发布时间:2023-01-02 12:13:39
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的信息网络样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
关键词:信息网络传输权 信息网络传播权 著作权
1“榕树下”网站侵犯信息网络传播权案
2004年在上海发生这么一起案件:上海榕树下计算机有限公司因在“榕树下全球中文原创作品网”上向公众提供《我不是天使》专辑下载和试听服务,被华纳国际音乐股份有限公司告上了法庭。上海市第二中级人民法院5月10日对此案作出一审判决:榕树下公司除了要在他们经营的“榕树下”网站上刊登致歉声明,还要为自己的侵权行为向华纳公司支付1.5万元赔偿款。早在2003年,华纳公司就发现在“榕树下”网站上可以试听或者下载《我不是天使》专辑。该专辑收录了那英演唱的《一笑而过》等10首歌曲。华纳公司认为“榕树下”网站没有经过自己的允许,就推出试听、下载服务,侵犯了他们录音制作者权中的网络传播权。榕树下公司解释说他们所提供的专辑下载是为了介绍评论部分音乐节目以及他们网上的部分原创中文作品,所以他们对该录音作品的使用应该属于法律规定的“合理使用”的情况。但由于“榕树下”网站提供的下载试听服务,事实上已经影响了华纳公司正常使用他们的录音制品,导致了他们在信息网络上传播该录音制品及发行该录音制品时,所获的合法收益可能减少,因此“榕树下”网站提供的下载试听服务不属于“著作权法”规定的合理使用。
根据法律规定,未经录音录像制作者的许可,复制、发行、通过信息网络向公众传播其制作的录音录像制品的系侵权行为。法院认定榕树下公司在“榕树下”网站上提供那英《我不是天使》专辑的下载试听链接,向公众传播华纳公司录音制品的行为,侵犯了华纳公司对该专辑的录音制品享有的信息网络传播权。这是一起关于信息网络传播权的侵权案,其中关键问题在于如何认识信息网络传播权。
2信息网络传播权的国际国内立法
2. 1信息网络传播权的国际立法
1996年12月20日,世界知识产权组织在日内瓦召开的会议上,通过了《世界知识产权组织版权条约》( WCT)和《世界知识产权组织表演和录音制品条约》( WPPT )。在WCT中第8条规定,文学和艺术作品的作者享有专有权,以授权将其作品以有线或无线的方式向公众传播,包括将其作品向公众提供,使公众的成员在其个人选定的地点和时间可以获得这些作品。WPPT第10条规定,表演者应当享有专有权,以授权通过有线或无线的方式向公众提供其录音制品,使该录音制品可为公众中的成员在其个人选定的地点和时间获得。从上述两个规定可以看出,比起伯尔尼公约,作者的权利已经有效地覆盖到网络空间。日本在1997年6月10日通过的著作权法修正案,规定著作权人就其作品应享有授权公开传输的专有权川。澳大利亚也提出了一个内容广泛的“向公众传输的权利”,既包括以任何通过接受装置观看或使用的方式向公众传播,也包括广播权和有线传播权。阁
世界知识产权组织两个版权条约中的“传输”,只包括“向公众”的传输,即向不特定对象的传输,对于诸如电子信箱的通信方式传输他人作品,不应属于传输权控制范围。至于通过Internet在某一企业或单位的专用网络内,向特定对象进行的传输,至少有一部分也应被排除在向“公众”传输之外。
所以,作者的网络传输权就是指作者所享有的将自己创作的作品上载到互联网服务器,或许可他人实施上述行为,供社会公众通过互联网选择和获得这些作品的权利。任何人不经授权许可,不得擅自将他人作品在网上传输。
2. 2信息网络传播权的国内立法
我国早在1991年的著作权法中规定了著作权人的权利包括人身权和财产权,但当时没有明确提出“信息网络传播权”的概念。在新《著作权法》中“信息网络传播权”的概念基本可算是“舶来品”,是两个“互联网条约”的翻版。信息网络传播权创设之前,尽管一些意见认为原著作权法的现有规定可以直接适用互联网上的侵权行为,或至少可以由现行法律中的“等”字来予以调整,但立法界并没有接纳这种意见。2001年《著作权法》最终选择了欧盟和两大“互联网条约”新增权利的模式,第一次公开赋予了著作权人信息网络传播权。新《著作权法》将1990年《著作权法》第10条规定的“作者财产权利”具体分解为17项权利,其中第12项增加并确立了“信息网络传播权”:以有线或者无线方式向公众提供作品,使公众可以在其个人选定的时间和地点获得作品的权利闹。由此可以看出,信息网络传播权有三个要件:“公众”,“自己选定的时间”,“自己选定的地点”。三要件缺一不可,否则就不符合信息网络传播权的概念,而应属于复制权或其他权利。对于“公众”的概念,应当可以理解为信息网络传播权只适用于广域网,不适用于局域网。因为局域网传播限定了作品接受者的地域范围,使其并不能在其个人选定的地点获得作品。科研院所、大专院校、企事业单位等在单位内部的网络共享资料是否侵犯信息网络传播权?这些问题尚待解决。
3我国信息网络传播权的性质认定
[关键词]信息网络传播权 信息网络获取权 利益平衡
[分类号]D923.4
版权法设立有两个目标:一是保护作者专有权,鼓励作品创作;二是促进作品传播,实现知识共享。随着技术的发展,版权法在模拟空间下实现的知识产权保护和信息共享(自由获取)两个目标的传统平衡无可奈何地在网络空间下被打破,或者说原有的内在不平衡因素被网络技术放大,表现为知识产权过度保护和公众获取信息权利受到诸多限制,引起了学术界对有关协调知识产权保护和信息资源共享关系论题的讨论。本文着眼于网络空间下的版权法领域,探讨信息网络传播权和信息网络获取权之间利益平衡,这样就既确保了两权概念外延的一致,又凸显了数字环境下版权问题焦点。
1 利益平衡原理
利益是指人们受客观规律制约,为满足生存和发展需要而产生的各种客观需求。社会由不同的利益主体所构成,形成了反映不同利益关系的利益体系和格局,由于利益诉求的多样性及社会资源的稀缺性,利益冲突成为普遍社会现象。然而社会还是能够在繁杂的利益冲突中不断前进,在于社会存在对利益冲突进行协调或平衡的机制,该机制通过以规范权利和义务为内容的法律来实现。利益平衡就是指在法律的调控下,各利益主体的权利相互作用而形成的相对和平共处、相对均衡的状态。不过利益平衡状态只具有暂时性,大部分时间里,权利之间处于冲突和失衡状态,追求利益平衡是个永恒的主题。
法律是相关利益方互相谈判、互相妥协达成一致并使相互权利义务制度化的结果。版权法就是一部通过设定版权人和公众的权利与义务来调节版权利益平衡的法律。由于权利义务的对立统一性,网络环境下版权人的权利和公众相应的义务体现为信息网络传播权,公众应有的权利和版权人须承担的义务体现为信息网络获取权,因此追求网络环境下版权法利益的平衡,实质就是确保信息网络传播权和信息网络获取权两权的利益平衡。
2 两权概念辨析
信息网络传播权指以有线或无线方式向公众提供作品、表演或者录音录像制品,使公众可以在其个人选定的时间和地点获得作品、表演或者录音录像制品的权利。信息网络传播权是知识产权保护为适应新技术发展而拓展新权能的重要体现,是法律为版权人在网络空间上设定的一种集合权利,“特指互联网络上版权人控制、利用作品的一种形式”。信息网络传播权调整范围一般包括上载、网络上对版权作品的复制、网站间转载、网络上对版权作品的传播、下载、署名及修改作品等7个方面内容。
信息网络获取权是指网络环境下公众自由获取信息的权利,不同于“信息公共获取权”概念。信息公共获取权是指信息主体有权依法定形式获得政府、国有企事业、图书馆等公共信息机构信息的权利。信息网络获取权和信息公共获取权的关键性区别:前者关注的是信息传输的环境是否是网络环境,并不刻意关注所获取的信息内容是公共信息还是私有信息;后者关注的是信息传输的内容是否是公共信息,并不对所获取信息的环境是网络环境还是模拟环境进行区分。信息网络获取权的实现有赖于创作共享制度、合理使用制度、法定许可制度、集体管理制度等制度的实施。
信息网络传播权和信息网络获取权的关系实质上是信息垄断(保护)与信息利用的关系,两者关系在实践操作中陷入了二难困境――“没有合法垄断就不会有足够的信息生产出来,但是有了合法的垄断又不会有太多的信息被利用”。目前我国两者利益关系的现状是:由于人们认识的偏差,致使信息网络传播权的过度扩张,本应可以利用网络技术在信息时代获得进一步发展的信息网络获取权却日益受到信息网络传播权的排挤,私人利益和公共利益之间利益格局由此产生失衡。把握信息垄断与信息利用的边界或尺度,构建两者的利益平衡机制,是改变利益关系现状,破解二难困境的关键,也是版权法的立法宗旨。
3 两权利益冲突分析
3.1 扩张性与萎缩性的冲突
传统版权法通过对版权人权利的保护与限制,较好解决了版权人与信息使用者之间的利益冲突。但随着网络时代的到来,权利人作品被大量地上载、下载和复制,使权利人无法控制自己的作品使用,原有平衡被打破。为更好保护版权人权利,各国纷纷修改版权法,或增设信息网络传输权或重新诠释复制权、发行权,信息网络传播权呈现不断扩张的趋势。然而与此同时,由于对新设的信息网络传播权的限制乏力,导致信息网络获取权权利内涵不断缩小,如《版权条约》、美国DMCA(《数字千年版权法案》)、欧盟《协调信息社会版权与相关权指令》以及我国《著作权法》中都有充分体现。2006年,我国颁布的《信息网络传播权保护条例》尽管在某些方面限制了信息网络传播权的适用,在一定程度上弥补了信息网络传播权和信息网络获取权的失衡缺陷,但离两权平衡机制的构建还有一定距离。
3.2 私有性与公益性的冲突
信息网络传播权隶属于知识产权,本质上属于私权,是版权法对互联网技术发展所带来挑战的回应,是版权不断扩张的体现。信息网络传播权具有个人财产权的性质,一旦经法律授予甚至是无需任何手续便可自动获得,成为一种绝对权,具有私有性。只有权利人自己才可以行使,其他任何人都负有尊重他人版权利益的义务。信息网络获取权属于公权,目标是实现信息资源的自由共享,促进知识自由,解决信息失衡和数字鸿沟。推进信息资源网络获取“可以最大限度地消除目前广泛存在的社会信息不对称、信息资源浪费和信息寻租现象,减少信息获取的社会成本”,信息网络获取权具有明显的公益性。
3.3 独占性与共享性的冲突
信息网络传播权的独占性表现在信息网络传播权人有权要求独占知识产品的各项权能,无法律规定或未经权利人许可,任何人不得使用权利人的知识产品。版权人的独占性是由版权人在创作作品时投入巨大的智力和财力而产生的,享有通过许可他人使用自己的作品来获得报酬的权利。信息网络获取的目的就是实现信息资源共享,变私有信息成为公共信息。信息网络获取权是各国法律普遍认可的人的一项基本权利,体现了社会成员共享社会发展成果的公共需求,可见共享性是信息网络获取权的内在属性。
4 两权利益平衡机制构建
4.1 理论原则:权利弱化与利益分享
目前知识产权理论面临一个悖论:一方面许多国家修订或重建知识产权法律规范,制定知识产权战略,
加强保护力度;另一方面,近年来西方国家兴起了知识产权怀疑论、反知识产权论和知识产权僵化论三股知识产权思潮,责难知识产权制度的强保护趋势,这使知识产权在理论研究、制度构建与实务运作诸方面朝着两个相反的方向发展。因此,有学者提出应采用“权利弱化与利益分享”理论来重构知识产权制度。
“权利弱化与利益分享”理论的基本含义是:除法律另有规定外,知识产权所有人有权从其受法律保护的作品中获取相应的利益;任何人未经知识产权所有人许可,擅自以营利目的利用其作品,权利所有人有权请求其赔偿损失,并依法享有请求该侵权行为人以合理条件与其签订知识产权许可使用合同;只有当该侵权行为人无正当理由拒绝以合理条件与知识产权所有人签订知识产权许可使用合同时,知识产权所有人才有权请求其停止侵害行为;但法律另有规定的或其它特别情形除外。该理论认为,知识产品的存在形式由以模拟空间为主变成以网络空间为主,这是传统知识产权理论(由禁止权加许可权构成)产生困境的根本原因。因为在传统模拟空间,知识产权所有人对其知识产品相对具有可控制力,而在网络空间,这种可控制力要减弱许多,以至权利虚化,所以以利益分享理论为基础重构知识产权制度,将是保护网络空间知识产权最有效的形式。
4.2 管理模式:创作共享与优化授权
创作共享(creative commons)是在传统公有领域理论基础上的改进,是网络上数字作品的许可授权机制,允许任何人在不需要经过特别许可或付费的情况下,去复制使用或再创造,形成演绎作品,目的在于让任何创造性作品都有机会被更多人分享和再创造,共同促进人类知识作品在其生命周期内产生最大价值。创作共享机制是实现信息网络传播权与信息网络获取权之间利益平衡最理想的管理模式。尽管其前景很美好,但由于大多数作品并未加入该共享协议,作品的海量许可困境还是会困扰公众自由获取知识,因此,有必要优化作品授权使用机制。数字时代作品授权方式主要有授权要约、版权补偿金、交叉许可、集体管理等,其中集体管理方式尤为重要,几乎所有的版权授权模式都离不开集体管理组织的参与。
目前我国版权集体管理还很不完善,虽成立或筹备成立中国音乐著作权协会、中国文字作品著作权协会等诸多集体管理组织,实行会员制管理,但较为散乱,不仅不具有充分的代表性,而且还未很好地运转起来。鉴于此,应继续完善我国版权集体管理制度:一是借鉴国外经验,完善管理模式。如借鉴北欧国家实行的“扩展性集体管理”,图书馆可以获得该机构管理作品领域内的非会员已经发表作品的许可使用权;借鉴法国在1995年推行的“强制性集体管理”,版权人不管是会员还是非会员,只能通过版权集体管理组织行使权利;借鉴意大利的垄断式管理,全国只建立一个可以管理所有作品类型的综合性的集体管理组织。二是实现我国版权集体管理的数字化。采纳最新数字技术,开发版权管理信息系统,构建版权权利信息的集中管理系统,建立统一的版权权利信息查询平台,为公众提供查询版权集体管理组织成员的版权权利信息服务。
4.3 法律保障:扩张与限制
在几百年的社会历程中,随着技术发展和社会进步,知识产权私权保护总的趋势是保护范围越来越大,保护水平越来越高,以激励更多的知识创造。版权法的扩张是技术发展给版权人带来利益损失的法律补救措施和利益补偿机制。由于技术的发展,一方面版权作品市场规模被扩大,制作复制品的边际成本下降;另一方面作品需求也被放大,作品的潜在市场价值增强,作品传播成本的降低和市场价值的增强导致版权人利益失控,加大了版权保护的需要,促进版权不断扩张。版权法的扩张表现为版权权能的扩张、版权客体的扩张、版权期限的扩张、对个人性使用限制的增强等几方面,信息网络传播权的设立就是版权权能在新技术条件下的扩张。
尽管版权的扩张不可避免地要以牺牲公众对版权作品的接近为代价,但这种代价应控制在一定限度内,即版权扩张应受到限制,否则将构成不适当的版权扩张和作品垄断,从而会使作者激励和公众接近之间处于失衡状态。目前我国信息网络传播权和信息网络获取权利益失衡产生的原因是信息网络传播权的过度扩张,完善合理使用制度和法定许可制度是限制信息网络传播权,扩充信息网络获取权,维持“两权”利益平衡的重要方面。
完善合理使用制度。合理使用制度是版权相关权利人的利益平衡器。网络的发展使得作品复制和传播轻而易举,版权人权利无法得到有效保障,于是各国纷纷修改著作权法,以重构合理使用制度。重构模式有因素主义(以美国为代表)和规则主义(以德国为代表)两种模式,各有优缺点:因素主义模式具有灵活性和概括性,但容易造成司法实践的混乱;规则主义模式具有稳定性和规范性,但易造成立法的滞后。我国采取的是规则主义模式,版权法规对合理使用只采取列举式条款,缺少对合理性作统一判断的原则性标准,限制了其适用范围。我国应吸收因素主义模式优点,采用原则、要素、规则三者相结合的立法模式:以利益平衡为总体原则,借鉴四要素为标准,制定适用合理使用的具体规则。
优化法定许可制度。法定许可的实质在于将版权中的一些绝对权降格成为一种获得合理报酬的权利,从而在作者的排他性权利和公众的合理使用之间构建一种中间制度。然而立法者出于种种担心,目前我国版权法规并没有明确规定传统文献数字化和图书馆等馆舍外信息网络传播的法定许可制度,只就网络传播方面规定了实施远程教育和扶助贫困的法定许可,限制了信息网络获取权。其实我们可以在制度范畴内从多方面优化法定许可制度,化解以上担心:①完善作品使用人付酬制度,制定统一的付酬标准,建立例外协商付酬制度,构建对不依法付酬行为的制裁制度,在诉讼时效适用方面作出有利于著作权人的认定。②适度引进版权补偿金制度,减轻图书馆等公共知识机构背负的沉重经济负担,从而平衡多方利益,优化配置版权资源,体现效率价值。
4.4 技术措施:发展与规避
技术措施是权利人为了防止他人非法接触或使用其作品而采取的技术手段,是在网络空间重新分配权利义务、维持网络传播者和社会公众之间利益平衡的产物。技术措施保护已逐渐被各国著作权法所接受并被有关国际公约所肯定,如WCT第11条、WPPT第18条、欧盟《著作权指令》第6条、美国DMCA第1201条等都明确规定了对技术措施的法律保护。我国《著作权法》第47条、《信息网络传播权条例》第5条、18条和19条规定了故意规避或破坏技术措施的,应承担相应的法律责任。“这种将技术引入法律、司法,创立一种新的利益平衡机制,以保护一种新型权利,既反映了版权发展的必要,也反映了版权保护的进步”。
技术保护措施的广泛实施,一方面有效保证了不断受到网络版权侵扰的版权人的利益;但另一方面,随着技术措施的过度保障,合理使用制度受到进一步冲击,信息网络获取途径受到更多限制,从而打破在模拟环境下版权法建立的有关信息网络传播权和信息网络获取权之间的传统平衡,表现为:①违反了公众有权依法对作品进行合理使用的原则。网络空间上的技术壁垒在控制他人对作品的非法接触的同时也妨碍了公众对该作品的合理使用,如果被采取技术措施的作品仅仅以数字化形式存在,而用户又没有其他合法途径获得该作品时,技术措施会使得公众合理使用该作品存在严重障碍。②违反了思想、事实以及进入公有领域的作品不受版权法保护的原则。技术保护措施与启封许可证或在线许可协议的使用能够用于全面阻止公众对作品不符合版权人意愿的使用。由于无从接近版权作品,公众对不受保护的思想、事实或者进入公有领域的作品等也无从接近,版权法公共领域受到侵蚀。
的发展给带来了无尽的挑战,技术始终是促进版权制度发展的催化剂,数字技术为作品复制和传播带来的进步性,就如同四大发明的印刷术相比手工抄写一样的深刻和明显。 是数字网络技术的进步性给著作权法带来了全面而深刻的冲击,信息网络传播权由此而得以产生。
回顾著作权法发展历史,自英国1710年的安娜法案始,著作权法历经印刷技术、广播电视技术和数字技术的三次重大飞跃。 数字技术是通讯技术、微技术和计算机技术的总称,迄今为止,经过三个发展阶段。七十年代中期,个人计算机发展起来,进入数字技术的第一阶段。著作权领域最先讨论的是,个人计算机上的目标程序是不是著作权保护的客体,以及操作系统、用户界面、数据库、反向工程、电子游戏的著作权保护问题。八十年代中期,多媒体技术和数据库得到发展,进入数字技术的第二阶段,多媒体产品和数据库是不是著作权意义上的作品开始成为著作权界讨论的热门话题。这时多媒体技术尚未与网络技术结合。九十年代以后,多媒体技术与计算机网络技术结合,数字技术发展开始进入第三个阶段。数字通讯网络的成功不仅仅取决于技术硬件设施,而且取决于作品及其相关信息等组成的通信内容, 即数字化的文字作品和作品、电影作品、软件、多媒体、数据库,等等,可以通讯内容的网络就如同没有灵魂的躯壳。数字技术在网络上的,使得通过计算机网络能把作品讯捷、方便、廉价、容量惊人而且质量几乎完美地从一个地方送到另一个地方。可以使公众中的成员在个人选择的地点和时间获得作品。在交互性传输中,信息传输的范围、程度及信息的使用方式是由信息的发送者和接收者双方共同决定。这给网络传播中的著作权保护带来了前所未有的挑战。版权制度与技术发展之间存在微妙的互动关系,每当有一次技术突破的时候,版权制度总是要或迟或早地作出反应。 纵观著作权法的历史沿革,,著作权法始终处于对科学技术的挑战予以应战的过程中。如何规范作品在互联网上的传播行为,保护著作权人的权利,而不致使因特网成为盗匪横行的“盗版天堂”,成为了世界知识产权领域迫切需要解决的问题。信息网络传播权问题由此而产生。
早在1994年12月28日,美国发生US vs LaMacchia ——案,一名大学生在互联网络上提供秘密的电子公告牌地址,未经版权人许可,将已出版的、享有版权的商用计算机程序的复制件提供给网络上的用户。1995年在瑞典也发生了类似的案例。几个学生从ADOBE和儿个其他的出版商那里将为数众多的享有版权的计算机程序下载,送到斯德哥尔摩的皇家技术学院的互联网络服务器上,以供互联网络上全世界范围的用户卸载和复制。这种在计算机网络上通过数字传输提供作品的复制件的行为,在现行的各国版权法和国际版权公约中,显然都没有现成的直接规范的依据。对此,版权界主要有两派意见:其一,将传统的版权领域中的若十概念(主要是复制、发行、出租、公众传播)扩展以对该行为进行规范,该行为或是复制,或是发行,或是出租,或是公众传播;其二,设立数字传输权来进行规范。第一种意见主张把数字传输的版权意义融入传统的版权制度体系之中,第二种意见主张依据新的数字传输技术而设置专门的权利, 即信息网络传播权。
一、世界知识产权组织《版权条约》及《表演和录音制品条约》设立信息网络传播权世界知识产权组织最终否定了国际几种通过试图通过原有权利的扩张解决对网络传播进行规范的尝试。1996年12月2日至20日世界知识产权组织在瑞士召开了“关于著作权及邻接权问题的外交会议”(经下简称“外交会议”),通过了两个被称为“因特网条约”的国际条约,即《世界知识产权组织版权条约》(WIPO Copyright Treaty,缩写为《WCT》,以下简称《版权条约》)和《世界知识产权组织表演和录音制品条约》(WIPO Performance and phonograms Treaty,缩写为《WPPT》,以下简称《表演和录音制品条约》)。
信息网络传播权当属于传播权的内容之一。传播权作为一项独立的专有权,是首先由欧盟提出的。这项提议最终被接受,并写入两个条约中。不过,就作品所享有的传播权与表演及唱片所享有的传播权,在两个条约中是不相同的。作品传播权体现在《版权条约》第8条中。表演传播权体现在《表演和录音制品条约》第10条、第15条中;唱片传播权体现在后一条第14条与第15条中。 以下具体分析。
(一)《版权条约》中对信息网络传播权的规定《版权条约》第8 条可谓开一代风气之先,为作者创设了一项控制作品在互联网上传播的重要权利,即作者的信息网络传播权。该条规定为,在不损害《伯尔尼公约》赋予作者的各项传播权的前提下,文学和作品的作者应当享有以有线或者无线的方式授权将其作品向公众传播的专有权,包括以公众中的成员个人选择地点和时间的方式,使公众获得的专有权。 《版权条约》第8条是对《伯尔尼公约》确立的传播权保护体系的发展和完善。该条先是让人眼花缭乱地列举了《伯尔尼公约》的5个条文,涉及6项内容,它们都是伯尔尼公约中有关作者各项公开传播权的规定,《伯尔尼公约》中有关权利人的各项传播权的规定是随着传播技术的发展逐步出现的。由于针对不同种类的作品,不同的传播方式,适用不同的权利,这使得《伯尔尼公约》中的传播权之间存在着一些缝隙, 无法完全覆盖网络传播这一新的传播方式。《版权公约》第8条弥补了《伯尔尼公约》不同权利之间的缝隙。 该条分为两部分,第一部分是在不伯尔尼公约现在的各种传播权的前提下,将向公众传播的专有权扩展到所有作品种类,成为所有文学艺术作品作者的权利;第二部分明确指出,向公众传播包括在“公众中的成员”个人选择的时间和地点所作的传播,从而澄清了交互性的按需传输行为在该范围之内。
这条规定将《伯尔尼公约》中的向公众传播这个概念扩展到网络环境中,在《版权条约》中,这一项新权利名称虽然被定为“公众传播权”,但这项权利不仅仅指网络传播的权利,也包括其他传统的公众传播的权利。该条规定的“公众传播权”将作者的权利,实际上包含了信息网络传播权这一新权利,集中体现在“包括以公众中的成员个人选择地点和时间的方式,使公众获得的专有权”,虽然因技术中立性原则,这一表述没有直接的包括“网络”等概念,但这一表述正是对网络传输交互性的典型的概括,这一表述而产生的新权利,即作者互联网上传播作品的权利,也就是信息网络传播权。
(二)《表演和录音制品条约》中的规定与上述《版权条约》同日通过的《表演和录音制品条约》确立了表演者和录音制品制作者这两个邻接权人的信息网络传播权。第10条规定:“表演者应享有专有权,以授权通过有线或者无线的方式向公众提供其以录音制品录制的表演,使该表演可以公众中的成员在其个人选定的地点和时间获得”,第14条规定:“录音制品制作者应享有专有权,以授权通过有线或无线的方式向公众提供其录音制品,使该录音制品可为公众中的成员在其个人选定的地点和时间获得。”第15条规定:“对于将为商业目的发行的录音制品直接或间接地用于广播或者用于对公众的任何传播,表演者和录音制品制作者应享有获得一次性合理报酬的权利”。
一、企业信息网络建设要求
尽管每个企业信息网络都有其独有的特性,但所有的企业信息网络还是具有共同的基本要求:可靠性和可用性:企业信息网络应当24小时全年可靠可用,故障发生时可以被迅速隔离,且故障的修复对于最终用户应当透明;响应性:企业信息网络应为各种业务应用和协议提供质量保证(QoS),并不影响桌面计算机的响应;高效性:企业信息网络可以优化资源,尤其是带宽的使用,减少额外数据流开销,比如不必要的广播、服务定位和路由更新,应当使数据吞吐率在不增加硬件成本或不添加广域网服务的前提下得到提高;可适应性:一个适应性强的企业信息网络利用层次化、开放式的结构可以容纳完全不同的协议、应用、硬件技术,从而实现不同业务程序的运行;可访问性和安全性:一个可访问的企业信息网络允许通过多种方式连接,实现全业务接入,保持业务随时可以访问,同时网络的策略还能维护网络的完整性。
二、企业网络建设的安全措施
1、信息系统的安全风险评估
随着网络的延伸,处理信息的种类增多,带来的问题越来越多,也越来越厉害,使得人们不得不在筹划信息系统的时候,为系统能正常健康的运营而建造一个安全保障系统。对现有的业务应用系统进行分析、识别、评估,制定防范措施是唯一可行的办法。企业的网络信息系统按照风险管理的思想,对可能存在的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。
2、树立正确安全意识
企业在信息化发展的进程中,应意识到企业信息的安全问题与企业发展之间存在的关联性。一旦企业的重要信息被窃取或外泄,企业机密被泄漏,对企业所造成的打击是非常巨大的,同时也给竞争对手创造了有利的机会。因此树立正确的安全意识对于企业是非常重要的这样才能为后面的工作打下良好的基础。
3、选择安全性能高的防护软件
虽然任何软件都是有可以破解方法的,但是对于安全性能高的软件而言,其破解的困难性也随之增加,所以企业在选择安全软件时应尽量选择安全性能高的,不要为节省企业开支而选择性能差的防护软件,如果出现问题其造成的损失价值会远远的大于软件价格。
4、技术创新
要有效保证信息安全,其中之一就是要做好数据抢救措施,如加入数据恢复、数据备份、数据销毁等信息安全防御措施。常用的数据恢复技术包括效率源DataCompass数据指南针、HDDoctor、DCK硬盘复制机等。
安全评估途径:安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从多角度进行立体防护。要知道如何防护,就要清楚安全风险来源于何处,这就需要对网络安全进行风险分析。网络安全的风险分析,重点应该放在安全测试评估技术方面。它的战略目标是:掌握网络与信息系统安全测试及风险评估技术,建立完整的面向等级保护的测评流程及风险评估体系。
三、层次化设计企业信息网络
1、网络规模
对于企业信息网络而言可划分为:LAN(LocalAreaNetwork),微小型企业及工作组规模,一个房间到一栋建筑,由单个组织拥有和管理;CAN(CampusAreaNetwork),多个局域网的集合,由坐落在固定区域内的一栋或多栋建筑物组成,也是由单个组织拥有和管理,或每一处由组织的一部分拥有和管理。
2、网络功能
企业信息网络的主要建设集中在OSI模型的2-4层,第二层交换在数据链路层进行,第三层交换在网络层进行,访问控制在二、三、四层实现,均可以使用软件或硬件的方式实现,在复杂的网络结构中,由于功能的硬件实现比软件迅速,一般在此使用多层交换机、路由器。
3、网络服务规划设计
企业信息网络的应用是由连接在一起的服务所组成的,且连接的方式能提供高效的通信流。其服务可分为3类:本地服务、远程服务、企业服务,企业信息网络应当有效容纳这些服务,并有效规划。本地服务,是同一个本地工作组可以访问的网络服务(例如:网络打印服务、工作组文件共享等)。这些服务流量的特征是保持在同一个广播域内,在第二层进行数据交换,不应出现在网络主干之上,即不进行三层路由;远程服务,用户主动发起的,在其广播域之外的服务,例如文件应用程序、远程控制、IP电话、视频会议、互联网访问等,这些服务会跨越广播域,通信过程由第三层路由器转发;企业服务,网络内所有用户都可以访问(例如企业级中央存储、企业级业务应用包,含ERP、PM、CRM、MIS、EMAIL以及内部网服务),这些服务一般都放置在接近网络逻辑中心的地方,以允许所有用户平等访问。依据企业服务的规模,这些服务可能在同一个广播域分组,也可能不分组。
4、网络拓扑
解决任何系统设计的第一种方法是确定系统的主要模块。为了满足企业信息网络设计需求,数据报文服务和用户连接在一起,从而为用户优化带宽,确保可靠性和公正性。可以使用三层网络设计体系,模块化设计各层网络拓扑结构。接入层(访问层):接入层模块处理用户对网络的访问。通常,接入层由第二层交换机组成,虽然集线器也能代替交换机共享以太网段的带宽。在接入层使用交换式还是共享式第二层网络取决于用户的需求和开销。虚拟局域网(VLAN)可以配置成把用户按功能分组而不是按地理位置分组。在外层,接入层在用户和企业信息网络之间提供高密度的端口和廉价的访问,也能够通过广域网技术,例如ADSL、ISDN、DDN等,让远程场点访问网络;集散层(分发层):集散层是核心和接入层的边界。从逻辑角度上说,集散层的主要作用是把工作组中的用户聚合在一起,用来提供广播域之间的链接、VLAN间的路由选择及安全性。一般处理企业信息网络的第三层路由功能,主要实施措施有以下几项:路由协议的部署、访问策略的设置、为进入核心层的数据提供过滤功能、提供多种网络类型的数据接入转换以及防火墙的部署;核心层:核心层和集散层模块一般绑定在一起,作为网络的主干存在。在这一层不会设置任何策略及路由选择。核心层最大的设计需求是获得尽可能快的转发速度和链路冗余保障可靠性。
四、部门级交换式以太网建设
对于部门、小型公司的所需网络技术确定将要连接的设备数,通常要保证解决方案允许一定程度的增长。确定将要连接的设备数,部署交换设备,让所有用户与之相连,这样构成的网络就能满足要求。由于设备的数量少,以及交换机的使用,冲突和广播流量不予考虑;将来它可能投资购买本地文件服务器提供存储和备份,并对远程连接有实际需求,那么在网络增长时,只需要将添购的设备连入交换机,并在交换机上外联一部小型路由器,使之通过配置广域网接口,利用广域网与远端连接,并建立一条广域网冗余链路,配置为热备份路由。由于外联网络的单一性,在客户端指定路由器为默认网关,在交换块边界路由设置,即可实现接入层与集散层的结构设计,扩展简便。
企业VLAN、VLAN间路由:VLAN将物理上的设备组和用户组通过逻辑的方式重新划分,为控制和减少网络管理开支提供有效的方法,并控制广播活动,支持工作组和网络的安全性;增加、移动或改变用户的位置。公司重组和人员流动带来的新的终端地址和集线器以及路由器的重新配置,成为网络管理中最大开销之一。VLAN用户位置的改变只简单将用户的终端插接到相应VLAN端口并简单配置即可,路由器配制不做任何修改;控制广播活动,通过应用及广播的数量确定VLAN的数目,使受广播活动影响的用户减少,通过VLAN将防火墙技术从路由器扩展到交换,大大减少广播流量,为用户流量释放带宽,弥补网络易受广播风暴影响的弱点;VLAN将网络划分为多个广播域是提高安全性的一个经济实惠和便于管理的技术,它可以限制VLAN网络用户的数目,拒绝用户在VLAN应用认证之前的连接,以及可以将空闲的端口配置到默认的低层服务的VLAN。在企业信息网络中可以通过路由器低成本实现VLAN间的通信,高效实现则可利用交换机路由模块进行交换。
关键词:企业网络; 信息网络; 网络设计; 网络建设; 网络安全
中图分类号:TP303 文献标识码:A 文章编号:16727800(2013)009000103
作者简介:洪光华(1983-),男,江西省烟草公司上饶市公司高级工程师、网络规划设计师,研究方向为物流自动化、信息管理、网络规划设计。
0引言
企业信息网络为员工提供快速交换访问、企业资源计划(ERP)、客户资源管理(CRM)、项目管理(PM)、办公协同(IOA)、电子邮件、互联网访问、远程接入VPN、视频会议、IP电话等,能提高生产效率,降低生产成本。企业信息网络是一个复杂的环境,牵涉到多种介质、多种协议,并且还能与某组织中心办公室外部的网络互联。设计精良并仔细安装的网络能减少随着网络环境的发展带来的问题,包括速率升级、设备更换、网络冗余防范、访问控制的设计-实施-变更,保障网络连续运行。正确设计和维护网络对企业正常运作非常重要。一个设计和维护水平都较差的网络,会在与对手的竞争中面临许多危险。
1企业信息网络基本特点
设计一个复杂系统最困难的地方就是决定从哪里开始,也就是对于最基本的企业信息网络而言所应该有的最基本的立足点和设计原则:①快速收敛,网络必须在最短的时间内找到源和目的之间的可用路径;②确定的路径,分组报文在网络中经过的路径在某种程度上应该是静止的。如果网络中的路由经常发生变化,那么用户通过网络使用应用程序和服务时就难以稳定;③确定的错误恢复,当链接或设备失效,应当存在已知的错误恢复备份,这有助于排除疑难问题。更重要的是,在网络出错的情况下,能创造一个稳定的环境;④规模和吞吐量具有扩展性,当网络需要的服务和信息逐渐增长时,网络会越来越大,需要更大的容量。网络应该有足够的设计,以便允许网络中设备数目和设备连接链路容量的增长;⑤集中存储,企业信息网络必须能支持公共的文件和应用程序存储区域。即提供一种环境,在这种环境下能以更低的代价支持这些服务;⑥更高效的信息传输,按照流量的二八原则,在当前,与早期的网络相比,传输模式明显不同,如今的网络设计必须基于如下假设,即20%的流量在局域网络内部进行,剩下的80%到达局域网络外的主机;⑦具有异种网络兼容性,支持多种协议。企业信息网络(EIN)必须支持多种不同类型的网络协议,比如:IP、Novell IPX、Apple APPLETALK以及DECnet、VINES等,虽然当前网络主要为纯IP网络,但不能排除某些传统应用程序和主机需要其他类型的网络协议,并且在纯IP网络中,网络也必须支持高层协议;⑧组播支持,现有的网络必须支持组播。组播是一种能使用户以更有效的方式进行传输和接收网络视频信息的机制。
在单个网络中把所有必须的功能都集成以满足需求是十分困难的,而通过拓扑层以及构建块等将网络功能组件化,可以对网络功能进行修改重组,进而满足特定的网络设计要求。
2企业信息网络建设要求
尽管每个企业信息网络都有其独有的特性,但所有的企业信息网络还是具有共同的基本要求:①可靠性和可用性:企业信息网络应当24小时全年可靠可用,故障发生时可以被迅速隔离,且故障的修复对于最终用户应当透明;②响应性:企业信息网络应为各种业务应用和协议提供质量保证(QoS),并不影响桌面计算机的响应;③高效性:企业信息网络可以优化资源,尤其是带宽的使用,减少额外数据流开销,比如不必要的广播、服务定位和路由更新,应当使数据吞吐率在不增加硬件成本或不添加广域网服务的前提下得到提高;④可适应性:一个适应性强的企业信息网络利用层次化、开放式的结构可以容纳完全不同的协议、应用、硬件技术,从而实现不同业务程序的运行;⑤可访问性和安全性:一个可访问的企业信息网络允许通过多种方式连接,实现全业务接入,保持业务随时可以访问,同时网络的策略还能维护网络的完整性。
3层次化设计企业信息网络
通过划分层次,可以将复杂的问题分解,是企业信息网络设计中基本的设计思想。可以分别从网络的结构方式对网络规模、网络功能、网络拓扑、网络构建块、网络地址划分层次。
(1)网络规模。对于企业信息网络而言可划分为:LAN(Local Area Network),微小型企业及工作组规模,一个房间到一栋建筑,由单个组织拥有和管理;CAN(Campus Area Network),多个局域网的集合,由坐落在固定区域内的一栋或多栋建筑物组成,也是由单个组织拥有和管理,或每一处由组织的一部分拥有和管理。
(2)网络功能。企业信息网络的主要建设集中在OSI模型的2~4层,第二层交换在数据链路层进行,第三层交换在网络层进行,访问控制在二、三、四层实现,均可以使用软件或硬件的方式实现,在复杂的网络结构中,由于功能的硬件实现比软件迅速,一般在此使用多层交换机、路由器。
(3)网络流量的规划设计。网络通常与用户数和个人需求同步增长。这意味着用户的网络设计必须能够处理连接数目的增长,也能处理网络内部链路带宽。①利用桥接避免冲突,一般通过网桥/交换机提供端到端的双向带宽独占的通信模式;②对广播域进行分割,实现方式为划分VLAN或使用三层交换机、路由器。一个好的原则是一个广播域内不应超过240台设备,避免广播风暴;③流量可管理,企业信息网络应当使流量处于可管理的状态,使用纯交换技术,并对网络进行逻辑地址的划分,减少广播流量,制定流量的策略规划。
(4)网络服务规划设计。企业信息网络的应用是由连接在一起的服务所组成的,且连接的方式能提供高效的通信流。其服务可分为3类:本地服务、远程服务、企业服务,企业信息网络应当有效容纳这些服务,并有效规划。①本地服务,是同一个本地工作组可以访问的网络服务(例如:网络打印服务、工作组文件共享等)。这些服务流量的特征是保持在同一个广播域内,在第二层进行数据交换,不应出现在网络主干之上,即不进行三层路由;②远程服务,用户主动发起的,在其广播域之外的服务,例如文件应用程序、远程控制、IP电话、视频会议、互联网访问等,这些服务会跨越广播域,通信过程由第三层路由器转发;③企业服务,网络内所有用户都可以访问(例如企业级中央存储、企业级业务应用包,含ERP、PM、CRM、MIS、EMAIL以及内部网服务),这些服务一般都放置在接近网络逻辑中心的地方,以允许所有用户平等访问。依据企业服务的规模,这些服务可能在同一个广播域分组,也可能不分组。
(5)网络拓扑。解决任何系统设计的第一种方法是确定系统的主要模块。为了满足企业信息网络设计需求,数据报文服务和用户连接在一起,从而为用户优化带宽,确保可靠性和公正性。可以使用三层网络设计体系,模块化设计各层网络拓扑结构。①接入层(访问层):接入层模块处理用户对网络的访问。通常,接入层由第二层交换机组成,虽然集线器也能代替交换机共享以太网段的带宽。在接入层使用交换式还是共享式第二层网络取决于用户的需求和开销。虚拟局域网(VLAN)可以配置成把用户按功能分组而不是按地理位置分组。在外层,接入层在用户和企业信息网络之间提供高密度的端口和廉价的访问,也能够通过广域网技术,例如ADSL、ISDN、DDN等,让远程场点访问网络;②集散层(分发层):集散层是核心和接入层的边界。从逻辑角度上说,集散层的主要作用是把工作组中的用户聚合在一起,用来提供广播域之间的链接、VLAN间的路由选择及安全性。一般处理企业信息网络的第三层路由功能,主要实施措施有以下几项:路由协议的部署、访问策略的设置、为进入核心层的数据提供过滤功能、提供多种网络类型的数据接入转换以及防火墙的部署;③核心层:核心层和集散层模块一般绑定在一起,作为网络的主干存在。在这一层不会设置任何策略及路由选择。核心层最大的设计需求是获得尽可能快的转发速度和链路冗余保障可靠性。
(6)按分割网络构建模块:按照设备群和拓扑结构,在层次化企业信息网络实施过程中需要进一步把网络分割成网络构建块(交换块、核心块)。
交换块:由一组具有二层和三层功能的交换机组(一组连接访问设备的分发设备)作为交换块,其可以跨越接入层和集散层。
核心块:作为整个网络的集合点用来连接多个交换块,具有足够的处理能力和带宽处理主干上的大量通信流,尽可能提高速度和减小延迟,通过核心层设备进行桥接,使转发速率得到最大化,把路由选择留给集散层。
(7)科学合理规划网络地址分配方案。企业信息网络需要一种能够易于扩展的编址方案,以适用于网络的扩展需求。通过对可扩展型网络编址系统的认真计划和部署,可以避免在为企业添加新节点和新的网络时,现存的地址可能需要被重新分配,膨胀的路由表使路由器陷入困境。网络地址规划时可以适时考虑结合子网划分可变长度子网掩码(VLSM)、路由归纳、网络地址转换(NAT)、无编号IP地址、动态主机分配协议(DHCP)。
4部门级交换式以太网建设
对于部门、小型公司的所需网络技术确定将要连接的设备数,通常要保证解决方案允许一定程度的增长。①确定将要连接的设备数,部署交换设备,让所有用户与之相连,这样构成的网络就能满足要求。由于设备的数量少,以及交换机的使用,冲突和广播流量不予考虑;②将来它可能投资购买本地文件服务器提供存储和备份,并对远程连接有实际需求,那么在网络增长时,只需要将添购的设备连入交换机,并在交换机上外联一部小型路由器,使之通过配置广域网接口,利用广域网与远端连接,并建立一条广域网冗余链路,配置为热备份路由。由于外联网络的单一性,在客户端指定路由器为默认网关,在交换块边界路由设置,即可实现接入层与集散层的结构设计,扩展简便。
企业VLAN、VLAN间路由:
(1)VLAN将物理上的设备组和用户组通过逻辑的方式重新划分,为控制和减少网络管理开支提供有效的方法,并控制广播活动,支持工作组和网络的安全性。
(2)增加、移动或改变用户的位置。公司重组和人员流动带来的新的终端地址和集线器以及路由器的重新配置,成为网络管理中最大开销之一。VLAN用户位置的改变只简单将用户的终端插接到相应VLAN端口并简单配置即可,路由器配制不做任何修改。
(3)控制广播活动,通过应用及广播的数量确定VLAN的数目,使受广播活动影响的用户减少,通过VLAN将防火墙技术从路由器扩展到交换,大大减少广播流量,为用户流量释放带宽,弥补网络易受广播风暴影响的弱点。
(4)VLAN将网络划分为多个广播域是提高安全性的一个经济实惠和便于管理的技术,它可以限制VLAN网络用户的数目,拒绝用户在VLAN应用认证之前的连接,以及可以将空闲的端口配置到默认的低层服务的VLAN。
在企业信息网络中可以通过路由器低成本实现VLAN间的通信,高效实现则可利用交换机路由模块进行交换。
5业务扩展:WAN接入的设计、企业路由
随着使用IP协议和Web的应用软件不断增长,在企业信息网络中必须处理复杂的广域网,而广域网有复杂的环境,包括多种介质、多种协议以及其他网络的互联,通信发生在不同地域之间,信息传递需经过一条或多条广域网链路,特点是相对较低的通信流量、高延迟和高差错率,由于租用性质,广域网的设计需要将带宽的花费和效率优化处理。利用广域网技术和路由器连接多个企业事业部网络以支持新的业务开展,应当着重于通信流量的最佳化、提供多条冗余的路由、灾难恢复需要的后备拨号业务。
在企业使用的事务中,利用广域网的流量包含:语音、传真、事务数据(SNA)、客户机/服务器数据、信息传递、文件传输、批量数据、网络管理、视频会议。通过收集需求,确定应使用的广域网线路。
路由部署:企业信息网络拓扑结构主要为星型结构,在接入层与集散层间是平面的物理结构,冗余一般以二层交换VTP为主,链路状态稳定,带宽等资源基本相当,可以在内部信息网络中使用静态路由以及开销小的路由,进行手工指定或简单配置。
在网络的外部接口进行路由配置的时候,可以依据距离矢量或链路状态决定使用何种协议,并依照外部接口的数量进行负载均衡与热备份,外部接口在规模较大,结构复杂的情况下可以使用OSPF协议,一般可使用IGRP协议,进行路由热备份时应在其先配置按需拨号。
6网络安全:防火墙和ACL应用
在企业信息网络中,应尽可能保证业务数据的流通和优先性,必须设法拒绝不希望的访问连接,同时保障允许的访问连接正常、响应迅速、稳定,而通过设置密码、回叫信号设备以及硬件保密装置可以帮助做到这些,但这些缺乏基本的通信流量过滤的灵活性和特定的控制手段。在信息网络管理中,需要作出的策略往往是对用户、服务、数据流向、前端应用和数据流量进行灵活控制。
(1)使用路由器阻止特定通信流量。路由器提供基本的通信流量过滤能力,可将其作为安全解决方案的一部分,通过访问控制列表(Access Control List,ACL)实现企业信息网络基本安全需求。
ACL是一系列允许和拒绝陈述句的集合,通过条件筛选和逻辑判断,对数据包的协议或上层协议(网络层以上)进行控制。这些指令列表由类似于源地址、目的地址、端口号等特定指示条件决定路由器接收或拒绝数据包。
通过ACL部署,可以做到:限制网络流量,提高网络性能,提供对特定类型数据的优先级;提供对通信流量的控制手段,限定或简化路由更新、限制某网段;提供网络访问的基本安全手段,基于筛选条件的安全认证;在路由接口处决定通信流量类型的过滤、筛选。
(2)部署企业防火墙,进一步保障企业信息安全。网络边界可部署多功能防火墙,实现高层协议应用的控制、过滤和攻击防范。专业防火墙能够在ACL列表过滤的基础上更精准地对网络用户和桌面计算机进行数据流量、数据安全控制。
通过路由和NAT功能提供可控的互联网访问、映射企业内部服务器;开放特定服务器特定端口;对内网用户访问过程进行恶意代码检测,也可对用户收发的邮件中存在的病毒进行过滤。
通过IPSEC VPN功能,能够实现分部的安全互连,作为专线链路的补充和备份,防止专线链路故障导致异地部门的业务应用无法进行的情况发生。
通过上网行为管理功能改善网络使用规范。对URL分类过滤,规范内网用户网页访问行为。行为审计功能,则记录内网用户访问的网页地址、BBS发表的言论内容、收发的邮件内容及其他上网行为。通过应用控制功能,保证用户的网络应用同实际业务的相关性,确保工作效率。
关键词:检察院 信息网络系统 安全 措施
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)11-0203-01
1 安全需求
检察院信息网络系统在整个检察业务运行当中,其所涉及到的各种限制范围和敏感信息及所处理的各种信息,需要拥有统一而又全面的实施方案、安全涉及及安全策略。信息网络安全系统主要包含如下建设需求:(1)物理安全。机房环境与相关规范与标准相符。所使用的器材及设备的安全性指标,均需要与相关产品标准所规定或要求的安全性相符,需经过国家或行业内授权的认证机构认证合格或检测结构检测合格;所使用系统或设备的任何部分,均需具有足够强度,防止对人员可能造成的伤害;所使用设备不能对人体健康有害;需采取防触电的相应保护举措。(2)网络安全。划分可靠的安全子网与安全域,基于检察院范畴内建设信任域,以此为检察院信息化系统的正常运行提供值得信任的网络环境;集成整合多种设备与技术,如病毒防治、安全审计、入侵检测及防火墙等,构建全面、综合化的网络安全防护系统。(3)系统安全。建立安全运行的应用支撑软件系统平台及计算机系统平台,为实际应用提供可靠而又安全的服务。
2 检察院信息网络系统安全威胁
核心业务集中处理平台所存在的安全威胁有如下几点:(1)系统不可用威胁。系统发生软硬件故障,便会导致数据丢失或服务不可用;诸如火灾及战争等来自人类社会的物理破坏;另外,还有地震及雷电等自然灾害的物理破坏。(2)应用威胁。检察业务信息不仅种类多,应用复杂,信息量大以及存有级别差异,这些信息对于不同用户,在安全要求的程度上存在不同;内部人员越权访问机密信息、有意犯罪或对数据进行恶意篡改等。(3)系统威胁。应用平台与操作系统的安全性问题,现今所流行的诸多操作系统,均存在不同程度的安全漏洞。(4)网络威胁。内外部非法攻击应用服务及网络基础设施,导致系统或网络服务不可用,数据被恶意篡改及信息遭泄露等。(5)物理威胁。设备是否与相关规范相符,机房环境与规范是否相符等。
3 安全保护技术对策
3.1 物理安全措施
针对实施数据备份及系统备份介质,实施异地的保密放置;建设高安全度的计算机机房,为信息系统设备安全提供保障。针对计算机房等设备环境当中,需运用与安全规范相符的设计与材料。采用计算机设备及网络设备时,需运用通过安全认证的设备,在选择操作系统时,需将其安全认证级别考虑在内,异地保密放置数据备份及系统备份介质。
3.2 网络安全措施
网络设备安全乃是整个网络安全的核心,包含有光纤等传输设备、防火墙、交换机、服务器、光纤收发器及路由器等,因此,在核心交换机上,需部署入侵检测系统,用于检测和发现入侵行为和非法操作。在配置路由器设备时,需采取如下安全对策,即对SNMP/TELNET安全使用,对流量有限进入网络施加有效控制,对ICMP消息类型有限使用,限制逻辑访问,禁止使用不必要服务,运用身份验证功能,强化口令安全及对系统物理访问进行限制等。
3.3 网络边界安全措施
要想对网络边界提供保障,首先要做的便是对网段进行合理划分,运用网络中间设备所持有的安全机制,对各网络之间的访问进行控制。运用VLAN、防火墙及物理隔离措施等,隔离各个安全域,且控制访问。由于检察院专线网属于信息系统,各级院互联采用了加密机-防火墙模式,最大程度的保障了专网信息应用安全,同时专线网包括多个业务功能子网,这些子网彼此间通过安全域的划分、防火墙设置和访问控制来实现安全隔离。基于视频会议、和审讯监控对于保密、时延及宽带的较高要求,可将其在加密机之内、防火墙之外进行连接。
3.4 系统安全措施
系统安全包含两种,即数据库安全及操作系统安全。比如在安全设置Unix操作系统时,可通过下列设置实现系统安全性的增强。(1)对账号口令严密保护,避免出现口令外泄状况,特别是超级用户相应“root”口令。尽可能复杂的设置口令,建议以字母、数字及符号相结合方式设置,定期对密码进行更换。(2)就用户对于目录及文件的访问使用权限进行严格设置,对文件拥有权限及许可权施加控制。(3)对系统状态及安全日志进行定期检查,便于尽早发现系统可能遭受的外界非法入侵行为,为管理员开展对应安全措施提供依据。
4 结语
总而言之,通过对检察院现实存在的安全需求进行深入剖析,找寻所存在的安全威胁,然后采取有效应对措施,乃是实现检察院网络系统安全的基础所在,以技术层次改善检察院网络架构,有利于检察院系统整体安全。
参考文献
关键字 县级供电企业;信息网络安全;剖析
【中图分类号】TN915.08文献标识码:B文章编号:1673-8500(2013)01-0022-01
县级供电企业信息化建设虽然起步不晚,但由于电网规模的不同导致各地信息化建设层次不齐,随着电力广域网的接入,信息网络的安全问题,成为各县级供电企业目前面临的同样难题,健壮的网络是实现网络安全和业务正常的基础,只有基础层面的网络设备的稳定性、安全性得到了保障,网络的稳定性的实现才成为可能,现以县级供电公司信息网络建设的情况,对网络安全情况进行分析。
1网络建设现状
近年来,县级供电企信息化建设如火如荼,如今硬件环境已经可以满足在信息网络上运行各种系统等应用,实现千兆骨干,百兆到桌面。按照部门、职能、安全重要程度分为许多子网,包括:营销子网、财务子网,办公子网、生产子网、服务器子网等,在核心交换机上为不同子网划分不同的虚拟局域网(vlan)。不同子网分属不同广播域。在应用上,提供文件共享访问,办公自动化、电子邮件等。
2存在问题
随着信息化程度的提高,信息网络的规模不断扩大,网络结构需要进行不断的调整,但在设备安全加固,数据备份、网络安全管理、操作人员安全意识等方面存在一定问题,造成管理吃力,给网络安全埋伏了不利因素,成为急需解决的问题。
3解决办法
3.1制定制度,落实责任。信息网络安全离不开严格的制度和明确的责任分工,为提高网络信息系统整体安全防护能力,强化公司内部信息安全,成立信息安全组织机构,组织机构分为领导小组和工作小组建立切实可行的应急预案和灾难恢复预案,有效预防和正确、快速应对网络及信息安全突发事件,最大限度地减少影响和损失,确保网络系统安全、稳定运行。
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我公司结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织全公司人员学习有关网络知识,提高计算机使用水平,确保预防。
3.2网络系统安全管理。
3.2.1网络设备。因地理条件和资金限制,一些县级供电企业网络多为星形结构,超过半数的网络结点不能形成环网,网络运行极不稳定,这是目前县公司一些应用推广的阻碍。对于这种情况,如果资金较少,可以考虑根据地理条件在网内建设小型的环网,尽可能多的将结点环起来。
一些公司核心交换机、防火墙都是单机运行,无备用设备,一旦核心出现故障将会造成公司网络全部瘫痪,与上级公司无法连通,因此增加一台核心交换机和一台防火墙,和设备通过跳线相连,实现双机冗余,互为备用。
3.2.2终端管理。按照国家电网公司要求和省、市公司统一部署安排,信息内网所有计算机统一注册使用桌面安全管理系统,统一安装省公司部署的杀毒软件,每台终端设备都进行实名注册,进行IP+MAC+交换机端口多重绑定,严格控制移动存储设备的接入,确保非法设备无法接入内网,信息内外网实行双网双机,内外网之间完全物理分开,内网计算机不得任何方式接入外网,在信息外网出口安装IPS入侵防御设备,可以实时主动拦截各类黑客攻击和恶意行为,保护信息网络架构免受侵害,阻断非授权用户的使用,降低了不安全因素。
所有计算机在接入信息网络以前必须对所有账号进行处理,不得使用系统默认的用户名,删除不用的账号,禁用来宾用户,所有账号必须设置字母+数字+特殊符号长度在8位以上的密码,并定期更换。
3.2.3分区分域、等级防护。对公司的信息系统分成生产控制大区和管理信息大区,并对所有的业务系统进行等级划分,实现不同安全域之间的独立化和差异化的防护。其中生产控制大区又可以分为控制区和非控制区,调度数据网络作为专用的数据网络,划分为安全区I,它使用不同的网段单独组网,它与安全区II之间采用国家指定部门检测认定的电力专用正向单向隔离装置。WEB服务与管理信息大区之间分别安装硬件防火墙,并严格控制相互之间访问。
3.3数据备份。对数据备份设立了专人管理,负责数据备份系统的日常管理,针对系统情况和备份内容,分别采用了完全备份、增量备份、差分备份和按需备份,关键数据实现了异地备份。备份内容涵盖了生产、营销、管理等所有关键业务。
3.4UPS电源。网络设备在运行中最大的问题是电压不稳,甚至停电。虽然信息机房报在的办公大楼一般都接了双电源,但仍会有不可预知的电源故障会导致局域网中交换机、路由器、服务器和数据存储器等各类设备无法连续正常工作,因此UPS电源是机房中最重要的保障。在局域网的中心机房中,采用10-20kVA中等功率UPS集中供电的方式已被广泛接受。为了有效提高系统可靠性,一般采用双机热备份或并联供电。
3.5防雷系统。要定期测试机房在建设时已经建立了接地线,查看所有网络设备、服务器、机柜都做到了良好的接地和电源电源零线接地。对机房设备也要安装防雷设备,每台交换机都应安装机架式防雷插排和交换机防雷模块,所有电源都更换防雷插座。
3.6人员培训和管理。信息网络的安全归根结底还是要落实到操作人的头上,操作人员安全意识和操作水平提高了,网络安全管理就做到了事半功倍的效果,因此,需要在人员培训方面特别重视,每周五下午进行一次信息安全知识培训,小的从开关机讲起,大到系统安全策略设置,从各方面进行全面指导。通过公司视频会议系统组织观看信息安全方面教育片和安全事例分析。并与各部室及员工签订信息安全责任书,确保责任落到实处。对所有职工发放信息网络使用安全须知,提高员工对信息安全的认知和增强员工遵守信息安全各项规章制度的自觉性。
关键字:城乡网络设计建设
江苏省电力公司在2001年实施了电力信息网改造工程,县供电公司已和变电所实现了联网。根据江苏省电力公司电力营销管理信息系统的推广和应用要求,江苏省电力公司选择了十个县供电公司,作为实施城乡营销一体化营销信息系统工作的试点。如东县供电公司是试点中最大的一个县供电公司,共有19个变电所,42个乡供电所。省电力公司要求我公司的乡供电所采用统一的电力营销管理信息系统,同时各乡供电所配备行政电话进行业务和工作上的联系。下面就该系统网络方案的设计建设作个简述,以供参考。
1网络方案的背景和需求
在先期的电力信息网建设中,如东县供电公司采用的是SDH组网方式,在变电所采用SDH设备组成主干155M的环网,在公司本部和信息中心千兆主干网相连,接入江苏电力广域网。营销信息系统是江苏省电力公司县级电力信息网的组成部分。本方案将综合考虑这些已有的网络拓扑,充分利用电力信息网络提供信道和光纤。考虑到农村供电所和如东县供电公司的数据和语音通信,农村供电所的数据通信必须采用以太网技术,至少提供15个以上10/10MbpsRJ-45交换接口;语音通信每个供电所必须提供4门分机电话。在县供电公司农网工程中各乡供电所网络接入的基础上,构建一个可行、可靠、稳定、平安的综合信息平台,以便准确、快捷地进行数据和语音的业务应用。
2网络方案的设计和建设
网络整体方案采用以太网交换机组网,各供电所从最近的变电所通过光纤接入电力信息网,变电所到供电所之间,由变电所提供一个E1口。利用该端口通过光纤实现和供电所联网,每个供电所都对应有一条通向如东县供电公司的E1电路。从而在县公司和基层供电所之间实现数据传输及IP电话和传统PBX电话业务的互相通信。技术上,数据交换选择以太网交换机综合接入方案,网络协议采用TCP/IP技术。为了便于管理,统一选择Cisco网络设备,营销主交换采用Cisco3550,各乡镇供电所则选用Cisco2950交换机;语音接入采用VoIP技术,统一使用Cisco7910IP电话。
整个网络分为两大部分摘要:
第一部分为各供电所到电力信息网的接入部分。主要利用环网上各变电所同相邻营业所之间的光纤,将供电所内的局域网同SDH设备的连接,包括各PC终端和电话。
每个供电所的PC终端和IP电话直接接入到Cisco2950交换机上,利用SDH上的E1端口,用一个E1到以太网桥将E1转成以太网,利用以太网的单模光电转换器将以太网的通道延伸到供电所,提供供电所的以太网端口接入。
第二部分为县供电公司中心网络的建设,主要是用电营销数据中心的建设,以及城乡供电所电话通讯网络和电力系统内部电话网的连接,公司数据网络中心提供对数据库服务器和其它应用服务器的连接。在SDH组网方式下,只需要增加相应数量的E1到以太网的网桥就可以了,而由于SDH设备直接提供RJ-45接口,则不需要增加网桥就可以直接连接到Cisco3550上。
对于IP电话,由于以太网交换机和基础通讯网(SDH,ATM,DWDM)构成了网络IP电话的智能基础架构,只要是能够进行TCP/IP的网络,我们就可以建立网络IP电话系统,且IP电话网络的结构可以是任意的,电话网络的各个单元(桌面电话,Callmanager等)可以在网络任何位置进行部署。
(1)营销系统内的IP电话通讯摘要:
根据分配到的号码段,我们可以为每一门桌面IP电话从该号码端中分配不同的号码,同样我们也可以给一门电话分配多个电话号码,不同电话之间的呼叫建立通过Callmanager来寻址实现,而呼叫一旦建立后,语音数据流就不必再经过Callmanager。
(2)IP电话和公司内线电话通讯摘要:
在县供电公司端,配置一台服务器用来作为IP电话的CallManager(交换机),配置一台Cisco2650路由器用作IP电话和传统的PBX电话程控系统互连。2650上配置有1个E1接口的卡,这样PBX通过E1接到2650路由器上,同时进行一些软件上的设置,在PBX交换机上添加一块E1的接口板。
3设计建设和应用的几点思索
3.1数据和语音网络的集成
(1)解决了公司本部同城乡营业所之间的通讯通道新问题,使得所有的城乡营业所都获得保证的带宽(2Mbps),并且营业所获得了同公司数据中心相连接的以太网通讯端口,建立了一个完整的从营业所到如东县供电公司直接的数据网络平台。在以上的数据网络平台上建立语音网络,即以网络IP电话的方式来实现在数据网络上实现完整的语音网络,实现数据、语音网络的统一。
(2)数据、语音综合传输带来的明显优势是成本下降摘要:①统一到计算机网络技术上的多媒体应用无论设备费用或线路费用都相对便宜。②不需对现有布线系统作任何修改。对供电所的布线可采用一套系统。③不必在每个分支机构均配备PBX。④桌面IP电话终端的增加非常方便,只需将电话直接插入以太网交换机就可以,在Callmanager上不需要任何的设置该电话就可以获得电话号码,并开始工作。
(3)统一的网管平台,可以利用现有的网络管理平台,集成数据语音网络的管理。智能的网络可以最大限度的发挥网络设备的能力,现在网络交换机均具有智能处理业务能力,能够对不同的IP业务采用不同的优先处理方法,采用基于IP的数据语音网络解决方案,可以充分的利用网络交换机的这方面能力。
3.2虚拟网技术和IP地址的分配
公司有多种应用系统,所以网络系统的设计应能在全网范围内实现虚拟网的划分,每个供电所分配16个IP地址,单独网关组成一个虚网。由于每个工作站和每部IP电话均需要一个IP地址,对于IP地址的分配,我们使用DHCP动态分配IP地址,这样能很好地保证网络语音系统正常运行及应用系统的平安性、数据可靠性。
3.3网络的一些不足之处
