引論:我們為您整理了13篇信息安全法律法規論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
人類進入21世紀,現代信息技術迅猛發展,特別是網絡技術的快速發展,互聯網正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球.
網絡已成為人們尤其是大學生獲取知識、信息的最快途徑.網絡以其數字化、多媒體化以及虛擬性、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式,而且正影響著他們的人生觀、世界觀、價值取向,甚至利用自己所學的知識進行網絡犯罪,所有這些使得高師學生思想政治工作特別是從事網絡教學、實踐的計算機專業的教育工作者來說,面臨著前所未有的機遇和挑戰,這不僅因為,自己一方面要傳授學生先進的網絡技術,另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看,違法與不違法只是一兩條指令之間的事情,更重要的是高師計算機專業學生將來可能成為老師去影響他的學生,由此可見,在高師計算機專業學生中開設與信息安全有關的法律法規課程有著十分重要的意義.如何抓住機遇,研究和探索網絡環境下的高師計算機專業學生信息安全法律法規教學的新特點、新方法、新途徑、新對策已成為高師計算機專業教育者關心和思考的問題.本文主要結合我校的實際,就如何在高師計算機專業中開設信息安全法律課程作一些探討.
1現有的計算機專業課程特點
根據我校人才培養目標、服務面向定位,按照夯實基礎、拓寬專業口徑、注重素質教育和創新精神、實踐能力培養的人才培養思路,溝通不同學科、不同專業之間的課程聯系.全校整個課程體系分為“通識教育課程、專業課程(含專業基礎課程、專業方向課程)、教師教育課程(非師范除外)、實踐教學課程”四個大類,下面僅就計算機專業課程的特點介紹.
1.1專業基礎課程專業基礎課是按學科門類組織的基礎知識課程模塊,均為必修課.目的是在大學學習的初期階段,按學科進行培養,夯實基礎,拓寬專業口徑.考慮到學科知識體系、學生轉專業等需要,原則上各學科大類所涵蓋的各專業的學科專業基礎課程應該相同.主要內容包括:計算機科學概論、網頁設計與制作、C++程序設計、數據結構、操作系統等.
1.2專業方向課程各專業應圍繞人才培養目標與規格設置主要課程,按照教育部《普通高等學校本科專業目錄》的有關要求,結合學校實際設置必修課程和選修課程.同時可以開設2—3個方向作為限選.學生可以根據自身興趣和自我發展的需要,在任一方向課程組中選擇規定學分的課程修讀.主要內容包括:計算機網絡、匯編語言程序設計、計算機組成原理、數據庫系統、軟件工程導論、軟件工程實訓、計算機系統結構等.
1.3現有計算機專業課程設置的一些不足計算機技術一日千里,對于它的課程設置應該具有前瞻性,考慮到時代的變化,計算機應用專業旨在培養一批適合現代軟件工程、網絡工程發展要求的軟件工程、網絡工程技術人員,現有我校的計算機專業課程是針對這一目標進行設置的,但這一設置主要從技術的角度來考慮問題,沒有充分考慮到:隨著時代的發展,人們更廣泛的使用網絡、更關注信息安全這一事實,作為計算機專業的學生更應該承擔起自覺維護起信息安全的責任,作為高師計算機專業的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網絡安全的事情.
2高師計算機專業學生開設信息安全法律法規的必要性和可行性
2.1必要性信息安全學科群體系由核心學科群、支撐學科群和應用學科群三部分構成,是一個“以信息安全理論為核心,以信息技術、信息工程和信息安全等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系.該學科交叉性、邊緣性強,應用領域面寬,是一個龐大的學科群體系,涉及的知識點也非常龐雜.
僅就法學而言,信息安全涉及的法學領域就包括:刑法(計算機犯罪,包括非法侵入計算機信息系統罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產權法(著作權的侵害、信息網絡傳播權等)等許多法學分支.因此,信息安全教育不是一項單一技術方面的教育,加強相關法律課程設置,是信息安全學科建設過程中健全人才培養體系的重要途徑與任務.
高師計算機專業,雖然沒有開設與信息安全專業一樣多與信息安全的有關技術類課程.但這些專業的學生都有從事網絡工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力,只要具備這些能力且信息安全意識不強的人,都可能有意識或無意識的干出違反法律的事情,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生.由此可見,在高師計算機專業的學生中開設相關的法律法規選修課程是必要的.
2.2可行性技術與法律原本并不關聯,但是在信息安全領域,技術與法律卻深深的關聯在一起,在全世界各國都不難發現諸如像數字簽名、PKI應用與法律體系緊密關聯.從本質上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術革命過程中產生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要.這也就要求我們跳出技術思維的影響,重視信息安全中的法律范疇.
根據前面對信息安全法律法規內容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯系.從事計算機技術的人員很容易轉到從事信息安全技術研究上,加之信息安全技術是當今最熱門技術之一,因此,在高師計算機專業中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯的信息安全法律法規選修課程學生容易接受,具有可操作性.
3信息安全技術課程特點
信息安全技術課程所涉及的內容眾多,有數學、計算機、通信、電子、管理等學科,既有理論知識,又有實踐知識,理論與實踐聯系十分緊密,新方法、新技術以及新問題不斷涌現,這給信息安全課程設置帶來了很大的難度,為使我校計算機專業學生了解、掌握這一新技術,我們在專業課程模塊中開設《密碼學基礎》、《網絡安全技術》、《入侵檢測技術》等作為專業選修課.我校本課程具有以下特點:
(1)每學期都對知識內容進行更新.
(2)對涉及到的基本知識面,分別采用開設專業課、專業選修課、講座等多種方式,讓學生了解信息安全知識體系,如有操作系統、密碼學基礎、防火墻技術、VPN應用、信息安全標準、網絡安全管理、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學習信息安全技術課程之前,都可設了相應的先行課程讓學生了解、掌握,如開設了計算機網絡基本原理、操作系統、計算機組成原理、程序設計和數論基礎等課程.
(4)注重實踐教學.比如密碼學晦澀難懂的概念,不安排實驗實訓,不讓學生親手去操作,就永遠不能真正理解和運用.防火墻技術只有通過親手配置和測試.才能領會其工作機理.對此我們在相關的課程都對學生作了實踐、實訓的要求.
4涉及到信息安全法律法規內容的特點
信息安全的特點決定了其法律、法規內容多數情況下都涉及到網絡技術、涉及到與網絡有關的法律、法規.
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣,如利用網絡進行經濟詐騙;利用網絡獲取國家政治、經濟、軍事情報;利用網絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的.
4.2涉及領域的廣泛性隨著網絡技術的迅速發展,信息化的浪潮席卷全球,信息化和經濟全球化互相交織,信息在經濟和社會活動中的作用甚至超過資本,成為經濟增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關注,大到軍事政治等機密安全,小到防范商業企業機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經濟、政治、軍事等的各個部門、各個領域.
4.3技術的復雜性信息安全不僅涉及到技術問題,也涉及到管理問題,信息安全技術又涉及到網絡、編碼等多門學科,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時,又需要考慮其技術性的特征,符合技術上的要求.
4.4信息安全法律優先地位綜上所述,信息安全的法律保護不是靠一部法律所能實現的,而是要靠涉及到信息安全技術各分支的信息安全法律法規體系來實現.因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網絡法的雙重地位,必須與網絡技術和網絡立法同步建設,因此,具有優先發展的地位.
5高師信息安全技術課程中的法律法規內容教學目標
對于計算機專業或信息安全專業的本科生和研究生,應深入理解和掌握信息安全技術理論和方法,了解所涉到的常見的法律法規,深入理解和掌握網絡安全技術防御技術和安全通信協議.
而對普通高等師范院校計算機專業學生來說,由于課程時間限制,不能對信息安全知識作較全面的掌握,也不可能過多地研究密碼學理論,更不可能從法律專業的角度研究信息安全所涉到的法律法規,為此,開設信息安全法律法規課程內容的教學目標定位為:了解信息安全技術的基本原理基礎上,初步掌握涉及網絡安全維護和網絡安全構建等技術的法律、法規和標準.如:《中華人民共和國信息系統安全保護條例》,《中華人民共和國數字簽名法》,《計算機病毒防治管理辦法》等.
6高師信息安全技術法律法規課程設置探討
根據我校計算機專業課程體系結構,信息安全有關的法律法規課程,其中多數涉及信息安全技術層面,主要以選修課、講座課為主,作為信息安全課程的補充.主要可開設以下選修課課程或講座課程.
(1)信息安全法律法規基礎講座:本講座力圖改變大家對信息安全的態度,使操作人員知曉信息安全的重要性、企業安全規章制度的含義及其職責范圍內需要注意的安全問題,讓學生首先從信息安全的非技術層面了解與信息安全有關的法律、法規,主要內容包括:國內信息安全法律法規概貌、我國現有信息安全相關法律法規簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學習,可以借此提高自己的安全意識,了解常見的安全漏洞,識別黑客攻擊手法,熟悉提高系統抗攻擊能力的安全配置方法,最重要的還在于掌握一種學習信息安全知識的正確途徑和方法.
篇2
(二)管理體系不完善
田敏達在《電子政務信息安全策略研究》的論文中認為,電子政務信息安全不是單純的技術問題。如果缺乏行之有效的安全檢查保護措施,無法從技術、人員以及管理制度上建立電子政務信息安全防范體制,即使是再好的設備和技術也無法保證信息的安全。譚曉在《電子政務信息安全系統的設計與實現技術》中提出,管理體系也是電子政務安全體系的重要組成部分。管理作為網絡安全的核心,要實現信息安全的有效管理,不僅需要技術手段的維護,還需要制定合理的管理制度,如日常系統操作及維護制度、審計制度、文檔管理制度、應急響應制度等,這樣才能發揮有效的作用。
(三)技術存在缺陷
田敏達在《電子政務信息安全策略研究》中也提出了存在的一些問題,包括我國網絡安全技術落后、技術優勢與相關行業脫節研究、計算機系統本身的脆弱性、我國對發達國家信息設備和信息技術存在著很強的依賴性。技術問題是支持電子政務信息系統穩定高效運行的關鍵手段,技術的問題是可以控制的,但是開發技術,實現高超的技術水平卻是困難的。
(四)法律不健全
孟薇《電子政務信息安全研究》提出盡管一些既有的法律法規的出臺和實施對于我國電子政務信息的安全起到相當積極的作用,但仍難以適應電子政務發展的需要,信息安全立法還存在相當多的盲區。在法律方面,基本的法律法規對電子政務信息安全有一定的約束作用,但是目前法律法規還存在不健全、覆蓋有盲點、制度不協調等問題,這些為鉆法律空缺的違法者提供了“正當”理由。
二、我國電子政務信息安全的防范策略
(一)增強政府部門的管理功能
對電子政務信息安全管理方面進行全方面的研究要從安全審計、數據庫、電子郵件系統、瀏覽器、認證中心、安全產品的安全以及防火備份的安全管理等方面。通過建立和完善管理部門功能,增強管理業務操作,防范與避免不法分子對信息管理系統的侵犯。
(二)加強信息安全專門人才的教育培養
目前,我國信息安全系統及其產品不僅僅依靠向其他國家引進,而更多的是通過政府、行業以及企業在信息安全領域的投資開發,設計出經濟合理以及具有自主知識產權的實用產品和適用技術。因此,建立信息安全產品技術研發的核心,即創造高水平的研究教育環境、培養高素質的信息安全人才以及提高信息安全理論基礎知識的研究,另外,科研教育基地的大力支持和投入也為其奠定了基礎。
(三)設置技術的遠程訪問的控制
通過路由訪問策略和防火墻技術隔離內網與外網,在內網與外網相連通時,必須采取這樣的措施才能避免安全隱患的存在。電子政務是開放,但又是封閉的,如何保證相應的客戶訪問到有權限涉及的資源,又能夠保障對其限制的資料不被訪問,就是電子政務的設計人員必須考慮的問題。針對此類問題,可以通過設置鑒別服務器來專門負責遠程訪問得到控制,至于是否設置鑒別服務器取決于該電子政務系統的規模。
(四)建立技術密鑰分配中心
密鑰的設立貫穿于網絡的各個層次和級別,如負責訪問控制以及證書、密鑰等安全材料的產生、配置、更換和銷毀等相應的安全管理活動,在身份認證機制和信息加密中,都要使用到加密體制,而無論什么加密體制都離不開密鑰的使用、存儲和傳輸的安全性。因此可以通過建立密鑰分配中心負責信息加密、訪問控制中心、安排鑒別服務器、授權服務器等活動。
(五)構建完善的安全法律體系
國家的政策法律要適應社會存在的需求和現實,通過為社會信息化發展提供全方面的指導思想以保障和促進國家的法制建設和信息化立法制度的建設。并且能夠通過發展規范程度,繼而實現更深層次的進步,同時促進國家信息化安全的環境構筑,為體現信息安全的法制文化做出有效的行動。針對存在缺陷的法律體系構建適合電子政務信息安全發展的法律法規,實現法律的約束。
篇3
1我國信息安全的現狀
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
①網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
②對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
③我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
2我國信息安全保護的策略
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
①加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
②發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
篇4
“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經過40多年的發展,信息化已成為各國社會發展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質,主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統的不安全性,給國家的信息化建設帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:
一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點,從網絡架到協議以及操作系統等都具有開放性的特點,通過網絡主體之間的聯系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。
二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統,造成了病毒極易滋生和傳播,從而導致信息危害。
三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為,而網絡環境下的安全問題常常表現為一種技術對抗,對信息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
二、我國信息化中的信息安全問題
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
1、信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
3、我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
4、信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊,國內也有部分人利用系統漏洞進行網絡犯罪,例如傳播病毒、竊取他人網絡銀行賬號密碼等。
5、在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。
造成以上問題的相關因素在于:首先,我國的經濟基礎薄弱,在信息產業上的投入還是不足,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
三、相關解決措施
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
1、加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
2、發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
3、創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
4、高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業,應大力培養信息安全專業人才,建立信息安全人才培養體系。
篇5
目前.國內外網絡信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發展,改革創新深入推進,市場交易模式日趨集巾化,業務處理邏輯日益復雜化,網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強,交易時問內一刻也不能中斷。加強信息安全應急丁作,積極采取預防、預警措施,快速、穩妥地處置信息安全事件,盡力減少事故損失,全力維護交易正常,對于資本市場來說至關重要。
1 證券行業倍息安全現狀和存在的問題
1.1行業信息安全法規和標準體系方面
健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行,中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成,推動了行業信息化建設和信息安全工作向規范化、標準化邁進。
雖然我國涉及信息安全的規范性文件眾多,但在現行的法律法規中。立法主體較多,法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要,行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后,缺乏總體規劃;二是規范和標準互通性和協調性不強,部分規范和標準的可執行性差;三是部分規范和標準已不適應,無法應對某些新型信息安全的威脅;四是部分信息安全規范和標準在行業內難以得到落實。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前,證券行業采用“統一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執行層。
為加強證券期貨業信息安全保障工作的組織協調,建立健全信息安全管理制度和運行機制,切實提高行業信息安全保障工作水平,根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》,參照iso/iec27001:2005,提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構.頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業組織結構.側面是各個機構為實現信息安全保障目標所采取的措施和方式。
1.3 it治理方面
整個證券業處于高度信息化的背景下,it治理已直接影響到行業各公司實現戰略目標的可能性,良好的it治理有助于增強公司靈活性和創新能力,規避it風險。通過建立it治理機制,可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理it問題,自我評估it管理效果.可以加強對信息化項目的有效管理,保證信息化項目建設的質量和應用效果,使有限的投入取得更大的績效。
2003年lt治理理念引入到我國證券行業,當前我國證券業企業的it治理存在的問題:一是it資源在公司的戰略資產中的地位受到高層重視,但具體情況不清楚;二是it治理缺乏明確的概念描述和參數指標;是lt治理的責任與職能不清晰。
1.4網絡安全和數據安全方面
隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性,網上交易正逐漸成為證券投資者交易的主流模式。據統計,2008年我同證券網上交易量比重已超過總交易量的80%。雖然交易系統與互聯網的連接,方便了投資者。但由于互聯網的開放性,來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件,都時刻威脅著行業的信息系統安全,成為制約行業平穩、安全發展的障礙。此,維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來,證券行業各機構采取了一系列措施,建立了相對安全的網絡安全防護體系和災舴備份系統,基木保障了信息系統的安全運行。但細追究起來,我國證券行業的網絡安全防護體系及災備系統建設還不夠完善,還存存以下幾方面的問題:一是網絡安全防護體系缺乏統一的規劃;二是網絡訪問控制措施有待完善;三是網上交易防護能力有待加強;四是對數據安全重視不夠,數據備份措施有待改進;五是技術人員的專業能力和信息安全意識有待提高。
1.5 it人才資源建設方面
近20年的發展歷程巾,證券行業對信息系統日益依賴,行業it隊伍此不斷發展壯大。據統計,2008年初,在整個證券行業中,103家證券公司共有it人員7325人,占證券行業從業總人數73990人的9.90%,總體上達到了行業協會的it治理工作指引中“it工作人員總數原則上應不少于公司員工總人數的6%”的最低要求。目前,證券行業的it隊伍肩負著信息系統安全、平穩、高效運行的重任,it隊伍建設是行業信息安全it作的根本保障。但是,it人才隊伍依然存在著結構不合理、后續教育不足等問題,此行業的人才培養有待加強。
2 采取的對策和措施
2.1進一步完善法規和標準體系
首先,在法規規劃上,要統籌兼顧,制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃;二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層:第一層是管理辦法等巾同證監會部門規章;第二層是證監會相關部門制定的管理規范等規范性文件;第三層是技術指引等自律規則,一般由交易所、行業協會在證監會總體協調下組織制定。其次,在法規制定上.要兼顧規范和發展,重視法規的可行性。最后,在法規實施上.要堅持規范和指引相結合,重視監督檢查和責任落實。
2.2深入開展證券行業it治理工作
2.2.1提高it治理意識
中國證券業協會要進一步加強it治理理念的教育宣傳工作,特別是對會員單位高層領導的it治理培訓,將it治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的it治理意識,提高他們it治理的積極性。
2.2.2通過設立it治理試點形成以點帶面的示范效應
根據it治理模型的不同特點,建議證券公司在決策層使用cisr模型,通過成立lt治理委員會,建立各部門之間的協調配合、監督制衡的責權體系;在執行層以cobit模型、itfl模型等其他模型為補充,規范信息技術部門的各項控制和管理流程。同時,證監會指定一批證券公司和基金公司作為lt試點單位,進行it治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施it治理的優秀范例,以點帶面地提升全行業的治理水平。
2.3通過制定行業標準積極落實信息安全等級保護
行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵.應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制,統一部署、組織行業的等級保護丁作,為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求,對照標準逐條落實。同時,應對各單位實施信息系統安全等級保護情況進行測評,在測評環節一旦發現信息系統的不足,被測評單位應立即制定相應的整改方案并實施.且南相芙的監督機構進行督促。
2.4加強網絡安全體系規劃以提升網絡安全防護水平
2.4.1以等級保護為依據進行統籌規劃
等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,通過將等級化的方法和安全體系規劃有效結合,統籌規劃證券網絡安全體系的建設,建立一套信息安全保障體系,將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。
2.4.2通過加強網絡訪問控制提高網絡防護能力
對向證券行業提供設備、技術和服務的it公司的資質和誠信加強管理,確保其符合國家、行業技術標準。根據網絡隔離要求,要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分vlan或者采用網閘設備進行隔離;對主要的網絡邊界和各外部進口進行滲透測試,進行系統和設備的安全加固.降低系統漏洞帶來的安全風險;在網上交易方面,采取電子簽名或數字認證等高強度認證方式,加強訪問控制;針對現存惡意攻擊網站的事件越來越多的情況,要采取措施加強網站保護,提高對惡意代碼的防護能力,同時采用技術手段,提高網上交易客戶端軟件使朋的安全性。
2.4.3提高從業人員安全意識和專業水平
目前在證券行業內,從業人員的網絡安全意識比較薄弱.必要時可定期對從業人員進行安全意識考核,從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓,提高行業網絡安全的管理水平和專業技術水平。
2.5扎實推進行業災難備份建設
數據的安全對證券行業是至關重要的,數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災害和四川汶川大地震,都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上,針對自身需要,對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設,以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案,并加強應急預案的演練,確保災難備份系統應急有效.使應急工作與日常工作有機結合。
2.6抓好人才隊伍建設
篇6
與西方發達國家相比,我國的經濟安全保障體系非常脆弱,對于經濟信息安全的保護更是一片空白。國家經濟數據的泄露,泄密案件的連續出現昭示著我國經濟信息安全面臨前所未有的嚴峻挑戰。
(一)對經濟信息的爭奪日益加劇
經濟競爭的白熾化與信息高速化在推動世界經濟迅速發展的同時也使得業已存在的竊取經濟信息活動更為猖獗,無論是官方的經濟情報部門還是各大財團、公司都有自己的情報網絡。世界各國在千方百計地保護本國經濟信息安全的同時也在千方百計地獲取他國的經濟情報。目前我國正處于泄密高發期,其中通過計算機網絡泄密發案數占泄密法案總數的70%以上,并呈現逐年增長的趨勢;在商業活動中,商業間諜與經濟信息泄密事件頻繁發生,據業內人士透露泄密及損失最滲重的是金融業;其次是資源行業,大型并購很多,而十次并購里面九次會出現信息泄密事故;高科技、礦產等領域也非常嚴峻,很多行業在經濟信息安全保護上都亮起了紅燈。
(二)竊密技術先進,手段多樣化
一方面,發達國家及其情報組織利用信息技術優勢,不斷監聽監視我國經濟情報,非法獲取、篡改我國信息或傳播虛假信息造成經濟波動,以獲取經濟乃至政治上的收益;另一方面,除技術手段,他們還通過商業賄賂、資助學術研究、舉辦研討會、派專人在合法范圍內收集企業簡報、股東報告甚至是廢棄垃圾通過仔細研究,分析出有價情報等方式大量收集我國經濟信息。正如哈佛大學肯尼迪政治學院的一位中國專家認為:“在中國,當前賄賂最主要的形式不再是支付現金,更多可能由公司付費途經洛杉磯或拉斯維加斯到公司總部考察。這種費用可以被看做是合法的營業支出,也可以為官員設立獎學金。”竊密技術日益先進與手段日趨多樣化、合法化對我國經濟安全,特別是經濟信息的安全造成嚴重威脅。
(三)經濟信息安全保密意識淡薄
近年來,每當政府機構公布國民經濟運行數據前,一些境外媒體或境外研究機構總是能準確“預測”;許多重要的經濟信息,包括經濟數據、經濟政策等伴隨學術報告、會議研討甚至是一句家常閑聊便被泄露出去;載有核心經濟信息的移動存儲介質被隨意連接至互聯網導致信息泄露等問題嚴重。有調查顯示,我國有62%的企業承認出現過泄密現象;國有以及國有控股企業為商業秘密管理所設立專門機構的比例不到20%,未建立任何機構的比例高達36.5%;在私營企業中,這樣的情況更加嚴峻。經濟信息安全保密意識的薄弱已成為威脅我國經濟安全,影響社會經濟穩定發展的制約因素之一。
二、經濟信息安全法律保護的缺失
安全的實質是一種可預期的利益,是法律所追求的價值主張。保障經濟信息的安全是信息時代法律在經濟活動中所追求的最重要的利益之一。法律保障經濟信息安全,就要維護經濟信息的保密性、完整性以及可控性,這是由信息安全的基本屬性所決定的。然而,由于我國立法上的滯后,對經濟信息安全的法律保護仍存在相當大的漏洞。
(一)缺乏對保密性的法律保護
保密性是指保證信息不會泄露給非授權者,并對需要保密的信息按照實際情況劃分為不同等級,有針對性的采取不同力度的保護。現行《保密法》對于國家秘密的范圍以及分級保護雖有相關規定,但其內容主要針對傳統的國家安全,有關經濟信息安全方面僅出現“國民經濟和社會發展中的秘密事項”這樣原則性的規定,對經濟秘密的劃定、保密范圍和措施等缺乏相應條款;對于跨國公司或境外利益集團等竊取我國經濟政策、產業關鍵數據等行為也缺乏法律上的界定,以至要追究法律責任卻沒有相應法律條款可適用的情況屢屢發生。
在涉及商業秘密的法律保護上,法律規定分散而缺乏可操作性,不同部門對商業秘密的定義不統一,商業秘密的概念模糊而混亂,弱化了商業秘密的保密性;①另一方面,與TRIPS協議第39條規定的“未披露的信息(undiscoveredinformation)”即“商業秘密”相比,我國《反不正當競爭法》要求商業秘密須具有秘密性、價值型、新穎性與實用性且經權利人采取保密措施,并將構成商業秘密的信息局限于技術信息和經營信息,這樣的規定不以商業秘密在商業上使用和繼續性使用為要件,使不具實用性卻有重大價值或潛在經濟價值的信息得不到保護,不利于經濟信息的保密。此外,人才流動的加快也使商業秘密伴隨著員工的“跳槽”而流失的可能性激增,但對商業秘密侵權威脅(ThreatenedMisappropriationofTradeSecrets)我國尚無沒有明確法律依據;對于泄露或竊取他人商業秘密的行為,《刑法》第219條雖增加了刑事處罰,但處罰力度過輕而又缺乏處罰性賠償規定,導致權利人的損失無法得到彌補。
(二)缺乏對完整性的法律保護
完整性是指信息在存儲或傳輸過程中保持不被未授權的或非預期的操作修改和破壞,它要求保持信息的原始面貌,即信息的正確生成、正確存儲和正確傳輸。目前,我國保障信息與信息系統完整性主要依靠《刑法》與《計算機信息系統安全保護條例》等法律法規,總體而言層級較低又缺乏統一性。《計算機信息系統安全保護條例》第4條規定了“計算機信息系統的安全保護工作,重點維護國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統的安全”,但在第23和25條卻只規定對破壞和危害計算機信息系統安全造成財產損失的承擔民事責任,并對個人處以5000元以下罰款,對單位處以15000元以下罰款的較輕處罰規定;現行《刑法》第285條也只規定入侵國家事務、國防建設、尖端科學技術領域的計算機信息系統的行為構成非法侵入計算機信息系統罪。這就是說,行為人非法侵入包括經濟信息系統在內的其他信息系統并不構成本罪。可見,法律對信息安全的保障依然側重于政治、軍事等傳統安全領域,而忽略了對經濟信息安全的保護。
(三)缺乏對可控性的法律保護
可控性是對經濟信息的內容和信息的傳播具有控制能力,能夠按照權利人的意愿自由流動。網絡的盛行使得經濟間諜、商業賄賂等竊密手段的頻繁出現而使得經濟信息不能按照權利人的意愿流動。面對日趨“合法化”的竊密行為,《刑法》第110條的間諜罪與第11l條的為境外的機構、組織、人員竊取、刺探、收買、非法提供國家秘密或情報罪都只是籠統的規定了“危害國家安全”和“竊取、刺探、收買、非法提供國家秘密或情報”,缺乏有關經濟間諜罪的專門規定;而《國家安全法》也只是籠統的規定了國家安全整體的法律條文,并且側重的是傳統安全的政治和軍事領域,對于經濟安全,尤其是經濟信息安全這樣一個新的非傳統安全領域的存在的威脅仍缺乏適當的法律規制。
除了經濟間諜外,跨國公司對我國實施商業賄賂獲取經濟信息與商業秘密的案件不斷增加,經濟信息的可控性無法得到有效保證,在造成嚴重經濟損失的同時也威脅著我國經濟信息安全。目前我國尚無一部完備的《反商業賄賂法》,對于商業賄賂的法律規制主要體現在《刑法》與《反不正當競爭法》、《關于禁止商業賄賂行為的暫行規定》等法律法規上。然而,現行《刑法》并未直接對商業賄賂行為作出罪行定義,而《反不正當競爭法》第8條雖然規定商業賄賂的對象既可包括交易對方,又可包括與交易行為有關的其他人,但《關于禁止商業賄賂行為的暫行規定》中卻又將商業賄賂界定為“經營者為銷售或購買商品而采用財物或者其他手段賄賂對方單位或者個人的行為”縮小了商業賄賂對象的范罔,將除交易雙方以外能夠對交易起決定性作用或產生決定性影響的單位或個人被排除在外。另外,對于商業賄賂的經濟處罰力度畸輕,根據《反不正當競爭法22條,不構成犯罪的商業賄賂行為處以10000元以上200000元以下的罰款,并沒收違法所得。但事實上,通過商業賄賂手段所套取的經濟信息往往可以帶來高達上百萬的經濟利益,過輕的處罰完全不能發揮法律應有的威懾力。與美國的《反海外賄賂法》和德國的《反不正當競爭法》相比,我國對于商業賄賂,特別是跨國商業賄賂的治理仍存在不足。
三、完善我國經濟信息安全法律保護的對策
法律保護經濟經濟信息安全,既要求能預防經濟信息不受侵犯,也要求能通過國家強制力打擊各種侵犯經濟信息安全的行為,從而達到經濟信息客觀上不存在威脅,經濟主體主觀性不存在恐懼的安全狀態。因此,維護經濟信息安全需要構建全方位的法律保護體系。
(一)修訂《保密法》,增加保護經濟信息安全的專門條款
《保密法(修訂草案)》增加了針對涉密信息系統的保密措施以及加強涉密機關、單位和涉密人員的保密管理等五方面內容,總體上得到了專家學者的肯定,但仍存在許多值得進一步斟酌與完善的問題。特別是對于經濟領域的信息安全保密問題,應增設專門條款明確規定經濟秘密的保密范同,明確哪些經濟信息屬于國家經濟秘密,通過明確“密”的界限強化保密意識,維護經濟信息的安全。因此,在修訂《保密法》時,我們可以在保證法律的包容性與原則性的基礎上,可以借鑒俄羅斯的《聯邦國家秘密法》,采取列舉的方式將屬于國家秘密的經濟信息以法律的方式予以規定,將對國家經濟安全有重大影響的、過早透露可能危害國家利益的包括財政政策、金融信貸活動以及用于維護國防、國家安全和治安的財政支出情況等經濟信息包含在內,以具體形象的樣態將國家經濟秘密明確的歸屬于法律控制范疇,避免因法律缺乏明確性與可操作性而帶來的掣肘。
(二)制定《商業秘密保護法》,完善商業秘密的保護
針對我國商業秘密泄密案件的日益頻繁,商業秘密保護立法分散的問題,盡快制定專門的《商業秘密保護法》是維護經濟信息安全的重要措施。在制定《商業秘密保護法》時,可以借鑒國外以及國際組織的先進經驗,但應當注意以下問題:(1)在對商業秘密進行界定時,應采用列舉式與概括式相結合的體例明確商業秘密的內涵。同時在商業秘密的構成要件中剔除“實用性”的要求,使那些不為本行業或領域人員普遍知悉的,能為權利人帶來經濟利益或競爭優勢,具有“經濟價值”以及“潛在價值”并經權利人采取合理保護措施的信息也能納入法律的保護范圍;(2)要明確規定各種法律責任,包括民事責任、行政責任以及刑事責任。由于商業秘密侵權行為是一種暴利行為,但給權利人造成的損失卻往往十分巨大,如不以刑事責任方式提高違法成本便難以遏制其發生;(3)在制定《商業秘密保護法》時應當引入不可避免泄露規則(InevitableDisclosureDoctrine)。該原則主要是針對商業秘密潛在的侵占行為采取的保護方式,旨在阻止離職員工在新的工作崗位上自覺或不自覺地泄露前雇主商業秘密的問題。引入不可避免泄露原則更能有效地保護商業秘密,避免因人才流動為保密性帶來的威脅。
(三)制定統一《反商業賄賂法》,確保經濟信息的正向流動
隨著信息在經濟活動中作用加重,商業賄賂的目的不再局限于獲取商品銷售或購買的機會,通過商業賄賂獲取競爭對手經濟秘密已成為信息時代非法控制經濟信息流動的重要手段之一。制定統一的《反商業賄賂法》將分散在各法律法規中的有關條例加以整合,實現對國內外商業賄賂行為的有效監管,是堵截經濟信息非法流動、維護我國經濟信息安全與公平競爭市場環境的必然選擇。因此,在制定統一《反商業賄賂法》時首先應當對商業賄賂的概念進行準確的界定,借鑒《布萊克法律詞典》的解釋將商業賄賂定義為經營者通過不正當給予相關單位、個人或密切相關者好處的方式,獲取優于其競爭對手的競爭優勢;④其次,對于商業賄賂的管轄范圍應當適當擴大。根據《經合組織公約》與《聯合國反腐敗公約》的規定,締約國應確立跨國商業賄賂法律的域外管轄權制度,對故意實施的跨國商業行為予以制裁。因此,制定《反商業賄賂法》要求將我國經營者或該商業活動的密切相關者無論是向國內外公職人員、企業、相關個人以及國際組織官員行賄行為或是收受來自國內外企業、個人的財務或其他利益優惠的受賄行為都應列入該法管轄范圍內,并針對商業賄賂這種貪利性違法行為,完善民事、行政以及刑事法律責任;此外,在立法時還應借鑒國外的成功經驗加大制裁力度,取消現行法律中固定處罰數額的不合理規定,采用相對確定的倍罰制,并制定對不構成犯罪的商業賄賂行為的資質罰(指取消從事某種職業或業務的資格的處罰),使得經營者在被處罰后不再具備從事相同職業或業務再次進行商業賄賂的條件,從而有效遏止商業賄賂行為的蔓延,以確保經濟信息的合理正向流動。
(四)完善《刑法》,維護經濟領域信息安全
“只有使犯罪和刑罰銜接緊湊,才能指望相聯的刑罰要領使那些粗俗的頭腦從誘惑他們的、有利可圖的犯罪圖景中立即猛醒過來”。故此,完善《刑法》并加重處罰力度,是維護經濟領域信息安全的必要保證。
首先,計算機與網絡的廣泛使用使得計算機信息系統安全成為影響經濟信息安全的關鍵因素。面對《刑法》對經濟領域計算機信息系統保護的缺位,增加維護經濟信息安全的專門條款是當務之急。因此,應首先對《刑法》第285條進行調整,規定凡侵入具有重大價值(包括經濟價值、科技價值與政治價值等)或者涉及社會公共利益的計算機信息系統的行為都構成犯罪;同時,針對目前竊取計算機信息系統中不屬于商業秘密或國家秘密但卻具有知識性或重大價值,特別是經濟價值的數據、資料現象日益嚴重,《刑法》中還應增設竊取計算機信息資源罪,對以非法侵入計算機信息系統為手段,以竊取他人信息資源為目的且造成嚴重后果的行為予以規制;此外,在《刑法》還中還應增設財產刑、資格刑,適當提高法定刑幅度,從多維角度預防和制裁危害計算機信息系統犯罪。
篇7
Keywords: influence of electronic archives; safety management; factors
中國分類號:TK-9 文獻標識碼:A 文章標號:2095-2104(2012)03-0001-02
第一章 與安全管理相關的其他概念
電子檔案安全管理是新時期檔案工作的重要任務。保管和保護好電子文件必須從兩個方面著手:一方面,要從電子檔案管理物理載體出發,著重保護電子檔案的原始性;另一方面,要在電子檔案管理的手段上狠下功夫,力促電子檔案的真實性。本論文就是對電子檔案如何能夠安全管理,發表個人看法。1、背景信息,指描述生成電子文件的職能活動、電子文件的作用、辦理過程、結果、上下文關系以及對其產生影響的歷史環境等信息。2、邏輯歸檔,指在計算機網絡上進行,不改變原存儲方式和位置而實現的將電子文件的管理權限向檔案部門移交的過程。3、物理歸檔,指把電子文件集中下載到可脫機保存的載體上,向檔案部門移交的過程。
第二章 影響電子檔案安全的因素分析
信息技術就是一柄雙刃劍,在給用戶帶來方便的同時,也給電子檔案的安全帶來更多的威脅。影響電子檔案信息安全的因素很多,歸納為四大類:自然因素、環境因素、人為因素和技術因素。
2.1自然因素
影響電子檔案安全的自然因素主要指各種自然災害,如雷電、水災、火災、臺風、地震等,這些自然災害的發生會直接威脅到共享系統中的電子檔案安全。
2.2環境因素
電子檔案信息的產生、存取、傳播和利用等離不開計算機及網絡環境,這對電子檔案所依存的系統環境和網絡環境的要求是非常高的,如果電子檔案管理系統和網站的環境不符合要求(電源質量差,溫濕度不適應,無抗靜電、抗磁場干擾和無防塵、防火、防水、防雷電、防漏電、防盜竊的設施和措施等)就會影響電子檔案信息的安全。
2.3人為因素
人為因素又可以分為三類:第一類是蓄意破壞。蓄意破壞是故意破壞電子檔案的內容及其所依賴的載體、系統和網絡環境等,以獲得某種利益及達到某種目的。第二類是管理疏忽。管理疏忽包括管理人員的安全意識、保密意識、責任心不強,沒有建立起相應的信息安全法律法規、標準制度等。管理疏忽是造成事故發生的最大隱患。第三類是不當操作。電子檔案載體本身隨著使用次數的增加,其結構性能會有一定程度的降低。
2.4技術因素
在影響電子檔案信息安全的非人為因素中,技術因素不可忽視。信息技術、計算機網絡技術在工作中的廣泛應用,給電子檔案的安全帶來深刻的影響,一方面上述技術是電子檔案產生的前提,為電子檔案信息的管理和利用帶來極大的便捷;另一方面,這些技術本身并不是十全十美,也有局限性、漏洞和缺陷,這些都為電子檔案信息增加了被竊取、盜用、非法增刪及破壞等方面的安全隱患。
第三章 電子檔案安全管理措施
3.1載體安全保護
第一保證電子檔案載體的制成材料質量過關。硬件、軟件、磁盤、光盤、輸入輸出設備、信道信宿、其他反饋系統等都是電子檔案生成、存儲、傳輸和提供利用全過程的基礎。電子檔案制成材料主要有電子檔案的載體用料和記錄用料及相關設備用料。第二保證電子檔案載體物理上的安全。這是使其能夠通過電子計算機的軟硬件平臺,完整、準確并以人們可以理解的形式輸出的前提。
3.2電子檔案傳統安全管理措施的局限性
電子檔案傳統的安全管理措施主要存在著以下五種局限性:盲目性、非系統性、低效率性、被動性和缺乏制度性。
3.2.1盲目性
作為電子檔案的最終管理者,檔案部門對于電子檔案所處的風險沒有進行更深刻的探究,沒有從更深層次上發現風險發生的原因。最終在風險來臨之時,不能有效地控制風險。
3.2.2非系統性
電子檔案的風險往往并不是單一因素所造成的,除了內部因素外,還有外部因素。內部因素和外部因素兩者相加,大大加劇了電子檔案所遭遇風險的強度,而傳統的電子檔案保護措施,往往采取的是單一的防護措施,對于電子檔案的保護會出現“頭痛醫頭,腳痛醫腳”的現象,最終還是不能避免電子檔案風險的發生。
3.2.3低效率性
傳統保護措施的低效效率性主要體現在對于電子檔案的保護成本過高,而對于電子檔案風險的防范并不能取得相應的效果,這之間不能形成一種正比關系,從而造成人力、物力、財力上的巨大浪費。
3.2.4被動性
對于可能發生的風險,由于檔案工作者自身信息技術方面知識的欠缺,對信息技術發展了解不足,而維護網絡設備和相關系統的技術人員又往往對電子檔案的知識掌握不足,兩者之間這種信息鴻溝,使電子檔案在風險發生之前往往不能采取有效的措施加以預防,只待風險成為現實之后,才采取相應的措施進行補救。
3.2.5缺乏制度性
電子檔案的傳統保護措施缺乏制度性主要體現在兩個方面,一方面電子檔案的安全管理在實施過程中缺乏制度和標準的保障,在實施過程中沒有具體的操作程序可以執行,檔案工作者在操作過程中,存在很大的隨意性,在此期間,再次發生風險的可能性增加,風險的疊加,會給電子檔案帶來更大的危害。另一方面國家對于電子檔案安全管理缺乏相應的法律法規進行規范。以往的相關法規一般都集中在信息安全方面,但是電子檔案的安全管理有其特殊性,國家在此方面的關注度不足。
第四章結束語
本文的研究最終目的就在于為檔案工作者提供一種新管理思路,提高檔案管理者的風險意識,提高電子檔案的管理水平。在電子檔案管理過程中,管理者和管理部門必須要認識到電子文件風險的客觀性、不確定性、危害性,做好風險防范和應對工作,否則,如果對潛在風險的忽視,定會導致災難性后果,形成可怕的“記憶黑洞”、“歷史空白”。
電子檔案管理是我們現實工作中的重中之重的關鍵環節,只有認真做好這項工作,我們的各項工作才有保障,我們要防患于未然,重視細小的問題,重視防范,哪怕是拔掉插頭,用鐵錘擊碎,文件與數據也不會有任何影響。
參考文獻
篇8
1.信息安全概念
公安現役部隊信息安全是公安現役部隊信息化建設的基礎性工程.與一般意義上的信息安全相比.公安現役部隊信息安全具有一定的特殊性。
公安現役部隊信息安全是指保密信息必須只能夠被一組預先限定的人員存取對這類信息的未經授權的傳輸和使崩應該被嚴格限制是指系統的硬件、軟件及其系統中的數據受到保護.不因偶然的或者惡意的原因而遭受到破壞、更改、泄密,系統連續可靠正常地運行。
2.信息安全現狀分析
2.1網絡信息安全威脅嚴重
網絡信息安全事關國家安全、社會穩定、經濟發展和文化建設等各個領域.已經成為全球關注的熱點問題。根據瑞星”云安全”數據中心最新統計數據表明.2009年上半年.瑞星”云安全”系統攔截到的掛馬網頁數累計達2.9億個.共有11.2億人次網民遭木馬攻擊:其中大型網站、流行軟件被掛馬的有35萬個(以域名計算),比去年同期有大幅度增長。目前的互聯網非常脆弱.各種熱點新聞、流行軟件、社交(SNS)網站、瀏覽器插件的漏洞層出不窮.為黑客提供了大量入侵和攻擊的機會政府機關網站、各大中型企業網站,由于專業性技術人員缺乏.網站大多由第三方公司外包開發,存在缺陷較多,也最容易被掛馬。據統計,2009年1月份受感染型病毒侵襲的網民為106萬.而6月份則達到了395萬.上升了近4倍。
2.2公安現役部隊信息人才缺失
信息安全建設,人才是關鍵。一方面任何信息安全技術方面的成果都是人創造的:另一方面.任何危害信息安全的事件同樣也是人為的。因此,培養大量優秀的信息安全人才成為當前我公安現役部隊信息安全領域的頭等大事公安現役部隊需要大量信息安全的專門人才,邊、消、警部隊實現電子警務應用系統的發展也需要大量信息安全的專門人才。然而.目前我國只有少數大學能夠培養信息安全方向的研究生.部分院校培養本科生.其數量遠遠不能滿足需求目前我國從事信息安全研究的專業人才(副高職稱以上)僅有3000人.從事信息安全工作的人員也比較少.且多是”半路出家”.即由網絡管理人員通過有關信息安全知識的自學或短期培訓后從事這項工作的。此外。即使一些信息安全領域的公司也存在人才短缺或流失的問題.而公安部門同樣存在著較大的信息安全人才缺口
2.3官兵信息安全意識薄弱
有些官兵保信息安全意識不強,擅自將涉密便攜式電腦、硬盤、優盤和光盤帶出辦公室,極易造成涉及部隊政治工作策略、國家安全和軍事利益的文字、圖片或錄像資料的外泄:在連接國際互聯網的計算機上使用涉密儲存介質不經意造成的泄密問題比較突出。”一機跨兩網”、”一盤跨兩網”等行為屢禁不止,給部隊計算機網絡和信息安全造成了嚴重威脅,教訓極其深刻。此外.有些官兵管不住自己的嘴.通過語言威脅到大局信息安全的事件時有發生。有些同志不分對象、場所,為了炫耀自己”卓越”的見解.在不知不覺中隨口泄露機密。有些同志在接受大眾傳媒采訪.以及在進行新聞宣傳報道時,隨口說出涉密的重大任務和軍事活動.造成嚴重泄密。
3.公安現役部隊應對策略分析
公安現役部隊信息安全建設不是各部門信息安全建設成果的簡單疊加.而是要通過技術防范與管理相結合.注重整個系統的信息安全建設。
3.1增強安全防范.做到制度技術到位
實現公安現役信息安全.必須建立自己的信息安全技術保障體系。技術是信息發展的基礎.如果沒有信息安全技術作為支撐,信息安全就無法持久。安全保密設備是公安現役部隊信息安全的重要技術和物質基礎.在選擇設備上應使用國產的.如某設備無國產可選.使用進口設備須經相關部門檢測批準。在軟件建設方面針對系統的弱點和不足.加強新型防火墻、安全路游器、安全網關、入侵檢測系統等信息安全技術的研究和產品開發。改變目前我方在技術方面的易守難攻的局面,變被動為主動。在信息安全防范中,加緊對安全防護、安全監控、跟蹤警報等方面的關鍵技術進行突破。不失時機地對網絡信息系統進行檢測、模擬攻擊與評估工作.切實從技術手段上筑牢防止安全失泄密的閥門。
3.2建立信息安全技術人才保障體系.完備技術人才支撐系統
實現公安現役信息安全.必須建立自己的信息安全技術保障體系。技術是信息發展的基礎,如果沒有信息安全技術作為支撐.信息安全就無法持久。公安現役部隊只有配備大批既懂技術又懂管理的復合型人才.提高從業人員的信息安全水平.公安現役部隊在現有的體制、編制上.通過政策的調整可把有志向為公安現役事業奉獻的專業性人才吸納到隊伍中來。同時還可以與有關院校達成協議定向培養信息安全方面的本科生、研究生,減小供求矛盾.可使公安現役信息安全專項人才不斷補充。煥發生機。
3.3加強信息安全教育和技術培訓
官兵信息安全意識是信息安全建設的基礎.是數字化安全生存的必要保證。要加大信息技術的攻關和信息安全管理人員的技術培訓力度。構建信息安全培訓體系,進行全員的培訓和普及教育,從根本上消除”信息安全事不關己”的錯誤思想.使官兵意識到泄密事件可能通過個人的言行隨時可能引發.牢固樹立信息安全靠大家的思想.只有這樣才能不斷提高全體官兵的信息安全素質和意識
3.4提供部隊信息安全下的執法效率
篇9
我們把以政府為主體的一切負有公共事務管理職能的組織(包括行政機關,法律法規授權、委托的組織,來源于納稅人稅款的政府財政撥款的社會團體、組織等公共事業法人和社會組織)在行政過程中產生、收集、整理、傳輸、、使用存儲和清理的所有信息,稱為公共信息。珠三角地區是我國信息化程度的高度集中的地區,“數字珠三角”的提出,使公共信息在珠三角地區更富多元化和復雜化,而公共信息安全問題解決的好壞直接關系到區域的,社會的長治久安,國家的安全與穩定。珠三角作為我國新時期探索科學發展模式的試驗區,在摸索構建信息安全聯動體系的道路上更應體現“科學發展,先試先行”的核心理念,在危與機并存的新形式下,信息安全正面臨著嚴峻的挑戰,建立信息安全聯動體系的呼聲也越發響亮。
一、珠三角地區公共信息安全現狀的分析
公共信息安全是指個人、組織、社會和國家在信息傳播過程中保護自身利益不受損害,它包括物理設施安全、技術安全、信息內容安全等國家、社會公共安全的總和。珠三角地區目前信息化程度在全國處于領先地位,但在信息化普及過程仍存在諸多安全問題。
(一)信息共享渠道不暢。當前的難點在于信息歸部門所有,在信息管理上條塊分割現象嚴重,區域內小到政府部門,大到地方政府,大多只考慮自身的管理和利益的需要,很少能從全局發展的戰略需求角度考慮,各部門,各地方間缺乏必要的溝通配合,相互問協調聯動不夠,信息獲取存在障礙,不能有效整合信息資源。面對突發安全事件時,由于事件自身具有復雜多變的特性,需調動各方力量,收集各類信息,對信息進行分門別類,分析提煉,加工處理,才能為決策領導層制定行之有效的解決對策提供素材。但因存在部門信息保護主義,以及訪問權限的設置問題,容易導致管理部門相互間推諉扯皮現象的出現,不僅不能及時便捷的處理問題,有時反而“延誤戰機”,造成不可估量的損失。
(二)電子政務建設華而不實。政府門戶網站提供服務的能力直接反映了政府信息化的綜合水平,同時也在一定程度上折射出真實政府的運作情況和應對信息威脅的能力。隨著珠三角地區經濟的飛速發展,本地區的信息產業也不斷得到提高,電子政務建設無論在資金投入上還是技術設備上都處在全國領先地位,但同時也存在不少問題,一方面,珠三角地區在信息系統建設存在相互攀比,急于求成,重復建設的現象,有的政府部門為了實現所謂“政務公開,公務透明”的電子化辦公,盲目投資,建設內容貧乏,失去時效,形同虛設的網站。不但容易造成資源的鋪張浪費,不利于對公共信息的采集、傳遞、確認、分析和理解,而且容易造成政出多門,辦事效率低下的深層問題。
一旦遭遇公共危機,政府信息系統在危機期間的信息采集,信息整合、信息將出現紊亂,導致政府信息準確性的降低,影響政府的公眾形象和政府公信力。另一方面,政府網絡有其特殊性,網絡和信息安全防護十分重要。但作為面向公共社會服務的信息平臺,卻沒有專門設立公共信息安全知識的服務型網站,公眾對公共安全基本知識缺乏了解。
(三)公共信息系統建設缺乏統一規范。公共信息系統的建設標準尚未規范和統一。“數字珠三角”意味著信息化,信息化意味著網絡化,網絡化意味著互通互聯、資源共享,規范和統一信息建設標準十分重要j。珠三角各地的信息化程度普及率高,有條件率先實現統一的公共信息系統建設的標準。但鑒于珠三角城市問的經濟發展水平和公共服務能力存在差距,如果全都劃一要求,一統到底,勢必造成“水土不服”。必須要有一個科學的,合理的、講求效益的界定。
(四)信息安全防范治理能力不強。公共信息安全的關鍵在于防范。目前,珠三角信息和網絡安全的防范能力處于發展的初步階段。許多應用系統處于不設防階段。全國范圍內,包括珠三角地區的信息與網絡安全研究任停留在封堵現有信息系統的安全漏洞階段。區域的綜合信息安防能力面臨考驗。一方面,雖然珠三角地區的政府在推進信息安全的風險評估,風險控制,風險管理的推廣、規范工作上步伐較快,但維護信息安全的核心技術和關鍵技術卻基本被國外壟斷。對可信安全計算、信息安全內容管理、網絡安全管理與風險評估、應急響應和安全應用支撐平臺等一系列網絡信息安全核心技術的自主研發仍處在起步階段,與國外先進國家、地區的信息安防技術能力存在明顯差距。另一方面,許多公眾和政府工作人員對公共信息安防領域的認識仍局限在防病毒、入侵檢測、vpn、垃圾郵件等基本防范手段上,而忽視對utm(統一威脅管理)、soc(安全運營中心)等新型信息防范手段的學習。
二、建立珠三角公共信息安全聯動體系的必要性
(一)面對人為事件、事故,自然災害建立聯動信息安防體系是公共安全的基本必要。珠三角在空間上是一個相互依存的系統,空間的分布并不是根據行政界線來劃分,珠江三角洲經濟區毗鄰港澳,華僑、港澳同胞眾多,具有發展對外貿易和經濟技術合作,引進外資和技術等方面優越的條件,是我國對外開放的重點地區;地區內的經濟活動頻繁,相互間關系密切,在交通運輸、生產事故、刑事犯罪等人為事件、事故處理上具有區域的聯發聯動性,此外該地區是洪澇災害和臺風等自然災害的頻發地區,對自然災害的預防和應急亦需要跨地區跨部門的相互聯動合作。建立珠三角信息聯動體系,可以有效整合各地資源,及時有效的采取應對措施,排除險情,解除危難;保證在信息收集、分析、傳遞、方面的準確性和有效性,防止信息失真帶來的嚴重后果的。
(二)珠三角作為我國經濟改革發展的“試驗田”,在區域經濟一體化的政策導向下,建立聯動信息安防體系是公共安全的特殊必要。城市區域內的矛盾和沖突是必然的,這是由于城市區域經濟活動本身的外部性及信息不對稱所造成的。珠三角城市區域內的某些地方政府,常通過建立地方保護鏈條、重復建設項目等手段,來實現地方利益的最大化,從而加大了珠三角地區城市間經濟交易的成本,不利于經濟一體化的形成。打破這種信息不對稱性所照成的城市經濟“孤島危機”就必須建立公共信息共享以及安全保護的聯動體系,通過制度變遷,建立相應的城市區域信息協作組織,在安全可靠的環境下,對公共經濟等信息實現互聯互動,不僅可以實現區域內城市不同利益主體的相互間信息交流,降低不同利益主體達成交易的成本,并能對區域的經濟發展現狀進行有效的監督。
三、珠三角公共信息安全聯動體系的構建和管理
(一)注重公共信息安全法律建設。
加強公共信息安全法制的立法工作。法律本身就是確保公共信息安全管理的一項重要保障,為有效貫徹落實國家信息安全等級保護制度,在總結基礎調查和試點工作的基礎上,國家頒布了《中華人民共和國計算機信息系統安全保護條例》和印發了《信息安全等級保護管理辦法》等相關條例,確定了信息安全等級保護制度的基本內容及各項工作要求,進一步明確了國家、公民、法人和其他組織在等級保護工作中的責任、義務,各職能部門在信息安全等級保護工作中的職責分工以及信息系統運營使用單位、行業主管部門的安全保障法律責任。
但是中國目前尚沒有形成專門的“公共信息安全”法規體系,還有許多公共領域在信息安全方面無法可尋、無法可依,地方性在公共信息安全方面的行政法規良莠不齊,難以統一。公共信息安全法律體系的研究可以選擇不同的切入點。按照法律效率,我們可以從法律、法規和規章層次討論信息安全的法律體系。也可以另辟蹊徑,以戰略作為出發點探討信息安全的法律體系。我國應從國情出發,積極探索加強信息安全法制建設的新思路,加快信息安全的立法工作,尤其是要加快信息安全基本大法的立法進程,以建立起一套既符合國際通行規則,又具有中國特色、門類齊全、層次分明、結構嚴謹的信息安全法律體系,為信息安全保障工作提供更有力的法律支撐j。在珠三角規劃出臺的新形勢下,國家可以不妨逐步探索、建設和制訂與區域一體化相適應的公共信息安全法律體系,這不僅有利于公共信息安全治理的規范化和穩定化;有利于為公共信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務;有利于優化信息安全資源的配置,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定的重要信息系統安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動各類信息安全產業的發展,逐步探索出一條適應社會主義市場經濟發展的信息安全模式,為以后我國全面實施公共信息安全保護工作提供政策支持。
(二)建立統一的、共享的、安全的公共信息網絡系統。
首先,以信息資源開發利用為導向,加強珠三角公共數據整合。城市信息資源在信息化過程中得到不斷積累,只有以信息資源開發利用為導向,城市信息化綜合效益才能得到提高。到目前為止,各城市都建立了具有本地特色的數據庫,但是多數數據庫的使用都處于封鎖狀態,這嚴重影響了城市信息化建設的效益發揮。未來幾年,城市公共數據整合將成為未來城市信息化建設的一項重點工作。公共數據整合要結合城市經濟發展戰略和現狀,構建城市各部門、各組織共享的公共數據庫,這也是當前城市信息化建設中必須著力解決的重要課題。根據我國信息資源規劃和建設的總體要求,各地要建立一批具有公益性、基礎性、實用性的公共數據庫;加緊建設和健全自然人基礎信息庫、法人基礎信息庫,作為建構公共數據庫的基礎,合理、高效地利用信息資源,整合現有的信息資源;加強生產、流通、科技、人口、資源、生態環境等領域的信息資源開發利用工作;加快教育、文化、公共文獻等領域信息資源的數字化、網絡化進程。
其次,加強信息和信息安全關鍵技術的自主研發,從技術上統一標準。當前,我國在信息和信息安全領域總體上處于關鍵技術和設備受制于人的被動局面,發展信息和信息安全高端技術、提高自主創新能力已經成為我國掌握信息安全主動權的唯一出路。為加強信息和信息安全關鍵技術的研發,我國必須采取有效措施,建立健全堅強有力、運轉靈活、工作高效的新體制,全方位地指導信息和信息安全關鍵技術的規劃、研發、成果轉化,同時組織和動員各方力量,密切跟蹤世界先進技術的發展,逐步形成基礎信息網絡、重要信息系統以自主可控技術為主的新格局。
再次,建立完善的信息安全風險評估體系。在信息系統建設的同時,要進行信息安全的總體設計和信息系統安全工程建設,在系統驗收時必須對信息系統安全進行測評認證。對于已建的信息系統,要完善信息安全的總體設計和信息系統安全工程建設,進行系統安全測評認證。在信息系統建設中信息安全的投資應占系統投資的一定比例。各級機關和重點單位新建和改建信息系統必須配套建設信息安全子系統,并與主體工程實行同時設計、同時施工、同時投入使用。加強對修訂稿安全產品、服務商資質、信息系統的安全管理與測評認證,在系統建設總體方案評審時強化對安全保障方案的審查和各項安全保障功能的認證。
最后,加強對信息網絡、信息產品和網上交易行為的監管,提高對網上信息的跟蹤管理能力、對專案對象的監控能力和對制造和傳播計算機病毒、非法入侵、泄密、竊密以及散布有害信息等行為的防范能力,嚴厲打擊危害計算機信息系統安全和利用計算機技術進行犯罪活動。保障國家秘密、商業秘密和個人隱私的權利,抵制不良文化、不實新聞在網上傳播,維護信息安全和社會穩定。
(三)建立政府主導下的公共信息安全組織體系,落實安全管理責任制
篇10
電子商務在網絡經濟發展日益迅猛的當下,應用越來越廣泛,這種基于internet進行的各種商務活動模式以其特有的開放性讓商務活動相比較以往更加高效快捷。in-ternet 是一個開放的、全球性的、無控制機構的網絡,計算機網絡自身的特點決定了網絡不安全,網絡服務一般都是通過各種各樣的協議完成的,因此網絡協議的安全性是網絡安全的重要方面,internet 的數據傳輸是基于 tcp/ip操作系統來支持的,tcp/ip 協議本身存在著一定的缺陷。
1電子商務所面臨的信息安全威脅
1.1 安全環境惡化
由于在計算機及網絡技術方面發展較為遲緩,我國在很多硬件核心設備方面依然以進口采購為主要渠道,不能自主生產也意味著不能自主控制,除了生產技術、維護技術也相應依靠國外引進,這也就讓國內的電子商務無法看到眼前的威脅以及自身軟件的應付能力。
1.2平臺的自然物理威脅
由于電子商務通過網絡傳輸進行,因此諸如電磁輻射干擾以及網絡設備老化帶來的傳輸緩慢甚至中斷等自然威脅難以預測,而這些威脅將直接影響信息安全。此外,人為破壞商務系統硬件,篡改刪除信息內容等行為,也會給企業造成損失。
1.3黑客入侵
在諸多威脅中,病毒是最不可控制的,其主要作用是損壞計算機文件,且具有繁殖功能。配合越來越便捷的網絡環境,計算機病毒的破壞力與日俱增。而目前黑客所慣用的木馬程序則更有目的性,本地計算機所記錄的登錄信息都會被木馬程序篡改,從而造成信息之外的文件和資金遭竊。
2電子商務信息安全的防范處理方法
2.1針對病毒的技術
作為電子商務安全的最大威脅,對于計算機病毒的防范是重中之重。對于病毒,處理態度應該以預防為主,查殺為輔。因為病毒的預防工作在技術層面上比查殺要更為簡單。多種預防措施的并行應用很重要,比如對全新計算機硬件、軟件進行全面的檢測;利用病毒查殺軟件對文件進行實時的掃描;定期進行相關數據備份;服務器啟動采取硬盤啟動;相應網絡目錄和文件設置相應的訪問權限等等。同時在病毒感染時保證文件的及時隔離。在計算機系統感染病毒的情況下,第一時間清除病毒文件并及時恢復系統。
2.2防火墻應用
防火墻主要是用來隔離內部網和外部網,對內部網的應用系統加以保護。目前的防火墻分為兩大類:一類是簡單的包過濾技術,它是在網絡層對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯,檢查數據流中每個數據包后,根據數據包的源地址、目的地址、所用的 tcp 端口和 tcp 鏈路狀態等因素來確定是否允許數據包通過。另一類是應用網管和服務器,可針對特別的網絡應用服務協議及數據過濾協議,并且能夠對數據包分析并形成相關的報告。
2.3數據加密技術的引入
加密技術是保證電子商務安全采用的主要安全措施。加密過程就是根據一定的算法,將可理解的數據(明文)與一串數字(密鑰)相結合,從而產生不可理解的密文的過程,主要加密技術是:對稱加密技術和非對稱加密技術。
2.4認證系統
網上安全交易的基礎是數字證書。數字證書類似于現實生活中的身份證,用于在網絡上鑒別個人或組織的真實身份。傳統的對稱密鑰算法具有加密強度高、運算速度快的優點,但密鑰的傳遞與管理問題限制了它的應用。為解決此問題,20 世紀 70 年代密碼界出現了公開密鑰算法,該算法使用一對密鑰即一個私鑰和一個公鑰,其對應關系是唯一的,公鑰對外公開,私鑰個人秘密保存。一般用公鑰來進行加密,用私鑰來進行簽名;同時私鑰用來解密,公鑰用來驗證簽名。
2.5其他注意事項
(1)機密性是指信息在存儲或傳輸過程中不被他人竊取或泄漏,滿足電子商務交易中信息保密性的安全需求,避免敏感信息泄漏的威脅。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,維護商業機密是電子商務全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。
(2)商務信息的完整性,只讀特性以及修改授權問題是電子商務信息需要攻克的一大難關。信息在傳輸過程中必須保持原內容,不能因技術、環境以及刻意原因而輕易被更改。
篇11
隨著網絡技術的廣泛應用,我國電子商務的安全問題也日益突出。根據“2010年上半年,計算機病毒和互聯網安全報告疫情”的數據表明,2010年上半年,計算機病毒,木馬的數量依然保持快速增長,新病毒不斷出現,一些“老”的病毒推出了眾多變種。2010年上半年計算機病毒,木馬數量迅速增加,超出了近五年病毒數量的總和。在日益增多的電子商務安全問題面前,需要我們采取新措施來進行防范。
一、電子商務的安全現狀
目前電子商務的安全問題比較嚴重,最突出的表現在計算機網絡安全和商業誠信問題上。因為篇幅問題,本文只側重于計算機網絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現出以下特點:
(一)木馬病毒爆炸性增長,變種數量的快速增加
據統計,僅2009年上半年掛載木馬網頁數量累計達2.9億個,共有11.2億人次網民訪問掛載木馬,2010年元旦三天就新增電腦病毒50萬。病毒的數量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征。總體而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放,可以自動從指定的網址上下載新病毒,并進行自動更新,永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網絡盜竊、詐騙活動,通過網絡販賣病毒、木馬,教授病毒編制技術和網絡攻擊技術等形式的網絡犯罪活動明顯增多,電子商務網絡犯罪也逐漸開始呈公開化、大眾化的趨勢。
(二)網絡病毒傳播方式的變化
過去,傳播病毒通過網絡進行。目前,通過移動存儲介質傳播的案例顯著增加,存儲介質已經成為電子商務網絡病毒感染率上升的主要原因。由于u盤和移動存儲介質廣泛使用,病毒、木馬通過autorun.inf文件自動調用執行u盤中的病毒、木馬等程序,然后感染用戶的計算機系統,進而感染其他u盤。與往年相比,今年通過網絡瀏覽或下載該病毒的比例在下降。不過,從網絡監測和用戶尋求幫助的情況來看,大量的網絡犯罪通過“掛馬”方式來實現。“掛馬”是指在網頁中嵌入惡意代碼,當存在安全漏洞的用戶訪問這些網頁時,木馬會侵入用戶系統,然后盜取用戶敏感信息或者進行攻擊、破壞。通過瀏覽網頁方式進行攻擊的方法具有較強的隱蔽性,用戶更難于發現,潛在的危害性也更大。
(三)網絡病毒給電子商務造成的損失繼續增加
調查顯示,瀏覽器配置被修改,損壞或丟失數據,系統的使用受限,網絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經濟利益,給被感染的用戶帶來重大損失。繼“熊貓燒香”之后,復合型病毒大量出現,如:仇英、艾妮等病毒。同時,網上販賣病毒、木馬和僵尸網絡的活動不斷增多,利用病毒、木馬技術傳播垃圾郵件和進行網絡攻擊、破壞的事件呈上升趨勢。
二、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
2.對信息的竊取。攻擊者在網絡的傳輸信道上。通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。
3.對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注人偽造消息等,從而使信息失去真實性和完整性。
4.拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。
5.對發出的信息予以否認.某些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
6.信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸人虛假銀行資料使賣方不能提款i用戶付款后,賣方沒有把商品發送到客戶手中,使客戶蒙受損失。
7.電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。如,cih病毒的爆發幾乎在瞬間給網絡上數以萬計的計算機以沉重打擊。
三、電子商務的安全需求
電子商務威脅的出現導致了對電子商務安全的需求,主要包括有效性、完整性、不可抵賴性、匿名性。
1.有效性。保證信息的有效性是開展電子商務的前提,一旦簽訂交易,這項交易就應得到保護以防止被篡改或偽造。
2.完整性。貿易雙方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易雙方信息的完整性是電子商務的基礎。
3.不可抵賴性。交易一旦達成,原發送方在發送數據后就不能抵賴,接收方接到數據后也不能抵賴。
4.匿名性。電子商務系統應確保交易的匿名性,防止交易過程被跟蹤,保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體。
四、電子商務安全防治措施及安全舉措
防范電子商務網絡犯罪是一個系統工程,不僅需要人們提高防范電子商務網絡犯罪的意識,加強防范電子商務網絡犯罪的制度建設,而且.還需要技術上不斷更新和完善,為此,需要做好以下幾方面的工作。
1.加強教育和宣傳,提高公眾電子商務的安全意識。信息安全意識是指人們在上網的過程中,對信息安全重要性的認識水平,發現影響網絡安全行為的敏銳性,維護網絡安全的主動性。強化上網人員的信息安全意識,就是要讓上網人員認識到,網絡信息安全是電子商務正常而高效運轉的基礎,是保障企業、公民和國家利益的重要前提,從而牢同樹立網上交易,安全第一的思想。主要采取以下措施:一是通過大眾媒體,普及電子商務的安全知識,提高用戶的認識。二是積極組織研討會和培訓課程,培養電子商務網絡營銷安全管理人才。
2.采用多重網絡技術,保證網絡信息安全。目前,常用的電子商務安全技術,主要包括:防火墻,物理隔離,vpn(虛擬專用網)。防火墻是實現內部網與外部網安全和入侵隔離的常規技術。使用防火墻,一方面是抵御來自外界的攻擊。另一方面是為了防止在服務器內部部分未經授權的用戶攻擊。因此,電子商務內外網與互聯網之間要設置防火墻。網管人員要經常到有關網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,發現任何安全隱患及時更改,做到有備無患。企業上網必須實行內外網劃分和內外網的物理隔離。要運用vpn新技術,為使用者提了一種通過公用網絡,安全地對食業網絡進行遠程訪問,同時又能保證企業的系統安全。包括操作系統、數據庫和服務器(如web服務器、e-maii。服務器)的安全。
3.運用密碼技術,強化通信安全。應圍繞數字證書應用,為電子政府信息網絡中各種業務應用提供信息的真實性、完整性、機密性和不可否認性保證。在業務系統中建立有效的信任管理機制、授權控制機制和嚴密的責任機制。目前要加強身份認證、數據完整性、數據加密、數字簽名等工作。對于電子商務中的各種敏感數據進行數據加密處理,并且在數據傳輸中采用加密傳輸,以防止攻擊者竊密。電子商務信息交換中的各種信息,必須通過身份認證來確認其合法性,然后確定這個用戶的個人數據和特定權限。“在涉及多個對等實體間的交互認征時,應采用基于pki技術,借助第三方(ca)頒發的數字證書數字簽名來確認彼此身份。”為了從根本上保證我國網絡的安全,我同安全產品的應用應建立在國內自主研發的產品基礎上,國外的先進技術可以參考,但不能完全照搬。政府應該鼓勵和扶植一批企業加快數字安全技術的研究,以提高我國信息企業的技術和管理水平,促進我同電子商務安全建設。
4.加強技術管理,努力做到使用安全。首先是在內部嚴格控制企業內部人員對網絡共享資源的隨意使用。在內網中,除有特殊需要不要輕易開放共享目錄,對有經常交換信息要求的用戶,在共享時應該加密,即只有通過密碼的認證才允許訪問數據。二是對涉及秘密信息的用戶主機,使用者在應用過程中應該做到盡可能少開放一些不常用的網絡服務,同時封閉一些不用的端口。并對服務器中的數據庫進行安全備份。三是切實保證媒體安全。包括媒體數據的安全及媒體本身的安全。要防止系統信息在物理空間上的擴散。為了防止系統中的信息在物理空間上的擴散,應在物理上采取一定的防護措施,如進行一定的電磁屏蔽,減少或干擾擴散出去的空間信號。這樣做,對確保企業電子商務安全將發揮重要作用。
5.健全法律,嚴格執法。目前我國在電子商務法律法規方面還有很多缺失,不能有效地保護公眾的合法權益,給一些犯罪分子帶來了可乘之機。我國立法部門應加快立法進程,吸取和借鑒國外網絡信息安全立法的先進經驗,盡快制定和頒布《個人隱私保護法》、《商業秘密保護法》、《數據庫振興法》、《信息網絡安全法》、《電子憑證(票據)法》、《網上知識產權法》等一系列法律,使電子商務安全管理走上法制化軌道。使網絡控制、信息控制、信息資源管理和防止泄密有法可依,并得到技術上的支撐。健全電子商務安全標準認證和質量檢測機制,由國家主管部門組織制定有關電子商務安全條例規定,并發揮職能部門的監管作用。通過建立電子商務安全法規體系,規范和維持網絡的正常運行。
參考文獻:
[1]許寧寧.電子商務安全的現狀與趨勢[j].中國電子商務,2010,(1).
篇12
一、傳輸層安全
最常見的攻擊是TCP會話劫持,該劫持是劫持一個現存的會話,利用合法用戶進行連接并通過驗證,之后順其自然接管會話。TCP通過3次握手建立連接以后主要采用滑動窗口機制來驗證對方發送的數據,如果對方發送的數據不在自己的接收窗口內,則丟棄此數據,這種發送序號不在對方接收窗口的狀態稱為非同步狀態。當通信雙方進入非同步狀態后,攻擊者可以偽造發送序號在有效接收窗口內的報文也可以截獲報文。篡改內容后,再修改發送序號,而接收方會認為數據是有效數據。
TCP會話劫持的攻擊方式可以對基于TCP的任何應用發起攻擊,如HTTPFTP及Telnet等。攻擊者通過正在進行TCP通信的2臺主機之間傳送的報文得知該報文的源IP、源TCP端口號、目的IP、目的TCP端口號。從而可以得知其中一臺主機對將要收到的下一個TCP報文段中seq和ackseq值的要求。這樣,在該合法主機收到另一臺合法主機發送的TCP報文前,攻擊者根據所截獲的信息向該主機發出一個帶有凈荷的TCP報文,如果該主機先收到攻擊報文就可以把合法的TCP會話建立在攻擊主機與被攻擊主機之間。TCP會話劫持避開了被攻擊主機對訪問者的身份驗證和安全認證。使攻擊者直接進入對被攻擊主機的訪問狀態,因此對系統安全構成的威脅比較嚴重。
二、地址機制
IPv6采用128位的地址空間,其可能容納的地址總數高達2128,相當于地球表面每平方米擁有6.65×1023個。一方面可解決當前地址空間枯竭的問題,使網絡的發展不再受限于地址數目的不足;另一方面可容納多級的地址層級結構,使得對尋址和路由層次的設計更具有靈活性,更好地反映現代Internet的拓撲結構。IPv6的接口ID固定為64位,因此用于子網ID的地址空間達到了64位,便于實施多級路由結構和地址集聚。IPv6的前綴類型多樣,64位的前綴表示一個子網ID,小于64位的前綴要么表示一個路由,要么表示一個地址聚類。IPv6的地址類型包括單播、多播和任播地址,取消了廣播地址。IPv6的地址機制帶來的安全措施包括:
1)防范網絡掃描與病毒、蠕蟲傳播。傳統的掃描和傳播方式在IPv6環境下將難以適用,因為其地址空間太大。
2)防范IP地址欺騙。IPv6的地址構造為可會聚、層次化的地址結構,每一ISP可對其客戶范圍內的IPv6地址進行集聚,接入路由器在用戶進入時可對IP包進行源地址檢查,驗證其合法性,非法用戶將無法訪問網絡所提供的服務。另外,將一個網絡作為中介去攻擊其他網絡的跳板攻擊將難以實施,因為中介網絡的邊界路由器不會轉發源地址不屬其范圍之內的IPv6數據包。
3)防范外網入侵。IPv6地址有一個作用范圍,在這個范圍之內,它們是唯一的。在基于IPv6的網絡環境下,主機的一個網絡接El可配置多種IPv6地址,如鏈路本地地址、站點本地地址、單播全球地址等,這些不同地址有不同的作用域。IPv6路由器對IPv6地址的作用范圍是敏感的,絕不會通過沒有正確范圍的接El轉發數據包。因此,可根據主機的安全需求,為其配置相應的IPv6地址。例如,為保障本地子網或本地網絡內的主機的安全,可為其配置相應的鏈路本地或站點本地地址,使其通信范圍受限于所在鏈路或站點,從而阻斷外網入侵。
三、通用的安全協議將逐步消失,取而代之的是融合安全技術
當網絡安全還沒有成為網絡應用的重要問題時,制定的通信協議基本上不考慮協議和網絡的安全性。而當這些協議大規模使用出現諸多安全漏洞和安全威脅后,不得不采取補救措施,即發展安全協議保護通信的安全,因此IPSec、IKE、TLS等通用的安全協議應運而生,并獲得廣泛的應用,在充分重視安全重要性后,新的協議在設計過程中就充分考慮安全方面的需要,協議的安全性成了新的協議是否被認可的重要指標.因此新的通信協議普遍融入了安全技術,如SIP本身就附帶諸多安全機制,IPv6本身附帶了必要的安全字段,這種發展趨勢將會持續,由此可以預見,傳統的通用安全協議應用范圍將逐漸縮小,最終消失,取而代之的是所有通信協議都具備相應的安全機制。
四、總結
總之,隨著網絡的普及,網絡信息安全所面臨的危險已經滲透到社會各個方面,應深刻剖析各種不安全的因素,并采取相應的策略,確保網絡安全。解決信息網絡安全僅依靠技術是不夠的,還要結合管理、法制、政策及教育等手段,將信息網絡風險降低至最小程度。相信隨著網絡安全技術的不斷改進和提高,以及各項法律法規的不斷完善,將能構造出更加安全可靠的網絡防護體系。
網絡安全法律制度所要解決的問題,乃是人類進入信息社會之后才產生的特殊安全問題。正如為了適應時代所賦予的“正義觀念”必須調整為“科學發展觀”一樣,法律規范隨著信息社會的發展也應適應新的安全問題而作出結構性調整,以符合時代賦予的“科學發展觀”。
網絡安全監管應當以“快速反應和有效治理”為原則。從信息化發展的趨勢考察,政府部門職權的適當調整是網絡安全監管權力配置的必然選擇。因此,構建政府部門之間、政府與社會之間的“信息共享”機制便成為網絡安全監管法制建設的重點,應當注意到,只有政府和企業、個人密切配合,才能彌補政府網絡安全監管能力的不足,使其更好地履行職責,從而實現保障網絡安全的戰略目標。
參考文獻:
[1]鄭曉妹.信息系統安全模型分析[J]安徽技術師范學院學報,2006,(01).
[2]李雪青.論互聯網絡青年道德主體性的失落及其建設[J]北方工業大學學報,2000,(04).
[3]劉建永,杜婕.指揮控制系統的信息安全要素[J]兵工自動化,2004,(04).
[4]高攀,陳景春./GS選項分析[J]成都信息工程學院學報,2005,(03).
[5]劉穎.網絡安全戰略分析[J]重慶交通學院學報(社會科學版),2003,(S1).
[6]劉穎.析計算機病毒及其防范技術[J]重慶職業技術學院學報,2003,(04).
[7]王世明.入侵檢測技術原理剖析及其應用實例[J]燕山大學學報,2004,(04).
篇13
長期以來,人們對保障信息系統安全的手段偏重于依靠技術,從早期的加密技術、數據備份、防病毒到近期網絡環境下的防火墻、入侵檢測、漏洞掃描、身份認證等等。但事實上,僅僅依靠安全技術和安全產品保障信息系統安全的愿望卻往往難盡人意,許多復雜、多變的安全威脅和隱患靠安全產品是無法消除的。據有關部門統計,在所有的計算機安全事件中,約有52%是人為因素造成的,25%由火災、水災等自然災害引起,技術錯誤占10%,組織內部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類,屬于管理方面的原因比重高達6O%以上,而這些安全問題中的95%是可以通過科學的信息安全管理來避免。因此,加強安全管理已成為提高信息系統安全保障能力的可靠保證,是金融信息系統安全體系建設的重點。
1安全管理體系構建
信息安全源于有效的管理,使技術發揮最佳效果的基礎是要有一定的信息安全管理體系,只有在建立防范的基礎上,加強預警、監控和安全反擊,才能使信息系統的安全維持在一個較高的水平之上。因此,安全管理體系的建設是確保信息系統安全的重要基礎,是金融信息系統安全保障體系建設最為重要的一環。為在金融信息系統中建立全新的安全管理機制,最可行的做法是技術與管理并重,安全管理法規、措施和制度與整體安全解決方案相結合,并輔之以相應的安全管理工具,構建科學、合理的安全管理體系。
金融信息系統安全管理體系是在金融信息系統安全保障整體解決方案基礎上構建的,它包括信息安全法規、措施和制度,安全管理平臺及信息安全培訓和安全隊伍建設,其示意圖如圖1所示。
2安全管理平臺
安全管理平臺是通過采用技術手段實施金融信息系統安全管理的平臺,它包括安全預警管理、安全監控管理、安全防護與響應管理和安全反擊管理。
2.1安全預警管理
安全預警管理的功能由預警系統實現,通過該系統,可以在安全風險動態威脅和影響金融信息系統前,事先傳送相關的警示,讓管理員采取主動式的步驟,在安全風險影響運作前加以攔阻,從而預防全網業務中斷、效能損失或對其公眾信譽造成危害,達到提前保護自己的作用。安全預警系統通過追蹤最新的攻擊技術,分析威脅信息以辨識出真正潛在的攻擊,迅速響應并提供定制化威脅分析及個性化的漏洞和惡意代碼告警服務,幫助降低風險,防患于未然。
2.2安全監控管理
通過安全監控功能可以實時監控金融信息系統的安全態勢、發生了哪些攻擊、出現了什么異常、系統存在什么漏洞以及產生了哪些危險日志等,因此安全監控功能對于金融信息系統的安全保障體系來說是至關重要的。
1)基于實時性的安全監控。通過在線方式管理金融信息系統中的資源狀態和實時安全事件,及時關注IT資源和安全風險的現狀和趨勢,通過實時監控來提高系統的安全性和IT資源的效能。
2)基于智能化的安全監控。利用智能信息處理技術對信息網絡中的各種安全事件進行智能處理,實現報警信息的精煉化,提高報警信息的可用信息量,降低安全設備的虛警和誤警,從而有效地提高安全保障系統中報警信息的可信度。
3)基于可視化的安全監控。通過對安全事件分析過程與分析報告的可視化手段,如圖表/曲線/數據表/關聯關系圖等,提供詳細的入侵攻擊信息乃至重現攻擊場景,實現對入侵攻擊行為的追蹤,使得對安全事件的分析更為直觀,從而有效提高安全管理人員對于入侵攻擊的監控理解,使安全系統的管理更為有效。
4)基于分布式的安全監控。通過系統分布式的多級部署方式,可以實現對金融信息系統內各個子系統的監控和綜合分析能力,同時對不同安全保護等級的用戶提供相應的監控界面和信息,從而嚴格滿足其安全等級劃分的用戶級要求。
2.3安全防護與響應管理
在金融信息系統的安全系統中由于安全的異構屬性,因此會采用不同的安全技術和不同廠家的安全產品來實現安全防護的目的。通過安全防護與響應管理可以及時響應和優化整個系統安全防護策略;最直接的響應就是提供多種方式,如報警燈、窗日、郵件、手機短信等向安全管理員報警,然后日志保存在本地數據庫或者異地數據庫中。
1)優化安全策略分析。通過實時掌握自身的安全態勢,及各種安全設備、網絡設備、安全系統和業務系統的處理情況,輸出正常和非法個性化的安全策略報表,然后直接通知相應的安全管理人員或廠商對其自身策略進行優化調整。
2)動態響應策略調整。通過對各種安全響應協議的支持,如SNMP、TOPSEC、聯動協議等,實現相關的安全防護技術策略的自動交互,同時通過專家知識庫能從全局的角度去響應安全事件很好地解決安全誤報問題。
3)安全服務自動協調。當智能分析和安全定位功能確認出安全事件或安全故障時,及時調派安全服務人員小組(或提供安全服務的供應商)進行相應的安全加固防護。
2.4安全反擊管理
安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。
1)安全事件的取證管理。取證在網絡與信息系統安全事件的調查中是非常有用的工具,通過對系統安全事件的存儲和分析,實現對安全事件的取證管理,給相關調查人員提供安全事件的直接取證。
2)安全事件的追蹤反擊。通過資源狀態分析、關聯分析、專家系統分析等有效手段,檢測到攻擊類型,并定位攻擊源。隨后,系統自動對目標進行掃描,并將掃描結果告知安全管理員,并提示安全管理員查詢知識庫,從中提取有效手段對攻擊源進行反擊控制。
3安全管理措施建議
在安全管
理技術手段的基礎上,還要提高安全管理水平。俗話說“三分技術,七分管理”,由于金融信息系統相對比較封閉,對于金融信息系統安全來說,業務邏輯和操作規范的嚴密程度是關鍵。因此,加強金融信息系統的內部安全管理措施,建立領導組織體系,完善落實內控制度,強化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理機構的建設。目前,我國已經把信息安全提到了促進經濟發展、維護社會穩定、保障國家安全、加強精神文明建設的高度,并提出了“積極防御、綜合防范”的信息安全管理方針,專門成立了網絡與信息安全領導小組、國家計算機網絡應急技術處理協調中心(簡稱CNCERT/CC)、中國信息安全產品測評認證中心(簡稱CNITSEC)等,初步建成了國家信息安全組織保障體系。為確保金融信息系統的安全,在金融信息系統內部應組建安全管理小組(或委員會),安全管理小組制定出符合企業需要的信息安全管理策略,具體包括安全管理人員的義務和職責、安全配置管理策略、系統連接安全策略、傳輸安全策略、審計與入侵安全策略、標簽策略、病毒防護策略、安全備份策略、物理安全策略、系統安全評估體系等內容。安全管理應盡量把各種安全策略要求文檔化和規范化,以保證安全管理工作具有明確的依據或參照。
2)在保證信息系統設備的運行穩定可靠和信息系統運行操作的安全可靠的前提下,增加安全機制,如進行安全域劃分,進行有針對性的安全設備部署和安全策略設置,以改進對重要區域的分割防護;增加入侵檢測系統、漏洞掃描、違規外聯等安全管理工具,進行定時監控、事件管理和鑒定分析,以提高自身的動態防御能力;完善已有的防病毒系統、增加內部信息系統的審計平臺,以便形成對內部安全狀況的長期跟蹤和防護能力。
3)制定一系列必須的信息系統安全管理的法律法規及安全管理標準,狠抓內網的用戶管理、行為管理、應用管理、內容控制以及存儲管理;進一步完善互聯網應急響應管理措施,對關鍵設施或系統制定好應急預案,并定期更新和測試,全面提高預案制定水平和處理能力;建立一支“信息安全部隊”,專門負責信息網絡方面安全保障、安全監管、安全應急和安全威懾方面的工作。
4)堅持“防內為主,內外兼防”的方針,加強登錄身份認證,嚴格限制登錄者的操作權限,充分利用操作系統和應用系統本身的日志功能,對用戶所訪問的信息進行跟蹤記錄,為系統審計提供依據。
5)重視和加強信息安全等級保護工作,對金融信息系統中的信息實施一般保護、指導保護、監督保護和強制保護策略,尤其對重要信息實施強制保護和強制性認證,以確保金融業務信息的安全。
