网络空间治理研究论文
计算机网络管理及发展趋势 [摘 要] 讨论了与网络管理未来发展相关的几个关键问题,即层次化、集成化、Web化和智能化及分布式网络管理方案·[关键词] 网络管理;简单网络管理协议(SNMP);公共管理信息协议(CMIP);智能化网管;分布式网管1 概述网络管理是控制一个复杂的计算机网络使得它具有最高的效率和生产力的过程·根据进行网络管理的系统的能力,这一过程通常包括数据收集———自动地或通过管理者的手动方式进行数据处理,然后提交给管理者,用于在网络操作中使用·它可能还包括分析数据并提供解决方案,甚至可能不需要打扰管理者而自动处理一些情况,进一步还可以产生对管理者管理网络有用的报告·通常,网管系统主要是由管理者和管理代理两种实体组成·网络管理员通过管理者(Manger)与管理代理(Agent)之间的交互通信而达到对网络进行管理的目的.目前网络管理协议主要有基于TCP/IP的简单网络管理协议(SNMP)和基于OSI的公共管理协议(CMIP).当前使用最广泛的是简单网络管理协议(SNMP),该协议简单,易于实现且具有良好的可扩充性,是工业界事实上的网管协议标准·[1]随着计算机网络的复杂性愈来愈大,要求网络管理的性能愈来愈高,网络管理的面貌正在发生变化,传统的网络管理应用主要集中在由国际标准化组织(ISO)所定义的5种网络管理功能领域:性能管理、故障管理、配置管理、安全管理、记费管理·虽然性能管理、故障管理及配置管理已经减轻了网络管理人员的大多数负担,但在过去的几年里企业网络的快速发展出现了种种新的需求,使现有的集中式网络管理应用无法胜任·以前的网络管理基本上是一种集中式的、单序的、反应式方法,它注重的是具体设备的监控,而且对于价格昂贵的广域网连接设备没有反应·今天的企业网络在重大的企业及机构中至关重要·这些网络本身也在不断地变化,以满足他们所服务的机构的种种需求·在客户机-服务器计算模式已经取代了传统的集中式主机-终端模式之后,新兴的Inter-net/Web网络计算模式又开始在企业网络环境中立足,极大地冲击着信息在整个企业间的流向方式.呈现爆炸性增长的远距离办公室、流动作业以及Internet连接对广域网连接产生了巨大的需求·结果导致企业网变得越来越复杂.它们支持多种技术,24小时运行,要对不断的变化进行管理,并且延伸到多个建筑、多个区域甚至多个国家,不幸的是,网络管理应用的发展却滞后了,失去了它管理企业战略资产所应具备的意义深远的重大作用·[2]2 网络管理技术发展趋势为了满足这种业务及技术的虚求,网络管理在现有技术的基础上必将朝着层次化、集成化、Web化和智能化及分布式方向发展·现分别叙述如下:2·1 网管层次化由于网络规模的扩大,SNMP管理机制的弱点被充分暴露出来·SNMP是一种平面型网管架构,管理者容易成为瓶颈;轮询数目太多、分布较广的代理使带宽开销过大,效率下降,管理者从各代理获取的管理信息是原始数据,不但量大而且需要精加工才能变为有价值的管理数据·传输大量的原始数据既浪费带宽,又消耗管理者CPU的大量宝贵资源,使网管效率降低·解决这个问题的办法是在管理者与代理之间增加中层管理者,实现分层管理,将集中式的网管架构改变为层次化的网管架构·SNMP的第二版SNMPv2支持管理者间通信,RMONMIB允许代理自动监控,聚合(Ag-gregate)MIB还能够对MIB变量进行轮询,并对变量值进行算术或运算·历史MIB信息则能跟踪MIB变量的变化过程,并把记录结果向管理者报告·这一切都说明SNMP正从集中化向层次化发展,SNMP第三版的SN-MPv3更加强化了这种变化·[3]2·2 网管集成化CMIP为国际标准化组织ISO所制定,然而,由于历史和现实的原因,ISO的开放系统互连七层协议至今尚未得到业界的广泛支持和应用·相反,基于TCP/IP的SNMP由于其简单易于实现很快便得到众多产品供应商的支持,使SNMP成为事实上的网络管理工业标准·但不可否认,CMIP功能较强,能担负起复杂的网络管理,自己应用也逐渐扩大·能否将CMIP和SNMP两者优势集成起来,去粗取精,合二为一,形成一个完美而统一的管理协议方案,不至于像目前基于CMIP和SN-MP的产品各自管理一方,其产品不能互通和共存———这将对保护现有网络管理技术的投资具有重要意义.CMIP和SNMP集成化的策略是克服或协调两者差别,目前的两种集成方法———协议共享方式和协议互通方式就是分别基于这两种策略的·[4]2·3 网管Web化传统的网络管理界面是网络管理命令驱动的远程登录屏幕,必须由专业网管工作人员操作,使用和维护网络管理系统需要专门培训的技术人员·随着网络规模增大,网管功能复杂化,使传统网管界面的友好程度愈来愈差了·为了减轻网管复杂性,降低网管费用,急需研究和开发一种跨平台的、方便、适用的新的网络管理模式.基于Web的网络管理模式可以实现这个目标·这种新的网络管理模式融合了Web功能和网络管理技术,它允许网络管理人员通过与WWW同样的形式去监测,管理他们的网络系统,他们可使用一种Web浏览器在网络任何节点上方便迅速地配置、控制及访问网络和它的各个部分,这种新的网络管理模式和魅力在于它是交叉平台,可以很好地解决很多由于多平台结构产生的互操作问题,这能提供比传统网管界面更直接、更易于使用的图形界面(浏览器操作和Web页面对WWW用户来讲是非常熟悉的),从而降低了对网络管理操作和维护人员的特别要求·基于Web的网络管理模式是网络管理的一次革命,它将使用户管理网络的方法得到彻底改善,从而向“自己管理网络”和“网络管理自动化”迈出关键一步·2·4 网管智能化由于现代计算机网络结构和规模日趋复杂,网络管理员不仅要有坚实的网络技术知识和丰富的网管经验和应变能力,对由于网络管理因素的实时性、动态性和瞬变性,即使有丰富经验的网管人员也有力不从心之感,为此,现代网络管理正朝着网管智能化方向发展。智能化网管主要有如下特点:a处理网络结构和网元的不确定性如前所述,网管就是要对网络资源进行监测控制管理,以使网络系统高效率运行,但这种管理控制是依赖于它对系统资源状态的了解,包括系统的全局状态和系统的局部状态·由于网络系统的瞬变性,当某资源的状态信息传到网管系统时可能已经变化了,因此,网管只能知道系统的局部状态,根据这些信息进行管理·由于上述同样的原因,局部信息也是不确切的,智能化网管要有处理不确定信息的能力,能根据这些信息对网络资源进行管理和控制·可喜的是,现在已经有了一些比较好的方法,如模糊逻辑(fuzzylogic)、主观Bayes方法、DempsterShafer的证据理论(belieffunction)等·b网管系统的协作能力及互操作性如前所述,由于网络规模和结构日趋复杂,集中系统中单一网络管理者是难以应付全部网络工作的·为此,出现层次化网管概念,上层管理者可以轮询方式监测中层管理者,中层管理者向上层管理者报告突发事件而且还要对下层进行监测,这就存在多层管理者之间任务的分配、通信和协作·目前,多代理协作,分布式人工智能的思想逐渐引入网络管理·c适应系统变化的能力传统的网管是通过不断的轮询所管网络资源的状态变化,即采用“数据驱动”模式对网络资源进行管理控制,即管理控制是基于管理者所收集的数据信息来驱动的·但网络系统是一个不断变化的分布式动态系统,因此,传统网管难以适应系统的状态特征,而基于规则的智能化网管能够较好地适应网络系统的变化.所谓规则可以简单地理解为一种“系统状态—动作”的描述,当系统处在某些状态下时,则管理系统启动相应的处理动作.网络管理员可以灵活地增加删除修改基于规则的智能化网管中的规则以适应网络的不断变化·d解释和推理能力目前大多数网络管理者都基于某种网管协议,如CMIP、SNMP,它所监测到的只是一些MIB信息,而这些信息所反映出的问题,以及如何基于这些信息来对网络管理控制,却没有得到很好的解决,工作仅停留在网络监测阶段·智能化网络不只是简单的响应低层的一些孤立信息,它应有能力综合解释这些低层信息,以得出高层的信息和概念,并基于这些高层的信息概念对网络进行管理和控制·同样,智能化网管的推理能力也很重要,它就能够根据已有的不很完全、不很精确的信息来作出对网络的判断·如当网络中某个路由器出现故障时,这台路由器及其与之相连的网管通信设备都会失去与网络管理者的联系,当网络管理者轮询这些设备时,它们都不会响应,此时的智能化网管应有能力推断出其中哪些设备出了故障·[5][6]2·5 网管分布化为了降低中心管理控制台、局域网连接和广域网连接、以及管理信息系统人员不断增长的负担,就必须对那种反应式的、集中式的、单体的网络管理模式进行一个根本的转变·“分布式管理”通过在整个网络上向多个控制台将数据采集、监视以及管理职责分散开来而实现综合分析·它可从网络上的所有数据点和数据源采集数据,而不必考虑网络的拓扑结构·分布式管理为网络管理员提供了更加有效地管理大型的、地理分布广泛的企业网络的手段·3 结束语随着网络规模和复杂性的增加,网络管理在未来网络系统中的地位将愈来愈重要·本文在介绍网络管理及其有关协议的基础上,阐述了网络管理技术的主要发展方向和发展趋势·由于Internet和全球信息高速公路的推动,网络管理的新思想、新技术将会层出不穷,当前网络系统所面临的各种问题也必将能够最终获得圆满解决·[ 参考文献 ][1] 安常青,等·网络管理协议及应用开发[M]·北京:清华大学出版版,1998·[2] AndrewS·Tanenbaum.计算机网络[M]·北京:清华大学出版社,1998·[3] WilliamStallings:SNMPandSNMPv2:TheInfrastructureforNetworkManagementIEEECommunicationsMagazineMarch[S]·1998·[4] 蔡皖东,周兴社·SNMP和CMIP集成管理技术的研究[J]·小型微型计算机系统,1999,(5)·[5] LakshmiRaman:ADCTelecommunications:OSISystemandNetworkMangementIEEECommunicationsMagazineMarch[S]·1998·[6] 马俊涛,刘积仁,杨利·基于智能体的分布式服务管理系统研究[J]·JournalofComputerResearch&Development,1999,(7)·
算机网络管理方面的论文。
浅谈计算机网络安全对策分析论文关键词:计算机网络安全对策论文摘要:本文对计算机网络安全存在的问题进行了深入探讨,提出了对应的改进和防范措施。随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到全所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。本文将着重对计算机信息网络安全存在的问题提出相应的安全防范措施。1、技术层面对策在技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下对策:1) 建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。2) 网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。3) 数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。4) 应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。5) 切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的U盘和程序,不随意下载网络可疑信息。6) 提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。7) 研发并完善高安全的操作系统。研发具有高安全的操作系统,不给病毒得以滋生的温床才能更安全。2、管理层面对策计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。这就要对计算机用户不断进行法制教育,包括计算机安全法、计算机犯罪法、保密法、数据保护法等,明确计算机用户和系统管理人员应履行的权利和义务,自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则,自觉地和一切违法犯罪的行为作斗争,维护计算机及网络系统的安全,维护信息系统的安全。除此之外,还应教育计算机用户和全体工作人员,应自觉遵守为维护系统安全而建立的一切规章制度,包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。3、物理安全层面对策要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,主要包括以下内容:1) 计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。2) 机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。3) 机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全,首先,应考虑物理访问控制来识别访问用户的身份,并对其合法性进行验证;其次,对来访者必须限定其活动范围;第三,要在计算机系统中心设备外设多层安全防护圈,以防止非法暴力入侵;第四设备所在的建筑物应具有抵御各种自然灾害的设施。计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。参考文献:[1] 张千里.网络安全新技术[M].北京:人民邮电出版社,2003.[2] 龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,2006.[3] 常建平,靳慧云,娄梅枝,网络安全与计算机犯罪[M].北京:中国人民公安大学出版社,2002
互联网未来发展趋势互联网的发展始于冷战时期,在60年代末期由于美苏之间的全球争霸,为了预防核战争对本国通信系统的影响,美国开始研究如何防止核打击。这也是互联网研究的一个最基本理念——在遭受一次核打击之后,能够迅速恢复并保持通信不被中断。互联网在刚开始发展的时候是军方的一个系统,然后演进并逐步扩大它的应用。开始是四家大学进行互联,然后扩展到13个点,形成了10个美国国内辅根服务器放置地点。在此之后互联网尽管应用于教育和科研部门,但它的快捷性和便利性使得越来越多的部门包括许多政府部门应用起来。在商业部门开始参与之后,互联网商业化的趋势不可避免。互联网的业务经营模式和种类很多,但相对来说形成比较完整的业务价值链主要有以下几个:传统业务的接入服务,它由电信运营商提供业务;网络游戏,由网络游戏服务提供商、游戏运营商、电信运营商一连串的服务商形成价值链。网络安全方面的问题应该是非常严重的,黑客攻击行为、网上盗窃、网上欺诈、网络病毒这些问题非常多。网络运营商的经营已经形成了大家比较固定的观念,比较有保障。网上行为也要逐步地进行规范。美国这种网上自由、无管理、无法律的观念还是深入人心的,深入全球的,大家曾认为互联网上的任何行为就不应该受到任何规范,不应该有管理。现在出现的问题使大家越来越多地意识到确实需要对网上行为进行规范和管理。网上行为同样应该遵守现实生活中的道德规范,同样应该受现实社会规则的约束,网上出现的网络滥用行为是利用了网上的优良特质,从业者、行业组织、政府还需要采取进一步的行动。未来比较明显的趋势是宽带业务和各种移动终端的普及。整个宽带的建设和应用将进一步推动网络的整体发展。互联网经营和生存的模式也将更加丰富。如今,大家在网上更多的是浏览信息、使用聊天工具、玩网络游戏,把互联网更多地当作自己的一个高级的信息技术玩具,随着互联网的发展,玩具能够变成工具,成为人们日常生活、工作离不开的工具。网络的应用也更加开放,有许多政府网站已经将其事务到网站上去,如征求意见、地方基层选举等,这些使网络的应用更加开放和多样化。希望网络信息要以人为本,互联网做为一个信息平台它的用户主流50%以上是30岁以下青少年,那么为青少年建设的网络应该是一个可信、健康的网络,它应该成为青少年成长过程中的朋友和助手。网络教育将是下一个互联网业务的热点问题,网络搜索,大容量电子邮件,电子商务平台,移动互联网,无线局域网,网络资源信息开发等业务都将成为互联网-业务的热点问题。
中国网络空间治理模式研究论文
2015年在第二届世界互联网大会上系统阐述了“网络空间命运共同体”理念,强调互联网是人类的共同家园,各国应该共同构建网络空间命运共同体,推动网络空间互联互通、共享共治,为开创人类发展更加美好的未来助力,提出共同构建网络空间命运共同体的五点主张。
经过不懈努力,我国网络强国建设取得一系列重要成就,网信制度初步完备,网络空间日渐清朗,数字经济蓬勃发展,网安产业快速发展,积极参与并推动全球网络空间治理发展。
通过五年来这些重大外交活动和重要国际交往,习近平主席倡导的构建命运共同体,促进网络空间治理体系变革已见成效,我国在构建全球网络空间命运共同体的国际合作中作出了突出贡献,我国的国际影响力、感召力、塑造力已有很大提高。
美国单极主导网络空间治理格局的时代已经结束,以美国、中国、俄罗斯及欧盟等为主的网络空间多极治理体系正在逐步形成,中国倡议逐步变成全球共识,有效推动了全球网络空间的繁荣与安全。
10月20日-22日,以“智能互联 开放合作——携手共建网络空间命运共同体”为主题的第六届世界互联网大会在浙江乌镇召开。一年一度的世界互联网大会,是网络空间治理互联互通、共享共治的国际平台,通过这个平台,各国可以在争议中求共识、在共识中谋合作、在合作中创共赢。
回望世界互联网大会走过的6个春秋,始终聚焦“构建网络空间命运共同体”这一时代主题。我国提出“构建网络空间命运共同体”,不仅要造福13亿中国人民,更是与世界各国携手,共同构筑和维护全球75亿人的网络空间家园。
2018年的第五届世界互联网大会的主题为“创造互信共治的数字世界——携手共建网络空间命运共同体”。大会发布了《世界互联网发展报告2018》蓝皮书,从信息基础设施、网络信息技术、数字经济、政府数据开放、互联网媒体、网络安全、互联网法治建设、网络空间国际治理等方面,全面展现2018年国内外互联网领域的最新进展、突出成果和发展趋势。
事实上,中国经过这几年的跨越式发展,“数字经济”已经不仅是一个经济概念,而是渗透在社会生活与发展的每一个环节中。数字化、网络化、智能化的信息通信技术使现代经济活动更加灵活、敏捷、智慧。
为了国家的网络安全,我们必须加强网络运行管理,并从硬件和软件两个方面提高网络产品的自主创新能力,做到安全可控。
一、当前网路安全形势的主要特点和趋势(一)主要大国加紧制定和完善网络安全战略美国首次将网络安全置于恐怖主义之前,列为美战略安全最突出问题。美国虽网络实力超强,但对网络的依赖也最大,面临来自其他国家和非国家实体的网络攻击多重威胁,因此在以网络为抓手全面巩固其政治、军事、经济霸权的同时,也对包括我国在内主要国家网络能力发展日益焦虑。奥巴马上任不到4个月,就将网络战争视为“最严重的经济和国家安全挑战之一”,承认网络战争“从理论走向实战”[1]。美国相继发表《网络空间国际战略》、《网络空间行动战略》、《网络空间政策报告》、《国家网络作战军事战略》等政策文件,将网络空间治理重点“从国内扩展到国际”、“从被动防御转向武力报复”以构建全球网络霸权。美国又启动“大数据研发计划” 将其定义为“未来的新石油”,视数据主权为继边防、海防、空防后的又一大国博弈空间。英、法、德也分别出台了《新版英国网络安全战略》、《信息系统防御和安全战略白皮书》、《国家网络安全战略》等报告,明确将把网络空间威胁列为国家生存发展所面临的“第一层级”威胁和“核心挑战”网络安全被提升至国家战略高度,并视网络攻防建设与陆、海、空三军建设同等重要。在美国的背后支持下,北约网络防务中心也发布了《网络战适用国际法手册》,该手册是国际上首个就网络战适用国际法问题做出规范的文件,标志着网络战日益从“概念”走向“现实”,反映出网络安全正逐步上升为西方核心安全关切。(二)网络空间军事化进程明显加快美、英、德、俄、日、韩、印、澳等国相继组建网络部队,纷纷成立“网络司令部”或“网军”,加强信息战研究和投入,研究信息战战法和战略,研发的高破坏性“网络武器”已达千种之多,信息战已经成为美国等西方大国对我牵制遏制的重要手段和选择,我国面临的信息战威胁趋于上升。美国是网络战的先行者,在网络空间谋求压倒性军事优势,实现制网谋霸。美军网络司令部人数为万人,通过启动“国家网络靶场”项目多次举行网络战演习,并注意在常规联合军演中注入网络战元素。美国还定期邀请英、法、韩等国参与“网络风暴”演习,加强多国间信息共享和危机联合处置能力。韩国组建200人组成的国防情报本部网络司令部。印度国防部拟在2017年前组建7个信息战旅和19个信息战营。日本提出建立以应对网络攻击为核心的组织机构并培养相关人才。此外,各国网络战策略也正发生由守转攻的变化,出现将网络攻击视为武装攻击的趋向。北约出台的《网络战适用国际法手册》明确提出网络战在现实中可能产生与实战相似的效果,并不因为发生在互联网上就不是战争,国际法同样适用于网络战。美日等国已明确表示将推进攻击型网络部队建设,必要时发动网络战争。值得关注的是,美、俄己开始发展“先发制人”的网络刺探与反制能力,强化网络战攻击手段,以实现“以攻代防”、“以攻促防”网络空间的攻防对抗更趋复杂严峻。(三)围绕网络规则的国际斗争加剧以美国为首的西方大国出于政治需要,把网络变成推行国家政策的工具,人为地夸大网络空间的整体性和开放性,引入“基本人权”概念,鼓吹“网络自由”、“人权”高于“主权”,借此否定国家“网络主权”。他们宣称现有国际法原则可适用网络空间,没有必要制定新准则,反对设立全球互联网治理机制,大力阻止由联合国等政府间国际组织介入互联网治理,声称监管网络有损言论自由,将削弱和抹杀技术创新,不利于保护知识产权。坚持网络规则应以由政府、私营部门、民间社会、消费者等组成的“多利益攸关方”模式共同制定,强调行业自律,真正实现互联网自由、开放、无界和安全。美国公布的《网络空间国际战略》就强调要力推美国网络“法治”观,互联网使用应顾及“法治、人权、基本自由和保护知识产权”,美国首先要同“立场相近国家”进行协调,确立舆论主导权,然后由点到面,逐步扩大国际合作,最终确立新的规则,以争夺“网络治理”的主导权和绝对控制权。为此,他们竭力推动各方加入欧盟的《网络犯罪公约》和“伦敦进程”等机制,企图在联合国框架外建立网络空间国际规则体系,来削弱甚至取代联合国主导的互联网治理论坛。广大发展中国家不满以美国为首的西方大国对互联网资源的垄断和控制,担忧网络监管不力可能破坏本国社会安定甚至危及国家安全。坚持政府对网络空间拥有管辖权,关注滥用言论自由特别是网络言论自由损害他人权力和尊严。呼吁建立多边、透明和民主的网络国际治理机制,强调发挥联合国等政府间国际组织在互联网治理方面的主导作用。中、俄及非洲、阿拉伯国家成功推动2012年国际电联国际电信世界大会将互联网发展、接入权及网络安全等问题纳入新修订的《国际电信规则》及有关决议,尽管美国及一些欧盟国家拒绝签署,但该规则对今后的互联网治理必将产生积极影响。总之,互联网日益渗透到人类生活的方方面面,政治、安全、经济、社会利益相互交织,已成为各国的必争之地。围绕网络安全问题,各主要大国之间、发达国家与发展中国家之间的冲突和矛盾必将长期存在。网络国际治理领域的斗争,也势将成为继气候变化之后以一个各国利益激烈博弈的新战场,其斗争的尖锐性、复杂性将更加突出。同时也要看到,网络安全面临的挑战和威胁具有全球性质,各国有着巨大的共同利益,国际社会对于网络空间国际合作的必要性也有普遍认识。围绕网络安全问题,近年来联合国、欧盟、20国集团、上合组织、金砖5国等多边合作及美与中俄印、中英等双边“基层”对话趋于活跃,反映了各国携手共同有效应对具有合作的巨大空间。二、维护我国网络安全之对策网络安全问题日益升温使我国信息网络管理与运用面临严峻挑战。我国互联网普及率近40%,博客用户超过亿,微博用户超过3亿,2011年就有亿网民和亿手机用户,是全球互联网使用人口最多的国家,预计2014年我国即时通讯用户规模将达到亿人。网民中年轻人占比高,20岁以下超过35%。但网络监管手段相对滞后,网络立法尚处起步阶段,有关法规条文不够明确。网络监管机制缺乏统筹协调,相关监管部门多是“分兵把守、各自为战”的信息安全防控思路已不适应网络空间安全威胁的新变化。硬件上我国自主研发的网络监管技术有限,专职从事网络舆论引导和监管的力量也严重不足,统一的国家电子政务内网平台和切实有效的信息安全保障体系还未形成,业务协同和信息共享工作亟待加强,我国信息技术创新和产业发展受到国外遏制与渗透,华为与思科、摩托罗拉之间的残酷竞争就是明证。摩托罗拉曾在2010年7月突然在美国控告中国深圳华为技术有限公司盗窃其商业秘密,半年后华为反击,起诉摩托罗拉,理由同样是知识产权遭侵害,旨在阻止摩托罗拉非法向诺基亚西门子网络转移华为自主研发的知识产权。最后双方已达成和解,也证明之前所有有关华为侵权的指控毫无根据。华为经过与思科、摩托罗拉多年的斗争,终于学会了维护自身知识产权。网络安全问题已成为涉及我国战略安全和综合安全的重大课题,网络空间已成为大国博弈的新战场,利益冲突愈加激烈。我们既要充分认识网络安全形势的严峻性、复杂性和紧迫性,也要看到网络安全问题存在转“危”为“机”的空间,化挑战为机遇,加强战略谋划,内外兼顾,趋利避害,维护我国网络安全。
为了国家的网络安全,必须营造清朗的网络空间。互联网是意识形态工作的主阵地,网络空间是亿万网民共同的精神家园,必须履行好加强网上舆论工作的责任,把加强网络内容建设放在重中之重的位置,推动优秀精神文化产品上网,让主流思想文化的阳光洒满网络。
要走好网上群众路线,善于通过网络了解民情民意,主动回应网民关切,解疑释惑、凝聚共识,更好地构筑网上网下同心圆。要运用网络传播规律,创新改进网上宣传方式,让网民听得懂、听得进。本着对社会负责、对人民负责的态度。
坚持依法依规加强网络空间治理、加强对各种有害信息和网络谣言的管控,推进网络依法有序规范运行,用法治的力量使网络空间清朗起来。具体如下:
核心观点是我们需要探索建立一个使网络信息的片面、不健康、违法因素被网络环境随时随地、自动给予筛选和甄别的机制,才能使网络信息更好地服务转型期的中国社会,网络空间的清朗才能长治久安。
1、还网络一个清朗空间
互联网在中国继续保持快速发展态势,网民人数进一步增加,市场规模进一步扩大,新业态新技术不断推陈出新,互联网以更加迅猛的势头融入到中国社会的方方面面。互联网在信息获取、文化生活、电子商务、交流沟通等方面的应用稳步增长,新产品加快普及的同时。
互联网的媒体属性也越来越强。网络传递信息具有即时性、个性化、互动化的优点,但是也有碎片化、自我强化、剧场效应等特征。如何发挥网络传播信息的优点,避免网络成为片面信息的放大器、社会戾气的集散地、违法信息的藏身地。
还网络一个清朗空间,成为社会关注的焦点问题。简单地看,网络信息分为正面的信息、正能量的信息、阳光的信息和负面的信息、负能量的信息、阴暗的信息。对网络信息的社会影响作出正与负的区分,是必要的。因为,正向的信息令人振作、有信心。
负向的信息使人沮丧、打击信心。中国社会处于转型期,更需要全体中国人民拨开社会发展的迷雾,聚合正能量,凝聚起团结奋斗的共同思想基础。可是面对自媒体时代的海量信息,什么机制能够依照简便易行的标准,独立作出正向与负向的标签管理呢。
网络信息的生产是即时的、海量的,网络信息的标签管理也必须是即时的、海量的,否则网络信息的筛选、甄别、监管就会具有迟滞性,网络空间总会积存一些标签管理的“漏网之鱼”,翻出片面、虚假、违法的“负面信息之浪”。
我们需要探索建立一个使网络信息的片面、不健康、违法因素被网络环境随时随地、自动给予筛选和甄别的机制,才能使网络信息更好地服务转型期的中国社会,网络空间的清朗才能长治久安。
2、把握好网上舆论引导的时、度、效
探索这种让网络空间清朗起来的机制,需要从三个层面同时着手。
一是建设好政府管理的基本面。网络信息是社会经济政治生活的再加工、再反映。近十年来网络信息在推进政府管理创新,增强政府管理的透明性、回应性方面已经有很大进展。目前中国97%以上的中央政府部门、100%的省级政府和98%以上的地市级政府部门开通了政府门户网站。
政务微博账号数量超过17万个。政府通过网络载体,及时回应社会关切,接受社会监督,征询网民对重大政策措施的意见,进而改进工作。越来越多的人通过网络参与社会公共事务管理,民众与政府之间的沟通更加顺畅。政府的职责和作用主要是保持宏观经济稳定。
加强和优化公共服务,保障公平竞争,加强市场监管,维护市场秩序,推动可持续发展,促进共同富裕,弥补市场失灵。只要在切实转变政府职能,深化行政体制改革,创新行政管理方式,增强政府公信力和执行力,建设法治政府和服务型政府方面。
既有善始善终、善做善成的高层推动又有时不我待、锲而不舍的基层行动,围绕着公权力的行使的社会生态就会得到纯洁和净化来源于公权力的负面消息就会减少,网络空间放大这类信息的基础就会被消解。
二是建设好网络空间法律环境的基础面。法治是网络媒体管理的基本原则。通过法治的方式,保障人民群众通过网络媒体的方式,实现知情权、参与权、表达权、监督权,是网络信息管理的基础工程。特别是要根据新媒体技术的特点和需求,探索建立以法治为基础的新媒体管理模式。
新媒体是区别于传统广播、电视、报纸等媒体的新兴数字化媒体。它以社交媒体如社交网站、微博、微信、博客、论坛、播客等为代表。这类即时通讯工具的大量使用,打破了传统媒体的单向传播方式,使网络成为兼具信息发布功能舆论传播功能、社会动员功能的聚合器。
随着微博、微信等社交网络的快速发展,更多的网民参与网上内容创造。据对中国最有影响的10家网站统计,网民每天发表的论坛帖文和新闻评论达300多万条,每天发布和转发的微博客信息超过2亿条。互联网为人们传递和获取信息、增进彼此交流、表达意见建议搭建了新的更大平台。
但是也放大了网络的媒体属性,产生出游离于事实真相与法律责任之外的众多“原创信息”与“转发评论”。这类社交媒体信息具有信息的生产者与消费者、传播者合一的特点,却不具有报刊、电台、电视台等传统媒体的专业性品质和公信力约束,容易让虚假信息、违法信息藏身其中。
因此,加快完善网络法律法规,形成对自媒体环境中网络信息生产的法律责任约束,加强网站自律和网民自律,坚决打击网络犯罪,让网络管理、网络运用、网络服务始终在法治轨道上健康运行,我们才能为新媒体网络信息生产与传播的健康有序,提供坚实的法治基础。
三是建设好网络舆论环境的引导面。网上舆论引导工作是我们党宣传思想工作的重中之重。网上舆论工作的核心目标,是进一步巩固马克思主义在意识形态领域的指导地位,巩固全党全国各族人民团结奋斗的共同思想基础,牢牢把握我们党对意识形态工作的领导权、管理权、话语权。
在政府管理的基本面、网络空间法律环境基础面的建设效率都大大提升之后,网络舆论生态已然大大优化。做好网上舆论引导工作的目标更加单一确定,难度系数大大降低,舆论引导的资源也能得以有效整合,舆论引导的效率必将大大提高。
我们可以更有针对性、更有说服力地进行社会转型期的思想讨论,更有针对性、更理直气壮地防止西方社会思潮在思想领域的演化和侵蚀,更有针对性、更大张旗鼓地深入开展中国特色社会主义和中国梦的宣传教育,把握好网上舆论引导的时、度、效,不断放大网上正面宣传的社会影响力。
网络公司治理研究论文
浅谈产权保护与公司治理 [如苍生何] 于 2005-10-31 19:30:32上贴 --------------------------------------------------------------------------------浅谈产权保护与公司治理 ——以股份公司为中心 钱志远 内容提要:本文试图从预防机制和救济机制来探讨在公司治理中的产权保护问题。预防机制着眼于股东大会、董事会、经理及监事之间的制衡关系,从源头上防止危害投资者产权和利益的事件发生。倘若这种危害仍然未能幸免,产权的司法救济机制(直接诉讼和代表诉讼)将成为一种最有效的干预手段,来对遭到侵害的产权提供事后的救济,使之得到补偿。 关键词:公司治理 产权保护 预防机制 救济机制 一、在公司治理中研究产权保护的必要性与可行性 有人主张投资者在购买股份公司的股份、将个人财产投入股份公司后,个人财产变成了企业财产,其个人产权即不复存在,投资者仅仅享有股权,当然在公司治理中也就不涉及产权保护的问题了。这种主张值得商榷。 首先,我们对产权的概念不能理解得过于狭隘。自"产权"概念的提出之日起,关于产权的性质、界定、范围即引起了经济学界和法学界的广泛讨论。随着讨论的深入,人们对产权的使用已经超出了"财产所有权"的范围。"知识产权"即是明显的例证。专利权、商标权和著作权都是以无形财产为标的的集合权利,并且具有时间性,因而与所有权有很大区别。此外,"产权"一词已经用于企业法领域。例如,在80年代关于企业财产权问题的讨论中,就有学者提出"法人产权"的概念,以试图说明在国家所有权存续状态下企业法人享有的对企业财产的现实支配地位。 [1]按照英美法的概念,property一词具有双重含义:一是指人们所拥有的对于物的权利,二是指作为这种权利的客体的各种有形物和无形物。其中,前一种含义处于主导地位。《不列颠百科全书》指出:"property可定义为一种支配经济财物的排他性权利;它是对关于权利和义务、特权与限制的概念的称谓。" [2]《牛津法律指南》指出:"property这一术语适于被用于表示所有权,例如在法律规则规定物质产权转移的情况下。"同时又指出:"最好是把产权理解为不是单一权利,而是若干不同权利的集束(bundle),其中的一些权利甚至许多权利可以在丧失所有权的情况下让与。" [3]现代产权制度发展变化的一个显著标志是所谓的"从归属到利用"的趋势,即法律制度由过去的单纯注重确认财产归属转向越来越多的着眼于财产的流转和利用。法律鼓励所有权人将其财产投入流通领域,鼓励所有权人在不丧失所有权的情况下将财产转移给他人利用。例如,所有权人可以将其财产的占有、使用、收益权能让与他人,甚至可以对处分权能做出有限制的让与(如允许承租人转租)。严格来讲,产权概念及制度关心的是市场交易即通过这种交易所实现的资源配置。 其次,股权可以视为产权的转换和再现。投资者将私有财产投入股份公司后丧失了对现实财产的实际控制权,这是事实。但另一个不能忽视的事实是:投资者在将他的现实财产支配权让渡给公司法人以后,他便得到一种原始所有权转换而来的股权。在强式意义上,股份制的前提是不消灭私人所有制,换句话说,私有制是公众化型态的股份制得以维持的支撑。所谓"强式意义"是指社会普遍意义上的,具有普世价值的。具体来讲,就整个社会范围来讲,私有财产制是一种得到普遍承认的社会体制,在时间上经历了风雨的洗礼、在地域上得到了广泛的认同。从伦理学和人类本性方面来讲,私有财产制也是与人类的本性相契合的,人都是自私的,人又是贪婪的;在占有土地等物品的同时,又试图将其保值增值。但这种强式意义上的产权与弱式意义上的股权并不冲突,在一定意义上是同质的。"弱式意义"是与强式意义相对照的一个概念,是指强式意义的例外,或者更准确地讲,是强式意义在新的制度条件下的适应与筛选。结合历史来说,生产力的进步和市场竞争导致了生产规模扩大化的需求,这就要求对社会中分散的个人资本进行广泛吸收。股份制和有限责任制的制度安排有效地促成了这种资本社会化。正如马克思所言:"生产规模惊人地扩大了,个别资本不可能建立的企业出现了。" [4]可以说,股权是强式意义上的产权在公司领域内和在新的制度需求和制度安排下的弱式意义的转换与再现。 再次,股权是投资交易中的一种约定。股权大体上可以界定为社员权与财产权。社员权就是股东享有的表决权、知情权、异议权和监督权等。而作为一种财产权,股权的意义就是一种收益权。也就是说,股权代表了投资者对企业利润中的一定份额的索取权。所以,从单个的投资者的角度来说,股权实际上是投资交易中的一种约定:我把我的私人资本投放到你这个社会化的资本单位中,让它加入这个资本单位的运行,然后按照它在这个单位中所占的份额,由我来分享资本运行的收益。这充分说明了股权的产权本质。 对于私有产权下的股份公司而言,股东们拥有的资源,其价值专门体现于这-公司。在现实社会中,股份公司是由不同人所拥有的资源的一个合作性集合体。 [5]现代股份公司依赖于有限责任制和增加股份的可转让性,并依赖于私有产权的可让渡性,通过在指导生产协作活动和人才使用方面实现了大规模专业化并取得了种种收益。这种"分离"作为控制和调整的方法,可以使人们在行使私有产权方面实行有效率的富于生产性的专业化,而不是破坏或削弱了私有产权的效率。 二、公司治理中的产权保护的特点 产权保护是防止产权受到侵犯的预防措施和产权受到侵犯时采取的救济手段。产权保护不是产权本身,虽然它与产权有着密不可分的联系,并且以产权的客观存在为前提。产权保护可以理解为一种请求权,具有一定的妨害防止力和妨害除去力。[6]也就是说,如果产权有受侵害之虞或受到侵犯时,法律体制应当提供一系列行之有效的措施予以预防或救济;否则,人们就不会信赖产权,也不会把产权作为交易的前提,资源的配置有可能依赖于市场以外的其它机制(例如政府的计划分配、即时清结的物物交换),而这些机制的效率很显然低于市场机制。 鉴于私有产权在股份公司中以股权的形式加以表现,那么,公司治理中的产权保护也呈现出新的特点: 1.公司治理中的产权保护具有相对性。按照传统民法理论,所有权是一种绝对权,具有对世性。公司治理中的私有产权本质上仍然是所有权,但其保护却不具有绝对性,充其量是一种相对性的保护;这是因为股份有限公司的有限责任制。对于现代股份公司的股东及公司实体而言,不必再像古典企业的企业主一样承担无限偿债责任。股东仅以股票票面金额的投资义务为限度,公司则已全部财产对未承担有限责任;若资不抵债,或整顿或破产,与公司股东无任何义务关系。另外,从弱式意义的股权来讲,股权包括的范围仅有收益权、表决权、知情权、异议权和监督权等。这些权利从本质上讲,都是义务人为特定人的权利,权利人只能请求特定人未一定行为,因而都不属于应当予以绝对保护的范围。 2. 公司治理中的产权保护具有对立统一性。投资者投入公司形成的财产属于公司所有,由董事会和经理进行管理,同时股东享有股票所有权--这样,一般股东的利益常常与公司的利益发生冲突。从事公司经营的董事和经理可能成为恶意的代理人; [7]以代理理论的观点来看,代理人的行为是自我利益(self-bebefit)导向的,因此存在潜在的权利滥用和为自己谋利的可能性。 [8]《公司法》列举了数种公司管理者侵犯公司财产的行为,如第214条规定的"董事、监事、经理利用职权收受贿赂、其他非法收入或者侵占公司财产"、"董事、经理挪用公司资金或者将公司资金借贷给他人"、"董事、经理以公司资产为其他个人债务提供担保",第215条规定的"董事、经理自营或者为他人与其所任职公司同类的营业"。另外,股东、董事会与经理在决策时的着眼点也不同:股东会较多着眼于长远目标,制定企业长远的策略;董事会着眼于中期目标,拟定具体的策略;经理着眼于短期目标,根据实际情况拟出工作方案。 [9]这三种不同的着眼点必然造成三个主体在具体策略上的矛盾与冲突。因此,股东与公司的管理者在产权收益分配和公司策略制定上显现一定程度的对立性。投资者与经营者的统一体现在:若公司存在,投资者、经营者则可分享产权收益;若公司破产,则投资者的投资可能无法收回,经营者名誉大损、失业回家。因此,在利益分配机制上,投资者与经营者之间的关系是对立的;另一方面,在公司破产或被恶意接管时,投资者与经营者之间的产权收益分享又是一致的、统一的。 三、公司治理中产权保护的机制 正如上文所述,产权保护包括预防和救济两个方面:预防是指在侵害产权的事实发生之前,设计完善的制度和安排,将侵害消灭在萌芽状态,使之不能发生。救济是指当产权真实受到侵害的情况下,制度安排应能使恢复到权利被侵害前的原有状态,或者将损害的财产修复,或者对之予以金钱补偿。 (一)预防机制 公司治理,根据《新帕尔格雷夫大词典》的观点,认为它就是股东大会、董事会、经理组成的结构,其本质是使经营者忠于职守。这种观点在北美比较流行。这种观点是从公司治理的具体形式入手的;若从公司治理制度功能的角度进行定义,认为公司治理结构是指由所有者、董事会和高级执行人员三者组成的一定的制衡关系。根据产权理论的观点,公司治理从实质上讲是一种产权或控制关系。 [10]这样,在公司治理与产权保护之间就产生了一定的契合点;在讨论公司治理中产权保护的预防机制时,也应当从股东大会、董事会、经理及监事之间的制衡关系着手。 1.股东大会与董事会的制衡 研究股东大会与董事会的制衡,首先应明确股东大会与董事会各自的权力定位,这在《公司法》第103条和第112条已有明确的规定。研究股东大会与董事会的制衡,应从两个方面加以考虑: 第一,使股东大会与董事会在公司重大事项变更上的决策权制衡更加明晰,更加顺应实践的需要。美国《示范公司法》在1999年2月针对股东大会与董事会的决策权界定做出了多处修改。在修改公司章程的权限规定上,将原先的"公司董事会可向股东提出建议对公司组织章程作一处和多处的修订"的规定修改为"修改建议必须应得到董事会的通过",并增加了"除在第、和节规定之外,董事会通过修改建议后,必须将修改建议提交股东批准。董事会必须将提交股东批准修改的推荐传送给股东。除非董事会做出决定认为,由于存在着利益冲突或其他特殊情况董事会不应建议该修改,在这种情况下,董事会必须将做出此项决定的根据传送给股东。"该修改,使股东会和董事会在公司章程上的修改权限更加清晰,在顺序安排上也更加突出了股东大会在此事项上的重要性。在公司合并和股份交换、公司资产出售及公司解散事项上,1999年2月的修改都对股东大会与董事会的决策权限做出了明晰的规定。 第二,应从强化程序规制上以保证股东会与董事会的制衡有效进行。董事会拥有管理公司似无的广泛权力,董事会成员的任何滥用权力的行为都会损害股东的利益。因此,必须在程序规制上予以强化,以保证股东对董事会具有有效制约。这种程序规制的强化应包括两个方面:强化股东积极菜价股东大会决策、有效行使表决权和控制权的程序规制;强化规范董事会行使权力的程序规制。第一方面,需要对股东大会的召集制度、股东提案制度和股东表决制度进行完善和提高,推进股东权利运动。第二方面,需要强化董事的衣物及规范董事行使权力的原则,如忠实义务、注意义务和经营判断原则的引入。 在股东会与董事会制衡上,我国《公司法》一方面在完善股东大会的召集制度、股东的提案制度和股东的表决制度上予以足够的重视,特别是股东的投票制度,应采取累积投票制的重大变革;另一方面,应在强化董事的责任及规范董事的权力的行使上给与足够的重视,完善董事的注意义务和忠实义务规定及强化董事会对股东大会的负责性(accountability)已成为当务之急。 2.经理层的激励与约束机制 经理层的主要目标是使股东利益最大化,但要实现这一目标,如果不采取对经理层的相应激励机制,也可能只是股东的一厢情愿。因此股东宁愿付出极高的薪酬,让经理层有充分的积极行为股东牟利。这就是代理理论中所说的就绝代理人的代的风险及偷懒问题。 [11]对经理层的监督和控制,主要来自两方面,即供内部的监控机制和腕部的监控机制。公司的内部监控机制主要是指股东和董事会对经理层的控制,而外部监控主要是指市场竞争机制(资本市场和经理市场的竞争)、政府部门的监控及各社会舆论的监督等。以股东为例,其对公司的控制一般通过两种方式,即"用手投票"和"用脚投票"。"用手投票"机制最主要的表现形式是股东利用自己的投票权控制董事会成员的人选和董事会对重大事项的决策。"用脚投票"多是大型招股公司中的小股东乐意采用的方式。因为小股东以"用手投票"的方式控制公司的经理层,意味着股东可能为此付出一定的财力、精力与时间来获取信息并由此评价经理层的业绩,其所付出的成本可能超出其监控经理层的收益。机构投资者对经理层约束的另一个重要表现形式是众多有影响的机构投资者发表的公司治理声明。 [12] 针对我国的层出不穷的对经营层监督和约束乏力的现象, [13]应从以下几个方面考虑加强之:①强化股东对经理层的控制和问责机制;②强化董事会的独立性及对经理层的约束机制; [14]③强化经理层的信息披露机制。 [15] 3.监事会的制衡机制 我国的监事会基本沿用大陆法系的做法,但我国的监事会制度与德国等的有较大差别,其作用及其有限,监事会成了一个可有可无的摆设。在完善监事会制度上,我们应进一步强化监事会的职责,建立一个职责分明、职权明确的监事会运行机制,可在以下几个方面加以完善:第一,强化监事会的权力,在突出监事会享有业务执行监督权和财务检查权的同时,赋予监事代表公司起诉董事和经理的权力;第二,完善监事的任命机制及改善监事会成员的专业素质,设立独立监事制度,强化监事会的独立性;第三,完善监事的激励和约束机制,例如提高监事的薪酬和责成监事对违反注意义务的失职行为承担相应的责任。 (二)救济机制 公司治理中产权保护的救济机制是指在董事会权力的行使侵犯股东权利时,股东如何行使有效的司法救济手段,也就是如何使司法的干预成为股东会与董事会制衡的最后手段。从各国司法实践来看,股东行使司法救济最有效的手段就是股东的直接诉讼和代表诉讼(派生诉讼)。那么,直接诉讼和代表诉讼在什么条件下予以适用?Clark教授认为,当被控的不法行为主要侵害公司的利益时,需要派生诉讼;而当不法的行为主要损害股东的利益时,适于直接诉讼。Clark教授进一步归纳到,直接诉讼的情形主要发生于:股东提起的执行其检查公司的名册权和记录权的诉讼,执行投票权的诉讼,执行优先购买权的诉讼,强迫宣布发放股息的诉讼,执行补偿权的诉讼,使公司解散和清算的诉讼,以及对管理人员因欺诈股东购买或出售股份提起的诉讼。性质上属于派生诉讼的包括基于违反注意义务和忠实义务的案例,如严重的玩忽职守、浪费公司资产、基本自我交易、过分的补偿费和篡夺公司机会。在某些情况下,直接诉讼和派生诉讼也可以互相转化。 [16]但反过来讲,过度的司法干预将严重损害公司运作的基础,使大批有抱负的董事经营人才灾难衣捉摸的商业机会面前丧失勇气。从这个意义上,对公平的过度追求也有可能损害效率。因此,在公司治理中产权保护的司法救济机制手段的运用上,一方面必须强调司法手段的运用的必要性;另一方面,也要防止司法手段的滥用。 四、结论 产权保护与公司治理看似两个毫不相关的话题,但当"理性经济人"将其私有财产投入股份公司之后,产权保护与公司治理之间就产生了密不可分的联系。如何在公司治理中有效地保护投资者的产权和利益就成为了经济学界和公司法学界不得不直接面对的问题。本文试图从预防机制和救济机制来探讨在公司治理中的产权保护问题。预防机制着眼于股东大会、董事会、经理及监事之间的制衡关系,从源头上防止危害投资者产权和利益的事件发生。倘若这种危害仍然未能幸免,产权的司法救济机制(直接诉讼和代表诉讼)将成为一种最有效的干预手段,来对遭到侵害的产权提供事后的救济,使之得到补偿。
推荐你两个网站,那里有不少相关论文,都是公开发表的专业论文,你上去搜搜,参考一下吧,应该能解决你的问题 中国知网 你上去输入关键词“现代公司治理 信托责任”,搜索一下就有了 1. 现代产权制度与完善公司治理结构 李保民 文献来自: 国有资产管理 2004年 第05期 CAJ下载 PDF下载 <正> 一、建立和完善公司法人治理结构是国有企业建立现代企业制度的核心和必然要求 最初关于公司法人治理结构的相关概念可追溯到亚当·斯密的《国富论》(1776年)。该书指出,股份公司由于劳动与资本用途的不同,受雇管理企业的经理 被引用次数: 4 文献引用-相似文献-同类文献 2. 基于公司治理的信托投资公司风险控制 魏华 文献来自: 经济与管理研究 2003年 第02期 CAJ下载 PDF下载 即信托投资公司治理机制完善和信托项目治理结构的完善,信托投资公司治理框架如图l所示:图l信托投资公司治理机制图2 信托投资公司的双重治理机制的初始目的是不同的。信托投资公司治理机制的目的是为了?... 被引用次数: 2 文献引用-相似文献-同类文献 3. 构建现代公司治理结构的现实选择 梁士江 文献来自: 黑龙江社会科学 2000年 第02期 CAJ下载 PDF下载 在国有企业公司化改造后 ,仍存在着一些不容忽视的问题。一是公司的治理结构内部监控机制失衡。现代公司治理结构 ,其核心内容是基于所有权和经营权分离的客观现实 ,建立一整套由股东大会、董事会、监事会及总经理组成的相互制衡机制 ... 一般都要经过社会审计构建现代公司治理结构的现实选择@梁士江$哈尔滨国际信托投资公司 ... 被引用次数: 4 文献引用-相似文献-同类文献 4. 什么是公司治理? 费方域 文献来自: 上海经济研究 1996年 第05期 CAJ下载 PDF下载 公司治理就是股东大会、董事会和以经理组成的论,公司治理被看作信托责任关系。一个结构?... 他们认为广理解公司治理中包含的问题,是回答参与冶理而含混不清。因此,又有人以公司治理来指公司治理是什么这一问题的一种方式?... 被引用次数: 140 文献引用-相似文献-同类文献 5. 利益相关者理论与现代公司共同治理框架构建 陈敏 文献来自: 湘潭工学院学报(社会科学版) 2003年 第04期 CAJ下载 PDF下载 探讨利益相关者与现代公司治理的关系,并在此基础上构建现代公司共同治理的框架。[1]李维安.现代公司治理研究[M] ... 被引用次数: 3 文献引用-相似文献-同类文献 6. 有效的公司治理是现代企业制度建设的核心 陈清泰 文献来自: 中外企业文化 2004年 第01期 CAJ下载 PDF下载 建立有效公司治理结构的意义目前公司治理是微观经济领域最重要的制度建设。建立有效的公司治理的重要意义在于:(1)公司治理的有效性关系国企改革的成败。良好的公司治理可以保障投资者权益。这是所有权与经营权可以分离的制度基础。 ... 被引用次数: 3 文献引用-相似文献-同类文献 7. 建立有效的公司治理结构 吴敬琏 文献来自: 天津社会科学 1996年 第01期 CAJ下载 PDF下载 建立有效的公司治理结构吴敬琏建立有效的公司治理结构,是公司化改制的核心。在建立有效的公司治理结构的过程中往往会遇到三个需要解决的问题:(1)要使公司治理结构发挥效力,首要的条件是所有者(股东或股东代表)必须在产权明确界定 ... 被引用次数: 69 文献引用-相似文献-同类文献 8. 融资结构与公司治理 李峥,孙永祥 文献来自: 经济评论 2002年 第04期 CAJ下载 PDF下载 四、融资结构与公司治理 :中国的特点以上对融资结构与公司治理关系的阐述 ,表明融资结构与公司治理存在密切的关系。然而 ,这一结论获取时的隐含前提是 ,我们分析的对象——银行与公司均为市场经济条件下的资本主义企业 :银行对公司 ... 被引用次数: 83 文献引用-相似文献-同类文献 9. 有效的公司治理是现代企业制度建设的核心 陈清泰 文献来自: 现代企业教育 2003年 第09期 CAJ下载 PDF下载 干预经理人都会使经营管理者无所适从结果必将使企…公改善公司治理应注意四个问题 一…是所有权要到位。这是形成有效公司…治理最重要的条件,目前很多企业的公司治理被扭曲重要原因要补现代企业教育撇鬓黔2003 ... 被引用次数: 1 文献引用-相似文献-同类文献 10. 从公司治理结构透视财务管理目标 周守华,杨惠敏 文献来自: 会计研究 2000年 第09期 CAJ下载 PDF下载 公司法人治理结构 (corporategovernance) ,或称公司治理结构 (structure)、公司治理系统 (sys tem )、公司治理机制 (mechanism ) ,是现代企业制度中最重要的架构。现代 ... 被引用次数: 83 文献引用-相似文献-同类文献 查现代公司 的定义 搜现代公司 的学术趋势 搜治理 的学术趋势 搜索相关数字 发a、b股公司上市公司数量 发a、h股公司上市公司数量 全国合计上市公司数量
互联网企业并购财务风险探索的论文
摘要:在互联网企业大规模并购背后,新企业财务压力通常会更加沉重,部分企业财务危机显现,深刻影响其持续运营能力。本文选择F分数分析模型,以20家完成并购的上市互联网公司财务数据为样本,对其并购财务风险进行研究。结果表明:完成并购后,样本公司财务风险显著增加;并购后第二年开始,经过管理层控制,财务风险水平处于持续降低态势;要有效控制并购财务风险,需要从并购前、并购中及并购后分别采取对策。更多计算机网络论文相关范文尽在职称论文发表网。
关键词:计算机网络论文
一、引言
经过多年迅速发展,互联网行业已经成为国民经济重要参与者,并深刻影响经济、社会以及公众生活。在互联网行业持续高速发展的今天,企业间并购态势越来越强。尤其是2012年以后,经过激烈并购活动,数十家大型互联网公司产生,极大增强了互联网行业公众认知度及影响力。关于企业并购财务风险,众多学者及调研机构进行研究。Edmans(2009)对企业并购后管理成效与财务健康水平进行关联研究,结果发现许多并购失败的案例有一个共同点:由于新企业管理水平不足以支撑新组织,管理效率低下导致财务水平下滑。等(2011)从组织适应性角度对企业并购财务风险问题进行研究,认为如果新企业组织适应性低,将难以完成两家或者多家企业资源整合,从而导致运行混乱,影响财务健康水平。Megginson等(2012)认为,互联网企业并购并不会必然增加企业价值,它与并购企业业务匹配度等因素有关。DavidW.等(2005)对互联网企业如何应对并购财务风险进行研究,认为资源整合以及组织协调是关键。尽管国内企业并购历程较短,然而相关研究也取得丰硕成果。张远德等(2014)学者对互联网企业并购案例进行大样本研究,发现存在最佳并购方案。然而,该方案非一成不变,它需要根据产品或者服务类型、企业规模以及市场环境进行灵活变化。王蕾(2012)对如何进行并购财务风险评估进行研究,提出AHP-GRAM模型。吴泗宗等(2014)对互联网企业跨国并购进行案例分析,发现财务风险普遍存在。周雪等(2009)认为,在互联网企业并购财务风险控制过程中,关键是做好危机预警。通过量化研究,提出了具有较高参考价值的财务风险模糊预测模型。基于已有研究成果,通过F分数模型以及SPSS分析软件,本研究将对互联网企业并购风险现状进行研究。同时,对如何有效控制财务风险进行讨论。通过相关研究和讨论,希望对改善互联网企业并购效益有积极参考价值。
二、互联网企业并购财务风险评估
(一)财务风险模型的选取
如何进行财务风险分析,研究人员提出过众多理念与方法。经过不断验证,最终受到广泛认可的财务风险模型包括Z-Score模型与F分数模型。二者在适用范围与分析精度等方面存在差异。在分析互联网企业并购财务风险时,为确保相关分析过程及结果具有可靠性,首先须确保所选择分析模型具有最佳可靠度。(1)Z-Score模型。Z-Score模型由美国财务研究人员EdwardAltman于1968年提出。在运用该模型对企业所面临财务风险进行评估时,须对主要财务预警因素赋予一定权重,并根据最终加权得分来表征其财务风险综合水平。基于该理念,Z-Score模型基本表达式为:Z=(1)其中,X1为产规模及其变现能力;X2为企业累计获利能力;X3为总资产利润率(税前);X4为股东权益总值与企业总负债比值;X5为总资产周转率。根据Z值计算结果,不同得分预示所评估企业处于不同财务风险水平。在研究实践中,形成如下判别规则:当Z<时,所评估企业财务风险极高,正面临“财务困境”状态;当
(二)样本数据选取
在选择样本数据时,遵循如下几点基本规则:公司于2013年完成并购;持续经营,且近四年财务数据完整;从互联网上市公司数据库中随机选择,降低主观干扰;以A股互联网上市企业未研究对象。通过新浪财经上市公司数据库,本研究共随机选择20家A股互联网上市企业为研究对象,其公司代码分别为:、、、、、、、、、、、、、、、、、、、。
(三)财务风险分析
在完成数据收集后,运用软件进行资产负债率指标计算,结果如表5所示。由表5可知,在完成并购后,所选取互联网上市公司资产负债率总体呈现不断上升态势,发生财务危机风险偏高,须及时采取财务控制措施。如表6所示,为置信区间下样本公司描述性统计F值计算结果。由表6可知,在完成并购前,样本公司财务F值均值为;在完成并购后,样本公司当年F值降低至;后续经营过程中,F值持续下降至、。可见,在完成并购后,互联网企业财务风险显著增加,且保持连续上升态势。如表7所示,为各个样本公司F值分年度计算结果。如表8所示,为20家样本公司多重比较F值计算结果。结合表7与表8可知:完成并购后,各公司F值呈明显波动,表明并购活动加大了公司财务压力,提升了公司财务危机;在完成并购后第二年,样本公司F值有所提升,表明公司管理层已经意识到自身所面临财务风险,并采取了积极应对措施。并购前一年与并购后第三年的F值均值差达到,且显著性水平为(小于)。可见,即使上市公司管理层采取了财务危机应对措施,然而其财务风险仍然较高。
三、互联网企业并购财务风险应对措施
在经历“野蛮生长”后,互联网企业之间进行并购是产业规律所致,它不仅有助于增加行业运行效率,而且可以为督促企业为社会提供更加优质的服务。从上文分析结果可知,互联网企业并购的确会增加其财务风险,为此需要在并购前、并购过程中以及并购后分别采取应对策略。(一)并购前的'应对措施在提出并购目标后,须制定完善的并购方案。在制定并购方案时,需要确定资本回报率、短期财务压力以及并购后公司中长期经营目标。互联网技术及产品存在更新换代快、客户群体流动性大等特点,因而在确定并购目标时需要进行全面分析及合理预测。若企业财务储备不足以应对短期财务压力,且并购后可能带来的资本会回报率又难以积极支撑企业发展目标,则需要谨慎做出并购决策。(二)并购过程中的应对措施(1)合理分析财务风险。财务风险的形成与显现有一个过程,在预测时需要确定合理的测试时间长度。对互联网企业而言,至少需要分析并购后三年的财务风险。若预测年限过短,既有可能由于过于短视而夸大财务风险水平,也有可能难以预测到后续财务状况改善的希望。(2)构建适当的财务风险控制体系。在构建财务风险控制体系时,既需要结合原公司、新公司实际情况选择财务指标,也需要根据国内互联网行业发展现状及趋势确定不同指标的权重。尤其是在引进国外财务风险控制体系时,一定要进行合理改造及优化。(三)并购后的应对措施(1)积极改善现金流等财务指标。互联网企业产品研发及推广需要投入大量现金。尤其是在完成并购初期,会对新企业现金周转造成较大压力。因此,对管理层而言,需要制定合理的并购预算,并在完成并购后严格实施预算方案。同时,需要对现金流进行监控,提升资产周转率,并对可能发生的财务危机提供准备金。(2)快速整合并完善公司治理体系。对互联网企业而言,进行并购的目的是改善企业经营水平以及市场竞争力。因此,完成并购仅仅是新企业经营活动的开端。对新企业而言,更重要的是改善其治理体系,尤其是对原公司经营场所、人员结构、资产分布、市场份额以及组织架构等进行有效对接与融合,避免由于治理混乱而带来成本提升,从而有效改善财务水平。
四、结论
本文以20家互联网上市互联网合并企业为样本,对其并购财务风险进行评估,并对如何应对该类风险进行讨论,得出如下几点结论:其一,相比较于并购前一年,完成并购后,样本公司各年度财务风险显著增加;其二,并购后第二年开始,经过管理层控制,财务风险水平处于逐渐降低态势;其三,并购财务风险显现及发生存在时间持续性,要有效控制并购财务风险,需要从并购前、并购中及并购后分别采取对策。
参考文献:
[1]藏秀清、张远德:《并购风险的多层次权重分析研究》,《技术经济》2014年第11期。
[2]王蕾、甘志霞:《企业跨国并购财务风险分析及防范》,《财会通讯》2012年第5期。
[3]杨柳、吴泗宗、佟爱琴:《跨国并购财务风险的实证研究》,《财会通讯》2014年第30期。
[4]周雪、顾晓敏:《动态现金流量模型在高校财务风险预警中的运用》,《财会月刊》2009年第2期。
网络空间的法律问题研究论文
网络在给当代大学生带来便利和机会的同时,也给大学生的健康发展带来了一些问题,如网络暴力、变态网恋、病毒黑客、垃圾信息、网络性心理障碍等,并由此产生了一系列的网络道德危机。下面是我给大家推荐的有关网络道德问题研究论文2500字,希望大家喜欢!
《当代大学生网络道德危机的表现与成因研究》
[摘要]网络在给当代大学生带来便利和机会的同时,也给大学生的健康发展带来了一些问题,如网络暴力、变态网恋、病毒黑客、垃圾信息、网络性心理障碍等,并由此产生了一系列的网络道德危机,如诚信危机、价值危机、主体危机和安全危机等。引起这些危机的主要原因有制度原因、 文化 原因、主体原因、技术原因等几个方面。面对网络发展带来的问题,研究大学生网络道德危机的表现与成因就成了大学生思想政治 教育 的一个重要部分。
[关键词]大学生 网络 道德危机 表现 成因
[作者简介]肖虎(1980- ),男,四川成都人,西南石油大学研究生学院,讲师,硕士,研究方向为思想政治教育。
一、网络道德及危机的定义
网络道德是指以善恶为标准,通过社会舆论、内心信念和传统习惯来评价人们的上网行为,调节网络时空中人与人之间以及个人与社会之间关系的行为规范。
网络道德危机是在网络生活中产生的网络道德问题以及存在的潜在危险,其表现在于网络主体为了达到一定的目的或满足个体的某种需要而采取的有悖于传统道德价值理念或不利于良好公共网络环境形成的言行和信息。
二、大学生网络道德危机的表现
1.诚信危机。大学生之所以在网络活动中随意操作、散布谎言、传播虚假信息而不用担心被发现受到相应的惩罚,是因为网络具有隐蔽性的特点。有了这种隐蔽性的保护,大学生就容易产生一些不诚信的网络言行。因为网络中的不诚信行为加大了对大学生不良行为的影响,从而导致现实生活中出现更多的不诚信行为,如大学生考试使用手机和高科技手段作弊、盗用别人的账号密码、拖贷欠贷等时有发生。大学生诚信问题已到了不得不引起广泛关注和重视的地步。在一份关于“大学生网络道德现状”调查中,有过这样的数据:在“你是否有过在网上下载 文章 来完成作业的经历?①”的选项,文史类和理工类学生分别有和选择“经常”、和选择“有过,但不经常”、和选择“没有”。从以上的调查可知,大学生不诚信行为的影响极其深远:一方面,他们不惜违背学术道德,利用网络下载他人的研究成果的剽窃行为践踏了学术尊严;另一方面,更是加剧了学术腐败在现实中的蔓延和滋生,直接后果就是导致大学生为人、为事的标准急剧下降。
2.价值危机。网络信息极为丰富,各种信息混杂在一起,使许多青年学生沉溺其中,不辨是非、美丑、善恶,造成价值观混乱,导致其价值迷惘。首先,“文化霸权”导致青年学生价值迷惘。在网络社会中,由于网络资源占有的不平等,信息生产权被掌握在少数西方国家、少数人手中,在网络中形成“文化霸权”。这使得大学生在优秀的传统伦理道德和西方伦理价值之间迷茫、迟疑,难以抉择,使得大学生道德观念和价值取向紊乱。其次,黄色信息对青少年的价值观形成产生负面影响。一方面,黄色信息在网络中泛滥;另一方面,青少年是非判断能力不强,自我控制能力较弱,容易受新奇的富有刺激性的信息的吸引,久而久之便沉迷于此,甚至上瘾堕落,严重影响青少年形成正确的价值观。再者,“技术英雄”导致青少年价值追求偏颇。在网络世界中,技术是衡量一个人价值的重要标准。青少年群体对“技术英雄”一味地盲目地崇拜,容易造成其人文精神的失落与价值追求的偏颇。
3.主体危机。大学生长期处于孤独的物理空间之中,会造成大学生脱离现实群体,迷失自我,情感上变得脆弱而冷漠,随之产生主体危机。首先,虚拟世界与现实世界的差别容易导致人格冲突。有些大学生在现实环境和虚拟的网络环境中判若两人:现实中自我封闭、少言少语,在网上则变得激情满怀、兴奋异常,这样造成了大学生双重人格的冲突和主体异化。其次,网络的机械化和程序化容易造成主体人格异化。网上学习、网上购物、网上交流等行为都被设计者预先设定妥当,人们只需简单地通过敲击键盘、点击鼠标或输送代码就可以完成,一切都变得十分简单和机械。但同时也加重了人们对计算机技术和网络的依赖,造成了人们的思维定式和局限,尤其会引起青少年主体人格的异化。再次,网络世界的虚拟性容易引起主体道德思维能力下降。网络会导致人与人之间情感的冷漠,缺乏许多真实的道德生活,以及体验与锻炼,使道德判断、选择能力和道德行为能力缺失。
4.安全危机。网络的发展给人和社会带来了一系列安全危机。网络信息和网络言行很难得到有效监控,网络犯罪和网络越轨现象日益突出。我们经常看到各大电视台、杂志、广播经常报导大学生网络犯罪事件,轻者入侵他人电脑或数据库,重者破译账号密码非法侵占国家和他人的财产,更有甚者散布谣言引起社会动荡,传播反动言论给国家和民族安全造成威胁。大学生网络安全危机的动机各有不同,有的是受利益驱使,企图非法占有他人财物;有的则出于炫耀技术、哗众取宠的心理。有些调查在问及大学生如何看待“黑客”问题时,不少大学生竟选择“崇拜”“羡慕”。②
三、大学生网络道德危机的成因分析
1.制度原因。目前,大学生的网络管理制度主要有以下几个方面的问题:缺乏统一和权威性的明文规定、责任落实不到位、缺少法律支持;即使有的局部区域或个别单位有类似的规章,往往也是一纸空文,不切实际、不便于操作。造成这个局面的原因主要有两个方面。一方面,计算机网络本身没有明显的地界和属地,不属于任何哪个机构和组织,到目前为止,还没有一部正式、通行的国际法规来约束网络活动。所以对于不道德的网络行为和网络犯罪缺乏相应的处理依据。我国目前针对网络的法律法规同样还存在着许多的不完善,一些投机分子和犯罪人员便在这种虚拟空间中投机钻空子,侵占他人财产和危害国家安全。另一方面,学校和家庭的教育十分重要。但是,学校和家庭在大学生的网络道德教育上并没有明确的分工,划分各自的责任,这种情况可能导致两者在学生的网络道德教育上不但不能相互补充、相互促进,反而会相互推脱、相互阻碍。
2.文化原因。首先,计算机网络的特点决定了网络文化具有不可预知性、不可控制性、超现实性、隐蔽性、便利性等特点。网络文化的这些特点,一方面,会对自我监控能力不强、极富好奇心的大学生产生极强的诱惑力,对大学生的道德成长构成严峻的挑战,影响着大学生人生观和价值观的形成和发展。③另一方面,会改变大学生传统的 人际交往 方式,这种新的交往方式大大减少了人与人之间的现实交流,使个体对集体认同感和归属感大大降低。其次,全球化与知识经济文化导致全球范围的重智轻德倾向。以上种种原因助长了在校大学生“重智轻德”的倾向,有可能导致当代大学生片面重视理论学习和 智力开发 ,而忽视了思想道德和意志品质的修养,更为严重的情况会引发个体私欲的膨胀和高科技犯罪,给他人和社会造成巨大的损失,这已经成为了一个全人类有待解决的问题。再者,另一个重要原因就是校园内外不良文化的误导。处于青春期的大学生的心理需求是变化多样的,容易被外界不良文化所误导。这些不良文化与 传统文化 相比,能够为当代大学生提供更多机会展示个性和情感,但其过于追求形式和感觉,容易导致大学生对社会的参与限制在肤浅和感性的层面上,缺乏理性的思考和判断,从而造成大学生的道德认同变得困难,进而导致道德约束趋于松懈。
3.主体原因。一方面,大学阶段正是人一生中逐渐向成人转变的关键时期,大学生的身心健康、成长成才的需求往往与社会所能提供的教育环境产生一定的矛盾。世界发展的全球化趋势与网络的开放性和兼容性结合越来越紧密,大学生知识结构尚未完善,心智尚不成熟,西方国家对社会主义核心价值观的恶意曲解,以及西方自由主义的不断侵袭,导致当代大学生价值观困惑,不利于大学生树立正确的社会主义核心价值观。另一方面,30年的改革开放给社会经济环境带来了巨大变化,引发了大学生群体道德与价值观念的嬗变。其次,目前的不良社会风气、发展中产生的不公平现象和诸多的社会问题也给一部分大学生带来了较强的忧虑和不满倾向,这些情况都会影响到大学生网络道德规范的形成。再次,当前的就业形势与大学生的就业观念也没有达到和谐的状态,就业的现实情况往往与大学生的期望值形成了强烈的反差,使许多大学生有一种失落感,很多人把发泄途径投向了网络这个虚拟空间。越来越多的大学生把网络当成了消遣对象,无节制的上网让一些大学生逐级丧失了个体性,甚至沦为工具客体的危险。
4.技术原因。专家指出,科学技术的步伐,常常比伦理学的步伐要急促得多,正是这种科学技术与思想观念发展的间距对网络道德的养成构成了严重威胁。首先,由于信息技术形成的不同主体之间信息权利的不对称性导致网络资源占有的不平等。 网络技术 人员、网络专家、网络所有者在知识和资本等方面占有绝对优势,他们凭借这些优势可能侵犯个人和公众信息,从而给他人和社会带来损失。如几年前炒得沸沸扬扬的“网络蚂蚁”事件就是一个典型案例,其因使用简单、下载速度快等优点很快在网民中流行开来。但后来,网民们发现这个软件可以在没有授权的情况下自动访问其他网站,更为严重的是泄露个人信息,这在国内引起了广大网民关注网络隐私的问题。其次,网络作为一门技术,利用好的话可以造福人类,但也可能成为满足某些人邪恶要求的工具。网络软件都是网络技术人员设计出来的,从技术的角度讲,一则软件本身就有可能存在缺陷,为黑客们留下“后门”;二则,随着技术的进步和发展,终有被攻克和解除的时候。因此,有专家认为:网络道德问题仅靠网络技术单方面是无法解决的。
当代大学生离不开网络,但网络不能成为他生活的全部。引导学生将网络与生活联系起来,在生活中审视网络,看到网络的利弊、优势与不足,架构好网络与生活的桥梁,也是学校德育工作的重要策略。思想政治教育工作者可以指导学生 反思 自己和同伴的网络行为,进行网络生活的道德体验教育和道德评价活动,引导学生深刻认识网络行为道德与不道德的不同结果和影响,并在此基础上引导学生认识并处理好上网娱乐与上网学习、上网学习与读书学习的关系,树立科学、理性、自觉的网络及网络道德观念。帮助学生疏导网络生活中的主体矛盾冲突、困惑、苦闷等,引导学生明白网络的不足,树立正确的网络生活观念,加强网络道德修养。社会和高校学生思想政治教育工作者要根据大学生网络道德发展和互联网发展的规律,积极调研、勇于创新、投身实践,努力探索大学生网络文明工程和网络道德教育的新 方法 、新思路、新 渠道 和新成果,为广大青年大学生营造宽松和谐又稳定健康的网络环境,促进大学生的成长成才,从而将他们培养成为对社会有所贡献的高级人才。
[注释]
①韩振峰.警惕大学生网络道德失范[N].河北日报,2003-11-05.
②彭雪开.网络文化价值渗透试析[J].求索,2002(3):36.
③于睿.大学生网络道德问题的成因及对策研究[J].教育探索,2008(3):112.
[参考文献]
[1]王凤秋,何葵.网络对学校德育的冲击[J].现代中小学教育,2001(1).
[2]韦文广.论网络环境下高校思想政治教育的创新[J].改革与战略,2007(9).
[3]张燕.论网络时代下大学生的网络道德危机[J].考试周刊,2009(7).
点击下页还有更多>>>有关网络道德问题研究论文2500字
纠纷现状 网络转载 孰是孰非 互联网的飞速发展为信息和作品的传播带来了翻天覆地的变化。伴随着这一发展,网络媒体也如雨后春笋般焕发出勃勃生机,为用户提供了数量巨大、内容丰富的信息和作品,帮助人们开辟出了获取新知的崭新途径,甚至在潜移默化中改变了很多人的阅读习惯。然而网络媒体用户的增加,在一定程度上却分流了原本属于报纸等传统媒体的读者,由此也给传统媒体的原有市场造成了巨大的冲击。同为向用户或读者提供阅读内容服务的经营者,网络媒体与传统媒体间的市场角逐是毫无疑问的。而在激烈的竞争环境下,双方摩擦也就在所难免。有关网站转载报纸内容的争议,也正是在这一过程中愈演愈烈。 面对众多网站未经许可海量转载报纸内容且不支付任何报酬的现象,部分报社表示出了强烈不满,并开始尝试通过司法途径维护权利。于是纷争鹊起,大量侵犯著作权的案件涌入法院,并且呈现出逐年猛增的趋势。以北京市海淀区人民法院为例,2007年该院受理报社起诉网站转载侵权的案件只有不到10件,2008年则迅速增长到50余件,而到了2009年,截至9月上旬受理的此类案件就超过了120件。随着案件数量的迅速增长,卷入这场纷争的报社和网站也越来越多,所涉及的作品也从几十篇逐步达到了数千篇的惊人数量。 法庭上,一边是报社的愤然指控,另一边则是网站的满腹委屈。孰是孰非,我们还是需要到法律规定中寻找答案。 法律焦点 网络转载 是否合法 报社与网站争议的核心问题在于“网络转载”的合法性,即网站是否有权在未经许可、不付报酬的情况下使用报纸的内容。需要说明的是,所谓“报纸内容”只是日常生活中的习惯说法,从法律的角度来看,这一称谓太过笼统、有失严谨。因此,为了将网络转载是否合法这一问题讨论清楚,我们需要对报纸上不同性质、类型的内容进行法律上的甄别,根据不同情形进行分析。 首先,并不是报纸中的所有内容都能够受到著作权法的保护。报纸刊登的内容五花八门、形式多样,但其中涉及的国家公文、时事新闻、通用数表等内容,以及一些缺乏独创性的只言片语,都不属于我国著作权法的保护对象。因此,即使网站将报纸所刊登的这些内容进行了转载,也不会构成侵犯著作权。 其次,对于报纸所刊登的在文学、艺术、科学等领域内具有独创性的文章,即那些受著作权法保护的作品,也需要视情况区别对待。因为在一些情况下,报社对其报纸上的作品并不享有著作权,而只是有权以非独家的形式进行刊登使用。也就是说,决定如何支配该作品的权利仍然保留在原作者或其他著作权人手中。倘若此时发生了网络转载行为,而报社仅仅以该作品普通使用者的身份起诉网站侵犯著作权,恐怕难以得到法院的支持。 第三,除上述情形之外,通常报社对其报纸上刊登的文章,尤其是本社记者撰写的文章,还是直接享有著作权的。也就是说,报社自身就是这些作品的权利人。那么网站对报纸的这些内容进行转载,是否会对报社构成侵权呢?通观我国的著作权法,在绝大多数情况下,使用他人作品都应该通过合同约定征得著作权人的许可并支付相应的报酬。也就是说,“许可与付酬”是合法使用他人作品的一般原则。这也充分体现了法律对著作权的尊重与保护。当然,这一原则也存在少数例外,即合理使用与法定许可。在合理使用的情形下,使用者可以不经著作权人许可,不支付报酬;在法定许可的情形下,使用者可以不经著作权人许可,但应支付相应的报酬。然而,著作权法对于这两种情形下,谁可以使用,使用什么样的作品,在什么条件下使用以及以什么方式使用等都作出了非常严格的限制:只有在个人为学习、研究等目的,以及为介绍、评论某一作品或说明某一问题而使用或适当引用他人已发表的作品等著作权法明文规定的情况下,才可以被认为是合理使用;同样,也只有在满足为实施九年制义务教育而编写出版教科书,或报社、期刊社转载已被刊登的作品,且作者未事先声明不得使用等著作权法所列举的条件时,才能够被视为属于法定许可。针对网络传播行为而制定的《信息网络传播权保护条例》,也对此作出了类似的规定。 由此可见,只要没有法律、法规的明确规定,任何人使用他人作品都不得突破前文所述的许可与付酬原则。具体到网络转载这一问题,以目前案件中所反映出的实际情况看,绝大多数情况下,网站在转载报纸内容时都难以满足合理使用、法定许可的要求。也就是说,这种未经许可也不付报酬的使用行为通常会被认定为侵犯报社所享有的著作权,并导致网站最终承担停止转载、赔偿损失等侵权责任。 此外,尽管2000年公布并实施的《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》第三条曾规定:“已在报刊上刊登或者网络上传播的作品,除著作权人声明或者上载该作品的网络服务提供者受著作权人的委托声明不得转载、摘编的以外,网站予以转载、摘编并按有关规定支付报酬、注明出处的,不构成侵权。”并且这一内容在该司法解释2004年修改时被保留了下来。以此来看,似乎在一定条件下,网站转载报纸内容时并不需要获得许可。但值得注意的是,在2006年该司法解释再次进行修正时,这一条却最终被予以删除。由此可见,在现有法律框架内,取得许可并支付报酬仍然是网站使用报纸内容时难以规避的法律问题。而通过最高人民法院对司法解释中相关内容的修改过程,我们也不难看出国家最高审判机关当前对网络转载所持的态度。 解决途径 支付费用 合法使用 虽然不少报社与网站已经选择了对簿公堂,但面对当前网络转载的现状,双方都面临着单纯通过司法途径无法摆脱的困境。作为著作权人的报社,尽管在法律上占有优势,但对于数量巨大的侵权转载,如果一一通过诉讼方式解决,则所需投入的时间、精力以及维权成本也将是数量惊人甚至难以承受的。况且,这种方式并不能确保侵权行为就此销声匿迹。而作为使用者的网站,即使其已认识到未经许可转载的违法性,但无论是停止转载作品,还是支付败诉后的巨额赔偿,也都是其不愿见到的结果。 那么除了打官司,就没有更好的解决方法吗?实际上,在法律规定的范围内寻求合作,不仅是弥合双方分歧的一剂良方,更是实现双赢结果的最佳途径。当然,双方合作的最基本方式,仍然需要遵从前文所说的许可与付酬原则,即双方通过协商,订立明确的协议,支付合理的费用,进行合法的使用。 报社与网站形成合作,无疑可以使双方从大量的侵权纠纷中解脱出来,将精力更多地集中在各自的发展与经营上。然而,在寻求合作的过程中,也不免会出现一些新的问题。其中最主要的,便是谈判成本与授权价格问题。由于报社与网站的数量众多,相互之间逐一谈判所带来的高额成本往往令人望而却步。而缺乏普遍认可的付酬标准则,也往往使双方在协商授权价格时陷入僵持不下的局面。为了向合作的目标迈进,报社和网站应当针对互联网海量使用的特点,探索其他效率更高、效力更广的协商模式。 根据我国市场的发展现状,在一对一的谈判模式难以适应双方合作需求的情况下,报社和网站完全可以将目光转向相关协会、组织甚至政府部门,以获得更有力的支持和更专业的帮助。例如,双方可以在各自行业协会或企业联盟的组织之下,对成员的意愿和需求进行调查、协调,进而形成较为成熟和一致的意见,然后以协会或联盟的名义对授权与付酬问题进行整体商谈,使最终的谈判成果惠及于所有成员。采用这样的整体谈判模式,可以大大降低单个谈判的成本消耗,同时减少个别报社或网站在授权中因谈判地位或谈判能力等问题所导致的不公平结果,最终促成双方确定出相对合理的付酬标准,并保持相对稳定的合作状态。此外,著作权集体管理组织在这一过程中也存在着发挥作用的广阔空间。尽管报社掌握有大量作品的著作权,但面对给谁授权、如何授权、授权范围等一系列问题,很多报社却往往缺乏必要的操作经验和精力。而著作权集体管理组织的优势正在于此。报社可以尝试将其作品委托给此类专业组织进行管理,由著作权集体管理组织制定相应的规则和标准,就具体问题与网站等使用者进行协商。 最后,在解决许可和付酬等问题之外,仍需要提醒网站注意的是,即使通过订立合同、支付费用获得了转载报纸内容的授权,其仍需要对一些问题予以特别关注:首先,需要审查报社自身对相关的作品是否享有合法权利,是否有权许可他人转载;其次,须严格按照双方约定的具体方式、范围、期间等条件使用作品,不得超出约定内容随意使用;再次,使用时需要避免出现不注明作品出处,不为作者署名,随意删改题目,篡改内容的等现象。否则,即使有许可合同在手,恐怕也难以彻底摆脱诉讼的困扰。 总之,报社与网站之间有关网络转载的纠纷,尽管争议很大,但并非不可调和。双方在为当前矛盾据理力争的同时,也不妨放眼未来,谋求更加广阔的合作前景。相信在遵守法律,尊重知识产权的大前提下,报社与网站能够通过友好协商平衡各自的利益,共同肩负起对读者、用户和社会的责任,最终将侵权诉讼的干戈化作文化传播之玉帛。
21世纪,计算机的普及和网络高速公路的迅速发展为人们足不出户就能广泛地进行信息的交流和沟通提供了便利,人们只要坐在电脑前运用谷歌、百度等搜索引擎就能知晓世界各地的新闻,使网上的信息杂而广却快速地充斥着人们的头脑。互联网不仅带给人类一场技术革命,它也重新构建了人类的互动方式、价值观念和生活形态。21世纪互联网已经深入人心,虚拟社会就像现实社会一样复杂。2008年“网络暴力第一案”的宣判使司法第一次进入网络暴力案件中,也拉开了大众对于探讨网络暴力的序幕。在网络上爆发的“人肉搜索”所代表的网络暴力事件也让人们看到了网络的阴暗面,而网络上频频爆发的谣言、诽谤、骂战等网络暴力也使这个阴暗面正在消极的增大。网络暴力行为具有如此强的威力本质上源于互联网庞大的用户群体的集合行为,这正是本文所要研究的重点,网络暴力行为同时也对多方造成了负面影响,这也是本文所要探究的。本文的研究类型属于定性研究,运用个案访谈法并辅以事件分析,探讨网络暴力行为对个体、法律和社会道德所造成的危害,并以集合行为理论、冲突论探讨网络暴力行为的成因。本研究主要包括六个部分。第一部分阐述选题的缘起及意义、相关文献及理论依据的梳理以及研究过程,说明本文是以网络暴力行为作为文章主线,集合行为理论及冲突论为理论视角对本篇论文进行阐述。第二部分介绍网络及网络的发展状况,并解释网络暴力行为的内涵及其实质。第三部分通过对“史上最毒后妈”事件、“李刚门”事件、“铜须”事件这三个案例的描述和分析,将网络暴力行为分为三类,即网络舆论暴力、网络谣言、人肉搜索,使网络暴力行为更加具体、清晰。第四部分主要论述网络暴力行为对个体、法律、社会所造成的危害,正是这些潜藏的威胁引发对网络暴力行为的反思。第五部分分别从社会现实根源、群体形成过程及群体心理三个角度对网络暴力行为的成因进行分析。第六部分也就是本文的结论,主要对本研究进行总体概述及展望。收起
网络空间安全杂志
中国网信杂志是核心期刊。《中国网信》杂志由中央网络安全和信息化委员会办公室(国家互联网信息办公室)主管、中国网络空间研究院主办。
绝对的核心期刊。《中国网信》杂志由中央网信办(国家网信办)主管、中国网络空间研究院主办。2022年,《中国网信》杂志正式创刊并公开发行。《中国网信》杂志致力于成为学习宣传贯彻党的创新理论的思想阵地,宣传解读中央网信委及其办公室重大决策部署的重要渠道,深化网信领域理论研究、科技创新和实践活动的交流平台。
文 中国信息通信研究院云计算与大数据研究所云计算部工程师 吴江伟
随着 5G、云计算、人工智能、大数据、区块链等技术的日新月异,数字化转型进程逐步推进,软件已经成为日常生产生活必备要素之一,渗透到各个行业和领域。容器、中间件、微服务等技术的演进推动软件行业快速发展,同时带来软件设计开发复杂度不断提升,软件供应链也愈发复杂,全链路安全防护难度不断加大。近年来,软件供应链安全事件频发,对于用户隐私、财产安全乃至国家安全造成重大威胁,自动化安全工具是进行软件供应链安全防御的必要方式之一,针对软件供应链安全及工具进行研究意义重大,对于维护国家网络空间安全,保护用户隐私、财产安全作用深远。
一、软件供应链安全综述
软件供应链定义由传统供应链的概念延伸扩展而来。业界普遍认为,软件供应链指一个通过一级或多级软件设计、开发阶段编写软件,并通过软件交付渠道将软件从软件供应商送往软件用户的系统。软件供应链安全指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全,以及软件交付渠道安全的总和。软件供应链攻击具有低成本、高效率的特点,根据其定义可知,相比传统针对软件自身安全漏洞的攻击,针对软件供应链,受攻击面由软件自身扩展为了软件自身内部的所有代码、模块和服务及与这些模块、服务相关的供应链上游供应商的编码过程、开发工具、设备,显著降低了攻击者的攻击难度。同时,软件设计和开发所产生的任何安全问题都会直接影响供应链中所有下游软件的安全,扩大了攻击所造成的影响。
近年来,软件自身安全防御力度不断加大,攻击者把攻击目标由目标软件转移到软件供应链最薄弱的环节,软件供应链安全事件频发,对用户隐私及财产安全乃至国家安全造成重大威胁。最典型的如 2020 年 12 月,美国网络安全管理软件供应商“太阳风”公司(SolarWinds)遭遇国家级 APT 组织高度复杂的供应链攻击,直接导致包括美国关键基础设施、军队、政府等在内的超过 18000 家客户全部受到影响,可任由攻击者完全操控。
软件供应链安全影响重大,各国高度重视,纷纷推行政策法规推动软件供应链安全保护工作。2021 年 5 月 12 日,美国总统拜登签署发布《改善国家网络安全行政令》,明确提出改善软件供应链安全,要求为出售给政府的软件开发建立基线安全标准,不仅提供应用程序,而且还必须提供软件物料清单,提升组成该应用程序组件的透明度,构建更有弹性且安全的软件供应链环境,确保美国的国家安全。同年 7 月,美国国家标准与技术所(NIST)发布《开发者软件验证最低标准指南》,为加强软件供应链安全加码,明确提出关于软件验证的 11 条建议,包括一致性自动化测试,将手动测试最少化,利用静态代码扫描查找重要漏洞,解决被包含代码(库、程序包、服务)等。
我国对软件供应链安全问题也给予了高度重视,2017 年 6 月,我国发布实施《网络产品和服务安全审查办法》,将软件产品测试、交付、技术支持过程中的供应链安全风险作为重点审查内容。2019 年12 月 1 日,《信息安全技术 网络安全等级保护基本要求》 版本正式实施,在通用要求及云计算扩展部分明确要求服务供应商选择及供应链管理。
二、软件供应链安全挑战
目前,软件供应链安全受到高度重视,但仍面临多重现实挑战,可以总结分为以下五大类。
1. 软件设计开发复杂化成为必然趋势
随着容器、中间件、微服务等新技术的演进,软件行业快速发展,软件功能及性能需求也不断提升,软件设计开发复杂化已经成为必然趋势。这一现状同时带来了软件设计、开发及维护难度陡增,设计与开发过程不可避免的产生安全漏洞,为软件供应链安全埋下隐患。
2. 开源成为主流开发模式
当前,开源已经成为主流开发模式之一,软件的源代码大多数是混源代码,由企业自主开发的源代码和开源代码共同组成。根据新思 科技 《2021 年开源安全和风险分析》报告显示,近 5 年,开源代码在应用程序中所占比例由 40% 增至超过 70%。开源的引入加快了软件的研发效率,但同时也将开源软件的安全问题引入了软件供应链,导致软件供应链安全问题多元化。
3. 快速交付位于第一优先级
由于业界竞争环境激烈,相较于安全,功能快速实现,软件快速交付仍处于第一优先级,虽然软件通常实现了安全的基本功能需求,如身份认证鉴权、加解密、日志安全审计等,但整体安全防护机制相对滞后,以后期防护为主,前期自身安全性同步建设往往被忽视,软件自身代码安全漏洞前期清除存在短板。
4. 软件交付机制面临安全隐患
软件交付指软件由软件供应商转移到软件用户的过程。传统软件交付以光盘等存储设备为载体,随着互联网等技术的发展,通过网络对于软件进行快速分发已经成为基本模式,不安全的分发渠道同样会对软件供应链安全产生重大影响。
5. 使用时软件补丁网站攻击
针对软件供应链安全防护,软件的生命周期并非结束于软件交付之后,而是直到软件停用下线。软件在设计及开发过程中难免存在安全缺陷,通过补丁下发部署是修复软件缺陷漏洞的最通用方式。软件补丁的下发部署同样受分发渠道影响,受污染的补丁下载站点同样会造成软件供应链安全问题。
三、软件供应链安全防护工具
软件供应链安全涉及众多元素及环节,参考业界常见划分,软件供应链环节可抽象成开发环节、交付环节、使用环节三部分。针对交付环节及使用环节安全防护,主要通过确保分发站点及传输渠道安全。开发环节与软件源代码紧密相关,安全防护较为复杂,囊括编码过程、工具、设备及供应链上游的代码、模块和服务的安全,涉及四类安全工具,包括软件生产过程中的工具和软件供应链管理工具。
1. 静态应用程序安全测试工具
静态应用程序安全测试(SAST)是指不运行被测程序本身,仅通过分析或者检查源程序的语法、结构、过程、接口等来检查程序的正确性。源代码静态分析技术的发展与编译技术和计算机硬件设备的进步息息相关,源代码安全分析技术多是在编译技术或程序验证技术的基础上提出的,利用此类技术能够自动地发现代码中的安全缺陷和违背安全规则的情况。目前,主流分析技术包括:(1)词法分析技术,只对代码的文本或 Token 流与已知归纳好的缺陷模式进行相似匹配,不深入分析代码的语义和代码上下文。词法分析检测效率较高,但是只能找到简单的缺陷,并且误报率较高。(2)抽象解释技术,用于证明某段代码没有错误,但不保证报告错误的真实性。该技术的基本原理是将程序变量的值映射到更加简单的抽象域上并模拟程序的执行情况。因此,该技术的精度和性能取决于抽象域对真实程序值域的近似情况。(3)程序模拟技术,模拟程序执行得到所有执行状态,分析结果较为精确,主要用于查找逻辑复杂和触发条件苛刻的缺陷,但性能提高难度大。主要包括模型检查和符号执行两种技术,模型检查将软件构造为状态机或者有向图等抽象模型,并使用模态/时序逻辑公式等形式化的表达式来描述安全属性,对模型遍历验证这些属性是否满足;符号执行使用符号值表示程序变量值,并模拟程序的执行来查找满足漏洞检测规则的情况。(4)定理证明技术,将程序错误的前提和程序本身描述成一组逻辑表达式,然后基于可满足性理论并利用约束求解器求得可能导致程序错误的执行路径。该方法较为灵活性,能够使用逻辑公式方便地描述软件缺陷,并可根据分析性能和精度的不同要求调整约束条件,对于大型工业级软件的分析较为有效。(5)数据流分析技术,基于控制流图,按照某种方式扫面控制流图的每一条指令,试图理解指令行为,以此判断程序中存在的威胁漏洞。数据流分析的通用方法是在控制流图上定义一组方程并迭代求解,一般分为正向传播和逆向传播,正向传播就是沿着控制流路径,状态向前传递,前驱块的值传到后继块;逆向传播就是逆着控制流路径,后继块的值反向传给前驱块。
2. 动态应用程序安全测试工具
动态应用程序安全测试(DAST)技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定该应用是否易受攻击。以 Web 网站测试为例对动态应用程序安全测试进行介绍,主要包括三个方面的内容:(1)信息收集。测试开始前,收集待测试网站的全部 URL,包括静态资源和动态接口等,每一条 URL 需要包含路径和完整的参数信息。(2)测试过程。测试人员将测试所需的 URL列表导入到测试工具中。测试工具提供“检测风险项”的选择列表,测试人员可根据测试计划选择不同的风险检测项。测试工具在测试过程中,对访问目标网站的速度进行控制,保证目标网站不会因为同一时刻的请求数过高,导致网站响应变慢或崩溃。测试人员在设定测试任务的基本信息时,根据目标网站的性能情况填入“每秒请求数”的最大值。测试工具在测试过程中保证每秒发送请求的总数不超过该数值。(3)测试报告。在安全测试各步骤都完成后,输出测试报告。测试报告一般包含总览页面,内容包括根据测试过程产生的各种数据,输出目标网站安全性的概要性结论;测试过程发现的总漏洞数,以及按照不同安全等级维度进行统计的漏洞数据。
3. 交互式应用程序安全测试工具
交互式应用程序安全测试(IAST)通过插桩技术,基于请求及运行时上下文综合分析,高效、准确地识别安全缺陷及漏洞,确定安全缺陷及漏洞所在的代码位置,主要在三方面做工作:流量采集、Agent监控、交互扫描。(1)流量采集,指采集应用程序测试过程中的 HTTP/HTTPS 请求流量,采集可以通过代理层或者服务端 Agent。采集到的流量是测试人员提交的带有授权信息有效数据,能够最大程度避免传统扫描中因为测试目标权限问题、多步骤问题导致扫描无效;同时,流量采集可以省去爬虫功能,避免测试目标爬虫无法爬取到导致的扫描漏水问题。(2)Agent 监控,指部署在 Web 服务端的 Agent 程序,一般是 Web 服务编程语言的扩展程序,Agent通过扩展程序监控 Web 应用程序性运行时的函数执行,包括 SQL 查询函数、命令执行函数、代码执行函数、反序列化函数、文件操作函数、网络操作函数,以及 XML 解析函数等有可能触发漏洞利用的敏感函数。(3)交互扫描,指 Web 应用漏洞扫描器通过Agent 监控辅助,只需要重放少量采集到的请求流量,且重放时附带扫描器标记,即可完成对 Web 应用程序漏洞的检测。例如,在检测 SQL 注入漏洞时,单个参数检测,知名开源 SQL 注入检测程序 SQLMAP需要发送上千个 HTTP 请求数据包;交互扫描只需要重放一个请求,附带上扫描器标记,Agent 监控SQL 查询函数中的扫描器标记,即可判断是否存在漏洞,大大减少了扫描发包量。
4. 软件组成分析软件组成分析
(SCA)主要针对开源组件,通过扫描识别开源组件,获取组件安全漏洞信息、许可证等信息,避免安全与法律法规风险。现有的开源组成扫描技术分为五种。(1)通过进行源代码片段式比对来识别组件并识别许可证类型。(2)对文件级别提取哈希值,进行文件级哈希值比对,若全部文件哈希值全部匹配成功则开源组件被识别。(3)通过扫描包配置文件读取信息,进行组件识别从而识别组件并识别许可证类型。(4)对开源项目的文件目录和结构进行解析,分析开源组件路径和开源组件依赖。(5)通过编译开源项目并对编译后的开源项目进行依赖分析,这种方式可以识别用在开源项目中的开源组件信息。
四、软件供应链安全研究建议
1. 发展软件安全工具相关技术
软件供应链安全防护的落地离不开安全工具的发展使用。大力发展软件安全工具技术,解决安全开发难点需求,进行安全前置,实现安全保护措施与软件设计、开发同步推进。
2. 提升软件供应链安全事件的防护、检测和响应能力
软件供应链安全防护需要事前、事中、事后的全方位安全防御体系。软件供应链安全攻击事件具有隐蔽性高、传播性强、影响程度深的特点,软件供应链作为一个复杂、庞大的系统,难免存在脆弱节点,应提升对软件供应链安全攻击事件的防护、检测和响应能力,避免安全事件造成重大影响。
3. 构建完善软件供应链安全相关标准体系
通过科研院所及标准机构完善软件供应链安全标准体系,普及软件供应链安全防范意识,提升企业组织对软件供应链安全的重视程度,进行软件供应链安全投入,推进安全建设工作落实。
4. 建立软件供应链安全可信生态
实现软件供应链安全需要各领域企业的共同努力。企业共建安全可信生态将满足不同用户、不同行业、不同场景的安全可信需求,提升业界整体软件供应链安全水平。
(本文刊登于《中国信息安全》杂志2021年第10期)