信息安全研究热点综述

信息安全研究热点综述（共6篇）

篇1：信息安全研究热点综述

信息安全研究热点综述

摘要：本文详细介绍了信息安全的应用背景，说明了信息安全的至关重要性，并分析了信息安全需求，针对需求结合当前现实对信息安全研究热点进行综述，并查阅相关资料得到了最新的信息安全发展的预测内容。

论文关键词：信息安全,需求,研究热点

1 信息安全的发展不能离开网络的快速成长，其实信息安全的含义就包含网络安全和信息安全。

随着全球信息化水平的不断提高，信息安全的重要性日趋增强。当前信息安全产业已成为对各国的国家安全、政治稳定、经济发展、社会生活、健康文化等方方面面的关键产业。信息安全可能会影响个人的工作、生活，甚至会影响国家经济发展、社会稳定、国防安全。因此，信息安全产业在整个产业布局乃至国家战略格局中具有举足轻重的地位和作用。尽管如此，当前信息安全的现状却不容乐观。我国新华社曾报道，中国近60%的单位曾发生过信息安全事件，其中包括国防部等政府部门。中国公安部进行的一项调查显示，在被调查的7072家单位中，有58%曾在遭到过攻击。这些单位包括金融机构和国防、商贸、能源和电信等政府部门。归结到个人信息即使一张小小的手机卡，如果丢失同样可能会带来不可挽回的损失。曾经在高校流行的信息诈骗，就是有人窃取高校数据库信息，造成学生信息外流而导致的短信诈骗、电话诈骗和邮件诈骗事件。

只有努力才会不断成功，《20第四季度反垃圾邮件状况调查》结果，自年第二季度以来，中国网民平均每周收到垃圾邮件的数量，保持着下降趋势。从 18.35封下降到第三季度的17.86封，再从17.86封减少到第四季度的17.55封，这是一年中连续两次减少，垃圾邮件治理工作成效显著。

2008年美国东海岸连锁超市(East Coast)的母公司Hannaford Bros.称，该超市的用户数据库系统遭到黑客入侵，造成400多万个银行卡帐户信息泄露，因此导致了1800起与银行卡有关的欺诈事件。在持卡人认证过程中，有420万个单个的信用卡和借记卡信息泄露，成为迄今为止涉及用户规模最大的数据入侵事件之一。此次信息泄露事件波及美国东部地区的全部165个连锁店，佛罗里达州的106个连锁店，另外还有部分出售Hannaford产品的其它独立超市连锁店。

互联网安全联盟HostExploit曝光了目前最大的垃圾邮件组织团伙一—McColo，并且随后由互联网服务提供商对其进行了关闭处理。此举使得全球互联网上的广告兜售邮件锐减50%，使得垃圾邮件减少了75%。

因此，信息安全的研究是当前信息行业的研究重点。在国际上信息安全研究已成体系，20世纪70年代就已经开始标准化。当前有多个国际组织致力于网络与信息安全方面的研究。随着信息社会对网络依赖性的不断增加以及911等突发事件的出现，以美国为首的各个国家在网络与信息安全方面都在加速研究。中国也在近几年取得了不少成绩。

2 信息安全需求

按照国家、用户、运营商以及其他实体描述信息安全需求。

(1)国家对网络与信息安全的需求

国家对网络与信息安全有网络与应用系统可靠性和生存性的需求、网络传播信息可控性要求以及对网络传送的信息可知性要求。

网络与应用系统可靠性和生存性要求：国家要求网络与应用系统具有必要的可靠性，防范可能的入侵和攻击并具有必要的信息对抗能力，在攻击和灾难中具有应急通信能力，保障人民群众通信自由的需求以及重要信息系统持续可靠。

篇2：信息安全研究热点综述

当今社会,商业活动与人们的日常生活息息相关.以德治商,文明经商,遵循商业活动中的道德规范从事商业活动,这是商业正常运行必不可少的`条件,目前伦理学界对商业伦理的研究中,主要围绕以下理论话题而展开,即如何从理论上阐明产品责任的归属问题,商家自利与利他问题,商业腐败问题,商业诚信等等.

作 者：王中原 罗文俊 作者单位：王中原(中南大学政治与行政管理学院,湖南,长沙,410083)

罗文俊(湖南税务高等专科学校,湖南,长沙,410116)

篇3：信息安全研究热点综述

近年来,ISO/IEC JTC1/SC27 在信息安全国际标准特别是涉及新技术新应用的信息安全标准立项之前,往往采取先启动为期至少六个月的研究项目的方式进行前期研究并在成员国之间广泛征集贡献,最终根据各国贡献和提供输入材料的总体情况确定是否要针对该主题启动新的工作项目。本文把目前SC27 比较受关注的五项标准研究项目的背景及研究进展情况进行梳理和分析,以便对这些技术领域感兴趣的读者参考。

1 ISO/IEC 20897《用于非存储安全参数生成的物理不可克隆函数(PUFs) 的安全要求,测试和评估方法》

物理不可克隆函数(Physicaly Unclonable Fucntion,PUF) 是一种利用芯片等物理对象的特殊性质而实现的函数功能,具有一定的单向性质。自上世纪90 年代提出概念以来,PUF理论研究逐步深入。目前,利用电路延迟随机性构造的arbiter PUF或环形振荡器PUF以及利用存储单元的随机性构造的SRAM PUF或触发器PUF等,已在硬件设备鉴别、密钥生成、随机数生成、可信计算、软硬件绑定、电子支付、IP核保护、防盗版和RFID标识中得到了实际应用,并逐步展现了在应用密码领域发挥核心功能的潜力。

PUF具有内在的鉴别与认证功能,这主要是通过其挑战- 应答方式来实现:当输入一个查询消息x时,PUF可以输出一个响应y ;根据单向性,即便对同一个PUF实现获得了多个(x, y) 对,仍然无法猜测出一个新的x对应的y , 因此理论上所有抽象意义上的单向函数能发挥作用的密码功能都可以用PUF来实现。但是,要实现理想的PUF却并不容易。由于PUF的性质完全依赖于实际的物理对象和操作环境,其数学结构难以刻画。为此,一方面,PUF的特性可能会受到运行环境如温度、电磁辐射、电压等因素的影响,导致不稳定的情况发生;另一方面,由于物理对象的特性可能并不如意,如物理现象只有有限的熵,导致Response的输出熵不足以支持应用对随机性的要求。从这个角度来说,一个可供应用的PUF实现应满足:

(1) 稳定性(Robustness), 即便PUF的原始输出存在噪音,只要噪音量不大,仍可结合Fuzzy Extractor等功能来恢复确定的输出值。

(2) 不可预测性(Unpredictability),PUF的输出是确定性的,但是带有足够的熵,通过Randomness Extractor等功能可以提供高熵输出。

(3) 唯一性(Uniqueness),任意两个PUF即使构造方法一致,其输出在统计上应独立,或者说对同样的挑战值,任意两个PUF产生的输出统计无关。

尽管PUF的应用价值很大,也已在实际应用中发挥了重要角色,但对PUF的研究还有很多不明确之处,对其进行标准化的进程直至2014 年才由法国高等电信研究院和日本专家提出。在芯片应用中,如何抵抗侵入式攻击,防止攻击者通过电路探测的方式获取存储器中保存的密钥,一直以来都是安全芯片领域的重要研究内容,PUF为此应用提供了解决办法。根据PUF的性质,密钥可以用挑战- 应答方式在线产生而无需存储,只要挑战值保护得当,即可保证密钥的安全性。因此,PUF可在非存储的安全参数生成功能中得到应用。

2014 年10 月,ISO/IEC JTC1/SC27/WG3 49 次会议决定建立一个关于PUF的研究项目,关注一类特殊的PUF应用安全要求和测试问题。2015 年10 月,WG3 组51 次会议将该研究项目确立为标准制定项目ISO/IEC 20897,进入工作草案(WD) 阶段。

具体地说,ISO/IEC 20897 将对PUF的分类、安全属性、安全功能要求和测试方法进行定义和描述,以规范后续PUF应用。从现有标准文本看,此项目基本上还处于框架搭建阶段,实质性的内容还不多。根据报告人汇报的情况分析,标准编制已经遇到了难题,主要是如何对PUF的唯一性进行测试。根据这个性质,不同PUF的输出应具备独立性,但要用多少样本进行何种统计测试,目前仍没有明确的技术方案。此标准项目编辑呼吁该技术领域专家参与进来,共同解决这个问题。根据这个问题与随机性测试的相关性,有可能找到满意的解决办法。由于PUF具有很多潜在的应用价值,我国芯片厂商、检测机构及研究部门可积极参与其中,为我国后续发展此技术提供有力的技术支持。

2 ISO/IEC 20889《增强隐私的数据去身份相关技术》

如今,人们从非常大量的电子信息中挖掘到越来越多的有用信息,即“大数据”。然而,这些数据中包括个人身份信息(PII) 是很常见的情况,处理这些数据应遵守适当的数据隐私法律和法规。适当使用去身份相关技术(如假名和匿名)是一种解决方案,它使得人们可以利用数据处理带来的好处,同时保持符合监管要求和ISO/IEC 29100《信息技术安全技术隐私框架》相关的隐私原则。

SC27 正在开展的研究项目《增强隐私的数据去身份相关技术》最早由英国BSI提出,名称是《信息技术安全技术数据假名和匿名过程增强隐私技术的指导准则》。根据2015 年5 月马来西亚古晋会议决议,SC27 发起了为期三个月的新工作项目投票,标准题目定为《信息技术安全技术增强隐私的数据去身份相关技术》。该NP投票结果为同意立项,由英国专家担任ISO/IEC 20889 1st WD编辑,会议要求在2016 年2 月29 日完成初稿。标准将主要研究在某些场景中如何删除个人身份信息的技术手段,并最小化身份信息被恢复的风险以保护用户隐私。

该标准遵照ISO/IEC 29100 给出的隐私准则,规定了增强隐私的数据去身份相关技术的描述,以描述和设计去身份相关措施。标准阐述了众多去身份相关技术,从确定性可逆“假名”,使数据可保留它的整个价值,到“聚合”把一个丰富数据集转换成一个去身份相关的信息,而只保留主要统计特征。特别是标准中规定了术语,根据其特性把去身份相关技术分类,以及最小化重新身份相关的风险的适用性。该标准适用于各类规模的组织,包括公共和私营公司、政府机构以及不以营利为目的的组织。这些数据控制方或数据处理方代表控制方利益,实现数据去身份相关过程以达到隐私增强目的。

3《隐私工程框架》

《隐私工程框架》是2015 年5 月SC27 马来西亚古晋会议上由PRIPARE组织提出的。PRIPARE认为,隐私工程往往与“隐私设计(privacy-by-design, PBD)”这一术语相关。如今术语已经不同了,例如新的欧盟立法采用数据保护设计(data protection by design,DPb D) 术语。一种解释是,PBD重点关注个人隐私方面的要求和措施,而DPb D重点关注保护个人数据的要求和措施。

近年来,国际上各相关组织已提出了一些与隐私相关的概念和原则。 S.Spiekermann和L.Cranor对比了依赖架构的隐私和依赖策略的隐私,前者侧重于最小化数据,而后者则侧重于执行数据处理策略。S. F. Gürses、 C. Troncoso和C. Diaz. 指出,数据最小化应该是基本原则。A.Kung、 J.Freytag和F.Kargl定义了三个原则:最小化、执法和透明度。Antonio Kung集成透明的责任认定机制,并增加了第四项原则:可修改性。Jaap-Henk Hoepman专注于四个面向数据的策略( 最小化、隐藏、分离、聚集) 和四个面向过程的策略( 通知、控制、执行、证明)。类似于ISO/IEC 29100 中定义的11 个隐私原则一样( 包括同意和选择、意图合法性和规约、收集限制、数据最小化、使用、保留和泄露限制、准确及质量、开放、透明和注意、个体参与和访问、可核查性、信息安全和隐私符合性),PRIPARE认为定义一些隐私工程原则是很重要的。

PRIPARE目前正在定义一个隐私工程方法学,基于现有标准( 如ISO/IEC 29100、ISO/IEC 29134《隐私影响评估方法学》) 和现有方法( 例如实例化CNIL隐私风险的方法) 以及隐私影响相关的架构。PRIPARE认为,尽管有大量独立分析的做法,但很难把他们联系起来,因为他们没有共同的技术框架。

这就是SC27 之所以提出隐私工程框架研究的原因。该研究项目目前正处于研究阶段,由PRIPARE在SC27的联络员Antonio Kung担任研究报告起草人,研究周期至2016 年4 月,目前正在广泛征集各成员国贡献。该研究项目的研究范围包括:隐私工程术语和定义;隐私工程方法和原则;隐私工程处理的高阶描述;与隐私管理标准的关系;与隐私工程框架标准的关系。

此项研究将基于ISO/IEC 29100,并与之保持一致,同时通过规定共同的隐私工程术语进一步精炼ISO/IEC 29100,以及参与方及他们在涉及处理个人身份信息工程系统的角色,以期为信息系统提供已知的隐私工程原则作为参考。

此项研究也与SC27 现有隐私相关标准项目有不同的关联关系。除了ISO/IEC 29100 之外,特别是ISO/IEC 29134 和ISO/IEC 29151《PII保护执行惯例》。从国际其他隐私研究机构的工作来讲,此项研究也与OASIS标准化隐私设计项目相关;与SC27 正在开展的《使用基于属性凭证的尊重隐私的身份管理方案》研究项目相关,因为恰当的使用基于属性的凭证需要集成在一个隐私工程过程中;此项研究也涉及到一些隐私工程工作组,如NIST的隐私工程倡议。

4 《对用户友好的在线隐私通告和同意》

《对用户友好的在线隐私通告和同意》(User friendly online privacy notices and consent) 研究项目是为了规范用户隐私数据的访问方式,在通告用户并获得用户授权的情况下访问。该项目在2014 年10 月SC27 墨西哥会议上由日本专家提出,之后启动研究项目征集各成员国贡献。

实际上,近年来一些国家已经启动了关于隐私通告和同意准则的研究,例如:

—英国- ICO :实践中的隐私声明代码(2009 年)

—法国-CNIL :关于使用电子联系方式进行直接营销目的的行为准则(2005 年)

—法国-SNCD :电子通信的道德规范

—加拿大-OPC :在线同意准则(2013 年)

—美国- NTIA :短期形式通知的行为准则,以促进移动应用程序的做法透明度(2013 年)

—日本- 日本经济产业省:消费者的在线通知、同意权和选择准则(2014 年)

这些似乎表明,现在是协调不兼容区域准则的一个很好机会,因为从行业的角度来看,不兼容的区域准则很可能会产生额外费用,因此提出该研究项目主要用在对在线的用户个人数据使用的通告和用户授权。

根据在墨西哥城的第18 届SC27/ WG5 会议(2014年10 月20~24 日) 决议9,同意启动一项新的研究项目《对用户友好的在线隐私通告和同意》,研究期为12 个月,研究期间征集各成员国贡献。

该研究项目将考虑以下标准:ISO/IEC 29100、ISO/IEC 29115《信息技术安全技术实体认证保证》和ISO/IEC 40500《信息技术W3C Web内容访问控制指南(WCAG)2.0》。

该研究项目的主要任务是:一是评估PII控制方为PII用户提供易于理解的声明和同意过程的指导准则的可行性;二是可能提供一个新工作项目提案和/或现有相关项目的输入材料,并根据这些材料形成评估结果,给SC27/WG5 提供建议。

截至2015 年10 月SC27 印度斋普尔会议前,研究项目共收到来自美、日、韩等专家的30 多条意见,主要用于对用户的隐私信息处理时能先在线通告用户,并获得用户的明示许可后才能处理。

因目前在线隐私问题相对比较突出,在线隐私通告的标准属于急用先行的范畴。

国际隐私相关的标准已经从最初的隐私定义、框架、隐私保护要求逐渐发展到隐私保护的具体场景下的指导,这些标准是具体场景下的实施指南,可以作为我国隐私保护实施的参考。建议我国研究机构研究相关标准,从落实的角度学习经验,为后续制定相关国标和参与国际标准工作打下坚实的基础。

5《增强隐私的身份管理方案》

《增强隐私的身份管理方案》研究项目最早在2014 年5 月香港会议上由瑞士提出,该项目为SC27WG5/WG2 联合研究项目。

如今占主导地位的身份认证技术,如传统的证书系统或在线身份联合协议透露了过多的属性和事务信息给依赖方或身份提供方。这就触发了减少数据泄露的想法,这是数据保护的法规和准则,如欧盟指令95/46/ EC或OECD的1980 年数据保护原则。

瑞士提议由IBM苏黎世研究院Dieter M. Sommer作为研究项目的报告人,并认为该研究项目将产生的标准包含两个部分:通用部分和机制部分,分别由WG5 和WG2 立项。

篇4：信息安全研究热点综述

【摘要】车联网是物联网技术在交通系统领域的典型应用，利用新兴技术提高车辆的安全成为当前交通安全管理的前沿研究方向，也是专利布局中的兵家必争之地。本文从专利文献的角度对基于车联网的交通安全专利技术的全球申请趋势和重要技术的演进过程进行分析，并探讨未来的发展方向。

【关键词】车联网 物联网 交通安全 专利技术

一、引言

汽车作为人们重要的消费品之一，在为人们带来快捷、便利的同时，也为汽车社会带来了诸多问题，诸如交通拥堵、交通事故等，究其原因是目前的汽车还不具备智能化特性。如果将智能安全行车技术应用于道路交通上，交通事故的发生率有望大大降低。

二、基于车联网的交通安全专利技术分析

20世纪90年代后，随着汽车发展社会化带来的诸如交通阻塞、交通事故、能源和环境污染等问题日趋严重，从1992-1997年开始，专利数量开始缓慢上升。2000年左右，韩国现代、日本株式会社明电舍也开始涉足无人驾驶汽车领域。到2005年左右，不少汽车巨头也开始在车联网交通安全专利方面跑马圈地。2011年至今，全球专利申请量开始激增，进入快速增长期，尤其是在2014年以后，专利申请量呈现新的高峰。伴随着万物互联网时代的到来，互联网巨头和实业的介入进一步推动了车联网的快速发展。在基于车联网的交通安全领域，申请人将多项基础技术进行结合，热点领域为主动安全、事故处理以及辅助驾驶。

2.1主动安全

早期，日本东芝和德国宝马利用车内控制装置判断车辆与其他车辆的距离或者车辆行驶的速度，以确定是否需要紧急停车。国内重要申请人中国科学技术大学苏州研究院集中研究了追尾碰撞预警、十字路口碰撞预警、紧急刹车预警等。

作为汽车企业代表的厦门金龙和浙江吉利，多将接收到的车辆实时数据与阈值相比较，根据比较结果确定是否报警，形式较为单一；而高校研究所的申请常引入概率统计等预测方式，预测结果更加准确。

未来有望将多种智能预测手段，例如人工神经网络、蚁群算法、支持向量机等利用到主动安全分支，以获得更精确的预测结果。

2.2事故处理

美国通用汽车公司是该分支的重要申请人。例如，自动为用户更新交通事故数据，具有车辆更新报告装置，向交通信息接受者传输交通通知。紧急事故的快速信息通信将成为争取生命和财产救援的重要途经。从事故处理的整体构思可以看出，国内申请人多将采集到的事故车辆和周边信息发送至信息中心，再根据消息进行紧急救援，技术方案大同小异。而国外申请人的切入点更为新颖。随着车联网技术在国内外逐步渗透，对采集到的信息的传输、存储、除重以及对历史数据的利用可能成为事故处理分支的研究重点。

2.3辅助驾驶

辅助驾驶是目前车联网技术的一项重要、前沿应用，德国宝马、美国通用、美国谷歌、日本明电舍、日本丰田、德国大众等国外大公司均在该分支具有多项专利。国内互联网行业BAT也在辅助驾驶分支进行研究和专利部署。以百度为例，其申请了自动泊车系统、状态信息的处理方法等。而国内高校研究所也投入了不少研究精力。

篇5：信息安全研究热点综述

近年来，国内外学者关于公司治理热点问题，如大股东的资金侵占行为、企业现金持有、企业代理成本、国家控制等进行了深入研究。现将其研究观点综述如下。

一、公司治理与大股东的资金侵占行为

近年来，国外对公司治理的研究的焦点从最初的对企业所有者与管理层间的委托代理问题的研究转到近年来对控股大股东与中小股东之间的代理问题的研究。Shleifer和Vishny(1997)发现，当大股东掌握公司的控制权时，公司主要的代理问题已不再是经理人员与股东间的利益冲突，而是如何防止大股东对其他股东的利益侵占。Johnson，La Porta，Lopez－de－Silanes和Shleifer(2000)用一个概念“隧道挖掘”来形象地描述大股东的侵占行为。Bertrand，Mehta和Mullainathan(2002)认为隧道挖掘不仅损害中小股东的利益，还会影响股票市场。李增泉等(2005)指出，资金侵占作为大股东的隧道挖掘行为的一种，在我国已成为一种非常严重的公司治理问题。

现有文献对股权结构与资金侵占之间的关系进行了广泛研究。Johnmn等(2000)的分析表明，公司控制者的持股比例由低到高变化对其侵占行为的影响体现出由持股比例低时的堑壕效应到持股比例高时的利益协同效应。当控制者的持股比例较低时．其侵占能力随其持股比例的提高而增强，侵占也随之增加，产生堑壕效应；当持股比例达到一定程度后，控制者在上市公司占有的利益很大，其与公司的利益趋于较高程度的一致，此时随着持股比例的提高，侵占会减少，产生利益协同效应。李增泉等(2004)分析了资金占用与第一大股东持股比例之间的关系，发现两者之间有显著的非线性关系：在较低的持股比例上，资金侵占随第一大股东持股比例的提高而增加，当第一大股东的持股比例达到40％――50％时，资金侵占达到最大值；一旦第一大股东的持股比例超过50％，资金侵占则随持股比例的提高而降低。高雷和何少华(2006)发现，在1998年，二次曲线模型能够描述资金侵占与第一大股东持股比例之间的关系，且该模型既支持壕沟防御效应假说，也支持利益协同效应假说；在1999年、2001年和2002年，幂函数模型能够描述资金侵占与第一大股东持股比例之间的关系，且这些模型只支持壕沟防御效应假说；资金侵占与第一大股东持股比例之间的关系随时间变化而变化。

控股股东对上市公司资金的大量侵占是公司治理失败的一种表现。在我国法律对小股东及债权人的利益保护不力且股权高度集中情况下，控股股东对小股东及债权人利益的侵害是我国上市公司面临的主要治理问题。在我国各种公司治理机制对抑制控股股东的资金侵占的有效性如何的问题上，高雷和何少华(2006)认为，董事会的规模、董事会开会次数、高管持股、独立审计事务所的规模与声誉等均对资金侵占没有影响；独立董事占董事会的比例较高，机构投资者持股比例较高，独立审计意见为标准无保留意见等机制均抑制了控股大股东的资金侵占；两职完全分离的领导结构，一股独大的股权结构，控股股东以企业集团形式存在，控股股东的性质为国家股，在受政府保护的行业经营和发行了B股或者H股等机制均加剧了控股大股东的资金侵占。

二、公司治理与企业现金持有

对企业持有大量现金这一问题，国外学者做了大量有价值的研究。Jensen(1986)、Stulz(1990)、Opler等(1999)提出三种可解释这个问题的理论。

1．交易成本和均衡理论。交易成本和均衡理论认为，追求价值最大化的企业是通过分析现金持有的边际成本和边际收益来决定其最优的现金持有比率。早在半个世纪前，Tobin就建议，企业应持有现金以避免频繁地外部融资。另外，持有现金也可降低企业发生财务危机的概率，可减少外部融资或处置固定资产的成本。

2．信息不对称理论。Opler等(1999)发现美国企业现金持有量与公司规模负相关，与投资机会、风险及获取外部资金的难度正相关。另外，企业与银行之间的关系越紧密，其现金持有量就越少，因为这种关系可能缓和了企业的融资约束，从而减少了企业出于预防动机而持有的现金。Pinkowitz等(2001)发现日本企业比美国和德国企业具有更高的现金余额。在日本，从银行融资较多的企业比那些通过非银行渠道融资较多的企业持有更多现金。对此，他们的解释是，日本银行缺乏制衡体系，具有更强的垄断力量。因此很可能会鼓励企业持有大量的现金以降低其监督成本。

3．代理理论。代理理论认为管理者所追求的目标可能与股东所追求的目标不一致，因此投资者为保护自己的利益，会为企业提供适当的资金。Jensen(1986)和Stulz(1990)发展了自由现金流假说。他们认为，为缓和代理冲突，股东更愿意减少管理者可支配的自由现金流。在Jensen和Stulz看来，最佳的情形是提供的资金恰好满足了管理者投资所有的好项目，而不是提供过多的资金让管理者进行一些利己而不利于股东的投资、重组或者额外的在职消费。同时，Jensen(1986)认为，管理者有动机增加企业的自由现金流，因为现金可能是其唯一可自由支配的资产。最近的文献研究了法律和制度因素对现金持有的影响。其主要观点是，由于各国对外部投资者利益的保护程度不同，代理成本也会不同。对外部投资者的利益保护越好，投资者就越愿意以较低成本提供资金，企业就持有更少的现金。Dittmar等(2003)发现在那些对股东利益保护较差的国家，管理者持有较多的现金。他们的解释是在这些国家股东没有足够的能力迫使管理者返还过剩的现金。

公司治理是企业内部治理机制和外部治理机制的总和，公司的内部治理安排和外部治理环境共同决定了代理成本的类型和数量，从而影响了公司的现金持有量。良好的治理会降低代理成本，减少管理者出于机会主义而持有的现金数量。高雷和何少华(2006)以我国上市公司1998年――2003年的数据为样本，从公司内部治理安排与外部治理环境的角度研究了上市公司现金持有量的决定因素。他们发现，第一大股东持股比例与现金持有量呈“倒U”型关系；第二到第十大股东持股集中度与现金持有量显著负相关；银行债务占总债务的比例与现金持有量显著负相关；与非政府控制的企业相比，政府控制的企业持有较少的现金；企业所在地区的市场化程度越高，其持有的现金越多；企业的成长性、银行债务、地区的市场化程度等因素对企业现金持有量的影响并不是一成不变的，而是随着控股股东的产权性质的不同而不同。

三、公司治理与企业代理成本

大量的研究表明，代理成本显著地影响企业的融资决策、投资决策和企业价值。而研究的焦

点主要集中在预期的代理成本对公司绩效的影响。Ang等(2000)、Singh和Davidson(2003)研究了代理成本的决定因素并主要关注了负债和所有权结构在减轻美国企业代理成本上的作用。与先前的研究一致，他们的研究表明，管理者持股能协调管理者与股东之间的利益，并因此减少代理成本。然而，他们对负债在减轻代理成本的作用上并没有取得一致的看法。Ang等(2000)指出负债起到一个减轻代理成本的作用，而Singh和Davidson(2003)认为负债起到加重的作用。

Jensen和geckling(1976)指出，管理者持股协调了两个不同持股群体的利益，因此可减少公司内部的代理成本。根据他们的模型，管理者持股与代理成本之间的关系是线性的。因此，当管理者获得公司全部股份时，代理成本达到最小。MC.Connell和Servaes(1995)、Short和Kease(1999)的研究发现，管理者持股和代理成本之间的关系是非线性的。

非控股大股东对减轻公司的代理冲突有重要作用 对控股股东获取私利的行为，其他股东除“用脚投票”外，也可采取集中所有权的方式监督控股股东的行为：Volpin(2002)的研究表明，大股东联盟的存在提高了公司业绩恶化时高级经理被更换的概率。Maury和Pajuste(2004)则提供了多个大股东的存在与公司价值显著正相关的经验证据-白重恩等(2005)的研究发现，在我国第―二到第十大股东持股的集中度与公司价值显著正相关

基于信息不对称理论，一些文献研究了银行债务在降低生理成本上的作用。Jensen(1986)认为，企业内部的代理问题通常与信息不对称有关。当企业持有私人债务时，偿债责任有助于减轻此类代理问题：Jensen(1986)和Stulz(1990)认为，银行信贷传递了重要的能够降低管理者和外部投资者之间的信息不对称的信号：可是在我国，银行的产权几乎都归国家所有，绝大部分上市公司也为国家所有，或由国家控制，使政府过多地干预银行的经营、加上政府对银行进行的各种显性与隐性的“担保”，直接导致银行极易产生道德风险。可见，我国银行作为债权人缺乏足够的动机，也难以对其债务人进行有效的监督和约束。

债务期限结构与代理成本之间的关系得到了学者们的重视。Jensen(1986)认为，当管理者存在利用自由现金流收益从事过度投资行为时，短期债务融资有利于减少公司的自由现金流量，并通过提高破产的可能性来增加管理者的激励。Hart和Mcxore(1995)指出，短期债务融资契约的治理效应主要表现在对公司的清算与约束管理者对自由现金流的随意决定权方面，而长期债务融资契约的治理效应主要表现为防止管理者的无效率扩张。

许多文献探讨了董事会在减轻代理成本上的作用 董事会作为公司治理机制的有效性取决于其规模与构成。Pearce and Zahra(1991)指出，大的强有力的董事会有助于加强公司与外部的联系，为企业提供战略选择方面的咨询和建议，并在企业的创建和发展过程中扮演关键角色。但其它一些研究，如Eisenberg(1998)认为，董事会的独立性取决于两个方面，独立董事的比例和首席执行官与董事会主席两职的设置状况。独立董事比例较高的董事会可以通过发挥其独立董事的声誉来防止董事会被管理者操纵，从而确保董事会决策的独立性和有效性。Byrd and Hickman(1992)的研究表明，董事会中独立董事的比例与公司绩效正相关。Lin等(2003)对外部董事的任命，特别是当董事会持股较低且被任命的外部董事有很强的监督动机时，股票价格有积极反应。但持相反观点的人，如Agrawal and Knoeker(1996)认为，外部董事对企业信息了解不足，他们扮演的是非对抗的咨询者而不是关键的监督者。

在高增长与低增长企业之间，代理成本与投资不足、资产替代和过度使用自由现金流之间的关系存在显著差异。当出现投资不足时，管理者可能会放弃净现值为正而大部分收益属于债权人的投资。这种情况在高增长企业中尤为严重。Jensen利Meckllng(1976)相信，由于投资者与借款人之间的信息不对称，资产替代问题在高增长公司更加盛行。Jensen(1986)认为，虽然高增长企业较少地面临过度使用自由现金流的问题，但当企业拥有充实的现金储备并倾向投资高风险且净现值为负的项目时，资产替代问题就会发生。Smith利Wattsk(1992)考虑到在高增长与低增长的企业中，代理成本的类型和数量均不同，公司治理机制的有效性随企业的增长性而变化。MC?Connell and Servaes(1995)发现，在高增长企业中，企业价值和财务杠杆负相关，而在低增长企业中，企业价值与财务杠杆正相关。他们的研究还显示，所有权是重要的，并通过投资机会表现出来。

四、国家控制与公司治理

国家控制与政治干预常常如影随形。政治关系及政治干预对企业与社会经济有何影响?Shleifer和Vishny(1994)的研究表明，政治家常常向其管理的公司榨取租金，且维持政治关系的成本支出完全可抵消由政治关系而产生的利益。Khwaia和Mian(2004)对巴基斯坦1996年――2002年间的企业贷款的研究发现，只有政治关系的企业从银行获得的贷款是其它企业的两倍，拖欠率比其它企业高出50％，且这种情况仅发生在政府控制的银行。与政治关系相伴的寻租所产生的成本约占每年GDP的0．3％到1．9％。Faccio(2002)基于42个国家的样本，对具有政治关系的企业的研究发现，具有政治关系的企业更容易取得债务融资、更低的税赋和更强的市场力量等利益，且这在那些高度腐败、产权保护弱、政府干预程度高的国家尤其明显。尽管如此，只有政治关系的企业的绩效仍低于同类企业。他们认为这是由于政治家对企业的寻租及政治干预所导致的宏观层面的资金配置、投资决策及经济长期发展的扭曲所导致的。Faccio(2004)的研究发现市场对任命政治家为董事的事件没有显著的价格反应。可见，与政治关系相伴的政治干预扭曲了资源的配置，降低了经济效率，产生了高昂的社会成本。

篇6：信息安全研究热点综述

导语：随着互联网对政治、经济、社会生活的深入渗透和对其他产业的融合，一方面为人们提供了进一步发展的良好环境，另一方面，由于人们对互联网依赖度提高，也对互联网安全提出了更高的要求。目前互联网信息安全问题依然突出，信息安全状况不容乐观，各种“黑色产业链”屡禁不止，发现我们的网络一直在受到大规模的入侵，我们的各种信息一直被人任意监视和分析，这显然对我国信息安全造成严重威胁。需要进一步规范互联网发展，加强对互联网的治理以及对用户信息和个人隐私的保护。

2013年6月，英国《卫报》和美国《华盛顿邮报》先后披露了前中情局职员爱德华·斯诺登提供的关于美国国家安全局一项代号为“棱镜”的秘密项目的相关资料，揭露美国政府利用大型跨国网络企业对人们的互联网信息和行为进行秘密监视。对世界各国的政府来说，“棱镜门”事件无疑重重地敲响了信息安全问题的警钟。

【背景链接】

一、政策背景

健全信息安全保障体系

十八大报告有19处论述信息化、信息网络、信息技术与信息安全。特别是报告明确把“信息化水平大幅提升”纳入全面建成小康社会的目标之一，并提出了走工业化、信息化、城镇化、农业现代化道路，促进“四化”同步发展。

提出建设下一代信息基础设施，发展现代信息技术产业体系，健全信息安全保障体系，推进信息网络技术广泛运用。

关于大力推进信息化发展和切实保障信息安全的若干意见

2012年5月，国务院发布《关于大力推进信息化发展和切实保障信息安全的若干意见》，要求“十二五”期间，要确保重要信息系统和基础信息网络安全，强化信息资源和个人信息保护，研究制定国家信息安全战略和规划，加强网络信任体系建设和密码保障，提升网络与信息安全监管能力。

关于加强网络信息保护的决定

2012年12月28日，全国人大通过了《关于加强网络信息保护的决定》，从公民个人电子信息保护出发，对治理垃圾电子信息、网络身份管理以及网络服务提供者和网络用户的义务与责任、政府有关部门的监管职责等作出了明确规定。《决定》的发布，可以更好地保护网络信息安全，维护国家安全和公共利益。

电信和互联网用户个人信息保护规定

2013年7月19日，工信部发布了《电信和互联网用户个人信息保护规定》，对相关违法行为设定警告和三万元以下的罚款处罚，同时设立了制止违法行为危害扩大的“叫停”制度、“向社会公告”行政处罚制度和将违法行为“记入社会信用档案”制度，以有效遏制侵害用户个人信息的违法行为。

加强网络信息安全 推动个人信息保护立法

国务院发布的《国务院关于促进信息消费扩大内需的若干意见》要求积极推动出台网络信息安全、个人信息保护等方面的法律制度。

二、落实情况

2013年3月26日，中国移动召开2013年信息安全工作会议，重点围绕贯彻落实全国人大常委会《关于加强网络信息保护的决定》和工信部、国资委《关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见》相关要求，部署全年工作。

据统计，中国移动在开展党的十八大网络与信息安全保障工作期间，对全国超过3亿个公、私IP地址逐一进行了检查，排查系统超过5000个，全面实现“万无一失”的预定目标。由于在党的十八大网络与信息安全保障工作中表现优异，中国移动5个单位和15名个人受到工信部表彰，公司被公安部授予“十八大网络安保优秀单位”称号。同时，圆满完成今年全国“两会”信息安全保障任务，对全网近600个重要业务网站进行了风险排查，发现并处置安全风险六大类60余处;监测发现业务安全威胁线索60余条，处理疑似不良信息973万余件。

【百姓怎么看】

观点一 保护网络信息安全应建立整体机制

新浪网网友：根治网络信息泄露顽疾，立法必不可少，但更重要的是，应建立整体机制，打出“组合拳”，促使企业合理谨慎使用信息。

观点二 网络信息安全保护需要法律保障

新浪网网友“仰视为望”表示，网络信息安全保护无论放大到国家安全还是细化到个人隐私都至关重要，信息安全需要人人有担当，更需要有法律的切实保障，虽然每个人都享有全媒体时代的便捷发布与传播权利，但务必遵守相应义务，必须坚持正义与公平，不负责任地造谣中伤只会无休止传递负能量，满足了个人或个别团体的私利，却损害了全社会的秩序和价值观。

观点三 立法对净化网络空间有积极作用

求实网网友：现在网络活动中频发的随意收集、擅自使用、非法泄露个人信息行为，以及通过网络实施诈骗、侮辱诽谤他人的违法行为等严重损害了公众的合法权益。此次网络立法与公民权利紧密相连，具有极强的针对性，有利于净化网络环境，发挥网络的积极作用。

【专家怎么说】

如何保护隐私构建一个安全的信息网络，其实方法很多，比如对于每一个数据的使用都要有告知和许可的过程，一旦出现问题，使用数据者需要负责任等。但最关键的还是政策法规要有可操作性，否则制定了实施效果不好，会大打折扣。

——英特尔(中国)研究院首席工程师 吴甘沙

安全性已成为限制我国电子商务进一步发展的瓶颈问题，既需要国家加强网络安全建设，加大对互联网黑色产业链的打击，保障网络安全，也需要进一步完善电子支付的制度环境和基础设施，保障网上交易的安全便捷。

——全国人大代表、腾讯董事局主席 马化腾

个人信息是个人权益的组成部分，需要长效机制来保护。要真正实现有效保护个人信息，需要加快个人信息保护的立法进程，制订互联网个人信息保护法，从民事的角度出发，全面地保护个人信息。

——全国政协委员、苏宁云商董事长 张近东

我们要提高安全意识，提高警惕性。要重视自主安全，建立自主可控的信息产业体系。这需要政府的支持，科研院所、科技企业的共同努力。建立自主可控的技术平台，采用“应用牵引、系统优化、形成体系”的措施建立技术产业根据地，建立有威慑力的知识产权体系。

——中国科学院计算技术研究所研究员 胡伟武

为了维护国家网络空间安全，政府有关方面承担着重大的责任。与发达国家相比，我们在观念认识、战略制定、组织保障、规章制度、技术手段等方面都有很大差距。同时，我们从事信息安全业务的企业也普遍规模较小、创新能力不足，当前要维护国家信息安全还是一个很大的挑战。当然，这也是一个发展的机遇。

——中国工程院院士 倪光南

‘棱镜’事件凸显出我们对国家级攻击的应对能力不足，因此未来要努力改进的不只是某个点上的技术措施，还有综合安全能力的提升。应尽快出台国家整体战略，通过政策法规、技术建设、产业发展、外交战略等各方面的明确与配合，才有可能从根本性的角度使问题有所改善。

——中国国家网络信息安全技术研究所所长 杜跃进

【政府怎么办】

[立法保护网络信息安全]

第十一届全国人大常委会第三十次会议审议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》，为加强网络信息保护提供了法律依据，《决定》针对我国信息化建设不断推进、信息技术广泛应用、信息网络快速发展中网络信息保护面临的突出问题和薄弱环节，从公民个人电子信息保护出发，对治理垃圾电子信息、网络身份管理以及网络服务提供者和网络用户的义务与责任、政府有关部门的监管职责等作出了明确规定，体现了管理与发展相协调、规范与保护相统一、权利与义务相一致的原则，兼顾了个人、网络服务提供者和政府等相关主体的权责关系，为保障网络信息安全，保护公民、法人和其他组织的合法权益，维护国家安全和社会公共利益提供了法律保障。

党中央、国务院高度重视互联网法制建设。尤其是2000年以来，我国制定了《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》等一系列涉及互联网的法律、行政法规和部门规章。同时，我国《刑法》、《民法通则》、《未成年人保护法》等法律的相关条款也涉及或适用于互联网管理。上述法律法规在推动和规范我国互联网建设发展过程中发挥了重要作用。但总体来看，有关网络信息保护的法律规范还比较薄弱和滞后，不适应我国信息化发展和维护公民在网络活动中合法权益的要求，《决定》的出台恰逢其时，得民心、顺民意，符合中国国情和国际惯例。

[实行网络身份管理制度]

在公民个人电子信息管理方面，《全国人民代表大会常务委员会关于加强网络信息保护的决定》第五条要求：“网络服务提供者应当加强对其用户发布的信息的管理，发现法律、法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，保存有关记录，并向有关主管部门报告。”

第六条还要求：“网络服务提供者为用户办理网站接入服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布服务，应当在与用户签订协议或者确认提供服务时，要求用户提供真实身份信息。”

[联合开展专项整治活动]

中央外宣办、工业和信息化部、公安部、国家工商总局等开展了清理整治网络黑市、网络水军、电讯诈骗等专项行动，有效净化了网络环境。针对安卓、iOS等手机操作系统先后曝出的短信欺诈漏洞、恶意软件、恶意广告代码、偷流量、侵犯用户隐私甚至盗取用户钱财等问题，工业和信息化部开展专项行动，加快建立健全移动互联网不良与恶意程序的举报、研判和处置机制。以上措施为进一步规范互联网发展、开展互联网治理、建立互联网健康、良性环境发挥了重要作用。

[权威论述]

要构建安全可信的信息消费环境。依法加强个人信息保护，规范信息消费市场秩序，提高网络信息安全保障能力。

——李克强

黑客攻击问题，这可以说是一个世界性的问题，中国本身就是主要的被黑客攻击的受害者，中方不仅不支持，而且反对黑客攻击行为。我们要少一些没有根据的相互指责，多做一些维护网络安全的实事。

——李克强

维护网络和信息安全是各国维护国家安全的重要内容，面对网络信息安全威胁和挑战，各国必须加强合作，共同承担网络安全责任，从世界各国共同利益的角度，加强合作，国际社会要积极合作打击各种网络犯罪，加快制订信息安全国际行为准则，坚决反对网络冲突。

——中央政治局委员，中央政法委书记孟建柱