網絡安全信息法范文
時間:2023-09-13 17:17:19
導語:如何才能寫好一篇網絡安全信息法,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
當前是我國信息化發展的最佳時機也是信息化發展最蓬勃的時刻,但發展背后的安全隱患也不可忽視。雖然很多城市目前采用的專網或局域網網絡架構能夠降低與外網的接觸率,在一定程度上減少用網風險。但隨著信息化的進一步發展,監控網絡安全的需求也在逐漸變大,利用網絡監控提高網絡安全也將成為信息時代網絡安全的大趨勢。因此如何提高監控網絡安全將是我們現在甚至很久之后都需要關注并需要深入研究的課題。
一、監控網絡安全技術發展的必要性
(一)用戶需求。
個人、商業信息因網絡普及不再成為秘密。個人和商業私密信息在通過網絡存儲和傳輸時,這種攜帶私密信息的載體很容易遭到破壞從而導致私密信息泄露,且犯罪分子層出不窮的手段讓遠程監控甚至網絡系統自身已經不再安全。如,2013年4月黑客———“敘利亞電子軍”入侵美聯社官方Twitter賬號后”白宮爆炸,奧巴馬受傷”的假新聞從而引發美股暴跌,損失約2,000億美元。而城市公安系統為了確保用戶安全推出的公安系統、平安城市系統、手機監控等也和互聯網密切相關,若沒有良好的監控網絡,犯罪分子很可能會利用系統漏洞訪問公安系統進行犯罪。這些用網隱患讓使用者對網絡安全的需求愈發膨脹。監控網絡安全信息技術的使用迫在眉睫。
(二)安全產品升級需求。
目前,很多流媒體形式的視頻監控應用產品應需求而生,但是這種流媒體本身因其自身的便易性和廣泛性,很容易遭到破壞和攻擊。不久之前某市的銀行搶劫案中,犯罪分子即是利用配電箱切斷監控網絡系統實施的搶劫。這也說明,當前的監控網絡安全信息技術并不成熟,設計者還需研究實用性更強、符合標準的監控網絡安全產品。
二、網絡監控安全信息技術的發展
網絡監控安全信息技術的發展不是一步即成的,要想加強監控網絡安全的實用性和可靠性,還需要從以下幾個方面進行技術深化。
(一)計算機系統安全。
監控網絡安全是弱電系統,計算機系統是其得以實施的物理安全保障。例如在實際網絡工程建設中,首先要考慮計算機硬件設備能夠有效應對地震、水災、火災等事故,同時對由溫度、環境造成的破壞是否有一定抵御能力。而計算機其他配套如USP備份電源以防止因停電對計算機造成影響,恢復出廠默認設置以恢復人為錯誤操作造成的嚴重后果,健全的報警系統和雙機多冗余等等計算機系統安全設計也必不可少。只有先確保監控網絡的物理安全,才能夠保證監控網絡能夠正常工作。
(二)網絡傳輸。
單個的監控網絡安全系統并不能真正實現整個網絡的安全。因為監控網絡需要及時將網絡監控信息傳輸至互聯網,一旦監控網絡安全系統與外界通信,就可能會遭受攻擊或者被網絡病毒感染。倘若安全系統被攻擊或感染,不僅系統自身會遭到破壞,與之連接的內部網絡也會遭殃。因此安裝監控網絡安全系統的同時還應保證與安全系統相連接的服務器具備良好的防護措施。目前最好的方法是在外界通信的互聯網上裝上如防護墻、正版操作系統屏蔽漏洞等軟件。接受外網信息時,只允許對應主機接受正常通信的數據包,對于不明來歷的請求應直接拒絕。只有做好傳出、接入兩方面的管控,才能夠確保監控網絡安全系統在一個不受干擾的環境下工作。
(三)后端軟件要求。
后端軟件安全主要有兩大方面:一是被傳輸數據的服務器上的軟件安裝應盡量確保安全性,確保監控網絡系統傳輸數據時不會有危險,且對于被傳輸服務器上的登陸用戶需要有權限和密碼要求,明確登陸者責任和及時發現隱患;二是監控網絡安全系統自身安裝的軟件也需要嚴格把關。平臺軟件可以使用LINUX核心平臺構架從而提高平臺操作穩定性。系統信息存儲可以采用ISCSI技術的分布式網絡存儲,該技術支持本地、中心、前端等多級存儲方式,數據存儲空間大,存儲數據不易丟失。此外智能負載平衡技術和高可用在線熱備技術能夠確保安全系統平臺長時間運行并支持大信息量數據搜索。
三、監控網絡安全信息技術的應用
隨著研究的深入,監控網絡安全信息技術日趨成熟,應用也愈發廣泛。基于實際網絡安全應用需要,目前監控網絡安全信息技術主要有以下幾個方面的應用。
(一)防火墻。
防火墻能夠依照特定規則,允許或限制傳輸的數據通過。它有效結合計算機硬件、軟件和安全策略,為用戶用網筑起一道強有力的安全屏障。用戶可以通過安裝防火墻軟件或者架設防火墻硬件來為電腦屏蔽安全隱患。防火墻可以智能規避危險,讓內部人員只訪問安全的外部服務,也可以拒絕外部服務的非合理訪問請求。為確保用戶用網權利不受侵犯,可以在如路由器、服務器上設置防火墻,這樣可以保證只有合法用戶能夠訪問網絡資源,而企圖攻擊路由進入內部網絡的非法網絡不僅會被拒絕還會被跟蹤,嚴重者甚至報警。
(二)信息身份驗證。
信息身份驗證為用戶提供了準確的個性化個人信息,方便用戶簡單、安全地登陸不同網站。如密碼、郵箱驗證碼、動態手機口令等信息驗證大大提高了使用者信息的安全性,降低了其他人非法登陸用戶網絡系統的可能性。而實名認證、手機號、郵箱綁定的方式也方便用戶在個人網絡遭受攻擊被盜取之后能夠及時通過身份驗證找回,避免造成損失。
(三)信息加密。
信息加密主要是視頻流加密,當監控視頻被傳輸到后端系統時,文件在打包壓縮的同時也被加密,只有特定的密碼才可解壓,而其他妄圖非法取得或篡改視頻的操作都會被拒絕。這種通過對傳輸數據進行加密的方式提高數據安全性的技術即是數據加密技術。數據加密技術的使用提高了傳輸數據的安全性,應用價值很高。目前流媒體對于數據加密技術的應用較多,但是安防監控領域對于這一技術的使用并不多,當前在使用的僅僅只有少數幾個平臺廠家。由此可看出,安防監控領域的安全監控技術還有待進一步深入、加強。流媒體對于數據加密技術的使用雖然日趨成熟,但考慮到流媒體自身存儲數據的圖像實時性,因此在加密和解壓的同時需要結合實際情況評估解密速度對數據實時性的影響,計算解密速度和數據包大小的對應關系。利用序列密碼進行流媒體數據加密也是一種不錯的加密方法,但使用這種加密方式也須考慮實際需求。
(四)VPN技術。
VPN技術適用于連鎖超市、集團公司、加油站、公共場所等地方,它能夠在公共信息網中建立虛擬局部網絡,監控數據可以基于虛擬局部網絡實現數據的安全傳遞。也正是基于此,連鎖超市、集團公司和加油站等分布散、數量多的個體只要將數據專線接入本地網絡,即可在自己的虛擬局部網絡中安全傳遞信息。此外,若想節省高昂的布線成本,也可以采用撥號方式接入VPN監控網絡來構建監控網絡,傳遞信息。
四、結語
監控網絡安全信息技術應互聯網大環境而生,且經過多年的研究已有了一定的成果,基于當前互聯網中存在的安全隱患也有了一定的防御能力。但不可否認網絡攻擊手段日新月異,層出不窮,現在的監控網絡安全信息技術還遠遠不夠,監控網絡安全信息技術仍然需要面對極大的安全挑戰,也需要不斷地更新,完善。而網絡安全,僅僅有監控網絡安全系統還遠遠不夠,健全的網絡管理制度和操作者的高度安全防范意識也是不可或缺的,只有三者具備,才能實現真正意義上的安全網絡環境。
【參考文獻】
[1]梓墨.監控網絡安全信息技術發展與應用[J].中國安防,2011,8
[2]厲穎,韓殿國.網絡安全管理技術研究[J].軟件導刊,2013,2
[3]陳利.基于行為分析的網絡通信監控技術研究[J].計算機應用技術,2011
篇2
信息化的迅猛發展必然也會給網絡信息安全帶來隱患,找到影響原因所在,才能更有利于保障公民或相關組織的合法權益。
(一)網絡信息傳播快速的風險
報紙、廣播、電視等傳遞信息都不及網絡。很多社會負面問題都是通過網絡傳播才得以處理。但網絡上也會以訛傳訛,導致相關人員合法權利受到侵害,如民生花園搶劫案等。如此快速的傳播途徑,如監管不到位,必然影響到人們的正常生活。在網絡化發展的今天,有些人不經意間就會遭受到被網絡攻擊帶來的苦惱和傷痛,甚至有些走不出這一陰影而導致生命喪失。所以,在享受網絡信息傳播迅速捷徑時,也要充分注意到其帶來的風險。
(二)網絡系統漏洞存在的危害
經濟社會的發展對網絡信息系統的依賴程度勢必越來越高,且同時,網絡攻擊發生頻率也必然越來越高;雖然安全專家們正極力對付日益強大的網絡系統漏洞威脅,但攻擊者們總會擁有更為先進工具和更為尖端技術,有的攻擊者甚至能做到逃避尖端防衛系統的監視和檢測,從網絡信息系統安全管理角度來看,網絡信息系統安全形勢正日趨嚴峻。
(三)網絡信息安全法制建設滯后的風險
網絡信息安全法律制定滯后,導致執法不嚴現象的發生。如對病毒制造者及其惡意傳播者、公然進行網絡攻擊者無法及時量罪定刑,也無法及時有效地保護相關受害者。如何保護網絡信息安全,是法律工作者必須從法律層面上思索的重要問題。如,對搜索引擎服務提供商“競價排名”或者“關鍵詞廣告”,現行《中華人民共和國商標法》及其配套司法解釋對這種行為是否構成商標侵權未作明確規定,由此競價排名導致網絡商標侵權、不正當競爭案件糾紛的頻發,但審判結果卻差異紛呈,導致電商企業的無所適從。
二、加強網絡信息安全法制建設
如何在網絡化、信息化發展迅速的時代潮流中占有一席之地,加強網絡信息安全法制建設是一項必要的措施。
(一)在法律約束下發揮好網絡信息傳播快速的功能
在社會主義核心價值觀指導下,既要利用好網絡傳播快速的作用,又要善于保護自己合法權益不受侵害。“網絡快餐”固然“美味可口”,但“吃撐了”或“吃歪了”都不是好事。信息時展帶來的豐盛成果,可謂觸及到地球的每一個角落,不以訛傳訛,不盲目信任網友,保持一顆純凈的心,遵守信息法律法規和信息道德,才能在網絡的海洋中任意遨游。
(二)克服網絡系統漏洞危害,營造良好的網絡信息環境
惡意公布或售賣漏洞的行為屬于黑客攻擊行為的幫助行為,必須對行為人按照黑客犯罪的從犯進行定罪量刑。但在實踐過程中,由于幫助犯的故意僅限于直接故意,如惡意公布漏洞的行為作為后續實行犯的幫助行為,則很難被認定為共犯,因為該行為人公布雖然是惡意的,但對于后續的行為往往只是一種蓋然性認知;對于非惡意的漏洞挖掘和公布行為,如白帽黑客發掘漏洞并告知廠商換取報酬或者通過烏云等網絡安全漏洞平臺予以公開的行為,我國現行法律法規尚無針對性的界定。這方面有待國家盡快出臺相關法律法規,以更好的打擊網絡信息系統漏洞行為。對于個人和組織來說,經常性的掃描漏洞,通過一些殺毒軟件予以清除漏洞是必備的上網手段。
(三)建立健全網絡信息安全相關法律法規
篇3
一、國家等級保護標準
我國的信息安全等級保護工作起步于20世紀90年代,隨后相繼頒布了多個等級保護標準,具體可分為基礎性標準、定級標準、建設標準、測評類標準和管理類標準。基礎性標準包括《計算機信息系統安全等級保護劃分準則》(GB17859-1999)、《信息系統安全等級保護實施指南》(GB25058-2010)以及《信息安全等級保護管理辦法》(公通字[2007]43號)等;定級標準有《信息系統安全等級保護定級指南》(GB/T22240-2008)等;建設標準包括《信息系統安全等級保護基本要求》(GB/T22239-2008)、《信息系統通用安全技術要求》(GB/T20271-2006)以及《信息系統等級保護安全設計技術要求》(GB/T25070-2010)等;測評類標準主要有《信息系統安全等級保護測評要求》(GB/T28448-2012)和《信息系統安全等級保護測評過程指南》(GB/T28449-2012)等;管理類標準主要有《信息系統安全管理要求》(GB/T20269-2006)以及《信息系統安全工程管理要求》(GB/T20282-2006)等。針對單位的普通信息安全工作人員而言,涉及較多的標準主要有定級標準《信息系統安全等級保護定級指南》(GB/T22240-2008)與建設標準《信息系統安全等級保護基本要求》(GB/T22239-2008)等。《信息系統安全等級保護定級指南》主要用于指導信息系統的等級劃分和評定,將信息系統安全保護等級劃分為5級,定級要素有兩個:等級保護對象受到破壞時所侵害的客體以及客體受到侵害程度。定級要素與信息系統安全保護等級的關系見表1。由表1可知,三級及以上系統受到侵害時可能會影響國家安全,而一級、二級系統受到侵害時只會對社會秩序或者個人權益產生影響。在實際系統定級過程中,要從系統的信息安全和服務連續性兩個維度分別定級,最后按就高原則給系統進行定級。《信息系統安全等級保護基本要求》是針對不同安全保護等級信息系統應該具有的基本安全保護能力提出的安全要求,根據實現方式的不同,基本安全要求分為基本技術要求和基本管理要求兩大類等級保護基本要求共有10個部分,技術要求和管理要求各占5個部分。其中,技術類安全要求又細分三個類型。信息安全類(S類):為保護數據在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權的修改的信息安全類要求。服務保證類(A類):保護系統連續正常的運行,免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求。通用安全保護類要求(G類):既考慮信息安全類,又考慮服務保障類,最后選擇就高原則。
二、金融行業信息安全等級保護標準及必要性分析
1.行業標準金融行業作為信息化行業的一個重要組成部分,金融行業信息系統安全直接關系到國家安全、社會穩定以及公民的利益等。為落實國家對金融行業信息系統信息安全等級保護相關工作要求,加強金融行業信息安全管理和技術風險防范,保障金融行業信息系統信息安全等級保護建設、測評、整改工作順利開展,中國人民銀行針對金融行業的信息安全問題,在2012年了三項行業標準:《金融行業信息系統信息安全等級保護實施指引》、《金融行業信息系統信息安全等級保護測評指南》和《金融行業信息安全等級保護測評服務安全指引》。2.必要性分析網絡安全法明確規定國家實行網絡安全等級保護制度,開展等級保護工作是滿足國家法律法規的合規需求。金融行業開展信息安全等級保護工作的必要性有以下3點。(1)理清安全等級,實現分級保護金融行業各類業務系統眾多,系統用途和服務對象差異性大,依據等級保護根據系統可用性和數據重要性開展分級的定級要求,可以有效梳理和分析現有的信息系統,識別出重要的信息系統,將不同系統按照不同重要等級進行分級,按照等級開展適當的安全防護,有效保證了有限資源充分發揮作用。(2)明確保護標準,實現規范保護金融行業信息系統等級保護標準有效解決了金融行業信息系統保護無標準可依的問題。在信息系統全生命周期中注重落實等級保護相關標準和規范要求,在信息系統需求、信息系統建設和信息系統維護階段參照、依據等級保護的標準和要求,基本實現信息系統安全技術措施的同步規劃、同步建設、同步使用,從而保證重要的信息系統能夠抵御網絡攻擊而不造成重大損失或影響。(3)定期開展測評,實現有效保護按照等級保護要求,每年對三級以上信息系統開展測評工作,使得重要信息系統能夠對系統的安全性實現定期回顧、有效評估,從整體上有效發現信息系統存在的安全問題。通過每年開展等級保護測評工作,持續優化金融行業重要信息系統安全防護措施,有效提高了重要信息系統的安全保障能力,加強了信息系統的安全管理水平,保障信息系統的安全穩定運行以及對外業務服務的正常開展。
三、網絡安全法作用下標準的發展
隨著等保制度上升為法律層面、等保的重要性不斷增加、等保對象也在擴展以及等保的體系也在不斷升級,等級保護的發展已經進入到了2.0時代。為了配合網絡安全法的出臺和實施,滿足行業部門、企事業單位、安全廠商開展云計算、大數據、物聯網、移動互聯等新技術、新應用環境下等級保護工作需求,公安部網絡安全保衛局組織對原有的等保系列標準進行修訂,主要從三個方面進行了修訂:標準的名稱、標準的結構以及標準的內容。1.標準名稱的變化為了與網絡安全法提出的“網絡安全等級保護制度”保持一致性,等級保護標準由原來的“信息系統安全等級”修改為“網絡安全等級”。例如:《信息系統安全等級保護基本要求》修改為《網絡安全等級保護基本要求》,《信息系統安全等級保護定級指南》修改為《網絡安全等級保護定級指南》等。2.標準結構的變化為了適應云計算、物聯網、大數據等新技術、新應用情況下網絡安全等級保護工作的開展,等級保護基本要求標準、等級保護測評要求標準的結構均由原來的一部分變為六部分組成,分別為安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求與大數據安全擴展要求。3.標準內容的變化各級技術要求分類和管理要求的分類都發生了變化。其中,技術要求“從面到點”提出安全要求,對機房設施、通信網絡、業務應用等提出了要求;管理要求“從元素到活動”,提出了管理必不可少的制度、機構和人員三要素,同時也提出了建設過程和運維過程中的安全活動要求。
篇4
【關鍵詞】安全關鍵系統;功能安全;時間觸發協議
在后PC時代,實時計算和通信技術已被廣泛應用于航空航天、國防、交通運輸、核電能源和醫療衛生等諸多安全關鍵系統中。隨著安全關鍵系統呈現出分布式和一體化的新特性,通信網絡已成為系統中的核心組件,并且對安全關鍵系統的構建和驗證起著決定性的作用。因為安全關鍵系統關系到人身安全和財產損失,因此不同于通常的實時通信網絡,安全關鍵實時通信網絡不但要求網絡的實時性,更重要的是網絡的安全性和可靠性,包括出錯檢測的能力,容錯能力和故障隔離能力。這些特性對實時通信協議提出了更多新的需求。在分布式實時系統中,構建通信網絡存在兩種范型:事件觸發(event-triggered)和時間觸發(time-triggered),簡稱ET和TT。被用在安全關鍵系統中的事件觸發協議并不多,如CAN,Btyeflight。雖然靈活性是其優勢,但從安全關鍵系統的角度來看,這也成為其不被使用的主要原因。而時間觸發協議因為良好的可預測性,容錯能力和可組合性而被廣泛用于安全關鍵系統中,如TTP。
1.事件觸發的安全關鍵實時通信網絡
事件觸發范型就是指網絡上的所用活動都是由外部(或內部)事件的出現來觸發的。例如,如果傳感器所讀的值發生變化,則廣播其新值。事件觸發協議具有很好的靈活性,它能夠快速的響應任何時刻發生的通信請求,并不會對通信活動發生的時間做任何限制。但由于外部事件具有很強的異步性,隨機性,導致ET型網絡的可預測性差。ET型網絡最壞情況下的延遲時間發生在所有節點同時準備發送消息的時刻。而平均情況下,可能無需等待就可以被發送出去,因此發送延遲的抖動較大。因為節點只響應外部事件,因此ET型網絡不能很快檢測出表現為故障沉默(fail-silence)的失效節點。而且ET型網絡不能支持時序可組合性,因為節點之間的異步傳輸導致節點之間相互干擾,任何一個節點的加入,都會影響到其他節點的時一序行為。而且由于事件發生的隨機性導致事件觸發協議無法實現冗余復本之間的確定性,因此多采用主從方式實現容錯系統。
ET網絡的這些缺點使其不適用于安全關鍵實時系統,因此近些年,提出了一些新的ET型網絡協議,在保持自身優勢的情況下,從協議設計上吸取時間觸發協議的優勢以克服其存在的缺陷,提高ET型通信協議的可預測性,檢錯能力和可組合性,如Byteflight;被實際用于安全關鍵系統的事件觸發型通信網絡有CAN,Byteflight等。
2.時間觸發的安全關鍵實時網絡
大量研究結果表明,設計實時網絡的關鍵在于使用時間觸發方法替代傳統的事件觸發方法。對于TT型網絡,網絡上所用的活動都隨時間的前進而有計劃的進行。例如,如果現在已啟動了20微妙,則讀取傳感器的值并廣播該值。時間觸發協議通過一個靜態的預先定義的全局調度表控制它的網絡活動,并且該調度表和全局時鐘作為每一個節點的先驗知識,因此每一個節點可以知道什么時候允許發送消息以及什么時候可以接收消息。這使得TT型協議在時序行為上具有更好的可預測性。TT型網絡的核心基礎是建立和維護一個全局時鐘。對傳輸媒體的訪問采用時分多路訪問機制。節點之間必須預留足夠的空隙,以保證節點之間消息傳輸不會相互干擾。這樣不但消除了共享介質的訪問沖突,而且使得TT型網絡具有時域上的可組合性。時間觸發一腳議以節點最壞情況下的響應時間為其預留時間槽,因此,可以說時間觸發協議是面向最壞情況而設計的。由于時序行為作為先驗知識,時間觸發協議的連接故障檢測在接收端更易實現。
盡管時間觸發協議在可預測性,故障檢測能力和可組合性方面受到安全關鍵系統的青睞,但是時間觸發協議最大的問題就是缺少靈活性,通信活動必須在指定的時刻才能發生,這就導致網絡平均利用率低,特別是當一個或多個節點產生偶發性的消息時。因此,在某些對靈活性要求高的應用領域,如汽車電子系統,時間觸發協議并不適用。因此在TT協議的基礎上產生了一些滿足行業需要的時間觸發協議。
3.基于以太網的安全關鍵實時網絡
工業以太網的應用與研究推動了以太網在安全關鍵系統中的應用。維也納理工大學基于TTP在航空航天,汽車電子等領域積累的經驗,提出了時間觸發的以太網(Time-triggered Etllerenet,TTE)架構。TTE是同時支持實時消息與非實時消息的混合型協議。TTE的設計目標是將標準以太網與TTP/C的優點集于一身,在滿足從非實時應用,到多媒體,再到安全關鍵的實時控制系統的各種需求的同時,能夠兼容現有的以太網標準。但TTE需要修改以太網連接硬件設備以滿足實時性需要。Powerlink是在標準以太網的基礎上建立一個現場總線系統,來滿足控制中最苛刻的實時要求。Powerlink已經通過SIL3安全完整性等級的認證。成為真正投入實際使用的基于以太網的安全關鍵通信網絡。
我國在這方面開展了大量的研究工作,提出了實時通信協議E&TTE。E&TTE是一種基于事件觸發型Ethernet的時間觸發網絡,它有效地組合了事件觸發與時間觸發方法,其中事件觸發用于傳輸異步實時與非實時消息,而時間觸發方法則用于傳輸同步實時消息,E&TTE有機組合兩類網絡的優點,使實時網絡不但具有較高的靈活性,而且具有較好的可預測性。雖然以太網在安全關鍵系統中的應用還未像工業以太網一樣取得豐碩的研究成果,但是隨著網絡互聯需求的不斷增加,安全關鍵系統與IT系統的連接是不可避免的趨勢,因此安全關鍵系統與以太網的互聯也應該作為新型安全關鍵網絡設計的目標之一。
4.結束語
盡管目前有多種可用的現場總線,但其并沒有被廣泛的應用于安全關鍵系統中,因其開發過程中并沒有融入安全的設計理念,而是在實現完成后,再去推導其設計的安全性。作為一種涌現特性(emergent property),安全性不可能在系統部署之后被添加進去,它必須貫穿于系統的整個開發過程中。很多的現場總線提供商都在致力于通過安全完整性等級的驗證,開發過程成為其最大的障礙。因此,將實時通信網絡安全管理概念貫穿于協議設計開發和驗證過程中,從過程中保證與安全標準的兼容性以提高系統的安全置信度是一個值得探究的課題。
參考文獻
[1]馮時雨,王軼辰.實時網絡通信協議的設計與實現[J].計算機工程與設計,2008(17).
篇5
中國網絡治理與信息安全監管的法律規范體系建設也取得了顯著成效,要想保障網絡信息的健康發展,就是要通過國家法律、司法解釋、行政法規等,對信息的安全起到了積極的作用。不過,從總體上看,現在我國的法制化對于中國網絡治安與信息安全監管是有很大的提升空間,網絡信息的治理和安全是有區域問題的,所以需要全社會綜合治理網絡信息安全的。
現在國家最突出和核心的問題就是隨著互聯網的飛速發展使得信息時代的信息安全保障尤為重要。現如今網絡的黑客、垃圾信息、網絡病毒等多數都是人為的原因造成的,對網絡信息的安全是有沖擊,所以對于通過黑客的防范以及正確的引導,能更好的維護網絡信息系統的安全性。針對現在網絡信息安全的現狀創新網絡信息安全技術是有必要的,更重要的是要完善網絡信息安全的立法,用法律來維護健康的網絡信息環境。
(1)現今的網絡主要是通過信息的互通,交流、共享等方式來實現的,給社會生活的服務提供很大的便利條件,信息的傳播更多面化。隨著網絡技術的進步大大提高了工作效率,促進經濟的發展,社會的進步。
(2)網絡信息的開放性,互通性,虛擬性等特點,在客觀上不可避免地被一些別有用心的組織和個人所利用,借助網絡肆意傳播、制造有害信息,攻擊正常網絡系統,竊取機密信息,這些活動給社會的穩定帶來很大的隱患,為此,國家信息安全戰略就是信息網絡的安全,這對于國家是重要的一部分。
二、我國網絡信息安全的立法突出問題與不足
(一)我國網絡信息安全立法存在的問題
(1)網絡信息方面的基本法是沒有的。由于立法的層次比較低,使得法規缺乏權威性,造成了法律效力的降低,執法的困難。
(2)如今關于網絡信息的安全的管理和法規多種多樣,就造成了立法之間沖突的現象出現。在我國,有關網絡信息的管理機構很多,但是出現了執行過程中的互相推卸責任,扯皮的現象很嚴重。同時,立法是通過多部門實行的,如針對一個問題各個部門的立足點會有所不同,就是法規的局限性會很大。其結果就造成有關法規分散不集中,有個別規定之間相互沖突了。
(3)立法缺乏整體性,比較嚴重的就是缺位或者是缺空。現在并沒有對于網絡信息出現的問題的管理和保護有明確的規定。例如對于消費者權益保護的信息網絡中的糾紛,包括一些網絡支付,電子證據等存在著法規的缺位。給實際的執行帶來了很大的困難。
(二)我國網絡信息安全立法的不足
(1)我國對網絡信息安全的認識不足,對網絡信息的立法不夠重視。導致對于信息安全的模糊的認識,只注重網絡信息技術的發展,而忽略了網絡安全性的法治化,在社會經濟促使下這種情況尤為突出。
(2)社會上有很多人對高技術、高科技有種盲目的推崇,認為高科技設備能完全的實現科學管理,提高效率,會萬無一失實現無人工的全智能化。然而社會原有的監督管理部門和司法系統中的人員往往對這種高技術、高智能的設備不清楚,不了解,對于網絡的危害性和高技術犯罪的認識不足,或沒有足夠的技術力量和相應的管理措施來對付它們。
(3)信息網絡的全球性和技術性特征決定了信息網絡立法具有全球的普遍性,因此,只需簡單移植他國或國際立法就可以了,對我國網絡發展的特點認識不足,不能更好的針對我國作出更合適的法律法規或章程。
(4)雖然加強我國信息安全法律保障體系的建設顯得尤為迫切,但是也不應急于立法來壓制網絡,不應急于求成造成立法之間的沖突。
三、完善網絡安全的行政責任的措施和建議
網絡信息對社會的重要性和影響力是很大的,所以網絡信息的安全的問題也突出的重要。所以就要有針對的法律來約束網絡信息,能健康的發展。
(1)加強技術管理與網絡安全管理的工作,一方面,要全面的改善計算機及網絡技術系統,充分利用網絡保護程序的特殊裝置技術設立防火墻,來增加自身防范的能力。另一方面,網絡使用者要有安全意識,同時,網絡管理機構和網絡管理人員要有專業的知識,或者有相關的培訓來提高個人的素質和處理各種問題的能力。
(2)首先,對危害特別嚴重,造成國家各方面的重大損失的網絡犯罪的要通過較重的法定刑來處理,或者更嚴重的刑期或刑罰。其次,對于利用計算機網絡實施的傳統性犯罪,因為影響范圍廣、危害性大,法定刑應比同類普通刑事犯罪高;再次,對于危害國家利益、社會公益以及侵財性網絡犯罪,應加大財產刑的處罰力度,可規定并處高額罰金或沒收全部財產等,以加大犯罪分子的犯罪成本;最后,對一些不同的網絡犯罪主體,要通過一些限制或者剝奪的方式來處罰,或者永久的剝奪經營者的資格,多方面屏蔽的方式。
(3)一方面要大力的打擊網絡犯罪,強化國際合作,各國聯合對網絡犯罪方面進行執法和高技術的通力合作。進一步提高預防和打擊網絡犯罪的能力和效率。
綜上所述,我國目前網絡信息安全立法就是要以行政法規和各種規章為主要方式,現今最好的保護形式就是行政保護,但是在立法的具體實行中還會存在責任設定的不合理、責任設定沖突的各種缺陷。對此,應當對現行立法中行政責任的設定進行合憲性審查,針對網絡信息安全保障組織法規范行政執法,改變一些具體的處罰形式來健全和完善行政責任。對于當前的中國來說,加強對涉及國家安全的網絡信息法律保障的研究,在思想上有助于提高我們對信息安全重要性的認識,在實踐上有利于加強我國的信息安全保障能力,更好地維護我國的國家安全。
參考文獻:
[1]張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002,04.
[2]鄭成思.運用法律手段保障和促進信息網絡健康發展[J].網絡安全技術與應用,2001,12.
作者簡介:
篇6
一、企業網絡信息安全的基本目標
企業網絡信息安全技術的研究與開發最終目的是實現企業信息的保密性、完整性、可用性以及可控性。具體來講市場化的發展背景,企業之間存在激烈的競爭,為增強市場競爭力,出現盜取商業機密與核心信息的不良網絡現象。企業加強網絡信息安全技術開發,一個重要的目的是防止企業關鍵信息的泄露或者被非授權用戶盜取。其次,保障信息的完整性,是指防止企業信息在未經授權的情況下被偶然或惡意篡改的現象發生。再次,實現數據的可用性,具體是指當企業信息受到破壞或者攻擊時,攻擊者不能破壞全部資源,授權者在這種情況下仍然可以按照需求使用的特性。最后,確保企業網絡信息的可控性,例如對企業信息的訪問、傳播以及內容具有控制的能力。
二、企業網絡信息安全面臨的主要威脅
根據相關調查顯示,病毒入侵、蠕蟲以及木馬程序破壞是對企業網絡信息安全造成威脅的主要原因。黑客攻擊或者網絡詐騙也是影響企業網絡信息安全的重要因素。當然部分企業網絡信息安全受到破壞是由于企業內部工作人員的操作失誤造成。總之威脅企業網絡信息安全的因素來自方方面面,無論是什么原因造成的企業網絡信息安全的破壞,結果都會對企業的生產發展造成惡劣的影響,導致企業重大的損失。在信息化發展背景下,企業只有不斷提高網絡信息的安全性,才是實現企業持續發展的有力保證。
三、企業網絡信息安全保護措施現狀
當前企業在進行網絡信息安全保護方面的意識逐漸增強,他們為確保企業網絡信息安全時大都應用了殺毒軟件來防止病毒的入侵。在對企業網絡信息安全進行保護時,方式比較單一,技術比較落后。對于入侵檢測系統以及硬件防護墻的認識不足,尚未在企業中普及。因此推進企業網絡信息安全技術的開發,前提是提高企業對網絡信息安全保護的意識,增強企業應用網絡信息安全技術的能力,才能有效推動企業網絡信息安全技術的開發。
四、促進企業網絡信息安全技術開發的對策與建議
(一)定期實施重要信息的備份與恢復
加大對企業網絡信息安全技術的研發投入,一個重要的體現是對企業網絡信息的管理。企業對于重要的、機密的信息和數據應該定期進行備份或者是恢復工作。這是保障企業網絡信息安全簡單、基礎的工作內容。當企業網絡受到破壞甚至企業網絡系統出現癱瘓,企業能夠通過備份的信息保障生產工作的運行,把企業的損失降到最低。實現企業網絡信息安全技術開發的實效性的基礎工作是做好企業重要網絡信息的定期備份與恢復工作。
(二)構建和實施虛擬專用網絡(VPN)技術
以隧道技術為核心的虛擬專用網絡技術,是一項復雜的、專業的工程技術。該項技術對于保護企業網絡信息安全具有重要意義,并且效果顯著。它把企業專用的、重要的信息進行封裝,然后采取一定的方法利用公共網絡隧道傳輸企業專用網絡中的信息,如此一來可以實現對企業網絡信息的保護,避免出現對企業信息的竊取與惡意修改。當然提升虛擬專用網絡的兼容性、簡化應用程序是企業網絡信息安全技術研發重要課題。
(三)完善高效的防火墻技術
在企業內部網與外聯網之間設置一道保護企業網絡信息安全的屏障,即設置防火墻。這一技術是目前最有效、最經濟的保障企業網絡信息安全的技術。但由于當前大多數的遠程監控程序應用的是反向鏈接的方式,這就限制了防火墻作用的發揮。在進行企業網絡信息安全技術開發過程中,應進一步優化防火墻的工作原理或者研發與之相匹配的遠程監控程序,來實現防火墻對企業網絡信息安全的保護。
(四)對關鍵信息和數據進行加密
增強企業對關鍵信息和數據的加密技術水平也是企業網絡信息安全技術研發的主要方面。更新加密技術,是保障企業網絡信息安全的重要環節。企業在對重要信息和數據進行加密時可以同時采取一些例如CD檢測或者KeyFile等保護措施,來增強企業重要信息的保密效果。
五、結束語
篇7
計算機網絡自問世以來,就以前所未有的卓越信息傳遞和處理能力和方便快捷的使用方式帶給人類社會帶來翻天覆地的巨大變化。它深刻改變了人們的思考與生活方式,深入到人們社會活動的每一個角落,對世界經濟、政治、軍事、社會、文化、宗教等各方面都造成了重大影響。計算機網絡在人們生活的客觀物質世界之外,又創造了一個純粹的信息世界。這個信息世界沒有界限,理論上允許任何人登錄,拉近了人與人之間的距離,即使世界上遠隔萬里的兩個人在網絡世界里也可觸手可及,并肩而行。計算機網絡的這種特性是柄雙刃劍,在滿足了人們高度的信息需求的同時,也產生了很大的信息安全隱患。構建基于計算機網絡的信息安全系統是時展的需求,是業界一直不斷探索的現實問題。
1 計算機網絡安全威脅來源
1.1 網絡的共享性帶來的威脅
創建計算機網絡的一個最根本原因就是為了實現網絡資源共享。通過計算機網絡,不同的計算機用戶可以實現對其他人的資源利用。而這種利用有可能是積極的,也可能是消極的,甚至是違法的。利用計算機網絡的資源共享性發動針對目標計算機或網絡的破壞行為是當前計算機網絡威脅中的最主要的類型。
1.2 網絡的開放性帶來的威脅
任何人登錄到網絡上后,理論上都可以實現對網絡上共享信息的閱讀與使用,比如機關團體、企事業單位或個人的信息內容。其中往往有許多部分具有保密性質,如果這些信息被人隨意擴散或非法利用,極有可能造成嚴重后果。
1.3 網絡的復雜性帶來的威脅
計算機網絡技術是一門非常復雜的高端綜合性學科。大體上包含網絡硬件設備和控制軟件兩個方面,組成極其復雜,其中任何一個部分發生問題都有可能威脅到網絡安全。
1.4 網絡邊界及傳輸的不確定性帶來的威脅
可擴展性是當前計算機網絡的一個重要性質。由于可以不斷擴展,使得網絡的邊界和信息傳遞路徑相對模糊而不確定。而這種不確定性給網絡安全隱患的形成提供了基礎,網絡安全保障工作難度加大。
1.5 海量信息帶來的威脅
信息資源是網絡承載的主要內容,在為使用者提供服務的同時,龐大的信息量也給網絡穩定造成影響,過于巨大的信息傳輸量極可能導致網絡阻塞。
2 計算機網絡與信息安全系統
2.1 系統物理環境的安全措施
計算機機房是安置計算機網絡與信息系統主體硬件設備的專用設施。國家對機房的設計與實施都有明確的標準,信息和數據安全是其基本前提。防火防潮是機房必備的基本特性。(1)在選址方面,計算機網絡機房要與危險建筑保持安全距離,如果機房位于樓房,則需選擇方便整個組織機構網絡建設的位置。(2)在安全保衛方面,由于機房是保存信息的重要設施,安全保衛措施必須加強。通常都要設置現代化的環境調節、監控和門禁等設施,以維持機房環境適宜條件,監視機房設備運行情況,防范外部非法侵入等。(3)在消防安全方面,機房一直都是防火重地。如今的計算機機房都配有自動滅火裝置,一旦發生火災即可自動啟動實施滅火。
2.2 系統運行環境的安全措施
加強制度管理,建立健全科學規范的計算機網絡管理與使用制度,落實安全保障措施,從組織角度、管理角度和技術角度來保障網絡系統數據傳輸的安全性、完整性與使用性。(1)加強計算機網絡硬件設施及場所的標示管理。在機房入口處張貼警示標語和門牌。在交換機、路由器以及中心服務器等重要設施上張貼標示,提高辨識度,方便管理與維護。(2)做好設備備份工作。為防止因為突發性機器故障導致的網絡事故,重要網絡設備、設施都要做好備份,一旦發生事故立即切換,保障網絡正常使用。(3)加強信息傳輸通道的安全防護。一般采用在傳輸的信息中加入冗余信息,從而便于及時發現信息傳輸過程中變化與改動。
2.3 系統的軟件及數據環境的安全措施
(1)及時完善操作系統。任何系統、軟件都有漏洞。系統開發商會經常系統補丁,計算機用戶要及時下載安裝,彌補系統不足。(2)劃分用戶權限。根據用戶使用需求設定用戶權限,不同權限的用戶使用系統資源,訪問網絡的情況也不一樣,從而可以有效避免威脅系統安全的情況發生。(3)物理隔離。網絡資源共享的前提是網絡硬件連接。關鍵部門使用獨立的局域網,與萬維網硬件上不連通,徹底消除來自外部網絡的入侵的可能性。(4)做好數據備份。安全系統的防護能力并非絕對有效。為減少系統安全事故帶來的損失,對于重要數據可定期備份,備份介質單獨存放。
3 計算機網絡與信息安全關鍵技術
3.1 防病毒軟件和防火墻
針對計算機病毒開發的防病毒軟件是最常用的網絡安全防護技術。根據使用環境不同分為單機版和網絡版。無論哪種,都具有較強的局限性。由于防病毒軟件是根據具體病毒而開發的,而病毒更新速度很快,使得防病毒軟件的實效性大打折扣。要較好地保障網絡安全,還需要其他技術、措施的配套支持。如系統數據定期備份,關鍵業務信息采用加密技術等。
防火墻是抵御網絡攻擊的重要措施。其原理是通過預先設置對訪問行為進行選擇性限制,從而維護內部網絡環境的相對安全。
3.2 入侵檢測技術
入侵檢測是針對非法入侵行為實施的防護機制,通過及時察覺非法入侵行為并展開相應的防護措施來實現。其技術的關鍵部分就是要建立一套準確的判斷規則,任何不符合該規則的行為都將被視為入侵行為。對于入侵行為判斷的精準程度直接關系到防護機制的運行質量。粗獷的判斷標準使得系統誤報率非常高。
3.3 密碼技術
加密技術主要應用于信息網絡傳遞方面。通過將信息按照某種算法進行編譯再傳輸的方式減少數據被他人非法獲取后造成的信息泄露,從而起到網絡信息安全保障的作用。
3.4 訪問控制技術
訪問控制限制了計算機對外部網絡的訪問行為。根據危險程度不同,對外部網絡環境的不同區域進行了劃分。再按照預先設置的規則,對計算機的訪問行為進行選擇性限制,允許其訪問安全區域,禁止訪問危險區域。對危險網絡的遠離,使得計算機遭受攻擊的概率大幅下降,從而提高了網絡的安全性。訪問控制策略的制定分為入網訪問控制環節、網絡權限劃分環節和客戶端防護策略制定三個部分。系統根據預先設置的詳細規則,允許 被授權的設備及用戶訪問網絡,所訪問的網絡范圍受到嚴格控制。使用防火墻的數據包過濾和功能、VLAN技術的區域劃分功能控制訪問行為。使用交換機802.1X協議實現對用戶訪問行為的授權。
4 結束語
計算機網絡技術是當今世界最偉大的發明之一。其存在在一定程度上主導了人類發展的方向。在網絡技術逐漸普及的今天,建立安全可靠的網絡信息安全保障體系意義非常重大。計算機網絡安全保障,需要政府的引導,更需要社會各方面的配合與努力,從制度、技術和管理等方面構建安全系統。要高度重視計算機網絡軟件、硬件產品的開發與研制,加大安全體系研發投入。同時,要做好網絡信息安全的宣傳普及工作,特別是對于政府機關和企事業單位的要害部門,更加要加強信息安全防護,避免因為網絡和信息安全事故給國家經濟建設和社會穩定帶來的重大損失。
參考文獻
[1]王越,楊平利,李衛軍.涉密計算機信息安全管理體系的設計與實現[J].計算機工程與設計,2010(18):3964-3967.
篇8
[關鍵詞]信息安全人因失誤失誤發現與糾正
[分類號]G203 TP393
隨著信息安全技術的發展,信息安全人因失誤事件越來越令人擔憂。據中國公安部公共信息網絡安全監察局調查,至2007年5月,我國信息網絡安全事件發生比例已高達65.7%,較2006年上升11.7%,且連續三年呈上升趨勢。美國計算機技術工業聯合會(The Computing Technology Industry Association)首席操作員Brian McCarthy也報導,2006年美國人因失誤引起的網絡信息安全事件已由2005年的47%上升至59%。他認為信息安全保障正在下降,原因在于人因失誤不斷發生。人因失誤是對網絡信息安全重要的、嚴重的威脅,但卻常常被人們忽略,要想完全消除網絡信息安全中的人因失誤是非常困難的,是因為它很難被預測,即使有先進的信息安全技術也無計于事,畢竟人是最難以控制和預測的。因此,人因工程專家指出,防止人因失誤的一種明智的方法就是對人因失誤及時發現,并糾正。著名信息安全顧問Charles CressonWood等也強調,正確地運用安全專業的補救辦法,完全可以糾正或明顯地減少網絡信息安全人因失誤。因此,本文從感知、判斷與決策到行動的一般發展規律,認為網絡信息安全人因失誤發現是人因失誤分析及其糾正的起點,研究了信息人員人因失誤發現的4種重要途徑,且構建基于人因失誤發現的人因失誤糾正框架,為減少網絡信息安全人因失誤,保障信息安全提供一種主動性預防措施。
1 網絡信息安全人因失誤發現
信息人員的敏感度、懷疑與好奇性是網絡信息安全人因失誤發現的基本素養,而引發人因失誤發現的重要途徑是“比較”。運用Tom Kontogiannis提出的人因失誤發現的4個方面:預計效果與實現結果;設備失效與自身的失誤效果;計劃行為與執行行為和意圖與計劃。根據它們之間的失配,可以發現網絡信息安全中的人因失誤:
1.1 實現結果與預計效果之間的比較
在信息安全結果階段,信息人員感覺或留意真實信息行為結果,比較“實際結果”與“預計效果”之間的失配,從中發現失誤。表面上看,這種失誤很容易發現,其實不然,尤其是在信息安全處理的復雜行為序列中。這是因為信息人員要記憶信息行為的執行路徑,使得他們可能忘記已產生的行為結果,或可能不留意前面的行為結果。還由于信息系統設計問題,如不良的信息系統界面,或安全邏輯干擾掩飾,或信息操作人員本身的行動,掩蓋了信息操作人員對信息行為真實結果的判斷。
1.2 設備失效與人因失誤之間效果比較
通過比較設備失效與自身的人因失誤兩者的不同結果,能夠準確區分信息安全事故哪些是由于人的行為引起的,從而發現人因失誤原因,及時糾正失誤。值得注意的是,在信息安全復雜系統中,會出現設備失效和邏輯安全干擾等現象,但不能因此,就把不理想的信息安全結果全部歸結于設備原因,從而阻礙人因失誤的發現,導致人因事故再次發生。這種“把失誤搪塞過去”的態度是人因失誤難以發現的一種原因。
1.3 執行行為與計劃行為之間的比較
這種比較出現在信息安全計劃的執行階段,是一種基于行為的失誤發現,通常屬于出錯失誤發現。在信息安全執行階段,信息人員注意到執行行為與計劃中規定行為之間的失配,從而發現人因失誤。
1.4 意圖與計劃之間的比較
在信息安全計劃階段,比較意圖與計劃之間的失配,可能出現人因失誤原因弄錯的現象。造成這種失誤原因主要是由于信息安全計劃行為與意圖之間出現的認知失誤。指定意圖與制定計劃通常不是同一個人,制定計劃的人不僅要充分理解網絡信息安全目的與意圖,同時還要考慮該計劃執行者的行為,因此給意圖與計劃之間達到一致增加了難度。
2 網絡信息安全人因失誤糾正框架
在網絡信息安全領域,人因失誤糾正過程是隨著人因失誤類型、信息人員特征及安全目標的變化而變化的。因此,基于網絡信息安全特點及信息人員的認知行為,參考Van Der Schaaf學者提出的人因失誤糾正三個階段,以認知行為規律為主線,構建基于人因失誤發現的網絡信息安全人因失誤糾正框架。
它包含人因失誤分析(感知)、人因失誤糾正計劃制定(判斷與決策)、人因失誤糾正計劃實施(行動)三個階段。在該框架中,基于失誤發現的網絡信息安全失誤分析是失誤糾正的基礎及糾正計劃制定的理論根據,失誤糾正計劃實施落實在網絡信息安全計劃階段、執行階段和結果階段,因此采取人因失誤前糾正、失誤后糾正和補償糾正三種措施。
2.1 網絡信息安全人因失誤分析
網絡信息安全人因失誤原因往往不只是簡單的錯誤操作(出錯失誤),還包括信息人員對所處情景的錯誤認知和判斷(弄錯失誤),因此,網絡信息安全人因失誤分析包括信息系統安全事件調查與人因失誤原因確定兩個環節。
在網絡信息安全人因失誤分析中,失誤說明與辨識、失誤類型確定均源于對人因事件的調查,其中包括對網絡信息安全目標或計劃、行為序列規范中的人因失誤、情況說明中的人因失誤等調查。調查對象涉及信息安全主管、信息系統、網絡與數據庫管理人員及信息系統操作人員等人員。
運用人因失誤原因分析方法,如事件與原因因素分析、變更分析、屏障分析、追溯分析法等,對網絡信息安全人因失誤影響因子進行描述、說明與辨識,找出人因失誤可能原因、具體原因及根本原因,分析并確定人因失誤類型。其中弄錯失誤不是發生在網絡信息安全人因失誤問題解釋、建立高級目標階段,就是發生在信息安全行為計劃制定階段,它需要信息人員具有淵博知識與豐富的實際經驗,才能辨識其根本原因。相比而言,出錯信息安全人因失誤,只要將信息操作人員的執行行為、實際結果與制定的計劃、目標與結果進行比較,基本就能確定其影響因子了。
2.2 網絡信息安全人因失誤糾正計劃
通常,專家們把更多的精力花費在評價系統上,而不是在選擇最佳糾正計劃上。因為網絡信息安全人因失誤糾正計劃必須建立在對當前環境認真、細致分析的基礎上,對重要的人因失誤因素還需要嚴肅認真的調查核實,不可僅憑經驗、假定與參考資料,草率地做出糾正計劃,只有充分考慮了信息安全事件工作環境、
信息人員自身的能力以及信息安全技術的人因失誤糾正計劃,修正現有的網絡信息安全計劃或制定新的計劃,才能從根本上糾正、預防和減少人因失誤的發生。
網絡信息安全人因失誤糾正計劃針對失誤環境、失誤對象、失誤類型及嚴重度等不同因素,有不同的糾正計劃。而這些計劃的實施與實現需要得到信息人員、信息系統或環境即信息技術、信息組織三者配合與支持。因此,網絡信息安全人因失誤糾正計劃歸根結底信息人員策略、信息安全組織管理策略與信息系統安全設計策略三種策略的綜合運用。
2.3 網絡信息安全人因失誤糾正措施及其實施
2.3.1 網絡信息安全人因失誤糾正措施根據人因失誤特性、人因失誤發生的階段(計劃階段、執行階段和結果階段)、信息安全系統結果和可用的失誤糾正時間等因素,信息人員可以采取不同人因失誤糾正計劃措施。本研究借鑒Mo和cmuzet提出的人因失誤處理常用措施,作為網絡信息安全人因失誤糾正措施:
?失誤后糾正:當信息安全人因事故發生后,信息人員運用已掌握的信息安全處理方法,如取消規定的某個操作指令;停止某個正在運用的信息操作程序或啟動相關備用程序等,力爭將信息系統恢復到事故前的狀態。
?失誤前糾正:信息人員已感覺或察覺到某種失誤將要發生,但還未發生,此時信息人員應積極采取措施將信息系統帶入一種中介穩定狀態,爭取更多的時間,去發現好的解決辦法。這種糾正措施主要適用于關鍵設備已存在危險,人因失誤后果暫時未顯現或人因失誤行為后續行為還未發生,且有充足響應時間的情況。
?補償糾正:信息人員激活備用操作程序及多余設備,采取各種可能使用的補償措施,將系統帶進一個所希望的信息安全狀態。
2.3.2 網絡信息安全人因失誤糾正實施階段 不同的網絡信息安全失誤,有不同的發現途徑,需要運用不同的失誤糾正措施,在不同網絡信息安全人因失誤糾正階段進行實施,它們之間的關系。
網絡信息安全人因失誤糾正因不同的計劃實施分別發生在信息安全計劃、執行與結果三個階段。結果階段人因失誤糾正實施是在“事實之后”,而其他兩種人因失誤糾正實施則在失誤結果之前。所有措施的正確實施需要依賴于信息人員自身捕獲失誤的監控能力。
結果階段糾正弄錯失誤與出錯失誤兩類人因失誤。此時發現的弄錯失誤大多數是難以解釋與糾正的,因為失誤的直接原因是狀態評價或制定計劃失誤所造成的。在執行階段失誤糾正中,采取補償糾正措施,重點糾正網絡信息安全執行過程中伴隨行動的出錯人因失誤。計劃階段失誤糾正是將人因失誤防范或消除在人因失誤發生前,側重糾正信息安全計劃,包括信息安全意圖與目標及計劃行為中的錯誤理解人因失誤,即弄錯人因失誤。
篇9
關鍵詞:企業 計算機信息網絡 安全風險 控制方法
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2012)08-0217-01
隨著計算機技術的不斷發展,越來越多的企業運用計算機信息技術建立起自己的信息網絡,以此來實現對各種資源的有效利用。但是由于計算機網絡的聯結形式具有多樣性,而且終端分布不均勻,使得企業的計算機信息網絡很容易受到黑客、惡意軟件以及其他不法行為的供給,所以使得計算機信息網絡系統的安全問題也受到了越來越多的重視。
1、企業計算機信息網路系統的安全風險
由于不同的企業在生產和經營方式上有著一定的差異,所以不同的企業在計算機信息網絡系統的選擇和使用方面,也存在著一些區別。無論是企業內部的局域網,還是外部的廣域網,都存在著由于自然因素和人為因素所造成的潛在風險。因此,企業計算機信息網絡系統所面臨的安全風險,可以歸納為以下兩個主要方面:
1.1 外部風險
外部風險主要是指企業的計算機信息網絡系統中,由于受到自然災害或者是非法攻擊等外部因素所造成的安全風險。在通常情況下,火災、水災、盜竊以及等因素都可以稱之為外部風險因素,這也是造成計算機信息網絡系統遭到破壞的一個主要原因,其主要的破壞層面以硬件系統的破壞為主。同時,由于使用人員非法建立的文件或者是記錄,并且通過某種手段企圖將他們作為有效的文件或記錄,也會對企業的計算機信息網絡系統造成潛在的風險。有的操作人員為了獲得更多的信息,通過非法手段進入到企業的信息系統中,希望以此來達到對數據的分析和程序的利用。在計算機信息網絡系統中面臨的最大的威脅,主要是來自黑客的攻擊,黑客的攻擊主要有兩種途徑:第一是網絡攻擊,通過各種非法手段進入到企業的計算機信息系統中,企圖破壞相關數據和信息的完整性。第二則是網絡偵查的方式,他們不會對企業計算機信息網絡系統的正常運行造成影響,而是通過竊取、破譯等方式來獲得機密信息。無論是使用哪種方式,都會對企業的網絡安全造成重大的危害。
1.2 內部風險
內部風險一般只是指計算機信息網絡系統在正常運行過程中所存在的風險,這往往是由系統本身的特性所決定的。一般常見的內部風險主要有:操作人員的安全意識不強,登陸系統的賬號和口令等隨意轉接給他人,沒有訪問權限的人員進入到企業計算機系統中會造成網絡安全風險的產生;由于計算機軟件本身不可避免的存在著一些漏洞,這些漏洞的存在也會成為黑客攻擊的首選目標。有的軟件中留有“后門”,通常都是由軟件開發公司留下的,一般不為外人所知。一旦后門遇到攻擊,將會造成無法估量的后果。另外,防火墻等產品自身的安全等級如果達到不到信息安全的等級要求,也會對系統的安全產生一定的威脅。
2、企業信息網絡系統的風險控制方法
只有對企業計算機網絡系統的安全風險進行科學的分析,才能夠采取有針對性的措施,對于不同的風險類型采取相對應的風險控制方法。為了有效的保證計算機信息網絡系統的安全性,就要從信息的產生到消亡的整個過程進行嚴密的監控,形成完整的數據控制方法,達到對系統安全風險的控制。
2.1 數據信息的輸入和傳輸
在企業進行信息系統的輸入階段,為了保證數據的正確性和合法性,一般可以通過加密技術對要傳輸的數據進行加密,然后再通過網絡進行傳輸,這樣則能夠避免信息在傳輸的過程中遭到篡改或者是竊取,從而保證企業信息的安全性,當前常用的加密方法有很多,可以根據實際的情況采用文件加密或者是文件夾加密等方式。
2.2 數據信息的接收與處理
當企業受到由外部傳輸而獲得的需要處理的訂單信息時,需要利用預編程序質量對于該信息進行處理和控制,處理完成后的信息再次輸出時,便可以將信息輸出到企業所運用的如磁盤、交卷等信息媒介,這時愜意應當關注的是對獲得的信息數據的安全性進行控制。如果需要對信息使用過程中產生的數據進行存儲,則需要控制用戶對數據的使用情況,同時也應當掌握用戶對數據的存儲狀況,這也是對計算機信息網絡風險控制十分必要的一環。
2.3 結果數據信息的保存和處理
這是風險控制的最后一環.即對數據使用過后的處置,如存儲的方法和地址、保存的時間和清除等。有些用戶不再使用的數據應妥善處理.防止被一些人當做“廢物”加以利用,即對這些被廢棄的信息加以研究,獲得有用信息,這對系統的安全構成一種威脅。
2.4 網絡管理和安全管理
上述風險控制方法在計算機風險控制中起著重要的作用,與此同時,我們也需要一個良好的管理平臺,確保計算機設備的各項功能獲得有充分的發揮。網絡管理對于網絡資源的最優化、監控和有效利用是至關重要的。
3、結語
隨著計算機網絡在現代企業中的應用越來越廣泛,計算機信息網絡安全問題也受到了更多的重視。企業計算機信息系統共安全保護是一項復雜的工作,不僅要保護計算機本身的設備安全,同時更要注重對計算機內部信息和數據的保護,因此,我們應當從多個方面對企業計算機信息系統的安全風險進行客觀的分析,并且采取有針對性的控制措施,以此來保證企業計算機信息網絡安全系統的安全性,保證企業信息和數據的安全性。
參考文獻
[1] 祝峰.如何構建安全的企業信息網絡[J].網絡安全技術與應用,2010(04).
[2] 張希武,陳宇.全面提升企業信息網絡整體安全防護水平[J].網絡與信息,2011(10).
[3] 王旭東,王萍韻.談如何建立企業計算機信息網絡運行管理體系[A].2002安徽省電力工業計算機應用學術會議[C],2002.
篇10
(2012年11月26日最高人民法院審判委員會第1561次會議通過自2013年1月1日起施行)
為正確審理侵害信息網絡傳播權民事糾紛案件,依法保護信息網絡傳播權,促進信息網絡產業健康發展,維護公共利益,根據《中華人民共和國民法通則》《中華人民共和國侵權責任法》《中華人民共和國著作權法》《中華人民共和國民事訴訟法》等有關法律規定,結合審判實際,制定本規定。
第一條人民法院審理侵害信息網絡傳播權民事糾紛案件,在依法行使裁量權時,應當兼顧權利人、網絡服務提供者和社會公眾的利益。
第二條本規定所稱信息網絡,包括以計算機、電視機、固定電話機、移動電話機等電子設備為終端的計算機互聯網、廣播電視網、固定通信網、移動通信網等信息網絡,以及向公眾開放的局域網絡。
第三條網絡用戶、網絡服務提供者未經許可,通過信息網絡提供權利人享有信息網絡傳播權的作品、表演、錄音錄像制品,除法律、行政法規另有規定外,人民法院應當認定其構成侵害信息網絡傳播權行為。
通過上傳到網絡服務器、設置共享文件或者利用文件分享軟件等方式,將作品、表演、錄音錄像制品置于信息網絡中,使公眾能夠在個人選定的時間和地點以下載、瀏覽或者其他方式獲得的,人民法院應當認定其實施了前款規定的提供行為。
第四條有證據證明網絡服務提供者與他人以分工合作等方式共同提供作品、表演、錄音錄像制品,構成共同侵權行為的,人民法院應當判令其承擔連帶責任。網絡服務提供者能夠證明其僅提供自動接入、自動傳輸、信息存儲空間、搜索、鏈接、文件分享技術等網絡服務,主張其不構成共同侵權行為的,人民法院應予支持。
第五條網絡服務提供者以提供網頁快照、縮略圖等方式實質替代其他網絡服務提供者向公眾提供相關作品的,人民法院應當認定其構成提供行為。
前款規定的提供行為不影響相關作品的正常使用,且未不合理損害權利人對該作品的合法權益,網絡服務提供者主張其未侵害信息網絡傳播權的,人民法院應予支持。
第六條原告有初步證據證明網絡服務提供者提供了相關作品、表演、錄音錄像制品,但網絡服務提供者能夠證明其僅提供網絡服務,且無過錯的,人民法院不應認定為構成侵權。
第七條網絡服務提供者在提供網絡服務時教唆或者幫助網絡用戶實施侵害信息網絡傳播權行為的,人民法院應當判令其承擔侵權責任。
網絡服務提供者以言語、推介技術支持、獎勵積分等方式誘導、鼓勵網絡用戶實施侵害信息網絡傳播權行為的,人民法院應當認定其構成教唆侵權行為。
網絡服務提供者明知或者應知網絡用戶利用網絡服務侵害信息網絡傳播權,未采取刪除、屏蔽、斷開鏈接等必要措施,或者提供技術支持等幫助行為的,人民法院應當認定其構成幫助侵權行為。
第八條人民法院應當根據網絡服務提供者的過錯,確定其是否承擔教唆、幫助侵權責任。網絡服務提供者的過錯包括對于網絡用戶侵害信息網絡傳播權行為的明知或者應知。
網絡服務提供者未對網絡用戶侵害信息網絡傳播權的行為主動進行審查的,人民法院不應據此認定其具有過錯。
網絡服務提供者能夠證明已采取合理、有效的技術措施,仍難以發現網絡用戶侵害信息網絡傳播權行為的,人民法院應當認定其不具有過錯。
第九條人民法院應當根據網絡用戶侵害信息網絡傳播權的具體事實是否明顯,綜合考慮以下因素,認定網絡服務提供者是否構成應知:
(一)基于網絡服務提供者提供服務的性質、方式及其引發侵權的可能性大小,應當具備的管理信息的能力;
(二)傳播的作品、表演、錄音錄像制品的類型、知名度及侵權信息的明顯程度;
(三)網絡服務提供者是否主動對作品、表演、錄音錄像制品進行了選擇、編輯、修改、推薦等;
(四)網絡服務提供者是否積極采取了預防侵權的合理措施;
(五)網絡服務提供者是否設置便捷程序接收侵權通知并及時對侵權通知作出合理的反應;
(六)網絡服務提供者是否針對同一網絡用戶的重復侵權行為采取了相應的合理措施;
(七)其他相關因素。
第十條網絡服務提供者在提供網絡服務時,對熱播影視作品等以設置榜單、目錄、索引、描述性段落、內容簡介等方式進行推薦,且公眾可以在其網頁上直接以下載、瀏覽或者其他方式獲得的,人民法院可以認定其應知網絡用戶侵害信息網絡傳播權。
第十一條網絡服務提供者從網絡用戶提供的作品、表演、錄音錄像制品中直接獲得經濟利益的,人民法院應當認定其對該網絡用戶侵害信息網絡傳播權的行為負有較高的注意義務。
網絡服務提供者針對特定作品、表演、錄音錄像制品投放廣告獲取收益,或者獲取與其傳播的作品、表演、錄音錄像制品存在其他特定聯系的經濟利益,應當認定為前款規定的直接獲得經濟利益。網絡服務提供者因提供網絡服務而收取一般性廣告費、服務費等,不屬于本款規定的情形。
第十二條有下列情形之一的,人民法院可以根據案件具體情況,認定提供信息存儲空間服務的網絡服務提供者應知網絡用戶侵害信息網絡傳播權:
(一)將熱播影視作品等置于首頁或者其他主要頁面等能夠為網絡服務提供者明顯感知的位置的;
(二)對熱播影視作品等的主題、內容主動進行選擇、編輯、整理、推薦,或者為其設立專門的排行榜的;
(三)其他可以明顯感知相關作品、表演、錄音錄像制品為未經許可提供,仍未采取合理措施的情形。
第十三條網絡服務提供者接到權利人以書信、傳真、電子郵件等方式提交的通知,未及時采取刪除、屏蔽、斷開鏈接等必要措施的,人民法院應當認定其明知相關侵害信息網絡傳播權行為。
第十四條人民法院認定網絡服務提供者采取的刪除、屏蔽、斷開鏈接等必要措施是否及時,應當根據權利人提交通知的形式,通知的準確程度,采取措施的難易程度,網絡服務的性質,所涉作品、表演、錄音錄像制品的類型、知名度、數量等因素綜合判斷。
第十五條侵害信息網絡傳播權民事糾紛案件由侵權行為地或者被告住所地人民法院管轄。侵權行為地包括實施被訴侵權行為的網絡服務器、計算機終端等設備所在地。侵權行為地和被告住所地均難以確定或者在境外的,原告發現侵權內容的計算機終端等設備所在地可以視為侵權行為地。
