发布时间:2023-10-09 17:41:11
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇互联网信息安全评估,期待它们能激发您的灵感。
安全评估管理规定
第一条为规范开展互联网新闻信息服务新技术新应用安全评估工作,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《互联网新闻信息服务管理规定》,制定本规定。
第二条国家和省、自治区、直辖市互联网信息办公室组织开展互联网新闻信息服务新技术新应用安全评估,适用本规定。
本规定所称互联网新闻信息服务新技术新应用(以下简称“新技术新应用”),是指用于提供互联网新闻信息服务的创新性应用(包括功能及应用形式)及相关支撑技术。
本规定所称互联网新闻信息服务新技术新应用安全评估(以下简称“新技术新应用安全评估”),是指根据新技术新应用的新闻舆论属性、社会动员能力及由此产生的信息内容安全风险确定评估等级,审查评价其信息安全管理制度和技术保障措施的活动。
第三条互联网新闻信息服务提供者调整增设新技术新应用,应当建立健全信息安全管理制度和安全可控的技术保障措施,不得、传播法律法规禁止的信息内容。
第四条国家互联网信息办公室负责全国新技术新应用安全评估工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内新技术新应用安全评估工作。
国家和省、自治区、直辖市互联网信息办公室可以委托第三方机构承担新技术新应用安全评估的具体实施工作。
第五条鼓励支持新技术新应用安全评估相关行业组织和专业机构加强自律,建立健全安全评估服务质量评议和信用、能力公示制度,促进行业规范发展。
第六条互联网新闻信息服务提供者应当建立健全新技术新应用安全评估管理制度和保障制度,按照本规定要求自行组织开展安全评估,为国家和省、自治区、直辖市互联网信息办公室组织开展安全评估提供必要的配合,并及时完成整改。
第七条有下列情形之一的,互联网新闻信息服务提供者应当自行组织开展新技术新应用安全评估,编制书面安全评估报告,并对评估结果负责:
(一)应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能的;
(二)新技术、新应用功能在用户规模、功能属性、技术实现方式、基础资源配置等方面的改变导致新闻舆论属性或社会动员能力发生重大变化的。
国家互联网信息办公室适时新技术新应用安全评估目录,供互联网新闻信息服务提供者自行组织开展安全评估参考。
第八条互联网新闻信息服务提供者按照本规定第七条自行组织开展新技术新应用安全评估,发现存在安全风险的,应当及时整改,直至消除相关安全风险。
按照本规定第七条规定自行组织开展安全评估的,应当在应用新技术、调整增设应用功能前完成评估。
第九条互联网新闻信息服务提供者按照本规定第八条自行组织开展新技术新应用安全评估后,应当自安全评估完成之日起10个工作日内报请国家或者省、自治区、直辖市互联网信息办公室组织开展安全评估。
第十条报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,报请主体为中央新闻单位或者中央新闻宣传部门主管的单位的,由国家互联网信息办公室组织开展安全评估;报请主体为地方新闻单位或者地方新闻宣传部门主管的单位的,由省、自治区、直辖市互联网信息办公室组织开展安全评估;报请主体为其他单位的,经所在地省、自治区、直辖市互联网信息办公室组织开展安全评估后,将评估材料及意见报国家互联网信息办公室审核后形成安全评估报告。
第十一条互联网新闻信息服务提供者报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,应当提供下列材料,并对提供材料的真实性负责:
(一)服务方案(包括服务项目、服务方式、业务形式、服务范围等);
(二)产品(服务)的主要功能和主要业务流程,系统组成(主要软硬件系统的种类、品牌、版本、部署位置等概要介绍);
(三)产品(服务)配套的信息安全管理制度和技术保障措施;
(四)自行组织开展并完成的安全评估报告;
(五)其他开展安全评估所需的必要材料。
第十二条国家和省、自治区、直辖市互联网信息办公室应当自材料齐备之日起45个工作日内组织完成新技术新应用安全评估。
国家和省、自治区、直辖市互联网信息办公室可以采取书面确认、实地核查、网络监测等方式对报请材料进行进一步核实,服务提供者应予配合。
国家和省、自治区、直辖市互联网信息办公室组织完成安全评估后,应自行或委托第三方机构编制形成安全评估报告。
第十三条新技术新应用安全评估报告载明的意见认为新技术新应用存在信息安全风险隐患,未能配套必要的安全保障措施手段的,互联网新闻信息服务提供者应当及时进行整改,直至符合法律法规规章等相关规定和国家强制性标准相关要求。在整改完成前,拟调整增设的新技术新应用不得用于提供互联网新闻信息服务。
服务提供者拒绝整改,或整改后未达法律法规规章等相关规定和国家强制性标准相关要求,而导致不再符合许可条件的,由国家和省、自治区、直辖市互联网信息办公室依据《互联网新闻信息服务管理规定》第二十三条的规定,责令服务提供者限期改正;逾期仍不符合许可条件的,暂停新闻信息更新;《互联网新闻信息服务许可证》有效期届满仍不符合许可条件的,不予换发许可证。
第十四条组织开展新技术新应用安全评估的相关单位和人员应当对在履行职责中知悉的国家秘密、商业秘密和个人信息严格保密,不得泄露、出售或者非法向他人提供。
第十五条国家和省、自治区、直辖市互联网信息办公室应当建立主动监测管理制度,对新技术新应用加强监测巡查,强化信息安全风险管理,督导企业主体责任落实。
第十六条互联网新闻信息服务提供者未按照本规定进行安全评估,违反《互联网新闻信息服务管理规定》的,由国家和地方互联网信息办公室依法予以处罚。
第一条 为加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理,规范互联网信息服务活动,维护国家安全、社会秩序和公共利益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》,制订本规定。
第二条 本规定所称具有舆论属性或社会动员能力的互联网信息服务,包括下列情形:
(一)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;
(二)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。
第三条 互联网信息服务提供者具有下列情形之一的,应当依照本规定自行开展安全评估,并对评估结果负责:
(一)具有舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;
(二)使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的;
(三)用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;
(四)发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;
(五)地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形。
第四条 互联网信息服务提供者可以自行实施安全评估,也可以委托第三方安全评估机构实施。
第五条 互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估下列内容:
(一)确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况;
(二)用户真实身份核验以及注册信息留存措施;
(三)对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户信息记录的留存措施;
(四)对用户账号和通讯群组名称、昵称、简介、备注、标识,信息、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;
(五)个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;
(六)建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况;
(七)建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;
(八)建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。
第六条 互联网信息服务提供者在安全评估中发现存在安全隐患的,应当及时整改,直至消除相关安全隐患。
经过安全评估,符合法律、行政法规、部门规章和标准的,应当形成安全评估报告。安全评估报告应当包括下列内容:
(一)互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况;
(二)安全管理制度和技术措施落实情况及风险防控效果;
(三)安全评估结论;
(四)其他应当说明的相关情况。
第七条 互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信部门和公安机关。
具有本规定第三条第一项、第二项情形的,互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设前提交安全评估报告;具有本规定第三条第三、四、五项情形的,应当自相关情形发生之日起30个工作日内提交安全评估报告。
第八条 地市级以上网信部门和公安机关应当依据各自职责对安全评估报告进行书面审查。
发现安全评估报告内容、项目缺失,或者安全评估方法明显不当的,应当责令互联网信息服务提供者限期重新评估。
发现安全评估报告内容不清的,可以责令互联网信息服务提供者补充说明。
第九条 网信部门和公安机关根据对安全评估报告的书面审查情况,认为有必要的,应当依据各自职责对互联网信息服务提供者开展现场检查。
网信部门和公安机关开展现场检查原则上应当联合实施,不得干扰互联网信息服务提供者正常的业务活动。
第十条 对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网信部门和公安机关应当组织专家进行评审,必要时可以会同属地相关部门开展现场检查。
第十一条 网信部门和公安机关开展现场检查,应当依照有关法律、行政法规、部门规章的规定进行。
第十二条 网信部门和公安机关应当建立监测管理制度,加强网络安全风险管理,督促互联网信息服务提供者依法履行网络安全义务。
发现具有舆论属性或社会动员能力的互联网信息服务提供者未按本规定开展安全评估的,网信部门和公安机关应当通知其按本规定开展安全评估。
第十三条 网信部门和公安机关发现具有舆论属性或社会动员能力的互联网信息服务提供者拒不按照本规定开展安全评估的,应当通过全国互联网安全管理服务平台向公众提示该互联网信息服务存在安全风险,并依照各自职责对该互联网信息服务实施监督检查,发现存在违法行为的,应当依法处理。
第十四条 网信部门统筹协调具有舆论属性或社会动员能力的互联网信息服务安全评估工作,公安机关的安全评估工作情况定期通报网信部门。
第十五条 网信部门、公安机关及其工作人员对在履行职责中知悉的国家秘密、商业秘密和个人信息应当严格保密,不得泄露、出售或者非法向他人提供。
1.互联网金融的定义
互联网金融就是指传统的金融结构利用互联网技术,两者进行有机的相互融合,在支付、投资的新兴金融业务模式。大概从两个方面来分析新兴金融业务模式的改革。首先互联网领头人在互联网的金融发展中不断探索创新,使人民更好的融入其中。其次打破传统的面对面交易模式,保证在金融交易上更加方便快捷,方便人们的生活。
2.互联网金融的发展之路
互联网金融逐渐发展成为了第三方支付、信息化金融机构等金融模式的联合,伴随着互联网电子商务的飞速发展,传统的交易模式逐渐转变为了物流快递的形式,网络的虚拟化与资金流向在时间上大不相同,在交易时买家会担心如果收不到商品怎么办,或者商品质量出现问题谁来负责,卖家也同样会担心客户收到商品之后不付款怎么办,双方在交易时都要承担一定的风险,特别是在金额较大的时候风险也会随之增加,导致网络交易出现故障。但随着金融的发展,金融体系的主体也会拓展,对互联网进行了较大的改造。
二、互联网金融信息的特征
1.影响范围广阔
作为国家重要基础设施的互联网,随着国家各个领域对互联网的依赖程度越来越高,使其逐步成为了重要的数??传播方式。通过大量的互联网金融数据,能够通过表面看出事情的本质,反映出一个国家经济、政治等方面的现状,是一个能够涉及到国家金融体系的重要内容,除此之外还有可能被利用去直接影响到大众的日常生活。但是当互联网金融体系一旦受到范围较大的安全事故,国家的经济体系很有可能变成瘫痪状态,同时也会对国家的安全问题但来不良影响。
2.难以评估的风险问题
如今的互联网金融操作层面、业务层面甚至是管理层面都会涉及到IT技术,但是现代的业务风险与传统的业务风险相比较,IT风险管理的专业性与技术性更占优势,由于目前还无法准确的制定IT风险的计量标准,最终无法用常规的方法进行检测与控制。例如在面对IT风险的损失衡量、风险程度等等,都没有制定出一套较为具体的计量体系。此外IT风险还极易容易与其他风险相互交织,导致风险的评估与计量更加无法顺利的进行。
3.快速的扩散性
在信息科技时代,网络技术在互联网金融当中被主要运用,扩展的速度快是网络技术的一大特点。以往的金融业务当中,信息技术风险所带来的损失并不是很大,但是在现如今的互联网金融业务中,处于一个环环性扣的状态,其中的任何一个小环节出现问题时都会使风险快速的蔓延到与其相关的系统网络当中,使局部风险扩散开来,甚至导致整个金融市场都受到威胁。此外传统的金融中还有一些离线的业务操作,对于偶尔出现的错误也有时间去更正,但现如今的互联网金融业务都是在线操作的,一旦出现问题就是在很短的时间内爆发,纠正错误的机会被大大减小,加大了风险补救成本。
三、金融信息安全问题面临的挑战
1.落后的信息安全保障体系
由于互联网金融技术的飞速发展,为金融行业提供了一个全新的发展方向,但是相关的金融信息保障系统并没有完善,伴随着各种不断涌现出的理财问题、保险问题,这对于互联网金融业务的发展无疑是一种如履薄冰的行为。以此互联网金融业务的发展需要强大的互联网金融安全信息保障体系作为强大的后盾,不完善的金融信息安全一定会加大金融业务的风险问题。就现代的互联网金融发展而言,不相融洽的金融业务与信息安全保障体系,尽管可以维持着金融业务的顺利开展,但这样的局面随时都可能受到威胁。
2.难以预防的网络安全问题
威胁金融安全的另一个问题就是难以防控的网络安全,这一安全隐患也是互联网安全自身存在的问题。匿名性与开放性是互联网自身的性质,导致许多不法分子有机可乘,这也是互联网金融信息安全所要重点注意的。想要在互联网这个平台上健康的发展金融行业,从根本上解决网络安全问题,将它从一个难点问题发展到重点问题。互联网金融安全问题不仅是一个机遇也是一个挑战,凡事都具有两面性。一方面互联网金融所带来的发展,要将压力转变为动力,使互联网金融中存在的问题得到根本上的解决。另一方面威胁互联网金融安全,会影响到互联网金融业的发展,为国民经济的发展做出更大的贡献。
3.快速更新的互联网金融技术
快速更新的互联网技术应用也是金融安全信息所面临的另一挑战,伴随着互联网技术的不断提高,越来越多以互联网技术为基础的发展平台如雨后春笋般生长出来,第三方支付平台的出现打破了传统金融业务的机制,消费者的个人金融信息安全也受到了泄露的风险。日新月异的互联网应用技术不仅使互联网金融安全问题受到挑战也使互联网技术更加快速的发展。因此制定出相关的安全管理策略来保证其安全的运行,成为了当今互联网金融发展的关键问题。
四、加强互联网金融信息的相关对策
1.强化金融信息安全保障体系
因为外界的安全问题不能从根本上消除,为了确保互联网金融企业的健康发展,因此加强安全保障体系建设来保证金融信息安全必不可少。有了相关体系的支持才能保证互联网金融安全的平稳运行,我国现存的金融信息安全保障体系依旧以传统的金融信息安全问题为基础,这显然已经跟不上现如今的互联网金融信息的安全需要。因此国家将强相关制度的建立,提供最高端严谨的技术支持,以完善当前金融信息安全保障为基础,随时关注互联网金融业务的变化,最终实现金融安全问题的防范。
2.对信息安全风险进行评估
对计算机信息安全保护进行分等级划分,再对互联网金融信息进行安全风险评估。评估这一环节可以预防可能引发信息安全问题产生的风险,根据完整性与保密性存在的薄弱环节。对风险进行评估之前,为了防止计算风险值时存在误差,可以事先采取相关的安全防范措施。在对风险评估进行一段之后,所计算的?C合值随时都有可能发生误差,这一因素也会随时影响到互联网金融中的资产。最后就是计算风险综合值的公式,它是利用字母的代表值和之前所分析的信息安全风险所联系,从而降低风险值的范围。
3.对网络身份进行认证
在互联网时代当中无疑就是交易形式发生了改变,交易过程中双方无法运用面对面方式确认是否是合法身份,但是在交易的过程中个人的信息就会被传送,如果有不法分子居心叵测,那么信息的安全风险就会大大提升。为了保证互联网金融信息的安全,双方在信息交换之前能够对真正的身份进行确认,所以交换信息的基础与关键就是身份证。采用身份证实名制的策略,设置一个网络身份证认证中心,运用集中式的方法对网络身份证确认,并通过一些安全设置防止非法网络用户的登路。
一、总体要求
以建设幸福为出发点,加强网络安全监管工作,坚持积极防御、综合防范的方针,全面提高信息安全防护能力。重点保障基础信息网络和重要信息系统安全,创建安全的网络环境,保障信息化健康发展,维护公众利益,促进社会和谐稳定。
二、工作目标
通过开展网络安全监管专项行动,进一步提高基础信息网络和重要信息系统安全防护水平,深入推进信息安全保障体系建设,健全统筹协调、分工合作的管理体制,强化信息安全监测、预警与应急处置能力,深化各类政务及公共服务重要信息系统的信息安全风险评估与等级保护工作,打造可信、可控、可用的信息安全防护基础设施和网络行为文明、信息系统安全的互联网应用环境。
三、组织领导
成立我局网络安全监管专项整治工作领导小组,由办公室、执法大队、市场管理科、广电科等组成。
四、工作职责
负责全县互联网文化活动的日常管理工作,对从事互联网文化活动的单位进行初审或备案,对互联网文化活动违反国家有关法规的行为实施处罚;依法负责对互联网上网服务营业场所的审核及管理;督促县广电总台做好互联网等信息网络传输视听节目(包括影视类音像制品)的管理。
五、整治任务
按照国家和省、市、县要求,认真做好重要时期信息安全保障工作。确保基础信息网络传输安全,保障重要信息系统安全、平稳运行,强化对互联网及通信网络信息安全内容的监管,严格防范非法有害信息在网络空间的散播。
六、总体安排
第一阶段:调查摸底,健全机制阶段(5月)。
第二阶段:评估自评估、自测评,综合整治阶段(6月至9月)
第三阶段:检查验收,巩固提高阶段(10月)。
七、工作要求
1、提高认识,加强领导。要充分认识信息安全保障工作的重要性和紧迫性,落实部门责任,各司其职,常抓不懈。做好本系统、本行业内各类信息网络和重要信息系统的安全管理工作。
2、明确职责,加强配合。要在整治工作领导小组统一领导协调下,各司其职,分头齐进,相互配合,迅速开展整治工作。同时,定期召开会议,通报情况,研究问题,部署任务,协调行动,确保整治工作有序开展。
一、企业安全管理三大问题
自“棱镜门”、iCloud照片泄露、携程及支付宝等企业接连宕机等事件发生之后,信息安全已被国内外政府、行业和企业推到了前所未有的高度。国务院《关于积极推进“互联网+”行动的指导意见》中也明确提出,要提升互联网安全管理、态势感知和风险防范能力,加强信息网络基础设施安全防护,加强“互联网+”关键领域重要信息系统的安全保障。信息安全危害事件频频爆发。2015年5月,网易、支付宝、携程、艺龙、知乎、Uber等多家知名企业出现接连宕机,互联网安全问题频繁出现并集中爆发,这为我国企业安全管理敲响了警钟。企业处理突发事件能力较弱。网易、支付宝、携程等互联网企业宕机后,很长时间才得以解决,表明企业在应对安全威胁突况时的力不从心,也反映出企业对信息安全中的外部威胁难以进行有效防范和及时应对。目前,我国互联网企业总体停留在安全保障、被动防御阶段,并未形成明确推进信息安全的管理措施。企业对信息安全重视程度不够。与发达国家相比,我国企业用于信息安全方面的投资还很低,尚未占到企业信息系统建设总成本的2%,而国外企业用于安全系统的投资占整个网络建设投资的15%~20%。例如,2014年我国信息安全投资总额为22亿美元,不及美国的3.2%,且企业投资重点集中在安全基础设施建设、产品更新换代等,对安全服务投入明显不足。许多企业口头上重视信息安全,但未付诸实践。
二、构筑企业安全三重防线
建设合理先进的信息安全管理系统。企业应重点加大对安全评估测评工具及技术、数据防泄露及敏感信息防护技术、大规模网络安全态势感知技术和统一身份管理与认证技术的研发投入,重点建设一个集风险评估、安全策略、防御体系、实时检测、数据恢复、安全跟踪和动态调整为一体的信息安全管理系统,加大信息安全管理的重视力度,从产品、技术、管理和制度多个维度来解决信息安全问题。建立信息安全风险防范和灾难应对体系。建议企业参照金融行业的管理模式,主动建立风险防范和灾难应对体系,出台具备面对突发状况的应急方案和数据备份双重机制,并重点开展以下工作:完善、优化企业内部网络架构,构建全方位的数据泄露防护系统,建立一体化的本地/异地备份与容灾体系,建立防火墙、防入侵及一体化安全网关解决方案,提高漏洞发现及应急解决能力、减少高危漏洞带来的危害。联手产业链上下游共筑安全防线。信息安全已不只是企业本身所能掌控的,比如支付宝服务器故障的主因是杭州市萧山区某地光纤被挖断导致,这就需要电信运营商等加大对光纤光缆安全监督。因此,互联网企业应与产业链上下游企业携手,做到信息数据、用户隐私、软硬件产品等不同类型的安全问题与行业相对应,有效防范安全管理脱节、错位等问题发生。随着互联网与各行各业的深度融合,信息安全威胁事件出现常态化趋势。企业应紧密围绕内部和外部环境,加大信息安全管理工作力度,有效减免信息安全危机事件。
作者:宋德王 单位:赛迪智库电子信息产业研究所
1我国互联网信息安全现状
1.1政府和行业对互联网信息安全重视程度增加
随着近些年来网络信息安全问题的不断发酵,网络安全问题已经拓展到国家安全的角度,国家的重视度不断增加。现在,国家网络安全的行业进入了一个加速发展的时代,网络安全对政治商业和经济等利益都有较大的影响,因此,网络安全行业的发展已经到了存量和增量大幅增加的阶段。从政府方面来讲,政府正在加大加国产硬件和软件及一些安全软件的采购力度,逐步提升企事业单位的IT基础设施建设和网络防御能力;从企事业单位的方面来讲,我们用于信息安全的投资明显的低于世界平均水平。现在,各类网络安全问题的出现及一些商业机密泄露等事件敲响了企事业单位安全意识的警钟,企事业但是开始强化数据保护和提高安全防御措施。1.2互联网犯罪猖獗
现在网络违法犯罪活动愈发猖獗。一些不法分子利用互联网进行各种各样的违法犯罪活动,如赌博、诈骗、撒播谣言、窃密盗窃等不法活动,还有通过互联网攻击窃取数据和机密等的犯罪活动。这些通过互联网进行的违法犯罪不仅危害了公民的合法权益,而且破坏了国家的安全和社会的稳定。
1.3网络安全产业有很大的发展空间
伴随着大数据、云计算、物联网等技术的快速应用,互联网已经影响到我们生活的方方面面,而网络安全产业也面临着新的机遇和挑战。为了保证国家的网络安全,要不断发展有自主知识产权的网络安全产品。现在由于互联网的核心的设施、技术还有比较高端的服务还是主要依赖于国外的进口,在操作系统使用、专用芯片制造和大型应用软件开发等方面都存在着严重的安全的隐患。因此,具有自主知识产权的网络安全产品和产业有非常广阔的发展空间和发展前景。
1.4互联网信息安全研究成为热点
现在可穿戴设备、智能终端等设备的应用非常广泛,信息安全问题是现在互联网技术研究的热点问题,随着研究的深入进行和技术的不断发展,会帮助解决互联网在安全方面所遇到的问题。现在已经有很多的高校将互联网信息安全作为专门的课程开设,这也有助于我国互联网信息安全研究的发展。
2加强我国互联网信息安全对策
2.1发挥政府功能,强化法规建设,建立全国范围内的网络安全协助机制
随着互联网的发展,网络安全受到巨大的威胁,针对这种情况,要加强公民的网络安全教育工作,尽可能提升全民的网络安全的基础知识和水平,增强公民的“网络道德”意识,保护我国网络信息的安全。而且要进一步强化网络立法以及执法的能力,深化政府职能,完善法规建设,在全国范围内建立网络安全协助的机制,这样有助于协调全国网络的安全运行。制定出网络在建设阶段和运行阶段的安全级别的定义和安全行为的细则,安全程度的考核评定等标准化文本,分析网络出现的攻击手段,报告系统漏洞并给出“补丁”程序,并且对全国范围内协调网络安全建设,另外,还要大力提高我国自主研发,生产相关的应用系统与网络安全的能力,用以代替进口产品。
2.2加大互联网信息安全犯罪的打击力度
目前,互联网技术的发展速度已经远远超越了网络犯罪的立法速度,有一些立法对互联网犯罪的处罚力度非常轻,还有一些互联网犯罪活动并没有相关的法律规定。这种情况对于加大网络信息安全的打击力度是非常不利的。因此,现在要加快对互联网犯罪的立法工作,使得在处理互联网犯罪的时候可以做到有法可依。近些年,国家加大了最互联网的监督和监管力度,使得很多的互联网犯罪活动能够在较短的时间内得到取证和解决,但是相对而言,公民的互联网安全意思还是比较淡薄,因此,提高公民的互联网安全意识也成了迫在眉睫需要解决的问题。
2.3加大网络信息安全的宣传和教育的工作
现今社会,互联网已经深入到生活的方方面面,互联网正在改变着人们传统的生活方式,人们的生活离不开互联网。可是随之而来的是计算机病毒、计算机犯罪、计算机黑客等问题,影响着人们对互联网的正常和安全使用,更是影响到国家的经济发展和安全。
因此,加大我国网络信息安全的宣传和教育工作是一件非常急迫的事情,通过不断提高公民的网络安全意识,能够有效避免一些网络犯罪的发生,并且对提高我国整体网络安全有很大的帮助。要不断的通过电视、网络、报纸等多种媒体进行网络安全知识的宣传,让网络安全意识深入人心。
2.4建立互联网的信息安全预警和应急保障制度
重点加强对全社会信息安全问题的统筹安排,对信息安全工作责任制要不断深化细化;加强重点信息领域的安全保障工作,推动信息安全等工作的开展、要把安全测评、应急管理等信息安全基本制度落到实处;加快推进网络与信息安全应急基础平台建设;提升信息安全综合监管和服务水平,积极应对信息安全新情况、新问题,针对云计算、物联网、移动互联网、下一代互联网等新技术、新应用开展专项研究,建立信息安全风险评估和应对机制;建立统一的网络信任体系、信息安全测评认证平台、电子政务灾难备份中心等基础设施等,力求对信息安全保障工作形成更强的基础支撑。
2.5技术防护安全策略
技术防护是确保网站信息安全的有力措施,在技术防护上,主要做好以下几方面工作:一是要加强网络环境安全;二是加强网站平台安全管理;三是加强网站代码安全;四是加强数据安全。
3结语
网络安全技术已经成为影响互联网发展速度的一个重要课题,通过对其深入的研究,制定出合适的策略方法并加以实施,达到提升互联网安全的目的。
参考文献
[1]林凌.网络涉及隐私信息传播的法律规定[J].编辑学刊,2015(1).
1.1政府和行业对互联网信息安全重视程度增加
随着近些年来网络信息安全问题的不断发酵,网络安全问题已经拓展到国家安全的角度,国家的重视度不断增加。现在,国家网络安全的行业进入了一个加速发展的时代,网络安全对政治商业和经济等利益都有较大的影响,因此,网络安全行业的发展已经到了存量和增量大幅增加的阶段。从政府方面来讲,政府正在加大加国产硬件和软件及一些安全软件的采购力度,逐步提升企事业单位的IT基础设施建设和网络防御能力;从企事业单位的方面来讲,我们用于信息安全的投资明显的低于世界平均水平。现在,各类网络安全问题的出现及一些商业机密泄露等事件敲响了企事业单位安全意识的警钟,企事业但是开始强化数据保护和提高安全防御措施。
1.2互联网犯罪猖獗
现在网络违法犯罪活动愈发猖獗。一些不法分子利用互联网进行各种各样的违法犯罪活动,如赌博、诈骗、撒播谣言、窃密盗窃等不法活动,还有通过互联网攻击窃取数据和机密等的犯罪活动。这些通过互联网进行的违法犯罪不仅危害了公民的合法权益,而且破坏了国家的安全和社会的稳定。
1.3网络安全产业有很大的发展空间
伴随着大数据、云计算、物联网等技术的快速应用,互联网已经影响到我们生活的方方面面,而网络安全产业也面临着新的机遇和挑战。为了保证国家的网络安全,要不断发展有自主知识产权的网络安全产品。现在由于互联网的核心的设施、技术还有比较高端的服务还是主要依赖于国外的进口,在操作系统使用、专用芯片制造和大型应用软件开发等方面都存在着严重的安全的隐患。因此,具有自主知识产权的网络安全产品和产业有非常广阔的发展空间和发展前景。
1.4互联网信息安全研究成为热点
现在可穿戴设备、智能终端等设备的应用非常广泛,信息安全问题是现在互联网技术研究的热点问题,随着研究的深入进行和技术的不断发展,会帮助解决互联网在安全方面所遇到的问题。现在已经有很多的高校将互联网信息安全作为专门的课程开设,这也有助于我国互联网信息安全研究的发展。
2加强我国互联网信息安全对策
2.1发挥政府功能,强化法规建设,建立全国范围内的网络安全协助机制
随着互联网的发展,网络安全受到巨大的威胁,针对这种情况,要加强公民的网络安全教育工作,尽可能提升全民的网络安全的基础知识和水平,增强公民的“网络道德”意识,保护我国网络信息的安全。而且要进一步强化网络立法以及执法的能力,深化政府职能,完善法规建设,在全国范围内建立网络安全协助的机制,这样有助于协调全国网络的安全运行。制定出网络在建设阶段和运行阶段的安全级别的定义和安全行为的细则,安全程度的考核评定等标准化文本,分析网络出现的攻击手段,报告系统漏洞并给出“补丁”程序,并且对全国范围内协调网络安全建设,另外,还要大力提高我国自主研发,生产相关的应用系统与网络安全的能力,用以代替进口产品。
2.2加大互联网信息安全犯罪的打击力度
目前,互联网技术的发展速度已经远远超越了网络犯罪的立法速度,有一些立法对互联网犯罪的处罚力度非常轻,还有一些互联网犯罪活动并没有相关的法律规定。这种情况对于加大网络信息安全的打击力度是非常不利的。因此,现在要加快对互联网犯罪的立法工作,使得在处理互联网犯罪的时候可以做到有法可依。近些年,国家加大了最互联网的监督和监管力度,使得很多的互联网犯罪活动能够在较短的时间内得到取证和解决,但是相对而言,公民的互联网安全意思还是比较淡薄,因此,提高公民的互联网安全意识也成了迫在眉睫需要解决的问题。
2.3加大网络信息安全的宣传和教育的工作
现今社会,互联网已经深入到生活的方方面面,互联网正在改变着人们传统的生活方式,人们的生活离不开互联网。可是随之而来的是计算机病毒、计算机犯罪、计算机黑客等问题,影响着人们对互联网的正常和安全使用,更是影响到国家的经济发展和安全。因此,加大我国网络信息安全的宣传和教育工作是一件非常急迫的事情,通过不断提高公民的网络安全意识,能够有效避免一些网络犯罪的发生,并且对提高我国整体网络安全有很大的帮助。要不断的通过电视、网络、报纸等多种媒体进行网络安全知识的宣传,让网络安全意识深入人心。
2.4建立互联网的信息安全预警和应急保障制度
重点加强对全社会信息安全问题的统筹安排,对信息安全工作责任制要不断深化细化;加强重点信息领域的安全保障工作,推动信息安全等工作的开展、要把安全测评、应急管理等信息安全基本制度落到实处;加快推进网络与信息安全应急基础平台建设;提升信息安全综合监管和服务水平,积极应对信息安全新情况、新问题,针对云计算、物联网、移动互联网、下一代互联网等新技术、新应用开展专项研究,建立信息安全风险评估和应对机制;建立统一的网络信任体系、信息安全测评认证平台、电子政务灾难备份中心等基础设施等,力求对信息安全保障工作形成更强的基础支撑。
2.5技术防护安全策略
技术防护是确保网站信息安全的有力措施,在技术防护上,主要做好以下几方面工作:一是要加强网络环境安全;二是加强网站平台安全管理;三是加强网站代码安全;四是加强数据安全。
3结语
【关键词】互联网征信 大数据
现代经济是信用经济,而征信是对信用主体(企业或个人)的信用信息进行采集、整理加工,并提供给信息使用者的活动。目的是为了防范信用风险、保障交易安全,促进形成诚信者受益、失信者受惩戒的社会环境。由于我国现有的征信体系数据来源的局限性,使用传统的征信调查方法与信息分析方法存在着评估效率低、准确性不高、评估成本高等问题。创新征信方法,适应新阶段互联网金融对征信的需求,成为了行业内急需解决的问题。而互联网征信就是大数据时代产生的新型征信模式,其基本理念是一切数据都与信用有关,在能够获取的所有数据中尽可能地挖掘信用信息,通过应用大数据和云计算技术,从大数据采集和大数据分析两个层面为征信主体挖掘信用。不仅拓宽了信用信息来源的渠道,尽可能地收集关于个人或企业的全维度信息,而且通过创新信用信息分析方法的方式和征信产品的方式,全面展现个人或企业的信用情况
通过互联网征信与传统征信的比较,我们发现主要区别如下:①就征信主体来说,两种征信体系的征信机构都包括金融机构、传统征信机构和互联网公司,但传统征信体系征信机构主体为金融机构,互联网征信体系征信机构主体为互联网征信机构。②就服务人群来说,现阶段传统信用体系仅能覆盖具有信用卡及信用报告的人群,互联网征信体系将能覆盖包括传统征信体系在内以外的大部分人群,包括不具有信用报告的大学生群体。③就信息类型来说,传统征信体系更看重个人的资产负债表、现金流水等信息,而互联网征信体系更为看重征信人的消费、生活习惯、交易记录、消费信贷等信息。
我国互联网征信的发展现状可以概括为一下三点:
(1)互联网征信需求旺盛。随着中国互联网应用的普及以及互联网金融的快速发展,传统征信从实时性、全面性上已经无法满足社会活动对信用信息的需求,互联网征信体系的建成已经成为互联网金融进一步发展的关键点。同时,传统征信方式下较高的征信成本和对征信主体资格的限制已经无法适应信用普及化、社会化的要求。
(2)互联网征信活动日益频繁。 以宜信为代表的P2P借贷机构,建立自身网贷平台,根据收集的信用信息,自建客户信用系统。一些小型的第三方支付机构,如针对大学生市场开发的大学生消费信贷市场中的众多互联网金融公司,以某一个细分市场为切入点,为其客户提供透支服务,从而收集信用信息。
(3)政策逐步出台 平台初具规模。由于信用信息收集整理的敏感性,虽然互联网征信活动日益频繁,但普及性的互联网征信系统并未能实现。直到2015年1月5号中国人民银行印发《关于做好个人征信业务准备工作的通知》,正式的互联网征信平台初步搭建起来。
基于上述情况,对我国的互联网征信发展提出以下几点建议:
(1)数据授权开放。当互联网金融市场中互联网征信信息作为个人一项金融资产的时候,互联网征信机构所掌握的信用信息将和互联网金融机构合理对接,并将信用评分评级运用到社会生活中,推动普惠金融和便捷生活。随着互联网的发展,大数据的触角已经无所不在,但对于个人隐私保护的挑战也相伴而来。对于从事互联网征信的公司而言,获取使用数据要合规合法。在此时合理的数据授权开放模式将是较为合理的信息获取使用方式。
(2)业务领域专业化。互联网征信应用的各个业务领域中, 征信手段、信用评价标准各不相同。在征信的过程中,要根据不同业务领域自身的特点,结合征信主体的行为,才能得到高质量的信用评价信息,从而合理的判断征信主体的信用状况。因此, 互联网征信机构要结合自身的业务领域,不断提高征信团队的业务专业化水平,高屋建瓴的设计征信程序和信用评价方法,提高对信用信息质量的判断能力和信息真实性的识别能力。
(3)信息获取激励机制。加强信用信息的安全保障以及信息主体的权益保护,强化部门间合作,建立多渠道的个人信息保障,受理并及时处理信息主体的投诉,加强应急管理能力,完善异议处理和侵权责任追究制度。给客户足够的安全感。建立信息授权激励机制,为愿意主动授权信息的客户提供更为优质的服务。
(4)建立惩戒机制。在法律范围内,建立黑名单制度,完善失信行为信息记录和披露制度,提高失信者的信用补偿成本。加强和各个信用信息使用机构的联系,促进信息共享,在此基础上建立金融、司法、教育、就业等多方面联合惩戒机制,对于严重的失信行为,应依法移交司法机关,追究民事和刑事责任。
(5)提高金融信用信息基础数据库与互联网征信机构之间的 信息共享度。互联网征信机构要定期将互联网征信数据接入中国人民银行征信系统,以确保金融信用信息基础数据库的数据来源覆盖量,使国内没有被传统征信体系覆盖的人群也能够获得信用服务,享受金融普惠。同时促进各行业明确数据标准,共同建设行业的共生环境。
(6)加强信息安全监管。基于大数据平台的互联网征信机构对互联网的依赖度很高,信息数量庞大,用户信息安全问题尤为严峻。首先征信机构要加强数据库信息的安全保障,加强加密技术、认证技术和电子商务安全协议,避免出现窃取信息、篡改信息、假冒、恶意破坏等安全问题,保护用户隐私安全。其次征信机构自身要保障内部信息安全不被泄露,采取物理方式严格避免公司人员复制或泄露信用信息。再者,针对信息安全成立应急部门,及时处理信息安全问题减少对信息主体隐私的损害。
参考文献:
目前,我国网络安全势态严峻。据工信部日前透露,1月4日至10日,我国境内被篡改的政府网站数量为178个,与前一周相比大幅增长409%。此消息的依据来自于国家互联网应急中心的监测结果。
紧接着,全球最大的中文搜索引擎百度也遭遇攻击,从而导致用户不能正常访问。众多网站最近频遭网络攻击的消息,不禁引起业界及广大网民的深刻反思:“我们的互联网真的安全吗?”
据中国互联网络信息中心的调查报告,2009年我国网民规模达到3.84亿人,普及率达28.9%,网民规模较2008年底增长8600万人,年增长率为28.9%。中国互联网呈现出前所未有的发展与繁荣。
然而,在高速发展的背后,我们不能忽视的是互联网安全存在的极大漏洞,期盼互联网增长的不仅有渴望信息的网民,也有心存不善的黑客,不仅有滚滚而来的财富,也有让人猝不及防的损失。此次发生的政府网站篡改事件、百度被攻击事件已经给我们敲响了警钟:“重视互联网安全刻不容缓!”
显然,互联网以其网络的开放性、技术的渗透性、信息传播的交互性而广泛渗透到各个领域,有力地促进了经济社会的发展。但同时,网络信息安全问题日益突出,如不及时采取积极有效的应对措施,必将影响我国信息化的深入持续发展,对我国经济社会的健康发展带来不利影响。进一步加强网络安全工作,创建一个健康、和谐的网络环境,需要我们深入研究,落实措施。
二、关于互联网安全的几点建议
第一,要深刻认识网络安全工作的重要性和紧迫性。
党的十七大指出,要大力推进信息化与工业化的融合。推进信息化与工业化融合发展,对网络安全必须有新的要求。信息化发展越深入,经济社会对网络的应用性越强,保证网络安全就显得越重要,要求也更高。因此,政府各级主管部门要从战略高度认识网络安全的重要性、紧迫性,始终坚持一手抓发展,一手抓管理。在加强互联网发展,深入推动信息化进程的同时,采取有效措施做好网络安全各项工作,着力构建一个技术先进、管理高效、安全可靠的网络信息安全保障体系。
第二,要进一步完善网络应急处理协调机制。
网络安全是一项跨部门、跨行业的系统工程,涉及政府部门、企业应用部门、行业组织、科研院校等方方面面,各方面要秉承共建共享的理念,建立起运转灵活、反应快速的协调机制,形成合力有效应对各类网络安全问题。特别是,移动互联网安全防护体系建设包含网络防护、重要业务系统防护、基础设施安全防护等多个层面,包含外部威胁和内部管控、第三方管理等多个方位的安全需求,因此应全面考虑不同层面、多个方位的立体防护策略。
第三,要着力加强网络安全队伍建设和技术研究。
要牢固树立人才第一观念,为加强网络管理提供坚实的人才保障和智力支持。要发挥科研院所和高校的优势,积极支持网络安全学科专业和培训机构的建设,努力培养一支管理能力强、业务水平高、技术素质过硬的复合型队伍。不断加强创新建设,是有效提升网络安全水平的基础,要加强相关技术,特别是关键核心技术的攻关力度,积极研究制订和推动出台有关扶持政策,有效应对网络安全面临的各种挑战。
第四,要进一步加强网络安全国际交流与合作。
在立足我国国情,按照政府主导、多方参与、民主决策、透明高效的互联网管理原则的基础上,不断增强应急协调能力,进一步加强网络安全领域的国际交流与合作,推动形成公平合理的国际互联网治理新格局,共同营造和维护良好的网络环境。
第五,要加强网络和信息安全战略与规划的研究,针对网络信息安全的薄弱环节,不断完善有关规章制度。
如在当前的市场准入中,要求运营商必须承诺信息安全保障措施和信息安全责任,并监督其自觉履行相关义务。还要充分发挥行业自律及社会监督作用,利用行业自律组织完善行业规范、制定行业章程、推广安全技术、倡导网络文明。
第六,协调各方职能,建立网络安全管理的长效机制。
1.1尽快研究出台与三网融合进程相适应的我国广电网络信息安全总体战略规划
按照2010年国务院批复的《推进三网融合的总体方案》要求,2013~2015年为推广阶段,该阶段目标为:“总结推广试点经验,全面推进三网融合;自主创新技术研发和产业化取得突破性进展,掌握一批核心技术,宽带通信网、数字电视网、下一代互联网的网络承载能力进一步提升;网络信息资源、文化内容产品得到充分开发利用,融合业务应用更加普及,适度竞争的网络产业格局基本形成;适应三网融合的体制机制基本建立,相关法律法规基本健全,职责清晰、协调顺畅、决策科学、管理高效的新型监管体系基本形成;网络信息安全和文化安全监管机制不断完善,安全保障能力显著提高。”根据上述阶段目标,总体方案对网络信息安全保障能力提出了明确的要求,为适应三网融合进程,我国广电行业在实现技术突破,完成业务融合等措施的同时,需要从战略的高度统筹考虑网络信息安全保障问题,从机构调整、立法、关键基础设施保护、技术研发、加强教育培训、加强多方合作等角度全面的制定我国广电网络信息安全总体战略规划,分阶段制定网络信息安全总体目标,依据总体目标制定信息安全基本政策及具体措施,并依此来指导未来几年内面临三网融合不断推进形势下的广电网络信息安全保障工作。
1.2尽快建立适合三网融合新形势的广电网络信息安全机制
随着三网融合进程的不断深入,电信、互联网、广电主体业务将相互开放和相互进入,网络承载业务的变化必将对现有广电网络信息安全机制提出严峻的挑战。因此,当前广电行业对节目内容以及传输网络的一些管理方式及监管机制也应因势利导,系统分析及评估当前网络信息安全风险及未来可能产生的变化,并针对这些新的变化调整自身管理方式和监管机制,尽快建立与三网融合进程相适应的新的广电网络信息安全机制。
1.3完善并制定新形势下广电网络信息安全相关法律法规
自三网融合进程启动以来,针对IPTV、网络视频等新媒体内容,我国广电行业已出台了一系列相关的法律法规对其进行监督管理。然而,随着三网融合进程的不断深入,电信、互联网、广电主体业务将不断相互开放和相互进入,广电网络承载业务将不断扩大,网络覆盖方式将涵盖有线、无线、卫星等多种方式,用户终端将从客厅电视扩展到PC、移动终端、手持终端等多种终端,业务运营模式也将多种多样,面对上述不断激增的新的变化,目前我国广电行业的相关法律法规已不能全面系统地保障广电网络的信息安全。因此,完善并制定新形势下广电网络相关法律法规的工作就迫在眉睫。
1.4完善新技术在广电网络应用的安全性及风险评估机制
当前,我国广电运营商在三网融合进程不断推进的形势下,正受到来自电信以及互联网运营商方面巨大的压力,面对这种压力,我国广电运营商在稳固发展自身视频业务的同时,也不断尝试开展新的融合业务,而支撑这些新业务的新技术也被引入到了广电网络中,这些新技术包括物联网技术、移动互联网技术、云计算、大数据技术等。新技术的应用推动了新业务的应用,提升了广电网络的竞争力,然而任何一种新技术的应用必然会带来一定的安全威胁,如云计算的应用可能会对存在云端的用户信息带来一定安全威胁,物联网大量使用无线通信、电子标签和无人值守设备,这使得物联网应用层隐私信息威胁问题会非常突出。而诸如移动互联网、大数据等新技术也同样存在不同的安全威胁。新技术在广电网络的应用是提升广电网络竞争力的必然需求,但如何安全的应用这些新的技术,尽量减少安全风险,这就要求我们尽早的对新技术在广电网络的应用安全性及风险进行系统的评估,建立科学的风险评估机制,分析这些新技术可能在哪些技术环节出现安全威胁,从而针对性的制定网络信息安全对策,进而采取有效的网络信息安全措施。
2三网融合背景下我国广电网络信息安全技术措施建议
2.1推进具有自主知识产权的广电核心技术研发
2013年6月,美国前中情局(CIA)职员爱德华•斯诺登向全世界披露了美国国家安全局一项代号为“棱镜”的秘密项目,棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年小布什时期起开始实施的绝密电子监听计划,该计划的正式名号为“US-984XN”。美国情报机构可通过直接接触位于美国的互联网和科技巨头的用户数据,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节。这些巨头主要包括谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube、思科等,他们向美国两大情报机构开放服务器,使美国政府能够轻而易举地监控全球。在我国,以思科为例,思科参与了中国几乎所有大型网络项目的建设,涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等要害部门的网络建设,以及中国电信、中国联通以及我国广电网络基础设施建设。而微软、Google和苹果则掌握了中国的PC操作系统份额,在移动终端操作系统领域,苹果的IOS及Google的Android操作系统更是平分天下。在广电行业,智能电视操作系统及机顶盒也有部分采用Google的Android系统,这都为我国广电网络信息安全埋下了安全隐患。因此,需要研发一批具有自主知识产权的广电网络核心技术、关键技术、共性技术,以先进的自主技术支撑广播电视装备、软件、系统的自主开发和应用,从而切实提高我国广播电视领域的自主创新能力和技术装备水平,排除因采用国外技术而可能隐藏的网络信息安全隐患。
2.2推进适应融合网络架构的网络信息安全技术研发
随着三网融合进程的推进,广电网络、电信网络以及互联网三网边界日益模糊,同时,为提高广电网络的承载和覆盖能力,有线、无线和卫星传输网络的互联互通和智能协同覆盖也被提上了日程,此外,基于无线频谱开展无线互联网接入业务的呼声也日益高涨。由此可见,当前的广电网络正在经历着巨大的变革,与互联网、电信网的融合,自身不同传输网络之间的融合,新的移动互联接入网络的需求都使得处于“融合形态”广电网络架构发生了巨大的变化,这种变化相应地也带来了新的安全威胁。因此,如何适应融合形态下的新型广电网络信息安全,推进适应融合网络架构的网络信息安全技术的研发也需要相关研究机构考虑,并加紧相关研究工作的实施。
2.3推进适应融合业务的网络信息安全技术研发
网络的融合,必然带来的是网络承载业务的融合,当前广电网络承载业务已不仅仅是客厅电视机终端上的视频业务,点播业务、时移业务也经历了很长时间的发展,基于移动终端的视频业务正方兴未艾,同时,各种数据业务也正由广电网络运营商提供给用户使用,未来物联网等新型业务也将由广电网络承载并提供给家庭用户使用。融合业务给广电网络带来了新的机遇,同时也给广电网络的信息安全带来了极大的挑战,为应对传统视频业务而采用的一系列信息安全技术在面临新的融合业务时已经不足以保障用户安全的使用和享受这些业务形式。因此,需要推进适应融合业务的网络信息安全技术研发,真正使用户放心安全的享受广电网络承载的多种融合业务。
2.4推进面向云计算、物联网等新技术应用的网络信息安全技术研发
通过之前的研究我们发现,进入21世纪第二个十年后,以云计算、物联网为代表的新技术正在加快在广电网络的应用。然而,新技术在推动广电网络的巨大变革的同时,也带来了新的安全隐患。以云计算为例,2010年3月云计算安全联盟(CSA)的一份云计算主要威胁的报告中,就提出了云计算目前存在的七大安全威胁,而如果我们没有及早对这些可能的安全威胁采取相应的安全技术和安全措施,一旦发生安全事故,就极有可能导致整个网络的瘫痪,导致所有用户信息的泄露,后果不堪设想。物联网同样存在着巨大的安全隐患,如果物联网出现了被攻击、数据被篡改等,并致使其出现了与所期望的功能不一致的情况,或者不再发挥应有的功能,那么依赖于物联网的控制结果将会出现灾难性的问题,如工厂停产或出现错误的操控结果此外,黑客等恶意攻击者还有可能通过物联网来获取、处理、传输的用户的隐私数据,如果物联网没有防范措施则会导致用户隐私的泄露。因此,我们在推动云计算、物联网等新技术在广电网络应用的同时,务必需要对这些新技术可能产生的安全威胁进行系统的估量,并加紧推进面向云计算、物联网等新技术应用的网络信息安全技术研发,从而在享受新技术带来的“技术红利”的同时,以技术的手段堵着可能的安全漏洞,真正确保新技术在广电网络的安全应用。
3结束语
关键词:物联网;体系结构;信息安全
1 物联网
物联网是新一代信息技术的重要组成部分。其英文名称是“The Internet of things”,“物联网就是物物相连的互联网”。这有两层意思:第一,物联网的核心和基础是互联网,是在互联网基础上的延伸和扩展的网络;第二,其用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通信。
2 体系结构
物联网的体系结构大致被公认有3个层次,底层是用来感知数据的感知层,第二层是用于传输数据的网络层,最上面则是与行业需求相结合的应用层。如图1所示。
3 物联网信息安全
物联网的安全和互联网的安全问题一样,永远都会是一个被广泛关注的话题。由于物联网连接和处理的对象主要是机器或物以及相关的数据,其“所有权”特性导致物联网信息安全要求比以处理“文本”为主的互联网要高,对“隐私权”保护的要求也更高。
物联网还有可信度问题,包括“防伪”和即用伪造的末端冒充替换,侵入系统,造成真正的末端无法使用等),由此有很多人呼吁要特别关注物联网的安全问题。
物联网系统的安全和一般IT系统的安全基本一样,主要有8个尺度:读取控制,数据完整性,隐私保护,读取控制,用户认证,数据保密性,不可抵赖性通讯层安全,随时可用性。技术上,有四项主要处在物联网DCM三层架构的应用层,另四项主要位于传输层和感知层。其中“隐私权”和“可信度”(数据完整性和保密性)问题在物联网体系中尤其受关注。如果我们从物联网系统体系架构的各个层面仔细分析,我们会发现现有的安全体系基本上可以满足物联网应用的需求。
物联网应用的特有的安全问题有如下几种:
⑴Jamming:伪造数据造成设备阻塞不可用
⑵Shielding:用机械手段屏蔽电信号让末端无法连接
⑶Killing:损坏或盗走末端设备
⑷Cloning:克隆末端设备,冒名顶替
⑸Spoofing:伪造复制设备数据,冒名输入到系统中
⑹Skimming:在末端设备或RFID持卡人不知情的情况下,信息被读取
⑺Eavesdropping:在一个通讯通道的中间,信息被中途截取。
物联网发展的中、高级阶段针对上述问题面临如下五大特有的信息安全挑战:
⑴在保证一个智能物件要被数量庞大,甚至未知的其他设备识别和接受的同时,又要同时保证其信息传递的安全性和隐私权
⑵设备可能无人值守,丢失,处于运动状态,连接可能时断时续,可信度差,种种这些因素增加了信息安全系统设计和实施的复杂度
⑶设备大小不一,存储和处理能力的不一致导致安全信息的传递和处理难以统一
⑷多租户单一Instance服务器SaaS模式对安全框架的设计提出了更高的要求
⑸4大类(有线长、短距离和无线长、短距离)网路相互连接组成的异构heterogeneous、multi-hop、分布式网络导致统一的安全体系难以实现“桥接”和过度
4 结束语
作为技术革命,互联网改善了人与人之间的交流方式,缩短了空间距离;而物联网引入了人与物之间的交流,其发展目标是使人们在任意时间、任意地点可以与任意物品互联,其前途无限,必将为人类生活带来翻天覆地的变化,“智慧地球”的理想也终将变成现实。
[参考文献]
[1]彭春燕.基于物联网的安全构架[J].网络安全技术与应用,2011.
[2]聂学武,张永胜.物联网安全问题及其对策研究.计算机安全,2010.
【关键词】电子政务 信息公开 信息安全
电子政务是现代政府管理观念和信息技术相融合的产物,面对全球范围内的国际竞争和知识经济的挑战,许多国家政府都把电子政务作为优先发展战略。随着电子信息技术的不断发展,特别是国际互联网的普及应用,电子政务以其特有的方便、快捷、高效等诸多优点,掀起了一场前所未有的政务革命。它的出现改变了传统的运作模式,在互联网上实现政府组织结构和工作流程的优化重组,向社会提供优质和全方位的、规范而透明的、符合国际标准的管理和服务。近年来,电子政务发展十分迅速。目前互联网已成为重要的信息基础设施,积极利用互联网进行电子政务建设,既能提高效率、扩大服务的覆盖面,又能节约资源、降低成本。但是另一方面,利用开放的互联网开展电子政务建设,面临着计算机病毒、网络攻击、信息泄漏、身份假冒等安全威胁和风险,应该高度重视信息安全。本文从电子政务建设中存在的问题出发,分析了问题所在,并提出相关预防策略。
1 电子政务建设中存在的问题
(1)部分领导干部对加快电子政务建设的重要性认识不到位,弱化了对此项工作的领导,一定程度上影响了电子政务建设的发展步伐。
(2)低水平重复建设现象普遍存在,投入不足与资源整合矛盾十分突出,严重制约了电子政务建设的质量和水平。部分基层的经办人员业务不熟习,操作不规范,使用中问题较多。
(3)信息化专业人才严重缺乏,技术相对落后,制约了电子政务建设。大多数单位没有专业技术人员,建设规范的网络和日常维护技术问题的处理是靠机关内部对电脑知识相对丰富的人员兼任,很难满足电子政务发展的需要。
(4)政府信息公开工作的运行机制尚不完善,加之政府信息公开的工作量大,多数部门存在信息搜集整理不全的现象。
(5)电子政务信息安全体系建设有待进一步加强。构建电子政务信息安全体系信息安全是电子政务工程中不可缺少的重要组成部分。要认真贯彻落实国家保密要求、安全规定和工程实施规范,做到信息安全建设与网络应用系统建设同步规划、同步建设、同步验收。要加大信息安全的投入力度,切实保证信息安全设施的运行维护。
基于互联网电子政务系统的政务应用主要分为政务办公、公共服务等。政务办公的内容主要包括:政府部门内部的业务处理,如政府部门间的公文流转、公文交换、公文处理、办公管理和数据共享等。安全防护的重点主要包括对的身份认证、政务资源的授权访问和数据传输保护等方面。公共服务的内容主要包括:面向社会公众提供信息公开、在线办事、互动交流等服务,安全防护的重点应放在系统和信息的完整性和可用性方面,特别要防范对数据的非法修改。
2 基于互联网电子政务安全需求与实施原则
基于互联网电子政务网络相对于电子政务专网模式风险更大,这些风险主要来自于身份假冒、信息窃取、内容篡改、病毒侵袭等造成的破坏。基于互联网的电子政务面临的信息安全威胁主要有以下几个方面。
2.1 身份假冒、口令窃取威胁
身份鉴别是网络安全的基本要求,互联网拥有大量用户,系统很难分辨哪些是合法用户,哪些是非法用户,存在身份假冒等威胁。一旦政务办公人员的身份被假冒,将影响到政府的办公系统,一旦政务网站信息员或专家的身份被别有用心者假冒,将无法保证信息的真实可信。
2.2 信息窃取或篡改威胁
基于互联网电子政务系统存在大量不宜公开的内部信息,如政务办公系统的待办公文等,互联网作为高度开放的网络,内部数据在传输过程中极易被窃取和监听,内部数据要面对高水平黑客和别有用心者,信息泄漏的威胁更大。
2.3 系统面临恶意攻击的威胁
基于互联网建设电子政务系统,遭到恶意攻击的风险更大,特别是为企业和百姓服务的系统,允许从互联网上直接访问,虽然提高了服务范围,方便了大众,但是相对局域网而言,也面临着更多来自互联网的威胁。若不能保持服务窗口的良好稳定运行,势必对系统的可用性造成威胁,影响政府形象。
2.4 病毒传播和扩散威胁
互联网上存在大量的资源和服务,人们在获取资源和享受服务的同时,也极易将病毒带回来。如今,病毒种类多、更新速度快,常常呈指数级的速度扩散,这将影响依托互联网建设的政务网络服务器的正常运行。
在基于互联网电子政务系统建设过程中,除需要考虑内部安全以外,还要应对来自互联网攻击的防范,其安全需求主要包括:
(1)需要实现安全接入与安全互联,在互联网上构建安全的电子政务网络;
(2)需要实现强的安全认证、授权管理与访问控制机制,确保电子政务系统的安全访问;
(3)需要采取分类分域防护措施,加强综合防范和安全管理,进行不同类别信息和系统的有效保护。
基于互联网电子政务信息安全风险应对的基本原则包括:
(1)信息不上网。基于互联网电子政务系统不得传输、处理、存储涉及国家秘密的信息。有关安全保密问题要严格遵循国家保密有关规定。
(2)适度安全、综合防范。基于互联网的电子政务建设应当根据应用系统的安全需求,合理配置信息安全资源,采取适当的安全措施,进行有效的安全管理,从管理、技术等各个方面进行综合防范。
(3)分域控制、分类防护。实施分域边界防护和域间访问控制,保证信息的安全隔离和安全交换;针对不同类别的信息采用不同的安全防护措施。
综上所述,政府网站区别于普通网站的最大特点在于其公布政府信息的准确性、全面性、及时性与权威性。通过政府网站,民众应该能够最有效地获得政府信息。因此,应该充分利用因特网公布政府信息。在目前阶段,可以考虑设定一定的标准,对政府网站的公开性进行社会评价,以促进政府上网工程向纵深发展。从长远考虑,应该深入研究因特网给政府信息公开所带来的新问题,包括技术的快速更新对信息保存方式的挑战,信息的分类与定义,信息的公开与信息安全,信息来源多元化问题等等。只有对这些问题进行深入的研究,才可以趋利避害,充分发挥因特网公开政府信息的作用。
参考文献
[1]GB/T 19715.信息技术第2部分:管理和规划信息技术安全,信息技术安全管理指南,2005.
[2]GB/T 20270.信息安全技术.网络基础安全技术要求,2006.
[3]GB/T 20274.信息安全技术.信息系统安全保障评估框架,2006.
一、发展信息安全产业的重要性和迫切性
(一)互联网已深刻影响着政治、经济、文化等各个方面,同时它的负面影响也日益凸显
在政治层面,出现过伊朗大选、维基解密等事件,这些事件表明,如果网络言论处理不当就很有可能造成政治波动和社会动荡。在经济层面,通过互联网进行操作的各类监测、控制系统一旦被病毒感染,可能导致相关企业生产体系瘫痪;虚假广告、商业欺诈等行为通过网络蔓延,造成社会诚信严重缺失。在文化层面,网站、低俗媒体以及封建落后文化通过网络传播,对青少年和社会造成巨大危害。由于互联网应用广泛,加强对互联网上各类信息的管理应引起高度重视。
(二)伴随着互联网渗透率持续提高,信息安全形势的严峻使得信息安全产业的重要性日益突出
近年来,各类网络威胁造成的危害不断增强,带动了市场对信息安全产品和服务需求的快速发展。在系统安全方面,用户将大部分的安全资源主要集中在网络、系统层面,对安全补丁、安全事件处置、漏洞扫描和评估、安全设备部署等进行大量投入,但是这些工作很难涉及到信息安全的实质。由于对业务安全内容的安全防护工作大部分停留在系统和设备层面上,而对应用层、业务流程层的全面评估和防护手段则明显不足,无法应对全面的安全威胁,所以,尽管投入了大量的资金和精力,信息安全事故依旧频发。
(三)我国信息安全产业与国际先进水平相比差距很大,迫切需要加强信息安全产业发展的顶层设计
美国、法国、以色列、英国、日本等国家信息安全产业发展水平较高,我国信息安全行业的核心技术、关键装备和应用创新方面与其相比存在很大差距。从企业角度看,飞塔、思科、瞻博等公司是全球信息安全产业市场主要产品供应商,中国的华为等企业虽然已经具有一定规模,但在全球信息安全产业市场,中国企业整体上还需进一步提高竞争力。在信息产业链方面,由于我国信息安全产业产品化能力不足,产业链上下游行业的综合实力不强,以及在产品成熟度、国际市场占有率等方面与国际先进企业相比差距较大,我国信息安全主流产品打入国际主流市场的难度很大。
面对严峻的网络与信息安全问题,保障信息安全和加强信息安全产业的发展迫切需要加强顶层设计,从政府引导和发挥企业积极性两方面,推进信息安全产业发展。
二、信息安全产业发展趋势及面临的挑战
(一)新数据、新应用、新网络和新计算成为今后一段时期信息安全的方向和热点,给未来带来新挑战
物联网和移动互联网等新网络的快速发展给信息安全带来更大的挑战。物联网将会在智能电网、智能交通、智能物流、金融与服务业、国防军事等众多领域得到应用。物联网中的业务认证机制和加密机制是安全上最重要的两个环节,也是信息安全产业中保障信息安全的薄弱环节。移动互联网快速发展带来的是移动终端存储的隐私信息的安全风险越来越大。2010年以来,全球平板电脑和智能手机出货量已经超过个人计算机,到2015年,智能手机和平板电脑拥有量将是PC的两倍。随着第三代网络和无线局域网发展,手机和其他移动终端也将成为人们的主要上网工具,移动互联网用户规模和网络规模都将快速扩大。随之而来的是信息量的迅猛增加和管理难度的加大。
网络的新应用带来新的信息安全威胁。由于网络的广泛应用,在电子商务安全方面,企业面临着身份、资金等信息的传输安全威胁;在社交网络安全方面,由于安全和信任问题无法解决,社交网络的安全威胁越来越大,用户的隐私保护将成为焦点。
(二)传统的网络安全技术已经不能满足新一代信息安全产业的发展,企业对信息安全的需求不断发生变化
传统的网络安全过于强调不同安全防御产品和技术的独立性,使得用户在安全产品的成本投入和维护上不能达到最佳的性价比,安全防御效能很不理想。传统的信息安全更关注防御、应急处置能力,但是,随着云安全服务的出现,基于软硬件提供安全服务模式的传统安全产业开始发生变化,由于系统融合了更多的应用和服务,使更多的企业可以享受到安全运营保障,同时,在局部范围内依靠采用一种安全产品或技术,已经很难识别和发现网络中的安全事件。在移动互联网、云计算兴起的新形势下,简化客户端配置和维护成本,成为企业对新的网络安全需求,也成为信息安全产业发展面临的新挑战。
(三)未来,信息安全产业发展的大趋势是从传统安全走向融合开放的大安全
随着互联网的发展,传统的网络边界不复存在,给未来的互联网应用和业务带来巨大改变,给信息安全也带来了新挑战。融合开放是互联网发展的特点之一,网络安全也因此变得正在向分布化、规模化、复杂化和间接化等方向发展,信息安全产业也将在融合开放的大安全环境中探寻发展。
三、发展我国信息安全产业的措施
(一)完善信息安全的等级保护政策和行业安全合规规定
首先,根据实际情况,不断完善信息安全等级保护政策,满足信息安全的最基本要求。其次,结合信息安全业务的需求,切实关注用户的实质安全需求,并以此为市场驱动力,不断完善行业安全合规规定,规范行业风险管理,促进信息安全产业市场逐步走向成熟。
(二)大力发展云服务、物联网,培育生产型信息服务业
面对云计算、物联网发展,生产领域的信息监测、控制环节将越来越多,生产企业不可能通过自办信息系统实现与外部的信息交流,而是要通过外包服务和专业化分工完成生产及产品销售的相关环节。这就需要已有的行业信息系统、信息设备制造商、或者IT系统集成商、电信运营商与生产企业进行合作,进而形成专业化生产型信息服务企业。培育和发展生产型信息服务业,建立第三方生产型信息公共服务平台,实现一般企业的信息服务项目在这个公共服务平台上生成。
(三)打造信息安全产业集群
结合市场需求,在电信、金融、能源、制造等信息安全企业关注的重点行业,鼓励各类企业主体不断加大研发投入,促进信息安全关键领域核心技术攻关、成果转化、应用推广。加强信息安全产业的产业链发展,在技术开发、网络设施建设、设备生产和服务等方面引入市场竞争机制,构建网络和利用网络,实现集群效应。同时,促进信息安全保障体系的建立,带动信息安全产业体系的发展和完善。
(四)组建国家综合信息安全产业管理机构
信息通信技术行业已经进入融合发展时代,普遍服务、互联互通、共建共享、泛在融合已是现实,综合监管是必然趋势。2008年,我国将信息通信业划归工业和信息化部,突出了政府对工业生产的管理职能,“十二五”期间,现代服务业已经被列入经济社会发展的战略重点,信息服务业又是重中之重,而基于信息流通的现代服务业,却没有一个独立的管制或者管理机构。需要建立国家综合性信息安全产业管理机构,所有的信息网络设施、台、站,以及信息内容运营都应该由这个管理机构监管,才有可能落实信息普遍服务政策和国家宽带发展的政策。
(五)建立网络与信息安全的平台化治理机制
创新网络与信息安全的治理机制,在运用技术手段和行政手段进行信息安全管理的同时,更要把技术、法律、道德结合起来,建立新的平台化治理机制。通过利用各类公共信息服务平台,将实名制、诚信记录、网络监督等形式结合起来,实现网络信息安全,推进网络环境的不断改善和发展。
(六)加快完善信息安全立法
近日,美国国务院、司法部、商务部、国防部等部门共同颁布了《网络空间国际战略》(下称《战略》),集中阐述了美国政府有关网络空间的国家战略计划。该文件被白宫官员称为“美国在21世纪的历史性政策文件”,标志着美国互联网政策第一次有了顶层设计,对全球互联网发展形势将会产生深远影响。
美国《战略》全文共25页,整体描绘了美国政府关于网络空间发展、治理与安全的战略蓝图。《战略》阐述了美国政府在网络空间着力推进的七大政策重点,分别涉及经济、网络安全、司法、军事、网络管理、国际发展、网络自由等领域,这七大政策重点构成了美国“网络外交”的主要内容。此外,《战略》还强调了美国在网络空间领域始终坚持的三个核心原则:基本自由、隐私、信息的自由流动。根据《战略》,一个开放、安全、通用、可靠的国际网络空间是美国对未来互联网的构想。
夺取网络空间的信息主导权
美国政府此次出台《战略》,意图以美国价值观引领全球互联网发展,夺取网络空间的信息主导权,其背后有着全面而长远的战略考虑。
首先,美国积极应对全球互联网信任危机。美国《战略》,实质上是一份网络空间安全国际战略,因为仅从目录来看就会发现,全文除了一小部分谈的是网络空间的发展问题,其余大部分谈的都是网络保护、网络治理和网络对抗。
其次,美国极力推崇互联网自由。美国近年来的《四年一度防务评审》、《提交第44届总统的保护网络空间安全的报告》、《网络空间政策评估》等多份政府文件中,均不断强调网络空间是与太空、海洋并列的第三大全球公地。新出台的《战略》同样将网络空间和其他两个公地视为同等重要,并进一步指出美国要确保在网络空间的战略威慑力,推动相关国际规则的构建,确保美军在全球公地的自由进入和调动。
再次,美国需要互联网政策的顶层设计。克林顿政府、布什政府在信息安全、网络安全方面都曾推出过战略计划,奥巴马上任以来也曾过《网络空间政策评估》等文件,但这些文件仅仅是围绕技术提出了相关政策问题的解决思路。而新出台的《战略》则是美国政府针对全球互联网推出的首份国际战略与政策报告,重要程度远远超越了上述文件,其内容与目标已从美国自身的网络空间范围扩展到全球网络空间。
应对美国《战略》
尽管这份战略中没有点名任何国家,但文中仍然“保留”了美国政府对中国的一贯偏见,多处对中国“暗中”关照。此外,《战略》中使用了“cyberspace”,而非传统的“internet”,表明美国的该项政策不仅限于互联网领域,还可能包括未来的物联网、云计算网络等新兴网络形态,也反应出美国将要在这些领域占据优势地位,最大程度上谋求自身利益的真实目的。