購物車(0)
公共信息安全模板(10篇)
時間:2023-11-01 09:55:24
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇公共信息安全,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
2.1移動互聯網運行的全民性
移動互聯網是在互聯網的基礎上產生的,而互聯網自產生起就帶有公開性、全民共享性。目前,這一趨勢隨著移動互聯網的普及更加顯著,但是隨著全民廣泛參與到移動互聯網的應用中,這就導致移動互聯網的控制權被分散。由于移動互聯網使用者的利益、目標以及價值等方面都不盡相同,因此,對移動互聯網資源的保護與管理也就容易產生分歧,促使移動互聯網公共信息安全的問題變得更加廣泛、復雜。
2.2移動互聯網監管不嚴
我們對移動互聯網公共信息安全管理的過程中,往往存在著界定不明晰、管理觀念落后等問題。比如對移動互聯網上頻繁出現的不良信息的劃分不明確,這就導致相關管理部門進行監管時,沒有可以依據的規則,進而導致監管過度或不力。
2.3缺乏核心的移動互聯網技術
我國的移動互聯網處于起步階段,缺乏自主性的網絡和軟件核心技術,這就導致我們在移動互聯網運行過程中不得不接受發達國家制定的一系列管理規則與標準。此外,由于我們的移動互聯網核心技術主要是源自他國,這就導致我國的移動互聯網常常會處于被竊聽、干擾以及欺詐等信息威脅的狀態之下,造成我國的移動互聯網公共信息安全管理系統極為脆弱。
2.4缺乏制度化的移動互聯網保障機制
我國對移動互聯網公共信息安全的管理并沒有建立相應的安全管理保障制度,同時也沒有建立有效地安全檢查制度與安全保護制度。此外,我國現有的政策法規很難適應當今移動互聯網公共信息發展的需要,移動互聯網公共信息安全保護還存在著大量的立法空白。
3建立移動互聯網公共信息安全保障機制的措施
3.1政府應充分發揮其職能
政府在移動互聯網公共信息安全管理中,應占據主導地位,引導整個移動互聯網公共信息安全向著健康方向發展。首先,政府應發揮應急事件指揮者的角色。政府對控制一般網絡公共信息安全事件演變為危機事件肩負巨大責任,需要通過自身的能力使社會秩序盡快恢復正常。其次,政府應對移動互聯網公共信息安全相關法律進行監管。政府應依據相關法律對移動互聯網信息是否安全運行進行有效監管,同時應不斷完善移動互聯網公共信息安全中薄弱環節的法律法規制度。
3.2加強移動互聯網公共信息安全法律建設
建立手機實名制法律。手機實名制對預防手機犯罪、凈化手機信息具有至關重要的作用,實施手機實名制能夠保障消費者的合法權益。在我國制定的《通信短信息服務管理辦法》中對手機實名制就進行了明確規定,與此同時,若想讓手機實名制充分發揮其作用,就必須加強公民隱私權益方面的建設。完善公共信息安全法律法規。首先,應重點建立信息安全的基本法,保障信息安全的各項問題有法可依;其次,可以在專門信息安全基本法出臺之前,建立必要的、急需的單行法;最后,在建立信息安全法的時候,應盡量避免采用制定地方性法規和部門規章的方法代替制定全國性法律法規。
3.3組建統一的管理機構
建立統一的移動互聯網管制機構時,應遵循三個原則。首先,管制機構建立的獨立性原則。建立的管制機構不僅要獨立于電信運營企業,同時還應該獨立于任何行政部門,這樣才能夠保障管制機構辦事的公正性。其次,管制機構建立的依法設立原則。在建立互聯網公共信息安全管制機構時,應以《電信法》或專門管制機構法對所建立的管制機構的職責進行明確劃分。最后,管制機構建立的融合性原則。管制機構應是一個綜合性的管制機構,它所監管的范圍應該包括整個信息通信領域。
3.4加強終端安全保障技術研發
(1)重視病毒防御。
當前的移動互聯網終端基本上都是職能設備,采用的都是專門的移動操作系統,這些操作系統必須具備對常見的病毒、木馬等的防范功能,同時也應不斷降低應用軟件系統可能出現的安全漏洞。
(2)實施軟件簽名。
軟件簽名的實現能夠保障軟件的完整性,從而避免用戶的信息被篡改。此外,當應用程序發現信息被篡改后,能夠及時向用戶發出報警信息。
(3)采用軟件防火墻。
在終端設備上應用軟件防火墻,用戶可以通過設置白名單與黑名單對設備上傳入與傳出的信息進行有效地控制,保障信息安全。
(4)采用加密存儲。
用戶對設備上的重要信息應在加密之后再將其存儲到終端設備中,這樣能夠有效避免非法竊取現象的產生。與此同時,用戶在加密與解密的時候,一定要快速的完成,以防信息被竊取。
(5)統一管理。
對安全設備應該進行統一管理,即在一個統一的界面中能夠對全部的安全設備都進行相應的管理,并對網絡中的實時信息進行及時反映,然后可以對得到的各種數據進行匯總、篩選、分析以及處理,從而提升終端對安全風險的反應能力,降低設備受到攻擊的機率。
篇2
珠三角作為我國經濟發展的前沿陣地,經濟市場化和外向化程度很高。但受當前國際金融海嘯的影響,國內外經濟形式發生深刻變化,區域發展受到嚴重沖擊。國家從戰略全局和長遠發展出發,制定出珠三角地區改革發展規劃綱要,用以指導珠三角經濟結構轉型和發展方式轉變,推進區域一體化建設。
我們把以政府為主體的一切負有公共事務管理職能的組織(包括行政機關,法律法規授權、委托的組織,來源于納稅人稅款的政府財政撥款的社會團體、組織等公共事業法人和社會組織)在行政過程中產生、收集、整理、傳輸、、使用存儲和清理的所有信息,稱為公共信息。珠三角地區是我國信息化程度的高度集中的地區,“數字珠三角”的提出,使公共信息在珠三角地區更富多元化和復雜化,而公共信息安全問題解決的好壞直接關系到區域的,社會的長治久安,國家的安全與穩定。珠三角作為我國新時期探索科學發展模式的試驗區,在摸索構建信息安全聯動體系的道路上更應體現“科學發展,先試先行”的核心理念,在危與機并存的新形式下,信息安全正面臨著嚴峻的挑戰,建立信息安全聯動體系的呼聲也越發響亮。
一、珠三角地區公共信息安全現狀的分析
公共信息安全是指個人、組織、社會和國家在信息傳播過程中保護自身利益不受損害,它包括物理設施安全、技術安全、信息內容安全等國家、社會公共安全的總和。珠三角地區目前信息化程度在全國處于領先地位,但在信息化普及過程仍存在諸多安全問題。
(一)信息共享渠道不暢。當前的難點在于信息歸部門所有,在信息管理上條塊分割現象嚴重,區域內小到政府部門,大到地方政府,大多只考慮自身的管理和利益的需要,很少能從全局發展的戰略需求角度考慮,各部門,各地方間缺乏必要的溝通配合,相互問協調聯動不夠,信息獲取存在障礙,不能有效整合信息資源。面對突發安全事件時,由于事件自身具有復雜多變的特性,需調動各方力量,收集各類信息,對信息進行分門別類,分析提煉,加工處理,才能為決策領導層制定行之有效的解決對策提供素材。但因存在部門信息保護主義,以及訪問權限的設置問題,容易導致管理部門相互間推諉扯皮現象的出現,不僅不能及時便捷的處理問題,有時反而“延誤戰機”,造成不可估量的損失。
(二)電子政務建設華而不實。政府門戶網站提供服務的能力直接反映了政府信息化的綜合水平,同時也在一定程度上折射出真實政府的運作情況和應對信息威脅的能力。隨著珠三角地區經濟的飛速發展,本地區的信息產業也不斷得到提高,電子政務建設無論在資金投入上還是技術設備上都處在全國領先地位,但同時也存在不少問題,一方面,珠三角地區在信息系統建設存在相互攀比,急于求成,重復建設的現象,有的政府部門為了實現所謂“政務公開,公務透明”的電子化辦公,盲目投資,建設內容貧乏,失去時效,形同虛設的網站。不但容易造成資源的鋪張浪費,不利于對公共信息的采集、傳遞、確認、分析和理解,而且容易造成政出多門,辦事效率低下的深層問題。
一旦遭遇公共危機,政府信息系統在危機期間的信息采集,信息整合、信息將出現紊亂,導致政府信息準確性的降低,影響政府的公眾形象和政府公信力。另一方面,政府網絡有其特殊性,網絡和信息安全防護十分重要。但作為面向公共社會服務的信息平臺,卻沒有專門設立公共信息安全知識的服務型網站,公眾對公共安全基本知識缺乏了解。
(三)公共信息系統建設缺乏統一規范。公共信息系統的建設標準尚未規范和統一。“數字珠三角”意味著信息化,信息化意味著網絡化,網絡化意味著互通互聯、資源共享,規范和統一信息建設標準十分重要j。珠三角各地的信息化程度普及率高,有條件率先實現統一的公共信息系統建設的標準。但鑒于珠三角城市問的經濟發展水平和公共服務能力存在差距,如果全都劃一要求,一統到底,勢必造成“水土不服”。必須要有一個科學的,合理的、講求效益的界定。
(四)信息安全防范治理能力不強。公共信息安全的關鍵在于防范。目前,珠三角信息和網絡安全的防范能力處于發展的初步階段。許多應用系統處于不設防階段。全國范圍內,包括珠三角地區的信息與網絡安全研究任停留在封堵現有信息系統的安全漏洞階段。區域的綜合信息安防能力面臨考驗。一方面,雖然珠三角地區的政府在推進信息安全的風險評估,風險控制,風險管理的推廣、規范工作上步伐較快,但維護信息安全的核心技術和關鍵技術卻基本被國外壟斷。對可信安全計算、信息安全內容管理、網絡安全管理與風險評估、應急響應和安全應用支撐平臺等一系列網絡信息安全核心技術的自主研發仍處在起步階段,與國外先進國家、地區的信息安防技術能力存在明顯差距。另一方面,許多公眾和政府工作人員對公共信息安防領域的認識仍局限在防病毒、入侵檢測、vpn、垃圾郵件等基本防范手段上,而忽視對utm(統一威脅管理)、soc(安全運營中心)等新型信息防范手段的學習。
二、建立珠三角公共信息安全聯動體系的必要性
(一)面對人為事件、事故,自然災害建立聯動信息安防體系是公共安全的基本必要。珠三角在空間上是一個相互依存的系統,空間的分布并不是根據行政界線來劃分,珠江三角洲經濟區毗鄰港澳,華僑、港澳同胞眾多,具有發展對外貿易和經濟技術合作,引進外資和技術等方面優越的條件,是我國對外開放的重點地區;地區內的經濟活動頻繁,相互間關系密切,在交通運輸、生產事故、刑事犯罪等人為事件、事故處理上具有區域的聯發聯動性,此外該地區是洪澇災害和臺風等自然災害的頻發地區,對自然災害的預防和應急亦需要跨地區跨部門的相互聯動合作。建立珠三角信息聯動體系,可以有效整合各地資源,及時有效的采取應對措施,排除險情,解除危難;保證在信息收集、分析、傳遞、方面的準確性和有效性,防止信息失真帶來的嚴重后果的。
(二)珠三角作為我國經濟改革發展的“試驗田”,在區域經濟一體化的政策導向下,建立聯動信息安防體系是公共安全的特殊必要。城市區域內的矛盾和沖突是必然的,這是由于城市區域經濟活動本身的外部性及信息不對稱所造成的。珠三角城市區域內的某些地方政府,常通過建立地方保護鏈條、重復建設項目等手段,來實現地方利益的最大化,從而加大了珠三角地區城市間經濟交易的成本,不利于經濟一體化的形成。打破這種信息不對稱性所照成的城市經濟“孤島危機”就必須建立公共信息共享以及安全保護的聯動體系,通過制度變遷,建立相應的城市區域信息協作組織,在安全可靠的環境下,對公共經濟等信息實現互聯互動,不僅可以實現區域內城市不同利益主體的相互間信息交流,降低不同利益主體達成交易的成本,并能對區域的經濟發展現狀進行有效的監督。
三、珠三角公共信息安全聯動體系的構建和管理
(一)注重公共信息安全法律建設。
加強公共信息安全法制的立法工作。法律本身就是確保公共信息安全管理的一項重要保障,為有效貫徹落實國家信息安全等級保護制度,在總結基礎調查和試點工作的基礎上,國家頒布了《中華人民共和國計算機信息系統安全保護條例》和印發了《信息安全等級保護管理辦法》等相關條例,確定了信息安全等級保護制度的基本內容及各項工作要求,進一步明確了國家、公民、法人和其他組織在等級保護工作中的責任、義務,各職能部門在信息安全等級保護工作中的職責分工以及信息系統運營使用單位、行業主管部門的安全保障法律責任。
但是中國目前尚沒有形成專門的“公共信息安全”法規體系,還有許多公共領域在信息安全方面無法可尋、無法可依,地方性在公共信息安全方面的行政法規良莠不齊,難以統一。公共信息安全法律體系的研究可以選擇不同的切入點。按照法律效率,我們可以從法律、法規和規章層次討論信息安全的法律體系。也可以另辟蹊徑,以戰略作為出發點探討信息安全的法律體系。我國應從國情出發,積極探索加強信息安全法制建設的新思路,加快信息安全的立法工作,尤其是要加快信息安全基本大法的立法進程,以建立起一套既符合國際通行規則,又具有中國特色、門類齊全、層次分明、結構嚴謹的信息安全法律體系,為信息安全保障工作提供更有力的法律支撐j。在珠三角規劃出臺的新形勢下,國家可以不妨逐步探索、建設和制訂與區域一體化相適應的公共信息安全法律體系,這不僅有利于公共信息安全治理的規范化和穩定化;有利于為公共信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務;有利于優化信息安全資源的配置,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定的重要信息系統安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動各類信息安全產業的發展,逐步探索出一條適應社會主義市場經濟發展的信息安全模式,為以后我國全面實施公共信息安全保護工作提供政策支持。
(二)建立統一的、共享的、安全的公共信息網絡系統。
首先,以信息資源開發利用為導向,加強珠三角公共數據整合。城市信息資源在信息化過程中得到不斷積累,只有以信息資源開發利用為導向,城市信息化綜合效益才能得到提高。到目前為止,各城市都建立了具有本地特色的數據庫,但是多數數據庫的使用都處于封鎖狀態,這嚴重影響了城市信息化建設的效益發揮。未來幾年,城市公共數據整合將成為未來城市信息化建設的一項重點工作。公共數據整合要結合城市經濟發展戰略和現狀,構建城市各部門、各組織共享的公共數據庫,這也是當前城市信息化建設中必須著力解決的重要課題。根據我國信息資源規劃和建設的總體要求,各地要建立一批具有公益性、基礎性、實用性的公共數據庫;加緊建設和健全自然人基礎信息庫、法人基礎信息庫,作為建構公共數據庫的基礎,合理、高效地利用信息資源,整合現有的信息資源;加強生產、流通、科技、人口、資源、生態環境等領域的信息資源開發利用工作;加快教育、文化、公共文獻等領域信息資源的數字化、網絡化進程。
其次,加強信息和信息安全關鍵技術的自主研發,從技術上統一標準。當前,我國在信息和信息安全領域總體上處于關鍵技術和設備受制于人的被動局面,發展信息和信息安全高端技術、提高自主創新能力已經成為我國掌握信息安全主動權的唯一出路。為加強信息和信息安全關鍵技術的研發,我國必須采取有效措施,建立健全堅強有力、運轉靈活、工作高效的新體制,全方位地指導信息和信息安全關鍵技術的規劃、研發、成果轉化,同時組織和動員各方力量,密切跟蹤世界先進技術的發展,逐步形成基礎信息網絡、重要信息系統以自主可控技術為主的新格局。
再次,建立完善的信息安全風險評估體系。在信息系統建設的同時,要進行信息安全的總體設計和信息系統安全工程建設,在系統驗收時必須對信息系統安全進行測評認證。對于已建的信息系統,要完善信息安全的總體設計和信息系統安全工程建設,進行系統安全測評認證。在信息系統建設中信息安全的投資應占系統投資的一定比例。各級機關和重點單位新建和改建信息系統必須配套建設信息安全子系統,并與主體工程實行同時設計、同時施工、同時投入使用。加強對修訂稿安全產品、服務商資質、信息系統的安全管理與測評認證,在系統建設總體方案評審時強化對安全保障方案的審查和各項安全保障功能的認證。
最后,加強對信息網絡、信息產品和網上交易行為的監管,提高對網上信息的跟蹤管理能力、對專案對象的監控能力和對制造和傳播計算機病毒、非法入侵、泄密、竊密以及散布有害信息等行為的防范能力,嚴厲打擊危害計算機信息系統安全和利用計算機技術進行犯罪活動。保障國家秘密、商業秘密和個人隱私的權利,抵制不良文化、不實新聞在網上傳播,維護信息安全和社會穩定。
(三)建立政府主導下的公共信息安全組織體系,落實安全管理責任制
篇3
2供電企業信息安全的影響因素
盡管供電公司投入了大量的財力、物力建設電網信息安全系統,但供電企業內部網絡仍不健全,存在許多安全隱患。另外,供電公司信息化水平不高,信息安全保障措施薄弱也制約了其信息安全系統的建設。要構建一個健全的供電公司信息安全保障體系,就要首先分析供電公司信息安全的影響因素,對癥下藥,進一步提出供電企業加強信息安全管理的對策。
2.1不可抗拒因素
所謂“不可抗拒因素”,就是由于火災、水災、供電、雷電、地震等自然災害影響,供電公司的供電線路、計算機網絡信號、計算機數據等受到破壞,并威脅到供電公司的信息安全。
2.2計算機網絡設備因素
供電公司計算機系統中使用大量的網絡設備,包括集線器、網絡服務器和路由器等,其正常運行關系著供電公司內部網絡的正常運行,而計算機網絡設備的安全直接關系著供電公司的正常運行。
2.3數據庫安全因素
供電公司計算機系統監控用戶峰值,管理用電客戶信息及其他用戶繳費等情況,計算機數據庫的系統安全決定了供電企業的調度效率,也決定了供電公司公共信息的安全。供電公司應該使用專用網絡設備,確保企業內部網絡與外部互聯網的隔離。
2.4管理因素
供電公司員工的業務素質和職業修養參差不齊,直接影響到供電公司的網絡安全。供電公司應該建立過錯追究制度,提高員工的信息化素質,有效防止和杜絕管理因素造成的信息安全問題。
3供電企業加強信息安全管理的對策
3.1提升員工信息安全防患意識
開展信息安全管理工作,并非僅僅是系統使用或者管理部門的事,而是企業所有職工的事,因此,要增強全體員工的信息安全和防患意識。通過采取培訓和考核等有力措施,進一步提升全體員工對企業信息安全的認識,讓信息安全成為企業日常工作業務的一個組成部分,從而提升企業整體信息安全水平。
3.2采用知識型管理
傳統的安全管理大部分采取的是一種硬性的管理手段。在當今知識經濟的時代,安全管理應當以知識管理為主,從而使得安全管理措施與手段也越來越知識化、數字化和智能化,促使信息安全管理工作進入一個嶄新的階段。
3.3設置系統用戶權限
為了預防非法用戶侵入系統,應按照用戶不同的級別限制用戶的權限,并投入資金開展安全技術督查和安全審計等相關活動。信息安全并非一朝一夕就能完成的事,它需要一個長期的過程才能達到較高的水平,需建立并完善相應的管理制度,從平時的基礎工作著手,及時發現問題,匯報問題,分析問題并解決問題。
3.4防范計算機病毒攻擊
加速信息安全管控措施的建設,在電力信息化工作中,辦公自動化是其中一項非常重要的內容,而核心工作業務就是電子郵件的發送與接收,這也正是計算機病毒一個非常重要的傳播渠道。因此,必須大力促進個人終端標準化工作的建設,實現病毒軟件的自動更新、自動升級,不得隨意下載并安裝盜版軟件;加強對木馬病毒等的安全防范措施,對用戶訪問實施嚴格的控制。
3.5完善信息安全應急預案
嚴格規范信息安全事故通報程序,對于隱瞞信息事件的現象,必須嚴肅查處。對于國家和企業信息安全運行動態,要及時通報,分析事件,及時信息安全通告。對于己經制定的相關預案和安全措施,必須落到實處。另外,還要進一步加強信息安全技術督查隊伍的建設,提高信息安全考核與執行的力度。
3.6建立信息安全保密機制
加強信息安全保密措施的落實,禁止將計算機連接到互聯網及其他公共信息網絡,完善外部人員訪問的相關授權、審批程序。定期組織開展信息系統安全保密的各項檢查工作,切實做好文檔的登記、存檔和解密等環節的工作。
篇4
一、“圖書館+”的內涵
圖書館是搜集、整理、收藏圖書資料以供人閱覽、參考的機構。“圖書館+”便是基于圖書館的基本定義根據當前教育、科技和經濟的發展趨勢需要,對圖書館在傳統業務的組織、環境和服務形式等方面的業務進行拓展。這樣的服務拓展可以打破傳統服務價值的局限,是一種由多種價值融合而成的價值體系。“共享”便是服務的升華,圖書館的“共享”一方面是指借閱空間的共享;另一方面是指數字資源和活動資源的共享。圖書館需要兼顧并用好相關關系,核心價值,跳幀思維,關注新的重點服務創新領域,不斷創新與深化圖書館服務的內容。
二、“圖書館+”環境下圖書館服務模式的新常態
在全新的信息影響環境下,圖書館必須盡快擺脫用戶咨詢等服務的角色定位,逐漸轉為向用戶提供信息、知識創造等服務。(一)服務平臺多樣化。實現圖書館和其他組織的協同合作是圖書館創新服務模式的基本前提。人才、資金、管理是圖書館服務核心的因素,所以加強和社會組織間的合作成為創新服務模式的第一步。圖書館需要改變原有總分館縱向結構的單一分布,聯合社會其他領域機構橫向發展,開設“圖書館+組織”新型分館。1.機關、企事業單位、學校、福利院、養老院等場所建立流通服務點類型的分館。2.建立高校圖書館、公共圖書館、科研圖書館單位聯合加盟的文獻信息資源圖書館等共享的圖書館聯盟,實現文獻信息資源共建共享。3.創新“圖書館+24小時”的服務,由個別單位提供空間、人員,圖書館提供設備、技術等,突破圖書館現有開放時間限制,方便讀者用戶隨時借閱和歸還書籍。空間拓展的服務有助于促進用戶之間的信息交換,滿足個性化服務需求,促進知識的利用與再創造,進而提升讀者用戶的信息素養。(二)服務方式個性化。基于“圖書館+”創新服務模式的個性定制化服務是根據用戶需求,利用信息技術,對外部知識搜集、整理,對內部隱藏的知識進行深入的挖掘和捕捉,這樣不僅能盡最大程度滿足不同的讀者需求,同時也能促進館員素質和績效的提升,更能發揮圖書館在滿足和保障公民基本文化生活訴求與權利中的積極作用。中國圖書館學家杜定友明確提出圖書館有積極保存、科學處理和活用益人等功能。深化圖書館人文服務的核心價值,一方面是“以人為本”,圖書館“以人為本”的服務應該建立在服務對象認知和行為模式的基礎上;另一方面是重視并傳承文化,人文更多的是一個動態的概念,是指人類社會的各種文化現象。根據讀者不同的需求將人文生活中的善、愛、美通過不同的創作媒介貫穿于閱讀的各個環節中,實現讀者的自我實現和自我感知。每個讀者有其書,根據圖書館輻射范圍內的讀者群的閱讀需求變化改變,包括紙質圖書和數字資源采購在內的資源配置,讓每個讀者都能找到自己需要的專業以及非專業的書籍。“圖書館+”環境下的分館都具有自己的特色。社區圖書室的書目在內容上適合社區群眾的閱讀愿望;機關分館的書籍滿足工作人員對學習專業知識的迫切需要;與書店協同合作的分館在體驗的形式上使讀者感受到高質的美感,內部的裝飾風格、色彩搭配、空間排架布局、主題配置相互融合讓讀者在感受到書香之美、閱讀之美的同時引導人們挖掘生活中的審美價值,增加人的幸福感。
三、“圖書館+”創新服務環境下的信息安全問題
網絡通信技術的開發使得溝通交流即時化。借助社交網絡平臺的即時溝通工具,圖書館和用戶形成彼此依存的緊密交流關系,用戶可以隨時隨地了解圖書館的動態信息并參與交流互動;圖書館也可以和用戶及時交流,充分了解用戶的信息需求,為用戶提供有針對性的專業化信息服務,幫助用戶有效及時地解決各種問題。同時,用戶可以通過網絡平臺更好更多地了解圖書館文獻信息資源和服務動態;圖書館讀者可以通過這些平臺對動態信息進行評論、轉發和分享,為用戶互動交流提供便利。在此環境下,信息安全平臺的建設對“圖書館+”的可持續發展將起到積極作用。網絡環境下,人們需要保護信息,使其在存儲、處理或傳輸過程中不被非法訪問或刪改,以確保自己的利益不受損害。因此,網絡安全必須有足夠強的安全保護措施,確保網絡信息的完整和可用。(一)“圖書館+”跨域結合的信息安全問題。“信息安全”可以從不同的角度來理解,因此出現了“網絡安全”“信息內容安全”之類的區分,也出現了“機密性”“真實性”“完整性”“可用性”等描述方式。信息安全是指保持信息的保密性、完整性和可用性。信息安全取決于兩大要素:技術和管理。“圖書館+”的創新服務環境下引入和建設的主體單位數量不等,所提供的服務種類也不同。對于機關、學校企業共建的圖書室,和社區、行政村合作開放的社區閱覽室、農家書屋,還有跟街道協同合作的“24小時”自助服務都是在依附于圖書館之外的單位所提供的資源基礎上建設的,這樣組織的方式導致組織成員的數字化水平不一,管理方式不一。因此,“圖書館+”的信息安全涉及計算機網絡、操作系統、數據庫、應用系統、各類硬件設施,以及人員等不同層面。圖書館在提供的數據資源遠程訪問服務和自動化服務系統都涉及到信息的保密和安全使用。(二)新環境下主題安全意識不足問題。“圖書館+”首先是主體之間的協同合作,然而各個主體并沒有相當的信息安全意識。首先是工作人員。其中包括圖書館的管理者、信息工作人員以及其他合作機構的具體工作負責人員。其次是廣大的讀者用戶。絕大多數人認為只要保護好自己的用戶名和密碼就足夠了,而且很多的初始密碼未經更改,這就為人為破壞提供了便利。如果這樣的觀念不能轉變,不能正確對待讀者信息和數據庫的安全,那么任何具體的改進工作都不能得到真正的支持。(三)技術飛速發展階段的自身缺陷問題。技術本身的缺陷主要體現在設備的落后和專業人才的匱乏。在通信技術飛速發展的互聯網時代加快了軟硬件的更新速度,這大大縮減了設備正常服務的時限,尤其是一些核心設備,例如服務器、防火墻、交換機等不能承受數據時代帶來的更大負荷,不能在新的網絡環境下負起安全衛士的職責。在“圖書館+”的服務模式下服務端口的大量增加促使這樣的漏洞帶來的風險成倍增加。互聯、互通、共享是“圖書館+”服務的目標,其中還運用到各種網絡協議、虛擬局域網技術,這些技術帶來便利的同時,風險系數也相應提高。(四)信息安全管理體系不完善問題。在人員和資源配置上沒有建立科學、系統、高效的信息安全管理體系。1.技術的監管沒有統一的標準。對各個端口的授權程度不一,這就造成了管理上的不便,這種權限包括讀、寫、執行等從屬權,而授權通常是通過訪問控制來實現的。在管理中心防火墻方面,應該及時統一保存和修改其用戶和密碼,刪除或者屏蔽不需要的功能,避免安全產品本身留有安全漏洞。2.沒有統一病毒防治程序和入侵檢測系統。3.未能根據實踐中的信息安全方針和各部門的實際情況制定不同的管理體系,主管部門之間統籌協調和協同建設不夠,因為在政策上和法律上沒有相應的規范。
四、“圖書館+”信息安全平臺的建設
首先,在技術方面需要完善安全的技術。安全技術是信息安全工程的重要組成部分,許多信息系統的安全性保障都要依靠技術的手段來實現。沒有技術的保障,信息安全的概念不能付諸實踐行動,只有在信息安全的環境下才能完整“圖書館+”服務模式創新的價值。其次,在管理方面需要健全有關信息安全的各項管理制度,人人遵守相應的職業道德。從圖書館管理的角度看,信息安全防范是以能夠認識或意識到信息處于不安全的現狀為前提,然后考慮深究如何發現潛在的危險,分門別類制定相應的防范策略,制定嚴格的信息安全規范,由各方面具體的工作人員來逐步落實,做到信息安全管理日常化。(一)強化技術手段應對安全風險。1.防范型技術應對。定期做好數據的備份工作,對數據的保存采用新的存儲設備和磁盤陣列技術,數據備份能實時對局域網的數據及系統進行集中統一備份,備份策略采用完全備份與增量備份相結合的方式。對于軟件(主要指圖書館操作系統以及網頁平臺)應做好更新和維護的工作。對每一臺連接到圖書館中心服務器的客戶機部署防病毒和防入侵軟件。利用抗病毒技術可以及時發現內外網的入侵和破壞,阻止網絡病毒的廣泛傳播,并通過殺毒和隔離的手段進行相應控制,讓圖書館數據網絡系統免受其危害。2.應用型技術部署。針對“圖書館+”環境下的特殊部門(如機關、企業、學校等)要建設涉密系統。采用身份認證系統,建立相應的身份認證的平臺,加強用戶身份認證,防止對網絡資源的非授權訪問以及越權操作,加強口令的管理。對各個組織、行業的使用權限作系統科學的規劃和分配,例如對需要進行圖書編目加工的用戶打開采編模塊的權限,對有讀者信息注冊修改需求的用戶開放讀者管理的權限。授權的原則需要因時制宜、因需而定,不能蕭規曹隨,靈活采取必要的手段和緊急應對措施。為確保信息在各服務點和圖書館之間交換過程中信息的完整性、保密性、真實性,采用先進的對稱密碼算法、公鑰密碼算法、數字簽名技術、數字摘要技術和密鑰分發等加解密技術。例如在RFID系統中,利用密鑰無線生成的方法(WirelessKeyGeneration,WiKey)可以實現在RFID標簽上生成密鑰。WiKey的基本思想是利用RFID系統中讀寫器向標簽傳輸信息的信道(前向信道)與標簽向讀寫器分別生成密鑰碎片,然后標簽再混合這兩部分的密鑰碎片從而生成共享密鑰。從而使標簽和讀寫器之間利用共享密鑰進行認證和識別的操作更加安全可靠,防止隱私信息被獲取甚至被修改。讓不同年齡段的讀者在不同的地方都可以安全地完成借還書和信息檢索的操作。(二)制定完善的信息安全管理制度。信息安全不單是技術過程,更是管理過程。信息安全管理是組織中用于指導和管理各種控制信息安全風險的一組相互協調的活動,是通過維護信息的機密性和完整性來管理保護組織所有資產的一項體制。其目的是盡量做到在有限的成本下保證信息的安全,其內容包括制定信息安全政策、制定規范與方式選擇的操作流程和對人員進行安全意識培訓等一系列工作。多口徑多標準的“圖書館+”平臺更需要統一標準和系統化的管理方式。建立高效可行的管理體系,涉及人員的分配安排、資源的管理還有人員的組織培訓。對系統漏洞引起的管理不善并發導致的損失由組織承擔相應的責任,并對問題做系統分析評估報告。建立預警防控體系。預警防控體系中網絡安全管理人員必須對整個局內網體系的安全防御策略及時地進行檢測、修復和升級,嚴格履行國家標準的信息安全管理與監控機制,能實行虛擬局域網內統一安全配置,調控多層面分布式的安全問題,提高整個網絡的的安全預警能力,加強對應急事件的處理能力,實現“圖書館+”創新服務模式下信息安全化的可控性。加強對從業人員的職業道德教育顯得也極其重要。如果他們有著很高的職業道德,他們就可以在文化服務的領域作出積極的貢獻。所以,圖書館應該為每個客戶端口的工作人員組織定期的業務培訓工作。培訓的內容包括:1.工作技能的培訓;2.信息安全意識的提高;3.如何向用戶宣傳并培養信息安全意識。(三)完善信息安全溝通渠道和服務反饋體系。與用戶加強溝通,有利于促進圖書館文獻信息服務學術化、專業化的演變,有利于多角度、多方位地為用戶提供時效性強、有針對性的信息安全措施。“圖書館+”的信息安全反饋體系有利于提升整個圖書館的服務水平,對于閱讀推廣的可持續發展具有指導性的意義。反饋體系包括內部和外部的評價:一是基于讀者在使用過程中的一些評價指標,比如實際操作中的可靠性,對讀者本身的使用是否方便,是否有創意。二是從內部角度,根據安全事故發生的緣由聯系經費預算、人力綜合評價信息安全平臺是否達到了預期設想的效果。將兩種評價的標準對接融合,構成簡單的反饋指標體系。
篇5
中圖分類號:D631.1 文獻標識碼:A 文章編號:1674-098X(2016)09(a)-0003-02
由于工業信息技術與軟件的使用日益普及,公安信息化網絡安全問題也日漸增多,網絡安全問題不是純粹的技術問題,是技術與管理的綜合,而是一項復雜的系統工程。公安信息化是實現公安工作現代化的必由之路。公安信息網絡的安全保障工作直接關系到公安工作的效率和成果。對公安信息網絡實行分等級保護是保障公安信息網絡安全的一個很好的方法。
全國公安信息化建設工作開展以來,各地公安信息化建設取得了一定的成果。各地的公安信息化建設成果的表現也不盡相同。2013年,秦皇島成為全國首批“智慧城市”試點城市。秦皇島公安信息化的建設與“智慧城市”的建設相互促進。該文運用文獻查閱法、對比分析法、系y分析法等方法,對公安信息化、公安信息化建設、“智慧城市”等相關理論進行闡述。明確公安信息化概念、標志、特征以及重要意義;明確公安信息化建設的內涵、影響因素、建設內容以及評價內容;明確“智慧城市”的內涵、特征、應用以及“智慧城市”與公安信息化建設的關系。在相概觀念明確的基礎上,從秦皇島市公安信息化建設的規劃布局、基礎網絡建設情況(包括通訊網絡、平安城市監控點、智能交通設施的建設)、公安應用系統建設情況(一、二、三級平臺建設情況、數據研判平臺、交通綜合指揮平臺、便民服務平臺建設情況)、應急保障體系建設情況、保障體系建設情況(領導、組織、人才、資金)、服務實戰及成效方面(高清視頻監控系統、智能交通)進行現狀分析,發現秦皇島公安信息化建設在基礎網絡、應用平臺體系、技術力量、體制建設等方面的問題以及復雜的挑戰。
1 計算機網絡安全體系結構的組成
計算機網絡安全體系結構是由硬件網絡、通信軟件以及操作系統構成的,對于一個系統而言,首先要以硬件電路等物理設備為載體,然后才能運行載體上的功能程序。通過使用路由器、集線器、交換機、網線等設備,用戶可以搭建自己所需要的通信網絡。對于小范圍的無線局域網而言,人們可以使用這些設備搭建用戶需要的通信網絡,最簡單的防護方式是對無線路由器設置相應的指令來防止非法用戶的入侵,這種防護措施可以作為一種通信協議保護,目前廣泛采用WPA2加密協議實現協議加密,用戶只有通過使用密匙才能對路由器進行訪問,通常可以將驅動程序作為操作系統的一部分,經過注冊表注冊后,相應的網絡通信驅動接口才能被通信應用程序所調用。網絡安全通常是指網絡系統中的硬件、軟件要受到保護,不能被更改、泄露和破壞,能夠使整個網絡持續穩定地運行,信息能夠得已完整地傳送,并得到很好保密。因此計算機網絡安全涉及到網絡硬件、通信協議、加密技術等領域。
2 信息安全管理
公安機關網絡信息管理指的是公安機關工作人員通過規定的手段保證信息、數據、服務和通信的安全等。公安部門的安全管理系統是一個持續的過程,必須加以確定并不斷審查。計算機網絡安全系統作為公安機關的主要軟件,并盡一切努力使公安機關網絡信息更安全,同時提高公安系統工作人員的IT安全意識。網絡安全解決方案和數據安全在公安領域也起到了至關重要的作用。加強信息的安全管理,防止各種信息的泄漏和竊取,有效打擊各種形態的網絡犯罪,已成為當前公安網絡建設的重要課題。
3 數據安全
越來越多的設備連接到互聯網,也受到常用辦公操作系統的間接控制。如今網絡入侵變得更有針對性,黑客只向配備關鍵安全功能的少數計算機發送惡意軟件,通常是為了進行間諜活動。這意味著,病毒和特洛伊木馬可以很長一段時間不被察覺,在被殺毒軟件捕獲之前已造成很大損害。因此,有效的數據保護措施必須提供全方位的深入保護。網絡安全策略是網絡安全計劃的說明,目的是設計和構造網絡的安全性,以防御來自內部和外部入侵者的行動計劃及阻止網上泄密的行動計劃。因此,建立網絡的安全策略,應在建網定位的原則和信息安全級別選擇的基礎上制定。公安信息系統安全問題的解決依賴于技術和管理兩方面,在采取技術措施保障網絡安全的同時,還應建立健全網絡信息系統安全管理體系,通過以上管理機制和技術措施的實施,提高網絡安全性,降低網絡安全事故的風險,保證網絡長期平穩運行。
4 結語
社會信息化的發展給公共安全領域帶來了機遇和挑戰。敵對勢力和不法分子利用信息技術的犯罪活動越來越多,公安機關在維護社會治安、打擊違法犯罪活動中所涉及的業務信息量也在急劇地增加。在這種時代背景下,公安信息化建設顯得十分重要。公安信息化建設非常有必要,并且具有深遠意義。公安信息化是提高執法質量的必由之路,公安信息化有利于提高公安的工作水平,公安信息化有利于共享信息資源和情報,從而更好地打擊犯罪。公安工作信息化的目標,就是通過大力推廣應用現代電子信息技術,實現公安工作的信息共享、快速反應與高效運行。由此可見,眾多的網絡安全風險需要考慮,因此,公安部門必須采取統一的安全策略來保證網絡的安全性。
參考文獻
[1] 何姍.公安信息網絡安全保障策略研究[J].信息安全與技術,2011(8):5-7.
[2] 尹曉雷,于明,支秀玲.公安內部網絡安全問題及解決方法[J].信息技術與信息化,2010(1):18-22.
篇6
關鍵詞:
供水企業信息集成系統;等級保護;信息安全
供水行業對國計民生很重要的一個行業,供水企業的業務性質要求以信息的整體化為基本立足點,集中管理所有涉及運營的相關數據,針對供水企業運行的特殊要求,進行集中的規劃和架構,將不同專業的應用系統進行整合,最終形成完整的供水企業綜合信息平臺。[1]而集成系統中最重要的一個要求就是信息安全。
隨著大數據時代的到來,網格、分布式計算、云計算、物聯網等新技術相繼推出,對供水企業信息集成與應用也提出了更高的要求。而隨著應用的擴展,應用中存在著大量的安全隱患,網絡黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統。根據美國Radicati公司于2015年3月的調查報告,截至2014年12月,網絡攻擊已經為全球計算機網絡安全造成高達上萬億美元的損失。而且隨著網絡應用的規模進一步上升,計算機網絡信息安全威脅造成的損失正在呈幾何級數增長。根據2015年的中國網絡安全分析報告,2014年報告的網絡安全攻擊事件比2013年增加了100多倍。2014年,搜狗由于網絡黑客攻擊導致搜索服務在全國各地都出現了長達25分鐘無法使用。2014年7月,某域名服務商的域名解析服務器發生了網絡黑客的集中式攻擊,造成在其公司注冊的13%的網站無法訪問,時間長達17個小時,經濟損失不可估量。因此,從信息安全的角度,要對供水企業信息集成系統進行防護,降低信息安全事故的發生的概率,降低其危害,是本文需要研究的內容。
1當前供水企業信息集成系統安全防護的現狀和存在的問題
伴隨著科技的不斷發展,供水企業的信息化建設也得到了很大的發展,主要是從深度和廣度兩個層面做進一步拓展。典型的供水企業信息集成系統涵蓋了生產調度系統、銷售系統、管網信息系統、財務管理系統、人事管理系統、辦公自動化系統等子系統。其中多個系統數據需要接受外部訪問,存在大量的安全隱患。目前,威脅到供水企業信息安全的風險因素主要分為三個大類:1)人為原因,如惡意的黑客攻擊、不懷好意的內部人員造成的信息外泄、操作中出現低級錯誤等。2)數據存儲位置位置的風險。可能由自然災害引發的問題,缺乏數據備份和恢復能力。3)不斷增長的數據交互放大了數據丟失或泄漏的風險。包括未知的安全漏洞、軟件版本、安全實踐和代碼更改等。
2有關分級防護的要求
尤其是供水企業信息集成系統中,存在大量涉及公民個人隱私的信息,也存在像生產調度這樣涉及國計民生的信息。因此,需要按照國家有關信息安全的法律法規,明確企業的信息安全責任。提升供水企業信息管理區內的業務系統信息安全防護。依據《信息安全等級保護管理辦法》(公通字[2007]43號)第十四條,信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。定級標準按照國家標準《信息系統安全等級保護定級指南》(GB/T22240—2008)實施,根據等級保護相關管理文件,信息系統的安全保護等級分為以下五級:第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種:1)造成一般損害;2)造成嚴重損害;3)造成特別嚴重損害。
3分別防護實施步驟
根據有關法律法規,建設完成并投入使用的信息系統,其有關使用此系統的單位需要對其系統的等級狀況做定期的測評。供水企業要遵照要求選擇具有資質的測評機構來對管理信息區的業務系統做等級保護的測評工作。其所得到的結果如下表1所示:通常情況下,供水企業信息系統中不會出現第四級和第五級的系統。根據測評結果,有必要對供水企業內部的局域網進行系統化整改。具體的整改內容包括兩項主要內容:細化各業務系統服務器的物理位置;按照需求設置信息安全區域。根據供水企業信息集成系統的具體實際,主要有等級包括三個業務區域,以及一個公共業務區和測評業務區。按照上述原則對供水企業信息集成系統服務器做物理劃分如圖1所示。不同等級的系統服務器針對不同級別的信息安全區進行設置。等級為一、二、三的業務區分別安裝著對應的服務器,而公共業務區域的服務器主要是DNS服務器或者是域服務器。公共業務區服務器主要為基礎服務提供非業務系統服務,不需要進行保護分級。測評業務區提供是投入正式使用前的測試服務器。
依據表1的測評結果,將安全區域進行細化表2所示的就是企業管理信息區,其主要業務系統對安全區域存放問題的展示。根據表2得到的結果,可以將信息安全設備存放在不同信息區域邊界內,以此達到服務器分級防護目的。信息安全設備設置在信息安全區域邊界,也就是局域網與信息安全區域之間的連接部。信息安全設備主要是防火墻、查殺病毒、攻擊防護、服務防護禁止、授權等。對于不同區域邊界的信息安全的部署建議,供水企業要遵照各自的實際情況做周密的設置。供水企業管理信息安全區域邊界防護表見表3。將信息安全防護設備部署在所在的區域邊界內,如此可以初步實現對供水企業管理信息區的信息安全防護。
4結束語
隨著大數據的發展,對供水企業信息集成系統在數據的交互和應用方面會提出更高的要求,也大大加強了安全防護措施的重要性和迫切性。在安全防護措施基本到位的前提下,還需要加強信息審計,及時發現和補救系統缺陷,加強數據庫安全防護,維護管理系統的隱患。
參考文獻:
篇7
近年來,事關食品藥品安全問題,無論是“蘇丹紅”風聲鶴唳,還是“強生”膽戰心驚,以及Pvc保鮮膜含致癌物質,總是國外相關機構發出警告信息后,國內的監管部門才行動起來。一連串的事件讓人產生疑問,我們的食品藥品安全信息為何總當國外的“跟屁蟲”。
究其成因,食品安全信息交流制度的空缺,使國內信息安全調查總是慢半拍。在國外,要求收集信息必須準確,并要在研究單位、政府機構、糧食生產與食品加工企業及消費者之間進行有效交流,以便增加透明度,努力保證食品安全。同時,收集其他國家的食品安全信息并開展交流。譬如,日本建立了及時有效的從國際組織及海外各國收集信息的機制。而在國內,不僅內部食品信息交流網絡尚未架構起來,而且與國外信息交流更是少得可憐。
信息披露環節過多,也使得信息很難做到及時、公開。從國外來講,一些食品藥品監督管理部門可以在收集到可靠信息后立即相關警告或指令。而在國內,都必須上報上級主管衛生部門,然后再通過上級部門結合實際情況,進行嚴格審批,在最大程度地保證消費者利益和國內市場各方面均衡發展的基礎上,衛生部才相關的產品安全警告或提醒。如此眾多環節,讓我們不難理解,為何安全警告總是姍姍來遲。
檢測標準嚴重滯后,更讓洋品牌常常在出現安全問題后,總是表現得傲慢無禮。在很多情況下,國家質檢部門不是不想向公眾及時發出安全信息,而是心有余而力不足。比如說,我國1996年出臺《食品添加劑使用衛生標準》,其中規定禁止將“蘇丹紅一號”作為食品添加劑用于食品生產。但10年后發生蘇丹紅事件后,國家仍還沒有出臺統一的有關“蘇丹紅一號”的檢測方法和標準。再以麥樂雞所含的化學物質為例,由于目前對這種物質沒有國家統一易行的檢測標準和手段,只能任其自說自話,信口雌黃。
說到底,食品安全信息的準確及時,考驗著一個政府的公共管理水平和智慧。安全信息警告為何總是先國外后國內?這無疑給我們提了個醒:信息交流機制如何架構?信息披露機制如何做到暢通無阻?國內安全檢測標準的缺失如何盡早彌補?類似問號都應當引起我們的高度重視,盡早拉平拉直。
篇8
中圖分類號:TP39文獻標志碼:A
1引言
工業控制系統(IndustrialControlSystems,ICS)是由各種自動化控制組件以及對實時數據進行采集、監測的過程控制組件,共同構成的確保工業基礎設施自動化運行、過程控制與監控的業務流程管控系統[1]。現代的ICS網絡,越來越依靠于商業IT和Internet領域的操作系統、開放協議和通信技術,這些技術已被證明存在著脆弱性。通過將ICS連接到互聯網或其他公共網絡,ICS脆弱性就暴露給潛在的攻擊者[2]。
為了提高工業控制系統的安全性,現在一般從兩方面考慮:一方面是提高工業控制系統的自身安全性,從設計階段就開始安全性架構,并落實在工控系統的研發、部署、運行的各個階段;另一方面是通過附加信息安全保障手段(如在系統中部署信息安全專用產品)在一定程度上彌補系統本身的安全漏洞。由于工業控制系統對高穩定性和高可用性的要求,通過附加信息安全保障的方式來提升工控安全性是目前最容易實現和被接受的方式。
工業控制系統本質上是一類信息系統,因此工控系統的安全性問題是信息系統安全性與工業控制系統的特點相結合產生的。美國國家安全局(NationalSecurityAgency,NSA)針對信息系統的安全保障陸續制定了多個版本的信息保障技術框架(InformationAssuranceTechnicalFramework,IATF)[3],成為信息安全保障的權威架構。IATF把信息安全保障分為四個環節:防護(Protection)、檢測(Detection)、響應(Response)和恢復(Recovery)。首先采取各種措施對需要保護的對象進行安全防護,然后利用相應的檢測手段對安全保護對象進行安全跟蹤和檢測以隨時了解其安全狀態。如果發現安全保護對象的安全狀態發生改變,特別是由安全變為不安全,則馬上采取應急措施對其進行響應處理,直至恢復安全保護對象的安全狀態。這四個部分相輔相成,缺一不可,構成了公認的PDRR模型,如圖1所示。
從PDDR模型的“檢測”環節入手,對工業控制系統的信息安全產品進行測試與評估,建立工控信息安全產品測試評價體系,為工業控制系統信息安全測評提供專業化的理論支撐和實踐引領,一方面有效幫助供應商大力提升其產品和系統的安全保障能力,另一方面為用戶選購工控系統信息安全產品,提高工控系統安全性提供支持。通過對安全測評結果的綜合分析,為相關主管部門提供真實、全面的安全態勢分析報告,促進工業控制領域信息安全保障工作的開展。
2工業控制系統的信息安全要求
工業控制系統有許多區別于傳統信息系統的特點,包括不同的風險和優先級別。其中包括對人類健康和生命安全的重大風險,對環境的嚴重破壞,以及金融問題如生產損失和對國家經濟的負面影響。工業控制系統有不同的性能和可靠性要求,其使用的操作系統和應用程序對典型的IT支持人員而言可能被認為是不方便的。此外,安全和效率的目標有時會與控制系統的設計和操作的安全性發生沖突(如,需要密碼驗證和授權不應妨礙或干擾ICS的緊急行動)。
美國NIST的《工業控制系統信息安全指南》[4]對ICS與IT的差異進行了全面的總結,這些顯著差異的存在導致工業控制系統與傳統信息系統在通信、主機應用、外聯訪問等方面采取了不同的策略。
傳統信息系統的信息安全通常都將保密性放在首位、完整性放在第二位、可用性則放在最后。工控系統安全目標優先級順序則恰好相反。其首要考慮的是所有系統部件的可用性、完整性則在第二位、保密性通常都在最后考慮,這些需求體現如下:
(1)工控系統的可用性則直接影響到企業生產,生產線停機或者誤動都可能導致巨大經濟損失,甚至是人員生命危險和社會安全破壞。
(2)工控系統的實時性要求很高,系統要求響應時間大多在毫秒級或更快等級,而通用管理系統能夠接受秒級或更慢的等級。
(3)工控系統對持續穩定可靠運行指標要求很高,信息安全必須具備保證持續的可操作性及穩定的系統訪問、系統性能以及全生命周期安全支持。
3工控信息安全產品
由于工控系統的自身特點以及對可用性的高度要求,適用于工業控制系統的信息安全產品也需要著重考慮工控系統的特點。目前使用相對比較廣泛的工控信息安全產品主要包括工控防火墻、工控安全審計、工控隔離、工控主機防護等類型。
3.1工控防火墻
工控防火墻根據防護的需要,在工控系統中部署的位置存在多種情況,通常用于各層級之間、各區域之間的訪問控制,也可能部署在單個或一組控制器前方提供保護。工控防火墻采用單機架構,主要對基于TCP/IP工業控制協議進行防護。通過鏈路層、網絡層、傳輸層及應用層的過濾規則分別實現對MAC地址、IP地址、傳輸協議(TCP、UDP)和端口,以及工控協議的控制命令和參數的訪問控制。
工控防火墻從形態來說主要分兩種,一類是在傳統IT防火墻的基礎上增加工控防護功能模塊,對工控協議做深度檢查及過濾。還有一類工控防火墻是參考多芬諾工業防火墻的模式來實現的。
3.2工控安全審計
工控安全審計產品通過鏡像接口分析網絡流量,或者通過及設備的通用接口進行探測等方式工作,及時發現網絡流量或設備的異常情況并告警,通常不會主動去阻斷通信。
這類產品自身的故障不會直接影響工控系統的正常運行,也更容易讓用戶接受。
3.3工控隔離
工控隔離產品主要部署在工控系統中控制網與管理網之間。包括協議隔離產品,采用雙機架構,兩機之間不使用傳統的TCP/IP進行通信,而是對協議進行剝離,僅將原始數據以私有協議(非TCP/IP)格式進行傳輸。其次還有網閘,除了進行協議剝離,兩機中間還有一個擺渡模塊,使得內外網之間在同一時間是不聯通的,比較典型的是OPC網閘,主要還是傳輸監測數據,傳輸控制命令的網閘還相當少。另外還有單向導入設備,主要采用單向光纖、VGA視頻信號等方式從物理上保證傳輸的單向性,其缺點是不能保證傳輸數據的完整性,但對于將控制網中的監測數據傳輸到企業辦公網還是可行的。
總體來說,由于隔離類產品采用雙機架構,中間私有協議通信,即使外端機被攻擊者控制,也無法侵入內端機,其安全性要高于防火墻設備。
3.4工控主機安全防護
工控系統中會部署一定數量的主機設備,如工程師站、操作員站等。這些設備往往是工控系統的風險點,病毒的入侵、人為的誤操作等威脅主要都是通過主機設備進入工控系統。因此,這些主機有必要進行一定的防護。
目前主要有兩種針對主機設備的防護產品:一種為鎧甲式防護產品,通過接管主機設備的鼠標/鍵盤輸入、USB等外圍接口來保證主機的安全;另一種就是白名單產品,通過在主機上安裝程序,限制只有可信的程序、進程才允許運行,防止惡意程序的侵入。
4工控信息安全產品測試評價體系
工控信息安全產品測試評價體系涵蓋測試環境、測評技術和評價服務三部分。測試環境主要由適用于工業控制系統信息安全產品的測試平臺組成,測評技術主要涉及測試工具、測試方法、基礎庫和相關的標準及規范,評價服務提供工業控制系統的安全測評服務的能力。
4.1總體架構
以工業控制系統相關的新一代信息技術為對象,從研究工控信息安全產品的安全功能要求、自身安全要求和性能要求出發,結合信息系統的威脅分析、系統脆弱性檢測和風險評價的方法和技術,建立了工控信息安全產品測試評價體系,總體架構如圖2所示。
其中,測試環境體系包括基礎環境和實驗環境,測評技術體系包括測試方法、測試工具、基礎庫和關鍵標準,評價服務體系包括服務流程和組織管理。
4.2測試環境
根據測評機構質量體系建設等相關要求,通過對現有資源進行整合、改進和升級,形成實驗室必要的物理基礎設施,主要包括機房建設、硬件設備和軟件購置,從而為工控信息安全產品測試評價提供基礎條件。
測試環境主要包括以下兩部分:
(1)基礎環境:進行實驗室機房裝修和改造,作為測試評價體系的實施基礎。
(2)實驗環境:實驗室基礎網絡和測試儀表。
4.2.1基礎環境
基礎環境主要通過對現有資源的整合、升級,著力建設測評環境所急需的物理基礎設施,包括機房改建和擴建、硬件設備和軟件購置、測評實驗環境建立等內容,最終形成工控專用安全產品測試所需的必要基礎條件。
基礎環境包括4個測試(性能測試環境、攻擊測試環境、功能測試環境和協議測試環境)隔斷環境、1個演示環境和1個測試機房組成。
4.2.2實驗環境
實驗室環境主要是針對工業控制系統信息安全產品的檢測需要,搭建典型的工業控制環境,包括測試平臺和演示環境兩部分。其中測試平臺又包括功能測試平臺、協議測試平臺、攻擊平臺和性能測試平臺四個系統。
4.2.2.1測試平臺
測試平臺包括功能測試平臺、協議測試平臺、攻擊平臺和性能測試平臺四個方面。由于每個測試平臺的測試重點和測試環境的要求各不相同,所以四個平臺分別獨立部署。
(1)功能測試平臺
功能測試平臺是一套典型的小規模工業控制系統,包含工業控制領域主流工業設備、工控協議交換設備、工業控制模擬軟件系統。功能測試平臺的工業設備包含行業主流,并支持工業控制主要協議的設備(包括西門子、施耐德、和利時及信捷等)的一至兩種型號,能夠實現常用的工業控制功能及數據監測功能,具備支持多種常見的工業控制協議(支持ModBusTCP、DNP3.0、OPC、Profinet/Profibus、IEC61850、IEC104等)的能力。
(2)協議測試平臺
工控信息安全產品包括工控防火墻、工控隔離、工控審計、工控主機防護等。無論該設備在實際部署時串接接入,還是旁路接入工控網絡,則該設備都需要進行協議測試,測試目地在于驗證該設備是否能支持現有常用的工業控制協議。
(3)攻擊測試平臺
攻擊測試平臺主要針對常用的工控信息安全產品,用以驗證安全產品是否能夠抵御來自網絡,壓力,碎片等攻擊。對于旁路接入的工控信息安全設備,測試目的在于驗證系統能否能記錄攻擊行為(工控審計類產品);對于串行接入的工控信息安全設備,測試目的在于驗證系統能否能抵御并攔截攻擊行為(工控防火墻類產品)。
(4)性能測試平臺
如果工控信息安全產品為串接部署則需要進行性能測試,用以驗證該設備的引入是否會對現有的工業網絡造成如通信延時增加、網絡帶寬降低等情況、安全設備的安全防護能力下降等影響。
4.2.2.2演示環境
演示環境是工控系統運行的展示,以簡單明了的形式來表征工控系統運行的狀態,包括正常運行和承受攻擊時的運行狀態。不同的工業控制產品自身的漏洞是各不相同的,所以為了直觀的演示不同的攻擊對不同的工業控制設備造成的影響,我們需要在工業控制協議及工業控制廠商進行盡量的覆蓋。
演示環境包含高仿真沙盤模型和可視化工控系統拓撲結構展板。
沙盤由底座、臺面和臺面模型組成,沙盤內部完成所有動態的設計和線路的連接,臺面模型根據具體設計和布局陳列,體現完整的工藝流程,各模型單體形狀和比例與真實系統一致。沙盤涉及化工生產、污水處理、環境監測、智能樓宇等多個應用實景。
展板由展架和展板封面組成,展板上按層次集成工控設備、網絡設備,并由燈帶組成復雜的網絡路徑。實際演示過程中,將由不同色燈光表現正常網絡數據流和受攻擊后異常數據流。展板上各控制系統和交換機預留相應接口,可方便接入典型的工業控制防護設備或專用測試工具。
4.3測評技術
測評技術包括測試方法和測試工具的研究、改進和應用,基礎庫的建設以及相關標準的編制。
4.3.1測試方法
工控系統的安全性測試方法按照安全技術要求可以分為安全功能、安全保證、環境適應性和性能要求四個大類。根據各大類對系統的要求,分別進行測試方法的研究。
鑒于工控系統與傳統信息系統在安全性要求上的區別,工控系統的信息安全目標通常都在最后考慮,因此工控系統的安全技術要求又有其特殊性。安全功能要求是對工控信息安全產品應具備的安全功能提出的具體要求,工控信息產品安全功能的具體要求包括身份鑒別、訪問控制、安全管理、不可旁路、抗攻擊、審計以及配置數據保護和運行狀態監測等;安全保證要求針對工控信息安全產品的開發和使用文檔的內容提出具體的要求,例如配置管理、交付和運行、開發過程、指導性文檔和生命周期支持等;環境適應性要求是對工控信息安全產品的應用環境提出具體的具體要求,例如IPv6環境適應性,OPC環境適應性等;性能要求則是對工控系統和工控產品應達到的性能指標做出的規定,例如去抖動、交換速率和硬件切換時間等。此外,針對工控系統和設備的操作系統層面的漏洞進行分析挖掘,形成攻擊測試集。
針對以上要去分別深入研究相關的測試方法,并應用于實際的測試工作中。
4.3.2測試工具
為確保工業控制系統信息安全產品和系統測評服務的專業化,開發了一批方便易用的測評工具和分析工具。其目的一是減少測評或評估人員的工作負擔,二是減少測評和評估人員因能力和經驗造成的測評或評估誤差,保證測評和評估服務結果的準確性和科學性,提高專業化的服務能力。通過測試軟件來模擬正常和異常協議,可檢測工業控制系統信息安全產品的功能實現,以及對異常協議的抵御能力。
本體系配套了工控協議模擬測試軟件,集成Modbus、DNP、IEC104、IEC61850等工控協議,用于工控信息安全專用產品和工控設備的測試。該軟件的運行方式是單機運行,適用的操作系統為windowsNT,windowsxp,windows7x86平臺。該軟件主要分為四個模塊:ModBus模塊、DNP模塊、IEC61850MMS模塊和IEC104模塊。
4.3.3基礎庫
基礎庫主要包括知識庫、測評指標庫、測評方法庫、測評用例庫和測評數據庫。
知識庫的主要內容包括工業控制系統信息安全領域的基礎技術知識、測試案例、法律法規、安全事件/技術手段等的統一描述方法、國內外安全事件、知識庫的管理和維護方法、智能化數據挖掘方法等。
指標庫保證各個被測系統之間測評結果的一致性。通過為工業控制系統安全測評服務建立統一的測評指標庫,保證測評結果的唯一性和公正性。指標庫由功能指標庫、性能指標庫和安全性評價指標庫等構成,可根據需要對指標庫進行擴展和維護。
測評方法庫用以在每種信息安全專業化服務的標準編制和測評方法研究的基礎上,明確具體的技術要求,從而提供有效的服務。
測評用例庫是在測評方法庫建設的基礎上,加強測試的復用,提高安全測試的效率。根據廠家提供的說明書和測評人員的經驗,深入解析相關技術要求的內涵,為每種具體服務建立測評用例庫。
本體系的基礎庫由兩部分構成,第一部分包括了知識庫和漏洞庫,設計成門戶網站模式,直接對外開放,其中收集了4000余條安全事件、3萬余條安全漏洞以及相關的法規政策、技術知識、工具等;第二部分涵蓋了指標庫、測評方法庫、測評用例庫、測評數據庫等,運用于測評實戰,檢測人員可以在其中依據指標、測評方法、測試用例對實際的產品或系統進行測試記錄。
4.3.4關鍵標準
工控系統與互聯網信息系統采用傳統信息安全產品難以滿足相關要求,工控系統對持續穩定可靠運行指標要求很高,信息安全必須具備保證持續的可操作性及穩定的系統訪問、系統性能以及全生命周期安全支持。因此,有必要為應用于工控系統的關鍵信息安全產品,以及工控系統安全提出專門的標準,并研究相應的測試技術與方法。
本體系在工控領域制定了信息安全產品標準體系,以規范和支撐產品測試。主要包括:
(1)《信息安全技術工業控制系統專用防火墻技術要求》;
(2)《信息安全技術工業控制系統網絡審計產品安全技術要求》;
(3)《信息安全技術工業控制網絡安全隔離與信息交換系統安全技術要求》;
(4)《信息安全技術工業控制系統安全管理平臺安全技術要求》;
(5)《信息安全技術工業控制系統入侵檢測產品安全技術要求》
(6)《信息安全技術工業控制系統邊界安全專用網關產品安全技術要求》;
(7)《信息安全技術工業控制系統軟件脆弱性掃描產品安全技術要求》;
(8)《信息安全技術安全采集遠程終端單元(RTU)安全技術要求》。
4.4評價服務
評價服務包括服務流程和組織管理。服務流程基于現有的服務流程,深入挖掘工業控制系統信息安全產品的特點,融入服務流程,提升服務質量;組織管理主要規范服務的相關制度,充分合理利用各方面的資源,提高服務效率。
4.4.1服務流程
服務采購單位提出自己的系統需求,測評機構經過溝通協調確定服務目標,簽訂服務合同,成立測評項目組;項目組根據采購單位提出的需求信息,分析需求是否充分;當需求不夠充分時,需和服務采購單位進行溝通,補充需求并最終確認;當需求足夠充分時,依據相關標準進行服務方案的總體設計,并由專家對方案進行評審;通過初步方案評審后,由測評人員對服務方案進行詳細設計,再交由專家對方案進行評審,并提交方案;如方案需進行修改,需重新設計或晚上詳細的服務方案,再由專家進行方案評審,如此類推;當提交的服務方案不需要進行修改時,形成安全的服務方案;一方面由專家對安全的服務方案進行審批,并形成標準化管理;另一方面測評人員根據安全服務方案進行測評工作,測評結束后,形成文檔,并歸檔。
4.4.2組織管理
為了保障整套服務流程的順利實施,本體系還建立信息安全產品及系統服務的組織架構,如圖8所示。
通過成立領導辦公室、管理部、技術部和檢測部,分別從組織、管理和技術等方面對服務的流程進行控制。管理部主要按照相關的管理規定負責服務申請的受理、產品測評流程的控制、檢驗報告或測評報告的審核、客戶滿意度的回訪等;技術部主要負責測評相關技術研究工作;檢測部負責具體檢測工作的實施,根據檢測數據整理出具檢驗報告或測評報告初稿。
篇9
二、私權視角下網絡服務提供者注意義務的局限性
(一)侵權法領域網絡服務提供者承擔注意義務的規則
互聯網技術發達的美國和歐洲較早地注意到了網絡服務提供者在維護個人權益安全方面的作用。因而通過國內或地區立法針對不直接提供網絡內容的服務者在某些情形下承擔侵權責任做出規定。以美國為例,其在《數字千年版權法案》中即以避風港規則和紅旗規則為非網絡內容服務提供者對版權領域內出現的某些侵權行為設定了一定的注意義務。依據避風港規則,自身不提供內容的網絡服務提供者根據權利人提出的符合法律規定的通知及時地處理了涉嫌侵權的信息,便能夠享受免于承擔侵權責任的資格。②紅旗規則是避風港規則的一項例外適用,其含義是如果侵犯信息網絡傳播權的事實是如此的明顯,如同紅旗一樣飄揚,那么網絡服務提供者即不能以避風港規則推卸責任,在此情況下,即使權利人沒有發出請求刪除、屏蔽的通知,網絡服務提供者也應當對此承擔侵權責任。立法者意圖通過這兩項規則的適用達到既能不為網絡服務提供者設置過重的負擔,妨礙其行業發展,又能保護相關權利人版權利益的目的,初衷不可謂不深遠。我國的《信息網絡傳播權保護條例》、《侵權責任法》相繼吸收了美國法中的這兩項規則。③但在適用上做出了三點不同的變通,這表現在《侵權責任法》第36條第2款的制度設計上:其一,網絡服務提供者的類型由非網絡內容服務提供者擴大至其他類型的軟件服務提供者;其二,侵犯的權益由信息傳播權擴大至所有可能被通過網絡侵犯的民事財產權及人身權;其三,改變了美國法中以網絡服務提供者不承擔審查義務為主要原則,僅在有限的情況下就其未盡到注意義務需承擔侵權責任為輔的立法初衷,而是代之以網絡服務提供者承擔與實際侵權人同等程度的網絡侵權責任作為一般原則,將原避風港規則中的通知和刪除程序作為衡量網絡服務提供者是否承擔侵權責任的決定性標準。美國法中的避風港規則與紅旗規則在引入我國《侵權責任法》時發生的上述變化,表明網絡服務提供者需要對他人的網絡侵權行為承擔更為嚴格的侵權責任。這種以救濟受害人為主要目的的侵權歸責模式,源于當時出現的許多人肉搜索、網絡謠言等侵權事件這一社會背景。立法者在做出這種制度設計時,更多的是基于一種政策考量,而不是從網絡服務提供者本身的地位出發,規定與其能力相適應的義務和責任。這種出發點決定了第36條在適用的過程中并無法解決諸多實際問題。首先,網絡侵權行為所侵犯的權利類型越來越多,不僅包括知識產權,還包括名譽權、隱私權等人格權。對于某網絡用戶是否侵犯了他人的權利,這其中涉及價值判斷,該問題在司法實踐中一般是由法院作出裁決。從根本上講,網絡服務提供者并無資格僅僅根據權利人的權利通知即采取刪除、屏蔽等消除侵權信息的措施。如果無視這種資格缺陷,在知識產權領域賦予網絡服務提供者以審查權限,那么鑒于此類權利的識別性較為容易,這尚且處于其能力范圍之內,但在權利類型擴張到人格權的情形下,權利沖突已經變得極為復雜,網絡服務提供者對此已經失去了甄別的能力。這也從側面說明了為何美國的避風港規則和紅旗規則僅適用于版權法領域,而沒有擴及其他侵權情形。其次,WEB2.0技術的應用和普及,出現了博客、微博、微信等網絡交流平臺。原來由網絡服務提供者集中控制主導的信息和傳播體系,逐漸轉變成了由廣大用戶集體智能和力量主導的體系。此外,隨著用戶數量的激增,信息的產生和傳播呈現出海量化和碎片化的特征。網絡服務提供者在這種信息流動模式下,難以行使針對具體個人權利的信息審查義務。前述兩項客觀制約因素決定了侵權法對網絡服務提供者義務和責任的規定已超出了其能力范圍之外,這種規則本身的運行并無法起到保護受害人權益,凈化網絡的初衷。
(二)從私權角度審視網絡服務提供者義務的局限性
無論是美國法中網絡服務提供者承擔寬松的注意義務規則,或是我國侵權法中以嚴格救濟受害人為主的制度設計,兩者均是站在維護私權的角度對網絡服務提供者應盡之安全保障義務做出規定。嚴格講來,任何安全維系規則的終極目標都是為了保護民事主體的私人權益不被侵犯,這是理所應當且毫無疑問的。然而問題的關鍵在于實踐中威脅民事主體權益的不安全因素有諸多表現形式,并非每一項都表現為直接侵權,換言之,傳統的侵權歸責模式并不適用于所有的安全威脅情形,民事主體個人權益的最終保護并不能都通過主動提起侵權訴訟來獲得解決。這在當下層出不窮的網絡安全頻發的各色事件中表現的尤為明顯。如2011年騰訊公司與奇虎360公司發生不兼容大戰,騰訊迫使6000多萬用戶卸載了360安全軟件。該事件本身雖是兩類網絡服務提供者因不正當競爭而起,表面上看,并沒有直接侵犯網絡用戶的實際權益,但實際上騰訊公司迫使所有使用QQ的用戶卸載360殺毒軟件的行為正是無視這些用戶的網絡安全選擇,間接地置其人身和財產安全處于危險境地。當QQ用戶因卸載殺毒軟件遭受信息泄露,實際權益受到侵犯時,卻無法依據目前的私權規則提起侵權之訴保護自身權益。另一方面,依據前述我們對信息網絡運行規則的解讀,網絡是一個縱橫交錯的整體性系統,所有的網絡服務提供者均處于進入網絡通道看門人的地位。不獨網絡軟件服務提供商,即使是網絡硬件設備提供者,也應負有信息安全保障義務。如電腦的芯片制造商,在芯片投入批量生產之前應盡可能地對其技術安全性進行全面的檢測,當其在使用過程中發現存在漏洞時,也應及時采取技術修復等各種可能的措施最大限度的確保用戶的使用安全。而私權規則僅針對在某些直接侵權情形下未盡到注意義務,而需承擔侵權責任的軟件服務提供者。從本質上看,這是將網絡關系簡單化為軟件服務提供者與網絡用戶之間的債權化網絡結構,從而將網絡服務提供者等同于一般安全保障義務主體,忽略了信息網絡其他構建者應負有的信息安全保障義務,上文所述之路由器被破譯以致個人信息泄露事件即是證明。在具體的侵權法領域,網絡僅是一種使用工具,網絡服務提供者猶如普通的商品制造商一樣,并不對任何個人通過使用該工具而侵犯他人的行為負責。綜上可知,站在維護個體私權的角度看待網絡服務提供者應承擔的信息安全保障義務,加重了網絡服務提供者對所有個體用戶承擔義務的負擔,隨著網絡技術的不斷縱深發展,網絡用戶在使用人數和行為模式上也發生了很大的變化,前述私權規則在解決具體侵權問題方面,僅具有有限的適用性。此外,該規則將保護主體限于私人用戶,忽略了網絡服務提供者對國家、公司等商事組織負有的信息安全保障義務,具有很大的片面性和局限性。現實情況下,面對越來越多的各類網絡安全事件,私權規則中對網絡服務提供者義務和責任的規定卻無法適用于其中。鑒于此,我們應該跳出私權視角俯瞰整個公共領域,重新審視網絡服務提供者應當負有的信息安全保障義務,該義務應具有更深遠的價值取向和目標,并且配有更為細化和恰當的義務履行規則。
三、信息安全保障義務的價值取向:公共秩序與公共安全
以維護純粹的個體私益捆綁網絡服務提供者應負有的信息安全保障義務,具有很大的局限性。基于信息網絡開放、互聯的結構性特點,以及網絡服務提供者在整體系統中所處的地位,網絡服務提供者負有的信息安全保障義務應以公共秩序與公共安全為價值目標。網絡空間是否存在著公共性,這是我們在理解這一價值目標時首先需要面對的問題。通常我們基于網絡空間的虛擬性而傾向于淡化其公共性和社會性的一面,進而將網絡社會簡化為無數個用戶與軟件網絡服務提供者之間的相對法律關系,對于網絡糾紛也傾向于以純私法的方式進行處理。網絡的虛擬性是指信息的存在方式皆以文字、圖形、聲音、視頻形式表現,而缺少現實世界中立體、固有的形態實體物。這個特點常常在視覺上給用戶以錯覺,認為自己脫離了群體性的生活,面對的僅僅是不可觸摸的信息,而忽略了任何信息流產生和傳播的背后均是人際關系在發生互動這一基本事實。物理世界中,先存在著一個公共空間和領域,而后才會產生聚合的公共行為;而網絡空間的虛擬性打破了這個傳統的模式,先有人與人之間的互動,而后才形成一個公共空間。換言之,不論空間的表現形態如何,只要人們以言行的方式聚集在一起,展現的空間就形成了。由此可以說,虛擬性并不排斥公共性,甚至在某種程度上,虛擬性成就了網絡空間所特有的公共性。網絡空間具有公共性意味著作為信息看門人地位的網絡服務提供者需為空間中所有用戶承擔最低限度的信息安全保障義務,即維護網絡公共秩序與公共安全。秩序關注的是網絡空間內各類信息流的暢通、有序運行;安全強調的是不被攪擾,能夠自由流動的一種狀態。秩序與安全雖然指向性不同,然而兩者并非可以分割,而是緊密連為一體的價值。秩序的維持有助于確保安全,而對安全的保障,也有利于秩序的實現。秩序與安全是人類生存與發展最基本的價值需求,但與現實的物理社會相比,網絡社會似乎對此表現出了更強烈的需求。這主要源于兩個原因:一方面,現實社會已經發展的較為成熟,形成了一套運行穩定的制度體系來確保社會秩序與安全,而對于新生的網絡社會而言,面對的是一個全新的領域,建立起一套基本的秩序與安全規則,是網絡社會得以運行的基本前提和保障;另一方面,與現實社會不同,網絡社會中人與人之間工作、生活等各方面的交際均是以信息流的形式通過網絡平臺進行,這種長線距離的曲線往最容易在過程中產生波瀾,因而確保個人信息在流轉過程中的有序與安全成為網絡社會必然的價值選擇。換言之,網絡世界更需要對信息產生、傳播過程的管控,這迥然于現實世界對私人權利的靜態保護。可以說,公共秩序與公共安全這兩項價值內生于網絡社會,也將伴隨其永久存在和發展。網絡社會對公共秩序與公共安全的渴求,在很大程度上表現為網絡服務提供者需對所有用戶承擔信息安全保障義務。這歸根結底是由網絡特有的技術特征以及網絡服務提供者所處的法律地位決定的。網絡社會的一切活動都需借助于網絡平臺進行,人與人之間的行為表現為各種信息的流動,因而從技術上確保信息流有序、安全的產生、存儲和傳輸,顯得尤為迫切和重要。實踐中許多危害公共秩序與公共安全的行為均是由于網絡技術存在缺陷所導致。如2011年,程序員網站CSDN、天涯社區、美團網等網站數據庫遭到黑客攻擊,網絡個人信息泄露事件曾集中爆發,上億用戶的注冊信息被公之于眾,其中,廣東省出入境政務服務網泄露了包括真實姓名、護照號碼等信息在內的約400萬用戶資料。針對這些問題,網絡服務提供者與政府機構或其他主體相比,既有能力,也有條件積極、主動的進行預防和事后應對。此外,隨著大數據分析技術的發展,信息越來越成為一種各類網絡服務提供者爭相攫取的新型資源,網絡服務提供者作為受益者,理應對這一資源的有序流動和安全承擔保障義務。需要說明的是,網絡服務提供者以公共秩序與公共安全為價值目標承擔信息安全保障義務,并非忽略對私權的保護。公共秩序與公共安全著眼于潛在不特定多數人的利益,因而對其進行維護恰恰能夠最大限度地保護私權。實踐中,許多個體的私權受到侵犯往往是由于網絡服務提供者未盡到信息安全保障義務所致。如家、漢庭等大批酒店的開房記錄泄露事件,正是因酒店Wi-Fi管理、認證管理系統存在信息安全加密等級較低問題,以致這些信息被黑客竊取、泄露,危及開房人的實際權益。
四、信息安全保障義務內容———以個人信息保護為例
在公共秩序與公共安全的價值指引下,網絡服務提供者需要承擔的信息安全保障義務范圍廣泛,既包括所有的網絡服務提供者不得制造或提供危害網絡公共秩序與公共安全的產品或服務,也包括需采取技術措施不斷升級自身產品或信息系統,確保不會出現安全漏洞從而被他人侵入和破壞;既包括某些非內容服務提供者對用戶利用平臺傳播與該價值目標不符的言論或行為做出禁止,也包括相關網絡服務提供者在經營過程中產生矛盾糾紛時對自己行為(如不正當競爭)進行克制,避免因自己的行為將用戶的基本使用安全置于危險境地;等等。如此廣泛的范圍使得清晰規定網絡服務提供者承擔的信息安全保障義務內容絕非易事。目前,網絡服務提供者未盡信息安全保障義務常常表現為個人信息被非法收集、處理、利用、泄露,以致危害不特定多數人的人身及財產權益,在此以個人信息的保護為主線說明網絡服務提供者應承擔的信息安全保障義務的主要內容。
(一)網絡服務提供者未經法律規定或用戶同意不得任意收集、存儲和處理他人信息
信息網絡時代,信息不斷的產生和流動,網絡服務提供者憑借其先進的技術手段,能夠對用戶使用網絡留下的諸多信息進行收集、存儲和處理。由于個人信息能夠單獨或與其他信息結合識別出特定的信息主體,從而將信息主體的人身安全、隱私、財產等權益曝光于眾目睽睽之下,增加受害的幾率,因而對網絡服務提供者收集、存儲和處理個人信息的行為應當進行規制。任何網絡服務提供者都不得未經許可收集個人信息,應當是一般原則。對于用戶同意收集的個人信息,網絡服務提供者應當在指定的收集用途范圍內使用,不得超出該范圍另作它途,同時也不得基于一定的目的,將該信息提供給其他主體使用。
(二)網絡服務提供者需采取措施維護信息在產生及流轉過程中的安全
網絡服務提供者在使用信息系統對個人信息進行存儲、處理時,應當采取適當的管理措施和技術手段保護個人信息安全,防止未經授權檢索、披露及丟失、泄露、損毀和篡改個人信息。一般而言,網絡服務提供者應從管理和技術兩個方面確保個人信息的安全。網絡服務提供者應當實施各項管理措施,如建立個人信息收集、使用及其相關活動的工作流程和安全管理制度;對工作人員及人實行權限管理,對批量導出、復制、銷毀信息實行審查,并采取防泄密措施;妥善保管記錄個人信息的紙介質、光介質、電磁介質等載體,并采取相應的安全儲存措施;等等。實踐中,盡管不同的網絡服務提供者根據自己所處的地位和提供的網絡服務的不同會采取各異的管理措施,但只要最大限度的確保其管理上不存在人為的漏洞致使他人信息泄露,即可視為網絡服務提供者盡到了該項義務。除了管理措施不夠完善導致個人信息泄露外,技術因素是另一個重要原因。由于互聯網絡的發展,大量個人信息被計算機和各種網站等各類網絡服務提供者存儲,因而一旦網絡出現系統漏洞、程序漏洞等各種危害安全的漏洞后往往會導致大規模個人信息發生泄露。從技術上而言,漏洞是軟硬件在設計上存在的缺陷,攻擊者能夠在未授權的情況下訪問或破壞系統。一個系統自時起,就一直處于漏洞發現和修補的循環之中,漏洞問題會長期存在。這種特性要求網絡服務提供者應對儲存用戶個人信息的信息系統實行接入審查,實時注意網絡異常,當發現問題時,及時進行補丁修復,并采取防入侵、防病毒等措施,增強系統的抗攻擊性,確保信息安全;同時,網絡服務提供者應建立網絡安全日志,對重要網絡系統及數據、信息及時備份。此外,一旦發生個人信息泄漏、丟失,網絡服務提供者應及時通過網絡、報紙、電視等媒體渠道告知受影響的個人信息主體事件的發生情況以及應采取的防護措施,以免給其造成無法挽回的損失,并且還應當及時向國家相關信息管理機構進行通報。
(三)網絡服務提供者對用戶違反法律、法規規定或傳輸信息的行為應當予以禁止
網絡服務提供者應當加強對其用戶的信息的管理,對法律、法規禁止或者傳輸的信息,應當立即予以禁止,采取消除等處置措施,保存有關記錄,并向有關主管部門報告。法律、法規禁止或傳輸的信息,一般而言是危害國家安全、嚴重損害公共秩序與公共安全或有損社會風氣等信息。如宣傳思想的視頻或文字;教授用戶破解他人路由器方法的文字;某網站已被泄露的用戶銀行賬號、身份證號等個人信息;等等。網絡服務提供者對前述信息的和傳輸進行管理,意味著其對信息的和傳輸具有一定的審查義務,這不同于侵權法領域要求網絡服務提供者站在私域角度純粹依據自己的價值取向保護個體私權之情形,該項義務的履行具有較為明確的參考標準,因而也不會對用戶的言論自由構成侵犯。事實上,在對用戶或傳輸的信息進行審查方面,網絡服務提供者在某種程度上更類似于一個公共管理機構,因而這既是其承擔的義務,也是其享有的部分公共管理權限。
(四)網絡服務提供者終止其技術服務時應最大限度的確保使用該技術服務的用戶的信息安全
網絡服務提供者在經營過程中,如若要停止某項技術服務,對于使用該技術的所有用戶應當提前發出通知,及時提醒其繼續使用將會帶來的風險,以及告知其避免這些風險需要采用的措施,給用戶足夠的時間進行技術更換工作。如微軟中國此前宣布于2014年4月8日停止對WindowsXP的支持,但考慮該操作系統在我國通信等重要行業仍占據較高比例,若立即停止將會給基礎通信網絡帶來直接風險,威脅基礎通信網絡的整體安全,故其決定將與包括騰訊在內的國內領先的互聯網安全及防病毒廠商密切合作,為中國全部使用XP的用戶,在用戶選擇升級到新一代操作系統之前,繼續提供獨有的安全保護,幫助用戶安全度過系統過渡期。網絡服務提供者之所以在其技術服務結束時仍需向用戶承擔信息安全保障義務,源于長久以來二者之間的一種相互生存倚賴,尤其在當下的互聯網行業,某類網絡服務提供者在某些技術方面長期處于壟斷地位,導致其地位已具有不可替代性,因而在退出時理應采取一些安全措施保護所有使用其技術服務用戶的安全,避免因其退出技術服務而給用戶帶來人身及財產損失。在當下網絡新產品或服務不斷涌現的時代背景下,網絡服務提供者承擔信息安全保障義務的內容非常之多,不同類型的網絡服務提供者承擔的信息安全保障義務內容也各不相同,于此情形下,窮盡其所有的義務內容絕非易事。上述以個人信息被非法收集、使用及泄露為例說明網絡服務提供者應承擔的義務,僅具有概括作用,具體到實踐中,每一網絡服務提供者究竟有無盡到信息安全保障義務,應以公共秩序與公共安全為價值指引做出判斷。
篇10
一、建立健全網絡和信息安全管理制度
各單位要按照網絡與信息安全的有關法律、法規規定和工作要求,制定并組織實施本單位網絡與信息安全管理規章制度。要明確網絡與信息安全工作中的各種責任,規范計算機信息網絡系統內部控制及管理制度,切實做好本單位網絡與信息安全保障工作。
二、切實加強網絡和信息安全管理
各單位要設立計算機信息網絡系統應用管理領導小組,負責對計算機信息網絡系統建設及應用、管理、維護等工作進行指導、協調、檢查、監督。要建立本單位計算機信息網絡系統應用管理崗位責任制,明確主管領導,落實責任部門,各盡其職,常抓不懈,并按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,切實履行好信息安全保障職責。
三、嚴格執行計算機網絡使用管理規定
各單位要提高計算機網絡使用安全意識,嚴禁涉密計算機連接互聯網及其他公共信息網絡,嚴禁在非涉密計算機上存儲、處理涉密信息,嚴禁在涉密與非涉密計算機之間交叉使用移動存儲介質。辦公內網必須與互聯網及其他公共信息網絡實行物理隔離,并強化身份鑒別、訪問控制、安全審計等技術防護措施,有效監控違規操作,嚴防違規下載涉密和敏感信息。通過互聯網電子郵箱、即時通信工具等處理、傳遞、轉發涉密和敏感信息。
四、加強網站、微信公眾平臺信息審查監管
各單位通過站、微信公眾平臺在互聯網上公開信息,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關規定,建立嚴格的審查制度。要對網站上的信息進行審核把關,審核內容包括:上網信息有無涉密問題;上網信息目前對外是否適宜;信息中的文字、數據、圖表、圖像是否準確等。未經本單位領導許可嚴禁以單位的名義在網上信息,嚴禁交流傳播涉密信息。堅持先審查、后公開,一事一審、全面審查。各單位網絡信息審查工作要有領導分管、部門負責、專人實施。
嚴肅突發、敏感事(案)件的新聞報道紀律,對民族、宗教、軍事、環保、反腐、人權、計劃生育、嚴打活動、暴恐案件、自然災害,涉暴涉恐公捕大會、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事(案)件的新聞稿件原則上不進行宣傳報道,如確需宣傳報道的,經縣領導同意,上報地區層層審核,經自治區黨委宣傳部審核同意后,方可按照宣傳內容做到統一口徑、統一,確保信息的時效性和嚴肅性。
