网络安全保障制度范文

导语：如何才能写好一篇网络安全保障制度，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

一、安全工作小组组  长：项目经理

副组长：项目副经理、技术总工

成  员：郑州调度中心组长、网络组组长、通讯组组长

二、安全工作小组责任分工 1、组长：主抓通讯网络部安全工作，对安全工作负领导责任。

2、副组长：协助组长做好全面安全工作，对安全工作负直接管理责任。

3、安全岗位责任人：根据《工地枢纽管理中心安全生产“一岗双责”制度》，按照“谁主管，谁负责”和“管生产，必须管安全”的原则，重点落实各班组长的管理工作；参加各项通讯网络安全工作会议，与相关单位建立经常性联系，转达、发放有关通讯网络安全等方面的文件、精神和材料，落实安全工作小组交代的具体工作。

三、安全责任主要内容1）具体负责通讯、网络及所辖区域的安全管理工作。对所辖区域各部位的安全工作进行检查、指导、督办。

2）负责所辖区域设备、设施的运行安全，防盗、防破坏。建立相应的安全责任制和安全操作规程。并针对系统运行的特点制定突发事件应急预案。

3）保证系统运行安全、稳定、可靠。通讯信号无责任事故性中断，网络传输运行安全。

4）负责对项目部人员进行安全教育，贯彻落实有关安全会议精神及学习安全知识。牢固树立安全意识，克服工作麻痹思想，不断加强安全教育，确保所辖区域各项工作顺利进行，不发生任何安全事故。

5）定期巡查各通讯网络机房，发现问题及时上报处理。

6）检查、督促各区域《岗位安全责任制》的不断完善和贯彻落实。

7）负责所辖范围的防汛安全等工作。

篇2

传统社会也有很多问题，但任何国家都没有一部《传统社会安全法》来作为解决问题的灵丹妙药。因此，恐怕首先要分析清楚我们面临哪些网络安全问题，哪些是需要也可以通过立法来解决的？更为重要的是，这部法律靠什么来确保网络安全？

我国现在面临哪些网络安全问题

我国面临的网络安全主要有三个方面：

首先是核心技术与网络规则不掌握，也就是技不如人的问题。

互联网的基础设施包括软件、硬件和游戏规则全都仰人鼻息。芯片等高端制造业落后，没有成熟商业化的操作系统等基础软件，万一出现极端情况，会不会发生被“掐脖子”，以及有没有人利用底层技术便利已经收集了我国的个人信息等各种信息，窃听和备份我们的电子邮件等网络通信内容？恐怕很难说。这是我国网络安全最大的隐忧。但这些问题主要得靠发展来追赶，以及随着国家和产业实力的增强，可以增强互联网规则的话语权。立法可以通过设立网络产品和服务的安全审查制度，一定程度上达成预防在先，但立法解决不了科技从无到有的问题。虽然存在绝对的网络安全，但也只有网络核心技术实力旗鼓相当，网络安全才具有平等对话的基础。

其次是与所有国家一样，我国的信息网络存在被黑客、恶意软件等攻击，以及由于灾难、事故等各种原因导致的断网、停电、影响国计民生的公用事业和服务等。存在于太空的卫星通信网络，也随着互联网发展存在安全隐患。

这是网络安全法所应当关注和预防解决的重点问题，也是各国都重点关注的网络安全问题，立法予以规制无可厚非，关键是要多听取相关专家的意见并将技术需求进行法律“翻译”，以确定究竟怎么做才更科学、更有效。

目前征求意见稿对于交通、能源、军政网络等安全方面的规定，已经体现出了较为深刻的认识，但从具体业务层面探讨，似乎仍不乏可以提高的空间，比如网络安全等级保护虽然的确是我国行之有效的网络安全保障制度，但并不是唯一的，也不能排除随着情况变化可能出现新的更好的做法。所以，肯定等级保护制度是对的，但也要为其他网络安全保障措施预留法律空间。

第三是跨国网络攻击行为的司法管辖与规制，这是网络无边界与国家主权之间的冲突带来的问题。如果其他国家、地区和组织对中国公民和企业采取非正常法律行动的，我国可以采取对等措施吗？这在目前的网络安全法征求意见稿中没有看到，是否有必要和可行？希望立法部门予以研究。

即使是的确事关网络安全的长远战略问题，是放在网络安全法立法里面规定，还是放在国务院部门的战略规划文件中规定？这也值得深入研究与探讨。

作为一名一线法律实务工作者，与无数法官、检察官等法律人一样，笔者常常在遇到具体业务问题时，为某些宣言式立法的条文粗疏而头痛不已。网络安全产业战略规划是国家行为，而“法律”是调整人与人之间社会关系的行为规范，网络安全战略问题的确重要，但战略问题需要随着情况变化而经常调整，法律却必须尽量作前瞻性规定以确保稳定性和可预见性，因此是否由国务院或相关部委更为合理？立法也是一种资源，我们需要腾出时间精力研究出一些更得力的措施，来提高我们网络安全法的实践针对性与可操作性。

靠什么确保网络安全

最后，最为关键的问题是，我们靠什么来确保网络安全呢？笔者认为要靠设立适当的规则引导企业自身做合规，确保网络安全，而不能靠禁止行为的列举，来杜绝威胁网络的行为。

因为列举总是难免挂一漏万，何况网络发展日新月异，今天的列举前瞻性再强，恐怕过不了多久又会成为明日黄花，难堪大用。

篇3

1.企业重视程度不够

随着社会改革的发展深化，很多企业为了加快自身经济的发展，为了获得更大的经济效益，已经开始运用会计信息化战略，通过熟练地运用会计相关的计算机和管理软件，帮助企业快速准确的整理企业的会计信息，很大程度上减轻了会计工作人员的工作压力，能够快速的提高企业的工作效率。但是很多的企业没有正确的理解会计信息化的实质，认为只要实现了计算机在会计方面的运用就实现了信息化，这严重的阻碍了企业的发展，影响了会计信息化的正常发展，使它们逐渐落后于其他企业，也没有跟上社会发展的浪潮。

2.会计人员缺乏先进的信息化意识

会计人员受到课堂教学的束缚，以及传统会计行业行为准则的限制，认为企业的会计信息只能与企业的管理人员进行交流，不能随便的放在网络上。传统的会计工作人员没有正确的认识到会计信息化的真正含义，思想不灵活，甚至担心会计信息化会泄露企业的关键商业信息。由于缺乏先进的信息化观念，会计人员即使有先进的想法，也不敢对企业的管理人员表达，使企业没有及时建立先进优秀的会计管理方式，致使落后于其他的优秀企业，难以实现企业优秀的会计信息化战略转变。并且传统的会计工作人员，为了保证企业会计信息的绝密性，很少与其他的部门进行沟通，不能及时的了解企业资金的具体情况，一定程度上限制了企业的健康发展，也破坏了企业信息化的进步。

3.企业的安全保障不到位

中国经济发展呈现稳定快速的趋势，科学技术的发展也逐渐得到肯定，但是会计信息化作为一项新的项目，大众的接受能力还不足，很多企业很难意识到会计信息化的重要意义。由于会计信息化刚刚开始发展，缺少法律方面有效的保障，而且会计信息化的起步发展阶段有很多的问题，这就使很多企业难以接受信息化，为了减少不必要的麻烦，很多人不愿意参与到信息化当中。这就限制了信息化的进一步稳定发展。会计信息化需要与互联网等现代科技相配合才能进行下去，但是，现在社会上的网络存在很大的弊端。特别是关于网络安全，很多意想不到的问题接踵而至，往往之前的难题还没有解决，新的更大的难题就出现了。科学技术的发展，带给社会强大便捷的信息化时代，但是同样多的难题也需要我们解决。想要把会计信息化成功的运用到各行各业当中，需要得到法律的保障，以及科技上的技术支持和安全保障。在科技发达的今天，网络病毒危害着信息化的发展，愈来愈多的病毒侵入到电脑中，妨碍正常的电脑运作，甚至有些病毒会窃取企业中的重要商业机密，导致企业的信誉、经济更受到很大的威胁。传统的会计是在纸张上进行统计核算，这种传统的方法虽然一定程度上保障了信息的最准确状态，但是很容易被烧毁或被破坏。会计信息化将信息存储在电脑上，很容易被篡改原始数据，而且很难找到被改动的痕迹，不利于会计信息的保密和改正。

4.缺乏专业的会计信息记载软件

社会上的会计软件很多，各行各业没有固定的会计软件，我国的会计核算也没有一个准确的标准。各个会计软件设计公司的软件没有一个统一的标准，每个企业采用的会计软件也不一样，导致会计信息的统计达不到统一。由于这方面的法规还不完善，企业可以根据具体的需要要求软件公司制定相应的会计软件，导致很多的会计信息不标准，严重影响了会计信息化的正常发展。

二、企业会计信息化的主要解决对策

1.提高员工的会计信息化的观念

为了加强企业员工的信息化水平，增强企业员工对信息化观念的理解，企业可以聘请专业的指导老师，定期对企业员工进行会计信息化培训，从而加强各个部门之间的沟通和交流，促进企业及时准确地了解企业资金运转的情况，能够及时的根据企业情况改革企业的发展方向和会计管理。企业的高层管理人员也要根据自身的问题，适当的提高对会计信息化的认识，才能够制定更好的会计信息化管理的方案，指导企业加快会计信息化的发展。

2.培养专门的会计信息化人才

企业会计信息化的发展需要依靠专业的人才，所以企业需要对会计工作人员进行专业的培训，或者直接引进具备专业会计信息化的人才。但是要想从根本上解决会计信息化人才的培养，需要政府的政策支持。可以加大对专业会计人才培养的教育支持，设置更细致专业课程，加快会计课程的升级改革，加强对会计专业方向的实践能力的培养和支持，提供更多的实践岗位，增强会计人员的实际操作和动手能力。同时企业也要加快对会计人员的培训，不断提高和保持会计人员的专业素养，以更好地帮助企业进行会计信息管理，促进企业会计信息化的进化和发展，给企业带来更多的经济效益。

3.强化会计信息化安全保障制度

信息化的发展促进了社会各行各业的进步，但是其中的安全隐患严重威胁网络安全。这就要求政府制定相关的强效法律法规，为信息化的发展创造良好的网络环境。制定完善的会计软件评定制度，制约管理会计软件公司的正规操作，保障各企业的会计核算统计有一个统一的标准，有利于促进会计信息化的正常健康发展。制定有效的会计信息保管制度，强化网络信息的安全保障，开发安全系数高的防护墙或者杀毒软件。同时，企业要保管好企业的网络数据，对企业的会计信息进行及时的检验，并对数据进行备份处理，保障企业的会计数据不丢失。在发展企业会计信息化的同时，也要加强其他部门的信息化，促进各个部门信息化的交流，从而加快企业整体信息化的发展，促进企业整体竞争力的强化，增强企业的市场效益。

三、结束语

篇4

 

近几年， 随着国家对电力系统的关注与扶持，我国在电网调度自动化建设方面取得了比较理想的成果，电网调度数据作作为直接为电力调度生产提供服务的专用型数据网络得到了推广、普及，全国范围内所有省级调度都已基本建成并投入正常使用。随着各级网络技术的延伸与扩展， 网络规模日趋庞大，技术成分更加复杂，电网调度在自身规划中的安全隐患与设计缺陷不断暴露，成为我国电网安全运行的重大阻碍。因此积极推动实现电力调度数据网安全技术升级改良成为电力系统安全调度的重点工作。

 

一、制度健全，管理高效安全

 

制度管理是电力调度数据网安全运行的前提与基础，要想实现网络运行期间的网络安全首先要编制合理的管理制度，保证制度的合理与安全，实现数据网的功能最大发挥。制度安全涉及项目众多，除了基本的安全保障制度还需要健全安全防护组织机构、人员管理制度及机房管理制度、设备网络管理制度、安全操作管理制度等，除了制度上的健全与规范，安全管理运行离不开科学的防范管理体系，建立完善的防范管理体系可以保证制度管理方案的正常运行，增强电力网络部门之间的稳定性，增强网络威胁的应对能力，提前做好应急预案及演练管理工作，确保在发生危险时网络安全依然可以稳定高效运行。

 

二、物理环境安全稳定

 

物理安全主要指电力周边设施对电力调度数据网安全的影响，这是调度数据网络安全的前提。安全高效的物理环境可以保护数据网免受水灾、火灾等环境事故及个人操作事物的影响。物理环境主要包括基本的机房环境、电力调度场地及对应的供电设备安全。积极做好机房环境优化，设置必要的设备防盗防护体系， 处理好日常的防雷、防静电等，在物理环境的优化上要根据具体数据网的特点进行合理布置。

 

三、网络运行的安全技术分析

 

除了上述提到的制度与物理环境的安全，在电力调度数据中最关键的是网络运行的安全，调动数据网是否能够安全运行主要取决于网络设备、网络结构及对用的安全审计等多个方面的防护措施安全程度。

 

(一) 网络设备安全分析

 

在网络设备安全中主要涉及到四个方面。首先是网络账号安全。电力调度数据网安全技术设置一定的账号方便账号管理工作，对用户进行身份验证，保证电网信息的安全不泄露。其次是配置安全，主要是基于电力数据网内的关键数据信息进行定期备份处理， 每一次关键信息的备份处理都在设备上留有痕迹， 保证档案信息有效。再次是审计安全，我国明确要求整个电力调度数据网具备审计功能，做好审计安全可以保证系统设备运行状况、 网络流量计用户日常信息更新， 为日后查询提供方便。 最后是维护安全， 要求定期安排技术人员进行设备巡视， 对于设备中存在的配置漏洞与书写错误进行检查修复， 防止系统漏洞造成的系统崩溃及安全问题。

 

(二) 网络结构安全分析

 

在计算机网络结构技术分析中我们为了保证电力调度数据网的结构安全可以从以下四个方面入手做好技术升级与完善。首先使用冗余技术设计完成网络拓扑结构，为电力调度提供主要的网络设备及通信线路硬件冗余。 其次依据业务的重要性制定带宽分配优先级别，从而保证网络高峰时期的重要业务的宽带运行。再次积极做好业务系统的单独划分安全区域， 保证每个安全区域拥有唯一的网络出口。最后定期进行维护管理， 绘制网络拓扑图、填写登记信息，并对这些信息进行定期的更新处理。在网络安全结构的设计分析上采用安全为区分与网络专用的原则，对本区的调度数据网进行合理的前期规划，将系统进行实时控制区、非控制生产区及生产管理区的严格区分。坚持“横向隔离，纵向认证”的原则，在网络中部署好必要的安全防护设备。 优先做好VLAN及VPN的有效隔离。 最后不断优化网络服务体系。网络服务是数据运输及运行的保证，积极做好网络服务可以避免数据信息的破损入侵，在必要情况下关闭电力设备中存在的不安全或者不必要的非法控制入侵行为，切实提高电力调度数据网的安全性能。

 

四、 系统安全管理技术分析

 

电力调度数据网本身具有网络系统的复杂性， 只有积极做好网络系统的安全管理才能实现电力的合理调度。系统管理工作涉及项目繁多，涉及主要的设备采购及软件开发、工程建设、系统备案等多个方面。在进行系统安全管理时要积极做好核心设备的采购、自行或外包软件开发过程中的安全管理、设置必要的访问限制、安全日志及安全口令、 漏洞扫描，为系统及软件的升级与维护保驾护航。

 

五、 应用接入安全技术分析

 

在电力调度的数据网安全技术中，应用接入安全是不可忽视的重要组成部分。目前由于电力二次系统设备厂家繁多，目前国家没有明确统一的指导性标准可供遵循，导致生产厂家的应用接入标准不一，无形之中为安全管理工作带来诸多不便。因此在优化电力调度数据网安全系统时，可以依据调度数据网本身的运行需求，从二次系统业务的规范接入、通信信息的完整性及剩余信息的保护等方面着手，制定出切实可行的安全防护机制，从根本上保障电力调度数据网络的安全稳定。

 

结束语

 

电力调度数据网安全技术升级与优化是动态发展的过程，具有一定的复杂性与长期性。随着当前信息技术的发展，电力业务的大量扩展， 电力系统漏洞威胁越来越明显，而电力调度的数据网安全技术更新升级与推广也具有了现实的迫切性。 目前我国电网公司已经根据电网调度数据网安全性要求加大对安全性技术的研发力度， 配套部署了部分安全防护型产品及安全防护技术， 但是做好电力调度数据网的安全技术管理依然是任重而道远， 需要我们付出不懈的努力。

篇5

【关键词】社会保障卡 系统 优化设计

近年来，社会保障卡应用十分广泛，既方便了社会保障管理工作的展开，又方便你了人们使用。对社会保障事业的发展具有很大的积极作用。社会保障卡是国家人力资源和社会保障部统一规划部署的，再由各地人力资源和社会保障部门面向社会发行，属于集成电路即IC卡，是信息科技技术在社会保障领域发展的具体体现。社会保障卡具有不同类别的实际作用，如，结算医疗保险，养老保险事务办理，求职登记与失业登记办理，就业培训手续办理，申请工伤保险等等。通过统一的社会保证卡标准，与公民身份证号码绑定，方便携带，方便使用。明显提高了社会保障的管理质量和效率，受到社会与公民的普遍认可。

1 优化社会保障卡系统目标设计

社会保障卡系统在设计上，总体目标为一卡多用，全国通用。但是由于各个地区在使用社会保障卡上，还是存在着一定的差异和不同，因此，要优化设计目标，在总的设计目标基础上，进行统一规划和因地实施。

（1）从一卡多用上来说，关于人力资源与社会保障方面的相关业务办理，都通过社会保障卡进行，保证使用公民能够凭借社会保障卡和本人身份证，快速、高效的办理相关业务。

（2）切实做到全国通用，随着互联网的发展，保证社会保障卡在全国范围为内，打破区域、地点限制，随时可凭借社会保障卡办理具体事务，便于服务公民，提高社会保障工作水平。

（3）全国各个地区的社保障卡系统的实施情况进行综合分析，完善管理制度，建立健全社会保障卡系统管理体制，提高社会保障服务水平。结合先进的信息可虚技术，提高其安全性与可靠性，展开网络服务，电子化服务，根据不同点，建立信息服务平台，实现资源共享，完善社会保障信息系统，及时社会保障相关政策制度，使人民大众更加方便的享受社会保障待遇，更加快捷的了解社会保障政策，进而实现社会保障卡系统设计目标的优化。

2 优化社会保障卡系统技术方案设计

（1）从系统结构上分析，以国家社会保障卡系统为根本依据，根据各地区社会保障体系的不同，联系各个职能部门，各个公共服务机构，利用网络数据信息平台，建立区域性的社会保障卡系统结构，形成社会保障卡系统个网。

（2）以社会保障和社会民政服务为核心，建立健全服务和决策体系，形成整体性的社会保障系统应用体系结构，以网络平台为依据，实现信息、资源的共享。

（3）进一步优化社会保障卡系统的功能体系结构，以社会保障系统为基础，发展各个子系统，如，社会保险系统、社会劳动系统、社会公共服务系统等等，使各个子系统形成有机统一体，在社会保障卡系统发展中，促进其和谐、统一发展。

3 优化社会保障卡系统的功能设计

3.1 完善网络信息平台

在社会保障卡系统设计中，要与网络技术的应用相结合。这也是提高社会保障卡管理效率的重要途径。

（1）优化网络业务流程，以社会保障卡系统管理体制为前提，改变传统落后的工作状态，简化业务流程，避免与其他职能部分业务相重复。

（2）加强与各个子系统业务以上的交流与沟通。社会保障卡系统是一个统一体，要想社会保障事业发进步，就要平衡好各个子系统之间的关系，保证各个子系统相互交流、相互沟通、共同进步。

3.2 强化宏观调控

为了促进社会保障卡系统的完善与发展，对其进行适当的宏观调控具有一定的必要性。

（1）要对社会保障卡系统的相关信息数据，建立完善的数据资源库，信息库，合理建立数学模型，采取科学手段进行准确计算，随时对社会保障卡系统的历史信息和当前信息进行分析总结。采取科学的管理方式对其进行严格控制与调整，对数据资源进行查询、整理、分析、存储。保证数据的准确性和真实性。

（2）根据社会保障卡系统数据信息，做出科学决策。

4 结论

综上诉述，社会保障卡系统的建立，是社会保障事业发展的必然趋势。通过推行社会保证卡，公民能够快速查询个人社会保障相关信息记录，快速办理养老、失业、医疗、工伤和生育保险等社会保障相关事务，使公民真正体会到社会保障事业的进步，社会保障系统的不断完善。社会保障卡系统专业人员根据实际情况对其进行优化设计，提高社会保障工作与管理的效率和质量，提高为人民服务的水平，对于建设和谐社会具有重要意义。

参考文献

[1]陈佳军.智慧城市信息安全保障体系构建[J].中国建设信息化，2016（01）.

[2]胡树煜，孙士宏.档案信息资源共享平台下教育大数据的安全保障研究[J].科技传播，2016（03）.

[3]郜凯英，杨宜勇.中国互联网+社会保障信息系统构建――基于大数据挖掘视角[J].经济与管理研究，2016（05）.

[4]乔伟.FTC保障消费者敏感信息安全的十大经验[J].计算机与网络，2016（07）.

[5]余昊人.保障大稻菔贝信息安全的措施[J].信息与电脑（理论版），2016（11）.

[6]吴晓英.提升社会保障信息系统网络安全管理水平对策分析[J].信息与电脑（理论版），2015（02）.

篇6

（一）有利于高校档案内容的信息化。首先高校传统的档案管理工作主要体现于实物保管。这种实物管理有极大的人为弊端。譬如管理员的疏忽与遗漏。过于繁重的工作量，对于管理员来说一直是个难题。档案多而乱，缺失不全的现象时有发生。管理员常常是深陷案海之中却毫无头绪，伤一发而动全身的事实导致档案记录与整理难度进一步加大。但是现代化与数字化的档案管理就可以规避以上问题。因为信息化管理平台的建设促使高校档案信息收集的自动化与网络化，不仅拥有得天独厚的信息收集条件，而且依靠计算机网络的庞大数据库还可轻松完成信息储存。一切档案信息都将在同一时间归整。同时这些档案信息也可以通过计算机的自动编目与自动检索完成储存立卷和自行转档等管理工作。其次，纸质和实物保存方法的占地面积大，不如将档案储存在硬盘中保险与轻便。这种数字化形式的转换不仅可以节省人力成本，而且还可优化工作效率。作为网络技术平台，信息化的档案管理可令人不受空间与时间的限制进行信息上传和档案查阅。高校档案管理的信息化与数字化在最大限度上开放了个人档案的查阅、收集、编撰、搜索等网络通道，更有利于档案查阅工作的高效运作。（二）有利于高校档案管理工作的规范化。高校档案管理工作作为高校行政事务的主体，在学校管理中处于重要位置。档案管理的高效与否直接决定着学校管理秩序的正常运行。信息化与数字化的档案管理模式可以促使高校档案管理工作的规范化和高效化。不仅可令档案管理员及时将档案信息进行归处理，还能将各类基础文档进行及时上传与归档。通过信息化的网络平台实现文档管理的权限设置，建立领导处理意见的通知与下达以及个人的权限查阅。至年终归档中可在数据库中下载档案信息的清单，然后在系统中完成整个档案信息的盘查工作。上传档案管理数据到信息化档案管理系统的数据库中，直接就可完成档案信息的录入。分档处理与编号整理等信息化管理程序也都是数字信息化的高效运用。如此一来不仅实现管理管理的高效运行，也能够使不同部门之间的工作得到沟通和协调，促使高校档案管理工作的创新发展。

二、档案数字化建设中存在的问题

（一）档案工作标准化、规范化缺乏。高校传统的档案管理模式根深蒂固。如今建设信息化的档案管理平台可能会遇到标准缺失等技术问题。虽然档案管理软件五花八门，但是具有实用性的软件却十分鲜有。我国在信息化档案管理的网络建设中缺乏实用型与应用型的软件开发和自主创新。档案管理软件往往漏洞百出，在实际管理过程中缺乏统一的规范和标准。譬如档案管理软件的型号与质量具有很大差异，可见我国高校不重视信息化档案管理平台的建设，不仅未引进科学的硬件设施，而且未建立档案管理系统中规范的编码与标准。（二）档案信息资源的开发手段落后。高校传统的档案管理模式体现于纸质与实物管理，这样的模式存在诸多弊端。纸质容易混乱和丢损，而且还需要留置空间。分档与查阅起来非常不便。而其他档案的载体形式，譬如声像档案最终也会被无形态无空间无人工的电子档案所代替。档案信息资源的开发其实是多载体与全方位的信息资源转换。高校档案管理工作不能只限于档案的归档与记录，更要对分档后的档案信息内容进行熟悉和掌控。只有时刻跟进收集、下载、查阅、销毁等管理程序的更新，才能促进高校档案信息化网络平台的建设与开发。在实际的操作过程之中，因为制度缺乏创新或者遭到抵制，不少档案资源开发的技术推广效果欠佳。（三）缺乏复合型人才。高校档案的信息化管理需要兼顾档案管理与网络技术的专业人才。档案管理的信息化不仅是现代化的网络管理平台应用，更是档案管理中实现信息化与数字化的资源整合。管理人员必须经过系统的档案培训课程，对自动化与网络化档案管理平台的技术应用进行统一的学习与实践。如果信息化档案管理人员的专业知识与个人素质偏低，就会影响档案管理平台的正常运作以及绩效达成。高校内也普遍存在不重视档案管理工作，应聘者大多属于知识单一和技能不足的社会人员。由于缺乏信息网络技术与档案管理知识，所以管理员根本达不到发展信息化档案管理平台的建设要求与发展潜质。特别是当前不少高校档案管理人员存在着年龄结构偏大，知识结构陈旧，思想保守等一系列的问题，对于档案服务工作产生了很多消极影响。（四）存在安全隐患。高校档案的信息化管理主要表现为应用网络技术和档案管理知识。所以很容易出现网络安全问题。在管理档案信息的过程中尤为应该重视档案信息安全。针对这种现象我国高校应该设置档案管理平台的安全技术顾问。时刻对本单位的档案管理平台进行安全技术的更新与维护。时刻低档外来网络的不法侵害与内部信息调阅的违规操作。信息安全部要组织专业人员防止档案管理系统遭到非法入侵。还要保障档案信息的合法调阅与下载，保持安全网络技术的更新维护，在建设档案信息化管理平台的过程中维护档案信息的保密性与隐私性。

三、高校档案管理数字化建设的措施

高校档案管理的信息化与数字化建立在现代网络技术与档案管理理念的基础上，即为数字化的档案处理，也是档案管理工作由人为化向数字化的系统转变。高校利用档案管理的数字化建设可实现信息载体的革新，还可实现数字化档案管理体系的建立。优化资源建设，规避物理载体储存信息的弊端。全部以数字形式记录于磁盘等计算机信息存储器中的处理办法，更有利于院校构建数字化校园体系。其中数字化的档案管理工作又可看作是信息化的收集与保管以及现代化的规章制度。（一）加强档案的标准化、规范化建设。高校档案管理的信息化建设必须摒除传统档案管理中的实物收集。将实物保管转变为数字储存，实现网络技术平台的上传与共享，并采用计算机网络技术进行资源建设。建立标准化和规范化的档案管理工作体系，将收集、查阅、上传、下载、权限等管理项目实施一体化的管理模式，以保证档案信息的数字化与完整性。譬如文本图形与数据结构以及运行系统和软件应用等一体化管理方面的规范，还包括元数据和档案处理等对数字化文档的处理。实现脱机保存的信息化管理。基于标准的系统运行建立互通共享的数字化管理制度。促使档案管理工作的数字化和规范化，将档案的收集与整理都确保在电子化中完成。实现信息化管理还要借助信息录入软件与数据库的维护，实施电子化档案管理，严格备份以防丢失现象。（二）建立有效的安全保障机制和评估督导机制。高校档案管理的信息化建设必须建立数字化的档案系统。所以需制定现代化档案管理的规章制度。将电子化档案管理的工作准则与操作流程，归入档案一体化管理制度之中。它包括归档制度、保密制度、鉴定制度、备份制度、权限制度、安全制度等。建立安全保障制度和评估督导制度。在保密性中实现档案信息的严格管理和有效监控。促使档案管理员掌握档案管理的安全性知识，更要学习掌握网络操作、数据录入、数据库管理、网络安全管理等计算机操作技能。在日常管理制度中加入评估制度，考核管理员的工作表现和业绩达成，借助评估体系提升管理员的档案管理水平。对评估制度进行细化，并将评估结果和管理人员的工资、奖金、晋升等挂钩，提高管理人员工作的积极性和主动性。（三）建立和完善档案数据库，实现档案资料资源共享。高校档案管理的信息化建设必须建设档案数据库。实现自动化的栏目编制与资源共享，做好后台数据维护和档案归档处理。实现档案管理的数字化与信息化，实现档案信息储存的网络化和自动化。推进高校档案管理的技术创新与资源共享，实现档案信息的互动。高校应在全校各部建立内部信息与外部信息的分离，处理上传程序，确保档案信息的及时沟通，促进高校信息的有效收集。还应利用信息技术发挥档案管理网络平台的稳定性与便利性，促进全校范围的信息集成与共享。设定管理平台的系统开发与维护，保证档案的储存与管理以及网络安全的稳定运行。（四）加快档案信息资源管理专门人才队伍建设。高校档案管理的信息化就要实现档案管理的现代化，培养专业化的档案管理人才，招聘具有档案管理知识和网络应用技术的综合性人才。高校领导还要建立档案管理员的培训机制，对档案管理员进行专业化与现代化的档案管理培训课程，培养高素质和高水平的管理员，坚持岗位再教育，实现高校档案管理专业人才的职称评聘与晋升机制。可以采取校内定期培训和校外交流合作的方式。校内的培训可以聘请相关的专家学者来校授课，或者采取校内档案人员定期交流的方式进行，当然，还应该充分利用网络资源，采取网络授课等形式。校外交流的方式主要是和兄弟院校进行交流与合作，可以采取实地考察等形式。

篇7

摘要：物流信息平台网络安全保密问题主要存在于建设、应用和管理三个方面,可通过实施各种安全技术和管理方法，形成一个相对安全保密的网络环境。

关键词： 物流；信息平台；网络安全

0引言

随着现代物流的发展，物流信息平台是一个涉及到多个复杂集成模块和众多供应链成员企业商业机密的复杂系统，任何一个安全漏洞都可能使物流企业信息平台受到致命的打击，安全问题不容忽视。

结合网络环境和具体应用分析，物流信息系统可能存在的安全威胁主要有：非授权访问、假冒和抵赖、遭受拒绝服务的攻击、恶意代码、破坏信息完整性、电磁泄漏、窃取、通信业务流分析、破坏网络的可用性、操作失误、自然灾害和环境事故。因此，安全设计可分为以下几个系统：防火墙系统、入侵检测系统、漏洞扫描系统、防病毒系统、网站保护系统、安全审计系统、安全集成监控与管理系统。物流信息安全措施结构如图1所示。

1总体设计

在整个网络中各主要服务器组成的服务器群是整个网络的信息核心，是重点保护对象。服务器区的数据信息应具有高强度的安全性，文件的防病毒破坏等功能；安装网管软件对各服务器集中管理；在进入中心网络的服务器到交换机的链路上放置防火墙，进行安全访问的控制和隔离；在关键网段放置IDS探测引擎，所有的IDS探测引擎通过统一的控制中心进行管理控制，实时监控网络传输，自动检测网络行为，分析来自内网的进行网络的入侵检测和预警；在价格监测预警中心设置防病毒系统管理中心，用于局域网内部用户的病毒保护。通过统一平台的管理，进行全网病毒策略的控制和病毒库的随时更新；通过中心放置的漏洞扫描系统，进行中心的漏洞检测；在关键WWW服务器上配置网站保护系统，实现对网站、网页的安全保护。利用信息安全岛实现内部网络与网站系统的信息交换与物理隔离。

1.1 防火墙系统设计采用防火墙技术实现全网的安全访问控制策略；访问控制的原则是必须缺省禁止，即凡是没有被明令允许访问一律禁止。

外部防火墙或边界路由器过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；内部路由器或防火墙过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外的攻击。

要在坚持隔离的前提下保证网络畅通和应用透明，网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换，数据交换的关键点，因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换，配合防火墙的安全技术。

1.2 入侵检测系统设计入侵检测系统(IDS)可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段。入侵检测系统的设计结合现有的网络结构，在关键网络区域部署入侵检测探测引擎。探测引擎通过入侵检测控制中心进行统一管理和控制。通过对整个网络的多层保护，根据收集到的安全相关的事件，利用中心分析引擎，在线或离线地分析出即将发生或已经发生的入侵行为。在防火墙划分后的安全区域内、门户网站的服务器区域分另部署署入侵探测引擎，实现对关键服务器访问的有效检测。监测预警中心网络中的所有关键服务器通过核心交换机进行网络的数据交换，通过在核心交换机上分别部署百兆级别的入侵探测引擎，实现所有用户对关键服务器访问和数据库操作的有效检测。

1.3 漏洞扫描系统设计设置安全控制中心，安装漏洞扫描软件，定期对网络进行漏洞扫描和安全评估，发现并报告系统中存在的弱点和漏洞，评估安全风险，建议补救措施。网络漏洞扫描器执行预定的或事件驱动的网络探测，包括对网络通信服务、操作系统、路由器、电子邮件、WEB服务器、防火墙和应用程序的检测，从而识别能被入侵者利用非法进入网络的漏洞。

1.4 防病毒系统设计防病毒系统设计将采用集中控制和多层防护策略，集中控制是指网络中心对部门工作站的病毒防护工作进行集中控制。多重防护是指从网络中心到各部门层层设防，防止病毒的传播和扩散。在所有的服务器、PC机以及电子邮件服务器、防火墙、网关上安装防病毒软件，对磁盘、可移动磁盘、光盘以及网络所收发文件和电子邮件的附件进行防护。制定管理措施：集中安装、统一策略配置；集中定期检查，远程控制；统一升级；病毒事件应急响应；拒绝使用手提电脑上网；安全培训。

1.5 网站保护系统对网站系统的保护则通过部署相应的产品以达到对网站系统的全面防护。采用实时扫描技术实现网页防篡改。在关键的WWW服务器上部署网站保护系统，实现对网站、页面的防护；分配不同的权限，从内部保障网站的安全；提供日志管理功能，记录所有对网站指定部分的合法或非法修改，便于实时监控和事后审核、跟踪；系统分监测端和远程控制端两部分组成；提供完善的系统用户管理功能，确保只有合法的用户能够启动或中止本系统的运做，以进一步保障系统的安全。

1.6 安全审计系统设置主机审计传感器。主机传感器安装在数据库服务器上，主要功能是监控数据库服务器的人机界面操作（主要指屏幕和键盘）、拔号连接和网络连接情况、对重要目录及文件的访问进行监控；设置监控中心，监控中心主要对主机传感器制定相应的策略规则并，接收它们传送的监控信息，进行日志记录，并在适当的条件下报警。

安全审计系统将实现以下功能：监视网络上的反常行为；收集操作系统和应用系统内部所产生的审计数据；实时报警；操作控制；审计数据维护和查询加密，权限控制；规则制定；应急响应。

1.7 安全集成监控与管理系统设置安全监控管理系统，以达到对本系统各类网络安全设施的统一管理。安全监管系统主要提供三个功能：协同联防、统一管理和日常运行。

安全管理贯穿在安全的各个层次实施。从全局管理角度来看，制订全局的安全管理策略，根据安全防范体系中的各种安全技术所需的技术管理工作，设定安全管理的角色，如业务系统管理员、网络系统管理员、安全管理员、系统审计分析员等职位。根据不同的职能，定义不同角色的责任和权利，制定相应的操作规范；从技术管理角度来看，实现安全的配置和管理，并设立统一信息控制中心，根据“网络系统信息安全管理指南”制定安全管理制度，确定安全管理体系等级，建立安全管理机制和各级安全管理中心，督促并保障制度的实施；从人员管理角度来看，实现统一的用户角色划分策略，制定一系列的管理规范；从资源管理角度来看，实现资源的统一配置和管理。

2结论

文章对物流信息化平台的网络安全保障体系进行了细致的设计，为满足动态安全管理的要求，安全措施设计分为防火墙系统、入侵检测系统、漏洞扫描系统、防病毒系统、网站保护系统、安全审计系统和安全集成监控与管理系统等几个系统，来实现物流信息平台的安全运行和稳定。

参考文献：

[1]吴军，李桃红.电子商务安全体系[J].计算机与信息技术.2006.

[2]赵站生.网络电子商务安全研究[J].网络信息安全.2004.

篇8

采购改革起步晚，编制体制还在不断完善，电子化采购也是近来提出的话题，管理思想、规章制度、管理技术、人才建设等都存在着一些不足，导致电子化采购在运行中存在很多安全隐患。

1、管理思想上的问题。一是缺乏系统的管理思想。随着采购工作的规范化、信息化运行，采购机构为信息安全做了大量的工作，制定了一些安全管理制度，但基本上还是静态的、局部的、少数人负责的、突击式的、事后纠正式的传统管理方式，而不是建立在风险评估基础上的动态的持续改进管理的方法。结果不能从根本上避免、降低各类风险，也不能降低采购电子化中由信息安全故障引起的综合效益损失。二是缺乏信息安全意识和信息安全方针。部分采购机构领导对电子化进程中信息资产所面临的威胁认识不足，或者只局限于IT方面的安全，没有形成一个合理的电子化采购方针来指导组织信息安全管理工作。表现为缺乏完整的信息安全管理制度，缺乏对网络工作人员进行必要的安全法律法规和防范安全风险的教育与培训，对现有的安全制度不能完全实施等。三是重视安全技术，轻视安全管理。目前，各级采购机构正处于信息化建设的关键时期，为此，各级都配备先进的计算机、网络等技术，用以提高采购效率及服务水平。但是，相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的情况，造成安全隐患。

2、规章制度上的问题。网上采购作为采购信息化建设的产物，对传统的采购模式已经构成挑战。对于这样的新生事物,相关的法律、制度至今还很不完善,即便在最近颁布实施的一些采购法规中提及的也很少。关于哪些方面信息应当公布、如何公布,网上采购程序的合法性如何界定，电子采购合同法律效力的确定，采购电子化的应急管理等，都是相关部门必须面对的问题。应尽快以法律方式来认可和保护电子签章，建立采购信息公开规定，以实现采购信息的开放性与安全性之间的平衡。通过各项配套法律的完善，使在建立一整套行之有效的措施的同时，落实各项安全保障制度。

3、管理技术上的问题。电子化采购所依托的是路由器、交换机、工作站、网络服务器，以及各类支持软件，其安全性能、技术标准等对信息系统的安全有着重要影响。电子化管理技术上的缺陷来自三个方面：一是硬件缺陷。由于采购事业经费较少的原因，部分采购机构计算机配置较低，一些先进的安全硬件，如现代化的采购网络中心还没有建立。二是软件缺陷。采购信息平台正处于研发、试用阶段，很多软件技术还不成熟，如确认客户身份真实性的技术、保证数据传输安全的技术等。三是先进的测试技术应用不够，如网络反病毒、网络入侵检测、网络安全扫描等技术。

4、采购人才的问题。电子化采购专业人才的缺乏是当前采购电子化进程中安全隐患的重要原因。系统安全管理人员是复合型人才，电子化采购的发展需要大批既熟悉物资采购业务，又精通计算机网络技术，具有丰富网络工程建设经验的工程技术人员、管理人员。由于电子化采购事业刚刚起步，现有采购工作人员长期从事的都是传统采购工作，所以在一时间内难以适应新的采购方式的要求。

二、采购电子化进程中的安全策略

采购电子化改变了传统采购业务的处理方式，优化了采购过程，提高了采购效率，降低了采购成本，使采购真正达到了公开、公平、公正。实施采购电子化，将推动整个“采购管理信息化”的建设和发展，并将促使采购经济效益的整体提高。但是，这些优越性要通过良好的采购网络运行平台才能实现，因此，必须通过有效方式营造一个安全可靠的电子化采购网络环境。

1、更新观念，强化管理，深化科学的电子化采购管理理念。树立系统管理思想。在考察、分析和解决电子化采购安全管理问题时要着眼于整个电子化采购安全系统，要以合作的精神从整个电子化采购事业全局出发，把一组具有特定目的、相互联系、相互制约的安全因素组合起来，根据轻重缓急，予以通盘考虑，逐次解决。影响电子化安全的因素是多方面的、复杂的，同时又是相互联系、相互制约的，一个安全隐患的存在通常会影响到整个电子化采购系统的有效运行。要确实树立系统管理思想还需把电子化安全隐患当做动态的、发展的、持续的，把握其发展规律。

加强内部管理。安全的最高境界不是产品，也不是服务，而是管理。要想保证网络的安全，在做好边界防护的同时，更要做好内部网络的管理。网络的内部安全管理策略包括：确定安全管理等级和安全管理范围；严格控制人员进出入机房；监督工作人员操作过程，理顺信息安全工作与其他工作的区别。

确定安全管理原则。采购机构网络中心的安全管理要本着多人负责、任期有限、职责分离的原则，将下列每组内的两项信息处理工作分开：计算机操作与计算机编程；机密资料的接收和传送；安全管理和系统管理；应用程序和系统程序的编制；访问证件的管理与其他工作；计算机操作与信息系统使用媒介的保管。

2、建章立制，力促规范，加快电子化采购法规建设。安全的基石是社会法律、法规与手段，缺少法律、法规支持的安全是没有保障、不能持久的。采购电子化是对传统采购的一个突破，对采购工作人员的工作习惯和思维方式产生了一定的冲击，法规支持的缺位，不利于统一规范用户和采购机构的思想认识，不利于规范采购环节的当事各方。

借鉴《电子签名法》、《电子商务示范法》，建立符合采购实际的电子签名方法、电子合同保护方法。要实现真正意义上的电子化采购，电子合同、电子签名是关键的一环，但从地方政府及企业的运行来看，这一环容易出现签名无效或者采购当事人拒不承认采购合同的合法性等问题，为采购行为增添了不明朗的前景，颁布签名及电子合同保护方法极为重要。

制定安全管理制度。信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应的规范。具体工作包括：根据工作重要程度，确定系统安全等级；根据安全等级，确定安全管理的范围；制订相应的机房出入管理制度；制订严格的操作规程；制订完备的系统维护制度；制定应急等级转换规定以及应急管理措施等。此外还包括电子化采购中的人员培训制度、专业电子化采购人员选择办法等。

篇9

互联网金融是在互联网技技术等现代化新兴技术作用下完成资金融通的一种金融服务模式。当前互联网金融的创新模式主要包括了第三方支付、众筹融资、P2P网贷、网络销售基金等，是对传统金融服务的补充，也给传统金融带来不小的冲击。任何新兴事物的发展初期必定会存在诸多不足，甚至是弊端，作为金融创新的互联网金融也绝无例外。先前起步的第三方支付由于监管环境的不断完善，风险从以往的高发态势开始趋向平稳。但与之形成鲜明对比的是，目前互联网融资平台野蛮生长，乱象平生，风险频发。这不仅严重影响了正常的金融秩序，增加了金融风险，也给互联网金融本身带来了负面声誉影响。有关法律法规等监管环境的缺失更是凸显了问题的严峻性。互联网融资活动的乱象已成为目前互联网金融面临的最为突出的风险问题，急需加强对其监管的法律制定。

二、互联网金融安全问题及立法现状

（一）互联网金融安全问题概述

互联网金融的性质包含互联网和金融的双重属性，因此互联网金融安全也兼具了互联网安全和传统金融安全的所有特征，即不仅包含互联网上的信息安全，还包括了货币资金融通的安全和整个金融体系的稳定，同时也就意味着，互联网金融不但面临着传统金融活动中存在的流动性风险、信用风险、市场风险、利率风险等，还面临着由互联网信息技术引起的技术安全风险和技术选择风险等。

在我国互联网金融机构积极服务企业，促进经济发展的同时，随着一些网贷平台跑路、众筹违规集资等事件的发生，互联网金融安全问题逐渐凸显，主要表现在以下方面：

1.信息安全问题突出。手机支付的各类客户端和各类别的互联网交易平台存在多处漏洞，对用户资金安全造成了严重威胁。部分互联网金融机构内控制度不健全，网络安全防护与管理较混乱，对用户个人信息的使用和流转未进行规范，对所收集信息的安全保护不到位，易使用户信息被泄漏、盗用，甚至滥用，造成信息主体的权益受到侵害。

2.欺诈问题频发。在互联网金融市场上，消费者通过网络与经营者进行信用交易，在交易之前，消费者一般通过经营者的金融服务信息进行交易判断，而在此情况下，信息的真实性往往难以辨别，即使某些信息存在虚假，消费者也无法做到去伪存真。仅凭经营者的信息，消费者无法对产品的质地或材质、操作适应性以及售后服务等方面做出全面客观的判断。

3.资金安全问题严重。有的互联网金融P2P平台发放超短期但又超高收益的借款标的；还有一些互联网投资基金类理财工具，以门槛低、收益高、赎回自由等极佳的用户体验优势吸引了众多投资者，然而一旦发起此类投资理财工具的互联网金融机构的货币资金运营出现问题，投资收益甚至投资本金都将直接受到影响。互联网金融平台存在业务不规范，在担保方面可能存在自己为自己担保、风险准备金不足等不健全加大了资金的违约风险，极容易出现坏账导致无力偿还投资者的本息而倒闭。[1]

（二）现行互联网金融安全监管的法律制度不足

互联网金融业务的发展和丰富，给互联网的法律监管提出了更高的挑战。目前，我国目前尚无专门的互联网金融安全法律或法规，主要存在以下问题：

1.互联网金融机构主体资格制度不完善。对互联网金融要实施监管，首先应当明确互联网金融机构的法律地位。当前，我国法律缺乏对各类互联网金融机构的法律地位和经营范围的明确规定，导致各类互联网金融企业业务边界模糊，业务范围混乱。

2.互联网金融市场准入制度不完善。市场准入制度既作为政府管理市场的起点，同时在市场经济条件下也是其他一系列经济法律制度建构的基础。然而，通过对互联网金融市场的考察，我们不难发现，市场准入制度亟待完善。目前的准入制度下，对互联网金融企业从事的业务范围、类型没有任何规范和限制性的要求，导致整个互联网金融行业良莠不齐，而投资者或消费者也常常因鱼目混珠遭受利益损失，对互联网金融市场秩序的正常建立造成了严重阻碍。

3.监管法律制度不健全。金融监管的目的是为了维持金融业健康运行秩序，最大限度地减少金融机构风险，保障投资者的利益，促进金融业和经济的健康发展。在对互联网金融进行监管时，传统的金融监管方式因互联网的虚拟性、开放性、高科技化、无边界性等因素显得力有不及。如目前我国P2P 网贷、众筹融资等互联网金融业务模式仍没有相应的监管办法和制度，部分自我要求较高的P2P 网贷平台和众筹融资平台只能以行业自律规范进行自我约束，因此在同类行业中，平台素质参差不齐，消费者的权益保护存在较大风险隐忧。

三、完善互联网金融安全监管的法律制度保障

高风险性的金融与涉众性的互联网结合，必然使互联网金融比传统金融更具涉众性风险，风险面更广，传染性更强。从风险防范角度看，对互联网金融活动实施监管不仅必要，而且意义重大。对金融活动实施审慎监管，是大多数国家为防范金融风险所普遍采取的做法。纵观国内外，比较欧美等发达国家的互联网金融安全法律制度，对于我国借鉴其经验以及完善我国互联网金融安全法律保障制度具有积极作用，特别是在互联网金融监管法律制度、网络信息安全法律制度等方面的借鉴意义极大。具体可以从以下方面完善：

1.全面重视保护金融消费者的合法权益。互联网金融安全法律保障制度建设重要的目的之一则体现在对消费者的权益保护方面，通过比较，我们可以看到：一是发达国家尤为注重对个人信息的立法保护，尤其是在互联网融入个人生活后，个人隐私的保护更是上升到新的高度；二是强化互联网金融机构的信息披露，确保信息对称；三是畅通互联网金融消费者的投诉渠道，完善法律救助手段，建立救济机制。首先，要制定和提高互联网金融消费者合法权益的立法保护。在制定《金融消费者权益保护法》的前提上不断丰富对消费者权益保护的内容，不断延伸消费者权益的内容和内涵。其次，要遵循适度保护、倾斜保护的权益保护原则。在互联网金融业务中，企业经营者是主体地位，在一定出程度上会削弱消费者的地位，因此，遵循倾斜保护原则是极为关键的。一旦消费者的合法权益受到侵害，就能在最短时间内保护消费者的权益。最后，要明确和拓展消费者权利。互联网金融大环境下，消费者的合法权益必须涵盖了公平交易权、财产安全权、知情权和个人信息保护权等。相对而言，就要求企业经营者要最好其保护消费者权益的义务，包括了安全保障、披露、保护消费者个人信息等业务。[2]

2.建立健全的互联网金融监管法律体系。首先要开展有效的互联网金融基础法的立法工作。相关机构和政府部门要积极吸取国外金融监管的经验，结合本国互联网金融的实际情况制定出完善的法律法规。比如根据我国互联网金融的电子化和网络化发展特点，制定出《电子货币服务法》等法律法规，根据我国网络用户信息保护的问题，制定出《个人信息保护法》等法律。其次，要不断加强对互联网金融专业立法的工作。基于监管，当前我国互联网金融监管的法律工作与业务创新工作相比是明显落后的，也存在如P2P网贷、监管主体、监管原则等方面的问题，需要及时解决。互联网金融开展的业务和传统金融业务在很大程度上是一致的，部分法律法规是可以借用，但是互联网金融监管的科学实施，仍然需要有专业的、针对性的法律法规。如必须出台有关信用体系、个人信息保护、支付用户识别、电子签名等相关的法律法规，确保互联网金融业务是在合法的安全范围内展开的，以此来不断引导和促进互联网金融的可持续发展。最后，做好对已有互联网金融相关法律法规的修订工作。互联网是一个相对自由的环境，其金融环境与传统的金融相比更新换代的节奏更快，因此，对已有法律法规的修订是至关重要的，包括了对法律法规的健全和提升。[3]

篇10

要加强电子商务的安全，需要企业本身采取更为严格的管理措施，需要国家建立健全法律制度，更需要有科学的先进的安全技术。

在电子商务的交易中，经济信息、资金都要通过网络传输，交易双方的身份也需要认证，因此，电子商务的安全性主要是网络平台的安全和交易信息的安全。而网络平台的安全是指网络操作系统对抗网络攻击、病毒，使网络系统连续稳定的运行。常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术。交易信息的安全是指保护交易双方的不被破坏、不泄密，和交易双方身份的确认。可以用数据加密、数字签名、数字证书、ssl、set安全协议等技术来保护。

在这里我想重点谈谈防火墙技术和数据加密技术。

一、防火墙技术。

防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强Intranet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:(1)过滤进、出网络的数据;(2)管理进、出网络的访问行为;(3)封堵某些禁止行为;(4)记录通过防火墙的信息内容和活动;(5)对网络攻击进行检测和告警。

新一代的防火墙产品一般运用了以下技术：

(1)透明的访问方式。

以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。而现在的防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。

(2)灵活的系统。

系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。采用两种机制:一种用于从内部网络到外部网络的连接;另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制或保密的系统技术来解决。

(3)多级过滤技术。

为保证系统的安全性和防护水平,防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透胆连接,并对服务的通行实行严格控制。

(4)网络地址转换技术。

防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。

(5)Internet网关技术。

由于是直接串联在网络之中,防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。在域名服务方面,新一代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。

(6)安全服务器网络(SSN)。

为了适应越来越多的用户向Internet上提供服务时对服务器的需要,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。

(7)用户鉴别与加密。

为了降低防火墙产品在Ielnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。新一代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。

(8)用户定制服务。

为了满足特定用户的特定需求,新一代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的,便可以利用这些支持,方便设置。

(9)审计和告警。

新一代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。此外,防火墙还在网络诊断、数据备份保全等方面具有特色。

目前的防火墙主要有两种类型。其一是包过滤型防火墙。它一般由路由器实现，故也被称为包过滤路由器。它在网络层对进入和出去内部网络的所有信息进行分析，一般检查数据包的IP源地址、IP目标地址、TCP端口号、ICMP消息类型，并按照信息过滤规则进行筛选，若符合规则，则允许该数据包通过防火墙进入内部网，否则进行报警或通知管理员，并且丢弃该包。这样一来，路由器能根据特定的刿则允许或拒绝流动的数据，如：Telnet服务器在TCP的23号端口监听远程连接，若管理员想阻塞所有进入的Telnet连接，过滤规则只需设为丢弃所有的TCP端口号为23的数据包。采用这种技术的防火墙速度快，实现方便，但由于它是通过IP地址来判断数据包是否允许通过，没有基于用户的认证，而IP地址可以伪造成可信任的外部主机地址，另外它不能提供日志，这样一来就无法发现黑客的攻击纪录。

其二是应用级防火墙。大多数的应用级防火墙产品使用的是应用机制，内置了应用程序，可用服务器作内部网和Internet之间的的转换。若外部网的用户要访问内部网，它只能到达服务器，若符合条件，服务器会到内部网取出所需的信息，转发出去。同样道理，内部网要访问Internet,也要通过服务器的转接，这样能监控内部用户访问Internet.这类防火墙能详细记录所有的访问纪录，但它不允许内部用户直接访问外部，会使速度变慢。且需要对每一个特定的Internet服务安装相应的服务器软件，用户无法使用未被服务器支持的服务。

防火墙技术从其功能上来分，还可以分为FTP防火墙、Telnet防火墙、Email防火墙、病毒防火墙等等。通常几种防火墙技术被一起使用，以弥补各自的缺陷和增加系统的安全性能。

防火墙虽然能对外部网络的功击实施有效的防护，但对来自内部网络的功击却无能为力。网络安全单靠防火墙是不够的，还需考虑其它技术和非技术的因素，如信息加密技术、制订法规、提高网络管理使用人员的安全意识等。就防火墙本身来看，包过滤技术和访问模式等都有一定的局限性，因此人们正在寻找更有效的防火墙，如加密路由器、“身份证”、安全内核等。但实践证明，防火墙仍然是网络安全中最成熟的一种技术。

二、数据加密技术

在电子商务中，信息加密技术是其它安全技术的基础，加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式（即加密），在线路上传送或在数据库中存储，其他用户再将密文还原成明文（即解密），从而保障信息数据的安全性。

数据加密的方法很多，常用的有两大类。一种是对称加密。一种是非对称密钥加密。对称加密也叫秘密密钥加密。发送方用密钥加密明文，传送给接收方，接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。典型的代表是美国国家安全局的DES。它是IBM于1971年开始研制，1977年美国标准局正式颁布其为加密标准，这种方法使用简单，加密解密速度快，适合于大量信息的加密。但存在几个问题：第一，不能保证也无法知道密钥在传输中的安全。若密钥泄漏，黑客可用它解密信息，也可假冒一方做坏事。第二，假设每对交易方用不同的密钥，N对交易方需要N*(N-1)/2个密钥，难于管理。第三，不能鉴别数据的完整性。

非对称密钥加密也叫公开密钥加密。公钥加密法是在对数据加解密时，使用不同的密钥，在通信双方各具有两把密钥，一把公钥和一把密钥。公钥对外界公开，私钥自己保管，用公钥加密的信息，只能用对应的私钥解密，同样地，用私钥解密的数据只能用对应的公钥解密。具体加密传输过程如下：

（1）发送方甲用接收方乙的公钥加密自己的私钥。

（2）发送方家用自己的私钥加密文件，然后将加密后的私钥和文件传输给接收方。

（3）接收方乙用自己的私钥解密，得到甲的私钥。

（4）接收方乙用甲的公钥解密，得到明文。

这个过程包含了两个加密解密过程：密钥的加解密和文件本身的加解密。在密钥的加密过程中，由于发送方甲用乙的公钥加密了自己的私钥，如果文件被窃取，由于只有乙保管自己的私钥，黑客无法解密。这就保证了信息的机密性。另外，发送方甲用自己的私钥加密信息，因为信息是用甲的私钥加密，只有甲保管它，可以认定信息是甲发出的，而且没有甲的私钥不能修改数据。可以保证信息的不可抵赖性。