网络安全产业行业报告范文

导语：如何才能写好一篇网络安全产业行业报告，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

文件提出，电信企业自主制定电信业务资费方案时，应当遵循合法、公平、诚信原则，考虑用户的不同需求，提供业务打包等多种资费方案供用户选择。资费方案结构应科学合理、简单清晰，方案中需列明资费标准、计费方式、对应服务等内容。对涉及用户基本通信需求的固定语音、移动语音、短信息、宽带等业务，电信企业进行打包销售的前提是，必须另外提供包内单项业务单独的资费方案，国家鼓励电信企业为城乡低收入群体提供更加优惠的资费方案。在同一本地网营业区（或业务区）内，电信企业应保证具有同等交易条件的同类用户对资费方案具有同等的选择权利。

文件还指出，电信企业应进一步提高资费透明度，建立资费方案公示制度，通过营业厅、代办点、网站等方式公布所有面向公众市场的在售资费方案。在业务宣传推广时应全面、准确，对资费方案限制性条件及其他需引起用户注意的事项，应履行提醒义务，不得片面夸大资费优惠幅度或作容易引起用户误解的虚假宣传。

Local 国内 ・ 声音

全球正出现以信息网络、智能制造、新能源和新材料为代表的新一轮技术创新浪潮，对产业发展产生了日益深刻的影响。世界正处于新一轮技术创新浪潮引发新一轮工业革命的开端，新一轮产业变革的核心是信息网络技术的应用，信息技术特别是互联网技术的发展和应用正以前所未有的广度与深度，加快推进生产方式、发展模式的深刻变革。从某种程度上讲，制造业互联网化正成为一种大趋势。制造业互联网化呈现出智能产品、众包设计、智能制造、在线服务以及基于互联网的新型商业模式等几大鲜明特征。

可以说，科学技术从来没有像现在这样如此深刻地影响着经济社会发展和社会进步，科技创新从来没有像现在这样显得重要而紧迫。为适应制造业发展新趋势，打造中国制造业升级版，必须把增强创新能力摆在更加重要的位置。要深入实施创新驱动发展战略，加快突破关键核心与共性技术，大力推进科技成果转化和产业化，着力加强以企业为主体的产业技术创新体系建设。

――苗圩，工业和信息化部部长，5月7日， 2014智能制造国际会议”

如果从历史发展的角度看大数据，正因为信息技术的广泛深入应用，有足够能力获取和处理信息资源，使得信息资源的重要性回归到其应有的地位，信息、材料、能源真正变成了推动社会进步的基本资源。

大数据的本质、核心、基础是数据本身，我们需要把对信息的管理和处理水平提高到一个新的高度。要把数据和国家、企业、社会服务连接起来，根据需求采集、处理、应用数据，大数据才能落到实处。我们需要传感技术来获取信息，需要传输技术来传输信息，需要终端技术来承载信息，技术是信息实现价值的核心所在，没有技术，数据再大、再动态、再前沿、再细，也不能产生价值。同时，我们需要对大数据系列相关技术的发展进行统筹规划，要有长远规划，也要有近期的着力点，不断满足发展需求。不管是机构还是企业，都要根据自身急需解决的问题，不要为大数据的概念框架所累，利用信息技术在大数据的体系下提升核心竞争力。

――杨学山，工业和信息化部副部长，4月26日，中国首席信息官联盟第一次工作会议暨互

联网创新与信息化论坛

国内 ・ 地方

北京“市委网络安全和信息化领导小组”成立

5月7日下午，北京市委常委会召开会议，决定成立市委网络安全和信息化领导小组，由市委书记郭金龙任组长，市委副书记、市长王安顺任副组长。

会议指出，北京作为我国的“网都”，网络资源丰富，知名网站云集，信息化程度高，在国家网络安全和信息化建设中具有重要的地位；理顺体制机制，全面整合资源，加强统筹协调，确保本市网络安全和信息化建设整体推进、协同发展，具有重要意义。会议决定，成立市委网络安全和信息化领导小组，作为市委常设议事协调机构，受市委常委会领导。领导小组的主要职责是贯彻落实中央的重大战略、决策、规划、部署和工作要求，组织领导本市的网络安全和信息化建设工作，制定发展规划、政策，推进法治建设，统筹协调、研究解决涉及本市政治、经济、文化、社会等各个领域的网络安全和信息化重大问题。

2 0 1 4年上海市电子商务“双推”平台企业名单出炉

为推动电子商务平台发展，扶持中小企业开展电子商务应用，根据《上海市信息化发展专项资金管理办法》以及《上海市经济信息化委关于开展2014年电子商务“双推”平台企业申报工作的通知》要求，上海市经济信息化委组织开展了2014年电子商务“双推”平台企业的申报和评审工作，经向全社会公开征集，共有50项企业平台项目参与申报。通过专家评审，共遴选出12家平台企业作为2014年电子商务“双推”平台企业，现予以公示。这12家企业分别是：2014年电子商务“双推”平台企业名单上海理想信息产业（集团）有限公司、上海珍岛信息技术有限公司、上海新大陆翼码信息科技有限公司、上海国兴农现代农业发展股份有限公司、上海新世界信息产业有限公司、上海齐屹信息科技有限公司、上海鸿洋电子商务有限公司、上海车搭档汽车技术服务有限公司、上海天呈医流科技股份有限公司、上海双击信息科技有限公司、上海特易信息科技有限公司和上海筑想信息科技有限公司。

国际

纽约：利用旧电话亭建全市性免费WI F I网络

美国纽约市计划利用老旧的公用电话亭，建立一个全市性的免费WIFI网络。

去年将十个付费电话亭转化成WIFI热点后，纽约市信息技术和通信部门正打算将所有电话亭变成WIFI枢纽，建立一个超大的WIFI网络。它已经公告，在纽约所有五个区寻找合作公司，建立这个免费的网络。

不过，公告也表示，纽约还将继续建设公用电话设施，去年它推出了复兴付费电话计划，希望利用众包创意来升级全市的付费电话。

菲律宾： 2 0 1 3年呼叫中心产业收入达到百亿美元

菲律宾联络中心协会（CCAP）表示，在美国等传统英语国家市场持续强劲的需求拉动下，2013年菲律宾国内呼叫中心产业收入创纪录的达到100亿美元，与2012年的86亿美元相比增长18%。此外，截至2013年底，该行业就业人数达到58.6万人，远远高出2012年的50.2万人。据分析，尽管美国仍是呼叫中心的主导市场，但英国、澳大利亚和新西兰等国家的需求也日益强烈。CCAP预测，2015年菲律宾呼叫中心产业收入有望增长14-15%，达到131亿美元，2016年达到150亿。

日本：拟建“太空太阳能电站”年发电量1 0亿瓦

目前，日本计划建造一个太空太阳能电站，预计2040年从太空卫星每年向东京传送10亿瓦电。

日本宇宙航空研究开发机构（JAXA）提议，未来25年，日本计划建造太空太阳能电站。该机构详细描述了这一计划，从太空太阳能电站创建一个年发电量10亿瓦的商业系统，这相当于一座核电站每年发电量。

J A X A退休教授司理佐佐木（SusumuSasaki）概述称，未来计划在东京湾海港建造一个3公里长的人造岛屿。这座岛屿布设了50亿个天线，能够传输微波能量变换成电能。这些微波能量是从3.6万公里高空巨大太阳能收集器发射至地面。

为了收集这些太阳能量，人造岛屿两个巨大镜面一天24小时对准空中太阳能电站。此外，在人造岛屿上建造一个单独的变电所，将电能通过海底电缆发送至东京，保证东京市区供电需求。

马来西亚：政府月底与I T U联合召开会议 拟定实时监测飞行数据的国际标准

为响应马来西亚通信和多媒体部长的号召，国际电联和马来西亚政府将于5月26日～27日在马来西亚吉隆坡组织一场有关实时监测（包括黑匣子）飞行数据的专家对话――云计算和大数据时代对国际标准的需求。

马来西亚政府举办这次活动的主要动因是2014年3月8日从吉隆坡起飞的马航MH370失踪后开展的复杂调查。搜寻飞机遇到的种种困难表明，有必要改进对飞行中的商用飞机的确认和跟踪。

据悉，首次专家会议将拟定一份路线图，指导未来利益相关方为寻求有关实时跟踪飞行数据的ICT解决方案开展协调。

美国：将表决新版网络中立法规C P付费使用网络或成为可能

美国联邦通信委员会（FCC）主席Tom Wheeler在博客上发文称，FCC已经起草了新版网络中立法规，届时拥有宽带基础设施的服务商（如AT&T、Verizon等）有望据此向使用其网络的内容服务商收取费用。

Wheeler说，新版网络中立法规不会破坏互联网的开放精神，“非常简单，新版建议规定，通过限制互联网的开放而造成对消费者或是市场竞争不利影响的行为都会被禁止。”届时，ISP（互联网服务提供商）可基于“商务上的合理”条款与内容服务商签订付费使用合同。

FCC在新版网络中立法规中建议遵循三大原则：一是所有的ISP必须对流量管理做到透明；二是合法的内容不能受到屏蔽；三是ISP不得在违背商业原则的情况下损害互联网，包括利用附属机构区别对待流量。

英国：移动虚拟运营商（MV N O）Sa mb a移动宣布停业

英国移动虚拟运营商（MVNO） Samba移动宣布停业。这是近几个月来英国倒闭的又一家MVNO。外界分析，其倒闭原因是广告收入不佳且数据批发成本较高。

Samba移动是在2012年开始营业的，使用的是3UK公司的网络。其业务模式是，为用户免费提供3G移动宽带接入，但用户需要观看广告视频，Samba则以广告收入为收入源。

在停业公告后，Samba网站上的一则留言写道：“Samba停业的根本原因是数据批发成本过高。”不过Samba则表示，停业的原因是没有与网络批发伙伴达成新一期的协议。“鉴于我们合约到期，但未能签订更低价格的协议，我们不得不立刻停止业务。我们不保证会重启数据服务，除非合作伙伴同意给我们更低的价格。”

国际 ・ 数字

68.6%

2018年全球WiFi热点将超过1050万个 68.6%分布亚太地区居首

2013年全球WiFi热点部署总数达420万个，并将在2013-2018年间继续以15.0%的年复合增长率增长，届时，总数将超过1050万个。其中约有68.6%分布于亚太地区，其次是拉丁美洲（12.3%）、欧洲（9.0%）、北美洲（8.7%）和中东及非洲地区（1.4%）。

34.9%

全球3D打印产业增速创史上新高同比增长34.9%

据全球最知名的3D打印行业研究机构Wohlers Associate公司日前的“全球打印产业报告”显示，全球3D打印产业在2013年迎来了高达34.9%的同比增长，创下史上新高。目前包括销售和生产这些环节在内的全球3D打印产业总值已经达到了30.7亿美元。

80%

篇2

图1 2007－2012年中国IDC市场规模及增长

据中国IDC圈最新的《2012-2013年度中国IDC产业发展研究报告》（简称“IDC报告”）数据显示，2012年中国IDC市场规模达210.5亿元人民币，增速达到23.2%，相比去年增速有较大下滑，但与欧美发达国家相比，还是保持一个较高的增长速度。其中IDC基础业务市场规模137.2亿元人民币，增速为20%，IDC增值业务市场规模73.3亿元人民币，增速为29.7%，增值业务成为拉动IDC市场增长的主力军。

图2 2007－2012年中国IDC市场基础业务规模及增长

图3 2007－2012年中国IDC市场增值业务规模及增长

近两年，国内IDC产业呈现政策导向明显、产业合并加速、基础建设火热等几个特点，主要得益于国内云计算、大数据等新兴产业的推动。虽然近年国内IDC市场增速明显。据统计，2005~2012年，中国IDC市场规模增长了6倍，年均增长率超过30%。但相比欧美地区，国内45万座数据中心总量不低，但大型数据中心偏少，仅不足百座，而且目前国内可以为市场用户提供IDC服务的数据中心仅有有500多座，其中70%以上的数据中心为三家基础电信运营商所有，主要分布在北京、上海、广东、江苏、浙江、山东、四川、湖北等经济相对发达、业务量大、带宽资源充足的省市。而且IDC的平均能耗效率（PUE）在2.2一3，远低于发达国家1.5的水平。

另外，因为受“云模式”发展和数据中心能耗影响，2012年大型IDC服务商业新建数据中心部署开始向西部地区转移，形成全国跨各大区域分散部署的态势。中国三家运营商，中国移动，中国电信，中国联通相继在西部建立大型数据中心，在业务运营、合作模式等领域开展创新，引领了IDC的新的业务发展模式。

报告图表摘要：

2012年全球IDC市场规模与增长2012年，全球IDC市场增长的趋势有所减缓，整体市场规模达到255.2亿美元，增速为14.6%。其增长速度的主要拉动力还在于亚太，仍然源于IT企业、互联网企业和电信企业从自身业务支撑和拓展强烈需求。

图1 2007－2012年全球IDC市场规模及增长2007－2012年中国电信运营商投资规模2012年，三大运营商都在经历了电信重组3G大规模建网的几年后，一方面，通过经营策略调整和业务整合提升竞争力；另一方面，对于新兴业务积极探索，寻求开辟新的市场。2012年全年电信运营商固定资产总投资3278亿元，比去年增速有所上升，增速达到6.2%。

图2 2007－2012年中国电信运营商投资规模2007－2012年中国IDC基础业务和增值业务市场规模近年来，随着互联网业务的高速发展，IDC市场正进入快速增长期。据统计，2005~2012年，中国IDC市场规模增长了6倍，年均增长率超过30%。2012年中国IDC基础业务规模达到137.2亿元，同比增长20%，2012年中国IDC增值业务规模达到73.3亿元，同比增长29.7%。

图3 2007－2012年中国IDC市场基础业务规模及增长

图4 2007－2012年中国IDC市场增值业务规模及增长2012年中国IDC公司的机房服务器数量根据调研数据显示，2012年被调查IDC服务商机房拥有服务器数量在5000台以上所占比例与2011年没有多大变化；被调查IDC服务商机房拥有服务器数量在1000－3000台的所占比例下降到23%，说明这两年行业进行重组整合，较小的IDC服务商已经被重组或者淘汰。

图5 2012年中国IDC公司的机房服务器数量IDC服务商整体分析2012年，基础电信运营商所占比例基本上没有改变，这说明IDC服务提供商产业链上下游环节趋向于稳定，随之而带来的是市场的有序竞争。

表1 基础电信运营商与第三方IDC服务商的对比

图6 2012年中国IDC公司的数量分布2012年中国IDC客户类型分布2012年，IDC公司客户分布行业如下：互联网客户仍旧是主要快速增长的客户群体，2012年所占比例达到38.7%；11.7%被调查用户是制造行业。政府、教育行业增长较快，所占比例分别为8.7%和7.8%，随着政府电子政府、物联网以及部分公共云平台的快速建设，对IDC的需求也在快速增加。教育行业随着班班通等项目的带动，一些校园应用平台的建设与整合，大数据的集中也会带来对IDC业务的需求。

图7 2012年中国IDC客户类型分布 《2012-2013年度中国IDC产业发展研究报告》专题地址：idcquan.com/special/2013baogao/

篇3

关键词：会计报告目标　会计信息流　XBRL

一、会计报告目标实现过程分析

(一)会计报告目标实现应具备的质量特征会计报告目标历来是会计界学者争论的焦点，是受托责任还是决策有用。各有各的说法。而随着证券市场的蓬勃发展，企业变得更加公众化，与众多利益相关者相联系。因此，会计报告目标发展趋势变得越来越明显，即向报告使用者提供关于企业财务状况、经营成果、现金流量等信息，以便使用者做出合理决策。而为使会计信息决策有用，会计信息必须具备一系列质量特征：(1)主要的会计信息质量特征：可靠性和相关性。首先，企业应当以实际发生的交易或者事项为依据进行会计确认、计量和报告，如实反映符合要求的各项会计要素及其他相关信息，保证会计信息真实可靠、内容完整。其次企业提供的会计信息应当与财务会计报告使用者的经济决策需要相关，有助于财务报告使用者对企业过去、现在或者未来的情况做出评价或者预测。可靠性和相关性两者缺一不可。若信息没有反映实际情况，信息的有用性无从谈起，会计报告目标无法实现；若信息没有用处，即使信息可靠，但因对决策无用，会计报告的目标也无法实现。(2)会计信息还应当具有清晰性、可比性、重要性、谨慎性、实质重于形式、效益大于成本以及及时性。只有会计信息具备了这些信息质量特征，会计报告目标才能实现。

(二)引导会计报告目标实现的信息流程若要使会计信息具备基本的信息质量特征，实现决策有用的会计报告目标，不仅需要合理的会计规范体系，完善的公司治理、内部控制，健全的法律制度作支撑，还需要先进的相关技术。会计信息并不是产生后即能发挥其作用，会计信息只有经过几个阶段的传递后，会计报告目标才有可能实现。会计信息流的传输过程大致可分为三个阶段：(I)会计信息的处理阶段。在这个阶段中，会计人员对每一笔业务进行会计确认，将符合会计要素定义的业务作相应地记录、计量、报告，对不符合会计要素定义的事项作选择性的披露。此时，会计信息流主要在企业内部加工、流转。内部控制有效、公司治理完善、外部法律健全、相关技术先进的情况下，会计信息就更加可靠、相关，因此就更加有助于会计报告目标的实现。反之亦然。(2)会计信息的传输阶段。此阶段会计人员将会计信息处理通过某种介质传输给会计信息使用者。介质主要可分为纸质和互联网两种。纸质为传输介质的条件下，会计信息通常要经过很长一段时间才能传递到使用者，而且并不是所有相关利益者有同等条件接受到会计信息。但由于会计信息均是经过了会计师事务所审计的，此时的会计信息相对比较可靠。而以网络为传输介质时，会计信息可以及时传递，会计信息使用者的范围也相应扩大，但安全性不高。如果在传输阶段会计信息能够快速、安全地传递到广大的会计信息使用者，会计报告目标的实现就有了进一步的支持。(3)会计信息的使用阶段。在这个阶段会计信息已经到达使用者，使用者根据自身掌握的知识和信息对会计信息进行提炼、分析、总结，以便最后做出决策。在这个阶段，信息列示的方式和内容成为主要影响因素。会计信息列示的方式可包括文字、图像、动画。如果列报的方式能够突破文字、图表单一的模式，并具有可理解性、可分析性，有助于会计信息使用者做出决策，则说明使用阶段对会计报告目标的实现做出了贡献。虽然会计人员的工作在第一阶段便告以段落了，但是会计信息流的传递还需要经历以后的两个阶段方可以发挥作用。即会计信息只有在三个阶段都实现了基本信息质量目标以后，会计报告的目标才能实现。通过对会计信息流传递过程分解后，可以看出相关披露和传递技术是会计报告目标实现的一个重要因素。

二、会计信息传递的发展历程

(一)指定地点的传递阶段(1992-1993)　我国刚开始进行股份制改革和证券市场试点时，要求上市公司必须将其编制的财务报告放置于指定地点(证券交易所)，并告知相关股东前去查询和阅读。这种信息传递方式比较落后。虽然给投资者和债权人提供了一个了解企业的机会，但是由于时间间隔过长，会计信息失去了决策价值。

(二)报纸为媒介的传递阶段(1993-1999)

随着公开交易的资本市场在中国的建立，证监会《公开发行股票公司信息披露实施细则(试行)》出台，要求上市公司在指定报刊披露财务报告，指定披露的报刊包括《上海证券报》、《中国证券报》、《证券日报》等，由于报刊的发行量大，阅读面大大增加，开创了报刊登载公司财务报告的新模式，人们通过浏览报纸获取财务信息。此后，证监会义相继出台了有关规则，要求上市公司的招股说明书、上市公司公告、中期报告、季报、临时公告等也需要在规定的报刊披露。这一时期信息传递的速度明显快了许多，而且会计信息比上一阶段更有利于位置偏远的信息使用者拥有了和其他使用者同等的获取机会。

(三)互联网财务报告的初始阶段(2000-2003)中国证监会1999年修订的《信息披露的内容与格式准则第2号：年度报告的内容与格式》规定，2000年以后上市公司应将年度报告全文登载于指定的互联网上，从而使网络财务报告从自愿披露变为强制性披露，演变为一种被官方认可的阅读模式。随后证监会又陆续和修订了其他相关准则，对于上市公司的年报、半年报、季报、临时公告、招股说明书的，都规定须在网上公布。此时信息传递的速度比上一时期快了许多，并具有获取方便、便于保存等优势。但技术上和制度上的某些缺陷又增加了会计信息的危险性。

(四)互联网财务报告的发展阶段(2003至今)2003年一种新的财务报告模式逐渐呈现在人们面前，即基于XBRL的财务报告模式(也可以称为第二代网络财务报告模式)，与第一代相比，新的网络财务报告功能发生了根本性变化，它既可以表现为网络常用PDF格式。满足人们用眼睛阅读的习惯，又可以表现为标记语言格式，人们不需直接阅读，而是利用开发的工具帮助人们阅读。这是网络财务的发展阶段，弥补了以前一些财务报告的不足，可以说是一次革命性的进步。

三、纸质和前期互联网披露方式对会计报告目标实现的影响分析

(一)会计信息传递成本的影响纸质财务报告由于需经过多个流通环节，将花费大量排版、印刷费用。而在网上财务报告避免了纸质财务报告排版、印刷的费用，节省了成本。在公司治理、内部控制、外部法律制度基本相同的条件下，可以看出网络报告的成本低于纸质财务报告，使企业更有意愿披露信息。这样信息使用者决策时有更多的信息作参考，更有可能作出合理决策。

(二)会计信息传递时间和空间的影响　由于纸质财务报告印刷数量有限，极大程度上限制了信息使用者对信息的获取。而互联网财务报告信息的传递不受地域和时间的限制，极大地扩大了信息使用者的范围。公司通过在网上财务报告，不仅可以与现

有股东保持密切的联系，而且还可以吸引更多利益相关者的注意。相对于大股东而言，中小股东特别是散户只有从上市公司公开披露的报告中获取信息，只有会计信息传播范围广，中小股东的利益才能得到保障，做出合理的决策。此外纸质财务报告经过排版、印刷、出版、分发等流通环节。而互联网省去了那些环节，能够更加快速地传输。现代社会日新月异，决策周期缩短，只有及时的会计信息才能满足信息使用者的需要，而网络财务报告缩短了传输时间，更有利于会计报告目标的实现。

(三)会计信息可靠性和可分析理解性的影响互联网披露存在一定缺陷：其一，财务报告一旦刊登在报刊上，被他人非法篡改的可能性几乎为零，因此纸质财务报告的安全性较高。而在互联网上披露财务报告，财务信息可能被黑客更改或破坏。且在网络数据(HTML版本文件)录入时可能会出差错(PDF格式报告不存在这一问题)。会计信息的安全性得不到保证，不仅会误导信息使用者，并给信息提供者带来诉讼风险。故安全性是网络财务报告是否能够优于纸质财务报告实现其目标的决定性因素。其二，报刊上披露的财务报告均是经过会计师事务所审计的，并附有审计报告，信息具有可信度。而互联网上的财务报告包括已审计的信息和未被审计的信息，信息使用者很容易混淆两类信息而做出错误的决定。即使指定网站上披露的财务报告是经过审计的，但由于网页相关信息设置有超级链接，信息使用者点击链接后，就可能会进人未被审计的信息范畴，却误认为是审计后的可信的财务报告。其三，纸质财务报告比较符合大众的阅读习惯，而在网上浏览并下载财务报告会对信息使用者特别是计算机初学者造成一些障碍。另一方面，互联网财务报告也有一定的优势。报刊只能以数字、文字、图表来呈现会计信息，显得枯燥、生硬难懂，且报告格式统一，仅符合第一利益集团的要求，不利于其他使用者分析、利用。而互联网披露的财务报告具有多媒体特征，除了数字与文字资料外，还可伴有语音说明、图像等采用视频形式披露公司的财务活动和重大事件等。另外，配合财务分析软件，可以把网上披露的数据加工和处理，和历史数据相对比，和同行业其他公司相对比都因此变得更加方便，使会计信息更具可分析性、可理解性，能够帮助会计信息使用者分析企业的过去、现在以及未来，并做出相应的决策。基于此，网络财务报告更具可分析、可理解的信息质量要求，更有助于会计报告目标的实现。

(四)网络财务报告披露方式的完善对策从以上的分析可看出，与纸质财务报告相比，网络财务报告(HTML格式和PDF格式)具有覆盖面广、易于分析、成本低、速度快等优点，但有安全隐患。在不考虑危险性、误导性的情况下，网络财务报告在每个阶段都比纸质财务报告更加可靠、相关，更加促进会计报告目标的实现。但是危险性、误导性是不能不考虑的重点，如果这两点得不到修复，那么一切将成为泡影。故必须加强安全性和可信度的建设，以使网络财务报告优于纸质财务报告。应从技术和制度两方面来完善网络财务报告，以期实现其目标。其一，加强相关网站安全建设，保证网络安全，防止黑客的袭击。其二，相关机构应定期核实网站数据完整性、安全性。保存纸质财务报告，以便作为核实的依据，并在黑客攻击后作为数据重新录入的依据。其三，网络财务报告应根据是否经过审计划分成已审计和未审计两类，并在网站上有明确的标识。未被审计的财务报告多是企业自愿披露的信息，可以设外部超级链接。而为了确保信息的可信度。已审计的财务报告不能设外部超级链接。这样，会计信息使用者能够清晰辨认信息的可靠性，做相关决策时不再受到一些误导性信息的干扰。只有做到这三点，网络财务报告的安全性得到保证，会计报告目标才能比纸质条件下更好地实现。随着互联网技术的不断发展，于1998年提出的XBRL给互联网财务报告注入了新的血液，弥补了一些互联网财务报告的缺陷，也突出和深化了其优点，为实时财务报告奠定了技术基础。

四、基于XBRL互联网披露对会计报告目标实现的影响分析

(一)XBRL的涵义XBRL(Extensible Business Reporting Language，可扩展商业报告语言)，是XML(Extensible Markup Lan-guage，可扩展标记语言)在财务报告信息交换和提取领域的一种应用，是目前应用于非结构化信息处理，尤其是财务信息处理的最新标准和技术。XBRL技术带来了全新的网络财务报告模式，这种模式以高度标准化的财务基础数据为核心，实现了标准统一、处理高效。XBRL弥补了以前的网络财务报告一些不足，使网络财务报告模式优点更加突出，更有利于会计报告目标的实现。

(二)XBRL在实现会计目标上的优势与初期互联网财务报告相比，XBRL有着如下优势：(1)XBRL确立了不同应用程序之间进行数据交换的标准格式，提高了财务报告的编制效率。XBRL体系包括内部财务报告(XBRL联GL)和外部财务报告(XBRI，联FR)。使用XBRL联GL后，会计人员在每笔经济业务发生之时加上相应的标识(包括发生时间、经办人、涉及的单据、供应商和客户等)，进行汇总后载人XBRL联FR。这种报告模式使会计人员更加精确、迅速完成财务报告的编制，提高了编制效率，降低了编制成本、，然而在以前的网络财务报告模式下，虽然避免了排版、印刷等纸质条件下须发生的费用，但是会计数据在企业内部处理、转换、汇总还是会耗费大量人力物力财力。所以XBRL财务报告模式降低了成本，使企业更加有意愿进行信息披露，更有利于信息使用者做出决策，使会计报告目标更易实现。(2)XBRL是一种跨平台的纯文本的描述性语言，数据交换也是跨平台的。XBRL模式的财务报告不需要手工重复输入，只要所有系统都遵循统一的XBRL语言标准，系统间的数据交换就会保持一致。会计信息流可以免去繁杂的二次输入由企业的系统载入会计师事务所的系统、证监会的系统以及银行的系统。这些使用者只需将报告存储至数据仓库，审核完毕后，就可以做出决策，财务报告就可以在网上披露了。XBRL模式的财务报告在第二段用时将比以前的网络财务报告更少。(3)XBRL在数据安全、检索和分析方面为会计信息使用者创造了更优质的环境。其一，XBRL无需重复的手工输入，就大大降低了数据出错的概率，保证了数据的完整和安全性，使会计信息使用者免去了数据遗漏或差错所带来的困扰。其二，XBRL能够使信息使用者更方便快捷地检索所需要的会计信息。现在的网络财务报告大多采用HTML格式和PDF格式，前者是WEB信息系统利用超交本传输协议交换信息所使用的一种标记语言，后者是一种类似图形文件的文件格式。由于HTML将样式、格式、内容定义在同一个文件中，只关注于有关内容在浏览器上的显示，而无法表达和区分数据的具体内涵，因此基于HTML的互联网财务报告不易进行信息检索，信息过多而无法检索使会计信息使用者面对信息的“大海”无从下手。而XBRL良好的技术架构使会计信息使用者不到一秒钟之内就能获取到自己所需的特定的会计信息。其三，XBRL网络财务报告提高了信息的分析效率。PDF格式的网络财务报告，虽

然为会计信息使用者呈现了会计报告原貌。但是它类似于图形文件，使用者无法通过程序自动从中读取数据。这大大降低了报告的可分析性。而XBRL不仅支持数据检索和提取，而且有助于多方位的分析。信息使用者不仅可以进行纵向的跨越多年份的分析。还可以进行横向的跨越多报表、多公司、多行业的比较。

篇4

电子商务（EC，Electronic Commerce）就是利用电子数据交换（EDI）、电子邮件（E－mail）、电子资金转帐（EFT）及Internet的主要技术在个人间、企业间和国家间进行无纸化的业务信息的交换。随着计算机和计算机网络的应用普及，电子商务不断被赋予新的含义。电子商务被认为是通过信息技术（IT）将企业、用户、供应商及其它商贸活动涉及的职能机构结合起来的应用，是完成信息流、物流和资金流转移的一种行之有效的方法。随着Internet的普及以及WWW服务的提供，可以声、文、图并茂的方式体现商品的特征，并尽可能地便利用户。Internet潜在的、对其他产业的影响，使得电子商务在国内外再掀热潮，电子商务亦被列为未来十大IT主导技术之一，迎接新的“电子商务时代”成为人们讨论的主题。

据统计，Cisco公司日营业额达到900万美元，其中40％的销售收入是通过Internet实现的，预计其1999财年的销售总额达50亿美元，而营运支出节约了2.7亿美元；著名的计算机直销公司Dell，每日通过其Web站点销售计算机达600多万美元；软件巨人微软每周网上销售达300万美元；1997年西欧各国的电子贸易额达30亿美元，预计到2001年将达260亿美元；1997年底，美国和加拿大网上购物人数从半年前的47万人增加到100万人，电子商务正以每百天1倍的速度增长，到2002年，可望达到3000亿美元的规模。据IDC报告，1995年，全球电子商务交易额为2.5亿美元，而1996年这一数额则增至7亿～10亿美元，2000年将达到4000亿美元的规模。据中国互联网信息中心（CNNIC）1999年7月的统计报告，愿意在条件相对成熟的情况下，进行网上购物的占调查人数的85％，比去年同期增加了7％。另外，从1997年7月1日到1998年6月30日一年之间专门讨论电子商务的国际学术会议至少举行了18次，平均每个月一次半，这还没有算其他各种学术会议可能包含的有关电子商业的研讨和报告。由此可见，电子商务确实具有诱人的发展前景，电子商务将是一个巨大的市场，迫切需要研究和开发专门的技术和系统。

尽管电子商务的发展势头非常惊人，但它在全球贸易额中只占极小的一部分。一个主要的障碍就是如何保证传输数据的安全和交易对方的身份确认。因此，从传统的基于纸张的贸易方式向电子化的贸易方式转变的过程中，如何保持电子化的贸易方式与传统方式一样安全可靠，则是人们关注的焦点，同时也是电子商务全面应用的关键问题之一。

二、 安全要素

1.有效性

EC以电子形式取代了纸张，那么如何保证这种电子形式贸易信息的有效性则是开展EC的前提。EC作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。

2.机密性

EC作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个开放的网络环境（如Internet）上的，维护商业机密是EC全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。

3.完整性

EC简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是EC应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

4.可靠性

EC可能直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方，这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的EC方式下，通过手写签名和印章进行贸易方的鉴别已不可能，因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

三、 安全技术

为了满足电子商务的安全要求，EC系统必须利用安全技术为EC活动参与者提供可靠的安全服务，主要包括：鉴别服务、访问控制服务、机密、不可否认服务等。鉴别服务是对贸易方的身份进行鉴别，为身份的真实性提供保证；访问控制服务通过授权对使用资源的方式进行控制，防止非授权使用资源或控制资源，有助于贸易信息的机密性、完整性和可控性；机密的目标为EC参与者信息在存储、处理和传输过程中提供机密性保证，防止信息被泄露给非授权信息获得者；不可否认服务针对合法用户的威胁，为交易的双方提供不可否认的证据，来解决因否认而产生的争议提供支持。

各种EC安全服务都是通过安全技术来实现的。EC使用的主要安全技术包括：加密、数字签名、电子证书、电子信封和双重签名等。

1.加密技术

加密技术是EC采取的基本安全措施，贸易方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。

在对称加密方法中，采用相同的加密算法并只交换共享的专用密钥（加密和解密都使用相同的密钥）。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过这种加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。因此，对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。此外，对称加密方式无法鉴别贸易发起方或贸易最终方。数据加密标准（DES）由美国国家标准局提出，是目前广泛采用的对称加密算法，主要应用于银行业中的EFT领域。DES的密钥长度为56位。

在非对称加密体系中，密钥被分解为一对，即公开密钥或专用密钥。公开密钥（加密密钥）通过非保密方式向他人公开，而专用密钥（解密密钥）加以保存。公开密钥用于对机密性的加密，专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握，公开密钥可广泛，但它只对应于生成该密钥的贸易方。贸易甲方生成一对密钥，公布公开密钥；贸易方乙得到该公开密钥，使用该密钥对机密信息进行加密，然后发送给贸易甲方；贸易甲方再用自己保存的专用密钥对加密后的信息进行解密。贸易方只能用其专用密钥解密由其公开密钥加密后的任何信息。RSA算法是非对称加密领域内最为著名的算法。

2.数字签名

数字签名是非对称加密技术的一类应用。它的主要方式是：报文发送方从报文文本中生成一个128位的散列值（或报文摘要），并用自己的专用密钥对这个散列值进行加密，形成发送方的数字签名；然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方；报文接收方首先从接收到的原始报文中计算出128位的散列值（或报文摘要），接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可否认性。

ISO/IEC JTC1已经起草有关的国际标准规范。该标准的题目是“信息技术安全技术带附件的数字签名方案”，它由概述和基于身份的机制两部分构成。

3.电子证书

数字签名是基于非对称加密技术的，存在两个明显的问题：第一，如何保证公开密钥的持有者是真实的；第二，大规模网络环境下公开密钥的产生、分发和管理。由此，证书签发机构（CA，Certificate Authority）应运而生，它是提供身份验证的第三方机构，由一个或多个用户信任的组织实体构成。CA核实某个用户的真实身份以后，签发一份报文给该用户，以此作为网上证明身份的依据。这个报文称为电子证书，包括：唯一标识证书所有者（即贸易方）的名称、唯一标识证书签发者的名称、证书所有者的公开密钥、证书签发者的数字签名、证书的有效期及证书的序列号等。电子证书能够起到标识贸易方的作用，是目前EC广泛采用的技术之一。常用的证书有：持卡人证书、商家证书、支付网关证书、银行证书和发卡机构证书等。微软公司的Internet Explorer和网景公司的Navigator都提供了电子证书的功能作为身份鉴别的手段。

4.电子信封

电子信封是为了解决传送更换密钥问题而产生的技术，它结合了对称加密和非对称加密技术的各自优点。发送者使用随机产生的对称密钥加密数据，然后将生成的密文和密钥本身一起用接收者的公开密钥加密（称为电子信封）并发送；接收者先用自己的专用密钥解密电子信封，得到对称密钥，然后使用对称密钥解密数据。这样，保证每次传送数据都可有发送方选定不同的对称密钥。

5.双重签名

在实际商务活动中经常出现这种情形，即持卡人给商家发送订购信息和自己的付款帐户信息，但不愿让商家看到自己的付款帐户信息，也不愿让处理商家付款信息的第三方看到定货信息。在EC中要能做到这点，需使用双重签名技术。持卡人将发给商家的信息（报文1）和发给第三方的信息（报文2）分别生成报文摘要1和报文摘要2，合在一起生成报文摘要3，并签名；然后，将报文1、报文摘要2和报文摘要3发送给商家，将报文2、报文摘要1和报文摘要3发送给第三方；接收者根据收到的报文生成报文摘要，再与收到的报文摘要合在一起，比较结合后的报文摘要和收到的报文摘要3，确定持卡人的身份和信息是否被修改过。双重签名解决了三方参加电子贸易过程中的安全通信问题。

四、 公开密钥框架

与DNS和X.500类似，公开密钥框架（PKI，Public Key Infrastructure）也是一种网络基础设施，其目标是向网络用户和应用程序提供公开密钥的管理服务。为了使用户在不可靠的网络环境中获得真实的公开密钥，PKI引入公认可信的第三方；同时避免在线查询集中存放的公开密钥产生的性能瓶颈，PKI引入电子证书。可信的第三方是PKI的核心部件，正是由于它的中继，系统中任意两个实体才能建立安全联系。

电子证书中第三方的数字签名，使用户可以离线地确认一个公开密钥的真实性。当证书中认可的事实发生变化时，证书者必须使用某种机制来撤销以前发出、但现在失效的证书。除了证书的有效期外，证书撤销列表（CRL）是另一种证书有效期控制机制。证书者定期CRL，列出所有曾但当前已被撤销的证书号，证书的使用者依据CRL即可验证某证书是否已被撤销。

1.PKI结构模型

PKI框架有三类实体：管理实体、端实体和证书库。管理实体是PKI的核心，是PKI服务的提供者；端实体是PKI的用户，是PKI服务的使用者；证书库是一个分布式数据库，用于证书/CRL存放和检索。

证书签发机构（CA）和注册机构（RA）是两种管理实体。CA是PKI框架中唯一能够/撤销证书的实体，维护证书的生命周期；RA负责处理用户请求，在验证了请求的有效性后，代替用户向CA提交。RA可以单独实现，也可以合并在CA中实现。作为管理实体，CA/RA以证书方式向端实体提供公开密钥的分发服务。

持有者和验证者是两种端实体。持有者是证书的拥有者，是证书所声明事实的主体。持有者向管理实体申请并获得证书，也可以在需要时请求撤销或更新证书。持有者使用证书鉴别自己的身份，从而获得相应的权力。验证者通常是授权方，确认持有者所提供的证书的有效性和对方是否为该证书的真正拥有者，只有在成功鉴别之后才可授权对方。

证书库可有WEB、FTP或X.500目录来实现。由于证书库中存取对象是证书和CRL，其完整性由数字签名保证，因此对证书库的操作可在无特殊安全保护的信道上传输。

不同的实体间通过PKI操作完成证书的请求、确认、、撤销、更新和获取等过程。PKI操作分成存取操作和管理操作两类。前者涉及管理实体/端实体与证书库之间的交互，操作的目的是向/从证书库存放/读取证书和CRL，后者涉及管理实体与端实体之间或管理实体内部的交互，操作的目的是完成证书的各项管理任务和建立证书链。

2.PKI层次模型

PKI框架描述为三个层次。最低层是传输层，向上提供PKI操作报文的可靠传输，可以是运输层协议（如TCP），或应用层协议（如HTTP、SMTP、FTP）。中间层是密码学服务层，向上提供加解密、数字签名和报文摘要等基本密码学服务，可由RSA、MD5和智能卡接口等模块实现。最高层是证书服务层，使用下两层提供的加密和传输服务，向用户提供证书的请求、签证、、撤销和更新等服务。

PKI的三类实体使用了三层服务。证书库无需特殊的安全交互措施，所以仅使用传输层服务分发证书和CRL；管理实体和端实体使用证书服务层构造PKI证书操作报文，使用密码学服务层作鉴别和保护交互信息，使用传输层服务传送报文。

3X.509证书

ISO/ITU、ANSI、IETF等组织制定的标准X.509，对电子证书进行了定义，对X.509证书和CRL做了标准化工作，不同组织定义的证书格式并不完全相同。X.509证书适用于大规模网络环境，它的灵活性和扩展性能够满足各种应用系统不同类型的安全要求。X.509证书具有如下五个方面的特性。

(1)支持多种算法。X.509证书独立于算法，CA根据需要选择证书的签名和摘要算法，以及端实体所拥有密钥对的类型。摘要算法有MD2、MD5和SHA－1，证书签名算法有RSA和DSA，密钥对类型有RSA密钥、DSA签名密钥、D－H密钥交换密钥、KEA密钥和ECDSA密钥。

(2)支持多种命名机制。X.509证书除了使用

X.500名字机制标识持证者和验证者，还支持

E－mail地址、IP地址、DNS名和URI。

(3)限制证书（公开密钥）的用途。CA能够规定证书的使用范围，如：签名、不可否认、密钥加密、数据加密、密钥协商、证书签发和CRL签发等。

(4)定义证书遵循的策略。每个CA都定义了一定的安全策略，规范证书的操作过程。这些策略包括：CA的命名空间、身份验证、撤销机制、法律责任和收费等。

(5)控制信任关系的传递。建立CA体系，跨域认证，使得每个CA除负责本域的证书管理任务外，还要维护与其他CA间的信任关系。X.509证书定义若干字段用于控制信任关系的传递，CA能够将自己管理域的安全策略体现在信任关系中。

五、 安全电子交易

安全电子交易（SET，Secure Electronic Transaction）是一个通过开放网络（包括Internet）进行安全资金支付的技术标准，由VISA和MasterCard组织共同制定，1997年5月联合推出。由于它得到了IBM、HP、Microsoft、Netscape、VeriFone、GTE、Terisa和VeriSign等很多大公司的支持，已成为事实上的工业标准，目前已获得IETF标准的认可。

SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。SET主要由3个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。SET规范涉及的范围：加密算法的应用（例如RSA和DES）；证书信息和对象格式；购买信息和对象格式；确认信息和对象格式；划帐信息和对象格式；对话实体之间消息的传输协议。SET 1.0版已经公布并可应用于任何银行支付服务。

SET主要目标如下:1信息在Internet上安全传输，保证网上传输的数据不被黑客窃取；2定单信息和个人帐号信息的隔离，当包含持卡人帐号信息的定单送到商家时，商家只能看到定货信息，而看不到持卡人的帐户信息；3持卡人和商家相互认证，以确定通信双方的身份，一般由第三方机构负责为在线通信双方提供信用担保；4要求软件遵循相同协议和报文格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。

1.SET的购物流程

电子商务的工作流程与实际的购物流程非常接近，使得电子商务与传统商务可以很容易融合，用户使用也没有什么障碍。从顾客通过浏览器进入在线商店开始，一直到所定货物送货上门或所定服务完成，以及帐户上的资金转移，所有这些都是通过公共网络(Internet)完成的。如何保证网上传输数据的安全和交易对方的身份确认是电子商务能否得到推广的关键。这正是SET所要解决的最主要的问题。一个包括完整的购物处理流程的SET的工作过程如下：

(1)持卡人使用浏览器在商家的WEB主页上查看在线商品目录，浏览商品。

(2)持卡人选择要购买的商品。

(3)持卡人填写定单，包括项目列表、价格、总价、运费、搬运费、税费。定单可通过电子化方式从商家传过来，或由持卡人的电子购物软件建立。有些在线商场可以让持卡人与商家协商物品的价格（例如出示自己是老客户的证明，或给出竞争对手的价格信息）。

(4)持卡人选择付款方式，此时SET开始介入。

(5)持卡人发送给商家一个完整的定单及要求付款的指令。在SET中，定单和付款指令由持卡人进行数字签名，同时利用双重签名技术保证商家看不到持卡人的帐号信息。

(6)商家收到定单后，向持卡人的金融机构请求支付认可。通过支付网关到银行，再到发卡机构确认，批准交易。然后返回确认信息给商家。

(7)商家发送定单确认信息给顾客。顾客端软件可记录交易日志，以备将来查询。

(8)商家给顾客装运货物，或完成订购的服务。到此为止，一个购买过程已经结束。商家可以立即请求银行将钱从购物者的帐号转移到商家帐号，也可以等到某一时间，请求成批划帐处理。

(9)商家从持卡人的金融机构请求支付。在认证操作和支付操作中间一般会有一个时间间隔，例如在每天的下班前请求银行结一天的帐。

前三步与SET无关，从第四步开始SET起作用，一直到第九步，在处理过程中，通信协议、请求信息的格式、数据类型的定义等，SET都有明确的规定。在操作的每一步，持卡人、商家和支付网关都通过CA来验证通信主体的身份，以确保通信的对方不是冒名顶替。

2.SET的认证

(1) 证书。SET中主要的证书是持卡人证书和商家证书。

持卡人证书是支付卡的一种电子化的表示。持卡人证书不包括帐号和终止日期信息，而是用单向哈希算法根据帐号和截止日期生成的一个码，如果知道帐号、截止日期、密码值即可导出这个码值，反之不行。

商家证书就像是贴在商家收款台小窗上的付款卡贴画，以表示它可以用什么卡来结算。在SET环境中，一个商家至少应有一对证书，与一个银行打交道；一个商家也可以有多对证书，表示它与多个银行有合作关系，可以接受多种付款方法。

除了持卡人证书和商家证书以外，还有支付网关证书、银行证书、发卡机构证书。

(2) CA。持卡人可从公开媒体上获得商家的公开密钥，但持卡人无法确定商家不是冒充的（有信誉），于是持卡人请求CA对商家认证。CA对商家进行调查、验证和鉴别后，将包含商家公开密钥的证书经过数字签名传给持卡人。同样，商家也可对持卡人进行验证。

CA的主要功能包括：接收注册请求，处理、批准/拒绝请求，颁发证书。

在实际运作中，CA也可由大家都信任的一方担当，例如在客户、商家、银行三角关系中，客户使用的是由某个银行发的卡，而商家又与此银行有业务关系(有帐号)。在此情况下，客户和商家都信任该银行，可由该银行担当CA角色，接收、处理客户证书和商家证书的验证请求。又例如，对商家自己发行的购物卡，则可由商家自己担当CA角色。

(3) 证书的树形验证结构。在双方通信时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，则可验证CA的身份，依次类推，一直到公认的权威CA处，就可确信证书的有效性。每一个证书与签发证书的实体的签名证书关联。SET证书正是通过信任层次来逐级验证的。例如，C的证书是由B的CA签发的，而B的证书又是由A的CA签发的，A是权威的机构，通常称为根CA。验证到了根CA处，就可确信C的证书是合法的。

在网上购物实现中，持卡人的证书与发卡机构的证书关联，而发卡机构证书通过不同品牌卡的证书连接到根CA，而根的公开密钥对所有的SET软件都是已知的，可以校验每一个证书。

六、 防火墙技术

网络防火墙技术是一种用来加强网络之间访问控制和防止外部网络用户以非法手段进入内部网络、访问内部网络资源、保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包，按照一定的安全策略来实施检查，决定网络之间通信的权限，并监视网络的运行状态。防火墙系统的实现技术主要分为分组过滤（Packet Filter）和服务（Proxy Service）两种。

分组过滤技术是一种基于路由器的技术，由分组过滤路由器对IP分组进行选择，允许或拒绝特定的分组通过。过滤一般是基于一个IP分组的有关域（IP源地址、IP目的地址、TCP/UDP源端口或服务类型和TCP/UDP目的端口或服务类型）进行的。基于IP源/目的地址的过滤，即根据特定组织机构的网络安全规则，过滤掉具有特定IP地址的分组，从而保护内部网络；基于TCP/UDP源/目的端口的过滤，因为端口号区分了不同的服务类型或连接类型（如SMTP使用端口25，Telnet使用端口23等），所以为分组过滤提供了更大的灵活性。通过防火墙系统中分组过滤路由器对特定端口IP分组的禁止，可以防止黑客利用不安全的服务对内部网络进行攻击。

服务技术是由一个高层的应用网关作为服务器，接受外来的应用连接请求，进行安全检查后，再与被保护的网络应用服务器连接，使得外部服务用户可以在受控制的前提下使用内部网络的服务。同样，内部网络到外部的服务连接也可以受到监控。应用网关的服务实体将对所有通过它的连接作出日志记录，以便对安全漏洞检查和收集相关的信息。使用应用网关的高层服务实体有以下的优点：1隐蔽信息，内部受保护子网的主机名称等信息不为外部所知；2日志记录，便于网络安全管理；3可以由应用网关有关RPC的服务，进行安全控制。

目前，比较完善的防火墙系统通常结合使用两种技术。服务可以大大降低分组过滤规则的复杂度，是分组过滤技术的重要补充。这里介绍一种基于网络地址转换（NAT，Network Address Translator）的复合型防火墙系统，该系统是我们在国家863课题支持下自行研究和开发的。

1.总体思想

技术造成性能下降的主要原因在于其在指定的应用服务中，传输的每一个报文都需主机转发，应用层的处理量过于繁重，改变这一状况的最理想的方案是让应用层仅处理用户身份鉴别的工作，而网络报文的转发由TCP层或IP层来完成。另一方面，包过滤技术仅仅是根据IP包中源及目的地址来判定一个包是否可以通过，而这两个地址是很容易被篡改和伪造的，一旦网络的结构暴露给外界后，就很难抵御IP层的攻击行为。

集中访问控制技术是在服务请求时由网关负责鉴别，一旦鉴别成功，其后的报文交互都直接通过TCP/IP层的过滤规则，无需象应用层那样逐个报文转发，这就实现了与方式同样的安全水平而处理量大幅下降，性能随即得到大大提高。另一方面，NAT技术通过在网关上对进出IP包源与目的地址的转换，实现过滤规则的动态化。这样，由于IP层将内部网与外部网隔离开，使得内部网的拓扑结构、域名以及地址信息对外成为不可见或不确定信息，从而保证了内部网中主机的隐蔽性，使绝大多数攻击性的试探失去所需的网络条件。

2.系统设计

本防火墙系统的总体结构模型由五大模块组成。

NAT模块依据一定的规则，对所有出入的数据包进行源与目的地址识别，并将由内向外的数据包中源地址替换成一个真实地址，而将由外向内的数据包中的目的地址替换成相应的虚拟地址。

集中访问控制（CAC）模块负责响应所有指定的由外向内的服务访问，并实施安全的鉴别，为合法用户建立相应的连接，并将这一连接的相关信息传递给NAT模块，保证在后续的报文传输时直接转发而无需控制模块干预。

临时访问端口表及连接控制（TLTC）模块通过监视外向型连接的端口数据动态维护一张临时端口表，记录所有由内向外连接的源与目的端口信息，根据此表及预先配置好的协议集由连接控制模块决定哪些连接是允许的而哪些是不允许的，即根据所制定的规则（安全政策）禁止相应的由外向内发起的连接，以防止攻击者利用网关允许的由内向外的访问协议类型做反向的连接访问。由于本模块所实现的功能实际上仍属于IP包过滤的范畴，因此，它有可能与NAT模块所设定的过滤规则相冲突。基于这一原因，在系统总体设计中，本模块属于可选部分，将在实际操作时根据需要来安装或激活。

Interior DNS和Exterior DNS分别为NAT模块机能所需的Split－DNS系统中的内部域名服务器和外部域名服务器（DNS），是NAT网关不可缺少的辅助部分。Split－DNS系统的主要目的在于解决由于NAT模块对内外部网的地址屏蔽所造成的内外部域名解析不一致的问题。内部网的域名解析由Interior DNS负责，外部网针对内部网的域名解析由Exterior DNS负责，两者间的数据同步通过内部通信机制完成。

3.模块功能

(1)NAT模块。NAT模块是本系统的核心部分，而且只有本模块与网络层有关，因此，这一部分应和Unix系统本身的网络层处理部分紧密结合在一起，或对其直接进行修改。本模块进一步可细分为包交换子模块、数据包头替换子模块、规则处理子模块、连接记录子模块与真实地址分配子模块及传输层过滤子模块。

(2)CAC模块。集中访问控制模块可进一步细分为用户鉴别子模块和连接中继子模块及用户数据库。用户鉴别子模块主要负责与客户通过一种可信的安全机制交换各种身份鉴别信息，根据内部的用户数据库，识别出合法的用户，并根据用户预先被赋予的权限决定后续的连接形式。

连接中继子模块的主要功能是为用户建立起一条最终的无中继的连接通道，并在需要的情况下向内部服务器传送鉴别过的用户身份信息，以完成相关服务协议中所需的鉴别流程。

(3)SPLIT DNS系统。内部、外部DNS模块可以利用现有的DNS服务程序，如BIND（Berkley Internet Name Domain）软件包，通过与NAT模块不断交互，维持域名与地址对应关系的同步，维护两个动态的内部DNS数据库和外部DNS数据库来实现，既达到了总体的设计目标，又保持了对其他服务的透明性。

七、 结束语

电子商务尚是一个机遇和挑战（风险）共存的新领域，这种挑战不仅来源于传统的习惯、来源于计划体制和市场体制的冲突、更来源于对可使用的安全技术的信赖。总之，用户对电子商务活动安全性的需求，以及可使用的网络安全措施，主要包括在如下几方面：

1.确定通信中的贸易伙伴的真实性

常用的处理技术是身份认证，依赖某个可信赖的机构（CA）发放证书，双方交换信息之前通过CA获取对方的证书，并以此识别对方；安全电子交易（SET）规范为在Internet上进行安全的电子商务提供了一个开放的标准。

2.保证电子单证的秘密性，防范电子单证的内容被第三方读取

常用处理技术是数据加密和解密，包括对称密钥加密技术和非对称密钥加密技术，单证传输的安全性依赖于使用的算法和密钥长度。