时间:2022-11-14 10:42:50
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全法论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1.论信息安全、网络安全、网络空间安全
2.用户参与对信息安全管理有效性的影响——多重中介方法
3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程
4.论电子档案开放利用中信息安全保障存在的问题与对策
5.美国网络信息安全治理机制及其对我国之启示
6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究
7.“棱镜”折射下的网络信息安全挑战及其战略思考
8.再论信息安全、网络安全、网络空间安全
9.“云计算”时代的法律意义及网络信息安全法律对策研究
10.计算机网络信息安全及其防护对策
11.网络信息安全防范与Web数据挖掘技术的整合研究
12.现代信息技术环境中的信息安全问题及其对策
13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角
14.论国民信息安全素养的培养
15.国民信息安全素养评价指标体系构建研究
16.高校信息安全风险分析与保障策略研究
17.大数据信息安全风险框架及应对策略研究
18.信息安全学科体系结构研究
19.档案信息安全保障体系框架研究
20.美国关键基础设施信息安全监测预警机制演进与启示
21.美国政府采购信息安全法律制度及其借鉴
22.“5432战略”:国家信息安全保障体系框架研究
23.智慧城市建设对城市信息安全的强化与冲击分析
24.信息安全技术体系研究
25.电力系统信息安全研究综述
26.美国电力行业信息安全工作现状与特点分析
27.国家信息安全协同治理:美国的经验与启示
28.论大数据时代信息安全的新特点与新要求
29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究
30.工业控制系统信息安全研究进展
31.电子文件信息安全管理评估体系研究
32.社交网络中用户个人信息安全保护研究
33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述
34.三网融合下的信息安全问题
35.云计算环境下信息安全分析
36.信息安全风险评估研究综述
37.浅谈网络信息安全技术
38.云计算时代的数字图书馆信息安全思考
39.“互联网+金融”模式下的信息安全风险防范研究
40.故障树分析法在信息安全风险评估中的应用
41.信息安全风险评估风险分析方法浅谈
42.计算机网络的信息安全体系结构
43.用户信息安全行为研究述评
44.数字化校园信息安全立体防御体系的探索与实践
45.大数据时代面临的信息安全机遇和挑战
46.企业信息化建设中的信息安全问题
47.基于管理因素的企业信息安全事故分析
48.借鉴国际经验 完善我国电子政务信息安全立法
49.美国信息安全法律体系考察及其对我国的启示
50.论网络信息安全合作的国际规则制定
51.国外依法保障网络信息安全措施比较与启示
52.云计算下的信息安全问题研究
53.云计算信息安全分析与实践
54.新一代电力信息网络安全架构的思考
55.欧盟信息安全法律框架之解读
56.组织信息安全文化的角色与建构研究
57.国家治理体系现代化视域下地理信息安全组织管理体制的重构
58.信息安全本科专业的人才培养与课程体系
59.美国电力行业信息安全运作机制和策略分析
60.信息安全人因风险研究进展综述
61.信息安全:意义、挑战与策略
62.工业控制系统信息安全新趋势
63.基于MOOC理念的网络信息安全系列课程教学改革
64.信息安全风险综合评价指标体系构建和评价方法
65.企业群体间信息安全知识共享的演化博弈分析
66.智能电网信息安全及其对电力系统生存性的影响
67.中文版信息安全自我效能量表的修订与校验
68.智慧城市环境下个人信息安全保护问题分析及立法建议
69.基于决策树的智能信息安全风险评估方法
70.互动用电方式下的信息安全风险与安全需求分析
71.高校信息化建设进程中信息安全问题成因及对策探析
72.高校图书馆网络信息安全问题及解决方案
73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析
74.云会计下会计信息安全问题探析
75.智慧城市信息安全风险评估模型构建与实证研究
76.试论信息安全与信息时代的国家安全观
77.IEC 62443工控网络与系统信息安全标准综述
78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义
79.浅谈网络信息安全现状
80.大学生信息安全素养分析与形成
81.车联网环境下车载电控系统信息安全综述
82.组织控制与信息安全制度遵守:面子倾向的调节效应
83.信息安全管理领域研究现状的统计分析与评价
84.网络信息安全及网络立法探讨
85.神经网络在信息安全风险评估中应用研究
86.信息安全风险评估模型的定性与定量对比研究
87.美国信息安全战略综述
88.信息安全风险评估的综合评估方法综述
89.信息安全产业与信息安全经济分析
90.信息安全政策体系构建研究
91.智能电网物联网技术架构及信息安全防护体系研究
92.我国网络信息安全立法研究
93.电力信息安全的监控与分析
94.从复杂网络视角评述智能电网信息安全研究现状及若干展望
95.情报素养:信息安全理论的核心要素
96.信息安全的发展综述研究
97.俄罗斯联邦信息安全立法体系及对我国的启示
98.国家信息安全战略的思考
1 移动互联网的安全现状
自由开放的移动网络带来巨大信息量的同时,也给运营商带来了业务运营成本的增加,给信息的监管带来了沉重的压力。同时使用户面临着经济损失、隐私泄露的威胁和通信方面的障碍。移动互联网由于智能终端的多样性,用户的上网模式和使用习惯与固网时代很不相同,使得移动网络的安全跟传统固网安全存在很大的差别,移动互联网的安全威胁要远甚于传统的互联网。
⑴移动互联网业务丰富多样,部分业务还可以由第三方的终端用户直接运营,特别是移动互联网引入了众多手机银行、移动办公、移动定位和视频监控等业务,虽然丰富了手机应用,同时也带来更多安全隐患。应用威胁包括非法访问系统、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。
⑵移动互联网是扁平网络,其核心是IP化,由于IP网络本身存在安全漏洞,IP自身带来的安全威胁也渗透到了移动专业提供论文写作和写作论文的服务,欢迎光临dylw.net互联网。在网络层面,存在进行非法接入网络,对数据进行机密性破坏、完整性破坏;进行拒绝服务攻击,利用各种手段产生数据包造成网络负荷过重等等,还可以利用嗅探工具、系统漏洞、程序漏洞等各种方式进行攻击。
⑶随着通信技术的进步,终端也越来越智能化,内存和芯片处理能力也逐渐增强,终端上也出现了操作系统并逐步开放。随着智能终端的出现,也给我们带来了潜在的威胁:非法篡改信息,非法访问,或者通过操作系统修改终端中存在的信息,产生病毒和恶意代码进行破坏。
综上所述,移动互联网面临来自三部分安全威胁:业务应用的安全威胁、网络的安全威胁和移动终端的安全威胁。
2 移动互联网安全应对策略
2010年1月工业和信息化部了《通信网络安全防护管理办法》第11号政府令,对网络安全管理工作的规范化和制度化提出了明确的要求。客户需求和政策导向成为了移动互联网安全问题的新挑战,运营商需要紧紧围绕“业务”中心,全方位多层次地部署安全策略,并有针对性地进行安全加固,才能打造出绿色、安全、和谐的移动互联网世界。
2.1 业务安全
移动互联网业务可以分为3类:第一类是传统互联网业务在移动互联网上的复制;第二类是移动通信业务在移动互联网上的移植,第三类是移动通信网与互联网相互结合,适配移动互联网终端的创新业务。主要采用如下措施保证业务应用安全:
⑴提升认证授权能力。业务系统应可实现对业务资源的统一管理和权限分配,能够实现用户账号的分级管理和分级授权。针对业务安全要求较高的应用,应提供业务层的安全认证方式,如双因素身份认证,通过动态口令和静态口令结合等方式提升网络资源的安全等级,防止机密数据、核心资源被非法访问。
⑵健全安全审计能力。业务系统应部署安全审计模块,对相关业务管理、网络传输、数据库操作等处理行为进行分析和记录,实施安全设计策略,并提供事后行为回放和多种审计统计报表。
⑶加强漏洞扫描能力。在业务系统中部署漏洞扫描和防病毒系统,定期对主机、服务器、操作系统、应用控件进行漏洞扫描和安全评估,确保拦截来自各方的攻击,保证业务系统可靠运行。
⑷增强对于新业务的检查和控制,尤其是针对于“移动商店”这种运营模式,应尽可能让新业务与安全规划同步,通过SDK和业务上线要求等将安全因素植入。
2.2 网络安全
移动互联网的网络架构包括两部分:接入网和互联网。前者即移动通信网,由终端设备、基站、移动通信网络和网关组成;后者主要涉及路由器、交换机和接入服务器等设备以及相关链路。网络安全也应从以上两方面考虑。
⑴接入网的网络安全。移动互联网的接入方式可分为移动通信网络接入和Wi-Fi接入两种。针对移动通信接入网安全,3G以及未来LTE技术的安全保护机制有比较全面的考虑,3G网络的无线空口接入采用双向认证鉴权,无线空口采用加强型加密机制,增加抵抗恶意攻击的安全特性等机制,大大增强了移动互联网的接入安全能力。针对Wi-Fi接入安全,Wi-Fi的标准化组织IEEE使用安全机制更完善的802.11i标准,用AES算法替专业提供论文写作和写作论文的服务,欢迎光临dylw.net代了原来的RC4,提高了加密鲁棒性,弥补了原有用户认证协议的安全缺陷。针对需重点防护的用户,可以采用VPDN、SSLVPN的方式构建安全网络,实现内网的安全接入。
⑵承载网网络及边界网络安全。1)实施分域安全管理,根据风险级别和业务差异划分安全域,在不同的安全边界,通过实施和部署不同的安全策略和安防系统来完成相应的安全加固。移动互联网的安全区域可分为Gi域、Gp域、Gn域、Om域等。2)在关键安全域内部署人侵检测和防御系统,监视和记录用户出入网络的相关操作,判别非法进入网络和破坏系统运行的恶意行为,提供主动化的信息安全保障。在发现违规模式和未授权访问等恶意操作时,系统会及时作出响应,包括断开网络连接、记录用户标识和报警等。3)通过协议识别,做好流量监测。依据控制策略控制流量,进行深度检测识别配合连接模式识别,把客户流量信息捆绑在安全防护系统上,进行数据筛选过滤之后把没有病毒的信息再传输给用户。拦截各种威胁流量,可以防止异常大流量冲击导致网络设备瘫痪。4)加强网络和设备管理,在各网络节点安装防火墙和杀毒系统实现更严格的访问控制,以防止非法侵人,针对关键设备和关键路由采用设置4A鉴权、ACL保护等加固措施。
2.3 终端安全
移动互联网的终端安全包括传统的终端防护手段、移动终端的保密管理、终端的准入控制等。
⑴加强移动智能终端进网管理。移动通信终端生产企业在申请入网许可时,要对预装应用软件及提供者 进行说明,而且生产企业不得在移动终端中预置含有恶意代码和未经用户同意擅自收集和修改用户个人信息的软件,也不得预置未经用户同意擅自调动终端通信功能、造成流量耗费、费用损失和信息泄露的软件。
⑵不断提高移动互联网恶意程序的样本捕获和监测处置能力,建设完善相关技术平台。移动通信运营企业应具备覆盖本企业网内的监测处置能力。
⑶安装安全客户端软件,屏蔽垃圾短信和骚扰电话,监控异常流量。根据软件提供的备份、删除功能,将重要数据备份到远程专用服务器,当用户的手机丢失时可通过发送短信或其他手段远程锁定手机或者远程删除通信录、手机内存卡文件等资料,从而最大限度避免手机用户的隐私泄露。
⑷借鉴目前定期PC操作系统漏洞的做法,由指定研究机构跟踪国内外的智能终端操作系统漏洞信息,定期官方的智能终端漏洞信息,建设官方智能终端漏洞库。向用户宣传智能终端安全相关知识,鼓励安装移动智能终端安全软件,在终端厂商的指导下及时升级操作系统、进行安全配置。
3 从产业链角度保障移动互联网安全
对于移动互联网的安全保障,需要从整体产业链的角度来看待,需要立法机关、政府相关监管部门、通信运营商、设备商、软件提供商、系统集成商等价值链各方共同努力来实现。
⑴立法机关要紧跟移动互联网的发展趋势,加快立法调研工作,在基于实践和借鉴他国优秀经验的基础上,尽快出台国家层面的移动互联网信息安全法律。在法律层面明确界定移动互联网使用者、接入服务商、业务提供者、监管者的权利和义务,明确规范信息数据的采集、保存和利用行为。同时,要加大执法力度,严专业提供论文写作和写作论文的服务,欢迎光临dylw.net厉打击移动互联网信息安全违法犯罪行为,保护这一新兴产业持续健康发展。
⑵进一步加大移动互联网信息安全监管力度和处置力度。在国家层面建立一个强有力的移动互联网监管专门机构,统筹规划,综合治理,形成“事前综合防范、事中有效监测、事后及时溯源”的综合监管和应急处置工作体系;要在国家层面建立移动互联网安全认证和准入制度,形成常态化的信息安全评估机制,进行统一规范的信息安全评估、审核和认证;要建立网络运营商、终端生产商、应用服务商的信息安全保证金制度,以经济手段促进其改善和弥补网络运营模式、终端安全模式、业务应用模式等存在的安全性漏洞。
⑶运营商、网络安全供应商、手机制造商等厂商,要从移动互联网整体建设的各个层面出发,分析存在的各种安全风险,联合建立一个科学的、全局的、可扩展的网络安全体系和框架。综合利用各种安全防护措施,保护各类软硬件系统安全、数据安全和内容安全,并对安全产品进行统一的管理,包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。建立安全应急系统,做到防患于未然。移动互联网的相关设备厂商要加强设备安全性能研究,利用集成防火墙或其他技术保障设备安全。
⑷内容提供商要与运营商合作,为用户提供加密级业务,并把好内容安全之源,采用多种技术对不合法内容和垃圾信息进行过滤。软件提供商要根据用户的需求变化,提供整合的安全技术产品,要提高软件技术研发水平,由单一功能的产品防护向集中统一管理的产品类型过渡,不断提高安全防御技术。
⑸普通用户要提高安全防范意识和技能,加装手机防护软件并定期更新,对敏感数据采取防护隔离措施和相关备份策略,不访问问题站点、不下载不健康内容。
4 结束语
解决移动互联网安全问题是一个复杂的系统工程,在不断提高软、硬件技术水平的同时,应当加快互联网相关标准、法规建设步伐,加大对互联网运营监管力度,全社会共同参与进行综合防范,移动互联网的安全才会有所保障。
[参考文献]
论文摘要:证券行业作为金融服务业,是一个高度依赖信息技术的行业。信息安全是维护资本市场稳定的前提和基础,没有信息安全就没有资本市场的稳定。介绍了维护好证券行业信息安全的重要意义,分析了行业信息安全现状以及存在的问题,并提出了相应的对策。
近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。
目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。
1 证券行业倍息安全现状和存在的问题
1.1行业信息安全法规和标准体系方面
健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。
虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。
1.2组织体系与信息安全保障管理模型方面
任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照iso/iec27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。
1.3 it治理方面
整个证券业处于高度信息化的背景下,it治理已直接影响到行业各公司实现战略目标的可能性,良好的it治理有助于增强公司灵活性和创新能力,规避it风险。通过建立it治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理it问题,自我评估it管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。
2003年lt治理理念引入到我国证券行业,当前我国证券业企业的it治理存在的问题:一是it资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是it治理缺乏明确的概念描述和参数指标;是lt治理的责任与职能不清晰。
1.4网络安全和数据安全方面
随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。
1.5 it人才资源建设方面
近20年的发展历程巾,证券行业对信息系统日益依赖,行业it队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有it人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的it治理工作指引中“it工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的it队伍肩负着信息系统安全、平稳、高效运行的重任,it队伍建设是行业信息安全it作的根本保障。但是,it人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。
2 采取的对策和措施
2.1进一步完善法规和标准体系
首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。
2.2深入开展证券行业it治理工作
2.2.1提高it治理意识
中国证券业协会要进一步加强it治理理念的教育宣传工作,特别是对会员单位高层领导的it治理培训,将it治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的it治理意识,提高他们it治理的积极性。
2.2.2通过设立it治理试点形成以点带面的示范效应
根据it治理模型的不同特点,建议证券公司在决策层使用cisr模型,通过成立lt治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以cobit模型、itfl模型等其他模型为补充,规范信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lt试点单位,进行it治理模型选择、剪裁以及组合的实践探索,形成一批成功实施it治理的优秀范例,以点带面地提升全行业的治理水平。
2.3通过制定行业标准积极落实信息安全等级保护
行业监管部门在推动行业信息安全等级保护工作中的作用非常关键.应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行督促。
2.4加强网络安全体系规划以提升网络安全防护水平
2.4.1以等级保护为依据进行统筹规划
等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划证券网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决证券行业网络安全问题的一个非常有效的方法。
2.4.2通过加强网络访问控制提高网络防护能力
对向证券行业提供设备、技术和服务的it公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固.降低系统漏洞带来的安全风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的安全性。
2.4.3提高从业人员安全意识和专业水平
目前在证券行业内,从业人员的网络安全意识比较薄弱.必要时可定期对从业人员进行安全意识考核,从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训,提高行业网络安全的管理水平和专业技术水平。
2.5扎实推进行业灾难备份建设
数据的安全对证券行业是至关重要的,数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上,针对自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。
2.6抓好人才队伍建设
证券行业要采取切实可行的措施,建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来,加强lt人员的岗位技能培训和业务培训,注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念,行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系,对信息技术人员进行科学有效的考评,提升行业人才资源的优化配置和使用效率,促进技术人才结构的涮整和完善。
(一)观念意识淡薄
网络是新生事物,很多人在利用网络学习、工作和娱乐的时候,常常忽略网络信息是否安全,他们不仅没有认识到信息安全不足的事实,还普遍存在安全意识淡薄的问题。与此同时,网络经营者在安全领域的投入远远不足,他们注重的都是网络的效应。在面对电子政务信息安全风险时,意识不到存在的风险才是真正最难解决的问题。值得庆幸的是,政府在发展过程中还是清楚的意识到安全问题的存在,只是使用者对自我信息安全保护还缺乏敏感的意识。
(二)管理体系不完善
田敏达在《电子政务信息安全策略研究》的论文中认为,电子政务信息安全不是单纯的技术问题。如果缺乏行之有效的安全检查保护措施,无法从技术、人员以及管理制度上建立电子政务信息安全防范体制,即使是再好的设备和技术也无法保证信息的安全。谭晓在《电子政务信息安全系统的设计与实现技术》中提出,管理体系也是电子政务安全体系的重要组成部分。管理作为网络安全的核心,要实现信息安全的有效管理,不仅需要技术手段的维护,还需要制定合理的管理制度,如日常系统操作及维护制度、审计制度、文档管理制度、应急响应制度等,这样才能发挥有效的作用。
(三)技术存在缺陷
田敏达在《电子政务信息安全策略研究》中也提出了存在的一些问题,包括我国网络安全技术落后、技术优势与相关行业脱节研究、计算机系统本身的脆弱性、我国对发达国家信息设备和信息技术存在着很强的依赖性。技术问题是支持电子政务信息系统稳定高效运行的关键手段,技术的问题是可以控制的,但是开发技术,实现高超的技术水平却是困难的。
(四)法律不健全
孟薇《电子政务信息安全研究》提出尽管一些既有的法律法规的出台和实施对于我国电子政务信息的安全起到相当积极的作用,但仍难以适应电子政务发展的需要,信息安全立法还存在相当多的盲区。在法律方面,基本的法律法规对电子政务信息安全有一定的约束作用,但是目前法律法规还存在不健全、覆盖有盲点、制度不协调等问题,这些为钻法律空缺的违法者提供了“正当”理由。
二、我国电子政务信息安全的防范策略
(一)增强政府部门的管理功能
对电子政务信息安全管理方面进行全方面的研究要从安全审计、数据库、电子邮件系统、浏览器、认证中心、安全产品的安全以及防火备份的安全管理等方面。通过建立和完善管理部门功能,增强管理业务操作,防范与避免不法分子对信息管理系统的侵犯。
(二)加强信息安全专门人才的教育培养
目前,我国信息安全系统及其产品不仅仅依靠向其他国家引进,而更多的是通过政府、行业以及企业在信息安全领域的投资开发,设计出经济合理以及具有自主知识产权的实用产品和适用技术。因此,建立信息安全产品技术研发的核心,即创造高水平的研究教育环境、培养高素质的信息安全人才以及提高信息安全理论基础知识的研究,另外,科研教育基地的大力支持和投入也为其奠定了基础。
(三)设置技术的远程访问的控制
通过路由访问策略和防火墙技术隔离内网与外网,在内网与外网相连通时,必须采取这样的措施才能避免安全隐患的存在。电子政务是开放,但又是封闭的,如何保证相应的客户访问到有权限涉及的资源,又能够保障对其限制的资料不被访问,就是电子政务的设计人员必须考虑的问题。针对此类问题,可以通过设置鉴别服务器来专门负责远程访问得到控制,至于是否设置鉴别服务器取决于该电子政务系统的规模。
(四)建立技术密钥分配中心
密钥的设立贯穿于网络的各个层次和级别,如负责访问控制以及证书、密钥等安全材料的产生、配置、更换和销毁等相应的安全管理活动,在身份认证机制和信息加密中,都要使用到加密体制,而无论什么加密体制都离不开密钥的使用、存储和传输的安全性。因此可以通过建立密钥分配中心负责信息加密、访问控制中心、安排鉴别服务器、授权服务器等活动。
(五)构建完善的安全法律体系
国家的政策法律要适应社会存在的需求和现实,通过为社会信息化发展提供全方面的指导思想以保障和促进国家的法制建设和信息化立法制度的建设。并且能够通过发展规范程度,继而实现更深层次的进步,同时促进国家信息化安全的环境构筑,为体现信息安全的法制文化做出有效的行动。针对存在缺陷的法律体系构建适合电子政务信息安全发展的法律法规,实现法律的约束。
(六)强化电子政务信息安全法律效率
关键词:网络安全 计算机 教学
1 《网络安全》课程重要性
近些年来,随着互联网的发展,电子商务与电子政务得到飞速发展,人们的生活也发生了彻底的变化,但是带来便利的同时,全世界网络安全事件也频发,不仅包括个人资料泄露、公司网络被攻击,更有国家部门被攻击。每年由网络安全事件造成的损失巨大,目前互联网面临的主要威胁是黑客攻击、计算机病毒、系统漏洞以及Web的安全等。
由于互联网是完全开放的,很难定位黑客,造成黑客猖獗,各国将网络安全问题提上重要发展位置,比如美国就成立了网络军队,规模就达到了5000多人,其中一部分作为国家基础设施网络防御,一部分作为攻击部队。而棱镜门事件就是代表。因而作为国家,如何建立一个可以攻守兼备的网络体系;作为企业,如何建立安全的内部网防御体系,阻止黑客入侵;作为个人,如何为自己的电脑安全提供保障,防止信息泄露。
互联网安全问题的日益严重,国家和企业急缺网络安全人才,另外只有人人都有网络安全意识,我们的安全问题才会更有保障,因此在计算机专业教学中将网络安全作为一门核心课程进行教学,建立健全理论与实践知识体系,总结合理的教学方法,培养出高质量的人才,为企业提供安全维护人才。
2 网络安全教育情况分析
我国网络安全起步较晚,人们的网络安全意识不高,各类学校对网络安全的教学不够重视,形成不管是本科类学校还是高职高专,网络安全教学都还处于初步阶段,部分学校没有专门的网络安全实训室,教学过程也只是纸上谈兵。
近年来,由于网络安全事件频发,网络安全被提上前所未有的高度,企业紧缺安全人才,本科及高职高专学校才逐渐重视,逐步建立模拟实训室,但是还未形成完整的教学体系。
3 网络安全教学体系建立
理论教学体系应在硬件安全、计算机网络技术、信息安全、服务器安全、数据库安全以及WEB安全等几个大的方面建立知识框架,在框架下对各个分支的知识进行合理的分布而实践是建立在理论的基础之上,高职类学校往往过分强调实践,没有理论支撑谈何实践,实践还应以社会应用为主,衔接社会,因此建立完善的实践教学体系十分必要。另外还应树立学生安全是相对的观念,并加强学生的安全法律法规学习。
理论与实践教学的主要内容有以下几个部分:
第一,对于物理安全,我们要做好环境安全、电源安全,保持不间断的供电,做好电磁防护并制定规则制度。
第二,对于黑客的攻击原理熟悉与理解,比如欺骗攻击、木马攻击、拒绝服务攻击、缓冲区溢出攻击以及口令破解等原理,并针对这些攻击做出防御措施,实践环节可以包括信息刺探、口令破解、木马攻击与防御、拒绝服务与分布式拒绝服务攻击、服务器溢出攻击。
第三,数据加密技术,理解对称加密与非对称加密技术的原理,清楚RSA加密算法计算过程,对称加密与非对称加密在数字签名、报文摘要与鉴别中的运用,另外关于PKI系统的原理,PGP加密原理等。实践环节包括DES加密算法学习、RSA加密与解密计算过程、PKI证书申请、证书管理、加密传输、数字签名、PGP加密软件的应用。
第四,防火墙与入侵检测技术,各种防火墙原理的理解,对防火墙过滤规则的设定。实践环节包括过滤防火墙规则的设置、应用防火墙的设置、状态检测防火墙的设置、综合型防火墙配置、入侵完整性检测以及统计分析实验。
第五,计算机病毒,各种计算机病毒的症状与解决原理。实践环节包括CIH病毒、宏病毒以及熊猫烧香病毒的分析、清理与防御。
第六,服务器与数据库安全,对服务器系统的安全设置,包括账户管理、注册表设置,数据库数据的备份,容灾技术的原理。
第七,web的安全,首先是WEB服务器与浏览器的安全,其次是脚本语言的安全,实践环节包括Web服务器漏洞安全、CGI程序的常见漏洞以及ASP/SOL注入等,另外还有虚拟专用网的建立实验。
4 网络安全教学过程
网络安全技术课程涉及知识面较广,有数学、计算机、网络技术、心理学等学科,理论知识较深,学起来也比较枯燥,而实践需要理论知识的支撑且操作步骤繁多,因此教学过程要激发学生的学习兴趣,理论与实践结合,在互动中进行。
在教学过程中,我主要分以下几个部分:
4.1 导入
寻找到学生的学习兴趣的切入点作为导入,让学生带着兴趣和问题进行接下来的学习。比如《计算机网络安全技术》中的抓包知识,我将黑客获得互联网数据来破解客户邮箱密码过程作为学习兴趣的切入点,从而抛出问题:如何获取互联网传输数据――抓包。
4.2 理论学习
理论知识相对枯燥无味,学生不爱听,因此在学习理论知识时用具体的案例穿插讲解,这样学生不会认为理论太空洞,可以看到能够有事实来支撑,比如当老师讲到蠕虫病毒的特征与原理时,穿插展示对照熊猫烧香病毒的分析课件,让学生将理论与具体的病毒对照学习,这样印象就比较深刻了,效果也就不一样了。我们还可以这样来进行教学,比如在《计算机网络安全技术》中的ARP欺骗攻击时重点是理解攻击原理和实践攻击,上课时先画出实验拓扑图,动画演示攻击过程,让学生说攻击原理,教师再总结原理,最后条件允许下进行实战操作,至于其他的知识教师一带而过,让学生自主学习。
认真设计好课堂每一个教学环节,每一个知识点的过渡。讲解时不能所有知识点都讲解,时间上也不允许都讲,因而要有重难点,要有目的性,如果一节课的重难点你能把握,那么这节课你就成功了一半了,不管采用什么办法,激发学生的兴趣很重要,如果教师按照书本知识长篇累赘地讲下来,虽然我们面面俱到,十分辛苦,但估计学生学习的效率会非常低。
4.3 实践活动
安排实践非常重要,不能马虎,要让理论变成现实,让学生切实感受到安全技术的可操作性与实用性,因而在每个知识点都安排了实训,比如上到加密技术中,可设置两位学生为一组做实验,相互申请密钥对进行加密传输数据和解密数据以及数字签名,并生成实验报告,分析实验结果,查找不正确的原因,找出解决办法。
总之,在教学过程中建立适合高职高专学生的教学体系和教学方法,以实验报告作为主要的评价标准,计算机教师一定要结合社会实际的应用情况来教学,向学生传授知识与技能,培养适合企业安全维护人才,提高抵御网络攻击防御的能力。
参考文献:
[1]石淑华池瑞楠.计算机网络安全技术[M].人民邮电出版社2012-8.
[2]周苏.信息安全技术[M].中国铁道出版社,2011-8.
[3]杨文虎.网络安全技术与实训[M].人民邮电出版社,2011-7.
[4]陈铁源.中国安全专家为美国黑客号脉[N].中国青年报,2001-
关键词:网络信息安全,高职学院,校园网
二十一世纪,信息化建设在不断广泛地铺展开来,其中教育信息化的推进可谓是速度飞快。各高校都相继建成了自己的校园网络,而高职学院也不例外,也有了自己学院的校园网络以及基于校园网络的教务网络管理平台、信息化办公平台和学生网上选修课目系统等网络信息系统。因此,当下校园网络安全问题日趋放大,各种各样的安全隐患使“牵一发动全身”的校园网络越显脆弱。本文就高职学院校园网络安全存在的问题及解决方法谈几点看法。
1校园网络信息安全的威胁
所有校园网络都需要提供开放的网络资源、上网服务,同时又要保证整个校园网络的安全。目前校园网络的威胁分为非人为威胁和人为威胁,其中非人为威胁主要是指物理设备如:学校的路由器、交换机、工作站、各种网络服务器等硬件设备和通信链路容易遭受自然灾害的破坏,从而导致校园网络无法正常运作。而人为威胁是校园网络威胁的主要来源。校园网络的人为威胁主要来自两个方面,一是来自外部公网的威胁,另一方面是来自内部的威胁。下面本文从校园网络内部威胁和外部威胁两个方面谈一下校园网络信息安全的威胁。
1.1内部威胁
1.1.1内部用户威胁
校园网的用户群体一般也比较大,少则数千人、多则数万人,数据量大、速度要求高。随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,学生通过网络在线看电影、听音乐,很容易造成网络堵塞和病毒传播。而这些问题大部分校园网络都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。。同时,还要注意防范校园网内部的黑客攻击。
1.1.2盗版软件威胁
由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。比如,Microsoft公司对盗版的XP操作系统的更新作了限制,盗版安装的计算机系统今后会留下大量的安全漏洞。。另一方面,从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。
1.1.3管理威胁
管理方面的困难性也是互联网安全问题的重要原因。校园网的建设和管理通常都轻视了网络安全,特别是管理和维护人员方面的投入明显不足。在中国大多数的校园网中,通常只有网络中心的少数工作人员,他们只能维护网络的正常运行,无暇顾及、也没有条件管理和维护数万台计算机的安全,院、系一级的专职的计算机系统管理员对计算机系统的安全是非常重要的。
1.2外部威胁
1.2.1病毒
计算机网络病毒是在计算机网络上传播扩散,专门攻击网络薄弱环节、破坏网络资源的计算机病毒。计算机病毒攻击网络的途径主要是通过拷贝、互联网上的文件传输、硬件设备中的固化病毒程序等等。由于校园网拷贝频繁所以病毒还可以利用网络的薄弱环节攻击计算机网络。在现有的各计算机系统中都存在着一定的缺陷,尤其是网络系统软件方面存在着漏洞。因此网络病毒利用软件的破绽和研制时因疏忽而留下的“后门”,大肆发起攻击。网络病毒可以突破网络的安全的防御,侵入到网络的主机上,导致计算机工作效率下降,资源遭到严重破坏,甚至造成网络系统的瘫痪。
1.2.2非法软件
一些非法软件采用多种技术手段,强行或者秘密安装,并抵制卸载;强行修改用户软件设置,如浏览器主页,软件自动启动选项,安全选项;强行弹出广告,或者其他干扰用户占用系统资源行为;有侵害用户信息和财产安全的潜在因素或者隐患;未经用户许可,或者利用用户疏忽,或者利用用户缺乏相关知识,秘密收集用户个人信息、秘密和隐私。非法软件具备部分病毒和黑客特征,属于正常软件和病毒之间的灰色地带。杀毒软件一般不作处理,使其经常破坏校园网安全。
1.2.3黑客
黑客侵入校园网计算机系统是造成破坏以及破坏的程序,因其主观机不同而有很大的差别。确有一些黑客(特别是“初级”黑客),纯粹出于好奇心和自我表现欲而闯入他人的计算机系统。他们可能只是窥探一下你的秘密或隐私,并不打算窃取任何住处或破坏你的系统,危害性倒也不是很大。另有一些黑客,出于某种原因进行泄愤、报复、抗议而侵入,篡改目标网页的内容,羞辱对方,虽不对系统进行致命性的破坏,也足以令对方伤脑筋。第三类就是恶意的攻击、破坏了。其危害性最大,所占的比例也最大。
综合以上大部分校园网络破坏是脆弱网络环境所致。服务过多、监控不力,外部破坏、或是起于恶作剧心理的学生,加剧校园网的内忧外患局面。
2威胁解决策略
2.1提高管理水平
这是解决网络安全问题的所有对策中最重要的一点。主要包括以下几方面的内容:建立一个高度权威的信息安全管理机构,并不断强化其权限和职能;制定统管全局的网络信息安全法规,做到有章可循、有法可依;制定网络管理员的激励制度,促使他们提高工作热情,加强工作责任心;对网络管理员进行专业知识和技能的培训;把网络信息安全的基本知识纳入学校各专业教育之中;对学校教师和其他人员进行信息安全知识普及教育;在学校的网站设立网络安全信息栏目,网络法令法规、网络病毒公告、操作系统更新公告等,并提供常用软件的补丁下载。。
2.2采用安全技术
2.2.1采用安全交换机
由于内网的信息传输采用广播技术,数据包在广播中很容易受到监听和截获,因此需要使用安全交换机,利用网络分段及 VLAN的方法从物理上或逻辑上隔离网络资源,以加强内网的安全性。
2.2.2操作系统的安全
从终端用户的程序到服务器应用服务、以及网络安全的很多技术,都是运行在操作系统上的,因此,保证操作系统的安全是整个安全系统的根本。除了不断增加安全补丁之外,还需要建立一套对系统的监控系统,并建立和实施有效的用户口令和访问控制等制度。
2.2.3设置防火墙
防火墙的选择应该适当,对于高校内部网络来说,可选择在路由器上进行相关的设置或者购买更为强大的防火墙产品。对于几乎所有的路由器产品而言,都可以通过内置的防火墙防范部分的攻击,而硬件防火墙的应用,可以使安全性得到进一步加强。
2.2.4信息保密防范
为了保障网络的安全,也可以利用网络操作系统所提供的保密措施。以 Windows 为例,进行用户名登录注册,设置登录密码,设置目录和文件访问权限和密码,以控制用户只能操作什么样的目录和文件,或设置用户访问级别控制,以及通过主机访问Internet等。 同时,可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。由于文件组织形式的数据缺乏共享性,数据库现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施,而数据库的数据以可读的形式存储其中,所以数据库的保密也要采取相应的方法。电子邮件是企业传递信息的主要途径,电子邮件的传递应行加密处理。针对计算机及其外部设备和网络部件的泄密渠道,如电磁泄露、非法终端、搭线窃取、介质的剩磁效应等也可以采取相应的保密措施。
2.2.5防范计算机病毒
从病毒发展趋势来看,现在的病毒已经由单一传播、单种行为,变成依赖互联网传播,集电子邮件、文件传染等多种传播方式,融黑客木马等多种攻击手段为一身的广义的“新病毒”。 因此,在网内考虑防病毒时选择产品需要重点考虑以下几点:防杀毒方式需要全面地与互联网结合,不仅有传统的手动查杀与文件监控,还必须对网络层、邮件客户端进行实时监控,防止病毒入侵;产品应有完善的在线升级服务,使用户随时拥有最新的防病毒能力;对病毒经常攻击的应用程序提供重点保护;产品厂商应具备快速反应的病毒检测网,在病毒爆发的第一时间即能提供解决方案;厂商能提供完整即时的反病毒咨询,提高用户的反病毒意识与警觉性,尽快地让用户了解到新病毒的特点和解决方案。
结束语:高职学院网络通信安全是一个系统的过程,它不仅仅是软件、硬件方面的安全,还应该从管理者的角度加强安全管理和从使用者的角度加强安全指导。因此,必须强化高职学院校园网络安全管理工作意识,健全校园网络通信安全管理工作体制,完善校园网络安全管理工作制度,构建校园网络安全技术支持体系,建立校园网络安全管理工作队伍,营造校园网络安全工作环境氛围,确保高职学院校园网络的安全运行。
参考文献:
1 石淑华.《计算机网络安全技术(第二版)》.人民邮电出版社 2008-12
2 杨丽英. 高校师德建设的问题与对策 J .中国成人教育 2008(23):88-91
论文摘要:珠三角地区改革发展纲要的提出,为地区公共信息的发展提出了新要求,建立起地区公共信息安全的联动体系,有利于提高地区信息交流,保证信息沟通渠道的安全畅通,不断提高各地市联合公共服务、公管管理的能力,保证珠三角地区加快经济一体化的步伐。
珠三角作为我国经济发展的前沿阵地,经济市场化和外向化程度很高。但受当前国际金融海啸的影响,国内外经济形式发生深刻变化,区域发展受到严重冲击。国家从战略全局和长远发展出发,制定出珠三角地区改革发展规划纲要,用以指导珠三角经济结构转型和发展方式转变,推进区域一体化建设。
我们把以政府为主体的一切负有公共事务管理职能的组织(包括行政机关,法律法规授权、委托的组织,来源于纳税人税款的政府财政拨款的社会团体、组织等公共事业法人和社会组织)在行政过程中产生、收集、整理、传输、、使用存储和清理的所有信息,称为公共信息。珠三角地区是我国信息化程度的高度集中的地区,“数字珠三角”的提出,使公共信息在珠三角地区更富多元化和复杂化,而公共信息安全问题解决的好坏直接关系到区域的,社会的长治久安,国家的安全与稳定。珠三角作为我国新时期探索科学发展模式的试验区,在摸索构建信息安全联动体系的道路上更应体现“科学发展,先试先行”的核心理念,在危与机并存的新形式下,信息安全正面临着严峻的挑战,建立信息安全联动体系的呼声也越发响亮。
一、珠三角地区公共信息安全现状的分析
公共信息安全是指个人、组织、社会和国家在信息传播过程中保护自身利益不受损害,它包括物理设施安全、技术安全、信息内容安全等国家、社会公共安全的总和。珠三角地区目前信息化程度在全国处于领先地位,但在信息化普及过程仍存在诸多安全问题。
(一)信息共享渠道不畅。当前的难点在于信息归部门所有,在信息管理上条块分割现象严重,区域内小到政府部门,大到地方政府,大多只考虑自身的管理和利益的需要,很少能从全局发展的战略需求角度考虑,各部门,各地方间缺乏必要的沟通配合,相互问协调联动不够,信息获取存在障碍,不能有效整合信息资源。面对突发安全事件时,由于事件自身具有复杂多变的特性,需调动各方力量,收集各类信息,对信息进行分门别类,分析提炼,加工处理,才能为决策领导层制定行之有效的解决对策提供素材。但因存在部门信息保护主义,以及访问权限的设置问题,容易导致管理部门相互间推诿扯皮现象的出现,不仅不能及时便捷的处理问题,有时反而“延误战机”,造成不可估量的损失。
(二)电子政务建设华而不实。政府门户网站提供服务的能力直接反映了政府信息化的综合水平,同时也在一定程度上折射出真实政府的运作情况和应对信息威胁的能力。随着珠三角地区经济的飞速发展,本地区的信息产业也不断得到提高,电子政务建设无论在资金投入上还是技术设备上都处在全国领先地位,但同时也存在不少问题,一方面,珠三角地区在信息系统建设存在相互攀比,急于求成,重复建设的现象,有的政府部门为了实现所谓“政务公开,公务透明”的电子化办公,盲目投资,建设内容贫乏,失去时效,形同虚设的网站。不但容易造成资源的铺张浪费,不利于对公共信息的采集、传递、确认、分析和理解,而且容易造成政出多门,办事效率低下的深层问题。
一旦遭遇公共危机,政府信息系统在危机期间的信息采集,信息整合、信息将出现紊乱,导致政府信息准确性的降低,影响政府的公众形象和政府公信力。另一方面,政府网络有其特殊性,网络和信息安全防护十分重要。但作为面向公共社会服务的信息平台,却没有专门设立公共信息安全知识的服务型网站,公众对公共安全基本知识缺乏了解。
(三)公共信息系统建设缺乏统一规范。公共信息系统的建设标准尚未规范和统一。“数字珠三角”意味着信息化,信息化意味着网络化,网络化意味着互通互联、资源共享,规范和统一信息建设标准十分重要j。珠三角各地的信息化程度普及率高,有条件率先实现统一的公共信息系统建设的标准。但鉴于珠三角城市问的经济发展水平和公共服务能力存在差距,如果全都划一要求,一统到底,势必造成“水土不服”。必须要有一个科学的,合理的、讲求效益的界定。
(四)信息安全防范治理能力不强。公共信息安全的关键在于防范。目前,珠三角信息和网络安全的防范能力处于发展的初步阶段。许多应用系统处于不设防阶段。全国范围内,包括珠三角地区的信息与网络安全研究任停留在封堵现有信息系统的安全漏洞阶段。区域的综合信息安防能力面临考验。一方面,虽然珠三角地区的政府在推进信息安全的风险评估,风险控制,风险管理的推广、规范工作上步伐较快,但维护信息安全的核心技术和关键技术却基本被国外垄断。对可信安全计算、信息安全内容管理、网络安全管理与风险评估、应急响应和安全应用支撑平台等一系列网络信息安全核心技术的自主研发仍处在起步阶段,与国外先进国家、地区的信息安防技术能力存在明显差距。另一方面,许多公众和政府工作人员对公共信息安防领域的认识仍局限在防病毒、入侵检测、vpn、垃圾邮件等基本防范手段上,而忽视对utm(统一威胁管理)、soc(安全运营中心)等新型信息防范手段的学习。
二、建立珠三角公共信息安全联动体系的必要性
(一)面对人为事件、事故,自然灾害建立联动信息安防体系是公共安全的基本必要。珠三角在空间上是一个相互依存的系统,空间的分布并不是根据行政界线来划分,珠江三角洲经济区毗邻港澳,华侨、港澳同胞众多,具有发展对外贸易和经济技术合作,引进外资和技术等方面优越的条件,是我国对外开放的重点地区;地区内的经济活动频繁,相互间关系密切,在交通运输、生产事故、刑事犯罪等人为事件、事故处理上具有区域的联发联动性,此外该地区是洪涝灾害和台风等自然灾害的频发地区,对自然灾害的预防和应急亦需要跨地区跨部门的相互联动合作。建立珠三角信息联动体系,可以有效整合各地资源,及时有效的采取应对措施,排除险情,解除危难;保证在信息收集、分析、传递、方面的准确性和有效性,防止信息失真带来的严重后果的。
(二)珠三角作为我国经济改革发展的“试验田”,在区域经济一体化的政策导向下,建立联动信息安防体系是公共安全的特殊必要。城市区域内的矛盾和冲突是必然的,这是由于城市区域经济活动本身的外部性及信息不对称所造成的。珠三角城市区域内的某些地方政府,常通过建立地方保护链条、重复建设项目等手段,来实现地方利益的最大化,从而加大了珠三角地区城市间经济交易的成本,不利于经济一体化的形成。打破这种信息不对称性所照成的城市经济“孤岛危机”就必须建立公共信息共享以及安全保护的联动体系,通过制度变迁,建立相应的城市区域信息协作组织,在安全可靠的环境下,对公共经济等信息实现互联互动,不仅可以实现区域内城市不同利益主体的相互间信息交流,降低不同利益主体达成交易的成本,并能对区域的经济发展现状进行有效的监督。
三、珠三角公共信息安全联动体系的构建和管理
(一)注重公共信息安全法律建设。
加强公共信息安全法制的立法工作。法律本身就是确保公共信息安全管理的一项重要保障,为有效贯彻落实国家信息安全等级保护制度,在总结基础调查和试点工作的基础上,国家颁布了《中华人民共和国计算机信息系统安全保护条例》和印发了《信息安全等级保护管理办法》等相关条例,确定了信息安全等级保护制度的基本内容及各项工作要求,进一步明确了国家、公民、法人和其他组织在等级保护工作中的责任、义务,各职能部门在信息安全等级保护工作中的职责分工以及信息系统运营使用单位、行业主管部门的安全保障法律责任。
但是中国目前尚没有形成专门的“公共信息安全”法规体系,还有许多公共领域在信息安全方面无法可寻、无法可依,地方性在公共信息安全方面的行政法规良莠不齐,难以统一。公共信息安全法律体系的研究可以选择不同的切入点。按照法律效率,我们可以从法律、法规和规章层次讨论信息安全的法律体系。也可以另辟蹊径,以战略作为出发点探讨信息安全的法律体系。我国应从国情出发,积极探索加强信息安全法制建设的新思路,加快信息安全的立法工作,尤其是要加快信息安全基本大法的立法进程,以建立起一套既符合国际通行规则,又具有中国特色、门类齐全、层次分明、结构严谨的信息安全法律体系,为信息安全保障工作提供更有力的法律支撑j。在珠三角规划出台的新形势下,国家可以不妨逐步探索、建设和制订与区域一体化相适应的公共信息安全法律体系,这不仅有利于公共信息安全治理的规范化和稳定化;有利于为公共信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动各类信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式,为以后我国全面实施公共信息安全保护工作提供政策支持。
(二)建立统一的、共享的、安全的公共信息网络系统。
首先,以信息资源开发利用为导向,加强珠三角公共数据整合。城市信息资源在信息化过程中得到不断积累,只有以信息资源开发利用为导向,城市信息化综合效益才能得到提高。到目前为止,各城市都建立了具有本地特色的数据库,但是多数数据库的使用都处于封锁状态,这严重影响了城市信息化建设的效益发挥。未来几年,城市公共数据整合将成为未来城市信息化建设的一项重点工作。公共数据整合要结合城市经济发展战略和现状,构建城市各部门、各组织共享的公共数据库,这也是当前城市信息化建设中必须着力解决的重要课题。根据我国信息资源规划和建设的总体要求,各地要建立一批具有公益性、基础性、实用性的公共数据库;加紧建设和健全自然人基础信息库、法人基础信息库,作为建构公共数据库的基础,合理、高效地利用信息资源,整合现有的信息资源;加强生产、流通、科技、人口、资源、生态环境等领域的信息资源开发利用工作;加快教育、文化、公共文献等领域信息资源的数字化、网络化进程。
其次,加强信息和信息安全关键技术的自主研发,从技术上统一标准。当前,我国在信息和信息安全领域总体上处于关键技术和设备受制于人的被动局面,发展信息和信息安全高端技术、提高自主创新能力已经成为我国掌握信息安全主动权的唯一出路。为加强信息和信息安全关键技术的研发,我国必须采取有效措施,建立健全坚强有力、运转灵活、工作高效的新体制,全方位地指导信息和信息安全关键技术的规划、研发、成果转化,同时组织和动员各方力量,密切跟踪世界先进技术的发展,逐步形成基础信息网络、重要信息系统以自主可控技术为主的新格局。
再次,建立完善的信息安全风险评估体系。在信息系统建设的同时,要进行信息安全的总体设计和信息系统安全工程建设,在系统验收时必须对信息系统安全进行测评认证。对于已建的信息系统,要完善信息安全的总体设计和信息系统安全工程建设,进行系统安全测评认证。在信息系统建设中信息安全的投资应占系统投资的一定比例。各级机关和重点单位新建和改建信息系统必须配套建设信息安全子系统,并与主体工程实行同时设计、同时施工、同时投入使用。加强对修订稿安全产品、服务商资质、信息系统的安全管理与测评认证,在系统建设总体方案评审时强化对安全保障方案的审查和各项安全保障功能的认证。
最后,加强对信息网络、信息产品和网上交易行为的监管,提高对网上信息的跟踪管理能力、对专案对象的监控能力和对制造和传播计算机病毒、非法入侵、泄密、窃密以及散布有害信息等行为的防范能力,严厉打击危害计算机信息系统安全和利用计算机技术进行犯罪活动。保障国家秘密、商业秘密和个人隐私的权利,抵制不良文化、不实新闻在网上传播,维护信息安全和社会稳定。
(三)建立政府主导下的公共信息安全组织体系,落实安全管理责任制
公共信息安全工作综合性强,涉及单位、部门多,需要在统一领导下实现职能的有机组合。因此,应建立一个具有高度权威的实体化领导管理机构,并强化其权限和职能,使其能从战略高度统揽全军的信息安全工作。应该建立健全信息安全工作领导体制,明确各业务部门的具体职责,形成科学高效的信息安全管理体制。政府主导下可以成立“珠三角信息安全工作小组”,加强信息安全的组织领导。“珠三角信息安全工作小组”的管理职能是负责协调珠三角各市及其有关部门间的工作关系,理顺管理体制,明确职责,以统筹规划信息安全保障体系、基础设施建设,并促进资源的共享,信息安全的管理。在机构的组织形式上,既要使其能够在正常时期充分履行职能,又要便于公共信息系统出现崩溃时快速转入应急体制并发挥作用;在机构职能的确立上,既要能对全社会的信息安全工作进行战略指导和宏观管理,又要能对公共信息安全的具体问题进行策略支持和微观控制j。
1 电子阅览室职能转变
回顾电子阅览室发展历程,可以发现电子阅览室服务职能,出现了巨大的转变。
1.1 信息检索服务职能
上世纪90年代,网络技术还处于不成熟阶段,电脑尚未在人们生活中普及,当时的中文网站数量不多,具有丰富内容的中文数据库更是少有,对于普通民众而言,很少有人知道网路的用途,到图书馆进行信息检索的读者,很大程度上是科技工作者。我国当时大力提倡商品经济与市场经济,公共图书馆是基础性文化设施,顺应社会发展的潮流,为科研、生产和领导机关提供信息检索服务。公共图书馆的这一职能,在该时期相关部门所下发的文件中也有所体现。以文化部办公厅下发的《关于加强公共图书馆电子阅览室管理的通知》([2001]28号)为例,就对电子阅览室的功能做了明确描述。首先是运用计算机对各类文献信息资源进行管理,用数字化信息提供阅览、咨询和网上服务。其次是利用各种网络通信手段,对各类信息服务中心,即地区、国家和国际上的信息数据库系统,进行有效的连接。最后是采用新技术,组织形成大型的专业性数据库检索系统,来供读者们检索使用。综合上述电子阅览室的三项功能可知,该时期的电子阅览室主要用来提供信息检索服务。
1.2 多元化服务职能
进入21世纪之后,随着信息技术的发展和网络的普及,网络中中文数据库大量存在,通过互联网络,人们就可以查取各种所需资料。从这一层面讲,图书馆已不是人们获取知识和信息的唯一地方,很多企业、科研机构、政府机关都具备自身网络系统,拥有自身信息渠道,图书馆为政府决策和科研机构所提供的服务,从比重上来看,呈现逐年减小趋势。现阶段,随着公共图书馆事业的发展,网络化服务在公共图书馆展开,很多图书馆提供远程检索和全文下载服务,这为读者们提供了便捷条件,对于那些有条件上网的读者,只需要申请用户名和密码,就可以通过网络来检索资料,实现了信息检索的随时随地进行。综上所述,电子阅览室单纯的文献检索的服务职能已然转变,服务功能趋向多元化。现代化的网络技术日新月异,网络功能越发强大,如即时通信、网络邮件、搜索引擎、网络游戏等,随着人们生活水平的提高,电脑在人们日常生活中普及,但也应看到,部分百姓不具备自己的电脑,或不具备上网的条件,对于他们而言,可能具备网络休闲需求,公共图书馆服务职能的转变,应从百姓实际需要出发,切实加强电子阅览室的网络休闲服务。
2 公共图书馆电子阅览室应用状况
为读者服务是公共图书馆工作的核心内容,在公共图书馆设立电子阅览室,旨在最大化利用现代化信息技术,为广大图书馆读者提供高质量的服务。我国从2011年始,开始实施公共图书馆电子阅览室免费开放政策,因为节约了电子阅览室使用费用,电子阅览室的读者本该增多才是,但从相关数据统计显示,基层电子阅览室读者却呈现减少趋势。探究电子阅览室读者减少的原因,可以总结概括为如下几个方面:
1)公共图书馆属于国家财政拨款,图书馆工作人员服务意识不强,将“为读者服务”视为空话。
2)图书馆的规章制度,有对读者的诸多限制性要求,如只允许读者从网上查询或阅读资料,却不允许下载资料,这加大了读者理解和运用资料的难度。
3)现代信息技术被广泛应用于图书馆工作中,但很多图书馆管理人员,对计算机软件了解甚少,不具备电子阅览室专业技能,对前来咨询的读者,不能做详细的解答,对于网络应用中容易出现的故障,不能做有效预防和准确排除工作。
公共图书馆电子阅览室的读者减少,这是对图书馆资源的巨大浪费,是与国家拨款设立电子阅览室,并全面免费开放的良好初衷相悖的。对于公共图书馆的相关工作人员而言,应积极探索应用电子阅览室的有效策略,提高电子阅览室的服务水平。
3 公共图书馆对电子阅览室应用策略
3.1 转变原有服务观念
态度决定一切,树立良好的服务理念,能拉近图书馆管理人员和读者间的距离。从公共图书馆角度讲,应完善图书馆规章制度,对全馆员工进行定期或不定期的业务培训,提升员工的专业技能,提高员工的综合素质,切实加强员工工作兴趣,不断探索创新,改进服务手段,增强读者的满意度。
3.2 营造良好的网络环境
网络信息纷繁芜杂,对海量信息进行准确判断是件困难的事情,意志薄弱的读者,很容易在网络世界迷失自己。出于阅读安全的需要,应公安部门的要求,各电子阅览室都安装网络安全过滤器,实行正规化网络操作,加强对网上内容的采集和审核力度,完善和美化页面内容,保障页面内容的健康,营造良好的网络环境。
3.3 完善导读服务工作
电子阅览室能够为读者提供导读服务,这种服务以文本形式展现在读者面前,该项工作从内容上包括如下几个方面:首先是具备读者手册,对计算机安全法律、法规和图书馆规定予以介绍;其次是对电子阅览室进行介绍,特别是对馆藏电子信息资源
的介绍;对优异的图书、光盘和数据库予以推荐;对新到的图书资料、光盘、书评等予以通报;介绍适合的检索方法;对论文查询和联机检索予以帮助。
4 结论
重视电子阅览室的作用,加强对电子阅览室监管工作,是现代化公共图书馆发展的产物,电子阅览室全面免费开放是民心所向,是社会发展的必然结果。紧密结合图书馆发展实际,提升公共图书馆电子阅览室的服务性能,实现全面开放电子阅览室的美好初衷,将惠民政策落实到实处,真正实现电子阅览室建设的规范化、科学性和持续性。
参考文献
[1]李振东.如何提高图书馆电子阅览室的有效利用[J].内蒙古科技与经济,2010,23.
[2]程春兰.图书馆电子阅览室的特色服务与和谐发展[J].中国西部科技,2010,01.
[3]李婕.高校图书馆电子阅览室资源利用之管见[J].思茅师范高等专科学校学报,2010,06.
关键词:档案安全;保障体系;研究综述
2010年5月12日,国家档案局杨冬权局长在全国档案安全系统建设工作会议上提出“建立确保档案安全保密的档案安全体系,全面提升档案部门的安全保障能力”的号召,把档案安全的重要性提升到一个新高度。[1]近年来,档案安全保障体系研究已引起学界的关注,成为较热的一个研究课题。我们课题组也在做档案安全保障体系的研究,笔者期望对学者以往的研究做以归纳提炼,以资研究探索。
笔者于2011年12月22日,在万方数据库中,以“档案安全保障体系”为检索词,起始年“2000”,结束年“2011”检索到论文84篇。在维普中文科技期刊数据库搜索到与“档案安全保障体系”相关内容论文20篇,笔者对其中相关度较高的文章进行了分析研究,综述如下:
1 档案安全保障体系的内涵
档案安全保障体系的建设具有持续性、多样化、可完善性等特点,是一项复杂的系统工程。构建档案安全保障体系的前提是分析档案安全保障体系的理论定位与实际应用的关系。
张美芳、王良城认为,目前,国内外关于档案安全保障体系的理解大致有三层含义:其一,控制环境,降低风险。这里的“环境”,是指档案保管环境、物理环境、社会环境、信息存储环境等,降低环境因素对档案安全的影响,最大可能降低风险。其二,建立安全保障平台,采取安全防护措施,使档案尽可能保持稳定状态。其三,对已经处于不安全环境中的档案,采取各种措施使其达到新的稳定状态,保存其信息的可读、可用和可藏。这三层含义包括档案安全保障体系中社会因素、管理体制、组织体系、策略、政策法规、安全保障技术或安全保护效果的评价等较为宏观的要素。[2]
2 档案安全保障体系的构建目标和指导思想
2.1 构建目标。彭远明认为,档案安全保障体系建设的总体目标是:针对档案的安全需求、管理现状和存在问题进行安全风险分析,提出解决方案和预期目标,制定安全保护策略,形成集预测、保管、利用、抢救一体化的保障体系。[3]杨安莲认为,档案安全保障体系的构建目标应该是:采取全面、科学、系统的安全保障策略,保证档案信息的安全性、完整性和可用性,杜绝敏感信息、秘密信息和重要数据的泄密隐患,确保档案信息的全面安全。[4]
2.2 指导思想。彭远明认为,构建档案安全保障体系的指导思想是:在体系内合理进行安全区域划分,以应用和实效为主导,管理与技术为支撑,结合法规、制度、体制、组织管理,明确等级保护实施办法,确保档案的安全。[5]张美芳、王良城认为,档案安全保障体系建设的指导思想应是:坚持严格保护、有效管理、分类指导、合理利用,以健全法律法规、提高人员素质、加强规划管理、完善基础条件、强化监管手段为重点,立足当前,着眼长远,加快体制机制创新,加强统筹协调,全面增强档案资源保护力度,推动我国档案事业持续健康发展。[6]
3 档案安全保障体系的建设原则
档案安全保障体系的构建应该根据档案安全现状及其面临的威胁与隐患,从档案安全保障工作的整体和全局的视角进行规范,在构建过程中应该遵循一定的原则。彭远明、张艳欣、杨安莲、黄昌瑛、张勇等都提出了档案安全保障体系的建设原则,笔者采用统计归纳的方法,从中提炼出以下共性原则:
3.1 标准规范原则。档案安全保障体系的建构和策略的选择必须符合我国现行法律、法规的规定要求,必须遵循国际、国家的相关标准,严格遵照相关规章制度。[7][8]
3.2 科学实用原则。档案安全保障体系应在充分调查研究的基础上,以档案安全风险分析结果为依据,探寻有针对性的特色理论,制定出科学的防范措施与方法,这些理论、措施与方法应当在实践层面上具有可操作性。[9][10][11]
3.3 全面监控原则。档案安全保障工作是一个系统工程,需要对各个环节进行统一的综合考虑、规划和构架,任何环节的安全缺陷都会造成对档案安全的威胁。[12]
3.4 适度经济原则。根据档案的等级决定建立什么水平的防范体系,根据风险评估和各单位的财力、物力决定资金投入的多少及如何分配使用资金,将资金用在最迫切的地方。既要考虑到系统的可操作性,又要保证安全保密机制的规模与性能满足需要,实现安全保护效率与经济效益兼顾。[13][14][15]
3.5 动态发展原则。档案安全保障体系的建设是一个长期的不断完善的过程,所以,该体系要能够随着安全技术的发展、外部环境的变化、安全目标的调整,不断调整安全策略,改进和完善档案安全的方法与手段,应对不断变化的档案安全环境。[16][17][18][19]
3.6 自主创新原则。加强档案安全保障方面的关键技术的研发,密切跟踪国际先进技术的发展,提高自主创新能力,努力做到扬长避短,为我所用。[20][21]
4 构建档案安全保障体系的方案设计分析
许多学者对档案安全保障体系的建设方案提出了自己的设想,他们从不同的角度切入问题,得出不同的结论,笔者根据学者的研究成果,总结出一套较为完善的档案安全保障体系方案。
4.1 安全管理理论。理论从实践中取得并能指导实践,为实践指明前进的方向。在先进理论的指导下,实践往往能取得较好的成果,理论水平的高低因此也往往预示着现实中该领域的水平高低。
4.1.1 前端控制。前端控制思想具体到安全保障活动中是:档案安全保障的标准化的建设与应用;为开展安全保障活动而制定的计划方案、普查活动;人员配置合理和技术力量的前期储备、设备的选择和环境的控制、整个预防性安全保障活动的监督、检查和评估;为妥善保管档案而选择的装具、包装等;事先制订的应急预案、抢救预案,等等。[22]
4.1.2 全程管理。全程管理是伴随着档案的生命周期而开展的一切安全保障管理活动。[23]包括日常维护、灾难备份、利用与服务、恢复与抢救、质量检查与评估、风险预测,等等。[24]
4.1.3 后期监督。后期监督包括安全保障活动的评估、人员技术水平的评估、财政结算、开展安全保障活动后的总结报告、制度、规范或标准的完善、提供参考性的开展安全保障活动的经验、方法或模式。[25]
4.1.4 风险管理。构建档案安全的风险管理机制,依次进行安全风险计划制订、风险评估、风险控制、风险报告以及风险反馈。通过评估风险,识别判定风险大小,判定每种风险相对的档案安全保护对策,并通过一定的方式方法进行风险控制,规避、转移或降低风险对档案造成的损害。[26][27]
4.1.5 人才教育培养。树立科学的人才培养观,建立科学合理的档案安全人才培养体系,建立系统的人才资源培训和贮备机制,加大人才培养的力度。[28]做到“有计划、有重点、分层次、分类型、多形式、多途径”地开展档案安全人才的教育和培养。[29]
4.2 安全基础设施
4.2.1 实体安全基础设施。档案实体安全基础设施是指维护档案安全、实施档案正常管理、保障档案开发利用,提供为全社会方便服务等工作而进行的基础建设,包括档案保管环境、档案存储设施、档案利用设备、档案维护监控设备、档案抢救与恢复设施等。[30]
4.2.2 信息安全基础设施。档案信息安全基础设施是为信息安全服务的公共设施,为档案部门的安全保障体系建设提供支撑和服务,主要包括:档案信息系统PKI(网络信任体系)、档案信息灾备中心、档案信息系统应急响应支援中心、档案信息安全测评认证中心、档案信息安全服务中心(外包服务)、档案信息安全执法中心等。[31]
4.3 安全策略
4.3.1 实体安全策略。实体安全必须具备环境安全、设备安全和介质安全等物理支撑环境,注重环境防范、设备监控、介质管理、技术维护等安全措施的完善,消除安全隐患,确保档案安全。[32]
4.3.2 管理安全策略。针对档案安全的管理需求,在完善人员管理、资源管理、利用服务、重点部位维护、灾害防范、突发事件应急处置、专业人才教育培训的基础上,建立健全安全管理机制和制度,并结合管理技术,形成一套比较完备的档案安全管理保障体系。[33][34]
4.3.3 网络系统安全策略。强化操作系统、数据库服务系统的漏洞修补和安全加固,对关键业务的服务器建立严格的审核机制;合理划分安全域及边界,建立有效的访问控制制度;通过实施数据源隐藏,结构化和纵深化区域防御消防黑客入侵、非法访问、系统缺陷、病毒等安全隐患,保证档案系统的持续、稳定、可靠运行。[35][36][37]
4.4 安全技术。技术是影响档案安全的关键因素,档案安全技术是多方面、多层次的,包含预防、保护、修复和维护等技术,可以有效保证档案安全。
4.4.1 基于实体的保护技术。主要有:①各类档案载体的管理与保护技术;②档案损坏的测试与评估技术;③受损档案的修复技术。[38]
4.4.2 基于环境的防护技术。主要有:①库房建筑标准与围护结构功能的设计、施工和实施;②档案保管的设备设施和有效装具;③档案库房和利用环境的监测技术;④温湿度调节与控制技术;⑤有害因素的控制和防护技术。[39]
4.4.3 基于信息的安全技术。主要有:①系统安全技术:操作系统安全和安全审计技术等;②数据安全技术:数据加密技术、应急响应技术、数据备份与容灾技术、基于内容的信息安全技术和数据库安全技术等;③网络安全技术:防火墙技术、防病毒技术、漏洞扫描技术、入侵检测技术、物理隔离技术、服务技术、网络监控技术和虚拟网技术等;④用户安全技术:身份认证技术、数字签名技术和访问控制技术等。[40]
4.4.4 基于灾害的保护技术。主要有:①灾害的预警与防范技术;②档案灾害的应急处置技术;③档案次生危害的防范技术;④灾后受损档案的抢救与恢复技术。[41]
4.5 安全法规制度。完善的档案安全法律法规和制度是保障档案安全的基石,只有不断制定和完善档案安全法规制度,才能做到有法可依、违法必究,才能更好地维护档案的安全。[42]
4.5.1 制定并遵循法规标准。各地方应根据国家标准,结合本地区、本系统、本单位的具体情况,制定相应的规范和标准,以使档案安全管理规范化和标准化。[43]
4.5.2 建立健全档案安全管理制度。包括:档案归档安全制度、档案整理安全制度、档案查阅利用安全制度、档案日常管理维护制度、档案保密制度、档案信息安全管理制度、档案鉴定和销毁制度、档案资料出入库管理制度以及重要档案异地、异质备份制度;[44]受损档案抢救制度、电子档案信息安全制度以及档案安全行政责任制等。
4.5.3 建立完善档案安全管理机制。包括:信息交换机制、法律保障机制、日常防范机制、灾害预警机制、应急处置机制、[45]组织建设机制、制度建设机制、风险管理机制、人员管理机制等。
4.6 安全保护效果评价。对档案安全保障体系评价的目的,是对档案安全保障体系的有效性进行评估。[46]首先,确定待评价系统的范围,选择适当的评价方法,确定适当的评价指标。然后,收集有关数据进行统计分析,得出评价结果,再进行持续改进,以不断提高档案安全保障体系及其具体过程中的有效性和效率。[47]
4.6.1 评价方法。根据被评价对象本身的特性,在遵循客观性、可操作性和有效性原则的基础上选择合适的评价方法。目前,存在的综合评价方法有:属性融为一体评价方法、模糊综合评价方法、基于灰色理论的评价方法、基于粗糙集理论的评价方法。[48]
4.6.2 评价指标。根据国内外的档案安全评估标准,国家对档案安全的基本要求,综合考虑影响档案安全的各种因素,建立档案安全评价指标体系。包括:①物理安全评价指标:环境安全评价、设备安全评价、载体安全评价;[49]②管理安全评价指标:规章制度评价、工作流程评价、管理措施评价、业务技术评价;③技术安全评价指标:保护技术评价、网络技术评价。[50]
5 结语
纵观学者对档案安全保障体系的研究,研究角度和切入点各有不同,观点纷呈,但还是缺乏深入、系统的研究,有待于我们进一步思考、探讨。
注:本文是河南省档案局科技项目《档案安全保障体系现状调查》(项目编号:2011-B-51)阶段性成果之一。
参考文献:
[1]张照余.对建设档案安全保障体系的几点认识[J]. 浙江档案,2011(1):36~39.
[2][6][24]张美芳,王良城.档案安全保障体系建设研究[J].档案学研究,2010(1):62~65.
[3][5][7][33][41]彭远明.档案安全保障体系构建及其实现策略研究[J].上海档案,2011(4):14~17.
[4][12][15]杨安莲.论电子文件信息安全保障体系的构建[J].档案学研究,2010(10):75~78.
[8] [13] [17]张艳欣.档案安全保障管理机构的构建[J].档案管理,2010(5):7~9.
[9][14][16][29]王茹熠.数字档案信息安全防护对策分析[D].哈尔滨:黑龙江大学,2009.
[10 ][18][19]黄昌瑛.电子档案信息安全保障策略研究[D]. 福州:福建师范大学,2007.
[11][20][21]张勇.数字档案信息安全保障体系研究[D].苏州:苏州大学,2007.
[22][23][25]张美芳,董丽华,金彤.档案安全保障体系的构建[J].中国档案,2010(4):20~21.
[26]陈国云.从风险管理的视角探讨电子文件安全管理问题[J].北京档案,2008(6):16~18.
[27]张迎春.档案安全保障体系研究[D].安徽大学,2011
[28]方国庆.数字档案信息安全保障体系建设中的问题与策略[J].机电兵船档案,2010(5):59~61.
[30]王良城.档案安全保障体系建设基本任务探析[J].中国档案,2010(4):18~19.
[31] [40]项文新.档案信息安全保障体系框架研究[J].档案学研究,2010(2):68~73.
[32][38]许桂清,李映天.档案信息安全保障体系的建设与思考[J].档案学研究,2010(3):54~58.
[34]冉君宜.抓好“五个必须”构建档案安全保障体系[J].办公室业务,2010(9):55~56.
[35]陈慰湧,金更达.数字档案馆系统安全策略研究[J].浙江档案,2008(7):21~24.
[36]王凡,朱良兵.档案安全保障体系建设实践[J].贵州水力发电,2010(12):76~78.
[37]周向阳.电子档案信息安全保障体系建设的研究[J].机电兵船档案,2010(5):64~66.
[39]金玉兰.关于加强档案安全保障体系建设的思想[J].北京档案.2010(8):22~23.
[42]曹书芝.网络背景下档案信息的安全保障[J].兰台世界,2006(5):2~3.
[43]宗文萍.基于价值链理论的档案信息安全管理[J].档案学研究,2005(1):38~42.
[44]杨冬权.以丰富馆藏、提高安全保障能力和公共服务能力为重点,实现档案馆事业跨越——在全国档案馆工作会议上讲话[J].档案学研究,2009(6):23~29.
[45]卞咸杰.论档案信息安全保障机制的建立与完善[J].2007(6):18~20.
[46][50]方婷,吴雁平.档案安全保障指标体系建设研究[J].档案管理,2011(6):12~15.
[47]田淑华.电子档案信息安全管理研究[D].太原:中北大学,2009.
论文摘要:本文就会计电算化对会计信息的影响以及如何提高会计信息的质量问题进行了探讨。在提高会计信息质量方面,应从软件方面着手保证会计信息的完整性和可用性;建好内部控制制度,保证会计信息的保密性和安全性;提高会计人员素质,做好会计基础工作。
由于会计电算化是一项系统工程,在发展过程中有许多工作要做,有许多问题要及时解决,否则将严重阻碍我国会计电算化向更深层次的发展。下面就当前我国会计电算化进程中必须重视和需要解决的几个问题进行探讨。
1目前我国会计电算化工作中存在的问题
1.1会计信息的完整性和可用性还不够完善
1.1.1会计电算化未能站在企业管理信息化的高度进行研究。因过分注意软件的会计核算功能,而轻视了财务管理和控制、决策功能。会计软件相对于传统的思维方式,模拟手工核算方法,缺少管理功能。财务系统大多以记账凭证输入开始,经过计算机处理,完成记账、算账、报账等工作,并局限在财务部门内部。目前流通的会计核算软件大多功能在提高财务信息系统的范畴,只能完成事后记账、算账、报账以及提供初级管理功能,不具有事前预测、事中控制、事后分析决策等管理会计功能。近年来虽然倡导发展管理型会计软件,但由于各种原因,一般只从财务管理的要求出发,未能达到较为理想的效果。
1.1.2会计信息系统与企业管理信息系统未能有机结合。会计信息系统不仅与生产、设备、采购、销售、库存、运输、人事等子系统脱节,而且会计软件内部各子系统也只以转账凭证的方式联系。从而造成数据在内外子系统之间不能共享,信息不能通畅,既影响财务管理功能的发挥,又不能满足企业对现代化管理的需要。在综合的企业管理信息系统中会计子系统应该从其他业务子系统获取诸如成本、折旧、销售、工资等原始数据,提高数据采集效率和管理能力各业务子系统也应从财务子系统取得支持,但由于各自独立发展,互相之间不能实现数据共享,往往一个子系统的打印输出成了另一个子系统的键盘输入。许多商品化会计软件在开发时,没有统一规划,而是采用单项开发,再通过“转账凭证”的方式传递各种数据,未能形成一个有机的整体,各个核算模块是彼此孤立的“孤岛”。
1.1.3会计信息系统仍然是个封闭式的系统。会计系统的开放性除了体现在企业内部各子系统之间的信息共享之外,更体现在会计向外界披露信息的内容和方式上。但目前会计信息系统既不能通过Internet网络向股东财务报表等综合信息和明细信息,也不能通过网络直接向税务、财政、审计、银行等综合管理部门提供信息,更不能有选择地披露相关的人事、技术、设备以及股东所关心的其他信息。此外,普遍存在支持跨网集团的多方业务,使财务信息资源的价值得不到充分利用。
1.2会计信息的保密性和安全性较差
会计电算化是建立在计算机网络技术和安全技术等信息技术基础之上的,会计信息是以足够的安全技术为保障,以一定的计算机硬件支撑。在相应的软件管理下在网络中流通、存储和处理,并最终以人们需要的形式变现出来。随着计算机应用的扩大,利用计算机进行贪污、舞弊、诈骗等犯罪现象屡见不鲜。在会计电算化环境下,会计信息以各种数据文件的形式记录在磁性存储介质上,这些存储介质上的信息机器可读形式存在的,因此很容易被复制、删除、篡改,而不留下任何痕迹。数据库技术的高度集中,未经授权的人员可以通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的财务数据。可见会计电算化犯罪是一种高科技、新技术下的新型犯罪,具有很大的隐蔽性和危害性,使会计信息安全风险大大增加。
1.3会计人员计算机操作业务素质较低
目前,不少单位的电算化人员是由过去的会计、出纳等经过短期培训而来,他们在使用微机处理业务的过程中往往很多是除了开机使用财务软件之外,对微机的软硬件知识了解甚少,一旦微机出现故障或与平常见到的界面不同时,就束手无策,即使厂家在安装会计软件时都作了系统的培训,但一些从未接触过计算机的会计人员入门还是很慢,而且在上机时经常出现误操作,一旦出错,可能就会使自己很长时间的工作成果付诸东流,使系统数据丢失,严重的导致系统崩溃,这种低素质的会计人员是不能胜任会计电算化工作的
2改进会计电算化工作的对策
2.1要解决人们对会计电算化的思想认识问题
我国电算化事业起步较晚,人们的思维观念还未充分认识到电算化的意义及重要性。多数单位电算化都是应用于代替手工核算,仅仅是从减轻会计人员负担、提高核算效率方面入手,根本未认识到建立完整的会计信息系统对企业的重要性,使现有会计提供的信息不能及时、有效地为企业决策及管理服务。
2.2要做好管理基础工作,尤其是会计基础工作
管理基础主要指有一套比较全面、规范的管理制度和方法,以及较完整的规范化的数据;会计基础工作主要指会计制度是否健全,核算规程是否规范,基础数据是否准确、完整等,这是搞好电算化工作的重要保证。因为计算机处理会计业务,必须是事先设置好的处理方法,因而要求会计数据输入、业务处理及有关制度都必须规范化、标准化,才能使电算化会计信息系统顺利进行。没有很好的基础工作,电算化会计信息系统无法处理无规律、不规范的会计数据,电算化工作的开展将遇到重重困难。管理人员的现代化管理意识,在整个企业管理现代化总体规划的指导下做好会计电算化的长期、近期发展规划和计划并认真组织实施,重新调整会计及整个企业的机构设置、岗位分工,建立一系列现代企业管理制度,提高企业管理要求。还要修改扩建机房,选购、安装、调试设备,自行开发或购买会计软件,培训会计电算化人员,进行系统的试运行等等工作。以上所列的各项工作必须做好,否则电算化会计系统将不能正常工作,有损于会计电算化的整体效益并使其不能深入持久地开展下去,会计和企业管理现代化将无法实现。新晨
2.3要加强会计信息系统的安全性、保密性
财务上的数据往往是企业的绝对秘密,在很大程度上关系着企业的生存与发展。但当前几乎所有的软件系统都在为完善会计功能和适应财务制度大伤脑筋,却没有几家软件公司认真研究过数据的保密问题。数据保密性、安全性差。为了对付日益猖獗的计算机犯罪,国家应制定并实施计算机安全法律,在全社会加强对计算机安全的宏观控制,政府主管部门还应进一步完善会计制度,对危害计算机安全的行为进行制裁,为计算机信息系统提供一个良好的社会环境。对于重要的计算机系统应加电磁屏蔽,以防止电磁辐射和干扰。制定计算机机房管理规定,制定机房防火、防水、防盗、防鼠的措施,以及突发事件的应急对策等。
必要的内部控制:在电脑网络环境下,某些内部人员的恶意行为及工作人员的无意行为都可能造成会计信息的不安全性,因此建立内部控制制度是必要的。第一,实行用户权限分级授权管理,建立网络环境下的会计信息岗位责任。第二,建立健全对病毒、电脑黑客的安全防范措施。第三,从电算化网络软件的设计入手,增加软件本身的限制功能。第四,建立会计信息资料的备份制度,对重要的会计信息资料要实行多级备份。第五,强化审计线索制。第六,建立进入网络环境的权限制。
增强网络安全防范能力:网络会计实现了会计信息资源的共享,但同时也将自身暴露于风险之中,这些风险主要来自泄密和网上黑客的攻击等。为了提高网络会计信息系统的安全防范能力应采用一些措施,例如采用防火墙技术、网络防毒、信息加密存储通讯、身份认证、授权等。
加强数据的保密与保护:在进入系统时加一些诸如用户口令、声音监测、指纹辨认等检测手段和用户权限设置等限制手段,另外还可以考虑硬件加密、软件加密或把系统作在芯片上加密等机器保密措施和专门的管理制度,如专机专用、专室专用等。加强磁介质载体档案的管理:为确保档案的真实性和可靠性,实行纸质档案和新型载体档案双套保管,并逐渐向完全保管新型磁介质载体过渡。
总之,我国会计改革已迈出了稳健、有序的步伐,并取得了辉煌成就。但是,由于会计属于上层建筑范畴,其在观念、理论、方法等方面均应随着客观经济环境的变化而不断改革、发展和完善。在网络时代,要使我国的会计电算化工作能够健康的发展,我们必须从理论上和实践上进行认真的探讨。21世纪的会计应该是一个以信息技术为中心的崭新会计,而不是一个修修补补的会计。
关键词:高校;安全教育;事故原因
一、背景
2005年5月2日某某大学一位学生在长江荆江段涉水,不幸滑落深水中,溺水身亡;2009年10月17日和2010年10月5日同一学校又发生两起溺水事故。据调查,这三起学生意外溺水事故都是班里几位同学一起到江边游玩,一时兴起而涉水造成的。2005年11月2日15时许,北京市林业大学一栋学生宿舍楼发生了爆炸起火,一男一女两名研究生在大火中丧生;2008年11月14日上海商学院徐汇校区一栋女生宿舍楼发生火灾,4名女生在消防队员赶到之前从6楼宿舍阳台跳楼逃生,不幸全部遇难;2003年11月24日,俄罗斯人民友谊大学一栋学生宿舍楼发生火灾,造成41名外国留学生死亡,近200人受伤,其中有中国留学生46人烧伤,11人死亡;2006年1月8日菲律宾马尼拉市北部大学区的一栋学生宿舍楼发生火灾,8人被烧死……。这些事故的发生,暴露了学校安全管理工作中存在的问题和薄弱环节,反映了高校校园安全问题的严重性。因此,加强高校学生安全教育是十分重要和紧迫的。同时,高等学校作为高等教育活动的主导者,更有义务和责任确保高校校园的安全,努力为广大青年学生提供一个安全、健康、和谐的学习和生活环境,促进学生的成才和全面发展,在科教兴国、实现创新型国家中做出更大贡献职称论文。
二、高校学生伤害事故共性原因分析
安全科学有三条公理性基本观点,即任何事故都是原因的,任何事故都是由“人”和“物”两方面原因引起的,事故的严重程度和事故发生频率间存在“三角形”分布规律。高校学生伤害事故发生的场所及其“物”方面原因可能完全不同。但是,从事故原因的深入分析中可以发现有三点是共同的,即事故相关人员缺乏足够的安全知识、安全意识和安全习惯(这三点是事故的间接原因)。根据海因里希(Heinrich)的事故“三角形”理论,这三个共同点间的关系为安全知识、安全意识和安全习惯可以产生两个结果,即人的不安全行为和物的不安全状态,而人的不安全行为一部分直接导致了事故,一部分又导致了物的不安全状态,不安全状态再引起事故的发生。
三、高校学生安全教育的重要性
目前,高校的安全意识普遍不强,安全观念相对比较落后。就大学生而言,他们的安全知识、安全意识、安全能力都难以令人满意,更谈不上安全习惯。在教职工中也普遍存在学生安全就是治安和消防的片面认识。这种现状直接影响着高校学生安全工作的顺利开展。必须意识到学生安全事关高校全局,没有学生安全,高校校园稳定就失去了基础,而高校的安全稳定对于社会安全稳定有着不可忽视的影响。学生安全涉及面广,包括健康、饮食、交通、学习、心理、恋爱、校园安全与社会安全等。出现安全问题的原因也纷繁复杂,有自然方面的,比如地震、海啸、台风、流行性传染性疾病等等;有社会方面的,比如社会治安、交通、国内社会矛盾和国内外政治、经济、文化、军事矛盾与冲突等等;有学校管理与服务方面的,比如消防隐患、饮食卫生差、教学设施和设备存在安全隐患等等;有家庭和个人方面的,比如家庭经济困难、与家人感情不睦、个人学习压力、升学就业压力、恋爱和婚姻困扰、交友困扰、网络成瘾等问题都可能引发个人安全问题,个人安全问题处理不当,极有可能引发群体安全甚至社会安全。因此,必须加强高校的安全教育工作,研究和探索对在校大学生进行安全教育的任务紧迫而重要,也只有开展好在校大学生的安全教育,才能有效预防和避免各类安全事故的发生。
四、高校学生安全教育的内容与方法
通过对高校学生事故共性原因的分析,我们得到事故之所以发生,是因为事故相关人员缺乏足够的安全知识、安全意识和安全习惯,因此,高校安全教育应从以下几个方面入手。
(一)现代安全理念教育
从对事故的统计分析发现,在各种伤害事故中,不安全事故只占4%,不安全行为占96%。在所有事故中只有2%是天灾,98%是人祸,由此可见人的意识和行为在日常生产和工作中至关重要。要消除不安全行为,就必须有正确的安全意识和行为、态度,需要从思想上、意识上树立正确的安全价值观。在科学技术进步、文化繁荣和知识经济时代,必须将“安全第一”、“安全至上”、“安全超越一切”的理论,即“安全第一公理”牢固树立在广大师生心中。“安全第一公理”的实质就是安全高于一切,其目的就是以人为本,人命关天,把关爱生命,珍惜人生,保护人类从事的一切活动的安全与健康放在首位,放在超脱一切的位置。因此,必须加大安全理念教育的力度,在校园中形成一个浓厚的安全文化氛围,树立“以人为本”和“一切事故都可以预防”的安全理念,培养出具有本质安全化的素质的人才。
对广大学生进行现代安全理念教育的目的就是要提升大学生的安全素质,这对于提高其走入社会安全生存具有基础性意义和战略性意义。大学生应具备的安全素质不仅包括安全意识、安全知识和安全技能,还包括安全伦理、情感、认知、态度、价值观和道德水平以及行为准则等。
(二)法制观念教育
作为培养国家的建设者和接班人的高校,应加强法制宣传和教育,为社会输出的人才应是懂法、守法、执法的高素质的合格人才。因此,高校必须加强对大学生的法律法规知识教育,以增强大学生的法制观念和法律意识,从而预防和减少违法犯罪,特别是要加强大学生有关安全的法律法规知识教育,除在法律课、德育课等必修课中进行法律法规知识教育外,在其他课程教学及安全教育中也要对大学生进行有关安全的法律法规知识教育,如:《宪法》、《刑法》、《安全生产法》、《国家安全法》、《保密法》、《消防法》、《游行示威法》、《治安管理处罚条例》、《社会团体登记管理条例》以及计算机网络安全管理规定等法律法规的知识教育,使学生懂得公民的权利与义务,分清犯罪与非罪的界限,了解道德、纪律与法律的关系,明确什么事可做,什么事不可做,并能用法律武器维护国家和自身的利益和权益,与犯罪行为作斗争。
(三)安全知识教育
安全知识教育应从以下两方面进行:一是基础安全文化知识,是指提高大学生在各类活动中应具备的安全文化知识。例如,起居安全、一般用电安全、交通安全、对突发事件的应急反应及避灾和逃生等。这是现代社会每一个公民都应具备的最基本的生存素质。二是专业安全文化知识,是指从事各类生产活动和科研活动时所具有的安全文化知识。例如,化工安全技术、矿业安全技术、冶金安全技术、消防安全技术、建筑安全技术、运输安全技术、机械安全技术、科研实验的各类安全防护技术等。大学生了解和掌握必要的生活常识和安全防范的基本知识,增强安全防范的意识和能力,既可以有效地保护自己,也可以在危险时更多地帮助周围的人。
(四)安全防范、自我保护的知识教育
增强学生的安全及防范意识是预防事故发生的重要措施。高校要教育大学生懂得安全防范自救的一些基本知识,如熟记火警“119”、匪警“110”等报警电话号码,一旦发生火灾事故或自己、他人的生命财产受到威胁或侵害时,要立即想办法报警,如无法报警,要能沉着冷静地寻求自我保护和自我解救的方法。大学生还应懂得一些基本生活常识,如使用灭火器等知识。总之,在校内,学生特别要加强宿舍以防火为重点的安全防范,了解掌握防火、防盗、防骚扰等知识以及防受骗、防食物中毒、防意外事故等常识。更要掌握在校外防抢、防受骗、防流氓滋扰、防交通事故、防意外事故等常识。教育学生遵守校纪校规,不到偏远地方游玩,出游最好结伴而行。在人际交往中,特别是女生在与异往中,更要注意保护自己。学校在安全教育及日常管理中应经常不断地给学生讲授这些知识,警钟长鸣,使学生在潜移默化中不断提高自己的安全防范意识和自我保护及自救的知识与能力。
参考文献:
1、傅贵,李宣东,李军.事故的共性原因及其行为科学预防策略[J].安全与环境学报,2005(2).
2、田毅,潘洪江,张福喜.高校学生安全工作体系建设的几个基本问题[J].中国青年研究,2007(6).
