時間:2023-03-16 17:16:25
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇信息安全法律法規論文范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
摘 要:在本文中,筆者首先對信息安全管理的內涵進行闡述,然后對我國信息安全管理的現狀進行分析,最后提出加強信息安全保密工作的措施。
關鍵詞:信息安全;管理;內涵;現狀;措施
一、信息安全管理的內涵
(一)信息安全管理的定義
所謂信息安全管理,指的是一種管理和保護信息資產的體制,通過指導、規范和管理等一系列活動對信息安全進行保障,以達到保證信息的機密性、完整性和可用性的目的。
(二)信息安全管理的內容
信息安全管理包括:信息安全戰略管理、信息安全組織結構、信息安全領導、信息安全人力資源管理開發與管理、信息安全政策及法律法規、信息安全標準與認證、信息安全等級保護。
(三)信息安全管理的重要性
第一、信息安全管理可以使員工的信息安全意識得到強化,使組織的信息安全行為得到規范;
第二、信息安全管理可以將組織的關鍵信息資產得到全面的、系統的保護,使組織的競爭優勢得以維持;
第三、當組織的信息系統被惡意侵襲時,信息安全管理可以使組織的業務開展不受影響,將組織的損失降到最低;
二、我國信息安全管理的現狀
(一)法律法規問題
第一、還沒有形成一個完整性、適用性、針對性的完善的法律體系
現有法律法規僅僅調整某一個方面的問題,缺少綜合性的信息安全法作為主導使之相互呼應形成體系。因而,在實踐中造成多環節、多部門分割管理的狀況,這在一定程度上造成了法律資源的嚴重浪費。
同時,也說明了我國現行的信息安全法律基本上還處于法規規章的層次上,在法律層面上的信息安全立法還比較少,還很不完善。
第二、不具有開放性
法律結構比較單一、層次較低,難以適應信息網絡技術發展的需要和不斷出現的信息安全問題。
第三、缺乏兼容性
我國的信息安全按法律法規存在著許多難以同傳統法律原則、法律規范協調的地方。
第四、難以操作
如果一部法律難以操作,那么該法律就難以起到應有的規范約束作用。我國的信息安全法律中就存在著這些問題。如,同一行為有多個行政處罰主體;不同法律規定的處罰幅度不一致;行政審批部門及審批事項多等問題。
(二)管理問題
管理包括三個層次的內容:組織建設、制度建設和人員意識。組織建設是指有關信息安全管理機構的建設。信息安全的管理包括安全規劃、風險管理、應急計劃、安全教育培訓、安全系統的評估、安全認證等多方面的內容,因此只靠一個機構是無法解決這些問題的。在各信息安全管理機構之間,要有明確的分工,以避免“政出多門”和“政策拉車”現象的發生。明確了各機構的職責之后,還需要建立切實可行的規章制度,即進行制度建設,以保證信息安全。如對人的管理,需要解決多人負責、責任到人的問題,任期有限的問題,職責分離的問題,最小權限的問題等。有了組織機構和相應的制度,還需要領導的高度重視和群防群治,即強化人員的安全意識,這需要信息安全意識的教育和培訓,以及對信息安全問題的高度重視。
(三)國家信息基礎設施建設問題
第一、缺乏信息安全意識與明確的信息安全方針
大多數組織的最高管理層對信息資產所面臨威脅的嚴重性認識不足,或者僅局限于IT方面的安全,沒有形成一個合理的信息安全方針來指導組織的信息安全管理工作,這表現為缺乏完整的信息安全管理制度,缺乏對員工進行必要的安全法律法規和防范安全風險的教育與培訓,現有的安全規章組織未必能嚴格實施等。
第二、重視安全技術,輕視安全管理
目前組織普遍采用現代通信、計算機和網絡技術來構建信息系統,以提高組織效率與競爭能力,但相應的管理措施不到位,如系統的運行、維護和開發等崗位不清,職責不分,存在一人身兼數職現象。而大約70%以上的信息安全問題是由管理方面的原因造成的,也就是說解決信息安全問題不僅應從技術方面著手,同時更應加強信息安全的管理工作。
三、加強信息安全保密工作的措施
(一)提高全體員工的保密意識
做好一個單位、一個部門的保密工作,不僅是保密工作者的責任,同時也是全體工作人員的義務。事實上,保密工作所涉及的范圍很廣,一張簡單的圖紙、一份普通的文件都有可能含有涉密內容。如果管理不善,造成信息流失,就可能給國家或者企事業單位造成無法挽回的損失。因此,開展全體員工的保密知識培訓,培養全員的保密意識,提高他們的保密素質,也是保密工作的重要內容之一。
(二)提升保密工作者的自身素質
隨著改革開放的深化和科學技術的飛速發展,保密工作所遇到的挑戰和困難是前所未有的。保密工作者要嚴格執行國家及有關部委、我省的相關保密法規,加強保密理論的研究,更新觀念,與時俱進,在探索中學習,在實踐中提高,掌握新技能,應用科學的思想方法和領導方法,提高觀察和處理保密工作中遇到的各種新問題的能力,適應新形勢發展對保密管理工作的要求,確保信息安全。
(三)確保經費投入,保障保密工作的順利開展。
保密經費是為了保守國家機關或企事業單位的秘密,維護安全和利益,用于保護秘密信息及改進保密技術、措施和裝備等方面的經費。保密工作開展得好壞,在很大程度上取決于經費的投入。要確保保密專項經費的投入,開展保密教育活動,配備必要的保密技術檢查設備,這是保密工作順利開展的基礎。要積極通過各種方式,采取各種形式開展涉密人員的保密教育培訓。人是保密工作中最為活躍的基本要素,保密工作隊伍的穩定、涉密人員的業務素質和管理水平直接影響保密工作的質量。必須確保保密經費的投入,保障保密工作的順利開展和保密工作的質量。
網絡是新生事物,很多人在利用網絡學習、工作和娛樂的時候,常常忽略網絡信息是否安全,他們不僅沒有認識到信息安全不足的事實,還普遍存在安全意識淡薄的問題。與此同時,網絡經營者在安全領域的投入遠遠不足,他們注重的都是網絡的效應。在面對電子政務信息安全風險時,意識不到存在的風險才是真正最難解決的問題。值得慶幸的是,政府在發展過程中還是清楚的意識到安全問題的存在,只是使用者對自我信息安全保護還缺乏敏感的意識。
(二)管理體系不完善
田敏達在《電子政務信息安全策略研究》的論文中認為,電子政務信息安全不是單純的技術問題。如果缺乏行之有效的安全檢查保護措施,無法從技術、人員以及管理制度上建立電子政務信息安全防范體制,即使是再好的設備和技術也無法保證信息的安全。譚曉在《電子政務信息安全系統的設計與實現技術》中提出,管理體系也是電子政務安全體系的重要組成部分。管理作為網絡安全的核心,要實現信息安全的有效管理,不僅需要技術手段的維護,還需要制定合理的管理制度,如日常系統操作及維護制度、審計制度、文檔管理制度、應急響應制度等,這樣才能發揮有效的作用。
(三)技術存在缺陷
田敏達在《電子政務信息安全策略研究》中也提出了存在的一些問題,包括我國網絡安全技術落后、技術優勢與相關行業脫節研究、計算機系統本身的脆弱性、我國對發達國家信息設備和信息技術存在著很強的依賴性。技術問題是支持電子政務信息系統穩定高效運行的關鍵手段,技術的問題是可以控制的,但是開發技術,實現高超的技術水平卻是困難的。
(四)法律不健全
孟薇《電子政務信息安全研究》提出盡管一些既有的法律法規的出臺和實施對于我國電子政務信息的安全起到相當積極的作用,但仍難以適應電子政務發展的需要,信息安全立法還存在相當多的盲區。在法律方面,基本的法律法規對電子政務信息安全有一定的約束作用,但是目前法律法規還存在不健全、覆蓋有盲點、制度不協調等問題,這些為鉆法律空缺的違法者提供了“正當”理由。
二、我國電子政務信息安全的防范策略
(一)增強政府部門的管理功能
對電子政務信息安全管理方面進行全方面的研究要從安全審計、數據庫、電子郵件系統、瀏覽器、認證中心、安全產品的安全以及防火備份的安全管理等方面。通過建立和完善管理部門功能,增強管理業務操作,防范與避免不法分子對信息管理系統的侵犯。
(二)加強信息安全專門人才的教育培養
目前,我國信息安全系統及其產品不僅僅依靠向其他國家引進,而更多的是通過政府、行業以及企業在信息安全領域的投資開發,設計出經濟合理以及具有自主知識產權的實用產品和適用技術。因此,建立信息安全產品技術研發的核心,即創造高水平的研究教育環境、培養高素質的信息安全人才以及提高信息安全理論基礎知識的研究,另外,科研教育基地的大力支持和投入也為其奠定了基礎。
(三)設置技術的遠程訪問的控制
通過路由訪問策略和防火墻技術隔離內網與外網,在內網與外網相連通時,必須采取這樣的措施才能避免安全隱患的存在。電子政務是開放,但又是封閉的,如何保證相應的客戶訪問到有權限涉及的資源,又能夠保障對其限制的資料不被訪問,就是電子政務的設計人員必須考慮的問題。針對此類問題,可以通過設置鑒別服務器來專門負責遠程訪問得到控制,至于是否設置鑒別服務器取決于該電子政務系統的規模。
(四)建立技術密鑰分配中心
密鑰的設立貫穿于網絡的各個層次和級別,如負責訪問控制以及證書、密鑰等安全材料的產生、配置、更換和銷毀等相應的安全管理活動,在身份認證機制和信息加密中,都要使用到加密體制,而無論什么加密體制都離不開密鑰的使用、存儲和傳輸的安全性。因此可以通過建立密鑰分配中心負責信息加密、訪問控制中心、安排鑒別服務器、授權服務器等活動。
(五)構建完善的安全法律體系
國家的政策法律要適應社會存在的需求和現實,通過為社會信息化發展提供全方面的指導思想以保障和促進國家的法制建設和信息化立法制度的建設。并且能夠通過發展規范程度,繼而實現更深層次的進步,同時促進國家信息化安全的環境構筑,為體現信息安全的法制文化做出有效的行動。針對存在缺陷的法律體系構建適合電子政務信息安全發展的法律法規,實現法律的約束。
一、信息化的內涵、信息資源的性質及信息的安全問題
“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經過40多年的發展,信息化已成為各國社會發展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質,主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統的不安全性,給國家的信息化建設帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:
一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點,從網絡架到協議以及操作系統等都具有開放性的特點,通過網絡主體之間的聯系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。
二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統,造成了病毒極易滋生和傳播,從而導致信息危害。
三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為,而網絡環境下的安全問題常常表現為一種技術對抗,對信息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
二、我國信息化中的信息安全問題
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
1、信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。3、我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
4、信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊,國內也有部分人利用系統漏洞進行網絡犯罪,例如傳播病毒、竊取他人網絡銀行賬號密碼等。
5、在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。
造成以上問題的相關因素在于:首先,我國的經濟基礎薄弱,在信息產業上的投入還是不足,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
三、相關解決措施
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
1、加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
2、發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
3、創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
4、高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業,應大力培養信息安全專業人才,建立信息安全人才培養體系。
一、信息化的內涵、信息資源的性質及信息的安全問題
“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經過40多年的發展,信息化已成為各國社會發展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質,主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統的不安全性,給國家的信息化建設帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:
一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點,從網絡架到協議以及操作系統等都具有開放性的特點,通過網絡主體之間的聯系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。
二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統,造成了病毒極易滋生和傳播,從而導致信息危害。
三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為,而網絡環境下的安全問題常常表現為一種技術對抗,對信息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
二、我國信息化中的信息安全問題
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
1、信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
3、我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
4、信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊,國內也有部分人利用系統漏洞進行網絡犯罪,例如傳播病毒、竊取他人網絡銀行賬號密碼等。
5、在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。
造成以上問題的相關因素在于:首先,我國的經濟基礎薄弱,在信息產業上的投入還是不足,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
三、相關解決措施
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
1、加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。超級秘書網
2、發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
3、創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
4、高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業,應大力培養信息安全專業人才,建立信息安全人才培養體系。
近年來,我國資本市場發展迅速,市場規模不斷擴大,社會影響力不斷增強.成為國民經濟巾的重要組成部分,也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展,關系著億萬投資者的切身利益,關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業,高度依賴信息技術,而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。
目前.國內外網絡信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發展,改革創新深入推進,市場交易模式日趨集巾化,業務處理邏輯日益復雜化,網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強,交易時問內一刻也不能中斷。加強信息安全應急丁作,積極采取預防、預警措施,快速、穩妥地處置信息安全事件,盡力減少事故損失,全力維護交易正常,對于資本市場來說至關重要。
1 證券行業倍息安全現狀和存在的問題
1.1行業信息安全法規和標準體系方面
健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行,中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成,推動了行業信息化建設和信息安全工作向規范化、標準化邁進。
雖然我國涉及信息安全的規范性文件眾多,但在現行的法律法規中。立法主體較多,法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要,行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后,缺乏總體規劃;二是規范和標準互通性和協調性不強,部分規范和標準的可執行性差;三是部分規范和標準已不適應,無法應對某些新型信息安全的威脅;四是部分信息安全規范和標準在行業內難以得到落實。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前,證券行業采用“統一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執行層。
為加強證券期貨業信息安全保障工作的組織協調,建立健全信息安全管理制度和運行機制,切實提高行業信息安全保障工作水平,根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》,參照iso/iec27001:2005,提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構.頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業組織結構.側面是各個機構為實現信息安全保障目標所采取的措施和方式。
1.3 it治理方面
整個證券業處于高度信息化的背景下,it治理已直接影響到行業各公司實現戰略目標的可能性,良好的it治理有助于增強公司靈活性和創新能力,規避it風險。通過建立it治理機制,可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理it問題,自我評估it管理效果.可以加強對信息化項目的有效管理,保證信息化項目建設的質量和應用效果,使有限的投入取得更大的績效。
2003年lt治理理念引入到我國證券行業,當前我國證券業企業的it治理存在的問題:一是it資源在公司的戰略資產中的地位受到高層重視,但具體情況不清楚;二是it治理缺乏明確的概念描述和參數指標;是lt治理的責任與職能不清晰。
1.4網絡安全和數據安全方面
隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性,網上交易正逐漸成為證券投資者交易的主流模式。據統計,2008年我同證券網上交易量比重已超過總交易量的80%。雖然交易系統與互聯網的連接,方便了投資者。但由于互聯網的開放性,來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件,都時刻威脅著行業的信息系統安全,成為制約行業平穩、安全發展的障礙。此,維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來,證券行業各機構采取了一系列措施,建立了相對安全的網絡安全防護體系和災舴備份系統,基木保障了信息系統的安全運行。但細追究起來,我國證券行業的網絡安全防護體系及災備系統建設還不夠完善,還存存以下幾方面的問題:一是網絡安全防護體系缺乏統一的規劃;二是網絡訪問控制措施有待完善;三是網上交易防護能力有待加強;四是對數據安全重視不夠,數據備份措施有待改進;五是技術人員的專業能力和信息安全意識有待提高。
1.5 it人才資源建設方面
近20年的發展歷程巾,證券行業對信息系統日益依賴,行業it隊伍此不斷發展壯大。據統計,2008年初,在整個證券行業中,103家證券公司共有it人員7325人,占證券行業從業總人數73990人的9.90%,總體上達到了行業協會的it治理工作指引中“it工作人員總數原則上應不少于公司員工總人數的6%”的最低要求。目前,證券行業的it隊伍肩負著信息系統安全、平穩、高效運行的重任,it隊伍建設是行業信息安全it作的根本保障。但是,it人才隊伍依然存在著結構不合理、后續教育不足等問題,此行業的人才培養有待加強。
2 采取的對策和措施
2.1進一步完善法規和標準體系
首先,在法規規劃上,要統籌兼顧,制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃;二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層:第一層是管理辦法等巾同證監會部門規章;第二層是證監會相關部門制定的管理規范等規范性文件;第三層是技術指引等自律規則,一般由交易所、行業協會在證監會總體協調下組織制定。其次,在法規制定上.要兼顧規范和發展,重視法規的可行性。最后,在法規實施上.要堅持規范和指引相結合,重視監督檢查和責任落實。
2.2深入開展證券行業it治理工作
2.2.1提高it治理意識
中國證券業協會要進一步加強it治理理念的教育宣傳工作,特別是對會員單位高層領導的it治理培訓,將it治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的it治理意識,提高他們it治理的積極性。
2.2.2通過設立it治理試點形成以點帶面的示范效應
根據it治理模型的不同特點,建議證券公司在決策層使用cisr模型,通過成立lt治理委員會,建立各部門之間的協調配合、監督制衡的責權體系;在執行層以cobit模型、itfl模型等其他模型為補充,規范信息技術部門的各項控制和管理流程。同時,證監會指定一批證券公司和基金公司作為lt試點單位,進行it治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施it治理的優秀范例,以點帶面地提升全行業的治理水平。
2.3通過制定行業標準積極落實信息安全等級保護
行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵.應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制,統一部署、組織行業的等級保護丁作,為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求,對照標準逐條落實。同時,應對各單位實施信息系統安全等級保護情況進行測評,在測評環節一旦發現信息系統的不足,被測評單位應立即制定相應的整改方案并實施.且南相芙的監督機構進行督促。
2.4加強網絡安全體系規劃以提升網絡安全防護水平
2.4.1以等級保護為依據進行統籌規劃
等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,通過將等級化的方法和安全體系規劃有效結合,統籌規劃證券網絡安全體系的建設,建立一套信息安全保障體系,將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。
2.4.2通過加強網絡訪問控制提高網絡防護能力
對向證券行業提供設備、技術和服務的it公司的資質和誠信加強管理,確保其符合國家、行業技術標準。根據網絡隔離要求,要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分vlan或者采用網閘設備進行隔離;對主要的網絡邊界和各外部進口進行滲透測試,進行系統和設備的安全加固.降低系統漏洞帶來的安全風險;在網上交易方面,采取電子簽名或數字認證等高強度認證方式,加強訪問控制;針對現存惡意攻擊網站的事件越來越多的情況,要采取措施加強網站保護,提高對惡意代碼的防護能力,同時采用技術手段,提高網上交易客戶端軟件使朋的安全性。
2.4.3提高從業人員安全意識和專業水平
目前在證券行業內,從業人員的網絡安全意識比較薄弱.必要時可定期對從業人員進行安全意識考核,從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓,提高行業網絡安全的管理水平和專業技術水平。
2.5扎實推進行業災難備份建設
數據的安全對證券行業是至關重要的,數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災害和四川汶川大地震,都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上,針對自身需要,對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設,以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案,并加強應急預案的演練,確保災難備份系統應急有效.使應急工作與日常工作有機結合。
2.6抓好人才隊伍建設
2緒論
伴隨著互聯網和信息技術的飛速發展,電子商務從零到有,并逐步向高水平、規范化發展。十年來中國電子商務始終保持40-50%的高速發展,2009年的中國電子商務并為受到全球金融危機的影響,相反卻在金融危機中爆發出更強的生命力和適應力。2009年中國電子商務市場規模超過35000億元,同比增長48.5%,高于2008年的41.2%。
電子商務的安全法律是指為了保障電子商務在交易過程中的安全性,由國家政府相關部門出臺的對交易過程進行保護的法律。目前,我國就電子商務安全問題已經進行了初步的法律立項實施,但是依然存在較大的漏洞和隱患,需要國家相關部門進一步加強。
安全管理是有效降低我國電子商務交易過程中存在風險的重要手段,特別是在交易過程中,交易雙方進行電子合同簽訂,安全中心不僅要監督買方的及時付款,同時還要監督賣方是否提供與合同一致的貨物。在這些交易環節中,由于網絡虛擬交易的緣故,存在非常大的安全管理隱患。為了有效防止這些安全隱患的爆發,降低風險帶來的損失和傷害,需要國家政府出善的法律保護制度,形成一套互相關聯、互相約束的管理制度體系。
3.電子商務安全
3.1電子商務安全概述
電子商務的運行和交易是基于計算機網絡平臺而展開的,所以安全問題大體上可以分為計算機網絡安全和電子商務系統本身交易安全。沒有網絡,電子商務就不可能存在,網絡作為基礎,其安全性與電子商務安關系密切,在網絡安全的前提下,電子商務系統特有的設計加以保障,兩者相輔相成實現電子商務的整體安全。通俗的說,電子商務的安全就是“電子”和“商務”雙重要求下的安全。
3.2國內電子商務安全問題現狀
3.2.1信息安全環境
2010年,由中國互聯網絡信息中心(CNNIC)和國家互聯網應急中心(CNCERT)在京聯合的《2009年中國網民網絡信息安全狀況調查系列報告》中顯示,2009年,52%的網民曾遭遇過網絡安全事件,網民處理安全事件所支出的相關服務費用共計153億元人民幣。電子商務發展所面臨的信息安全問題嚴重。根據相關調查顯示,90%以上的網民計算機遭遇過病毒、木馬、黑客的攻擊,電子商務交易的安全環境已經受到了嚴重影響。
3.2.2技術與意識現狀
電子商務的安全需要信息技術和使用者意識的同步跟進和提高,才能使交易真正安全。目前國內兩方面因素同時存在,導致電子商務交易安全性下降。一是技術方面:國內防御殺毒軟件整體水平較低,查殺效率和效果不佳,部分電子商務平臺設計存在缺陷,為電子交易安全埋下隱患。二是網民、使用者意識方面:相比于高發的網絡安全事件,仍有4.4%的網民個人計算機未安裝任何安全軟件;不足8%的手機網民安裝手機安全防護軟件,網民安全意識仍有待進一步提升;
盜版軟件使用泛濫;軟件認知低,不懂得區分使用;交易雙方欠缺誠信,即使交易在設計較為完善的電子商務平臺上進行,依然存在欺騙行為。
3.2.3電子商務誠信環境
隨著互聯網的發展,網絡購物(B2B、B2C)作為電子商務的其中分支之一,已經成為了一種消費時尚、熱門購物渠道。據中國互聯網絡信息中心的數據顯示:2009年我國網購市場交易規模為2500億元,較2008年翻了一番。而2010年網絡購物的市場規模應該已超過4300億元。網購人群也大幅度增長,2009年至少在網上買過一次東西的中國網民數歷史性地突破了1億人,達到1.08億人,增長46%。而在2010年,使用過網絡購物的互聯網用戶更是接近2億人。網絡購物已經成為發展最迅速,與網民利益最相關的網絡應用。
與此相比,電子商務誠信環境卻不如人意,甚至隨著電子商務的發展而出現惡化的局勢。2010年,有近28%的互聯網用戶遭遇過虛假釣魚網站、詐騙交易、交易劫持、網銀被盜等針對網絡購物的安全攻擊。目前對我國網絡購物用戶威脅影響最嚴重的還是釣魚網站,在網購用戶所遭遇的安全威脅中有72.4%是釣魚網站的欺騙行為,2010年1-10月,平均每天新增的與網絡購物相關的釣魚網站約為1500個。釣魚網站的典型的詐騙方式主要分為三大類:低價誘惑、交談詐騙、電話詐騙。
3.2.4電子商務信用管理現狀
因為電子商務交易的特殊性,交易雙方不曾謀面,所以關于電子商務的信用管理就顯得尤為重要。為防止電子商務的欺詐行為給網民帶來經濟上的損失,網絡企業以及第三方電子商務平臺都相繼實行信譽管理方法,如信譽評價和信譽等級系統的建立,網絡誠信公約(自律)等等,但由于電子商務發展較晚,管理經驗不足,這些方法和系統存在較多的問題,有待提升。如中國電子商務誠信評價中心推出“中國電子商務誠信評價規范”,其中的誠信紅藍標識制度,認知度極低,據調查發現,有97%人不知紅藍標識的含義。就目前而言,在線信譽評估、等級系統,在設計完善的提前下,可以較為有效的降低了交易風險,因為其交易雙方的歷史信用表現,信用等級都是公開信息,可以作為買賣雙方交易選擇的參考,且其失信成本遠遠大于其利益獲得,好的信用必然可以提升銷售量,這也從側面迫使銷售者提供最好的服務,避免了雙方欺詐行為。交易講究的誠信,信譽系統能最有效地維持雙方可信的商務關系。如目前國內最大的網購平臺淘寶網,它的網商信譽評價和信譽等級系統相對成熟,這種評價系統“為消費者提供了誠信、安全的購物保障,大大提升了網絡購物體驗”。但它依然存在相當多的問題,信用評價流程不合理,在買到相對低劣的產品時,你選擇退貨的同時就喪失了評價的權利,兩者只能選其一,那到底是留著不需要的產品而去評價,還是選擇退貨?惡意中差評現象猖獗,甚至出現惡意差評師這一職業,嚴重影響公平競爭。另外對于返修產品缺乏保障,筆者就遇到過產品寄回返修,遲遲沒有反應,損害消費者利益。信用可信度有待驗證,專業刷鉆組織的出現,使得信用體系的可靠性降低。
4電子商務安全立法現狀
電子商務因其帶來的經濟效益和流行發展趨勢而備受關注,其安全立法問題也得到了國際性組織和各國政府的高度重視,盡快營造全球范圍內的電子商務安全法律環境已成為國際社會的共識。要創造一個適應和規范電子商務安全交易、發展的法律境,政府部門職責首當其沖,在電子商務發展的監管和安全立法中發揮其主導作用。及時了解電子商務即時情況,制定出臺相應的安全保障法律法規,鼓勵、引導、電子商務健康發展,規范、維持必要的網絡市場秩序,這已經成為當前世界各國立法工作的重要任務。電子商務的廣泛性和無界性使得世界各國紛紛出臺相應法律、行為準則和規范辦法來推動本國電子商務安全、健康的發展,旨在抓住信息技術的機遇,提高自身競爭力,從而會的優勢,同時也減少電子商務的交易糾紛、欺詐行為,保障了交易的安全性,為電子商務在全球范圍內的發展掃平障礙。
4.1當前電子商務安全法律、制度尚不完善
電子商務因其基礎網絡這個開放又隱蔽的環境,而顯得比較特殊,其商貿交易行為需要有專門的法律來規范和秩序的維持,目前我國已經相繼出臺了部分法律法規、行為準則,設立了相應的部門來規范、監管和保證電子商務的安全。但與國際電子商務立法現狀和國內電子商務現實狀況相比,顯得比較尷尬。我國電子商務安全法律體系仍然存在較多空白,強針對性的立法需要加快,先行法規則亟需進一步改進和完善。電子商務安全法律的不足之處有:電子交易流程行為規范、用戶隱私保護、法律效力不足,法律滯后,情況描述不清,沒有有效懲戒措施,難以對電子商務中的失信者和破壞者造成較強的約束力。因此強快電子商務安全法律立法和改進已經迫在眉睫。
4.2現有電子商務安全法律
現行電子商務安全法律,具有較強針對性質的較少,大多分散各類法規之中,或是零星提及電子交易安全問題,目前電子商務交易安全的法律法規主要有以下四類:
(1)綜合性的法律。如:《民法通則》和《刑法》中有關對商貿交易的安全保障條文。
(2)對交易主體進行規范的相關法律。如《公司法》、《國有企業法》、《集體企業法》、《私營企業法》、《外資企業法》等;
(3)規范交易行為的有關法律,包括經濟合同法、產品質量法、價格法、消費者權益保障法,反不正當競爭法等等
(4)對監督交易行為進行規范的法律,如會計法、票據法、銀行法等。
國務院頒布的《中華人民共和國計算機信息網絡國際聯網管理暫行規定》和公安部頒發的《計算機信息網絡國際聯網安全保護管理辦法》是兩個對電子商務具有重大影響的行政法規。
另外《中華人民共和國電子簽名法》的頒布也具有重要意義。該法賦予電子簽名與手寫簽名或蓋章具有同等的法律效力,明確了電子認證服務的市場準入制度,標志著我國的信息化立法邁出重要步伐。
4.3電子商務安全立法困難的原因
電子商務發展壯大為商貿交易帶來極大便捷和迅速優越性,成為了經濟的強勁增長點,為全球經濟的發展營造了良好的氛圍,與此同時,因為其特點,也對社會各個領域特別是立法帶來了困難和壓力。
首先電子商務的立法,需要考慮國家和地區之間的差異,協調困難。電子商務基于網絡,而網絡卻已經全球聯通、跨越了地域的界限。它所面對的不只是一個地區、一個國家的市場,而是全球一體化的大市場。各國由于社會制度、政治狀況、經濟發展程度等不同而導致了現行法律法規的不同,要制定可以有效協調、高度一體化的商業和法律規則,談何容易。
其次是電子商務交易處理、傳輸的實質就是對信號脈沖的傳輸和對數字流的處理,這種虛擬的平臺上,雙方的不曾謀面,使得信息資源對商家的商業信用提出了更高的要求。在信息得到廣泛傳播的同時,由于互聯網既開放又隱蔽的特性使得信息的真偽有待驗證,惡意的攻擊、惡意的失信難以發現,即使發現也難以揪出終端背后的那個失信或破壞者,有法難斷或者有法卻找不到應受懲罰的人,而且對于包括制作版權、著作權、商標使用權、數據庫等在內的知識產權保護也成為無法回避的問題。電子商務橫跨領域之廣、利益關聯群體之多,和其有別于傳統商務模式的無形化給稅收體制及稅收管理模式也帶來了巨大的挑戰。
再次,電子信息領域,技術日新月異,電子商務領域的技術進步速度已經超國家適時地調整其法律框架的能力。法律的變革無法做到像電子技術更新一樣的快,也由于新的意想不到的問題的不斷出現,使得適時的法律調整總跟不上電子商務高速發展的步伐。這是需要我們對于現行法律框架從根本上進行反思,困難而想而知。
5電子商務安全立法的對策研究
5.1電子商務安全需求分析
5.1.1主要內容
電子商務是網上公開直接虛擬交易的商務模式,它直接通過網絡進行交易、支付、談判、下單等,在這個過程中蘊藏了大量的商務信息,所以,電子商務的安全問題引起了網民、企業、行業、國家的廣泛觀眾。根據電子商務的交易模式以及重要性分析,電子商務的安全需求主要包括以下幾個方面:
1、信息的完整性;
2、信息的保密性;
3、信息的不可否認性;
4、交易雙方的真實身份信息;
5、系統的可靠性;
6、資金的安全性。
5.1.2涉及領域
通過吸收國外成功的經驗,結合我國自身電子商務發展特色以及社會主義國情特色,我國電子商務安全性的立法主要涉及以下幾大方面:
1、保護消費者的合法權益;
2、交易雙方的個人真實信息;
3、保密和信息的合法性訪問;
4、數字簽名以及第三方認證;
5、計算機犯罪和侵犯問題的有效控制。
5.2電子商務安全立法定位與模式
電子商務的安全法律保障問題,從其整體情況來看,主要表現為兩大層次:第一,電子商務首先表現的是商品交易模式,它的安全需要通過民商法來進行規范保護;第二,電子商務是通過計算機及網絡技術實現的,它的安全很大程度上依賴于計算機及網絡的自身安全程度,這需要網絡的安全管理法律來加以約束和保護。從第一點的角度來看,電子商務安全法律隸屬于商法的范圍。
因此,在立法過程中,重點還是需要從商法的角度,結合其依托計算機網絡技術的特色,從全面化的角度出發,制定出高效規范的電子商務安全法律。
從電子商務安全立法的模式角度出發,電子商務的安全法律主要有以下兩種選擇:第一,在電子商務交易活動的法律中加入電子商務安全性法律內容;第二,另外指定電子商務安全單行法。這兩種模式都有各自的優點和缺點,前者的立法成本低但是保護力度不夠強,后者的立法程序復雜,所需資源多,但是保護力度大。在實際操作中,到底選擇哪種模式,也是當下法律界正在研究分析的重點問題。本文提出的建議是分為兩步走:先采用第一種模式,等條件成熟后而且又加強的需要,再進行第二種模式的立法。這樣不僅可以快速成立相關法律體系,同時也可有效解決資源浪費的問題。
5.3我國電子商務安全性立法的對策分析
5.3.1健全電子商務法律,注重法律的滯后性
健全的電子商務立法體系不僅要包括有網絡服務和網絡管理的法律制度,同時還需要電子商務主體的立法和市場管理制度,以及電子商務交易支付的法律制度、網上商務行為制度、電子稅法制度、客戶個人隱私權保護法。只有建立系統性的法律制度,才能真正發揮電子商務安全法的作用。
在加強電子商務安全法建設的同時,同時也應該注重法律的滯后性帶來的法律效力減弱。法律的滯后性首先表現為法律立法的程序,這是個嚴格的過程,需要問題顯現的非常明白,并對該問題進行有充分的調研數據后,才可能形成立法的基本條件和背景,這個過程是繁瑣的,是復雜的,是需要長時間的。另外,法律要建立起威信,必須較長的時間,在這段長時間里,網絡的發展是非??斓?,會發生不同程度內容的問題,而且這些問題會經常超過法律設定的范圍,這些問題在客觀上都表現為電子商務法律的滯后性,使得法律無法體現超前性,大大降低了法律的約束作用。
5.3.2加強立法部門對于電子商務的學習了解
立法部門在實際的工作經驗中,可能只是了解法律相關體系知識,對于電子商務交易模式、支付模式等相關內容可能存在誤解或者不了解的情況,這容易導致立法部門在立法的過程中,過于偏向法律的可行性,而忽略了電子商務法律的可行性。所以,加強立法部門對于電子商務的學習了解,使其真正深入了解電子商務整體運營過程以及涉及內容、存在的漏洞、需要加強的節點以及關聯的群體等內容,從根本上制定高效可行規范的電子商務安全法律,從而降低因誤解帶來的時間拖延、資源耗費等其他損失。
另外,加強立法部門對于電子商務的學習了解的同時,應加強立法部門工作人員對于電子商務立法的重視度,從思想上加強工作人員對于電子商務安全立法的注重,從而加快電子商務安全立法的實施進度。
5.2.3系統化完善,架構法律體系
我國電子商務的飛速發展,對電子商務中的安全問題提出了更高的要求。在建立我國電子商務安全法律時,應多加考慮它與其他法律之間的關聯度,從而架構其整體法律體系,進一步完善安全法律的有效性。具體內容如下:
1、在中國民法基本法原有的基礎上,增加交易安全的理念和內容;
2、在計算機與網絡安全管理的立法上,應針對電子商務在網絡虛擬環境下運行的特點,加強電子商務交易安全保護的法律措施。
3、在商事單行法的立法上,可以適當突破現有民法的一些制度,基于商法的特殊性及獨立性,滿足電子商務較高的安全保護需求。
4、在法律解釋上,全面清理我國最高人民法院作出的司法解釋,剔除掉不利于電子商務安全的言論,對電子商務的安全問題進行重新正確的認識和解釋。
5.2.4配套獎懲措施,提高安全法律威信度
獎懲措施是任何制度得以有效實施的保障制度,這里的獎懲措施具有兩個重要的含義:
第一,是對電子商務安全制度在實施過程出現的良性事件和惡性事件進行適當的獎勵和懲罰,或是進行高度的獎勵和懲罰,從而在加強良性循環的同時,對制度實施過程中的惡性事件作出嚴厲的懲罰,起到殺一儆百的作用,從而有效提高電子商務安全立法的實施力度和效果。
第二,是對進行非法盜取電子商務信息或是破壞電子商務交易的不法分子進行嚴厲的法律制裁,以及對保護電子商務安全的良好事跡進行表揚。我國目前針對盜取電子商務信息或是破壞電子商務交易的不法分子還未建立有效的不法分子,才會使得這些不法分子妄想鉆空子、踩地雷,這也是導致我國電子商務安全出現問題的一大關鍵因素。因此,建立電子商務獎懲措施,有利于提高對不法分子的控制以及提高人民對電子商務安全的保護意識。
5.2.5借鑒國外成功經驗,結合自身特色國情
電子商務是全球性的電子商務,它是無國界、無種族之分的。所以,我國在建立電子商務安全法律時,可立足于國際立法的趨同性取向,借鑒國外成功的電子商務安全法律制度經驗,并且結合我國的自身特色國情。中國的電子商務安全法律,只有爭取與國際立法接軌,才能參與全球性的經濟競爭。例如,新加坡在制定《電子&交易法案》時幾乎全部采用了《電子商務示范法》的相關內容,同時根據《電子商務示范法》的總體精神以及自身國情,增加了部分內容。所以,我國在制定電子商務安全法律時,應盡量吸收國外原有的成果,再結合我國的特色國情,在降低立法成本、節省立法時間的同時,也提高電子商務安全法律的高效性和實用性。
6總結和展望
電子商務的安全問題是關系到電子商務能否繼續發展的關鍵因素。隨著我國計算機網絡科學的逐步發展,某些非法分子對于電子商務安全模式已經越來越熟悉,如果電子商務再不加強安全防范以及法律法規的嚴加約束,電子商務的安全將成為我國經濟法律的一大問題,這對我國經濟、網民、電子商務企業來說都是非常不利的。因此,盡快建立我國的電子商務安全立法,建立有效可行的電子商務安全法律法規,從國家政治制度角度出發,為我國的電子商務發展進行強而有力的安全管束,以促進我國電子商務行業穩步健康的發展。隨著我國電子商務的飛速發展,已經在我國人民生活中扮演的越來越重要的角色,電子商務的安全立法問題已經成為我國法政界、金融界和學術界共同關注的熱點問題,因此,研究我國電子商務安全立法工作,建立科學高效的電子商務安全法律,為我國的電子商務的穩步健康發展奠定良好的基礎,具有非常重要的理論意義和實踐意義。
本文研究的主要貢獻在于:探討了我國電子商務安全現狀以及立法存在的問題與對策。本研究以電子商務基本概念和特色為理論基礎,通過對我國電子商務的安全現狀進行分析,從而形成本研究的整體背景,接著分析我國安全立法的現狀以及存在的問題,最后結合自身所學知識,提出改善我國電子商務安全法律的對策,希望對電子商務安全立法工作的開展能提供一些幫助。但是由于水平的限制以及實際經驗的不足,加上我國目前電子商務法律問題整體上處于不成熟與多樣化的階段,使得本文在研究過程中遇到一些困難,加上文字功底不夠等等,影響到了研究的效果,使得論文尚有以下不足之處:
1、研究過程中,對于我國電子商務安全現狀只選取了幾個主要的現狀進行描述,考慮到本研究報告的篇幅問題,并沒有對全部的現狀進行描述。
隨著網絡技術的發展和信息化程度的日益提高,人們的社會生活對信息基礎設施和信息資源的依賴程度越來越高。信息網絡給人類帶來方便的同時,其所帶來的網絡安全隱患問題日益嚴重。而網絡安全人才在解決安全隱患和威脅方面的作用將越來越突出。
網絡安全人才是指受過計算機網絡技術、信息安全教育或培訓,懂得計算機技術或是網絡安全方面的知識并且能夠解決實際問題的專門人才。網絡安全人才在維護網絡安全、保障網絡運行中起著基礎和決定性的作用。但我國網絡安全人才培養卻嚴重不足,人才供需矛盾突出。根據教育部統計資料表明,我國目前大學本科以上學歷的網絡安全人才只有2100人左右,而國內對網絡安全專業人才的需要量高達10余萬以上,每年全國能夠培養的信息安全專業學歷人才和各種安全認證人員大約不到5千人,供需缺口特別大。據統計,到2008年,全球網絡安全行業的就業人數將由目前的130萬上升到210萬。目前,我國網絡安全人員從人數和質量上都遠不能滿足市場的緊迫需求,加快網絡安全人才的培養,已經成為影響信息化社會發展的速度和國家安全實現的關鍵性因素。
一、我國高校培養網絡安全人才的現狀
1.高校網絡安全人才培養處于探索階段。網絡安全人才的培養是隨著網絡的快速普及而展開的。2000年,我國高校開始設置信息安全本科專業,標志著我國將網絡安全人才的培養正式納入高等教育體系中。據不完全統計,截止到目前,我國已有近50所高校開設了信息安全本科專業,部分高校已設立了信息安全方面的碩士點和博士點,初步形成了本科――碩士――博士的培養層次。
2.高校網絡安全人才的培養尚未形成科學的模式。由于高校培養網絡安全人才正處于起步和探索階段,因此各個高校采取的方式和方法也不盡相同,體現出不同的辦學思路。例如有的學校把信息安全專業辦在安全工程系,以安全為教學內容的重點;有的學校把信息安全專業辦在計算機系,以計算機和網絡知識為重點;有的學校把信息安全專業辦在數學系,以數學、物理等基礎知識為其側重點;有的學校把信息安全專業辦在通信系,以密碼學作為教學的重點;還有的學校將信息安全專業設置在管理學系,以電子商務為其教學重點和方向。
不同的辦學思路,一方面是各個高校依照其自身的學科優勢和辦學格局,對信息安全學科初期發展進行的有益探索和嘗試,符合高等教育發展和高校自身建設的規律;但另一方面也說明我國整個高等教育體系在信息安全學科方面缺乏統一的規劃和指導,還沒有形成科學合理的學科教育模式。
二、我國高校網絡安全人才培養模式存在的問題
1.學科體系不成熟。我國部分高校已設置了信息安全專業,初步形成了從本科到博士的培養層次。但是信息安全是一門綜合性的交叉學科,涉及數學、通信、計算機、微電子、網絡工程、密碼學、法律等諸多學科,我國高校在網絡安全人才的培養過程中,還無法準確把握各學科之間的比重關系,表現在各高校在該專業的課程設置上比較盲目,隨意性較大。目前的培養體系中,還存在重數量輕質量、重文憑輕素質的現象,培養的人才普遍是從理論到理論,動手實踐能力不強,不能解決現實的網絡安全問題。
2.培養目標、培養計劃和相應的課程體系還不完善。現有培養模式中,信息安全學科建設的指導思想、人才培養的目標和方向都是各個高校根據其具體情況制定的,缺乏系統的學科指導體系和規劃。各高校都處于一種“摸著石頭過河”的狀況,直接導致了培養的人才水平參差不齊、知識結構不合理,不能勝任企業和其他用人單位的工作需要。
3.精通網絡安全理論和技術的尖端人才以及專門從事網絡安全研究的科研人員缺乏。網絡從其產生到現在也不過短短的幾十年,網絡安全的問題更是最近幾年才引起人們的普遍關注。我國進行網絡安全方面的研究起步較晚,網絡安全人才不足,且多是“半路出家”(即由網絡管理人員通過有關網絡安全知識的自學或短期培訓后從事這項工作的),缺乏大量精通尖端網絡安全技術的專門人才。網絡安全人才分布不均、人才隊伍不穩定。這種狀況使我國目前對網絡安全方面的研究遠遠落后于網絡技術的發展。
4.網絡安全教育的普及率較低,一些公民缺乏網絡安全意識。由于網絡安全問題一直沒有得到應有的重視,這就導致普通公民對此問題持無所謂的態度,即使是經常接觸網絡的人也沒有形成網絡安全的觀念和常識,安全隱患較多。
5.缺乏網絡安全教育所必需的實驗設備和條件。開設信息安全專業的部分高校缺乏基本的基礎課程實驗室,教學實驗和模擬設備。許多高校無法開展課程體系中所要求的實驗,學生的學習只能是從理論到理論,極大的削弱了教學效果。
6.偏重理論學習,對實踐環節重視不夠。信息安全學科不僅具有很強的理論性,同時也具有非常強的實踐性,許多安全技術與手段需要在實踐過程中去認識、去體會。當前設有信息安全專業的高校,能夠為學生提供實踐的機會很少。許多高校無法為學生提供實踐鍛煉的機會,更不用說提供處理網絡安全問題的模擬實踐。這樣培養出來的人才其解決實際問題的能力可想而知。
三、美國高校網絡安全人才培養的模式
美國高校的網絡安全人才培養模式主要有兩種:“核心課程+課程模塊”模式和“知識傳授+科學創新+技術能力”模式?!昂诵恼n程+課程模塊”模式是美國大學網絡安全專業教學中采用的一種基本模式,它類似于我國高校中采用的“基礎課+專業方向選修課”的模式。也就是說,學生在修完規定的專業基礎課后,可以根據其愛好和特長,選擇自己感興趣的某個方向進行研究?!爸R傳授+科學創新+技術能力”模式承擔著基礎知識教育、專業技能培養和創新能力培養的重任,對網絡安全人才的培養提出了更高的要求。
美國不僅在本科階段培養網絡安全人才形成了自己的特點,在碩士和博士階段更加注重對某一領域的深入研究。美國的研究生教育通過補充課程論文和考試或者通過課程論文和碩士論文項目使研究生們在信息安全學科的某一個特定領域深入下去。碩士論文通常是開發一種理論到某一個或者一些特定場合的應用;而博士階段更注重理論分析,對理論進行擴展,改進或者提出新的理論。
美國的網絡安全人才培養模式的優勢在于注重學生基礎知識的獲取和創新能力的培養。基礎知識和專業理論教育是學生必須掌握的內容,培養出來的學生具有較廣的知識面和知識體系,可以滿足企業等用人單位的不同需求。通過大學及研究生階段的學習,學生不但可以很快熟悉并鞏固書本知識,并且可以在實踐的過程中,不斷研究發現新問題并予以解決,培養了學生的創新能力。
筆者認為,創新能力的培養必須以基礎知識和專業技能為根基,是建立在扎實的基礎知識和熟練的專業技能基礎之上的一個更高層次的目標和要求,因此,與“核心課程+課程模塊”模式相比,依據“知識傳授+科學創新+技術能力”模式培養出來的人才不僅具有較強的專業知識和處理實際問題的能力,而且具有較強的創新能力。
四、完善我國高校安全人才培養模式的具體措施
我國應在借鑒美國高校網絡安全人才培養模式優點的同時,探索適合我國國情的網絡安全人才模式。筆者認為,可以采取“核心課程+課程模塊+教學實踐”這種理論和實踐相結合的培養模式。在核心課程設置中,讓學生掌握計算機、數學、通信、計算機、微電子、網絡工程、密碼學等基礎知識;在課程模塊設計中,讓學生探討研究其感興趣的網絡安全領域和內容;在教學實踐環節,讓學生總結出大量目前存在的網絡安全問題,并嘗試著讓其進行研究解決,以此鍛煉學生分析問題、解決問題的能力,使學生能將所學理論知識與實際應用結合起來。
具體來說,高校應從以下幾方面入手,培養網絡安全人才,使其具備較合理的知識結構:
1.研究信息安全專業特點,建立科學合理的學科知識體系。信息安全專業是一個交叉的新興學科,需要許多學科的知識作為鋪墊。高校網絡安全人才培養的目標應是造就一批具有較高素質的網絡安全管理和技術人才。我國高校應通過統一制定教學大綱和統編教材,使學生具備計算機、數學、密碼學等健全合理的知識結構。合理采用美國高校對網絡安全人才培養的先進理念和模式,通過嚴格的培養使信息安全專業畢業的學生具備以下素質:寬厚扎實的計算機科學和軟件工程知識;嫻熟的計算機科學技術綜合應用能力;將信息系統及其安全領域的知識同某一應用領域業務相結合的能力;獨立完成網絡安全相關領域問題的能力。
2.開設法律課程,使網絡安全人才具備相應的法律知識。雖然我國還沒有專門的網絡安全法,但在一些法律法規以及規章制度中都不同程度的涉及到了網絡安全的內容。例如《刑法》、《計算機軟件保護條例》、《中華人民共和國計算機信息系統安全保護條例》等都是有關網絡安全的法律法規。作為網絡安全人才必須了解上述法律、法規的相關規定。
3.將網絡安全理論教育和實踐相結合。高校應該將“網絡安全設備操作指南”、“網絡安全注意事項”等內容列入日常的教學活動中,這是培養網絡安全人才,保證各項安全策略、制度、規程和操作在日常工作中得到貫徹落實的重要環節。還可以定期進行網絡安全演練,如果條件成熟,甚至可以挑選一些真正的病毒加以分析、研究。這不僅是檢查網絡安全保障體系運作情況的重要手段,而且可以增強學生應付突發事件的能力。
4.網絡安全人才的培養是一種持續教育,因此應加強和政府、公司的交流與合作,充分調動各方面積極因素,共同培養高素質的網絡安全人才。美國高校的網絡安全教育特別重視合作與交流,例如美國普渡大學(Purdue University),其COAST(Computer Operations Audit and Security Technology)項目是該校計算機科學系從事計算機安全研究的多項目、多投資的實驗室,它促使政府機構、大公司的研究人員和工程師緊密合作。如今COAST已經是世界上最大的專職的、學術的計算機安全研究群體之一,培養了許多優秀的信息安全專業人才。我國高校應借鑒其有益的經驗,加強師資隊伍的建設,改善辦學條件,對信息安全方面的研究給予經費支持和傾斜,改變教學條件,更新試驗設備和儀器。同時,加強國內與國際的交流,搭建學校與企業的互動平臺,和一些具有綜合實力的大企業、公司合作,讓學生進行有機的、雙向的實踐活動。
《國家信息安全報告》中指出:“從事信息技術的人才匱乏是當今世界的一大緊急警報。就信息安全的人才而言,其匱乏的程度更比一般的IT技術有過之而無不及?!薄?006――2020年國家信息化發展戰略》更是為我國網絡安全人才的培養提出了宏偉目標:“建設國家信息安全保障體系,加快信息安全人才培養,增強國民信息安全意識。提高國民信息技術應用能力。提高國民受教育水平和信息能力。培養信息化人才。構建以學校教育為基礎,在職培訓為重點,基礎教育與職業教育相互結合,公益培訓與商業培訓相互補充的信息化人才培養體系?!蔽覈咝凑铡栋l展戰略》的指引和要求,積極探索和建立網絡安全人才培養的模式,為網絡安全人才的培養提供更為廣闊的空間和平臺,構建更加堅固的網絡安全保障體系,只有如此,才能營造出和諧、安全的網絡空間。
參考文獻:
[1]鄭志彬吳昊辛陽:建立產學研結合的信息安全人才培養道路[J].北京電子科技學院學報,2006(3)
[2]劉寶旭:淺談信息安全學科建設與人才培養[J].北京電子科技學院學報,2006(3)
2l世紀以來.人類社會進入信息化時代。近幾年.全國公安現役部隊深入貫徹公安部”科技強警”的指示方針.伴隨著公安現役部隊信息化工程的建設與發展,為全體官兵搭上”信息快車”提供了一個平臺。不可否認.科技是一把”雙刃劍”,公安現役部隊信息化建設也不例外。公安現役部隊的信息化建設極大地提高了部隊的工作效率.但同時也給我們工作人員提出一個新課題.即在操作和使用的過程中如何保證信息的安全。
1.信息安全概念
公安現役部隊信息安全是公安現役部隊信息化建設的基礎性工程.與一般意義上的信息安全相比.公安現役部隊信息安全具有一定的特殊性。
公安現役部隊信息安全是指保密信息必須只能夠被一組預先限定的人員存取對這類信息的未經授權的傳輸和使崩應該被嚴格限制是指系統的硬件、軟件及其系統中的數據受到保護.不因偶然的或者惡意的原因而遭受到破壞、更改、泄密,系統連續可靠正常地運行。
2.信息安全現狀分析
2.1網絡信息安全威脅嚴重
網絡信息安全事關國家安全、社會穩定、經濟發展和文化建設等各個領域.已經成為全球關注的熱點問題。根據瑞星”云安全”數據中心最新統計數據表明.2009年上半年.瑞星”云安全”系統攔截到的掛馬網頁數累計達2.9億個.共有11.2億人次網民遭木馬攻擊:其中大型網站、流行軟件被掛馬的有35萬個(以域名計算),比去年同期有大幅度增長。目前的互聯網非常脆弱.各種熱點新聞、流行軟件、社交(SNS)網站、瀏覽器插件的漏洞層出不窮.為黑客提供了大量入侵和攻擊的機會政府機關網站、各大中型企業網站,由于專業性技術人員缺乏.網站大多由第三方公司外包開發,存在缺陷較多,也最容易被掛馬。據統計,2009年1月份受感染型病毒侵襲的網民為106萬.而6月份則達到了395萬.上升了近4倍。
2.2公安現役部隊信息人才缺失
信息安全建設,人才是關鍵。一方面任何信息安全技術方面的成果都是人創造的:另一方面.任何危害信息安全的事件同樣也是人為的。因此,培養大量優秀的信息安全人才成為當前我公安現役部隊信息安全領域的頭等大事公安現役部隊需要大量信息安全的專門人才,邊、消、警部隊實現電子警務應用系統的發展也需要大量信息安全的專門人才。然而.目前我國只有少數大學能夠培養信息安全方向的研究生.部分院校培養本科生.其數量遠遠不能滿足需求目前我國從事信息安全研究的專業人才(副高職稱以上)僅有3000人.從事信息安全工作的人員也比較少.且多是”半路出家”.即由網絡管理人員通過有關信息安全知識的自學或短期培訓后從事這項工作的。此外。即使一些信息安全領域的公司也存在人才短缺或流失的問題.而公安部門同樣存在著較大的信息安全人才缺口
2.3官兵信息安全意識薄弱
有些官兵保信息安全意識不強,擅自將涉密便攜式電腦、硬盤、優盤和光盤帶出辦公室,極易造成涉及部隊政治工作策略、國家安全和軍事利益的文字、圖片或錄像資料的外泄:在連接國際互聯網的計算機上使用涉密儲存介質不經意造成的泄密問題比較突出?!币粰C跨兩網”、”一盤跨兩網”等行為屢禁不止,給部隊計算機網絡和信息安全造成了嚴重威脅,教訓極其深刻。此外.有些官兵管不住自己的嘴.通過語言威脅到大局信息安全的事件時有發生。有些同志不分對象、場所,為了炫耀自己”卓越”的見解.在不知不覺中隨口泄露機密。有些同志在接受大眾傳媒采訪.以及在進行新聞宣傳報道時,隨口說出涉密的重大任務和軍事活動.造成嚴重泄密。
3.公安現役部隊應對策略分析
公安現役部隊信息安全建設不是各部門信息安全建設成果的簡單疊加.而是要通過技術防范與管理相結合.注重整個系統的信息安全建設。
3.1增強安全防范.做到制度技術到位
實現公安現役信息安全.必須建立自己的信息安全技術保障體系。技術是信息發展的基礎.如果沒有信息安全技術作為支撐,信息安全就無法持久。安全保密設備是公安現役部隊信息安全的重要技術和物質基礎.在選擇設備上應使用國產的.如某設備無國產可選.使用進口設備須經相關部門檢測批準。在軟件建設方面針對系統的弱點和不足.加強新型防火墻、安全路游器、安全網關、入侵檢測系統等信息安全技術的研究和產品開發。改變目前我方在技術方面的易守難攻的局面,變被動為主動。在信息安全防范中,加緊對安全防護、安全監控、跟蹤警報等方面的關鍵技術進行突破。不失時機地對網絡信息系統進行檢測、模擬攻擊與評估工作.切實從技術手段上筑牢防止安全失泄密的閥門。
3.2建立信息安全技術人才保障體系.完備技術人才支撐系統
實現公安現役信息安全.必須建立自己的信息安全技術保障體系。技術是信息發展的基礎,如果沒有信息安全技術作為支撐.信息安全就無法持久。公安現役部隊只有配備大批既懂技術又懂管理的復合型人才.提高從業人員的信息安全水平.公安現役部隊在現有的體制、編制上.通過政策的調整可把有志向為公安現役事業奉獻的專業性人才吸納到隊伍中來。同時還可以與有關院校達成協議定向培養信息安全方面的本科生、研究生,減小供求矛盾.可使公安現役信息安全專項人才不斷補充。煥發生機。
3.3加強信息安全教育和技術培訓
官兵信息安全意識是信息安全建設的基礎.是數字化安全生存的必要保證。要加大信息技術的攻關和信息安全管理人員的技術培訓力度。構建信息安全培訓體系,進行全員的培訓和普及教育,從根本上消除”信息安全事不關己”的錯誤思想.使官兵意識到泄密事件可能通過個人的言行隨時可能引發.牢固樹立信息安全靠大家的思想.只有這樣才能不斷提高全體官兵的信息安全素質和意識
3.4提供部隊信息安全下的執法效率
通過不斷地教學研究和實踐,我們基本認識了信息安全的學科特點和知識結構,提出了如下觀點:
(1)信息安全具有多學科交叉的特點。信息安全是計算機、通信、電子、數學、物理、生物、法律、管理、教育等多學科的交叉學科。
(2)信息安全技術具有整體性和底層性的特點。必須從整體上采取措施,從軟硬件底層采取措施,才能比較有效地解決信息安全問題。
(3)確保信息安全是一種系統工程。硬件結構安全和操作系統安全是信息系統安全的基礎,密碼、網絡安全等是關鍵技術,必須綜合采取各種措施才能奏效。
同時基本認識了信息安全專業人才培養的基本規律:
(1)信息安全人才的基本特征是:掌握信息安全的基本理論和基本技能。
(2)必須同時重視信息科學技術的基礎和信息安全的專業知識與技能。
(3)要高度重視實踐教學。必須有足夠的實踐教學,做好實驗室的基本設施建設,建立校外實習基地,加強實習基地建設。
雖然信息安全專業的建設取得了一定成績,但仍存在如下三個方面的問題:一是現有的教學培養模式注重基礎理論的學習,專業必修課與計算機科學與技術專業重疊太多,未能很好地體現信息安全專業以學信息安全理論與技術為主,兼學通信,同時加強數學、物理、法律等基礎,掌握信息安全的基本理論和技能的辦學思路。二是對學生的培養模式統一,沒能根據學生自身的特點進行培養,不能實現既培養了計算機及通信人才又培養信息安全專業技術人才的目標,沒能很好地起到分層次和分類別培養的效果。三是原有培養方案中的實驗課程大多數是課間實驗,實驗時間分散,多以驗證型實驗為主,學生參加課外科研和實踐的機制不健全,對實驗指導的重視程度不夠,不利于學生專業創新與創造能力的培養。
2信息安全人才培養模式改革與創新基本思路
在綜合考慮上述因素的前提下,結合信息安全專業人才培養的現狀,我們對人才培養目標進行了重新定位,改進和完善了現有專業人才培養方案,進行了培養過程和途徑的創新,并對教學和實踐教學環節及內容進行了改進。
2.1專業培養目標的重新定位
在認識了信息安全學科的特點、知識結構和人才培養基本規律的基礎上,我們對專業培養目標進行了重新定位。進一步明確了信息安全專業旨在培養能夠從事計算機、通信、電子信息、電子商務技術、電子金融、電子政務、軍事等領域的信息安全研究、應用、開發、管理等方面的高級技術人才。同時強調加強通識教育和實踐教學,重基礎、重發展、重能力、重創造,兼顧計算機學院學生必須的通識基礎、數學基礎、通信基礎、計算機軟硬件基礎、信息安全基礎之間的合理比重。
培養的學生應以學習計算機科學和信息安全理論與技術為基礎,兼學通信技術,同時加強數學、物理、法律和管理基礎。要求學生在信息安全理論基礎和實際能力兩個方面都得到培養提高:能閱讀本專業的外文資料。學生畢業后可從事信息安全領域的研究、應用、開發和管理等方面的工作。培養目標進一步分層次,按學生特點及去向分為研究型和應用型兩大類,區別培養,體現了人才培養的多樣化。
2.2改進和完善現有的專業人才培養方案
信息安全專業2001年成立以來,我們制訂出一套信息安全本科專業課程系統和教學計劃,并在全國開設信息安全本科專業的大學中推廣。為更好地提高人才培養質量,加強學生的理論水平與實際動手能力,我們先后進行了三次培養方案的修訂。
在改進的培養方案中,課程教學方案貫徹了“少而精”的原則,強化基礎知識、應用能力這兩極課程,減少、弱化了二者之間課程的分量;盡力合并傳統內容,增設新的、與當今信息安全技術發展同步的課程或內容;調整了專業必修課和選修課課程,將原培養方案中的專業選修課(“計算機病毒”、“信息隱藏技術”、“智能卡技術”)改為專業必修課;更加重視學生實踐動手能力的培養,努力建立學生自主創新學習為主導的學習機制,實現創新精神和能力的培養。
課程體系體現多學科交叉:開設“信息安全數學基礎”、“信息安全法律法規”、“通信原理”、“現代通信”等課程。
體現硬件系統的基礎作用:除了常規硬件類課程外,加開“大規模集成電路”、“智能卡技術”、“電磁防護與物理安全”、“嵌入式系統”等課程。
體現操作系統的基礎作用:除了“操作系統原理”,加開“Windows原理與應用”、“Linux原理與應用”,形成操作系統課程組。
體現密碼與網絡安全的關鍵作用:開設“密碼學”與“網絡安全”、“計算機病毒”、“網絡管理”、“網絡程序設計”等課程。
第四年的實習實踐教學內容配備了相應的實習管理制度和考核指標。要求學生在大學第二年成立專業學習興趣小組,制定了興趣小組的管理規定,為第四年實習實踐環節奠定良好的基礎。為了讓學生明確信息安全專業課程學習的順序關系,了解各專業課程之間的相互聯系,盡早樹立專業學習目標,還添加了信息安全專業課程關系圖,進一步完善了信息安全專業人才培養方案。
通過人才培養方案的改進和完善,達到了人才培養模式創新的目的,變不適應為適應,變不協調為協調,使我們培養的信息安全人才更加適應社會需要,符合中國國情,體現武漢大學“三創”復合型人才培養的特色。
2.3培養過程和途徑的創新思路
新的人才培養模式中,信息安全本科培養按“3+1”模式設置教學計劃,即前三年在學校修滿所有學分,完成全部課程學習,第四年按學生特點及去向分類安排不同的學習項目,完成培養方案中的實踐教學環節。推薦免試攻讀碩士學位的學生直接進入到導師的課題組,提前開始研究生階段的學習和研發工作;對準備就業的學生安排到用人單位或實習基地實習,并要求其在實習基地實習6個月以上,完成畢業論文;未推免并要求留在學校實習的學生安排在學院實驗室,按興趣分組,由專門的老師指導完成所分配的研究或開發項目。
新的培養方案已于2007年全面實施,“3+1”培養模式大大提高了畢業論文的質量,2003級信息安全專業畢業論文的優秀率達到了14%。
2.4進一步加強實踐教學
學院高度重視學生實踐動手能力的培養,為加強信息安全專業學生的創新能力,除安排一年的實習實踐以外,還將實驗課程由分散改為集中進行,由驗證型為主改為設計型為主。增加了“程序設計訓練”實踐課程為必修課,調整了“信息安全綜合實驗”課程的內容,將其變為一個綜合實踐、測試平臺。增加了部分課程的課內實驗學時,讓學生做到理論聯系實際,增加學生的計算機應用能力。
3實踐教學改革
新的人才培養模式促使信息安全專業實踐教學正在嘗試以下幾項新的改革措施:
3.1不斷改革實踐教學體系,增加實踐教學內容,改變實踐教學的實現方式
新的人才培養模式中,信息安全本科按“3+1”模式設置教學計劃,加大了教學實踐環節,并將實驗課程由分散進行改為集中進行,由驗證型為主改為設計型為主,加大了綜合設計、創新實驗、實訓實戰的比重。通過對集中實踐教學和課間實踐教學的課時調整,使實踐教學的課時數占總課時數的40%。
實驗教學在基礎實驗、綜合設計實驗、創新提高實驗、實訓平臺訓練、實習地實戰訓練、畢業設計與畢業論文六個層面開展,不同層面的要求、方法及形式有所不同。基礎驗證型實驗多采用課間實驗的方式,綜合設計型實驗一般在理論課后集中一或兩周進行,程序設計訓練和嵌入式設計不受時間限制,可跨越四年時間完成。對創新提高型實驗,可根據創新設計自主完成。實訓平臺訓練型實驗是在教師指導下分組合作,共同完成實訓項目。畢業設計與畢業論文可結合導師的科研工作提前開始,加強過程管理,強化答辯環節,確保質量。
3.2積極拓展校外實習基地,通過與企業合作,提高學生專業實踐能力
隨著網絡技術的廣泛應用,我國電子商務的安全問題也日益突出。根據“2010年上半年,計算機病毒和互聯網安全報告疫情”的數據表明,2010年上半年,計算機病毒,木馬的數量依然保持快速增長,新病毒不斷出現,一些“老”的病毒推出了眾多變種。2010年上半年計算機病毒,木馬數量迅速增加,超出了近五年病毒數量的總和。在日益增多的電子商務安全問題面前,需要我們采取新措施來進行防范。
一、電子商務的安全現狀
目前電子商務的安全問題比較嚴重,最突出的表現在計算機網絡安全和商業誠信問題上。因為篇幅問題,本文只側重于計算機網絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現出以下特點:
(一)木馬病毒爆炸性增長,變種數量的快速增加
據統計,僅2009年上半年掛載木馬網頁數量累計達2.9億個,共有11.2億人次網民訪問掛載木馬,2010年元旦三天就新增電腦病毒50萬。病毒的數量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征??傮w而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放,可以自動從指定的網址上下載新病毒,并進行自動更新,永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網絡盜竊、詐騙活動,通過網絡販賣病毒、木馬,教授病毒編制技術和網絡攻擊技術等形式的網絡犯罪活動明顯增多,電子商務網絡犯罪也逐漸開始呈公開化、大眾化的趨勢。
(二)網絡病毒傳播方式的變化
過去,傳播病毒通過網絡進行。目前,通過移動存儲介質傳播的案例顯著增加,存儲介質已經成為電子商務網絡病毒感染率上升的主要原因。由于U盤和移動存儲介質廣泛使用,病毒、木馬通過autorun.inf文件自動調用執行U盤中的病毒、木馬等程序,然后感染用戶的計算機系統,進而感染其他U盤。與往年相比,今年通過網絡瀏覽或下載該病毒的比例在下降。不過,從網絡監測和用戶尋求幫助的情況來看,大量的網絡犯罪通過“掛馬”方式來實現?!皰祚R”是指在網頁中嵌入惡意代碼,當存在安全漏洞的用戶訪問這些網頁時,木馬會侵入用戶系統,然后盜取用戶敏感信息或者進行攻擊、破壞。通過瀏覽網頁方式進行攻擊的方法具有較強的隱蔽性,用戶更難于發現,潛在的危害性也更大。
(三)網絡病毒給電子商務造成的損失繼續增加
調查顯示,瀏覽器配置被修改,損壞或丟失數據,系統的使用受限,網絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經濟利益,給被感染的用戶帶來重大損失。繼“熊貓燒香”之后,復合型病毒大量出現,如:仇英、艾妮等病毒。同時,網上販賣病毒、木馬和僵尸網絡的活動不斷增多,利用病毒、木馬技術傳播垃圾郵件和進行網絡攻擊、破壞的事件呈上升趨勢。
二、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
2.對信息的竊取。攻擊者在網絡的傳輸信道上。通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。
3.對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注人偽造消息等,從而使信息失去真實性和完整性。
4.拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。
5.對發出的信息予以否認.某些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
6.信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸人虛假銀行資料使賣方不能提款I用戶付款后,賣方沒有把商品發送到客戶手中,使客戶蒙受損失。
7.電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。如,CIH病毒的爆發幾乎在瞬間給網絡上數以萬計的計算機以沉重打擊。
三、電子商務的安全需求
電子商務威脅的出現導致了對電子商務安全的需求,主要包括有效性、完整性、不可抵賴性、匿名性。
1.有效性。保證信息的有效性是開展電子商務的前提,一旦簽訂交易,這項交易就應得到保護以防止被篡改或偽造。
2.完整性。貿易雙方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易雙方信息的完整性是電子商務的基礎。
3.不可抵賴性。交易一旦達成,原發送方在發送數據后就不能抵賴,接收方接到數據后也不能抵賴。
4.匿名性。電子商務系統應確保交易的匿名性,防止交易過程被跟蹤,保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體。
四、電子商務安全防治措施及安全舉措
防范電子商務網絡犯罪是一個系統工程,不僅需要人們提高防范電子商務網絡犯罪的意識,加強防范電子商務網絡犯罪的制度建設,而且.還需要技術上不斷更新和完善,為此,需要做好以下幾方面的工作。
1.加強教育和宣傳,提高公眾電子商務的安全意識。信息安全意識是指人們在上網的過程中,對信息安全重要性的認識水平,發現影響網絡安全行為的敏銳性,維護網絡安全的主動性。強化上網人員的信息安全意識,就是要讓上網人員認識到,網絡信息安全是電子商務正常而高效運轉的基礎,是保障企業、公民和國家利益的重要前提,從而牢同樹立網上交易,安全第一的思想。主要采取以下措施:一是通過大眾媒體,普及電子商務的安全知識,提高用戶的認識。二是積極組織研討會和培訓課程,培養電子商務網絡營銷安全管理人才。
2.采用多重網絡技術,保證網絡信息安全。目前,常用的電子商務安全技術,主要包括:防火墻,物理隔離,VPN(虛擬專用網)。防火墻是實現內部網與外部網安全和入侵隔離的常規技術。使用防火墻,一方面是抵御來自外界的攻擊。另一方面是為了防止在服務器內部部分未經授權的用戶攻擊。因此,電子商務內外網與互聯網之間要設置防火墻。網管人員要經常到有關網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,發現任何安全隱患及時更改,做到有備無患。企業上網必須實行內外網劃分和內外網的物理隔離。要運用VPN新技術,為使用者提了一種通過公用網絡,安全地對食業網絡進行遠程訪問,同時又能保證企業的系統安全。包括操作系統、數據庫和服務器(如Web服務器、E-MAII。服務器)的安全。
3.運用密碼技術,強化通信安全。應圍繞數字證書應用,為電子政府信息網絡中各種業務應用提供信息的真實性、完整性、機密性和不可否認性保證。在業務系統中建立有效的信任管理機制、授權控制機制和嚴密的責任機制。目前要加強身份認證、數據完整性、數據加密、數字簽名等工作。對于電子商務中的各種敏感數據進行數據加密處理,并且在數據傳輸中采用加密傳輸,以防止攻擊者竊密。電子商務信息交換中的各種信息,必須通過身份認證來確認其合法性,然后確定這個用戶的個人數據和特定權限?!霸谏婕岸鄠€對等實體間的交互認征時,應采用基于PKI技術,借助第三方(CA)頒發的數字證書數字簽名來確認彼此身份?!睘榱藦母旧媳WC我國網絡的安全,我同安全產品的應用應建立在國內自主研發的產品基礎上,國外的先進技術可以參考,但不能完全照搬。政府應該鼓勵和扶植一批企業加快數字安全技術的研究,以提高我國信息企業的技術和管理水平,促進我同電子商務安全建設。
4.加強技術管理,努力做到使用安全。首先是在內部嚴格控制企業內部人員對網絡共享資源的隨意使用。在內網中,除有特殊需要不要輕易開放共享目錄,對有經常交換信息要求的用戶,在共享時應該加密,即只有通過密碼的認證才允許訪問數據。二是對涉及秘密信息的用戶主機,使用者在應用過程中應該做到盡可能少開放一些不常用的網絡服務,同時封閉一些不用的端口。并對服務器中的數據庫進行安全備份。三是切實保證媒體安全。包括媒體數據的安全及媒體本身的安全。要防止系統信息在物理空間上的擴散。為了防止系統中的信息在物理空間上的擴散,應在物理上采取一定的防護措施,如進行一定的電磁屏蔽,減少或干擾擴散出去的空間信號。這樣做,對確保企業電子商務安全將發揮重要作用。
5.健全法律,嚴格執法。目前我國在電子商務法律法規方面還有很多缺失,不能有效地保護公眾的合法權益,給一些犯罪分子帶來了可乘之機。我國立法部門應加快立法進程,吸取和借鑒國外網絡信息安全立法的先進經驗,盡快制定和頒布《個人隱私保護法》、《商業秘密保護法》、《數據庫振興法》、《信息網絡安全法》、《電子憑證(票據)法》、《網上知識產權法》等一系列法律,使電子商務安全管理走上法制化軌道。使網絡控制、信息控制、信息資源管理和防止泄密有法可依,并得到技術上的支撐。健全電子商務安全標準認證和質量檢測機制,由國家主管部門組織制定有關電子商務安全條例規定,并發揮職能部門的監管作用。通過建立電子商務安全法規體系,規范和維持網絡的正常運行。
參考文獻:
[1]許寧寧.電子商務安全的現狀與趨勢[J].中國電子商務,2010,(1).
隨著網絡技術的廣泛應用,我國電子商務的安全問題也日益突出。根據“2010年上半年,計算機病毒和互聯網安全報告疫情”的數據表明,2010年上半年,計算機病毒,木馬的數量依然保持快速增長,新病毒不斷出現,一些“老”的病毒推出了眾多變種。2010年上半年計算機病毒,木馬數量迅速增加,超出了近五年病毒數量的總和。在日益增多的電子商務安全問題面前,需要我們采取新措施來進行防范。
一、電子商務的安全現狀
目前電子商務的安全問題比較嚴重,最突出的表現在計算機網絡安全和商業誠信問題上。因為篇幅問題,本文只側重于計算機網絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現出以下特點:
(一)木馬病毒爆炸性增長,變種數量的快速增加
據統計,僅2009年上半年掛載木馬網頁數量累計達2.9億個,共有11.2億人次網民訪問掛載木馬,2010年元旦三天就新增電腦病毒50萬。病毒的數量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征??傮w而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放,可以自動從指定的網址上下載新病毒,并進行自動更新,永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網絡盜竊、詐騙活動,通過網絡販賣病毒、木馬,教授病毒編制技術和網絡攻擊技術等形式的網絡犯罪活動明顯增多,電子商務網絡犯罪也逐漸開始呈公開化、大眾化的趨勢。
(二)網絡病毒傳播方式的變化
過去,傳播病毒通過網絡進行。目前,通過移動存儲介質傳播的案例顯著增加,存儲介質已經成為電子商務網絡病毒感染率上升的主要原因。由于u盤和移動存儲介質廣泛使用,病毒、木馬通過autorun.inf文件自動調用執行u盤中的病毒、木馬等程序,然后感染用戶的計算機系統,進而感染其他u盤。與往年相比,今年通過網絡瀏覽或下載該病毒的比例在下降。不過,從網絡監測和用戶尋求幫助的情況來看,大量的網絡犯罪通過“掛馬”方式來實現。“掛馬”是指在網頁中嵌入惡意代碼,當存在安全漏洞的用戶訪問這些網頁時,木馬會侵入用戶系統,然后盜取用戶敏感信息或者進行攻擊、破壞。通過瀏覽網頁方式進行攻擊的方法具有較強的隱蔽性,用戶更難于發現,潛在的危害性也更大。
(三)網絡病毒給電子商務造成的損失繼續增加
調查顯示,瀏覽器配置被修改,損壞或丟失數據,系統的使用受限,網絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經濟利益,給被感染的用戶帶來重大損失。繼“熊貓燒香”之后,復合型病毒大量出現,如:仇英、艾妮等病毒。同時,網上販賣病毒、木馬和僵尸網絡的活動不斷增多,利用病毒、木馬技術傳播垃圾郵件和進行網絡攻擊、破壞的事件呈上升趨勢。
二、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
2.對信息的竊取。攻擊者在網絡的傳輸信道上。通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。
3.對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注人偽造消息等,從而使信息失去真實性和完整性。
4.拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。
5.對發出的信息予以否認.某些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
6.信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸人虛假銀行資料使賣方不能提款i用戶付款后,賣方沒有把商品發送到客戶手中,使客戶蒙受損失。
7.電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。如,cih病毒的爆發幾乎在瞬間給網絡上數以萬計的計算機以沉重打擊。
三、電子商務的安全需求
電子商務威脅的出現導致了對電子商務安全的需求,主要包括有效性、完整性、不可抵賴性、匿名性。
1.有效性。保證信息的有效性是開展電子商務的前提,一旦簽訂交易,這項交易就應得到保護以防止被篡改或偽造。
2.完整性。貿易雙方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易雙方信息的完整性是電子商務的基礎。
3.不可抵賴性。交易一旦達成,原發送方在發送數據后就不能抵賴,接收方接到數據后也不能抵賴。
4.匿名性。電子商務系統應確保交易的匿名性,防止交易過程被跟蹤,保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體。
四、電子商務安全防治措施及安全舉措
防范電子商務網絡犯罪是一個系統工程,不僅需要人們提高防范電子商務網絡犯罪的意識,加強防范電子商務網絡犯罪的制度建設,而且.還需要技術上不斷更新和完善,為此,需要做好以下幾方面的工作。
1.加強教育和宣傳,提高公眾電子商務的安全意識。信息安全意識是指人們在上網的過程中,對信息安全重要性的認識水平,發現影響網絡安全行為的敏銳性,維護網絡安全的主動性。強化上網人員的信息安全意識,就是要讓上網人員認識到,網絡信息安全是電子商務正常而高效運轉的基礎,是保障企業、公民和國家利益的重要前提,從而牢同樹立網上交易,安全第一的思想。主要采取以下措施:一是通過大眾媒體,普及電子商務的安全知識,提高用戶的認識。二是積極組織研討會和培訓課程,培養電子商務網絡營銷安全管理人才。
2.采用多重網絡技術,保證網絡信息安全。目前,常用的電子商務安全技術,主要包括:防火墻,物理隔離,vpn(虛擬專用網)。防火墻是實現內部網與外部網安全和入侵隔離的常規技術。使用防火墻,一方面是抵御來自外界的攻擊。另一方面是為了防止在服務器內部部分未經授權的用戶攻擊。因此,電子商務內外網與互聯網之間要設置防火墻。網管人員要經常到有關網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,發現任何安全隱患及時更改,做到有備無患。企業上網必須實行內外網劃分和內外網的物理隔離。要運用vpn新技術,為使用者提了一種通過公用網絡,安全地對食業網絡進行遠程訪問,同時又能保證企業的系統安全。包括操作系統、數據庫和服務器(如web服務器、e-maii。服務器)的安全。
3.運用密碼技術,強化通信安全。應圍繞數字證書應用,為電子政府信息網絡中各種業務應用提供信息的真實性、完整性、機密性和不可否認性保證。在業務系統中建立有效的信任管理機制、授權控制機制和嚴密的責任機制。目前要加強身份認證、數據完整性、數據加密、數字簽名等工作。對于電子商務中的各種敏感數據進行數據加密處理,并且在數據傳輸中采用加密傳輸,以防止攻擊者竊密。電子商務信息交換中的各種信息,必須通過身份認證來確認其合法性,然后確定這個用戶的個人數據和特定權限?!霸谏婕岸鄠€對等實體間的交互認征時,應采用基于pki技術,借助第三方(ca)頒發的數字證書數字簽名來確認彼此身份。”為了從根本上保證我國網絡的安全,我同安全產品的應用應建立在國內自主研發的產品基礎上,國外的先進技術可以參考,但不能完全照搬。政府應該鼓勵和扶植一批企業加快數字安全技術的研究,以提高我國信息企業的技術和管理水平,促進我同電子商務安全建設。
4.加強技術管理,努力做到使用安全。首先是在內部嚴格控制企業內部人員對網絡共享資源的隨意使用。在內網中,除有特殊需要不要輕易開放共享目錄,對有經常交換信息要求的用戶,在共享時應該加密,即只有通過密碼的認證才允許訪問數據。二是對涉及秘密信息的用戶主機,使用者在應用過程中應該做到盡可能少開放一些不常用的網絡服務,同時封閉一些不用的端口。并對服務器中的數據庫進行安全備份。三是切實保證媒體安全。包括媒體數據的安全及媒體本身的安全。要防止系統信息在物理空間上的擴散。為了防止系統中的信息在物理空間上的擴散,應在物理上采取一定的防護措施,如進行一定的電磁屏蔽,減少或干擾擴散出去的空間信號。這樣做,對確保企業電子商務安全將發揮重要作用。
5.健全法律,嚴格執法。目前我國在電子商務法律法規方面還有很多缺失,不能有效地保護公眾的合法權益,給一些犯罪分子帶來了可乘之機。我國立法部門應加快立法進程,吸取和借鑒國外網絡信息安全立法的先進經驗,盡快制定和頒布《個人隱私保護法》、《商業秘密保護法》、《數據庫振興法》、《信息網絡安全法》、《電子憑證(票據)法》、《網上知識產權法》等一系列法律,使電子商務安全管理走上法制化軌道。使網絡控制、信息控制、信息資源管理和防止泄密有法可依,并得到技術上的支撐。健全電子商務安全標準認證和質量檢測機制,由國家主管部門組織制定有關電子商務安全條例規定,并發揮職能部門的監管作用。通過建立電子商務安全法規體系,規范和維持網絡的正常運行。
參考文獻:
[1]許寧寧.電子商務安全的現狀與趨勢[j].中國電子商務,2010,(1).