導言：作為寫作愛好者，不可錯過為您精心挑選的10篇公共信息安全，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

2制約移動互聯(lián)網(wǎng)公共信息安全的因素

2.1移動互聯(lián)網(wǎng)運行的全民性

移動互聯(lián)網(wǎng)是在互聯(lián)網(wǎng)的基礎上產(chǎn)生的，而互聯(lián)網(wǎng)自產(chǎn)生起就帶有公開性、全民共享性。目前，這一趨勢隨著移動互聯(lián)網(wǎng)的普及更加顯著，但是隨著全民廣泛參與到移動互聯(lián)網(wǎng)的應用中，這就導致移動互聯(lián)網(wǎng)的控制權(quán)被分散。由于移動互聯(lián)網(wǎng)使用者的利益、目標以及價值等方面都不盡相同，因此，對移動互聯(lián)網(wǎng)資源的保護與管理也就容易產(chǎn)生分歧，促使移動互聯(lián)網(wǎng)公共信息安全的問題變得更加廣泛、復雜。

2.2移動互聯(lián)網(wǎng)監(jiān)管不嚴

我們對移動互聯(lián)網(wǎng)公共信息安全管理的過程中，往往存在著界定不明晰、管理觀念落后等問題。比如對移動互聯(lián)網(wǎng)上頻繁出現(xiàn)的不良信息的劃分不明確，這就導致相關管理部門進行監(jiān)管時，沒有可以依據(jù)的規(guī)則，進而導致監(jiān)管過度或不力。

2.3缺乏核心的移動互聯(lián)網(wǎng)技術(shù)

我國的移動互聯(lián)網(wǎng)處于起步階段，缺乏自主性的網(wǎng)絡和軟件核心技術(shù)，這就導致我們在移動互聯(lián)網(wǎng)運行過程中不得不接受發(fā)達國家制定的一系列管理規(guī)則與標準。此外，由于我們的移動互聯(lián)網(wǎng)核心技術(shù)主要是源自他國，這就導致我國的移動互聯(lián)網(wǎng)常常會處于被竊聽、干擾以及欺詐等信息威脅的狀態(tài)之下，造成我國的移動互聯(lián)網(wǎng)公共信息安全管理系統(tǒng)極為脆弱。

2.4缺乏制度化的移動互聯(lián)網(wǎng)保障機制

我國對移動互聯(lián)網(wǎng)公共信息安全的管理并沒有建立相應的安全管理保障制度，同時也沒有建立有效地安全檢查制度與安全保護制度。此外，我國現(xiàn)有的政策法規(guī)很難適應當今移動互聯(lián)網(wǎng)公共信息發(fā)展的需要，移動互聯(lián)網(wǎng)公共信息安全保護還存在著大量的立法空白。

3建立移動互聯(lián)網(wǎng)公共信息安全保障機制的措施

3.1政府應充分發(fā)揮其職能

政府在移動互聯(lián)網(wǎng)公共信息安全管理中，應占據(jù)主導地位，引導整個移動互聯(lián)網(wǎng)公共信息安全向著健康方向發(fā)展。首先，政府應發(fā)揮應急事件指揮者的角色。政府對控制一般網(wǎng)絡公共信息安全事件演變?yōu)槲C事件肩負巨大責任，需要通過自身的能力使社會秩序盡快恢復正常。其次，政府應對移動互聯(lián)網(wǎng)公共信息安全相關法律進行監(jiān)管。政府應依據(jù)相關法律對移動互聯(lián)網(wǎng)信息是否安全運行進行有效監(jiān)管，同時應不斷完善移動互聯(lián)網(wǎng)公共信息安全中薄弱環(huán)節(jié)的法律法規(guī)制度。

3.2加強移動互聯(lián)網(wǎng)公共信息安全法律建設

建立手機實名制法律。手機實名制對預防手機犯罪、凈化手機信息具有至關重要的作用，實施手機實名制能夠保障消費者的合法權(quán)益。在我國制定的《通信短信息服務管理辦法》中對手機實名制就進行了明確規(guī)定，與此同時，若想讓手機實名制充分發(fā)揮其作用，就必須加強公民隱私權(quán)益方面的建設。完善公共信息安全法律法規(guī)。首先，應重點建立信息安全的基本法，保障信息安全的各項問題有法可依；其次，可以在專門信息安全基本法出臺之前，建立必要的、急需的單行法；最后，在建立信息安全法的時候，應盡量避免采用制定地方性法規(guī)和部門規(guī)章的方法代替制定全國性法律法規(guī)。

3.3組建統(tǒng)一的管理機構(gòu)

建立統(tǒng)一的移動互聯(lián)網(wǎng)管制機構(gòu)時，應遵循三個原則。首先，管制機構(gòu)建立的獨立性原則。建立的管制機構(gòu)不僅要獨立于電信運營企業(yè)，同時還應該獨立于任何行政部門，這樣才能夠保障管制機構(gòu)辦事的公正性。其次，管制機構(gòu)建立的依法設立原則。在建立互聯(lián)網(wǎng)公共信息安全管制機構(gòu)時，應以《電信法》或?qū)ｉT管制機構(gòu)法對所建立的管制機構(gòu)的職責進行明確劃分。最后，管制機構(gòu)建立的融合性原則。管制機構(gòu)應是一個綜合性的管制機構(gòu)，它所監(jiān)管的范圍應該包括整個信息通信領域。

3.4加強終端安全保障技術(shù)研發(fā)

（1）重視病毒防御。

當前的移動互聯(lián)網(wǎng)終端基本上都是職能設備，采用的都是專門的移動操作系統(tǒng)，這些操作系統(tǒng)必須具備對常見的病毒、木馬等的防范功能，同時也應不斷降低應用軟件系統(tǒng)可能出現(xiàn)的安全漏洞。

（2）實施軟件簽名。

軟件簽名的實現(xiàn)能夠保障軟件的完整性，從而避免用戶的信息被篡改。此外，當應用程序發(fā)現(xiàn)信息被篡改后，能夠及時向用戶發(fā)出報警信息。

（3）采用軟件防火墻。

在終端設備上應用軟件防火墻，用戶可以通過設置白名單與黑名單對設備上傳入與傳出的信息進行有效地控制，保障信息安全。

（4）采用加密存儲。

用戶對設備上的重要信息應在加密之后再將其存儲到終端設備中，這樣能夠有效避免非法竊取現(xiàn)象的產(chǎn)生。與此同時，用戶在加密與解密的時候，一定要快速的完成，以防信息被竊取。

（5）統(tǒng)一管理。

對安全設備應該進行統(tǒng)一管理，即在一個統(tǒng)一的界面中能夠?qū)θ康陌踩O備都進行相應的管理，并對網(wǎng)絡中的實時信息進行及時反映，然后可以對得到的各種數(shù)據(jù)進行匯總、篩選、分析以及處理，從而提升終端對安全風險的反應能力，降低設備受到攻擊的機率。

篇2

珠三角作為我國經(jīng)濟發(fā)展的前沿陣地，經(jīng)濟市場化和外向化程度很高。但受當前國際金融海嘯的影響，國內(nèi)外經(jīng)濟形式發(fā)生深刻變化，區(qū)域發(fā)展受到嚴重沖擊。國家從戰(zhàn)略全局和長遠發(fā)展出發(fā)，制定出珠三角地區(qū)改革發(fā)展規(guī)劃綱要，用以指導珠三角經(jīng)濟結(jié)構(gòu)轉(zhuǎn)型和發(fā)展方式轉(zhuǎn)變，推進區(qū)域一體化建設。

我們把以政府為主體的一切負有公共事務管理職能的組織(包括行政機關，法律法規(guī)授權(quán)、委托的組織，來源于納稅人稅款的政府財政撥款的社會團體、組織等公共事業(yè)法人和社會組織)在行政過程中產(chǎn)生、收集、整理、傳輸、、使用存儲和清理的所有信息，稱為公共信息。珠三角地區(qū)是我國信息化程度的高度集中的地區(qū)，“數(shù)字珠三角”的提出，使公共信息在珠三角地區(qū)更富多元化和復雜化，而公共信息安全問題解決的好壞直接關系到區(qū)域的，社會的長治久安，國家的安全與穩(wěn)定。珠三角作為我國新時期探索科學發(fā)展模式的試驗區(qū)，在摸索構(gòu)建信息安全聯(lián)動體系的道路上更應體現(xiàn)“科學發(fā)展，先試先行”的核心理念，在危與機并存的新形式下，信息安全正面臨著嚴峻的挑戰(zhàn)，建立信息安全聯(lián)動體系的呼聲也越發(fā)響亮。

一、珠三角地區(qū)公共信息安全現(xiàn)狀的分析

公共信息安全是指個人、組織、社會和國家在信息傳播過程中保護自身利益不受損害，它包括物理設施安全、技術(shù)安全、信息內(nèi)容安全等國家、社會公共安全的總和。珠三角地區(qū)目前信息化程度在全國處于領先地位，但在信息化普及過程仍存在諸多安全問題。

(一)信息共享渠道不暢。當前的難點在于信息歸部門所有，在信息管理上條塊分割現(xiàn)象嚴重，區(qū)域內(nèi)小到政府部門，大到地方政府，大多只考慮自身的管理和利益的需要，很少能從全局發(fā)展的戰(zhàn)略需求角度考慮，各部門，各地方間缺乏必要的溝通配合，相互問協(xié)調(diào)聯(lián)動不夠，信息獲取存在障礙，不能有效整合信息資源。面對突發(fā)安全事件時，由于事件自身具有復雜多變的特性，需調(diào)動各方力量，收集各類信息，對信息進行分門別類，分析提煉，加工處理，才能為決策領導層制定行之有效的解決對策提供素材。但因存在部門信息保護主義，以及訪問權(quán)限的設置問題，容易導致管理部門相互間推諉扯皮現(xiàn)象的出現(xiàn)，不僅不能及時便捷的處理問題，有時反而“延誤戰(zhàn)機”，造成不可估量的損失。

(二)電子政務建設華而不實。政府門戶網(wǎng)站提供服務的能力直接反映了政府信息化的綜合水平，同時也在一定程度上折射出真實政府的運作情況和應對信息威脅的能力。隨著珠三角地區(qū)經(jīng)濟的飛速發(fā)展，本地區(qū)的信息產(chǎn)業(yè)也不斷得到提高，電子政務建設無論在資金投入上還是技術(shù)設備上都處在全國領先地位，但同時也存在不少問題，一方面，珠三角地區(qū)在信息系統(tǒng)建設存在相互攀比，急于求成，重復建設的現(xiàn)象，有的政府部門為了實現(xiàn)所謂“政務公開，公務透明”的電子化辦公，盲目投資，建設內(nèi)容貧乏，失去時效，形同虛設的網(wǎng)站。不但容易造成資源的鋪張浪費，不利于對公共信息的采集、傳遞、確認、分析和理解，而且容易造成政出多門，辦事效率低下的深層問題。

一旦遭遇公共危機，政府信息系統(tǒng)在危機期間的信息采集，信息整合、信息將出現(xiàn)紊亂，導致政府信息準確性的降低，影響政府的公眾形象和政府公信力。另一方面，政府網(wǎng)絡有其特殊性，網(wǎng)絡和信息安全防護十分重要。但作為面向公共社會服務的信息平臺，卻沒有專門設立公共信息安全知識的服務型網(wǎng)站，公眾對公共安全基本知識缺乏了解。

(三)公共信息系統(tǒng)建設缺乏統(tǒng)一規(guī)范。公共信息系統(tǒng)的建設標準尚未規(guī)范和統(tǒng)一?！皵?shù)字珠三角”意味著信息化，信息化意味著網(wǎng)絡化，網(wǎng)絡化意味著互通互聯(lián)、資源共享，規(guī)范和統(tǒng)一信息建設標準十分重要j。珠三角各地的信息化程度普及率高，有條件率先實現(xiàn)統(tǒng)一的公共信息系統(tǒng)建設的標準。但鑒于珠三角城市問的經(jīng)濟發(fā)展水平和公共服務能力存在差距，如果全都劃一要求，一統(tǒng)到底，勢必造成“水土不服”。必須要有一個科學的，合理的、講求效益的界定。

(四)信息安全防范治理能力不強。公共信息安全的關鍵在于防范。目前，珠三角信息和網(wǎng)絡安全的防范能力處于發(fā)展的初步階段。許多應用系統(tǒng)處于不設防階段。全國范圍內(nèi)，包括珠三角地區(qū)的信息與網(wǎng)絡安全研究任停留在封堵現(xiàn)有信息系統(tǒng)的安全漏洞階段。區(qū)域的綜合信息安防能力面臨考驗。一方面，雖然珠三角地區(qū)的政府在推進信息安全的風險評估，風險控制，風險管理的推廣、規(guī)范工作上步伐較快，但維護信息安全的核心技術(shù)和關鍵技術(shù)卻基本被國外壟斷。對可信安全計算、信息安全內(nèi)容管理、網(wǎng)絡安全管理與風險評估、應急響應和安全應用支撐平臺等一系列網(wǎng)絡信息安全核心技術(shù)的自主研發(fā)仍處在起步階段，與國外先進國家、地區(qū)的信息安防技術(shù)能力存在明顯差距。另一方面，許多公眾和政府工作人員對公共信息安防領域的認識仍局限在防病毒、入侵檢測、vpn、垃圾郵件等基本防范手段上，而忽視對utm(統(tǒng)一威脅管理)、soc(安全運營中心)等新型信息防范手段的學習。

二、建立珠三角公共信息安全聯(lián)動體系的必要性

(一)面對人為事件、事故，自然災害建立聯(lián)動信息安防體系是公共安全的基本必要。珠三角在空間上是一個相互依存的系統(tǒng)，空間的分布并不是根據(jù)行政界線來劃分，珠江三角洲經(jīng)濟區(qū)毗鄰港澳，華僑、港澳同胞眾多，具有發(fā)展對外貿(mào)易和經(jīng)濟技術(shù)合作，引進外資和技術(shù)等方面優(yōu)越的條件，是我國對外開放的重點地區(qū)；地區(qū)內(nèi)的經(jīng)濟活動頻繁，相互間關系密切，在交通運輸、生產(chǎn)事故、刑事犯罪等人為事件、事故處理上具有區(qū)域的聯(lián)發(fā)聯(lián)動性，此外該地區(qū)是洪澇災害和臺風等自然災害的頻發(fā)地區(qū)，對自然災害的預防和應急亦需要跨地區(qū)跨部門的相互聯(lián)動合作。建立珠三角信息聯(lián)動體系，可以有效整合各地資源，及時有效的采取應對措施，排除險情，解除危難；保證在信息收集、分析、傳遞、方面的準確性和有效性，防止信息失真帶來的嚴重后果的。

(二)珠三角作為我國經(jīng)濟改革發(fā)展的“試驗田”，在區(qū)域經(jīng)濟一體化的政策導向下，建立聯(lián)動信息安防體系是公共安全的特殊必要。城市區(qū)域內(nèi)的矛盾和沖突是必然的，這是由于城市區(qū)域經(jīng)濟活動本身的外部性及信息不對稱所造成的。珠三角城市區(qū)域內(nèi)的某些地方政府，常通過建立地方保護鏈條、重復建設項目等手段，來實現(xiàn)地方利益的最大化，從而加大了珠三角地區(qū)城市間經(jīng)濟交易的成本，不利于經(jīng)濟一體化的形成。打破這種信息不對稱性所照成的城市經(jīng)濟“孤島危機”就必須建立公共信息共享以及安全保護的聯(lián)動體系，通過制度變遷，建立相應的城市區(qū)域信息協(xié)作組織，在安全可靠的環(huán)境下，對公共經(jīng)濟等信息實現(xiàn)互聯(lián)互動，不僅可以實現(xiàn)區(qū)域內(nèi)城市不同利益主體的相互間信息交流，降低不同利益主體達成交易的成本，并能對區(qū)域的經(jīng)濟發(fā)展現(xiàn)狀進行有效的監(jiān)督。

三、珠三角公共信息安全聯(lián)動體系的構(gòu)建和管理

(一)注重公共信息安全法律建設。

加強公共信息安全法制的立法工作。法律本身就是確保公共信息安全管理的一項重要保障，為有效貫徹落實國家信息安全等級保護制度，在總結(jié)基礎調(diào)查和試點工作的基礎上，國家頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》和印發(fā)了《信息安全等級保護管理辦法》等相關條例，確定了信息安全等級保護制度的基本內(nèi)容及各項工作要求，進一步明確了國家、公民、法人和其他組織在等級保護工作中的責任、義務，各職能部門在信息安全等級保護工作中的職責分工以及信息系統(tǒng)運營使用單位、行業(yè)主管部門的安全保障法律責任。

但是中國目前尚沒有形成專門的“公共信息安全”法規(guī)體系，還有許多公共領域在信息安全方面無法可尋、無法可依，地方性在公共信息安全方面的行政法規(guī)良莠不齊，難以統(tǒng)一。公共信息安全法律體系的研究可以選擇不同的切入點。按照法律效率，我們可以從法律、法規(guī)和規(guī)章層次討論信息安全的法律體系。也可以另辟蹊徑，以戰(zhàn)略作為出發(fā)點探討信息安全的法律體系。我國應從國情出發(fā)，積極探索加強信息安全法制建設的新思路，加快信息安全的立法工作，尤其是要加快信息安全基本大法的立法進程，以建立起一套既符合國際通行規(guī)則，又具有中國特色、門類齊全、層次分明、結(jié)構(gòu)嚴謹?shù)男畔踩审w系，為信息安全保障工作提供更有力的法律支撐j。在珠三角規(guī)劃出臺的新形勢下，國家可以不妨逐步探索、建設和制訂與區(qū)域一體化相適應的公共信息安全法律體系，這不僅有利于公共信息安全治理的規(guī)范化和穩(wěn)定化；有利于為公共信息系統(tǒng)安全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務；有利于優(yōu)化信息安全資源的配置，重點保障基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)安全；有利于明確國家、法人和其他組織、公民的信息安全責任，加強信息安全管理；有利于推動各類信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應社會主義市場經(jīng)濟發(fā)展的信息安全模式，為以后我國全面實施公共信息安全保護工作提供政策支持。

(二)建立統(tǒng)一的、共享的、安全的公共信息網(wǎng)絡系統(tǒng)。

首先，以信息資源開發(fā)利用為導向，加強珠三角公共數(shù)據(jù)整合。城市信息資源在信息化過程中得到不斷積累，只有以信息資源開發(fā)利用為導向，城市信息化綜合效益才能得到提高。到目前為止，各城市都建立了具有本地特色的數(shù)據(jù)庫，但是多數(shù)數(shù)據(jù)庫的使用都處于封鎖狀態(tài)，這嚴重影響了城市信息化建設的效益發(fā)揮。未來幾年，城市公共數(shù)據(jù)整合將成為未來城市信息化建設的一項重點工作。公共數(shù)據(jù)整合要結(jié)合城市經(jīng)濟發(fā)展戰(zhàn)略和現(xiàn)狀，構(gòu)建城市各部門、各組織共享的公共數(shù)據(jù)庫，這也是當前城市信息化建設中必須著力解決的重要課題。根據(jù)我國信息資源規(guī)劃和建設的總體要求，各地要建立一批具有公益性、基礎性、實用性的公共數(shù)據(jù)庫；加緊建設和健全自然人基礎信息庫、法人基礎信息庫，作為建構(gòu)公共數(shù)據(jù)庫的基礎，合理、高效地利用信息資源，整合現(xiàn)有的信息資源；加強生產(chǎn)、流通、科技、人口、資源、生態(tài)環(huán)境等領域的信息資源開發(fā)利用工作；加快教育、文化、公共文獻等領域信息資源的數(shù)字化、網(wǎng)絡化進程。

其次，加強信息和信息安全關鍵技術(shù)的自主研發(fā)，從技術(shù)上統(tǒng)一標準。當前，我國在信息和信息安全領域總體上處于關鍵技術(shù)和設備受制于人的被動局面，發(fā)展信息和信息安全高端技術(shù)、提高自主創(chuàng)新能力已經(jīng)成為我國掌握信息安全主動權(quán)的唯一出路。為加強信息和信息安全關鍵技術(shù)的研發(fā)，我國必須采取有效措施，建立健全堅強有力、運轉(zhuǎn)靈活、工作高效的新體制，全方位地指導信息和信息安全關鍵技術(shù)的規(guī)劃、研發(fā)、成果轉(zhuǎn)化，同時組織和動員各方力量，密切跟蹤世界先進技術(shù)的發(fā)展，逐步形成基礎信息網(wǎng)絡、重要信息系統(tǒng)以自主可控技術(shù)為主的新格局。

再次，建立完善的信息安全風險評估體系。在信息系統(tǒng)建設的同時，要進行信息安全的總體設計和信息系統(tǒng)安全工程建設，在系統(tǒng)驗收時必須對信息系統(tǒng)安全進行測評認證。對于已建的信息系統(tǒng)，要完善信息安全的總體設計和信息系統(tǒng)安全工程建設，進行系統(tǒng)安全測評認證。在信息系統(tǒng)建設中信息安全的投資應占系統(tǒng)投資的一定比例。各級機關和重點單位新建和改建信息系統(tǒng)必須配套建設信息安全子系統(tǒng)，并與主體工程實行同時設計、同時施工、同時投入使用。加強對修訂稿安全產(chǎn)品、服務商資質(zhì)、信息系統(tǒng)的安全管理與測評認證，在系統(tǒng)建設總體方案評審時強化對安全保障方案的審查和各項安全保障功能的認證。

最后，加強對信息網(wǎng)絡、信息產(chǎn)品和網(wǎng)上交易行為的監(jiān)管，提高對網(wǎng)上信息的跟蹤管理能力、對專案對象的監(jiān)控能力和對制造和傳播計算機病毒、非法入侵、泄密、竊密以及散布有害信息等行為的防范能力，嚴厲打擊危害計算機信息系統(tǒng)安全和利用計算機技術(shù)進行犯罪活動。保障國家秘密、商業(yè)秘密和個人隱私的權(quán)利，抵制不良文化、不實新聞在網(wǎng)上傳播，維護信息安全和社會穩(wěn)定。

(三)建立政府主導下的公共信息安全組織體系，落實安全管理責任制

篇3

2供電企業(yè)信息安全的影響因素

盡管供電公司投入了大量的財力、物力建設電網(wǎng)信息安全系統(tǒng)，但供電企業(yè)內(nèi)部網(wǎng)絡仍不健全，存在許多安全隱患。另外，供電公司信息化水平不高，信息安全保障措施薄弱也制約了其信息安全系統(tǒng)的建設。要構(gòu)建一個健全的供電公司信息安全保障體系，就要首先分析供電公司信息安全的影響因素，對癥下藥，進一步提出供電企業(yè)加強信息安全管理的對策。

2.1不可抗拒因素

所謂“不可抗拒因素”，就是由于火災、水災、供電、雷電、地震等自然災害影響，供電公司的供電線路、計算機網(wǎng)絡信號、計算機數(shù)據(jù)等受到破壞，并威脅到供電公司的信息安全。

2.2計算機網(wǎng)絡設備因素

供電公司計算機系統(tǒng)中使用大量的網(wǎng)絡設備，包括集線器、網(wǎng)絡服務器和路由器等，其正常運行關系著供電公司內(nèi)部網(wǎng)絡的正常運行，而計算機網(wǎng)絡設備的安全直接關系著供電公司的正常運行。

2.3數(shù)據(jù)庫安全因素

供電公司計算機系統(tǒng)監(jiān)控用戶峰值，管理用電客戶信息及其他用戶繳費等情況，計算機數(shù)據(jù)庫的系統(tǒng)安全決定了供電企業(yè)的調(diào)度效率，也決定了供電公司公共信息的安全。供電公司應該使用專用網(wǎng)絡設備，確保企業(yè)內(nèi)部網(wǎng)絡與外部互聯(lián)網(wǎng)的隔離。

2.4管理因素

供電公司員工的業(yè)務素質(zhì)和職業(yè)修養(yǎng)參差不齊，直接影響到供電公司的網(wǎng)絡安全。供電公司應該建立過錯追究制度，提高員工的信息化素質(zhì)，有效防止和杜絕管理因素造成的信息安全問題。

3供電企業(yè)加強信息安全管理的對策

3.1提升員工信息安全防患意識

開展信息安全管理工作，并非僅僅是系統(tǒng)使用或者管理部門的事，而是企業(yè)所有職工的事，因此，要增強全體員工的信息安全和防患意識。通過采取培訓和考核等有力措施，進一步提升全體員工對企業(yè)信息安全的認識，讓信息安全成為企業(yè)日常工作業(yè)務的一個組成部分，從而提升企業(yè)整體信息安全水平。

3.2采用知識型管理

傳統(tǒng)的安全管理大部分采取的是一種硬性的管理手段。在當今知識經(jīng)濟的時代，安全管理應當以知識管理為主，從而使得安全管理措施與手段也越來越知識化、數(shù)字化和智能化，促使信息安全管理工作進入一個嶄新的階段。

3.3設置系統(tǒng)用戶權(quán)限

為了預防非法用戶侵入系統(tǒng)，應按照用戶不同的級別限制用戶的權(quán)限，并投入資金開展安全技術(shù)督查和安全審計等相關活動。信息安全并非一朝一夕就能完成的事，它需要一個長期的過程才能達到較高的水平，需建立并完善相應的管理制度，從平時的基礎工作著手，及時發(fā)現(xiàn)問題，匯報問題，分析問題并解決問題。

3.4防范計算機病毒攻擊

加速信息安全管控措施的建設，在電力信息化工作中，辦公自動化是其中一項非常重要的內(nèi)容，而核心工作業(yè)務就是電子郵件的發(fā)送與接收，這也正是計算機病毒一個非常重要的傳播渠道。因此，必須大力促進個人終端標準化工作的建設，實現(xiàn)病毒軟件的自動更新、自動升級，不得隨意下載并安裝盜版軟件；加強對木馬病毒等的安全防范措施，對用戶訪問實施嚴格的控制。

3.5完善信息安全應急預案

嚴格規(guī)范信息安全事故通報程序，對于隱瞞信息事件的現(xiàn)象，必須嚴肅查處。對于國家和企業(yè)信息安全運行動態(tài)，要及時通報，分析事件，及時信息安全通告。對于己經(jīng)制定的相關預案和安全措施，必須落到實處。另外，還要進一步加強信息安全技術(shù)督查隊伍的建設，提高信息安全考核與執(zhí)行的力度。

3.6建立信息安全保密機制

加強信息安全保密措施的落實，禁止將計算機連接到互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡，完善外部人員訪問的相關授權(quán)、審批程序。定期組織開展信息系統(tǒng)安全保密的各項檢查工作，切實做好文檔的登記、存檔和解密等環(huán)節(jié)的工作。

篇4

一、“圖書館+”的內(nèi)涵

圖書館是搜集、整理、收藏圖書資料以供人閱覽、參考的機構(gòu)。“圖書館+”便是基于圖書館的基本定義根據(jù)當前教育、科技和經(jīng)濟的發(fā)展趨勢需要，對圖書館在傳統(tǒng)業(yè)務的組織、環(huán)境和服務形式等方面的業(yè)務進行拓展。這樣的服務拓展可以打破傳統(tǒng)服務價值的局限，是一種由多種價值融合而成的價值體系?！肮蚕怼北闶欠盏纳A，圖書館的“共享”一方面是指借閱空間的共享；另一方面是指數(shù)字資源和活動資源的共享。圖書館需要兼顧并用好相關關系，核心價值，跳幀思維，關注新的重點服務創(chuàng)新領域，不斷創(chuàng)新與深化圖書館服務的內(nèi)容。

二、“圖書館+”環(huán)境下圖書館服務模式的新常態(tài)

在全新的信息影響環(huán)境下，圖書館必須盡快擺脫用戶咨詢等服務的角色定位，逐漸轉(zhuǎn)為向用戶提供信息、知識創(chuàng)造等服務。（一）服務平臺多樣化。實現(xiàn)圖書館和其他組織的協(xié)同合作是圖書館創(chuàng)新服務模式的基本前提。人才、資金、管理是圖書館服務核心的因素，所以加強和社會組織間的合作成為創(chuàng)新服務模式的第一步。圖書館需要改變原有總分館縱向結(jié)構(gòu)的單一分布，聯(lián)合社會其他領域機構(gòu)橫向發(fā)展，開設“圖書館+組織”新型分館。1.機關、企事業(yè)單位、學校、福利院、養(yǎng)老院等場所建立流通服務點類型的分館。2.建立高校圖書館、公共圖書館、科研圖書館單位聯(lián)合加盟的文獻信息資源圖書館等共享的圖書館聯(lián)盟，實現(xiàn)文獻信息資源共建共享。3.創(chuàng)新“圖書館+24小時”的服務，由個別單位提供空間、人員，圖書館提供設備、技術(shù)等，突破圖書館現(xiàn)有開放時間限制，方便讀者用戶隨時借閱和歸還書籍。空間拓展的服務有助于促進用戶之間的信息交換，滿足個性化服務需求，促進知識的利用與再創(chuàng)造，進而提升讀者用戶的信息素養(yǎng)。（二）服務方式個性化。基于“圖書館+”創(chuàng)新服務模式的個性定制化服務是根據(jù)用戶需求，利用信息技術(shù)，對外部知識搜集、整理，對內(nèi)部隱藏的知識進行深入的挖掘和捕捉，這樣不僅能盡最大程度滿足不同的讀者需求，同時也能促進館員素質(zhì)和績效的提升，更能發(fā)揮圖書館在滿足和保障公民基本文化生活訴求與權(quán)利中的積極作用。中國圖書館學家杜定友明確提出圖書館有積極保存、科學處理和活用益人等功能。深化圖書館人文服務的核心價值，一方面是“以人為本”，圖書館“以人為本”的服務應該建立在服務對象認知和行為模式的基礎上；另一方面是重視并傳承文化，人文更多的是一個動態(tài)的概念，是指人類社會的各種文化現(xiàn)象。根據(jù)讀者不同的需求將人文生活中的善、愛、美通過不同的創(chuàng)作媒介貫穿于閱讀的各個環(huán)節(jié)中，實現(xiàn)讀者的自我實現(xiàn)和自我感知。每個讀者有其書，根據(jù)圖書館輻射范圍內(nèi)的讀者群的閱讀需求變化改變，包括紙質(zhì)圖書和數(shù)字資源采購在內(nèi)的資源配置，讓每個讀者都能找到自己需要的專業(yè)以及非專業(yè)的書籍?！皥D書館+”環(huán)境下的分館都具有自己的特色。社區(qū)圖書室的書目在內(nèi)容上適合社區(qū)群眾的閱讀愿望；機關分館的書籍滿足工作人員對學習專業(yè)知識的迫切需要；與書店協(xié)同合作的分館在體驗的形式上使讀者感受到高質(zhì)的美感，內(nèi)部的裝飾風格、色彩搭配、空間排架布局、主題配置相互融合讓讀者在感受到書香之美、閱讀之美的同時引導人們挖掘生活中的審美價值，增加人的幸福感。

三、“圖書館+”創(chuàng)新服務環(huán)境下的信息安全問題

網(wǎng)絡通信技術(shù)的開發(fā)使得溝通交流即時化。借助社交網(wǎng)絡平臺的即時溝通工具，圖書館和用戶形成彼此依存的緊密交流關系，用戶可以隨時隨地了解圖書館的動態(tài)信息并參與交流互動；圖書館也可以和用戶及時交流，充分了解用戶的信息需求，為用戶提供有針對性的專業(yè)化信息服務，幫助用戶有效及時地解決各種問題。同時，用戶可以通過網(wǎng)絡平臺更好更多地了解圖書館文獻信息資源和服務動態(tài)；圖書館讀者可以通過這些平臺對動態(tài)信息進行評論、轉(zhuǎn)發(fā)和分享，為用戶互動交流提供便利。在此環(huán)境下，信息安全平臺的建設對“圖書館+”的可持續(xù)發(fā)展將起到積極作用。網(wǎng)絡環(huán)境下，人們需要保護信息，使其在存儲、處理或傳輸過程中不被非法訪問或刪改，以確保自己的利益不受損害。因此，網(wǎng)絡安全必須有足夠強的安全保護措施，確保網(wǎng)絡信息的完整和可用。（一）“圖書館+”跨域結(jié)合的信息安全問題。“信息安全”可以從不同的角度來理解，因此出現(xiàn)了“網(wǎng)絡安全”“信息內(nèi)容安全”之類的區(qū)分，也出現(xiàn)了“機密性”“真實性”“完整性”“可用性”等描述方式。信息安全是指保持信息的保密性、完整性和可用性。信息安全取決于兩大要素：技術(shù)和管理?！皥D書館+”的創(chuàng)新服務環(huán)境下引入和建設的主體單位數(shù)量不等，所提供的服務種類也不同。對于機關、學校企業(yè)共建的圖書室，和社區(qū)、行政村合作開放的社區(qū)閱覽室、農(nóng)家書屋，還有跟街道協(xié)同合作的“24小時”自助服務都是在依附于圖書館之外的單位所提供的資源基礎上建設的，這樣組織的方式導致組織成員的數(shù)字化水平不一，管理方式不一。因此，“圖書館+”的信息安全涉及計算機網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)、各類硬件設施，以及人員等不同層面。圖書館在提供的數(shù)據(jù)資源遠程訪問服務和自動化服務系統(tǒng)都涉及到信息的保密和安全使用。（二）新環(huán)境下主題安全意識不足問題?！皥D書館+”首先是主體之間的協(xié)同合作，然而各個主體并沒有相當?shù)男畔踩庾R。首先是工作人員。其中包括圖書館的管理者、信息工作人員以及其他合作機構(gòu)的具體工作負責人員。其次是廣大的讀者用戶。絕大多數(shù)人認為只要保護好自己的用戶名和密碼就足夠了，而且很多的初始密碼未經(jīng)更改，這就為人為破壞提供了便利。如果這樣的觀念不能轉(zhuǎn)變，不能正確對待讀者信息和數(shù)據(jù)庫的安全，那么任何具體的改進工作都不能得到真正的支持。（三）技術(shù)飛速發(fā)展階段的自身缺陷問題。技術(shù)本身的缺陷主要體現(xiàn)在設備的落后和專業(yè)人才的匱乏。在通信技術(shù)飛速發(fā)展的互聯(lián)網(wǎng)時代加快了軟硬件的更新速度，這大大縮減了設備正常服務的時限，尤其是一些核心設備，例如服務器、防火墻、交換機等不能承受數(shù)據(jù)時代帶來的更大負荷，不能在新的網(wǎng)絡環(huán)境下負起安全衛(wèi)士的職責。在“圖書館+”的服務模式下服務端口的大量增加促使這樣的漏洞帶來的風險成倍增加?；ヂ?lián)、互通、共享是“圖書館+”服務的目標，其中還運用到各種網(wǎng)絡協(xié)議、虛擬局域網(wǎng)技術(shù)，這些技術(shù)帶來便利的同時，風險系數(shù)也相應提高。（四）信息安全管理體系不完善問題。在人員和資源配置上沒有建立科學、系統(tǒng)、高效的信息安全管理體系。1.技術(shù)的監(jiān)管沒有統(tǒng)一的標準。對各個端口的授權(quán)程度不一，這就造成了管理上的不便，這種權(quán)限包括讀、寫、執(zhí)行等從屬權(quán)，而授權(quán)通常是通過訪問控制來實現(xiàn)的。在管理中心防火墻方面，應該及時統(tǒng)一保存和修改其用戶和密碼，刪除或者屏蔽不需要的功能，避免安全產(chǎn)品本身留有安全漏洞。2.沒有統(tǒng)一病毒防治程序和入侵檢測系統(tǒng)。3.未能根據(jù)實踐中的信息安全方針和各部門的實際情況制定不同的管理體系，主管部門之間統(tǒng)籌協(xié)調(diào)和協(xié)同建設不夠，因為在政策上和法律上沒有相應的規(guī)范。

四、“圖書館+”信息安全平臺的建設

首先，在技術(shù)方面需要完善安全的技術(shù)。安全技術(shù)是信息安全工程的重要組成部分,許多信息系統(tǒng)的安全性保障都要依靠技術(shù)的手段來實現(xiàn)。沒有技術(shù)的保障，信息安全的概念不能付諸實踐行動，只有在信息安全的環(huán)境下才能完整“圖書館+”服務模式創(chuàng)新的價值。其次，在管理方面需要健全有關信息安全的各項管理制度，人人遵守相應的職業(yè)道德。從圖書館管理的角度看，信息安全防范是以能夠認識或意識到信息處于不安全的現(xiàn)狀為前提，然后考慮深究如何發(fā)現(xiàn)潛在的危險，分門別類制定相應的防范策略，制定嚴格的信息安全規(guī)范，由各方面具體的工作人員來逐步落實，做到信息安全管理日?；＃ㄒ唬娀夹g(shù)手段應對安全風險。1.防范型技術(shù)應對。定期做好數(shù)據(jù)的備份工作，對數(shù)據(jù)的保存采用新的存儲設備和磁盤陣列技術(shù)，數(shù)據(jù)備份能實時對局域網(wǎng)的數(shù)據(jù)及系統(tǒng)進行集中統(tǒng)一備份，備份策略采用完全備份與增量備份相結(jié)合的方式。對于軟件（主要指圖書館操作系統(tǒng)以及網(wǎng)頁平臺）應做好更新和維護的工作。對每一臺連接到圖書館中心服務器的客戶機部署防病毒和防入侵軟件。利用抗病毒技術(shù)可以及時發(fā)現(xiàn)內(nèi)外網(wǎng)的入侵和破壞，阻止網(wǎng)絡病毒的廣泛傳播，并通過殺毒和隔離的手段進行相應控制，讓圖書館數(shù)據(jù)網(wǎng)絡系統(tǒng)免受其危害。2.應用型技術(shù)部署。針對“圖書館+”環(huán)境下的特殊部門（如機關、企業(yè)、學校等）要建設涉密系統(tǒng)。采用身份認證系統(tǒng)，建立相應的身份認證的平臺，加強用戶身份認證，防止對網(wǎng)絡資源的非授權(quán)訪問以及越權(quán)操作，加強口令的管理。對各個組織、行業(yè)的使用權(quán)限作系統(tǒng)科學的規(guī)劃和分配，例如對需要進行圖書編目加工的用戶打開采編模塊的權(quán)限，對有讀者信息注冊修改需求的用戶開放讀者管理的權(quán)限。授權(quán)的原則需要因時制宜、因需而定，不能蕭規(guī)曹隨，靈活采取必要的手段和緊急應對措施。為確保信息在各服務點和圖書館之間交換過程中信息的完整性、保密性、真實性，采用先進的對稱密碼算法、公鑰密碼算法、數(shù)字簽名技術(shù)、數(shù)字摘要技術(shù)和密鑰分發(fā)等加解密技術(shù)。例如在RFID系統(tǒng)中，利用密鑰無線生成的方法（WirelessKeyGeneration，WiKey）可以實現(xiàn)在RFID標簽上生成密鑰。WiKey的基本思想是利用RFID系統(tǒng)中讀寫器向標簽傳輸信息的信道（前向信道）與標簽向讀寫器分別生成密鑰碎片，然后標簽再混合這兩部分的密鑰碎片從而生成共享密鑰。從而使標簽和讀寫器之間利用共享密鑰進行認證和識別的操作更加安全可靠，防止隱私信息被獲取甚至被修改。讓不同年齡段的讀者在不同的地方都可以安全地完成借還書和信息檢索的操作。（二）制定完善的信息安全管理制度。信息安全不單是技術(shù)過程，更是管理過程。信息安全管理是組織中用于指導和管理各種控制信息安全風險的一組相互協(xié)調(diào)的活動，是通過維護信息的機密性和完整性來管理保護組織所有資產(chǎn)的一項體制。其目的是盡量做到在有限的成本下保證信息的安全，其內(nèi)容包括制定信息安全政策、制定規(guī)范與方式選擇的操作流程和對人員進行安全意識培訓等一系列工作。多口徑多標準的“圖書館+”平臺更需要統(tǒng)一標準和系統(tǒng)化的管理方式。建立高效可行的管理體系，涉及人員的分配安排、資源的管理還有人員的組織培訓。對系統(tǒng)漏洞引起的管理不善并發(fā)導致的損失由組織承擔相應的責任，并對問題做系統(tǒng)分析評估報告。建立預警防控體系。預警防控體系中網(wǎng)絡安全管理人員必須對整個局內(nèi)網(wǎng)體系的安全防御策略及時地進行檢測、修復和升級，嚴格履行國家標準的信息安全管理與監(jiān)控機制，能實行虛擬局域網(wǎng)內(nèi)統(tǒng)一安全配置，調(diào)控多層面分布式的安全問題，提高整個網(wǎng)絡的的安全預警能力，加強對應急事件的處理能力，實現(xiàn)“圖書館+”創(chuàng)新服務模式下信息安全化的可控性。加強對從業(yè)人員的職業(yè)道德教育顯得也極其重要。如果他們有著很高的職業(yè)道德，他們就可以在文化服務的領域作出積極的貢獻。所以，圖書館應該為每個客戶端口的工作人員組織定期的業(yè)務培訓工作。培訓的內(nèi)容包括：1.工作技能的培訓；2.信息安全意識的提高；3.如何向用戶宣傳并培養(yǎng)信息安全意識。（三）完善信息安全溝通渠道和服務反饋體系。與用戶加強溝通，有利于促進圖書館文獻信息服務學術(shù)化、專業(yè)化的演變，有利于多角度、多方位地為用戶提供時效性強、有針對性的信息安全措施?！皥D書館+”的信息安全反饋體系有利于提升整個圖書館的服務水平，對于閱讀推廣的可持續(xù)發(fā)展具有指導性的意義。反饋體系包括內(nèi)部和外部的評價：一是基于讀者在使用過程中的一些評價指標，比如實際操作中的可靠性，對讀者本身的使用是否方便，是否有創(chuàng)意。二是從內(nèi)部角度，根據(jù)安全事故發(fā)生的緣由聯(lián)系經(jīng)費預算、人力綜合評價信息安全平臺是否達到了預期設想的效果。將兩種評價的標準對接融合，構(gòu)成簡單的反饋指標體系。

篇5

中圖分類號：D631.1 文獻標識碼：A 文章編號：1674-098X（2016）09（a）-0003-02

由于工業(yè)信息技術(shù)與軟件的使用日益普及，公安信息化網(wǎng)絡安全問題也日漸增多，網(wǎng)絡安全問題不是純粹的技術(shù)問題，是技術(shù)與管理的綜合，而是一項復雜的系統(tǒng)工程。公安信息化是實現(xiàn)公安工作現(xiàn)代化的必由之路。公安信息網(wǎng)絡的安全保障工作直接關系到公安工作的效率和成果。對公安信息網(wǎng)絡實行分等級保護是保障公安信息網(wǎng)絡安全的一個很好的方法。

全國公安信息化建設工作開展以來，各地公安信息化建設取得了一定的成果。各地的公安信息化建設成果的表現(xiàn)也不盡相同。2013年，秦皇島成為全國首批“智慧城市”試點城市。秦皇島公安信息化的建設與“智慧城市”的建設相互促進。該文運用文獻查閱法、對比分析法、系y分析法等方法，對公安信息化、公安信息化建設、“智慧城市”等相關理論進行闡述。明確公安信息化概念、標志、特征以及重要意義；明確公安信息化建設的內(nèi)涵、影響因素、建設內(nèi)容以及評價內(nèi)容；明確“智慧城市”的內(nèi)涵、特征、應用以及“智慧城市”與公安信息化建設的關系。在相概觀念明確的基礎上，從秦皇島市公安信息化建設的規(guī)劃布局、基礎網(wǎng)絡建設情況（包括通訊網(wǎng)絡、平安城市監(jiān)控點、智能交通設施的建設）、公安應用系統(tǒng)建設情況（一、二、三級平臺建設情況、數(shù)據(jù)研判平臺、交通綜合指揮平臺、便民服務平臺建設情況）、應急保障體系建設情況、保障體系建設情況（領導、組織、人才、資金）、服務實戰(zhàn)及成效方面（高清視頻監(jiān)控系統(tǒng)、智能交通）進行現(xiàn)狀分析，發(fā)現(xiàn)秦皇島公安信息化建設在基礎網(wǎng)絡、應用平臺體系、技術(shù)力量、體制建設等方面的問題以及復雜的挑戰(zhàn)。

1 計算機網(wǎng)絡安全體系結(jié)構(gòu)的組成

計算機網(wǎng)絡安全體系結(jié)構(gòu)是由硬件網(wǎng)絡、通信軟件以及操作系統(tǒng)構(gòu)成的，對于一個系統(tǒng)而言，首先要以硬件電路等物理設備為載體，然后才能運行載體上的功能程序。通過使用路由器、集線器、交換機、網(wǎng)線等設備，用戶可以搭建自己所需要的通信網(wǎng)絡。對于小范圍的無線局域網(wǎng)而言，人們可以使用這些設備搭建用戶需要的通信網(wǎng)絡，最簡單的防護方式是對無線路由器設置相應的指令來防止非法用戶的入侵，這種防護措施可以作為一種通信協(xié)議保護，目前廣泛采用WPA2加密協(xié)議實現(xiàn)協(xié)議加密，用戶只有通過使用密匙才能對路由器進行訪問，通常可以將驅(qū)動程序作為操作系統(tǒng)的一部分，經(jīng)過注冊表注冊后，相應的網(wǎng)絡通信驅(qū)動接口才能被通信應用程序所調(diào)用。網(wǎng)絡安全通常是指網(wǎng)絡系統(tǒng)中的硬件、軟件要受到保護，不能被更改、泄露和破壞，能夠使整個網(wǎng)絡持續(xù)穩(wěn)定地運行，信息能夠得已完整地傳送，并得到很好保密。因此計算機網(wǎng)絡安全涉及到網(wǎng)絡硬件、通信協(xié)議、加密技術(shù)等領域。

2 信息安全管理

公安機關網(wǎng)絡信息管理指的是公安機關工作人員通過規(guī)定的手段保證信息、數(shù)據(jù)、服務和通信的安全等。公安部門的安全管理系統(tǒng)是一個持續(xù)的過程，必須加以確定并不斷審查。計算機網(wǎng)絡安全系統(tǒng)作為公安機關的主要軟件，并盡一切努力使公安機關網(wǎng)絡信息更安全，同時提高公安系統(tǒng)工作人員的IT安全意識。網(wǎng)絡安全解決方案和數(shù)據(jù)安全在公安領域也起到了至關重要的作用。加強信息的安全管理，防止各種信息的泄漏和竊取，有效打擊各種形態(tài)的網(wǎng)絡犯罪，已成為當前公安網(wǎng)絡建設的重要課題。

3 數(shù)據(jù)安全

越來越多的設備連接到互聯(lián)網(wǎng)，也受到常用辦公操作系統(tǒng)的間接控制。如今網(wǎng)絡入侵變得更有針對性，黑客只向配備關鍵安全功能的少數(shù)計算機發(fā)送惡意軟件，通常是為了進行間諜活動。這意味著，病毒和特洛伊木馬可以很長一段時間不被察覺，在被殺毒軟件捕獲之前已造成很大損害。因此，有效的數(shù)據(jù)保護措施必須提供全方位的深入保護。網(wǎng)絡安全策略是網(wǎng)絡安全計劃的說明，目的是設計和構(gòu)造網(wǎng)絡的安全性，以防御來自內(nèi)部和外部入侵者的行動計劃及阻止網(wǎng)上泄密的行動計劃。因此，建立網(wǎng)絡的安全策略，應在建網(wǎng)定位的原則和信息安全級別選擇的基礎上制定。公安信息系統(tǒng)安全問題的解決依賴于技術(shù)和管理兩方面，在采取技術(shù)措施保障網(wǎng)絡安全的同時，還應建立健全網(wǎng)絡信息系統(tǒng)安全管理體系，通過以上管理機制和技術(shù)措施的實施，提高網(wǎng)絡安全性，降低網(wǎng)絡安全事故的風險，保證網(wǎng)絡長期平穩(wěn)運行。

4 結(jié)語

社會信息化的發(fā)展給公共安全領域帶來了機遇和挑戰(zhàn)。敵對勢力和不法分子利用信息技術(shù)的犯罪活動越來越多，公安機關在維護社會治安、打擊違法犯罪活動中所涉及的業(yè)務信息量也在急劇地增加。在這種時代背景下，公安信息化建設顯得十分重要。公安信息化建設非常有必要，并且具有深遠意義。公安信息化是提高執(zhí)法質(zhì)量的必由之路，公安信息化有利于提高公安的工作水平，公安信息化有利于共享信息資源和情報，從而更好地打擊犯罪。公安工作信息化的目標，就是通過大力推廣應用現(xiàn)代電子信息技術(shù)，實現(xiàn)公安工作的信息共享、快速反應與高效運行。由此可見，眾多的網(wǎng)絡安全風險需要考慮，因此，公安部門必須采取統(tǒng)一的安全策略來保證網(wǎng)絡的安全性。

參考文獻

[1] 何姍.公安信息網(wǎng)絡安全保障策略研究[J].信息安全與技術(shù)，2011（8）：5-7.

[2] 尹曉雷，于明，支秀玲.公安內(nèi)部網(wǎng)絡安全問題及解決方法[J].信息技術(shù)與信息化，2010（1）：18-22.

篇6

關鍵詞：

供水企業(yè)信息集成系統(tǒng)；等級保護；信息安全

供水行業(yè)對國計民生很重要的一個行業(yè)，供水企業(yè)的業(yè)務性質(zhì)要求以信息的整體化為基本立足點，集中管理所有涉及運營的相關數(shù)據(jù)，針對供水企業(yè)運行的特殊要求，進行集中的規(guī)劃和架構(gòu)，將不同專業(yè)的應用系統(tǒng)進行整合，最終形成完整的供水企業(yè)綜合信息平臺。[1]而集成系統(tǒng)中最重要的一個要求就是信息安全。

隨著大數(shù)據(jù)時代的到來，網(wǎng)格、分布式計算、云計算、物聯(lián)網(wǎng)等新技術(shù)相繼推出，對供水企業(yè)信息集成與應用也提出了更高的要求。而隨著應用的擴展，應用中存在著大量的安全隱患，網(wǎng)絡黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統(tǒng)。根據(jù)美國Radicati公司于2015年3月的調(diào)查報告，截至2014年12月，網(wǎng)絡攻擊已經(jīng)為全球計算機網(wǎng)絡安全造成高達上萬億美元的損失。而且隨著網(wǎng)絡應用的規(guī)模進一步上升，計算機網(wǎng)絡信息安全威脅造成的損失正在呈幾何級數(shù)增長。根據(jù)2015年的中國網(wǎng)絡安全分析報告，2014年報告的網(wǎng)絡安全攻擊事件比2013年增加了100多倍。2014年，搜狗由于網(wǎng)絡黑客攻擊導致搜索服務在全國各地都出現(xiàn)了長達25分鐘無法使用。2014年7月，某域名服務商的域名解析服務器發(fā)生了網(wǎng)絡黑客的集中式攻擊，造成在其公司注冊的13%的網(wǎng)站無法訪問，時間長達17個小時，經(jīng)濟損失不可估量。因此，從信息安全的角度，要對供水企業(yè)信息集成系統(tǒng)進行防護，降低信息安全事故的發(fā)生的概率，降低其危害，是本文需要研究的內(nèi)容。

1當前供水企業(yè)信息集成系統(tǒng)安全防護的現(xiàn)狀和存在的問題

伴隨著科技的不斷發(fā)展，供水企業(yè)的信息化建設也得到了很大的發(fā)展，主要是從深度和廣度兩個層面做進一步拓展。典型的供水企業(yè)信息集成系統(tǒng)涵蓋了生產(chǎn)調(diào)度系統(tǒng)、銷售系統(tǒng)、管網(wǎng)信息系統(tǒng)、財務管理系統(tǒng)、人事管理系統(tǒng)、辦公自動化系統(tǒng)等子系統(tǒng)。其中多個系統(tǒng)數(shù)據(jù)需要接受外部訪問，存在大量的安全隱患。目前，威脅到供水企業(yè)信息安全的風險因素主要分為三個大類：1）人為原因，如惡意的黑客攻擊、不懷好意的內(nèi)部人員造成的信息外泄、操作中出現(xiàn)低級錯誤等。2）數(shù)據(jù)存儲位置位置的風險?？赡苡勺匀粸暮σl(fā)的問題，缺乏數(shù)據(jù)備份和恢復能力。3）不斷增長的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風險。包括未知的安全漏洞、軟件版本、安全實踐和代碼更改等。

2有關分級防護的要求

尤其是供水企業(yè)信息集成系統(tǒng)中，存在大量涉及公民個人隱私的信息，也存在像生產(chǎn)調(diào)度這樣涉及國計民生的信息。因此，需要按照國家有關信息安全的法律法規(guī)，明確企業(yè)的信息安全責任。提升供水企業(yè)信息管理區(qū)內(nèi)的業(yè)務系統(tǒng)信息安全防護。依據(jù)《信息安全等級保護管理辦法》（公通字[2007]43號）第十四條，信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。定級標準按照國家標準《信息系統(tǒng)安全等級保護定級指南》（GB/T22240—2008）實施，根據(jù)等級保護相關管理文件，信息系統(tǒng)的安全保護等級分為以下五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。等級保護對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種：1）造成一般損害；2）造成嚴重損害；3）造成特別嚴重損害。

3分別防護實施步驟

根據(jù)有關法律法規(guī)，建設完成并投入使用的信息系統(tǒng)，其有關使用此系統(tǒng)的單位需要對其系統(tǒng)的等級狀況做定期的測評。供水企業(yè)要遵照要求選擇具有資質(zhì)的測評機構(gòu)來對管理信息區(qū)的業(yè)務系統(tǒng)做等級保護的測評工作。其所得到的結(jié)果如下表1所示：通常情況下，供水企業(yè)信息系統(tǒng)中不會出現(xiàn)第四級和第五級的系統(tǒng)。根據(jù)測評結(jié)果，有必要對供水企業(yè)內(nèi)部的局域網(wǎng)進行系統(tǒng)化整改。具體的整改內(nèi)容包括兩項主要內(nèi)容：細化各業(yè)務系統(tǒng)服務器的物理位置；按照需求設置信息安全區(qū)域。根據(jù)供水企業(yè)信息集成系統(tǒng)的具體實際，主要有等級包括三個業(yè)務區(qū)域，以及一個公共業(yè)務區(qū)和測評業(yè)務區(qū)。按照上述原則對供水企業(yè)信息集成系統(tǒng)服務器做物理劃分如圖1所示。不同等級的系統(tǒng)服務器針對不同級別的信息安全區(qū)進行設置。等級為一、二、三的業(yè)務區(qū)分別安裝著對應的服務器，而公共業(yè)務區(qū)域的服務器主要是DNS服務器或者是域服務器。公共業(yè)務區(qū)服務器主要為基礎服務提供非業(yè)務系統(tǒng)服務，不需要進行保護分級。測評業(yè)務區(qū)提供是投入正式使用前的測試服務器。

依據(jù)表1的測評結(jié)果，將安全區(qū)域進行細化表2所示的就是企業(yè)管理信息區(qū)，其主要業(yè)務系統(tǒng)對安全區(qū)域存放問題的展示。根據(jù)表2得到的結(jié)果，可以將信息安全設備存放在不同信息區(qū)域邊界內(nèi)，以此達到服務器分級防護目的。信息安全設備設置在信息安全區(qū)域邊界，也就是局域網(wǎng)與信息安全區(qū)域之間的連接部。信息安全設備主要是防火墻、查殺病毒、攻擊防護、服務防護禁止、授權(quán)等。對于不同區(qū)域邊界的信息安全的部署建議，供水企業(yè)要遵照各自的實際情況做周密的設置。供水企業(yè)管理信息安全區(qū)域邊界防護表見表3。將信息安全防護設備部署在所在的區(qū)域邊界內(nèi)，如此可以初步實現(xiàn)對供水企業(yè)管理信息區(qū)的信息安全防護。

4結(jié)束語

隨著大數(shù)據(jù)的發(fā)展，對供水企業(yè)信息集成系統(tǒng)在數(shù)據(jù)的交互和應用方面會提出更高的要求，也大大加強了安全防護措施的重要性和迫切性。在安全防護措施基本到位的前提下，還需要加強信息審計，及時發(fā)現(xiàn)和補救系統(tǒng)缺陷，加強數(shù)據(jù)庫安全防護，維護管理系統(tǒng)的隱患。

參考文獻：

篇7

近年來，事關食品藥品安全問題，無論是“蘇丹紅”風聲鶴唳，還是“強生”膽戰(zhàn)心驚，以及Pvc保鮮膜含致癌物質(zhì)，總是國外相關機構(gòu)發(fā)出警告信息后，國內(nèi)的監(jiān)管部門才行動起來。一連串的事件讓人產(chǎn)生疑問，我們的食品藥品安全信息為何總當國外的“跟屁蟲”。

究其成因，食品安全信息交流制度的空缺，使國內(nèi)信息安全調(diào)查總是慢半拍。在國外，要求收集信息必須準確，并要在研究單位、政府機構(gòu)、糧食生產(chǎn)與食品加工企業(yè)及消費者之間進行有效交流，以便增加透明度，努力保證食品安全。同時，收集其他國家的食品安全信息并開展交流。譬如，日本建立了及時有效的從國際組織及海外各國收集信息的機制。而在國內(nèi)，不僅內(nèi)部食品信息交流網(wǎng)絡尚未架構(gòu)起來，而且與國外信息交流更是少得可憐。

信息披露環(huán)節(jié)過多，也使得信息很難做到及時、公開。從國外來講，一些食品藥品監(jiān)督管理部門可以在收集到可靠信息后立即相關警告或指令。而在國內(nèi)，都必須上報上級主管衛(wèi)生部門，然后再通過上級部門結(jié)合實際情況，進行嚴格審批，在最大程度地保證消費者利益和國內(nèi)市場各方面均衡發(fā)展的基礎上，衛(wèi)生部才相關的產(chǎn)品安全警告或提醒。如此眾多環(huán)節(jié)，讓我們不難理解，為何安全警告總是姍姍來遲。

檢測標準嚴重滯后，更讓洋品牌常常在出現(xiàn)安全問題后，總是表現(xiàn)得傲慢無禮。在很多情況下，國家質(zhì)檢部門不是不想向公眾及時發(fā)出安全信息，而是心有余而力不足。比如說，我國1996年出臺《食品添加劑使用衛(wèi)生標準》，其中規(guī)定禁止將“蘇丹紅一號”作為食品添加劑用于食品生產(chǎn)。但10年后發(fā)生蘇丹紅事件后，國家仍還沒有出臺統(tǒng)一的有關“蘇丹紅一號”的檢測方法和標準。再以麥樂雞所含的化學物質(zhì)為例，由于目前對這種物質(zhì)沒有國家統(tǒng)一易行的檢測標準和手段，只能任其自說自話，信口雌黃。

說到底，食品安全信息的準確及時，考驗著一個政府的公共管理水平和智慧。安全信息警告為何總是先國外后國內(nèi)?這無疑給我們提了個醒：信息交流機制如何架構(gòu)?信息披露機制如何做到暢通無阻?國內(nèi)安全檢測標準的缺失如何盡早彌補?類似問號都應當引起我們的高度重視，盡早拉平拉直。

篇8

中圖分類號：TP39文獻標志碼：A

1引言

工業(yè)控制系統(tǒng)（IndustrialControlSystems，ICS）是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件，共同構(gòu)成的確保工業(yè)基礎設施自動化運行、過程控制與監(jiān)控的業(yè)務流程管控系統(tǒng)[1]?，F(xiàn)代的ICS網(wǎng)絡，越來越依靠于商業(yè)IT和Internet領域的操作系統(tǒng)、開放協(xié)議和通信技術(shù)，這些技術(shù)已被證明存在著脆弱性。通過將ICS連接到互聯(lián)網(wǎng)或其他公共網(wǎng)絡，ICS脆弱性就暴露給潛在的攻擊者[2]。

為了提高工業(yè)控制系統(tǒng)的安全性，現(xiàn)在一般從兩方面考慮：一方面是提高工業(yè)控制系統(tǒng)的自身安全性，從設計階段就開始安全性架構(gòu)，并落實在工控系統(tǒng)的研發(fā)、部署、運行的各個階段；另一方面是通過附加信息安全保障手段（如在系統(tǒng)中部署信息安全專用產(chǎn)品）在一定程度上彌補系統(tǒng)本身的安全漏洞。由于工業(yè)控制系統(tǒng)對高穩(wěn)定性和高可用性的要求，通過附加信息安全保障的方式來提升工控安全性是目前最容易實現(xiàn)和被接受的方式。

工業(yè)控制系統(tǒng)本質(zhì)上是一類信息系統(tǒng)，因此工控系統(tǒng)的安全性問題是信息系統(tǒng)安全性與工業(yè)控制系統(tǒng)的特點相結(jié)合產(chǎn)生的。美國國家安全局（NationalSecurityAgency，NSA）針對信息系統(tǒng)的安全保障陸續(xù)制定了多個版本的信息保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）[3]，成為信息安全保障的權(quán)威架構(gòu)。IATF把信息安全保障分為四個環(huán)節(jié)：防護（Protection）、檢測（Detection）、響應（Response）和恢復（Recovery）。首先采取各種措施對需要保護的對象進行安全防護，然后利用相應的檢測手段對安全保護對象進行安全跟蹤和檢測以隨時了解其安全狀態(tài)。如果發(fā)現(xiàn)安全保護對象的安全狀態(tài)發(fā)生改變，特別是由安全變?yōu)椴话踩瑒t馬上采取應急措施對其進行響應處理，直至恢復安全保護對象的安全狀態(tài)。這四個部分相輔相成，缺一不可，構(gòu)成了公認的PDRR模型，如圖1所示。

從PDDR模型的“檢測”環(huán)節(jié)入手，對工業(yè)控制系統(tǒng)的信息安全產(chǎn)品進行測試與評估，建立工控信息安全產(chǎn)品測試評價體系，為工業(yè)控制系統(tǒng)信息安全測評提供專業(yè)化的理論支撐和實踐引領，一方面有效幫助供應商大力提升其產(chǎn)品和系統(tǒng)的安全保障能力，另一方面為用戶選購工控系統(tǒng)信息安全產(chǎn)品，提高工控系統(tǒng)安全性提供支持。通過對安全測評結(jié)果的綜合分析，為相關主管部門提供真實、全面的安全態(tài)勢分析報告，促進工業(yè)控制領域信息安全保障工作的開展。

2工業(yè)控制系統(tǒng)的信息安全要求

工業(yè)控制系統(tǒng)有許多區(qū)別于傳統(tǒng)信息系統(tǒng)的特點，包括不同的風險和優(yōu)先級別。其中包括對人類健康和生命安全的重大風險，對環(huán)境的嚴重破壞，以及金融問題如生產(chǎn)損失和對國家經(jīng)濟的負面影響。工業(yè)控制系統(tǒng)有不同的性能和可靠性要求，其使用的操作系統(tǒng)和應用程序?qū)Φ湫偷腎T支持人員而言可能被認為是不方便的。此外，安全和效率的目標有時會與控制系統(tǒng)的設計和操作的安全性發(fā)生沖突（如，需要密碼驗證和授權(quán)不應妨礙或干擾ICS的緊急行動）。

美國NIST的《工業(yè)控制系統(tǒng)信息安全指南》[4]對ICS與IT的差異進行了全面的總結(jié)，這些顯著差異的存在導致工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)在通信、主機應用、外聯(lián)訪問等方面采取了不同的策略。

傳統(tǒng)信息系統(tǒng)的信息安全通常都將保密性放在首位、完整性放在第二位、可用性則放在最后。工控系統(tǒng)安全目標優(yōu)先級順序則恰好相反。其首要考慮的是所有系統(tǒng)部件的可用性、完整性則在第二位、保密性通常都在最后考慮，這些需求體現(xiàn)如下：

（1）工控系統(tǒng)的可用性則直接影響到企業(yè)生產(chǎn)，生產(chǎn)線停機或者誤動都可能導致巨大經(jīng)濟損失，甚至是人員生命危險和社會安全破壞。

（2）工控系統(tǒng)的實時性要求很高，系統(tǒng)要求響應時間大多在毫秒級或更快等級，而通用管理系統(tǒng)能夠接受秒級或更慢的等級。

（3）工控系統(tǒng)對持續(xù)穩(wěn)定可靠運行指標要求很高，信息安全必須具備保證持續(xù)的可操作性及穩(wěn)定的系統(tǒng)訪問、系統(tǒng)性能以及全生命周期安全支持。

3工控信息安全產(chǎn)品

由于工控系統(tǒng)的自身特點以及對可用性的高度要求，適用于工業(yè)控制系統(tǒng)的信息安全產(chǎn)品也需要著重考慮工控系統(tǒng)的特點。目前使用相對比較廣泛的工控信息安全產(chǎn)品主要包括工控防火墻、工控安全審計、工控隔離、工控主機防護等類型。

3.1工控防火墻

工控防火墻根據(jù)防護的需要，在工控系統(tǒng)中部署的位置存在多種情況，通常用于各層級之間、各區(qū)域之間的訪問控制，也可能部署在單個或一組控制器前方提供保護。工控防火墻采用單機架構(gòu)，主要對基于TCP/IP工業(yè)控制協(xié)議進行防護。通過鏈路層、網(wǎng)絡層、傳輸層及應用層的過濾規(guī)則分別實現(xiàn)對MAC地址、IP地址、傳輸協(xié)議（TCP、UDP）和端口，以及工控協(xié)議的控制命令和參數(shù)的訪問控制。

工控防火墻從形態(tài)來說主要分兩種，一類是在傳統(tǒng)IT防火墻的基礎上增加工控防護功能模塊，對工控協(xié)議做深度檢查及過濾。還有一類工控防火墻是參考多芬諾工業(yè)防火墻的模式來實現(xiàn)的。

3.2工控安全審計

工控安全審計產(chǎn)品通過鏡像接口分析網(wǎng)絡流量，或者通過及設備的通用接口進行探測等方式工作，及時發(fā)現(xiàn)網(wǎng)絡流量或設備的異常情況并告警，通常不會主動去阻斷通信。

這類產(chǎn)品自身的故障不會直接影響工控系統(tǒng)的正常運行，也更容易讓用戶接受。

3.3工控隔離

工控隔離產(chǎn)品主要部署在工控系統(tǒng)中控制網(wǎng)與管理網(wǎng)之間。包括協(xié)議隔離產(chǎn)品，采用雙機架構(gòu)，兩機之間不使用傳統(tǒng)的TCP/IP進行通信，而是對協(xié)議進行剝離，僅將原始數(shù)據(jù)以私有協(xié)議（非TCP/IP）格式進行傳輸。其次還有網(wǎng)閘，除了進行協(xié)議剝離，兩機中間還有一個擺渡模塊，使得內(nèi)外網(wǎng)之間在同一時間是不聯(lián)通的，比較典型的是OPC網(wǎng)閘，主要還是傳輸監(jiān)測數(shù)據(jù)，傳輸控制命令的網(wǎng)閘還相當少。另外還有單向?qū)朐O備，主要采用單向光纖、VGA視頻信號等方式從物理上保證傳輸?shù)膯蜗蛐裕淙秉c是不能保證傳輸數(shù)據(jù)的完整性，但對于將控制網(wǎng)中的監(jiān)測數(shù)據(jù)傳輸?shù)狡髽I(yè)辦公網(wǎng)還是可行的。

總體來說，由于隔離類產(chǎn)品采用雙機架構(gòu)，中間私有協(xié)議通信，即使外端機被攻擊者控制，也無法侵入內(nèi)端機，其安全性要高于防火墻設備。

3.4工控主機安全防護

工控系統(tǒng)中會部署一定數(shù)量的主機設備，如工程師站、操作員站等。這些設備往往是工控系統(tǒng)的風險點，病毒的入侵、人為的誤操作等威脅主要都是通過主機設備進入工控系統(tǒng)。因此，這些主機有必要進行一定的防護。

目前主要有兩種針對主機設備的防護產(chǎn)品：一種為鎧甲式防護產(chǎn)品，通過接管主機設備的鼠標/鍵盤輸入、USB等外圍接口來保證主機的安全；另一種就是白名單產(chǎn)品，通過在主機上安裝程序，限制只有可信的程序、進程才允許運行，防止惡意程序的侵入。

4工控信息安全產(chǎn)品測試評價體系

工控信息安全產(chǎn)品測試評價體系涵蓋測試環(huán)境、測評技術(shù)和評價服務三部分。測試環(huán)境主要由適用于工業(yè)控制系統(tǒng)信息安全產(chǎn)品的測試平臺組成，測評技術(shù)主要涉及測試工具、測試方法、基礎庫和相關的標準及規(guī)范，評價服務提供工業(yè)控制系統(tǒng)的安全測評服務的能力。

4.1總體架構(gòu)

以工業(yè)控制系統(tǒng)相關的新一代信息技術(shù)為對象，從研究工控信息安全產(chǎn)品的安全功能要求、自身安全要求和性能要求出發(fā)，結(jié)合信息系統(tǒng)的威脅分析、系統(tǒng)脆弱性檢測和風險評價的方法和技術(shù)，建立了工控信息安全產(chǎn)品測試評價體系，總體架構(gòu)如圖2所示。

其中，測試環(huán)境體系包括基礎環(huán)境和實驗環(huán)境，測評技術(shù)體系包括測試方法、測試工具、基礎庫和關鍵標準，評價服務體系包括服務流程和組織管理。

4.2測試環(huán)境

根據(jù)測評機構(gòu)質(zhì)量體系建設等相關要求，通過對現(xiàn)有資源進行整合、改進和升級，形成實驗室必要的物理基礎設施，主要包括機房建設、硬件設備和軟件購置，從而為工控信息安全產(chǎn)品測試評價提供基礎條件。

測試環(huán)境主要包括以下兩部分：

（1）基礎環(huán)境：進行實驗室機房裝修和改造，作為測試評價體系的實施基礎。

（2）實驗環(huán)境：實驗室基礎網(wǎng)絡和測試儀表。

4.2.1基礎環(huán)境

基礎環(huán)境主要通過對現(xiàn)有資源的整合、升級，著力建設測評環(huán)境所急需的物理基礎設施，包括機房改建和擴建、硬件設備和軟件購置、測評實驗環(huán)境建立等內(nèi)容，最終形成工控專用安全產(chǎn)品測試所需的必要基礎條件。

基礎環(huán)境包括4個測試（性能測試環(huán)境、攻擊測試環(huán)境、功能測試環(huán)境和協(xié)議測試環(huán)境）隔斷環(huán)境、1個演示環(huán)境和1個測試機房組成。

4.2.2實驗環(huán)境

實驗室環(huán)境主要是針對工業(yè)控制系統(tǒng)信息安全產(chǎn)品的檢測需要，搭建典型的工業(yè)控制環(huán)境，包括測試平臺和演示環(huán)境兩部分。其中測試平臺又包括功能測試平臺、協(xié)議測試平臺、攻擊平臺和性能測試平臺四個系統(tǒng)。

4.2.2.1測試平臺

測試平臺包括功能測試平臺、協(xié)議測試平臺、攻擊平臺和性能測試平臺四個方面。由于每個測試平臺的測試重點和測試環(huán)境的要求各不相同，所以四個平臺分別獨立部署。

（1）功能測試平臺

功能測試平臺是一套典型的小規(guī)模工業(yè)控制系統(tǒng)，包含工業(yè)控制領域主流工業(yè)設備、工控協(xié)議交換設備、工業(yè)控制模擬軟件系統(tǒng)。功能測試平臺的工業(yè)設備包含行業(yè)主流，并支持工業(yè)控制主要協(xié)議的設備（包括西門子、施耐德、和利時及信捷等）的一至兩種型號，能夠?qū)崿F(xiàn)常用的工業(yè)控制功能及數(shù)據(jù)監(jiān)測功能，具備支持多種常見的工業(yè)控制協(xié)議（支持ModBusTCP、DNP3.0、OPC、Profinet/Profibus、IEC61850、IEC104等）的能力。

（2）協(xié)議測試平臺

工控信息安全產(chǎn)品包括工控防火墻、工控隔離、工控審計、工控主機防護等。無論該設備在實際部署時串接接入，還是旁路接入工控網(wǎng)絡，則該設備都需要進行協(xié)議測試，測試目地在于驗證該設備是否能支持現(xiàn)有常用的工業(yè)控制協(xié)議。

（3）攻擊測試平臺

攻擊測試平臺主要針對常用的工控信息安全產(chǎn)品，用以驗證安全產(chǎn)品是否能夠抵御來自網(wǎng)絡，壓力，碎片等攻擊。對于旁路接入的工控信息安全設備，測試目的在于驗證系統(tǒng)能否能記錄攻擊行為（工控審計類產(chǎn)品）；對于串行接入的工控信息安全設備，測試目的在于驗證系統(tǒng)能否能抵御并攔截攻擊行為（工控防火墻類產(chǎn)品）。

（4）性能測試平臺

如果工控信息安全產(chǎn)品為串接部署則需要進行性能測試，用以驗證該設備的引入是否會對現(xiàn)有的工業(yè)網(wǎng)絡造成如通信延時增加、網(wǎng)絡帶寬降低等情況、安全設備的安全防護能力下降等影響。

4.2.2.2演示環(huán)境

演示環(huán)境是工控系統(tǒng)運行的展示，以簡單明了的形式來表征工控系統(tǒng)運行的狀態(tài)，包括正常運行和承受攻擊時的運行狀態(tài)。不同的工業(yè)控制產(chǎn)品自身的漏洞是各不相同的，所以為了直觀的演示不同的攻擊對不同的工業(yè)控制設備造成的影響，我們需要在工業(yè)控制協(xié)議及工業(yè)控制廠商進行盡量的覆蓋。

演示環(huán)境包含高仿真沙盤模型和可視化工控系統(tǒng)拓撲結(jié)構(gòu)展板。

沙盤由底座、臺面和臺面模型組成，沙盤內(nèi)部完成所有動態(tài)的設計和線路的連接，臺面模型根據(jù)具體設計和布局陳列，體現(xiàn)完整的工藝流程，各模型單體形狀和比例與真實系統(tǒng)一致。沙盤涉及化工生產(chǎn)、污水處理、環(huán)境監(jiān)測、智能樓宇等多個應用實景。

展板由展架和展板封面組成，展板上按層次集成工控設備、網(wǎng)絡設備，并由燈帶組成復雜的網(wǎng)絡路徑。實際演示過程中，將由不同色燈光表現(xiàn)正常網(wǎng)絡數(shù)據(jù)流和受攻擊后異常數(shù)據(jù)流。展板上各控制系統(tǒng)和交換機預留相應接口，可方便接入典型的工業(yè)控制防護設備或?qū)Ｓ脺y試工具。

4.3測評技術(shù)

測評技術(shù)包括測試方法和測試工具的研究、改進和應用，基礎庫的建設以及相關標準的編制。

4.3.1測試方法

工控系統(tǒng)的安全性測試方法按照安全技術(shù)要求可以分為安全功能、安全保證、環(huán)境適應性和性能要求四個大類。根據(jù)各大類對系統(tǒng)的要求，分別進行測試方法的研究。

鑒于工控系統(tǒng)與傳統(tǒng)信息系統(tǒng)在安全性要求上的區(qū)別，工控系統(tǒng)的信息安全目標通常都在最后考慮，因此工控系統(tǒng)的安全技術(shù)要求又有其特殊性。安全功能要求是對工控信息安全產(chǎn)品應具備的安全功能提出的具體要求，工控信息產(chǎn)品安全功能的具體要求包括身份鑒別、訪問控制、安全管理、不可旁路、抗攻擊、審計以及配置數(shù)據(jù)保護和運行狀態(tài)監(jiān)測等；安全保證要求針對工控信息安全產(chǎn)品的開發(fā)和使用文檔的內(nèi)容提出具體的要求，例如配置管理、交付和運行、開發(fā)過程、指導性文檔和生命周期支持等；環(huán)境適應性要求是對工控信息安全產(chǎn)品的應用環(huán)境提出具體的具體要求，例如IPv6環(huán)境適應性，OPC環(huán)境適應性等；性能要求則是對工控系統(tǒng)和工控產(chǎn)品應達到的性能指標做出的規(guī)定，例如去抖動、交換速率和硬件切換時間等。此外，針對工控系統(tǒng)和設備的操作系統(tǒng)層面的漏洞進行分析挖掘，形成攻擊測試集。

針對以上要去分別深入研究相關的測試方法，并應用于實際的測試工作中。

4.3.2測試工具

為確保工業(yè)控制系統(tǒng)信息安全產(chǎn)品和系統(tǒng)測評服務的專業(yè)化，開發(fā)了一批方便易用的測評工具和分析工具。其目的一是減少測評或評估人員的工作負擔，二是減少測評和評估人員因能力和經(jīng)驗造成的測評或評估誤差，保證測評和評估服務結(jié)果的準確性和科學性，提高專業(yè)化的服務能力。通過測試軟件來模擬正常和異常協(xié)議，可檢測工業(yè)控制系統(tǒng)信息安全產(chǎn)品的功能實現(xiàn)，以及對異常協(xié)議的抵御能力。

本體系配套了工控協(xié)議模擬測試軟件，集成Modbus、DNP、IEC104、IEC61850等工控協(xié)議，用于工控信息安全專用產(chǎn)品和工控設備的測試。該軟件的運行方式是單機運行，適用的操作系統(tǒng)為windowsNT，windowsxp，windows7x86平臺。該軟件主要分為四個模塊：ModBus模塊、DNP模塊、IEC61850MMS模塊和IEC104模塊。

4.3.3基礎庫

基礎庫主要包括知識庫、測評指標庫、測評方法庫、測評用例庫和測評數(shù)據(jù)庫。

知識庫的主要內(nèi)容包括工業(yè)控制系統(tǒng)信息安全領域的基礎技術(shù)知識、測試案例、法律法規(guī)、安全事件/技術(shù)手段等的統(tǒng)一描述方法、國內(nèi)外安全事件、知識庫的管理和維護方法、智能化數(shù)據(jù)挖掘方法等。

指標庫保證各個被測系統(tǒng)之間測評結(jié)果的一致性。通過為工業(yè)控制系統(tǒng)安全測評服務建立統(tǒng)一的測評指標庫，保證測評結(jié)果的唯一性和公正性。指標庫由功能指標庫、性能指標庫和安全性評價指標庫等構(gòu)成，可根據(jù)需要對指標庫進行擴展和維護。

測評方法庫用以在每種信息安全專業(yè)化服務的標準編制和測評方法研究的基礎上，明確具體的技術(shù)要求，從而提供有效的服務。

測評用例庫是在測評方法庫建設的基礎上，加強測試的復用，提高安全測試的效率。根據(jù)廠家提供的說明書和測評人員的經(jīng)驗，深入解析相關技術(shù)要求的內(nèi)涵，為每種具體服務建立測評用例庫。

本體系的基礎庫由兩部分構(gòu)成，第一部分包括了知識庫和漏洞庫，設計成門戶網(wǎng)站模式，直接對外開放，其中收集了4000余條安全事件、3萬余條安全漏洞以及相關的法規(guī)政策、技術(shù)知識、工具等；第二部分涵蓋了指標庫、測評方法庫、測評用例庫、測評數(shù)據(jù)庫等，運用于測評實戰(zhàn)，檢測人員可以在其中依據(jù)指標、測評方法、測試用例對實際的產(chǎn)品或系統(tǒng)進行測試記錄。

4.3.4關鍵標準

工控系統(tǒng)與互聯(lián)網(wǎng)信息系統(tǒng)采用傳統(tǒng)信息安全產(chǎn)品難以滿足相關要求，工控系統(tǒng)對持續(xù)穩(wěn)定可靠運行指標要求很高，信息安全必須具備保證持續(xù)的可操作性及穩(wěn)定的系統(tǒng)訪問、系統(tǒng)性能以及全生命周期安全支持。因此，有必要為應用于工控系統(tǒng)的關鍵信息安全產(chǎn)品，以及工控系統(tǒng)安全提出專門的標準，并研究相應的測試技術(shù)與方法。

本體系在工控領域制定了信息安全產(chǎn)品標準體系，以規(guī)范和支撐產(chǎn)品測試。主要包括：

（1）《信息安全技術(shù)工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》；

（2）《信息安全技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡審計產(chǎn)品安全技術(shù)要求》；

（3）《信息安全技術(shù)工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)安全技術(shù)要求》；

（4）《信息安全技術(shù)工業(yè)控制系統(tǒng)安全管理平臺安全技術(shù)要求》；

（5）《信息安全技術(shù)工業(yè)控制系統(tǒng)入侵檢測產(chǎn)品安全技術(shù)要求》

（6）《信息安全技術(shù)工業(yè)控制系統(tǒng)邊界安全專用網(wǎng)關產(chǎn)品安全技術(shù)要求》；

（7）《信息安全技術(shù)工業(yè)控制系統(tǒng)軟件脆弱性掃描產(chǎn)品安全技術(shù)要求》；

（8）《信息安全技術(shù)安全采集遠程終端單元（RTU）安全技術(shù)要求》。

4.4評價服務

評價服務包括服務流程和組織管理。服務流程基于現(xiàn)有的服務流程，深入挖掘工業(yè)控制系統(tǒng)信息安全產(chǎn)品的特點，融入服務流程，提升服務質(zhì)量；組織管理主要規(guī)范服務的相關制度，充分合理利用各方面的資源，提高服務效率。

4.4.1服務流程

服務采購單位提出自己的系統(tǒng)需求，測評機構(gòu)經(jīng)過溝通協(xié)調(diào)確定服務目標，簽訂服務合同，成立測評項目組；項目組根據(jù)采購單位提出的需求信息，分析需求是否充分；當需求不夠充分時，需和服務采購單位進行溝通，補充需求并最終確認；當需求足夠充分時，依據(jù)相關標準進行服務方案的總體設計，并由專家對方案進行評審；通過初步方案評審后，由測評人員對服務方案進行詳細設計，再交由專家對方案進行評審，并提交方案；如方案需進行修改，需重新設計或晚上詳細的服務方案，再由專家進行方案評審，如此類推；當提交的服務方案不需要進行修改時，形成安全的服務方案；一方面由專家對安全的服務方案進行審批，并形成標準化管理；另一方面測評人員根據(jù)安全服務方案進行測評工作，測評結(jié)束后，形成文檔，并歸檔。

4.4.2組織管理

為了保障整套服務流程的順利實施，本體系還建立信息安全產(chǎn)品及系統(tǒng)服務的組織架構(gòu)，如圖8所示。

通過成立領導辦公室、管理部、技術(shù)部和檢測部，分別從組織、管理和技術(shù)等方面對服務的流程進行控制。管理部主要按照相關的管理規(guī)定負責服務申請的受理、產(chǎn)品測評流程的控制、檢驗報告或測評報告的審核、客戶滿意度的回訪等；技術(shù)部主要負責測評相關技術(shù)研究工作；檢測部負責具體檢測工作的實施，根據(jù)檢測數(shù)據(jù)整理出具檢驗報告或測評報告初稿。

篇9

二、私權(quán)視角下網(wǎng)絡服務提供者注意義務的局限性

(一)侵權(quán)法領域網(wǎng)絡服務提供者承擔注意義務的規(guī)則

互聯(lián)網(wǎng)技術(shù)發(fā)達的美國和歐洲較早地注意到了網(wǎng)絡服務提供者在維護個人權(quán)益安全方面的作用。因而通過國內(nèi)或地區(qū)立法針對不直接提供網(wǎng)絡內(nèi)容的服務者在某些情形下承擔侵權(quán)責任做出規(guī)定。以美國為例，其在《數(shù)字千年版權(quán)法案》中即以避風港規(guī)則和紅旗規(guī)則為非網(wǎng)絡內(nèi)容服務提供者對版權(quán)領域內(nèi)出現(xiàn)的某些侵權(quán)行為設定了一定的注意義務。依據(jù)避風港規(guī)則，自身不提供內(nèi)容的網(wǎng)絡服務提供者根據(jù)權(quán)利人提出的符合法律規(guī)定的通知及時地處理了涉嫌侵權(quán)的信息，便能夠享受免于承擔侵權(quán)責任的資格。②紅旗規(guī)則是避風港規(guī)則的一項例外適用，其含義是如果侵犯信息網(wǎng)絡傳播權(quán)的事實是如此的明顯，如同紅旗一樣飄揚，那么網(wǎng)絡服務提供者即不能以避風港規(guī)則推卸責任，在此情況下，即使權(quán)利人沒有發(fā)出請求刪除、屏蔽的通知，網(wǎng)絡服務提供者也應當對此承擔侵權(quán)責任。立法者意圖通過這兩項規(guī)則的適用達到既能不為網(wǎng)絡服務提供者設置過重的負擔，妨礙其行業(yè)發(fā)展，又能保護相關權(quán)利人版權(quán)利益的目的，初衷不可謂不深遠。我國的《信息網(wǎng)絡傳播權(quán)保護條例》、《侵權(quán)責任法》相繼吸收了美國法中的這兩項規(guī)則。③但在適用上做出了三點不同的變通，這表現(xiàn)在《侵權(quán)責任法》第36條第2款的制度設計上:其一，網(wǎng)絡服務提供者的類型由非網(wǎng)絡內(nèi)容服務提供者擴大至其他類型的軟件服務提供者;其二，侵犯的權(quán)益由信息傳播權(quán)擴大至所有可能被通過網(wǎng)絡侵犯的民事財產(chǎn)權(quán)及人身權(quán);其三，改變了美國法中以網(wǎng)絡服務提供者不承擔審查義務為主要原則，僅在有限的情況下就其未盡到注意義務需承擔侵權(quán)責任為輔的立法初衷，而是代之以網(wǎng)絡服務提供者承擔與實際侵權(quán)人同等程度的網(wǎng)絡侵權(quán)責任作為一般原則，將原避風港規(guī)則中的通知和刪除程序作為衡量網(wǎng)絡服務提供者是否承擔侵權(quán)責任的決定性標準。美國法中的避風港規(guī)則與紅旗規(guī)則在引入我國《侵權(quán)責任法》時發(fā)生的上述變化，表明網(wǎng)絡服務提供者需要對他人的網(wǎng)絡侵權(quán)行為承擔更為嚴格的侵權(quán)責任。這種以救濟受害人為主要目的的侵權(quán)歸責模式，源于當時出現(xiàn)的許多人肉搜索、網(wǎng)絡謠言等侵權(quán)事件這一社會背景。立法者在做出這種制度設計時，更多的是基于一種政策考量，而不是從網(wǎng)絡服務提供者本身的地位出發(fā)，規(guī)定與其能力相適應的義務和責任。這種出發(fā)點決定了第36條在適用的過程中并無法解決諸多實際問題。首先，網(wǎng)絡侵權(quán)行為所侵犯的權(quán)利類型越來越多，不僅包括知識產(chǎn)權(quán)，還包括名譽權(quán)、隱私權(quán)等人格權(quán)。對于某網(wǎng)絡用戶是否侵犯了他人的權(quán)利，這其中涉及價值判斷，該問題在司法實踐中一般是由法院作出裁決。從根本上講，網(wǎng)絡服務提供者并無資格僅僅根據(jù)權(quán)利人的權(quán)利通知即采取刪除、屏蔽等消除侵權(quán)信息的措施。如果無視這種資格缺陷，在知識產(chǎn)權(quán)領域賦予網(wǎng)絡服務提供者以審查權(quán)限，那么鑒于此類權(quán)利的識別性較為容易，這尚且處于其能力范圍之內(nèi)，但在權(quán)利類型擴張到人格權(quán)的情形下，權(quán)利沖突已經(jīng)變得極為復雜，網(wǎng)絡服務提供者對此已經(jīng)失去了甄別的能力。這也從側(cè)面說明了為何美國的避風港規(guī)則和紅旗規(guī)則僅適用于版權(quán)法領域，而沒有擴及其他侵權(quán)情形。其次，WEB2.0技術(shù)的應用和普及，出現(xiàn)了博客、微博、微信等網(wǎng)絡交流平臺。原來由網(wǎng)絡服務提供者集中控制主導的信息和傳播體系，逐漸轉(zhuǎn)變成了由廣大用戶集體智能和力量主導的體系。此外，隨著用戶數(shù)量的激增，信息的產(chǎn)生和傳播呈現(xiàn)出海量化和碎片化的特征。網(wǎng)絡服務提供者在這種信息流動模式下，難以行使針對具體個人權(quán)利的信息審查義務。前述兩項客觀制約因素決定了侵權(quán)法對網(wǎng)絡服務提供者義務和責任的規(guī)定已超出了其能力范圍之外，這種規(guī)則本身的運行并無法起到保護受害人權(quán)益，凈化網(wǎng)絡的初衷。

(二)從私權(quán)角度審視網(wǎng)絡服務提供者義務的局限性

無論是美國法中網(wǎng)絡服務提供者承擔寬松的注意義務規(guī)則，或是我國侵權(quán)法中以嚴格救濟受害人為主的制度設計，兩者均是站在維護私權(quán)的角度對網(wǎng)絡服務提供者應盡之安全保障義務做出規(guī)定。嚴格講來，任何安全維系規(guī)則的終極目標都是為了保護民事主體的私人權(quán)益不被侵犯，這是理所應當且毫無疑問的。然而問題的關鍵在于實踐中威脅民事主體權(quán)益的不安全因素有諸多表現(xiàn)形式，并非每一項都表現(xiàn)為直接侵權(quán)，換言之，傳統(tǒng)的侵權(quán)歸責模式并不適用于所有的安全威脅情形，民事主體個人權(quán)益的最終保護并不能都通過主動提起侵權(quán)訴訟來獲得解決。這在當下層出不窮的網(wǎng)絡安全頻發(fā)的各色事件中表現(xiàn)的尤為明顯。如2011年騰訊公司與奇虎360公司發(fā)生不兼容大戰(zhàn)，騰訊迫使6000多萬用戶卸載了360安全軟件。該事件本身雖是兩類網(wǎng)絡服務提供者因不正當競爭而起，表面上看，并沒有直接侵犯網(wǎng)絡用戶的實際權(quán)益，但實際上騰訊公司迫使所有使用QQ的用戶卸載360殺毒軟件的行為正是無視這些用戶的網(wǎng)絡安全選擇，間接地置其人身和財產(chǎn)安全處于危險境地。當QQ用戶因卸載殺毒軟件遭受信息泄露，實際權(quán)益受到侵犯時，卻無法依據(jù)目前的私權(quán)規(guī)則提起侵權(quán)之訴保護自身權(quán)益。另一方面，依據(jù)前述我們對信息網(wǎng)絡運行規(guī)則的解讀，網(wǎng)絡是一個縱橫交錯的整體性系統(tǒng)，所有的網(wǎng)絡服務提供者均處于進入網(wǎng)絡通道看門人的地位。不獨網(wǎng)絡軟件服務提供商，即使是網(wǎng)絡硬件設備提供者，也應負有信息安全保障義務。如電腦的芯片制造商，在芯片投入批量生產(chǎn)之前應盡可能地對其技術(shù)安全性進行全面的檢測，當其在使用過程中發(fā)現(xiàn)存在漏洞時，也應及時采取技術(shù)修復等各種可能的措施最大限度的確保用戶的使用安全。而私權(quán)規(guī)則僅針對在某些直接侵權(quán)情形下未盡到注意義務，而需承擔侵權(quán)責任的軟件服務提供者。從本質(zhì)上看，這是將網(wǎng)絡關系簡單化為軟件服務提供者與網(wǎng)絡用戶之間的債權(quán)化網(wǎng)絡結(jié)構(gòu)，從而將網(wǎng)絡服務提供者等同于一般安全保障義務主體，忽略了信息網(wǎng)絡其他構(gòu)建者應負有的信息安全保障義務，上文所述之路由器被破譯以致個人信息泄露事件即是證明。在具體的侵權(quán)法領域，網(wǎng)絡僅是一種使用工具，網(wǎng)絡服務提供者猶如普通的商品制造商一樣，并不對任何個人通過使用該工具而侵犯他人的行為負責。綜上可知，站在維護個體私權(quán)的角度看待網(wǎng)絡服務提供者應承擔的信息安全保障義務，加重了網(wǎng)絡服務提供者對所有個體用戶承擔義務的負擔，隨著網(wǎng)絡技術(shù)的不斷縱深發(fā)展，網(wǎng)絡用戶在使用人數(shù)和行為模式上也發(fā)生了很大的變化，前述私權(quán)規(guī)則在解決具體侵權(quán)問題方面，僅具有有限的適用性。此外，該規(guī)則將保護主體限于私人用戶，忽略了網(wǎng)絡服務提供者對國家、公司等商事組織負有的信息安全保障義務，具有很大的片面性和局限性。現(xiàn)實情況下，面對越來越多的各類網(wǎng)絡安全事件，私權(quán)規(guī)則中對網(wǎng)絡服務提供者義務和責任的規(guī)定卻無法適用于其中。鑒于此，我們應該跳出私權(quán)視角俯瞰整個公共領域，重新審視網(wǎng)絡服務提供者應當負有的信息安全保障義務，該義務應具有更深遠的價值取向和目標，并且配有更為細化和恰當?shù)牧x務履行規(guī)則。

三、信息安全保障義務的價值取向:公共秩序與公共安全

以維護純粹的個體私益捆綁網(wǎng)絡服務提供者應負有的信息安全保障義務，具有很大的局限性。基于信息網(wǎng)絡開放、互聯(lián)的結(jié)構(gòu)性特點，以及網(wǎng)絡服務提供者在整體系統(tǒng)中所處的地位，網(wǎng)絡服務提供者負有的信息安全保障義務應以公共秩序與公共安全為價值目標。網(wǎng)絡空間是否存在著公共性，這是我們在理解這一價值目標時首先需要面對的問題。通常我們基于網(wǎng)絡空間的虛擬性而傾向于淡化其公共性和社會性的一面，進而將網(wǎng)絡社會簡化為無數(shù)個用戶與軟件網(wǎng)絡服務提供者之間的相對法律關系，對于網(wǎng)絡糾紛也傾向于以純私法的方式進行處理。網(wǎng)絡的虛擬性是指信息的存在方式皆以文字、圖形、聲音、視頻形式表現(xiàn)，而缺少現(xiàn)實世界中立體、固有的形態(tài)實體物。這個特點常常在視覺上給用戶以錯覺，認為自己脫離了群體性的生活，面對的僅僅是不可觸摸的信息，而忽略了任何信息流產(chǎn)生和傳播的背后均是人際關系在發(fā)生互動這一基本事實。物理世界中，先存在著一個公共空間和領域，而后才會產(chǎn)生聚合的公共行為;而網(wǎng)絡空間的虛擬性打破了這個傳統(tǒng)的模式，先有人與人之間的互動，而后才形成一個公共空間。換言之，不論空間的表現(xiàn)形態(tài)如何，只要人們以言行的方式聚集在一起，展現(xiàn)的空間就形成了。由此可以說，虛擬性并不排斥公共性，甚至在某種程度上，虛擬性成就了網(wǎng)絡空間所特有的公共性。網(wǎng)絡空間具有公共性意味著作為信息看門人地位的網(wǎng)絡服務提供者需為空間中所有用戶承擔最低限度的信息安全保障義務，即維護網(wǎng)絡公共秩序與公共安全。秩序關注的是網(wǎng)絡空間內(nèi)各類信息流的暢通、有序運行;安全強調(diào)的是不被攪擾，能夠自由流動的一種狀態(tài)。秩序與安全雖然指向性不同，然而兩者并非可以分割，而是緊密連為一體的價值。秩序的維持有助于確保安全，而對安全的保障，也有利于秩序的實現(xiàn)。秩序與安全是人類生存與發(fā)展最基本的價值需求，但與現(xiàn)實的物理社會相比，網(wǎng)絡社會似乎對此表現(xiàn)出了更強烈的需求。這主要源于兩個原因:一方面，現(xiàn)實社會已經(jīng)發(fā)展的較為成熟，形成了一套運行穩(wěn)定的制度體系來確保社會秩序與安全，而對于新生的網(wǎng)絡社會而言，面對的是一個全新的領域，建立起一套基本的秩序與安全規(guī)則，是網(wǎng)絡社會得以運行的基本前提和保障;另一方面，與現(xiàn)實社會不同，網(wǎng)絡社會中人與人之間工作、生活等各方面的交際均是以信息流的形式通過網(wǎng)絡平臺進行，這種長線距離的曲線往最容易在過程中產(chǎn)生波瀾，因而確保個人信息在流轉(zhuǎn)過程中的有序與安全成為網(wǎng)絡社會必然的價值選擇。換言之，網(wǎng)絡世界更需要對信息產(chǎn)生、傳播過程的管控，這迥然于現(xiàn)實世界對私人權(quán)利的靜態(tài)保護?？梢哉f，公共秩序與公共安全這兩項價值內(nèi)生于網(wǎng)絡社會，也將伴隨其永久存在和發(fā)展。網(wǎng)絡社會對公共秩序與公共安全的渴求，在很大程度上表現(xiàn)為網(wǎng)絡服務提供者需對所有用戶承擔信息安全保障義務。這歸根結(jié)底是由網(wǎng)絡特有的技術(shù)特征以及網(wǎng)絡服務提供者所處的法律地位決定的。網(wǎng)絡社會的一切活動都需借助于網(wǎng)絡平臺進行，人與人之間的行為表現(xiàn)為各種信息的流動，因而從技術(shù)上確保信息流有序、安全的產(chǎn)生、存儲和傳輸，顯得尤為迫切和重要。實踐中許多危害公共秩序與公共安全的行為均是由于網(wǎng)絡技術(shù)存在缺陷所導致。如2011年，程序員網(wǎng)站CSDN、天涯社區(qū)、美團網(wǎng)等網(wǎng)站數(shù)據(jù)庫遭到黑客攻擊，網(wǎng)絡個人信息泄露事件曾集中爆發(fā)，上億用戶的注冊信息被公之于眾，其中，廣東省出入境政務服務網(wǎng)泄露了包括真實姓名、護照號碼等信息在內(nèi)的約400萬用戶資料。針對這些問題，網(wǎng)絡服務提供者與政府機構(gòu)或其他主體相比，既有能力，也有條件積極、主動的進行預防和事后應對。此外，隨著大數(shù)據(jù)分析技術(shù)的發(fā)展，信息越來越成為一種各類網(wǎng)絡服務提供者爭相攫取的新型資源，網(wǎng)絡服務提供者作為受益者，理應對這一資源的有序流動和安全承擔保障義務。需要說明的是，網(wǎng)絡服務提供者以公共秩序與公共安全為價值目標承擔信息安全保障義務，并非忽略對私權(quán)的保護。公共秩序與公共安全著眼于潛在不特定多數(shù)人的利益，因而對其進行維護恰恰能夠最大限度地保護私權(quán)。實踐中，許多個體的私權(quán)受到侵犯往往是由于網(wǎng)絡服務提供者未盡到信息安全保障義務所致。如家、漢庭等大批酒店的開房記錄泄露事件，正是因酒店Wi－Fi管理、認證管理系統(tǒng)存在信息安全加密等級較低問題，以致這些信息被黑客竊取、泄露，危及開房人的實際權(quán)益。

四、信息安全保障義務內(nèi)容———以個人信息保護為例

在公共秩序與公共安全的價值指引下，網(wǎng)絡服務提供者需要承擔的信息安全保障義務范圍廣泛，既包括所有的網(wǎng)絡服務提供者不得制造或提供危害網(wǎng)絡公共秩序與公共安全的產(chǎn)品或服務，也包括需采取技術(shù)措施不斷升級自身產(chǎn)品或信息系統(tǒng)，確保不會出現(xiàn)安全漏洞從而被他人侵入和破壞;既包括某些非內(nèi)容服務提供者對用戶利用平臺傳播與該價值目標不符的言論或行為做出禁止，也包括相關網(wǎng)絡服務提供者在經(jīng)營過程中產(chǎn)生矛盾糾紛時對自己行為(如不正當競爭)進行克制，避免因自己的行為將用戶的基本使用安全置于危險境地;等等。如此廣泛的范圍使得清晰規(guī)定網(wǎng)絡服務提供者承擔的信息安全保障義務內(nèi)容絕非易事。目前，網(wǎng)絡服務提供者未盡信息安全保障義務常常表現(xiàn)為個人信息被非法收集、處理、利用、泄露，以致危害不特定多數(shù)人的人身及財產(chǎn)權(quán)益，在此以個人信息的保護為主線說明網(wǎng)絡服務提供者應承擔的信息安全保障義務的主要內(nèi)容。

(一)網(wǎng)絡服務提供者未經(jīng)法律規(guī)定或用戶同意不得任意收集、存儲和處理他人信息

信息網(wǎng)絡時代，信息不斷的產(chǎn)生和流動，網(wǎng)絡服務提供者憑借其先進的技術(shù)手段，能夠?qū)τ脩羰褂镁W(wǎng)絡留下的諸多信息進行收集、存儲和處理。由于個人信息能夠單獨或與其他信息結(jié)合識別出特定的信息主體，從而將信息主體的人身安全、隱私、財產(chǎn)等權(quán)益曝光于眾目睽睽之下，增加受害的幾率，因而對網(wǎng)絡服務提供者收集、存儲和處理個人信息的行為應當進行規(guī)制。任何網(wǎng)絡服務提供者都不得未經(jīng)許可收集個人信息，應當是一般原則。對于用戶同意收集的個人信息，網(wǎng)絡服務提供者應當在指定的收集用途范圍內(nèi)使用，不得超出該范圍另作它途，同時也不得基于一定的目的，將該信息提供給其他主體使用。

(二)網(wǎng)絡服務提供者需采取措施維護信息在產(chǎn)生及流轉(zhuǎn)過程中的安全

網(wǎng)絡服務提供者在使用信息系統(tǒng)對個人信息進行存儲、處理時，應當采取適當?shù)墓芾泶胧┖图夹g(shù)手段保護個人信息安全，防止未經(jīng)授權(quán)檢索、披露及丟失、泄露、損毀和篡改個人信息。一般而言，網(wǎng)絡服務提供者應從管理和技術(shù)兩個方面確保個人信息的安全。網(wǎng)絡服務提供者應當實施各項管理措施，如建立個人信息收集、使用及其相關活動的工作流程和安全管理制度;對工作人員及人實行權(quán)限管理，對批量導出、復制、銷毀信息實行審查，并采取防泄密措施;妥善保管記錄個人信息的紙介質(zhì)、光介質(zhì)、電磁介質(zhì)等載體，并采取相應的安全儲存措施;等等。實踐中，盡管不同的網(wǎng)絡服務提供者根據(jù)自己所處的地位和提供的網(wǎng)絡服務的不同會采取各異的管理措施，但只要最大限度的確保其管理上不存在人為的漏洞致使他人信息泄露，即可視為網(wǎng)絡服務提供者盡到了該項義務。除了管理措施不夠完善導致個人信息泄露外，技術(shù)因素是另一個重要原因。由于互聯(lián)網(wǎng)絡的發(fā)展，大量個人信息被計算機和各種網(wǎng)站等各類網(wǎng)絡服務提供者存儲，因而一旦網(wǎng)絡出現(xiàn)系統(tǒng)漏洞、程序漏洞等各種危害安全的漏洞后往往會導致大規(guī)模個人信息發(fā)生泄露。從技術(shù)上而言，漏洞是軟硬件在設計上存在的缺陷，攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。一個系統(tǒng)自時起，就一直處于漏洞發(fā)現(xiàn)和修補的循環(huán)之中，漏洞問題會長期存在。這種特性要求網(wǎng)絡服務提供者應對儲存用戶個人信息的信息系統(tǒng)實行接入審查，實時注意網(wǎng)絡異常，當發(fā)現(xiàn)問題時，及時進行補丁修復，并采取防入侵、防病毒等措施，增強系統(tǒng)的抗攻擊性，確保信息安全;同時，網(wǎng)絡服務提供者應建立網(wǎng)絡安全日志，對重要網(wǎng)絡系統(tǒng)及數(shù)據(jù)、信息及時備份。此外，一旦發(fā)生個人信息泄漏、丟失，網(wǎng)絡服務提供者應及時通過網(wǎng)絡、報紙、電視等媒體渠道告知受影響的個人信息主體事件的發(fā)生情況以及應采取的防護措施，以免給其造成無法挽回的損失，并且還應當及時向國家相關信息管理機構(gòu)進行通報。

(三)網(wǎng)絡服務提供者對用戶違反法律、法規(guī)規(guī)定或傳輸信息的行為應當予以禁止

網(wǎng)絡服務提供者應當加強對其用戶的信息的管理，對法律、法規(guī)禁止或者傳輸?shù)男畔?，應當立即予以禁止，采取消除等處置措施，保存有關記錄，并向有關主管部門報告。法律、法規(guī)禁止或傳輸?shù)男畔?，一般而言是危害國家安全、嚴重損害公共秩序與公共安全或有損社會風氣等信息。如宣傳思想的視頻或文字;教授用戶破解他人路由器方法的文字;某網(wǎng)站已被泄露的用戶銀行賬號、身份證號等個人信息;等等。網(wǎng)絡服務提供者對前述信息的和傳輸進行管理，意味著其對信息的和傳輸具有一定的審查義務，這不同于侵權(quán)法領域要求網(wǎng)絡服務提供者站在私域角度純粹依據(jù)自己的價值取向保護個體私權(quán)之情形，該項義務的履行具有較為明確的參考標準，因而也不會對用戶的言論自由構(gòu)成侵犯。事實上，在對用戶或傳輸?shù)男畔⑦M行審查方面，網(wǎng)絡服務提供者在某種程度上更類似于一個公共管理機構(gòu)，因而這既是其承擔的義務，也是其享有的部分公共管理權(quán)限。

(四)網(wǎng)絡服務提供者終止其技術(shù)服務時應最大限度的確保使用該技術(shù)服務的用戶的信息安全

網(wǎng)絡服務提供者在經(jīng)營過程中，如若要停止某項技術(shù)服務，對于使用該技術(shù)的所有用戶應當提前發(fā)出通知，及時提醒其繼續(xù)使用將會帶來的風險，以及告知其避免這些風險需要采用的措施，給用戶足夠的時間進行技術(shù)更換工作。如微軟中國此前宣布于2014年4月8日停止對WindowsXP的支持，但考慮該操作系統(tǒng)在我國通信等重要行業(yè)仍占據(jù)較高比例，若立即停止將會給基礎通信網(wǎng)絡帶來直接風險，威脅基礎通信網(wǎng)絡的整體安全，故其決定將與包括騰訊在內(nèi)的國內(nèi)領先的互聯(lián)網(wǎng)安全及防病毒廠商密切合作，為中國全部使用XP的用戶，在用戶選擇升級到新一代操作系統(tǒng)之前，繼續(xù)提供獨有的安全保護，幫助用戶安全度過系統(tǒng)過渡期。網(wǎng)絡服務提供者之所以在其技術(shù)服務結(jié)束時仍需向用戶承擔信息安全保障義務，源于長久以來二者之間的一種相互生存倚賴，尤其在當下的互聯(lián)網(wǎng)行業(yè)，某類網(wǎng)絡服務提供者在某些技術(shù)方面長期處于壟斷地位，導致其地位已具有不可替代性，因而在退出時理應采取一些安全措施保護所有使用其技術(shù)服務用戶的安全，避免因其退出技術(shù)服務而給用戶帶來人身及財產(chǎn)損失。在當下網(wǎng)絡新產(chǎn)品或服務不斷涌現(xiàn)的時代背景下，網(wǎng)絡服務提供者承擔信息安全保障義務的內(nèi)容非常之多，不同類型的網(wǎng)絡服務提供者承擔的信息安全保障義務內(nèi)容也各不相同，于此情形下，窮盡其所有的義務內(nèi)容絕非易事。上述以個人信息被非法收集、使用及泄露為例說明網(wǎng)絡服務提供者應承擔的義務，僅具有概括作用，具體到實踐中，每一網(wǎng)絡服務提供者究竟有無盡到信息安全保障義務，應以公共秩序與公共安全為價值指引做出判斷。

篇10

一、建立健全網(wǎng)絡和信息安全管理制度

各單位要按照網(wǎng)絡與信息安全的有關法律、法規(guī)規(guī)定和工作要求，制定并組織實施本單位網(wǎng)絡與信息安全管理規(guī)章制度。要明確網(wǎng)絡與信息安全工作中的各種責任，規(guī)范計算機信息網(wǎng)絡系統(tǒng)內(nèi)部控制及管理制度，切實做好本單位網(wǎng)絡與信息安全保障工作。

二、切實加強網(wǎng)絡和信息安全管理

各單位要設立計算機信息網(wǎng)絡系統(tǒng)應用管理領導小組，負責對計算機信息網(wǎng)絡系統(tǒng)建設及應用、管理、維護等工作進行指導、協(xié)調(diào)、檢查、監(jiān)督。要建立本單位計算機信息網(wǎng)絡系統(tǒng)應用管理崗位責任制，明確主管領導，落實責任部門，各盡其職，常抓不懈，并按照“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，切實履行好信息安全保障職責。

三、嚴格執(zhí)行計算機網(wǎng)絡使用管理規(guī)定

各單位要提高計算機網(wǎng)絡使用安全意識，嚴禁涉密計算機連接互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡，嚴禁在非涉密計算機上存儲、處理涉密信息，嚴禁在涉密與非涉密計算機之間交叉使用移動存儲介質(zhì)。辦公內(nèi)網(wǎng)必須與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡實行物理隔離，并強化身份鑒別、訪問控制、安全審計等技術(shù)防護措施，有效監(jiān)控違規(guī)操作，嚴防違規(guī)下載涉密和敏感信息。通過互聯(lián)網(wǎng)電子郵箱、即時通信工具等處理、傳遞、轉(zhuǎn)發(fā)涉密和敏感信息。

四、加強網(wǎng)站、微信公眾平臺信息審查監(jiān)管

各單位通過站、微信公眾平臺在互聯(lián)網(wǎng)上公開信息，要遵循涉密不公開、公開不涉密的原則，按照信息公開條例和有關規(guī)定，建立嚴格的審查制度。要對網(wǎng)站上的信息進行審核把關，審核內(nèi)容包括：上網(wǎng)信息有無涉密問題；上網(wǎng)信息目前對外是否適宜；信息中的文字、數(shù)據(jù)、圖表、圖像是否準確等。未經(jīng)本單位領導許可嚴禁以單位的名義在網(wǎng)上信息，嚴禁交流傳播涉密信息。堅持先審查、后公開，一事一審、全面審查。各單位網(wǎng)絡信息審查工作要有領導分管、部門負責、專人實施。

嚴肅突發(fā)、敏感事（案）件的新聞報道紀律，對民族、宗教、軍事、環(huán)保、反腐、人權(quán)、計劃生育、嚴打活動、暴恐案件、自然災害，涉暴涉恐公捕大會、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事（案）件的新聞稿件原則上不進行宣傳報道，如確需宣傳報道的，經(jīng)縣領導同意，上報地區(qū)層層審核，經(jīng)自治區(qū)黨委宣傳部審核同意后，方可按照宣傳內(nèi)容做到統(tǒng)一口徑、統(tǒng)一，確保信息的時效性和嚴肅性。