发布时间:2022-08-04 07:08:02
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的互联网安全论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
[摘要]Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。安全问题始终是电子商务的核心和关键问题。
[关键词]电子商务安全网络安全商务安全
2003年对中国来说是个多事之秋,先是SARS肆虐后接高温威胁。但对电子商务来说,却未必不是好事:更多的企业、个人及其他各种组织,甚至包括政府都在积极地推动电子商务的发展,越来越多的人投入到电子商务中去。电子商务是指发生在开放网络上的商务活动,现在主要是指在Internet上完成的电子商务。
Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面,而应该是利用Web技术使Web站点与公司的后端数据库系统相连接,向客户提供有关产品的库存、发货情况以及账款状况的实时信息,从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与Internet连接,使小到本企业的商业机密、商务活动的正常运转,大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此,安全性始终是电子商务的核心和关键问题。
电子商务的安全问题,总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。
一、网络安全问题
一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。
二、计算机网络安全体系
一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
在实施网络安全防范措施时,首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施。
对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础,支持不同类型的安全硬件产品,屏蔽安全硬件以变化对上层应用的影响,实现多种网络安全协议,并在此之上提供各种安全的计算机网络应用。
互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来的几年中成为重点,如身份认证,授权检查,数据安全,通信安全等将对电子商务安全产生决定性影响。
三、商务安全要求
作为一个成功的电子商务系统,首先要消除客户对交易过程中安全问题的担心才能够吸引用户通过WEB购买产品和服务。使用者担心在网络上传输的信用卡及个人资料被截取,或者是不幸遇到“黑店”,信用卡资料被不正当运用;而特约商店也担心收到的是被盗用的信用卡号码,或是交易不认账,还有可能因网络不稳定或是应用软件设计不良导致被黑客侵入所引发的损失。由于在消费者、特约商店甚至与金融单位之间,权责关系还未彻底理清,以及每一家电子商场或商店的支付系统所使用的安全控管都不尽相同,于是造成使用者有无所适从的感觉,因担忧而犹豫不前。因些,电子商务顺利开展的核心和关键问题是保证交易的安全性,这是网上交易的基础,也是电子商务技术的难点。
用户对于安全的需求主要包括以下几下方面:
1.信息的保密性。交易中的商务信息均有保密的要求。如信用卡的账号和用户被人知悉,就可能被盗用;定货和付款信息被竞争对手获悉,就可能丧失商机。因此在电子商务中的信息一般都有加密的要求。
2.交易者身份的确定性。网上交易的双方很可能素昧平生,相隔千里。因此,要使交易能够成功,首先要想办法确认对方的身份。对商家而言,要考虑客户端是否是骗子,而客户也会担心网上的商店是否是黑店。因此,能方便而可靠地确认对方身份是交易的前提。
3.交易的不可否认性。交易一旦达成,是不能被否认的,否则必然会损害一方的利益。因此电子交易过程中通信的各个环节都必须是不可否认的。主要包括:源点不可否认:信息发送者事后无法否认其发送了信息。接收不可否认:信息接收方无法否认其收到了信息。回执不可否认:发送责任回执的各个环节均无法推脱其应负的责任。
4.交易内容的完整性。交易的文件是不可以被修改的,否则必然会损害交易的严肃性和公平性。
5.访问控制。不同访问用户在一个交易系统中的身份和职能是不同的,任何合法用户只能访问系统中授权和指定的资源,非法用户将拒绝访问系统资源。
四、电子商务安全交易标准
近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。主要的协议标准有:
1.安全超文本传输协议(S—HTTP):依靠对密钥的加密,保障Web站点间的交易信息传输的安全性。
2.安全套接层协议(SSL):由Netscape公司提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE浏览器,以完成需要的安全交易操作。
3.安全交易技术协议(STT,SecureTransactionTechnology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在InternetExplorer中采用这一技术。
4.安全电子交易协议(SET,SecureElectronicTransaction):1996年6月,由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET公告,并于1997年5月底了SETSpecificationVersion1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET2.0预计今年,它增加了一些附加的交易要求。这个版本是向后兼容的,符合SET1.0的软件并不必要跟着升级,除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。
所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动Internet电子商务市场。
五、商务安全的关键CA认证
怎样解决电子商务安全问题呢?国际通行的做法是采用CA安全认证系统。CA是CertificateAuthority的缩写,是证书授权的意思。在电子商务系统中,所有实体的证书都是由证书授权中心即CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA机构应包括两大部门:一是审核授权部门,它负责对证书申请者进行资格审查,决定是否同意给该申请者发放证书,并承担因审核错误引起的一切后果,因此它应由能够承担这些责任的机构担任;另一个是证书操作部门,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营所产生的一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任。
CA体系主要解决几大问题:1.解决网络身份证的认证以保证交易各方身份是真实的;2.解决数据传输的安全性以保证在网络中流动的数据没有受到破坏或篡改;3.解决交易的不可抵赖性以保证对方在网上说的话是真实的。
需要注意的是,CA认证中心并不是安全机构,而是一个发放”身份证”的机构,相当于身份的”公证处”。因此,企业开展电子商务不仅要依托于CA认证机构,还需要一个专业机构作为外援来解决配置什么安全产品、怎样设置安全策略等问题。外援的最合适人选当然非那些提供信息安全软硬件产品的厂商莫属了。好的IT厂商,会让用户在部署安全策略时少走许多弯路。在选择外援时,用户为了节省成本,避免损失,应该把握几个基本原则:1.要知道自己究竟需要什么;2.要了解厂商的信誉;3.要了解厂商推荐的安全产品;4.用户要有一双”火眼金睛”,对项目的实施效果能够正确加以评估。有了这些基本的安全思路,用户可以少走许多弯路。
六、相应法律法规
电子商务要健康有序地发展,就像传统商务一样,也必须有相应的法律法规作后盾。商务过程中不可避免地会产生一些矛盾,电子商务也一样。在电子商务中,合同的意义和作用没有发生改变,但其形式却发生了极大的变化,1.订立合同的双方或多方是互不见面的。所有的买方和卖方在虚拟市场上运作,其信用依靠密码的辨认或认证机构的认证。2.传统合同的口头形式在贸易上常常表现为店堂交易,并将商家所开具的发票作为合同的依据。而在电子商务中标的额较小、关系简单的交易没有具体的合同形式,表现为直接通过网络订购、付款,例如利用网络直接购买软件。3.表示合同生效的传统签字盖章方式被数字签名所代替。
电子商务合同形式的变化,对于世界各国都带来了一系列法律新问题。电子商务作为一种新的贸易形式,与现存的合同法发生矛盾是非常容易理解的事情。但对于法律法规来说,就有一个怎样修改并发展现存合同法,以适应新的贸易形式的问题。
七、小结
在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,应该还具备以下特点:强大的加密保证;使用者和数据的识别和鉴别;存储和加密数据的保密;连网交易和支付的可靠;方便的密钥管理;数据的完整、防止抵赖。电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为安全工程,而不是解决方案来实施。
参考文献:
[1]《电子商务基础》尚建成主编高等教育出版社出版2000.9
论文关键词:互联网,OA,归档
OA是指以现代信息技术为核心,结合各种现代办公技术与设备形成的系统,目的是迅速、准确地处理各种信息。随着互联网的发展,OA为搜集、存贮、使用与日俱增的大量信息也采取了互联网的手段,这给文件与档案归档管理带来更高的效率,使归档管理的费用也大幅度降低,但是互联网的自身的一些缺陷也给OA电子文件归档带来了巨大的挑战。为此需要开展相关研究,寻找网络环境下OA电子文件归档的恰当策略。
一、互联网环境下OA电子文件归档面临的主要问题:
1归档信息来源无边界:随着互联网的发展与普及,企业内外的'边界'正在消失,员工在办公室或家里处理的文件是同样的效力。由于'网络边界'的消失,OA系统所依托的的互联网安全随时随地都会受到威胁。从某种意义上讲论文范文,方便快捷传递的档案信息都会随时受到挑战。黑客们可以轻而易举地拦截网络上传递的信息,进行各种工业间谍和其他破坏活动。这种全新的挑战,是档案归档管理前所未有的问题。
2归档信息的脆弱:整个信息系统是由资源子网和通信了网构成的,无论是传输网络还是保存档案信息的磁盘都安全性。在信息化社会,整个企业犹如一部由计算机网络连接起来的巨大机器。数字化机器具有的绝好的精密性与连通性,使得部分零件失灵而殃及全局的现象屡见不鲜。对计算机网络的恶意破坏往往是在没有任何先兆的情况下突然发生,而且会迅速蔓延到其他部分。
3归档信息丢失的隐蔽:在互联网环境下归档信息通常由计算机自动完成,黑客可以植入病毒,在不留任何'痕迹'的情况下窃取归档信息,隐蔽性极强。
二、互联网环境下OA电子文件归档面临的策略:
1、归档管理应该配备独立的服务器和防火墙等安全措施
档案的最终目的是利用档案中的信息。电子文件形式的档案可以通过计算机能进行全文检索,使用比较方便。但是档案信息一般属于正式文件,有些甚至属于机密文件。可见,档案信息的查询利用必须有一定的限度,不同的人员查询使用档案信息应该有不同的权限,并且防止黑客窃取档案文件。因此,档案部门应该单独设立服务器,并且配置防火墙等安全措施。
上述方法是电子文件的归档管理为工作对象,其目的是为了利用互联网提高工作效率,同时防范互联网的负面效应,便于档案的保管和利用。电子文件不仅需要归档,而且还需要进行必要的整理,以便更好地保管和利用论文范文,进一步快速有效地发挥档案的作用。
2、电子文档应以生效时间为归档时间
由于电子文件在利用上的优越性,使归档工作发生了根本性变化,而互联网环境使得OA电子文件归档发生了一系列的变化:①由原来事后归档,可以变为电子文档生产的同时进行归档。电子文件要快速方便得多,除非有特殊需求一般不需要再查看原件。在归档文件由单一纸质的形式改变为同一归档文件既有纸质又有电子的形式。电子文件归档应当与实物上的归档。电子文件的归档,这是档案保管过程中必不可少的环节。文件归档的条件是:①必须是已经生效的文件;②必须有完整、齐全的电子签章;③必须具有一定的保存价值,并严格按照不同的保管期限分别立卷,在存储其中排列,分存储器保管。文件立卷的标志是:必须经过相应的归档程序,履行必要的归档手续,由原来文书部门或业务部门负责管理的文件,按照档案室的整理要求和技术规范,编目,移交给档案室集中保存。这种管理权限的移交,也是文件与档案材料在形式上的区别。就载体而言,文件与档案是同一体的两个不同阶段,因而没有任何差别,从本质上讲,文件材料经过人的整理之后.有意识、有目的的集中保管,这就是档案了。这样一来论文范文,归档的标志应该是电子文档是否进入专门的档案管理系统,进入档案管理系统,那么就已经归档,否则就没有归档,
3、电子文件立卷方式为保存在独立存储器中
电子文件能够从不同角度同时展示文件的相关内容,任意组合成各种文档档案的查找和利用。立卷是从保管的角度来看档案信息的。OA系统形成的电子文档一般属于正式文件,虽然需要借助专门的设备读取,但是为了保证电子文档的保管安全,一般要求电子文档以不依赖OA系统软件的、不参与日常办公事物的独立存储器中。电子文档的立卷直接以独立存储器为保管单位,集中保存在各个档案库,并且每个存储器最好做1个以上的备份,备份存储器放置于另一独立地点。
因此,电子文件的整理就可以由保管和利用为目的转向单纯以保管为主要目的进行整理。件在形成过程中有着一种自然联系,突出表现在来源上,产生于某个机关和机关内部机构。在时间上,产生于某个特定的年月日。因此,在整理的线索上,立卷是为了便于保管和利用而要尽可能地保持文件之间的自然联系,最好以来源时间联系为主要方式。这种变化可以看成是立卷的一种简化,变多种交叉联系为一种简单的、自然的但却十分清楚的联系论文范文,以适应电子文件的管理。在整理的对象上,彻底改变了原来的案卷级方法代之以文件级为基本保管单位,档案以独立电子文件为单位进行整理编号,装盒排架,使档案盒仅仅成为一种装具。
我国是一个发展中国家,各方面技术都处于发展阶办公自动化新技术也正日益发展。随着网络、检索、阅读、复印、复制、端微等新技术的发展,电子文件档案将会越来越多,这变化又会促使档案工作的理论和实践发生变化。由于科学技术的迅猛发展,对于在档案工作中已经引起和将会引起的变化,必然是一个历史发展的过程。随着科学技术的发展和档案工作者科学技术知识素养的提高,认识过程中的缺陷,是完全能够克服的。
参考文献
[1]邹德军,电子商务时代信息伪过剩及其对策.内蒙古:北方经济,2009.4.
1、国务院决定在全国开展打击侵犯知识产权和制售假冒伪劣商品专项行动
国务院办公厅于10月27日下发《打击侵犯知识产权和制售假冒伪劣商品专项行动方案》文件,要求于2010年10月至2011年3月在全国范围内集中开展此次专项行动。
文件指出,工商、新闻出版(版权)部门要会同有关部门加强网络知识产权保护,严厉打击互联网侵权盗版,重点打击利用互联网、通信网络和电视网络销售侵犯知识产权和假冒伪劣商品的欺诈行为。广电部门要加强对视听节目服务网站播放正版节目的监督工作。
把打击利用互联网等网络销售侵犯知识产权和假冒伪劣商品行动上升到国家高度,相信互联网的诚信环境会越来越好。
2、《网络商品交易及有关服务行为管理暂行办法》出台并开始施行
该《办法》是国家工商行政管理总局于5月31日颁发的,7月1日起开始正式施行。
《办法》对网络商品经营者和网络服务经营者在境内从事网络商品交易及有关服务行为进行了规范。《办法》规定,通过网络从事商品交易及有关服务行为的自然人,也需向提供网络交易平台服务的经营者提出申请,提交姓名和地址等真实身份信息。这意味着,网上开店正式进入“实名制”时代。
这是我国第一部规范网络商品交易及有关服务行为的行政法规,必将对保护消费者和经营者合法权益、维护网络市场秩序产生积极的作用。
3、《非金融机构支付服务管理办法》正式实施
中国人民银行于6月14日了《非金融机构支付服务管理办法》。《办法》自9月1日起正式实施,规定非金融机构须向中国人民银行副省级城市中心支行以上的分支机构申请,报中国人民银行批准获得《支付业务许可证》后方能开展支付业务。
随着网络信息、通信技术的快速发展和支付服务的分工细化,越来越多的非金融机构借助互联网、手机等技术广泛参与支付业务,本办法的实施将对促进支付服务市场健康发展,规范非金融机构支付服务行为,防范支付风险,保护当事人的合法权益起到关键性的作用。
4、央视报道电子商务正成为销售假冒商品的新渠道
据12月13日央视《焦点访谈》报道,上海市公安局经侦总队查处了淘宝一家五皇冠的卖家。侦查员以顾客身份在该网店上买了两件商品,交给相关商标权利人做鉴定,结果两件都是假冒商标的产品。该网店负责人因涉嫌销售假冒注册商标商品罪,已被移送司法机关。
近年来,我国不断加大对假冒商品的打击力度,然而,销售假冒商品的手段和渠道不断翻新,从原来单一的实体门店向电子商务蔓延。事实表明,电子商务的诚信问题本质上是社会诚信问题在互联网上的体现,要解决好这个问题还需要全社会的共同参与。
5、《2010年国内网络团购行业信用调查报告》正式
团购是时下最受白领喜欢的网络消费方式。然而,有关团购网站消费保障服务和诚信体系建设备受各界关注,也引发了一些疑问。
为了让行业主管部门和广大消费者了解国内团购网站整体发展现状和信用状况,中国互联网协会信用评价中心联合多家单位开展团购行业信用调查,并正式了国内第一份网络团购行业信用调查报告,引起了业界的强烈反响。报告显示,截止11月底,国内有一定规模团购网站已达1664家,网络团购行业整体信用得分为63.3,等级为BBB,信用一般偏下。但行业内各团购网站之间的信用水平存在很大差异。目前,共有近30家团购网站参加了全国整规办和国资委开展的行业信用评价工作,并获得A级以上信用等级。
6、奇虎360和腾讯QQ纷争
9月起,奇虎360公司与腾讯QQ关于用户隐私的“口水战”时有发生,并在11月双方矛盾骤然升级。该事件关系到数亿网民的用户隐私权、知情权和选择权,在国内整个互联网界引起了一场轩然大波。
该事件引发了社会各界人士对互联网安全、用户合法权益和企业社会责任等问题的忧虑和思考,也引起了互联网专家、行业协会和政府主管部门对互联网行业的法律法规、商业伦理和诚信自律的空前关切。
7、天线视频6名高管因涉嫌侵权盗版被捕
2010年11月30日,北京市朝阳区检察院以涉嫌侵犯著作权罪批准逮捕了天线视频法人代表、总裁及其公司其他高管6人。该公司在未经相关权利人许可的情况下,擅自经营视频点播服务,其在影视节目中嵌入广告违法所得收入高达数千万元。
这是迄今为止国内互联网和版权行业涉嫌侵犯著作权最严重的案件之一,社会反响很大。
8、唐骏“学历造假”风波
7月初,科普作家、著名学术打假人士方舟子通过自己微博连续发文,质疑中国“打工皇帝”、前微软中国总裁唐骏在其自传中所描述的论文、学历、以及数项发明专利、海外创业经历等内容涉嫌造假。该风波引发了社会各界的广泛关注,掀起了“重视诚信,自查自纠”的。
微博作为新兴的极具影响力的网络传播手段,将进一步发挥网民的社会监督作用。
9、伊利“QQ星儿童奶”遭网络恶意攻击事件
警方证实:7月14日,蒙牛“未来星”品牌经理为了谋求不正当利益,雇佣北京一家公关顾问公司,利用互联网制造针对伊利“QQ星儿童奶”有关性早熟的虚假信息,以不同身份故意歪曲事实,煽动网民情绪,对竞争对手有预谋地进行攻击和诽谤。
网络日益融入现实社会,已经成为民众表达意见和获取信息的重要渠道。因此,为了防止网络沦为某些公关公司和利益集团的私有工具,从法律和制度上对互联网进行有效监管成为当务之急。
10、网络论坛曝浙江多家医院收受回扣
3月5日,浙江温州多个论坛曝出温州医学院《附二医60多位医生涉嫌受贿》帖子,引起网民的高度关注。
20多年来,我国互联网发展取得的显著成就中,包括一批技术方面的成就。目前,在世界互联网企业前10强中,我们占了4席。在第二届世界互联网大会期间,我去看了“互联网之光”博览会,来自全球的250多家企业展出的1000多项新技术新成果中,我们也占了不少,这令人高兴。同时,我们也要看到,同世界先进水平相比,同建设网络强国战略目标相比,我们在很多方面还有不小差距,特别是在互联网创新能力、基础设施建设、信息资源共享、产业实力等方面还存在不小差距,其中最大的差距在核心技术上。
互联网核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的“命门”掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。我们要掌握我国互联网发展主动权,保障互联网安全、国家安全,就必须突破核心技术这个难题,争取在某些领域、某些方面实现“弯道超车”。
核心技术要取得突破,就要有决心、恒心、重心。有决心,就是要树立顽强拼搏、刻苦攻关的志气,坚定不移实施创新驱动发展战略,把更多人力物力财力投向核心技术研发,集合精锐力量,作出战略性安排。有恒心,就是要制定信息领域核心技术设备发展战略纲要,制定路线图、时间表、任务书,明确近期、中期、远期目标,遵循技术规律,分梯次、分门类、分阶段推进,咬定青山不放松。有重心,就是要立足我国国情,面向世界科技前沿,面向国家重大需求,面向国民经济主战场,紧紧围绕攀登战略制高点,强化重要领域和关键环节任务部署,把方向搞清楚,把重点搞清楚。否则,花了很多钱、投入了很多资源,最后南辕北辙,是难以取得成效的。
什么是核心技术?我看,可以从三个方面把握。一是基础技术、通用技术。二是非对称技术、“杀手锏”技术。三是前沿技术、颠覆性技术。在这些领域,我们同国外处在同一条起跑线上,如果能够超前部署、集中攻关,很有可能实现从跟跑并跑到并跑领跑的转变。我国网信领域广大企业家、专家学者、科技人员要树立这个雄心壮志,要争这口气,努力尽快在核心技术上取得新的重大突破。正所谓“日日行,不怕千万里;常常做,不怕千万事”。
我国信息技术产业体系相对完善、基础较好,在一些领域已经接近或达到世界先进水平,市场空间很大,有条件有能力在核心技术上取得更大进步,关键是要理清思路、脚踏实地去干。
第一,正确处理开放和自主的关系。互联网让世界变成了地球村,推动国际社会越来越成为你中有我、我中有你的命运共同体。现在,有一种观点认为,互联网很复杂、很难治理,不如一封了之、一关了之。这种说法是不正确的,也不是解决问题的办法。中国开放的大门不能关上,也不会关上。我们要鼓励和支持我国网信企业走出去,深化互联网国际交流合作,积极参与“一带一路”建设,做到“国家利益在哪里,信息化就覆盖到哪里”。外国互联网企业,只要遵守我国法律法规,我们都欢迎。
现在,在技术发展上有两种观点值得注意。一种观点认为,要关起门来,另起炉灶,彻底摆脱对外国技术的依赖,靠自主创新谋发展,否则总跟在别人后面跑,永远追不上。另一种观点认为,要开放创新,站在巨人肩膀上发展自己的技术,不然也追不上。这两种观点都有一定道理,但也都绝对了一些,没有辩证看待问题。一方面,核心技术是国之重器,最关键最核心的技术要立足自主创新、自立自强。市场换不来核心技术,有钱也买不来核心技术,必须靠自己研发、自己发展。另一方面,我们强调自主创新,不是关起门来搞研发,一定要坚持开放创新,只有跟高手过招才知道差距,不能夜郎自大。
我们不拒绝任何新技术,新技术是人类文明发展的成果,只要有利于提高我国社会生产力水平、有利于改善人民生活,我们都不拒绝。问题是要搞清楚哪些是可以引进但必须安全可控的,哪些是可以引进消化吸收再创新的,哪些是可以同别人合作开发的,哪些是必须依靠自己的力量自主创新的。核心技术的根源问题是基础研究问题,基础研究搞不好,应用技术就会成为无源之水、无本之木。
第二,在科研投入上集中力量办大事。近年来,我们在核心技术研发上投的钱不少,但效果还不是很明显。我看,主要问题是好钢没有用在刀刃上。要围绕国家亟需突破的核心技术,把拳头攥紧,坚持不懈做下去。
第三,积极推动核心技术成果转化。技术要发展,必须要使用。在全球信息领域,创新链、产业链、价值链整合能力越来越成为决定成败的关键。核心技术研发的最终结果,不应只是技术报告、科研论文、实验室样品,而应是市场产品、技术实力、产业实力。核心技术脱离了它的产业链、价值链、生态系统,上下游不衔接,就可能白忙活一场。
科研和经济不能搞成“两张皮”,要着力推进核心技术成果转化和产业化。经过一定范围论证,该用的就要用。我们自己推出的新技术新产品,在应用中出现一些问题是自然的。可以在用的过程中继续改进,不断提高质量。如果大家都不用,就是报一个课题完成报告,然后束之高阁,那永远发展不起来。
第四,推动强强联合、协同攻关。要打好核心技术研发攻坚战,不仅要把冲锋号吹起来,而且要把集合号吹起来,也就是要把最强的力量积聚起来共同干,组成攻关的突击队、特种兵。我们同国际先进水平在核心技术上差距悬殊,一个很突出的原因,是我们的骨干企业没有像微软、英特尔、谷歌、苹果那样形成协同效应。美国有个所谓的“文泰来”联盟,微软的视窗操作系统只配对英特尔的芯片。在核心技术研发上,强强联合比单打独斗效果要好,要在这方面拿出些办法来,彻底摆脱部门利益和门户之见的束缚。抱着宁为鸡头、不为凤尾的想法,抱着自己拥有一亩三分地的想法,形不成合力,是难以成事的。
一些同志关于组建产学研用联盟的建议很好。比如,可以组建“互联网+”联盟、高端芯片联盟等,加强战略、技术、标准、市场等沟通协作,协同创新攻关。可以探索搞揭榜挂帅,把需要的关键核心技术项目张出榜来,英雄不论出处,谁有本事谁就揭榜。在这方面,既要发挥国有企业作用,也要发挥民营企业作用,也可以两方面联手来干。还可以探索更加紧密的资本型协作机制,成立核心技术研发投资公司,发挥龙头企业优势,带动中小企业发展,既解决上游企业技术推广应用问题,也解决下游企业“缺芯少魂”问题。
正确处理安全和发展的关系
网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。我们一定要认识到,古往今来,很多技术都是“双刃剑”,一方面可以造福社会、造福人民,另一方面也可以被一些人用来损害社会公共利益和民众利益。从世界范围看,网络安全威胁和风险日益突出,并日益向政治、经济、文化、社会、生态、国防等领域传导渗透。特别是国家关键信息基础设施面临较大风险隐患,网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击。这对世界各国都是一个难题,我们当然也不例外。
面对复杂严峻的网络安全形势,我们要保持清醒头脑,各方面齐抓共管,切实维护网络安全。
第一,树立正确的网络安全观。理念决定行动。当今的网络安全,有几个主要特点。一是网络安全是整体的而不是割裂的。在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系。二是网络安全是动态的而不是静态的。信息技术变化越来越快,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。三是网络安全是开放的而不是封闭的。只有立足开放环境,加强对外交流、合作、互动、博弈,吸收先进技术,网络安全水平才会不断提高。四是网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼。五是网络安全是共同的而不是孤立的。网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。这几个特点,各有关方面要好好把握。
第二,加快构建关键信息基础设施安全保障体系。金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。“物理隔离”防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患。不出问题则已,一出就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。
第三,全天候全方位感知网络安全态势。知己知彼,才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了。
维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓“聪者听于无声,明者见于未形”。感知网络安全态势是最基本最基础的工作。要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制,把企业掌握的大量网络安全信息用起来,龙头企业要带头参加这个机制。
有专家反映,在数据开放、信息共享方面存在着部门利益、行业利益、本位思想。这方面,要加强论证,该统的可以统起来,发挥1+1大于2的效应,以综合运用各方面掌握的数据资源,加强大数据挖掘分析,更好感知网络安全态势,做好风险防范。这项工作做好了,对国家、对社会、对企业、对民众都是有好处的。
第四,增强网络安全防御能力和威慑能力。网络安全的本质在对抗,对抗的本质在攻防两端能力较量。要落实网络安全责任制,制定网络安全标准,明确保护对象、保护层级、保护措施。哪些方面要重兵把守、严防死守,哪些方面由地方政府保障、适度防范,哪些方面由市场力量防护,都要有本清清楚楚的账。人家用的是飞机大炮,我们这里还用大刀长矛,那是不行的,攻防力量要对等。要以技术对技术,以技术管技术,做到魔高一尺、道高一丈。
目前,大国网络安全博弈,不单是技术博弈,还是理念博弈、话语权博弈。我们提出了全球互联网发展治理的“四项原则”“五点主张”,特别是我们倡导尊重网络、构建网络空间命运共同体,赢得了世界绝大多数国家赞同。
人才是第一资源。古往今来,人才都是富国之本、兴邦大计。我说过,要把我们的事业发展好,就要聚天下英才而用之。要干一番大事业,就要有这种眼界、这种魄力、这种气度。
“得人者兴,失人者崩。”网络空间的竞争,归根结底是人才竞争。建设网络强国,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流,是难以成功的。念好了人才经,才能事半功倍。对我国来说,改革开放初期,资本比较稀缺,所以我们出台了很多鼓励引进资本的政策,比如“两免三减半”。现在,资本已经不那么稀缺了,但人才特别是高端人才依然稀缺。我们的脑子要转过弯来,既要重视资本,更要重视人才,引进人才力度要进一步加大,人才体制机制改革步子要进一步迈开。网信领域可以先行先试,抓紧调研,制定吸引人才、培养人才、留住人才的办法。
互联网是技术密集型产业,也是技术更新最快的领域之一。我国网信事业发展,必须充分调动企业家、专家学者、科技人员积极性、主动性、创造性。我早年在正定县工作时,为了向全国一流专家学者借智,专门聘请华罗庚等专家学者给我们县当顾问,有的亲自到正定指导工作。企业家、专家学者、科技人员要有国家担当、社会责任,为促进国家网信事业发展多贡献自己的智慧和力量。各级党委和政府要从心底里尊重知识、尊重人才,为人才发挥聪明才智创造良好条件,营造宽松环境,提供广阔平台。
互联网主要是年轻人的事业,要不拘一格降人才。要解放思想,慧眼识才,爱才惜才。培养网信人才,要下大功夫、下大本钱,请优秀的老师,编优秀的教材,招优秀的学生,建一流的网络空间安全学院。互联网领域的人才,不少是怪才、奇才,他们往往不走一般套路,有很多奇思妙想。对待特殊人才要有特殊政策,不要求全责备,不要论资排辈,不要都用一把尺子衡量。
关键词:网络安全 风险评估 方法
1网络安全风险概述
1.1网络安全风险
网络最大的特点便是自身的灵活性高、便利性强,其能够为广大网络用户提供传输以及网络服务等功能,网络安全主要包括无线网络安全和有线网络安全。从无线网络安全方面来看,无线网络安全主要是保证使用者进行网络通话以及信息传递的安全性和保密性,其能否保证使用者的通话不被窃听以及文件传输的安全问题都是当前研究的重要课题,由于无线网络在数据存储和传输的过程之中有着相当严重的局限性,其在安全方面面临着较大的风险,如何对这些风险进行预防直接关乎着使用者的切身利益。想要对无线网络安全进行全面正确的评估,单纯的定量分析法已经不能够满足当前的需求,因此,本文更推荐将层次分析法和逼近思想法进行双重结合,进一步对一些不确定因素进行全面的评估,确保分析到每一个定量和变量,进一步计算出当前无线网络的安全风险值。而对于有线网络,影响其安全风险的因素相对较少,但是依然要对其进行全面分析,尽最大可能得到最准确的数值。
1.2网络安全的目标
网络安全系统最重要的核心目标便是安全。在网络漏洞日益增多的今天,如何对网络进行全方位无死角的漏洞安全排查便显得尤为重要。在网络安全检测的各个方面均有着不同的要求,而借助这些各方面各个层次的安全目标最终汇集成为一个总的目标方案,而采取这种大目标和小目标的分层形式主要是为了确保网络安全评估的工作效率,尽最大可能减少每个环节所带来的网络安全风险,从而保证网络的合理安全运行。
1.3风险评估指标
在本论文的分析过程之中,主要对风险评估划分了三个系统化的指标,即网络层指标体系、网络传输风险指标体系以及物理安全风险指标体系,在各个指标体系之中,又分别包含了若干个指标要素,最终形成了一个完整的风险评估指标体系,进而避免了资源的不必要浪费,最终达到网络安全的评估标准。
2网络安全风险评估的方法
如何对网络风险进行评估是当前备受关注的研究课题之一。笔者结合了近几年一些学者在学术期刊和论文上的意见进行了全面的分析,结合网络动态风险的特点以及难点问题,最终在确定风险指标系统的基础上总结出了以下几种方法,最终能够保证网络信息安全。
2.1网络风险分析
作为网络安全第一个环节也是最为重要的一个环节,网络风险分析的成败直接决定了网络安全风险评估的成败。对于网络风险进行分析,不单单要涉及指标性因素,还有将许多不稳定的因素考虑在内,全面的彻底的分析网络安全问题发生的可能性。在进行分析的过程之中,要从宏观和微观两个方面进行入手分手,最大程度的保证将内外部因素全部考虑在内,对网络资产有一个大致的判断,并借此展开深层次的分析和研究。
2.2风险评估
在网络安全风险评估之中,可以说整个活动的核心便是风险评估了。网络风险的突发性以及并发性相对其他风险较高,这便进一步的体现了风险评估工作的重要性。在进行风险评估的过程之中,我们主要通过对风险诱导因素进行定量和定性分析,在此分析的基础上再加以运用逼近思想法进行全面的验证,从而不断的促进风险评估工作的效率以及安全性。在进行风险评估的过程之中,要充分结合当前网络所处的环境进行分析,将工作思想放开,不能拘泥于理论知识,将实践和理论相结合,最终完成整个风险评估工作。
2.3安全风险决策与监测
在进行安全风险决策的过程之中,对信息安全依法进行管理和监测是保证网络风险安全的前提。安全决策主要是根据系统实时所面对的具体状况所进行的风险方案决策,其具有临时性和灵活性的特点。借助安全决策可以在一定程度上确保当前的网络安全系统的稳定,从而最终保证风险评估得以平稳进行。而对于安全监测,网络风险评估的任何一个过程都离不开安全检测的运行。网络的不确定性直接决定了网络安全监测的必要性,在系统更新换代中,倘若由于一些新的风险要素导致整个网络的安全评估出现问题,那么之前的风险分析和决策对于后面的管理便已经毫无作用,这时候网络监测所起到的一个作用就是实时判断网络安全是否产生突发状况,倘若产生了突发状况,相关决策部门能够第一时间的进行策略调整。因此,网络监测在整个工作之中起到一个至关重要的作用。
3结语
网络安全风险评估是一个复杂且完整的系统工程,其本质性质决定了风险评估的难度。在进行网络安全风险评估的过程之中,要有层次的选择合适的评估方法进行评估,确保风险分析和评估工作的有序进行,同时又要保证安全决策和安全检测的完整运行,与此同时,要保证所有的突发状况都能够及时的反映和对付,最终确保整个网络安全的平稳运行。
参考文献
[1]程建华.信息安全风险管理、评估与控制研究[D].吉林大学,2008.
[2]李志伟.信息系统风险评估及风险管理对策研究[D].北京交通大学,2010.
[3]孙文磊.信息安全风险评估辅助管理软件开发研究[D].天津大学,2012.
[论文关键词]不正当竞争行为;网络环境;市场竞争秩序
一、网络不正当竞争行为的内涵和特点
我国《反不正当竞争法》规定:“本法所称的不正当竞争,是指经营者违反本法规定,损害其他经营者的合法权益,扰乱社会经济秩序的行为。”笔者认为网络不正当竞争行为是不正当竞争行为的一种,是指发生在网络环境中的,经营者违反《反不正当竞争法》的规定,损害其他经营者的合法权益,扰乱网络及社会经济秩序的行为。网络不正当竞争行为是发生在特定领域内的不正当竞争行为,具有如下特点:
第一,行为更加隐蔽,界限更加模糊。由于互联网本身的虚拟性以及网络用户身份的匿名性,不正当竞争的经营者更加肆无忌惮,不通过专业的技术手段,网络不正当竞争行为很难被发现,也难以继续追查行为人,并且对网络不正当竞争行为的调查取证也比较困难。此外,由于法律规定的空白,发生了网络不正当竞争行为时只能将《反不正当竞争法》中的不正当竞争行为扩大解释加以适用,这就导致了网络环境下的不正当竞争行为概念的模糊性。
第二,领域更加广阔,方法更加多样。在互联网领域,经营者实施不正当竞争行为的成本相对于实体市场大大下降,只需要通过虚拟的网络技术手段达到侵害竞争对手合法权益的目的;此外,由于在互联网环境下经营者实施不正当竞争行为的成本更加低廉,曾经一些由于担心成本太高而不能实施的不正当竞争行为现在可以通过网络来完成,因此适用的领域当然也就相应地扩大了。
第三,法律适用上具有特殊性。网络环境下的不正当竞争行为在本质上仍然是不正当竞争行为,因此对其进行监管和约束应依据《反不正当竞争法》的规定。但是,在规制网络环境下的不正当竞争行为时要在依据《反不正当竞争法》的同时,处理好该法与《商标法》、《著作权法》、《专利法》、《广告法》等相关法律法规的竞合问题,同时注意法律规范的不断更新完善和体系的完整性。
二、我国对网络不正当竞争行为法律规制的现状及问题
(一)立法现状及问题
对于网络上的不正当竞争行为,我国一方面是根据《反不正当竞争法》、《商标法》、《广告法》等法律进行规范,另一方面,近几年来,我国加大了对网络监管的力度,加快了这方面相关法律法规的出台、实施的步伐,相继颁布了一些规制网络不正当竞争的专门法律、司法解释。由于网络不正当竞争行为的特殊性与复杂性,我国在处理网络环境下不正当竞争行为的立法方面主要存在以下问题:
首先,立法主体多,效力层次低,缺乏权威性、系统性和协调性。目前我国规制网络不正当竞争行为的法律规范中,除了《关于维护互联网安全的决定》属于法律外,其余都是行政法规和规章,最直接和最具体地规制网络不正当竞争行为的几部都是最高法的司法解释。这种多头立法、立法层次低的情况,导致了许多法律文件缺乏权威性,不利于对泛滥的互联网不正当竞争行为进行有力地打击。
其次,立法严重滞后,许多方面存在着法律规定的空白。滞后性是法律的固有缺陷,但是这些法律的滞后严重阻碍了经济的发展,我们有必要尽快加以修订。作为“市场经济宪法”的《反不正当竞争法》是在我国市场经济体制建立初期制定的,可是随着网络经济的迅猛发展,其对于网络中新出现的现象的概念定义不具体、范围划定不明确,这导致了法律的规定大多是原则性的规定,执法机关没有明确的执法依据,这就使得法律失去了实际意义。
最后,立法程序缺乏民主参与,是否能切实保护市场主体的利益受到质疑。目前我国大部分的网络不正当竞争相关立法都是属于部门机关立法,此类立法程序主要依据国务院制定的《行政法规制定程序条例》和《规章制定程序条例》的规定,这种由行政机关自己设定立法程序再进行行政立法的现象显然不符合法律制定的基本精神,由此引发的一系列弊端,容易导致行政机关执法程序的不合理,妨碍行政相对人法律权益的及时有效实现。
(二)执法现状及问题
执法方面存在的问题主要有:
首先,执法机构的设置不合理。根据我国《反不正当竞争法》的规定,我国对不正当竞争行为进行监督检查的部门主要是县级以上人民政府的工商行政管理部门。这种规定的弊端是十分明显的,这是因为工商行政管理机关缺乏独立性,它既要受上级机关的业务指导,又要服从同级地方人民政府的行政领导,难以保证其执法过程中不受地方政府的干扰和阻挠。
其次,工商行政机关对网络不正当竞争行为的监管具有无序性。这主要体现在工商部门对网络不正当竞争行为的监管层次不强,网络不正当竞争行为的实施者可能是具体的经营者,可能是网络运营商,也可能是网络推广的承办商、分包商等,而我国工商部门对网络不正当竞争行为的监管还未形成完整的体系,监管的层次性不强,造成了很多的监管空隙,让网络不正当竞争行为人有机可乘。
最后,监管时效性不强,巡查手段落后。网站的内容具有较强的时效性,大多数企业的网站经常更新,网络广告的更新更是时刻都在进行着。而目前的工商网络巡查的手段较为落后,更多的是依靠认为的“普遍撒网”式的搜索,即使一个基层工商所对辖区内的企业进行一次全方位的搜索巡查,耗费的时间和精力都是巨大的,这又造成了监管上很大的空隙的存在。
三、我国网络不正当竞争行为法律规制的发展与完善
(一)立法的发展与完善
传统的不正当竞争行为已有规定,网络环境下的不正当竞争行为却常常无“法”选择,网络环境下的不正当竞争行为本质上仍是不正当竞争行为,应受《反不正当竞争法》的规制,因此应主要补充和完善《反不正当竞争法》,辅之以其他相关法律法规的补充和完善。
1.对《反不正当竞争法》的补充和完善
第一,完善一般条款,增加例举条款。
重点在于一般条款的构建上。种种情况表明,我们有必要对互联网不正当竞争行为的概念作出明确的界定,并且这种界定要有可以合理的扩大适用的范围,例如有人将其定义为“利用不正当手段获取网络用户资源的行为”。并且注意《反不正当竞争法》的规制范围既要针对网络空间的特性,又要与传统法律相协调,在基本法学理念和法律规范的指导下进行修改。
互联网环境下的不正当竞争行为具有与传统实体市场竞争行为不同的新特点,由于相对细化的规定是为了增强法律的可操作性和针对性,毕竟执法者和司法人员还是习惯于在法律中寻找具体的明确条款,同时对经营者也是一种明确的指导。因此,法律有必要增加若干条文将一些实践中常见的网络不正当竞争的表现例举出来,这样可以方便司法机关和普通民众加以认定、适用。
第二,完善对法律责任的规定。
这部分主要是针对加重对侵权人的法律责任和增加网络服务提供商的义务来说的。根据《反不正当竞争法》的规定,不正当竞争行为当事人所承担的法律责任可分为民事责任、刑事责任和行政责任三种,而该法中规定的民事责任又多是一般民事责任。但是这种采用一般民事责任的做法,仅是让当事人无利可图,目前已明显不足以震慑不正当竞争行为人。所以,应考虑对恶性严重的不正当竞争行为,从法律上规定其承担“加重民事责任”或“惩罚性民事责任”,并明确加重或惩罚赔偿的幅度,以利于保护其合法权益,保护其与不正当竞争行为斗争的积极性。
2.辅的立法对策
当务之急是由最高人民法院在总结审判经验的基础上出台关于网络经济中不正当竞争行为法律适用的司法解释,以应付当前日益增多的纠纷与诉讼,改变法律适用混乱的局面,促进法律理解与适用的统一。
此外由于网络的特殊性,有必要制定新的专门的法律,在制定新的法律的过程中可以借鉴外国法的相关经验,如美国1996年通过了《经济间谍法》,1997年通过了《电子通信隐私权保护法》,德国1996年制定了《信息和通信服务规范法》,法国的《互联网络(草案)》,都可以为我国所借鉴,制定保护网络竞争当事人商业秘密的《商业秘密法》,及更好地管理和服务于网络环境的《网络信息服务规范法》等等。
(二)执法的发展与完善
要规范行政执法机关的执法行为,完善执法机构,强化司法部门对竞争秩序的司法审查和法律引导。现代世界各大国都有专门的反不正当竞争的执法机构,并赋予其准司法权,独立从事反不正当竞争的执行活动,与一般的行政机关有所区别。对此我国可以加以借鉴外国的做法,赋予专门执法机关以准司法权力,可以使其能够主动地对危害社会公共利益的不正当竞争行为,进行有效地监控和干预,并作出具有强制执行效力的禁令和裁决。
【关键词】 招生安全 网上录取 网络招生
网上录取是近年来高校招生的主要方式,是考生、家长、中学以及社会各方面普遍关注的热点问题。网上录取的录取选拔工作全部依托互联网平台,这种全新的人才选拔方式,不仅增强了招生录取选拔工作的透明性,减少了录取期间人为因素的干扰,在很大程度上节省了资本,并且使人力、物力和财力的损耗得到降低。
但是,在信息技术、互联网技术给高校招生网上录取工作带来优越和便利的同时,我们也应该看到借助互联网平台进行招生网上录取的的缺陷。网络的_放性、互联性特征,容易被一些黑客和不法分子利用,对录取系统进行攻击,而录取系统一旦感染病毒会导致敏感数据的泄露。高考数据的泄露不仅影响考生一生的命运,对高校的声誉造成严重影响,严重的还会引起社会动荡,因此高校招生网上录取工作的安全性至关重要。
一、网上录取
网上录取,即首先省高校招生办公室将考生的电子档案通过网络传给有招生计划的院校,其次有招生计划的院校通过院校子系统下载考生的电子档案并根据学校的招生章程对学生电子档案进行审阅,决定录取或退档,最后高校通过院校子系统把录取结果发送给省高校招生办公室进行审核。目前大部分高校进行网上录时都采取分布式模式(C/S),即客户端/服务器模式。所谓C/S,即数据库存放在远程的服务器端,客户机如果要访问远程数据,需要在本地安装相应的客户端软件。用户如果需要访问服务器上的数据,需要先通过客户端向服务器端发出请求信号,服务器端收到请求信号后再将请求数据发送给客户端,客户端再将得到的数据发送给用户。
二、招生网上录取安全方面存在的问题
2.1招生录取工作人员安全意识淡薄
一些高校招生录取人员对录取安全的重要性尚缺乏一定的认识,录取数据安全保密意识淡薄,比如密码设置过于简单,长期使用同一密码,更改密码时与之前使用密码相似、某些重要信息随意存放等等问题,这些问题的出现主要因为录取工作人员缺乏数据安全意识,对网络安全环境重视程度不够,容易成为不法分子攻击的对象,导致录取数据的泄露。
2.2校园网平台存在安全漏洞
招生录取主要依托学校校园网,校园网网络配置环境并不严格,管理也比较宽松,因此容易受到外网、病毒、黑客的攻击,另外,由于网络中使用的设备复杂,包括各种路由器、交换机等,如果这些设备规则设置不当也容易造成安全隐患。另外,校园网的受众对象为大学生,而大学生对网络新技术充满好奇,有可能会尝试一些攻击技术,从而对校园网络构成威胁。
2.3录取客户端系统存在一定漏洞
高校进行网上录取,一般是高校负责招生的人员在指定的电脑上安装录取的相关软件,然后登陆省招办服务器进行数据通信。但是任何硬件或者软件都不是百分百安全的,都多少存在一些安全漏洞,而这些漏洞很容易被不法分子利用,从而破坏系统的安全性,导致重要信息的泄露。
三、提高网络录取工作安全的对策建议
3.1管理与技术联手
由于现在已经到了万物互通的网络时代,只有管理者的有效监督、执行人员的安全意识全面提高才能确保网上招生录取数据的安全性。校园网的网络架构,服务器的设置等都是网上招生录取顺利进行的前提,而这些前提条件必须要立足于高标准严要求的管理。进行网上招生录取,与各省招办进行数据通信时,系统会提示用户输入用户名和密码,为了确保数据安全,进行网上招生录取的客户端机器也需要设置密码,并且不要为了省事,使用相同密码。录取现场的数据都是机密数据,如果网上招生录取人员的安全意识没有到位,私自泄露密码,泄露招生数据等行为会给整个高校招生带来不可预测的风险,因此一定要做到人人知道数据安全、人人懂得数据安全,制定明确的管理标准,指出什么行为可以做,什么行为不可以做,使管理和技术有效结合,全校配合,降低网络招生录取安全风险。
3.2配置良好的物理工作环境
1、配备独立工作场所。一般情况下,各个院校不会只针对一个省份招生,而是会在全国很多省份都有招生需求,但各个省份的录取时间是交汇在一起的,且录取情况并不相同,有些省份录取程序简单,有些省份可能需要多批次录取才能完成录取工作,因此需要经常需要在各个省份之间进行计划协调,同时各个省份在录取结束之后,还需要后期的一些数据处理,所以需要为招生录取配备专门的工作场所并配备完备的办公设备。招生现场应与其他办公室隔离,杜绝其他与招生无关人员进出,应有保安现场看守,招生现场要配备UPS电源,保证特殊情况发生时,办公场所的电子设备尤其是计算机能够正常供电,以免延误了录取时间。
2、客户端配置正规安全。进行招生录取的各台主机要统一进行安全配置,安装正版操作系统,只安装与招生有关的应用软件,避免默认安装,禁用不需要的服务,使网络上的其他主机无法访问本机的端口。各个客户端要安装正版杀毒软件,为了便于管理,建议安装统一的杀毒软件,定期更新病毒库、定期进行系统升级;电脑密码定期修改,禁止使用U盘等外设传递信息,避免客户端机器与其他机器共享文件,定期进行漏洞检测,最大限度的降低客户端漏洞给招生录取带来的风险。
3.3建立录取专用网络
1、物理隔离内、外网。尽管主机上安装了杀毒软件、启用了防火墙,但这些都是软件上的安全措施,为了保证数据的安全性,可以使用物理方式,将网络隔离成内网外网两个网络,具体做法是在每台客户端主板上安装物理隔离卡,同时在每个客户端上增加一块硬盘,采用控制硬盘及切换网线的方法,使只有一个硬盘对应于内外网中的一个网络,因为这种情况下,网络内外连接是完全分离的,并且两个网络之间没有公共信息存储,从而实现了客户端在内外网络之间真正的物理隔离。当需要进行网上招生录取的时候,招办人员访问内部网络,当需要在网络上查询资料时,访问外网,从而保证了数据的安全性。物理隔离内外网络只是一种被动的隔离,需要与其他网络安全手段一起使用,才能最大限度的确保数据的安全性。
2、建立网上招生录取专网。在校园内建立招生录取专网,采用三层网络架构,三层网络架构包括接入层、汇聚层、核心层三层。汇聚层是连接核心层和接入层的中介,在汇聚层可以完成各种Vlan之间的路由及源地址和目的地址之间的过滤,在汇聚层采用三层交换机,为每个虚拟局域网单独配置虚接口地址,并设定虚接口地址为该虚拟局域网的网关。在汇聚层采用路由类型的接口与核心层相连,缩小广播域,隔离招生专网与校园网之间的广播流量;将Vlan trunk接口与接入层相连,实现Vlan数据在各个交换机之间的数据通信。路由配置方面,采用静态路由,将汇聚层默认路由指向核心层,在作为核心层的边界路由器上,可以采取配置静态路由的方法,增加网络的安全性。
3.4结束语
升学对于寒窗苦读的广大学子来说是影响一生的大事,而网上招生录取的安全性关系到千千万万个家庭的切身利益。作为高校,需要高度重视网上招生录取安全的重要性,切实做好各个环节的安全保障工作,保证招生录取工作顺利进行,真正发挥网络招生录取的优势。
参 考 文 献
[1]黄向农 王海源 徐或.浅谈学校高考招生专网安全保障机制[J].信息安全与技术, 2012,3(12)
[2]周翔.VPN技术在校园网中的应用研究[学位论文]硕士 2009
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。超级秘书网
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
