引論：我們?yōu)槟砹?3篇信息安全法律法規(guī)論文范文，供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源，期望它們能夠激發(fā)您的創(chuàng)作靈感，讓您的文章更具深度。

篇1

人類進(jìn)入21世紀(jì)，現(xiàn)代信息技術(shù)迅猛發(fā)展，特別是網(wǎng)絡(luò)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)正以其強(qiáng)大的生命力和巨大的信息提供能力和檢索能力風(fēng)靡全球．

網(wǎng)絡(luò)已成為人們尤其是大學(xué)生獲取知識、信息的最快途徑．網(wǎng)絡(luò)以其數(shù)字化、多媒體化以及虛擬性、學(xué)習(xí)性等特點(diǎn)不僅影響和改變著大學(xué)生的學(xué)習(xí)方式生活方式以及交往方式，而且正影響著他們的人生觀、世界觀、價(jià)值取向，甚至利用自己所學(xué)的知識進(jìn)行網(wǎng)絡(luò)犯罪，所有這些使得高師學(xué)生思想政治工作特別是從事網(wǎng)絡(luò)教學(xué)、實(shí)踐的計(jì)算機(jī)專業(yè)的教育工作者來說，面臨著前所未有的機(jī)遇和挑戰(zhàn)，這不僅因?yàn)椋约阂环矫嬉獋魇趯W(xué)生先進(jìn)的網(wǎng)絡(luò)技術(shù)，另一方面也要教育學(xué)生不要利用這些技術(shù)從事違法活動而從技術(shù)的角度來看，違法與不違法只是一兩條指令之間的事情，更重要的是高師計(jì)算機(jī)專業(yè)學(xué)生將來可能成為老師去影響他的學(xué)生，由此可見，在高師計(jì)算機(jī)專業(yè)學(xué)生中開設(shè)與信息安全有關(guān)的法律法規(guī)課程有著十分重要的意義．如何抓住機(jī)遇，研究和探索網(wǎng)絡(luò)環(huán)境下的高師計(jì)算機(jī)專業(yè)學(xué)生信息安全法律法規(guī)教學(xué)的新特點(diǎn)、新方法、新途徑、新對策已成為高師計(jì)算機(jī)專業(yè)教育者關(guān)心和思考的問題．本文主要結(jié)合我校的實(shí)際，就如何在高師計(jì)算機(jī)專業(yè)中開設(shè)信息安全法律課程作一些探討．

1現(xiàn)有的計(jì)算機(jī)專業(yè)課程特點(diǎn)

根據(jù)我校人才培養(yǎng)目標(biāo)、服務(wù)面向定位，按照夯實(shí)基礎(chǔ)、拓寬專業(yè)口徑、注重素質(zhì)教育和創(chuàng)新精神、實(shí)踐能力培養(yǎng)的人才培養(yǎng)思路，溝通不同學(xué)科、不同專業(yè)之間的課程聯(lián)系．全校整個(gè)課程體系分為“通識教育課程、專業(yè)課程(含專業(yè)基礎(chǔ)課程、專業(yè)方向課程)、教師教育課程(非師范除外)、實(shí)踐教學(xué)課程”四個(gè)大類，下面僅就計(jì)算機(jī)專業(yè)課程的特點(diǎn)介紹．

1．1專業(yè)基礎(chǔ)課程專業(yè)基礎(chǔ)課是按學(xué)科門類組織的基礎(chǔ)知識課程模塊，均為必修課．目的是在大學(xué)學(xué)習(xí)的初期階段，按學(xué)科進(jìn)行培養(yǎng)，夯實(shí)基礎(chǔ)，拓寬專業(yè)口徑．考慮到學(xué)科知識體系、學(xué)生轉(zhuǎn)專業(yè)等需要，原則上各學(xué)科大類所涵蓋的各專業(yè)的學(xué)科專業(yè)基礎(chǔ)課程應(yīng)該相同．主要內(nèi)容包括：計(jì)算機(jī)科學(xué)概論、網(wǎng)頁設(shè)計(jì)與制作、C++程序設(shè)計(jì)、數(shù)據(jù)結(jié)構(gòu)、操作系統(tǒng)等．

1．2專業(yè)方向課程各專業(yè)應(yīng)圍繞人才培養(yǎng)目標(biāo)與規(guī)格設(shè)置主要課程，按照教育部《普通高等學(xué)校本科專業(yè)目錄》的有關(guān)要求，結(jié)合學(xué)校實(shí)際設(shè)置必修課程和選修課程．同時(shí)可以開設(shè)2—3個(gè)方向作為限選．學(xué)生可以根據(jù)自身興趣和自我發(fā)展的需要，在任一方向課程組中選擇規(guī)定學(xué)分的課程修讀．主要內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)、匯編語言程序設(shè)計(jì)、計(jì)算機(jī)組成原理、數(shù)據(jù)庫系統(tǒng)、軟件工程導(dǎo)論、軟件工程實(shí)訓(xùn)、計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)等．

1．3現(xiàn)有計(jì)算機(jī)專業(yè)課程設(shè)置的一些不足計(jì)算機(jī)技術(shù)一日千里，對于它的課程設(shè)置應(yīng)該具有前瞻性，考慮到時(shí)代的變化，計(jì)算機(jī)應(yīng)用專業(yè)旨在培養(yǎng)一批適合現(xiàn)代軟件工程、網(wǎng)絡(luò)工程發(fā)展要求的軟件工程、網(wǎng)絡(luò)工程技術(shù)人員，現(xiàn)有我校的計(jì)算機(jī)專業(yè)課程是針對這一目標(biāo)進(jìn)行設(shè)置的，但這一設(shè)置主要從技術(shù)的角度來考慮問題，沒有充分考慮到：隨著時(shí)代的發(fā)展，人們更廣泛的使用網(wǎng)絡(luò)、更關(guān)注信息安全這一事實(shí)，作為計(jì)算機(jī)專業(yè)的學(xué)生更應(yīng)該承擔(dān)起自覺維護(hù)起信息安全的責(zé)任，作為高師計(jì)算機(jī)專業(yè)的課程設(shè)置里應(yīng)該考慮到教育學(xué)生不得利用自己所學(xué)的技術(shù)從事不利于網(wǎng)絡(luò)安全的事情．

2高師計(jì)算機(jī)專業(yè)學(xué)生開設(shè)信息安全法律法規(guī)的必要性和可行性

2．1必要性信息安全學(xué)科群體系由核心學(xué)科群、支撐學(xué)科群和應(yīng)用學(xué)科群三部分構(gòu)成，是一個(gè)“以信息安全理論為核心，以信息技術(shù)、信息工程和信息安全等理論體系為支撐，以國家和社會各領(lǐng)域信息安全防護(hù)為應(yīng)用方向”的跨學(xué)科的交叉性學(xué)科群體系．該學(xué)科交叉性、邊緣性強(qiáng)，應(yīng)用領(lǐng)域面寬，是一個(gè)龐大的學(xué)科群體系，涉及的知識點(diǎn)也非常龐雜．

僅就法學(xué)而言，信息安全涉及的法學(xué)領(lǐng)域就包括：刑法(計(jì)算機(jī)犯罪，包括非法侵入計(jì)算機(jī)信息系統(tǒng)罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產(chǎn)權(quán)法(著作權(quán)的侵害、信息網(wǎng)絡(luò)傳播權(quán)等)等許多法學(xué)分支．因此，信息安全教育不是一項(xiàng)單一技術(shù)方面的教育，加強(qiáng)相關(guān)法律課程設(shè)置，是信息安全學(xué)科建設(shè)過程中健全人才培養(yǎng)體系的重要途徑與任務(wù)．

高師計(jì)算機(jī)專業(yè)，雖然沒有開設(shè)與信息安全專業(yè)一樣多與信息安全的有關(guān)技術(shù)類課程．但這些專業(yè)的學(xué)生都有從事網(wǎng)絡(luò)工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力，只要具備這些能力且信息安全意識不強(qiáng)的人，都可能有意識或無意識的干出違反法律的事情，例如“YAI”這個(gè)比CIH還兇猛的病毒的編寫者為重慶某大學(xué)計(jì)算機(jī)系一名大學(xué)生．由此可見，在高師計(jì)算機(jī)專業(yè)的學(xué)生中開設(shè)相關(guān)的法律法規(guī)選修課程是必要的．

2．2可行性技術(shù)與法律原本并不關(guān)聯(lián)，但是在信息安全領(lǐng)域，技術(shù)與法律卻深深的關(guān)聯(lián)在一起，在全世界各國都不難發(fā)現(xiàn)諸如像數(shù)字簽名、PKI應(yīng)用與法律體系緊密關(guān)聯(lián)．從本質(zhì)上講，信息安全對法律的需求，實(shí)際上來源于人們在面臨信息技術(shù)革命過程中產(chǎn)生的種種新可能的時(shí)候，對這些可能性做出選擇揚(yáng)棄、利益權(quán)衡和價(jià)值判斷的需要．這也就要求我們跳出技術(shù)思維的影響，重視信息安全中的法律范疇．

根據(jù)前面對信息安全法律法規(guī)內(nèi)容的特點(diǎn)分析可知：信息安全技術(shù)與計(jì)算機(jī)應(yīng)用技術(shù)有著千絲萬縷的聯(lián)系．從事計(jì)算機(jī)技術(shù)的人員很容易轉(zhuǎn)到從事信息安全技術(shù)研究上，加之信息安全技術(shù)是當(dāng)今最熱門技術(shù)之一，因此，在高師計(jì)算機(jī)專業(yè)中開設(shè)一些基本的信息安全技術(shù)選修課程、開設(shè)一些與法律體系緊密關(guān)聯(lián)的信息安全法律法規(guī)選修課程學(xué)生容易接受，具有可操作性．

3信息安全技術(shù)課程特點(diǎn)

信息安全技術(shù)課程所涉及的內(nèi)容眾多，有數(shù)學(xué)、計(jì)算機(jī)、通信、電子、管理等學(xué)科，既有理論知識，又有實(shí)踐知識，理論與實(shí)踐聯(lián)系十分緊密，新方法、新技術(shù)以及新問題不斷涌現(xiàn)，這給信息安全課程設(shè)置帶來了很大的難度，為使我校計(jì)算機(jī)專業(yè)學(xué)生了解、掌握這一新技術(shù)，我們在專業(yè)課程模塊中開設(shè)《密碼學(xué)基礎(chǔ)》、《網(wǎng)絡(luò)安全技術(shù)》、《入侵檢測技術(shù)》等作為專業(yè)選修課．我校本課程具有以下特點(diǎn)：

(1)每學(xué)期都對知識內(nèi)容進(jìn)行更新．

(2)對涉及到的基本知識面，分別采用開設(shè)專業(yè)課、專業(yè)選修課、講座等多種方式，讓學(xué)生了解信息安全知識體系，如有操作系統(tǒng)、密碼學(xué)基礎(chǔ)、防火墻技術(shù)、VPN應(yīng)用、信息安全標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全管理、信息安全法律課程等．

(3)對先修課程提出了較高的要求．學(xué)習(xí)信息安全技術(shù)課程之前，都可設(shè)了相應(yīng)的先行課程讓學(xué)生了解、掌握，如開設(shè)了計(jì)算機(jī)網(wǎng)絡(luò)基本原理、操作系統(tǒng)、計(jì)算機(jī)組成原理、程序設(shè)計(jì)和數(shù)論基礎(chǔ)等課程．

(4)注重實(shí)踐教學(xué)．比如密碼學(xué)晦澀難懂的概念，不安排實(shí)驗(yàn)實(shí)訓(xùn)，不讓學(xué)生親手去操作，就永遠(yuǎn)不能真正理解和運(yùn)用．防火墻技術(shù)只有通過親手配置和測試．才能領(lǐng)會其工作機(jī)理．對此我們在相關(guān)的課程都對學(xué)生作了實(shí)踐、實(shí)訓(xùn)的要求．

4涉及到信息安全法律法規(guī)內(nèi)容的特點(diǎn)

信息安全的特點(diǎn)決定了其法律、法規(guī)內(nèi)容多數(shù)情況下都涉及到網(wǎng)絡(luò)技術(shù)、涉及到與網(wǎng)絡(luò)有關(guān)的法律、法規(guī)．

4．1目的多樣性作為信息安全的破壞者，其目的多種多樣，如利用網(wǎng)絡(luò)進(jìn)行經(jīng)濟(jì)詐騙；利用網(wǎng)絡(luò)獲取國家政治、經(jīng)濟(jì)、軍事情報(bào)；利用網(wǎng)絡(luò)顯示自己的才能等．這說明僅就破壞者方面而言的信息安全問題也是復(fù)雜多樣的．

4．2涉及領(lǐng)域的廣泛性隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，信息化的浪潮席卷全球，信息化和經(jīng)濟(jì)全球化互相交織，信息在經(jīng)濟(jì)和社會活動中的作用甚至超過資本，成為經(jīng)濟(jì)增長的最活躍、最有潛力的推動力．信息的安全越來越受到人們的關(guān)注，大到軍事政治等機(jī)密安全，小到防范商業(yè)企業(yè)機(jī)密泄露、青少年對不良信息的瀏覽、個(gè)人信息的泄露等信息安全問題涉及到所有國民經(jīng)濟(jì)、政治、軍事等的各個(gè)部門、各個(gè)領(lǐng)域．

4．3技術(shù)的復(fù)雜性信息安全不僅涉及到技術(shù)問題，也涉及到管理問題，信息安全技術(shù)又涉及到網(wǎng)絡(luò)、編碼等多門學(xué)科，保護(hù)信息安全的技術(shù)不僅需要法律作支撐，而且研究法律保護(hù)同時(shí)，又需要考慮其技術(shù)性的特征，符合技術(shù)上的要求．

4．4信息安全法律優(yōu)先地位綜上所述，信息安全的法律保護(hù)不是靠一部法律所能實(shí)現(xiàn)的，而是要靠涉及到信息安全技術(shù)各分支的信息安全法律法規(guī)體系來實(shí)現(xiàn)．因此，信息安全法律在我國法律體系中具有特殊地位，兼具有安全法、網(wǎng)絡(luò)法的雙重地位，必須與網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)立法同步建設(shè)，因此，具有優(yōu)先發(fā)展的地位．

5高師信息安全技術(shù)課程中的法律法規(guī)內(nèi)容教學(xué)目標(biāo)

對于計(jì)算機(jī)專業(yè)或信息安全專業(yè)的本科生和研究生，應(yīng)深入理解和掌握信息安全技術(shù)理論和方法，了解所涉到的常見的法律法規(guī)，深入理解和掌握網(wǎng)絡(luò)安全技術(shù)防御技術(shù)和安全通信協(xié)議．

而對普通高等師范院校計(jì)算機(jī)專業(yè)學(xué)生來說，由于課程時(shí)間限制，不能對信息安全知識作較全面的掌握，也不可能過多地研究密碼學(xué)理論，更不可能從法律專業(yè)的角度研究信息安全所涉到的法律法規(guī)，為此，開設(shè)信息安全法律法規(guī)課程內(nèi)容的教學(xué)目標(biāo)定位為：了解信息安全技術(shù)的基本原理基礎(chǔ)上，初步掌握涉及網(wǎng)絡(luò)安全維護(hù)和網(wǎng)絡(luò)安全構(gòu)建等技術(shù)的法律、法規(guī)和標(biāo)準(zhǔn)．如：《中華人民共和國信息系統(tǒng)安全保護(hù)條例》，《中華人民共和國數(shù)字簽名法》，《計(jì)算機(jī)病毒防治管理辦法》等．

6高師信息安全技術(shù)法律法規(guī)課程設(shè)置探討

根據(jù)我校計(jì)算機(jī)專業(yè)課程體系結(jié)構(gòu)，信息安全有關(guān)的法律法規(guī)課程，其中多數(shù)涉及信息安全技術(shù)層面，主要以選修課、講座課為主，作為信息安全課程的補(bǔ)充．主要可開設(shè)以下選修課課程或講座課程．

(1)信息安全法律法規(guī)基礎(chǔ)講座：本講座力圖改變大家對信息安全的態(tài)度，使操作人員知曉信息安全的重要性、企業(yè)安全規(guī)章制度的含義及其職責(zé)范圍內(nèi)需要注意的安全問題，讓學(xué)生首先從信息安全的非技術(shù)層面了解與信息安全有關(guān)的法律、法規(guī)，主要內(nèi)容包括：國內(nèi)信息安全法律法規(guī)概貌、我國現(xiàn)有信息安全相關(guān)法律法規(guī)簡介等．

(2)黑客攻擊手段與防護(hù)策略：通過本課程的學(xué)習(xí)，可以借此提高自己的安全意識，了解常見的安全漏洞，識別黑客攻擊手法，熟悉提高系統(tǒng)抗攻擊能力的安全配置方法，最重要的還在于掌握一種學(xué)習(xí)信息安全知識的正確途徑和方法．

篇2

（二）管理體系不完善

田敏達(dá)在《電子政務(wù)信息安全策略研究》的論文中認(rèn)為，電子政務(wù)信息安全不是單純的技術(shù)問題。如果缺乏行之有效的安全檢查保護(hù)措施，無法從技術(shù)、人員以及管理制度上建立電子政務(wù)信息安全防范體制，即使是再好的設(shè)備和技術(shù)也無法保證信息的安全。譚曉在《電子政務(wù)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)技術(shù)》中提出，管理體系也是電子政務(wù)安全體系的重要組成部分。管理作為網(wǎng)絡(luò)安全的核心，要實(shí)現(xiàn)信息安全的有效管理，不僅需要技術(shù)手段的維護(hù)，還需要制定合理的管理制度，如日常系統(tǒng)操作及維護(hù)制度、審計(jì)制度、文檔管理制度、應(yīng)急響應(yīng)制度等，這樣才能發(fā)揮有效的作用。

（三）技術(shù)存在缺陷

田敏達(dá)在《電子政務(wù)信息安全策略研究》中也提出了存在的一些問題，包括我國網(wǎng)絡(luò)安全技術(shù)落后、技術(shù)優(yōu)勢與相關(guān)行業(yè)脫節(jié)研究、計(jì)算機(jī)系統(tǒng)本身的脆弱性、我國對發(fā)達(dá)國家信息設(shè)備和信息技術(shù)存在著很強(qiáng)的依賴性。技術(shù)問題是支持電子政務(wù)信息系統(tǒng)穩(wěn)定高效運(yùn)行的關(guān)鍵手段，技術(shù)的問題是可以控制的，但是開發(fā)技術(shù)，實(shí)現(xiàn)高超的技術(shù)水平卻是困難的。

（四）法律不健全

孟薇《電子政務(wù)信息安全研究》提出盡管一些既有的法律法規(guī)的出臺和實(shí)施對于我國電子政務(wù)信息的安全起到相當(dāng)積極的作用，但仍難以適應(yīng)電子政務(wù)發(fā)展的需要，信息安全立法還存在相當(dāng)多的盲區(qū)。在法律方面，基本的法律法規(guī)對電子政務(wù)信息安全有一定的約束作用，但是目前法律法規(guī)還存在不健全、覆蓋有盲點(diǎn)、制度不協(xié)調(diào)等問題，這些為鉆法律空缺的違法者提供了“正當(dāng)”理由。

二、我國電子政務(wù)信息安全的防范策略

（一）增強(qiáng)政府部門的管理功能

對電子政務(wù)信息安全管理方面進(jìn)行全方面的研究要從安全審計(jì)、數(shù)據(jù)庫、電子郵件系統(tǒng)、瀏覽器、認(rèn)證中心、安全產(chǎn)品的安全以及防火備份的安全管理等方面。通過建立和完善管理部門功能，增強(qiáng)管理業(yè)務(wù)操作，防范與避免不法分子對信息管理系統(tǒng)的侵犯。

（二）加強(qiáng)信息安全專門人才的教育培養(yǎng)

目前，我國信息安全系統(tǒng)及其產(chǎn)品不僅僅依靠向其他國家引進(jìn)，而更多的是通過政府、行業(yè)以及企業(yè)在信息安全領(lǐng)域的投資開發(fā)，設(shè)計(jì)出經(jīng)濟(jì)合理以及具有自主知識產(chǎn)權(quán)的實(shí)用產(chǎn)品和適用技術(shù)。因此，建立信息安全產(chǎn)品技術(shù)研發(fā)的核心，即創(chuàng)造高水平的研究教育環(huán)境、培養(yǎng)高素質(zhì)的信息安全人才以及提高信息安全理論基礎(chǔ)知識的研究，另外，科研教育基地的大力支持和投入也為其奠定了基礎(chǔ)。

（三）設(shè)置技術(shù)的遠(yuǎn)程訪問的控制

通過路由訪問策略和防火墻技術(shù)隔離內(nèi)網(wǎng)與外網(wǎng)，在內(nèi)網(wǎng)與外網(wǎng)相連通時(shí)，必須采取這樣的措施才能避免安全隱患的存在。電子政務(wù)是開放，但又是封閉的，如何保證相應(yīng)的客戶訪問到有權(quán)限涉及的資源，又能夠保障對其限制的資料不被訪問，就是電子政務(wù)的設(shè)計(jì)人員必須考慮的問題。針對此類問題，可以通過設(shè)置鑒別服務(wù)器來專門負(fù)責(zé)遠(yuǎn)程訪問得到控制，至于是否設(shè)置鑒別服務(wù)器取決于該電子政務(wù)系統(tǒng)的規(guī)模。

（四）建立技術(shù)密鑰分配中心

密鑰的設(shè)立貫穿于網(wǎng)絡(luò)的各個(gè)層次和級別，如負(fù)責(zé)訪問控制以及證書、密鑰等安全材料的產(chǎn)生、配置、更換和銷毀等相應(yīng)的安全管理活動，在身份認(rèn)證機(jī)制和信息加密中，都要使用到加密體制，而無論什么加密體制都離不開密鑰的使用、存儲和傳輸?shù)陌踩浴Ｒ虼丝梢酝ㄟ^建立密鑰分配中心負(fù)責(zé)信息加密、訪問控制中心、安排鑒別服務(wù)器、授權(quán)服務(wù)器等活動。

（五）構(gòu)建完善的安全法律體系

國家的政策法律要適應(yīng)社會存在的需求和現(xiàn)實(shí)，通過為社會信息化發(fā)展提供全方面的指導(dǎo)思想以保障和促進(jìn)國家的法制建設(shè)和信息化立法制度的建設(shè)。并且能夠通過發(fā)展規(guī)范程度，繼而實(shí)現(xiàn)更深層次的進(jìn)步，同時(shí)促進(jìn)國家信息化安全的環(huán)境構(gòu)筑，為體現(xiàn)信息安全的法制文化做出有效的行動。針對存在缺陷的法律體系構(gòu)建適合電子政務(wù)信息安全發(fā)展的法律法規(guī)，實(shí)現(xiàn)法律的約束。

篇3

    1我國信息安全的現(xiàn)狀

    近年來,隨著國家宏觀管理和支持力度的加強(qiáng)、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進(jìn)行、對國際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素,我國在信息安全管理上的進(jìn)展是迅速的。但是,由于我國的信息化建設(shè)起步較晚,相關(guān)體系不完善,法律法規(guī)不健全等諸多因素,我國的信息化仍然存在不安全問題。

    ①網(wǎng)絡(luò)安全的防護(hù)能力較弱。我國的信息化建設(shè)發(fā)展迅速,各個(gè)企業(yè)紛紛設(shè)立自己的網(wǎng)站,特別是“政府上網(wǎng)工程”全面啟動后,各級政府已陸續(xù)設(shè)立了自己的網(wǎng)站,但是由于許多網(wǎng)站沒有防火墻設(shè)備、安全審計(jì)系統(tǒng)、入侵監(jiān)測系統(tǒng)等防護(hù)設(shè)備,整個(gè)系統(tǒng)存在著相當(dāng)大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報(bào)告稱,在網(wǎng)絡(luò)黑客攻擊的國家中,中國是最大的受害國。

    ②對引進(jìn)的國外設(shè)備和軟件缺乏有效的管理和技術(shù)改造。由于我國信息技術(shù)水平的限制,很多單位和部門直接引進(jìn)國外的信息設(shè)備,并不對其進(jìn)行必要的監(jiān)測和改造,從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機(jī)。

    ③我國基礎(chǔ)信息產(chǎn)業(yè)薄弱,核心技術(shù)嚴(yán)重依賴國外,缺乏自主創(chuàng)新產(chǎn)品,尤其是信息安全產(chǎn)品。我國信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國外,這使我國的網(wǎng)絡(luò)安全性能大大減弱,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù),我國的網(wǎng)絡(luò)處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。

    除此之外,我國目前信息技術(shù)領(lǐng)域的不安全局面,也與西方發(fā)達(dá)國家對我國的技術(shù)輸出進(jìn)行控制有關(guān)。

    2我國信息安全保護(hù)的策略

    針對我國信息安全存在的問題,要實(shí)現(xiàn)信息安全不但要靠先進(jìn)的技術(shù),還要有嚴(yán)格的法律法規(guī)和信息安全教育。

    ①加強(qiáng)全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護(hù)設(shè)備,保證個(gè)人的信息安全,提高整個(gè)系統(tǒng)的安全防護(hù)能力,從而促進(jìn)整個(gè)系統(tǒng)的信息安全。

    ②發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè),加大信息產(chǎn)業(yè)投入。增強(qiáng)自主創(chuàng)新意識,加大核心技術(shù)的研發(fā),尤其是信息安全產(chǎn)品,減小對國外產(chǎn)品的依賴程度。

篇4

    “信息化”一詞最早是由日本學(xué)者于20世紀(jì)六十年代末提出來的。經(jīng)過40多年的發(fā)展,信息化已成為各國社會發(fā)展的主題。 

    信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì),主要表現(xiàn)在知識性、中介性、可轉(zhuǎn)化性、可再生性和無限應(yīng)用性。由于其特殊性質(zhì)造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導(dǎo)致信息系統(tǒng)的不安全性,給國家的信息化建設(shè)帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。 

    信息安全包括以下內(nèi)容:真實(shí)性,保證信息的來源真實(shí)可靠;機(jī)密性,信息即使被截獲也無法理解其內(nèi)容;完整性,信息的內(nèi)容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內(nèi)容具有控制能力;不可抵賴性,用戶對其行為不能進(jìn)行否認(rèn);可審查性,對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。與傳統(tǒng)的安全問題相比,基于網(wǎng)絡(luò)的信息安全有一些新的特點(diǎn): 

    一是由于信息基礎(chǔ)設(shè)施的固有特點(diǎn)導(dǎo)致的信息安全的脆弱性。由于因特網(wǎng)與生俱來的開放性特點(diǎn),從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開放性的特點(diǎn),通過網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術(shù)弱點(diǎn)導(dǎo)致網(wǎng)絡(luò)易受攻擊。 

    二是信息安全問題的易擴(kuò)散性。信息安全問題會隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴(kuò)大。由于因特網(wǎng)的龐大系統(tǒng),造成了病毒極易滋生和傳播,從而導(dǎo)致信息危害。 

    三是信息安全中的智能性、隱蔽性特點(diǎn)。傳統(tǒng)的安全問題更多的是使用物理手段造成的破壞行為,而網(wǎng)絡(luò)環(huán)境下的安全問題常常表現(xiàn)為一種技術(shù)對抗,對信息的破壞、竊取等都是通過技術(shù)手段實(shí)現(xiàn)的。而且這樣的破壞甚至攻擊也是“無形”的,不受時(shí)間和地點(diǎn)的約束,犯罪行為實(shí)施后對機(jī)器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。 

    信息安全威脅主要來源于自然災(zāi)害、意外事故;計(jì)算機(jī)犯罪;人為錯誤,比如使用不當(dāng),安全意識差等;“黑客”行為;內(nèi)部泄密;外部泄密;信息丟失;電子諜報(bào),比如信息流量分析、信息竊取等;信息戰(zhàn);網(wǎng)絡(luò)協(xié)議自身缺陷,等等。 

    二、我國信息化中的信息安全問題 

    近年來,隨著國家宏觀管理和支持力度的加強(qiáng)、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進(jìn)行、對國際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素,我國在信息安全管理上的進(jìn)展是迅速的。但是,由于我國的信息化建設(shè)起步較晚,相關(guān)體系不完善,法律法規(guī)不健全等諸多因素,我國的信息化仍然存在不安全問題。 

    1、信息與網(wǎng)絡(luò)安全的防護(hù)能力較弱。我國的信息化建設(shè)發(fā)展迅速,各個(gè)企業(yè)紛紛設(shè)立自己的網(wǎng)站,特別是“政府上網(wǎng)工程”全面啟動后,各級政府已陸續(xù)設(shè)立了自己的網(wǎng)站,但是由于許多網(wǎng)站沒有防火墻設(shè)備、安全審計(jì)系統(tǒng)、入侵監(jiān)測系統(tǒng)等防護(hù)設(shè)備,整個(gè)系統(tǒng)存在著相當(dāng)大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報(bào)告稱,在網(wǎng)絡(luò)黑客攻擊的國家中,中國是最大的受害國。

    2、對引進(jìn)的國外設(shè)備和軟件缺乏有效的管理和技術(shù)改造。由于我國信息技術(shù)水平的限制,很多單位和部門直接引進(jìn)國外的信息設(shè)備,并不對其進(jìn)行必要的監(jiān)測和改造,從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機(jī)。 

    3、我國基礎(chǔ)信息產(chǎn)業(yè)薄弱,核心技術(shù)嚴(yán)重依賴國外,缺乏自主創(chuàng)新產(chǎn)品,尤其是信息安全產(chǎn)品。我國信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國外,這使我國的網(wǎng)絡(luò)安全性能大大減弱,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù),我國的網(wǎng)絡(luò)處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。 

    4、信息犯罪在我國有快速發(fā)展趨勢。除了境外黑客對我國信息網(wǎng)絡(luò)進(jìn)行攻擊,國內(nèi)也有部分人利用系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)犯罪,例如傳播病毒、竊取他人網(wǎng)絡(luò)銀行賬號密碼等。 

    5、在研究開發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、隊(duì)伍建設(shè)等方面與迅速發(fā)展的形勢極不適應(yīng)。 

    造成以上問題的相關(guān)因素在于:首先,我國的經(jīng)濟(jì)基礎(chǔ)薄弱,在信息產(chǎn)業(yè)上的投入還是不足,尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數(shù)計(jì)算機(jī)用戶都曾被病毒感染過,并且病毒的重復(fù)感染率相當(dāng)高。 

    除此之外,我國目前信息技術(shù)領(lǐng)域的不安全局面,也與西方發(fā)達(dá)國家對我國的技術(shù)輸出進(jìn)行控制有關(guān)。 

    三、相關(guān)解決措施 

    針對我國信息安全存在的問題,要實(shí)現(xiàn)信息安全不但要靠先進(jìn)的技術(shù),還要有嚴(yán)格的法律法規(guī)和信息安全教育。 

    1、加強(qiáng)全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護(hù)設(shè)備,保證個(gè)人的信息安全,提高整個(gè)系統(tǒng)的安全防護(hù)能力,從而促進(jìn)整個(gè)系統(tǒng)的信息安全。 

    2、發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè),加大信息產(chǎn)業(yè)投入。增強(qiáng)自主創(chuàng)新意識,加大核心技術(shù)的研發(fā),尤其是信息安全產(chǎn)品,減小對國外產(chǎn)品的依賴程度。 

    3、創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國信息安全的法規(guī)體系,制定相關(guān)的法律法規(guī),例如信息安全法、數(shù)字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產(chǎn)權(quán)保護(hù)法、電子信息個(gè)人隱私法、電子信息進(jìn)出境法等,加大對網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度,對其進(jìn)行嚴(yán)厲的懲處。 

    4、高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)。為了在高技術(shù)環(huán)境下發(fā)展自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè),應(yīng)大力培養(yǎng)信息安全專業(yè)人才,建立信息安全人才培養(yǎng)體系。 

篇5

目前．國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出。從資本市場看，近年來，隨著市場快速發(fā)展，改革創(chuàng)新深入推進(jìn)，市場交易模式日趨集巾化，業(yè)務(wù)處理邏輯日益復(fù)雜化，網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行帶來新的挑戰(zhàn)。資本市場交易實(shí)時(shí)性和整體性強(qiáng)，交易時(shí)問內(nèi)一刻也不能中斷。加強(qiáng)信息安全應(yīng)急丁作，積極采取預(yù)防、預(yù)警措施，快速、穩(wěn)妥地處置信息安全事件，盡力減少事故損失，全力維護(hù)交易正常，對于資本市場來說至關(guān)重要。

1　證券行業(yè)倍息安全現(xiàn)狀和存在的問題

1．1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面

健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進(jìn)證券市場的平穩(wěn)運(yùn)行，中國證監(jiān)會自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個(gè)信息技術(shù)管理規(guī)范、2個(gè)信息安全等級保護(hù)通知、1個(gè)信息安全保障辦法、1個(gè)信息通報(bào)方法和10個(gè)行業(yè)技術(shù)標(biāo)準(zhǔn)。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成，推動了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標(biāo)準(zhǔn)化邁進(jìn)。

雖然我國涉及信息安全的規(guī)范性文件眾多，但在現(xiàn)行的法律法規(guī)中。立法主體較多，法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對新形勢下信息安全保障工作的發(fā)展需要，行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后，缺乏總體規(guī)劃；二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強(qiáng)，部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差；三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng)，無法應(yīng)對某些新型信息安全的威脅；四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實(shí)。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術(shù)手段都離不開人員的組織和實(shí)施，組織體系是信息安全保障工作的核心。目前，證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執(zhí)行層。

為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立健全信息安全管理制度和運(yùn)行機(jī)制，切實(shí)提高行業(yè)信息安全保障工作水平，根據(jù)證監(jiān)會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》，參照iso／iec27001：2005，提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu)．頂面是信息安全保障的7個(gè)目標(biāo)(機(jī)密性、完整性、可用性、真實(shí)性、可審計(jì)性、抗抵賴性、可靠性)，正面是行業(yè)組織結(jié)構(gòu)．側(cè)面是各個(gè)機(jī)構(gòu)為實(shí)現(xiàn)信息安全保障目標(biāo)所采取的措施和方式。

1．3 it治理方面

整個(gè)證券業(yè)處于高度信息化的背景下，it治理已直接影響到行業(yè)各公司實(shí)現(xiàn)戰(zhàn)略目標(biāo)的可能性，良好的it治理有助于增強(qiáng)公司靈活性和創(chuàng)新能力，規(guī)避it風(fēng)險(xiǎn)。通過建立it治理機(jī)制，可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理it問題，自我評估it管理效果．可以加強(qiáng)對信息化項(xiàng)目的有效管理，保證信息化項(xiàng)目建設(shè)的質(zhì)量和應(yīng)用效果，使有限的投入取得更大的績效。

2003年lt治理理念引入到我國證券行業(yè)，當(dāng)前我國證券業(yè)企業(yè)的it治理存在的問題：一是it資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視，但具體情況不清楚；二是it治理缺乏明確的概念描述和參數(shù)指標(biāo)；是lt治理的責(zé)任與職能不清晰。

1．4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面

隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性，網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計(jì)，2008年我同證券網(wǎng)上交易量比重已超過總交易量的80％。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接，方便了投資者。但由于互聯(lián)網(wǎng)的開放性，來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計(jì)算機(jī)威脅事件，都時(shí)刻威脅著行業(yè)的信息系統(tǒng)安全，成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此，維護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來，證券行業(yè)各機(jī)構(gòu)采取了一系列措施，建立了相對安全的網(wǎng)絡(luò)安全防護(hù)體系和災(zāi)舴備份系統(tǒng)，基木保障了信息系統(tǒng)的安全運(yùn)行。但細(xì)追究起來，我國證券行業(yè)的網(wǎng)絡(luò)安全防護(hù)體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善，還存存以下幾方面的問題：一是網(wǎng)絡(luò)安全防護(hù)體系缺乏統(tǒng)一的規(guī)劃；二是網(wǎng)絡(luò)訪問控制措施有待完善；三是網(wǎng)上交易防護(hù)能力有待加強(qiáng)；四是對數(shù)據(jù)安全重視不夠，數(shù)據(jù)備份措施有待改進(jìn)；五是技術(shù)人員的專業(yè)能力和信息安全意識有待提高。

1．5 it人才資源建設(shè)方面

近20年的發(fā)展歷程巾，證券行業(yè)對信息系統(tǒng)日益依賴，行業(yè)it隊(duì)伍此不斷發(fā)展壯大。據(jù)統(tǒng)計(jì)，2008年初，在整個(gè)證券行業(yè)中，103家證券公司共有it人員7325人，占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9．90％，總體上達(dá)到了行業(yè)協(xié)會的it治理工作指引中“it工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6％”的最低要求。目前，證券行業(yè)的it隊(duì)伍肩負(fù)著信息系統(tǒng)安全、平穩(wěn)、高效運(yùn)行的重任，it隊(duì)伍建設(shè)是行業(yè)信息安全it作的根本保障。但是，it人才隊(duì)伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題，此行業(yè)的人才培養(yǎng)有待加強(qiáng)。

2　采取的對策和措施

2．1進(jìn)一步完善法規(guī)和標(biāo)準(zhǔn)體系

首先，在法規(guī)規(guī)劃上，要統(tǒng)籌兼顧，制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃；二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層：第一層是管理辦法等巾同證監(jiān)會部門規(guī)章；第二層是證監(jiān)會相關(guān)部門制定的管理規(guī)范等規(guī)范性文件；第三層是技術(shù)指引等自律規(guī)則，一般由交易所、行業(yè)協(xié)會在證監(jiān)會總體協(xié)調(diào)下組織制定。其次，在法規(guī)制定上．要兼顧規(guī)范和發(fā)展，重視法規(guī)的可行性。最后，在法規(guī)實(shí)施上．要堅(jiān)持規(guī)范和指引相結(jié)合，重視監(jiān)督檢查和責(zé)任落實(shí)。

2．2深入開展證券行業(yè)it治理工作

2．2．1提高it治理意識

中國證券業(yè)協(xié)會要進(jìn)一步加強(qiáng)it治理理念的教育宣傳工作，特別是對會員單位高層領(lǐng)導(dǎo)的it治理培訓(xùn)，將it治理的定義、工具、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會等形式強(qiáng)化證券經(jīng)營機(jī)構(gòu)的it治理意識，提高他們it治理的積極性。

2．2．2通過設(shè)立it治理試點(diǎn)形成以點(diǎn)帶面的示范效應(yīng)

根據(jù)it治理模型的不同特點(diǎn)，建議證券公司在決策層使用cisr模型，通過成立lt治理委員會，建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系；在執(zhí)行層以cobit模型、itfl模型等其他模型為補(bǔ)充，規(guī)范信息技術(shù)部門的各項(xiàng)控制和管理流程。同時(shí)，證監(jiān)會指定一批證券公司和基金公司作為lt試點(diǎn)單位，進(jìn)行it治理模型選擇、剪裁以及組合的實(shí)踐探索，形成一批成功實(shí)施it治理的優(yōu)秀范例，以點(diǎn)帶面地提升全行業(yè)的治理水平。

2．3通過制定行業(yè)標(biāo)準(zhǔn)積極落實(shí)信息安全等級保護(hù)

行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護(hù)工作中的作用非常關(guān)鍵．應(yīng)進(jìn)一步明確監(jiān)管部門推動行業(yè)信息安全等級保護(hù)工作的任務(wù)和工作機(jī)制，統(tǒng)一部署、組織行業(yè)的等級保護(hù)丁作，為該項(xiàng)丁作的順利開展提供組織保證。行業(yè)各機(jī)構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級保護(hù)的行業(yè)要求，對照標(biāo)準(zhǔn)逐條落實(shí)。同時(shí)，應(yīng)對各單位實(shí)施信息系統(tǒng)安全等級保護(hù)情況進(jìn)行測評，在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足，被測評單位應(yīng)立即制定相應(yīng)的整改方案并實(shí)施．且南相芙的監(jiān)督機(jī)構(gòu)進(jìn)行督促。

2．4加強(qiáng)網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護(hù)水平

2．4．1以等級保護(hù)為依據(jù)進(jìn)行統(tǒng)籌規(guī)劃

等級保護(hù)是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性的管理制度，通過將等級化的方法和安全體系規(guī)劃有效結(jié)合，統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè)，建立一套信息安全保障體系，將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個(gè)非常有效的方法。

2．4．2通過加強(qiáng)網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護(hù)能力

對向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的it公司的資質(zhì)和誠信加強(qiáng)管理，確保其符合國家、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求，要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對不同的業(yè)務(wù)安全區(qū)域劃分vlan或者采用網(wǎng)閘設(shè)備進(jìn)行隔離；對主要的網(wǎng)絡(luò)邊界和各外部進(jìn)口進(jìn)行滲透測試，進(jìn)行系統(tǒng)和設(shè)備的安全加固．降低系統(tǒng)漏洞帶來的安全風(fēng)險(xiǎn)；在網(wǎng)上交易方面，采取電子簽名或數(shù)字認(rèn)證等高強(qiáng)度認(rèn)證方式，加強(qiáng)訪問控制；針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況，要采取措施加強(qiáng)網(wǎng)站保護(hù)，提高對惡意代碼的防護(hù)能力，同時(shí)采用技術(shù)手段，提高網(wǎng)上交易客戶端軟件使朋的安全性。

2．4．3提高從業(yè)人員安全意識和專業(yè)水平

目前在證券行業(yè)內(nèi)，從業(yè)人員的網(wǎng)絡(luò)安全意識比較薄弱．必要時(shí)可定期對從業(yè)人員進(jìn)行安全意識考核，從行業(yè)內(nèi)部強(qiáng)化網(wǎng)絡(luò)安全工作。要加強(qiáng)網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn)，提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。

2．5扎實(shí)推進(jìn)行業(yè)災(zāi)難備份建設(shè)

數(shù)據(jù)的安全對證券行業(yè)是至關(guān)重要的，數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件，還是我國2008年南方冰雪災(zāi)害和四川汶川大地震，都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗(yàn)的基礎(chǔ)上，針對自身需要，對重要系統(tǒng)開展災(zāi)難備份建設(shè)。要繼續(xù)推進(jìn)證券、基金公司同城災(zāi)難備份建設(shè)，以及證券交易所、結(jié)算公司等市場核心機(jī)構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案，并加強(qiáng)應(yīng)急預(yù)案的演練，確保災(zāi)難備份系統(tǒng)應(yīng)急有效．使應(yīng)急工作與日常工作有機(jī)結(jié)合。

2．6抓好人才隊(duì)伍建設(shè)

篇6

與西方發(fā)達(dá)國家相比，我國的經(jīng)濟(jì)安全保障體系非常脆弱，對于經(jīng)濟(jì)信息安全的保護(hù)更是一片空白。國家經(jīng)濟(jì)數(shù)據(jù)的泄露，泄密案件的連續(xù)出現(xiàn)昭示著我國經(jīng)濟(jì)信息安全面臨前所未有的嚴(yán)峻挑戰(zhàn)。

(一)對經(jīng)濟(jì)信息的爭奪日益加劇

經(jīng)濟(jì)競爭的白熾化與信息高速化在推動世界經(jīng)濟(jì)迅速發(fā)展的同時(shí)也使得業(yè)已存在的竊取經(jīng)濟(jì)信息活動更為猖獗，無論是官方的經(jīng)濟(jì)情報(bào)部門還是各大財(cái)團(tuán)、公司都有自己的情報(bào)網(wǎng)絡(luò)。世界各國在千方百計(jì)地保護(hù)本國經(jīng)濟(jì)信息安全的同時(shí)也在千方百計(jì)地獲取他國的經(jīng)濟(jì)情報(bào)。目前我國正處于泄密高發(fā)期，其中通過計(jì)算機(jī)網(wǎng)絡(luò)泄密發(fā)案數(shù)占泄密法案總數(shù)的70％以上，并呈現(xiàn)逐年增長的趨勢；在商業(yè)活動中，商業(yè)間諜與經(jīng)濟(jì)信息泄密事件頻繁發(fā)生，據(jù)業(yè)內(nèi)人士透露泄密及損失最滲重的是金融業(yè)；其次是資源行業(yè)，大型并購很多，而十次并購里面九次會出現(xiàn)信息泄密事故；高科技、礦產(chǎn)等領(lǐng)域也非常嚴(yán)峻，很多行業(yè)在經(jīng)濟(jì)信息安全保護(hù)上都亮起了紅燈。

(二)竊密技術(shù)先進(jìn)，手段多樣化

一方面，發(fā)達(dá)國家及其情報(bào)組織利用信息技術(shù)優(yōu)勢，不斷監(jiān)聽監(jiān)視我國經(jīng)濟(jì)情報(bào)，非法獲取、篡改我國信息或傳播虛假信息造成經(jīng)濟(jì)波動，以獲取經(jīng)濟(jì)乃至政治上的收益；另一方面，除技術(shù)手段，他們還通過商業(yè)賄賂、資助學(xué)術(shù)研究、舉辦研討會、派專人在合法范圍內(nèi)收集企業(yè)簡報(bào)、股東報(bào)告甚至是廢棄垃圾通過仔細(xì)研究，分析出有價(jià)情報(bào)等方式大量收集我國經(jīng)濟(jì)信息。正如哈佛大學(xué)肯尼迪政治學(xué)院的一位中國專家認(rèn)為：“在中國，當(dāng)前賄賂最主要的形式不再是支付現(xiàn)金，更多可能由公司付費(fèi)途經(jīng)洛杉磯或拉斯維加斯到公司總部考察。這種費(fèi)用可以被看做是合法的營業(yè)支出，也可以為官員設(shè)立獎學(xué)金。”竊密技術(shù)日益先進(jìn)與手段日趨多樣化、合法化對我國經(jīng)濟(jì)安全，特別是經(jīng)濟(jì)信息的安全造成嚴(yán)重威脅。

(三)經(jīng)濟(jì)信息安全保密意識淡薄

近年來，每當(dāng)政府機(jī)構(gòu)公布國民經(jīng)濟(jì)運(yùn)行數(shù)據(jù)前，一些境外媒體或境外研究機(jī)構(gòu)總是能準(zhǔn)確“預(yù)測”；許多重要的經(jīng)濟(jì)信息，包括經(jīng)濟(jì)數(shù)據(jù)、經(jīng)濟(jì)政策等伴隨學(xué)術(shù)報(bào)告、會議研討甚至是一句家常閑聊便被泄露出去；載有核心經(jīng)濟(jì)信息的移動存儲介質(zhì)被隨意連接至互聯(lián)網(wǎng)導(dǎo)致信息泄露等問題嚴(yán)重。有調(diào)查顯示，我國有62％的企業(yè)承認(rèn)出現(xiàn)過泄密現(xiàn)象；國有以及國有控股企業(yè)為商業(yè)秘密管理所設(shè)立專門機(jī)構(gòu)的比例不到20％，未建立任何機(jī)構(gòu)的比例高達(dá)36．5％；在私營企業(yè)中，這樣的情況更加嚴(yán)峻。經(jīng)濟(jì)信息安全保密意識的薄弱已成為威脅我國經(jīng)濟(jì)安全，影響社會經(jīng)濟(jì)穩(wěn)定發(fā)展的制約因素之一。

二、經(jīng)濟(jì)信息安全法律保護(hù)的缺失

安全的實(shí)質(zhì)是一種可預(yù)期的利益，是法律所追求的價(jià)值主張。保障經(jīng)濟(jì)信息的安全是信息時(shí)代法律在經(jīng)濟(jì)活動中所追求的最重要的利益之一。法律保障經(jīng)濟(jì)信息安全，就要維護(hù)經(jīng)濟(jì)信息的保密性、完整性以及可控性，這是由信息安全的基本屬性所決定的。然而，由于我國立法上的滯后，對經(jīng)濟(jì)信息安全的法律保護(hù)仍存在相當(dāng)大的漏洞。

(一)缺乏對保密性的法律保護(hù)

保密性是指保證信息不會泄露給非授權(quán)者，并對需要保密的信息按照實(shí)際情況劃分為不同等級，有針對性的采取不同力度的保護(hù)。現(xiàn)行《保密法》對于國家秘密的范圍以及分級保護(hù)雖有相關(guān)規(guī)定，但其內(nèi)容主要針對傳統(tǒng)的國家安全，有關(guān)經(jīng)濟(jì)信息安全方面僅出現(xiàn)“國民經(jīng)濟(jì)和社會發(fā)展中的秘密事項(xiàng)”這樣原則性的規(guī)定，對經(jīng)濟(jì)秘密的劃定、保密范圍和措施等缺乏相應(yīng)條款；對于跨國公司或境外利益集團(tuán)等竊取我國經(jīng)濟(jì)政策、產(chǎn)業(yè)關(guān)鍵數(shù)據(jù)等行為也缺乏法律上的界定，以至要追究法律責(zé)任卻沒有相應(yīng)法律條款可適用的情況屢屢發(fā)生。

在涉及商業(yè)秘密的法律保護(hù)上，法律規(guī)定分散而缺乏可操作性，不同部門對商業(yè)秘密的定義不統(tǒng)一，商業(yè)秘密的概念模糊而混亂，弱化了商業(yè)秘密的保密性；①另一方面，與TRIPS協(xié)議第39條規(guī)定的“未披露的信息(undiscoveredinformation)”即“商業(yè)秘密”相比，我國《反不正當(dāng)競爭法》要求商業(yè)秘密須具有秘密性、價(jià)值型、新穎性與實(shí)用性且經(jīng)權(quán)利人采取保密措施，并將構(gòu)成商業(yè)秘密的信息局限于技術(shù)信息和經(jīng)營信息，這樣的規(guī)定不以商業(yè)秘密在商業(yè)上使用和繼續(xù)性使用為要件，使不具實(shí)用性卻有重大價(jià)值或潛在經(jīng)濟(jì)價(jià)值的信息得不到保護(hù)，不利于經(jīng)濟(jì)信息的保密。此外，人才流動的加快也使商業(yè)秘密伴隨著員工的“跳槽”而流失的可能性激增，但對商業(yè)秘密侵權(quán)威脅(ThreatenedMisappropriationofTradeSecrets)我國尚無沒有明確法律依據(jù)；對于泄露或竊取他人商業(yè)秘密的行為，《刑法》第219條雖增加了刑事處罰，但處罰力度過輕而又缺乏處罰性賠償規(guī)定，導(dǎo)致權(quán)利人的損失無法得到彌補(bǔ)。

(二)缺乏對完整性的法律保護(hù)

完整性是指信息在存儲或傳輸過程中保持不被未授權(quán)的或非預(yù)期的操作修改和破壞，它要求保持信息的原始面貌，即信息的正確生成、正確存儲和正確傳輸。目前，我國保障信息與信息系統(tǒng)完整性主要依靠《刑法》與《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等法律法規(guī)，總體而言層級較低又缺乏統(tǒng)一性。《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第4條規(guī)定了“計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作，重點(diǎn)維護(hù)國家事務(wù)、經(jīng)濟(jì)建設(shè)、國防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的安全”，但在第23和25條卻只規(guī)定對破壞和危害計(jì)算機(jī)信息系統(tǒng)安全造成財(cái)產(chǎn)損失的承擔(dān)民事責(zé)任，并對個(gè)人處以5000元以下罰款，對單位處以15000元以下罰款的較輕處罰規(guī)定；現(xiàn)行《刑法》第285條也只規(guī)定入侵國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的行為構(gòu)成非法侵入計(jì)算機(jī)信息系統(tǒng)罪。這就是說，行為人非法侵入包括經(jīng)濟(jì)信息系統(tǒng)在內(nèi)的其他信息系統(tǒng)并不構(gòu)成本罪。可見，法律對信息安全的保障依然側(cè)重于政治、軍事等傳統(tǒng)安全領(lǐng)域，而忽略了對經(jīng)濟(jì)信息安全的保護(hù)。

(三)缺乏對可控性的法律保護(hù)

可控性是對經(jīng)濟(jì)信息的內(nèi)容和信息的傳播具有控制能力，能夠按照權(quán)利人的意愿自由流動。網(wǎng)絡(luò)的盛行使得經(jīng)濟(jì)間諜、商業(yè)賄賂等竊密手段的頻繁出現(xiàn)而使得經(jīng)濟(jì)信息不能按照權(quán)利人的意愿流動。面對日趨“合法化”的竊密行為，《刑法》第110條的間諜罪與第11l條的為境外的機(jī)構(gòu)、組織、人員竊取、刺探、收買、非法提供國家秘密或情報(bào)罪都只是籠統(tǒng)的規(guī)定了“危害國家安全”和“竊取、刺探、收買、非法提供國家秘密或情報(bào)”，缺乏有關(guān)經(jīng)濟(jì)間諜罪的專門規(guī)定；而《國家安全法》也只是籠統(tǒng)的規(guī)定了國家安全整體的法律條文，并且側(cè)重的是傳統(tǒng)安全的政治和軍事領(lǐng)域，對于經(jīng)濟(jì)安全，尤其是經(jīng)濟(jì)信息安全這樣一個(gè)新的非傳統(tǒng)安全領(lǐng)域的存在的威脅仍缺乏適當(dāng)?shù)姆梢?guī)制。

除了經(jīng)濟(jì)間諜外，跨國公司對我國實(shí)施商業(yè)賄賂獲取經(jīng)濟(jì)信息與商業(yè)秘密的案件不斷增加，經(jīng)濟(jì)信息的可控性無法得到有效保證，在造成嚴(yán)重經(jīng)濟(jì)損失的同時(shí)也威脅著我國經(jīng)濟(jì)信息安全。目前我國尚無一部完備的《反商業(yè)賄賂法》，對于商業(yè)賄賂的法律規(guī)制主要體現(xiàn)在《刑法》與《反不正當(dāng)競爭法》、《關(guān)于禁止商業(yè)賄賂行為的暫行規(guī)定》等法律法規(guī)上。然而，現(xiàn)行《刑法》并未直接對商業(yè)賄賂行為作出罪行定義，而《反不正當(dāng)競爭法》第8條雖然規(guī)定商業(yè)賄賂的對象既可包括交易對方，又可包括與交易行為有關(guān)的其他人，但《關(guān)于禁止商業(yè)賄賂行為的暫行規(guī)定》中卻又將商業(yè)賄賂界定為“經(jīng)營者為銷售或購買商品而采用財(cái)物或者其他手段賄賂對方單位或者個(gè)人的行為”縮小了商業(yè)賄賂對象的范罔，將除交易雙方以外能夠?qū)灰灼饹Q定性作用或產(chǎn)生決定性影響的單位或個(gè)人被排除在外。另外，對于商業(yè)賄賂的經(jīng)濟(jì)處罰力度畸輕，根據(jù)《反不正當(dāng)競爭法22條，不構(gòu)成犯罪的商業(yè)賄賂行為處以10000元以上200000元以下的罰款，并沒收違法所得。但事實(shí)上，通過商業(yè)賄賂手段所套取的經(jīng)濟(jì)信息往往可以帶來高達(dá)上百萬的經(jīng)濟(jì)利益，過輕的處罰完全不能發(fā)揮法律應(yīng)有的威懾力。與美國的《反海外賄賂法》和德國的《反不正當(dāng)競爭法》相比，我國對于商業(yè)賄賂，特別是跨國商業(yè)賄賂的治理仍存在不足。

三、完善我國經(jīng)濟(jì)信息安全法律保護(hù)的對策

法律保護(hù)經(jīng)濟(jì)經(jīng)濟(jì)信息安全，既要求能預(yù)防經(jīng)濟(jì)信息不受侵犯，也要求能通過國家強(qiáng)制力打擊各種侵犯經(jīng)濟(jì)信息安全的行為，從而達(dá)到經(jīng)濟(jì)信息客觀上不存在威脅，經(jīng)濟(jì)主體主觀性不存在恐懼的安全狀態(tài)。因此，維護(hù)經(jīng)濟(jì)信息安全需要構(gòu)建全方位的法律保護(hù)體系。

(一)修訂《保密法》，增加保護(hù)經(jīng)濟(jì)信息安全的專門條款

《保密法(修訂草案)》增加了針對涉密信息系統(tǒng)的保密措施以及加強(qiáng)涉密機(jī)關(guān)、單位和涉密人員的保密管理等五方面內(nèi)容，總體上得到了專家學(xué)者的肯定，但仍存在許多值得進(jìn)一步斟酌與完善的問題。特別是對于經(jīng)濟(jì)領(lǐng)域的信息安全保密問題，應(yīng)增設(shè)專門條款明確規(guī)定經(jīng)濟(jì)秘密的保密范同，明確哪些經(jīng)濟(jì)信息屬于國家經(jīng)濟(jì)秘密，通過明確“密”的界限強(qiáng)化保密意識，維護(hù)經(jīng)濟(jì)信息的安全。因此，在修訂《保密法》時(shí)，我們可以在保證法律的包容性與原則性的基礎(chǔ)上，可以借鑒俄羅斯的《聯(lián)邦國家秘密法》，采取列舉的方式將屬于國家秘密的經(jīng)濟(jì)信息以法律的方式予以規(guī)定，將對國家經(jīng)濟(jì)安全有重大影響的、過早透露可能危害國家利益的包括財(cái)政政策、金融信貸活動以及用于維護(hù)國防、國家安全和治安的財(cái)政支出情況等經(jīng)濟(jì)信息包含在內(nèi)，以具體形象的樣態(tài)將國家經(jīng)濟(jì)秘密明確的歸屬于法律控制范疇，避免因法律缺乏明確性與可操作性而帶來的掣肘。

(二)制定《商業(yè)秘密保護(hù)法》，完善商業(yè)秘密的保護(hù)

針對我國商業(yè)秘密泄密案件的日益頻繁，商業(yè)秘密保護(hù)立法分散的問題，盡快制定專門的《商業(yè)秘密保護(hù)法》是維護(hù)經(jīng)濟(jì)信息安全的重要措施。在制定《商業(yè)秘密保護(hù)法》時(shí)，可以借鑒國外以及國際組織的先進(jìn)經(jīng)驗(yàn)，但應(yīng)當(dāng)注意以下問題：(1)在對商業(yè)秘密進(jìn)行界定時(shí)，應(yīng)采用列舉式與概括式相結(jié)合的體例明確商業(yè)秘密的內(nèi)涵。同時(shí)在商業(yè)秘密的構(gòu)成要件中剔除“實(shí)用性”的要求，使那些不為本行業(yè)或領(lǐng)域人員普遍知悉的，能為權(quán)利人帶來經(jīng)濟(jì)利益或競爭優(yōu)勢，具有“經(jīng)濟(jì)價(jià)值”以及“潛在價(jià)值”并經(jīng)權(quán)利人采取合理保護(hù)措施的信息也能納入法律的保護(hù)范圍；(2)要明確規(guī)定各種法律責(zé)任，包括民事責(zé)任、行政責(zé)任以及刑事責(zé)任。由于商業(yè)秘密侵權(quán)行為是一種暴利行為，但給權(quán)利人造成的損失卻往往十分巨大，如不以刑事責(zé)任方式提高違法成本便難以遏制其發(fā)生；(3)在制定《商業(yè)秘密保護(hù)法》時(shí)應(yīng)當(dāng)引入不可避免泄露規(guī)則(InevitableDisclosureDoctrine)。該原則主要是針對商業(yè)秘密潛在的侵占行為采取的保護(hù)方式，旨在阻止離職員工在新的工作崗位上自覺或不自覺地泄露前雇主商業(yè)秘密的問題。引入不可避免泄露原則更能有效地保護(hù)商業(yè)秘密，避免因人才流動為保密性帶來的威脅。

(三)制定統(tǒng)一《反商業(yè)賄賂法》，確保經(jīng)濟(jì)信息的正向流動

隨著信息在經(jīng)濟(jì)活動中作用加重，商業(yè)賄賂的目的不再局限于獲取商品銷售或購買的機(jī)會，通過商業(yè)賄賂獲取競爭對手經(jīng)濟(jì)秘密已成為信息時(shí)代非法控制經(jīng)濟(jì)信息流動的重要手段之一。制定統(tǒng)一的《反商業(yè)賄賂法》將分散在各法律法規(guī)中的有關(guān)條例加以整合，實(shí)現(xiàn)對國內(nèi)外商業(yè)賄賂行為的有效監(jiān)管，是堵截經(jīng)濟(jì)信息非法流動、維護(hù)我國經(jīng)濟(jì)信息安全與公平競爭市場環(huán)境的必然選擇。因此，在制定統(tǒng)一《反商業(yè)賄賂法》時(shí)首先應(yīng)當(dāng)對商業(yè)賄賂的概念進(jìn)行準(zhǔn)確的界定，借鑒《布萊克法律詞典》的解釋將商業(yè)賄賂定義為經(jīng)營者通過不正當(dāng)給予相關(guān)單位、個(gè)人或密切相關(guān)者好處的方式，獲取優(yōu)于其競爭對手的競爭優(yōu)勢；④其次，對于商業(yè)賄賂的管轄范圍應(yīng)當(dāng)適當(dāng)擴(kuò)大。根據(jù)《經(jīng)合組織公約》與《聯(lián)合國反腐敗公約》的規(guī)定，締約國應(yīng)確立跨國商業(yè)賄賂法律的域外管轄權(quán)制度，對故意實(shí)施的跨國商業(yè)行為予以制裁。因此，制定《反商業(yè)賄賂法》要求將我國經(jīng)營者或該商業(yè)活動的密切相關(guān)者無論是向國內(nèi)外公職人員、企業(yè)、相關(guān)個(gè)人以及國際組織官員行賄行為或是收受來自國內(nèi)外企業(yè)、個(gè)人的財(cái)務(wù)或其他利益優(yōu)惠的受賄行為都應(yīng)列入該法管轄范圍內(nèi)，并針對商業(yè)賄賂這種貪利性違法行為，完善民事、行政以及刑事法律責(zé)任；此外，在立法時(shí)還應(yīng)借鑒國外的成功經(jīng)驗(yàn)加大制裁力度，取消現(xiàn)行法律中固定處罰數(shù)額的不合理規(guī)定，采用相對確定的倍罰制，并制定對不構(gòu)成犯罪的商業(yè)賄賂行為的資質(zhì)罰(指取消從事某種職業(yè)或業(yè)務(wù)的資格的處罰)，使得經(jīng)營者在被處罰后不再具備從事相同職業(yè)或業(yè)務(wù)再次進(jìn)行商業(yè)賄賂的條件，從而有效遏止商業(yè)賄賂行為的蔓延，以確保經(jīng)濟(jì)信息的合理正向流動。

(四)完善《刑法》，維護(hù)經(jīng)濟(jì)領(lǐng)域信息安全

“只有使犯罪和刑罰銜接緊湊，才能指望相聯(lián)的刑罰要領(lǐng)使那些粗俗的頭腦從誘惑他們的、有利可圖的犯罪圖景中立即猛醒過來”。故此，完善《刑法》并加重處罰力度，是維護(hù)經(jīng)濟(jì)領(lǐng)域信息安全的必要保證。

首先，計(jì)算機(jī)與網(wǎng)絡(luò)的廣泛使用使得計(jì)算機(jī)信息系統(tǒng)安全成為影響經(jīng)濟(jì)信息安全的關(guān)鍵因素。面對《刑法》對經(jīng)濟(jì)領(lǐng)域計(jì)算機(jī)信息系統(tǒng)保護(hù)的缺位，增加維護(hù)經(jīng)濟(jì)信息安全的專門條款是當(dāng)務(wù)之急。因此，應(yīng)首先對《刑法》第285條進(jìn)行調(diào)整，規(guī)定凡侵入具有重大價(jià)值(包括經(jīng)濟(jì)價(jià)值、科技價(jià)值與政治價(jià)值等)或者涉及社會公共利益的計(jì)算機(jī)信息系統(tǒng)的行為都構(gòu)成犯罪；同時(shí)，針對目前竊取計(jì)算機(jī)信息系統(tǒng)中不屬于商業(yè)秘密或國家秘密但卻具有知識性或重大價(jià)值，特別是經(jīng)濟(jì)價(jià)值的數(shù)據(jù)、資料現(xiàn)象日益嚴(yán)重，《刑法》中還應(yīng)增設(shè)竊取計(jì)算機(jī)信息資源罪，對以非法侵入計(jì)算機(jī)信息系統(tǒng)為手段，以竊取他人信息資源為目的且造成嚴(yán)重后果的行為予以規(guī)制；此外，在《刑法》還中還應(yīng)增設(shè)財(cái)產(chǎn)刑、資格刑，適當(dāng)提高法定刑幅度，從多維角度預(yù)防和制裁危害計(jì)算機(jī)信息系統(tǒng)犯罪。

篇7

Keywords: influence of electronic archives; safety management; factors

中國分類號：TK-9 文獻(xiàn)標(biāo)識碼：A 文章標(biāo)號：2095-2104（2012）03-0001-02

第一章 與安全管理相關(guān)的其他概念

電子檔案安全管理是新時(shí)期檔案工作的重要任務(wù)。保管和保護(hù)好電子文件必須從兩個(gè)方面著手：一方面，要從電子檔案管理物理載體出發(fā)，著重保護(hù)電子檔案的原始性；另一方面，要在電子檔案管理的手段上狠下功夫，力促電子檔案的真實(shí)性。本論文就是對電子檔案如何能夠安全管理，發(fā)表個(gè)人看法。1、背景信息，指描述生成電子文件的職能活動、電子文件的作用、辦理過程、結(jié)果、上下文關(guān)系以及對其產(chǎn)生影響的歷史環(huán)境等信息。2、邏輯歸檔，指在計(jì)算機(jī)網(wǎng)絡(luò)上進(jìn)行，不改變原存儲方式和位置而實(shí)現(xiàn)的將電子文件的管理權(quán)限向檔案部門移交的過程。3、物理歸檔，指把電子文件集中下載到可脫機(jī)保存的載體上，向檔案部門移交的過程。

第二章 影響電子檔案安全的因素分析

信息技術(shù)就是一柄雙刃劍，在給用戶帶來方便的同時(shí)，也給電子檔案的安全帶來更多的威脅。影響電子檔案信息安全的因素很多，歸納為四大類：自然因素、環(huán)境因素、人為因素和技術(shù)因素。

2.1自然因素

影響電子檔案安全的自然因素主要指各種自然災(zāi)害，如雷電、水災(zāi)、火災(zāi)、臺風(fēng)、地震等，這些自然災(zāi)害的發(fā)生會直接威脅到共享系統(tǒng)中的電子檔案安全。

2.2環(huán)境因素

電子檔案信息的產(chǎn)生、存取、傳播和利用等離不開計(jì)算機(jī)及網(wǎng)絡(luò)環(huán)境，這對電子檔案所依存的系統(tǒng)環(huán)境和網(wǎng)絡(luò)環(huán)境的要求是非常高的，如果電子檔案管理系統(tǒng)和網(wǎng)站的環(huán)境不符合要求(電源質(zhì)量差，溫濕度不適應(yīng)，無抗靜電、抗磁場干擾和無防塵、防火、防水、防雷電、防漏電、防盜竊的設(shè)施和措施等)就會影響電子檔案信息的安全。

2.3人為因素

人為因素又可以分為三類：第一類是蓄意破壞。蓄意破壞是故意破壞電子檔案的內(nèi)容及其所依賴的載體、系統(tǒng)和網(wǎng)絡(luò)環(huán)境等，以獲得某種利益及達(dá)到某種目的。第二類是管理疏忽。管理疏忽包括管理人員的安全意識、保密意識、責(zé)任心不強(qiáng)，沒有建立起相應(yīng)的信息安全法律法規(guī)、標(biāo)準(zhǔn)制度等。管理疏忽是造成事故發(fā)生的最大隱患。第三類是不當(dāng)操作。電子檔案載體本身隨著使用次數(shù)的增加，其結(jié)構(gòu)性能會有一定程度的降低。

2.4技術(shù)因素

在影響電子檔案信息安全的非人為因素中，技術(shù)因素不可忽視。信息技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在工作中的廣泛應(yīng)用，給電子檔案的安全帶來深刻的影響，一方面上述技術(shù)是電子檔案產(chǎn)生的前提，為電子檔案信息的管理和利用帶來極大的便捷；另一方面，這些技術(shù)本身并不是十全十美，也有局限性、漏洞和缺陷，這些都為電子檔案信息增加了被竊取、盜用、非法增刪及破壞等方面的安全隱患。

第三章 電子檔案安全管理措施

3.1載體安全保護(hù)

第一保證電子檔案載體的制成材料質(zhì)量過關(guān)。硬件、軟件、磁盤、光盤、輸入輸出設(shè)備、信道信宿、其他反饋系統(tǒng)等都是電子檔案生成、存儲、傳輸和提供利用全過程的基礎(chǔ)。電子檔案制成材料主要有電子檔案的載體用料和記錄用料及相關(guān)設(shè)備用料。第二保證電子檔案載體物理上的安全。這是使其能夠通過電子計(jì)算機(jī)的軟硬件平臺，完整、準(zhǔn)確并以人們可以理解的形式輸出的前提。

3.2電子檔案傳統(tǒng)安全管理措施的局限性

電子檔案傳統(tǒng)的安全管理措施主要存在著以下五種局限性：盲目性、非系統(tǒng)性、低效率性、被動性和缺乏制度性。

3.2.1盲目性

作為電子檔案的最終管理者，檔案部門對于電子檔案所處的風(fēng)險(xiǎn)沒有進(jìn)行更深刻的探究，沒有從更深層次上發(fā)現(xiàn)風(fēng)險(xiǎn)發(fā)生的原因。最終在風(fēng)險(xiǎn)來臨之時(shí)，不能有效地控制風(fēng)險(xiǎn)。

3.2.2非系統(tǒng)性

電子檔案的風(fēng)險(xiǎn)往往并不是單一因素所造成的，除了內(nèi)部因素外，還有外部因素。內(nèi)部因素和外部因素兩者相加，大大加劇了電子檔案所遭遇風(fēng)險(xiǎn)的強(qiáng)度，而傳統(tǒng)的電子檔案保護(hù)措施，往往采取的是單一的防護(hù)措施，對于電子檔案的保護(hù)會出現(xiàn)“頭痛醫(yī)頭，腳痛醫(yī)腳”的現(xiàn)象，最終還是不能避免電子檔案風(fēng)險(xiǎn)的發(fā)生。

3.2.3低效率性

傳統(tǒng)保護(hù)措施的低效效率性主要體現(xiàn)在對于電子檔案的保護(hù)成本過高，而對于電子檔案風(fēng)險(xiǎn)的防范并不能取得相應(yīng)的效果，這之間不能形成一種正比關(guān)系，從而造成人力、物力、財(cái)力上的巨大浪費(fèi)。

3.2.4被動性

對于可能發(fā)生的風(fēng)險(xiǎn)，由于檔案工作者自身信息技術(shù)方面知識的欠缺，對信息技術(shù)發(fā)展了解不足，而維護(hù)網(wǎng)絡(luò)設(shè)備和相關(guān)系統(tǒng)的技術(shù)人員又往往對電子檔案的知識掌握不足，兩者之間這種信息鴻溝，使電子檔案在風(fēng)險(xiǎn)發(fā)生之前往往不能采取有效的措施加以預(yù)防，只待風(fēng)險(xiǎn)成為現(xiàn)實(shí)之后，才采取相應(yīng)的措施進(jìn)行補(bǔ)救。

3.2.5缺乏制度性

電子檔案的傳統(tǒng)保護(hù)措施缺乏制度性主要體現(xiàn)在兩個(gè)方面，一方面電子檔案的安全管理在實(shí)施過程中缺乏制度和標(biāo)準(zhǔn)的保障，在實(shí)施過程中沒有具體的操作程序可以執(zhí)行，檔案工作者在操作過程中，存在很大的隨意性，在此期間，再次發(fā)生風(fēng)險(xiǎn)的可能性增加，風(fēng)險(xiǎn)的疊加，會給電子檔案帶來更大的危害。另一方面國家對于電子檔案安全管理缺乏相應(yīng)的法律法規(guī)進(jìn)行規(guī)范。以往的相關(guān)法規(guī)一般都集中在信息安全方面，但是電子檔案的安全管理有其特殊性，國家在此方面的關(guān)注度不足。

第四章結(jié)束語

本文的研究最終目的就在于為檔案工作者提供一種新管理思路，提高檔案管理者的風(fēng)險(xiǎn)意識，提高電子檔案的管理水平。在電子檔案管理過程中，管理者和管理部門必須要認(rèn)識到電子文件風(fēng)險(xiǎn)的客觀性、不確定性、危害性，做好風(fēng)險(xiǎn)防范和應(yīng)對工作，否則，如果對潛在風(fēng)險(xiǎn)的忽視，定會導(dǎo)致災(zāi)難性后果，形成可怕的“記憶黑洞”、“歷史空白”。

電子檔案管理是我們現(xiàn)實(shí)工作中的重中之重的關(guān)鍵環(huán)節(jié)，只有認(rèn)真做好這項(xiàng)工作，我們的各項(xiàng)工作才有保障，我們要防患于未然，重視細(xì)小的問題，重視防范，哪怕是拔掉插頭，用鐵錘擊碎，文件與數(shù)據(jù)也不會有任何影響。

參考文獻(xiàn)

篇8

    1.信息安全概念

    公安現(xiàn)役部隊(duì)信息安全是公安現(xiàn)役部隊(duì)信息化建設(shè)的基礎(chǔ)性工程.與一般意義上的信息安全相比.公安現(xiàn)役部隊(duì)信息安全具有一定的特殊性。

    公安現(xiàn)役部隊(duì)信息安全是指保密信息必須只能夠被一組預(yù)先限定的人員存取對這類信息的未經(jīng)授權(quán)的傳輸和使崩應(yīng)該被嚴(yán)格限制是指系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù).不因偶然的或者惡意的原因而遭受到破壞、更改、泄密,系統(tǒng)連續(xù)可靠正常地運(yùn)行。

    2.信息安全現(xiàn)狀分析

    2.1網(wǎng)絡(luò)信息安全威脅嚴(yán)重

    網(wǎng)絡(luò)信息安全事關(guān)國家安全、社會穩(wěn)定、經(jīng)濟(jì)發(fā)展和文化建設(shè)等各個(gè)領(lǐng)域.已經(jīng)成為全球關(guān)注的熱點(diǎn)問題。根據(jù)瑞星”云安全”數(shù)據(jù)中心最新統(tǒng)計(jì)數(shù)據(jù)表明.2009年上半年.瑞星”云安全”系統(tǒng)攔截到的掛馬網(wǎng)頁數(shù)累計(jì)達(dá)2.9億個(gè).共有11.2億人次網(wǎng)民遭木馬攻擊:其中大型網(wǎng)站、流行軟件被掛馬的有35萬個(gè)(以域名計(jì)算),比去年同期有大幅度增長。目前的互聯(lián)網(wǎng)非常脆弱.各種熱點(diǎn)新聞、流行軟件、社交(SNS)網(wǎng)站、瀏覽器插件的漏洞層出不窮.為黑客提供了大量入侵和攻擊的機(jī)會政府機(jī)關(guān)網(wǎng)站、各大中型企業(yè)網(wǎng)站,由于專業(yè)性技術(shù)人員缺乏.網(wǎng)站大多由第三方公司外包開發(fā),存在缺陷較多,也最容易被掛馬。據(jù)統(tǒng)計(jì),2009年1月份受感染型病毒侵襲的網(wǎng)民為106萬.而6月份則達(dá)到了395萬.上升了近4倍。

    2.2公安現(xiàn)役部隊(duì)信息人才缺失

    信息安全建設(shè),人才是關(guān)鍵。一方面任何信息安全技術(shù)方面的成果都是人創(chuàng)造的:另一方面.任何危害信息安全的事件同樣也是人為的。因此,培養(yǎng)大量優(yōu)秀的信息安全人才成為當(dāng)前我公安現(xiàn)役部隊(duì)信息安全領(lǐng)域的頭等大事公安現(xiàn)役部隊(duì)需要大量信息安全的專門人才,邊、消、警部隊(duì)實(shí)現(xiàn)電子警務(wù)應(yīng)用系統(tǒng)的發(fā)展也需要大量信息安全的專門人才。然而.目前我國只有少數(shù)大學(xué)能夠培養(yǎng)信息安全方向的研究生.部分院校培養(yǎng)本科生.其數(shù)量遠(yuǎn)遠(yuǎn)不能滿足需求目前我國從事信息安全研究的專業(yè)人才(副高職稱以上)僅有3000人.從事信息安全工作的人員也比較少.且多是”半路出家”.即由網(wǎng)絡(luò)管理人員通過有關(guān)信息安全知識的自學(xué)或短期培訓(xùn)后從事這項(xiàng)工作的。此外。即使一些信息安全領(lǐng)域的公司也存在人才短缺或流失的問題.而公安部門同樣存在著較大的信息安全人才缺口

    2.3官兵信息安全意識薄弱

    有些官兵保信息安全意識不強(qiáng),擅自將涉密便攜式電腦、硬盤、優(yōu)盤和光盤帶出辦公室,極易造成涉及部隊(duì)政治工作策略、國家安全和軍事利益的文字、圖片或錄像資料的外泄:在連接國際互聯(lián)網(wǎng)的計(jì)算機(jī)上使用涉密儲存介質(zhì)不經(jīng)意造成的泄密問題比較突出。”一機(jī)跨兩網(wǎng)”、”一盤跨兩網(wǎng)”等行為屢禁不止,給部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全造成了嚴(yán)重威脅,教訓(xùn)極其深刻。此外.有些官兵管不住自己的嘴.通過語言威脅到大局信息安全的事件時(shí)有發(fā)生。有些同志不分對象、場所,為了炫耀自己”卓越”的見解.在不知不覺中隨口泄露機(jī)密。有些同志在接受大眾傳媒采訪.以及在進(jìn)行新聞宣傳報(bào)道時(shí),隨口說出涉密的重大任務(wù)和軍事活動.造成嚴(yán)重泄密。

    3.公安現(xiàn)役部隊(duì)?wèi)?yīng)對策略分析

    公安現(xiàn)役部隊(duì)信息安全建設(shè)不是各部門信息安全建設(shè)成果的簡單疊加.而是要通過技術(shù)防范與管理相結(jié)合.注重整個(gè)系統(tǒng)的信息安全建設(shè)。

    3.1增強(qiáng)安全防范.做到制度技術(shù)到位

    實(shí)現(xiàn)公安現(xiàn)役信息安全.必須建立自己的信息安全技術(shù)保障體系。技術(shù)是信息發(fā)展的基礎(chǔ).如果沒有信息安全技術(shù)作為支撐,信息安全就無法持久。安全保密設(shè)備是公安現(xiàn)役部隊(duì)信息安全的重要技術(shù)和物質(zhì)基礎(chǔ).在選擇設(shè)備上應(yīng)使用國產(chǎn)的.如某設(shè)備無國產(chǎn)可選.使用進(jìn)口設(shè)備須經(jīng)相關(guān)部門檢測批準(zhǔn)。在軟件建設(shè)方面針對系統(tǒng)的弱點(diǎn)和不足.加強(qiáng)新型防火墻、安全路游器、安全網(wǎng)關(guān)、入侵檢測系統(tǒng)等信息安全技術(shù)的研究和產(chǎn)品開發(fā)。改變目前我方在技術(shù)方面的易守難攻的局面,變被動為主動。在信息安全防范中,加緊對安全防護(hù)、安全監(jiān)控、跟蹤警報(bào)等方面的關(guān)鍵技術(shù)進(jìn)行突破。不失時(shí)機(jī)地對網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢測、模擬攻擊與評估工作.切實(shí)從技術(shù)手段上筑牢防止安全失泄密的閥門。

    3.2建立信息安全技術(shù)人才保障體系.完備技術(shù)人才支撐系統(tǒng)

    實(shí)現(xiàn)公安現(xiàn)役信息安全.必須建立自己的信息安全技術(shù)保障體系。技術(shù)是信息發(fā)展的基礎(chǔ),如果沒有信息安全技術(shù)作為支撐.信息安全就無法持久。公安現(xiàn)役部隊(duì)只有配備大批既懂技術(shù)又懂管理的復(fù)合型人才.提高從業(yè)人員的信息安全水平.公安現(xiàn)役部隊(duì)在現(xiàn)有的體制、編制上.通過政策的調(diào)整可把有志向?yàn)楣铂F(xiàn)役事業(yè)奉獻(xiàn)的專業(yè)性人才吸納到隊(duì)伍中來。同時(shí)還可以與有關(guān)院校達(dá)成協(xié)議定向培養(yǎng)信息安全方面的本科生、研究生,減小供求矛盾.可使公安現(xiàn)役信息安全專項(xiàng)人才不斷補(bǔ)充。煥發(fā)生機(jī)。

    3.3加強(qiáng)信息安全教育和技術(shù)培訓(xùn)

    官兵信息安全意識是信息安全建設(shè)的基礎(chǔ).是數(shù)字化安全生存的必要保證。要加大信息技術(shù)的攻關(guān)和信息安全管理人員的技術(shù)培訓(xùn)力度。構(gòu)建信息安全培訓(xùn)體系,進(jìn)行全員的培訓(xùn)和普及教育,從根本上消除”信息安全事不關(guān)己”的錯誤思想.使官兵意識到泄密事件可能通過個(gè)人的言行隨時(shí)可能引發(fā).牢固樹立信息安全靠大家的思想.只有這樣才能不斷提高全體官兵的信息安全素質(zhì)和意識

    3.4提供部隊(duì)信息安全下的執(zhí)法效率

篇9

我們把以政府為主體的一切負(fù)有公共事務(wù)管理職能的組織(包括行政機(jī)關(guān)，法律法規(guī)授權(quán)、委托的組織，來源于納稅人稅款的政府財(cái)政撥款的社會團(tuán)體、組織等公共事業(yè)法人和社會組織)在行政過程中產(chǎn)生、收集、整理、傳輸、、使用存儲和清理的所有信息，稱為公共信息。珠三角地區(qū)是我國信息化程度的高度集中的地區(qū)，“數(shù)字珠三角”的提出，使公共信息在珠三角地區(qū)更富多元化和復(fù)雜化，而公共信息安全問題解決的好壞直接關(guān)系到區(qū)域的，社會的長治久安，國家的安全與穩(wěn)定。珠三角作為我國新時(shí)期探索科學(xué)發(fā)展模式的試驗(yàn)區(qū)，在摸索構(gòu)建信息安全聯(lián)動體系的道路上更應(yīng)體現(xiàn)“科學(xué)發(fā)展，先試先行”的核心理念，在危與機(jī)并存的新形式下，信息安全正面臨著嚴(yán)峻的挑戰(zhàn)，建立信息安全聯(lián)動體系的呼聲也越發(fā)響亮。

一、珠三角地區(qū)公共信息安全現(xiàn)狀的分析

公共信息安全是指個(gè)人、組織、社會和國家在信息傳播過程中保護(hù)自身利益不受損害，它包括物理設(shè)施安全、技術(shù)安全、信息內(nèi)容安全等國家、社會公共安全的總和。珠三角地區(qū)目前信息化程度在全國處于領(lǐng)先地位，但在信息化普及過程仍存在諸多安全問題。

(一)信息共享渠道不暢。當(dāng)前的難點(diǎn)在于信息歸部門所有，在信息管理上條塊分割現(xiàn)象嚴(yán)重，區(qū)域內(nèi)小到政府部門，大到地方政府，大多只考慮自身的管理和利益的需要，很少能從全局發(fā)展的戰(zhàn)略需求角度考慮，各部門，各地方間缺乏必要的溝通配合，相互問協(xié)調(diào)聯(lián)動不夠，信息獲取存在障礙，不能有效整合信息資源。面對突發(fā)安全事件時(shí)，由于事件自身具有復(fù)雜多變的特性，需調(diào)動各方力量，收集各類信息，對信息進(jìn)行分門別類，分析提煉，加工處理，才能為決策領(lǐng)導(dǎo)層制定行之有效的解決對策提供素材。但因存在部門信息保護(hù)主義，以及訪問權(quán)限的設(shè)置問題，容易導(dǎo)致管理部門相互間推諉扯皮現(xiàn)象的出現(xiàn)，不僅不能及時(shí)便捷的處理問題，有時(shí)反而“延誤戰(zhàn)機(jī)”，造成不可估量的損失。

(二)電子政務(wù)建設(shè)華而不實(shí)。政府門戶網(wǎng)站提供服務(wù)的能力直接反映了政府信息化的綜合水平，同時(shí)也在一定程度上折射出真實(shí)政府的運(yùn)作情況和應(yīng)對信息威脅的能力。隨著珠三角地區(qū)經(jīng)濟(jì)的飛速發(fā)展，本地區(qū)的信息產(chǎn)業(yè)也不斷得到提高，電子政務(wù)建設(shè)無論在資金投入上還是技術(shù)設(shè)備上都處在全國領(lǐng)先地位，但同時(shí)也存在不少問題，一方面，珠三角地區(qū)在信息系統(tǒng)建設(shè)存在相互攀比，急于求成，重復(fù)建設(shè)的現(xiàn)象，有的政府部門為了實(shí)現(xiàn)所謂“政務(wù)公開，公務(wù)透明”的電子化辦公，盲目投資，建設(shè)內(nèi)容貧乏，失去時(shí)效，形同虛設(shè)的網(wǎng)站。不但容易造成資源的鋪張浪費(fèi)，不利于對公共信息的采集、傳遞、確認(rèn)、分析和理解，而且容易造成政出多門，辦事效率低下的深層問題。

一旦遭遇公共危機(jī)，政府信息系統(tǒng)在危機(jī)期間的信息采集，信息整合、信息將出現(xiàn)紊亂，導(dǎo)致政府信息準(zhǔn)確性的降低，影響政府的公眾形象和政府公信力。另一方面，政府網(wǎng)絡(luò)有其特殊性，網(wǎng)絡(luò)和信息安全防護(hù)十分重要。但作為面向公共社會服務(wù)的信息平臺，卻沒有專門設(shè)立公共信息安全知識的服務(wù)型網(wǎng)站，公眾對公共安全基本知識缺乏了解。

(三)公共信息系統(tǒng)建設(shè)缺乏統(tǒng)一規(guī)范。公共信息系統(tǒng)的建設(shè)標(biāo)準(zhǔn)尚未規(guī)范和統(tǒng)一。“數(shù)字珠三角”意味著信息化，信息化意味著網(wǎng)絡(luò)化，網(wǎng)絡(luò)化意味著互通互聯(lián)、資源共享，規(guī)范和統(tǒng)一信息建設(shè)標(biāo)準(zhǔn)十分重要j。珠三角各地的信息化程度普及率高，有條件率先實(shí)現(xiàn)統(tǒng)一的公共信息系統(tǒng)建設(shè)的標(biāo)準(zhǔn)。但鑒于珠三角城市問的經(jīng)濟(jì)發(fā)展水平和公共服務(wù)能力存在差距，如果全都劃一要求，一統(tǒng)到底，勢必造成“水土不服”。必須要有一個(gè)科學(xué)的，合理的、講求效益的界定。

(四)信息安全防范治理能力不強(qiáng)。公共信息安全的關(guān)鍵在于防范。目前，珠三角信息和網(wǎng)絡(luò)安全的防范能力處于發(fā)展的初步階段。許多應(yīng)用系統(tǒng)處于不設(shè)防階段。全國范圍內(nèi)，包括珠三角地區(qū)的信息與網(wǎng)絡(luò)安全研究任停留在封堵現(xiàn)有信息系統(tǒng)的安全漏洞階段。區(qū)域的綜合信息安防能力面臨考驗(yàn)。一方面，雖然珠三角地區(qū)的政府在推進(jìn)信息安全的風(fēng)險(xiǎn)評估，風(fēng)險(xiǎn)控制，風(fēng)險(xiǎn)管理的推廣、規(guī)范工作上步伐較快，但維護(hù)信息安全的核心技術(shù)和關(guān)鍵技術(shù)卻基本被國外壟斷。對可信安全計(jì)算、信息安全內(nèi)容管理、網(wǎng)絡(luò)安全管理與風(fēng)險(xiǎn)評估、應(yīng)急響應(yīng)和安全應(yīng)用支撐平臺等一系列網(wǎng)絡(luò)信息安全核心技術(shù)的自主研發(fā)仍處在起步階段，與國外先進(jìn)國家、地區(qū)的信息安防技術(shù)能力存在明顯差距。另一方面，許多公眾和政府工作人員對公共信息安防領(lǐng)域的認(rèn)識仍局限在防病毒、入侵檢測、vpn、垃圾郵件等基本防范手段上，而忽視對utm(統(tǒng)一威脅管理)、soc(安全運(yùn)營中心)等新型信息防范手段的學(xué)習(xí)。

二、建立珠三角公共信息安全聯(lián)動體系的必要性

(一)面對人為事件、事故，自然災(zāi)害建立聯(lián)動信息安防體系是公共安全的基本必要。珠三角在空間上是一個(gè)相互依存的系統(tǒng)，空間的分布并不是根據(jù)行政界線來劃分，珠江三角洲經(jīng)濟(jì)區(qū)毗鄰港澳，華僑、港澳同胞眾多，具有發(fā)展對外貿(mào)易和經(jīng)濟(jì)技術(shù)合作，引進(jìn)外資和技術(shù)等方面優(yōu)越的條件，是我國對外開放的重點(diǎn)地區(qū)；地區(qū)內(nèi)的經(jīng)濟(jì)活動頻繁，相互間關(guān)系密切，在交通運(yùn)輸、生產(chǎn)事故、刑事犯罪等人為事件、事故處理上具有區(qū)域的聯(lián)發(fā)聯(lián)動性，此外該地區(qū)是洪澇災(zāi)害和臺風(fēng)等自然災(zāi)害的頻發(fā)地區(qū)，對自然災(zāi)害的預(yù)防和應(yīng)急亦需要跨地區(qū)跨部門的相互聯(lián)動合作。建立珠三角信息聯(lián)動體系，可以有效整合各地資源，及時(shí)有效的采取應(yīng)對措施，排除險(xiǎn)情，解除危難；保證在信息收集、分析、傳遞、方面的準(zhǔn)確性和有效性，防止信息失真帶來的嚴(yán)重后果的。

(二)珠三角作為我國經(jīng)濟(jì)改革發(fā)展的“試驗(yàn)田”，在區(qū)域經(jīng)濟(jì)一體化的政策導(dǎo)向下，建立聯(lián)動信息安防體系是公共安全的特殊必要。城市區(qū)域內(nèi)的矛盾和沖突是必然的，這是由于城市區(qū)域經(jīng)濟(jì)活動本身的外部性及信息不對稱所造成的。珠三角城市區(qū)域內(nèi)的某些地方政府，常通過建立地方保護(hù)鏈條、重復(fù)建設(shè)項(xiàng)目等手段，來實(shí)現(xiàn)地方利益的最大化，從而加大了珠三角地區(qū)城市間經(jīng)濟(jì)交易的成本，不利于經(jīng)濟(jì)一體化的形成。打破這種信息不對稱性所照成的城市經(jīng)濟(jì)“孤島危機(jī)”就必須建立公共信息共享以及安全保護(hù)的聯(lián)動體系，通過制度變遷，建立相應(yīng)的城市區(qū)域信息協(xié)作組織，在安全可靠的環(huán)境下，對公共經(jīng)濟(jì)等信息實(shí)現(xiàn)互聯(lián)互動，不僅可以實(shí)現(xiàn)區(qū)域內(nèi)城市不同利益主體的相互間信息交流，降低不同利益主體達(dá)成交易的成本，并能對區(qū)域的經(jīng)濟(jì)發(fā)展現(xiàn)狀進(jìn)行有效的監(jiān)督。

三、珠三角公共信息安全聯(lián)動體系的構(gòu)建和管理

(一)注重公共信息安全法律建設(shè)。

加強(qiáng)公共信息安全法制的立法工作。法律本身就是確保公共信息安全管理的一項(xiàng)重要保障，為有效貫徹落實(shí)國家信息安全等級保護(hù)制度，在總結(jié)基礎(chǔ)調(diào)查和試點(diǎn)工作的基礎(chǔ)上，國家頒布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和印發(fā)了《信息安全等級保護(hù)管理辦法》等相關(guān)條例，確定了信息安全等級保護(hù)制度的基本內(nèi)容及各項(xiàng)工作要求，進(jìn)一步明確了國家、公民、法人和其他組織在等級保護(hù)工作中的責(zé)任、義務(wù)，各職能部門在信息安全等級保護(hù)工作中的職責(zé)分工以及信息系統(tǒng)運(yùn)營使用單位、行業(yè)主管部門的安全保障法律責(zé)任。

但是中國目前尚沒有形成專門的“公共信息安全”法規(guī)體系，還有許多公共領(lǐng)域在信息安全方面無法可尋、無法可依，地方性在公共信息安全方面的行政法規(guī)良莠不齊，難以統(tǒng)一。公共信息安全法律體系的研究可以選擇不同的切入點(diǎn)。按照法律效率，我們可以從法律、法規(guī)和規(guī)章層次討論信息安全的法律體系。也可以另辟蹊徑，以戰(zhàn)略作為出發(fā)點(diǎn)探討信息安全的法律體系。我國應(yīng)從國情出發(fā)，積極探索加強(qiáng)信息安全法制建設(shè)的新思路，加快信息安全的立法工作，尤其是要加快信息安全基本大法的立法進(jìn)程，以建立起一套既符合國際通行規(guī)則，又具有中國特色、門類齊全、層次分明、結(jié)構(gòu)嚴(yán)謹(jǐn)?shù)男畔踩审w系，為信息安全保障工作提供更有力的法律支撐j。在珠三角規(guī)劃出臺的新形勢下，國家可以不妨逐步探索、建設(shè)和制訂與區(qū)域一體化相適應(yīng)的公共信息安全法律體系，這不僅有利于公共信息安全治理的規(guī)范化和穩(wěn)定化；有利于為公共信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)；有利于優(yōu)化信息安全資源的配置，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定的重要信息系統(tǒng)安全；有利于明確國家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)信息安全管理；有利于推動各類信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應(yīng)社會主義市場經(jīng)濟(jì)發(fā)展的信息安全模式，為以后我國全面實(shí)施公共信息安全保護(hù)工作提供政策支持。

(二)建立統(tǒng)一的、共享的、安全的公共信息網(wǎng)絡(luò)系統(tǒng)。

首先，以信息資源開發(fā)利用為導(dǎo)向，加強(qiáng)珠三角公共數(shù)據(jù)整合。城市信息資源在信息化過程中得到不斷積累，只有以信息資源開發(fā)利用為導(dǎo)向，城市信息化綜合效益才能得到提高。到目前為止，各城市都建立了具有本地特色的數(shù)據(jù)庫，但是多數(shù)數(shù)據(jù)庫的使用都處于封鎖狀態(tài)，這嚴(yán)重影響了城市信息化建設(shè)的效益發(fā)揮。未來幾年，城市公共數(shù)據(jù)整合將成為未來城市信息化建設(shè)的一項(xiàng)重點(diǎn)工作。公共數(shù)據(jù)整合要結(jié)合城市經(jīng)濟(jì)發(fā)展戰(zhàn)略和現(xiàn)狀，構(gòu)建城市各部門、各組織共享的公共數(shù)據(jù)庫，這也是當(dāng)前城市信息化建設(shè)中必須著力解決的重要課題。根據(jù)我國信息資源規(guī)劃和建設(shè)的總體要求，各地要建立一批具有公益性、基礎(chǔ)性、實(shí)用性的公共數(shù)據(jù)庫；加緊建設(shè)和健全自然人基礎(chǔ)信息庫、法人基礎(chǔ)信息庫，作為建構(gòu)公共數(shù)據(jù)庫的基礎(chǔ)，合理、高效地利用信息資源，整合現(xiàn)有的信息資源；加強(qiáng)生產(chǎn)、流通、科技、人口、資源、生態(tài)環(huán)境等領(lǐng)域的信息資源開發(fā)利用工作；加快教育、文化、公共文獻(xiàn)等領(lǐng)域信息資源的數(shù)字化、網(wǎng)絡(luò)化進(jìn)程。

其次，加強(qiáng)信息和信息安全關(guān)鍵技術(shù)的自主研發(fā)，從技術(shù)上統(tǒng)一標(biāo)準(zhǔn)。當(dāng)前，我國在信息和信息安全領(lǐng)域總體上處于關(guān)鍵技術(shù)和設(shè)備受制于人的被動局面，發(fā)展信息和信息安全高端技術(shù)、提高自主創(chuàng)新能力已經(jīng)成為我國掌握信息安全主動權(quán)的唯一出路。為加強(qiáng)信息和信息安全關(guān)鍵技術(shù)的研發(fā)，我國必須采取有效措施，建立健全堅(jiān)強(qiáng)有力、運(yùn)轉(zhuǎn)靈活、工作高效的新體制，全方位地指導(dǎo)信息和信息安全關(guān)鍵技術(shù)的規(guī)劃、研發(fā)、成果轉(zhuǎn)化，同時(shí)組織和動員各方力量，密切跟蹤世界先進(jìn)技術(shù)的發(fā)展，逐步形成基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)以自主可控技術(shù)為主的新格局。

再次，建立完善的信息安全風(fēng)險(xiǎn)評估體系。在信息系統(tǒng)建設(shè)的同時(shí)，要進(jìn)行信息安全的總體設(shè)計(jì)和信息系統(tǒng)安全工程建設(shè)，在系統(tǒng)驗(yàn)收時(shí)必須對信息系統(tǒng)安全進(jìn)行測評認(rèn)證。對于已建的信息系統(tǒng)，要完善信息安全的總體設(shè)計(jì)和信息系統(tǒng)安全工程建設(shè)，進(jìn)行系統(tǒng)安全測評認(rèn)證。在信息系統(tǒng)建設(shè)中信息安全的投資應(yīng)占系統(tǒng)投資的一定比例。各級機(jī)關(guān)和重點(diǎn)單位新建和改建信息系統(tǒng)必須配套建設(shè)信息安全子系統(tǒng)，并與主體工程實(shí)行同時(shí)設(shè)計(jì)、同時(shí)施工、同時(shí)投入使用。加強(qiáng)對修訂稿安全產(chǎn)品、服務(wù)商資質(zhì)、信息系統(tǒng)的安全管理與測評認(rèn)證，在系統(tǒng)建設(shè)總體方案評審時(shí)強(qiáng)化對安全保障方案的審查和各項(xiàng)安全保障功能的認(rèn)證。

最后，加強(qiáng)對信息網(wǎng)絡(luò)、信息產(chǎn)品和網(wǎng)上交易行為的監(jiān)管，提高對網(wǎng)上信息的跟蹤管理能力、對專案對象的監(jiān)控能力和對制造和傳播計(jì)算機(jī)病毒、非法入侵、泄密、竊密以及散布有害信息等行為的防范能力，嚴(yán)厲打擊危害計(jì)算機(jī)信息系統(tǒng)安全和利用計(jì)算機(jī)技術(shù)進(jìn)行犯罪活動。保障國家秘密、商業(yè)秘密和個(gè)人隱私的權(quán)利，抵制不良文化、不實(shí)新聞在網(wǎng)上傳播，維護(hù)信息安全和社會穩(wěn)定。

(三)建立政府主導(dǎo)下的公共信息安全組織體系，落實(shí)安全管理責(zé)任制

篇10

電子商務(wù)在網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展日益迅猛的當(dāng)下，應(yīng)用越來越廣泛，這種基于internet進(jìn)行的各種商務(wù)活動模式以其特有的開放性讓商務(wù)活動相比較以往更加高效快捷。in-ternet 是一個(gè)開放的、全球性的、無控制機(jī)構(gòu)的網(wǎng)絡(luò)，計(jì)算機(jī)網(wǎng)絡(luò)自身的特點(diǎn)決定了網(wǎng)絡(luò)不安全，網(wǎng)絡(luò)服務(wù)一般都是通過各種各樣的協(xié)議完成的，因此網(wǎng)絡(luò)協(xié)議的安全性是網(wǎng)絡(luò)安全的重要方面，internet 的數(shù)據(jù)傳輸是基于 tcp/ip操作系統(tǒng)來支持的，tcp/ip 協(xié)議本身存在著一定的缺陷。 

1電子商務(wù)所面臨的信息安全威脅 

1.1 安全環(huán)境惡化 

由于在計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)方面發(fā)展較為遲緩，我國在很多硬件核心設(shè)備方面依然以進(jìn)口采購為主要渠道，不能自主生產(chǎn)也意味著不能自主控制，除了生產(chǎn)技術(shù)、維護(hù)技術(shù)也相應(yīng)依靠國外引進(jìn)，這也就讓國內(nèi)的電子商務(wù)無法看到眼前的威脅以及自身軟件的應(yīng)付能力。 

1.2平臺的自然物理威脅 

由于電子商務(wù)通過網(wǎng)絡(luò)傳輸進(jìn)行，因此諸如電磁輻射干擾以及網(wǎng)絡(luò)設(shè)備老化帶來的傳輸緩慢甚至中斷等自然威脅難以預(yù)測，而這些威脅將直接影響信息安全。此外，人為破壞商務(wù)系統(tǒng)硬件，篡改刪除信息內(nèi)容等行為，也會給企業(yè)造成損失。 

1.3黑客入侵 

在諸多威脅中，病毒是最不可控制的，其主要作用是損壞計(jì)算機(jī)文件，且具有繁殖功能。配合越來越便捷的網(wǎng)絡(luò)環(huán)境，計(jì)算機(jī)病毒的破壞力與日俱增。而目前黑客所慣用的木馬程序則更有目的性，本地計(jì)算機(jī)所記錄的登錄信息都會被木馬程序篡改，從而造成信息之外的文件和資金遭竊。 

2電子商務(wù)信息安全的防范處理方法 

2.1針對病毒的技術(shù) 

作為電子商務(wù)安全的最大威脅，對于計(jì)算機(jī)病毒的防范是重中之重。對于病毒，處理態(tài)度應(yīng)該以預(yù)防為主，查殺為輔。因?yàn)椴《镜念A(yù)防工作在技術(shù)層面上比查殺要更為簡單。多種預(yù)防措施的并行應(yīng)用很重要，比如對全新計(jì)算機(jī)硬件、軟件進(jìn)行全面的檢測；利用病毒查殺軟件對文件進(jìn)行實(shí)時(shí)的掃描；定期進(jìn)行相關(guān)數(shù)據(jù)備份；服務(wù)器啟動采取硬盤啟動；相應(yīng)網(wǎng)絡(luò)目錄和文件設(shè)置相應(yīng)的訪問權(quán)限等等。同時(shí)在病毒感染時(shí)保證文件的及時(shí)隔離。在計(jì)算機(jī)系統(tǒng)感染病毒的情況下，第一時(shí)間清除病毒文件并及時(shí)恢復(fù)系統(tǒng)。 

2.2防火墻應(yīng)用 

防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng)，對內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)。目前的防火墻分為兩大類：一類是簡單的包過濾技術(shù)，它是在網(wǎng)絡(luò)層對數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的 tcp 端口和 tcp 鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和服務(wù)器，可針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。 

2.3數(shù)據(jù)加密技術(shù)的引入 

加密技術(shù)是保證電子商務(wù)安全采用的主要安全措施。加密過程就是根據(jù)一定的算法，將可理解的數(shù)據(jù)（明文）與一串?dāng)?shù)字（密鑰）相結(jié)合，從而產(chǎn)生不可理解的密文的過程，主要加密技術(shù)是：對稱加密技術(shù)和非對稱加密技術(shù)。 

2.4認(rèn)證系統(tǒng) 

網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證，用于在網(wǎng)絡(luò)上鑒別個(gè)人或組織的真實(shí)身份。傳統(tǒng)的對稱密鑰算法具有加密強(qiáng)度高、運(yùn)算速度快的優(yōu)點(diǎn)，但密鑰的傳遞與管理問題限制了它的應(yīng)用。為解決此問題，20 世紀(jì) 70 年代密碼界出現(xiàn)了公開密鑰算法，該算法使用一對密鑰即一個(gè)私鑰和一個(gè)公鑰，其對應(yīng)關(guān)系是唯一的，公鑰對外公開，私鑰個(gè)人秘密保存。一般用公鑰來進(jìn)行加密，用私鑰來進(jìn)行簽名；同時(shí)私鑰用來解密，公鑰用來驗(yàn)證簽名。 

2.5其他注意事項(xiàng) 

（1）機(jī)密性是指信息在存儲或傳輸過程中不被他人竊取或泄漏，滿足電子商務(wù)交易中信息保密性的安全需求，避免敏感信息泄漏的威脅。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。 

（2）商務(wù)信息的完整性，只讀特性以及修改授權(quán)問題是電子商務(wù)信息需要攻克的一大難關(guān)。信息在傳輸過程中必須保持原內(nèi)容，不能因技術(shù)、環(huán)境以及刻意原因而輕易被更改。 

篇11

隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，我國電子商務(wù)的安全問題也日益突出。根據(jù)“2010年上半年，計(jì)算機(jī)病毒和互聯(lián)網(wǎng)安全報(bào)告疫情”的數(shù)據(jù)表明，2010年上半年，計(jì)算機(jī)病毒，木馬的數(shù)量依然保持快速增長，新病毒不斷出現(xiàn)，一些“老”的病毒推出了眾多變種。2010年上半年計(jì)算機(jī)病毒，木馬數(shù)量迅速增加，超出了近五年病毒數(shù)量的總和。在日益增多的電子商務(wù)安全問題面前，需要我們采取新措施來進(jìn)行防范。 

一、電子商務(wù)的安全現(xiàn)狀 

目前電子商務(wù)的安全問題比較嚴(yán)重，最突出的表現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)安全和商業(yè)誠信問題上。因?yàn)槠鶈栴}，本文只側(cè)重于計(jì)算機(jī)網(wǎng)絡(luò)安全問題的描述和解決對于其他方面的問題不作詳細(xì)的分析。與以往相比電子商務(wù)安全呈現(xiàn)出以下特點(diǎn)： 

（一）木馬病毒爆炸性增長，變種數(shù)量的快速增加 

據(jù)統(tǒng)計(jì)，僅2009年上半年掛載木馬網(wǎng)頁數(shù)量累計(jì)達(dá)2.9億個(gè)，共有11.2億人次網(wǎng)民訪問掛載木馬，2010年元旦三天就新增電腦病毒50萬。病毒的數(shù)量不僅增速變快，智能型，病毒變種更新速度快是本年度病毒的又一個(gè)特征。總體而言，目前的新木馬不多，更多的是它的變種，因?yàn)槟壳胺床《拒浖纳壦俣仍絹碓娇欤《敬婊顣r(shí)間越來越短，因此，今天的病毒投放者不再投放單一的病毒，而是通過病毒下載器來進(jìn)行病毒投放，可以自動從指定的網(wǎng)址上下載新病毒，并進(jìn)行自動更新，永遠(yuǎn)也無法斬盡殺絕所有的病毒。同時(shí)病毒制造、傳播者利用病毒木馬技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、詐騙活動，通過網(wǎng)絡(luò)販賣病毒、木馬，教授病毒編制技術(shù)和網(wǎng)絡(luò)攻擊技術(shù)等形式的網(wǎng)絡(luò)犯罪活動明顯增多，電子商務(wù)網(wǎng)絡(luò)犯罪也逐漸開始呈公開化、大眾化的趨勢。 

（二）網(wǎng)絡(luò)病毒傳播方式的變化 

過去，傳播病毒通過網(wǎng)絡(luò)進(jìn)行。目前，通過移動存儲介質(zhì)傳播的案例顯著增加，存儲介質(zhì)已經(jīng)成為電子商務(wù)網(wǎng)絡(luò)病毒感染率上升的主要原因。由于u盤和移動存儲介質(zhì)廣泛使用，病毒、木馬通過autorun.inf文件自動調(diào)用執(zhí)行u盤中的病毒、木馬等程序，然后感染用戶的計(jì)算機(jī)系統(tǒng)，進(jìn)而感染其他u盤。與往年相比，今年通過網(wǎng)絡(luò)瀏覽或下載該病毒的比例在下降。不過，從網(wǎng)絡(luò)監(jiān)測和用戶尋求幫助的情況來看，大量的網(wǎng)絡(luò)犯罪通過“掛馬”方式來實(shí)現(xiàn)。“掛馬”是指在網(wǎng)頁中嵌入惡意代碼，當(dāng)存在安全漏洞的用戶訪問這些網(wǎng)頁時(shí)，木馬會侵入用戶系統(tǒng)，然后盜取用戶敏感信息或者進(jìn)行攻擊、破壞。通過瀏覽網(wǎng)頁方式進(jìn)行攻擊的方法具有較強(qiáng)的隱蔽性，用戶更難于發(fā)現(xiàn)，潛在的危害性也更大。 

（三）網(wǎng)絡(luò)病毒給電子商務(wù)造成的損失繼續(xù)增加 

調(diào)查顯示，瀏覽器配置被修改，損壞或丟失數(shù)據(jù)，系統(tǒng)的使用受限，網(wǎng)絡(luò)無法使用，密碼被盜造成都給電子商務(wù)造成嚴(yán)重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播，攫取非法經(jīng)濟(jì)利益，給被感染的用戶帶來重大損失。繼“熊貓燒香”之后，復(fù)合型病毒大量出現(xiàn)，如：仇英、艾妮等病毒。同時(shí)，網(wǎng)上販賣病毒、木馬和僵尸網(wǎng)絡(luò)的活動不斷增多，利用病毒、木馬技術(shù)傳播垃圾郵件和進(jìn)行網(wǎng)絡(luò)攻擊、破壞的事件呈上升趨勢。 

二、電子商務(wù)的安全問題及存在原因 

1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料，仿冒合法用戶的身份與他人進(jìn)行交易，從而獲得非法利益。 

2.對信息的竊取。攻擊者在網(wǎng)絡(luò)的傳輸信道上。通過物理或邏輯的手段，對數(shù)據(jù)進(jìn)行非法的截獲與監(jiān)聽，從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號，還能以欺騙的手法進(jìn)行產(chǎn)品交易，甚至能洗黑錢。 

3.對信息的篡改。攻擊者有可能對網(wǎng)絡(luò)上的信息進(jìn)行截獲后篡改其內(nèi)容，如修改消息次序、時(shí)間，注人偽造消息等，從而使信息失去真實(shí)性和完整性。 

4.拒絕服務(wù)。攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。 

5.對發(fā)出的信息予以否認(rèn)．某些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任。 

6.信用威脅。交易者否認(rèn)參加過交易，如買方提交訂單后不付款，或者輸人虛假銀行資料使賣方不能提款i用戶付款后，賣方?jīng)]有把商品發(fā)送到客戶手中，使客戶蒙受損失。 

7.電腦病毒。電腦病毒問世十幾年來，各種新型病毒及其變種迅速增加，互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑，還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快，動輒造成數(shù)百億美元的經(jīng)濟(jì)損失。如，cih病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡(luò)上數(shù)以萬計(jì)的計(jì)算機(jī)以沉重打擊。 

三、電子商務(wù)的安全需求 

電子商務(wù)威脅的出現(xiàn)導(dǎo)致了對電子商務(wù)安全的需求，主要包括有效性、完整性、不可抵賴性、匿名性。 

1.有效性。保證信息的有效性是開展電子商務(wù)的前提，一旦簽訂交易，這項(xiàng)交易就應(yīng)得到保護(hù)以防止被篡改或偽造。 

2.完整性。貿(mào)易雙方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易雙方信息的完整性是電子商務(wù)的基礎(chǔ)。 

3.不可抵賴性。交易一旦達(dá)成，原發(fā)送方在發(fā)送數(shù)據(jù)后就不能抵賴，接收方接到數(shù)據(jù)后也不能抵賴。 

4.匿名性。電子商務(wù)系統(tǒng)應(yīng)確保交易的匿名性，防止交易過程被跟蹤，保證交易過程中不把用戶的個(gè)人信息泄露給未知的或不可信的個(gè)體。 

四、電子商務(wù)安全防治措施及安全舉措 

防范電子商務(wù)網(wǎng)絡(luò)犯罪是一個(gè)系統(tǒng)工程，不僅需要人們提高防范電子商務(wù)網(wǎng)絡(luò)犯罪的意識，加強(qiáng)防范電子商務(wù)網(wǎng)絡(luò)犯罪的制度建設(shè)，而且．還需要技術(shù)上不斷更新和完善，為此，需要做好以下幾方面的工作。 

1.加強(qiáng)教育和宣傳，提高公眾電子商務(wù)的安全意識。信息安全意識是指人們在上網(wǎng)的過程中，對信息安全重要性的認(rèn)識水平，發(fā)現(xiàn)影響網(wǎng)絡(luò)安全行為的敏銳性，維護(hù)網(wǎng)絡(luò)安全的主動性。強(qiáng)化上網(wǎng)人員的信息安全意識，就是要讓上網(wǎng)人員認(rèn)識到，網(wǎng)絡(luò)信息安全是電子商務(wù)正常而高效運(yùn)轉(zhuǎn)的基礎(chǔ)，是保障企業(yè)、公民和國家利益的重要前提，從而牢同樹立網(wǎng)上交易，安全第一的思想。主要采取以下措施：一是通過大眾媒體，普及電子商務(wù)的安全知識，提高用戶的認(rèn)識。二是積極組織研討會和培訓(xùn)課程，培養(yǎng)電子商務(wù)網(wǎng)絡(luò)營銷安全管理人才。 

2.采用多重網(wǎng)絡(luò)技術(shù)，保證網(wǎng)絡(luò)信息安全。目前，常用的電子商務(wù)安全技術(shù)，主要包括：防火墻，物理隔離，vpn（虛擬專用網(wǎng)）。防火墻是實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)安全和入侵隔離的常規(guī)技術(shù)。使用防火墻，一方面是抵御來自外界的攻擊。另一方面是為了防止在服務(wù)器內(nèi)部部分未經(jīng)授權(quán)的用戶攻擊。因此，電子商務(wù)內(nèi)外網(wǎng)與互聯(lián)網(wǎng)之間要設(shè)置防火墻。網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補(bǔ)丁程序，以便進(jìn)行網(wǎng)絡(luò)維護(hù)，同時(shí)經(jīng)常掃描整個(gè)內(nèi)部網(wǎng)絡(luò)，發(fā)現(xiàn)任何安全隱患及時(shí)更改，做到有備無患。企業(yè)上網(wǎng)必須實(shí)行內(nèi)外網(wǎng)劃分和內(nèi)外網(wǎng)的物理隔離。要運(yùn)用vpn新技術(shù)，為使用者提了一種通過公用網(wǎng)絡(luò)，安全地對食業(yè)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問，同時(shí)又能保證企業(yè)的系統(tǒng)安全。包括操作系統(tǒng)、數(shù)據(jù)庫和服務(wù)器(如web服務(wù)器、e-maii。服務(wù)器)的安全。 

3.運(yùn)用密碼技術(shù)，強(qiáng)化通信安全。應(yīng)圍繞數(shù)字證書應(yīng)用，為電子政府信息網(wǎng)絡(luò)中各種業(yè)務(wù)應(yīng)用提供信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性保證。在業(yè)務(wù)系統(tǒng)中建立有效的信任管理機(jī)制、授權(quán)控制機(jī)制和嚴(yán)密的責(zé)任機(jī)制。目前要加強(qiáng)身份認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)加密、數(shù)字簽名等工作。對于電子商務(wù)中的各種敏感數(shù)據(jù)進(jìn)行數(shù)據(jù)加密處理，并且在數(shù)據(jù)傳輸中采用加密傳輸，以防止攻擊者竊密。電子商務(wù)信息交換中的各種信息，必須通過身份認(rèn)證來確認(rèn)其合法性，然后確定這個(gè)用戶的個(gè)人數(shù)據(jù)和特定權(quán)限。“在涉及多個(gè)對等實(shí)體間的交互認(rèn)征時(shí)，應(yīng)采用基于pki技術(shù)，借助第三方(ca)頒發(fā)的數(shù)字證書數(shù)字簽名來確認(rèn)彼此身份。”為了從根本上保證我國網(wǎng)絡(luò)的安全，我同安全產(chǎn)品的應(yīng)用應(yīng)建立在國內(nèi)自主研發(fā)的產(chǎn)品基礎(chǔ)上,國外的先進(jìn)技術(shù)可以參考，但不能完全照搬。政府應(yīng)該鼓勵和扶植一批企業(yè)加快數(shù)字安全技術(shù)的研究，以提高我國信息企業(yè)的技術(shù)和管理水平，促進(jìn)我同電子商務(wù)安全建設(shè)。 

4.加強(qiáng)技術(shù)管理，努力做到使用安全。首先是在內(nèi)部嚴(yán)格控制企業(yè)內(nèi)部人員對網(wǎng)絡(luò)共享資源的隨意使用。在內(nèi)網(wǎng)中，除有特殊需要不要輕易開放共享目錄，對有經(jīng)常交換信息要求的用戶，在共享時(shí)應(yīng)該加密，即只有通過密碼的認(rèn)證才允許訪問數(shù)據(jù)。二是對涉及秘密信息的用戶主機(jī)，使用者在應(yīng)用過程中應(yīng)該做到盡可能少開放一些不常用的網(wǎng)絡(luò)服務(wù)，同時(shí)封閉一些不用的端口。并對服務(wù)器中的數(shù)據(jù)庫進(jìn)行安全備份。三是切實(shí)保證媒體安全。包括媒體數(shù)據(jù)的安全及媒體本身的安全。要防止系統(tǒng)信息在物理空間上的擴(kuò)散。為了防止系統(tǒng)中的信息在物理空間上的擴(kuò)散，應(yīng)在物理上采取一定的防護(hù)措施，如進(jìn)行一定的電磁屏蔽，減少或干擾擴(kuò)散出去的空間信號。這樣做，對確保企業(yè)電子商務(wù)安全將發(fā)揮重要作用。 

5.健全法律，嚴(yán)格執(zhí)法。目前我國在電子商務(wù)法律法規(guī)方面還有很多缺失，不能有效地保護(hù)公眾的合法權(quán)益，給一些犯罪分子帶來了可乘之機(jī)。我國立法部門應(yīng)加快立法進(jìn)程，吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn)，盡快制定和頒布《個(gè)人隱私保護(hù)法》、《商業(yè)秘密保護(hù)法》、《數(shù)據(jù)庫振興法》、《信息網(wǎng)絡(luò)安全法》、《電子憑證(票據(jù))法》、《網(wǎng)上知識產(chǎn)權(quán)法》等一系列法律，使電子商務(wù)安全管理走上法制化軌道。使網(wǎng)絡(luò)控制、信息控制、信息資源管理和防止泄密有法可依，并得到技術(shù)上的支撐。健全電子商務(wù)安全標(biāo)準(zhǔn)認(rèn)證和質(zhì)量檢測機(jī)制，由國家主管部門組織制定有關(guān)電子商務(wù)安全條例規(guī)定，并發(fā)揮職能部門的監(jiān)管作用。通過建立電子商務(wù)安全法規(guī)體系，規(guī)范和維持網(wǎng)絡(luò)的正常運(yùn)行。 

 

參考文獻(xiàn)： 

[1]許寧寧.電子商務(wù)安全的現(xiàn)狀與趨勢[j].中國電子商務(wù)，2010，（1）. 

篇12

一、傳輸層安全

最常見的攻擊是TCP會話劫持，該劫持是劫持一個(gè)現(xiàn)存的會話，利用合法用戶進(jìn)行連接并通過驗(yàn)證，之后順其自然接管會話。TCP通過3次握手建立連接以后主要采用滑動窗口機(jī)制來驗(yàn)證對方發(fā)送的數(shù)據(jù)，如果對方發(fā)送的數(shù)據(jù)不在自己的接收窗口內(nèi)，則丟棄此數(shù)據(jù)，這種發(fā)送序號不在對方接收窗口的狀態(tài)稱為非同步狀態(tài)。當(dāng)通信雙方進(jìn)入非同步狀態(tài)后，攻擊者可以偽造發(fā)送序號在有效接收窗口內(nèi)的報(bào)文也可以截獲報(bào)文。篡改內(nèi)容后，再修改發(fā)送序號，而接收方會認(rèn)為數(shù)據(jù)是有效數(shù)據(jù)。

TCP會話劫持的攻擊方式可以對基于TCP的任何應(yīng)用發(fā)起攻擊，如HTTPFTP及Telnet等。攻擊者通過正在進(jìn)行TCP通信的2臺主機(jī)之間傳送的報(bào)文得知該報(bào)文的源IP、源TCP端口號、目的IP、目的TCP端口號。從而可以得知其中一臺主機(jī)對將要收到的下一個(gè)TCP報(bào)文段中seq和ackseq值的要求。這樣，在該合法主機(jī)收到另一臺合法主機(jī)發(fā)送的TCP報(bào)文前，攻擊者根據(jù)所截獲的信息向該主機(jī)發(fā)出一個(gè)帶有凈荷的TCP報(bào)文，如果該主機(jī)先收到攻擊報(bào)文就可以把合法的TCP會話建立在攻擊主機(jī)與被攻擊主機(jī)之間。TCP會話劫持避開了被攻擊主機(jī)對訪問者的身份驗(yàn)證和安全認(rèn)證。使攻擊者直接進(jìn)入對被攻擊主機(jī)的訪問狀態(tài)，因此對系統(tǒng)安全構(gòu)成的威脅比較嚴(yán)重。

二、地址機(jī)制

IPv6采用128位的地址空間，其可能容納的地址總數(shù)高達(dá)2128，相當(dāng)于地球表面每平方米擁有6．65×1023個(gè)。一方面可解決當(dāng)前地址空間枯竭的問題，使網(wǎng)絡(luò)的發(fā)展不再受限于地址數(shù)目的不足；另一方面可容納多級的地址層級結(jié)構(gòu)，使得對尋址和路由層次的設(shè)計(jì)更具有靈活性，更好地反映現(xiàn)代Internet的拓?fù)浣Y(jié)構(gòu)。IPv6的接口ID固定為64位，因此用于子網(wǎng)ID的地址空間達(dá)到了64位，便于實(shí)施多級路由結(jié)構(gòu)和地址集聚。IPv6的前綴類型多樣，64位的前綴表示一個(gè)子網(wǎng)ID，小于64位的前綴要么表示一個(gè)路由，要么表示一個(gè)地址聚類。IPv6的地址類型包括單播、多播和任播地址，取消了廣播地址。IPv6的地址機(jī)制帶來的安全措施包括：

1)防范網(wǎng)絡(luò)掃描與病毒、蠕蟲傳播。傳統(tǒng)的掃描和傳播方式在IPv6環(huán)境下將難以適用，因?yàn)槠涞刂房臻g太大。

2)防范IP地址欺騙。IPv6的地址構(gòu)造為可會聚、層次化的地址結(jié)構(gòu)，每一ISP可對其客戶范圍內(nèi)的IPv6地址進(jìn)行集聚，接入路由器在用戶進(jìn)入時(shí)可對IP包進(jìn)行源地址檢查，驗(yàn)證其合法性，非法用戶將無法訪問網(wǎng)絡(luò)所提供的服務(wù)。另外，將一個(gè)網(wǎng)絡(luò)作為中介去攻擊其他網(wǎng)絡(luò)的跳板攻擊將難以實(shí)施，因?yàn)橹薪榫W(wǎng)絡(luò)的邊界路由器不會轉(zhuǎn)發(fā)源地址不屬其范圍之內(nèi)的IPv6數(shù)據(jù)包。

3)防范外網(wǎng)入侵。IPv6地址有一個(gè)作用范圍，在這個(gè)范圍之內(nèi)，它們是唯一的。在基于IPv6的網(wǎng)絡(luò)環(huán)境下，主機(jī)的一個(gè)網(wǎng)絡(luò)接El可配置多種IPv6地址，如鏈路本地地址、站點(diǎn)本地地址、單播全球地址等，這些不同地址有不同的作用域。IPv6路由器對IPv6地址的作用范圍是敏感的，絕不會通過沒有正確范圍的接El轉(zhuǎn)發(fā)數(shù)據(jù)包。因此，可根據(jù)主機(jī)的安全需求，為其配置相應(yīng)的IPv6地址。例如，為保障本地子網(wǎng)或本地網(wǎng)絡(luò)內(nèi)的主機(jī)的安全，可為其配置相應(yīng)的鏈路本地或站點(diǎn)本地地址，使其通信范圍受限于所在鏈路或站點(diǎn)，從而阻斷外網(wǎng)入侵。

三、通用的安全協(xié)議將逐步消失，取而代之的是融合安全技術(shù)

當(dāng)網(wǎng)絡(luò)安全還沒有成為網(wǎng)絡(luò)應(yīng)用的重要問題時(shí)，制定的通信協(xié)議基本上不考慮協(xié)議和網(wǎng)絡(luò)的安全性。而當(dāng)這些協(xié)議大規(guī)模使用出現(xiàn)諸多安全漏洞和安全威脅后，不得不采取補(bǔ)救措施，即發(fā)展安全協(xié)議保護(hù)通信的安全，因此IPSec、IKE、TLS等通用的安全協(xié)議應(yīng)運(yùn)而生，并獲得廣泛的應(yīng)用，在充分重視安全重要性后，新的協(xié)議在設(shè)計(jì)過程中就充分考慮安全方面的需要，協(xié)議的安全性成了新的協(xié)議是否被認(rèn)可的重要指標(biāo)．因此新的通信協(xié)議普遍融入了安全技術(shù)，如SIP本身就附帶諸多安全機(jī)制，IPv6本身附帶了必要的安全字段，這種發(fā)展趨勢將會持續(xù)，由此可以預(yù)見，傳統(tǒng)的通用安全協(xié)議應(yīng)用范圍將逐漸縮小，最終消失，取而代之的是所有通信協(xié)議都具備相應(yīng)的安全機(jī)制。

四、總結(jié)

總之，隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)信息安全所面臨的危險(xiǎn)已經(jīng)滲透到社會各個(gè)方面，應(yīng)深刻剖析各種不安全的因素，并采取相應(yīng)的策略，確保網(wǎng)絡(luò)安全。解決信息網(wǎng)絡(luò)安全僅依靠技術(shù)是不夠的，還要結(jié)合管理、法制、政策及教育等手段，將信息網(wǎng)絡(luò)風(fēng)險(xiǎn)降低至最小程度。相信隨著網(wǎng)絡(luò)安全技術(shù)的不斷改進(jìn)和提高，以及各項(xiàng)法律法規(guī)的不斷完善，將能構(gòu)造出更加安全可靠的網(wǎng)絡(luò)防護(hù)體系。

網(wǎng)絡(luò)安全法律制度所要解決的問題，乃是人類進(jìn)入信息社會之后才產(chǎn)生的特殊安全問題。正如為了適應(yīng)時(shí)代所賦予的“正義觀念”必須調(diào)整為“科學(xué)發(fā)展觀”一樣，法律規(guī)范隨著信息社會的發(fā)展也應(yīng)適應(yīng)新的安全問題而作出結(jié)構(gòu)性調(diào)整，以符合時(shí)代賦予的“科學(xué)發(fā)展觀”。

網(wǎng)絡(luò)安全監(jiān)管應(yīng)當(dāng)以“快速反應(yīng)和有效治理”為原則。從信息化發(fā)展的趨勢考察，政府部門職權(quán)的適當(dāng)調(diào)整是網(wǎng)絡(luò)安全監(jiān)管權(quán)力配置的必然選擇。因此，構(gòu)建政府部門之間、政府與社會之間的“信息共享”機(jī)制便成為網(wǎng)絡(luò)安全監(jiān)管法制建設(shè)的重點(diǎn)，應(yīng)當(dāng)注意到，只有政府和企業(yè)、個(gè)人密切配合，才能彌補(bǔ)政府網(wǎng)絡(luò)安全監(jiān)管能力的不足，使其更好地履行職責(zé)，從而實(shí)現(xiàn)保障網(wǎng)絡(luò)安全的戰(zhàn)略目標(biāo)。

參考文獻(xiàn)：

[1]鄭曉妹.信息系統(tǒng)安全模型分析[J]安徽技術(shù)師范學(xué)院學(xué)報(bào),2006,(01).

[2]李雪青.論互聯(lián)網(wǎng)絡(luò)青年道德主體性的失落及其建設(shè)[J]北方工業(yè)大學(xué)學(xué)報(bào),2000,(04).

[3]劉建永,杜婕.指揮控制系統(tǒng)的信息安全要素[J]兵工自動化,2004,(04).

[4]高攀,陳景春./GS選項(xiàng)分析[J]成都信息工程學(xué)院學(xué)報(bào),2005,(03).

[5]劉穎.網(wǎng)絡(luò)安全戰(zhàn)略分析[J]重慶交通學(xué)院學(xué)報(bào)(社會科學(xué)版),2003,(S1).

[6]劉穎.析計(jì)算機(jī)病毒及其防范技術(shù)[J]重慶職業(yè)技術(shù)學(xué)院學(xué)報(bào),2003,(04).

[7]王世明.入侵檢測技術(shù)原理剖析及其應(yīng)用實(shí)例[J]燕山大學(xué)學(xué)報(bào),2004,(04).

篇13

長期以來,人們對保障信息系統(tǒng)安全的手段偏重于依靠技術(shù),從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、漏洞掃描、身份認(rèn)證等等。但事實(shí)上,僅僅依靠安全技術(shù)和安全產(chǎn)品保障信息系統(tǒng)安全的愿望卻往往難盡人意,許多復(fù)雜、多變的安全威脅和隱患靠安全產(chǎn)品是無法消除的。據(jù)有關(guān)部門統(tǒng)計(jì),在所有的計(jì)算機(jī)安全事件中,約有52%是人為因素造成的,25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起,技術(shù)錯誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類,屬于管理方面的原因比重高達(dá)6O%以上,而這些安全問題中的95%是可以通過科學(xué)的信息安全管理來避免。因此,加強(qiáng)安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證,是金融信息系統(tǒng)安全體系建設(shè)的重點(diǎn)。

1安全管理體系構(gòu)建

信息安全源于有效的管理,使技術(shù)發(fā)揮最佳效果的基礎(chǔ)是要有一定的信息安全管理體系,只有在建立防范的基礎(chǔ)上,加強(qiáng)預(yù)警、監(jiān)控和安全反擊,才能使信息系統(tǒng)的安全維持在一個(gè)較高的水平之上。因此,安全管理體系的建設(shè)是確保信息系統(tǒng)安全的重要基礎(chǔ),是金融信息系統(tǒng)安全保障體系建設(shè)最為重要的一環(huán)。為在金融信息系統(tǒng)中建立全新的安全管理機(jī)制,最可行的做法是技術(shù)與管理并重,安全管理法規(guī)、措施和制度與整體安全解決方案相結(jié)合,并輔之以相應(yīng)的安全管理工具,構(gòu)建科學(xué)、合理的安全管理體系。

金融信息系統(tǒng)安全管理體系是在金融信息系統(tǒng)安全保障整體解決方案基礎(chǔ)上構(gòu)建的,它包括信息安全法規(guī)、措施和制度,安全管理平臺及信息安全培訓(xùn)和安全隊(duì)伍建設(shè),其示意圖如圖1所示。

2安全管理平臺

安全管理平臺是通過采用技術(shù)手段實(shí)施金融信息系統(tǒng)安全管理的平臺,它包括安全預(yù)警管理、安全監(jiān)控管理、安全防護(hù)與響應(yīng)管理和安全反擊管理。

2.1安全預(yù)警管理

安全預(yù)警管理的功能由預(yù)警系統(tǒng)實(shí)現(xiàn),通過該系統(tǒng),可以在安全風(fēng)險(xiǎn)動態(tài)威脅和影響金融信息系統(tǒng)前,事先傳送相關(guān)的警示,讓管理員采取主動式的步驟,在安全風(fēng)險(xiǎn)影響運(yùn)作前加以攔阻,從而預(yù)防全網(wǎng)業(yè)務(wù)中斷、效能損失或?qū)ζ涔娦抛u(yù)造成危害,達(dá)到提前保護(hù)自己的作用。安全預(yù)警系統(tǒng)通過追蹤最新的攻擊技術(shù),分析威脅信息以辨識出真正潛在的攻擊,迅速響應(yīng)并提供定制化威脅分析及個(gè)性化的漏洞和惡意代碼告警服務(wù),幫助降低風(fēng)險(xiǎn),防患于未然。

2.2安全監(jiān)控管理

通過安全監(jiān)控功能可以實(shí)時(shí)監(jiān)控金融信息系統(tǒng)的安全態(tài)勢、發(fā)生了哪些攻擊、出現(xiàn)了什么異常、系統(tǒng)存在什么漏洞以及產(chǎn)生了哪些危險(xiǎn)日志等,因此安全監(jiān)控功能對于金融信息系統(tǒng)的安全保障體系來說是至關(guān)重要的。

1)基于實(shí)時(shí)性的安全監(jiān)控。通過在線方式管理金融信息系統(tǒng)中的資源狀態(tài)和實(shí)時(shí)安全事件,及時(shí)關(guān)注IT資源和安全風(fēng)險(xiǎn)的現(xiàn)狀和趨勢,通過實(shí)時(shí)監(jiān)控來提高系統(tǒng)的安全性和IT資源的效能。

2)基于智能化的安全監(jiān)控。利用智能信息處理技術(shù)對信息網(wǎng)絡(luò)中的各種安全事件進(jìn)行智能處理,實(shí)現(xiàn)報(bào)警信息的精煉化,提高報(bào)警信息的可用信息量,降低安全設(shè)備的虛警和誤警,從而有效地提高安全保障系統(tǒng)中報(bào)警信息的可信度。

3)基于可視化的安全監(jiān)控。通過對安全事件分析過程與分析報(bào)告的可視化手段,如圖表/曲線/數(shù)據(jù)表/關(guān)聯(lián)關(guān)系圖等,提供詳細(xì)的入侵攻擊信息乃至重現(xiàn)攻擊場景,實(shí)現(xiàn)對入侵攻擊行為的追蹤,使得對安全事件的分析更為直觀,從而有效提高安全管理人員對于入侵攻擊的監(jiān)控理解,使安全系統(tǒng)的管理更為有效。

4)基于分布式的安全監(jiān)控。通過系統(tǒng)分布式的多級部署方式,可以實(shí)現(xiàn)對金融信息系統(tǒng)內(nèi)各個(gè)子系統(tǒng)的監(jiān)控和綜合分析能力,同時(shí)對不同安全保護(hù)等級的用戶提供相應(yīng)的監(jiān)控界面和信息,從而嚴(yán)格滿足其安全等級劃分的用戶級要求。

2.3安全防護(hù)與響應(yīng)管理

在金融信息系統(tǒng)的安全系統(tǒng)中由于安全的異構(gòu)屬性,因此會采用不同的安全技術(shù)和不同廠家的安全產(chǎn)品來實(shí)現(xiàn)安全防護(hù)的目的。通過安全防護(hù)與響應(yīng)管理可以及時(shí)響應(yīng)和優(yōu)化整個(gè)系統(tǒng)安全防護(hù)策略;最直接的響應(yīng)就是提供多種方式,如報(bào)警燈、窗日、郵件、手機(jī)短信等向安全管理員報(bào)警,然后日志保存在本地?cái)?shù)據(jù)庫或者異地?cái)?shù)據(jù)庫中。

1)優(yōu)化安全策略分析。通過實(shí)時(shí)掌握自身的安全態(tài)勢,及各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)和業(yè)務(wù)系統(tǒng)的處理情況,輸出正常和非法個(gè)性化的安全策略報(bào)表,然后直接通知相應(yīng)的安全管理人員或廠商對其自身策略進(jìn)行優(yōu)化調(diào)整。

2)動態(tài)響應(yīng)策略調(diào)整。通過對各種安全響應(yīng)協(xié)議的支持,如SNMP、TOPSEC、聯(lián)動協(xié)議等,實(shí)現(xiàn)相關(guān)的安全防護(hù)技術(shù)策略的自動交互,同時(shí)通過專家知識庫能從全局的角度去響應(yīng)安全事件很好地解決安全誤報(bào)問題。

3)安全服務(wù)自動協(xié)調(diào)。當(dāng)智能分析和安全定位功能確認(rèn)出安全事件或安全故障時(shí),及時(shí)調(diào)派安全服務(wù)人員小組(或提供安全服務(wù)的供應(yīng)商)進(jìn)行相應(yīng)的安全加固防護(hù)。

2.4安全反擊管理

安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。

1)安全事件的取證管理。取證在網(wǎng)絡(luò)與信息系統(tǒng)安全事件的調(diào)查中是非常有用的工具,通過對系統(tǒng)安全事件的存儲和分析,實(shí)現(xiàn)對安全事件的取證管理,給相關(guān)調(diào)查人員提供安全事件的直接取證。

2)安全事件的追蹤反擊。通過資源狀態(tài)分析、關(guān)聯(lián)分析、專家系統(tǒng)分析等有效手段,檢測到攻擊類型,并定位攻擊源。隨后,系統(tǒng)自動對目標(biāo)進(jìn)行掃描,并將掃描結(jié)果告知安全管理員,并提示安全管理員查詢知識庫,從中提取有效手段對攻擊源進(jìn)行反擊控制。

3安全管理措施建議

在安全管

理技術(shù)手段的基礎(chǔ)上,還要提高安全管理水平。俗話說“三分技術(shù),七分管理”,由于金融信息系統(tǒng)相對比較封閉,對于金融信息系統(tǒng)安全來說,業(yè)務(wù)邏輯和操作規(guī)范的嚴(yán)密程度是關(guān)鍵。因此,加強(qiáng)金融信息系統(tǒng)的內(nèi)部安全管理措施,建立領(lǐng)導(dǎo)組織體系,完善落實(shí)內(nèi)控制度,強(qiáng)化日常操作管理,是提升安全管理水平的根本。

1)完善安全管理機(jī)構(gòu)的建設(shè)。目前,我國已經(jīng)把信息安全提到了促進(jìn)經(jīng)濟(jì)發(fā)展、維護(hù)社會穩(wěn)定、保障國家安全、加強(qiáng)精神文明建設(shè)的高度,并提出了“積極防御、綜合防范”的信息安全管理方針,專門成立了網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)、中國信息安全產(chǎn)品測評認(rèn)證中心(簡稱CNITSEC)等,初步建成了國家信息安全組織保障體系。為確保金融信息系統(tǒng)的安全,在金融信息系統(tǒng)內(nèi)部應(yīng)組建安全管理小組(或委員會),安全管理小組制定出符合企業(yè)需要的信息安全管理策略,具體包括安全管理人員的義務(wù)和職責(zé)、安全配置管理策略、系統(tǒng)連接安全策略、傳輸安全策略、審計(jì)與入侵安全策略、標(biāo)簽策略、病毒防護(hù)策略、安全備份策略、物理安全策略、系統(tǒng)安全評估體系等內(nèi)容。安全管理應(yīng)盡量把各種安全策略要求文檔化和規(guī)范化,以保證安全管理工作具有明確的依據(jù)或參照。

2)在保證信息系統(tǒng)設(shè)備的運(yùn)行穩(wěn)定可靠和信息系統(tǒng)運(yùn)行操作的安全可靠的前提下,增加安全機(jī)制,如進(jìn)行安全域劃分,進(jìn)行有針對性的安全設(shè)備部署和安全策略設(shè)置,以改進(jìn)對重要區(qū)域的分割防護(hù);增加入侵檢測系統(tǒng)、漏洞掃描、違規(guī)外聯(lián)等安全管理工具,進(jìn)行定時(shí)監(jiān)控、事件管理和鑒定分析,以提高自身的動態(tài)防御能力;完善已有的防病毒系統(tǒng)、增加內(nèi)部信息系統(tǒng)的審計(jì)平臺,以便形成對內(nèi)部安全狀況的長期跟蹤和防護(hù)能力。

3)制定一系列必須的信息系統(tǒng)安全管理的法律法規(guī)及安全管理標(biāo)準(zhǔn),狠抓內(nèi)網(wǎng)的用戶管理、行為管理、應(yīng)用管理、內(nèi)容控制以及存儲管理;進(jìn)一步完善互聯(lián)網(wǎng)應(yīng)急響應(yīng)管理措施,對關(guān)鍵設(shè)施或系統(tǒng)制定好應(yīng)急預(yù)案,并定期更新和測試,全面提高預(yù)案制定水平和處理能力;建立一支“信息安全部隊(duì)”,專門負(fù)責(zé)信息網(wǎng)絡(luò)方面安全保障、安全監(jiān)管、安全應(yīng)急和安全威懾方面的工作。

4)堅(jiān)持“防內(nèi)為主,內(nèi)外兼防”的方針,加強(qiáng)登錄身份認(rèn)證,嚴(yán)格限制登錄者的操作權(quán)限,充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能,對用戶所訪問的信息進(jìn)行跟蹤記錄,為系統(tǒng)審計(jì)提供依據(jù)。

5)重視和加強(qiáng)信息安全等級保護(hù)工作,對金融信息系統(tǒng)中的信息實(shí)施一般保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)和強(qiáng)制保護(hù)策略,尤其對重要信息實(shí)施強(qiáng)制保護(hù)和強(qiáng)制性認(rèn)證,以確保金融業(yè)務(wù)信息的安全。