導(dǎo)語：如何才能寫好一篇公司網(wǎng)站信息安全，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

根據(jù)關(guān)于對政府信息系統(tǒng)安全檢查的通知要求，我局認(rèn)真進(jìn)行了檢查梳理?，F(xiàn)我局共有信息系統(tǒng)總數(shù)5個(gè)，面向社會公眾提供服務(wù)的信息系統(tǒng)數(shù)2個(gè)，委托社會第三方進(jìn)行日常運(yùn)維管理的信息系統(tǒng)數(shù)1個(gè)，經(jīng)過安

全測評（含風(fēng)險(xiǎn)評估、等級評測），5個(gè)系統(tǒng)數(shù)均為安全。在系統(tǒng)運(yùn)行中，無失泄密和受到過病毒木馬等惡意代碼感染，本部門門戶網(wǎng)站未受攻擊和篡改（含內(nèi)嵌惡意代碼）。與上一年度相比信息安全工作取得的好的長足的進(jìn)展，整體信息安全狀況良好。

二、2011年信息安全主要工作情況

（一）信息安全組織管理。我局成立了以呂艷副局長為組長，各個(gè)科室負(fù)責(zé)人為成員的信息安全工作領(lǐng)導(dǎo)小組，全面負(fù)責(zé)信息安全工作。確定了局辦公室為信息安全管理工作的具體承辦機(jī)構(gòu)，辦公室主任為具體負(fù)責(zé)人，并指定公文收發(fā)員為我局兼職信息安全員。

（二）日常信息安全管理。在人員管理上，認(rèn)真落實(shí)信息安全工作領(lǐng)導(dǎo)小組、安全管理工作的具體承辦機(jī)構(gòu)及信息安全員的職責(zé)，制定了較為完善的檢查信息安全和保密責(zé)任制建立并認(rèn)真嚴(yán)格地落實(shí)情況，對于重要電腦和設(shè)備，嚴(yán)禁人員在離崗離職信息的情況打開運(yùn)行。對于違反信息安全管理制度規(guī)定造成信息安全事件的認(rèn)真追究相關(guān)人員責(zé)任。在資產(chǎn)管理上，辦公軟件、應(yīng)用軟件等安裝與使用情況嚴(yán)格按規(guī)定辦理，計(jì)算機(jī)及相關(guān)設(shè)備維修維護(hù)管理、存儲設(shè)備報(bào)廢銷毀管理按保密相關(guān)要求執(zhí)行，杜絕隨意馬虎。在運(yùn)維管理上。信息系統(tǒng)運(yùn)營和使用按相關(guān)權(quán)限進(jìn)行管理、日常運(yùn)維操作由具體負(fù)責(zé)人進(jìn)行操作、定期進(jìn)行安全日志備份和信息安全分析。委托了昆明眾彩科貿(mào)有限公司文山分公司運(yùn)行管理的我局門戶網(wǎng)站，在與昆明眾彩科貿(mào)有限公司文山分公司簽訂服務(wù)協(xié)議的同時(shí)，明確了相關(guān)的安全保密事項(xiàng)和協(xié)議。

（三）信息安全防護(hù)管理。在辦公計(jì)算機(jī)和移動存儲設(shè)備安全防護(hù)上。計(jì)算機(jī)采取集中安全管理措施，設(shè)置每臺計(jì)算機(jī)賬號口令并隨時(shí)更新。計(jì)算機(jī)接入互聯(lián)網(wǎng)實(shí)行了實(shí)名接入、對計(jì)算機(jī)

ip和mac地址進(jìn)行綁定、指定固定上網(wǎng)ip地址，并安裝病毒防護(hù)軟件，定期進(jìn)行漏洞掃描、病毒木馬檢測。杜絕在非和信息系統(tǒng)間混用了計(jì)算機(jī)和移動存儲設(shè)備，禁止使用了非計(jì)算機(jī)處理信息等。在門戶網(wǎng)站安全防護(hù)上，落實(shí)網(wǎng)站信息審批制度，實(shí)行了邊界防護(hù)、抗拒絕服務(wù)攻擊、網(wǎng)頁防篡改等安全防護(hù)設(shè)備的部署，定期進(jìn)行漏洞掃描、木馬檢測。

（四）信息安全應(yīng)急管理。根據(jù)《云南省網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》精神，制定了本部門信息安全應(yīng)急預(yù)案，認(rèn)真組織開展了相應(yīng)的宣貫培訓(xùn)。按照應(yīng)急預(yù)案要求明確了昆明眾彩科貿(mào)有限公司文山分公司為我局的應(yīng)急技術(shù)支援隊(duì)伍。根據(jù)實(shí)際需要對重要數(shù)據(jù)和信息系統(tǒng)進(jìn)行了災(zāi)難備份。

（五）信息安全教育培訓(xùn)。我局領(lǐng)導(dǎo)干部和科室工作人員全員參加信息安全教育培訓(xùn)、掌握信息安全常識和基本技能。對于信息安全管理和技術(shù)人員也定期參加信息安全專業(yè)培訓(xùn)

三、信息安全檢查等方面開展的工作情況

我局經(jīng)常、制度性地開展信息安全檢查，重點(diǎn)是辦公計(jì)算機(jī)和移動存儲設(shè)備安全防護(hù)以及門戶網(wǎng)站安全防護(hù)。經(jīng)檢查，無失泄密和受到過病毒木馬等惡意代碼感染，本部門門戶網(wǎng)站未受攻擊和篡改（含內(nèi)嵌惡意代碼）。我局將嚴(yán)格按照信息安全的相關(guān)要求的制度，在下一步的工作中，認(rèn)真做好信息安全工作

篇2

年12月19日，民間組織COG（信息安全專業(yè)委員會）創(chuàng)始人龔蔚（goodwell）了一條微博稱，互聯(lián)網(wǎng)信任危機(jī)一觸即發(fā)。

這條微博似乎成了中國互聯(lián)網(wǎng)2011年度的預(yù)言――48小時(shí)后，中國互聯(lián)網(wǎng)泄密事件發(fā)生。

自12月21日開始，在不到10天的時(shí)間中，由技術(shù)網(wǎng)站CSDN、知名論壇天涯開始，大量網(wǎng)站被爆存在用戶數(shù)據(jù)泄露，據(jù)CNCERT（國家互聯(lián)網(wǎng)應(yīng)急中心）公布的不完全統(tǒng)計(jì)，截至12月29日，被外界懷疑泄露的數(shù)據(jù)庫已達(dá)26個(gè)，涉及賬號、密碼2.78億條。

12月27日晚，中國計(jì)算機(jī)學(xué)會青年計(jì)算機(jī)科技論壇廣州分會(下稱“CCF廣州”)召開了 “互聯(lián)網(wǎng)用戶資料泄露事件緊急會議”。16名與會專家一致認(rèn)為，這次事件是迄今為止“中國互聯(lián)網(wǎng)史上最大信息泄露事件?！?/p>

當(dāng)天，工信部通信管理局和國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心也在北京緊急召集多家互聯(lián)網(wǎng)企業(yè)、信息安全企業(yè)和多位網(wǎng)絡(luò)安全專家，了解核實(shí)事件情況，評估事件影響和危害，研究提出應(yīng)對措施。據(jù)不愿具名的消息人士透露，公安部門也已對此次事件立案偵查。

在業(yè)界看來，此次恐慌事件后，互聯(lián)網(wǎng)信息安全可能由一個(gè)甚至不受行業(yè)重視的技術(shù)問題，變成如同藥品、食品、教育一般受到社會廣泛重視的問題。

破而后立，這或?qū)⒊蔀橹袊畔踩鷳B(tài)進(jìn)化的寶貴契機(jī)。

網(wǎng)站利益局中局

此次泄露風(fēng)暴最終影響了多少中國網(wǎng)民，目前無法確切統(tǒng)計(jì)。

國家互聯(lián)網(wǎng)應(yīng)急中心的通報(bào)認(rèn)為，此前能夠確認(rèn)數(shù)據(jù)泄露的只有CSDN與天涯兩個(gè)網(wǎng)站，其他的數(shù)據(jù)庫被公布的“泄露信息”只有部分屬實(shí)，部分?jǐn)?shù)據(jù)則被證偽。

“在業(yè)內(nèi)看來，類似的事情早已多到近乎麻木?！毙畔踩締⒚餍浅剑?01439.SZ）首席戰(zhàn)略官潘柱廷說，其實(shí)每年都有多起重大的用戶數(shù)據(jù)庫被盜事件（黑客們習(xí)慣稱為刷庫或拖庫），國外類似事件的規(guī)模更大，且因涉及信用卡賬號等關(guān)鍵信息，危害普遍大于國內(nèi)的泄露事件。比如，2011年已被證實(shí)的遭遇入侵、并導(dǎo)致關(guān)鍵數(shù)據(jù)被竊或者被泄露的公司，就包括索尼、世嘉等大型游戲設(shè)備廠商、花旗銀行等金融機(jī)構(gòu)及RSA等安全廠商巨頭，僅日本索尼4月被黑客竊取的客戶信息就高達(dá)7700萬，其中還包括信用卡賬號。

業(yè)內(nèi)人士告訴記者，此次事件之所以影響大，是利益驅(qū)動下“攪渾水”的互聯(lián)網(wǎng)江湖眾生百態(tài)。

“關(guān)于密碼泄密后的事情：1、某上市公司忙著造假庫往外扔。栽贓其他公司，想擺脫被曝明文庫的證據(jù)；2、有網(wǎng)站通知所有用戶修改密碼，乘機(jī)激活用戶；3、還有網(wǎng)站把這些公開庫的數(shù)據(jù)直接導(dǎo)入自己用戶庫，也發(fā)通知給用戶改密碼；4、釣魚的、垃圾郵件的也都活躍起來?！?2月27日，CSDN創(chuàng)始人蔣濤微博說。

“其實(shí)，很多用戶根本就記不清自己在哪些網(wǎng)站注冊過用戶名與密碼，”一位網(wǎng)站負(fù)責(zé)人說，以前，他們發(fā)展用戶需要花錢做廣告、群發(fā)郵件，而且效果并不理想，但這一次有現(xiàn)成的用戶資料，而且這些已經(jīng)泄露密碼的網(wǎng)民非?？只?，收到郵件后會積極的“改密碼”，這讓很多中小網(wǎng)站一夜之間就發(fā)展了大量“老用戶”。

“這反過來又加劇了公眾的恐慌，因?yàn)橛性絹碓蕉嗟木W(wǎng)站說數(shù)據(jù)泄露了，快來改密碼吧，一夜之間仿佛整個(gè)互聯(lián)網(wǎng)都變得不可信任?！痹撠?fù)責(zé)人說。

一位黑客說，與之對應(yīng)的是，也有發(fā)現(xiàn)數(shù)據(jù)庫泄露的網(wǎng)站不動聲色，悄悄地給用戶發(fā)郵件，讓用戶“防患于未然，避免受到其他網(wǎng)站數(shù)據(jù)庫泄露影響”。

在業(yè)內(nèi)人士看來，此次泄露事件對網(wǎng)民造成的直接損失其實(shí)小于外界想象。

“破而后立，從長遠(yuǎn)來看，對中國互聯(lián)網(wǎng)來說，這或許反而是一件好事?！币晃话踩珡S商負(fù)責(zé)人認(rèn)為，經(jīng)過恐慌的放大效應(yīng)，事件雖然沒有帶來重大的經(jīng)濟(jì)或社會損失，但卻讓互聯(lián)網(wǎng)企業(yè)和公眾意識到信息安全面臨的風(fēng)險(xiǎn)，這有助于中國互聯(lián)網(wǎng)的安全生態(tài)得以進(jìn)化。

或轉(zhuǎn)化產(chǎn)業(yè)契機(jī)

“網(wǎng)絡(luò)安全其實(shí)可以分成兩個(gè)層次?！迸酥⒄f，一個(gè)層次是政府、軍事乃至電力、通信、金融等事關(guān)國家安全的關(guān)鍵基礎(chǔ)網(wǎng)絡(luò)，在這個(gè)層次上，中國一直非常重視，有相對嚴(yán)格的安全保護(hù)機(jī)制，此次事件中也沒有受到影響；另一個(gè)層次則是以商業(yè)、社會公用為主的互聯(lián)網(wǎng)絡(luò)，這一層次則相對脆弱，比如大量的中小網(wǎng)站，就普遍缺乏信息安全的意識及投入。

潘柱廷同時(shí)也表示，這一問題全球皆然。

“用戶的安全防范能力永遠(yuǎn)滯后于黑客的技術(shù)能力，因此僅靠用戶自己的話，數(shù)據(jù)泄露問題是‘無解’的?！眹揖W(wǎng)絡(luò)信息安全技術(shù)研究所所長杜躍進(jìn)說，如同世界上總會有小偷一樣，數(shù)據(jù)泄密事件在互聯(lián)網(wǎng)領(lǐng)域也無法杜絕。杜躍進(jìn)認(rèn)為，互聯(lián)網(wǎng)的信息安全防護(hù)水平其實(shí)一直在不斷提高，比如現(xiàn)在攻擊一個(gè)網(wǎng)站的難度，已經(jīng)遠(yuǎn)大于以前，只是因?yàn)榛ヂ?lián)網(wǎng)不斷發(fā)展，應(yīng)用更加深入，吸引攻擊者的“有價(jià)值目標(biāo)”不斷增長，需求產(chǎn)生市場，導(dǎo)致了黑客等地下產(chǎn)業(yè)鏈日益繁榮。

在2011年6月的中國計(jì)算機(jī)學(xué)會YOCSEF特別論壇上，中科院軟件所副研究員蔣建春就曾對互聯(lián)網(wǎng)的攻擊演變進(jìn)行回顧總結(jié)：在上世紀(jì)七十年代，網(wǎng)絡(luò)攻擊是一件難以想象的事情；八十年代出現(xiàn)了學(xué)術(shù)攻擊；九十年代出現(xiàn)非利益性攻擊；二十一世紀(jì)則演變?yōu)槊嫦騼r(jià)值攻擊。

“不過，目前國內(nèi)地下產(chǎn)業(yè)中相對更多的還是信息倒賣，真正直接在網(wǎng)上損失財(cái)產(chǎn)的還相對較少?！标愵Ｕf，“就目前而言，中國自行車被偷的人，還比在互聯(lián)網(wǎng)上丟了東西的人多?！?/p>

不過，也有一些安全廠商負(fù)責(zé)人認(rèn)為，中國過去的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不可小視。

“中國互聯(lián)網(wǎng)的競爭相對更加激烈，中小網(wǎng)站可能有100個(gè)原因死亡，其中最小的可能就是安全問題，所以安全意識一直相對淡薄?！痹撠?fù)責(zé)人說，在成本一定的前提下，安全與方便性是矛盾的，比如增加驗(yàn)證碼手段，在提升安全性同時(shí)，卻會影響用戶體驗(yàn)的方便性，可能會流失部分潛在用戶，所以網(wǎng)站經(jīng)營者往往先把安全放一邊，投入先集中在吸引和發(fā)展用戶。

甚至一些大中型網(wǎng)站也并不重視網(wǎng)站安全?！氨热缑磕甑幕ヂ?lián)網(wǎng)行業(yè)會議，安全分論壇都放到最后，而且到開會時(shí)網(wǎng)站的老總甚至CTO（首席技術(shù)官）都全走光了，只留下一堆沒有決策權(quán)的技術(shù)員。”該負(fù)責(zé)人說，在此之前，我國信息安全占IT投資的比例只有1%，而西方發(fā)達(dá)國家是8%到12%。

此次泄露事件的爆發(fā)，則讓很多網(wǎng)站開始反省安全問題。

潘柱廷說，最近已經(jīng)有很多網(wǎng)站開始主動聯(lián)絡(luò)安全廠商討論提高網(wǎng)站安全防護(hù)能力，“對整個(gè)中國互聯(lián)網(wǎng)來說，這是一個(gè)良好的信號?！?/p>

陳睿表示，在網(wǎng)絡(luò)技術(shù)到了一定層次后，個(gè)人的力量將越來越弱化，網(wǎng)絡(luò)信息安全的對抗更多將趨向投入的對比、資源的對比、設(shè)備的對比。

業(yè)內(nèi)人士認(rèn)為，經(jīng)過此次事件之后，無論是信息安全投入、還是信息安全的行業(yè)自律和流程規(guī)范，都將得到強(qiáng)化。像以前網(wǎng)站使用明文存放密碼、用戶使用簡單密碼等安全業(yè)屢次提醒、互聯(lián)網(wǎng)站和公眾一直未予重視的問題有望緩解，這些都將有助于互聯(lián)網(wǎng)絡(luò)的信息安全提高。

催生政策與商業(yè)模式變革

信息安全業(yè)界認(rèn)為，此次事件的深遠(yuǎn)影響將在2012年以后逐漸顯現(xiàn)，將可能在立法、政策、商業(yè)模式及格局等環(huán)節(jié)帶來變革。

杜躍進(jìn)說，其實(shí)中國的信息安全的很多領(lǐng)域在國際上并不落后，甚至領(lǐng)先，比如中國是最早出臺國家層面的信息安全協(xié)調(diào)機(jī)制、國家級網(wǎng)絡(luò)應(yīng)急響應(yīng)組織的國家，國家互聯(lián)網(wǎng)應(yīng)急中心從2003年就開始了對互聯(lián)網(wǎng)絡(luò)的病毒與木馬全面監(jiān)測，而在此次事件后，公眾網(wǎng)絡(luò)信息安全的防護(hù)或許還會得到進(jìn)一步提升。

“在2008年以前，中國針對網(wǎng)絡(luò)犯罪的立法曾相對滯后，但在過去兩三年，尤其是2010年以來的法律修訂過程中，已經(jīng)有較大的完善，比如對制作病毒、木馬，盜竊虛擬資產(chǎn)等行為，都已經(jīng)有執(zhí)法依據(jù)，此前也已有犯罪分子因?yàn)樯婕坝|犯條例被刑事處罰?！标愵Ｕf，“但在公民的網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)財(cái)產(chǎn)等權(quán)益保障環(huán)節(jié)，立法仍有一定空白，這在此次事件后可能會有所加速?！?/p>

很多安全人士則呼吁政府，對涉及用戶信息保存與使用的網(wǎng)站，出臺新的規(guī)范，以相對硬性的規(guī)定，約束網(wǎng)站達(dá)到一定的安全規(guī)范。

一位政府人士向《財(cái)經(jīng)國家周刊》記者透露，未來政府可能會對互聯(lián)網(wǎng)企業(yè)進(jìn)行評估，社會影響較大的網(wǎng)站或服務(wù)將會進(jìn)行強(qiáng)制性的安全要求，“增值電信領(lǐng)域的嘗試近期就將開始?！?/p>

與此同時(shí)，互聯(lián)網(wǎng)自身的市場競爭，也正在催生提高用戶信息安全的新商業(yè)模式出現(xiàn)。

比如OPEN ID（通用賬號）?；ヂ?lián)網(wǎng)企業(yè)人士透露，目前新浪、騰訊、支付寶等大網(wǎng)站都已經(jīng)在各自聯(lián)合大量合作伙伴推廣OPEN ID。通過這一服務(wù)，用戶只需要記住一個(gè)統(tǒng)一的賬號和密碼，就可以同時(shí)登陸多家網(wǎng)站，而其賬號、密碼等信息，只存儲于核心企業(yè)數(shù)據(jù)庫中，這既減少了用戶記憶密碼的難度，也因?yàn)榭梢约斜Ｗo(hù)，減低了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

而在2011年8月，金山網(wǎng)絡(luò)也推出了新的業(yè)務(wù)“網(wǎng)購敢賠”，承諾只要金山毒霸2012用戶開啟網(wǎng)購“敢賠模式”，如果網(wǎng)購仍感染木馬或登錄釣魚網(wǎng)站遭遇財(cái)產(chǎn)被盜，金山網(wǎng)絡(luò)將進(jìn)行上限500元的現(xiàn)金賠付。在業(yè)內(nèi)人士看來，在目前中國仍未出現(xiàn)虛擬財(cái)產(chǎn)保險(xiǎn)的情況下，這一商業(yè)模式也正是迎合了信息安全風(fēng)險(xiǎn)不斷加大的網(wǎng)絡(luò)生態(tài)，在增加用戶安全保障同時(shí)為企業(yè)吸引用戶。

潘柱廷則認(rèn)為，未來面向中小企業(yè)的信息安全防護(hù)業(yè)務(wù)也可能得到迅速發(fā)展。因?yàn)橹行∑髽I(yè)往往難以單獨(dú)進(jìn)行大量的信息安全投入，但地方政府、數(shù)據(jù)中心、運(yùn)營商、云計(jì)算服務(wù)商等平臺可能在服務(wù)中整合信息安全功能，在自身獲得業(yè)務(wù)增值同時(shí)，也讓整個(gè)互聯(lián)網(wǎng)產(chǎn)業(yè)的信息安全也得以提升。

網(wǎng)絡(luò)保護(hù)的法理求解

文/《財(cái)經(jīng)國家周刊》記者 雍忠瑋

用戶數(shù)據(jù)庫泄密事件之后，無論是數(shù)據(jù)庫已經(jīng)泄密的CSDN和天涯等社區(qū)網(wǎng)站，還是被用戶擔(dān)心和疑慮的新浪、騰訊等門戶網(wǎng)站，無一例外地采取了“低調(diào)”或“沉默”的應(yīng)對方式，而數(shù)以億計(jì)的用戶此時(shí)發(fā)現(xiàn)，保護(hù)自身信息安全，除了修改密碼之外幾乎無計(jì)可施。

還沒有單獨(dú)立法

在CSDN和天涯用戶數(shù)據(jù)庫泄密之后，大量的普通互聯(lián)網(wǎng)用戶在擔(dān)憂自己的注冊信息是否泄密的同時(shí)，也參與到泄密數(shù)據(jù)庫的下載和轉(zhuǎn)發(fā)過程中。

“需要提醒的是，普通用戶得到這些數(shù)據(jù)庫密碼信息，再進(jìn)行傳播，也是違法的?！?中國政法大學(xué)知識產(chǎn)權(quán)中心研究員、法律專家趙占領(lǐng)對《財(cái)經(jīng)國家周刊》記者表示。他進(jìn)一步提出，“政府和法律界應(yīng)更為重視類似事件的處理，從法理和法規(guī)上，對互聯(lián)網(wǎng)信息安全進(jìn)行政策和法律的制定?！?/p>

根據(jù)趙占領(lǐng)的介紹，圍繞互聯(lián)網(wǎng)個(gè)人信息保護(hù)的法律法規(guī)，中國當(dāng)前的主要參照依據(jù)，仍然是刑法的相關(guān)規(guī)定，“相關(guān)的判例也有，但那些都是涉及到明確的主體、明確的資金，在民事賠償和行政處罰領(lǐng)域，仍然缺乏明確依據(jù)。”

由此不難理解，為何CSDN和天涯兩大泄密網(wǎng)站一方面分別在北京和海南向公安機(jī)關(guān)報(bào)案，而另一方面絕口不提對用戶的任何賠償方案，僅以道歉作為終結(jié)事件的底線。

CSDN相關(guān)負(fù)責(zé)人告訴《財(cái)經(jīng)國家周刊》記者，公司內(nèi)部對于如何處理此次注冊用戶數(shù)據(jù)庫泄密事件已有結(jié)論，“一方面通過各種方式，包括和其他網(wǎng)站合作，通知用戶修改密碼；另一方面我們也對存在安全隱患的用戶，進(jìn)行臨時(shí)的密碼鎖定，敦促用戶在登錄過程中修改密碼?！?/p>

該人士多次強(qiáng)調(diào)，CSDN早于2009年4月開始，就已經(jīng)使用加密密碼保存用戶數(shù)據(jù)庫，“已泄密數(shù)據(jù)屬于早前數(shù)據(jù)，甚至相當(dāng)一部分密碼用戶已經(jīng)修改過，但業(yè)界媒體和很多用戶對此并不了解。”在談及是否已有對涉及泄密的用戶提供賠償方案或者彌補(bǔ)措施時(shí)，該人士表示，通知密碼修改和臨時(shí)鎖定就是彌補(bǔ)措施，對于賠償方案，對方拒絕討論，并稱“這個(gè)事情甚至不是我們公司所能決定。”

天涯網(wǎng)站一位副總裁則私下對《財(cái)經(jīng)國家周刊》表示，“國內(nèi)在用戶賠償方面，還沒有什么具體可依據(jù)的標(biāo)準(zhǔn)，而且用戶的損失究竟如何界定，也不是很清楚。”該人士透露，天涯內(nèi)部證據(jù)顯示，有些用戶數(shù)據(jù)庫泄密，其原因并不是因?yàn)樘煅木W(wǎng)站，而在于用戶在其他網(wǎng)站使用了同樣的ID和密碼，“那些網(wǎng)站發(fā)生泄密后，我們發(fā)現(xiàn)了極少數(shù)用戶在天涯也使用了同樣的ID和密碼。這種泄密，天涯根本無法預(yù)防?！蓖瑯樱摳笨偛靡矊τ浾弑硎?，雖然并不具體負(fù)責(zé)技術(shù)部門，但也明確知曉公司至2009年以來，就一直采用的是非明文密碼數(shù)據(jù)庫。

包括CSDN、天涯、網(wǎng)易等網(wǎng)站在內(nèi)的超過2億個(gè)賬戶及密碼泄密事件，所涉及的金額數(shù)量目前仍然難以估計(jì)。在《財(cái)經(jīng)國家周刊》調(diào)查過程中，無論是網(wǎng)站主體，還是普通用戶，都認(rèn)為大部分網(wǎng)站注冊用戶的相關(guān)數(shù)據(jù)“是免費(fèi)的，沒有太多實(shí)際資金的損失。”

“其實(shí)從法律的角度，雖然沒有單獨(dú)立法，但從多個(gè)法律條款已經(jīng)對用戶信息保障有所規(guī)定，難點(diǎn)仍然是在執(zhí)法上，這個(gè)問題從全球看都是一樣的，就如同美國和歐洲也有黑客盜取信息。”互聯(lián)網(wǎng)領(lǐng)域的知名律師于國富對《財(cái)經(jīng)國家周刊》表示，“例如中國的法律就規(guī)定了，對于非法入侵他人電腦獲取信息，可以判處三年或以下拘役徒刑，但年輕的黑客們甚至都不知道這個(gè)法律條文，他們精通互聯(lián)網(wǎng)技術(shù)，卻在法律方面面臨大片的盲區(qū)。”

同樣，發(fā)生于2011年底的互聯(lián)網(wǎng)用戶數(shù)據(jù)庫泄密事件，并非中國互聯(lián)網(wǎng)發(fā)展過程中的第一次規(guī)模性安全事件。2005年底，中國互聯(lián)網(wǎng)曾爆發(fā)了第一次大規(guī)模個(gè)人信息泄密事件，即“9000萬人信息泄露”事件，該次事件將“優(yōu)庫網(wǎng)Ucloo”和“中國同學(xué)錄”直接推至浪尖。

立法糾結(jié)之處

1994年由國務(wù)院頒布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，但這一條例更多的是從計(jì)算機(jī)病毒和國家信息安全的角度，對計(jì)算機(jī)信息領(lǐng)域安全進(jìn)行了規(guī)范，而這之后，隨著中國互聯(lián)網(wǎng)的發(fā)展，有關(guān)個(gè)人信息保護(hù)的立法，多年來一直是讓法律界和政府主管部門糾結(jié)的環(huán)節(jié)之一。

2002年，國務(wù)院信息化辦公室聯(lián)合中國社科院，開始了“個(gè)人數(shù)據(jù)法律法規(guī)比較課題”的研究，并于2005年在此基礎(chǔ)上形成了《中華人民共和國個(gè)人信息保護(hù)法（專家建議稿）及立法研究報(bào)告》。此后沒有更進(jìn)一步立法進(jìn)展。

在過去近十年中，試圖牽頭個(gè)人信息保護(hù)領(lǐng)域立法工作的部委，分別包括了國務(wù)院信息化辦公室、原信息產(chǎn)業(yè)部（現(xiàn)為工業(yè)和信息化部）、商務(wù)部等多個(gè)部委，然而，缺乏統(tǒng)一的牽頭單位，成為中國個(gè)人信息領(lǐng)域尤其是互聯(lián)網(wǎng)個(gè)人信息領(lǐng)域立法推進(jìn)緩慢的核心原因。

“就目前而言，中國政府目前甚至沒有專門的信息資源主管部門。如果無法從源頭厘清這一現(xiàn)狀，制定個(gè)人信息保護(hù)的法律法規(guī)，就無從談起，即便制定出這一法律，也無法得到有效實(shí)施和規(guī)范。”北京郵電大學(xué)教授、法律專家謝明敦對《財(cái)經(jīng)國家周刊》說。

作為中國互聯(lián)網(wǎng)業(yè)務(wù)上的主管部委，工業(yè)和信息化部于2011年2月曾《信息安全技術(shù)個(gè)人信息保護(hù)指南》，但由于該文件僅屬于建議性和規(guī)范性范疇，因此并沒有對互聯(lián)網(wǎng)信息泄露有任何可執(zhí)行的規(guī)范和處罰條文。

篇3

[關(guān)鍵詞] 網(wǎng)站 信息 安全管理

一、企業(yè)商務(wù)網(wǎng)站建設(shè)的總體情況

電子商務(wù)網(wǎng)站是企業(yè)開展電子商務(wù)的基礎(chǔ)設(shè)施和信息平臺，是實(shí)施電子商務(wù)的公司與服務(wù)對象之間的交互界面，是電子商務(wù)運(yùn)轉(zhuǎn)的承擔(dān)者和表現(xiàn)者。一些信息化水平高、經(jīng)濟(jì)實(shí)力雄厚、技術(shù)力量強(qiáng)的企業(yè)，往往采取自建網(wǎng)站的方式，即企業(yè)自己購置硬件設(shè)備并構(gòu)架服務(wù)器平臺，自行開發(fā)網(wǎng)站系統(tǒng)，自行對網(wǎng)站進(jìn)行控制和管理。與主機(jī)托管、租用虛擬主機(jī)等網(wǎng)站構(gòu)建方式相比，這種方式完全自主研發(fā)，易于采用新技術(shù)，便于擴(kuò)充、升級，同時(shí)企業(yè)內(nèi)部管理數(shù)據(jù)和商務(wù)網(wǎng)站信息高度整合，能提升企業(yè)的形象和效益。電子商務(wù)網(wǎng)站不容忽視的是隨之帶來的網(wǎng)絡(luò)信息安全問題，比如：信息污染、病毒泛濫、黑客入侵等等。對于企業(yè)自主建設(shè)的網(wǎng)站而言，其安全性完全由企業(yè)自行控制，風(fēng)險(xiǎn)更大，要求更高。如何加強(qiáng)企業(yè)商務(wù)網(wǎng)站的安全管理，已成為當(dāng)務(wù)之急，本文試圖對此做些探討。

二、信息安全三維模型概述

1．信息安全的安全層次結(jié)構(gòu)（層次維L）。從信息安全的作用層面來看，信息安全可以分為物理安全、系統(tǒng)安全、數(shù)據(jù)安全和信息內(nèi)容安全四層。(1)物理安全：主要體現(xiàn)在通信線路的可靠性、防災(zāi)害能力、防干擾能力、設(shè)備的運(yùn)行環(huán)境(溫度、濕度、煙塵)、不間斷電源保障等等。(2)系統(tǒng)安全：指的是計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備運(yùn)行過程中的穩(wěn)定性運(yùn)行狀態(tài)，因而又可稱之為“運(yùn)行安全”，包括操作系統(tǒng)的安全、網(wǎng)絡(luò)方面的安全。(3)數(shù)據(jù)安全：是指對信息在數(shù)據(jù)處理、存儲、檢索、傳輸、顯示等過程中的保護(hù)，不被非法冒充、竊取、篡改、抵賴。(4)信息內(nèi)容安全：是指對信息在網(wǎng)絡(luò)內(nèi)流動中的選擇性阻斷，以保證信息流動的可控能力。在此，被阻斷的對象主要是各種不良的、有害的信息。

2.PPDRR模型（時(shí)間維T）。PPDRR模型是典型的、動態(tài)的、自適應(yīng)的安全模型，包括策略（Policy）、防護(hù)（Protection）、檢測（Detection）、響應(yīng)（Response）和恢復(fù)（Recovery）5個(gè)主要部分。

信息安全策略是一個(gè)組織解決信息安全問題最重要的步驟，也是這個(gè)組織整個(gè)信息安全體系的基礎(chǔ)，反映出這個(gè)組織對現(xiàn)實(shí)安全威脅和未來安全風(fēng)險(xiǎn)的預(yù)期，反映出組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員安全風(fēng)險(xiǎn)的認(rèn)識與應(yīng)對。防護(hù)是安全的第一步；但采取豐富的安全防護(hù)措施并不意味著安全性就得到了可靠保障，因此要采取有效的手段對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)檢測，使安全防護(hù)從單純的被動防護(hù)演進(jìn)到積極的主動防御；響應(yīng)指在遭遇攻擊和緊急事件時(shí)及時(shí)采取措施；恢復(fù)指系統(tǒng)受到安全危害與損失后，能迅速恢復(fù)系統(tǒng)功能和數(shù)據(jù)。這個(gè)模型中，防護(hù)、檢測、響應(yīng)和恢復(fù)在安全策略的指導(dǎo)下構(gòu)成一個(gè)完整的、動態(tài)的安全循環(huán)，是基于時(shí)間關(guān)系的。

3.三大保障（保障維S）。信息安全保障體系由人員保障、管理制度保障、技術(shù)手段保障三個(gè)要素組成。安全領(lǐng)導(dǎo)小組、安全工作小組和安全工作執(zhí)行人員分別從決策、監(jiān)督和具體執(zhí)行三個(gè)層面為網(wǎng)絡(luò)信息安全工作提供了完整的人員保障， 良好的網(wǎng)絡(luò)信息安全保障離不開規(guī)范嚴(yán)謹(jǐn)?shù)墓芾碇贫?，同時(shí)還需要使用一系列先進(jìn)的技術(shù)工具和手段。

4.信息安全三維模型。上述分別從作用層次L、時(shí)間關(guān)系T及保障體系S這三個(gè)層面構(gòu)成了信息安全的三維模型，這三維是相互關(guān)聯(lián)、互相作用、不可分割的。如果將商務(wù)網(wǎng)站信息安全的各項(xiàng)措施明確在這個(gè)三維模型中的位置，就能夠做到有的放矢，增強(qiáng)針對性和邏輯性。

三、基于三維模型的企業(yè)商務(wù)網(wǎng)站信息安全對策

1.物理層。從防護(hù)角度看，企業(yè)自建商務(wù)網(wǎng)站所在機(jī)房應(yīng)具備較好的物理環(huán)境，包括UPS、空凋、消防系統(tǒng)等，使設(shè)備免受安全威脅和環(huán)境危險(xiǎn)，如偷竊、火災(zāi)、水（或供水故障）、電磁輻射等。從恢復(fù)角度看，網(wǎng)站平臺要有容災(zāi)、冗余備份等措施。在人員方面的措施包括：機(jī)房配備管理人員（除了進(jìn)行崗位操作和技能培訓(xùn)外，還要進(jìn)行職業(yè)道德、法律規(guī)范的培訓(xùn)）；在管理制度方面的措施包括：機(jī)房管理制度（電源管理、環(huán)境管理等）、設(shè)備常規(guī)管理制度；在技術(shù)手段方面包括用于防護(hù)的視頻監(jiān)控、門禁系統(tǒng)、抗擾處理等技術(shù)和用于恢復(fù)的容錯(cuò)、容災(zāi)、冗余備份等技術(shù)。

2.系統(tǒng)層。隨著網(wǎng)絡(luò)環(huán)境越來越復(fù)雜，計(jì)算機(jī)病毒及黑客攻擊手段越來越智能，影響范圍越來越廣、破壞力也越來越大。商業(yè)網(wǎng)站服務(wù)器的操作系統(tǒng)、WEB服務(wù)器系統(tǒng)如果存在較大安全漏洞，就會被黑客利用，造成整個(gè)網(wǎng)站的癱瘓。我們的應(yīng)對措施涵蓋了防護(hù)、檢測、響應(yīng)、恢復(fù)。這里技術(shù)手段起到了非常重要的作用，當(dāng)然人員保障和管理制度也是必不可少的。

重要的技術(shù)手段包括：(1)訪問控制：訪問控制是網(wǎng)站安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)站資源不被非法使用和訪問。它是保證網(wǎng)站安全最重要的核心策略之一。通常的訪問控制包括通過Ip地址來控制、通過用戶名來控制和采用共用密鑰加密的方法來控制。(2)病毒防護(hù)：需要建立完整的病毒防護(hù)體系，對應(yīng)用服務(wù)器、企業(yè)網(wǎng)內(nèi)部所有的客戶機(jī)進(jìn)行全面的防毒掃描，保證建立及時(shí)、快速的病毒響應(yīng)機(jī)制，發(fā)現(xiàn)病毒即時(shí)進(jìn)行處理，迅速抑制病毒傳播。(3)操作系統(tǒng)要及時(shí)打上補(bǔ)丁程序，并進(jìn)行完善的安全配置。(4)系統(tǒng)容錯(cuò)、容災(zāi)、冗余備份等技術(shù)，使網(wǎng)站一旦發(fā)生問題能夠及時(shí)恢復(fù)。

人員保障方面要配備技術(shù)拔尖的人才專門從事網(wǎng)站安全管理工作，負(fù)責(zé)操作系統(tǒng)、web服務(wù)器的安全配置。同時(shí)，還有有以下管理制度作保障：(1)計(jì)算機(jī)病毒預(yù)報(bào)制度和安全漏洞預(yù)報(bào)制度；(2)操作人員權(quán)限管理規(guī)定；(3)病毒、安全應(yīng)急響應(yīng)及處置預(yù)案；(4)安全日志管理制度。

3.數(shù)據(jù)層。商務(wù)網(wǎng)站的數(shù)據(jù)層安全是最為重要的，主要是保障數(shù)據(jù)的機(jī)密性、真實(shí)性、完整性。要能夠查證用戶的真實(shí)身份，交易中的商務(wù)信息均有保密的要求。如信用卡的賬號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機(jī)。另外要保證交易的全過程能夠被記錄并作為審計(jì)依據(jù)。

數(shù)據(jù)層的主要管理制度包括:(1)網(wǎng)站賬號管理規(guī)定。該規(guī)定應(yīng)包括注冊賬戶的資料提供、密碼規(guī)定、行為規(guī)范、操作系統(tǒng)及服務(wù)器的賬號管理等多個(gè)方面。這個(gè)規(guī)定用于數(shù)據(jù)層安全問題的防護(hù)。(2)關(guān)于網(wǎng)站突發(fā)事件和急處置工作預(yù)案。此預(yù)案旨在及時(shí)果斷處理網(wǎng)上突發(fā)事件，內(nèi)容可包括組織領(lǐng)導(dǎo)、工作網(wǎng)絡(luò)、宣傳教育、管理控制、案件查處等方面。這個(gè)規(guī)定用于數(shù)據(jù)層安全問題的響應(yīng)和恢復(fù)。(3)安全日志管理制度，這個(gè)規(guī)定用于數(shù)據(jù)層安全問題的檢測。

數(shù)據(jù)層的重要技術(shù)手段包括：(3)數(shù)據(jù)加密，即以加密格式存儲和傳輸敏感數(shù)據(jù)。(2)身份認(rèn)證：主要是利用用戶有關(guān)信息對用戶的身份進(jìn)行確認(rèn)，包括密碼、數(shù)字簽名、數(shù)字證書等方面來避免信息的非法獲取。(3)采用具有一定安全級別的SYBASE或ORACLE大型分布式數(shù)據(jù)庫，在此基礎(chǔ)上開發(fā)一些安全措施，增加相應(yīng)控件，對數(shù)據(jù)庫分級管理并提供可靠的故障恢復(fù)機(jī)制。

4.信息內(nèi)容層。商務(wù)網(wǎng)站會有留言板或論壇，便于與客戶交流并提供服務(wù)。但一些有害信息如垃圾信息、虛假信息、黃色信息等就有可能在網(wǎng)上出現(xiàn)。有些客戶會隨意發(fā)表一些帶有個(gè)人偏見的不良信息，造成不良影響。我們的目的是保證各種不良的有害信息不在網(wǎng)站內(nèi)出現(xiàn)、傳播。

信息內(nèi)容層主要有以下管理制度:(1)信息審查制度。(2)BBS及留言版的監(jiān)控與管理。這兩點(diǎn)必須有專人負(fù)責(zé)。

信息內(nèi)容層的技術(shù)手段主要是信息內(nèi)容過濾，包括URL或IP限制、文字?jǐn)r截、圖像審查、屏幕監(jiān)視等等。文字?jǐn)r截功能可以按關(guān)鍵字?jǐn)r截本機(jī)通過網(wǎng)絡(luò)傳輸?shù)男畔?，不僅是流入的信息， 而且可以是從本地流出的信息，這樣可以防止一些本機(jī)的機(jī)密信息或者其它不良信息的外泄。

四、結(jié)束語

在信息安全方面,漏洞無非三種類型,即:技術(shù)上的漏洞,管理上的漏洞和人的思想認(rèn)識上的漏洞。加強(qiáng)領(lǐng)導(dǎo)是做好此項(xiàng)工作的關(guān)鍵，企業(yè)可以成立專門的商務(wù)網(wǎng)站信息安全領(lǐng)導(dǎo)小組，由有關(guān)領(lǐng)導(dǎo)和有關(guān)職能部門（如保衛(wèi)處、信息中心等）的負(fù)責(zé)人組成。另外，要建立一支網(wǎng)絡(luò)安全管理隊(duì)伍，除企業(yè)信息中心人員要求技術(shù)過硬、思想素質(zhì)高外，部門要指定一名思想政治覺悟高、工作責(zé)任心強(qiáng)、懂電腦的人員擔(dān)任網(wǎng)站信息安全協(xié)助管理員。除了高超的技術(shù), 嚴(yán)密的規(guī)章制度,還要從領(lǐng)導(dǎo)干部、技術(shù)人員、一般用戶三個(gè)層面加強(qiáng)宣傳教育和安全培訓(xùn)工作。

參考文獻(xiàn):

[1]顧國飛等:全方位的網(wǎng)絡(luò)信息監(jiān)控體系[J]. 計(jì)算機(jī)工程與應(yīng)用，2003，(10)

[2]王娜方濱興等:“5432戰(zhàn)略”:國家信息安全保障體系框架研究[J].通信學(xué)報(bào)，2004年07期

篇4

盜號者大規(guī)模地利用被泄密用戶信息，獲取并激活新用戶展開網(wǎng)絡(luò)營銷，甚至網(wǎng)絡(luò)垂釣，一時(shí)人人自危。由于許多網(wǎng)民的郵箱、社區(qū)、微博、支付寶、信用卡、網(wǎng)銀等都是使用相同的用戶名和密碼，網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)極大，而一旦銀行卡信息泄露，更會威脅到個(gè)人資金和國家金融的安全，影響將更大。這場號稱中國互聯(lián)網(wǎng)史上最大信息泄露事件引起了國家的高度重視，銀行辟謠用戶數(shù)據(jù)泄露，國家工信部也通知，強(qiáng)烈譴責(zé)竊取和泄露用戶信息行為，并要求各互聯(lián)網(wǎng)站開展全面自查，避免泄露事件進(jìn)一步擴(kuò)散。

網(wǎng)絡(luò)安全不可小覷

由于近些年我國互聯(lián)網(wǎng)發(fā)展速度非常之快，進(jìn)而引發(fā)各種網(wǎng)絡(luò)安全事件不可小覷。上海眾人網(wǎng)絡(luò)安全技術(shù)有限公司（以下簡稱眾人科技網(wǎng)絡(luò)）董事長談劍峰表示，目前國內(nèi)網(wǎng)絡(luò)安全存在的問題主要為黑客攻擊，其手法較多，例如釣魚網(wǎng)站。

在金融行業(yè)，黑客可以通過釣魚網(wǎng)站盜取電子銀行信息，并通過登錄獲取用戶交易信息進(jìn)而竊取資金；在網(wǎng)絡(luò)游戲行業(yè)也存在很大的網(wǎng)絡(luò)安全隱患，許多游戲玩家的賬戶里擁有許多有價(jià)值存在的虛擬物品，黑客通過盜取用戶賬號及密碼，可以把這些虛擬物品轉(zhuǎn)到自己賬戶名下，或通過各種方式賣掉，這對于網(wǎng)絡(luò)游戲玩家而言是巨大的損失；在電子商務(wù)行業(yè)，由于其發(fā)展速度飛快，隨之也爆發(fā)出許多安全隱患。如目前正在迅速起步的移動支付，商家更多的重心往往落在產(chǎn)品的應(yīng)用，而對網(wǎng)絡(luò)的安全問題較為忽視，再加之我國的黑客數(shù)量比國外多，所以國內(nèi)面臨的安全問題更為普遍，也更為棘手與重要。

在信息安全里，身份驗(yàn)證是最前端的一道門，用戶首先需要通過用戶名和密碼來驗(yàn)證身份才能登陸網(wǎng)站，所以第一道門非常重要。2011年國內(nèi)這一重大網(wǎng)絡(luò)安全事件反映出，國內(nèi)互聯(lián)網(wǎng)行業(yè)使用傳統(tǒng)的靜態(tài)密碼登陸已非常普遍，用此種方式登陸存在很大安全隱患，網(wǎng)站的用戶信息通常是存在網(wǎng)站后臺，一旦網(wǎng)站后臺服務(wù)器被盜，則網(wǎng)站所有用戶信息都有可能被黑客所截取。而通常網(wǎng)民的習(xí)慣是許多網(wǎng)站都使用同一個(gè)用戶名及密碼，這就使同時(shí)盜取多個(gè)網(wǎng)站相關(guān)信息和密碼的機(jī)率大大增加。因此，保障網(wǎng)絡(luò)安全必須鎖好身份驗(yàn)證這第一道門，以及時(shí)把安全隱患解決。

小領(lǐng)域保障大舞臺

近些年，我國網(wǎng)民數(shù)量激增，國內(nèi)信息安全領(lǐng)域也在不斷地產(chǎn)生新的技術(shù)和新的產(chǎn)品，談劍峰表示，眾人科技網(wǎng)絡(luò)推出動態(tài)密碼的身份認(rèn)證，是國外已經(jīng)應(yīng)用很多年的先進(jìn)技術(shù)，其技術(shù)特點(diǎn)是與時(shí)間同步，如果在同步的時(shí)間內(nèi)基礎(chǔ)算法一致，算出來的密碼和同一時(shí)間服務(wù)器算出的密碼比對，通過即可認(rèn)證，如果不能通過則說明密碼錯(cuò)誤或令牌有問題。與目前國內(nèi)普遍使用的USB KEY相比，其技術(shù)最大的特點(diǎn)是完全不需要與電腦接觸，且在網(wǎng)上銀行、電話銀行、ATM機(jī)、POS機(jī)、平板電腦、手機(jī)都可適用，應(yīng)用較為廣泛。

在銀行領(lǐng)域，已經(jīng)逐漸從過去的柜面銀行發(fā)展成為現(xiàn)在的電子銀行，電子銀行對于緩解柜面壓力非常重要，也是未來銀行發(fā)展重中之重；在證券交易方面，從傳統(tǒng)的電腦交易延伸至電話交易和手機(jī)交易，由于不需要和電腦接觸，證券行業(yè)也是最為符合動態(tài)密碼身份認(rèn)證的領(lǐng)域；同時(shí)電信運(yùn)營商為許多企業(yè)規(guī)劃其內(nèi)部辦公及內(nèi)部系統(tǒng)管理，其中許多財(cái)務(wù)系統(tǒng)和采購系統(tǒng)等對于企業(yè)都是非常重要的信息，因此身份認(rèn)證和信息的保護(hù)必不可少。

在網(wǎng)絡(luò)游戲領(lǐng)域，目前一些游戲廠商已經(jīng)開始使用動態(tài)密碼身份認(rèn)證，以更好的保護(hù)網(wǎng)絡(luò)游戲用戶的安全。

在電子商務(wù)領(lǐng)域，其用戶的登錄和交易等都需要身份認(rèn)證來確保賬戶安全。

近些年，國家和企業(yè)也開始重視信息安全問題，市場從不被了解到逐漸獲得認(rèn)可，在國家密碼管理局以及行業(yè)內(nèi)企業(yè)的推動下，行業(yè)內(nèi)國家相關(guān)標(biāo)準(zhǔn)即將出臺，這對于信息安全領(lǐng)域的規(guī)范化和長足發(fā)展提供了更為廣闊的舞臺。

“騰云駕霧”迎未來

在未來發(fā)展上，眾人科技網(wǎng)絡(luò)緊密契合國家信息化建設(shè)的方向，同時(shí)推出云計(jì)算領(lǐng)域的服務(wù)。云計(jì)算經(jīng)過多年的發(fā)展，從最初的“云里霧里”、“不知所云”，到現(xiàn)在各地興建云計(jì)算中心，企業(yè)紛紛推出云服務(wù)、商家推出云產(chǎn)品，云端時(shí)代對于網(wǎng)絡(luò)信息安全企業(yè)來說是發(fā)展的契機(jī)。目前眾人科技網(wǎng)絡(luò)推出針對云的身份管理及身份服務(wù)和云相關(guān)授權(quán)管理和授權(quán)服務(wù)，以及相應(yīng)的云安全檢測系統(tǒng)。談劍峰表示，從私有云到公有云是一個(gè)發(fā)展的過程，社會對于云的安全性接受度有一個(gè)過程，如果公有云安全性得到保障，用戶便會把信息逐步放到公有云上。目前，云系統(tǒng)里已經(jīng)在應(yīng)用的有通信行業(yè)，根據(jù)其行業(yè)特征制定相應(yīng)基于云安全的管理架構(gòu)，以及針對性的二次開發(fā)。

云安全涉及很多方面，云安全管理系統(tǒng)本身可以架構(gòu)在laaS上，同時(shí)又可以為SaaS的一些云服務(wù)提供相應(yīng)的云安全和云身份服務(wù)。雖然云計(jì)算在發(fā)展中會遇到很多困難，但大家對于公有云的接受也只是時(shí)間問題。

篇5

去年年底大規(guī)模爆發(fā)的互聯(lián)網(wǎng)用戶信息泄密事件，至今讓我們心有余悸。此前，廣大用戶對網(wǎng)上個(gè)人隱私安全雖有擔(dān)憂，但并未有清醒之認(rèn)識。隨后，關(guān)于用戶隱私的整條黑色產(chǎn)業(yè)鏈也逐漸曝光，原來，收不完的垃圾短信、各種網(wǎng)上購物或匯款騙等等，都與此相關(guān)。

無論是對用戶基本權(quán)益的維護(hù)，還是促進(jìn)整個(gè)互聯(lián)網(wǎng)產(chǎn)業(yè)的健康持續(xù)發(fā)展，個(gè)人隱私保護(hù)都是刻不容緩。

個(gè)人隱私保護(hù)難在哪?

眾所周知，我國互聯(lián)網(wǎng)的發(fā)展速度之快另世界矚目，企業(yè)加大投入、新的資本大量跟進(jìn)使得各種互聯(lián)網(wǎng)創(chuàng)新業(yè)務(wù)層出不窮，在給用戶提供了更多差異化服務(wù)的同時(shí)，也導(dǎo)致用戶把越來越多的和隱私相關(guān)的東西放在了網(wǎng)上。新浪微博進(jìn)行認(rèn)證，你要把名字和身份證號填上；在互聯(lián)網(wǎng)上買東西、玩游戲，不知不覺當(dāng)中就必須要把自己的郵箱、電話號碼、身份證號碼、門牌號、家庭地址填在網(wǎng)上?？傊絹碓蕉嗟膫€(gè)人隱私信息已經(jīng)存在了互聯(lián)網(wǎng)上。

但很多網(wǎng)民，對這些東西存在的風(fēng)險(xiǎn)一直渾然不知。很多網(wǎng)站都曾經(jīng)做出安全承諾，網(wǎng)民就認(rèn)為真的沒事――直到去年底爆發(fā)的大規(guī)模泄密事件。

致命的是，大多數(shù)互聯(lián)網(wǎng)企業(yè)保護(hù)用戶信息安全的覺悟和投入幾乎為零。數(shù)據(jù)顯示，目前，國內(nèi)互聯(lián)網(wǎng)公司的安全支出僅占IT支出的1％，而目前，歐美國家的安全支出占到整個(gè)IT支出的10％左右。大部分企業(yè)根本無法抵抗“黑客”來襲。面對大規(guī)模的用戶信息泄露，企業(yè)責(zé)無旁貸。

360網(wǎng)站安全檢測平臺的分析顯示，“國內(nèi)83％以上的網(wǎng)站存在各種安全漏洞，大部分網(wǎng)站基礎(chǔ)防護(hù)能力薄弱；國內(nèi)中小型網(wǎng)站普遍沒有專職的安全工程師維護(hù)，光靠服務(wù)器配置防火墻和入侵檢測設(shè)備，無法有效防御黑客的入侵?！?/p>

而互聯(lián)網(wǎng)一些新的發(fā)展趨勢更是加大了未來保護(hù)個(gè)人信息的難度。隨著帶寬的提速，云計(jì)算的興起，HTML5技術(shù)的推廣，一些大的互聯(lián)網(wǎng)開放平臺可能會發(fā)展成為類操作系統(tǒng)的形式。IT基礎(chǔ)架構(gòu)發(fā)生變化以后，對網(wǎng)絡(luò)安全又提出新的要求。同時(shí)，智能手機(jī)成為用戶登錄互聯(lián)網(wǎng)的一大終端，正在成為大眾互聯(lián)網(wǎng)生活的主要載體，智能終端涉及地理位置等信息，進(jìn)行個(gè)人隱私保護(hù)更是復(fù)雜的工作。

保證信息安全需“二位”一體

3月15日，主題為“保護(hù)個(gè)人信息、增強(qiáng)行業(yè)自律”的“2012中國個(gè)人信息保護(hù)大會”在北京召開，旨在共同探尋針對個(gè)人信息安全切實(shí)可行的專業(yè)解決方案，提高社會公眾個(gè)人信息保護(hù)意識，并推動我國信息服務(wù)產(chǎn)業(yè)個(gè)人信息保護(hù)法律體系的建立。

作為中國目前最大的互聯(lián)網(wǎng)及無線安全服務(wù)提供商，奇虎360公司的總裁齊向東在會上表示，互聯(lián)網(wǎng)時(shí)代的個(gè)人隱私保護(hù)，不可能由一家“包辦”，必須網(wǎng)站、政府、安全公司實(shí)現(xiàn)“三位一體”，一個(gè)都不能少。

齊向東表示，中國互聯(lián)網(wǎng)隱私保護(hù)的總體狀況是非常令人擔(dān)憂的。目前，互聯(lián)網(wǎng)中的個(gè)別網(wǎng)站服務(wù)商，為了追求商業(yè)利益最大化，忽視網(wǎng)民的隱私安全，已經(jīng)成為用戶隱私泄露的途徑，給網(wǎng)民造成巨大損失。因此，互聯(lián)網(wǎng)網(wǎng)站服務(wù)商必須要采取安全措施，提升管理水平，承擔(dān)起妥善保管用戶個(gè)人數(shù)據(jù)的責(zé)任。

同時(shí)，政府部門作為相應(yīng)的立法和監(jiān)管者，同樣是隱私保護(hù)的一道重要防線。

在該會上，工業(yè)和信息化部副部長楊學(xué)山提出了個(gè)人信息保護(hù)立法的問題。楊學(xué)山副部長指出，個(gè)人信息保護(hù)關(guān)系每個(gè)人，也關(guān)系到產(chǎn)業(yè)發(fā)展、社會穩(wěn)定和網(wǎng)絡(luò)秩序。隨著網(wǎng)絡(luò)發(fā)展，個(gè)人信息集中度越來越高，個(gè)人信息保護(hù)成為法制建設(shè)關(guān)注的重要內(nèi)容，必須加快推動個(gè)人信息保護(hù)相關(guān)立法。

360嚴(yán)陣以待

當(dāng)然，安全公司在保護(hù)個(gè)人信息安全上肯定是扮演著至關(guān)重要的角色。奇虎360總裁齊向東直言，目前全國有90%以上的用戶都裝著360的安全軟件，因而深感承擔(dān)的責(zé)任重大。

在接受本刊記者專訪時(shí)，齊向東表示，為此，360已經(jīng)建立起了一個(gè)綜合的信息安全保護(hù)體系，為用戶權(quán)益和互聯(lián)網(wǎng)的健康發(fā)展保駕護(hù)航。

首先，絕大部分隱私信息的泄露，與終端病毒木馬等惡意程序相關(guān)，360殺毒軟件，成為保護(hù)隱私的第一道屏障；其次，除了客戶端的安全軟件，針對商業(yè)網(wǎng)站，360提供免費(fèi)的云服務(wù)“網(wǎng)站安全檢測”和“網(wǎng)站寶”。通過云端，360對合作網(wǎng)站的每一個(gè)頁面發(fā)起檢測服務(wù)，檢測頁面的漏洞。如果有漏洞，把報(bào)警信息發(fā)送給相關(guān)負(fù)責(zé)人并修改漏洞。網(wǎng)站安全檢測這個(gè)服務(wù)可以防止網(wǎng)站被“拖庫”這種事件發(fā)生的概率。小型或者流量比較低的網(wǎng)站，沒有必要投入那么大的人力和財(cái)力解決網(wǎng)站安全問題。360對中小網(wǎng)站提供“網(wǎng)站寶”服務(wù)。用戶訪問網(wǎng)站域名的時(shí)候自動跳到360的服務(wù)器上，攻擊代碼就除掉了。

據(jù)悉，目前已經(jīng)有幾十萬家網(wǎng)站加入到360的免費(fèi)安全服務(wù)中。

同時(shí)，我們看到，不論是PC，還是移動終端，應(yīng)用和服務(wù)為王的時(shí)代已經(jīng)到來。在互聯(lián)網(wǎng)時(shí)代，各種各樣的應(yīng)用超出原來的系統(tǒng)范圍，用傳統(tǒng)的掃描方式，肯定掃不出來，就是掃出來，也認(rèn)不出來，認(rèn)不出來也不敢殺。

對此，齊向東告訴記者，從06年誕生開始，360就一直做云安全，是在在具體情境之下解決用戶電腦和信息安全問題的。這方面，360有三大體系。

第一個(gè)，主動防御體系。這套體系是專門做入口防御的。使用應(yīng)用所中的木馬病毒，在電腦里總要運(yùn)行，運(yùn)行之后，它可能會修改注冊表，可能會加載某些進(jìn)程，可能會對電腦的啟動項(xiàng)、對電腦的關(guān)鍵設(shè)置等進(jìn)行修改，通過這些修改達(dá)到商業(yè)目的。這些動作，就構(gòu)成了運(yùn)行的場景。在這個(gè)場景下，360設(shè)置了白名單軟件，而黑名單軟件就不能運(yùn)行。

第二個(gè)，保鏢體系，包括購物保鏢、下載保鏢、U盤保鏢、看片保鏢及360隱私保鏢。當(dāng)網(wǎng)民使用應(yīng)用程序的時(shí)候構(gòu)建一個(gè)一個(gè)的場景，在不同場景下，有不同的保護(hù)模式。比如要進(jìn)一個(gè)電子商務(wù)網(wǎng)站買東西，就構(gòu)成一個(gè)場景。在這個(gè)場景下，只要你一進(jìn)入網(wǎng)銀的頁面，360就執(zhí)行一個(gè)嚴(yán)格的清場政策，進(jìn)行網(wǎng)銀操作時(shí)，無關(guān)的程序都要停止。而在隱私模式里面，可能會導(dǎo)致你隱私泄露的各個(gè)場景，360能夠最大限度地保證隱私不會泄露。隱私保鏢還有一項(xiàng)服務(wù)隱私體檢，用戶電腦上的cookie和大量的緩存文件含有大量個(gè)人隱私的東西，360會提醒用戶風(fēng)險(xiǎn)。

第三個(gè)，是助手系列。助手系列是在執(zhí)行非常復(fù)雜的客戶端操作的時(shí)候提供保護(hù)服務(wù)，再加上360的保鏢系列、查殺功能和軟件管家，給網(wǎng)民提供了一個(gè)全套的服務(wù)和防護(hù)系統(tǒng)。

齊向東表示，隨著一個(gè)一個(gè)新應(yīng)用的誕生，新模式的誕生，新的類OS的誕生，360會不斷充實(shí)完善自身服務(wù)。用戶最終還是要執(zhí)行各種應(yīng)用操作，在這些情境里面，360將按照情境做好防護(hù)，保證用戶的個(gè)人隱私安全。

上個(gè)月，360還專門任命了公司副總裁譚曉生為首席隱私宮。譚曉生將負(fù)責(zé)處理360軟件產(chǎn)品可能涉及到用戶數(shù)據(jù)的各項(xiàng)事務(wù)，包括規(guī)劃和制定公司的隱私政策、審核備產(chǎn)品的用戶使用協(xié)議、監(jiān)督各產(chǎn)品的工作原理和信息處理機(jī)制等，保證公司各軟件產(chǎn)品的行為符合國家相關(guān)的法律法規(guī)，并通過與國際企業(yè)和各隱私保護(hù)組織的交流，進(jìn)一步提高和完善公司現(xiàn)行的隱私保護(hù)制度。

篇6

論文關(guān)鍵詞：信息安全；保護(hù)

信息安全包括以下內(nèi)容：真實(shí)性，保證信息的來源真實(shí)可靠；機(jī)密性，信息即使被截獲也無法理解其內(nèi)容；完整性，信息的內(nèi)容不會被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對信息的傳播及內(nèi)容具有控制能力；不可抵賴性，用戶對其行為不能進(jìn)行否認(rèn)；可審查性，對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。與傳統(tǒng)的安全問題相比，基于網(wǎng)絡(luò)的信息安全有一些新的特點(diǎn)：信息安全威脅主要來源于自然災(zāi)害、意外事故；計(jì)算機(jī)犯罪；人為錯(cuò)誤，比如使用不當(dāng)，安全意識差等；“黑客”行為；內(nèi)部泄密；外部泄密；信息丟失；電子諜報(bào)，比如信息流量分析、信息竊取等；信息戰(zhàn)；網(wǎng)絡(luò)協(xié)議自身缺陷，等等。

1我國信息安全的現(xiàn)狀

近年來，隨著國家宏觀管理和支持力度的加強(qiáng)、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進(jìn)行、對國際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素，我國在信息安全管理上的進(jìn)展是迅速的。但是，由于我國的信息化建設(shè)起步較晚，相關(guān)體系不完善，法律法規(guī)不健全等諸多因素，我國的信息化仍然存在不安全問題。

①網(wǎng)絡(luò)安全的防護(hù)能力較弱。我國的信息化建設(shè)發(fā)展迅速，各個(gè)企業(yè)紛紛設(shè)立自己的網(wǎng)站，特別是“政府上網(wǎng)工程”全面啟動后，各級政府已陸續(xù)設(shè)立了自己的網(wǎng)站，但是由于許多網(wǎng)站沒有防火墻設(shè)備、安全審計(jì)系統(tǒng)、入侵監(jiān)測系統(tǒng)等防護(hù)設(shè)備，整個(gè)系統(tǒng)存在著相當(dāng)大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報(bào)告稱，在網(wǎng)絡(luò)黑客攻擊的國家中，中國是最大的受害國。

②對引進(jìn)的國外設(shè)備和軟件缺乏有效的管理和技術(shù)改造。由于我國信息技術(shù)水平的限制，很多單位和部門直接引進(jìn)國外的信息設(shè)備，并不對其進(jìn)行必要的監(jiān)測和改造，從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機(jī)。

③我國基礎(chǔ)信息產(chǎn)業(yè)薄弱，核心技術(shù)嚴(yán)重依賴國外，缺乏自主創(chuàng)新產(chǎn)品，尤其是信息安全產(chǎn)品。我國信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國外，這使我國的網(wǎng)絡(luò)安全性能大大減弱，被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù)，我國的網(wǎng)絡(luò)處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中，網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。

除此之外，我國目前信息技術(shù)領(lǐng)域的不安全局面，也與西方發(fā)達(dá)國家對我國的技術(shù)輸出進(jìn)行控制有關(guān)。

2我國信息安全保護(hù)的策略

針對我國信息安全存在的問題，要實(shí)現(xiàn)信息安全不但要靠先進(jìn)的技術(shù)，還要有嚴(yán)格的法律法規(guī)和信息安全教育。

①加強(qiáng)全民信息安全教育，提高警惕性。從小做起，從己做起，有效利用各種信息安全防護(hù)設(shè)備，保證個(gè)人的信息安全，提高整個(gè)系統(tǒng)的安全防護(hù)能力，從而促進(jìn)整個(gè)系統(tǒng)的信息安全。

②發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)，加大信息產(chǎn)業(yè)投入。增強(qiáng)自主創(chuàng)新意識，加大核心技術(shù)的研發(fā)，尤其是信息安全產(chǎn)品，減小對國外產(chǎn)品的依賴程度。

③創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國信息安全的法規(guī)體系，制定相關(guān)的法律法規(guī)，例如信息安全法、數(shù)字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產(chǎn)權(quán)保護(hù)法、電子信息個(gè)人隱私法、電子信息進(jìn)出境法等，加大對網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度，對其進(jìn)行嚴(yán)厲的懲處。

篇7

“在網(wǎng)站上注冊時(shí)，我有個(gè)習(xí)慣。要求填寫姓名時(shí)，注冊Sina的用戶我就填張新浪，注冊Yahoo我就叫張雅虎，注冊Baidu我就寫張百度，注冊Mop我就用張貓撲，注冊Google我就改叫張谷歌。今天接到個(gè)電話，問：是張建設(shè)小姐嗎？我一聽就知道，這回是銀行把我的個(gè)人資料泄露了……”如今，愈演愈烈的個(gè)人信息泄露事件，已經(jīng)讓張小姐的這個(gè)“小竅門”廣為流傳，不少網(wǎng)民正在利用這類方法發(fā)現(xiàn)個(gè)人信息泄露的源頭。

伴隨網(wǎng)上金融交易和網(wǎng)上購物等互聯(lián)網(wǎng)應(yīng)用的興起，個(gè)人的重要信息變成了網(wǎng)絡(luò)中流動的數(shù)據(jù)，非法收集、利用、公開個(gè)人信息的機(jī)會之門也由此大開。近年來，信息和網(wǎng)絡(luò)的迅速發(fā)展，使個(gè)人信息保護(hù)越來越受到網(wǎng)民的關(guān)注與重視。隨著信息泄露案件的頻繁出現(xiàn)，個(gè)人信息的保護(hù)已成為各國關(guān)注的重要問題。然而，作為一個(gè)網(wǎng)民人口大國，中國網(wǎng)民個(gè)人信息保護(hù)現(xiàn)狀卻令人憂慮。

2011年12月21日，開發(fā)者社區(qū)CSDN遭黑客攻擊，600萬用戶賬號及明文密碼泄露，用戶資料被大量傳播。幾天之后，烏云漏洞平臺又爆出天涯社區(qū)遭黑客攻擊，導(dǎo)致4000萬用戶資料被泄露的消息。此后，京東商城、當(dāng)當(dāng)網(wǎng)、支付寶等多家網(wǎng)站紛紛陷入“漏洞門”， 被指因網(wǎng)站安全漏洞而存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)……2011年底，中國互聯(lián)網(wǎng)遭遇的史上最大規(guī)模的用戶信息泄露事件，直接導(dǎo)致了網(wǎng)民對主流網(wǎng)站的信任危機(jī)。由此可見，中國互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展已經(jīng)走到了不得不關(guān)注、重視個(gè)人信息保護(hù)的時(shí)代。

個(gè)人信息安全保護(hù)的中國進(jìn)程

有關(guān)個(gè)人信息保護(hù)的原則，最重要的是國際經(jīng)合組織在1980年頒布的《關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)跨國流通指導(dǎo)原則》中有關(guān)個(gè)人信息保護(hù)的八項(xiàng)原則，許多國家都以此為據(jù)制定了本國的個(gè)人信息保護(hù)法。這些原則包括：收集限制原則、數(shù)據(jù)質(zhì)量原則、列明目的原則、使用限制原則、安全保護(hù)原則、公開原則、個(gè)人參與原則和責(zé)任原則。個(gè)人信息的保護(hù)原則，體現(xiàn)了對人的尊重和對個(gè)人信息的規(guī)范管理。它的目的實(shí)際是在保護(hù)個(gè)人信息的同時(shí)，讓個(gè)人信息能真正實(shí)現(xiàn)自身價(jià)值，更好地為公眾服務(wù)。

互聯(lián)網(wǎng)行業(yè)是一個(gè)時(shí)刻需要創(chuàng)新和變化的行業(yè)。曾有部分企業(yè)認(rèn)為：強(qiáng)調(diào)對個(gè)人信息的保護(hù)，會制約互聯(lián)網(wǎng)行業(yè)的創(chuàng)新精神，阻礙行業(yè)的發(fā)展。這說明，一些互聯(lián)網(wǎng)企業(yè)對個(gè)人信息安全保護(hù)的理解，還存在誤區(qū)。專家指出，對個(gè)人信息的保護(hù)并不是為了限制個(gè)人信息的流動，而是對個(gè)人信息的流動進(jìn)行正規(guī)的管理和規(guī)范，以保證符合讓信息主體同意的目的，保持信息的正確、有效和安全，最終確保個(gè)人信息能夠在合理、合法的狀態(tài)下流動。

到目前為止，國際上已經(jīng)有50多個(gè)國家和組織建立了個(gè)人信息保護(hù)的相關(guān)法規(guī)和標(biāo)準(zhǔn)，如歐盟理事會《有關(guān)個(gè)人數(shù)據(jù)自動化處理的個(gè)人保護(hù)協(xié)定》、國際經(jīng)合組織《關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)跨國流通指導(dǎo)原則》、歐盟《1995年個(gè)人數(shù)據(jù)保護(hù)指南》、《瑞典個(gè)人數(shù)據(jù)法》、歐盟《2002年隱私和電子通信指令》、《美國隱私權(quán)法》、《加拿大個(gè)人數(shù)據(jù)保護(hù)法》、英國《數(shù)據(jù)保護(hù)法》、美國《電子通信隱私法》、美國《互聯(lián)網(wǎng)保護(hù)個(gè)人隱私的政策》、日本《個(gè)人信息保護(hù)法》等。

與一些發(fā)達(dá)國家相比，我國在信息安全保護(hù)意識與規(guī)范制定方面存在一些弱項(xiàng)。特別是個(gè)人信息保護(hù)意識不足的問題，還曾經(jīng)直接導(dǎo)致國際市場在選擇外包企業(yè)時(shí)對中國企業(yè)的不信任，嚴(yán)重影響了我國軟件及信息服務(wù)外包業(yè)務(wù)的發(fā)展。

2008年，個(gè)人信息保護(hù)被納入工業(yè)和信息化部重點(diǎn)工作范疇。2009年，為了消除國際影響，提升國內(nèi)企業(yè)在國際軟件與信息服務(wù)外包業(yè)務(wù)中的競爭力，我國成立了首個(gè)個(gè)人信息保護(hù)管理委員會并建立了個(gè)人信息保護(hù)的評價(jià)制度。工業(yè)和信息化部信息安全協(xié)調(diào)司副司長歐陽武告訴記者，這套評價(jià)制度啟用效果非常明顯，它不僅得到了境外相關(guān)機(jī)構(gòu)的認(rèn)可，也為國內(nèi)企業(yè)承接境外業(yè)務(wù)提供了基本保障。此后，這套評價(jià)體系的建立，也確實(shí)為個(gè)人信息安全保護(hù)工作的開展起到了旗幟性的作用。

2011年初，為了全面推動我國信息服務(wù)產(chǎn)業(yè)個(gè)人信息保護(hù)體系的建立，在信息安全標(biāo)準(zhǔn)委員會的指導(dǎo)下，由中國軟件評測中心牽頭制定了國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（以下簡稱《指南》）、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2011年國家標(biāo)準(zhǔn)編制計(jì)劃（編號：TC260-BZZXD-WG7-2011018）。在“指南”的基礎(chǔ)上，信息系統(tǒng)個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系中其他技術(shù)、管理和行業(yè)標(biāo)準(zhǔn)也已進(jìn)入計(jì)劃制定階段。

《指南》制定完成后，伴隨一些第三方評測平臺的努力，如今標(biāo)準(zhǔn)落實(shí)工作已出現(xiàn)實(shí)質(zhì)性進(jìn)展。2011年5月，受工業(yè)和信息化部信息安全協(xié)調(diào)司委托，中國軟件評測中心力邀個(gè)人信息保護(hù)相關(guān)專家，組成評測專家組，并根據(jù)《指南》內(nèi)容，研究制定了2011年互聯(lián)網(wǎng)網(wǎng)站個(gè)人信息保護(hù)政策測評方案和測評指標(biāo)。歷經(jīng)六個(gè)月，專家組對電子商務(wù)、論壇博客、銀行、保險(xiǎn)、婚戀、招聘、游戲七類共105家網(wǎng)站進(jìn)行了個(gè)人信息保護(hù)政策測評，正式將《指南》通過科學(xué)的個(gè)人信息安全相關(guān)評級機(jī)制落實(shí)。同時(shí)，針對移動互聯(lián)網(wǎng)帶來的個(gè)人信息泄露問題，中國軟件評測中心還與北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)實(shí)驗(yàn)室合作，選取了安卓手機(jī)各類熱門軟件對其個(gè)人信息安全狀況進(jìn)行了測試評估。

而相關(guān)評測報(bào)告顯示，個(gè)人信息安全防護(hù)的主戰(zhàn)場，正在伴隨移動設(shè)備和Wi-Fi網(wǎng)絡(luò)的普及不斷蔓延擴(kuò)大，個(gè)人信息安全防護(hù)各項(xiàng)工作的開展已刻不容緩。

個(gè)人信息保衛(wèi)戰(zhàn)出現(xiàn)第二戰(zhàn)場

十年前，地鐵里最常見的人群是手拿報(bào)紙的上班族。但是今天，手握手機(jī)的上網(wǎng)族成了主流。搜索、游戲、閱讀、音樂、互動社區(qū)，手機(jī)支付、手機(jī)電視……層出不窮的移動互聯(lián)網(wǎng)應(yīng)用在吸引大量用戶的同時(shí)，也把個(gè)人信息安全保衛(wèi)戰(zhàn)推向了更廣闊的戰(zhàn)場。

2012年1月，中國互聯(lián)網(wǎng)信息中心（CNNIC）了《第29次中國互聯(lián)網(wǎng)絡(luò)發(fā)展情況統(tǒng)計(jì)報(bào)告》。該報(bào)告顯示，截至2011年12月底，手機(jī)網(wǎng)民數(shù)量超過3.5億。艾瑞咨詢預(yù)計(jì)，中國手機(jī)應(yīng)用商店2012年和2013年的用戶規(guī)模將有望分別達(dá)1.82億、2.75億。手機(jī)應(yīng)用軟件商店正在成為各大IT巨頭發(fā)力的焦點(diǎn)。

但是，在移動互聯(lián)網(wǎng)應(yīng)用發(fā)展勢頭一片大好的背后，卻暗藏著個(gè)人信息泄露的巨大風(fēng)險(xiǎn)。美國標(biāo)槍戰(zhàn)略研究公司（Javelin Strategy & Research）近期公布的的一份報(bào)告顯示，2011年美國有近1200萬人淪為身份盜竊的犧牲品，較2010年增長了13%。主要原因正是智能手機(jī)和社交媒體使用的增加。日本的KDDI研究所在調(diào)查了400種智能手機(jī)熱門免費(fèi)應(yīng)用軟件后發(fā)現(xiàn)，約6%的軟件會將電話號碼、終端ID、位置信息及使用軟件一覽表在用戶不知情的情況下向外部發(fā)送。據(jù)國外媒體報(bào)道，安全廠商Dasient對1萬款安卓應(yīng)用進(jìn)行了研究，發(fā)現(xiàn)逾8%的應(yīng)用會向沒有獲得授權(quán)的計(jì)算機(jī)傳輸用戶的個(gè)人資料。

360安全中心日前的《2011年中國手機(jī)安全狀況報(bào)告》指出，2011年全年新增手機(jī)惡意軟件及木馬8714個(gè)，被感染智能手機(jī)用戶數(shù)超過2753萬人次。其中，安卓手機(jī)操作系統(tǒng)成為安全問題最為嚴(yán)重的平臺。根據(jù)360手機(jī)云安全中心統(tǒng)計(jì)，2011年是Android平臺惡意軟件及木馬的“井噴年”，相較2010年全年共發(fā)現(xiàn)12個(gè)木馬樣本相比，今年捕獲新增安卓木馬樣本4722個(gè)，被感染手機(jī)用戶數(shù)超過498萬人次。從2011年8月起，安卓平臺每月新增木馬數(shù)量開始連續(xù)4個(gè)月超過塞班平臺，在新增安全威脅的增速與增量上全面居首。

2011年10月到2012年3月，中國軟件評測中心與北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)實(shí)驗(yàn)室針對Android手機(jī)軟件的個(gè)人信息安全評測結(jié)果顯示，基于安卓平臺的應(yīng)用存在嚴(yán)重的信息泄露風(fēng)險(xiǎn)。這次評測在中國移動應(yīng)用商城、中國聯(lián)通沃商店、中國電信天翼空間、機(jī)鋒網(wǎng)等應(yīng)用商店中隨機(jī)選擇了幾百個(gè)測試樣本，測試指標(biāo)選取的原則為信息泄露造成危害程度、用戶對信息的敏感性、利益相關(guān)方對個(gè)人信息的關(guān)注點(diǎn)。結(jié)果顯示：IMEI號碼泄露問題最為嚴(yán)重，其次為手機(jī)號碼泄露，再次為地理位置和SIM卡序列號泄露。而在優(yōu)億市場、寶軟網(wǎng)、安卓在線、數(shù)熊游戲軟件等手機(jī)軟件電子市場采樣測試的結(jié)果則顯示“數(shù)熊游戲軟件”泄露手機(jī)號碼情況較為嚴(yán)重。

這些數(shù)據(jù)顯示，移動互聯(lián)網(wǎng)已經(jīng)變成了安全攻防的第二個(gè)主戰(zhàn)場。面對移動互聯(lián)網(wǎng)的發(fā)展和Wi-Fi普及帶來的個(gè)人信息泄露風(fēng)險(xiǎn)，360總裁齊向東認(rèn)為只有通過在移動終端上安裝安全軟件，才能實(shí)現(xiàn)有效的防御。在他看來，互聯(lián)網(wǎng)應(yīng)用的高速發(fā)展正在顯示一種趨勢――未來人們勢必會將更多的個(gè)人信息、隱私信息放在互聯(lián)網(wǎng)中，保護(hù)個(gè)人信息安全會變成互聯(lián)網(wǎng)的頭等大事。但當(dāng)前人們對移動設(shè)備安全防護(hù)的認(rèn)識還遠(yuǎn)遠(yuǎn)不足，比如安卓這類開源操作系統(tǒng)平臺在安全性方面要遠(yuǎn)比Windows系統(tǒng)薄弱，基于這類平臺開發(fā)的應(yīng)用在安全機(jī)制方面的考慮也遠(yuǎn)遠(yuǎn)不夠，這些問題會造成安全風(fēng)險(xiǎn)，很多用戶對此還沒有清醒的認(rèn)識。和傳統(tǒng)的終端相比，移動終端安全防護(hù)產(chǎn)品在個(gè)人信息安全防護(hù)的戰(zhàn)場上所起到的作用將更為突出。如何構(gòu)建多維防線

歐陽武指出，只有把個(gè)人信息保護(hù)納入法制化的軌道，才能實(shí)現(xiàn)對個(gè)人信息的最好保護(hù)。在他看來，只有通過法律，才能明確組織和個(gè)人在處理信息過程中的責(zé)任，建立個(gè)人信息的監(jiān)管體制，明確侵害他人隱私的責(zé)任和行政處罰制度。其次，由行業(yè)組織依據(jù)行業(yè)信息保護(hù)規(guī)則，在照顧行業(yè)發(fā)展特點(diǎn)的同時(shí)，制定出行業(yè)信息保護(hù)規(guī)范，通過行業(yè)自律的方式進(jìn)一步完善事后承接機(jī)制，約束行業(yè)濫用信息也是非常關(guān)鍵的工作。此外，由于目前個(gè)人信息保護(hù)的國家標(biāo)準(zhǔn)還沒有正式出臺，企業(yè)的個(gè)人信息保護(hù)政策的落實(shí)的相關(guān)措施還沒有相應(yīng)的監(jiān)督機(jī)制，對企業(yè)的個(gè)人信息保護(hù)能力還無法做到客觀的評價(jià)，廣大網(wǎng)絡(luò)用戶對相關(guān)的措施和安全管理工作還缺乏認(rèn)知，實(shí)現(xiàn)個(gè)人信息保護(hù)也需要做大量的細(xì)致工作，所以目前根據(jù)標(biāo)準(zhǔn)的內(nèi)容制定測評指標(biāo)體系，建立第三方測評評估機(jī)制非常重要。第三方測評不僅能為行業(yè)自律提供可借鑒的標(biāo)準(zhǔn)，還能對提高全社會的個(gè)人信息保護(hù)意識起到推動作用。

篇8

就在會議召開的前2天，國內(nèi)知名程序員網(wǎng)站CSDN遭到黑客侵襲，600余萬明文注冊的郵箱賬號與密碼遭到泄露。多玩網(wǎng)、人人網(wǎng)、世紀(jì)佳緣、貓撲論壇等多家網(wǎng)站受到牽連，堪稱中國互聯(lián)網(wǎng)上最大規(guī)模的一次用戶資料泄露事件。

近年來，伴隨著中國網(wǎng)絡(luò)規(guī)模的持續(xù)增長，類似的個(gè)人信息泄露案件層出不窮，而隨著移動互聯(lián)網(wǎng)、三網(wǎng)融合、云計(jì)算等新技術(shù)的推進(jìn)，網(wǎng)絡(luò)安全又面臨著更多新的挑戰(zhàn)。因此，必須意識到網(wǎng)絡(luò)安全工作的重要性和緊迫性，將加強(qiáng)互聯(lián)網(wǎng)安全建設(shè)上升到實(shí)質(zhì)的行動階段。而這個(gè)實(shí)質(zhì)行動階段，需要法律、網(wǎng)站、網(wǎng)民多方在攻、防上共同努力。

首先，法律方面，以立法為攻，以嚴(yán)懲為防。我國當(dāng)前對個(gè)人信息的保護(hù)機(jī)制還很不完善，《個(gè)人信息保護(hù)法》的相關(guān)立法工作早在2003年就已啟動，但時(shí)至今日，仍未出臺。所以，目前迫切需要加快信息安全立法，以有效應(yīng)對網(wǎng)絡(luò)安全面臨的嚴(yán)峻挑戰(zhàn)。在立法時(shí)，還要明確違法后果，以嚴(yán)格懲治形成威懾。

其次，企業(yè)要以技術(shù)為攻，以管理為防。再完美的技術(shù)也彌補(bǔ)不了“人禍”帶來的漏洞。此次CSDN泄露用戶信息，外界就盛傳是由于金山公司員工在做分析工作時(shí)“操作不當(dāng)造成的”。只有管理到位，流程嚴(yán)格，才能防止因“操作不當(dāng)”而引發(fā)的惡果。尤其是在微博實(shí)行實(shí)名制的背景下，網(wǎng)站如何建立一套讓用戶信得過的信息安全管理制度，已成為無法回避的問題。

篇9

十二五規(guī)劃下的安全探討

本次大會以“構(gòu)筑十二五規(guī)劃下中國信息安全體系”為主題，對當(dāng)前國內(nèi)外安全威脅、中國電子政務(wù)遇到的安全與挑戰(zhàn)、等級保護(hù)落實(shí)中的關(guān)鍵問題，以及各行業(yè)在“十二五”期間如何規(guī)劃以應(yīng)對信息安全的挑戰(zhàn)等議題進(jìn)行了熱烈討論。

中國計(jì)算機(jī)世界傳媒集團(tuán)董事葛程遠(yuǎn)表示，在信息安全威脅日益嚴(yán)峻的今天，“十二五”規(guī)劃以2011年作為開局之年，在規(guī)劃綱要中首次將“加強(qiáng)網(wǎng)絡(luò)與信息安全保障”作為重要的一個(gè)章節(jié)突出，顯示出“十二五”期間國家對信息安全的高度重視?！笆濉币?guī)劃綱要中明確指出：健全網(wǎng)絡(luò)與信息安全法律法規(guī)，完善信息安全標(biāo)準(zhǔn)體系和認(rèn)證認(rèn)可體系，實(shí)施信息安全等級保護(hù)、風(fēng)險(xiǎn)評估等制度。加快推進(jìn)安全可控關(guān)鍵軟硬件應(yīng)用試點(diǎn)示范和推廣，加強(qiáng)信息網(wǎng)絡(luò)監(jiān)測、管控能力建設(shè)，確?；A(chǔ)信息網(wǎng)絡(luò)和重點(diǎn)信息系統(tǒng)安全。

眾所周知，現(xiàn)階段的信息安全形勢發(fā)生了不少變化，新時(shí)代的信息安全堡壘正在逐步建立。工業(yè)和信息化部信息安全協(xié)調(diào)司副司長歐陽武表示，“隨著信息化水平不斷提高，網(wǎng)絡(luò)空間與物理空間相互交織、相互滲透、相互影響，網(wǎng)絡(luò)已經(jīng)成為人類活動的重要領(lǐng)域。”

比如，前不久，美國政府就了一系列政策性文件：4月15日網(wǎng)絡(luò)空間可信身份戰(zhàn)略；5月16日網(wǎng)絡(luò)空間國際戰(zhàn)略；6月8日網(wǎng)絡(luò)空間安全創(chuàng)新和互聯(lián)網(wǎng)經(jīng)濟(jì)；7月15日網(wǎng)絡(luò)空間行動戰(zhàn)略。這些都凸現(xiàn)了美國政府對陸?？仗熘獾木W(wǎng)絡(luò)空間的高度重視。

中國政府對信息安全工作也十分重視，其中工業(yè)和信息化部的一項(xiàng)非常重要的職責(zé)就是協(xié)調(diào)和維護(hù)國家信息安全。為了切實(shí)履行好這一職責(zé)，工業(yè)和信息化部專門設(shè)立了信息安全協(xié)調(diào)司，以指導(dǎo)、監(jiān)督政府部門和重點(diǎn)行業(yè)的重要信息系統(tǒng)基礎(chǔ)信息網(wǎng)絡(luò)安全保障工作，承擔(dān)信息安全應(yīng)急協(xié)調(diào)，協(xié)調(diào)處理重大事件。而“十二五”規(guī)劃也為加強(qiáng)網(wǎng)絡(luò)與信息安全保障指出了明確方向。不過，國家信息化專家咨詢委員會委員寧家駿認(rèn)為，目前對國家信息安全發(fā)展戰(zhàn)略的研究不夠。

“頂層設(shè)計(jì)的缺失導(dǎo)致中央和地方信息安全保障難以形成統(tǒng)一體系，影響了信息安全保障工作的可持續(xù)發(fā)展；中央和地方分級建設(shè)模式在一定程度上制約了統(tǒng)一體系和統(tǒng)一標(biāo)準(zhǔn)的形成；另外，在技術(shù)上存在先天不足、自主創(chuàng)新可控能力不足，也帶來新的問題。”他說。

國內(nèi)外安全形勢嚴(yán)峻

會上，寧家駿給與會者展示了這樣一組數(shù)據(jù)：2011年6月互聯(lián)網(wǎng)網(wǎng)絡(luò)安全主要數(shù)據(jù)顯示，我國境內(nèi)感染網(wǎng)絡(luò)病毒的終端達(dá)到815萬個(gè)，境內(nèi)篡改網(wǎng)站數(shù)量達(dá)3164個(gè)，其中篡改政府網(wǎng)站數(shù)量333個(gè)，國家信息安全漏洞共享平臺收集整理漏洞447個(gè)，其中257個(gè)是高危漏洞，可以實(shí)施遠(yuǎn)程攻擊的則有406個(gè)。公安部針對網(wǎng)絡(luò)黑客攻擊破壞活動專項(xiàng)行動打擊，破獲案件169起。同時(shí)，網(wǎng)絡(luò)失竊現(xiàn)象嚴(yán)重，政府網(wǎng)站也時(shí)常發(fā)生被植入木馬病毒的情況。另外，由于基礎(chǔ)網(wǎng)絡(luò)存在一定的相互依賴性，網(wǎng)絡(luò)安全威脅還可能導(dǎo)致災(zāi)難性的骨牌效應(yīng)，安全對信息化進(jìn)程的穩(wěn)定性存在必然的擾動性。

事實(shí)上，近兩年國際國內(nèi)由黑客主導(dǎo)的安全事件的影響力以及破壞力一直在不斷上升，黑客行為已經(jīng)脫離了“自由、共享”的初衷，正處于逐步失控的狀態(tài)，由此誕生的黑客產(chǎn)業(yè)鏈更是讓信息安全面臨著更大的挑戰(zhàn)。

中國綠色兵團(tuán)發(fā)起人之一、CHOWNGROUP倡導(dǎo)者李麒是一位長期和黑客以及黑客地下產(chǎn)業(yè)鏈打交道的黑客專家。在他看來，黑客的行為已經(jīng)不局限于利用木馬程序盜取QQ賬號、網(wǎng)絡(luò)游戲賬號、銀行賬號等個(gè)人信息為己牟利，一些黑客的行為已經(jīng)開始對國際大事產(chǎn)生影響，“前不久我們發(fā)現(xiàn)越南的黑客將某個(gè)政府網(wǎng)站首頁進(jìn)行了篡改，替換上他們的黑客頁面，用以表現(xiàn)他們在上的一些政治意圖?！?/p>

目前網(wǎng)絡(luò)戰(zhàn)已經(jīng)升級成國與國之間的拉鋸戰(zhàn)，各國都創(chuàng)建了屬于自己的精銳“網(wǎng)絡(luò)部隊(duì)”。去年5月，美軍網(wǎng)絡(luò)司令部啟動應(yīng)對網(wǎng)絡(luò)攻擊計(jì)劃，建立陸海空全面網(wǎng)絡(luò)戰(zhàn)防御體系，其目的就是打信息戰(zhàn)，并形成完備的信息戰(zhàn)體系。

防范Web威脅是大勢所趨

目前，黑客攻擊正在從傳統(tǒng)的網(wǎng)絡(luò)層轉(zhuǎn)化為應(yīng)用層，同時(shí)越來越多的黑客開始盜取企業(yè)保密信息用于牟利。

“黑客可以盜取企業(yè)的機(jī)密信息、圖紙、財(cái)務(wù)報(bào)表以及核心數(shù)據(jù)等，將這些賣給企業(yè)的競爭對手，這其中也包括一些跨國公司的核心數(shù)據(jù)?！崩铟枵f。

達(dá)到這些目的的方式主要是網(wǎng)頁被篡改、掛馬、仿冒三種手法，我國電子政務(wù)網(wǎng)站也深受其害。

“去年我們協(xié)助國家相關(guān)部門對全國31個(gè)省市區(qū)的7383個(gè)政府對外服務(wù)的網(wǎng)站進(jìn)行大檢查，發(fā)現(xiàn)這些網(wǎng)站的安全情況不容樂觀。所查的網(wǎng)站一般都存在問題，其中最為突出的就是網(wǎng)頁被篡改，這種情況占到整個(gè)安全事件數(shù)量的62.7%，位居第一?！崩铟璞硎荆霸斐蛇@種問題的原因主要是網(wǎng)站的程序設(shè)計(jì)時(shí)沒有全面考慮安全因素，比如安全代碼優(yōu)化、安全代碼編輯等關(guān)注不夠?！?/p>

李麒認(rèn)為，造成信息安全形勢嚴(yán)峻的一個(gè)重要原因是用戶將安全防護(hù)重點(diǎn)設(shè)置在網(wǎng)絡(luò)層，而忽略應(yīng)用層，黑客針對Web應(yīng)用層進(jìn)行攻擊往往讓人防不勝防。“與傳統(tǒng)網(wǎng)絡(luò)安全不同，Web安全威脅變化非常快，做好控制并不容易，尤其是維護(hù)、開發(fā)、上線等過程。針對這樣的情況，用戶不僅要建立整個(gè)安全防護(hù)體系，同時(shí)還針對目前信息安全態(tài)勢做好監(jiān)測，對整個(gè)安全指標(biāo)進(jìn)行量化。另外，要將安全做到平臺化、周期性、常態(tài)化、制度化，做好預(yù)警。最后，要實(shí)現(xiàn)安全的易用性，并充分了解當(dāng)前信息系統(tǒng)的安全狀態(tài)，出了問題要有相應(yīng)的機(jī)制和應(yīng)急響應(yīng)。”

建立安全保障長效機(jī)制

為了應(yīng)對日益嚴(yán)峻的安全形勢，2008年4月國家出臺了關(guān)于加強(qiáng)政府信息系統(tǒng)保密的通知，要求各地區(qū)、部門每半年要進(jìn)行一個(gè)政府信息系統(tǒng)安全檢查。2009年3月又印發(fā)政府信息系統(tǒng)安全檢查辦法，明確了工作原則以及安全檢查的工作要求等，督促各地區(qū)和部門加強(qiáng)政府信息系統(tǒng)的安全防護(hù)。

會上，歐陽武還提出應(yīng)大力推廣電子簽名?！熬W(wǎng)絡(luò)的匿名性、行為主體不確定性是互聯(lián)網(wǎng)最大的安全隱患。通過電子簽名技術(shù)可確認(rèn)行為人和確保網(wǎng)絡(luò)行為的不可抵賴。一旦有了可靠的電子簽名，我們物理世界里面維護(hù)安全的最重要的兩個(gè)基石――法律和道德在網(wǎng)絡(luò)空間里面也有了應(yīng)用的基礎(chǔ)?！?/p>

據(jù)了解，信息安全協(xié)調(diào)司成立三年以來把落實(shí)電子簽名法作為一項(xiàng)重要工作來抓。目前，工信部許可可信數(shù)字證書的社會保有量已經(jīng)接近兩千萬，一個(gè)可信身份認(rèn)證服務(wù)系統(tǒng)體系正在形成。

此外，讓計(jì)算機(jī)信息網(wǎng)絡(luò)等級保護(hù)制度更為有效地保護(hù)重要領(lǐng)域的信息網(wǎng)絡(luò)，建立安全保障的長效機(jī)制也是我國信息安全建設(shè)的重點(diǎn)。公安部十一局郭啟全處長表示，目前國家信息安全面臨的新形勢要求我們要重視國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，近幾年公安部、工信部、國家廣電局、密碼局做了大量工作把國家關(guān)鍵基礎(chǔ)設(shè)施梳理出來，保護(hù)重點(diǎn)進(jìn)一步明確。但是，如何全面和整體解決各行業(yè)在信息化建設(shè)中的安全問題，仍是國內(nèi)外信息安全界一直關(guān)注的問題。

各行業(yè)構(gòu)建

信息安全堡壘

電子商務(wù)、電力、醫(yī)療、能源等行業(yè)也都在信息安全領(lǐng)域進(jìn)行新的嘗試。上海信息安全基礎(chǔ)設(shè)施研究中心副主任顧青表示，“十二五”規(guī)劃中明確指出要積極發(fā)展電子商務(wù)，完善面向中小企業(yè)的電子商務(wù)服務(wù)，推動面向全社會的信用服務(wù)和網(wǎng)上支付物流配送支撐體系建設(shè)。

根據(jù)中國電子商務(wù)研究中心的統(tǒng)計(jì)，截止到今年6月份，電子商務(wù)交易市場達(dá)2.9萬億元人民幣的交易額，B2B達(dá)2.6萬億元，但在電子商務(wù)的發(fā)展中，網(wǎng)絡(luò)經(jīng)營主體的身份確認(rèn)機(jī)制尚未成型，網(wǎng)絡(luò)市場經(jīng)營行為需要進(jìn)一步規(guī)范，網(wǎng)絡(luò)市場成型體系有待健全，政府職能部門服務(wù)監(jiān)管有待于改進(jìn)，網(wǎng)絡(luò)消費(fèi)者維權(quán)行為有待于保障和解決等問題一直困擾著電子商務(wù)市場。同時(shí)，電子商務(wù)對數(shù)字證書認(rèn)證有非常迫切的需求。因此，市場需要政府職能部門提供電子商務(wù)公信服務(wù)，創(chuàng)新監(jiān)管方式方法，維護(hù)電子商務(wù)市場秩序，促進(jìn)第三方認(rèn)證服務(wù)機(jī)構(gòu)提供電子商務(wù)公正服務(wù)，培育戰(zhàn)略性新興產(chǎn)業(yè)，構(gòu)建完整的電子商務(wù)信任服務(wù)體系。

電監(jiān)會信息安全處處長溫紅子作為電力行業(yè)的代表，對于工控系統(tǒng)基礎(chǔ)性地位級面臨的安全威脅深有感觸：“和IT系統(tǒng)一樣，工控系統(tǒng)也面臨黑客攻擊、惡意代碼、外力破壞、自然災(zāi)害等安全威脅。同樣，工控系統(tǒng)一旦發(fā)生安全事件，損害程度將非常嚴(yán)重。比如，因病毒入侵伊朗布什爾核電站的西門子工控系統(tǒng)，致使數(shù)臺離心機(jī)數(shù)據(jù)錯(cuò)誤，使伊朗能力倒退兩年。這件事值得我們警惕?！?/p>

溫紅子指出，工業(yè)控制系統(tǒng)的安全防護(hù)工作任重而道遠(yuǎn)，在一些影響國計(jì)民生的大行業(yè)中應(yīng)該引起足夠的重視，并亟需建立起可控的安全防護(hù)措施。

記者觀察

從來沒有真正的安全，安全是各方博弈的結(jié)果。自IT技術(shù)誕生以來，針對信息安全的討論和爭斗就不絕于耳。

由《計(jì)算機(jī)世界》主辦的“中國信息安全大會暨中國CSO俱樂部年會”已經(jīng)迎來了第九個(gè)年頭，主持人的機(jī)敏、專家的博學(xué)、演講者的幽默，以及參會者的認(rèn)真，讓每一屆大會都會碰撞出火花，這讓原來嚴(yán)肅的話題產(chǎn)生出不一樣的感覺。

本屆信息安全大會以“十二五規(guī)劃下的信息安全”為主題，來自政府、協(xié)會以及各行業(yè)企業(yè)代表各抒己見，圍繞大會主題介紹了各自下一階段的安全規(guī)劃。安全廠商針對目前的安全技術(shù)熱點(diǎn)以及用戶新應(yīng)用需求，提出了有針對性的安全解決方案，并希望借此幫助企業(yè)在“十二五規(guī)劃”指導(dǎo)下構(gòu)筑更為安全的企業(yè)防護(hù)體系，參會者亦對此表示出濃厚的興趣。

計(jì)算機(jī)世界傳媒集團(tuán)董事 葛程遠(yuǎn)

工業(yè)和信息化部信息安全協(xié)調(diào)司副司長 歐陽武

公安部網(wǎng)絡(luò)安全保衛(wèi)局處長 郭啟全

上海信息安全基礎(chǔ)設(shè)施研究中心副主任 顧青

國家信息化專家咨詢委員會委員 寧家駿

中國綠色兵團(tuán)發(fā)起人之一、CHOWN GROUP倡導(dǎo)者 李麒

篇10

一、技術(shù)、管理保障方式

1、技術(shù)實(shí)現(xiàn)方式：綜合運(yùn)用以密碼為核心的信息安全技術(shù)，通過統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)管理和訪問控制等安全機(jī)制，采取分級分域控管技術(shù)，合理配置信息安全資源，實(shí)現(xiàn)等級化安全防護(hù)，有效解決了信息傳輸安全。

2、管理保障方式：采取全市集中管理與各單位分頭維護(hù)相結(jié)合的辦法，按照“統(tǒng)一管理、分頭維護(hù)、共同構(gòu)建、全面服務(wù)”的模式維護(hù)管理。

二、建設(shè)項(xiàng)目

（一）基礎(chǔ)工程

1、以政務(wù)專網(wǎng)新密核心網(wǎng)為中心建設(shè)一體化分級防護(hù)安全保障體系工程

（二）基于互聯(lián)網(wǎng)電子政務(wù)應(yīng)用工程

1、社會管理平臺上的行政并聯(lián)審批系統(tǒng)。

2、內(nèi)外網(wǎng)網(wǎng)站整合改版工程。

3、和諧服務(wù)平臺上的“”便民熱線服務(wù)系統(tǒng)。

（三）深化推廣工程

1、基于一體化分級防護(hù)安全保障體系完善各項(xiàng)應(yīng)用。

2、地理信息支撐平臺信息查詢系統(tǒng)。

3、政府網(wǎng)校學(xué)習(xí)系統(tǒng)。

4、子網(wǎng)站系統(tǒng)。

二、建設(shè)項(xiàng)目方案

（一）基礎(chǔ)工程

以政務(wù)專網(wǎng)新密核心網(wǎng)為中心建設(shè)一體化分級防護(hù)安全保障體系工程

利用現(xiàn)有政務(wù)專網(wǎng)新密核心網(wǎng)，按照重點(diǎn)區(qū)域安全保護(hù)原則，采用一體化設(shè)計(jì)、分級分域防護(hù)理念，通過建設(shè)一體化分級防護(hù)安全保障體系，完成政務(wù)專網(wǎng)核心網(wǎng)與互聯(lián)網(wǎng)之間安全、有限數(shù)據(jù)擺渡，為開展基于互聯(lián)網(wǎng)的電子政務(wù)試點(diǎn)工作打好基礎(chǔ)。

1、建設(shè)目標(biāo)：①建設(shè)互聯(lián)網(wǎng)接入控制、邊界防護(hù)和內(nèi)外網(wǎng)數(shù)據(jù)擺渡系統(tǒng)

②按照重點(diǎn)區(qū)域安全保護(hù)和分級防護(hù)原則對互聯(lián)網(wǎng)緩沖區(qū)進(jìn)行等級劃分，對互聯(lián)網(wǎng)應(yīng)用進(jìn)行分級、分域劃分管理，完善互聯(lián)網(wǎng)緩沖區(qū)安全防護(hù)體系。

③按照重點(diǎn)區(qū)域安全保護(hù)和分級防護(hù)原則完善政務(wù)專網(wǎng)新密核心網(wǎng)安全防護(hù)體系。

④在緩沖區(qū)建立基于單點(diǎn)登陸的統(tǒng)一身份認(rèn)證系統(tǒng)。

2、責(zé)任分工

牽頭管理部門：系統(tǒng)規(guī)劃由信息辦和北京ca認(rèn)證中心負(fù)責(zé)；建設(shè)推動由市委辦和政府辦牽頭；測試驗(yàn)收由省信息辦負(fù)責(zé)、信息辦和中標(biāo)公司負(fù)責(zé)；推廣使用由市委辦和政府辦牽頭。

監(jiān)督審計(jì)部門：建設(shè)審計(jì)由監(jiān)理公司和相關(guān)專家負(fù)責(zé)；應(yīng)用監(jiān)督和日常統(tǒng)計(jì)由兩辦牽頭，信息辦負(fù)責(zé)。

系統(tǒng)技術(shù)服務(wù)部門：系統(tǒng)技術(shù)規(guī)劃、布置和技術(shù)服務(wù)由信息辦和中標(biāo)公司負(fù)責(zé)。

參與單位：系統(tǒng)調(diào)研、需求和應(yīng)用由信息辦和中標(biāo)公司負(fù)責(zé)。

（二）基于互聯(lián)網(wǎng)電子政務(wù)應(yīng)用工程

1、社會管理平臺上的行政并聯(lián)審批系統(tǒng)

1）目標(biāo)：建設(shè)網(wǎng)上服務(wù)并聯(lián)審批平臺，實(shí)現(xiàn)互聯(lián)網(wǎng)受理，政務(wù)專網(wǎng)新密核心網(wǎng)辦理、處理、辦結(jié)，最終流轉(zhuǎn)到外網(wǎng)的一站式并聯(lián)審批服務(wù)平臺；

2）技術(shù)要求：完善單點(diǎn)登陸應(yīng)用系統(tǒng)，并在此基礎(chǔ)上改善和建設(shè)各項(xiàng)應(yīng)用?；趩吸c(diǎn)登陸系統(tǒng)建設(shè)統(tǒng)一身份認(rèn)證系統(tǒng)，通過數(shù)字證書、usb-key等手段實(shí)現(xiàn)統(tǒng)一身份認(rèn)證和等級化訪問控制，實(shí)現(xiàn)基于工作流的訪問控制；

3）實(shí)現(xiàn)方式：一是硬件基礎(chǔ)施工，通過sslvpn技術(shù)加密的核心設(shè)備在互聯(lián)網(wǎng)區(qū)建立外部網(wǎng)絡(luò)緩沖區(qū)，互聯(lián)網(wǎng)來訪者使用sslvpn技術(shù)通過防火墻和入侵檢測設(shè)備過濾后可以進(jìn)入緩沖區(qū)，通過數(shù)字證書等認(rèn)證方式進(jìn)行統(tǒng)一身份認(rèn)證，認(rèn)證通過后在緩沖區(qū)內(nèi)進(jìn)行數(shù)據(jù)交換。數(shù)據(jù)交換完成后，由緩沖區(qū)通過物理網(wǎng)閘向政務(wù)專網(wǎng)新密核心網(wǎng)提出數(shù)據(jù)擺渡申請最終完成數(shù)據(jù)擺渡交換。

二是公開招標(biāo)項(xiàng)目實(shí)施公司。

三是由中標(biāo)公司結(jié)合行政服務(wù)中心進(jìn)行各項(xiàng)行政審判前期調(diào)研，提出具體實(shí)施方案。

四是實(shí)施部署行政審批系統(tǒng)。

五是試運(yùn)行，進(jìn)一步完善系統(tǒng)。

4）責(zé)任分工

牽頭管理部門：系統(tǒng)規(guī)劃由行政服務(wù)中心和中標(biāo)公司負(fù)責(zé)；建設(shè)推動由市委辦和政府辦牽頭；測試驗(yàn)收由信息辦和中標(biāo)公司負(fù)責(zé)；推廣使用由市委辦和政府辦牽頭。

監(jiān)督審計(jì)部門：建設(shè)審計(jì)由監(jiān)理公司和相關(guān)專家負(fù)責(zé)；應(yīng)用監(jiān)督和日常統(tǒng)計(jì)由兩辦牽頭，行政服務(wù)中心負(fù)責(zé)。

系統(tǒng)技術(shù)服務(wù)部門：系統(tǒng)技術(shù)規(guī)劃、布置由信息辦、行政服務(wù)中心和中標(biāo)公司負(fù)責(zé)；技術(shù)服務(wù)由信息辦和中標(biāo)公司負(fù)責(zé)。

參與單位：系統(tǒng)調(diào)研、需求和應(yīng)用由行政服務(wù)中心和中標(biāo)公司負(fù)責(zé)，具體工作流程由各相關(guān)職能部門負(fù)責(zé)。

2、內(nèi)外網(wǎng)網(wǎng)站整合改版工程

1）目標(biāo)：對現(xiàn)有門戶網(wǎng)站進(jìn)行整合優(yōu)化升級，從后臺和數(shù)據(jù)庫上整合內(nèi)網(wǎng)門戶和外網(wǎng)門戶網(wǎng)站，實(shí)現(xiàn)內(nèi)外網(wǎng)門戶信息的分級、分內(nèi)容的同步顯示和一體化維護(hù)，實(shí)現(xiàn)電視節(jié)目直播。建成中文、英文二合一的全新的中國.新密門戶網(wǎng)站，規(guī)范并打造新密網(wǎng)站群，十七個(gè)鄉(xiāng)鎮(zhèn)、辦事處、管委會全部制作獨(dú)立網(wǎng)站，形成以一帶多、群體宣傳和規(guī)模優(yōu)勢。

2）技術(shù)要求：一是統(tǒng)一內(nèi)外網(wǎng)網(wǎng)站后臺管理系統(tǒng)，變2套系統(tǒng)為單一系統(tǒng)；

二是建立數(shù)據(jù)緩沖區(qū)，實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)交換，由緩沖區(qū)通過物理網(wǎng)閘向政務(wù)專網(wǎng)新密核心網(wǎng)提出數(shù)據(jù)擺渡申請最終完成數(shù)據(jù)擺渡交換。

3）實(shí)現(xiàn)方式：公開招標(biāo)內(nèi)外網(wǎng)站整合公司。

4）責(zé)任分工

牽頭管理部門：系統(tǒng)規(guī)劃由信息辦負(fù)責(zé)；建設(shè)推動由市委辦和政府辦牽頭；測試驗(yàn)收由信息辦和中標(biāo)公司負(fù)責(zé)；推廣使用由市委辦和政府辦牽頭。

監(jiān)督審計(jì)部門：建設(shè)審計(jì)由監(jiān)理公司和相關(guān)專家負(fù)責(zé)；應(yīng)用監(jiān)督由兩辦牽頭，信息辦負(fù)責(zé)；日常統(tǒng)計(jì)由信息辦負(fù)責(zé)。

系統(tǒng)技術(shù)服務(wù)部門：系統(tǒng)技術(shù)規(guī)劃、布置和技術(shù)服務(wù)由信息辦和中標(biāo)公司負(fù)責(zé)。

參與單位：系統(tǒng)調(diào)研、需求和應(yīng)用由信息辦、原兩辦文件規(guī)定網(wǎng)站更新單位和中標(biāo)公司負(fù)責(zé)。

3、和諧服務(wù)平臺上的“69812345”便民熱線服務(wù)系統(tǒng)

1）目標(biāo)：實(shí)現(xiàn)由單一的電話接入方式，變?yōu)殡娫?、傳真、手機(jī)短信、網(wǎng)頁表單、電子郵件等多種方式接入；實(shí)現(xiàn)網(wǎng)上事項(xiàng)辦理、自動考核、自動語音功能與政府網(wǎng)站及其它辦公系統(tǒng)整合等功能，為公眾提供全方位的服務(wù)。實(shí)現(xiàn)市長熱線多渠道受理、短信督辦、超期提醒、多渠道回復(fù)公布等；

2）技術(shù)要求：呼叫中心系統(tǒng)

3）實(shí)現(xiàn)方式：一是公開招標(biāo)項(xiàng)目實(shí)施公司。

二是由中標(biāo)公司結(jié)合市長電話室心進(jìn)行前期調(diào)研，提出具體實(shí)施方案。

三是各相關(guān)具體職能單位提出具體建議。

四是實(shí)施部署系統(tǒng)。

五是試運(yùn)行，進(jìn)一步完善系統(tǒng)。

4）責(zé)任分工

牽頭管理部門：系統(tǒng)規(guī)劃由政府辦和信息辦負(fù)責(zé)；建設(shè)推動由市委辦和政府辦牽頭；測試驗(yàn)收由信息辦和中標(biāo)公司負(fù)責(zé)；推廣使用由市委辦和政府辦牽頭。

監(jiān)督審計(jì)部門：建設(shè)審計(jì)由監(jiān)理公司和相關(guān)專家負(fù)責(zé)；應(yīng)用監(jiān)督和日常統(tǒng)計(jì)由兩辦牽頭，市長電話室負(fù)責(zé)。

系統(tǒng)技術(shù)服務(wù)部門：系統(tǒng)技術(shù)規(guī)劃、布置和技術(shù)服務(wù)由信息辦和中標(biāo)公司負(fù)責(zé)。

參與單位：系統(tǒng)調(diào)研、需求和應(yīng)用由政府市長電話室、和中標(biāo)公司負(fù)責(zé)，具體工作流程由各相關(guān)職能部門負(fù)責(zé)。。

（三）基于一體化分級防護(hù)安全保障體系完善各項(xiàng)應(yīng)用

在一體化設(shè)計(jì)，分級、分域防護(hù)原則下基于統(tǒng)一身份認(rèn)證系統(tǒng)完善電子公文、視頻會議、個(gè)人辦公等應(yīng)用系統(tǒng)。完成各項(xiàng)應(yīng)用互聯(lián)網(wǎng)緩沖區(qū)和政務(wù)專網(wǎng)新密核心網(wǎng)之間數(shù)據(jù)安全、有限擺渡。實(shí)現(xiàn)互聯(lián)網(wǎng)公布、公示，政務(wù)專網(wǎng)流轉(zhuǎn)、辦理結(jié)果返回效果。

1、地理信息支撐平臺信息查詢系統(tǒng)。

地理信息系統(tǒng)是一個(gè)給救助管理和計(jì)算機(jī)輔助調(diào)度的集成電子地圖解決方案。它提供了在電子地圖上自動和迅速地給救助和事件的地址定位，并且持續(xù)實(shí)時(shí)更新事件狀態(tài)。建立新密市具有有限目標(biāo)和專業(yè)特點(diǎn)的地理信息系統(tǒng)，為特定的專門的目的服務(wù)。

2、政府網(wǎng)校學(xué)習(xí)系統(tǒng)。

提供機(jī)關(guān)工作人員學(xué)習(xí)、考試快捷方便的網(wǎng)絡(luò)渠道。

3、子網(wǎng)站系統(tǒng)。

對全市各單位建設(shè)本單位子網(wǎng)站，為形成全市的政府網(wǎng)站服務(wù)群打下基礎(chǔ)。

四、工作計(jì)劃

20**年12月—20**年4月為項(xiàng)目調(diào)研、規(guī)劃期；

20**年5月-20**年6月建設(shè)一體化分級防護(hù)安全保障體系，完成互聯(lián)網(wǎng)緩沖區(qū)和政務(wù)專網(wǎng)新密核心網(wǎng)的風(fēng)險(xiǎn)評估和分級分域防護(hù)建設(shè)；同時(shí)進(jìn)行并聯(lián)審批調(diào)研。

20**年7月-20**年10月，建設(shè)基于單點(diǎn)登陸的統(tǒng)一身份認(rèn)證系統(tǒng)。以內(nèi)外網(wǎng)整合改造為首個(gè)嘗試，基于統(tǒng)一身份認(rèn)證體統(tǒng)實(shí)現(xiàn)一套后臺管理內(nèi)外網(wǎng)網(wǎng)站，子網(wǎng)站系統(tǒng)的建設(shè)，完成互聯(lián)網(wǎng)網(wǎng)站和服務(wù)大廳在互聯(lián)網(wǎng)緩沖區(qū)的部署，完成互聯(lián)網(wǎng)網(wǎng)站后臺管理和服務(wù)大廳的內(nèi)部流轉(zhuǎn)在政務(wù)專網(wǎng)新密核心網(wǎng)的部署，最終完成兩者之間數(shù)據(jù)安全、有限擺渡。

20**年9月-20**年10月，在互聯(lián)網(wǎng)區(qū)建設(shè)12345市長熱線受理系統(tǒng)。

20**年9月-12月完成雙網(wǎng)并行并聯(lián)審批系統(tǒng)調(diào)研，以一個(gè)網(wǎng)絡(luò)便民服務(wù)項(xiàng)目為試點(diǎn)，完成該事項(xiàng)從互聯(lián)網(wǎng)發(fā)起申請到政務(wù)專網(wǎng)新密核心網(wǎng)辦理、處理并最終將結(jié)果返回互聯(lián)網(wǎng)服務(wù)大廳的整個(gè)流程設(shè)計(jì)和基于工作流的訪問控制。

20**年11月-12月完成地理信息系統(tǒng)數(shù)據(jù)準(zhǔn)備，前期調(diào)研，基礎(chǔ)應(yīng)用；政府網(wǎng)校的建設(shè)。

20**年10月-12月，對整體試點(diǎn)項(xiàng)目工作總結(jié)、回顧，進(jìn)行試點(diǎn)工作初步驗(yàn)收。

五、建設(shè)要求

一是注重實(shí)用實(shí)效。試點(diǎn)工作從實(shí)際需求出發(fā)，注重實(shí)用，本著花最少的錢，辦更多的事。進(jìn)行詳細(xì)調(diào)研，針對新密市信息化基礎(chǔ)設(shè)施較好、村村通電話、光纖已鋪設(shè)到鄉(xiāng)鎮(zhèn)進(jìn)行全面分析，提出詳實(shí)的需求分析報(bào)告，有效整合各部門資源，著力構(gòu)建全市安全的電子政務(wù)辦公平臺，合理開設(shè)欄目，解決目前各單位信息資源不能充分共享、聯(lián)合辦公效率低下、不能移動辦公、公眾獲取信息難的問題。