時間:2023-09-11 17:26:07
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇安全審計的類型范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
[關鍵詞]信息安全審計;審計應用;審計實現 ;APP
doi:10.3969/j.issn.1673 - 0194.2015.08.012
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2015)08-0019-01
近年來,隨著辦公業務對手機軟件相關信息系統的依賴越來越高,APP應用軟件信息系統存在的風險對業務的潛在影響也越來越大。解決針對業務信息內容的篡改操作行為的監控管理的問題,必須要有一種有效的安全技術手段對內部員工、運行維護人員以及第三方人員的上網行為、內網行為、操作行為等進行有效的監控和管理,并對其行為趨勢進行分析和總結。
1 APP應用信息安全審計定義
為了APP應用信息系統的安全、可靠與有效,由獨立于審計對象的IT審計師,以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價,向IT審計對象的最高領導,提出問題與建議的一連串的活動稱為IT審計。IT審計就是信息系統審計,也稱IT監查。
2 APP應用信息安全審計的實現
要實現APP應用信息安全審計,保障計算機信息系統中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴),需要對計算機信息系統中的所有網絡資源(包括數據庫、主機、操作系統、網絡設備、安全設備等)進行安全審計,記錄所有發生的事件,提供給系統管理員作為系統維護以及安全防范的依據。
2.1 合規性審計
做到有效控制IT風險,尤其是操作風險,對業務的安全運營至關重要。因此,合規性審計成為被行業推崇的有效方法。安全合規性審計指在建設與運行IT系統中的過程是否符合相關的法律、標準、規范、文件精神的要求一種檢測方法。這作為風險控制的主要內容之一,是檢查安全策略落實情況的一種手段。
2.2 日志審計
基于日志的安全審計技術是通過SNMP、SYSLOG或者其他的日志接口從網絡設備、主機服務器、用戶終端、數據庫、應用系統和網絡安全設備中收集日志,對收集的日志進行格式標準化、統一分析和報警,并形成多種格式和類型的審計報表。
2.3 網絡行為審計
基于網絡技術的安全審計是通過旁路和串接的方式實現對網絡數據包的捕獲,進行協議分析和還原,可達到審計服務器、用戶終端、數據庫、應用系統的安全漏洞,審計合法、非法或入侵操作,監控上網行為和內容,監控用戶非工作行為等目的。網絡行為審計更偏重于網絡行為,具備部署簡單等優點。
2.4 主機審計
主機安全審計是通過在主機服務器、用戶終端、數據庫或其他審計對象中安裝客戶端的方式來進行審計,可達到審計安全漏洞、審計合法和非法或入侵操作、監控上網行為和內容以及向外拷貝文件行為、監控用戶非法行為等目的。主機審計包括主機的漏洞掃描產品、主機防火墻和主機IDS/IPS的安全審計功能、主機上網和上機行為監控、終端管理等類型的產品。
2.5 應用系統審計
應用系統安全審計是對用戶在業務應用過程中的登錄、操作、退出的一切行為通過內部截取和跟蹤等相關方式進行監控和詳細記錄,并對這些記錄按時間段、地址段、用戶、操作命令、操作內容等分別進行審計。
2.6 集中操作運維審計
集中操作運維審計側重于對網絡設備、服務器、安全設備、數據庫的運行維護過程中的風險審計。
運維審計的方式不同于其他審計,尤其是維護人員為了安全的要求,開始大量采用加密方式,如遠程桌面協議(Remote Desktop Protocol,RDP)、SSL等,加密口令在連接建立的時候動態生成,一般的針對網絡行為進行審計的技術是無法實現的。
3 審計系統的實現
通過對6類審計產品的綜合應用,可以形成較完備的APP應用信息系統安全審計應用系統,對整個網絡與信息系統中的網絡、主機、應用系統、數據庫及安全設備等進行安全審計,且可以支持分布式跨網審計,并進行集中統一管理,達到對審計數據綜合的統計與分析,更有效地防御外部的入侵和內部的非法違規操作,最終起到保護信息和資源的作用。
參考網絡與信息系統安全審計應用模型,企業既可以采取單項逐一建設方式,也可以采用多項綜合建設方式建立內部審計應用系統。對于擁有分(子)公司且不在同一地區的企業,也可以通過城域網絡把多個分(子)公司統一起來,進行集中建設,統一管理。
4 結 論
通過整合市面上多種不同類型的審計產品,按照網絡與信息系統安全審計應用模型,采用“統一規劃、分步實施”的方式,可以在企業內部建立起嚴格監控的網絡與信息系統安全審計應用平臺,提升企業信息化日常運維及操作的安全性。
主要參考文獻
[1]胡克瑾.IT審計[M].北京:電子工業出版社,2002.
① 等價有償確實是民法通則所規定的民事活動的原則之一, 但不能因此將該原則理解為一切民事活動的必要準則。道理很簡單, 民法通則所調整的社會關系并非都是商品交換關系(比如民法通則所調整的人身關系和身分關系在本質上不是商品關系)。即使民法通則所調整的商品關系也未必一定必須是實行等價有償原則的關系( 比如基于自愿的贈與關系和無息借貸關系, 基于公法干預的那部分非完全收費的醫療服務關系)。
② 更為重要的是, 就損害賠償關系的法律調整而言, 等價有償原則并不意味著損害賠償關系的調整應當以該項損害賠償關系的前提關系是否體現了等價有償為原則, 換言之, 并不意味著賠償額占實際損失額的比例應當與受害人在該項損害賠償關系的前提關系中所支付的代價占其所獲得的利益的比例相一致, 而是意味著應當賠償的數額與實際損失的金額相符即實際賠償。正是在這個意義上, 筆者認為, 民法通則關于侵權賠償責任的規定所體現的實際賠償原則, 是民法通則總則所確立的等價有償原則在侵權責任關系中適用的結果, 是等價有償原則的具體體現。就民法調整的醫患關系而言, 等價有償原則對醫療服務關系(即醫療事故賠償關系的前提關系)的作用在一定范圍內或一定程度上受到了體現公共福利政策的公法的制約, 因而醫療服務關系在一定范圍內或一定程度上可能并非完全貫徹等價有償原則,但是,我們不能以醫療服務關系(盡管是一定范圍內的)的不完全等價有償性為由,否定實際賠償原則在醫療事故賠償關系中的適用。
③ 從比較法的角度看, 現代民法發展的重要趨勢之一是其權利救濟機能的擴張(往往是通過民事特別法或判例的形式),它不僅作用于傳統的私法關系領域(商品經濟關系,私人之間的關系),而且作用于帶有一定公法性質的社會關系領域( 公共福利的提供和利用關系, 國家與私人之間的行政管理關系)。其重要的背景之一是人權保障范圍的擴大。資本主義國家的現代民法是如此, 社會主義市場經濟國家的民法更應當如此。在損害賠償問題上,不論侵權發生在什么領域, 都應當貫徹反映等價有償要求的實際賠償原則(至于是否有必要在特定侵權領域設立懲罰性賠償制度的問題另當別論)。
(5) 在支持限制醫療事故賠償、反對適用民法通則的議論中,有種似乎與上述可能存在的對等價有償原則的誤解有關聯的意見認為,在醫療事故賠償問題上,應當貫徹權利與義務相一致的原則。也就是說, 醫療事故被害人所享有的獲得賠償的權利應當與其承擔的付款義務相一致, 付款義務的大小決定了受償權的大小; 醫療機構承擔的賠償義務應當與其收取醫療費的權利相一致, 收費權利的大小決定了賠償義務的大小。否則, 就是違反了權利義務相一致的法律原則。依筆者之見, 這種看法也是似是而非的。
① 且不論權利與義務相一致這種表述本身是否妥當, 這種見解不是把權利義務相一致理解為權利和義務的統一性( 通常大概有幾種的含義, 比如,人們在享有和行使其法律上的權利的同時,應當履行其承擔的法律上的義務;不能只享有法律上的權利,不承擔法律上的義務,反之亦然;在特定的法律關系中,一方當事人享有的權利就是另一方當事人所承擔的義務,反之亦然 ),而是理解為人在法律上的權利和義務的對等性, 即任何人享受的法律上的權利必須和他所承擔的法律上的義務相對等。這種理解顯然是不恰當的。如果規定人的權利或義務的法都是以這種見解為依據的,那么其中許多的法一定是非常不合理的法。至少在大多數場合, 這種見解不符合我國現行法的實際。
② 即使在醫患關系這一特定的法領域, 這種見解也存在明顯的不當之處。因為按照這種見解的邏輯, 就應當徹底取消我國公共醫療服務行業所存在的非常有限的福利性或公益性, 應當徹底實行有病無錢莫進來的醫療服務政策。
③ 如果這一見解在醫療事故賠償關系的法領域真的可以被認為是妥當的話, 那么, 如前所述,合理的賠償標準就應當是醫療費自付率和損害賠償率成正比,或者是福利程度與損害賠償程度成反比。這么說來, 權利義務一致論絕非是支持適用條例賠償規定的論據, 恰恰相反,它實際上是反對適用條例的論據。
3. 醫療機構的承受能力或償付能力有限這一事實判斷本身就是不恰當的。即使能夠成立,也不應當以此為由限制醫療侵權被害人就其所受損害獲得全部賠償的權利。
(1) 醫療機構的承受能力有限這種一般性的一刀切式的事實認定,本身就是不恰當的。因為它根本不能反映現實情況的多樣性:各個醫療機構的償付能力因各自的實力和案件的具體情況而異。同一醫療機構,對于不同數額的賠償,其償付能力可能不同;不同的醫療機構,對于同等數額的賠償,其各自的償付能力也可能不同。說得再通俗一點, 對于一家實力雄厚的大醫院而言,即使是一件高達百萬元的賠償,也許算不了什么; 而對于窮鄉僻壤的一間連工資也發不出的合作醫療站而言,即使是一件不足千元的賠償,也許足以使它關門倒閉。
(2) 即使醫療機構的承受能力有限這一判斷在現實中的特定的某個案件中也許能夠成立,但由于這一判斷的對象只不過是個別事實,該事實不具有一般性或典型性或唯一性,因此該事實與所謂的醫療福利性一樣,不具有立法事實的性格。所以, 該事實不應當被條例起草者在設計醫療事故賠償的范圍和標準時作為立法事實加以考慮。如果條例起草者希望醫療事故處理機關在具體確定賠償數額時考慮醫療機構的償付能力的話, 那么就應當在條例第49條第1款中就此事實因素作出規定。只有這樣,條例的限制性賠償標準在具體適用中才可能減少或回避因立法上的一刀切而可能引起的明顯的不公正。
(3) 即使醫療機構的償付能力有限這一事實具有相當的普遍性,并且相當多數的醫療機構在償付能力上的差異和相當多數的醫療事故引起的損害在量上的差異小到如此的程度,以致于條例起草者在設計統一適用的賠償標準時,可以省去這些差異而把該事實作為立法事實加以一刀切式的考慮, 在立法政策上, 這種考慮也是極不妥當的。
① 醫療事故的被害人應當按照什么標準獲得賠償的問題,換言之,發生醫療事故的醫療機構應當按照什么標準對被害人進行賠償的問題, 是醫療事故賠償案件的當事人在法律上有何權利義務的問題。條例起草者在解決醫療事故當事人在損害賠償方面的權利義務這一問題時,當然要對各種各樣的損害作出政策上的評價, 確定什么樣的損害應當賠償, 什么樣的損害不應當賠償, 并在此基礎上規定應當賠償的范圍和確定應當賠償的數額計算標準, 即確定統一的賠償請求權和賠償義務的內容。這里的關鍵問題在于,在確定賠償范圍和賠償標準,即確定求償權和賠償義務的內容的時候,到底應當考慮什么,不應當考慮什么,到底應當以什么為基準對某項損失是否應當作為賠償項目,對某一程度以上的損失是否應當賠償進行評價。依筆者之見,醫療機構的償付能力不應當被作為評價標準或考慮因素之一。條例起草者原本應當區分應當賠償多少和有能力賠償多少這兩個問題,不應當用賠償義務人的償付能力這一因素來限制被害人的賠償請求權的范圍和數額。 條例起草者的錯誤在于,她把應當性與可能性混為一談,用可能性否定或限制應當性。按照條例起草者的邏輯, 我國民法通則所體現的實際賠償原則是完全錯誤的,因為它根本沒有考慮到侵害人的償付能力;產品責任法、消費者權益保護法等涉及賠償問題的民事特別法也都是錯誤的,因為它們也都沒有考慮賠償義務人的償付能力;國家賠償法則更是錯誤的,因為她沒有考慮到國家這一公共利益的法律上的代表者的償付能力(更嚴重的錯誤也許在于,國賠法要國家從國庫中拿錢即拿屬于全體人民的財產來賠償受害的私人);至于破產法則是錯過了頭的,因為它甚至讓資不抵債的企業關門倒閉,讓工人們失業。
② 筆者不知道條例第1條所規定的“保護醫療機構的合法權益”這一立法宗旨與條例限制賠償的規定有無關系,也不知道條例起草者在設計賠償制度時是否意識到這一立法宗旨。不過人們從答記者問的有關論述中也許可以發現,答記者問似乎把二者聯系在一起,似乎把條例限制賠償的規定理解為保護醫療機構的合法權益.也就是說,大概在答記者問看來,較之其他侵權領域的賠償義務人,在同等情況下醫療事故機構應當少賠, 少賠是醫療機構的合法權益; 條例之所以要賦予醫療機構這樣的權益, 理由之一是醫療機構的償付能力有限。如果筆者的這些推測屬實, 如果條例起草者也是如此認為的話, 那么,不僅條例限制賠償的規定, 而且條例所規定的“維護醫療機構的合法權益”的立法宗旨,作為立法政策都是非常不妥當的。因為這一立法宗旨的意圖之一是要賦予醫療機構這一特定群體少賠的特權.從而明顯地違反了平等原則.
(4) 衛生部之所以把醫療機構的償付能力(有限)作為限制賠償的理由之一, 當然不是僅僅為了維護醫療機構的利益。衛生部匯報表明, 她顯然是想通過維護醫療機構的利益來維護廣大患者的就醫利益。大概在衛生部看來(支持限制賠償政策的許多議論也一樣), 如果不限制賠償而實行實際賠償原則, 那么醫療機構就可能會因賠償負擔過重發生運營上的困難甚至倒閉, 原本能夠向廣大患者提供的醫療服務就會受到嚴重影響。不僅如此, 醫療機構也可能將其因支付賠償金而受到的經濟損失, 通過某種方式轉嫁到廣大患者的頭上, 加重廣大患者的就醫負擔。
不過在筆者看來, 盡管這種顧慮本身也許有一定道理, 但采用限制賠償的方式來回避實際賠償所可能引起的負面后果實際上大概是行不通的。理由如下。① 限制賠償并不是不要賠償, 現行條例所規定的賠償范圍和標準對于許多勢單力薄的醫療機構而言, 仍然是難以對應的。一旦發生損害額較高的醫療事故, 這些醫療機構就完全可能面臨資不抵債的危機, 更不用說繼續為廣大患者繼續提供原有質量的醫療服務。② 醫療事故機構大概也不會因為少賠幾個錢就放棄轉嫁損失的念頭(如果它想轉嫁的話)。所以, 現行條例的限制賠償政策并不能回避在實際賠償的場合所可能引起的影響廣大患者就醫利益的后果。按照醫療機構償付能力有限論的邏輯, 要避免賠償對醫療機構運營能力和對廣大患者利益的負面影響, 徹底的辦法是完全免除醫療機構的賠償責任。
4. 經濟發展水平(不高)這一因素也不能成為條例限制賠償的正當理由
說我國經濟發展水平不高或者說我國仍處于社會主義初級階段,國家還不富裕, 人民生活水平在總體上還比較低, 也許誰也不會有異議。但是如果以此為由, 否定實際賠償原則對醫療事故賠償的適用, 說條例限制賠償是合理的,人們也許就難以理解了。
所謂“經濟發展水平(不高) ”這一判斷,當然是就我國與發達國家的比較而言的。它不是關于我國國內某一地區的經濟狀況的判斷,并不涉及國內不同地區的經濟發展水平的狀況。那么, 我國不同地區的經濟發展水平和居民生活水平是怎樣的呢? 是基本上均衡的呢? 還是存在巨大差別的呢? 毫無疑問,至少就相當一部分地區而言, 答案應當是后者。
答記者問和衛生部匯報之所以強調我國經濟發展水平不高,其目的顯然是想讓患者們明白以下的道理。我國的經濟水平還遠遠沒有達到如此高的程度,就像發達國家那樣,老百姓一般能夠付得起相當高額的醫療費,其生命健康利益或生存利益具有相當高的可期待價值,其生存費用也達到了相當高的水準; 醫療機構能夠賺取高額的醫療收入因而實力雄厚,在發生醫療事故的情況下有能力承擔高額的賠償費; 醫療事故的被害者可以像發達國家的醫療事故被害者那樣,有可能或有“資格”獲得相當高額的賠償金。既然如此, 在我國經濟水平還不高的現在和未來相當長的時期內,在醫療事故賠償問題上,就不得不對患者群體的對醫療事故賠償的不切實際的過大期待加以合理的限制。
關于經濟發展水平和賠償標準或人的生命健康利益在經濟上的價值之間應當具有什么樣的關系的問題,本文姑且不加以討論。筆者在此只針對上述以經濟發展水平為理由的賠償限制論談點意見。只要人們承認,在我國相當范圍的不同地區,經濟發展的水平存在著巨大差異。在已經相當富裕的沿海大城市和仍然極度貧窮的部分農村,不僅兩地居民的生活水平(掙錢能力、生活費用、包括享受醫療服務在內的消費能力或負擔能力等)、可期待平均壽命和生命健康利益的經濟價值(觀)存在著相當程度的差異, 而且兩地醫療機構的經濟實力也大都存在著相當程度的差距,就可以作出如下的論斷。答記者問或條例起草者所主張的我國經濟發展水平(不高)這一事實,對于證明條例限制賠償政策的合理性而言,是不合格的,沒有關聯性的。因為這一事實認定僅僅是關于整個國家經濟狀況的判斷,而條例的限制賠償規定所適用的對象是發生在經濟發展水平可能存在巨大差異的國內不同地區的醫療事故賠償案件。基于國際比較的我國經濟發展水平不高這一事實認定,顯然不能用來作為解決我國這樣一個不同地區經濟發展水平懸殊、老百姓貧富差距巨大的國家的醫療事故賠償標準問題的依據。
5. 四項事實根據與條例關于限制賠償規定的實際關系有關限制性規定存在的主要問題[59]
議論至此,有必要概觀一下上述四項事實根據與條例關于賠償的規定(第50條)的實際關系并對有關限制性規定作一簡短的評論。在此先確認一點,四項事實根據中的“醫療行為的高風險性”似乎與條例關于賠償的規定沒有什么明顯的關系。
(1) 條例關于賠償項目的規定。
如前所述,條例未將患者本人因醫療事故致殘喪失勞動能力而導致的收入損失和死亡而導致的收入損失作為賠償項目(即殘疾賠償金和死亡賠償金)加以列舉。由于條例關于賠償項目的列舉是完全列舉,所以條例未列舉這兩個項目意味著條例否定二者是應當賠償的損失。
依筆者之見, 四項事實根據中的“醫療行業的福利性”和“醫療機構的償付能力”這兩條大概成了否定該項損失賠償的事實根據。
將這兩項重要損失排除在賠償范圍之外,從我國民事賠償法的現狀來看,可謂條例對賠償范圍所作的重大限制。如前所述,民法通則第119條雖未列舉這兩項損失,但由于該條的列舉是不完全列舉,所以在特定案件的審理中如果確認其存在,法院就可以通過對民法通則第119條的解釋將該其納入應當賠償的范圍之內(當然,在最高法院人身損害賠償解釋于2004年5月1日起實施后,法院可以直接適用該解釋中關于這兩項損害賠償的規定)。值得注意的是,在衛生部考慮修改辦法之前,承認這兩項賠償的外國的和臺灣的醫療侵權賠償制度的有關情況已為我國法學界所熟知,我國的國家賠償法也已明確作出了相關的規定。因此,衛生部當然應當知道這些情況。據此筆者推測,衛生部在修改辦法起草條例時不是疏忽而是特意將二者排除在賠償范圍之外(遺憾的是,衛生部匯報中沒有提及這個重要問題,答記者問對此也沒有直接發表任何意見)。
條例排除對這兩項損失的賠償是完全說不通的。條例既然將非殘疾患者的誤工損失納入賠償范圍,就應當將殘疾患者因喪失勞動能力而導致的收入損失納入賠償范圍,更應當將死亡患者喪失的收入利益納入賠償范圍。承認前者而否定后二者是根本不盡情理的。
(2) 條例關于賠償標準的規定。
① 關于誤工費賠償數額的限制(患者有固定收入的,對收入高于醫療事故發生地上一年度職工年平均工資3倍以上的,按照3倍計算)、殘疾生活補助費的支付標準(按照醫療事故發生地居民平均生活費計算,自殘疾之月起最長賠償30年)、被扶養人生活費的支付標準(按照其戶籍所在地或者居住地居民最低生活保障標準計算)和精神損害撫慰金數額的限制(按照醫療事故發生地居民年平均生活費計算,造成患者死亡的,賠償年限最長不超過6年;造成患者殘疾的,賠償年限最長不超過3年)的規定,大概也與“醫療的福利性”和“醫療機構的償付能力”這兩條考慮有關,也可能與“我國經濟發展水平(不高) ”這一考慮有關。另外,關于陪護費、喪葬費、住宿費、交通費等項費用的人數限制大概也是如此。“按照醫療事故發生地……計算”之類的規定, 顯然是考慮了不同地區經濟發展水平不同這一因素,與四項事實根據似乎都沒有關系。
② 條例關于賠償標準的規定明顯違反了實際賠償原則。其中關于誤工費數額的限制,根本否定了誤工損失通常因案而異因人而異,因而不同的案件不同的被害人,誤工損失大小不一,可能存在巨大的差異這一事實。既然是要解決損失的賠償問題,那么誤工損失的賠償問題就只能由裁判機關根據損失的具體情況作出判斷,預先在立法上作出一刀切式的規定是完全不合理的,更不用說是低標準的限制。條例關于賠償標準的規定的基本特征是平均主義加低標準主義。人們難以感受到這里體現了充分救濟的民事賠償法的精神。關于精神損害撫慰金數額的限制性規定,筆者在此只想提一個問題,那就是衛生部在起草該規定時到底有沒有認真考慮過醫療侵權致人傷殘尤其是致人死亡所可能引起的精神損害的嚴重性。筆者從自己所了解的有關情況(包括筆者的醫療侵權案件)中深切感到,這種精神損害有時是非常深重的(尤其是在如下場合: 患者或患者的親屬滿懷著期待和信賴將自己或自己最親愛的人的健康或生命的命運托付給了醫院和醫務人員,不是由于病入膏肓不可挽救,不是由于醫務人員單純技術上的差錯,而是由于醫務人員對患者診療的明顯的嚴重失職,甚至是放任不管見死不救,導致原本完全能夠救治的疾病未能得到救治, 原本不應當發生的嚴重殘疾發生了,原本可能得到或應當得到挽救的生命喪失了)。條例所規定的如此低標準的撫慰金難道能夠撫慰那些受到巨大精神痛苦的被害人或其親屬嗎?
(3)如前所述,答記者問認為,條例是不可能違反民法通則的基本精神的;衛生部匯報表示,條例根據民法通則的基本原則建立醫療事故賠償制度,筆者的疑問是,在答記者問和衛生部匯報看來,民法通則的有關基本精神或基本原則到底是什么呢?條例對賠償所作的種種限制難道真的可以說是符合民法通則的基本精神或基本原則的嗎?
6. 為了我國醫療事業的發展,在制定法上與其限制醫療事故賠償,還不如讓醫療事故的受害者同其他侵權的被害者一樣有權按照實際賠償原則獲得完全的賠償。實際賠償制度的適用對我國醫療事業的發展所可能帶來的負面影響,不應當通過限制賠償,而應當通過其他的政策手段或制度來減輕或回避。
(1) 如前所述, 限制賠償不是條例的目的, 而是實現條例的宗旨即保障和促進醫療事業的發展和醫學科學的進步的手段。對于這一宗旨本身, 即使是要求損害賠償的醫療事故的被害者大概也不會不贊成。問題不在于目的而在于手段. 我們應當關心這樣的問題: 為了實現這一目的, 從比較政策論的觀點看, 限制賠償這一現行條例采用的手段相對于其他手段是否具有優越性,是否比較值得(即具有較好的效果成本比); 是否存在其他較為優越的手段可以用來取代限制賠償。以下是筆者的基本看法。
① 首先必須承認, 醫療事故賠償與醫療事業的發展可能存在兩種不同意義上的關系。其一是醫療機構的財務狀況因醫療事故賠償金的支付而惡化,醫療機構的服務能力因此而下降。如果這種情況嚴重到一定的程度,醫療事業的發展和醫療技術的進步會受到不利的影響。其二是醫療機構的服務和管理質量,醫務人員的職業責任感和診療水平因醫療事故賠償而得到提高,醫療事業的發展因此而得到促進。在考察醫療事故賠償與醫療事業的發展的關系時,不應當像答記者問和條例起草者那樣,只見前者,無視后者。
② 減輕或回避醫療事故賠償對醫療事業可能產生的不利影響的手段或方法可能有若干種,其中包括最近在我國醫療賠償議論中成為熱門話題的醫療責任保險制度(主張限制賠償的答記者問也非常關注這一制度)。因此, 限制賠償只不過是手段之一, 并非唯一的手段。既然存在若干種選擇方案, 政策制定者就應當利用效用成本分析, 對各種手段作出適當的評價, 選擇效用較大成本較小的手段或手段的組合。
③ 比較而言, 限制賠償是得不償失的, 效用成本比是較差的(相對于醫療責任保險)。第一,在效用方面, 限制賠償的效用在某種意義上是比較差的。限制賠償的特點是醫療機構對超出限定范圍和標準的損失不予賠償,對未超出限定范圍和限定標準的損失仍應賠償。所以,限定賠償制度只能限制醫療事故賠償對醫療事業可能發生的不利影響。與此不同,醫療責任保險的特點是保險范圍內的損失由保險機構承擔賠償,醫療機構只有在損失超出保險范圍和標準的情況下,就超出部分承擔賠償責任。所以, 在發生醫療事故的情況下, 只要損失未超出保險范圍,醫療機構就無須賠償,醫療事業因此就不會受到因賠償而帶來的不利影響。當然,事情總是存在兩個方面。由于限制賠償仍屬事后責任制,只要不發生醫療事故,醫療機構就不存在花錢賠償的問題。醫療責任保險則屬于事先花錢(支付保險費)回避或減少賠償風險的制度,保險金的支付與是否真的發生醫療事故無關。支付保險金必然加重醫療機構的負擔,從這個意義上講,醫療責任保險也可能會給醫療事業帶來不利影響,尤其是在保險費負擔過重的情況下(這個問題在美國似乎比較嚴重)。不過筆者還是認為,至少在我國的現階段,談論醫療責任保險制度的負面作用的問題沒有什么實際意義。因為我國最近才興起的醫療責任保險, 至少在保險費率上還是相當低的(當然, 筆者不排除在對醫療事故賠償實行實際賠償原則的情況下,保險費率有可能上漲)[60]。第二,在成本方面, 限制賠償的成本顯然是比較高的。其中最大的成本在于,它是以限制患者獲得完全賠償的權利為代價的。隨著個人化的人權觀念在我國社會的逐步確立,這個代價的性質就會變得更加嚴重。與此不同,醫療責任保險卻在客觀上有助于患者獲得應當獲得的賠償,有助于對患者權利的充分救濟(在未加入責任保險的醫療機構發生了損害額高于其償付能力的醫療事故的情況下,患者獲得賠償的權利將得不到完全的實現)。
(2) 這里有兩個值得注意的情況。① 衛生部匯報表明, 衛生部在選擇限制賠償政策時, 與其在起草辦法時[61]不同,沒有將我國尚未健全醫療責任保險制度這一情況作為理由。據此筆者推測, 也許在衛生部看來, 即使我國建立了比較健全的醫療責任保險制度, 醫療機構大都加入了醫療責任保險, 只要我國的醫療事業仍然具有公共福利性的事業, 我國的經濟水平還不夠高, 醫療機構的償付能力仍然有限, 就仍然應當堅持實施限制賠償這一特殊政策。② 答記者問雖然特別強調建立醫療責任保險制度對于解決醫患之間在賠償問題上的矛盾,對于兼顧患者的權益和醫療事業的發展所具有的重要意義, 但并未主張以醫療責任保險制度來取代現行的限制賠償制度。
在筆者看來, 衛生部匯報之所以會無視醫療責任保險制度所具有的雙重功能―既有助于患者權益的切實保障,又有助于減輕醫療事故賠償對醫療機構的自身利益和服務能力的影響, 沒有注意到這一制度所具有的替代(盡管未必是完全替代)限制賠償制度的重要價值; 答記者問之所以會在論述醫療責任保險制度的意義時也沒有提到該制度所具有這種替代性, 這不僅與二者所強調的限制賠償政策的事實根據論有關, 而且可能與公共利益高于個人利益、為了公共利益可以并且應當犧牲個人利益的傳統觀念的影響有關。 (三) 對其他相關問題的評論
1. 關于對漫天要價和天價判決的憂慮
無論是答記者問還是衛生部匯報, 對醫療事故被害人追求金錢賠償的欲望, 似乎都很憂慮。她們似乎擔心, 如果不事先明確對醫療事故賠償的范圍和標準作出明確的限制并明確排除民法通則的適用, 患者在醫療事故案件中就會設法盡量利用實際賠償原則漫天要價,在最高法院采用并用原則的辦法時代曾經出現過的所謂天價判決就會重現。面對這種憂慮, 筆者的疑問是, 在衛生部和最高法院看來, 我國醫療事故賠償的水準, 我國患者的生命健康利益的實際價值, 到底是合情合理的, 還是低得不盡情理的? 所謂的漫天要價和天價判決, 難道真的已經到了離譜的地步, 并有四處蔓延之勢, 以至于有必要在立法上對醫療事故賠償的范圍和標準作出現行條例這樣的限制, 有必要在案件審理上排除民法通則的適用 ?
2. 關于國窮則人命賤的邏輯
關于我國老百姓的生命健康利益的損害賠償問題, 長期以來, 有一種相當流行的觀點, 那就是國窮則人命賤。在這種觀點看來, 中國既然是個人口眾多的窮國, 既然與那些人口不多的富國存在著如此明顯的天壤之別, 那么, 對中國的老百姓而言, 他們可期待的生命健康利益的價值就應當遠遠低于富國老百姓所能期待的價值。如果有人不顧“貧窮”這個國情, 想要提高自己個人的生命健康價值, 那就是想入非非的漫天要價, 就是無理要求, 或者就是想借醫療事故來敲竹杠發橫財。在筆者看來, 國窮則人命賤的邏輯盡管在某種意義上也許是無可奈何的命中注定, 但對于我國賠償政策的制定和我國老百姓的生命健康利益的法律保障而言卻是非常有害的。作為賠償政策的制定機關和適用機關, 應當警惕和肅清這種觀點的影響, 應當從人權保障的觀點出發, 反省現行的賠償政策和裁判方針所存在的問題, 探討新的比較好的解決賠償問題的方策。
3. 關于羊毛出在羊身上的比喻
在支持條例的限制賠償規定的議論中, 有個聽起來似乎非常通俗易懂實際上卻令人難以理解的說明, 即“羊毛出在羊身上”。其意思是說, 醫療事故賠償實際上是羊毛出在羊身上, 最終還是要分攤到所有患者身上,而不是由國家出資賠償。因此,在審判實踐中應適用條例所規定的較低賠償標準,是可以理解的[62]。筆者的疑問是, ① 按照羊毛論的邏輯, 既然醫療侵權賠償的最終拔毛者不是醫療機構而是廣大患者, 那么, 醫療侵權賠償制度在事實上豈不成了制裁廣大患者的制度, 成了對醫療事故機構沒有任何實質性的民事制裁意義的制度? 如果事實確實如此, 那么取消而不是限制醫療侵權賠償不是更具有合理性嗎? 我們有什么理由要讓廣大無辜的患者去當醫療事故機構的替罪羊, 為了某個特定受害者的損失而拔毛呢? 諸如消費者權益保護法和產品責任法那樣的加重型或嚴格型的民事責任法, 由于會導致廣大消費者被拔去更多的毛, 豈不都成了更不盡情理的法律? ② 羊毛論到底有多少事實根據呢? 它能夠確切反映醫療損害賠償金負擔的實際狀況嗎? 它將醫療事故被害患者與廣大患者的利益關系視為對立的關系, 這在事實上難道能夠說得通嗎? 羊毛論應當成為醫療事故賠償政策的制定依據和醫療案件審理的法律適用選擇的依據嗎? ③ 醫療事故的被害患者會被羊毛論說服嗎? 她們難道會為了其他患者的就醫利益而作出自我犧牲, 心甘情愿地接受較低的賠償標準嗎? 廣大患者會為了自己的就醫利益而支持羊毛論嗎? 她們難道會因此而放棄自己在遭遇醫療事故時請求完全賠償的權利嗎? 即便是醫療機構和醫務人員, 她們會贊同羊毛論嗎? 她們難道不怕一旦承認了羊毛論, 就等于承認了自己千方百計向廣大患者轉嫁賠償負擔, 因此必將招來社會輿論的強烈譴責嗎?
4. 關于分配的公正論
答記者問所強調的雙贏論也好, 衛生部匯報所主張的兼顧論也好, 都表明以公正公平為醫療事故賠償政策的價值取向, 反對不顧其他有關方面的利益, 只考慮對被害人的權利救濟。在支持賠償限制政策的一些文章中有一種觀點叫做“分配的公正”。在這種觀點看來,醫療侵權損害賠償實質上是將醫療資源這一具有公共性的社會財富(由國家、社會和醫療機構所投入或創造的,為不特定多數患者所共享的財富)的一部分分配給醫療侵權的特定被害人個人。醫療侵權損害賠償的范圍和標準實質上就是在被害人個人和廣大患者之間分配醫療資源這一社會財富的標準。賠償范圍越寬,賠償標準越高,意味著流入被害人個人的口袋里的醫療資源就越多,為廣大患者所共享的醫療資源就越少。如果將民法通則所體現的實際賠償原則適用于醫療事故的賠償,那么就可能會導致醫療資源在被害個人和廣大患者之間的不公正的分配。條例限制賠償就是從分配的公正這一觀點出發調整醫療資源在被害個人和廣大患者之間的分配關系,使其比較公正。
筆者承認, 醫療損害賠償制度的設計,如同其他任何涉及到(無論是直接和還是間接的)社會性財富的分配問題的法制度的設計一樣,應當考慮分配的公正。但是, 公正是一個相對性的觀念, 利害關系的各方可能各有自己的公正觀,并且可能互相對立,既定的對利害關系各方都是公正的客觀標準并不存在。有利害關系的任何一方(包括代表國家投資利益的官方)都不應當把自己認為的公正說成是利害關系各方共有的公正。依筆者之見, 分配是否公正的問題, 與其說是實體問題還不如說是程序問題。法定的分配標準是否具有公正性, 只能以其是否是通過具有相當代表性的、公開并且民主的協商、交涉、表決的方式作出的為判斷標準。
三《條例》限制賠償政策的事實根據論―答記者問見解的問題性
(一)“特殊立法政策”的內容和事實根據
(二)“特殊立法政策”的事實根據論的問題性
(三) 對其他相關問題的評論
四 放棄現行法律適用原則的必要性和解決法律適用問題的代替方案
(一) 放棄“區分不同案件分別適用法律”原則的必要性
(二) 解決醫療侵權賠償案件法律適用問題的代替方案
結論
三 《條例》限制賠償政策的事實根據論―答記者問見解的問題性[44]
如前所述,答記著問強調, 條例“體現了國家對醫療事故處理及其損害賠償的特殊立法政策”。那么, 答記者問所說的特殊立法政策的內容是什么呢? 在損害賠償問題的處理上, 條例所體現的立法政策與民法通則所體現的立法政策有什么不同呢? 條例所體現的特殊立法政策又是以什么事實為根據的呢? 被作為根據的那些“事實”是否符合客觀現實呢? 即便符合客觀現實, 以這些事實為根據, 是否能夠證明條例對醫療事故損害賠償的限制性規定具有政策上的合理性呢? 這些就是本節要檢討的問題。
(一) 條例所體現的特殊立法政策的內容及該政策的事實根據
條例第1條規定,制定條例的目的是“正確處理醫療事故,保護患者和醫療機構及其醫務人員的合法權益,維護醫療秩序,保障醫療安全,促進醫學科學的發展”。條例起草者衛生部的匯報指出, 修改辦法的經濟補償制度的原則是“既要使受損害的患者得到合理賠償,也要有利于我國醫療衛生事業和醫學科學的健康發展”[45]。答記者問的表述與衛生部匯報的見解基本相同, 但更為直截了當。它指出, 條例之所以要對賠償金額作出限制, 就是“為了推動醫療衛生事業的發展和醫療技術的進步”, 換言之, 如果不對醫療事故的賠償范圍和標準作出現行條例所作出的限制, 如果法院對醫療事故引起的賠償案件適用體現了實際賠償原則的民法通則的規定, 那么, 我國醫療事業的發展和醫療技術的進步就會受到不利的影響[46]。由此可見, 答記者問所強調的特殊立法政策的“特殊”之處, 亦即在賠償政策上條例與民法通則的不同之處,在于條例以保障和促進醫療事業的發展這一公共利益來限制患者或其遺屬原本根據民法通則所體現的實際賠償原則所可能得到的賠償這一個別利益。筆者在此將該政策簡稱為“公益限制賠償政策”。
根據答記者問的說明, 條例所體現的公益限制賠償政策是以下述被政策制定者所認定的四項事實為根據的。① 醫療行為具有較高的風險性, ② 我國醫療行業具有公共福利性, ③ 我國醫療機構的承受能力有限, ④ 我國的經濟發展水平較低。對照條例起草者衛生部的匯報可以發現, 答記者問所提出的事實根據論,除了其中的第①項似乎是答記者問自己的看法(筆者不知道衛生部是否在其他正式場合表達過這樣的見解)以外,基本上反映了衛生部在匯報中所表達的見解[47]。
以下, 筆者對“公益限制賠償政策”的事實根據論進行分析和評論。
(二) “公益限制賠償政策”的事實根據論的問題性
1. 醫療行為的高風險性不能說明條例限制賠償的正當性。
答記者問沒有說明醫療行為的高風險性與限制賠償到底有何關系。筆者在此姑且作出兩種推測[48],然后分別加以評論。
(1) 答記者問也許是想說: 高風險性這一客觀因素的存在, 降低了過失這一醫療侵權的主觀因素在賠償責任構成中的意義。人們應當承認以下兩個事實, ① 在醫療過程中, 即使醫務人員充分履行了注意義務, 也未必能夠完全回避診療的失敗及由此引起的患者人身損害的發生; ② 即使醫務人員在實施醫療行為方面確實存在過失, 損害后果的發生也往往在一定程度上與該項醫療行為固有的風險性存在一定的關系。因此, 在設計醫療事故損害賠償制度時, 應當考慮到醫療風險這一客觀因素在損害形成中所起的作用, 不應當把在客觀上應當歸因于醫療風險的那部分損失也算在醫療機構的頭上。條例對賠償數額作出限制反映了醫療事故損害與醫療風險之間存在一定程度的關系這一事實, 因此是合情合理的,是正當的。
筆者基于下述理由認為, 上述推論是不能成立的。① 醫療行為具有較高的風險性這一事實認定本身不能反映現實中的醫療行為與醫療風險的關系的多樣性。現實情況是,醫療行為不僅種類極其繁多而且存在于醫療過程的各個階段各個環節,有的可能具有高度的風險( 比如確診率極低的沒有典型早期癥狀的某些疾病的早期診斷, 成功率極低的涉及人體某一重要器官的復雜手術,對搶救患者生命雖然必要但嚴重副作用的發生可能性極高的急救措施),有的則可能幾乎沒有風險(比如在遵守操作規范的情況下的一般注射,常規檢驗,醫療器械消毒,藥房配藥,病房發藥等)② 這種推論誤解了醫療風險與醫療事故民事責任的關系, 因而是根本說不通的。眾所周知, 我國的醫療侵權責任制度實行過錯責任原則, 而非嚴格責任原則。既然如此, 那么在醫療損害的發生被證明為與醫療過錯和醫療風險(特指與醫療過錯無關的風險)[49] 二者都有關系的場合, 醫療機構只應承擔與其醫療過錯在損害形成中所起的作用相應的賠償責任。在醫療侵權法上, 風險因素與民事責任不是成正比而是成反比, 風險因素對損害的形成所起的作用越大, 醫療機構因其醫療過錯所承擔的賠償責任就越小。醫療行為的高風險性不是增加而是可能減輕醫療機構民事責任的因素。只有在適用嚴格責任原則的侵權領域, 高風險性才可能成為增加民事責任的因素。
(2) 答記者問也許是想說, 如果事先不通過制定法(比如條例)對賠償范圍和數額作出必要的限制, 那么醫療機構就會因害怕承擔其不愿意承擔或難以承擔的高額賠償責任而指示其醫務人員以風險的有無或大小作為選擇治療方案的主要標準,盡可能選擇無風險或較小風險的治療方案; 醫務人員在治療患者時就會縮手縮腳,不敢為了搶救患者的生命而冒必要的風險, 患者的生命健康利益因此就可能得不到原本應當得到的醫療保障。所以, 條例限制賠償標準,有助于調動醫師救死扶傷的職業積極性, 最終將有利于患者疾病的救治。筆者認為, 這是一個似是而非的、嚴重脫離實際的推論, 因而也是沒有說服力的。
① 在對賠償數額不作限制(尤其是不作低標準限制), 實行實際賠償原則的情況下,醫師果真會從積極變為消極, 對患者該治的不治, 該救的不救, 該冒的險不敢冒嗎? 限制了賠償數額,醫師果真就會因此而積極工作, 勇于擔負起治病救人的重任嗎? 這一推論符合醫療侵權的實際狀況嗎? 依筆者之見, 在適用民法通則的實際賠償原則或賠償標準高于條例的人身損害賠償解釋的情況下, 醫師未必會因害怕出差錯•承擔較高的賠償責任而該治的不敢治, 該救的不敢救, 該冒的險不敢冒。因為在許多場合, 采取這種消極回避態度反而會導致醫療不作為或不完全作為所構成的侵權。不僅如此, 因為這種消極態度可能具有放任的性質, 因而在其導致的侵權的違法性程度上也許比工作馬虎或醫術不良所引起的延誤診療致人損害的侵權更為嚴重。② 醫療的宗旨是治病救人, 因而是不考慮風險違規亂干不行, 顧忌風險違規不干也不行的典型行業。醫師必須遵循診療規范,充分履行注意義務,盡善管理。③ 限制或降低賠償標準, 就算可能有調動醫師積極性減少消極行醫的效果, 也免不了產生降低醫師的責任感, 縱容違規亂干的嚴重副作用。④ 按照風險論的邏輯, 條例規定的賠償制度還不如辦法規定的一次性經濟補償制度; 對廣大患者而言, 他們的生命健康利益獲得醫療保障的程度在條例時代反而會降低, 因為醫務人員的救死扶傷的積極性由于條例( 較之辦法)加重醫療事故賠償責任而降低了。
2. 即使我國醫療行業具有公共福利性質, 以此為據限制賠償也是根本沒有說服力的。
答記者問沒有(衛生部匯報也沒有)具體說明我國醫療行業的公共福利性有何含意, 更未具體說明醫療行業的公共福利性與條例的限制賠償政策之間有何關系。筆者在此參考有關的政策法規文件和一些文章中的議論[50], 分別對這兩個問題的內容作出以下的推測。
(1) 我國醫療行業的公共福利性主要表現在以下幾個方面。① 在我國醫療服務體系中占主導地位的公立醫療機構,是非營利性醫療機構,是公益事業單位,它們所提供的醫療服務對患者而言, 具有一定的福利性質。② 政府對公共醫療事業的財政投入將隨著經濟的發展逐年增加。政府的財政投入為公共醫療事業的發展和醫療技術的進步, 從而為廣大患者能夠享受到更好的醫療服務創造了一定的物質條件。政府對非營利性醫療機構實行稅收優惠和合理補助的政策,為這些機構的福利性醫療服務提供了一定的支持。③ 政府為了增進廣大人民群眾的醫療福利, 減輕患者個人的醫療費用負擔, 在城鎮為職工建立作為社會保障的基本醫療保險制度, 在農村推行和資助合作醫療制度, 邦助越來越多的農村居民在當地也能得到基本的醫療服務。④ 政府考慮到廣大人民群眾的負擔能力, 對醫藥品市場價格和非營利性醫療機構的醫療服務價格進行適當的控制。
(2) 醫療行業具有公共福利性這一事實, 決定了因醫療事故而發生的醫患之間的法律關系具有以下的特點。① 它是在非自愿( 公共醫療服務的提供者在法律上有義務向需要的患者提供醫療服務, 無正當理由不得拒絕)的并且是非完全等價( 公共醫療服務的提供不以完全的等價有償為原則 ) 的基礎上進行利益交換( 患者仍需支付一定的醫療費用) 的當事者之間發生的賠償關系, 不同于在完全自愿•等價有償的基礎上進行利益交換的當事人即通常的民事活動當事人之間發生的賠償關系。② 它是提供醫療服務利益的醫療機構和接受醫療服務利益的患者之間因前者的利益提供行為發生錯誤導致后者受到損失而引起的賠償關系, 換言之, 是好心人辦錯事引起的賠償關系, 不同于通常的侵犯他人合法權利所引起的賠償關系。③ 它在事實上又是以作為公共醫療的投資者的政府為第三人( 賠償問題不僅可能影響到政府投資的效益,而且可能使政府投資本身受到損失)同時以利用該醫療機構的廣大患者為第三人( 賠償問題可能影響到該醫療機構的服務能力,從而影響到利用該醫療機構的廣大患者的利益)的賠償關系, 不同于僅僅涉及當事者雙方利益或至多涉及特定私人第三者利益的賠償關系。
(3) 正是因為醫療行業具有公共福利性這一事實決定了因醫療事故而引起的醫患之間的賠償關系具有不同于通常的債務不履行或通常的侵權所引起的賠償關系的特征, 所以條例起草者才將該事實作為調整這種賠償關系的特殊政策的依據之一。如果不考慮醫療行業的公共福利性, 如果不以該事實為依據制定特殊的賠償政策, 而是完全根據或照搬民法通則所體現的實際賠償原則, 那么, 醫療事故賠償的結果, 不僅對于賠償義務人醫療機構可能是不公正或不公平的, 而且會使國家利益和廣大患者群眾的利益受到不應有的損害。
筆者認為, 上述見解(假定確實存在), 根本不能說明條例限制賠償政策的合理性。
(1) 答記者問在論證限制賠償政策具有合理性時, 只提“我國醫療行業具有公共福利性”這一“事實”,不提我國的醫療行業和醫療服務在相當范圍和相當程度上已經市場化和商品化, 我國的絕大多數公民還得不到醫療費負擔方面的最基本的社會保障這兩個有目共睹的現實。這種論法很難說是實事求是的。“我國醫療行業具有公共福利性”這一事實認定,本身就是非常片面的; 這一“事實”作為答記者問所支持的條例限制賠償政策的前提之一, 本身就是在很大程度上難以成立的。
① 眾所周知, 在條例起草和出臺之時, 更不用說在答記者問發表之時, 我國的醫療行業已經在相當范圍內和相當程度上實現了市場化。第一, 從我國醫療行業的主體來看, 被官方文件定性為“非營利性公益事業”[51] 單位的公立醫療機構,在我國醫療服務體系中確實依然占據主導地位,它們所提供的基本醫療服務項目, 據說因其價格受到政府的控制, 所以對接受該服務的患者而言,具有一定程度的福利性。但是,在我國的醫療行業, 非公立的完全營利性的醫療機構早已出現, 其數量以及其提供的醫療服務所占有的市場分額均有明顯的增長趨勢; 民間資本或外資與公立醫療機構的各種形式的合資經營也已經成為常見的現象。它們擴大了完全商品化的醫療服務市場。由于它們所提供的醫療服務, 在價格上是放開的, 所以對接受其服務的患者而言, 沒有福利性 ( 除非將來有一天把這類醫療服務也納入作為社會保障的醫療保險的范圍)。此外, 只有非營利性公立醫療機構才是中央或地方財政投入及有關的財稅優惠政策的實施對象。營利性醫療機構當然是自籌資金、完全自負盈虧的企業[52] 。第二, 從公立醫療機構提供的醫療服務的價格來看, 首先, 公立醫療機構配售給患者的藥品和消耗性材料的價格往往高于或明顯高于市場零售價(換言之,實際上往往高于或明顯高于醫院采購成本和管理成本的總和), 具有明顯的營利性(據說其目的在于“以藥養醫”); 盡管醫療機構所采購的一定范圍的藥品的市場價格受到政府價格政策的控制(以政府定價或政府指導價的方式), 但這種控制是為了保證基本醫藥商品的質價相符, 防止生產或銷售企業設定虛高價格 (明顯高于生產經營成本和合理利潤的總和的價格即暴利價格) 謀取不適當的高額利潤[53]。因此這種政府控制價格與計劃經濟時代的計劃價格有本質的不同, 并非像有些人所說的那樣是低于市場價格的價格即所謂“低價”, 而是比較合理的市場價格。所以, 這種價格控制, 雖然有利于消費者或患者正當利益的保障, 但并沒有任何意義上的福利性。其次, 基本診療服務項目( 比如普通門診和急診; 一定范圍的檢驗和手術; 普通病房等一定范圍的醫療設施及設備的利用)的價格, 雖然在一定程度上受到政府價格政策的控制, 因而也許可以被認為具有一定程度的福利性, 但具有明顯的收益性或營利性( 即所謂創收 )的醫保對象外的五花八門的高收費醫療服務( 比如高級專家門診、特約診療卡服務、特需病房、外賓病房等)在較高等級的許多公立醫療機構(尤其是三級甲等醫院)中早已出現并有擴大的趨勢。此外, 在許多醫療機構中, 原本屬于護理業務范圍內的一部分工作也已經由完全按市場價格向患者收費的護工服務所替代。所以, 被官方定性為非營利性公益事業單位的公立醫療機構,在事實上正在愈益廣泛地向患者提供沒有福利性的甚至完全收益性或營利性的醫療服務。
② 從患者負擔醫療費用的情況來看,第一, 加入了基本醫保的患者,一般除了必須自付一定比例的醫療費用外,還須支付超出其醫保限額的醫療費用。他們選擇醫保定點醫療機構所提供的醫保對象外的醫療服務,或選擇定點醫保醫療機構以外的醫療機構(包括營利性醫療機構)所提供的醫療服務,因而完全自付醫療費的情況并不少見。同樣是享受醫保的患者,其享受醫保的程度即自付醫療費占實際醫療費的比例可能不同; 符合特殊條件的一小部分患者,則可能基本上或完全免付遠遠大于一般醫保患者所能免付的范圍的醫療費[54]。第二, 更為重要的事實是, 我國所建立的社會基本醫保制度,不是以全體居民為對象的醫療保險制度(比如日本的國民健康保險制度),而是僅僅以城鎮的職工(城鎮中的所有用人單位的職工)本人為對象的醫保制度[55],加入者的人數至今還不滿我國總人口的十分之一[56]。換言之, 我國城鎮的相當數量的居民和農村的所有居民是不能享受基本醫保的(即完全自費的或幾乎完全自費的)社會群體(除非加入了商業醫保,但商業醫保不具有福利性)。政府雖然已決定在農村建立由農民個人繳費•集體扶持•政府資助的合作醫療制度,但由于種種原因,且不說這一制度才剛剛開始進行個別的試點(更不用說在一些貧困地區,甚至連最基本的醫療服務設施也不存在),就是全面鋪開,它為廣大農村居民所可能提供的醫療保障的程度也是極其微薄的[57]。要言之, 答記者問和衛生部匯報所強調的醫療行業的公共福利性,對于我國的絕大多數居民來說, 即使在某種意義上(比如公立醫療機構的部分診療服務的價格受到政府的控制)也許可以被理解為存在,也只是非常有限的,微不足道的。
筆者之所以強調上述兩個方面的事實, 并非為了批評現行的醫療福利政策, 而僅僅是為了指出以下兩個多樣性的存在。第一個多樣性是醫療行業或醫療服務與醫療福利的關系的多樣性。醫療行業既存在福利因素又存在非福利因素, 既存在公益因素又存在營利因素; 有的醫療服務具有福利性,有的醫療服務則沒有福利性; 有的醫療服務具有較高程度的福利性, 有的醫療服務只有較低程度的福利性。第二個多樣性是患者與醫療福利政策的關系的多樣性。有的患者能夠享受較多的醫療福利, 有的患者則只能享受較少的醫療福利, 有的患者則完全不能享受醫療福利; 能夠享受醫療福利的患者既有可能選擇具有福利性的醫療服務, 也有可能選擇沒有福利性的醫療服務; 享受基本醫保的不同患者所享受的醫保利益又可能存在種種差別甚至是巨大的差別。據此, 我們應當承認, 支持醫療事故賠償限制政策的公共福利論無視這兩個方面的多樣性, 嚴重脫離了現實, 因而沒有充分的說服力。
(2) 即使醫療行業所具有的公共福利性能夠成為限制福利性醫療服務享受者的醫療事故賠償請求權的正當理由之一, 現行條例關于醫療事故賠償的規定, 由于沒有反映以上筆者所指出的患者與醫療福利政策的關系的多樣性這一有目共睹的客觀事實, 所以它不僅違反了條例起草者衛生部所主張的公共福利論的邏輯, 而且從公共福利論的觀點看, 它又是顯失公正和公平的。
① 根據公共福利論的邏輯, 條例原本應當將患者所接受的引起醫療事故的醫療服務與醫療福利的關系(即是否具有福利性, 具有多少程度的福利性)作為確定醫療事故的具體賠償數額的考慮因素之一, 原本應當采取賠償數額與自費程度成正比•與福利程度成反比的原則,使得自費程度較低的被害人較之自費程度較高的被害人,部分自費的被害人較之完全自費的被害人,在其他條件同等的情況下,獲得較低比例的賠償數額。換言之, 使后者能夠獲得較高比例的賠償數額。令人感到難以理解的是,條例竟然沒有作出這樣的規定(條例僅將醫療事故等級、醫療過失行為在醫療事故損害后果中的責任程度、醫療事故損害后果與患者原有疾病狀況之間的關系作為確定具體賠償金額時應當考慮的因素(第49條第1款))。
② 公正性是良好的法律制度的基本標準之一。如果答記者問和衛生部匯報所主張的公共福利論, 從所謂“患者能夠獲得的賠償數額與該患者自付的醫療費用應當實現某種程度的等價性”的觀點看, 確實還帶有那么點“公正性或公平性”的意味的話, 那么, 衛生部在以我國醫療具有公共福利性為事實根據之一設計醫療事故的賠償制度時, 就應當充分注意患者與醫療服務福利性的關系的多樣性, 所設計的賠償制度就應當能夠保證各個醫療事故的被害患者都有可能按照所謂“等價性”原則獲得相應數額的賠償。很可惜, 現行條例的賠償規定在這個問題上犯了嚴重的一刀切的錯誤。說的極端一點, 它使得醫療費用自付率百分之百的患者, 在其他條件相同的情況下, 只能獲得醫療費用自付率幾乎接近于零的患者所能夠獲得的賠償數額。
③ 從立法技術論上看, 衛生部的失誤在于, 她將醫療服務的福利性這個因案而異•極具多樣化和個別化的事實,因而只能在各個案件的處理或裁判時才可能確定的事實,當作她在制定統一適用的賠償標準時所依據的事實即所謂“立法事實”(具有一般性或唯一性并且在立法之時能夠確定或預見的事實)。衛生部顯然沒有分清什么樣的事實屬于立法事實,可以被選擇作為立法的依據, 什么樣的事實不屬于立法事實, 因而不應當被作為立法的依據,只能被選擇作為法的實施機關在將法規范適用于特定案件時認定或考慮的事實。混淆二者,是立法上的大忌。如果將后者作為前者加以利用而不是作為一個因素或情節指示法的實施機關在處理具體案件時加以認定或考慮, 那么,制定出來的法就不僅會因其事實根據的不可靠而可能成為脫離實際的有片面性的法, 而且在其適用中可能成為不公正的法。如前所述,為了避免條例制定的賠償標準在適用中引起明顯的不公正后果, 衛生部原本(如果她認為在政策上確實有此必要的話)應當將涉及福利性的問題作為醫療事故處理機關在具體確定賠償數額時應當考慮的因素之一,同醫療事故等級等因素一起,在條例第49條第1款中加以規定。 (3) 即使我國醫療行業具有相當高度的、相當廣泛的、對不同的患者而言相當均等的福利性( 比如達到了日本或一些歐州國家的程度), 以其為據限制醫療事故賠償也是沒有說服力的。
① 生命健康權是人的最基本的權利, 理所當然地受到現行憲法和一系列相關法律的保護。充分保障這一權利, 建立具有適當程度的公共福利性的醫療制度和社會保障制度, 使每一位居民, 不論其經濟能力如何, 都能得到相當質量的必要的醫療服務, 是政府在憲法上的責任。我國醫療行業保留一定范圍和一定程度的公共福利性,政府從財政上給予醫療事業必要的支持, 應當被理解為是人民權利的要求, 是政府對其憲法責任的履行, 而不應當被看成是政府對人民的恩惠。財政對醫療事業的投入, 并非來自政府自己的腰包, 而是人民自己創造的財富。在筆者看來, 以醫療行業的公共福利性為理由的醫療事故賠償限制論, 似乎缺少人民的憲法權利和政府的憲法義務這一基本的憲法意識, 自覺或不自覺地把醫療行業的公共福利性看成是政府通過醫療機構的服務對百姓患者實施的恩惠。
② 如果說社會福利在有些資本主義國家(比如美國)的一個時期內, 曾被僅僅視為國家對社會的弱勢群體的特殊照顧或恩惠(不是被視為福利享受者的法律上的權利)的話, 那么就應當說在社會主義國家,它當然應當被首先理解為國家性質的必然要求。我國只要還堅持宣告自己是社會主義性質的國家, 就必須堅持這種理解。以醫療行業的公共福利性為理由的醫療事故賠償限制論, 似乎缺少鮮明的社會主義觀念, 自覺或不自覺地把醫療福利僅僅理解為政府所采取的一種愛民利民政策。
③ 任何社會福利政策,只有獲得了完全意義上的法律保障才可能真正為人民帶來切實可靠的福利。筆者在此所說的完全意義上的法律保障是指,不僅福利的提供要有法律保障, 而且在福利的享受者因福利的具體提供者的過錯而受到損害的情況下也要有充分的法律救濟的保障。 否則, 提供福利的法律保障就失去了充分的現實意義, 人民享受的福利就只能是殘缺不全的福利。以醫療行業的公共福利性為理由的醫療事故賠償限制論, 似乎缺少全面法律保障的觀點, 它弱化了法律救濟的機能, 使本來就程度很低•范圍很窄的醫療福利退化為殘缺不全的福利。
④ 治病救人是醫療行業的根本宗旨, 嚴格遵守醫療規范、盡職盡責為患者服務、關愛患者、 救死扶傷是醫務人員的神圣職責和法定義務(執業醫師法第3條,第22條)。患者托付給醫療機構和醫務人員的是他們作為人的最為寶貴的健康和生命的命運。醫療事故恰恰是起因于醫療機構或醫務人員的違規失職, 恰恰是背離了患者的期待和信賴, 恰恰是危害了患者的健康或生命。對性質在總體上如此嚴重的侵權損害, 如果認為有必要設定賠償的范圍或標準的話, 毫無疑問, 至少不應當在范圍上小于、在標準上低于其它侵權損害賠償的范圍和標準。筆者百思不得其解的是, 醫療事故賠償限制論怎么會如此的“理性”, 理性到無視醫療事故侵權在總體上的嚴重性質, 理性到搬出諸如醫療的公共福利性、醫療服務的不等價性之類的似是而非的理論( 無論是土產的還是進口的)。這些理論又怎么能夠證明限制醫療事故賠償的合理性或正當性呢?
關鍵詞:山區道路;安全審計;內容;步驟
道路安全審計(RoadSafelyAudits,簡稱RSA)是從預防交通事故、降低事故產生的可能性和嚴重性人手,對道路項目建設的全過程,即規劃、設計、施工和服務期進行全方位的安全審核,從而揭示道路發生事故的潛在危險因素及安全性能,是國際上近期興起的以預防交通事故和提高道路交通安全為目的的一項新技術手段。其目標是:確定項目潛在的安全隱患;確保考慮了合適的安全對策;使安全隱患得以消除或以較低的代價降低其負面影響,避免道路成為事故多發路段;保障道路項目在規劃、設計、施工和運營各階段都考慮了使用者的安全需求,從而保證現已運營或將建設的道路項目能為使用者提供最高實用標準的交通安全服務。
一、道路安全審計的起源與發展
1991年,英國版的《公路安全審計指南》問世,這標志著安全審計有了系統的體系。從1991年4月起,安全審計成為英國全境主干道、高速公路建設與養護工程項目必須進行的程序,使英國成為安全審計的重要發起與發展國。而我國則是在20世紀90年代中期開始發展安全審計,主要有兩個渠道:①以高等院校為主的學者通過國際學術交流與檢索國外文獻,從理論體系的角度引入道路安全審計的理論;②通過世界銀行貸款項目的配套科研課題。在工程領域開展道路安全審計的實踐。
目前,在澳大利亞、丹麥、英國、冰島、新西蘭和挪威等國已定期地執行道路安全審計,德國、芬蘭、法國、意大利、加拿大、荷蘭、葡萄牙、泰國以及美國正處于實驗或試行階段,其他許多國家也在就道路安全審計的引入進行檢驗,比如希臘等國家。國外研究表明,道路安全審計可有效地預防交通事故,降低交通事故數量及其嚴重度,減少道路開通后改建完善和運營管理費用,提升交通安全文化,其投資回報是15~40倍。
道路安全審計在我們道路建設中的重要性,不僅僅是在提高安全性方面,對經濟性也有幫助。而山區道路的安全比起一般道路來講,就更應該引起我們的注意,畢竟山區道路的崎嶇以及地勢的高低相對與一般道路對駕駛者來說是一個很大的挑戰,而且其發生事故的死亡率也比其他道路高很多,因此,審計對于山區道路來說是至關重要的。
二、山區道路安全審計內容
加拿大等國家認為,在項目建設的初步設計階段進行道路安全審計最重要、最有效,因而早期的道路安全審計主要重點是在項目建設的初步設計階段。現世界各國都普遍認為可在已運營的道路和擬建道路項目建設期的全過程實行安全審計,即在規劃或可行性研究、初步設計、施工圖設計、道路通車前期(預開通)和開通服務期(后評估階段)都有所側重地實行審計。山區道路安全審計同樣與其他道路的安全審計工作內容一樣。
三、審計要素
典型的道路安全審計過程為:組建審計組+設計隊介紹項目情況及提供資料+項目實施考察-安全性分析研究-編寫安全審計報告+審計組介紹項目審計結果+設計隊研究、編寫響應報告-審計報告及響應報告共同構成項目安全文件。
整個安全審計的時間一般為兩周左右。為保證安全審計的質量,審計組人員的構成至關重要。審計組的人數依項目的規模大小一般由26人組成,審計組應由不同背景、不同經歷、受過培訓、經驗豐富、獨立的人員(與設計隊無直接關聯)組成。審計人員一般應具備交通安全、交通工程、交通運行分析、交通心理、道路設計、道路維護、交通運營及管理、交通法律法規等方面的知識,應保證審計組人員相互間能平等、自由地交流、討論和商議安全問題。審計人員應本著對社會(用戶)負責的態度、安全第一的觀點,依據道路標準規范,對項目各種設計參數、弱勢用戶、氣候環境等的綜合組合,展開道路安全審計。道路安全審計人員(審計組)與設計人員(設計隊)的區別在于:設計人員需要綜合考慮項目投資、土地、政治、地理、地形、環境、交通、安全等方方面面的因數,限于經驗、時間的約束,對安全問題難免有所偏頗。而安全審計人員不考慮項目投資、建設背景等因數,僅僅考慮安全問題,只提安全建議,最后由設計人員決定:采納、改進或不采納。因而可以說道路安全審計的關鍵點為:它是一個正式的、獨立進行的審計過程,須由有經驗的、有資格的人員從事這一工作,要考慮到道路的各種用戶,最重要的一點是只考慮安全問題。
安全審計報告一般應包括:設計人及審計組簡述、審計過程及日期、項目背景及簡況、圖紙等,對確認的每一個潛在危險因素都應闡述其地點、詳細特征、可能引發的事故(類型)、事故的頻率及嚴重度評估、改進建議及該建議的可操作性(實用性)等。審計報告應易于被設計人員接受并實施。響應報告應由項目設計人員編寫,其內容—般應包括:對審計報告指出的安全缺陷是否接受,如不接受應闡述理由,對每一改進建議應一一響應,采納、部分采納或不采納,并闡明原因。
四、現有山區道路的安全審計
對現狀山區道路進行安全審計,主要評估現狀道路潛在事故危險性,同時提出改進措施以降低未來發生事故的可能性。現狀道路的安全審計與新建道路相類似,也需進行上面所提到的工作,但現場調查以及評估資料及文件這兩步與新建道路有所不同。此時事故資料被作為欲審計資料的重要組成部分,同時該資料也包括可能導致事故發生潛在性的一些不利因素的詳細資料。
理想的關于現狀道路網的安全審計應該建立在有規律的基礎之上。它可以以連續幾年審計的結果為基礎,采用滾動式的審計方式對路網中的每條道路都進行評估。對于里程較長的道路(一般>100km),其安全審計工作可按兩階段進行,即初步審計階段和詳細審計階段。前者主要對道路總體上進行粗略審計,給出存在的主要問題及所處位置,后者則對找到的問題進行進一步的詳細分析并提出相應的改進建議。對里程較短的道路(<30km)可直接進行第二階段的工作。而對里程在30km~100km的道路,兩階段審計工作可根據具體情況靈活進行。
由于欲審計道路已修建完成并已經運營,此時現場調查就顯得非常重要。不管是擬建道路或已建道路、線內工程還是線外工程,安全審計工作必須全方位細致地進行。要考慮不同道路使用者對道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得駕駛員的心理產生恐懼;②半徑太小可能使得駕駛員無法在規定視距范圍內看到對方;③山體的穩定性也可能會影響到駕駛員。
另外,現狀山區道路的安全審計工作還要調查不同的道路類型,例如白天、黑夜、干燥、潮濕等情況對道路的影響。此外,對現有道路網絡的安全審計可結合養護工作同時進行,這樣可減少相應的成本費用。
五、我國山區道路的審計現狀及問題和解決方法
5.1審計現狀及問題
由于目前審計這個名詞在國內還算比較新鮮,國外從起步發展到現在也不過十來年的時間,各方面都只是處于實驗或者是試行階段,并沒有固定的一套理論依據。而我國相對外國來說又是落后了好幾年,因此我國現在總體的審計現狀也就處于探索階段,各個方面也是處于起步階段,不可能對各個方面的審計工作做到非常的完善。而道路的審計不過是眾多審計工作中的一小部分,由于其本身的“新鮮性”,又對審計人員的要求較高,西部一些貧困地區教育跟不上,審計的人才缺乏也不是沒有可能,設備等亦未全部到位。山區道路安全審計工作的開展較一般道路可能要更加的困難,因為山區道路多是停山臨崖,彎道又多,坡度又大等各方面因素是其工作的開展要難與一般道路;更有甚者像那些偏僻地區的山區道路,可能路面的質量都無法保證,更不要提進行什么安全審計。:
5.2解決方法
要改善我國目前的這種安全審計情況,需要全國各個方面的努力與配合,不過政府要有所規定,我們民間也要有這方面的意識。筆者簡單列出幾項:①國家應該頒布相關的法律制度,嚴格要求進行安全審計;②地方政府部門要加強管理;③加強對審計人員的培訓;④提高我國的教育水平和人們的交通安全意識;⑤交通安全部門要深入到偏僻的山區;⑥提高我國的經濟實力。
六、結束語
山區道路的安全審計工作與其他道路的安全審計總體上應該說差不多,當然山區的那種獨特的環境使得審計工作的重點可能不僅僅局限與一般的道路,不要認為山區道路的流量沒有城市道路那么多而忽視它,我國是個多山的國家,山區道路對于我國各個地區的經濟往來的作用不言而譽。通過安全審計,加強了全國各地交流。對于我國的經濟發展有百利而無一害。國內山區道路建設的實際情況對道路安全審計進行了較為系統的分析研究并得出以下結論:
(1)道路安全審計獨立于設計和標準。是以安全為核心的審計,其對象為一切與交通安全相關的工程和設施,它可分階段、按步驟的實施,審計的結果為安全審計報告。
關鍵詞:網絡;安全;管理;協議;審計
中圖分類號:TP183文獻標識碼:A文章編號:1009-3044(2009)36-10443-02
Network Security Management
YANG Wei-zhong
(Shanxi Prouincial Expressway Construction Group CO, Xi'an 710054, China)
Abstract: the basic aim of network security management is to ensure availability of network and system, it involves many factors, such as personnel, hardware, software, data and documentation, laws and regulations, etc. But here we have to consider from the global network security management, but only from the point of technology introduced two kinds of typical network security management protocol. Network management, network management system for the agreement provides methods and network components. They support such as configuration management and audit and management function, the event log for diagnosis of network problems and provides tools.
Key words: network; security; management; protocol; audit
1 安全審計追蹤對確保任何網絡安全都起了重要的作用
它可以用來檢測一個安全策略的正確性,確認與安全策略的一致性,幫助分析攻擊,并且收集用于攻擊者的證據。安全審計追蹤記錄了任何可疑的事件(可以產生一個安全警報),也可以記錄許多日常事件,如建立和終止連接、使用安全機制和訪問敏感資源。同類或不同類的系統都可以檢測到被審計的事件,并由系統中的安全審計追蹤日志來維護。安全審計追蹤功能為將事件信息傳遞給維護日志并創建和恢復日志實體的系統提供了必要的支持。
在這里講述的主要標準是安全審計追蹤功能(1SO/IEC 10164-8)。因為管理一個安全審計追蹤日志的機制基本上與網絡管理中的管理任何其他類型的事件日志一樣。該標準依賴于以下兩個標準――事件報告管理功能(1SO/IEC 10164-5)和日志控制功能(1SO/IEC 10164―6)。
通知一個安全審計追蹤的事件的過程類似于產生一個安全警報報告的過程。它包括一些受管對象對一個M-EVENT-REPORT的調用。一個安全審計追蹤日志可以記錄事件類型參數指示的幾乎任何管理通知,包括ISO/IECl0164―7中定義的安全警報報告通知。
安全審計追蹤功能標準另外定義了兩個特殊的通知,分別與服務報告和使用報告對應。服務報告表明了與一些服務的提供、拒絕或恢復有關的事件。使用報告用于有安全意義的日志統計信息。傳遞的參數和這些事件類型基本上與安全警報報告中使用的一樣,其中包括任何M-EVENT-REPORT通用的參數和任何管理警報通用的參數。服務報告事件類型中定義了一個額外的參數,稱為服務報告原因,用于表明報告的原因。這個參數是一個ASN.1對象標識符,也就是說任何人可以定義并注冊其值。該標準還定義了一些通用的值:服務請求、拒絕服務、來自服務的回答、服務失敗、服務恢復和其他原因。
審計追蹤過程的控制和從安全審計追蹤中檢索實體都獨立于上面的通知過程。它們利用了定義在其他標準中的通用過程。事件報告管理功能(1SO/IECl0164―5)為兩個系統之間的聯系建立了一個長期的事件報告。日志控制功能(1SO/IECl0164―6)支持用于安全審計追蹤和其他目的的日志的創建和刪除以及這些日志記錄的檢索。
2 管理資源的訪問控制
網絡管理有它自己的訪問控制要求,有必要控制誰能調用管理功能,誰能創建、刪除、修改、或讀取管理信息。這樣的訪問控制在任何使用網絡管理協議的網絡中都是至關重要的,因為對網絡管理資源的破壞也就等于破壞了整個網絡。
ISO/IECl0164―9標準中講述了這種類型的訪問控制(訪問控制中命名了對象和屬性)。該標準給出了一個訪問控制模型,以及支持系統之間傳遞訪問控制信息所需要的信息對象定義,并使用了訪問控制框架標準(1SO/IEC 10181―3)中的術語和概念模型。包括各種訪問控制策略以及各種訪問控制機制(如訪問控制列表、能力、安全標識和基于內容的控制)。
訪問控制決策應用于管理操作的調用例如M-GET或M=SET。包括的體系結構的部件。發起者是管理系統(或系統中的管理員),目標是受管系統的信息資源。一個目標可以是受管對象、受管對象的屬性、受管對象的屬性值或受管對象的行為。因此,可能為管理員提供了一個非常精確的控制級,在這個控制級上管理員可以為某一目的訪問某一管理信息。
基于訪問控制規則來決定是允許還是拒絕訪問請求。訪問規則本身可以表示成管理信息條目并且使用CMIP協議來管理(例如,讀或寫)。
訪問控制規則的三種不同類型是有區別的。一個安全區域權威機構根據特定的發起者或發起者類(例如,區域中可辨認的特定角色)用全局規則來保護區域中的所有對象。條目規則是用于特殊目標的特殊規則。當沒有合適的全局或條目規則使用時,可使用缺省規則來做訪問決策。
當有許多規則用于一個特定的訪問請求時,這些規則的優先級如下:
① 拒絕訪問的全局規則;
② 拒絕訪問的條目規則;
③ 允許訪問的全局規則;
④ 允許訪問的條目規則;
⑤ 缺省規則。
一個訪問控制規則能夠基于安全策略所要求的任何決策過程。一個規則的說明書中包含了許多要素,如:
① 訪問的許可:指明是與拒絕服務有關還是與允許訪問有關的規則;
② 發起者列表:可應用的發起者列表,以訪問控制列表、能力、或安全標簽形式表示;
③ 目標列表(只用于條目規則):可用的目標(例如,受管對象,屬性和屬性值)和作用在這些目標上的操作的列表;
④ 時間表:指明這些規則使用的時間點(如只能在規定的上班時間,或從星期一到星期五);
⑤ 狀態條件:指明使用規則的受管對象的屬性的狀態(例如,在系統處于診斷狀態時才可用);
⑥ 認證內容:當要認證發起者時,指明需要認證的等級。
訪問控制決策過程如下:首先,需要驗證伴隨訪問請求出現的任何訪問控制信息。需要標識發起者和目標使用的任何訪問規則的身份,并根據他們的全局/條目/缺省的意義進行歸組。然后根據優先級的限制來使用這些規則。
使用規則的方法取決于所使用的特定的訪問控制機制。在訪問控制列表機制中,將發起者的標識符與使用的訪問控制列表進行比較。在能力機制中,將發起者提供的能力與規則中陳述的能力進行比較。在基于標識的機制中,將與發起者相關的標識與規則所識別的標識集進行比較。還需使用基于內容的檢測,如時間表、狀態條件或認證級別。作出訪問決策后,就有其他一系列的行為發生。決策使用的信息需要暫時保存起來用于以后為相同的發起者作決策(這樣的信息被稱為保留的訪問控制決策信息或保留的ADI)。與目標有關的訪問控制信息需要修改,例如如果管理操作導致受管對象的建立或刪除。由于依賴于安全策略,因此也有必要生成一個安全警報和安全審計追蹤通知。
如果訪問被拒絕,則有各式各樣的方式來應答發起者。安全策略規定了下列類型的應答:指示出拒絕訪問的錯誤、沒有響應、錯誤的響應(例如,發起者看起來已經允許訪問)或中斷相關的應用。
為支持上面的過程,需要遠程管理(例如,創建、更新)來存儲用于決策訪問控制的信息。為此,標準提供了幾個受管對象類和屬性類型定義,用于表示訪問控制規則和支持信息結構。這些定義能夠使用ISO/IEC l0164―1中定義的過程來遠程控制訪問控制信息。
參考文獻:
[1] 李晉平.局域網絡絡組建和安全治理的實用技術[J].電腦開發與應用,2002,15(10):33-35.
關鍵詞:道路;交通;安全審計
Abstract: with the rapid growth of China's national economy, China's transportation construction has entered a rapid development stage. Traffic accidentsincrease gradually. In order to improve the level of road traffic safety of the whole traffic system, need to "road traffic safety audit" into the road network planning and design, to prevent traffic accidents, reduce the likelihood and severity of accidents caused.
Keywords: road; traffic safety audit;
中圖分類號:E232.6文獻標識碼:A文章編號:2095-2104(2013)
一、引言
隨著我國國民經濟的迅速增長, 我國的交通建設也進入了快速發展階段。到2012年底,全國已建成通車的公路總里程達到423.75萬公里,其中高速公路通車里程已達9.6萬公里。與此同時, 公路、特大型橋梁的整體設計施工技術水平也有了跨越式的提高, 并廣受世人矚目。公路交通已由制約國民經濟發展的階段向基本適應轉化。我國的公路建設只用10 余年的時間就走過了西方發達國家幾十年的發展里程, 成績斐然。
但是, 與西方發達國家經過的歷程一樣, 伴隨著經濟的迅猛增長, 我國的道路交通安全形勢也十分嚴峻。隨著機動車數量的不斷增長,公路交通事故頻發已成為社會的一大公害。以2011年為例,全國共接報涉及人員傷亡的道路交通事故210812起,共造成62387人死亡,直接財產損失達數十億元。交通死亡事故總數近幾年一直排名世界第一。而對于治理道路交通安全問題的措施,在道路建設中實行道路安全審計則是有效預防交通事故的重要手段之一。
二、交通安全審計的定義
道路安全審計是從預防交通事故、降低事故產生的可能性和嚴重性入手,對道路項目建設的全過程,即規劃、設計、施工和服務期進行全方位的安全審核,從而揭示道路發生事故的潛在危險因素及安全性能。道路安全審計可定義為;由公正獨立、有資質的人員對涉及使用者的道路項目(已建或將建項目)進行的正式審查,以確定對道路使用者任何潛在的不安全特性或構成威脅的運營安排。安全審計的目標是:確定項目潛在的安全隱患;確保考慮了合適的安全對策;使安全隱患得以消除或以較低的代價降低其負面影響,避免道路成為事故多發路段;保證道路項目在規劃、設計、施工和運營各階段都考慮了使用者的安全需求。因而可以說道路安全審計的目的就是:保證現已運營或將建設的道路項目都能為使用者提供較高實用標準的交通安全服務。
三、道路安全審計的意義和經濟效益
國內外大量研究表明,道路安全審計可有效地預防交通事故,降低交通事故數量及其嚴重程度,降低道路交通事故的人身賠償費用,減少道路開通后改建完善和運營管理費用,提高路網的安全性;提升交通安全文化,提高道路管理部門和設計者的安全意識。
道路安全審計的最大效益在于“只需用鉛筆改變設計線,而不是到建成后再去搬動混凝土;即使是建成后的道路需要搬動混凝土,那么至少可以避免或減少搬動撞毀的汽車和傷亡的人員”。道路安全審計的費用和改變設計所花的費用,要遠遠低于在項目建成以后才采取治理措施所需的費用。如果一條道路設計中有明顯的安全問題,那么事故耗費將可能成為該項目的整個經濟壽命中費用的最主要部分;如果一條新建道路有安全問題,又因為采取改動措施耗資巨大,而采取了其他的補救措施,這將帶來一些不良后果——要么是持續的事故損失,要么是由于通行量和車速受到限制而帶來的持續的經濟損失。對社會而言,在建造之前就避免問題的發生將是最經濟的。對于公路建設項目,盡可能減少治理措施。將會降低預算開支,并且使資金的使用更為有效。另外,對現有道路的安全評價將會大大降低事故的損失代價,從而明顯地節省開支。工程規范及指南為一個好的設計提供了一個好的開端。
道路安全審計,應當被視為用來減少事故風險的整個道路安全工程的一部分。資料表明,審計1個大型的新建工程,會增加設計成本的 4 %~10 %。由于設計成本僅占工程投資的 5 %~6 %,所以這部分投資的增加是很小的。道路安全審計的收益表現在減少交通事故上,這些收益主要是指因為交通事故的避免和事故嚴重程度的減輕,大大降低了交通事故的賠償費用和道路建成后的維護改進費用。
四、道路安全審計的內容及步驟
(一)道路安全審計是從道路因素方面著手,預防交通事故、降低事故產生的可能性和嚴重性 ,對道路項目建設的全過程進行全方位的安全審核 ,從而揭示道路發生事故的潛在危險因素及安全性能 ,是國際上近期興起的以預防交通事故和提高道路交通安全為目的的一項新技術手段.
(二)道路安全審計是指對現有道路、未來道路、交通工程以及與道路使用者有關的工程進行正式的審計。審計的對象既包括擬建的道路項目,又包括已有各種不同類型的道路及設施;既可以是大型的、綜合性的高速公路項目,又可以是小型的,如1個道路交叉口或1個限速檻。
(三)道路安全審計要貫穿于項目的規劃、設計、施工和營運期的整個過程中。道路設計建設程序可將擬建道路安全審計劃分為五個階段:可行性階段、初步設計階段、施工圖設計階段、預通車階段和通車后安全審計。其中每個階段審計均是一次完整的審計過程,每個階段都應嚴格按照安全審計的實施步驟并參照審計條目來執行。審計清單是作為道路安全審計的輔助手段,是有關道路方面知識和經驗的綜合產物,可使審計者在安全審計時免于遺漏某些重要的東西,同時也可使設計者在設計時發現潛在安全問題。道路安全審計表單內容的關聯因素具體表現為道路及其環境因素對交通安全的影響,與交通安全相關的道路及其環境因素有許多,項目通過不同等級公路、在不同道路影響因素的各個方面進行了分析與研究。研究結果表明:道路的種類與規格、路線和線形、路基路面、交通工程設施等與道路交通安全的關聯緊密。因此,對道路進行安全審計時,應當分別從工程的整體情況、路線線形、路基路面、橋梁涵洞、平面交叉、立體交叉、隧道、交通工程及沿線設施、環境因素、道路使用者、出入口和周邊開發地區等方面來進行。
(四)道路安全審計的每個實施階段都是一個完整的審計過程,應當依次執行選擇審計隊伍、收集背景信息、開工會議、評價分析、現場考察、編寫審計報告、完工會議、跟蹤測評的步驟。每個步驟中的工作內容必須與具體審計項目的性質和規模相適應。對于規模較小、交通安全問題較清楚的項目,有的步驟可以簡化,但不能省略,且總的流程次序不能改變。例如,對一些小規模項目的審計就不需要召開專門的開工會議,只需幾個電話通知聯絡一下即可,而且審計組提交的書面報告也應當盡可能的簡潔;而對于一個大型道路項目的安全審計,其過程可能會包括若干次會議、大量的計劃以及詳細的最終審計報告。
關鍵詞:Informix;數據庫安全;審計日志
中圖分類號:TP311.138 文獻標識碼:A
1 引言
數據庫安全審計是保證數據庫安全性的有效手段,它的作用在于當數據被惡意修改、數據復制不正常或數據庫系統出現問題時,數據庫管理員可以通過安全審計,跟蹤數據的修改過程,確定數據被破壞的程度和范圍,并制定相應的解決方案,從而最大限度地縮短恢復周期,將損失降低到最小。
數據庫安全審計源于信息系統的安全審計,就是對系統安全進行審核、稽查和計算。概括的講,安全審計就是記錄一切(或部分)與系統安全有關活動的基礎上,對其進行分析處理、評估審查,查找系統的安全隱患,追查造成安全事故的原因,并做出進一步的處理。數據庫安全審計是創建一個用于監測非正常的或可疑的活動的事件記錄,或者提供一個重要活動及操作者的記錄。由于可審計事件的粒度一般比較小,因此審計很容易在短時間內產生大量的數據,然而通常情況下系統受到攻擊的可能性并不大,這些數據所體現的操作絕大多數都是合法的。海量的數據給審計數據的人工分析和機器自動分析都帶來了極大的困難。目前,針對Informix數據庫的審計主要是Informix系統本身帶有的安全審計模塊,它可以完成對數據庫的在線監控,能將數據庫操作記錄按照時間順序記錄在日志文件中,但是這些記錄對于使用者來說,內容繁雜,不利于數據庫管理人員的分析和處理。
本文通過結合安全審計模塊設計實現了一個Informix數據庫安全審計系統,該審計系統采用采集和分析分離的結構并設計傳輸協議格式,能針對多個日志數據源進行同時處理。通過對Informix數據庫審計日志文件格式的分析,能夠對數據庫的操作按照用戶會話過程進行還原,同時設計多級別的安全規則可以對相應的數據庫操作給出不同級別的警告。
2 Informix數據庫審計日志文件分析
為了提取審計日志文件的內容,我們首先分析了審計日志的格式。審計日志以字符形式直接存儲,對每一個用戶配置好的數據庫操作行為都存儲成一條日志文件記錄。
每條記錄分為兩個部分,第一部分是日志頭,第二部分是附加的信息列。
其中日志頭包含八個字段,含義如表1所示。
附加信息列(Additional fields)則是根據不同的事件類型而有所不同,一般包括數據庫名、表名等信息,典型數據庫操作時記錄的附加信息列如表2所示。具體的可參見審計事件域表。
例如,以下是從審計日志文件中截取的一條審計記錄:
該記錄表示主機名為ZHANGWEI-DB的客戶端在2007年4月3日16:15:33登錄服務器名為OLZW的數據庫服務器,登錄的用戶名為Informix,該用戶對sysmaster數據庫的表號為221的表中的262行進行了插入行數據的操作。
3 審計系統結構
為了能支持對多個日志源的審計分析,將審計系統設計成采集器和分析器兩部分,如圖1所示。采集器負責采集原始的Informix數據庫審計日志數據,可以完成實時采集和定時采集的功能。分析器負責對采集器發送給它的數據進行日志解析、操作還原、會話關聯和審計結果輸出,并進行安全規則匹配和統一格式處理。系統中設計了相關的通信協議完成采集器和分析器之間的數據傳輸。
4 審計系統設計與實現
4.1 采集器
Informix數據庫審計系統的審計客體主要是數據庫的審計日志文件,采集器需要安裝在數據庫服務器上,負責讀取審計日志文件中的數據,實時采集是通過設定相應的時間間隔對日志文件中的增量數據進行采集,定時采集則可以指定需要分析的時間段,完成對審計日志文件中相關時間內數據記錄的采集。采集得到的數據形成相應的字節流,按照一定的協議格式通過TCP連接傳送給分析器。
4.2 網絡傳輸協議
在采集器和分析器間,設計了相應的信令包和數據包,分別完成傳輸過程中的參數協商和日志數據的傳遞。
傳輸的具體過程如圖2所示。
首先由采集器發出連接請求,分析器收到該連接請求之后,發出響應包,與采集器協商編號、數據庫類型和文件名信息,之后分析器將本次傳輸的起始位置發給采集器,采集器根據這個位置信息,決定從何處開始傳輸日志數據,以保證傳輸數據的完整性和正確性。之后就開始傳輸,當傳輸完畢時,采集器發送一個斷開連接的請求包,分析器收到該消息包,則斷開與采集器的連接。
4.3 分析器
分析器是審計系統的核心,主要完成的功能是接收日志采集發送過來的審計日志數據,解析還原出數據庫操作并實現會話關聯,最后對分析的結果進行規則匹配,顯示告警信息。分析器的結果包含系統告警信息和還原的用戶會話過程,即每個用戶在任何一次登錄退出過程中的所有數據庫操作行為記錄。
4.3.1 日志解析
日志解析的過程首先是讀取一條審計日志記錄,完成記錄中操作信息的還原,然后完成多條記錄的關聯,最后得到一個用戶在一次登錄退出之間的操作。
由于在Informix審計日志記錄中,SQL操作是采用字母縮寫來表示的,如insert、delete、update分別記為INRW、DLRW、UPRW。同時日志記錄中操作的對象(表或視圖)也是采用數字編號來表示的。為了得到更加直觀的審計結果,日志解析首先要將這些縮寫和編號轉換成對應的SQL操作名和相應的表名或視圖名。
具體實現上,通過讀取審計日志頭中Event mnemonic字段的內容就可以讀取操作縮寫名,直接還原SQL操作。對于對象名稱的還原,可以有兩種方法,一種是通過查找數據庫系統表systable可以獲取所有的對象名和對象編號的對應關系。另一種方法是,通過解析審計事件為ACTB的日志記錄來獲取對象名和對象編號的對應關系。在In-formix數據庫操作中,每個對表或視圖的操作首先都會產生一條ACTB的審計日志記錄,該記錄的附加信息列中帶有對象名和對象編號兩個域,分別描述下一記錄的操作對象名稱和對象編號。由于第一種方式需要對數據庫系統表進行查找,會影響數據庫系統本身的效率和性能,所以我們 的審計系統中采取了第二種方式。
而對于用戶登錄的操作,在Informix的審計日志中,審計事件縮寫為STSN時,表示啟動新的會話,也就是一個新的用戶登錄。在這條審計記錄中會記錄下會話開始的時間、進程ID和用戶名等信息,我們可以通過解析該記錄內容,獲取用戶的會話信息。
由于在審計日志記錄中,屬于同一會話的操作,其主機名、進程號和用戶名三個字段是相同的,因此可以通過檢測每條記錄的這三個字段來進行匹配。雖然在Unix/Linux系統中,存在進程號時間片輪轉的問題,即系統的進程號在一定的時間后會發生輪轉,從而使得進程號發生重復。但是進程號輪轉時出現同一進程號的前提是前一個進程已經結束了,也就是相當于說該會話已經完成,因此并不會影響會話關聯的正確性。
4.3.2 統一格式處理
出于通用性和擴展性方面的考慮,審計系統對日志解析的結果使用統一的XML數據格式進行處理和保存。下面是一段日志解析后的保存結果示例。
其中,Session代表會話,Operation代表數據庫操作。
在Session記錄中,SID表示會話號,PID表示進程號。屬于同一會話的操作被歸于一個會話號之下。在Opera-tion記錄中,Op表示數據庫操作行為類型,Timestamp表示操作時間,ObjectlD表示操作對象標識號,ObjectName表示操作對象名,RowID表示行號,DataBaseName表示數據庫名,Status表示操作是否成功。
4.3.3 安全規則關聯匹配
為了實現安全審計的目的,系統設定了安全規則,規定了三個安全等級,級別越高,表示存在的安全威脅越大。系統分別對用戶多次登錄嘗試、用戶授權、數據表修改、記錄增刪等行為給出安全警告。
安全規則的保存采用了XML格式,可以由管理用戶按照需求進行添加和刪除。以下是一段安全規則的示例。
其中標簽名代表數據庫操作名,Status為操作狀態,Warn-ingLevel為警告級別,Suggestion為應對策略和建議。如上例中第4條規則表示連續三次登錄失敗,警告級別為3。
在進行安全規則匹配時,遍歷日志解析結果文件,對每條記錄結果取出操作名和成功狀態,與安全規則庫進行匹配,完成相應警告輸出。
5 系統測試
系統測試在分布式的環境下進行,日志采集器運行在Windows平臺的Informix數據庫服務器上,日志分析器運行在Linux平臺。系統第一次運行時,需要對審計日志、分析結果文件名稱和存放位置、通信地址和端口等進行相應的配置。
采用實時測試模式,系統啟動以后,分析器會一直循環等待接收采集器發送過來的日志數據。我們以一個大小為5M的審計日志文件作為測試數據源,審計系統在不到10秒的時間內完成對該文件的分析,并給出了相應的結果。結果表明,系統能很好地完成Informix數據庫操作的實時審計,將用戶的數據庫操作行為按照會話的過程清晰地展現出來,同時能對這些操作行為給出相應的警告提示信息。分析的部分結果截圖如圖3所示。
從圖3可以看出,用戶名為informix的某用戶從13:02:26開始登錄到13:07:06退出登錄,其中進行了創建用戶表test_621等操作。
系統安全關聯匹配的部分結果截圖如圖4所示。
從圖4可以看出,對應圖3的日志分析結果,審計系統對用戶informix的登錄,創建表,插入行數據都給出了相應的警告提示信息,管理員用戶可以很明確的做好對應的操作處理。
關鍵詞:Oracle;數據庫;安全策略;安全審計
中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2011)21-5057-02
當前,隨著國內信息化的大力發展,政府和企業的網站建設進展迅速,網站建設趨向大型化、綜合化,網站建設中對數據庫的要求與日俱增。Oracle數據庫由于其出色的行業特性,成為網站建設中數據庫的首先。出于安全性的考慮,Oracle數據庫提供了較為廣泛的安全特性,但其自身機制仍無法保證信息的安全,出于對傳統靜態防護不足的認識,以安全審計為代表的動態防護成為保障數據庫安全的有效途徑。
1 Oracle網站數據庫系統簡介
Oracle數據庫是由全球最大的數據庫廠商美國甲骨文公司(即Oracle)設計研發的一組軟件系統產品,其核心是分布式數據庫,基礎是高級結構化查詢語言(SQL)。自Oracle問世以來,市場占有率逐步攀升,據相關統計,全世界有90%以上的上市公司、65%的“全球100強”公司都運用Oracle數據庫進行電子商務,絕大部分大型網站運行的都是Oracle數據庫。Oracle之所以取得這樣的成就,與他的以下特點密不可分:
1)Oracle數據庫是一個通用系統,它的數據管理功能是非常完整的。
2)Oracle數據庫是一個關系數據庫,具有關系完備的特點。
3)Oracle數據庫是一種分布式數據庫,可實現分布式處理的功能。
4)適用于各種硬件平臺,如PC機、大型機和服務器等。
5)適用于各種操作系統,如UNIX、Linux、Windows、Windows NT、VAX/VMS,和VM/CMS等。
6)能夠處理多媒體信息,如圖片、音頻和視頻等。
7)提供了廣泛的安全特性。Oracle數據庫設有多個安全層,訪問控制、數據完整性驗證、授權機制、視圖機制、審計機制及加密機制。
2 Oracle在網站數據庫應用中的安全威脅
目前,許多政府部門、企事業單位、銀行、證券交易中心等都使用Oracle數據庫作為其網站的信息載體,網站中最具價值的部分均集成在數據庫里,其安全性就顯得尤為重要。如前所述,Oracle數據庫本身為保證信息安全,已提供了若干安全防護技術,但任何防護都不是絕對萬無一失。數據庫廠商在加強產品安全性的同時,計算機犯罪分子及相關組織的攻擊手段也日益多樣化,Oracle數據庫同樣會受到各種威脅和攻擊,主要有對Oracle數據庫信息進行竊取、破壞和篡改、病毒入侵、黑客攻擊等等。
2.1 通過SQL語句注入進行攻擊
通過SQL語句注入進行攻擊是目前黑客的常用攻擊手段。Oracle數據庫大多采用B/S模式進行開發,基于這種模式進行編程的程序員數量眾多,而各個程序員經驗、水平上的差異較大,有許多程序員在編程時,沒有對輸入的數據進行合法性判斷,給數據庫應用埋下了安全隱患。非法用戶通過提交查詢代碼,依據程序的返回值,就能夠非法得到數據,這就是SQL注入。比如在某個網站中,要求用戶輸入用戶名和密碼,然后方能登陸,假定該網站有一個用戶kitty,其密碼是hk0936,有一黑客不知道其密碼,卻想通過其身份進行登陸,在通常情形下,用戶在用戶名框里輸入kitty,密碼框里輸入密碼hk0936,輸入正確則登陸進入,否則無法登陸。如果程序員的查詢語句是:
Sql="select*from client where clientname='"&name. values&"'and password= ' "&pass. values&"' "
那么在Oracle數據庫系統中執行的程序語句如下:
select* from client where clientname ='kitty' and password=' hk0936'
如果黑客在密碼框中輸入的不是hk0936, 而是hk0936' "&"' or 0=0,這時在Oracle數據庫數據庫系統中執行的語句就成為了select* from client where clientname ='kitty' and password=' hk0936' or 0=0,這時,由于0=0一直為真,就會造成where條件為真,黑客成功以kitty為用戶名登陸系統。
2.2 默認密碼
Oracle數據庫自帶如scott, ys等初始用戶和對應的默認密碼。假如網站的管理員缺乏經驗,未修改初始密碼,黑客就會與普通用戶一樣,順利登陸網站數據庫。
2.3 暴力破解法
暴力破解法也是黑客破解密碼的主要方法之一,對Oracle來講,是通過非法進程,嘗試全部字母、數字的組合來破解密碼。由于當前密碼已經較為復雜,這種破解方法通常需要很長時間,但黑客往往配備專業的密碼字典,并借助計算機程序輔助推算,提高匹配性。這種攻擊主要通過密碼輸入次數受限的方法來防護,另外要提醒用戶定時更新密碼。
2.4 文件系統的非法訪問
對Oracle文件系統的非法訪問是一個非常難以解決的問題。在Oracle網站系統中,除Oracle用戶外,其他的特權用戶也有權限訪問數據庫中的文件,這就可能造成惡意訪問;此外,如果把一臺服務器中的文件復制到另一臺服務器中,則復制過去的文件也可以由Oracle進行訪問,因此,一旦出現存儲介質失竊,文件被非法復制等情況,就會造成安全隱患。
3 Oracle網站數據庫的安全策略――基于安全審計
在該文上一節指出,在網站中,數據庫本身的安全機制及靜態的安全防護措施并不能保證系統的絕對安全,仍有被黑客突破的可能。為解決該問題,首先,需要知道Oracle數據庫是如何受到攻擊的;第二,要弄明白Oracle數據庫存在哪些漏洞;第三,在Oracle數據庫系統被攻擊時需馬上警覺;第四,要把黑客的攻擊證據留下。安全審計的概念正是基于上述目的而提出,網站數據庫的安全審計,簡單的說是對網站數據庫中與信息安全有關系的事件進行綜合處理的系統。
3.1 Oracle數據庫的安全審計機制
事實上,安全審計已經成為數據庫的安全標準核心,Oracle數據庫作為當前市場占有率極高的網絡數據庫,也有自己的安全審計機制,且功能較為強大,它可以審計Oracle數據庫里的全部操作,能夠將所形成的審計記錄寫到操作系統或者SYS. AUD$表。Oracle自身提供的審計記錄里包含以下內容:操作、進行操作的用戶、時間、類型。對于操作的類型,Oracle審計機制主要針對以下3種,即:登陸企業、操作行為和對象訪問。
登陸企圖:如前所述,網絡黑客經常會采用暴力破解密碼的方法,不斷嘗試其猜測的密碼是否正確,試圖登陸進系統,這時,Oracle的審計機制能夠把這種登陸企圖全都記錄下來,包括成功的和不成功的。
對象審計:Oracle數據庫的審計機制能夠對影響對象(如表、鏈接、同義詞、回退段、索引)的所有操作均進行審計。
操作行為:Oracle數據庫的審計機制即可以對系統級的操作行為審計,也能對具體的數據操作行為審計。
3.2 Oracle數據庫安全審計的優化實現
從應用的角度考慮,一個全面實用的數據庫審計應至少具有下列功能:收集、過濾、日志的維護、查詢、行為分析以及控制。但是,Oracle數據庫自身的審計機制傾向于記錄大量的操作,自己并不分析這些操作,而是交給數據庫管理員進行人工分析,由于數據量大,人工分析極可能造成漏報、誤報等情況,而且往往分析不全面,浪費掉許多記錄。因此,需要對Oracle數據庫審計進行優化實現。
基于上述功能的實現及對Oracle審計機制的補充,圖1給出了一種實用的數據庫審計系統框圖,該Oracle數據庫審計系統包括了5個模塊,即登陸模塊、審計策略模塊、預處理模塊、分析模塊和異常檢測模塊。
該Oracle數據庫審計系統的具體實現是首先通過對審計的數據進行預處理,然后采用數據挖掘優化算法分析上述處理過的審計數據,繼而提取出合法用戶的正常操作行為特征,生成正常行為規則庫,最后,通過審計系統的異常檢測,對數據庫操作進行實時監測和動態分析。其實現的流程圖如圖2所示。
4 結論
該文提出的基于安全審計的Oracle網站數據庫的安全策略,一方面實現了對Oracle網站數據庫的動態安全策略,克服了靜態防護的不足;另一方面,加入了對審計記錄的實時分析,彌補了Oracle自身審計機制的不足。具有良好的實用性,且便于動態升級更新。
參考文獻:
[1] 趙大力,靳其兵,趙梅.Oracle數據庫優化解決方案[J].計算機應用,2005(3).
[2] 龐洋.基于數據挖掘的園區網綜合安全審計系統研究與設計[D].鄭州:中國人民信息工程大學,2005.
[3] 劉海峰,卿斯漢,劉文清.安全操作系統審計的設計與實現[J].計算機研究與發展,2001,38(10).
關鍵詞:數據庫;安全審計;安全插件
中圖分類號:TP311.13
數據庫系統信息規模化發展勢頭強勁,數據庫的應用日益廣泛,涉及到銅礦產業方方面面,給公司帶來了實實在在的收益,同時也深刻反映了公司對信息系統的巨大依賴性,對產業研究和生產起到了重要的引導作用,當今數據庫的安全問題變得尤為重要。
1 數據庫安全總體架構
1.1 數據庫系統設計思路
數據庫安全系統的重點是解決安全審計和安全插件問題,對來自網絡和本地的用戶對數據庫的操作行為進行審計,及時識別和發現其中是否對數據庫系統構成威脅,系統提出了用安全插件來提高數據庫安全性的設計方案。安全插件采用阻斷非法用戶訪問進入系統來保障數據庫信息的安全性和可控性。
1.2 數據庫系統設計目標
(1)高安全性:對于一些重要的機密的數據,足夠的加密強度,在共享環境下保證數據所有者的安全。
(2)統一審計:對日志數據庫進行統一審計、客戶端訪問數據庫集中控制;事后可以整合信息分析導致數據庫出現異常的一系列行為,追蹤攻擊者的來源提供依據。
(3)權限管理:將管理權限集中管理,由系統安全審計引擎統一進行設置、解析。
1.3 方案總體設計
數據庫安全系統總體構架見圖1
圖1
數據庫安全審計系統是通過以網絡審計為主,兼容數據庫本地審計的方式。數據庫審計監管系統將從網上采集到的信息包發送到前臺審計監管平臺上的數據庫日志,通過后臺的審計監管服務器對數據包進行分析,為管理者和系統管理員提供及時、準確、詳細的數據異動信息,發現工作中的越權、違規、過失、惡意篡改等操作反饋在審計監管管理平臺上,實現對數據庫系統安全狀況的全面審計,從而保障數據庫的安全.
安全插件是在數據庫管理系統外的安全防護罩,登陸數據庫系統的用戶訪問應用服務器時,系統自動彈出提示,用戶按照提示安裝安全插件。安全插件截獲數據庫各種訪問接口的訪問請求,對用戶訪問控制進行安全審核,將允許訪問的命令送到數據庫管理系統,系統插件自動對用戶訪問行為做出安全級別的評價,根據安全級別評價的提示對用戶進行認證和監控控制。如果系統發現非法用戶的指令,則安全插件將自動切斷用戶對數據庫的。
1.4 數據庫系統技術路線
數據庫安全系統是采用自主研發安全插件與數據庫安全審計,并與傳統系統相結合的路線,解決支路安全設備的阻斷問題。
(1)系統安全插件可自動獲取用戶的IP地址、MAC、PC名以及操作系統類別和系統軟件等信息,監控中心發出指令,防止非授權的用戶訪問數據庫系統。安全插件具有超高安全性,卸載、刪除安全插件系統將自動彈出預警提示,防止非法操作破壞系統的安全性。
(2)解決旁路安全產品的阻斷問題
本系統采用數據庫審計系統和安全插件的技術,可以成功解決旁路安全設備的阻斷問題。即在用戶訪問數據庫前假設個“關卡”,所有要訪問數據庫的操作都需先經過審計監控系統,只有審計監控系統授權才能夠對數據庫進行訪問。安全插件接收監控系統的指令,阻止非授權的用戶對數據庫服務器的訪問。與數據庫審計系統進行聯動,對數據庫用戶的越權訪問進行阻斷和報警。
(3)系統集成與安全審計和安全插件的聯合應用
數據庫系統安全創新之處在于:數據庫集成與安全審計和安全插件管理系統相結合,做到系統兼容、風格一致、界面協調。集成后的系統操作界面由兩部分組成:數據庫審計子系統和數據庫用戶管理子系統,兩個子系統相得益彰,用戶操作快捷,方便系統管理。
(4)系統的聯動
通過數據庫系統管理平成前、后臺審計的安全策略和若干審計引擎設置相結合的管理方式,操作簡便快捷和安全性高。審計引擎作為數據庫安全的重要組成部分與審計監管系統聯動,對個別服務器終端作相應的共享。
1.5 數據庫系統功能實現
(1)支持對SQL Server、Oracle、informix、MYSQL數據庫類型的審計監控分析。
(2)系統提供用戶需要配置條件。不同性質的用戶可按一定的范圍對特定主機和特定網段進行監控,從而保證用戶能夠按照自己的需求實施監控。
(3)系統支持數據庫服務器的事件統計、安全報警功能。
(4)數據庫系統可生成安全報表:直觀、簡潔、豐富。
(5)系統采用多級用戶管理體系,包括系統管理員、普通管理員、一般用戶三種權限用戶,不同級別的用戶之間彼此制衡,保證了系統安全性和可控性.
2 系統應用效果
自數據庫安全系統運行以來,自動提示用戶安裝的安全插件近70多個,能夠對保護的數據庫服務器的訪問進行審計和監控。數據庫安全系統對于科研和生產發揮了巨大的作用,取得了很好的效果。
數據庫安全系統的實施較好地解決了信息資源的安全問題和可控問題,主要體現在以下四個方面:
(1)在數據庫系統的外網增加了一道安全屏障,實時監控分析,攔截非法用戶的入侵,通過數據庫系統審計平臺管理,有效防止重要數據的破壞和泄漏。
控制非法用戶對數據庫系統強行的訪問,全面記錄用戶對數據庫的所有操作行為,通過系統安全插件提前預警,杜絕用戶違規操作的問題。
數據庫系統提供用戶查詢權限范圍內的數據信息,通過日志列表查詢和事件列表查詢,對每條事件信息進行審計,監控分析用戶的具體操作行為是否對數據庫系統構成威脅,并且導出系統原始數據為管理人員全面掌握數據庫資源安全使用情況提供科學的依據.
可按時間周期來評定系統審計事件的強、中、弱三個級別的數量,以及日志數和會話的信息。
3 結語
數據庫安全系統伴隨著網絡的更高層次利用,需要進一步加強信息資源安全審計和監控,數據庫系統安全管理是一項長期而艱巨的工作。信息安全是涉及公司產業發展和公司安全的重大問題。數據庫安全系統部署了審計數據處理中心、安全管理系統控制臺、多臺數據庫審計系統、及大量的數據庫安全插件,保障數據庫信息的有效性和合法性。規范了用戶訪問行為,加強了安全審計、風險級別評價工作,從而更有力保障數據庫系統的安全。
參考文獻:
[1]王永祥.論企業數據安全保護方案[J].網絡安全技術與應用,2011(61):13-14.
