国内信息安全的立法状况范文

时间:2023-10-10 17:43:57

导语:如何才能写好一篇国内信息安全的立法状况,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

国内信息安全的立法状况

篇1

 

如何构建面向公众服务的综合平台进而提升政府办公高效率,是电子政务的最终目标。在信息网络当中,电子政务是作为一个主要应用领域的存在,其上运转着巨大数量的信息,国家政务敏感与保密的特性是这些信息所具备的。所以,面向公众服务网络安全与政府内部网络的考虑,需要电子政务系统同时进行。通过对电子政务中网络信息安全现状进行研究分析,能有效提高电子政务信息安全的防御工作。

 

一、在电子政务当中网络安全问题的体现

 

在对电子政务中的安全问题进行分析时,可从网络协议的几个层面来谈:

 

1.从物理层面分析信息安全问题。主要是物理通路的干扰、物理通路的窃听、物理通路的损坏等。

 

2.非授权的客户与非法客户的非法使用,是网络层的安全。网络层的安全容易造成信息被监听或者拦截,网络路由出现错误等。

 

3.安全问题的主要体现则是操作系统安全。当下在一些较为流行的操作系统当中,网络安全漏洞现象的存在也是较为普遍的,举例:Windows桌面PC、NT服务器、Unix服务器等。要确保操作系统访问控制与客户资料的安全,而且还需要审计此操作系统上的应用。

 

4.在以前,人们并没有对应用系统安全与应用平台等部分给予太多重视。[2]软件服务的应用事实上是在网络系统之上,举例:Web服务器、电子邮件服务器、数据库服务器等,这些都存在着较大的安全隐患,并且也很容易受到黑客与病毒的攻击。

 

二、网络信息安全在电子政务中的有关措施

 

电子政务,安全为先。在信息化建设当中,信息安全是作为基石的存在,是信息网络发挥效能、正常运行的保证。人们对于信息网路所带来的效率是毋庸置疑的,若想使网络达到真正的实用性,需要对应用安全、数据安全、运行安全等进行解决。要想使国家能有更好的发展,应当把信息化作为发展战略,信息化的保障则是信息安全。所以,为了使服务职能与管理职能的实施得到有效的保证,需要对电子政务安全系统进行构建,使得能够给电子服务提供有效的安全保障机制。

 

1.电子服务网络安全的技术应用要有保障

 

(1)对密码技术进行充分的利用

 

面对公众的信息服务与政府内部办公,是电子政务应用的两大方面。所谓的政府办公则是,区域与区域间的公文流转、上级与下级间的公文流转、部门与部门间的公文流转等,都是电子政务所涉及到的,同时这些信息也包含了一定等级机密问题,使得在保密时要采取严格要求。所以,在信息传递的过程中,需要对信息实施适宜的加密方法进行加密。

 

(2)防火墙技术的合理应用

 

为下属各级部门提供管理服务、日常办公、数据库服务等,是专用网络的主要应用。通过跟国内其他网络与Internet的互连,可实现对国内外信息资源的利用,或者方便工作人员的访问。这样既能够是地方政府与同上级管理部门间的联系得到强化,也能使国内国际合作得到加强。

 

2.电子政务网络安全的其他辅助措施要加以保障

 

(1)物理层的安全需要强化

 

通过把商业信息与电子政务系统信息进行对比可以知道,电子政务系统信息是较为敏感的,并对信息传输过程的安全性与物理安全设计有着较高的要求。[3]在计算机信息系统的各种设备中,物理安全的保证是对整个网络系统安全进行保障的前提。物理安全在防范的过程中,可按照《计算战场地技术条件》和《电子计算机机房设计规范》等国家标准进行设计;此外,安全防范意识的提高,对设备因电磁辐射、被毁、被盗现象进行防御,能有效防止信息被窃、被盗状况的发生。像对计算机网络设施、设备的保护,是物理安全的体现,同时,也能对其它媒体免受火灾、水灾、地震等环境事故进行保护,并且也可以对各种计算机犯罪行为导致破坏的过程进行保护,以及对于人为操作错误或者失误等也能进行保护。物理安全主要概括了三个方面:线路安全、设备安全、环境安全。

 

(2)公务员信息的安全意识需要在电子政务的环境下进行强化

 

为了使电子政务能够高效且正常运转,选哟把电子政务信息作为基础,这是需要让公务员所认识到的。而公务员的意识则是需要对公务员的信息安全意识进行强化。公务员信息安全意识的强化也是对国家安全甚至国家信息安全进行保障的前提,并且也是树立牢固信息安全第一的思想。对公务员采取电子政务信息安全的教育,则需要各级的政府部门对多种途径进行利用。大致可分为以下两个方面:第一,通过大众传媒媒介,可对公务员的安全意识进行增强,对信息安全知识进行普及。第二,各种培训班与专题讲座需要积极的组织,对信息安全人才进行培养,并确保技术措施与防范手段的主动性与积极性。第三,对安全策略的研究要积极开展,安全责任要明确、公务员的责任心要增强。

 

(3)严格执法、健全法律

 

要想使电子服务信息安全能够得到有效的保障,需要对其进行法律的保护,在正度信息安全立法方面,一些发达国家已经积累了许多的成功经验,举例:英国的《官方信息保护法》、美国的《阳光下的政府法》与《情报自由法》、俄罗斯的《信息与信息化的保护法、联邦信息》等。我们应该吸收成功国家的经验,提高自己国家的立法部门政策,并要赶快颁布与制定数字库签名认证法、信息网络安全性法规、数据库振兴法、个人隐私保护法等。这样能够使我国的网路信息安全法律体系得到有效的完善,并且也能使电子政务安全信息管理逐步走上法制化的轨道。此外,执法部门需要对执法项目进行严格的要求,执法水平的提高,对各项法律法规落到实处进行确保。

 

三、总结

 

随着网络技术的不断普及应用,电子政务的发展与政务公开对公众的体现,已成为多元化的趋势。确保电子政务发展的根本要求就是安全性。通过对电子政务中网络信息安全现状进行分析,并与当下的安全技术相结合,能有效的找出相应的解决措施。这样能够使电子政务在今后的发展中,向安全稳定网上政府的实现又迈进一步。

篇2

关键词:信息化背景;电子商务;风险;对策

我国电子商务起步早,随着信息化的不断加强,电子商务已经渗透到社会生活的各个领域。由于我国当前的信息网络基础设施水平、网络经济的社会、法律、诚信等环境状况的制约,我国的电子商务发展水平与发达国家相比较仍有较大的差距。1997年,我国召开首届全国信息化工作会议,发出通知要求各地区各部门结合实际,认真贯彻落实国家信息化发展战略。2015年总理在政府工作报告中提出:促进工业化和信息化深度融合,开发利用网络化、数字化、智能化等技术,着力在一些关键领域抢占先机、取得突破。制定“互联网+”行动计划,推动移动互联网、云计算、大数据、物联网等与现代制造业结合,促进电子商务、工业互联网和互联网金融健康发展,引导互联网企业拓展国际市场。明确了信息化背景下,我国电子商务发展的重要发展方向。

一、信息化背景下我国电子商务发展的情况

(一)我国电子商务交易量直线上升

根据中国电子商务研究中心的《2014年度中国电子商务市场数据监测报告》显示:2014年,中国电子商务市场交易规模达13.4万亿元,同比增长31.4%,截至2014年12月,电子商务服务企业直接从业人员超过250万人,间接带动的就业人数超过1800万人。信息化背景下,随着电子商务的不断发展,我国经济发展“电商化”趋势日益明显,电商交易规模和创新应用再创历史新高,电子商务交易量增长迅速。

(二)网络消费群体发展迅速

随着互联网的普及,国内网民数量的不断增加,国家越来越重视电子商务的发展,我国企业不断推进电子商务进程,使得消费者对电子商务的接受程度逐步提高,电子商务已经开始影响着人们的消费模式。据前瞻产业研究院监测显示,2014年12月中国的网络购物者人数达到2.5亿,相关机构预计到今年年底,将有超过3亿人在网上购物,我国的网络零售销售额将增长两倍,有望突破3600亿美元。

(三)电子商务涉及的行业不断扩展

电子商务发展之初,其涉及的行业主要是电子产品、服装、家庭生活用品等方面,但是在信息化推动下,许多企业,不论是传统的大型企业,还是一些新兴的中小企业,为了迅速占领电子商务市场,纷纷建立企业的网站,电子商务服务和网络公司也在朝着产业化方向发展,形成了初具规模的电子商务服务业。

(四)电子商务的类型层出不穷

电子商务模式随着其应用领域的不断扩大和信息服务方式的不断创新,电子商务的类型也层出不穷。当前电子商务的类型主要有:企业与消费者之间的电子商务即(B2C)、企业与企业之间的电子商务(B2B)、消费者与消费者之间的电子商务(C2C)、线下商务与互联网之间的电子商务(O2O)、供应方与采购方之间通过运营者达成产品或服务交易的电子商务模式(BOB)。

二、信息化背景下我国电子商务发展面临的风险

(一)我国电子商务交易面临安全的风险

1.安全风险

首先,信息数据丢失及泄露;在同一个电子商务系统中,无论是终端的电脑型号,还是传输介质等均存在很大的差别,这样兼容性问题就会引起电子商务系统内的数据信息泄露或丢失。一些非法人员正是利用系统漏洞来窃取交易双方的交易信息,致使交易一方提供给另一方使用的文件被不法分子滥用,最终泄露了重要的商业机密或个人信息。其次,电脑遭受病毒侵袭;随着各类应用软件的应运而生,带来了诸多的新病毒,在病毒的严重攻击下,极大地削弱了网络系统或服务器服务系统的功能,致使电子商务交易数据丢失,带来了交易安全隐患。

2.信用保障风险

电子商务在线交易具有一定的虚拟化,因此交易双方不可能面对面签订交易协议,而正是由于虚拟市场中无法掌握交易双方的信用道德、信用能力及意向,导致信用保障风险的发生。首先,基于消费者的信用保障风险;由于交易双方存在信息不对称的问题,使得消费者无法及时全面地了解商家和各类商品信息。一方面商家提供的商品信息可能缺乏真实可靠性,或者存在一定的虚假现象,对消费者造成了误导。另一方面商家若无法为消费者提供各类高质量的物品,或不严格履行交易,就会给消费者的证据取得带来不小的难度。其次,基于商家的信用风险;有的人进行网络交易时,通过伪造虚假的个人信息及银行信用卡来非法骗取卖方的商品。尤其是商品到达后,买方拒付货款的行为时常发生。

安全交易是电子商务得以长久发展的主题。电子商务交易的安全问题主要依赖网络技术和计算机理论应用,但是从今年来多家网站安全信息泄露的情况可以看出,安全问题仍然是电子商务发展的重要障碍。电子商务交易中的安全问题主要涉及信息安全、信交易安全和财产安全这三个方面,而网络病毒感染、黑客的侵袭等使得人们对电子商务进行的安全性产生了怀疑,导致很多消费者、企业对实施电子商务缺乏激情。

(二)电子商务立法滞后

信息化背景下,我国电子商务已经快速发展,而国内尚且没有正式颁布和实施相应的电子商务法律,在电子商务交易过程中产生的法律纠纷没有相应的法律条文进行指导,给电子商务的发展带来难以克服的障碍,如,实践中经常出现:电子支付安全、消费者权益保护、隐私保护、纳税、版权保护、电子签名、商业合同认证、纠纷调解、交易责任、网上打假等一系列问题,立法上都没有进行详细的规定。因此,立法滞后是电子商务的发展一个重要瓶颈。

(三)物流的发展仍有待提高

物流是电子商务赖以发展的重要手段,物流的快慢、服务的好坏直接决定电子商务交易服务的质量。但是,从当前我国整个物流配套体系的情况来看,我国的物流配送体系仍有待进一步提高,物流管理水平低,制度不完善,现代物流发达程度欠缺,物流基础设施建设滞后,全国范围或更广范围的物流配送能力不足,实践中,常常出现送货不及时,退货不容易,物品丢失、掉包维权难等问题,所以,物流问题也成了电子商务发展中不可以忽视的一个问题。

(四)电子商务信用体系不完善

电子商务交易是在虚拟的网络环境中进行的,交易双方当事人互相看不见对方,在缺乏面对面商谈、不了解实物的情况下,双方当事人彼此间的信任则是交易的前提。但是,当前的电子商务交易中,尚且没有成熟的体制或者适当的载体来支持双方当事人真实信息的传递,导致卖方不能确定买方是否有购买能力、是否按照约定进行交易;而消费者无法准确的知道经营者的信用状况、产品是否合格、没有缺陷、服务是否合法等情况,当前网络上采取欺骗的方式销售商品、以次充好、夸大宣传等情况屡见不鲜,严重影响了消费者对电子商务的信心。所以,如何保证交易双方传递的信息的真实性、有效性、合法性,已经成为电子商务信用体系完善的重要工作。

三、信息化背景下电子商务发展的对策

(一)提高电子商务交易的安全性

电子商务交易主要是依靠虚拟的网络环境进行的,网络环境的安全可靠是电子商务交易安全的前提。

首先,制定网络安全技术规范标准,建立统一安全技术标准的电子商务综合服务平台。实践中,必须要通过建立和制定完善的法制和技术标准,建立客户认证机制和安全管理机制,完善维护信息安全管理体制,保证交易安全和国家信息安全,使得信息网络安全在国家战略诸要素中的地位不断上升。

其次,政府部门间应当加强信息网络安全的合作。政府应当完善建立互联网站、网页、网上经营活动情况的备案制度,建立政府与企业界在信息安全方面的紧密联系,并建立相应的电子商务主体信息数据库,保证对网络安全防护的总体规划和指导,强化政府对网络安全的监控工作,对网上经营活动的监管。

最后,培训更多信息技术安全人员,提高广大人民群众信息安全意识,以保证信息网络的绝对安全。健全维护信息安全的法制体系,优化信息安全的技术组织结构,大量开发防火墙、信息加密、支付网关、支付协议、安全路由器、安全服务器、用户认证产品等保护技术和产品,确保网上支付环境的安全。另外,还应当加强对预警、检测、追踪、响应和恢复等积极防范技术和产品研制,使得网上交易得以安全进行。

(二)完善电子商务相关的法律法规

电子商务在发展的过程中会遇到很多法律问题,比如:网络知识产权、域名恶意抢注、电子合同的法律效力、数字签名及其认证的法律效力问题、消费者权益保护、个人隐私保护、电子交易、电子支付风险问题等,另外,电子商务的立法涉及合同法、消费者权益保护法、商法、税法、刑法等众多部门法,是一项长期复杂而又艰巨的工程。虽然我国已经从宏观上制定了很多关于电子商务交易方面的法律法规,同时,各地也相应地出台了地方性的电子商务法规,但是,现有的法律体系仍然不能够有效解决实践中遇到的种种问题,而且各省市的地方性立法的使用范围和层级有限,不具有在全国范围普遍适用的效力。所以,我国在电子商务立法上,应当加快步伐,立足于我国具体国情的基础上,积极借鉴国外先进的立法经验,建立我国的电子商务法律体系,制定新的法律规范,明确电子商务交易中原则性的法律问题,再分别就各个细节制定相应的规章。同时,政府在电子商务立法中应当起到示范引导作用,积极的推进电子商务立法的完善。

(三)完善我国的物流配送体系

首先,政府应当通过合理的政策,积极鼓励和引导第三方物流企业的发展,积极完善我国物流基础设施建设,逐步对外开放我国物流市场,欢迎国外物流企业进入到国内,国内外企业公平进展,通过竞争来提高我国物流企业的综合实力。

其次,物流企业应当致力于提高资源效率和配送速度。政府可以鼓励有实力的电子商务平台开展第四方物流业务,积极推动物流企业间的相互合作,提高资源的利用率。鼓励电子分仓,特别是对于销售量大的网商来说,政府可以给予必要的用地、税收等方面的优惠,通过政策支持电子商务分仓,以提高物流配送的速度,降低物流成本和碳排放,有利于保护环境。

最后,给予中小物流企业融资方面的优惠政策,有效减轻物流企业的负担。物流行业属于劳动密集型产业,其固定资产是非常有限的,当前,由于受到金融危机的影响,很多中小物流企业出现融资困难的问题,所以,实践中可以给予中小企业一定的融资优惠政策,促进物流企业的发展。

(四)建立电子商务信用体系,加强信用监管

通过广泛的社会宣传和市场监督措施,强化公众守信意识和诚信自律,以达到增强公众的网络经济安全意识和信息。以健全的法律法规为基础,建立行业诚信自律机制,保证商家的诚信经营,买卖双方严格按照约定进行交易,防范电子商务交易风险。在实践中,积极探索适合我国国情的企业和个人信用评定制度,及时对企业和个人进行信誉记录,最终建立社会信用体系,促进电子商务交易的安全。

(五)完善网络基础设施建设

我国网络基础设施建设的完善是实现信息化社会的关键,这些离不开国家的大力支持,需要在人力、物力、财力上进行大量的投入,以实现我国网络的全面普及,进一步推进电子商务交易发展的空间。当前,各个电信企业应当做好通信网络发展的规划,积极推动4G网络、下一代互联网、光纤宽带网络的建设与发展,做好网络维护、优化、升级的工作,为社会成员提供优质的网络服务。

结语

在信息化背景下,政府应当大力支持电子商务活动的开展,精英企业应当起到先锋模范作用,以信息化为基础,以安全运行为中心,完善电子商务的各项立法工作,积极培育电子商务技术人才,促进我国电子商务安全、持续发展。

参考文献:

[1]齐景嘉.新背景下我国电子商务发展与对策研究[J].金融理论与教学,2012(02)

篇3

很多上班族都有这样一种烦恼: 处理垃圾邮件已经成了每天上班后的第一件烦心事。

当前,市场上关于信息安全的话题非常之广泛,但是如果从最实际的应用问题来看,企业在使用互联网技术时每天面对的最大、直接的安全的问题就是垃圾邮件和病毒。据统计,网络用户每天面对80%的互联网危险都来自于垃圾邮件和病毒。

今年上半年,由中国互联网协会组织,中国互联网协会反垃圾邮件中心历时两个半月,对中国反垃圾邮件的应用状况进行了一次大规模的调查。调查结果表明,从2005年11月到2006年3月,中国互联网用户收到的垃圾邮件比例由61.53%上升到63.97%,上升了2.44个百分点,中国互联网用户平均每周收到垃圾邮件数量为17.25封。

有专家估算,垃圾邮件将给中国的国民经济(GDP)每年造成约为60.69亿元的损失。这还没有考虑诸如邮件服务器处理垃圾邮件的额外付出,以及技术支持员工用于对付垃圾邮件的人力付出。垃圾邮件已经成为政府、企业及个人使用先进技术,获得信息资源,开展管理创新的最大阻碍之一。

目前,我国政府对于遏制垃圾邮件极为重视,反垃圾邮件立法也已被列为重点提案。2005年12月9日,中国互联网协会在“中国互联网协会反垃圾邮件协调小组”的基础上正式成立中国第一个在行业内最具代表性的反垃圾邮件组织――“中国互联网协会反垃圾邮件工作委员会”(Anti-Spam of Internet Society of China,ASISC)。今年3月,信息产业部颁布了《互联网电子邮件服务管理办法》。另外,继公安部、教育部、信息产业部、国务院新闻办四部委宣布联合治理垃圾邮件专项计划之后,反垃圾邮件相关企业和行业也更加积极地行动起来,将共同建立一个规范化、法制化的反垃圾邮件环境,信息安全领域的技术提供商、网络服务商和邮件运营商们也都纷纷提出了自己的技术方案。

本报近几年来一直密切关注信息安全领域特别是内容安全的市场及需求变化,已先后组织了“基于策略的安全管理方案”、“VPN解决方案”、“电力信息安全”以及“反拉圾邮件解决方案”等多技术领域的安全解决方案横向评析及专题报道,得到了用户极大的关注和高度评价。在垃圾邮件越来越猖獗的今天,许多企业、政府机构和各大行业用户曾多次向本报提出建议,希望能够看到更多的关于内容安全方面的优秀方案及应用案例,以便更加深入地了解内容安全方面的应用趋势、实施手段,并且对此方面的技术及各厂商的综合实力有一个清晰的认识。

为此,《计算机世界》方案评析实验室在2006年5月组织了一次反垃圾邮件方案的横向评估活动,旨在对当前主流反垃圾邮件方案进行横向评价并予以推荐,让用户更明确地看到各厂商的技术及综合服务能力的差异,以及不同的应用定位。

此次活动共征集到十多个反垃圾邮件解决方案。经过评估和筛选,我们评出了7个相对完善和有特色的反垃圾邮件解决方案。从入选方案来看,大多数方案的技术描述都比较完整,而且对于可用性和可靠性都较为重视,特别是一些综合实力较强的方案供应商,提出了硬、软件相结合的立体反垃圾邮件策略。此外,这些方案在产品与技术方面也都体现出一些新的特性。它们当中普遍存在的不足是,对于方案的具体部署和实施细节介绍得比较粗略,特别是在一些具体应用方法上阐述不够清晰。

垃圾邮件是一个全球性的问题,且已经成为一种社会现象,仅仅依靠反垃圾邮件技术是无法彻底解决的,还需要运用管理与技术双重手段,在先进的技术手段的基础上,建立健全管理制度和法律法规,推进国家级反垃圾邮件公共服务体系,完善垃圾邮件举报平台,促进运营商和邮件服务商的协调合作。

《计算机世界》方案评析实验室

推荐七个反垃圾邮件解决方案

北京SurfControl网络安全有限公司

邮件安全解决方案

CipherTrust公司

IronMail电子邮件安全解决方案

硕琦(上海)信息科技有限公司

反垃圾邮件解决方案

北京敏讯科技有限公司

EQManager邮件安全网关解决方案

北京金辰软件有限公司

全面防范垃圾邮件解决方案

北京赛门铁克信息技术有限公司

电子邮件安全可用性解决方案

篇4

关键词:计算机;安全隐患;网络;安全防护

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 10-0000-02

Computer Network Security Issues and Prevention

Liu Wei

(Jilin Frontier Corps Yanbian Border Detachment Headquarters Confidential Division,Yanji133000,China)

Abstract:As the scope of computer network security to prevent too much too wide,the penetration of computer technology to read materials to many.The article briefly describes a modern computer network security environment.No national boundaries such as a computer hackers'malicious'vulnerability to upgrade,build a computer security environment,building a computer and several other aspects of legal concepts,analysis of the existence of computer network security,and several of the security of computer networks countermeasures.

Keywords:Computer;Security risks;Network;Security

一、黑客频频攻击,网络安全环境堪忧

在2010年6月16日,来西亚曾向多媒体委员会发表声明称,其国家目前至少有41个政府网站已遭受黑客“恶意”攻击。而此前,美国参议院、国际货币基金组织、花旗银行、索尼公司等部门和机构都遭黑客攻击。越来越多的黑客攻击事件给全球网络安全敲响了警钟。索尼和任天堂的遭遇已给日本公司的网络安全敲响警钟。近年来,这种针对特定企业的“标的性网络攻击”数量在日本急剧增长,日本经济产业省已经要求国内的企业加强对信息的安全管理。

由于网络频遭袭击,欧盟委员会日前宣布,成立“计算机紧急情况反应小组”,以防范和应对黑客的袭击,确保欧盟机构的电脑网络安全。该小组由10名电脑及网络技术专家组成。另外,欧盟委员会还呼吁成员国也建立这样的技术专家小组,以保障国家和政府主要机构电脑网络的安全。

目前,欧盟正在加紧网络安全立法,拟出台针对黑客攻击的更严厉的惩罚措施。欧洲网络信息安全局也将进行现代化改造,其职能将得到强化,以帮助国家和个人预防并反击网络攻击。欧盟27个成员国也将紧密合作,在欧洲刑警组织框架内组建网络安全部队。

另外,国家计算机网络入侵防范中心日前安全漏洞周报所显示,2011年6日至12日一周内共发现安全漏洞64个,其中高危漏洞16个,安全漏洞总量与前一周相比有所上升。据介绍,对我国用户影响较大安全漏洞有:Google Chrome浏览器修复的多个漏洞。该安全漏洞如果被攻击者利用可能引起拒绝服务,绕过访问控制或者同源策略,影响信息的机密性、完整性、可用性,威胁用户隐私安全。因此,为了保护用户使用安全,国家计算机网络入侵防范中心建议用户及时更新补丁程序,补丁可以从软件厂商官方下载,不轻易打开未知网站和来路不明的文件,安装杀毒软件并将病毒库升级到最新。

二、计算机网络安全的概述

“计算机安全”通过国际标准委员会定义为:“为数据处理系统建立和采取的技术和管理工作的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击而遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是计算机网络安全的研究领域。

三、计算机网络安全的威胁因素

(一)操作系统安全

计算机的操作系统都是存在缺陷与漏洞的。网络之间的串联让黑客可能对我们的计算机系统造成致命的“系统瘫痪”。

(二)防火墙的脆弱性

防火墙是一个在计算机内部网和外部网之间建立起保护自己专网的保护通道,它是由计算机软件和硬件设备组合而成的。防火墙有一定的防护能力,但是却并不能保证LAN内部网的攻击,但基本的防护网络安全还是可以做到的,它有一定的局限性。

(三)病毒

它是编制者在计算机程序中插入的破坏计算机功能或数据。影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。

(四)黑客

对于计算机网络安全造成威胁的另一个因素是黑客(backer)。他们是人为因素,他们利用利用网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法取伙重要信息、篡改系统数据、破坏硬件设备、编制计算机病毒。

四、计算机防范对策

(一)主要对策

实现优化计算机安全网络优化环境,需要由现代信息化技术作为依托。网络安全技术主要涉及到的有防护扫描技术、实时监测网络环境技术、防火墙防护技术、全面性检验技术、病毒报告情况分析技术和系统安全管理技术。结合国内计算机网络安全环境,可施行以下对策:

1.构建网络安全管理机制。以加强系统管理员与用户的技术人员素质与其职业道德精神建设为主,相关技术数据要予以备份,这是一个行之有效的方法与良好习惯,逐步科学构建计算机网络管理机制。

2.合理规范访问控制。网络安全的防护的必要策略,是以网络访问控制来实现。它的主要旨意是保证约束网络资源非法窃取盗用行为。其是实现网络环境安全的必要、重要核心策略之一。就实现访问有效控制的技术而言,广义上讲,其包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

篇5

【关键词】信息化 互联网 安全管理解析

在计算机与网络技术飞速发展的背景下,当代社会逐渐进入到信息化的时代当中。而在信息化时代环境中的企业与事业改革,发挥着关键性作用的就是网络信息化建设。但是,在信息化建设的过程中,伴随其发展与完善的同时,也存在一定的安全问题,只有有效地解决网络信息化建设中的安全问题才能够确保网络信息的安全。

一、网络信息化建设中的安全问题分析

1、安全基础不牢固。同发达国家相比,我国的网络信息化起步相对较晚,并且发展的速度也较为缓慢,而且,在网络信息产品进口方面也始终受到制约与阻碍,导致网络信息化建设的工作也处于被动状态。第一,硬件设备方面。网络信息化的建设,其中所需要的计算机需要在其他国家进口,虽然我国的超级计算机整体水平与国际先进水平几乎一致,但是,却始终无法摆脱进口的地位,更为严重的就是在制造核心的零部件时,我国的大多数厂商主要是加工与组装,在生产过程中严重缺乏原创的意识与想法。第二,软件设备方面。现阶段,我国的电脑操作平台几乎是被美国的微软垄断,若对微软操作系统的应用不合理,就会使我国软件与网络的运行存在一定的难度,并且很容易使得网络信息化的建设位于被动的状态,最终受到其他人的限制与约束。

2、安全意识薄弱。我国的网络信息化建设,从其中的多数工作开展状况看来,因而未体现出对网络信息化建设安全问题的关注与重视,所以,技术与安全问题也同样被严重忽略。在网络信息化的建设过程中,人们更重视技术与设备,而忽视了安全投入,也忽略了安全问题的重要作用,进而导致网络信息化的建设过程中经常出现安全漏洞,使得安全事故频繁发生。除此之外,虽然政府的机关单位与企业有意愿重视网络信息化的建设安全,但是,却并没有采取具有针对性的安全管理措施,也并未营造出安全的工作环境,所以,目前看来,对网络信息化建设安全管理工作的强化十分重要。

3、安全防护措施不健全。在网络信息化建设的过程中,不仅安全意识薄弱,同时,对于危险的抵御能力也严重匮乏,并且很难使用最佳的方法来实现自我保护。

4、网络犯罪的影响较大。有些网络犯罪分子仅仅因为利益的驱动,就采取诈骗或者是木马病毒的投入等多种手段来对用户的私密信息进行窃取,对用户工作机密造成破坏,给用户带来严重的危害。即便是国家有意愿采取相应的抵御措施来避免网络犯罪行为的发生,但是,因为网络犯罪分子自身的隐秘性极强,并且十分狡猾,所以,最终的成效并不明显。

二、网络信息化建设安全策略分析

1、积极完善网络信息化建设安全法律法规。首先,应保证安全立法充分展现与时俱进的精神。目前,网络信息化建设的安全法律层次不高,即便是法律内容会涉及到较多方面,但是,其法规内容相对简单,无法及时对网络信息技术发展情况加以规范,所以,必须要强化网络信息化建设中安全法律法规的覆盖面与深度,并不断完善既有体系,积极引进并借鉴先进的经验,充分结合我国网络信息化建设的情况,具有针对性地强化网络信息化的建设。其次,应对网络信息与传播进行规范。当前,网络信息共享中的安全问题研究深度不够,并且责任制度不合理,所以,应尽量规范网络信息的和传播。最后,应积极加快网络信息化建设安全立法的步伐。为了紧跟网络信息技术快速发展的脚步,一定要保证网络信息化建设安全立法具有预见性,同时,应该对信息未来会出现的安全风险进行一定的评估,保证网络信息技术能够及时地做出反应,并确保法律法规在网络信息化建设的过程中进行有效地管理。

2、充分发挥网络信息化建设中安全管理在政府中的作用。我国的网络信息化建设,政府在安全管理工作中发挥主导性的作用,所以,一定要保证与其相关的安全法律法规完善,保证视网络信息化的建设处于正常的运行轨道中,对于威胁网络信息化建设安全的行为应予以严格地监管与处理。

3、不断完善网络信息化建设的安全方式。第一,贯彻并落实许可与准入制度。在网络信息化的建设过程中,安全管理工作可以贯彻并落实许可和准入的制度,进而对其安全进行有效地监督与管理。现阶段,大部分国家都已经应用了此方法,并且取得了一定的成效。然而,在我国内部实行该制度的时候,则应该积极地建立控制与审查机制,并保证其科学合理,对网络信息进行有效地控制,进而对其中存在的安全问题进行及时地解决。第二,积极提高安全技术层次。要想实现安全技术层次的提高,最重要的就是要积极引进先进的技术,对其操作进行严格地监管,进而获得理想的效果。

4、更新安全防护设备。众所周知,网络信息化的建设,其灵活性十分显著,所以,一定程度上为网络的不良行为提供了契机。然而,为了降低该情况发生的几率,就应该保证互联网企业对防护设备进行定期地更新,并对设备防护的具体情况进行观察,避免网络不良信息的进入。

篇6

电力是人民生活、经济进步不可或缺的必需品,美国作为世界第一大经济体,提供可靠的电力供应是维持社会稳定、保证经济社会平稳发展的必然要求。但随着通用网络与信息技术在电力系统中的使用,病毒、网络攻击给电力生产带来了信息安全风险,尤其美国部分落后地区电网基础设施陈旧,测控与保护系统缺少安全防护机制,一旦遭受信息安全攻击,不仅造成本地区的电力故障,还可能影响北美地区的电力供应。2003年美国东北部和加拿大部分地区发生大面积停电就是典型的连锁反应事故。随着美国智能电网建设的推进,更加开放与友好的电网让美国的电力供应面临更多威胁。2009年的美国黑帽大会上就有人演示验证了蠕虫可以在24h内感染智能电表,使1.5万户家庭电力供应陷入瘫痪[1]。针对基础设施信息安全的严峻形势,美国联邦政府下属多个机构都对电力系统的信息安全给予高度重视,投入资金进行相关的研究与标准制定工作,经过近10a的发展,美国政府相关部门在工业控制尤其是电力系统信息安全防护方面,先后经历了交流研究、立法规范、推行标准和当前的智能电网安全试点投资建设阶段,目前信息安全工作已经取得了一定的成果,的标准和指南被世界范围内电力行业信息安全相关工作人员参考和使用。

本文在对美国电力行业信息安全相关政府部门和标准组织的工作进行总结的基础上,对影响力比较大的法规、标准、及相关指导文件进行了解读,并分析了美国电力行业信息安全工作的特点。

1美国电力行业信息安全管理模式

1.1美国电力行业信息安全研究与管理组织结构

美国联邦政府对电力系统的信息安全工作极为关注,国会多项法案,赋予下属多个部门管理权利与相关职能。在电力企业与机构信息安全监管方面,遵循已有的电力企业监管方式,授权联邦一级的联邦能源管理委员会(FederalEnergyRegulatoryCommission,FERC)监管包括信息安全标准在内的电力可靠性标准的推行。在电力行业信息安全研究与指导方面,美国能源部(DepartmentofEnergy,DOE)下属多个能源实验室从事信息安全的研究,研发的信息安全防护措施与技术直接用于电力相关示范项目中。在信息安全标准化方面,商务部下属美国国家标准技术研究院(NationalInstituteofStandardsandTechnology,NIST)致力于工业控制系统安全标准和智能电网信息安全标准的制定,形成了大量研究成果,为电力企业实施信息安全防护提供了指南。此外,美国国土安全部(DepartmentofHomelandSecurity,DHS)负责信息安全威胁分析与信息安全事件的应急响应,每年都组织包含电网等基础设施在内的大规模信息安全演练。

1.2国土安全部

美国国土安全部(DHS)是美国联邦政府的一个内阁部门,主要职责包括保护美国免受恐怖组织的攻击,同时在发生自然灾害时进行紧急响应。

DHS在2006年、2008年和2010年分别进行了3次网络风暴(cyberstorm)演习。网络风暴演习模拟美国关键基础设施遭受大规模网络攻击时,网络应急响应团体中各政府部分与相关企业联合应对的情况,旨在检测并加强政企合作的网络防灾和响应能力。

DHS还负责控制系统安全项目(controlsystemssecurityprogram,CSSP)的执行,通过联邦、州、地区政府部门和工业控制系统所有者、运营商和厂商的共同努力,降低关键基础设施面临的信息安全风险。项目下设工业控制系统联合工作组(industrialcontrolsystemsjointworkinggroup,CSJWG),为联邦机构内所有关键基础设施和重要能源部门(criticalinfrastructureandkeystructures,CIKR),以及工业控制系统私营企业提供交流的渠道,加速设计、开发和部署安全的工业控制系统,持续加强利益相关者在信息安全工作方面的合作。

1.1 能源部及相关单位

    1.3.1美国能源部

美国能源部(DOE)是美国联邦政府的能源主管部门,主要负责制定和实施国家综合能源战略和政策。具体职责包括:收集、分析和研究能源信息,提出能源政策方案,制定能源发展与能源安全战略,研究开发安全、环保和有竞争力的能源新产品等。在推进电力安全防护工作方面,DOE在2003年就提出了《保护SCADA系统信息安全的21步》,还资助美国电力科学研究院(ElectricPowerResearchInstitute,EPRI)和多个能源实验室进行电力系统信息安全风险与防护技术的研究。

1.3.2美国联邦能源管理委员会

美国联邦能源管理委员会(FERC)是一个内设于美国能源部的独立监管机构,前身是成立于1920年的联邦电力委员会(FederalPowerCommission,FPC)。委员会的主要职责是负责依法制定联邦政府职权范围内的能源监管政策并实施监管,具体包括监管跨州的电力销售、批发电价、水电建设许可证、天然气定价和石油管道运输费。

《2005年能源政策法案》授权FERC监督主干电网强制可靠性标准的实施。2007年7月,FERC批准由北美电力可靠性组织(NorthAmericanElectricReliabilityCorporation,NERC)制定的《关键设施保护》(criticalinfrastructureprotection,CIP)标准为强制标准,要求各相关企业执行,旨在保护电网,预防由于薄弱的访问控制、软件漏洞或其他控制系统漏洞而导致的信息系统攻击事件的发生。1.3.3北美电力可靠性协会北美电力可靠性组织(NERC)是一个非营利性组织,其前身是1968年6月成立的国家电力可靠性委员会(NationalElectricReliabilityCouncil,NERC)。1965年发生美国东北部大停电之后,各电力企业为促进北美电力传输的可靠性、保证电网输电能力,联合成立了该委员会。1981年由于加拿大和墨西哥的加入,NERC改名为北美电力可靠性协会(NorthAmericanElectricReliabilityCouncil)。NERC的主要工作包括组织制定电力系统运行标准、监督和推进标准的执行、评估系统的能力和提供培训服务。NERC还对重大的电力系统故障进行调查和分析,以防类似事件的再次发生。NERC的成立极大地推动了电力系统可靠性理论的研究及其在工程实际中的应用,同时也带动了世界各国电力可靠性管理工作的开展。

《2005年美国能源政策法案》提出成立“电力可靠性组织”(electricreliabilityorganization,ERO),制定并推行强制可靠性标准。2006年,NERC被授予该职能。2007年,NERC正式更名为北美电力可靠性组织。NERC的一系列CIP标准,被FERC认证为强制标准,在美国50个州和加拿大部分省份强制执行。美国的电力公司一旦违反这些标准,将被处罚最高每天100万USD的罚金。

1.4美国电力行业信息安全标准研究与制定机构

    1.4.1美国国家标准技术研究院

美国国家标准与技术研究院(NIST)是美国商务部下属非监管联邦机构,其前身是1901年成立的美国国家标准局(NationalBureauofStandards,NBS),1988年更名为美国国家标准与技术研究院。

NIST的职责是指导美国使用已有和新兴的信息技术来满足国家在社会、经济和政治等方面的要求。根据《2002年联邦信息安全管理法案》,NIST加强了信息安全标准、指南和相关技术的研究,完成了NISTSP800系列出版物。其中,NISTSP800-82《工业控制系统安全指南》和NISTSP800-53《联邦信息系统推荐安全措施》2份出版物与电力工业信息安全密切相关。

根据《2007年能源独立与安全法案》,NIST“主要负责协调开发一个包括协议和信息管理的模型标准框架,实现智能电网设备和系统的互操作性”。为了完成法案提出的要求,NIST制定了3阶段的工作计划,以快速建立一套最初的标准,并形成有效的工作流程,随着技术的革新持续对标准进行制订和实施。NIST为商业和其他智能电网利益相关者提供了一个开放的公共交流平台,通过该平台,相关人员可以对已有的标准进行识别,分析缺失的标准并提出亟需制定的标准。目前NIST已了NISTIR7628《智能电网信息安全指南》。

   1.4.2国际自动化协会

国际自动化协会(InternationalSocietyofAutomation,ISA)成立于1945年,是一家全球性的非盈利组织。主要从事自动化行业技术标准化工作。除了制定标准,ISA还从事认证、培训、会议组织、技术刊物出版等工作。

ISA的前身是美国仪表协会,2000年随着研究范围的扩大,更名为美国仪器、系统和自动化协会,后在2008年又更名为国际自动化协会。ISA下属ISA99委员会从事包括电网调度系统在内的工业控制系统的信息安全标准化工作,目前正在制定ISA99《工业自动化与控制系统安全》标准系列。

2美国电力行业信息安全工作主要成果

2.1关键设施保护CIP标准

2.1.1CIP标准的制定过程介绍

目前在全美强制推广的CIP标准最初名称是NERC1300,2005年NERC对NERC1300进行了更新并更名为CIP,分为CIP002-009共8个部分草案。CIP编制的目标是保证电网的可靠运行,覆盖对象包括供电公司、发电厂、电网运营商等电力企业。2006年4月,在经过4个版本的讨论与修改后,CIP标准第1版,同时了符合性实施计划[1'实施截止日期根据企业的不同定在2009—2010年之间。

2007年7月20日,FERC针对NERCCIP标准了一份《公共制定规则通知》[11],将NERCCIP作为强制性标准进行推行,但对标准的8个部分提出了59项修改内容,要求CIP在2009年前进行修改。2008年末,CIP的修改进入了实质性阶段,在2009年9月末了CIP第2版,即CIP002-2至CIP009-2。但在标准的执行过程中,针对CIP执行效果不佳的问题,NERC对CIP标准要求进行了细化和调整,2011年1月了CIP第4版。

2.1.2CIP标准内容介绍

NERCCIP标准的核心部分是CIP-002至CIP-009,8个要求部分分别覆盖资产识别、安全管理、人员管理、访问控制、物理安全、系统安全、应急响应与灾难恢复,具体内容描述见表1。在提出要求的基础上,NERC制定了符合性实施计划,将标准的执行分为了资产评估、基本符合、符合和通过审计4个阶段,对不同的电力企业制定了不同的执行时间表和审计截止日期,电力企业在审计截止日期之前将CIP中要求的材料提交到NERC或州权威机构。

2.1.3CIP标准存在的问题

尽管CIP作为全美强制推行的第一个电力系统信息安全标准,已经在管理层面取得了重大突破,但是CIP在内容上仍存在很多不足。

首先,CIP-002《关键网络资产识别》中只要求电力企业自己选用风险评估方法识别重要的信息资产,而且倾向于防护基于通用网络技术的信息系统主机、终端,但对于继电保护装置、测控装置、变压器等重要的电力系统组件,CIP中却没有提到。电力企业可以根据自己的评估方法接受一定的信息安全风险,自主确定需要保护的资产。但是在实际操作中,很多电力企业都声称在进行了风险评估之后,没有需要保护的重要资产。比如在美国东南最大的一个区域,所有电力企业(包括核电在内),都认为他们的发电系统对电网的可靠性没有影响,系统满足#-1定律,单一故障并不影响整个系统的稳定性,所以这些系统不属于重要资产[12]。但是他们并没有考虑到安全故障同时发生的情况。试想如果多个电站控制系统中都被植入了木马,而且同时发作,出现的状况将不亚于2003年的东北大停电。2009年4月,NERC的副主席兼首席安全官向NERC提交了一封信,信中称70%的美国电厂都认为自己的系统不是NERC的关键系统,30%的输电资产也被所属电力公司认为是非关键资产,而由于CIP没有覆盖配电,所以100%配电系统都不属于关键资产[13]。FERC在《公共制定规则通知》中对CIP的宽松条款表示不满,要求NERC重新考虑修改事宜,经过多版更新,目前的CIP第4版中虽然对资产进行了更近一步的定义,但是发电厂的资产基线设定值高达1500MW,仍有很多的发电设备将在防护要求之外,而且标准依旧没有考虑配电设施。

其次,CIP标准中要求的安全机制都是适用于商用信息系统的防病毒、安全配置等通用措施,主要用于解决调度中心的服务器和工作站的安全问题,而不是防护电厂和变电站的现场设备的。但对于目前美国变电站和电厂中的大部分现场控制器和可编程逻辑控制器(programmablelogiccontroller,PLC)等众多计算机处理能力低、结构简单的设备,这些措施则无法实施。而且,随着智能电网的推行,底层设备的智能化而引入的信息安全风险也是CIP标准必须面对的问题。

再次,CIP标准没有考虑配电系统和电力市场交易系统。配电的监控系统也是连接在NERC的调度通信网上的,配电监控系统的安全同样影响电网的安全。开放接入实时信息系统(openaccesssame-timeinformationsystem,OASIS)作为市场交易系统的一种,就在CIP的管理范围之外,它们一边连着EMS/SCADA系统,另一边就连着互联网,对电网的安全构成极大威胁。

根据NERC2011年3月的标准符合度情况统计数据,从2010年起,各电力企业和机构的CIP不符合项以每月100个的速度增长,而且这些不符合项中超过一半都还没有整改。CIP标准本身的缺陷和推行不力问题,使得美国国内很多专家对CIP是否真的能够提升全美电力系统的信息安全水平产生了巨大质疑。

2.2 NISTSP800-53和NISTIR7628

2.2.1 NISTSP800-53介绍

在美国国会将NERCCIP提升为强制要求的过程中,信息安全界始终有呼声推举安全防护覆盖面更广的NISTSP800-53作为强制标准。

NISTSP800-53是为了支持《2002年联邦信息安全管理法案》而制定的,该法案要求所有联邦机构都开发、记录并实施信息系统安全项目。作为法案实施的一部分,NIST提出了“风险管理框架”,将法案相关的标准和指南进行整合,帮助各机构制定实施信息安全项目,在法案的要求下,所有的联邦机构都必须强制执行。NISTSP800-53是“风险管理框架”的基础,其中包含管理、操作和技术3类安全控制措施(图2),为机构实施信息安全项目提供了基本信息安全控制点。

2.2.2 NISTIR7628介绍

在美国政府将智能电网列入国家重点发展产业的同时,NIST为智能电网信息安全战略规划了一份报告NISTIR7628《智能电网信息安全指南》。作为国家层面智能电网信息安全防护战略规划与指南,NISTIR7628中提出了一个普适性的框架,电力企业可以根据该框架制定基于自身特征、风险与脆弱性的信息安全战略规划。而相关的电力设备厂商和管理部门也可以将该报告中的安全措施作为工作指南的基本素材。

NIST编制NISTIR7628的目的是对NISTSP1108《智能电网互操作标准框架与路线图》进行补充。NISTSP1108提出信息安全是需要优先解决的标准工作专题,NISTIR7628在此基础上,对智能电网的信息安全进行了深入的分析,提供了用于指导智能电网风险管理的相关内容。NISTIR7628的编制工作自2009年3月启动,经过了多轮公开讨论与修改,第3版最终在2010年8月。

NISTIR7628报告第3版全文分为3个分册。第1分册描述了用于识别高层安全要求的风险评估步骤,提出了智能电网概念模型和7个智能电网域、域中以及域间接口的逻辑接口架构,并将这些接口分为了22类,对每一类接口制定了高层安全要求。在第1分册的最后对智能电网系统与设备中的加密与密钥管理问题进行了讨论。第2分册主要对用户的隐私问题进行了讨论。报告中对智能电网中新技术、个人信息、社区信息、人们在居所中的行为、电动汽车的使用情况等信息涉及的隐私问题进行了分析。根据被普遍使用的隐私原则,建议电力企业对智能电网业务流程中的包含个人信息的数据流进行跟踪,将隐私风险降到最低,另外还建议电力企业对用户和相关人员进行智能电网隐私风险的培训,指导他们降低此类风险。第3分册是对前2册中提出高层安全要求的需求分析和其他相关资料的汇编。其中包含脆弱性分类方法和报告编制采用的“自下向上”的安全分析方法。此外,还包含了智能电网信息安全新技术研发专题,指明了保证高层可靠性与安全的技术方向。最后,对识别和梳理智能电网信息安全标准的过程进行了描述。

NISTIR7628最大的贡献之一是形成了智能电网的安全要求指南,这些安全要求的内容主要是出自NISTSP800-53附录I中工业控制系统的安全要求,是对NIST之前工业控制系统安全研究成果的继承。尽管这份报告内容翔实丰富,且对于实际防护具有指导意义,但与NISTSP800-53遭遇的尴尬境地一样,美国政府想在电力行业内推行NISTIR7628中的要求仍需要长时间的考量和多方利益的权衡。

2.3 ISA99和旧C62443的推进

除了政府层面从保卫国家基础设施安全的角度关注电力系统以及智能电网的安全防护外,安全厂商、监控系统与设备制造商也意识到了电力系统的安全产品与解决方案市场潜力巨大,在基于原有信息安全技术提供测控系统及设备附加安全服务的同时,厂商通过参与民间电力系统信息安全技术标准化工作来占领技术制高点,扩大影响力,提升自身竞争力。

ISA下属ISA99委员会从事工业控制系统的信息安全标准化工作,正在制定的标准系列ISA99《工业自动化与控制系统安全》未来将被IEC等同采用为IEC62443《工业通信网络一网络和系统安全》。

ISA99委员会在其工作计划中提到,未来《工业自动化与控制系统安全》系列标准包含有常识与术语、安全项目的建立与运行、系统的等级与要求和终端设备的技术要求等4部分内容,标准结构见图3。

在ISA99委员会进行标准制定的同时,ISA下属安全合规性委员会(ISAsecuritycomplianceinstitute,ISCI)成立了嵌入式设备安全保证(embeddeddevicesecurityassurance,EDSA)认证项目,提出了嵌入式设备安全功能要求、嵌入式设备开发要求和嵌入式设备网络协议健壮性要求等一系列嵌入式设备测评准则和流程文档,在一定程度上为嵌入式设备的厂商提供了设备安全功能指南。

设备与系统安全机制的标准化和对电力通信规约的安全改造标准化,可以从底层直接实现系统建设与更新过程中安全技术的产业化集成,对提高电力系统的安全风险抵御能力具有重要意义。ISA99委员会早在1997年就了工业控制与自动化信息安全技术的报告,是最早进行相关研究的组织之一,因此业界一直对由厂商和研究机构组成的ISA99委员会寄予巨大期望,希望该委员会制定的标准能够从本质上提高工业控制系统的信息安全技术防护能力。在欧洲和亚洲具有巨大影响力的IEC的加入,也为ISA99在全球的推广提供了有力的支持。但是由于工作量巨大,标准工作组内部组织不力,ISA99标准的编制工作进展缓慢,目前还没有成型的实质性成果。

3美国电力行业信息安全工作的特点

3.1 厂商掌握核心信息安全技术

由于美国信息技术发展起步较早,美国IT厂商掌握着大量信息安全的核心技术,而且信息安全的标准化工作都主要是美国有实力的厂商主导。以目前唯一的电力系统信息安全技术标准,电力规约通信安全标准IEC62351[2Q]为例,IEC62351-3《包含TCP/IP协议的安全规范》中使用的方法为“传输层安全协议”(transportlayersecurity,TLS)[21],TLS协议是Certicom公司1999年在Internet工程任务组(Internetengineeringtaskforce,IETF)提出的。另外,Cisco、Microsoft等国外公司都掌握大量通信信息安全核心技术。

除了掌握核心技术知识产权,大量美国厂商还引领着信息安全技术的发展方向。随着电力监控终端的处理能力的提高和一次设备的智能化,设备自身面临的安全风险逐渐增多,大量自动控制系统生产厂商都在致力于将信息安全功能作为设备的增值能力,意图从系统底层奠定智能电网信息安全的基础。全球嵌入式及移动应用软件制造商WindRiver于2011年2月宣布与全球最大的专业安全技术公司McAfee达成一项战略合作协议,针对各类非PC设备,尤其是嵌入式及移动设备,共同开发、营销专属的安全防护解决方案并提供相关支持。

3.2 国家层面电力安全项目扶持力度大

美国联邦政府安排多个部门从事电力系统信息安全的相关工作,并对工业控制系统安全研究、智能电网标准化和企业技术研发项目提供强大的资金支持。早在2004年,DHS就向11家小公司提供了10万USD基金进行包括入侵检测系统(intrusiondetectionsystems,IDS)和密码算法在内的SCADA系统安全相关研究。2005年,为支持研究机构从事SCADA系统安全研究,DHS和NIST共同出资850万USD作为由Sandia实验室领导的信息架构保护协会(instituteforinformationinfrastructureprotection,I3P)2a期的研究经费。2007年,DOE向5个项目提供了790万USD进行电网以及其他能源基础设施的安全设备集成与先进技术应用。2009年底奥巴马提出政府将拨款34亿USD带动美国智能电网建设,2010年美国能源部为10个智能电网信息安全项目提供了3040万USD作为资金支持。2009年底确定的智能电网示范项目中很多项目都不同程度地包含信息安全的工作,其中DOE提供850多万USD示范项目基金,采用波音公司的军用级别信息安全软件技术改进区域输电系统计划与运行软件。美国多个部门连续在财年预算中提供工业控制和电力系统信息安全的项目基金,鼓励企业和学术机构从事相关的研究和研发工作,当前美国在电力系统信息安全方面的国际领先地位与政府的大力扶持密不可分。

3.3 电力行业信息安全监管力度较弱

美国在电力行业市场化进程中,随着民间资本的流入,政府对电力企业的监管控制程度都不同程度地降低了。在信息安全工作方面,尽管多部门齐抓共管,但在实际工作中国家层面各政府部门并不能强制要求电力企业如何进行信息安全防护工作,主要措施还是提供信息安全防护标准、指南,并且通过推动标准、指南的产业化应用逐步实现电力企业安全防护能力的提升。虽然FERC在强制推行CIP标准,但CIP的强度与我国的《电力二次系统安全防护规定》及配套方案相比,在控制力度和技术措施细度方面存在巨大差距,即使贯彻实行,也难以达到防御集团式攻击的能力。而且,FERC的监管权利有限,只能被动等待电力企业上报自审结果,并不具备有力的强制性监管方式,即使电力企业对实际标准执行工作敷衍了事,FERC也无可奈何。

3.4 电力企业信息安全工作基础较差

在电力市场竞争中,大部分美国电力企业更关注经济效益。由于受到20世纪90年代电力改革的影响,部分州的电网运营商利润被挤压,高额负债无法偿还、设备无法更新、电网老化严重和数字化程度低等现状严重制约美国电网的发展。在这样的形势下,企业投资者不愿意也没有资金从事信息安全防护工作。虽然近几年国家加大了这方面的资金投入,但对于大量的电力企业来说,信息安全的经验积累和意识转变仍需要时间。

在IT基础设施方面,大部分美国电力企业不具备用于生产控制业务的专用网络,仍使用互联网实现生产控制系统的广域连接,使得控制系统暴露在互联网上,为电网的生产控制引入巨大的风险。而且,目前各公司对信息安全工作的理解和重视程度不同,设定的信息安全防护目标和实现的防护效果也差异很大,防护薄弱的节点必然会成为整个北美互连电网抵御信息安全攻击的“短板”。

篇7

[关键词] 互联网支付法律立法建议

所谓互联网支付是指以电子计算机、互联网及其他相连接的网络为手段,将负载有特定信息的电子数据取代传统支付工具用于资金流程,并具有实时支付效力的一种支付方式。

互联网支付方式的出现,对整个电子商务来说具有革命性的意义。互联网支付中,交易各方最关心的问题就是交易的安全性如何得到有力的保障,交易的安全与否将直接关系到交易各方的利益。必须承认,我国这方面的立法仍较落后,还有太多的空白等待填补。笔者从当前的网上支付发展现状及对安全保障的需要出发,提出以下几点立法建议。

一、规范主体资格

网上支付作为一项依托网络开展的金融服务,应当同其他任何金融服务一样受到严格的准入机制的调整,其中很重要的一个方面即体现在对提供金融服务的主体资格应有一定的标准和要求,并用法律规范的形式将它固定下来。然而,对于网上支付涉及的另外两个重要主体――认证机构和支付网关提供者,相关的主体资格研究还限于学术层面言。

以认证机构为例,学界普遍认为其必须具有的品质应包括:真正的独立性或中立性;具有高度的公信力;是能够独立承担法律责任的法律实体;具有现时先进的信息鉴证手段或能力;不得以营利为目的。

对此观点,笔者持赞同意见。认证机构作为一种权威的第三方验证机构,应以独立于认证用户(商家、消费者、支付网关)和参与者(检查和使用证书的相关方)的第三方地位对交易主体的数字证书、电子签名进行验证,判别实施支付行为的个人或机构的身份真实性,从而保证其认证结果的权威性与公正性;认证机构要为人们所认同和接受,就必须在社会上具有相当的影响力和可信度;认证机构作为独立的主体参与到网上支付中,它应当负有合理谨慎地根据已有信息对证书用户进行身份或信息鉴定的义务,一旦发生因其未尽合理谨慎义务产生错证的情况,就必须具备在法律规定的范围内承担责任的能力;至于先进的信息鉴证手段和能力,则更是认证机构不可或缺的要素,它是保障认证机构减少错证,提高交易安全系数的重要前提;不得以营利为目的之要求也非常符合认证机构的机构性质,因为作为交易主体之外的对交易主体身份及交易信息进行真实性鉴定的第三方机构,认证机构所肩负的职业责任要求其具有中立性和社会可信度。

学界对认证机构主体资格的研究结论符合认证机构自身的机构特点与性质,满足这些主体资格要求将对由认证机构负责验证的网上支付交易的安全起到保障作用,立法工作者应充分借鉴,以法律规范的形式将之明确。

二、完善信用制度立法

法律为保障网上支付所能做的,也和传统的交易安全问题有关,就是推动社会信用制度的建立。发达的商业社会对社会包括个人的信用有着很高的要求,通过一系列公开透明的制度来维护和保障信用制度体系。美国是目前世界上信用体制最为成熟和完善的国家。与之相比,我国目前在对信用概念内涵的理解方面、信用信息公开的方式和程度方面、信用服务企业的市场发育程度方面,以及对失信者的惩戒制度方面都还十分落后,甚至存在空白。应当承认,我国还属于非征信国家,信用制度还很不健全。

然而,在电子商务和网上支付的范畴内,对交易主体的信用会有更严格的要求。这是因为网络带来的交易虚拟化,使得交易主体间无法通过传统的手段来核实对方身份及所提供信息的真实性。网上支付需要合法、透明的信息公开机制,使网上交易主体得以获得更多的渠道了解交易对方的信用状况,有的放矢地选择交易对象并进行网上支付,从而有利于提高网上支付的成功率和安全性,并为网上支付提供一种无形的制约机制,使得那些期望利用网络来实施金融犯罪的人无可乘之机。网上支付需要健全的对失信者的惩戒机制,通过对失信者实施某种形式的惩罚,既保护了信用人的利益,又为其他人提供了正确行为的指引,这有助于杜绝同类情况的再次发生,从而营造安全、稳定的网上交易环境。显然,我国目前在信用制度方面的落后现状无法适应网上支付的发展需要,不利于网上支付的安全,故亟需得到完善。

三、建立信息保护法律制度

在网上支付中的很多个人信息,包括银行卡卡号、密码、支付金额等,都是机密程度很高的信息,必须采取有效合理的手段加以保护,如数据加密、电子签名以及电子认证等。这些信息安全的技术保护手段在许多发达国家已获得法律地位的确认,其法律效力得到了认可,具体内容受到法律的调整。例如联合国贸法委的《电子商务示范法》及《电子签名统一规则(草案)》、美国的《犹他州数字签名法》及《犹他州认证政策》,以及其他国家的相关立法中均有体现。然而,我国在此方面还是空白。为此,建议国内立法界参考国外先进的立法理念和立法技术,因地制宜地制定调整电子签名、认证中心的法律,制定数据信息保护的法律,从而为保护网上支付中的交易信息和为交易安全提供法律上的支持。

四、对网上支付中出现的新型计算机犯罪立法

篇8

关键词:网络信息化建设;安全问题;阐述;讨论

在计算机与网络技术飞速发展的背景下,当代社会逐渐进入到信息化的时代当中。而在信息化时代环境中的企业与事业改革,发挥着关键性作用的就是网络信息化建设。但是,在信息化建设的过程中,伴随其发展与完善的同时,也存在一定的安全问题,只有有效地解决网络信息化建设中的安全问题才能够确保网络信息的安全。

1网络信息化建设中的安全问题分析

1.1安全基础不牢固。同发达国家相比,我国的网络信息化起步相对较晚,并且发展的速度也较为缓慢,而且,在网络信息产品进口方面也始终受到制约与阻碍,导致网络信息化建设的工作也处于被动状态。第一,硬件设备方面。网络信息化的建设,其中所需要的计算机需要在其他国家进口,虽然我国的超级计算机整体水平与国际先进水平几乎一致,但是,却始终无法摆脱进口的地位,更为严重的就是在制造核心的零部件时,我国的大多数厂商主要是加工与组装,在生产过程中严重缺乏原创的意识与想法[1]。第二,软件设备方面。现阶段,我国的电脑操作平台几乎是被美国的微软垄断,若对微软操作系统的应用不合理,就会使我国软件与网络的运行存在一定的难度,并且很容易使得网络信息化的建设位于被动的状态,最终受到其他人的限制与约束。我国的网络信息化建设,其中应用的管理软件大部分都是进口,在一定程度上使得网络信息化的建设受到威胁,但是,却使得国外的软件生产商获得了意外的高额利润[2]。由此看来,目前我国的网络信息化安全防护的系统不健全,并且其基础也并不牢靠,始终过于依赖国外软件设备,进而对网络信息化的建设发展带来了阻碍与制约。

1.2安全意识薄弱。我国的网络信息化建设,从其中的多数工作开展状况看来,因而未体现出对网络信息化建设安全问题的关注与重视,所以,技术与安全问题也同样被严重忽略。在网络信息化的建设过程中,人们更重视技术与设备,而忽视了安全投入,也忽略了安全问题的重要作用,进而导致网络信息化的建设过程中经常出现安全漏洞,使得安全事故频繁发生。除此之外,虽然政府的机关单位与企业有意愿重视网络信息化的建设安全,但是,却并没有采取具有针对性的安全管理措施,也并未营造出安全的工作环境,所以,目前看来,对网络信息化建设安全管理工作的强化十分重要。

1.3安全防护措施不健全。在网络信息化建设的过程中,不仅安全意识薄弱,同时,对于危险的抵御能力也严重匮乏,并且很难使用最佳的方法来实现自我保护。

1.4网络犯罪的影响较大。有些网络犯罪分子仅仅因为利益的驱动,就采取诈骗或者是木马病毒的投入等多种手段来对用户的私密信息进行窃取,对用户工作机密造成破坏,给用户带来严重的危害。即便是国家有意愿采取相应的抵御措施来避免网络犯罪行为的发生,但是,因为网络犯罪分子自身的隐秘性极强,并且十分狡猾,所以,最终的成效并不明显。

2网络信息化建设安全策略分析

2.1积极完善网络信息化建设安全法律法规。首先,应保证安全立法充分展现与时俱进的精神。目前,网络信息化建设的安全法律层次不高,即便是法律内容会涉及到较多方面,但是,其法规内容相对简单,无法及时对网络信息技术发展情况加以规范,所以,必须要强化网络信息化建设中安全法律法规的覆盖面与深度,并不断完善既有体系,积极引进并借鉴先进的经验,充分结合我国网络信息化建设的情况,具有针对性地强化网络信息化的建设。其次,应对网络信息与传播进行规范。当前,网络信息共享中的安全问题研究深度不够,并且责任制度不合理,所以,应尽量规范网络信息的和传播[4]。并站在国家与公众的利益角度上,重视网络信息的监管,防止危害网络信息的现象频繁发生。最后,应积极加快网络信息化建设安全立法的步伐。为了紧跟网络信息技术快速发展的脚步,一定要保证网络信息化建设安全立法具有预见性,同时,还应该对信息未来会出现的安全风险进行一定的评估,保证网络信息技术能够及时地做出反应,并确保法律法规在网络信息化建设的过程中进行有效地管理[5]。

2.2充分发挥网络信息化建设中安全管理在政府中的作用。我国的网络信息化建设,政府在安全管理工作中发挥主导性的作用,所以,一定要保证与其相关的安全法律法规完善,保证视网络信息化的建设处于正常的运行轨道中,对于威胁网络信息化建设安全的行为应予以严格地监管与处理。

2.3不断完善网络信息化建设的安全方式。第一,贯彻并落实许可与准入制度。在网络信息化的建设过程中,安全管理工作可以贯彻并落实许可和准入的制度,进而对其安全进行有效地监督与管理[6]。现阶段,大部分国家都已经应用了此方法,并且取得了一定的成效。然而,在我国内部实行该制度的时候,则应该积极地建立控制与审查机制,并保证其科学合理,对网络信息进行有效地控制,进而对其中存在的安全问题进行及时地解决。第二,积极提高安全技术层次。要想实现安全技术层次的提高,最重要的就是要积极引进先进的技术,对其操作进行严格地监管,进而获得理想的效果。

2.4更新安全防护设备。众所周知,网络信息化的建设,其灵活性十分显著,所以,一定程度上为网络的不良行为提供了契机。然而,为了降低该情况发生的几率,就应该保证互联网企业对防护设备进行定期地更新,并对设备防护的具体情况进行观察,避免网络不良信息的进入。

3结束语

综上所述,在我国的社会发展过程中,网络信息化的安全建设势在必行。由此看来,相关的职责部门需要充分展现自身的价值,对国家各种力量进行利用,进而对不良的网络信息化建设行为进行严格地打击,对不良现象进行预防。而网络信息化的建设对于国家的发展与进步具有重要作用,因而,在其建设的过程中,一定要积极完善相关的法律法规,并强化网络信息安全管理工作,对信息安全形式进行相应的优化,有效地提升其安全技术的层次,发挥政府主导地位,进而促进网络信息技术的进一步发展。

参考文献

[1]王守认.解析网络信息化建设存在的安全问题[J].中国化工贸易,2015,7(16):297.

[2]乔琦琦,段昆.信息化建设中的网络安全问题分析[J].消费电子,2014(24):142.

[3]孙丽睿.浅析网络信息化建设存在的安全问题及对策[J].信息与电脑,2015(21):156-157.

[4]王静.当前我国企业信息化建设中的网络安全问题研究[J].行政事业资产与财务,2014(6):224.

[5]李海舟.浅析网络信息化建设存在的安全问题及对策[J].电子世界,2012(23):134.

篇9

一、网络对国家政治安全的影响与对策研究

目前学界对于网络与国家政治安全影响的研究呈现出雨后春笋的研究状态。对于这方面研究,学者们首先分析了网络作为新兴的传播工具,与传统报刊、广播、电视等传统媒体相比,网络的开放性、平等性、虚拟性、互动性等特点显得尤为突出。[2]也有从网络舆情的角度为基本出发点,研究网络政治的特点:网络政治主题突出,网络的普遍性、及时性和敏感性、真实性和直接性、互动性、表现力强等特点。[3]随着网络技术的发展,以及网络对政治安全提出的新挑战,有学者提出网络时代政治安全问题的出现的全新特点,政治安全的影响因素在信息化时代的空间领域有了新的扩展,由传统的海陆空等传统领域扩张到网络疆域,由此可见政治安全受到的威胁必须得到重视。[4]

网络与全球化一样是一把“双刃剑”,既给我国政治安全带来全新的机遇,同时也是严峻的挑战。关于网络对国家政治安全的影响研究成果也是相当的丰富,主要是从利弊两方面进行阐述。关于网络对政治安全的积极影响,学者主要是政治稳定的角度进行论证。第一,从公民角度出发,在互联网时代,公众借助这一新的传播媒介,政治参与热情高涨,政治参与渠道拓宽;互联网开辟了政治参与的新渠道,民众借助这种新渠道可以发泄政治不满情绪,从而缓解和减少社会矛盾和社会冲突,降低群体性事件的发生概率;第二,从政府角度出发,互联网增强了民众对政府政治决策过程的监督,促进决策的科学性与透明性;互联网也实现了信息在政治主体之间的沟通与互动,使政府层多倾听民意,了解民情,从而减少政治沟通失灵。[5]同样,网络政治参与促使网络民意得到更加有效的表达,提高民众的政治素养,为现代化进程中政府治理模式的改革与发展提供了重要条件,为政府职能转变提供了路径,有利于合理政府与社会关系的构建,为政府决策集中民意与智慧,从而缓解社会冲突、化解社会矛盾。[6]针对这些观点,学者更多的是从动态的政治过程来研究网络对于政治安全的积极影响,从民众与政府两个主题出发来探讨网络的功能,这与网络的开放性、虚拟性、互动性等特征是密切相关的。

其次,以阐释政治安全的内涵为基点,论述网络之于政治安全的挑战及消极影响是学者们的研究重点。政治安全内涵的丰富性与复杂性,加之研究者研究背景的多样性、研究角度的层次性,主要有以下几点:主要是从政治安全概念分析入手,讨论网络带来的挑战。第一,网络挑战国家主权安全。网络的发展拓宽了国家主权的边界,使国家主权形式上分散化,广大发展中国家在网络信息技术上的薄弱使得他们面临信息泄露的威胁,传统意义上的国家主权在网络信息时代呈现出新的不平等。[7]发展中国家在网络信息技术上的不成熟迫使他们严重依赖发达国家,信息主权面临严重威胁。[8]第二,网络威胁国家政治制度安全。一贯以来,西方发达国家以各种方式极力鼓吹西方的价值观与政治发展模式,希望以此来冲击社会主义国家的社会和政治制度,并用网络手段使发展中国家在网络层面成为新的“殖民地”,新的“依附体系”在网络时代大行其道。[9]第三,网络冲击国家意识形态安全。互联网的便捷性与即时性为意识形态的渗透提供了不同于现实的便捷途径,在技术层面西方发达国家的地位占据主导。[10]传统意义上的信息垄断在网络时代被打破,网络传播信息的快速性使得政府垄断信息的局面收到挑战,主流意识形态在社会的传播收到挑战,多元化思想传播弱化了统一舆论的影响,意识形态安全面临前所未有的挑战。[11]第四,网络威胁政治秩序安全。网络打破了国家节制政治参与的瓶颈,网络政治参与呈现新的态势,政府对网络事件的控制力度得到弱化,全球理念传播更加广泛,政府威信与权威受到挑战。综合以上四点,网络对政局稳定的冲击也是显而易见的。如果从宏观层面看待这些消极影响,与积极影响相比,网络对政治安全的威胁更多的是制度层面的破坏,从而影响动态的政治参与等一系列政治行为。

维护网络时代我国的政治安全问题,首先一个重要问题就是应当深入认识网络政治问题,重视网络对政治安全的影响,坚持思想、制度建设与政治层面相结合。思想层面,正确看待网络之于国家安全的积极与消极影响,将学习国外与立足国内相结合,网上工作与网下工作相结合原则;树立“网络边疆”[12]意识,构建与信息时代相适应的新型政治安全机制模式;从制度管理层面出发,制定相应的网络政治安全法律,充分发挥立法的作用,从法律制度方面对技术以及行为进行规制,及时有效地针对实际情况进行相关法律的制定、修改与废除工作;从网络技术管理层面出发,加快我国网络信息化建设,在网络信息技术层面就投入更多人力物力与财力,减少与发达国家技术上的差距,增强网络信息安全的防御能力,开展多方面的网络安全国际合作,加大力度培养高精尖网络人才。在网络政治层面,将民主选举、民主决策、民主管理、民主监督机制在互联网平台上引入有序的政治参与渠道,健全和完善民主机制;大力宣传网络安全意识,增强民众网络民主意识与网络王权维护意识;推行与实际相结合的电子政务,使电子政务服务更加全面、高效、便捷。除此而外,更重要的是要为网络政治安全的维护树立坚实的经济支撑与后盾,大力发展社会主义市场经济,为网络安全提供内生动力;加快政府治理模式的转变,提高政府决策的效率;扩公民有序政治参与的渠道,健全政治参与机制的健全和完善;发扬社会公平与正义,促进社会主义民主政治建设。

二、网络舆情给政治安全带来的挑战

关于网络舆情的研究,有学者指出,舆情是一种社会政治态度,是指要在一定的社会空间内,围绕中介性社会事件的发生、发展和变化,民众对政府所做的政策的反应及态度。[13]网络舆情就是民众在网络领域的所表现出的政治态度。事实上,无论是舆情,还是网络舆情,二者都属于大众媒介的一部分。所以说,网络舆情对政治安全影响的过程就是网络这一新媒介在政治领域发挥作用的过程。

有学者对网络舆情从不同学科角度例如从心理学、社会学、政治学、社会心理学、政治社会学等多方面进行研究,探讨其内涵的多样性与舆情过程的动态性。因此,针对网络舆情,研究者主要从它的定义与特征,产生的途径与方式,对社会政治生活的影响等方面进行论述。因此,很多学者在研究网络舆情的过程中又不得不提及网络政治参与这一政治现象,在当今中国的网络政治参与中,网络群体的庞大、网络信息的复杂、网络舆论的可控性差,存在各种网络群体,这些网络群体以公共舆论为名,对政府所做的各种决策施加压力,在网络政治参与中以各种网络结社的形式影响公共决策。对参与政治者进行特征分析、研究网络政治参与与国家政治安全之间的关系以及政治参与过程中的政策思考主要成为这一方面的研究内容。当前我国网络群体的主要是围绕维护个人利益以及监督政府权力为主题,网络群体相对零散、自发性表现突出。在当代西方国家,群体的政治参与是公民集中表达意见一种常态化的政治行为,民众主要以这种方式影响政府决策。群体政治参与一般是以理性的方式参与政治扩大实践影响从而影响政府决策的出台。

国家安全的网络舆论的形态是通过网络舆情表现出来的,网络舆情是国家安全在网络舆情领域的体现。一般来说网络舆情安全有两层含义,一层含义是在国家层面上,另一层含义是在社会层面上。无论是在哪一种层面上,网络舆情对国家政治安全的影响都不容忽视。例如,美国依仗期其互联网技术优势针对我国民主、人权等问题进行网络舆论夸大宣传,对我国有效维护国家安全造成巨大压力。[14]学者对于网络舆情对国家安全的思考更多的是建立在网络对其影响的基础之上,因此,对策也是从思想意识层面、制度建设层面以及组织领导层面来进行建言献策,无论是在哪一个层面均以经济发展水平为基本前提,只有这样才能为维护政治安全树立网络舆论层面的屏障。

三、网络外交的兴起与其对政治安全的冲击

所谓网络外交,是指在信息时代条件下,在以互联网为基本平台,依托信息技术,以维护自身发展利益为前提的国际行为主体所进行的一系列外交活动。网络外交主体表现形式十分多样,传统形式是国家,网络时代也可以是国际组织、跨国公司亦或是个人。网络外交作为外交在网络时代的特殊形式,其目的也具有外交的一般性,即为了维持国际发展主体自身的利益,这是网络外交的基本出发点。网络形式多样也导致网络外交的方式多样性,可以是不同的国际主体之间在网络层面展开的外交活动,这种活动可以是个人也可以是群体行为,在公共领域可以是公开亦可是秘密进行。[15]从其定义可以看出,网络外交是一种将现代化信息网络技术与外交系统结合的政治活动,本质上仍然是公共外交,与传统外交相比更具有虚拟性、即时性、互动性、灵活性等特点,核心是信息与知识传输与价值认同的塑造。[16]

近年来,网络外交逐渐成为政治学甚至是传播学的研究热点。网路外交发展潜力巨大,对其研究呈现出多学科、多领域的发展特点。与许多新兴学科的研究相类似,尽管学者已经对网络外交给予了很多关注,但是相关的专门化、系统化的研究还未出现,国内学者在这方面的研究也是近几年来呈现一个较快的发展态势,数量上增长比较迅速。主要研究集中以下几个方面:当前世界范围内的网络外交状况,探讨了我国网络外交的现状与对策;网络外交兴起的原因与障碍,及其对我国网络外交的启示;奥巴马政府“E外交”的提出、发展、效果与趋势;网络外交兴起的历史渊源及其发展的政治动因;还有学者从网络外交的形式与机制为基本出发点研究网络外交的各种类型。总体而言,国内外外学者对网络外交的发展关注度不断提高,相关研究不断深入、全面,但是系统性的研究专著仍未形成。由于网络外交这一现象还处于发展初期,研究者也只能从现象表层以及背景层面进行相关探索,从政治学学科角度进行论证还还未形成理论性成果。

从传统意义上讲,主权国家通过外交手段进行过与其他国家的交流活动。然而,随着全球化时代的来临,特别是网络信息技术的迅猛发展,全球化格局势不可挡,世界已然被连成了一个整体。传统的国与国之间的外交活动更多地以网络外交的形式存在。任何一个国家通过网络进行的外交活动可以在相当短的时间内传遍全世界,随之会引起国内外民众的广泛关注和热烈讨论,在此基础上网络舆论变会形成巨大的舆论压力,进而影响政府的决策,这种现实压力如果处理不当就会危及国家的政局稳定;同时,由于网络的便捷性、开放性与高度灵活性,政府面对舆论压力往往无法进行有效控制,一旦这种外交影响超出政府预期,加之政府再次决策的滞后性,这种连环效应便会带来新的外交挑战。毋庸置疑,网络与政治安全的关系不可分割,网络舆情与网络外交等形成密不可分的网状关系,新时期网络所带来的政治影响将会愈加凸显。

篇10

一、我国互联网网络安全形势

(一)基础网络防护能力明显提升,但安全隐患不容忽视

根据工信部组织开展的2011年通信网络安全防护检查情况,基础电信运营企业的网络安全防护意识和水平较2010年均有所提高,对网络安全防护工作的重视程度进一步加大,网络安全防护管理水平明显提升,对非传统安全的防护能力显著增强,网络安全防护达标率稳步提高,各企业网络安全防护措施总体达标率为98.78%,较2010年的92.25%、2009年的78.61%呈逐年稳步上升趋势。

但是,基础电信运营企业的部分网络单元仍存在比较高的风险。据抽查结果显示,域名解析系统(DNS)、移动通信网和IP承载网的网络单元存在风险的百分比分别为6.8%、17.3%和0.6%。涉及基础电信运营企业的信息安全漏洞数量较多。据国家信息安全漏洞共享平台(CNVD)收录的漏洞统计,2011年发现涉及电信运营企业网络设备(如路由器、交换机等)的漏洞203个,其中高危漏洞73个;发现直接面向公众服务的零日DNS漏洞23个,应用广泛的域名解析服务器软件Bind9漏洞7个。涉及基础电信运营企业的攻击形势严峻。据国家计算机网络应急技术处理协调中心(CNCERT)监测,2011年每天发生的分布式拒绝服务攻击(DDoS)事件中平均约有7%的事件涉及到基础电信运营企业的域名系统或服务。2011年7月15日域名注册服务机构三五互联DNS服务器遭受DDoS攻击,导致其负责解析的大运会官网域名在部分地区无法解析。8月18日晚和19日晚,新疆某运营商DNS服务器也连续两次遭到拒绝服务攻击,造成局部用户无法正常使用互联网。

(二)政府网站安全事件显著减少,网站用户信息泄漏引发社会高度关注

据CNCERT监测,2011年中国大陆被篡改的政府网站为2807个,比2010年大幅下降39.4%;从CNCERT专门面向国务院部门门户网站的安全监测结果来看,国务院部门门户网站存在低级别安全风险的比例从2010年的60%进一步降低为50%。但从整体来看,2011年网站安全情况有一定恶化趋势。在CNCERT接收的网络安全事件(不含漏洞)中,网站安全类事件占到61.7%;境内被篡改网站数量为36612个,较2010年增加5.1%;4月-12月被植入网站后门的境内网站为12513个。CNVD接收的漏洞中,涉及网站相关的漏洞占22.7%,较2010年大幅上升,排名由第三位上升至第二位。网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底,CSDN、天涯等网站发生用户信息泄露事件引起社会广泛关注,被公开的疑似泄露数据库26个,涉及帐号、密码信息2.78亿条,严重威胁了互联网用户的合法权益和互联网安全。根据调查和研判发现,我国部分网站的用户信息仍采用明文的方式存储,相关漏洞修补不及时,安全防护水平较低。

(三)我国遭受境外的网络攻击持续增多

2011年,CNCERT抽样监测发现,境外有近4.7万个IP地址作为木马或僵尸网络控制服务器参与控制我国境内主机,虽然其数量较2010年的22.1万大幅降低,但其控制的境内主机数量却由2010年的近500万增加至近890万,呈现大规模化趋势。其中位于日本(22.8%)、美国(20.4%)和韩国(7.1%)的控制服务器IP数量居前三位,美国继2009年和2010年两度位居榜首后,2011年其控制服务器IP数量下降至第二,以9528个IP控制着我国境内近885万台主机,控制我国境内主机数仍然高居榜首。在网站安全方面,境外黑客对境内1116个网站实施了网页篡改;境外11851个IP通过植入后门对境内10593个网站实施远程控制,其中美国有3328个IP(占28.1%)控制着境内3437个网站,位居第一,源于韩国(占8.0%)和尼日利亚(占5.8%)的IP位居第二、三位;仿冒境内银行网站的服务器IP有95.8%位于境外,其中美国仍然排名首位——共有481个IP(占72.1%)仿冒了境内2943个银行网站的站点,中国香港(占17.8%)和韩国(占2.7%)分列二、三位。总体来看,2011年位于美国、日本和韩国的恶意IP地址对我国的威胁最为严重。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2011年在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名约有65%在境外注册。此外,CNCERT在2011年还监测并处理多起境外IP对我国网站和系统的拒绝服务攻击事件。这些情况表明我国面临的境外网络攻击和安全威胁越来越严重。

(四)网上银行面临的钓鱼威胁愈演愈烈

随着我国网上银行的蓬勃发展,广大网银用户成为黑客实施网络攻击的主要目标。2011年初,全国范围大面积爆发了假冒中国银行网银口令卡升级的骗局,据报道此次事件中有客户损失超过百万元。据CNCERT监测,2011年针对网银用户名和密码、网银口令卡的网银大盗、Zeus等恶意程序较往年更加活跃,3月-12月发现针对我国网银的钓鱼网站域名3841个。CNCERT全年共接收网络钓鱼事件举报5459件,较2010年增长近2.5倍,占总接收事件的35.5%;重点处理网页钓鱼事件1833件,较2010年增长近两倍。

(五)工业控制系统安全事件呈现增长态势

继2010年伊朗布舍尔核电站遭到Stuxnet病毒攻击后,2011年美国伊利诺伊州一家水厂的工业控制系统遭受黑客入侵导致其水泵被烧毁并停止运作,11月Stuxnet病毒转变为专门窃取工业控制系统信息的Duqu木马。2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品。相关企业虽然能够积极配合CNCERT处置安全漏洞,但在处置过程中部分企业也表现出产品安全开发能力不足的问题。

(六)手机恶意程序现多发态势。

随着移动互联网生机勃勃的发展,黑客也将其视为攫取经济利益的重要目标。2011年CNCERT捕获移动互联网恶意程序6249个,较2010年增加超过两倍。其中,恶意扣费类恶意程序数量最多,为1317个,占21.08%,其次是恶意传播类、信息窃取类、流氓行为类和远程控制类。从手机平台来看,约有60.7%的恶意程序针对Symbian平台,该比例较2010年有所下降,针对Android平台的恶意程序较2010年大幅增加,有望迅速超过Symbian平台。2011年境内约712万个上网的智能手机曾感染手机恶意程序,严重威胁和损害手机用户的权益。

(七)木马和僵尸网络活动越发猖獗

2011年,CNCERT全年共发现近890万余个境内主机IP地址感染了木马或僵尸程序,较2010年大幅增加78.5%。其中,感染窃密类木马的境内主机IP地址为5.6万余个,国家、企业以及网民的信息安全面临严重威胁。根据工业和信息化部互联网网络安全信息通报成员单位报告,2011年截获的恶意程序样本数量较2010年增加26.1%,位于较高水平。黑客在疯狂制造新的恶意程序的同时,也在想方设法逃避监测和打击,例如,越来越多的黑客采用在境外注册域名、频繁更换域名指向IP等手段规避安全机构的监测和处置。

(八)应用软件漏洞呈现迅猛增长趋势

2011年,CNVD共收集整理并公开信息安全漏洞5547个,较2010年大幅增加60.9%。其中,高危漏洞有2164个,较2010年增加约2.3倍。在所有漏洞中,涉及各种应用程序的最多,占62.6%,涉及各类网站系统的漏洞位居第二,占22.7%,而涉及各种操作系统的漏洞则排到第三位,占8.8%。除预警外,CNVD还重点协调处置了大量威胁严重的漏洞,涵盖网站内容管理系统、电子邮件系统、工业控制系统、网络设备、网页浏览器、手机应用软件等类型以及政务、电信、银行、民航等重要部门。上述事件暴露了厂商在产品研发阶段对安全问题重视不够,质量控制不严格,发生安全事件后应急处置能力薄弱等问题。由于相关产品用户群体较大,因此一旦某个产品被黑客发现存在漏洞,将导致大量用户和单位的信息系统面临威胁。这种规模效应也吸引黑客加强了对软件和网站漏洞的挖掘和攻击活动。

(九)DDoS攻击仍然呈现频率高、规模大和转嫁攻击的特点

2011年,DDoS仍然是影响互联网安全的主要因素之一,表现出三个特点。一是DDoS攻击事件发生频率高,且多采用虚假源IP地址。据CNCERT抽样监测发现,我国境内日均发生攻击总流量超过1G的较大规模的DDoS攻击事件365起。其中,TCP SYN FLOOD和UDP FLOOD等常见虚假源IP地址攻击事件约占70%,对其溯源和处置难度较大。二是在经济利益驱使下的有组织的DDoS攻击规模十分巨大,难以防范。例如2011年针对浙江某游戏网站的攻击持续了数月,综合采用了DNS请求攻击、UDP FLOOD、TCP SYN FLOOD、HTTP请求攻击等多种方式,攻击峰值流量达数十个Gbps。三是受攻击方恶意将流量转嫁给无辜者的情况屡见不鲜。2011年多家省部级政府网站都遭受过流量转嫁攻击,且这些流量转嫁事件多数是由游戏私服网站争斗引起。

二、国内网络安全应对措施

(一)相关互联网主管部门加大网络安全行政监管力度

坚决打击境内网络攻击行为。针对工业控制系统安全事件愈发频繁的情况,工信部在2011年9月专门印发了《关于加强工业控制系统信息安全管理的通知》,对重点领域工业控制系统信息安全管理提出了明确要求。2011年底,工信部印发了《移动互联网恶意程序监测与处置机制》,开展治理试点,加强能力建设。6月起,工信部组织开展2011年网络安全防护检查工作,积极将防护工作向域名服务和增值电信领域延伸。另外还组织通信行业开展网络安全实战演练,指导相关单位妥善处置网络安全应急事件等。公安部门积极开展网络犯罪打击行动,破获了2011年12月底CSDN、天涯社区等数据泄漏案等大量网络攻击案件;国家网络与信息安全信息通报中心积极发挥网络安全信息共享平台作用,有力支撑各部门做好网络安全工作。

(二)通信行业积极行动,采取技术措施净化公共网络环境

面对木马和僵尸程序在网上的横行和肆虐,在工信部的指导下,2011年CNCERT会同基础电信运营企业、域名从业机构开展14次木马和僵尸网络专项打击行动,次数比去年增加近一倍。成功处置境内外5078个规模较大的木马和僵尸网络控制端和恶意程序传播源。此外,CNCERT全国各分中心在当地通信管理局的指导下,协调当地基础电信运营企业分公司合计处置木马和僵尸网络控制端6.5万个、受控端93.9万个。根据监测,在中国网民数和主机数量大幅增加的背景下,控制端数量相对2010年下降4.6%,专项治理工作取得初步成效。

(三)互联网企业和安全厂商联合行动,有效开展网络安全行业自律

2011年CNVD收集整理并漏洞信息,重点协调国内外知名软件商处置了53起影响我国政府和重要信息系统部门的高危漏洞。中国反网络病毒联盟(ANVA)启动联盟内恶意代码共享和分析平台试点工作,联合20余家网络安全企业、互联网企业签订遵守《移动互联网恶意程序描述规范》,规范了移动互联网恶意代码样本的认定命名,促进了对其的分析和处置工作。中国互联网协会于2011年8月组织包括奇虎360和腾讯公司在内的38个单位签署了《互联网终端软件服务行业自律公约》,该公约提倡公平竞争和禁止软件排斥,一定程度上规范了终端软件市场的秩序;在部分网站发生用户信息泄露事件后,中国互联网协会立即召开了“网站用户信息保护研讨会”,提出安全防范措施建议。

(四)深化网络安全国际合作,切实推动跨境网络安全事件有效处理

作为我国互联网网络安全应急体系对外合作窗口,2011年CNCERT极推动“国际合作伙伴计划”,已与40个国家、79个组织建立了联系机制,全年共协调国外安全组织处理境内网络安全事件1033起,协助境外机构处理跨境事件568起。其中包括针对境内的DDoS攻击、网络钓鱼等网络安全事件,也包括针对境外苏格兰皇家银行网站、德国邮政银行网站、美国金融机构Wells Fargo网站、希腊国家银行网站和韩国农协银行网站等金融机构,加拿大税务总局网站、韩国政府网站等政府机构的事件。另外CNCERT再次与微软公司联手,继2010年打击Waledac僵尸网络后,2011年又成功清除了Rustock僵尸网络,积极推动跨境网络安全事件的处理。2011年,CNCERT圆满完成了与美国东西方研究所(EWI)开展的为期两年的中美网络安全对话机制反垃圾邮件专题研讨,并在英国伦敦和我国大连举办的国际会议上正式了中文版和英文版的成果报告“抵御垃圾邮件建立互信机制”,增进了中美双方在网络安全问题上的相互了解,为进一步合作打下基础。

三、2012年值得关注的网络安全热点问题

随着我国互联网新技术、新应用的快速发展,2012年的网络安全形势将更加复杂,尤其需要重点关注如下几方面问题:

(一)网站安全面临的形势可能更加严峻,网站中集中存储的用户信息将成为黑客窃取的重点。由于很多社交网站、论坛等网站的安全性差,其中存储的用户信息极易被窃取,黑客在得手之后会进一步研究利用所窃取的个人信息,结合社会工程学攻击网上交易等重要系统,可能导致更严重的财产损失。

(二)随着移动互联网应用的丰富和3G、wifi网络的快速发展,针对移动互联网智能终端的恶意程序也将继续增加,智能终端将成为黑客攻击的重点目标。由于Android手机用户群的快速增长和Android应用平台允许第三方应用的特点,运行Android操作系统的智能移动终端将成为黑客关注的重点。

(三)随着我国电子商务的普及,网民的理财习惯正逐步向网上交易转移,针对网上银行、证券机构和第三方支付的攻击将急剧增加。针对金融机构的恶意程序将更加专业化、复杂化,可能集网络钓鱼、网银恶意程序和信息窃取等多种攻击方式为一体,实施更具威胁的攻击。

(四)APT攻击将更加盛行,网络窃密风险加大。APT攻击具有极强的隐蔽能力和针对性,传统的安全防护系统很难防御。美国等西方发达国家已将APT攻击列入国家网络安全防御战略的重要环节,2012年APT攻击将更加系统化和成熟化,针对重要和敏感信息的窃取,有可能成为我国政府、企业等重要部门的严重威胁。

(五)随着2012年ICANN正式启动新通用顶级域名(gTLD)业务,新增的大量gTLD及其多语言域名资源,将给域名滥用者或欺诈者带来更大的操作空间。

(六)随着宽带中国战略开始实施,国家下一代互联网启动商用试点,以及无线城市的大规模推进和云计算大范围投入应用,IPv6网络安全、无线网安全和云计算系统及数据安全等方面的问题将会越来越多地呈现出来。