学文网弱点影评篇1
关键词 网络安全 态势评估 性能分析
中***分类号:TP393 文献标识码:A
作为网络安全态势感知(Network Security Situation Awareness,NSSA)研究的核心内容,网络安全态势评估已经得到了国内外的广泛关注。
Time Bass于1999年在文献中首次提出网络安全态势感知的概念,其目的是关联相互***的IDS以融合攻击信息用于评估网络安全。同年,Andrew Blyth在文献中提出了通过观察黑客的攻击足迹从而进一步定性地评估网络受到的安全威胁。但是他们仅限于理论上的研究,并未对理论模型进行实现。2001年,Information Extraction & Transport在研究攻击的检测方法和攻击对网络安全的影响时,为了检测广域计算机的攻击和评估态势响应,开发了一种SSARE工具,将理论方法付诸应用,但是由于该工具所用方法过于依赖专家主观经验,因此为了解决这个问题。
2005年,Jajdia等人以检测网络系统弱点为目的,设计了一种拓扑弱点分析工具TVA,该工具可以通过分析拓扑弱点来评估网络的安全状况。2011年,Gabreil Jakobson等人在文献中提出了影响依赖***的概念,设计了基于影响依赖***的网络安全态势评估方法,加强了对复合攻击的评估。2012年,Stephen E.Smith在文献中提出综合利用现有网络安全工具,包括流量分析工具、脆弱性扫描工具和入侵检测系统等,以便于全面评估和保护网络安全,并以现有工具的集成为目的对系统进行了设计。
国内学者对网络安全态势评估方法的研究相对较晚,理论及应用研究均亟需进一步提高与完善。
为了综合考虑攻击和脆弱性对网络安全的影响,考虑到攻击和脆弱性之间存在对应关系,韦勇于在2009年提出了通过匹配攻击所依赖的脆弱性信息与目标节点的脆弱性信息来获取攻击成功支持概率。基于对攻击和脆弱性之间、脆弱性和脆弱性之间的关联关系的考虑,刘刚于2012年针对网络中节点的漏洞和攻击层面的风险分析需求,提出了漏洞信度和攻击信度的概念,做到了将网络中的漏洞信息和攻击信息进行关联。王坤等于2016年通过对已有网络安全态势评估方法的分析与比较,提出了一种基于攻击模式识别的网络安全态势评估方法。首先,对网络中的报警数据进行因果分析,识别出攻击意***与当前的攻击阶段;然后,以攻击阶段为要素进行态势评估;最后,构建攻击阶段状态转移***(STG),结合主机的漏洞与配置信息,实现对网络安全态势的预测。
对以上研究现状进行分析可知,国内外研究者一般以网络攻击、网络脆弱性、网络性能指标变化以及它们的综合影响为侧重点来研究网络安全态势评估方法。因此,根据研究侧重点的不同可以将网络安全态势评估方法分为三个基础类:面向攻击的网络安全态势评估方法、面向脆弱性的网络安全态势评估方法和面向服务的网络安全态势评估方法。对三类网络安全态势评估方法的介绍见下表。
参考文献
[1] Bass T.Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems[C]. 1999 IRIS National Symposium on Sensor and Data Fusion, 1999:24-27.
[2] Blyth A.Footprinting for intrusion detection and threat assessment[R]. Information Security Technical Report.1999,4(3):43-53.
[3] D’Ambrosio B,Takikawa M,Upper D,Fitzgerald J,Mahoney S.Security situation assessment and response evaluation[C].Proceedings of the DARPA Information Survivability Conf,&Exposition II,Anaheim,California,USA,2001:387-394.
[4] Ahmed M, Al-Shaer E, Khan L. A novel quantitative approach for measuring network security[C].Proceedings of the 27th Conference on Computer Communications. Piscataway,NJ:IEEE,2008:1957-1965.
[5] Gorodetsky V,Karsaeyv O,Samoilov V.On-line update of situation assessment:a generic approach[J].International Journal of Knowledge-Based&Intelligent Engineering Systems,2005,9(4):361-365.
弱点影评篇2
1基于信息资产的风险评估方法
1.1风险评估的关键要素本文所述的风险评估以信息资产为核心,评估信息资产的价值及其所具有的脆弱性和所面临的威胁,并得出信息资产的风险。基于信息资产的风险评估的关键要素主要包括信息资产、资产价值、资产脆弱性(即资产弱点)及威胁。风险评估关键要素间的关系如***1所示。
1.2风险评估流程风险评估流程如***2所示。
1.2.1识别并评价信息资产(1)识别信息资产识别信息资产就是要对所有的信息资产进行梳理与识别,编制资产清单。资产清单主要包括以下要素:资产基本信息:资产编号、资产名称、资产功能和用途简述等;资产类别:资产归类是将信息资产在特定条件下归并为一组,以便于进行风险识别、评估及管理工作;资产所有者:确定信息资产所有人员或单位;资产保管者:确定信息资产管理权责人员;资产使用者:确定信息资产的使用人;资产保密性:确定信息资产在保密性方面的等级;资产完整性:确定信息资产在完整性方面的等级;资产可用性:确定信息资产在可用性方面的等级;资产价值:根据信息资产保密性、完整性、可用性的等级,取最大值作为资产价值。经过笔者实际评估后认为,识别信息资产的关键在于资产的分类,合理的资产分类将大大降低风险评估的工作量。资产大类可以分为信息系统类、人员类、物理环境类、外部服务类、数据类、无形资产类。以信息系统类为例,信息系统下可以继续分为主机型、终端型、软件型三个二级分类。在主机下还可以继续划分为12个三级分类。(2)评价信息资产对信息资产的评分需考虑信息资产三个要素:保密性、完整性和可用性。依据特定资产评价标准对资产进行评分,并取保密性、完整性与可用性分数的最大值,作为该项信息资产的最终价值。为资产价值设定一个标准值,超过标准值的资产才能进行下一步风险评估。
1.2.2识别并评估威胁(1)威胁分类根据威胁的来源,将威胁分为人员威胁、技术威胁、环境威胁三大威胁,并据此罗列出细化分类的常见威胁。(2)威胁与弱点匹配根据列举的安全威胁,对企业面临的信息安全弱点进行划分,评估出每项威胁可能面临的弱点。(3)评价威胁与弱点针对识别的威胁、弱点依次评估其发生机率及事件影响程度,计算出风险值,并在评分的过程中考虑现有控制措施。a.威胁可能性评分标准根据威胁在一定时期内发生的频率,设定威胁发生的可能性。b.影响程度评分标准信息资产的弱点被威胁利用,影响程度的评分标准见表1。
1.2.3风险值计算及风险分级(1)风险值计算风险值的最终确定需综合考虑三个方面,包括资产价值、风险发生的可能性以及风险发生的影响程度。通过识别和评估资产价值,并评估风险发生的可能性和风险发生的影响程度,综合计算出风险值,风险计算公式如下:风险值=信息资产价值×风险发生可能性×风险影响程度评估后将形成如下的风险矩阵,见***3。(2)风险分级依据风险评估结果撰写信息安全风险评估报告,提出可接受的风险等级建议,提交领导层审核并决定可接受的风险等级。
1.2.险评价在风险值确定后,依据风险值大小进行风险处置优先级排序。应制定风险接受水平,等于及高于风险接受水平的风险为高风险。制定风险接受水平时,企业应考虑当年风险处置资源投入成本。对于以下风险,应纳入高风险进行处理:可能导致企业违反国家法律法规、行业规章制度及其他合规标准;可能导致企业品牌、声誉和社会责任的损害;管理层评估为高风险的其他风险项。应以风险评分结果为基础,通过多个角度对企业面临的风险状况进行分析:重要信息资产的分布情况;高风险主要分布的信息资产类别;高风险主要面临的威胁和弱点。从多角度分析目前企业面临的风险现状,有利于企业把握风险管控的重点,为风险处置做出指引。
1.2.5风险处置风险评估完成后,需要制定风险处置计划,执行风险处置,最后要对处置后的情况进行风险再评估。(1)风险处置计划在企业管理层确定企业的风险接受水平后即可对等于、高于风险接受水平的高风险制定处置计划,确定处置方式。风险项的处置方式包括:依据企业管理层确定的风险接受水平,有意识地接受该接受水平之下的较低风险,暂不采取处置措施;采用适宜的控制措施减缓风险,尽可能合理减缓风险至企业的风险接受水平之下;废弃导致风险的信息资产而避免风险;将风险转嫁给第三方,如保险公司或供应商。计划的控制措施应考虑国家的法律法规要求、企业的运营目标、行业监管要求以及风险控制的成本与效益。(2)风险处置执行企业应组织风险的相关责任单位落实风险控制措施,在规定期限内完成风险处置项。(3)风险处置再评估在风险控制措施完成后,企业应对风险项(不包括风险接受水平以下的较低风险)进行二次评估。经过二次评估仍评价为高风险的风险项,应作为残余风险。对于属于以下情况的残余风险应提交管理层批准接受:该风险目前不在企业控制范围内;该风险在目前技术手段下无法有效控制;该风险处置的资源投入高于风险所造成的影响损失。
2风险评估方法的工具实现
风险评估是一项涉及环节众多的复杂工作,需要投入较多的专业人员开展具体工作。为了减轻工作量,提高工作效率,笔者所在单位专门设计开发了一套风险评估的工具平台,并在企业内部得到了应用。
2.1功能模块工具平台设计了以下功能模块,截***见***5。风险计划控制:对风险评估的时间计划进行控制,以便在规定的计划内完成风险评估。信息资产管理:对信息资产进行识别和评价。威胁弱点管理:对信息资产所面临的威胁和弱点进行识别管理。风险评估:根据资产价值、威胁、弱点等进行风险评估。风险处置:根据风险评估结果生成风险处置计划,并落实责任单位与责任人,跟踪风险处置情况。风险报告:根据历年来的风险评估的情况,形成统计报告,跟踪风险发生的趋势和控制措施的改进情况。权限管理:对访问该风险评估工具的用户权限进行配置。
2.2系统架构该工具实现基于B/S方式,用户可以通过浏览器访问该工具平台。在实现架构上,与传统WEB应用类似,分为三层:WEB服务层:采用ApacheHttpServer实现,用于展示静态页面,并将动态请求转发至后台应用处理;核心应用层:采用Tomcat应用服务器实现,用于处理增删改等动态请求;数据库层:采用Mysql数据库实现,用于存储信息资产清单、威胁库、弱点库以及风险评估结果等。
弱点影评篇3
关键词:计算机网络;脆弱性;评估技术
随着计算机及通信技术的普及,计算机网络规模和应用急剧扩大。但是,计算机网络资源管理分散,用户缺乏安全意识和有效的防护手段,各类软硬件产品和网络信息系统普遍存在脆弱性。因此,计算机网络安全脆弱性评估在网络安全领域受到广泛研究。目前,在计算机网络脆弱性评估领域存在脆弱性提取、量化指标建立、评估方法确定等各方面都受到人们的关注。本文就以下几个方面进行分析、探讨。
1、基于规则的拓扑脆弱性分析
2005年,Vipin等提出提出一种基于规则的拓扑脆弱性分析方法。该方法定义了一种不干扰规则,单独攻击为一种基于规则系统的转移规则,用状态节点表示计算机网络的配置信息和攻击者的能力。根据规则集属性匹配关系,提供了一种有效的脆弱性分析算法,实现了网络中的攻击路径,具有较好的可扩展性。
2、基于模型的评估方法
基于模型的评估方法为整个网络建立评估模型,对整个网络进行形式化描述。Schneier等局域攻击树的安全模式对系统安全进行形式化分析。这种攻击树为系统所面l临的安全威胁和可能受到的攻击提供了一种条理清晰的分析方法。自下而上的结构清晰的描述了系统的攻击过程。为解决网络安全优化加固的问题,Dewri等提出了一种针对网络攻击树模型的多目标优化。通过定义属性模版对网络中的原子属性分类,根据攻击树而设定安全控制模型,通过修改攻击树属性达到阻止攻击的目的。Phillips等提出了一种基于***论分析网络安全漏洞和网络攻击行为的方法,根据攻击***的网络脆弱性评估方法,指出目前研究中存在的局限性。攻击***是反映网络安全状况的有效手段,是网络安全环境的直观表现,明确反映出了网络安全状况的薄弱环节,具有强大的数学处理能力,为网络安全提供分析依据。
3、基于入侵路径的网络安全性评估
大多数网络入侵事件是一个层次入侵的过程,虽然真正的目标主机难以直接攻破的,但是和它相关的其他机器由于配置不当或存在某种程度的不信任关系可能存在安全脆弱性。黑客从薄弱环节入手,基于层次入侵的思想逐步提高自己的权限,最终控制目标机器。0rtalo等给出了相关的评估算法,可以计算出从初始结点成功入侵到目标结点的代价值。该评估方法考虑了网络的拓扑结构以及主机间的依赖关系,也提出了相关的算法对网络脆弱性进行了一定的评估。一般情况下,从网络管理员的角度对已知网络进行脆弱性分析及量化评估,很难对评估一个不知道网络结构及其内部主机信息的敌方网络的安全性,只有以入侵者的身份逐步入侵敌方网络,逐步获取相关信息。但是这种评估很难进行,且准确性有待进一步验证。
4、运用层次分析法的网络脆弱性评估
刘怀亮等结合行业标准,根据Internet的特点,确定安全评价准则、威胁因子、评价指标,建立安全评价体系。并针对窃听、偷窃、废物搜寻、间谍行为、身份识别、安全服务、配置、木马、病毒、算法问题、随意口令等,将目标网络作为整体来考虑,将各因素施加在该整体上,建立层次评价结构,进行Internet安全性评估。
5、基于网络中心性的计算机网络脆弱性评估
贾炜等提出一种基于网络中心的计算机网络脆弱性评估方法,对攻击者利用脆弱性攻击所花费的代价进行量化评估,根据评估结果进行最小攻击代价路径分析。在文中引入网络中心理论,对攻击***节点关键程度进行量化分析,进而判断对网络安全产生的影响,为安全优化计算机网络提供依据。
6、基于贝叶斯网络的评估方法
贝叶斯网络是将多元知识***解可视化的一种概率知识表达与推理模型,可以判断网络节点变量间的因果关系及条件相关关系。Marcel等提出用贝叶斯网络和攻击***度量网络安全风险,精确推理计算了攻击路径成功的概率。Xie等通过对脆弱性利用和攻击者实施攻击行为的不确定性建模分析了评估网络系统的安全风险,提出了一种基于贝叶斯网络的系统安全评估方法。针对攻击结构的不确定性、攻击行为的不确定性和报警的不确定性进行分析,引入本地检测模型描述安全检测行为。
弱点影评篇4
文章编号:1005-913X(2015)12-0113-03
一、人民银行信息技术审计中风险导向内审模式的构建思路
随着信息化的迅猛发展,信息技术已经渗透到各个金融管理和服务领域。中央银行的业务工作对信息技术的依赖程度不断提高,信息安全和技术风险问题也日益受到关注,在人民银行系统全面开展信息技术审计应得到各部门的高度重视。信息技术审计是面对计算机信息系统的审计,其目标是通过对计算机信息系统资产所面临的威胁、脆弱性识别,以及管理和环境风险水平计算,来评估审计对象科技信息安全状态和存在的不足的流程,探索建立人民银行信息科技审计模型,发现和识别在科技信息系统的风险点和控制薄弱环节,提出有针对性的意见和建议,促进和维护计算机系统的合规性、安全性、可靠性及有效性。
二、人民银行信息技术审计风险评估指标体系构建
(一)资产重要性识别
资产是具有价值的信息或资源,是安全策略保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。信息科技审计中资产的价值不仅仅以资产的账面价格来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。
通过对资产的机密性、完整性和可用性综合分析评定,可以对被审计资产的重要性给出一个评估结论。笔者将资产重要性划分为五级,级别越高表示资产重要性程度越高。具体见表1。
(二)资产威胁识别
威胁是一种对组织及其资产构成潜在破坏的可能性因素,是客观存在的。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和无意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。根据人民银行科技信息工作实际,根据表现形式,威胁主要分为以下几类。见表2。
判断威胁出现的频率是威胁识别的重要工作,审计人员应根据经验和(或)科技部门提供的有关的统计数据来进行判断。根据人民银行工作实践,判断依据主要包括以下三个方面。
1.以往安全事件报告中出现过的威胁及其频率的统计。
2.实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计。
3.近一两年来国际组织的对于整个社会或特定行业的威胁及其频率统计,以及的威胁预警。
威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。表3提供了威胁出现频率的一种赋值方法。
(三)资产脆弱性识别
脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别,弱点是资产本身存在的,如果没有相应的威胁发生,单纯的弱点本身不会对资产造成损害。而且如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。即,威胁总是要利用资产的弱点才可能造成危害。
脆弱性识别将针对每一项需要保护的资产,找出可能被威胁利用的弱点,并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域的专家和软硬件方面的专业等人员。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。具体识别内容见表4。
可以根据对资产损害程度、技术实现的难易程度、弱点流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性由于很多弱点反映的是同一方面的问题,应综合考虑这些弱点,最终确定这一方面的脆弱性严重程度。对某个资产,其技术脆弱性的严重程度受到组织的管理脆弱性的影响。因此,资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。
脆弱性严重程度的等级划分为五级,分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。见表5。
(四)风险分析
审计人员在完成了资产识别、威胁识别、脆弱性识别,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险。风险计算以下面的范式形式化加以说明:
风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))
其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性; Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。有以下三个关键计算环节。
1.计算安全事件发生的可能性
根据威胁出现频率及脆弱性状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:
安全事件发生的可能性=L(威胁出现频率,脆弱性)=L(T,V )
在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)以及资产吸引力等因素来判断安全事件发生的可能性。
2.计算安全事件发生后的损失
根据资产重要程度及脆弱性严重程度,计算安全事件一旦发生后的损失,即:
安全事件的影响=F(资产重要程度,脆弱性严重程度)=F(Ia,Va )
部分安全事件的发生造成的影响不仅仅是针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也是不一样的。在计算某个安全事件的损失时,应将对组织的影响也考虑在内。
3.计算风险值
根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即:
风险值=R(安全事件发生的可能性,安全事件的损失)=R(L(T,V),F(Ia,Va ))
具体计算方法可以采用风险矩阵测量法。
这种方法的特点是根据以上过程事先估算的资产价值、威胁等级和脆弱性等级赋值建立一个对应矩阵,预先将风险等级进行了确定。然后根据不同资产的赋值从矩阵中确定不同的风险。资产风险判别矩阵如表6所示。
对于每一资产的风险,都将考虑资产价值、威胁等级和脆弱性等级。例如,如果资产值为3,威胁等级为“高”,脆弱性为“低”。查表可知风险值为5。如果资产值为2,威胁为“低”,脆弱性为“高”,则风险值为4。由上表可以推知,风险矩阵会随着资产值的增加、威胁等级的增加和脆弱性等级的增加而扩大。
当一个资产是由若干个子资产构成时,可以先分别计算子资产所面临的风险,然后计算总值。例如:系统S有三种资产A1,A2,A3。并存在两种威胁:T1,T2。设资产A1的值为3,A2的值为2,A3的值为4。如果对于A1和T1,威胁发生的可能性为“低”,脆弱性带来的损失是“中”,则频率值为1(见表1)。则A1的风险为4。同样,设A2的威胁可能性为“中”,脆弱性带来损失为“高”,得风险值为6。对每种资产和相应威胁计算其总资产风险值。总系统分数ST=A1T + A2T + A3T。这样可以比较不同系统来建立优先权,并在同一系统内区分各资产。
(五)风险结果判定
风险等级划分为五级,等级越高,风险越高。审计人员应根据所采用的风险计算方法为每个等级设定风险值范围,并对所有风险计算结果进行等级处理,最终给予审计对象一个审计结果。见表7。
人民银行应当综合考虑风险控制成本与风险造成的影响,提出一个可接受风险阈值。对某些风险,如果评估值小于或等于可接受风险阈值,是可接受风险,可保持已有的安全措施;如果评估值大于可接受风险阈值,是不可接受风险,则需要采取安全措施以降低、控制风险。安全措施的选择应兼顾管理与技术两个方面,可以参照信息安全的相关标准实施。
在对于不可接受风险选择适当的安全措施后,为确保安全措施的有效性,可进行再审计,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。
某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
三、人民银行信息技术审计中应注意的问题
在信息技术审计中如何坚持风险导向审计是一个不断摸索、不断总结提高的过程。笔者认为,只有不断积累风险数据信息,持之以恒的加强人才培养,新旧审计模式互为补充,才能更进一步发挥好内部审计职能。因此,应注意以下几点。
(一)建立动态的风险信息数据库,为运用现代风险导向审计模式提供信息基础
由于内部审计时间资源有限,不可能对所有的监督内容和所有的环节进行全面监督,比较科学的办法是建立一个完整的审计风险模型,对造成审计风险的多种因素进行全面分析和评估,发现被审计单位内部控制中的薄弱环节,确定审计的重点和范围,从而制定更具有针对性的审计策略。
(二)新型审计模式的运用并不意味着旧审计模式的消亡
风险导向审计是在传统审计模式基础上发展起来的新型审计模式,立足于对被审计对象整体风险管理进行系统审查、分析和评价,并以此确定审计策略及审计计划。因此,必须注重新旧审计模式的有机结合。将风险导向审计理念融入传统审计模式,可以使传统审计项目内容得以扩展,审计更加灵活,更好地坚持全面审计、突出重点的原则。
(三)重视信息技术审计人才的培养,为风险导向审计提供智力支持
人民银行运用风险导向审计方法,不仅要求内部审计人员熟练掌握有关规章制度,还要求审计人员利用审计职业独特的判断力,在实际运用中对审计风险点加以判断。因此,复合型人才培养与储备是运用风险导向审计方法必不可少的前提条件。要通过各类后续教育及培训,进一步更新内部审计人员业务知识,提升专业胜任能力,逐步建立起具有现代知识素养和职业水平的内部审计干部队伍。
弱点影评篇5
关键词 脆弱性;脆弱性评估;恐怖袭击;危险化学品生产
中***分类号O69 文献标识码A 文章编号 1674-6708(2013)100-0142-02
0引言
恐怖袭击是指由恐怖组织或实施的,通常以达到宗教、***治、意识形态、吸引关注、获得物资或报复等为目的,采取的有计划的非法暴力行动。9·11事件之后,美国加大了对国家基础设施的监控力度,2002 年5 月,美国***方调查发现全美化工厂面临着恐怖袭击的威胁,大约有2.4 亿人处于死亡或受伤的风险中3[1]。危险化学品生产企业作为危险物质聚集场所,如果遭受恐怖袭击,不仅造成生产企业的人员伤亡和财产损失,还会对周围的环境造成影响。本文结合企业自身的情况与周围环境来评估企业脆弱性,揭示了企业应对恐怖袭击的薄弱环节,根据评估结果采取合理有效的控制对策,对预防恐怖袭击与减缓损失有着重要的意义。
1本文脆弱性定义
拉丁文vulnerare(译为可能受伤)是脆弱性概念的原始出处。近年来,来自经济、环境生态、灾害学等不同领域的学者对脆弱性的概念给予了关注。李鹤[2]认为脆弱性是指由于系统对内外扰动的敏感性及缺乏应对能力而使系统的结构和功能容易改变的一种属性。李宝[3]把企业组织脆弱性定义为企业对环境变化所表现出的易于受到干扰和损害的性质。结合危险化学品生产企业的特点与相关学者的研究,作者给出本文脆弱性定义。脆弱性是指以恐怖袭击为单一扰动条件下,危险化学品生产企业对扰动的敏感性以及应对能力。脆弱性包括以下含义。第一,企业容易遭受恐怖袭击威胁的能力,即被袭击的可能性;第二,企业遭受恐怖袭击时,损失控制能力。脆弱性较低的企业,被袭击的可能性较低,面临同一恐怖袭击时,控制损失能力较强,能较好避免损失进一步扩大。
2危险化学品生产企业脆弱性评估模式建立
2.1 分析评估因素
影响企业脆弱性的因素主要有企业人员与设施、生产过程、应急能力、周围环境、保卫五方面因素,将这五方面因素细分为五个子因素集:1)企业人员与设施:职工人数与分布、重要设施防护、重要设施布局、设施价值;2)生产过程:危险物质特性、危险物质的量、危险工艺防护;3)应急能力:救援与防护装备、人员救援水平、应急资源储备、突发事件监测与预警;4)周围环境:居民数量与分布、财产状况与分布、地理位置;5)保卫:保卫制度与执行、保卫技术水平、保卫人员素质。
2.2 评估方法的确定
由2.1分析得知,影响企业脆弱性因素较多,边界模糊无法准确划定。模糊综合评估方法对于那些评估因素较多、边界比较模糊的应用较为普遍。本文采用二级模糊综合评估,即首先对各子因素进行一级评估,然后进行二级综合评估,得到脆弱性评估结果。
2.3 评估具体步骤
2.3.1 确定评估因素与权重
根据2.1分析,设因素集为,因素子集。利用专家打分,确定各因素及子因素权重。因素权重集,子因素权重集。其中,n为因素个数,m为子因素个数。
2.3.2 确定评语集
2.3.3建立模糊评估矩阵
将中子因素分成j个评估等级,请多位专家分别对各子因素进行评估,确定各子因素隶属度。模糊评估矩阵:
2.3.4一级模糊综合评估
各子因素权重和对应的模糊评估矩阵相乘,得到因素一级模糊综合评估:
2.3.5 二级模糊综合评估
把评估因素看作整体,构造总模糊评估矩阵。利用因素权重A和总模糊评估矩阵B进行模糊合成运算,得到企业脆弱性C:
3实例应用
某民营化工生产企业位于某地级市市郊,主要生产涂料,总资产八千万元。有4名保安,厂区装有视频监控设备,生产中使用原料甲苯、乙醇、汽油等化学品50种,该厂存有大量油漆,应急预案较全,消防设施齐全,离消防支队7km。
3.1 确定评估因素与权重
3.2 建立模糊评估矩阵
请10位专家针对子因素,采用2.3.2制定的评语集对子因素进行投票,确定子因素隶属度,结果汇总如表1。
3.3 一级模糊综合评估
3.4 二级模糊综合评估
4结论
本文给出了危险化学品生产企业脆弱性定义,分析了脆弱性影响因素,利用模糊综合评估方法,建立了危险化学品生产企业脆弱性评估模式。
参考文献
[1]Karen Gaspers.Questions remain about the security of the chemical industry from a terrorist attack[J].Safety and Health,2002,19: 33-34.
弱点影评篇6
关键词:炮兵;指挥信息系统;OCTAVE风险评估
1.引言
目前,信息安全风险评估已成为信息安全领域的研究热点,国内外已建立了一系列信息安全风险评估标准。信息系统在***事领域的广泛应用,部队对信息系统的依赖性越来越大,在未来的炮兵作战行动中,面对复杂的战场电磁环境和敌对我指挥信息系统攻击,炮兵指挥信息系统面临着严重的威胁。炮兵指挥信息系统的系统风险是客观存在的,一旦发生风险事件,对国家和***队将造成无法挽回的损失,对战争的胜败产生重大影响。做好炮兵指挥信息系统安全的风险评估研究工作,就是要在风险辨识的基础上,对信息安全风险进行科学评估,及时发现信息系统存在的安全隐患,找到解决安全隐患的方法,将风险控制在可接受的范围之内并采取一定的措施规避风险。
2.炮兵指挥信息系统安全需求分析
指挥信息系统[1]是指***队指挥机构中,以计算机系统为基础,收集与处理***事指挥控制所需的信息,并为各级指挥员提供战场***事情报的应用系统。系统以计算机为中心,通过通信网络与各种终端设备相连接,运行专用信息管理软件,实现***事情报信息的收集、传递、处理和显示的功能。
指挥信息系统的系统安全风险,是指由于人为或自然的威胁,系统存在的脆弱性,导致泄密事件发生并造成的影响。进行信息系统安全风险评估,就是要找出系统存在的弱点或者漏洞,制定风险消减计划,从而最大限度地保障信息系统的安全[2]。没有及时准确的指挥信息系统风险评估,首长机关将无法对其信息系统安全的状况做出准确的决策,信息就可能无法准确安全地传输到每个作战单元,将会导致一场战争的失败。因而,做好部队信息安全风险评估工作是非常必要的,同时也是部队信息化建设工作中的重要部分。
3.OCTAVE风险评估方法简介
OCTAVE[3](Operationally Critical Threat,Asset and Vulnerability Evaluation;可操作性关键威胁,资产和脆弱性评估)是美国卡内基·梅隆大学软件工程研究所下属的CERT协调中心在1999年开发的,用来定义一种系统的、综合的、企业范围内的风险评估方法。
OCTAVE风险评估方法的基本原则是:自主、适应度量、执行已定义的过程、连续过程的基础,是一种资产驱动的评估方法,它根据组织资产所处的环境条件来构造组织的风险框架 。
OCTAVE最注重可操作性,其次是关键性。OCTAVE方法使用三阶段方法对技术问题和管理问题进行研究。三个阶段为:第一阶段,构建资产威胁配置文件;第二阶段,识别基础结构的弱点;第三阶段,开发安全策略和计划。其评估过程如表1。
4.OCTAVE评估方法在炮兵指挥信息系统中的应用
运用OCTAVE评估方法对炮兵指挥信息系统进行风险评估,并按照该方法的三个阶段将其分为风险识别、脆弱性分析和风险消减计划制定。
4.1风险识别
在风险识别阶段,要对炮兵指挥信息系统的安全威胁进行识别并分类,然后运用不同的评估方法进行评估。在炮兵指挥信息系统中存在的安全威胁主要可分为人为故意行为、人为意外行为、系统问题、其他问题等。
人为故意行为:是指敌对分子通过各种手段对炮兵指挥信息系统进行干扰或攻击,以达到干扰***事行动和窃取***事秘密的目的。具体表现为:利用电磁干扰系统的无线传输、外界电磁注入、对系统传输的数据进行监听或截获、利用系统漏洞攻击指挥信息系统等多种手段。同时内部人员将系统内的重要信息透露给外部人员,也会对指挥信息系统造成非常严重的影响。
人为意外行为:是指用户及系统的管理人员业务知识欠缺而误操作造成的系统数据丢失。具体表现为:人员素质不高进行的误操作、操作不当造成系统崩溃、受限用户执行了管理员权限更改系统配置等。
系统问题:是指硬件系统或者软件系统造成的信息传输中断。具体表现为:计算机系统、交换机、路由器等设备老化、计算机系统软件或信息系统应用软件崩溃或错误、各种备份数据损坏或者丢失等都将会延误作战的最佳时机,造成作战效果不明显。
其他问题:主要包括断电、断水、长途通信不可用、自然灾害、环境影响等。
指挥信息系统的风险不仅仅是以上技术层的风险,管理层也会存在很多风险,具体表现为:管理制度不健全、管理手段落后等。
4.2脆弱性分析
在脆弱性分析阶段,运用风险识别的分类结果对信息系统资产进行脆弱性分析。系统的脆弱性不能对系统的安全造成影响,但是它影响系统的信息安全,炮兵指挥信息系统中脆弱性概况为以下两个方面:人的脆弱性和技术的脆弱性。
(1)人的脆弱性:主要是指管理人员的脆弱性和操作人员的脆弱性。管理人员的脆弱性表现为管理人员思想不稳定造成的管理制度落实不到位,如***审不严格、管理层人员被敌对分子策反、漏洞扫描制度不坚持等。操作人员的脆弱性表现为操作人员专业技术不精,安全保密意识不高,存在的弱点或者漏洞就会被攻击者利用,威胁到指挥信息系统的安全,造成系统的崩溃或者信息的泄漏。如操作不当造成的系统崩溃,将系统口令无意间泄露等。
(2)技术的脆弱性:技术的脆弱性主要表现为系统的脆弱性和传输手段的脆弱性。系统的脆弱性包括操作系统和信息系统存在的系统漏洞、软件设计的漏洞,系统安全配置漏洞等都是造成信息系统不安全的技术因素。传输手段落后、传输设备老化都是影响信息系统安全的脆弱性。信息技术的发展,使得信息系统的更加脆弱,容易遭到敌对分子的破坏,因此技术的脆弱性也将大大影响到指挥信息系统的安全。
4.3风险消减计划制定
通过对炮兵指挥信息系统的风险识别、确定信息系统的安全威胁和信息系统的脆弱性分析,我们根据炮兵指挥信息系统的现状、安全威胁和信息系统的脆弱性制定以下计划:
(1)组建合理的安全管理机构
炮兵指挥信息系统是炮兵部队作战的“神经”,为保障炮兵指挥信息系统安全运行,应当成立专门的安全管理机构,特别是在作战过程中,要做到的统一领导、统一组织、统一规划,安全管理机构负责制定严格安全管理制度和安全保密制定,组织专业的技术人员结合信息系统运行情况和战场环境,实时对指挥信息系统的安全进行评估,制 定相应的风险消减计划,确保指挥信息系统的信息安全和不间断地传输,达成作战目的。
(2)严格执行战场管理制度和战场保密规定
实施有效的战场管理制度,是炮兵指挥信息系统安全不可缺少的关键。根据战场环境和作战时机,制定严格的安全操作规程、坚持好病毒防范和漏洞扫描制度、严格做好保密设备安全管理制度、建立维护和维修管理制度。管理人员和操作人员应该业务熟练并严格遵守操作规程,维护维修人员应该根据作战时机对系统进行维护,确保炮兵指挥信息系统在作战中的安全。严格执行战场保密规定,必须对指挥信息系统管理人员和操作人员进行严格审查和保密教育,以保证关键岗位人员的安全可靠,如系统管理员、系统维护人员、系统操作人员等。
(3)建立严格的系统防护措施
炮兵指挥信息系统的安全防护措施应该从五个方面进行考虑,主要包括网络层安全、系统层安全、应用层安全、主机安全、应用程序安全。具体各层次安全防护措施如表2所示。
5.总结
本文中提出了利用OCTAVE风险评估方法来对炮兵指挥信息系统进行安全风险评估,并给出了其具体应用。对炮兵指挥信息系统系统安全进行风险识别,运用OCTAVE评估方法对风险因素进行综合分析,找到影响指挥信息系统信息安全的关键因素,为如何保障指挥信息系统信息传输的完整性、连续性、和安全性提供科学依据,确保指挥信息系统的安全。
参考文献:
[1]程启月.基于信息系统的指挥效能评估与风险管理[M].北京:国防大学出版社,2011.4
弱点影评篇7
这本书的主要内容是概述已经观测到的气候变化的影响、脆弱性、暴露度以及迄今为止的各方面的响应。本书共分为4个主要部分。
第1部分 全报告的摘要,主要针对***策制定人员。主要对气候变化迄今为止已经观测到的影响、脆弱性和各种响应进行概述,并剖析未来风险和潜在效益,这部分的最后对适应的各项原则以及适应、减缓与可持续发展之间的更广泛的相互作用进行概述。该部分同时定义了气候变化影响、适应与脆弱性的相关核心概念、关键术语等。
第2部分 技术概要,对气候变化影响、适应及脆弱性相关的全球及局部尺度的技术、方法总结概述,以气候变化风险的评价和管理技术、方法及手段概述为主。包括气候变化影响、适应及脆弱性的观测方法,未来适应风险和机会的评估以及未来方向和建立弹性的管理工具。
第3部分 章节关系交互部分,主要对气候变化影响、适应及脆弱性相关的不同尺度、不同区域、不同风险、不同基础等的交互关系以及主要风险进行概述,是第4部分各章节关系的总体概览。包括岛屿、海洋、城市等不同尺度以及不同区域的生态系统、人口、淡水等要素间的关系及主要风险。
第4部分 是本书的主要部分,以前三部分为研究和总结基础,分20个章节对本书的主题“气候变化的影响、适应及脆弱性”进行总结和讨论。1.决策部门观点;2.决策制定基础;3-4.淡水资源,陆地及内陆水系统;5-6.沿海及低于海平面的区域,海洋系统;7.食物安全与食品生产;8-9.城市,乡村;10.关键经济部分及服务;11.人类健康:影响、适应与联合效益;12.人类安全;13.生存与贫困;14.适应的需要与选择,15.适应计划与实现;16-19.适应的机会、约束与现实,经济层面的适应,影响的观测,紧急分析与主要脆弱性;20.气候弹性的途径:适应、减缓与可持续发展。
本书是IPCC第二工作小组的第五次评估研究成果之一,对气候变化及影响、适应与脆弱性的研究工作者,本书是研究主题与前沿方向的重要参阅资料之一。本书所提出的气候变化影响、适应与脆弱性的各个方面均是气候变化研究的重要方向,各个方面自成一体又交互影响,共同构建出气候变化影响、适应与脆弱性的复杂系统。
弱点影评篇8
【关键词】普通受众;媒介批评;弱势地位;弱势原因
理想的媒介批评应该是向所有受众开放的。在我国,公民具有言论自由权利,可以在法律允许的范围内行使权利,对媒介及其行为展开批评。但在实践中,往往是精英分子的媒介批评占据主导地位,而普通受众媒介批评的实践却处于弱势地位。本文试***对普通受众媒介批评的困境和现状进行分析,并探讨其中的原因。
“普通受众”的界定
刘建明教授在《媒介批评通论》中将媒介批评主体分为:普通批评者、批评家群体、媒体的监管者、优秀稿件评选者。在界定“普通批评者”时,用到“普通受众”一词,“普通批评者对新闻学、大众传播学、信息论的知识了解甚少,批评很难带有系统性,加上普通受众大多为社会底层公众,从自身对新闻的感悟提出见解,是人民内心呼应的真实表现”[1]。由此可见,“普通批评者”即是“普通受众”,刘建明总结普通受众的特征是:包括任何职业的人,无特殊媒介背景,缺乏媒介知识。[1]
刘建明将“‘和媒介没有任何背景的人’,但谙熟其他学科的受众”列入“批评家群体”;王君超把“新闻界、文化界人士、社会学者、***府官员、传播学、文学、社会学教授等”列入“专家”范围[2]。二者异曲同工,都把某一学科精英分子或某一领域意见领袖排除在“普通受众”之外,这类人一般具有较高的权威或公信力。
综上所述,普通受众不在媒体或相关单位从业;不具备专门的媒介知识、媒介素养较低;非学科精英与社会名人,权威或公信力较低。同时具备以上特征的方为普通受众,至于普通受众的具体范围是什么,就笔者目前查阅资料,尚无明确划分,只见到刘建明教授在其著作《媒介批评通论》中写道:“普通受众多为社会底层的公众。”
“普通受众”媒介批评的弱势地位
受众是新闻传播过程中的一个重要环节,它是新闻信息的接收者,又是批评意见的发出者。但实际中,普通受众对于大众媒介的信息接收和批评反馈呈不对称性。一方面,普通受众构成媒介信息最广大的接收群体,同时由于其信息接收渠道比较单一,文化水平相对较低,比较容易受到传播内容的影响。另一方面,由于受知识水平、参与渠道、个人影响力等因素的影响,只有很少数普通受众参与到媒介批评中,其批评质量相对较低,影响力相对不足。普通受众作为媒介信息最广大的接收者群体,却并不在媒介批评中占据主导地位,这种不对称性一定程度上反映出当前媒介批评并不能很好地代表普通受众的立场和观点,普通受众在媒介批评中处于弱势地位,其具体表现如下:
从数量上讲,普通受众在媒介批评者中占据少数地位。我国还没有形成专业的、全面的媒介批评队伍,媒介批评主要是***府管理部门对媒介的行***批评和新闻学院的专家、学者对媒体专业化领域的评价,缺少的是行业自律的批评和公众性的媒介批评[3]。无论是以平面媒体为载体,还是以网络媒体为平台,普通受众都在媒介批评主体中处于少数者地位。
平面媒体由于版面和时间资源有限,监管较为严格等因素决定了其准入门槛相对较高,对批评者的综合素质及批评作品的价值性要求较高,普通受众的媒介批评声音难以得到表达。刘薇通过对《今传媒》、《新闻记者》、《新闻界》上刊登的280篇媒介批评的文章分析发现,只有5篇来自“社会公众”。而这其中有两篇作者分别为北京组织人事科研所工作人员和烟台市美术家协会副***,他们显然并非普通受众。
然而网络并没有把普通受众推到媒介批评主体的多数者位置。媒介批评性质的网站或栏目大多有名无实。笔者写此文时,赫赫有名的媒介批评网由于网站维护出现问题,处于停止使用状态;中国传媒网的传媒社区几乎全是广告的招标,且最新日期基本都在2011年初。而且,网站上的很多媒介批评文章并非网络原创,比如新华网的传媒频道栏目和中国新闻传播学评论网之“焦点话题”中的媒介批评文章,几乎都是转载自印刷媒介,而并非真正意义上的向所有受众开放的网络批评平台。再加上,网络内容庞杂、更新快的特点,普通受众的声音若不能及时脱颖而出,则立刻会被淹没在网络的大海中,而失去影响力。
从质量上讲,普通受众的媒介批评质量相对较低。首先,普通受众的媒介批评往往缺乏专业性、理论性和系统性。普通受众的文化水平和媒介素养相对较低,认知水平有限,对于媒介的批评并非都能够通过专业的批判视角、充足的理论知识表达出来,而是带有明显的经验性。而经验具有狭隘性、个体性、偶然性、非理性等特点,基于经验层面的批评则不免显得片面、盲目和无序。李滨和钟沈***通过对《新闻记者》媒介批评栏目中文章的研究,得到表格1[4],进一步说明了普通受众的媒介批评缺乏专业性和理论性的特点。
普通受众媒介批评系统性不足,则体现在以下两个方面:其一,网络平台上,大量普通受众各抒己见,各陈其词,其言论之多、之杂可见一斑,缺乏系统性的论证;其二,网络新闻时时更新,不断有新的内容吸引受众的眼球,普通受众的媒介批评也随新闻内容的更新而改变,往往不能就某个问题展开全方位且有深度的批评。
弱点影评篇9
“弱狗”(Underdog)一词源自美国的***治和运动竞赛领域。是指在***治竞选或者运动比赛中,有明显外部劣势但是却很努力、有激情的选手被称为弱狗。“弱狗选手”往往有卑微的出身,馈乏的资源,较容易失败;“优狗选手”(Topdog)则有强势背景、丰富资源、较大概率获胜。观众们或者说选民们往往更希望看到“弱狗选手”获胜,也就是“弱狗效应”(Goldschmied,2005)。Pahari等(2009)年研究企业品牌的“弱狗效应”,发现同***治领域候选人相似的结果。企业品牌创始过程中如果体现出外部弱势性:较少的企业资源、较小市场份额、被动跟随者,但是有激情决心和梦想、不断努力的就是“弱狗”品牌。消费者对“弱狗”品牌产生更高的支持意愿,因为“弱狗”背景往往是大众自我现实的反映,容易产生一种自我认同。
在现代品牌营销战略中,利用故事营销来提高企业品牌的支持早已不是新鲜事,“加多宝”打赢“广药集团王老吉”的过程中,就是以一个弱势没有背景的民资企业被一个国资背景企业欺压的故事,赚取消费者的同情,符合当下消费者的心理,也是中国版“弱狗营销”的典范。“苹果”“谷歌”等品牌在创建品牌故事时也强调“弱狗背景”,例如“只有10万美元创始资金”,“辍学的创始人”,“车库中谋发展”。Vandello等学者2007年曾在其研究中提出另一种解释,人们并不愿意将自己与“弱狗球队”或候选人建立联系,其对“弱狗团队”或者选手的支持主要来源于公平正义的需求。“弱狗品牌”利用自身的努力赢得成就比利用现有优势资源获得成就,更体现公平。如应得理论提出“如果一个积极后果是由于一系列持续付出努力的行动获得,那么是值得的”(Feather,1999)。努力、决心和激情比自身实力更能获取人们的支持。能力是不可控因素,而努力是可控因素(Weiner,1985)。McGinnis和Gentry在2009年采用深度访谈和焦点小组的研究方法也获得了相似的结论,对“弱狗品牌”的支持,往往出于同情,希望为弱小企业获得更公平的竞争机会的动机,提供自己对“弱狗”品牌的鼓励。
“弱狗品牌”主要体现在两个方面一个是较弱的背景条件支持,外部弱势性(卑微的起点);一个内部激情和决心,为了梦想而努力的精神(Paharia et al,2009)。对于第一条可以用市场占有率,市场地位或者资金量来描述,后者体现于具体企业行为。Holloway(1988)提出对努力的定义为坚持、不放弃,重视事情过程本身而不是结果。从企业慈善行为来看,对于同样地捐赠总额,相对于一次性捐赠(1次100万),持续多次小额捐赠(10次50万)体现了是企业的努力和决心以及慈善梦想。本研究的“弱狗”品牌因此可定义为背景弱势但是持续慈善的品牌。根据企业的背景和行为(Paharia,2009),可以分类定义品牌如下。
在慈善领域,结合弱狗效应,提出我们的具体假设如下:H1:对于企业慈善捐赠行为,背景弱势品牌相比强势品牌,获得更高的品牌评价;H2:对于企业捐赠战略,采用多次小额慈善战略比一次大额战略获得更高品牌评价;H3:“弱狗品牌”获得最高的品牌社会责任评价。
(1986)在自我差异理论中指出促进型导向关注理想,关注想做的事;防御型导向,则避免消极结果,关注安全责任。前者希望采取努力进取的战略,比较容易受情感因素影响;后者喜欢准确有效的战略,对实用理性信息更为敏感(Avnet & ,2006)。前者强调一种不断趋近的内部动机、速度、完成任务的多少以及进展;后者更强调结果、价值等比较动机,关注价值效用。根据调节匹配理论,特质性聚焦导向或情境聚焦导向与提供的信息或战略之间如果匹配一致,那么对信息行为的评价会更高(Avnet & ,2006, et al,2003)。对于消费者不同的特质聚焦导向,促进导向关注进取过程,因此对慈善战略的行动和持续行为较为重视,受其影响显着。防御性导向消费者更偏好静态价值比较,行为准确性,对资源和实用信息更看重,因此受企业背景资源信息影响明显。另外促进型导向容易受情感因素影响,因此对于能引起更多同情和具备更多激情的持续捐赠的“弱狗”品牌(小企业多次捐赠)和“特优狗”品牌(大企业多次捐赠)评价较高;防御导向消费者受理性因素影响,因此对于符合理性逻辑的特优狗(大企业多次慈善)和受害狗品牌(小企业一次捐赠)评价相对较高。由此我们提出假设:H4:促进导向消费者对不同战略的品牌评价差异显着,持续多次小额捐赠的品牌评价更高。最喜欢“弱狗”品牌。其次“特优狗”,“受害狗”和“优狗”。
H5:防御导向消费者对不同背景品牌评价差异显着,背景弱势品牌评价更高。更喜欢“特优狗”“受害狗”品牌,其次“弱狗”“优狗”品牌。
H6:背景强势企业,防御导向的人喜欢持续性慈善行为,促进导向的人觉得两种捐赠行为无差异。
H7:背景弱势企业,促进导向的人喜欢持续性慈善行为,防御导向的人认为两种捐赠行为无差异。
二、 研究方法和设计
1. 实验设计和被试。本实验采用模拟一则新闻报道企业慈善捐赠给教育基金的行为,采用2(企业背景强势/弱势)*2(持续捐赠/一次性)*2(消费者聚焦导向促进型/防御型)组间因子设计。企业背景采用的是Paharia等2011年的描述操纵方式例如“A是一家小型(大型)企业品牌,他们没有(有)强大的关系后台和资金支持,相对行业领域的平均水平资源较少(多),市场份额也相对较小(大)”。捐赠持续性采用的是17次,每次约38.8万元和一次性659.6万元来描述。消费者特质采用自身聚焦导向的RFQ量表测量(Grant & Higgins2003;Friedman et al,2001)。实验问卷在复旦大学光华楼随机发放并现场收回,共发放问卷240份回收228份。除去量表中有缺失数据或者选项类同的被试,有效问卷203份((74男/129女)。被试首先填写特质聚焦导向量表,之后阅读企业捐赠行为报道,并进行评价。具体实验情境材料如下:由于国家现有教育资源的不均衡,很多贫困地区的孩子往往难于获得平等的教育机会,企业可以帮助这些群体获得他们应该享有的教育机会和教育资源……A是创始于2009年的小型企业品牌,他们没有强大的关系后台和资金支持,相对行业领域的平均水平资源较少,市场份额也相对较小。但是企业创始人和经营者非常关心企业社会责任,截至2014年,A企业先后持续捐赠了17次,每次约38.8万元给西部贫困县“**教育基金会”,专用于当地教育事业,例如帮扶辍学失学儿童,改善教育设施……资助项目的落实受到了当地***府和百姓的支持和赞赏……***略 (本报记者 王秀兰)
2. 实验变量。
(1)消费者个性聚焦导向测量。利用Higgins2003年的RFQ量表,我们利用11个问题的5级量表进行测量,其中有6道问题是测量促进导向特质的,5道问题是测量防御导向特质的。我们根据Higgins和Friedman的研究将相应的问题采用逆向计分。本研究中将量表进行直接引进采用中文翻译,获得的总量表Cronbach's Alpha为0.614(促进导向分量表信度Cronbach's Alpha=0.664,防御导向分量表信度Cronbach's Alpha=0.608),量表可信度良好。然后将促进导向量表数据和防御导向的数据相减,根据中值转为零一分类变量,即促进导向被试和防御导向被试比较研究。
(2)因变量。变量一是测量消费者对企业社会责任行为的评价,采用两个问题的7级语义量表,譬如,“您认为该企业在履行社会责任方面做的有多好”,“您认为该企业负责任程度有多高”(Cronbach's Alpha=0.849)。变量二消费者对企业的喜欢程度,采用两个问题7级语义量表,“您对该企业印象好坏程度”,“您有多喜欢该企业”(Cronbach's Alpha=0.887)。我们还同时测量了消费者对企业激情和决心程度的感知和企业背景强弱程度:“该企业非常有激情和决心”“该企业没有较强的背景”。
三、 实验结果分析
针对假设1和2,我们采用T检验方法研究发现背景强弱对品牌影响差异显着,背景弱势的品牌得到更积极的行为评价,被认为品牌更具有社会责任感,责任行为更好(M弱(94)=5.505,M强(108)=5.218,t(200)=-2.053,p=0.041<0.05),但是消费者品牌喜好程度并无显着差别(M弱(94)=5.190,M强(108)=5.009,p>0.05)。在慈善领域,小企业做慈善更为难得,因此更体现其社会责任感,但是消费者并不会因此产生显着的品牌偏好。另外,大家认为持续性多次的慈善更体现品牌社会责任(M持续(104)=5.529,M非持续(98)=5.163,t(200)=2.631,p<0.01)。消费者品牌喜好差异也不显着(M持续(104)=5.188,M非持续(98)=4.980,p>0.05)。
针对假设3,我们对消费者社会责任行为评价和喜欢程度做了排序。我们发现同我们的假设一样,消费者对四类品牌的评价顺序是“弱狗”(M=5.73)、“特优狗”(M=5.36)、“受害狗”(M=5.27)、“优狗”(M=5.06)。“弱狗品牌”获得最高的消费者喜欢程度和社会责任评价,然而从喜欢程度来看,“弱狗品牌”与“受害狗品牌”和“特优狗品牌”之间并无显着差异,但是人们最不喜欢的是“优狗品牌”。
针对假设4和5,从消费者角度来分析,我们采用分组T检验方法,我们发现防御导向的人们对背景弱势的企业社会责任评价更高(M强(54)=5.24,M弱(47)=5.65,t(99)=-2.315,p<0.05),品牌喜欢程度也更高(M强(27)=5.05,M弱(24)=5.21)。如我们预期,评价最高的仍然是“弱狗”品牌(M=5.70)和“受害狗”品牌(M=5.63),“特优狗”品牌(M=5.41)次之,“优狗”品牌评价最低(M=5.04)。但是消费者更喜欢“受害狗”和“特优狗”品牌(如***1,***2)。根据消费者对企业品牌的喜欢程度,采用ANOVA分析,发现对防御导向消费者,企业捐赠的背景和行为之间存在交互作用(F(96)=4.225,P=0.043)。也就是说对于背景较弱的品牌,防御导向消费者偏好一次性捐赠行为,对于背景较强的品牌,更喜欢其长期持续捐赠行为。
对于促进型消费者,背景强弱对企业评价影响并不显着(M强(54)=5.19,M弱(47)=5.35),对消费者喜欢程度的影响也不显着(M强(22)=5.16,M弱(25)=4.94)。但是捐赠战略影响显着,消费者对持续小额捐赠品牌评价更高(M持续(54)=5.52,M非持续(47)=4.97,t(99)=2.603,p<0.05)。“弱狗”品牌最受欢迎,其次是“特优狗”,“受害狗”和“优狗”品牌(***3,***4)。针对企业社会责任评价变量,采用ANOVA方差分析,发现对促进聚焦导向消费者来说,背景强弱同企业捐赠战略交互作用微显着(F(96)=3.670,P=0.058)趋势与防御导向消费者不同。
针对假设6和7,从企业角度来分析,比较不同企业的品牌战略有效性。我们发现对于背景强势企业,被试对高频率捐赠的战略行为评价显着高于一次性捐赠的行为(M持续(56)=5.35,M非持续(52)=5.06,t(106)=-1.677,p<0.05),消费者更喜欢持续小额捐赠的行为(M持续(56)=5.17,M非持续(52)=4.80,t(106)=-2.173,p<0.05)。对于背景弱势的企业,消费者对持续性小额慈善评价更高 (M持续(46)=5.72,M非持续(48)=5.27,t(102)=-2.07,p<0.05),但是品牌喜欢程度差异不显着。
对于强势企业来说,持续小额捐赠的大品牌得到更多欢迎和支持——M持续(27)=5.315,M非持续(27)=4.796,t(52)=-2.349,p<0.05);对于促进型消费者,两种捐赠行为无显着差异——M持续(29)=5.310,M非持续(25)=5.060。
对于弱势企业来说情况相反,防御型消费者认为两种捐赠战略无差异、无明显偏好,而促进型消费者则认为高频率持续性捐赠行为更体现社会责任感——M持续(22)=5.760,M非持续(25)=4.886,t(45)=-2.609,p<0.05,品牌喜欢程度更高——M持续(22)=5.360,M非持续(25)=4.932。如上我们的假设4,5.6.7获得了证实。
四、 结论以及启示
根据以上分析,我们的假设都得到了验证。在企业捐赠领域,消费者对背景弱势的企业更高评价,对持续多次小额慈善行为更为认同和喜欢。相比其他背景和战略组合,具有背景弱势且持续小额捐赠的“弱狗”品牌,消费者评价最高。根据消费者不同的特质性聚焦导向,促进导向消费者对捐赠战略不同的品牌评价差异显着,“弱狗品牌”优于“特优狗”优于“受害狗”和“优狗”。防御导向消费者对于背景弱势的企业评价高于背景强势的慈善企业,喜欢“受害狗”和“特优狗”甚于“弱狗”、“优狗”。从企业的背景来看,背景强势企业,如果消费者群体为防御导向,那么持续小额战略更受欢迎;如果消费者群体是促进导向,则对品牌喜欢程度无显着差异。背景弱势企业,如果消费者群体为防御导向,则两种捐赠行为差异不显着,但是如果消费者是促进导向,则采用多次持续小额的持续性战略更受欢迎。
由于不同企业产品特征差异,例如奢侈品/日用品,或者创新高科技产品/传统产品,客户群往往有促进型导向和防御型导向差异。企业品牌营销策略需要结合企业的背景条件以及其消费者群体特征来进行决策。如果客户群是促进型消费者,则强调持续性战略,而如果客户群是防御型消费者则需要考虑如何利用自己的弱势背景故事。如果是大企业持续性慈善获得更积极评价,小企业需要考虑合适的时机选择匹配的慈善战略。本研究还在理论层面推动了“弱狗理论”在企业慈善领域的应用研究,同时对调节聚焦理论的内涵进行了补充,不同调节聚焦的消费者关注的信息程度(背景资源和行为信息)不同。
本研究的不足之处在于并未对消费者评价结果的内在机制进行研究,并没有得出合理的解释,例如是否是消费者的同情心,品牌认同感,或者对公平正义的追求影响了消费者的评价,这也是未来的一个重要研究方向。
弱点影评篇10
[关键词]网络新闻;评论;议程;设置
网络新闻评论是在网络媒体上就新闻事件或当前事态发表的评论性意见。作为意见信息,网络新闻评论主要有两种形式:一种是传统媒体新闻评论的翻版或延续;另一种是网络媒体论坛。可划分为三大基本类型,即网络新闻评论专栏、网民即时评论和网络论坛(BBS)。
一、 网络新闻评论议程设置功能的客观存在
传统媒体常通过为公众设置议程来引导舆论,议程设置理论仍适用于网络媒体。麦库姆斯和肖提出“议程设置功能”假说,即“大众传播具有一种为公众设置‘议事日程’的功能,传媒的新闻报道和信息传达活动以赋予各种‘议题’不同程度的显著性的方式,影响着人们对周围世界的‘大事’及其重要性的判断”。根据议程设置理论,人们倾向于了解新闻媒体关注的问题,并依据媒体对各种问题的重视程度,确立自己看待事物的优先顺序。议程设置最终影响到舆论的导向,所以在新闻传播中至关重要。
二、 网络新闻评论议程设置功能存在的问题
网络新闻评论的迅速崛起,改变了传统媒体评论的一元格局,冲击着单向的传播模式,使大众传播从传统的线流走向交互流,由集中传播走向分散传播。然而,网络新闻评论在面临发展机遇的同时,也不得不应对一系列新的挑战。其中一个不可回避的现实问题就是媒介议程设置功能的弱化。追本溯源,网络新闻评论现存的这一大弊病的症结在于:
1.“把关人”的缺位导致传统的“把关人”作用的削弱。网络的开放性使网民掌握了言论的主动权,客观上,传统媒体以编辑审核的把关作用形成的议程设置在网络上被大大削弱。媒介组织的把关,尤其是意识形态和***策体制层面的把关,即使存在,也逐步被网民通过信息自由选择、所弱化。甚至有学者认为,“受众将有机会和他们的同伴们共同探讨问题,分享感受,在被称为参与式的新闻中,新闻从业者传统的‘把关人’角色不存在了”。包括自媒体在内的网络新闻传播则很大程度上体现出“去中心化”的本质,突出的是作为传播主体的自我,同时否定传播过程中的“把关”和“筛选”。
2.传授的自主性导致评论内容的随意性和不确定性。网络新闻媒体打破了传统新闻媒体对信息的垄断和舆论的控制,使传播过程中的传受双方变得更加自由和平等。在网上人们有了更多自主发表言论的权利和机会,从而形成所谓的“自由的意见市场”。然而,某种意义上,正是网民接受信息和言论的这种自主性,恰恰削弱了网络新闻评论的议程设置功能。
3.议题的易被分散导致难以集中评论力量形成解决方案。网络信息的特点即信息海量,观点庞杂,角度各异,但不宜集中,难以集束成一个比较一致的意见或观点。网络新闻评论亦然,其议题极易被弱化和分散,难以集中评论力量形成解决方案。
三、网络新闻评论议程设置功能的强化
议程设置对开展正确的舆论引导发挥着至关重要的作用。从理论焦点上看,议程设置理论在于效果研究,正如麦库姆斯所言:议程设置理论的中心是社会公众是怎样形成舆论的;新闻媒介对形成公众意见的焦点施加的影响就是大众传播的议程设置功能。面对网络新闻评论的议程设置弱化现状,如何加强网络新闻评论的议程设置功能,更好地引导舆论,是当前网络媒体所面临的一个重要课题。
1.因地制宜,通过选题和策划优化议题。在网络媒体呈现的大量“意见流”中,混杂着相当数量的论点粗浅、论证乏力甚至毫无意义的言论,网站应采取积极措施在评论中注入理性因素。面对纷至沓来的意见、源源不断的信息,网络媒体应该有意识地设计评论话题,引导网民形成积极的舆论氛围。根据网络新闻评论承载空间的特点不同,议题优化主要依靠“因地制宜”。