购物车(0) 期刊中心 科普订阅 SCI杂志 范文中心 投稿指导
在线咨询7X16小时在线
公务员期刊网 精选范文 欧盟网络安全战略范文

欧盟网络安全战略精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的欧盟网络安全战略主题范文,仅供参考,欢迎阅读并收藏。

欧盟网络安全战略

第1篇:欧盟网络安全战略范文

日前,国际海事组织(IMO)和欧盟联合的合作项目“减缓航运业气候变化”即将启动,届时会建立5个海事技术合作中心(MTCC),分别设立在非洲、亚洲、加勒比海地区、拉丁美洲和太平洋地区这5个核心区域,进而形成一个全球合作网络。

这一项目,旨在帮助减缓气候变化带来的有害影响,呼吁各方就建立海事技术合作中心促进海事技术领域相互合作提交正式的意见书。

欧盟将提供给这些海事技术合作中心1000万欧元的项目资金,打造成一流中心,推进船舶节能技术和高效运营,减少船舶有害气体排放。IMO正邀请位于核心地区且具备创建海事技术合作中心能力的组织于2016年5月15日之前向IMO提交意向书。

每一个海事技术合作中心将由该地区内的一个现有组织(或由多个组织组成的联盟)创建,且该组织或联盟声誉良好,与该行业和政府积极合作,具有良好的区域拓展记录,具备为这一中心提供实物创建支持的能力,如提供办公地点以及相关的后勤支持。

Inmarsat计划推出新型海事网络安全服务

近日,英国卫星通信服务提供商Inmarsat与新加坡电信达成战略合作伙伴关系,旨在为全球海事行业提供网络安全工具。

依据合作声明,新加坡电信下属的网络安全公司Trustwave将提供“统一威胁管理”(UTM)服务,通过保护海运公司数据来降低网络风险。新加坡电信称UTM服务提供了一套网络安全防御项目,如高级防火墙、防病毒、入侵防护及网页过滤等。此外,合作声明还显示,新加坡电信和Inmarsat计划于2016年下半年推出新型海事网络安全服务,并将通过FleetXpress宽带解决方案落实。据悉,FleetXpress宽带解决方案由Inmarsat在2016年3月推出,是首次由单一的通信运营商向全球海事和海上经营者提供的高速宽带解决方案,其目标是提升经营者商业智能化水平,提高运行效率和船舶性能。FleetXpress的推出标志着智能船舶航行的开始。

渤船重工将建中国首艘海洋核动力平台

中国首艘海洋核动力平台即将在中船重工集团旗下渤船重工进行总装建造,而中船重工未来将批量建造近20座海洋核动力平台。实现批量建造后,每年将形成上百亿的核动力装备制造产值,并带动相关配套产业发展,用5年时间打造成国内最强的海洋核动力平台产业集团。

据悉,根据《国家发展改革委办公厅关于设立海洋核动力平台国家能源科技重大示范工程的复函》,中船重工集团已确定海洋核动力平台示范工程在渤船重工总装建造。为尽快获取项目开工资质,4月19日,渤船组织辽宁省经信委、葫芦岛市经信委、代表室、中船重工核安全办驻公司监督组、719研究所,召开了海洋核动力平台示范工程总装建造厂址有关事宜论证会。

第2篇:欧盟网络安全战略范文

2007年起,联合国、北约、欧盟、欧安组织和其他国际组织或引入了新的网络安全政策或修改了已有的条款。

在专家的讨论以及解决网络事件的过程中,10条有关此问题的规则逐渐显现。这些规则为解决网络事件和网络安全问题提供了一个抽象但相对集中的法律看法,也凸显了法律理论和实践之间的差异。

领土原则

网络基础设施受国家及其的管辖。各国政府都可以对坐落在其境内的信息设施行使有效的控制,比如保证记录的有效和质量,及对电子交换服务提供商的监控,提高应对管辖范围内存在的威胁以及自身处置各类事件的能力,平衡信息社会发展和国家安全利益等。

领土原则使国家能够对境内或受管辖的信息基础设施实行掌控。一个国家保证自身网络的责任得到了国际公认的非干预和概念的支持。

责任原则

网络攻击发起自一国境内的信息系统即为该事件归属的证据。如果网络行动来自于政府的网络设施,那么该国政府与此行动有否关系是值得商榷的。因此,国家需要考虑自己有可能会被认为同攻击有关或是他方利用了政府的信息设施。它们将会受到公众谴责,并会被要求做出回应或协助调查。识别攻击源或发起者的信息,采用合适的手段和工具,甚至法律执行手段,比如没收、逮捕和,应当在那些被卷入国家中进行调查。

各国同样也需要通过更严格控制境内信息设施的使用来提高其自身的网络安全水平。当然,经济和安全利益之间的平衡也需要根据具体情况而定。

合作原则

网络攻击来自于一国境内设施的事实构成了该国需要配合受害国调查的义务。国际信息基础设施的相互关联性使任何国家都无法在那些设施可能被用来发动攻击的国家不愿合作的情况下进行自我防卫。公共和私有机构,以及国家政府和国际组织之间需要更有效的合作。法律、政策、军事和技术专家之间跨领域的合作同样也是必要的。

尽管大多数信息设施是私人拥有和运作的,公共信息服务和网络有很大一部分都通过合同依靠私有部门的支持。合作可以借助咨询、信息交换、资源重置和服务支持的形式进行。在互联网服务提供商合作、数据交换、合作关系以及结盟协议方面的国家条款将会支持合作的法律框架。

《网络犯罪公约》也要求各方进行合作,包括在刑事犯罪、统一或互惠协议和国内法律上应用国际合作工具,最大程度来调查或同计算机系统和数据相关的违法行为,或是收集犯罪行为的电子类证据。合作原则在《北大西洋公约》中也有所体现,各方将会根据一国的要求,共同解决受到威胁国家的、政治独立或安全问题。

自我防卫原则

人人都有权力自我防卫。自我防卫的概念在刑法和国际法中均有涉及。原则上来说,根据行动的合适性和必要性,每个人都有自我防卫的权力。

在刑法中,如果受害人有理由相信自己将会遭受非法势力的侵犯,则其在自我防卫中采取的在正常情况属于违法的行动将不用承担任何法律责任。这并不是说每次网络“还击”都是合法的;这应该是最后的选择。

在国际层面,个人和集体的自我防卫标准是根据惯例、《联合国》以及《国际案例法》来决定的。如果网络攻击符合“武力攻击”的范畴,那么就会引起个人或集体的自我反击。对网络攻击的评估,根据影响、结果和本质来判定是否等同于“武力攻击”,这需要由国家机构,或在合作行动下由国际盟友(比如参照《北大西洋公约》第5条款)来决定。

信息保护原则

监控数据的信息基础设施应被视为是个人的,除非另有规定(欧盟的普遍解释)。网络监管和信息交换的需要应该根据个人的隐私权进行仔细评估。目前在数据及其安全方面的法律和技术手段还存在着巨大的差异。尽管技术层面看似已经实现了对网络信息的监管,并成为常规,但法律专家对这个问题仍有着很多担忧。

根据《欧盟数据保护指令》,任何可辨识的自然人的信息被认为是个人信息。在执行此指令的国家中,较为普遍的观念是网络地址是个人信息,应该根据国家法律受到约束。其中包括要求获得信息主体关于处理信息的许可,限制信息传输至第三国,以及在有证据的情况下禁止使用由非法途径获得的数据。同时《欧盟数据保护指令》还规定,只在第三国保证对信息予以充分保护的情况下才可将个人信息传送至第三国。

这些约束可能会妨碍在国家层面上识别、追踪或预防网络攻击,但这个指令同时也在公共利益和国家安全方面做出了特别规定。在刑事诉讼方面也有例外。明确数据和信息包检查手段及其需求将能帮助建立保护隐私和实行监控之间的平衡。

注意责任原则

人人都有责任对自己的信息基础设施采取合理的安全措施。注意责任的概念在法律中的很多方面都沿用已久:个人有义务保护自己处理的信息、来自信息保护法律框架的尽责义务、信息社会服务、客户保护等等。

比如,在《欧盟数据保护指令》中,个人信息的控制者必须采取恰当的技术和组织措施来保护信息不受偶然或非法的损坏或遗失、替换、未授权的披露,尤其是在信息处理过程中包含了网络数据传输情况,以及所有其他非法信息处理形式。这些措施应当能保证一定程度的安全,适合于信息本身及其处理过程中所可能遭遇的风险,同时也考虑了技术的先进性和实施的成本。

另一个类似的浮动标准是1981年通过的《欧洲议会个人数据保护协议》。其中第7条款要求对储存在自动数据文档中的个人信息予以恰当的保护,防止信息在意外或未授权情况下被损毁、遗失、获取、替换或传播。

随着带有政治色彩的网络威胁越来越普遍,注意责任概念应当进行扩展,从而为重要的信息基础设施和政府或军事信息服务提供安全标准。

预警原则

有义务通知潜在受害者关于已知的、将会发生的网络攻击。2008年,在立陶宛议会通过一项禁止使用原苏联标志的法案后,立陶宛的300多个网站的页面被入侵,布满了榔头镰刀图案。此次攻击本身包括了一个简单、很容易修复的互联网提供商的脆弱性问题,但对攻击的反应却有着更广泛的后果:在得知即将发生网络攻击后,互联网提供商对客户发出了相关的预警。如果能够广泛应用,这种措施可以大大提高网络安全性。

政府机构提前获得网络攻击预警的这个事实凸显了政府信息设施的服务等级协议(SLA)标准以及对能将网络威胁通知公共和私有互联网提供商的无歧视性责任的需求。

根据《电子商务指令》,成员国可以要求信息社会服务提供商承担及时向公共权威机构通报非法活动的责任和义务。

信息披露原则

公众有权了解自身在生活、安全和福利方面的威胁。欧洲目前较倾向于提高政府行为和记录的透明度,授权公众了解同其生活和福利息息相关的威胁和决策。信息的持有者有义务向生活、健康和财产受到威胁的个人披露已掌握的信息。

这种做法是假设公共部门信息应该可以公开获取,除非有不得已的原因。尽管信息披露能够让公众了解威胁和攻击,并提高网络安全性,但这样做也可能会导致不必要的信息传播。

私有部门担忧公布遭受网络袭击以及产生的后果有可能会降低公众对其商业模式或服务的信任。但政府若要对出于政治目的的网络袭击进行反应,就必须公开这些信息。在公共和私有部门的利益之间必须取得一个平衡。关于攻击的手段、目标和后果的公开讨论可能也会增加脆弱性,因为这可能会让攻击者获取他们原本不了解的信息。

关于信息披露的法律框架在战略交流和公众意识方面将会是网络安全问题的一个重要方面。

犯罪行为原则

各国都有责任将最常见的网络攻击行为纳入刑法中。在刑法中,网络攻击已经被定义为只有在这些行为构成刑事犯罪时才能被调查和。

带有政治意图的网络犯罪通常是一种针对社会而非特定个人或实体的威胁,因此对待这种网络攻击的方式应不同于出于经济目的的网络犯罪。

现有的国际协议,比如《欧洲网络犯罪公约》,是加强和协调各国对网络犯罪的法律措施的良好起点。每个成员国都应建立相应的国内法律以及其他必要措施来对应这样的犯罪行为,而当犯罪行为系有意而为时,则应剥夺其进入整个或部分网络的权利。

授权原则

一个机构的行动(和管理)能力来自于对它的授权。授权原则与全球网络安全领域中定义和协调的国际行动相关。它最特殊和最主要的重要性在于制定新的或修改已有的网络安全议事日程。

在现有的网络安全法律和政策工具中,存在着国际协调上的重复或缺失现象。比如,国际网络犯罪预防协调至少是6个主要国际组织所关注的问题。对于国家政府和国际组织来说,这就造成了一个对国家网络安全框架恰当投入的问题。

要决定政府对网络能力的投入是否恰当,国际组织应当利用并提高其他机构的能力。比如,尽管北约在这个问题上主要关注的是协同自我防御机制,但它仍然需要在“武力攻击网络”这个类别下建立解决网络事件的框架,无论被攻击的目标是机构本身还是某个成员国。网络防御的成本要比发起一次攻击昂贵得多,而随着政府信息设施越来越多地成为目标,提升国家和国际防御能力将会成为一个投入问题。

第3篇:欧盟网络安全战略范文

【关键词】 网络安全 网络弹性 网络弹性工程框架 网络弹性度量

网络已成为人们生活乃至国家运行中不可缺少的重要组成部分,人们生活的方方面面几乎都与网络密切关联,网络的安全稳定运行已成为国家安全和经济安全的重要保证。然而随着网络规模的不断扩大和技术的飞速发展,其面临的威胁也在不断增长。据infosecisland网站5月7日报道[2]:只需15分钟的网络攻击就能让任何西方,依赖任何信息技术的社会瘫痪的断言最近引发了激烈的讨论。实际上,成功实施一次有准备的网络攻击只需几秒。以往头痛医头,脚痛医脚的方法已不能有效保证网络的安全稳定运行,人们越来越认识到需要具有弹性的网络,使系统能够预测、抵挡攻击,从对手成功的攻击中恢复,并进行改进和完善。

近年来,网络弹性已成为美国等西方国家决策者和国家安全专家非常关注的问题,高度重视网络弹性已成为美国、欧盟等多个国家的共识。

美国:2007年《国土安全战略》指出:美国需要网络“整体的系统弹性”,将网络弹性确定为形成美国国土安全综合方案的三大关键概念之一。2010年《国家安全战略》呼吁“要提高美国的网络弹性”。2011年3月30日第8号总统令,再一次强调网络弹性的问题,国土安全部将提升关键信息基础设施的弹性列为2012~2016年战略计划的重点任务。2013年2月12日奥巴马签发《提高关键基础设施网络安全》行政令,再度重申网络安全的重要性,并特别强调提升国家关键基础设施弹性是增强国家关键基础设施安全的重要任务。

欧盟:2008年9月《改善公共电子通信网络的弹性》,2009年12月《通信网络弹性规范化存在的差距》,2011年1月《启用和管理网络端对端弹性》,2011年2月《网络与服务弹性的测量标准和架构》,2012年10月《向着网络安全迈进》的欧洲战略等。多份有关增强欧盟网络弹性的文件从不同角度阐述了不断提升网络弹性的重要性和必要性。

其他:2012年3月,由25个国家,跨15个领域的70多家政府机构和公司参与的世界经济论坛,向全球发出携手共谋网络弹性的倡议,呼吁世界各国行动起来,共同提升网络弹性。

1 网络弹性工程

1.1 网络弹性

弹性:指从不良事件中“迅速恢复”的能力。弹性概念已经从材料科学和心理学领域延续到其他领域,例如,生态学、系统工程、组织行为学和国家安全,被不同工程学科定义或赋予了不同的特征,以不同的定义越来越多地应用于国家、关键基础设施、组织、网络、系统和网络空间。研究界已经提出网络弹性策略和架构的多个特征。

网络弹性:指国家、组织、任务或业务流程进行预测、抵挡、恢复和改进,来完善功能,应对不利条件、压力或对其运行所需的配套网络资源攻击的能力。

1.2 网络弹性工程

网络弹性工程[3]主要研究:利用一组不断改进的弹性实践提高网络弹性的方法,以及运用这些实践的不同策略的取舍。

网络弹性工程在信息系统安全工程、安全运营管理、性能管理系统工程基础上,借鉴弹性工程、可靠性、生存能力、容错、网络弹性,应急/连续性计划、任务/业务影响分析、关键基础设施系统弹性等内容,并对信息系统安全工程进行扩展,是任务保证工程的子学科。网络弹性工程与和其他系统工程学科之间的关系如图1所示。

2 网络弹性工程框架

mitre[1]是美国一家不以营利为目的,专门为联邦政府机构服务并颇具影响力的公司,管理着联邦政府资助的研究和发展中心。在其任务保证和业务目标弹性架构(rambo)计划下正在开发的网络弹性工程框架[3]包括网络弹性的要素、威胁模型、适用领域和成本四个部分。

2.1 网络弹性的要素

网络弹性的要素包括:网络弹性的目的、网络弹性的目标和网络弹性实践。

2.1.1 网络弹性的目的

通过网络

弹性实践达到四个目的:

预测:维持已知的防备状态,防止对手攻击损坏任务或业务功能。达到这一目的需要实现三个目标。

预报。获取和分析威胁情报信息。威胁信息来源于认可的源,监测任务环境(人的行为、物理设施以及信息系统)获得的对手活动证据或迹象,以及不良或异常事件的检测结果。网络威胁分析包括基于威胁信息的威胁建模、结果建模和评估。

预防。通过基本安全保护和加固减少受攻击面,改变系统组件或任务流程,使攻击面更难理解或预报,防止对未来运行的推测。预防应尽可能防止攻击执行。

准备。开发可替代的网络行动方案(ccoa),获取和配置执行ccoa所需的资源,对ccoa进行演练。

抵挡。在对手成功执行攻击时,继续执行基本的任务或业务功能。达到这一目的需要实现两个目标:在存在对手攻击的情况下,“争取通过”攻击或维持基本功能。遏制或击败对手攻击。

恢复:对手成功执行攻击后,最大限度地恢复任务或业务功能。达到这一目的需要实现三个目标。

确定损害。对攻击中使用的恶意软件进行司法分析,对监控、日志产生的记录进行分析,为确定受攻击影响的网络资源进行审计;根据分析发现的对手活动,与外部组织协调和共享信息;寻找被窃取或提取数据的副本。

恢复功能。采取回退恢复的方式,回滚到一个已知的可接受状态。这可能意味着从开始恢复到进入可接受状态之间的数据丢失。恢复可以重建功能,或建立一个新的基线。

确定可信度。网络资源(如系统、信息存储、网络、共享服务)具有相关的可信度(如信息的准确性、流通性和完整性;通信的可用性;对搜索或计算等过程在给定时间内完成的信心)。除了文件化的需求和服务水平协议以外,通常不定义或很少明确说明网络资源的可信度。任务或业务流程用户或网络防护人员对恢复资源的信任可能与其受攻击前有所不同。

改进:改进任务或业务功能和配套网络功能,尽量减少实际或预测的对手攻击造成的不利影响。这一目的必须在变化的环境中达到,达到这个目的需要实现两个目标。

改变现有流程和行为。环境变化包括威胁环境、系统环境和技术环境的变化。威胁环境的变化反映在对威胁模型的更新中,包括身份、功能、意图或对手目标的变化,以及对手谍报技术和战术、技术与程序的变化。系统环境的变化包括任务定义、优先顺序、工作流程的变化,系统构建或配置的变化,以及用户群的变化(如,培训、演练、新的用户群)。技术环境的变化包括在一种技术、特定产品或产品类中发现固有的漏洞,技术部署或使用的变化,新技术的引进,以及淘汰已建立的技术。

重构。修改架构,重建系统功能。

2.1.2 网络弹性的目标

为了达到网络弹性的目的,实现八个网络弹性目标。每个目标支持的目的如图2所示。

了解:对对手,任务或业务功能对网络资源的依赖关系,以及这些资源在对手活动中的状态进行描述。

对对手的描述给出对手的特点(如能力、意图、目标),包括潜在的和实际的对手活动,确定对手可能用来发动成功攻击的条件,以及可行的对手谍报知识。对网络资源状态的描述支持变化检测,以发现可能正在进行的攻击,用于确定受到攻击影响的资源。

对手和依赖关系描述支持预测。网络资源状态描述支持抵挡,并通过促进损害评估和可信性评估支持恢复。依赖关系描述支持改进,帮助避免意料之外的架构变化。

准备:维护现实的处理预测的网络攻击的网络行动方案(ccoa)。

为了使ccoa切合实际,必须考虑可用的资源,不论是网络还是非网络的(如人,其中可能包括:人员水平、训练,以及在演练的基础上理解如何执行ccoa)。

防止:阻止攻击在网络资源中成功执行。

实现此目标的关键是应用完善的信息系统安全工程(isse)原则和实践,在企业或系统架构中最具成本效益的点上应用安全控制,以最具成本效益的方式实施安全措施。专门针对网络弹性的策略包括:基于对手能力有选择地加固关键资源,使对手行动偏离方向,采取行动阻止对手攻击关键资源,或限制对对手攻击的激励。

保持:最大限度地延长攻击期间基本任务或业务功能的持续和有效时间。

此目标可以通过组合完美的降级服务,扩大对手为了成功执行攻击必须攻击的范围,合理的任务或业务功能分布

,以及在遭到攻击时采用替换行动方案来实现。

限制:限制对手攻击造成的损害。

此目标通常通过将攻击中涉及的网络资源与其他网络资源隔离来实现。关键是应用容错和可信计算原则和实践。

重组:遭受成功攻击后重新部署网络资源,提供尽可能完整的任务或业务功能。

其目的是通过确定网络资源未能达到的已知良好状态,在允许的情况下尽快返回支持任务或业务持续运行的状态。

转变:改变组织行为,应对过去、现在或未来的对手攻击。

其目的是通过限制或改变任务或业务活动的各个方面,尽量减少暴露给攻击的网络资源。包括:改变任务或业务功能的执行方式,做与任务或业务功能完全不同事情,或改变任务或业务功能的范围等。

重构:修改架构,更有效地应用网络弹性实践;应对预期的对手能力、意图和目标的长期变化;吸收新技术提高网络弹性。

可能包括:重新设计、重新实施或更换,特别是利用新技术、现有的网络资源,以及重新配置现有资源,提供新的或不同的功能。

2.1.3 网络弹性实践

网络弹性实践是实现一个或多个网络弹性目标的方法,用于构建和设计任务或业务功能以及支持任务或业务功能的网络资源,包括:任务或业务部门,公共基础设施,共享服务或单个系统、服务或组件。网络弹性目标与实践之间的关系如表1所示。

适应性响应:在有迹象表明攻击正在进行时基于攻击特征采取行动。包括:选择、执行和监测ccoa的有效性。

分析监测:持续收集和分析数据,协同确定潜在漏洞、对手活动和损害。

协同防御:进行适应性管理,以协同的方式、多种不同的机制保护关键资源免遭对手攻击。

欺骗:使用混淆和误导(如,虚假信息)等迷惑对手。

多样化:迫使对手攻击多种不同类型的技术(如,硬件、软件、固件和协议),使攻击的影响降到最低。

动态定位:使用分布式处理,动态重定位关键资产和传感器。

动态展示:构建和维护组件、系统、服务、任务依赖关系、对手活动,以及可替换的网络行动方案影响等的动态呈现。

非持久化:在有限的时间内保留信息、服务和连接,减少对手利用漏洞并建立持久立足点的机会。

权限限制:分别基于类型、重要性和可信程度,限制使用网络资源需要的权限,以及分配给用户和网络实体的权限,尽量减少对手活动的潜在后果。

调整:使网络资源与任务或业务功能的核心部分匹配,减少攻击面。

保持冗余:维护多个受保护关键资源(信息和服务)的实例。

分割:基于类型和重要性(逻辑或物理)分离组件,限制被对手成功利用造成的损害或传播。

验证完整性:确定关键服务、信息存储、信息流和组件未被对手破坏。

不可预测化:进行频繁、随机的变化,使对手难以预测。

网络弹性实践依赖于支持安全和性能的实践。随着网络弹性实践和解决方案的成熟,可能成为安全工程、性能工程、安全管理和安全运行活动中安全和性能实践的组成部分。

2.2 威胁模型

确定网络弹性实践将应对的威胁;分析网络攻击链,建立网络弹性目的与对手活动的对应关系。

2.3 适用领域

确定网络弹性实践、措施(控制、机制、程序),以及解决方案适用的架构层或网络资源集。可以在多个层次上应用弹性实践和实现网络弹性目标。

网络弹性工程侧重于将网络弹性实践应用于网络资源,或将特定的弹性产品或实践与网络资源集成。重点关注任务和业务部门、系统、共享服务组、网络或其他公共基础设施的体系架构,网络弹性实践对于不同类型的网络资源具有不同的效果。

2.4 成本

确定使用网络弹性实践、机制,或特定产品或实现涉及的成本类型。应用网络弹性实践或使用网络弹性产品的潜在成本是多方面的。成本是进行替代策略和实现权衡分析的组成部分。

成本度量指标用初始成本、支持成本、间接成本与收益三种类型来定义和表征。成本评估的方法包括:定性、半定量和定量方法。

3 网络弹性度量

网络空间的风险日益增长,情况愈加复杂,特别是国家层面的大规模网络攻击威胁有增无减,对网络弹性的需求愈加强烈。提高网络弹性的工程和运营决策迫切需要合适的度量和评估过程支持,需要尽快研究制定衡量网络弹性的度

量方法和指标。mitre在rambo评估任务下所做的网络弹性度量[4]工作主要包括:

建立方法:用于识别、表征、定义网络弹性度量指标;

确定通用度量指标:用于网络弹性的技术和成本度量;

开发原型工具:使用户能够根据自身需求确定其特定的网络弹性度量指标集。

3.1 度量方法

mitre构造的网络弹性度量通用指标涉及的范围包括:用于不同用途的度量指标。特别是支持经营决策与工程决策的指标;适用于不同架构层或资源类的度量指标。例如,系统、应用程序、知识库或数据存储、通信和特定技术的指标;反映不同特征的度量指标。包括:及时性、能力和信心的指标;不同形式的度量指标。包括:定量、半定量和定性指标;借鉴的度量指标。重用其他工程学科中的指标,尤其是安全指标;专门针对rambo项目中正在研究的技术的度量指标。

网络弹性度量通用指标分为三大类:

技术度量指标。评估技术,以及任务或业务处理,尤其是网络防御处理相关技术的行为。

组织度量指标。评估组织流程对弹性的落实程度,其中包括网络弹性。

成本度量指标。评估使用网络弹性方法、解决方案、产品,或改善组织流程所需的成本。包括:采购或整合解决方案的成本、支持成本和间接成本等。

3.2 度量指标

mitre在其2011财年创新计划项目下rambo评估任务建立、使用的网络空间弹性能力度量细化指标多达272项,包括了各个方面。2012年4月的《网络弹性度量》白皮书中,给出其中具有代表性的指标100余项。作为示例,表2中列出了其中的5项技术指标。

4 结语

网络弹性是一个很大的概念,需要从国家、社会和系统的角度来看待和规避风险。网络弹性方案必须具有可操作性才能行之有效,实现网络弹性是一个宏大的目标,需要国家层面长期、持续的努力。十八届三中全会公报中最受关注的内容之一是:设立国家安全委员会,以完善国家安全体制和战略,确保国家安全。我国成立国家安全委员会,在完善国家安全战略的过程中必将涉及国家信息安全战略,信息安全将成为国家安全战略的重要组成部分。希望我国的信息安全工作能从本文中得到启示,尽快开展以下工作:

提高网络弹性重要性和迫切性认识。随着网络技术的飞速发展,问题触发式,分离、局部、被动的处理方式已不能适应解决高级持续威胁(apt)和快速成功攻击的需求,今天的网络安全需要通过具有弹性,能够对攻击进行预测、抵挡、并迅速恢复和改进的弹性网络来保证。

研究网络弹性实施架构和相关技术。网络集成、运营单位,网络安全防御利益相关者,以及国家相关部门等,协同努力,积极开展网络弹性架构和相关技术研究,尽快形成相关战略措施、实施方案、技术规范和标准体系。

建立网络弹性评估方法和指标体系。网络集成、运营单位,网络安全防御利益相关者,第三方测评机构,以及国家相关部门等,协同努力,积极开展网络弹性评估方法和指标体系研究,建立国家网络弹性评估体系,形成网络弹性评估、管理基线。

开展网络弹性建设和评估试点示范。网络集成、运营单位,网络安全防御利益相关者,第三方测评机构,以及行业主管部门等联合开展网络弹性工程实施、评估试点示范,完善相关实施方案、技术规范和标准体系,健全评估体系和评估管理基线,实现网络安全的常态管理,促进国家信息安全水平整体提高。

参考文献:

[1]the mitre corporation | annual report 2012. mitre, 2013.

[2]知远/严美.弹性——面对网络攻击幸存的方法[ol].搜狐军事, 2013年05月13日. http://mil.sohu.com/20130513/n375722601.shtml

第4篇:欧盟网络安全战略范文

关键词:物联网应用趋势

Abstract: the content networking is regarded as the application of the Internet expansion, the application of innovation is the core of the development of the Internet content, the user experience as the core of innovation is the soul of the development of the Internet content. This paper mainly introduces the content in the application of network technology in the future now and will play a bigger role.

Keywords: things networking application trend

中图分类号:TP393.4 文献标识码:A文章编号:

前言

Internet of Things(IOT),也称为Web of Things。物联网物联网是指通过各种信息传感设备,如传感器、射频识别(RFID)技术、全球定位系统、红外感应器、激光扫描器、气体感应器等各种装置与技术,实时采集任何需要监控、连接、互动的物体或过程,采集其声、光、热、电、力学、化学、生物、位置等各种需要的信息,与互联网结合形成的一个巨大网络。其目的是实现物与物、物与人,所有的物品与网络的连接,方便识别、管理和控制。

物联网

物联网自从其诞生以来,已经引起世界各国的巨大关注,并被认为是继计算机、互联网和移动通信网之后的第三次信息产业浪潮。

国内外普遍认为物联网的概念最早是由美国麻省理工学院 Ashton 教授于 1999 年提出的,其理念是基于射频识别( RFID) 技术、电子代码( EPC) 等技术,在互联网的基础上构造一个实现全球物品信息实时共享的实物互联网,即物联网。可见,物联网是基于互联网、RFID 技术、EPC 标准,在计算机互联网的基础上,利用射频识别技术、无线数据通信技术等,构造了一个实现全球物品信息实时共享的实物互联网“Internet of Things”( 简称物联网) 。此理念有两层含义: 首先,物联网的核心和基础是互联网,是在互联网基础上的延伸和扩展; 其次,其连接终端延伸和扩展到了任何物体与物体之间,并能进行信息交换和通信。物联网的核心是物与物以及人与物之间的信息交互,其基本特征可简要概括为全面感知、可靠传送和智能处理。

一、物联网的鲜明特征

1、首先,它是各种感知技术的广泛应用。物联网上部署了海量的多种类型传感器,每个传感器都是一个信息源,不同类别的传感器所捕获的信息内容和信息格式不同。传感器获得的数据具有实时性,按一定的频率周期性的采集环境信息,不断更新数据。

2、其次,它是一种建立在互联网上的泛在网络。物联网技术的重要基础和核心仍旧是互联网,通过各种有线和无线网络与互联网融合,将物体的信息实时准确地传递出去。在物联网上的传感器定时采集的信息需要通过网络传输,由于其数量极其庞大,形成了海量信息,在传输过程中,为了保障数据的正确性和及时性,必须适应各种异构网络和协议。

3、物联网不仅仅提供了传感器的连接,其本身也具有智能处理的能力,能够对物体实施智能控制。物联网将传感器和智能处理相结合,利用云计算、模式识别等各种智能技术,扩充其应用领域。从传感器获得的海量信息中分析、加工和处理出有意义的数据,以适应不同用户的不同需求,发现新的应用领域和应用模式。

4、目前,由于网联网内涵和应用的不断发展,加之不同研究机构对于物联网研究的角度和侧重点不同,物联网仍没有一个权威和公认的标准定义。但从物联网的本质特征分析可知,物联网是现代信息技术发展到一定阶段后的一种聚合性应用与技术提升,它是各种感知技术、网络技术和人工智能与自动化技术的聚合、集成和应用。因而被称之为继计算机、互联网信息产业后的第三次革命性创新。

二、物联网的发展

从 1999 年概念的提出到 2010 年的崛起,物联网的发展已经历了 10 年的历程,特别是最近两年的发展极其迅速,已不再停留在单纯的概念、设想阶段,逐渐成为世界各国国家战略、政策扶植的重点对象。表2所列是物联网发展历程中的几个关键时期及主要事件。

表2国际物联网发展的主要事件

1、国外物联网发展概况

(1) 美国在物联网基础架构、关键技术领域具有领先优势

作为物联网技术的全球主要推动国,美国在物联网产业上的优势正在加强与扩大。美国国家情报委员会在《2025年对美国利益潜在影响的关键技术》中,把物联网列入6种关键技术之一,并在“智慧地球”计划中将物联网上升为国家战略层面。美国国防部的“智能微尘”(SMART DUST)、国家科学基金会的“全球网络研究环境”(GENI) 等项目的开展提升了美国的创新能力。目前由美国主导的 EPCglobal 标准在 RFID 领域中呼声最高,德州仪器(TI) 、英特尔、高通、IBM、微软在通信芯片及通信模块设计制造上全球领先。美国物联网已经开始在军事、工业、农业、环境监测、建筑、医疗、空间和海洋探索等领域投入应用。

(2) 欧盟出台系列政策促进物联网技术研发和应用

2009 年 6 月欧盟委员会了《欧盟物联网行动计划》,提出欧盟政府要加强对物联网的管理,确保欧盟在基于物联网的智能基础设施发展商的领先地位。同年9月又了《欧盟物联网战略研究路线图》,提出欧盟到2010年、2015年、2020年三个阶段的物联网研发路线图,并提出物联网在航空航天、汽车、医药、能源等18个主要应用领域和识别、数据处理、物联网架构等12个方面需要突破的关键技术。目前,除了进行大规模的研发外,作为欧盟经济刺激计划的一部分,欧盟物联网已经在智能汽车、智能建筑等领域进行应用。

(3) 日本国家战略推动物联网发展

2004年,日本政府提出了以发展泛在网络社会为目标的“U-Japan”计划,其战略目标是实现无论何时、何地、何物、何人都可受益于 ICT 的社会。2009年将该计划上升为“I-Japan”战略。通过这些战略,日本开始推广物联网在电力、交通、医疗、教育、环境监测和灾难应对等方面的应用。

2、我国物联网发展现状

(1) 各级政府部门相继出台物联网发展相关战略规划面对物联网的巨大发展空间,我国制定了“十二五”发展规划,将物联网纳入国家五大战略性新兴产业,相关产业标准也正在紧锣密鼓制订之中。尽管对物联网的理解还不统一,各地方政府面对万亿级市场以及中央出台的一系列政策支持,长三角、珠三角、京津唐等各地政府紧急调研,纷纷把物联网列入重点培育的新兴产业。物联网还被列为《国家中长期科学与技术发展规划( 2006-2020 年) 》和“新一代宽带移动无线通信网”重大专项中的重点研究领域。[1]

(2) 江苏无锡建立了国家传感网中心

以江苏省无锡市国家传感网为中心,全国各地建成了一批物联网研发基地和物联网产业联盟,物联网研发企业如雨后春笋般涌现,为物联网的发展奠定了扎实的产业基础。2010 中国国际物联网博览会上的《2009-2010 中国物联网年度发展报告》称,2009年中国物联网产业市场规模达 1 716 亿元,预计 2010年中国物联网产业市场规模将超过 2 000 亿元。至2015 年,中国物联网整体市场规模将达到 7 500 亿元,年复合增长率超过 30%,市场前景将远远超过计算机、互联网、移动通信等市场。[2]

三、物联网发展面临的问题

物联网的发展和市场潜力巨大。但是实现物联网需要解决一系列问题,主要集中体现在核心技术、标准规范、信息安全、隐私保护、产品研发等方面。

1 核心技术有待突破

目前,物联网关键技术研发和规模化应用处于初始阶段,其中,传感器核心芯片和传感器接入技术和中间件技术有待进一步发展。一是当前传感器所能连接的通信距离受限,传感器对外部工作环境指标要求较高,受外部环境影响较大。二是传感器节点计算能力、存储能力和通信能力不足,能量有限。

2 标准规范有待统一

标准是推动物联网应用的保障,统一标准体系的缺乏将阻碍物联网的发展。目前,物联网标准体系尚在建立,中国、美国、德国和韩国是世界物联网领域标准的重要制定国。ISO/IEC 在传感网络、IUT-T 在泛在网络、IEEE 在近距离无线、IETF 在 IPv6 的应用、3GPP 在 M2M 等方面纷纷启动了相关标准研究工作。由于物联网发展涉及国家间巨大利益,制定一种能被世界各国认可的统一的物联网国际标准,难度很大,短期内标准难以统一,规范协议难以形成。[3-4]

3 信息安全和保护隐私有待解决.

信息与网络安全是要保证被保护信息的机密性、完整性和可用性。与互联网和移动通信网相比,物联网还存在一些特殊的安全问题。首先,物品的感知是物联网应用的前提,射频识别是物联网的关键技术。物联网中的物与物、物与人之间互联是通过 RFID ( 射频识别) 、传感器、二维识别码和 GPS 定位等技术来自由地自动感知和获取物品信息的。在数据处理过程中同样存在隐私保护问题,如基于数据挖掘的行为分析等。因此要建立访问控制机制,控制物联网中信息采集、传递和查询等操作,保证不会由于个人隐私或机构秘密的泄露而造成对个人或机构的伤害。[

四、结论

物联网产业是一个新兴战略产业,目前在全球范围内尚处于起步阶段,但机遇与挑战并存,其未来的发展空间十分巨大。我国的物联网产业与欧美等发达国家相比,仍存在一定的差距,但已经具备一定的产业技术和应用基础。[7-8]今后应重点在以下方面做出努力:

1、加大研发投入,突破核心和关键技术

在物联网最核心部分的传感网芯片的研发上,国内 RFID 仍以低端为主。高端产品多为国外厂商垄断,80%以上的高灵敏度、高可靠性传感器仍需要进口,高端技术缺乏无疑将对国际标准制定竞争产生影响。并严重削弱我国在该产业上的话语权。在传感器及传感器网络、芯片等关键设备制造、海量数据处理等核心技术上,我国应集中多方资源,协同开展物联网重大技术攻关。

2、加快物联网标准的制定

标准、成本和技术一直是业界公认的阻碍物联网发展的三大问题。统一标准是促进产业规模化发展的前提。标准化的缺失一直被认为是业内制约物联网产业发展的重要因素之一,因此,物联网标准的制定和技术的研发同样重要。目前,国内提供物联网最核心部分 RFID 服务的大部分都是国外厂商的集成商。这些公司都坚持着自己的标准。各系统间不能互联互通。我国必须抓住时机,加强国际交流与合作,更多地积极参与国际标准的制定,掌握制定标准规范话语权。

第5篇:欧盟网络安全战略范文

你的汽车会被黑客攻击吗?”

听到这个问题,埃隆・马斯克有些恼怒。这显然不是一个在友好会客的晚餐饭桌上适宜提起的话题。

对于这个自从推出特斯拉的ModelS就时刻接收着鲜花和赞誉的年轻总裁来说,这样的质疑显得格外刺耳,但他还是礼貌性地做出了回答。“不会,我们所有的应用都是自己写的,我们不会安装任何第三方应用,所以不会有任何问题。”

抛出问题的奇虎360公司董事长周鸿并没有打算就这样放过这个话题。“那你的汽车有WiFi和蓝牙么?”

在程序员出身的周鸿看来,就算特斯拉汽车本身不会遭到黑客攻击,但只要马斯克用手机与汽车连接的话,黑客一样可以通过手机进入汽车。而只要特斯拉汽车有和云端进行通信的需求,那么只要下载了它的通信协议或者破解了云端的网络,汽车也会被控制。

问题的答案显而易见。3个月后,360成功地破解了特斯拉的通信协议,利用电脑实现了将特斯拉汽车远程开锁、鸣笛、闪灯、开启天窗等操作,并将漏洞报告提交特斯拉。

在周鸿看来,智能汽车不过就是一部有四个轮子的大手机。在出席“2014中国互联网安全大会”时,周鸿明确地指出:“智能手机的普及已经打破了边界的定义,安全的问题变得更加严重。”

消失的边界

远程遥控汽车启动,冬天预热坐垫,夏天提前打开空调;让汽车自动跑到指定地点;实时提供交通咨询、信息导航和道路救援;车辆定位寻找丢失汽车……将汽车联网后,汽车厂商们相继重磅推出汽车的智能功能,担心在智能汽车的浪潮中分不到一杯羹。

在汽车变得越来越智能的时候,空调、电视、冰箱等家电企业也争先恐后地投身智能化浪潮中。

这是一个走向万物互联的世界。“万物互联将会是未来的趋势。不仅手机、电脑、电视机等传统信息化设备将连入网络,家用电器和工厂设备、基础设施等也将逐步成为互联网的端点。”中国互联网安全大会联合主席、互联网协会理事长邬贺铨说。

互联网、电脑出现漏洞和病毒早已是过去的新闻。手机出现病毒、被钓鱼、下载了虚假的App、接入了伪基站,也不再是新鲜的事情。但是正如周鸿在“2014中国互联网安全大会”所说,当人们生活周围的电器设备都内置了一个智能的芯片和一个智能的操作系统的时候,可以说所有的东西实际上就都变成了一个“手机”。

但就像智能汽车这个四个轮子的“手机”,可以轻易利用市面上随手可以得到的汽车诊断设备,外加一款应用软件实现破解。这些攻击甚至有可能通过远程操控,让汽车在驾驶途中熄火,遥控打开其后备厢进行偷盗,随时可以让汽车车门、天窗打开,甚至控制刹车,造成安全事故。

当这些“手机”都可以通过3G、4G的网络,通过WiFi、蓝牙等各种各样的协议和互联网、云端7×24小时相连的时候,边界的概念会越来越弱,逐渐消失。随着“手机”的增多,消失边界的范围就会越来越大。“接入点越多,可以被攻破的这种可能的入口就会越多。”这给安全带来了全新的挑战。

美国前国土安全部部长汤姆・里奇也认可数字边界已经打破了对传统意义上的国家和行业疆界边际的界定。在他看来,万物互联的世界将是一个全新的战场。

汤姆・里奇说,我们的数字世界既充满了机遇,也充满了挑战和威胁。当地缘政治的边界都不再实时存在的时候,我们都会暴露在各种恶意的,甚至邪恶的攻击者面前。没有人能够心存侥幸。

也许有人认为自己的CPU、自己的操作系统、自己的数据库能够保证安全。但是,只要还在网络环境里,我们的数据都会走出去在世界上绕一圈再回来,无法阻挡。这是互联网的天性。

与传统的战场不同,在这个对恶意没有抵抗力的数字世界里,袭击者可以很轻易地掩藏住自己的身份。“在空中、地域或者海域将敌人拒之门外比在数字空间更容易,军事方面的哨兵可以实地放哨。但在数字的边界,针对某一具体的黑客,要抓住他们,通过一种有意义的方式抓住他们是非常困难的,有时候甚至是不可能的,这是显而易见的。”汤姆・里奇说。

在汤姆・里奇看来,在这个全新的战场中,每个人要成为网络战士,每个人有义务去扮演打击这些袭击者的角色。

数据的对抗

这不是危言耸听。在8月的美国西雅图之旅,奇虎360副总裁兼首席隐私官谭晓生见证了一组黑客,只用了45分钟就破解了22种硬件设备。被破解的硬件设备包括三星加密的摄像头、放在婴儿床边的摄像头、海信的电视、LG的冰箱、摩托罗拉LTE的终端、亚马逊的机顶盒、松下的蓝光播放器。

“如果我们想保护自己的数据,在经济领域竞争得到优势,威胁我们的是什么?不是网络,而是信息数据本身的对抗。”原网络安全应急技术国家工程实验室主任杜跃进表示。

以智能汽车为例,按照杜跃进的估计,目前至少有超过80个智能传感器,每天传输着涵盖了汽车和驾驶者的个人的各类信息、高达100M的数据。这是一个真正的大数据时代。

用户数据的泄露正逐渐成为常态。山石网科副总裁张凌龄对此有着切身体会。在去年一年,她就更换了两次信用卡。办卡的花旗银行和美洲银行信用卡公司主动发信通知她换卡,称旧卡已不能使用。“其实就是信息已经被盗了,只是他们不愿意跟你讲。”

事实上,这种数据的对抗现在已经上升到国家战略。“互联网在中国的发展已经有20年,从早期的CIH病毒到后来的‘冲击波’和‘熊猫烧香’,再到2013年的‘棱镜门’事件,网络安全领域已经不仅仅是简单的攻防战,而是已经关系到全社会的生存与发展。”奇虎360总裁齐向东在“2014中国互联网安全大会”上如此表示。

中国的准备显然还不充分。与美国在面临网络安全问题的时候能够有效协调安全厂商、技术机构和媒体形成常态化优势不同,中国在技术标准、监管机制和产业联合引导方面还有着不足。

美国在安全产业上的布局是非常完善的。从底层的基础信息巨头,到中层的网络安全产业聚集,到高层的专业安全厂商,构成了一个非常完整的网络安全的产业格局。在国家计算机网络应急技术处理协调中心副主任兼总工程师云晓春看来,这种格局对整体网络安全能力非常重要。

云晓春认为,在“棱镜门”事件中,美国之所以能够对全世界进行窃听,是依托其在互联网资源及信息技术方面的绝对优势,特别是政府、企业等各部门的高度协同。

但是,中国还达不到这样的格局。在俄国,安全厂商更希望做完整的产品线,覆盖产业的整个链条。大而全的结果,就是粗糙的同质竞争。国家的总体部署虽然促进了各个单位自身网络安全保障能力的提高,但协作不够。一旦遇到高强度攻击,形不成整体合力,无法有效地做出应对。

那么,在这个万物互联的时代,应该拿什么去拯救信息安全?

跳跃的思维

受阿西诺夫在科幻小说中提出的机器人三原则影响,周鸿发散思维,为企业量身打造了万物互联时代需要遵守的三原则――不管存储在哪个服务器上,数据的拥有权必须属于用户;企业必须把你收集到的用户数据进行安全存储和安全传输;如果使用用户信息时,必须告知用户,经过授权。

周鸿相信,即使到了万物互联,即使用户数据都在云端,当这三个原则都被遵守的时候,数据和隐私的安全会受到更好地保护。

当然,在数字的世界中,当所有的边界都消失的时候,传统的防御已然不合时宜。这个时候,需要跳出固有的思维,用进攻的方式来防守。

在过去传统的信息安全防护中,首先是依靠在建立一个防火墙,被动地做出防护。在中国科学院大学吕本富教授看来,这种防火墙是一个软隔离,并不安全,很容易被人家穿墙打洞。即使做了物理隔离,效果也不是很好。比如著名的“震网”病毒就打破了物理隔离,突破工业专用局域网的物理限制,在伊朗广泛传播开来。

网络安全的本质就是攻防对抗。在攻击和防御相互博弈的过程中,攻击者会不断寻找防护方的弱点,防护方也会不断探索应对新攻击的手段。了解对手的能力、特点、动机,用对手的思维来思考,实行攻防对抗,在新型的安全防御中就显得至关重要。

在思科内部就有这样的意识。每隔几个礼拜,就有一个发到思科内部员工邮箱里的有针对性的钓鱼邮件,进行安全测试。这种响应式的做法带来了很好的效果,思科的安全部门发现了多个被忽略的问题,及时做出了调整。

这个道理尤其适用于国家的安全战略中。吕本富认为,一个国家的网络空间的是建立在“能力之矛、规则之盾”的基础上的。一个国家拥有能力之矛,就可以用最小的博弈能力,让对方不敢轻易做出侵犯的举动。规则之盾,则是掌握在万物互联的新空间下的规则,依据规则定下防御策略。

第6篇:欧盟网络安全战略范文

1.1网络基础平台

网络平台是一站式公共服务赖以实现的物质基础,电子政务一站式公共服务前台与后台的无缝连接要求电子政务基础网络平台的内外网要互联互通。为了使一站式服务中前台的请求直接流转至后台的部门内网和政务专网进行流转和协同处理,同时保证政务内网和专网中政府部门政务信息的安全性,整合现有的政务网络建立统一的平台是实现一站式服务的基本保证。

1.2数据层

共享数据库和数据中心形成一站式公共服务的数据层,实现各政府部门之间有效的数据交换、共享和查询。一站式的电子政务公共服务,需要将分散在不同应用系统中的信息资源通过一定的技术手段加以整合和利用,以衔接“前台”与“后台”,是政府门户网站获得深度服务的根本保证。每个部门几乎都有为本部门业务服务所建造的数据库,没必要也不应该将数据全部对外开放,而只需将相互交换、需要合成的共享数据通过协同服务平台存放在共享数据中心内。各部门授权用户通过WEB浏览器进入协同服务平台,并在那里完成身份验证,进而获得所需的数据和资源,实现对共享数据中心相关数据的操作。利用网络技术建立政务信息资源共享数据库和数据中心。政务数据与信息的交换采用一种集中式的交换模式。在这种交换模式下,各政府部门之间并不直接交换信息,而是同一个统一的政务基础数据中心进行信息的交换,由这一中心进行统一管理和向各部门分发信息。

1.3业务处理层

业务处理层是实现一站式公共服务后台的功能,完成跨部门的服务办理与业务协同。实现该层功能的软件系统的开发是在统一的网络平台和数据平台的支持下,采用工作流引擎技术将前台接收的服务请求流转至内网各部门并行或串行处理,最后将处理结果反馈给前台供用户查询。一站式公共服务的后台管理首先面临流程再造问题。电子政务的一站式公共服务,并非将传统的施政部门、行政业务、操作程序原封不动地搬到网上,而是要对原有的行政流程实施优化、重组和整合。政府业务流程再造就是要面向公众重新设计一个新的具有高效率、能提供优质服务的流程。

1.4用户接口层

用户接口层完成前台的接待与回应。政府的门户网站是电子政府提供服务的用户接口,通过该门户,公众可以浏览、查询政府公共信息,完成在线申报、审批等。政府门户网站的开发通常采用基于B/(SBrowse/Server)结构的动态网页技术。B/S具有开发和维护成本低、客户端负载小、采用开放的标准、灵活性高、移植性好、用户界面友好等优势。B/S结构支持JSP+J2EE,ASP+IIS,+Framework,PHP+Apache等多种技术。

1.5政策法规及管理保障

一站式公共服务的建设离不开政府的统一规划、统一管理,统一标准和相关法规、制度的支撑。从管理角度,需要做好如下几件事情:一,建立专门的组织机构负责电子政务建设的总体战略规划,把握方向;二,制定相关标准,为系统建设提供规范;三,颁布电子政务相关的法律法规,提供法律支持。四,加强电子政务人才的培养。

1.6安全保障

一站式公共服务的建设必须确保不发生信息泄漏、信息篡改、信息破坏和抵赖行为。信息安全贯穿在系统建设的始终,无论是在管理上、技术上还是制度上。在管理上,建立政府网站监管机构,随时对网站安全进行检测。在技术上,从网络平台建设到数据层、业务处理层和用户接口层的开发,要分别考虑网络安全、系统安全、数据安全和应用安全四方面。在法律和制度上,明确规定安全的准则和框架,建立安全标准和安全制度。

1.7电子化公共服务的评价体系

评估是政府电子化公共服务建设走向成熟的必要环节,对于促进电子政府的建设和发展有着重要的意义。联合国梳理出社会公众和企业用户在教育、医疗、就业、社会保障等领域需求最迫切的300余项服务,按照起步、提高、交互、在线事务处理、无缝整合五个层次进行评估,以政府门户网站的综合表现能力来衡量电子政务服务水平。欧盟政府网站绩效评估围绕用户需求,以用户为中心,以需求为导向,着重考察各个成员国政府网站公共服务能力。欧盟选取了20个最具代表性、比较常用的基本公共服务作为评估内容,重点评估其可用性、实用性、易用性,包括面向市民提供的12项服务和面向企业提供的8项服务。为了不断提高我国政府电子化公共服务的水平,实现建设服务型政府的战略目标,必须建立科学的电子化公共服务的评价体系,运用各种评估方法,按照科学的评估流程,对电子政务的运行过程及条件做出全方位评估。

2结束语

第7篇:欧盟网络安全战略范文

这意味着,在网络世界中,别人可以通过证明“他是我”,借由“我”的身份“招摇撞骗”,掳走“我”的财产。在安全专家的语系里,这样的产业链条 被称为黑产。亚信安全副总裁陆光明表示,“从产业规模看,2016年底我国网络电子认证市场还不到200亿元,但是黑产的规模已经高达千亿元左右。”

网络可信身份认证该出手了。“《中华人民共和国居民身份证法》确定居民身份证是公民身份管理的可信依据,网络身份验证也需要可信度、权威级相当的可信平台。”中国工程院院士沈昌祥在日前召开的C3安全峰会上表示,网络身份可信验证工作刻不容缓。

身份信息在黑市上被明码标价

“850块钱,就能买到开房记录、列车记录、航班记录等11项个人隐私数据,在身份黑市上,隐私的买卖是被明码标价的,能够用于制作假通缉令等 的身份证户籍信息,一条只需要10—40元。”中国科学院信息工程研究所副所长荆继武展示了一张明晰的价码账单,仿造一个企业身份信息的“五证”仅需要千 元左右。无论对于自然人还是法人来说,我国网络信息保护的形势都非常严峻。

“易获得”是个人电子信息难以规避的“软肋”。安全领域内,八成以上的信息泄露由内部人员所为。“很少有黑客愿意花那么大的代价从外攻破系统获取信息,从内攻破是更便利、更容易的。”陆光明说。

“既然防不胜防,能不能让这些偷窃泄露来的信息分文不值呢?现实生活中身份证的使用对此提供了很好的借鉴。”陆光明说。

如何让网络身份认证与现实身份认证一样“强有力”“无漏洞”,成为一个系统工程,关系到新技术应用、新体系构建、以及与已有法律体系的共享共 建。国际上,欧盟2006年出台了开展网络可信身份体系建设的法规。美国2011年公布网络空间可信身份国家战略,提出10年时间建设美国网络身份体系。

网络身份验证难有“防骗”功效

当下使用的网络身份验证难有“防骗”功效,沈昌祥将问题归纳为3类:方法不安全、难保真实性;欠公平公正、难防篡改;缺乏法律效力、难以执法。 沈昌祥解释:“例如大量汇集在微信、支付宝上的个人信息,虽然是实名认证,但隶属于第三方企业,难以保障它们的不可更改性、不可复制性。”

陆光明对此持相同观点,他表示,在国外以企业公信力作为社会公信力的商业行为居多,例如谷歌的互联网账号可用作其他跨行业的社会认证。但是,Facebook的身份数据泄露,严重到甚至可能会对美国高层政策施以影响,这一事件令人对这种模式的安全性产生顾虑。

被泄露之外,被利用更使身份信息安全问题“雪上加霜”。陆光明说,韩国2011年就爆发过一次非常严重的身份数据泄露事件,当时有3500万用户数据泄露,占当时韩国网民的95%左右。此事使得韩国政府开始限制网络身份收集,也宣告了其网络实名制的结束。

“身份非法买卖严重影响网络实名制的实施效果。”荆继武说,身份黑市交易可以将个人的网络身份绑定到一个完全不属于本人的现实身份上。

“黑户”的存在,不仅侵害了可能并不知情的个人的利益,也使得真正需要准确掌握身份信息数据的电商深感困扰。“一家电商的责任人表示,他每天有 几十万新注册用户,其中有很多黑产用户,电商企业需要花费很多精力、成本去校验新用户,将‘黑户’挑拣出来,确保系统安全。”陆光明说。

荆继武总结道:“现有的身份信息管理技术手段单一、难奏效,需要完备的身份信息数据管理体系。”

搭建有公信力的第三方验证平台

“一些互联网公司开发的APP,注册时需要身份证、姓名、电话等信息。我相信很多人都不愿意透露、被捆绑。”陆光明说,用户很难确定企业是否会将这些信息挪作他用。

通过搭建第三方平台的方法,或能解决这个“隐患”。

陆光明表示,一个保有用户信息的第三方认证平台,可以帮助互联网企业认证用户、也确保用户的信息只用于约定的用途。“对于新型互联网企业来说, 平台把认证结果反馈给企业,企业获得的是平台处理过的可信的用户认证。而用户(消费者)需要面对的则是一个有公信力的平台,而不是多个信息不对等的企 业。”

先前已经聚集了大量客户信息的淘宝、微信等已经开始担负起这样的角色,目前,已经有“授权认证”等模式,让用户无需再次注册新应用的账号。荆继武表示,背后基于多模式多安全等级的电子认证技术,也保证了“不同等级的数据库使用者,能够接触到的信息是不同的。”

“基于庞大的互联网用户数据基础,亚信安全之前就曾做过类似的平台构建。”陆光明说,随着国家互联网+政务战略部署的提出,亚信安全希望构建一个能够打通政务体系的、拥有法律效力的认证平台。

目前国家层面正在构建具有法律效力的权威性公民网络电子身份标识基础设施,并加快与电子身份应用相关的技术和标准的研制推广工作,未来将会加速 构建和网络电子身份基础设施配套的基础服务能力,基于网络电子身份标识基础设施将会出现更多的行业化、跨领域的高可信、互信任的认证平台系统。

陆光明介绍,由国家不同部委授权建设,亚信安全参与搭建统一的身份信息认证平台,不仅仅要完成个人身份认证业务,还提供涉及到法人、营业执照等证照信息的认证服务。纵向来看,整个平台包括国家中心平台的建设,也包括中心平台与各个部委、各省市的对接建设。

为了担负起庞大的信息处理量,平台将构建分布式的数据存储,并推动数据共享,打破数据孤岛,推进电子签名应用等,以期形成跨行业的身份信息认证 的传递和互认。通过推动单纬度、单系统、特定场景的可信身份,向多维度、综合性、可交叉的可信身份体系,助力网络安全身份体系发展。

相关链接

新技术让网上身份识别更可靠

居民身份证作为电子法定证件,本身兼有“线下”和“线上”法律作证的地位。沈昌祥表示,2代身份证识别体系建设时,预留了指纹识别的端口,当时由于种种原因暂时未被整合的认证手段,最近可能再被启用。

“公民网络电子身份标识基础设施将融合各种新技术。”陆光明说,企业将持续创新可交互、易操作、高可信的新型认证技术,例如声纹识别、指纹识别、相貌识别等。

之前的身份可信判断,通过“我所拥有+我所知道”,未来将转向“我的特征+我所知道”。也就是说,之前“我拥有”的u盾、短信验证码+口令等方式,将被替换“我”特有的指纹、声纹、面相+口令等方式。通过新技术的加入最大限度做到只有“我”才能证明“我自己”。

在系统底层建设中,陆光明介绍,目前平台的主流技术仍是基于强密码实现安全保障,并会适时利用安全大数据,进行态势感知的风险预测和控制。对于新兴的区块链技术、时间戳等安全保障方式,平台将做到端口预留。

第8篇:欧盟网络安全战略范文

关键词:电子商务;现状;问题;对策

中图分类号:R-1文献标识码: A

引言

随着国内电子商务的发展,网络经济引发的一些列问题逐渐开始凸显,电子网络纠纷案也在变多,虚假广告、网络诈骗、域名争议等案件已是屡见不鲜。而对于牵扯到网上拍卖、网上支付、物流、数字认证、隐私权保护、电子邮件、法理学、域名、数据库及其知识产权等方面的法律问题,更是急需我们通过制定电子商务政策和相关法律法规,来创建良好的竞争环境。

一、全球电子商务发展概况

纵观全球电子商务市场,每个地区发展并不平衡,呈现出美国、欧盟、亚洲“三足鼎立”的局面。

世界最早发展电子商务的国家是美国,并且其也是电子商务发展最成熟的,它长期以来引领着全球电子商务的发展,是成熟发达的电子商务地区。与美国相比,欧盟电子商务发展比较晚,然而发展速度却很快,成了全球电子商务比较领先的地区。亚洲是电子商务发展的新秀,有较大的市场潜力,然而近些年的发展速度和所占份额不是很好,在全球电子商务中属于持续发展地区。

一直一来,全球B2B电子商务交易占据着主导地位,从2002年到目前为止,增长速度非常快,2007年全球B2B交易额达到8.3万亿美元,在未来几年预计增长率将保持高于40%,到2010年B2B交易额将达到26万亿美元,比2002年增长30多倍。

二、我国电子商务发展的现状

近年来,中国的电子商务快速发展,交易额连创新高,电子商务在各领域的应用不断拓展和深化、相关服务业蓬勃发展、支撑体系不断健全完善、创新的动力和能力 不断增强。电子商务正在与实体经济深度融合,进入规模性发展阶段,对经济社会生活的影响不断增大,正成为我国经济发展的新引擎。具体表现为以下几个方面:

(一)电子商务进入规模发展阶段

中国电子商务研究中心数据显示,截止到2012年底,中国电子商务市场交易规模达7.85万亿人民币,同比增长30.83%。其中,B2B电子商务交易额 达6.25万亿,同比增长27%。而2011年全年,中国电子商务市场交易额达6万亿人民币,同比增长33%,占GDP比重上升到13%;2012年,电 子商务占GDP的比重已经高达15%。预计2013年我国电子商务规模将突破十万亿大关。

图1.2009-2014年中国电子商务市场交易规模(万亿元)

(二)网购零售市场交易依然高速增长

中国电子商务研究中心数据显示,截止到2012年底,中国网络零售市场(包括B2C和C2C)交易规模突破1万亿大关,达13205亿元,同比增长 64.7%,占到社会消费品零售总额的6.3%。而2011年全年,网络零售市场交易额达8019亿人民币,同比增长55.98%,已占到了社会消费品零 售总额的4.4%。

2008年我国网购交易额增长率自120%以上水平逐年下降,从高速转为快速增长。随着基数不断扩大,市场总份额拓展进入新阶段以及网购消费理性化,网购 增速在未来几年内可能会自然回落。从人口增速和消费人群看,人口增速较为稳定,20至40岁的消费人群使用网购消费的模式几近固定,这些因素决定了网购交 易额将在一定水平上趋于平稳增长。

图2.2007-2012年中国网络零售交易规模(万亿元)

(三)移动终端网络购物爆发性增长

随着智能手机在中国的日渐普及,移动电子商务在中国将进入快速发展期。13年1季度,移动网购交易额再创新高,达到266.6亿元,同比增长 250.3%。占互联网购物比例从11年1季度的0.7%提升至13年1季度的7.6%,两年时间提升10倍。其爆发性的增长催生出的市场空间可能不亚于 现有的基于PC端的网购市场。

图3.2011Q1-2013Q1国内移动网购交易额发展情况

三、我国电子商务存在的问题

电子商务是一项新兴的事务,近年来在我国的发展也十分迅猛,过快的发展势头使得与之配套法律法规、渠道设施等没有协调发展,所以造成以上诸多问题,究其原因主要有以下几条:

(一)相关的法律法规不健全

由于互联网的急剧扩张,而相关的法律法规的不健全,网络犯罪的案件的不断发生,涉案金额越来越大,手段越来越隐蔽,技术越来越高明,让企业和个人防不胜防,这也是相当一部分企业和个人不敢涉足电子商务和网上交易的一个主要原因。

(二)异地交易时间过长、运输成本过高

交易双方不在同一地方,卖方面要收到货款后才能发货,还要经过漫长的运输时间,小额交易的运输成本所占交易额的比例过高。

(三)缺乏专业的电子商务人才

企业一旦建立了电子商务网站,就需要高素质的专业人才来维护,防止黑客、病毒等诸多来自互联网的不良因素的侵害

(四)配套措施不健全

电子货币的支付手段、交易税金的缴纳、网络带宽的限制、合同纠纷的处理等相关配套事宜的缺乏。

三、我国电子商务发展的对策与建议

(一)根据我国具体情况创新电子商务

国外电子商务产业的发展道路跟我国的国情不一定相适应。我们要学会从我国的实际国情出发;将从网站一相情愿出发转变为从网民需求实际出发;将网站自己憋宝探索变为按市场需求去进行探索;将排斥传统产业变为依托和引领传统产业实现跨越式发展。我国需要对电子商务基础技术进行创新。需要提高电子商务的综合实力。需要对当前的数据网、电话网、电视网、无线网分散资源进行整合,和浅在价值的再开发。需要上网快捷,交易便捷的适于大量中小企业上网的适宜技术和利于网络生活化,生活网络化的创新技术。同样,在经营理念和服务理念上,也应大胆创新和突破。电子商务是实物。即使它实现了买家和卖家的最短路经连接,和最快速度成交。然而却无法实现自然成交。信息的沟通和买、卖的对接;真心实意地为网民服务。应是商务网站工作的着眼点和落脚点。只有这样电子商务才可以开创的新局面。

(二)研究安全技术,建立网络安全体系

首先,国家相关部门应组织专业的安全技术研究队伍,集中力量对相关网络安全技术进行开发和研究,比如密码技术、防火墙技术、认证技术等,为用户营造安全的网络运行环境,确保网上数据的机密性、完整性、有效性、不可抵赖性,从而在多种应用环境下让用户能够方便安全的在网络上进行商业活动。其次,企业应该加强自身网站的安全管理,做好相关的安全配置工作:为减少漏洞,要及时安装补丁程序;安装防病毒软件和防火墙,加强内部网的整体防范能力;加密传输重要数据。

(三)完善诚信体制,建立社会信用体系

对于电子商务网站而言,电子商务的信用是其在经济行为中需要遵循的信用原则,是给电子商务交易各方参与者建立的必要的、和电子商务特征相适应的诚信体制,并且,要采取科学合理的措施建立起适应于电子商务发展的社会信用体系。我们可通过建立不同形式的电子商务信用认证中心和全国联网的信用等级数据库,对每个参与电子商务的用户的信用等级进行动态评价,且颁发数字等级证书,使电子商务交易更加可靠,从而将其存在的信用问题彻底解决。

(四)加强电子商务宣传和人才培养

现阶段,部门、行业信息的电子化力量十分欠缺:而如果各个部门、行业信息的电子化不存在,电子商务就只是空谈。因此,充分运用多种方法和途径培养、引进并合理使用好一批素质较高、层次合理、专业配套的网络、计算机及经营管理的专业人才,对于我国电子商务的成功建设有很大意义。并且,对于电子商务的安全问题,相关政府部门组织企业和研究单位制定安全技术,这是责无旁贷的。

(五)大力发展物流体系,加快电子商务发展趋势

快速发展的电子商务对于我国物流市场的要求越来越高,为了满足不同层次电子商务交易的需求,我们不仅仅要鼓励邮政部门发挥自身的长处,和从事电子商务的部门签订协议,积极开展新服务,政府还应该通过政策予以引导和鼓励,积极开发发第三方物流企业,使市场逐步开放,迎接国外速递公司参与竞争,在竞争中日益完善我国物流的配送体系。

结语

总之,伴随经济全球化和信息技术的迅猛发展,电子商务已逐渐成为了信息交流的热点,成了各国争先发展,各产业部门关注率最高的领域。虽然我国的电子商务正处于初步发展使其,面临来自体制,技术,管理等方面的问题,然而却也迈出了可喜的一步。我们只有在战略性和前瞻性的前提下,满足全球经济一体化发展的步伐,努力发展与我国国情相适应的电子商务,从而站稳脚跟。

参考文献:

[1]娜仁花.探讨中国电子商务的发展现状及问题对策[J].经营管理者,2014,06:255.

第9篇:欧盟网络安全战略范文

论文摘要:电子商务作为一种新兴的贸易方式不断吸引世界各国的关注和期待,而其对世界经济格局和贸易体制的影响也越来越深远。本文从我国企业利用电子商务的现状出发,分析了电子商务在我国国际贸易发展中存在的问题,并针对问题提出了合理化建议。

随着互联网的迅速发展,人们在信息共享和交流方面极大地摆脱了时间和空间的限制,而电子商务作为一种全新的商业模式,通过电子信息技术、网络互联技术和现代通讯技术,使交易涉及的各方当事人得以通过电子方式联系,实现整个交易过程的电子化。它大大提高了外贸企业的贸易效率,减少了其人力、物力和时间消耗,提高了这些企业的市场应变能力和竞争能力。这些变化和创新使国际贸易的监管变的更加公开和透明,进一步推动了国际贸易的进程。

然而,从目前电子商务在国际贸易中的应用情况来看,美国、欧盟等发达国家明显地走在前面。我国的大部分企业只是在网上广告、进行简单的企业介绍、产品信息、电子查询、互通商品信息,很少能有企业进行网上商务洽谈、签订合同、交换文本及单证,而能完成网上购物、网上支付、开展网络营销的就更少了。

一、电子商务在我国国际贸易应用中存在的问题

电子商务作为一种仍处于不断发展和完善过程中的新型交易模式,在促进我国国际贸易迅速发展的同时,又带来了巨大的挑战和难题。

1、电子商务框架尚未建立。国际贸易操作是一个繁锁而复杂的过程,交易过程涉及多个部门,运作过程伴随大量的单证、票据与文件。为实现“单同一致、单单一致、单证一致、单货一致”的目标,不仅需要实现单据和数据的垂直分流,还要满足水平分流,需要所有涉及到的单位、部门实现标准化的数据接口。而在我国,相关部门的配合还未形成一个强有力的体系,不能适应快速发展的电子商务。

2、信息基础设施薄弱,网络规模相对较小。网络贸易要想实现从浏览、洽谈、签约、交货到付款等全部或部分业务自动化处理,需要利用数字化技术将贸易相关部门有机连接起来,实现各部门电子数据交换。但由于经济实力和技术等方面的原因,我国的网络基础设施建设还比较缓慢和滞后,绝大部分企业的电子化、信息化程度低,而网络拥挤、运行速度慢、资费偏高等因素又进一步阻碍了我国电子商务的发展。鉴于中小企业的软硬件环境限制,使得其在国际贸易中实施电子商务步履维艰。

3、企业在国际贸易中不能主动去应用电子商务发展。由于经济环境和文化背景的影响,我国相当数量的企业在国际贸易中应用电子商务的主动性不够。多数外贸企业虽然己经上网,但还停留在信息查询阶段,建有和国际接轨的专业网络平台的甚少。同时,外贸企业竞争意识不够,普遍缺乏创新意识和竞争意识,对电子商务给国际贸易即将带来的巨大冲击,没有充分的认识和准备。

4、网络安全问题亟待解决。电子商务在给我们的工作生活带来便捷的同时,也存在着安全隐患。随着电子商务的发展,网上银行、网上合同、电子签名等的应用会越来越广泛,大量的交易信息会在网上传递,资金也会在网上划拨流动,而网络交易的双方身处不同国家,只有网络间的数据传递、交换和处理有很高的安全系数,才能有效地保障商业机密不被窃取,支付系统不被破坏,才能提高网上交易的权威性认证。然而无论国际还是国内,电子商务的安全性问题不容乐观。

5、相关法律法规尚未健全。在国际贸易网络交易中,由于交易双方分别处于不同的法律体系中,如何鉴别网络电子商务单据资料的真伪,如何规范电子合同、电子商务认证、网上交易与支付、网上知识产权、电子商务管辖权等电子商务所涉及的种种法律问题,各国的规定仍然有所差异,国际上缺乏统一的法律法规对此进行规范。而我国现有法律法规制度的制定滞后于信息工业的发展,相关的法律为从事电子商务的交易主体带来了高度的风险,构成了阻碍电子商务应用的一道不容忽视的屏障。 二、加快电子商务在我国国际贸易发展中的对策与建议

为了推动网络贸易在我国的健康发展,我们应采取以下一些积极对策:

1、建立国际电子商务框架,创造良好的宏观环境。电子商务是一项宏大的系统工程,是将高技术与现实中的商务活动结合的具体应用。这其中需要充分发挥政府的宏观调控功能,制定电子商务发展的宏观战略和规划,把海关、商检、银行、保险、外汇管理、工商、税务、银行、法律等部门同厂商、企业、用户、货物运输、信息产业等部门等单位按一定的规范与程序相互衔接,协同工作,增强政策广泛性和透明度,实现政策的统一和组织的协调,避免政出多门,形成电子商务发展的有利环境口

2、加强信息基础设施建设。电子商务在一国的应用与发展有赖于完备的信息基础设施作为基础。我国在信息基础设施投资和建设方面已取得一定成效,但与发达国家相比,我国在信息基础设施建设上明显投入不足、基础薄弱。这就有可能使我们失去电子商务给国际贸易发展带来的机遇,在竞争中拉大与发达国家的差距。只有建立起全国外贸专用信息网,进而有计划、有组织地实现我国涉及外经贸及与其业务相关的部门和行业同联合国贸易信息网及其他国际商务信息网络的联网,才能有效推进电子商务在我国国际贸易中的应用。

3、转变观念,积极参与国际合作与对话,提高应用电子商务的积极性。电子商务打破了时空界限,加快了全球经济一体化的进程。面对电子商务带来的诸如关税与税收、统一商业代码、知识产权保护等一系列新问题,各国加强了对话与合作。我国外贸企业只有转变观念,充分认识到网络贸易的开展不仅仅是一种贸易工具的简单应用,更是企业内部经营观念的彻底改革和管理模式的全面创新,积极学习和吸收国外发展成熟的相关经验,才能逐步发展壮大我国企业电子商务。

4、加强网络管理,维护网络安全,为电子商务创造有利的运营环境。网络安全关系到参与其中的每个人的切身利益,电子商务的发展需要解决安全性和可靠性问题,确保交易中信息的身份特征和安全保密性是电子交易关键所在。基于此,有关部门应组织一只精干的安全技术研究队伍,集中力量尽快解决电子商务的安全技术问题,包括密码技术、防火墙技术、认证技术、留痕技术等,并能够随着计算机和电子商务的发展而不断改进这些技术。

相关文章阅读
相关期刊推荐
精选范文推荐