緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了8篇信息安全研究論文�,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情��,歡迎您的閱讀與分享�����!
篇1
隨著電子政務(wù)應(yīng)用的不斷深入���,信息安全問題日益凸顯��,為了高效安全的進(jìn)行電子政務(wù)���,迫切需要搞好信息安全保障工作。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行�,另一方面要保護(hù)運(yùn)行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全,因此應(yīng)充分保證以下幾點(diǎn):
1.1基礎(chǔ)設(shè)施的可用性:運(yùn)行于內(nèi)部專網(wǎng)的各主機(jī)��、數(shù)據(jù)庫�、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行十分關(guān)鍵,網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來自網(wǎng)絡(luò)的非法訪問����、惡意入侵和破壞。
1.2數(shù)據(jù)機(jī)密性:對(duì)于內(nèi)部網(wǎng)絡(luò)��,保密數(shù)據(jù)的泄密將直接帶來政府機(jī)構(gòu)以及國家利益的損失���。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性�����。
1.3網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴(yán)格的控制之下����,只有經(jīng)過認(rèn)證的設(shè)備可以訪問網(wǎng)絡(luò)��,并且能明確地限定其訪問范圍���,這對(duì)于電子政務(wù)的網(wǎng)絡(luò)安全十分重要���。
1.4數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失�,硬件故障�、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此���,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份���,并且最好是異地備份。
2電子政務(wù)信息安全體系模型設(shè)計(jì)
完整的電子政務(wù)安全保障體系從技術(shù)層面上來講��,必須建立在一個(gè)強(qiáng)大的技術(shù)支撐平臺(tái)之上����,同時(shí)具有完備的安全管理機(jī)制,并針對(duì)物理安全�����,數(shù)據(jù)存儲(chǔ)安全�,數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略
在技術(shù)支撐平臺(tái)方面,核心是要解決好權(quán)限控制問題�����。為了解決授權(quán)訪問的問題��,通常是將基于公鑰證書(PKC)的PKI(PublicKeyInfrastructure)與基于屬性證書(AC)的PMI(PrivilegeManagementInfrastructure)結(jié)合起來進(jìn)行安全性設(shè)計(jì)�,然而由于一個(gè)終端用戶可以有許多權(quán)限�����,許多用戶也可能有相同的權(quán)限集��,這些權(quán)限都必須寫入屬性證書的屬性中�����,這樣就增加了屬性證書的復(fù)雜性和存儲(chǔ)空間����,從而也增加了屬性證書的頒發(fā)和驗(yàn)證的復(fù)雜度。為了解決這個(gè)問題����,作者建議根據(jù)X.509標(biāo)準(zhǔn)建立基于角色PMI的電子政務(wù)安全模型���。該模型由客戶端�����、驗(yàn)證服務(wù)器、應(yīng)用服務(wù)器�、資源數(shù)據(jù)庫和LDAP目錄服務(wù)器等實(shí)體組成���,在該模型中:
2.1終端用戶:向驗(yàn)證服務(wù)器發(fā)送請(qǐng)求和證書,并與服務(wù)器雙向驗(yàn)證。
2.2驗(yàn)證服務(wù)器:由身份認(rèn)證模塊和授權(quán)驗(yàn)證模塊組成提供身份認(rèn)證和訪問控制��,是安全模型的關(guān)鍵部分。
2.3應(yīng)用服務(wù)器:與資源數(shù)據(jù)庫連接��,根據(jù)驗(yàn)證通過的用戶請(qǐng)求,對(duì)資源數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行處理,并把處理結(jié)果通過驗(yàn)證服務(wù)器返回給用戶以響應(yīng)用戶請(qǐng)求��。
2.4LDAP目錄服務(wù)器:該模型中采用兩個(gè)LDAP目錄服務(wù)器�,一個(gè)存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL)��,另一個(gè)LDAP目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL�。
安全管理策略也是電子政務(wù)安全體系的重要組成部分���。安全的核心實(shí)際上是管理���,安全技術(shù)實(shí)際上只是實(shí)現(xiàn)管理的一種手段�����,再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用�����。需要制訂的制度包括安全行政管理和安全技術(shù)管理����。安全行政管理應(yīng)包括組織機(jī)構(gòu)和責(zé)任制度等的制定和落實(shí)�����;安全技術(shù)管理的內(nèi)容包括對(duì)硬件實(shí)體和軟件系統(tǒng)、密鑰的管理。
轉(zhuǎn)貼于中國論文下載中心www
3電子政務(wù)信息安全管理體系中的風(fēng)險(xiǎn)評(píng)估
電子政務(wù)信息安全等級(jí)保護(hù)是根據(jù)電子政務(wù)系統(tǒng)在國家安全、經(jīng)濟(jì)安全�、社會(huì)穩(wěn)定和保護(hù)公共利益等方面的重要程度�����。等級(jí)保護(hù)工作的要點(diǎn)是對(duì)電子政務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析����,構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)因素集�。
3.1信息系統(tǒng)的安全定級(jí)信息系統(tǒng)的安全等級(jí)從低到高依次包括自主保護(hù)級(jí)����、指導(dǎo)保護(hù)級(jí)�、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)�、專控保護(hù)級(jí)五個(gè)安全等級(jí)���。對(duì)電子政務(wù)的五個(gè)安全等級(jí)定義�,結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)��、系統(tǒng)特定安全保護(hù)要求和成本開銷等因素�,采取相應(yīng)的安全保護(hù)措施以保障信息和信息系統(tǒng)的安全����。
3.2采用全面的風(fēng)險(xiǎn)評(píng)估辦法風(fēng)險(xiǎn)評(píng)估具有不同的方法����。在ISO/IECTR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險(xiǎn)評(píng)估方法的例子,其他文獻(xiàn)��,例如NISTSP800-30��、AS/NZS4360等也介紹了風(fēng)險(xiǎn)評(píng)估的步驟及方法����,另外,一些組織還提出了自己的風(fēng)險(xiǎn)評(píng)估工具�����,例如OCTAVE����、CRAMM等�����。
電子政務(wù)信息安全建設(shè)中采用的風(fēng)險(xiǎn)評(píng)估方法可以參考ISO17799、OCTAVE��、CSE�����、《信息安全風(fēng)險(xiǎn)評(píng)估指南》等標(biāo)準(zhǔn)和指南�,從資產(chǎn)評(píng)估、威脅評(píng)估�����、脆弱性評(píng)估�、安全措施有效性評(píng)估四個(gè)方面建立風(fēng)險(xiǎn)評(píng)估模型。其中���,資產(chǎn)的評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià)�,其估價(jià)準(zhǔn)則依賴于對(duì)其影響的分析�,主要從保密性、完整性����、可用性三方面進(jìn)行影響分析;威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性的評(píng)估,主要從威脅的能力和動(dòng)機(jī)兩個(gè)方面進(jìn)行分析;脆弱性評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估��,主要從脆弱性被利用的難易程度、被成功利用后的嚴(yán)重性兩方面進(jìn)行分析;安全措施有效性評(píng)估是對(duì)保障措施的有效性進(jìn)行的評(píng)估活動(dòng)���,主要對(duì)安全措施防范威脅�����、減少脆弱性的有效狀況進(jìn)行分析;安全風(fēng)險(xiǎn)評(píng)估就是通過綜合分析評(píng)估后的資產(chǎn)信息�、威脅信息���、脆弱性信息�����、安全措施信息���,最終生成風(fēng)險(xiǎn)信息。
在確定風(fēng)險(xiǎn)評(píng)估方法后�,還應(yīng)確定接受風(fēng)險(xiǎn)的準(zhǔn)則,識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別���。
4結(jié)語
電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別��,包括:辦公手段不同�����,信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同����,實(shí)現(xiàn)行政業(yè)務(wù)流程的集約化��、標(biāo)準(zhǔn)化和高效化是電子政務(wù)的核心;與公眾溝通方式不同��,直接與公眾溝通是實(shí)施電子政務(wù)的目的之一����,也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中��,要抓住其特點(diǎn)���,從技術(shù)��、管理���、策略角度設(shè)計(jì)完整的信息安全模型并通過科學(xué)量化的風(fēng)險(xiǎn)評(píng)估方法識(shí)別風(fēng)險(xiǎn)和制定風(fēng)險(xiǎn)應(yīng)急預(yù)案,這樣才能達(dá)到全方位實(shí)施信息安全管理的目的。
參考文獻(xiàn):
[1]范紅�,馮國登,吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用.清華大學(xué)出版社.2006.
[2]李波杰�����,張緒國����,張世永.一種多層取證的電子商務(wù)安全審計(jì)系統(tǒng)微型電腦應(yīng)用.2007年05期.
篇2
論文摘要:世界已進(jìn)入了信息化時(shí)代,信息化和信息產(chǎn)業(yè)發(fā)展水平已成為衡量一個(gè)國家綜合國力的重要標(biāo)準(zhǔn)�����。但由于信息資源不同于其他資源的特殊性質(zhì)����,如何保證信息的安全性成為我國信息化建設(shè)過程中需要解決的重要問題。
論文關(guān)鍵詞:信息安全�;保護(hù)
信息安全包括以下內(nèi)容:真實(shí)性,保證信息的來源真實(shí)可靠��;機(jī)密性�,信息即使被截獲也無法理解其內(nèi)容;完整性��,信息的內(nèi)容不會(huì)被篡改或破壞;可用性�����,能夠按照用戶需要提供可用信息��;可控性��,對(duì)信息的傳播及內(nèi)容具有控制能力���;不可抵賴性,用戶對(duì)其行為不能進(jìn)行否認(rèn)�����;可審查性�����,對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段��。與傳統(tǒng)的安全問題相比���,基于網(wǎng)絡(luò)的信息安全有一些新的特點(diǎn):信息安全威脅主要來源于自然災(zāi)害�����、意外事故����;計(jì)算機(jī)犯罪;人為錯(cuò)誤�����,比如使用不當(dāng)��,安全意識(shí)差等����;“黑客”行為;內(nèi)部泄密��;外部泄密�����;信息丟失���;電子諜報(bào)�,比如信息流量分析、信息竊取等��;信息戰(zhàn)��;網(wǎng)絡(luò)協(xié)議自身缺陷��,等等����。
1我國信息安全的現(xiàn)狀
近年來����,隨著國家宏觀管理和支持力度的加強(qiáng)、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進(jìn)行���、對(duì)國際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素����,我國在信息安全管理上的進(jìn)展是迅速的��。但是�����,由于我國的信息化建設(shè)起步較晚,相關(guān)體系不完善�����,法律法規(guī)不健全等諸多因素��,我國的信息化仍然存在不安全問題�。
①網(wǎng)絡(luò)安全的防護(hù)能力較弱。我國的信息化建設(shè)發(fā)展迅速����,各個(gè)企業(yè)紛紛設(shè)立自己的網(wǎng)站,特別是“政府上網(wǎng)工程”全面啟動(dòng)后�����,各級(jí)政府已陸續(xù)設(shè)立了自己的網(wǎng)站����,但是由于許多網(wǎng)站沒有防火墻設(shè)備、安全審計(jì)系統(tǒng)�����、入侵監(jiān)測(cè)系統(tǒng)等防護(hù)設(shè)備��,整個(gè)系統(tǒng)存在著相當(dāng)大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報(bào)告稱�����,在網(wǎng)絡(luò)黑客攻擊的國家中��,中國是最大的受害國����。
②對(duì)引進(jìn)的國外設(shè)備和軟件缺乏有效的管理和技術(shù)改造。由于我國信息技術(shù)水平的限制�,很多單位和部門直接引進(jìn)國外的信息設(shè)備,并不對(duì)其進(jìn)行必要的監(jiān)測(cè)和改造��,從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機(jī)����。
③我國基礎(chǔ)信息產(chǎn)業(yè)薄弱���,核心技術(shù)嚴(yán)重依賴國外����,缺乏自主創(chuàng)新產(chǎn)品����,尤其是信息安全產(chǎn)品�����。我國信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國外���,這使我國的網(wǎng)絡(luò)安全性能大大減弱,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”��。由于缺乏自主技術(shù)�����,我國的網(wǎng)絡(luò)處于被竊聽�、干擾、監(jiān)視和欺詐等多種信息安全威脅中�����,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)����。
除此之外,我國目前信息技術(shù)領(lǐng)域的不安全局面,也與西方發(fā)達(dá)國家對(duì)我國的技術(shù)輸出進(jìn)行控制有關(guān)����。
2我國信息安全保護(hù)的策略
針對(duì)我國信息安全存在的問題,要實(shí)現(xiàn)信息安全不但要靠先進(jìn)的技術(shù)�����,還要有嚴(yán)格的法律法規(guī)和信息安全教育���。
①加強(qiáng)全民信息安全教育���,提高警惕性。從小做起���,從己做起�,有效利用各種信息安全防護(hù)設(shè)備���,保證個(gè)人的信息安全,提高整個(gè)系統(tǒng)的安全防護(hù)能力��,從而促進(jìn)整個(gè)系統(tǒng)的信息安全����。
②發(fā)展有自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)業(yè)����,加大信息產(chǎn)業(yè)投入��。增強(qiáng)自主創(chuàng)新意識(shí)�����,加大核心技術(shù)的研發(fā)����,尤其是信息安全產(chǎn)品,減小對(duì)國外產(chǎn)品的依賴程度���。
③創(chuàng)造良好的信息化安全支撐環(huán)境����。完善我國信息安全的法規(guī)體系����,制定相關(guān)的法律法規(guī),例如信息安全法���、數(shù)字簽名法��、電子信息犯罪法�����、電子信息出版法�、電子信息知識(shí)產(chǎn)權(quán)保護(hù)法、電子信息個(gè)人隱私法����、電子信息進(jìn)出境法等,加大對(duì)網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度�,對(duì)其進(jìn)行嚴(yán)厲的懲處。
篇3
關(guān)鍵詞:新形勢(shì)��、金融業(yè)信息安全�、挑戰(zhàn)、對(duì)策
一��、面臨的挑戰(zhàn)
目前�����,金融業(yè)的業(yè)務(wù)開展更加依賴于信息技術(shù)的應(yīng)用�����,特別是以綜合業(yè)務(wù)系統(tǒng)整合��、數(shù)據(jù)集中為主要特征的金融業(yè)信息化發(fā)展到一個(gè)新的階段�。因而,信息技術(shù)風(fēng)險(xiǎn)也自然成為中國金融機(jī)構(gòu)操作風(fēng)險(xiǎn)的重要方面����。金融業(yè)信息安全工作正面臨比以往更嚴(yán)峻的形勢(shì),圍繞信息網(wǎng)絡(luò)空間的斗爭日趨尖銳��,境內(nèi)外網(wǎng)絡(luò)違法犯罪活動(dòng)呈快速遞增趨勢(shì)����,惡意代碼和網(wǎng)絡(luò)攻擊呈多樣化局面,金融業(yè)信息系統(tǒng)安全運(yùn)行的難度加大�����,挑戰(zhàn)增多��。
一是人民銀行的業(yè)務(wù)指導(dǎo)����、監(jiān)督管理滯后于金融業(yè)信息化發(fā)展��。
與金融業(yè)信息化的高速發(fā)展相比����,金融業(yè)信息安全的指導(dǎo)�����、監(jiān)管工作還需要進(jìn)一步加強(qiáng)�。國內(nèi)曾有專家明確提出,在金融信息化�����、網(wǎng)絡(luò)化時(shí)代�����,“信息資產(chǎn)風(fēng)險(xiǎn)監(jiān)管是現(xiàn)代金融監(jiān)管體系的核心理念�。”信息資產(chǎn)風(fēng)險(xiǎn)指在信息化中�,信息資產(chǎn)的規(guī)劃、設(shè)計(jì)�、開發(fā)、生成�、存在�、運(yùn)用��、服務(wù)����、管理��、維護(hù)�、監(jiān)管以及其他相關(guān)過程中產(chǎn)生的信用、市場(chǎng)�、操作與業(yè)務(wù)風(fēng)險(xiǎn)。人民銀行在金融信息規(guī)劃���、信息標(biāo)準(zhǔn)�����、信息安全等諸多方面承擔(dān)著重要職責(zé)��,在2008奧運(yùn)年中發(fā)揮了重要����、積極的作用�����。但總體來看,人民銀行及其分支行對(duì)金融機(jī)構(gòu)信息安全工作的指導(dǎo)和監(jiān)管����,還處于初級(jí)階段,由于人民銀行分支機(jī)構(gòu)對(duì)各金融機(jī)構(gòu)信息安全缺乏指導(dǎo)�����、缺乏統(tǒng)一的監(jiān)管目標(biāo)�����、缺乏完整的認(rèn)識(shí)��,以及缺乏監(jiān)督管理的依據(jù)和標(biāo)準(zhǔn)����,從而導(dǎo)致監(jiān)管措施不到位,監(jiān)管手段缺失���,致使基層行監(jiān)管缺乏主動(dòng)性�����。
二是核心設(shè)備和技術(shù)依賴于國外,底層技術(shù)難以掌握,存在安全隱患��。
目前,我國金融業(yè)信息系統(tǒng)和網(wǎng)絡(luò)中����,大量使用國外廠商生產(chǎn)的設(shè)備����,這些設(shè)備使用的操作系統(tǒng)、數(shù)據(jù)庫�、芯片也大多數(shù)是由國外廠商生產(chǎn)。外方不可能提供設(shè)備的核心技術(shù)和專利�,我方很難判斷設(shè)備是否存在“后門”、“軟件陷阱”��、“系統(tǒng)漏洞”�����、“軟件炸彈”等安全漏洞�。據(jù)調(diào)查,一些重要網(wǎng)絡(luò)系統(tǒng)中使用的信息技術(shù)產(chǎn)品����,都不可避免地存在一定的安全漏洞�。這些漏洞可能是開發(fā)過程中有意預(yù)留�����,也可能是無意疏忽造成的�。特殊情況下,特定安全漏洞可能被利用實(shí)施人侵��,修改或破壞設(shè)備程序����,或從設(shè)備中竊取機(jī)密數(shù)據(jù)和信息。前一階段國外炒作的IC卡安全問題以及近年來出現(xiàn)的微軟“黑屏事件”��,已經(jīng)為我們敲響了警鐘���。
三是境內(nèi)外網(wǎng)絡(luò)違法犯罪活動(dòng)呈快速遞增趨勢(shì)��,新技術(shù)的應(yīng)用使我們面臨更大的挑戰(zhàn)��。
金融業(yè)信息網(wǎng)絡(luò)和重要信息系統(tǒng)正成為敵對(duì)勢(shì)力���、不法分子進(jìn)行攻擊�、破壞和恐怖活動(dòng)的重點(diǎn)目標(biāo)�����。金融業(yè)信息系統(tǒng)已經(jīng)遭受到多次攻擊�,整體信息安全形勢(shì)嚴(yán)峻。2009年國防科技大學(xué)的一項(xiàng)研究表明�,我國與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵人,其中銀行�、金融和證券機(jī)構(gòu)是攻擊重點(diǎn)。
2005年6月18日�,被稱為有史以來最嚴(yán)重的信息安全案件在美國爆發(fā)���,萬事達(dá)��、VISA和美國運(yùn)通公司的主要服務(wù)商的數(shù)據(jù)處理中心網(wǎng)絡(luò)被黑客程序侵人�����,導(dǎo)致4000萬個(gè)賬戶信息被黑客截獲����,使客戶資金處于十分危險(xiǎn)的狀態(tài)。
由此可見��,基于開放性網(wǎng)絡(luò)的金融服務(wù)對(duì)我國金融信息安全工作提出嚴(yán)峻的挑戰(zhàn)�。
四是數(shù)據(jù)大集中的同時(shí),也使技術(shù)風(fēng)險(xiǎn)相對(duì)集中�。
伴隨著數(shù)據(jù)大集中的實(shí)現(xiàn),風(fēng)險(xiǎn)也相對(duì)集中.一旦數(shù)據(jù)中心發(fā)生災(zāi)難���,將導(dǎo)致金融業(yè)的所有分支機(jī)構(gòu)�、營業(yè)網(wǎng)點(diǎn)和全部的業(yè)務(wù)處理停頓���,或造成客戶重要數(shù)據(jù)的丟失�,其后果不堪設(shè)想�。
近年來,國內(nèi)外金融機(jī)構(gòu)因?yàn)樾畔⒓夹g(shù)系統(tǒng)故障導(dǎo)致大面積����、較長時(shí)問業(yè)務(wù)中斷的事件時(shí)有發(fā)生。2006年��,日本花旗銀行出現(xiàn)交易系統(tǒng)故障����,5天內(nèi)約27.5萬筆公用事業(yè)繳費(fèi)遭重復(fù)扣劃或交易后未作月結(jié)記錄,造成該行的重大聲譽(yù)損失。
信息系統(tǒng)潛在的風(fēng)險(xiǎn)已引起金融業(yè)的高度重視����,如何保障后數(shù)據(jù)大集中時(shí)代金融業(yè)信息系統(tǒng)安全穩(wěn)定運(yùn)行,是需要整個(gè)金融業(yè)深入研究的課題�����。
五是我國金融業(yè)的災(zāi)難處理能力有待加強(qiáng)����。
據(jù)人民銀行在2009年對(duì)21家全國性商業(yè)銀行災(zāi)備中心建設(shè)情況的調(diào)查顯示,僅有3家建立了同城和異地災(zāi)備中心���,9家建立了同城災(zāi)備中心���,6家建立了異地災(zāi)備中心�����,尚有3家沒有建立災(zāi)備中心��。返觀國外同業(yè).多數(shù)國外銀行已經(jīng)做到了分行一級(jí)的災(zāi)難備份與恢復(fù)�。這表明,我國金融業(yè)災(zāi)備中心建設(shè)同國外相比存在較大差距。
此外���,國內(nèi)金融機(jī)構(gòu)的現(xiàn)有災(zāi)難備份中心布局不合理����,過度集中在北京���、上海兩地����,一旦發(fā)生區(qū)域性重大災(zāi)難���,將對(duì)我國金融業(yè)整體運(yùn)行狀況帶來極大危害�,并造成過高的重建成本����。
二、應(yīng)對(duì)措施
按照《國務(wù)院辦公廳關(guān)于印發(fā)中國人民銀行主要職責(zé)內(nèi)設(shè)機(jī)構(gòu)和人員編制規(guī)定的通知》(新“三定”方案)規(guī)定����,人民銀行的主要職責(zé)之一是組織制定金融業(yè)信息化發(fā)展規(guī)劃,負(fù)責(zé)金融標(biāo)準(zhǔn)化的組織管理協(xié)調(diào)工作���,指導(dǎo)金融業(yè)信息安全工作�。
在新形勢(shì)下如何指導(dǎo)和協(xié)調(diào)金融業(yè)信息化建設(shè)和信息安全,是人民銀行尤其是人民銀行分支機(jī)構(gòu)需要認(rèn)真思考的問題��。
金融業(yè)信息系統(tǒng)的安全是防范和化解金融風(fēng)險(xiǎn)的重要組成部分���,要依靠法律����、管理機(jī)制�、技術(shù)保障等多方面相互配合,形成一個(gè)完整的安全保障體系�。
一是加強(qiáng)金融服務(wù)指導(dǎo)和行業(yè)監(jiān)管。
應(yīng)建立跨部門的金融業(yè)信息安全協(xié)調(diào)機(jī)制以及重點(diǎn)時(shí)期的安保工作機(jī)制�,強(qiáng)化信息安全手段和隊(duì)伍建設(shè),加強(qiáng)信息安全檢測(cè)和準(zhǔn)人制度�,實(shí)施信息安全等級(jí)保護(hù),建立信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估體系�����,提高信息安全水平���,保證金融穩(wěn)定和經(jīng)濟(jì)發(fā)展���。
人民銀行分支機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)中小金融機(jī)構(gòu)的服務(wù)指導(dǎo),尤其是在核心業(yè)務(wù)系統(tǒng)建設(shè)����、災(zāi)備建設(shè)和信息安全方面給予具體指導(dǎo),幫助中小金融機(jī)構(gòu)借鑒成功經(jīng)驗(yàn)��,規(guī)避風(fēng)險(xiǎn)�����,實(shí)現(xiàn)跨越式發(fā)展��。
各級(jí)人民銀行�,應(yīng)牽頭成立金融業(yè)信息安全領(lǐng)導(dǎo)小組,并建立和完善信息安全通報(bào)制度�、報(bào)告制度和聯(lián)席會(huì)議制度,建立健全一個(gè)運(yùn)轉(zhuǎn)靈活��、反應(yīng)靈敏的信息安全應(yīng)急處理協(xié)調(diào)機(jī)制���,隨時(shí)處置和協(xié)調(diào)金融機(jī)構(gòu)安全事件����,以迅速應(yīng)對(duì)突發(fā)事件的發(fā)生,降低或消除金融機(jī)構(gòu)網(wǎng)絡(luò)和主要信息系統(tǒng)因出現(xiàn)重大事件造成的損失�����。
二是研究建立跨部門的現(xiàn)代化金融業(yè)信息安全管理網(wǎng)絡(luò)���。真正實(shí)現(xiàn)對(duì)金融機(jī)構(gòu)信息安全風(fēng)險(xiǎn)的及時(shí)����、動(dòng)態(tài)�����、全面����、連續(xù)的監(jiān)管。
在正確評(píng)估我國金融網(wǎng)絡(luò)現(xiàn)狀的基礎(chǔ)上��,借鑒國外的組網(wǎng)模式���,盡快建立適應(yīng)我國金融業(yè)信息化建設(shè)和發(fā)展實(shí)際的高速�����、安全和先進(jìn)的網(wǎng)絡(luò)框架��,在建設(shè)時(shí)要充分考慮到網(wǎng)絡(luò)的兼容性和拓展性�,為下一步與各金融業(yè)的網(wǎng)絡(luò)互聯(lián)做準(zhǔn)備����。同時(shí)促進(jìn)各家金融機(jī)構(gòu)完善內(nèi)控機(jī)制,保障運(yùn)行安全?,F(xiàn)代金融業(yè)高度依賴信息技術(shù),必須充分認(rèn)識(shí)到金融業(yè)信息安全對(duì)整體業(yè)務(wù)和金融體系�����,乃至經(jīng)濟(jì)體系的影響�����,牢固樹立風(fēng)險(xiǎn)防范意識(shí)�,把信息科技作為風(fēng)險(xiǎn)管理的重要手段。
三是人民銀行要協(xié)調(diào)督促金融機(jī)構(gòu)�����,加強(qiáng)自主創(chuàng)新��,加大對(duì)國產(chǎn)軟硬件采購力度,努力減少和降低一些關(guān)鍵領(lǐng)域的對(duì)外技術(shù)依賴�。
對(duì)采購或使用的信息技術(shù)和產(chǎn)品,能自主的就要千方百計(jì)地推進(jìn)自主����,不能自主的,也須保證其可知可控�,也就是說,要對(duì)信息技術(shù)產(chǎn)品的風(fēng)險(xiǎn)和隱患�、漏洞和問題做到“心中有底、手中有招����、控制有術(shù)”。
對(duì)須引進(jìn)的����,實(shí)行市場(chǎng)準(zhǔn)人制度,并引進(jìn)權(quán)威機(jī)構(gòu)對(duì)其產(chǎn)品進(jìn)行風(fēng)險(xiǎn)�、安全、實(shí)用等綜合性評(píng)估���。
對(duì)各地區(qū)一些科技水平還比較低的中小金融機(jī)構(gòu)�,要加大支持力度,加強(qiáng)行業(yè)內(nèi)部的交流合作��。針對(duì)目前金融業(yè)���,特別是中小金融機(jī)構(gòu)的信息系統(tǒng)的開發(fā)、建設(shè)和運(yùn)維采用IT外包的形式�����,應(yīng)出臺(tái)相應(yīng)的政策��、制度和措施�����,促進(jìn)IT外包健康快速發(fā)展���,約定監(jiān)管機(jī)制��,規(guī)范服務(wù)商的服務(wù)標(biāo)準(zhǔn)和流程�����,使IT外包以服務(wù)行為的公司化����、強(qiáng)大的配套支持能力、靈活的外包服務(wù)方式成為金融機(jī)構(gòu)快速發(fā)展的可行之道��。
四是建立健全信息安全管理制度�,定期進(jìn)行信息安全檢查,加強(qiáng)網(wǎng)絡(luò)安全攻擊防范�����。
由于金融業(yè)的組織結(jié)構(gòu)和業(yè)務(wù)運(yùn)營方式���,使網(wǎng)絡(luò)必定要建成一個(gè)同Internet和外部線路有較密切關(guān)系的結(jié)構(gòu)�,各種網(wǎng)絡(luò)訪問上的安全問題也隨之產(chǎn)生���。金融網(wǎng)絡(luò)系統(tǒng)面臨的攻擊有來自內(nèi)部的��,也有來自外部的�����。攻擊的后果將造成信息失密���、信息遭篡改���、身份遭假冒和偽造等,特別是在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵業(yè)務(wù)時(shí)��,網(wǎng)絡(luò)安全問題更是要優(yōu)先解決的問題�。因此,應(yīng)通過建立健全信息安全制度���、定期組織信息安全非現(xiàn)場(chǎng)和現(xiàn)場(chǎng)檢查等方式,促進(jìn)銀行做好系統(tǒng)加固工作��,充分利用各種安全產(chǎn)品強(qiáng)化網(wǎng)絡(luò)安全防范��,加強(qiáng)移動(dòng)存儲(chǔ)介質(zhì)管理�����,做好安全日志分析��、預(yù)警和監(jiān)測(cè)工作����,防止植入木馬導(dǎo)致信息泄漏和來自內(nèi)部的安全威脅。
五是增加業(yè)務(wù)持續(xù)動(dòng)作能力���,切實(shí)采取措施防范數(shù)據(jù)處理集中后的技術(shù)風(fēng)險(xiǎn)�����。
巴塞爾銀行業(yè)監(jiān)管委員會(huì)共同論壇2006年8月了《業(yè)務(wù)連續(xù)性高級(jí)原則》將業(yè)務(wù)連續(xù)性管理定義為�,發(fā)生中斷事件時(shí),確保某些業(yè)務(wù)保持運(yùn)行或在短時(shí)間內(nèi)得到恢復(fù)的一整套辦法���,包括政策��、標(biāo)準(zhǔn)和程序��。
業(yè)務(wù)連續(xù)性管理的實(shí)施在組織上的保證至關(guān)重要��。人民銀行應(yīng)指導(dǎo)金融業(yè)參照國外先進(jìn)經(jīng)驗(yàn)����,專門成立業(yè)務(wù)連續(xù)性管理指導(dǎo)委員會(huì)����,將業(yè)務(wù)部門、風(fēng)險(xiǎn)管理部門和IT部門有關(guān)業(yè)務(wù)連續(xù)性的管理職責(zé)融于一處統(tǒng)籌管理�����。
目前,國內(nèi)銀行災(zāi)難備份和業(yè)務(wù)連續(xù)性管理主要集中在系統(tǒng)故障����、人員操作、機(jī)房維護(hù)和短時(shí)間電力中斷等情況��。在防范自然災(zāi)害��、重大疫情和恐怖襲擊等方面的應(yīng)對(duì)管理還需加強(qiáng)�����。一是要強(qiáng)涮“突發(fā)”與“應(yīng)急”�。由于災(zāi)害事件的不確定性�����,應(yīng)急管理與保障工作必須建立在高強(qiáng)度的實(shí)戰(zhàn)性基礎(chǔ)上�����,使災(zāi)難應(yīng)急管理真正適應(yīng)“應(yīng)急”的要求����。二是要擴(kuò)大應(yīng)急預(yù)案本身的覆蓋范圍���。我國金融業(yè)災(zāi)難備份及業(yè)務(wù)連續(xù)性管理主要集中在IT部門,遠(yuǎn)遠(yuǎn)不能適應(yīng)業(yè)務(wù)連續(xù)性的需要��,應(yīng)當(dāng)強(qiáng)調(diào)業(yè)務(wù)部門的參與���,與IT部門共同構(gòu)建適應(yīng)現(xiàn)代金融業(yè)發(fā)展需要的應(yīng)急保障體系,確保運(yùn)營安全�����。
三����、結(jié)束語
篇4
論文摘要:分析了電力系統(tǒng)信息安全的應(yīng)用與發(fā)展存在的安全風(fēng)險(xiǎn),安全防護(hù)方案���、安全肪護(hù)技術(shù)手段及在網(wǎng)絡(luò)安全工作中應(yīng)該注意的問題��,并對(duì)信息安全的解決方繁從技術(shù)和管理2個(gè)方面進(jìn)行了研究����,探討了保證電力實(shí)時(shí)運(yùn)行控制系統(tǒng)和管理信息網(wǎng)絡(luò)系統(tǒng)信息安全的有關(guān)措施����,同時(shí)以朝陽供電公司為例����,進(jìn)一步進(jìn)行有針對(duì)性的剖析�。
論文關(guān)鍵詞:電力;信息安全�;解決方案;技術(shù)手段
1電力信息化應(yīng)用和發(fā)展
目前�,電力企業(yè)信息化建設(shè)硬件環(huán)境已經(jīng)基本構(gòu)建完成,硬件設(shè)備數(shù)量和網(wǎng)絡(luò)建設(shè)狀況良好����,無論是在生產(chǎn)、調(diào)度還是營業(yè)等部門都已實(shí)現(xiàn)了信息化����,企業(yè)信息化已經(jīng)成為新世紀(jì)開局階段的潮流�。在網(wǎng)絡(luò)硬件方面,基本上已經(jīng)實(shí)現(xiàn)千兆骨干網(wǎng)�;百兆到桌面,三層交換�����;VLAN,MPLS等技術(shù)也普及使用���。在軟件方面����,各應(yīng)用十要包括調(diào)度自動(dòng)化系統(tǒng)��、生產(chǎn)管理信息系統(tǒng)��、營銷信息系統(tǒng)�����、負(fù)荷監(jiān)控系統(tǒng)及各專業(yè)相關(guān)的應(yīng)用子系統(tǒng)等�。計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)在電力生產(chǎn)、建設(shè)�、經(jīng)營、管理����、科研、設(shè)計(jì)等各個(gè)領(lǐng)域有著十分廣泛的應(yīng)用�,安全生產(chǎn)、節(jié)能消耗����、降低成本�����、縮短工期�、提高勞動(dòng)生產(chǎn)率等方面取得了明顯的社會(huì)效益和經(jīng)濟(jì)效益�,同時(shí)也逐步健全和完善了信息化管理機(jī)制,培養(yǎng)和建立了一支強(qiáng)有力的技術(shù)隊(duì)伍����,有利促進(jìn)了電力工業(yè)的發(fā)展。
2電力信息網(wǎng)安全現(xiàn)狀分析
結(jié)合電力生產(chǎn)特點(diǎn)�,從電力信息系統(tǒng)和電力運(yùn)行實(shí)時(shí)控制系統(tǒng)2個(gè)方面,分析電力系統(tǒng)信息安全存在的問題����。電力信息系統(tǒng)已經(jīng)初步建立其安全體系,將電力信息網(wǎng)絡(luò)和電力運(yùn)行實(shí)時(shí)控制網(wǎng)絡(luò)進(jìn)行隔離���,網(wǎng)絡(luò)間設(shè)置了防火墻,購買了網(wǎng)絡(luò)防病毒軟件�����,有了數(shù)據(jù)備份設(shè)備。但電力信息網(wǎng)絡(luò)的安全是不平衡的�����,很多單位沒有網(wǎng)絡(luò)防火墻��,沒有數(shù)據(jù)備份的概念��,更沒有對(duì)網(wǎng)絡(luò)安全做統(tǒng)一�,長遠(yuǎn)的規(guī)劃,網(wǎng)絡(luò)中有許多的安全隱患�。朝陽供電公司嚴(yán)格按照省公司的要求,對(duì)網(wǎng)絡(luò)安全進(jìn)行了全方位的保護(hù)��,防火墻��、防病毒��、入侵檢測(cè)����、網(wǎng)管軟件的安裝、VerJtas備份系統(tǒng)的使用�����,確保了信息的安全,為生產(chǎn)��、營業(yè)提供了有效的技術(shù)支持����。但有些方面還不是很完善,管理起來還是很吃力���,給網(wǎng)絡(luò)的安全埋伏了很多的不利因素��。這些都是將在以后急需解決的問題�����。
3電力信息網(wǎng)安全風(fēng)險(xiǎn)分析
計(jì)算機(jī)及信息網(wǎng)絡(luò)安全意識(shí)亟待提高�����。電力系統(tǒng)各種計(jì)算機(jī)應(yīng)用對(duì)信息安全的認(rèn)識(shí)距離實(shí)際需要差距較大����,對(duì)新出現(xiàn)的信息安全問題認(rèn)識(shí)不足���。
缺乏統(tǒng)一的信息安全管理規(guī)范�����。電力系統(tǒng)雖然對(duì)計(jì)算機(jī)安全一+直非常重視�,但由于各種原因���,目前還沒有一套統(tǒng)一��、完善的能夠指導(dǎo)整個(gè)電力系統(tǒng)計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范��。
急需建立同電力行業(yè)特點(diǎn)相適應(yīng)的計(jì)算機(jī)信息安全體系�。相對(duì)來說��,在計(jì)算機(jī)安全策略���、安全技術(shù)和安全措施投入較少�����。為保證電力系統(tǒng)安全���、穩(wěn)定��、高效運(yùn)行���,應(yīng)建立一套結(jié)合電力計(jì)算機(jī)應(yīng)用特點(diǎn)的計(jì)算機(jī)信息安全體系。
計(jì)算機(jī)網(wǎng)絡(luò)化使過去孤立的局域網(wǎng)在聯(lián)成廣域網(wǎng)后���,面臨巨大的外部安全攻擊����。電力系統(tǒng)較早的計(jì)算機(jī)系統(tǒng)一般都是內(nèi)部的局域網(wǎng)����,并沒有同外界連接。所以�����,早期的計(jì)算機(jī)安全只是防止外部破壞或者對(duì)內(nèi)部人員的安全控制就可以了�,但現(xiàn)在就必須要面對(duì)國際互聯(lián)網(wǎng)上各種安全攻擊,如網(wǎng)絡(luò)病毒�、木馬和電腦黑客等。
數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲(chǔ)��。電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)中的信息一般存儲(chǔ)在由數(shù)據(jù)庫管理系統(tǒng)維護(hù)的數(shù)據(jù)庫中或操作系統(tǒng)文件中�����。以明文形式存儲(chǔ)的信息存在泄漏的可能,拿到存儲(chǔ)介質(zhì)的人可以讀出這些信息����;黑客可以饒過操作系統(tǒng)���,數(shù)據(jù)庫管理系統(tǒng)的控制獲取這些信息���;系統(tǒng)后門使軟硬件系統(tǒng)制造商很容易得到這些信息。弱身份認(rèn)證���。電力行業(yè)應(yīng)用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設(shè)計(jì)和開發(fā)���,用戶身份認(rèn)證基本上采用口令的鑒別模式,而這種模式很容易被攻破�����。有的應(yīng)用系統(tǒng)還使用白己的用戶鑒別方法��,將用戶名���、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫或文件中�,這種脆弱的安全控制措施在操作人員計(jì)算機(jī)應(yīng)用水平不斷提高、信息敏感性不斷增強(qiáng)的今天不能再使用了���。沒有完善的數(shù)據(jù)備份措施����。很多單位只是選擇一臺(tái)工作站備份一下數(shù)據(jù)就了事��,沒有完善的數(shù)據(jù)備份設(shè)備����、沒有數(shù)據(jù)備份策略、沒有備份的管理制度����,沒有對(duì)數(shù)據(jù)備份的介質(zhì)進(jìn)行妥善保管。
4電力信息網(wǎng)安全防護(hù)方案
4.1加強(qiáng)電力信息網(wǎng)安全教育
安全意識(shí)和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容�����,其實(shí)施力度將直接關(guān)系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果����。為了保證安全的成功和有效�,高級(jí)管理部門應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員����、用戶、技術(shù)人員進(jìn)行安全培訓(xùn)����。所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)安全策略。在安全教育具體實(shí)施過程中應(yīng)該有一定的層次性和普遍性�。
主管信息安全工作的高級(jí)負(fù)責(zé)人或各級(jí)管理人員���,重點(diǎn)是了解��、掌握企業(yè)信息安全的整體策略及目標(biāo)�����、信息安全體系的構(gòu)成����、安全管理部¨的建立和管理制度的制定等�。負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員,重點(diǎn)是充分理解信息安全管理策略��,掌握安全評(píng)估的基本方法,對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等���。
信息用戶���,重點(diǎn)是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略��,包括自身應(yīng)該承擔(dān)的安全職責(zé)等���。當(dāng)然�����,對(duì)于特定的人員要進(jìn)行特定的安全培訓(xùn)����。安全教育應(yīng)當(dāng)定期的����、持續(xù)的進(jìn)行。在企業(yè)中建立安全文化并納入整個(gè)企業(yè)文化體系中才是最根本的解決辦法����。
4.2電力信息髓安全防護(hù)技術(shù)措旌
(1)網(wǎng)絡(luò)防火墻:防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口���,所有的訪問都將通過防火墻進(jìn)行,不允許任何饒過防火墻的連接�����。DMZ區(qū)放置了企業(yè)對(duì)外提供各項(xiàng)服務(wù)的服務(wù)器����,既能夠保證提供正常的服務(wù),又能夠有效地保護(hù)服務(wù)器不受攻擊�。設(shè)置防火墻的訪問策略,遵循“缺省全部關(guān)閉�,按需求開通的原則”��,拒絕除明確許可證外的任何服務(wù)�����。
(2)物理隔離裝置:主要用于電力信息網(wǎng)的不同區(qū)之間的隔離��,物理隔離裝置實(shí)際上是專用的防火墻�,由于其不公開性,使得更難被黑客攻擊����。
(3)入侵檢測(cè)系統(tǒng):部署先進(jìn)的分布式入侵檢測(cè)構(gòu)架����,最大限度地�、全天候地實(shí)施監(jiān)控,提供企業(yè)級(jí)的安全檢測(cè)手段���。在事后分析的時(shí)候�,可以清楚地界定責(zé)任人和責(zé)任時(shí)間����,為網(wǎng)絡(luò)管理人員提供強(qiáng)有力的保障。入侵檢測(cè)系統(tǒng)采用攻擊防衛(wèi)技術(shù)�����,具有高可靠性���、高識(shí)別率���、規(guī)則更新迅速等特點(diǎn)。
(4)網(wǎng)絡(luò)隱患掃描系統(tǒng):網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持TCP/IP協(xié)議的設(shè)備,掃描的對(duì)象包括掃描多種操作系統(tǒng)���,掃描網(wǎng)絡(luò)設(shè)備包括:服務(wù)器�、工作站���、防火墻��、路由器��、路由交換機(jī)等���。在進(jìn)行掃描時(shí),可以從網(wǎng)絡(luò)中不同的位置對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描�。
掃描結(jié)束后生成詳細(xì)的安全評(píng)估報(bào)告,采用報(bào)表和圖形的形式對(duì)掃描結(jié)果進(jìn)行分析���,可以方便直觀地對(duì)用戶進(jìn)行安全性能評(píng)估和檢查����。
(5)網(wǎng)絡(luò)防病毒:為保護(hù)電力信息網(wǎng)絡(luò)受病毒侵害����,保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性,應(yīng)構(gòu)建從主機(jī)到服務(wù)器的完善的防病毒體系����。以服務(wù)器作為網(wǎng)絡(luò)的核心,對(duì)整個(gè)網(wǎng)絡(luò)部署查���、殺毒�����,服務(wù)器通過Internet從免疫中心實(shí)時(shí)獲取最新的病毒碼信息�����,及時(shí)更新病毒代碼庫���。同時(shí),選擇的網(wǎng)絡(luò)防病毒軟件應(yīng)能夠適應(yīng)各種系統(tǒng)平臺(tái)����、各種數(shù)據(jù)庫平臺(tái)、各種應(yīng)用軟件��。
(6)數(shù)據(jù)加密及傳輸安全:通過文件加密����、信息摘要和訪問控制等安全措施���,來實(shí)現(xiàn)文件存儲(chǔ)和傳輸?shù)谋C芎屯暾砸?���,?shí)現(xiàn)對(duì)文件訪問的控制。對(duì)通信安全���,采用數(shù)據(jù)加密���,信息摘要和數(shù)字簽名等安全措施對(duì)通信過程中的信息進(jìn)行保護(hù)����,實(shí)現(xiàn)數(shù)據(jù)在通信中的保密�、完整和不可抵賴性安全要求。對(duì)遠(yuǎn)程接入安全�����,通過VPN技術(shù),提高實(shí)時(shí)的信息傳播中的保密性和安全性�����。
(7)數(shù)據(jù)備份:對(duì)于企業(yè)來說�����,最珍貴的是存儲(chǔ)在存儲(chǔ)介質(zhì)中的數(shù)據(jù)信息。數(shù)據(jù)備份和容錯(cuò)方案是必不可少的��,必須建立集中和分散相結(jié)合的數(shù)據(jù)備份設(shè)施及切合實(shí)際的數(shù)據(jù)備份策略���。
(8)數(shù)據(jù)庫安全:通過數(shù)據(jù)存儲(chǔ)加密、完整性檢驗(yàn)和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機(jī)密和完整性�����,并實(shí)現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全���。
4.3電力信息網(wǎng)安全防護(hù)管理措施
技術(shù)是安全的主體,管理是安全的靈魂�。只有將有效的安全管理實(shí)踐自始至終貫徹落實(shí)于信息安全當(dāng)中,網(wǎng)絡(luò)安全的長期性和穩(wěn)定性才能有所保證�。
(1)要加強(qiáng)信息人員的安全教育,保持信息人員特別是網(wǎng)絡(luò)管理人員和安全管理人員的相對(duì)穩(wěn)定��,防止網(wǎng)路機(jī)密泄露���,特別是注意人員調(diào)離時(shí)的網(wǎng)絡(luò)機(jī)密的泄露。
(2)對(duì)各類密碼要妥善管理�����,杜絕默認(rèn)密碼,出廠密碼���,無密碼�,不要使用容易猜測(cè)的密碼��。密碼要及時(shí)更新����,特別是有人員調(diào)離時(shí)密碼一定要更新��。
(3)技術(shù)管理���,主要是指各種網(wǎng)絡(luò)設(shè)備����,網(wǎng)絡(luò)安全設(shè)備的安全策略��,如防火墻�、物理隔離設(shè)備、入侵檢測(cè)設(shè)備�、路由器的安全策略要切合實(shí)際。
(4)數(shù)據(jù)的備份策略要合理,備份要及時(shí)����,備份介質(zhì)保管要安全,要注意備份介質(zhì)的異地保存��。
(5)加強(qiáng)信息設(shè)備的物理安全�,注意服務(wù)器、計(jì)算機(jī)��、交換機(jī)�、路由器、存儲(chǔ)介質(zhì)等設(shè)備的防火���、防盜����、防水�����、防潮���、防塵��、防靜電等�����。
(6)注意信息介質(zhì)的安全管理����,備份的介質(zhì)要防止丟失和被盜。報(bào)廢的介質(zhì)要及時(shí)清除和銷毀���,特別要注意送出修理的設(shè)備上存儲(chǔ)的信息的安全�����。
5電力信息網(wǎng)絡(luò)安全工作應(yīng)注意的問題
(1)理順技術(shù)與管理的關(guān)系��。
解決信息安全問題不能僅僅只從技術(shù)上考慮,要防止重技術(shù)輕管理的傾向�,加強(qiáng)對(duì)人員的管理和培訓(xùn)。
(2)解決安全和經(jīng)濟(jì)合理的關(guān)系�。安全方案要能適應(yīng)長遠(yuǎn)的發(fā)展和今后的局部調(diào)整,防止不斷改造��,不斷投入���。
(3)要進(jìn)行有效的安全管理���,必須建立起一套系統(tǒng)全面的信息安全管理體系�����,可以參照國際上通行的一些標(biāo)準(zhǔn)來實(shí)現(xiàn)�����。
(4)網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的�����、全局的管理問題����,網(wǎng)絡(luò)上的任何一個(gè)漏洞�����,都會(huì)導(dǎo)致全網(wǎng)的安全問題�����,應(yīng)該用系統(tǒng)工程的觀點(diǎn)、方法����,分析網(wǎng)絡(luò)的安全及具體措施。
篇5
一����、建立電子檔案信息安全評(píng)價(jià)指標(biāo)體系的必要性
信息技術(shù)在檔案管理中的廣泛應(yīng)用,一方面提高了檔案工作的效率�����,擴(kuò)大了檔案的社會(huì)影響力�;另一方面也對(duì)檔案工作提出了新的要求,例如存儲(chǔ)介質(zhì)的不穩(wěn)定�、技術(shù)過時(shí)、黑客入侵�����、電腦病毒破壞等都使得電子檔案信息的安全保護(hù)面臨著前所未有的挑戰(zhàn)�����。
在2002年國家檔案局頒發(fā)的《全國檔案信息化建設(shè)實(shí)施綱要》和近期各省市的“十一五檔案信息化建設(shè)綱要”中都提出了“檔案信息安全保障體系建設(shè)”�,但仍缺乏深入、系統(tǒng)的探討��。電子檔案信息的安全管理是一個(gè)過程�,而不是一個(gè)產(chǎn)品,我們不能期望通過一個(gè)安全產(chǎn)品就能把所有的安全問題都解決����。對(duì)各檔案管理系統(tǒng)來說,解決電子檔案信息安全的首要問題就是要識(shí)別自身信息系統(tǒng)所面臨的風(fēng)險(xiǎn)��,包括這些風(fēng)險(xiǎn)可能帶來的安全威脅與影響的程度�����,然后進(jìn)行最充分的分析與評(píng)價(jià)��。只有采用科學(xué)有效的模型和方法進(jìn)行全面的安全評(píng)價(jià)���,才能真正掌握內(nèi)部信息系統(tǒng)的整體安全狀況�,分析各種存在的威脅���,以便針對(duì)高風(fēng)險(xiǎn)的威脅采取有效的安全措施��,提高整體安全水平��,逐步建成堅(jiān)固的電子檔案信息安全管理體系��。
二����、電子檔案信息安全評(píng)價(jià)指標(biāo)體系的組成
電子檔案信息系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)工程,既有硬件�,又有軟件,既有外部影響�,又有內(nèi)部因素,而且許多方面是相互制約的����。因此,必須有一個(gè)規(guī)范的�����、統(tǒng)一的���、客觀的標(biāo)準(zhǔn)���。根據(jù)國內(nèi)外的電子檔案信息安全評(píng)估標(biāo)準(zhǔn),國家對(duì)電子檔案信息和網(wǎng)絡(luò)信息系統(tǒng)安全性的基本要求�����,結(jié)合電子檔案管理和網(wǎng)絡(luò)管理經(jīng)驗(yàn)�,綜合考慮影響電子檔案信息安全的各種因素,建立電子檔案信息安全評(píng)價(jià)指標(biāo)體系�����。該體系主要包括五個(gè)大項(xiàng)二十個(gè)小項(xiàng)的評(píng)價(jià)指標(biāo)���。
1���、物理安全評(píng)價(jià)指標(biāo)
物理安全是指存儲(chǔ)檔案信息的庫房、計(jì)算機(jī)設(shè)備及管理人員工作場(chǎng)所內(nèi)外的環(huán)境條件必須滿足檔案信息安全��、計(jì)算機(jī)設(shè)備和管理人員的要求���。對(duì)于各種災(zāi)害���、故障要采取充分的預(yù)防措施,萬一發(fā)生災(zāi)害或故障���,應(yīng)能采取應(yīng)急措施����,將損失降到最低。物理安全包括環(huán)境安全�����、設(shè)備安全和載體安全三個(gè)方面����。
(1)環(huán)境安全:主要指存儲(chǔ)檔案信息的庫房、計(jì)算機(jī)機(jī)房周圍環(huán)境是否符合管理要求和是否具備抵抗自然災(zāi)害的能力���,如庫房是否建在電力����、水源充足��,自然環(huán)境清潔����,通訊、交通運(yùn)輸方便的地方�����;有無防火、防水措施���;有無監(jiān)控系統(tǒng);有無防雷措施等�。
(2)設(shè)備安全:主要是指對(duì)電子檔案信息系統(tǒng)設(shè)備的安全保護(hù),包括設(shè)備的防盜�、防毀、防電磁信息輻射泄漏�����、防止線路截獲���、抗電磁干擾及電源保護(hù)等�����。
(3)載體安全:保證設(shè)備安全的同時(shí)��,也要保證載體安全�����,要對(duì)載體采取物理上的防盜�、防毀、防霉等措施����。
2、管理安全評(píng)價(jià)指標(biāo)
安全管理在電子檔案信息安全保障中起著規(guī)范和制約的作用�����,科學(xué)的管理理念加上嚴(yán)格的管理制度才能最終保證電子檔案信息的安全����。電子檔案信息的管理安全評(píng)價(jià)指標(biāo)具體包括:
(1)專門的檔案信息安全組織機(jī)構(gòu)和專職的檔案信息安全管理人員:檔案信息安全組織機(jī)構(gòu)的成立與檔案信息安全管理人員的任命必須有相關(guān)單位的正式文件。
(2)規(guī)章制度:包括有無健全的電子檔案信息安全管理規(guī)章制度��;檔案信息安全人員的配備����、調(diào)離是否有嚴(yán)格的管理制度;設(shè)備與數(shù)據(jù)管理制度是否完備����;是否有登記建檔制度;是否有完整的電子檔案信息安全培訓(xùn)計(jì)劃和培訓(xùn)制度��;各類人員的安全職責(zé)是否明確,能否保障電子檔案信息的安全管理�。
(3)是否有緊急事故處理預(yù)案:為減少電子檔案信息系統(tǒng)故障的影響,盡快恢復(fù)系統(tǒng)��,應(yīng)制定故障的應(yīng)急措施和恢復(fù)規(guī)程以及自然災(zāi)害發(fā)生時(shí)的應(yīng)急預(yù)案�����,制成手冊(cè)����,以備及時(shí)恢復(fù)系統(tǒng)運(yùn)行���。
3�����、網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)
越來越多的電子檔案在網(wǎng)絡(luò)上傳輸�,而網(wǎng)絡(luò)作為一種構(gòu)建在開放性技術(shù)協(xié)議基礎(chǔ)上的信息流通渠道���,它的防衛(wèi)能力和抗攻擊能力較弱�����,可能會(huì)遭受到病毒�、黑客的襲擊。為了保證電子檔案的安全必須保證其傳輸?shù)拿浇椤W(wǎng)絡(luò)的安全���,網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)包括以下幾個(gè)方面:
(1)是否有計(jì)算機(jī)病毒防范措施
(2)是否有防黑客入侵設(shè)施:主要是設(shè)置防火墻和入侵檢測(cè)等設(shè)施�����。
(3)是否有訪問控制措施:訪問控制是指控制訪問網(wǎng)絡(luò)信息系統(tǒng)的用戶�,當(dāng)用戶之間建立鏈接時(shí)���,為了防止非法鏈接或被欺騙�����,就可實(shí)施身份確認(rèn)��,以確保只有合法身份的用戶才能與之建立鏈接��。
(4)是否有審計(jì)與監(jiān)控:審計(jì)與監(jiān)控是指應(yīng)使用網(wǎng)絡(luò)監(jiān)控設(shè)備或?qū)崟r(shí)入侵檢測(cè)設(shè)備�,以便對(duì)進(jìn)出各級(jí)局域網(wǎng)的常見操作進(jìn)行實(shí)時(shí)檢查����、監(jiān)控���、報(bào)警和阻斷,從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為��。
4��、信息安全評(píng)價(jià)指標(biāo)
在網(wǎng)絡(luò)能夠正常運(yùn)行的基礎(chǔ)上���,我們要保證在系統(tǒng)中傳輸����、存貯的電子檔案信息是安全的����,不被截取��、篡改或盜用�。
(1)是否采取加密措施:檔案的本質(zhì)屬性是原始記錄性,而計(jì)算機(jī)和網(wǎng)絡(luò)的不穩(wěn)定性使得電子檔案信息的這一特性難以保證��,而且有些電子檔案信息有密級(jí)限制����,不能公開在網(wǎng)絡(luò)上傳輸�,所以電子檔案信息在網(wǎng)絡(luò)傳輸時(shí)必須通過加密來保證其安全�����。
(2)是否有數(shù)據(jù)完整性鑒別技術(shù):網(wǎng)絡(luò)上的傳輸使得電子檔案信息的完整性無法保證����,黑客的攻擊可以改變信息包內(nèi)部的內(nèi)容,所以應(yīng)采取有效的措施來進(jìn)行完整性控制�����,這對(duì)于電子檔案信息來說至關(guān)重要�����。
(3)是否確保信息數(shù)據(jù)庫的安全:一個(gè)組織最核心的信息通常以數(shù)據(jù)庫的形式保存和使用�,保證數(shù)據(jù)庫安全對(duì)于電子檔案信息來說有重要的作用。
(4)是否有信息防泄漏措施:信息防泄漏包括信息審計(jì)系統(tǒng)和密級(jí)控制兩方面��。信息審計(jì)系統(tǒng)能實(shí)時(shí)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行內(nèi)容審計(jì)���,以防止或追查可能的泄密行為����;另外,可以根據(jù)信息保密級(jí)別的高低劃分公開范圍�����,并對(duì)用戶劃分訪問權(quán)限�����,進(jìn)行分組管理�。
(5)是否有防抵賴技術(shù):防抵賴技術(shù)確保用戶不能否認(rèn)自己所做的行為,同時(shí)提供公證的手段來解決可能出現(xiàn)的爭議�,它包括對(duì)數(shù)據(jù)源和目的地雙方的證明,常用方法是數(shù)字簽名�。
5、系統(tǒng)安全評(píng)價(jià)指標(biāo)
這里的系統(tǒng)安全是指計(jì)算機(jī)整個(gè)運(yùn)行體系的安全��。在計(jì)算機(jī)上處理信息時(shí)��,硬件����、軟件出現(xiàn)故障或誤操作���、突然斷電等都會(huì)使正在處理的信息丟失�,造成無法彌補(bǔ)的損失。所以我們需要采取一系列措施保證系統(tǒng)的穩(wěn)定�,確保信息的安全。計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)指標(biāo)有:
(1)是否有系統(tǒng)操作日志:系統(tǒng)操作日志詳細(xì)記錄了系統(tǒng)的操作狀況���,以便事后分析和追查系統(tǒng)損壞的原因��,為系統(tǒng)提供進(jìn)一步的安全保障�����。
(2)是否進(jìn)行系統(tǒng)安全檢測(cè):運(yùn)用系統(tǒng)安全檢測(cè)工具對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)進(jìn)行安全檢測(cè)�����,可及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的漏洞或惡意的攻擊�,進(jìn)而采取有效的補(bǔ)救措施和安全策略�����,達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的��。
(3)是否有操作系統(tǒng)防破壞措施:操作系統(tǒng)集中管理系統(tǒng)的資源�����,是計(jì)算機(jī)系統(tǒng)賴以正常運(yùn)轉(zhuǎn)的中樞,它的安全性將直接影響到整個(gè)計(jì)算機(jī)系統(tǒng)的安全��。操作系統(tǒng)應(yīng)當(dāng)建立某些相對(duì)的鑒別標(biāo)準(zhǔn)�,保護(hù)操作系統(tǒng)本身在內(nèi)的各個(gè)用戶,阻止有害功能的運(yùn)行�����。
(4)是否進(jìn)行系統(tǒng)信息備份:日常備份制度是系統(tǒng)備份方案的具體實(shí)施細(xì)則���,應(yīng)嚴(yán)格按照制度進(jìn)行日常備份�����,否則將無法達(dá)到備份方案的目標(biāo)���。
(5)是否有災(zāi)難恢復(fù)系統(tǒng):當(dāng)系統(tǒng)因人為或自然因素受到破壞時(shí),我們應(yīng)保證能夠盡快地恢復(fù)正常工作�����,把損失控制在最小范圍內(nèi)�。
三、電子檔案信息安全評(píng)價(jià)指標(biāo)體系權(quán)重確定方法
用若干個(gè)指標(biāo)進(jìn)行綜合評(píng)價(jià)時(shí)����,其對(duì)評(píng)價(jià)對(duì)象的作用,從評(píng)價(jià)目的來看�����,并不是同等重要的��。指標(biāo)越重要��,權(quán)的數(shù)值就越大�;反之,數(shù)值小則可以說明其重要程度相對(duì)較低���。
合理地確定和適當(dāng)?shù)卣{(diào)整指標(biāo)權(quán)重����,體現(xiàn)了系統(tǒng)評(píng)價(jià)指標(biāo)中各因素之間的輕重有度�����、主次有別���,更能增加評(píng)價(jià)因素的可比性����。在安全評(píng)價(jià)中,具體確定權(quán)重的方法很多����,如德爾菲法、主成分分析法����、層次分析法、環(huán)比法等�����。其中���,層次分析法比較適用于電子檔案信息安全的評(píng)價(jià)��。
層次分析法的核心是對(duì)決策對(duì)象進(jìn)行評(píng)價(jià)和選擇�����,并對(duì)它們進(jìn)行優(yōu)劣排序�,從而為決策者提供定量形式的決策依據(jù)。它充分利用人的分析�、判斷和綜合能力��,適用于結(jié)構(gòu)較為復(fù)雜����、決策準(zhǔn)則較多且不易量化的決策問題。它將定性分析和定量分析相結(jié)合���,具有高度的簡明性�、有效性���、可靠性和廣泛的適用性��。而電子檔案信息安全指標(biāo)體系因素多�����、主觀性強(qiáng)且決策結(jié)果難以直接準(zhǔn)確計(jì)量�,因而可以用層次分析法來確定指標(biāo)體系的權(quán)重�。層次分析法的基本步驟是:
1、將復(fù)雜問題概念化����,找出研究對(duì)象所涉及的主要因素��;2��、分析各因素的關(guān)聯(lián)����、隸屬關(guān)系�,構(gòu)建有序的階梯層次結(jié)構(gòu)模型;3�����、對(duì)同一層次的各因素根據(jù)上一層次中某一準(zhǔn)則的相對(duì)重要性進(jìn)行兩兩比較����,建立判斷矩陣;4��、由判斷矩陣計(jì)算被比較因素對(duì)上一層準(zhǔn)則的相對(duì)權(quán)重�,并進(jìn)行一致性檢驗(yàn);5���、計(jì)算各層次相對(duì)于系統(tǒng)總目標(biāo)的合成權(quán)重��,進(jìn)行層次總排序���。
四�、電子檔案信息安全評(píng)價(jià)指標(biāo)體系綜合評(píng)價(jià)方法
綜合評(píng)價(jià)是指對(duì)被評(píng)價(jià)對(duì)象進(jìn)行客觀��、公正���、合理的全局性、整體性評(píng)價(jià)�。可以用作綜合評(píng)價(jià)的數(shù)學(xué)方法很多��,但是每種方法考慮問題的側(cè)重點(diǎn)各有不同��。鑒于所選擇的方法不同��,有可能導(dǎo)致評(píng)價(jià)結(jié)果的不同��,因而在進(jìn)行多目標(biāo)綜合評(píng)價(jià)時(shí)�����,應(yīng)具體問題具體分析�。根據(jù)被評(píng)價(jià)對(duì)象本身的特性����,在遵循客觀性���、可操作性和有效性原則的基礎(chǔ)上選擇合適的評(píng)價(jià)方法�����。在信息安全領(lǐng)域��,目前存在的綜合評(píng)價(jià)方法有信息系統(tǒng)安全風(fēng)險(xiǎn)的屬性評(píng)估方法����、模糊綜合評(píng)價(jià)方法�����、基于灰色理論的評(píng)價(jià)方法�����、基于粗糙集理論的評(píng)價(jià)方法等�����。對(duì)于這些方法,目前還沒有評(píng)論認(rèn)為哪一種方法更適用于信息安全領(lǐng)域的綜合評(píng)價(jià)��。鑒于此種情況�����,本指標(biāo)體系采用模糊綜合評(píng)價(jià)方法����。
模糊綜合評(píng)價(jià)就是以模糊數(shù)學(xué)為基礎(chǔ)���,應(yīng)用模糊關(guān)系合成的原理����,將一些邊界不清��、不易定量的因素定量化��,進(jìn)行綜合評(píng)價(jià)的一種方法�。從評(píng)價(jià)對(duì)象來看,用模糊綜合評(píng)價(jià)方法來評(píng)價(jià)信息安全系統(tǒng)是可行的���。首先��,對(duì)于信息的安全管理而言��,“安全”與“危險(xiǎn)”之間沒有明顯的分界線�����,即安全與危險(xiǎn)之間存在著一種中間過渡的狀態(tài)���,這種中間狀態(tài)具有亦此亦彼的性質(zhì)���,也就是通常所說的模糊性。因此在安全的刻畫與描述上大多采用自然語言來表達(dá)�,而自然語言最大的特點(diǎn)是它的模糊性。另外��,電子檔案信息安全評(píng)價(jià)中���,對(duì)一些評(píng)價(jià)要素的評(píng)價(jià)是具有模糊性的�。如組織管理中的評(píng)價(jià)很難量化����,一般只能用“好”、“一般”、“差”等等級(jí)概念來描述���,具有較強(qiáng)的模糊性����。而且一些評(píng)價(jià)要素受外界環(huán)境的影響較大�����,具有不確定性��,如網(wǎng)絡(luò)攻擊��、安全設(shè)施失效����、人為失誤等偶然性較大��,難以準(zhǔn)確評(píng)價(jià)���。對(duì)于這些模糊的�、不確定性的問題通常采用模糊數(shù)學(xué)來研究�����。模糊綜合評(píng)價(jià)方法就是在對(duì)多種因素影響的事物或現(xiàn)象進(jìn)行總的評(píng)價(jià)過程中涉及到模糊因素或模糊概念的一種評(píng)估方式,它通過運(yùn)用模糊集合中隸屬度和隸屬度函數(shù)的理論來刻畫這種模糊性�����,以達(dá)到定量精確的目的�����。
總之�,模糊綜合評(píng)價(jià)方法是一種適用于在信息安全管理方面進(jìn)行系統(tǒng)評(píng)價(jià)的可行方法,其基本步驟為⑦:
1���、確定評(píng)價(jià)集�����。評(píng)價(jià)集是以評(píng)判者對(duì)被評(píng)價(jià)對(duì)象可能做出的各種總的評(píng)判結(jié)果為元素組成的集合�����,例如我們可以對(duì)電子檔案信息安全評(píng)價(jià)采用五個(gè)等級(jí)的評(píng)語集合(很好���,好��,較好����,一般����,差)。
2�����、建立因素集��。因素集是以影響評(píng)判對(duì)象的各種因素為元素組成的集合�,在本文的電子檔案信息安全評(píng)價(jià)體系中,主因素層的因素集有物理安全�����、管理安全����、網(wǎng)絡(luò)安全���、信息安全和系統(tǒng)安全五個(gè)指標(biāo)�����,其下層又有各自的影響因素集�,由各自的具體影響指標(biāo)組成。
3����、建立權(quán)重集。由于各評(píng)價(jià)要素在評(píng)價(jià)中的重要程度不同�,因而必須對(duì)各要素按其重要程度給出不同的權(quán)重,權(quán)重集通過層次分析法確定����。
篇6
學(xué)術(shù)界有專家認(rèn)為,1987年頒布的《檔案法》對(duì)我國有關(guān)主體的檔案利用權(quán)利進(jìn)行了法律確認(rèn),檔案利用權(quán)利已經(jīng)是一項(xiàng)法定權(quán)利。但是,從《檔案法》及其實(shí)施辦法中不僅看不到有關(guān)檔案利用權(quán)利的明確表述,而且從相關(guān)規(guī)定中也無法自然推導(dǎo)出檔案利用權(quán)利就是一種法律權(quán)利�。《檔案法》第十九條和第二十條在規(guī)定檔案利用行為時(shí)表示有關(guān)組織或公民“可以利用”已經(jīng)開放的檔案或未開放的檔案(對(duì)后者又做了特別限制性規(guī)定)�。事實(shí)上,“可以利用”通常會(huì)出現(xiàn)在兩種情況之下:一是公民或組織具有法定的檔案利用權(quán)利;二是公民或組織可以從檔案館開放檔案的行為中獲益。雖然上述兩者在目標(biāo)指向上均表現(xiàn)為公民或組織檔案利用過程或結(jié)果的實(shí)際發(fā)生,但它們顯然有著明顯區(qū)別����。如果公民或組織是在履行檔案利用權(quán)利,則其檔案利用行為理應(yīng)受到各種保障或救濟(jì),一旦其檔案利用權(quán)利受到損害就應(yīng)得到來自行政或司法渠道的救濟(jì);如果公民或組織是從檔案開放過程中受益,那么自然不會(huì)對(duì)檔案開放主體(主要是指國家檔案館)的檔案開放行為提出任何非議。從《檔案法》及其實(shí)施辦法的文本解讀上看,它們?cè)谏婕肮窕蚪M織對(duì)開放檔案的利用行為時(shí),似乎都有意或無意省略了“權(quán)利”一詞,而且通篇法律文本也未設(shè)計(jì)對(duì)公民檔案利用權(quán)利進(jìn)行保障或救濟(jì)的任何措施���。因此,筆者認(rèn)為,迄今為止在我國有關(guān)法律法規(guī)中檔案利用權(quán)利并未被確認(rèn),它尚未成為一種法律權(quán)利,仍然只是一種應(yīng)有或事實(shí)上的權(quán)利��。
由于不同的權(quán)利主體基于同一檔案客體對(duì)象會(huì)因利益目標(biāo)不同而產(chǎn)生不同的權(quán)利類型并伴有普遍的信息權(quán)利沖突現(xiàn)象,因此,從權(quán)利協(xié)調(diào)與平衡的原則和要求看,公民或組織基于某一檔案客體對(duì)象所產(chǎn)生的檔案利用權(quán)利始終都是有限度的,它必然會(huì)受到檔案開放或公布權(quán)���、檔案秘密權(quán)�����、檔案作品著作權(quán)等相關(guān)權(quán)利的制約����。因此,設(shè)計(jì)合理與合法的檔案利用權(quán)利控制機(jī)制就成為我國檔案立法的重要內(nèi)容����。
二、現(xiàn)有法律法規(guī)對(duì)檔案利用權(quán)利的過度限制
任何權(quán)利的構(gòu)成都包括權(quán)利主體�、權(quán)利客體、權(quán)利內(nèi)容等基本要素,對(duì)檔案利用權(quán)利限度的分析也可從這些角度分別進(jìn)行���。
1����、檔案利用權(quán)利主體上的限制
檔案利用權(quán)利主體是指有權(quán)利用(而不是現(xiàn)在法律文本中表述的“可以利用”)已開放和未開放檔案的自然人��、法人或者其他組織�����。我國在有關(guān)立法中習(xí)慣于將權(quán)利主體表述為“我國公民��、法人或者其他組織”,而對(duì)外國人或者組織作特殊處理或者規(guī)定��。例如《檔案法》第二十條就規(guī)定了對(duì)檔案(半現(xiàn)行與非現(xiàn)行文件)利用主體的具體范圍為“團(tuán)體�、企業(yè)事業(yè)單位和其他組織以及公民”,而沒有將“外國人或者外國組織”納入到利用主體的范圍之內(nèi)。為了處理這一局限,有關(guān)部門出臺(tái)了《外國組織和個(gè)人利用我國檔案試行辦法》���。一般而言,外國人或外國組織經(jīng)有關(guān)主管部門同意后只能利用國家檔案館已經(jīng)開放的檔案�。從信息公開立法的國際趨勢(shì)看,信息獲取與利用權(quán)利主體一般具有無限性特點(diǎn),習(xí)慣于將本國公民�、法人或者組織和外國公民與組織均作為等同的權(quán)利主體對(duì)待。筆者認(rèn)為,上述趨勢(shì)雖然可以給我國檔案立法提供借鑒,但從理論上還是應(yīng)區(qū)分清楚檔案利用權(quán)利主體和檔案利用主體的界限��。檔案利用權(quán)利主體是指我國公民�、法人或者組織,而檔案利用主體除包括我國公民、法人或組織之外,還應(yīng)包括外國公民或組織����。他們與我國公民、法人或者組織等檔案利用權(quán)利主體的本質(zhì)差異在于:首先,外國公民或組織不能要求我國開放某類檔案,而我國公民�、企事業(yè)單位和組織可以根據(jù)法律規(guī)定要求開放某些檔案或申請(qǐng)利用某些未開放檔案;其次,我國公民或組織可以通過行政援助和司法援助要求有關(guān)部門開放某類檔案或收回已開放的檔案,而外國公民或組織則無權(quán)要求�����。由此可見,在檔案立法中理應(yīng)區(qū)分檔案利用權(quán)利主體和檔案利用主體的不同?����,F(xiàn)階段我國檔案立法文本中對(duì)我國公民��、法人或者組織的檔案利用行為僅用“可以利用”來界定則遠(yuǎn)遠(yuǎn)不夠,法律文本理應(yīng)明確賦予他們檔案利用權(quán)利主體的地位,而“可以利用”的表述僅適合于對(duì)外國公民或組織檔案利用行為的概括��。
2�����、檔案利用權(quán)利客體范圍上的限制
從我國法律制度關(guān)于檔案開放利用客體對(duì)象范圍的界定看,它僅限于國家檔案館保存的檔案�����?!稒n案法》第十九條規(guī)定:國家檔案館保管的檔案,一般是自其形成之日起滿30年向社會(huì)開放;《檔案法》第二十條規(guī)定:機(jī)關(guān)����、團(tuán)體、企業(yè)事業(yè)單位和其他組織以及公民根據(jù)經(jīng)濟(jì)建設(shè)、國防建設(shè)����、教學(xué)科研和其他各項(xiàng)工作的需要,可以按照有關(guān)規(guī)定,利用檔案館未開放的檔案以及有關(guān)機(jī)關(guān)����、團(tuán)體、企業(yè)事業(yè)單位和其他組織保存的檔案;《檔案法實(shí)施辦法》第二十二條規(guī)定:機(jī)關(guān)����、團(tuán)體、企業(yè)事業(yè)單位和其他組織的檔案機(jī)構(gòu)保存的尚未向檔案館移交的檔案,其他機(jī)關(guān)����、團(tuán)體、企業(yè)事業(yè)單位和組織以及中國公民如需要利用的,須經(jīng)檔案保存單位同意�����。從上述一系列規(guī)定可以看出,《檔案法》及其實(shí)施辦法有兩個(gè)重要限制:一是始終將檔案開放客體對(duì)象限制在“國家檔案館的檔案”這一范圍內(nèi),雖原則性提出有關(guān)主體也可利用未進(jìn)館的檔案,但將開放利用決定權(quán)交給了檔案保管單位;二是雖然規(guī)定有關(guān)主體可以利用檔案館未開放的檔案,但是,由于上述《檔案法》第二十條明確授權(quán)制訂“利用未開放檔案辦法”的國家檔案行政管理部門和有關(guān)主管部門至今沒有出臺(tái)“有關(guān)規(guī)定”,因此,從一定意義上來說,館藏未開放檔案的利用還是一個(gè)“無法可依”的領(lǐng)域��。①這表明機(jī)關(guān)檔案室收藏的檔案和國家檔案館收藏的未開放檔案均不在現(xiàn)有檔案開放利用法律制度的調(diào)控范圍之內(nèi)�。因此,檔案利用權(quán)利客體對(duì)象目前僅限于國家檔案館保存的已開放檔案。
3��、檔案利用權(quán)利行使目的的限制
檔案工作基本原則指出檔案工作的根本目的是“便于社會(huì)各方面的利用”,其言下之意就是所有主體(團(tuán)體用戶或個(gè)人用戶,甚至包括國外用戶)可以因各種需要(公務(wù)或私人目的)利用檔案。這一理念在《檔案法》中得到了一定程度的體現(xiàn)���?��!稒n案法》針對(duì)機(jī)關(guān)、團(tuán)體����、企事業(yè)單位和其他組織(上述利用主體均為團(tuán)體用戶)利用開放檔案和未開放檔案均未明確限制其“利用目的”。但有關(guān)規(guī)定顯然未將公民個(gè)人因“個(gè)人休閑”�、“個(gè)人利益”等不屬于“各項(xiàng)工作需要”范圍的檔案利用目的包涵在內(nèi)。這就意味著公民出于“個(gè)人休閑”���、“個(gè)人利益”等利用目的利用未開放檔案的行為不能得到法律保護(hù)��。
與此相類似,《政府信息公開條例》第十三條規(guī)定:除主動(dòng)公開的政府信息以外,公民��、法人或者其他組織還可以根據(jù)自身生產(chǎn)���、生活、科研等特殊需要申請(qǐng)獲取政府信息����。這意味著對(duì)政府機(jī)關(guān)主動(dòng)公開的政府信息,公民�、法人或者其他組織可以貫徹自由使用原則,但自由使用原則并不適用于被動(dòng)申請(qǐng)公開的政府信息,“生產(chǎn)�����、生活��、科研等活動(dòng)特殊需要”的信息公開申請(qǐng)限制極大地蠶食了公民��、法人或其他組織的信息利用范圍�����。
三�����、檔案利用權(quán)利適度擴(kuò)展及其實(shí)現(xiàn)的基本途徑
隨著公民權(quán)利意識(shí)的覺醒和權(quán)利要求的提高,檔案利用權(quán)利也應(yīng)進(jìn)行適度擴(kuò)展����。這種權(quán)利擴(kuò)展首先體現(xiàn)在對(duì)檔案法律政策設(shè)計(jì)上的要求�����。
1�����、設(shè)計(jì)覆蓋文件管理全流程的信息開放政策
《政府信息公開條例》中指向的客體對(duì)象是處于形成、處理或保存等所有階段的政府信息,某一政府信息只要屬于主動(dòng)或被動(dòng)公開的范圍,不管其運(yùn)動(dòng)到什么階段或收藏與保存在什么地點(diǎn)均應(yīng)公開�����。這就意味著保存在機(jī)關(guān)業(yè)務(wù)部門或文書處理部門�����、機(jī)關(guān)內(nèi)部檔案部門和國家檔案館等不同地點(diǎn)的政府信息均應(yīng)執(zhí)行統(tǒng)一的開放政策�����。但與此不相容的是,《檔案法》對(duì)處于國家檔案館保存階段的檔案開放政策則另有具體規(guī)定,而且這些規(guī)定又與《政府信息公開條例》的規(guī)定存在矛盾沖突�。從法律位階和政策效應(yīng)上來看,《檔案法》對(duì)《政府信息公開條例》中的相關(guān)內(nèi)容具有否定作用。這就導(dǎo)致了在文件全流程管理中,現(xiàn)行���、半現(xiàn)行文件的開放政策適用《政府信息公開條例》,而非現(xiàn)行文件的開放政策適用《檔案法》���。由于《政府信息公開條例》是以“公開為原則,不公開為例外”作為立法指導(dǎo)思想,而《檔案法》及其實(shí)施辦法和有關(guān)規(guī)定強(qiáng)調(diào)的是以“檔案保管和控制”作為立法指導(dǎo)思想,所以說《政府信息公開條例》的開放度明顯高于《檔案法》及其實(shí)施辦法和有關(guān)規(guī)定。這就導(dǎo)致了現(xiàn)階段我國文件與檔案開放利用政策中存在著明顯的前松后緊現(xiàn)象,即處于現(xiàn)行與半現(xiàn)行階段的文件開放利用政策相對(duì)寬松,而處于非現(xiàn)行期的文件(即國家檔案館的檔案)開放利用政策卻相對(duì)嚴(yán)格,顯然,這不符合伴隨著時(shí)間推移,信息機(jī)密性遞減而其作用范圍應(yīng)該逐步擴(kuò)大的一般規(guī)律����。因此,提高《政府信息公開條例》的法律位階或制訂《文件與檔案法》(或稱為《文件法》)將有利于從文件管理全流程上統(tǒng)一文件與檔案的開放政策����。
2���、形成對(duì)檔案利用權(quán)利科學(xué)控制的基本機(jī)制
正如前文分析的一樣,檔案利用權(quán)利是有限度的,對(duì)檔案利用權(quán)利的限度必須進(jìn)行科學(xué)的分析和控制���。對(duì)檔案利用權(quán)利的科學(xué)控制可以分為兩個(gè)層面:一是對(duì)檔案合理利用行為進(jìn)行合法化確認(rèn);二是從源頭上設(shè)計(jì)檔案開放與公布權(quán)行使機(jī)制。
對(duì)檔案合理利用行為進(jìn)行合法化確認(rèn)是在對(duì)檔案利用行為進(jìn)行合理化程度分析的基礎(chǔ)上,通過法律法規(guī)對(duì)這些合理利用行為進(jìn)行認(rèn)可的過程,它影響和決定著檔案利用權(quán)利本身的內(nèi)容及其可能實(shí)現(xiàn)的廣度和深度��。由于檔案利用過程中不同信息權(quán)利之間矛盾沖突的普遍存在(例如檔案控制權(quán)與獲取權(quán)的沖突����、檔案開放權(quán)與保密權(quán)的沖突等),這就決定了檔案利用應(yīng)是合理和合法的利用,并且合理的檔案利用行為也應(yīng)得到有關(guān)法律法規(guī)的確認(rèn),例如檔案利用行為必須遵守著作權(quán)相關(guān)法律法規(guī)的規(guī)定�����。
如果僅就檔案利用權(quán)利本身設(shè)計(jì)檔案利用控制機(jī)制那么便是一種片面思維�����。這是由于檔案利用是對(duì)已開放檔案和未開放檔案的利用,檔案利用權(quán)利的實(shí)現(xiàn)在很大程度上受制于檔案開放程度��。因此,要建立和完善檔案開放審查機(jī)制���。筆者認(rèn)為,在檔案開放審查機(jī)制中起決定作用的是檔案開放審查與決定主體的政策執(zhí)行意識(shí)�、能力與水平。從開放檔案信息的義務(wù)與責(zé)任��、對(duì)檔案信息的理解力等方面看,檔案開放審查和決定主體不僅包括國家檔案館,還應(yīng)包括所有政府信息公開的義務(wù)主體�����。只要是政府信息公開義務(wù)主體依法開放與公布的檔案,任何享有政治權(quán)利的公民�、法人或組織無論出于公務(wù)或私人目的均可對(duì)其進(jìn)行利用。
3���、制定未開放檔案申請(qǐng)利用的科學(xué)程序
檔案利用權(quán)利指向的客體對(duì)象既包括對(duì)已開放檔案的利用,也包括對(duì)未開放檔案的利用����?!稒n案法》第二十條明確規(guī)定:“機(jī)關(guān)、團(tuán)體��、企業(yè)事業(yè)單位和其他組織以及公民根據(jù)經(jīng)濟(jì)建設(shè)���、國防建設(shè)����、教學(xué)科研和其他各項(xiàng)工作的需要,可以按照有關(guān)規(guī)定,利用檔案館未開放的檔案”。而且,該條款同時(shí)明確,“利用未開放檔案的辦法,由國家檔案行政管理部門和有關(guān)主管部門規(guī)定”����。但從具體實(shí)踐看,現(xiàn)階段我國利用未開放檔案的辦法始終沒有出臺(tái),檔案利用工作的著力點(diǎn)集中在已開放檔案利用上,而相對(duì)忽視了未開放檔案的利用工作,這無疑在一定程度上已經(jīng)影響了公民檔案利用權(quán)利的實(shí)現(xiàn)。針對(duì)公眾檔案信息個(gè)性化需要不斷增多����、公民檔案利用權(quán)利實(shí)現(xiàn)的要求和進(jìn)一步提高綜合檔案館管理績效的客觀形勢(shì),綜合檔案館和有關(guān)檔案機(jī)構(gòu)均應(yīng)適時(shí)啟動(dòng)未開放檔案的申請(qǐng)利用。從保障未開放檔案申請(qǐng)利用的程序合法要求看,綜合檔案館和有關(guān)檔案機(jī)構(gòu)可以參照《政府信息公開條例》中關(guān)于信息申請(qǐng)公開的規(guī)定執(zhí)行�����。從政策銜接要求看,對(duì)處于不同運(yùn)動(dòng)階段的文件信息適用相同的依申請(qǐng)公開程序既是合理的也是合法的�。可喜的是,這種針對(duì)未開放檔案申請(qǐng)利用的有關(guān)規(guī)定或辦法已經(jīng)在我國一些地方性檔案立法中開始出現(xiàn)��。2008年修訂的《上海市國家綜合檔案館檔案利用和公布辦法》在第八條就詳細(xì)規(guī)定了公民和組織利用檔案館未開放檔案的程序辦法,這極大地保障了公民和組織的檔案利用權(quán)利�。
4����、開發(fā)具有保障檔案利用權(quán)利實(shí)現(xiàn)的文件管理系統(tǒng)
檔案利用權(quán)利的實(shí)現(xiàn)依賴于數(shù)字檔案館或電子文件管理系統(tǒng)的功能完備。由于電子文件數(shù)量不斷增長和種類日趨復(fù)雜,因此,開發(fā)建設(shè)功能完備的數(shù)字檔案館與電子文件管理系統(tǒng)就成為文件與檔案利用權(quán)利實(shí)現(xiàn)的基本保證�����。從國際范圍看,一些國家的數(shù)字檔案館或電子文件管理系統(tǒng)項(xiàng)目均將保障利用作為其建設(shè)的重要目標(biāo)之一。美國國家檔案文件管理局(NARA)建設(shè)電子文件檔案館(ERA)系統(tǒng)的重要目標(biāo)之一就是要保障具有合法權(quán)利的政府部門及公眾不管在何時(shí)何地都能利用文件與檔案��。突出“在線利用”的文件管理系統(tǒng)功能(而不僅是保管或備份功能)設(shè)計(jì)對(duì)推進(jìn)有關(guān)主體檔案利用權(quán)利的實(shí)現(xiàn)將產(chǎn)生重要的保障作用�����。
篇7
文章共分七個(gè)部分: 引言部分,提出寫作論文的起由,該領(lǐng)域的研究現(xiàn)狀,以及論文的主要內(nèi)容和研究方法; 第一章,從國際政治學(xué)和信息科學(xué)的角度闡明國家安全與信息安全的相關(guān)概念,并找尋到安全�、國家安全、信息��、國家信息安全之間的內(nèi)在聯(lián)系����。冷戰(zhàn)后,信息安全日漸突出。信息安全是指保證信息的完整性����、可用性、保密性�����、可靠性和可控性,實(shí)質(zhì)就是要保證信息系統(tǒng)及信息網(wǎng)絡(luò)中的信息資源不因自然或人為的因素而遭到破壞���、更改�����、泄露和非法占用����。信息安全具有高度脆弱性和風(fēng)險(xiǎn)性、潛伏性和突發(fā)性�����、攻擊源的多樣性和防范對(duì)象的不確定性����、安全主體的不對(duì)稱性等特征。信息安全的內(nèi)容廣泛,涉及政治���、經(jīng)濟(jì)�、文化����、軍事�����、科技、資源生態(tài)等領(lǐng)域��。威脅信息安全的因素主要包括病毒����、網(wǎng)絡(luò)黑客、網(wǎng)絡(luò)犯罪和垃圾信息等�。
第二章,深入分析信息安全對(duì)我國和世界安全的影響。在信息網(wǎng)絡(luò)廣泛滲透于社會(huì)生活各個(gè)領(lǐng)域的條件下,信息安全成為國家安全的基石����。主要體現(xiàn)在:信息安全成為影響政治安全的重要因素,國家的維護(hù)更加困難,難以控制的“網(wǎng)上政治總動(dòng)員”危害社會(huì)穩(wěn)定,顛覆性宣傳直接危及國家政權(quán),國家形象更易遭受攻擊和歪曲;信息安全是經(jīng)濟(jì)安全的重要前提,它關(guān)乎國家經(jīng)濟(jì)安全的全局,信息產(chǎn)業(yè)自身安全令人擔(dān)憂,網(wǎng)絡(luò)經(jīng)濟(jì)犯罪成為經(jīng)濟(jì)安全的頑疾,金融業(yè)遭受的安全挑戰(zhàn)更加嚴(yán)重;信息安全對(duì)文化安全的影響不容忽視,“網(wǎng)絡(luò)文化帝國主義”威脅我國傳統(tǒng)文化的繼承和發(fā)揚(yáng),社會(huì)主義意識(shí)形態(tài)、價(jià)值觀念和道德規(guī)范遭到?jīng)_擊;信息安全對(duì)軍事安全的作用更加突出,“制信息權(quán)”對(duì)戰(zhàn)爭結(jié)局意義重大,信息威懾�����、網(wǎng)絡(luò)信息戰(zhàn)�、黑客攻擊與軍事泄密嚴(yán)重威脅軍事安全。
第三章,中國信息安全面臨的挑戰(zhàn)與威脅����。中國的信息化建設(shè)起步較晚,信息安全技術(shù)水平也比較滯后,網(wǎng)絡(luò)安全系數(shù)很低,信息安全現(xiàn)狀不容樂觀,主要從信息流動(dòng)途徑、發(fā)達(dá)國家的技術(shù)遏制及世界信息強(qiáng)國信息戰(zhàn)略對(duì)我國的威脅和啟示等方面進(jìn)行了分析����。在本章中尤其分析了美國���、英國、法國����、日本、韓國�����、俄羅斯�����、印度等國家信息戰(zhàn)略,以求對(duì)保障中國信息安全提供借鑒與思考���。
第四章,從我國信息安全遭到挑戰(zhàn)的原因分析,探討包括我國在信息安全保障現(xiàn)狀�����、信息安全管理制度����、國民信息安全意識(shí)����、基礎(chǔ)信息產(chǎn)業(yè)嚴(yán)重依靠國外、立法不完善等方面存在的問題,以求對(duì)捍衛(wèi)我國信息安全提供思考����。同時(shí)還分析了全球信息化對(duì)我國信息安全的沖擊與啟示。
篇8
模擬試題
一�、判斷題(每題2分)
1.信息安全保護(hù)能力技術(shù)要求分類中,業(yè)務(wù)信息安全類記為A��。
錯(cuò)誤
2.OSI安全體系結(jié)構(gòu)標(biāo)準(zhǔn)不是一個(gè)實(shí)現(xiàn)的標(biāo)準(zhǔn)�,而是描述如何設(shè)計(jì)標(biāo)準(zhǔn)的標(biāo)準(zhǔn)。正確
3.只靠技術(shù)就能夠?qū)崿F(xiàn)安全�����。
錯(cuò)誤
4.災(zāi)難恢復(fù)和容災(zāi)是同一個(gè)意思����。
正確
5.VPN與防火墻的部署關(guān)系通常分為串聯(lián)和并聯(lián)兩種模式。
正確
6.美國的布什切尼政府把信息高速公路����,互聯(lián)網(wǎng)的發(fā)展推動(dòng)起來了���。
錯(cuò)誤
7.兩種經(jīng)濟(jì)形態(tài)并存的局面將成為未來世界競爭的主要格局。
正確
8.電子商務(wù)是成長潛力大�,綜合效益好的產(chǎn)業(yè)。
正確
9.電子商務(wù)促進(jìn)了企業(yè)基礎(chǔ)架構(gòu)的變革和變化��。
正確
10.在企業(yè)推進(jìn)信息化的過程中應(yīng)認(rèn)真防范風(fēng)險(xiǎn)�。
正確
11.科研課題/項(xiàng)目是科學(xué)研究的主要內(nèi)容,也是科學(xué)研究的主要實(shí)踐形式���,更是科研方法的應(yīng)有實(shí)踐范疇����,是科研管理的主要抓手��。
正確
12.科研方法注重的是研究方法的指導(dǎo)意義和學(xué)術(shù)價(jià)值���。
錯(cuò)誤
13.西方的“方法”一詞來源于英文��。
錯(cuò)誤
14.科學(xué)觀察可以分為直接觀察和間接觀察����。
正確
15.統(tǒng)計(jì)推論目的是對(duì)整理出的數(shù)據(jù)進(jìn)行加工概括�����,從多種角度顯現(xiàn)大量資料所包含的數(shù)量特征和數(shù)量關(guān)系。
錯(cuò)誤
16.學(xué)術(shù)論文是學(xué)位申請(qǐng)者為申請(qǐng)學(xué)位而提交的具有一定學(xué)術(shù)價(jià)值的論文����。
錯(cuò)誤
17.期刊論文從投稿到發(fā)表需要有一個(gè)編輯評(píng)價(jià)的標(biāo)準(zhǔn)�,但是它更需要有一個(gè)質(zhì)量的監(jiān)控體系、監(jiān)控體制����。
正確
18.科研成果是衡量科學(xué)研究任務(wù)完成與否、質(zhì)量優(yōu)劣以及科研人員貢獻(xiàn)大小的重要標(biāo)志�����。正確
19.一稿多投產(chǎn)生糾紛的責(zé)任一般情況由作者承擔(dān)��。
正確
20.知識(shí)產(chǎn)權(quán)保護(hù)的工程和科技創(chuàng)新的工程是一個(gè)系統(tǒng)的工程���,不是由某一個(gè)方法單獨(dú)努力就能做到的�����,需要國家����、單位和科研工作者共同努力。
正確
二���、單項(xiàng)選擇(每題2分)
21.信息安全的安全目標(biāo)不包括(C)�����。
A�����、保密性
B�����、完整性
D�����、可用性
22.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定���,(B)主管全國計(jì)算機(jī)信息安全保護(hù)工作。
A�、國家安全部
B��、公安部
C��、國家保密局
D�、教育部
23.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第14條規(guī)定:“對(duì)計(jì)算機(jī)信息中發(fā)生案件����,有關(guān)使用單位應(yīng)當(dāng)在24小時(shí)內(nèi)向當(dāng)?shù)兀˙)人民政府公安機(jī)關(guān)報(bào)告?����!?/p>
A���、區(qū)級(jí)以上
B、縣級(jí)以上
C���、市級(jí)以上
D���、省級(jí)以上
24.根據(jù)SHARE 78標(biāo)準(zhǔn),在(D)級(jí)情況下��,備份中心處于活動(dòng)狀態(tài)����,網(wǎng)絡(luò)實(shí)時(shí)傳送數(shù)據(jù)��、流水日志���、系統(tǒng)處于工作狀態(tài),數(shù)據(jù)丟失與恢復(fù)時(shí)間一般是小時(shí)級(jí)的���。
A����、本地冗余設(shè)備級(jí)
B����、應(yīng)用冷備級(jí)
C、數(shù)據(jù)零丟失級(jí)
D��、應(yīng)用系統(tǒng)溫備級(jí)
25.(A)是密碼學(xué)發(fā)展史上唯一一次真正的革命�。
A、公鑰密碼體制
B�、對(duì)稱密碼體制
C、非對(duì)稱密碼體制
D�、加密密碼體制
26.以下(C)不屬于計(jì)算機(jī)病毒特征。
A、潛伏性
B�����、傳染性
C����、免疫性
D、破壞性
27.在進(jìn)行網(wǎng)絡(luò)部署時(shí)�����,(B)在網(wǎng)絡(luò)層上實(shí)現(xiàn)加密和認(rèn)證����。
A��、防火墻
B���、VPN
C�、IPSec
D��、入侵檢測(cè)
28.美國(A)政府提出來網(wǎng)絡(luò)空間的安全戰(zhàn)略
A�����、布什切尼
B、克林頓格爾
C�����、奧巴馬克林頓
D�、肯尼迪
29.對(duì)于電子商務(wù)發(fā)展存在的問題,下列說法中錯(cuò)誤的是(C)
A���、推進(jìn)電子商務(wù)發(fā)展的體制機(jī)制有待健全
B���、電子商務(wù)發(fā)展的制度環(huán)境不完善
C、電子商務(wù)的商業(yè)模式成熟
D�、電子商務(wù)對(duì)促進(jìn)傳統(tǒng)生產(chǎn)經(jīng)營模
30.下列選項(xiàng)中,不屬于電子商務(wù)規(guī)劃框架的是(C)
A�、應(yīng)用
B、服務(wù)
C�、物流
D、環(huán)境
31.(D)是創(chuàng)新的基礎(chǔ)�����。
A����、技術(shù)
C��、人才
D����、知識(shí)
32.兩大科研方法中的假設(shè)演繹法以(B)為代表�����。
A����、達(dá)爾文的《進(jìn)化論》
B、笛卡爾的《論方法》
C���、馬克思的《資本論》
D�、弗蘭西斯?培根的《新工具》
33.以下不屬于理論創(chuàng)新的特征的是(D)
A��、繼承性
B�、斗爭性
C���、時(shí)代性
D�����、減速性
34.(A)主要是應(yīng)用已有的理論來解決設(shè)計(jì)�����、技術(shù)�、工藝、設(shè)備���、材料等具體技術(shù)問題而取得的����。
A�����、科技論文
B��、學(xué)術(shù)論文
C�����、會(huì)議論文
D�、學(xué)位論文
35.(B)是通過查閱相關(guān)的紙質(zhì)或電子文獻(xiàn)資料或者通過其他途徑獲得的行業(yè)內(nèi)部資料或信息等����。
A�、直接材料
B、間接材料
C�、加工整理的材料c
D、實(shí)驗(yàn)材料
36.(C)是整個(gè)文章的整體設(shè)計(jì)����,不僅能指導(dǎo)和完善文章的具體寫作,還能使文章所表達(dá)的內(nèi)容條理化�、系統(tǒng)化、周密化��。
A��、摘要
B��、引言
C���、寫作提綱
D��、結(jié)論
37.期刊論文的發(fā)表載體是(C)。
A�����、娛樂雜志
B、生活雜志
C���、學(xué)術(shù)期刊
D��、新聞報(bào)紙
38.(B)是指科研課題的執(zhí)行人在科研過程中要向科研主管部門或課題委托方匯報(bào)研究工作的進(jìn)度情況以及提交階段性成果的書面材料�。
A��、開題報(bào)告
B��、中期報(bào)告
C����、結(jié)項(xiàng)報(bào)告
D、課題報(bào)告
39.我國于(A)年實(shí)施了《專利法》��。
A�����、1985
B���、1986
C�、1987
D、1988
40.知識(shí)產(chǎn)權(quán)具有專有性��,不包括以下哪項(xiàng)(D)��。
A���、排他性
B��、獨(dú)占性
C���、可售性
三、多項(xiàng)選擇(每題2分)
41.我國信息安全管理政策主要包括(ACD)��。
A�����、法律體系
B�����、行政體系
C�、政策體系
D、強(qiáng)制性技術(shù)標(biāo)準(zhǔn)
E���、道德體系
42.信息系統(tǒng)安全的總體要求是(ABCD)的總和����。
A����、物理安全
B、系統(tǒng)安全
C��、網(wǎng)絡(luò)安全
D�����、應(yīng)用安全
E�、基礎(chǔ)安全
43.網(wǎng)絡(luò)隔離技術(shù)發(fā)展經(jīng)歷了五個(gè)階段:(ABCDE)。
A���、完全的物理隔離階段
B�����、硬件的隔離階段
C�、數(shù)據(jù)轉(zhuǎn)播隔離階段
D�����、空氣開關(guān)隔離階段
E、完全通道隔離階段
44.以下屬于我國電子政務(wù)安全工作取得的新進(jìn)展的有(ABCDE)
A�����、重新成立了國家網(wǎng)絡(luò)信息安全協(xié)調(diào)小組
B�����、成立新一屆的國家信息化專家咨詢委員會(huì)
C����、信息安全統(tǒng)一協(xié)作的職能得到加強(qiáng)
D、協(xié)調(diào)辦公室保密工作的管理得到加強(qiáng)
E�����、信息內(nèi)容的管理或網(wǎng)絡(luò)治理力度得到了加強(qiáng)
45.下列說法正確的是(ABCDE)
A�����、電子商務(wù)產(chǎn)業(yè)是以重大技術(shù)突破和重大發(fā)展需求為基礎(chǔ)的新興產(chǎn)業(yè)
B��、電子商務(wù)對(duì)經(jīng)濟(jì)社會(huì)全局和長遠(yuǎn)發(fā)展具有重大引領(lǐng)帶動(dòng)作用
C、電子商務(wù)是知識(shí)技術(shù)密集的產(chǎn)業(yè)
D��、電子商務(wù)是物質(zhì)資源消耗少的產(chǎn)業(yè)
E�、應(yīng)把優(yōu)先發(fā)展電子商務(wù)服務(wù)業(yè)放到重要位置
46.科研論文按發(fā)表形式分,可以分為(ABE)
A���、期刊論文
B、學(xué)術(shù)論文
C����、實(shí)驗(yàn)論文
D、應(yīng)用論文
E�、會(huì)議論文
47.學(xué)術(shù)期刊的文章類型有(ABC)。
A���、綜述性的文章
B����、專欄性的文章
C�����、報(bào)道性的文章
D�、文言文
E、以上都正確
48.期刊發(fā)表的周期有(BCDE)。
A����、日刊
B、周刊
C�、半月刊
D、月刊
E�、旬刊
49.知識(shí)產(chǎn)權(quán)的三大特征是(ABC)。
B�、時(shí)間性
C、地域性
D�����、大眾性
E��、以上都不正確
50.從個(gè)人層面來講�,知識(shí)產(chǎn)權(quán)保護(hù)的措施有(ABC)。
A��、在日常的科研行為中一定要有相應(yīng)的行動(dòng)策略
B�����、在科研轉(zhuǎn)化的過程中��,要注意保護(hù)自己的著作權(quán)
C、作品發(fā)表后或者出版后���,還要對(duì)后續(xù)的收益給予持續(xù)的關(guān)注和有效的維護(hù)
