驗處理過的檢測的數據。除了上述的方法,還可以使用事務標志、跟蹤、綜合測試等方法。
(3)并行仿真。審計人員主要借助某一應用程序來模擬操作系統的主要功能。將模擬出的數據和給出的實際的數據相比較。仿真的成本較高,可以通過高級語言使仿真模擬與實際的應用相接近。
(4)驗證處理結果技術。在這一過程中,審計人員的工作重點不是對于數據的處理而是數據本身,這里有兩個方而需要重點考慮:一是數據的選取。將審計數據收集技術結合到應用程序審計模塊中,應用程序審計模塊的功能是依據給定的標準來收集數據;建立全部的審計跟蹤;借用于日志恢復的備份庫;借助審計庫的記錄來抽取設施,它能夠隨機的選擇屬性值相似的文件進行記錄,并將其放在工作文件中,為以后的分析提供便利;利用數據庫管理系統的查詢設施抽取用戶數據。二是數據內容的尋找目標。一旦選定了數據,審計人員可以對控制信息進行檢查;檢查語義完整性約束;檢查與無關源點的數據。
(二)審計范圍
在整個應用系統中,審計是與其他系統獨立的。審計主要涉及的范圍是對操作系統和其他應用系統的審計。
對操作系統進行審計是為了檢測和判定操作對系統的滲透程度并且對誤操作進行識別。這一過程的基本功能為:選擇審計對象;對審計的文件進行分類并且完成自動轉換;對文件的系統完整性進行定時檢測;對信息儲存的格式和輸出的媒介進行審計;報警閥值的設置與選擇;對每日操作行為進行審計并對數據的安全性進行保護等。
應用程序審計子系統的主要功能是:針對被作為審計對象的應用程序的某些操作進行監控并且進行記錄,對記錄的記過進行分析,用以判斷是否應用程序是否受到攻擊并別修改,同時能夠判斷程序和數據的完整性;采用身份驗證和口令驗證等方法來保證應用程序的正常運行。
(三)審計跟蹤
審計跟蹤與日志恢復從本質上來講是有區別的,但是經常可以結合在一起使用。它們的主要區別是審計跟蹤能夠進行記錄,而日志恢復通常不對操作進行記錄;但根據實際的需要,審計跟蹤可以從日記恢復中得到所需要的審計信息。如果將告警功能與審計功能結合起來,那么就可以在違規的或者不合法的操作進行的當時向程序人員發出警告,以使他們能夠以最快的速度做出反應,及時的采取解決的對策,使損失降到最低。審計記錄所包含的內容主要有:操作進行的地點和時間;進行操作的用戶;事件的類型;事件結果。
根據訪問控制的類型,數據庫對于審計跟蹤的請求不加以限定。獨立的審計跟蹤保密性更強,審計人員可以對時間進行限定,但是成本比較高。
(四)審計的流程
關鍵詞:高安全操作系統;分區內核;SKPP;安全功能性需求
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9599 (2012) 20-0000-02
隨著嵌入式操作系統的使用越來越廣泛,它的安全性也越來越受關注。分區內核作為嵌入式系統的一個重要組成部分,對其安全性的要求也越來越高。SKPP(Protection Profile for Separation Kernels,分區內核保護框架)作為一種專門針對分區內核提出的安全需求標準,可滿足分區內核對高安全性的需要。使用SKPP的分區內核給任務關鍵的嵌入式系統的系統服務和應用的創建提供了高健壯性保障以及給安全相關策略的執行提供高可靠性支持。目前,使用SKPP標準設計出來的分區內核產品只有美國綠山公司的INTEGRITY-178B多級安全實時操作系統和風河公司的VXWorks MILS2,而國內對SKPP的使用還在探索階段。本文通過對SKPP的內容進行深入理解,提出了與SKPP安全功能性需求相對應的訪問控制機制的實施策略。
1 SKPP概述
2007年,美國NSA的信息可靠性理事會了一種用于描述高健壯性操作系統的安全需求規范——SKPP,它適用于經常處于安全威脅中的分區內核。SKPP要求產品的開發過程和形式化分析都十分嚴格,所以,開發者和用戶通過SKPP評估而得到的可靠性在計算機信息安全領域達到了前所未有的高度,在歷史上第一次使軟件系統能夠可信的保護財政記錄,客戶私人信息,國家秘密等重要信息[1]。因此,用它作為高安全機載操作系統的分區內核設計標準能極大提高系統的安全性和可靠性。
傳統安全內核是在一個安全操作系統中執行所有可信功能,而分區內核與此不同,系統中的所有對象和資源都應由安全策略控制,分區內部或者分區間的信息流也需由安全策略控制。在SKPP中,系統給軟件提供了高可靠性分區以及信息流控制策略,給多種結構系統提供了可配置的可信環境。例如,在一組安全系統結構中,軟件在分區內核安全策略的約束之下執行應用層安全策略。這里所說的軟件包括與多級安全相關的監視器,Guard,設備驅動,文件管理系統,傳送信息服務以及傳統操作系統,中間件,虛擬機等[1]。
SKPP為分區內核的架構和評估提供了安全功能性需求和安全保證性需求。安全功能性需求指的是由操作系統執行的安全策略。例如,一個使用SKPP標準的操作系統必須保證惡意程序不會對系統造成包括拒絕服務、竊取信息等在內的威脅。安全保證性需求反映了創建滿足高健壯性的安全可信環境所需的功能[2]。圖1說明了組成安全系統的各個部分。其中,配置功能,系統加載功能,初始化功能以及可信傳輸功能都應按照可靠性需求的要求來設計,它們建立了安全功能的初始安全狀態。在初始化結束之后,由安全功能來執行安全策略[3]。安全功能性需求是本文討論的重點。從在系統中的位置來看安全功能性需求主要包括配置數據的要求,軟件運行時的要求以及硬件要求;從在安全分區內核中功能劃分的角度來看,它分為安全審計、用戶數據保護、識別和鑒定、安全管理、安全功能保護以及資源利用六個部分。
圖1.安全系統組成
2 安全功能性需求主要內容
SKPP中的功能性需求是針對分區內核中安全功能的需求,它規定了由分區內核執行的安全策略。安全功能性需求從審計、數據保護、身份的識別和鑒定、安全功能的管理、安全功能的保護以及資源的利用[1]等六個方面全面的規定了建立安全分區內核中所需的安全功能應遵循的要求。
SKPP的安全審計部分規定了進行安全審計的時機,安全審計事件的選擇原則以及安全審計的審查方法。安全審計需求記錄、存儲和分析與安全相關活動的信息,通過檢查審計記錄結果可判斷發生了哪些安全相關活動以及哪些用戶需要對這些活動負責。
用戶數據保護部分給與用戶數據有關的系統安全功能和系統安全功能策略規定了要求。它定義了信息流控制策略,主要規定了策略控制下的主體,策略控制下的信息,引起受控信息流入、流出的主體操作,策略的控制范圍以及某些特定功能的規則。用戶數據保護部分還提出對殘余信息進行保護的要求。
識別和鑒定部分敘述了建立和核實請求用戶身份的功能需求,確保了用戶與恰當的安全屬性相聯系。授權用戶身份的正確識別,用戶和主體之間安全屬性的正確鏈接對既定安全策略的實施至關重要。識別和鑒定部分解決用戶身份的確定和核實,明確用戶在安全分區內核中的權限,賦予授權用戶與權限相匹配的安全屬性。用戶的正確識別和鑒定是其它部分(如:用戶數據保護,安全審計)實施的基礎。
安全分區內核必須給各種類型的安全管理功能提供固定的支持,而且,安全管理部分規定必須由被授權的管理者實施初始化參數定義,可信初始化,分區信息流策略的定義和執行,錯誤檢測以及反饋,可信修復,分區內核系統重配置。在安全分區內核中,分區信息流安全功能策略是根據配置向量決定的,所以只有授權主體才能夠改變配置數據。
在安全功能保護部分,SKPP主要描述了使分區內核處于安全狀態的方法。具體說來,安全功能保護規定了運行系統安全狀態測試的時機,配置數據改變的規則,重新建立安全態需要遵守的規則,系統保存安全狀態的時機,以及當系統處于非安全狀態時應做的操作。系統的安全狀態和分區信息流策略都是由配置數據生成的配置向量決定的,所以當配置數據改變時,系統應重新建立安全態并按照配置數據的說明執行分區信息流策略[4]。如圖2所示,分區內核系統通過配置工具把從用戶處獲得的配置數據轉換成配置向量,再經過一些中間步驟的轉化變成安全功能的內部配置向量,通過這些配置向量安全功能確定分區信息流控制策略,建立分區內核的安全狀態。
圖2.配置數據轉化過程
資源利用部分規定了分區能夠使用的系統內存和處理時間的限額,以及其他可預測的受限執行行為的處理時間和存儲資源的使用情況。
應用于分區內核安全的SKPP涉及分區信息保護,避免未經授權的信息的泄漏、修改和無法使用的情況發生,保護內核及信息的機密性、完整性、可用性、可審查性和抗抵賴性。SKPP安全功能性需求為實現安全功能規定了詳細的要求,通過這些要求可以從現有的方法中得出一套安全機制。只有實現這些安全機制,才能保證安全功能的有效性,從而保護目標系統的安全性。其中,訪問控制機制是分區內核實施安全功能最主要的手段,因此,訪問控制機制的實現與分區內核中安全功能的聯系是最緊密的,下面我們來討論訪問控制機制與SKPP安全功能性需求的關系。
3 安全功能性需求與訪問控制機制實施策略
在分區內核上,訪問控制技術的應用是為了保證分區外的用戶或分區內的用戶對分區資源的訪問以及對敏感信息的訪問方式而組織的安全策略[5]。訪問控制機制將防止非授權用戶使用分區內資源或以不正當的方式使用授權資源。如圖3所示,當主體需要訪問分區資源時,先向系統發出訪問資源的請求,由系統驗證主體的權限,驗證通過后才允許主體訪問相應的分區資源。
圖3.訪問控制原理
分區內核訪問控制機制的建立涉及SKPP中用戶數據保護部分的內容。其中,通過信息流控制策略部分的要求確定了信息流控制策略的控制范圍,比如可控制所有分區或者所有客體;通過信息流控制功能部分的要求確定了信息流控制策略的特定功能規則,比如明確了授權的通信模式等。為了保證被訪問客體的可用性,還涉及資源利用部分的內容,描述系統內存和處理時間的限額。
應用SKPP的安全內核,為了判斷一個主體是否具有對某客體的訪問權限,訪問控制機制須鑒別主體的身份,這涉及SKPP中識別和鑒定部分的內容。它規定了分區、主體以及與安全功能相關的資源的屬性,明確了各自的信息流權限,通過身份的識別和鑒定得出該身份所對應的訪問權限。在確認主體的身份之后,訪問控制機制可以通過該主體已被鑒別的身份使用該主體的信息(比如該主體的從屬關系信息)或者使用該主體的所擁有的權限。這涉及SKPP中安全管理部分安全屬性管理的要求,它定義了授權主體可以使用的權限,如圖4所示。
圖4.主體權限使用流程
綜上所述,訪問控制機制能夠涵蓋SKPP安全功能性需求的用戶數據保護部分、識別與鑒定部分、安全管理部分以及資源利用部分,但是不涉及安全審計和安全功能保護部分的需求。目前在機載領域,可以應用健康監控和系統重構技術來覆蓋安全審計和安全功能保護部分的需求,但是在實施細節上還需進一步探討。
4 結論
在SKPP中,系統給軟件提供了高可靠性分區以及信息流控制策略,給多種結構的系統提供了可配置的可信基礎。本文在作者深入理解SKPP內涵的基礎上的介紹了SKPP所包含的各個需求領域,并提出了能夠涵蓋SKPP大部分安全功能性需求的安全分區內核訪問控制機制的實施策略。對滿足SKPP的高安全機載操作系統的研究和設計具有一定的指導意義。
參考文獻:
[1]Information Assurance Directorate, National Security Agency, Fort George G. Meade. U.S. Government Protection Profile for Separation Kernels in Environments Requiring High Robustness, June 2007.
[2]Thuy D,Timothy E.Levin,Cynthia E.Irvine.TCX Project:High Assurance for Secure Embedded Systems. Proceedings of the IEEE International Conference on Security and Cryptography,2008.
[3]Kevin Elaphinstone,Gerwin Klein,Philip Derrin,et al.Kernel Development for High .2008.7.
[4]Timothy E. Levin, Cynthia E. Irvine, and Thuy D. Nguyen. Least privilege in separation kernels. In Proceedings of the IEEE International Conference on Security and Cryptography, Setubal, PT, August 2006.
[5]宋成勇.CC功能要求映射于系統安全措施的方法研究.成都:四川大學,2005.
[作者簡介]
