公务员期刊网 精选范文 网络安全法论文范文

网络安全法论文精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全法论文主题范文,仅供参考,欢迎阅读并收藏。

网络安全法论文

第1篇:网络安全法论文范文

当前在计算机网络安全中,存在的安全隐患主要有:①口令入侵。计算机网络运行的过程中,存在的口令入侵安全隐患,主要是一些非法入侵者,使用计算机网络中的一些合法的用户口令、账号等进行计算机网络的登陆,并对计算机网络进行攻击破坏。计算机网络安全的口令入侵安全隐患,在非法入侵者将计算机网络使用者的用户口令、密码破解之后,就会利用合法用户的账号进行登录,然后进入网络中进行攻击。②网址欺骗技术。在计算机网络用户使用计算机网络的过程中,其通过方位网页、Web站点等,在计算机网络用户通过网络访问各个网站的过程中,往往忽视网络的安全性问题,正是因为计算机网络的合法用户在使用的过程中,没有关注到安全问题,为黑客留下了破坏的机会。黑客利用用户访问的网站、网页等,将其信息篡改,将计算机网络使用者访问的URL篡改为黑客所使用的计算机的服务器,在计算机网络用户再次登陆这些网站、网页的同时,就会出现计算机网络安全漏洞,而黑客就会利用这些安全漏洞,对合法用户的计算机网络系统进行攻击。③电邮攻击。在计算机网络实际运行中,产生这些安全隐患的影响因素有很多,例如计算机网络的软件技术、硬件技术不完善;计算机网络系统的安全配置建立不完善;计算机网络安全制度不健全等等,这些都会对计算机网络的安全使用产生危害,为此需要加强计算网络安全的防范。

2模糊层次分析法特征及其在计算机网络安全评价中的实施步骤

2.1模糊层次分析法特征模糊综合评价法是把传统层次分析与模糊数学各方面优势考虑其中的综合型评价方法。层次分析法重视人的思想判断在科学决策中的作用,把人的主观判断数字化,从而有助于人们对复杂的、难以精确定量的问题实施量化分析。首先我们采用模糊数构造判断矩阵替代单纯的1-9标度法解决相对应的量化问题,其次,采用模糊综合评价法的模糊数对不同因素的重要性实施准确的定位于判断[2]。

2.2模糊层次分析法步骤网络安全是一门设计计算机技术、网络技术、通信技术、信息安全技术等多种学科的综合技术。计算机网络是现代科技化的重要信息平台,网络安全评价是在保障网络系统安全性能的基础上,实施的相关网络技术、网络安全管理工作,并把操作环境、人员心理等各个方面考虑其中,满足安全上网的环境氛围。随着计算机技术、网络技术的快速发展,网络应用已经牵涉多个领域,人们对网络的依赖度也日益加深,网络安全成为重要的问题。采用模拟层次分析法对计算机网络安全进行评价,模拟层次分析法实际使用步骤如下:

2.2.1创建层次结构模型模糊层次分析法首先要从问题的性质及达到的总目标进行分析,把问题划分为多个组成因素,并根据各个因素之间的相互关系把不同层次聚集组合,创建多层次结构模型。

2.2.2构建模糊判断矩阵因计算机网络安全评价组各个专家根据1-9标度说明,采用两两比较法,逐层对各个因素进行分析,并对上个层次某因素的重要性展开判断,随之把判断时间采用三角模糊数表示出现,从而创建模糊判断矩阵[3]。

2.2.3层次单排序去模糊化是为把模糊判断矩阵转换为非模糊化判断矩阵,随之在非模糊状态下使用模糊层次分析法。去模糊化之后对矩阵对应的最大根λmax的特征向量进行判断,对同一层次相对应的因素对上层某因素的重要性进行排序权值。

2.2.4一致性检验为确保评价思维判断的一致性,必须对(Aa)λ实施一致性检验。一致性指标CI及比率CR采用以下公式算出:CI=(λmax-n)(/n-1);CR=CI/RI,在上述公式中,n表示判断矩阵阶数,RI表示一致性指标[4]。

2.2.5层次总排序进行层次总排序是对最底层各个方案的目标层进行权重。经过权重计算,使用自上而下的办法,把层次单排序的结果逐层进行合成。

3模糊层次分析法在计算机网络安全评价中的具体应用

使用模糊层分析法对计算机网络安全展开评价,我们必须以全面科学、可比性等原则创建有价值的安全评价体系。实际进行抽象量化时,使用三分法把计算机网络安全评价内的模糊数定义成aij=(Dij,Eij,Fij),其中Dij<Eij<Fij,Dij,Eij,Fij[1/9,1],[1,9]这些符号分别代表aij的下界、中界、上界[5]。把计算机网络安全中多个因素考虑其中,把它划分为目标层、准则层和决策层三个等级目,其中准则层可以划分为两个级别,一级模块采用物理安全(C1)、逻辑安全(C2)、安全管理(C3)等因素组成,二级模块则划分为一级因子细化后的子因子。依照传统的AHP1-9标度法,根据各个因素之间的相互对比标度因素的重要度,标度法中把因素分别设为A、B,标度1代表A与B相同的重要性,标度3代表A比B稍微重要一点,标度5代表A比B明显重要,标度7则表示A比B强烈重要,标度9代表A比B极端重要。如果是倒数,应该依照矩阵进行判断。以此为基础创建不同层次的模糊判断矩阵,根据目标层、准基层、决策层的模糊对矩阵进行判断,例如:当C1=(1,1,1)时,C11=C12=C13=(1,1,1)。采用这种二分法或许各个层次相对应的模糊矩阵,同时把次矩阵特征化方法进行模糊。获取如下结果:准则层相对于目标层权重(wi),物理、逻辑、安全管理数据为:0.22、0.47、0.31。随之对应用层次单排序方根法实施权重单排序,同时列出相对于的最大特征根λmax。为确保判断矩阵的准确性和一致性,必须对模糊化之后的矩阵实施一致性检验,计算出一致性指标CI、CR数值,其中CI=(λmax-n)(/n-1),CR=CI/RI,当CR<0.1的时候,判断矩阵一致性是否两否,不然实施修正。最后使用乘积法对最底层的排序权重进行计算,确保或许方案层相对于目标层的总排序权重[6]。

4结语

第2篇:网络安全法论文范文

【关键词】大学生;网络素养;网络安全

本文基于网络素养视角下探究大学生网络安全教育引导来源于2016年影响较为广泛的“徐某某”电信诈骗事件。2016年8月,某省高考录取新生徐某某的考生信息被犯罪分子通过网络技术手段窃取,并假扮教育局、财政局工作人员以发放助学金名义骗取徐某某上大学的费用9900元。在得知被骗后,徐某某郁结于心,最终导致心脏骤停不幸离世。该事件发生后,立即引起了社会各界广泛关注,大学生网络安全又被推向舆论的浪尖。因此,如何开展大学生网络安全教育引导,提高大学生的网络安全防范意识是我们值得深思的问题。

一、网络素养与网络安全的关系

网络素养主要由五个部分构成:信息接收、信息解读、网络安全、网络利用、网络伦理道德1。网络安全与网络素养的关系是包含、融合和发展的关系。网络安全是构成网络素养的重要部分之一,网络安全进一步发展了网络素养的内涵和外延;网络素养包含了网络安全,缺乏网络安全的网络素养注定是不完整的、不全面的,因此两者相辅相成,相互影响,缺一不可。

二、大学生网络安全意识缺失的表现

1.信息辨别能力不强

网络信息浩如烟海,对信息判断能力相对较弱的大学生而言一旦遇到虚假信息就有可能造成不可估计的后果。如网络兼职,利用课余时间做兼职是在校大学生接触社会锻炼自己的一个很好途径,而电脑、手机和网络的普及,促使很多大学生不再局限于传统的兼职手段,而是涌现了部分网络兼职群体,也出现了很多网络兼职网站。虽然网络兼职具有不受地域限制、信息流通更快捷等优点,但遇到的不确定性因素却增多,如个人信息被盗,骗取押金、冒充亲人骗取钱财等。同时,大学生对二维码风险、公共wifi、伪基站风险的认识还需要进一步加强。

2.网络成瘾

包括“游戏瘾”、“购物瘾”、“社交瘾”等网络成瘾问题。长期处于网络成瘾会导致大学生学业荒废、与家人朋友关系疏远、身心受损等严重后果。如网络购物,虽然突破了传统商务模式的障碍,无论对消费者、市场都有着巨大的吸引力和影响力,网上商品的物美价廉和便捷性也极大吸引了大学生消费群体。但是网购是把双刃剑,具有两面性。虽然现在网络支付手段和环境相对安全,但也难免有不法分子投机取巧,利用不法手段窃取用户支付信息导致财产损失2。此外长期沉迷网络购物、网络游戏等,会造成大学生超前消费,意志消沉,从而构成网络犯罪。

3.网络犯罪

网络犯罪也是大学生常见的网络安全问题之一。在刷微博、朋友圈和其他APP上获取资讯时候,“三观”尚未成熟且理性思维尚缺的大学生容易产生从众心理和尝新心理,导致错误的信息判断,网络舆论暴力、网络涉黄、网络诈骗、网络涉谣等现象出现。但是部分大学生不能合理规划个人消费,盲目攀比,或者部分大学生需要资金支持个人创业,如果遇到不正规不合法的网贷渠道,风险意识较弱的大学生必定成为弱势群体,倘若大学生欠下债务而无力偿还就有可能走向犯罪。

三、开展大学生网络安全教育引导

1.建立网络安全防护

在国家政策的指导和保障下,要建立网络安全产业链,构筑网络安全壁垒。一是从法律保障和安全监管角度出发,与时俱进地推动和完善与网络安全相关的法律法规、技术标准,做好法律保障;加强网络安全监管和综合治理能力,提升网络安全事件应急力和打击力度。基于此,《中华人民共和国网络安全法》的推出为保障网络安全,为信息化健康运行奠定了有法可依的基础。二是从社会监督角度出发,充分发挥行业组织和专业机构的作用,建立健全网络安全社会监督举报机制,形成行业监管氛围;三是从运营商的角度出发,无论是个体企业还是企业之间都要加强网络安全防范意识,并严格自律。由此肃清网络环境的不良行为,对净化网络环境,为互联网良性健康发展保驾护航。

2.拓展高校网络安全教育引导

将网络安全教育引导与日常思想政治教育工作结合起来,充分发挥高校辅导员队伍的作用。再次,网络安全教育引导要贯穿于第一课堂和第二课堂,在课堂教育、教材融入和科研课题研究基础上,在大学生之间广泛开展网络安全实践教育,通过正反案例分析、情景再现互动、技能知识竞赛等形式培养大学生网络安全意识。大学生自我提升网络安全意识虽然大学生的文化知识水平较高,但是由于尚未完全踏入社会,社会经验不足,容易缺乏安全防范意识,加之法律观念淡薄,从而导致一些不良事件发生。因此,大学生自我网络安全意识培养是现实需要。首先,学习计算机使用知识。大学生要学会如何使用计算机、如何利用计算机为个人发展服务。在使用过程中能够正确辨别那些是有害信息、有害软件,通过知识的学习铸造一道网络安全心理防线。其次,加强自身法制观念。因为必要的法律认知对于个人来说是一种约束,但也更是一种保护手段。再次,要提高社会实践防范能力。大学生面临着从学校过渡到社会人的关键阶段,社会实践作为大学生踊跃参加的活动之一,年龄的增长并不意味着思想的成熟,对危险预判的缺乏往往导致安全事故的发生。

四、结语

网络的发展带来的大学生网络安全问题是现实问题,是一项紧迫且必需完成的任务。网络安全作为网络素养的重要组成部分之一,加强网络安全引导是我们实施网络素养教育的重要措施之一,关注和研究这一领域,将开辟网络素养教育更多途径,丰富网络素养教育内容。

参考文献

[1]中国互联网络信息中心.《中国互联网络发展状况统计报告》,2017.

[2]吴泽鹏.大学生自身网络安全问题研究,西安工业大学硕士学位论文,2016.

[3]中国互联网络信息中心.《2015年中国手机网民网络安全状况报告》,2015.

注释

第3篇:网络安全法论文范文

论文关键词:网络文化 网络安全 网络安全文化

论文摘要:该文论述了文化对人的网络信息行为的影响,介绍了网络安全文化的产生背景和构成。并对网络安全文化的内涵及作用机制进行了研究。

1 引言

网络环境的出现极大地方便了人们之间的信息交流,推动了人类社会的进步。但同时,它也是一把双刃剑,它在为我们提供了便利的同时,也带来了许多问题。其中网络安全问题已成为日渐棘手、迫切需要解决的一项任务。以往,人们注重从技术上去着手解决这个问题,而往往忽略了其它防护,虽然收到了一定的效果,却不能从根本上解决网络安全问题。事实上,信息管理的成功,关键在于人的因素。加强人的因素管理,是保障网络安全的重要途径。而人是社会的人,他生活在一定的文化背景之中,文化对人的信息安全行为产生巨大影响。因此,笔者从文化、网络文化、安全文化三者的内在联系入手,试图探讨一种新的文化—“网络安全文化”。本文就“网络安全文化”相关概念、与其它文化的联系及其意义进行了分析与探讨。有关“网络安全文化”的结构体系与实施途径等内容,将在另外的论文中予以研究,在此不作赘述。

2 网络安全文化的产生背景和构成

互联网出现以后,人们的网络活动日见频繁,并随之产生网络文化,网络活动总会有意识或无意识地包含着安全活动。因此,安全文化便自然地融入其中,引导和制约着人们的网络信息安全行为,起到约束和管理人的网络信息行为的作用,形成了一种全新的、而被人们忽视了的“网络安全文化”。基于此,本文提出网络安全文化的概念,它是安全文化的子类,是安全文化和网络文化相互渗透的结果。它继承了安全文化与网络文化的共性,同时又具有自己的特性。它通过影响网络操控者人的行为来影响网络安全,它对网络安全的影响贯穿人们网络活动的始终。因此,我们认为网络安全文化是安全文化和网络文化的一个子类,它指人们对网络安全的理解和态度,以及对网络事故的评判和处理原则, 是每个人对网络安全的价值观和行为准则的总和。如前所述,网络安全文化是网络文化与安全文化的交集,既是安全文化发展到网络时代的产物,属于安全文化的一部分,也是网络文化的安全影响因素,属于网络文化的一部分。

参照传统的文化结构划分方法,我们将网络安全文化分为三层,即网络安全物质文化、网络安全制度文化和网络安全精神文化。网络安全物质文化是网络安全文化的外显部分,也是最基本、最常见构成部分,它主要指包括像防火墙之类的各种网络安全硬件设备和软件产品,网络安全制度文化是更深一层次的文化,包括各种维护网络安全的法律法规和规章制度,网络安全精神文化是网络安全文化的核心,包括人们对网络安全的意识、心理、理论等。在这三层中,网络安全物质文化是物质体现,同时也是决定因素,它决定网络安全制度文化与网络安全精神文化,网络安全制度文化是中间层,既由网络安全物质文化决定,也受网络安全精神文化的影响,同时也反作用于网络安全物质文化和网络安全精神文化,网络安全精神文化是核心,是网络安全文化的本质,由网络安全物质文化和网络安全制度文化决定,同时内在于前二者,反作用于前二者,三者相互影响,相互促进。

3 网络安全文化的作用机制

3.1 网络安全文化的作用方式

1) 网络安全文化影响人们的网络安全观念,安全观念即人们对网络安全的认识与评判准则,这个认识可以用几个问题来描述:网络应不应该安全;什么是网络安全;怎么评价网络安全;如何保证网络安全。这些问题都会影响到网络的安全,作为一种价值观,它可以直接影响到人的行为及其它方面。2) 网络安全文化影响网络安全相关法律法规的制定,法律法规是统治阶级意志的表现,而这种意志毫无疑问是受价值观影响的,安全法律法规一旦颁行后就成为强制性的手段规范人们的网络安全行为。3) 网络安全文化影响网络伦理的形成,网络伦理包括道德意识、道德关系、道德活动三个层次,与法律法规不同,网络伦理道德是人们在网络活动中慢慢形成的共同的价值观与行为准则,它虽然不像法律那样有强制性,但它能在不知不觉中制约人们的网络行为,起到一种软制约的作用,这种作用有时甚至比法律更有力。4) 网络安全文化影响技术的发展,技术总是为生产力发展服务,而生产力又受到生产关系的制约,当人们越来越注意到网络安全的时候,那些更能满足安全需要的技术总能得到较快的发展,像各种安全理论和防火墙之类的安全设备正变得越来越科学与可靠,从而使网络更安全。5) 网络安全文影响组织结构与权力分配,在网络发展初期,人们更看重的是速度与共享,人们自愿地接入网络而较少考虑安全方面的问题,那时的发展行成了今天网络的雏形,随着网络的发展及安全事故的增加,安全问题越来越受到人们的重视,安全考虑也越来越融入到网络建设中去,从而各种各样的网络安全管理组织应运而生,虽然在互联网中每个人都是平等的,但也总存在着一些特权组织与用户,他们拥有一般用户所没有的超级权限以便能够对网络安全进行管理与监控。

3.2 网络安全文化的作用过程

网络是计算机技术与通信技术的结合,它从一开始就是为人们通信服务,它的根本任务始终是信息共享与交流,它的主体是人,客体是信息。网络安全文化则产生于人的网络信息活动并影响人的网络信息活动,它的影响过程是全过程的,即从信息的收集、加工、存储,到传输的整个过程。

1) 网络安全文化对信息选取、收集的影响。网络安全文化通过前述各种方式对网络主体的信息收集行为的影响可以从以下几个问题来阐述:应该从哪些地方收集信息,原创还是下载;应该怎样收集信息,用合法手段还是非法手段;应该收集什么样的信息,有益信息还是有害信息,或者非法信息;为什么要收集信息,合法目的还是非法目的。网络安全文化就是通过回答这些问题而在行为主体心中形成一定的价值取向从而制约他们的安全行为。2) 网络安全文化对信息加工、存储的影响。网络安全文化对信息加工与存储的影响可以通过以下几个问题阐述:为什么要加工信息,合法目的还是非法目的;加工什么样的信息,有益的还是有害的,或者是非法的;怎样加工、存储信息,安全可靠,还是不安全可靠。3) 网络安全文化对信息、传输的影响。网络安全文化对信息、传输的影响可以从以下几下问题来阐述:应该什么样的信息,有益的信息还是无用信息,抑或非法信息,应该怎样信息,通过安全合理的渠道还是相反;如何保证信息传输的安全性,用技术手段还是管理手段抑或二者兼有。

4 网络安全文化建设的意义和作用

网络安全文化存在于人的心里,是引导和规范人的网络行为的“心镜”。人们通过将自己的行为与之相比较,来判断自己的行为是否应该发生。它和行为主体的动机、情绪、态度等要素一起作用于主体,在很大程度上影响着主体的行为,并使得网络更加安全和谐,因此培育优秀、先进的网络安全文化具有重大的现实意义和作用。

1) 能减少网络安全事故的发生,提高网络的安全系数并减少由网络安全事故带来的经济损失。

2) 它能增强网络的安全性和提高网络的运行效率,网络安全文化通过影响人的行为来保证网络的安全高效运行。

3) 它能营造和谐的网络环境,在网络中,没有种族、地域、财富的限制,人人平等,人们可以自由地交流,可以充分地展示自己。

4) 能促进计算机网络技术的发展,先进的网络安全文化总是促使人们去自觉发掘网络中的不安全因素并解决它们,不断地改进网络性能,使网络更加安全,促进计算机网络技术的发展。

5) 它促进了人类文化的发展,丰富了文化的内涵,推动了人类社会的进步,它能促使人类文化的交融,使优秀的文化得以发扬,使落后的文化得以摒弃。

5 结束语

综上所述,网络安全文化是安全文化在网络时代的发展,是网络文化的一个重要组成部分,它产生于人们的网络安全活动,又反过来影响和制约人们的网络安全活动,它对解决目前日益紧迫的网络安全问题有着重大的意义,培养积极、健康的网络安全文化是我们目前面临的一个重要且紧迫的任务。

参考文献:

[1] 罗益群.信息社会学[M].长沙:湖南人民出版社,2001.

第4篇:网络安全法论文范文

论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。

一、信息化的内涵、信息资源的性质及信息的安全问题

“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。

信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。

信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:

一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。

二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。

三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。

信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。

二、我国信息化中的信息安全问题

近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。

1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。

2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。

4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。

5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。

造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。

除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。

三、相关解决措施

针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。

1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。

2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。

3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。

4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。

5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。

第5篇:网络安全法论文范文

文章共分七个部分: 引言部分,提出写作论文的起由,该领域的研究现状,以及论文的主要内容和研究方法; 第一章,从国际政治学和信息科学的角度阐明国家安全与信息安全的相关概念,并找寻到安全、国家安全、信息、国家信息安全之间的内在联系。冷战后,信息安全日渐突出。信息安全是指保证信息的完整性、可用性、保密性、可靠性和可控性,实质就是要保证信息系统及信息网络中的信息资源不因自然或人为的因素而遭到破坏、更改、泄露和非法占用。信息安全具有高度脆弱性和风险性、潜伏性和突发性、攻击源的多样性和防范对象的不确定性、安全主体的不对称性等特征。信息安全的内容广泛,涉及政治、经济、文化、军事、科技、资源生态等领域。威胁信息安全的因素主要包括病毒、网络黑客、网络犯罪和垃圾信息等。

第二章,深入分析信息安全对我国和世界安全的影响。在信息网络广泛渗透于社会生活各个领域的条件下,信息安全成为国家安全的基石。主要体现在:信息安全成为影响政治安全的重要因素,国家的维护更加困难,难以控制的“网上政治总动员”危害社会稳定,颠覆性宣传直接危及国家政权,国家形象更易遭受攻击和歪曲;信息安全是经济安全的重要前提,它关乎国家经济安全的全局,信息产业自身安全令人担忧,网络经济犯罪成为经济安全的顽疾,金融业遭受的安全挑战更加严重;信息安全对文化安全的影响不容忽视,“网络文化帝国主义”威胁我国传统文化的继承和发扬,社会主义意识形态、价值观念和道德规范遭到冲击;信息安全对军事安全的作用更加突出,“制信息权”对战争结局意义重大,信息威慑、网络信息战、黑客攻击与军事泄密严重威胁军事安全。

第三章,中国信息安全面临的挑战与威胁。中国的信息化建设起步较晚,信息安全技术水平也比较滞后,网络安全系数很低,信息安全现状不容乐观,主要从信息流动途径、发达国家的技术遏制及世界信息强国信息战略对我国的威胁和启示等方面进行了分析。在本章中尤其分析了美国、英国、法国、日本、韩国、俄罗斯、印度等国家信息战略,以求对保障中国信息安全提供借鉴与思考。

第四章,从我国信息安全遭到挑战的原因分析,探讨包括我国在信息安全保障现状、信息安全管理制度、国民信息安全意识、基础信息产业严重依靠国外、立法不完善等方面存在的问题,以求对扞卫我国信息安全提供思考。同时还分析了全球信息化对我国信息安全的冲击与启示。

第6篇:网络安全法论文范文

【关键词】大学生;网络购物;对策研究

一、大学生网络购物面临的困境

所谓网络购物是指消费者通过互联网上的检索平台搜索所需的商品信息,以电子订购单的方式发出购物意向,再通过网上银行或支付宝等支付平台支付金钱,商家通过邮购或者快递公司送货上门,消费者签收货物,完成整个交易的过程。

(一)网络欺诈成为常见的购物陷阱

“大部分大学生作为一个没有收入来源的纯消费群体,由于受消费资金的限制经常会在网店上购买一些价格比较便宜的商品”,消费者在网络购物时不能通过直接观察和触摸检验商品的真实性这一弊端和大学生追求物美价廉的心理造成了一些商家非法出售劣质商品,谋取不正当利益的行为现象。

(二)支付安全一般难有安全保障

支付安全是大学生在网络购物过程中遇到的重要问题。货到付款作为最安全的支付方式被大学生喜爱和认可,现实原因主要是货到付款不利于商家的资本周转同时也降低了商品交易速度,并没被大部分购物网站所采用。由于商家的限制,网络购物的消费者只能选择网上银行付款。另外一些不良的网上支付习惯也容易产生支付安全问题。

(三)物流配送问题多多

邮费过高,当前大部分大学生认为网络购物时快递的收费标准偏贵;快件损毁或丢失,原因包括部分企业盲目追求短期效益,企业超负荷运转,快递从业人员的准入门槛低,派送快递的人员素质整体上不高;快件延误,部分物流企业追求规模效应和业务量的最大化,盲目的扩大企业经营规模和服务范围,导致企业不能快速的收取快件;验货程序不合理,分快递公司遵从先签单后验货的不合理程序,依照正确的先验货后签单的程序进行的快递公司只占少部分。

(四)大学生隐私权在网络购物中屡被侵犯

1.网络购物中不良商家故意侵犯大学生隐私权

由于现在的网络技术的先进性,一些有心的网上经营者往往会对消费者信息进行处理,然后将这些消费者的个人隐私予以不正当的利用,或者以一定的价格转卖给其他网站或者企业等。由于大学生群体社会经验不足,诈骗分子很容易把目标锁定在这一群体,因此大学生一些隐私信息的泄露对大学生很不利。

2.多数大学生在网络购物方面法律意识淡薄

大学生在网络购物方面的法律意识比较淡薄。主要原因是我国网络方面的法律法规还在处在逐步完善的阶段,大学生也缺乏这方面知识的积累。

(五)大学生存在过度消费现象

大学生因一时心动购买了一些没有多少实用价值的物品,还有一些大学生贪图卖家包邮商品,在无意中买了很多原本没打算买的东西,因此花了很多的钱。

(六)大学生过度迷恋网络购物

一些大学生自控能力差,承受不住网络商家的诱惑,成为整天沉迷于网购的上班族,甚至有人对网购成瘾,他们对网购形成了心理依赖,也在一定程度上影响了大学生的学习生活。

二、造成大学生网络购物困境的原因

(一)我国的网站管理制度不健全

我国现有的网站管理制度并不是很健全,许多网站经营者不顾广告的真伪以营利为目的向其他商家信息。很多有心的商家便利用了这一漏洞,轻而易举的在网络上虚假的商品广告,吸引网络消费者购买商品或服务,而大学生在消费资金上受到限制,过分关注价格,对一些虚假信息容易信以为真。

(二)物流企业分散度高、部分物流人员职业素质差

中国的物流企业起步较晚,进入门槛低,这导致了中国的物流企业分散度非常高,部分物流企业盲目追求短期效益,企业超负荷运转”。快递从业人员的准入门槛低,派送快递的人员素质整体上不高。

(三)网络隐私保护法的缺失

“我国对互联网的法制管理还处于初级阶段,关于网络隐私保护的法律法规还不健全,没有制定专门的网络隐私保护法”。因此,消费者在进行网络消费时较易遭遇侵权行为。

(四)大学生网络安全教育缺乏

高校教学中无论是公共课、还是专业课的教学大纲都没有把网络安全的法律法规教育正式纳入,更没有制订相关的课程标准,绝大部分大学生没有接受系统的网络安全法律法规教育,对网络安全缺乏全面的认识。

(五)大学生不理性的消费观念

部分大学生自身意志力不强,看到打折的商品就抑制不住购物的冲动而买了一些无用的商品,还有一些大学生盲目消费,追求名牌,存在攀比心理,他们在行为上互相影响。

(六)某些大学生网购成瘾

从网络购物来看,网络购物方便快捷,价格低廉使部分大学生过分迷恋网络购物。从大学生自身来看,一方面是由于大学生意志力不强,看到打折商品便抑制不住购买的冲动,即使给自己的生活造成了很大的负担也在所不惜。另一方面是因为大学生存在学习,就业等方面的压力,部分人通过借助网络购物来舒缓压力。

三、应对大学生网络购物遇到的问题的对策

(一)政府应充分发挥自己的作用

政府要降低物流企业的分散度,运用经济手段提高物流行业的进入标准,降低物流企业的分散度,完善网络信息审查机制,制定关于网络隐私保护的专门法律,使网络购物消费者的隐私权得到保护。

(二)物流企业提供多样化服务,提高配送效率,优化服务流程

“物流企业的发展影响着网络购物的发展,物流的好坏快慢影响着大学生是否会再次选择该家商品。”物流根据自身企业的特点形成自己独特的发展优势,注重企业的长远发展。

(三)高校要注重大学生的理性消费教育

高校应该倡导大学生树立理性的消费观,定期开展理财教育讲座,使大学生学习必要的网络消费知识,倡导文明健康消费。

(四)大学生从自身做起,树立理性消费观念

大学生要从自身做起养成良好上网习惯,包括信息传递习惯,登陆习惯,支付习惯,保护好个人隐私。在网络购物时经过多次比较后严谨的选择购物网站,选择正规的网站商家,理性的看待网站的宣传,学会用法律武器维护自身的合法权益,积极学习网络购物方面的法律法规。

参考文献:

[1]宋朝阳.浅析大学生网络购物现状及前景[J].湖南财经高等学校学报,2009(119):100

[2]何昕.网络交易中消费者隐私权法律保护问题研究[D].西南财经大学硕士学位论文,2008

[3]林敏晖.网络购物中物流瓶颈问题的思考[J].物流工程与管理,2010(11):28

第7篇:网络安全法论文范文

 

1、企业网络信息安全管理的现状分析

 

1.1、钢铁企业信息化的必要性分析

 

随着我国经济的发展和科技的进步,信息化已在越来越多的企业中被得到应用,而钢铁企业作为我国的经济支柱之一,在近年来也逐渐实现了钢铁企业的信息化建设。在钢铁企业中实施信息化建设,一方面是可以将钢铁企业的发展空间扩大,提高企业本身的在市场的竞争力,使其在如今竞争激励的市场中占有一席之地,对钢铁企业实施信息化建设是企业发展的需要;另一方面,由于钢铁企业的业务,其所涉及到数据、文档和图纸等的数量都是比较多的,想要将这些数据、文档和图纸储存起来是一件不容易的事,操作起来比较复杂,而通过信息化技术的支持则可以大大的简化了这个储存操作的过程,便于人员进行操作,使钢铁企业的运行效率得到大大的提高,对钢铁企业实施信息化建设是企业管理的需要。除此之外,随着生产链全球化和供应链全球化的日益紧密,钢铁企业作为我国的经济支柱之一,要求其利用信息化管理加强对钢铁生产建设的指导的迫切性已是越来越突出。因此,对钢铁企业实施信息化建设是非常有必要的,它不仅仅是钢铁企业本身发展的需要,也是钢铁企业管理的需要,同时也还是生产链全球化和供应链全球化对钢铁企业生产的要求所在。

 

1.2、当前存在的问题

 

上述信息化优势证明我国电力企业近年来关于网络信息化建设取得了一些成果,给行业信息化建设打下了良好的基础,但在网络信息安全管理方面仍普遍存在较多问题。

 

(1)信息化机构建设不健全

 

钢铁企业很少为信息管理部门专门设置机构,因而缺乏应有的规范的岗位及建制。大多信息部门附属在技术部、科技部或总经理工作部门下,甚至仅设置一个专责人员负责。信息化管理是一项系统性的工程,没有专门的部门负责是不能满足现代企业信息化安全的需求的。

 

(2)企业管理阻碍信息化发展

 

有些钢铁企业管理办法革新缓慢,大多采用较落后的、非现代信息化企业的管理模式。这样的企业即便引入最完善的信息管理系统、最先进的信息化设备,也只能受落后的企业管理模式所制约,无法发挥其应有的作用。

 

(3)内部监管不足,相关法规不够完善

 

内部网络安全监管对信息安全管理起着至关重要的作用。很多信息安全案件发生的根本原因都是缺乏有效的网络安全监管,即使许多信息安全管理者认识到了加强内部监管的重要性,但实施起来依然阻力重重。很多具体的危害信息安全的行为并没有在现行的信息安全法律、法规中做出明确的界定。

 

(4)身份认证缺陷

 

电力企业一般只建立内部使用的信息系统,而企业内部不同管理部门、不同层次员工有不同等级的授权,根据授权等级不同决定各部门和员工访问的数据和信息不同。这类授权是以身份认证为基础的信息访问控制,但在当前的企业身份认证系统中大多存在缺陷和漏洞,给信息安全留下隐患。

 

(5)软件系统安全风险较大

 

软件系统安全风险指两方面,一是编写的各种应用系统可能有漏洞造成安全风险,二是操作系统本身风险,随着近期微软停止对windowsXP系统的服务支持,大量使用windowsXP系统的信息管理软件都将得不到系统漏洞的修补,这无疑会给信息安全带来极大风险。

 

(6)管理人员意识不足

 

很多钢铁企业员工网络安全意识参差不齐,一方面是时代的迅速发展导致较年轻的管理人员安全意识较高,而对网络接触较少的中老年员工网络安全意识较为缺乏;另一方面也有电力企业管理制度不够完善、忽视对员工进行及时培训的原因。在这种人员背景下,如果管理人员配备不当、信息管理系统设置不合理都会给企业信息埋下安全隐患。

 

2、完善企业网络信息安全方案的具体实施

 

2.1、防火墙部署

 

防火墙是建立在内部专有网络和外部公有网络之间的。所有来自公网的传输信息或从内网发出的信息都必须穿过防火墙。网络访问的安全一方面我们要配置防火墙禁止对内访问,以防止互联网上黑客的非法入侵;另一方面对允许对内访问的合法用户设立安全访问区域。防火墙是在系统内部和外部之间的隔离层,可保护内部系统不被外部系统攻击。

 

通过配置安全访问控制策略,可确保与外界可靠、安全连接。防火墙的功能是对访问用户进行过滤,通过防火墙的设置,对内网、公网、DMZ区进行划分,并实施安全策略,防止外部用户或内部用户彼此之间的恶性攻击。同时防火墙支持VPN功能,对经常出差的领导、员工支持远程私有网络,用户通过公网可以象访问本地内部局域网一样任意进行访问。此外,防火墙还可以收集和记录关于系统和网络使用的多种信息,为流量监控和入侵检测提供可靠的数据支持。

 

2.2、防病毒系统

 

计算机网络安全建设中其中最为关键的一个部分即是加强对防病毒系统的建设,这就需要在实际工作中,通过科学合理对防病毒系统进行装置,从而实现对病毒的集中管理,利用中心控制室来对局域网的计算机和服务器进行有效的监视,从而加强病毒的防范。而对于进入到计算机系统内的病毒则需要做出及时的影响,预以及时清除。

 

2.3、流量监控系统

 

什么是流量监控?众所周知,网络通信是通过数据包来完成的,所有信息都包含在网络通信数据包中。两台计算机通过网络“沟通”,是借助发送与接收数据包来完成的。所谓流量监控,实际上就是针对这些网络通信数据包进行管理与控制,同时进行优化与限制。流量监控的目的是允许并保证有用数据包的高效传输,禁止或限制非法数据包传输,一保一限是流量监控的本质。在P2P技术广泛应用的今天,企业部署流量监控是非常有必要的。

 

2.4、合理的配置策略

 

通过将企业网络划分为虚拟网络VLAN网段,这样不仅可以有效的增加网络连接的灵活性,而且可以对网络上的广播进行有效的控制,减少没必要的广播,从而有效的释放带宽,不信有效的提高网络利用率,而且使网络的安全性和保密性能得到有效的提升,确保了网络安全管理的实现。

 

2.5、安全管理制度

 

目前我国还没有制订统一的网络安全管理规范,所以在当前网络安全不断受到威胁的情况下,需要我们首先在设计上对安全功能进行完善,其次还要加强网络安全管理制度的建立,并确保各种安全措施得以落实。对于企业中安全等级要求较高的系统,则需要由专人进行管理,实行严格的出入管理,利用不同手段对出入人员进行识别和登记管理,从而确保企业网络信息的安全性。

 

总之,在计算机技术、信息技术和网络技术的发展下,企业在生产活动中都建立了属于自己的局域网和企业办公平台,从而使企业在生产和经营过程中的数据传输速度加快,而且业务系统及管理系统以网络分支的情况下分布开来,这对于企业管理效率的提升起到了积极的作用。网络技术在企业中的应用,有效的改变了企业的生产方式,推动了企业的快速发展,但其也带来了一定的隐患,如果不能及时对网络的安全进行有效的防范,则会给企业带来严重的经济损失。

 

作者:施雅芳 来源:城市建设理论研究 2014年35期

第8篇:网络安全法论文范文

高校教务档案是高校档案的重要组成部分,涉及到了信息种类的多个领域。高校教务档案本质上是有生命的,它的生命在于它的有用性。目前,档案信息化已成为高校档案部门加快档案管理现代化步伐的重要手段,同时信息化管理影响了高校教务档案信息的安全。基于此,本文主要针对高校教务档案信息管理安全影响因素以及对策措施做了详细阐述。

【关键词】

高校;教务档案;信息安全

1 高校教务档案的类型及特点

1.1 高校教务档案的类型

高校教务档案主要包括三项内容:教育教学档案、教师档案和学生档案。

(1)教育教学档案包括教学管理各个环节中形成的材料。如:教学大纲、计划、课程表,考试试卷、成绩、学生名册,教学文件、学籍管理等。

(2)教师档案包括教师教学教案、日历,教学研究论文、书籍,教师评教记录,年终考核等,主要以教师在执行教学任务、业务职称晋升等方面形成的材料。

(3)学生档案综合反映了学生在校期间各方面发展情况,无论是学生个人信息的登记、学期成绩记录、思想品德考核表,还是学生在校期间的日常行为规范、奖惩情况、毕业自我鉴定等皆会归于学生档案中。

1.2 高校教务档案的特点

(1)教务档案的专业性。高校的教学活动秉持的是科学严谨的教学理念和指导方法,是一种专门性活动,高校教学档案则是对整体教学活动的完整记录,而且较为明显地体现出学科的专业特性,教学活动始终与学科的专业教学与研究活动是密不可分的。

(2)教务档案的周期性。高校教务档案的信息记录都是有周期的,每一年高校都会招收大量新生,同时也会欢送各位应届生,记录对象的变化需要高校教务档案周期性的记录并不断做出部分调整,但自始至终都应保持着极强的稳定性。高校整体教学过程始终无法脱离学生入学和学生毕业这个周期过程,因而需要按照学年和学期做出适时合理的各项安排。

(3)教务档案的分散性。通常情况下,高校教务档案的数据资料来源较为分散,大多数都是通过教学和管理的过程收集到的,如学生学籍档案管理处、招生处、就业管理处、二级学院、高校所属的分校校区等等。而且有的来自不同的教学层面,如学生的毕业设计、优秀论文、课程实验报告、社会实践记录等,同时还包括来自教师的课程课件、PPT、讲义、学术论文等等。庞大的数据信息量,广泛的数据采集范围,对于高校教学档案的收集整理造成一定的影响,大多有价值的数据资料分散于各个部门的教师和学生手中,缺乏专门人员对各项信息统一收集、记录,造成教务办公室负担加重。

2 影响高校教务办公室档案信息安全的原因

2.1 人为因素

人为因素是高校教务档案信息安全受到威胁的主要原因。部门职工对于信息安全缺乏强烈的信息安全责任意识,且专业技能水平较低、对待工作存在不负责的现象,如此不仅会将档案信息的顺序、位置混乱摆放,更为严重的是将费尽人力、物力收集的数据信息丢失或是破坏。有些教务档案信息一旦遭到破坏,会给高校教育教学工作带来重大影响。为了避免该类严重事故的发生,高校人事管理部门在聘用档案专业管理人员时应经过严格的政治审查和专业测试,被面试者需经过初试、复试以及最终测试后方可就职。严格的人才聘用制度有益于采用具有强烈责任心的专业人员,如此便会大大降低高校教务档案信息受到的人为因素的影响。值得注意的是,学生的行为也会严重影响着高校教务档案信息的安全,部分学生由于成绩过低,不想被记录于档案中,会选择入侵档案信息系统篡改数据信息。

2.2 资金因素

资金因素也是高校教务档案信息安全稳定的重要因素之一,教务部门对专业技术人员的培训教育、档案信息的日常安全管理、突发事件的应急处理、相关设备和系统的定期维护和升级等各个环节皆需要资金的投入与支持。因而,为了确保高效教务档案的信息安全得到保障,相关部门需保证各个环节的信息安全资金经费能够准确到位,并在相关法律和政策监督的前提下,充分利用每一笔来之不易的资金,保证其能够得到充分、合理、有效的利用。

2.3 技术因素

信息技术在高校教务档案管理系统的日常运行中起着至关重要的安全保障作用。由于高校教务档案部门保存着周期非常长久的数据信息,一旦被破坏将会造成极为严重的后果,因而在信息安全方面除了要保障高校教务档案管理系统的安全运行之外,同时要警惕外界非法用户的入侵行为。如果没有信息技术的大力支持,高校教务档案信息将时刻受到安全威胁。

3 高校教务办公室档案信息安全的构建策略

3.1 人员安全意识

(1)加强人员信息安全意识。在高校内部扩大档案信息安全的宣传教育范围,提高相关工作人员的信息安全意识,定期对工作人员进行信息安全法律培训,不断强调档案价值的重要性,促使其在日常工作中能够积极主动保护教务档案信息安全。

(2)提高信息化管理水平。改善传统高校教务档案管理的模式,为保证能够对高校教务档案信息进行实时检索,需实时信息化、数字化、网络化的统一管理,建立安全、稳定、科学的高校教务档案信息管理系统。为了日后便于查询和利用各类数据信息,高校各个部门应配合教务档案管理部门的工作,及时将日常工作中的数据资料发送到该部门,并由其专业管理人员对这些数据资料进行筛选和整理,存储于高校教务档案信息管理系统中。

3.2 网络安全技术

(1)防火墙技术。现代网络环境下,为抵御外部网络对管理系统进行非法访问,高校应该设置防火墙技术。该技术是对访问内部网络的一种控制技术,能够阻止外部网络的非法用户进入网络内部破坏系统。

(2)入侵检测技术。近些年,入侵检测技术是比较流行的新型网络安全技术,在高校教务档案信息管理的日常工作中,入侵检测技术能够对访问网络的数据进行实时记录,同时能够抵御内部网络的攻击,有效减少外部非法用户入侵内部网络的时间。

3.3 安全管理建设

(1)选择档案载体。由于档案信息载体存在较大差异,载体的选择将会直接影响到高校教务档案的信息安全,因此需制定一套完善的高校教务档案信息备份管理机制。

(2)设备配置管理。在高校教务档案管理工作中,设备的整体性能和安全等级需谨慎考虑,同时要考虑其储存的位置、环境、温湿度等等。

(3)系统安全建设。

系统的安全保障建设是确保教务档案信息安全的有力支撑,需结合高校实际工作情况,鼓励管理人员参与到系统开发的整个过程,为系统规划建设提供合理化建议。

4 结语

随着信息安全研究的不断深入,相信高校教务档案信息安全问题会得到及时的解决,网络发展而发展的信息安全保障体系会被建成,从而保障高校教务档案信息安全管理这一分支,使其在信息安全保障体系的庇护下健康发展。

【参考文献】

[1]张惠.网络环境下高校数字档案信息安全保障初探[J].科技信息,2011(19)

[2]张新刚.高校数字化档案信息安全影响因素[J].南阳师范学院学报,2011(7)

[3]邵丽丽.高校教务档案管理常见问题及对策[J].中国电力教育,2010(3):51-52

第9篇:网络安全法论文范文

    论文关键词 计算机取证 电子证据 规制

    一、引言

    随着计算机和网络的广泛应用,人们的工作和生活也越来越依赖这一现代化的工具了。但与此同时,利用计算机和网络的犯罪案例也急剧增加,它扰乱了社会的经济秩序,对国家的安全、社会文化等都构成了威胁。为了更好地打击计算机犯罪,计算机取证这一交叉于计算机和法学的学科应运而生。计算机取证过程中获得的电子证据与传统证据相比,具有易失性、脆弱性等特点,现实办案过程中,所获取的材料往往多用作办案线索而非定案证据,一直以来在证明力上保守质疑。为了能够得到法庭认可的证据,就应该规范取证的过程,规范取证的步骤,依据相关的操作规范进行取证工作。那么如何制定规范?是从技术角度还是从法律角度进行规范?计算机发展日新月异,技术或者法律的规制是否也应与时俱进呢?如何解决这些问题,不妨先看看国外在标准化方面的进程。下面先从计算机取证的含义谈起,着重介绍国际计算机取证标准化方面的工作。

    二、计算机取证的含义

    计算机取证没有统一、准确的定义。计算机取证资深专家JuddRobbins给出的定义:将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。计算机紧急事件响应组CERT和取证咨询公司NTI扩展了该定义:计算机取证包括了对磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。系统管理审计和网络安全协会SANS归结为:计算机取证是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。

    这些概念比较侧重于对证据的收集和获取,而没有涉及对证据的分析和法庭出示等问题,因此这几种定义是不完全的。

    目前,比较全面且能广泛接受的概念是:计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程。取证的目的是为了据此找出入侵者(或入侵的机器),并解释入侵的过程。

    此外,和计算机取证相近的术语还有计算机取证、电子证据的收集等,虽然,业界有很多学者对它们的含义进行了区分和界定,实际上,笔者认为它们的含义大体相同,涉及的取证过程的步骤、原则、标准等理论也基本一致可以互通,所以并没有严格区分的必要。

    三、计算机取证的基本步骤

    计算机取证的工作流程目前并没有统一的规定,早在1999年,美国人法默和韦尼玛在一次电子取证分析培训班上率先提出了基本过程模型,遵循如下的基本取证流程:第一步,保护现场安全并进行隔离;第二步,对现场进行记录;第三步,系统地查找证据;第四步,对证据进行提取和打包;第五步,建立证据保管链。后来,相继有多种模型被提出,如:事件响应过程模型、执法过程模型、抽象过程模型、综合数字取证模型、增强式数字取证模型、基于需求的计算机取证过程模型、多维计算机取证模型、可信计算取证模型以及网络实时取证模型。总的来看,这些模型是分别立足于不同的取证环境或技术的,所反映出来的取证流程也有所差异。但大致都包含了如下几个部分:

    (一)现场保护与勘查现场勘查是获取证据的第一步,是指计算机侦查人员依照规定,使用计算机科学技术手段和调查访问的方法,对与计算机案件有关的场所、物品及犯罪嫌疑人、被告人以及可能隐藏罪证的人的身体进行检查、搜索,并对于和犯罪相关的证据材料扣留封存的一种侦查活动。

    (二)证据获取证据的获取是指识别物理设备中可能含有电子证据的电子数据,并对这些电子数据进行收集,或直接利用技术手段收集电子数据的过程。从本质上说,就是从众多的未知和不确定性中找到确定性的东西。所以,这一阶段的任务就是保存所有电子数据,至少要复制硬盘上所有已分配和未分配的数据,也就是通常所说的硬盘映像。除了硬盘数据外,网络数据也是要获取的证据。网络数据包括实时获取的网络通信数据流,网络设备上产生的日志文件,防火墙的日志文件以及与网络应用有关的日志和登陆日志文件等。

    (三)证据鉴定计算机证据的鉴定主要是解决证据的完整性验证。计算机取证工作的难点之一是证明取证人员所收集到的证据没有被修改过。而计算机获取的证据又恰恰具有易改变和易损毁的特点,如果获取的电子数据不加以妥善保存,电子数据很容易受到破坏,甚至消失。所以,取证过程中应注重采取保护证据的措施。常用的电子数据的保存技术主要有物证监督链、数字时间戳技术、数字指纹技术、数据加密技术等等。

    (四)证据分析分析证据是计算机取证的核心和关键,分析已获取的数据,然后确定证据的类型,包括检查文件和目录内容以及恢复已删除的内容,分析计算机的类型、采用的操作系统,是否为多操作系统或有无隐藏的分区;有无可疑外设;有无远程控制、木马程序及当前计算机系统的网络环境等,并用科学的方法根据已发现的证据推出结论。

    (五)证据追踪上面提到的计算机取证步骤是静态的,即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的升级,这种静态的分析已经无法满足要求,发展趋势是将计算机取证与入侵检测等网络安全工具和网络体系结构技术相结合,进行动态取证,即计算机动态取证。

    (六)证据提交这个步骤主要包括打印对目标计算机系统的全面分析和追踪结果,以及所有可能有用的文件和被挖掘出来的文件数据的清单,然后给出分析结论,主要涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系统版本、运行取证工具时数据和操作系统的完整性、病毒评估情况、发现的文件结构、数据、作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其他的相关信息,标明提取时间、地点、机器、提取人及见证人,给出必要的专家证明或在法庭上的证词。最后以证据的形式按照合法的程序提交给司法机关。

    四、计算机取证的规制现状

    在遵循取证原则的基础上,计算机取证的各个阶段所需要遵守的法律界限在哪里,如何把所获取的电子证据送上法庭以及如何呈送,这些问题的解决都需要与计算机取证相关的规则和制度的出现。

    计算机取证的规制分技术规制和法律规制两个方面,前者从技术角度推动计算机取证的标准化,后者从法律角度促进计算机取证的合法化。它们之间存在着一定的界限。举例来说,在证据提交的这个步骤中,提交什么样格式的文档,文档中包含的内容和数据及其相互关系如何,是否需要统一界定,这属于技术规制的范畴。技术规制同其他自然科学一样,与政策和法律体制无关,因此,不同国家之间可以相互参考。

    但法律规制则不然,显然无法照搬别国的法律条文,例如:就电子证据是否单独立法各个国家的作法就不尽相同,英美法系的国家大都有专门的法案,美国在1996年设立了《国家信息安全法案》,英国在1984年出台了《数据保护法》,而大陆法系的国家则不一定设有专门的法案,如:法国作为大陆法系的代表之一,没有专门的证据法典,只是在1992年通过、1994年生效的《刑法典》中专设了“计算机信息领域的犯罪”一章。

    计算机取证的法律规制与技术规制区别明显,但这并不说明这两者之间不能转化,技术规制经过实践检验,法律确认后便可成为法律规制。正因为相互之间的可转化性,所以本文无法也没有必要单独从技术规制和法律规制两个角度分裂开来介绍目前的国外研究现状,而是从标准化草案和立法现状两个角度来介绍规制情况。

    (一)标准化草案1.美国SWGDE组织提出的标准化草案计算机取证的标准化工作起源于“Digital Evidence:Standardsand Principles(数字证据:标准和原则)”一文的出版,该文由SWGDE(Scientific Working Group DigitalEvidence,数字证据科学小组,它是国际计算机证据组织在美国的分部)起草,并于1999年10月在伦敦举办的国际高技术犯罪和取证会议上公布,次年4月刊登在美国联邦调查局出版的《Forensic Science Communications》。目前,已被美国法律部门采纳为标准化草案。

    “数字证据:标准和原则”一文中明确规定,为使数字证据以一种安全的方式进行收集、保存、检查和传输,以确保其准确性和可靠性,法律部门和取证机构必须建立一个有效的质量体系并需编制一份标准化操作规程(Standard Operating Procedures Manual, SOP,2011年6月已出第二版)。考虑到了计算机技术的飞速发展,SOP文件必须每年有权威机构审查一次,以确保其使用范围和有效性。在SOP文档中,规定了取证过程操作的技术规程,方法性的指导了取证的过程。考虑到处理证据过程中关注的角度不同,SOP文档分为实验室单元和现场单元两种类型的文档,现场单元文档中列举了在证据保存、动态内存数据获取、数据镜像、移动设备收集等环节过程中所需要软硬设备、局限性、处理过程的标准化建议,实验室单元文档中列举了在介质擦除、硬件拆除、BIOS检测、介质写保护等环节中所需要的软硬设备、局限性、处理过程的标准化建议。

    2.FIRST会上提出的标准化2002年6月在夏威夷召开的第14届FIRST(Forum of Incident Response and Security Teams)年会上,巴西教授提出了一个新的标准化模型。该模型是一个两级分类结构,分为法律标准类和技术标准类: