時間:2022-06-04 02:14:56
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇信息安全研究論文,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
隨著電子政務應用的不斷深入,信息安全問題日益凸顯,為了高效安全的進行電子政務,迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行,另一方面要保護運行在內部網上的敏感數據與信息的安全,因此應充分保證以下幾點:
1.1基礎設施的可用性:運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵,網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。
1.2數據機密性:對于內部網絡,保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。
1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下,只有經過認證的設備可以訪問網絡,并且能明確地限定其訪問范圍,這對于電子政務的網絡安全十分重要。
1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失,硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此,在電子政務安全體系中必須包括數據的容災與備份,并且最好是異地備份。
2電子政務信息安全體系模型設計
完整的電子政務安全保障體系從技術層面上來講,必須建立在一個強大的技術支撐平臺之上,同時具有完備的安全管理機制,并針對物理安全,數據存儲安全,數據傳輸安全和應用安全制定完善的安全策略
在技術支撐平臺方面,核心是要解決好權限控制問題。為了解決授權訪問的問題,通常是將基于公鑰證書(PKC)的PKI(PublicKeyInfrastructure)與基于屬性證書(AC)的PMI(PrivilegeManagementInfrastructure)結合起來進行安全性設計,然而由于一個終端用戶可以有許多權限,許多用戶也可能有相同的權限集,這些權限都必須寫入屬性證書的屬性中,這樣就增加了屬性證書的復雜性和存儲空間,從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題,作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP目錄服務器等實體組成,在該模型中:
2.1終端用戶:向驗證服務器發送請求和證書,并與服務器雙向驗證。
2.2驗證服務器:由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制,是安全模型的關鍵部分。
2.3應用服務器:與資源數據庫連接,根據驗證通過的用戶請求,對資源數據庫的數據進行處理,并把處理結果通過驗證服務器返回給用戶以響應用戶請求。
2.4LDAP目錄服務器:該模型中采用兩個LDAP目錄服務器,一個存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL),另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。
安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理,安全技術實際上只是實現管理的一種手段,再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實;安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。
轉貼于中國論文下載中心www
3電子政務信息安全管理體系中的風險評估
電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析,構建電子政務系統的風險因素集。
3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義,結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素,采取相應的安全保護措施以保障信息和信息系統的安全。
3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子,其他文獻,例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法,另外,一些組織還提出了自己的風險評估工具,例如OCTAVE、CRAMM等。
電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南,從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中,資產的評估主要是對資產進行相對估價,其估價準則依賴于對其影響的分析,主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估,主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估,主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動,主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息,最終生成風險信息。
在確定風險評估方法后,還應確定接受風險的準則,識別可接受的風險級別。
4結語
電子政務與傳統政務相比有顯著區別,包括:辦公手段不同,信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同,實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同,直接與公眾溝通是實施電子政務的目的之一,也是與傳統政務的重要區別。在電子政務的信息安全管理中,要抓住其特點,從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案,這樣才能達到全方位實施信息安全管理的目的。
參考文獻:
[1]范紅,馮國登,吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.
[2]李波杰,張緒國,張世永.一種多層取證的電子商務安全審計系統微型電腦應用.2007年05期.
論文摘要:世界已進入了信息化時代,信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準。但由于信息資源不同于其他資源的特殊性質,如何保證信息的安全性成為我國信息化建設過程中需要解決的重要問題。
論文關鍵詞:信息安全;保護
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
1我國信息安全的現狀
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
①網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
②對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
③我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
2我國信息安全保護的策略
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
①加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
②發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
③創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
關鍵詞:新形勢、金融業信息安全、挑戰、對策
一、面臨的挑戰
目前,金融業的業務開展更加依賴于信息技術的應用,特別是以綜合業務系統整合、數據集中為主要特征的金融業信息化發展到一個新的階段。因而,信息技術風險也自然成為中國金融機構操作風險的重要方面。金融業信息安全工作正面臨比以往更嚴峻的形勢,圍繞信息網絡空間的斗爭日趨尖銳,境內外網絡違法犯罪活動呈快速遞增趨勢,惡意代碼和網絡攻擊呈多樣化局面,金融業信息系統安全運行的難度加大,挑戰增多。
一是人民銀行的業務指導、監督管理滯后于金融業信息化發展。
與金融業信息化的高速發展相比,金融業信息安全的指導、監管工作還需要進一步加強。國內曾有專家明確提出,在金融信息化、網絡化時代,“信息資產風險監管是現代金融監管體系的核心理念。”信息資產風險指在信息化中,信息資產的規劃、設計、開發、生成、存在、運用、服務、管理、維護、監管以及其他相關過程中產生的信用、市場、操作與業務風險。人民銀行在金融信息規劃、信息標準、信息安全等諸多方面承擔著重要職責,在2008奧運年中發揮了重要、積極的作用。但總體來看,人民銀行及其分支行對金融機構信息安全工作的指導和監管,還處于初級階段,由于人民銀行分支機構對各金融機構信息安全缺乏指導、缺乏統一的監管目標、缺乏完整的認識,以及缺乏監督管理的依據和標準,從而導致監管措施不到位,監管手段缺失,致使基層行監管缺乏主動性。
二是核心設備和技術依賴于國外,底層技術難以掌握,存在安全隱患。
目前,我國金融業信息系統和網絡中,大量使用國外廠商生產的設備,這些設備使用的操作系統、數據庫、芯片也大多數是由國外廠商生產。外方不可能提供設備的核心技術和專利,我方很難判斷設備是否存在“后門”、“軟件陷阱”、“系統漏洞”、“軟件炸彈”等安全漏洞。據調查,一些重要網絡系統中使用的信息技術產品,都不可避免地存在一定的安全漏洞。這些漏洞可能是開發過程中有意預留,也可能是無意疏忽造成的。特殊情況下,特定安全漏洞可能被利用實施人侵,修改或破壞設備程序,或從設備中竊取機密數據和信息。前一階段國外炒作的IC卡安全問題以及近年來出現的微軟“黑屏事件”,已經為我們敲響了警鐘。
三是境內外網絡違法犯罪活動呈快速遞增趨勢,新技術的應用使我們面臨更大的挑戰。
金融業信息網絡和重要信息系統正成為敵對勢力、不法分子進行攻擊、破壞和恐怖活動的重點目標。金融業信息系統已經遭受到多次攻擊,整體信息安全形勢嚴峻。2009年國防科技大學的一項研究表明,我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵人,其中銀行、金融和證券機構是攻擊重點。
2005年6月18日,被稱為有史以來最嚴重的信息安全案件在美國爆發,萬事達、VISA和美國運通公司的主要服務商的數據處理中心網絡被黑客程序侵人,導致4000萬個賬戶信息被黑客截獲,使客戶資金處于十分危險的狀態。
由此可見,基于開放性網絡的金融服務對我國金融信息安全工作提出嚴峻的挑戰。
四是數據大集中的同時,也使技術風險相對集中。
伴隨著數據大集中的實現,風險也相對集中.一旦數據中心發生災難,將導致金融業的所有分支機構、營業網點和全部的業務處理停頓,或造成客戶重要數據的丟失,其后果不堪設想。
近年來,國內外金融機構因為信息技術系統故障導致大面積、較長時問業務中斷的事件時有發生。2006年,日本花旗銀行出現交易系統故障,5天內約27.5萬筆公用事業繳費遭重復扣劃或交易后未作月結記錄,造成該行的重大聲譽損失。
信息系統潛在的風險已引起金融業的高度重視,如何保障后數據大集中時代金融業信息系統安全穩定運行,是需要整個金融業深入研究的課題。
五是我國金融業的災難處理能力有待加強。
據人民銀行在2009年對21家全國性商業銀行災備中心建設情況的調查顯示,僅有3家建立了同城和異地災備中心,9家建立了同城災備中心,6家建立了異地災備中心,尚有3家沒有建立災備中心。返觀國外同業.多數國外銀行已經做到了分行一級的災難備份與恢復。這表明,我國金融業災備中心建設同國外相比存在較大差距。
此外,國內金融機構的現有災難備份中心布局不合理,過度集中在北京、上海兩地,一旦發生區域性重大災難,將對我國金融業整體運行狀況帶來極大危害,并造成過高的重建成本。
二、應對措施
按照《國務院辦公廳關于印發中國人民銀行主要職責內設機構和人員編制規定的通知》(新“三定”方案)規定,人民銀行的主要職責之一是組織制定金融業信息化發展規劃,負責金融標準化的組織管理協調工作,指導金融業信息安全工作。
在新形勢下如何指導和協調金融業信息化建設和信息安全,是人民銀行尤其是人民銀行分支機構需要認真思考的問題。
金融業信息系統的安全是防范和化解金融風險的重要組成部分,要依靠法律、管理機制、技術保障等多方面相互配合,形成一個完整的安全保障體系。
一是加強金融服務指導和行業監管。
應建立跨部門的金融業信息安全協調機制以及重點時期的安保工作機制,強化信息安全手段和隊伍建設,加強信息安全檢測和準人制度,實施信息安全等級保護,建立信息資產風險評估體系,提高信息安全水平,保證金融穩定和經濟發展。
人民銀行分支機構應加強對中小金融機構的服務指導,尤其是在核心業務系統建設、災備建設和信息安全方面給予具體指導,幫助中小金融機構借鑒成功經驗,規避風險,實現跨越式發展。
各級人民銀行,應牽頭成立金融業信息安全領導小組,并建立和完善信息安全通報制度、報告制度和聯席會議制度,建立健全一個運轉靈活、反應靈敏的信息安全應急處理協調機制,隨時處置和協調金融機構安全事件,以迅速應對突發事件的發生,降低或消除金融機構網絡和主要信息系統因出現重大事件造成的損失。
二是研究建立跨部門的現代化金融業信息安全管理網絡。真正實現對金融機構信息安全風險的及時、動態、全面、連續的監管。
在正確評估我國金融網絡現狀的基礎上,借鑒國外的組網模式,盡快建立適應我國金融業信息化建設和發展實際的高速、安全和先進的網絡框架,在建設時要充分考慮到網絡的兼容性和拓展性,為下一步與各金融業的網絡互聯做準備。同時促進各家金融機構完善內控機制,保障運行安全。現代金融業高度依賴信息技術,必須充分認識到金融業信息安全對整體業務和金融體系,乃至經濟體系的影響,牢固樹立風險防范意識,把信息科技作為風險管理的重要手段。
三是人民銀行要協調督促金融機構,加強自主創新,加大對國產軟硬件采購力度,努力減少和降低一些關鍵領域的對外技術依賴。
對采購或使用的信息技術和產品,能自主的就要千方百計地推進自主,不能自主的,也須保證其可知可控,也就是說,要對信息技術產品的風險和隱患、漏洞和問題做到“心中有底、手中有招、控制有術”。
對須引進的,實行市場準人制度,并引進權威機構對其產品進行風險、安全、實用等綜合性評估。
對各地區一些科技水平還比較低的中小金融機構,要加大支持力度,加強行業內部的交流合作。針對目前金融業,特別是中小金融機構的信息系統的開發、建設和運維采用IT外包的形式,應出臺相應的政策、制度和措施,促進IT外包健康快速發展,約定監管機制,規范服務商的服務標準和流程,使IT外包以服務行為的公司化、強大的配套支持能力、靈活的外包服務方式成為金融機構快速發展的可行之道。
四是建立健全信息安全管理制度,定期進行信息安全檢查,加強網絡安全攻擊防范。
由于金融業的組織結構和業務運營方式,使網絡必定要建成一個同Internet和外部線路有較密切關系的結構,各種網絡訪問上的安全問題也隨之產生。金融網絡系統面臨的攻擊有來自內部的,也有來自外部的。攻擊的后果將造成信息失密、信息遭篡改、身份遭假冒和偽造等,特別是在網絡上運行關鍵業務時,網絡安全問題更是要優先解決的問題。因此,應通過建立健全信息安全制度、定期組織信息安全非現場和現場檢查等方式,促進銀行做好系統加固工作,充分利用各種安全產品強化網絡安全防范,加強移動存儲介質管理,做好安全日志分析、預警和監測工作,防止植入木馬導致信息泄漏和來自內部的安全威脅。
五是增加業務持續動作能力,切實采取措施防范數據處理集中后的技術風險。
巴塞爾銀行業監管委員會共同論壇2006年8月了《業務連續性高級原則》將業務連續性管理定義為,發生中斷事件時,確保某些業務保持運行或在短時間內得到恢復的一整套辦法,包括政策、標準和程序。
業務連續性管理的實施在組織上的保證至關重要。人民銀行應指導金融業參照國外先進經驗,專門成立業務連續性管理指導委員會,將業務部門、風險管理部門和IT部門有關業務連續性的管理職責融于一處統籌管理。
目前,國內銀行災難備份和業務連續性管理主要集中在系統故障、人員操作、機房維護和短時間電力中斷等情況。在防范自然災害、重大疫情和恐怖襲擊等方面的應對管理還需加強。一是要強涮“突發”與“應急”。由于災害事件的不確定性,應急管理與保障工作必須建立在高強度的實戰性基礎上,使災難應急管理真正適應“應急”的要求。二是要擴大應急預案本身的覆蓋范圍。我國金融業災難備份及業務連續性管理主要集中在IT部門,遠遠不能適應業務連續性的需要,應當強調業務部門的參與,與IT部門共同構建適應現代金融業發展需要的應急保障體系,確保運營安全。
三、結束語
論文摘要:分析了電力系統信息安全的應用與發展存在的安全風險,安全防護方案、安全肪護技術手段及在網絡安全工作中應該注意的問題,并對信息安全的解決方繁從技術和管理2個方面進行了研究,探討了保證電力實時運行控制系統和管理信息網絡系統信息安全的有關措施,同時以朝陽供電公司為例,進一步進行有針對性的剖析。
論文關鍵詞:電力;信息安全;解決方案;技術手段
1電力信息化應用和發展
目前,電力企業信息化建設硬件環境已經基本構建完成,硬件設備數量和網絡建設狀況良好,無論是在生產、調度還是營業等部門都已實現了信息化,企業信息化已經成為新世紀開局階段的潮流。在網絡硬件方面,基本上已經實現千兆骨干網;百兆到桌面,三層交換;VLAN,MPLS等技術也普及使用。在軟件方面,各應用十要包括調度自動化系統、生產管理信息系統、營銷信息系統、負荷監控系統及各專業相關的應用子系統等。計算機及信息網絡系統在電力生產、建設、經營、管理、科研、設計等各個領域有著十分廣泛的應用,安全生產、節能消耗、降低成本、縮短工期、提高勞動生產率等方面取得了明顯的社會效益和經濟效益,同時也逐步健全和完善了信息化管理機制,培養和建立了一支強有力的技術隊伍,有利促進了電力工業的發展。
2電力信息網安全現狀分析
結合電力生產特點,從電力信息系統和電力運行實時控制系統2個方面,分析電力系統信息安全存在的問題。電力信息系統已經初步建立其安全體系,將電力信息網絡和電力運行實時控制網絡進行隔離,網絡間設置了防火墻,購買了網絡防病毒軟件,有了數據備份設備。但電力信息網絡的安全是不平衡的,很多單位沒有網絡防火墻,沒有數據備份的概念,更沒有對網絡安全做統一,長遠的規劃,網絡中有許多的安全隱患。朝陽供電公司嚴格按照省公司的要求,對網絡安全進行了全方位的保護,防火墻、防病毒、入侵檢測、網管軟件的安裝、VerJtas備份系統的使用,確保了信息的安全,為生產、營業提供了有效的技術支持。但有些方面還不是很完善,管理起來還是很吃力,給網絡的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。
3電力信息網安全風險分析
計算機及信息網絡安全意識亟待提高。電力系統各種計算機應用對信息安全的認識距離實際需要差距較大,對新出現的信息安全問題認識不足。
缺乏統一的信息安全管理規范。電力系統雖然對計算機安全一+直非常重視,但由于各種原因,目前還沒有一套統一、完善的能夠指導整個電力系統計算機及信息網絡系統安全運行的管理規范。
急需建立同電力行業特點相適應的計算機信息安全體系。相對來說,在計算機安全策略、安全技術和安全措施投入較少。為保證電力系統安全、穩定、高效運行,應建立一套結合電力計算機應用特點的計算機信息安全體系。
計算機網絡化使過去孤立的局域網在聯成廣域網后,面臨巨大的外部安全攻擊。電力系統較早的計算機系統一般都是內部的局域網,并沒有同外界連接。所以,早期的計算機安全只是防止外部破壞或者對內部人員的安全控制就可以了,但現在就必須要面對國際互聯網上各種安全攻擊,如網絡病毒、木馬和電腦黑客等。
數據庫數據和文件的明文存儲。電力系統計算機網絡中的信息一般存儲在由數據庫管理系統維護的數據庫中或操作系統文件中。以明文形式存儲的信息存在泄漏的可能,拿到存儲介質的人可以讀出這些信息;黑客可以饒過操作系統,數據庫管理系統的控制獲取這些信息;系統后門使軟硬件系統制造商很容易得到這些信息。弱身份認證。電力行業應用系統基本上基于商業軟硬件系統設計和開發,用戶身份認證基本上采用口令的鑒別模式,而這種模式很容易被攻破。有的應用系統還使用白己的用戶鑒別方法,將用戶名、口令以及一些安全控制信息以明文的形式記錄在數據庫或文件中,這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天不能再使用了。沒有完善的數據備份措施。很多單位只是選擇一臺工作站備份一下數據就了事,沒有完善的數據備份設備、沒有數據備份策略、沒有備份的管理制度,沒有對數據備份的介質進行妥善保管。
4電力信息網安全防護方案
4.1加強電力信息網安全教育
安全意識和相關技能的教育是企業安全管理中重要的內容,其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證安全的成功和有效,高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。所有的企業人員必須了解并嚴格執行企業安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。
主管信息安全工作的高級負責人或各級管理人員,重點是了解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等。
信息用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。當然,對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并納入整個企業文化體系中才是最根本的解決辦法。
4.2電力信息髓安全防護技術措旌
(1)網絡防火墻:防火墻是企業局域網到外網的唯一出口,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。DMZ區放置了企業對外提供各項服務的服務器,既能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略,遵循“缺省全部關閉,按需求開通的原則”,拒絕除明確許可證外的任何服務。
(2)物理隔離裝置:主要用于電力信息網的不同區之間的隔離,物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。
(3)入侵檢測系統:部署先進的分布式入侵檢測構架,最大限度地、全天候地實施監控,提供企業級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任時間,為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術,具有高可靠性、高識別率、規則更新迅速等特點。
(4)網絡隱患掃描系統:網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP/IP協議的設備,掃描的對象包括掃描多種操作系統,掃描網絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網絡中不同的位置對網絡設備進行掃描。
掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。
(5)網絡防病毒:為保護電力信息網絡受病毒侵害,保證網絡系統中信息的可用性,應構建從主機到服務器的完善的防病毒體系。以服務器作為網絡的核心,對整個網絡部署查、殺毒,服務器通過Internet從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。同時,選擇的網絡防病毒軟件應能夠適應各種系統平臺、各種數據庫平臺、各種應用軟件。
(6)數據加密及傳輸安全:通過文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,實現對文件訪問的控制。對通信安全,采用數據加密,信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術,提高實時的信息傳播中的保密性和安全性。
(7)數據備份:對于企業來說,最珍貴的是存儲在存儲介質中的數據信息。數據備份和容錯方案是必不可少的,必須建立集中和分散相結合的數據備份設施及切合實際的數據備份策略。
(8)數據庫安全:通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性,并實現數據庫數據的訪問安全。
4.3電力信息網安全防護管理措施
技術是安全的主體,管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中,網絡安全的長期性和穩定性才能有所保證。
(1)要加強信息人員的安全教育,保持信息人員特別是網絡管理人員和安全管理人員的相對穩定,防止網路機密泄露,特別是注意人員調離時的網絡機密的泄露。
(2)對各類密碼要妥善管理,杜絕默認密碼,出廠密碼,無密碼,不要使用容易猜測的密碼。密碼要及時更新,特別是有人員調離時密碼一定要更新。
(3)技術管理,主要是指各種網絡設備,網絡安全設備的安全策略,如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。
(4)數據的備份策略要合理,備份要及時,備份介質保管要安全,要注意備份介質的異地保存。
(5)加強信息設備的物理安全,注意服務器、計算機、交換機、路由器、存儲介質等設備的防火、防盜、防水、防潮、防塵、防靜電等。
(6)注意信息介質的安全管理,備份的介質要防止丟失和被盜。報廢的介質要及時清除和銷毀,特別要注意送出修理的設備上存儲的信息的安全。
5電力信息網絡安全工作應注意的問題
(1)理順技術與管理的關系。
解決信息安全問題不能僅僅只從技術上考慮,要防止重技術輕管理的傾向,加強對人員的管理和培訓。
(2)解決安全和經濟合理的關系。安全方案要能適應長遠的發展和今后的局部調整,防止不斷改造,不斷投入。
(3)要進行有效的安全管理,必須建立起一套系統全面的信息安全管理體系,可以參照國際上通行的一些標準來實現。
(4)網絡安全是一個系統的、全局的管理問題,網絡上的任何一個漏洞,都會導致全網的安全問題,應該用系統工程的觀點、方法,分析網絡的安全及具體措施。
一、建立電子檔案信息安全評價指標體系的必要性
信息技術在檔案管理中的廣泛應用,一方面提高了檔案工作的效率,擴大了檔案的社會影響力;另一方面也對檔案工作提出了新的要求,例如存儲介質的不穩定、技術過時、黑客入侵、電腦病毒破壞等都使得電子檔案信息的安全保護面臨著前所未有的挑戰。
在2002年國家檔案局頒發的《全國檔案信息化建設實施綱要》和近期各省市的“十一五檔案信息化建設綱要”中都提出了“檔案信息安全保障體系建設”,但仍缺乏深入、系統的探討。電子檔案信息的安全管理是一個過程,而不是一個產品,我們不能期望通過一個安全產品就能把所有的安全問題都解決。對各檔案管理系統來說,解決電子檔案信息安全的首要問題就是要識別自身信息系統所面臨的風險,包括這些風險可能帶來的安全威脅與影響的程度,然后進行最充分的分析與評價。只有采用科學有效的模型和方法進行全面的安全評價,才能真正掌握內部信息系統的整體安全狀況,分析各種存在的威脅,以便針對高風險的威脅采取有效的安全措施,提高整體安全水平,逐步建成堅固的電子檔案信息安全管理體系。
二、電子檔案信息安全評價指標體系的組成
電子檔案信息系統是一個復雜的系統工程,既有硬件,又有軟件,既有外部影響,又有內部因素,而且許多方面是相互制約的。因此,必須有一個規范的、統一的、客觀的標準。根據國內外的電子檔案信息安全評估標準,國家對電子檔案信息和網絡信息系統安全性的基本要求,結合電子檔案管理和網絡管理經驗,綜合考慮影響電子檔案信息安全的各種因素,建立電子檔案信息安全評價指標體系。該體系主要包括五個大項二十個小項的評價指標。
1、物理安全評價指標
物理安全是指存儲檔案信息的庫房、計算機設備及管理人員工作場所內外的環境條件必須滿足檔案信息安全、計算機設備和管理人員的要求。對于各種災害、故障要采取充分的預防措施,萬一發生災害或故障,應能采取應急措施,將損失降到最低。物理安全包括環境安全、設備安全和載體安全三個方面。
(1)環境安全:主要指存儲檔案信息的庫房、計算機機房周圍環境是否符合管理要求和是否具備抵抗自然災害的能力,如庫房是否建在電力、水源充足,自然環境清潔,通訊、交通運輸方便的地方;有無防火、防水措施;有無監控系統;有無防雷措施等。
(2)設備安全:主要是指對電子檔案信息系統設備的安全保護,包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。
(3)載體安全:保證設備安全的同時,也要保證載體安全,要對載體采取物理上的防盜、防毀、防霉等措施。
2、管理安全評價指標
安全管理在電子檔案信息安全保障中起著規范和制約的作用,科學的管理理念加上嚴格的管理制度才能最終保證電子檔案信息的安全。電子檔案信息的管理安全評價指標具體包括:
(1)專門的檔案信息安全組織機構和專職的檔案信息安全管理人員:檔案信息安全組織機構的成立與檔案信息安全管理人員的任命必須有相關單位的正式文件。
(2)規章制度:包括有無健全的電子檔案信息安全管理規章制度;檔案信息安全人員的配備、調離是否有嚴格的管理制度;設備與數據管理制度是否完備;是否有登記建檔制度;是否有完整的電子檔案信息安全培訓計劃和培訓制度;各類人員的安全職責是否明確,能否保障電子檔案信息的安全管理。
(3)是否有緊急事故處理預案:為減少電子檔案信息系統故障的影響,盡快恢復系統,應制定故障的應急措施和恢復規程以及自然災害發生時的應急預案,制成手冊,以備及時恢復系統運行。
3、網絡安全評價指標
越來越多的電子檔案在網絡上傳輸,而網絡作為一種構建在開放性技術協議基礎上的信息流通渠道,它的防衛能力和抗攻擊能力較弱,可能會遭受到病毒、黑客的襲擊。為了保證電子檔案的安全必須保證其傳輸的媒介——網絡的安全,網絡安全評價指標包括以下幾個方面:
(1)是否有計算機病毒防范措施
(2)是否有防黑客入侵設施:主要是設置防火墻和入侵檢測等設施。
(3)是否有訪問控制措施:訪問控制是指控制訪問網絡信息系統的用戶,當用戶之間建立鏈接時,為了防止非法鏈接或被欺騙,就可實施身份確認,以確保只有合法身份的用戶才能與之建立鏈接。
(4)是否有審計與監控:審計與監控是指應使用網絡監控設備或實時入侵檢測設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。
4、信息安全評價指標
在網絡能夠正常運行的基礎上,我們要保證在系統中傳輸、存貯的電子檔案信息是安全的,不被截取、篡改或盜用。
(1)是否采取加密措施:檔案的本質屬性是原始記錄性,而計算機和網絡的不穩定性使得電子檔案信息的這一特性難以保證,而且有些電子檔案信息有密級限制,不能公開在網絡上傳輸,所以電子檔案信息在網絡傳輸時必須通過加密來保證其安全。
(2)是否有數據完整性鑒別技術:網絡上的傳輸使得電子檔案信息的完整性無法保證,黑客的攻擊可以改變信息包內部的內容,所以應采取有效的措施來進行完整性控制,這對于電子檔案信息來說至關重要。
(3)是否確保信息數據庫的安全:一個組織最核心的信息通常以數據庫的形式保存和使用,保證數據庫安全對于電子檔案信息來說有重要的作用。
(4)是否有信息防泄漏措施:信息防泄漏包括信息審計系統和密級控制兩方面。信息審計系統能實時對進出內部網絡的信息進行內容審計,以防止或追查可能的泄密行為;另外,可以根據信息保密級別的高低劃分公開范圍,并對用戶劃分訪問權限,進行分組管理。
(5)是否有防抵賴技術:防抵賴技術確保用戶不能否認自己所做的行為,同時提供公證的手段來解決可能出現的爭議,它包括對數據源和目的地雙方的證明,常用方法是數字簽名。
5、系統安全評價指標
這里的系統安全是指計算機整個運行體系的安全。在計算機上處理信息時,硬件、軟件出現故障或誤操作、突然斷電等都會使正在處理的信息丟失,造成無法彌補的損失。所以我們需要采取一系列措施保證系統的穩定,確保信息的安全。計算機系統安全評價指標有:
(1)是否有系統操作日志:系統操作日志詳細記錄了系統的操作狀況,以便事后分析和追查系統損壞的原因,為系統提供進一步的安全保障。
(2)是否進行系統安全檢測:運用系統安全檢測工具對計算機和網絡進行安全檢測,可及時發現系統中存在的漏洞或惡意的攻擊,進而采取有效的補救措施和安全策略,達到增強網絡安全性的目的。
(3)是否有操作系統防破壞措施:操作系統集中管理系統的資源,是計算機系統賴以正常運轉的中樞,它的安全性將直接影響到整個計算機系統的安全。操作系統應當建立某些相對的鑒別標準,保護操作系統本身在內的各個用戶,阻止有害功能的運行。
(4)是否進行系統信息備份:日常備份制度是系統備份方案的具體實施細則,應嚴格按照制度進行日常備份,否則將無法達到備份方案的目標。
(5)是否有災難恢復系統:當系統因人為或自然因素受到破壞時,我們應保證能夠盡快地恢復正常工作,把損失控制在最小范圍內。
三、電子檔案信息安全評價指標體系權重確定方法
用若干個指標進行綜合評價時,其對評價對象的作用,從評價目的來看,并不是同等重要的。指標越重要,權的數值就越大;反之,數值小則可以說明其重要程度相對較低。
合理地確定和適當地調整指標權重,體現了系統評價指標中各因素之間的輕重有度、主次有別,更能增加評價因素的可比性。在安全評價中,具體確定權重的方法很多,如德爾菲法、主成分分析法、層次分析法、環比法等。其中,層次分析法比較適用于電子檔案信息安全的評價。
層次分析法的核心是對決策對象進行評價和選擇,并對它們進行優劣排序,從而為決策者提供定量形式的決策依據。它充分利用人的分析、判斷和綜合能力,適用于結構較為復雜、決策準則較多且不易量化的決策問題。它將定性分析和定量分析相結合,具有高度的簡明性、有效性、可靠性和廣泛的適用性。而電子檔案信息安全指標體系因素多、主觀性強且決策結果難以直接準確計量,因而可以用層次分析法來確定指標體系的權重。層次分析法的基本步驟是:
1、將復雜問題概念化,找出研究對象所涉及的主要因素;2、分析各因素的關聯、隸屬關系,構建有序的階梯層次結構模型;3、對同一層次的各因素根據上一層次中某一準則的相對重要性進行兩兩比較,建立判斷矩陣;4、由判斷矩陣計算被比較因素對上一層準則的相對權重,并進行一致性檢驗;5、計算各層次相對于系統總目標的合成權重,進行層次總排序。
四、電子檔案信息安全評價指標體系綜合評價方法
綜合評價是指對被評價對象進行客觀、公正、合理的全局性、整體性評價。可以用作綜合評價的數學方法很多,但是每種方法考慮問題的側重點各有不同。鑒于所選擇的方法不同,有可能導致評價結果的不同,因而在進行多目標綜合評價時,應具體問題具體分析。根據被評價對象本身的特性,在遵循客觀性、可操作性和有效性原則的基礎上選擇合適的評價方法。在信息安全領域,目前存在的綜合評價方法有信息系統安全風險的屬性評估方法、模糊綜合評價方法、基于灰色理論的評價方法、基于粗糙集理論的評價方法等。對于這些方法,目前還沒有評論認為哪一種方法更適用于信息安全領域的綜合評價。鑒于此種情況,本指標體系采用模糊綜合評價方法。
模糊綜合評價就是以模糊數學為基礎,應用模糊關系合成的原理,將一些邊界不清、不易定量的因素定量化,進行綜合評價的一種方法。從評價對象來看,用模糊綜合評價方法來評價信息安全系統是可行的。首先,對于信息的安全管理而言,“安全”與“危險”之間沒有明顯的分界線,即安全與危險之間存在著一種中間過渡的狀態,這種中間狀態具有亦此亦彼的性質,也就是通常所說的模糊性。因此在安全的刻畫與描述上大多采用自然語言來表達,而自然語言最大的特點是它的模糊性。另外,電子檔案信息安全評價中,對一些評價要素的評價是具有模糊性的。如組織管理中的評價很難量化,一般只能用“好”、“一般”、“差”等等級概念來描述,具有較強的模糊性。而且一些評價要素受外界環境的影響較大,具有不確定性,如網絡攻擊、安全設施失效、人為失誤等偶然性較大,難以準確評價。對于這些模糊的、不確定性的問題通常采用模糊數學來研究。模糊綜合評價方法就是在對多種因素影響的事物或現象進行總的評價過程中涉及到模糊因素或模糊概念的一種評估方式,它通過運用模糊集合中隸屬度和隸屬度函數的理論來刻畫這種模糊性,以達到定量精確的目的。
總之,模糊綜合評價方法是一種適用于在信息安全管理方面進行系統評價的可行方法,其基本步驟為⑦:
1、確定評價集。評價集是以評判者對被評價對象可能做出的各種總的評判結果為元素組成的集合,例如我們可以對電子檔案信息安全評價采用五個等級的評語集合(很好,好,較好,一般,差)。
2、建立因素集。因素集是以影響評判對象的各種因素為元素組成的集合,在本文的電子檔案信息安全評價體系中,主因素層的因素集有物理安全、管理安全、網絡安全、信息安全和系統安全五個指標,其下層又有各自的影響因素集,由各自的具體影響指標組成。
3、建立權重集。由于各評價要素在評價中的重要程度不同,因而必須對各要素按其重要程度給出不同的權重,權重集通過層次分析法確定。
學術界有專家認為,1987年頒布的《檔案法》對我國有關主體的檔案利用權利進行了法律確認,檔案利用權利已經是一項法定權利。但是,從《檔案法》及其實施辦法中不僅看不到有關檔案利用權利的明確表述,而且從相關規定中也無法自然推導出檔案利用權利就是一種法律權利。《檔案法》第十九條和第二十條在規定檔案利用行為時表示有關組織或公民“可以利用”已經開放的檔案或未開放的檔案(對后者又做了特別限制性規定)。事實上,“可以利用”通常會出現在兩種情況之下:一是公民或組織具有法定的檔案利用權利;二是公民或組織可以從檔案館開放檔案的行為中獲益。雖然上述兩者在目標指向上均表現為公民或組織檔案利用過程或結果的實際發生,但它們顯然有著明顯區別。如果公民或組織是在履行檔案利用權利,則其檔案利用行為理應受到各種保障或救濟,一旦其檔案利用權利受到損害就應得到來自行政或司法渠道的救濟;如果公民或組織是從檔案開放過程中受益,那么自然不會對檔案開放主體(主要是指國家檔案館)的檔案開放行為提出任何非議。從《檔案法》及其實施辦法的文本解讀上看,它們在涉及公民或組織對開放檔案的利用行為時,似乎都有意或無意省略了“權利”一詞,而且通篇法律文本也未設計對公民檔案利用權利進行保障或救濟的任何措施。因此,筆者認為,迄今為止在我國有關法律法規中檔案利用權利并未被確認,它尚未成為一種法律權利,仍然只是一種應有或事實上的權利。
由于不同的權利主體基于同一檔案客體對象會因利益目標不同而產生不同的權利類型并伴有普遍的信息權利沖突現象,因此,從權利協調與平衡的原則和要求看,公民或組織基于某一檔案客體對象所產生的檔案利用權利始終都是有限度的,它必然會受到檔案開放或公布權、檔案秘密權、檔案作品著作權等相關權利的制約。因此,設計合理與合法的檔案利用權利控制機制就成為我國檔案立法的重要內容。
二、現有法律法規對檔案利用權利的過度限制
任何權利的構成都包括權利主體、權利客體、權利內容等基本要素,對檔案利用權利限度的分析也可從這些角度分別進行。
1、檔案利用權利主體上的限制
檔案利用權利主體是指有權利用(而不是現在法律文本中表述的“可以利用”)已開放和未開放檔案的自然人、法人或者其他組織。我國在有關立法中習慣于將權利主體表述為“我國公民、法人或者其他組織”,而對外國人或者組織作特殊處理或者規定。例如《檔案法》第二十條就規定了對檔案(半現行與非現行文件)利用主體的具體范圍為“團體、企業事業單位和其他組織以及公民”,而沒有將“外國人或者外國組織”納入到利用主體的范圍之內。為了處理這一局限,有關部門出臺了《外國組織和個人利用我國檔案試行辦法》。一般而言,外國人或外國組織經有關主管部門同意后只能利用國家檔案館已經開放的檔案。從信息公開立法的國際趨勢看,信息獲取與利用權利主體一般具有無限性特點,習慣于將本國公民、法人或者組織和外國公民與組織均作為等同的權利主體對待。筆者認為,上述趨勢雖然可以給我國檔案立法提供借鑒,但從理論上還是應區分清楚檔案利用權利主體和檔案利用主體的界限。檔案利用權利主體是指我國公民、法人或者組織,而檔案利用主體除包括我國公民、法人或組織之外,還應包括外國公民或組織。他們與我國公民、法人或者組織等檔案利用權利主體的本質差異在于:首先,外國公民或組織不能要求我國開放某類檔案,而我國公民、企事業單位和組織可以根據法律規定要求開放某些檔案或申請利用某些未開放檔案;其次,我國公民或組織可以通過行政援助和司法援助要求有關部門開放某類檔案或收回已開放的檔案,而外國公民或組織則無權要求。由此可見,在檔案立法中理應區分檔案利用權利主體和檔案利用主體的不同。現階段我國檔案立法文本中對我國公民、法人或者組織的檔案利用行為僅用“可以利用”來界定則遠遠不夠,法律文本理應明確賦予他們檔案利用權利主體的地位,而“可以利用”的表述僅適合于對外國公民或組織檔案利用行為的概括。
2、檔案利用權利客體范圍上的限制
從我國法律制度關于檔案開放利用客體對象范圍的界定看,它僅限于國家檔案館保存的檔案。《檔案法》第十九條規定:國家檔案館保管的檔案,一般是自其形成之日起滿30年向社會開放;《檔案法》第二十條規定:機關、團體、企業事業單位和其他組織以及公民根據經濟建設、國防建設、教學科研和其他各項工作的需要,可以按照有關規定,利用檔案館未開放的檔案以及有關機關、團體、企業事業單位和其他組織保存的檔案;《檔案法實施辦法》第二十二條規定:機關、團體、企業事業單位和其他組織的檔案機構保存的尚未向檔案館移交的檔案,其他機關、團體、企業事業單位和組織以及中國公民如需要利用的,須經檔案保存單位同意。從上述一系列規定可以看出,《檔案法》及其實施辦法有兩個重要限制:一是始終將檔案開放客體對象限制在“國家檔案館的檔案”這一范圍內,雖原則性提出有關主體也可利用未進館的檔案,但將開放利用決定權交給了檔案保管單位;二是雖然規定有關主體可以利用檔案館未開放的檔案,但是,由于上述《檔案法》第二十條明確授權制訂“利用未開放檔案辦法”的國家檔案行政管理部門和有關主管部門至今沒有出臺“有關規定”,因此,從一定意義上來說,館藏未開放檔案的利用還是一個“無法可依”的領域。①這表明機關檔案室收藏的檔案和國家檔案館收藏的未開放檔案均不在現有檔案開放利用法律制度的調控范圍之內。因此,檔案利用權利客體對象目前僅限于國家檔案館保存的已開放檔案。
3、檔案利用權利行使目的的限制
檔案工作基本原則指出檔案工作的根本目的是“便于社會各方面的利用”,其言下之意就是所有主體(團體用戶或個人用戶,甚至包括國外用戶)可以因各種需要(公務或私人目的)利用檔案。這一理念在《檔案法》中得到了一定程度的體現。《檔案法》針對機關、團體、企事業單位和其他組織(上述利用主體均為團體用戶)利用開放檔案和未開放檔案均未明確限制其“利用目的”。但有關規定顯然未將公民個人因“個人休閑”、“個人利益”等不屬于“各項工作需要”范圍的檔案利用目的包涵在內。這就意味著公民出于“個人休閑”、“個人利益”等利用目的利用未開放檔案的行為不能得到法律保護。
與此相類似,《政府信息公開條例》第十三條規定:除主動公開的政府信息以外,公民、法人或者其他組織還可以根據自身生產、生活、科研等特殊需要申請獲取政府信息。這意味著對政府機關主動公開的政府信息,公民、法人或者其他組織可以貫徹自由使用原則,但自由使用原則并不適用于被動申請公開的政府信息,“生產、生活、科研等活動特殊需要”的信息公開申請限制極大地蠶食了公民、法人或其他組織的信息利用范圍。
三、檔案利用權利適度擴展及其實現的基本途徑
隨著公民權利意識的覺醒和權利要求的提高,檔案利用權利也應進行適度擴展。這種權利擴展首先體現在對檔案法律政策設計上的要求。
1、設計覆蓋文件管理全流程的信息開放政策
《政府信息公開條例》中指向的客體對象是處于形成、處理或保存等所有階段的政府信息,某一政府信息只要屬于主動或被動公開的范圍,不管其運動到什么階段或收藏與保存在什么地點均應公開。這就意味著保存在機關業務部門或文書處理部門、機關內部檔案部門和國家檔案館等不同地點的政府信息均應執行統一的開放政策。但與此不相容的是,《檔案法》對處于國家檔案館保存階段的檔案開放政策則另有具體規定,而且這些規定又與《政府信息公開條例》的規定存在矛盾沖突。從法律位階和政策效應上來看,《檔案法》對《政府信息公開條例》中的相關內容具有否定作用。這就導致了在文件全流程管理中,現行、半現行文件的開放政策適用《政府信息公開條例》,而非現行文件的開放政策適用《檔案法》。由于《政府信息公開條例》是以“公開為原則,不公開為例外”作為立法指導思想,而《檔案法》及其實施辦法和有關規定強調的是以“檔案保管和控制”作為立法指導思想,所以說《政府信息公開條例》的開放度明顯高于《檔案法》及其實施辦法和有關規定。這就導致了現階段我國文件與檔案開放利用政策中存在著明顯的前松后緊現象,即處于現行與半現行階段的文件開放利用政策相對寬松,而處于非現行期的文件(即國家檔案館的檔案)開放利用政策卻相對嚴格,顯然,這不符合伴隨著時間推移,信息機密性遞減而其作用范圍應該逐步擴大的一般規律。因此,提高《政府信息公開條例》的法律位階或制訂《文件與檔案法》(或稱為《文件法》)將有利于從文件管理全流程上統一文件與檔案的開放政策。
2、形成對檔案利用權利科學控制的基本機制
正如前文分析的一樣,檔案利用權利是有限度的,對檔案利用權利的限度必須進行科學的分析和控制。對檔案利用權利的科學控制可以分為兩個層面:一是對檔案合理利用行為進行合法化確認;二是從源頭上設計檔案開放與公布權行使機制。
對檔案合理利用行為進行合法化確認是在對檔案利用行為進行合理化程度分析的基礎上,通過法律法規對這些合理利用行為進行認可的過程,它影響和決定著檔案利用權利本身的內容及其可能實現的廣度和深度。由于檔案利用過程中不同信息權利之間矛盾沖突的普遍存在(例如檔案控制權與獲取權的沖突、檔案開放權與保密權的沖突等),這就決定了檔案利用應是合理和合法的利用,并且合理的檔案利用行為也應得到有關法律法規的確認,例如檔案利用行為必須遵守著作權相關法律法規的規定。
如果僅就檔案利用權利本身設計檔案利用控制機制那么便是一種片面思維。這是由于檔案利用是對已開放檔案和未開放檔案的利用,檔案利用權利的實現在很大程度上受制于檔案開放程度。因此,要建立和完善檔案開放審查機制。筆者認為,在檔案開放審查機制中起決定作用的是檔案開放審查與決定主體的政策執行意識、能力與水平。從開放檔案信息的義務與責任、對檔案信息的理解力等方面看,檔案開放審查和決定主體不僅包括國家檔案館,還應包括所有政府信息公開的義務主體。只要是政府信息公開義務主體依法開放與公布的檔案,任何享有政治權利的公民、法人或組織無論出于公務或私人目的均可對其進行利用。
3、制定未開放檔案申請利用的科學程序
檔案利用權利指向的客體對象既包括對已開放檔案的利用,也包括對未開放檔案的利用。《檔案法》第二十條明確規定:“機關、團體、企業事業單位和其他組織以及公民根據經濟建設、國防建設、教學科研和其他各項工作的需要,可以按照有關規定,利用檔案館未開放的檔案”。而且,該條款同時明確,“利用未開放檔案的辦法,由國家檔案行政管理部門和有關主管部門規定”。但從具體實踐看,現階段我國利用未開放檔案的辦法始終沒有出臺,檔案利用工作的著力點集中在已開放檔案利用上,而相對忽視了未開放檔案的利用工作,這無疑在一定程度上已經影響了公民檔案利用權利的實現。針對公眾檔案信息個性化需要不斷增多、公民檔案利用權利實現的要求和進一步提高綜合檔案館管理績效的客觀形勢,綜合檔案館和有關檔案機構均應適時啟動未開放檔案的申請利用。從保障未開放檔案申請利用的程序合法要求看,綜合檔案館和有關檔案機構可以參照《政府信息公開條例》中關于信息申請公開的規定執行。從政策銜接要求看,對處于不同運動階段的文件信息適用相同的依申請公開程序既是合理的也是合法的。可喜的是,這種針對未開放檔案申請利用的有關規定或辦法已經在我國一些地方性檔案立法中開始出現。2008年修訂的《上海市國家綜合檔案館檔案利用和公布辦法》在第八條就詳細規定了公民和組織利用檔案館未開放檔案的程序辦法,這極大地保障了公民和組織的檔案利用權利。
4、開發具有保障檔案利用權利實現的文件管理系統
檔案利用權利的實現依賴于數字檔案館或電子文件管理系統的功能完備。由于電子文件數量不斷增長和種類日趨復雜,因此,開發建設功能完備的數字檔案館與電子文件管理系統就成為文件與檔案利用權利實現的基本保證。從國際范圍看,一些國家的數字檔案館或電子文件管理系統項目均將保障利用作為其建設的重要目標之一。美國國家檔案文件管理局(NARA)建設電子文件檔案館(ERA)系統的重要目標之一就是要保障具有合法權利的政府部門及公眾不管在何時何地都能利用文件與檔案。突出“在線利用”的文件管理系統功能(而不僅是保管或備份功能)設計對推進有關主體檔案利用權利的實現將產生重要的保障作用。
文章共分七個部分: 引言部分,提出寫作論文的起由,該領域的研究現狀,以及論文的主要內容和研究方法; 第一章,從國際政治學和信息科學的角度闡明國家安全與信息安全的相關概念,并找尋到安全、國家安全、信息、國家信息安全之間的內在聯系。冷戰后,信息安全日漸突出。信息安全是指保證信息的完整性、可用性、保密性、可靠性和可控性,實質就是要保證信息系統及信息網絡中的信息資源不因自然或人為的因素而遭到破壞、更改、泄露和非法占用。信息安全具有高度脆弱性和風險性、潛伏性和突發性、攻擊源的多樣性和防范對象的不確定性、安全主體的不對稱性等特征。信息安全的內容廣泛,涉及政治、經濟、文化、軍事、科技、資源生態等領域。威脅信息安全的因素主要包括病毒、網絡黑客、網絡犯罪和垃圾信息等。
第二章,深入分析信息安全對我國和世界安全的影響。在信息網絡廣泛滲透于社會生活各個領域的條件下,信息安全成為國家安全的基石。主要體現在:信息安全成為影響政治安全的重要因素,國家的維護更加困難,難以控制的“網上政治總動員”危害社會穩定,顛覆性宣傳直接危及國家政權,國家形象更易遭受攻擊和歪曲;信息安全是經濟安全的重要前提,它關乎國家經濟安全的全局,信息產業自身安全令人擔憂,網絡經濟犯罪成為經濟安全的頑疾,金融業遭受的安全挑戰更加嚴重;信息安全對文化安全的影響不容忽視,“網絡文化帝國主義”威脅我國傳統文化的繼承和發揚,社會主義意識形態、價值觀念和道德規范遭到沖擊;信息安全對軍事安全的作用更加突出,“制信息權”對戰爭結局意義重大,信息威懾、網絡信息戰、黑客攻擊與軍事泄密嚴重威脅軍事安全。
第三章,中國信息安全面臨的挑戰與威脅。中國的信息化建設起步較晚,信息安全技術水平也比較滯后,網絡安全系數很低,信息安全現狀不容樂觀,主要從信息流動途徑、發達國家的技術遏制及世界信息強國信息戰略對我國的威脅和啟示等方面進行了分析。在本章中尤其分析了美國、英國、法國、日本、韓國、俄羅斯、印度等國家信息戰略,以求對保障中國信息安全提供借鑒與思考。
第四章,從我國信息安全遭到挑戰的原因分析,探討包括我國在信息安全保障現狀、信息安全管理制度、國民信息安全意識、基礎信息產業嚴重依靠國外、立法不完善等方面存在的問題,以求對捍衛我國信息安全提供思考。同時還分析了全球信息化對我國信息安全的沖擊與啟示。
模擬試題
一、判斷題(每題2分)
1.信息安全保護能力技術要求分類中,業務信息安全類記為A。
錯誤
2.OSI安全體系結構標準不是一個實現的標準,而是描述如何設計標準的標準。正確
3.只靠技術就能夠實現安全。
錯誤
4.災難恢復和容災是同一個意思。
正確
5.VPN與防火墻的部署關系通常分為串聯和并聯兩種模式。
正確
6.美國的布什切尼政府把信息高速公路,互聯網的發展推動起來了。
錯誤
7.兩種經濟形態并存的局面將成為未來世界競爭的主要格局。
正確
8.電子商務是成長潛力大,綜合效益好的產業。
正確
9.電子商務促進了企業基礎架構的變革和變化。
正確
10.在企業推進信息化的過程中應認真防范風險。
正確
11.科研課題/項目是科學研究的主要內容,也是科學研究的主要實踐形式,更是科研方法的應有實踐范疇,是科研管理的主要抓手。
正確
12.科研方法注重的是研究方法的指導意義和學術價值。
錯誤
13.西方的“方法”一詞來源于英文。
錯誤
14.科學觀察可以分為直接觀察和間接觀察。
正確
15.統計推論目的是對整理出的數據進行加工概括,從多種角度顯現大量資料所包含的數量特征和數量關系。
錯誤
16.學術論文是學位申請者為申請學位而提交的具有一定學術價值的論文。
錯誤
17.期刊論文從投稿到發表需要有一個編輯評價的標準,但是它更需要有一個質量的監控體系、監控體制。
正確
18.科研成果是衡量科學研究任務完成與否、質量優劣以及科研人員貢獻大小的重要標志。正確
19.一稿多投產生糾紛的責任一般情況由作者承擔。
正確
20.知識產權保護的工程和科技創新的工程是一個系統的工程,不是由某一個方法單獨努力就能做到的,需要國家、單位和科研工作者共同努力。
正確
二、單項選擇(每題2分)
21.信息安全的安全目標不包括(C)。
A、保密性
B、完整性
D、可用性
22.《計算機信息系統安全保護條例》規定,(B)主管全國計算機信息安全保護工作。
A、國家安全部
B、公安部
C、國家保密局
D、教育部
23.《計算機信息系統安全保護條例》第14條規定:“對計算機信息中發生案件,有關使用單位應當在24小時內向當地(B)人民政府公安機關報告。”
A、區級以上
B、縣級以上
C、市級以上
D、省級以上
24.根據SHARE 78標準,在(D)級情況下,備份中心處于活動狀態,網絡實時傳送數據、流水日志、系統處于工作狀態,數據丟失與恢復時間一般是小時級的。
A、本地冗余設備級
B、應用冷備級
C、數據零丟失級
D、應用系統溫備級
25.(A)是密碼學發展史上唯一一次真正的革命。
A、公鑰密碼體制
B、對稱密碼體制
C、非對稱密碼體制
D、加密密碼體制
26.以下(C)不屬于計算機病毒特征。
A、潛伏性
B、傳染性
C、免疫性
D、破壞性
27.在進行網絡部署時,(B)在網絡層上實現加密和認證。
A、防火墻
B、VPN
C、IPSec
D、入侵檢測
28.美國(A)政府提出來網絡空間的安全戰略
A、布什切尼
B、克林頓格爾
C、奧巴馬克林頓
D、肯尼迪
29.對于電子商務發展存在的問題,下列說法中錯誤的是(C)
A、推進電子商務發展的體制機制有待健全
B、電子商務發展的制度環境不完善
C、電子商務的商業模式成熟
D、電子商務對促進傳統生產經營模
30.下列選項中,不屬于電子商務規劃框架的是(C)
A、應用
B、服務
C、物流
D、環境
31.(D)是創新的基礎。
A、技術
C、人才
D、知識
32.兩大科研方法中的假設演繹法以(B)為代表。
A、達爾文的《進化論》
B、笛卡爾的《論方法》
C、馬克思的《資本論》
D、弗蘭西斯?培根的《新工具》
33.以下不屬于理論創新的特征的是(D)
A、繼承性
B、斗爭性
C、時代性
D、減速性
34.(A)主要是應用已有的理論來解決設計、技術、工藝、設備、材料等具體技術問題而取得的。
A、科技論文
B、學術論文
C、會議論文
D、學位論文
35.(B)是通過查閱相關的紙質或電子文獻資料或者通過其他途徑獲得的行業內部資料或信息等。
A、直接材料
B、間接材料
C、加工整理的材料c
D、實驗材料
36.(C)是整個文章的整體設計,不僅能指導和完善文章的具體寫作,還能使文章所表達的內容條理化、系統化、周密化。
A、摘要
B、引言
C、寫作提綱
D、結論
37.期刊論文的發表載體是(C)。
A、娛樂雜志
B、生活雜志
C、學術期刊
D、新聞報紙
38.(B)是指科研課題的執行人在科研過程中要向科研主管部門或課題委托方匯報研究工作的進度情況以及提交階段性成果的書面材料。
A、開題報告
B、中期報告
C、結項報告
D、課題報告
39.我國于(A)年實施了《專利法》。
A、1985
B、1986
C、1987
D、1988
40.知識產權具有專有性,不包括以下哪項(D)。
A、排他性
B、獨占性
C、可售性
三、多項選擇(每題2分)
41.我國信息安全管理政策主要包括(ACD)。
A、法律體系
B、行政體系
C、政策體系
D、強制性技術標準
E、道德體系
42.信息系統安全的總體要求是(ABCD)的總和。
A、物理安全
B、系統安全
C、網絡安全
D、應用安全
E、基礎安全
43.網絡隔離技術發展經歷了五個階段:(ABCDE)。
A、完全的物理隔離階段
B、硬件的隔離階段
C、數據轉播隔離階段
D、空氣開關隔離階段
E、完全通道隔離階段
44.以下屬于我國電子政務安全工作取得的新進展的有(ABCDE)
A、重新成立了國家網絡信息安全協調小組
B、成立新一屆的國家信息化專家咨詢委員會
C、信息安全統一協作的職能得到加強
D、協調辦公室保密工作的管理得到加強
E、信息內容的管理或網絡治理力度得到了加強
45.下列說法正確的是(ABCDE)
A、電子商務產業是以重大技術突破和重大發展需求為基礎的新興產業
B、電子商務對經濟社會全局和長遠發展具有重大引領帶動作用
C、電子商務是知識技術密集的產業
D、電子商務是物質資源消耗少的產業
E、應把優先發展電子商務服務業放到重要位置
46.科研論文按發表形式分,可以分為(ABE)
A、期刊論文
B、學術論文
C、實驗論文
D、應用論文
E、會議論文
47.學術期刊的文章類型有(ABC)。
A、綜述性的文章
B、專欄性的文章
C、報道性的文章
D、文言文
E、以上都正確
48.期刊發表的周期有(BCDE)。
A、日刊
B、周刊
C、半月刊
D、月刊
E、旬刊
49.知識產權的三大特征是(ABC)。
B、時間性
C、地域性
D、大眾性
E、以上都不正確
50.從個人層面來講,知識產權保護的措施有(ABC)。
A、在日常的科研行為中一定要有相應的行動策略
B、在科研轉化的過程中,要注意保護自己的著作權
C、作品發表后或者出版后,還要對后續的收益給予持續的關注和有效的維護
