引論：我們?yōu)槟砹?3篇信息安全研究報(bào)告范文，供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源，期望它們能夠激發(fā)您的創(chuàng)作靈感，讓您的文章更具深度。

篇1

對(duì)用戶，賽迪顧問(wèn)對(duì)政府、教育、電信、電力、金融等重點(diǎn)行業(yè)信息安全政策和招投標(biāo)信息進(jìn)行密切跟蹤，并進(jìn)行廣泛的電話訪談。

從市場(chǎng)發(fā)展來(lái)看，信息安全產(chǎn)品市場(chǎng)增長(zhǎng)仍在持續(xù)

2009年，信息安全需求層次逐步從中央向省級(jí)、地市甚至縣級(jí)滲透，從核心業(yè)務(wù)安全監(jiān)控向全面業(yè)務(wù)安全保護(hù)擴(kuò)展，從網(wǎng)絡(luò)實(shí)施階段的安全布置到網(wǎng)絡(luò)運(yùn)行過(guò)程的安全維護(hù)，安全需求正在形成多層次的樹(shù)狀格局，安全市場(chǎng)增長(zhǎng)空間持續(xù)擴(kuò)大，達(dá)到92.94億元，比2008年增長(zhǎng)17.2%。

圖1 2007－2009年中國(guó)信息安全產(chǎn)品市場(chǎng)規(guī)模與增長(zhǎng)

數(shù)據(jù)來(lái)源：賽迪顧問(wèn) 2010，02

從用戶需求來(lái)看，行業(yè)合規(guī)性要求日趨嚴(yán)格，安全產(chǎn)品采購(gòu)不斷升溫

合規(guī)性典型行業(yè)包括政府、銀行和證券。

政府行業(yè)：除等級(jí)保護(hù)和分級(jí)保護(hù)的持續(xù)推動(dòng)外，國(guó)家質(zhì)檢總局、財(cái)政部和國(guó)家認(rèn)監(jiān)委聯(lián)合的《關(guān)于調(diào)整信息安全產(chǎn)品強(qiáng)制性認(rèn)證實(shí)施要求的公告》要求在《政府采購(gòu)法》規(guī)定的范圍內(nèi)對(duì)防火墻、網(wǎng)絡(luò)安全隔離卡與線路選擇器、安全隔離與信息交換產(chǎn)品、安全路由器 、智能卡COS、數(shù)據(jù)備份與恢復(fù)產(chǎn)品、安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)系統(tǒng)、反垃圾郵件產(chǎn)品、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)脆弱性掃描產(chǎn)品、安全審計(jì)產(chǎn)品、網(wǎng)站恢復(fù)產(chǎn)品等十三類產(chǎn)品實(shí)施強(qiáng)制認(rèn)證。

銀行業(yè)：中國(guó)人民銀行為加強(qiáng)網(wǎng)上銀行管理，促進(jìn)網(wǎng)上銀行業(yè)務(wù)健康發(fā)展，有效增強(qiáng)網(wǎng)上銀行系統(tǒng)的信息安全防范能力，于2009年向銀行業(yè)金融機(jī)構(gòu)了《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）》。《規(guī)范》涉及網(wǎng)上銀行系統(tǒng)的技術(shù)、管理和業(yè)務(wù)運(yùn)作三個(gè)方面，分為基本要求和增強(qiáng)要求兩個(gè)層次，基本要求為最低安全要求，增強(qiáng)要求為三年內(nèi)應(yīng)達(dá)到的安全要求。《規(guī)范》將作為網(wǎng)上銀行系統(tǒng)安全建設(shè)、內(nèi)部信息安全檢查和合規(guī)性審計(jì)的依據(jù)，有效防范網(wǎng)上銀行系統(tǒng)風(fēng)險(xiǎn)隱患。

證券行業(yè)：通過(guò)網(wǎng)上進(jìn)行交易的證券期貨公司達(dá)到90%以上，遭受惡意程序攻擊、交易信息在網(wǎng)上泄露、資金盜取等都可能造成無(wú)法挽回的損失。2009年5月31日中國(guó)證監(jiān)會(huì)于了《證券公司分類監(jiān)管規(guī)定》，根據(jù)評(píng)分的高低將證券公司分為5大類11個(gè)級(jí)別，其中第二章第四條明確規(guī)定，信息安全作為重要的評(píng)價(jià)指標(biāo)。另外《證券公司風(fēng)險(xiǎn)管理能力評(píng)價(jià)指標(biāo)與標(biāo)準(zhǔn)》和《證券期貨業(yè)務(wù)信息系統(tǒng)安全檢查貫徹落實(shí)指引》做出了更細(xì)化的規(guī)定，政策性規(guī)范的陸續(xù)推出，表明證券行業(yè)安全建設(shè)步伐正處于 “加速跑”階段，將帶動(dòng)證券企業(yè)對(duì)信息安全產(chǎn)品升級(jí)換代的市場(chǎng)需求，使得“安全”成為證券行業(yè)今后信息化工作的重中之重。

從企業(yè)發(fā)展來(lái)看，企業(yè)走向差異化與整合化發(fā)展

用戶需求開(kāi)始由被動(dòng)向主動(dòng)轉(zhuǎn)型，信息安全從網(wǎng)絡(luò)安全一枝獨(dú)秀逐漸加入應(yīng)用安全、數(shù)據(jù)安全和系統(tǒng)安全的全面支撐。產(chǎn)品類型更加多樣，網(wǎng)絡(luò)邊界、內(nèi)網(wǎng)、服務(wù)器、PC終端、移動(dòng)介質(zhì)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件等軟硬件系統(tǒng)防護(hù)體系全面推進(jìn)，依靠防火墻、IDS和防病毒軟件“老三樣”無(wú)法保障整體安全，使得UTM、IPS、VPN、終端安全管理、安全審計(jì)等新興安全產(chǎn)品及安全服務(wù)有了更大的施展空間。

隨著信息安全多元化發(fā)展趨勢(shì)的日漸明朗，廠商差異化定位也成為了可能。對(duì)于有一定規(guī)模和技術(shù)積累的公司，開(kāi)拓高門檻高利潤(rùn)的新產(chǎn)品或新市場(chǎng)，成為其進(jìn)一步發(fā)展占領(lǐng)競(jìng)爭(zhēng)制高點(diǎn)的必需。特別是東軟、啟明星辰、衛(wèi)士通、天融信等以安全產(chǎn)品與服務(wù)見(jiàn)長(zhǎng)的綜合廠商取得了快速發(fā)展，綜合實(shí)力、服務(wù)水平、人才積累等方面都獲得了很大的提高，并且在差異化競(jìng)爭(zhēng)中各有所長(zhǎng)，使得信息安全行業(yè)呈現(xiàn)百花齊放的發(fā)展局面。

表1 信息安全細(xì)分市場(chǎng)的主要競(jìng)爭(zhēng)者

數(shù)據(jù)來(lái)源：賽迪顧問(wèn) 2010，02

與此同時(shí)，整合也在信息安全行業(yè)悄然展開(kāi)，利用拳頭產(chǎn)品通過(guò)原始積累取得較快發(fā)展的企業(yè)開(kāi)始擴(kuò)充產(chǎn)品線來(lái)提升整體解決方案能力，互補(bǔ)性并購(gòu)成為獲得競(jìng)爭(zhēng)優(yōu)勢(shì)的重要手段，未來(lái)經(jīng)過(guò)不斷的競(jìng)爭(zhēng)、擴(kuò)充、聯(lián)合、兼并和重組，信息安全行業(yè)將向“市場(chǎng)向品牌產(chǎn)品集中，資源向優(yōu)勢(shì)企業(yè)集中，效益向規(guī)模企業(yè)集中”的格局轉(zhuǎn)變，以大公司為核心的行業(yè)鏈整合效應(yīng)加大，且在行業(yè)發(fā)展過(guò)程中的龍頭和主導(dǎo)作用越來(lái)越明顯，龍頭型企業(yè)憑借領(lǐng)先的技術(shù)和產(chǎn)品優(yōu)勢(shì)、強(qiáng)大的研發(fā)能力和人才基礎(chǔ)、卓越的品牌形象、廣泛的客戶網(wǎng)絡(luò)、龐大的資金規(guī)模、豐富的管理經(jīng)驗(yàn)將帶動(dòng)中國(guó)信息安全行業(yè)人才、資金、技術(shù)的積累，在行業(yè)鏈條的主要環(huán)節(jié)形成突破，為中國(guó)信息安全行業(yè)做大做強(qiáng)提供可能。

表2 信息安全行業(yè)并購(gòu)與合作案例

數(shù)據(jù)來(lái)源：賽迪顧問(wèn) 2010，02

附錄1：中國(guó)信息安全產(chǎn)品市場(chǎng)廠商調(diào)研問(wèn)卷節(jié)選

2009年貴公司提供的信息安全產(chǎn)品收入

貴公司2009年信息安全產(chǎn)品主要簽單

篇2

一、嚴(yán)格遵守各項(xiàng)安全保密管理制度

根據(jù)研究院的有關(guān)規(guī)定,*公司根據(jù)自身業(yè)務(wù)情況，已陸續(xù)了一些管理制度：如《公司知識(shí)產(chǎn)權(quán)與保密規(guī)定》，《關(guān)于公司員工退、離（辭）職有關(guān)問(wèn)題的規(guī)定》、《公司計(jì)算機(jī)使用及電子郵箱、網(wǎng)絡(luò)管理規(guī)定》《關(guān)于公司局域網(wǎng)的管理辦法》、《研究報(bào)告四級(jí)質(zhì)量控制體系管理規(guī)定》等等。

公司要求各級(jí)領(lǐng)導(dǎo)和全體員工嚴(yán)格遵守各項(xiàng)安全（保密）管理制度與規(guī)定，加強(qiáng)信息安全保密工作的防范，嚴(yán)格各項(xiàng)工作的業(yè)務(wù)流程，認(rèn)真履行、互相監(jiān)督，及時(shí)發(fā)現(xiàn)并消除隱患。

二、建立健全相關(guān)組織，加強(qiáng)信息安全隊(duì)伍建設(shè)

1、為進(jìn)一步做好信息安全管理工作，加強(qiáng)對(duì)信息安全、保密工作的統(tǒng)一管理，公司于20*年*月成立以執(zhí)行總裁為第一責(zé)任人的*公司安全工作小組和*公司保密工作小組。小組成員包括：財(cái)務(wù)部、人力資源部、項(xiàng)目管理部、品牌市場(chǎng)部、客戶服務(wù)部、知識(shí)管理部、辦公室等職能部門的經(jīng)理和公司各業(yè)務(wù)部門總經(jīng)理及各部門崗位的人員。

2、安全（保密）工作小組成員，負(fù)責(zé)建立健全、貫徹實(shí)施有關(guān)安全（保密）管理制度，組織公司安全（保密）教育和知識(shí)學(xué)習(xí)等項(xiàng)工作。定期組織對(duì)公司安全（保密）工作的監(jiān)督、檢查，及時(shí)解決安全（保密）工作中存在的問(wèn)題。

三、認(rèn)真落實(shí)有關(guān)信息安全（保密）制度，加強(qiáng)信息安全保密工作的管理

1、職能部門郵箱加密。

公司財(cái)務(wù)部、人力資源部、項(xiàng)目管理部等職能部門郵箱全部加密碼，避免通過(guò)郵件泄密。

2、人力資源部：a、所有人事檔案入柜，封存，由專人保管；b、涉及薪酬的文件全部加密。c、與新、老員工簽訂《保密協(xié)議》。協(xié)議中規(guī)定：賽迪顧問(wèn)員工所有研究成果是公司商業(yè)秘密的重要組成部分，其知識(shí)產(chǎn)權(quán)歸公司所有。未經(jīng)批準(zhǔn)，員工不得向外界傳播或提供有關(guān)公司的一切有關(guān)文件及資料，也不得交給無(wú)關(guān)人員，否則應(yīng)賠償公司因此而遭受的一切經(jīng)濟(jì)損失。必要時(shí)，追究其法律責(zé)任。保密條款不因《勞動(dòng)合同書》的終止而失效。d、嚴(yán)格加強(qiáng)對(duì)離職人員的交接流程的管理，細(xì)化員工離職的交接程序，規(guī)定交接時(shí)間。

3、財(cái)務(wù)部門：安裝監(jiān)控?cái)z像頭；每位財(cái)務(wù)人員電腦個(gè)人賬號(hào)均加密。

4、市場(chǎng)部門：加強(qiáng)媒體網(wǎng)站的政審工作。

5、項(xiàng)目管理部：a、每年通過(guò)招標(biāo)的形式確定與供應(yīng)商的合作，并與印刷公司、翻譯公司簽訂保密協(xié)議，以確保外部打印、翻譯的安全。b、報(bào)告發(fā)送采用pdf格式，并設(shè)置開(kāi)啟密碼。c、嚴(yán)格報(bào)告借閱和贈(zèng)送審批手續(xù)。d、要求各部門嚴(yán)格遵守研究報(bào)告四級(jí)質(zhì)量控制體系規(guī)定，加強(qiáng)審核流程的管理。d、要求研究部門嚴(yán)格遵守“研究報(bào)告四級(jí)質(zhì)量控制體系”規(guī)定，加臺(tái)研究報(bào)告的審核流程。

e、合同設(shè)專人管理

6、各業(yè)務(wù)部門：各產(chǎn)業(yè)研究中心、咨詢中心有關(guān)保密的電子資料都由部門總經(jīng)理或項(xiàng)目負(fù)責(zé)人保管或存放，并加鎖。

7、辦公室：a、設(shè)置檔案管理專人保管和借閱審批制度。b、加強(qiáng)辦公區(qū)域的安全防盜管理，增加監(jiān)控?cái)z像裝置。c、為保障公司服務(wù)器的安全，未經(jīng)公司計(jì)算機(jī)系統(tǒng)維護(hù)員同意，不得私自操作服務(wù)器。

*公司信息安全保密工作下一階段需要繼續(xù)完善的地方：

1、進(jìn)一步加強(qiáng)日常對(duì)員工的多種形式的保密培訓(xùn)工作。尤其是強(qiáng)化新員工入職培訓(xùn)。

2、進(jìn)一步細(xì)化員工離職的交接程序，進(jìn)一步嚴(yán)格勞動(dòng)合同的管理。

3、多與各兄弟單位交流，學(xué)習(xí)借鑒先進(jìn)經(jīng)驗(yàn)。

4、財(cái)務(wù)部門、人力資源部門、項(xiàng)目管理部設(shè)置專用打印機(jī)。

5、加強(qiáng)各公司各業(yè)務(wù)部門對(duì)專項(xiàng)咨詢保密工作的管理，并與客戶簽訂《保密協(xié)議》。

篇3

2015年是網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的起步年。網(wǎng)絡(luò)強(qiáng)國(guó)離不開(kāi)自主可控的安全技術(shù)支持，只有實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的前沿技術(shù)和科技水平的趕超，才能實(shí)現(xiàn)關(guān)鍵核心技術(shù)的真正自主可控，才能實(shí)現(xiàn)從戰(zhàn)略層面、實(shí)施層面全局而振的長(zhǎng)策。當(dāng)前，信息網(wǎng)絡(luò)應(yīng)用飛速發(fā)展，技術(shù)創(chuàng)新的步伐越來(lái)越快，云計(jì)算、大數(shù)據(jù)、移動(dòng)網(wǎng)絡(luò)、物聯(lián)網(wǎng)、智能化、三網(wǎng)融合等一系列信息化應(yīng)用新概念、新技術(shù)、新應(yīng)用給信息安全行業(yè)提出新的挑戰(zhàn)。同時(shí)，國(guó)際上網(wǎng)絡(luò)安全技術(shù)事件和政治博弈越來(lái)越激烈和復(fù)雜，“工業(yè)4.0”時(shí)代對(duì)網(wǎng)絡(luò)安全的沖擊來(lái)勢(shì)洶涌。我們需要全民樹(shù)立建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的新理念，并切實(shí)提升國(guó)家第五空間的戰(zhàn)略地位和執(zhí)行力。本次會(huì)議的主題為“科技是建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的基礎(chǔ)”。

二、征文內(nèi)容

1. 關(guān)于提升國(guó)家第五空間的戰(zhàn)略地位和執(zhí)行力的研究

2. 云計(jì)算與云安全

3. 大數(shù)據(jù)及其應(yīng)用中的安全

4. 移動(dòng)網(wǎng)絡(luò)及其信息安全

5. 物聯(lián)網(wǎng)安全

6. 智能化應(yīng)用安全

7. 網(wǎng)絡(luò)監(jiān)測(cè)與監(jiān)管技術(shù)

8. 面對(duì)新形勢(shì)的等級(jí)保護(hù)管理與技術(shù)研究

9. 信息安全應(yīng)急響應(yīng)體系

10. 可信計(jì)算

11. 網(wǎng)絡(luò)可信體系建設(shè)研究

12. 工業(yè)控制系統(tǒng)及基礎(chǔ)設(shè)施的網(wǎng)絡(luò)與信息安全

13. 網(wǎng)絡(luò)與信息系統(tǒng)的內(nèi)容安全

14. 預(yù)防和打擊計(jì)算機(jī)犯罪

15. 網(wǎng)絡(luò)與信息安全法制建設(shè)的研究

16. 重大安全事件的分析報(bào)告與對(duì)策建議

17. 我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的研究成果與訴求

18. 其他有關(guān)網(wǎng)絡(luò)安全和信息化的學(xué)術(shù)成果

凡屬于網(wǎng)絡(luò)安全和信息安全領(lǐng)域的各類學(xué)術(shù)論文、研究報(bào)告和成果介紹均可投稿。

三、征文要求

1. 論文要求主題明確、論據(jù)充分、聯(lián)系實(shí)際、反映信息安全最新研究成果，未曾發(fā)表，篇幅控制在5000字左右。

2. 提倡學(xué)術(shù)民主。鼓勵(lì)新觀點(diǎn)、新概念、新成果、新發(fā)現(xiàn)的發(fā)表和爭(zhēng)鳴。

3. 提倡端正學(xué)風(fēng)、反對(duì)抄襲，將對(duì)投稿的文章進(jìn)行相似性比對(duì)檢查。

4. 文責(zé)自負(fù)。單位和人員投稿應(yīng)先由所在單位進(jìn)行保密審查，通過(guò)后方可投稿。

5. 作者須按計(jì)算機(jī)安全專業(yè)委員會(huì)秘書處統(tǒng)一發(fā)出的論文模版格式排版并如實(shí)填寫投稿表，在截止日期前提交電子版的論文與投稿表。

6、論文模版和投稿表請(qǐng)到計(jì)算機(jī)安全專業(yè)委員會(huì)網(wǎng)站下載，網(wǎng)址是：.cn。

聯(lián)系人：田芳，郝文江

電話：010-88513291，88513292

篇4

1 計(jì)算機(jī)網(wǎng)絡(luò)安全概述

互聯(lián)網(wǎng)的發(fā)展在影響國(guó)家經(jīng)濟(jì)、政治、軍事等各領(lǐng)域的同時(shí)也帶來(lái)安全風(fēng)險(xiǎn)和健康損害，這是由于互聯(lián)網(wǎng)有很大的開(kāi)放性和安全漏洞，不容忽視。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）在京第31次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》（以下簡(jiǎn)稱《報(bào)告》）顯示，我國(guó)在2012年12月底已經(jīng)有5.64億網(wǎng)民，互聯(lián)網(wǎng)普及率為42.1%，而在各項(xiàng)指標(biāo)中，低速增長(zhǎng)的傳統(tǒng)網(wǎng)絡(luò)已被手機(jī)網(wǎng)絡(luò)的增長(zhǎng)速度所超越。其中手機(jī)在電子商務(wù)應(yīng)用和微博用戶方面也有較快增長(zhǎng)。

我國(guó)當(dāng)前寬帶上網(wǎng)人數(shù)和網(wǎng)民數(shù)世界排名第二，僅次美國(guó)，同時(shí)人們開(kāi)始著重關(guān)注互聯(lián)網(wǎng)安全。我國(guó)在全面推進(jìn)信息化戰(zhàn)略部署時(shí)迫切需要研究和推廣相關(guān)技術(shù)來(lái)保證網(wǎng)絡(luò)與信息安全。相關(guān)安全技術(shù)需要網(wǎng)絡(luò)軟件公司和專家的分析和研究，以此推進(jìn)其在國(guó)家網(wǎng)絡(luò)與信息安全領(lǐng)域中的應(yīng)用以及提高我國(guó)的網(wǎng)絡(luò)和信息安全技術(shù)的研究水平。其中相關(guān)技術(shù)包括安全事件檢測(cè)與發(fā)現(xiàn)技術(shù)、蠕蟲(chóng)病毒防范技術(shù)、網(wǎng)絡(luò)應(yīng)用的安全性分析技術(shù)、入侵防御/入侵檢測(cè)技術(shù)、安全事件檢測(cè)與發(fā)現(xiàn)技術(shù)、網(wǎng)絡(luò)模擬與安全評(píng)估技術(shù)等。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全防范的必要性

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，對(duì)網(wǎng)絡(luò)安全的需求越來(lái)越迫切，信息安全、信息技術(shù)也越來(lái)越受國(guó)際社會(huì)的重視。在全球化步伐加快的今天，網(wǎng)絡(luò)信息安全不僅關(guān)系到公民個(gè)人信息安全，也關(guān)系到國(guó)家安全和、社會(huì)穩(wěn)定。結(jié)合全球互聯(lián)網(wǎng)的發(fā)展態(tài)勢(shì)與中國(guó)互聯(lián)網(wǎng)的發(fā)展經(jīng)驗(yàn)，我們對(duì)大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)信息安全問(wèn)題進(jìn)行一個(gè)探討。

現(xiàn)今網(wǎng)絡(luò)傳播發(fā)展有三大背景：市場(chǎng)化、全球化和技術(shù)化。這三大背景影響了傳播的利益格局，讓思想多元化、信息碎片化。而如何在多元化、碎片化的大數(shù)據(jù)時(shí)代尋找客觀意義上的“真實(shí)”、保障網(wǎng)絡(luò)信息安全，是所有專家學(xué)者關(guān)心的問(wèn)題。根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心的《2012年中國(guó)網(wǎng)民信息安全狀況研究報(bào)告》顯示：多年來(lái)，我國(guó)不斷加強(qiáng)網(wǎng)民的信息安全治理，但網(wǎng)絡(luò)信息安全形勢(shì)仍然極為嚴(yán)峻。主要問(wèn)題如下：新型的信息安全事件不斷出現(xiàn)，且迅速向更多網(wǎng)民蔓延；導(dǎo)致信息安全事件的情境日益多樣復(fù)雜化，令網(wǎng)民防不勝防；信息安全所引起的直接經(jīng)濟(jì)損失已達(dá)到較大規(guī)模，接近200億元；發(fā)起信息安全事件的因素已從此前的好奇心理升級(jí)為明顯的逐利性，經(jīng)濟(jì)利益鏈條已然形成；信息安全事件中所涉及的信息類型、危害類型越來(lái)越多，且日益深入涉及網(wǎng)民的隱私，潛在的后果更嚴(yán)重。

根據(jù)調(diào)查及數(shù)據(jù)顯示，我國(guó)有4.2億手機(jī)網(wǎng)民，以18.1%的年增長(zhǎng)率快速增長(zhǎng)，遠(yuǎn)超網(wǎng)民的整體增幅。并且網(wǎng)民中用手機(jī)上網(wǎng)的比例由原來(lái)的69.3%升至74.5%，持續(xù)增長(zhǎng)的現(xiàn)象鞏固了第一大上網(wǎng)終端的地位。相比PC網(wǎng)民（包括臺(tái)式和筆記本電腦），手機(jī)網(wǎng)民的規(guī)模仍具有一定差距。同時(shí)網(wǎng)絡(luò)安全也及其重要。

3 網(wǎng)路信息技術(shù)與信息戰(zhàn)爭(zhēng)

新時(shí)期，信息不再僅僅只是信息，信息也已經(jīng)開(kāi)始成為一種武器。美國(guó)是互聯(lián)網(wǎng)的創(chuàng)始國(guó)家，擁有世界最多的網(wǎng)絡(luò)信息和信息資源，這就是說(shuō)，如果以后要進(jìn)行網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，美國(guó)獲勝的希望遠(yuǎn)遠(yuǎn)高于其他國(guó)家。美國(guó)網(wǎng)絡(luò)監(jiān)視項(xiàng)目泄密者斯諾登在香港接受媒體采訪時(shí)稱，多年來(lái)，美國(guó)政府一直針對(duì)中國(guó)網(wǎng)絡(luò)發(fā)動(dòng)大規(guī)模入侵活動(dòng)。報(bào)道稱，自2009年以來(lái)，美國(guó)已針對(duì)中國(guó)網(wǎng)絡(luò)發(fā)動(dòng)了大規(guī)模的入侵活動(dòng)。攻擊目標(biāo)達(dá)到數(shù)百個(gè)之多，其中還包括學(xué)校。據(jù)悉，美國(guó)政府黑客主要通過(guò)入侵巨型路由器從而一舉入侵成千上萬(wàn)臺(tái)電腦，而不是分別入侵每一臺(tái)電腦。

信息戰(zhàn)爭(zhēng)并不同于網(wǎng)絡(luò)攻擊，雖然可以說(shuō)美國(guó)擁有最先進(jìn)的網(wǎng)絡(luò)攻擊或者說(shuō)黑客監(jiān)控技術(shù)，但對(duì)于如何進(jìn)行網(wǎng)絡(luò)信息監(jiān)管，這對(duì)于包括美國(guó)在內(nèi)的世界多國(guó)來(lái)說(shuō)，都是一個(gè)新領(lǐng)域。如果單從“棱鏡”事件透露出的信息看，美國(guó)不僅需要加強(qiáng)與其他國(guó)家的合作，如何立法保護(hù)信息不被截獲，也需要保護(hù)這些信息不被斯諾登這樣擁有高技術(shù)的人泄露。相信完善網(wǎng)絡(luò)法規(guī)還有很長(zhǎng)的道路要走。

參考文獻(xiàn)：

[1]楊彬.淺析計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)研究及發(fā)展趨勢(shì)[J].科技風(fēng)，2009年20期.

[2]羅濤.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及其對(duì)策[J].中小企業(yè)管理與科技，2010年12期.

[3]張永俠.淺述計(jì)算機(jī)網(wǎng)絡(luò)安全策略[J].科技與生活，2010年13期.

[4]張興東，胡華平，況曉輝，陳輝忠.防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與科學(xué)，2004年04期.

[5]靳攀.互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全管理與防護(hù)策略分析[J].北京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2008年03期.

[6]趙薇娜.網(wǎng)絡(luò)安全技術(shù)與管理措施的探討[J].才智，2008年10期.

篇5

（一）計(jì)算機(jī)及信息網(wǎng)絡(luò)安全意識(shí)不強(qiáng)

由于計(jì)算機(jī)信息技術(shù)高速發(fā)展，計(jì)算機(jī)信息安全策略和技術(shù)也有大的進(jìn)展。設(shè)計(jì)院各種計(jì)算機(jī)應(yīng)用對(duì)信息安全的認(rèn)識(shí)離實(shí)際需要差距較大，對(duì)新出現(xiàn)的信息安全問(wèn)題認(rèn)識(shí)不足。

（二）缺乏統(tǒng)一的信息安全管理規(guī)范

設(shè)計(jì)院雖然對(duì)計(jì)算機(jī)安全一直非常重視，但由于各種原因目前還沒(méi)有一套統(tǒng)一、完善的能夠指導(dǎo)整個(gè)院計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范。

（三）缺乏適應(yīng)電力行業(yè)特點(diǎn)的計(jì)算機(jī)信息安全體系

近幾年來(lái)計(jì)算機(jī)在整個(gè)電力行業(yè)的生產(chǎn)、經(jīng)營(yíng)、管理等方面應(yīng)用越來(lái)越廣，但在計(jì)算機(jī)安全策略、安全技術(shù)和安全措施上投入較少。為保證網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定、高效運(yùn)行，應(yīng)建立一套結(jié)合電力行業(yè)計(jì)算機(jī)應(yīng)用特點(diǎn)的計(jì)算機(jī)信息安全體系。

（四）缺乏預(yù)防各種外部安全攻擊的措施

計(jì)算機(jī)網(wǎng)絡(luò)化使過(guò)去孤立的個(gè)人電腦在聯(lián)成局域網(wǎng)后，面臨巨大的外部安全攻擊。局域網(wǎng)較早的計(jì)算機(jī)系統(tǒng)是NOVELL網(wǎng).并沒(méi)有同外界連接。計(jì)算機(jī)安全只是防止意外破壞或者內(nèi)部人員的安全控制就可以了，但現(xiàn)在要面對(duì)國(guó)際互聯(lián)網(wǎng)上各種安全攻擊，如網(wǎng)絡(luò)病毒和電腦“黑客”等。

二、保證網(wǎng)絡(luò)系統(tǒng)信息安全的對(duì)策

（一）建立信息安全體系結(jié)構(gòu)框架

實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)信息安全.首要的問(wèn)題是時(shí)時(shí)跟蹤分析國(guó)內(nèi)外相關(guān)領(lǐng)域信息安全技術(shù)的發(fā)展和應(yīng)用情況，及時(shí)掌握國(guó)際電力工業(yè)信息安全技術(shù)應(yīng)用發(fā)展動(dòng)向。結(jié)合我國(guó)電力工業(yè)的特點(diǎn)和企業(yè)計(jì)算機(jī)及信息網(wǎng)絡(luò)技術(shù)應(yīng)用的實(shí)際，建立網(wǎng)絡(luò)系統(tǒng)信息安全體系一的總體結(jié)構(gòu)框架和基本結(jié)構(gòu)。完善網(wǎng)絡(luò)系統(tǒng)信息安全體系標(biāo)準(zhǔn)以指導(dǎo)規(guī)范網(wǎng)絡(luò)系統(tǒng)信息安全體系建設(shè)工作。

按信息安全對(duì)網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運(yùn)行、生產(chǎn)經(jīng)營(yíng)和管理及企業(yè)發(fā)展所造成的危害程度，確定計(jì)算機(jī)應(yīng)用系統(tǒng)的安全等級(jí)，制定網(wǎng)絡(luò)系統(tǒng)信息安全控制策略.建立適應(yīng)電力企業(yè)發(fā)展的網(wǎng)絡(luò)系統(tǒng)信息安全體系，利用現(xiàn)代網(wǎng)絡(luò)及信息安全最新技術(shù)，研究故障診斷、處理及系統(tǒng)優(yōu)化管理措施。在不同條件下提供信息安全防范措施。

（二）建立網(wǎng)絡(luò)系統(tǒng)信息安全身份認(rèn)證體系

CA即證書授權(quán)。一個(gè)完整、安全的電子商務(wù)系統(tǒng)必須建立起一個(gè)完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。為保證網(wǎng)絡(luò)系統(tǒng)信息一和安全.應(yīng)建立企業(yè)的CA機(jī)構(gòu)對(duì)企業(yè)員工上網(wǎng)用戶統(tǒng)一身份認(rèn)證和數(shù)字簽名等安全認(rèn)證，對(duì)系統(tǒng)中關(guān)鍵業(yè)務(wù)進(jìn)行安全審計(jì)，并開(kāi)展與銀行之間，上下級(jí)CA機(jī)構(gòu)之間與其他需要CA機(jī)構(gòu)之間的交叉認(rèn)證的技術(shù)研究工作。

（三）建立數(shù)據(jù)備份中心

數(shù)據(jù)備份及災(zāi)難恢復(fù)是信息安全的重要組成部分。理想的備份系統(tǒng)應(yīng)該是全方位、多層次的。硬件系統(tǒng)備份是用來(lái)防止硬件系統(tǒng)故障，使用網(wǎng)絡(luò)存儲(chǔ)備份系統(tǒng)和硬件容錯(cuò)相結(jié)合的方式。可用來(lái)防止軟件故障或人為誤操作造成的數(shù)據(jù)邏輯損壞。這種對(duì)系統(tǒng)的多重保護(hù)措施不僅能防止物理?yè)p壞還能有效地防止邏輯損壞。結(jié)合電力行業(yè)計(jì)算機(jī)應(yīng)用的特點(diǎn)，選擇合理的備份設(shè)備和備份系統(tǒng).在企業(yè)建立數(shù)據(jù)備份中心，根據(jù)其應(yīng)用的特點(diǎn)，制定相應(yīng)的備份策略。

（四）建立網(wǎng)絡(luò)級(jí)計(jì)算機(jī)病毒防范體系

計(jì)算機(jī)病毒是一種進(jìn)行自我復(fù)制、廣泛傳染，對(duì)計(jì)算機(jī)程序及其數(shù)據(jù)進(jìn)行嚴(yán)重破壞的病毒，具有隱蔽性與隨機(jī)性，使用戶防不勝防。設(shè)計(jì)院信息網(wǎng)絡(luò)系統(tǒng)采取在現(xiàn)有網(wǎng)絡(luò)防病毒體系基礎(chǔ)上.加強(qiáng)對(duì)各個(gè)可能被計(jì)算機(jī)病毒侵入的環(huán)節(jié)進(jìn)行病毒防火墻的控制，在計(jì)算中心建立計(jì)算機(jī)病毒管理中心，按其信息網(wǎng)絡(luò)管轄范圍，分級(jí)進(jìn)行防范計(jì)算機(jī)病毒的統(tǒng)一管理。在計(jì)算機(jī)病毒預(yù)防、檢測(cè)和病毒定義碼的分發(fā)等環(huán)節(jié)建立較完善的技術(shù)等級(jí)和管理制度。

（五）建立網(wǎng)絡(luò)系統(tǒng)信息安全監(jiān)測(cè)中心

計(jì)算機(jī)信息系統(tǒng)出現(xiàn)故障或遭受外來(lái)攻擊造成的損失.絕大多數(shù)是由于系統(tǒng)運(yùn)行管理和維護(hù)、系統(tǒng)配置等方面存在缺陷和漏洞，使系統(tǒng)抗干擾能力較差所致。信息安全監(jiān)測(cè)系統(tǒng)可模仿各種黑客的攻擊方法不斷測(cè)試信息網(wǎng)絡(luò)安全漏洞并可將測(cè)出的安全漏洞按照危害程度列表。根據(jù)列表完善系統(tǒng)配置，消除漏洞并可實(shí)現(xiàn)實(shí)時(shí)網(wǎng)絡(luò)違規(guī)、入侵識(shí)別和響應(yīng)。它在敏感數(shù)據(jù)的網(wǎng)絡(luò)上.實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)網(wǎng)絡(luò)訪問(wèn)時(shí)，自動(dòng)根據(jù)制定的安全策略作出相應(yīng)的反映.如實(shí)時(shí)報(bào)警、事件登錄、自動(dòng)截?cái)鄶?shù)據(jù)通訊等。利用網(wǎng)絡(luò)掃描器在網(wǎng)絡(luò)層掃描各種設(shè)備來(lái)發(fā)現(xiàn)安全漏洞.消除網(wǎng)絡(luò)層可能存在的各類隱患。

篇6

360或?qū)l(fā)力企業(yè)級(jí)安全市場(chǎng)

在當(dāng)天的大會(huì)上，360公司董事長(zhǎng)兼CEO周鴻祎發(fā)表主題演講，分享如何以創(chuàng)新方式應(yīng)對(duì)網(wǎng)絡(luò)安全。他指出，在目前終端快速發(fā)展的形勢(shì)下，單純的終端管理軟件已經(jīng)無(wú)法完全有效的防御，在APT（有針對(duì)性的高密度持續(xù)攻擊）和0DAY漏洞的威脅下，未來(lái)企業(yè)安全的發(fā)展趨勢(shì)更多的是依靠云安全與“邊界”來(lái)實(shí)現(xiàn)。

對(duì)于如何應(yīng)對(duì)APT的具體問(wèn)題，周鴻祎指出，傳統(tǒng)的黑名單模式已經(jīng)失效，預(yù)防APT要用白名單，同時(shí)對(duì)未知程序進(jìn)行沙箱或者蜜罐的檢測(cè)，及時(shí)捕獲未知威脅。同時(shí)周鴻祎提出，在他前段時(shí)間去以色列考察期間，發(fā)現(xiàn)未來(lái)的企業(yè)安全趨勢(shì)將是云計(jì)算+大數(shù)據(jù)，采集企業(yè)網(wǎng)絡(luò)流量的完整數(shù)據(jù)然后在云端進(jìn)行建模，再對(duì)異常流量進(jìn)行監(jiān)測(cè)報(bào)警。

神秘產(chǎn)品“360天眼”：周鴻祎介紹，國(guó)外有一家專門做APT防御的公司“FireEye”剛剛上市，美國(guó)國(guó)防部等都在用該公司的產(chǎn)品，大概原理就是在企業(yè)的系統(tǒng)上加載虛擬機(jī)器，任何進(jìn)出客戶系統(tǒng)的數(shù)據(jù)都要經(jīng)過(guò)虛擬機(jī)器，經(jīng)過(guò)層層分析后再將安全流量導(dǎo)出，陰止惡意的數(shù)據(jù)包進(jìn)入客戶系統(tǒng)。同時(shí)周鴻祎提到，360公司已經(jīng)有同類的產(chǎn)品“360天眼”，即企業(yè)全流量偵聽(tīng)和未知威脅捕獲產(chǎn)品，已經(jīng)通過(guò)國(guó)家權(quán)威部門的測(cè)試，產(chǎn)品很快就會(huì)。

移動(dòng)安全：周鴻祎指出，之前很多國(guó)外互聯(lián)網(wǎng)巨頭把給員工發(fā)黑莓手機(jī)當(dāng)成一種很榮耀的福利，但隨著員工用手機(jī)、平板電腦進(jìn)行辦公，BYOD（員工自帶計(jì)算設(shè)備）問(wèn)題也成為了企業(yè)信息安全一個(gè)非常頭疼的問(wèn)題，這個(gè)問(wèn)題也將是未來(lái)安全的一個(gè)大問(wèn)題，360已經(jīng)研發(fā)專門針對(duì)企業(yè)BYOD威脅的移動(dòng)安全產(chǎn)品“天機(jī)”，近期也會(huì)。

網(wǎng)絡(luò)安全是全球性的問(wèn)題

一項(xiàng)統(tǒng)計(jì)數(shù)據(jù)顯示，全球95%的網(wǎng)絡(luò)已經(jīng)被滲透，很多網(wǎng)絡(luò)無(wú)需后門程序就能夠完成攻擊。例如，90%的成功攻擊僅需要基本的技能，85%的攻擊5個(gè)月后才能被發(fā)現(xiàn)，75%的攻擊利用已知公開(kāi)漏洞，而這些漏洞本可以通過(guò)定期修復(fù)來(lái)避免，95%的網(wǎng)絡(luò)攻擊通過(guò)簡(jiǎn)單的修補(bǔ)能夠完成預(yù)防。

國(guó)際資深網(wǎng)絡(luò)安全專家詹姆斯·劉易斯認(rèn)為，網(wǎng)絡(luò)安全是一個(gè)全球性問(wèn)題，各國(guó)在網(wǎng)絡(luò)空間是一個(gè)你中有我、我中有你的“命運(yùn)共同體”。尤其隨著網(wǎng)絡(luò)空間的無(wú)限延伸，原有的安全孤島將不復(fù)存在，脆弱的技術(shù)、網(wǎng)絡(luò)匿名等容易被一些國(guó)家、地區(qū)和個(gè)人為所欲為的利用。因此，要保證用戶不遭受網(wǎng)絡(luò)威脅、建設(shè)安全的網(wǎng)絡(luò)，需要國(guó)際、國(guó)家和企業(yè)共同努力。

針對(duì)一觸即發(fā)的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)和日益增長(zhǎng)的網(wǎng)絡(luò)威脅，詹姆斯·劉易斯卻也表示出了謹(jǐn)慎的樂(lè)觀態(tài)度，他說(shuō)“網(wǎng)絡(luò)空間和互聯(lián)網(wǎng)并不難管制”，國(guó)際社會(huì)正在定義在網(wǎng)絡(luò)空間中負(fù)責(zé)任的行為，目標(biāo)是讓網(wǎng)絡(luò)空間正規(guī)化。

更多的古老漏洞正在被利用

“被惡意程序利用的新漏洞的數(shù)量在2010達(dá)到頂峰，隨后便逐年下降。但這并不是因?yàn)橄到y(tǒng)或軟件更加安全了，而是因?yàn)椋絹?lái)越多的老的漏洞正在被利用。”反病毒測(cè)試機(jī)構(gòu)AV-Test CEO安德烈亞斯·馬克思（Andreas Marx）在大會(huì)上這樣說(shuō)。

AV-Test是全球公認(rèn)的三大反病毒測(cè)試機(jī)構(gòu)之一。馬克思的此次演講主題是《反病毒技術(shù)趨勢(shì)》。馬克思表示，AV-Test平均每天可以收集20萬(wàn)至25萬(wàn)個(gè)新的惡意程序樣本。“當(dāng)我們?cè)谶@里談話的幾分鐘里，已經(jīng)又有幾十個(gè)新的病毒誕生了”。而Windows Shortcut（快捷方式），PDF、Java、Flash、HTML和微軟Office文件是被惡意程序利用最多的文件格式類型， 也是漏洞爆發(fā)的重災(zāi)區(qū)。馬克思甚至調(diào)侃這些文件格式是“麻煩制造者”。

從惡意程序的攻擊方式上來(lái)看，馬克思認(rèn)為，現(xiàn)今絕大多數(shù)的惡意程序都是被用戶手動(dòng)運(yùn)行或激活的，這與前些年惡意程序會(huì)在用戶不知情的情況下自動(dòng)發(fā)動(dòng)攻擊有所不同。

安全重點(diǎn)將轉(zhuǎn)向關(guān)鍵應(yīng)用和數(shù)據(jù)

高德納咨詢公司（Gartner）研究副總裁彼得·福斯特布魯克（Peter Firstbrook）出會(huì)并發(fā)表了“互聯(lián)網(wǎng)新興威脅與挑戰(zhàn)”的主題演講。彼得提出未來(lái)企業(yè)信息安全應(yīng)重新調(diào)整重點(diǎn)，將安全生命周期的焦點(diǎn)放在對(duì)關(guān)鍵應(yīng)用高級(jí)的、有針對(duì)性的APT攻擊防御上。

彼得指出，大數(shù)據(jù)時(shí)代信息泄露的代價(jià)異常高昂，對(duì)企業(yè)而言，重大安全事件將產(chǎn)生難以預(yù)估的經(jīng)濟(jì)損失。LinkedIn、RSA、索尼等公司均曾在重大安全事件中損失過(guò)百萬(wàn)美元。但是，由于數(shù)據(jù)恢復(fù)的經(jīng)濟(jì)成本也在不斷增加，信息及數(shù)據(jù)本身變得尤為重要，傳統(tǒng)以基礎(chǔ)服務(wù)預(yù)防為主的安全策略將面臨失效。

彼得介紹說(shuō)，某權(quán)威調(diào)查機(jī)構(gòu)的調(diào)查結(jié)果顯示，企業(yè)在發(fā)現(xiàn)感染惡意軟件時(shí)與惡意軟件發(fā)起攻擊之間存在243天的時(shí)間，同時(shí)僅有63%的企業(yè)能發(fā)現(xiàn)感染狀況，大多數(shù)企業(yè)在數(shù)據(jù)泄露前甚至都不知道自己被攻擊過(guò)。在企業(yè)信息安全的整個(gè)生命周期里，傳統(tǒng)安全解決方案中最重視的“防護(hù)”環(huán)節(jié)，已不再是重點(diǎn)環(huán)節(jié)，企業(yè)需要更加重視“檢測(cè)”和“策略”環(huán)節(jié)，當(dāng)信息“防護(hù)”出現(xiàn)漏洞時(shí)，或安全策略失效時(shí)，可迅速通過(guò)“檢測(cè)”功能捕獲需要的信息，來(lái)判斷信息的感染程序，并快速反應(yīng)采取補(bǔ)救措施。

最后，彼得強(qiáng)調(diào)，面對(duì)未來(lái)針對(duì)信息本身的惡意攻擊，信息保護(hù)、快速響應(yīng)和情報(bào)共享將成為未來(lái)信息安全策略基礎(chǔ)的重心。他建議，在終端安全方面，企業(yè)應(yīng)增加對(duì)策略的關(guān)注來(lái)預(yù)防惡意軟件感染，同時(shí)加大在信息保護(hù)與信息追蹤方面的投入，減少惡意軟件的停留時(shí)間，將安全重點(diǎn)轉(zhuǎn)向關(guān)鍵應(yīng)用和數(shù)據(jù)的保護(hù)上來(lái)。

《互聯(lián)網(wǎng)時(shí)代的企業(yè)安全發(fā)展趨勢(shì)》報(bào)告出爐

隨著棱鏡門事件的發(fā)酵，國(guó)家級(jí)網(wǎng)絡(luò)安全成為信息領(lǐng)域的一個(gè)焦點(diǎn)話題。國(guó)際著名信息技術(shù)研究分析公司Gartner在ISC上攜手360公司本年度重量級(jí)研究報(bào)告——《互聯(lián)網(wǎng)時(shí)代的企業(yè)安全發(fā)展趨勢(shì)》。報(bào)告中就未來(lái)企業(yè)面臨的安全挑戰(zhàn)，諸如無(wú)法回避的APT（高級(jí)持續(xù)性威脅）攻擊，IT業(yè)對(duì)大多數(shù)用戶消耗設(shè)備或服務(wù)占有率的降低，以及企業(yè)為防范攻擊花費(fèi)的巨額信息安全費(fèi)用等問(wèn)題，進(jìn)行逐一分析。

權(quán)威咨詢公司Gartner研究表明，到2020年，企業(yè)所面臨的安全威脅將會(huì)更加多樣化，不僅僅是企業(yè)資產(chǎn)，員工個(gè)人也可能遭到直接的攻擊。另外，雖然有些企業(yè)采用了統(tǒng)籌協(xié)調(diào)的安全管理，但有些企業(yè)的安全管理仍相對(duì)松散，因此針對(duì)每種不同的具體情況，企業(yè)應(yīng)對(duì)攻擊的響應(yīng)方式也會(huì)有所不同。為此，360公司特與Gartner共同合作，就互聯(lián)網(wǎng)時(shí)代的企業(yè)安全趨勢(shì)撰寫了此《互聯(lián)網(wǎng)時(shí)代的企業(yè)安全發(fā)展趨勢(shì)》研究報(bào)告，希望能夠?qū)Υ髷?shù)據(jù)、云計(jì)算與移動(dòng)互聯(lián)網(wǎng)時(shí)代下，企業(yè)安全面臨的主要挑戰(zhàn)與未來(lái)趨勢(shì)進(jìn)行總結(jié)，并針對(duì)企業(yè)用戶提出具有針對(duì)性的建議。

篇7

公司擁有大量的網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)等高、中、低端備機(jī)，可為高端客戶隨時(shí)提供“災(zāi)備”、緊急救援、備件更換及維修等服務(wù)。同時(shí)公司還向客戶提供IT系統(tǒng)評(píng)估和優(yōu)化等高端現(xiàn)場(chǎng)咨詢服務(wù)。在更高層面的IT管理系統(tǒng)上，公司可以提供自己研發(fā)的國(guó)際上技術(shù)領(lǐng)先的ROCS及CTS產(chǎn)品，可根據(jù)客戶的需要提供全面的系統(tǒng)管理產(chǎn)品，幫助客戶在應(yīng)用和管理上更上一層樓。

在技術(shù)培訓(xùn)方面，公司的培訓(xùn)部能夠提供全面的與網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)管理相關(guān)的全套培訓(xùn)，使得客戶的業(yè)務(wù)水平與網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)使用、網(wǎng)絡(luò)管理達(dá)到最好的匹配。

二、合作單位關(guān)鍵需求

1. 開(kāi)拓網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng)的需求

目前，匯通時(shí)代要以提供一攬子的網(wǎng)絡(luò)設(shè)備解決方案為其主要業(yè)務(wù)，同時(shí)輔以提供業(yè)務(wù)管理系統(tǒng)的業(yè)務(wù)。近年來(lái)，網(wǎng)絡(luò)安全事故頻發(fā)。其中不乏有一些大型的網(wǎng)站安全事故，如2011年的美國(guó)花旗銀行被黑客侵入，21萬(wàn)北美地區(qū)銀行卡用戶的姓名、賬戶、電子郵箱等信息或遭泄露。WEB技術(shù)的廣泛應(yīng)用更將網(wǎng)絡(luò)安全的問(wèn)題推到風(fēng)口浪尖。近年來(lái)，互聯(lián)網(wǎng)滲透率持續(xù)提高，互聯(lián)網(wǎng)商務(wù)化趨勢(shì)明顯，而信息安全形勢(shì)的不斷惡化使得企業(yè)對(duì)于信息安全的投入意愿加強(qiáng)，紛紛將網(wǎng)絡(luò)和計(jì)算機(jī)安全提上日程，也使得行業(yè)發(fā)展面臨前所未有的機(jī)遇。為此，匯通時(shí)代計(jì)劃拓展已有的產(chǎn)品線，為客戶提供與原有硬件設(shè)備可以無(wú)縫對(duì)接的協(xié)同安全系統(tǒng)產(chǎn)品線。

2.對(duì)新興網(wǎng)絡(luò)安全技術(shù)的跟蹤需求

當(dāng)前，正是由于企業(yè)正面臨著比過(guò)去更復(fù)雜的安全威脅，除傳統(tǒng)的黑客攻擊、病毒傳播之外，利用系統(tǒng)漏洞、兼具黑客和病毒特征的蠕蟲(chóng)，也越來(lái)越難以防范。傳統(tǒng)的安全技術(shù)及產(chǎn)品通常只能防御單一威脅。因此，在單一的硬件平臺(tái)下，集成多種安全防護(hù)手段的產(chǎn)品，逐漸受到廣泛的重視。正是基于以上原因，在開(kāi)展產(chǎn)品拓展計(jì)劃之前，匯通時(shí)代希望能系統(tǒng)搜集國(guó)內(nèi)國(guó)外已處于應(yīng)用中的各類網(wǎng)絡(luò)安全技術(shù)及其研究報(bào)告。同時(shí)，互聯(lián)網(wǎng)的發(fā)展永遠(yuǎn)有著不可預(yù)知性。沒(méi)有人能夠預(yù)料互聯(lián)網(wǎng)十年的發(fā)展。如云技術(shù)、統(tǒng)一通信技術(shù)、無(wú)邊界網(wǎng)絡(luò)的蓬勃發(fā)展， 都決定了本產(chǎn)品拓展計(jì)劃必須保持對(duì)新興技術(shù)的高度關(guān)注與持續(xù)跟蹤。

三、解決方案及實(shí)施計(jì)劃

1. 文獻(xiàn)檢索范圍：

國(guó)內(nèi)數(shù)據(jù)庫(kù)及部分網(wǎng)上資源：

數(shù)據(jù)庫(kù)名稱 文檔號(hào) 年限

中國(guó)學(xué)術(shù)會(huì)議論文數(shù)據(jù)庫(kù) CACP 1986-2013

中國(guó)重大科技成果數(shù)據(jù)庫(kù) ZDCG 1981-2013

中國(guó)學(xué)位論文數(shù)據(jù)庫(kù) CDDB 1989-2013

中國(guó)公司企業(yè)產(chǎn)品數(shù)據(jù)庫(kù) CECDB 2013年版

國(guó)家級(jí)新產(chǎn)品數(shù)據(jù)庫(kù) XCP 2013年版

中文科技期刊數(shù)據(jù)庫(kù) 1989-2013

中國(guó)期刊全文數(shù)據(jù)庫(kù) CNKI 1979-2013

中國(guó)科技經(jīng)濟(jì)新聞數(shù)據(jù)庫(kù) 1992-2013

中國(guó)專利數(shù)據(jù)庫(kù) 1985-2013

國(guó)家科技成果網(wǎng)

科學(xué)引文索引 SCI 1999-2013

美國(guó)計(jì)算機(jī)學(xué)會(huì)（ACM）電子期刊及會(huì)議錄

國(guó)研網(wǎng)專題數(shù)據(jù)庫(kù)

中國(guó)企業(yè)產(chǎn)品庫(kù) INSPEC 1898-2013

2. 檢索策略

（1）主題=（網(wǎng)絡(luò)安全 OR 網(wǎng)絡(luò)安全產(chǎn)品） AND 技術(shù)

（2）主題= 防火墻 OR 安全路由器 OR 虛擬專用網(wǎng)（VPN） OR 安全服務(wù)器 OR CA OR PKI OR 用戶認(rèn)證 OR 入侵檢測(cè)（IDS） OR 安全操作系統(tǒng) OR 安全數(shù)據(jù)庫(kù) OR 安全管理中心

四、項(xiàng)目預(yù)期成果

1.特色與創(chuàng)新之處

（1） 首次利用圖書館信息檢索的專業(yè)優(yōu)勢(shì)，嘗試為企業(yè)生產(chǎn)運(yùn)營(yíng)中的問(wèn)題提供專業(yè)的解決思路與參考咨詢；

（2） 綜合利用各類數(shù)據(jù)庫(kù)，涵蓋國(guó)內(nèi)著名數(shù)據(jù)庫(kù)與國(guó)外知名相關(guān)數(shù)據(jù)庫(kù)，提供綜合性的檢索結(jié)果，制定合理的檢索式，確保檢全率與檢準(zhǔn)率；

（3） 拓展了圖書館的工作范圍與工作思路，引領(lǐng)圖書館工作開(kāi)始走出去。

2.成果形式

咨詢報(bào)告：《網(wǎng)絡(luò)安全產(chǎn)品技術(shù)跟蹤報(bào)告》

3.實(shí)施范圍、受益對(duì)象

篇8

信息安全已成為國(guó)家安全、社會(huì)安全和經(jīng)濟(jì)安全的重要組成部分，當(dāng)前仍面臨著巨大壓力和挑戰(zhàn)，培養(yǎng)高素質(zhì)的信息安全人員已刻不容緩[1-2]。我國(guó)信息安全學(xué)科建設(shè)雖然已取得了初步的成果，但與發(fā)達(dá)國(guó)家相比，在各方面還存在很大差距[3]。尤其在實(shí)踐教學(xué)方面，存在指導(dǎo)書針對(duì)性和層次性不強(qiáng)、還沒(méi)有建立專業(yè)技能訓(xùn)練題庫(kù)和考核標(biāo)準(zhǔn)、實(shí)踐教學(xué)管理需要進(jìn)一步完善、資金支持不夠等一些問(wèn)題是普遍現(xiàn)象。如何堅(jiān)持“工程素質(zhì)培養(yǎng)”和“專業(yè)能力訓(xùn)練”并舉，結(jié)合國(guó)內(nèi)外的實(shí)驗(yàn)教學(xué)實(shí)踐，完善信息安全實(shí)踐教學(xué)體系，在實(shí)踐教學(xué)中加強(qiáng)對(duì)學(xué)生摸索能力和創(chuàng)新能力的培養(yǎng)，是亟待解決的一個(gè)關(guān)鍵問(wèn)題。

2003年經(jīng)教育部批準(zhǔn)，桂林電子科技大學(xué)開(kāi)始設(shè)置信息安全本科專業(yè)，并經(jīng)過(guò)充分準(zhǔn)備，于2006年面向全國(guó)招收了首屆58名信息安全專業(yè)本科生。該專業(yè)秉承“厚基礎(chǔ)、重實(shí)踐、提能力、求創(chuàng)新”的教學(xué)理念，依托“廣西可信軟件重點(diǎn)實(shí)驗(yàn)室”、“國(guó)家軟件與集成電路公共服務(wù)平臺(tái)（CSIP）廣西分中心”，以及“無(wú)錫軟通動(dòng)力創(chuàng)新實(shí)踐基地”、“天涯社區(qū)互聯(lián)網(wǎng)項(xiàng)目研發(fā)與運(yùn)營(yíng)創(chuàng)新基地”、“國(guó)信藍(lán)點(diǎn)企業(yè)人才定制實(shí)訓(xùn)平臺(tái)”等，為培養(yǎng)高素質(zhì)的信息安全創(chuàng)新人才，并以國(guó)家特色專業(yè)為建設(shè)目標(biāo)，將教學(xué)與科研緊密結(jié)合，調(diào)整優(yōu)化信息安全專業(yè)教學(xué)體系，開(kāi)展了全方位、多層次的信息安全專業(yè)實(shí)踐教學(xué)模式改革工作，建立了實(shí)踐教學(xué)資源共享機(jī)制，形成了自然科學(xué)與人文科學(xué)結(jié)合、理論培養(yǎng)與技能訓(xùn)練結(jié)合的特色。

1 重視實(shí)訓(xùn)基地建設(shè)工作

信息安全專業(yè)的大量課程與社會(huì)實(shí)踐密切相關(guān)，所以我們一直重視建設(shè)產(chǎn)學(xué)研一體化的信息安全實(shí)訓(xùn)基地，加強(qiáng)與信息產(chǎn)業(yè)部門的合作，為學(xué)生創(chuàng)造到企、事業(yè)單位頂崗實(shí)習(xí)的機(jī)會(huì)，打通學(xué)生與社會(huì)接軌的渠道，使學(xué)生能夠明白真正的社會(huì)需求，使其得到既實(shí)際又規(guī)范的訓(xùn)練。

近年來(lái)，我們加強(qiáng)了創(chuàng)新性實(shí)訓(xùn)基地建設(shè)，包括校內(nèi)固定性和校外流動(dòng)性二類。一方面，持續(xù)完善已有的實(shí)訓(xùn)基地，整合和優(yōu)化資源配置，努力將基地建設(shè)成為培養(yǎng)學(xué)生動(dòng)手能力、形成創(chuàng)新意識(shí)、提升創(chuàng)新能力的中心。另一方面，除了努力開(kāi)辟新的校企合作實(shí)訓(xùn)基地與模式，還利用中央財(cái)政支持地方高校發(fā)展專項(xiàng)資金項(xiàng)目契機(jī)，建設(shè)新的“信息對(duì)抗與網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)”、“信息安全技術(shù)研究中心”等實(shí)訓(xùn)平臺(tái)，進(jìn)一步整合實(shí)驗(yàn)儀器和設(shè)備資源，配置專業(yè)設(shè)計(jì)與分析軟件，加大經(jīng)費(fèi)投入，改善硬件條件，堅(jiān)持教育教學(xué)與生產(chǎn)勞動(dòng)、社會(huì)實(shí)踐相結(jié)合。這樣既能為當(dāng)?shù)卣纳鐣?huì)性工作服務(wù)，也能為學(xué)院建立更廣泛的學(xué)生實(shí)訓(xùn)平臺(tái)服務(wù)，最終為信息安全專業(yè)學(xué)生提供很好的實(shí)踐鍛煉平臺(tái)。

2 培養(yǎng)學(xué)生多層次與多方向的實(shí)踐能力

使學(xué)生通過(guò)分層次和多元化的實(shí)訓(xùn)鍛煉，真正提高處理和解決實(shí)際問(wèn)題的能力，提高信息安全人才的綜合素質(zhì)。在實(shí)踐教學(xué)上按以下層次內(nèi)容建設(shè)。

（1）基礎(chǔ)訓(xùn)練層：主要目的是培養(yǎng)學(xué)生的信息安全基本實(shí)驗(yàn)操作能力，包括網(wǎng)絡(luò)配置型實(shí)驗(yàn)、安全驗(yàn)證型實(shí)驗(yàn)和網(wǎng)絡(luò)診斷型實(shí)驗(yàn)。該層的實(shí)踐教學(xué)目標(biāo)是掌握信息安全核心課程中的設(shè)備操作使用方法，加深鞏固信息安全專業(yè)核心課程有關(guān)內(nèi)容，為后面的專業(yè)課程實(shí)驗(yàn)打好基礎(chǔ)，使學(xué)生具備一般的網(wǎng)絡(luò)信息安全有關(guān)的測(cè)試和配置技術(shù)，熟識(shí)幾種基本的信息安全仿真工具和技術(shù)，對(duì)常用的各類計(jì)算機(jī)網(wǎng)絡(luò)，如NT、Novell、Linux等網(wǎng)絡(luò)與服務(wù)連接、微機(jī)故障排除技術(shù)等能達(dá)到熟練的程度。

（2）綜合設(shè)計(jì)層：主要目的是提高學(xué)生的信息安全系統(tǒng)的綜合設(shè)計(jì)能力和應(yīng)用能力，主要內(nèi)容包括信息安全實(shí)驗(yàn)課程中的課程設(shè)計(jì)、工程設(shè)計(jì)、綜合應(yīng)用開(kāi)發(fā)實(shí)驗(yàn)、加密系統(tǒng)、IDS入侵檢測(cè)系統(tǒng)、防火墻技術(shù)、病毒的防范、黑客攻擊與防范、電子商務(wù)、以及認(rèn)證管理模擬訓(xùn)練、系統(tǒng)仿真和部分畢業(yè)設(shè)計(jì)等。該層的實(shí)踐教學(xué)目標(biāo)是掌握系統(tǒng)綜合設(shè)計(jì)的整體流程，熟悉幾種信息系統(tǒng)開(kāi)發(fā)平臺(tái)，掌握網(wǎng)絡(luò)信息系統(tǒng)安全的設(shè)計(jì)方法、開(kāi)發(fā)和測(cè)試過(guò)程，使學(xué)生具有系統(tǒng)的科學(xué)思維方式，綜合運(yùn)用基礎(chǔ)知識(shí)與專業(yè)知識(shí)的能力。

（3）探索創(chuàng)新層：主要目的是促進(jìn)學(xué)生運(yùn)用綜合實(shí)踐技能進(jìn)行科學(xué)研究和探索的能力，激發(fā)其創(chuàng)新意識(shí)和興趣，激勵(lì)學(xué)生個(gè)性發(fā)展，主要方式包括本科生科研訓(xùn)練課題、研究創(chuàng)新型實(shí)驗(yàn)、各類創(chuàng)新性實(shí)驗(yàn)計(jì)劃、各種研究基金課題、以及各級(jí)信息安全競(jìng)賽或?qū)W科競(jìng)賽等。該層的實(shí)驗(yàn)教學(xué)目標(biāo)是熟悉信息安全主題的探索過(guò)程并掌握科研方法，掌握實(shí)際信息系統(tǒng)的安全原理，使學(xué)生具有撰寫一般科研論文和研究報(bào)告、能夠進(jìn)行學(xué)術(shù)探索性研究與學(xué)術(shù)交流的能力。

以上這種多層次多方向的實(shí)踐教學(xué)平臺(tái)，既加強(qiáng)了信息安全基本技能的訓(xùn)練，又注重綜合能力的提高，還強(qiáng)調(diào)了創(chuàng)新素質(zhì)的培養(yǎng)，能夠滿足并有利于學(xué)生在信息安全理論與技術(shù)方向的個(gè)性化發(fā)展。

3 提高學(xué)生信息安全項(xiàng)目科研創(chuàng)新能力

鼓勵(lì)申報(bào)和實(shí)施各級(jí)大學(xué)生創(chuàng)新性實(shí)驗(yàn)計(jì)劃項(xiàng)目是培養(yǎng)學(xué)生科研實(shí)踐能力和創(chuàng)新能力的重要環(huán)節(jié)。我校于2008年獲教育部批準(zhǔn)成為第二批“國(guó)家大學(xué)生創(chuàng)新性實(shí)驗(yàn)計(jì)劃”項(xiàng)目實(shí)施單位，此外，還有廣西區(qū)級(jí)和校級(jí)大學(xué)生創(chuàng)新性實(shí)驗(yàn)項(xiàng)目，都為信息安全專業(yè)學(xué)生開(kāi)展創(chuàng)新性實(shí)驗(yàn)研究提供了廣泛的途徑和經(jīng)費(fèi)支持，培養(yǎng)了學(xué)生對(duì)學(xué)科前沿、熱點(diǎn)問(wèn)題和亟待解決的問(wèn)題的“提出—研究—解決”的興趣，以及針對(duì)問(wèn)題的辨析和探索求知的能力。截止2012年6月底，由信息安全專業(yè)本科生直接參與或主持的各級(jí)創(chuàng)新性實(shí)驗(yàn)項(xiàng)目已超過(guò)15余項(xiàng)。從實(shí)際效果來(lái)看，經(jīng)歷這些項(xiàng)目申報(bào)、實(shí)施、考核和結(jié)題的本科生的綜合素質(zhì)和科研創(chuàng)新能力均得到了顯著地提高，這些既促進(jìn)了信息安全創(chuàng)新實(shí)踐平臺(tái)的良性發(fā)展，也為選拔優(yōu)秀學(xué)生進(jìn)入教師科研項(xiàng)目、參加各類信息安全競(jìng)賽、評(píng)選優(yōu)秀本科畢業(yè)生和推薦免試研究生等提供了人才資源儲(chǔ)備。

4 結(jié)語(yǔ)

實(shí)踐教學(xué)是信息安全專業(yè)教學(xué)的重要環(huán)節(jié)。通過(guò)多年實(shí)訓(xùn)基地的建設(shè)與探索，桂林電子科技大學(xué)信息安全實(shí)踐教學(xué)平臺(tái)已初步建立，以培養(yǎng)學(xué)生的創(chuàng)新實(shí)踐能力為核心，并融入新的管理思想，充分體現(xiàn)了理論學(xué)習(xí)與實(shí)踐創(chuàng)新的緊密結(jié)合，為培養(yǎng)復(fù)合型、創(chuàng)新型工科類人才提供了新思路，對(duì)深化工科類本科專業(yè)的實(shí)踐教學(xué)改革起到了良好的示范作用。

參考文獻(xiàn)

篇9

1 引言

第三方支付行業(yè)在近幾年迎來(lái)了快速發(fā)展，特別是2011年對(duì)于我國(guó)的第三方支付行業(yè)來(lái)說(shuō)是具有里程碑意義的一年，央行在2011年開(kāi)始頒發(fā)非金融機(jī)構(gòu)支付業(yè)務(wù)許可證，支付許可證的頒發(fā)反映出國(guó)家開(kāi)始從制度政策層面規(guī)范第三方支付行業(yè)的發(fā)展，同時(shí)也對(duì)第三方支付行業(yè)的安全性提出了要求。因此，如何從信息系統(tǒng)安全角度對(duì)諸多第三方支付工具進(jìn)行全面的評(píng)價(jià)，這將對(duì)網(wǎng)上支付以及網(wǎng)絡(luò)購(gòu)物的發(fā)展具有十分重要的現(xiàn)實(shí)意義。

當(dāng)前國(guó)內(nèi)外第三方支付行業(yè)的發(fā)展存在巨大差異，國(guó)外專門針對(duì)第三方支付安全的研究較少，而國(guó)內(nèi)也只是部分學(xué)者在進(jìn)行研究時(shí)內(nèi)容會(huì)涉及到第三方支付的信息安全。趙德志基于項(xiàng)目管理視角對(duì)第三方支付進(jìn)行了風(fēng)險(xiǎn)識(shí)別，認(rèn)為第三方支付系統(tǒng)存在幾種風(fēng)險(xiǎn)，分別是外部風(fēng)險(xiǎn)、組織風(fēng)險(xiǎn)、項(xiàng)目管理風(fēng)險(xiǎn)、技術(shù)管理風(fēng)險(xiǎn)，并對(duì)風(fēng)險(xiǎn)來(lái)源進(jìn)行了細(xì)化，但該研究并未深入對(duì)第三方支付系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行有效評(píng)價(jià)。

以上研究對(duì)第三方支付市場(chǎng)存在的風(fēng)險(xiǎn)進(jìn)行了一定的分析，但上述研究仍存在著一定的不足，主要體現(xiàn)在相關(guān)研究并未從信息安全的角度深入剖析第三方支付平臺(tái)自身支付業(yè)務(wù)流程所可能存在的脆弱性以及防范重點(diǎn)，也沒(méi)有對(duì)第三方支付進(jìn)行流程再造提出相關(guān)建議，因此對(duì)于第三方支付安全事件的發(fā)生無(wú)法起到實(shí)質(zhì)性的遏制，本文將從信息安全風(fēng)險(xiǎn)評(píng)估的角度對(duì)第三方支付系統(tǒng)進(jìn)行深入研究。

下文將基于對(duì)第三方支付平臺(tái)的一般支付流程和相關(guān)案例的定性分析，運(yùn)用威脅樹(shù)方法學(xué)，構(gòu)建針對(duì)第三方支付的威脅樹(shù)分析模型，并基于德?tīng)柗品ㄟx擇當(dāng)前主流第三方支付平臺(tái)進(jìn)行信息安全評(píng)估，從而為用戶從安全視角對(duì)第三方支付平臺(tái)進(jìn)行選擇提供參考依據(jù)。

2 威脅樹(shù)模型

2.1 威脅樹(shù)定義及基本結(jié)構(gòu)

2.2 威脅樹(shù)的修剪

一個(gè)威脅的實(shí)現(xiàn)需要威脅即攻擊者具有一定級(jí)別的能力。攻擊者取決于下列因素：攻擊成本、專門技術(shù)知識(shí)或工具、被逮捕和懲罰的概率等。葉子結(jié)點(diǎn)的指標(biāo)值由分析者直接輸入，數(shù)據(jù)來(lái)源可以是調(diào)研數(shù)據(jù)，歷史事件資料以及方法評(píng)估獲取，非葉子結(jié)點(diǎn)通過(guò)指標(biāo)函數(shù)獲取，根據(jù)并聯(lián)關(guān)系和串聯(lián)關(guān)系的不同而不同。可以根據(jù)結(jié)點(diǎn)某一指標(biāo)作為閾值對(duì)威脅樹(shù)進(jìn)行修剪，“剪去”所有超過(guò)或低于某一閾值的路徑，修剪過(guò)的樹(shù)的集合（可以認(rèn)為是圖形的覆蓋圖）代表著所有威脅可能使用的可行的威脅完全集，從攻擊的角度來(lái)講是一個(gè)可行的攻擊集，也就是最小威脅樹(shù)。從預(yù)防的角度講，是采取安全策略時(shí)應(yīng)重點(diǎn)考慮的。

3 威脅樹(shù)模型

3.1 基于威脅樹(shù)的第三方支付系統(tǒng)信息安全評(píng)價(jià)模型構(gòu)建

通過(guò)第三方支付業(yè)務(wù)流程以及對(duì)收集到的大量安全事件的定性分析，第三方支付系統(tǒng)信息安全事件的典型特征有幾點(diǎn)：

1）第三方支付系統(tǒng)面臨的最大風(fēng)險(xiǎn)是賬戶操作過(guò)程中的可支付余額；

2）第三方支付系統(tǒng)安全事件的發(fā)生一般是該兩項(xiàng)密碼通過(guò)各種手段如釣魚(yú)網(wǎng)站、促銷信息、升級(jí)提醒等手段被盜取；

3）某些木馬病毒如支付寶大盜、浮云木馬病毒，在支付環(huán)節(jié)通過(guò)篡改支付協(xié)議交換過(guò)程中的付款賬戶和金額等方式實(shí)現(xiàn)更具隱蔽性盜取；

4）部分案例顯示數(shù)字證書可以通過(guò)一定手段繞過(guò)從而盜取用戶資金，此環(huán)節(jié)可能存在重大安全隱患。

因此，根據(jù)威脅樹(shù)方法學(xué)，可得到以下第三方支付的威脅樹(shù)分析模型。

a） 第三方支付系統(tǒng)威脅樹(shù)的修剪

根據(jù)威脅樹(shù)方法學(xué)，可以通過(guò)某種指標(biāo)比如攻擊成本、攻擊能力、成功概率等對(duì)威脅樹(shù)進(jìn)行修剪，本文擬采取德?tīng)柗品ǖ男问剑?qǐng)相關(guān)業(yè)內(nèi)專家針對(duì)威脅攻擊系統(tǒng)的可能性進(jìn)行打分，從而對(duì)第三方支付系統(tǒng)的威脅樹(shù)進(jìn)行修剪，具體實(shí)施將在下文討論。

4 第三方支付系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施

根據(jù)易觀國(guó)際的最新數(shù)據(jù)顯示，本文擬選取兩個(gè)典型的第三方支付工具，支付寶和快錢進(jìn)行對(duì)比分析。

5 第三方支付平臺(tái)的風(fēng)險(xiǎn)管理

結(jié)合上述兩個(gè)具體的第三方支付工具的最小威脅樹(shù)，提出若干風(fēng)險(xiǎn)管理建議。

第一，加強(qiáng)用戶操作的主體性認(rèn)證，增加實(shí)時(shí)性主體認(rèn)證手段，如手機(jī)短信，動(dòng)態(tài)口令等手段。特別改變賬戶操作僅依靠密碼進(jìn)行的流程，從而增強(qiáng)安全性；目前一些主流的第三方支付工具，僅在安裝數(shù)字證書，快捷支付等情況下才使用手機(jī)驗(yàn)證碼，因此建議在轉(zhuǎn)賬、更換手機(jī)、提現(xiàn)等操作關(guān)鍵操作時(shí)，額外增加實(shí)時(shí)身份驗(yàn)證手段。

第二，針對(duì)數(shù)字證書用戶，應(yīng)加強(qiáng)對(duì)數(shù)字證書申請(qǐng)、取消環(huán)節(jié)的管理，進(jìn)行必要的身份認(rèn)證；并且建議增加對(duì)賬戶登錄、異地操作的實(shí)時(shí)提醒，以提高賬戶的安全性，而此種服務(wù)目前多數(shù)第三方支付工具尚未提供。

第三，加強(qiáng)對(duì)用戶的教育，提醒用戶識(shí)別常用的詐騙手段，如圖5中所示的“防冒客服”以及“短信升級(jí)”等手段。

6 結(jié)束語(yǔ)

本文運(yùn)用威脅樹(shù)分析模型對(duì)第三方支付系統(tǒng)的安全性進(jìn)行了全面評(píng)估，并選擇當(dāng)前主流的第三方支付平臺(tái)進(jìn)行的評(píng)估實(shí)施，并基于評(píng)估提出了針對(duì)性的安全建議和對(duì)策，從而為用戶識(shí)別和選擇第三方支付工具提供了一定的參考依據(jù)。本文的數(shù)據(jù)采用德?tīng)柗品ǐ@取，該方法存在著一定的主觀性，是未來(lái)研究應(yīng)當(dāng)著力改進(jìn)的地方。

參考文獻(xiàn)

[1] 中國(guó)互聯(lián)網(wǎng)絡(luò)研究中心.中國(guó)網(wǎng)絡(luò)支付安全狀況報(bào)告[Z].北京，2012.

[2] 金山網(wǎng)絡(luò)公司.2011-2012中國(guó)互聯(lián)網(wǎng)安全研究報(bào)告[Z].

[3] 中國(guó)人民銀行.《支付機(jī)構(gòu)互聯(lián)網(wǎng)支付業(yè)務(wù)管理辦法》征求意見(jiàn)稿[R]，2012.

[4] 趙德志.第三方支付公司的發(fā)展與風(fēng)險(xiǎn)研究[D].北京：北京郵電大學(xué)，2007.

[5] GB/T 20984-2007 信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].2007.

[6] 王孝良，崔保紅，李思其.關(guān)于工控系統(tǒng)信息安全的思考與建議[J].信息網(wǎng)絡(luò)安全，2012，（08）： 36-37..

[7] 許春，李濤，陳興蜀，劉念，楊進(jìn).危險(xiǎn)信號(hào)在實(shí)時(shí)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用[J].電子科技大學(xué)學(xué)報(bào)，2007， （S3）：74-77.

[8] 李良.中國(guó)電子銀行風(fēng)險(xiǎn)評(píng)估研究[D].大連：大連理工大學(xué)，2010.

[9] 曹子建，趙宇峰，容曉峰.網(wǎng)絡(luò)入侵檢測(cè)與防火墻聯(lián)動(dòng)平臺(tái)設(shè)計(jì)[J].信息網(wǎng)絡(luò)安全，2012，（09）：12-14.

[10] Schneier B."Attack Trees"，Secrets and Lies[M].New York：John Wiley and Sons，2000：318-333.

基金項(xiàng)目：

篇10

Zhang Jian li Ding-bo

（Hainan University,College of Information Science and Technology HainanHaikou 570228)

【 Abstract 】 Currently，The piratic phenomenon of electronic information product is serious, in order to solve this problem, we have developed a new type of digital information security transmission platform, which is based on two patented technologies of professor Gu Jian in Information Institute of Hainan University, the detailed name of two patents are" complexity controllable in any period to meet the public random sequence system and method" and" the same channel independent authorization digital information safety transmission method and system". The platform plays the very good protective function on copyright.

【 Keywords 】 piracy; information; safety; platform

1 引言

2009年，中國(guó)電子信息產(chǎn)業(yè)市場(chǎng)規(guī)模已達(dá)5368億元，隨著數(shù)字內(nèi)容在各地的深入建設(shè)，諾達(dá)咨詢《2010年中國(guó)數(shù)字內(nèi)容產(chǎn)業(yè)研究報(bào)告》預(yù)計(jì)，2010年中國(guó)電子信息產(chǎn)業(yè)規(guī)模有望達(dá)到6350億元而再創(chuàng)新高。根據(jù)艾瑞咨詢最新統(tǒng)計(jì)的數(shù)據(jù)顯示，2011年第三季度中國(guó)網(wǎng)絡(luò)經(jīng)濟(jì)整體規(guī)模達(dá)到716.1億元，環(huán)比上漲17.1%，同比上漲72.7%。

然而在網(wǎng)絡(luò)經(jīng)濟(jì)在高速發(fā)展的今天，網(wǎng)絡(luò)數(shù)字信息產(chǎn)品的版權(quán)保護(hù)面臨著巨大的壓力，每年因?yàn)閿?shù)字信息盜版產(chǎn)生巨大的經(jīng)濟(jì)損失。相關(guān)統(tǒng)計(jì)顯示，盜版網(wǎng)絡(luò)文學(xué)造成的每年損失約40億—60億元，數(shù)字音樂(lè)每年因盜版損失上百億元。

為了解決上述互聯(lián)網(wǎng)上電子信息產(chǎn)品盜版泛濫問(wèn)題，這里我們提出一套解決方案，建造一個(gè)保護(hù)電子信息產(chǎn)品版權(quán)的新型數(shù)字信息安全傳播平臺(tái)，專門為保護(hù)電子信息產(chǎn)品版權(quán)提供一套系統(tǒng)化規(guī)避盜版的方法。

2 平臺(tái)概述

首先，通過(guò)與數(shù)字信息產(chǎn)品（文檔、圖片、視頻、音頻）版權(quán)所有者合作，取得獨(dú)家授權(quán)。

其次對(duì)數(shù)字信息產(chǎn)品進(jìn)行加密處理，然后將經(jīng)過(guò)加密的產(chǎn)品上傳至平臺(tái)網(wǎng)站。用戶可以通過(guò)該網(wǎng)站免費(fèi)下載所需要的數(shù)字信息產(chǎn)品并向平臺(tái)服務(wù)器申請(qǐng)獲取產(chǎn)品的唯一解密授權(quán)碼，而后與相應(yīng)的硬件加密設(shè)備結(jié)合解密后，使用該產(chǎn)品。其中，具體授權(quán)過(guò)程可描述為：依據(jù)客戶需求，授權(quán)可以對(duì)一個(gè)產(chǎn)品終生授權(quán)使用，也可以授權(quán)一次、或有限次數(shù)、或一段時(shí)間內(nèi)、或固定時(shí)段內(nèi)使用。

當(dāng)然，產(chǎn)品因加密的原因，只可能在新型數(shù)字信息安全傳播平臺(tái)專用的播放設(shè)備(簡(jiǎn)稱播放設(shè)備)上，并且在授權(quán)碼的控制下使用。這會(huì)降低靈活性，但在安全性方面是過(guò)硬的。

新型數(shù)字信息安全傳播平臺(tái)的授權(quán)碼，是一對(duì)一的，即每一個(gè)授權(quán)碼都只對(duì)應(yīng)一臺(tái)播放設(shè)備和一個(gè)產(chǎn)品，在其他播放設(shè)備和產(chǎn)品上這個(gè)授權(quán)碼是無(wú)效的，播放設(shè)備是全球惟一編號(hào)的，任意一臺(tái)播放設(shè)備的編號(hào)都不與其他設(shè)備重復(fù)，并安全存儲(chǔ)于安全模塊中，且在播放時(shí)參與解密工作。依據(jù)這些技術(shù)，平臺(tái)能保證凡是經(jīng)過(guò)我們平臺(tái)處理并投放市場(chǎng)的數(shù)字產(chǎn)品無(wú)盜版發(fā)生或者即使發(fā)生盜版也可以迅速發(fā)現(xiàn)盜版源頭并予以追究法律責(zé)任。

3 技術(shù)背景

篇11

* 韓國(guó)SK通信的信息外泄事件影響南韓35萬(wàn)使用者，趨勢(shì)科技發(fā)現(xiàn)一只名為BKDR_SOGU.A的后門程式與此信息你外泄事件有關(guān)。此惡意程序讀取存于被感染系統(tǒng)中的資料庫(kù)，并接收來(lái)自網(wǎng)絡(luò)犯罪者遠(yuǎn)端發(fā)送的命令至被感染的系統(tǒng)，影響信息安全。

* 趨勢(shì)科技發(fā)現(xiàn)osCommerce，這一全世界非常受歡迎的開(kāi)放原始碼免費(fèi)購(gòu)物車程序上的漏洞，導(dǎo)致約九萬(wàn)個(gè)網(wǎng)頁(yè)已被植入惡意程序框架 (iframe)。

* Google 已超越 Microsoft 成為軟件漏洞通報(bào)數(shù)量最多的廠商，本季共有 82 個(gè)，這主要是因?yàn)槠占奥蚀笤龅?Chrome 瀏覽器所存在的漏洞所致。排名第二的是 Oracle，共 63 個(gè)，Microsoft 則降到第三名，共 58 個(gè)。

* 趨勢(shì)科技威脅分析師發(fā)現(xiàn)一種新的 DroidDreamLight 惡意程序變種，此變種具備更強(qiáng)大的功能和危險(xiǎn)性。該變種會(huì)偽裝成電池電量監(jiān)控程式，或是可查看執(zhí)行中程式的系統(tǒng)工具，宣稱可讓使用者查看 Android 系統(tǒng)已安裝應(yīng)用程式所需使用的權(quán)限，這個(gè)新的 Android 惡意程式在中文第三方應(yīng)用程式商店上隨處可見(jiàn)。

* 今年 7 月前半月，趨勢(shì)科技研究人員發(fā)現(xiàn)一個(gè)專門以提供免費(fèi) Google+ 社交網(wǎng)絡(luò)試用邀請(qǐng)函為由，引誘使用者點(diǎn)選惡意連結(jié)的網(wǎng)頁(yè)。使用者點(diǎn)選之后，并不會(huì)收到邀請(qǐng)函，反而是獲得所謂參加問(wèn)卷調(diào)查的「機(jī)會(huì)，此「機(jī)會(huì)讓使用者陷于個(gè)人資料外泄的危險(xiǎn)當(dāng)中。

* 此外，LinkedIn 的使用者也同樣遭遇宣稱提供小賈斯汀 (Justin Bieber) 影片的惡意連結(jié)，此連結(jié)將使用者重新導(dǎo)至惡意網(wǎng)站。

重大信息安全斬獲

篇12

國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法的目的

出臺(tái)管理辦法力求通過(guò)對(duì)重要環(huán)節(jié)的嚴(yán)格把握，對(duì)需求分析、資源共享、招標(biāo)投標(biāo)等關(guān)鍵點(diǎn)實(shí)行有效控制，努力做到需求不清的項(xiàng)目不批，貪大求洋的項(xiàng)目不批，做不到互聯(lián)共享的項(xiàng)目不批，提高電子政務(wù)工程質(zhì)量，發(fā)揮國(guó)家投資效益，實(shí)現(xiàn)電子政務(wù)工程建設(shè)的總體目標(biāo)。

出臺(tái)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法的原因

出臺(tái)電子政務(wù)工程建設(shè)項(xiàng)目管理辦法首先是扎實(shí)推進(jìn)電子政務(wù)發(fā)展的需要。《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見(jiàn)》后，我國(guó)政務(wù)信息化建設(shè)取得重大進(jìn)展，作用日益顯著，已經(jīng)步入了資源共享、業(yè)務(wù)協(xié)同的發(fā)展階段。但也存在一些迫切需要解決的突出問(wèn)題，嚴(yán)重制約了電子政務(wù)的健康有序發(fā)展。因此，需要通過(guò)制定管理辦法來(lái)明確立項(xiàng)規(guī)則，強(qiáng)化項(xiàng)目管理，約束政府投資行為，遏制盲目建設(shè)風(fēng)潮。

其次，是規(guī)范審批程序和要求的需要。項(xiàng)目審批時(shí)間過(guò)長(zhǎng)是目前項(xiàng)目建設(shè)單位普遍反映的突出問(wèn)題，通過(guò)研究，我們發(fā)現(xiàn)最主要的是項(xiàng)目建設(shè)單位不能在規(guī)定期限內(nèi)提出符合審批要求的立項(xiàng)或可研報(bào)告，許多時(shí)間被用在對(duì)項(xiàng)目方案的反復(fù)討論、調(diào)整和修改中。這其中雖有申報(bào)部門缺乏項(xiàng)目組織經(jīng)驗(yàn)，申報(bào)、審批部門間缺少有效溝通等方面的原因，但很大程度上是由于規(guī)則不清、程序不明造成的。因此，有效解決政務(wù)信息化項(xiàng)目審批時(shí)間長(zhǎng)的矛盾，必須從制定管理辦法、規(guī)范審批程序、明晰審批規(guī)則、改善審批服務(wù)這一關(guān)鍵環(huán)節(jié)入手。

第三，是強(qiáng)化政務(wù)信息化項(xiàng)目管理的需要。電子政務(wù)工程與傳統(tǒng)基礎(chǔ)設(shè)施項(xiàng)目有著完全不同的建設(shè)管理特點(diǎn)和規(guī)律。電子政務(wù)工程從任務(wù)提出到建設(shè)、營(yíng)運(yùn)，目前均為同一政務(wù)部門，項(xiàng)目建設(shè)后能否發(fā)揮應(yīng)有效益，取決于政務(wù)需求的挖掘深度和現(xiàn)行法規(guī)、管理體制對(duì)系統(tǒng)的支持程度。因此，需要有比普通基建項(xiàng)目更為嚴(yán)格的制約和管理機(jī)制，做好立項(xiàng)前的咨詢服務(wù)尤其重要。

國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法的主要內(nèi)容

管理辦法分為正文和附件兩大部分。其中，正文共九章三十八條，主要是對(duì)國(guó)家電子政務(wù)工程的項(xiàng)目審批管理、建設(shè)管理、資金管理、監(jiān)督管理、驗(yàn)收評(píng)價(jià)管理、運(yùn)行管理等重要環(huán)節(jié)的程序和管理進(jìn)行規(guī)范，對(duì)項(xiàng)目建設(shè)主體和審理、監(jiān)管部門的責(zé)任、權(quán)力做出明確規(guī)定。管理辦法有四個(gè)附件，均是項(xiàng)目實(shí)施過(guò)程中的操作性規(guī)定，包括：項(xiàng)目建議書編制大綱、可行性研究報(bào)告編制大綱、初步設(shè)計(jì)及概算報(bào)告編制大綱、項(xiàng)目驗(yàn)收大綱。管理辦法中對(duì)國(guó)家電子政務(wù)工程全過(guò)程進(jìn)行了規(guī)范，具體解讀如下：

什么是國(guó)家電子政務(wù)工程

第二條 使用中央財(cái)政性資金的國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目（以下簡(jiǎn)稱“電子政務(wù)項(xiàng)目”）。

第三條 本辦法所稱電子政務(wù)項(xiàng)目主要是指：國(guó)家統(tǒng)一電子政務(wù)網(wǎng)絡(luò)、國(guó)家重點(diǎn)業(yè)務(wù)信息系統(tǒng)、國(guó)家基礎(chǔ)信息庫(kù)、國(guó)家電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系相關(guān)基礎(chǔ)設(shè)施、國(guó)家電子政務(wù)標(biāo)準(zhǔn)化體系和電子政務(wù)相關(guān)支撐體系等建設(shè)項(xiàng)目。

國(guó)家電子政務(wù)工程涉及的部門及分工

項(xiàng)目建設(shè)單位：中央政務(wù)部門和參與國(guó)家電子政務(wù)項(xiàng)目建設(shè)的地方政務(wù)部門。

項(xiàng)目建設(shè)單位職責(zé)：負(fù)責(zé)提出電子政務(wù)項(xiàng)目的申請(qǐng)，組織或參與電子政務(wù)項(xiàng)目的設(shè)計(jì)、建設(shè)和運(yùn)行維護(hù)。

項(xiàng)目審批部門：國(guó)家發(fā)展改革委員會(huì)。

項(xiàng)目審批部門職責(zé)：負(fù)責(zé)國(guó)家電子政務(wù)建設(shè)規(guī)劃的編制和電子政務(wù)項(xiàng)目的審批，會(huì)同有關(guān)部門對(duì)電子政務(wù)項(xiàng)目實(shí)施監(jiān)督管理。

國(guó)家電子政務(wù)工程的約束

國(guó)家電子政務(wù)工程須嚴(yán)格執(zhí)行項(xiàng)目的建設(shè)流程和驗(yàn)收流程。

建設(shè)流程應(yīng)包括：申報(bào)和審批管理、建設(shè)管理、資金管理、監(jiān)督管理、驗(yàn)收評(píng)價(jià)管理和運(yùn)行管理。

驗(yàn)收流程應(yīng)包括：初步驗(yàn)收（初驗(yàn)前可組織分項(xiàng)驗(yàn)收或?qū)ｍ?xiàng)驗(yàn)收）、竣工驗(yàn)收和工程后評(píng)價(jià)。

國(guó)家電子政務(wù)工程的申報(bào)和審批

第六條 項(xiàng)目建設(shè)單位應(yīng)依據(jù)中央和國(guó)務(wù)院的有關(guān)文件規(guī)定和國(guó)家電子政務(wù)建設(shè)規(guī)劃，研究提出電子政務(wù)項(xiàng)目的立項(xiàng)申請(qǐng)　。

第七條 電子政務(wù)項(xiàng)目原則上包括以下審批環(huán)節(jié)：項(xiàng)目建議書、可行性研究報(bào)告、初步設(shè)計(jì)方案和投資概算。對(duì)總投資在3000萬(wàn)元以下及特殊情況的，可簡(jiǎn)化為審批項(xiàng)目可行性研究報(bào)告（代項(xiàng)目建議書）、初步設(shè)計(jì)方案和投資概算。

申報(bào)：建設(shè)單位提出立項(xiàng)申請(qǐng)。

審批環(huán)節(jié)：項(xiàng)目建議書、可行性研究報(bào)告、初步設(shè)計(jì)方案和投資概算，其中，項(xiàng)目建議書不屬于必需環(huán)節(jié)，即在一定條件下，可省略該步驟。同時(shí)，初步設(shè)計(jì)方案和投資概算是同步申報(bào)內(nèi)容，不是先后關(guān)系。

第十三條 項(xiàng)目審批部門對(duì)電子政務(wù)項(xiàng)目的

項(xiàng)目建議書、可行性研究報(bào)告、初步設(shè)計(jì)方案和投資概算的批復(fù)文件是項(xiàng)目建設(shè)的主要依據(jù)。批復(fù)中核定的建設(shè)內(nèi)容、規(guī)模、標(biāo)準(zhǔn)、總投資概算和其他控制指標(biāo)原則上應(yīng)嚴(yán)格遵守。

項(xiàng)目可行性研究報(bào)告的編制內(nèi)容與項(xiàng)目建議書批復(fù)內(nèi)容有重大變更的，應(yīng)重新報(bào)批項(xiàng)目建議書。項(xiàng)目初步設(shè)計(jì)方案和投資概算報(bào)告的編制內(nèi)容與項(xiàng)目可行性研究報(bào)告批復(fù)內(nèi)容有重大變更或變更投資超出已批復(fù)總投資額度百分之十的，應(yīng)重新報(bào)批可行性研究報(bào)告。項(xiàng)目初步設(shè)計(jì)方案和投資概算報(bào)告的編制內(nèi)容與項(xiàng)目可行性研究報(bào)告批復(fù)內(nèi)容有少量調(diào)整且其調(diào)整內(nèi)容未超出已批復(fù)總投資額度百分之十的，需在提交項(xiàng)目初步設(shè)計(jì)方案和投資概算報(bào)告時(shí)以獨(dú)立章節(jié)對(duì)調(diào)整部分進(jìn)行定量補(bǔ)充說(shuō)明。

調(diào)整額度：超過(guò)10％與未超10％的操作環(huán)節(jié)截然不同。未超過(guò)，則只需在初設(shè)報(bào)告中單列章節(jié)說(shuō)明調(diào)整情況，如超過(guò)，則必須重新申報(bào)項(xiàng)目可研，一般此審批時(shí)間會(huì)較長(zhǎng)。

國(guó)家電子政務(wù)工程的建設(shè)管理

第十六條 電子政務(wù)項(xiàng)目采購(gòu)貨物、工程和服務(wù)應(yīng)按照《中華人民共和國(guó)招標(biāo)投標(biāo)法》和《中華人民共和國(guó)政府采購(gòu)法》的有關(guān)規(guī)定執(zhí)行，并遵從優(yōu)先采購(gòu)本國(guó)貨物、工程和服務(wù)的原則。

第十八條 電子政務(wù)項(xiàng)目實(shí)行工程監(jiān)理制。項(xiàng)目建設(shè)單位應(yīng)按照信息系統(tǒng)工程監(jiān)理的有關(guān)規(guī)定，委托具有信息系統(tǒng)工程相應(yīng)監(jiān)理資質(zhì)的工程監(jiān)理單位，對(duì)項(xiàng)目建設(shè)進(jìn)行工程監(jiān)理　。

注意進(jìn)口產(chǎn)品采購(gòu)：如果國(guó)產(chǎn)設(shè)備不能完全滿足項(xiàng)目需求，需要進(jìn)行進(jìn)口設(shè)備采購(gòu)，應(yīng)按財(cái)政部財(cái)庫(kù)[2007]119號(hào)文件《政府采購(gòu)進(jìn)口產(chǎn)品管理辦法》規(guī)定向財(cái)政部報(bào)批，周期在30天左右。

監(jiān)理依據(jù)：強(qiáng)化了信息系統(tǒng)監(jiān)理的工程依據(jù)。

第十九條 項(xiàng)目建設(shè)單位應(yīng)于每年七月底和次年一月底前，向項(xiàng)目審批部門、財(cái)政部門報(bào)告項(xiàng)目上半年和全年建設(shè)進(jìn)度和概預(yù)算執(zhí)行情況。

項(xiàng)目進(jìn)展情況報(bào)告：加強(qiáng)過(guò)程中與項(xiàng)目審批部門及財(cái)政主管部門的聯(lián)系，為后續(xù)項(xiàng)目整體驗(yàn)收打好基礎(chǔ)。

第二十二條 項(xiàng)目建設(shè)單位在可行性研究報(bào)告批復(fù)后，可申請(qǐng)項(xiàng)目前期工作經(jīng)費(fèi)。項(xiàng)目前期工作經(jīng)費(fèi)主要用于開(kāi)展應(yīng)用需求分析、項(xiàng)目建議書、可行性研究、初步設(shè)計(jì)方案和投資概算的編制、專家咨詢?cè)u(píng)審等工作。項(xiàng)目審批部門根據(jù)項(xiàng)目實(shí)際情況批準(zhǔn)下達(dá)前期工作經(jīng)費(fèi)，前期工作經(jīng)費(fèi)計(jì)入項(xiàng)目總投資。

前期工作經(jīng)費(fèi)：需要注意前期工作經(jīng)費(fèi)的歸墊。

國(guó)家電子政務(wù)工程的驗(yàn)收評(píng)價(jià)管理

第二十九條 電子政務(wù)項(xiàng)目建設(shè)實(shí)行驗(yàn)收和后評(píng)價(jià)制度。

第三十條 電子政務(wù)項(xiàng)目應(yīng)遵循《國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目驗(yàn)收工作大綱》（附件四）的相關(guān)規(guī)定開(kāi)展驗(yàn)收工作。

兩個(gè)階段：項(xiàng)目驗(yàn)收包括初步驗(yàn)收和竣工驗(yàn)收。驗(yàn)收包括工程、技術(shù)、財(cái)務(wù)、檔案等四個(gè)方面；

初步驗(yàn)收由項(xiàng)目建設(shè)單位按照《驗(yàn)收工作大綱》要求自行組織；

竣工驗(yàn)收由項(xiàng)目審批部門或其組織成立的電子政務(wù)項(xiàng)目竣工驗(yàn)收委員會(huì)組織；

對(duì)建設(shè)規(guī)模較小或建設(shè)內(nèi)容較簡(jiǎn)單的電子政務(wù)項(xiàng)目項(xiàng)目審批部門可委托項(xiàng)目建設(shè)單位組織驗(yàn)收。

第三十一條 項(xiàng)目建設(shè)單位應(yīng)在完成項(xiàng)目建設(shè)任務(wù)后的半年內(nèi)，組織完成建設(shè)項(xiàng)目的信息安全風(fēng)險(xiǎn)評(píng)估和初步驗(yàn)收工作。

初步驗(yàn)收合格后，項(xiàng)目建設(shè)單位應(yīng)向項(xiàng)目審批部門提交竣工驗(yàn)收申請(qǐng)報(bào)告，并將項(xiàng)目建設(shè)總結(jié)、初步驗(yàn)收?qǐng)?bào)告、財(cái)務(wù)報(bào)告、審計(jì)報(bào)告和信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告等文件作為附件一并上報(bào)。

項(xiàng)目審批部門應(yīng)適時(shí)組織竣工驗(yàn)收。

項(xiàng)目建設(shè)單位未按期提出竣工驗(yàn)收申請(qǐng)的，應(yīng)向項(xiàng)目審批部門提出延期驗(yàn)收申請(qǐng)。

第三十二條 項(xiàng)目審批部門根據(jù)電子政務(wù)項(xiàng)目驗(yàn)收后的運(yùn)行情況，可適時(shí)組織專家或委托相關(guān)機(jī)構(gòu)對(duì)建設(shè)項(xiàng)目的系統(tǒng)運(yùn)行效率、使用效果等情況進(jìn)行后評(píng)價(jià)。

后評(píng)價(jià)認(rèn)為建設(shè)項(xiàng)目未實(shí)現(xiàn)批復(fù)的建設(shè)目標(biāo)或未達(dá)到預(yù)期效果的，項(xiàng)目建設(shè)單位要限期整改；對(duì)拒不整改或整改后仍不符合要求的，項(xiàng)目審批部門可對(duì)其進(jìn)行通報(bào)批評(píng)。

項(xiàng)目后評(píng)價(jià)的基本內(nèi)容主要包括項(xiàng)目效益評(píng)價(jià)、項(xiàng)目影響評(píng)價(jià)、項(xiàng)目過(guò)程評(píng)價(jià)和項(xiàng)目持續(xù)性評(píng)價(jià)。

項(xiàng)目效益評(píng)價(jià)是通過(guò)項(xiàng)目建成投入使用后所產(chǎn)生的實(shí)際效益與可行性研究時(shí)所預(yù)測(cè)的經(jīng)濟(jì)效益的比較，評(píng)價(jià)時(shí)常預(yù)測(cè)是否準(zhǔn)確，項(xiàng)目投資是否值得，并以項(xiàng)目投入使用后實(shí)際取得的數(shù)據(jù)為基礎(chǔ)，重新計(jì)算項(xiàng)目的各主要投資效益指標(biāo)，與當(dāng)初預(yù)測(cè)值進(jìn)行比較，從分析效益目標(biāo)實(shí)現(xiàn)程度和產(chǎn)生的偏差的原因中總結(jié)經(jīng)驗(yàn)教訓(xùn)，找出改進(jìn)措施，為提高項(xiàng)目的投資效益和投資決策水平服務(wù)。

項(xiàng)目的影響評(píng)價(jià)主要是指對(duì)項(xiàng)目給所在地區(qū)經(jīng)濟(jì)、社會(huì)、技術(shù)

和文化等帶來(lái)的影響進(jìn)行評(píng)價(jià)。主要是從項(xiàng)目的外部作用和影響來(lái)分析和評(píng)價(jià)特定項(xiàng)目的優(yōu)勢(shì)和缺點(diǎn)，分析項(xiàng)目對(duì)國(guó)家或地區(qū)社會(huì)發(fā)展目標(biāo)的貢獻(xiàn)和影響。

項(xiàng)目的過(guò)程評(píng)價(jià)是根據(jù)項(xiàng)目效益和影響評(píng)價(jià)中發(fā)現(xiàn)的變化和問(wèn)題，對(duì)照項(xiàng)目立項(xiàng)時(shí)所確定的目標(biāo)和任務(wù)，分析和評(píng)價(jià)項(xiàng)目執(zhí)行過(guò)程，從中找出原因，總結(jié)經(jīng)驗(yàn)教訓(xùn)。過(guò)程評(píng)價(jià)主要依據(jù)國(guó)家現(xiàn)行的有關(guān)法令、制度和規(guī)定，對(duì)項(xiàng)目的工程技術(shù)水平、管理水平和決策水平進(jìn)行分析。其主要內(nèi)容包括：前期工作評(píng)價(jià)；建設(shè)實(shí)施評(píng)價(jià)；運(yùn)營(yíng)評(píng)價(jià)；投資執(zhí)行評(píng)價(jià)；管理工作評(píng)價(jià)；技術(shù)服務(wù)和配套投入評(píng)價(jià)。

項(xiàng)目的持續(xù)性評(píng)價(jià)是分析項(xiàng)目在建設(shè)投入完成之后，項(xiàng)目的既定目標(biāo)是否還可以持續(xù)；項(xiàng)目是否可以順利地延續(xù)進(jìn)行下去。持續(xù)性要考慮政策變化、技術(shù)因素、社會(huì)文化因素的變化對(duì)項(xiàng)目持續(xù)性的影響。

項(xiàng)目后評(píng)價(jià)的結(jié)論應(yīng)該是定性地總結(jié)項(xiàng)目的成功度。項(xiàng)目的成功度一般分為五個(gè)等級(jí)：非常成功的項(xiàng)目，成功的項(xiàng)目，部分成功的項(xiàng)目，不成功的項(xiàng)目，失敗的項(xiàng)目，是項(xiàng)目評(píng)價(jià)專家組對(duì)項(xiàng)目后評(píng)價(jià)的定性和集體結(jié)論。項(xiàng)目成功度評(píng)價(jià)的程序：首先確定評(píng)議專家，選定評(píng)價(jià)因素及其指標(biāo)，專家個(gè)人打分，集體評(píng)議，數(shù)據(jù)處理，得出結(jié)論。

項(xiàng)目評(píng)價(jià)的三個(gè)階段采用的方法沒(méi)有太大的區(qū)別，一般均采用定量與定性相結(jié)合的方法。

項(xiàng)目評(píng)價(jià)從決策的角度看，其核心內(nèi)容主要是項(xiàng)目的市場(chǎng)評(píng)價(jià)、技術(shù)評(píng)價(jià)、經(jīng)濟(jì)評(píng)價(jià)和環(huán)境評(píng)價(jià)等。

法律責(zé)任

第三十五條 相關(guān)部門、單位或個(gè)人違反國(guó)家有關(guān)規(guī)定，截留、挪用電子政務(wù)項(xiàng)目資金等，由有關(guān)部門按照《財(cái)政違法行為處罰處分條例》等相關(guān)規(guī)定予以懲處；構(gòu)成犯罪的，移交有關(guān)部門依法追究刑事責(zé)任。

第三十六條 對(duì)違反本文由收集整理本辦法其他規(guī)定的或因管理不善、弄虛作假，造成嚴(yán)重超概算、質(zhì)量低劣、損失浪費(fèi)、安全事故或者其他責(zé)任事故的，項(xiàng)目審批部門可予以通報(bào)批評(píng)，并提請(qǐng)有關(guān)部門對(duì)負(fù)有直接責(zé)任的主管人員和其他責(zé)任人員依法給予處分；構(gòu)成犯罪的，移交有關(guān)部門依法追究刑事責(zé)任。

信息工程監(jiān)理產(chǎn)生的背景

在國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法頒布后，第十八條明確規(guī)定“電子政務(wù)項(xiàng)目實(shí)行工程監(jiān)理制。項(xiàng)目建設(shè)單位應(yīng)按照信息系統(tǒng)工程監(jiān)理的有關(guān)規(guī)定，委托具有信息系統(tǒng)工程相應(yīng)監(jiān)理資質(zhì)的工程監(jiān)理單位，對(duì)項(xiàng)目建設(shè)進(jìn)行工程監(jiān)理　。”強(qiáng)化了信息工程監(jiān)理的政策依據(jù)，對(duì)信息工程監(jiān)理行業(yè)的發(fā)展起到了良好的支持作用。

信息工程監(jiān)理產(chǎn)生的原因

近年來(lái)，我國(guó)在信息產(chǎn)業(yè)發(fā)展和信息系統(tǒng)建設(shè)方面取得了巨大成就，積累了寶貴的經(jīng)驗(yàn)。但是，在信息系統(tǒng)建設(shè)的過(guò)程中也陸續(xù)暴露了許多問(wèn)題，如：不能滿足設(shè)計(jì)需求、工期拖延、資金超預(yù)算、信息泄露等。更嚴(yán)重的是近年來(lái)在信息工程建設(shè)領(lǐng)域出現(xiàn)了一些“豆腐渣”、“半拉子”工程，極大地浪費(fèi)了信息化投資。為此，我國(guó)信息產(chǎn)業(yè)和信息化建設(shè)的主管部門和領(lǐng)導(dǎo)機(jī)構(gòu)在積極推進(jìn)信息化建設(shè)的過(guò)程中，對(duì)所發(fā)現(xiàn)的問(wèn)題給予密切關(guān)注并且采取了有效措施，在信息系統(tǒng)工程建設(shè)中引入監(jiān)理制就是其中一項(xiàng)重要措施。

信息工程監(jiān)理的定義

信息系統(tǒng)工程監(jiān)理是指在政府工商管理部門注冊(cè)的具有信息系統(tǒng)工程監(jiān)理資質(zhì)的單位，受建設(shè)單位委托，根據(jù)國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)工程監(jiān)理合同，對(duì)信息系統(tǒng)工程項(xiàng)目實(shí)施的監(jiān)督管理。其主要作用和目的是通過(guò)信息系統(tǒng)工程監(jiān)理工程師“基于職業(yè)謹(jǐn)慎”的工作，力求在計(jì)劃的質(zhì)量、進(jìn)度、投資以及信息安全的范圍內(nèi)實(shí)現(xiàn)信息系統(tǒng)建設(shè)目標(biāo)。需要著重指出的是信息系統(tǒng)工程監(jiān)理單位和監(jiān)理工程師“將不是，也不能成為任何信息系統(tǒng)工程承建單位的工程承保人或保證人”。監(jiān)理階段主要包括工程招標(biāo)、工程設(shè)計(jì)、工程實(shí)施和工程驗(yàn)收四個(gè)階段。

信息工程監(jiān)理的發(fā)展歷程

信息系統(tǒng)工程監(jiān)理應(yīng)該說(shuō)是一個(gè)具有中國(guó)特色的信息化質(zhì)量管理標(biāo)準(zhǔn)，它為我國(guó)提高信息系統(tǒng)工程建設(shè)項(xiàng)目的投資效率、工程質(zhì)量、技術(shù)性能提供了可靠的保證，同時(shí)，也對(duì)國(guó)際信息化發(fā)展提供了很好的參考價(jià)值。它主要經(jīng)歷了以下發(fā)展歷程：

1999年，原信息產(chǎn)業(yè)部在起草信息系統(tǒng)集成資質(zhì)認(rèn)證的相關(guān)文件的同時(shí)，也開(kāi)始著手籌備信息系統(tǒng)工程監(jiān)理相關(guān)文件的起草工作。

2002年9月，國(guó)務(wù)院辦公廳【2002】47號(hào)文件轉(zhuǎn)發(fā)的《振興軟件產(chǎn)業(yè)行動(dòng)綱要》中，明確提出了“國(guó)家重大信息化工程實(shí)行招標(biāo)制、工程監(jiān)理制”。

2002年11月，原信息產(chǎn)業(yè)部部信【2002】570號(hào)文件

了《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》，共六章，二十二條。

篇13

一是過(guò)度收集個(gè)人信息。有關(guān)機(jī)構(gòu)超出辦理業(yè)務(wù)的需要，收集大量非必要或完全無(wú)關(guān)的個(gè)人信息。一些商家在辦理積分卡時(shí)，要求客戶提供身份證號(hào)碼、工作機(jī)構(gòu)、受教育程度、婚姻狀況、子女狀況等信息。

二是擅自披露個(gè)人信息。有關(guān)機(jī)構(gòu)未獲法律授權(quán)、未經(jīng)本人許可或者超出必要限度披露他人個(gè)人信息。一些地方對(duì)行人、非機(jī)動(dòng)車交通違法人員的姓名、家庭住址、工作單位以及違法行為進(jìn)行公示；有些銀行通過(guò)網(wǎng)站、有關(guān)媒體披露欠款者的姓名、證件號(hào)碼、通信地址等信息。

三是擅自提供個(gè)人信息。有關(guān)機(jī)構(gòu)在未經(jīng)法律授權(quán)或者本人同意的情況下，將所掌握的個(gè)人信息提供給其他機(jī)構(gòu)。銀行、保險(xiǎn)公司、航空公司等機(jī)構(gòu)之間未經(jīng)客戶授權(quán)或者超出授權(quán)范圍共享客戶信息。

個(gè)人信息安全亟待保護(hù)

面對(duì)勢(shì)不可當(dāng)?shù)男畔⒒顺保撊绾魏侠砝煤陀行ПＷo(hù)個(gè)人信息？今年全國(guó)兩會(huì)期間，個(gè)人信息安全問(wèn)題成為熱議話題之一。

全國(guó)政協(xié)委員郭為表示，國(guó)家應(yīng)加快個(gè)人信息安全及隱私保護(hù)的相關(guān)立法工作。首先應(yīng)該建立一套符合中國(guó)國(guó)情的網(wǎng)絡(luò)公民身份體系并逐步推動(dòng)網(wǎng)絡(luò)實(shí)名制的真正實(shí)施，建立信息安全產(chǎn)品安全審查和管理制度，同時(shí)還應(yīng)加大監(jiān)管機(jī)制的建設(shè)并修訂相關(guān)法律。

早在2003年，國(guó)務(wù)院信息化工作辦公室就委托中國(guó)社科院法學(xué)研究所個(gè)人數(shù)據(jù)保護(hù)法研究課題組承擔(dān)“個(gè)人數(shù)據(jù)保護(hù)法”比較研究課題及草擬一份專家建議稿。經(jīng)過(guò)近兩年的工作，最終形成了近8萬(wàn)字的“中華人民共和國(guó)個(gè)人信息保護(hù)法(專家建議稿)及立法研究報(bào)告”，但時(shí)至今日卻仍未正式進(jìn)入國(guó)家立法程序。

中國(guó)人民西安政治學(xué)院副教授傅達(dá)林認(rèn)為，國(guó)家需要完善立法，執(zhí)法部門需要加大對(duì)違法犯罪的打擊力度，完善監(jiān)管措施，同時(shí)也需要建立行業(yè)誠(chéng)信。有專家指出，現(xiàn)實(shí)中更多的相關(guān)案件還達(dá)不到犯罪的標(biāo)準(zhǔn)，所以迫切需要的是行業(yè)自律，提高從業(yè)人員的法律意識(shí)，以阻斷涉及公民個(gè)人信息違法犯罪的信息來(lái)源。

國(guó)外如何保護(hù)個(gè)人信息

如何有效維護(hù)公民個(gè)人信息安全是一個(gè)令各國(guó)政府頭疼的問(wèn)題。不少發(fā)達(dá)國(guó)家早就制定了相應(yīng)的法律和措施。