信息安全管理办法及细则范文

时间:2023-10-11 17:26:38

导语:如何才能写好一篇信息安全管理办法及细则,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全管理办法及细则

篇1

关键词:市县一体化;信息;安全;保障

中图分类号:F291 文献标识码:A

0引言

《国家电网公司信息系统安全管理办法》对建设国网一体化信息安全保障体系的目标给出了指导性意见,就是要增强信息安全防护能力,提升信息安全自主可控能力,防止承载各类业务系统被恶意渗透,防止关键业务信息系统数据或信息被窃取或篡改,以确保更有效的抵御各种风险,最终实现国网自上而下信息系统网络安全、服务器及应用系统、桌面终端、移动存储介质等全方面的管控,使各层级信息化应用水平及信息安全防护水平达到一个新的高度[1]。

近年来,随着国家电网公司信息技术的深化应用,信息安全日益重要。渑池县电业局在市县一体化信息安全管理策略的设计和实现中以“硬件建设”为基础,以“软件建设”为关键,以“管理建设”为手段,深化安全管理,持续提升信息化安全水平。

1专业管理的顶层设计和指标体系

1.1市县一体化顶层设计目标。在现有的信息化平台基础上,通过2年的系统建设,分步实施“硬件组体、软件添翼、管理促飞”信息安全保障体系“三部曲”策略,最终构筑起坚强的市县一体化信息安全保障体系。

1.2从环境设施上加以提升,从技术流程上加以完善,从管理措施上严格要求,以确保更有效的抵御各种风险,实现安全稳定可靠运行。安全保障策略指标值如下:

1.2.1硬件指标:内网网络部署防火墙、内外网实现“物理隔离”;部署上网行为管理、门禁、防雷等硬件设施;部署数据中心虚拟容灾系统;建设市县网络主备通道。

1.2.2软件指标:桌面注册率达到100%;杀毒软件安装率达到100%;无账户弱口令;无安全防护漏洞;无违规邮件、网站。

1.2.3管理制度:制定或修编渑池县电业局《安全移动存储介质管理办法》《桌面终端设备安全管理办法》《计算机信息系统安全管理办法》《信息网络运行管理办法》《计算机信息系统安全管理办法》《计算机机房管理制度》《计算机设备管理办法(试行)》《网络与信息安全突发事件应急预案(试行)》《信息安全保密协议书》《信息系统口令管理办法》、《信息内外网办公终端准入管理办法》。

2市县一体化策略的实现

2.1硬件组体“搭建体骼”。

2.1.1基础环境建设。长远规划,进行机房资源整合,按照国家二类机房建设要求,改扩建中心机房面积达到160平方米,进行机房区域划分,增设直流电源室、公共上网区、备品备件室、维修间共128平方米,开展门禁系统、信息防雷系统及监控系统建设,添置网络测试仪器及相关办公用品,机房具备防水、防火、防灰尘、防盗、防雷等多种功能,完全满足运维、管理、办公需求。

2.1.2数据容灾建设。本着同城异地备份、确保数据安全的原则,建设60余平方米数据中心虚拟容灾机房,具备实时备份系统数据和集中统一管理的功能,满足各类系统扩展性和可靠性要求。

2.1.3市县网络扩容建设。按照河南省电力公司要求,单独配置双千兆路由器,配置双核心千兆交换机,实现与三门峡供电公司的联网带宽达到2*100M,市县APN备用通道1*10M,省公司至县局VPN联网带宽1*100M的目的。

2.1.4实现内外物理隔离。对边缘配线间进行改造,加装楼间层防水防潮装置,采用防鼠技术措施。对内网和外网采取平行布线模式,终端用户主机双配置,实现完全物理上的内外网分离。

2.1.5扩容后备电源。中心机房增设10kVA不间断UPS电源,与兰州大学联合开发了蓄电池除硫装置,当市电供电系统出现停电或电池容量不足时,以短信形式向维护人员发送告警信息,极大地提高了其设备的维护效率和系统运行安全性,延长UPS电源的使用寿命。

2.1.6从低压电源侧、通信线路、通讯设备及网络设备全方位、多层次部署机房三级防雷系统,有效地防止雷击对机房内设备所产生的危害。

2.2软件添翼“助翼双翅”。

2.2.1终端用户防护。按照《国家电网公司信息化“SG186”工程安全防护总体方案》,对信息内外网部署北信源桌面终端标准化管理系统,实现桌面终端安全访问、安全接入,硬件资产全生命周期应用等功能,桌面终端标准化管理系统级联至市公司,实现桌面运行监测及相关考核指标的标准化,安装率达到100%。

2.2.2防病毒防御系统安装。全网桌面终端安装Nod32防病毒软件,安装率达到100%。对危害桌面终端安全的恶意软件和功能时刻保持着高度警惕。桌面终端安全系统、智能防御系统等级提升。

2.2.3补丁系统完善。通过标准化的管理流程实时为桌面终端提供标准、最新的补丁漏洞信息及数据更新服务。定期自动从互联网获取操作系统软件厂商的补丁,在仿真的网络环境中严格测试认证后,确保补丁安全,再将安全的补丁分发到实际网络环境中的计算机终端,并可以进行相关的补丁分发行为控制和流量管理,在简化人工干预的同时,确保终端系统的安全和网络的稳定。

2.2.4市县联动安全措施。三门峡供电公司部署网管软件,定期对县局的终端设备扫描检测内网安全漏洞,丰富安全技术手段,为县局信息安全管理提供支撑。同时依据《关于企业使用正版软件通知》要求,与知名厂商签订购置正版操作系统供应协议。省市县三级所用桌面终端安装了国网公司下发的正版软件,增强了基础层业务应用稳定性和数据的安全性。

2.3管控结合“促力腾飞”。

2.3.1“引教结合”,强化安全管理。通过文件、公告、会议、信息安全竞赛等多种渠道,大力宣传保障网络与信息安全的重要性。组织信息技术人员和信息员进行网络与信息安全技术培训和现场宣贯。对关键岗位人员进行全面、严格的安全审查和技能考核,对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰,对违反国家法律、法规和渑池县电业局有关规定,造成一定不良影响和后果的,追究其责任。这些措施的实施,使全局范围内从上到下统一了思想、明确了认识,强化了全员网络与信息安全意识。

2.3.2强化系统运行维护管理。对信息网络与系统运行状况等进行监测和报警,定期对监测和报警记录进行分析,根据需要采取必要的应对措施。建立安全管理中心,对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。严格按照有关信息系统事故调查规定,及时报告信息系统事故情况,认真开展信息系统事故原因分析,坚持“四不放过”原则,有效落实整改,确保类似事故不再发生。

2.3.3强化移动存储规范化管理。移动存储设备集中授权分发,数据交换前必须通过正确的身份认证,符合密码复杂度身份认证策略,记录数据交换过程的工作日志,便于以后进行跟踪审计,非授权的移动存储介质,在工作环境不可用。利用信息保密、访问控制、审计等技术手段,对移动存储设备实施安全保护,登记存储信息资产、日志记录、审计记录和信息不能被移动存储设备非法流失,实现存储设备信息安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、信不丢。

2.3.4强化弱口令管理。根据“信息安全通报”、“信息安全反违章”检查的结果,结合其实际,进行全面的信息系统弱口令专项治理工作[2]。对系统本单位及局属各部门的桌面计算机,信息应用系统、操作系统、中间件和数据库系统等用户的访问账号及口令进行彻底排查,对不符合口令要求的用户及系统下发相应的通知,使其进行限期的整改,杜绝信息系统泄密事件的发生。

2.3.5强化安全接入管理。通过在网络中部署相应的网络安全检查策略,确保用户满足身份认证的要求,同时用户的终端设备必须达到一定的安全和策略条件,才可以通过网关设备接入到网络中并获得相应的访问权限。一方面验证了用户的身份,避免了非法用户接入到网络中,限定了用户的访问权限;另一方面也避免了存在安全隐患的终端系统的接入,可以大大消除蠕虫病毒对网络系统以及承载的业务所带来的威胁和影响,实现帮助客户发现、预防和消除安全威胁的目标。

2.3.6强化保密工作管理。管理严格执行“不上网、上网不”纪律[3],重要工作资料不得在外网计算机上留存,严禁在信息外网上传输、处理涉及国家秘密和渑池县电业局秘密的信息。严格信息系统安全工作人员录用过程,审查其身份、背景、专业资格,及时终止离岗员工的所有访问权限。严格外部人员访问程序,对允许访问人员实行专人全程陪同或监督,并登记备案。

2.3.7强化运行通报管理。为进一步做好信息安全保障工作,定期对信息安全工作进行统计分析,在月报中透明的体现信息安全运维工作,使全体员工及时掌握信息系统的运行情况,更好的为生产经营业务服务,渑池县电业局每月《渑池县电业局信息化工作简报》对当月信息安全运维工作的整体情况进行统计分析。每月一期《渑池县电业局网络与信息安全运行月报》,对当月网络与信息安全运行情况进行统计分析。信息安全运行通报制度的执行,使全体员工对信息安全运维工作有了了解的途径,增强了全员信息安全意识。

2.3.8强化系统上下线管理。加强应用系统的管理审批流程,形成闭环管理。新建信息系统涉及安全防护措施建设时,明确安全需求,确定安全等级,结合渑池县电业局安全防护总体策略,进行安全防护方案设计。严格规范系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准,并进行必要的安全隔离,配置严格的访问控制策略,开展必要的安全评估[4]。

2.4激活人力资源,提升管控空间。

2.4.1搭建核心保障体系。成立以科技信息副局长为组长的信息安全保障体系领导小组,各部门负责人为领导小组成员,对渑池县电业局整体信息安全保障体系工作进行全面督导。领导小组下设工作小组(办公室设在信息中心),具体负责协调、执行实现信息安全保障策略的各项工作,本单位各部门设有兼职信息管理员,负责配合本单位本部门信息安全保障体系的协调、执行。

2.4.2开展兼职信息员建设,发挥信息管理员潜能。在全局各部门设立兼职信息管理员36名,部门兼职信息管理员由各部门既通晓业务、又熟悉计算机知识的人员担任,职责为进行基础性的运维工作、信息安全宣传、督导与检查和整改工作。信息员管理以安全员的标准按照专业化管理思路统一管理,设立有合理的薪酬标准及详细的管理制度,每月定期召开信息安全会议,按月开展信息技术培训,严格执行各种业务考核和工作安排,不断强化责任心和业务能力,形成全局齐抓共管的局面。

2.4.3绩效考核与控制。为保证市县信息安全保障体系的正常运转,明确职责分工,对工作项目和内容进行标准化、规范化管理,依据国网公司、省公司等上级单位的相关要求,修订完善了《渑池县电业局信息网络运行管理办法》等11项管理规范及标准,进一步规范了信息系统运行管理,确保安全保障策略持续、稳步实施。

3结语

近年来,国网公司实施了覆盖信息系统全生命周期的54项管理措施,立足国产化,积极探索自主可控安全管理模式,结合电网安全需求,加强顶层设计,对电网信息安全工作进行整体规划,经过努力,渑池县电业局在网络信息安全保障策略的设计和实施中的经验和做法,解决了县级供电企业信息安全保障体系中存在的一些突出问题和安全漏洞,广大员工在信息安全等重点环节,从制度执行、行为监控、防治体系等方面,有了稳步提升,总体来看,建成了电网信息安全等级保护纵深防御体系,为市县一体化的安全、稳定运行提供了强有力的信息安全运行保障,达到了预期的效果和目的。

参考文献

[1]国家电网公司信息系统安全管理办法[Z].北京:国家电网公司,2011.

[2]国家电网公司信息网络运行管理规程(试行)[S].北京:国家电网公司,2003.

[3]国家电网公司信息安全风险评估管理暂行办法[Z].北京:国家电网公司,2011.

[4]国家电网公司信息系统建转运实施细则[Z].北京:国家电网公司,2010.

--------------------

作者简介:赵江华(1978—),男,河南省三门峡市渑池县人,高级工程师,主要从事电网调度管理、光纤通信工程项目建设及网络应用方面的研究。

篇2

我校信息中心接到《信阳市学校计算机信息系统安全检查实施方案》的通知后,学校领导班子十分重视,及时召集信息中心、微机组等科组负责人,按照文件要求,根据实施方案的指导思想和工作目标,逐条落实,周密安排,对全校各配备计算机的教研室和中心机房进行了排查,现将自查情况报告如下: 

一、领导高度重视,组织、部门健全、制度完善 

我校信息中心自成立以来,本着“责任到人,一丝不苟”的指导思想,十分重视计算机管理组织的建设,成立了计算机安全保护领导小组,始终有一名信息中心主任担任安全管理领导小组组长,并以信息管理、安全保卫、各教研组等部门负责人为成员。 

信息中心为专职负责计算机信息系统安全保护工作的部门,对全校教研室主要计算机系统的资源配置、操作及业务系统、系统维护人员、操作人员进行登记。信息中心设立专职安全管理员,专职安全员由经过公安部门培训、获得《计算机安全员上岗证》的人员担任。基层教研室设立兼职安全管理员,负责对电子网点进行管理、监督,对本单位计算机出现的软、硬件问题及时上报信息中心。要求各教研室选用有责任心、有一定计算机知识、熟悉业务操作的人员担任。 

我们在当地公安机关计算机安全保护部门的监督、检查、指导下,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》、《河南省学校计算机信息系统安全管理暂行规定》、《计算机病毒防治管理办法》、以及公安部、教育部、信息产业部、国务院新闻办《关于开展垃圾邮件专项治理工作的通知》及教育部《关于开展高校上网场所清理整理工作,进一步加强校园网管理的紧急通知》等法规、规定,建立、健全了各项防范制度,并编制成册,下发到全校各个教研室。在年初,由主管计算机安全的主任与保卫部门签订了目标责任书,并指定业务骨干担任计算机安全员,切实做到防微杜渐,把不安全苗头消除在萌芽状态。 

二、强化安全教育定期检查督促 

在我校实施计算机信息化建设的每一步,我们都把强化信息安全教育和提高员工的计算机技能放到同等地位。在实施信息网络化过程中,信息中心专门举办了计算机培训班。培训内容不但包括计算机基础知识、课件制作,还重点讲解了计算机犯罪的特点、防范措施。使全体教职员工都意识到了,计算机安全保护是学校工作的有机组成部分,而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。 

随着计算机技术在教研室各项业务中的应用,为进一步提高职工安全意识和规范操作流程,我们还经常组织人员对基层教研室进行计算机业务系统运行及安全保护的检查。通过检查,我们发现部分人员安全意识不强,少数微机操作员对制度贯彻行不够。对此,我们根据检查方案中的检查内容、评分标准对各科室进行打分,得分不合格者,除限期整改外,还根据学校的有关规定,对有关责任人员,给予相应处罚、全校通报批评等处理。 

三、信息安全制度日趋完善 

从我校信息中心成立之日起,我们就树立了以制度管理人员的思想。为此,根据市办下发的有关文件精神,先后制定了《中心机房管理制度》,《中心机房应急措施》,《计算机系统维修操作规程》,《电脑安全保密制度》,《计算机安全检查操作规程》,《潢川一中电教管理员职责》、《潢川一中电子备课室管理制度》等一系列内部管理制度,让这些制度不但写在纸上,挂在墙上,还要牢记在心上。继而我们又印发了《潢川一中教研室计算机信息系统安全保护实施细则》、《潢川一中教研室计算机综合业务系统管理办法》、《潢川一中机房上机操作守则》、《潢川一中信息中心管理条例》等,初步形成了较为完善的计算机内控制度。在以上文件中,要求明确规定了微机管理人员、操作员的权限和操作范围,对操作人员的上岗、调离等做出严格规定,详细制定了计算机综合业务系统的管理办法,要求各电子网点记录微机运行日志,对数据每日进行备份,对废弃的磁盘、磁带、报表不得随意丢弃,交由信息中心统一处理。 

四、防治计算机病毒 

随着信息办公自动化的深入,各教研室在处理业务报表、数据和日常办公中越来越多的用到了计算机。为保证各教研室的计算机不受病毒危害,信息中心为每台微机上都安装了实时的查、杀、防病毒的软件,并及时进行软件升级和定期进行查杀病毒。同时还把计算机病毒预防措施下发至各教研室的微机操作员手中,从专机专用、数据备份、软盘管理、实时杀毒、禁用盗版、禁玩游戏等几方面入手,使计算机病毒防治形成制度化。 

对照《学校计算机信息系统安全检查表》的要求,我校信息中心在以往的工作中,主要作了以上几方面的工作,但还有些方面要急待改进。 

一是今后还要进一步加强与公安机关和教育主管部门的工作联系,以此来查找差距,弥补工作中的不足。 

二是要加强计算机安全意识教育和防范技能训练,充分认识到计算机案件的严重性。把计算机安全保护知识真正融于学校知识的学习中,而不是轻轻带过;人防与技防结合,把计算机安全保护的技术措施看作是保护信息安全的一道看不见的屏障。

潢川一中

篇3

 

为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。

 

1安全规划的目标和思路

 

贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。

 

基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。

 

1.1设计目标

 

贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。

 

1.2设计原则

 

1.2.1合规性原则

 

安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。

 

1.2.2技管结合原则

 

信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

 

1.2.3实用原则

 

安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。

 

1.3设计依据

 

1.3.1“原则”符合法规要求

 

依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。

 

2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。

 

1.3.2“策略”符合风险管理

 

风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。

 

风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。

 

1.3.3“措施”符合P2DR模型

 

美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。

 

检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。

 

1.4安全规划体系架构

 

在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。

 

“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。

 

“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。

 

2安全保陳方案规划

 

2.1总体设计

 

贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:

 

边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。

 

行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。

 

安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。

 

公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。

 

IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。

 

2.2安全域划分

 

划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。

 

Z3边界防护体系规划

 

边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。

 

2.3.1边界措施选择

 

在边界上我们建议四种安全措施:

 

1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。

 

3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。

 

4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。

 

2.3.2策略更新管理

 

边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。

 

2.4行为审计体系规划

 

行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。

 

行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。

 

2.5安全监控体系规划

 

监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:

 

1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。

 

2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。

 

3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。

 

安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统

 

作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:

 

1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。

 

2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。

 

3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。

 

2.7IT基础设施规划

 

IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。

 

IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。

 

3安全筐理体系规划

 

在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。

 

3_1安全管理标准依据

 

以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。

 

3.2安全管理体系的建设目标

 

通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。

 

3.3安全管理建设指导思想

 

各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”

 

3.4安全管理体系的建设具体内容

 

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。

 

贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。

 

通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。

 

3.5曰常安全运维3.5.1安全风险评估

 

安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。

 

3.5.2网络管理与安全管理

 

网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。

 

3.5.3备份与容灾管理

 

贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。

 

3.5.4应急响应计划

 

通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失

 

3.6安全人员管理

 

信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。

 

安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。

 

其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理

 

主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。

 

4安全规划分期建设路线

 

信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。

 

4.1主要的工作内容

 

根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:

 

1.网络优化改造:主要是安全域的划分,网络结构的改造。

 

2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。

 

3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。

 

4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。

 

4.2分期建设规划

 

4_2.1达标阶段(2015-2017)

 

1.等保建设

 

2.信任体系:网络审计、运维审计、日志审计

 

3.身份鉴别(一次口令)

 

4.监控平台:入侵检测、流量监测、木马监测

 

5.安全管理平台建设

 

6.等保测评通过(2级3级系统)

 

7.安全服务:建立定期模式

 

8.渗透性测试服务(外部+内部)

 

9.安全加固服务,建立服务器安全底线

 

10.信息安全管理

 

11.落实安全管理细则文件制定

 

12.落实安全运维与应急处理流程

 

13.完善IT服务流程,建设安全运维管理平台

 

14.定期安全演练与培训

 

4.2.2持续改进阶段(2018〜2019)

 

1.等保建设

 

2.完善信息安全防护体系

 

3.提升整体防护能力

 

4.深度安全服务

 

5.有针对性安全演练,协调改进管理与技术措施

 

6.源代码安全审计服务(新上线业务)

 

7.信息安全管理

 

8.持续改进运维与应急流程与制度,提高应急反应能力

 

9.提高运维效率,开拓运维增值模式

 

5结東语

篇4

关键词:第三方支付安全问题解决办法

一、第三方支付的概念

和以前由传统的由中央银行,银行,非银行金融机构,在境内开办的外资、侨资、中外合资金融机构所组成的完整金融机构体系独自运作不同,现如今,已经有越来越多的非金融机构参加到金融体系的运作之中。非金融机构提供支付服务、与银行业既合作又竞争,已经成为一支重要的力量。这种合作尤其体现在一些和国内玩各大银行签约并具备一定实力和信誉保障的第三方支付服务商提供的交易支持平台,即上文所说的第三方支付。这个交易平台在收付款人和各个法人组织之间作为中介机构提供了货币资金转移服务,包括现行的网络支付、预付卡的发行与受理、预付资金的管理与银行卡收单,及主流金融机构确定的其他支付服务的作为第三方支付平台的非金融机构,也就是我们提到的“第三方支付机构”[1]。

二、第三方支付存在的主要安全问题

伴随着第三方支付的迅猛发展的,必然是一系列亟需我们解决的重要安全问题。我国支付方面的法律相对比较落后,在支付过程中容易留下许多漏洞,使许多不法商人有机可趁。目前存在的数百家第三方支付机构中,鱼龙混杂,质量参差不齐,用户的交易安全和个人信息其实存在很大的风险。

1.应用程序中存在安全漏洞导致信用卡套现、洗钱问题层出不穷

第三方支付技术门槛较低,在第三方支付平台的搭建中没有对安全防护能力给予足够的重视,致使系统可能存在信息管理,支付安全等方面的问题。通过专业安全系统的不定时抽量检测,发现了许多存在的重要隐患,如SQL注入、跨站脚本、网络钓鱼以及登录方式不安全,用户信息泄漏等[2]。显然,在第三方支付平台的建设过程中,安全防护的环节是相对不受重视的,太快的发展与不过硬的安全防护措施必然会使安全防护环节显得很薄弱,让存在的安全问题显得更为突出并造成很大的信用危机以及一种不健康的交易状况。根据资料,主要存在以下几个问题:

(1)安全设备以及防火墙不完善

(2)没有对平台部署实施监控系统

(3)重要网络设备的物理环境不安全,容易出现人为操作篡改数据

(4)应对突发事件的处理能力不足

并且,在支付中,有相当一部分属于虚拟货币的交易,比如腾讯公司的Q币,移动通讯公司的话费充值等,不排除有些人通过设立多个账户,从事虚假的虚拟货币交易,以此转移不法资金,已达到洗钱的目的。

2.安全管理机构不健全,安全保障的技术手段需要改进

目前第三方支付平台普遍采用的技术安全保障手段――数字证书,其并不是真正意义的独立第三方CA认证,而是内部建设一套符合实际要求的证书注册审计系统,是自身具备证书申请、审批、下载、证书状态在线查询、证书撤销等功能。然而这种数字证书并没有法律效力。并且,从当下的网络现状来看,信息安全管理制度还不成体系,没有建立总体方针,安全管理制度和操作规程缺失,安全策略存在着很大的不完整。

3.个人信息不能得到保护造成了许多账户资金被盗,网络诈骗时有发生

许多第三方支付平台要求用户提供真实姓名、银行卡号甚至身份证号,然后这些平台中,个别网站在信息管理上存在很大问题,致使这些信息很容易被窃取,造成客户隐私的泄露。第三方支付平台隐私管理政策不合理,免责条款过多,大多把最终解释全留给自己,使用户不得不同意这些条款并且当自己利益受到损失的时候,没有办法有效的进行反击。

4. 第三方支付平台本身不是金融机构,用户的安全意识薄弱

目前,国内的第三方支付企业属于非金融机构,是有限责任公司的性质,一旦公司出现破产等情形,则可能引发剧烈的多米诺骨牌的效应,导致其他的企业资金链出现问题。然后很多用户没有意识到,即使是附属于某些著名的网站,第三方支付平台也存在一个信用问题,不能盲目信任。相对银行金融机构,非金融机构对于安全问题的认识还远不能及,对用重要信息

三、针对国内主流第三方支付平台的安全策略分析以及监督管理

随着第三方支付平台交易规模的逐渐扩大,电子商务的影响已经越来越大,在各个领域层面均有渗透。因此,有关非金融机构备付金管理、网络系统稳定性以及消费者权益保护等问题,已经引起了广大群众的高度关注。采取措施促进非金融机构和第三方支付平台的健康发展,会很大程度上影响电子商务的成败,关系到整个交易平台的正常进行。

1.加强实名认证、全额赔付应对资金被盗和网络诈骗。第三方支付机构应加强安全检查,及时修复安全漏洞

早在2006年7月,支付宝就推出了支付宝认证服务,对所有使用支付宝的卖家进行双重身份认定,即身份证和银行卡的认证。除了与公安部全国公寓身份证号码查询服务中心合作检验身份证的真伪,支付宝海域各大商业银行进行合作,利用银行账户实名制信息来校验用户填写的姓名和银行账户号码是否准确。并且,支付宝公司还在国内率先推出了全额赔付制度和交易安全基金,网络欺诈发生率仅为万分之二。

2.配合国家出行的制度,配合央行加大力度打击各种诈骗

2009年4月,中国人民银行公告,对从事支付业务的非金融机构进行登记。

2010年6月14日,中国人民银行《非金融机构支付服务管理办法》,对非金融机构支付业务实施行政许可。

2010年12月,中国人民银行《非金融支付服务管理办法实施细则》[3]。

这些不仅对作为第三那方支付平台的非金融机构做出严格规定,同时也对支付平台的用户加以严格管理,此举无疑会对网络非法套现造成打击。央行对非金融机构的支付的技术和安全性的高度重视,技术和安全监测是非金融机构申请许可证过程中最关键也是最严格的环节。

3.第三方支付机构应增强安全意识,加强信息安全体系建设,争取早日拿到央行的电子支付牌照

完善网络信息安全管理制度,加强交易平台的安全管理,增强客户对交易平台的信任。对第三方支付平台操作人员进行统一的安全知识和专业知识的培训,加强这个操作队伍的安全组织性。及时出台主流有效的针对安全漏洞的安全措施与策略并积极落实。同时对所有用户进行安全信息管理的知识普及。

并且根据中国之声新闻纵横报道,央行支付结算司相关工作人员表示,首批第三方支付牌照已在2010年年底发放。因此,获得官方认证是主流第三方支付平台的必经之路[4]。

四、结束语

相信随着电子支付的发展,这些非金融机构从事电子支付业务会成为电子支付发展的不可逆转的趋势,然而这同样要求非金融机构即这些第三支付平台有更完善的信息安全管理系统,为用户提供一个更加安全的交易平台。一旦第三方支付交易平台存在的问题得到解决,突破了网上交易中的信用问题,其必将成为引导网络消费者走入健康发展的轨道,成为促进中国网上支付完善和发展的主要途径和必然趋势。同时,第三方支付服务也将成为解脱诚信困扰,迈向下一里程碑的重要环节之一,成为电子商务发展的助推器。

参考文献:

[1]林小燕.基于第三方电子商务平台的C2C贸易[M].厦门大学出版社,2010.

[2]刘建国.电子商务安全管理与支付[M], 立信会计出版社,2011

篇5

关键词:互联网;隐私权;现实;保护方法;

中图分类号:TP393.08

20世纪末以后,互联网逐渐改变人们的生活,互联网在给人类带来便利和经济利益时,也存在许多不安全因素,特别是互联网的易窥窃性和公开性很容易使人的隐私暴露于天下,个人隐私面临严重威胁,从而对人类生活提出了重大挑战,隐私权受到影响即是其中之一。当不断被互联网曝光的名人隐私,在现实世界吸引越来越多看客时,互联网又存在哪些现实问题?我们又该如何保护个人隐私?

1 互联网隐私权现实问题

1.1 完善互联网隐私权保护的立法

俗话说“七分管理三分技术”,为了有效保障互联网隐私权,所以必须建立隐私权保护的立法体系。(1)国际上信息安全管理标准。1999年英国标准协会修订的《信息安全管理实施规则》;2000年12月,通过ISO表决的《信息技术—信息安全管理实施细则》;(2)国内有关信息安全的部分法律法规。如《信息网络传播权保护条例》、《互联网信息服务管理办法》、《电子认证服务密码管理办法》、《中华人民共和国电子签名法》、《互联网IP地址备案管理办法》等等。虽然这些法规还不很全面,但也是我国在立法上的一大进步。(3)对互联网隐私权保护立法的建议:1)加紧立法规制,制定相应配套的行政法规规章。单独制定个人信息保护法或数据保管条例,可以灵活地与有关的行政规章结合起来;2)建立专门的隐私保护委员会。在互联网主管部门的监管下设立相应的隐私保护委员会,加强互联网隐私方面的教育和宣传工作,处理互联网隐私权方面的投诉和相关事务,加强同国际社会的协调和衔接,做好国内互联网隐私权方面的调查和研究,为相关立法做好前期准备工作,并监督相关法律的实施情况;3)加强行业自律。目前我国最重要的互联网自律组织就是中国互联网协会,自律形式比较单一,在这方面我国可借鉴美国的相关经验,其中比较重要的是互联网隐私认证联盟计划对于我国强化互联网隐私权保护及诚信服务理念的确立大有好处;4)建立完善的补偿机制。通过互联网收集个人信息并非法用于商业的案例逐渐增多的情况下,建立一套完善的民事补偿机制,对保护个人隐私是必不可少的。

2 利用计算机技术对个人隐私进行保护

2.1 安装防火墙。每一网的计算机都要采取安全措施阻止恶意的数据传输,所以要安装防火墙。防火墙的特点有:(1)可隐藏内部网络结构;(2)可实施网络的安全策略;等等。(3)可对有关管理人员发出警告;(4)可限制对对象的访问;其功能有:(1)审计并提供记录和报表;(2)管理功能;(3)安全特性;(4)访问和防御功能;(5)加密支持和认证支持;(6)协议支持;等等。所以防火墙可以很好地帮助抵御黑客的攻击。

2.2 安装防病毒软件。一台计算机如果安装了防病毒软件,就比较安全。国内知名杀毒软件有:360、瑞星等,国外知名杀毒软件有:赛门铁克、卡巴斯基等。安装防病毒软件后,务必经常升级来预防新病毒,否则,根本起不到保护的作用。

2.3 对计算机进行安全设置。在计算机中,通常有一些不必要的服务,最好能将这些没有用的服务关闭。为了防止黑客的入侵,可以关闭不必要的端口(即减少不必要的功能),把服务器安装在防火墙后面,被黑客入侵的可能性就会小些。可以卸载“文件和打印机共享”。

可以通过控制面板,开启系统审核策略和密码策略以及账户锁定策略(一般系统默认都是没有开启的);也可以通过360安全卫士等工具来帮助下载最新的补丁。

可以关闭系统默认的共享,因为系统共享会给用户带来不少麻烦,会有病毒通过共享入侵计算机,默认的共享后面都有“$”标志(即隐含的意思)。在WINDOWS XP下,可以通过在DOS提示符下使用Net Share命令查看这些共享。关闭共享的方法有如:(1)通过“控制面板”—“管理工具”—“计算机管理”—“共享文件夹”—“共享”,要相应的共享文件(夹)右击,再单击“停止共享”。(2)通过注册表修改程序修改相应的键值。运行regedit打开注册表编辑器,找到“HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ SERVICES \ lanmanserver \ parameters”项,双击右边窗口的“AutoShareServer”项,把键值修改为0(如果没有此项,可以自行新建并修改键值)。然后,再在同一窗口下找到“AuotShareWks”项,也把键值修改为0,关闭admin $共享。(3)禁止通过TTL来判断主机类型。为了防止黑客通过PING命令查看活动时间值来判断目标主机的类型,可以修改TTL的值,那么入侵者就没那么容易入侵主机了。

2.4 对电子邮件进行加密。目前使用电子邮件发送重要信息和通知以及进行商业交流等,已经成为信息社会必不可少的方式,为了保证邮件不被截获或修改,可以利用数字签名方式(如Hash签名、DSS签名、RSA签名)对邮件作特殊标志后再发送。

2.5 加密保护重要的文件(文件夹)。可以用加密软件进行加密;也可以将所有重要的文件移动到临时文件夹,再用压缩软件进行压缩并加上密码。

2.6 系统密码和BIOS密码的设置。在BIOS中设置开机的密码,或在WINDOWS XP、WINDOWS 7等操作系统中,设置管理员(或用户)密码。密码设置一般不少于10位,且尽量设置得复杂些,如包含数字、字母、特殊符号等,并建议定期更改,密码策略要求密码必须在42天内更改。

2.7 屏保密码的设置。以WINDOWS 7为例,在桌面空白处右击,单击“个性化(R)”,打开“个性化”窗口,单击“屏幕保护程序”图标,打开“屏幕保护程序设置”对话框,将“屏幕保护程序”栏中的下拉列表框设置为自己喜欢的选项,单击“设置(T)…”按钮,在“密码保护”旁边打勾,在弹出的对话框中输入密码。进入屏保后,如果别人要操作你的电脑,必须输入正确的密码。

3 在网上不聊及且不存储隐私信息

很多个人信息如身份证号码,生日等比较重要,最好不要轻易在互联网上面公开。在浏览互联网时,要正确设置网页浏览器。如果浏览的网站是可以信任的,那么可以把不是十分重要的个人信息放在上面,否则的话最好用相关词替代。当然,有些网站由于其服务性质,要求你填写比较重要的个人信息,包括像在网上购买飞机票或是网上银行的储蓄转账之类,此时你必须按照其要求填写内容,但还是要谨慎,防止“钓鱼”网站,在你不确定时,可通过“Verisign”之类的第三方认证公司得到访问网站的电子证书/签名,以此证明其真实和可靠性。另外操作系统也可能允许你默认或自己设置一些和互联网浏览相关的参数,比如打开互联网窗口数量,或同时下载文件数量等,如你遇到需要填写个人信息的地方,也应作斟酌。如你家里有孩子,那么应该让他们也明确上网时应遵守的原则,如不要轻易在互联网上留下自己或父母的信息。

4 保护电子邮箱

一些不法人士常常会利用电子邮箱作为入侵隐私的门户。因此有必要对电子邮箱做好保护工作。当在互联网上的聊天室、论坛、微博等公共场所,涉及到电子邮箱时,可用取代,甚至为此专门申请一个免费邮箱来接受相关的无关紧要的邮件。由于这些在公共场合张贴的电子邮箱很容易被垃圾邮件发送者(或是自动垃圾邮件发送程序)利用,如果被利用,且垃圾邮件数目和发送频率完全让你无法控制,那么你可抛弃原来的免费邮箱,再申请一个。无论如何千万不要点击垃圾邮件里面的链接,也不要回复。

综上可知,在互联网时代,我们每个人隐私信息很容易被泄露。其实我们更希望的是所有个人和行业都能够紧守自己的道德底线,不随意窃取利用他人隐私,在社会整体道德水平还未达到这个阶段时,任何人都要提高隐私保护意识,谨慎保管个人隐私信息。

参考文献:

[1]郭明珠,魏来,魏佳珅.个性化信息服务中用户隐私保护对策探究[J].图书馆学研究,2010(15).

[2][美]马泽尔,卡玛日萨米尼,拉提夫.云计算安全与隐私[M].刘戈舟,杨泽明,刘宝旭译.北京:机械工业出版社,2011.

篇6

关键词:电子政务系统;网络安全;研究;应用

电子政务,即各级机关在实践管理工作开展过程中需借助电子信息技术,打造分层结构、集中管理网络管理环境,且推进电子政务系统由“功能单一”向“综合政务网”转变,从而提升整体政府服务水平,同时借助网络平台加强与公众间的互动性,并营造双向信息交流环境,有效应对计算机病毒、黑客攻击、木马程序等网络安全问题。以下就是对电子政务系统网络安全问题的详细阐述,望其能为当前政府机构职能效用的有效发挥提供有利参考。

1.电子政务系统网络安全研究

1.1网络安全需求

就当前的现状来看,电子政务系统网络在运行过程中基于垃圾邮件攻击、网络蠕虫、黑客攻击、网络安全威胁等因素的影响下,降低了服务质量。为此,当代政务系统针对网络安全问题提出了相应的网络安全需求:第一,网络信息安全,即在电子政务系统操控过程中为了规避政务信息丢失等问题的凸显,要求管理人员在实践信息管理过程中应从信息分级保护、信息保密、身份鉴别、网络信息访问权限控制等角度出发,对可用性网络信息实施管理,打造良好的网络信息使用环境;第二,管理控制安全。即由于电子政务网络系统需与Internet连接,因而在内部局域网、外部局域网管理过程中,应设置隔离措施,同时针对每个局域网用户设定访问限定资源,并针对用户身份进行双向认证,由此规避黑客攻击等问题的凸显。而在信息传输过程中,亦需针对关键应用信息进行加密,且配置网络监控中心,实时掌控恶意攻击现象,并做出及时响应;第三,统一管理全网,即为了降低网络安全风险问题,要求当代电子政务网络系统在开发过程中应制定VLAN划分计划,且针对通信线路、访问控制体系、网络功能模块等实施统一管理,规避非法截获等安全问题[1]。

1.2网络安全风险

(1)系统安全风险。就当前的现状来看,我国UNIX、Windows、NETWARE等操作系统本身存有安全隐患问题,因而网络侵袭者在对系统进行操控过程中,可借助系统漏洞,登录服务器或破解静态口令身份验证密码,访问服务器信息,造成政务信息泄露问题。同时,在电子政务系统网络管理过程中,部分管理人员缺乏安全管理意识,从而未及时修补系统漏洞,且缺乏硬件服务器等安全评定环节,继而诱发了系统安全风险。此外,基于电子政务网络系统运行的基础上,侵袭者通常在公用网上搭线窃取口令字,同时冒充管理人员,向系统内部局域网直入嗅探程序,从而截获口令字,获取网络管理权限,造成电子政务系统信息损失。为此,为了规避信息截获等网络安全问题的凸显,要求管理人员在实践管理工作开展过程中应针对操作系统、硬件平台安全性进行检测,且健全登录过程认证环节,打造良好的电子政务系统服务空间,满足系统运行条件,同时实现对登陆者操作的严格把控。(2)应用安全风险。电子政务系统网络运行中应用安全风险主要体现在以下几个方面:第一,网络资源共享风险,即各级政府机构在网络办公环境下,为了提升整体工作效率,注重运用网络平台共享机关机构组成、政务新闻、政务管理程序等信息。而若某工作人员将政务信息存储于硬盘中,将基于缺少访问控制手段的基础上,造成信息窃取行为;第二,电子邮件风险,即某些不法分子为了获取政务信息,将特洛伊木马、病毒等程序植入到邮件中,并发送至电子政务系统,从而通过程序跟踪,威胁电子政务系统网络安全性。为此,管理人员在对电子政务系统进行操控过程中应提高对此问题的重视程度,同时强调对垃圾邮件的及时清理[2];第三,用户使用风险,即在电子政务系统平台建构过程中,为了规避网络安全风险问题,设置了“用户名+口令”身份认证,但由于部分用户缺乏安全意识,继而将生日、身份证号、电话号码等作为口令字,从而遭到非法用户窃取,引发政务信息泄露或攻击事件。为此,在系统操控过程中应针对此问题展开行之有效的处理。

2.电子政务系统网络安全设计应用

2.1系统安全

在电子政务系统应用过程中,为了打造良好的网络运行空间,在系统设计过程中应融合防火墙隔离、VLAN划分、HA和负载均衡、动态路由等技术,并在电子政务网络结构部署过程中,将功能区域划分为若干个子网结构,同时合理布设出入口,并实时清理故障清单,从根本上规避网络安全风险问题。同时,在操作系统安全设置过程中,应针对安全配置安全性进行检测,并限定etc/host、passwd、shadow、group、SAM、LMHOST等关键文件使用权限,且加强“用户名+口令”身份认证设置的复杂性,避免操作风险的凸显[3]。此外,在电子政务系统操控过程中,为了确保系统安全性,亦应针对系统运行状况做好打补丁操作环节,并及时升级网络配置,营造安全、稳定的系统运行空间。

2.2访问控制

在电子政务系统网络安全应用过程中加强访问控制工作的开展是非常必要的,为此,首先要求管理人员在系统操控过程中应结合政务信息的特殊性,建构《用户授权实施细则》、《口令字及账户管理规范》等条例,并严格遵从管理制度要求,实现对网络环境的有效操控。同时,在网络出入口等网络内部环境操控过程中,应设置防火墙设备。例如,在Switch、Router安全网络域连接过程中,即需在二者间设置防火墙,继而利用防火墙IP、TCP信息过滤功能,如,拒绝、允许、监测等,对政务信息形成保护,同时在网络入侵行为发生时,及时发出警告信号,且针对用户身份进行S/Key的验证,达到网络访问控制目的[4]。其次,在网络访问控制作业环节开展过程中,为了规避电子政务网内部服务器、WWW、Mail等攻击现象,应注重应用防火墙应用功能,对安全问题进行有效防控。

2.3数据保护

电子政务数据属于机密性信息,因而在此基础上,为了规避数据泄露问题的凸显影响到社会的发展,要求我国政府部门在电子政务系统运行过程中,应扩大对《上网数据的审批规定》、《数据管理管理办法》等制度的宣传,同时在PC机管理过程中,增设文件加密系统,并对访问者进行限制,最终实现对数据的高效保护。其次,在对SYBASE等通用数据库进行保护过程中,应增设访问/存取控制手段,同时完善身份验证、访问控制、密码机制、文件管理等功能模块,从而通过角色控制、强制控制等方法,对数据形成双层保护,并加强假冒、泄露、篡改等现象的管理,保障系统网络安全性[5]。再次,在政务数据使用、传输过程中,应定期检测服务器内容完整性,例如,WWW服务器、FTP、DNS服务器等信息,满足政务信息使用需求,同时提升政府服务水平。

3.结论

综上可知,传统电子政务系统网络管理工作实施过程中逐渐凸显出信息截获、信息泄露等问题,影响到了各级政府机关服务水平。因而在此基础上,为了实现对网络安全风险问题的有效处理,要求管理人员在实际工作开展过程中应注重加强安全管理工作,同时从数据保护、访问控制、系统安全等角度入手,对政务系统网络环境形成保护,满足电子政务网络系统应用需求。

作者:韩戴鸿 邬显豪 徐彬凌 胡大川 钱诚 单位:常州市科技信息中心

参考文献:

[1]王淼,凌捷,郝彦军.电子政务系统安全域划分技术的研究与应用[J].计算机工程与科学,2010,12(8):52-55.

[2]魏武华.电子政务系统的网络架构及其应用研究[J].计算机时代,2013,12(7):13-16.

[3]唐志豪,郝振平.我国电子政务审计的现实模式——基于本土环境和国际经验借鉴的研究[J].审计研究,2014,15(3):38-44.

篇7

关键词:支付系统;城市处理中心;CCPC

中图分类号:F832.31 文献标识码:B 文章编号:1007-4392(2011)09-0048-05

一、中国现代化支付城市处理中心(CCPC)现状分析

(一)CCPC定义及发展现状

人民银行中国现代化支付系统由两级节点构成,第一级为国家处理中心(NPC),第二级为32个省级城市处理中心(CCPC)。中国现代化支付系统城市处理中心(CCPC)上接国家处理中心(简称NPC),下联商业银行前置机系统(简称MBFE)、中央银行会计集中核算系统(简称ABS)、国家金库会计核算系统(简称TBS),处于支付系统的中间环节,担负着金融机构跨行资金运转的重任,是国家重要的金融基础设施,是国民经济的大动脉(见图1)。

随着金融电子信息化建设的加快发展,支付清算系统加快了系统升级改造和更新换代的步伐。2002年大额支付系统试点成功上线以来,小额批量支付系统、境内外币支付系统、支票影像交换系统、支付管理信息系统、电子商业汇票系统、网上支付跨行清算系统共7大系统陆续在线运行。这些业务系统的陆续上线运行一方面适应和满足了金融、经济和社会建设发展的需求,一方面随着各种用户及其需求的不断增加和扩大,对系统应用的要求也越来越高,特别是系统运行时间实现了7×24小时全天候不间断运行。履行好维护支付清算系统正常运行的职责,确保系统的安全稳定运行,显得越来越重要。

(二)CCPC业务现状

以天津CCPC为例,天津CCPC现有大额、小额、支票影像、PMIS、电票、网银6大系统。近年来,随着天津市经济快速发展,不断有新的参与者加入,各系统业务量也呈现不断增长趋势。天津CCPC支付系统直接参与者48家,间接参与者1587家,2010年大额支付系统共处理业务968.5983万笔,金额25.49万亿元,分别比2009年增长15.58%和33.32%(见图2)。

2010年全年小额支付系统共处理业务396.69万包、745.18万笔,金额1,628.7亿元,分别比2009年同期增长52.41%、52.61%和29.56%(见图3)。

2010年全国支票影像交换系统共处理全国业务560,657笔,金额346.21亿元,分别比去年增长-3.24%和12.23%。

2010年度小额支付系统收到查询业务5177笔,大额支付系统收到查询业务105,028笔。影像系统收到查询业务373条,回复率均为100%。

(三)CCPC安全管理现状

近年来各CCPC逐步完成各自的核心设备更新改造,改造后的CCPC安全运行能力大大增强。在设备安全方面,采用双机冗余热备,基本避免了由于设备单点故障引起的系统故障。在信息安全方面,大小额支付系统采用密押机制;全国支票影像交换系统采用数字证书;信息传输采用网络加密技术,有力保障了支付业务数据的安全。在网络安全方面,部署边界防火墙,通过访问控制技术保证系统的访问安全;部署入侵检测系统,提高网络的抗攻击能力。在安全制度方面,清算总中心先后制定并下发了《中国人民银行清算总中心支付清算系统运行维护细则》、《中国现代化支付系统运行管理办法》、《中国人民银行清算总中心支付清算系统城市处理中心巡检工作管理规定》、《CCPC日常维护操作指南》等一系列管理规定、办法,其中对CCPC的人员岗位设置、业务操作、系统维护、信息安全管理、机房环境管理、变更、故障处理及技术支持、日常检查以及定期巡检等方面都做出了详细的规定要求,各地CCPC也根据自己的实际制定了严格的内控安全管理制度和业务技术操作规程。在严格按照规程检查、维护下,支付系统的持续稳定运行为各地经济发展提供了强有力的支撑。

目前,随着支付清算系统的建设发展,CCPC面临着七大业务系统并行、系统结构越来越复杂、运行风险较高的现实问题。CCPC作为系统的运行管理者,如何加强CCPC管理,有效控制系统运行风险,保障支付系统安全稳定运行,是急待解决的问题,必须引起重视。

二、CCPC管理存在的问题

(一)资金清算问题

由于各行内部管理模式、计划资金额度授信不同,资金调度速度差别较大,不足支付的业务进行日间排队处理。但有的参与者因资金延缓支付,导致日间清算业务排队、日终清算窗口开启的现象,或者有的参与者日终不能及时筹措资金而使支付业务被退回,从而降低了社会资金的周转速度,造成了支付风险,影响现代化支付系统安全稳定运行与支付系统的社会公信力。

(二)查询查复问题

规范、准确和及时处理支付系统查询查复业务是确保汇划资金安全、系统高效运行的有力保障。如果查复行没有对查询进行及时查复,将会大大影响资金的及时清算。而在实际工作中,超期未查复的现象时有发生,传统上CCPC需要手工定期、定时检查未查复业务,电话提醒查复行进行查复,这在一定程度上降低了查询查复工作的效率,影响支付系统的高效率运行。

(三)灾备体系不完备

CCPC 灾难备份系统尚未建立。虽然国家处理中心NPC 已经建立了灾难备份系统,但目前各地城市处理中心CCPC 尚未建立能够快速有效实时接管CCPC的灾难备份系统。各省辖内支付清算系统尚未建立有效的应对系统突发事件的应急处置机制。

(四)CA系统不完善

CA事件监控系统是由CA公司开发、清算总中心部署,在各CCPC有效监控支付系统,包括服务器主机设备硬件、应用程序、部分网络系统以及数据库等,涵盖大部分日常运行参数,并可能对系统异常事件提供报警的视窗化实时报警检测系统。目前CA事件监控系统已经覆盖了包括大、小额支付系统、影像交换系统在内的绝大部分系统,是必不可少的全时维护工具。但CA事件监控仍然存在一些功能上的不完善,对支付系统的维护工作带来一些不利的影响。

第一,该系统不能对系统资源的使用情况等提供深入的监控与分析,导致会对支付系统业务正常运行造成影响的安全隐患无法及时预警。第二,监控报警存在延时,且报警方式单一。一般系统中存在异常警告或错误信息后,往往会在30分钟左右后,报警信息才会出现在CA监控界面中。CA事件监控系统的报警只是单一的屏幕提示和短信通知,没有声音、图像等更加直观的方式提醒技术人员。因此,日常维护中,CCPC不能仅依赖CA事件监控系统,而应按清算总中心要求,定时在主机上以人工方式例行检查。

(五)主机硬件设备的绑定依赖性

长期以来,包括大、小额支付系统、影像系统在内的支付系统服务器主机一直使用IBM品牌产品,网络设备如交换机、路由器等则是使用CISCO品牌产品。作为国际知名品牌IBM和CISCO,无论是从产品质量、售后服务还是技术支持在业内都是处于领先地位。但由于国外品牌硬件产品内部底层加密保护运行机制的未知性以及设备核心技术的保密性,很难确保那些保存在设备主机中的、随支付交易流动的数据的安全性。支付系统作为人民币业务系统的大平台和国家金融系统的重要组成部分,如果长期在生产系统运行中无法摆脱对国外品牌设备的依赖性,则必然会形成对系统的安全患。

(六)安全管理机构缺失

系统运维要求规定,各地清算中心都应设置安全管理主管岗,并配备两名安全管理员。但由于目前清算中心人员配备紧张,大部分人员都配备在运行、维护岗,很难成立专门主管安全的科室,一般安全管理员都由其他岗位人员兼任,人员配备紧张导致代岗或一人多岗。此外,安全管理员所应具备的技能没有明确的规定,并缺乏专业的培训,实际中,对安全管理职责的履行还存在一定的困难。

三、创新CCPC管理的手段与方法

为提高CCPC运维水平,向直接参与者提供低成本高效率的业务处理和监管服务,全方位保障支付系统安全稳定运行,天津分行清算中心依托信息化优势,结合工作实际,创新管理手段,改进管理方法。2007年创新性地将“短信平台”应用到支付系统运维体系中,通过与各直接参与者的短信互动切实、有效地对参与者实施监管并提供服务。2009年开发“支付清算综合服务系统”,可对天津清算中心的日常技术维护、值班日志、综合管理、业务数据统计、信息等进行信息处理,有效提高CCPC办公自动化水平及业务服务水平。2010开发了“支付清算运行监控管理系统”,很大程度上提高了查询查复率,解决了常期困扰CCPC管理中的查询查复这一难题。2011年开发“城市处理中心操作终端远程备份系统”,做为对建立完善灾难备份系统的初步尝试,实现了对支付系统客户端的远程管理控制。

(一)短信平台

短信平台是CCPC与各金融机构之间业务联动、信息沟通的信息化载体;是面向支付系统各直接参与者业务信息、通知公告的站点。它实质是向各直接参与者提供“短信监管服务平台”,通过该平台,可以超越时间、空间的限制,实现点对点、7×24小时、即时性的沟通与互动。一方面CCPC可以根据业务需要通过短信群发、定时短信提醒等方式系统运行问题、公告提示;另一方面则可以通过这一系统随时查询,了解各家直接参与者的意见、建议和要求,从而有效地解决了以往由于各参与者数目众多且分散而造成的管理程序繁杂、信息传达不及时、不对称等一系列问题,从根本上提高了工作效率,降低了沟通成本。因此,短信平台的搭建与开通,是天津分行清算中心不断拓宽思路,依托短信平台实现监管服务、健全运维手段的又一创新。

(二)支付清算综合服务系统

支付清算综合服务系统是天津清算中心为加强对支付清算系统的运行管理和服务,提高办公自动化水平,依托网络技术和信息处理技术开发的清算中心综合服务系统。该系统包含MBFE服务子系统、人民银行支付清算子系统、基础知识子系统、支付清算风险防范子系统、清算中心服务子系统五大系统。该系统将各种运维日志、检查情况、统计报表、审批材料、学习资料分别整理上传,形成了一个管理清晰且高度共享的信息库。一方面实现了日常运维工作的信息网络化和管理无纸化,解决了CCPC日常运维工作事件繁锁、过程文档多、事后查阅不便的难题;另一方面实现对CCPC业务流程的实时管理与连续监控,便于领导及时掌握工作情况,从源头上预防、减少差错事故的发生与危害。

(三)支付清算运行监控管理系统

为提高支付系统的查询查复率,天津CCPC开发“支付清算运行监控管理系统”。该系统包含对查询查复业务、排队业务、退回申请及止付申请的监控、提醒统计及考核统计等。通过对大、小额系统查询查复信息的后台监控来发现未查复业务,并对查复行自动短信提醒。这样一方面节省了人力,另一方面确保了未查复信息的及时发现,大大提高了查复行的查复效率。使用该系统以后,各直接参与者的查复工作更加及时,2010年度小额支付系统收到查询业务5177笔,大额支付系统收到查询业务105,028笔,回复率均为100%。

(四)城市处理中心操作终端远程备份系统

天津CCPC探索建立了城市处理中心操作终端远程备份系统,即在现有系统基础上增加一组远程操作终端。在遭受地震等自然灾害威胁或发生突发公共卫生事件,支付系统终端监控机房无法提供持续、正常工作条件,而支付系统主机房及主机、终端仍可以正常使用时,就可以在经分行应急领导小组批准同意后,将支付系统客户端监控管理切换到位于异地(塘沽中心支行)的远程监控管理环境,业务运行及技术维护人员进行远程实际操作,有效保证支付系统的正常运行。天津CCPC终端远程备份系统能够快速有效接管CCPC的业务运行管理,并可作为异地CCPC的灾难备份系统之一。可作为各地CCPC支付清算系统应对系统突发事件多了一种有效的应急处置手段。

四、加强CCPC管理对策与建议

(一)采取先进的管理手段,杜绝清算窗口的开启

1.建议实施资金预报制,严格头寸管理。应当要求各直接参与者的资金管理部门安排专人负责监管头寸,并加强头寸的预测管理。由专人收集历史数据,了解日常资金流量规律,把握资金流量大的分支行和重点客户,有针对性地进行资金监控。尤其是重点时段16:00以后的大额紧急支付,例如资金额度在5000万以上的要向所属CCPC一笔一报。这样CCPC的对资金头寸的管理由被动变主动,从很大成效上杜绝了清算窗口的开启。

2.与商业银行签订公约,实施资金拆借与划拨。建议人民银行支付管理部门与支付系统的直接参与者签订资金拆借公约,在清算窗口时间内,若某一商业银行(拆借方)清算账户因存在资金缺口而导致当日必须清算的业务无法正常清算时,可使用另一商业银行(被拆借方)在当地人民银行开立的支付系统清算账户进行资金拆借,执行比同业拆借利率较高利率予以偿还。其中,人民银行负责强行拆借资金的受托成交、资金清算和对拆借资金的监督管理。

2011年,人民银行天津分行经与各支付系统直接参与者协商一致,订立了《天津市金融机构临时头寸资金拆借参与公约》。公约规定,参与签约的银行业金融机构按照本公约约定的拆借原则进行临时头寸资金拆借和清算账户资金的划拨。对于因日常经营不善,资金流动性监测、控制、管理不到位,致使一年中累计使用三次以上清算账户同业拆借的拆入方,由人民银行给予警告、通报、对清算账户实施控制直至取消其支付系统参与者资格的行政处罚。公约执行后,各直接参与者密切关注日间排队业务情况,有效避免了日终清算窗口开启的现象。

(二)建制度立机制,推动查询查复工作

CCPC作为系统的运行管理者,应当要求各直接参与者从思想上高度重视跨行支付系统查询查复业务,坚决贯彻执行“有疑必查,有查必复、复必详尽、切实处理”的原则,进一步加强监督管理力度,层层把关,责任到人,由专人负责在每日营业开始后,对本行查询查复情况进行监控落实,坚决杜绝“查而不复、查而迟复”的现象发生。

一是建议建立查询查复管理员制度和联络员备案制度。CCPC要加大对支付系统查询查复人员的管理力度,查询查复联络员要切实承担工作职责,CCPC可利用电话或短信平台通知商业银行,若未能及时办理查复,将受到惩罚。二是建立支付系统查询查复考核机制。将查询查复率列入对商业银行考核的一项重要指标,鼓励商业银行在支付系统查询查复业务管理上的创新,对于取得突出成绩或经验,在考核中予以加分并向辖内各直接参与者推广。

(三)加强应急管理,做好灾备系统建设

一是要加强应急管理相关制度建设。随着支付清算系统的发展,新系统的挂接不断增加,结合新系统,不断修订完善应急预案,增强预案的可操作性。二是加强应急演练工作。提高应急演练的质量和效率,不断提高支付清算系统应对突发事件的处置能力。三是完善CCPC灾备系统建设。由于NPC已经建立了灾难备份系统及CCPC集中备份系统,建议各地CCPC以“快速切换、不间断运行”为目标,采用建设同城异地灾备网络转接中心的方式,在不增加过多投入的同时,最大限度地保障支付系统的运行安全与稳定。

(四)完善CA监控系统功能,加强系统风险防范

一是应该减少报警延时时间,“实时监控”的要素即是及时,支付系统随时都在发送大量的业务数据,如果无法达到实时的要求,会增大支付系统的运行风险。二是应当加大对系统资源以及运行参数方面的深入细化分析,进而更好地保障支付系统的持续稳定良好运行。

(五)加大自主品牌研发力度,摆脱设备依赖性

近年来,我国自主品牌的硬件设备随其自身技术的不断发展和制作工艺的逐步完善,其硬件设备运行稳定性大大增强,基本可以胜任金融城市处理中心的需要。可以适当加大购买采用国内自主品牌产品的比率,逐步摆脱对国外品牌主机硬件设备的绑定依赖性。

(六)强化安全组织结构建设,配备专职人员队伍

建议从总中心一级设立安全管理部,各清算中心设立相应的安全管理科室,逐步建立起一套自上而下的安全管理组织机构。调整业务、技术人员结构比例,配备相应的安全主管,提高其分析、查找和解决异常问题的能力,形成一支运维本领过硬的支付系统安全管理人员队伍。

(七)畅通运维协调机制,加强对参与者的管理

首先,CCPC要加强对各直接参与者的考核。建议制定对辖内各直接参与者的考核制度和办法,与各直接参与者签订安全管理责任状,明确参与者责任,由各地清算中心负责督促和协调。

其次,各地CCPC可参考总中心对各CCPC的巡检、自检制度,依据总行颁发的原则性制度和办法,对各直接参与者制定具体的检查制度和标准,每季度开展巡检或抽检工作。一方面要检查MBFE的运行维护制度落实情况,从制度上保障支付系统的安全;另一方面要检查运维问题、人员配备及安全隐患。对存在的问题严肃追究责任人,督促其制定整改措施并落实到位,谨防重检查、轻整改的现象发生。

最后,CCPC加强对商业银行的培训和业务指导力度。CCPC要定期组织各金融机构开展相关维护、运行、安全方面的相关培训,提高商业银行日常业务能力和故障处理能力。当下级节点(ABS、TBS、MBFE)出现问题时,应立即向CCPC报告,CCPC力求在最短的时间内给出解决方案,并指导下级节点迅速排除故障。CCPC也应主动通过下行线路监控系统随时查看下级节点连接情况、资金清算情况,如有问题及时沟通,要求各参与者及时解决,并将处理结果反馈到CCPC。

参考文献:

[1]熊立群、谭卡吉,《支付系统运行维护管理探讨》,《支付清算》,2011,第6期。

[2]段志田,《第二代支付系统‘一点对接’与支付清算体系的变革》,《支付清算》,2010,第11期。

[3]堵秋莹,《关于我国支付结算系统现状及问题分析》,《法制与社会》,2007,第9期。

篇8

为实现档案管理方法和管理手段的现代化,实现档案信息资源的共享,构建公司档案信息网络,我公司提出:力争“十一五”期间,建设一个管理科学、功能齐全、服务优质、具有国内先进水平的档案现代化管理网络。具体的建设目标如下:

第一,建成国家电网公司档案综合管理平台。做到覆盖国家电网总部、区域电网公司、省电力公司、地市供电公司、县级供电公司等五级单位,满足以上五级单位对于本部档案信息化管理的实际业务需要,实现上下级单位间的档案信息互通,即上级单位可以对下级单位的档案工作进行监督管理,下级单位可以对上级单位进行档案数据的汇总上报,避免各单位形成内部档案信息孤岛,建立档案系统对外统一的标准系统数据接口,使得其他相关系统(如OA办公自动化系统)中的数据能够顺利进入档案系统中。

第二,建成两个数据查询中心。即档案目录中心和现行文件查阅中心,以集中统一数据仓库的方式面向公司所有普通用户提供档案目录和现行文件的查询。

第三,制定公司档案业务管理规范。

第四,形成一支专业化的档案业务管理队伍。通过此平台的搭建,全面提高各单位档案管理人员的业务素质和技术素质,形成一支专业化的业务团队。

技术实现手段及组织实施

国家电网公司档案综合管理平台在系统逻辑架构上分为基础数据平台、应用服务层、业务建模层和业务模块层。

基础数据平台为用户提供档案信息的数据存储平台,通过数据库技术、信息安全技术和数据存储技术解决档案数据的安全存储问题。

应用服务层主要包括基于J2EE标准的应用程序服务器和中间件及为应用系统提供公共技术服务,如文件格式转换服务、OCR服务、电子文件浏览服务、全文检索服务等。

业务建模层主要用于初始化档案系统结构以及定制业务规则,包括部署系统结构、定义机构、档案管理模式等。其目的主要为是为档案管理员提供业务操作的功能模块,涵盖收集、整理、鉴定、数据管理、报表、统计、销毁、编研等日常档案管理业务。

从技术角度看,公司档案综合管理平台必须具有良好的适应能力和扩展能力,而解决这些问题最好的办法是采用面向服务的SOA(service-oriented architecture)体系结构。公司档案综合管理平台的总体结构采取集中式的系统结构,不同的单位系统之间可以分布部署。数据存储中将用户数据和系统数据进行甄别,系统数据、公共数据全部存放在主数据库中,不同单位不同的数据信息放在不同的数据库中,这样保证系统数据高内聚、低耦合的特性。

档案信息化建设过程中,公司下属五级单位实行统一组织、统一规划,综合各级单位的先进管理理念和经验,对管理规范、信息系统以及后期服务方式等内容进行统一规划和建设。成立档案管理信息平台建设项目协调小组,统一组织和协调项目建设、实施过程中的有关问题。项目协调小组下设业务小组和技术小组。

业务小组主要工作职责包括:明确公司系统各级单位类型及档案管理特点;调研各级单位档案的管理现状和业务需求;收集整理各级单位档案管理办法;明确档案管理办法的数字化实施细则;明确各类档案的归档细则(包括归档范围、时间、要求、方式、流程、整理规则、著录信息、保密期限和目录格式等);明确各类工程档案的归档文件细目(即工程模板)。业务小组的主要的工作成果是完成《需求说明书》。

技术小组主要工作职责包括:调研公司各单位现有的档案管理系统;调研公司系统信息统一规划(应用开发环境、网络环境等);明确档案接口数据有效性验证要求;明确数字化档案信息管理规范(包括归档电子文件存储格式、电子文件命名、电子档案移交格式、档案信息系统数据接口、数据存储备份及安全管理、档案数字化加工规范等);形成公司电子文件管理元数据规范。技术小组的主要工作成果是完成《总体设计方案》。

集团档案信息化系统的技术优势

实现了电子文件的全程管理

电子文件管理必须遵循全程管理原则,就是要在从文件产生到永久保存或销毁的整个生命周期中进行全程管理,通过过程控制实现结果控制。由于过程的可控性强,过程控制的反馈周期短,因此,对电子文件生成、流转、保管、利用等每一项具体管理活动中的实施过程进行监控,便于及时发现和纠正失误,不断调整管理策略。在过程管理中,所有有助于说明电子文件重要属性和有效管理过程的信息都被记录在案,以证实电子文件在管理系统中的运转状况,确保电子文件的管理质量。

以公司档案信息平台系统中对工程档案的管理和监控为例来说明该原则的应用:供电企业的工程项目档案的特点是量大面广,建设周期长。量大,是指建设项目从立项、调研、方案论证、可行性研究、初步设计、施工、安装到竣工投产,将产生大量应归档的文件材料。面广是指参建单位多,有建设、招投标、设备采购、土建施工、电气安装、监理、质量监督、系统调试等参建单位。各参建单位档案管理的做法、要求、习惯都不尽相同,对业主的要求不甚了解,使档案案卷质量难以保证。建设项目从项目前期开始到竣工投产,建设周期少则两年,多则十几年,时间跨度较大,对档案管理带来一定的难度。

面对量大面广,建设周期长的特点,系统平台引入了全程管理原则,并采用了工程档案模板技术,用计算机管理贯穿工程建设的全过程,将人为因素降低到最小化,从而有效地使工程项目文件材料归档工作与工程建设同步、有序进行。通过该平台系统,工程项目管理已由过去建设单位一家管档案的模式,变为在业主的统一指导下,设计、施工、调试、监理等各参建单位在网上同步建档,业主单位实施全过程监控,实时管理。

贯彻了电子文件管理的前端控制原则

前端控制原则是现代文件、档案管理理念的重要内容,它以文件生命周期理论方法为基础,把文件从形成到永久保存或销毁的不同阶段看作一个完成的过程。在这个过程中,文件的形成是前端,处理、鉴定、整理、编目等具体管理活动是中端,永久保存或销毁是末端。前端控制是实现电子文件全程管理的重要保障,这一原则在纸质及其他载体文件、档案管理中是有效的,在电子文件管理中更加重要。

在初步建立了档案信息平台系统的机构中,实现了电子文件在业务系统中生成和运转,在本平台系统的辅助下捕获和归档,因此电子文件管理过程的前端就延伸到了业务系统和电子文件管理系

统的设计阶段,前端控制的形式也部分转移到业务系统和电子文件管理的功能设计中。目前已经实现协同办公系统、招投标管理、法律合同管理、FMIS财务管理、营销系统、生产管理系统、统一用户机构管理和认证等系统与档案管理平台的接口和集成,从而实现了档案的前端管理。通过这种延伸,使各机构归档的质量得到了大量提升。

体现了电子文件的集成管理原则

集成管理是全程管理思想的延伸和深化,它要求不仅关注文件流,也要关注与文件流相关的业务流,关注其他信息流的统筹兼顾、功能整合,鲜明地体现了开放式、集约式的管理理念。

具体说来,电子文件的集成管理原则在本系统中主要体现了以下三方面的内容:

1 文件流与业务流的集成。文件是机构履行职能、从事业务活动的重要手段,从―定意义上说,文件流是业务流的记录和反映。因此,文件流与业务流的结合程度应该是衡量电子文件管理质量的―个重要标准。文件业务流的集成思想不仅应体现在机构电子文件的管理理念、管理政策和管理方法之中,最终应体现在机构电子文件管理系统对电子文件流与业务流的―体化整合上。电子文件管理系统应支持本机构的文件运转流程和业务流程,在确保文件完整、安全、准确的同时,保证文件运转和业务勰的顺畅、周密和高效。目前,已通过开放的web service技术,实现了档案系统与其他系统的集成,从而实现了整个文件流与业务流的完整吻合。

2 文件流与其他信息流的集成。文件只是机构全部信息的一部分,任何机构在日常工作中都还会接收、运行、保管和利用各种各样的非文件信息,如参阅信息、内部管理信息、统计信息、宣传信息等。文件信息和非文件信息在内容上有互补性,在管理流程和技术上有许多相通之处,集成管理就是要打通它们之间的可通之处,连接它们之间的可连之处,’实现最大限度的信息共享和知识挖掘。本系统已经实现了档案系统与公司统一搜索功能(Autonomy系统)的集成,从而实现了文件流与其他信息流的集成。

3 文件流内部管理活动的集成。长期以来,公司纸质文件管理实行的“分阶段+分环节”的管理方式,即先划分为文件管理和档案管理两个阶段,各阶段中再划分若干个管理环节,每个环节相对独立,界线清楚。信息技术的介入使这种管理方式的不适应性日益明显:一是对原有管理流程的解析显示出作业的不合理分割和交叉重复;二是电子文件的技术特征要求实行前端控制,即将以往“后工序”提前至文件形成阶段,这使得文件管理流程改造成为必需。为了达到优化电子文件管理,提高机构工作效率的目的,电子文件管理的各项具体业务应该并尽可能根据其内在关联性而得以整合或集成,如归档与整理、鉴定、著录的结合等。这一思想使得我们在构造系统时,虽然在管理数据上是分门别类的进行管理,但信息是一体化的,从而避免了信息“死角”,使需要查找的信息都能找到。

国际标准和理论的最佳实践

国家电网档案信息平台系统不仅在国内,在国际上都是目前最新ISO标准及前沿档案管理理论的最佳实践。主要体现在以下几点:

1 在档案元数据上遵循欧盟MoReq(Model Requirements for the Man-agement of Electronic Records)关于文件元数据通用要求,形成国家电网公司档案元数据规范;同时遵从0AIS参考模型,解决数字档案信息长期保存问题。

2 在业务功能应用上采用文件生命周期理论,通过前端控制的方式对归档文件在形成之初就进行了控制和管理,具体表现在系统中就是:针对文书类归档文件,在每一年的开始就明确各业务部门归档范围和责任,提供了文件收集、档案收集和收集整编等各类手段及业务系统接口实现对归档文件的前端控制和管理;针对工程项目档案则在项目立项时就同步确定项目归档范围、整理规则、明确归档责任,使得项目档案能与项目阶段同步进行归档和管理;

3,在档案的鉴定和管理观念上吸收了“后保管模式”理论的精华,“宏观鉴定”、“知识服务”等理念在系统中得到充分应用。具体体现在系统通过规范的分类表和归档模板实现保管期限的鉴定工作,同时明确了各部门的归档范围和责任,并使得通过系统可以进行控制;也体现在系统与公司数据中心、知识管理进行和AU-TONOMY搜索引擎进行的集成上。

篇9

一、有关互联网金融研究的文献回顾

1995年,全球第一家互联网银行SFNB(SecurityFirstNetworkBank,安全第一网络银行)在美国成立,随后开始在欧洲和亚洲一些国家和地区兴起,近些年在中国和日本等地发展迅猛。国内外众多专家学者对互联网金融进行理论研究和实证分析,取得了很多成果。按照研究方向和内容来看,大致分为三类。1.对互联网金融模式的研究李博、董亮(2013)将互联网金融模式鉴定为三类:(1)传统金融的互联网延伸,电子银行、网上银行、手机银行等都可归纳为这一范畴;(2)金融的互联居间服务,有第三方支付平台、P2P信贷、众筹等;(3)互联网金融服务,如小额贷款公司、基金保险销售平台等。谢平(2014)认为互联网金融以支付方式、信息处理和资源配置为支柱,他将互联网金融模式分为八类:传统金融互联网化、移动支付和第三方支付、对等联网(P2P)、众筹、大数据在证券投资中的应用、互联网货币、基于大数据的征信和网络贷款、保险等。罗明雄(2014)认为互联网金融有六种模式,分别为:第三方支付、P2P、众筹、大数据金融、互联网金融门户以及金融机构信息化等。郑联盛(2014)认为互联网金融是整个金融领域的新型业态。总结目前中国的互联网金融发展模式并归纳为四类:(1)传统金融业务的互联网化。包括有:为传统金融服务提供服务的机构或平台、互联网与传统金融业务的融合、运用互联网技术对传统金融业务的创新化发展。(2)第三方支付。典型代表有支付宝、快钱等第三方支付机构。(3)互联网信用业务,主要包括众筹、网络贷款等新兴业务。(4)互联网虚拟货币。美国的Google、Facebook、eBay等都发行有虚拟货币。目前,中国对此类业务实行严格的管控,2014年1月起,已禁止比特币、莱特币等互联网虚拟币的销售。虽然学者们在叙述角度上有所差别,但从总体来看,所谓互联网金融不同模式就是各种金融与互联网要素的不同组合,可以概括为传统金融业务的互联网化与基于互联网特性而延伸的金融(类金融)服务两大类别。2.对于互联网金融发展现状及趋势的研究MaryCronin(2002)介绍了网络银行的业务特点和竞争优势,为网络银行的发展及创新提供了有益的借鉴,但对网络银行的风险防范及控制问题的研究不够深入。谢平、部传伟(2012)认为互联网金融以先进的信息科技为依托,对传统的金融模式产生了根本性的影响。他运用案例研究,归纳出互联网金融存在的三种模式:移动支付、网络信贷和众筹融资。曾刚(2012)运用不同视角,对互联网金融和传统金融进行比较,得出两者之间不仅具有竞争关系,而且还可以互相合作、共同发展。王琴、王海权(2013)在对网络金融的内涵做简单阐释的基础上,通过研究典型的国外网站的业务和发展,与国内网络金融发展做对比,提出国内网络金融企业要逐步改善金融服务理念,加快推进网络营销模式的多样化和服务品牌化建设。左近业、贺根庆(2014)立足于中国网络金融发展实践,深入解析内涵,把握发展趋势,为网络金融业务拓展和利润增长提供新思路。显然,学者们对互联网金融的发展趋势是高度认同的,对传统金融机构或管理部门而言,关键是如何适应并充分利用好这种发展趋势。3.针对互联网金融高风险的特点的研究学者提出应该把互联网金融纳入监管体系,并提出多种监管方案。尹龙对互联网金融监管的探索较早,他在《网络金融理论初论:网络银行与电子货币的发展及其影响》、《对中国网络银行发展与监督问题的研究》等文章中,详细分析了网络银行发展的现状及风险特点,结合目前监管实践,提出了有益的监管策略。徐静(2006)指出近年来网络银行在中国发展迅猛,但是监管部门必须对网络银行的风险引起重视,及早建立健全监管制度,借鉴国外先进监管经验,并应积极采取措施加以防范和化解。巴曙松、杨彪(2013)认为中国第三方支付与美欧等发达国家相比,在立法层次、分类监管、消费者权益保护及监管等问题上存在提高和完善的空间。鉴于目前中国的互联网金融监管体系薄弱的现状,提出了相关建议。陈林(2013)从六个方面分析了互联网金融的形式及特点,指出互联网金融对于传统金融机构和金融监管具有重要的影响,并在深入比较欧美等主要国家互联网金融监管实践的基础上,提出政策建议。王立国、徐爱萍(2014)分析了网络金融风险具有高度隐蔽性、瞬时爆发性、极度渗透性和交叉感染性,在此基础上,从法律、经济、技术等角度创新了监管模式,对及时分析和控制网络金融风险做了积极的探索。这类研究普遍认为,各种模式的互联网金融公司蓬勃发展的背后,亟需有效监管,以控制风险,维护互联网金融领域投资者和消费者利益。

二、互联网金融存在的风险分析

1.技术风险从互联网金融的运行模式来看,由于其业务依赖于电子信息技术,因此首要风险来源于技术层面。尤其是中国网络技术发展与欧美等发达国家相比明显滞后,硬件设施及软件系统大部分由国外引进,中国互联网金融企业不能完全掌握它们的性能,或是系统设计存在缺陷,如开放式的网络通讯系统,不完善的密钥管理技术等都容易引起潜在风险的发生。而互联网的快速传播功能,也使得这些技术漏洞和病毒等快速地感染,从而形成系统性风险。这样的例子近年来不断出现:如2014年2月,美国著名的众筹网站KICKSTRAER被黑客攻击,部分客户数据泄露;2014年3月22日,系统漏洞导致携程客户资料泄露。2.信用风险互联网金融的资金使用者通常以小微企业为主,这类企业的共同特征是财务报表不能反映企业的真实状况,因而其不确定性要远远大于一般的银行客户。而中国征信系统数据的不完善,又增加了对这类客户信用状况的辨别难度。央行的征信信息是最完整的,但数据主要来源于商业银行和农村信用社等金融机构,在数据时效性、全面性和层次性上仍存在短板,其中小微企业和个人的数据的完整性和准确性更差一些。一些利用大数据开展个人征信业务的平台虽然能收集到及时的数据,但能用于信用评估的数据并不多,而且分析方法和手段也还在探索阶段。二者此消彼长,互联网金融的不确定性要远远大于一般的银行信用。3.法律风险互联网金融呈现出混业经营的态势,对商业银行法、证券法、票据法、担保法等法律都提出了新问题,急需法律规制,但制定法律必须全国统筹、深入研究、综合考量,这就出现了监管立法相对滞后的局面。2014年1月6日,国务院办公厅印发《关于加强影子银行监管有关问题的通知》,虽然把新型网络金融公司作为影子银行的第一类,明确由央行牵头,统一各部门协调监管,但目前还只是一个宏观框架,没有出台具体细则,在事实上出现了无法可依的局面。具体而言,涉及到以下三方面。(1)商业信息、隐私泄漏的法律风险。互联网金融时代离不开大数据,在海量数据中加工、挖掘有价值的信息为金融服务。互联网金融机构拥有这些信息的所有权,为获得投资人信任,一些P2P网贷平台会把优质借款人的详细信息到网站上,这样不仅会造成网贷平台的商业信息泄露,也会使金融消费者和投资者的隐私存在被泄露的隐患。依据《电信和互联网用户个人信息保护规定》、《消费者权益保护法》等的规定,如果互联网金融机构泄漏消费者或投资者个人信息,可能会受到法律的惩治。(2)虚假宣传、夸大宣传的法律风险。2015年9月1日,新修订的《广告法》正式实施,强化了对大众传播媒介广告行为的监管力度。为提高知名度,目前很多互联网金融平台的广告宣传中涉及虚假和夸大的成分,如“国家级”、“最高级”等极限词的使用;“保本”、“无风险”、“保收益”等承诺都属违反《广告法》的行为。(3)金融犯罪风险。部分互联网金融机构缺乏客户身份识别、交易记录保存和可疑交易分析报告等相关制度,在业务发展和盈利压力的主导下,容易采取一些高风险交易模式,触及了非法集资、非法经营等“底线”:利用第三方支付平台转移、清算网络赌博或非法集资等犯罪资金,利用网上银行实施地下钱庄违法犯罪活动,网络炒汇、炒金,网络传销,证券期货违法犯罪活动,网上制假售假、洗钱犯罪等。

三、国外互联网金融监管经验

一方面,互联网金融拥有巨大的成本优势、服务优势和竞争优势,从而成为金融发展的巨大支撑;另一方面,较之传统金融,互联网金融又面临更为巨大的技术风险、信用风险及法律风险,这促使各国的宏观调控者重新审视自己的监管政策,不断对互联网金融机构出现的新情况和新变化作出适应性调整,以使其成为各国促进经济发展的不竭动力。1.完善的法律法规机制明确互联网金融各主体权利与义务,划分利益边界,保护交易双方权益,维护规范、有序的发展环境。美国法律制度比较健全,业务开展方面有《全球及全美商务电子签名法》、《全球电子商务框架》、《统一电子交易法》、《创业企业融资法案》;市场准入方面有《国民银行网上银行注册审批手续》;风险管理方面有《网络信息安全稳健做法指引》、《技术风险管理》、《技术风险管理-PC银行》;现场检查方面有《OTS对零售在线PC银行的声明》、《FDIC电子银行系统安全性与可靠性检查程序》等。英国对网络信贷的监管较早,《消费者信贷法》是规范网络信贷的法律;《P2P融资信贷操作指引》用来规范P2P机构;市场准入方面,无最低资本金的门槛限制,但网贷机构要获得信贷机构牌照才可运营。欧盟规范互联网金融的相关法规有《电子货币指引》、《境内市场支付服务指令》、《反对非现金支付》、《电子签名共同框架指引》等。日本对非银行民间金融公司资金进行管理的法律有《贷金业法》、《出资法》、《利息限制法》等。2.严格的网络安全管理制度网络金融的运行基础是互联网,因此,互联网技术安全和管理安全就成为互联网金融监管的首要任务。互联网金融机构的安全包括电子技术、内部管理、自有资本和客户资金管理等。具体要求有:(1)确保任何情况下的网络主机系统和数据库的安全,严格排除各种人为或非人为因素的影响;(2)确保互联网金融交易双方身份、数据、资料的真实合法,交易过程不存在任何安全隐患;(3)严格保密制度,确保研发新技术、新成果不被窃取,保证客户资料不被非法盗取或者修改。美国《银行机密法》规定,所有网络银行应当建立严格的新开户标准,还要建立网络监控系统。3.高效的行业自律组织很多国家都重视互联网金融行业协会对互联网机构的监管,运用行业标准来约束机构行为,可以弥补政府机关监管职能的缺陷,也可以补充法律法规的漏洞,及时对新情况作出反映。美国构建了完善的网络银行业务风险管理制度框架:(1)决策管理层在业务风险中的职责;(2)网络银行业务的技术风险管理;(3)网络银行业务风险的内部控制机制;(4)网络银行业务外包情况下相关风险的控制。另外,英国和日本都是组织自律组织充当“准政府机构”,承担部分政府的监管职能,营造互联网金融良好的市场环境。4.务实的功能性监管体制互联网金融从单一的业务模式开启,随着通讯技术的不断发展和互联网技术的广泛应用,业务模式也随之不断创新。互联网金融平台囿于利润及企业竞争力的考量,纷纷向混业经营转变,金融服务逐渐趋向综合性,逐渐发展为向消费者提供全面服务,金融超市的出现给分业监管也带来了新的难题。为了适应互联网金融发展趋势,美英等国开始对监管政策进行调整。1999年,美国修改金融监管框架,通过《金融服务现代化法案》,采取了综合监管与分业监管相结合的模式。2000年,英国议会通过了《金融服务与市场法》法案,由金融服务局将取代原来的证券与投资委员会,统一行使监管职能,实现了跨行业监管。5.协调的国际合作机制随着互联网金融的发展对金融监管国际合作的要求日益迫切,国际社会开始构筑一个新的、稳健的国际金融架构。1999年,由美国、日本、德国、英国、法国、加拿大及意大利七大西方工业国成立了“金融稳定论坛”,旨在从全球范围监督各国及全球金融体系的稳定性。后邀请澳大利亚、新加坡、荷兰、瑞士和欧洲央行等国家和国际组织加入,覆盖范围进一步扩大。2001年,巴塞尔委员会发表《电子银行风险管理原则》,2003年,巴塞尔委员会《跨境电子银行业务的管理和监管》,2007年,《跨境电子银行业务活动的管理和监督》。

四、完善互联网金融监管的建议

篇10

关键词:网络新闻传播;问题;对策

目前,互联网已成为公众获取信息的重要渠道和途径。新闻媒体,尤其是以社交类媒体为代表的社交新闻媒体,已成为人们认知世界、获悉万事万物的窗口。据CNNIC《2016年中国互联网新闻市场研究报告》显示,截至2016年6月,互联网新闻市场用户规模达到5.79亿,其中手机端网络新闻用户规模为5.18亿,占移动网民的78.9%,互联网新闻已成为网民高频使用的基础类网络应用,对人们的思维方式和价值理念产生了重要的影响。同时,随着网络信息的多元丰富,也为网络新闻传播带来了诸多问题和弊端。本文试图分析网络新闻传播存在的五类问题,浅析其形成的三种原因,并针对性地提出四点对策建议。

一、网络新闻传播存在的五类问题与现象

第一,转载信息随意性强。有的媒体在未核实新闻事件真伪的情况下,一味追求时效性,第一时间公之于众,存在审核把关不严的现象;有的媒体未取得互联网新闻信息服务资质,但会定期推送、新闻信息,造成大范围转载。CNNIC数据显示,只有25.7%的用户转发新闻前会有意识核实信息的真实准确性,转发信息近乎零成本,且缺乏甄别真伪的手段和方法,一定程度上助推了虚假新闻的进一步传播。第二,新闻质量参差不齐。新闻采发过程包括信息收集、整理、编辑、加工、、传播等环节,而由于一些媒体从业人员未经过采编方面的系统训练,有的人员每天要负责处理很多版面稿件,短时间内无法对每条新闻都做到认真编排,有的只能按时间先后顺序简单罗列,影响了受众的阅读体验和传播效果。有的信息侧重于玩噱头,刺激网民情绪,混淆视听。第三,新闻信息重复率高。“两微一端”传播矩阵成为各家新闻网站和媒体的标配,往往同一条信息会被重复大量转发,有些新闻网站风格样式及报道内容大体相似,造成重复冗杂、网络资源浪费。第四,新闻媒体真假难辨。有的网站假冒境内正规新闻网站,未办理备案手续,服务器设立在境外,大量刊载境内社会新闻,集纳负面信息,规避国内监管部门管理。比如假冒“中国新闻网”“河北新闻网”“日照新闻网”等;有的境内不具备新闻资质的网站违法从事新闻采编活动,冲击中国新闻监管体系;少数新闻网站为吸引眼球编写、炮制虚假新闻,出现法律、法规明令禁止的内容,扰乱社会秩序。[1]第五,欺诈侵权问题严重。有的新闻网站成为犯罪分子实施犯罪活动的温床,有的网站开设后,为吸引公众、赚取点击量,甚至从事敲诈删帖违法活动,从多方面查找报道党政官员、企业高管、社会名人、法人组织等负面信息,通过多家网络媒体大肆传播,达到敲诈勒索的目的。

二、原因分析

第一,作为传播过程主体的网络新闻媒体,没有切实把好新闻质量关。特别是一些社会商业媒体,为实现利益最大化,博取点击率及排名榜位次,忽视社会责任,不顾采集或转载的新闻信息的真伪,不加辨别和筛选就直接或转载新闻信息,蓄意制造“标题党”,降低了新闻水准和内容质量。第二,作为传播客体的广大网民,法律意识淡薄,文化品位和思想文化素质参差不齐,极易被虚假低俗的内容吸引。一些网民热衷于观看甚至定制娱乐八卦、奇闻趣事信息,为违法违规信息的传播提供了空间。第三,作为新闻传播监管方的各级互联网管理部门,正在逐步健全相关制度和管理办法,但目前法律效应仍然较小,对于违法和不良信息的管理,主要在于政策法制、思想政治教育层面,对于隐秘性强、覆盖面广的信息,缺乏有效的监控手段,处罚措施和责任追究制度没有落到实处,给一些媒体及网民提供了可乘之机。[2]

三、应对策略

解决以上问题与现象,需要监管部门、互联网服务提供者、网络用户等多方发力、多措并举,共同打造清朗健康的网络空间。需要做到以下四个强化:第一,强化网络新闻规范管理。近几年来,国家互联网信息办公室在规范网络内容管理方面,牵头制定出台了多项法律法规。今年6月,我国网络基本法《中华人民共和国网络安全法》以及新修订的《互联网新闻信息服务管理规定》正式实施,《规定》加强新闻信息采编流程管理、细化平台管理、落实处罚责任,使互联网新闻信息更加法制化、规范化。要进一步细化落实,制定互联网新闻信息服务许可、运行、监督检查等方面的实施细则,便于操作和管理。同时,要会同国务院电信、公安、新闻出版广电等部门建立信息共享机制,发挥各部门的执法合力,在各领域各负其责,促进互联网新闻信息管理取得更好的成效。第二,强化网络新闻媒体集中整治及日常监管。互联网监管部门要统筹协调各相关部门开展互联网新闻信息服务专项行动,集中对从事互联网新闻信息服务主体的互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等媒体的采编服务、转载服务、传播平台服务等进行全方位审查,对未依法取得互联网新闻信息服务资质或超越许可范围开展互联网新闻信息服务活动的媒体予以严厉查处。同时,对于服务器位于境外,冒用国内新闻媒体刊载新闻信息的网站依法予以处理。集中整治后,各级互联网信息管理部门要进一步加强常态化管控,定期通报。第三,强化互联网新闻信息服务提供者的主体责任。互联网新闻信息服务提供者应主要从五个方面切实履行主体责任:一是建立总编辑及核心内容管理人员管理制度。总编辑对所有信息内容负总责。二是健全内容管理审核制度。要明确所信息事实明确、导向正确、来源规范、合法合规;严格落实“三级审核”“先审后发”等要求;制定新闻来源白、黑名单机制,严格按照国家网信办公布的互联网新闻信息稿源单位名单开展工作,转载应注明新闻信息来源;加强页面生态管控,不得登载危害国家安全和社会稳定的谣言、低俗负面等违规信息。三是制定信息安全管理制度、实名登记、平台用户管理等日常运营制度。加强图片、音视频等内容技术手段建设,加强对网络直播、弹幕等新产品、新应用、新功能上线的安全评估。建立健全用户账号人工和技术审核机制,加强用户身份及个人隐私信息管理。禁止不具备新闻资质的自媒体账号新闻信息。四是强化内容管理队伍建设。建立健全内容管理人员准入、考评、奖惩、退出等机制,完善内容管理人员初任培训、经常性培训等制度,促进整体素质提升。五是切实做好违法信息受理处置工作。畅通举报渠道,完善举报受理机制,及时处置网民投诉举报,对违法信息采取立即停止传输、消除等处置措施,保存有关记录,并向有关部门报告。第四,强化责任追究制度,形成震慑力量。作为新时代的网民,既是信息的接受者,同时也是信息的发送者、传播者,要从采编、制作、审核、等关键环节严格遵守国家相关法律法规,提倡文明办网、文明上网,决不允许为片面追求经济利益和谋取私人利益,一味抓眼球、搏出位,导致网络传播失序、生态恶化、乱象丛生,甚至危及国家安全、社会稳定和人民的根本利益。要加大执法力度,对于违反国家法律法规的行为严格按照相关规定予以处罚,严厉打击网络乱象,视情节严重程度给予约谈、通报批评、罚款、关停网站等惩罚,形成网站不敢违规、违规严惩的社会监管大环境。督促属地互联网企业落实好主体责任和社会责任,让每一个网民在充分享受权利的同时,不断强化自身的公民义务感,在执法的牵引下将网络言行纳入理性而富有建设性的良性轨道,共同营造清朗的网络空间。总之,网络新闻传播需要以“重基本规范、重基础管理,强化属地管理责任、强化网站主体责任”为遵循,切实规范传播秩序,弘扬主旋律,激发正能量,推动互联网健康有序的发展。

参考文献:

[1]王四新.强化网站主体责任正当其时[DB/OL].光明网-理论频道,2016-09-23.