关于个人信息安全篇1
【关键词】网络购物;个人信息安全;技术保护
analysisonpersonalinformationSecurityproblemsinthenetworkShoppingprocess
LinXiang-xing
(GuangzhouBaiyuninternationalairport,ComputerinformationServiceCenterGuangdongGuangzhou510470)
【abstract】inrecentyears,withthedevelopmentofinternetandeconomy,andthecontinuousimprovementoftheenvironmentofe-commerce,newshoppingmode――therapidgrowthofonlineshopping.Butthedevelopmentisadouble-edgedsword,convenientatthesametime,allkindsofpotentialsafetyproblemshavebecomeincreasinglyprominent.thispaperwilltaketheonlineshoppingamongthethreatofpersonalinformationchannelsandnetworkshoppingpersonalinformationinvasionaremainlyintheformasthefoundation,analysisofthemainmeasurestoimprovethesecurityofonlineshoppingandonlineshopping,optimizetheenvironment,promotetheharmoniousdevelopmentofeconomy.
【Keywords】networkshopping;personalinformationsecurity;protectiontechnology
1引言
随着互联网技术的不断发展,近年来,我国网民的数量也得到持续增长,消费者选择网购的数量也在逐年增加当中。从一定程度上来说,网购使得人们生活方式更为便捷,加速了社会化的进程。但同时,由于网购所带来的利益,个人信息便具有了特定的商品属性,在网购的过程当中,个人信息也更易被泄漏与搜集,侵害了消费者的权益与个人隐私。
2网络购物当中威胁个人信息的渠道分析
第一,用户登录及注册过程。在进行网购之前,所有的用户都需要首先进行相关个人信息的注册方可登录进行网购活动,在这个过程当中,商家会轻易地将每个用户的个人信息进行获取。而对于消费者来说,将个人信息提供给网站时,是具有一定隐患存在的。首先,网站对于这些信息将怎么使用,消费者并不清楚,而且也不知商家是否会将这些信息进行泄露。其次,网购时提供的相关信息,很容易导致这些信息受到攻击,个人信息受到损失,甚至连身份也可能受到盗用。
第二,网页浏览过程。用户在每次访问图像或网面相关的内容时,都会相应在网络服务器日志上面留下相关记录。比如用户的快递查询、网络地址这些信息都有可能遗留,在这个过程中还会产生Cookie文件,Cookie它会自动标识某个用户经常可能会使用到的账号及浏览器组合。有些商家就会运用Cookie软件来实现对用户相关操作进行一系列跟踪,商家就会得到某些用户经常购买的商品中、浏览的相关网页、消费金额与次数等,此外,在浏览这个过程中,网页会自动弹出一些视频广告和图片,很多网站在其首页也会嵌入第三方信息,即运用合法视频代码段与图片,跟踪用户网上交易行为。而这些第三方的广告嵌入实际上增加了网购个人信息风险。
第三,填写订单的过程。消费者在确认自己购物车的总额和商品后,需要填写相关的订货单,这些就包括这次会议的商品及送货信息。通过这些填写的信息,送货者以及商家就能十分清楚了解到消费者的某些个人资料,因而会导致个人信息出现泄露的可能。除此之外,订单中所包含的商品信息,也可间接折射出消费者的购物倾向与消费能力等。
第四,网络支付过程。网络支付当中存在的安全威胁大致包括交易劫持木马、钓鱼网站以及盗号木马三大类。据相关调查显示,在2011年,我国的网络购物环境十分的严峻,每天新增的类似的钓鱼网站平均达到1500多个以上,新型的交易木马也已发展至千余个,每日平均攻击量多达2000多次,这些严重危害到消费者网购当中的个人信息安全。
3网络购物个人信息受侵的主要形式
首先,个人信息的非法收集。网购过程中,信息的非法收集主要包括几种手段:第一,运用Cookie软件对消费者网络操作进行跟踪;第二,利用网络黑客对他人系统进行非法侵入,运用非授权登录模式,对他人的系统进行恶意攻击,以获取到个人隐私并可篡改个人信息;第三,运用免费奖品或电子邮件的服务形式,对消费者的个人信息进行非法搜集,在为消费者提供免费服务与商品的时候,一般也会要求网购者提供相关个人信息,这些信息就自然而然地被商家搜集起来了。此外,还有诸如垃圾邮件等形式。
其次,对消费者的个人信息进行非法的开发及利用。对消费者的个人信息进行一定的分析,是商家开展经营、服务与生产的基础。他们会将消费者的个人信息建立起综合数据库,透过分析这些信息,可以得到消费者一些不为人知的信息,从中获取对自身经营有利的信息。上面已提到,消费者在网购当中提供的各类个人信息,商家就会根据自自己搜集到的信息,对消费者所需信息进行分析,进而得到消费者其它商品听所需,然后就会对其进行相关邮件的发送。别的商家也会同样发送这类邮件,则是由购买商品商家同这些商家之间存在一定的合作关系所决定的。
网购环境当中,对于信息进行二次开发规范就当前来说还是一件比较棘手的事情,如果商家的行为会为消费者带来相服务,那么这种二次开发就是受到消费者所青睐的。与此相反,如果二次开发是直接用来牟取利益,进而致使消费者个人信息得到泄漏增添生活干扰之时,那么这类二次开发理应受到相关临管。因此,明白分析出消费者个人所需,但不进行随意传播是商家的理应承担的职责所在。
4提高网络购物安全的主要措施
第一,消费者自身养成良好上网习性。在上网过程当中,对于一些不良网站及黑客站,可以运用菜单栏当中的工具选项当中的安全选项来对这些不良信息进行屏蔽,防止此类站点对消费者个人息信进行侵害。此外,还可访问网站安全证书,当前,许多的大型电子商务网站在其交易的页面,都运用了安全传输的技术,以“https”为网页开头,如果不是以这个为打头的网站,那么就得谨慎对待。再者,还要定期对一些历史记录及缓存进行清除,消费者上网进行信息浏览之时,其浏览记录会自动记录,方便下次访问,提高浏览的效率。但与此同时,这些历史记录及缓存都会保存太多上网的记录,如果一量遭到利用,那么都会对消费者信息造成不必要的危害。
第二,了解相关网络技术。一般而言,消费者可以通过一些技术手段来强化对于个人信息的保护及控制水平。比如有效利用浏览和匿名注册手段,对于Cookie的禁用与删除等。在进行个人信息传输这时,尽量运用到加密技术;在个人计算机上安装防火墙等手段,这些措施虽不能达到100%的保护,但在一定程度上来说,还是可以起到有效防止个人信息泄露的作用。
第三,健全网络立法体系。当前,世界上已经有五十多个国家以及地区,进行了个人信息保护方面的相关法律法规。而在我国法律当中,《行政法》、《刑法》、《宪法》等法律等都不同程度地对个人信息保护进行了涉及,但从总体上来看,还是显得过于零散。由于电子商务在我国兴起较晚,针对此体系相关的立法还存在较大空缺,而网购平台特殊的性质,又增加了处理问题的难度。在这样的情况之下,建立健全相关网购立法就显得刻不容缓。比如《网络商品交易及有关服务行为管理暂行办法(征求意见稿)》就将消费者的个人隐私纳为其保护的范围,从而有效防止商家将个人信息用于商业活动,起到进一步保护信息安全的作用。总的来说,建全网购立法可以有效促进网络购物良性发展,更好地对消费者个人的信息资料进行保护,但我国在这方面的发展,仍有一段很长的路要走。
第四,加强技术防护。针对网购经常出现的安全问题,笔者根据实践经验出发,建议从几个角度出发提高网络防护水平。
首先,加密技术。这是目前为目被公认的一种最为有效的安全保障模式。它主要采用的是一种主动安全防范的策略,可以有效保证信息机密性。它的原理就是根据确定的密码计算方法将一些敏感数据转换成非常不容易识别的一些密文数据。当查看加密文件之时,必须用密钥对密文数据进行还原。除了所提到的密钥技术之外,还可运用数据的加密技术,包括节点加密及链路加密技术,阻止第三方获取数据的途径。
其次,实行数字签名措施。这项技术的原理是发送者将相关摘要进行一些私钥加密,对于接受方来说,只有运用发送者公钥方能打开摘要。这项技术在当今的网络系统当中,占有重要地位,它是一种信息的认证技术,可以有效保证文件的有效性与真实性,同时也可用来核实信息接收者是否存在篡改及伪造行为。
再次,实行防火墙技术。这是近年来最为重要的一种安全技术,主要功能就在于控制网络之间的访问,防止外部用户利用非法手段侵入到内部网络里面。它的原理是对多个网络间链接方式及数据包遵照相关安全策略进行有关检查,以此来决定各网络间的通信能否执行,交对网络运行状态进行监视。就当前而言,此项技术可以通过路由器实现简单操作,起到一个网络不直接受到另一网络攻击,但这类防护措施也有一定局恨性存在,由于其依赖于口令,因此它不能实现黑客对于口令攻击的防范。
第五,强化个人保护意识。消费者在进行相关资料的填写过程中,除了商家要求必须进行填写的信息之外,其余资料应该尽量不外泄,如有必要,还可以提供虚假信息,比如真实地址、虚假姓名,这样可一定程度上减少信息的外泄。
除此之外,消费者还可主动对商家的保护策略及隐私进行了解,包括商家经营范围及主体,怎样维权等信息,进行综合衡量再选择信誉度较高的店铺。
过去10年,我国电子信息技术的发展实现了质的跨越,C2C、B2C等形式的网购模式不断兴起,这是一个不断进步、不断超越的过程,又是一个与挑战并存的过程。随着网络步伐的不断加快、经济水平的不断提高,我国网络公司以及网民素质的双重增长,相关的服务形式也在不断提升与完善过程当中,可以说,我国电子商务的市场潜力是非常巨大的。
与此同时,我国电子交易认证体系、网络诚信、现代物流与在线支付也在不断的完善与建立当中、现代服务行业与日俱增,这些因素都为我国电子商务的发展提供了基础性的保障。对于拥有如此巨大份额的电子商务平台来说,网络购物过程当中的个人信息安全问题也必将可以得到妥善解决。
参考文献
[1]胡晓荷.网络购物隐含风险,企业如何说“不”?[J].信息安全与通信保密,2010年4期.
[2]李倩倩.消费者对电子商务企业初始信任的影响因素研究[J].中国商贸,2012年19期.
[3]孙金丽.网络购物中消费者决策行为模型的构建[J].中国管理信息化(会计版),2011年18期.
关于个人信息安全篇2
关键词:大数据;云计算;信息安全;协同保护
中图分类号:tp393文献标识码:a文章编号:1009-3044(2016)03-0053-03
随着云计算、物联网、移动互联网和智慧城市的快速发展,全球数据量呈现爆发式、多样化、指数级的增长,大数据时代已经到来,成为继云计算之后信息技术领域新的产业增长点。然而,在大数据和云计算产业蓬勃发展的同时,个人信息及隐私数据泄露事件层出不穷,“12306用户数据泄露”、“支付宝安全门”等事件为大数据与云计算环境下个人信息安全保护敲响了警钟,提出了新挑战。日益严峻的个人信息安全问题不仅威胁和侵害了巨大用户的利益,还关系到经济健康发展、社会稳定和国家安全。
1我国个人信息安全保护存在的问题及成因
1.1大数据与云计算环境下的新应用带来新的安全风险
大数据与云计算时代,经济社会信息化程度越来越高,针对个人信息采集的范围日趋广泛,涉及诸多个人隐私信息,除了基本的身份信息外,还包括金融交易类数据、社交网络数据、地理位置数据、网络言论等,通过对这些数据的关联、聚合可以挖掘还原出个人社会生活的概况。当采集的数据量达到一定规模时还将会产生巨大的经济效益[1]。在巨大的经济利益驱动下,针对个人信息的采集、处理、应用等都成为非法分子的攻击利用目标。大数据与云计算环境下的信息安全呈现出了一些新特性,包括隐蔽关联性、集群风险性、泛在模糊性、跨域渗透性和交叉复杂性,这些新特性给个人信息安全保护带来了新挑战[2]。
1.2个人信息安全保护法律体系有待完善
我国的个人信息保护法律体系还处于初期阶段,虽然制定了一些与信息安全相关的法律,但与欧盟、美国相比,缺乏个人信息保护系统化的法律体系,立法进程还需要进一步推进[3]。2012年12月,全国人大常委会出台了《关于加强网络信息保护的决定》,强化了以法律形式保护个人信息安全,规定了个人信息保护的基本原则,但是可操作性不强,还需要操作性强的配套实施细则。2013年2月,我国第一个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》正式实施,明确规定了个人敏感信息在收集和利用之前,必须获得个人信息主体的授权。但在实施过程中政府还应出台相应的激励政策,促进行业主体自觉遵守。
1.3传统的安全技术难以适应大数据云计算时代的新要求
传统的信息安全技术不能完全照搬应用到新兴的大数据领域,云计算、移动互联网等新技术的发展为大数据的采集、处理等提出了新的安全挑战。一是我国大数据、云计算所使用的主流操作系统、存储系统等都严重依赖国外,存在被植入后门的风险。二是传统的信息安全防护体系难以大数据云计算时代的新要求。传统的安全防护技术适用于某个环节,而大数据云计算时代要求做到个人信息安全保护实现全流程、全生命周期的立体化纵深防御。
1.4个人信息安全统一监管和行业自律亟待加强
随着大数据、云计算在经济社会生活各方面的日益广泛应用,当前对于个人信息安全的政府监管和行业自律显得滞后,不能较好地适应大数据、云计算的发展需求。一是在国家层面还没有建立统一、高效的针对个人信息安全的监管体系,普遍处于多头监管、无序监管、监管不力的状态;二是没有建立有效的行业自律机制。针对大数据、云计算环境下的个人信息安全保护,各个行业缺乏个人信息安全保护的主动性,自律意识不强,没有制定本行业的信息保护标准和相关制度,行业自律缺失。
1.5信息安全人才培养质量有待提高
我国十分重视信息安全的人才培养,基本形成了信息安全本科、硕士、博士完整的人才培养体系。据统计,全国有100余所高校设立了信息安全专业,每年培养数以万计的信息安全人才。教育部成立了“高等学校信息安全专业教学指导委员会”负责对信息安全专业建设发展的宏观指导。
但目前信息安全人才培养也存在一些问题。一是由于2015年以前信息安全不是一级学科,普遍挂靠在其他学科之下,导致管理体制不顺,不利于学科建设和人才培养。二是一些高校的信息安全师资队伍力量薄弱。这就导致部分高校信息安全专业的有些课程没有开设。再加上一些高校缺乏必要的信息安全实验条件,影响了学生的动手实践能力的培养,这样就导致一些高校信息安全人才培养的质量很难得到有效保障[4]。
2国外个人信息安全保护典型经验和做法
2.1美国、欧盟等建立较为完善的信息安全保护法律体系
美国制定了一系列信息安全保护的法律,加强个人信息安全保护。1966年美国国会颁布了《信息自由法》,这是美国在信息安全领域立法的起点。1974年出台的《隐私权法》明确规定了信息公开与隐私保护的处理规则。1986年出台的《电子通信隐私法》对政府拦截监听通信信号的范围与标准等做了相关规定。之后美国先后制定了《计算机安全法》(1987年)、《通信净化法》(1996年)、《数据保密法》(1997年)、《网络电子安全法案》(1999年)、《网络安全信息法》(2000年)、《网络安全法案》(2009年)等20余部法律,以上这些法律均由美国最高立法机关国会制定,构成了美国最基本的信息安全法律体系框架[5]。
欧盟在欧洲议会、欧盟理事会和成员国的共同努力下,不断制定和完善信息安全法律法规体系。例如,1981年通过了《有关个人资料自动化处理保护个人公约》,1995年欧盟制定了《个人数据保护指令》以保护个人数据及其自由流动,2002年通过了《关于电子通信行业个人数据处理与个人隐私保护指令》等,此外还出台了一系列指令、决定、决议和公约。
2.2美、英、日、德等国普遍建立信息安全国家战略
美国:美国在全球互联网领域拥有绝对的控制权和主导权。2009年了《网络空间政策评估---保障可信和强健的信息和通信基础设施》,2011年了《网络空间国际战略》进一步确立了其战略意图。
英国:英国于2009年颁布了《英国网络安全战略》,着眼于从宏观长远角度加强网络安全建设,维护本国网络安全。
日本:日本于2005年组建了跨越陆海空的“网络战部队”。2006年、2009年先后了《第一个国家信息安全战略》、《第二个国家信息安全战略》,2011年了《保护国民信息安全战略》,2013年制定了《网络安全战略》,同时组建了“网络防卫队”。
德国:作为欧洲信息技术最为发达的德国,高度重视网络信息安全建设。1997年就了世界上第一部计算机网络服务方面的单行法律---《多媒体法》,2011年了《德国网络安全战略》,成立了国家网络防御中心,建立了国家网络安全委员会[6]。
2.3美国在互联网领域具有领先的技术和产品优势
美国在互联网领域具有独特的优势,在全球13个根域名服务器中占据了3个,拥有全球最大的网络带宽,拥有最大用户数量的信息服务以及领先的软硬件核心技术。以microsoft、iBm、apple、Google、intel、oracle、Cisco等为代表的信息巨头公司在全球信息安全产业中占据着基础性的关键支撑作用,改变着全球用户的工作和生活方式。以Symantec、trendmicro等为代表的信息安全产业巨头引领着全球信息安全产业发展[7]。
3构建个人信息安全立体协同保护体系
新技术、新应用的快速发展带来诸多新的安全威胁,传统的安全防御手段难以适应新环境下的新要求,大数据与云计算环境下个人信息安全保护面临许多新挑战,亟须从管理机制、法律体系、技术产业、监管自律、人才培养、宣传教育等方面着手建立体协同的个人信息安全协同保护体系。
3.1加强顶层设计,建立综合协同的信息安全管理机制
2014年成立了中央网络安全和信息化领导小组办公室,担任组长,体现了我国保障网络安全、推动信息化发展的强大决心。作为全球网络攻击的主要受害国,我国应因势而谋,顺势而为,从全球化的视角审视我国信息安全形势,加快制定国家信息安全战略,主动提升我国在信息安全领域的战略威慑能力。同时地方各部门也应加强网络安全建设,做好顶层设计。打破传统上“九龙治水”的管理格局,克服多头管理、职能交叉的弊端,成立对应的信息安全管理机构,跨部门、跨行业的综合协同管理机制。
3.2建立健全个人信息安全保护的法律体系
加快出台个人信息安全保护的相关法律法规,进一步规范政府、企业和相关机构对个人信息采集、保存和使用的行为,依法惩处信息安全违法行为,确保个人信息安全。同时进一步完善现有的信息安全法律法规,配套设施细则,增强法律执行的可操作性,严厉打击个人信息安全保护中的违法行为,提高违法成本,保障个人信息安全,逐步建立健全个人信息安全保护法律体系。
3.3加强个人信息安全保护技术研发,推动信息安全产业发展
技术层面。加大政策资金的扶持力度,积极鼓励科研机构、高校、企业等共同加强对信息安全保护相关技术的研发和创新,从技术层面保障个人信息安全。加大对个人隐私保护相关技术的研发,包括数据匿名保护技术、数据水印技术、数据溯源技术等关键技术,提高对个人隐私信息的保护能力。
产业层面。我国在互联网领域的核心技术自主可控水平较低,应下大力气加强关键技术研发,开发出性能先进、自由可控、安全可靠的国产化核心技术替代产品,摆脱长期以来严重依赖国外信息技术产品的尴尬局面,从源头上增强信息安全保障能力,大力发展信息安全产业,建造大数据与云计算环境下我国信息安全防范的新长城[8]。
3.4构建个人信息安全统一监管和行业自律体系
推动建立大数据、云计算环境下个人信息安全的政府统一监管体系,建立自上而下统一的监管机构,加强行业监管,开展对个人信息安全保护“事前、事中、事后”全生命周期监测,制定相关的认证标准和流程,鼓励建立第三方评估监测机构,加强动态评估和绩效评估。另外,积极推动行业自律,充分发挥行业组织的行业自律和相互监督,引导各行业制定本行业的个人信息安全保护行业标准和规范,形成自我监督、自我完善的机制。
3.5构建网络信息安全创新人才培养体系
经过多年来对信息安全人才培养的探索实践,2015年6月,国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科,这对于加强信息安全学科建设,提高信息安全人才培养质量具有十分深远的意义。另外,需要加大对信息安全师资的培养、培训力度,构建良好的实验条件,加强实践环节训练,切实提高信息安全人才的实战能力。还可以通过举办各种形式的信息安全比赛,不断发现和培养信息安全人才。
3.6加强宣传教育,提高公众的信息安全保护意识
借助国家网络安全宣传周等活动,通过新媒体、电视、广播等多种形式,加强对公众的个人信息安全知识的宣传教育,提高公众的个人信息安全保护意识。同时,完善个人信息安全的监督体系,利用新媒体等多种形式曝光个人信息安全违法行为案例,畅通对个人信息安全违法行为的举报渠道,在全社会形成共同保护个人信息安全的良好氛围。
4结语
大数据与云计算环境下的个人信息安全面临着严峻的挑战,日益受到人们的重视和关注,如何构建信息安全协同保护体系成为我们面临的重要课题。本文首先从大数据与云计算环境下的新应用带来的安全风险、个人信息安全保护法律体系不完善、传统的信息安全技术滞后、信息安全监管和行业自律亟待加强、信息安全人才培养质量有待提高等五个方面具体分析了当前个人信息安全保护存在的问题及成因,然后介绍了美国、欧盟等国家个人信息安全保护的典型经验和做法,结合我国实际情况,从管理机制、法律体系、技术产业、监管自律、人才培养、宣传教育等六个方面构建了个人信息安全协同保护体系,从而在大数据与云计算环境下更好地保障个人信息安全。
参考文献:
[1]惠志斌.大数据时代个人信息安全保护[J].社会科学报,2013-4-11(3).
[2]王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报,2015(3):72-84.
[3]马民虎,张敏.信息安全与网络社会法律治理:空间、战略、权利、能力[J].西安交通大学学报(社会科学版),2015(2):92-97.
[4]张焕国.信息安全人才培养现状与问题[J].中国教育网络,2014(9):41-43.
[5]孙成相.中美网络安全法律体系比较研究[J].保密科学技术,2013(1):46-50.
[6]方兴东.棱镜门事件与全球网络空间安全战略研究[J].现代传播,2014(1):115-122.
关于个人信息安全篇3
【关键词】数字档案;信息安全;保障
对于国家及人民来说,在信息化时代下,数字档案信息安全问题至关重要。美国很早就针对信息的安全问题进行了研究分析。相关思想波及到中国,推动着我国数字档案信息安全问题的探究,随着社会的发展对于档案进行有效改革,顺应时代的需求和发展。
一、我国数字档案信息的安全问题
信息化得到国家和社会的高度重视,数字档案的信息化过程中伴随着机遇和挑战,面临发展中的问题制定相应安全防护措施,却在实践中发现存在很多的风险,需要进一步分析。
(一)管理制度缺乏系统化。数字档案在管理中遇到各种安全问题,首先应该考虑建立一套安全的管理制度。我国数字档案信息随着时代科技的快速发展,其管理制度的不确定影响着整体档案信息的保存效率。对问题进行合理的分析研究,之后制定有效的信息安全管理制度,以实现数字档案信息安全的整体需求。
在网络发展大背景下,数字档案信息管理也受到一些干扰,大量的数据资源需要档案的管理工作拥有更明确的发展体系。过于依赖网络使得很多档案信息安全问题逐渐产生,在网络时代有些问题会随着技术的快速更新而逐渐浮出水面。比如,安全管理水平跟不上其安全技术的发展速度,无法形成较为系统的管理制度,使得数字档案的信息安全问题日益凸显。国家建立一套成熟的安全保障体系,已经迫在眉睫,可以更好地推动我国数字档案的安全管理工作。但是,由于我国的档案机构还处在一个发展的萌芽阶段,还不具备一定的独立创新能力,使得在现实中的管理与相关制度脱节,无法做到真正意义上的信息安全保障。
如今我国档案机构虽然制定了相关管理制度,却有很多没有落实在实际中,管理制度的相关理论与实际问题的处理,还没有完全结合两者之间存在的差异,在工作中无法发挥制度的最大价值,会影响数字档案信息安全保障制度制定的顺利执行,导致完整的安全保障体系无法形成。
(二)人员不重视安全防范。人员的素质问题,一直是影响整个档案管理的一项主观问题。相关档案人员的素质,还有相关设备及环境都存在一些导致档案出现安全问题的因素,其中相关档案工作人员的安全意识单薄是一项非常重要的原因,使得我国数字档案的安全问题频繁出现。
我国数字档案工作中的相关人员,通常都拥有较低的学历,缺少高学历档案人员。也是档案相关人员素质无法提高的一大因素,影响数字信息档案管理的专业性,缺少档案信息的基本安全防范意识,会影响档案信息的安全保障,导致出现更多的隐患问题。
我国档案工作也随着现代网络的飞速发展,进入到转型阶段,这一阶段是非常重要的时期,国家支持档案工作并制定了相关的法律制度对其约束,然而相关档案的从事者却无法深入了解档案的管理工作,没有一个足够的认识,相关档案的法律知识非常单薄,最终相关理论也没有有效地应用于实际工作中。
(三)缺乏风险预判能力。我国数字档案部门在针对相关安全问题时,总有一个风险的预判,然而在现实中预判是否准确也是国家重视的问题。数字档案部门对于安全管理的宣传力度并不到位,在整个档案的管理过程中,对于档案的风险预判能力要求很严格,预判信息可以获得更多有利于安全防范的问题,同时采取科学的应对措施。
然而我国档案部门对于数字档案管理问题的风险预判,不能特别准确地反映出档案信息的安全问题,致使数字档案的安全受到一定的威胁。安全保障无法树立正确的观念,对于突发的紧急情况不能及时地解决,使得更多潜在的数字安全问题逐渐发生,直接影响档案资源保存的安全性。数字档案信息的安全问题,在发展中不断完善,并在解决方法中找到更适合、更科学的应对方式。
(四)信息安全存储格式不一。如今我国数字档案受到其自身以及周围环境的影响,使得档案的保存不断出现问题,尤其是档案的永久保存问题逐渐凸显。专门的存储设备及相应的存储转换介质才可以将数字档案信息进行有效地读取,而又有很多情况导致无法正常读取信息,比如系统出现了故障、设备出现了问题。另外,数据的转换总会出现问题,因为数字档案的形成方式的渠道是各异的,给数据之间的互相转换带来一定的困难。
(五)风险评估体系不健全。我国的数字档案信息管理过程中,没有引起在风险评估上的重视,使得数字档案信息安全体系建设缺乏有力的指导作用。会影响到档案安全体系的发展,在档案信息安全管理工作中,因为缺少防范能力的重视,最终无法达到数字信息安全的保障目的,在工作中也处于比较被动的状态。在数字档案安全保障工作中,发现漏洞并及时处理,需要的是明确的风险评估能力,但是相关风险评估还没有一套健全的体系。
二、数字档案信息安全预防措施
数字档案信息的安全管理问题,在现在的信息化时代逐日凸显,为了保障数字档案信息的安全性,需要在实践中分析研究更适合其发展的有效方法。我国重点将风险评估作为主要的预防手段,充分发挥其在档案安全中的作用。
(一)建立健全的安全管理保障体系。我国在建立安全管理制度过程中,为了推动整体数字档案的安全发展,应该明确安全风险评估制度,起到有效的防范作用。应该针对具体的问题,将创新的措施应用于实际当中,详细分析相关技术和管理措施,为档案的安全保障体系保驾护航,建立合理、科学的安全管理体系。
我国对相关档案信息安全问题逐渐重视,我国制定了相关信息安全风险评估规范的法律法规,要求在档案管理中实施风险评估标准。经现实证明,风险评估的建立是非常有必要的,能够在整个数字档案信息安全中,发挥主动性,做出有利的风险评估,帮助相关从业人员在工作过程中快速发现并解决安全问题。根据我国数字档案信息的重要程度,分级别地进行分析了解,有针对性的根据信息问题实施相应措施,保证档案资源的安全。
(二)科学预判存在的安全风险。数字档案信息问题实际上是不断产生的,需要对相关问题进行严格的分析研究,并采用各种有效的手段去查找,威胁数字档案信息管理的风险因素,通过各种有效工具的辅助管理,有效提高档案信息的保存安全效率。需要在各个领域采取相应的具有针对性的措施,建立一道安全屏障。另外,应该考虑制定问题的预案,为了培养更高的技术能力,让相关人员主动意识到风险问题的重要性。在数字档案信息安全问题发生时,应该及时将相应问题进行报告,及时根据问题采取相应的应急措施,达到真正的防范目的。及时发现科学预判潜在的安全风险问题,变被动的管理为一种主动的管理形式,提高数字档案的信息安全保障质量,防范于未然。
(三)保证信息存储长期有效。为了保障档案信息的安全性,应该将危险因素控制在一定的范围内,这就需要通过风险评估的有效实施来实现。为了使得数字档案系统的运行稳定性,风险评估就是一项有利的科学保障技术,通过风险评估快速发现档案信息中的不足,落实好数字档案信息管理工作的应用。如今时代化的发展使得数据量与日俱增,整个网络处于变化莫测的环境中,数字档案信息的安全问题隐患逐渐增多,需要借助有效的风险评估,对档案信息的安全性做出保障。
数字档案的存储和读取,是档案信息安全问题的主要研究方向,在不同软件系统下,对于数字档案的储存应该做到兼容,提高数字档案在各种软、硬件中的作用和价值。通过科学有效的管理方法和手段,发挥档案管理的重要目的,保证档案信息保存的质量,为了信息的长期储存可以选择长效的存储介质及设备。
(四)提高信息安全防范意识。在整个档案信息安全保障中,应该理解相关风险防范意识的重要性。提高相关档案从事人员的安全防范意识,需要依靠风险评估在实际中进行落实,为了数字档案信息安全工作的顺利开展,应该通过对风险评估的详细分析,促进整个档案安全科学的发展。对信息安全问题给予精确的数据分析支持,在进一步科学管理的基础上,采用相应措施对风险因素进行有利的控制。
另外提高相关管理人员的综合素质,也是一项重要任务。应该考虑进行有效的培训,提高档案信息相关管理人员的安全防范意识,以及其更高的责任感。将相关档案安全知识有效宣传,提高相关从业人员对信息安全的防范意识,才能使得数字档案的信息内容更加真实准确,发挥档案的真正价值。此外还要重视相关法律、法规制度的落实,提高宣传力度,提高档案信息的整体工作效率。为了能够从各个环节中掌握好档案信息的管理情况,应该进行适当的培训,将有效知识以培训的形式宣传出来,加强数字档案信息安全防范意识,促进整体档案事业的顺利开展。
(五)规范信息安全标准体系。在整个数字档案安全发展过程中,其保障体系的建立在不断发展中寻找创新和发展,将风险评估方法应用于其中,使得整个档案的安全性能更高,有效的将一些问题进行防范。需要合理科学的分析实践,针对问题的发生,找到适合的解决方法,以达到风险评估的最终目的。
风险评估工作不仅需要一定的技术支持,还需要科学合理的管理,在人员管理上一直都有严格的要求。规范数字档案信息安全标准体系,使得档案工作的各个环节都可以得到有效的控制,细化到每一个工作细节上,完善安全体系的建立。在现实中严格落实相关法律法规规范,借助法律力量支持数字安全信息的顺利发展。
三、结论
档案事业是一项尤为重要的工作,对于整个国家和社会而言都具有宝贵价值。应该发挥其自身服务的特性,向社会提供有利的价值,国家在实际中大力宣传档案工作的重要性,通过强化法律法规,对档案管理进行有效的规范,将其有效服务落实于社会各个阶层。需要在问题中不断完善数字信息安全保障体系,使得数字档案信息资源可以长期、有效地保存,并且能够科学有效地对其资源进行利用。
【参考文献】
[1]杜娟.浅析数字档案在档案信息化建设中的重要性[J].治黄科技信息.2016(04).
[2]李忠丹.数字档案信息的安全性管理[J].科技致富向导.2014(06).
关于个人信息安全篇4
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
二、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
四、结束语
总之,由于网络及信息资源的特殊性质,决定了信息安全问题的客观存在。信息安全问题不仅涉及国家的经济安全、金融安全,同时也涉及国家的国防安全、政治安全和文化安全,因此应当加强对信息安全问题的重视。目前,我国正在加快信息化建设步伐,加强对信息安全的管理,保证信息的安全保密性势在必行。
关于个人信息安全篇5
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
关于个人信息安全篇6
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
关于个人信息安全篇7
【关键词】信息;网络化;安全
一、引言
由于计算机的普及和网络技术的发展,使得国家间的联系得以加强。由于网络开放性和互联性的特点,它在给用户带来便利的同时,也对信息安全带来极大的隐患,当今社会不断出现个人信息、军事信息甚至是国家重要信息在网上被盗取、破坏等事件,极大的威胁国家的安全和社会稳定。因此,信息网络安全的保障是各个国家研究的重要课题之一。
二、信息安全的意义
2.1以信息化网络为基础的信息化技术已成为国家经济安全的重要组成部分
经济安全是指在经济全球化的环境下,一个国家保持其经济系统运行和国民经济发展不受外来势力根本威胁,国家经济不受分割的状态和能力。其构成主要包括资源安全、金融安全、产业安全、财政安全和信息安全等。
2.2信息网络安全是构成国家经济安全的基础
由于信息化飞速发展和网络技术的迅速普及,经济信息也与网络紧密结合起来,信息化与经济的关系越来越亲密,经济信息化的程度越来越深。当前我国的互联网涉及到了社会经济的各个领域,并直接与世界各国连接。因此互联网既是政治关口,也是国家的经济命脉。而如今,我国各行各业对信息网络系统的依赖程度越来越高,这种高依赖性势必使得社会经济十分脆弱,一旦受到外来势力的打击和破坏,信息网络无法正常运行或陷入瘫痪,随之整个社会陷入动荡甚至崩溃。因此从信息网络安全角度看,信息化程度越高,国家安全、社会安全面临的风险越大。信息的网络安全保护问题已经成为制约我国经济社会发展的关键问题之一,也是构成国家经济安全的基础。
三、信息网络化的安全问题
3.1信息安全产品出现的安全隐患
信息产业已成为社会经济发展的巨大推动力,但由信息产业产生的信息安全产品也给经济安全带来了一些问题。首先,目前我国大部分的网络硬、软件和技术都从国外引进,如果这些设备设计有缺陷或故意留有漏洞,在非和平时期被产品提供国加以利用,则我国的经济安全甚至是国家安全遭到严重的破坏。其次,我国自主研发的防火墙技术、杀毒软件等信息安全产品本身也存在一定的滞后性。一些制造商本身信誉很差,只追求片面和短期的经济利益,而忽视法律法规,自己制作病毒再推出相关产品以取得利益,罔顾人们的利益和国家的信息安全。造成网络经济的混乱,使社会对网络化的信息产生不信任感。
3.2安全意识不高,现行法律制度不完善
计算机网络安全的首要威胁是计算机病毒,当今计算机病毒技术发展非常迅猛,每年出现的病毒数越来越多,危害也越来越大。而我国部分政府网站、商业网站由于缺乏相关专业技术人才,安全防范意识不强,防火墙技术及防病毒技术的使用跟不上,造成信息的泄露,数据的完整性遭到毁灭性的破坏,严重影响信息网络的安全。另一方面,由于法律和道德的约束不力,越来越多的人突破道德底线,利用计算机和网络技术进行经济犯罪,也给国家的经济安全带来极大的危害。
四、加强网络安全,建立信息安全体系
信息安全体系的建立,不是仅仅依靠几种安全设备的简单堆砌,或者一两个人的技术就能够实现的,还要设计管理制度、人员素质的意识、操作流程的规范、组织结构的健全性等众多因素。一套良好的信息安全体系需要综合“人+技术/产品+管理+维护”运用,从而才能建立起一套完备的、高保障的信息安全体系。
4.1强化自主创新意识,开发和使用有自主知识产权的信息安全产品
国家要重视强化自主创新意识的重要性,加大力度做好信息安全标准化建设规划、推动工作,设立专项资金,发挥产学研结合,实现校企合作,及早确立全面的信息安全技术标准、管理规范,同时通过实施信息安全研发、产业化重大专项,增加对信息安全保障体系关键技术研究的资金投入,鼓励企业开创自主开发意识,生产出拥有自主知识产权的信息安全技术和产品,特别是服务器、主机、交换机等主要设备及相关操作系统、数据库软件、安全服务器技术等方面迅速形成突破,提高我国信息安全技术产品水平,以此减低对国外产品和技术的依赖,降低国外对我国经济安全的威胁。
4.2加大专业技术人员培养力度,完善信息安全管理制度
信息安全体系的建立,需要专业技术人才的支持。我国应着重培养具有经济知识的信息安全专业的技术人才,使之在网络信息的维护发挥重要作用。可喜的是现今国内很多高校已经设立了信息安全专业,信息安全学科和人才培养进入热潮阶段。同时,我们也要不断的强化专业技术人才安全意识和提高专业素质,规范和完善信息安全管理制度,保障和维护信息安全,防范内部人员出现信息破坏和犯罪现象发生。
4.3完善相关的法律法规,保障网络信息安全
法律是网络信息安全的重要保障,只有健全的法律法规制度的建立,才能有效保证网络系统安全运行、信息安全传递。随着国家的高度重视和宏观管理,我国关于信息安全的法律日益趋于完善。但是我们必须清楚的认识到,由于信息化产业发展过于迅速以及网络和计算机技术的成熟,目前的法律法规已经不能满足于现实需求,各种利用计算机进行的经济犯罪层出不穷,方式与手段不断变化,甚至达到无孔不入的地步,让人防不胜防,大量的政府信息、军事信息、经济信息等被泄露甚至破坏,严重威胁着国家安全和社会稳定。因此我国应根据信息网络化迅猛犯罪的特点,结合现今存在的现实问题,补充和完善现行的法律法规,日益健全法律体系,进一步维护网络信息系统的安全。
总之,网络化的飞速发展和计算机技术普及的推动,我国的信息化产业显现出蓬勃发展的良好势头。但是,随之而来的信息安全保护问题变得更加严峻。为此,我们应不断研究和探索,建立起一套完善的信息安全保护体系,以拥有自主知识产权的软硬件为基础,培养专业技术人才为关键,进一步完善法律法规和管理制度,努力维护网络信息安全,进而保障我国的经济安全和国家安定。
参考文献
[1]郭秦.试论信息网络安全在国家经济安全中重要性及其维护[J].理论导刊,2007.9
[2]陈爱玲.浅析煤炭营销信息网络安全[J].山东煤炭科技,2006(3)
[3]房劲,庞霞.信息安全的常见问题及对策[J].信息与电脑,2009(11)
关于个人信息安全篇8
关键词:信息安全网络管理保障机制
中图分类号:C931.6文献标识码:a文章编号:1672-3791(2013)07(a)-0011-02
随着科学技术的不断进步,计算机的应用已逐步代替原有的办公方式而被所有的企业所广泛应用。计算机进入到企业当中,为企业减少了人力物力的浪费,减少了人工办公所产生的不必要的失误,也为工作提升了效率。在信息存储的过程中也可以实现无纸化的信息存储模式,以取代大量资料的实物化存储导致的资料丢失和资料磨损,不易检索等的问题。可以说,网络和计算机的普及为企业的发展提高了效率,但随之而来的信息安全问题也被提升到了一个新的高度。信息安全保障体系的建立也成为企业关注的角点,保障信息的安全对于企业来说早已成为企业经营管理当中的一个重要组成部分。企业的信息是企业业务开展和维护的基础,如果企业信息存在着威胁的话,可能导致企业业务信息的流失和企业业务的持续性面临重大的损失。当然,对于制造业来说,企业信息的安全受到威胁的话,可能导致新开发的产品被人模仿而失去了企业在市场竞争中的优势,丧失了企业本应该有的竞争力。所以,在制造业的企业经营管理当中,构建信息安全保障体系变得更加重要。本文将从两方面对于信息安全进行论述,首先是找出威胁信息安全的常见因素,然后根据威胁的因素提出常见的维护策略。
1威胁信息安全的常见因素
在威胁信息安全的常见因素里,进行划分,根据其应用存储的特性我们可以将其划分为管理信息安全的威胁和网络信息安全的威胁两个方面。
1.1管理信息安全的威胁
其实,管理信息安全的划分是基于网络的。除去网络因素的影响,其他方面的安全就都可以归于管理信息安全。而管理信息安全在信息安全当中是非常重要的。从各种关于信息安全的数据当中可以知道,在管理信息安全中所存在的威胁比例已占到信息安全威胁的70%,而网络信息安全存在的威胁则只占到信息安全威胁的30%。正所谓“三分靠技术,七分靠管理”,可以想象管理信息安全的重要性。在管理信息安全的威胁当中也可以将威胁划分为两个方面,物理层方面的信息安全威胁和管理层方面的信息安全威胁。
(1)物理层方面的信息安全威胁。
物理层方面的信息安全主要是包括合同资料档案存储的安全、机房建设管理的安全、企业环境安全以及物理安全控制等几个方面。物理层方面的信息安全其实就是企业信息安全构筑的基础,对于物理层方面的信息安全存在的威胁,大致包括自然灾害对信息安全构成的威胁,机房建设之初系统设置的不全面和后期管理人员操作和管理的不规范,机房环境存在不利因素,机房管理制度不够完善,以及防火防盗安全工作的关注力度、执行力度和管理力度不够等方面。
(2)管理层方面的信息安全威胁。
管理层方面的信息安全威胁与物理层方面信息安全的管理是分不开的,它主要是指企业对企业内部员工在信息安全上的管理。其中包括信息安全的管理制度建立,企业内部员工信息安全培训,企业内部员工在人员和部门间合理的组织规划,信息安全技术人员的技术含量等。在这几个方面所存在的问题是构筑信息安全应该重点关注的问题,信息安全管理制度的不完善,企业内部高层对于信息安全管理的认识不够,企业内部员工没有对信息安全产生足够的认识,对于企业内部机密没有做到保密的态度,各部门的分工不明确,信息安全的技术人员技术能力不够等都是管理层因为管理的不完善而导致的信息安全威胁。
1.2网络信息安全的威胁
在网络信息安全中也可以大致分成三个部分,网络层的信息安全,系统层的信息安全以及应用层的信息安全。
(1)网络层的信息安全。
主要是包括网络上的信息以及设备的安全性能。其中可细化为网络层身份的认证,系统的安全,信息数据传输过程中的保密性,真实性和完整性以及网络资源的访问控制等。而这些网络层的信息安全出现问题,可能导致有网络黑客的侵入,计算机犯罪,信息丢失,信息窃取等威胁的存在。
(2)系统层的信息安全。
造成系统层信息安全威胁的原因,可能出在两个方面:一是操作系统本身就存在安全隐患;二是在配置操作系统的过程中存在配置缺失的问题。
(3)应用层的信息安全。
在应用层所产生的影响信息安全的问题上,基本上是指应用软件以及一些业务往来数据的安全,例如即时通讯系统和电子邮件等。当然,也包括一些病毒的入侵,对系统所造成的威胁。
2信息安全维护的常见策略
根据上面所叙述的在信息安全管理维护中存在的安全隐患,可以将其进行有效的总结从而提出正确的解决、维护策略。
2.1管理信息安全维护的常见策略
(1)物理层方面信息安全维护的常见策略。
根据上面所列明的关于物理层存在的问题,可以归结为两个方面:环境安全和机房建设管理安全。
①环境安全,可以分为防火安全,防水安全,自然灾害安全和物理安全等。企业应该有效的对这方面灾害进行防护和部署。
②机房建设管理安全,主要是指对设备安放环境进行严密的规划以达到有效保护。在机房建设上必须要尽量的避免腐蚀性和易燃易爆物品的存在,将机房建设在安全的地方。机房的设计上必须能够做到防火防水等,以免造成机房内设备的损坏。设计机房电源时必须使用不间断电源保证电源电压的稳定,以防止突然断电对机房内设备造成的损害。
(2)管理层方面信息安全维护的常见策略。
其实,管理层的信息安全主要就是指企业内部人员管理的安全。在一个企业当中必须要有一个完善的信息安全管理机制,这是企业发展的必然。所以在企业管理当中,必须首先要在管理层明确信息安全管理的重要性,要具备信息安全管理所应该具备的态度。其次则要建立一个信息安全管理的目标,一套完整的信息安全管理制度。在整个企业管理当中要有一个总的信息安全管理制度,其次在信息技术人员管理当中也要有自己的信息安全管理制度,其次是it部门和其他的一些部门都要具备适合的管理制度,形成信息集成化的管理模式。
之后要在企业内部员工心中形成信息安全的意识,在保密协议的签署上做好完善的规划,在企业内部员工关于信息安全的培训也应该有计划的进行阶段性的教育以增加员工对于信息安全观念的确立。
最后,应该将各部门的分工进行明确,不要将整个工作流程都分配给一个部门,这样可能会导致出问题时会影响到整个企业的运营。应该将各工作流程细化进行分工,以保证一方出问题不影响全局,并可以进行针对性的处理,减少麻烦,加快工作效率。
2.2网络信息安全维护的常见策略
通过上面对于网络信息安全威胁的叙述,我们已经了解在网络信息安全当中会出现的问题。对此,本段将重点讲述在网络信息安全维护中几个常见的策略。
(1)防火墙防御策略。
对于防火墙的认知应该是每个企业所具备的,它可以有效的将一些危险性的信息进行过滤隔离,从而保证计算机系统的正常运行。对于防火墙要进行安全方案的配置,通过防火墙中心的统一安全控制(口令、加密、身份认证等)进行管理,不需要分散到各个机器上去管理。所以对于管理防火墙中心的技术人员的技术含量一定要做到可以胜任。
(2)密码的防御作用。
无论是在中心控制机房还是各个员工所用的计算机上,都应该设有密码,并且密码应具备复杂特性,如字母、数字、特殊符号的组合等,通过强密码的设立能够有效的防范人为行为的信息丢失和信息失真情况。
(3)入侵监测系统的防御策略。
入侵监测系统可以说是防火墙系统的后续支持,它可以有效的对于网络活动中信息进行监测。它具有主动的行为,可以主动的对自己进行免受攻击的保护。与防火墙相配合,使企业网络能够具备强大的防御功能。
(4)设立自己的虚拟专用网的管理策略。
构建自己的虚拟专用网可以有效的增加网络的防御功能,并且能够规范化企业内部员工的工作,避免员工工作中无意义的网络闲聊,也可以有效的阻止信息的外泄。
(5)病毒的入侵防御策略。
也许企业内部可以有效的通过杀毒软件来保证企业网络系统的操作安全。但员工在运用向U盘之类的东西就可能将其他计算机上的病毒带到企业内的计算机上造成病毒的入侵。对此,企业应该加强对员工信息安全的教育,以保证员工对于信息安全严重性的了解。it部门的人员也应该定期对员工计算机进行检测,以确保计算机不受病毒侵害。
3结语
信息安全已经成为社会上关注的话题,如何保住企业独有的核心机密,保证信息的有效性和完整性成为企业关注的焦点。本文通过对于威胁信息安全的问题进行分析,并提出企业构建信息安全保障机制的常见策略以保证企业在信息安全方面可以做到长足发展。
参考文献
[1]吴昱.浅析信息安全保障体系[J].江西通讯科技,2012(3).
关于个人信息安全篇9
论文摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程当中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程当中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准iS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)iS013335:iS013335《it安全管理方针》主要是给出如何有效地实施it安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSo是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSo需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部it人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术性服务。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的Cio和CSo,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的ti’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(7)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(8)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSo了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
关于个人信息安全篇10
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。