网络安全制度建设篇1
p键词:政务公开;网络安全;建设;策略
中图分类号:G602文献标志码:a文章编号:1674-9324(2017)22-0099-02
大数据技术的应用,使得网络信息的变换,对社会经济的影响有着决定性的作用,而在整个发展过程中有着决定地位的政府信息,不仅是公众了解政府行为的直接途径,也是公众监督政府行为的重要依据,其必不可少的手段就是完成信息公开制度的实施。在这个过程中,政府承担着信息传播者的重要角色,因此政务信息的公开必须依托各种载体向社会公众传达,其中依托网络而生的网站、QQ、邮箱、微信、微博等各种新媒体平台成为信息公开的新载体。
新技术力量威胁的不再是个人,更会是一座城市乃至一个国家,网络的失控意味着政府机构信息渠道、任何媒体信息将消失得无影无踪,意味着整个国家将失去了武装,信息无法沟通、组织,国家的公共生活全面瘫痪,所有的安全感都面临着新的危险。在网络建设中出现问题是正常现象,如何客观公正地对待问题才是发展的是重中之重,让整个社会重新理解网络空间存在的风险,构造新的防范体制,成为网络发展的重要基石。
一、网络安全管理缺乏整体策略,实际管理力度不够
从全国范围来看,虽然绝大多数省市、地市和县市级都建有自己的政府门户网站,但观其质量和水平,却是参差不齐。从信息化建设层面来看,各级地方政府网站信息平台虽已搭建起来,但由于受条块分割、信息壁垒、信息技术发展程度等的影响,各地门户网站的建设良莠不齐,阻抑了全国范围内信息公开的展开。网络载体建设手段的缺失导致政府所拥有的绝大多数信息平台均处于闲置或者封闭的状态,信息公开变成了花架子,政府和群众双方不满意。国家相关信息安全部门发现,在境外有上万木马程序和僵尸网络的服务器,通过后门程序远程控制了我国上千万台电脑和服务器,由于是政府的官方网站,其造成的社会危害将是无法估量的。
二、关键技术薄弱,水平和质量不高,严重依靠国外
在大数据时代,互联网更多地体现其移动属性,而携带方便、操作灵活、功能强大的移动终端取代了传统计算机,成为应用领域的新宠。但大量的安全问题仍然存在,除却自身的安全隐患,更为严重的是对国家安全层面的隐性影响,主要表现为:(1)几乎所有的移动终端的操作系统来源于国外开发商,其底层的安全监管国家无法掌控;(2)大数据的发展依托于云存储,但无论是终端用户的个人信息还是企业信息,甚至是政府信息及军事信息,乃至于国家信息都使用这种技术保存在其国外的服务器中,使得国家的监管无法通过正常渠道进行,信息泄露的概率大幅度上升;(3)定位技术的全球应用,使得其他国家的相关部门完全可以通过全球卫星对我国的移动用户进行跟踪,随时定位及监管,在这种技术的支持下,我国的一些安全保密的基础设施的开发与建设信息完全失窃,丧失了安全性与机密性;(4)监管效力降低,利用自由加密和解密技术,大量的国外用户的暴力信息及组织的宣传信息在无人监管的情况下,大量传入我国,威胁到国家的安全和稳定。
三、多头管理,规则冲突,无法难依
通过对大量的数据分析表明我国的网络安全问题是益严重,相关的法律法规制定的原则应该首要考虑国家的安全,防止国家的机密信息大量外泄。现阶段从从国家法律层面来看,并没有出台专门针对移动互联网的法律。而现行的一些行业公约虽然在一定程度对移动互联网有调控作用,但过于陈旧与单一,两者的发展速度处在一个不均衡的情势下,网络的超前发展使得网络安全问题所对应的法律解决手段缺失,形成大量的空白区与真空期,对网络的发展更是巨大的阻隔和威胁,特别是对一些网络犯罪行的法律定义界定模糊,外延和细节的定义说明不明确,导致在实践过程中取证和实证困难重重,更缺少有力的武器打击网络犯罪。
四、网络安全意识缺乏,重产品、轻服务,重技术、轻管理
和平时期,公众的国家安全意识淡漠,尤其是冷战结束后,公民的国家建设参与意识降低,更多的人关心是经济建设与发展,总是认为国家安全有政府和军队,和个人无关。而实际上我国是网络信息安全的最大受害国,与日益突出的互联网安全问题相对应的是公众安防意识的空缺。
1.专项经费投入不足,管理人才极度缺乏。虽然网络信息安全问题日益突出,但很多政府部门宁愿亡羊补牢也不事先做好防范准备。通过对实际发生的案件分析我们发现,在发生事故后安全团队组建的难度和资金投入无疑是巨增的,利用维护修补技术不仅无法挽回损失,而且相关的网络安全部门面临的压力也与日俱增。通过提高政府在网络安全方面的预算,加大设备与技术的投入,定期对技术人员和相关从业者进行培训,组建技术沙龙,完全可以提高网络安全指数,提升网络安全级数,保障网络安全。
2.安全观念缺失,安全操作知识难以普及。互联网在我国大面积的普及,对我国经济发展是一个促进,同时社会信息化程度提高,两者快速发展的同时,问题也同步增长,而保障网络安全与信息安全所面临的挑战也日趋严重。相对于欧美发达国家,我国信息化工作的起步晚、程度低、速度快、范围广,一方面的承接平台和应用人群的快速增长,另一方面是安全技术人员数量少,防范水平差异万千。为了改变这种局面,普通公众都应该站在国家安全的高度来看待问题。我国的教育体制多年来没有开设安全方面的课程,无论是个体安全还是国家安全在公众意识中不占主流地位,长期的教育缺失,使得民众的警醒性降低。
3.提升技术协作,构筑动态安全体系。随着互联网的发展,单一的网络平台安全防范已经不能解决日益增长的网络安全问题,千变万化的、不可预测的、无法掌控的安全隐患和安全漏洞,随着网络技术的提升而呈现出更大的显性,而发生的时间与地点的多样性也使得解决问题的方法与方式发生根本性的改变,不再是一两个技术人员或安装防御系统就能完成的,当前状态下,迫切需要建议组建一支跨行业、部门综合的队伍,利用这种界域的融合,构建全社会认可的安全理念。更重要的是由于互联网安全涉及到的不仅仅是技术问题,更多的管理制度协调,在我国现行体制下,从事网络安全的工作人员往往来自多个部门,这种混乱局面造成了重复投入、协调困难,而随之的管理也出现了方向冲突、力量不集中,对国家层面的管理难以形成合力,投入统一的布局、管理监督,难以形成向心力,造成应对突发状况响应缓慢,扩大影响程度,加重破坏程度。
4.秃闲腿瞬哦倘保机制僵硬。在实施的初级阶段,应该把工作重点放在对通讯网络系统、信息系统和电化教育系统等方面的建设上,建立起高效的办公系统和内部网络管理、教育、考核等管理的网络平台,在这个建设时期,如何与外包的网络公司沟通,建立符合本系统特点的信息化网络是对信息化人才的基本要求,技术因素不是重点,而如何让技术人才有本部门特色才是发展的过硬要求。网络安全是一个长期过程,更是一个需要能力合作的全系统工作,如何在这个过程中体现技术的优势,人才的作用才是取得成功的关键,在政府信息公开制度中技术人员的地位以及他们自身的发展,更是网络安全制度中不可或缺的一个组成部分。
今天,全球范围内已有40多个国家颁布了网络空间国家安全战略,随着政府各部门之间、行业和行业之间、国际间信息交流的日益频繁,信息公开的载体的安全问题已经提到重要的议事日程上来,一个技术上可行、设计上合理、投资上平衡的安全策略已经成为成功的信息公开制度的重要组成部分。
参考文献:
[1]李佳.移动互联网的信息安全研究[D].首都经济贸易大学硕士论文,2014.
[2]《互联网时代》解说词――仁山智水[eB/oL].http://,2015.
theConstructionofnetworkSecuritypolicyontheopenSystemofGovernmentaffairs
ZHoUYi-tao
(HeilongjiangadministrativeCadreinstituteofpoliticsandLaw,Harbin,Heilongjiang150080,China)
网络安全制度建设篇2
目前,我国信息化建设正处于大力发展之中,校园信息化建设在教育事业中也迅速推进,校园网络文明建设也进入了新阶段,信息化校园网络建设已成为高校的重要信息基础设施。因此,网络安全的管理和维护是信息系统的重要保障,要想真正的实现信息化校园的建设目标,必须在推进网络信息技术的同时,加强信息化校园网络的安全保障体系。
1信息化校园网络面临的安全隐患
信息化校园网络已成为高等院校的重要设施,它的安全状况关系到高等院校信息化建设的发展进程。
1.1信息化校园网络建设的环境安全问题
根据物理环境分析,高等院校校园网络仍存在火灾、盗窃、人为破坏等环境因素和人为因素的困扰,特别是随着科技的发展信息化设备的不断进步,很多高校都引进了先进网络设施,因此,校园网络的计算机、3D打印机等设备成为校内偷盗者的主要目标。目前,很多偷盗者已从整机的偷盗转为针对CpU、主板、硬盘、光驱等高价值的东西,但是,偷盗者所偷走的物品有时候甚至会给高校造成巨大的损失,重要信息的丢失,会远超于物品的价值。漏电、雷击、静电、电磁泄露等问题也是环境安全中不可小觑的潜在因素,当电线使用时间过久出现老化未能及时发现,容易导致漏电严重则引发火灾;正值夏季之时,打雷闪电时有发生,如果没有及时断电,雷击会造成机器严重受损;强静电如果没有得到完全释放而保留在设备里,形成很高的瞬时电位,轻者大规模的集成电器损坏,重者引起机器自燃爆炸引起火灾;电子设备具有电磁泄露的现象,同样也是安全隐患中不可忽视的问题,计算机在工作中的电磁发射一旦被高灵敏度的设备接收,就会造成信息泄露,如果机密信息被泄露,后果将不堪设想。
1.2校园信息化建设的人为安全隐患
(1)校园网用户网络安全意识薄弱。校园网用户主要面对师生,教师在使用办公软件时,对于文件的存储没有在硬盘上做区分和加设访问限制,使其他用户轻松的利用网上邻居等操作方式对其文件进行操作,存在信息泄露的安全隐患。学生作为网络用户主体,对网络安全尚未能全面充分的认识,防范意识薄弱,在操作各类应用软件更侧重于方便、快捷,从而忽略网络安全问题。
(2)校园网内部存在的安全问题。第一,校园网管理人员的操作失误,例如,当管理员设立新用户账户或是修改用户账户以及日常维护中,如果无意中把管理权限授予了不适合的用户,在不经意中该用户获得了不应该有的权限,如操作不当会在无意中对信息和数据造成破坏。第二,蓄意破坏带来的安全威胁,例如,人为的利用校园网络系统可能存在的漏洞,进行蓄意攻击;有些学生利用对用户和用户组的管理不善,或是设立木马病毒等以获取访问权限,访问校园极为重要的信息内容导致重要信息泄露。第三,学生的无知导致网络安全受到侵害,很多大学生的计算机水平很高,由于网络安全意识淡薄,网络法律法规知识缺乏,好奇心重,无意通过破译密码植入病毒,或是干扰校园网络系统正常运行,为校园网络安全带来种种隐患,给学校的信息化校园网络建设带来严重损失。
1.3信息化校园网络建设自身存在安全漏洞
(1)系统内部存在安全漏洞。网络的开放和普及应用,信息通信频繁,网络自身存在安全隐患和漏洞,为不法分子或是不怀好意的网络用户提供了可乘之机,通过非法网络操作手段对信息化校园网络进行攻击、截取、窃听等非法手段进行蓄意破坏。现在很多软件都存在诸多漏洞,例如操作系统、应用软件、网络协议等,为校园网络安全带来了很多的不安全因素。
(2)网络病毒侵害。网络病毒与恶意攻击等主要通过互联网传播恶意脚本及病毒,干扰用户的正常使用。高校信息化校园网络受到病毒入侵主要有以下几个路径:一是发送接收电子邮件,二是下载资料,三是恶意网站垃圾邮件,四是盗版软件,五是U盘等带有病毒的移动存储设备。主要危害是造成系统不稳定,数据丢失,计算机无法正常工作。
2高校信息化校园网络安全的管理措施
面对信息化校园网络安全的隐患及威胁,我们应该采取相应的管理措施及对策来确保校园网络的顺利运行和应用。
2.1物理环境的安全管理措施
物理环境的安全是校园网络安全的基础保障,首先,在构建信息化校园网络时要考虑到环境因素、学校所在地环境、抗干扰能力、气候等因素。其次,避免计算机系统、网络服务器等基础硬件设施以及通信链路等,受到自然灾害、人为因素、搭线攻击的破坏。建立完善的安全管理制度,以防止校外人员非法进入信息化场所,安全用电,严禁在计算机机房等设备场所吸烟。第三,网络布局、设备选型、安装配置、防盗、防火、防静电、防雷击等工作及措施在实施的具体工作中,要有实施方案和统一规划。信息化场所、网络机房等设备重地,要安装好防静电设备,保证计算机在工作时有一个良好的电磁兼容工作环境,重要机密机房要安置防止电磁泄露的屏蔽装置,以避免机密信息泄露;根据电气和微电子等设备的功能以及受保护层序和所属保护层不同,要做好分类同时要有效科学的建构防雷系统,将电源线与数据通信线路做多级多层保护。
2.2网络自身的安全管理措施
网络信息数据的完整性、机密性、可靠性、可用性,是网络安全管理的核心,是提升网络安全技术的主要目的。首先,控制网络访问权限。通过网络访问权限控制、入网访问控制、客户端安全保护等措施,以验证用户身份、访问权限和使用权限,限制用户越权操作,以确保校园网络资源不被非法使用、访问、侵入以及攻击。其次,信息传输加密处理。网络在传输各类信息时都需经历层层中介分段传输,网络信息的传输路径是固定的,因此,在任意节点均存在被拦截、读取的可能,如果受到破坏或是篡改则难以查证,所以,信息传输问题要极其重视,应采用加密技术确保信息传输安全。第三,还可采用口令、防火墙等技术,确保计算机系统的逻辑安全和修复下载安装补丁的漏洞等问题,确保操作系统安全。第四,科学配置网络服务器,减少因配置错误而产生服务器安全漏洞中存在的垃圾信息残留。
3信息化校园网络安全建设的几点建议
高等院校信息化校园建设中,网络硬件和应用设施的建设固然重要,网络的安全和管理同样不容忽视,保障信息化校园网络的安全运营,更要注重网络安全意识、网络安全技术、网络安全管理制度和网络安全的科学管理手段,因此,笔者提出了以下几点建议,以供参考。
3.1强化校园网络用户的信息安全意识
信息化校园建设过程中,网络信息安全教育成为建设中的薄弱环节,对教师和学生进行网络信息安全教育是非常有必要的。一是高校可以通过网络宣传,举办网络安全教育知识讲座,制定网络安全管理制度,利用制度文化和宣传手段强化教师和学生的网络安全意识,提高师生的重视程度,自觉遵守网络安全制度;二是利用课堂、网络平台让师生学习漏洞修复、密码管理、信息保密、防范病毒等必备知识,提高网络安全管理技术,通过开设相关课程,提升学生的网络修养,文明上网意识,自觉抵制违背法律,反动的虚假信息,不随意散播谣言,转载不良信息和帖子,做一个遵纪守法的文明网络大学生。
3.2健全校园网络信息安全管理制度
信息安全管理制度是信息化校园网络安全的基本保障和前提,在贯彻执行的过程中,对管理者和执行者在思想上、意识上、行动上都具有一定的约束力,使管理者和执行者对信息安全的重要性都有了高度的认识。在制定管理制度的过程中,以国家基本制度为主,同时,还要根据学校自身特点制定与其相适应的信息安全制度。例如,管理员网络安全维护制度,机房安全及出入管理制度、校外人员访问校园网络制度等。在增强师生的网络安全意识外,还要注重督促管理人员要完成好自身的工作,避免因管理人员在工作过程中为贯彻执行管理制度而造成安全事故。
3.3注重培养信息安全管理技术人才
技术人才、技术处理、安全方案是信息安全管理技术的重要保障。安全方案是安全管理技术的前提,技术处理是安全管理技术的基础,技术人才是安全管理技术的根本,由此可见,技术人才的培养是确保信息安全管理技术的重要因素。信息安全管理技术设计的领域较广,包括网络技术、系统技术、安全技术等多方面专业技能,意味着网络安全管理员应具备较强的专业能力,对于专业技能掌握的不够扎实的管理员,高等院校可聘请专业安全技术顾问为管理员进行培训,加强网络管理人才的培养,让管理人员接受良好的安全管理培训,通过提升自身的专业素养,从而解决信息化校园网络建设中出现的网络安全问题。
4设立信息化校园网络安全管理的保障体系
网络安全制度建设篇3
关键词:高校;网络安全建设;思考
1引言
网络安全,指的是计算机网络系统的安全,不仅包括网络系统正常运行的硬件、软件环境安全,也包括网络传输的资源、数据等信息安全[1]。网络安全不仅关系到我们每一个公民,更是事关国家安全的重要问题。高校作为培养当代大学生的主要阵地,在网络安全建设及教育方面更是肩负着重要的责任。面对信息泄露等校园网络安全问题以及日趋严峻的网络安全形势,如何保障高校网络安全建设的稳步推进,已经成为重中之重。
2网络安全建设存在的问题
高校网络安全建设存在一些问题,主要有以下几点。(1)网络安全专业人员不足目前高校已基本上实现校园网络全覆盖。有成千上万的网络计算机,但与之配套的网络安全管理员却严重不足,甚至没有专职的网络安全管理员[2]。而且大部分网络安全管理人员没有接受过系统化的岗前培训,安全责任意识单薄,专业素养不够高,网络安全专业人员及其技能都存在严重不足。(2)师生网络安全意识不强高校网络的使用主体为本校师生,群体庞大,且大部分高校未开展系统、全面、全覆盖的网络安全主题教育,导致用户群体网络安全防范意识不强。部分教师在使用计算机时对病毒防护、密码保护、漏洞修复等基础网络安全操作无意识,使得计算机很容易被入侵而造成数据及资源丢失[3]。一些学生在面对复杂的网络环境时,由于猎奇心理及感情用事,可能会采用一些诸如“翻墙”等威胁高校网络安全的行为或者网络暴力等激进行为。(3)网络安全防护体系不完善截止到目前,很多高校尚未认识到加强网络安全管理的重要性,缺乏一套完善的网络安全防护体系。领导重视不够,未形成专门的网络安全领导小组;资金投入不足,无法购买各类网络安全防护设备;管理制度不完善,无应急预案等;技术防护手段不足,缺少各类必须的技术防护手段;网络安全人员不足,未设置网络安全技术专岗等。这些都是当前高校网络安全面临的突出问题。
3加强高校网络安全建设的对策
3.1网络安全防护体系
高校网络安全建设应以人员组织为基础,以管理制度为依据,以技术防护为手段,三管齐下,切实保障好高校的网络及信息安全。
3.1.1人员组织体系自上而下,建立起管理决策层、组织协调层、落实执行层的三层架构人员组织体系。管理决策层统一领导网络安全工作,研究制定网络安全发展规划,决策网络安全建设中的重大事项等。组织协调层统一协调学校网络安全建设工作,负责网络安全及运行保障项目的建设、改造、升级、维护等方面,负责制度与人员队伍建设等。落实执行层负责具体工作的落地执行。
3.1.2管理规范体系规范化是制度化的最高形式,是一种非常有效和严谨的管理方式。完善的管理规范体系是保障网络安全的法律基础,是通过建立标准规范来约束用户行为的制度。其实现的过程就是规范管理的过程。管理规范体系包括网络安全责任制、网络安全管理规范、应急响应机制、网络安全通报制度等方面的内容。(1)网络安全责任制按照“谁主管谁负责、谁运行谁负责”的原则,明确网络安全工作责任主体,各部门应有专人专岗负责网络安全具体工作,细化网络安全各关键岗位安全管理责任,签订安全责任书,建立安全责任体系,形成网络安全工作长效机制。(2)网络安全管理规范建立健全网络安全管理制度,明确信息系统管理、数据管理、信息管理、网站、微信、微博和移动应用管理、电子邮件管理、交互式栏目管理等的管理规范,使所有的网络安全活动都有规范可依,有制度约束。(3)应急响应机制制定完善网络安全应急预案、明确应急处置流程、处置权限、落实应急技术支撑队伍,强化技能训练,强化技能训练。至少一年两次开展网络应急演练。通过模拟网络安全事故现场环境,提高应急处置能力。(4)网络安全通报制度定期开展安全检查,全面、细致地排查安全隐患,并定期对检查结果进行通报,督促相关部门落实整改。如通过《网络安全简报》、《信息化简报》等手段,通报各业务系统漏洞扫描、数据备份、日志审计、数据库审计等各项安全指标,督促相关部门做好网络安全责任落实。
3.1.3技术防护体系网络安全及运行保障是一项系统工程,对系统的过程要素、组织结构和结构功能进行分析,主要分为预警层次、检测层次、保护层次、响应层次四个层级。预警层次主要是发现问题、记录问题和预警问题。检测层次主要是发现服务器存在的安全漏洞、安全配置问题、应用系统安全漏洞,形成完整的安全风险报告,帮助安全人员查漏补缺,防范风险于未然[4]。保护层次是对网络运行的实时保护,包括拒绝服务、入侵检测、流量分析、数据防泄露等。响应层次是对安全事件进行及时的响应,包括数据库审计、安全监管、安全服务等。
3.2网络安全宣传教育
维护高校网络安全是全校师生共同的责任,维护网络安全不仅需要学校的防护体系,更需要广大师生的共同参与,网络安全这道防线才能筑得牢固。因此,在制定完善的网络安全防护体系的基础上,更要通过定期的安全培训、知识讲座和学术交流,使全校师生不断增强网络安全意识,掌握网络安全知识,并有效提升各类网络安全事件的风险防范能力,进一步营造一个安全、健康、文明、和谐的网络环境。
网络安全制度建设篇4
关键词:商业银行 网络安全 网络风险
1 城市商业银行网络安全建设现状
银行的信息与网络安全建设与银行的整个电子化、信息化和网络化密切相关,把金融风险监管现代化和金融电子化、信息化和网络化风险的监管密切结合起来,是搞好银行与阿络安全建设的根本思路。目前城市商业银行信息化安全的观念对于网络与系统的虚拟世界的“行为与内容的监管”和“大范围的网络环境的安全问题”,考虑较少。
1.1银行网络行为和内容的安全情况
银行网络的安全问题实际是银行风险监管的问题,银行风险监管既要检查银行和客户人员在现实世界中的人与银行业务相关的行为结果,又要检查网络虚拟世界中用户、系统和的行为,实际上要对银行监管实行监管现代化的建设和银行信息化实行监管。
1.2银行业务运营信息化安全情况
主要涉及银行价值管理信息系统、资源管理信息系统、银行产品服务管理信息系统等。对于这些业务信息系统,由于银行系统有高度的安全意识银行系统的安全工作开展的较早,制定了相关的标准和规范,进行了安全规划与实施等。
1.3银行网络系统安全情况
当前银行网络系统安全问题重要表现在数据大集中后的安全,其特点是数据服务大集中,前置通信中心强大的和众多本地与远端终端的中心体系结构。
应该看到,电子化在给银行带来利益的同时,也给银行带来了新的安全问题。原因主要有三个:伴随金融体制改革的深入、对外开放的扩大,金融风险迅速增大;当前计算机应用日益广泛、日趋网络化,系统的安全性漏洞也随之增加;计算机知识日益普及,金融网络向国际化发展,计算机犯罪技术在不断提高。
2 银行网络安全重点关注的方面
目前银行用户关注的信息化安全问题主要是客户隐私、用户权益、信息内容安全和客户可信接入银行网等问题:
全面整合银行信息化安全建设,在此基础上建立银行信息安全保障、应急和监管系统。
以安全观点再度审核银行应用数据大集中的安全建设问题、专网与公网的隔离安全建设、银行外包服务安全建设、安全检测、监控、审计、追踪和定位系统建设、制定安全应急标准与安全应急培训。
3 安全风险分析
我们可以参考国际标准化组织iSo开放系统互联(oSi)模型,将整个银行系统的安全风险统一划分成五个层次,即物理层安全、网络层安全、操作系统层安全、应用层安全以及管理层安全。
3.1物理层安全风险分析。物理层安全包括通信线路的安全,物理设备的安全,机房的安全等。
3.2网络层安全风险分析。网络层安全包括网络层身份认证,网络资源的访问控制,数据传输的保密和完整性,远程接入的安全,路由系统的安全等。
a数据传输风险分析。表现在重要业务数据泄漏、重要数据被破坏等,如果没有专门的软件或硬件对数据进行控制,所有的广域网通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取
b网络边界风险分析。主要表现于银行业务系统安全和互联网出口的安全。
c网络设备的安全风险。由于银行专用网络系统中使用大量的网络设备,如交换机、路由器等,使得这些设备的自身安全性也会直接关系的银行系统和各种网络应用的正常运转。
3.3系统层的安全风险。主要表现在两方面:一是操作系统本身的安全漏洞和隐患;二是对操作系统的错误配置。
3.4应用层安全风险分析。应用层安全是用户采用的应用软件和数据库的安全性,包括数据库软件、web服务、电子邮件系统、域名服务系统、业务应用软件,以及其他网络服务系统(如telnet、Ftp等)。
3.5管理层安全风险分析
管理层安全包括安全技术和设备的管理,安全管理制度的制定,部门和人员的组织规划等。要建立完备的安全网络最终要靠人来实现,因此管理是整个网络安全中最为重要的一环。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。
4 安全方案总体设计
4.1网络安全建设原则
网络安全建设是一个系统工程,银行网络安全体系建设应按照“统一规划、统筹安排,统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。
在实际实施中还要按照系列基本原则进行:系统性原则;简单性原则;实时、连续、安全统一原则;需求、风险、代价平衡原则;实用与先进相互结合的原则;方便与安全相互统一原则;全面防护、突出重点原则;分层、分区原则;整体规划、分布实施原则;责任明确,分级管理,联合防护原则。
4.2网络安全建设目标
我们对于银行网络系统安全建设的目标为:采用防护、检测、反应、恢复四方面行之有效的安全措施,建立一个全方位并易于管理的安全体系,确保银行网络系统安全可靠的运行
a系统级安全目标。保证操作系统、数据库管理系统的安全补丁不断升级、安全设置正确,防止计算机终端、服务器感染通过软盘、光盘、网络、电子邮件及其它网络途径传播的计算机病毒。
b网络级安全目标。保证内外网之间、内部网不同网络安全域之间的安全隔离和有效的访问控制,保证系统业务敏感信息网络传输中的机密性、完整性,保证网络攻击和网络安全漏洞及时发现、告警,网络安全状况不断改善,以及保证银行网络系统网络传输系统的高可靠性:主要指线路、设备的备份、冗余等。
c应用级别安全目标。防止本地用户和远程用户的非授权访问、越权访问和身份假冒,保证各种服务系统的正常运转。
d管理级安全目标。对安全软硬件设备(如防杀病毒软件、入侵检测软件、安全mpn设备、防火墙设备)和安全策略、安全状况能够集中统一管理、监控、审计和响应,保证安全责任分解到人、出现问题有迹可寻,加强管理制度和管理体系建设。
4.3整体安全设计概述
整体安全设计要最大限度保障业务系统、办公系统的安全,做到安全性和方便性的统一。
a数据库服务器是业务系统中最重要的数据库部分,它保存了所有业务交易相关的各种帐务数据,因此必须对它们实行有限访问控制防护——配置双机热备防火墙系统。
b由于办公机器众多、员工的安全防范意识较差,需要与互联网接入,又要直接接入oa办公、决策等系统,因此,办公机器应受到高度关注。
c由于网络中设备、主机数量众多,应此使用日志审计系统收集全网中的安全设备、服务器的日志,进行归档、分析,及时发现系统中发生的安全时间,起到事后审计的安全机制。
网络安全制度建设篇5
关键词:政府门户网站信息安全对策研究福建省
一、引言
《2006-2020年国家信息化发展战略》提出,“到2020年我国信息安全的长效机制基本形成,国家信息安全保障体系较为完善,信息安全保障能力显著增强”。政府门户网站是政府部门在国际互联网上建立的信息、办公互动、数据交换的窗口,是政务公开的载体和舞台,也是政府与社会、企业、民众沟通的桥梁。通过政府门户网站,公众可以便捷地获取政府信息和服务,使得公众与政府关系简单化。由于互联网是个开放的网络,政府网站的信息一天24小时都在被查询、阅读、下载或转载。如果没有可靠的信息安全体系和有效的事件响应能力,那么一旦网页被篡改或网站被中断,将直接干扰、破坏政府履职,损害政府的形象,败坏公众对政府的信任,后果不堪设想。根据有关资料显示,2005年,我国90%以上的政府网站存在安全漏洞,很多网站都曾受到过不同程度的黑客攻击和计算机病毒的侵害,给国家造成了较大的损失。因此,信息安全问题是政府门户网站建设的一项重要内容,必须综合运用多种策略和手段建设政府门户网站安全保障体系。
二、政府门户网站信息安全存在的主要问题
安全管理认识存在偏差以及缺乏有效组织规划培训和相应法律制度支持,是当前福建省各级政府门户网站信息安全建设中存在的最主要问题,主要表现有以下几个方面:
一是重系统建设轻安全管理。由于受到传统的政府绩效评价和考核体制的影响,各级政府信息主管部门往往认为“安全”只是保障“业务应用”的一种手段,只重视网站信息系统的建设,轻视相应的信息系统安全建设和管理。
二是重消极应对轻主动预案。在政府门户网站安全管理中,很多情况是等出了问题,才匆忙借助经验和应变能力去处理突发安全事件,缺乏应急预案的制定和按照应急预案进行处理的观念。
三是缺乏整体安全意识。谈及信息安全,很多管理者认为安全就是防火墙、入侵检测、身份认证等技术措施,没有真正意识到安全是一个包括理念、技术、制度、人才等各方面缺一不可的整体。
四是缺乏及时有效培训。信息化安全技术日新月异,网络攻击手段也日趋多样化,各级网站主管部门对安全管理人员缺乏及时有效培训,无法保证网站信息安全。
五是缺乏统一信息安全技术标准与规范。不同层次、不同部门的网站信息安全建设各自为政,没有进行有效的组织和规划,使用的安全技术五花八门。这样不仅造成了资源的严重浪费和低效率,也给网站信息安全带来各种各样的隐患。
六是缺乏相应的法律和制度的支持。政府作为信息的所有者,其权利范围和内容较为模糊,相关网站信息安全的法律和制度较为薄弱,法律上缺乏相应的保护。
三、政府门户网站信息安全存在问题的原因分析
1.管理体制未理顺
政府系统缺乏专门的电子政务信息安全的领导体制、研究机构和相应政策措施的落实机制,尽管在中央一级设有领导小组以及专家咨询委员会,但在地方由于“条块”职责不清、管理多头的实际状况,直接影响对电子政务安全的重视程度和贯彻落实相应信息安全政策措施的力度。
2.运行机制未健全
信息安全保障的运行机制不健全表现在电子政务信息安全的地位与其重要程度不相称,电子政务信息安全在政府发展任务的地位上,远不及经济、社会、文化等其他方面;在资金、人力等方面的投入得不到更好的保障;与信息安全相关的政策法规、技术标准与规范的制定落后于实际发展的需要。
3.技术与实际安全需求存在差距
技术是确保信息安全的重要因素,由于技术本身的局限性和推广应用程度不够,使技术与实际安全需求存在差距。技术不能完全保证安全,安全更不可能完全依赖技术。我国目前的电子政务安全保障技术本身并不发达,福建省在电子政务安全技术、产品推广应用方面的重视程度不高、力度不强。
4.过分强调安全技术的重要性
认为信息安全是技术问题,依靠相应的技术就能防范。实际上国内外许多信息安全事故都是人为造成的,三分靠技术,七分靠管理,要防止此类事故的发生,必须从建立和完善信息安全管理体系入手。
四、加强政府门户网站信息安全的对策建议
网络安全不仅是一个技术问题,要从法规、管理和技术三方面来统筹保障政府门户网站信息安全。在法制上,加强网络和信息安全管理等方面的立法工作,为政府门户网站的建设、运行、维护和管理提供法律保障,构筑促进国家信息化发展的社会环境;在管理上,从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面保障政府门户网站正常安全运行;在技术上,采用多种防范、监控等先进的技术手段,制定各种应急措施,保证政府门户网站安全可靠地运行。
⒈加强政府门户网站信息安全法规与制度建设
一是加强信息安全管理等方面的立法工作。国家及省都有加强网站建设方面的相关政策,但还没从立法的角度予以确认和强化,应从“电子政府”建设的高度,制定相应的法规,为包括政府门户网站在内的电子政务网络与系统的建设、运行、维护和管理提供法律保障。
二是加强网络和信息安全管理等方面的制度建设。用管理手段来弥补技术落后问题,本着“堵漏、补缺、管用”的原则,采用整体思路,加强管理,切实从机关内部堵塞漏洞,在若干不够安全的技术环节的基础上,形成一个相对安全的整体。在加强信息安全防护能力的同时,重视隐患发现、网络应急反应、信息对抗等管理能力的提高。
⒉建立健全政府门户网站信息安全管理体系
一是明确技术管理规范。面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。具体包括:非、网机器不允许混用;非网机器不允许运行信息,网机器不允许上非网;严格按照安全等级、安全域划分,制定相应的安全保密制度;不同安全域、安全等级之间的信息必须通过安全交换系统方可交流。只有所有接入网络的设备都安全,整个网络的安全才能得到保证。
二是明确相关人员的职责。强调以人为本,把网站安全纳入一个人人有责、层层负责、由第一责任人负总责的安全管理体制之中。主管领导负责安全体系的建设实施,在安全实施过程中取得相关部门的配合,领导整个部门不断提高系统的安全等级;网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略;安全操作员负责安全系统的具体实施;信息编辑人员负责信息采集、编辑和审核工作,确保所信息的完整性、一致性、权威性和准确性。另外,还应建立安全专家小组,负责安全问题的重大决策。
三是建立应急响应机制。从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面建立应急响应机制,以保障政府门户网站正常安全运行。
四是建立信息安全检查监督和激励机制。依据已确立的技术法规、标准与制度,定期开展信息安全检查工作,确保信息安全保障工作落到实处;建立责任通报制度,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改;建立良好的激励机制,从人才引进、培养的渐进性和连续性上优化人员结构,形成梯队,重点加强系统运行人员技能的培养力度,不断增强自我运行操作能力与应急能力。
五是做好政府门户网站信息安全培训工作。政府门户网站的运行维护,需要一支具有较高的政治素质和职业道德水准,既懂业务又懂技术的队伍。建立完善技术培训体系,使之更贴近实际业务、贴近技术前沿,提高各类人员的安全理论实践水平和安全意识。只有让每一位员工都成为安全卫士,才能实现真正意义上的全方位的安全防范。
六是合理安排信息安全建设资金。在电子政务信息项目建设上,要在项目建设前期就安排相应比例的资金用于信息安全的建设;切实落实国家信息安全建设的有关规定,保证信息安全建设资金足额到位。
七是加强信息安全设施建设。联合公安等部门,加强网络监管中心、测评认证中心、应急处理中心、病毒防治中心、数字证书认证中心等信息安全基础设施建设。
⒊积极完善政府门户网站信息安全技术防范手段
2007年9月,福建省为加强政府类互联网站的安全管理,确保网站健康有序发展,下发了《福建省人民政府办公厅关于加强我省政府类互联网站安全管理的通知》(闽政办〔2007〕182号),要求各级各单位建立健全网站安全管理制度,并贯彻落实网站安全技术措施。笔者根据实践提出以下建议:
一是加强电子政务网络的总体规划和统一建设,避免多头建设和重复建设,保证网络整体性,避免网络架构缺陷引起的安全问题。
二是统一信息安全技术标准与规范,各级政府门户网站信息安全建设都应按照这个标准和规范进行实施,以确保信息整体安全。
三是加强信息资源安全等级标准的规划和建设,明确不同信息的服务对象和公开范围。既要避免出现保密过度,限制政务信息化应用的推广和发展的情况,又要避免保密不够,造成电子政务信息泄密情况的发生。在确保信息安全的基础上,最大限度地保证信息共享。
四是在信息安全方面,既要考虑省、市级政府的信息服务对象着重于政府部门和相关的领导等的特点,又要考虑到县、区级政府及相关部门的信息服务对象着重于群众或居民的特点。
五是在技术手段上,要统筹好网络被动防御和网络主动防御的关系,确保信息的安全。网络被动防御方面可以采取防火墙、入侵检测、防病毒等技术;网络主动防御方面可以采取漏洞扫描、补丁升级和自动分发、网页防篡改、容灾备份等技术。
五、结束语
综上所述,加强政府门户网站的信息安全,必须做好信息安全的法规制度建设、建立健全安全管理体系、积极完善安全技术防范手段等三方面的工作。同时,还要处理好信息安全与网站发展辩证统一的关系:安全是前提保证,发展是最终目的,要在发展过程中确保安全,在确保安全的条件下加快发展,使政府门户网站充满生机与活力,并充分发挥其应有的社会效益,为海峡西岸经济区建设做出积极的贡献。
作者简介:
网络安全制度建设篇6
随着目前我国的大多数学校都建立起自己的校园网络,网络的普及程度越来越高。网络的建设使得教师和学生能够快速方便地获取信息的同时,网络产生的安全问题也成为困扰网络发展的重要问题。通过对目前学校的网络健康情况调查得知,各个学校建设的网络比较脆弱,很容易受到外界的破坏和影响,因此为了保证学生和教师拥有健康的网络环境,必须要加强学校的网络安全建设。
二、目前学校网络安全存在的问题
通过调查和研究发现,目前我国的大多数学校都普遍存在着一定的网络安全问题,虽然一些学校也采取了一定的加强措施,但是效果并不明显。我国目前的校园网络仍然存在着安全问题,主要体现在以下几个方面:
(一)校园网络在硬件方面存在的隐患
校园网络的建设必须要依靠一定的硬件设施,如果硬件存在安全隐患则网络就不会畅通,目前我国的校园网络在硬件方面还存在一定的隐患,主要体现在以下几个方面:第一,硬件在设计研发方面存在着一定的问题,导致了如果核心系统出现问题,其他的部分都无法正常使用,这样整个校园网络就会进入瘫痪状态;第二,一些硬件存在着一些设计上的安全漏洞,这些漏洞一旦被黑客发现,就很容易受到攻击,整个网络的安全就会受到威胁。
(二)校园网络在软件方面存在的问题
对于校园网络来讲,仅仅依靠硬件是无法方便使用的,所以在硬件之上往往还存在很多系统软件或者是应用软件,供用户方便地使用校园网络,但是同样校园网络在软件方面也存在一定的问题,主要是:第一,网络入侵,一些软件在设计的过程中并没有考虑到加密和访问权限等问题,使得网络上的一些机密和重要的文件能够被非法使用者访问,使得网络容易受到进攻;第二,拒绝服务的攻击,受到这种攻击以后,计算机网络就无法响应用户的服务请求,网络的功能就形同虚设。
(三)校园网络在管理方面存在的安全隐患
目前校园网络在我国的建设规模越来越大,必须要有专门的管理人员对网络进行管理,从而防止一些网络安全问题的发生,但是目前我国的校园网络在管理方面还存在很多安全问题,主要体现在以下几个方面:第一,没有为校园网络安装有效的杀毒软件,虽然我们可以加强网络中的硬件和软件设计,降低网络攻击的频率,但是毕竟研究设计考虑有限,不能完全杜绝安全问题的存在,因此必须要安全杀毒软件进行弥补,但是很多学校为了节约资金并没有选择有效的杀毒软件;第二,网络管理人员的专业技能有待提高,作为校园网络的管理者,应该对计算机网络有着深入的了解,这样在网络出现安全问题时能够及时有效地解决,避免造成大的损失。
三、建设高校安全校园网络的策略
通过以上的分析和论述可知,目前我国的校园网络在安全方面还存在很多问题,这些问题使得我国的校园网络发展比较缓慢,无法完全满足教师和学生的要求。因此我们必须要迅速解决这些问题,为教师和学生提供安全健康的网络使用环境,为此可以做到以下几点:
(一)加强对硬件系统的完善和管理
硬件是组成校园网络的重要部分,加强校园网络的安全建设,就必须要加强和完善对硬件设备的管理,例如:第一,对硬件的研发和设计进行严格的测试,对于一些明显的设计缺陷要及时提出,从而确保硬件设计的质量;第二,对校园网络进行合理的规划和设计,合理的规划和设计不仅仅能够节约校园网络的建设成本,而且能够隐藏校园网络内部实现的细节,从而降低校园网络受攻击的几率。
(二)加强对软件系统的管理
软件可以帮助使用者方便地利用网络,所以在加强校园网络建设的过程中,必须要对软件系统进行严格的管理,为此可以做到以下几点:第一,在软件的设计和研发过程中,要提高对网络安全问题的重视,增加一些防范的技术,例如:可以利用加密和权限设置等等;第二,对于系统中的文件进行定期的备份,这样在网络受到攻击以后,文件损坏时还可以进行一定程度的补救。
(三)制定校园网络安全管理相关的规章制度
网络安全制度建设篇7
虽然校园网络系统的重要性越来越突出,但是由于没有得到专业管理,容易出现纰漏。这不仅没有实现校园网络系统长处的发挥,反而阻滞了校园建设和管理的有序进行。那么在校园网络系统中存在的问题有哪些?
首先是系统安全得不到保证。计算机网络安全要从两个方面来理解,即物理安全和逻辑安全。从物理安全角度来说,计算机网络安全主要是指系统设备和相关设施的物理保护要到位。从逻辑安全带的角度来说,计算机网络安全主要是指整个系统的信息要确保完整性、保密性和安全性。网络遭受黑客和病毒袭击很常见,前几年的“熊猫烧香”和“健美鸡”使很多网络用户遭受一定的损失。网络黑客和病毒是网络系统安全得不到保证的一大原因。校园网络系统的安全系数相比其他网络系统比较低,主要原因在于校园网络系统的安全设置较低,由于校园网络建设经费的不足和学校领导的意识薄弱,校园网络系统的安全建设一直没有得到足够的重视。
其次是信息良莠不齐。由于校园网络实现与外部网络的连接,信息的大范围共享成为可能。这也为黄色、暴力和垃圾信息的出现提供了渠道。这种情况在高校网络中比较明显。高校网络的使用者以学生为主,这是一个非常庞大的群体,但是这个群体的不稳定性和心智的不成熟性造成了大量垃圾信息的横行。据调查显示,在高校网络系统中最常出现的垃圾信息主要是色情和暴力信息,这对于校园网络系统的高效率运行造成了一定的困扰,更为严重的是毒害了正处于人生观和世界观形成的学生。三是网络系统建设意识淡薄,制度不完善。这是很多校园网络系统建设中普遍存在的问题。学院应用网络系统进行教学和管理的时间并不长,发展速度相对缓慢,很多领导并没有对校园网络系统的建设和完善给予足够的重视。校园网络系统的构建和完善需要相对较多的人力和物力,很多学校的不具备专门型技术人才,对校园网络系统的维护疏于管理,很多问题一直积累着得不到解决,这就存在系统崩溃的危险,而系统一旦崩溃会给学校的教学、学生管理以及校园信息安全造成无法挽回的损失。在校园里基本上每一个部门的办公室里都有电脑,计算机的存在节省了大量的时间和人力成本,但是计算机使用者的安全防范意识和良好的使用习惯并没有形成,这给计算机遭受黑客和病毒的侵袭制造了机会。四是操作系统固有漏洞增加了校园网络系统的安全风险。我国现阶段网络系统使用的操作系统都存在一定的漏洞,虽然不断有补丁程序的推出,但是固有漏洞的威胁还是无法完全规避的。需要注意的是在校园网络系统中人为因素的不当管理加重了安全漏洞的威胁。这主要是因为管理人员和使用者对校园计算机安装的系统不了解以及安全设置不合理造成的,这些因素严重影响了校园网络系统的安全性和高效利用率。
二、校园网络系统的构建和完善
校园网络系统的构建和完善是一个比较复杂的过程。它需要综合考虑多种因素,要保证校园网络系统的构建和完善有效就要从主观和客观两个方面加强管理。
首先从主观方面来讲如何进行校园网络系统的构建和完善。一定要提高领导层对校园网络系统的重视。只有提高意识才会从其他方面有效提高校园网络系统的建设。加强领导层的重视可以带动整个校园积极合理使用网络资源。其次是增加网络系统建设和完善的资金。互联网作为新生技术无论是硬件的维护还是软件的更新都需要强大的资金后盾。一些院校对网络系统的资金投资不足,校园网络软件更新速度缓慢,人力管理不到位。这就使校园网络系统过于陈旧,跟不上时代的发展步伐,这种情况大大降低了网络系统的工作效率和安全性能。从学校的角度来说,增加这项支出可能会带来财政压力,寻找财务和网络构建与完善的结合点成为各个学校需要认真探讨的话题。这里简要介绍一些成功学校的实施方案以供参考:一是在网络系统构建初期就以最高的要求为标准,这虽然在实施初期增加了投入,但是经过长时间的实践之后发现这有效降低了设备维护和替换的费用;二是实现校园网络的部分商业经营。校园网络的主要目的是为了在学校内实现信息共享,提高教学和管理效率。有的学校在确保主要目的不被影响的情况下进行部分商业化管理,这为校园网络建设和完善提供了资金,而用户也从中获得了经济收益,可以说这是一举两得的有效措施。校园网络系统构建与完善的第三个主观方面就是提高用户的安全意识和使用技能。由于网络的虚拟性,很多用户在使用过程中超越道德的束缚,经常有网络使用不当的情况出现,严重者还会违背国家法律,危害人们的生活与工作。这就需要加强对用户的教育和管理。针对校园网络用户的特殊性,一般要进行网络使用常识的普及,只有确保用户熟练掌握网络使用技术才能有效提高整个系统的使用率。在用户的使用过程中要不断进行安全意识和法律意识的教育,让用户明白虽然网络虚拟性比较大,但这并不意味着可以不受道德和法律的约束,想干什么就干什么,想说什么就说什么,网络ip的存在为网络犯罪案的破解提供了线索。第四个方面是加强制度建设和管理。没有规矩不成方圆,这也适合于校园网络系统的维护和建设。我国校园网络建设中最为明显的问题就是制度不健全。如何实现网络的维护和管理没有相应的规章制度,一些学校照搬企业单位的制度进行管理,不仅没有实现校园网络系统的维护,反而适得其反。针对这种情况,本文建议各个学校针对自身情况及时制定网络维护和管理的相关制度,如果本校缺乏这方面的人才可以邀请有关专家进行测评并据此制定相关的政策。
其次是从客观方面加强校园网络系统的构建和维护。相对于主观方面,客观方面相对好理解一些,主要内容如下:首先是加强对网络各个终端设备的维护。这可以具体到每一个使用者的身上,加强计算机等终端设备知识的普及。对中转器、路由器等设备的维护可以由专业人员来完成,一般学校都会有网络技术人员,如果需要比较专业的养护要由这些技术人员来完成。第二是不断进行软件维护和更新。相比计算机的硬件设备,软件安全的维护难度要大一些。网络黑客和网络病毒的存在使校园网络系统的安全不断遭受威胁。一些重要的数据和教学信息被盗的情况经常出现,为了有效规避这些情况的出现,需要及时进行软件的更新和维护,加强网络防火墙的建设,一旦出现系统被侵和信息泄露的情况要马上组织修复和防护,另外提醒使用者及时对数据进项备份。
三、结束语
网络安全制度建设篇8
2015年《中华人民共和国国家安全法》和《中华人民共和国反恐怖主义法》相继通过;2015年7月,作为网络安全基本法的《中华人民共和国网络安全法(草案)》第一次向社会公开征求意见;2016年11月7日,全国人大常委会表决通过了《网络安全法》。立法的迅速推进源自我国面临国内外网络安全形势的客观实际和紧迫需要,标志着我国网络空间法治化进程的实质性展开。
立法定位:网络安全管理的基础性“保障法”
科学的立法定位是搭建立法框架与设计立法制度的前提条件。立法定位对于法的结构确定起着引导作用,为法的具体制度设计提供法理上的判断依据。
第一,该法是网络安全管理的法律。《网络安全法》与《国家安全法》《反恐怖主义法》《刑法》《保密法》《治安管理处罚法》《关于加强网络信息保护的决定》《关于维护互联网安全的决定》《计算机信息系统安全保护条例》《互联网信息服务管理办法》等法律法规共同组成我国网络安全管理的法律体系。因此,需做好网络安全法与不同法律之间的衔接,在网络安全管理之外的领域也应尽量减少立法交叉与重复。
第二,该法是基础性法律。基础性法律的功能更多注重的不是解决问题,而是为问题的解决提供具体指导思路,问题的解决要依靠相配套的法律法规,这样的定位决定了不可避免会出现法律表述上的原则性,相关主体只能判断出网络安全管理对相关问题的解决思路,具体的解决办法有待进一步观察。
第三,该法是安全保障法。面对网络空间安全的综合复杂性,特别是国家关键信息基础设施面临日益严重的传统安全与非传统安全的“极端”威胁,网络空间安全风险“不可逆”的特征进一步凸显。在开放、交互和跨界的网络环境中,实时性能力和态势感知能力成为新的网络安全核心内容。
立法架构:“防御、控制与惩治”三位一体
在上述背景下,传统上将风险预防寄托于惩治的立法理念面临挑战。为实现基础性法律的“保障”功能,网络安全法需确立“防御、控制与惩治”三位一体的立法架构,以“防御和控制”性的法律规范替代传统单纯“惩治”性的刑事法律规范,从多方主体参与综合治理的层面,明确各方主体在预警与监测、网络安全事件的应急与响应、控制与恢复等环节中的过程控制要求,防御、控制、合理分配安全风险,惩治网络空间违法犯罪和恐怖活动。
法律界定了国家、企业、行业组织和个人等主体在网络安全保护方面的责任,设专章规定了国家网络安全监测预警、信息通报和应急制度,明确规定“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、入侵、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”,已开始摆脱传统上将风险预防寄托于事后惩治的立法理念,构建兼具防御、控制与惩治功能的立法架构。
制度设计:网络安全的关键控制节点
《网络安全法》关注的安全类型是网络运行安全和网络信息安全。网络运行安全分别从系统安全、产品和服务安全、数据安全以及网络安全监测评估等方面设立制度。网络信息安全规定了个人信息保护制度和违法有害信息的发现处置制度。法律制度设计基本能够涵盖网络安全中的关键控制节点,体系较为完备。除了网络安全等级保护、个人信息保护、违法有害信息处置等成熟的制度规定外,产品和服务强制检测认证制度、关键信息基础设施保护制度、国家安全审查制度等都具有相当的前瞻性,成为该法的亮点。
《网络安全法》规定了网络安全等级保护、关键信息基础设施安全保护、网络安全监测预警和信息通报、用户信息保护、网络信息安全投诉举报等制度,以及网络关键设备和网络安全专用产品认证、关键信息基础设施运营者网络产品和服务采购的安全审查、网络可信身份管理、网络安全事件应急预案/处置、漏洞等网络安全信息、网络安全人员背景审查和从业禁止、网络安全教育和培训等制度。可以看出,一部契合网络安全战略,关注技术、管理与规范的网络安全保障基本法,由十多套(部)配套制度共筑框架的法律体系已悄然成型。
重中之重:关键信息基础设施安全保护办法关键信息基础设施保护制度是网络安全法若干制度设计的核心之一。《网络安全法》在“网络运行安全”一般规定的基础上设专节规定了关键信息基础设施保护制度,首次从网络安全保障基本法的高度提出关键信息基础设施的概念,并提出了关键信息基础设施保护的具体要求。
第一,《网络安全法》中明确界定了关键信息基础设施概念的本质,即“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”,并规定关键信息基础设施的具体范围由国务院另行制定。这表明,作为网络安全领域的基本法,应当尽可能确保网络安全法的稳定性而不宜进行过于细化的条款设定这一立法需求。
网络安全制度建设篇9
关键词:学校网络安全;存在问题;解决措施
中图分类号:G63文献标识码:a文章编号:1673-9132(2016)18-0168-29
Doi:10.16657/ki.issn1673-9132.2016.18.083
校园网络是学校的基础性设施,是提供综合服务的宽带多媒体网络。校园网络是辅助教师上课的工具,是学生查阅资料的途径,是校内进行管理的方式,同样也是与校外交流的渠道。因此,校园网络应该建设提供学校教师教学、科研、管理的信息化教学环境。
一、校园网络安全存在的问题
校园网络方便、快捷,但是网络系统规模大,管理系统复杂。随着校园网络的普遍使用,校园网络安全问题也频频出现,受到广泛的关注。目前,校园网络安全存在以下几个问题:
(一)网路硬件设备损坏
校园网络系统覆盖着整个校园,需要大量的网络硬件设备支撑,这些设备可能会因为环境不好、摆放位置不恰当、日常维护不到位等因素而受到损坏。硬件设备的损坏可能影响到整个校园网络系统,甚至造成校园网络部分或者整个网络的瘫痪。
(二)计算机系统存在漏洞
随着科技技术的飞速发展,操作系统逐渐复杂化,计算机的运用不免会存在系统上的漏洞问题。黑客可能趁机而入,窃取信息,远程操控,损害计算机用户的合法权益。系统上存在漏洞,可能会造成文件,信息的丢失,甚至影响到整个网络的运营,造成网络的瘫痪。
(三)病毒的侵害
计算机病毒是指能自我复制影响计算机正常运行和使用的指令或程序代码,恶意代码。计算机病毒激发后,会破坏计算机数据,数据信息可能会被格式化、改写、删除、破坏设置等。病毒的产生,易于不法分子窃取网络内用户的隐私信息,盗用用户财产,甚至利用被病毒控制的计算机进行违法行为。
(四)不良信息的传播
互联网的广泛使用推动着信息的飞速传递,随着社会信息化进程的加快,信息网络全球化的普及,网络信息安全问题日益突出,网络不良信息传递的问题备受关注,校园网络存在着不良信息传播的危害。不良信息的传播会侵袭对青少年人生观、价值观、道德观。
(五)网络安全管理制度不完善
随着校园内计算机应用的普遍应用,校园网内的计算机日益增多,但是校园网络安全防范意识较差,学校关于校园网络规章制度不完善,没有具体的责任划分,都为校园网络安全带来隐患。
(六)网络外部的侵害
校园网络都具备信息的公开性,一些人为利用网络协议,操作系统的安全漏洞,甚至是管理上的疏忽,非法访问网络资源、删改数据、破坏系统,以达到自己非法行为的目的,这种人为的恶意攻击,网络外部的侵害,给校园信息安全带来很大的损害。
二、维护校园网络安全的措施
(一)完善校园网络制度
校园网络制度的建立,必须遵守国家有关法律、法规。建立健全完善的制度、规定,是校园网络安全的必备前提。学校应当设置相应的制度,责任到人,营造安全的网络环境。
(二)网络硬件的维护
网络硬件日常的维护是每位师生都要注意、呵护的。每位师生都要遵守学校的网络安全管理制度,爱护公共网络硬件设施、设备,正确使用网络设备,保证网络设施、设备的正常运行。机房要装置相应的设备以确保温度、湿度、防雷、防火、防盗等,保证网络设备的安全运行,要建立完整、规范的校园网设备运行情况档案,落实好各项设备资料的记录、分类和妥善保存工作。
(三)预防病毒的侵害
学校要合理的对校园网络系统进行安全配置,采取有效措施防范网络安全,学校需要设置专人,对网络系统定期进行维护、完善。对不同的情况可以采取不同的措施,以便最有效的方式处理问题。采取严格的措施对校园网络系统的软件应用,和大量的信息数据进行保护。信息资源可以分不同的保密等级,对学校各部门开放。以确保信息的安全,不被盗取、泄漏。
(四)防范不良信息的传播
网络安全制度建设篇10
关键词:网络技术;信息化建设;安全问题
引言:虽然近几年我国开始逐步加强信息化安全建设,通过宏观调控给予充分的支持,法律环境也逐渐完善,但是我国的信息安全管理发展时间不长,虽然我国信息化发展速度有目共睹,但是其中的安全问题仍然亟待解决。我们在使用互联网时,虽然有数据加密、防火墙等技术提供保护,但是黑客仍然能够侵犯我们的信息安全,网络信息化建设的安全问题是我们面临的重要问题。
1、网络信息化建设存在的问题
我国网络信息化建设发展时间不长,相对于其他国家,技术水平存在一定差距,并且尚未建立较为完善的信息监管体系,也没有针对网络信息化建设制定专门的法律法规,这也是导致我国信息化建设存在安全问题的主要原因之一。可以看到近年来诸如网络诈骗等网络犯罪案件数量逐年增加,给我国的网络信息化建设敲响了警钟,在信息化建设过程中,如果采取恰当的措施解决安全问题是当务之急,我国当前网络信息化建设存在的问题可以从以下几个方面得以体现以下几个方面:(1)没有足够的网络信息安全防护能力,目前各行各业、各个领域都开始将信息化技术作为重要生产工具,开始建立自己的网站,3G和4G网络的发展也让微博、微信等网络信息应用普及开来,信息化技术已经深入到人们的生产生活中,有效的提高了人们的工作效率,为人们的日常生活增添色彩。但是目前大部分节点都没有设置入侵检测系统、防火墙系统等,信息系统面临着严重的安全威胁;(2)缺少先进的信息技术和管理手段,虽然引进了国外先进的信息设备和信息技术,但是缺少自主产权的信息技术,对于从国外引进的技术也没有针对我国实际情况进行改造和检测,很可能留下监听和入侵后门,随着3G和4G信息技术的普及,不法人员采用无线技术进行网络犯罪,将使案件侦破难度进一步增加;(3)信息化犯罪呈现上升趋势,在国内,黑客利用软件漏洞、系统漏洞或者其他方式,将木马、病毒植入用户电脑中,盗取用户的购物网站账号密码、银行账户密码等,给人们带来严重的经济损失或者隐私泄露等问题,而不法分子利用网络手段进行犯罪,方式比较隐蔽,很难调查取证,通过使用软件更改ip地址、租用国外服务器等方式,让警察很难追踪,使用email、iCQ进行沟通通信,给警察调查带来了极大的困难。
2、网络信息化建设存在安全问题的原因
我国经济发展水平尚不及西方发达国家,因此很难在网络信息化建设方面投入足够的资金,我国缺少自主安全产品和核心、关键技术,就是网络信息化建设滞后的主要体现。我国没有建立完善的监管制度以及相关的法律法规,也是造成网络信息化建设存在安全问题的主要原因。对于网站经营者、服务提供者和网络运营商,他们之间的利益是共生的,为了增加经济效益,不配合监管或者态度消极。例如由于目前购物网站的兴起,出现了很多第三方支付平台,诸如支付宝、财付通等,目前第三方支付平台数量将近百个,但是我国缺少相应的监管措施,不法分子利用第三方支付平台开展信用卡套现、洗钱等犯罪行为,小型第三方支付平台甚至没有实名认证制度,而犯罪证据多为电子证据,销毁、修改比较简单,而网站也可以将这些证据采用软件加密,阻碍警察调查和监管。有些犯罪分子证据和本人分离,要认定犯罪行为很困难。再加上即使根据ip地址查找到了不法分子,但是却缺少证据证明是其本人所为,简单来说,就是证据不具备排他性和唯一性,要根据证据立案比较困难。
3、网络信息化建设安全问题的解决措施
3.1完善法律法规
要为我国的网络信息化建设建立良好的发展环境,就应该针对网络信息化建设制定相应的法律法规,完善现有的法律法规和政策,根据我国信息化建设实际情况,制定网络安全法案。目前要完善的法案有数字签名法、信息安全法、电子信息出版法、电子信息犯罪法以及知识产权保护法等。完善上述法律法规是严惩利用网络信息安全犯罪分子的最有力途径。诸如能源、医疗、交通、证券等涉及到网络信息的领域,同样要包含在网络信息法规法案的范围内。破坏计算机罪不仅要包含破坏软件罪,还要包含破坏硬件罪。诸如木马、病毒等破坏计算机的软件、程序等,同样要制定完善的规定和范围。
3.2加强网络信息安全监管力度
从小学阶段就要开展网络信息安全教育,不论是家长还是教师,都要以身作则,采用各种安全防护设施,保证自己的隐私和信息安全,提升信息安全系统整体水平,保证信息系统的安全稳定。国家要在保障个人隐私的基础上,开展网络实名制,这样不仅能够提高管理效率,还能够及时删除、封堵网络上出现的有害信息。对于Google、百度等搜索引擎的留存信息要加强监管,同样对于无线网络的使用,要提高接入管理力度。
3.3提高网络信息安全技术更新速度
社会在不断发展,网络信息的内容和形式也千变万化,网络本身具有交互性和开放性,因此我国政府应和国外合作,研发新型安全技术,例如新型保密技术、新型通信技术等,还要不断完善相关的法律法规。及时封堵网络漏洞,建立高效、安全、稳定有序的网络平台。
4、消防网络信息安全措施
对于消防部队来说,要针对消防部队的官兵开展计算机网络安全培训,了解计算机信息安全的防范措施,这要求消防部队在不同阶段、不同情况下采取不同的网络信息安全防范措施,备份重要的网络设备和网络信息,不再使用的配件要进行消磁处理,消防部队的机房要完善管理体系,制定相应的防潮、防火措施,为机房配备独立的供电系统。在日常生活和工作中,培养消防部队官兵的信息安全意识,督促他们了解并学习网络信息安全的规章制度,提高他们的保密意识。
结束语
综上,网络由于其开放性。交互性等特点而存在安全问题,我们必须通过加强信息安全管理、提高安全技术更新速度等措施,保障网络信息化建设的稳定安全。
参考文献
[1]陈强.工业控制网络信息安全的防护措施与应用[J].电子技术与软件工程.2015,(02):226.
[2]王红梅,宗慧娟,王爱民.计算机网络信息安全及防护策略研究[J].价值工程.2015,(01):210.