前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的電腦網(wǎng)絡(luò)安全培訓(xùn)主題范文,僅供參考,歡迎閱讀并收藏。
【摘要題】信息法學(xué)
【關(guān)鍵詞】電子商務(wù)/網(wǎng)絡(luò)/信息安全/信息安全技術(shù)/數(shù)字認(rèn)證/信息安全協(xié)議/信息安全對(duì)策
美國(guó)著名未來學(xué)家阿爾溫·托夫勒說:“電腦網(wǎng)絡(luò)的建立和普及將徹底改變?nèi)祟惿婕吧畹哪J剑刂婆c掌握網(wǎng)絡(luò)的人就是未來命運(yùn)的主宰。誰掌握了信息,控制了網(wǎng)絡(luò),誰就擁有整個(gè)世界?!钡拇_,網(wǎng)絡(luò)的國(guó)際化、社會(huì)化、開放化、個(gè)人化誘發(fā)出無限的商機(jī),電子商務(wù)的迅速崛起,使網(wǎng)絡(luò)成為國(guó)際競(jìng)爭(zhēng)的新戰(zhàn)場(chǎng)。然而,由于網(wǎng)絡(luò)技術(shù)本身的缺陷,使得網(wǎng)絡(luò)社會(huì)的脆性大大增加,一旦計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊不能正常運(yùn)作時(shí),整個(gè)社會(huì)就會(huì)陷入危機(jī)。所以,構(gòu)筑安全的電子商務(wù)信息環(huán)境,就成為了網(wǎng)絡(luò)時(shí)展到一定階段而不可逾越的“瓶頸”性問題,愈來愈受到國(guó)際社會(huì)的高度關(guān)注。
電子商務(wù)中的信息安全技術(shù)
電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,這些技術(shù)包括:密碼技術(shù)、鑒別技術(shù)、訪問控制技術(shù)、信息流控制技術(shù)、數(shù)據(jù)保護(hù)技術(shù)、軟件保護(hù)技術(shù)、病毒檢測(cè)及清除技術(shù)、內(nèi)容分類識(shí)別和過濾技術(shù)、網(wǎng)絡(luò)隱患掃描技術(shù)、系統(tǒng)安全監(jiān)測(cè)報(bào)警與審計(jì)技術(shù)等。
1.防火墻技術(shù)。防火墻(Firewall)是近年來發(fā)展的最重要的安全技術(shù),它的主要功能是加強(qiáng)網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)(被保護(hù)網(wǎng)絡(luò))。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對(duì)其進(jìn)行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。簡(jiǎn)單防火墻技術(shù)可以在路由器上實(shí)現(xiàn),而專用防火墻提供更加可靠的網(wǎng)絡(luò)安全控制方法。
防火墻的安全策略有兩條。一是“凡是未被準(zhǔn)許的就是禁止的”。防火墻先是封閉所有信息流,然后審查要求通過的信息,符合條件的就讓通過;二是“凡是未被禁止的就是允許的”,防火墻先是轉(zhuǎn)發(fā)所有的信息,然后再逐項(xiàng)剔除有害的內(nèi)容,被禁止的內(nèi)容越多,防火墻的作用就越大。網(wǎng)絡(luò)是動(dòng)態(tài)發(fā)展的,安全策略的制定不應(yīng)建立在靜態(tài)的基礎(chǔ)之上。在制定防火墻安全規(guī)則時(shí),應(yīng)符合“可適應(yīng)性的安全管理”模型的原則,即:安全=風(fēng)險(xiǎn)分析+執(zhí)行策略+系統(tǒng)實(shí)施+漏洞監(jiān)測(cè)+實(shí)時(shí)響應(yīng)。防火墻技術(shù)主要有以下三類:
包過濾技術(shù)(PackctFiltering)。它一般用在網(wǎng)絡(luò)層,主要根據(jù)防火墻系統(tǒng)所收到的每個(gè)數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號(hào)、TCP/UDP目的端口號(hào)及數(shù)據(jù)包中的各種標(biāo)志位來進(jìn)行判定,根據(jù)系統(tǒng)設(shè)定的安全策略來決定是否讓數(shù)據(jù)包通過,其核心就是安全策略,即過濾算法的設(shè)計(jì)。
(Proxy)服務(wù)技術(shù)。它用來提供應(yīng)用層服務(wù)的控制,起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)的中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受提出的服務(wù)請(qǐng)求,拒絕外部網(wǎng)絡(luò)其它節(jié)點(diǎn)的直接請(qǐng)求。運(yùn)行服務(wù)的主機(jī)被稱為應(yīng)用機(jī)關(guān)。服務(wù)還可以用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄等功能。
狀態(tài)監(jiān)控(StatcInnspection)技術(shù)。它是一種新的防火墻技術(shù)。在網(wǎng)絡(luò)層完成所有必要的防火墻功能——包過濾與網(wǎng)絡(luò)服務(wù)。目前最有效的實(shí)現(xiàn)方法是采用CheckPoint)提出的虛擬機(jī)方式(InspectVirtualMachine)。
防火墻技術(shù)的優(yōu)點(diǎn)很多,一是通過過濾不安全的服務(wù),極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn);二是可以提供對(duì)系統(tǒng)的訪問控制;三是可以阻擊攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息;四是防火墻還可以記錄與統(tǒng)計(jì)通過它的網(wǎng)絡(luò)通信,提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù),根據(jù)統(tǒng)計(jì)數(shù)據(jù)來判斷可能的攻擊和探測(cè);五是防火墻提供制定與執(zhí)行網(wǎng)絡(luò)安全策略的手段,它可以對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理。
防火墻技術(shù)的不足有三。一是防火墻不能防止繞過防火墻的攻擊;二是防火墻經(jīng)不起人為因素的攻擊。由于防火墻對(duì)網(wǎng)絡(luò)安全實(shí)施單點(diǎn)控制,因此可能受到黑客的攻擊;三是防火墻不能保證數(shù)據(jù)的秘密性,不能對(duì)數(shù)據(jù)進(jìn)行鑒別,也不能保證網(wǎng)絡(luò)不受病毒的攻擊。
2.加密技術(shù)。數(shù)據(jù)加密被認(rèn)為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動(dòng)安全防范策略。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識(shí)別的密文數(shù)據(jù)。通過使用不同的密鑰,可用同一加密算法,將同一明文加密成不同的密文。當(dāng)需要時(shí)可使用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù),稱為解密。
密鑰加密技術(shù)分為對(duì)稱密鑰加密和非對(duì)稱密鑰加密兩類。對(duì)稱加密技術(shù)是在加密與解密過程中使用相同的密鑰加以控制,它的保密度主要取決于對(duì)密鑰的保密。它的特點(diǎn)是數(shù)字運(yùn)算量小,加密速度快,弱點(diǎn)是密鑰管理困難,一旦密鑰泄露,將直接影響到信息的安全。非對(duì)稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制,加密密鑰是公開的,解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對(duì)照推算解密密鑰在計(jì)算上的不可能性。算法的核心是運(yùn)用一種特殊的數(shù)學(xué)函數(shù)——單向陷門函數(shù),即從一個(gè)方向求值是容易的,但其逆向計(jì)算卻很困難,從而在實(shí)際上成為不可能。
除了密鑰加密技術(shù)外,還有數(shù)據(jù)加密技術(shù)。一是鏈路加密技術(shù)。鏈路加密是對(duì)通信線路加密;二是節(jié)點(diǎn)加密技術(shù)。節(jié)點(diǎn)加密是指對(duì)存儲(chǔ)在節(jié)點(diǎn)內(nèi)的文件和數(shù)據(jù)庫(kù)信息進(jìn)行的加密保護(hù)。
3.數(shù)字簽名技術(shù)。數(shù)字簽名(DigitalSignature)技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)安全保密系統(tǒng)中,數(shù)字簽名技術(shù)有著特別重要的地位,在電子商務(wù)安全服務(wù)中的源鑒別、完整、不可否認(rèn)服務(wù)中都要用到數(shù)字簽名技術(shù)。
在書面文件上簽名是確認(rèn)文件的一種手段,其作用有兩點(diǎn),一是因?yàn)樽约旱暮灻y以否認(rèn),從而確認(rèn)文件已簽署這一事實(shí);二是因?yàn)楹灻灰追旅?,從而確定了文件是真的這一事實(shí)。數(shù)字簽名與書面簽名有相同相通之處,也能確認(rèn)兩點(diǎn),一是信息是由簽名者發(fā)送的,二是信息自簽發(fā)后到收到為止未曾做過任何修改。這樣,數(shù)字簽名就可用來防止:電子信息因易于修改而有人作偽;冒用別人名義發(fā)送信息;發(fā)出(收到)信件后又加以否認(rèn)。
廣泛應(yīng)用的數(shù)字簽名方法有RSA簽名、DSS簽名和Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公開密鑰加密使用兩個(gè)不同的密鑰,其中一個(gè)是公開的,另一個(gè)是保密的。公開密鑰可以保存在系統(tǒng)目錄內(nèi)、未加密的電子郵件信息中、電話黃頁上或公告牌里,網(wǎng)上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的,由用戶本身持有,它可以對(duì)公開密鑰加密的信息解密。DSS數(shù)字簽名是由美國(guó)政府頒布實(shí)施的,主要用于跟美國(guó)做生意的公司。它只是一個(gè)簽名系統(tǒng),而且美國(guó)不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是最主要的數(shù)字簽名方法,跟單獨(dú)簽名的RSA數(shù)字簽名不同,它是將數(shù)字簽名和要發(fā)送的信息捆在一起,所以更適合電子商務(wù)。
4.數(shù)字時(shí)間戳技術(shù)。在電子商務(wù)交易的文件中,時(shí)間是十分重要的信息,是證明文件有效性的主要內(nèi)容。在簽名時(shí)加上一個(gè)時(shí)間標(biāo)記,即有數(shù)字時(shí)間戳(DigitaTimestamp)的數(shù)字簽名方案:驗(yàn)證簽名的人或以確認(rèn)簽名是來自該小組,卻不知道是小組中的哪一個(gè)人簽署的。指定批準(zhǔn)人簽名的真實(shí)性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗(yàn)證簽名。
時(shí)間戳(Time-Stamp)是一個(gè)經(jīng)加密后形成的憑證文檔,包括三個(gè)部分。一是需加時(shí)間戳的文件的摘要(Digest),二是DTS收到文件的日期與時(shí)間,三是DIS數(shù)字簽名。
時(shí)間戳產(chǎn)生的過程是:用戶首先將需要加時(shí)間的文件用HASH編碼加密形成摘要,然后將該摘要發(fā)送到DTS,DTS在加入了收到文件摘要的日期和時(shí)間信息后再對(duì)該文件加密(數(shù)字簽名),然后送回用戶。書面簽署文件的時(shí)間是由簽署人自己寫上的,數(shù)字時(shí)間則不然,它是由認(rèn)證單位DIS來加的,以DIS收到文件的時(shí)間為依據(jù)。
數(shù)字認(rèn)證及數(shù)字認(rèn)證授權(quán)機(jī)構(gòu)
1.數(shù)字證書。數(shù)字證書也叫數(shù)字憑證、數(shù)字標(biāo)識(shí),它含有證書持有者的有關(guān)信息,以標(biāo)識(shí)他的身份。數(shù)字證書克服了密碼在安全性和方便性方面的局限性,可以控制哪些數(shù)據(jù)庫(kù)能夠被查看,因此提高了總體的保密性。
數(shù)字證書的內(nèi)容格式是CCTTTX.509國(guó)際標(biāo)準(zhǔn)規(guī)定的,通常包括以下內(nèi)容:證書所有者的姓名;證書所有者的公共密鑰;公共密鑰(證書)的有效期;頒發(fā)數(shù)字證書單位名稱;數(shù)字證書的序列號(hào);頒發(fā)數(shù)字證書單位的數(shù)字簽名。
數(shù)字證書通常分為三種類型,即個(gè)人證書、企業(yè)證書、軟件證書。個(gè)人證書(PersonalDigital)為某一個(gè)用戶提供證書,幫助個(gè)人在網(wǎng)上安全操作電子交易。個(gè)人數(shù)字證書是向?yàn)g覽器申請(qǐng)獲得的,認(rèn)證中心對(duì)申請(qǐng)者的電子郵件地址、個(gè)人身份及信用卡號(hào)等核實(shí)后,就發(fā)給個(gè)人數(shù)字證書,并安置在用戶所用的瀏覽器或電子郵件的應(yīng)用系統(tǒng)中,同時(shí)也給申請(qǐng)者發(fā)一個(gè)通知。企業(yè)證書,就是服務(wù)器證書(ServerID),是對(duì)網(wǎng)上服務(wù)器提供的一個(gè)證書,擁有Web服務(wù)器的企業(yè)可以用具有證書的Internet網(wǎng)站(WebSite)來做安全的電子交易。軟件證書通常是為網(wǎng)上下載的軟件提供證書,證明該軟件的合法性。
2.電子商務(wù)數(shù)字認(rèn)證授權(quán)機(jī)構(gòu)。電子商務(wù)交易需要電子商務(wù)證書,而電子商務(wù)認(rèn)證中心(CA)就承擔(dān)著網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的功能。
CA主要提供下列服務(wù):有效實(shí)行安全管理的設(shè)施;可靠的風(fēng)險(xiǎn)管理以及得到確認(rèn)和充分理解。接受該系統(tǒng)服務(wù)的電子商務(wù)用戶也應(yīng)充分信任該系統(tǒng)的可信度。CA具有證書發(fā)放、證書更新、證書撤銷、證書驗(yàn)證等四大職能。
若未建立獨(dú)立的注冊(cè)機(jī)構(gòu),認(rèn)證中心則在完成注冊(cè)機(jī)構(gòu)的功能以外還要完成下列功能:接收、處理證書申請(qǐng),確立是否接受或拒絕證書申請(qǐng),向申請(qǐng)者頒發(fā)或拒絕頒發(fā)證書,證書延期,管理證書吊銷目錄,提供證書的在線狀況,證書歸檔;提供支持服務(wù),提供電話支持,幫助用戶解決與證書有關(guān)的問題;審核記錄所有同安全有關(guān)的活動(dòng);提供靈活的結(jié)構(gòu),使用戶可以用自己的名字對(duì)服務(wù)命名;為認(rèn)證中心系統(tǒng)提供可靠的安全支持;為認(rèn)證中心的可靠運(yùn)營(yíng)提供一套政策、程序及操作指南。
電子商務(wù)信息安全協(xié)議
1.安全套接層協(xié)議。安全套接層協(xié)議(SecureSocketsLayer,SSL)是由NetscapeCommunication公司1994年設(shè)計(jì)開發(fā)的,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的整個(gè)概念可以被總結(jié)為:一個(gè)保證任何安裝了安全套接層的客戶和服務(wù)器之間事務(wù)安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。
SSL安全協(xié)議主要提供三方面的服務(wù)。一是用戶和服務(wù)器的合法性保證,使得用戶與服務(wù)器能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上??蛻魴C(jī)與服務(wù)器都有各自的識(shí)別號(hào),由公開密鑰編排。為了驗(yàn)證用戶,安全套接層協(xié)議要求在握手交換數(shù)據(jù)中作數(shù)字認(rèn)證,以此來確保用戶的合法性;二是加密數(shù)據(jù)以隱藏被傳遞的數(shù)據(jù)。安全套接層協(xié)議采用的加密技術(shù)既有對(duì)稱密鑰,也有公開密鑰,在客戶機(jī)和服務(wù)器交換數(shù)據(jù)之前,先交換SSL初始握手信息。在SSL握手信息中采用了各種加密技術(shù),以保證其機(jī)密性與數(shù)據(jù)的完整性,并且經(jīng)數(shù)字證書鑒別;三是維護(hù)數(shù)據(jù)的完整性。安全套接層協(xié)議采用Hash函數(shù)和機(jī)密共享的方法來提供完整的信息服務(wù),建立客戶機(jī)與服務(wù)器之間的安全通道,使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務(wù)能全部準(zhǔn)確無誤地到達(dá)目的地。
2.安全電子交易公告。安全電子交易公告(SET:SecureElectronicTransactions)是為在線交易設(shè)立的一個(gè)開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對(duì)客戶信用卡認(rèn)證的前提下,又增加了對(duì)商家身份的認(rèn)證。SET已成為全球網(wǎng)絡(luò)的工業(yè)標(biāo)準(zhǔn)。
SET安全協(xié)議的主要對(duì)象包括:消費(fèi)者(包括個(gè)人和團(tuán)體),按照在線商店的要求填寫定貨單,用發(fā)卡銀行的信用卡付款;在線商店,提供商品或服務(wù),具備使用相應(yīng)電子貨幣的條件;收單銀行,通過支付網(wǎng)關(guān)處理消費(fèi)者與在線商店之間的交易付款;電子貨幣發(fā)行公司以及某些兼有電子貨幣發(fā)行的銀行。負(fù)責(zé)處理智能卡的審核和支付;認(rèn)證中心,負(fù)責(zé)確認(rèn)交易對(duì)方的身份和信譽(yù)度,以及對(duì)消費(fèi)者的支付手段認(rèn)證。
SET協(xié)議規(guī)范的技術(shù)范圍包括:加密算法的應(yīng)用,證書信息與對(duì)象格式,購(gòu)買信息和對(duì)象格式,認(rèn)可信息與對(duì)象格式。
SET協(xié)議要達(dá)到五個(gè)目標(biāo):保證電子商務(wù)參與者信息的相應(yīng)隔離;保證信息在互聯(lián)網(wǎng)上安全傳輸,防止數(shù)據(jù)被黑客或被內(nèi)部人員竊??;解決多方認(rèn)證問題;保證網(wǎng)上交易的實(shí)時(shí)性,使所有的支付過程都是在線的;效仿BDZ貿(mào)易的形式,規(guī)范協(xié)議和消息格式,促使不同廠家開發(fā)的軟件具有兼容性與交互操作功能,并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。
3.安全超文本傳輸協(xié)議(S-HTTP)。依靠密鑰的加密,保證Web站點(diǎn)間的交換信息傳輸?shù)陌踩?。SHTTP對(duì)HT-TP的安全性進(jìn)行了擴(kuò)充,增加了報(bào)文的安全性,是基于SSL技術(shù)的。該協(xié)議向互聯(lián)網(wǎng)的應(yīng)用提供完整性、可鑒別性、不可抵賴性及機(jī)密性等安全措施。
4.安全交易技術(shù)協(xié)議(STT)。STT將認(rèn)證與解密在瀏覽器中分離開,以提高安全控制能力。
5.UN/EDIFACT標(biāo)準(zhǔn)。UN/EDIFACT報(bào)文是唯一的國(guó)際通用的電子商務(wù)標(biāo)準(zhǔn)。在ISO的IS09735(即UN/EDI-FACT語法規(guī)則)新版本中,包括描述UN/EDIFACT中實(shí)施安全措施的五個(gè)新部分,即:第五部分——批式電子商務(wù)(可靠性、完整性和不可抵賴性)的安全規(guī)則;第六部分——安全鑒別與確認(rèn)報(bào)文(AUTACK);第七部分——批式電子商務(wù)(機(jī)密性)的安全規(guī)則;第九部分——安全密鑰和證書管理報(bào)告(KEYMAN);第十部分——交互式電子商務(wù)的安全規(guī)則。
UN/EDIFACT的安全措施通過集成式與分離式兩種途徑來實(shí)現(xiàn)。集成式的途徑是通過在UN/EDIFACT報(bào)文結(jié)構(gòu)中使用可選擇的安全頭段和安全尾段來保證報(bào)文內(nèi)容的完整性、報(bào)文來源的不可抵賴性;分離式途徑是通過發(fā)送三種特殊的UN/EDIFACT報(bào)文(即AUTCK、KEYMAN和CI-PHER)來達(dá)到安全目的。
6.《電子交換貿(mào)易數(shù)據(jù)統(tǒng)一行為守則》(UNCID)。UNCID由國(guó)際商會(huì)制定,該守則第六條、第七條、第九條分別就數(shù)據(jù)的保密性、完整性及貿(mào)易雙方簽訂協(xié)議等問題做了規(guī)定。
電子商務(wù)中的信息安全對(duì)策
1.提高對(duì)網(wǎng)絡(luò)信息安全重要性的認(rèn)識(shí)。信息技術(shù)的發(fā)展,使網(wǎng)絡(luò)逐漸滲透到社會(huì)的各個(gè)領(lǐng)域,在未來的軍事和經(jīng)濟(jì)競(jìng)爭(zhēng)與對(duì)抗中,因網(wǎng)絡(luò)的崩潰而促成全部或局部的失敗,決非不可能。我們?cè)谒枷肷弦研畔①Y源共享與信息安全防護(hù)有機(jī)統(tǒng)一起來,樹立維護(hù)信息安全就是保生存、促發(fā)展的觀念。我國(guó)公民中的大多數(shù)人還是“機(jī)盲”、“網(wǎng)盲”,另有許多人僅知道一些關(guān)于網(wǎng)絡(luò)的膚淺知識(shí),或僅會(huì)進(jìn)行簡(jiǎn)單的計(jì)算機(jī)操作,對(duì)網(wǎng)絡(luò)安全沒有深刻認(rèn)識(shí)。應(yīng)該以有效方式、途徑在全社會(huì)普及網(wǎng)絡(luò)安全知識(shí),提高公民的網(wǎng)絡(luò)安全意識(shí)與自覺性,學(xué)會(huì)維護(hù)網(wǎng)絡(luò)安全的基本技能。
2.加強(qiáng)網(wǎng)絡(luò)安全管理。我國(guó)網(wǎng)絡(luò)安全管理除現(xiàn)有的部門分工外,要建立一個(gè)具有高度權(quán)威的信息安全領(lǐng)導(dǎo)機(jī)構(gòu)。只有在中央建立起這樣一個(gè)組織,才能有效地統(tǒng)一、協(xié)調(diào)各部門的職能,研究未來趨勢(shì),制定宏觀政策,實(shí)施重大決定。對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)使用單位,要嚴(yán)格執(zhí)行《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》與《計(jì)算機(jī)信息網(wǎng)絡(luò)安全保護(hù)管理辦法》,建立本單位、本部門、本系統(tǒng)的組織領(lǐng)導(dǎo)管理機(jī)構(gòu),明確領(lǐng)導(dǎo)及工作人員責(zé)任,制定管理崗位責(zé)任制及有關(guān)措施,嚴(yán)格內(nèi)部安全管理機(jī)制。具體的安全措施如:把好用戶入網(wǎng)關(guān)、嚴(yán)格設(shè)置目錄和文件訪問的權(quán)限,建立對(duì)應(yīng)的屬性措施,采用控制臺(tái)加密封鎖,使文件服務(wù)器安全可靠;用先進(jìn)的材料技術(shù),如低阻材料或梯性材料將隔離設(shè)備屏蔽起來,降低或杜絕重要信息的泄露,防止病毒信息的入侵;運(yùn)用現(xiàn)代密碼技術(shù),對(duì)數(shù)據(jù)庫(kù)與重要信息加密;采用防火墻技術(shù),在內(nèi)部網(wǎng)和外部網(wǎng)的界面上構(gòu)造保護(hù)層。
3.加快網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)。我國(guó)需要大批信息安全人才來適應(yīng)新的網(wǎng)絡(luò)安全保護(hù)形勢(shì)。高素質(zhì)的人才只有在高水平的研究教育環(huán)境中迅速成長(zhǎng),只有在高素質(zhì)的隊(duì)伍保障中不斷提高。應(yīng)該加大對(duì)有良好基礎(chǔ)的科研教育基地的支持和投入,多出人才,多出成果。在人才培養(yǎng)中,要注重加強(qiáng)與國(guó)外的經(jīng)驗(yàn)技術(shù)交流,及時(shí)掌握國(guó)際上最先進(jìn)的安全防范手段和技術(shù)措施,確保在較高層次上處于主動(dòng)。要加強(qiáng)對(duì)內(nèi)部人員的網(wǎng)絡(luò)安全培訓(xùn),防止堡壘從內(nèi)部攻破。
4.開展網(wǎng)絡(luò)安全立法和執(zhí)法。一是要加快立法進(jìn)程,健全法律體系。自1973年世界上第一部保護(hù)計(jì)算機(jī)安全法問世以來,各國(guó)與有關(guān)國(guó)際組織相繼制定了一系列的網(wǎng)絡(luò)安全法規(guī)。我國(guó)政府也十分重視網(wǎng)絡(luò)安全立法問題,1996年成立的國(guó)務(wù)院信息化工作領(lǐng)導(dǎo)小組曾設(shè)立政策法規(guī)組、安全工作專家組,并和國(guó)家保密局、安全部、公安部等職能部門進(jìn)一步加強(qiáng)了信息安全法制建設(shè)的組織領(lǐng)導(dǎo)與分工協(xié)調(diào)。我國(guó)已經(jīng)頒布的網(wǎng)絡(luò)法規(guī)如:《計(jì)算機(jī)軟件保護(hù)條例》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國(guó)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全管理暫行規(guī)定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理辦法》、《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》等。1997年10月1日起生效的新《刑法》增加了專門針對(duì)信息系統(tǒng)安全的計(jì)算機(jī)犯罪的規(guī)定:違犯國(guó)家規(guī)定,侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)領(lǐng)域的計(jì)算機(jī)系統(tǒng),處三年以下有期徒刑或拘役;違犯國(guó)家規(guī)定,對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾,造成計(jì)算機(jī)系統(tǒng)不能正常運(yùn)行,后果嚴(yán)重的處五年以下有期徒刑,后果特別嚴(yán)重的處五年以上有期徒刑;違犯國(guó)家規(guī)定,對(duì)計(jì)算機(jī)信息系統(tǒng)存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)與應(yīng)用程序進(jìn)行刪除、修改、增加操作,后果嚴(yán)重的應(yīng)負(fù)刑事責(zé)任。這些法規(guī)對(duì)維護(hù)網(wǎng)絡(luò)安全發(fā)揮了重要作用,但不健全之處還有許多。一是應(yīng)該結(jié)合我國(guó)實(shí)際,吸取和借鑒國(guó)外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn),對(duì)現(xiàn)行法律體系進(jìn)行修改與補(bǔ)充,使法律體系更加科學(xué)和完善;二是要執(zhí)法必嚴(yán),違法必糾。要建立有利于信息安全案件訴訟與公、檢、法機(jī)關(guān)辦案的制度,提高執(zhí)法的效率和質(zhì)量。
5.抓緊網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)。一個(gè)網(wǎng)絡(luò)信息系統(tǒng),不管其設(shè)置有多少道防火墻,加了多少級(jí)保護(hù)或密碼,只要其芯片、中央處理器等計(jì)算機(jī)的核心部件以及所使用的軟件是別人設(shè)計(jì)生產(chǎn)的,就沒有安全可言;這正是我國(guó)網(wǎng)絡(luò)信息安全的致命弱點(diǎn)。國(guó)民經(jīng)濟(jì)要害部門的基礎(chǔ)設(shè)施要通過建設(shè)一系列的信息安全基礎(chǔ)設(shè)施來實(shí)現(xiàn)。為此,需要建立中國(guó)的公開密鑰基礎(chǔ)設(shè)施、信息安全產(chǎn)品檢測(cè)評(píng)估基礎(chǔ)設(shè)施、應(yīng)急響應(yīng)處理基礎(chǔ)設(shè)施等。
6.把好網(wǎng)絡(luò)建設(shè)立項(xiàng)關(guān)。我國(guó)網(wǎng)絡(luò)建設(shè)立項(xiàng)時(shí)的安全評(píng)估工作沒有得到應(yīng)有重視,這給出現(xiàn)網(wǎng)絡(luò)安全問題埋下了伏筆。在對(duì)網(wǎng)絡(luò)的開放性、適應(yīng)性、成熟性、先進(jìn)性、靈活性、易操作性、可擴(kuò)充性綜合把關(guān)的同時(shí),在立項(xiàng)時(shí)更應(yīng)注重對(duì)網(wǎng)絡(luò)的可靠性、安全性評(píng)估,力爭(zhēng)將安全隱患杜絕于立項(xiàng)、決策階段。
7.建立網(wǎng)絡(luò)風(fēng)險(xiǎn)防范機(jī)制。在網(wǎng)絡(luò)建設(shè)與經(jīng)營(yíng)中,因?yàn)榘踩夹g(shù)滯后、道德規(guī)范蒼白、法律疲軟等原因,往往會(huì)使網(wǎng)絡(luò)經(jīng)營(yíng)陷于困境,這就必須建立網(wǎng)絡(luò)風(fēng)險(xiǎn)防范機(jī)制。為網(wǎng)絡(luò)安全而產(chǎn)生的防止和規(guī)避風(fēng)險(xiǎn)的方法有多種,但總的來講不外乎危險(xiǎn)產(chǎn)生前的預(yù)防、危險(xiǎn)發(fā)生中的抑制和危險(xiǎn)發(fā)生后的補(bǔ)救。有學(xué)者建議,網(wǎng)絡(luò)經(jīng)營(yíng)者可以在保險(xiǎn)標(biāo)的范圍內(nèi)允許標(biāo)保的財(cái)產(chǎn)進(jìn)行標(biāo)保,并在出險(xiǎn)后進(jìn)行理賠。
8.強(qiáng)化網(wǎng)絡(luò)技術(shù)創(chuàng)新。如果在基礎(chǔ)硬件、芯片方面不能自主,將嚴(yán)重影響我們對(duì)信息安全的監(jiān)控。為了建立起我國(guó)自主的信息安全技術(shù)體系,利用好國(guó)內(nèi)外兩個(gè)資源,需要以我為主,統(tǒng)一組織進(jìn)行信息安全關(guān)鍵技術(shù)攻關(guān),以創(chuàng)新的思想,超越固有的約束,構(gòu)筑具有中國(guó)特色的信息安全體系。特別要重點(diǎn)研究關(guān)鍵芯片與內(nèi)核編程技術(shù)和安全基礎(chǔ)理論。
9.注重網(wǎng)絡(luò)建設(shè)的規(guī)范化。沒有統(tǒng)一的技術(shù)規(guī)范,局部性的網(wǎng)絡(luò)就不能互連、互通、互動(dòng),沒有技術(shù)規(guī)范也難以形成網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模。目前,國(guó)際上出現(xiàn)許多關(guān)于網(wǎng)絡(luò)安全的技術(shù)規(guī)范、技術(shù)標(biāo)準(zhǔn),目的就是要在統(tǒng)一的網(wǎng)絡(luò)環(huán)境中保證信息的絕對(duì)安全。我們應(yīng)從這種趨勢(shì)中得到啟示,在同國(guó)際接軌的同時(shí),拿出既符合國(guó)情又順應(yīng)國(guó)際潮流的技術(shù)規(guī)范。
10.建設(shè)網(wǎng)絡(luò)安全研究基地。應(yīng)該把我國(guó)現(xiàn)有的從事信息安全研究、應(yīng)用的人才很好地組織起來,為他們創(chuàng)造更優(yōu)良的工作學(xué)習(xí)環(huán)境,調(diào)動(dòng)他們?cè)谛畔踩珓?chuàng)新中的積極性。一是要落實(shí)相關(guān)政策,在收入、福利、住房、職稱等方面采取優(yōu)惠政策;二是在他們的科研立項(xiàng)、科研經(jīng)費(fèi)方面采取傾斜措施;三是創(chuàng)造有利于研究的硬環(huán)境,如儀器、設(shè)備等;四是提供學(xué)習(xí)交流的機(jī)會(huì)。
11.促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展。扶持具有中國(guó)特色的信息安全產(chǎn)業(yè)的發(fā)展是振興民族信息產(chǎn)業(yè)的一個(gè)切入點(diǎn),也是維護(hù)網(wǎng)絡(luò)安全的必要對(duì)策。為了加速發(fā)展我國(guó)的信息安全產(chǎn)業(yè),需要盡快解決資金投入、對(duì)外合作、產(chǎn)品開發(fā)、安全評(píng)測(cè)、銷售管理、采購(gòu)政策、利益分配等方面存在的問題。
【參考文獻(xiàn)】
[1]屈云波.電子商務(wù)[M].北京:企業(yè)管理出版社,1999.
[2]趙立平.電子商務(wù)概論[M].上海:復(fù)旦大學(xué)出版社,2000.
[3]趙戰(zhàn)生.我國(guó)信息安全及其技術(shù)研究[J].中國(guó)信息導(dǎo)報(bào),1999,(8):5-7.
[4]郭曉苗.Internet上的信息安全保護(hù)技術(shù)[J].現(xiàn)代圖書情報(bào)技術(shù),2000,(3):50-51.
[5]吉俊虎.網(wǎng)絡(luò)和網(wǎng)絡(luò)安全芻議[J].中國(guó)信息導(dǎo)報(bào),1989,(9):23-24.