确保网络信息安全范文
时间:2023-10-09 17:06:04
确保网络信息安全篇1
林强认为,制订电子签章法将是我国树立以及完美网络立法的重中之重。他说,电子签章是应用技术手腕对于签署电子文件的发件人身份作出确认,有效保证传送的文件内容不被篡改,不被冒名顶替传送虚假资料,事后不能否认已经发送或者已经收到的资料等,以确保网上交易以及网上信息传递的安全性。通过立法,可规范电子文件及电子签章的使用,树立电子认证轨制,促进电子交易的安全,使电子商务以及电子政务的施行有明确的法律主体。
在现实糊口中,几近无人不知手写签名与印章的首要性,但是在虚拟社会中如何实现签名的问题,就不如现实糊口中那末简单了。通过计算机直接录入的文字、图形、符号没法判别身份的真实性。同时,1组数据比如信誉证的号码经电子邮件的传送,中间的链接平均要经由10几个节点,其交易安全不得不使人耽忧。在Internet长进行的各项流动,包含广告、交易、支付、服务等内容的全世界电子商务的发展迫切请求解决签名这1首要的法律问题,电子签名恰是在这类违景下应运而生。
电子签名也称做数字签名,它能起到鉴别真伪、不可撤销、数据完全性的作用。电子签名作为公然密钥加密技术的利用,使符号及代码组成电子密码进行“签名”,从而来接替书写签名或者印章,到达鉴定签名人的身份和对于1项数据电文内容信息的认可。在进行以及完成电子商务流动的交易进程中,交易各方通过电子签名,直接证实交易的真实与有效性。
被称为“我国首部真正意义上的信息化法律”的电子签名法,八月二八日在10届全国人大常委会第一一次会议上取得通过。
这1法律体现了下列思路:通过确立电子签名的法律效率,明确电子签名规则。
电子与手写的签名效率平等
这1法律体现了下列思路:通过确立电子签名的法律效率,明确电子签名规则,解除电子商务发展的法律障碍,保护电子交易各方的合法权益,保障电子交易安全,为电子商务以及电子政务发展创造有益的法律环境。
依据这1法律,电子签名是指数据电文中以电子情势所含、所附用于辨认签名人身份并表明签名人认可其中内容的数据。通俗地说,就是能够在电子文件中辨认交易人身份、保证交易安全、起到与手写签名或者者盖章平等作用的电子技术手腕。
该法通过对于电子签名的这必定义,请求电子签名必需起到两个作用,即辨认签名人身份、又表明签名人认可文件中的内容。在此基础上,明确了电子签名拥有与手写签名或者者盖章平等的法律效率,明确了合法有效的电子签名应该相符的具体前提。
我国现有的民商事法律瓜葛是基于以书面文件进行商务流动而构成的,这就使电子文件在良多情况下难以合用,构成了电子商务发展的障碍。因而,将电子文件与书面文件联络起来,承认电子文件与书面文件拥有平等效率,才能使现行的民商事法律一样合用于电子文件。为到达这1目的,本法作了3方面规定:电子文件相符现行法律、法规请求的“书面情势”、“原件情势”以及“文件保留”应该具备的前提;电子文件在甚么情况下可以作为证据使用;认定电子文件发送人发送、收件人收讫和发送时间、地点的标准。
电子认证服务履行准入制
电子商务交易的双方因为不必定相识,缺少信任,所以在使用电子签名时,常常需要由第3方对于电子签名人的身份进行认证,并为其发放证书,向交易对于方提供信用保证,这个第3方称为认证机构。
为了避免不具备前提的人擅自提招认证服务,本法对于电子认证服务设立了市场准入轨制。同时,为了确保电子签名人身份的真实可靠,请求认证机构为电子签名人发放证书前,1方面必需对于签名人申请发放证书的有关材料进行情势审查,同时还必需对于申请人的身份进行实质性检修。
本法还对于提供电子认证服务机构应具备的前提、申请设立的程序、业务规则、暂停或者者终止服务时的业务承接等作了具体规定。
重在确保电子签名安全
确保网络信息安全篇2
关键词:大数据时代;网络;信息安全
大数据技术是继云计算、物联网技术之后IT界的又一次颠覆性的变革,有利于整合与共享管理信息,提高协同工作效率,提高决策的科学性与精准性。但另一方面,数据的开放性要求与个人用户信息的私密性相冲突,是政府机构、学术界和工业界不得不长期面对的一个两难问题。
1.大数据时代面临的网络信息安全威胁与需求
面对当前国民经济领域中的各个行业,并在分析梳理金融、通信等行业的相关数据信息可以看出,网络信息方面一直存在着安全威胁及需求。
1.1金融行业
一方面,大数据时代下的金融行业面临着较为严重的网络信息安全威胁,随着电子商务的快速发展,云计算、互联网以及大数据等新兴技术得到了广泛使用,金融行业信息安全方面存在着较大威胁[1]。同时,快速发展的电子商务对网络结算以及支付等金融服务的需求日益增大,促使互联网与金融业之间的联系变得越来越密切,以致互联网传统病毒以及木马等威胁也严重冲击了金融行业,互联网金融业务面临非法盗取、非法攻击等问题。另一方面,大数据时代下的金融行业需要更多的安全需求,且金融行业的信息系统存在较高的互联性,数据使用对象也是多种多样,以致产生风险的几率在不断上升,要求信息具备更高的保密性与可靠性。由此,相较其他行业,金融行业对信息的保密性与可靠性要求极高,网络信息处理系统不但可以快速整理各类数据信息,还具备较强的数据容错性,从而可以灵活应对各类数据信息,从容应对当前日趋复杂的应用系统。
总体而言,金融行业的业务流程较为复杂,持续周期较长,行业信息量较大,加之行业内对数据信息应用的差异性等因素,以致金融行业对数据信息的安全性要求要明显高于其他行业,且每年会在网络信息数据安全方面投入大量的人力与资金。在大数据时代的背景下,金融行业应由先进数据算法研究、控制数据访问以及增强数据安全性等方面入手,充分改善行业内的数据安全情况,使用大数据网络安全技术,强化内部机构的控制能力,从而更好地监督整个金融行业,提升服务质量水平,以便更好的应对潜在的金融风险。
1.2通信行业
通信运营商每天都要面对大量数据的产生、存储以及分析工作,因而会遇到数据开放保密、用户隐私以及商业合作等问题。基于此,通信运营商应在充分利用数据信息工具的基础上科学建立数据分析模型,确定这些数据的实际价值。数据一般以散乱的状态分布于各个信息系统中,对于通信运营商而言,数据信息来源多种多样,通信运营商应具备较强的数据收集及分析能力,从而确保数据的完整性与安全性。在与其他行业合作的过程中,通信运营商还应准确将外部业务转换为实际数据需求,针对数据信息建立对外开放系统,在此过程中,运营商还应有效的保护用户信息,防止出现信息泄露问题。因此,通信运营商应在确保核心数据资源完整性、安全性以及可用性的基础上,充分满足用户的基本利益与体验需求,进而最大程度的发挥出数据的安全需求[2]。
2.大数据时代下网络信息安全构建的策略
处于大数据时代背景下,构建安全性较高的网络信息,需要具备更高要求的安全及管理水平,建立完善的安全防范体系,以满足网络信息的安全保障。同时,数据信息的安全构建还应充分依靠防火墙、加密技术等安全技术手段,并通过网络监控、强化网络信息安全管理等措施,创建良好的网络运行环境。
2.1利用安全技术建立良好的安全防范体系
当前我国网络信息的安全形势十分严峻,需要有效使用各种网络信息安全技术以确保数据信息的安全性与稳定性。在网络信息安全构建的过程中,防火墙技术、加密技术等都属于核心的技术手段,在安全防范方面具备十分重要的作用。
首先是防火墙技术,为了确保网络信息的安全性,并有效控制网络访问,应合理使用防火墙技术,以便及时控制外部用户的非法入侵行为,为当前的网络运行环境构建安全防护体系。使用防火墙技术可以有效检查网络传输过程中的数据信息,对内部的网络运行环境进行全面监控,确保数据传输的安全性。根据安全技术的类别,当前的防火墙技术主要分为检测型、型以及包过滤型等几种类别,在使用过程中应根据实际需求合理选择。其次是互动式应用程序的安全测试技术,它充分结合了静态应用程序安全测试以及动态应用程序安全测试技术,利用这两种技术之间的互动性,优化并提升了传统的安全测试技术,提高了数据的安全性与稳定性。由此看出,使用互动式安全测试技术可以有效检查已监测的漏洞是否已遭受攻击,并有效确定漏洞的具体来源以及在程序中的具置。最后是使用云端访问安全技术,大数据时代最为显著的特点便是产生了云技术,但其运用过程中还需要依靠安全技术的支持。而云端访问安全服务主要部署于云端,其资源被访问时,可以有效使用企业的安全策略,确保数据信息的安全性,保障云端资源的存储安全。
2.2利用网络监控创设良好的网络信息运行环境
大数据时代存在着极为严峻的网络信息安全问题,为此,应充分利用网络监控技术创设良好的网络信息运行环境。首先,应强化使用入侵检测技术,强化对网络的实时监控,有效预防入侵行为。其次,明确落实网络监控措施,提升网络运行的安全性与稳定性[3]。再次是提升网络安全意识,规范数据信息的操作行为,以免误入钓鱼网站。最后应建立完善科学的网络监控管理制度,明确各部门的职责范围,_保各项网络监控措施都可以落实到位。
2.3利用账号安全管理提升信息的安全防护水平
处于互联网大数据时代背景下,增强网络账号的安全管理,提升数据信息安全防护措施的运行水准已经成为网络信息安全的重要内容。首先,应强化网络账号的安全管理,尤其应在网银账号、支付账号、邮箱账号等方面做好相应的安全管理措施,提升安全防护等级,从而确保网络账号的安全使用,以免因黑客的恶意攻击而导致数据信息的不必要丢失。其次应强化账号的密码管理措施,设置特殊性较强的密码,提高密码安全等级,增强账号的安全性。最后,出于安全考虑,用户还应定期更换密码,以确保密码的实时安全性,充分消除不必要的安全隐患[4]。
结束语
大数据时代的来临对网络信息安全的要求变得越来越高,需要构建稳定的运行防范体系。为此,应利用加密技术、防火墙技术等提升网络的安全性,并通过安全管理等措施创设良好的内外环境,从而满足网络信息安全构建的基本需求。
参考文献:
[1]彭可威.计算机网络信息安全及防护对策[J].黑龙江科技信息.2015(36)
[2]黄国贤.计算机网络信息安全问题和对策[J].科技与企业.2016(03)
[3]周庆,杨雪峰.基于计算机网络信息安全及防护的研究[J].农村经济与科技.2016(02)
确保网络信息安全篇3
[关键词]民航企业信息 网络信息系统 网络信息安全
中图分类号:TP245.47 文献标识码:A 文章编号:1009-914X(2015)43-0312-01
1. 引言
网络信息系统逐渐成为现代企业管理中重要的基础设施,中国民航企业通过它们实现了对生产、管理信息的快速传递和共享,极大地提高了运行管理效率。因此,网络信息系统的安全稳定运行对于民航企业的正常运作而言非常重要,直接影响国家的安全形势,影响民航企业的发展与效益,可见制定正确的企业网络信息安全与防护策略已经成为了中国民航企业所面临的重要课题。
2. 民航企业网络信息化建设面临网络信息安全问题
近些年,我国民航企业的网络信息化建设虽然取得很大飞跃,但与国际先进水平还有一定的差距,尤其是民航的网络信息安全总体形势不容乐观,信息安全存在一些隐患,对此我们必须时刻警惕,加强防范。网络信息安全问题这主要表现在几个方面。
1)网络与信息系统的防护水平不高,网络信息系统遭到恶意入侵和攻击影响较大的网络信息安全事故时有发生,并直接影响安全生产,如2006 年中航信离港系统技术故障, 造成大量航班延误和大批旅客滞留机场,给我们敲响了警钟。
2)行业人员在网络信息安全技术水平方面还处在较低水平,缺乏专业队伍和人才。技术人员的应急处置能力不强,遇到突发事件应变处置能力还需提高。员工对网络与信息安全认识还不到位,安全意识淡薄,对网络信息不安全的事实认识不足。
3) 各单位的网络信息安全工作组织机构还不健全,在工作职责等方面还需明确加强。行业性质的网络信息安全标准、规范和认证体系不够完善,在网络与信息系统的建设和信息安全管理工作中缺乏统一的行业性标准、规范。缺乏一套完整有效的管理方法和有效的监督检查措施,缺乏网络安全审计和安全监控。
4)各单位建设网络信息系统时缺乏后期安全维护方案。缺乏更深入的系统安全备份机制,有效的系统恢复机制,遇到突发信息安全事故不能及时恢复网络信息系统的正常运行。
5)网络信息安全系统建设缺乏整体规划,个别单位是为了上系统而上系统,很多单位对各自的网络信息系统建设缺乏全面、深入、细致的安全体系规划和研究。网路信息安全基础设施建设发展也不平衡,设备缺乏统一性, 一些网络信息系统中缺乏足够的网络监控设备,不能及时发现处置外部入侵攻击行为,不能及时排除系统中的安全隐患和故障。
3. 保障民航网络信息安全的主要措施
在建立全行业信息安全防御体系,加大网络信息系统安全工作投入,加快网络信息安全设施建设的同时,还应做好几个方面。
3.1 完善网络信息安全制度,建立网络信息安全行政制度体系
从以前民航实际发生的安全事件来看,绝大多数是由于网络信息安全管理不到位、责任不明确造成的。因此,我们要进一步完善网络信息安全管理责任制,加强管理,明确责任。建立完善行业性质的网络信息安全标准、规范体系,继续加强网络信息安全工作,切实提高民航信息安全水平,逐步建立完善网络信息安全保障体系和防范机制,实行网络信息安全等级保护,分级保护,加大监管力度,建立网络信息安全通报制度。民航还应与国防、公安等机关部门密切配合联系,构建防御功能更强、覆盖面更广的网络信息安全防护体系。
3.2 加强培训建立网络信息安全防护队伍
大力发展民航网络信息安全产业, 密切跟踪国际网络信息安全产业发展动向,加强与国际间的合作交流,积极引进国际先进管理方法和技术, 加快网络信息安全技术与管理人才的培养。进一步增强民航系统网络信息安全意识, 逐步提高网络信息安全技术人员的业务素质和技术水平,打造一支技术全面、管理过硬、能打硬仗,与民航快速发展相适应的网络信息安全技术和管理队伍。
3.3 建立网络信息安全防护体系,通过先进技术手段保障信息系统安全
1)入侵检测和网络监控技术
入侵检测是近年来发展起来的一种防范技术,入侵检测是指通过对网络信息系统的行为、安全日志、审计数据、其它网络信息进行检测,检测到对本网络信息系统的入侵或入侵的企图, 其作用是监控网络和计算机系统是否出现被攻击或入侵。民航企业可以采用入侵检测技术建立入侵检测系(IntrusionDetection System,简称IDS),能同步检测到系统外部的入侵和内部用户的非授权行为,及时发现并报告网络信息系统中未授权和异常现象,对网络信息系统中的恶意行为第一时间发现并做出相应处置。
2)文件加密和数字签名技术
文件加密与数字签名技术是为保障信息系统及数据的安全保密性, 防止机密数据被外部窃取、更改、损坏。文件加密技术是用来防御文件被非法用户打开读取,数字签名技术是保障用户收到的是真正自己所需用户发来的邮件,确保用户的真实性。民航企业网络信息系统可使用文件加密和数字签名技术来保障信息数据的安全、保密、稳定性。
3)身份认证技术
身份认证是在网络信息系统中确认操作者身份的过程。身份认证通过防火墙、VPN、入侵检测、安全网关、安全目录等可以有效的管理网络信息系统的用户数字身份的权限,由于网络信息系统只能识别操作者的数字省份,而身份认证技术可效解决了操作者物理身份和数字身份相对应的问题,给网络信息系统提供了权限管理的依据。民航企业网络信息系统采用几种方式进行身份认证:用户名加口令密码的方式、用户所知道的东西(如印章、证件号码、信用卡号码等);生物特征识别方式(包括指纹、声音、视网膜、签字、笔迹等),基于USBKey 的身份认证可提高系统安全性。
4)运用技术手段建立网络信息安全防护体系
现代攻击入侵方式的多元化, 单纯的依靠防火墙、身份认证、加密文件等手段已经不能满足现实需求,需要构成一个系统化、科学化的网络信息安全防护体系,不仅是单纯的网络运行过程的防护,还包括对网络信息系统的安全评估、系统监测、系统响应、安全监控、应急处置、安全服务、安全培训等方面。在全行业建立网络信息安全备份中心,对信息数据做到更好的保护。
4. 结束语
民航企业网络信息化安全要做到安全与发展并举,要正确处理好安全和发展的关系, 要以安全保发展,在发展中求安全。同时,还要注重管理和技术并重,要坚持管理和技术并重,技术是基础,管理是保障,既要积极采用先进成熟的安全技术, 又要重视安全管理的重要性,通过管理弥补技术上的不足,进行管理和技术并重的综合治理,保障民航网络信息化安全,为实现民航“十二五”规划和民航强国建设的宏伟目标打下坚实基础。
参考文献
[1]熊英.浅谈机场信息安全管理体系建设[J].中国民用航空,2008(11).
确保网络信息安全篇4
关键词:计算机;信息管理;网络安全;应用
伴随着互联网网民的不断增加,互联网在带来方便性的同时,也存在一定的安全问题。无论是政府、企业还是个人都在应用互联网的同时面对着可能存在的网络安全问题给自身带来的负面影响。本文从计算机信息管理的层面出发,对计算机信息管理在网络安全中的应用进行深入的研究分析。
一、网络安全与信息管理概述
网络安全通常指的是网络上的信息安全,即网络系统硬件、网络系统软件以及网络系统数据所具有的安全[1]。网络信息无论是传输与存储过程中,还是处理与使用过程中都应处在安全的状态。信息管理,这里指的是网络信息管理,指的是在网络信息与网络信息服务方面的管理。计算机应用中,计算机信息管理技术有着重要的作用,因而其在网络安全管理也有着不可替代的作用。通常情况下,网络信息管理的内容分为基础运行信息、服务器信息、用户信息以及网络信息资源四个方面。
二、计算机信息管理在网络安全应用中存在的问题
计算机信息管理在网络安全中的应用效果好坏,与使用者对计算机网络信息技术的重视程度、技术水平以及管理能力等有着密切的联系。在计算机信息管理技术的应用中,在网络安全作用的实现过程中有着丰富的内容[2]。如域名以及IP 地址等。从现有计算机信息管理在网络安全中的应用中存在的问题来看,主要包括信息访问控制以及信息安全监测两个方面。信息访问控制指的是对网络信息的服务所进行控制的,信息访问控制是使用者与相关资源拥有者这两个作为主要的源头,信息访问控制涉及的是对用户信息以及用户信息公布等诸多方面所具有的安全进行的控制与管理。而信息安全监测则主要是为了应付日常程序外所要具有的技术功能。在信息的应用过程中,受诸多确定性因素与不确定因素的影响,使得信息在正常的使用过程中,还要应付一些突况,特别是对新问题新情况进行的处理,即信息安全监测[3]。换句话说,计算机信息管理在网络安全中的应用主要解决的就是信息访问控制与信息安全监测。
三、计算机信息管理在网络安全中的应用建议
结合计算机信息管理在网络安全的应用中存在问题,本文提出以下计算机信息管理在网络安全中的应用建议:
(一)提高网络安全防范意识
计算机信息管理在网络安全中应用效果的好坏,与网络安全意识防范有着密切的联系。换句话说,也只有不断提高相关人员在网络安全风险防范方面的意识,才能确保网络应有的安全性。进而从根本上避免不良因素与不良信息对网络安全造成的信息供给问题[4]。计算机网络安全防范意识的提高,需要相关人员认识到计算机信息管理在网络安全中应有的重要性。计算机信息管理在网络安全中的应用对社会、组织以及个人都有着密切的联系,其能从本质上促进信息社会的良性发展,相关人员只有在具有较强的网络安全防范意识才能在使用中注意到相应的安全问题,进而在使用过程中关注计算机信息管理在网络安全保障作用的发挥。进而从自身在网络安全方面的实际情况出发,确定好安全风险防范的计划以及安全风险的防范策略,在防范意识不断提高的情况下,促进计算机信息管理在网络安全应用中的管理技术的不断优化,促进计算机信息管理在网络安全中的应用。
(二)通过信息技术确保网络安全
计算机信息管理在网络安全中的应用还需要信息技术的支持。只有通过计算机信息管理技术的优化,才能实现技术的控制,通过良好的技术控制环节来健全计算机信息管理体系[5]。在信息技术环节涉及到确保网络安全的诸多因素,这就要求计算机信息管理在应用过程中,还应不断的增加在研发方面的工作力度,进而提高信息技术水平,为网络安全风险出现问题的及时解决与处理提供必要的信息技术作为基础支撑。信息技术控制作为确保网络安全的关键因素,需要人员素质水平的不断提供为其提供必要的保证。从该技术从业人员整体素质提高的层面来看,应加强对计算机信息管理技术方面的专业人员的培训,应从信息技术发展的实际出发,不断的提高技术人员在处理网络安全方面问题的能力[6]。同时通过研发工作水平的提高,来加强技术人员在应对突发事件方面的处理能力与解决能力。这就要求,在信息技术的应用方面,要以分工负责为基础,将技术的应用效果不断提升,进而满足日益发展的网络安全的需求。
(三)优化网络信息安全管理体系
网络安全的实现与网络信息安全管理体系的建立健全有着密切的联系。只有良好的网络信息安全管理体系,才能确保计算机信息管理能够做到全面计划,实施得当。网络安全的实现与网络安全计划的制定与执行有着密切的联系。该计划的实施需要一个科学合理的模型来进行执行与维护。该模型需要在对已有的网络安全控制策略与措施进行分析的基础上,确定出其应该做的安全控制,进而确立完整的安全框架,并以此为基础建立一个管理模型。从现有的情况来看,与网络信息安全管理体系联系密切的相关模型已经得到了广泛的认可与应用,特别是政府以及企业。这些模型从本质上来看,体现的是混合型的管理模式,是以查阅和借鉴大量相关资料的基础上,并对相关安全控制做出了具体描述的基础上所得出的结果。有的安全管理模型已经发展成了被认可的标准,如美国联邦机构本身就有着良好的管理模型。
计算机信息管理在网络安全中应用的重点在于对网络安全的防范,在信息管理中,无论是管理模型的应用,还是技术控制方式的应用,其本质都是为了贯彻对网络安全的安全管理。网络安全管理是由多方面共同来实现的,包括信息管理、人员管理、制度管理以及机构管理等等,其作用是实现网络安全的有效防范。在机构或者部门中,不同层次的工作人员所具有的责任感,对网络安全的认识、理解与重视程度,都会对网络安全产生一定的影响[7]。这就决定了网络安全的实现,不仅仅需要组织内人员的参与,同时还需要与组织联系密切的其它人员的参与,如供应商或者信息安全方面的专家等等。
(四)从需求方面加强管理
从需求的层面来看,建立一个安全的系统应首先关注的是对业务需求的分析,通过分析明确现有的网络信息安全威胁与网络信息安全所采用的攻击手段。从网络物理安全方面的需求来看,需要做好的是物理访问控制、设施以及防火安全,在技术上确保可行的资源保护与网络访问安全,组织的工作人员以及外来人员应有着良好的保密意识,做好相应的保密工作,进而实现在物理上避免网络安全风险的存在。从人员的层面来看,组织内部的工作人员应在操作权限上做合理的划分与分配。以管理效率以及便捷程度为基础,按照不同的级别与重要程度来实施管理,确保网络的顺畅与安全。要不断强化与落实在确保网络安全方面的责任制,确保组织内的工作人员在规定的权限范围内来进行工作[8]。除此以外还应加强对网络信息文档的管理,采用必要的措施确保文档应有的真实性,并应经常对文档进行备份。
综上所述,对网络安全产生负面影响的因素是多元化的,这就决定的不仅仅要从计算机信息技术方面的角度对网络安全进行处理,同时还应从计算机信息管理的层面对网络安全的应用进行综合化的处理。因而,有必要在今后的工作和学习中不断加强计算机信息管理在网络安全应用中的研究,进而有效的促进网络安全的良性发展。
参考文献
[1] 张兰兰.计算机网络信息技术安全及对策探讨[J].计算机光盘软件与应用.2012(18):43-44.
[2] 殷学强.计算机网络安全威胁及防范措施[J].信息与电脑(理论版). 2011(09):98-99.
[3] 徐岩.网络信息安全技术防范措施研究与探讨[J].科技传播. 2012(02):151.
[4] 耿金秀.浅谈计算机网络安全防范措施[J].中国科技信息.2011(08):110-111.
[5] 庞海静,黄海荣.浅析计算机网络应用安全与策略[J].中小企业管理与科技(下旬刊). 2011(06):281-282.
[6] 许伟敏.计算机网络信息安全管理工作探讨[J].知识经济.2011(23):96.
[7] 徐晓晨,唐淑梅.网络信息处理与安全方面的计算机应用[J].硅谷. 2011(13) :149.
确保网络信息安全篇5
随着网络技术的不断发展,甚至有可能爆发的网络战争,各个国家都在不断加大网络通信技术的研究,研究网络通信的新技术。虽然我国已经充分意识到网络技术在未来发展中的重要性,也在不断发展我国网络技术,但是依然缺少一个完整的网络通信安全体系,缺乏国家战略方面的支持,国家对于网络安全方面的态度依然模糊,缺乏长期的规划,未能制定一个长期的行动计划。根据相关数据显示,我国的网络用户数量已经跃居世界前列,而且网络用户数量还在不断的增加。随着移动网络的发展,手机等移动设备用户也在不断增长,但是,每年由于网络安全造成的损失也在不断增长,对于个人利益以及国家集体利益都是一个巨大的威胁,可以说,伴随我国网络技术不断发展,关于数据通信网络安全的问题也在不断增多。
二、提升通信网络安全,维护数据通信网络稳定的意义
数据网络通信安全就是通过一定的技术手段以及安全方法来使网络环境更加的完整、保密。随着网络通信技术在各行各业的普及,通信已经成为网络技术中最重要的功能之一,是进行信息交流的重要手段,对于个人以及国家的经济、文化、社会等方面都有重大影响。如果通信网络出现了问题,不但会影响到成千上万的人的正常通信,而且会导致个人以及国家机密泄露,造成不可挽回的巨大损失。通信网络问题通常就是遭到不法分子的恶意攻击,通过非法手段盗取他人的账号、密码等信息,加以利用。整个违法过程手段非常隐蔽,不易被发现。随着网络技术越来越多的深入人们生活的方方面面,关注网络安全,避免安全隐患,已经成为网络发展的一个重要问题,只有确保通信网络安全,才能确保个人以及集体利益免遭非法损害。
三、数据通信网络的安全防护
1、强化网络安全法制建设。加强数据通信网络安全防护,就要严厉打击网络违法犯罪行为,强化网络安全法制建设,确保网络通信安全。具体的实施办法:第一,加强网络用户身份鉴别管理,严格管理用户使用操作权限。第二,普及网络实名制,加强对于网络用户的信息管理。第三,加强加密用户数据使用机制,对于已经获得授权的用户提供加密服务,确保用户信息安全不会受到非法侵犯。第四,加强对于信息的鉴别机制,实施自身修改机制,对于未获得授权的操作都是非法的。
2、运用加密技术与身份认证技术。数据加密技术是确保网络通信安全的一个有效手段,由于互联网本身性质,有时不仅需要对口令进行加密,同时也要对通信的信息进行加密。数据加密是目前比较常见的加密方式之一,通过将信息经过一定的技术手段转变为乱码后再发送,这些经过处理的信息在被接受以后,接受方通过一定的技术手段将获得的信息在进行还原,获得信息内容。身份认证技术产生于网络对于用户身份确认操作的过程,又可以被称作身份识别。在计算机网络中,用户的身份信息等重要信息都是通过一系列特殊的数据表示,计算机可以识别数字形式的用户身份,而且,对于用户的授权也是建立在对于用户数字身份进行认证的提前上的。身份认证技术就是通过数字信息,确保进行数字身份认证的用户的合法身份能够得到有效的保护,确保用户的真是身份与数字认证的身份完全一致,进行数字认证,对于维护用户身份的正确性,确保数据通信网络安全至关重要。
3、强化监控与复查机制。在数据网络通信过程中,完善网络通信的监控制度,利用复查机制确保通信安全,能够有效的避免由于欺骗、破坏等非法行为给用户带来的损失。在进行网络通信过程中,我们要加强自我保护意识,例如在设置密码时保证密码能够尽量复杂,并且能够定期更换,在日常使用的计算机上安装一定的保护软件,进行网络监管,能够有效的确保通信网络的安全。
四、总结
确保网络信息安全篇6
清晰的战略布局来源于对历史与现实的全面掌握和科学分析。我国网络与信息安全形势总体平稳。国家信息化建设高速健康发展,工业化与信息化融合发展强力推进,网络与信息安全领域各项重要工作全面展开,重要信息系统和基础信息网络运行情况良好,网络舆论环境不断得到治理,自主可控和产业创新的生态环境逐步形成。特别是中央网络安全与信息化领导小组的成立,标志着我国网络与信息安全战略布局取得了根本性的成果,成为我国网络与信息安全建设跨入全新阶段的里程碑。与此同时,我们也要清醒地看到,在复杂多变的国际形势和网络空间威慑凸显的大环境下,我国的网络与信息安全面临更严峻的挑战,一方面,各种传统的信息安全矛盾和威胁依然存在;另一方面,以网络空间为代表的非传统信息安全又呈现出许多新情况、新问题。
1.从战略层面看,我国网络与信息安全的战略地位与现实状况的矛盾仍然突出
网络与信息安全管理理念比较传统和狭隘,与信息化发展水平和安全防护的现实要求有比较明显的差距,有不断提升和科学化的较大空间;现有对国家基础信息网络和重要信息系统的保护范围已显狭小,一些涉及国计民生和关系到国家安全的重要资产尚未列入保护对像,对保护目标和优先保护级别的确认还存在差距;国家网络与信息安全战略布局和顶层协调工作还有待进一步完善,行业网络与信息安全领导管理体制尚需进一步理顺;网络与信息安全的监督制约机制还不够健全,紧密有效的军地协同、军民一体的合作体系尚未建立;网络与信息安全发展战略研究尚存不足,相关制度的出台也略显迟缓,网络与信息安全法律法规结构比较单一,基础信息网络和重要信息系统运营单位的安全保障法律责任尚不明确。
2.从操作层面看,我国基础信息网络和重要信息系统安全仍存在不容忽视的薄弱环节
基层单位网络安全意识与防护能力不强,防护体系上存在软肋,行业应急能力、韧性(弹性)恢复力以及工业控制系统的防护能力不足,与互联网络接口边界的防护能力不强;核心设备自主可控程度不高,核心技术、基础资源受制于人,审计评估、外包服务依赖外资企业等情况比较普遍;行业的安全态势感知和预警系统尚未形成跨系统跨部门的联动,未建设综合外部监控与态势感知平台,国家层面的态势感知、预警研究与综合分析尚未建成;军队缺乏利用人才、技术等优势资源对关键基础设施相关部门和行业提供支持的常规渠道;尚未构筑起国家针对APT攻击等大规模、高强度、长时期的网络攻击行为的技术防御体系。具体来说:
(1)关键基础设施网络与信息安全防护尚存差距。
我国不仅在关键基础设施网络与信息保护机制方面存在明显差距,而且在防护技术及手段上存在相当多的问题。比如,网络结构方面存在一些安全隐患;关键节点可能存在单点故障;不同安全等级的应用服务器未放置在相应安全域中,未做相应访问限制;网络安全设备配置存在安全隐患;部分安全设备的策略开放权限过大;部分安全设备使用Telnet远程管理,并未采用SSH等安全加密的方式进行远程管理等。
(2)工业控制系统安全防护能力不足。
面对现实或潜在的IP攻击威胁,我国工业控制系统信息安全防护还比较薄弱和不健全:一是关键资产底数不清。我国工业控制系统应用和部署在多个条块分割的垂直体系中,哪些资产和多少资产应列为国家重点防护对象,底数不清。二是漏洞与威胁情况不明。国家尚未建立工业控制系统漏洞挖掘、脆弱性分析和威胁监测等工作体系。三是关键防护技术开发滞后。大面积采用无线方式进行组网,但又缺乏相应密码技术的保护。四是安全防护各自为战。不同领域的工业控制系统关系紧密,但安全防护并没有作为相对独立的领域进行建设。五是缺乏社会力量后援。工业控制系统安全防护缺乏科研院所、大专院校乃至公众的后援。六是缺乏网络空间对抗准备。工业控制系统的部署方式缺乏对抗意识,要害部位没有针对网络空间作战要求进行设防。
(3)核心技术受制于人,关键产品自主可控能力较弱。
我国核心网络信息技术和关键信息产品长期处于跟随国外发展,大量接受进口的状态,对进口网络信息技术和产品的安全性准入门槛较低,国家关键信息基础设施的核心软硬件产品供应链安全底数不清、普遍存在难以自主可控的问题,核心技术、关键产品和运维服务受制于人、受控于人的情况相当严重,在众多的网络与信息安全事件中,漏洞(后门)的存在和被恶意利用是主要原因,已成为一个网络与信息安全带有根本性的问题。
(4)可信网络建设滞后。
可信网络建设是推动互联网商务应用的基础条件,也是网络与信息安全的重要环节。我国在构建国家可信网络上缺乏整体战略,尚无明确的构建国家可信网络空间的规划与构想,在可信技术研发、标准制定等方面也存在投入不够的问题,在CP备案信息、域名注册信息、身份认证信息等数据相互综合验证方面没有统一的规划与实施策略。
(5)网络监控和预警方面尚存较大差距。
建设强大的网络空间防御体系,有赖于完备的技术设施强力支撑。而我国目前的现实是,一方面信息技术高速发展,信息网络广泛用;而作为一个铜板另一面的网络空间安全却缺乏相应的软硬件的支撑。没有支撑服务设施建设的总体设计,缺乏网络安全监控的核心技术,特别是对大量加密数据的解析技术;尚未建立国家网络安全对抗试验环境;缺乏对信息网络新技术、新应用、新服务产生的安全问题深入、系统的研究。
(6)防御能力不足以抵御APT攻击行为。
网络与信息安全防御体系建设不能停留在对非战争时期的黑客防范的低水平上,而应着眼于国家与国家之间的对抗与制衡,着力提升应对高强度持续性的攻击行为上。相比之下,我国网络安全防护体系建设更显紧迫。
(7)信息安全产业发展规模差强人意。
我国信息安全产业缺乏明确有效的投融资政策和政府采购政策,没有形成鼓励企业创新、鼓励使用自主可控技术、产品的生态环境。尤其是信息安全产品市场缺乏有效合理监管、企业竞争力普遍薄弱,自主研发能力不足、信息安全服务需求尚未被有效拉动。目前我国信息安全产业规模仅保持在一百多亿元水平,很少有产值超过10亿元的信息安全骨干企业,这与国家信息化建设每年几万亿元的投入规模严重不匹配。近年来,国际信息安全产业界加快兼并和重组的趋势明显,大企业优势和力量更为突出。我国在国际信息安全领域的产业竞争中差距进一步拉大。
(8)法律法规层次较低,结构单一。
我国信息安全尚未形成法制体系。虽然各种规章很多,但大部分是以条例、管理办法及部门规章的形态示人,缺乏系统性和权威性。
二、我国网络与信息安全战略的架构
战略问题具有复杂性、综合性和关联性。开发和制定我国国家网络与信息安全战略,应考虑如下几个要素:第一,要体现对更高标准的追求,对过去以及现实网络与信息安全状况的不断超越,对已知困难与问题的持续解决与克服,对发展愿景与工作成功充满信心的科学预测与表述。第二,要具备实现战略规划的现实方案和行动指南。第三,要有实现目标的中期、长期规划与时间节点。第四,要具有可以复制成功与创造成功的蓝图。第五,要构建竞争对手难以逾越与模仿的机理。第六,要形成不断超越自我、突破贯性的内在动力支撑。由此推论,我国网络与信息安全战略在内容上应是一个全覆盖的战略,而不能仅仅是关注网络系统安全或仅仅涉及信息内容安全。笔者认为,我国网络与信息安全战略的架构可做如下描述:
1.总论部分
指导思想是,以科学发展观和整体安全观统领网络与信息安全建设全局。宏观目标是,坚持以社会主义经济建设为中心,以国家整体安全为基点,走出一条具有中国特色的网络与信息安全发展之路。工作方针是,贯彻“积极防御、综合防范,趋利避害、安全可控,国际合作、维护”的方针,全面布局、突出重点,立足现实、着眼长远,以我为主、创新超越。根本功能是,服务于社会和谐,服务于经济发展,服务于科技进步,服务于文化繁荣,服务于国防安全。
2.行动策略
信息是国家发展的重要战略资源和核心要素。网络与信息安全事关国家根本利益,从经济发展、社会稳定、国家安全、公众利益的高度,把网络与信息安全作为我国的一项基本国策。做到八个坚持,即:①坚持科学布局、综合协调,实现信息化与网络与信息安全同步规划、同步建设、同步运行,以安全促发展,以发展求安全;②坚持自主创新、安全可控,机制建设与科技发展并重;③坚持统筹兼顾、突出重点,确保关系国计民生的关键信息基础设施安全运行;④坚持科学管理、依法行政,建立健全网络与信息安全法律法规体系,完善安全管理体系;⑤坚持以人为本,民生为重,用户安全至上,充分实现用户信息的安全存储、使用和公民个人的隐私保护;⑥坚持军民一体、平战结合,增强网络空间积极防御能力;⑦坚持国际合作,互惠互利,提升我国在世界网络与信息安全领域的影响力;⑧坚持统一领导,各负其责,建立适合中国国情的网络与信息安全组织管理和责任体系。
3.实现目标
(1)总体目标是,深刻认识和准确把握我国网络与信息安全的规律和特点,在加速推进信息化建设的过程中,开拓进取、创新发展,实现网络与信息安全建设和发展的系统化、体系化,推动信息安全与领土安全、领空安全、领海安全、太空安全同步发展,构建我国网络与信息安全保障新体系,最大限度地控制和化解对国家安全、公民权益、网络环境造成的危害与风险,维护社会安定,建立信息秩序,推动全面进步。(2)具体目标是,经过5至10年的努力:——建成比较系统完善的网络与信息安全法规和标准规范体系,为网络与信息安全提供良好的法制环境、社会条件和技术规范基础,形成我国网络与信息安全可持续发展的能力;——建成有较强创新能力的产、学、研、用相结合的网络与信息安全产业体系,形成我国关键网络信息技术、产品、服务的自主研发、安全可控能力;——建成科学合理的等级保护和分级保护信息安全保障体系,保证要素完备全面、标准规范科学合理、管理机制顺畅、防护措施有效,形成对关键信息基础设施、重要信息系统和重要信息秘密的全面保护能力;——建成权威高效的网络信息安全产品测评认证、信息技术产品/系统安全性分析评估和重要信息系统安全检查体系,形成重要信息系统和基础信息网络的安全服务保障和监督检查能力;——建成多层次的网络与信息安全专业队伍和专门人才培养体系,形成雄厚的信息安全人力支撑保障能力;——建成高可信度的网络信息安全态势感知、综合预警的网络空间积极防御体系,形成军地协同、机制高效、平战结合的安全防御、运维管理、应急处置、灾难恢复、网络净化、打击犯罪和舆情导控、攻击反制的综合保障能力。把我国建设成为世界网络信息安全强国,满足经济建设对网络信息安全的需求,满足国防军事对网络信息安全的需求,满足党、政府、军队和广大人民群众对网络信息安全的需求,为维护国家和人民的根本利益,为实现小康社会的宏伟目标做出积极贡献。
4.中国特色
在表述我国网络与信息安全战略时,完全可以提出“中国特色网络与信息安全”概念。至少以下六个方面构成了中国特色的基本内容:一是互联网应用广泛,网民众多,但是,网民素质参差不齐,安全意识和IT技能普遍不高。二是互联网应用水平较低,互联网的巨大优势没有得到充分发挥。三是国内信息化发展迅速,但东西部地区发展不平衡。四是新技术新应用新服务大量出现,与安全保障机制滞后形成鲜明反差。五是关键技术依赖进口,缺少核心竞争力。虽然,互联网在我国已经成为经济、社会的命脉,但基础信息网络和重要信息系统使用的关键技术和大型应用软件主要依赖进口,高端服务只能由国外企业提供,本国的产品和服务很少。不掌握互联网基础资源,根域名服务器没有实现共同管理。六是我国成为美国炒作黑客的主要靶子。美国可以大摇大摆设立网络战司令部,建立网络部队,开展网络演习,而我们却要疲于应付各种中国网络的攻讦。即使美国在“棱镜计划”曝光,成为千夫所指的尴尬时刻,他们仍然喋喋不休、颐指气使地指责中国对他们进行了所谓的网络攻击和窃密活动。这其中的原由是,中国与西方国家分属不同的意识形态阵营,在他们眼里,中国黑客已然是中国的一部分。另外,客观上我国的网络与信息安全防护水平不高,很容易被别人作为跳板实施攻击,也是原因之一。
三、我国网络与信息安全战略的主要内容
1.确立网络与信息安全在国家安全战略中的关键性地位
在国家安全委员会第一次会议上,全面论述我国总体安全观,并提出了包括信息安全在内的十一种安全,明确指出网络与信息安全是国家和军队整体安全的基础条件。没有网络与信息安全,就没有真正意义上的政治、经济、社会和国防安全。世界发达国家普遍将网络与信息安全列为国家安全的主要内容,作为政府和军队优先考虑和处理的战略问题。我们要深刻领会和贯彻的讲话精神,站在战略的高度,把握信息网络安全与维护国家安全、稳定、发展的内在规律,坚持以安全促发展,在发展中求安全。一是在指导思想上,将网络与信息安全确定为我国我军的一项基本国策。建议在政府、军委或总部重要文件或党和国家领导人的讲话(批示)中对此予以明确,在全党全国全军强化网络与信息安全是国家安全战略重要组成部分、处于关键地位的理念,并以此推动我国信息化建设和网络与信息安全领域的全面发展。二是在战略规划上,以建设中国特色的网络与信息安全体系为重点,牵引信息安全产业发展。要以当年抓“两弹一星”的战略决心,统一组织,密切协同,基本建成体系完备、构架合理、军民融合、攻防兼备的、具有中国特色的网络与信息安全体系。三是在工作部署上,抓好网络与信息安全各要素的建设。第一,进一步加大网络与信息安全领域经费投入和产业政策扶持力度,促进安全产业与信息化同步发展;第二,突出网络信息安全技术支撑平台建设,在网络安全态势感知和预警、互联网加密信息获取和破译、关键信息产品安全性检测能力等方面,建设一批设备齐全、力量充沛、技术高超的支撑平台。第三,加强网络与信息安全专业队伍建设。形成“国家队”与“地方队”相配合、“专控队伍”与“行业队伍”互补,“网络作战部队”与“网络技术队伍”结合的技术保障力量。
2.建立网络与信息安全法律法规体系
一是加快出台具有中国的网络与信息安全母法或基本法律,加快制定并公布我国网络与信息安全战略。二是着手对我国网络与信息安全法律体系进行全面规划与设计。三是营造文明、“绿色”、安全的互联网环境。四是逐步开展各类涉网专门法规的制定工作。五是高度重视信用管理、安全认证、电子交易、移动支付、信息资源管理等法律研究。推动网络仲裁、网络公证等法律服务与保障体系建设。六是进一步统一军队网络行为规范,加快出台我军网络作战相关条例。七是加强网络与信息安全执法队伍建设。建立权责明确、行为规范、监督有效、保障有力的执法体系,依法管理信息安全和网络空间秩序,逐步形成规范有序的网络与信息安全法制环境和责任体系,明确社会各方保障信息安全的责任和义务,依法规范各部门的职责。八是抓紧制定针对网络犯罪的法律规定。尽快出台包括刑事立法,网络执法,打击网络恐怖主义等法律法规。
3.确保包括工业控制系统在内的关键信息基础设施安全
网络与信息安全保障的重点是各行业核心业务应用的连续性,数据的保密性、完整性和可用性。一是确保基础网络设施建设和发展与国家安全需求相一致。切实做好公共电信网、互联网和广播电视网的安全保障。二是实行分类和分级的管理策略。从核心业务的重要性和相互依赖性角度,将关键基础设施进一步划分为核心关键基础设施和一般关键基础设施两个级别。实施“一大一小”战略,“一大”,即充分利用新一代互联网技术应用的契机,研究并逐步实施可信、可控、自主的关键基础设施信息网络运行环境,实现非战争时期的信息系统有序管理和安全可控。“一小”,即建立我国关键基础设施核心保护名单,在极端情况下全力保证涉及国家安危的重要设施信息网络的安全可控。三是加强工控系统安全防护技术体系建设。切实保障核设施、电力系统、石油石化、航空航天、交通运输、城市设施等重要领域工业控制系统的安全防护和管理。四是严格无线组网、远程通信管理,采取技术手段防止非法侵入。五是严格工业控制系统安全管理,对工业控制系统连接公共网络、工业控制系统产品采购与升级等提出安全要求。六是建立工业控制系统产品安全测评制度。严格产品安全性准入标准,严格产品采购管理,加强关键环节的安全检测评估。
4.营造和谐规范的互联网秩序
一是制定科学的互联网管理原则。坚持“言论自由,隐私保护”的原则,充分发挥互联网反应民情民意的窗口作用。但基本条件是,不以危害公共安全和破坏国家法律为前提。坚持“行为自律,依法治网”的原则,每个公民的网络行为都应自觉遵守基本的道德规范,遵守社会的法律秩序。坚持“舆情分析,宣传引导”的原则,科学分析和准确把握网络舆论的是非曲直,倡导文明的、负责任的网络言论行为,把有害信息传播降低到最小程度。二是建立互联网舆论工作机制。重视网络宣传引导工作,把引导网上舆论作为重要任务,形成权威有效的舆论引导机制,主动权威信息,及时回应舆论热点,满足公众知情权。重视应对境外网上舆论工作,坚决揭露批驳境外敌对势力的恶意攻击和造谣污蔑。完善网站新闻信息审核制度,时政类论坛严格实行版主实名并报网络文化信息服务行业主管部门备案。三是加强网络舆情应对体系建设。加强互联网信息服务业安全管理,重视对网络新业务、新兴社交网站的安全评估,针对可能出现的安全隐患,及时制订管理措施。建立网络舆情的快速反应机制。跟踪监控网络舆情的发展是突发事件善后舆论引导的关键。突发事件发生后,要能够快速反应,主动应对,一旦出现不实传言、谣言,迅速做出研判,连续不断提供原始权威信息。四是加强各级网络舆情系统网站的建设。主动利用各级办公系统网站,方便快捷地与群众沟通,及时公布群众迫切关注的问题。完善快速协同机制,各省市地县联手对网络舆情进行研判,随时监控网络舆情动态,积极引导。让人民群众善待网络,善用网络。五是严厉打击各种网络犯罪活动。有效治理网络上的反动宣传、迷信活动、网络和信息等违法犯罪活动。加强防范网络犯罪技术手段建设,建立系统、完整、有机衔接的预防、控制、侦查、惩处信息网络违法犯罪机制。对恶意散布高危病毒、木马的行为要严查严打并采取技术手段查杀。
5.强化重要信息内容安全保密
加快推进信息安全保密基础设施建设,落实信息系统分级保护制度,规范信息系统使用管理,严格信息系统立项审批和联合审查制度。要加强信息传输安全性技术研究,加大对通信密码技术的适应性研究和密钥管理技术的研究,确定保密防范技术攻研的重点,完善保密防范技术研究开发和推广应用政策措施。同时,切实落实各项信息保密制度措施。加强保密教育和保密检查,加强网络安全巡查,强化网络反窃密技术安全检查,加强互联网信息监管。一是建立信息安全和保密审查制度。确保国家敏感经济数据、国家基础数据,以及重大信息技术、装备及服务采购信息安全。对金融、通信、能源、交通、国防军工等大型企业以及具有信息系统集成资质单位上市、兼并重组、信用评级、检查认证,企业和机构收集、披露、转移等工作进行信息安全保密审查。二是强化信息资源保护与利用。加强电子商务以及各种网络经济活动中的信息资源的保护,维护企业利益、个人信息安全。加强地理空间、土地、矿产、人口、统计等基础信息资源的保护和管理,保障信息系统互联互通和部门间资源共享,发挥基础数据资源作用。三是加强信息技术服务和投资安全管理。研究制定信息技术服务专门管理办法,严格规范企业、机构在我国境内大面积采集信息数据的行为,禁止非法收集敏感经济数据、国家基础数据,禁止非法控制用户计算机。对经济社会重要领域信息系统投资项目实施备案管理。
6.构建网络空间积极防御体系
针对日益复杂激烈的网络攻击破坏行为,必须构建起我国强大的网络空间防御体系。一是确立工作目标。我国网络空间防御体系应以“构架合理、系统完备、军民融合、攻防兼备”为原则,形成防侦察窃密、防思想渗透、防破坏颠覆、防恐怖犯罪、防网战攻击等主要内容的防御能力。我国网络空间防御体系建设应遵循,将网络空间防御作为国家安全和军事斗争的独立领域;坚持积极防御、攻防兼备的战略方针;形成平时与战时相结合、军民协同配合的网络空间防御力量;充分利用后发优势,实现技术创新与跨越;着力加强基础信息网络与重要信息系统和敏感目标网络的防御;积极开展以维护我国利益为主、互利共赢的国际网络空间合作活动。二是形成符合我国政治制度的网络空间安全领导体制。明确各级领导机构与相应的办事机构的职责与上下级关系,规定国家与地区、军队与地方、政府与企业的指挥协调关系,建立发生大规模网络空间战争情况下的国家动员体制。三是建设多层配置的网络空间防御力量。合理划分构成我国网络空间防御体系各方面力量的专业分工,防御力量、攻击与反制力量、支援保障力量形成科学比例。加强国家专业力量与各地区专业力量的合理配置与密切协同,整合网络空间防御的军事力量、地方力量和民间力量等各方面,明确平时和战时可动用力量的部署与规划;各种力量的合理配置与有效利用。四是构建有力的网络空间防御设施。加大防、侦、攻一体的网络力量建设。大力发展情报获取、态势感知评估、监测预警和网络反恐处突能力。强化互联网巡查、计算机网络反窃密技术安全检查,形成常态工作机制。加强情报、技侦、舆情等部门的危机决策协调和联动配合,提高应对网络空间复杂、多维、并发危机的决策支持和应急处置能力。加强对重要装备的信息安全漏洞分析。建设网络攻防靶场,组织军民联合网络攻防演练,增强遏制和威慑能力。综合运用国家科技发展能力,加大投入力度,大力发展和完善信息安全关键技术支撑服务平台。要着力提高网络空间的密码质量、战略预警、态势感知、反击威慑、舆情掌控与反恐处突等六大核心能力,实现对信息安全全方位的技术支撑。五是建立部门和行业信息安全联动机制。整合政府、军队、专业部门、运营商等各方力量,形成跨部门、跨行业资源有效整合与合理利用的共享机制。组织专家开展信息安全态势综合分析与研判的技术、理论、战略、政策法规等重大现实问题的研究,为国家开展网络空间安全情报分析、形势研判和战略预警通报提供支撑。
7.全力推进网络与信息安全自主创新体系和可控能力建设
以政府扶持为导向,以科学发展为统领,以企业、科研机构、高等院校为主体,全面提升自主创新能力,加大对信息安全新技术的投资和政策支持力度。一是实施网络与信息安全创新战略。大力提升产业核心竞争力,紧密跟踪信息技术的最新发展,逐步实现网络与信息安全关键技术、产品、服务的自主研发、自主生产、安全可控,根本改变依赖外国的状况,实现由技术追随向科技超越的转变。把信息安全理念创新、技术创新、服务创新、体系创新纳入国家特殊奖励政策,加大自主创新技术、自主创新服务、自主知识产权的考评权重。二是突出重点攻关项目。逐步提高重要信息系统、基础信息网络、党政机关系统和军事国防系统关键技术、设备、服务的国产化率,尽早实现在关键信息基础设施中主要设备完全采用国产化产品。严格落实关键核心软硬件设备的安全性准入制度。三是逐步完善信息安全产业基础设施建设。搞好产业政策的规划、产业基础布局、产业标准的选择与推行,通过出台相关政策法规,规范和指导我国信息安全建设和信息安全产业的发展,形成产业发展的政策法规环境。四是大力培育信息安全市场。充分发挥政府的主导作用,建立有利于信息安全产业发展的投融资环境,推动自主技术成果转化与产业化,培育和打造一批信息安全龙头企业,支持一些有特色、有发展的信息安全中小企业。推进自主知识产权的信息技术装备在党政机关、军队以及关系国计民生的重要领域的优先采用。
8.加强网络与信息安全人才培养和专业队伍建设
一是大力培养高素质的信息安全专业人才。实施信息安全领军人才培养计划,建立领军人才的动态式、激励型管理机制,努力造就一支数量充足、素质较高、结构合理的信息安全理论研究、组织管理、专业技术和行政执法队伍。二是建立网络与信息安全教育体系。加强学科规划和专业建设,发展多层次的信息安全培训体系,形成高等院校的专业教育、从业人员的系统教育、全社会的普及教育相结合的宣教机制。在各级党校或行政学院增加信息安全教育内容。大众传媒应积极宣传信息安全知识,介绍重大信息安全事件,营造维护信息安全的浓厚氛围。开展全国性的信息安全宣传周或宣传月活动。三是构建与我国信息安全需求和大国地位相适应的信息安全专业队伍。包括,国家网络与信息安全专控力量,网络关口监控力量,网络舆情导控力量,网络反恐力量,网络空间作战力量、网络与信息安全专业宣教力量等。
9.形成紧急状态下的网络与信息安全应对处置机制
制定国家统一的网络与信息安全应急处置措施和标准,理顺部门间的相互协调配合,完善衔接方案,形成国家应对重大突发网络与信息安全事件的整体防范能力。一是建立国家紧急状态下的网络与信息安全策略。提高处置自然灾害、事故灾难和人为破坏等信息安全突发公共事件的能力,进一步完善信息安全突发公共事件的监测、预测、预警。按照“早发现、早报告、早处置”的原则,加强对各类信息安全突发公共事件和可能引发网络与信息安全突发公共事件的有关信息的收集、分析判断和持续监测。对信息安全突发公共事件的可控性、严重程度和影响范围做出及时准确判断。二是建立网络与信息安全应急管理综合协调部门,确保应急管理的效率。国家应将信息安全应急管理作为日常行政管理的组成部分,与政府、军队常态管理结合起来一并构建。三是建立重要信息系统异地容灾备份系统和相关机制。针对国家基础网络与重要信息系统,要建立技术储备、系统和数据异地容灾备份,保证紧急状态下系统不间断运行和受到破坏后系统和重要数据可紧急恢复。四是建立网络与信息安全应急预案制度。针对不同的信息安全突发事件,制定不同的应急预案,并且定期开展应急演练。通过演练,提高各级部门应急处置能力,检验发现应急处置体系和工作机制存在的薄弱环节,以及时修正。
10.重视网络与信息安全领域涉外斗争策略研究
互联网时代的网络与信息安全是全球安全的共同主题。一方面,我国作为世界第二大经济体和负责任的政治大国,应以积极开放的心态,与世界各国建立公平的信息网络安全国际治理合作机制,共同维护互联网安全,共同打击网络恐怖主义和跨国犯罪活动,在国际上宣示我国对网络与信息安全重大问题的政策主张,不断增强在国际斗争中的主动权和话语权。另一方面,要针锋相对地回击美国为首的信息发达国家对我国“黑客”的无端指责,有理有利有节地开展网络与信息安全外交斗争。一是加强国际合作,始终坚持网络与信息安全在我。互联网信息的传播是没有边界的,但是互联网的管理是有疆域的。国家无论大小,都应该尊重其互联网的。以我为主、以国家根本利益为重是网络信息对抗能力的本质体现。在网络与信息安全领域的国际交往中,必须坚持这个政治原则。二是适度的公共信息系统管控原则。网络监管是社会治理的基本内容,汽车质量再好也要有“刹车”。我国的信息管理必然要服务于人民民主的政治制度,信息自由永远要服从于政治安全和社会稳定。三是采取灵活主动的斗争策略。对歪曲不实之辞给予有力驳斥,适时采取强反制措施,逐步建立起中央政府、地方部门、厂商(包括外资厂商在内)、官方与民间、军队与地方的联动机制,遇重大事件可实现全面反击。四是加强与重点国家和国际组织在网络与信息安全领域的交往与合作。利用我国现有的国际合作机制,加强与上海合作组织、金砖国家的网络与信息安全合作。建立并完善国内网络与信息安全重大涉外议题会商机制,统一思想、协调动作。五是积极参与有关信息安全国际法律法规、技术标准的制定。实现多边的互联网治理由共识到共治到共享再到共赢的良性发展。六是深化国际司法合作。继续完善打击黑客犯罪的法律法规,对重要网络攻击事件建立联合调查机制,增加国际间的网络与信息安全互信。
确保网络信息安全篇7
【关键词】大数据时代,网络信息安全,法律体系
大数据(big data),一般意义而言,指的是那些大小已经超出传统意义的尺度,一般软件工具难以捕捉、存储、管理和分析的数据。美国维克托・迈尔・舍恩伯格在《大数据时代》中前瞻性地指出,大数据带来的信息风暴正在变革我们的生活、工作和思维,大数据开启了一次重大的时代转型。在大数据时代,信息已成为国家和社会发展的重要战略资源。信息安全涉及到公众个体安全、社会公共安全和国家信息安全各方面。因此本文从大数据时代保证网络信息安全法律体系为研究点,立足现实,从法律层面探索大数据时代的网络信息安全保护问题,提出新的思考视角,具有积极时代意义。
一、大数据时代保证网络信息安全的法律体系国内外研究现状
为了打击网络犯罪、保护网络信息安全,美国、英国等国近年来也相继立法,建立自己的法律体系,得到了广大民众的支持。
美国,作为互联网发展的先行者,设立了六大网络安全专职机构、130多项法律法规, 2000 年,美国《保卫美国的计算机空间―――保护信息系统的国家计划》,使“信息安全”成为国家安全战略的正式组成部分。2003 年布什政府发表《国家网络安全战略》报告,从国家战略全局对网络信息的正常运行进行谋划以确保国家与社会生活的安全与稳定。2010 年,美国众议院通过《加强网络安全法案》,法案提高全社会对网络安全的认识等安全措施。
英国,1994 年决定在10 年中投资380 亿元英镑建设网络信息高速公路。英国通过颁布《规范调查权法案》、《数据保护全法》、《隐私和电子通信条例》、《防止滥用电脑法》等一系列法律,明确了公民个人的权利与义务,以及确定执法机关有何特殊权力。英国正是在完善的法律框架下有效地维护了英国网络信息的安全和健康发展。
当前,我国在信息网络安全方面,尚未制定统一的信息网络安全法。今年两会期间,网络安全问题也受到了代表委员们的高度重视。腾讯董事长马化腾就把“信息安全”作为代表议案。
综上所述,各国相继颁布保护网络信息的法律,足见对网络安全保护的重视,相比我国,还有差距。
二、大数据时代保证网络信息安全的法律体系的研究意义
首先,在大数据时代,网络信息安全问题日益突出,我们清晰地认识到信息共享与信息安全这对无法回避的矛盾。网络信息安全问题关系着个人乃至国家的合法权益。因此建立法律体系意义重大。
其次,网络环境的复杂性、主客体的广泛性、主体行为的事前难控制性及网络信息安全牵涉利益的多元化决定了网络信息安全法调整方法的纵横交错性、跨部门性、多层次性。本文试图基于大数据背景,通过法律体系的角度加以解决。
再次,网络社会主要有个体存在的虚拟性、信息传播的开放性、交流行为的自由性等特征。而网络社会的特征决定了法律规范的难度,同时又为网络社会法律的完善提供了方向。本文站在大数据的前沿,试图建议构建法律体系保护网络社会的信息安全。
三、大数据时代保证网络信息安全的法律体系存在的缺陷
大数据时代保证网络信息安全的法律体系存在的缺陷:
1、立法滞后、层次低,尚未形成完整的法律体系。网络改变了人们的生活观念、生活态度。生活方式等,同时也涌现出网络犯罪,病毒、黑客等以前所没有的新事物。传统的法律体系不能适应网络技术发展的需要。在我国现行涉及网络安全的法律中,法律、法规层次的规定太少。规章过多。而且,在制定规章的过程中,由于缺乏纵向的统筹考虑和横向的有效协调。致使出台的规章虽然数量不少但内容重复交叉。因此,重新构建一个结构严谨、内在统一的法律体系来规范网络社会就显得十分必要。
2、不具开放的特性。信息网络技术在不断发展,信息网络安全问题层出不穷,我国的信息网络安全法结构比较单一、层次较低,难以适应信息网络技术发展的需要和日益严重的信息网络安全问题。我国现行的安全法律基本上是一些保护条例、管理办法之类的,缺少系统规范网络行为的基本法律,如信息安全法、电子信息个人隐私法等。与国外安全信息法脱节。
3、缺乏操作的特性。我国的信息网络安全法中存在难以操作的现象。为了规范网络上的行为。政府职能部门都出台了相关的规定,公安部、信息产业部等都制定了涉及网络的管理规定。此外,还有许多相关的地方性法规、地方政府规章,数量虽大,但是它们的弊端明显。由于没有法律的统一协调,各个部门出于自身利益,常常出现同一行为有多个行政处罚主体,处罚幅度不尽一致等现象。这就给法律法规的实际操作带来了诸多难题。
四、大数据时代保证网络信息安全的法律体系
目前,站在大数据时代的前沿,我国信息网络安全法律体系的建立首先应当考虑以下几个方面:
1、信息安全法确定国家在建立电子数据信息资源中的地位,明确电子数据交流与保密的范畴,保护电子数据的法律责任,规范电子数据系统的安全保护要求规定对电子数据系统安全维护管理必要的人员配置及责任义务等。
2、互联网络法规定对网络的正当使用。防止越权访问网络保护网络用户的合法利益。
3、由于信息出版法明确电子出版的权利、义务、审批.管理和法律责任等。
4、网络犯罪法刑法和全国人大《关于维护互联网安全的决定》虽然规定了一部分网络犯罪及其刑事责任。但是这难以适应越演越烈的网络犯罪。因此必须进行立法完善。
5、电子信息个人隐私法对于公民个人有保护隐私的需要。本法应当规定,在电子商务中涉及到的、个人以电子信息方式存在的隐私。在不违反国家安全的利益的原则下,享有隐私权。侵犯犯他人隐私权将依法受到惩处。
6、电子信息知识产权保护法明确规定以电子信息方式存在的、以多媒体等介质表述的文教、卫生、科技、工农业和商贸等各领域的发明、创造的知识产权归属。主体的权利、义务、责任,违反法规的惩处等。
参考文献:
[1]兴宇.我国网络信息安全的法律保护现状与完善建议[J].内蒙古财经学院学报(综合版),2012(01)
确保网络信息安全篇8
【关键词】信息安全;网络安全;网络信息安全
近些年,国内外媒体、学术界对信息安全(网络安全)问题的关注度与日俱增,相关的研究专著也陆续面世。但大家对信息安全、网络安全的使用一直含混不清,有人喜欢用“信息安全”,有人则认为用“网络安全”更准确。随之而来的,是对“信息安全”与“网络安全”的关系争论不休。有人说,网络安全是信息安全的一部分,因为信息安全不仅包括计算机网络安全,还包括电话、电报、传真、卫星、纸质媒体的传播等其他通讯手段的安全。也有人说,从纯技术的角度看,信息安全专业的主要研究内容为密码学,如各种加密算法,公钥基础设施,数字签名,数字证书等,而这些只是保障网络安全的手段之一。因此,信息安全应该是网络安全的子集。这些说法是否准确,可从以下三方面来进行解析。
一、信息安全的发展历程
20世纪初期之前,通信技术还不发达,人们强调的主要是信息的保密性,对安全理论和技术的研究也只侧重于密码学,这一阶段的信息安全可以简单称为通信安全。20世纪60年代后,计算机和网络技术的应用进入了实用化和规模化阶段,人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段。网络安全随着网络的运用受到人们的关注。20世纪80年代开始,由于互联网技术的飞速发展,由此产生的信息安全问题跨越了时间和空间,信息安全的焦点已经不仅仅是传统的保密性、完整性和可用性三个原则了,由此衍生出了诸如可控性、抗抵赖性、真实性等其他的原则和目标,信息安全也转化为从整体角度考虑其体系建设的信息保障阶段。网络安全同以前相比增加了许多新的内容,成为科技界和政府研究的一个热点。例如,美国把网络作为人类的“第五空间”,和“领土”、“领海”、“领空”、“外太空”并列,提升到战略的高度。
从历史角度来看,信息安全且早于网络安全。随着信息化的深入,信息安全和网络安全内涵不断丰富。信息安全随着网络的发展提出了新的目标和要求,网络安全技术在此过程中也得到不断创新和发展。
二、信息安全与网络安全的定义
(一)信息安全的定义
目前,信息安全(Information security)没有公认、统一的定义。常见的定义有以下5个:
1.美国联邦政府的定义:信息安全是保护信息系统免受意外或故意的非授权泄漏、传递、修改或破坏。
2.国际标准化组织(ISO)定义:信息安全是为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。
3.我国信息安全国家重点实验室的定义:信息安全涉及信息的保密性、可用性、完整性和可控性。保密性就是保证信息不泄漏给未经授权的人;可用性就是保证信息以及信息系统确实为授权使用者所用;完整性就是抵抗对手的主动攻击,防止信息被篡改;可控性就是对信息以及信息系统实施安全监控。综合起来说,就是要保障电子信息的有效性。
4.百度百科的定义:是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
5.信息科学研究领域的定义:信息安全是指信息在生产、传输、处理和储存过程中不被泄漏或破坏,确保信息的可用性、保密性、完整性和不可否认性,并保证信息系统的可靠性和可控性。
从以上五个信息安全的定义可以看出,美国联邦政府的定义主要侧重信息系统方面的安全,不如国际标准化组织的定义全面。我国信息安全重点实验室的定义强调信息安全的内涵及属性。百度百科把信息安全定义为网络信息安全,以偏盖全。而信息科学研究领域的定义准确把握了信息的含义,它涵盖了上述四个信息安全的定义,表述最为准确和全面。
(二)网络安全的定义
网络安全(Network security)不仅包括网络信息的存储安全,还涉及信息的产生、传输和使用过程中的安全。如何定义网络安全呢?从狭义来说,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。所以广义的计算机网络安全还包括信息设备的物理安全性,如场地环境保护、防火措施、静电防护、防水防潮措施、电源保护、空调设备、计算机辐射等。
从两者的定义可看出,信息安全与网络安全有很多相似之处,两者都对信息(数据)的生产、传输、存储和使用等过程有相同地基本要求,如可用性、保密性、完整性和不可否认性等。但两者又有区别,不论是狭义的网络安全——网络上的信息安全,还是广义的网络安全者是信息安全的子集。
三、信息安全的研究内容
信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。信息安全主要包括以下4个内容:
1.设备安全。设备安全是指保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。
2.数据安全。数据安全是指防止数据被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识、控制和否认。即确保数据的完整性、保密性、可用性和可控性。
3.运行安全。运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。
4.管理安全。管理安全是指有关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。
信息安全主要研究内容有5个:
1.密码学。密码学是信息安全最重要的基础理论之一。现代密码学主要由密码编码学和密码分析学两部分组成。密码学研究密码理论、密码算法、密码协议、密码技术和密码应用等。
2.网络安全。网络安全的基本思想是在网络的各个层次和范围内采取防护措施,以便能对各种网络安全威胁进行检测和发现,并采取相应的响应措施,确保网络环境的信息安全。网络安全的研究包括网络安全威胁、网络安全理论、网络安全技术和网络安全应用等。其主要研究内容有:通信安全、协议安全、网络防护、入侵检测、入侵响应和可信网络等。
3.信息系统安全。信息系统安全主要包括操作系统安全、访问控制技术、数据库安全、主机安全审计及漏洞扫描、计算机病毒检测和防范等方面,也是信息安全研究的重要发展方向。
4.信息内容安全。信息内容安全就是要求信息内容在政治上是健康的,在法律上是符合国家法律法规的,在道德上是符合中华民族优良的道德规范的。
5.信息对抗。随着计算机网络的迅速发展和广泛应用,信息领域的对抗从电子对抗发展到信息对抗。信息对抗是为削弱破坏对方电子信息设备和信息的使用效能,保障己方电子信息设备和信息正常发挥效能而采取的综合技术措施。其主要的研究内容有:通信对抗、雷达对抗、光电对抗和计算机网络对抗等。
显而易见,信息安全比网络安全的研究内容要广泛得多,网络安全只是信息安全的研究内容之一。
四、结论
综上所述,信息安全含义更广,涵盖网络安全。网络安全在实践中多指网络上的信息安全,而且网络上的信息安全是信息安全重点研究对象。因此,对一般网民来说可以把信息安全与网络安全等同起来,大家能明白其所指。但在学术研究中,特别在不同学科的研究中,要把两者区分开来。信息安全属信息科学研究领域,网络安全属计算机科学研究领域,两者有不同的研究内容和研究方向。
参考文献
[1]周学广等编著.信息安全学[M].北京:机械工业出版社,2008.
[2]谭晓玲等编著.计算机网络安全[M].北京:清华大学出版社,2012.
[3]翟健宏编著.信息安全导论[M].北京:科学出版社,2011.
[4]信息安全.百度百科,/view/17249.htm.
[5]张焕国,王丽娜等著.信息安全学科体系结构研究[J].武汉大学学报(理学版),2010,56(5).