网络安全信息法范文

时间:2023-09-13 17:17:19

导语:如何才能写好一篇网络安全信息法,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全信息法

篇1

【关键词】监控网络安全;信息技术;技术应用

当前是我国信息化发展的最佳时机也是信息化发展最蓬勃的时刻,但发展背后的安全隐患也不可忽视。虽然很多城市目前采用的专网或局域网网络架构能够降低与外网的接触率,在一定程度上减少用网风险。但随着信息化的进一步发展,监控网络安全的需求也在逐渐变大,利用网络监控提高网络安全也将成为信息时代网络安全的大趋势。因此如何提高监控网络安全将是我们现在甚至很久之后都需要关注并需要深入研究的课题。

一、监控网络安全技术发展的必要性

(一)用户需求。

个人、商业信息因网络普及不再成为秘密。个人和商业私密信息在通过网络存储和传输时,这种携带私密信息的载体很容易遭到破坏从而导致私密信息泄露,且犯罪分子层出不穷的手段让远程监控甚至网络系统自身已经不再安全。如,2013年4月黑客———“叙利亚电子军”入侵美联社官方Twitter账号后”白宫爆炸,奥巴马受伤”的假新闻从而引发美股暴跌,损失约2,000亿美元。而城市公安系统为了确保用户安全推出的公安系统、平安城市系统、手机监控等也和互联网密切相关,若没有良好的监控网络,犯罪分子很可能会利用系统漏洞访问公安系统进行犯罪。这些用网隐患让使用者对网络安全的需求愈发膨胀。监控网络安全信息技术的使用迫在眉睫。

(二)安全产品升级需求。

目前,很多流媒体形式的视频监控应用产品应需求而生,但是这种流媒体本身因其自身的便易性和广泛性,很容易遭到破坏和攻击。不久之前某市的银行抢劫案中,犯罪分子即是利用配电箱切断监控网络系统实施的抢劫。这也说明,当前的监控网络安全信息技术并不成熟,设计者还需研究实用性更强、符合标准的监控网络安全产品。

二、网络监控安全信息技术的发展

网络监控安全信息技术的发展不是一步即成的,要想加强监控网络安全的实用性和可靠性,还需要从以下几个方面进行技术深化。

(一)计算机系统安全。

监控网络安全是弱电系统,计算机系统是其得以实施的物理安全保障。例如在实际网络工程建设中,首先要考虑计算机硬件设备能够有效应对地震、水灾、火灾等事故,同时对由温度、环境造成的破坏是否有一定抵御能力。而计算机其他配套如USP备份电源以防止因停电对计算机造成影响,恢复出厂默认设置以恢复人为错误操作造成的严重后果,健全的报警系统和双机多冗余等等计算机系统安全设计也必不可少。只有先确保监控网络的物理安全,才能够保证监控网络能够正常工作。

(二)网络传输。

单个的监控网络安全系统并不能真正实现整个网络的安全。因为监控网络需要及时将网络监控信息传输至互联网,一旦监控网络安全系统与外界通信,就可能会遭受攻击或者被网络病毒感染。倘若安全系统被攻击或感染,不仅系统自身会遭到破坏,与之连接的内部网络也会遭殃。因此安装监控网络安全系统的同时还应保证与安全系统相连接的服务器具备良好的防护措施。目前最好的方法是在外界通信的互联网上装上如防护墙、正版操作系统屏蔽漏洞等软件。接受外网信息时,只允许对应主机接受正常通信的数据包,对于不明来历的请求应直接拒绝。只有做好传出、接入两方面的管控,才能够确保监控网络安全系统在一个不受干扰的环境下工作。

(三)后端软件要求。

后端软件安全主要有两大方面:一是被传输数据的服务器上的软件安装应尽量确保安全性,确保监控网络系统传输数据时不会有危险,且对于被传输服务器上的登陆用户需要有权限和密码要求,明确登陆者责任和及时发现隐患;二是监控网络安全系统自身安装的软件也需要严格把关。平台软件可以使用LINUX核心平台构架从而提高平台操作稳定性。系统信息存储可以采用ISCSI技术的分布式网络存储,该技术支持本地、中心、前端等多级存储方式,数据存储空间大,存储数据不易丢失。此外智能负载平衡技术和高可用在线热备技术能够确保安全系统平台长时间运行并支持大信息量数据搜索。

三、监控网络安全信息技术的应用

随着研究的深入,监控网络安全信息技术日趋成熟,应用也愈发广泛。基于实际网络安全应用需要,目前监控网络安全信息技术主要有以下几个方面的应用。

(一)防火墙。

防火墙能够依照特定规则,允许或限制传输的数据通过。它有效结合计算机硬件、软件和安全策略,为用户用网筑起一道强有力的安全屏障。用户可以通过安装防火墙软件或者架设防火墙硬件来为电脑屏蔽安全隐患。防火墙可以智能规避危险,让内部人员只访问安全的外部服务,也可以拒绝外部服务的非合理访问请求。为确保用户用网权利不受侵犯,可以在如路由器、服务器上设置防火墙,这样可以保证只有合法用户能够访问网络资源,而企图攻击路由进入内部网络的非法网络不仅会被拒绝还会被跟踪,严重者甚至报警。

(二)信息身份验证。

信息身份验证为用户提供了准确的个性化个人信息,方便用户简单、安全地登陆不同网站。如密码、邮箱验证码、动态手机口令等信息验证大大提高了使用者信息的安全性,降低了其他人非法登陆用户网络系统的可能性。而实名认证、手机号、邮箱绑定的方式也方便用户在个人网络遭受攻击被盗取之后能够及时通过身份验证找回,避免造成损失。

(三)信息加密。

信息加密主要是视频流加密,当监控视频被传输到后端系统时,文件在打包压缩的同时也被加密,只有特定的密码才可解压,而其他妄图非法取得或篡改视频的操作都会被拒绝。这种通过对传输数据进行加密的方式提高数据安全性的技术即是数据加密技术。数据加密技术的使用提高了传输数据的安全性,应用价值很高。目前流媒体对于数据加密技术的应用较多,但是安防监控领域对于这一技术的使用并不多,当前在使用的仅仅只有少数几个平台厂家。由此可看出,安防监控领域的安全监控技术还有待进一步深入、加强。流媒体对于数据加密技术的使用虽然日趋成熟,但考虑到流媒体自身存储数据的图像实时性,因此在加密和解压的同时需要结合实际情况评估解密速度对数据实时性的影响,计算解密速度和数据包大小的对应关系。利用序列密码进行流媒体数据加密也是一种不错的加密方法,但使用这种加密方式也须考虑实际需求。

(四)VPN技术。

VPN技术适用于连锁超市、集团公司、加油站、公共场所等地方,它能够在公共信息网中建立虚拟局部网络,监控数据可以基于虚拟局部网络实现数据的安全传递。也正是基于此,连锁超市、集团公司和加油站等分布散、数量多的个体只要将数据专线接入本地网络,即可在自己的虚拟局部网络中安全传递信息。此外,若想节省高昂的布线成本,也可以采用拨号方式接入VPN监控网络来构建监控网络,传递信息。

四、结语

监控网络安全信息技术应互联网大环境而生,且经过多年的研究已有了一定的成果,基于当前互联网中存在的安全隐患也有了一定的防御能力。但不可否认网络攻击手段日新月异,层出不穷,现在的监控网络安全信息技术还远远不够,监控网络安全信息技术仍然需要面对极大的安全挑战,也需要不断地更新,完善。而网络安全,仅仅有监控网络安全系统还远远不够,健全的网络管理制度和操作者的高度安全防范意识也是不可或缺的,只有三者具备,才能实现真正意义上的安全网络环境。

【参考文献】

[1]梓墨.监控网络安全信息技术发展与应用[J].中国安防,2011,8

[2]厉颖,韩殿国.网络安全管理技术研究[J].软件导刊,2013,2

[3]陈利.基于行为分析的网络通信监控技术研究[J].计算机应用技术,2011

篇2

信息化的迅猛发展必然也会给网络信息安全带来隐患,找到影响原因所在,才能更有利于保障公民或相关组织的合法权益。

(一)网络信息传播快速的风险

报纸、广播、电视等传递信息都不及网络。很多社会负面问题都是通过网络传播才得以处理。但网络上也会以讹传讹,导致相关人员合法权利受到侵害,如民生花园抢劫案等。如此快速的传播途径,如监管不到位,必然影响到人们的正常生活。在网络化发展的今天,有些人不经意间就会遭受到被网络攻击带来的苦恼和伤痛,甚至有些走不出这一阴影而导致生命丧失。所以,在享受网络信息传播迅速捷径时,也要充分注意到其带来的风险。

(二)网络系统漏洞存在的危害

经济社会的发展对网络信息系统的依赖程度势必越来越高,且同时,网络攻击发生频率也必然越来越高;虽然安全专家们正极力对付日益强大的网络系统漏洞威胁,但攻击者们总会拥有更为先进工具和更为尖端技术,有的攻击者甚至能做到逃避尖端防卫系统的监视和检测,从网络信息系统安全管理角度来看,网络信息系统安全形势正日趋严峻。

(三)网络信息安全法制建设滞后的风险

网络信息安全法律制定滞后,导致执法不严现象的发生。如对病毒制造者及其恶意传播者、公然进行网络攻击者无法及时量罪定刑,也无法及时有效地保护相关受害者。如何保护网络信息安全,是法律工作者必须从法律层面上思索的重要问题。如,对搜索引擎服务提供商“竞价排名”或者“关键词广告”,现行《中华人民共和国商标法》及其配套司法解释对这种行为是否构成商标侵权未作明确规定,由此竞价排名导致网络商标侵权、不正当竞争案件纠纷的频发,但审判结果却差异纷呈,导致电商企业的无所适从。

二、加强网络信息安全法制建设

如何在网络化、信息化发展迅速的时代潮流中占有一席之地,加强网络信息安全法制建设是一项必要的措施。

(一)在法律约束下发挥好网络信息传播快速的功能

在社会主义核心价值观指导下,既要利用好网络传播快速的作用,又要善于保护自己合法权益不受侵害。“网络快餐”固然“美味可口”,但“吃撑了”或“吃歪了”都不是好事。信息时展带来的丰盛成果,可谓触及到地球的每一个角落,不以讹传讹,不盲目信任网友,保持一颗纯净的心,遵守信息法律法规和信息道德,才能在网络的海洋中任意遨游。

(二)克服网络系统漏洞危害,营造良好的网络信息环境

恶意公布或售卖漏洞的行为属于黑客攻击行为的帮助行为,必须对行为人按照黑客犯罪的从犯进行定罪量刑。但在实践过程中,由于帮助犯的故意仅限于直接故意,如恶意公布漏洞的行为作为后续实行犯的帮助行为,则很难被认定为共犯,因为该行为人公布虽然是恶意的,但对于后续的行为往往只是一种盖然性认知;对于非恶意的漏洞挖掘和公布行为,如白帽黑客发掘漏洞并告知厂商换取报酬或者通过乌云等网络安全漏洞平台予以公开的行为,我国现行法律法规尚无针对性的界定。这方面有待国家尽快出台相关法律法规,以更好的打击网络信息系统漏洞行为。对于个人和组织来说,经常性的扫描漏洞,通过一些杀毒软件予以清除漏洞是必备的上网手段。

(三)建立健全网络信息安全相关法律法规

篇3

一、国家等级保护标准

我国的信息安全等级保护工作起步于20世纪90年代,随后相继颁布了多个等级保护标准,具体可分为基础性标准、定级标准、建设标准、测评类标准和管理类标准。基础性标准包括《计算机信息系统安全等级保护划分准则》(GB17859-1999)、《信息系统安全等级保护实施指南》(GB25058-2010)以及《信息安全等级保护管理办法》(公通字[2007]43号)等;定级标准有《信息系统安全等级保护定级指南》(GB/T22240-2008)等;建设标准包括《信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息系统通用安全技术要求》(GB/T20271-2006)以及《信息系统等级保护安全设计技术要求》(GB/T25070-2010)等;测评类标准主要有《信息系统安全等级保护测评要求》(GB/T28448-2012)和《信息系统安全等级保护测评过程指南》(GB/T28449-2012)等;管理类标准主要有《信息系统安全管理要求》(GB/T20269-2006)以及《信息系统安全工程管理要求》(GB/T20282-2006)等。针对单位的普通信息安全工作人员而言,涉及较多的标准主要有定级标准《信息系统安全等级保护定级指南》(GB/T22240-2008)与建设标准《信息系统安全等级保护基本要求》(GB/T22239-2008)等。《信息系统安全等级保护定级指南》主要用于指导信息系统的等级划分和评定,将信息系统安全保护等级划分为5级,定级要素有两个:等级保护对象受到破坏时所侵害的客体以及客体受到侵害程度。定级要素与信息系统安全保护等级的关系见表1。由表1可知,三级及以上系统受到侵害时可能会影响国家安全,而一级、二级系统受到侵害时只会对社会秩序或者个人权益产生影响。在实际系统定级过程中,要从系统的信息安全和服务连续性两个维度分别定级,最后按就高原则给系统进行定级。《信息系统安全等级保护基本要求》是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类等级保护基本要求共有10个部分,技术要求和管理要求各占5个部分。其中,技术类安全要求又细分三个类型。信息安全类(S类):为保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改的信息安全类要求。服务保证类(A类):保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求。通用安全保护类要求(G类):既考虑信息安全类,又考虑服务保障类,最后选择就高原则。

二、金融行业信息安全等级保护标准及必要性分析

1.行业标准金融行业作为信息化行业的一个重要组成部分,金融行业信息系统安全直接关系到国家安全、社会稳定以及公民的利益等。为落实国家对金融行业信息系统信息安全等级保护相关工作要求,加强金融行业信息安全管理和技术风险防范,保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展,中国人民银行针对金融行业的信息安全问题,在2012年了三项行业标准:《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》。2.必要性分析网络安全法明确规定国家实行网络安全等级保护制度,开展等级保护工作是满足国家法律法规的合规需求。金融行业开展信息安全等级保护工作的必要性有以下3点。(1)理清安全等级,实现分级保护金融行业各类业务系统众多,系统用途和服务对象差异性大,依据等级保护根据系统可用性和数据重要性开展分级的定级要求,可以有效梳理和分析现有的信息系统,识别出重要的信息系统,将不同系统按照不同重要等级进行分级,按照等级开展适当的安全防护,有效保证了有限资源充分发挥作用。(2)明确保护标准,实现规范保护金融行业信息系统等级保护标准有效解决了金融行业信息系统保护无标准可依的问题。在信息系统全生命周期中注重落实等级保护相关标准和规范要求,在信息系统需求、信息系统建设和信息系统维护阶段参照、依据等级保护的标准和要求,基本实现信息系统安全技术措施的同步规划、同步建设、同步使用,从而保证重要的信息系统能够抵御网络攻击而不造成重大损失或影响。(3)定期开展测评,实现有效保护按照等级保护要求,每年对三级以上信息系统开展测评工作,使得重要信息系统能够对系统的安全性实现定期回顾、有效评估,从整体上有效发现信息系统存在的安全问题。通过每年开展等级保护测评工作,持续优化金融行业重要信息系统安全防护措施,有效提高了重要信息系统的安全保障能力,加强了信息系统的安全管理水平,保障信息系统的安全稳定运行以及对外业务服务的正常开展。

三、网络安全法作用下标准的发展

随着等保制度上升为法律层面、等保的重要性不断增加、等保对象也在扩展以及等保的体系也在不断升级,等级保护的发展已经进入到了2.0时代。为了配合网络安全法的出台和实施,满足行业部门、企事业单位、安全厂商开展云计算、大数据、物联网、移动互联等新技术、新应用环境下等级保护工作需求,公安部网络安全保卫局组织对原有的等保系列标准进行修订,主要从三个方面进行了修订:标准的名称、标准的结构以及标准的内容。1.标准名称的变化为了与网络安全法提出的“网络安全等级保护制度”保持一致性,等级保护标准由原来的“信息系统安全等级”修改为“网络安全等级”。例如:《信息系统安全等级保护基本要求》修改为《网络安全等级保护基本要求》,《信息系统安全等级保护定级指南》修改为《网络安全等级保护定级指南》等。2.标准结构的变化为了适应云计算、物联网、大数据等新技术、新应用情况下网络安全等级保护工作的开展,等级保护基本要求标准、等级保护测评要求标准的结构均由原来的一部分变为六部分组成,分别为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求与大数据安全扩展要求。3.标准内容的变化各级技术要求分类和管理要求的分类都发生了变化。其中,技术要求“从面到点”提出安全要求,对机房设施、通信网络、业务应用等提出了要求;管理要求“从元素到活动”,提出了管理必不可少的制度、机构和人员三要素,同时也提出了建设过程和运维过程中的安全活动要求。

篇4

【关键词】安全关键系统;功能安全;时间触发协议

在后PC时代,实时计算和通信技术已被广泛应用于航空航天、国防、交通运输、核电能源和医疗卫生等诸多安全关键系统中。随着安全关键系统呈现出分布式和一体化的新特性,通信网络已成为系统中的核心组件,并且对安全关键系统的构建和验证起着决定性的作用。因为安全关键系统关系到人身安全和财产损失,因此不同于通常的实时通信网络,安全关键实时通信网络不但要求网络的实时性,更重要的是网络的安全性和可靠性,包括出错检测的能力,容错能力和故障隔离能力。这些特性对实时通信协议提出了更多新的需求。在分布式实时系统中,构建通信网络存在两种范型:事件触发(event-triggered)和时间触发(time-triggered),简称ET和TT。被用在安全关键系统中的事件触发协议并不多,如CAN,Btyeflight。虽然灵活性是其优势,但从安全关键系统的角度来看,这也成为其不被使用的主要原因。而时间触发协议因为良好的可预测性,容错能力和可组合性而被广泛用于安全关键系统中,如TTP。

1.事件触发的安全关键实时通信网络

事件触发范型就是指网络上的所用活动都是由外部(或内部)事件的出现来触发的。例如,如果传感器所读的值发生变化,则广播其新值。事件触发协议具有很好的灵活性,它能够快速的响应任何时刻发生的通信请求,并不会对通信活动发生的时间做任何限制。但由于外部事件具有很强的异步性,随机性,导致ET型网络的可预测性差。ET型网络最坏情况下的延迟时间发生在所有节点同时准备发送消息的时刻。而平均情况下,可能无需等待就可以被发送出去,因此发送延迟的抖动较大。因为节点只响应外部事件,因此ET型网络不能很快检测出表现为故障沉默(fail-silence)的失效节点。而且ET型网络不能支持时序可组合性,因为节点之间的异步传输导致节点之间相互干扰,任何一个节点的加入,都会影响到其他节点的时一序行为。而且由于事件发生的随机性导致事件触发协议无法实现冗余复本之间的确定性,因此多采用主从方式实现容错系统。

ET网络的这些缺点使其不适用于安全关键实时系统,因此近些年,提出了一些新的ET型网络协议,在保持自身优势的情况下,从协议设计上吸取时间触发协议的优势以克服其存在的缺陷,提高ET型通信协议的可预测性,检错能力和可组合性,如Byteflight;被实际用于安全关键系统的事件触发型通信网络有CAN,Byteflight等。

2.时间触发的安全关键实时网络

大量研究结果表明,设计实时网络的关键在于使用时间触发方法替代传统的事件触发方法。对于TT型网络,网络上所用的活动都随时间的前进而有计划的进行。例如,如果现在已启动了20微妙,则读取传感器的值并广播该值。时间触发协议通过一个静态的预先定义的全局调度表控制它的网络活动,并且该调度表和全局时钟作为每一个节点的先验知识,因此每一个节点可以知道什么时候允许发送消息以及什么时候可以接收消息。这使得TT型协议在时序行为上具有更好的可预测性。TT型网络的核心基础是建立和维护一个全局时钟。对传输媒体的访问采用时分多路访问机制。节点之间必须预留足够的空隙,以保证节点之间消息传输不会相互干扰。这样不但消除了共享介质的访问冲突,而且使得TT型网络具有时域上的可组合性。时间触发一脚议以节点最坏情况下的响应时间为其预留时间槽,因此,可以说时间触发协议是面向最坏情况而设计的。由于时序行为作为先验知识,时间触发协议的连接故障检测在接收端更易实现。

尽管时间触发协议在可预测性,故障检测能力和可组合性方面受到安全关键系统的青睐,但是时间触发协议最大的问题就是缺少灵活性,通信活动必须在指定的时刻才能发生,这就导致网络平均利用率低,特别是当一个或多个节点产生偶发性的消息时。因此,在某些对灵活性要求高的应用领域,如汽车电子系统,时间触发协议并不适用。因此在TT协议的基础上产生了一些满足行业需要的时间触发协议。

3.基于以太网的安全关键实时网络

工业以太网的应用与研究推动了以太网在安全关键系统中的应用。维也纳理工大学基于TTP在航空航天,汽车电子等领域积累的经验,提出了时间触发的以太网(Time-triggered Etllerenet,TTE)架构。TTE是同时支持实时消息与非实时消息的混合型协议。TTE的设计目标是将标准以太网与TTP/C的优点集于一身,在满足从非实时应用,到多媒体,再到安全关键的实时控制系统的各种需求的同时,能够兼容现有的以太网标准。但TTE需要修改以太网连接硬件设备以满足实时性需要。Powerlink是在标准以太网的基础上建立一个现场总线系统,来满足控制中最苛刻的实时要求。Powerlink已经通过SIL3安全完整性等级的认证。成为真正投入实际使用的基于以太网的安全关键通信网络。

我国在这方面开展了大量的研究工作,提出了实时通信协议E&TTE。E&TTE是一种基于事件触发型Ethernet的时间触发网络,它有效地组合了事件触发与时间触发方法,其中事件触发用于传输异步实时与非实时消息,而时间触发方法则用于传输同步实时消息,E&TTE有机组合两类网络的优点,使实时网络不但具有较高的灵活性,而且具有较好的可预测性。虽然以太网在安全关键系统中的应用还未像工业以太网一样取得丰硕的研究成果,但是随着网络互联需求的不断增加,安全关键系统与IT系统的连接是不可避免的趋势,因此安全关键系统与以太网的互联也应该作为新型安全关键网络设计的目标之一。

4.结束语

尽管目前有多种可用的现场总线,但其并没有被广泛的应用于安全关键系统中,因其开发过程中并没有融入安全的设计理念,而是在实现完成后,再去推导其设计的安全性。作为一种涌现特性(emergent property),安全性不可能在系统部署之后被添加进去,它必须贯穿于系统的整个开发过程中。很多的现场总线提供商都在致力于通过安全完整性等级的验证,开发过程成为其最大的障碍。因此,将实时通信网络安全管理概念贯穿于协议设计开发和验证过程中,从过程中保证与安全标准的兼容性以提高系统的安全置信度是一个值得探究的课题。

参考文献

[1]冯时雨,王轶辰.实时网络通信协议的设计与实现[J].计算机工程与设计,2008(17).

篇5

中国网络治理与信息安全监管的法律规范体系建设也取得了显著成效,要想保障网络信息的健康发展,就是要通过国家法律、司法解释、行政法规等,对信息的安全起到了积极的作用。不过,从总体上看,现在我国的法制化对于中国网络治安与信息安全监管是有很大的提升空间,网络信息的治理和安全是有区域问题的,所以需要全社会综合治理网络信息安全的。

现在国家最突出和核心的问题就是随着互联网的飞速发展使得信息时代的信息安全保障尤为重要。现如今网络的黑客、垃圾信息、网络病毒等多数都是人为的原因造成的,对网络信息的安全是有冲击,所以对于通过黑客的防范以及正确的引导,能更好的维护网络信息系统的安全性。针对现在网络信息安全的现状创新网络信息安全技术是有必要的,更重要的是要完善网络信息安全的立法,用法律来维护健康的网络信息环境。

(1)现今的网络主要是通过信息的互通,交流、共享等方式来实现的,给社会生活的服务提供很大的便利条件,信息的传播更多面化。随着网络技术的进步大大提高了工作效率,促进经济的发展,社会的进步。

(2)网络信息的开放性,互通性,虚拟性等特点,在客观上不可避免地被一些别有用心的组织和个人所利用,借助网络肆意传播、制造有害信息,攻击正常网络系统,窃取机密信息,这些活动给社会的稳定带来很大的隐患,为此,国家信息安全战略就是信息网络的安全,这对于国家是重要的一部分。

二、我国网络信息安全的立法突出问题与不足

(一)我国网络信息安全立法存在的问题

(1)网络信息方面的基本法是没有的。由于立法的层次比较低,使得法规缺乏权威性,造成了法律效力的降低,执法的困难。

(2)如今关于网络信息的安全的管理和法规多种多样,就造成了立法之间冲突的现象出现。在我国,有关网络信息的管理机构很多,但是出现了执行过程中的互相推卸责任,扯皮的现象很严重。同时,立法是通过多部门实行的,如针对一个问题各个部门的立足点会有所不同,就是法规的局限性会很大。其结果就造成有关法规分散不集中,有个别规定之间相互冲突了。

(3)立法缺乏整体性,比较严重的就是缺位或者是缺空。现在并没有对于网络信息出现的问题的管理和保护有明确的规定。例如对于消费者权益保护的信息网络中的纠纷,包括一些网络支付,电子证据等存在着法规的缺位。给实际的执行带来了很大的困难。

(二)我国网络信息安全立法的不足

(1)我国对网络信息安全的认识不足,对网络信息的立法不够重视。导致对于信息安全的模糊的认识,只注重网络信息技术的发展,而忽略了网络安全性的法治化,在社会经济促使下这种情况尤为突出。

(2)社会上有很多人对高技术、高科技有种盲目的推崇,认为高科技设备能完全的实现科学管理,提高效率,会万无一失实现无人工的全智能化。然而社会原有的监督管理部门和司法系统中的人员往往对这种高技术、高智能的设备不清楚,不了解,对于网络的危害性和高技术犯罪的认识不足,或没有足够的技术力量和相应的管理措施来对付它们。

(3)信息网络的全球性和技术性特征决定了信息网络立法具有全球的普遍性,因此,只需简单移植他国或国际立法就可以了,对我国网络发展的特点认识不足,不能更好的针对我国作出更合适的法律法规或章程。

(4)虽然加强我国信息安全法律保障体系的建设显得尤为迫切,但是也不应急于立法来压制网络,不应急于求成造成立法之间的冲突。

三、完善网络安全的行政责任的措施和建议

网络信息对社会的重要性和影响力是很大的,所以网络信息的安全的问题也突出的重要。所以就要有针对的法律来约束网络信息,能健康的发展。

(1)加强技术管理与网络安全管理的工作,一方面,要全面的改善计算机及网络技术系统,充分利用网络保护程序的特殊装置技术设立防火墙,来增加自身防范的能力。另一方面,网络使用者要有安全意识,同时,网络管理机构和网络管理人员要有专业的知识,或者有相关的培训来提高个人的素质和处理各种问题的能力。

(2)首先,对危害特别严重,造成国家各方面的重大损失的网络犯罪的要通过较重的法定刑来处理,或者更严重的刑期或刑罚。其次,对于利用计算机网络实施的传统性犯罪,因为影响范围广、危害性大,法定刑应比同类普通刑事犯罪高;再次,对于危害国家利益、社会公益以及侵财性网络犯罪,应加大财产刑的处罚力度,可规定并处高额罚金或没收全部财产等,以加大犯罪分子的犯罪成本;最后,对一些不同的网络犯罪主体,要通过一些限制或者剥夺的方式来处罚,或者永久的剥夺经营者的资格,多方面屏蔽的方式。

(3)一方面要大力的打击网络犯罪,强化国际合作,各国联合对网络犯罪方面进行执法和高技术的通力合作。进一步提高预防和打击网络犯罪的能力和效率。

综上所述,我国目前网络信息安全立法就是要以行政法规和各种规章为主要方式,现今最好的保护形式就是行政保护,但是在立法的具体实行中还会存在责任设定的不合理、责任设定冲突的各种缺陷。对此,应当对现行立法中行政责任的设定进行合宪性审查,针对网络信息安全保障组织法规范行政执法,改变一些具体的处罚形式来健全和完善行政责任。对于当前的中国来说,加强对涉及国家安全的网络信息法律保障的研究,在思想上有助于提高我们对信息安全重要性的认识,在实践上有利于加强我国的信息安全保障能力,更好地维护我国的国家安全。

参考文献:

[1]张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002,04.

[2]郑成思.运用法律手段保障和促进信息网络健康发展[J].网络安全技术与应用,2001,12.

作者简介:

篇6

一、企业网络信息安全的基本目标

企业网络信息安全技术的研究与开发最终目的是实现企业信息的保密性、完整性、可用性以及可控性。具体来讲市场化的发展背景,企业之间存在激烈的竞争,为增强市场竞争力,出现盗取商业机密与核心信息的不良网络现象。企业加强网络信息安全技术开发,一个重要的目的是防止企业关键信息的泄露或者被非授权用户盗取。其次,保障信息的完整性,是指防止企业信息在未经授权的情况下被偶然或恶意篡改的现象发生。再次,实现数据的可用性,具体是指当企业信息受到破坏或者攻击时,攻击者不能破坏全部资源,授权者在这种情况下仍然可以按照需求使用的特性。最后,确保企业网络信息的可控性,例如对企业信息的访问、传播以及内容具有控制的能力。

二、企业网络信息安全面临的主要威胁

根据相关调查显示,病毒入侵、蠕虫以及木马程序破坏是对企业网络信息安全造成威胁的主要原因。黑客攻击或者网络诈骗也是影响企业网络信息安全的重要因素。当然部分企业网络信息安全受到破坏是由于企业内部工作人员的操作失误造成。总之威胁企业网络信息安全的因素来自方方面面,无论是什么原因造成的企业网络信息安全的破坏,结果都会对企业的生产发展造成恶劣的影响,导致企业重大的损失。在信息化发展背景下,企业只有不断提高网络信息的安全性,才是实现企业持续发展的有力保证。

三、企业网络信息安全保护措施现状

当前企业在进行网络信息安全保护方面的意识逐渐增强,他们为确保企业网络信息安全时大都应用了杀毒软件来防止病毒的入侵。在对企业网络信息安全进行保护时,方式比较单一,技术比较落后。对于入侵检测系统以及硬件防护墙的认识不足,尚未在企业中普及。因此推进企业网络信息安全技术的开发,前提是提高企业对网络信息安全保护的意识,增强企业应用网络信息安全技术的能力,才能有效推动企业网络信息安全技术的开发。

四、促进企业网络信息安全技术开发的对策与建议

(一)定期实施重要信息的备份与恢复

加大对企业网络信息安全技术的研发投入,一个重要的体现是对企业网络信息的管理。企业对于重要的、机密的信息和数据应该定期进行备份或者是恢复工作。这是保障企业网络信息安全简单、基础的工作内容。当企业网络受到破坏甚至企业网络系统出现瘫痪,企业能够通过备份的信息保障生产工作的运行,把企业的损失降到最低。实现企业网络信息安全技术开发的实效性的基础工作是做好企业重要网络信息的定期备份与恢复工作。

(二)构建和实施虚拟专用网络(VPN)技术

以隧道技术为核心的虚拟专用网络技术,是一项复杂的、专业的工程技术。该项技术对于保护企业网络信息安全具有重要意义,并且效果显著。它把企业专用的、重要的信息进行封装,然后采取一定的方法利用公共网络隧道传输企业专用网络中的信息,如此一来可以实现对企业网络信息的保护,避免出现对企业信息的窃取与恶意修改。当然提升虚拟专用网络的兼容性、简化应用程序是企业网络信息安全技术研发重要课题。

(三)完善高效的防火墙技术

在企业内部网与外联网之间设置一道保护企业网络信息安全的屏障,即设置防火墙。这一技术是目前最有效、最经济的保障企业网络信息安全的技术。但由于当前大多数的远程监控程序应用的是反向链接的方式,这就限制了防火墙作用的发挥。在进行企业网络信息安全技术开发过程中,应进一步优化防火墙的工作原理或者研发与之相匹配的远程监控程序,来实现防火墙对企业网络信息安全的保护。

(四)对关键信息和数据进行加密

增强企业对关键信息和数据的加密技术水平也是企业网络信息安全技术研发的主要方面。更新加密技术,是保障企业网络信息安全的重要环节。企业在对重要信息和数据进行加密时可以同时采取一些例如CD检测或者KeyFile等保护措施,来增强企业重要信息的保密效果。

五、结束语

篇7

计算机网络自问世以来,就以前所未有的卓越信息传递和处理能力和方便快捷的使用方式带给人类社会带来翻天覆地的巨大变化。它深刻改变了人们的思考与生活方式,深入到人们社会活动的每一个角落,对世界经济、政治、军事、社会、文化、宗教等各方面都造成了重大影响。计算机网络在人们生活的客观物质世界之外,又创造了一个纯粹的信息世界。这个信息世界没有界限,理论上允许任何人登录,拉近了人与人之间的距离,即使世界上远隔万里的两个人在网络世界里也可触手可及,并肩而行。计算机网络的这种特性是柄双刃剑,在满足了人们高度的信息需求的同时,也产生了很大的信息安全隐患。构建基于计算机网络的信息安全系统是时展的需求,是业界一直不断探索的现实问题。

1 计算机网络安全威胁来源

1.1 网络的共享性带来的威胁

创建计算机网络的一个最根本原因就是为了实现网络资源共享。通过计算机网络,不同的计算机用户可以实现对其他人的资源利用。而这种利用有可能是积极的,也可能是消极的,甚至是违法的。利用计算机网络的资源共享性发动针对目标计算机或网络的破坏行为是当前计算机网络威胁中的最主要的类型。

1.2 网络的开放性带来的威胁

任何人登录到网络上后,理论上都可以实现对网络上共享信息的阅读与使用,比如机关团体、企事业单位或个人的信息内容。其中往往有许多部分具有保密性质,如果这些信息被人随意扩散或非法利用,极有可能造成严重后果。

1.3 网络的复杂性带来的威胁

计算机网络技术是一门非常复杂的高端综合性学科。大体上包含网络硬件设备和控制软件两个方面,组成极其复杂,其中任何一个部分发生问题都有可能威胁到网络安全。

1.4 网络边界及传输的不确定性带来的威胁

可扩展性是当前计算机网络的一个重要性质。由于可以不断扩展,使得网络的边界和信息传递路径相对模糊而不确定。而这种不确定性给网络安全隐患的形成提供了基础,网络安全保障工作难度加大。

1.5 海量信息带来的威胁

信息资源是网络承载的主要内容,在为使用者提供服务的同时,庞大的信息量也给网络稳定造成影响,过于巨大的信息传输量极可能导致网络阻塞。

2 计算机网络与信息安全系统

2.1 系统物理环境的安全措施

计算机机房是安置计算机网络与信息系统主体硬件设备的专用设施。国家对机房的设计与实施都有明确的标准,信息和数据安全是其基本前提。防火防潮是机房必备的基本特性。(1)在选址方面,计算机网络机房要与危险建筑保持安全距离,如果机房位于楼房,则需选择方便整个组织机构网络建设的位置。(2)在安全保卫方面,由于机房是保存信息的重要设施,安全保卫措施必须加强。通常都要设置现代化的环境调节、监控和门禁等设施,以维持机房环境适宜条件,监视机房设备运行情况,防范外部非法侵入等。(3)在消防安全方面,机房一直都是防火重地。如今的计算机机房都配有自动灭火装置,一旦发生火灾即可自动启动实施灭火。

2.2 系统运行环境的安全措施

加强制度管理,建立健全科学规范的计算机网络管理与使用制度,落实安全保障措施,从组织角度、管理角度和技术角度来保障网络系统数据传输的安全性、完整性与使用性。(1)加强计算机网络硬件设施及场所的标示管理。在机房入口处张贴警示标语和门牌。在交换机、路由器以及中心服务器等重要设施上张贴标示,提高辨识度,方便管理与维护。(2)做好设备备份工作。为防止因为突发性机器故障导致的网络事故,重要网络设备、设施都要做好备份,一旦发生事故立即切换,保障网络正常使用。(3)加强信息传输通道的安全防护。一般采用在传输的信息中加入冗余信息,从而便于及时发现信息传输过程中变化与改动。

2.3 系统的软件及数据环境的安全措施

(1)及时完善操作系统。任何系统、软件都有漏洞。系统开发商会经常系统补丁,计算机用户要及时下载安装,弥补系统不足。(2)划分用户权限。根据用户使用需求设定用户权限,不同权限的用户使用系统资源,访问网络的情况也不一样,从而可以有效避免威胁系统安全的情况发生。(3)物理隔离。网络资源共享的前提是网络硬件连接。关键部门使用独立的局域网,与万维网硬件上不连通,彻底消除来自外部网络的入侵的可能性。(4)做好数据备份。安全系统的防护能力并非绝对有效。为减少系统安全事故带来的损失,对于重要数据可定期备份,备份介质单独存放。

3 计算机网络与信息安全关键技术

3.1 防病毒软件和防火墙

针对计算机病毒开发的防病毒软件是最常用的网络安全防护技术。根据使用环境不同分为单机版和网络版。无论哪种,都具有较强的局限性。由于防病毒软件是根据具体病毒而开发的,而病毒更新速度很快,使得防病毒软件的实效性大打折扣。要较好地保障网络安全,还需要其他技术、措施的配套支持。如系统数据定期备份,关键业务信息采用加密技术等。

防火墙是抵御网络攻击的重要措施。其原理是通过预先设置对访问行为进行选择性限制,从而维护内部网络环境的相对安全。

3.2 入侵检测技术

入侵检测是针对非法入侵行为实施的防护机制,通过及时察觉非法入侵行为并展开相应的防护措施来实现。其技术的关键部分就是要建立一套准确的判断规则,任何不符合该规则的行为都将被视为入侵行为。对于入侵行为判断的精准程度直接关系到防护机制的运行质量。粗犷的判断标准使得系统误报率非常高。

3.3 密码技术

加密技术主要应用于信息网络传递方面。通过将信息按照某种算法进行编译再传输的方式减少数据被他人非法获取后造成的信息泄露,从而起到网络信息安全保障的作用。

3.4 访问控制技术

访问控制限制了计算机对外部网络的访问行为。根据危险程度不同,对外部网络环境的不同区域进行了划分。再按照预先设置的规则,对计算机的访问行为进行选择性限制,允许其访问安全区域,禁止访问危险区域。对危险网络的远离,使得计算机遭受攻击的概率大幅下降,从而提高了网络的安全性。访问控制策略的制定分为入网访问控制环节、网络权限划分环节和客户端防护策略制定三个部分。系统根据预先设置的详细规则,允许 被授权的设备及用户访问网络,所访问的网络范围受到严格控制。使用防火墙的数据包过滤和功能、VLAN技术的区域划分功能控制访问行为。使用交换机802.1X协议实现对用户访问行为的授权。

4 结束语

计算机网络技术是当今世界最伟大的发明之一。其存在在一定程度上主导了人类发展的方向。在网络技术逐渐普及的今天,建立安全可靠的网络信息安全保障体系意义非常重大。计算机网络安全保障,需要政府的引导,更需要社会各方面的配合与努力,从制度、技术和管理等方面构建安全系统。要高度重视计算机网络软件、硬件产品的开发与研制,加大安全体系研发投入。同时,要做好网络信息安全的宣传普及工作,特别是对于政府机关和企事业单位的要害部门,更加要加强信息安全防护,避免因为网络和信息安全事故给国家经济建设和社会稳定带来的重大损失。

参考文献

[1]王越,杨平利,李卫军.涉密计算机信息安全管理体系的设计与实现[J].计算机工程与设计,2010(18):3964-3967.

篇8

[关键词]信息安全人因失误失误发现与纠正

[分类号]G203 TP393

随着信息安全技术的发展,信息安全人因失误事件越来越令人担忧。据中国公安部公共信息网络安全监察局调查,至2007年5月,我国信息网络安全事件发生比例已高达65.7%,较2006年上升11.7%,且连续三年呈上升趋势。美国计算机技术工业联合会(The Computing Technology Industry Association)首席操作员Brian McCarthy也报导,2006年美国人因失误引起的网络信息安全事件已由2005年的47%上升至59%。他认为信息安全保障正在下降,原因在于人因失误不断发生。人因失误是对网络信息安全重要的、严重的威胁,但却常常被人们忽略,要想完全消除网络信息安全中的人因失误是非常困难的,是因为它很难被预测,即使有先进的信息安全技术也无计于事,毕竟人是最难以控制和预测的。因此,人因工程专家指出,防止人因失误的一种明智的方法就是对人因失误及时发现,并纠正。著名信息安全顾问Charles CressonWood等也强调,正确地运用安全专业的补救办法,完全可以纠正或明显地减少网络信息安全人因失误。因此,本文从感知、判断与决策到行动的一般发展规律,认为网络信息安全人因失误发现是人因失误分析及其纠正的起点,研究了信息人员人因失误发现的4种重要途径,且构建基于人因失误发现的人因失误纠正框架,为减少网络信息安全人因失误,保障信息安全提供一种主动性预防措施。

1 网络信息安全人因失误发现

信息人员的敏感度、怀疑与好奇性是网络信息安全人因失误发现的基本素养,而引发人因失误发现的重要途径是“比较”。运用Tom Kontogiannis提出的人因失误发现的4个方面:预计效果与实现结果;设备失效与自身的失误效果;计划行为与执行行为和意图与计划。根据它们之间的失配,可以发现网络信息安全中的人因失误:

1.1 实现结果与预计效果之间的比较

在信息安全结果阶段,信息人员感觉或留意真实信息行为结果,比较“实际结果”与“预计效果”之间的失配,从中发现失误。表面上看,这种失误很容易发现,其实不然,尤其是在信息安全处理的复杂行为序列中。这是因为信息人员要记忆信息行为的执行路径,使得他们可能忘记已产生的行为结果,或可能不留意前面的行为结果。还由于信息系统设计问题,如不良的信息系统界面,或安全逻辑干扰掩饰,或信息操作人员本身的行动,掩盖了信息操作人员对信息行为真实结果的判断。

1.2 设备失效与人因失误之间效果比较

通过比较设备失效与自身的人因失误两者的不同结果,能够准确区分信息安全事故哪些是由于人的行为引起的,从而发现人因失误原因,及时纠正失误。值得注意的是,在信息安全复杂系统中,会出现设备失效和逻辑安全干扰等现象,但不能因此,就把不理想的信息安全结果全部归结于设备原因,从而阻碍人因失误的发现,导致人因事故再次发生。这种“把失误搪塞过去”的态度是人因失误难以发现的一种原因。

1.3 执行行为与计划行为之间的比较

这种比较出现在信息安全计划的执行阶段,是一种基于行为的失误发现,通常属于出错失误发现。在信息安全执行阶段,信息人员注意到执行行为与计划中规定行为之间的失配,从而发现人因失误。

1.4 意图与计划之间的比较

在信息安全计划阶段,比较意图与计划之间的失配,可能出现人因失误原因弄错的现象。造成这种失误原因主要是由于信息安全计划行为与意图之间出现的认知失误。指定意图与制定计划通常不是同一个人,制定计划的人不仅要充分理解网络信息安全目的与意图,同时还要考虑该计划执行者的行为,因此给意图与计划之间达到一致增加了难度。

2 网络信息安全人因失误纠正框架

在网络信息安全领域,人因失误纠正过程是随着人因失误类型、信息人员特征及安全目标的变化而变化的。因此,基于网络信息安全特点及信息人员的认知行为,参考Van Der Schaaf学者提出的人因失误纠正三个阶段,以认知行为规律为主线,构建基于人因失误发现的网络信息安全人因失误纠正框架。

它包含人因失误分析(感知)、人因失误纠正计划制定(判断与决策)、人因失误纠正计划实施(行动)三个阶段。在该框架中,基于失误发现的网络信息安全失误分析是失误纠正的基础及纠正计划制定的理论根据,失误纠正计划实施落实在网络信息安全计划阶段、执行阶段和结果阶段,因此采取人因失误前纠正、失误后纠正和补偿纠正三种措施。

2.1 网络信息安全人因失误分析

网络信息安全人因失误原因往往不只是简单的错误操作(出错失误),还包括信息人员对所处情景的错误认知和判断(弄错失误),因此,网络信息安全人因失误分析包括信息系统安全事件调查与人因失误原因确定两个环节。

在网络信息安全人因失误分析中,失误说明与辨识、失误类型确定均源于对人因事件的调查,其中包括对网络信息安全目标或计划、行为序列规范中的人因失误、情况说明中的人因失误等调查。调查对象涉及信息安全主管、信息系统、网络与数据库管理人员及信息系统操作人员等人员。

运用人因失误原因分析方法,如事件与原因因素分析、变更分析、屏障分析、追溯分析法等,对网络信息安全人因失误影响因子进行描述、说明与辨识,找出人因失误可能原因、具体原因及根本原因,分析并确定人因失误类型。其中弄错失误不是发生在网络信息安全人因失误问题解释、建立高级目标阶段,就是发生在信息安全行为计划制定阶段,它需要信息人员具有渊博知识与丰富的实际经验,才能辨识其根本原因。相比而言,出错信息安全人因失误,只要将信息操作人员的执行行为、实际结果与制定的计划、目标与结果进行比较,基本就能确定其影响因子了。

2.2 网络信息安全人因失误纠正计划

通常,专家们把更多的精力花费在评价系统上,而不是在选择最佳纠正计划上。因为网络信息安全人因失误纠正计划必须建立在对当前环境认真、细致分析的基础上,对重要的人因失误因素还需要严肃认真的调查核实,不可仅凭经验、假定与参考资料,草率地做出纠正计划,只有充分考虑了信息安全事件工作环境、

信息人员自身的能力以及信息安全技术的人因失误纠正计划,修正现有的网络信息安全计划或制定新的计划,才能从根本上纠正、预防和减少人因失误的发生。

网络信息安全人因失误纠正计划针对失误环境、失误对象、失误类型及严重度等不同因素,有不同的纠正计划。而这些计划的实施与实现需要得到信息人员、信息系统或环境即信息技术、信息组织三者配合与支持。因此,网络信息安全人因失误纠正计划归根结底信息人员策略、信息安全组织管理策略与信息系统安全设计策略三种策略的综合运用。

2.3 网络信息安全人因失误纠正措施及其实施

2.3.1 网络信息安全人因失误纠正措施根据人因失误特性、人因失误发生的阶段(计划阶段、执行阶段和结果阶段)、信息安全系统结果和可用的失误纠正时间等因素,信息人员可以采取不同人因失误纠正计划措施。本研究借鉴Mo和cmuzet提出的人因失误处理常用措施,作为网络信息安全人因失误纠正措施:

・失误后纠正:当信息安全人因事故发生后,信息人员运用已掌握的信息安全处理方法,如取消规定的某个操作指令;停止某个正在运用的信息操作程序或启动相关备用程序等,力争将信息系统恢复到事故前的状态。

・失误前纠正:信息人员已感觉或察觉到某种失误将要发生,但还未发生,此时信息人员应积极采取措施将信息系统带入一种中介稳定状态,争取更多的时间,去发现好的解决办法。这种纠正措施主要适用于关键设备已存在危险,人因失误后果暂时未显现或人因失误行为后续行为还未发生,且有充足响应时间的情况。

・补偿纠正:信息人员激活备用操作程序及多余设备,采取各种可能使用的补偿措施,将系统带进一个所希望的信息安全状态。

2.3.2 网络信息安全人因失误纠正实施阶段 不同的网络信息安全失误,有不同的发现途径,需要运用不同的失误纠正措施,在不同网络信息安全人因失误纠正阶段进行实施,它们之间的关系。

网络信息安全人因失误纠正因不同的计划实施分别发生在信息安全计划、执行与结果三个阶段。结果阶段人因失误纠正实施是在“事实之后”,而其他两种人因失误纠正实施则在失误结果之前。所有措施的正确实施需要依赖于信息人员自身捕获失误的监控能力。

结果阶段纠正弄错失误与出错失误两类人因失误。此时发现的弄错失误大多数是难以解释与纠正的,因为失误的直接原因是状态评价或制定计划失误所造成的。在执行阶段失误纠正中,采取补偿纠正措施,重点纠正网络信息安全执行过程中伴随行动的出错人因失误。计划阶段失误纠正是将人因失误防范或消除在人因失误发生前,侧重纠正信息安全计划,包括信息安全意图与目标及计划行为中的错误理解人因失误,即弄错人因失误。

篇9

关键词:企业 计算机信息网络 安全风险 控制方法

中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2012)08-0217-01

随着计算机技术的不断发展,越来越多的企业运用计算机信息技术建立起自己的信息网络,以此来实现对各种资源的有效利用。但是由于计算机网络的联结形式具有多样性,而且终端分布不均匀,使得企业的计算机信息网络很容易受到黑客、恶意软件以及其他不法行为的供给,所以使得计算机信息网络系统的安全问题也受到了越来越多的重视。

1、企业计算机信息网路系统的安全风险

由于不同的企业在生产和经营方式上有着一定的差异,所以不同的企业在计算机信息网络系统的选择和使用方面,也存在着一些区别。无论是企业内部的局域网,还是外部的广域网,都存在着由于自然因素和人为因素所造成的潜在风险。因此,企业计算机信息网络系统所面临的安全风险,可以归纳为以下两个主要方面:

1.1 外部风险

外部风险主要是指企业的计算机信息网络系统中,由于受到自然灾害或者是非法攻击等外部因素所造成的安全风险。在通常情况下,火灾、水灾、盗窃以及等因素都可以称之为外部风险因素,这也是造成计算机信息网络系统遭到破坏的一个主要原因,其主要的破坏层面以硬件系统的破坏为主。同时,由于使用人员非法建立的文件或者是记录,并且通过某种手段企图将他们作为有效的文件或记录,也会对企业的计算机信息网络系统造成潜在的风险。有的操作人员为了获得更多的信息,通过非法手段进入到企业的信息系统中,希望以此来达到对数据的分析和程序的利用。在计算机信息网络系统中面临的最大的威胁,主要是来自黑客的攻击,黑客的攻击主要有两种途径:第一是网络攻击,通过各种非法手段进入到企业的计算机信息系统中,企图破坏相关数据和信息的完整性。第二则是网络侦查的方式,他们不会对企业计算机信息网络系统的正常运行造成影响,而是通过窃取、破译等方式来获得机密信息。无论是使用哪种方式,都会对企业的网络安全造成重大的危害。

1.2 内部风险

内部风险一般只是指计算机信息网络系统在正常运行过程中所存在的风险,这往往是由系统本身的特性所决定的。一般常见的内部风险主要有:操作人员的安全意识不强,登陆系统的账号和口令等随意转接给他人,没有访问权限的人员进入到企业计算机系统中会造成网络安全风险的产生;由于计算机软件本身不可避免的存在着一些漏洞,这些漏洞的存在也会成为黑客攻击的首选目标。有的软件中留有“后门”,通常都是由软件开发公司留下的,一般不为外人所知。一旦后门遇到攻击,将会造成无法估量的后果。另外,防火墙等产品自身的安全等级如果达到不到信息安全的等级要求,也会对系统的安全产生一定的威胁。

2、企业信息网络系统的风险控制方法

只有对企业计算机网络系统的安全风险进行科学的分析,才能够采取有针对性的措施,对于不同的风险类型采取相对应的风险控制方法。为了有效的保证计算机信息网络系统的安全性,就要从信息的产生到消亡的整个过程进行严密的监控,形成完整的数据控制方法,达到对系统安全风险的控制。

2.1 数据信息的输入和传输

在企业进行信息系统的输入阶段,为了保证数据的正确性和合法性,一般可以通过加密技术对要传输的数据进行加密,然后再通过网络进行传输,这样则能够避免信息在传输的过程中遭到篡改或者是窃取,从而保证企业信息的安全性,当前常用的加密方法有很多,可以根据实际的情况采用文件加密或者是文件夹加密等方式。

2.2 数据信息的接收与处理

当企业受到由外部传输而获得的需要处理的订单信息时,需要利用预编程序质量对于该信息进行处理和控制,处理完成后的信息再次输出时,便可以将信息输出到企业所运用的如磁盘、交卷等信息媒介,这时惬意应当关注的是对获得的信息数据的安全性进行控制。如果需要对信息使用过程中产生的数据进行存储,则需要控制用户对数据的使用情况,同时也应当掌握用户对数据的存储状况,这也是对计算机信息网络风险控制十分必要的一环。

2.3 结果数据信息的保存和处理

这是风险控制的最后一环.即对数据使用过后的处置,如存储的方法和地址、保存的时间和清除等。有些用户不再使用的数据应妥善处理.防止被一些人当做“废物”加以利用,即对这些被废弃的信息加以研究,获得有用信息,这对系统的安全构成一种威胁。

2.4 网络管理和安全管理

上述风险控制方法在计算机风险控制中起着重要的作用,与此同时,我们也需要一个良好的管理平台,确保计算机设备的各项功能获得有充分的发挥。网络管理对于网络资源的最优化、监控和有效利用是至关重要的。

3、结语

随着计算机网络在现代企业中的应用越来越广泛,计算机信息网络安全问题也受到了更多的重视。企业计算机信息系统共安全保护是一项复杂的工作,不仅要保护计算机本身的设备安全,同时更要注重对计算机内部信息和数据的保护,因此,我们应当从多个方面对企业计算机信息系统的安全风险进行客观的分析,并且采取有针对性的控制措施,以此来保证企业计算机信息网络安全系统的安全性,保证企业信息和数据的安全性。

参考文献

[1] 祝峰.如何构建安全的企业信息网络[J].网络安全技术与应用,2010(04).

[2] 张希武,陈宇.全面提升企业信息网络整体安全防护水平[J].网络与信息,2011(10).

[3] 王旭东,王萍韵.谈如何建立企业计算机信息网络运行管理体系[A].2002安徽省电力工业计算机应用学术会议[C],2002.

篇10

(2012年11月26日最高人民法院审判委员会第1561次会议通过自2013年1月1日起施行)

为正确审理侵害信息网络传播权民事纠纷案件,依法保护信息网络传播权,促进信息网络产业健康发展,维护公共利益,根据《中华人民共和国民法通则》《中华人民共和国侵权责任法》《中华人民共和国著作权法》《中华人民共和国民事诉讼法》等有关法律规定,结合审判实际,制定本规定。

第一条人民法院审理侵害信息网络传播权民事纠纷案件,在依法行使裁量权时,应当兼顾权利人、网络服务提供者和社会公众的利益。

第二条本规定所称信息网络,包括以计算机、电视机、固定电话机、移动电话机等电子设备为终端的计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,以及向公众开放的局域网络。

第三条网络用户、网络服务提供者未经许可,通过信息网络提供权利人享有信息网络传播权的作品、表演、录音录像制品,除法律、行政法规另有规定外,人民法院应当认定其构成侵害信息网络传播权行为。

通过上传到网络服务器、设置共享文件或者利用文件分享软件等方式,将作品、表演、录音录像制品置于信息网络中,使公众能够在个人选定的时间和地点以下载、浏览或者其他方式获得的,人民法院应当认定其实施了前款规定的提供行为。

第四条有证据证明网络服务提供者与他人以分工合作等方式共同提供作品、表演、录音录像制品,构成共同侵权行为的,人民法院应当判令其承担连带责任。网络服务提供者能够证明其仅提供自动接入、自动传输、信息存储空间、搜索、链接、文件分享技术等网络服务,主张其不构成共同侵权行为的,人民法院应予支持。

第五条网络服务提供者以提供网页快照、缩略图等方式实质替代其他网络服务提供者向公众提供相关作品的,人民法院应当认定其构成提供行为。

前款规定的提供行为不影响相关作品的正常使用,且未不合理损害权利人对该作品的合法权益,网络服务提供者主张其未侵害信息网络传播权的,人民法院应予支持。

第六条原告有初步证据证明网络服务提供者提供了相关作品、表演、录音录像制品,但网络服务提供者能够证明其仅提供网络服务,且无过错的,人民法院不应认定为构成侵权。

第七条网络服务提供者在提供网络服务时教唆或者帮助网络用户实施侵害信息网络传播权行为的,人民法院应当判令其承担侵权责任。

网络服务提供者以言语、推介技术支持、奖励积分等方式诱导、鼓励网络用户实施侵害信息网络传播权行为的,人民法院应当认定其构成教唆侵权行为。

网络服务提供者明知或者应知网络用户利用网络服务侵害信息网络传播权,未采取删除、屏蔽、断开链接等必要措施,或者提供技术支持等帮助行为的,人民法院应当认定其构成帮助侵权行为。

第八条人民法院应当根据网络服务提供者的过错,确定其是否承担教唆、帮助侵权责任。网络服务提供者的过错包括对于网络用户侵害信息网络传播权行为的明知或者应知。

网络服务提供者未对网络用户侵害信息网络传播权的行为主动进行审查的,人民法院不应据此认定其具有过错。

网络服务提供者能够证明已采取合理、有效的技术措施,仍难以发现网络用户侵害信息网络传播权行为的,人民法院应当认定其不具有过错。

第九条人民法院应当根据网络用户侵害信息网络传播权的具体事实是否明显,综合考虑以下因素,认定网络服务提供者是否构成应知:

(一)基于网络服务提供者提供服务的性质、方式及其引发侵权的可能性大小,应当具备的管理信息的能力;

(二)传播的作品、表演、录音录像制品的类型、知名度及侵权信息的明显程度;

(三)网络服务提供者是否主动对作品、表演、录音录像制品进行了选择、编辑、修改、推荐等;

(四)网络服务提供者是否积极采取了预防侵权的合理措施;

(五)网络服务提供者是否设置便捷程序接收侵权通知并及时对侵权通知作出合理的反应;

(六)网络服务提供者是否针对同一网络用户的重复侵权行为采取了相应的合理措施;

(七)其他相关因素。

第十条网络服务提供者在提供网络服务时,对热播影视作品等以设置榜单、目录、索引、描述性段落、内容简介等方式进行推荐,且公众可以在其网页上直接以下载、浏览或者其他方式获得的,人民法院可以认定其应知网络用户侵害信息网络传播权。

第十一条网络服务提供者从网络用户提供的作品、表演、录音录像制品中直接获得经济利益的,人民法院应当认定其对该网络用户侵害信息网络传播权的行为负有较高的注意义务。

网络服务提供者针对特定作品、表演、录音录像制品投放广告获取收益,或者获取与其传播的作品、表演、录音录像制品存在其他特定联系的经济利益,应当认定为前款规定的直接获得经济利益。网络服务提供者因提供网络服务而收取一般性广告费、服务费等,不属于本款规定的情形。

第十二条有下列情形之一的,人民法院可以根据案件具体情况,认定提供信息存储空间服务的网络服务提供者应知网络用户侵害信息网络传播权:

(一)将热播影视作品等置于首页或者其他主要页面等能够为网络服务提供者明显感知的位置的;

(二)对热播影视作品等的主题、内容主动进行选择、编辑、整理、推荐,或者为其设立专门的排行榜的;

(三)其他可以明显感知相关作品、表演、录音录像制品为未经许可提供,仍未采取合理措施的情形。

第十三条网络服务提供者接到权利人以书信、传真、电子邮件等方式提交的通知,未及时采取删除、屏蔽、断开链接等必要措施的,人民法院应当认定其明知相关侵害信息网络传播权行为。

第十四条人民法院认定网络服务提供者采取的删除、屏蔽、断开链接等必要措施是否及时,应当根据权利人提交通知的形式,通知的准确程度,采取措施的难易程度,网络服务的性质,所涉作品、表演、录音录像制品的类型、知名度、数量等因素综合判断。

第十五条侵害信息网络传播权民事纠纷案件由侵权行为地或者被告住所地人民法院管辖。侵权行为地包括实施被诉侵权行为的网络服务器、计算机终端等设备所在地。侵权行为地和被告住所地均难以确定或者在境外的,原告发现侵权内容的计算机终端等设备所在地可以视为侵权行为地。