前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)網(wǎng)絡(luò)管理辦法主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:信息化;網(wǎng)絡(luò)安全;企業(yè);解決方案
0 引言
現(xiàn)代企業(yè)信息化網(wǎng)絡(luò)是基于內(nèi)部傳輸網(wǎng)和Internet網(wǎng)絡(luò)的互聯(lián)網(wǎng)絡(luò),由于公眾網(wǎng)絡(luò)是一個相對開放的平臺,網(wǎng)絡(luò)接入比較復雜,掛接的相關(guān)點比較多,網(wǎng)絡(luò)一旦接入公眾網(wǎng)絡(luò),對于一些網(wǎng)絡(luò)安全比較敏感的數(shù)據(jù),傳輸?shù)陌踩跃捅容^弱,比較危險。本文將重點分析企業(yè)網(wǎng)絡(luò)系統(tǒng)安全性方面以及業(yè)務系統(tǒng)安全性方面存在的問題。
1 企業(yè)信息化網(wǎng)絡(luò)存在的安全隱患
1.1 Windows系統(tǒng)的安全隱患
Windows的安全機制不是外加的,而是建立在操作系統(tǒng)內(nèi)部的,可以通過一定的系統(tǒng)參數(shù)、權(quán)限等設(shè)置使文件和其他資源免受不良用戶的威脅(破壞、非法的編輯等等)。例如設(shè)置系統(tǒng)時鐘,對用戶賬號、用戶權(quán)限及資源權(quán)限的合理分配等。
由于Windows系統(tǒng)的復雜性,以及系統(tǒng)的生存周期比較短,系統(tǒng)中存在大量已知和未知的漏洞。一些國際上的安全組織已經(jīng)公示了大量的安全漏洞,其中一些漏洞可以導致入侵者獲得管理員的權(quán)限,而另一些漏洞則可以被用來實施拒絕服務攻擊。例如,Windows所采用的存儲數(shù)據(jù)庫和加密機制可導致一系列安全隱患:NT把用戶信息和加密口令保存于NTRegistry的SAM文件即安全賬戶管理(securityAccounts Management)數(shù)據(jù)庫中,由于采用的算法的原因,NT口令比較脆弱,容易被破譯。能解碼SAM數(shù)據(jù)庫并能破解口令的工具有:PWDump和NTCrack。這些工具可以很容易在Internet上得到。黑客可以利用這些工具發(fā)現(xiàn)漏洞而破譯―個或多個DomainAdministrator帳戶的口令,并且對NT域中所有主機進行破壞活動。
1.2 路由和交換設(shè)備的安全隱患
路由器是企業(yè)網(wǎng)絡(luò)的核心部件,它的安全將直接影響整個網(wǎng)絡(luò)的安全。路由器在缺省情況下只使用簡單的口令驗證用戶身份,并且在遠程TELNET登錄時以明文傳輸口令。一旦口令泄密,路由器將失去所有的保護能力。同時,路由器口令的弱點是沒有計數(shù)器功能,所以每個人都可以不限次數(shù)地嘗試登錄口令,在口令字典等工具的幫助下很容易破解登錄口令。每個管理員都可能使用相同的口令,路由器對于誰曾經(jīng)作過什么修改沒有跟蹤審計的能力。此外,路由器實現(xiàn)的某些動態(tài)路由協(xié)議存在一定的安全漏洞,有可能被惡意攻擊者利用來破壞網(wǎng)絡(luò)的路由設(shè)置,達到破壞網(wǎng)絡(luò)或為攻擊作準備的目的。
1.3 數(shù)據(jù)庫系統(tǒng)的安全隱患
一般的現(xiàn)代化企業(yè)信息系統(tǒng)包含著多套數(shù)據(jù)庫系統(tǒng)。數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所并擔負著管理這些數(shù)據(jù)信息的任務。數(shù)據(jù)庫的安全問題,在數(shù)據(jù)庫技術(shù)誕生之后就一直存在,并隨著數(shù)據(jù)庫技術(shù)的發(fā)展而不斷深化。如何保證和加強數(shù)據(jù)庫系統(tǒng)的安全性和保密性對于企業(yè)的正常、安全運行至關(guān)重要。
我們將企業(yè)數(shù)據(jù)庫系統(tǒng)分成兩個部分:一部分是數(shù)據(jù)庫,按照一定的方式存取各業(yè)務數(shù)據(jù)。一部分是數(shù)據(jù)庫管理系統(tǒng)(DBMS),它為用戶及應用程序提供數(shù)據(jù)訪問,同時對數(shù)據(jù)庫進行管理,維護等多種功能。
數(shù)據(jù)庫系統(tǒng)的安全隱患有如下特點:涉及到信息在不同程度上的安全,即客體具有層次性和多項性;在DBMS中受到保護的客體可能是復雜的邏輯結(jié)構(gòu),若干復雜的邏輯結(jié)構(gòu)可能映射到同一物理數(shù)據(jù)客體上,即客體邏輯結(jié)構(gòu)與物理結(jié)構(gòu)的分離;客體之間的信息相關(guān)性較大,應該考慮對特殊推理攻擊的防范。
2 企業(yè)信息化網(wǎng)絡(luò)安全策略的體系
網(wǎng)絡(luò)安全策略為網(wǎng)絡(luò)安全提供管理指導和支持。企業(yè)應該制定一套清晰的指導方針,并通過在組織內(nèi)對網(wǎng)絡(luò)安全策略的和保持來證明對網(wǎng)絡(luò)安全的支持與承諾。
2.1 安全策略系列文檔結(jié)構(gòu)
(1)最高方針
最高方針,屬于綱領(lǐng)性的安全策略主文檔,陳述本策略的目的、適用范圍、網(wǎng)絡(luò)安全的管理意圖、支持目標以及指導原則,網(wǎng)絡(luò)安全各個方面所應遵守的原則方法和指導性策略。安全策略的其他部分都從最高方針引申出來,并遵照最高方針,不與之發(fā)生違背和抵觸。
(2)技術(shù)規(guī)范和標準
技術(shù)標準和規(guī)范,包括各個網(wǎng)絡(luò)設(shè)備、主機操作系統(tǒng)和主要應用程序應遵守的安全配置和管理技術(shù)標準和規(guī)范。技術(shù)標準和規(guī)范將作為各個網(wǎng)絡(luò)設(shè)備、主機操作系統(tǒng)和應用程序安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標準,不允許發(fā)生違背和沖突。它向上遵照最高方針,向下延伸到安全操作流程,作為安全操作流程的依據(jù)。
(3)管理制度和規(guī)定
管理制度和規(guī)定包括各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規(guī)定、管理辦法和實施辦法,必須具有可操作性,而且必須得到有效推行和實施。它向上遵照最高方針,向下延伸到用戶簽署的文檔和協(xié)議。用戶協(xié)議必須遵照管理規(guī)定和管理辦法,不與之發(fā)生違背。
(4)組織機構(gòu)和人員職責
安全管理組織機構(gòu)和人員的安全職責,包括安全管理機構(gòu)組織形式和運作方式,機構(gòu)和人員的一般責任和具體責任。作為機構(gòu)和員工工作時的具體職責依照,此部分必須具有可操作性,而目必須得到有效推行和實施。
(5)用戶協(xié)議
用戶簽署的文檔和協(xié)議,包括安全管理人員、網(wǎng)絡(luò)和系統(tǒng)管理員安全責任書、保密協(xié)議、安全使用承諾等等。作為員工或用戶對日常工作中遵守安全規(guī)定的承諾,也作為違背安全時處罰的依據(jù)。
2.2 策略體系的建立
目前的企業(yè)普遍缺乏完整的安全策略體系,沒有將政府高層對于網(wǎng)絡(luò)安全的重視體現(xiàn)在正式的、成文的、可操作的策略和規(guī)定上。企業(yè)應當建立策略體系,制定安全策略系列文檔。建議按照上面所描述的策略文檔結(jié)構(gòu),建立起安全策略文檔體系。
建議策略編制原則為建立一個統(tǒng)一的、體系完整的企業(yè)安全策略體系,內(nèi)容覆蓋企業(yè)中的所有網(wǎng)絡(luò)、部門、人員、地點和分支機構(gòu)。鑒于企業(yè)中的各個機構(gòu)業(yè)務情況和網(wǎng)絡(luò)現(xiàn)狀差別很大,因此在整體的策略框架和體系下,允許各個機構(gòu)根據(jù)各自情況,對策略體系中的管理制度、操作流程、用戶協(xié)議、組織和人員職責進行細化。但細化后的策略文檔必須依照企業(yè)統(tǒng)一制定的策略文檔中的規(guī)定,不允許發(fā)生違背和矛盾,其要求的安全程度只能持平或提高,不允許下降。
2.3 策略的有效和執(zhí)行
安全策略系列文檔制定后,必須和有效執(zhí)行。和執(zhí)行過程中除了要得到企業(yè)高層領(lǐng)導的大力支持和推動外,還必須要有合適的、可行的和推動手段,同時在和執(zhí)行前對每個本員要進行與其相關(guān)部分的充分培訓,保證每個人員都了解與其相關(guān)部分的內(nèi)容。必須要注意到這是一個長期、艱苦的工作,需要付出艱苦的努力,而且由于牽扯到企業(yè)許多部門和絕大多數(shù)人,可能需要改變工作方式和流程,所以推行起
來阻力會相當大;同時安全策略本身存在的缺陷,包括不切實際的、太過復雜和繁瑣的、規(guī)定有缺欠的情況等,都會導致整體策略難以落實。
3 企業(yè)信息化網(wǎng)絡(luò)安全技術(shù)總體解決方案
參考以上所論述的,結(jié)合現(xiàn)有網(wǎng)絡(luò)安全核心技術(shù),本文認為,企業(yè)信息化網(wǎng)絡(luò)總體的安全技術(shù)解決方案將圍繞著企業(yè)信息化網(wǎng)絡(luò)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應用層和安全服務層搭建整體的解決方案,企業(yè)信息化網(wǎng)絡(luò)建設(shè)將著重從邊界防護、系統(tǒng)加固、認證授權(quán)、數(shù)據(jù)加密、集中管理五個方面進行,在企業(yè)信息化網(wǎng)絡(luò)中重點部署防火墻、入侵檢測、漏洞掃描、網(wǎng)絡(luò)防病毒、VPN五大子系統(tǒng),并通過統(tǒng)一的平臺進行集中管理,從而實現(xiàn)企業(yè)信息化網(wǎng)絡(luò)安全既定的目標。
3.1 防火墻系統(tǒng)的引入
通過防火墻系統(tǒng)的引入,利用防火墻“邊界隔離+訪問控制”的功能,實現(xiàn)對進出企業(yè)網(wǎng)的訪問控制,特別是針對內(nèi)網(wǎng)服務器資源的訪問,進行重點監(jiān)控,可以提高企業(yè)網(wǎng)的網(wǎng)絡(luò)層面安全。防火墻子系統(tǒng)能夠與入侵檢測子系統(tǒng)進行聯(lián)動,當入侵檢測系統(tǒng)對網(wǎng)絡(luò)中的數(shù)據(jù)包進行細粒度檢測,發(fā)現(xiàn)異常,并通知防火墻時,防火墻會自動生成安全策略,將訪問源阻斷在防火墻之外。
3.2 入侵檢測子系統(tǒng)的引入
入侵檢測系統(tǒng)用于實時檢測針對重要網(wǎng)絡(luò)資源的網(wǎng)絡(luò)攻擊行為,它會對企業(yè)網(wǎng)內(nèi)異常的訪問及數(shù)據(jù)包發(fā)出報警,以便企業(yè)的網(wǎng)絡(luò)管理人員及時采取有效的措施,防范重要的信息資產(chǎn)遭到破壞。同時,可在入侵檢測探測器與防火墻之間建立互動響應體系,當探測器檢測到攻擊行為時,向防火墻發(fā)出指令,防火墻根據(jù)入侵檢測系統(tǒng)上報的信息,自動生成動態(tài)規(guī)則,對發(fā)出異常訪問及數(shù)據(jù)包的源地址給予阻斷。入侵檢測和防火墻相互配合,能夠共同提高企業(yè)網(wǎng)整體網(wǎng)絡(luò)層面的安全性,兩個系統(tǒng)共同構(gòu)成了企業(yè)網(wǎng)的邊界防護體系。
3.3 網(wǎng)絡(luò)防病毒子系統(tǒng)的引入
防病毒子系統(tǒng)用于實時查殺各種網(wǎng)絡(luò)病毒,可防范企業(yè)網(wǎng)遭到病毒的侵害。企業(yè)應在內(nèi)部部署網(wǎng)關(guān)級、服務器級、郵件級,以及個人主機級的病毒防護。從整體上提高系統(tǒng)的容災能力,提升企業(yè)網(wǎng)整體網(wǎng)絡(luò)層面的安全性。
3.4 漏洞掃描子系統(tǒng)的引入
漏洞掃描子系統(tǒng)能定期分析網(wǎng)絡(luò)系統(tǒng)存在的安全隱患,把隱患消滅在萌牙狀態(tài)。針對企業(yè)網(wǎng)絡(luò)中存在眾多類型的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng),運行著營銷系統(tǒng)、財務系統(tǒng)、客戶信息系統(tǒng)、人力資源系統(tǒng)等重要的應用,如何確保各類應用系統(tǒng)的穩(wěn)定和眾多信息資產(chǎn)的安全,是企業(yè)信息化網(wǎng)絡(luò)中需要重點關(guān)注的問題。通過漏洞掃描子系統(tǒng)對操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的掃描,定期提交漏洞及弱點報告,可大大提高企業(yè)網(wǎng)整體系統(tǒng)層面的安全性。該系統(tǒng)與病毒防范系統(tǒng)一起構(gòu)成了企業(yè)網(wǎng)的系統(tǒng)加固平臺。
3.5 數(shù)據(jù)加密子系統(tǒng)的引入
通過對企業(yè)網(wǎng)重要數(shù)據(jù)的加密,確保數(shù)據(jù)在網(wǎng)絡(luò)中以密文的方式被傳遞,可以有效防范攻擊者通過偵聽網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù),竊取企業(yè)的重要數(shù)據(jù),或以此為基礎(chǔ)實施進一步的攻擊,從而提高了企業(yè)網(wǎng)整體應用層面的安全性。
【關(guān)鍵詞】隱患 黑客入侵 防范措施 管理制度
【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1672-5158(2013)01―0413―01
隨著經(jīng)濟的迅速發(fā)展,計算機網(wǎng)絡(luò)技術(shù)的發(fā)展和互聯(lián)網(wǎng)應用的日益廣泛,它在社會發(fā)展中扮演著非常重要的角色。網(wǎng)絡(luò)在提高宣鋼辦公自動化效率的同時,給我們的生活帶來許多便利,也對企業(yè)信息系統(tǒng)的安全造成了威脅。網(wǎng)絡(luò)環(huán)境下,宣鋼信息系統(tǒng)面臨著來自物理因素、網(wǎng)絡(luò)共享和人文環(huán)境等三個方面的安全隱患,形勢嚴峻。宣鋼信息安全隱患的防范是一個全方位的工作,需要運用技術(shù)、管理和法律三大手段,建立一個綜合性的防御安全體系,最大限度地降低企業(yè)信息有可能遭受的安全隱患。作為宣鋼網(wǎng)絡(luò)運維管理人員從體系管理的高度完善網(wǎng)絡(luò)管理辦法,規(guī)范化網(wǎng)絡(luò)信息安全措施也自然成為了當務之急。
一、宣鋼內(nèi)網(wǎng)安全常見隱患
1、病毒侵害較多。
計算機病毒是威脅宣鋼內(nèi)部網(wǎng)絡(luò)頻率最高、影響最廣、導致信息損失最嚴重的問題,列在所有安全威脅中的首位。病毒通過網(wǎng)頁、電子郵件、可移動媒體、系統(tǒng)漏洞等方式傳播。在企業(yè)網(wǎng)絡(luò)中,如果一臺計算機感染了病毒,在很短的時間內(nèi)就可感染內(nèi)網(wǎng)所有的計算機網(wǎng)絡(luò)連接系統(tǒng)。病毒感染可導致網(wǎng)絡(luò)的堵塞、系統(tǒng)數(shù)據(jù)和文件系統(tǒng)的損壞。如果數(shù)據(jù)的累積是多年的,那么損失是災難性的。
2、宣鋼內(nèi)部操作系統(tǒng)存在漏洞。
目前,許多企業(yè)的網(wǎng)絡(luò)操作系統(tǒng)存在各種類型的安全漏洞。有許多新的病毒,或是已知的病毒,仍然可以被利用來傳播病毒的變種。因此,如果企業(yè)內(nèi)部缺乏一個完善的補丁管理系統(tǒng),將反復導致很多內(nèi)網(wǎng)的計算機,即使安裝最新的反病毒軟件,仍然可以感染病毒和木馬。
3、企業(yè)黑客入侵。
企業(yè)黑客入侵常分為四類:入侵、拒絕服務、信息盜竊、欺騙黑客入侵。黑客利用非法行為訪問內(nèi)部網(wǎng)絡(luò),刪除、復制或銷毀數(shù)據(jù)。對于使用傳統(tǒng)安全措施的企業(yè)網(wǎng)絡(luò),其網(wǎng)絡(luò)安全環(huán)境是脆弱的,嚴重的情形可能會被竊取企業(yè)機密。
二、宣鋼內(nèi)網(wǎng)安全原因分析
1、相對簡單的防范措施。
不同的網(wǎng)絡(luò)環(huán)境需要不同的安全防范措施。然而,由于傳統(tǒng)防治技術(shù)的制約,許多企業(yè)沒有采取防范措施來維護內(nèi)網(wǎng)環(huán)境,在部署大量防火墻、IDS入侵檢測系統(tǒng)和防護裝備的同時,卻忽視了安全管理的內(nèi)部制度。在實踐中,很多企業(yè)網(wǎng)絡(luò)環(huán)境應用默認的安全策略常常被忽視。
2、網(wǎng)絡(luò)安全管理制度不完善。
宣鋼內(nèi)網(wǎng)是一個特殊的網(wǎng)絡(luò),網(wǎng)絡(luò)的不斷擴大使其更加難以控制。雖然各二級廠已建立了相應的內(nèi)部網(wǎng)絡(luò)安全管理制度,但經(jīng)常是不完整或不全面的,不能有效地規(guī)范和約束有些員工的上網(wǎng)行為。
3、宣鋼網(wǎng)絡(luò)安全管理員技能不足。
在思想方面,許多管理員認為只要網(wǎng)絡(luò)不癱瘓,其他都不會有問題;在技術(shù)方面,由于管理員的惰性,遇到問題的處理方式就只是重新安裝系統(tǒng);在管理方面,管理員只依賴于單一的工具,就是網(wǎng)絡(luò)維護。
安全技術(shù)知識和概念的缺乏使得宣鋼內(nèi)部網(wǎng)絡(luò)的管理和監(jiān)測計劃缺乏系統(tǒng)監(jiān)管機制,也沒有主動行為,很難形成積極的反饋機制,這將導致宣鋼網(wǎng)絡(luò)的安全風險不容易被發(fā)現(xiàn)。
三、宣鋼內(nèi)網(wǎng)安全建設(shè)的解決方案
1.建立多層次病毒防護體系。
傳播計算機病毒和形式日趨多樣化,因此內(nèi)網(wǎng)的防病毒工作已不再是單純一臺計算機病毒的檢測和清除,必須在內(nèi)網(wǎng)建立一個多層次、立體的病毒防護體系,但也應設(shè)立最好的管理制度,建立和維護病毒防護策略。內(nèi)部網(wǎng)絡(luò)病毒防護系統(tǒng)包括客戶端的防病毒安全系統(tǒng),和服務器的防病毒安全系統(tǒng)。服務器又分為文件服務器、數(shù)據(jù)庫服務器,以及其他應用級服務器的全面防護,是確保整個內(nèi)部網(wǎng)絡(luò)不被計算機病毒感染的有效方式。目前計檢中心已經(jīng)搭建了最新版的趨勢服務器,對工業(yè)網(wǎng)以及辦公網(wǎng)進行了全局部署很好的控制了病毒的爆發(fā)。
2.建立備份和恢復機制。
引人數(shù)據(jù)庫備份概念,如磁帶庫和備份系統(tǒng)、遠程數(shù)據(jù)、連續(xù)備份、智能恢復、實時監(jiān)控和統(tǒng)計、數(shù)據(jù)定期自動存儲備份,完全擺脫了人為干預,以避免由于硬件故障、人為錯誤、病毒和其他各種因素造成的數(shù)據(jù)丟失。建立數(shù)據(jù)備份和恢復機制,雖然平時不能夠看到效果,但一旦數(shù)據(jù)遭受損害或遺失,將使宣鋼的損失最小化。
3、建立網(wǎng)絡(luò)安全管理制度。
(1)在計算機網(wǎng)絡(luò)安全管理中,發(fā)展絕對安全和健全的安全管理體系是計算機網(wǎng)絡(luò)安全的重要保證,不但要注重技術(shù)手段的保障,更要注重管理人員的職業(yè)操守,盡一切可能控制和減少違法違規(guī)行為,最大限度地減少不安全因素。以網(wǎng)絡(luò)安全管理負責人任期與職責分離的原則為指導,嚴格執(zhí)行操作規(guī)程,并制定相關(guān)方案。
(2)完善相應的法律規(guī)章制度。在技術(shù)上做到防止其信息安全可能發(fā)生的同時,也應該在管理上做出相應的對策,對其建立完整,行之有效的一個制度,以保證能夠在技術(shù)和管理上相得益彰的保證網(wǎng)絡(luò)信息的安全。
(3)加強職業(yè)道德教育不管是建立安全管理機構(gòu)還是安裝安全軟件或者資料備份,這些并不是解決網(wǎng)絡(luò)安全的根本方法。而只有加強計算機從業(yè)者進行道德教育,培訓,增強他們的安全意識,并且對于青年人進行必要的網(wǎng)絡(luò)安全知識的素質(zhì)教育,才能做到比較切實的防患。
(4)訪問權(quán)限。不同的信息及其應用信息系統(tǒng)應有不同的訪問權(quán)限,低級別角色不應能訪問高級別的信息及應用信息系統(tǒng)。為此,可通過技術(shù)手段設(shè)定信息的訪問權(quán)限,限制用戶的訪問范圍。
四、管理制度取得成效
1、優(yōu)化網(wǎng)絡(luò)架構(gòu)
完善的核心網(wǎng)絡(luò)架構(gòu)使得工業(yè)網(wǎng)和辦公網(wǎng)順利合并,充分發(fā)揮了主干網(wǎng)絡(luò)設(shè)備性能,VLAN及路由策略在保證網(wǎng)絡(luò)穩(wěn)定運行的前提下做到了最優(yōu)安全防護。
2、部署殺毒軟件
宣鋼網(wǎng)絡(luò)環(huán)境引用趨勢殺毒企業(yè)版,很好的控制住病毒的泛濫,保障生產(chǎn)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)健康運行。
3、加強行為監(jiān)控
防火墻策略加任天行行為監(jiān)控軟件雙管齊下,優(yōu)化了局域網(wǎng)使用,約束職工上網(wǎng)行為同時提高了辦公效率、減少外網(wǎng)出口帶寬使用率、抑制病毒滋生可謂一舉多得。
4、完善網(wǎng)絡(luò)管理制度
各種網(wǎng)絡(luò)規(guī)章制度的完善為計檢中心管理宣鋼網(wǎng)絡(luò)提供可靠依據(jù),作為宣鋼網(wǎng)絡(luò)的建設(shè)者和管理者計檢中心與時俱進不斷探索創(chuàng)新,積極組織人員學習國際先進網(wǎng)絡(luò)管理運維技術(shù)。時刻以知識改變命運落后就要挨打的理念鞭策員工激發(fā)員工的創(chuàng)新激情,先后開發(fā)出多套網(wǎng)絡(luò)監(jiān)控平臺為保障宣鋼網(wǎng)絡(luò)穩(wěn)定運行立下汗馬功勞。
5、治人先治心
作為領(lǐng)軍帶頭單位計檢中心多次組織二級廠礦網(wǎng)管員進行交流座談會,大家集思廣益發(fā)現(xiàn)問題解決問題共同進步。使每位網(wǎng)絡(luò)管理人員認識到自己身上的責任重擔,做到人人肩上有責任有目標;意識到我們不是普通的技術(shù)崗,我們維護的是宣鋼的生產(chǎn)命脈,從而在思想上達成高度統(tǒng)一;增強管理人員使命感,加強尋點檢質(zhì)量把網(wǎng)絡(luò)隱患遏制在萌芽狀態(tài)。
傳統(tǒng)的企業(yè)網(wǎng)絡(luò)安全防范主要都是對網(wǎng)絡(luò)病毒、系統(tǒng)漏洞、入侵檢測等方面加以設(shè)置,安全措施和相關(guān)配置通常都在網(wǎng)絡(luò)與外部進行連接的端口處加以實施,采取這樣的網(wǎng)絡(luò)安全防范雖然能夠降低外部網(wǎng)絡(luò)帶來的安全威脅,但卻忽視了企業(yè)內(nèi)部網(wǎng)絡(luò)潛在的安全問題。
目前,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問題的嚴重程度已經(jīng)遠遠超過了外部網(wǎng)絡(luò)帶來的安全威脅,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅成為了企業(yè)信息安全面臨的重大難題。但是,由于企業(yè)管理人員的網(wǎng)絡(luò)安全防范意識不強,對于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問題不夠重視,甚至沒有對企業(yè)內(nèi)部網(wǎng)絡(luò)采取任何安全防范措施,因此導致了企業(yè)內(nèi)部網(wǎng)絡(luò)安全事故不斷增加,給企業(yè)帶來了重大經(jīng)濟損失和社會負面影響,怎樣能夠保證企業(yè)內(nèi)部網(wǎng)絡(luò)不受到任何威脅和侵害,已經(jīng)成為了企業(yè)在信息化發(fā)展建設(shè)過程中亟待解決的問題。
2 企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅
隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,企業(yè)內(nèi)部網(wǎng)絡(luò)是其信息化建設(shè)過程中必不可少的一部分。而且,網(wǎng)絡(luò)應用程序的不斷增多也使得企業(yè)網(wǎng)絡(luò)正在面臨著各種各樣的安全威脅。
2.1內(nèi)部網(wǎng)絡(luò)脆弱
企業(yè)內(nèi)部網(wǎng)絡(luò)遭到攻擊通常是利用企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范的漏洞實現(xiàn)的,而且,由于部分網(wǎng)絡(luò)管理人員對于企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范不夠重視,使得大部分的計算機終端都面臨著嚴重的系統(tǒng)漏洞問題,隨著內(nèi)部網(wǎng)絡(luò)中應用程序數(shù)量的日益增加,也給計算機終端帶來了更多的系統(tǒng)漏洞問題。
2.2用戶權(quán)限不同
企業(yè)內(nèi)部網(wǎng)絡(luò)的每個用戶都擁有不同的使用權(quán)限,因此,對用戶權(quán)限的統(tǒng)一控制和管理非常難以實現(xiàn),不同的應用程序都會遭到用戶密碼的破譯和非法越權(quán)操作。部分企業(yè)的信息安全部門對于內(nèi)部網(wǎng)絡(luò)的服務器管理不到位,更容易給網(wǎng)絡(luò)黑客留下可乘之機。
2.3涉密信息分散
由于部分企業(yè)內(nèi)部網(wǎng)絡(luò)的涉密數(shù)據(jù)存儲分布在不同的計算機終端中,沒有將這些涉密信息統(tǒng)一存儲到服務器中,又缺乏嚴格有效的監(jiān)督控制管理辦法。甚至為了方便日常辦公,對于涉密數(shù)據(jù)往往不加密就在內(nèi)部網(wǎng)絡(luò)中隨意傳輸,這就給竊取涉密信息的人員制造了大量的攻擊機會。
3 企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計方案
3.1網(wǎng)絡(luò)安全防范總體設(shè)計
即使企業(yè)內(nèi)部網(wǎng)絡(luò)綜合使用了入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)等防護手段,也很難保證企業(yè)內(nèi)部網(wǎng)絡(luò)之間數(shù)據(jù)通信的絕對安全。因此,在本文設(shè)計的企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范方案中,部署了硬件加密機的應用,能夠保證對企業(yè)內(nèi)部網(wǎng)絡(luò)中的所有數(shù)據(jù)通信進行加密處理,從而加強企業(yè)內(nèi)部網(wǎng)絡(luò)的安全保護。
3.2網(wǎng)絡(luò)安全體系模型構(gòu)建
企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系屬于水平與垂直分層實現(xiàn)的,水平層面上包括了安全管理、安全技術(shù)、安全策略和安全產(chǎn)品,它們之間是通過支配和被支配的模式實現(xiàn)使用的;垂直層面上的安全制度是負責對水平層面上的行為進行安全規(guī)范。一個企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系如果想保持一致性,必須包括用戶授權(quán)管理、用戶身份認證、數(shù)據(jù)信息保密和實時監(jiān)控審計這四個方面。這四個方面的管理功能是共同作用于同一個平臺之上的,從而構(gòu)建成一個安全可靠、實時可控的企業(yè)內(nèi)部網(wǎng)絡(luò)。
1)用戶身份認證
用戶身份認證是保證企業(yè)內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運行的基礎(chǔ),企業(yè)內(nèi)部網(wǎng)絡(luò)中的用戶身份認證包括了服務器用戶、網(wǎng)絡(luò)設(shè)備用戶、網(wǎng)絡(luò)資源用戶、客戶端用戶等等,而且,由于網(wǎng)絡(luò)客戶端用戶數(shù)量龐大,存在著更多的不安全、不確定性,因此,對于網(wǎng)絡(luò)客戶端用戶的身份認證至關(guān)重要。
2)用戶授權(quán)管理
用戶授權(quán)管理是以用戶身份認證作為基礎(chǔ)的,主要是對用戶使用企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)資源時進行授權(quán),每個用戶都對應著不用的權(quán)限,權(quán)限代表著能夠?qū)ζ髽I(yè)內(nèi)部網(wǎng)絡(luò)中的某些資源進行訪問和使用,包括服務器數(shù)據(jù)資源的使用權(quán)限、網(wǎng)絡(luò)數(shù)據(jù)資源使用權(quán)限和網(wǎng)絡(luò)存儲設(shè)備資源使用權(quán)限等等。
3)數(shù)據(jù)信息保密
數(shù)據(jù)信息保密作為企業(yè)內(nèi)部網(wǎng)絡(luò)中信息安全的核心部分,需要對企業(yè)內(nèi)部網(wǎng)絡(luò)中進行數(shù)據(jù)通信的所有數(shù)據(jù)進行安全管理,保證數(shù)據(jù)通信能夠在企業(yè)內(nèi)部網(wǎng)絡(luò)中處于一個安全環(huán)境下進行,從而保證對企業(yè)內(nèi)部網(wǎng)絡(luò)涉密信息和知識產(chǎn)權(quán)信息的有效保護。
4)實時監(jiān)控審計
實時監(jiān)控審計作為企業(yè)內(nèi)部網(wǎng)絡(luò)中必不可少的部分,主要實現(xiàn)的是對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全的實時監(jiān)控,定期生成企業(yè)內(nèi)部網(wǎng)絡(luò)安全評估報告,一旦企業(yè)內(nèi)部網(wǎng)絡(luò)出現(xiàn)安全問題時,能夠及時匯總數(shù)據(jù),為安全事故的分析判斷提供有效依據(jù)。
4結(jié)論
目前,關(guān)于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防范問題一直是網(wǎng)絡(luò)信息安全領(lǐng)域研究的熱點問題,越來越多的企業(yè)將辦公系統(tǒng)應用于企業(yè)內(nèi)部網(wǎng)絡(luò)中,但是由于企業(yè)工作人員的安全防范意識不強,或者網(wǎng)絡(luò)操作不規(guī)范,都給企業(yè)內(nèi)部網(wǎng)絡(luò)帶來了更多的安全威脅。本文提出的企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計方案,能夠有效解決多種內(nèi)部網(wǎng)絡(luò)的安全問題,具有一定的實踐應用價值。
參考文獻
【關(guān)鍵詞】供電企業(yè);網(wǎng)絡(luò);安全管理;措施
前言:
近年來,隨著電力信息化進程不斷深入,電力系統(tǒng)已經(jīng)逐步滲透到各個用電領(lǐng)域,包括發(fā)電,輸變電,配電等各個關(guān)鍵環(huán)節(jié),一個處于國家領(lǐng)先水平的電力信息網(wǎng)絡(luò)已經(jīng)建成已。這個信息網(wǎng)絡(luò)在電網(wǎng)調(diào)度自動化、廠站自動控制、計量自動化系統(tǒng)、電力營銷系統(tǒng)、配網(wǎng)生產(chǎn)系統(tǒng)、營配信息集成、電力負荷管理,辦公自動化、計劃統(tǒng)計管理、用電管理、財務管理、人力資源管理、生產(chǎn)安全管理等有關(guān)生產(chǎn)、經(jīng)營和管理的許多領(lǐng)域中發(fā)揮重要作用,特別是電力營銷系統(tǒng),涉及到電費資金的安全性,一旦網(wǎng)絡(luò)信息安全得不到保障,將影響到企業(yè)的經(jīng)營管控。同時,我們應該注意到,隨著電力網(wǎng)絡(luò)的逐漸擴大,結(jié)構(gòu)逐漸復雜,企業(yè)應用的不斷加深,各部門越來越依賴網(wǎng)絡(luò),因此,一個不容忽視的問題擺在了我們面前,那就是電力信息網(wǎng)絡(luò)安全。
一、電力信息網(wǎng)絡(luò)結(jié)構(gòu)分析
電力信息網(wǎng)一般由三層局域網(wǎng)通過廣域網(wǎng)互聯(lián)而形成,分別是公司核心局域網(wǎng)、各分公司局域網(wǎng)以及子公司局域網(wǎng)。電力信息網(wǎng)一般有兩個主要的應用系統(tǒng),分別是生產(chǎn)應用系統(tǒng)(SCADA/EMs系統(tǒng))和經(jīng)管應用系統(tǒng)(MIS系統(tǒng))。生產(chǎn)應用系統(tǒng)和經(jīng)管應用系統(tǒng)在結(jié)構(gòu)上相對獨立。SCA—DA/EMS系統(tǒng)采用各種方式(專線、同步數(shù)字序列、準同步數(shù)字序列)與各變電站或電網(wǎng)進行實時數(shù)據(jù)傳輸;MIS系統(tǒng)使用干兆以太網(wǎng)組網(wǎng),通過TCP/IP傳輸網(wǎng)絡(luò)結(jié)構(gòu)取用同級網(wǎng)絡(luò)分層,每層分子網(wǎng)和鏈路連接。
二、電力網(wǎng)絡(luò)信息安全存在的問題
威脅到電力信息系統(tǒng)安全的因素有很多,可以是惡意攻擊,也可以是操作失誤;可以是通過外部攻擊,也可以是通過內(nèi)部破壞??偨Y(jié)起來,筆者認為針對電力信息系統(tǒng)安全主要有以下5大問題,分別是計算機病毒、操作系統(tǒng)和應用軟件的漏洞、企業(yè)網(wǎng)絡(luò)邊界擴展、自然界環(huán)境因素、企業(yè)內(nèi)部問題。具體內(nèi)容見表1。
三、安全思想和原則
電力企業(yè)信息安全的主要目標一般可以綜述為:注重“電力生產(chǎn)”的企業(yè)使命,一切為生產(chǎn)經(jīng)營服務;服從“集約化管理”的企業(yè)戰(zhàn)略,樹立集團平臺理念;保證“信息化長效機制和體制”,保證企業(yè)生產(chǎn)控制系統(tǒng)不受干擾,保證系統(tǒng)安全事件(計算機病毒、篡改網(wǎng)頁、網(wǎng)絡(luò)攻擊等)不發(fā)生,保證敏感信息不外露,保障意外事件及時響應與及時恢復,數(shù)據(jù)不丟失。(1)先進的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。影響網(wǎng)絡(luò)安全的方面有物理安全、網(wǎng)絡(luò)隔離技術(shù)、加密與認證、網(wǎng)絡(luò)安全漏洞掃描、網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測和最小化原則等多種因素,它們是設(shè)計信息安全方案所必須考慮的,是制定信息安全方案的策略和技術(shù)實現(xiàn)的基礎(chǔ)。要選擇相應的安全機制,集成先進的安全技術(shù),形成全方位的安全系統(tǒng)。(2)嚴格的安全管理是確保安全策略落實的基礎(chǔ)。計算機網(wǎng)絡(luò)使用機構(gòu)、企業(yè)、單位應建立相應的網(wǎng)絡(luò)管理辦法,加強內(nèi)部管理,建立適合的網(wǎng)絡(luò)安全管理系統(tǒng)和管理制度,加強培訓和用戶管理,加強安全審計和跟蹤體系,提高人員對整體網(wǎng)絡(luò)安全意識。(3)嚴格的法律法規(guī)是網(wǎng)絡(luò)安全保障堅強的后盾。建立健全與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),加強安全教育和宣傳,嚴肅網(wǎng)絡(luò)規(guī)章制度和紀律,對網(wǎng)絡(luò)犯罪嚴懲不貸。
四、安全策略與方法
1.物理安全策略和方法。物理安全的目的是保護路由器、交換機、工作站、網(wǎng)絡(luò)服務器、打印機等硬件實體和通信鏈路的設(shè)計,包括建設(shè)符合標準的中心機房,提供冗余電力供應和防靜電、防火等設(shè)施,免受自然災害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機房安全管理制度,防止非法人員進入機房進行偷竊和破壞活動等,并妥善保管備份磁帶和文檔資料;要建立設(shè)備訪問控制,其作用是通過維護訪問到表以及可審查性,驗證用戶的身份和權(quán)限,防止和控制越權(quán)操作。
2.訪問控制策略和方法。網(wǎng)絡(luò)安全的目的是將企業(yè)信息資源分層次和等級進行保護,主要是根據(jù)業(yè)務功能、信息保密級別、安全等級等要求的差異將網(wǎng)絡(luò)進行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi),提高網(wǎng)絡(luò)的整體安全水平,目前路由器、虛擬局域網(wǎng)VLAN、防火墻是當前主要的網(wǎng)絡(luò)分段的主要手段。而訪問管理控制是限制系統(tǒng)內(nèi)資源的分等級和層次使用,是防止非法訪問的第一道防線。訪問控制主要手段是身份認證,以用戶名和密碼的驗證為主,必要時可將密碼技術(shù)和安全管理中心結(jié)合起來,實現(xiàn)多重防護體系,防止內(nèi)容非法泄漏,保證應用環(huán)境安全、應用區(qū)域邊界安全和網(wǎng)絡(luò)通信安全。
3.開放的網(wǎng)絡(luò)服務策略和方法。Internet安全策略是既利用廣泛、快捷的網(wǎng)絡(luò)信息資源,又保護自己不遭受外部攻擊。主要方法是注重接入技術(shù),利用防火墻來構(gòu)建堅固的大門,同時對Web服務和FTP服務采取積極審查的態(tài)度,更要強化內(nèi)部
網(wǎng)絡(luò)用戶的責任感和守約,必要時增加審計手段。
4.電子郵件安全策略和方法。電子郵件策略主要是針對郵件的使用規(guī)則、郵件的管理以及保密環(huán)境中電子郵件的使用制定的。針對目前利用電子郵件犯罪的事件和垃圾郵件泛濫現(xiàn)象越來越多,迫使防范技術(shù)快速發(fā)展,電力企業(yè)可以在電子郵件安全方案加大投入或委托專業(yè)公司進行。
5.網(wǎng)絡(luò)反病毒策略和方法。每個電力企業(yè)為了處理計算機病毒感染事件,都要消耗大量的時間和精力,而且還會造成一些無法挽回的損失,必須制定反計算機病毒的策略。目前反病毒技術(shù)已由掃描、檢查、殺毒發(fā)展到了到實時監(jiān)控,并且針對特殊的應用服務還出現(xiàn)了相應的防毒系統(tǒng),如網(wǎng)關(guān)型病毒防火墻以及郵件反病毒系統(tǒng)等。
6.加密策略和方法。信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、密碼和控制信息,保護網(wǎng)絡(luò)會話的完整性。其方法有虛擬私有網(wǎng)、公共密鑰體系、密鑰管理系統(tǒng)、加密機和身份認證鑰匙手段等。
7.攻擊和入侵應急處理流程和災難恢復策略和方法。主要方法是配備必要的安全產(chǎn)品,例如網(wǎng)絡(luò)掃描器、防火墻、入侵檢測系統(tǒng),進行實時網(wǎng)絡(luò)監(jiān)控和分析,及時找到攻擊對象采取,并利用備份系統(tǒng)和應急預案以備緊急情況下恢復系統(tǒng)。
8.安全服務的策略。再好的安全策略和方法都要通過技術(shù)和服務來實現(xiàn),安全產(chǎn)品和安全服務同樣重要,只有把兩者很好地結(jié)合起來,才能真正貫徹安全策略。
五、信息安全的防范措施
由以上分析可知,需要加大防范力度,確保信息安全,保證供電企業(yè)的正常運作,筆者認為防范措施可以從三方面展開,分別是計算機方面、管理方面以及建設(shè)方面。就計算機方面而言,企業(yè)級殺毒軟件和及時為計算機打補丁是兩個主要措施。殺毒軟件可以有效地保證電力企業(yè)計算機系統(tǒng)的穩(wěn)定運行,可以避免病毒以及木馬等其他形式的威脅。系統(tǒng)補丁可以修補操作系統(tǒng)的安全漏洞,使得操作系統(tǒng)及時關(guān)閉“后門”。就管理方面而言,一方面,要完善管理制度,提高執(zhí)行力度,管理制度必須要配合電力企業(yè)自身的網(wǎng)絡(luò),有了制度保證,才可以更好地促進電力企業(yè)信息網(wǎng)絡(luò)的安全可靠運行;另一個方面,要開展對員工的相關(guān)培訓,提高安全意識,只有提高員工的安全意識,才能有效地避免“內(nèi)部人問題”,保證企業(yè)的信息安全。就建設(shè)方面而言,要加強基礎(chǔ)設(shè)施建設(shè),改善網(wǎng)絡(luò)環(huán)境。物理安全是電力信息網(wǎng)絡(luò)安全的第一道門,一定要重視企業(yè)環(huán)境,門禁、監(jiān)控、滅火器等設(shè)備要保證隨時可以使用,以應對突發(fā)事件。
參考文獻:
[1] 蒲曉羽,王林虎,許明,等.電力系統(tǒng)安全防御體系的研究[C].2006中國電力系統(tǒng)保護與控制學術(shù)研討會論文集.2006.
關(guān)鍵詞:低碳經(jīng)濟 電子商務 國際貿(mào)易
中圖分類號:F74
文獻標識碼:A
文章編號:1004-4914(2015)07-052-02
一、低碳經(jīng)濟與電子商務
低碳經(jīng)濟是以低能耗、低污染、低排放為基礎(chǔ)的經(jīng)濟模式,是人類社會繼農(nóng)業(yè)文明、工業(yè)文明之后的又一次重大進步。低碳經(jīng)濟已成為21世紀世界經(jīng)濟發(fā)展的一個重要趨勢,其概念首次出現(xiàn)在2003年英國的政府工作報告,2009年哥本哈根會議的召開使低碳經(jīng)濟進入更多人的視野,在全球范圍內(nèi)掀起了發(fā)展低碳經(jīng)濟的熱潮。世界上的發(fā)達國家正試圖利用此次全球多重危機中的機遇,通過低碳經(jīng)濟創(chuàng)新所形成的新的競爭優(yōu)勢,把那些還在“高碳經(jīng)濟”發(fā)展道路上行進的發(fā)展中國家遠遠拋在后面。
電子商務是以電子及電子技術(shù)為手段,以信息網(wǎng)絡(luò)為載體,以商務為核心,把原來傳統(tǒng)商業(yè)模式中的各項活動轉(zhuǎn)移到互聯(lián)網(wǎng)上來,打破國家與地區(qū)有形無形的壁壘,使生產(chǎn)企業(yè)達到全球化、網(wǎng)絡(luò)化、無形化、個性化。與傳統(tǒng)商業(yè)模式相比,電子商務具有電子化、低能耗、低排放的特點,突破了時間、空間與能源的限制,因而符合低碳經(jīng)濟理念,更具有發(fā)展低碳經(jīng)濟的潛力。
二、電子商務促進國際貿(mào)易方式的變革
電子商務是國際貿(mào)易發(fā)展的必然,,其商務模式主要有在線展覽、電子采購、網(wǎng)絡(luò)商品交易、網(wǎng)絡(luò)貿(mào)易、在線支付等。與傳統(tǒng)的貿(mào)易方式相比較,電子商務在步驟上更簡單,幫助外貿(mào)企業(yè)改革國際貿(mào)易流程,簡化了國際貿(mào)易程序,縮短了國際貿(mào)易的時間和距離,大大提高了國際貿(mào)易的效率,實現(xiàn)了國際貿(mào)易活動的無紙化、簡易化、信息化、智能化和全球化,形成新的國際貿(mào)易流程管理模式,是國際貿(mào)易方式劃時代的變革,
隨著電子商務的應用與發(fā)展,外貿(mào)企業(yè)的競爭環(huán)境發(fā)生新的變化。信息成為企業(yè)最重要的資源,信息要素成為勞動力、資金、技術(shù)三大傳統(tǒng)生產(chǎn)要素之外的至關(guān)重要的新的競爭要素。外貿(mào)企業(yè)如能在信息競爭上取得優(yōu)勢,則會提高其獲得市場份額和爭奪利潤的核心能力。企業(yè)對市場的快速反應成為新的競爭規(guī)則,速度己成為企業(yè)贏得競爭的關(guān)鍵。另外,電子商務環(huán)境催生了“虛擬聯(lián)盟企業(yè)”,并迅速成為新的國際貿(mào)易經(jīng)營主體。其出現(xiàn)促使外貿(mào)企業(yè)之間的競爭模式由單個企業(yè)的競爭轉(zhuǎn)變?yōu)榛谡麄€供應鏈的競爭,電子化成為競爭的主要手段,競爭方式也轉(zhuǎn)向更深層次的合作式競爭,即為競爭而合作。
三、現(xiàn)代外貿(mào)企業(yè)應用電子商務中存在的問題
在信息化、網(wǎng)絡(luò)化浪潮的推動下,電子商務目前已經(jīng)成為我國外貿(mào)企業(yè)進行競爭與創(chuàng)新的有力手段。在外貿(mào)企業(yè)應用電子商務開展網(wǎng)絡(luò)貿(mào)易的實踐中,存在以下一些代表性問題:
1.電子商務立法尚有滯后與不足。在虛擬社區(qū)中進行的電子商務活動,其交易平臺、交易形式等與傳統(tǒng)商務活動有很大區(qū)別,商業(yè)關(guān)系中出現(xiàn)了許多新的法律問題,如電子證據(jù)、電子合同要約與承諾、合同生效時間、電子簽名認證等的確認,都對現(xiàn)行的傳統(tǒng)的民法、商法提出了挑戰(zhàn)。目前在電子商務領(lǐng)域我國已頒布了相關(guān)的法律法規(guī),但相對于電子商務的發(fā)展,該領(lǐng)域的法律法規(guī)的制定與實行卻是滯后的。我國1999年出臺的《合同法》,率先公布以數(shù)據(jù)電文形式訂立合同擁有法律效力;2005年4月1日《電子認證服務管理辦法》、《中華人民共和國電子簽名法》才開始實施。電子商務立法的滯后,嚴重制約了我國電子商務的發(fā)展。除上述提及之外,我國目前還沒有其他完整的電子商務方面的法律。實際操作中,網(wǎng)上交易糾紛的調(diào)解,電子支付安全,網(wǎng)絡(luò)犯罪的法律界定包括欺詐仿冒、盜竊、網(wǎng)上證據(jù)采集及其有效性,隱私權(quán)保護,與紙介質(zhì)書面形式的法律如何銜接,爭端發(fā)生后工商、稅務、銀行、海關(guān)等各部門之間如何協(xié)調(diào)職責進行公平、合法解決問題等方面都存在一定的局限性。相關(guān)法律法規(guī)的缺失與不健全,導致消客戶、企業(yè)之間引發(fā)很多糾紛,也影響了我國電子商務的進一步發(fā)展。
2.網(wǎng)上交易流程的安全性尚待提高。通過網(wǎng)絡(luò)進行交易,在網(wǎng)絡(luò)平臺上實現(xiàn)信息流、物流和資金流的傳遞,電子商務使得外貿(mào)業(yè)務沒有國界并到處充滿貿(mào)易商機。能否在金融系統(tǒng)交易與交付中保證消費者和商家的利益完整性、可靠性及安全性,是電子商務實現(xiàn)其潛在價值的重要前提。由于互聯(lián)網(wǎng)本身的開放性和網(wǎng)絡(luò)技術(shù)發(fā)展的限制性,網(wǎng)上交易可能隨時面臨著來自于企業(yè)、消費者、銀行或金融機構(gòu)、軟件供應商、黑客、電腦生產(chǎn)商等各種不同群體的不可預測、不可控制的風險,引發(fā)一系列安全性問題。如商業(yè)機密的泄露與竊取、商業(yè)信息的篡改與破壞、身份的冒用濫用、網(wǎng)絡(luò)釣魚式攻擊等等。其中,核心及關(guān)鍵問題便是在線交易付款的安全性,這不僅涉及到技術(shù)問題,同時也涉及到管理和法律的問題。有些用戶不愿進行網(wǎng)上交易,正是源于對網(wǎng)上交易的安全性與可靠性不完全信任。因此,能否構(gòu)建安全可靠的在線支付制度,直接關(guān)系到參與電子商務活動各方的利益,也是用戶所關(guān)注的焦點,這需要組織專門力量加以解決。目前我國外貿(mào)企業(yè)網(wǎng)上交易的安全性問題尚未得到較為妥善的處理,如沒有強大的網(wǎng)絡(luò)防火墻,銀行的電子儲蓄系統(tǒng)密碼一般僅能設(shè)立6位數(shù)字等,這些薄弱的技術(shù)防范措施給電子商務在外貿(mào)領(lǐng)域內(nèi)的進一步應用產(chǎn)生了較大的制約。
3.外貿(mào)企業(yè)的網(wǎng)絡(luò)建設(shè)與應用仍處較低水平。在應用與發(fā)展電子商務方面,相對于國內(nèi)傳統(tǒng)企業(yè),我國外貿(mào)企業(yè)一直走在前列。雖然我國絕大多數(shù)外貿(mào)企業(yè)都連接了國際互聯(lián)網(wǎng),但企業(yè)對電子商務的投入不足,信息化建設(shè)仍處于基礎(chǔ)階段,應用領(lǐng)域非常局限。信息化建設(shè)是電子商務運行的基礎(chǔ)。據(jù)有關(guān)資料顯示,信息化投入占銷售收入的比重,國外中小企業(yè)通常為3%左右,而我國中小企業(yè)此比重超過1%的不足30%。外貿(mào)企業(yè)的信息化投入主要用于繳納入網(wǎng)費、購買硬件、基礎(chǔ)設(shè)施方面,用于日常維護及業(yè)務的咨詢費用很少。信息化基礎(chǔ)的薄弱,直接導致外貿(mào)企業(yè)對電子商務的應用水平尚處于較低層次。我國外貿(mào)企業(yè)一般通過內(nèi)聯(lián)網(wǎng)進行企業(yè)內(nèi)部的信息查詢,但多數(shù)企業(yè)對內(nèi)部網(wǎng)絡(luò)建設(shè)不夠重視,建設(shè)緩慢且業(yè)務管理網(wǎng)絡(luò)化比例低,一些企業(yè)甚至還處在單機與互聯(lián)網(wǎng)相連階段,相互之間信息閉塞,不能實現(xiàn)資源共享。在外聯(lián)網(wǎng)的使用上,外貿(mào)企業(yè)通常是利用國際互聯(lián)網(wǎng)廣告來宣傳企業(yè)及產(chǎn)品、進行一般的信息查詢、通過郵件收發(fā)相互聯(lián)系,多數(shù)局限在網(wǎng)絡(luò)推廣與營銷的低層面上。而利用網(wǎng)絡(luò)傳輸訂單、完成國際貿(mào)易整個交易流程,真正實現(xiàn)電子商務活動的企業(yè)只占少數(shù)。目前這種“在線洽談,離線交易”的特點,反映出我國外貿(mào)企業(yè)利用國際互聯(lián)網(wǎng)實現(xiàn)商務往來的能力和層次急需提高。
四、對策與建議
針對我國外貿(mào)企業(yè)在應用電子商務中所存在的上述問題,建議采取以下幾方面措施加以解決。
1.制定和完善電子商務領(lǐng)域的法律體系。近年我國已頒布了電子商務領(lǐng)域的相關(guān)法律法規(guī),對前期出現(xiàn)的一些典型性問題進行了規(guī)范,促進了電子商務健康良性的發(fā)展。但是,針對當前電子商務領(lǐng)域存在的諸多問題,我們要借鑒發(fā)達國家的先進經(jīng)驗,結(jié)合我國目前實際情況,進一步健全和完善相關(guān)的法律法規(guī),給其穩(wěn)健有序的健康發(fā)展創(chuàng)造良好的法制環(huán)境。建立健全我國電子商務法律法規(guī)體系,要以下述兩個方面為重點方向:一是為適應新形勢要對現(xiàn)存的法律法規(guī)進行必要的調(diào)整和完善;二是根據(jù)目前的實際操作情況制定新的法律法規(guī)。新的電子商務法律法規(guī)必須具有以下法律功效:能有效地規(guī)范交易的流程與行為、能切實保障交易的公平與安全、能清晰地界定所屬的責任。建議參照聯(lián)合國國際委員會制定的統(tǒng)一通用規(guī)則――《電子商務示范法》,我國應盡快制定一部與國際法保持一致的比較規(guī)范與完善的《電子商務法》,將電子商務的活動過程通過法律加以規(guī)劃引導,力求維護各方的合法權(quán)益。在制定新的法律法規(guī)過程中應注意以下幾個問題:首先,要發(fā)揮政府的協(xié)調(diào)功能,組織各方參與對話與協(xié)商,傾聽各方的意見與建議,保證法律法規(guī)的合理、透明與公平。其次,法律法規(guī)不僅要適用于目前情況,更要有靈活性和前瞻性,對新情況、新問題可以修改和補充。最后,電子商務政策既要與國內(nèi)諸如在電信、競爭等方面的政策相協(xié)調(diào)、不互相抵觸;又必須能夠與國際接軌,這樣才能站在更高的層次切實保護電子商務活動中我方的合法權(quán)益。
2.加強網(wǎng)絡(luò)管理和技術(shù)水平的提高。網(wǎng)絡(luò)安全涉及到每個商家和消費者的切身利益,因此,必須加強網(wǎng)絡(luò)管理,維護網(wǎng)絡(luò)安全,減少網(wǎng)上犯罪行為,維護廣大用戶的合法權(quán)益與經(jīng)濟安全。首先,應建立需要保障網(wǎng)絡(luò)信息安全的思想,提高對其重視程度的認識。個人用戶要養(yǎng)成定期修改密碼等安全上網(wǎng)的習慣,企業(yè)用戶應建立網(wǎng)絡(luò)信息系統(tǒng)的安全服務體系以防數(shù)據(jù)被竊取、偽造和破壞。其次,我國網(wǎng)絡(luò)安全管理需要在中央層面建立一個具有高度權(quán)威的組織,領(lǐng)導信息安全管理的工作,統(tǒng)一協(xié)調(diào)各部門的職能,建立網(wǎng)絡(luò)風險防范機制;同時加快立法進程,健全法律法規(guī),從法律層面上約束進行電子商務貿(mào)易的商家和消費者。最后,加快信息安全人才的培養(yǎng),強化網(wǎng)絡(luò)技術(shù)創(chuàng)新。我國在計算機軟硬件技術(shù)上相對落后,一些核心技術(shù)尚未掌握,對信息安全造成很大的安全隱患。因此我國應加大對科研教育的支持與投入,進行信息安全關(guān)鍵技術(shù)攻關(guān),開創(chuàng)行業(yè)內(nèi)培訓與資格認證機構(gòu),加強國內(nèi)外經(jīng)驗技術(shù)交流,及時掌握國際上最先進的安全防范手段和技術(shù)措施,從而建立有中國特色的、自主的、高水平的網(wǎng)絡(luò)信息安全技術(shù)體系。
3.提高企業(yè)的信息化建設(shè)與電子商務應用水平。隨著信息技術(shù)的日新月異,電子商務對整個社會的經(jīng)濟發(fā)展、生活、文化帶來了巨大變革。在參加國際貿(mào)易的眾多主體中,企業(yè)是最重要的支柱力量,占有最核心地位,而企業(yè)能進行高效電子商務活動的保障就是必須具備高端的信息化水平。因此,加強我國企業(yè)的信息化建設(shè)迫在眉睫,勢在必行。首先,政府應充分引導和促進企業(yè)觀念的轉(zhuǎn)變,提高企業(yè)的電子商務意識,推廣成功運用電子商務的企業(yè)經(jīng)驗,提高其示范作用,創(chuàng)造良好的輿論環(huán)境。作為外貿(mào)主體的企業(yè)應加大信息化基礎(chǔ)設(shè)施的投入,提高信息化投入在銷售收入中的比重,大力發(fā)展現(xiàn)代信息技術(shù),建立包括信息及信息處理模型、統(tǒng)計技術(shù)等完善的信息系統(tǒng),加強基礎(chǔ)網(wǎng)絡(luò)及網(wǎng)站建設(shè),以此改造和提升傳統(tǒng)產(chǎn)業(yè),使企業(yè)獲得持久的發(fā)展動力。與此同時,外貿(mào)企業(yè)還應大力提高國際互聯(lián)網(wǎng)的綜合應用,不僅利用其基本功能完成信息的交流和溝通,更應充分利用其商務功能,參與各種電子商務活動。完善的電子商務不僅包括網(wǎng)上宣傳、網(wǎng)上洽商,還包括網(wǎng)上簽約、電子支付、無形產(chǎn)品和服務的網(wǎng)上交割、網(wǎng)上售后服務等環(huán)節(jié)。要想實現(xiàn)電子商務的信息化與貿(mào)易實務的有機結(jié)合,需要企業(yè)去挖掘或培訓既精通電子商務操作與又熟悉國際貿(mào)易實務的復合人才,這樣才能在中高級層面上全方位地開展及應用B2B的電子商務,依托互聯(lián)網(wǎng)平臺開展協(xié)同式電子交易,使其完全達到商務的功能,提高交易效率,降低交易成本。
(本論文為遼寧省教育廳科技研究項目資助:W2014042)
參考文獻:
[1] 劉鳳偉,成宇.電子商務與低碳經(jīng)濟.山東紡織經(jīng)濟[J],2011(1)
[2] 王玲莉.低碳經(jīng)濟背景下中國貿(mào)易結(jié)構(gòu)轉(zhuǎn)型研究.社會科學輯刊[J],2012(3)
[3] 孫寧.電子商務發(fā)展面臨的網(wǎng)絡(luò)安全問題研究.現(xiàn)代經(jīng)濟信息[J],2013(1)
[4] 王諦.國際貿(mào)易方式的創(chuàng)新及其對中國經(jīng)濟的影響.中國經(jīng)貿(mào)學術(shù)版[J],2010(6)
[5] 吳妍琳.電子商務對外貿(mào)企業(yè)競爭優(yōu)勢的影響研究.暨南大學碩士學位論文[D],2009
[6] 張淑平.電子商務對國際貿(mào)易的影響及對策研究.曲阜師范大學碩士學位論文[D],2014
[7] 王玲莉.淺析電子商務的應用對外貿(mào)企業(yè)的影響.商場現(xiàn)代化[J],2007(5)
一、電子商務信息安全的主要問題
電子商務主要依托Internet平成交易過程中雙方的身份、資金等信息的傳輸。由于Internet的開放性、共享性、無縫連通性,安全問題是電子商務的主要技術(shù)問題,安全問題是商家和消費者以及銀行最關(guān)心的問題,主要面臨以下威脅:一是信息篡改,電子的交易信息在網(wǎng)絡(luò)傳輸過程中,信息可能會被人、被第三者非法篡改,導致信息失去了真實性和完整性。二是信息破壞,由于一些硬件和軟件問題或者是一些惡意病毒使一些信息遭到破壞。三是身份識別,若沒有身份識別,交易的一方就可以對交易內(nèi)容否認或者是欺詐,或者會有第三方來冒充交易的一方。四是信息泄密,即交易雙方進行交易的內(nèi)容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法
使用。
二、問題的成因分析
信息安全問題的出現(xiàn),既有管理原因,也有技術(shù)原因,既有本身缺陷,也有外來因素所致,歸結(jié)起來,主要有以下四方面的原因:
1.電腦黑客
黑客對于系統(tǒng)和編程語言大多有著深刻的認識,它是指對于電腦系統(tǒng)的非法入侵者,他們對于網(wǎng)絡(luò)存在著一定程度的攻擊性,也進一步惡化了網(wǎng)絡(luò)環(huán)境。
2.計算機病毒
計算機病毒的主要危害在于激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用,占用磁盤空間和對信息的破壞,搶占系統(tǒng)資源,影響計算機運行速度,出現(xiàn)計算機病毒錯誤與不可預見的危害。人們不可能花費大量時間去分析數(shù)萬種病毒的錯誤所在,大量含有未知錯誤的病毒擴散傳播,其后果是難以預料的。計算機病毒的兼容性影響系統(tǒng)運行。兼容性是計算機軟件的一項重要指標,兼容性好的軟件可以在各種計算機環(huán)境下運行,反之兼容性差的軟件則對運行條件有限制,要求機型和操作系統(tǒng)版本等。病毒的編制者一般不會在各種計算機環(huán)境下對病毒進行測試,因此病毒的兼容性較差,常常導致死機,并且對用戶造成嚴重的心理
壓力。
3.技術(shù)因素
網(wǎng)絡(luò)軟件設(shè)計時不可能完美無缺,總會出現(xiàn)一些缺陷和漏洞。這些漏洞和缺陷正是黑客進行攻擊的首選目標,而且目前還沒有一些技術(shù)能提前全部防范這些病毒和黑客。
4.管理因素
用戶安全意識淡薄、管理不善是當前存在的一個嚴重的問題。主要有以下三點:一是一些國家如中國缺乏強有力的權(quán)威管理機構(gòu),網(wǎng)絡(luò)安全立法滯后,安全管理部門受人力、技術(shù)等條件的限制影響著安全管理措施的有效實施;二是缺乏安全審計,安全審計是把與安全相關(guān)的事件記錄到安全日志中,但是現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)大多數(shù)缺少安全審計,安全日志形同虛設(shè);三是安全意識淡薄,人們對信息安全認識不夠,過分依賴信息安全產(chǎn)品,缺乏細致的內(nèi)部網(wǎng)絡(luò)管理機制,一些用戶警惕性不高,操作麻痹,甚至把自己賬號隨意交給他人。
三、常用網(wǎng)絡(luò)安全技術(shù)
1.反病毒軟件
反病毒軟件已成為人們抵御病毒進攻的有力武器。目前的反病毒軟件具有幾項技術(shù)特色。一是防火墻技術(shù),其目的是保護內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊,及防止內(nèi)部網(wǎng)絡(luò)用戶向外泄密,為用戶提供一個實時監(jiān)控防止病毒發(fā)作的工具。它對用戶訪問的每一個文件進行病毒檢測,確認無毒后才會讓系統(tǒng)接管進行下一步的工作。目前,防火墻技術(shù)主要分為分組過濾和服務兩種類型。二是反病毒軟件在線升級的方式。三是統(tǒng)一的防病毒管理。四是嵌人式查毒技術(shù)的形成,它將殺毒引擎直接嵌掛到IE瀏覽器和流行辦公軟件組件當中,使其與可能發(fā)生病毒侵擾的應用程序有機地結(jié)合為一體,在占用系統(tǒng)資源最小的情況下查殺病毒。
2.密碼技術(shù)
密碼技術(shù)包括加密和解密兩個方面。密碼技術(shù)可對信息進行加密解密處理,實現(xiàn)信息的安全,這兩者之間是密不可分的。加密是指采用數(shù)學方法對原始信息進行加工,使得加密后在網(wǎng)絡(luò)上公開傳輸?shù)膬?nèi)容對于非法接收者只是毫無意義的字符,對于合法的接收者,因其掌握正確的密鑰,可以通過解密得到原始內(nèi)容。密碼系統(tǒng)至少包含明文、密文、密碼技術(shù),密鑰幾個部分。
3.入侵檢測技術(shù)
入侵檢測技術(shù)是對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別和相應處理的系統(tǒng)。入侵檢測技術(shù)針對包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為,是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
入侵檢測通過執(zhí)行以下任務來實現(xiàn):監(jiān)視、分析用戶及系統(tǒng)活動,系統(tǒng)構(gòu)造和弱點的審計,識別反映已知進攻的活動模式并向相關(guān)人士報警,異常行為模式的統(tǒng)計分析,評估重要系統(tǒng)和數(shù)據(jù)文件的完整性,操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。
4.虛擬專用網(wǎng)(VPN)技術(shù)
虛擬專用網(wǎng)(VPN)技術(shù)是通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常,VPN是對企業(yè)內(nèi)部網(wǎng)的擴展,通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
四、提高電子商務信息安全的對策探討
1.開展網(wǎng)絡(luò)安全立法和執(zhí)法
網(wǎng)絡(luò)安全立法要吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進經(jīng)驗,結(jié)合我國國情對現(xiàn)行法律體系進行修改與補充,使法律體系更加科學和完善。要建立有利于信息安全案件訴訟與公、檢、法機關(guān)辦案的制度,提高執(zhí)法效率和質(zhì)量。要對違犯國家法律法規(guī),對計算機信息存儲系統(tǒng)、應用程序或傳輸?shù)臄?shù)據(jù)進行刪除、修改、增加、干擾的行為依法懲處。
2.提高網(wǎng)絡(luò)信息安全意識
以有效方式和途徑在全社會普及網(wǎng)絡(luò)安全知識,提高公民的網(wǎng)絡(luò)安全意識與自覺性,學會維護網(wǎng)絡(luò)安全的基本技能,并在思想上把信息資源共享與信息安全防護有機統(tǒng)一起來,樹立維護信息安全就是保生存、促發(fā)展的觀念。
3.加強網(wǎng)絡(luò)安全管理
建立信息安全領(lǐng)導機構(gòu),有效統(tǒng)一、協(xié)調(diào)和研究未來趨勢,制定宏觀政策,實施重大決定。嚴格執(zhí)行《中華人民共和國計算機信息系統(tǒng)安全保護條例》與《計算機信息網(wǎng)絡(luò)安全保護管理辦法》,明確責任,規(guī)范崗位職責,制定有效防范措施,并且嚴把用戶入網(wǎng)關(guān),合理設(shè)置訪問權(quán)限等。
4.加快網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)
加大對有良好基礎(chǔ)的科研教育基地的支持和投入,加強與國外的經(jīng)驗技術(shù)交流,及時掌握國際上最先進的安全防范手段和技術(shù)措施,確保在較高層次上處于主動,加強對內(nèi)部人員的網(wǎng)絡(luò)安全培訓,防止堡壘從內(nèi)部攻破,使高素質(zhì)的人才在高水平的教研環(huán)境中迅速成長和提高。
一、信息化發(fā)展的背景
1、信息系統(tǒng)對業(yè)務的覆蓋率逐步提高
自上個世紀90年代后,互聯(lián)網(wǎng)應用的普及和信息經(jīng)濟的興起,帶動了電子政務、電子商務和社會信息化的全面發(fā)展。
僅從政府角度看,我國電子政務經(jīng)過十多年的發(fā)展,形成了一定規(guī)模的信息化基礎(chǔ)設(shè)施,建設(shè)了大量的電子政務應用系統(tǒng),正在經(jīng)歷由傳統(tǒng)運行方式向以網(wǎng)絡(luò)為基礎(chǔ)的信息化運行方式轉(zhuǎn)移的過程。以北京市為例,“十五”期間,全市1186種政府業(yè)務,運用信息化實現(xiàn)的有591種,建成726個業(yè)務支撐系統(tǒng),50%的政府業(yè)務通過信息化手段實現(xiàn);各級政府和業(yè)務部門高度重視業(yè)務應用系統(tǒng)的開發(fā)和應用,約90%的市、區(qū)政府部門建設(shè)了局域網(wǎng),超過90%的政府部門達到了人均1臺計算機,有90%的政務部門已建成或正在建辦公自動化系統(tǒng),其中無紙化程度達到50%以上的部門占80%。①
2、基于網(wǎng)絡(luò)平臺化的信息共享和業(yè)務協(xié)同
互聯(lián)網(wǎng)技術(shù)和應用的快速發(fā)展,無論是政府還是企業(yè)的信息化,都受到戰(zhàn)略管理和服務客戶的強烈驅(qū)動,在不斷地擴展信息化的應用領(lǐng)域和內(nèi)容,朝著基于統(tǒng)一網(wǎng)絡(luò)管理平臺,跨部門信息共享和業(yè)務協(xié)同的方向發(fā)展。
政府各機構(gòu)在履行經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務四項基本職能過程時,正越來越廣泛地采用信息技術(shù)來實現(xiàn)。由于應用目標的整體性,要求政府業(yè)務系統(tǒng)、政府信息具有集成性和共享性。例如,北京市業(yè)已建立了連接各級政府機構(gòu)政務系統(tǒng)的政務內(nèi)網(wǎng)平臺,通過信息交換平臺和政務門戶網(wǎng)站,各級各類政府機構(gòu)可以實現(xiàn)協(xié)同辦公和信息共享。又如,北京市東城區(qū)首創(chuàng)的網(wǎng)格化城市管理模式,通過綜合的信息化手段,實現(xiàn)了對城市各類基礎(chǔ)部件的綜合管理。再如,“首都之窗”網(wǎng)站群作為政府門戶,正把更加全面的政府公共服務納入到信息化應用范圍。②
企業(yè)信息化應用模式早已脫離了個別業(yè)務系統(tǒng)孤立應用的階段,步入了企業(yè)戰(zhàn)略協(xié)同系統(tǒng)應用階段,其中erp(enterprise resource planning,即企業(yè)資源計劃)最具代表性。erp是20世紀90年代提出來的,目前已發(fā)展為企業(yè)管理信息系統(tǒng)中最為流行的一種形式,幾乎是企業(yè)信息化的代名詞。erp系統(tǒng)以經(jīng)營資源最佳化為出發(fā)點,全面整合企業(yè)的供銷存、財務、計劃、質(zhì)量、制造等核心業(yè)務,并最大限度提升企業(yè)各項經(jīng)營資源的應用效率。
實現(xiàn)統(tǒng)一的網(wǎng)絡(luò)平臺管理,進行系統(tǒng)協(xié)同整合,核心的內(nèi)容就是要進行應用系統(tǒng)及數(shù)據(jù)集成,建立可以共享的統(tǒng)一數(shù)據(jù)管理結(jié)構(gòu)。建立一致的數(shù)據(jù)規(guī)格標準和建立統(tǒng)一的數(shù)據(jù)管理、應用規(guī)則,是實現(xiàn)應用系統(tǒng)和數(shù)據(jù)集成的主要途徑。如何建設(shè)與上述信息化環(huán)境配套的電子檔案的統(tǒng)一管理、共享利用的機制、模式,網(wǎng)絡(luò)環(huán)境下的檔案館如何構(gòu)建和運作,都是需要深入探討的問題。
3、信息資源戰(zhàn)略成為信息化核心內(nèi)容
2004年12月國家頒布了《關(guān)于加強信息資源開發(fā)利用工作的若干意見》,標志著我國的信息化步入了以開發(fā)利用信息資源為重心的發(fā)展階段,這既是信息化向其本源的回歸,也是我國信息化發(fā)展到一定程度的結(jié)果。
從國家層面來看,信息資源開發(fā)利用,就是借助于信息化手段,為提高政府公共服務能力、增強政府能力建設(shè)、推動和諧社會發(fā)展為目的,形成政府信息資源、社會信息資源綜合開發(fā)利用的局面,同時推動信息資源產(chǎn)業(yè)發(fā)展,促進我國經(jīng)濟社會的可持續(xù)發(fā)展。政務信息資源的開發(fā)利用緊緊圍繞政務公開、重大基礎(chǔ)信息庫和重點業(yè)務應用系統(tǒng)的建設(shè)進行。社會信息資源開發(fā)利用重點是強化農(nóng)業(yè)、科技、教育、衛(wèi)生、社會保障、檔案等領(lǐng)域的公益性開發(fā)和利用。同時,國家將研究制定鼓勵信息資源產(chǎn)業(yè)發(fā)展政策;健全信息資源市場監(jiān)管制度,完善網(wǎng)絡(luò)環(huán)境下的著作權(quán)保護,提高審批效率,擴大登記備案和事后監(jiān)督的范圍;研究制定政務信息資源社會化增值開發(fā)利用的財政政策和信息資產(chǎn)管理辦法;制定信息資源開發(fā)利用標準體系表,優(yōu)先制定并大力宣傳貫徹信息資源分類、共享、基礎(chǔ)編碼等國家標準;推進公共文獻基礎(chǔ)數(shù)據(jù)庫建設(shè),積極開展社會化服務。③
從機構(gòu)層面,信息資源開發(fā)利用是信息資源服務于戰(zhàn)略決策、滿足客戶信息需求和提高業(yè)務管理信息提供水平的客觀發(fā)展需要。從信息化發(fā)展的進程上來講,信息系統(tǒng)總是由滿足業(yè)務處理、運行需要開始,信息資源的開發(fā)利用遵循著數(shù)據(jù)—信息—知識的過程。機構(gòu)層面的信息資源開發(fā)利用總是從系統(tǒng)集成、數(shù)據(jù)集成開始,在整合的數(shù)據(jù)倉庫基礎(chǔ)上進行數(shù)據(jù)的挖掘和滿足不同需要的數(shù)據(jù)應用。這實際上類似于我們傳統(tǒng)的檔案管理利用流程,應當把它納入到信息化條件下的檔案管理內(nèi)容范疇。
二、信息化條件下檔案管理的若干問題
信息化系統(tǒng)正在演化成為各類組織業(yè)務運行的基本方式,網(wǎng)絡(luò)平臺正逐漸成為政府機構(gòu)、企業(yè)信息運動的支撐平臺。對檔案管理活動而言,各類組織運行平臺的變化,給我們提出了很多基于數(shù)字化概念的新問題,這些問題需要我們?nèi)ド钊胨伎?,探索符合信息化特點的新思路和新方法。
1、電子文件長久保存和長期可用問題
人們把以數(shù)字化方式記錄的文件,統(tǒng)稱為電子文件。電子文件在性質(zhì)、形式上與紙質(zhì)文件的不同,無疑是檔案界最先感受到和最先關(guān)注的信息化帶來的變化和影響。由模擬方式轉(zhuǎn)變成數(shù)字化的記錄方式,主要的問題有三個:一是電子文件的長久保存問題,數(shù)字化信息復雜多樣的編碼格式、讀寫方法和載體材料,都給電子文件的長久保存帶來困難。二是電子文件的證據(jù)力和法律效力問題,這包含了對數(shù)字方式所記錄信息的真實性以及獲得、保持信息真實性方式方法的可行性、可信性問題。三是數(shù)字化信息與載體的依附關(guān)系問題,數(shù)字化信息的組織是通過編碼形式完成的,人們處理、傳輸、存儲和顯現(xiàn)數(shù)字化信息,要借助能處理這些編碼的信息技術(shù)設(shè)備間接完成,因此,數(shù)字化信息依賴于元數(shù)據(jù)、數(shù)據(jù)格式、軟件系統(tǒng)和硬件系統(tǒng)才能夠被處理、存儲和顯現(xiàn)。綜上所述,電子文件的復雜性、變化性、多樣性是過去紙張載體所沒有的。
歸納起來講,目前解決電子文件真實性、長久保存、長期可用的途徑主要有如下幾類方法:一是通過法規(guī)約束電子文件格式種類,如我國的《電子文件歸檔與管理規(guī)范》所選擇的管理方式,方法就是盡可能地選擇比較通用通行的少量幾種文件格式,通過降低電子文件格式種類繁復性,增加電子文件長期保存的可靠性、可控性。二是通過對電子文件存在的系統(tǒng)相關(guān)要素的規(guī)范設(shè)計和過程控制,以保證電子文件的真實性和可靠性,包括系統(tǒng)地記錄背景數(shù)據(jù)和規(guī)范、控制信息流轉(zhuǎn)環(huán)節(jié)等方式。三是提高載體材料壽命或?qū)﹄娮游募幚?、存儲、傳遞和應用所依賴的軟硬件環(huán)境進行備份的方式。四是分離數(shù)字信息的語義表示與格式表示,形成不依賴于特定的通用信息存在形式,不會出現(xiàn)因為數(shù)據(jù)格式及軟硬件環(huán)境的變遷而造成電子文件不可使用的情況,如以xml作為標識規(guī)范的方法,等等。
為了解決上述問題,國內(nèi)外都作了相當多的探討和嘗試。首先,各國都傾注力量,制定系統(tǒng)成套的和普遍適用于各類信息系統(tǒng)的電子文件管理需求規(guī)范和檔案系統(tǒng)標準,力求把問題解決在電子文件的形成階段,達到電子文件永久保存的目的。如澳大利亞的國家“數(shù)字化保管動議”, 通過建立文件管理國家標準、文件管理元數(shù)據(jù)規(guī)范、文件系統(tǒng)設(shè)計與實施程序等標準規(guī)范,保障電子文件的長久保存。其次,從數(shù)字檔案的永久性入手,研究具有長久保存價值的數(shù)字檔案的系統(tǒng)化保存、保管方式,如美國國家檔案與文件署(nara)于1998年開始,耗時6年時間對永久保存電子文件的可能性、保存技術(shù)、保存系統(tǒng)的功能需求進行了全面的論證和試驗⑤。第三,研究數(shù)字化適用載體在各種狀況下的長久保存問題,如荷蘭2000年啟動了“數(shù)字保存試驗”項目,針對政府常用的電子文件類型,進行了遷移、采用xml格式和仿真三種數(shù)字保護方法的試驗,評價各種方法的效果、局限性、費用及應用的可能性。第四,在我國,通常采用的方式是,檔案部門站在長久保存的立場,通過歸檔要求的約束,保障電子文件的可靠性,如《cad電子文件光盤存儲、歸檔與檔案管理要求》(gb/t17678.1-2-1999)、《電子文件歸檔與管理規(guī)范》(gb/t18894-2002)等,省市地方和行業(yè)主管機構(gòu)也制定了相關(guān)規(guī)范或標準,如建設(shè)部的《城建電子文件歸檔與電子檔案管理規(guī)范》。
2、多種類型數(shù)字化信息的檔案化問題
在電子文件數(shù)量快速增長的同時,其種類也日益豐富,包括文本文件、電子報表、電子郵件、圖形、圖像文件、視頻文件、網(wǎng)頁文件、數(shù)據(jù)庫文件等。數(shù)字化信息的復雜多樣,具有傳統(tǒng)紙質(zhì)文件所不具有的性質(zhì),因此,這些數(shù)字化信息的檔案化在總體上處于隨機狀態(tài),有些數(shù)據(jù)累計存儲在業(yè)務數(shù)據(jù)庫中,有些被定期銷毀,有些則被遷移到臨時載體上。如果不能建立系統(tǒng)型的管理規(guī)則,很可能造成不可挽回的損失。
導致數(shù)字化信息檔案化問題的原因歸納起來有以下幾種情況:
(1)與傳統(tǒng)文件運轉(zhuǎn)流程無關(guān)。長久以來,人們已經(jīng)形成了紙質(zhì)文件檔案化的系統(tǒng)化的方法體系,主要是依靠業(yè)務流程的自然發(fā)展進程,在業(yè)務流程終結(jié)時,把文件歸檔轉(zhuǎn)入檔案系統(tǒng),以備今后工作查考。或者對文件的價值進行鑒定,判別文件對形成者的意義大小以及對社會的意義大小,在規(guī)定的時間階段,把分布在各個機構(gòu)的文件匯集到檔案館集中保存,以長久留存社會記憶,保障社會發(fā)展的延續(xù)性。久而久之,文件的檔案化形成了對業(yè)務運轉(zhuǎn)流程及其規(guī)則的依賴性,當數(shù)字化信息因不能納入一般的業(yè)務流程,或業(yè)務流程因信息化而發(fā)生變化時,將會導致電子文件在檔案化過程中范圍的缺失。比如,電子郵件系統(tǒng)已經(jīng)成為絕大多數(shù)政府或企業(yè)網(wǎng)絡(luò)系統(tǒng)的必備子系統(tǒng),電子郵件也早已成為人們在進行工作交往時的基本工具,很多國家或組織也都制定了電子郵件的管理制度,但電子郵件的檔案化問題依然處于隨機管理狀態(tài),主要原因就是電子郵件聯(lián)系方式的公私性質(zhì)不容易界定,不容易納入到正常的業(yè)務運轉(zhuǎn)流程之中。
(2)非文本型數(shù)據(jù)。在紙質(zhì)檔案管理時期,由于非文本型數(shù)據(jù)的數(shù)據(jù)單元不能完整地表達一個事項,數(shù)據(jù)結(jié)構(gòu)、信息組織方式與文本方式不同,并且很多結(jié)構(gòu)化的數(shù)據(jù)庫數(shù)據(jù)經(jīng)常處在變動之中,無法納入到文本文件的管理體系,往往不進行檔案化處理。信息化的發(fā)展,使得電子文件的數(shù)量與日俱增,但檔案機構(gòu)往往比較注重對文本型電子文件的歸檔和收集,對非文本型數(shù)據(jù)庫數(shù)據(jù)、多媒體數(shù)據(jù)的歸檔重視不夠,也沒有切實可行的檔案化措施。而且,檔案界還存在著一個概念誤區(qū),認為數(shù)據(jù)庫文件本來就有自身的數(shù)據(jù)結(jié)構(gòu),并且處在存儲狀態(tài),沒有必要再轉(zhuǎn)化為所謂的檔案文件。目前,大部分關(guān)系型數(shù)據(jù)庫,都是作為支持業(yè)務流程的存儲機制來建設(shè)的,從性質(zhì)上來講,可以認為是“暫存數(shù)據(jù)”,而且,這些數(shù)據(jù)往往是隨著業(yè)務過程的變化而不斷更新變化的,在結(jié)構(gòu)上又是連續(xù)性的,往往不能按事項分塊,不能按傳統(tǒng)檔案管理方式管理。但是,這些數(shù)據(jù)往往是一個業(yè)務系統(tǒng)的核心資源,
支撐著一個機構(gòu)的業(yè)務運行,絕大多數(shù)具備檔案價值,如果不盡快建立有效的檔案管理制度,可能會造成比較嚴重的損失。目前,有注意到非文本型數(shù)據(jù)歸檔的機構(gòu),往往采用簡單拷貝、累加存儲的方式,或者以備災數(shù)據(jù)庫的方式同構(gòu)備份數(shù)據(jù)。這些方式可能不能真正解決數(shù)量巨大的非文本數(shù)據(jù)檔案化問題。 (3)網(wǎng)頁類型文件?;ヂ?lián)網(wǎng)的普及,使數(shù)量巨大的web文件存在于流動的網(wǎng)絡(luò)信息海洋之中。我國的各類機構(gòu)為了與外部環(huán)境的聯(lián)系與溝通,建設(shè)屬于機構(gòu)自己的網(wǎng)站的比率很高。據(jù)國務院信息化工作辦公室的資料顯示,到2005年底,我國政府域名(gov.cn)注冊量達到23752個,政府網(wǎng)站達到11995個,縣級以上門戶網(wǎng)站擁有率達到81.1%,其中部委、省級、地級和縣級政府網(wǎng)站的擁有率分別為96.1%、90.3%、94.9%和77.7%。⑥但由于網(wǎng)頁文件的內(nèi)容重復率高,數(shù)量巨大,各類機構(gòu)往往都不作檔案化處置。這種情況是否存在檔案缺失的漏洞,也是值得深入研究的。
3、雙軌制與雙套制問題
隨著信息化的深入發(fā)展,各類機構(gòu)的信息系統(tǒng)覆蓋率不斷提高,意味著文件的處理、運行過程的雙軌制越來越趨向于單軌制,這是一個必然的趨勢。但是,在人們的檔案思維中,依然存在著對紙質(zhì)檔案的心理依賴,充滿了對電子文件的不確信感。這種情形也體現(xiàn)在國家及行業(yè)已經(jīng)頒布的電子文件管理的相關(guān)國家標準、行業(yè)標準中,規(guī)定對于具有長久保存價值的文件,要電子、紙質(zhì)形式雙套保存。
造成雙套制比較普遍的原因,從根本上講是檔案思維還停留在紙質(zhì)文件時代,對電子文件及其存在的技術(shù)環(huán)境還不熟悉、不確信,對電子文件是否能夠長久保存及長期可用缺乏認知。其次,是國家的檔案行政機構(gòu)缺乏檔案無紙化戰(zhàn)略規(guī)劃、制度設(shè)計和系統(tǒng)規(guī)范,使得對紙質(zhì)文件依賴成為制度性的選擇。包括我國在內(nèi)的很多國家,都相繼頒布了《電子簽名法》或相關(guān)法律,力求通過法律的形式,確認數(shù)字化信息在社會交往和經(jīng)濟活動中的法律地位及其具有憑證性的條件?!峨娮雍灻ā返囊饬x在于通過法律確定了電子數(shù)據(jù)可以作為法律憑證,使電子文件具有了與紙質(zhì)文件同等的證據(jù)作用。一般來講,《電子簽名法》主要是規(guī)范電子文件的技術(shù)條件和應用背景,以保證電子文件在交互過程中的真實性是可確認的,是可以作為證據(jù)使用的,但并沒有解決電子文件的長久保存問題。而這方面的規(guī)范有賴于檔案管理機構(gòu)來解決。
雙套制的另一種情形,是國內(nèi)的各級各類檔案館大量地將紙質(zhì)檔案拷貝成電子檔案。為使檔案館蘊藏的豐富檔案信息資源能夠提供網(wǎng)絡(luò)應用,根據(jù)檔案利用需求有選擇地提供目錄定位服務以及部分檔案的原件服務是必要的。如果盲目地無限度地進行檔案的電子化,以此作為數(shù)字檔案館建設(shè)的成就標志,只能造成巨大的資源浪費。
可以想像,不解決雙套制的問題,是無法推動信息化發(fā)展的。信息化發(fā)達國家在信息化進程中都強調(diào)“無紙化”作為信息化的戰(zhàn)略目標來積極推動,可見它對信息化發(fā)展的重要意義。
雙套制或無紙化的解決方案,一定不是單純的技術(shù)解決方案,而應該是制度化方案。這個制度化的解決方案,依賴于我國信息化的發(fā)展程度,取決于信息系統(tǒng)的業(yè)務覆蓋率,特別是網(wǎng)絡(luò)應用的覆蓋率。在此基礎(chǔ)上要形成無紙化的全面管理制度,可能包括兩個層面:檔案館層面的和機構(gòu)層面的。檔案館層面要解決電子文件永久保存的技術(shù)條件(載體的可靠性、信息對格式的非依賴性)、文件真實性的制度和管理系統(tǒng)保障規(guī)范、電子文件應用的規(guī)范。對機構(gòu)層面,檔案及檔案管理系統(tǒng)提供憑證性、證據(jù)性文件的系統(tǒng)認證標準、規(guī)范,第三方認證機構(gòu)的建設(shè)等。
4、電子文件運動規(guī)律與檔案管理模式選擇
近年來,關(guān)于“文件生命周期理論”和“文件連續(xù)體理論”的爭論十分引人關(guān)注。信息化徹底改變了各類社會活動的時空關(guān)系和運行模式,人們需要基于新的社會運行方式,建立新的信息思維,尋找信息運動新規(guī)律,以求在準確揭示信息運動規(guī)律的基礎(chǔ)上,更好地進行管理。這是這場爭論的意義所在。
“文件生命周期理論”與“文件連續(xù)體理論”的實質(zhì),是如何看待文件運動的統(tǒng)一性和管理一致性問題?!拔募芷诶碚摗睆娬{(diào)在文件的不同運動階段有著不同的運動特性,強調(diào)在不同的階段實施不同的管理措施。而“文件連續(xù)體理論”認為文件運動是一個整體,文件運動有著不同的功能軸,文件運動每一個時點,都可能包含一個或多個功能價值取向,因此,管理上不必劃分文件與檔案的階段性。從弗蘭克·厄普沃德對文件連續(xù)體模式的四項基本原則看:第一,文件價值的持續(xù)性與文件檔案化。主要強調(diào)的是文件、檔案的整體觀,這與我國普遍認知的“文件管理與檔案管理一體化”的觀念是相類似的⑦,是“從文件形成到文件作為檔案保存和利用的管理全過程中連貫一致的管理方式”。第二,文件聯(lián)系以邏輯聯(lián)系為主。這是傳統(tǒng)檔案學的基本原則,檔案的分類、主題方法都是按邏輯組織文件的方法,即使是網(wǎng)絡(luò)化條件下,文件分處不同的物理位置,也應堅持這種方法。第三,文件管理制度納入業(yè)務活動目標與過程。它強調(diào)的是要把文件管理職能制度化地納入業(yè)務系統(tǒng)中,應該說“納入”概念在檔案界也并不是新概念。第四,檔案學是隨著組織知識的背景條件變化而變化⑧。這是關(guān)于檔案學理論隨著社會發(fā)展環(huán)境變化的思想,是任何理論都應該具有的素質(zhì)。歸納起來講,文件連續(xù)體理論強調(diào)的是文件與檔案是一個整體,不必區(qū)別管理,而且從形成階段就應予以制度化的干預。顯然,這一核心思想存在著理論臆斷性。文件的形成是為業(yè)務運轉(zhuǎn)服務的,其首要目的和價值是業(yè)務的有效運轉(zhuǎn),如果按照文件的歷史價值進行文件系統(tǒng)設(shè)計,其結(jié)果不僅會削弱文件的真實性、客觀性,而且可能導致業(yè)務系統(tǒng)效率的極大降低。信息化發(fā)展的進程已經(jīng)證實,無論是政府或是企業(yè)的系統(tǒng),隨著時間的推移都面臨著系統(tǒng)數(shù)據(jù)檔案化的問題,在業(yè)務系統(tǒng)中建設(shè)數(shù)據(jù)檔案庫,或者是不經(jīng)檔案價值鑒定,簡單地直接地遷移業(yè)務系統(tǒng)數(shù)據(jù)到檔案庫,其信息質(zhì)量根本無法保證。況且,由機構(gòu)檔案室到檔案館的過程,也絕不能是簡單的遷移過程。
作為我國的檔案工作者,在學習國外的理論經(jīng)驗時,不能采取簡單的“取代”或“覆蓋”等方法,而應該是在考察各種理論的基本背景的前提下,積極汲取各種觀點中的有益成分,構(gòu)建適合我國的檔案管理可行模式。
網(wǎng)絡(luò)技術(shù)的發(fā)展極大地促進了業(yè)務系統(tǒng)的連續(xù)性、關(guān)聯(lián)性,如果不在制度上和文件管理要素上對業(yè)務系統(tǒng)提出要求,比如提出元數(shù)據(jù)要求,就可能使業(yè)務系統(tǒng)自然生成的電子文件無法長久保存。所以,文件連續(xù)體理論提出的整體系統(tǒng)思想是非常值得借鑒的。我國的電子文件管理中提出的全程管理、前端控制思想,就是對這種理論的合理詮釋。但是,檔案有檔案的價值取向,對電子文件的管理要素的控制,不能取代對檔案價值的判斷和對文件的取舍。特別是在信息膨脹的時代,這一點尤為重要。目前,我國很多地方正在積極建設(shè)網(wǎng)絡(luò)文件中心。這種熱潮的基本出發(fā)點是,對分布在各個機構(gòu)的業(yè)務活動中的電子文件進行集中管理,有的采取集中存儲、集中利用的模式,有的采用備份中心的模式,有的采用存儲目錄、邏輯歸檔的模式。網(wǎng)絡(luò)建立的廣泛聯(lián)系,為各種模式都提供了支持條件。無論是物理集中,還是邏輯集中,電子文件中心都不能以文件的集中取代文件的檔案化過程。否則,隨著時間的推移,就會出現(xiàn)電子文件的大量堆積的局面。無論采用何種理論模式作為指導,在電子文件運動整體環(huán)節(jié)中都不能取消“檔案化”的環(huán)節(jié)。在信息爆炸的時代,這一點尤為重要。
注 釋:
①北京市信息化領(lǐng)導小組辦公室:《北京市“十一五”電子政務規(guī)劃研究報告》。
②北京市信息化領(lǐng)導小組辦公室:《北京市“十一五”國民經(jīng)濟與社會信息化發(fā)展規(guī)劃》。
③⑥《2006年中國信息化發(fā)展報告》。
④naa.gov.au/recordkeeping/rkpubs/summary.html。
⑤archives.gov/。