前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全研究論文主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:新形勢(shì)、金融業(yè)信息安全、挑戰(zhàn)、對(duì)策
一、面臨的挑戰(zhàn)
目前,金融業(yè)的業(yè)務(wù)開(kāi)展更加依賴于信息技術(shù)的應(yīng)用,特別是以綜合業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)集中為主要特征的金融業(yè)信息化發(fā)展到一個(gè)新的階段。因而,信息技術(shù)風(fēng)險(xiǎn)也自然成為中國(guó)金融機(jī)構(gòu)操作風(fēng)險(xiǎn)的重要方面。金融業(yè)信息安全工作正面臨比以往更嚴(yán)峻的形勢(shì),圍繞信息網(wǎng)絡(luò)空間的斗爭(zhēng)日趨尖銳,境內(nèi)外網(wǎng)絡(luò)違法犯罪活動(dòng)呈快速遞增趨勢(shì),惡意代碼和網(wǎng)絡(luò)攻擊呈多樣化局面,金融業(yè)信息系統(tǒng)安全運(yùn)行的難度加大,挑戰(zhàn)增多。
一是人民銀行的業(yè)務(wù)指導(dǎo)、監(jiān)督管理滯后于金融業(yè)信息化發(fā)展。
與金融業(yè)信息化的高速發(fā)展相比,金融業(yè)信息安全的指導(dǎo)、監(jiān)管工作還需要進(jìn)一步加強(qiáng)。國(guó)內(nèi)曾有專(zhuān)家明確提出,在金融信息化、網(wǎng)絡(luò)化時(shí)代,“信息資產(chǎn)風(fēng)險(xiǎn)監(jiān)管是現(xiàn)代金融監(jiān)管體系的核心理念?!毙畔①Y產(chǎn)風(fēng)險(xiǎn)指在信息化中,信息資產(chǎn)的規(guī)劃、設(shè)計(jì)、開(kāi)發(fā)、生成、存在、運(yùn)用、服務(wù)、管理、維護(hù)、監(jiān)管以及其他相關(guān)過(guò)程中產(chǎn)生的信用、市場(chǎng)、操作與業(yè)務(wù)風(fēng)險(xiǎn)。人民銀行在金融信息規(guī)劃、信息標(biāo)準(zhǔn)、信息安全等諸多方面承擔(dān)著重要職責(zé),在2008奧運(yùn)年中發(fā)揮了重要、積極的作用。但總體來(lái)看,人民銀行及其分支行對(duì)金融機(jī)構(gòu)信息安全工作的指導(dǎo)和監(jiān)管,還處于初級(jí)階段,由于人民銀行分支機(jī)構(gòu)對(duì)各金融機(jī)構(gòu)信息安全缺乏指導(dǎo)、缺乏統(tǒng)一的監(jiān)管目標(biāo)、缺乏完整的認(rèn)識(shí),以及缺乏監(jiān)督管理的依據(jù)和標(biāo)準(zhǔn),從而導(dǎo)致監(jiān)管措施不到位,監(jiān)管手段缺失,致使基層行監(jiān)管缺乏主動(dòng)性。
二是核心設(shè)備和技術(shù)依賴于國(guó)外,底層技術(shù)難以掌握,存在安全隱患。
目前,我國(guó)金融業(yè)信息系統(tǒng)和網(wǎng)絡(luò)中,大量使用國(guó)外廠商生產(chǎn)的設(shè)備,這些設(shè)備使用的操作系統(tǒng)、數(shù)據(jù)庫(kù)、芯片也大多數(shù)是由國(guó)外廠商生產(chǎn)。外方不可能提供設(shè)備的核心技術(shù)和專(zhuān)利,我方很難判斷設(shè)備是否存在“后門(mén)”、“軟件陷阱”、“系統(tǒng)漏洞”、“軟件炸彈”等安全漏洞。據(jù)調(diào)查,一些重要網(wǎng)絡(luò)系統(tǒng)中使用的信息技術(shù)產(chǎn)品,都不可避免地存在一定的安全漏洞。這些漏洞可能是開(kāi)發(fā)過(guò)程中有意預(yù)留,也可能是無(wú)意疏忽造成的。特殊情況下,特定安全漏洞可能被利用實(shí)施人侵,修改或破壞設(shè)備程序,或從設(shè)備中竊取機(jī)密數(shù)據(jù)和信息。前一階段國(guó)外炒作的IC卡安全問(wèn)題以及近年來(lái)出現(xiàn)的微軟“黑屏事件”,已經(jīng)為我們敲響了警鐘。
三是境內(nèi)外網(wǎng)絡(luò)違法犯罪活動(dòng)呈快速遞增趨勢(shì),新技術(shù)的應(yīng)用使我們面臨更大的挑戰(zhàn)。
金融業(yè)信息網(wǎng)絡(luò)和重要信息系統(tǒng)正成為敵對(duì)勢(shì)力、不法分子進(jìn)行攻擊、破壞和恐怖活動(dòng)的重點(diǎn)目標(biāo)。金融業(yè)信息系統(tǒng)已經(jīng)遭受到多次攻擊,整體信息安全形勢(shì)嚴(yán)峻。2009年國(guó)防科技大學(xué)的一項(xiàng)研究表明,我國(guó)與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過(guò)境內(nèi)外黑客的攻擊或侵人,其中銀行、金融和證券機(jī)構(gòu)是攻擊重點(diǎn)。
2005年6月18日,被稱(chēng)為有史以來(lái)最嚴(yán)重的信息安全案件在美國(guó)爆發(fā),萬(wàn)事達(dá)、VISA和美國(guó)運(yùn)通公司的主要服務(wù)商的數(shù)據(jù)處理中心網(wǎng)絡(luò)被黑客程序侵人,導(dǎo)致4000萬(wàn)個(gè)賬戶信息被黑客截獲,使客戶資金處于十分危險(xiǎn)的狀態(tài)。
由此可見(jiàn),基于開(kāi)放性網(wǎng)絡(luò)的金融服務(wù)對(duì)我國(guó)金融信息安全工作提出嚴(yán)峻的挑戰(zhàn)。
四是數(shù)據(jù)大集中的同時(shí),也使技術(shù)風(fēng)險(xiǎn)相對(duì)集中。
伴隨著數(shù)據(jù)大集中的實(shí)現(xiàn),風(fēng)險(xiǎn)也相對(duì)集中.一旦數(shù)據(jù)中心發(fā)生災(zāi)難,將導(dǎo)致金融業(yè)的所有分支機(jī)構(gòu)、營(yíng)業(yè)網(wǎng)點(diǎn)和全部的業(yè)務(wù)處理停頓,或造成客戶重要數(shù)據(jù)的丟失,其后果不堪設(shè)想。
近年來(lái),國(guó)內(nèi)外金融機(jī)構(gòu)因?yàn)樾畔⒓夹g(shù)系統(tǒng)故障導(dǎo)致大面積、較長(zhǎng)時(shí)問(wèn)業(yè)務(wù)中斷的事件時(shí)有發(fā)生。2006年,日本花旗銀行出現(xiàn)交易系統(tǒng)故障,5天內(nèi)約27.5萬(wàn)筆公用事業(yè)繳費(fèi)遭重復(fù)扣劃或交易后未作月結(jié)記錄,造成該行的重大聲譽(yù)損失。
信息系統(tǒng)潛在的風(fēng)險(xiǎn)已引起金融業(yè)的高度重視,如何保障后數(shù)據(jù)大集中時(shí)代金融業(yè)信息系統(tǒng)安全穩(wěn)定運(yùn)行,是需要整個(gè)金融業(yè)深入研究的課題。
五是我國(guó)金融業(yè)的災(zāi)難處理能力有待加強(qiáng)。
據(jù)人民銀行在2009年對(duì)21家全國(guó)性商業(yè)銀行災(zāi)備中心建設(shè)情況的調(diào)查顯示,僅有3家建立了同城和異地災(zāi)備中心,9家建立了同城災(zāi)備中心,6家建立了異地災(zāi)備中心,尚有3家沒(méi)有建立災(zāi)備中心。返觀國(guó)外同業(yè).多數(shù)國(guó)外銀行已經(jīng)做到了分行一級(jí)的災(zāi)難備份與恢復(fù)。這表明,我國(guó)金融業(yè)災(zāi)備中心建設(shè)同國(guó)外相比存在較大差距。
此外,國(guó)內(nèi)金融機(jī)構(gòu)的現(xiàn)有災(zāi)難備份中心布局不合理,過(guò)度集中在北京、上海兩地,一旦發(fā)生區(qū)域性重大災(zāi)難,將對(duì)我國(guó)金融業(yè)整體運(yùn)行狀況帶來(lái)極大危害,并造成過(guò)高的重建成本。
二、應(yīng)對(duì)措施
按照《國(guó)務(wù)院辦公廳關(guān)于印發(fā)中國(guó)人民銀行主要職責(zé)內(nèi)設(shè)機(jī)構(gòu)和人員編制規(guī)定的通知》(新“三定”方案)規(guī)定,人民銀行的主要職責(zé)之一是組織制定金融業(yè)信息化發(fā)展規(guī)劃,負(fù)責(zé)金融標(biāo)準(zhǔn)化的組織管理協(xié)調(diào)工作,指導(dǎo)金融業(yè)信息安全工作。
在新形勢(shì)下如何指導(dǎo)和協(xié)調(diào)金融業(yè)信息化建設(shè)和信息安全,是人民銀行尤其是人民銀行分支機(jī)構(gòu)需要認(rèn)真思考的問(wèn)題。
金融業(yè)信息系統(tǒng)的安全是防范和化解金融風(fēng)險(xiǎn)的重要組成部分,要依靠法律、管理機(jī)制、技術(shù)保障等多方面相互配合,形成一個(gè)完整的安全保障體系。
一是加強(qiáng)金融服務(wù)指導(dǎo)和行業(yè)監(jiān)管。
應(yīng)建立跨部門(mén)的金融業(yè)信息安全協(xié)調(diào)機(jī)制以及重點(diǎn)時(shí)期的安保工作機(jī)制,強(qiáng)化信息安全手段和隊(duì)伍建設(shè),加強(qiáng)信息安全檢測(cè)和準(zhǔn)人制度,實(shí)施信息安全等級(jí)保護(hù),建立信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估體系,提高信息安全水平,保證金融穩(wěn)定和經(jīng)濟(jì)發(fā)展。
人民銀行分支機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)中小金融機(jī)構(gòu)的服務(wù)指導(dǎo),尤其是在核心業(yè)務(wù)系統(tǒng)建設(shè)、災(zāi)備建設(shè)和信息安全方面給予具體指導(dǎo),幫助中小金融機(jī)構(gòu)借鑒成功經(jīng)驗(yàn),規(guī)避風(fēng)險(xiǎn),實(shí)現(xiàn)跨越式發(fā)展。
各級(jí)人民銀行,應(yīng)牽頭成立金融業(yè)信息安全領(lǐng)導(dǎo)小組,并建立和完善信息安全通報(bào)制度、報(bào)告制度和聯(lián)席會(huì)議制度,建立健全一個(gè)運(yùn)轉(zhuǎn)靈活、反應(yīng)靈敏的信息安全應(yīng)急處理協(xié)調(diào)機(jī)制,隨時(shí)處置和協(xié)調(diào)金融機(jī)構(gòu)安全事件,以迅速應(yīng)對(duì)突發(fā)事件的發(fā)生,降低或消除金融機(jī)構(gòu)網(wǎng)絡(luò)和主要信息系統(tǒng)因出現(xiàn)重大事件造成的損失。
二是研究建立跨部門(mén)的現(xiàn)代化金融業(yè)信息安全管理網(wǎng)絡(luò)。真正實(shí)現(xiàn)對(duì)金融機(jī)構(gòu)信息安全風(fēng)險(xiǎn)的及時(shí)、動(dòng)態(tài)、全面、連續(xù)的監(jiān)管。
在正確評(píng)估我國(guó)金融網(wǎng)絡(luò)現(xiàn)狀的基礎(chǔ)上,借鑒國(guó)外的組網(wǎng)模式,盡快建立適應(yīng)我國(guó)金融業(yè)信息化建設(shè)和發(fā)展實(shí)際的高速、安全和先進(jìn)的網(wǎng)絡(luò)框架,在建設(shè)時(shí)要充分考慮到網(wǎng)絡(luò)的兼容性和拓展性,為下一步與各金融業(yè)的網(wǎng)絡(luò)互聯(lián)做準(zhǔn)備。同時(shí)促進(jìn)各家金融機(jī)構(gòu)完善內(nèi)控機(jī)制,保障運(yùn)行安全?,F(xiàn)代金融業(yè)高度依賴信息技術(shù),必須充分認(rèn)識(shí)到金融業(yè)信息安全對(duì)整體業(yè)務(wù)和金融體系,乃至經(jīng)濟(jì)體系的影響,牢固樹(shù)立風(fēng)險(xiǎn)防范意識(shí),把信息科技作為風(fēng)險(xiǎn)管理的重要手段。
三是人民銀行要協(xié)調(diào)督促金融機(jī)構(gòu),加強(qiáng)自主創(chuàng)新,加大對(duì)國(guó)產(chǎn)軟硬件采購(gòu)力度,努力減少和降低一些關(guān)鍵領(lǐng)域的對(duì)外技術(shù)依賴。
對(duì)采購(gòu)或使用的信息技術(shù)和產(chǎn)品,能自主的就要千方百計(jì)地推進(jìn)自主,不能自主的,也須保證其可知可控,也就是說(shuō),要對(duì)信息技術(shù)產(chǎn)品的風(fēng)險(xiǎn)和隱患、漏洞和問(wèn)題做到“心中有底、手中有招、控制有術(shù)”。
對(duì)須引進(jìn)的,實(shí)行市場(chǎng)準(zhǔn)人制度,并引進(jìn)權(quán)威機(jī)構(gòu)對(duì)其產(chǎn)品進(jìn)行風(fēng)險(xiǎn)、安全、實(shí)用等綜合性評(píng)估。
對(duì)各地區(qū)一些科技水平還比較低的中小金融機(jī)構(gòu),要加大支持力度,加強(qiáng)行業(yè)內(nèi)部的交流合作。針對(duì)目前金融業(yè),特別是中小金融機(jī)構(gòu)的信息系統(tǒng)的開(kāi)發(fā)、建設(shè)和運(yùn)維采用IT外包的形式,應(yīng)出臺(tái)相應(yīng)的政策、制度和措施,促進(jìn)IT外包健康快速發(fā)展,約定監(jiān)管機(jī)制,規(guī)范服務(wù)商的服務(wù)標(biāo)準(zhǔn)和流程,使IT外包以服務(wù)行為的公司化、強(qiáng)大的配套支持能力、靈活的外包服務(wù)方式成為金融機(jī)構(gòu)快速發(fā)展的可行之道。
四是建立健全信息安全管理制度,定期進(jìn)行信息安全檢查,加強(qiáng)網(wǎng)絡(luò)安全攻擊防范。
由于金融業(yè)的組織結(jié)構(gòu)和業(yè)務(wù)運(yùn)營(yíng)方式,使網(wǎng)絡(luò)必定要建成一個(gè)同Internet和外部線路有較密切關(guān)系的結(jié)構(gòu),各種網(wǎng)絡(luò)訪問(wèn)上的安全問(wèn)題也隨之產(chǎn)生。金融網(wǎng)絡(luò)系統(tǒng)面臨的攻擊有來(lái)自內(nèi)部的,也有來(lái)自外部的。攻擊的后果將造成信息失密、信息遭篡改、身份遭假冒和偽造等,特別是在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵業(yè)務(wù)時(shí),網(wǎng)絡(luò)安全問(wèn)題更是要優(yōu)先解決的問(wèn)題。因此,應(yīng)通過(guò)建立健全信息安全制度、定期組織信息安全非現(xiàn)場(chǎng)和現(xiàn)場(chǎng)檢查等方式,促進(jìn)銀行做好系統(tǒng)加固工作,充分利用各種安全產(chǎn)品強(qiáng)化網(wǎng)絡(luò)安全防范,加強(qiáng)移動(dòng)存儲(chǔ)介質(zhì)管理,做好安全日志分析、預(yù)警和監(jiān)測(cè)工作,防止植入木馬導(dǎo)致信息泄漏和來(lái)自內(nèi)部的安全威脅。
五是增加業(yè)務(wù)持續(xù)動(dòng)作能力,切實(shí)采取措施防范數(shù)據(jù)處理集中后的技術(shù)風(fēng)險(xiǎn)。
巴塞爾銀行業(yè)監(jiān)管委員會(huì)共同論壇2006年8月了《業(yè)務(wù)連續(xù)性高級(jí)原則》將業(yè)務(wù)連續(xù)性管理定義為,發(fā)生中斷事件時(shí),確保某些業(yè)務(wù)保持運(yùn)行或在短時(shí)間內(nèi)得到恢復(fù)的一整套辦法,包括政策、標(biāo)準(zhǔn)和程序。
業(yè)務(wù)連續(xù)性管理的實(shí)施在組織上的保證至關(guān)重要。人民銀行應(yīng)指導(dǎo)金融業(yè)參照國(guó)外先進(jìn)經(jīng)驗(yàn),專(zhuān)門(mén)成立業(yè)務(wù)連續(xù)性管理指導(dǎo)委員會(huì),將業(yè)務(wù)部門(mén)、風(fēng)險(xiǎn)管理部門(mén)和IT部門(mén)有關(guān)業(yè)務(wù)連續(xù)性的管理職責(zé)融于一處統(tǒng)籌管理。
目前,國(guó)內(nèi)銀行災(zāi)難備份和業(yè)務(wù)連續(xù)性管理主要集中在系統(tǒng)故障、人員操作、機(jī)房維護(hù)和短時(shí)間電力中斷等情況。在防范自然災(zāi)害、重大疫情和恐怖襲擊等方面的應(yīng)對(duì)管理還需加強(qiáng)。一是要強(qiáng)涮“突發(fā)”與“應(yīng)急”。由于災(zāi)害事件的不確定性,應(yīng)急管理與保障工作必須建立在高強(qiáng)度的實(shí)戰(zhàn)性基礎(chǔ)上,使災(zāi)難應(yīng)急管理真正適應(yīng)“應(yīng)急”的要求。二是要擴(kuò)大應(yīng)急預(yù)案本身的覆蓋范圍。我國(guó)金融業(yè)災(zāi)難備份及業(yè)務(wù)連續(xù)性管理主要集中在IT部門(mén),遠(yuǎn)遠(yuǎn)不能適應(yīng)業(yè)務(wù)連續(xù)性的需要,應(yīng)當(dāng)強(qiáng)調(diào)業(yè)務(wù)部門(mén)的參與,與IT部門(mén)共同構(gòu)建適應(yīng)現(xiàn)代金融業(yè)發(fā)展需要的應(yīng)急保障體系,確保運(yùn)營(yíng)安全。
三、結(jié)束語(yǔ)
學(xué)術(shù)界有專(zhuān)家認(rèn)為,1987年頒布的《檔案法》對(duì)我國(guó)有關(guān)主體的檔案利用權(quán)利進(jìn)行了法律確認(rèn),檔案利用權(quán)利已經(jīng)是一項(xiàng)法定權(quán)利。但是,從《檔案法》及其實(shí)施辦法中不僅看不到有關(guān)檔案利用權(quán)利的明確表述,而且從相關(guān)規(guī)定中也無(wú)法自然推導(dǎo)出檔案利用權(quán)利就是一種法律權(quán)利?!稒n案法》第十九條和第二十條在規(guī)定檔案利用行為時(shí)表示有關(guān)組織或公民“可以利用”已經(jīng)開(kāi)放的檔案或未開(kāi)放的檔案(對(duì)后者又做了特別限制性規(guī)定)。事實(shí)上,“可以利用”通常會(huì)出現(xiàn)在兩種情況之下:一是公民或組織具有法定的檔案利用權(quán)利;二是公民或組織可以從檔案館開(kāi)放檔案的行為中獲益。雖然上述兩者在目標(biāo)指向上均表現(xiàn)為公民或組織檔案利用過(guò)程或結(jié)果的實(shí)際發(fā)生,但它們顯然有著明顯區(qū)別。如果公民或組織是在履行檔案利用權(quán)利,則其檔案利用行為理應(yīng)受到各種保障或救濟(jì),一旦其檔案利用權(quán)利受到損害就應(yīng)得到來(lái)自行政或司法渠道的救濟(jì);如果公民或組織是從檔案開(kāi)放過(guò)程中受益,那么自然不會(huì)對(duì)檔案開(kāi)放主體(主要是指國(guó)家檔案館)的檔案開(kāi)放行為提出任何非議。從《檔案法》及其實(shí)施辦法的文本解讀上看,它們?cè)谏婕肮窕蚪M織對(duì)開(kāi)放檔案的利用行為時(shí),似乎都有意或無(wú)意省略了“權(quán)利”一詞,而且通篇法律文本也未設(shè)計(jì)對(duì)公民檔案利用權(quán)利進(jìn)行保障或救濟(jì)的任何措施。因此,筆者認(rèn)為,迄今為止在我國(guó)有關(guān)法律法規(guī)中檔案利用權(quán)利并未被確認(rèn),它尚未成為一種法律權(quán)利,仍然只是一種應(yīng)有或事實(shí)上的權(quán)利。
由于不同的權(quán)利主體基于同一檔案客體對(duì)象會(huì)因利益目標(biāo)不同而產(chǎn)生不同的權(quán)利類(lèi)型并伴有普遍的信息權(quán)利沖突現(xiàn)象,因此,從權(quán)利協(xié)調(diào)與平衡的原則和要求看,公民或組織基于某一檔案客體對(duì)象所產(chǎn)生的檔案利用權(quán)利始終都是有限度的,它必然會(huì)受到檔案開(kāi)放或公布權(quán)、檔案秘密權(quán)、檔案作品著作權(quán)等相關(guān)權(quán)利的制約。因此,設(shè)計(jì)合理與合法的檔案利用權(quán)利控制機(jī)制就成為我國(guó)檔案立法的重要內(nèi)容。
二、現(xiàn)有法律法規(guī)對(duì)檔案利用權(quán)利的過(guò)度限制
任何權(quán)利的構(gòu)成都包括權(quán)利主體、權(quán)利客體、權(quán)利內(nèi)容等基本要素,對(duì)檔案利用權(quán)利限度的分析也可從這些角度分別進(jìn)行。
1、檔案利用權(quán)利主體上的限制
檔案利用權(quán)利主體是指有權(quán)利用(而不是現(xiàn)在法律文本中表述的“可以利用”)已開(kāi)放和未開(kāi)放檔案的自然人、法人或者其他組織。我國(guó)在有關(guān)立法中習(xí)慣于將權(quán)利主體表述為“我國(guó)公民、法人或者其他組織”,而對(duì)外國(guó)人或者組織作特殊處理或者規(guī)定。例如《檔案法》第二十條就規(guī)定了對(duì)檔案(半現(xiàn)行與非現(xiàn)行文件)利用主體的具體范圍為“團(tuán)體、企業(yè)事業(yè)單位和其他組織以及公民”,而沒(méi)有將“外國(guó)人或者外國(guó)組織”納入到利用主體的范圍之內(nèi)。為了處理這一局限,有關(guān)部門(mén)出臺(tái)了《外國(guó)組織和個(gè)人利用我國(guó)檔案試行辦法》。一般而言,外國(guó)人或外國(guó)組織經(jīng)有關(guān)主管部門(mén)同意后只能利用國(guó)家檔案館已經(jīng)開(kāi)放的檔案。從信息公開(kāi)立法的國(guó)際趨勢(shì)看,信息獲取與利用權(quán)利主體一般具有無(wú)限性特點(diǎn),習(xí)慣于將本國(guó)公民、法人或者組織和外國(guó)公民與組織均作為等同的權(quán)利主體對(duì)待。筆者認(rèn)為,上述趨勢(shì)雖然可以給我國(guó)檔案立法提供借鑒,但從理論上還是應(yīng)區(qū)分清楚檔案利用權(quán)利主體和檔案利用主體的界限。檔案利用權(quán)利主體是指我國(guó)公民、法人或者組織,而檔案利用主體除包括我國(guó)公民、法人或組織之外,還應(yīng)包括外國(guó)公民或組織。他們與我國(guó)公民、法人或者組織等檔案利用權(quán)利主體的本質(zhì)差異在于:首先,外國(guó)公民或組織不能要求我國(guó)開(kāi)放某類(lèi)檔案,而我國(guó)公民、企事業(yè)單位和組織可以根據(jù)法律規(guī)定要求開(kāi)放某些檔案或申請(qǐng)利用某些未開(kāi)放檔案;其次,我國(guó)公民或組織可以通過(guò)行政援助和司法援助要求有關(guān)部門(mén)開(kāi)放某類(lèi)檔案或收回已開(kāi)放的檔案,而外國(guó)公民或組織則無(wú)權(quán)要求。由此可見(jiàn),在檔案立法中理應(yīng)區(qū)分檔案利用權(quán)利主體和檔案利用主體的不同?,F(xiàn)階段我國(guó)檔案立法文本中對(duì)我國(guó)公民、法人或者組織的檔案利用行為僅用“可以利用”來(lái)界定則遠(yuǎn)遠(yuǎn)不夠,法律文本理應(yīng)明確賦予他們檔案利用權(quán)利主體的地位,而“可以利用”的表述僅適合于對(duì)外國(guó)公民或組織檔案利用行為的概括。
2、檔案利用權(quán)利客體范圍上的限制
從我國(guó)法律制度關(guān)于檔案開(kāi)放利用客體對(duì)象范圍的界定看,它僅限于國(guó)家檔案館保存的檔案?!稒n案法》第十九條規(guī)定:國(guó)家檔案館保管的檔案,一般是自其形成之日起滿30年向社會(huì)開(kāi)放;《檔案法》第二十條規(guī)定:機(jī)關(guān)、團(tuán)體、企業(yè)事業(yè)單位和其他組織以及公民根據(jù)經(jīng)濟(jì)建設(shè)、國(guó)防建設(shè)、教學(xué)科研和其他各項(xiàng)工作的需要,可以按照有關(guān)規(guī)定,利用檔案館未開(kāi)放的檔案以及有關(guān)機(jī)關(guān)、團(tuán)體、企業(yè)事業(yè)單位和其他組織保存的檔案;《檔案法實(shí)施辦法》第二十二條規(guī)定:機(jī)關(guān)、團(tuán)體、企業(yè)事業(yè)單位和其他組織的檔案機(jī)構(gòu)保存的尚未向檔案館移交的檔案,其他機(jī)關(guān)、團(tuán)體、企業(yè)事業(yè)單位和組織以及中國(guó)公民如需要利用的,須經(jīng)檔案保存單位同意。從上述一系列規(guī)定可以看出,《檔案法》及其實(shí)施辦法有兩個(gè)重要限制:一是始終將檔案開(kāi)放客體對(duì)象限制在“國(guó)家檔案館的檔案”這一范圍內(nèi),雖原則性提出有關(guān)主體也可利用未進(jìn)館的檔案,但將開(kāi)放利用決定權(quán)交給了檔案保管單位;二是雖然規(guī)定有關(guān)主體可以利用檔案館未開(kāi)放的檔案,但是,由于上述《檔案法》第二十條明確授權(quán)制訂“利用未開(kāi)放檔案辦法”的國(guó)家檔案行政管理部門(mén)和有關(guān)主管部門(mén)至今沒(méi)有出臺(tái)“有關(guān)規(guī)定”,因此,從一定意義上來(lái)說(shuō),館藏未開(kāi)放檔案的利用還是一個(gè)“無(wú)法可依”的領(lǐng)域。①這表明機(jī)關(guān)檔案室收藏的檔案和國(guó)家檔案館收藏的未開(kāi)放檔案均不在現(xiàn)有檔案開(kāi)放利用法律制度的調(diào)控范圍之內(nèi)。因此,檔案利用權(quán)利客體對(duì)象目前僅限于國(guó)家檔案館保存的已開(kāi)放檔案。
3、檔案利用權(quán)利行使目的的限制
檔案工作基本原則指出檔案工作的根本目的是“便于社會(huì)各方面的利用”,其言下之意就是所有主體(團(tuán)體用戶或個(gè)人用戶,甚至包括國(guó)外用戶)可以因各種需要(公務(wù)或私人目的)利用檔案。這一理念在《檔案法》中得到了一定程度的體現(xiàn)?!稒n案法》針對(duì)機(jī)關(guān)、團(tuán)體、企事業(yè)單位和其他組織(上述利用主體均為團(tuán)體用戶)利用開(kāi)放檔案和未開(kāi)放檔案均未明確限制其“利用目的”。但有關(guān)規(guī)定顯然未將公民個(gè)人因“個(gè)人休閑”、“個(gè)人利益”等不屬于“各項(xiàng)工作需要”范圍的檔案利用目的包涵在內(nèi)。這就意味著公民出于“個(gè)人休閑”、“個(gè)人利益”等利用目的利用未開(kāi)放檔案的行為不能得到法律保護(hù)。
與此相類(lèi)似,《政府信息公開(kāi)條例》第十三條規(guī)定:除主動(dòng)公開(kāi)的政府信息以外,公民、法人或者其他組織還可以根據(jù)自身生產(chǎn)、生活、科研等特殊需要申請(qǐng)獲取政府信息。這意味著對(duì)政府機(jī)關(guān)主動(dòng)公開(kāi)的政府信息,公民、法人或者其他組織可以貫徹自由使用原則,但自由使用原則并不適用于被動(dòng)申請(qǐng)公開(kāi)的政府信息,“生產(chǎn)、生活、科研等活動(dòng)特殊需要”的信息公開(kāi)申請(qǐng)限制極大地蠶食了公民、法人或其他組織的信息利用范圍。
三、檔案利用權(quán)利適度擴(kuò)展及其實(shí)現(xiàn)的基本途徑
隨著公民權(quán)利意識(shí)的覺(jué)醒和權(quán)利要求的提高,檔案利用權(quán)利也應(yīng)進(jìn)行適度擴(kuò)展。這種權(quán)利擴(kuò)展首先體現(xiàn)在對(duì)檔案法律政策設(shè)計(jì)上的要求。
1、設(shè)計(jì)覆蓋文件管理全流程的信息開(kāi)放政策
《政府信息公開(kāi)條例》中指向的客體對(duì)象是處于形成、處理或保存等所有階段的政府信息,某一政府信息只要屬于主動(dòng)或被動(dòng)公開(kāi)的范圍,不管其運(yùn)動(dòng)到什么階段或收藏與保存在什么地點(diǎn)均應(yīng)公開(kāi)。這就意味著保存在機(jī)關(guān)業(yè)務(wù)部門(mén)或文書(shū)處理部門(mén)、機(jī)關(guān)內(nèi)部檔案部門(mén)和國(guó)家檔案館等不同地點(diǎn)的政府信息均應(yīng)執(zhí)行統(tǒng)一的開(kāi)放政策。但與此不相容的是,《檔案法》對(duì)處于國(guó)家檔案館保存階段的檔案開(kāi)放政策則另有具體規(guī)定,而且這些規(guī)定又與《政府信息公開(kāi)條例》的規(guī)定存在矛盾沖突。從法律位階和政策效應(yīng)上來(lái)看,《檔案法》對(duì)《政府信息公開(kāi)條例》中的相關(guān)內(nèi)容具有否定作用。這就導(dǎo)致了在文件全流程管理中,現(xiàn)行、半現(xiàn)行文件的開(kāi)放政策適用《政府信息公開(kāi)條例》,而非現(xiàn)行文件的開(kāi)放政策適用《檔案法》。由于《政府信息公開(kāi)條例》是以“公開(kāi)為原則,不公開(kāi)為例外”作為立法指導(dǎo)思想,而《檔案法》及其實(shí)施辦法和有關(guān)規(guī)定強(qiáng)調(diào)的是以“檔案保管和控制”作為立法指導(dǎo)思想,所以說(shuō)《政府信息公開(kāi)條例》的開(kāi)放度明顯高于《檔案法》及其實(shí)施辦法和有關(guān)規(guī)定。這就導(dǎo)致了現(xiàn)階段我國(guó)文件與檔案開(kāi)放利用政策中存在著明顯的前松后緊現(xiàn)象,即處于現(xiàn)行與半現(xiàn)行階段的文件開(kāi)放利用政策相對(duì)寬松,而處于非現(xiàn)行期的文件(即國(guó)家檔案館的檔案)開(kāi)放利用政策卻相對(duì)嚴(yán)格,顯然,這不符合伴隨著時(shí)間推移,信息機(jī)密性遞減而其作用范圍應(yīng)該逐步擴(kuò)大的一般規(guī)律。因此,提高《政府信息公開(kāi)條例》的法律位階或制訂《文件與檔案法》(或稱(chēng)為《文件法》)將有利于從文件管理全流程上統(tǒng)一文件與檔案的開(kāi)放政策。
2、形成對(duì)檔案利用權(quán)利科學(xué)控制的基本機(jī)制
正如前文分析的一樣,檔案利用權(quán)利是有限度的,對(duì)檔案利用權(quán)利的限度必須進(jìn)行科學(xué)的分析和控制。對(duì)檔案利用權(quán)利的科學(xué)控制可以分為兩個(gè)層面:一是對(duì)檔案合理利用行為進(jìn)行合法化確認(rèn);二是從源頭上設(shè)計(jì)檔案開(kāi)放與公布權(quán)行使機(jī)制。
對(duì)檔案合理利用行為進(jìn)行合法化確認(rèn)是在對(duì)檔案利用行為進(jìn)行合理化程度分析的基礎(chǔ)上,通過(guò)法律法規(guī)對(duì)這些合理利用行為進(jìn)行認(rèn)可的過(guò)程,它影響和決定著檔案利用權(quán)利本身的內(nèi)容及其可能實(shí)現(xiàn)的廣度和深度。由于檔案利用過(guò)程中不同信息權(quán)利之間矛盾沖突的普遍存在(例如檔案控制權(quán)與獲取權(quán)的沖突、檔案開(kāi)放權(quán)與保密權(quán)的沖突等),這就決定了檔案利用應(yīng)是合理和合法的利用,并且合理的檔案利用行為也應(yīng)得到有關(guān)法律法規(guī)的確認(rèn),例如檔案利用行為必須遵守著作權(quán)相關(guān)法律法規(guī)的規(guī)定。
如果僅就檔案利用權(quán)利本身設(shè)計(jì)檔案利用控制機(jī)制那么便是一種片面思維。這是由于檔案利用是對(duì)已開(kāi)放檔案和未開(kāi)放檔案的利用,檔案利用權(quán)利的實(shí)現(xiàn)在很大程度上受制于檔案開(kāi)放程度。因此,要建立和完善檔案開(kāi)放審查機(jī)制。筆者認(rèn)為,在檔案開(kāi)放審查機(jī)制中起決定作用的是檔案開(kāi)放審查與決定主體的政策執(zhí)行意識(shí)、能力與水平。從開(kāi)放檔案信息的義務(wù)與責(zé)任、對(duì)檔案信息的理解力等方面看,檔案開(kāi)放審查和決定主體不僅包括國(guó)家檔案館,還應(yīng)包括所有政府信息公開(kāi)的義務(wù)主體。只要是政府信息公開(kāi)義務(wù)主體依法開(kāi)放與公布的檔案,任何享有政治權(quán)利的公民、法人或組織無(wú)論出于公務(wù)或私人目的均可對(duì)其進(jìn)行利用。
3、制定未開(kāi)放檔案申請(qǐng)利用的科學(xué)程序
檔案利用權(quán)利指向的客體對(duì)象既包括對(duì)已開(kāi)放檔案的利用,也包括對(duì)未開(kāi)放檔案的利用?!稒n案法》第二十條明確規(guī)定:“機(jī)關(guān)、團(tuán)體、企業(yè)事業(yè)單位和其他組織以及公民根據(jù)經(jīng)濟(jì)建設(shè)、國(guó)防建設(shè)、教學(xué)科研和其他各項(xiàng)工作的需要,可以按照有關(guān)規(guī)定,利用檔案館未開(kāi)放的檔案”。而且,該條款同時(shí)明確,“利用未開(kāi)放檔案的辦法,由國(guó)家檔案行政管理部門(mén)和有關(guān)主管部門(mén)規(guī)定”。但從具體實(shí)踐看,現(xiàn)階段我國(guó)利用未開(kāi)放檔案的辦法始終沒(méi)有出臺(tái),檔案利用工作的著力點(diǎn)集中在已開(kāi)放檔案利用上,而相對(duì)忽視了未開(kāi)放檔案的利用工作,這無(wú)疑在一定程度上已經(jīng)影響了公民檔案利用權(quán)利的實(shí)現(xiàn)。針對(duì)公眾檔案信息個(gè)性化需要不斷增多、公民檔案利用權(quán)利實(shí)現(xiàn)的要求和進(jìn)一步提高綜合檔案館管理績(jī)效的客觀形勢(shì),綜合檔案館和有關(guān)檔案機(jī)構(gòu)均應(yīng)適時(shí)啟動(dòng)未開(kāi)放檔案的申請(qǐng)利用。從保障未開(kāi)放檔案申請(qǐng)利用的程序合法要求看,綜合檔案館和有關(guān)檔案機(jī)構(gòu)可以參照《政府信息公開(kāi)條例》中關(guān)于信息申請(qǐng)公開(kāi)的規(guī)定執(zhí)行。從政策銜接要求看,對(duì)處于不同運(yùn)動(dòng)階段的文件信息適用相同的依申請(qǐng)公開(kāi)程序既是合理的也是合法的??上驳氖?這種針對(duì)未開(kāi)放檔案申請(qǐng)利用的有關(guān)規(guī)定或辦法已經(jīng)在我國(guó)一些地方性檔案立法中開(kāi)始出現(xiàn)。2008年修訂的《上海市國(guó)家綜合檔案館檔案利用和公布辦法》在第八條就詳細(xì)規(guī)定了公民和組織利用檔案館未開(kāi)放檔案的程序辦法,這極大地保障了公民和組織的檔案利用權(quán)利。
4、開(kāi)發(fā)具有保障檔案利用權(quán)利實(shí)現(xiàn)的文件管理系統(tǒng)
檔案利用權(quán)利的實(shí)現(xiàn)依賴于數(shù)字檔案館或電子文件管理系統(tǒng)的功能完備。由于電子文件數(shù)量不斷增長(zhǎng)和種類(lèi)日趨復(fù)雜,因此,開(kāi)發(fā)建設(shè)功能完備的數(shù)字檔案館與電子文件管理系統(tǒng)就成為文件與檔案利用權(quán)利實(shí)現(xiàn)的基本保證。從國(guó)際范圍看,一些國(guó)家的數(shù)字檔案館或電子文件管理系統(tǒng)項(xiàng)目均將保障利用作為其建設(shè)的重要目標(biāo)之一。美國(guó)國(guó)家檔案文件管理局(NARA)建設(shè)電子文件檔案館(ERA)系統(tǒng)的重要目標(biāo)之一就是要保障具有合法權(quán)利的政府部門(mén)及公眾不管在何時(shí)何地都能利用文件與檔案。突出“在線利用”的文件管理系統(tǒng)功能(而不僅是保管或備份功能)設(shè)計(jì)對(duì)推進(jìn)有關(guān)主體檔案利用權(quán)利的實(shí)現(xiàn)將產(chǎn)生重要的保障作用。
在現(xiàn)代互聯(lián)網(wǎng)的時(shí)代,很多人為了便利和網(wǎng)絡(luò)文獻(xiàn)的豐富性就導(dǎo)致了惰性,不管是好是壞就胡編亂造的拿來(lái)充數(shù),這樣的參考文獻(xiàn)是沒(méi)有任何價(jià)值意義的,下面是學(xué)術(shù)參考網(wǎng)的小編整理的關(guān)于網(wǎng)絡(luò)安全論文參考文獻(xiàn),歡迎大家閱讀借鑒。
網(wǎng)絡(luò)安全論文參考文獻(xiàn):
[1]張金輝,王衛(wèi),侯磊.信息安全保障體系建設(shè)研究.計(jì)算機(jī)安全,2012,(8).
[2]肖志宏,楊倩雯.美國(guó)聯(lián)邦政府采購(gòu)的信息安全保障機(jī)制及其啟示.北京電子科技學(xué)院學(xué)報(bào),2009,(3).
[3]沈昌祥.構(gòu)建積極防御綜合防范的信息安全保障體系.金融電子化,2010,(12).
[4]嚴(yán)國(guó)戈.中美軍事信息安全法律保障比較.信息安全與通信保密,2007,(7).
[5]楊紹蘭.信息安全的保障體系.圖書(shū)館論壇,2005,(2).
[6]侯安才,徐瑩.建設(shè)網(wǎng)絡(luò)信息安全保障體系的新思路.現(xiàn)代電子技術(shù),2004,(3).
網(wǎng)絡(luò)安全論文參考文獻(xiàn):
[1]王爽.探討如何加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全及防范[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2012(11).
[2]田文英.淺談?dòng)?jì)算機(jī)操作系統(tǒng)安全問(wèn)題[J].科技創(chuàng)新與應(yīng)用,2012(23).
[3]張曉光.試論計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患與解決對(duì)策[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2012(18).
[4]郭晶晶,牟勝梅,史蓓蕾.關(guān)于某金融企業(yè)網(wǎng)絡(luò)安全應(yīng)用技術(shù)的探討[J].數(shù)字技術(shù)與應(yīng)用,2013,12(09):123-125.
[5]王擁軍,李建清.淺談企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)[J].信息安全與通信保密,2013,11(07):153-171.
[6]胡經(jīng)珍.深入探討企業(yè)網(wǎng)絡(luò)安全管理中的常見(jiàn)問(wèn)題[J].計(jì)算機(jī)安全,2013,11(07):152-160.
[7]周連兵,張萬(wàn).淺議企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)[J].中國(guó)公共安全:學(xué)術(shù)版,2013,10(02):163-175.
網(wǎng)絡(luò)安全論文參考文獻(xiàn):
[1]古田月.一場(chǎng)在網(wǎng)絡(luò)戰(zhàn)場(chǎng)上的較量與爭(zhēng)奪[N].中國(guó)國(guó)防報(bào),2013-05-20(6).
[2]蘭亭.美國(guó)秘密監(jiān)視全球媒體[N].中國(guó)國(guó)防報(bào),2010-10-24(1).
[3]李志偉.法國(guó)網(wǎng)絡(luò)安全戰(zhàn)略正興起[N].人民日?qǐng)?bào),2013-01-01(3).
[4]石純民,楊洋.網(wǎng)絡(luò)戰(zhàn):信息時(shí)代的戰(zhàn)略戰(zhàn)[N].中國(guó)國(guó)防報(bào),2013-09-23(6).
一、選題
1、選題未通過(guò)者,可參照已過(guò)學(xué)生的課題進(jìn)行修改(只能做參照,不得出現(xiàn)重復(fù))。工科畢業(yè)設(shè)計(jì)要有具體的解決內(nèi)容及相關(guān)解決方案,不要求多高深,但求實(shí)在。
2、選題需要修改者,切記論文課題不要是文科或科普性(如計(jì)算機(jī)發(fā)展史、淺談××、淺析××等),也不要太大或者太泛泛(如網(wǎng)絡(luò)信息安全與防范、網(wǎng)絡(luò)信息安全的技術(shù)探討等)。建議題目格式為“基于××技術(shù)的××系統(tǒng)設(shè)計(jì)與開(kāi)發(fā)”?!队?jì)算機(jī)碩士論文2019全新選題集錦》
二、摘要
1、論文摘要一定要根據(jù)論文課題內(nèi)容圍繞展開(kāi),需要提出問(wèn)題及解決成果,研究手段、方法、過(guò)程等可不闡述。
2、論文摘要要寫(xiě)得高度概括、簡(jiǎn)略,不要寫(xiě)論文選題的緣由。
三、正文
1、選題及論文摘要通過(guò)者可直接撰寫(xiě)論文正文;選題及論文摘要未通過(guò)者,先進(jìn)行修改后方可再撰寫(xiě)。切記不要像文科作文一樣泛泛而談,一定要有問(wèn)題的提出,相關(guān)技術(shù)介紹,系統(tǒng)設(shè)計(jì),詳細(xì)設(shè)計(jì)以及最后的成果。
2、論文嚴(yán)禁抄襲,避免“復(fù)制+粘貼”行為。我們會(huì)用專(zhuān)門(mén)的軟件進(jìn)行,重復(fù)率高于20%的一律視為不合格。
3、論文正文不少于6000字,必須嚴(yán)格按照模板格式要求,注意字體、行間距、圖表、頁(yè)眉頁(yè)腳、排版等。
4、務(wù)必在3月5日前完成畢業(yè)論文正文初稿,論文指導(dǎo)老師會(huì)通過(guò)“畢業(yè)論文設(shè)計(jì)平臺(tái)”線上對(duì)畢業(yè)論文作出修改要求,同學(xué)們必須時(shí)刻關(guān)注,進(jìn)行修改。
關(guān)鍵詞:社交網(wǎng)絡(luò);隱私保護(hù);個(gè)人信息安全;信息安全舉措
社交網(wǎng)絡(luò)平臺(tái)是互聯(lián)網(wǎng)應(yīng)用中非常重要的組成部分,隨著當(dāng)前科技的發(fā)展,移動(dòng)互聯(lián)終端迅速普及,智能手機(jī)、移動(dòng)電腦等設(shè)備充實(shí)人們的生活。社交平臺(tái)為社會(huì)上的個(gè)人創(chuàng)建了一個(gè)平臺(tái),在這個(gè)平臺(tái)上,用戶可以逐漸發(fā)展自己的人脈關(guān)系,擴(kuò)充自己的人脈網(wǎng)絡(luò),尋找曾經(jīng)的朋友;用戶還可以通過(guò)這個(gè)平臺(tái)分享自己的照片等;還有就是近兩年逐漸流行的朋友圈之間互發(fā)紅包等等,通過(guò)該平臺(tái)逐漸拉近了朋友間的友誼。但是,分享的同時(shí),個(gè)人信息也被上傳到網(wǎng)絡(luò)平臺(tái),成為一些不法分子注意的對(duì)象,近年來(lái),網(wǎng)絡(luò)犯罪的比例日益變大,社交網(wǎng)絡(luò)中個(gè)人信息安全的保護(hù)迫在眉睫。
一、社交網(wǎng)絡(luò)安全性分析
社交網(wǎng)絡(luò)是一種基于因特網(wǎng)的網(wǎng)絡(luò)使用方式,它為用戶提供了一個(gè)擴(kuò)充人脈的平臺(tái),在這個(gè)平臺(tái)上,用戶相當(dāng)于整個(gè)社交網(wǎng)絡(luò)中的節(jié)點(diǎn),用戶之間通過(guò)交流與溝通,將節(jié)點(diǎn)與節(jié)點(diǎn)之間的連線越來(lái)越復(fù)雜,互聯(lián)溝通面得到不斷擴(kuò)展,社交網(wǎng)絡(luò)普及面越來(lái)越廣闊。當(dāng)前,Android系統(tǒng)和IOS系統(tǒng)中的聊天通訊應(yīng)用更新頻率不斷加快,應(yīng)用軟件層出不窮,因此,為社交網(wǎng)絡(luò)的進(jìn)一步發(fā)展和普及提供了良好的條件基礎(chǔ)。因此,未來(lái)社交網(wǎng)絡(luò)的覆蓋面將會(huì)更加廣泛,用戶活躍度將會(huì)更加高昂。但是,正是由于社交網(wǎng)絡(luò)的開(kāi)放性,使得網(wǎng)絡(luò)上的虛擬人物良莠不齊,相關(guān)用戶很難從表面上去進(jìn)行辨?zhèn)?,很容易上?dāng)受騙;此外,當(dāng)前許多通訊聊天應(yīng)用為了實(shí)現(xiàn)更加精準(zhǔn)化的交友條件選擇,對(duì)用戶的個(gè)人信息完全透明化,雖然在一定程度上使得用戶能夠更加輕松的找到自己需要找的人,但是也為網(wǎng)絡(luò)犯罪創(chuàng)造了絕佳的搜索平臺(tái);還有,當(dāng)前許多人過(guò)分依賴網(wǎng)絡(luò),為了讓別人相信自己的真實(shí)存在,對(duì)自己的信息毫無(wú)忌憚地展現(xiàn)在社交網(wǎng)絡(luò)上,希望通過(guò)這種方法來(lái)提高自己的空間瀏覽量和關(guān)注度,用戶在進(jìn)行分享的同時(shí),用戶個(gè)人的信息有可能會(huì)被不法分子所關(guān)注,進(jìn)而進(jìn)行違法犯罪行為。據(jù)調(diào)查,2014年我國(guó)因網(wǎng)絡(luò)犯罪造成的經(jīng)濟(jì)損失將近萬(wàn)億元人民幣,高達(dá)90%的互聯(lián)網(wǎng)用戶都受到過(guò)網(wǎng)絡(luò)犯罪的攻擊。因此,增強(qiáng)社交網(wǎng)絡(luò)中用戶個(gè)人信息安全保護(hù)勢(shì)在必行。
二、隱私保護(hù)控制方法
為了在社交網(wǎng)絡(luò)中保護(hù)用戶個(gè)人信息安全,許多專(zhuān)家學(xué)者提出了許多理論研究,常見(jiàn)的有以下幾種技術(shù):①Sweeney專(zhuān)家提出的K-匿名技術(shù),該技術(shù)將用戶信息數(shù)據(jù)庫(kù)的部分信息數(shù)據(jù)進(jìn)行泛化處理,使得其中包含個(gè)人敏感信息的K個(gè)位置的信息數(shù)據(jù)形成匿名集,進(jìn)而實(shí)現(xiàn)對(duì)用戶隱私的保護(hù);②Chen等人提出的生成虛假信息的隱私保護(hù)方法,在用戶位置信息的服務(wù)器中形成多種不同位置信息,進(jìn)而使得攻擊者難以正確識(shí)別用戶信息;③MatsuuraK和HuangL提出的基于區(qū)域劃分的軌跡隱私保護(hù)理論,將用戶的軌跡進(jìn)行分析分類(lèi),對(duì)用戶經(jīng)過(guò)的敏感區(qū)域進(jìn)行用戶個(gè)人信息的保護(hù),防止用戶個(gè)人信息的泄漏;④Gabrial提出基于分布式協(xié)議的prive方法等等。
三、用戶個(gè)人信息安全保護(hù)措施
3.1建立健全相關(guān)法律條文
在當(dāng)前法制社會(huì)里,通過(guò)建立健全對(duì)用戶個(gè)人信息保護(hù)的法律條文非常必要,通過(guò)法律保護(hù)社交網(wǎng)絡(luò)中用戶個(gè)人信息安全不受侵犯,是立法機(jī)構(gòu)當(dāng)前非常緊要的事務(wù)。對(duì)于當(dāng)前有些不法分子通過(guò)非法手段搜集個(gè)人信息,然后通過(guò)各種渠道用于違法犯罪的行為,相關(guān)法律應(yīng)該給予嚴(yán)懲,對(duì)于一些通過(guò)設(shè)計(jì)開(kāi)發(fā)包含有非法搜集個(gè)人信息漏洞的應(yīng)用軟件,然后用于從事非法商業(yè)活動(dòng)的商家個(gè)人,相關(guān)法律條文也應(yīng)該嚴(yán)厲懲罰。
3.2社交網(wǎng)絡(luò)企業(yè)加強(qiáng)用戶信息保護(hù)管理
社交網(wǎng)絡(luò)企業(yè)應(yīng)用實(shí)名制注冊(cè),在一定程度上能夠減少不法分子通過(guò)注冊(cè)一些非法賬號(hào)用于網(wǎng)絡(luò)詐騙,防止個(gè)人信息的泄漏,但是,這種情況下,注冊(cè)的用戶需要填寫(xiě)的信息更為透明化,如果賬號(hào)被盜泄漏的信息將會(huì)更嚴(yán)重。在這種矛盾下,這就需要社交網(wǎng)絡(luò)企業(yè)加強(qiáng)對(duì)用戶信息的保護(hù)和管理。通過(guò)不斷優(yōu)化相關(guān)軟件應(yīng)用,對(duì)其中的漏洞進(jìn)行不斷修復(fù)升級(jí),提升系統(tǒng)穩(wěn)定性,運(yùn)用先進(jìn)手段對(duì)網(wǎng)絡(luò)攻擊者進(jìn)行攔截。
3.3提高社交網(wǎng)絡(luò)用戶安全意識(shí)
除了需要國(guó)家和相關(guān)企業(yè)提高對(duì)用戶個(gè)人信息的保護(hù)以外,用戶個(gè)人也需要了解一些保護(hù)個(gè)人信息的方法。雖然社交網(wǎng)絡(luò)是一個(gè)開(kāi)放性的社交平臺(tái),但相關(guān)用戶也不能過(guò)于放開(kāi)自己,將自己的全部信息全盤(pán)透露給好友,將自己的一舉一動(dòng)都分享給好友,這樣就會(huì)存在許多安全隱患。所以,作為社交網(wǎng)絡(luò)用戶,需要時(shí)刻提防社交網(wǎng)絡(luò)的局限性,及時(shí)對(duì)自己的軟件進(jìn)行升級(jí),完善系統(tǒng)漏洞,對(duì)自己的一些敏感性信息有防范保護(hù)意識(shí),對(duì)自己的信息安全負(fù)責(zé)。
四、結(jié)論
社交網(wǎng)絡(luò)有利有弊,它在拉近朋友間距離的同時(shí),也拉近了用戶與網(wǎng)絡(luò)犯罪的距離,為了保護(hù)社交網(wǎng)絡(luò)中用戶個(gè)人信息安全,立法機(jī)構(gòu)、相關(guān)網(wǎng)絡(luò)管理企業(yè)、用戶本人都應(yīng)該具備時(shí)刻保護(hù)用戶個(gè)人信息安全的意識(shí),通過(guò)相應(yīng)的措施不斷完善社交網(wǎng)絡(luò),使得社交網(wǎng)絡(luò)平臺(tái)更加安全、便捷、實(shí)用。
作者:劉偉彥 單位:武漢市第六中學(xué)
參考文獻(xiàn):
[1]郭祥.基于移動(dòng)社交網(wǎng)絡(luò)的隱私保護(hù)關(guān)鍵技術(shù)研究與應(yīng)用[D].電子科技大學(xué)碩士學(xué)位論文,2015.6.
[2]孟曉明.賀敏偉.社交網(wǎng)絡(luò)大數(shù)據(jù)商業(yè)化開(kāi)發(fā)利用中的個(gè)人隱私保護(hù)[J].圖書(shū)館論壇,2015(6).
論文提要:當(dāng)今世界已進(jìn)入了信息化時(shí)代,信息化和信息產(chǎn)業(yè)發(fā)展水平已成為衡量一個(gè)國(guó)家綜合國(guó)力的重要標(biāo)準(zhǔn)。黨的十七大明確提出了一條“以信息化帶動(dòng)工業(yè)化,以工業(yè)化促進(jìn)信息化”的具有中國(guó)特色的信息化道路。信息資源隨之成為社會(huì)資源的重要組成部分,但由于信息資源不同于其他資源的特殊性質(zhì),如何保證信息的安全性和保密性成為我國(guó)信息化建設(shè)過(guò)程中需要解決的重要問(wèn)題。
一、信息化的內(nèi)涵、信息資源的性質(zhì)及信息的安全問(wèn)題
“信息化”一詞最早是由日本學(xué)者于20世紀(jì)六十年代末提出來(lái)的。經(jīng)過(guò)40多年的發(fā)展,信息化已成為各國(guó)社會(huì)發(fā)展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì),主要表現(xiàn)在知識(shí)性、中介性、可轉(zhuǎn)化性、可再生性和無(wú)限應(yīng)用性。由于其特殊性質(zhì)造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導(dǎo)致信息系統(tǒng)的不安全性,給國(guó)家的信息化建設(shè)帶來(lái)不利影響。因此,如何保證信息安全成為亟須解決的重要問(wèn)題。
信息安全包括以下內(nèi)容:真實(shí)性,保證信息的來(lái)源真實(shí)可靠;機(jī)密性,信息即使被截獲也無(wú)法理解其內(nèi)容;完整性,信息的內(nèi)容不會(huì)被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對(duì)信息的傳播及內(nèi)容具有控制能力;不可抵賴性,用戶對(duì)其行為不能進(jìn)行否認(rèn);可審查性,對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。與傳統(tǒng)的安全問(wèn)題相比,基于網(wǎng)絡(luò)的信息安全有一些新的特點(diǎn):
一是由于信息基礎(chǔ)設(shè)施的固有特點(diǎn)導(dǎo)致的信息安全的脆弱性。由于因特網(wǎng)與生俱來(lái)的開(kāi)放性特點(diǎn),從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開(kāi)放性的特點(diǎn),通過(guò)網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的、開(kāi)放的,而不是封閉的、保密的。這種先天的技術(shù)弱點(diǎn)導(dǎo)致網(wǎng)絡(luò)易受攻擊。
二是信息安全問(wèn)題的易擴(kuò)散性。信息安全問(wèn)題會(huì)隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴(kuò)大。由于因特網(wǎng)的龐大系統(tǒng),造成了病毒極易滋生和傳播,從而導(dǎo)致信息危害。
三是信息安全中的智能性、隱蔽性特點(diǎn)。傳統(tǒng)的安全問(wèn)題更多的是使用物理手段造成的破壞行為,而網(wǎng)絡(luò)環(huán)境下的安全問(wèn)題常常表現(xiàn)為一種技術(shù)對(duì)抗,對(duì)信息的破壞、竊取等都是通過(guò)技術(shù)手段實(shí)現(xiàn)的。而且這樣的破壞甚至攻擊也是“無(wú)形”的,不受時(shí)間和地點(diǎn)的約束,犯罪行為實(shí)施后對(duì)機(jī)器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來(lái)困難。
信息安全威脅主要來(lái)源于自然災(zāi)害、意外事故;計(jì)算機(jī)犯罪;人為錯(cuò)誤,比如使用不當(dāng),安全意識(shí)差等;“黑客”行為;內(nèi)部泄密;外部泄密;信息丟失;電子諜報(bào),比如信息流量分析、信息竊取等;信息戰(zhàn);網(wǎng)絡(luò)協(xié)議自身缺陷,等等。
二、我國(guó)信息化中的信息安全問(wèn)題
近年來(lái),隨著國(guó)家宏觀管理和支持力度的加強(qiáng)、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進(jìn)行、對(duì)國(guó)際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素,我國(guó)在信息安全管理上的進(jìn)展是迅速的。但是,由于我國(guó)的信息化建設(shè)起步較晚,相關(guān)體系不完善,法律法規(guī)不健全等諸多因素,我國(guó)的信息化仍然存在不安全問(wèn)題。
1、信息與網(wǎng)絡(luò)安全的防護(hù)能力較弱。我國(guó)的信息化建設(shè)發(fā)展迅速,各個(gè)企業(yè)紛紛設(shè)立自己的網(wǎng)站,特別是“政府上網(wǎng)工程”全面啟動(dòng)后,各級(jí)政府已陸續(xù)設(shè)立了自己的網(wǎng)站,但是由于許多網(wǎng)站沒(méi)有防火墻設(shè)備、安全審計(jì)系統(tǒng)、入侵監(jiān)測(cè)系統(tǒng)等防護(hù)設(shè)備,整個(gè)系統(tǒng)存在著相當(dāng)大的信息安全隱患。美國(guó)互聯(lián)網(wǎng)安全公司賽門(mén)鐵克公司2007年發(fā)表的報(bào)告稱(chēng),在網(wǎng)絡(luò)黑客攻擊的國(guó)家中,中國(guó)是最大的受害國(guó)。
2、對(duì)引進(jìn)的國(guó)外設(shè)備和軟件缺乏有效的管理和技術(shù)改造。由于我國(guó)信息技術(shù)水平的限制,很多單位和部門(mén)直接引進(jìn)國(guó)外的信息設(shè)備,并不對(duì)其進(jìn)行必要的監(jiān)測(cè)和改造,從而給他人入侵系統(tǒng)或監(jiān)聽(tīng)信息等非法操作提供了可乘之機(jī)。
3、我國(guó)基礎(chǔ)信息產(chǎn)業(yè)薄弱,核心技術(shù)嚴(yán)重依賴國(guó)外,缺乏自主創(chuàng)新產(chǎn)品,尤其是信息安全產(chǎn)品。我國(guó)信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來(lái)自國(guó)外,這使我國(guó)的網(wǎng)絡(luò)安全性能大大減弱,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù),我國(guó)的網(wǎng)絡(luò)處于被竊聽(tīng)、干擾、監(jiān)視和欺詐等多種信息安全威脅中,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。
4、信息犯罪在我國(guó)有快速發(fā)展趨勢(shì)。除了境外黑客對(duì)我國(guó)信息網(wǎng)絡(luò)進(jìn)行攻擊,國(guó)內(nèi)也有部分人利用系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)犯罪,例如傳播病毒、竊取他人網(wǎng)絡(luò)銀行賬號(hào)密碼等。
5、在研究開(kāi)發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、隊(duì)伍建設(shè)等方面與迅速發(fā)展的形勢(shì)極不適應(yīng)。
造成以上問(wèn)題的相關(guān)因素在于:首先,我國(guó)的經(jīng)濟(jì)基礎(chǔ)薄弱,在信息產(chǎn)業(yè)上的投入還是不足,尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開(kāi)發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識(shí)。其次,全民信息安全意識(shí)淡薄,警惕性不高。大多數(shù)計(jì)算機(jī)用戶都曾被病毒感染過(guò),并且病毒的重復(fù)感染率相當(dāng)高。
除此之外,我國(guó)目前信息技術(shù)領(lǐng)域的不安全局面,也與西方發(fā)達(dá)國(guó)家對(duì)我國(guó)的技術(shù)輸出進(jìn)行控制有關(guān)。
三、相關(guān)解決措施
針對(duì)我國(guó)信息安全存在的問(wèn)題,要實(shí)現(xiàn)信息安全不但要靠先進(jìn)的技術(shù),還要有嚴(yán)格的法律法規(guī)和信息安全教育。
1、加強(qiáng)全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護(hù)設(shè)備,保證個(gè)人的信息安全,提高整個(gè)系統(tǒng)的安全防護(hù)能力,從而促進(jìn)整個(gè)系統(tǒng)的信息安全。
2、發(fā)展有自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)業(yè),加大信息產(chǎn)業(yè)投入。增強(qiáng)自主創(chuàng)新意識(shí),加大核心技術(shù)的研發(fā),尤其是信息安全產(chǎn)品,減小對(duì)國(guó)外產(chǎn)品的依賴程度。
3、創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國(guó)信息安全的法規(guī)體系,制定相關(guān)的法律法規(guī),例如信息安全法、數(shù)字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識(shí)產(chǎn)權(quán)保護(hù)法、電子信息個(gè)人隱私法、電子信息進(jìn)出境法等,加大對(duì)網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度,對(duì)其進(jìn)行嚴(yán)厲的懲處。
4、高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)。為了在高技術(shù)環(huán)境下發(fā)展自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)業(yè),應(yīng)大力培養(yǎng)信息安全專(zhuān)業(yè)人才,建立信息安全人才培養(yǎng)體系。
5、加強(qiáng)國(guó)際防范,創(chuàng)造良好的安全外部環(huán)境。由于網(wǎng)絡(luò)與生俱有的開(kāi)放性、交互性和分散性等特征,產(chǎn)生了許多安全問(wèn)題,要保證信息安全,必須積極參與國(guó)際合作,通過(guò)吸收和轉(zhuǎn)化有關(guān)信息網(wǎng)絡(luò)安全管理的國(guó)際法律規(guī)范,防范來(lái)自世界各地的黑客入侵,加強(qiáng)信息網(wǎng)絡(luò)安全。
“2009年,我上任后第一次訪問(wèn)深圳工廠,當(dāng)時(shí)工廠還只能生產(chǎn)小功率UPS。”伊頓電氣集團(tuán)亞太區(qū)高級(jí)副總裁、電能質(zhì)量業(yè)務(wù)總經(jīng)理羅世光回憶說(shuō),“但是現(xiàn)在,10kW~1000kW的UPS都已經(jīng)可以在中國(guó)本地進(jìn)行生產(chǎn)?!?/p>
中國(guó)和亞太地區(qū)是伊頓在全球范圍內(nèi)具有戰(zhàn)略意義的市場(chǎng)。羅世光相信,中國(guó)數(shù)據(jù)中心市場(chǎng)的快速增長(zhǎng)將給伊頓的電能質(zhì)量業(yè)務(wù)帶來(lái)更大的增長(zhǎng)機(jī)會(huì)。因此,在2014年,伊頓將加強(qiáng)與商的合作,拓展分銷(xiāo)渠道,進(jìn)一步推進(jìn)與本土市場(chǎng)的全面融合,同時(shí)加大對(duì)本土產(chǎn)品研發(fā)和檢測(cè)的能力,提供更多符合中國(guó)客戶需求的高效節(jié)能的電能質(zhì)量解決方案。
深圳是伊頓面向全球的研發(fā)和生產(chǎn)基地。三家位于深圳的工廠擁有5000多名員工、29條先進(jìn)的自動(dòng)化生產(chǎn)線,年產(chǎn)UPS達(dá)到800萬(wàn)臺(tái)。伊頓在深圳設(shè)立的研發(fā)中心也是其全球三大電氣研發(fā)基地之一,產(chǎn)品研發(fā)和測(cè)試工程師超過(guò)1000人。
剛啟用的伊頓在深圳的亞太區(qū)電能質(zhì)量產(chǎn)品和系統(tǒng)檢測(cè)中心,是除美國(guó)、芬蘭之外,伊頓在全球擁有的第三個(gè)產(chǎn)品和系統(tǒng)檢測(cè)中心?!霸摍z測(cè)中心同時(shí)也是客戶體驗(yàn)中心,配備了全球領(lǐng)先的檢測(cè)設(shè)備和技術(shù),不僅能夠檢測(cè)單體設(shè)備,還能對(duì)包括UPS、電源分配單元(PDU)、AMS監(jiān)測(cè)系統(tǒng)和第三方設(shè)備的整個(gè)電能系統(tǒng)解決方案進(jìn)行測(cè)試,其最大測(cè)試能力是可對(duì)兩臺(tái)并聯(lián)的1100kW的UPS進(jìn)行測(cè)試?!绷_世光介紹說(shuō),“客戶在選擇一款定制的電能解決方案后,即可在檢測(cè)中心看到其運(yùn)行的全過(guò)程,通過(guò)親身體驗(yàn)增進(jìn)對(duì)產(chǎn)品的了解和信心。”
“過(guò)去3~4年中,我們?cè)谥袊?guó)市場(chǎng)的總投入已經(jīng)超過(guò)1200萬(wàn)美元。我們?nèi)栽诔掷m(xù)加強(qiáng)中國(guó)本地化,并從去年底開(kāi)始進(jìn)一步提升了針對(duì)中國(guó)用戶的售前和售后服務(wù)能力。”羅世光告訴記者,“目前,我們90%的UPS都在深圳研發(fā)和生產(chǎn)。最近,深圳研發(fā)中心剛剛研制出一款新的UPS產(chǎn)品。與許多跨國(guó)企業(yè)采取的遠(yuǎn)程遙控式的本地研發(fā)策略相比,我們是實(shí)實(shí)在在地將研發(fā)部門(mén)落戶在深圳,為亞太和中國(guó)市場(chǎng)提供本地化服務(wù)的同時(shí)也面向全球客戶?!?/p>
云計(jì)算與大數(shù)據(jù)的發(fā)展推動(dòng)了大型數(shù)據(jù)中心的快速發(fā)展,用戶對(duì)數(shù)據(jù)中心整體解決方案和定制化解決方案的需求也與日俱增。“從2010年開(kāi)始,伊頓增加了為中國(guó)客戶定制數(shù)據(jù)中心解決方案的服務(wù)。在今年的商大會(huì)上,我看到了商和用戶的積極反饋?!绷_世光表示。
針對(duì)小型數(shù)據(jù)中心,伊頓可以提供模塊化、標(biāo)準(zhǔn)化的解決方案;針對(duì)中型數(shù)據(jù)中心,伊頓可以針對(duì)不同行業(yè)客戶的需求,提供有差異化的解決方案;針對(duì)大型數(shù)據(jù)中心,伊頓可以提供按需擴(kuò)展的高能效、低整體擁有成本的解決方案。從產(chǎn)品到系統(tǒng)再到整體解決方案,這不僅對(duì)伊頓是一個(gè)新的挑戰(zhàn),對(duì)其商來(lái)說(shuō)也要經(jīng)歷一個(gè)大的轉(zhuǎn)變。
為了迅速提升商銷(xiāo)售解決方案的能力,伊頓一方面不斷更新其數(shù)據(jù)中心整體解決方案,另一方面加強(qiáng)對(duì)商的銷(xiāo)售培訓(xùn),實(shí)現(xiàn)信息共享。羅世光表示:“我們提供的定制化解決方案一方面要滿足用戶的個(gè)性化需求,另一方面還要保持開(kāi)放性。我們將為用戶提供解決方案與服務(wù)打包的一體化解決方案。”
第三屆全國(guó)等級(jí)保護(hù)技術(shù)大會(huì)征文通知
為深入貫徹落實(shí)國(guó)家關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的文件精神,進(jìn)一步推進(jìn)信息安全等級(jí)保護(hù)技術(shù)交流,經(jīng)公安主管部門(mén)同意,公安部第一研究所擬于2014年7月舉辦第三屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)(ICSP’2014)。
會(huì)議擬請(qǐng)公安、工業(yè)和信息化、國(guó)家保密、國(guó)家密碼管理主管部門(mén)、中國(guó)科學(xué)院、國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心等部門(mén)擔(dān)任指導(dǎo)單位,同時(shí)將出版論文集,經(jīng)專(zhuān)家評(píng)選的部分優(yōu)秀論文,將推薦至國(guó)家核心期刊發(fā)表。現(xiàn)就會(huì)議征文的有關(guān)情況通知如下:
一、征文范圍
1. 新技術(shù)應(yīng)用環(huán)境下信息安全等級(jí)保護(hù)技術(shù):物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、工控系統(tǒng)、移動(dòng)接入網(wǎng)、下一代互聯(lián)網(wǎng)(IPv6)等新技術(shù)、環(huán)境下的等級(jí)保護(hù)支撐技術(shù),等級(jí)保護(hù)技術(shù)體系在新環(huán)境下的應(yīng)用方法;
2. 關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)技術(shù):政府部門(mén)及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務(wù)信息系統(tǒng)等安全威脅、隱患分析及防范措施;
3. 國(guó)內(nèi)外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機(jī)制特點(diǎn),信息安全管理標(biāo)準(zhǔn)發(fā)展對(duì)策,網(wǎng)絡(luò)恐怖的特點(diǎn)、趨勢(shì)、危害研究;
4. 信息安全預(yù)警與突發(fā)事件應(yīng)急處置技術(shù):攻擊監(jiān)測(cè)技術(shù),態(tài)勢(shì)感知預(yù)警技術(shù),安全監(jiān)測(cè)技術(shù),安全事件響應(yīng)技術(shù),應(yīng)急處置技術(shù),災(zāi)難備份技術(shù),恢復(fù)和跟蹤技術(shù),風(fēng)險(xiǎn)評(píng)估技術(shù);
5. 信息安全等級(jí)保護(hù)建設(shè)技術(shù):密碼技術(shù),可信計(jì)算技術(shù),網(wǎng)絡(luò)實(shí)名制等體系模型與構(gòu)建技術(shù),漏洞檢測(cè)技術(shù),網(wǎng)絡(luò)監(jiān)測(cè)與監(jiān)管技術(shù),網(wǎng)絡(luò)身份認(rèn)證技術(shù),網(wǎng)絡(luò)攻防技術(shù),軟件安全技術(shù),信任體系研究;
6. 信息安全等級(jí)保護(hù)監(jiān)管技術(shù):用于支撐安全監(jiān)測(cè)的數(shù)據(jù)采集、挖掘與分析技術(shù),用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護(hù)技術(shù),安全態(tài)勢(shì)評(píng)估技術(shù),安全事件關(guān)聯(lián)分析技術(shù)、安全績(jī)效評(píng)估技術(shù),電子數(shù)據(jù)取證和鑒定技術(shù);
7. 信息安全等級(jí)保護(hù)測(cè)評(píng)技術(shù):標(biāo)準(zhǔn)符合性檢驗(yàn)技術(shù),安全基準(zhǔn)驗(yàn)證技術(shù),源代碼安全分析技術(shù),逆向工程剖析技術(shù),滲透測(cè)試技術(shù),測(cè)評(píng)工具和測(cè)評(píng)方法;
8. 信息安全等級(jí)保護(hù)策略與機(jī)制:網(wǎng)絡(luò)安全綜合防控體系建設(shè),重要信息系統(tǒng)的安全威脅與脆弱性分析,縱深防御策略,大數(shù)據(jù)安全保護(hù)策略,信息安全保障工作評(píng)價(jià)機(jī)制、應(yīng)急響應(yīng)機(jī)制、安全監(jiān)測(cè)預(yù)警機(jī)制。
二、投稿要求
1. 來(lái)稿內(nèi)容應(yīng)屬于作者的科研成果,數(shù)據(jù)真實(shí)、可靠,未公開(kāi)發(fā)表過(guò),引用他人成果已注明出處,署名無(wú)爭(zhēng)議,論文摘要及全文不涉及保密內(nèi)容;
2. 會(huì)議只接受以Word排版的電子稿件,稿件一般不超過(guò)5000字;
3. 稿件以Email方式發(fā)送到征稿郵箱;
4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權(quán)出版;
5. 提交截止日期: 2014年5月25日。
三、聯(lián)系方式
通信地址:北京市海淀區(qū)首都體育館南路1號(hào)
郵編:100048
Email:.cn
聯(lián)系人: 范博、王晨
聯(lián)系電話:010-68773930,
13717905088,13581879819
關(guān)鍵詞:電子政務(wù),信息安全,網(wǎng)絡(luò)安全,安全模型,信息安全體系結(jié)構(gòu)
一、電子政務(wù)安全體系概述 網(wǎng)絡(luò)安全遵循“木桶原理”,即一個(gè)木桶的容積決定于它最短的一塊木板,一個(gè)系統(tǒng)的安全強(qiáng)度等于它最薄弱環(huán)節(jié)的安全強(qiáng)度。因此,電子政務(wù)必須建立在一個(gè)完整的多層次的安全體系之上,任何環(huán)節(jié)的薄弱都將導(dǎo)致整個(gè)安全體系的崩潰。 同時(shí),由于電子政務(wù)的特殊性,也要求電子政務(wù)安全環(huán)境中重要的加密/密鑰交換算法等安全核心技術(shù)必須采用具有自主知識(shí)產(chǎn)權(quán)或原碼開(kāi)放的產(chǎn)品。
一個(gè)完整的電子政務(wù)安全體系可由四部分構(gòu)成,即:基礎(chǔ)安全設(shè)施、安全技術(shù)平臺(tái)、容災(zāi)與恢復(fù)系統(tǒng)和安全管理,如圖:
基礎(chǔ)安全設(shè)施是一個(gè)為整個(gè)安全體系提供安全服務(wù)的基礎(chǔ)性平臺(tái),為應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)提供包括數(shù)據(jù)完整性、真實(shí)性、可用性、不可抵賴性、機(jī)密性在內(nèi)的安全服務(wù)。有了這一基礎(chǔ)設(shè)施,整個(gè)電子政務(wù)的安全策略便有了實(shí)現(xiàn)的保證。這一平臺(tái)的實(shí)現(xiàn)主要包括CA/PKI。
網(wǎng)絡(luò)系統(tǒng)安全是一個(gè)組合現(xiàn)有安全產(chǎn)品和技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的平臺(tái)。網(wǎng)絡(luò)系統(tǒng)安全的優(yōu)劣取決與安全策略的合理性,電子政務(wù)的網(wǎng)絡(luò)安全策略是:劃分網(wǎng)絡(luò)安全域建立多層次的動(dòng)態(tài)防御體系。
電子政務(wù)系統(tǒng)用戶類(lèi)型復(fù)雜,劃分網(wǎng)絡(luò)安全域?qū)⒕哂邢嗨茩?quán)限的用戶劃分成獨(dú)立的管理域,管理域之間通過(guò)物理隔離與認(rèn)證/加密技術(shù)實(shí)現(xiàn)有限可控的互連互通,有利于降低整個(gè)系統(tǒng)訪問(wèn)權(quán)限控制的復(fù)雜性,降低系統(tǒng)性風(fēng)險(xiǎn)。
基于多層次的防御體系在各個(gè)層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品以增加攻擊都侵入時(shí)所需花費(fèi)的時(shí)間、成本和資源,從而有效地降低被攻擊的危險(xiǎn),達(dá)到安全防護(hù)的目標(biāo)。如訪問(wèn)控制可部署在網(wǎng)絡(luò)層的接入路由器/VLAN交換機(jī)和應(yīng)用層的身份認(rèn)證系統(tǒng)兩層之上。
網(wǎng)絡(luò)信息安全具有動(dòng)態(tài)性的特點(diǎn):網(wǎng)絡(luò)和應(yīng)用程序的未知漏洞具有動(dòng)態(tài)產(chǎn)生的特點(diǎn);電子政務(wù)的應(yīng)用也會(huì)動(dòng)態(tài)變化、網(wǎng)絡(luò)升級(jí)優(yōu)化將導(dǎo)致系統(tǒng)配置動(dòng)態(tài)更新。這些都要求我們的防御系統(tǒng)必須具有動(dòng)態(tài)適應(yīng)能力,包括建立入侵監(jiān)測(cè)(IDS)系統(tǒng),漏洞掃描系統(tǒng)和安全配置審計(jì)系統(tǒng),并將它們與防火墻等設(shè)備結(jié)合成連動(dòng)系統(tǒng),以適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。
災(zāi)難恢復(fù)系統(tǒng)在發(fā)生重大自然及人為災(zāi)難時(shí)能迅速恢復(fù)數(shù)據(jù)資料,保證系統(tǒng)的正常運(yùn)行并保護(hù)了政務(wù)歷史資料。電子政務(wù)的容災(zāi)與恢復(fù)系統(tǒng)應(yīng)該采用磁帶靜態(tài)備份與磁盤(pán)同步備份相結(jié)合的方式。磁帶靜態(tài)方式用于離線保存歷史記錄,保證了歷史信息的完整,而磁盤(pán)同步方式則用于災(zāi)難數(shù)據(jù)恢復(fù),保護(hù)了當(dāng)前系統(tǒng)的所有數(shù)據(jù)。
安全管理也是電子政務(wù)安全體系的重要組成部分。網(wǎng)絡(luò)安全的核心實(shí)際上是管理,安全技術(shù)實(shí)際上只是實(shí)現(xiàn)管理的一種手段,再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制定的制度包括:日常系統(tǒng)操作及維護(hù)制度、審計(jì)制度、文檔管理制度、應(yīng)急響應(yīng)制度等。
二、電子政務(wù)安全體系的設(shè)計(jì)電子政務(wù)系統(tǒng)是一個(gè)復(fù)雜的多層次應(yīng)用系統(tǒng),根據(jù)不同的應(yīng)用環(huán)境和安全要求一般可分為三個(gè)不同的網(wǎng)段:內(nèi)網(wǎng)、專(zhuān)網(wǎng)、外網(wǎng)。免費(fèi)論文。
內(nèi)網(wǎng)包括內(nèi)網(wǎng)的數(shù)據(jù)層、內(nèi)網(wǎng)的業(yè)務(wù)層;內(nèi)網(wǎng)數(shù)據(jù)層是政府信息的集中存儲(chǔ)與處理的域,該域必須具有極其嚴(yán)格的安全控制策略,信息必須通過(guò)中間處理才能獲得。內(nèi)網(wǎng)的業(yè)務(wù)層是政府內(nèi)部的電子辦公環(huán)境,該區(qū)域內(nèi)的信息只能在內(nèi)部流動(dòng)。
專(zhuān)網(wǎng)連接政府不同的部門(mén)和不同部門(mén)的上下級(jí)部門(mén)。它把部分需要各部門(mén)交換的信息進(jìn)行交換。該區(qū)域負(fù)責(zé)將信息從一個(gè)內(nèi)網(wǎng)傳送到另一個(gè)內(nèi)網(wǎng)區(qū)域,它不與外網(wǎng)域有任何信息交換。免費(fèi)論文。
外網(wǎng)是政府部門(mén)的公共信息的場(chǎng)所,它實(shí)現(xiàn)政府與公眾的互操作。該 域應(yīng)與內(nèi)網(wǎng)和專(zhuān)網(wǎng)隔離。
不同的網(wǎng)絡(luò)連接示意圖如下:
根據(jù)不同網(wǎng)絡(luò)的不同安全需求,設(shè)計(jì)了如下一個(gè)電子政務(wù)的安全模型:
三、電子政務(wù)安全體系的部署
電子政務(wù)安全體系的部署應(yīng)遵循確定安全需求、安全狀態(tài)評(píng)估、安全策略制定(含管理制度)、安全方案設(shè)計(jì)、安全方案實(shí)施、安全制度培訓(xùn)的順序進(jìn)行。免費(fèi)論文。前期的確定安全需求和安全狀態(tài)評(píng)估是整個(gè)安全體系部署中最重要的兩個(gè)步驟,它們是后續(xù)制定安全策略和方案設(shè)計(jì)的依據(jù),決定了整個(gè)安全體系的可靠性。
全面的安全需求調(diào)查包括兩個(gè)方面:系統(tǒng)安全的功能需求和安全置信度需求。系統(tǒng)安全的功能需求包括安全審計(jì)需求、安全連接需求、身份認(rèn)證、信息機(jī)密需求、數(shù)據(jù)保護(hù)需求以及安全管理需求。安全置信度需求包括安全保護(hù)輪廓評(píng)估(PP)、安全目標(biāo)(ST)評(píng)估、系統(tǒng)配置維護(hù)管理、用戶手冊(cè)規(guī)范、產(chǎn)品生命周期支持以及測(cè)試等內(nèi)容。
安全狀態(tài)評(píng)估通常采用五種方式來(lái)了解安全漏洞:1) 對(duì)現(xiàn)有安全策略和制度進(jìn)行分析;2) 參照一些通用的安全基線來(lái)考察系統(tǒng)安全狀態(tài);3) 利用安全掃描工具來(lái)發(fā)現(xiàn)一些技術(shù)性的常見(jiàn)漏洞;4) 允許一些有經(jīng)驗(yàn)的人在監(jiān)管之下對(duì)特定的機(jī)密信息和區(qū)域做模擬入侵系統(tǒng),以確定特定區(qū)域和信息的安全等級(jí);5) 對(duì)該系統(tǒng)的安全管理人員和使用者進(jìn)行訪談,以確定安全管理制度的執(zhí)行情況和漏洞。
同時(shí)應(yīng)注意的是,安全體系的部署并非一勞永逸的事情,隨著系統(tǒng)安全狀態(tài)的動(dòng)態(tài)變化,應(yīng)定期對(duì)系統(tǒng)進(jìn)行安全評(píng)估和審計(jì),搜尋潛在的安全漏洞并修正錯(cuò)誤安全配置。
總之,電子政務(wù)的安全系統(tǒng)是個(gè)容復(fù)雜組織和先進(jìn)IT技術(shù)于一體的復(fù)合體,必須從管理和技術(shù)兩方面來(lái)加強(qiáng)安全性,以動(dòng)態(tài)的眼光來(lái)管理安全,在嚴(yán)謹(jǐn)?shù)陌踩枨蠓治龊桶踩u(píng)估的基礎(chǔ)上運(yùn)用合理的安全技術(shù)來(lái)實(shí)現(xiàn)電子政務(wù)的整體安全。
·參考文獻(xiàn):
1. 電子政務(wù)總體設(shè)計(jì)與技術(shù)實(shí)現(xiàn) 《北京:電子工業(yè)出版社》 國(guó)家信息安全工程技術(shù)研究中心 2003
2.《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國(guó)家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見(jiàn)》國(guó)信辦 2006
3.電子政務(wù)安全解決方案要解決的主要問(wèn)題 《信息安全與通信保密》 譚興烈 2004
4.電子政務(wù)安全體系 《信息安全與通信保密》 鄔賀銓 2003
隨著信息產(chǎn)業(yè)的高速發(fā)展,眾多企業(yè)都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng),以充分利用各類(lèi)信息資源。但是我們?cè)谙硎苄畔a(chǎn)業(yè)發(fā)展帶給我們的便利的同時(shí),也面臨著巨大的風(fēng)險(xiǎn)。我們的系統(tǒng)隨時(shí)可能遭受病毒的感染、黑客的入侵,這都可以給我們?cè)斐删薮蟮膿p失。本文主要介紹了信息系統(tǒng)所面臨的技術(shù)安全隱患,并提出了行之有效的解決方案。
關(guān)鍵字:信息系統(tǒng) 信息安全 身份認(rèn)證 安全檢測(cè)
Abstract:
Along with the high-speed development of information industries, the multitudinous enterprise has established their own information system using the Internet to use each kind of information resource. But while we enjoy the information industries development to take to our convenient, we also faced the huge risk. Our system possibly suffers viral infection, hacker’s invasion; this all may create massive loss to us. This article mainly introduced the technical security hidden danger, which the information system faces, and proposed the effective solution.
Keywords:Information system
Information security
Status authentication
Safe examination
一、目前信息系統(tǒng)技術(shù)安全的研究
1. 企業(yè)信息安全現(xiàn)狀分析
隨著信息化進(jìn)程的深入,企業(yè)信息安全己經(jīng)引起人們的重視,但依然存在不少問(wèn)題。一是安全技術(shù)保障體系尚不完善,企業(yè)花了大量的金錢(qián)購(gòu)買(mǎi)了信息安全設(shè)備,但是技術(shù)保障不成體系,達(dá)不到預(yù)想的目標(biāo):二是應(yīng)急反應(yīng)體系沒(méi)有經(jīng)常化、制度化:三是企業(yè)信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后。
2003年5月至2004年5月,在7072家被調(diào)查單位中有4057家單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件,占被調(diào)查總數(shù)的58%。調(diào)查結(jié)果表明,造成網(wǎng)絡(luò)安全事件發(fā)生的主要原因是安全管理制度不落實(shí)和安全防范意識(shí)薄弱。其中,由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的“%,登錄密碼過(guò)于簡(jiǎn)單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%.
對(duì)于網(wǎng)絡(luò)安全管理情況的調(diào)查:調(diào)查表明,近年來(lái),使用單位對(duì)信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高,80%的被調(diào)查單位有專(zhuān)職或兼職的安全管理人員,12%的單位建立了安全組織,有2%的單位請(qǐng)信息安全服務(wù)企業(yè)提供專(zhuān)業(yè)化的安全服務(wù)。調(diào)查表明,認(rèn)為單位信息網(wǎng)絡(luò)安全防護(hù)能力“較高”和“一般”的比較多,分別占44%。但是,被調(diào)查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓(xùn)、安全經(jīng)費(fèi)投入不足和安全產(chǎn)品不能滿足要求等問(wèn)題,也說(shuō)明目前安全管理水平和社會(huì)化服務(wù)的程度還比較低 。
2.
企業(yè)信息安全防范的任務(wù)
信息安全的任務(wù)是多方面的,根據(jù)當(dāng)前信息安全的現(xiàn)狀,制定信息安全防范的任務(wù)主要是:
從安全技術(shù)上,進(jìn)行全面的安全漏洞檢測(cè)和分析,針對(duì)檢測(cè)和分析的結(jié)果制定防范措施和完整的解決方案;正確配置防火墻、網(wǎng)絡(luò)防病毒軟件、入侵檢測(cè)系統(tǒng)、建立安全認(rèn)證系統(tǒng)等安全系統(tǒng)。
從安全管理上,建立和完善安全管理規(guī)范和機(jī)制,切實(shí)加強(qiáng)和落實(shí)安全管理制度,增強(qiáng)安全防范意識(shí)。
信息安全防范要確保以下幾方面的安全。網(wǎng)絡(luò)安全:保障各種網(wǎng)絡(luò)資源(資源、實(shí)體、載體)穩(wěn)定可靠地運(yùn)行、受控合法地使用。信息安全:保障存儲(chǔ)、傳輸、應(yīng)用的機(jī)密性(Confidentiality )、完整性(Integrity)、抗否認(rèn)性(non-Repudiation) ,可用性(Availability)。其他安全:病毒防治、預(yù)防內(nèi)部犯罪。
二、計(jì)算機(jī)網(wǎng)絡(luò)中信息系統(tǒng)的安全防范措施
(一)網(wǎng)絡(luò)層安全措施
①防火墻技術(shù)
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來(lái)越多地應(yīng)用于專(zhuān)用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中,尤其以接入Internet網(wǎng)絡(luò)為甚。
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全 。
防火墻是網(wǎng)絡(luò)安全的屏障:一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略:通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì):如果所有的訪問(wèn)都經(jīng)過(guò)防火墻,那么,防火墻就能記錄下這些訪問(wèn)并做出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。防止內(nèi)部信息的外泄:通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。除了安全作用,有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN 。通過(guò)VPN,將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)S米泳W(wǎng),有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專(zhuān)用通信線路,而且為信息共享提供了技術(shù)保障。
②入侵檢測(cè)技術(shù)
IETF 將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件:事件產(chǎn)生器(Event Generators );事件分析器(Event Analyzers );響應(yīng)單元(Response Units)和事件數(shù)據(jù)庫(kù)(Event Data Bases )。事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件,并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù),并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元,它可以做出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),也可以只是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱(chēng),它可以是復(fù)雜的數(shù)據(jù)庫(kù),也可以是簡(jiǎn)單的文本文件。
根據(jù)檢測(cè)對(duì)象的不同,入侵檢測(cè)系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型?;谥鳈C(jī)的監(jiān)測(cè)。主機(jī)型入侵檢測(cè)系統(tǒng)就是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源,當(dāng)然也可以通過(guò)其他手段(如監(jiān)督系統(tǒng)調(diào)用)從所在的主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測(cè)系統(tǒng)保護(hù)的一般是所在的系統(tǒng)。這種系統(tǒng)經(jīng)常運(yùn)行在被監(jiān)測(cè)的系統(tǒng)之上,用以監(jiān)測(cè)系統(tǒng)上正在運(yùn)行的進(jìn)程是否合法。最近出現(xiàn)的一種ID ( Intrusion Detection ):位于操作系統(tǒng)的內(nèi)核之中并監(jiān)測(cè)系統(tǒng)的最底層行為。所有這些系統(tǒng)最近已經(jīng)可以被用于多種平臺(tái)。網(wǎng)絡(luò)型入侵檢測(cè)。它的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺(tái)機(jī)子的網(wǎng)卡設(shè)于混雜模式(Promise Mode ),對(duì)所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行信息收集,并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)。
轉(zhuǎn)貼于 對(duì)各種事件進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能。從技術(shù)上,入侵檢測(cè)分為兩類(lèi):一種基于標(biāo)志(C Signature-Based ),另一種基于異常情況(Abnormally-Based )。
(二)服務(wù)器端安全措施 只有正確的安裝和設(shè)置操作系統(tǒng),才能使其在安全方面發(fā)揮應(yīng)有的作用。下面以WIN2000 SERVER 為例。
①正確地分區(qū)和分配邏輯盤(pán)。
微軟的IIS經(jīng)常有泄漏源碼/溢出的漏洞,如果把系統(tǒng)和IIS放在同一個(gè)驅(qū)動(dòng)器會(huì)導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN。本系統(tǒng)的配置是建立三個(gè)邏輯驅(qū)動(dòng)器,C盤(pán)20G,用來(lái)裝系統(tǒng)和重要的日志文件,D盤(pán)20G放IIS, E盤(pán)20G放FTP,這樣無(wú)論IIS或FTP出了安全漏洞都不會(huì)直接影響到系統(tǒng)目錄和系統(tǒng)文件。因?yàn)?,IIS和FTP是對(duì)外服務(wù)的,比較容易出問(wèn)題。而把IIS和FTP分開(kāi)主要是為了防止入侵者上傳程序并從IIS中運(yùn)行。
②正確地選擇安裝順序。
一般的人可能對(duì)安裝順序不太重視,認(rèn)為只要安裝好了,怎么裝都可以的。很多時(shí)候正是因?yàn)楣芾韱T思想上的松懈才給不法分子以可乘之機(jī)。Win2000在安裝中有幾個(gè)順序是一定要注意的:
首先,何時(shí)接入網(wǎng)絡(luò):Win2000在安裝時(shí)有一個(gè)漏洞,在你輸入Administrator密碼后,系統(tǒng)就建立了ADMIN$的共享,但是并沒(méi)有用你剛剛輸入的密碼來(lái)保護(hù)它這種情況一直持續(xù)到你再次啟動(dòng)后,在此期間,任何人都可以通過(guò)ADMIN$進(jìn)入你的機(jī)器;同時(shí),只要安裝一完成,各種服務(wù)就會(huì)自動(dòng)運(yùn)行,而這時(shí)的服務(wù)器是滿身漏洞,非常容易進(jìn)入的,因此,在完全安裝并配置好Win2000 SERVER之前,一定不要把主機(jī)接入網(wǎng)絡(luò)。
其次,補(bǔ)丁的安裝:補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后,因?yàn)檠a(bǔ)丁程序往往要替換/修改某些系統(tǒng)文件,如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果,例如: IIS的HotFix就要求每次更改IIS的配置都需要安裝,盡管很麻煩,卻很必要。
(三)安全配置
①端口::端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口,從安全的角度來(lái)看,僅打開(kāi)你需要使用的端口會(huì)比較安全,配置的方法是在網(wǎng)卡屬性——TCP/IP——高級(jí)——選項(xiàng)——TCP/IP篩選中啟用TCP/IP篩選,不過(guò)對(duì)于Win2000的端口過(guò)濾來(lái)說(shuō),有一個(gè)不好的特性:只能規(guī)定開(kāi)哪些端口,不能規(guī)定關(guān)閉哪些端口;這樣對(duì)于需要開(kāi)大量端口的用戶就比較麻煩。
②IIS: IIS是微軟的組件中漏洞最多的一個(gè),平均兩三個(gè)月就要出一個(gè)漏洞,而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維,所以IIS的配置是我們的重點(diǎn),所以在本系統(tǒng)的WWW服務(wù)器采取下面的設(shè)置:
首先,把操作系統(tǒng)在C盤(pán)默認(rèn)安裝的Inetpub目錄徹底刪掉,在D盤(pán)建一個(gè)Inetpub在IIS管理器中將主目錄指向D: \Inetpub。
其次,在IIS安裝時(shí)默認(rèn)的scripts等虛擬目錄一概刪除,這些都容易成為攻擊的目標(biāo)。我們雖然已經(jīng)把Inetpub從系統(tǒng)盤(pán)挪出來(lái)了,但這樣作也是完全必要的。如果需要什么權(quán)限的目錄可以在需要的時(shí)候再建,需要什么權(quán)限開(kāi)什么。特別注意寫(xiě)權(quán)限和執(zhí)行程序的權(quán)限,沒(méi)有絕對(duì)的必要千萬(wàn)不要給。
③應(yīng)用程序配置:在IIS管理器中刪除必須之外的任何無(wú)用映射,必須指出的是ASP, ASP和其它確實(shí)需要用到的文件類(lèi)型。我們不需要IIS提供的應(yīng)用程序的映射,刪除所有的映射,具體操作:在IIS管理器中右擊主機(jī)一屬性一WWW服務(wù)編輯一主目錄配置一應(yīng)用程序映射,然后就一個(gè)個(gè)刪除這些映射。點(diǎn)擊“確定”退出時(shí)要讓虛擬站點(diǎn)繼承剛才所設(shè)定的屬性。
經(jīng)過(guò)了Win2000 Server的正確安裝與正確配置,操作系統(tǒng)的漏洞得到了很好的預(yù)防,同時(shí)增加了補(bǔ)丁,這樣子就大大增強(qiáng)了操作系統(tǒng)的安全性能。
雖然信息管理系統(tǒng)安全性措施目前已經(jīng)比較成熟,但我們切不可馬虎大意,只有不斷學(xué)習(xí)新的網(wǎng)絡(luò)安全知識(shí)、采取日新月異的網(wǎng)絡(luò)安全措施,才能保證我們的網(wǎng)絡(luò)安全防御真正金湯。
參考文獻(xiàn)
[1]劉海平,朱仲英.一個(gè)基于ASP的在線會(huì)員管理信息系統(tǒng).微型電腦應(yīng)用.2002 (10)
[2]東軟集團(tuán)有限公司,NetEye防火墻使用指南3.0,1-3
[3]賈晶,陳元,王麗娜編著,信息系統(tǒng)的安全與保密,第一版,1999.01,清華大學(xué)出版社
[4] Eric Maiwald,Wi1liEducation, Security Planning & Disaster Recovery,2003,Posts & Telecommunications Press, PP. 86-94
[5]楊兵.網(wǎng)絡(luò)系統(tǒng)安全技術(shù)研究及其在寶鋼設(shè)備采購(gòu)管理系統(tǒng)中的應(yīng)用:(學(xué)位論文).遼寧:東北大學(xué),2002
[6]劉廣良.建設(shè)銀行計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全管理策略研究:(學(xué)位論文).湖南:湖南大學(xué).2001
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:統(tǒng)計(jì)源期刊
榮譽(yù):Caj-cd規(guī)范獲獎(jiǎng)期刊
級(jí)別:省級(jí)期刊
榮譽(yù):全國(guó)優(yōu)秀科技期刊