前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的中國信息安全論文主題范文,僅供參考,歡迎閱讀并收藏。
論文關鍵詞:信息安全;保護
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統(tǒng)的安全問題相比,基于網絡的信息安全有一些新的特點:信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰(zhàn);網絡協(xié)議自身缺陷,等等。
1我國信息安全的現狀
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業(yè)化工作的繼續(xù)進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環(huán)境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規(guī)不健全等諸多因素,我國的信息化仍然存在不安全問題。
①網絡安全的防護能力較弱。我國的信息化建設發(fā)展迅速,各個企業(yè)紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續(xù)設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統(tǒng)、入侵監(jiān)測系統(tǒng)等防護設備,整個系統(tǒng)存在著相當大的信息安全隱患。美國互聯(lián)網安全公司賽門鐵克公司2007年發(fā)表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
②對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監(jiān)測和改造,從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機。
③我國基礎信息產業(yè)薄弱,核心技術嚴重依賴國外,缺乏自主創(chuàng)新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態(tài)。
除此之外,我國目前信息技術領域的不安全局面,也與西方發(fā)達國家對我國的技術輸出進行控制有關。
2我國信息安全保護的策略
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規(guī)和信息安全教育。
①加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統(tǒng)的安全防護能力,從而促進整個系統(tǒng)的信息安全。
②發(fā)展有自主知識產權的信息安全產業(yè),加大信息產業(yè)投入。增強自主創(chuàng)新意識,加大核心技術的研發(fā),尤其是信息安全產品,減小對國外產品的依賴程度。
③創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國信息安全的法規(guī)體系,制定相關的法律法規(guī),例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
會議擬請公安、工業(yè)和信息化、國家保密、國家密碼管理主管部門、中國科學院、國家網絡與信息安全信息通報中心等部門擔任指導單位,同時將出版論文集,經專家評選的部分優(yōu)秀論文,將推薦至國家核心期刊發(fā)表?,F就會議征文的有關情況通知如下:
一、征文范圍
1. 新技術應用環(huán)境下信息安全等級保護技術:物聯(lián)網、云計算、大數據、工控系統(tǒng)、移動接入網、下一代互聯(lián)網(IPv6)等新技術、環(huán)境下的等級保護支撐技術,等級保護技術體系在新環(huán)境下的應用方法;
2. 關鍵基礎設施信息安全保護技術:政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網站、核心業(yè)務信息系統(tǒng)等安全威脅、隱患分析及防范措施;
3. 國內外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機制特點,信息安全管理標準發(fā)展對策,網絡恐怖的特點、趨勢、危害研究;
4. 信息安全預警與突發(fā)事件應急處置技術:攻擊監(jiān)測技術,態(tài)勢感知預警技術,安全監(jiān)測技術,安全事件響應技術,應急處置技術,災難備份技術,恢復和跟蹤技術,風險評估技術;
5. 信息安全等級保護建設技術:密碼技術,可信計算技術,網絡實名制等體系模型與構建技術,漏洞檢測技術,網絡監(jiān)測與監(jiān)管技術,網絡身份認證技術,網絡攻防技術,軟件安全技術,信任體系研究;
6. 信息安全等級保護監(jiān)管技術:用于支撐安全監(jiān)測的數據采集、挖掘與分析技術,用于支撐安全監(jiān)管的敏感數據發(fā)現與保護技術,安全態(tài)勢評估技術,安全事件關聯(lián)分析技術、安全績效評估技術,電子數據取證和鑒定技術;
7. 信息安全等級保護測評技術:標準符合性檢驗技術,安全基準驗證技術,源代碼安全分析技術,逆向工程剖析技術,滲透測試技術,測評工具和測評方法;
8. 信息安全等級保護策略與機制:網絡安全綜合防控體系建設,重要信息系統(tǒng)的安全威脅與脆弱性分析,縱深防御策略,大數據安全保護策略,信息安全保障工作評價機制、應急響應機制、安全監(jiān)測預警機制。
二、投稿要求
1. 來稿內容應屬于作者的科研成果,數據真實、可靠,未公開發(fā)表過,引用他人成果已注明出處,署名無爭議,論文摘要及全文不涉及保密內容;
2. 會議只接受以Word排版的電子稿件,稿件一般不超過5000字;
3. 稿件以Email方式發(fā)送到征稿郵箱;
4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權出版;
5. 提交截止日期: 2014年5月25日。
三、聯(lián)系方式
通信地址:北京市海淀區(qū)首都體育館南路1號
郵編:100048
Email:.cn
聯(lián)系人: 范博、王晨
聯(lián)系電話:010-68773930,
13717905088,13581879819
“2009年,我上任后第一次訪問深圳工廠,當時工廠還只能生產小功率UPS?!币令D電氣集團亞太區(qū)高級副總裁、電能質量業(yè)務總經理羅世光回憶說,“但是現在,10kW~1000kW的UPS都已經可以在中國本地進行生產?!?/p>
中國和亞太地區(qū)是伊頓在全球范圍內具有戰(zhàn)略意義的市場。羅世光相信,中國數據中心市場的快速增長將給伊頓的電能質量業(yè)務帶來更大的增長機會。因此,在2014年,伊頓將加強與商的合作,拓展分銷渠道,進一步推進與本土市場的全面融合,同時加大對本土產品研發(fā)和檢測的能力,提供更多符合中國客戶需求的高效節(jié)能的電能質量解決方案。
深圳是伊頓面向全球的研發(fā)和生產基地。三家位于深圳的工廠擁有5000多名員工、29條先進的自動化生產線,年產UPS達到800萬臺。伊頓在深圳設立的研發(fā)中心也是其全球三大電氣研發(fā)基地之一,產品研發(fā)和測試工程師超過1000人。
剛啟用的伊頓在深圳的亞太區(qū)電能質量產品和系統(tǒng)檢測中心,是除美國、芬蘭之外,伊頓在全球擁有的第三個產品和系統(tǒng)檢測中心?!霸摍z測中心同時也是客戶體驗中心,配備了全球領先的檢測設備和技術,不僅能夠檢測單體設備,還能對包括UPS、電源分配單元(PDU)、AMS監(jiān)測系統(tǒng)和第三方設備的整個電能系統(tǒng)解決方案進行測試,其最大測試能力是可對兩臺并聯(lián)的1100kW的UPS進行測試?!绷_世光介紹說,“客戶在選擇一款定制的電能解決方案后,即可在檢測中心看到其運行的全過程,通過親身體驗增進對產品的了解和信心?!?/p>
“過去3~4年中,我們在中國市場的總投入已經超過1200萬美元。我們仍在持續(xù)加強中國本地化,并從去年底開始進一步提升了針對中國用戶的售前和售后服務能力?!绷_世光告訴記者,“目前,我們90%的UPS都在深圳研發(fā)和生產。最近,深圳研發(fā)中心剛剛研制出一款新的UPS產品。與許多跨國企業(yè)采取的遠程遙控式的本地研發(fā)策略相比,我們是實實在在地將研發(fā)部門落戶在深圳,為亞太和中國市場提供本地化服務的同時也面向全球客戶?!?/p>
云計算與大數據的發(fā)展推動了大型數據中心的快速發(fā)展,用戶對數據中心整體解決方案和定制化解決方案的需求也與日俱增?!皬?010年開始,伊頓增加了為中國客戶定制數據中心解決方案的服務。在今年的商大會上,我看到了商和用戶的積極反饋?!绷_世光表示。
針對小型數據中心,伊頓可以提供模塊化、標準化的解決方案;針對中型數據中心,伊頓可以針對不同行業(yè)客戶的需求,提供有差異化的解決方案;針對大型數據中心,伊頓可以提供按需擴展的高能效、低整體擁有成本的解決方案。從產品到系統(tǒng)再到整體解決方案,這不僅對伊頓是一個新的挑戰(zhàn),對其商來說也要經歷一個大的轉變。
為了迅速提升商銷售解決方案的能力,伊頓一方面不斷更新其數據中心整體解決方案,另一方面加強對商的銷售培訓,實現信息共享。羅世光表示:“我們提供的定制化解決方案一方面要滿足用戶的個性化需求,另一方面還要保持開放性。我們將為用戶提供解決方案與服務打包的一體化解決方案?!?/p>
第三屆全國等級保護技術大會征文通知
為深入貫徹落實國家關于大力推進信息化發(fā)展和切實保障信息安全的文件精神,進一步推進信息安全等級保護技術交流,經公安主管部門同意,公安部第一研究所擬于2014年7月舉辦第三屆全國信息安全等級保護技術大會(ICSP’2014)。
會議擬請公安、工業(yè)和信息化、國家保密、國家密碼管理主管部門、中國科學院、國家網絡與信息安全信息通報中心等部門擔任指導單位,同時將出版論文集,經專家評選的部分優(yōu)秀論文,將推薦至國家核心期刊發(fā)表?,F就會議征文的有關情況通知如下:
一、征文范圍
1. 新技術應用環(huán)境下信息安全等級保護技術:物聯(lián)網、云計算、大數據、工控系統(tǒng)、移動接入網、下一代互聯(lián)網(IPv6)等新技術、環(huán)境下的等級保護支撐技術,等級保護技術體系在新環(huán)境下的應用方法;
2. 關鍵基礎設施信息安全保護技術:政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網站、核心業(yè)務信息系統(tǒng)等安全威脅、隱患分析及防范措施;
3. 國內外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機制特點,信息安全管理標準發(fā)展對策,網絡恐怖的特點、趨勢、危害研究;
4. 信息安全預警與突發(fā)事件應急處置技術:攻擊監(jiān)測技術,態(tài)勢感知預警技術,安全監(jiān)測技術,安全事件響應技術,應急處置技術,災難備份技術,恢復和跟蹤技術,風險評估技術;
5. 信息安全等級保護建設技術:密碼技術,可信計算技術,網絡實名制等體系模型與構建技術,漏洞檢測技術,網絡監(jiān)測與監(jiān)管技術,網絡身份認證技術,網絡攻防技術,軟件安全技術,信任體系研究;
6. 信息安全等級保護監(jiān)管技術:用于支撐安全監(jiān)測的數據采集、挖掘與分析技術,用于支撐安全監(jiān)管的敏感數據發(fā)現與保護技術,安全態(tài)勢評估技術,安全事件關聯(lián)分析技術、安全績效評估技術,電子數據取證和鑒定技術;
7. 信息安全等級保護測評技術:標準符合性檢驗技術,安全基準驗證技術,源代碼安全分析技術,逆向工程剖析技術,滲透測試技術,測評工具和測評方法;
8. 信息安全等級保護策略與機制:網絡安全綜合防控體系建設,重要信息系統(tǒng)的安全威脅與脆弱性分析,縱深防御策略,大數據安全保護策略,信息安全保障工作評價機制、應急響應機制、安全監(jiān)測預警機制。
二、投稿要求
1. 來稿內容應屬于作者的科研成果,數據真實、可靠,未公開發(fā)表過,引用他人成果已注明出處,署名無爭議,論文摘要及全文不涉及保密內容;
2. 會議只接受以Word排版的電子稿件,稿件一般不超過5000字;
3. 稿件以Email方式發(fā)送到征稿郵箱;
4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權出版;
5. 提交截止日期: 2014年5月25日。
三、聯(lián)系方式
通信地址:北京市海淀區(qū)首都體育館南路1號
郵編:100048
Email:.cn
聯(lián)系人: 范博、王晨
聯(lián)系電話:010-68773930,
13717905088,13581879819
英文名稱:Science Mosaic
主管單位:
主辦單位:江西省科技情報研究所
出版周期:
出版地址:
語
種:
開
本:
國際刊號:1671-4792
國內刊號:36-1253/N
郵發(fā)代號:44-66
發(fā)行范圍:
創(chuàng)刊時間:1988
期刊收錄:
核心期刊:
期刊榮譽:
聯(lián)系方式
期刊簡介
《科技廣場》雜志是由國家新聞出版署批準出版、江西省科技廳主管、國內外公開發(fā)行的大型省級綜合性科技學術月刊,標準刊號為ISSN1671-472,國內刊號為CN36-1253/N。為中國核心期刊(遴選)數據庫來源刊、中國期刊全文數據庫來源刊、中國學術期刊綜合評價數據庫來源刊、中國學術期刊(光盤版)收錄期刊、中文科技期刊數據庫來源刊、中國科技論文統(tǒng)計源期刊等收錄合作單位。 《科技廣場》宗旨是報道中國信息產業(yè)科學技術領域的優(yōu)秀科研成果。它是以中文編輯形式與讀者見面,同時以英文摘要形式向國際各大檢索系統(tǒng)提供基本內容介紹。刊物秉持一貫的嚴謹求實態(tài)度,以第一線科技管理、科技研究、科技實踐工作人員為讀者對象,結合科技創(chuàng)新的時代背景,為其發(fā)表學術論文提供一個寬松的理論爭鳴平臺。 《科技廣場"信息科學》將緊密關注前沿科學動態(tài),及時發(fā)表我國高校和各行業(yè)計算機科學與技術、電子信息工程、信息管理與信息系統(tǒng)、通信工程、電氣工程及工業(yè)自動化領域的科研活動成果。特辟欄目有:研究與探討、信息安全技術、網絡與通信、數據庫、應用與開發(fā)、控制技術、電力電子技術、圖形與圖象技術等。 《科技廣場"管理科學》緊密圍繞與科技發(fā)展有關的經濟、管理等方面具有一定學術價值和應用價值的研究文章和反映該學科領域的新成果、新理論等方面的論述文章。具體包括:科技體制改革與創(chuàng)新、產業(yè)經濟、企業(yè)管理、人力資源管理、信息管理、財務管理、綜述與評論等方面。
主要欄目:
特別報道
科技要聞
科技方圓
學術園地
創(chuàng)新平臺
風險投資
關鍵詞:信息安全;學科競賽;能力培養(yǎng);創(chuàng)新實踐
文章編號:1672-5913(2013)01-0084-05
中圖分類號:G642
0 引言
近年來,網電空間已經成為與陸、海、空、天并列的行動領域,網絡作戰(zhàn)部隊也一躍成為新興作戰(zhàn)力量。面對國際戰(zhàn)略形勢的這種變革,我們可以在信息化時代背景下加強基于信息系統(tǒng)體系的作戰(zhàn)能力建設,加快轉變戰(zhàn)斗力生成模式。我們清醒地認識到,網絡空間的對抗,不僅是計算機、網絡等基礎設施性能之間的較量,更重要的是人才的較量、人才能力的較量。因此,以能力為導向培養(yǎng)高素質新型軍事人才成為國防科技大學信息安全專業(yè)建設的歷史使命,我們急需解決如下問題。
1)信息安全人才的專業(yè)能力定位問題。信息安全人才應該具備什么樣的專業(yè)能力?應采取什么樣的人才培養(yǎng)思路?
2)信息安全人才的能力培養(yǎng)問題。網絡空間對抗對于人才的綜合素質有一系列新要求。如何統(tǒng)籌和貫通本科專業(yè)實踐教學的各個環(huán)節(jié),以能力為導向實現學生工程實踐能力和綜合素質的培養(yǎng)?
3)教師指導學生創(chuàng)新的能力問題。教師是培養(yǎng)學生創(chuàng)新能力的基礎和關鍵。信息安全涉及面廣、知識新、實踐性強,對實踐教學指導工作提出巨大挑戰(zhàn)。教師如何將自身高水平的科研能力應用于學生創(chuàng)新能力培養(yǎng)的教學活動中,真正做到教學相長,是需要解決的問題。
4)能力培養(yǎng)模式的固化與推廣問題。即如何通過規(guī)范組織、科學管理、更大范圍內整合優(yōu)質資源,促進全國信息安全競賽的健康長遠發(fā)展,培養(yǎng)更多滿足國家和軍隊信息安全需要的人才。
為此,我們在教育部信息安全類專業(yè)教學指導委員會“信息安全教學創(chuàng)新與實踐研究”課題支持下,面向信息安全專業(yè)人才培養(yǎng)目標,以大學生信息安全競賽為契機,圍繞提升學生解決信息安全實際問題的創(chuàng)新能力開展實踐探索。
1 以能力為導向的信息安全人才能力培養(yǎng)新模式
人才培養(yǎng)的最終目標是培養(yǎng)學生的專業(yè)能力和解決問題的綜合能力。如何將信息安全能力培養(yǎng)細化為軍事院校教育的一系列環(huán)節(jié),成為我們近年來著力最多的地方。在理念上,教師通過對網絡空間性質的研究及其在軍事上的作用機理分析,建立到信息安全人才的知識、能力和素質培養(yǎng)的映射,尤其突出對能力的要求。
1.1面向新型作戰(zhàn)力量建設需要,設計信息安全能力培養(yǎng)體系
我們從網絡攻防的對立統(tǒng)一方面設計學生的專業(yè)能力培養(yǎng)架構,具體包括6個方面能力,即網絡監(jiān)測預警能力、系統(tǒng)防護能力、應急處置能力、容災恢復能力、溯源定位能力和審計評估能力。學生的專業(yè)能力組成結構如圖1所示。
在培養(yǎng)學生專業(yè)技能的同時,教師結合學生未來網絡空間獨立/協(xié)作解決實際問題的需要,強化培養(yǎng)學生的5種綜合性素質與能力,即閱讀分析能力、動手實踐能力、團隊協(xié)作能力、科學實驗能力和寫作表達能力。學生的綜合能力組成結構如圖2所示。
通過對上述能力培養(yǎng)結構的梳理和設計,教師明確了學生能力發(fā)展的目標、途徑和方法,并根據這些要求因材施教。
1.2以大學生信息安全競賽為引領,構建以能力為導向的新模式
學科競賽作為實踐教學的重要活動,在促進專業(yè)建設方面發(fā)揮了積極作用。全國大學生信息安全競賽是由教學指導委員會主辦的全國性大學生科技作品競賽,屬于全國大學生最高水平的學科競賽之一。競賽采用開放的自主命題方式,參賽作品以信息安全理論與應用設計為主要內容,必須由參賽隊員獨立設計并開發(fā)完成。
2008年,我們組建信息安全競賽教練組,負責從全校學生中選拔學員參加訓練和比賽。在組織和培訓學員參加競賽的過程中,以學生能力為導向構建了新的教學模式。概括地說,即“大跨度”、“三維度”、“四位一體”模式?!按罂缍取笔侵笇I(yè)實踐活動從過去學生學完專業(yè)課之后開設提前到大學一年級開設,引導學生從一年級開始就進入實驗室,熟悉實踐環(huán)境和需求;“三維度”是指教師在課堂、實驗室與網絡教學中,充分利用多種教學手段,拓寬學生知識面,讓學生適應以能力為導向的學習;“四位一體”是指將信息安全的能力培養(yǎng)貫穿于課內實驗、綜合課程設計、課外創(chuàng)新實踐、畢業(yè)設計等環(huán)節(jié)。
傳統(tǒng)做法是學生學完專業(yè)課后,再進行專業(yè)課實驗,這種實驗多為驗證性實驗。我們改革的做法是以需求帶出問題,讓學生組成小組,以技術促進學生主動學習,再輔以全程指導。學生依托開放實驗環(huán)境和網絡化交流平臺,不間斷地動手實踐,觀摩優(yōu)秀作品,逐步完善自己的作品,直至參加全國競賽。通過1~2年的組內研討、協(xié)同設計和開發(fā)、師生交流,極大地增強了團隊意識和表達能力。另一方面,學生通過使用實驗儀器并分析測試數據加強科學實驗能力,通過提交作品和答辯匯報提高寫作和表達能力。同時,在信息安全作品創(chuàng)作過程中,學生廣開思路,做出優(yōu)秀作品,并突出作品的實用性。
1.3以信息安全能力提升為目標,全方位推行實踐教學改革
我們以競賽為契機,有機整合課內實驗、綜合課程設計、畢業(yè)設計和課外創(chuàng)新實踐活動,并結合大學生信息安全競賽活動的特征,全方位培養(yǎng)學生的工程實踐能力和綜合素質。
1)從安全需求中導出課題,從解決實際問題出發(fā)突破關鍵技術。例如,在個人終端及文檔處理方面,我們引導學生分析終端接人、文檔處理、U盤使用等環(huán)節(jié)中存在的安全隱患。學生在可信接入終端與信息安全設備關鍵技術等方面進行了一系列開創(chuàng)性工作,先后研發(fā)“文件受控分發(fā)系統(tǒng)”、“USB加密轉接口”和“基于U Key的軟件授權保護系統(tǒng)”,并分別獲得2008年、2009年和2011年全國大學生信息安全競賽一等獎。
2)在課內實驗教學環(huán)節(jié)中,我們提倡“以課輔賽、以賽促課”,引入以項目為中心的教學方法,圍繞項目創(chuàng)意、設計開發(fā)、文檔寫作、答辯等各個階段展開教學;在綜合課程設計環(huán)節(jié)中,我們將網絡工程知識和攻防對抗基礎知識、基本方法及技能貫穿其中,實現多種課內實驗與綜合課程設計實驗的銜接;在畢業(yè)設計環(huán)節(jié)中,我們注重以獲獎競賽作品為基準,整合、分解、升華出適合作為畢業(yè)設計的課題;在課外創(chuàng)新實踐活動中,設置“銀河大學生科研創(chuàng)新基金”,組織一系列圍繞信息安全的系列講座,以解讀課題。
1.4以高水平科研為依托,提升教師指導創(chuàng)新實踐的能力
高水平的教師隊伍是培養(yǎng)學生創(chuàng)新能力和綜合素質的關鍵。自2008年組織學生參加全國大學生信息安全競賽以來,我們獲得了“每屆均獲優(yōu)秀指導教師獎”、“優(yōu)秀指導教師數量全國第一”、“連續(xù)五屆蟬聯(lián)優(yōu)秀組織單位獎”的優(yōu)異成績。我們總結經驗,認為提升教師指導創(chuàng)新實踐能力的有效途徑有以下2個方面。
1)面向國際一流水準,營造積極向上的學術氛圍。以國家自然科學基金、武器裝備預研基金等課題為依托,努力形成優(yōu)秀青年科學家群體,全面促進信息安全教學團隊提升學生開展創(chuàng)新工作的水平。2008年以來,教師中有2人次擔任國際期刊編委,3人擔任次國際會議大會主席,6人次擔任程序委員會主席,30余人次擔任程序委員會委員;先后有30余位教師出訪荷蘭阿姆斯特丹大學、瑞士聯(lián)邦理工學院等國際著名高等學府并作學術報告。國防科技大學每年選送優(yōu)秀青年教師到國外留學訪問,建立并完善與國內外著名大學合作研究的機制,吸收借鑒國際上最先進的教學理念與教學成果。
2)競賽中教學相長,教師自身也得到發(fā)展。很多學生的競賽作品來源于教師的高水平科研探索。例如,任江春副教授多年從事數據安全保護技術研究,2009年獲得國家自然科學基金項目資助,針對其中的電子文檔的使用控制、分發(fā)與U盤管理,先后組織3組學生展開攻關。第1組的3名學生突破了其中的核心技術,設計完成“文檔受控分發(fā)系統(tǒng)”;第2組的4名學生設計完成“網絡化優(yōu)盤管理系統(tǒng)”;第3組的4名學生設計完成“基于主動防護的安全優(yōu)盤”。3組學生分別獲得全國信息安全競賽的一、二、三等獎。
1.5固化能力培養(yǎng)模式,打造全國平臺
參加信息安全競賽并取得好成績并非我們的最終目的,我們還希望通過更為規(guī)范的組織管理,促進全國賽事的健康與長遠發(fā)展,不斷提升國防科技大學信息安全人才能力培養(yǎng)的水平。為此,我們從以下幾個方面不斷努力。
1)制訂全國大學生信息安全競賽規(guī)則,助力該項賽事健康發(fā)展。全國大學生信息安全競賽迄今為止共舉辦五屆,在取得廣泛贊譽的同時還存在一些不足。在參與全國大學生信息安全競賽的過程中,我們一方面學習兄弟單位承辦競賽的經驗和教訓,另一方面不斷思考如何進一步提高競賽組織管理水平,為全國大學生打造一個公平、公正、高效的競賽平臺。2011年,本團隊承辦第四屆全國大學生信息安全競賽,經過精心策劃、嚴密組織,競賽獲得圓滿成功。
在競賽中,為保證競賽公平公正和高效合理,我們在專用競賽網站平臺上進行初賽作品開發(fā),以保證作品開發(fā)過程可追蹤、可核查,杜絕學生抄襲;依托網絡平臺對初賽作品進行分發(fā)評審,確保作品分配到相同或相近方向的專家手中,避免評審受到其他因素的影響。為提高競賽的普及面,我們規(guī)定每所高校入圍隊不得超過決賽總隊數的1/10,參考初賽得分將入圍決賽隊的小組隨機均勻分配,避免過強的隊分在一個小組內。上述措施獲得良好效果,得到教學指導委員會的高度評價和認可,并在后續(xù)競賽中沿用。
2)打造網絡化的技術交流平臺,實現信息安全領域人才培養(yǎng)、技術開發(fā)、成果轉化的有效對接。隨著信息安全競賽規(guī)模的不斷擴大,目前每屆參賽隊伍平均為500多支,作品的注冊報名、審核管理、作品提交以及作品初評等工作量劇增,以往采取的通過電子郵件進行報名注冊、作品提交等方式已不能適應競賽的發(fā)展。同時,該方式的封閉性使得產業(yè)界難以有效介入。
面對這一現狀,本團隊以863重點項目科研成果“可信的國家軟件資源共享與協(xié)同生產環(huán)境”為基礎,組織開發(fā)全國大學生信息安全競賽信息平臺。該平臺集競賽宣傳、作品申報、協(xié)同開發(fā)、作品評審、技術交流、廠商專區(qū)、人才招聘等功能于一體,并搜集歷屆信息安全競賽的優(yōu)秀作品,錄入歷屆高校指導教師和參賽隊伍的基本情況?;谠撈脚_,各參賽學校可以綜合分析和利用歷屆作品信息,對競賽作品的選題、技術創(chuàng)新、參考實現等為學生提供有益的借鑒。同時,也為信息安全產業(yè)界提供了一個設備展示、人才招聘和成果轉化的窗口,促進產學研的結合。
3)將能力為導向的經驗固化為先進的人才培養(yǎng)方案。2009年,我們開始嘗試培養(yǎng)信息安全方向的本科人才。2012年,借助學校啟動新一輪本科人才培養(yǎng)方案之機,教學團隊把握機遇,經多次深入討論,明確了信息安全能力對于信息安全專業(yè)學生的重要性。因此,在制訂信息安全本科生培養(yǎng)方案時,要將能力要素梳理到位并固化,從課程體系、網絡教學資源建設、實驗平臺與內容設計、實習基地和實習實訓環(huán)境建設乃至畢業(yè)設計等諸多方面進行科學合理的布局設計。
2 應用成果
以大學生信息安全競賽為引領的信息安全人才能力培養(yǎng)模式,是我們近年來在教學改革過程中不斷探索總結出的經驗。結合學校學科競賽和人才創(chuàng)新能力培養(yǎng),我們取得了如下應用成果。
1)自2008年參賽以來,國防科技大學累計以10項一等獎、12項二等獎、16項三等獎的成績雄居全國高校榜首,創(chuàng)造了“優(yōu)秀指導教師數量全國第一”、“連續(xù)五屆蟬聯(lián)優(yōu)秀組織單位獎”的優(yōu)異成績。
2)2012年,本團隊指導的班級有8組共32名學生獲“全國大學生創(chuàng)新實踐訓練計劃”資助,占該班級學生人數的40%。除此以外,還有多項信息安全類創(chuàng)新實踐項目獲得省級、校級、院級創(chuàng)新項目資助。
3)通過課堂學習、技術培訓、不同層級的競賽等活動,全校學生的信息安全技能受訓覆蓋面達到100%,直接受訓學生達1500多人次。作為獲獎學生中的優(yōu)秀代表,2011年全國競賽中榮獲一等獎的4位同學,比賽結束后在國家級創(chuàng)新實踐項目資助下開展前瞻性研究,將關鍵技術寫成英文論文,發(fā)表在兩個國際知名學術會議上并赴境外報告論文,受到美國國家自然科學基金網絡與系統(tǒng)部主任Min Song教授等與會專家的高度贊賞。2011年7月,他們“登上國際學術舞臺的本科生”的事跡被《中國科學報》、《科技日報》等中央報刊廣泛報道。
4)開發(fā)了信息安全技術交流平臺,該平臺集競賽宣傳、作品申報與評審、內部交流、協(xié)同開發(fā)、歷史數據庫管理等功能于一體,被教學指導委員會指定為競賽官方網站,為該項競賽健康有序地發(fā)展做出重要貢獻。
論文摘要:實現信息化就是要構造和完善信息化體系,而信息化的政策、法規(guī)和標準是國家信息化快速、有序、健康發(fā)展的保障。因此,為加速信息化建設,就必須制定一系列相應的政策,提供行政支持;為保證信息化建設的安全性、合法性,就必須完善法律法規(guī);為保證信息化基礎設施建設可用度、高質童和互通性,就必須加快信息化標準體系建設。
2002年3月19日,國家信息化測評中心(NIEC)在京公布了國家信息化指標測算第一批數據,同時了國家信息化水平研究報告。據報告顯示,2000年國家信息化指數(NIQ)為38. 46,與1999年的30. 14和1998年的25. 89相比,有較大提高。其中,信息技術應用指數最高為65. 89,表明中國信息技術應用得到較快發(fā)展,信息技術和網絡技術正向各個領域廣泛滲透,對經濟結構調整和傳統(tǒng)產業(yè)的改造開始發(fā)揮重要作用,成為拉動中國信息化水平提高的主要因素。信息產品和服務發(fā)展指數為53. 78,表明我國信息產業(yè)持續(xù)高速發(fā)展,正在改變我國工業(yè)化的面貌,并逐步成為國民經濟的重要支柱產業(yè)。信息資源開發(fā)利用指數為45. 29,表明隨著互聯(lián)網絡的飛速發(fā)展,我國的互聯(lián)網絡信息資源也得到了很大的發(fā)展。但是我們仍不能樂觀,因為信息環(huán)境發(fā)展指數僅為21. 86,在各要素中水平較低,表明信息化發(fā)展與其軟環(huán)境建設的不相適應。
1加強信息化發(fā)展的政策研究
近年來,我國已經推出了一系列的促進信息產業(yè)發(fā)展和加快信息化進程的政策,如加快我國微電子、軟件及通訊產業(yè)發(fā)展的一系列政策,對推動我國信息化的發(fā)展發(fā)揮了重要作用。信息化建設的不斷深人,迫切要求我們更進一步加強對信息化發(fā)展的政策研究,分清輕重緩急,逐項予以落實,以適應信息化發(fā)展的需要。例如,在信息產業(yè)發(fā)展方面.當前比較急需的有幫助我國信息產業(yè)提升競爭力的政策,鼓勵風險投資的政策,扶持信息技術相關中、小企業(yè)的政策,信息技術人才引進和出口的政策,加快信息技術人才培養(yǎng)力度的政策,鼓勵互聯(lián)網發(fā)展的政策等等。
在政府信息化方面,有非密政府信息公開和政府信息資源共享及管理的政策,政府網絡與互聯(lián)網關系的政策,政府信息化中的技術政策和采購政策,政府信息化中的外資利用政策,私人企業(yè)在政府信息系統(tǒng)開發(fā)中的地位和作用的政策,政府的信息安全政策等等。在推動社會信息化方面,需要有縮小數字鴻溝的政策、幫助西部地區(qū)加快信息化發(fā)展的政策??紤]到信息技術和互聯(lián)網在未來的發(fā)展,適時制定促進電話網、數據通訊網、有線電視網和無線通訊網“四網合一”的政策,促進各個服務網絡互聯(lián)互通的政策,鼓勵境內網址在國內注冊域名和限制境內網址在境外注冊域名的政策等都會對我國互聯(lián)網絡的發(fā)展產生重要影響。信息化發(fā)展需要方方面面政策的指引,因此,很有必要組織人力進行研究,以分清輕重緩急,并逐項加以落實。
2完善信息化建設的法律法規(guī)
到目前,我國已出臺了一些規(guī)范信息化建設的法律、法規(guī),但存在的問題仍不容忽視。一是缺少必要的基本法,立法層次低,多頭管理,相互沖突的情況時有發(fā)生;二是已有的立法中有諸多缺陷,難以適應規(guī)范信息化建設、打擊網絡犯罪的實際需要。如我國刑法對計算機犯罪的主體僅限定為自然人,而對其處罰卻既沒有罰金刑,也沒有資格刑;在訴訟法中也缺少對“電子證據”的規(guī)定;三是缺少大多數發(fā)達國家及一大批發(fā)展中國家有關電子商務的法律。我國網絡基礎設施已列世界第二,但網上經營的數額在世界上還排不上名次,原因之一就是我們缺乏法律規(guī)范,阻礙了網絡市場的發(fā)展;四是在以法律手段鼓勵網上傳播中國的聲音、防范國外不良文化與道德的人侵方面還顯得不夠。因此,完善法律法規(guī),以規(guī)范和解決信息化建設中存在的問題很有必要。
首先,應認真研究信息化建設立法的國際動向,積極參與保障信息化建設安全的國際合作。因為,認真研究信息化建設立法與管理的國際動向,一可以使我們在制定相關國內法及實施管理時,借鑒國外成功的經驗“為我所用、二可以使我們在打擊跨國計算機網絡犯罪時,在因網絡侵權、網絡商務中違約等跨國的民、商事糾紛產生時,更好地開展國際合作。
其次,應將信息化建設立法問題作通盤研究,盡早列人國家立法規(guī)劃,立法重點要逐步向信息網絡轉移。一是應盡早制定一部網絡基本法。在網絡基本法出臺前,可先著手制定某些急需的單行法,成熟一個制定一個,如可在《電信條例》基礎上,盡快制定電信法。二是在正起草的有關法律中,注意研究與增加涉及信息網絡方面的內容,如正在起草的證據法,應重視“電子證據的有關內容”。三是在修訂現有法律時,也應注意增加涉及信息網絡的內容。如在修訂《刑法》時,應考慮針對計算機網絡犯罪的特點,增加法人(單位)犯罪、罰金刑等內容;修訂《合同法》、《著作權法》、《商標法》、《專利法》、《消費者權益保護法》時,應增加對網絡作品著作權的保護條款,增加對惡意搶注他人商標為域名的處罰條款等等,使現有法律外延包括電子商務活動。
第三,與政策的制定一樣,地方的法律法規(guī)制定也應在國家和省已有的法律法規(guī)框架下進行。但這并不意味著地方就無所作為,地方也需要研究國際上的經驗教訓和現有法規(guī),需要研究國家已有的法律法規(guī),對照本地的實際情況,加以落實或補充。
3加快信息化標準體系建設
信息化的先進性主要體現在信息資源的共享性,如果沒有統(tǒng)一標準,信息將無法共享,也將無法實現這一先進性。因此,為了推動信息化建設工作,使信息化工作能持續(xù)健康地發(fā)展,就必須首先研究和制定信息化的標準體系。因為,信息化標準體系的研究和制定是信息化工作實施的關鍵環(huán)節(jié)。信息化中的標準主要包括:數據/信息標準、技術標準和安全標準。下面以政府信息化為例來做一說明。
數據/信息標準主要是明確的定義和規(guī)定政府信息的標準和采集與應用的規(guī)范。同時,還應對政府信息的生命周期以及在其生命周期的每一個階段的管理問題作出規(guī)定。一切形式的政府信息,包括印刷品、音像制品、電子文件等都是國家和政府的一種戰(zhàn)略資源,在其整個生命周期都應妥善管理。此外,關于政府工作過程的信息,關于各種技術和應用的信息,也是一種信息資源,應該和政府信息本身一樣按相同的原則制定標準進行管理。在中央和地方各級政府,政府管理的業(yè)務流,如財務管理、人事管理、文檔管理等,也必須逐漸地走向規(guī)范化和標準化,從而使其所伴隨的信息流也趨于標準化和規(guī)范化。只有在這樣的基礎之上,政府管理信息系統(tǒng)的各個“要素”才有可能標準化和規(guī)范化。
技術標準是對政府信息化過程中所使用的計算機與通訊系統(tǒng)的軟、硬件制定統(tǒng)一的標準,以便于政府內信息的交流和共享。例如操作系統(tǒng)的標準,通訊協(xié)議的標準,計算機的標準,服務器的標準,瀏覽器的標準,電子郵件的標準,以及數據庫的標準等等。此外,技術標準還應包括方法學的標準、軟件工程管理的標準。
安全標準是系統(tǒng)安全管理的一個重要階段。對哪一級、哪一類的信息系統(tǒng)必須實行哪一級的安全管理,需要通過標準來加以規(guī)范。安全標準應首先明確信息的所有權和隸屬關系,明確信息安全的責任者。安全標準包括物理安全標準和技術安全標準。物理安全指對系統(tǒng)、設備、工作環(huán)境等在物理上采取的保護措施;技術安全則包括口令和密鑰、數據加密標準、防病毒、防黑客以及各種加密措施等等。
論文關鍵詞:信息系統(tǒng);安全管理;體系
現代金融業(yè)是基于信息、高度計算化、分散、相互依存的產業(yè),有人形象地把信息系統(tǒng)歸結為銀行業(yè)的“核心資本”。金融信息化帶來的是銀行業(yè)務信息系統(tǒng)在網絡結構、業(yè)務關系、角色關系等方面的復雜化。而越是復雜的系統(tǒng),其安全風險就越高。在系統(tǒng)中每增加一種訪問的方式就增加了一些入侵的機會;每增加一些訪問的人群就引入了一些可能受到惡意破壞的風險。據2003年一項對全球前500家金融機構的安全調查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受調查的機構承認2002年曾受到一定形式的系統(tǒng)攻擊;美國聯(lián)邦法院2004年所作的一系列有關信息犯罪的案件中,有多件涉及金融機構。這些統(tǒng)計數字和報道出的事件,只是我們面臨信息系統(tǒng)安全威脅的冰山一角,因此加速建設金融信息系統(tǒng)中的安全保障體系變得更加緊迫。
長期以來,人們對保障信息系統(tǒng)安全的手段偏重于依靠技術,從早期的加密技術、數據備份、防病毒到近期網絡環(huán)境下的防火墻、入侵檢測、漏洞掃描、身份認證等等。但事實上,僅僅依靠安全技術和安全產品保障信息系統(tǒng)安全的愿望卻往往難盡人意,許多復雜、多變的安全威脅和隱患靠安全產品是無法消除的。據有關部門統(tǒng)計,在所有的計算機安全事件中,約有52%是人為因素造成的,25%由火災、水災等自然災害引起,技術錯誤占10%,組織內部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類,屬于管理方面的原因比重高達6O%以上,而這些安全問題中的95%是可以通過科學的信息安全管理來避免。因此,加強安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證,是金融信息系統(tǒng)安全體系建設的重點。
1安全管理體系構建
信息安全源于有效的管理,使技術發(fā)揮最佳效果的基礎是要有一定的信息安全管理體系,只有在建立防范的基礎上,加強預警、監(jiān)控和安全反擊,才能使信息系統(tǒng)的安全維持在一個較高的水平之上。因此,安全管理體系的建設是確保信息系統(tǒng)安全的重要基礎,是金融信息系統(tǒng)安全保障體系建設最為重要的一環(huán)。為在金融信息系統(tǒng)中建立全新的安全管理機制,最可行的做法是技術與管理并重,安全管理法規(guī)、措施和制度與整體安全解決方案相結合,并輔之以相應的安全管理工具,構建科學、合理的安全管理體系。
金融信息系統(tǒng)安全管理體系是在金融信息系統(tǒng)安全保障整體解決方案基礎上構建的,它包括信息安全法規(guī)、措施和制度,安全管理平臺及信息安全培訓和安全隊伍建設,其示意圖如圖1所示。
2安全管理平臺
安全管理平臺是通過采用技術手段實施金融信息系統(tǒng)安全管理的平臺,它包括安全預警管理、安全監(jiān)控管理、安全防護與響應管理和安全反擊管理。
2.1安全預警管理
安全預警管理的功能由預警系統(tǒng)實現,通過該系統(tǒng),可以在安全風險動態(tài)威脅和影響金融信息系統(tǒng)前,事先傳送相關的警示,讓管理員采取主動式的步驟,在安全風險影響運作前加以攔阻,從而預防全網業(yè)務中斷、效能損失或對其公眾信譽造成危害,達到提前保護自己的作用。安全預警系統(tǒng)通過追蹤最新的攻擊技術,分析威脅信息以辨識出真正潛在的攻擊,迅速響應并提供定制化威脅分析及個性化的漏洞和惡意代碼告警服務,幫助降低風險,防患于未然。
2.2安全監(jiān)控管理
通過安全監(jiān)控功能可以實時監(jiān)控金融信息系統(tǒng)的安全態(tài)勢、發(fā)生了哪些攻擊、出現了什么異常、系統(tǒng)存在什么漏洞以及產生了哪些危險日志等,因此安全監(jiān)控功能對于金融信息系統(tǒng)的安全保障體系來說是至關重要的。
1)基于實時性的安全監(jiān)控。通過在線方式管理金融信息系統(tǒng)中的資源狀態(tài)和實時安全事件,及時關注IT資源和安全風險的現狀和趨勢,通過實時監(jiān)控來提高系統(tǒng)的安全性和IT資源的效能。
2)基于智能化的安全監(jiān)控。利用智能信息處理技術對信息網絡中的各種安全事件進行智能處理,實現報警信息的精煉化,提高報警信息的可用信息量,降低安全設備的虛警和誤警,從而有效地提高安全保障系統(tǒng)中報警信息的可信度。
3)基于可視化的安全監(jiān)控。通過對安全事件分析過程與分析報告的可視化手段,如圖表/曲線/數據表/關聯(lián)關系圖等,提供詳細的入侵攻擊信息乃至重現攻擊場景,實現對入侵攻擊行為的追蹤,使得對安全事件的分析更為直觀,從而有效提高安全管理人員對于入侵攻擊的監(jiān)控理解,使安全系統(tǒng)的管理更為有效。
4)基于分布式的安全監(jiān)控。通過系統(tǒng)分布式的多級部署方式,可以實現對金融信息系統(tǒng)內各個子系統(tǒng)的監(jiān)控和綜合分析能力,同時對不同安全保護等級的用戶提供相應的監(jiān)控界面和信息,從而嚴格滿足其安全等級劃分的用戶級要求。
2.3安全防護與響應管理
在金融信息系統(tǒng)的安全系統(tǒng)中由于安全的異構屬性,因此會采用不同的安全技術和不同廠家的安全產品來實現安全防護的目的。通過安全防護與響應管理可以及時響應和優(yōu)化整個系統(tǒng)安全防護策略;最直接的響應就是提供多種方式,如報警燈、窗日、郵件、手機短信等向安全管理員報警,然后日志保存在本地數據庫或者異地數據庫中。
1)優(yōu)化安全策略分析。通過實時掌握自身的安全態(tài)勢,及各種安全設備、網絡設備、安全系統(tǒng)和業(yè)務系統(tǒng)的處理情況,輸出正常和非法個性化的安全策略報表,然后直接通知相應的安全管理人員或廠商對其自身策略進行優(yōu)化調整。
2)動態(tài)響應策略調整。通過對各種安全響應協(xié)議的支持,如SNMP、TOPSEC、聯(lián)動協(xié)議等,實現相關的安全防護技術策略的自動交互,同時通過專家知識庫能從全局的角度去響應安全事件很好地解決安全誤報問題。
3)安全服務自動協(xié)調。當智能分析和安全定位功能確認出安全事件或安全故障時,及時調派安全服務人員小組(或提供安全服務的供應商)進行相應的安全加固防護。
2.4安全反擊管理
安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。
1)安全事件的取證管理。取證在網絡與信息系統(tǒng)安全事件的調查中是非常有用的工具,通過對系統(tǒng)安全事件的存儲和分析,實現對安全事件的取證管理,給相關調查人員提供安全事件的直接取證。
2)安全事件的追蹤反擊。通過資源狀態(tài)分析、關聯(lián)分析、專家系統(tǒng)分析等有效手段,檢測到攻擊類型,并定位攻擊源。隨后,系統(tǒng)自動對目標進行掃描,并將掃描結果告知安全管理員,并提示安全管理員查詢知識庫,從中提取有效手段對攻擊源進行反擊控制。
3安全管理措施建議
在安全管
理技術手段的基礎上,還要提高安全管理水平。俗話說“三分技術,七分管理”,由于金融信息系統(tǒng)相對比較封閉,對于金融信息系統(tǒng)安全來說,業(yè)務邏輯和操作規(guī)范的嚴密程度是關鍵。因此,加強金融信息系統(tǒng)的內部安全管理措施,建立領導組織體系,完善落實內控制度,強化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理機構的建設。目前,我國已經把信息安全提到了促進經濟發(fā)展、維護社會穩(wěn)定、保障國家安全、加強精神文明建設的高度,并提出了“積極防御、綜合防范”的信息安全管理方針,專門成立了網絡與信息安全領導小組、國家計算機網絡應急技術處理協(xié)調中心(簡稱CNCERT/CC)、中國信息安全產品測評認證中心(簡稱CNITSEC)等,初步建成了國家信息安全組織保障體系。為確保金融信息系統(tǒng)的安全,在金融信息系統(tǒng)內部應組建安全管理小組(或委員會),安全管理小組制定出符合企業(yè)需要的信息安全管理策略,具體包括安全管理人員的義務和職責、安全配置管理策略、系統(tǒng)連接安全策略、傳輸安全策略、審計與入侵安全策略、標簽策略、病毒防護策略、安全備份策略、物理安全策略、系統(tǒng)安全評估體系等內容。安全管理應盡量把各種安全策略要求文檔化和規(guī)范化,以保證安全管理工作具有明確的依據或參照。
2)在保證信息系統(tǒng)設備的運行穩(wěn)定可靠和信息系統(tǒng)運行操作的安全可靠的前提下,增加安全機制,如進行安全域劃分,進行有針對性的安全設備部署和安全策略設置,以改進對重要區(qū)域的分割防護;增加入侵檢測系統(tǒng)、漏洞掃描、違規(guī)外聯(lián)等安全管理工具,進行定時監(jiān)控、事件管理和鑒定分析,以提高自身的動態(tài)防御能力;完善已有的防病毒系統(tǒng)、增加內部信息系統(tǒng)的審計平臺,以便形成對內部安全狀況的長期跟蹤和防護能力。
3)制定一系列必須的信息系統(tǒng)安全管理的法律法規(guī)及安全管理標準,狠抓內網的用戶管理、行為管理、應用管理、內容控制以及存儲管理;進一步完善互聯(lián)網應急響應管理措施,對關鍵設施或系統(tǒng)制定好應急預案,并定期更新和測試,全面提高預案制定水平和處理能力;建立一支“信息安全部隊”,專門負責信息網絡方面安全保障、安全監(jiān)管、安全應急和安全威懾方面的工作。
4)堅持“防內為主,內外兼防”的方針,加強登錄身份認證,嚴格限制登錄者的操作權限,充分利用操作系統(tǒng)和應用系統(tǒng)本身的日志功能,對用戶所訪問的信息進行跟蹤記錄,為系統(tǒng)審計提供依據。
5)重視和加強信息安全等級保護工作,對金融信息系統(tǒng)中的信息實施一般保護、指導保護、監(jiān)督保護和強制保護策略,尤其對重要信息實施強制保護和強制性認證,以確保金融業(yè)務信息的安全。
6)加強信息安全管理人才與安全隊伍建設,特別是加大既懂技術又懂管理的復合型人才的培養(yǎng)力度。通過各種會議、網站、廣播、電視、報紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識,尤其是加強企業(yè)內部人員的信息安全知識培訓與教育,提高員工的信息安全自律水平。
一、維護網絡信息安全的必要性
隨著互聯(lián)網技術的日益發(fā)展,現今世界各國聯(lián)系越來越密切。不同于傳統(tǒng)國界的有限性,網絡世界的無限延展性在全球形成了一個超主權國家管轄范圍的空間。新型的網絡空間超越了傳統(tǒng)主權國家的管轄,對所有國家存在著潛在的侵權威脅。
現今,網絡信息技術已經全面滲透到社會的各個方面,且已經演變?yōu)槿蛑匾男畔⒒A設施。信息已經成為一國的新型戰(zhàn)略資源,信息涵蓋了大量的利益,小到網民的隱私權等個人權益,大到社會公共利益乃至關系到各國的主權利益。基于利益的考慮,在網絡信息技術的使用過程中,不可避免會出現國家、組織和個人破壞網絡信息安全的行為。相較傳統(tǒng)的國際關系,網絡空間引發(fā)的利益沖突關系更為復雜。一方面,由于網絡技術和應用的不斷創(chuàng)新,網絡信息將整個世界緊密聯(lián)系在一起,網絡信息安全可能涉及所有的網絡使用者,一旦發(fā)生侵權行為就突破了傳統(tǒng)國際法的管轄權,影響范圍涉及多國家。另一方面,由于國際法體系并不存在普遍公認的國際法規(guī)則,并且各國網絡信息技術發(fā)展的不對稱性使得各國網絡立法存在界定是否構成網絡信息侵權的標準不一。難免出現網絡信息技術發(fā)展強國依靠自身的先進技術肆意侵害他國網絡信息安全,干涉他國內政,對他國的政治、經濟、社會秩序甚至是國家安全產生重大影響。
伴隨著全球化進程的不斷加強,網絡信息安全的管理面臨新的挑戰(zhàn)。首先,當前網絡并非由政府機構完全掌控?,F今由于市場激烈的競爭環(huán)境使得網絡信息安全管理自身就面臨著很大的威脅。其次,網絡信息系統(tǒng)的不斷發(fā)展,使得原有對網絡信息的傳統(tǒng)管轄模式無法應對當前的新趨勢。最后,互聯(lián)網全球化的加強,現今網絡服務都是跨國性的,網絡信息內容安全風險的解決要考慮到各國不同的國情。因此,網絡信息內容安全管理的對策必須要符合國際慣例。
二、解決網絡信息安全的國際法途徑
(一)通過雙邊會議、多邊會議建立區(qū)域網絡信息安全維護組織
由于國際社會不存在一個超國家政府,所以使得國家單邊主義威脅網絡信息的安全性。不同類型的國家,無論其大小與網絡信息技術的優(yōu)劣,都理應處于平等位置,平等的享有被保護網絡信息安全的權利。當前已經有國家和地區(qū)通過交流達成共識,希望通過制定協(xié)議共同促進信息安全的保護,可以在此基礎上根據政治或地理位置的相近形成區(qū)域網絡信息安全維護組織。
區(qū)域網絡信息安全維護組織作為國際組織,其有助于解決集體的困境和相互依賴的選擇問題,并且其具有組織制定統(tǒng)一區(qū)域網絡信息安全維護組織章程的權利。該網絡信息安全維護組織內的成員可以實現獲取信息、網絡信息技術共享、聯(lián)合打擊非法利用、濫用信息技術及加強網絡關鍵信息技術設施的建設等權利,但同時網絡信息安全維護組織內的各成員也必須履行相應的義務。例如,使用網絡獲取信息必須避免將其用于破壞國家穩(wěn)定和安全的目的,避免給各成員國國內基礎設施的完整性帶來不利影響,危害各國的安全。
除此之外,各成員國有合作打擊利用信息通信技術從事犯罪和恐怖活動或者破壞成員國政治、經濟和社會穩(wěn)定行為的義務。各個成員之間必須加強互聯(lián)網技術的共享,相互之間轉讓網絡信息技術,相互彌合數字鴻溝,提升區(qū)域網絡信息安全維護組織應對威脅的能力。針對區(qū)域組織內成員的網絡信息安全實行統(tǒng)一的監(jiān)管,制定統(tǒng)一的涉密信息交換的標準和程序。組織內成員共享使用信息,必須嚴格遵守程序,其目的在于使各成員提高保障信息安全的能力,一方面可以相互放心安全地使用網絡,另一方面在本國以外多了一層區(qū)域網絡信息安全維護組織內其余成員國的保護。使得本國公民的信息得到更多的保護,并且保障國家的信息安全,使得網絡安全性提高。區(qū)域性網絡信息安全維護組織的成立需建立在各成員國相互信任,平等互惠的原則上。一旦組織內部成員實施了違反組織章程侵害成員國網絡信息安全的行為將受到區(qū)域組織成員國一致的制裁,例如限制該國在成員國公司的經營業(yè)務等。
(二)建立全球范圍內廣泛適用維護網絡信息安全的國際公約
在2015年1月9日,中國、哈薩克斯坦、吉爾吉斯斯坦、俄羅斯、塔吉克斯坦、烏茲別克斯坦常駐聯(lián)合國代表呼吁各國在聯(lián)合國框架內就網絡信息完全的保護展開進一步討論,盡早就規(guī)范各國在信息和網絡空間行為的國際準則和規(guī)則達成共識,建立一個具有廣泛適用性的國際公約。
國際公約的目的是在各方利益主體博弈的過程中,通過保障網絡信息安全使網絡信息時代下的各行為主體可以公平占有使用網絡資源共享網絡發(fā)展帶來的利益并且保障各國的主權安全,維護各主體的合法權益。
首先,國際公約需遵循《聯(lián)合國》,根據《聯(lián)合國》國際公約應明確指出國家應尊重主權原則,要求國家行為應尊重其他國家的主權,不得以非法手段侵害其他國家主權,這里不僅包含了傳統(tǒng)國際法所稱的主權平等、主權安全和不干涉內政,也包含了非傳統(tǒng)安全的網絡信息安全,國家應當尊重主權國家之間彼此的核心利益,并且尊重與網絡信息安全有關的國家政策問題的安全。例如“國家不應以竊取、監(jiān)聽等不文明手段獲得他國信息”。
其次,根據1948年《世界人權宣言》第12條即規(guī)定了任何人對于其私生活、家庭、住所、通訊有受法律保護和不受侵犯的權利。公民的網絡信息也屬于公民的隱私,并且隨著網絡技術的不斷發(fā)展,網絡信息的安全涉及到公民的財產,所以公民的網絡信息也是公民的財產權利,保證公民網絡信息安全同樣是對公民財產權利的保護。國際公約應尊重公民的基本權利,所以國家應在“充分尊重信息空間的權利和自由,包括在遵守各國法律法規(guī)的前提下尋找、獲得、傳播信息權利和自由”;對他國公民通訊的監(jiān)控和信息的獲取,應取得合法手續(xù),并且必須出于合法目的。網絡信息技術的不斷發(fā)展是科技不斷創(chuàng)新的產物,未來全球化進程不斷加劇,網絡信息技術將會涉及方方面面,只有保證網絡信息技術的安全性才能使得各國不斷運用創(chuàng)新。否則無法保障網絡信息技術的安全,國家就會喪失建設全球網絡時代的信心,科技的發(fā)展將會倒退。
再次,國際公約的制定旨在維護網絡信息安全,避免國家實施違反國際法原則的侵權行為。例如對別國公民、企業(yè)組織、政府機關進行監(jiān)控,對主權國家進行監(jiān)聽和非商業(yè)用途收集信息。出于對各國共同安全利益的考量,國際公約應該本著平等互助的原則制定統(tǒng)一的監(jiān)管網絡信息的標準,保護國家間共同的利益,統(tǒng)一制定評價國家行為需要參考的因素,明確國家網絡信息安全不可侵犯的界限。
最后,由于網絡信息技術涵蓋范圍廣泛涉及了信息收集、監(jiān)聽監(jiān)控、國家安全等領域,所以內容的特殊性和復雜性使得國際公約在實施過程中其約束力存在不足,故而要結合國際法以及其他國際公約。例如《聯(lián)合國》、反恐領域的國際公約、人權保護公約、《國家對國際不法行為的責任條款》《跨國公司和其他商業(yè)企業(yè)關于人權責任的準則》并且配合聯(lián)合國國際法委員、人權委員會等機構相互合作。
(三)在聯(lián)合國的框架內建立網絡信息安全的監(jiān)管機構和執(zhí)行機構
從網絡信息安全的侵權事件中可以發(fā)現,跨國公司成為政府的侵權工具。此時追究侵權責任時會涉及到網絡信息侵權責任的歸因問題。從國際法的角度,歸因的目的在確定某一行為可否歸于一個國家而成為該國的國家行為。
就已發(fā)生的網絡信息侵權行為進行分析,不難發(fā)現確定實施侵權行為的主體是國家還是個人將直接影響到當事國的國家責任以及受害國采取何種法律救濟的途徑。例如侵權行為的實施主體歸因為企業(yè)或者個人發(fā)起的則通常屬于網絡犯罪行為,這將涉及到有關國家國內法的管轄以及國家間的司法合作來加以解決。由此可見網絡信息安全侵權主體的復雜性和特殊性,涉及領域的廣泛性,并非能簡單通過單個機構來解決,需要多個領域機構的共同合作。
當前主流學者的觀點是,由于平等國家之間無管轄權,全球網絡空間并不存在超國家機構的實體可以系統(tǒng)的對網絡侵權行為實施強制性管轄。因此,不同的行為體試圖通過拓展自身網絡空間的行動范圍,渴望獲得更多的網絡資源,掌握網絡管理的主動權,為自身謀取利益。此種競爭將對未來國際網絡信息安全的發(fā)展造成隱患。
所以可以在聯(lián)合國框架下成立網絡信息安全保護有關的專門機構。該機構一方面建立國家網絡信息安全行為的監(jiān)管機制,可以借鑒“世界貿易組織的貿易政策評審機制”①,定期對各國的信息安全行為等進行評議并公開報告,另一方面建立解決國家網絡信息安全爭端糾紛的解決機制。由于網絡信息安全涉及的領域并非國際法傳統(tǒng)完全的領土、領海領域,一旦發(fā)生糾紛難以訴求專門法院解決。所以應當借鑒WTO的爭端解決機制,針對網絡信息安全的特殊性成立專門的解決機制,使得糾紛得到公平的裁決。
作者簡介:劉璐琦(1991-),女,漢族,山東東營人,華中師范大學碩士研究生,研究方向:國際法學。
論文摘要:隨著網絡技術的廣泛應用,網上購物的日益普及我國電子商務安全的問題日益嚴重。首先,分析了電子商務安全的現狀,其次,著重對電子商務存在的問題及其原因進行深入地探索并指出了電子商務安全的需求,最后給出相應的解決方案。
隨著網絡技術的廣泛應用,我國電子商務的安全問題也日益突出。根據“2010年上半年,計算機病毒和互聯(lián)網安全報告疫情”的數據表明,2010年上半年,計算機病毒,木馬的數量依然保持快速增長,新病毒不斷出現,一些“老”的病毒推出了眾多變種。2010年上半年計算機病毒,木馬數量迅速增加,超出了近五年病毒數量的總和。在日益增多的電子商務安全問題面前,需要我們采取新措施來進行防范。
一、電子商務的安全現狀
目前電子商務的安全問題比較嚴重,最突出的表現在計算機網絡安全和商業(yè)誠信問題上。因為篇幅問題,本文只側重于計算機網絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現出以下特點:
(一)木馬病毒爆炸性增長,變種數量的快速增加
據統(tǒng)計,僅2009年上半年掛載木馬網頁數量累計達2.9億個,共有11.2億人次網民訪問掛載木馬,2010年元旦三天就新增電腦病毒50萬。病毒的數量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征??傮w而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放,可以自動從指定的網址上下載新病毒,并進行自動更新,永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網絡盜竊、詐騙活動,通過網絡販賣病毒、木馬,教授病毒編制技術和網絡攻擊技術等形式的網絡犯罪活動明顯增多,電子商務網絡犯罪也逐漸開始呈公開化、大眾化的趨勢。
(二)網絡病毒傳播方式的變化
過去,傳播病毒通過網絡進行。目前,通過移動存儲介質傳播的案例顯著增加,存儲介質已經成為電子商務網絡病毒感染率上升的主要原因。由于u盤和移動存儲介質廣泛使用,病毒、木馬通過autorun.inf文件自動調用執(zhí)行u盤中的病毒、木馬等程序,然后感染用戶的計算機系統(tǒng),進而感染其他u盤。與往年相比,今年通過網絡瀏覽或下載該病毒的比例在下降。不過,從網絡監(jiān)測和用戶尋求幫助的情況來看,大量的網絡犯罪通過“掛馬”方式來實現。“掛馬”是指在網頁中嵌入惡意代碼,當存在安全漏洞的用戶訪問這些網頁時,木馬會侵入用戶系統(tǒng),然后盜取用戶敏感信息或者進行攻擊、破壞。通過瀏覽網頁方式進行攻擊的方法具有較強的隱蔽性,用戶更難于發(fā)現,潛在的危害性也更大。
(三)網絡病毒給電子商務造成的損失繼續(xù)增加
調查顯示,瀏覽器配置被修改,損壞或丟失數據,系統(tǒng)的使用受限,網絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經濟利益,給被感染的用戶帶來重大損失。繼“熊貓燒香”之后,復合型病毒大量出現,如:仇英、艾妮等病毒。同時,網上販賣病毒、木馬和僵尸網絡的活動不斷增多,利用病毒、木馬技術傳播垃圾郵件和進行網絡攻擊、破壞的事件呈上升趨勢。
二、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
2.對信息的竊取。攻擊者在網絡的傳輸信道上。通過物理或邏輯的手段,對數據進行非法的截獲與監(jiān)聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。
3.對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注人偽造消息等,從而使信息失去真實性和完整性。
4.拒絕服務。攻擊者使合法接入的信息、業(yè)務或其他資源受阻。
5.對發(fā)出的信息予以否認.某些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應承擔的責任。
6.信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸人虛假銀行資料使賣方不能提款i用戶付款后,賣方沒有把商品發(fā)送到客戶手中,使客戶蒙受損失。
7.電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯(lián)網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。如,cih病毒的爆發(fā)幾乎在瞬間給網絡上數以萬計的計算機以沉重打擊。
三、電子商務的安全需求
電子商務威脅的出現導致了對電子商務安全的需求,主要包括有效性、完整性、不可抵賴性、匿名性。
1.有效性。保證信息的有效性是開展電子商務的前提,一旦簽訂交易,這項交易就應得到保護以防止被篡改或偽造。
2.完整性。貿易雙方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易雙方信息的完整性是電子商務的基礎。
3.不可抵賴性。交易一旦達成,原發(fā)送方在發(fā)送數據后就不能抵賴,接收方接到數據后也不能抵賴。
4.匿名性。電子商務系統(tǒng)應確保交易的匿名性,防止交易過程被跟蹤,保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體。
四、電子商務安全防治措施及安全舉措
防范電子商務網絡犯罪是一個系統(tǒng)工程,不僅需要人們提高防范電子商務網絡犯罪的意識,加強防范電子商務網絡犯罪的制度建設,而且.還需要技術上不斷更新和完善,為此,需要做好以下幾方面的工作。
1.加強教育和宣傳,提高公眾電子商務的安全意識。信息安全意識是指人們在上網的過程中,對信息安全重要性的認識水平,發(fā)現影響網絡安全行為的敏銳性,維護網絡安全的主動性。強化上網人員的信息安全意識,就是要讓上網人員認識到,網絡信息安全是電子商務正常而高效運轉的基礎,是保障企業(yè)、公民和國家利益的重要前提,從而牢同樹立網上交易,安全第一的思想。主要采取以下措施:一是通過大眾媒體,普及電子商務的安全知識,提高用戶的認識。二是積極組織研討會和培訓課程,培養(yǎng)電子商務網絡營銷安全管理人才。
2.采用多重網絡技術,保證網絡信息安全。目前,常用的電子商務安全技術,主要包括:防火墻,物理隔離,vpn(虛擬專用網)。防火墻是實現內部網與外部網安全和入侵隔離的常規(guī)技術。使用防火墻,一方面是抵御來自外界的攻擊。另一方面是為了防止在服務器內部部分未經授權的用戶攻擊。因此,電子商務內外網與互聯(lián)網之間要設置防火墻。網管人員要經常到有關網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,發(fā)現任何安全隱患及時更改,做到有備無患。企業(yè)上網必須實行內外網劃分和內外網的物理隔離。要運用vpn新技術,為使用者提了一種通過公用網絡,安全地對食業(yè)網絡進行遠程訪問,同時又能保證企業(yè)的系統(tǒng)安全。包括操作系統(tǒng)、數據庫和服務器(如web服務器、e-maii。服務器)的安全。
3.運用密碼技術,強化通信安全。應圍繞數字證書應用,為電子政府信息網絡中各種業(yè)務應用提供信息的真實性、完整性、機密性和不可否認性保證。在業(yè)務系統(tǒng)中建立有效的信任管理機制、授權控制機制和嚴密的責任機制。目前要加強身份認證、數據完整性、數據加密、數字簽名等工作。對于電子商務中的各種敏感數據進行數據加密處理,并且在數據傳輸中采用加密傳輸,以防止攻擊者竊密。電子商務信息交換中的各種信息,必須通過身份認證來確認其合法性,然后確定這個用戶的個人數據和特定權限?!霸谏婕岸鄠€對等實體間的交互認征時,應采用基于pki技術,借助第三方(ca)頒發(fā)的數字證書數字簽名來確認彼此身份?!睘榱藦母旧媳WC我國網絡的安全,我同安全產品的應用應建立在國內自主研發(fā)的產品基礎上,國外的先進技術可以參考,但不能完全照搬。政府應該鼓勵和扶植一批企業(yè)加快數字安全技術的研究,以提高我國信息企業(yè)的技術和管理水平,促進我同電子商務安全建設。
4.加強技術管理,努力做到使用安全。首先是在內部嚴格控制企業(yè)內部人員對網絡共享資源的隨意使用。在內網中,除有特殊需要不要輕易開放共享目錄,對有經常交換信息要求的用戶,在共享時應該加密,即只有通過密碼的認證才允許訪問數據。二是對涉及秘密信息的用戶主機,使用者在應用過程中應該做到盡可能少開放一些不常用的網絡服務,同時封閉一些不用的端口。并對服務器中的數據庫進行安全備份。三是切實保證媒體安全。包括媒體數據的安全及媒體本身的安全。要防止系統(tǒng)信息在物理空間上的擴散。為了防止系統(tǒng)中的信息在物理空間上的擴散,應在物理上采取一定的防護措施,如進行一定的電磁屏蔽,減少或干擾擴散出去的空間信號。這樣做,對確保企業(yè)電子商務安全將發(fā)揮重要作用。
5.健全法律,嚴格執(zhí)法。目前我國在電子商務法律法規(guī)方面還有很多缺失,不能有效地保護公眾的合法權益,給一些犯罪分子帶來了可乘之機。我國立法部門應加快立法進程,吸取和借鑒國外網絡信息安全立法的先進經驗,盡快制定和頒布《個人隱私保護法》、《商業(yè)秘密保護法》、《數據庫振興法》、《信息網絡安全法》、《電子憑證(票據)法》、《網上知識產權法》等一系列法律,使電子商務安全管理走上法制化軌道。使網絡控制、信息控制、信息資源管理和防止泄密有法可依,并得到技術上的支撐。健全電子商務安全標準認證和質量檢測機制,由國家主管部門組織制定有關電子商務安全條例規(guī)定,并發(fā)揮職能部門的監(jiān)管作用。通過建立電子商務安全法規(guī)體系,規(guī)范和維持網絡的正常運行。
參考文獻:
[1]許寧寧.電子商務安全的現狀與趨勢[j].中國電子商務,2010,(1).
[2]濮小金.電子商務安全的政策選擇[j].全國商情經濟理論研究,2009,(3).