導(dǎo)言：作為寫(xiě)作愛(ài)好者，不可錯(cuò)過(guò)為您精心挑選的10篇公共信息安全，它們將為您的寫(xiě)作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

2制約移動(dòng)互聯(lián)網(wǎng)公共信息安全的因素

2.1移動(dòng)互聯(lián)網(wǎng)運(yùn)行的全民性

移動(dòng)互聯(lián)網(wǎng)是在互聯(lián)網(wǎng)的基礎(chǔ)上產(chǎn)生的，而互聯(lián)網(wǎng)自產(chǎn)生起就帶有公開(kāi)性、全民共享性。目前，這一趨勢(shì)隨著移動(dòng)互聯(lián)網(wǎng)的普及更加顯著，但是隨著全民廣泛參與到移動(dòng)互聯(lián)網(wǎng)的應(yīng)用中，這就導(dǎo)致移動(dòng)互聯(lián)網(wǎng)的控制權(quán)被分散。由于移動(dòng)互聯(lián)網(wǎng)使用者的利益、目標(biāo)以及價(jià)值等方面都不盡相同，因此，對(duì)移動(dòng)互聯(lián)網(wǎng)資源的保護(hù)與管理也就容易產(chǎn)生分歧，促使移動(dòng)互聯(lián)網(wǎng)公共信息安全的問(wèn)題變得更加廣泛、復(fù)雜。

2.2移動(dòng)互聯(lián)網(wǎng)監(jiān)管不嚴(yán)

我們對(duì)移動(dòng)互聯(lián)網(wǎng)公共信息安全管理的過(guò)程中，往往存在著界定不明晰、管理觀念落后等問(wèn)題。比如對(duì)移動(dòng)互聯(lián)網(wǎng)上頻繁出現(xiàn)的不良信息的劃分不明確，這就導(dǎo)致相關(guān)管理部門(mén)進(jìn)行監(jiān)管時(shí)，沒(méi)有可以依據(jù)的規(guī)則，進(jìn)而導(dǎo)致監(jiān)管過(guò)度或不力。

2.3缺乏核心的移動(dòng)互聯(lián)網(wǎng)技術(shù)

我國(guó)的移動(dòng)互聯(lián)網(wǎng)處于起步階段，缺乏自主性的網(wǎng)絡(luò)和軟件核心技術(shù)，這就導(dǎo)致我們?cè)谝苿?dòng)互聯(lián)網(wǎng)運(yùn)行過(guò)程中不得不接受發(fā)達(dá)國(guó)家制定的一系列管理規(guī)則與標(biāo)準(zhǔn)。此外，由于我們的移動(dòng)互聯(lián)網(wǎng)核心技術(shù)主要是源自他國(guó)，這就導(dǎo)致我國(guó)的移動(dòng)互聯(lián)網(wǎng)常常會(huì)處于被竊聽(tīng)、干擾以及欺詐等信息威脅的狀態(tài)之下，造成我國(guó)的移動(dòng)互聯(lián)網(wǎng)公共信息安全管理系統(tǒng)極為脆弱。

2.4缺乏制度化的移動(dòng)互聯(lián)網(wǎng)保障機(jī)制

我國(guó)對(duì)移動(dòng)互聯(lián)網(wǎng)公共信息安全的管理并沒(méi)有建立相應(yīng)的安全管理保障制度，同時(shí)也沒(méi)有建立有效地安全檢查制度與安全保護(hù)制度。此外，我國(guó)現(xiàn)有的政策法規(guī)很難適應(yīng)當(dāng)今移動(dòng)互聯(lián)網(wǎng)公共信息發(fā)展的需要，移動(dòng)互聯(lián)網(wǎng)公共信息安全保護(hù)還存在著大量的立法空白。

3建立移動(dòng)互聯(lián)網(wǎng)公共信息安全保障機(jī)制的措施

3.1政府應(yīng)充分發(fā)揮其職能

政府在移動(dòng)互聯(lián)網(wǎng)公共信息安全管理中，應(yīng)占據(jù)主導(dǎo)地位，引導(dǎo)整個(gè)移動(dòng)互聯(lián)網(wǎng)公共信息安全向著健康方向發(fā)展。首先，政府應(yīng)發(fā)揮應(yīng)急事件指揮者的角色。政府對(duì)控制一般網(wǎng)絡(luò)公共信息安全事件演變?yōu)槲C(jī)事件肩負(fù)巨大責(zé)任，需要通過(guò)自身的能力使社會(huì)秩序盡快恢復(fù)正常。其次，政府應(yīng)對(duì)移動(dòng)互聯(lián)網(wǎng)公共信息安全相關(guān)法律進(jìn)行監(jiān)管。政府應(yīng)依據(jù)相關(guān)法律對(duì)移動(dòng)互聯(lián)網(wǎng)信息是否安全運(yùn)行進(jìn)行有效監(jiān)管，同時(shí)應(yīng)不斷完善移動(dòng)互聯(lián)網(wǎng)公共信息安全中薄弱環(huán)節(jié)的法律法規(guī)制度。

3.2加強(qiáng)移動(dòng)互聯(lián)網(wǎng)公共信息安全法律建設(shè)

建立手機(jī)實(shí)名制法律。手機(jī)實(shí)名制對(duì)預(yù)防手機(jī)犯罪、凈化手機(jī)信息具有至關(guān)重要的作用，實(shí)施手機(jī)實(shí)名制能夠保障消費(fèi)者的合法權(quán)益。在我國(guó)制定的《通信短信息服務(wù)管理辦法》中對(duì)手機(jī)實(shí)名制就進(jìn)行了明確規(guī)定，與此同時(shí)，若想讓手機(jī)實(shí)名制充分發(fā)揮其作用，就必須加強(qiáng)公民隱私權(quán)益方面的建設(shè)。完善公共信息安全法律法規(guī)。首先，應(yīng)重點(diǎn)建立信息安全的基本法，保障信息安全的各項(xiàng)問(wèn)題有法可依；其次，可以在專(zhuān)門(mén)信息安全基本法出臺(tái)之前，建立必要的、急需的單行法；最后，在建立信息安全法的時(shí)候，應(yīng)盡量避免采用制定地方性法規(guī)和部門(mén)規(guī)章的方法代替制定全國(guó)性法律法規(guī)。

3.3組建統(tǒng)一的管理機(jī)構(gòu)

建立統(tǒng)一的移動(dòng)互聯(lián)網(wǎng)管制機(jī)構(gòu)時(shí)，應(yīng)遵循三個(gè)原則。首先，管制機(jī)構(gòu)建立的獨(dú)立性原則。建立的管制機(jī)構(gòu)不僅要獨(dú)立于電信運(yùn)營(yíng)企業(yè)，同時(shí)還應(yīng)該獨(dú)立于任何行政部門(mén)，這樣才能夠保障管制機(jī)構(gòu)辦事的公正性。其次，管制機(jī)構(gòu)建立的依法設(shè)立原則。在建立互聯(lián)網(wǎng)公共信息安全管制機(jī)構(gòu)時(shí)，應(yīng)以《電信法》或?qū)ｉT(mén)管制機(jī)構(gòu)法對(duì)所建立的管制機(jī)構(gòu)的職責(zé)進(jìn)行明確劃分。最后，管制機(jī)構(gòu)建立的融合性原則。管制機(jī)構(gòu)應(yīng)是一個(gè)綜合性的管制機(jī)構(gòu)，它所監(jiān)管的范圍應(yīng)該包括整個(gè)信息通信領(lǐng)域。

3.4加強(qiáng)終端安全保障技術(shù)研發(fā)

（1）重視病毒防御。

當(dāng)前的移動(dòng)互聯(lián)網(wǎng)終端基本上都是職能設(shè)備，采用的都是專(zhuān)門(mén)的移動(dòng)操作系統(tǒng)，這些操作系統(tǒng)必須具備對(duì)常見(jiàn)的病毒、木馬等的防范功能，同時(shí)也應(yīng)不斷降低應(yīng)用軟件系統(tǒng)可能出現(xiàn)的安全漏洞。

（2）實(shí)施軟件簽名。

軟件簽名的實(shí)現(xiàn)能夠保障軟件的完整性，從而避免用戶(hù)的信息被篡改。此外，當(dāng)應(yīng)用程序發(fā)現(xiàn)信息被篡改后，能夠及時(shí)向用戶(hù)發(fā)出報(bào)警信息。

（3）采用軟件防火墻。

在終端設(shè)備上應(yīng)用軟件防火墻，用戶(hù)可以通過(guò)設(shè)置白名單與黑名單對(duì)設(shè)備上傳入與傳出的信息進(jìn)行有效地控制，保障信息安全。

（4）采用加密存儲(chǔ)。

用戶(hù)對(duì)設(shè)備上的重要信息應(yīng)在加密之后再將其存儲(chǔ)到終端設(shè)備中，這樣能夠有效避免非法竊取現(xiàn)象的產(chǎn)生。與此同時(shí)，用戶(hù)在加密與解密的時(shí)候，一定要快速的完成，以防信息被竊取。

（5）統(tǒng)一管理。

對(duì)安全設(shè)備應(yīng)該進(jìn)行統(tǒng)一管理，即在一個(gè)統(tǒng)一的界面中能夠?qū)θ康陌踩O(shè)備都進(jìn)行相應(yīng)的管理，并對(duì)網(wǎng)絡(luò)中的實(shí)時(shí)信息進(jìn)行及時(shí)反映，然后可以對(duì)得到的各種數(shù)據(jù)進(jìn)行匯總、篩選、分析以及處理，從而提升終端對(duì)安全風(fēng)險(xiǎn)的反應(yīng)能力，降低設(shè)備受到攻擊的機(jī)率。

篇2

珠三角作為我國(guó)經(jīng)濟(jì)發(fā)展的前沿陣地，經(jīng)濟(jì)市場(chǎng)化和外向化程度很高。但受當(dāng)前國(guó)際金融海嘯的影響，國(guó)內(nèi)外經(jīng)濟(jì)形式發(fā)生深刻變化，區(qū)域發(fā)展受到嚴(yán)重沖擊。國(guó)家從戰(zhàn)略全局和長(zhǎng)遠(yuǎn)發(fā)展出發(fā)，制定出珠三角地區(qū)改革發(fā)展規(guī)劃綱要，用以指導(dǎo)珠三角經(jīng)濟(jì)結(jié)構(gòu)轉(zhuǎn)型和發(fā)展方式轉(zhuǎn)變，推進(jìn)區(qū)域一體化建設(shè)。

我們把以政府為主體的一切負(fù)有公共事務(wù)管理職能的組織(包括行政機(jī)關(guān)，法律法規(guī)授權(quán)、委托的組織，來(lái)源于納稅人稅款的政府財(cái)政撥款的社會(huì)團(tuán)體、組織等公共事業(yè)法人和社會(huì)組織)在行政過(guò)程中產(chǎn)生、收集、整理、傳輸、、使用存儲(chǔ)和清理的所有信息，稱(chēng)為公共信息。珠三角地區(qū)是我國(guó)信息化程度的高度集中的地區(qū)，“數(shù)字珠三角”的提出，使公共信息在珠三角地區(qū)更富多元化和復(fù)雜化，而公共信息安全問(wèn)題解決的好壞直接關(guān)系到區(qū)域的，社會(huì)的長(zhǎng)治久安，國(guó)家的安全與穩(wěn)定。珠三角作為我國(guó)新時(shí)期探索科學(xué)發(fā)展模式的試驗(yàn)區(qū)，在摸索構(gòu)建信息安全聯(lián)動(dòng)體系的道路上更應(yīng)體現(xiàn)“科學(xué)發(fā)展，先試先行”的核心理念，在危與機(jī)并存的新形式下，信息安全正面臨著嚴(yán)峻的挑戰(zhàn)，建立信息安全聯(lián)動(dòng)體系的呼聲也越發(fā)響亮。

一、珠三角地區(qū)公共信息安全現(xiàn)狀的分析

公共信息安全是指?jìng)€(gè)人、組織、社會(huì)和國(guó)家在信息傳播過(guò)程中保護(hù)自身利益不受損害，它包括物理設(shè)施安全、技術(shù)安全、信息內(nèi)容安全等國(guó)家、社會(huì)公共安全的總和。珠三角地區(qū)目前信息化程度在全國(guó)處于領(lǐng)先地位，但在信息化普及過(guò)程仍存在諸多安全問(wèn)題。

(一)信息共享渠道不暢。當(dāng)前的難點(diǎn)在于信息歸部門(mén)所有，在信息管理上條塊分割現(xiàn)象嚴(yán)重，區(qū)域內(nèi)小到政府部門(mén)，大到地方政府，大多只考慮自身的管理和利益的需要，很少能從全局發(fā)展的戰(zhàn)略需求角度考慮，各部門(mén)，各地方間缺乏必要的溝通配合，相互問(wèn)協(xié)調(diào)聯(lián)動(dòng)不夠，信息獲取存在障礙，不能有效整合信息資源。面對(duì)突發(fā)安全事件時(shí)，由于事件自身具有復(fù)雜多變的特性，需調(diào)動(dòng)各方力量，收集各類(lèi)信息，對(duì)信息進(jìn)行分門(mén)別類(lèi)，分析提煉，加工處理，才能為決策領(lǐng)導(dǎo)層制定行之有效的解決對(duì)策提供素材。但因存在部門(mén)信息保護(hù)主義，以及訪問(wèn)權(quán)限的設(shè)置問(wèn)題，容易導(dǎo)致管理部門(mén)相互間推諉扯皮現(xiàn)象的出現(xiàn)，不僅不能及時(shí)便捷的處理問(wèn)題，有時(shí)反而“延誤戰(zhàn)機(jī)”，造成不可估量的損失。

(二)電子政務(wù)建設(shè)華而不實(shí)。政府門(mén)戶(hù)網(wǎng)站提供服務(wù)的能力直接反映了政府信息化的綜合水平，同時(shí)也在一定程度上折射出真實(shí)政府的運(yùn)作情況和應(yīng)對(duì)信息威脅的能力。隨著珠三角地區(qū)經(jīng)濟(jì)的飛速發(fā)展，本地區(qū)的信息產(chǎn)業(yè)也不斷得到提高，電子政務(wù)建設(shè)無(wú)論在資金投入上還是技術(shù)設(shè)備上都處在全國(guó)領(lǐng)先地位，但同時(shí)也存在不少問(wèn)題，一方面，珠三角地區(qū)在信息系統(tǒng)建設(shè)存在相互攀比，急于求成，重復(fù)建設(shè)的現(xiàn)象，有的政府部門(mén)為了實(shí)現(xiàn)所謂“政務(wù)公開(kāi)，公務(wù)透明”的電子化辦公，盲目投資，建設(shè)內(nèi)容貧乏，失去時(shí)效，形同虛設(shè)的網(wǎng)站。不但容易造成資源的鋪張浪費(fèi)，不利于對(duì)公共信息的采集、傳遞、確認(rèn)、分析和理解，而且容易造成政出多門(mén)，辦事效率低下的深層問(wèn)題。

一旦遭遇公共危機(jī)，政府信息系統(tǒng)在危機(jī)期間的信息采集，信息整合、信息將出現(xiàn)紊亂，導(dǎo)致政府信息準(zhǔn)確性的降低，影響政府的公眾形象和政府公信力。另一方面，政府網(wǎng)絡(luò)有其特殊性，網(wǎng)絡(luò)和信息安全防護(hù)十分重要。但作為面向公共社會(huì)服務(wù)的信息平臺(tái)，卻沒(méi)有專(zhuān)門(mén)設(shè)立公共信息安全知識(shí)的服務(wù)型網(wǎng)站，公眾對(duì)公共安全基本知識(shí)缺乏了解。

(三)公共信息系統(tǒng)建設(shè)缺乏統(tǒng)一規(guī)范。公共信息系統(tǒng)的建設(shè)標(biāo)準(zhǔn)尚未規(guī)范和統(tǒng)一?！皵?shù)字珠三角”意味著信息化，信息化意味著網(wǎng)絡(luò)化，網(wǎng)絡(luò)化意味著互通互聯(lián)、資源共享，規(guī)范和統(tǒng)一信息建設(shè)標(biāo)準(zhǔn)十分重要j。珠三角各地的信息化程度普及率高，有條件率先實(shí)現(xiàn)統(tǒng)一的公共信息系統(tǒng)建設(shè)的標(biāo)準(zhǔn)。但鑒于珠三角城市問(wèn)的經(jīng)濟(jì)發(fā)展水平和公共服務(wù)能力存在差距，如果全都劃一要求，一統(tǒng)到底，勢(shì)必造成“水土不服”。必須要有一個(gè)科學(xué)的，合理的、講求效益的界定。

(四)信息安全防范治理能力不強(qiáng)。公共信息安全的關(guān)鍵在于防范。目前，珠三角信息和網(wǎng)絡(luò)安全的防范能力處于發(fā)展的初步階段。許多應(yīng)用系統(tǒng)處于不設(shè)防階段。全國(guó)范圍內(nèi)，包括珠三角地區(qū)的信息與網(wǎng)絡(luò)安全研究任停留在封堵現(xiàn)有信息系統(tǒng)的安全漏洞階段。區(qū)域的綜合信息安防能力面臨考驗(yàn)。一方面，雖然珠三角地區(qū)的政府在推進(jìn)信息安全的風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)控制，風(fēng)險(xiǎn)管理的推廣、規(guī)范工作上步伐較快，但維護(hù)信息安全的核心技術(shù)和關(guān)鍵技術(shù)卻基本被國(guó)外壟斷。對(duì)可信安全計(jì)算、信息安全內(nèi)容管理、網(wǎng)絡(luò)安全管理與風(fēng)險(xiǎn)評(píng)估、應(yīng)急響應(yīng)和安全應(yīng)用支撐平臺(tái)等一系列網(wǎng)絡(luò)信息安全核心技術(shù)的自主研發(fā)仍處在起步階段，與國(guó)外先進(jìn)國(guó)家、地區(qū)的信息安防技術(shù)能力存在明顯差距。另一方面，許多公眾和政府工作人員對(duì)公共信息安防領(lǐng)域的認(rèn)識(shí)仍局限在防病毒、入侵檢測(cè)、vpn、垃圾郵件等基本防范手段上，而忽視對(duì)utm(統(tǒng)一威脅管理)、soc(安全運(yùn)營(yíng)中心)等新型信息防范手段的學(xué)習(xí)。

二、建立珠三角公共信息安全聯(lián)動(dòng)體系的必要性

(一)面對(duì)人為事件、事故，自然災(zāi)害建立聯(lián)動(dòng)信息安防體系是公共安全的基本必要。珠三角在空間上是一個(gè)相互依存的系統(tǒng)，空間的分布并不是根據(jù)行政界線(xiàn)來(lái)劃分，珠江三角洲經(jīng)濟(jì)區(qū)毗鄰港澳，華僑、港澳同胞眾多，具有發(fā)展對(duì)外貿(mào)易和經(jīng)濟(jì)技術(shù)合作，引進(jìn)外資和技術(shù)等方面優(yōu)越的條件，是我國(guó)對(duì)外開(kāi)放的重點(diǎn)地區(qū)；地區(qū)內(nèi)的經(jīng)濟(jì)活動(dòng)頻繁，相互間關(guān)系密切，在交通運(yùn)輸、生產(chǎn)事故、刑事犯罪等人為事件、事故處理上具有區(qū)域的聯(lián)發(fā)聯(lián)動(dòng)性，此外該地區(qū)是洪澇災(zāi)害和臺(tái)風(fēng)等自然災(zāi)害的頻發(fā)地區(qū)，對(duì)自然災(zāi)害的預(yù)防和應(yīng)急亦需要跨地區(qū)跨部門(mén)的相互聯(lián)動(dòng)合作。建立珠三角信息聯(lián)動(dòng)體系，可以有效整合各地資源，及時(shí)有效的采取應(yīng)對(duì)措施，排除險(xiǎn)情，解除危難；保證在信息收集、分析、傳遞、方面的準(zhǔn)確性和有效性，防止信息失真帶來(lái)的嚴(yán)重后果的。

(二)珠三角作為我國(guó)經(jīng)濟(jì)改革發(fā)展的“試驗(yàn)田”，在區(qū)域經(jīng)濟(jì)一體化的政策導(dǎo)向下，建立聯(lián)動(dòng)信息安防體系是公共安全的特殊必要。城市區(qū)域內(nèi)的矛盾和沖突是必然的，這是由于城市區(qū)域經(jīng)濟(jì)活動(dòng)本身的外部性及信息不對(duì)稱(chēng)所造成的。珠三角城市區(qū)域內(nèi)的某些地方政府，常通過(guò)建立地方保護(hù)鏈條、重復(fù)建設(shè)項(xiàng)目等手段，來(lái)實(shí)現(xiàn)地方利益的最大化，從而加大了珠三角地區(qū)城市間經(jīng)濟(jì)交易的成本，不利于經(jīng)濟(jì)一體化的形成。打破這種信息不對(duì)稱(chēng)性所照成的城市經(jīng)濟(jì)“孤島危機(jī)”就必須建立公共信息共享以及安全保護(hù)的聯(lián)動(dòng)體系，通過(guò)制度變遷，建立相應(yīng)的城市區(qū)域信息協(xié)作組織，在安全可靠的環(huán)境下，對(duì)公共經(jīng)濟(jì)等信息實(shí)現(xiàn)互聯(lián)互動(dòng)，不僅可以實(shí)現(xiàn)區(qū)域內(nèi)城市不同利益主體的相互間信息交流，降低不同利益主體達(dá)成交易的成本，并能對(duì)區(qū)域的經(jīng)濟(jì)發(fā)展現(xiàn)狀進(jìn)行有效的監(jiān)督。

三、珠三角公共信息安全聯(lián)動(dòng)體系的構(gòu)建和管理

(一)注重公共信息安全法律建設(shè)。

加強(qiáng)公共信息安全法制的立法工作。法律本身就是確保公共信息安全管理的一項(xiàng)重要保障，為有效貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，在總結(jié)基礎(chǔ)調(diào)查和試點(diǎn)工作的基礎(chǔ)上，國(guó)家頒布了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和印發(fā)了《信息安全等級(jí)保護(hù)管理辦法》等相關(guān)條例，確定了信息安全等級(jí)保護(hù)制度的基本內(nèi)容及各項(xiàng)工作要求，進(jìn)一步明確了國(guó)家、公民、法人和其他組織在等級(jí)保護(hù)工作中的責(zé)任、義務(wù)，各職能部門(mén)在信息安全等級(jí)保護(hù)工作中的職責(zé)分工以及信息系統(tǒng)運(yùn)營(yíng)使用單位、行業(yè)主管部門(mén)的安全保障法律責(zé)任。

但是中國(guó)目前尚沒(méi)有形成專(zhuān)門(mén)的“公共信息安全”法規(guī)體系，還有許多公共領(lǐng)域在信息安全方面無(wú)法可尋、無(wú)法可依，地方性在公共信息安全方面的行政法規(guī)良莠不齊，難以統(tǒng)一。公共信息安全法律體系的研究可以選擇不同的切入點(diǎn)。按照法律效率，我們可以從法律、法規(guī)和規(guī)章層次討論信息安全的法律體系。也可以另辟蹊徑，以戰(zhàn)略作為出發(fā)點(diǎn)探討信息安全的法律體系。我國(guó)應(yīng)從國(guó)情出發(fā)，積極探索加強(qiáng)信息安全法制建設(shè)的新思路，加快信息安全的立法工作，尤其是要加快信息安全基本大法的立法進(jìn)程，以建立起一套既符合國(guó)際通行規(guī)則，又具有中國(guó)特色、門(mén)類(lèi)齊全、層次分明、結(jié)構(gòu)嚴(yán)謹(jǐn)?shù)男畔踩审w系，為信息安全保障工作提供更有力的法律支撐j。在珠三角規(guī)劃出臺(tái)的新形勢(shì)下，國(guó)家可以不妨逐步探索、建設(shè)和制訂與區(qū)域一體化相適應(yīng)的公共信息安全法律體系，這不僅有利于公共信息安全治理的規(guī)范化和穩(wěn)定化；有利于為公共信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)；有利于優(yōu)化信息安全資源的配置，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng)安全；有利于明確國(guó)家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)信息安全管理；有利于推動(dòng)各類(lèi)信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全模式，為以后我國(guó)全面實(shí)施公共信息安全保護(hù)工作提供政策支持。

(二)建立統(tǒng)一的、共享的、安全的公共信息網(wǎng)絡(luò)系統(tǒng)。

首先，以信息資源開(kāi)發(fā)利用為導(dǎo)向，加強(qiáng)珠三角公共數(shù)據(jù)整合。城市信息資源在信息化過(guò)程中得到不斷積累，只有以信息資源開(kāi)發(fā)利用為導(dǎo)向，城市信息化綜合效益才能得到提高。到目前為止，各城市都建立了具有本地特色的數(shù)據(jù)庫(kù)，但是多數(shù)數(shù)據(jù)庫(kù)的使用都處于封鎖狀態(tài)，這嚴(yán)重影響了城市信息化建設(shè)的效益發(fā)揮。未來(lái)幾年，城市公共數(shù)據(jù)整合將成為未來(lái)城市信息化建設(shè)的一項(xiàng)重點(diǎn)工作。公共數(shù)據(jù)整合要結(jié)合城市經(jīng)濟(jì)發(fā)展戰(zhàn)略和現(xiàn)狀，構(gòu)建城市各部門(mén)、各組織共享的公共數(shù)據(jù)庫(kù)，這也是當(dāng)前城市信息化建設(shè)中必須著力解決的重要課題。根據(jù)我國(guó)信息資源規(guī)劃和建設(shè)的總體要求，各地要建立一批具有公益性、基礎(chǔ)性、實(shí)用性的公共數(shù)據(jù)庫(kù)；加緊建設(shè)和健全自然人基礎(chǔ)信息庫(kù)、法人基礎(chǔ)信息庫(kù)，作為建構(gòu)公共數(shù)據(jù)庫(kù)的基礎(chǔ)，合理、高效地利用信息資源，整合現(xiàn)有的信息資源；加強(qiáng)生產(chǎn)、流通、科技、人口、資源、生態(tài)環(huán)境等領(lǐng)域的信息資源開(kāi)發(fā)利用工作；加快教育、文化、公共文獻(xiàn)等領(lǐng)域信息資源的數(shù)字化、網(wǎng)絡(luò)化進(jìn)程。

其次，加強(qiáng)信息和信息安全關(guān)鍵技術(shù)的自主研發(fā)，從技術(shù)上統(tǒng)一標(biāo)準(zhǔn)。當(dāng)前，我國(guó)在信息和信息安全領(lǐng)域總體上處于關(guān)鍵技術(shù)和設(shè)備受制于人的被動(dòng)局面，發(fā)展信息和信息安全高端技術(shù)、提高自主創(chuàng)新能力已經(jīng)成為我國(guó)掌握信息安全主動(dòng)權(quán)的唯一出路。為加強(qiáng)信息和信息安全關(guān)鍵技術(shù)的研發(fā)，我國(guó)必須采取有效措施，建立健全堅(jiān)強(qiáng)有力、運(yùn)轉(zhuǎn)靈活、工作高效的新體制，全方位地指導(dǎo)信息和信息安全關(guān)鍵技術(shù)的規(guī)劃、研發(fā)、成果轉(zhuǎn)化，同時(shí)組織和動(dòng)員各方力量，密切跟蹤世界先進(jìn)技術(shù)的發(fā)展，逐步形成基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)以自主可控技術(shù)為主的新格局。

再次，建立完善的信息安全風(fēng)險(xiǎn)評(píng)估體系。在信息系統(tǒng)建設(shè)的同時(shí)，要進(jìn)行信息安全的總體設(shè)計(jì)和信息系統(tǒng)安全工程建設(shè)，在系統(tǒng)驗(yàn)收時(shí)必須對(duì)信息系統(tǒng)安全進(jìn)行測(cè)評(píng)認(rèn)證。對(duì)于已建的信息系統(tǒng)，要完善信息安全的總體設(shè)計(jì)和信息系統(tǒng)安全工程建設(shè)，進(jìn)行系統(tǒng)安全測(cè)評(píng)認(rèn)證。在信息系統(tǒng)建設(shè)中信息安全的投資應(yīng)占系統(tǒng)投資的一定比例。各級(jí)機(jī)關(guān)和重點(diǎn)單位新建和改建信息系統(tǒng)必須配套建設(shè)信息安全子系統(tǒng)，并與主體工程實(shí)行同時(shí)設(shè)計(jì)、同時(shí)施工、同時(shí)投入使用。加強(qiáng)對(duì)修訂稿安全產(chǎn)品、服務(wù)商資質(zhì)、信息系統(tǒng)的安全管理與測(cè)評(píng)認(rèn)證，在系統(tǒng)建設(shè)總體方案評(píng)審時(shí)強(qiáng)化對(duì)安全保障方案的審查和各項(xiàng)安全保障功能的認(rèn)證。

最后，加強(qiáng)對(duì)信息網(wǎng)絡(luò)、信息產(chǎn)品和網(wǎng)上交易行為的監(jiān)管，提高對(duì)網(wǎng)上信息的跟蹤管理能力、對(duì)專(zhuān)案對(duì)象的監(jiān)控能力和對(duì)制造和傳播計(jì)算機(jī)病毒、非法入侵、泄密、竊密以及散布有害信息等行為的防范能力，嚴(yán)厲打擊危害計(jì)算機(jī)信息系統(tǒng)安全和利用計(jì)算機(jī)技術(shù)進(jìn)行犯罪活動(dòng)。保障國(guó)家秘密、商業(yè)秘密和個(gè)人隱私的權(quán)利，抵制不良文化、不實(shí)新聞在網(wǎng)上傳播，維護(hù)信息安全和社會(huì)穩(wěn)定。

(三)建立政府主導(dǎo)下的公共信息安全組織體系，落實(shí)安全管理責(zé)任制

篇3

2供電企業(yè)信息安全的影響因素

盡管供電公司投入了大量的財(cái)力、物力建設(shè)電網(wǎng)信息安全系統(tǒng)，但供電企業(yè)內(nèi)部網(wǎng)絡(luò)仍不健全，存在許多安全隱患。另外，供電公司信息化水平不高，信息安全保障措施薄弱也制約了其信息安全系統(tǒng)的建設(shè)。要構(gòu)建一個(gè)健全的供電公司信息安全保障體系，就要首先分析供電公司信息安全的影響因素，對(duì)癥下藥，進(jìn)一步提出供電企業(yè)加強(qiáng)信息安全管理的對(duì)策。

2.1不可抗拒因素

所謂“不可抗拒因素”，就是由于火災(zāi)、水災(zāi)、供電、雷電、地震等自然災(zāi)害影響，供電公司的供電線(xiàn)路、計(jì)算機(jī)網(wǎng)絡(luò)信號(hào)、計(jì)算機(jī)數(shù)據(jù)等受到破壞，并威脅到供電公司的信息安全。

2.2計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備因素

供電公司計(jì)算機(jī)系統(tǒng)中使用大量的網(wǎng)絡(luò)設(shè)備，包括集線(xiàn)器、網(wǎng)絡(luò)服務(wù)器和路由器等，其正常運(yùn)行關(guān)系著供電公司內(nèi)部網(wǎng)絡(luò)的正常運(yùn)行，而計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的安全直接關(guān)系著供電公司的正常運(yùn)行。

2.3數(shù)據(jù)庫(kù)安全因素

供電公司計(jì)算機(jī)系統(tǒng)監(jiān)控用戶(hù)峰值，管理用電客戶(hù)信息及其他用戶(hù)繳費(fèi)等情況，計(jì)算機(jī)數(shù)據(jù)庫(kù)的系統(tǒng)安全決定了供電企業(yè)的調(diào)度效率，也決定了供電公司公共信息的安全。供電公司應(yīng)該使用專(zhuān)用網(wǎng)絡(luò)設(shè)備，確保企業(yè)內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)的隔離。

2.4管理因素

供電公司員工的業(yè)務(wù)素質(zhì)和職業(yè)修養(yǎng)參差不齊，直接影響到供電公司的網(wǎng)絡(luò)安全。供電公司應(yīng)該建立過(guò)錯(cuò)追究制度，提高員工的信息化素質(zhì)，有效防止和杜絕管理因素造成的信息安全問(wèn)題。

3供電企業(yè)加強(qiáng)信息安全管理的對(duì)策

3.1提升員工信息安全防患意識(shí)

開(kāi)展信息安全管理工作，并非僅僅是系統(tǒng)使用或者管理部門(mén)的事，而是企業(yè)所有職工的事，因此，要增強(qiáng)全體員工的信息安全和防患意識(shí)。通過(guò)采取培訓(xùn)和考核等有力措施，進(jìn)一步提升全體員工對(duì)企業(yè)信息安全的認(rèn)識(shí)，讓信息安全成為企業(yè)日常工作業(yè)務(wù)的一個(gè)組成部分，從而提升企業(yè)整體信息安全水平。

3.2采用知識(shí)型管理

傳統(tǒng)的安全管理大部分采取的是一種硬性的管理手段。在當(dāng)今知識(shí)經(jīng)濟(jì)的時(shí)代，安全管理應(yīng)當(dāng)以知識(shí)管理為主，從而使得安全管理措施與手段也越來(lái)越知識(shí)化、數(shù)字化和智能化，促使信息安全管理工作進(jìn)入一個(gè)嶄新的階段。

3.3設(shè)置系統(tǒng)用戶(hù)權(quán)限

為了預(yù)防非法用戶(hù)侵入系統(tǒng)，應(yīng)按照用戶(hù)不同的級(jí)別限制用戶(hù)的權(quán)限，并投入資金開(kāi)展安全技術(shù)督查和安全審計(jì)等相關(guān)活動(dòng)。信息安全并非一朝一夕就能完成的事，它需要一個(gè)長(zhǎng)期的過(guò)程才能達(dá)到較高的水平，需建立并完善相應(yīng)的管理制度，從平時(shí)的基礎(chǔ)工作著手，及時(shí)發(fā)現(xiàn)問(wèn)題，匯報(bào)問(wèn)題，分析問(wèn)題并解決問(wèn)題。

3.4防范計(jì)算機(jī)病毒攻擊

加速信息安全管控措施的建設(shè)，在電力信息化工作中，辦公自動(dòng)化是其中一項(xiàng)非常重要的內(nèi)容，而核心工作業(yè)務(wù)就是電子郵件的發(fā)送與接收，這也正是計(jì)算機(jī)病毒一個(gè)非常重要的傳播渠道。因此，必須大力促進(jìn)個(gè)人終端標(biāo)準(zhǔn)化工作的建設(shè)，實(shí)現(xiàn)病毒軟件的自動(dòng)更新、自動(dòng)升級(jí)，不得隨意下載并安裝盜版軟件；加強(qiáng)對(duì)木馬病毒等的安全防范措施，對(duì)用戶(hù)訪問(wèn)實(shí)施嚴(yán)格的控制。

3.5完善信息安全應(yīng)急預(yù)案

嚴(yán)格規(guī)范信息安全事故通報(bào)程序，對(duì)于隱瞞信息事件的現(xiàn)象，必須嚴(yán)肅查處。對(duì)于國(guó)家和企業(yè)信息安全運(yùn)行動(dòng)態(tài)，要及時(shí)通報(bào)，分析事件，及時(shí)信息安全通告。對(duì)于己經(jīng)制定的相關(guān)預(yù)案和安全措施，必須落到實(shí)處。另外，還要進(jìn)一步加強(qiáng)信息安全技術(shù)督查隊(duì)伍的建設(shè)，提高信息安全考核與執(zhí)行的力度。

3.6建立信息安全保密機(jī)制

加強(qiáng)信息安全保密措施的落實(shí)，禁止將計(jì)算機(jī)連接到互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)，完善外部人員訪問(wèn)的相關(guān)授權(quán)、審批程序。定期組織開(kāi)展信息系統(tǒng)安全保密的各項(xiàng)檢查工作，切實(shí)做好文檔的登記、存檔和解密等環(huán)節(jié)的工作。

篇4

一、“圖書(shū)館+”的內(nèi)涵

圖書(shū)館是搜集、整理、收藏圖書(shū)資料以供人閱覽、參考的機(jī)構(gòu)?！皥D書(shū)館+”便是基于圖書(shū)館的基本定義根據(jù)當(dāng)前教育、科技和經(jīng)濟(jì)的發(fā)展趨勢(shì)需要，對(duì)圖書(shū)館在傳統(tǒng)業(yè)務(wù)的組織、環(huán)境和服務(wù)形式等方面的業(yè)務(wù)進(jìn)行拓展。這樣的服務(wù)拓展可以打破傳統(tǒng)服務(wù)價(jià)值的局限，是一種由多種價(jià)值融合而成的價(jià)值體系?！肮蚕怼北闶欠?wù)的升華，圖書(shū)館的“共享”一方面是指借閱空間的共享；另一方面是指數(shù)字資源和活動(dòng)資源的共享。圖書(shū)館需要兼顧并用好相關(guān)關(guān)系，核心價(jià)值，跳幀思維，關(guān)注新的重點(diǎn)服務(wù)創(chuàng)新領(lǐng)域，不斷創(chuàng)新與深化圖書(shū)館服務(wù)的內(nèi)容。

二、“圖書(shū)館+”環(huán)境下圖書(shū)館服務(wù)模式的新常態(tài)

在全新的信息影響環(huán)境下，圖書(shū)館必須盡快擺脫用戶(hù)咨詢(xún)等服務(wù)的角色定位，逐漸轉(zhuǎn)為向用戶(hù)提供信息、知識(shí)創(chuàng)造等服務(wù)。（一）服務(wù)平臺(tái)多樣化。實(shí)現(xiàn)圖書(shū)館和其他組織的協(xié)同合作是圖書(shū)館創(chuàng)新服務(wù)模式的基本前提。人才、資金、管理是圖書(shū)館服務(wù)核心的因素，所以加強(qiáng)和社會(huì)組織間的合作成為創(chuàng)新服務(wù)模式的第一步。圖書(shū)館需要改變?cè)锌偡逐^縱向結(jié)構(gòu)的單一分布，聯(lián)合社會(huì)其他領(lǐng)域機(jī)構(gòu)橫向發(fā)展，開(kāi)設(shè)“圖書(shū)館+組織”新型分館。1.機(jī)關(guān)、企事業(yè)單位、學(xué)校、福利院、養(yǎng)老院等場(chǎng)所建立流通服務(wù)點(diǎn)類(lèi)型的分館。2.建立高校圖書(shū)館、公共圖書(shū)館、科研圖書(shū)館單位聯(lián)合加盟的文獻(xiàn)信息資源圖書(shū)館等共享的圖書(shū)館聯(lián)盟，實(shí)現(xiàn)文獻(xiàn)信息資源共建共享。3.創(chuàng)新“圖書(shū)館+24小時(shí)”的服務(wù)，由個(gè)別單位提供空間、人員，圖書(shū)館提供設(shè)備、技術(shù)等，突破圖書(shū)館現(xiàn)有開(kāi)放時(shí)間限制，方便讀者用戶(hù)隨時(shí)借閱和歸還書(shū)籍?？臻g拓展的服務(wù)有助于促進(jìn)用戶(hù)之間的信息交換，滿(mǎn)足個(gè)性化服務(wù)需求，促進(jìn)知識(shí)的利用與再創(chuàng)造，進(jìn)而提升讀者用戶(hù)的信息素養(yǎng)。（二）服務(wù)方式個(gè)性化?；凇皥D書(shū)館+”創(chuàng)新服務(wù)模式的個(gè)性定制化服務(wù)是根據(jù)用戶(hù)需求，利用信息技術(shù)，對(duì)外部知識(shí)搜集、整理，對(duì)內(nèi)部隱藏的知識(shí)進(jìn)行深入的挖掘和捕捉，這樣不僅能盡最大程度滿(mǎn)足不同的讀者需求，同時(shí)也能促進(jìn)館員素質(zhì)和績(jī)效的提升，更能發(fā)揮圖書(shū)館在滿(mǎn)足和保障公民基本文化生活訴求與權(quán)利中的積極作用。中國(guó)圖書(shū)館學(xué)家杜定友明確提出圖書(shū)館有積極保存、科學(xué)處理和活用益人等功能。深化圖書(shū)館人文服務(wù)的核心價(jià)值，一方面是“以人為本”，圖書(shū)館“以人為本”的服務(wù)應(yīng)該建立在服務(wù)對(duì)象認(rèn)知和行為模式的基礎(chǔ)上；另一方面是重視并傳承文化，人文更多的是一個(gè)動(dòng)態(tài)的概念，是指人類(lèi)社會(huì)的各種文化現(xiàn)象。根據(jù)讀者不同的需求將人文生活中的善、愛(ài)、美通過(guò)不同的創(chuàng)作媒介貫穿于閱讀的各個(gè)環(huán)節(jié)中，實(shí)現(xiàn)讀者的自我實(shí)現(xiàn)和自我感知。每個(gè)讀者有其書(shū)，根據(jù)圖書(shū)館輻射范圍內(nèi)的讀者群的閱讀需求變化改變，包括紙質(zhì)圖書(shū)和數(shù)字資源采購(gòu)在內(nèi)的資源配置，讓每個(gè)讀者都能找到自己需要的專(zhuān)業(yè)以及非專(zhuān)業(yè)的書(shū)籍?！皥D書(shū)館+”環(huán)境下的分館都具有自己的特色。社區(qū)圖書(shū)室的書(shū)目在內(nèi)容上適合社區(qū)群眾的閱讀愿望；機(jī)關(guān)分館的書(shū)籍滿(mǎn)足工作人員對(duì)學(xué)習(xí)專(zhuān)業(yè)知識(shí)的迫切需要；與書(shū)店協(xié)同合作的分館在體驗(yàn)的形式上使讀者感受到高質(zhì)的美感，內(nèi)部的裝飾風(fēng)格、色彩搭配、空間排架布局、主題配置相互融合讓讀者在感受到書(shū)香之美、閱讀之美的同時(shí)引導(dǎo)人們挖掘生活中的審美價(jià)值，增加人的幸福感。

三、“圖書(shū)館+”創(chuàng)新服務(wù)環(huán)境下的信息安全問(wèn)題

網(wǎng)絡(luò)通信技術(shù)的開(kāi)發(fā)使得溝通交流即時(shí)化。借助社交網(wǎng)絡(luò)平臺(tái)的即時(shí)溝通工具，圖書(shū)館和用戶(hù)形成彼此依存的緊密交流關(guān)系，用戶(hù)可以隨時(shí)隨地了解圖書(shū)館的動(dòng)態(tài)信息并參與交流互動(dòng)；圖書(shū)館也可以和用戶(hù)及時(shí)交流，充分了解用戶(hù)的信息需求，為用戶(hù)提供有針對(duì)性的專(zhuān)業(yè)化信息服務(wù)，幫助用戶(hù)有效及時(shí)地解決各種問(wèn)題。同時(shí)，用戶(hù)可以通過(guò)網(wǎng)絡(luò)平臺(tái)更好更多地了解圖書(shū)館文獻(xiàn)信息資源和服務(wù)動(dòng)態(tài)；圖書(shū)館讀者可以通過(guò)這些平臺(tái)對(duì)動(dòng)態(tài)信息進(jìn)行評(píng)論、轉(zhuǎn)發(fā)和分享，為用戶(hù)互動(dòng)交流提供便利。在此環(huán)境下，信息安全平臺(tái)的建設(shè)對(duì)“圖書(shū)館+”的可持續(xù)發(fā)展將起到積極作用。網(wǎng)絡(luò)環(huán)境下，人們需要保護(hù)信息，使其在存儲(chǔ)、處理或傳輸過(guò)程中不被非法訪問(wèn)或刪改，以確保自己的利益不受損害。因此，網(wǎng)絡(luò)安全必須有足夠強(qiáng)的安全保護(hù)措施，確保網(wǎng)絡(luò)信息的完整和可用。（一）“圖書(shū)館+”跨域結(jié)合的信息安全問(wèn)題。“信息安全”可以從不同的角度來(lái)理解，因此出現(xiàn)了“網(wǎng)絡(luò)安全”“信息內(nèi)容安全”之類(lèi)的區(qū)分，也出現(xiàn)了“機(jī)密性”“真實(shí)性”“完整性”“可用性”等描述方式。信息安全是指保持信息的保密性、完整性和可用性。信息安全取決于兩大要素：技術(shù)和管理?！皥D書(shū)館+”的創(chuàng)新服務(wù)環(huán)境下引入和建設(shè)的主體單位數(shù)量不等，所提供的服務(wù)種類(lèi)也不同。對(duì)于機(jī)關(guān)、學(xué)校企業(yè)共建的圖書(shū)室，和社區(qū)、行政村合作開(kāi)放的社區(qū)閱覽室、農(nóng)家書(shū)屋，還有跟街道協(xié)同合作的“24小時(shí)”自助服務(wù)都是在依附于圖書(shū)館之外的單位所提供的資源基礎(chǔ)上建設(shè)的，這樣組織的方式導(dǎo)致組織成員的數(shù)字化水平不一，管理方式不一。因此，“圖書(shū)館+”的信息安全涉及計(jì)算機(jī)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、各類(lèi)硬件設(shè)施，以及人員等不同層面。圖書(shū)館在提供的數(shù)據(jù)資源遠(yuǎn)程訪問(wèn)服務(wù)和自動(dòng)化服務(wù)系統(tǒng)都涉及到信息的保密和安全使用。（二）新環(huán)境下主題安全意識(shí)不足問(wèn)題?！皥D書(shū)館+”首先是主體之間的協(xié)同合作，然而各個(gè)主體并沒(méi)有相當(dāng)?shù)男畔踩庾R(shí)。首先是工作人員。其中包括圖書(shū)館的管理者、信息工作人員以及其他合作機(jī)構(gòu)的具體工作負(fù)責(zé)人員。其次是廣大的讀者用戶(hù)。絕大多數(shù)人認(rèn)為只要保護(hù)好自己的用戶(hù)名和密碼就足夠了，而且很多的初始密碼未經(jīng)更改，這就為人為破壞提供了便利。如果這樣的觀念不能轉(zhuǎn)變，不能正確對(duì)待讀者信息和數(shù)據(jù)庫(kù)的安全，那么任何具體的改進(jìn)工作都不能得到真正的支持。（三）技術(shù)飛速發(fā)展階段的自身缺陷問(wèn)題。技術(shù)本身的缺陷主要體現(xiàn)在設(shè)備的落后和專(zhuān)業(yè)人才的匱乏。在通信技術(shù)飛速發(fā)展的互聯(lián)網(wǎng)時(shí)代加快了軟硬件的更新速度，這大大縮減了設(shè)備正常服務(wù)的時(shí)限，尤其是一些核心設(shè)備，例如服務(wù)器、防火墻、交換機(jī)等不能承受數(shù)據(jù)時(shí)代帶來(lái)的更大負(fù)荷，不能在新的網(wǎng)絡(luò)環(huán)境下負(fù)起安全衛(wèi)士的職責(zé)。在“圖書(shū)館+”的服務(wù)模式下服務(wù)端口的大量增加促使這樣的漏洞帶來(lái)的風(fēng)險(xiǎn)成倍增加?；ヂ?lián)、互通、共享是“圖書(shū)館+”服務(wù)的目標(biāo)，其中還運(yùn)用到各種網(wǎng)絡(luò)協(xié)議、虛擬局域網(wǎng)技術(shù)，這些技術(shù)帶來(lái)便利的同時(shí)，風(fēng)險(xiǎn)系數(shù)也相應(yīng)提高。（四）信息安全管理體系不完善問(wèn)題。在人員和資源配置上沒(méi)有建立科學(xué)、系統(tǒng)、高效的信息安全管理體系。1.技術(shù)的監(jiān)管沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)。對(duì)各個(gè)端口的授權(quán)程度不一，這就造成了管理上的不便，這種權(quán)限包括讀、寫(xiě)、執(zhí)行等從屬權(quán)，而授權(quán)通常是通過(guò)訪問(wèn)控制來(lái)實(shí)現(xiàn)的。在管理中心防火墻方面，應(yīng)該及時(shí)統(tǒng)一保存和修改其用戶(hù)和密碼，刪除或者屏蔽不需要的功能，避免安全產(chǎn)品本身留有安全漏洞。2.沒(méi)有統(tǒng)一病毒防治程序和入侵檢測(cè)系統(tǒng)。3.未能根據(jù)實(shí)踐中的信息安全方針和各部門(mén)的實(shí)際情況制定不同的管理體系，主管部門(mén)之間統(tǒng)籌協(xié)調(diào)和協(xié)同建設(shè)不夠，因?yàn)樵谡呱虾头缮蠜](méi)有相應(yīng)的規(guī)范。

四、“圖書(shū)館+”信息安全平臺(tái)的建設(shè)

首先，在技術(shù)方面需要完善安全的技術(shù)。安全技術(shù)是信息安全工程的重要組成部分,許多信息系統(tǒng)的安全性保障都要依靠技術(shù)的手段來(lái)實(shí)現(xiàn)。沒(méi)有技術(shù)的保障，信息安全的概念不能付諸實(shí)踐行動(dòng)，只有在信息安全的環(huán)境下才能完整“圖書(shū)館+”服務(wù)模式創(chuàng)新的價(jià)值。其次，在管理方面需要健全有關(guān)信息安全的各項(xiàng)管理制度，人人遵守相應(yīng)的職業(yè)道德。從圖書(shū)館管理的角度看，信息安全防范是以能夠認(rèn)識(shí)或意識(shí)到信息處于不安全的現(xiàn)狀為前提，然后考慮深究如何發(fā)現(xiàn)潛在的危險(xiǎn)，分門(mén)別類(lèi)制定相應(yīng)的防范策略，制定嚴(yán)格的信息安全規(guī)范，由各方面具體的工作人員來(lái)逐步落實(shí)，做到信息安全管理日?；?。（一）強(qiáng)化技術(shù)手段應(yīng)對(duì)安全風(fēng)險(xiǎn)。1.防范型技術(shù)應(yīng)對(duì)。定期做好數(shù)據(jù)的備份工作，對(duì)數(shù)據(jù)的保存采用新的存儲(chǔ)設(shè)備和磁盤(pán)陣列技術(shù)，數(shù)據(jù)備份能實(shí)時(shí)對(duì)局域網(wǎng)的數(shù)據(jù)及系統(tǒng)進(jìn)行集中統(tǒng)一備份，備份策略采用完全備份與增量備份相結(jié)合的方式。對(duì)于軟件（主要指圖書(shū)館操作系統(tǒng)以及網(wǎng)頁(yè)平臺(tái)）應(yīng)做好更新和維護(hù)的工作。對(duì)每一臺(tái)連接到圖書(shū)館中心服務(wù)器的客戶(hù)機(jī)部署防病毒和防入侵軟件。利用抗病毒技術(shù)可以及時(shí)發(fā)現(xiàn)內(nèi)外網(wǎng)的入侵和破壞，阻止網(wǎng)絡(luò)病毒的廣泛傳播，并通過(guò)殺毒和隔離的手段進(jìn)行相應(yīng)控制，讓圖書(shū)館數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)免受其危害。2.應(yīng)用型技術(shù)部署。針對(duì)“圖書(shū)館+”環(huán)境下的特殊部門(mén)（如機(jī)關(guān)、企業(yè)、學(xué)校等）要建設(shè)涉密系統(tǒng)。采用身份認(rèn)證系統(tǒng)，建立相應(yīng)的身份認(rèn)證的平臺(tái)，加強(qiáng)用戶(hù)身份認(rèn)證，防止對(duì)網(wǎng)絡(luò)資源的非授權(quán)訪問(wèn)以及越權(quán)操作，加強(qiáng)口令的管理。對(duì)各個(gè)組織、行業(yè)的使用權(quán)限作系統(tǒng)科學(xué)的規(guī)劃和分配，例如對(duì)需要進(jìn)行圖書(shū)編目加工的用戶(hù)打開(kāi)采編模塊的權(quán)限，對(duì)有讀者信息注冊(cè)修改需求的用戶(hù)開(kāi)放讀者管理的權(quán)限。授權(quán)的原則需要因時(shí)制宜、因需而定，不能蕭規(guī)曹隨，靈活采取必要的手段和緊急應(yīng)對(duì)措施。為確保信息在各服務(wù)點(diǎn)和圖書(shū)館之間交換過(guò)程中信息的完整性、保密性、真實(shí)性，采用先進(jìn)的對(duì)稱(chēng)密碼算法、公鑰密碼算法、數(shù)字簽名技術(shù)、數(shù)字摘要技術(shù)和密鑰分發(fā)等加解密技術(shù)。例如在RFID系統(tǒng)中，利用密鑰無(wú)線(xiàn)生成的方法（WirelessKeyGeneration，WiKey）可以實(shí)現(xiàn)在RFID標(biāo)簽上生成密鑰。WiKey的基本思想是利用RFID系統(tǒng)中讀寫(xiě)器向標(biāo)簽傳輸信息的信道（前向信道）與標(biāo)簽向讀寫(xiě)器分別生成密鑰碎片，然后標(biāo)簽再混合這兩部分的密鑰碎片從而生成共享密鑰。從而使標(biāo)簽和讀寫(xiě)器之間利用共享密鑰進(jìn)行認(rèn)證和識(shí)別的操作更加安全可靠，防止隱私信息被獲取甚至被修改。讓不同年齡段的讀者在不同的地方都可以安全地完成借還書(shū)和信息檢索的操作。（二）制定完善的信息安全管理制度。信息安全不單是技術(shù)過(guò)程，更是管理過(guò)程。信息安全管理是組織中用于指導(dǎo)和管理各種控制信息安全風(fēng)險(xiǎn)的一組相互協(xié)調(diào)的活動(dòng)，是通過(guò)維護(hù)信息的機(jī)密性和完整性來(lái)管理保護(hù)組織所有資產(chǎn)的一項(xiàng)體制。其目的是盡量做到在有限的成本下保證信息的安全，其內(nèi)容包括制定信息安全政策、制定規(guī)范與方式選擇的操作流程和對(duì)人員進(jìn)行安全意識(shí)培訓(xùn)等一系列工作。多口徑多標(biāo)準(zhǔn)的“圖書(shū)館+”平臺(tái)更需要統(tǒng)一標(biāo)準(zhǔn)和系統(tǒng)化的管理方式。建立高效可行的管理體系，涉及人員的分配安排、資源的管理還有人員的組織培訓(xùn)。對(duì)系統(tǒng)漏洞引起的管理不善并發(fā)導(dǎo)致的損失由組織承擔(dān)相應(yīng)的責(zé)任，并對(duì)問(wèn)題做系統(tǒng)分析評(píng)估報(bào)告。建立預(yù)警防控體系。預(yù)警防控體系中網(wǎng)絡(luò)安全管理人員必須對(duì)整個(gè)局內(nèi)網(wǎng)體系的安全防御策略及時(shí)地進(jìn)行檢測(cè)、修復(fù)和升級(jí)，嚴(yán)格履行國(guó)家標(biāo)準(zhǔn)的信息安全管理與監(jiān)控機(jī)制，能實(shí)行虛擬局域網(wǎng)內(nèi)統(tǒng)一安全配置，調(diào)控多層面分布式的安全問(wèn)題，提高整個(gè)網(wǎng)絡(luò)的的安全預(yù)警能力，加強(qiáng)對(duì)應(yīng)急事件的處理能力，實(shí)現(xiàn)“圖書(shū)館+”創(chuàng)新服務(wù)模式下信息安全化的可控性。加強(qiáng)對(duì)從業(yè)人員的職業(yè)道德教育顯得也極其重要。如果他們有著很高的職業(yè)道德，他們就可以在文化服務(wù)的領(lǐng)域作出積極的貢獻(xiàn)。所以，圖書(shū)館應(yīng)該為每個(gè)客戶(hù)端口的工作人員組織定期的業(yè)務(wù)培訓(xùn)工作。培訓(xùn)的內(nèi)容包括：1.工作技能的培訓(xùn)；2.信息安全意識(shí)的提高；3.如何向用戶(hù)宣傳并培養(yǎng)信息安全意識(shí)。（三）完善信息安全溝通渠道和服務(wù)反饋體系。與用戶(hù)加強(qiáng)溝通，有利于促進(jìn)圖書(shū)館文獻(xiàn)信息服務(wù)學(xué)術(shù)化、專(zhuān)業(yè)化的演變，有利于多角度、多方位地為用戶(hù)提供時(shí)效性強(qiáng)、有針對(duì)性的信息安全措施。“圖書(shū)館+”的信息安全反饋體系有利于提升整個(gè)圖書(shū)館的服務(wù)水平，對(duì)于閱讀推廣的可持續(xù)發(fā)展具有指導(dǎo)性的意義。反饋體系包括內(nèi)部和外部的評(píng)價(jià)：一是基于讀者在使用過(guò)程中的一些評(píng)價(jià)指標(biāo)，比如實(shí)際操作中的可靠性，對(duì)讀者本身的使用是否方便，是否有創(chuàng)意。二是從內(nèi)部角度，根據(jù)安全事故發(fā)生的緣由聯(lián)系經(jīng)費(fèi)預(yù)算、人力綜合評(píng)價(jià)信息安全平臺(tái)是否達(dá)到了預(yù)期設(shè)想的效果。將兩種評(píng)價(jià)的標(biāo)準(zhǔn)對(duì)接融合，構(gòu)成簡(jiǎn)單的反饋指標(biāo)體系。

篇5

中圖分類(lèi)號(hào)：D631.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2016）09（a）-0003-02

由于工業(yè)信息技術(shù)與軟件的使用日益普及，公安信息化網(wǎng)絡(luò)安全問(wèn)題也日漸增多，網(wǎng)絡(luò)安全問(wèn)題不是純粹的技術(shù)問(wèn)題，是技術(shù)與管理的綜合，而是一項(xiàng)復(fù)雜的系統(tǒng)工程。公安信息化是實(shí)現(xiàn)公安工作現(xiàn)代化的必由之路。公安信息網(wǎng)絡(luò)的安全保障工作直接關(guān)系到公安工作的效率和成果。對(duì)公安信息網(wǎng)絡(luò)實(shí)行分等級(jí)保護(hù)是保障公安信息網(wǎng)絡(luò)安全的一個(gè)很好的方法。

全國(guó)公安信息化建設(shè)工作開(kāi)展以來(lái)，各地公安信息化建設(shè)取得了一定的成果。各地的公安信息化建設(shè)成果的表現(xiàn)也不盡相同。2013年，秦皇島成為全國(guó)首批“智慧城市”試點(diǎn)城市。秦皇島公安信息化的建設(shè)與“智慧城市”的建設(shè)相互促進(jìn)。該文運(yùn)用文獻(xiàn)查閱法、對(duì)比分析法、系y分析法等方法，對(duì)公安信息化、公安信息化建設(shè)、“智慧城市”等相關(guān)理論進(jìn)行闡述。明確公安信息化概念、標(biāo)志、特征以及重要意義；明確公安信息化建設(shè)的內(nèi)涵、影響因素、建設(shè)內(nèi)容以及評(píng)價(jià)內(nèi)容；明確“智慧城市”的內(nèi)涵、特征、應(yīng)用以及“智慧城市”與公安信息化建設(shè)的關(guān)系。在相概觀念明確的基礎(chǔ)上，從秦皇島市公安信息化建設(shè)的規(guī)劃布局、基礎(chǔ)網(wǎng)絡(luò)建設(shè)情況（包括通訊網(wǎng)絡(luò)、平安城市監(jiān)控點(diǎn)、智能交通設(shè)施的建設(shè)）、公安應(yīng)用系統(tǒng)建設(shè)情況（一、二、三級(jí)平臺(tái)建設(shè)情況、數(shù)據(jù)研判平臺(tái)、交通綜合指揮平臺(tái)、便民服務(wù)平臺(tái)建設(shè)情況）、應(yīng)急保障體系建設(shè)情況、保障體系建設(shè)情況（領(lǐng)導(dǎo)、組織、人才、資金）、服務(wù)實(shí)戰(zhàn)及成效方面（高清視頻監(jiān)控系統(tǒng)、智能交通）進(jìn)行現(xiàn)狀分析，發(fā)現(xiàn)秦皇島公安信息化建設(shè)在基礎(chǔ)網(wǎng)絡(luò)、應(yīng)用平臺(tái)體系、技術(shù)力量、體制建設(shè)等方面的問(wèn)題以及復(fù)雜的挑戰(zhàn)。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的組成

計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)是由硬件網(wǎng)絡(luò)、通信軟件以及操作系統(tǒng)構(gòu)成的，對(duì)于一個(gè)系統(tǒng)而言，首先要以硬件電路等物理設(shè)備為載體，然后才能運(yùn)行載體上的功能程序。通過(guò)使用路由器、集線(xiàn)器、交換機(jī)、網(wǎng)線(xiàn)等設(shè)備，用戶(hù)可以搭建自己所需要的通信網(wǎng)絡(luò)。對(duì)于小范圍的無(wú)線(xiàn)局域網(wǎng)而言，人們可以使用這些設(shè)備搭建用戶(hù)需要的通信網(wǎng)絡(luò)，最簡(jiǎn)單的防護(hù)方式是對(duì)無(wú)線(xiàn)路由器設(shè)置相應(yīng)的指令來(lái)防止非法用戶(hù)的入侵，這種防護(hù)措施可以作為一種通信協(xié)議保護(hù)，目前廣泛采用WPA2加密協(xié)議實(shí)現(xiàn)協(xié)議加密，用戶(hù)只有通過(guò)使用密匙才能對(duì)路由器進(jìn)行訪問(wèn)，通?？梢詫Ⅱ?qū)動(dòng)程序作為操作系統(tǒng)的一部分，經(jīng)過(guò)注冊(cè)表注冊(cè)后，相應(yīng)的網(wǎng)絡(luò)通信驅(qū)動(dòng)接口才能被通信應(yīng)用程序所調(diào)用。網(wǎng)絡(luò)安全通常是指網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件要受到保護(hù)，不能被更改、泄露和破壞，能夠使整個(gè)網(wǎng)絡(luò)持續(xù)穩(wěn)定地運(yùn)行，信息能夠得已完整地傳送，并得到很好保密。因此計(jì)算機(jī)網(wǎng)絡(luò)安全涉及到網(wǎng)絡(luò)硬件、通信協(xié)議、加密技術(shù)等領(lǐng)域。

2 信息安全管理

公安機(jī)關(guān)網(wǎng)絡(luò)信息管理指的是公安機(jī)關(guān)工作人員通過(guò)規(guī)定的手段保證信息、數(shù)據(jù)、服務(wù)和通信的安全等。公安部門(mén)的安全管理系統(tǒng)是一個(gè)持續(xù)的過(guò)程，必須加以確定并不斷審查。計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)作為公安機(jī)關(guān)的主要軟件，并盡一切努力使公安機(jī)關(guān)網(wǎng)絡(luò)信息更安全，同時(shí)提高公安系統(tǒng)工作人員的IT安全意識(shí)。網(wǎng)絡(luò)安全解決方案和數(shù)據(jù)安全在公安領(lǐng)域也起到了至關(guān)重要的作用。加強(qiáng)信息的安全管理，防止各種信息的泄漏和竊取，有效打擊各種形態(tài)的網(wǎng)絡(luò)犯罪，已成為當(dāng)前公安網(wǎng)絡(luò)建設(shè)的重要課題。

3 數(shù)據(jù)安全

越來(lái)越多的設(shè)備連接到互聯(lián)網(wǎng)，也受到常用辦公操作系統(tǒng)的間接控制。如今網(wǎng)絡(luò)入侵變得更有針對(duì)性，黑客只向配備關(guān)鍵安全功能的少數(shù)計(jì)算機(jī)發(fā)送惡意軟件，通常是為了進(jìn)行間諜活動(dòng)。這意味著，病毒和特洛伊木馬可以很長(zhǎng)一段時(shí)間不被察覺(jué)，在被殺毒軟件捕獲之前已造成很大損害。因此，有效的數(shù)據(jù)保護(hù)措施必須提供全方位的深入保護(hù)。網(wǎng)絡(luò)安全策略是網(wǎng)絡(luò)安全計(jì)劃的說(shuō)明，目的是設(shè)計(jì)和構(gòu)造網(wǎng)絡(luò)的安全性，以防御來(lái)自?xún)?nèi)部和外部入侵者的行動(dòng)計(jì)劃及阻止網(wǎng)上泄密的行動(dòng)計(jì)劃。因此，建立網(wǎng)絡(luò)的安全策略，應(yīng)在建網(wǎng)定位的原則和信息安全級(jí)別選擇的基礎(chǔ)上制定。公安信息系統(tǒng)安全問(wèn)題的解決依賴(lài)于技術(shù)和管理兩方面，在采取技術(shù)措施保障網(wǎng)絡(luò)安全的同時(shí)，還應(yīng)建立健全網(wǎng)絡(luò)信息系統(tǒng)安全管理體系，通過(guò)以上管理機(jī)制和技術(shù)措施的實(shí)施，提高網(wǎng)絡(luò)安全性，降低網(wǎng)絡(luò)安全事故的風(fēng)險(xiǎn)，保證網(wǎng)絡(luò)長(zhǎng)期平穩(wěn)運(yùn)行。

4 結(jié)語(yǔ)

社會(huì)信息化的發(fā)展給公共安全領(lǐng)域帶來(lái)了機(jī)遇和挑戰(zhàn)。敵對(duì)勢(shì)力和不法分子利用信息技術(shù)的犯罪活動(dòng)越來(lái)越多，公安機(jī)關(guān)在維護(hù)社會(huì)治安、打擊違法犯罪活動(dòng)中所涉及的業(yè)務(wù)信息量也在急劇地增加。在這種時(shí)代背景下，公安信息化建設(shè)顯得十分重要。公安信息化建設(shè)非常有必要，并且具有深遠(yuǎn)意義。公安信息化是提高執(zhí)法質(zhì)量的必由之路，公安信息化有利于提高公安的工作水平，公安信息化有利于共享信息資源和情報(bào)，從而更好地打擊犯罪。公安工作信息化的目標(biāo)，就是通過(guò)大力推廣應(yīng)用現(xiàn)代電子信息技術(shù)，實(shí)現(xiàn)公安工作的信息共享、快速反應(yīng)與高效運(yùn)行。由此可見(jiàn)，眾多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)需要考慮，因此，公安部門(mén)必須采取統(tǒng)一的安全策略來(lái)保證網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)

[1] 何姍.公安信息網(wǎng)絡(luò)安全保障策略研究[J].信息安全與技術(shù)，2011（8）：5-7.

[2] 尹曉雷，于明，支秀玲.公安內(nèi)部網(wǎng)絡(luò)安全問(wèn)題及解決方法[J].信息技術(shù)與信息化，2010（1）：18-22.

篇6

關(guān)鍵詞：

供水企業(yè)信息集成系統(tǒng)；等級(jí)保護(hù)；信息安全

供水行業(yè)對(duì)國(guó)計(jì)民生很重要的一個(gè)行業(yè)，供水企業(yè)的業(yè)務(wù)性質(zhì)要求以信息的整體化為基本立足點(diǎn)，集中管理所有涉及運(yùn)營(yíng)的相關(guān)數(shù)據(jù)，針對(duì)供水企業(yè)運(yùn)行的特殊要求，進(jìn)行集中的規(guī)劃和架構(gòu)，將不同專(zhuān)業(yè)的應(yīng)用系統(tǒng)進(jìn)行整合，最終形成完整的供水企業(yè)綜合信息平臺(tái)。[1]而集成系統(tǒng)中最重要的一個(gè)要求就是信息安全。

隨著大數(shù)據(jù)時(shí)代的到來(lái)，網(wǎng)格、分布式計(jì)算、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)相繼推出，對(duì)供水企業(yè)信息集成與應(yīng)用也提出了更高的要求。而隨著應(yīng)用的擴(kuò)展，應(yīng)用中存在著大量的安全隱患，網(wǎng)絡(luò)黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統(tǒng)。根據(jù)美國(guó)Radicati公司于2015年3月的調(diào)查報(bào)告，截至2014年12月，網(wǎng)絡(luò)攻擊已經(jīng)為全球計(jì)算機(jī)網(wǎng)絡(luò)安全造成高達(dá)上萬(wàn)億美元的損失。而且隨著網(wǎng)絡(luò)應(yīng)用的規(guī)模進(jìn)一步上升，計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅造成的損失正在呈幾何級(jí)數(shù)增長(zhǎng)。根據(jù)2015年的中國(guó)網(wǎng)絡(luò)安全分析報(bào)告，2014年報(bào)告的網(wǎng)絡(luò)安全攻擊事件比2013年增加了100多倍。2014年，搜狗由于網(wǎng)絡(luò)黑客攻擊導(dǎo)致搜索服務(wù)在全國(guó)各地都出現(xiàn)了長(zhǎng)達(dá)25分鐘無(wú)法使用。2014年7月，某域名服務(wù)商的域名解析服務(wù)器發(fā)生了網(wǎng)絡(luò)黑客的集中式攻擊，造成在其公司注冊(cè)的13%的網(wǎng)站無(wú)法訪問(wèn)，時(shí)間長(zhǎng)達(dá)17個(gè)小時(shí)，經(jīng)濟(jì)損失不可估量。因此，從信息安全的角度，要對(duì)供水企業(yè)信息集成系統(tǒng)進(jìn)行防護(hù)，降低信息安全事故的發(fā)生的概率，降低其危害，是本文需要研究的內(nèi)容。

1當(dāng)前供水企業(yè)信息集成系統(tǒng)安全防護(hù)的現(xiàn)狀和存在的問(wèn)題

伴隨著科技的不斷發(fā)展，供水企業(yè)的信息化建設(shè)也得到了很大的發(fā)展，主要是從深度和廣度兩個(gè)層面做進(jìn)一步拓展。典型的供水企業(yè)信息集成系統(tǒng)涵蓋了生產(chǎn)調(diào)度系統(tǒng)、銷(xiāo)售系統(tǒng)、管網(wǎng)信息系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)等子系統(tǒng)。其中多個(gè)系統(tǒng)數(shù)據(jù)需要接受外部訪問(wèn)，存在大量的安全隱患。目前，威脅到供水企業(yè)信息安全的風(fēng)險(xiǎn)因素主要分為三個(gè)大類(lèi)：1）人為原因，如惡意的黑客攻擊、不懷好意的內(nèi)部人員造成的信息外泄、操作中出現(xiàn)低級(jí)錯(cuò)誤等。2）數(shù)據(jù)存儲(chǔ)位置位置的風(fēng)險(xiǎn)?？赡苡勺匀粸?zāi)害引發(fā)的問(wèn)題，缺乏數(shù)據(jù)備份和恢復(fù)能力。3）不斷增長(zhǎng)的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風(fēng)險(xiǎn)。包括未知的安全漏洞、軟件版本、安全實(shí)踐和代碼更改等。

2有關(guān)分級(jí)防護(hù)的要求

尤其是供水企業(yè)信息集成系統(tǒng)中，存在大量涉及公民個(gè)人隱私的信息，也存在像生產(chǎn)調(diào)度這樣涉及國(guó)計(jì)民生的信息。因此，需要按照國(guó)家有關(guān)信息安全的法律法規(guī)，明確企業(yè)的信息安全責(zé)任。提升供水企業(yè)信息管理區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)信息安全防護(hù)。依據(jù)《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）第十四條，信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門(mén)應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。定級(jí)標(biāo)準(zhǔn)按照國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240—2008）實(shí)施，根據(jù)等級(jí)保護(hù)相關(guān)管理文件，信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種：1）造成一般損害；2）造成嚴(yán)重?fù)p害；3）造成特別嚴(yán)重?fù)p害。

3分別防護(hù)實(shí)施步驟

根據(jù)有關(guān)法律法規(guī)，建設(shè)完成并投入使用的信息系統(tǒng)，其有關(guān)使用此系統(tǒng)的單位需要對(duì)其系統(tǒng)的等級(jí)狀況做定期的測(cè)評(píng)。供水企業(yè)要遵照要求選擇具有資質(zhì)的測(cè)評(píng)機(jī)構(gòu)來(lái)對(duì)管理信息區(qū)的業(yè)務(wù)系統(tǒng)做等級(jí)保護(hù)的測(cè)評(píng)工作。其所得到的結(jié)果如下表1所示：通常情況下，供水企業(yè)信息系統(tǒng)中不會(huì)出現(xiàn)第四級(jí)和第五級(jí)的系統(tǒng)。根據(jù)測(cè)評(píng)結(jié)果，有必要對(duì)供水企業(yè)內(nèi)部的局域網(wǎng)進(jìn)行系統(tǒng)化整改。具體的整改內(nèi)容包括兩項(xiàng)主要內(nèi)容：細(xì)化各業(yè)務(wù)系統(tǒng)服務(wù)器的物理位置；按照需求設(shè)置信息安全區(qū)域。根據(jù)供水企業(yè)信息集成系統(tǒng)的具體實(shí)際，主要有等級(jí)包括三個(gè)業(yè)務(wù)區(qū)域，以及一個(gè)公共業(yè)務(wù)區(qū)和測(cè)評(píng)業(yè)務(wù)區(qū)。按照上述原則對(duì)供水企業(yè)信息集成系統(tǒng)服務(wù)器做物理劃分如圖1所示。不同等級(jí)的系統(tǒng)服務(wù)器針對(duì)不同級(jí)別的信息安全區(qū)進(jìn)行設(shè)置。等級(jí)為一、二、三的業(yè)務(wù)區(qū)分別安裝著對(duì)應(yīng)的服務(wù)器，而公共業(yè)務(wù)區(qū)域的服務(wù)器主要是DNS服務(wù)器或者是域服務(wù)器。公共業(yè)務(wù)區(qū)服務(wù)器主要為基礎(chǔ)服務(wù)提供非業(yè)務(wù)系統(tǒng)服務(wù)，不需要進(jìn)行保護(hù)分級(jí)。測(cè)評(píng)業(yè)務(wù)區(qū)提供是投入正式使用前的測(cè)試服務(wù)器。

依據(jù)表1的測(cè)評(píng)結(jié)果，將安全區(qū)域進(jìn)行細(xì)化表2所示的就是企業(yè)管理信息區(qū)，其主要業(yè)務(wù)系統(tǒng)對(duì)安全區(qū)域存放問(wèn)題的展示。根據(jù)表2得到的結(jié)果，可以將信息安全設(shè)備存放在不同信息區(qū)域邊界內(nèi)，以此達(dá)到服務(wù)器分級(jí)防護(hù)目的。信息安全設(shè)備設(shè)置在信息安全區(qū)域邊界，也就是局域網(wǎng)與信息安全區(qū)域之間的連接部。信息安全設(shè)備主要是防火墻、查殺病毒、攻擊防護(hù)、服務(wù)防護(hù)禁止、授權(quán)等。對(duì)于不同區(qū)域邊界的信息安全的部署建議，供水企業(yè)要遵照各自的實(shí)際情況做周密的設(shè)置。供水企業(yè)管理信息安全區(qū)域邊界防護(hù)表見(jiàn)表3。將信息安全防護(hù)設(shè)備部署在所在的區(qū)域邊界內(nèi)，如此可以初步實(shí)現(xiàn)對(duì)供水企業(yè)管理信息區(qū)的信息安全防護(hù)。

4結(jié)束語(yǔ)

隨著大數(shù)據(jù)的發(fā)展，對(duì)供水企業(yè)信息集成系統(tǒng)在數(shù)據(jù)的交互和應(yīng)用方面會(huì)提出更高的要求，也大大加強(qiáng)了安全防護(hù)措施的重要性和迫切性。在安全防護(hù)措施基本到位的前提下，還需要加強(qiáng)信息審計(jì)，及時(shí)發(fā)現(xiàn)和補(bǔ)救系統(tǒng)缺陷，加強(qiáng)數(shù)據(jù)庫(kù)安全防護(hù)，維護(hù)管理系統(tǒng)的隱患。

參考文獻(xiàn)：

篇7

近年來(lái)，事關(guān)食品藥品安全問(wèn)題，無(wú)論是“蘇丹紅”風(fēng)聲鶴唳，還是“強(qiáng)生”膽戰(zhàn)心驚，以及Pvc保鮮膜含致癌物質(zhì)，總是國(guó)外相關(guān)機(jī)構(gòu)發(fā)出警告信息后，國(guó)內(nèi)的監(jiān)管部門(mén)才行動(dòng)起來(lái)。一連串的事件讓人產(chǎn)生疑問(wèn)，我們的食品藥品安全信息為何總當(dāng)國(guó)外的“跟屁蟲(chóng)”。

究其成因，食品安全信息交流制度的空缺，使國(guó)內(nèi)信息安全調(diào)查總是慢半拍。在國(guó)外，要求收集信息必須準(zhǔn)確，并要在研究單位、政府機(jī)構(gòu)、糧食生產(chǎn)與食品加工企業(yè)及消費(fèi)者之間進(jìn)行有效交流，以便增加透明度，努力保證食品安全。同時(shí)，收集其他國(guó)家的食品安全信息并開(kāi)展交流。譬如，日本建立了及時(shí)有效的從國(guó)際組織及海外各國(guó)收集信息的機(jī)制。而在國(guó)內(nèi)，不僅內(nèi)部食品信息交流網(wǎng)絡(luò)尚未架構(gòu)起來(lái)，而且與國(guó)外信息交流更是少得可憐。

信息披露環(huán)節(jié)過(guò)多，也使得信息很難做到及時(shí)、公開(kāi)。從國(guó)外來(lái)講，一些食品藥品監(jiān)督管理部門(mén)可以在收集到可靠信息后立即相關(guān)警告或指令。而在國(guó)內(nèi)，都必須上報(bào)上級(jí)主管衛(wèi)生部門(mén)，然后再通過(guò)上級(jí)部門(mén)結(jié)合實(shí)際情況，進(jìn)行嚴(yán)格審批，在最大程度地保證消費(fèi)者利益和國(guó)內(nèi)市場(chǎng)各方面均衡發(fā)展的基礎(chǔ)上，衛(wèi)生部才相關(guān)的產(chǎn)品安全警告或提醒。如此眾多環(huán)節(jié)，讓我們不難理解，為何安全警告總是姍姍來(lái)遲。

檢測(cè)標(biāo)準(zhǔn)嚴(yán)重滯后，更讓洋品牌常常在出現(xiàn)安全問(wèn)題后，總是表現(xiàn)得傲慢無(wú)禮。在很多情況下，國(guó)家質(zhì)檢部門(mén)不是不想向公眾及時(shí)發(fā)出安全信息，而是心有余而力不足。比如說(shuō)，我國(guó)1996年出臺(tái)《食品添加劑使用衛(wèi)生標(biāo)準(zhǔn)》，其中規(guī)定禁止將“蘇丹紅一號(hào)”作為食品添加劑用于食品生產(chǎn)。但10年后發(fā)生蘇丹紅事件后，國(guó)家仍還沒(méi)有出臺(tái)統(tǒng)一的有關(guān)“蘇丹紅一號(hào)”的檢測(cè)方法和標(biāo)準(zhǔn)。再以麥樂(lè)雞所含的化學(xué)物質(zhì)為例，由于目前對(duì)這種物質(zhì)沒(méi)有國(guó)家統(tǒng)一易行的檢測(cè)標(biāo)準(zhǔn)和手段，只能任其自說(shuō)自話(huà)，信口雌黃。

說(shuō)到底，食品安全信息的準(zhǔn)確及時(shí)，考驗(yàn)著一個(gè)政府的公共管理水平和智慧。安全信息警告為何總是先國(guó)外后國(guó)內(nèi)?這無(wú)疑給我們提了個(gè)醒：信息交流機(jī)制如何架構(gòu)?信息披露機(jī)制如何做到暢通無(wú)阻?國(guó)內(nèi)安全檢測(cè)標(biāo)準(zhǔn)的缺失如何盡早彌補(bǔ)?類(lèi)似問(wèn)號(hào)都應(yīng)當(dāng)引起我們的高度重視，盡早拉平拉直。

篇8

中圖分類(lèi)號(hào)：TP39文獻(xiàn)標(biāo)志碼：A

1引言

工業(yè)控制系統(tǒng)（IndustrialControlSystems，ICS）是由各種自動(dòng)化控制組件以及對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測(cè)的過(guò)程控制組件，共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行、過(guò)程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)[1]?，F(xiàn)代的ICS網(wǎng)絡(luò)，越來(lái)越依靠于商業(yè)IT和Internet領(lǐng)域的操作系統(tǒng)、開(kāi)放協(xié)議和通信技術(shù)，這些技術(shù)已被證明存在著脆弱性。通過(guò)將ICS連接到互聯(lián)網(wǎng)或其他公共網(wǎng)絡(luò)，ICS脆弱性就暴露給潛在的攻擊者[2]。

為了提高工業(yè)控制系統(tǒng)的安全性，現(xiàn)在一般從兩方面考慮：一方面是提高工業(yè)控制系統(tǒng)的自身安全性，從設(shè)計(jì)階段就開(kāi)始安全性架構(gòu)，并落實(shí)在工控系統(tǒng)的研發(fā)、部署、運(yùn)行的各個(gè)階段；另一方面是通過(guò)附加信息安全保障手段（如在系統(tǒng)中部署信息安全專(zhuān)用產(chǎn)品）在一定程度上彌補(bǔ)系統(tǒng)本身的安全漏洞。由于工業(yè)控制系統(tǒng)對(duì)高穩(wěn)定性和高可用性的要求，通過(guò)附加信息安全保障的方式來(lái)提升工控安全性是目前最容易實(shí)現(xiàn)和被接受的方式。

工業(yè)控制系統(tǒng)本質(zhì)上是一類(lèi)信息系統(tǒng)，因此工控系統(tǒng)的安全性問(wèn)題是信息系統(tǒng)安全性與工業(yè)控制系統(tǒng)的特點(diǎn)相結(jié)合產(chǎn)生的。美國(guó)國(guó)家安全局（NationalSecurityAgency，NSA）針對(duì)信息系統(tǒng)的安全保障陸續(xù)制定了多個(gè)版本的信息保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）[3]，成為信息安全保障的權(quán)威架構(gòu)。IATF把信息安全保障分為四個(gè)環(huán)節(jié)：防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）和恢復(fù)（Recovery）。首先采取各種措施對(duì)需要保護(hù)的對(duì)象進(jìn)行安全防護(hù)，然后利用相應(yīng)的檢測(cè)手段對(duì)安全保護(hù)對(duì)象進(jìn)行安全跟蹤和檢測(cè)以隨時(shí)了解其安全狀態(tài)。如果發(fā)現(xiàn)安全保護(hù)對(duì)象的安全狀態(tài)發(fā)生改變，特別是由安全變?yōu)椴话踩?，則馬上采取應(yīng)急措施對(duì)其進(jìn)行響應(yīng)處理，直至恢復(fù)安全保護(hù)對(duì)象的安全狀態(tài)。這四個(gè)部分相輔相成，缺一不可，構(gòu)成了公認(rèn)的PDRR模型，如圖1所示。

從PDDR模型的“檢測(cè)”環(huán)節(jié)入手，對(duì)工業(yè)控制系統(tǒng)的信息安全產(chǎn)品進(jìn)行測(cè)試與評(píng)估，建立工控信息安全產(chǎn)品測(cè)試評(píng)價(jià)體系，為工業(yè)控制系統(tǒng)信息安全測(cè)評(píng)提供專(zhuān)業(yè)化的理論支撐和實(shí)踐引領(lǐng)，一方面有效幫助供應(yīng)商大力提升其產(chǎn)品和系統(tǒng)的安全保障能力，另一方面為用戶(hù)選購(gòu)工控系統(tǒng)信息安全產(chǎn)品，提高工控系統(tǒng)安全性提供支持。通過(guò)對(duì)安全測(cè)評(píng)結(jié)果的綜合分析，為相關(guān)主管部門(mén)提供真實(shí)、全面的安全態(tài)勢(shì)分析報(bào)告，促進(jìn)工業(yè)控制領(lǐng)域信息安全保障工作的開(kāi)展。

2工業(yè)控制系統(tǒng)的信息安全要求

工業(yè)控制系統(tǒng)有許多區(qū)別于傳統(tǒng)信息系統(tǒng)的特點(diǎn)，包括不同的風(fēng)險(xiǎn)和優(yōu)先級(jí)別。其中包括對(duì)人類(lèi)健康和生命安全的重大風(fēng)險(xiǎn)，對(duì)環(huán)境的嚴(yán)重破壞，以及金融問(wèn)題如生產(chǎn)損失和對(duì)國(guó)家經(jīng)濟(jì)的負(fù)面影響。工業(yè)控制系統(tǒng)有不同的性能和可靠性要求，其使用的操作系統(tǒng)和應(yīng)用程序?qū)Φ湫偷腎T支持人員而言可能被認(rèn)為是不方便的。此外，安全和效率的目標(biāo)有時(shí)會(huì)與控制系統(tǒng)的設(shè)計(jì)和操作的安全性發(fā)生沖突（如，需要密碼驗(yàn)證和授權(quán)不應(yīng)妨礙或干擾ICS的緊急行動(dòng)）。

美國(guó)NIST的《工業(yè)控制系統(tǒng)信息安全指南》[4]對(duì)ICS與IT的差異進(jìn)行了全面的總結(jié)，這些顯著差異的存在導(dǎo)致工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)在通信、主機(jī)應(yīng)用、外聯(lián)訪問(wèn)等方面采取了不同的策略。

傳統(tǒng)信息系統(tǒng)的信息安全通常都將保密性放在首位、完整性放在第二位、可用性則放在最后。工控系統(tǒng)安全目標(biāo)優(yōu)先級(jí)順序則恰好相反。其首要考慮的是所有系統(tǒng)部件的可用性、完整性則在第二位、保密性通常都在最后考慮，這些需求體現(xiàn)如下：

（1）工控系統(tǒng)的可用性則直接影響到企業(yè)生產(chǎn)，生產(chǎn)線(xiàn)停機(jī)或者誤動(dòng)都可能導(dǎo)致巨大經(jīng)濟(jì)損失，甚至是人員生命危險(xiǎn)和社會(huì)安全破壞。

（2）工控系統(tǒng)的實(shí)時(shí)性要求很高，系統(tǒng)要求響應(yīng)時(shí)間大多在毫秒級(jí)或更快等級(jí)，而通用管理系統(tǒng)能夠接受秒級(jí)或更慢的等級(jí)。

（3）工控系統(tǒng)對(duì)持續(xù)穩(wěn)定可靠運(yùn)行指標(biāo)要求很高，信息安全必須具備保證持續(xù)的可操作性及穩(wěn)定的系統(tǒng)訪問(wèn)、系統(tǒng)性能以及全生命周期安全支持。

3工控信息安全產(chǎn)品

由于工控系統(tǒng)的自身特點(diǎn)以及對(duì)可用性的高度要求，適用于工業(yè)控制系統(tǒng)的信息安全產(chǎn)品也需要著重考慮工控系統(tǒng)的特點(diǎn)。目前使用相對(duì)比較廣泛的工控信息安全產(chǎn)品主要包括工控防火墻、工控安全審計(jì)、工控隔離、工控主機(jī)防護(hù)等類(lèi)型。

3.1工控防火墻

工控防火墻根據(jù)防護(hù)的需要，在工控系統(tǒng)中部署的位置存在多種情況，通常用于各層級(jí)之間、各區(qū)域之間的訪問(wèn)控制，也可能部署在單個(gè)或一組控制器前方提供保護(hù)。工控防火墻采用單機(jī)架構(gòu)，主要對(duì)基于TCP/IP工業(yè)控制協(xié)議進(jìn)行防護(hù)。通過(guò)鏈路層、網(wǎng)絡(luò)層、傳輸層及應(yīng)用層的過(guò)濾規(guī)則分別實(shí)現(xiàn)對(duì)MAC地址、IP地址、傳輸協(xié)議（TCP、UDP）和端口，以及工控協(xié)議的控制命令和參數(shù)的訪問(wèn)控制。

工控防火墻從形態(tài)來(lái)說(shuō)主要分兩種，一類(lèi)是在傳統(tǒng)IT防火墻的基礎(chǔ)上增加工控防護(hù)功能模塊，對(duì)工控協(xié)議做深度檢查及過(guò)濾。還有一類(lèi)工控防火墻是參考多芬諾工業(yè)防火墻的模式來(lái)實(shí)現(xiàn)的。

3.2工控安全審計(jì)

工控安全審計(jì)產(chǎn)品通過(guò)鏡像接口分析網(wǎng)絡(luò)流量，或者通過(guò)及設(shè)備的通用接口進(jìn)行探測(cè)等方式工作，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量或設(shè)備的異常情況并告警，通常不會(huì)主動(dòng)去阻斷通信。

這類(lèi)產(chǎn)品自身的故障不會(huì)直接影響工控系統(tǒng)的正常運(yùn)行，也更容易讓用戶(hù)接受。

3.3工控隔離

工控隔離產(chǎn)品主要部署在工控系統(tǒng)中控制網(wǎng)與管理網(wǎng)之間。包括協(xié)議隔離產(chǎn)品，采用雙機(jī)架構(gòu)，兩機(jī)之間不使用傳統(tǒng)的TCP/IP進(jìn)行通信，而是對(duì)協(xié)議進(jìn)行剝離，僅將原始數(shù)據(jù)以私有協(xié)議（非TCP/IP）格式進(jìn)行傳輸。其次還有網(wǎng)閘，除了進(jìn)行協(xié)議剝離，兩機(jī)中間還有一個(gè)擺渡模塊，使得內(nèi)外網(wǎng)之間在同一時(shí)間是不聯(lián)通的，比較典型的是OPC網(wǎng)閘，主要還是傳輸監(jiān)測(cè)數(shù)據(jù)，傳輸控制命令的網(wǎng)閘還相當(dāng)少。另外還有單向?qū)朐O(shè)備，主要采用單向光纖、VGA視頻信號(hào)等方式從物理上保證傳輸?shù)膯蜗蛐?，其缺點(diǎn)是不能保證傳輸數(shù)據(jù)的完整性，但對(duì)于將控制網(wǎng)中的監(jiān)測(cè)數(shù)據(jù)傳輸?shù)狡髽I(yè)辦公網(wǎng)還是可行的。

總體來(lái)說(shuō)，由于隔離類(lèi)產(chǎn)品采用雙機(jī)架構(gòu)，中間私有協(xié)議通信，即使外端機(jī)被攻擊者控制，也無(wú)法侵入內(nèi)端機(jī)，其安全性要高于防火墻設(shè)備。

3.4工控主機(jī)安全防護(hù)

工控系統(tǒng)中會(huì)部署一定數(shù)量的主機(jī)設(shè)備，如工程師站、操作員站等。這些設(shè)備往往是工控系統(tǒng)的風(fēng)險(xiǎn)點(diǎn)，病毒的入侵、人為的誤操作等威脅主要都是通過(guò)主機(jī)設(shè)備進(jìn)入工控系統(tǒng)。因此，這些主機(jī)有必要進(jìn)行一定的防護(hù)。

目前主要有兩種針對(duì)主機(jī)設(shè)備的防護(hù)產(chǎn)品：一種為鎧甲式防護(hù)產(chǎn)品，通過(guò)接管主機(jī)設(shè)備的鼠標(biāo)/鍵盤(pán)輸入、USB等外圍接口來(lái)保證主機(jī)的安全；另一種就是白名單產(chǎn)品，通過(guò)在主機(jī)上安裝程序，限制只有可信的程序、進(jìn)程才允許運(yùn)行，防止惡意程序的侵入。

4工控信息安全產(chǎn)品測(cè)試評(píng)價(jià)體系

工控信息安全產(chǎn)品測(cè)試評(píng)價(jià)體系涵蓋測(cè)試環(huán)境、測(cè)評(píng)技術(shù)和評(píng)價(jià)服務(wù)三部分。測(cè)試環(huán)境主要由適用于工業(yè)控制系統(tǒng)信息安全產(chǎn)品的測(cè)試平臺(tái)組成，測(cè)評(píng)技術(shù)主要涉及測(cè)試工具、測(cè)試方法、基礎(chǔ)庫(kù)和相關(guān)的標(biāo)準(zhǔn)及規(guī)范，評(píng)價(jià)服務(wù)提供工業(yè)控制系統(tǒng)的安全測(cè)評(píng)服務(wù)的能力。

4.1總體架構(gòu)

以工業(yè)控制系統(tǒng)相關(guān)的新一代信息技術(shù)為對(duì)象，從研究工控信息安全產(chǎn)品的安全功能要求、自身安全要求和性能要求出發(fā)，結(jié)合信息系統(tǒng)的威脅分析、系統(tǒng)脆弱性檢測(cè)和風(fēng)險(xiǎn)評(píng)價(jià)的方法和技術(shù)，建立了工控信息安全產(chǎn)品測(cè)試評(píng)價(jià)體系，總體架構(gòu)如圖2所示。

其中，測(cè)試環(huán)境體系包括基礎(chǔ)環(huán)境和實(shí)驗(yàn)環(huán)境，測(cè)評(píng)技術(shù)體系包括測(cè)試方法、測(cè)試工具、基礎(chǔ)庫(kù)和關(guān)鍵標(biāo)準(zhǔn)，評(píng)價(jià)服務(wù)體系包括服務(wù)流程和組織管理。

4.2測(cè)試環(huán)境

根據(jù)測(cè)評(píng)機(jī)構(gòu)質(zhì)量體系建設(shè)等相關(guān)要求，通過(guò)對(duì)現(xiàn)有資源進(jìn)行整合、改進(jìn)和升級(jí)，形成實(shí)驗(yàn)室必要的物理基礎(chǔ)設(shè)施，主要包括機(jī)房建設(shè)、硬件設(shè)備和軟件購(gòu)置，從而為工控信息安全產(chǎn)品測(cè)試評(píng)價(jià)提供基礎(chǔ)條件。

測(cè)試環(huán)境主要包括以下兩部分：

（1）基礎(chǔ)環(huán)境：進(jìn)行實(shí)驗(yàn)室機(jī)房裝修和改造，作為測(cè)試評(píng)價(jià)體系的實(shí)施基礎(chǔ)。

（2）實(shí)驗(yàn)環(huán)境：實(shí)驗(yàn)室基礎(chǔ)網(wǎng)絡(luò)和測(cè)試儀表。

4.2.1基礎(chǔ)環(huán)境

基礎(chǔ)環(huán)境主要通過(guò)對(duì)現(xiàn)有資源的整合、升級(jí)，著力建設(shè)測(cè)評(píng)環(huán)境所急需的物理基礎(chǔ)設(shè)施，包括機(jī)房改建和擴(kuò)建、硬件設(shè)備和軟件購(gòu)置、測(cè)評(píng)實(shí)驗(yàn)環(huán)境建立等內(nèi)容，最終形成工控專(zhuān)用安全產(chǎn)品測(cè)試所需的必要基礎(chǔ)條件。

基礎(chǔ)環(huán)境包括4個(gè)測(cè)試（性能測(cè)試環(huán)境、攻擊測(cè)試環(huán)境、功能測(cè)試環(huán)境和協(xié)議測(cè)試環(huán)境）隔斷環(huán)境、1個(gè)演示環(huán)境和1個(gè)測(cè)試機(jī)房組成。

4.2.2實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)室環(huán)境主要是針對(duì)工業(yè)控制系統(tǒng)信息安全產(chǎn)品的檢測(cè)需要，搭建典型的工業(yè)控制環(huán)境，包括測(cè)試平臺(tái)和演示環(huán)境兩部分。其中測(cè)試平臺(tái)又包括功能測(cè)試平臺(tái)、協(xié)議測(cè)試平臺(tái)、攻擊平臺(tái)和性能測(cè)試平臺(tái)四個(gè)系統(tǒng)。

4.2.2.1測(cè)試平臺(tái)

測(cè)試平臺(tái)包括功能測(cè)試平臺(tái)、協(xié)議測(cè)試平臺(tái)、攻擊平臺(tái)和性能測(cè)試平臺(tái)四個(gè)方面。由于每個(gè)測(cè)試平臺(tái)的測(cè)試重點(diǎn)和測(cè)試環(huán)境的要求各不相同，所以四個(gè)平臺(tái)分別獨(dú)立部署。

（1）功能測(cè)試平臺(tái)

功能測(cè)試平臺(tái)是一套典型的小規(guī)模工業(yè)控制系統(tǒng)，包含工業(yè)控制領(lǐng)域主流工業(yè)設(shè)備、工控協(xié)議交換設(shè)備、工業(yè)控制模擬軟件系統(tǒng)。功能測(cè)試平臺(tái)的工業(yè)設(shè)備包含行業(yè)主流，并支持工業(yè)控制主要協(xié)議的設(shè)備（包括西門(mén)子、施耐德、和利時(shí)及信捷等）的一至兩種型號(hào)，能夠?qū)崿F(xiàn)常用的工業(yè)控制功能及數(shù)據(jù)監(jiān)測(cè)功能，具備支持多種常見(jiàn)的工業(yè)控制協(xié)議（支持ModBusTCP、DNP3.0、OPC、Profinet/Profibus、IEC61850、IEC104等）的能力。

（2）協(xié)議測(cè)試平臺(tái)

工控信息安全產(chǎn)品包括工控防火墻、工控隔離、工控審計(jì)、工控主機(jī)防護(hù)等。無(wú)論該設(shè)備在實(shí)際部署時(shí)串接接入，還是旁路接入工控網(wǎng)絡(luò)，則該設(shè)備都需要進(jìn)行協(xié)議測(cè)試，測(cè)試目地在于驗(yàn)證該設(shè)備是否能支持現(xiàn)有常用的工業(yè)控制協(xié)議。

（3）攻擊測(cè)試平臺(tái)

攻擊測(cè)試平臺(tái)主要針對(duì)常用的工控信息安全產(chǎn)品，用以驗(yàn)證安全產(chǎn)品是否能夠抵御來(lái)自網(wǎng)絡(luò)，壓力，碎片等攻擊。對(duì)于旁路接入的工控信息安全設(shè)備，測(cè)試目的在于驗(yàn)證系統(tǒng)能否能記錄攻擊行為（工控審計(jì)類(lèi)產(chǎn)品）；對(duì)于串行接入的工控信息安全設(shè)備，測(cè)試目的在于驗(yàn)證系統(tǒng)能否能抵御并攔截攻擊行為（工控防火墻類(lèi)產(chǎn)品）。

（4）性能測(cè)試平臺(tái)

如果工控信息安全產(chǎn)品為串接部署則需要進(jìn)行性能測(cè)試，用以驗(yàn)證該設(shè)備的引入是否會(huì)對(duì)現(xiàn)有的工業(yè)網(wǎng)絡(luò)造成如通信延時(shí)增加、網(wǎng)絡(luò)帶寬降低等情況、安全設(shè)備的安全防護(hù)能力下降等影響。

4.2.2.2演示環(huán)境

演示環(huán)境是工控系統(tǒng)運(yùn)行的展示，以簡(jiǎn)單明了的形式來(lái)表征工控系統(tǒng)運(yùn)行的狀態(tài)，包括正常運(yùn)行和承受攻擊時(shí)的運(yùn)行狀態(tài)。不同的工業(yè)控制產(chǎn)品自身的漏洞是各不相同的，所以為了直觀的演示不同的攻擊對(duì)不同的工業(yè)控制設(shè)備造成的影響，我們需要在工業(yè)控制協(xié)議及工業(yè)控制廠商進(jìn)行盡量的覆蓋。

演示環(huán)境包含高仿真沙盤(pán)模型和可視化工控系統(tǒng)拓?fù)浣Y(jié)構(gòu)展板。

沙盤(pán)由底座、臺(tái)面和臺(tái)面模型組成，沙盤(pán)內(nèi)部完成所有動(dòng)態(tài)的設(shè)計(jì)和線(xiàn)路的連接，臺(tái)面模型根據(jù)具體設(shè)計(jì)和布局陳列，體現(xiàn)完整的工藝流程，各模型單體形狀和比例與真實(shí)系統(tǒng)一致。沙盤(pán)涉及化工生產(chǎn)、污水處理、環(huán)境監(jiān)測(cè)、智能樓宇等多個(gè)應(yīng)用實(shí)景。

展板由展架和展板封面組成，展板上按層次集成工控設(shè)備、網(wǎng)絡(luò)設(shè)備，并由燈帶組成復(fù)雜的網(wǎng)絡(luò)路徑。實(shí)際演示過(guò)程中，將由不同色燈光表現(xiàn)正常網(wǎng)絡(luò)數(shù)據(jù)流和受攻擊后異常數(shù)據(jù)流。展板上各控制系統(tǒng)和交換機(jī)預(yù)留相應(yīng)接口，可方便接入典型的工業(yè)控制防護(hù)設(shè)備或?qū)Ｓ脺y(cè)試工具。

4.3測(cè)評(píng)技術(shù)

測(cè)評(píng)技術(shù)包括測(cè)試方法和測(cè)試工具的研究、改進(jìn)和應(yīng)用，基礎(chǔ)庫(kù)的建設(shè)以及相關(guān)標(biāo)準(zhǔn)的編制。

4.3.1測(cè)試方法

工控系統(tǒng)的安全性測(cè)試方法按照安全技術(shù)要求可以分為安全功能、安全保證、環(huán)境適應(yīng)性和性能要求四個(gè)大類(lèi)。根據(jù)各大類(lèi)對(duì)系統(tǒng)的要求，分別進(jìn)行測(cè)試方法的研究。

鑒于工控系統(tǒng)與傳統(tǒng)信息系統(tǒng)在安全性要求上的區(qū)別，工控系統(tǒng)的信息安全目標(biāo)通常都在最后考慮，因此工控系統(tǒng)的安全技術(shù)要求又有其特殊性。安全功能要求是對(duì)工控信息安全產(chǎn)品應(yīng)具備的安全功能提出的具體要求，工控信息產(chǎn)品安全功能的具體要求包括身份鑒別、訪問(wèn)控制、安全管理、不可旁路、抗攻擊、審計(jì)以及配置數(shù)據(jù)保護(hù)和運(yùn)行狀態(tài)監(jiān)測(cè)等；安全保證要求針對(duì)工控信息安全產(chǎn)品的開(kāi)發(fā)和使用文檔的內(nèi)容提出具體的要求，例如配置管理、交付和運(yùn)行、開(kāi)發(fā)過(guò)程、指導(dǎo)性文檔和生命周期支持等；環(huán)境適應(yīng)性要求是對(duì)工控信息安全產(chǎn)品的應(yīng)用環(huán)境提出具體的具體要求，例如IPv6環(huán)境適應(yīng)性，OPC環(huán)境適應(yīng)性等；性能要求則是對(duì)工控系統(tǒng)和工控產(chǎn)品應(yīng)達(dá)到的性能指標(biāo)做出的規(guī)定，例如去抖動(dòng)、交換速率和硬件切換時(shí)間等。此外，針對(duì)工控系統(tǒng)和設(shè)備的操作系統(tǒng)層面的漏洞進(jìn)行分析挖掘，形成攻擊測(cè)試集。

針對(duì)以上要去分別深入研究相關(guān)的測(cè)試方法，并應(yīng)用于實(shí)際的測(cè)試工作中。

4.3.2測(cè)試工具

為確保工業(yè)控制系統(tǒng)信息安全產(chǎn)品和系統(tǒng)測(cè)評(píng)服務(wù)的專(zhuān)業(yè)化，開(kāi)發(fā)了一批方便易用的測(cè)評(píng)工具和分析工具。其目的一是減少測(cè)評(píng)或評(píng)估人員的工作負(fù)擔(dān)，二是減少測(cè)評(píng)和評(píng)估人員因能力和經(jīng)驗(yàn)造成的測(cè)評(píng)或評(píng)估誤差，保證測(cè)評(píng)和評(píng)估服務(wù)結(jié)果的準(zhǔn)確性和科學(xué)性，提高專(zhuān)業(yè)化的服務(wù)能力。通過(guò)測(cè)試軟件來(lái)模擬正常和異常協(xié)議，可檢測(cè)工業(yè)控制系統(tǒng)信息安全產(chǎn)品的功能實(shí)現(xiàn)，以及對(duì)異常協(xié)議的抵御能力。

本體系配套了工控協(xié)議模擬測(cè)試軟件，集成Modbus、DNP、IEC104、IEC61850等工控協(xié)議，用于工控信息安全專(zhuān)用產(chǎn)品和工控設(shè)備的測(cè)試。該軟件的運(yùn)行方式是單機(jī)運(yùn)行，適用的操作系統(tǒng)為windowsNT，windowsxp，windows7x86平臺(tái)。該軟件主要分為四個(gè)模塊：ModBus模塊、DNP模塊、IEC61850MMS模塊和IEC104模塊。

4.3.3基礎(chǔ)庫(kù)

基礎(chǔ)庫(kù)主要包括知識(shí)庫(kù)、測(cè)評(píng)指標(biāo)庫(kù)、測(cè)評(píng)方法庫(kù)、測(cè)評(píng)用例庫(kù)和測(cè)評(píng)數(shù)據(jù)庫(kù)。

知識(shí)庫(kù)的主要內(nèi)容包括工業(yè)控制系統(tǒng)信息安全領(lǐng)域的基礎(chǔ)技術(shù)知識(shí)、測(cè)試案例、法律法規(guī)、安全事件/技術(shù)手段等的統(tǒng)一描述方法、國(guó)內(nèi)外安全事件、知識(shí)庫(kù)的管理和維護(hù)方法、智能化數(shù)據(jù)挖掘方法等。

指標(biāo)庫(kù)保證各個(gè)被測(cè)系統(tǒng)之間測(cè)評(píng)結(jié)果的一致性。通過(guò)為工業(yè)控制系統(tǒng)安全測(cè)評(píng)服務(wù)建立統(tǒng)一的測(cè)評(píng)指標(biāo)庫(kù)，保證測(cè)評(píng)結(jié)果的唯一性和公正性。指標(biāo)庫(kù)由功能指標(biāo)庫(kù)、性能指標(biāo)庫(kù)和安全性評(píng)價(jià)指標(biāo)庫(kù)等構(gòu)成，可根據(jù)需要對(duì)指標(biāo)庫(kù)進(jìn)行擴(kuò)展和維護(hù)。

測(cè)評(píng)方法庫(kù)用以在每種信息安全專(zhuān)業(yè)化服務(wù)的標(biāo)準(zhǔn)編制和測(cè)評(píng)方法研究的基礎(chǔ)上，明確具體的技術(shù)要求，從而提供有效的服務(wù)。

測(cè)評(píng)用例庫(kù)是在測(cè)評(píng)方法庫(kù)建設(shè)的基礎(chǔ)上，加強(qiáng)測(cè)試的復(fù)用，提高安全測(cè)試的效率。根據(jù)廠家提供的說(shuō)明書(shū)和測(cè)評(píng)人員的經(jīng)驗(yàn)，深入解析相關(guān)技術(shù)要求的內(nèi)涵，為每種具體服務(wù)建立測(cè)評(píng)用例庫(kù)。

本體系的基礎(chǔ)庫(kù)由兩部分構(gòu)成，第一部分包括了知識(shí)庫(kù)和漏洞庫(kù)，設(shè)計(jì)成門(mén)戶(hù)網(wǎng)站模式，直接對(duì)外開(kāi)放，其中收集了4000余條安全事件、3萬(wàn)余條安全漏洞以及相關(guān)的法規(guī)政策、技術(shù)知識(shí)、工具等；第二部分涵蓋了指標(biāo)庫(kù)、測(cè)評(píng)方法庫(kù)、測(cè)評(píng)用例庫(kù)、測(cè)評(píng)數(shù)據(jù)庫(kù)等，運(yùn)用于測(cè)評(píng)實(shí)戰(zhàn)，檢測(cè)人員可以在其中依據(jù)指標(biāo)、測(cè)評(píng)方法、測(cè)試用例對(duì)實(shí)際的產(chǎn)品或系統(tǒng)進(jìn)行測(cè)試記錄。

4.3.4關(guān)鍵標(biāo)準(zhǔn)

工控系統(tǒng)與互聯(lián)網(wǎng)信息系統(tǒng)采用傳統(tǒng)信息安全產(chǎn)品難以滿(mǎn)足相關(guān)要求，工控系統(tǒng)對(duì)持續(xù)穩(wěn)定可靠運(yùn)行指標(biāo)要求很高，信息安全必須具備保證持續(xù)的可操作性及穩(wěn)定的系統(tǒng)訪問(wèn)、系統(tǒng)性能以及全生命周期安全支持。因此，有必要為應(yīng)用于工控系統(tǒng)的關(guān)鍵信息安全產(chǎn)品，以及工控系統(tǒng)安全提出專(zhuān)門(mén)的標(biāo)準(zhǔn)，并研究相應(yīng)的測(cè)試技術(shù)與方法。

本體系在工控領(lǐng)域制定了信息安全產(chǎn)品標(biāo)準(zhǔn)體系，以規(guī)范和支撐產(chǎn)品測(cè)試。主要包括：

（1）《信息安全技術(shù)工業(yè)控制系統(tǒng)專(zhuān)用防火墻技術(shù)要求》；

（2）《信息安全技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求》；

（3）《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》；

（4）《信息安全技術(shù)工業(yè)控制系統(tǒng)安全管理平臺(tái)安全技術(shù)要求》；

（5）《信息安全技術(shù)工業(yè)控制系統(tǒng)入侵檢測(cè)產(chǎn)品安全技術(shù)要求》

（6）《信息安全技術(shù)工業(yè)控制系統(tǒng)邊界安全專(zhuān)用網(wǎng)關(guān)產(chǎn)品安全技術(shù)要求》；

（7）《信息安全技術(shù)工業(yè)控制系統(tǒng)軟件脆弱性?huà)呙璁a(chǎn)品安全技術(shù)要求》；

（8）《信息安全技術(shù)安全采集遠(yuǎn)程終端單元（RTU）安全技術(shù)要求》。

4.4評(píng)價(jià)服務(wù)

評(píng)價(jià)服務(wù)包括服務(wù)流程和組織管理。服務(wù)流程基于現(xiàn)有的服務(wù)流程，深入挖掘工業(yè)控制系統(tǒng)信息安全產(chǎn)品的特點(diǎn)，融入服務(wù)流程，提升服務(wù)質(zhì)量；組織管理主要規(guī)范服務(wù)的相關(guān)制度，充分合理利用各方面的資源，提高服務(wù)效率。

4.4.1服務(wù)流程

服務(wù)采購(gòu)單位提出自己的系統(tǒng)需求，測(cè)評(píng)機(jī)構(gòu)經(jīng)過(guò)溝通協(xié)調(diào)確定服務(wù)目標(biāo)，簽訂服務(wù)合同，成立測(cè)評(píng)項(xiàng)目組；項(xiàng)目組根據(jù)采購(gòu)單位提出的需求信息，分析需求是否充分；當(dāng)需求不夠充分時(shí)，需和服務(wù)采購(gòu)單位進(jìn)行溝通，補(bǔ)充需求并最終確認(rèn)；當(dāng)需求足夠充分時(shí)，依據(jù)相關(guān)標(biāo)準(zhǔn)進(jìn)行服務(wù)方案的總體設(shè)計(jì)，并由專(zhuān)家對(duì)方案進(jìn)行評(píng)審；通過(guò)初步方案評(píng)審后，由測(cè)評(píng)人員對(duì)服務(wù)方案進(jìn)行詳細(xì)設(shè)計(jì)，再交由專(zhuān)家對(duì)方案進(jìn)行評(píng)審，并提交方案；如方案需進(jìn)行修改，需重新設(shè)計(jì)或晚上詳細(xì)的服務(wù)方案，再由專(zhuān)家進(jìn)行方案評(píng)審，如此類(lèi)推；當(dāng)提交的服務(wù)方案不需要進(jìn)行修改時(shí)，形成安全的服務(wù)方案；一方面由專(zhuān)家對(duì)安全的服務(wù)方案進(jìn)行審批，并形成標(biāo)準(zhǔn)化管理；另一方面測(cè)評(píng)人員根據(jù)安全服務(wù)方案進(jìn)行測(cè)評(píng)工作，測(cè)評(píng)結(jié)束后，形成文檔，并歸檔。

4.4.2組織管理

為了保障整套服務(wù)流程的順利實(shí)施，本體系還建立信息安全產(chǎn)品及系統(tǒng)服務(wù)的組織架構(gòu)，如圖8所示。

通過(guò)成立領(lǐng)導(dǎo)辦公室、管理部、技術(shù)部和檢測(cè)部，分別從組織、管理和技術(shù)等方面對(duì)服務(wù)的流程進(jìn)行控制。管理部主要按照相關(guān)的管理規(guī)定負(fù)責(zé)服務(wù)申請(qǐng)的受理、產(chǎn)品測(cè)評(píng)流程的控制、檢驗(yàn)報(bào)告或測(cè)評(píng)報(bào)告的審核、客戶(hù)滿(mǎn)意度的回訪等；技術(shù)部主要負(fù)責(zé)測(cè)評(píng)相關(guān)技術(shù)研究工作；檢測(cè)部負(fù)責(zé)具體檢測(cè)工作的實(shí)施，根據(jù)檢測(cè)數(shù)據(jù)整理出具檢驗(yàn)報(bào)告或測(cè)評(píng)報(bào)告初稿。

篇9

二、私權(quán)視角下網(wǎng)絡(luò)服務(wù)提供者注意義務(wù)的局限性

(一)侵權(quán)法領(lǐng)域網(wǎng)絡(luò)服務(wù)提供者承擔(dān)注意義務(wù)的規(guī)則

互聯(lián)網(wǎng)技術(shù)發(fā)達(dá)的美國(guó)和歐洲較早地注意到了網(wǎng)絡(luò)服務(wù)提供者在維護(hù)個(gè)人權(quán)益安全方面的作用。因而通過(guò)國(guó)內(nèi)或地區(qū)立法針對(duì)不直接提供網(wǎng)絡(luò)內(nèi)容的服務(wù)者在某些情形下承擔(dān)侵權(quán)責(zé)任做出規(guī)定。以美國(guó)為例，其在《數(shù)字千年版權(quán)法案》中即以避風(fēng)港規(guī)則和紅旗規(guī)則為非網(wǎng)絡(luò)內(nèi)容服務(wù)提供者對(duì)版權(quán)領(lǐng)域內(nèi)出現(xiàn)的某些侵權(quán)行為設(shè)定了一定的注意義務(wù)。依據(jù)避風(fēng)港規(guī)則，自身不提供內(nèi)容的網(wǎng)絡(luò)服務(wù)提供者根據(jù)權(quán)利人提出的符合法律規(guī)定的通知及時(shí)地處理了涉嫌侵權(quán)的信息，便能夠享受免于承擔(dān)侵權(quán)責(zé)任的資格。②紅旗規(guī)則是避風(fēng)港規(guī)則的一項(xiàng)例外適用，其含義是如果侵犯信息網(wǎng)絡(luò)傳播權(quán)的事實(shí)是如此的明顯，如同紅旗一樣飄揚(yáng)，那么網(wǎng)絡(luò)服務(wù)提供者即不能以避風(fēng)港規(guī)則推卸責(zé)任，在此情況下，即使權(quán)利人沒(méi)有發(fā)出請(qǐng)求刪除、屏蔽的通知，網(wǎng)絡(luò)服務(wù)提供者也應(yīng)當(dāng)對(duì)此承擔(dān)侵權(quán)責(zé)任。立法者意圖通過(guò)這兩項(xiàng)規(guī)則的適用達(dá)到既能不為網(wǎng)絡(luò)服務(wù)提供者設(shè)置過(guò)重的負(fù)擔(dān)，妨礙其行業(yè)發(fā)展，又能保護(hù)相關(guān)權(quán)利人版權(quán)利益的目的，初衷不可謂不深遠(yuǎn)。我國(guó)的《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》、《侵權(quán)責(zé)任法》相繼吸收了美國(guó)法中的這兩項(xiàng)規(guī)則。③但在適用上做出了三點(diǎn)不同的變通，這表現(xiàn)在《侵權(quán)責(zé)任法》第36條第2款的制度設(shè)計(jì)上:其一，網(wǎng)絡(luò)服務(wù)提供者的類(lèi)型由非網(wǎng)絡(luò)內(nèi)容服務(wù)提供者擴(kuò)大至其他類(lèi)型的軟件服務(wù)提供者;其二，侵犯的權(quán)益由信息傳播權(quán)擴(kuò)大至所有可能被通過(guò)網(wǎng)絡(luò)侵犯的民事財(cái)產(chǎn)權(quán)及人身權(quán);其三，改變了美國(guó)法中以網(wǎng)絡(luò)服務(wù)提供者不承擔(dān)審查義務(wù)為主要原則，僅在有限的情況下就其未盡到注意義務(wù)需承擔(dān)侵權(quán)責(zé)任為輔的立法初衷，而是代之以網(wǎng)絡(luò)服務(wù)提供者承擔(dān)與實(shí)際侵權(quán)人同等程度的網(wǎng)絡(luò)侵權(quán)責(zé)任作為一般原則，將原避風(fēng)港規(guī)則中的通知和刪除程序作為衡量網(wǎng)絡(luò)服務(wù)提供者是否承擔(dān)侵權(quán)責(zé)任的決定性標(biāo)準(zhǔn)。美國(guó)法中的避風(fēng)港規(guī)則與紅旗規(guī)則在引入我國(guó)《侵權(quán)責(zé)任法》時(shí)發(fā)生的上述變化，表明網(wǎng)絡(luò)服務(wù)提供者需要對(duì)他人的網(wǎng)絡(luò)侵權(quán)行為承擔(dān)更為嚴(yán)格的侵權(quán)責(zé)任。這種以救濟(jì)受害人為主要目的的侵權(quán)歸責(zé)模式，源于當(dāng)時(shí)出現(xiàn)的許多人肉搜索、網(wǎng)絡(luò)謠言等侵權(quán)事件這一社會(huì)背景。立法者在做出這種制度設(shè)計(jì)時(shí)，更多的是基于一種政策考量，而不是從網(wǎng)絡(luò)服務(wù)提供者本身的地位出發(fā)，規(guī)定與其能力相適應(yīng)的義務(wù)和責(zé)任。這種出發(fā)點(diǎn)決定了第36條在適用的過(guò)程中并無(wú)法解決諸多實(shí)際問(wèn)題。首先，網(wǎng)絡(luò)侵權(quán)行為所侵犯的權(quán)利類(lèi)型越來(lái)越多，不僅包括知識(shí)產(chǎn)權(quán)，還包括名譽(yù)權(quán)、隱私權(quán)等人格權(quán)。對(duì)于某網(wǎng)絡(luò)用戶(hù)是否侵犯了他人的權(quán)利，這其中涉及價(jià)值判斷，該問(wèn)題在司法實(shí)踐中一般是由法院作出裁決。從根本上講，網(wǎng)絡(luò)服務(wù)提供者并無(wú)資格僅僅根據(jù)權(quán)利人的權(quán)利通知即采取刪除、屏蔽等消除侵權(quán)信息的措施。如果無(wú)視這種資格缺陷，在知識(shí)產(chǎn)權(quán)領(lǐng)域賦予網(wǎng)絡(luò)服務(wù)提供者以審查權(quán)限，那么鑒于此類(lèi)權(quán)利的識(shí)別性較為容易，這尚且處于其能力范圍之內(nèi)，但在權(quán)利類(lèi)型擴(kuò)張到人格權(quán)的情形下，權(quán)利沖突已經(jīng)變得極為復(fù)雜，網(wǎng)絡(luò)服務(wù)提供者對(duì)此已經(jīng)失去了甄別的能力。這也從側(cè)面說(shuō)明了為何美國(guó)的避風(fēng)港規(guī)則和紅旗規(guī)則僅適用于版權(quán)法領(lǐng)域，而沒(méi)有擴(kuò)及其他侵權(quán)情形。其次，WEB2.0技術(shù)的應(yīng)用和普及，出現(xiàn)了博客、微博、微信等網(wǎng)絡(luò)交流平臺(tái)。原來(lái)由網(wǎng)絡(luò)服務(wù)提供者集中控制主導(dǎo)的信息和傳播體系，逐漸轉(zhuǎn)變成了由廣大用戶(hù)集體智能和力量主導(dǎo)的體系。此外，隨著用戶(hù)數(shù)量的激增，信息的產(chǎn)生和傳播呈現(xiàn)出海量化和碎片化的特征。網(wǎng)絡(luò)服務(wù)提供者在這種信息流動(dòng)模式下，難以行使針對(duì)具體個(gè)人權(quán)利的信息審查義務(wù)。前述兩項(xiàng)客觀制約因素決定了侵權(quán)法對(duì)網(wǎng)絡(luò)服務(wù)提供者義務(wù)和責(zé)任的規(guī)定已超出了其能力范圍之外，這種規(guī)則本身的運(yùn)行并無(wú)法起到保護(hù)受害人權(quán)益，凈化網(wǎng)絡(luò)的初衷。

(二)從私權(quán)角度審視網(wǎng)絡(luò)服務(wù)提供者義務(wù)的局限性

無(wú)論是美國(guó)法中網(wǎng)絡(luò)服務(wù)提供者承擔(dān)寬松的注意義務(wù)規(guī)則，或是我國(guó)侵權(quán)法中以嚴(yán)格救濟(jì)受害人為主的制度設(shè)計(jì)，兩者均是站在維護(hù)私權(quán)的角度對(duì)網(wǎng)絡(luò)服務(wù)提供者應(yīng)盡之安全保障義務(wù)做出規(guī)定。嚴(yán)格講來(lái)，任何安全維系規(guī)則的終極目標(biāo)都是為了保護(hù)民事主體的私人權(quán)益不被侵犯，這是理所應(yīng)當(dāng)且毫無(wú)疑問(wèn)的。然而問(wèn)題的關(guān)鍵在于實(shí)踐中威脅民事主體權(quán)益的不安全因素有諸多表現(xiàn)形式，并非每一項(xiàng)都表現(xiàn)為直接侵權(quán)，換言之，傳統(tǒng)的侵權(quán)歸責(zé)模式并不適用于所有的安全威脅情形，民事主體個(gè)人權(quán)益的最終保護(hù)并不能都通過(guò)主動(dòng)提起侵權(quán)訴訟來(lái)獲得解決。這在當(dāng)下層出不窮的網(wǎng)絡(luò)安全頻發(fā)的各色事件中表現(xiàn)的尤為明顯。如2011年騰訊公司與奇虎360公司發(fā)生不兼容大戰(zhàn)，騰訊迫使6000多萬(wàn)用戶(hù)卸載了360安全軟件。該事件本身雖是兩類(lèi)網(wǎng)絡(luò)服務(wù)提供者因不正當(dāng)競(jìng)爭(zhēng)而起，表面上看，并沒(méi)有直接侵犯網(wǎng)絡(luò)用戶(hù)的實(shí)際權(quán)益，但實(shí)際上騰訊公司迫使所有使用QQ的用戶(hù)卸載360殺毒軟件的行為正是無(wú)視這些用戶(hù)的網(wǎng)絡(luò)安全選擇，間接地置其人身和財(cái)產(chǎn)安全處于危險(xiǎn)境地。當(dāng)QQ用戶(hù)因卸載殺毒軟件遭受信息泄露，實(shí)際權(quán)益受到侵犯時(shí)，卻無(wú)法依據(jù)目前的私權(quán)規(guī)則提起侵權(quán)之訴保護(hù)自身權(quán)益。另一方面，依據(jù)前述我們對(duì)信息網(wǎng)絡(luò)運(yùn)行規(guī)則的解讀，網(wǎng)絡(luò)是一個(gè)縱橫交錯(cuò)的整體性系統(tǒng)，所有的網(wǎng)絡(luò)服務(wù)提供者均處于進(jìn)入網(wǎng)絡(luò)通道看門(mén)人的地位。不獨(dú)網(wǎng)絡(luò)軟件服務(wù)提供商，即使是網(wǎng)絡(luò)硬件設(shè)備提供者，也應(yīng)負(fù)有信息安全保障義務(wù)。如電腦的芯片制造商，在芯片投入批量生產(chǎn)之前應(yīng)盡可能地對(duì)其技術(shù)安全性進(jìn)行全面的檢測(cè)，當(dāng)其在使用過(guò)程中發(fā)現(xiàn)存在漏洞時(shí)，也應(yīng)及時(shí)采取技術(shù)修復(fù)等各種可能的措施最大限度的確保用戶(hù)的使用安全。而私權(quán)規(guī)則僅針對(duì)在某些直接侵權(quán)情形下未盡到注意義務(wù)，而需承擔(dān)侵權(quán)責(zé)任的軟件服務(wù)提供者。從本質(zhì)上看，這是將網(wǎng)絡(luò)關(guān)系簡(jiǎn)單化為軟件服務(wù)提供者與網(wǎng)絡(luò)用戶(hù)之間的債權(quán)化網(wǎng)絡(luò)結(jié)構(gòu)，從而將網(wǎng)絡(luò)服務(wù)提供者等同于一般安全保障義務(wù)主體，忽略了信息網(wǎng)絡(luò)其他構(gòu)建者應(yīng)負(fù)有的信息安全保障義務(wù)，上文所述之路由器被破譯以致個(gè)人信息泄露事件即是證明。在具體的侵權(quán)法領(lǐng)域，網(wǎng)絡(luò)僅是一種使用工具，網(wǎng)絡(luò)服務(wù)提供者猶如普通的商品制造商一樣，并不對(duì)任何個(gè)人通過(guò)使用該工具而侵犯他人的行為負(fù)責(zé)。綜上可知，站在維護(hù)個(gè)體私權(quán)的角度看待網(wǎng)絡(luò)服務(wù)提供者應(yīng)承擔(dān)的信息安全保障義務(wù)，加重了網(wǎng)絡(luò)服務(wù)提供者對(duì)所有個(gè)體用戶(hù)承擔(dān)義務(wù)的負(fù)擔(dān)，隨著網(wǎng)絡(luò)技術(shù)的不斷縱深發(fā)展，網(wǎng)絡(luò)用戶(hù)在使用人數(shù)和行為模式上也發(fā)生了很大的變化，前述私權(quán)規(guī)則在解決具體侵權(quán)問(wèn)題方面，僅具有有限的適用性。此外，該規(guī)則將保護(hù)主體限于私人用戶(hù)，忽略了網(wǎng)絡(luò)服務(wù)提供者對(duì)國(guó)家、公司等商事組織負(fù)有的信息安全保障義務(wù)，具有很大的片面性和局限性?，F(xiàn)實(shí)情況下，面對(duì)越來(lái)越多的各類(lèi)網(wǎng)絡(luò)安全事件，私權(quán)規(guī)則中對(duì)網(wǎng)絡(luò)服務(wù)提供者義務(wù)和責(zé)任的規(guī)定卻無(wú)法適用于其中。鑒于此，我們應(yīng)該跳出私權(quán)視角俯瞰整個(gè)公共領(lǐng)域，重新審視網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)負(fù)有的信息安全保障義務(wù)，該義務(wù)應(yīng)具有更深遠(yuǎn)的價(jià)值取向和目標(biāo)，并且配有更為細(xì)化和恰當(dāng)?shù)牧x務(wù)履行規(guī)則。

三、信息安全保障義務(wù)的價(jià)值取向:公共秩序與公共安全

以維護(hù)純粹的個(gè)體私益捆綁網(wǎng)絡(luò)服務(wù)提供者應(yīng)負(fù)有的信息安全保障義務(wù)，具有很大的局限性。基于信息網(wǎng)絡(luò)開(kāi)放、互聯(lián)的結(jié)構(gòu)性特點(diǎn)，以及網(wǎng)絡(luò)服務(wù)提供者在整體系統(tǒng)中所處的地位，網(wǎng)絡(luò)服務(wù)提供者負(fù)有的信息安全保障義務(wù)應(yīng)以公共秩序與公共安全為價(jià)值目標(biāo)。網(wǎng)絡(luò)空間是否存在著公共性，這是我們?cè)诶斫膺@一價(jià)值目標(biāo)時(shí)首先需要面對(duì)的問(wèn)題。通常我們基于網(wǎng)絡(luò)空間的虛擬性而傾向于淡化其公共性和社會(huì)性的一面，進(jìn)而將網(wǎng)絡(luò)社會(huì)簡(jiǎn)化為無(wú)數(shù)個(gè)用戶(hù)與軟件網(wǎng)絡(luò)服務(wù)提供者之間的相對(duì)法律關(guān)系，對(duì)于網(wǎng)絡(luò)糾紛也傾向于以純私法的方式進(jìn)行處理。網(wǎng)絡(luò)的虛擬性是指信息的存在方式皆以文字、圖形、聲音、視頻形式表現(xiàn)，而缺少現(xiàn)實(shí)世界中立體、固有的形態(tài)實(shí)體物。這個(gè)特點(diǎn)常常在視覺(jué)上給用戶(hù)以錯(cuò)覺(jué)，認(rèn)為自己脫離了群體性的生活，面對(duì)的僅僅是不可觸摸的信息，而忽略了任何信息流產(chǎn)生和傳播的背后均是人際關(guān)系在發(fā)生互動(dòng)這一基本事實(shí)。物理世界中，先存在著一個(gè)公共空間和領(lǐng)域，而后才會(huì)產(chǎn)生聚合的公共行為;而網(wǎng)絡(luò)空間的虛擬性打破了這個(gè)傳統(tǒng)的模式，先有人與人之間的互動(dòng)，而后才形成一個(gè)公共空間。換言之，不論空間的表現(xiàn)形態(tài)如何，只要人們以言行的方式聚集在一起，展現(xiàn)的空間就形成了。由此可以說(shuō)，虛擬性并不排斥公共性，甚至在某種程度上，虛擬性成就了網(wǎng)絡(luò)空間所特有的公共性。網(wǎng)絡(luò)空間具有公共性意味著作為信息看門(mén)人地位的網(wǎng)絡(luò)服務(wù)提供者需為空間中所有用戶(hù)承擔(dān)最低限度的信息安全保障義務(wù)，即維護(hù)網(wǎng)絡(luò)公共秩序與公共安全。秩序關(guān)注的是網(wǎng)絡(luò)空間內(nèi)各類(lèi)信息流的暢通、有序運(yùn)行;安全強(qiáng)調(diào)的是不被攪擾，能夠自由流動(dòng)的一種狀態(tài)。秩序與安全雖然指向性不同，然而兩者并非可以分割，而是緊密連為一體的價(jià)值。秩序的維持有助于確保安全，而對(duì)安全的保障，也有利于秩序的實(shí)現(xiàn)。秩序與安全是人類(lèi)生存與發(fā)展最基本的價(jià)值需求，但與現(xiàn)實(shí)的物理社會(huì)相比，網(wǎng)絡(luò)社會(huì)似乎對(duì)此表現(xiàn)出了更強(qiáng)烈的需求。這主要源于兩個(gè)原因:一方面，現(xiàn)實(shí)社會(huì)已經(jīng)發(fā)展的較為成熟，形成了一套運(yùn)行穩(wěn)定的制度體系來(lái)確保社會(huì)秩序與安全，而對(duì)于新生的網(wǎng)絡(luò)社會(huì)而言，面對(duì)的是一個(gè)全新的領(lǐng)域，建立起一套基本的秩序與安全規(guī)則，是網(wǎng)絡(luò)社會(huì)得以運(yùn)行的基本前提和保障;另一方面，與現(xiàn)實(shí)社會(huì)不同，網(wǎng)絡(luò)社會(huì)中人與人之間工作、生活等各方面的交際均是以信息流的形式通過(guò)網(wǎng)絡(luò)平臺(tái)進(jìn)行，這種長(zhǎng)線(xiàn)距離的曲線(xiàn)往最容易在過(guò)程中產(chǎn)生波瀾，因而確保個(gè)人信息在流轉(zhuǎn)過(guò)程中的有序與安全成為網(wǎng)絡(luò)社會(huì)必然的價(jià)值選擇。換言之，網(wǎng)絡(luò)世界更需要對(duì)信息產(chǎn)生、傳播過(guò)程的管控，這迥然于現(xiàn)實(shí)世界對(duì)私人權(quán)利的靜態(tài)保護(hù)?？梢哉f(shuō)，公共秩序與公共安全這兩項(xiàng)價(jià)值內(nèi)生于網(wǎng)絡(luò)社會(huì)，也將伴隨其永久存在和發(fā)展。網(wǎng)絡(luò)社會(huì)對(duì)公共秩序與公共安全的渴求，在很大程度上表現(xiàn)為網(wǎng)絡(luò)服務(wù)提供者需對(duì)所有用戶(hù)承擔(dān)信息安全保障義務(wù)。這歸根結(jié)底是由網(wǎng)絡(luò)特有的技術(shù)特征以及網(wǎng)絡(luò)服務(wù)提供者所處的法律地位決定的。網(wǎng)絡(luò)社會(huì)的一切活動(dòng)都需借助于網(wǎng)絡(luò)平臺(tái)進(jìn)行，人與人之間的行為表現(xiàn)為各種信息的流動(dòng)，因而從技術(shù)上確保信息流有序、安全的產(chǎn)生、存儲(chǔ)和傳輸，顯得尤為迫切和重要。實(shí)踐中許多危害公共秩序與公共安全的行為均是由于網(wǎng)絡(luò)技術(shù)存在缺陷所導(dǎo)致。如2011年，程序員網(wǎng)站CSDN、天涯社區(qū)、美團(tuán)網(wǎng)等網(wǎng)站數(shù)據(jù)庫(kù)遭到黑客攻擊，網(wǎng)絡(luò)個(gè)人信息泄露事件曾集中爆發(fā)，上億用戶(hù)的注冊(cè)信息被公之于眾，其中，廣東省出入境政務(wù)服務(wù)網(wǎng)泄露了包括真實(shí)姓名、護(hù)照號(hào)碼等信息在內(nèi)的約400萬(wàn)用戶(hù)資料。針對(duì)這些問(wèn)題，網(wǎng)絡(luò)服務(wù)提供者與政府機(jī)構(gòu)或其他主體相比，既有能力，也有條件積極、主動(dòng)的進(jìn)行預(yù)防和事后應(yīng)對(duì)。此外，隨著大數(shù)據(jù)分析技術(shù)的發(fā)展，信息越來(lái)越成為一種各類(lèi)網(wǎng)絡(luò)服務(wù)提供者爭(zhēng)相攫取的新型資源，網(wǎng)絡(luò)服務(wù)提供者作為受益者，理應(yīng)對(duì)這一資源的有序流動(dòng)和安全承擔(dān)保障義務(wù)。需要說(shuō)明的是，網(wǎng)絡(luò)服務(wù)提供者以公共秩序與公共安全為價(jià)值目標(biāo)承擔(dān)信息安全保障義務(wù)，并非忽略對(duì)私權(quán)的保護(hù)。公共秩序與公共安全著眼于潛在不特定多數(shù)人的利益，因而對(duì)其進(jìn)行維護(hù)恰恰能夠最大限度地保護(hù)私權(quán)。實(shí)踐中，許多個(gè)體的私權(quán)受到侵犯往往是由于網(wǎng)絡(luò)服務(wù)提供者未盡到信息安全保障義務(wù)所致。如家、漢庭等大批酒店的開(kāi)房記錄泄露事件，正是因酒店Wi－Fi管理、認(rèn)證管理系統(tǒng)存在信息安全加密等級(jí)較低問(wèn)題，以致這些信息被黑客竊取、泄露，危及開(kāi)房人的實(shí)際權(quán)益。

四、信息安全保障義務(wù)內(nèi)容———以個(gè)人信息保護(hù)為例

在公共秩序與公共安全的價(jià)值指引下，網(wǎng)絡(luò)服務(wù)提供者需要承擔(dān)的信息安全保障義務(wù)范圍廣泛，既包括所有的網(wǎng)絡(luò)服務(wù)提供者不得制造或提供危害網(wǎng)絡(luò)公共秩序與公共安全的產(chǎn)品或服務(wù)，也包括需采取技術(shù)措施不斷升級(jí)自身產(chǎn)品或信息系統(tǒng)，確保不會(huì)出現(xiàn)安全漏洞從而被他人侵入和破壞;既包括某些非內(nèi)容服務(wù)提供者對(duì)用戶(hù)利用平臺(tái)傳播與該價(jià)值目標(biāo)不符的言論或行為做出禁止，也包括相關(guān)網(wǎng)絡(luò)服務(wù)提供者在經(jīng)營(yíng)過(guò)程中產(chǎn)生矛盾糾紛時(shí)對(duì)自己行為(如不正當(dāng)競(jìng)爭(zhēng))進(jìn)行克制，避免因自己的行為將用戶(hù)的基本使用安全置于危險(xiǎn)境地;等等。如此廣泛的范圍使得清晰規(guī)定網(wǎng)絡(luò)服務(wù)提供者承擔(dān)的信息安全保障義務(wù)內(nèi)容絕非易事。目前，網(wǎng)絡(luò)服務(wù)提供者未盡信息安全保障義務(wù)常常表現(xiàn)為個(gè)人信息被非法收集、處理、利用、泄露，以致危害不特定多數(shù)人的人身及財(cái)產(chǎn)權(quán)益，在此以個(gè)人信息的保護(hù)為主線(xiàn)說(shuō)明網(wǎng)絡(luò)服務(wù)提供者應(yīng)承擔(dān)的信息安全保障義務(wù)的主要內(nèi)容。

(一)網(wǎng)絡(luò)服務(wù)提供者未經(jīng)法律規(guī)定或用戶(hù)同意不得任意收集、存儲(chǔ)和處理他人信息

信息網(wǎng)絡(luò)時(shí)代，信息不斷的產(chǎn)生和流動(dòng)，網(wǎng)絡(luò)服務(wù)提供者憑借其先進(jìn)的技術(shù)手段，能夠?qū)τ脩?hù)使用網(wǎng)絡(luò)留下的諸多信息進(jìn)行收集、存儲(chǔ)和處理。由于個(gè)人信息能夠單獨(dú)或與其他信息結(jié)合識(shí)別出特定的信息主體，從而將信息主體的人身安全、隱私、財(cái)產(chǎn)等權(quán)益曝光于眾目睽睽之下，增加受害的幾率，因而對(duì)網(wǎng)絡(luò)服務(wù)提供者收集、存儲(chǔ)和處理個(gè)人信息的行為應(yīng)當(dāng)進(jìn)行規(guī)制。任何網(wǎng)絡(luò)服務(wù)提供者都不得未經(jīng)許可收集個(gè)人信息，應(yīng)當(dāng)是一般原則。對(duì)于用戶(hù)同意收集的個(gè)人信息，網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)在指定的收集用途范圍內(nèi)使用，不得超出該范圍另作它途，同時(shí)也不得基于一定的目的，將該信息提供給其他主體使用。

(二)網(wǎng)絡(luò)服務(wù)提供者需采取措施維護(hù)信息在產(chǎn)生及流轉(zhuǎn)過(guò)程中的安全

網(wǎng)絡(luò)服務(wù)提供者在使用信息系統(tǒng)對(duì)個(gè)人信息進(jìn)行存儲(chǔ)、處理時(shí)，應(yīng)當(dāng)采取適當(dāng)?shù)墓芾泶胧┖图夹g(shù)手段保護(hù)個(gè)人信息安全，防止未經(jīng)授權(quán)檢索、披露及丟失、泄露、損毀和篡改個(gè)人信息。一般而言，網(wǎng)絡(luò)服務(wù)提供者應(yīng)從管理和技術(shù)兩個(gè)方面確保個(gè)人信息的安全。網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)實(shí)施各項(xiàng)管理措施，如建立個(gè)人信息收集、使用及其相關(guān)活動(dòng)的工作流程和安全管理制度;對(duì)工作人員及人實(shí)行權(quán)限管理，對(duì)批量導(dǎo)出、復(fù)制、銷(xiāo)毀信息實(shí)行審查，并采取防泄密措施;妥善保管記錄個(gè)人信息的紙介質(zhì)、光介質(zhì)、電磁介質(zhì)等載體，并采取相應(yīng)的安全儲(chǔ)存措施;等等。實(shí)踐中，盡管不同的網(wǎng)絡(luò)服務(wù)提供者根據(jù)自己所處的地位和提供的網(wǎng)絡(luò)服務(wù)的不同會(huì)采取各異的管理措施，但只要最大限度的確保其管理上不存在人為的漏洞致使他人信息泄露，即可視為網(wǎng)絡(luò)服務(wù)提供者盡到了該項(xiàng)義務(wù)。除了管理措施不夠完善導(dǎo)致個(gè)人信息泄露外，技術(shù)因素是另一個(gè)重要原因。由于互聯(lián)網(wǎng)絡(luò)的發(fā)展，大量個(gè)人信息被計(jì)算機(jī)和各種網(wǎng)站等各類(lèi)網(wǎng)絡(luò)服務(wù)提供者存儲(chǔ)，因而一旦網(wǎng)絡(luò)出現(xiàn)系統(tǒng)漏洞、程序漏洞等各種危害安全的漏洞后往往會(huì)導(dǎo)致大規(guī)模個(gè)人信息發(fā)生泄露。從技術(shù)上而言，漏洞是軟硬件在設(shè)計(jì)上存在的缺陷，攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。一個(gè)系統(tǒng)自時(shí)起，就一直處于漏洞發(fā)現(xiàn)和修補(bǔ)的循環(huán)之中，漏洞問(wèn)題會(huì)長(zhǎng)期存在。這種特性要求網(wǎng)絡(luò)服務(wù)提供者應(yīng)對(duì)儲(chǔ)存用戶(hù)個(gè)人信息的信息系統(tǒng)實(shí)行接入審查，實(shí)時(shí)注意網(wǎng)絡(luò)異常，當(dāng)發(fā)現(xiàn)問(wèn)題時(shí)，及時(shí)進(jìn)行補(bǔ)丁修復(fù)，并采取防入侵、防病毒等措施，增強(qiáng)系統(tǒng)的抗攻擊性，確保信息安全;同時(shí)，網(wǎng)絡(luò)服務(wù)提供者應(yīng)建立網(wǎng)絡(luò)安全日志，對(duì)重要網(wǎng)絡(luò)系統(tǒng)及數(shù)據(jù)、信息及時(shí)備份。此外，一旦發(fā)生個(gè)人信息泄漏、丟失，網(wǎng)絡(luò)服務(wù)提供者應(yīng)及時(shí)通過(guò)網(wǎng)絡(luò)、報(bào)紙、電視等媒體渠道告知受影響的個(gè)人信息主體事件的發(fā)生情況以及應(yīng)采取的防護(hù)措施，以免給其造成無(wú)法挽回的損失，并且還應(yīng)當(dāng)及時(shí)向國(guó)家相關(guān)信息管理機(jī)構(gòu)進(jìn)行通報(bào)。

(三)網(wǎng)絡(luò)服務(wù)提供者對(duì)用戶(hù)違反法律、法規(guī)規(guī)定或傳輸信息的行為應(yīng)當(dāng)予以禁止

網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)加強(qiáng)對(duì)其用戶(hù)的信息的管理，對(duì)法律、法規(guī)禁止或者傳輸?shù)男畔?，?yīng)當(dāng)立即予以禁止，采取消除等處置措施，保存有關(guān)記錄，并向有關(guān)主管部門(mén)報(bào)告。法律、法規(guī)禁止或傳輸?shù)男畔?，一般而言是危害?guó)家安全、嚴(yán)重?fù)p害公共秩序與公共安全或有損社會(huì)風(fēng)氣等信息。如宣傳思想的視頻或文字;教授用戶(hù)破解他人路由器方法的文字;某網(wǎng)站已被泄露的用戶(hù)銀行賬號(hào)、身份證號(hào)等個(gè)人信息;等等。網(wǎng)絡(luò)服務(wù)提供者對(duì)前述信息的和傳輸進(jìn)行管理，意味著其對(duì)信息的和傳輸具有一定的審查義務(wù)，這不同于侵權(quán)法領(lǐng)域要求網(wǎng)絡(luò)服務(wù)提供者站在私域角度純粹依據(jù)自己的價(jià)值取向保護(hù)個(gè)體私權(quán)之情形，該項(xiàng)義務(wù)的履行具有較為明確的參考標(biāo)準(zhǔn)，因而也不會(huì)對(duì)用戶(hù)的言論自由構(gòu)成侵犯。事實(shí)上，在對(duì)用戶(hù)或傳輸?shù)男畔⑦M(jìn)行審查方面，網(wǎng)絡(luò)服務(wù)提供者在某種程度上更類(lèi)似于一個(gè)公共管理機(jī)構(gòu)，因而這既是其承擔(dān)的義務(wù)，也是其享有的部分公共管理權(quán)限。

(四)網(wǎng)絡(luò)服務(wù)提供者終止其技術(shù)服務(wù)時(shí)應(yīng)最大限度的確保使用該技術(shù)服務(wù)的用戶(hù)的信息安全

網(wǎng)絡(luò)服務(wù)提供者在經(jīng)營(yíng)過(guò)程中，如若要停止某項(xiàng)技術(shù)服務(wù)，對(duì)于使用該技術(shù)的所有用戶(hù)應(yīng)當(dāng)提前發(fā)出通知，及時(shí)提醒其繼續(xù)使用將會(huì)帶來(lái)的風(fēng)險(xiǎn)，以及告知其避免這些風(fēng)險(xiǎn)需要采用的措施，給用戶(hù)足夠的時(shí)間進(jìn)行技術(shù)更換工作。如微軟中國(guó)此前宣布于2014年4月8日停止對(duì)WindowsXP的支持，但考慮該操作系統(tǒng)在我國(guó)通信等重要行業(yè)仍占據(jù)較高比例，若立即停止將會(huì)給基礎(chǔ)通信網(wǎng)絡(luò)帶來(lái)直接風(fēng)險(xiǎn)，威脅基礎(chǔ)通信網(wǎng)絡(luò)的整體安全，故其決定將與包括騰訊在內(nèi)的國(guó)內(nèi)領(lǐng)先的互聯(lián)網(wǎng)安全及防病毒廠商密切合作，為中國(guó)全部使用XP的用戶(hù)，在用戶(hù)選擇升級(jí)到新一代操作系統(tǒng)之前，繼續(xù)提供獨(dú)有的安全保護(hù)，幫助用戶(hù)安全度過(guò)系統(tǒng)過(guò)渡期。網(wǎng)絡(luò)服務(wù)提供者之所以在其技術(shù)服務(wù)結(jié)束時(shí)仍需向用戶(hù)承擔(dān)信息安全保障義務(wù)，源于長(zhǎng)久以來(lái)二者之間的一種相互生存倚賴(lài)，尤其在當(dāng)下的互聯(lián)網(wǎng)行業(yè)，某類(lèi)網(wǎng)絡(luò)服務(wù)提供者在某些技術(shù)方面長(zhǎng)期處于壟斷地位，導(dǎo)致其地位已具有不可替代性，因而在退出時(shí)理應(yīng)采取一些安全措施保護(hù)所有使用其技術(shù)服務(wù)用戶(hù)的安全，避免因其退出技術(shù)服務(wù)而給用戶(hù)帶來(lái)人身及財(cái)產(chǎn)損失。在當(dāng)下網(wǎng)絡(luò)新產(chǎn)品或服務(wù)不斷涌現(xiàn)的時(shí)代背景下，網(wǎng)絡(luò)服務(wù)提供者承擔(dān)信息安全保障義務(wù)的內(nèi)容非常之多，不同類(lèi)型的網(wǎng)絡(luò)服務(wù)提供者承擔(dān)的信息安全保障義務(wù)內(nèi)容也各不相同，于此情形下，窮盡其所有的義務(wù)內(nèi)容絕非易事。上述以個(gè)人信息被非法收集、使用及泄露為例說(shuō)明網(wǎng)絡(luò)服務(wù)提供者應(yīng)承擔(dān)的義務(wù)，僅具有概括作用，具體到實(shí)踐中，每一網(wǎng)絡(luò)服務(wù)提供者究竟有無(wú)盡到信息安全保障義務(wù)，應(yīng)以公共秩序與公共安全為價(jià)值指引做出判斷。

篇10

一、建立健全網(wǎng)絡(luò)和信息安全管理制度

各單位要按照網(wǎng)絡(luò)與信息安全的有關(guān)法律、法規(guī)規(guī)定和工作要求，制定并組織實(shí)施本單位網(wǎng)絡(luò)與信息安全管理規(guī)章制度。要明確網(wǎng)絡(luò)與信息安全工作中的各種責(zé)任，規(guī)范計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)內(nèi)部控制及管理制度，切實(shí)做好本單位網(wǎng)絡(luò)與信息安全保障工作。

二、切實(shí)加強(qiáng)網(wǎng)絡(luò)和信息安全管理

各單位要設(shè)立計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理領(lǐng)導(dǎo)小組，負(fù)責(zé)對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)建設(shè)及應(yīng)用、管理、維護(hù)等工作進(jìn)行指導(dǎo)、協(xié)調(diào)、檢查、監(jiān)督。要建立本單位計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理崗位責(zé)任制，明確主管領(lǐng)導(dǎo)，落實(shí)責(zé)任部門(mén)，各盡其職，常抓不懈，并按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，切實(shí)履行好信息安全保障職責(zé)。

三、嚴(yán)格執(zhí)行計(jì)算機(jī)網(wǎng)絡(luò)使用管理規(guī)定

各單位要提高計(jì)算機(jī)網(wǎng)絡(luò)使用安全意識(shí)，嚴(yán)禁涉密計(jì)算機(jī)連接互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)，嚴(yán)禁在非涉密計(jì)算機(jī)上存儲(chǔ)、處理涉密信息，嚴(yán)禁在涉密與非涉密計(jì)算機(jī)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)。辦公內(nèi)網(wǎng)必須與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)實(shí)行物理隔離，并強(qiáng)化身份鑒別、訪問(wèn)控制、安全審計(jì)等技術(shù)防護(hù)措施，有效監(jiān)控違規(guī)操作，嚴(yán)防違規(guī)下載涉密和敏感信息。通過(guò)互聯(lián)網(wǎng)電子郵箱、即時(shí)通信工具等處理、傳遞、轉(zhuǎn)發(fā)涉密和敏感信息。

四、加強(qiáng)網(wǎng)站、微信公眾平臺(tái)信息審查監(jiān)管

各單位通過(guò)站、微信公眾平臺(tái)在互聯(lián)網(wǎng)上公開(kāi)信息，要遵循涉密不公開(kāi)、公開(kāi)不涉密的原則，按照信息公開(kāi)條例和有關(guān)規(guī)定，建立嚴(yán)格的審查制度。要對(duì)網(wǎng)站上的信息進(jìn)行審核把關(guān)，審核內(nèi)容包括：上網(wǎng)信息有無(wú)涉密問(wèn)題；上網(wǎng)信息目前對(duì)外是否適宜；信息中的文字、數(shù)據(jù)、圖表、圖像是否準(zhǔn)確等。未經(jīng)本單位領(lǐng)導(dǎo)許可嚴(yán)禁以單位的名義在網(wǎng)上信息，嚴(yán)禁交流傳播涉密信息。堅(jiān)持先審查、后公開(kāi)，一事一審、全面審查。各單位網(wǎng)絡(luò)信息審查工作要有領(lǐng)導(dǎo)分管、部門(mén)負(fù)責(zé)、專(zhuān)人實(shí)施。

嚴(yán)肅突發(fā)、敏感事（案）件的新聞報(bào)道紀(jì)律，對(duì)民族、宗教、軍事、環(huán)保、反腐、人權(quán)、計(jì)劃生育、嚴(yán)打活動(dòng)、暴恐案件、自然災(zāi)害，涉暴涉恐公捕大會(huì)、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事（案）件的新聞稿件原則上不進(jìn)行宣傳報(bào)道，如確需宣傳報(bào)道的，經(jīng)縣領(lǐng)導(dǎo)同意，上報(bào)地區(qū)層層審核，經(jīng)自治區(qū)黨委宣傳部審核同意后，方可按照宣傳內(nèi)容做到統(tǒng)一口徑、統(tǒng)一，確保信息的時(shí)效性和嚴(yán)肅性。