前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的企业网络管理办法主题范文,仅供参考,欢迎阅读并收藏。
关键词:信息化;网络安全;企业;解决方案
0 引言
现代企业信息化网络是基于内部传输网和Internet网络的互联网络,由于公众网络是一个相对开放的平台,网络接入比较复杂,挂接的相关点比较多,网络一旦接入公众网络,对于一些网络安全比较敏感的数据,传输的安全性就比较弱,比较危险。本文将重点分析企业网络系统安全性方面以及业务系统安全性方面存在的问题。
1 企业信息化网络存在的安全隐患
1.1 Windows系统的安全隐患
Windows的安全机制不是外加的,而是建立在操作系统内部的,可以通过一定的系统参数、权限等设置使文件和其他资源免受不良用户的威胁(破坏、非法的编辑等等)。例如设置系统时钟,对用户账号、用户权限及资源权限的合理分配等。
由于Windows系统的复杂性,以及系统的生存周期比较短,系统中存在大量已知和未知的漏洞。一些国际上的安全组织已经公示了大量的安全漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。例如,Windows所采用的存储数据库和加密机制可导致一系列安全隐患:NT把用户信息和加密口令保存于NTRegistry的SAM文件即安全账户管理(securityAccounts Management)数据库中,由于采用的算法的原因,NT口令比较脆弱,容易被破译。能解码SAM数据库并能破解口令的工具有:PWDump和NTCrack。这些工具可以很容易在Internet上得到。黑客可以利用这些工具发现漏洞而破译―个或多个DomainAdministrator帐户的口令,并且对NT域中所有主机进行破坏活动。
1.2 路由和交换设备的安全隐患
路由器是企业网络的核心部件,它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令。一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外,路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备的目的。
1.3 数据库系统的安全隐患
一般的现代化企业信息系统包含着多套数据库系统。数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题,在数据库技术诞生之后就一直存在,并随着数据库技术的发展而不断深化。如何保证和加强数据库系统的安全性和保密性对于企业的正常、安全运行至关重要。
我们将企业数据库系统分成两个部分:一部分是数据库,按照一定的方式存取各业务数据。一部分是数据库管理系统(DBMS),它为用户及应用程序提供数据访问,同时对数据库进行管理,维护等多种功能。
数据库系统的安全隐患有如下特点:涉及到信息在不同程度上的安全,即客体具有层次性和多项性;在DBMS中受到保护的客体可能是复杂的逻辑结构,若干复杂的逻辑结构可能映射到同一物理数据客体上,即客体逻辑结构与物理结构的分离;客体之间的信息相关性较大,应该考虑对特殊推理攻击的防范。
2 企业信息化网络安全策略的体系
网络安全策略为网络安全提供管理指导和支持。企业应该制定一套清晰的指导方针,并通过在组织内对网络安全策略的和保持来证明对网络安全的支持与承诺。
2.1 安全策略系列文档结构
(1)最高方针
最高方针,属于纲领性的安全策略主文档,陈述本策略的目的、适用范围、网络安全的管理意图、支持目标以及指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。安全策略的其他部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。
(2)技术规范和标准
技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序应遵守的安全配置和管理技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。它向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。
(3)管理制度和规定
管理制度和规定包括各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,必须具有可操作性,而且必须得到有效推行和实施。它向上遵照最高方针,向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法,不与之发生违背。
(4)组织机构和人员职责
安全管理组织机构和人员的安全职责,包括安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任。作为机构和员工工作时的具体职责依照,此部分必须具有可操作性,而目必须得到有效推行和实施。
(5)用户协议
用户签署的文档和协议,包括安全管理人员、网络和系统管理员安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中遵守安全规定的承诺,也作为违背安全时处罚的依据。
2.2 策略体系的建立
目前的企业普遍缺乏完整的安全策略体系,没有将政府高层对于网络安全的重视体现在正式的、成文的、可操作的策略和规定上。企业应当建立策略体系,制定安全策略系列文档。建议按照上面所描述的策略文档结构,建立起安全策略文档体系。
建议策略编制原则为建立一个统一的、体系完整的企业安全策略体系,内容覆盖企业中的所有网络、部门、人员、地点和分支机构。鉴于企业中的各个机构业务情况和网络现状差别很大,因此在整体的策略框架和体系下,允许各个机构根据各自情况,对策略体系中的管理制度、操作流程、用户协议、组织和人员职责进行细化。但细化后的策略文档必须依照企业统一制定的策略文档中的规定,不允许发生违背和矛盾,其要求的安全程度只能持平或提高,不允许下降。
2.3 策略的有效和执行
安全策略系列文档制定后,必须和有效执行。和执行过程中除了要得到企业高层领导的大力支持和推动外,还必须要有合适的、可行的和推动手段,同时在和执行前对每个本员要进行与其相关部分的充分培训,保证每个人员都了解与其相关部分的内容。必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到企业许多部门和绝大多数人,可能需要改变工作方式和流程,所以推行起
来阻力会相当大;同时安全策略本身存在的缺陷,包括不切实际的、太过复杂和繁琐的、规定有缺欠的情况等,都会导致整体策略难以落实。
3 企业信息化网络安全技术总体解决方案
参考以上所论述的,结合现有网络安全核心技术,本文认为,企业信息化网络总体的安全技术解决方案将围绕着企业信息化网络的物理层、网络层、系统层、应用层和安全服务层搭建整体的解决方案,企业信息化网络建设将着重从边界防护、系统加固、认证授权、数据加密、集中管理五个方面进行,在企业信息化网络中重点部署防火墙、入侵检测、漏洞扫描、网络防病毒、VPN五大子系统,并通过统一的平台进行集中管理,从而实现企业信息化网络安全既定的目标。
3.1 防火墙系统的引入
通过防火墙系统的引入,利用防火墙“边界隔离+访问控制”的功能,实现对进出企业网的访问控制,特别是针对内网服务器资源的访问,进行重点监控,可以提高企业网的网络层面安全。防火墙子系统能够与入侵检测子系统进行联动,当入侵检测系统对网络中的数据包进行细粒度检测,发现异常,并通知防火墙时,防火墙会自动生成安全策略,将访问源阻断在防火墙之外。
3.2 入侵检测子系统的引入
入侵检测系统用于实时检测针对重要网络资源的网络攻击行为,它会对企业网内异常的访问及数据包发出报警,以便企业的网络管理人员及时采取有效的措施,防范重要的信息资产遭到破坏。同时,可在入侵检测探测器与防火墙之间建立互动响应体系,当探测器检测到攻击行为时,向防火墙发出指令,防火墙根据入侵检测系统上报的信息,自动生成动态规则,对发出异常访问及数据包的源地址给予阻断。入侵检测和防火墙相互配合,能够共同提高企业网整体网络层面的安全性,两个系统共同构成了企业网的边界防护体系。
3.3 网络防病毒子系统的引入
防病毒子系统用于实时查杀各种网络病毒,可防范企业网遭到病毒的侵害。企业应在内部部署网关级、服务器级、邮件级,以及个人主机级的病毒防护。从整体上提高系统的容灾能力,提升企业网整体网络层面的安全性。
3.4 漏洞扫描子系统的引入
漏洞扫描子系统能定期分析网络系统存在的安全隐患,把隐患消灭在萌牙状态。针对企业网络中存在众多类型的操作系统、数据库系统,运行着营销系统、财务系统、客户信息系统、人力资源系统等重要的应用,如何确保各类应用系统的稳定和众多信息资产的安全,是企业信息化网络中需要重点关注的问题。通过漏洞扫描子系统对操作系统、数据库、网络设备的扫描,定期提交漏洞及弱点报告,可大大提高企业网整体系统层面的安全性。该系统与病毒防范系统一起构成了企业网的系统加固平台。
3.5 数据加密子系统的引入
通过对企业网重要数据的加密,确保数据在网络中以密文的方式被传递,可以有效防范攻击者通过侦听网络上传输的数据,窃取企业的重要数据,或以此为基础实施进一步的攻击,从而提高了企业网整体应用层面的安全性。
【关键词】隐患 黑客入侵 防范措施 管理制度
【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2013)01―0413―01
随着经济的迅速发展,计算机网络技术的发展和互联网应用的日益广泛,它在社会发展中扮演着非常重要的角色。网络在提高宣钢办公自动化效率的同时,给我们的生活带来许多便利,也对企业信息系统的安全造成了威胁。网络环境下,宣钢信息系统面临着来自物理因素、网络共享和人文环境等三个方面的安全隐患,形势严峻。宣钢信息安全隐患的防范是一个全方位的工作,需要运用技术、管理和法律三大手段,建立一个综合性的防御安全体系,最大限度地降低企业信息有可能遭受的安全隐患。作为宣钢网络运维管理人员从体系管理的高度完善网络管理办法,规范化网络信息安全措施也自然成为了当务之急。
一、宣钢内网安全常见隐患
1、病毒侵害较多。
计算机病毒是威胁宣钢内部网络频率最高、影响最广、导致信息损失最严重的问题,列在所有安全威胁中的首位。病毒通过网页、电子邮件、可移动媒体、系统漏洞等方式传播。在企业网络中,如果一台计算机感染了病毒,在很短的时间内就可感染内网所有的计算机网络连接系统。病毒感染可导致网络的堵塞、系统数据和文件系统的损坏。如果数据的累积是多年的,那么损失是灾难性的。
2、宣钢内部操作系统存在漏洞。
目前,许多企业的网络操作系统存在各种类型的安全漏洞。有许多新的病毒,或是已知的病毒,仍然可以被利用来传播病毒的变种。因此,如果企业内部缺乏一个完善的补丁管理系统,将反复导致很多内网的计算机,即使安装最新的反病毒软件,仍然可以感染病毒和木马。
3、企业黑客入侵。
企业黑客入侵常分为四类:入侵、拒绝服务、信息盗窃、欺骗黑客入侵。黑客利用非法行为访问内部网络,删除、复制或销毁数据。对于使用传统安全措施的企业网络,其网络安全环境是脆弱的,严重的情形可能会被窃取企业机密。
二、宣钢内网安全原因分析
1、相对简单的防范措施。
不同的网络环境需要不同的安全防范措施。然而,由于传统防治技术的制约,许多企业没有采取防范措施来维护内网环境,在部署大量防火墙、IDS入侵检测系统和防护装备的同时,却忽视了安全管理的内部制度。在实践中,很多企业网络环境应用默认的安全策略常常被忽视。
2、网络安全管理制度不完善。
宣钢内网是一个特殊的网络,网络的不断扩大使其更加难以控制。虽然各二级厂已建立了相应的内部网络安全管理制度,但经常是不完整或不全面的,不能有效地规范和约束有些员工的上网行为。
3、宣钢网络安全管理员技能不足。
在思想方面,许多管理员认为只要网络不瘫痪,其他都不会有问题;在技术方面,由于管理员的惰性,遇到问题的处理方式就只是重新安装系统;在管理方面,管理员只依赖于单一的工具,就是网络维护。
安全技术知识和概念的缺乏使得宣钢内部网络的管理和监测计划缺乏系统监管机制,也没有主动行为,很难形成积极的反馈机制,这将导致宣钢网络的安全风险不容易被发现。
三、宣钢内网安全建设的解决方案
1.建立多层次病毒防护体系。
传播计算机病毒和形式日趋多样化,因此内网的防病毒工作已不再是单纯一台计算机病毒的检测和清除,必须在内网建立一个多层次、立体的病毒防护体系,但也应设立最好的管理制度,建立和维护病毒防护策略。内部网络病毒防护系统包括客户端的防病毒安全系统,和服务器的防病毒安全系统。服务器又分为文件服务器、数据库服务器,以及其他应用级服务器的全面防护,是确保整个内部网络不被计算机病毒感染的有效方式。目前计检中心已经搭建了最新版的趋势服务器,对工业网以及办公网进行了全局部署很好的控制了病毒的爆发。
2.建立备份和恢复机制。
引人数据库备份概念,如磁带库和备份系统、远程数据、连续备份、智能恢复、实时监控和统计、数据定期自动存储备份,完全摆脱了人为干预,以避免由于硬件故障、人为错误、病毒和其他各种因素造成的数据丢失。建立数据备份和恢复机制,虽然平时不能够看到效果,但一旦数据遭受损害或遗失,将使宣钢的损失最小化。
3、建立网络安全管理制度。
(1)在计算机网络安全管理中,发展绝对安全和健全的安全管理体系是计算机网络安全的重要保证,不但要注重技术手段的保障,更要注重管理人员的职业操守,尽一切可能控制和减少违法违规行为,最大限度地减少不安全因素。以网络安全管理负责人任期与职责分离的原则为指导,严格执行操作规程,并制定相关方案。
(2)完善相应的法律规章制度。在技术上做到防止其信息安全可能发生的同时,也应该在管理上做出相应的对策,对其建立完整,行之有效的一个制度,以保证能够在技术和管理上相得益彰的保证网络信息的安全。
(3)加强职业道德教育不管是建立安全管理机构还是安装安全软件或者资料备份,这些并不是解决网络安全的根本方法。而只有加强计算机从业者进行道德教育,培训,增强他们的安全意识,并且对于青年人进行必要的网络安全知识的素质教育,才能做到比较切实的防患。
(4)访问权限。不同的信息及其应用信息系统应有不同的访问权限,低级别角色不应能访问高级别的信息及应用信息系统。为此,可通过技术手段设定信息的访问权限,限制用户的访问范围。
四、管理制度取得成效
1、优化网络架构
完善的核心网络架构使得工业网和办公网顺利合并,充分发挥了主干网络设备性能,VLAN及路由策略在保证网络稳定运行的前提下做到了最优安全防护。
2、部署杀毒软件
宣钢网络环境引用趋势杀毒企业版,很好的控制住病毒的泛滥,保障生产网络和办公网络健康运行。
3、加强行为监控
防火墙策略加任天行行为监控软件双管齐下,优化了局域网使用,约束职工上网行为同时提高了办公效率、减少外网出口带宽使用率、抑制病毒滋生可谓一举多得。
4、完善网络管理制度
各种网络规章制度的完善为计检中心管理宣钢网络提供可靠依据,作为宣钢网络的建设者和管理者计检中心与时俱进不断探索创新,积极组织人员学习国际先进网络管理运维技术。时刻以知识改变命运落后就要挨打的理念鞭策员工激发员工的创新激情,先后开发出多套网络监控平台为保障宣钢网络稳定运行立下汗马功劳。
5、治人先治心
作为领军带头单位计检中心多次组织二级厂矿网管员进行交流座谈会,大家集思广益发现问题解决问题共同进步。使每位网络管理人员认识到自己身上的责任重担,做到人人肩上有责任有目标;意识到我们不是普通的技术岗,我们维护的是宣钢的生产命脉,从而在思想上达成高度统一;增强管理人员使命感,加强寻点检质量把网络隐患遏制在萌芽状态。
传统的企业网络安全防范主要都是对网络病毒、系统漏洞、入侵检测等方面加以设置,安全措施和相关配置通常都在网络与外部进行连接的端口处加以实施,采取这样的网络安全防范虽然能够降低外部网络带来的安全威胁,但却忽视了企业内部网络潜在的安全问题。
目前,企业内部网络的安全问题的严重程度已经远远超过了外部网络带来的安全威胁,企业内部网络的安全威胁成为了企业信息安全面临的重大难题。但是,由于企业管理人员的网络安全防范意识不强,对于企业内部网络的安全问题不够重视,甚至没有对企业内部网络采取任何安全防范措施,因此导致了企业内部网络安全事故不断增加,给企业带来了重大经济损失和社会负面影响,怎样能够保证企业内部网络不受到任何威胁和侵害,已经成为了企业在信息化发展建设过程中亟待解决的问题。
2 企业内部网络的安全威胁
随着计算机技术和网络技术的飞速发展,企业内部网络是其信息化建设过程中必不可少的一部分。而且,网络应用程序的不断增多也使得企业网络正在面临着各种各样的安全威胁。
2.1内部网络脆弱
企业内部网络遭到攻击通常是利用企业内部网络安全防范的漏洞实现的,而且,由于部分网络管理人员对于企业内部网络安全防范不够重视,使得大部分的计算机终端都面临着严重的系统漏洞问题,随着内部网络中应用程序数量的日益增加,也给计算机终端带来了更多的系统漏洞问题。
2.2用户权限不同
企业内部网络的每个用户都拥有不同的使用权限,因此,对用户权限的统一控制和管理非常难以实现,不同的应用程序都会遭到用户密码的破译和非法越权操作。部分企业的信息安全部门对于内部网络的服务器管理不到位,更容易给网络黑客留下可乘之机。
2.3涉密信息分散
由于部分企业内部网络的涉密数据存储分布在不同的计算机终端中,没有将这些涉密信息统一存储到服务器中,又缺乏严格有效的监督控制管理办法。甚至为了方便日常办公,对于涉密数据往往不加密就在内部网络中随意传输,这就给窃取涉密信息的人员制造了大量的攻击机会。
3 企业内部网络安全防范设计方案
3.1网络安全防范总体设计
即使企业内部网络综合使用了入侵检测系统、漏洞扫描系统等防护手段,也很难保证企业内部网络之间数据通信的绝对安全。因此,在本文设计的企业内部网络安全防范方案中,部署了硬件加密机的应用,能够保证对企业内部网络中的所有数据通信进行加密处理,从而加强企业内部网络的安全保护。
3.2网络安全体系模型构建
企业内部网络安全体系属于水平与垂直分层实现的,水平层面上包括了安全管理、安全技术、安全策略和安全产品,它们之间是通过支配和被支配的模式实现使用的;垂直层面上的安全制度是负责对水平层面上的行为进行安全规范。一个企业内部网络安全体系如果想保持一致性,必须包括用户授权管理、用户身份认证、数据信息保密和实时监控审计这四个方面。这四个方面的管理功能是共同作用于同一个平台之上的,从而构建成一个安全可靠、实时可控的企业内部网络。
1)用户身份认证
用户身份认证是保证企业内部网络安全稳定运行的基础,企业内部网络中的用户身份认证包括了服务器用户、网络设备用户、网络资源用户、客户端用户等等,而且,由于网络客户端用户数量庞大,存在着更多的不安全、不确定性,因此,对于网络客户端用户的身份认证至关重要。
2)用户授权管理
用户授权管理是以用户身份认证作为基础的,主要是对用户使用企业内部网络的数据资源时进行授权,每个用户都对应着不用的权限,权限代表着能够对企业内部网络中的某些资源进行访问和使用,包括服务器数据资源的使用权限、网络数据资源使用权限和网络存储设备资源使用权限等等。
3)数据信息保密
数据信息保密作为企业内部网络中信息安全的核心部分,需要对企业内部网络中进行数据通信的所有数据进行安全管理,保证数据通信能够在企业内部网络中处于一个安全环境下进行,从而保证对企业内部网络涉密信息和知识产权信息的有效保护。
4)实时监控审计
实时监控审计作为企业内部网络中必不可少的部分,主要实现的是对企业内部网络的安全的实时监控,定期生成企业内部网络安全评估报告,一旦企业内部网络出现安全问题时,能够及时汇总数据,为安全事故的分析判断提供有效依据。
4结论
目前,关于企业内部网络的安全防范问题一直是网络信息安全领域研究的热点问题,越来越多的企业将办公系统应用于企业内部网络中,但是由于企业工作人员的安全防范意识不强,或者网络操作不规范,都给企业内部网络带来了更多的安全威胁。本文提出的企业内部网络安全防范设计方案,能够有效解决多种内部网络的安全问题,具有一定的实践应用价值。
参考文献
【关键词】供电企业;网络;安全管理;措施
前言:
近年来,随着电力信息化进程不断深入,电力系统已经逐步渗透到各个用电领域,包括发电,输变电,配电等各个关键环节,一个处于国家领先水平的电力信息网络已经建成已。这个信息网络在电网调度自动化、厂站自动控制、计量自动化系统、电力营销系统、配网生产系统、营配信息集成、电力负荷管理,办公自动化、计划统计管理、用电管理、财务管理、人力资源管理、生产安全管理等有关生产、经营和管理的许多领域中发挥重要作用,特别是电力营销系统,涉及到电费资金的安全性,一旦网络信息安全得不到保障,将影响到企业的经营管控。同时,我们应该注意到,随着电力网络的逐渐扩大,结构逐渐复杂,企业应用的不断加深,各部门越来越依赖网络,因此,一个不容忽视的问题摆在了我们面前,那就是电力信息网络安全。
一、电力信息网络结构分析
电力信息网一般由三层局域网通过广域网互联而形成,分别是公司核心局域网、各分公司局域网以及子公司局域网。电力信息网一般有两个主要的应用系统,分别是生产应用系统(SCADA/EMs系统)和经管应用系统(MIS系统)。生产应用系统和经管应用系统在结构上相对独立。SCA—DA/EMS系统采用各种方式(专线、同步数字序列、准同步数字序列)与各变电站或电网进行实时数据传输;MIS系统使用干兆以太网组网,通过TCP/IP传输网络结构取用同级网络分层,每层分子网和链路连接。
二、电力网络信息安全存在的问题
威胁到电力信息系统安全的因素有很多,可以是恶意攻击,也可以是操作失误;可以是通过外部攻击,也可以是通过内部破坏。总结起来,笔者认为针对电力信息系统安全主要有以下5大问题,分别是计算机病毒、操作系统和应用软件的漏洞、企业网络边界扩展、自然界环境因素、企业内部问题。具体内容见表1。
三、安全思想和原则
电力企业信息安全的主要目标一般可以综述为:注重“电力生产”的企业使命,一切为生产经营服务;服从“集约化管理”的企业战略,树立集团平台理念;保证“信息化长效机制和体制”,保证企业生产控制系统不受干扰,保证系统安全事件(计算机病毒、篡改网页、网络攻击等)不发生,保证敏感信息不外露,保障意外事件及时响应与及时恢复,数据不丢失。(1)先进的网络安全技术是网络安全的根本保证。影响网络安全的方面有物理安全、网络隔离技术、加密与认证、网络安全漏洞扫描、网络反病毒、网络入侵检测和最小化原则等多种因素,它们是设计信息安全方案所必须考虑的,是制定信息安全方案的策略和技术实现的基础。要选择相应的安全机制,集成先进的安全技术,形成全方位的安全系统。(2)严格的安全管理是确保安全策略落实的基础。计算机网络使用机构、企业、单位应建立相应的网络管理办法,加强内部管理,建立适合的网络安全管理系统和管理制度,加强培训和用户管理,加强安全审计和跟踪体系,提高人员对整体网络安全意识。(3)严格的法律法规是网络安全保障坚强的后盾。建立健全与网络安全相关的法律法规,加强安全教育和宣传,严肃网络规章制度和纪律,对网络犯罪严惩不贷。
四、安全策略与方法
1.物理安全策略和方法。物理安全的目的是保护路由器、交换机、工作站、网络服务器、打印机等硬件实体和通信链路的设计,包括建设符合标准的中心机房,提供冗余电力供应和防静电、防火等设施,免受自然灾害、人为破坏和搭线窃听等攻击行为。还要建立完备的机房安全管理制度,防止非法人员进入机房进行偷窃和破坏活动等,并妥善保管备份磁带和文档资料;要建立设备访问控制,其作用是通过维护访问到表以及可审查性,验证用户的身份和权限,防止和控制越权操作。
2.访问控制策略和方法。网络安全的目的是将企业信息资源分层次和等级进行保护,主要是根据业务功能、信息保密级别、安全等级等要求的差异将网络进行编址与分段隔离,由此可以将攻击和入侵造成的威胁分别限制在较小的子网内,提高网络的整体安全水平,目前路由器、虚拟局域网VLAN、防火墙是当前主要的网络分段的主要手段。而访问管理控制是限制系统内资源的分等级和层次使用,是防止非法访问的第一道防线。访问控制主要手段是身份认证,以用户名和密码的验证为主,必要时可将密码技术和安全管理中心结合起来,实现多重防护体系,防止内容非法泄漏,保证应用环境安全、应用区域边界安全和网络通信安全。
3.开放的网络服务策略和方法。Internet安全策略是既利用广泛、快捷的网络信息资源,又保护自己不遭受外部攻击。主要方法是注重接入技术,利用防火墙来构建坚固的大门,同时对Web服务和FTP服务采取积极审查的态度,更要强化内部
网络用户的责任感和守约,必要时增加审计手段。
4.电子邮件安全策略和方法。电子邮件策略主要是针对邮件的使用规则、邮件的管理以及保密环境中电子邮件的使用制定的。针对目前利用电子邮件犯罪的事件和垃圾邮件泛滥现象越来越多,迫使防范技术快速发展,电力企业可以在电子邮件安全方案加大投入或委托专业公司进行。
5.网络反病毒策略和方法。每个电力企业为了处理计算机病毒感染事件,都要消耗大量的时间和精力,而且还会造成一些无法挽回的损失,必须制定反计算机病毒的策略。目前反病毒技术已由扫描、检查、杀毒发展到了到实时监控,并且针对特殊的应用服务还出现了相应的防毒系统,如网关型病毒防火墙以及邮件反病毒系统等。
6.加密策略和方法。信息加密的目的是保护网内的数据、文件、密码和控制信息,保护网络会话的完整性。其方法有虚拟私有网、公共密钥体系、密钥管理系统、加密机和身份认证钥匙手段等。
7.攻击和入侵应急处理流程和灾难恢复策略和方法。主要方法是配备必要的安全产品,例如网络扫描器、防火墙、入侵检测系统,进行实时网络监控和分析,及时找到攻击对象采取,并利用备份系统和应急预案以备紧急情况下恢复系统。
8.安全服务的策略。再好的安全策略和方法都要通过技术和服务来实现,安全产品和安全服务同样重要,只有把两者很好地结合起来,才能真正贯彻安全策略。
五、信息安全的防范措施
由以上分析可知,需要加大防范力度,确保信息安全,保证供电企业的正常运作,笔者认为防范措施可以从三方面展开,分别是计算机方面、管理方面以及建设方面。就计算机方面而言,企业级杀毒软件和及时为计算机打补丁是两个主要措施。杀毒软件可以有效地保证电力企业计算机系统的稳定运行,可以避免病毒以及木马等其他形式的威胁。系统补丁可以修补操作系统的安全漏洞,使得操作系统及时关闭“后门”。就管理方面而言,一方面,要完善管理制度,提高执行力度,管理制度必须要配合电力企业自身的网络,有了制度保证,才可以更好地促进电力企业信息网络的安全可靠运行;另一个方面,要开展对员工的相关培训,提高安全意识,只有提高员工的安全意识,才能有效地避免“内部人问题”,保证企业的信息安全。就建设方面而言,要加强基础设施建设,改善网络环境。物理安全是电力信息网络安全的第一道门,一定要重视企业环境,门禁、监控、灭火器等设备要保证随时可以使用,以应对突发事件。
参考文献:
[1] 蒲晓羽,王林虎,许明,等.电力系统安全防御体系的研究[C].2006中国电力系统保护与控制学术研讨会论文集.2006.
关键词:低碳经济 电子商务 国际贸易
中图分类号:F74
文献标识码:A
文章编号:1004-4914(2015)07-052-02
一、低碳经济与电子商务
低碳经济是以低能耗、低污染、低排放为基础的经济模式,是人类社会继农业文明、工业文明之后的又一次重大进步。低碳经济已成为21世纪世界经济发展的一个重要趋势,其概念首次出现在2003年英国的政府工作报告,2009年哥本哈根会议的召开使低碳经济进入更多人的视野,在全球范围内掀起了发展低碳经济的热潮。世界上的发达国家正试图利用此次全球多重危机中的机遇,通过低碳经济创新所形成的新的竞争优势,把那些还在“高碳经济”发展道路上行进的发展中国家远远抛在后面。
电子商务是以电子及电子技术为手段,以信息网络为载体,以商务为核心,把原来传统商业模式中的各项活动转移到互联网上来,打破国家与地区有形无形的壁垒,使生产企业达到全球化、网络化、无形化、个性化。与传统商业模式相比,电子商务具有电子化、低能耗、低排放的特点,突破了时间、空间与能源的限制,因而符合低碳经济理念,更具有发展低碳经济的潜力。
二、电子商务促进国际贸易方式的变革
电子商务是国际贸易发展的必然,,其商务模式主要有在线展览、电子采购、网络商品交易、网络贸易、在线支付等。与传统的贸易方式相比较,电子商务在步骤上更简单,帮助外贸企业改革国际贸易流程,简化了国际贸易程序,缩短了国际贸易的时间和距离,大大提高了国际贸易的效率,实现了国际贸易活动的无纸化、简易化、信息化、智能化和全球化,形成新的国际贸易流程管理模式,是国际贸易方式划时代的变革,
随着电子商务的应用与发展,外贸企业的竞争环境发生新的变化。信息成为企业最重要的资源,信息要素成为劳动力、资金、技术三大传统生产要素之外的至关重要的新的竞争要素。外贸企业如能在信息竞争上取得优势,则会提高其获得市场份额和争夺利润的核心能力。企业对市场的快速反应成为新的竞争规则,速度己成为企业赢得竞争的关键。另外,电子商务环境催生了“虚拟联盟企业”,并迅速成为新的国际贸易经营主体。其出现促使外贸企业之间的竞争模式由单个企业的竞争转变为基于整个供应链的竞争,电子化成为竞争的主要手段,竞争方式也转向更深层次的合作式竞争,即为竞争而合作。
三、现代外贸企业应用电子商务中存在的问题
在信息化、网络化浪潮的推动下,电子商务目前已经成为我国外贸企业进行竞争与创新的有力手段。在外贸企业应用电子商务开展网络贸易的实践中,存在以下一些代表性问题:
1.电子商务立法尚有滞后与不足。在虚拟社区中进行的电子商务活动,其交易平台、交易形式等与传统商务活动有很大区别,商业关系中出现了许多新的法律问题,如电子证据、电子合同要约与承诺、合同生效时间、电子签名认证等的确认,都对现行的传统的民法、商法提出了挑战。目前在电子商务领域我国已颁布了相关的法律法规,但相对于电子商务的发展,该领域的法律法规的制定与实行却是滞后的。我国1999年出台的《合同法》,率先公布以数据电文形式订立合同拥有法律效力;2005年4月1日《电子认证服务管理办法》、《中华人民共和国电子签名法》才开始实施。电子商务立法的滞后,严重制约了我国电子商务的发展。除上述提及之外,我国目前还没有其他完整的电子商务方面的法律。实际操作中,网上交易纠纷的调解,电子支付安全,网络犯罪的法律界定包括欺诈仿冒、盗窃、网上证据采集及其有效性,隐私权保护,与纸介质书面形式的法律如何衔接,争端发生后工商、税务、银行、海关等各部门之间如何协调职责进行公平、合法解决问题等方面都存在一定的局限性。相关法律法规的缺失与不健全,导致消客户、企业之间引发很多纠纷,也影响了我国电子商务的进一步发展。
2.网上交易流程的安全性尚待提高。通过网络进行交易,在网络平台上实现信息流、物流和资金流的传递,电子商务使得外贸业务没有国界并到处充满贸易商机。能否在金融系统交易与交付中保证消费者和商家的利益完整性、可靠性及安全性,是电子商务实现其潜在价值的重要前提。由于互联网本身的开放性和网络技术发展的限制性,网上交易可能随时面临着来自于企业、消费者、银行或金融机构、软件供应商、黑客、电脑生产商等各种不同群体的不可预测、不可控制的风险,引发一系列安全性问题。如商业机密的泄露与窃取、商业信息的篡改与破坏、身份的冒用滥用、网络钓鱼式攻击等等。其中,核心及关键问题便是在线交易付款的安全性,这不仅涉及到技术问题,同时也涉及到管理和法律的问题。有些用户不愿进行网上交易,正是源于对网上交易的安全性与可靠性不完全信任。因此,能否构建安全可靠的在线支付制度,直接关系到参与电子商务活动各方的利益,也是用户所关注的焦点,这需要组织专门力量加以解决。目前我国外贸企业网上交易的安全性问题尚未得到较为妥善的处理,如没有强大的网络防火墙,银行的电子储蓄系统密码一般仅能设立6位数字等,这些薄弱的技术防范措施给电子商务在外贸领域内的进一步应用产生了较大的制约。
3.外贸企业的网络建设与应用仍处较低水平。在应用与发展电子商务方面,相对于国内传统企业,我国外贸企业一直走在前列。虽然我国绝大多数外贸企业都连接了国际互联网,但企业对电子商务的投入不足,信息化建设仍处于基础阶段,应用领域非常局限。信息化建设是电子商务运行的基础。据有关资料显示,信息化投入占销售收入的比重,国外中小企业通常为3%左右,而我国中小企业此比重超过1%的不足30%。外贸企业的信息化投入主要用于缴纳入网费、购买硬件、基础设施方面,用于日常维护及业务的咨询费用很少。信息化基础的薄弱,直接导致外贸企业对电子商务的应用水平尚处于较低层次。我国外贸企业一般通过内联网进行企业内部的信息查询,但多数企业对内部网络建设不够重视,建设缓慢且业务管理网络化比例低,一些企业甚至还处在单机与互联网相连阶段,相互之间信息闭塞,不能实现资源共享。在外联网的使用上,外贸企业通常是利用国际互联网广告来宣传企业及产品、进行一般的信息查询、通过邮件收发相互联系,多数局限在网络推广与营销的低层面上。而利用网络传输订单、完成国际贸易整个交易流程,真正实现电子商务活动的企业只占少数。目前这种“在线洽谈,离线交易”的特点,反映出我国外贸企业利用国际互联网实现商务往来的能力和层次急需提高。
四、对策与建议
针对我国外贸企业在应用电子商务中所存在的上述问题,建议采取以下几方面措施加以解决。
1.制定和完善电子商务领域的法律体系。近年我国已颁布了电子商务领域的相关法律法规,对前期出现的一些典型性问题进行了规范,促进了电子商务健康良性的发展。但是,针对当前电子商务领域存在的诸多问题,我们要借鉴发达国家的先进经验,结合我国目前实际情况,进一步健全和完善相关的法律法规,给其稳健有序的健康发展创造良好的法制环境。建立健全我国电子商务法律法规体系,要以下述两个方面为重点方向:一是为适应新形势要对现存的法律法规进行必要的调整和完善;二是根据目前的实际操作情况制定新的法律法规。新的电子商务法律法规必须具有以下法律功效:能有效地规范交易的流程与行为、能切实保障交易的公平与安全、能清晰地界定所属的责任。建议参照联合国国际委员会制定的统一通用规则――《电子商务示范法》,我国应尽快制定一部与国际法保持一致的比较规范与完善的《电子商务法》,将电子商务的活动过程通过法律加以规划引导,力求维护各方的合法权益。在制定新的法律法规过程中应注意以下几个问题:首先,要发挥政府的协调功能,组织各方参与对话与协商,倾听各方的意见与建议,保证法律法规的合理、透明与公平。其次,法律法规不仅要适用于目前情况,更要有灵活性和前瞻性,对新情况、新问题可以修改和补充。最后,电子商务政策既要与国内诸如在电信、竞争等方面的政策相协调、不互相抵触;又必须能够与国际接轨,这样才能站在更高的层次切实保护电子商务活动中我方的合法权益。
2.加强网络管理和技术水平的提高。网络安全涉及到每个商家和消费者的切身利益,因此,必须加强网络管理,维护网络安全,减少网上犯罪行为,维护广大用户的合法权益与经济安全。首先,应建立需要保障网络信息安全的思想,提高对其重视程度的认识。个人用户要养成定期修改密码等安全上网的习惯,企业用户应建立网络信息系统的安全服务体系以防数据被窃取、伪造和破坏。其次,我国网络安全管理需要在中央层面建立一个具有高度权威的组织,领导信息安全管理的工作,统一协调各部门的职能,建立网络风险防范机制;同时加快立法进程,健全法律法规,从法律层面上约束进行电子商务贸易的商家和消费者。最后,加快信息安全人才的培养,强化网络技术创新。我国在计算机软硬件技术上相对落后,一些核心技术尚未掌握,对信息安全造成很大的安全隐患。因此我国应加大对科研教育的支持与投入,进行信息安全关键技术攻关,开创行业内培训与资格认证机构,加强国内外经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,从而建立有中国特色的、自主的、高水平的网络信息安全技术体系。
3.提高企业的信息化建设与电子商务应用水平。随着信息技术的日新月异,电子商务对整个社会的经济发展、生活、文化带来了巨大变革。在参加国际贸易的众多主体中,企业是最重要的支柱力量,占有最核心地位,而企业能进行高效电子商务活动的保障就是必须具备高端的信息化水平。因此,加强我国企业的信息化建设迫在眉睫,势在必行。首先,政府应充分引导和促进企业观念的转变,提高企业的电子商务意识,推广成功运用电子商务的企业经验,提高其示范作用,创造良好的舆论环境。作为外贸主体的企业应加大信息化基础设施的投入,提高信息化投入在销售收入中的比重,大力发展现代信息技术,建立包括信息及信息处理模型、统计技术等完善的信息系统,加强基础网络及网站建设,以此改造和提升传统产业,使企业获得持久的发展动力。与此同时,外贸企业还应大力提高国际互联网的综合应用,不仅利用其基本功能完成信息的交流和沟通,更应充分利用其商务功能,参与各种电子商务活动。完善的电子商务不仅包括网上宣传、网上洽商,还包括网上签约、电子支付、无形产品和服务的网上交割、网上售后服务等环节。要想实现电子商务的信息化与贸易实务的有机结合,需要企业去挖掘或培训既精通电子商务操作与又熟悉国际贸易实务的复合人才,这样才能在中高级层面上全方位地开展及应用B2B的电子商务,依托互联网平台开展协同式电子交易,使其完全达到商务的功能,提高交易效率,降低交易成本。
(本论文为辽宁省教育厅科技研究项目资助:W2014042)
参考文献:
[1] 刘凤伟,成宇.电子商务与低碳经济.山东纺织经济[J],2011(1)
[2] 王玲莉.低碳经济背景下中国贸易结构转型研究.社会科学辑刊[J],2012(3)
[3] 孙宁.电子商务发展面临的网络安全问题研究.现代经济信息[J],2013(1)
[4] 王谛.国际贸易方式的创新及其对中国经济的影响.中国经贸学术版[J],2010(6)
[5] 吴妍琳.电子商务对外贸企业竞争优势的影响研究.暨南大学硕士学位论文[D],2009
[6] 张淑平.电子商务对国际贸易的影响及对策研究.曲阜师范大学硕士学位论文[D],2014
[7] 王玲莉.浅析电子商务的应用对外贸企业的影响.商场现代化[J],2007(5)
一、电子商务信息安全的主要问题
电子商务主要依托Internet平成交易过程中双方的身份、资金等信息的传输。由于Internet的开放性、共享性、无缝连通性,安全问题是电子商务的主要技术问题,安全问题是商家和消费者以及银行最关心的问题,主要面临以下威胁:一是信息篡改,电子的交易信息在网络传输过程中,信息可能会被人、被第三者非法篡改,导致信息失去了真实性和完整性。二是信息破坏,由于一些硬件和软件问题或者是一些恶意病毒使一些信息遭到破坏。三是身份识别,若没有身份识别,交易的一方就可以对交易内容否认或者是欺诈,或者会有第三方来冒充交易的一方。四是信息泄密,即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法
使用。
二、问题的成因分析
信息安全问题的出现,既有管理原因,也有技术原因,既有本身缺陷,也有外来因素所致,归结起来,主要有以下四方面的原因:
1.电脑黑客
黑客对于系统和编程语言大多有着深刻的认识,它是指对于电脑系统的非法入侵者,他们对于网络存在着一定程度的攻击性,也进一步恶化了网络环境。
2.计算机病毒
计算机病毒的主要危害在于激发对计算机数据信息的直接破坏作用,占用磁盘空间和对信息的破坏,抢占系统资源,影响计算机运行速度,出现计算机病毒错误与不可预见的危害。人们不可能花费大量时间去分析数万种病毒的错误所在,大量含有未知错误的病毒扩散传播,其后果是难以预料的。计算机病毒的兼容性影响系统运行。兼容性是计算机软件的一项重要指标,兼容性好的软件可以在各种计算机环境下运行,反之兼容性差的软件则对运行条件有限制,要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试,因此病毒的兼容性较差,常常导致死机,并且对用户造成严重的心理
压力。
3.技术因素
网络软件设计时不可能完美无缺,总会出现一些缺陷和漏洞。这些漏洞和缺陷正是黑客进行攻击的首选目标,而且目前还没有一些技术能提前全部防范这些病毒和黑客。
4.管理因素
用户安全意识淡薄、管理不善是当前存在的一个严重的问题。主要有以下三点:一是一些国家如中国缺乏强有力的权威管理机构,网络安全立法滞后,安全管理部门受人力、技术等条件的限制影响着安全管理措施的有效实施;二是缺乏安全审计,安全审计是把与安全相关的事件记录到安全日志中,但是现有的网络系统大多数缺少安全审计,安全日志形同虚设;三是安全意识淡薄,人们对信息安全认识不够,过分依赖信息安全产品,缺乏细致的内部网络管理机制,一些用户警惕性不高,操作麻痹,甚至把自己账号随意交给他人。
三、常用网络安全技术
1.反病毒软件
反病毒软件已成为人们抵御病毒进攻的有力武器。目前的反病毒软件具有几项技术特色。一是防火墙技术,其目的是保护内部网络不受外部网络的攻击,及防止内部网络用户向外泄密,为用户提供一个实时监控防止病毒发作的工具。它对用户访问的每一个文件进行病毒检测,确认无毒后才会让系统接管进行下一步的工作。目前,防火墙技术主要分为分组过滤和服务两种类型。二是反病毒软件在线升级的方式。三是统一的防病毒管理。四是嵌人式查毒技术的形成,它将杀毒引擎直接嵌挂到IE浏览器和流行办公软件组件当中,使其与可能发生病毒侵扰的应用程序有机地结合为一体,在占用系统资源最小的情况下查杀病毒。
2.密码技术
密码技术包括加密和解密两个方面。密码技术可对信息进行加密解密处理,实现信息的安全,这两者之间是密不可分的。加密是指采用数学方法对原始信息进行加工,使得加密后在网络上公开传输的内容对于非法接收者只是毫无意义的字符,对于合法的接收者,因其掌握正确的密钥,可以通过解密得到原始内容。密码系统至少包含明文、密文、密码技术,密钥几个部分。
3.入侵检测技术
入侵检测技术是对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。入侵检测技术针对包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测通过执行以下任务来实现:监视、分析用户及系统活动,系统构造和弱点的审计,识别反映已知进攻的活动模式并向相关人士报警,异常行为模式的统计分析,评估重要系统和数据文件的完整性,操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
4.虚拟专用网(VPN)技术
虚拟专用网(VPN)技术是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
四、提高电子商务信息安全的对策探讨
1.开展网络安全立法和执法
网络安全立法要吸取和借鉴国外网络信息安全立法的先进经验,结合我国国情对现行法律体系进行修改与补充,使法律体系更加科学和完善。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度,提高执法效率和质量。要对违犯国家法律法规,对计算机信息存储系统、应用程序或传输的数据进行删除、修改、增加、干扰的行为依法惩处。
2.提高网络信息安全意识
以有效方式和途径在全社会普及网络安全知识,提高公民的网络安全意识与自觉性,学会维护网络安全的基本技能,并在思想上把信息资源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。
3.加强网络安全管理
建立信息安全领导机构,有效统一、协调和研究未来趋势,制定宏观政策,实施重大决定。严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》,明确责任,规范岗位职责,制定有效防范措施,并且严把用户入网关,合理设置访问权限等。
4.加快网络安全专业人才的培养
加大对有良好基础的科研教育基地的支持和投入,加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动,加强对内部人员的网络安全培训,防止堡垒从内部攻破,使高素质的人才在高水平的教研环境中迅速成长和提高。
一、信息化发展的背景
1、信息系统对业务的覆盖率逐步提高
自上个世纪90年代后,互联网应用的普及和信息经济的兴起,带动了电子政务、电子商务和社会信息化的全面发展。
仅从政府角度看,我国电子政务经过十多年的发展,形成了一定规模的信息化基础设施,建设了大量的电子政务应用系统,正在经历由传统运行方式向以网络为基础的信息化运行方式转移的过程。以北京市为例,“十五”期间,全市1186种政府业务,运用信息化实现的有591种,建成726个业务支撑系统,50%的政府业务通过信息化手段实现;各级政府和业务部门高度重视业务应用系统的开发和应用,约90%的市、区政府部门建设了局域网,超过90%的政府部门达到了人均1台计算机,有90%的政务部门已建成或正在建办公自动化系统,其中无纸化程度达到50%以上的部门占80%。①
2、基于网络平台化的信息共享和业务协同
互联网技术和应用的快速发展,无论是政府还是企业的信息化,都受到战略管理和服务客户的强烈驱动,在不断地扩展信息化的应用领域和内容,朝着基于统一网络管理平台,跨部门信息共享和业务协同的方向发展。
政府各机构在履行经济调节、市场监管、社会管理和公共服务四项基本职能过程时,正越来越广泛地采用信息技术来实现。由于应用目标的整体性,要求政府业务系统、政府信息具有集成性和共享性。例如,北京市业已建立了连接各级政府机构政务系统的政务内网平台,通过信息交换平台和政务门户网站,各级各类政府机构可以实现协同办公和信息共享。又如,北京市东城区首创的网格化城市管理模式,通过综合的信息化手段,实现了对城市各类基础部件的综合管理。再如,“首都之窗”网站群作为政府门户,正把更加全面的政府公共服务纳入到信息化应用范围。②
企业信息化应用模式早已脱离了个别业务系统孤立应用的阶段,步入了企业战略协同系统应用阶段,其中erp(enterprise resource planning,即企业资源计划)最具代表性。erp是20世纪90年代提出来的,目前已发展为企业管理信息系统中最为流行的一种形式,几乎是企业信息化的代名词。erp系统以经营资源最佳化为出发点,全面整合企业的供销存、财务、计划、质量、制造等核心业务,并最大限度提升企业各项经营资源的应用效率。
实现统一的网络平台管理,进行系统协同整合,核心的内容就是要进行应用系统及数据集成,建立可以共享的统一数据管理结构。建立一致的数据规格标准和建立统一的数据管理、应用规则,是实现应用系统和数据集成的主要途径。如何建设与上述信息化环境配套的电子档案的统一管理、共享利用的机制、模式,网络环境下的档案馆如何构建和运作,都是需要深入探讨的问题。
3、信息资源战略成为信息化核心内容
2004年12月国家颁布了《关于加强信息资源开发利用工作的若干意见》,标志着我国的信息化步入了以开发利用信息资源为重心的发展阶段,这既是信息化向其本源的回归,也是我国信息化发展到一定程度的结果。
从国家层面来看,信息资源开发利用,就是借助于信息化手段,为提高政府公共服务能力、增强政府能力建设、推动和谐社会发展为目的,形成政府信息资源、社会信息资源综合开发利用的局面,同时推动信息资源产业发展,促进我国经济社会的可持续发展。政务信息资源的开发利用紧紧围绕政务公开、重大基础信息库和重点业务应用系统的建设进行。社会信息资源开发利用重点是强化农业、科技、教育、卫生、社会保障、档案等领域的公益性开发和利用。同时,国家将研究制定鼓励信息资源产业发展政策;健全信息资源市场监管制度,完善网络环境下的著作权保护,提高审批效率,扩大登记备案和事后监督的范围;研究制定政务信息资源社会化增值开发利用的财政政策和信息资产管理办法;制定信息资源开发利用标准体系表,优先制定并大力宣传贯彻信息资源分类、共享、基础编码等国家标准;推进公共文献基础数据库建设,积极开展社会化服务。③
从机构层面,信息资源开发利用是信息资源服务于战略决策、满足客户信息需求和提高业务管理信息提供水平的客观发展需要。从信息化发展的进程上来讲,信息系统总是由满足业务处理、运行需要开始,信息资源的开发利用遵循着数据—信息—知识的过程。机构层面的信息资源开发利用总是从系统集成、数据集成开始,在整合的数据仓库基础上进行数据的挖掘和满足不同需要的数据应用。这实际上类似于我们传统的档案管理利用流程,应当把它纳入到信息化条件下的档案管理内容范畴。
二、信息化条件下档案管理的若干问题
信息化系统正在演化成为各类组织业务运行的基本方式,网络平台正逐渐成为政府机构、企业信息运动的支撑平台。对档案管理活动而言,各类组织运行平台的变化,给我们提出了很多基于数字化概念的新问题,这些问题需要我们去深入思考,探索符合信息化特点的新思路和新方法。
1、电子文件长久保存和长期可用问题
人们把以数字化方式记录的文件,统称为电子文件。电子文件在性质、形式上与纸质文件的不同,无疑是档案界最先感受到和最先关注的信息化带来的变化和影响。由模拟方式转变成数字化的记录方式,主要的问题有三个:一是电子文件的长久保存问题,数字化信息复杂多样的编码格式、读写方法和载体材料,都给电子文件的长久保存带来困难。二是电子文件的证据力和法律效力问题,这包含了对数字方式所记录信息的真实性以及获得、保持信息真实性方式方法的可行性、可信性问题。三是数字化信息与载体的依附关系问题,数字化信息的组织是通过编码形式完成的,人们处理、传输、存储和显现数字化信息,要借助能处理这些编码的信息技术设备间接完成,因此,数字化信息依赖于元数据、数据格式、软件系统和硬件系统才能够被处理、存储和显现。综上所述,电子文件的复杂性、变化性、多样性是过去纸张载体所没有的。
归纳起来讲,目前解决电子文件真实性、长久保存、长期可用的途径主要有如下几类方法:一是通过法规约束电子文件格式种类,如我国的《电子文件归档与管理规范》所选择的管理方式,方法就是尽可能地选择比较通用通行的少量几种文件格式,通过降低电子文件格式种类繁复性,增加电子文件长期保存的可靠性、可控性。二是通过对电子文件存在的系统相关要素的规范设计和过程控制,以保证电子文件的真实性和可靠性,包括系统地记录背景数据和规范、控制信息流转环节等方式。三是提高载体材料寿命或对电子文件处理、存储、传递和应用所依赖的软硬件环境进行备份的方式。四是分离数字信息的语义表示与格式表示,形成不依赖于特定的通用信息存在形式,不会出现因为数据格式及软硬件环境的变迁而造成电子文件不可使用的情况,如以xml作为标识规范的方法,等等。
为了解决上述问题,国内外都作了相当多的探讨和尝试。首先,各国都倾注力量,制定系统成套的和普遍适用于各类信息系统的电子文件管理需求规范和档案系统标准,力求把问题解决在电子文件的形成阶段,达到电子文件永久保存的目的。如澳大利亚的国家“数字化保管动议”, 通过建立文件管理国家标准、文件管理元数据规范、文件系统设计与实施程序等标准规范,保障电子文件的长久保存。其次,从数字档案的永久性入手,研究具有长久保存价值的数字档案的系统化保存、保管方式,如美国国家档案与文件署(nara)于1998年开始,耗时6年时间对永久保存电子文件的可能性、保存技术、保存系统的功能需求进行了全面的论证和试验⑤。第三,研究数字化适用载体在各种状况下的长久保存问题,如荷兰2000年启动了“数字保存试验”项目,针对政府常用的电子文件类型,进行了迁移、采用xml格式和仿真三种数字保护方法的试验,评价各种方法的效果、局限性、费用及应用的可能性。第四,在我国,通常采用的方式是,档案部门站在长久保存的立场,通过归档要求的约束,保障电子文件的可靠性,如《cad电子文件光盘存储、归档与档案管理要求》(gb/t17678.1-2-1999)、《电子文件归档与管理规范》(gb/t18894-2002)等,省市地方和行业主管机构也制定了相关规范或标准,如建设部的《城建电子文件归档与电子档案管理规范》。
2、多种类型数字化信息的档案化问题
在电子文件数量快速增长的同时,其种类也日益丰富,包括文本文件、电子报表、电子邮件、图形、图像文件、视频文件、网页文件、数据库文件等。数字化信息的复杂多样,具有传统纸质文件所不具有的性质,因此,这些数字化信息的档案化在总体上处于随机状态,有些数据累计存储在业务数据库中,有些被定期销毁,有些则被迁移到临时载体上。如果不能建立系统型的管理规则,很可能造成不可挽回的损失。
导致数字化信息档案化问题的原因归纳起来有以下几种情况:
(1)与传统文件运转流程无关。长久以来,人们已经形成了纸质文件档案化的系统化的方法体系,主要是依靠业务流程的自然发展进程,在业务流程终结时,把文件归档转入档案系统,以备今后工作查考。或者对文件的价值进行鉴定,判别文件对形成者的意义大小以及对社会的意义大小,在规定的时间阶段,把分布在各个机构的文件汇集到档案馆集中保存,以长久留存社会记忆,保障社会发展的延续性。久而久之,文件的档案化形成了对业务运转流程及其规则的依赖性,当数字化信息因不能纳入一般的业务流程,或业务流程因信息化而发生变化时,将会导致电子文件在档案化过程中范围的缺失。比如,电子邮件系统已经成为绝大多数政府或企业网络系统的必备子系统,电子邮件也早已成为人们在进行工作交往时的基本工具,很多国家或组织也都制定了电子邮件的管理制度,但电子邮件的档案化问题依然处于随机管理状态,主要原因就是电子邮件联系方式的公私性质不容易界定,不容易纳入到正常的业务运转流程之中。
(2)非文本型数据。在纸质档案管理时期,由于非文本型数据的数据单元不能完整地表达一个事项,数据结构、信息组织方式与文本方式不同,并且很多结构化的数据库数据经常处在变动之中,无法纳入到文本文件的管理体系,往往不进行档案化处理。信息化的发展,使得电子文件的数量与日俱增,但档案机构往往比较注重对文本型电子文件的归档和收集,对非文本型数据库数据、多媒体数据的归档重视不够,也没有切实可行的档案化措施。而且,档案界还存在着一个概念误区,认为数据库文件本来就有自身的数据结构,并且处在存储状态,没有必要再转化为所谓的档案文件。目前,大部分关系型数据库,都是作为支持业务流程的存储机制来建设的,从性质上来讲,可以认为是“暂存数据”,而且,这些数据往往是随着业务过程的变化而不断更新变化的,在结构上又是连续性的,往往不能按事项分块,不能按传统档案管理方式管理。但是,这些数据往往是一个业务系统的核心资源,
支撑着一个机构的业务运行,绝大多数具备档案价值,如果不尽快建立有效的档案管理制度,可能会造成比较严重的损失。目前,有注意到非文本型数据归档的机构,往往采用简单拷贝、累加存储的方式,或者以备灾数据库的方式同构备份数据。这些方式可能不能真正解决数量巨大的非文本数据档案化问题。 (3)网页类型文件。互联网的普及,使数量巨大的web文件存在于流动的网络信息海洋之中。我国的各类机构为了与外部环境的联系与沟通,建设属于机构自己的网站的比率很高。据国务院信息化工作办公室的资料显示,到2005年底,我国政府域名(gov.cn)注册量达到23752个,政府网站达到11995个,县级以上门户网站拥有率达到81.1%,其中部委、省级、地级和县级政府网站的拥有率分别为96.1%、90.3%、94.9%和77.7%。⑥但由于网页文件的内容重复率高,数量巨大,各类机构往往都不作档案化处置。这种情况是否存在档案缺失的漏洞,也是值得深入研究的。
3、双轨制与双套制问题
随着信息化的深入发展,各类机构的信息系统覆盖率不断提高,意味着文件的处理、运行过程的双轨制越来越趋向于单轨制,这是一个必然的趋势。但是,在人们的档案思维中,依然存在着对纸质档案的心理依赖,充满了对电子文件的不确信感。这种情形也体现在国家及行业已经颁布的电子文件管理的相关国家标准、行业标准中,规定对于具有长久保存价值的文件,要电子、纸质形式双套保存。
造成双套制比较普遍的原因,从根本上讲是档案思维还停留在纸质文件时代,对电子文件及其存在的技术环境还不熟悉、不确信,对电子文件是否能够长久保存及长期可用缺乏认知。其次,是国家的档案行政机构缺乏档案无纸化战略规划、制度设计和系统规范,使得对纸质文件依赖成为制度性的选择。包括我国在内的很多国家,都相继颁布了《电子签名法》或相关法律,力求通过法律的形式,确认数字化信息在社会交往和经济活动中的法律地位及其具有凭证性的条件。《电子签名法》的意义在于通过法律确定了电子数据可以作为法律凭证,使电子文件具有了与纸质文件同等的证据作用。一般来讲,《电子签名法》主要是规范电子文件的技术条件和应用背景,以保证电子文件在交互过程中的真实性是可确认的,是可以作为证据使用的,但并没有解决电子文件的长久保存问题。而这方面的规范有赖于档案管理机构来解决。
双套制的另一种情形,是国内的各级各类档案馆大量地将纸质档案拷贝成电子档案。为使档案馆蕴藏的丰富档案信息资源能够提供网络应用,根据档案利用需求有选择地提供目录定位服务以及部分档案的原件服务是必要的。如果盲目地无限度地进行档案的电子化,以此作为数字档案馆建设的成就标志,只能造成巨大的资源浪费。
可以想像,不解决双套制的问题,是无法推动信息化发展的。信息化发达国家在信息化进程中都强调“无纸化”作为信息化的战略目标来积极推动,可见它对信息化发展的重要意义。
双套制或无纸化的解决方案,一定不是单纯的技术解决方案,而应该是制度化方案。这个制度化的解决方案,依赖于我国信息化的发展程度,取决于信息系统的业务覆盖率,特别是网络应用的覆盖率。在此基础上要形成无纸化的全面管理制度,可能包括两个层面:档案馆层面的和机构层面的。档案馆层面要解决电子文件永久保存的技术条件(载体的可靠性、信息对格式的非依赖性)、文件真实性的制度和管理系统保障规范、电子文件应用的规范。对机构层面,档案及档案管理系统提供凭证性、证据性文件的系统认证标准、规范,第三方认证机构的建设等。
4、电子文件运动规律与档案管理模式选择
近年来,关于“文件生命周期理论”和“文件连续体理论”的争论十分引人关注。信息化彻底改变了各类社会活动的时空关系和运行模式,人们需要基于新的社会运行方式,建立新的信息思维,寻找信息运动新规律,以求在准确揭示信息运动规律的基础上,更好地进行管理。这是这场争论的意义所在。
“文件生命周期理论”与“文件连续体理论”的实质,是如何看待文件运动的统一性和管理一致性问题。“文件生命周期理论”强调在文件的不同运动阶段有着不同的运动特性,强调在不同的阶段实施不同的管理措施。而“文件连续体理论”认为文件运动是一个整体,文件运动有着不同的功能轴,文件运动每一个时点,都可能包含一个或多个功能价值取向,因此,管理上不必划分文件与档案的阶段性。从弗兰克·厄普沃德对文件连续体模式的四项基本原则看:第一,文件价值的持续性与文件档案化。主要强调的是文件、档案的整体观,这与我国普遍认知的“文件管理与档案管理一体化”的观念是相类似的⑦,是“从文件形成到文件作为档案保存和利用的管理全过程中连贯一致的管理方式”。第二,文件联系以逻辑联系为主。这是传统档案学的基本原则,档案的分类、主题方法都是按逻辑组织文件的方法,即使是网络化条件下,文件分处不同的物理位置,也应坚持这种方法。第三,文件管理制度纳入业务活动目标与过程。它强调的是要把文件管理职能制度化地纳入业务系统中,应该说“纳入”概念在档案界也并不是新概念。第四,档案学是随着组织知识的背景条件变化而变化⑧。这是关于档案学理论随着社会发展环境变化的思想,是任何理论都应该具有的素质。归纳起来讲,文件连续体理论强调的是文件与档案是一个整体,不必区别管理,而且从形成阶段就应予以制度化的干预。显然,这一核心思想存在着理论臆断性。文件的形成是为业务运转服务的,其首要目的和价值是业务的有效运转,如果按照文件的历史价值进行文件系统设计,其结果不仅会削弱文件的真实性、客观性,而且可能导致业务系统效率的极大降低。信息化发展的进程已经证实,无论是政府或是企业的系统,随着时间的推移都面临着系统数据档案化的问题,在业务系统中建设数据档案库,或者是不经档案价值鉴定,简单地直接地迁移业务系统数据到档案库,其信息质量根本无法保证。况且,由机构档案室到档案馆的过程,也绝不能是简单的迁移过程。
作为我国的档案工作者,在学习国外的理论经验时,不能采取简单的“取代”或“覆盖”等方法,而应该是在考察各种理论的基本背景的前提下,积极汲取各种观点中的有益成分,构建适合我国的档案管理可行模式。
网络技术的发展极大地促进了业务系统的连续性、关联性,如果不在制度上和文件管理要素上对业务系统提出要求,比如提出元数据要求,就可能使业务系统自然生成的电子文件无法长久保存。所以,文件连续体理论提出的整体系统思想是非常值得借鉴的。我国的电子文件管理中提出的全程管理、前端控制思想,就是对这种理论的合理诠释。但是,档案有档案的价值取向,对电子文件的管理要素的控制,不能取代对档案价值的判断和对文件的取舍。特别是在信息膨胀的时代,这一点尤为重要。目前,我国很多地方正在积极建设网络文件中心。这种热潮的基本出发点是,对分布在各个机构的业务活动中的电子文件进行集中管理,有的采取集中存储、集中利用的模式,有的采用备份中心的模式,有的采用存储目录、逻辑归档的模式。网络建立的广泛联系,为各种模式都提供了支持条件。无论是物理集中,还是逻辑集中,电子文件中心都不能以文件的集中取代文件的档案化过程。否则,随着时间的推移,就会出现电子文件的大量堆积的局面。无论采用何种理论模式作为指导,在电子文件运动整体环节中都不能取消“档案化”的环节。在信息爆炸的时代,这一点尤为重要。
注 释:
①北京市信息化领导小组办公室:《北京市“十一五”电子政务规划研究报告》。
②北京市信息化领导小组办公室:《北京市“十一五”国民经济与社会信息化发展规划》。
③⑥《2006年中国信息化发展报告》。
④naa.gov.au/recordkeeping/rkpubs/summary.html。
⑤archives.gov/。