序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗,特別為您篩選了11篇信息安全法律法規(guī)論文范文����。如果您需要更多原創(chuàng)資料�,歡迎隨時與我們的客服老師聯(lián)系��,希望您能從中汲取靈感和知識���!
篇1
摘 要:在本文中��,筆者首先對信息安全管理的內(nèi)涵進行闡述�����,然后對我國信息安全管理的現(xiàn)狀進行分析���,最后提出加強信息安全保密工作的措施。
關(guān)鍵詞:信息安全����;管理;內(nèi)涵���;現(xiàn)狀��;措施
一���、信息安全管理的內(nèi)涵
(一)信息安全管理的定義
所謂信息安全管理����,指的是一種管理和保護信息資產(chǎn)的體制��,通過指導(dǎo)�����、規(guī)范和管理等一系列活動對信息安全進行保障����,以達到保證信息的機密性��、完整性和可用性的目的��。
(二)信息安全管理的內(nèi)容
信息安全管理包括:信息安全戰(zhàn)略管理����、信息安全組織結(jié)構(gòu)、信息安全領(lǐng)導(dǎo)�、信息安全人力資源管理開發(fā)與管理、信息安全政策及法律法規(guī)��、信息安全標(biāo)準(zhǔn)與認證、信息安全等級保護�。
(三)信息安全管理的重要性
第一、信息安全管理可以使員工的信息安全意識得到強化�����,使組織的信息安全行為得到規(guī)范�����;
第二���、信息安全管理可以將組織的關(guān)鍵信息資產(chǎn)得到全面的��、系統(tǒng)的保護�����,使組織的競爭優(yōu)勢得以維持����;
第三����、當(dāng)組織的信息系統(tǒng)被惡意侵襲時�����,信息安全管理可以使組織的業(yè)務(wù)開展不受影響����,將組織的損失降到最低���;
二����、我國信息安全管理的現(xiàn)狀
(一)法律法規(guī)問題
第一��、還沒有形成一個完整性�、適用性��、針對性的完善的法律體系
現(xiàn)有法律法規(guī)僅僅調(diào)整某一個方面的問題�,缺少綜合性的信息安全法作為主導(dǎo)使之相互呼應(yīng)形成體系。因而��,在實踐中造成多環(huán)節(jié)�����、多部門分割管理的狀況,這在一定程度上造成了法律資源的嚴(yán)重浪費���。
同時���,也說明了我國現(xiàn)行的信息安全法律基本上還處于法規(guī)規(guī)章的層次上,在法律層面上的信息安全立法還比較少����,還很不完善。
第二�����、不具有開放性
法律結(jié)構(gòu)比較單一�、層次較低,難以適應(yīng)信息網(wǎng)絡(luò)技術(shù)發(fā)展的需要和不斷出現(xiàn)的信息安全問題�。
第三、缺乏兼容性
我國的信息安全按法律法規(guī)存在著許多難以同傳統(tǒng)法律原則����、法律規(guī)范協(xié)調(diào)的地方。
第四�、難以操作
如果一部法律難以操作,那么該法律就難以起到應(yīng)有的規(guī)范約束作用。我國的信息安全法律中就存在著這些問題��。如�,同一行為有多個行政處罰主體;不同法律規(guī)定的處罰幅度不一致���;行政審批部門及審批事項多等問題���。
(二)管理問題
管理包括三個層次的內(nèi)容:組織建設(shè)、制度建設(shè)和人員意識����。組織建設(shè)是指有關(guān)信息安全管理機構(gòu)的建設(shè)。信息安全的管理包括安全規(guī)劃���、風(fēng)險管理���、應(yīng)急計劃�����、安全教育培訓(xùn)���、安全系統(tǒng)的評估�����、安全認證等多方面的內(nèi)容�,因此只靠一個機構(gòu)是無法解決這些問題的。在各信息安全管理機構(gòu)之間�����,要有明確的分工��,以避免“政出多門”和“政策拉車”現(xiàn)象的發(fā)生��。明確了各機構(gòu)的職責(zé)之后���,還需要建立切實可行的規(guī)章制度����,即進行制度建設(shè)���,以保證信息安全��。如對人的管理�����,需要解決多人負責(zé)����、責(zé)任到人的問題,任期有限的問題�����,職責(zé)分離的問題�,最小權(quán)限的問題等。有了組織機構(gòu)和相應(yīng)的制度��,還需要領(lǐng)導(dǎo)的高度重視和群防群治�����,即強化人員的安全意識�,這需要信息安全意識的教育和培訓(xùn),以及對信息安全問題的高度重視�����。
(三)國家信息基礎(chǔ)設(shè)施建設(shè)問題
第一�、缺乏信息安全意識與明確的信息安全方針
大多數(shù)組織的最高管理層對信息資產(chǎn)所面臨威脅的嚴(yán)重性認識不足,或者僅局限于IT方面的安全�����,沒有形成一個合理的信息安全方針來指導(dǎo)組織的信息安全管理工作��,這表現(xiàn)為缺乏完整的信息安全管理制度��,缺乏對員工進行必要的安全法律法規(guī)和防范安全風(fēng)險的教育與培訓(xùn)�,現(xiàn)有的安全規(guī)章組織未必能嚴(yán)格實施等。
第二�、重視安全技術(shù),輕視安全管理
目前組織普遍采用現(xiàn)代通信�、計算機和網(wǎng)絡(luò)技術(shù)來構(gòu)建信息系統(tǒng),以提高組織效率與競爭能力��,但相應(yīng)的管理措施不到位�,如系統(tǒng)的運行、維護和開發(fā)等崗位不清�,職責(zé)不分,存在一人身兼數(shù)職現(xiàn)象�����。而大約70%以上的信息安全問題是由管理方面的原因造成的�����,也就是說解決信息安全問題不僅應(yīng)從技術(shù)方面著手,同時更應(yīng)加強信息安全的管理工作����。
三、加強信息安全保密工作的措施
(一)提高全體員工的保密意識
做好一個單位�����、一個部門的保密工作�,不僅是保密工作者的責(zé)任,同時也是全體工作人員的義務(wù)����。事實上,保密工作所涉及的范圍很廣�����,一張簡單的圖紙����、一份普通的文件都有可能含有涉密內(nèi)容。如果管理不善�,造成信息流失��,就可能給國家或者企事業(yè)單位造成無法挽回的損失。因此���,開展全體員工的保密知識培訓(xùn)�����,培養(yǎng)全員的保密意識���,提高他們的保密素質(zhì),也是保密工作的重要內(nèi)容之一����。
(二)提升保密工作者的自身素質(zhì)
隨著改革開放的深化和科學(xué)技術(shù)的飛速發(fā)展,保密工作所遇到的挑戰(zhàn)和困難是前所未有的���。保密工作者要嚴(yán)格執(zhí)行國家及有關(guān)部委�、我省的相關(guān)保密法規(guī)�,加強保密理論的研究,更新觀念���,與時俱進�����,在探索中學(xué)習(xí)��,在實踐中提高���,掌握新技能��,應(yīng)用科學(xué)的思想方法和領(lǐng)導(dǎo)方法��,提高觀察和處理保密工作中遇到的各種新問題的能力����,適應(yīng)新形勢發(fā)展對保密管理工作的要求���,確保信息安全����。
(三)確保經(jīng)費投入�����,保障保密工作的順利開展��。
保密經(jīng)費是為了保守國家機關(guān)或企事業(yè)單位的秘密,維護安全和利益���,用于保護秘密信息及改進保密技術(shù)�、措施和裝備等方面的經(jīng)費����。保密工作開展得好壞���,在很大程度上取決于經(jīng)費的投入�����。要確保保密專項經(jīng)費的投入���,開展保密教育活動,配備必要的保密技術(shù)檢查設(shè)備�����,這是保密工作順利開展的基礎(chǔ)��。要積極通過各種方式�����,采取各種形式開展涉密人員的保密教育培訓(xùn)。人是保密工作中最為活躍的基本要素����,保密工作隊伍的穩(wěn)定、涉密人員的業(yè)務(wù)素質(zhì)和管理水平直接影響保密工作的質(zhì)量�。必須確保保密經(jīng)費的投入,保障保密工作的順利開展和保密工作的質(zhì)量�����。
篇2
網(wǎng)絡(luò)是新生事物�,很多人在利用網(wǎng)絡(luò)學(xué)習(xí)、工作和娛樂的時候����,常常忽略網(wǎng)絡(luò)信息是否安全,他們不僅沒有認識到信息安全不足的事實����,還普遍存在安全意識淡薄的問題。與此同時��,網(wǎng)絡(luò)經(jīng)營者在安全領(lǐng)域的投入遠遠不足,他們注重的都是網(wǎng)絡(luò)的效應(yīng)�����。在面對電子政務(wù)信息安全風(fēng)險時�����,意識不到存在的風(fēng)險才是真正最難解決的問題���。值得慶幸的是,政府在發(fā)展過程中還是清楚的意識到安全問題的存在���,只是使用者對自我信息安全保護還缺乏敏感的意識�。
(二)管理體系不完善
田敏達在《電子政務(wù)信息安全策略研究》的論文中認為��,電子政務(wù)信息安全不是單純的技術(shù)問題��。如果缺乏行之有效的安全檢查保護措施���,無法從技術(shù)����、人員以及管理制度上建立電子政務(wù)信息安全防范體制,即使是再好的設(shè)備和技術(shù)也無法保證信息的安全�����。譚曉在《電子政務(wù)信息安全系統(tǒng)的設(shè)計與實現(xiàn)技術(shù)》中提出��,管理體系也是電子政務(wù)安全體系的重要組成部分�。管理作為網(wǎng)絡(luò)安全的核心,要實現(xiàn)信息安全的有效管理�,不僅需要技術(shù)手段的維護,還需要制定合理的管理制度�����,如日常系統(tǒng)操作及維護制度��、審計制度�����、文檔管理制度�、應(yīng)急響應(yīng)制度等,這樣才能發(fā)揮有效的作用��。
(三)技術(shù)存在缺陷
田敏達在《電子政務(wù)信息安全策略研究》中也提出了存在的一些問題�����,包括我國網(wǎng)絡(luò)安全技術(shù)落后、技術(shù)優(yōu)勢與相關(guān)行業(yè)脫節(jié)研究��、計算機系統(tǒng)本身的脆弱性�����、我國對發(fā)達國家信息設(shè)備和信息技術(shù)存在著很強的依賴性�。技術(shù)問題是支持電子政務(wù)信息系統(tǒng)穩(wěn)定高效運行的關(guān)鍵手段,技術(shù)的問題是可以控制的�,但是開發(fā)技術(shù),實現(xiàn)高超的技術(shù)水平卻是困難的�����。
(四)法律不健全
孟薇《電子政務(wù)信息安全研究》提出盡管一些既有的法律法規(guī)的出臺和實施對于我國電子政務(wù)信息的安全起到相當(dāng)積極的作用�����,但仍難以適應(yīng)電子政務(wù)發(fā)展的需要����,信息安全立法還存在相當(dāng)多的盲區(qū)�。在法律方面,基本的法律法規(guī)對電子政務(wù)信息安全有一定的約束作用,但是目前法律法規(guī)還存在不健全�、覆蓋有盲點、制度不協(xié)調(diào)等問題��,這些為鉆法律空缺的違法者提供了“正當(dāng)”理由����。
二、我國電子政務(wù)信息安全的防范策略
(一)增強政府部門的管理功能
對電子政務(wù)信息安全管理方面進行全方面的研究要從安全審計��、數(shù)據(jù)庫�、電子郵件系統(tǒng)、瀏覽器�、認證中心、安全產(chǎn)品的安全以及防火備份的安全管理等方面���。通過建立和完善管理部門功能��,增強管理業(yè)務(wù)操作���,防范與避免不法分子對信息管理系統(tǒng)的侵犯。
(二)加強信息安全專門人才的教育培養(yǎng)
目前��,我國信息安全系統(tǒng)及其產(chǎn)品不僅僅依靠向其他國家引進�����,而更多的是通過政府、行業(yè)以及企業(yè)在信息安全領(lǐng)域的投資開發(fā)�,設(shè)計出經(jīng)濟合理以及具有自主知識產(chǎn)權(quán)的實用產(chǎn)品和適用技術(shù)。因此�,建立信息安全產(chǎn)品技術(shù)研發(fā)的核心,即創(chuàng)造高水平的研究教育環(huán)境�����、培養(yǎng)高素質(zhì)的信息安全人才以及提高信息安全理論基礎(chǔ)知識的研究��,另外�����,科研教育基地的大力支持和投入也為其奠定了基礎(chǔ)��。
(三)設(shè)置技術(shù)的遠程訪問的控制
通過路由訪問策略和防火墻技術(shù)隔離內(nèi)網(wǎng)與外網(wǎng)��,在內(nèi)網(wǎng)與外網(wǎng)相連通時����,必須采取這樣的措施才能避免安全隱患的存在��。電子政務(wù)是開放,但又是封閉的��,如何保證相應(yīng)的客戶訪問到有權(quán)限涉及的資源�,又能夠保障對其限制的資料不被訪問,就是電子政務(wù)的設(shè)計人員必須考慮的問題����。針對此類問題,可以通過設(shè)置鑒別服務(wù)器來專門負責(zé)遠程訪問得到控制�����,至于是否設(shè)置鑒別服務(wù)器取決于該電子政務(wù)系統(tǒng)的規(guī)模����。
(四)建立技術(shù)密鑰分配中心
密鑰的設(shè)立貫穿于網(wǎng)絡(luò)的各個層次和級別,如負責(zé)訪問控制以及證書��、密鑰等安全材料的產(chǎn)生����、配置、更換和銷毀等相應(yīng)的安全管理活動���,在身份認證機制和信息加密中�����,都要使用到加密體制����,而無論什么加密體制都離不開密鑰的使用、存儲和傳輸?shù)陌踩?。因此可以通過建立密鑰分配中心負責(zé)信息加密、訪問控制中心���、安排鑒別服務(wù)器�、授權(quán)服務(wù)器等活動���。
(五)構(gòu)建完善的安全法律體系
國家的政策法律要適應(yīng)社會存在的需求和現(xiàn)實���,通過為社會信息化發(fā)展提供全方面的指導(dǎo)思想以保障和促進國家的法制建設(shè)和信息化立法制度的建設(shè)。并且能夠通過發(fā)展規(guī)范程度��,繼而實現(xiàn)更深層次的進步��,同時促進國家信息化安全的環(huán)境構(gòu)筑����,為體現(xiàn)信息安全的法制文化做出有效的行動。針對存在缺陷的法律體系構(gòu)建適合電子政務(wù)信息安全發(fā)展的法律法規(guī)�����,實現(xiàn)法律的約束�。
篇3
一、信息化的內(nèi)涵�����、信息資源的性質(zhì)及信息的安全問題
“信息化”一詞最早是由日本學(xué)者于20世紀(jì)六十年代末提出來的���。經(jīng)過40多年的發(fā)展��,信息化已成為各國社會發(fā)展的主題���。
信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì),主要表現(xiàn)在知識性��、中介性�、可轉(zhuǎn)化性、可再生性和無限應(yīng)用性�����。由于其特殊性質(zhì)造成信息資源存在可能被篡改、偽造����、竊取以及截取等安全隱患,造成信息的丟失��、泄密��,甚至造成病毒的傳播�,從而導(dǎo)致信息系統(tǒng)的不安全性,給國家的信息化建設(shè)帶來不利影響�。因此,如何保證信息安全成為亟須解決的重要問題�。
信息安全包括以下內(nèi)容:真實性,保證信息的來源真實可靠�;機密性,信息即使被截獲也無法理解其內(nèi)容�����;完整性�����,信息的內(nèi)容不會被篡改或破壞;可用性����,能夠按照用戶需要提供可用信息����;可控性,對信息的傳播及內(nèi)容具有控制能力�����;不可抵賴性��,用戶對其行為不能進行否認���;可審查性�,對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段����。與傳統(tǒng)的安全問題相比,基于網(wǎng)絡(luò)的信息安全有一些新的特點:
一是由于信息基礎(chǔ)設(shè)施的固有特點導(dǎo)致的信息安全的脆弱性��。由于因特網(wǎng)與生俱來的開放性特點��,從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開放性的特點,通過網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的�、開放的,而不是封閉的��、保密的�����。這種先天的技術(shù)弱點導(dǎo)致網(wǎng)絡(luò)易受攻擊��。
二是信息安全問題的易擴散性�。信息安全問題會隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴大。由于因特網(wǎng)的龐大系統(tǒng)����,造成了病毒極易滋生和傳播,從而導(dǎo)致信息危害�。
三是信息安全中的智能性、隱蔽性特點�。傳統(tǒng)的安全問題更多的是使用物理手段造成的破壞行為,而網(wǎng)絡(luò)環(huán)境下的安全問題常常表現(xiàn)為一種技術(shù)對抗�,對信息的破壞、竊取等都是通過技術(shù)手段實現(xiàn)的�。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束�,犯罪行為實施后對機器硬件的信息載體可以不受任何損失�,甚至不留任何痕跡�����,給偵破和定罪帶來困難��。
信息安全威脅主要來源于自然災(zāi)害���、意外事故;計算機犯罪�;人為錯誤,比如使用不當(dāng)�,安全意識差等;“黑客”行為�����;內(nèi)部泄密�;外部泄密;信息丟失�����;電子諜報�,比如信息流量分析�����、信息竊取等���;信息戰(zhàn);網(wǎng)絡(luò)協(xié)議自身缺陷����,等等。
二���、我國信息化中的信息安全問題
近年來����,隨著國家宏觀管理和支持力度的加強��、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進行�、對國際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素,我國在信息安全管理上的進展是迅速的�。但是,由于我國的信息化建設(shè)起步較晚���,相關(guān)體系不完善��,法律法規(guī)不健全等諸多因素�����,我國的信息化仍然存在不安全問題��。
1����、信息與網(wǎng)絡(luò)安全的防護能力較弱。我國的信息化建設(shè)發(fā)展迅速���,各個企業(yè)紛紛設(shè)立自己的網(wǎng)站,特別是“政府上網(wǎng)工程”全面啟動后���,各級政府已陸續(xù)設(shè)立了自己的網(wǎng)站�����,但是由于許多網(wǎng)站沒有防火墻設(shè)備��、安全審計系統(tǒng)����、入侵監(jiān)測系統(tǒng)等防護設(shè)備,整個系統(tǒng)存在著相當(dāng)大的信息安全隱患��。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報告稱�,在網(wǎng)絡(luò)黑客攻擊的國家中,中國是最大的受害國���。
2�����、對引進的國外設(shè)備和軟件缺乏有效的管理和技術(shù)改造���。由于我國信息技術(shù)水平的限制,很多單位和部門直接引進國外的信息設(shè)備�����,并不對其進行必要的監(jiān)測和改造�,從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機。3���、我國基礎(chǔ)信息產(chǎn)業(yè)薄弱�����,核心技術(shù)嚴(yán)重依賴國外���,缺乏自主創(chuàng)新產(chǎn)品�,尤其是信息安全產(chǎn)品����。我國信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國外,這使我國的網(wǎng)絡(luò)安全性能大大減弱��,被認為是易窺視和易打擊的“玻璃網(wǎng)”�。由于缺乏自主技術(shù),我國的網(wǎng)絡(luò)處于被竊聽���、干擾����、監(jiān)視和欺詐等多種信息安全威脅中���,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。
4�、信息犯罪在我國有快速發(fā)展趨勢。除了境外黑客對我國信息網(wǎng)絡(luò)進行攻擊�,國內(nèi)也有部分人利用系統(tǒng)漏洞進行網(wǎng)絡(luò)犯罪��,例如傳播病毒��、竊取他人網(wǎng)絡(luò)銀行賬號密碼等�。
5�����、在研究開發(fā)���、產(chǎn)業(yè)發(fā)展�����、人才培養(yǎng)����、隊伍建設(shè)等方面與迅速發(fā)展的形勢極不適應(yīng)�。
造成以上問題的相關(guān)因素在于:首先,我國的經(jīng)濟基礎(chǔ)薄弱����,在信息產(chǎn)業(yè)上的投入還是不足,尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識。其次�����,全民信息安全意識淡薄�,警惕性不高。大多數(shù)計算機用戶都曾被病毒感染過��,并且病毒的重復(fù)感染率相當(dāng)高���。
除此之外�����,我國目前信息技術(shù)領(lǐng)域的不安全局面�,也與西方發(fā)達國家對我國的技術(shù)輸出進行控制有關(guān)��。
三��、相關(guān)解決措施
針對我國信息安全存在的問題����,要實現(xiàn)信息安全不但要靠先進的技術(shù)����,還要有嚴(yán)格的法律法規(guī)和信息安全教育�。
1����、加強全民信息安全教育,提高警惕性�。從小做起,從己做起���,有效利用各種信息安全防護設(shè)備���,保證個人的信息安全,提高整個系統(tǒng)的安全防護能力����,從而促進整個系統(tǒng)的信息安全。
2�����、發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)�,加大信息產(chǎn)業(yè)投入。增強自主創(chuàng)新意識���,加大核心技術(shù)的研發(fā)����,尤其是信息安全產(chǎn)品,減小對國外產(chǎn)品的依賴程度����。
3、創(chuàng)造良好的信息化安全支撐環(huán)境���。完善我國信息安全的法規(guī)體系����,制定相關(guān)的法律法規(guī)�,例如信息安全法、數(shù)字簽名法����、電子信息犯罪法、電子信息出版法��、電子信息知識產(chǎn)權(quán)保護法�、電子信息個人隱私法、電子信息進出境法等��,加大對網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度��,對其進行嚴(yán)厲的懲處���。
4��、高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)��。為了在高技術(shù)環(huán)境下發(fā)展自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)����,應(yīng)大力培養(yǎng)信息安全專業(yè)人才���,建立信息安全人才培養(yǎng)體系�。
篇4
一��、信息化的內(nèi)涵�����、信息資源的性質(zhì)及信息的安全問題
“信息化”一詞最早是由日本學(xué)者于20世紀(jì)六十年代末提出來的��。經(jīng)過40多年的發(fā)展����,信息化已成為各國社會發(fā)展的主題�。
信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì)���,主要表現(xiàn)在知識性�、中介性�����、可轉(zhuǎn)化性�、可再生性和無限應(yīng)用性。由于其特殊性質(zhì)造成信息資源存在可能被篡改�、偽造、竊取以及截取等安全隱患����,造成信息的丟失、泄密����,甚至造成病毒的傳播,從而導(dǎo)致信息系統(tǒng)的不安全性�����,給國家的信息化建設(shè)帶來不利影響。因此��,如何保證信息安全成為亟須解決的重要問題���。
信息安全包括以下內(nèi)容:真實性,保證信息的來源真實可靠�;機密性,信息即使被截獲也無法理解其內(nèi)容����;完整性,信息的內(nèi)容不會被篡改或破壞���;可用性��,能夠按照用戶需要提供可用信息�����;可控性�,對信息的傳播及內(nèi)容具有控制能力�����;不可抵賴性,用戶對其行為不能進行否認���;可審查性����,對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段��。與傳統(tǒng)的安全問題相比�����,基于網(wǎng)絡(luò)的信息安全有一些新的特點:
一是由于信息基礎(chǔ)設(shè)施的固有特點導(dǎo)致的信息安全的脆弱性��。由于因特網(wǎng)與生俱來的開放性特點��,從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開放性的特點�����,通過網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的��、開放的����,而不是封閉的���、保密的。這種先天的技術(shù)弱點導(dǎo)致網(wǎng)絡(luò)易受攻擊���。
二是信息安全問題的易擴散性�。信息安全問題會隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴大�����。由于因特網(wǎng)的龐大系統(tǒng),造成了病毒極易滋生和傳播����,從而導(dǎo)致信息危害。
三是信息安全中的智能性��、隱蔽性特點�����。傳統(tǒng)的安全問題更多的是使用物理手段造成的破壞行為����,而網(wǎng)絡(luò)環(huán)境下的安全問題常常表現(xiàn)為一種技術(shù)對抗�,對信息的破壞����、竊取等都是通過技術(shù)手段實現(xiàn)的。而且這樣的破壞甚至攻擊也是“無形”的�����,不受時間和地點的約束����,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡����,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災(zāi)害�、意外事故;計算機犯罪����;人為錯誤,比如使用不當(dāng)���,安全意識差等����;“黑客”行為;內(nèi)部泄密�;外部泄密;信息丟失��;電子諜報�����,比如信息流量分析���、信息竊取等;信息戰(zhàn)�����;網(wǎng)絡(luò)協(xié)議自身缺陷���,等等����。
二、我國信息化中的信息安全問題
近年來����,隨著國家宏觀管理和支持力度的加強、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進行�����、對國際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素�,我國在信息安全管理上的進展是迅速的。但是�����,由于我國的信息化建設(shè)起步較晚���,相關(guān)體系不完善���,法律法規(guī)不健全等諸多因素,我國的信息化仍然存在不安全問題���。
1�、信息與網(wǎng)絡(luò)安全的防護能力較弱��。我國的信息化建設(shè)發(fā)展迅速,各個企業(yè)紛紛設(shè)立自己的網(wǎng)站�,特別是“政府上網(wǎng)工程”全面啟動后,各級政府已陸續(xù)設(shè)立了自己的網(wǎng)站�,但是由于許多網(wǎng)站沒有防火墻設(shè)備、安全審計系統(tǒng)�����、入侵監(jiān)測系統(tǒng)等防護設(shè)備�,整個系統(tǒng)存在著相當(dāng)大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報告稱��,在網(wǎng)絡(luò)黑客攻擊的國家中���,中國是最大的受害國���。
2、對引進的國外設(shè)備和軟件缺乏有效的管理和技術(shù)改造�。由于我國信息技術(shù)水平的限制��,很多單位和部門直接引進國外的信息設(shè)備����,并不對其進行必要的監(jiān)測和改造,從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機。
3�、我國基礎(chǔ)信息產(chǎn)業(yè)薄弱,核心技術(shù)嚴(yán)重依賴國外�,缺乏自主創(chuàng)新產(chǎn)品,尤其是信息安全產(chǎn)品�����。我國信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國外��,這使我國的網(wǎng)絡(luò)安全性能大大減弱�����,被認為是易窺視和易打擊的“玻璃網(wǎng)”��。由于缺乏自主技術(shù)�����,我國的網(wǎng)絡(luò)處于被竊聽�、干擾、監(jiān)視和欺詐等多種信息安全威脅中�����,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。
4����、信息犯罪在我國有快速發(fā)展趨勢。除了境外黑客對我國信息網(wǎng)絡(luò)進行攻擊��,國內(nèi)也有部分人利用系統(tǒng)漏洞進行網(wǎng)絡(luò)犯罪�����,例如傳播病毒��、竊取他人網(wǎng)絡(luò)銀行賬號密碼等�����。
5�、在研究開發(fā)、產(chǎn)業(yè)發(fā)展�����、人才培養(yǎng)�����、隊伍建設(shè)等方面與迅速發(fā)展的形勢極不適應(yīng)�����。
造成以上問題的相關(guān)因素在于:首先���,我國的經(jīng)濟基礎(chǔ)薄弱�����,在信息產(chǎn)業(yè)上的投入還是不足�,尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識����。其次,全民信息安全意識淡薄�����,警惕性不高�����。大多數(shù)計算機用戶都曾被病毒感染過��,并且病毒的重復(fù)感染率相當(dāng)高。
除此之外�,我國目前信息技術(shù)領(lǐng)域的不安全局面,也與西方發(fā)達國家對我國的技術(shù)輸出進行控制有關(guān)�。
三、相關(guān)解決措施
針對我國信息安全存在的問題���,要實現(xiàn)信息安全不但要靠先進的技術(shù)�,還要有嚴(yán)格的法律法規(guī)和信息安全教育�。
1、加強全民信息安全教育���,提高警惕性�����。從小做起�����,從己做起�,有效利用各種信息安全防護設(shè)備����,保證個人的信息安全����,提高整個系統(tǒng)的安全防護能力�,從而促進整個系統(tǒng)的信息安全�����。超級秘書網(wǎng)
2�����、發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)���,加大信息產(chǎn)業(yè)投入���。增強自主創(chuàng)新意識,加大核心技術(shù)的研發(fā)����,尤其是信息安全產(chǎn)品,減小對國外產(chǎn)品的依賴程度�����。
3、創(chuàng)造良好的信息化安全支撐環(huán)境�����。完善我國信息安全的法規(guī)體系���,制定相關(guān)的法律法規(guī)��,例如信息安全法�、數(shù)字簽名法��、電子信息犯罪法���、電子信息出版法�、電子信息知識產(chǎn)權(quán)保護法��、電子信息個人隱私法�、電子信息進出境法等,加大對網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度��,對其進行嚴(yán)厲的懲處�。
4、高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)。為了在高技術(shù)環(huán)境下發(fā)展自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)���,應(yīng)大力培養(yǎng)信息安全專業(yè)人才�,建立信息安全人才培養(yǎng)體系���。
篇5
近年來,我國資本市場發(fā)展迅速���,市場規(guī)模不斷擴大���,社會影響力不斷增強.成為國民經(jīng)濟巾的重要組成部分,也成為老百姓重要的投資理財渠道��。資本市場的穩(wěn)定健康發(fā)展����,關(guān)系著億萬投資者的切身利益,關(guān)系著社會穩(wěn)定和國家金融安全的大局�����。證券行業(yè)作為金融服務(wù)業(yè)��,高度依賴信息技術(shù),而信息安全是維護資本市場穩(wěn)定的前提和基礎(chǔ)����。沒有信息安全就沒有資本市場的穩(wěn)定。
目前.國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出�����。從資本市場看����,近年來,隨著市場快速發(fā)展�����,改革創(chuàng)新深入推進��,市場交易模式日趨集巾化��,業(yè)務(wù)處理邏輯日益復(fù)雜化����,網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)���、震災(zāi)等自然災(zāi)害都對行業(yè)信息系統(tǒng)的連續(xù)��、穩(wěn)定運行帶來新的挑戰(zhàn)�����。資本市場交易實時性和整體性強����,交易時問內(nèi)一刻也不能中斷。加強信息安全應(yīng)急丁作��,積極采取預(yù)防�����、預(yù)警措施���,快速、穩(wěn)妥地處置信息安全事件���,盡力減少事故損失�����,全力維護交易正常��,對于資本市場來說至關(guān)重要��。
1 證券行業(yè)倍息安全現(xiàn)狀和存在的問題
1.1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面
健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)�。是信息安全的第一道防線。為促進證券市場的平穩(wěn)運行��,中國證監(jiān)會自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)����。其中包括2個信息技術(shù)管理規(guī)范、2個信息安全等級保護通知�����、1個信息安全保障辦法��、1個信息通報方法和10個行業(yè)技術(shù)標(biāo)準(zhǔn)��。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成�����,推動了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化���、標(biāo)準(zhǔn)化邁進�����。
雖然我國涉及信息安全的規(guī)范性文件眾多����,但在現(xiàn)行的法律法規(guī)中。立法主體較多���,法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃�����。面對新形勢下信息安全保障工作的發(fā)展需要,行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問題也逐漸顯現(xiàn)����。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后,缺乏總體規(guī)劃��;二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強�����,部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差;三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng)���,無法應(yīng)對某些新型信息安全的威脅���;四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術(shù)手段都離不開人員的組織和實施�����,組織體系是信息安全保障工作的核心��。目前���,證券行業(yè)采用“統(tǒng)一組織�����、分工有序”的信息安全工作體系�����,分為決策層��、管理層����、執(zhí)行層。
為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)����,建立健全信息安全管理制度和運行機制,切實提高行業(yè)信息安全保障工作水平����,根據(jù)證監(jiān)會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》,參照iso/iec27001:2005�����,提出證券期貨業(yè)信息安全保障管理體系框架���。該體系框架采用立方體架構(gòu).頂面是信息安全保障的7個目標(biāo)(機密性���、完整性����、可用性、真實性����、可審計性��、抗抵賴性���、可靠性),正面是行業(yè)組織結(jié)構(gòu).側(cè)面是各個機構(gòu)為實現(xiàn)信息安全保障目標(biāo)所采取的措施和方式����。
1.3 it治理方面
整個證券業(yè)處于高度信息化的背景下,it治理已直接影響到行業(yè)各公司實現(xiàn)戰(zhàn)略目標(biāo)的可能性����,良好的it治理有助于增強公司靈活性和創(chuàng)新能力,規(guī)避it風(fēng)險�����。通過建立it治理機制����,可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理it問題��,自我評估it管理效果.可以加強對信息化項目的有效管理,保證信息化項目建設(shè)的質(zhì)量和應(yīng)用效果�����,使有限的投入取得更大的績效���。
2003年lt治理理念引入到我國證券行業(yè)�����,當(dāng)前我國證券業(yè)企業(yè)的it治理存在的問題:一是it資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視�����,但具體情況不清楚����;二是it治理缺乏明確的概念描述和參數(shù)指標(biāo)����;是lt治理的責(zé)任與職能不清晰。
1.4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面
隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富���、完善和使用的便利性,網(wǎng)上交易正逐漸成為證券投資者交易的主流模式����。據(jù)統(tǒng)計���,2008年我同證券網(wǎng)上交易量比重已超過總交易量的80%。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接���,方便了投資者��。但由于互聯(lián)網(wǎng)的開放性�,來自互聯(lián)網(wǎng)上的病毒����、小馬、黑客攻擊以及計算機威脅事件����,都時刻威脅著行業(yè)的信息系統(tǒng)安全,成為制約行業(yè)平穩(wěn)�、安全發(fā)展的障礙。此�����,維護網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來���,證券行業(yè)各機構(gòu)采取了一系列措施�����,建立了相對安全的網(wǎng)絡(luò)安全防護體系和災(zāi)舴備份系統(tǒng)�����,基木保障了信息系統(tǒng)的安全運行��。但細追究起來�����,我國證券行業(yè)的網(wǎng)絡(luò)安全防護體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善��,還存存以下幾方面的問題:一是網(wǎng)絡(luò)安全防護體系缺乏統(tǒng)一的規(guī)劃����;二是網(wǎng)絡(luò)訪問控制措施有待完善�����;三是網(wǎng)上交易防護能力有待加強;四是對數(shù)據(jù)安全重視不夠��,數(shù)據(jù)備份措施有待改進�;五是技術(shù)人員的專業(yè)能力和信息安全意識有待提高��。
1.5 it人才資源建設(shè)方面
近20年的發(fā)展歷程巾�,證券行業(yè)對信息系統(tǒng)日益依賴,行業(yè)it隊伍此不斷發(fā)展壯大�。據(jù)統(tǒng)計,2008年初���,在整個證券行業(yè)中����,103家證券公司共有it人員7325人��,占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9.90%��,總體上達到了行業(yè)協(xié)會的it治理工作指引中“it工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6%”的最低要求���。目前�����,證券行業(yè)的it隊伍肩負著信息系統(tǒng)安全��、平穩(wěn)���、高效運行的重任�����,it隊伍建設(shè)是行業(yè)信息安全it作的根本保障�����。但是���,it人才隊伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題����,此行業(yè)的人才培養(yǎng)有待加強。
2 采取的對策和措施
2.1進一步完善法規(guī)和標(biāo)準(zhǔn)體系
首先�����,在法規(guī)規(guī)劃上����,要統(tǒng)籌兼顧����,制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架�。一是全面做好立法規(guī)劃;二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次����。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層:第一層是管理辦法等巾同證監(jiān)會部門規(guī)章��;第二層是證監(jiān)會相關(guān)部門制定的管理規(guī)范等規(guī)范性文件�����;第三層是技術(shù)指引等自律規(guī)則��,一般由交易所��、行業(yè)協(xié)會在證監(jiān)會總體協(xié)調(diào)下組織制定���。其次��,在法規(guī)制定上.要兼顧規(guī)范和發(fā)展���,重視法規(guī)的可行性��。最后�����,在法規(guī)實施上.要堅持規(guī)范和指引相結(jié)合�����,重視監(jiān)督檢查和責(zé)任落實�����。
2.2深入開展證券行業(yè)it治理工作
2.2.1提高it治理意識
中國證券業(yè)協(xié)會要進一步加強it治理理念的教育宣傳工作�,特別是對會員單位高層領(lǐng)導(dǎo)的it治理培訓(xùn)����,將it治理的定義、工具����、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇��、交流會等形式強化證券經(jīng)營機構(gòu)的it治理意識,提高他們it治理的積極性���。
2.2.2通過設(shè)立it治理試點形成以點帶面的示范效應(yīng)
根據(jù)it治理模型的不同特點�,建議證券公司在決策層使用cisr模型���,通過成立lt治理委員會�����,建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系����;在執(zhí)行層以cobit模型、itfl模型等其他模型為補充��,規(guī)范信息技術(shù)部門的各項控制和管理流程���。同時��,證監(jiān)會指定一批證券公司和基金公司作為lt試點單位��,進行it治理模型選擇���、剪裁以及組合的實踐探索��,形成一批成功實施it治理的優(yōu)秀范例�����,以點帶面地提升全行業(yè)的治理水平��。
2.3通過制定行業(yè)標(biāo)準(zhǔn)積極落實信息安全等級保護
行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護工作中的作用非常關(guān)鍵.應(yīng)進一步明確監(jiān)管部門推動行業(yè)信息安全等級保護工作的任務(wù)和工作機制�,統(tǒng)一部署����、組織行業(yè)的等級保護丁作,為該項丁作的順利開展提供組織保證��。行業(yè)各機構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級保護的行業(yè)要求��,對照標(biāo)準(zhǔn)逐條落實�。同時,應(yīng)對各單位實施信息系統(tǒng)安全等級保護情況進行測評�����,在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足,被測評單位應(yīng)立即制定相應(yīng)的整改方案并實施.且南相芙的監(jiān)督機構(gòu)進行督促��。
2.4加強網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護水平
2.4.1以等級保護為依據(jù)進行統(tǒng)籌規(guī)劃
等級保護是圍繞信息安全保障全過程的一項基礎(chǔ)性的管理制度��,通過將等級化的方法和安全體系規(guī)劃有效結(jié)合�,統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè),建立一套信息安全保障體系�,將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個非常有效的方法。
2.4.2通過加強網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護能力
對向證券行業(yè)提供設(shè)備�����、技術(shù)和服務(wù)的it公司的資質(zhì)和誠信加強管理���,確保其符合國家�����、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求��,要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)���、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)���、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離��。技術(shù)上可以對不同的業(yè)務(wù)安全區(qū)域劃分vlan或者采用網(wǎng)閘設(shè)備進行隔離��;對主要的網(wǎng)絡(luò)邊界和各外部進口進行滲透測試�����,進行系統(tǒng)和設(shè)備的安全加固.降低系統(tǒng)漏洞帶來的安全風(fēng)險�����;在網(wǎng)上交易方面��,采取電子簽名或數(shù)字認證等高強度認證方式��,加強訪問控制����;針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況���,要采取措施加強網(wǎng)站保護���,提高對惡意代碼的防護能力,同時采用技術(shù)手段,提高網(wǎng)上交易客戶端軟件使朋的安全性���。
2.4.3提高從業(yè)人員安全意識和專業(yè)水平
目前在證券行業(yè)內(nèi)��,從業(yè)人員的網(wǎng)絡(luò)安全意識比較薄弱.必要時可定期對從業(yè)人員進行安全意識考核��,從行業(yè)內(nèi)部強化網(wǎng)絡(luò)安全工作�����。要加強網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn)����,提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平����。
2.5扎實推進行業(yè)災(zāi)難備份建設(shè)
數(shù)據(jù)的安全對證券行業(yè)是至關(guān)重要的,數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的��。無論是美國的“9·11”事件���,還是我國2008年南方冰雪災(zāi)害和四川汶川大地震,都敲響了災(zāi)難備份的警鐘�。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗的基礎(chǔ)上,針對自身需要,對重要系統(tǒng)開展災(zāi)難備份建設(shè)�。要繼續(xù)推進證券、基金公司同城災(zāi)難備份建設(shè)�,以及證券交易所、結(jié)算公司等市場核心機構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)�����。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案�����,并加強應(yīng)急預(yù)案的演練����,確保災(zāi)難備份系統(tǒng)應(yīng)急有效.使應(yīng)急工作與日常工作有機結(jié)合。
2.6抓好人才隊伍建設(shè)
篇6
2緒論
伴隨著互聯(lián)網(wǎng)和信息技術(shù)的飛速發(fā)展�,電子商務(wù)從零到有,并逐步向高水平����、規(guī)范化發(fā)展。十年來中國電子商務(wù)始終保持40-50%的高速發(fā)展����,2009年的中國電子商務(wù)并為受到全球金融危機的影響�,相反卻在金融危機中爆發(fā)出更強的生命力和適應(yīng)力���。2009年中國電子商務(wù)市場規(guī)模超過35000億元����,同比增長48.5%����,高于2008年的41.2%。
電子商務(wù)的安全法律是指為了保障電子商務(wù)在交易過程中的安全性��,由國家政府相關(guān)部門出臺的對交易過程進行保護的法律����。目前,我國就電子商務(wù)安全問題已經(jīng)進行了初步的法律立項實施�����,但是依然存在較大的漏洞和隱患�,需要國家相關(guān)部門進一步加強。
安全管理是有效降低我國電子商務(wù)交易過程中存在風(fēng)險的重要手段���,特別是在交易過程中�����,交易雙方進行電子合同簽訂���,安全中心不僅要監(jiān)督買方的及時付款,同時還要監(jiān)督賣方是否提供與合同一致的貨物�����。在這些交易環(huán)節(jié)中�,由于網(wǎng)絡(luò)虛擬交易的緣故,存在非常大的安全管理隱患���。為了有效防止這些安全隱患的爆發(fā)��,降低風(fēng)險帶來的損失和傷害�,需要國家政府出善的法律保護制度�,形成一套互相關(guān)聯(lián)、互相約束的管理制度體系���。
3.電子商務(wù)安全
3.1電子商務(wù)安全概述
電子商務(wù)的運行和交易是基于計算機網(wǎng)絡(luò)平臺而展開的����,所以安全問題大體上可以分為計算機網(wǎng)絡(luò)安全和電子商務(wù)系統(tǒng)本身交易安全。沒有網(wǎng)絡(luò)���,電子商務(wù)就不可能存在���,網(wǎng)絡(luò)作為基礎(chǔ),其安全性與電子商務(wù)安關(guān)系密切���,在網(wǎng)絡(luò)安全的前提下���,電子商務(wù)系統(tǒng)特有的設(shè)計加以保障,兩者相輔相成實現(xiàn)電子商務(wù)的整體安全�����。通俗的說��,電子商務(wù)的安全就是“電子”和“商務(wù)”雙重要求下的安全�。
3.2國內(nèi)電子商務(wù)安全問題現(xiàn)狀
3.2.1信息安全環(huán)境
2010年,由中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)和國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)在京聯(lián)合的《2009年中國網(wǎng)民網(wǎng)絡(luò)信息安全狀況調(diào)查系列報告》中顯示�����,2009年��,52%的網(wǎng)民曾遭遇過網(wǎng)絡(luò)安全事件,網(wǎng)民處理安全事件所支出的相關(guān)服務(wù)費用共計153億元人民幣�。電子商務(wù)發(fā)展所面臨的信息安全問題嚴(yán)重。根據(jù)相關(guān)調(diào)查顯示��,90%以上的網(wǎng)民計算機遭遇過病毒�、木馬����、黑客的攻擊,電子商務(wù)交易的安全環(huán)境已經(jīng)受到了嚴(yán)重影響���。
3.2.2技術(shù)與意識現(xiàn)狀
電子商務(wù)的安全需要信息技術(shù)和使用者意識的同步跟進和提高�,才能使交易真正安全�����。目前國內(nèi)兩方面因素同時存在����,導(dǎo)致電子商務(wù)交易安全性下降。一是技術(shù)方面:國內(nèi)防御殺毒軟件整體水平較低���,查殺效率和效果不佳��,部分電子商務(wù)平臺設(shè)計存在缺陷��,為電子交易安全埋下隱患��。二是網(wǎng)民�����、使用者意識方面:相比于高發(fā)的網(wǎng)絡(luò)安全事件���,仍有4.4%的網(wǎng)民個人計算機未安裝任何安全軟件����;不足8%的手機網(wǎng)民安裝手機安全防護軟件�,網(wǎng)民安全意識仍有待進一步提升;
盜版軟件使用泛濫�;軟件認知低,不懂得區(qū)分使用�;交易雙方欠缺誠信,即使交易在設(shè)計較為完善的電子商務(wù)平臺上進行���,依然存在欺騙行為��。
3.2.3電子商務(wù)誠信環(huán)境
隨著互聯(lián)網(wǎng)的發(fā)展��,網(wǎng)絡(luò)購物(B2B��、B2C)作為電子商務(wù)的其中分支之一�,已經(jīng)成為了一種消費時尚、熱門購物渠道�。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心的數(shù)據(jù)顯示:2009年我國網(wǎng)購市場交易規(guī)模為2500億元,較2008年翻了一番�。而2010年網(wǎng)絡(luò)購物的市場規(guī)模應(yīng)該已超過4300億元�。網(wǎng)購人群也大幅度增長,2009年至少在網(wǎng)上買過一次東西的中國網(wǎng)民數(shù)歷史性地突破了1億人����,達到1.08億人,增長46%�����。而在2010年��,使用過網(wǎng)絡(luò)購物的互聯(lián)網(wǎng)用戶更是接近2億人����。網(wǎng)絡(luò)購物已經(jīng)成為發(fā)展最迅速,與網(wǎng)民利益最相關(guān)的網(wǎng)絡(luò)應(yīng)用。
與此相比����,電子商務(wù)誠信環(huán)境卻不如人意,甚至隨著電子商務(wù)的發(fā)展而出現(xiàn)惡化的局勢�。2010年,有近28%的互聯(lián)網(wǎng)用戶遭遇過虛假釣魚網(wǎng)站��、詐騙交易����、交易劫持、網(wǎng)銀被盜等針對網(wǎng)絡(luò)購物的安全攻擊�����。目前對我國網(wǎng)絡(luò)購物用戶威脅影響最嚴(yán)重的還是釣魚網(wǎng)站���,在網(wǎng)購用戶所遭遇的安全威脅中有72.4%是釣魚網(wǎng)站的欺騙行為����,2010年1-10月�,平均每天新增的與網(wǎng)絡(luò)購物相關(guān)的釣魚網(wǎng)站約為1500個。釣魚網(wǎng)站的典型的詐騙方式主要分為三大類:低價誘惑��、交談詐騙、電話詐騙��。
3.2.4電子商務(wù)信用管理現(xiàn)狀
因為電子商務(wù)交易的特殊性���,交易雙方不曾謀面����,所以關(guān)于電子商務(wù)的信用管理就顯得尤為重要���。為防止電子商務(wù)的欺詐行為給網(wǎng)民帶來經(jīng)濟上的損失�,網(wǎng)絡(luò)企業(yè)以及第三方電子商務(wù)平臺都相繼實行信譽管理方法��,如信譽評價和信譽等級系統(tǒng)的建立�����,網(wǎng)絡(luò)誠信公約(自律)等等�����,但由于電子商務(wù)發(fā)展較晚����,管理經(jīng)驗不足,這些方法和系統(tǒng)存在較多的問題����,有待提升。如中國電子商務(wù)誠信評價中心推出“中國電子商務(wù)誠信評價規(guī)范”����,其中的誠信紅藍標(biāo)識制度,認知度極低����,據(jù)調(diào)查發(fā)現(xiàn),有97%人不知紅藍標(biāo)識的含義��。就目前而言��,在線信譽評估���、等級系統(tǒng)�����,在設(shè)計完善的提前下�,可以較為有效的降低了交易風(fēng)險��,因為其交易雙方的歷史信用表現(xiàn),信用等級都是公開信息�,可以作為買賣雙方交易選擇的參考,且其失信成本遠遠大于其利益獲得�,好的信用必然可以提升銷售量,這也從側(cè)面迫使銷售者提供最好的服務(wù)���,避免了雙方欺詐行為��。交易講究的誠信�����,信譽系統(tǒng)能最有效地維持雙方可信的商務(wù)關(guān)系���。如目前國內(nèi)最大的網(wǎng)購平臺淘寶網(wǎng),它的網(wǎng)商信譽評價和信譽等級系統(tǒng)相對成熟�,這種評價系統(tǒng)“為消費者提供了誠信、安全的購物保障�����,大大提升了網(wǎng)絡(luò)購物體驗”����。但它依然存在相當(dāng)多的問題,信用評價流程不合理����,在買到相對低劣的產(chǎn)品時,你選擇退貨的同時就喪失了評價的權(quán)利��,兩者只能選其一����,那到底是留著不需要的產(chǎn)品而去評價,還是選擇退貨�����?惡意中差評現(xiàn)象猖獗�����,甚至出現(xiàn)惡意差評師這一職業(yè)���,嚴(yán)重影響公平競爭�����。另外對于返修產(chǎn)品缺乏保障��,筆者就遇到過產(chǎn)品寄回返修�����,遲遲沒有反應(yīng)���,損害消費者利益�����。信用可信度有待驗證�����,專業(yè)刷鉆組織的出現(xiàn)��,使得信用體系的可靠性降低�����。
4電子商務(wù)安全立法現(xiàn)狀
電子商務(wù)因其帶來的經(jīng)濟效益和流行發(fā)展趨勢而備受關(guān)注���,其安全立法問題也得到了國際性組織和各國政府的高度重視,盡快營造全球范圍內(nèi)的電子商務(wù)安全法律環(huán)境已成為國際社會的共識�。要創(chuàng)造一個適應(yīng)和規(guī)范電子商務(wù)安全交易�、發(fā)展的法律境,政府部門職責(zé)首當(dāng)其沖�����,在電子商務(wù)發(fā)展的監(jiān)管和安全立法中發(fā)揮其主導(dǎo)作用���。及時了解電子商務(wù)即時情況����,制定出臺相應(yīng)的安全保障法律法規(guī),鼓勵����、引導(dǎo)、電子商務(wù)健康發(fā)展,規(guī)范�、維持必要的網(wǎng)絡(luò)市場秩序,這已經(jīng)成為當(dāng)前世界各國立法工作的重要任務(wù)�����。電子商務(wù)的廣泛性和無界性使得世界各國紛紛出臺相應(yīng)法律��、行為準(zhǔn)則和規(guī)范辦法來推動本國電子商務(wù)安全���、健康的發(fā)展�,旨在抓住信息技術(shù)的機遇,提高自身競爭力,從而會的優(yōu)勢,同時也減少電子商務(wù)的交易糾紛��、欺詐行為����,保障了交易的安全性,為電子商務(wù)在全球范圍內(nèi)的發(fā)展掃平障礙。
4.1當(dāng)前電子商務(wù)安全法律���、制度尚不完善
電子商務(wù)因其基礎(chǔ)網(wǎng)絡(luò)這個開放又隱蔽的環(huán)境����,而顯得比較特殊�����,其商貿(mào)交易行為需要有專門的法律來規(guī)范和秩序的維持�,目前我國已經(jīng)相繼出臺了部分法律法規(guī)、行為準(zhǔn)則�����,設(shè)立了相應(yīng)的部門來規(guī)范�、監(jiān)管和保證電子商務(wù)的安全。但與國際電子商務(wù)立法現(xiàn)狀和國內(nèi)電子商務(wù)現(xiàn)實狀況相比,顯得比較尷尬���。我國電子商務(wù)安全法律體系仍然存在較多空白,強針對性的立法需要加快�����,先行法規(guī)則亟需進一步改進和完善�。電子商務(wù)安全法律的不足之處有:電子交易流程行為規(guī)范、用戶隱私保護���、法律效力不足�,法律滯后�,情況描述不清,沒有有效懲戒措施�,難以對電子商務(wù)中的失信者和破壞者造成較強的約束力。因此強快電子商務(wù)安全法律立法和改進已經(jīng)迫在眉睫����。
4.2現(xiàn)有電子商務(wù)安全法律
現(xiàn)行電子商務(wù)安全法律,具有較強針對性質(zhì)的較少�,大多分散各類法規(guī)之中,或是零星提及電子交易安全問題�����,目前電子商務(wù)交易安全的法律法規(guī)主要有以下四類:
(1)綜合性的法律。如:《民法通則》和《刑法》中有關(guān)對商貿(mào)交易的安全保障條文��。
(2)對交易主體進行規(guī)范的相關(guān)法律�����。如《公司法》����、《國有企業(yè)法》、《集體企業(yè)法》���、《私營企業(yè)法》���、《外資企業(yè)法》等;
(3)規(guī)范交易行為的有關(guān)法律�����,包括經(jīng)濟合同法��、產(chǎn)品質(zhì)量法�����、價格法、消費者權(quán)益保障法�,反不正當(dāng)競爭法等等
(4)對監(jiān)督交易行為進行規(guī)范的法律,如會計法��、票據(jù)法�、銀行法等�����。
國務(wù)院頒布的《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》和公安部頒發(fā)的《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》是兩個對電子商務(wù)具有重大影響的行政法規(guī)��。
另外《中華人民共和國電子簽名法》的頒布也具有重要意義��。該法賦予電子簽名與手寫簽名或蓋章具有同等的法律效力����,明確了電子認證服務(wù)的市場準(zhǔn)入制度,標(biāo)志著我國的信息化立法邁出重要步伐�。
4.3電子商務(wù)安全立法困難的原因
電子商務(wù)發(fā)展壯大為商貿(mào)交易帶來極大便捷和迅速優(yōu)越性,成為了經(jīng)濟的強勁增長點�,為全球經(jīng)濟的發(fā)展?fàn)I造了良好的氛圍,與此同時,因為其特點�,也對社會各個領(lǐng)域特別是立法帶來了困難和壓力����。
首先電子商務(wù)的立法���,需要考慮國家和地區(qū)之間的差異�����,協(xié)調(diào)困難��。電子商務(wù)基于網(wǎng)絡(luò)���,而網(wǎng)絡(luò)卻已經(jīng)全球聯(lián)通、跨越了地域的界限����。它所面對的不只是一個地區(qū)、一個國家的市場,而是全球一體化的大市場�����。各國由于社會制度����、政治狀況�����、經(jīng)濟發(fā)展程度等不同而導(dǎo)致了現(xiàn)行法律法規(guī)的不同����,要制定可以有效協(xié)調(diào)���、高度一體化的商業(yè)和法律規(guī)則,談何容易�����。
其次是電子商務(wù)交易處理、傳輸?shù)膶嵸|(zhì)就是對信號脈沖的傳輸和對數(shù)字流的處理,這種虛擬的平臺上��,雙方的不曾謀面����,使得信息資源對商家的商業(yè)信用提出了更高的要求。在信息得到廣泛傳播的同時,由于互聯(lián)網(wǎng)既開放又隱蔽的特性使得信息的真?zhèn)斡写炞C����,惡意的攻擊、惡意的失信難以發(fā)現(xiàn)�,即使發(fā)現(xiàn)也難以揪出終端背后的那個失信或破壞者�����,有法難斷或者有法卻找不到應(yīng)受懲罰的人����,而且對于包括制作版權(quán)�、著作權(quán)、商標(biāo)使用權(quán)����、數(shù)據(jù)庫等在內(nèi)的知識產(chǎn)權(quán)保護也成為無法回避的問題。電子商務(wù)橫跨領(lǐng)域之廣���、利益關(guān)聯(lián)群體之多��,和其有別于傳統(tǒng)商務(wù)模式的無形化給稅收體制及稅收管理模式也帶來了巨大的挑戰(zhàn)�。
再次,電子信息領(lǐng)域���,技術(shù)日新月異���,電子商務(wù)領(lǐng)域的技術(shù)進步速度已經(jīng)超國家適時地調(diào)整其法律框架的能力。法律的變革無法做到像電子技術(shù)更新一樣的快,也由于新的意想不到的問題的不斷出現(xiàn)��,使得適時的法律調(diào)整總跟不上電子商務(wù)高速發(fā)展的步伐。這是需要我們對于現(xiàn)行法律框架從根本上進行反思�����,困難而想而知���。
5電子商務(wù)安全立法的對策研究
5.1電子商務(wù)安全需求分析
5.1.1主要內(nèi)容
電子商務(wù)是網(wǎng)上公開直接虛擬交易的商務(wù)模式�,它直接通過網(wǎng)絡(luò)進行交易�、支付、談判��、下單等���,在這個過程中蘊藏了大量的商務(wù)信息,所以��,電子商務(wù)的安全問題引起了網(wǎng)民����、企業(yè)、行業(yè)��、國家的廣泛觀眾��。根據(jù)電子商務(wù)的交易模式以及重要性分析,電子商務(wù)的安全需求主要包括以下幾個方面:
1���、信息的完整性�����;
2�����、信息的保密性����;
3�����、信息的不可否認性���;
4�、交易雙方的真實身份信息��;
5、系統(tǒng)的可靠性����;
6、資金的安全性�����。
5.1.2涉及領(lǐng)域
通過吸收國外成功的經(jīng)驗���,結(jié)合我國自身電子商務(wù)發(fā)展特色以及社會主義國情特色����,我國電子商務(wù)安全性的立法主要涉及以下幾大方面:
1��、保護消費者的合法權(quán)益��;
2���、交易雙方的個人真實信息;
3��、保密和信息的合法性訪問���;
4�、數(shù)字簽名以及第三方認證;
5�����、計算機犯罪和侵犯問題的有效控制��。
5.2電子商務(wù)安全立法定位與模式
電子商務(wù)的安全法律保障問題����,從其整體情況來看,主要表現(xiàn)為兩大層次:第一���,電子商務(wù)首先表現(xiàn)的是商品交易模式��,它的安全需要通過民商法來進行規(guī)范保護���;第二,電子商務(wù)是通過計算機及網(wǎng)絡(luò)技術(shù)實現(xiàn)的�,它的安全很大程度上依賴于計算機及網(wǎng)絡(luò)的自身安全程度,這需要網(wǎng)絡(luò)的安全管理法律來加以約束和保護����。從第一點的角度來看,電子商務(wù)安全法律隸屬于商法的范圍。
因此���,在立法過程中����,重點還是需要從商法的角度�����,結(jié)合其依托計算機網(wǎng)絡(luò)技術(shù)的特色�,從全面化的角度出發(fā),制定出高效規(guī)范的電子商務(wù)安全法律�����。
從電子商務(wù)安全立法的模式角度出發(fā)���,電子商務(wù)的安全法律主要有以下兩種選擇:第一���,在電子商務(wù)交易活動的法律中加入電子商務(wù)安全性法律內(nèi)容;第二����,另外指定電子商務(wù)安全單行法。這兩種模式都有各自的優(yōu)點和缺點��,前者的立法成本低但是保護力度不夠強�,后者的立法程序復(fù)雜,所需資源多��,但是保護力度大���。在實際操作中�����,到底選擇哪種模式�����,也是當(dāng)下法律界正在研究分析的重點問題��。本文提出的建議是分為兩步走:先采用第一種模式��,等條件成熟后而且又加強的需要���,再進行第二種模式的立法。這樣不僅可以快速成立相關(guān)法律體系���,同時也可有效解決資源浪費的問題����。
5.3我國電子商務(wù)安全性立法的對策分析
5.3.1健全電子商務(wù)法律,注重法律的滯后性
健全的電子商務(wù)立法體系不僅要包括有網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)管理的法律制度���,同時還需要電子商務(wù)主體的立法和市場管理制度�����,以及電子商務(wù)交易支付的法律制度��、網(wǎng)上商務(wù)行為制度�、電子稅法制度��、客戶個人隱私權(quán)保護法�����。只有建立系統(tǒng)性的法律制度�,才能真正發(fā)揮電子商務(wù)安全法的作用。
在加強電子商務(wù)安全法建設(shè)的同時�����,同時也應(yīng)該注重法律的滯后性帶來的法律效力減弱。法律的滯后性首先表現(xiàn)為法律立法的程序���,這是個嚴(yán)格的過程,需要問題顯現(xiàn)的非常明白�����,并對該問題進行有充分的調(diào)研數(shù)據(jù)后�����,才可能形成立法的基本條件和背景����,這個過程是繁瑣的,是復(fù)雜的����,是需要長時間的。另外��,法律要建立起威信�����,必須較長的時間,在這段長時間里��,網(wǎng)絡(luò)的發(fā)展是非?���?斓模瑫l(fā)生不同程度內(nèi)容的問題�,而且這些問題會經(jīng)常超過法律設(shè)定的范圍,這些問題在客觀上都表現(xiàn)為電子商務(wù)法律的滯后性�,使得法律無法體現(xiàn)超前性,大大降低了法律的約束作用�。
5.3.2加強立法部門對于電子商務(wù)的學(xué)習(xí)了解
立法部門在實際的工作經(jīng)驗中,可能只是了解法律相關(guān)體系知識��,對于電子商務(wù)交易模式����、支付模式等相關(guān)內(nèi)容可能存在誤解或者不了解的情況,這容易導(dǎo)致立法部門在立法的過程中��,過于偏向法律的可行性�,而忽略了電子商務(wù)法律的可行性。所以����,加強立法部門對于電子商務(wù)的學(xué)習(xí)了解�����,使其真正深入了解電子商務(wù)整體運營過程以及涉及內(nèi)容��、存在的漏洞����、需要加強的節(jié)點以及關(guān)聯(lián)的群體等內(nèi)容�,從根本上制定高效可行規(guī)范的電子商務(wù)安全法律�����,從而降低因誤解帶來的時間拖延���、資源耗費等其他損失����。
另外����,加強立法部門對于電子商務(wù)的學(xué)習(xí)了解的同時,應(yīng)加強立法部門工作人員對于電子商務(wù)立法的重視度����,從思想上加強工作人員對于電子商務(wù)安全立法的注重�,從而加快電子商務(wù)安全立法的實施進度���。
5.2.3系統(tǒng)化完善��,架構(gòu)法律體系
我國電子商務(wù)的飛速發(fā)展���,對電子商務(wù)中的安全問題提出了更高的要求。在建立我國電子商務(wù)安全法律時�,應(yīng)多加考慮它與其他法律之間的關(guān)聯(lián)度,從而架構(gòu)其整體法律體系��,進一步完善安全法律的有效性���。具體內(nèi)容如下:
1��、在中國民法基本法原有的基礎(chǔ)上�,增加交易安全的理念和內(nèi)容���;
2���、在計算機與網(wǎng)絡(luò)安全管理的立法上�����,應(yīng)針對電子商務(wù)在網(wǎng)絡(luò)虛擬環(huán)境下運行的特點��,加強電子商務(wù)交易安全保護的法律措施��。
3�����、在商事單行法的立法上,可以適當(dāng)突破現(xiàn)有民法的一些制度����,基于商法的特殊性及獨立性,滿足電子商務(wù)較高的安全保護需求�����。
4�����、在法律解釋上,全面清理我國最高人民法院作出的司法解釋���,剔除掉不利于電子商務(wù)安全的言論��,對電子商務(wù)的安全問題進行重新正確的認識和解釋����。
5.2.4配套獎懲措施��,提高安全法律威信度
獎懲措施是任何制度得以有效實施的保障制度����,這里的獎懲措施具有兩個重要的含義:
第一,是對電子商務(wù)安全制度在實施過程出現(xiàn)的良性事件和惡性事件進行適當(dāng)?shù)莫剟詈蛻土P����,或是進行高度的獎勵和懲罰,從而在加強良性循環(huán)的同時�����,對制度實施過程中的惡性事件作出嚴(yán)厲的懲罰��,起到殺一儆百的作用�����,從而有效提高電子商務(wù)安全立法的實施力度和效果。
第二����,是對進行非法盜取電子商務(wù)信息或是破壞電子商務(wù)交易的不法分子進行嚴(yán)厲的法律制裁,以及對保護電子商務(wù)安全的良好事跡進行表揚���。我國目前針對盜取電子商務(wù)信息或是破壞電子商務(wù)交易的不法分子還未建立有效的不法分子�����,才會使得這些不法分子妄想鉆空子�����、踩地雷,這也是導(dǎo)致我國電子商務(wù)安全出現(xiàn)問題的一大關(guān)鍵因素�����。因此��,建立電子商務(wù)獎懲措施��,有利于提高對不法分子的控制以及提高人民對電子商務(wù)安全的保護意識。
5.2.5借鑒國外成功經(jīng)驗�,結(jié)合自身特色國情
電子商務(wù)是全球性的電子商務(wù),它是無國界��、無種族之分的�����。所以�,我國在建立電子商務(wù)安全法律時,可立足于國際立法的趨同性取向��,借鑒國外成功的電子商務(wù)安全法律制度經(jīng)驗���,并且結(jié)合我國的自身特色國情���。中國的電子商務(wù)安全法律,只有爭取與國際立法接軌����,才能參與全球性的經(jīng)濟競爭。例如����,新加坡在制定《電子&交易法案》時幾乎全部采用了《電子商務(wù)示范法》的相關(guān)內(nèi)容�����,同時根據(jù)《電子商務(wù)示范法》的總體精神以及自身國情���,增加了部分內(nèi)容。所以�,我國在制定電子商務(wù)安全法律時,應(yīng)盡量吸收國外原有的成果�,再結(jié)合我國的特色國情,在降低立法成本�、節(jié)省立法時間的同時,也提高電子商務(wù)安全法律的高效性和實用性����。
6總結(jié)和展望
電子商務(wù)的安全問題是關(guān)系到電子商務(wù)能否繼續(xù)發(fā)展的關(guān)鍵因素。隨著我國計算機網(wǎng)絡(luò)科學(xué)的逐步發(fā)展���,某些非法分子對于電子商務(wù)安全模式已經(jīng)越來越熟悉���,如果電子商務(wù)再不加強安全防范以及法律法規(guī)的嚴(yán)加約束���,電子商務(wù)的安全將成為我國經(jīng)濟法律的一大問題����,這對我國經(jīng)濟、網(wǎng)民��、電子商務(wù)企業(yè)來說都是非常不利的����。因此,盡快建立我國的電子商務(wù)安全立法��,建立有效可行的電子商務(wù)安全法律法規(guī)����,從國家政治制度角度出發(fā),為我國的電子商務(wù)發(fā)展進行強而有力的安全管束�����,以促進我國電子商務(wù)行業(yè)穩(wěn)步健康的發(fā)展�����。隨著我國電子商務(wù)的飛速發(fā)展���,已經(jīng)在我國人民生活中扮演的越來越重要的角色����,電子商務(wù)的安全立法問題已經(jīng)成為我國法政界、金融界和學(xué)術(shù)界共同關(guān)注的熱點問題���,因此�����,研究我國電子商務(wù)安全立法工作�����,建立科學(xué)高效的電子商務(wù)安全法律�,為我國的電子商務(wù)的穩(wěn)步健康發(fā)展奠定良好的基礎(chǔ)�,具有非常重要的理論意義和實踐意義。
本文研究的主要貢獻在于:探討了我國電子商務(wù)安全現(xiàn)狀以及立法存在的問題與對策����。本研究以電子商務(wù)基本概念和特色為理論基礎(chǔ),通過對我國電子商務(wù)的安全現(xiàn)狀進行分析�����,從而形成本研究的整體背景�,接著分析我國安全立法的現(xiàn)狀以及存在的問題,最后結(jié)合自身所學(xué)知識���,提出改善我國電子商務(wù)安全法律的對策�����,希望對電子商務(wù)安全立法工作的開展能提供一些幫助���。但是由于水平的限制以及實際經(jīng)驗的不足,加上我國目前電子商務(wù)法律問題整體上處于不成熟與多樣化的階段�����,使得本文在研究過程中遇到一些困難����,加上文字功底不夠等等,影響到了研究的效果��,使得論文尚有以下不足之處:
1���、研究過程中�����,對于我國電子商務(wù)安全現(xiàn)狀只選取了幾個主要的現(xiàn)狀進行描述��,考慮到本研究報告的篇幅問題���,并沒有對全部的現(xiàn)狀進行描述�����。
篇7
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和信息化程度的日益提高���,人們的社會生活對信息基礎(chǔ)設(shè)施和信息資源的依賴程度越來越高。信息網(wǎng)絡(luò)給人類帶來方便的同時�,其所帶來的網(wǎng)絡(luò)安全隱患問題日益嚴(yán)重。而網(wǎng)絡(luò)安全人才在解決安全隱患和威脅方面的作用將越來越突出����。
網(wǎng)絡(luò)安全人才是指受過計算機網(wǎng)絡(luò)技術(shù)、信息安全教育或培訓(xùn)��,懂得計算機技術(shù)或是網(wǎng)絡(luò)安全方面的知識并且能夠解決實際問題的專門人才��。網(wǎng)絡(luò)安全人才在維護網(wǎng)絡(luò)安全�、保障網(wǎng)絡(luò)運行中起著基礎(chǔ)和決定性的作用。但我國網(wǎng)絡(luò)安全人才培養(yǎng)卻嚴(yán)重不足,人才供需矛盾突出��。根據(jù)教育部統(tǒng)計資料表明����,我國目前大學(xué)本科以上學(xué)歷的網(wǎng)絡(luò)安全人才只有2100人左右�����,而國內(nèi)對網(wǎng)絡(luò)安全專業(yè)人才的需要量高達10余萬以上����,每年全國能夠培養(yǎng)的信息安全專業(yè)學(xué)歷人才和各種安全認證人員大約不到5千人,供需缺口特別大�。據(jù)統(tǒng)計,到2008年�����,全球網(wǎng)絡(luò)安全行業(yè)的就業(yè)人數(shù)將由目前的130萬上升到210萬���。目前�����,我國網(wǎng)絡(luò)安全人員從人數(shù)和質(zhì)量上都遠不能滿足市場的緊迫需求����,加快網(wǎng)絡(luò)安全人才的培養(yǎng),已經(jīng)成為影響信息化社會發(fā)展的速度和國家安全實現(xiàn)的關(guān)鍵性因素�。
一、我國高校培養(yǎng)網(wǎng)絡(luò)安全人才的現(xiàn)狀
1.高校網(wǎng)絡(luò)安全人才培養(yǎng)處于探索階段��。網(wǎng)絡(luò)安全人才的培養(yǎng)是隨著網(wǎng)絡(luò)的快速普及而展開的�����。2000年��,我國高校開始設(shè)置信息安全本科專業(yè)�����,標(biāo)志著我國將網(wǎng)絡(luò)安全人才的培養(yǎng)正式納入高等教育體系中���。據(jù)不完全統(tǒng)計����,截止到目前�����,我國已有近50所高校開設(shè)了信息安全本科專業(yè),部分高校已設(shè)立了信息安全方面的碩士點和博士點���,初步形成了本科――碩士――博士的培養(yǎng)層次���。
2.高校網(wǎng)絡(luò)安全人才的培養(yǎng)尚未形成科學(xué)的模式。由于高校培養(yǎng)網(wǎng)絡(luò)安全人才正處于起步和探索階段�����,因此各個高校采取的方式和方法也不盡相同�����,體現(xiàn)出不同的辦學(xué)思路��。例如有的學(xué)校把信息安全專業(yè)辦在安全工程系����,以安全為教學(xué)內(nèi)容的重點�����;有的學(xué)校把信息安全專業(yè)辦在計算機系,以計算機和網(wǎng)絡(luò)知識為重點���;有的學(xué)校把信息安全專業(yè)辦在數(shù)學(xué)系����,以數(shù)學(xué)���、物理等基礎(chǔ)知識為其側(cè)重點����;有的學(xué)校把信息安全專業(yè)辦在通信系��,以密碼學(xué)作為教學(xué)的重點����;還有的學(xué)校將信息安全專業(yè)設(shè)置在管理學(xué)系,以電子商務(wù)為其教學(xué)重點和方向���。
不同的辦學(xué)思路����,一方面是各個高校依照其自身的學(xué)科優(yōu)勢和辦學(xué)格局�,對信息安全學(xué)科初期發(fā)展進行的有益探索和嘗試����,符合高等教育發(fā)展和高校自身建設(shè)的規(guī)律��;但另一方面也說明我國整個高等教育體系在信息安全學(xué)科方面缺乏統(tǒng)一的規(guī)劃和指導(dǎo)���,還沒有形成科學(xué)合理的學(xué)科教育模式���。
二、我國高校網(wǎng)絡(luò)安全人才培養(yǎng)模式存在的問題
1.學(xué)科體系不成熟���。我國部分高校已設(shè)置了信息安全專業(yè)���,初步形成了從本科到博士的培養(yǎng)層次��。但是信息安全是一門綜合性的交叉學(xué)科���,涉及數(shù)學(xué)�����、通信����、計算機、微電子�����、網(wǎng)絡(luò)工程�、密碼學(xué)、法律等諸多學(xué)科���,我國高校在網(wǎng)絡(luò)安全人才的培養(yǎng)過程中����,還無法準(zhǔn)確把握各學(xué)科之間的比重關(guān)系�����,表現(xiàn)在各高校在該專業(yè)的課程設(shè)置上比較盲目�,隨意性較大。目前的培養(yǎng)體系中���,還存在重數(shù)量輕質(zhì)量����、重文憑輕素質(zhì)的現(xiàn)象,培養(yǎng)的人才普遍是從理論到理論���,動手實踐能力不強���,不能解決現(xiàn)實的網(wǎng)絡(luò)安全問題。
2.培養(yǎng)目標(biāo)�����、培養(yǎng)計劃和相應(yīng)的課程體系還不完善?,F(xiàn)有培養(yǎng)模式中,信息安全學(xué)科建設(shè)的指導(dǎo)思想���、人才培養(yǎng)的目標(biāo)和方向都是各個高校根據(jù)其具體情況制定的�,缺乏系統(tǒng)的學(xué)科指導(dǎo)體系和規(guī)劃��。各高校都處于一種“摸著石頭過河”的狀況����,直接導(dǎo)致了培養(yǎng)的人才水平參差不齊��、知識結(jié)構(gòu)不合理��,不能勝任企業(yè)和其他用人單位的工作需要。
3.精通網(wǎng)絡(luò)安全理論和技術(shù)的尖端人才以及專門從事網(wǎng)絡(luò)安全研究的科研人員缺乏���。網(wǎng)絡(luò)從其產(chǎn)生到現(xiàn)在也不過短短的幾十年�,網(wǎng)絡(luò)安全的問題更是最近幾年才引起人們的普遍關(guān)注�����。我國進行網(wǎng)絡(luò)安全方面的研究起步較晚��,網(wǎng)絡(luò)安全人才不足����,且多是“半路出家”(即由網(wǎng)絡(luò)管理人員通過有關(guān)網(wǎng)絡(luò)安全知識的自學(xué)或短期培訓(xùn)后從事這項工作的),缺乏大量精通尖端網(wǎng)絡(luò)安全技術(shù)的專門人才��。網(wǎng)絡(luò)安全人才分布不均�����、人才隊伍不穩(wěn)定����。這種狀況使我國目前對網(wǎng)絡(luò)安全方面的研究遠遠落后于網(wǎng)絡(luò)技術(shù)的發(fā)展。
4.網(wǎng)絡(luò)安全教育的普及率較低,一些公民缺乏網(wǎng)絡(luò)安全意識�。由于網(wǎng)絡(luò)安全問題一直沒有得到應(yīng)有的重視,這就導(dǎo)致普通公民對此問題持無所謂的態(tài)度�����,即使是經(jīng)常接觸網(wǎng)絡(luò)的人也沒有形成網(wǎng)絡(luò)安全的觀念和常識����,安全隱患較多。
5.缺乏網(wǎng)絡(luò)安全教育所必需的實驗設(shè)備和條件����。開設(shè)信息安全專業(yè)的部分高校缺乏基本的基礎(chǔ)課程實驗室,教學(xué)實驗和模擬設(shè)備�����。許多高校無法開展課程體系中所要求的實驗�,學(xué)生的學(xué)習(xí)只能是從理論到理論,極大的削弱了教學(xué)效果���。
6.偏重理論學(xué)習(xí)�,對實踐環(huán)節(jié)重視不夠��。信息安全學(xué)科不僅具有很強的理論性���,同時也具有非常強的實踐性����,許多安全技術(shù)與手段需要在實踐過程中去認識��、去體會�����。當(dāng)前設(shè)有信息安全專業(yè)的高校���,能夠為學(xué)生提供實踐的機會很少��。許多高校無法為學(xué)生提供實踐鍛煉的機會��,更不用說提供處理網(wǎng)絡(luò)安全問題的模擬實踐���。這樣培養(yǎng)出來的人才其解決實際問題的能力可想而知。
三��、美國高校網(wǎng)絡(luò)安全人才培養(yǎng)的模式
美國高校的網(wǎng)絡(luò)安全人才培養(yǎng)模式主要有兩種:“核心課程+課程模塊”模式和“知識傳授+科學(xué)創(chuàng)新+技術(shù)能力”模式�����。“核心課程+課程模塊”模式是美國大學(xué)網(wǎng)絡(luò)安全專業(yè)教學(xué)中采用的一種基本模式�,它類似于我國高校中采用的“基礎(chǔ)課+專業(yè)方向選修課”的模式。也就是說���,學(xué)生在修完規(guī)定的專業(yè)基礎(chǔ)課后���,可以根據(jù)其愛好和特長,選擇自己感興趣的某個方向進行研究���?!爸R傳授+科學(xué)創(chuàng)新+技術(shù)能力”模式承擔(dān)著基礎(chǔ)知識教育����、專業(yè)技能培養(yǎng)和創(chuàng)新能力培養(yǎng)的重任,對網(wǎng)絡(luò)安全人才的培養(yǎng)提出了更高的要求�����。
美國不僅在本科階段培養(yǎng)網(wǎng)絡(luò)安全人才形成了自己的特點��,在碩士和博士階段更加注重對某一領(lǐng)域的深入研究����。美國的研究生教育通過補充課程論文和考試或者通過課程論文和碩士論文項目使研究生們在信息安全學(xué)科的某一個特定領(lǐng)域深入下去�。碩士論文通常是開發(fā)一種理論到某一個或者一些特定場合的應(yīng)用�����;而博士階段更注重理論分析��,對理論進行擴展�,改進或者提出新的理論���。
美國的網(wǎng)絡(luò)安全人才培養(yǎng)模式的優(yōu)勢在于注重學(xué)生基礎(chǔ)知識的獲取和創(chuàng)新能力的培養(yǎng)���。基礎(chǔ)知識和專業(yè)理論教育是學(xué)生必須掌握的內(nèi)容�,培養(yǎng)出來的學(xué)生具有較廣的知識面和知識體系,可以滿足企業(yè)等用人單位的不同需求�����。通過大學(xué)及研究生階段的學(xué)習(xí)��,學(xué)生不但可以很快熟悉并鞏固書本知識�����,并且可以在實踐的過程中,不斷研究發(fā)現(xiàn)新問題并予以解決����,培養(yǎng)了學(xué)生的創(chuàng)新能力。
筆者認為�,創(chuàng)新能力的培養(yǎng)必須以基礎(chǔ)知識和專業(yè)技能為根基,是建立在扎實的基礎(chǔ)知識和熟練的專業(yè)技能基礎(chǔ)之上的一個更高層次的目標(biāo)和要求�,因此,與“核心課程+課程模塊”模式相比��,依據(jù)“知識傳授+科學(xué)創(chuàng)新+技術(shù)能力”模式培養(yǎng)出來的人才不僅具有較強的專業(yè)知識和處理實際問題的能力���,而且具有較強的創(chuàng)新能力�����。
四�、完善我國高校安全人才培養(yǎng)模式的具體措施
我國應(yīng)在借鑒美國高校網(wǎng)絡(luò)安全人才培養(yǎng)模式優(yōu)點的同時��,探索適合我國國情的網(wǎng)絡(luò)安全人才模式��。筆者認為�����,可以采取“核心課程+課程模塊+教學(xué)實踐”這種理論和實踐相結(jié)合的培養(yǎng)模式。在核心課程設(shè)置中���,讓學(xué)生掌握計算機����、數(shù)學(xué)����、通信��、計算機�、微電子、網(wǎng)絡(luò)工程�����、密碼學(xué)等基礎(chǔ)知識���;在課程模塊設(shè)計中��,讓學(xué)生探討研究其感興趣的網(wǎng)絡(luò)安全領(lǐng)域和內(nèi)容��;在教學(xué)實踐環(huán)節(jié)�,讓學(xué)生總結(jié)出大量目前存在的網(wǎng)絡(luò)安全問題,并嘗試著讓其進行研究解決�,以此鍛煉學(xué)生分析問題、解決問題的能力�����,使學(xué)生能將所學(xué)理論知識與實際應(yīng)用結(jié)合起來�。
具體來說,高校應(yīng)從以下幾方面入手�����,培養(yǎng)網(wǎng)絡(luò)安全人才�,使其具備較合理的知識結(jié)構(gòu):
1.研究信息安全專業(yè)特點,建立科學(xué)合理的學(xué)科知識體系��。信息安全專業(yè)是一個交叉的新興學(xué)科�����,需要許多學(xué)科的知識作為鋪墊��。高校網(wǎng)絡(luò)安全人才培養(yǎng)的目標(biāo)應(yīng)是造就一批具有較高素質(zhì)的網(wǎng)絡(luò)安全管理和技術(shù)人才����。我國高校應(yīng)通過統(tǒng)一制定教學(xué)大綱和統(tǒng)編教材��,使學(xué)生具備計算機���、數(shù)學(xué)、密碼學(xué)等健全合理的知識結(jié)構(gòu)����。合理采用美國高校對網(wǎng)絡(luò)安全人才培養(yǎng)的先進理念和模式,通過嚴(yán)格的培養(yǎng)使信息安全專業(yè)畢業(yè)的學(xué)生具備以下素質(zhì):寬厚扎實的計算機科學(xué)和軟件工程知識�����;嫻熟的計算機科學(xué)技術(shù)綜合應(yīng)用能力���;將信息系統(tǒng)及其安全領(lǐng)域的知識同某一應(yīng)用領(lǐng)域業(yè)務(wù)相結(jié)合的能力;獨立完成網(wǎng)絡(luò)安全相關(guān)領(lǐng)域問題的能力���。
2.開設(shè)法律課程�,使網(wǎng)絡(luò)安全人才具備相應(yīng)的法律知識���。雖然我國還沒有專門的網(wǎng)絡(luò)安全法�����,但在一些法律法規(guī)以及規(guī)章制度中都不同程度的涉及到了網(wǎng)絡(luò)安全的內(nèi)容���。例如《刑法》�����、《計算機軟件保護條例》���、《中華人民共和國計算機信息系統(tǒng)安全保護條例》等都是有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)。作為網(wǎng)絡(luò)安全人才必須了解上述法律����、法規(guī)的相關(guān)規(guī)定。
3.將網(wǎng)絡(luò)安全理論教育和實踐相結(jié)合����。高校應(yīng)該將“網(wǎng)絡(luò)安全設(shè)備操作指南”、“網(wǎng)絡(luò)安全注意事項”等內(nèi)容列入日常的教學(xué)活動中�,這是培養(yǎng)網(wǎng)絡(luò)安全人才,保證各項安全策略�����、制度、規(guī)程和操作在日常工作中得到貫徹落實的重要環(huán)節(jié)�。還可以定期進行網(wǎng)絡(luò)安全演練,如果條件成熟��,甚至可以挑選一些真正的病毒加以分析���、研究��。這不僅是檢查網(wǎng)絡(luò)安全保障體系運作情況的重要手段�,而且可以增強學(xué)生應(yīng)付突發(fā)事件的能力���。
4.網(wǎng)絡(luò)安全人才的培養(yǎng)是一種持續(xù)教育��,因此應(yīng)加強和政府、公司的交流與合作�,充分調(diào)動各方面積極因素,共同培養(yǎng)高素質(zhì)的網(wǎng)絡(luò)安全人才����。美國高校的網(wǎng)絡(luò)安全教育特別重視合作與交流,例如美國普渡大學(xué)(Purdue University)���,其COAST(Computer Operations Audit and Security Technology)項目是該校計算機科學(xué)系從事計算機安全研究的多項目��、多投資的實驗室��,它促使政府機構(gòu)�、大公司的研究人員和工程師緊密合作。如今COAST已經(jīng)是世界上最大的專職的��、學(xué)術(shù)的計算機安全研究群體之一���,培養(yǎng)了許多優(yōu)秀的信息安全專業(yè)人才���。我國高校應(yīng)借鑒其有益的經(jīng)驗,加強師資隊伍的建設(shè)�����,改善辦學(xué)條件�����,對信息安全方面的研究給予經(jīng)費支持和傾斜��,改變教學(xué)條件�����,更新試驗設(shè)備和儀器。同時�,加強國內(nèi)與國際的交流,搭建學(xué)校與企業(yè)的互動平臺����,和一些具有綜合實力的大企業(yè)、公司合作��,讓學(xué)生進行有機的�、雙向的實踐活動。
《國家信息安全報告》中指出:“從事信息技術(shù)的人才匱乏是當(dāng)今世界的一大緊急警報����。就信息安全的人才而言,其匱乏的程度更比一般的IT技術(shù)有過之而無不及��?�!薄?006――2020年國家信息化發(fā)展戰(zhàn)略》更是為我國網(wǎng)絡(luò)安全人才的培養(yǎng)提出了宏偉目標(biāo):“建設(shè)國家信息安全保障體系��,加快信息安全人才培養(yǎng)�����,增強國民信息安全意識��。提高國民信息技術(shù)應(yīng)用能力����。提高國民受教育水平和信息能力。培養(yǎng)信息化人才��。構(gòu)建以學(xué)校教育為基礎(chǔ)�����,在職培訓(xùn)為重點���,基礎(chǔ)教育與職業(yè)教育相互結(jié)合���,公益培訓(xùn)與商業(yè)培訓(xùn)相互補充的信息化人才培養(yǎng)體系?��!蔽覈咝?yīng)按照《發(fā)展戰(zhàn)略》的指引和要求�,積極探索和建立網(wǎng)絡(luò)安全人才培養(yǎng)的模式����,為網(wǎng)絡(luò)安全人才的培養(yǎng)提供更為廣闊的空間和平臺���,構(gòu)建更加堅固的網(wǎng)絡(luò)安全保障體系,只有如此��,才能營造出和諧����、安全的網(wǎng)絡(luò)空間。
參考文獻:
[1]鄭志彬吳昊辛陽:建立產(chǎn)學(xué)研結(jié)合的信息安全人才培養(yǎng)道路[J].北京電子科技學(xué)院學(xué)報,2006(3)
[2]劉寶旭:淺談信息安全學(xué)科建設(shè)與人才培養(yǎng)[J].北京電子科技學(xué)院學(xué)報,2006(3)
篇8
2l世紀(jì)以來.人類社會進入信息化時代�����。近幾年.全國公安現(xiàn)役部隊深入貫徹公安部”科技強警”的指示方針.伴隨著公安現(xiàn)役部隊信息化工程的建設(shè)與發(fā)展,為全體官兵搭上”信息快車”提供了一個平臺�。不可否認.科技是一把”雙刃劍”,公安現(xiàn)役部隊信息化建設(shè)也不例外。公安現(xiàn)役部隊的信息化建設(shè)極大地提高了部隊的工作效率.但同時也給我們工作人員提出一個新課題.即在操作和使用的過程中如何保證信息的安全�。
1.信息安全概念
公安現(xiàn)役部隊信息安全是公安現(xiàn)役部隊信息化建設(shè)的基礎(chǔ)性工程.與一般意義上的信息安全相比.公安現(xiàn)役部隊信息安全具有一定的特殊性。
公安現(xiàn)役部隊信息安全是指保密信息必須只能夠被一組預(yù)先限定的人員存取對這類信息的未經(jīng)授權(quán)的傳輸和使崩應(yīng)該被嚴(yán)格限制是指系統(tǒng)的硬件�����、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護.不因偶然的或者惡意的原因而遭受到破壞�����、更改���、泄密,系統(tǒng)連續(xù)可靠正常地運行�。
2.信息安全現(xiàn)狀分析
2.1網(wǎng)絡(luò)信息安全威脅嚴(yán)重
網(wǎng)絡(luò)信息安全事關(guān)國家安全����、社會穩(wěn)定、經(jīng)濟發(fā)展和文化建設(shè)等各個領(lǐng)域.已經(jīng)成為全球關(guān)注的熱點問題�����。根據(jù)瑞星”云安全”數(shù)據(jù)中心最新統(tǒng)計數(shù)據(jù)表明.2009年上半年.瑞星”云安全”系統(tǒng)攔截到的掛馬網(wǎng)頁數(shù)累計達2.9億個.共有11.2億人次網(wǎng)民遭木馬攻擊:其中大型網(wǎng)站��、流行軟件被掛馬的有35萬個(以域名計算),比去年同期有大幅度增長�。目前的互聯(lián)網(wǎng)非常脆弱.各種熱點新聞、流行軟件����、社交(SNS)網(wǎng)站、瀏覽器插件的漏洞層出不窮.為黑客提供了大量入侵和攻擊的機會政府機關(guān)網(wǎng)站�、各大中型企業(yè)網(wǎng)站,由于專業(yè)性技術(shù)人員缺乏.網(wǎng)站大多由第三方公司外包開發(fā),存在缺陷較多,也最容易被掛馬。據(jù)統(tǒng)計,2009年1月份受感染型病毒侵襲的網(wǎng)民為106萬.而6月份則達到了395萬.上升了近4倍�。
2.2公安現(xiàn)役部隊信息人才缺失
信息安全建設(shè),人才是關(guān)鍵。一方面任何信息安全技術(shù)方面的成果都是人創(chuàng)造的:另一方面.任何危害信息安全的事件同樣也是人為的���。因此,培養(yǎng)大量優(yōu)秀的信息安全人才成為當(dāng)前我公安現(xiàn)役部隊信息安全領(lǐng)域的頭等大事公安現(xiàn)役部隊需要大量信息安全的專門人才,邊����、消、警部隊實現(xiàn)電子警務(wù)應(yīng)用系統(tǒng)的發(fā)展也需要大量信息安全的專門人才���。然而.目前我國只有少數(shù)大學(xué)能夠培養(yǎng)信息安全方向的研究生.部分院校培養(yǎng)本科生.其數(shù)量遠遠不能滿足需求目前我國從事信息安全研究的專業(yè)人才(副高職稱以上)僅有3000人.從事信息安全工作的人員也比較少.且多是”半路出家”.即由網(wǎng)絡(luò)管理人員通過有關(guān)信息安全知識的自學(xué)或短期培訓(xùn)后從事這項工作的�。此外��。即使一些信息安全領(lǐng)域的公司也存在人才短缺或流失的問題.而公安部門同樣存在著較大的信息安全人才缺口
2.3官兵信息安全意識薄弱
有些官兵保信息安全意識不強,擅自將涉密便攜式電腦�����、硬盤����、優(yōu)盤和光盤帶出辦公室,極易造成涉及部隊政治工作策略、國家安全和軍事利益的文字�、圖片或錄像資料的外泄:在連接國際互聯(lián)網(wǎng)的計算機上使用涉密儲存介質(zhì)不經(jīng)意造成的泄密問題比較突出?����!币粰C跨兩網(wǎng)”�����、”一盤跨兩網(wǎng)”等行為屢禁不止,給部隊計算機網(wǎng)絡(luò)和信息安全造成了嚴(yán)重威脅,教訓(xùn)極其深刻。此外.有些官兵管不住自己的嘴.通過語言威脅到大局信息安全的事件時有發(fā)生����。有些同志不分對象����、場所,為了炫耀自己”卓越”的見解.在不知不覺中隨口泄露機密。有些同志在接受大眾傳媒采訪.以及在進行新聞宣傳報道時,隨口說出涉密的重大任務(wù)和軍事活動.造成嚴(yán)重泄密����。
3.公安現(xiàn)役部隊?wèi)?yīng)對策略分析
公安現(xiàn)役部隊信息安全建設(shè)不是各部門信息安全建設(shè)成果的簡單疊加.而是要通過技術(shù)防范與管理相結(jié)合.注重整個系統(tǒng)的信息安全建設(shè)。
3.1增強安全防范.做到制度技術(shù)到位
實現(xiàn)公安現(xiàn)役信息安全.必須建立自己的信息安全技術(shù)保障體系�����。技術(shù)是信息發(fā)展的基礎(chǔ).如果沒有信息安全技術(shù)作為支撐,信息安全就無法持久�。安全保密設(shè)備是公安現(xiàn)役部隊信息安全的重要技術(shù)和物質(zhì)基礎(chǔ).在選擇設(shè)備上應(yīng)使用國產(chǎn)的.如某設(shè)備無國產(chǎn)可選.使用進口設(shè)備須經(jīng)相關(guān)部門檢測批準(zhǔn)。在軟件建設(shè)方面針對系統(tǒng)的弱點和不足.加強新型防火墻�����、安全路游器�、安全網(wǎng)關(guān)、入侵檢測系統(tǒng)等信息安全技術(shù)的研究和產(chǎn)品開發(fā)����。改變目前我方在技術(shù)方面的易守難攻的局面,變被動為主動�����。在信息安全防范中,加緊對安全防護��、安全監(jiān)控���、跟蹤警報等方面的關(guān)鍵技術(shù)進行突破。不失時機地對網(wǎng)絡(luò)信息系統(tǒng)進行檢測��、模擬攻擊與評估工作.切實從技術(shù)手段上筑牢防止安全失泄密的閥門�����。
3.2建立信息安全技術(shù)人才保障體系.完備技術(shù)人才支撐系統(tǒng)
實現(xiàn)公安現(xiàn)役信息安全.必須建立自己的信息安全技術(shù)保障體系��。技術(shù)是信息發(fā)展的基礎(chǔ),如果沒有信息安全技術(shù)作為支撐.信息安全就無法持久�����。公安現(xiàn)役部隊只有配備大批既懂技術(shù)又懂管理的復(fù)合型人才.提高從業(yè)人員的信息安全水平.公安現(xiàn)役部隊在現(xiàn)有的體制����、編制上.通過政策的調(diào)整可把有志向為公安現(xiàn)役事業(yè)奉獻的專業(yè)性人才吸納到隊伍中來��。同時還可以與有關(guān)院校達成協(xié)議定向培養(yǎng)信息安全方面的本科生�����、研究生,減小供求矛盾.可使公安現(xiàn)役信息安全專項人才不斷補充��。煥發(fā)生機。
3.3加強信息安全教育和技術(shù)培訓(xùn)
官兵信息安全意識是信息安全建設(shè)的基礎(chǔ).是數(shù)字化安全生存的必要保證�����。要加大信息技術(shù)的攻關(guān)和信息安全管理人員的技術(shù)培訓(xùn)力度�。構(gòu)建信息安全培訓(xùn)體系,進行全員的培訓(xùn)和普及教育,從根本上消除”信息安全事不關(guān)己”的錯誤思想.使官兵意識到泄密事件可能通過個人的言行隨時可能引發(fā).牢固樹立信息安全靠大家的思想.只有這樣才能不斷提高全體官兵的信息安全素質(zhì)和意識
3.4提供部隊信息安全下的執(zhí)法效率
篇9
通過不斷地教學(xué)研究和實踐,我們基本認識了信息安全的學(xué)科特點和知識結(jié)構(gòu)�����,提出了如下觀點:
(1)信息安全具有多學(xué)科交叉的特點�。信息安全是計算機、通信�、電子、數(shù)學(xué)�����、物理、生物���、法律�、管理���、教育等多學(xué)科的交叉學(xué)科���。
(2)信息安全技術(shù)具有整體性和底層性的特點。必須從整體上采取措施���,從軟硬件底層采取措施����,才能比較有效地解決信息安全問題����。
(3)確保信息安全是一種系統(tǒng)工程。硬件結(jié)構(gòu)安全和操作系統(tǒng)安全是信息系統(tǒng)安全的基礎(chǔ)���,密碼����、網(wǎng)絡(luò)安全等是關(guān)鍵技術(shù),必須綜合采取各種措施才能奏效�����。
同時基本認識了信息安全專業(yè)人才培養(yǎng)的基本規(guī)律:
(1)信息安全人才的基本特征是:掌握信息安全的基本理論和基本技能����。
(2)必須同時重視信息科學(xué)技術(shù)的基礎(chǔ)和信息安全的專業(yè)知識與技能。
(3)要高度重視實踐教學(xué)�。必須有足夠的實踐教學(xué),做好實驗室的基本設(shè)施建設(shè)�,建立校外實習(xí)基地�����,加強實習(xí)基地建設(shè)���。
雖然信息安全專業(yè)的建設(shè)取得了一定成績��,但仍存在如下三個方面的問題:一是現(xiàn)有的教學(xué)培養(yǎng)模式注重基礎(chǔ)理論的學(xué)習(xí)��,專業(yè)必修課與計算機科學(xué)與技術(shù)專業(yè)重疊太多���,未能很好地體現(xiàn)信息安全專業(yè)以學(xué)信息安全理論與技術(shù)為主����,兼學(xué)通信��,同時加強數(shù)學(xué)��、物理�����、法律等基礎(chǔ)�,掌握信息安全的基本理論和技能的辦學(xué)思路。二是對學(xué)生的培養(yǎng)模式統(tǒng)一�,沒能根據(jù)學(xué)生自身的特點進行培養(yǎng),不能實現(xiàn)既培養(yǎng)了計算機及通信人才又培養(yǎng)信息安全專業(yè)技術(shù)人才的目標(biāo)����,沒能很好地起到分層次和分類別培養(yǎng)的效果。三是原有培養(yǎng)方案中的實驗課程大多數(shù)是課間實驗��,實驗時間分散�����,多以驗證型實驗為主,學(xué)生參加課外科研和實踐的機制不健全����,對實驗指導(dǎo)的重視程度不夠,不利于學(xué)生專業(yè)創(chuàng)新與創(chuàng)造能力的培養(yǎng)����。
2信息安全人才培養(yǎng)模式改革與創(chuàng)新基本思路
在綜合考慮上述因素的前提下,結(jié)合信息安全專業(yè)人才培養(yǎng)的現(xiàn)狀���,我們對人才培養(yǎng)目標(biāo)進行了重新定位��,改進和完善了現(xiàn)有專業(yè)人才培養(yǎng)方案����,進行了培養(yǎng)過程和途徑的創(chuàng)新���,并對教學(xué)和實踐教學(xué)環(huán)節(jié)及內(nèi)容進行了改進。
2.1專業(yè)培養(yǎng)目標(biāo)的重新定位
在認識了信息安全學(xué)科的特點��、知識結(jié)構(gòu)和人才培養(yǎng)基本規(guī)律的基礎(chǔ)上��,我們對專業(yè)培養(yǎng)目標(biāo)進行了重新定位���。進一步明確了信息安全專業(yè)旨在培養(yǎng)能夠從事計算機�����、通信�����、電子信息��、電子商務(wù)技術(shù)�、電子金融、電子政務(wù)��、軍事等領(lǐng)域的信息安全研究��、應(yīng)用����、開發(fā)、管理等方面的高級技術(shù)人才�。同時強調(diào)加強通識教育和實踐教學(xué),重基礎(chǔ)���、重發(fā)展�、重能力、重創(chuàng)造�����,兼顧計算機學(xué)院學(xué)生必須的通識基礎(chǔ)����、數(shù)學(xué)基礎(chǔ)、通信基礎(chǔ)���、計算機軟硬件基礎(chǔ)�����、信息安全基礎(chǔ)之間的合理比重���。
培養(yǎng)的學(xué)生應(yīng)以學(xué)習(xí)計算機科學(xué)和信息安全理論與技術(shù)為基礎(chǔ),兼學(xué)通信技術(shù)����,同時加強數(shù)學(xué)����、物理��、法律和管理基礎(chǔ)�。要求學(xué)生在信息安全理論基礎(chǔ)和實際能力兩個方面都得到培養(yǎng)提高:能閱讀本專業(yè)的外文資料�����。學(xué)生畢業(yè)后可從事信息安全領(lǐng)域的研究���、應(yīng)用、開發(fā)和管理等方面的工作���。培養(yǎng)目標(biāo)進一步分層次�����,按學(xué)生特點及去向分為研究型和應(yīng)用型兩大類���,區(qū)別培養(yǎng),體現(xiàn)了人才培養(yǎng)的多樣化����。
2.2改進和完善現(xiàn)有的專業(yè)人才培養(yǎng)方案
信息安全專業(yè)2001年成立以來,我們制訂出一套信息安全本科專業(yè)課程系統(tǒng)和教學(xué)計劃����,并在全國開設(shè)信息安全本科專業(yè)的大學(xué)中推廣���。為更好地提高人才培養(yǎng)質(zhì)量,加強學(xué)生的理論水平與實際動手能力����,我們先后進行了三次培養(yǎng)方案的修訂。
在改進的培養(yǎng)方案中��,課程教學(xué)方案貫徹了“少而精”的原則�,強化基礎(chǔ)知識、應(yīng)用能力這兩極課程�,減少、弱化了二者之間課程的分量��;盡力合并傳統(tǒng)內(nèi)容�����,增設(shè)新的�、與當(dāng)今信息安全技術(shù)發(fā)展同步的課程或內(nèi)容;調(diào)整了專業(yè)必修課和選修課課程��,將原培養(yǎng)方案中的專業(yè)選修課(“計算機病毒”、“信息隱藏技術(shù)”��、“智能卡技術(shù)”)改為專業(yè)必修課���;更加重視學(xué)生實踐動手能力的培養(yǎng),努力建立學(xué)生自主創(chuàng)新學(xué)習(xí)為主導(dǎo)的學(xué)習(xí)機制��,實現(xiàn)創(chuàng)新精神和能力的培養(yǎng)��。
課程體系體現(xiàn)多學(xué)科交叉:開設(shè)“信息安全數(shù)學(xué)基礎(chǔ)”�、“信息安全法律法規(guī)”、“通信原理”�、“現(xiàn)代通信”等課程。
體現(xiàn)硬件系統(tǒng)的基礎(chǔ)作用:除了常規(guī)硬件類課程外�,加開“大規(guī)模集成電路”、“智能卡技術(shù)”���、“電磁防護與物理安全”�����、“嵌入式系統(tǒng)”等課程�。
體現(xiàn)操作系統(tǒng)的基礎(chǔ)作用:除了“操作系統(tǒng)原理”����,加開“Windows原理與應(yīng)用”����、“Linux原理與應(yīng)用”�����,形成操作系統(tǒng)課程組�。
體現(xiàn)密碼與網(wǎng)絡(luò)安全的關(guān)鍵作用:開設(shè)“密碼學(xué)”與“網(wǎng)絡(luò)安全”、“計算機病毒”����、“網(wǎng)絡(luò)管理”、“網(wǎng)絡(luò)程序設(shè)計”等課程�����。
第四年的實習(xí)實踐教學(xué)內(nèi)容配備了相應(yīng)的實習(xí)管理制度和考核指標(biāo)���。要求學(xué)生在大學(xué)第二年成立專業(yè)學(xué)習(xí)興趣小組���,制定了興趣小組的管理規(guī)定,為第四年實習(xí)實踐環(huán)節(jié)奠定良好的基礎(chǔ)��。為了讓學(xué)生明確信息安全專業(yè)課程學(xué)習(xí)的順序關(guān)系,了解各專業(yè)課程之間的相互聯(lián)系�,盡早樹立專業(yè)學(xué)習(xí)目標(biāo),還添加了信息安全專業(yè)課程關(guān)系圖��,進一步完善了信息安全專業(yè)人才培養(yǎng)方案���。
通過人才培養(yǎng)方案的改進和完善,達到了人才培養(yǎng)模式創(chuàng)新的目的�����,變不適應(yīng)為適應(yīng)���,變不協(xié)調(diào)為協(xié)調(diào)���,使我們培養(yǎng)的信息安全人才更加適應(yīng)社會需要,符合中國國情�,體現(xiàn)武漢大學(xué)“三創(chuàng)”復(fù)合型人才培養(yǎng)的特色。
2.3培養(yǎng)過程和途徑的創(chuàng)新思路
新的人才培養(yǎng)模式中�,信息安全本科培養(yǎng)按“3+1”模式設(shè)置教學(xué)計劃,即前三年在學(xué)校修滿所有學(xué)分����,完成全部課程學(xué)習(xí)���,第四年按學(xué)生特點及去向分類安排不同的學(xué)習(xí)項目,完成培養(yǎng)方案中的實踐教學(xué)環(huán)節(jié)����。推薦免試攻讀碩士學(xué)位的學(xué)生直接進入到導(dǎo)師的課題組,提前開始研究生階段的學(xué)習(xí)和研發(fā)工作���;對準(zhǔn)備就業(yè)的學(xué)生安排到用人單位或?qū)嵙?xí)基地實習(xí)��,并要求其在實習(xí)基地實習(xí)6個月以上�,完成畢業(yè)論文�����;未推免并要求留在學(xué)校實習(xí)的學(xué)生安排在學(xué)院實驗室����,按興趣分組,由專門的老師指導(dǎo)完成所分配的研究或開發(fā)項目�。
新的培養(yǎng)方案已于2007年全面實施,“3+1”培養(yǎng)模式大大提高了畢業(yè)論文的質(zhì)量���,2003級信息安全專業(yè)畢業(yè)論文的優(yōu)秀率達到了14%��。
2.4進一步加強實踐教學(xué)
學(xué)院高度重視學(xué)生實踐動手能力的培養(yǎng)�,為加強信息安全專業(yè)學(xué)生的創(chuàng)新能力,除安排一年的實習(xí)實踐以外�,還將實驗課程由分散改為集中進行,由驗證型為主改為設(shè)計型為主��。增加了“程序設(shè)計訓(xùn)練”實踐課程為必修課����,調(diào)整了“信息安全綜合實驗”課程的內(nèi)容�,將其變?yōu)橐粋€綜合實踐、測試平臺�。增加了部分課程的課內(nèi)實驗學(xué)時,讓學(xué)生做到理論聯(lián)系實際���,增加學(xué)生的計算機應(yīng)用能力��。
3實踐教學(xué)改革
新的人才培養(yǎng)模式促使信息安全專業(yè)實踐教學(xué)正在嘗試以下幾項新的改革措施:
3.1不斷改革實踐教學(xué)體系�����,增加實踐教學(xué)內(nèi)容�,改變實踐教學(xué)的實現(xiàn)方式
新的人才培養(yǎng)模式中���,信息安全本科按“3+1”模式設(shè)置教學(xué)計劃����,加大了教學(xué)實踐環(huán)節(jié),并將實驗課程由分散進行改為集中進行�����,由驗證型為主改為設(shè)計型為主����,加大了綜合設(shè)計、創(chuàng)新實驗���、實訓(xùn)實戰(zhàn)的比重���。通過對集中實踐教學(xué)和課間實踐教學(xué)的課時調(diào)整,使實踐教學(xué)的課時數(shù)占總課時數(shù)的40%����。
實驗教學(xué)在基礎(chǔ)實驗、綜合設(shè)計實驗���、創(chuàng)新提高實驗�����、實訓(xùn)平臺訓(xùn)練����、實習(xí)地實戰(zhàn)訓(xùn)練、畢業(yè)設(shè)計與畢業(yè)論文六個層面開展��,不同層面的要求��、方法及形式有所不同�����?����;A(chǔ)驗證型實驗多采用課間實驗的方式��,綜合設(shè)計型實驗一般在理論課后集中一或兩周進行�,程序設(shè)計訓(xùn)練和嵌入式設(shè)計不受時間限制�,可跨越四年時間完成。對創(chuàng)新提高型實驗�����,可根據(jù)創(chuàng)新設(shè)計自主完成。實訓(xùn)平臺訓(xùn)練型實驗是在教師指導(dǎo)下分組合作��,共同完成實訓(xùn)項目��。畢業(yè)設(shè)計與畢業(yè)論文可結(jié)合導(dǎo)師的科研工作提前開始���,加強過程管理����,強化答辯環(huán)節(jié)�,確保質(zhì)量。
3.2積極拓展校外實習(xí)基地����,通過與企業(yè)合作,提高學(xué)生專業(yè)實踐能力
篇10
隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用�����,我國電子商務(wù)的安全問題也日益突出����。根據(jù)“2010年上半年�,計算機病毒和互聯(lián)網(wǎng)安全報告疫情”的數(shù)據(jù)表明�����,2010年上半年���,計算機病毒�,木馬的數(shù)量依然保持快速增長���,新病毒不斷出現(xiàn)����,一些“老”的病毒推出了眾多變種��。2010年上半年計算機病毒�,木馬數(shù)量迅速增加�,超出了近五年病毒數(shù)量的總和。在日益增多的電子商務(wù)安全問題面前��,需要我們采取新措施來進行防范����。
一���、電子商務(wù)的安全現(xiàn)狀
目前電子商務(wù)的安全問題比較嚴(yán)重,最突出的表現(xiàn)在計算機網(wǎng)絡(luò)安全和商業(yè)誠信問題上��。因為篇幅問題���,本文只側(cè)重于計算機網(wǎng)絡(luò)安全問題的描述和解決對于其他方面的問題不作詳細的分析��。與以往相比電子商務(wù)安全呈現(xiàn)出以下特點:
(一)木馬病毒爆炸性增長�����,變種數(shù)量的快速增加
據(jù)統(tǒng)計����,僅2009年上半年掛載木馬網(wǎng)頁數(shù)量累計達2.9億個�,共有11.2億人次網(wǎng)民訪問掛載木馬,2010年元旦三天就新增電腦病毒50萬��。病毒的數(shù)量不僅增速變快���,智能型����,病毒變種更新速度快是本年度病毒的又一個特征?�?傮w而言��,目前的新木馬不多�����,更多的是它的變種���,因為目前反病毒軟件的升級速度越來越快����,病毒存活時間越來越短�����,因此�,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放��,可以自動從指定的網(wǎng)址上下載新病毒�,并進行自動更新,永遠也無法斬盡殺絕所有的病毒���。同時病毒制造��、傳播者利用病毒木馬技術(shù)進行網(wǎng)絡(luò)盜竊���、詐騙活動,通過網(wǎng)絡(luò)販賣病毒����、木馬,教授病毒編制技術(shù)和網(wǎng)絡(luò)攻擊技術(shù)等形式的網(wǎng)絡(luò)犯罪活動明顯增多�,電子商務(wù)網(wǎng)絡(luò)犯罪也逐漸開始呈公開化、大眾化的趨勢���。
(二)網(wǎng)絡(luò)病毒傳播方式的變化
過去���,傳播病毒通過網(wǎng)絡(luò)進行。目前�,通過移動存儲介質(zhì)傳播的案例顯著增加,存儲介質(zhì)已經(jīng)成為電子商務(wù)網(wǎng)絡(luò)病毒感染率上升的主要原因�。由于U盤和移動存儲介質(zhì)廣泛使用,病毒���、木馬通過autorun.inf文件自動調(diào)用執(zhí)行U盤中的病毒�����、木馬等程序��,然后感染用戶的計算機系統(tǒng)�,進而感染其他U盤。與往年相比����,今年通過網(wǎng)絡(luò)瀏覽或下載該病毒的比例在下降。不過��,從網(wǎng)絡(luò)監(jiān)測和用戶尋求幫助的情況來看���,大量的網(wǎng)絡(luò)犯罪通過“掛馬”方式來實現(xiàn)���。“掛馬”是指在網(wǎng)頁中嵌入惡意代碼�����,當(dāng)存在安全漏洞的用戶訪問這些網(wǎng)頁時����,木馬會侵入用戶系統(tǒng)���,然后盜取用戶敏感信息或者進行攻擊���、破壞�����。通過瀏覽網(wǎng)頁方式進行攻擊的方法具有較強的隱蔽性����,用戶更難于發(fā)現(xiàn)���,潛在的危害性也更大���。
(三)網(wǎng)絡(luò)病毒給電子商務(wù)造成的損失繼續(xù)增加
調(diào)查顯示,瀏覽器配置被修改����,損壞或丟失數(shù)據(jù),系統(tǒng)的使用受限���,網(wǎng)絡(luò)無法使用�����,密碼被盜造成都給電子商務(wù)造成嚴(yán)重的破壞后果�����。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播�����,攫取非法經(jīng)濟利益��,給被感染的用戶帶來重大損失��。繼“熊貓燒香”之后��,復(fù)合型病毒大量出現(xiàn)��,如:仇英��、艾妮等病毒���。同時�,網(wǎng)上販賣病毒、木馬和僵尸網(wǎng)絡(luò)的活動不斷增多����,利用病毒、木馬技術(shù)傳播垃圾郵件和進行網(wǎng)絡(luò)攻擊���、破壞的事件呈上升趨勢。
二�����、電子商務(wù)的安全問題及存在原因
1.對合法用戶的身份冒充�。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易�����,從而獲得非法利益�。
2.對信息的竊取。攻擊者在網(wǎng)絡(luò)的傳輸信道上�。通過物理或邏輯的手段,對數(shù)據(jù)進行非法的截獲與監(jiān)聽�,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號���,還能以欺騙的手法進行產(chǎn)品交易�����,甚至能洗黑錢��。
3.對信息的篡改����。攻擊者有可能對網(wǎng)絡(luò)上的信息進行截獲后篡改其內(nèi)容,如修改消息次序�、時間,注人偽造消息等���,從而使信息失去真實性和完整性�����。
4.拒絕服務(wù)���。攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻�����。
5.對發(fā)出的信息予以否認.某些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應(yīng)承擔(dān)的責(zé)任����。
6.信用威脅。交易者否認參加過交易���,如買方提交訂單后不付款�,或者輸人虛假銀行資料使賣方不能提款I(lǐng)用戶付款后�,賣方?jīng)]有把商品發(fā)送到客戶手中����,使客戶蒙受損失。
7.電腦病毒�����。電腦病毒問世十幾年來����,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介�。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動輒造成數(shù)百億美元的經(jīng)濟損失�。如,CIH病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡(luò)上數(shù)以萬計的計算機以沉重打擊�����。
三�、電子商務(wù)的安全需求
電子商務(wù)威脅的出現(xiàn)導(dǎo)致了對電子商務(wù)安全的需求,主要包括有效性����、完整性、不可抵賴性����、匿名性。
1.有效性�����。保證信息的有效性是開展電子商務(wù)的前提�,一旦簽訂交易,這項交易就應(yīng)得到保護以防止被篡改或偽造�����。
2.完整性。貿(mào)易雙方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略��,保持貿(mào)易雙方信息的完整性是電子商務(wù)的基礎(chǔ)����。
3.不可抵賴性。交易一旦達成��,原發(fā)送方在發(fā)送數(shù)據(jù)后就不能抵賴����,接收方接到數(shù)據(jù)后也不能抵賴。
4.匿名性��。電子商務(wù)系統(tǒng)應(yīng)確保交易的匿名性�,防止交易過程被跟蹤,保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體����。
四����、電子商務(wù)安全防治措施及安全舉措
防范電子商務(wù)網(wǎng)絡(luò)犯罪是一個系統(tǒng)工程,不僅需要人們提高防范電子商務(wù)網(wǎng)絡(luò)犯罪的意識��,加強防范電子商務(wù)網(wǎng)絡(luò)犯罪的制度建設(shè),而且.還需要技術(shù)上不斷更新和完善�,為此,需要做好以下幾方面的工作�。
1.加強教育和宣傳,提高公眾電子商務(wù)的安全意識��。信息安全意識是指人們在上網(wǎng)的過程中���,對信息安全重要性的認識水平��,發(fā)現(xiàn)影響網(wǎng)絡(luò)安全行為的敏銳性�,維護網(wǎng)絡(luò)安全的主動性���。強化上網(wǎng)人員的信息安全意識����,就是要讓上網(wǎng)人員認識到���,網(wǎng)絡(luò)信息安全是電子商務(wù)正常而高效運轉(zhuǎn)的基礎(chǔ)�,是保障企業(yè)�����、公民和國家利益的重要前提,從而牢同樹立網(wǎng)上交易��,安全第一的思想�。主要采取以下措施:一是通過大眾媒體,普及電子商務(wù)的安全知識���,提高用戶的認識���。二是積極組織研討會和培訓(xùn)課程,培養(yǎng)電子商務(wù)網(wǎng)絡(luò)營銷安全管理人才�。
2.采用多重網(wǎng)絡(luò)技術(shù),保證網(wǎng)絡(luò)信息安全�����。目前���,常用的電子商務(wù)安全技術(shù)�,主要包括:防火墻�,物理隔離��,VPN(虛擬專用網(wǎng))����。防火墻是實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)安全和入侵隔離的常規(guī)技術(shù)�。使用防火墻���,一方面是抵御來自外界的攻擊����。另一方面是為了防止在服務(wù)器內(nèi)部部分未經(jīng)授權(quán)的用戶攻擊�。因此,電子商務(wù)內(nèi)外網(wǎng)與互聯(lián)網(wǎng)之間要設(shè)置防火墻��。網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補丁程序����,以便進行網(wǎng)絡(luò)維護,同時經(jīng)常掃描整個內(nèi)部網(wǎng)絡(luò)����,發(fā)現(xiàn)任何安全隱患及時更改,做到有備無患�����。企業(yè)上網(wǎng)必須實行內(nèi)外網(wǎng)劃分和內(nèi)外網(wǎng)的物理隔離��。要運用VPN新技術(shù),為使用者提了一種通過公用網(wǎng)絡(luò)�,安全地對食業(yè)網(wǎng)絡(luò)進行遠程訪問,同時又能保證企業(yè)的系統(tǒng)安全���。包括操作系統(tǒng)����、數(shù)據(jù)庫和服務(wù)器(如Web服務(wù)器�、E-MAII。服務(wù)器)的安全��。
3.運用密碼技術(shù)����,強化通信安全。應(yīng)圍繞數(shù)字證書應(yīng)用�,為電子政府信息網(wǎng)絡(luò)中各種業(yè)務(wù)應(yīng)用提供信息的真實性、完整性�����、機密性和不可否認性保證�����。在業(yè)務(wù)系統(tǒng)中建立有效的信任管理機制����、授權(quán)控制機制和嚴(yán)密的責(zé)任機制。目前要加強身份認證���、數(shù)據(jù)完整性���、數(shù)據(jù)加密、數(shù)字簽名等工作�。對于電子商務(wù)中的各種敏感數(shù)據(jù)進行數(shù)據(jù)加密處理,并且在數(shù)據(jù)傳輸中采用加密傳輸��,以防止攻擊者竊密�。電子商務(wù)信息交換中的各種信息,必須通過身份認證來確認其合法性����,然后確定這個用戶的個人數(shù)據(jù)和特定權(quán)限?���!霸谏婕岸鄠€對等實體間的交互認征時,應(yīng)采用基于PKI技術(shù)��,借助第三方(CA)頒發(fā)的數(shù)字證書數(shù)字簽名來確認彼此身份?!睘榱藦母旧媳WC我國網(wǎng)絡(luò)的安全,我同安全產(chǎn)品的應(yīng)用應(yīng)建立在國內(nèi)自主研發(fā)的產(chǎn)品基礎(chǔ)上��,國外的先進技術(shù)可以參考�,但不能完全照搬。政府應(yīng)該鼓勵和扶植一批企業(yè)加快數(shù)字安全技術(shù)的研究���,以提高我國信息企業(yè)的技術(shù)和管理水平����,促進我同電子商務(wù)安全建設(shè)�。
4.加強技術(shù)管理,努力做到使用安全����。首先是在內(nèi)部嚴(yán)格控制企業(yè)內(nèi)部人員對網(wǎng)絡(luò)共享資源的隨意使用。在內(nèi)網(wǎng)中��,除有特殊需要不要輕易開放共享目錄���,對有經(jīng)常交換信息要求的用戶����,在共享時應(yīng)該加密,即只有通過密碼的認證才允許訪問數(shù)據(jù)���。二是對涉及秘密信息的用戶主機,使用者在應(yīng)用過程中應(yīng)該做到盡可能少開放一些不常用的網(wǎng)絡(luò)服務(wù)�����,同時封閉一些不用的端口�。并對服務(wù)器中的數(shù)據(jù)庫進行安全備份。三是切實保證媒體安全����。包括媒體數(shù)據(jù)的安全及媒體本身的安全。要防止系統(tǒng)信息在物理空間上的擴散����。為了防止系統(tǒng)中的信息在物理空間上的擴散,應(yīng)在物理上采取一定的防護措施����,如進行一定的電磁屏蔽,減少或干擾擴散出去的空間信號�����。這樣做,對確保企業(yè)電子商務(wù)安全將發(fā)揮重要作用��。
5.健全法律�����,嚴(yán)格執(zhí)法�����。目前我國在電子商務(wù)法律法規(guī)方面還有很多缺失����,不能有效地保護公眾的合法權(quán)益,給一些犯罪分子帶來了可乘之機�����。我國立法部門應(yīng)加快立法進程��,吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進經(jīng)驗��,盡快制定和頒布《個人隱私保護法》��、《商業(yè)秘密保護法》、《數(shù)據(jù)庫振興法》���、《信息網(wǎng)絡(luò)安全法》���、《電子憑證(票據(jù))法》、《網(wǎng)上知識產(chǎn)權(quán)法》等一系列法律���,使電子商務(wù)安全管理走上法制化軌道。使網(wǎng)絡(luò)控制�����、信息控制����、信息資源管理和防止泄密有法可依,并得到技術(shù)上的支撐�。健全電子商務(wù)安全標(biāo)準(zhǔn)認證和質(zhì)量檢測機制,由國家主管部門組織制定有關(guān)電子商務(wù)安全條例規(guī)定��,并發(fā)揮職能部門的監(jiān)管作用���。通過建立電子商務(wù)安全法規(guī)體系�����,規(guī)范和維持網(wǎng)絡(luò)的正常運行����。
參考文獻:
[1]許寧寧.電子商務(wù)安全的現(xiàn)狀與趨勢[J].中國電子商務(wù),2010���,(1).
篇11
隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用��,我國電子商務(wù)的安全問題也日益突出���。根據(jù)“2010年上半年,計算機病毒和互聯(lián)網(wǎng)安全報告疫情”的數(shù)據(jù)表明���,2010年上半年�,計算機病毒����,木馬的數(shù)量依然保持快速增長,新病毒不斷出現(xiàn)����,一些“老”的病毒推出了眾多變種���。2010年上半年計算機病毒,木馬數(shù)量迅速增加�,超出了近五年病毒數(shù)量的總和。在日益增多的電子商務(wù)安全問題面前�����,需要我們采取新措施來進行防范��。
一���、電子商務(wù)的安全現(xiàn)狀
目前電子商務(wù)的安全問題比較嚴(yán)重,最突出的表現(xiàn)在計算機網(wǎng)絡(luò)安全和商業(yè)誠信問題上�。因為篇幅問題,本文只側(cè)重于計算機網(wǎng)絡(luò)安全問題的描述和解決對于其他方面的問題不作詳細的分析���。與以往相比電子商務(wù)安全呈現(xiàn)出以下特點:
(一)木馬病毒爆炸性增長�����,變種數(shù)量的快速增加
據(jù)統(tǒng)計��,僅2009年上半年掛載木馬網(wǎng)頁數(shù)量累計達2.9億個�����,共有11.2億人次網(wǎng)民訪問掛載木馬��,2010年元旦三天就新增電腦病毒50萬�。病毒的數(shù)量不僅增速變快,智能型���,病毒變種更新速度快是本年度病毒的又一個特征�?���?傮w而言,目前的新木馬不多�,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快�����,病毒存活時間越來越短���,因此���,今天的病毒投放者不再投放單一的病毒�,而是通過病毒下載器來進行病毒投放��,可以自動從指定的網(wǎng)址上下載新病毒�,并進行自動更新,永遠也無法斬盡殺絕所有的病毒�����。同時病毒制造����、傳播者利用病毒木馬技術(shù)進行網(wǎng)絡(luò)盜竊、詐騙活動��,通過網(wǎng)絡(luò)販賣病毒�、木馬,教授病毒編制技術(shù)和網(wǎng)絡(luò)攻擊技術(shù)等形式的網(wǎng)絡(luò)犯罪活動明顯增多��,電子商務(wù)網(wǎng)絡(luò)犯罪也逐漸開始呈公開化�����、大眾化的趨勢���。
(二)網(wǎng)絡(luò)病毒傳播方式的變化
過去��,傳播病毒通過網(wǎng)絡(luò)進行��。目前�,通過移動存儲介質(zhì)傳播的案例顯著增加����,存儲介質(zhì)已經(jīng)成為電子商務(wù)網(wǎng)絡(luò)病毒感染率上升的主要原因。由于u盤和移動存儲介質(zhì)廣泛使用���,病毒��、木馬通過autorun.inf文件自動調(diào)用執(zhí)行u盤中的病毒�����、木馬等程序�����,然后感染用戶的計算機系統(tǒng)���,進而感染其他u盤。與往年相比,今年通過網(wǎng)絡(luò)瀏覽或下載該病毒的比例在下降�。不過,從網(wǎng)絡(luò)監(jiān)測和用戶尋求幫助的情況來看�����,大量的網(wǎng)絡(luò)犯罪通過“掛馬”方式來實現(xiàn)�����?��!皰祚R”是指在網(wǎng)頁中嵌入惡意代碼����,當(dāng)存在安全漏洞的用戶訪問這些網(wǎng)頁時�����,木馬會侵入用戶系統(tǒng)����,然后盜取用戶敏感信息或者進行攻擊�、破壞。通過瀏覽網(wǎng)頁方式進行攻擊的方法具有較強的隱蔽性�,用戶更難于發(fā)現(xiàn)����,潛在的危害性也更大�����。
(三)網(wǎng)絡(luò)病毒給電子商務(wù)造成的損失繼續(xù)增加
調(diào)查顯示�,瀏覽器配置被修改,損壞或丟失數(shù)據(jù)��,系統(tǒng)的使用受限����,網(wǎng)絡(luò)無法使用,密碼被盜造成都給電子商務(wù)造成嚴(yán)重的破壞后果�。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經(jīng)濟利益��,給被感染的用戶帶來重大損失�����。繼“熊貓燒香”之后�����,復(fù)合型病毒大量出現(xiàn),如:仇英�����、艾妮等病毒����。同時,網(wǎng)上販賣病毒���、木馬和僵尸網(wǎng)絡(luò)的活動不斷增多�����,利用病毒���、木馬技術(shù)傳播垃圾郵件和進行網(wǎng)絡(luò)攻擊、破壞的事件呈上升趨勢�����。
二��、電子商務(wù)的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料��,仿冒合法用戶的身份與他人進行交易���,從而獲得非法利益。
2.對信息的竊取��。攻擊者在網(wǎng)絡(luò)的傳輸信道上�。通過物理或邏輯的手段,對數(shù)據(jù)進行非法的截獲與監(jiān)聽�����,從而得到通信中敏感的信息����。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產(chǎn)品交易�,甚至能洗黑錢。
3.對信息的篡改����。攻擊者有可能對網(wǎng)絡(luò)上的信息進行截獲后篡改其內(nèi)容,如修改消息次序���、時間�����,注人偽造消息等���,從而使信息失去真實性和完整性�����。
4.拒絕服務(wù)����。攻擊者使合法接入的信息�、業(yè)務(wù)或其他資源受阻。
5.對發(fā)出的信息予以否認.某些用戶可能對自己發(fā)出的信息進行惡意的否認��,以推卸自己應(yīng)承擔(dān)的責(zé)任���。
6.信用威脅��。交易者否認參加過交易���,如買方提交訂單后不付款��,或者輸人虛假銀行資料使賣方不能提款i用戶付款后���,賣方?jīng)]有把商品發(fā)送到客戶手中,使客戶蒙受損失�。
7.電腦病毒�����。電腦病毒問世十幾年來�����,各種新型病毒及其變種迅速增加�,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑��,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快�����,動輒造成數(shù)百億美元的經(jīng)濟損失����。如��,cih病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡(luò)上數(shù)以萬計的計算機以沉重打擊�����。
三����、電子商務(wù)的安全需求
電子商務(wù)威脅的出現(xiàn)導(dǎo)致了對電子商務(wù)安全的需求����,主要包括有效性、完整性����、不可抵賴性、匿名性���。
1.有效性��。保證信息的有效性是開展電子商務(wù)的前提���,一旦簽訂交易,這項交易就應(yīng)得到保護以防止被篡改或偽造�。
2.完整性����。貿(mào)易雙方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略���,保持貿(mào)易雙方信息的完整性是電子商務(wù)的基礎(chǔ)���。
3.不可抵賴性。交易一旦達成�����,原發(fā)送方在發(fā)送數(shù)據(jù)后就不能抵賴���,接收方接到數(shù)據(jù)后也不能抵賴。
4.匿名性�。電子商務(wù)系統(tǒng)應(yīng)確保交易的匿名性,防止交易過程被跟蹤���,保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體�����。
四����、電子商務(wù)安全防治措施及安全舉措
防范電子商務(wù)網(wǎng)絡(luò)犯罪是一個系統(tǒng)工程,不僅需要人們提高防范電子商務(wù)網(wǎng)絡(luò)犯罪的意識��,加強防范電子商務(wù)網(wǎng)絡(luò)犯罪的制度建設(shè)�����,而且.還需要技術(shù)上不斷更新和完善��,為此��,需要做好以下幾方面的工作�。
1.加強教育和宣傳,提高公眾電子商務(wù)的安全意識��。信息安全意識是指人們在上網(wǎng)的過程中�����,對信息安全重要性的認識水平��,發(fā)現(xiàn)影響網(wǎng)絡(luò)安全行為的敏銳性�����,維護網(wǎng)絡(luò)安全的主動性。強化上網(wǎng)人員的信息安全意識����,就是要讓上網(wǎng)人員認識到,網(wǎng)絡(luò)信息安全是電子商務(wù)正常而高效運轉(zhuǎn)的基礎(chǔ)����,是保障企業(yè)、公民和國家利益的重要前提��,從而牢同樹立網(wǎng)上交易�,安全第一的思想。主要采取以下措施:一是通過大眾媒體����,普及電子商務(wù)的安全知識����,提高用戶的認識。二是積極組織研討會和培訓(xùn)課程��,培養(yǎng)電子商務(wù)網(wǎng)絡(luò)營銷安全管理人才����。
2.采用多重網(wǎng)絡(luò)技術(shù)����,保證網(wǎng)絡(luò)信息安全�。目前,常用的電子商務(wù)安全技術(shù)����,主要包括:防火墻,物理隔離�����,vpn(虛擬專用網(wǎng))���。防火墻是實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)安全和入侵隔離的常規(guī)技術(shù)�����。使用防火墻��,一方面是抵御來自外界的攻擊�����。另一方面是為了防止在服務(wù)器內(nèi)部部分未經(jīng)授權(quán)的用戶攻擊�����。因此��,電子商務(wù)內(nèi)外網(wǎng)與互聯(lián)網(wǎng)之間要設(shè)置防火墻���。網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補丁程序��,以便進行網(wǎng)絡(luò)維護���,同時經(jīng)常掃描整個內(nèi)部網(wǎng)絡(luò),發(fā)現(xiàn)任何安全隱患及時更改��,做到有備無患����。企業(yè)上網(wǎng)必須實行內(nèi)外網(wǎng)劃分和內(nèi)外網(wǎng)的物理隔離���。要運用vpn新技術(shù)���,為使用者提了一種通過公用網(wǎng)絡(luò),安全地對食業(yè)網(wǎng)絡(luò)進行遠程訪問,同時又能保證企業(yè)的系統(tǒng)安全�����。包括操作系統(tǒng)��、數(shù)據(jù)庫和服務(wù)器(如web服務(wù)器�、e-maii。服務(wù)器)的安全����。
3.運用密碼技術(shù),強化通信安全��。應(yīng)圍繞數(shù)字證書應(yīng)用����,為電子政府信息網(wǎng)絡(luò)中各種業(yè)務(wù)應(yīng)用提供信息的真實性、完整性�����、機密性和不可否認性保證����。在業(yè)務(wù)系統(tǒng)中建立有效的信任管理機制���、授權(quán)控制機制和嚴(yán)密的責(zé)任機制。目前要加強身份認證�、數(shù)據(jù)完整性、數(shù)據(jù)加密�、數(shù)字簽名等工作。對于電子商務(wù)中的各種敏感數(shù)據(jù)進行數(shù)據(jù)加密處理����,并且在數(shù)據(jù)傳輸中采用加密傳輸,以防止攻擊者竊密��。電子商務(wù)信息交換中的各種信息��,必須通過身份認證來確認其合法性���,然后確定這個用戶的個人數(shù)據(jù)和特定權(quán)限�?���!霸谏婕岸鄠€對等實體間的交互認征時,應(yīng)采用基于pki技術(shù)���,借助第三方(ca)頒發(fā)的數(shù)字證書數(shù)字簽名來確認彼此身份����?���!睘榱藦母旧媳WC我國網(wǎng)絡(luò)的安全,我同安全產(chǎn)品的應(yīng)用應(yīng)建立在國內(nèi)自主研發(fā)的產(chǎn)品基礎(chǔ)上,國外的先進技術(shù)可以參考��,但不能完全照搬��。政府應(yīng)該鼓勵和扶植一批企業(yè)加快數(shù)字安全技術(shù)的研究���,以提高我國信息企業(yè)的技術(shù)和管理水平�����,促進我同電子商務(wù)安全建設(shè)��。
4.加強技術(shù)管理����,努力做到使用安全��。首先是在內(nèi)部嚴(yán)格控制企業(yè)內(nèi)部人員對網(wǎng)絡(luò)共享資源的隨意使用����。在內(nèi)網(wǎng)中����,除有特殊需要不要輕易開放共享目錄���,對有經(jīng)常交換信息要求的用戶�,在共享時應(yīng)該加密����,即只有通過密碼的認證才允許訪問數(shù)據(jù)。二是對涉及秘密信息的用戶主機�����,使用者在應(yīng)用過程中應(yīng)該做到盡可能少開放一些不常用的網(wǎng)絡(luò)服務(wù)��,同時封閉一些不用的端口����。并對服務(wù)器中的數(shù)據(jù)庫進行安全備份。三是切實保證媒體安全��。包括媒體數(shù)據(jù)的安全及媒體本身的安全����。要防止系統(tǒng)信息在物理空間上的擴散。為了防止系統(tǒng)中的信息在物理空間上的擴散����,應(yīng)在物理上采取一定的防護措施,如進行一定的電磁屏蔽�,減少或干擾擴散出去的空間信號。這樣做�����,對確保企業(yè)電子商務(wù)安全將發(fā)揮重要作用��。
5.健全法律��,嚴(yán)格執(zhí)法�����。目前我國在電子商務(wù)法律法規(guī)方面還有很多缺失�,不能有效地保護公眾的合法權(quán)益,給一些犯罪分子帶來了可乘之機��。我國立法部門應(yīng)加快立法進程����,吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進經(jīng)驗��,盡快制定和頒布《個人隱私保護法》����、《商業(yè)秘密保護法》����、《數(shù)據(jù)庫振興法》、《信息網(wǎng)絡(luò)安全法》�、《電子憑證(票據(jù))法》、《網(wǎng)上知識產(chǎn)權(quán)法》等一系列法律����,使電子商務(wù)安全管理走上法制化軌道。使網(wǎng)絡(luò)控制����、信息控制、信息資源管理和防止泄密有法可依�,并得到技術(shù)上的支撐。健全電子商務(wù)安全標(biāo)準(zhǔn)認證和質(zhì)量檢測機制���,由國家主管部門組織制定有關(guān)電子商務(wù)安全條例規(guī)定��,并發(fā)揮職能部門的監(jiān)管作用����。通過建立電子商務(wù)安全法規(guī)體系,規(guī)范和維持網(wǎng)絡(luò)的正常運行���。
參考文獻:
[1]許寧寧.電子商務(wù)安全的現(xiàn)狀與趨勢[j].中國電子商務(wù),2010����,(1).
