前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的信息安全保护条例主题范文,仅供参考,欢迎阅读并收藏。
一、档案信息化过程中存在的安全问题
1.信息在传输、存储中存在泄露、损坏隐患。传统的档案运输和储存通常受到时间和空间的限制,需要耗费较多的人力、物力,但信息泄露的渠道较为单一,窃取和损坏信息的成本较高。而在信息化的档案管理中,档案数据的传输和存储一般通过互联网或者移动存储设备来进行,流通流程大大减少,成本低、速度快,但这同时也加大了信息泄露、丢失、篡改的风险,并且与传统纸质存储方式不同的是,数据信息一旦泄露便无法完全回收,这也导致其泄露的后果更为严重。而在档案的保管环节,也存在着数据损毁的风险,如不定期对电子器件、计算机系统进行定期的维护和更新,如一旦发生硬件损坏,就极有可能导致数据的丢失。
2.恶意攻击和病毒威胁。病毒攻击对档案信息化建设有着巨大威胁。随着大数据和云计算技术的应用,档案存储方式多样化,许多机构选择将档案数据存放在第三方云平台来降低数据管理的成本,这也一定程度上增加了档案数据被攻击的风险。同时,由于对信息化的过度依赖,缺乏应急机制,当发生病毒攻击事件时,档案管理工作直接瘫痪,对公民造成不便。2017年5月,比特币勒索病毒在全球超过74个国家爆发流行,我国多所大学和政府机构的档案管理系统被攻击,公民个人信息、院校学术资料被窃取锁定,给国家和人民带来了巨大的经济损失。
3.公民信息安全意识淡薄。公民个人信息安全意识淡薄也对我国的档案信息化管理造成了一定的影响。在公民进行电子信息的填报和存储时,对信息安全起不到足够的重视,如不注重个人电脑的病毒查杀和定期维护,浏览钓鱼网站使电脑被木马软件入侵等,这些行为都会导致公民的个人信息受到威胁。同时,在日常的信息数据处理时由于粗心大意,导致页面忘记关闭、密码没有遮挡等也都会泄露信息。2016年轰动一时的“高考志愿篡改”案的一部分原因就是由于部分考生未对初始密码进行修改,导致犯罪分子通过身份证信息来篡改这些考生的志愿,产生了极其恶劣的影响。
二、档案信息化的安全对策
1.建立规章制度,规范档案信息处理行为准则。为减少档案信息在传输和存储中的泄露风险,应建立严格行为准则来规范档案信息处理行为,可以借鉴《中华人民共和国计算机系统安全保护条例》和《中华人民共和国档案法》。明确每个人各个环节的责任,并采取责任倒追制度和第三方监督的制度来遏制内部数据泄露的情况。在进行电子档案归档的同时要进行纸质档案的备案,在关键的工作环节要进行摄像、录影对档案处理情况进行记录。同时,对扫描、复印、打印等行为要严格管理,需要第三方授权才可以进行档案数据的备录工作。此外,对进行档案传输存储的硬件设备要进行定期维护,聘请专业的维护机构,保证设备的有效性,在进行设备的更新换代时,要将其中的数据完全清理干净,防止档案被再次回收利用。
2.减少信息托管,定期更新系统。在管理档案时,重要的信息要尽量减少信息托管,如不得不采用信息托管的方式,要拟定较为严格的托管协议,明确双方责任。在平常的档案信息维护时,要及时更新防病毒系统,在大规模流行电脑病毒爆发的初期,要立即开展病毒防范工作,有技术能力自行处理的,要及时将防护系统布置全面,技术能力较为欠缺的委托专业机构来进行病毒防范工作。在已发生病毒入侵事件时,要及时做好事件记录并立即报警,切断数据传输,防止进一步的损失,同时建立完善的应急制度,在系统出现故障和入侵后采用传统的档案管理方式进行工作,保证日常工作可以顺利进行。
关键词:信息安全 网络 措施
一、信息安全的概念
目前,我国《计算机信息安全保护条例》的权威定义是:通过计算机技术和网络技术手段,使计算机系统的硬件、软件、数据库等受到保护,最大可能不因偶然的或恶意的因素而遭破坏、更改或泄密,系统能够正常运行,使用户获得对信息使用的安全感。信息安全的目的是保护信息处理系统中存储、处理的信息的安全,其基本属性有:完整性、可用性、保密性、可控性、可靠性。
二、计算机网络系统安全因素剖析
(一)来自计算机网络的病毒攻击
目前,计算机病毒的制造者大多利用Internet网络进行传播,所以广大用户很大可能要遭到病毒的攻击。病毒可能会感染大量的机器系统,也可能会大量占用网络带宽,阻塞正常流量,如:发送垃圾邮件的病毒,从而影响计算机网络的正常运行。
(二)软件本身的漏洞问题
任何软件都有漏洞,这是客观事实。就是美国微软公司,全球的软件霸主,也不例外。但是这些漏洞恰恰是非法用户窃取用户信息和破坏信息的主要途径。针对固有的安全漏洞进行攻击,主要有:①协议漏洞。利用POP3等协议的漏洞发动,获得系统管理员的特权;②缓冲区溢出。攻击者利用该漏洞发送超长的指令,超出缓冲区能处理的限度,造成系统运行的不稳定,使用户不能正常工作;③口令攻击。黑客通过破译,获得合法的口令,而入侵到系统中 。还有IP地址轰击等方法,不一一举例。
(三)来自竞争对手的破坏
俗话说:同行是冤家。有的企业利用不正当手段,对同行进行破坏。攻击对方的网站或篡改对方的信息,或在其他网站上散布谣言,破坏竞争对手的良好形象。有的轰击对方的IP地址,使对方的网站不能正常工作。
(四)用户使用不慎产生的后果
计算机管理人员平时工作马虎,不细心,没有形成规范的操作,也没有制定相应的规章制度。很多管理人员安全意识不强,将自己的生日或工号作为系统口令,或将单位的账号随意转借他人使用,从而造成信息的丢失或篡改。
三、网络信息安全的应对措施
(一)加强入网的访问控制
入网访问控制是网络的第一道关口,主要通过验证用户账号、口令等来控制用户的非法访问。对用户账号、口令应作严格的规定,如:口令和账号要尽可能地长,数字和字母混合,避免用生日、工号等常见的东西作口令,尽量复杂化,而且要定期更新,以防他人窃取。目前安全性较高的是USBKEY认证方法,这种方法采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾。USBKEY是一种USB接口的硬件设备,用户的密钥或数字证书无需存于内存,也无需通过网络传播。因此,大大增强了用户使用信息的安全性。
(二)加强病毒防范
为了能有效地预防病毒并清除病毒,必须建立起有效的病毒防范体系,这包括漏洞检测、病毒预防、病毒查杀、病毒隔离等措施,要建立病毒预警机制,以提高对病毒的反应速度,并有效加强对病毒的处理能力。主要从以下四个方面来阐述:
1.漏洞检测。主要是采用专业工具对系统进行漏洞检测,及时安装补丁程序,杜绝病毒发作的条件。
2.病毒预防。要从制度上堵塞漏洞,建立一套行之有效的制度;不要随意使用外来光盘、移动硬盘、U盘等存储设备。
3.病毒查杀。主要是对病毒实时检测,清除已知的病毒。要对病毒库及时更新,保证病毒库是最新的。这样,才可能查杀最新的病毒。
4.病毒隔离。主要是对不能杀掉的病毒进行隔离,以防病毒再次传播。
(三)进行数据加密传输
为防止信息泄漏,被竞争对手利用,可对传输数据进行加密,并以密文的形式传输。即使在传输过程中被截获,截获者没有相应的解密规则,也无法破译,从而保证信息传输中的安全性。比如:微软公司的Windows XP就有这样的数据加密功能。
(四)采用防火墙技术
应用过滤防火墙技术能实现对数据包的包头进行检查,根据其IP源地址和目标地址做出放行或丢弃决定,但对其携带的内容不作检查;应用防火墙技术能对数据包所携带的内容进行检查,但对数据包头无法检查。因此,综合采用包过滤防火墙技术和防火墙技术,既能实现对数据包头的检查,又能实现对其携带内容的检查。
(五)应建立严格的数据备份制度
一要重视数据备份的重要性,认为它很有意义,是一个必要的防范措施;二要严格执行数据备份制度。要定期或不定期备份,对重要数据要有多个备份。因为杀毒软件不是万能的,以防万一,很有必要建立数据备份制度。
(六)加强安全管理
安全管理对于计算机系统的安全以及可靠运行具有十分重要的作用。就目前而言,应做到以下几点:
1.树立守法观念,加强法制教育。有关计算机和网络的一些法律知识,要了解并熟悉,如:《中国信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等条例,培养良好的法律意识。
2.制定并严格执行各项安全管理规章制度。包括出入机房制度、机房卫生管理制度、在岗人员责任制、机房维护制度、应急预案等。
3.建立检查机制。定期或不定期地对计算机系统进行安全例行检查,要有记录,看落实情况,以免流于形式。
(七)培养用户的信息安全意识
关键词:经济信息安全 国家经济安全 信息化 法律保护
一、信息化挑战我国经济信息安全
与西方发达国家相比,我国的经济安全保障体系非常脆弱,对于经济信息安全的保护更是一片空白。国家经济数据的泄露,泄密案件的连续出现昭示着我国经济信息安全面临前所未有的严峻挑战。
(一)对经济信息的争夺日益加剧
经济竞争的白炽化与信息高速化在推动世界经济迅速发展的同时也使得业已存在的窃取经济信息活动更为猖獗,无论是官方的经济情报部门还是各大财团、公司都有自己的情报网络。世界各国在千方百计地保护本国经济信息安全的同时也在千方百计地获取他国的经济情报。目前我国正处于泄密高发期,其中通过计算机网络泄密发案数占泄密法案总数的70%以上,并呈现逐年增长的趋势;在商业活动中,商业间谍与经济信息泄密事件频繁发生,据业内人士透露泄密及损失最渗重的是金融业;其次是资源行业,大型并购很多,而十次并购里面九次会出现信息泄密事故;高科技、矿产等领域也非常严峻,很多行业在经济信息安全保护上都亮起了红灯。
(二)窃密技术先进,手段多样化
一方面,发达国家及其情报组织利用信息技术优势,不断监听监视我国经济情报,非法获取、篡改我国信息或传播虚假信息造成经济波动,以获取经济乃至政治上的收益;另一方面,除技术手段,他们还通过商业贿赂、资助学术研究、举办研讨会、派专人在合法范围内收集企业简报、股东报告甚至是废弃垃圾通过仔细研究,分析出有价情报等方式大量收集我国经济信息。正如哈佛大学肯尼迪政治学院的一位中国专家认为:“在中国,当前贿赂最主要的形式不再是支付现金,更多可能由公司付费途经洛杉矶或拉斯维加斯到公司总部考察。这种费用可以被看做是合法的营业支出,也可以为官员设立奖学金。”窃密技术日益先进与手段日趋多样化、合法化对我国经济安全,特别是经济信息的安全造成严重威胁。
(三)经济信息安全保密意识淡薄
近年来,每当政府机构公布国民经济运行数据前,一些境外媒体或境外研究机构总是能准确“预测”;许多重要的经济信息,包括经济数据、经济政策等伴随学术报告、会议研讨甚至是一句家常闲聊便被泄露出去;载有核心经济信息的移动存储介质被随意连接至互联网导致信息泄露等问题严重。有调查显示,我国有62%的企业承认出现过泄密现象;国有以及国有控股企业为商业秘密管理所设立专门机构的比例不到20%,未建立任何机构的比例高达36.5%;在私营企业中,这样的情况更加严峻。经济信息安全保密意识的薄弱已成为威胁我国经济安全,影响社会经济稳定发展的制约因素之一。
二、经济信息安全法律保护的缺失
安全的实质是一种可预期的利益,是法律所追求的价值主张。保障经济信息的安全是信息时代法律在经济活动中所追求的最重要的利益之一。法律保障经济信息安全,就要维护经济信息的保密性、完整性以及可控性,这是由信息安全的基本属性所决定的。然而,由于我国立法上的滞后,对经济信息安全的法律保护仍存在相当大的漏洞。
(一)缺乏对保密性的法律保护
保密性是指保证信息不会泄露给非授权者,并对需要保密的信息按照实际情况划分为不同等级,有针对性的采取不同力度的保护。现行《保密法》对于国家秘密的范围以及分级保护虽有相关规定,但其内容主要针对传统的国家安全,有关经济信息安全方面仅出现“国民经济和社会发展中的秘密事项”这样原则性的规定,对经济秘密的划定、保密范围和措施等缺乏相应条款;对于跨国公司或境外利益集团等窃取我国经济政策、产业关键数据等行为也缺乏法律上的界定,以至要追究法律责任却没有相应法律条款可适用的情况屡屡发生。
在涉及商业秘密的法律保护上,法律规定分散而缺乏可操作性,不同部门对商业秘密的定义不统一,商业秘密的概念模糊而混乱,弱化了商业秘密的保密性;①另一方面,与TRIPS协议第39条规定的“未披露的信息(undiscoveredinformation)”即“商业秘密”相比,我国《反不正当竞争法》要求商业秘密须具有秘密性、价值型、新颖性与实用性且经权利人采取保密措施,并将构成商业秘密的信息局限于技术信息和经营信息,这样的规定不以商业秘密在商业上使用和继续性使用为要件,使不具实用性却有重大价值或潜在经济价值的信息得不到保护,不利于经济信息的保密。此外,人才流动的加快也使商业秘密伴随着员工的“跳槽”而流失的可能性激增,但对商业秘密侵权威胁(ThreatenedMisappropriationofTradeSecrets)我国尚无没有明确法律依据;对于泄露或窃取他人商业秘密的行为,《刑法》第219条虽增加了刑事处罚,但处罚力度过轻而又缺乏处罚性赔偿规定,导致权利人的损失无法得到弥补。
(二)缺乏对完整性的法律保护
完整性是指信息在存储或传输过程中保持不被未授权的或非预期的操作修改和破坏,它要求保持信息的原始面貌,即信息的正确生成、正确存储和正确传输。目前,我国保障信息与信息系统完整性主要依靠《刑法》与《计算机信息系统安全保护条例》等法律法规,总体而言层级较低又缺乏统一性。《计算机信息系统安全保护条例》第4条规定了“计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全”,但在第23和25条却只规定对破坏和危害计算机信息系统安全造成财产损失的承担民事责任,并对个人处以5000元以下罚款,对单位处以15000元以下罚款的较轻处罚规定;现行《刑法》第285条也只规定入侵国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为构成非法侵入计算机信息系统罪。这就是说,行为人非法侵入包括经济信息系统在内的其他信息系统并不构成本罪。可见,法律对信息安全的保障依然侧重于政治、军事等传统安全领域,而忽略了对经济信息安全的保护。
【关键词】 电力施工 信息系统 安全
笔者就职于四川电力建设三公司(以下简称为“公司”),从事企业信息化管理工作。四川电力建设三公司是一家典型的电力施工企业,拥有众多的施工项目,分散在国内外各地。随着信息技术的飞速发展,公司也紧跟时代的脚步,开发并使用了一系列信息系统,包括公司OA办公系统、数据报表系统、人事管理系统、财务资金管理系统、资产管理系统、邮件系统等。由于公司是一家大型电力施工企业,主营业务为电源建设,项目投资金额大、项目周期长、生产环节繁杂、参与人员较多,因此信息系统的数据流链条较长、信息采集点较多,且包含大量公司商业秘密,信息系统的安全保障是公司异常关注的重点工作。本人在多年的工作实践中,积累了一定的信息系统保障工作经验,现对此项工作进行全面总结。信息系统安全保障工作,从宏观角度可以分为信息安全管理体系建设、信息安全组织与管理、信息安全法规与标准化工作、信息安全技术工程几个方面。
信息安全体系建设主要指信息安全管理体系ISMS的建立与运行。信息安全管理体系ISMS是目前国际上使用较广泛的信息安全管理方法,其认证标准对企业进行信息安全保障工作具有较强的指导意义。公司作为一家大型电力施工企业,未雨绸缪,在本世纪初就开始了相关的体系建设工作。信息安全管理体系ISMS的相关标准有ISO/IEC27001和GB/ T22080,主要有规划建立、实施运行、监视评审、保持改进四个过程。
1、在规划建立阶段,公司参照国际国内先进企业经验,确定了公司ISMS组织结构范围、业务范围、信息系统范围和物理范围,制订了ISMS方针,确定了风险评估方法。2、在实施运行阶段,公司制定了风险处理计划、实施风险处理计划、开发有效测量程序、实施培训和意识教育计划、管理ISMS运行。其中,工作重点是对具体风险的有效应对与控制。公司针对面临的各项风险制定了专门的风险管理计划,对每一项风险的处理优先顺序、处理措施、所需资源、责任人、验证方式进行了详细定义,确保风险管理的可执行性。3、在监视评审阶段,公司通过日常监视与检查、内部审核、风险评估、管理评审等活动确保整体监控水平。4、保持改进阶段,公司主要活动为实施纠正和预防措施,消除各个管理不符合项,确保在发生信息安全事件时,能够从容应对、科学分析,并采取最优的处理措施。
信息安全组织与管理是对公司信息系统参与者的针对性管理,主要分为内部组织管理与外部管理两个方面。其中,内部组织管理是该项工作的核心。公司的信息系统由于信息采集点较为分散,信息传送路径较长,因此信息安全的潜在威胁也较大。如何保证信息系统中大量的商业秘密数据不被泄漏、不被窃取、不被篡改,是公司信息安全组织管理的核心目标。为此,公司进行了业务梳理,将各项数据的报送流程进行了明确规定,将数据的处理权限同公司组织架构有效结合、综合考虑,做好了合理分配。比如,工程进度报表,就被限定了填报人员为各项目部工程部进度管理专责人员,审核者被限定为各项目部工程部经理,签发者为各项目部项目经理,汇总者为公司总部工程管理专责。这样,不管具体人员如何变动,信息处理参与者都只与限定的岗位有关联,确保了数据信息的保密性、可用性和有效性。信息安全法规与标准化工作对于信息系统安全保障具有较大的指导意义。只有严格遵从国家信息安全法律法规、行业规定及相关标准,才能确保企业信息安全保障工作有法可依、有章可循。我国相关的法律法规有《中华人民共和国保守国家秘密法》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《信息安全等级保护管理办法》、《计算机信息系统国际互联网保密管理规定》、《计算机病毒防治管理办法》、《电子签名法》等。我国制定的信息安全相关标准有GB 17859-1999《计算机信息系统安全保护等级划分准则》、GB/T 25058-2010《信息系统安全等级保护实施指南》、GB/ T 20269-2006《信息系统安全管理要求》、GB/T 21052-2007《信息系统物理安全技术要求》等。这些标准从工作、管理、技术方面对企业信息安全保护活动进行了标准化约束,为公司进行信息系统安全保护工作提供了文件支持。
一、搞好信息安全防护是确保国家安全的重要前提
众所周知,未来信息化战争将在陆、海、空、天、电多维空间展开,网络空间的争夺尤其激烈。如果信息安全防护工作跟不上,在战争中就可能造成信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是赢得未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。据有关报道披露,海湾战争前,美国特工曾在伊拉克从法国购买的打印机的引导程序中预埋了病毒,海湾战争一开始,美国就通过卫星激活病毒,导致后来伊军防空指挥通信系统陷入瘫痪。战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。根据美国加利弗尼亚州银行协会的一份报告,如果该银行的数据库系统遭到网络“黑客”的破坏,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于6月讨论通过的《国家信息安全学说》,首次把信息安全正式作为一种战略问题加以考虑,并从理论上和实践上加强准备。
二、我国信息安全面临的形势十分严峻
信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。而令人担忧的是,由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防”的状态下,国防信息安全的形势十分严峻。具体体现在以下几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖进口,大量进口的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。
三、积极采取措施加强信息安全防护
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
第一,要加强宣传教育,切实增强全民的国防信息安全意识。在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责任,一方面要经常分析新形势下信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
第二,要建立完备的信息安全法律法规。信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上取决于技术的完善,这些技术包括访问控制、防火墙技术、身份认证与权限管理、入侵检测、防病毒等等。
1.防火墙技术。防火墙是最重要的安全技术,它的主要功能是加强网络之间的访问控制,是一个安全策略的检查站,对网络攻击进行检测和警告。
2.加密技术。它的主要任务是研究计算机系统和通信网络内信息的保护方法,以实现系统内信息的安全、保密、真实和完整。
3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整、不可否认服务中都要用到数字签名技术。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。
二、电子商务网络信息安全的应对措施
网络信息安全关系到我们每个人的切身利益,研发出真正安全可靠的网络信息安全产品对保障国家的信息安全、金融安全甚至国家安全都具有十分重要的意义。有人说“三分技术,七分管理”反映了网络信息安全技术的两个方面:一是技术问题,二是管理问题。那么,未来网络信息安全就应从政府、网络软件企业、核心用户、资本、技术、人才等各个方面入手。
1.提高对网络信息安全重要性的认识。信息技术的发展,使网络逐渐渗透到社会的各个领域,在未来的军事和经济竞争与对抗中,因网络的崩溃而促成全部或局部的失败,绝非不可能。我们在思想上要把信息资源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。
2.加强网络安全管理。我国网络安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构。对于计算机网络使用单位,要严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》,建立本单位、本部门、本系统的组织领导管理机构,明确领导及工作人员责任,制定管理岗位责任制及有关措施,严格内部安全管理机制。
3.加快网络安全专业人才的培养。我国需要大批信息安全人才来适应新的网络安全保护形势。高素质的人才只有在高水平的研究教育环境中才能迅速成长,只有在高素质的队伍保障中才能不断提高。应该加大对有良好基础的科研教育基地的支持和投入,多出人才,多出成果。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。要加强对内部人员的网络安全培训,防止堡垒从内部攻破。
4.开展网络安全立法和执法。一是要加快立法进程,健全法律体系;二是要执法必严,违法必纠。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度,提高执法的效率和质量。
5.把好网络建设立项关。我国网络建设立项时的安全评估工作没有得到应有的重视,这为网络安全问题埋下了伏笔。在对网络的开放性、适应性、成熟性、先进性、灵活性、易操作性、可扩充性综合把关的同时,在立项时更应注重对网络可靠性、安全性的评估,力争将安全隐患杜绝于立项、决策阶段。
6.抓紧网络安全基础设施建设。一个网络信息系统,只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的,就没有安全可言,这正是我国网络信息安全致命的弱点。
7.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使网络经营陷于困境,这就必须建立网络风险防范机制。
8.强化网络技术创新。如果在基础硬件、芯片方面不能自主,将严重影响我们对信息安全的监控。为了建立起我国自主的信息安全技术体系,利用好国内外两个资源,需要以我为主,统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。
9.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。
10.促进网络安全产业的发展。扶持具有中国特色的信息安全产业的发展是振兴民族信息产业的一个切入点,也是维护网络安全的必要对策。
【关键词】军人信息;法律保护;问题
军人信息是指以一定形式存在的、与军人个人存在关联并能够识别特定军人个人的信息总和。如姓名、性别、出生年月、民族、身份证号码、户籍、遗传特征、指纹、婚姻、教育、家庭、医疗、电话、电子邮件等联系方式以及人际关系,职业、职务、军衔、单位名称(部队番号)等。
一、军人信息保护失范问题突出
(1)个别军人缺乏保密意识非法披露军人信息。实现军队系统信息的共享,有效利用信息资源,是推进我国军队革命化现代化正规化建设的一大动力。在军内,广大官兵战士的许多个人信息几乎是完全公开的,以便军事机关进行统一管理和正当运用。保有军人信息的机关在对军人信息进行管理的过程中,个别军官为满足私欲而非法将战士的个人信息非法利用,信息安全难以保障。(2)在正常的社会交往过程中,普通公民或单位对军人信息的不当或非法侵害。这种侵害主要包括两个方面:一是普通公民对军人信息权的直接侵害。即侵害人直接非法盗窃、滥用,转卖军人信息;二是普通公民或单位间接侵害军人由其军人信息产生的权益。比如军人在办理民用驾驶执照,信用卡等手续时,往往因自己的军人信息的敏感性而被运营商拒之门外。(3)部队在正常的交往中对官兵信息的无意泄露。部队对官兵信息的无意泄露主要有两种:一是军人信息在军地流动中被无意泄露。二是军人信息跨国流动中被无意泄露。在国际社会,军人信息流动是开展国际军事交流的基础,没有自由的信息流动,国际军事交往与合作无从谈起。部队在开展军事交流时往往比较尴尬。既要交流信息,表明诚意,又要面临信息泄露的危险。
二、法律保护军人信息正常流动面临的问题明显
(1)以保密为导向的信息保护,在一定程度上限制军人信息的正常流动。军人信息法律保护的目的之一在于保障军人权利的正常行使,法律在防止军人信息泄露的同时,却给军人以无形压力。我军颁布的《内务条令》第135条明确规定,军人“不得在国际互联网上开设网站、网页、博客、论坛”。法律为降低军人信息被泄露的可能性,对其进行规制,已经限制了军人的某些自由和权利的正常发展。另外,普通公民也迫于军人信息的保密性而避而远之。(2)法律规范军人信息流动缺乏必要的分类。哪些信息可以共享,哪些信息禁止共享,这是军人信息法律保护所面临的问题。在我国,军人信息的分类规范研究还基本是空白,制定什么层次,什么位阶的法律还是个未知数。当前,有关军事信息安全的法律法规主要散见于《刑法》、《国家安全法》、《保密法》、《中国人民保密条例》、《计算机信息系统安全保护条例》等法律法规中。缺乏分类容易造成保护层次混乱,保护对象不明确等严重问题。(3)从保护程序上看,军人信息的分类审查规范缺乏。军人信息流动中,往往会涉及到军人信息的公开。为确保其正常流动,需要严格的保密审查。审查的目的应具备双重标准,不仅具有维护“保密性”的标准,还应就损害军人利益的信息公开予以保护。这是一个难以调和的矛盾。另外,关于审查权的行使主体该由谁来承担的问题,究竟把审查权赋予保有军人信息的主管部门(包括军队机关和商业机构),还是赋予保密工作主管部门,这在我国法律条文中并未明确,如果审查权交由保有个人信息的主管部门,那么很有可能迫于利益的驱使而发生倒卖军人信息的行为。如果审查权交由保密工作主管部门,保密工作主管部门不仅承担国防科技信息的保密工作,还承担着这类信息传递过程中的泄露与追综,任务繁忙,工作量大,审查权交由其则会加重保密工作主管部门的负担。
三、军人信息保护的立法取向
信息资源共享与信息安全天生是一对矛盾,这一矛盾在新的社会条件下表现的更加明显:若实行以保护军人私人权利为导向对军人信息进行法律保护,这将有利于军人信息在对内对外交往中的正常流动,有利于军人越来越多地融入和享受现代文明成果,但是随着网络技术不断发展,军人信息安全也面临前所未有的挑战,军人信息失范变得严重;若实行以保密为导向对军人信息进行法律保护,重视信息安全为立法价值,有利于维护军事信息安全和国防安全,但军人的私人权利就不一定能得到合理的保障,保密信息过多过泛,使军人压力大,不利于军人信息的正常流动。因此,法律在保护军人信息时,其立法目的应当是:一方面需要维护军人信息安全,保护军人信息权利;另一方面又不能阻碍军人在交往中正常的信息流动,阻碍军队的发展和进步。军人信息安全与军人信息流动的良性平衡是军人信息法律保护的基础,但是这种良性平衡又容易被打破,当军人信息安全和军人信息流动发生冲突时,特别是在战时,军人信息安全必须优于军人信息的正常流动,这是由国家利益高于个人利益所决定的。
在人员使用通信技术的同时,我们不能不谈及它在建设中遇到的一些问题,这些问题都是限制网络发展的重要因素,只有完善了这些任务,才能将通信工程建设的更加人性化。
(一)通信工程中信号不稳定的现象
通信工程中的线路已经敷设的很密集,普及程度也是相当高的,但是信号不稳定的现象迟迟未能解决。在信号在传输过程中会遇到很多的阻碍,这里包括主观原因也有客观因素。其中电缆线路过长是一项很大的原因。在最早建设当中,为考虑到成本,减少了很多的中转信号接收台,代替的是将电缆线距离拉长,在很多恶劣的天气中,天气的变化都会影响信号的传输。在高温和低温的天气,电缆会受到不同温度的考验,对电缆外的保护层伤害极其严重,导致电缆线内部发热不均,使得电缆线出现了变形,这就和当初设计的传输数据量出现了偏差。另外空气中的颗粒会进入缆线内部,使得导线导电,消耗大量的能量,附着在缆线表面保护电缆的氧化层被破坏,严重的影响了信号的传输。上述是一些客观的因素,主观因素有认为的破坏,在较长的缆线铺设中,存在保护不得当的地方,这里就很容易受到认为的破坏,一些人会故意将电缆用利器划破导致内部信号传送受到影响。此外,电缆敷设人员在电缆的用料上没有按照规定使用,使用的线不符合标准。以上这些因素都有可能导致信号产生很大的影响,严重是还会使得整条通信线路瘫痪无法运行。
(二)通信工程在很多装置、技术上的落后
在有些通信工程建设中出现了一家独大的现象,在很多的建设中出现了垄断的状况。这就让通信技术在没有得到合理竞争的情况下没有好的发展势头。具体表现为安装的设备陈旧,无法应付当下人们对通信技术的要求。再就是通信技术没有更新换代,一直沿用很老的技术手段,开发的软件很大的程度上只是为了得到商业利益,没有顾及到用户的切身需要。在通信和电子商务系统上,没有将源代码的数据换代,而且缺少了很多的信息模块。在信号的传输中,极易产生丢失数据的现象。
(三)通信工程中用户信息得不到安全保护
信息安全的问题一直是人们关注的话题,人们日益对隐私的保护意识加强。但是现如今的网络技术在一定程度上很难保证用户的信息安全。在网络信息的建设中,缺少信息安全的监管,对于信息安全没有出台相关的保护条例。用户的信息得不到保障很容易受到不法分子后台的操控。企业的信息一旦被泄露,带来的危害将是更为巨大的,这也不得不引起人们的广泛重视。
二、采取相应的措施解决通信工程中遇到的问题
通信工程在建设中必须明确发展的方向和目标,加强市场的竞争力和可持续发展战略是最为关键的问题。在不断运用通信工程技术的同时,存在很多的问题,有些问题已然成为了社会风险,在这里,我们就必须提出相应的解决方法来应对这样的突况,这才能合理的完善提高信息技术水平。
(一)解决信号不稳的问题
信号不稳的内在原因是电缆中出现的问题,我们提出的方案是在电缆敷设中,增加信号接收点的数量。在设计初期这样的预案可能会涉及到提高造价的问题,但是就长远发展来看,这一举措可以有效的减少维修和养护方面的开支,综合起来看,在资金的支出上大体相同。此外,还要改善电缆的材质,选用较为密闭的材料,以及选择对导电金属起到有效保护的材料。在管理方面,加强对电缆线路的监管力度,加大对破坏电缆的惩处力度,坚决杜绝铺设电缆电缆员工偷工减料的现象发生,这样在一地程度上会提高信号的强度和稳定。
(二)提升信息技术水平
将现有的垄断机制改为开放式,在行业内部有竞争,在产品的开发和使用上又一定的对比性,不断的鼓励企业或者个人开发新型软件,使用更加贴近通信工程建设的系统。提升工作人员的技术素质,引进国外的先进信息技术,不断的学习和提高。
(三)完善通信安全体制
建立相对完善的安全信息监管体制,政府出台保障人民信息安全的法案。在通信建设上,严格控制信息传送中的安全,通过新型软件,查找偷取信息的源头。在系统中,增加信息密码的加密工作,这样可以让不法分子无机可寻。
三、结语
内容摘要:电子公文是通过网络传送的。用于政府机关相互之间联系事务的专用电子文件,其传送和接收是在高度自由的网络环境中进行的,自然会涉及到信息遗漏、电脑病毒以及黑客等安全问题。为此,有必要建立包括密钥使用规范、数字签名制度、政府证书管理制度等相关法律制度,以确保电子公文系统安全有效地运作。
关键词:电子公文电子政务互联网
一、子公文及其特点
电子公文是指以电子形式表现的并通过网络传送的,用于政府机关相互之间联系事务的专用文件。电子公文的特点是基于电脑和互联网联网的特性而产生的,因为电子公文的制作、发送及接收都需要通过电脑和互联网这两种媒介来进行。首先是电脑,它的最大作用是将政府公文中所有具体的信息都进行了数字化的改变,这里所说的数字化是指电脑将输入的具体信息以“1”和“0”来进行存储和运作,这不像传统的政府公文是以具体的书面形式来表示的。其次是互联网,互联网将电脑里的数字化信息在各个政府机关之间迅速地传送。互联网本身有其特殊性,即公开性和全球性。所谓公开性是指任何人都可以自由地进出互联网,而全球性是指信息在互联网上的传递是没有边界障碍的。根据上述分析,较之传统的政府公文,电子公文有以下几个方面的特点:
(1)电子公文是一种数字化的、虚拟化的文件形式;(2)电子公文的传送是在公开环境下,通过互联网进行的;(3)电子公文的传送可以在各个地区、国家乃至全球范围内的政府之间进行;(4)电子公文的广泛应用能够极大地提高政府的办事效率。
显然,信息技术的发展给政府机构带来了一场深刻的变革。传统的公文传送方式使政府机构背负着沉重的时间负担和经济负担。传统公文在这一场变革中受到了电子公文这一新生事物的强有力的冲击。电子公文的制作、发送和接收可以突破时间和空间的限制,给人们以快速和便捷。可是电子公文毕竟是近年来才开始出现的新生事物,很多技术上的问题还有待解决。特别是,由于电子公文刚刚开始启用,有关电子公文的法律纷争还颇为鲜见。就世界范围来说,还没有专门的法律规范,也无强制性的原则可以遵循。可以说,其中还有很多值得研究的问题摆在我们的面前。
二、电子公文应用中存在的安全问题
目前,电子公文应用中出现的安全问题主要有:
1.黑客问题。黑客入侵网站的消息在近年被频频报道。以前黑客们往往挑选美国国防部和雅虎这些安全防范体系堪称一流的硬骨头啃。而随着各种应用工具的传播,黑客已经大众化了,不像过去那样非电脑高手不能成为黑客。如果安全体系不过硬的话,黑客便可以肆意截留、毁灭、修改或伪造电子公文,给政府部门带来混乱。
2.电脑病毒问题。自电脑病毒问世几十年来,各种新型病毒及其变种迅速增加,而互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径。试想一个完整的电子政府体系中某个环节受到病毒感染而又没有被及时发现,电子公文系统全面瘫痪,那将会产生怎样的后果?病毒的感染会使一些电子公文毁灭或送达延误,整个电子政府将会指挥失灵、机构运作不畅。
3.信息泄漏问题。目前,各大软件公司生成的网管软件使网络管理员拥有至高无上的权利,可以方便地对网上每个政府用户的各种使用情况进行详细的监测。此外,网络中存在不少木马程序,如果使用不慎,就会把公文中的重要信息泄漏给他人。而某些大公司生产的软件或硬件产品所带的后门程序更可以使这些公司对政府用户在网上的所作所为了如指掌。对政府而言,信息泄漏将会给其工作带来麻烦,甚至会危及到国家的政治、经济及国防利益,有关的政府工作人员会因此被追究法律责任,这是绝对不能接受的。而对这些大公司的法律管制,对于在信息产业中处于弱势地位的国家来说是根本无法解决的难题,但光靠处于优势地位的国家也是不行的,必须在国际范围内形成管制的合力。
三、电子公文安全体系法律制度建构
1.科学的密钥使用制度规范。密钥是一种信息安全技术,又称加密技术,该技术被广泛应用于电子商务和电子政务中。它包括两种技术类型,即秘密密钥加密技术和公开密钥加密技术。其中秘密密钥加密技术又称对称加密技术。倘利用此技术,电子公文的加密和解密将使用一个相同的秘密密钥,也叫会话密钥,并且其算法是公开的。接收方在得到发送的加密公文后需要用发送方秘密密钥解密公文。如果进行公文往来的两个政府能够确保秘密密钥交换阶段未曾泄漏,那幺,公文的机密性和完整性是可以保证的。这种加密算法的计算速度快,已被广泛地应用于电子商务活动过程中。公开密钥加密技术又称为非对称加密技术。这一技术需要两个密钥,即公开密钥和私有密钥。私有密钥只能由生成密钥对的一方政府掌握,而公开密钥却可以公开。用公开密钥对公文进行加密,只有用对应的私有密钥才能解密。用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。此二种技术相比,显然第二种技术的安全系数更大一些,但这种技术算法速度较慢。我们可以根据各种公文的秘密等级,采用不同的加密技术。对于一般的公文往来数量大且频繁,不宜采用非对称加密技术,还有秘密等级较低的公文亦可采用对称加密技术。而对那些重大的通知及秘密等级较高的公文则必须采用非对称加密技术。凡违反上述技术性规范的要求造成公文泄密或是公文的完整性受到损害的,需追究其法律责任。
2.完善的政府证书管理制度。公文传送过程中数据的保密性通过加密和数字签名得到了保证,但每个用户都有一个甚至两个密钥对,不同的用户之间要用公开密钥体系来传送公文,必须先知道对方的公开密钥。公文传送中有可能发生以下情况:用户从公钥簿中查到的不是对方的公钥,而是某个攻击者冒充对方的假冒公钥;或者公文互换的双方在通讯前互换公钥时,被夹在中间的第三者暗中改变。这样的加密或签名就失去了安全性。为了防范上述风险,我们可以仿效电子商务中的做法,引入数据化证书和证书管理机构,建立完善的政府证书管理制度。这里所说的证书是指一份特殊文档,它记录了各政府机关的公开密钥和相关的信息以及证书管理机构的数字签名。证书的管理机构是个深受大家信任的第三方机构。考虑到电子政务的特殊性,电子政务系统中的根目录证书管理机构最好由一国的最高政策机关设立的专门机构出任,其它各级目录分别由地方各级政府设立的专门机构去管理。在我国,根目录的管理工作可由国务院信息办来承担,其它各级目录分别由地方各级人民政府设立的专门机构进行管理。各政府机关须向相应的证书管理机构提交自己的公开密钥和其它代表自己法律地位的信息,证书管理机构在验证之后,向其颁发一个经过证书管理机构私有密钥签名的证书。政府出面作为证书的管理机构,其颁发的证书信用度极高。这样一来将使电子公文的发送方和接收方都相信可以互相交换证书来得到对方的公钥,自己所得到的公钥是真实的。显然,电子公文系统的安全有效运转离不开完善的政府证书管理制度的确立。
3.有效的数字签名制度。在电子公文的传送过程中可能出现下列问题:(1)假冒,第三方丙有可能假冒甲机关给乙机关发送虚假公文;(2)否认,甲机关可能否认向乙机关发送过公文;(3)伪造,乙机关工作人员可能伪造或修改从甲机关发来的消息,以对自己有利。这些问题要靠数字签名来解决。数字签名在电子公文传送中的应用过程是这样的:公文的发送方将公文文本带入到哈希函数生成一个消息摘要。消息摘要代表着文件的特征,其值将随着文件的变化而变化。也就是说,不同的公文将得到不同的消息摘要。哈希函数对于发送数据的双方都是公开的。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为公文附件和公文一起发送到该公文的接收方。公文的接收方首先从接收到的原始公文中计算出消息摘要,接着再用发送方的公开密钥来对公文的附加的数字签名进行解密。如果两个消息摘要相同,那幺接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始公文的鉴别和不可抵赖性。目前数字签名在电子商务中已得到了广泛的应用,日本等国政府已通过专门的立法对数字签名的法律效力予以确认。在电子公文传送中引入数字签名也是必然的选择,只是我们要从法律上确认数字签名的效力,建立相应的制度规范,努力设法从技术和制度规范入手不断提高安全系数。以数字签名只有相对的安全性来作为反对其应具有法律效力的理由是站不住脚的,因为任何所谓安全保障都是相对的,橡皮图章就经常被不法之徒伪造。