導語：如何才能寫好一篇國內信息安全的立法狀況，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

 

如何構建面向公眾服務的綜合平臺進而提升政府辦公高效率，是電子政務的最終目標。在信息網絡當中，電子政務是作為一個主要應用領域的存在，其上運轉著巨大數(shù)量的信息，國家政務敏感與保密的特性是這些信息所具備的。所以，面向公眾服務網絡安全與政府內部網絡的考慮，需要電子政務系統(tǒng)同時進行。通過對電子政務中網絡信息安全現(xiàn)狀進行研究分析，能有效提高電子政務信息安全的防御工作。

 

一、在電子政務當中網絡安全問題的體現(xiàn)

 

在對電子政務中的安全問題進行分析時，可從網絡協(xié)議的幾個層面來談：

 

1.從物理層面分析信息安全問題。主要是物理通路的干擾、物理通路的竊聽、物理通路的損壞等。

 

2.非授權的客戶與非法客戶的非法使用，是網絡層的安全。網絡層的安全容易造成信息被監(jiān)聽或者攔截，網絡路由出現(xiàn)錯誤等。

 

3.安全問題的主要體現(xiàn)則是操作系統(tǒng)安全。當下在一些較為流行的操作系統(tǒng)當中，網絡安全漏洞現(xiàn)象的存在也是較為普遍的，舉例：Windows桌面PC、NT服務器、Unix服務器等。要確保操作系統(tǒng)訪問控制與客戶資料的安全，而且還需要審計此操作系統(tǒng)上的應用。

 

4.在以前，人們并沒有對應用系統(tǒng)安全與應用平臺等部分給予太多重視。[2]軟件服務的應用事實上是在網絡系統(tǒng)之上，舉例：Web服務器、電子郵件服務器、數(shù)據庫服務器等，這些都存在著較大的安全隱患，并且也很容易受到黑客與病毒的攻擊。

 

二、網絡信息安全在電子政務中的有關措施

 

電子政務，安全為先。在信息化建設當中，信息安全是作為基石的存在，是信息網絡發(fā)揮效能、正常運行的保證。人們對于信息網路所帶來的效率是毋庸置疑的，若想使網絡達到真正的實用性，需要對應用安全、數(shù)據安全、運行安全等進行解決。要想使國家能有更好的發(fā)展，應當把信息化作為發(fā)展戰(zhàn)略，信息化的保障則是信息安全。所以，為了使服務職能與管理職能的實施得到有效的保證，需要對電子政務安全系統(tǒng)進行構建，使得能夠給電子服務提供有效的安全保障機制。

 

1.電子服務網絡安全的技術應用要有保障

 

(1)對密碼技術進行充分的利用

 

面對公眾的信息服務與政府內部辦公，是電子政務應用的兩大方面。所謂的政府辦公則是，區(qū)域與區(qū)域間的公文流轉、上級與下級間的公文流轉、部門與部門間的公文流轉等，都是電子政務所涉及到的，同時這些信息也包含了一定等級機密問題，使得在保密時要采取嚴格要求。所以，在信息傳遞的過程中，需要對信息實施適宜的加密方法進行加密。

 

(2)防火墻技術的合理應用

 

為下屬各級部門提供管理服務、日常辦公、數(shù)據庫服務等，是專用網絡的主要應用。通過跟國內其他網絡與Internet的互連，可實現(xiàn)對國內外信息資源的利用，或者方便工作人員的訪問。這樣既能夠是地方政府與同上級管理部門間的聯(lián)系得到強化，也能使國內國際合作得到加強。

 

2.電子政務網絡安全的其他輔助措施要加以保障

 

(1)物理層的安全需要強化

 

通過把商業(yè)信息與電子政務系統(tǒng)信息進行對比可以知道，電子政務系統(tǒng)信息是較為敏感的，并對信息傳輸過程的安全性與物理安全設計有著較高的要求。[3]在計算機信息系統(tǒng)的各種設備中，物理安全的保證是對整個網絡系統(tǒng)安全進行保障的前提。物理安全在防范的過程中，可按照《計算戰(zhàn)場地技術條件》和《電子計算機機房設計規(guī)范》等國家標準進行設計;此外，安全防范意識的提高，對設備因電磁輻射、被毀、被盜現(xiàn)象進行防御，能有效防止信息被竊、被盜狀況的發(fā)生。像對計算機網絡設施、設備的保護，是物理安全的體現(xiàn)，同時，也能對其它媒體免受火災、水災、地震等環(huán)境事故進行保護，并且也可以對各種計算機犯罪行為導致破壞的過程進行保護，以及對于人為操作錯誤或者失誤等也能進行保護。物理安全主要概括了三個方面：線路安全、設備安全、環(huán)境安全。

 

(2)公務員信息的安全意識需要在電子政務的環(huán)境下進行強化

 

為了使電子政務能夠高效且正常運轉，選喲把電子政務信息作為基礎，這是需要讓公務員所認識到的。而公務員的意識則是需要對公務員的信息安全意識進行強化。公務員信息安全意識的強化也是對國家安全甚至國家信息安全進行保障的前提，并且也是樹立牢固信息安全第一的思想。對公務員采取電子政務信息安全的教育，則需要各級的政府部門對多種途徑進行利用。大致可分為以下兩個方面：第一，通過大眾傳媒媒介，可對公務員的安全意識進行增強，對信息安全知識進行普及。第二，各種培訓班與專題講座需要積極的組織，對信息安全人才進行培養(yǎng)，并確保技術措施與防范手段的主動性與積極性。第三，對安全策略的研究要積極開展，安全責任要明確、公務員的責任心要增強。

 

(3)嚴格執(zhí)法、健全法律

 

要想使電子服務信息安全能夠得到有效的保障，需要對其進行法律的保護，在正度信息安全立法方面，一些發(fā)達國家已經積累了許多的成功經驗，舉例：英國的《官方信息保護法》、美國的《陽光下的政府法》與《情報自由法》、俄羅斯的《信息與信息化的保護法、聯(lián)邦信息》等。我們應該吸收成功國家的經驗，提高自己國家的立法部門政策，并要趕快頒布與制定數(shù)字庫簽名認證法、信息網絡安全性法規(guī)、數(shù)據庫振興法、個人隱私保護法等。這樣能夠使我國的網路信息安全法律體系得到有效的完善，并且也能使電子政務安全信息管理逐步走上法制化的軌道。此外，執(zhí)法部門需要對執(zhí)法項目進行嚴格的要求，執(zhí)法水平的提高，對各項法律法規(guī)落到實處進行確保。

 

三、總結

 

隨著網絡技術的不斷普及應用，電子政務的發(fā)展與政務公開對公眾的體現(xiàn)，已成為多元化的趨勢。確保電子政務發(fā)展的根本要求就是安全性。通過對電子政務中網絡信息安全現(xiàn)狀進行分析，并與當下的安全技術相結合，能有效的找出相應的解決措施。這樣能夠使電子政務在今后的發(fā)展中，向安全穩(wěn)定網上政府的實現(xiàn)又邁進一步。

篇2

關鍵詞：信息化背景；電子商務；風險；對策

我國電子商務起步早，隨著信息化的不斷加強，電子商務已經滲透到社會生活的各個領域。由于我國當前的信息網絡基礎設施水平、網絡經濟的社會、法律、誠信等環(huán)境狀況的制約，我國的電子商務發(fā)展水平與發(fā)達國家相比較仍有較大的差距。1997年，我國召開首屆全國信息化工作會議，發(fā)出通知要求各地區(qū)各部門結合實際，認真貫徹落實國家信息化發(fā)展戰(zhàn)略。2015年總理在政府工作報告中提出：促進工業(yè)化和信息化深度融合，開發(fā)利用網絡化、數(shù)字化、智能化等技術，著力在一些關鍵領域搶占先機、取得突破。制定“互聯(lián)網+”行動計劃，推動移動互聯(lián)網、云計算、大數(shù)據、物聯(lián)網等與現(xiàn)代制造業(yè)結合，促進電子商務、工業(yè)互聯(lián)網和互聯(lián)網金融健康發(fā)展，引導互聯(lián)網企業(yè)拓展國際市場。明確了信息化背景下，我國電子商務發(fā)展的重要發(fā)展方向。

一、信息化背景下我國電子商務發(fā)展的情況

（一）我國電子商務交易量直線上升

根據中國電子商務研究中心的《2014年度中國電子商務市場數(shù)據監(jiān)測報告》顯示：2014年，中國電子商務市場交易規(guī)模達13.4萬億元，同比增長31.4%，截至2014年12月，電子商務服務企業(yè)直接從業(yè)人員超過250萬人，間接帶動的就業(yè)人數(shù)超過1800萬人。信息化背景下，隨著電子商務的不斷發(fā)展，我國經濟發(fā)展“電商化”趨勢日益明顯，電商交易規(guī)模和創(chuàng)新應用再創(chuàng)歷史新高，電子商務交易量增長迅速。

（二）網絡消費群體發(fā)展迅速

隨著互聯(lián)網的普及，國內網民數(shù)量的不斷增加，國家越來越重視電子商務的發(fā)展，我國企業(yè)不斷推進電子商務進程，使得消費者對電子商務的接受程度逐步提高，電子商務已經開始影響著人們的消費模式。據前瞻產業(yè)研究院監(jiān)測顯示，2014年12月中國的網絡購物者人數(shù)達到2.5億，相關機構預計到今年年底，將有超過3億人在網上購物，我國的網絡零售銷售額將增長兩倍，有望突破3600億美元。

（三）電子商務涉及的行業(yè)不斷擴展

電子商務發(fā)展之初，其涉及的行業(yè)主要是電子產品、服裝、家庭生活用品等方面，但是在信息化推動下，許多企業(yè)，不論是傳統(tǒng)的大型企業(yè)，還是一些新興的中小企業(yè)，為了迅速占領電子商務市場，紛紛建立企業(yè)的網站，電子商務服務和網絡公司也在朝著產業(yè)化方向發(fā)展，形成了初具規(guī)模的電子商務服務業(yè)。

（四）電子商務的類型層出不窮

電子商務模式隨著其應用領域的不斷擴大和信息服務方式的不斷創(chuàng)新，電子商務的類型也層出不窮。當前電子商務的類型主要有：企業(yè)與消費者之間的電子商務即（B2C）、企業(yè)與企業(yè)之間的電子商務（B2B）、消費者與消費者之間的電子商務（C2C）、線下商務與互聯(lián)網之間的電子商務（O2O）、供應方與采購方之間通過運營者達成產品或服務交易的電子商務模式（BOB）。

二、信息化背景下我國電子商務發(fā)展面臨的風險

（一）我國電子商務交易面臨安全的風險

1.安全風險

首先，信息數(shù)據丟失及泄露；在同一個電子商務系統(tǒng)中，無論是終端的電腦型號，還是傳輸介質等均存在很大的差別，這樣兼容性問題就會引起電子商務系統(tǒng)內的數(shù)據信息泄露或丟失。一些非法人員正是利用系統(tǒng)漏洞來竊取交易雙方的交易信息，致使交易一方提供給另一方使用的文件被不法分子濫用，最終泄露了重要的商業(yè)機密或個人信息。其次，電腦遭受病毒侵襲；隨著各類應用軟件的應運而生，帶來了諸多的新病毒，在病毒的嚴重攻擊下，極大地削弱了網絡系統(tǒng)或服務器服務系統(tǒng)的功能，致使電子商務交易數(shù)據丟失，帶來了交易安全隱患。

2.信用保障風險

電子商務在線交易具有一定的虛擬化，因此交易雙方不可能面對面簽訂交易協(xié)議，而正是由于虛擬市場中無法掌握交易雙方的信用道德、信用能力及意向，導致信用保障風險的發(fā)生。首先，基于消費者的信用保障風險；由于交易雙方存在信息不對稱的問題，使得消費者無法及時全面地了解商家和各類商品信息。一方面商家提供的商品信息可能缺乏真實可靠性，或者存在一定的虛假現(xiàn)象，對消費者造成了誤導。另一方面商家若無法為消費者提供各類高質量的物品，或不嚴格履行交易，就會給消費者的證據取得帶來不小的難度。其次，基于商家的信用風險；有的人進行網絡交易時，通過偽造虛假的個人信息及銀行信用卡來非法騙取賣方的商品。尤其是商品到達后，買方拒付貨款的行為時常發(fā)生。

安全交易是電子商務得以長久發(fā)展的主題。電子商務交易的安全問題主要依賴網絡技術和計算機理論應用，但是從今年來多家網站安全信息泄露的情況可以看出，安全問題仍然是電子商務發(fā)展的重要障礙。電子商務交易中的安全問題主要涉及信息安全、信交易安全和財產安全這三個方面，而網絡病毒感染、黑客的侵襲等使得人們對電子商務進行的安全性產生了懷疑，導致很多消費者、企業(yè)對實施電子商務缺乏激情。

（二）電子商務立法滯后

信息化背景下，我國電子商務已經快速發(fā)展，而國內尚且沒有正式頒布和實施相應的電子商務法律，在電子商務交易過程中產生的法律糾紛沒有相應的法律條文進行指導，給電子商務的發(fā)展帶來難以克服的障礙，如，實踐中經常出現(xiàn)：電子支付安全、消費者權益保護、隱私保護、納稅、版權保護、電子簽名、商業(yè)合同認證、糾紛調解、交易責任、網上打假等一系列問題，立法上都沒有進行詳細的規(guī)定。因此，立法滯后是電子商務的發(fā)展一個重要瓶頸。

（三）物流的發(fā)展仍有待提高

物流是電子商務賴以發(fā)展的重要手段，物流的快慢、服務的好壞直接決定電子商務交易服務的質量。但是，從當前我國整個物流配套體系的情況來看，我國的物流配送體系仍有待進一步提高，物流管理水平低，制度不完善，現(xiàn)代物流發(fā)達程度欠缺，物流基礎設施建設滯后，全國范圍或更廣范圍的物流配送能力不足，實踐中，常常出現(xiàn)送貨不及時，退貨不容易，物品丟失、掉包維權難等問題，所以，物流問題也成了電子商務發(fā)展中不可以忽視的一個問題。

（四）電子商務信用體系不完善

電子商務交易是在虛擬的網絡環(huán)境中進行的，交易雙方當事人互相看不見對方，在缺乏面對面商談、不了解實物的情況下，雙方當事人彼此間的信任則是交易的前提。但是，當前的電子商務交易中，尚且沒有成熟的體制或者適當?shù)妮d體來支持雙方當事人真實信息的傳遞，導致賣方不能確定買方是否有購買能力、是否按照約定進行交易；而消費者無法準確的知道經營者的信用狀況、產品是否合格、沒有缺陷、服務是否合法等情況，當前網絡上采取欺騙的方式銷售商品、以次充好、夸大宣傳等情況屢見不鮮，嚴重影響了消費者對電子商務的信心。所以，如何保證交易雙方傳遞的信息的真實性、有效性、合法性，已經成為電子商務信用體系完善的重要工作。

三、信息化背景下電子商務發(fā)展的對策

（一）提高電子商務交易的安全性

電子商務交易主要是依靠虛擬的網絡環(huán)境進行的，網絡環(huán)境的安全可靠是電子商務交易安全的前提。

首先，制定網絡安全技術規(guī)范標準，建立統(tǒng)一安全技術標準的電子商務綜合服務平臺。實踐中，必須要通過建立和制定完善的法制和技術標準，建立客戶認證機制和安全管理機制，完善維護信息安全管理體制，保證交易安全和國家信息安全，使得信息網絡安全在國家戰(zhàn)略諸要素中的地位不斷上升。

其次，政府部門間應當加強信息網絡安全的合作。政府應當完善建立互聯(lián)網站、網頁、網上經營活動情況的備案制度，建立政府與企業(yè)界在信息安全方面的緊密聯(lián)系，并建立相應的電子商務主體信息數(shù)據庫，保證對網絡安全防護的總體規(guī)劃和指導，強化政府對網絡安全的監(jiān)控工作，對網上經營活動的監(jiān)管。

最后，培訓更多信息技術安全人員，提高廣大人民群眾信息安全意識，以保證信息網絡的絕對安全。健全維護信息安全的法制體系，優(yōu)化信息安全的技術組織結構，大量開發(fā)防火墻、信息加密、支付網關、支付協(xié)議、安全路由器、安全服務器、用戶認證產品等保護技術和產品，確保網上支付環(huán)境的安全。另外，還應當加強對預警、檢測、追蹤、響應和恢復等積極防范技術和產品研制，使得網上交易得以安全進行。

（二）完善電子商務相關的法律法規(guī)

電子商務在發(fā)展的過程中會遇到很多法律問題，比如：網絡知識產權、域名惡意搶注、電子合同的法律效力、數(shù)字簽名及其認證的法律效力問題、消費者權益保護、個人隱私保護、電子交易、電子支付風險問題等，另外，電子商務的立法涉及合同法、消費者權益保護法、商法、稅法、刑法等眾多部門法，是一項長期復雜而又艱巨的工程。雖然我國已經從宏觀上制定了很多關于電子商務交易方面的法律法規(guī)，同時，各地也相應地出臺了地方性的電子商務法規(guī)，但是，現(xiàn)有的法律體系仍然不能夠有效解決實踐中遇到的種種問題，而且各省市的地方性立法的使用范圍和層級有限，不具有在全國范圍普遍適用的效力。所以，我國在電子商務立法上，應當加快步伐，立足于我國具體國情的基礎上，積極借鑒國外先進的立法經驗，建立我國的電子商務法律體系，制定新的法律規(guī)范，明確電子商務交易中原則性的法律問題，再分別就各個細節(jié)制定相應的規(guī)章。同時，政府在電子商務立法中應當起到示范引導作用，積極的推進電子商務立法的完善。

（三）完善我國的物流配送體系

首先，政府應當通過合理的政策，積極鼓勵和引導第三方物流企業(yè)的發(fā)展，積極完善我國物流基礎設施建設，逐步對外開放我國物流市場，歡迎國外物流企業(yè)進入到國內，國內外企業(yè)公平進展，通過競爭來提高我國物流企業(yè)的綜合實力。

其次，物流企業(yè)應當致力于提高資源效率和配送速度。政府可以鼓勵有實力的電子商務平臺開展第四方物流業(yè)務，積極推動物流企業(yè)間的相互合作，提高資源的利用率。鼓勵電子分倉，特別是對于銷售量大的網商來說，政府可以給予必要的用地、稅收等方面的優(yōu)惠，通過政策支持電子商務分倉，以提高物流配送的速度，降低物流成本和碳排放，有利于保護環(huán)境。

最后，給予中小物流企業(yè)融資方面的優(yōu)惠政策，有效減輕物流企業(yè)的負擔。物流行業(yè)屬于勞動密集型產業(yè)，其固定資產是非常有限的，當前，由于受到金融危機的影響，很多中小物流企業(yè)出現(xiàn)融資困難的問題，所以，實踐中可以給予中小企業(yè)一定的融資優(yōu)惠政策，促進物流企業(yè)的發(fā)展。

（四）建立電子商務信用體系，加強信用監(jiān)管

通過廣泛的社會宣傳和市場監(jiān)督措施，強化公眾守信意識和誠信自律，以達到增強公眾的網絡經濟安全意識和信息。以健全的法律法規(guī)為基礎，建立行業(yè)誠信自律機制，保證商家的誠信經營，買賣雙方嚴格按照約定進行交易，防范電子商務交易風險。在實踐中，積極探索適合我國國情的企業(yè)和個人信用評定制度，及時對企業(yè)和個人進行信譽記錄，最終建立社會信用體系，促進電子商務交易的安全。

（五）完善網絡基礎設施建設

我國網絡基礎設施建設的完善是實現(xiàn)信息化社會的關鍵，這些離不開國家的大力支持，需要在人力、物力、財力上進行大量的投入，以實現(xiàn)我國網絡的全面普及，進一步推進電子商務交易發(fā)展的空間。當前，各個電信企業(yè)應當做好通信網絡發(fā)展的規(guī)劃，積極推動4G網絡、下一代互聯(lián)網、光纖寬帶網絡的建設與發(fā)展，做好網絡維護、優(yōu)化、升級的工作，為社會成員提供優(yōu)質的網絡服務。

結語

在信息化背景下，政府應當大力支持電子商務活動的開展，精英企業(yè)應當起到先鋒模范作用，以信息化為基礎，以安全運行為中心，完善電子商務的各項立法工作，積極培育電子商務技術人才，促進我國電子商務安全、持續(xù)發(fā)展。

參考文獻：

[1]齊景嘉.新背景下我國電子商務發(fā)展與對策研究[J].金融理論與教學，2012（02）

篇3

很多上班族都有這樣一種煩惱: 處理垃圾郵件已經成了每天上班后的第一件煩心事。

當前，市場上關于信息安全的話題非常之廣泛，但是如果從最實際的應用問題來看，企業(yè)在使用互聯(lián)網技術時每天面對的最大、直接的安全的問題就是垃圾郵件和病毒。據統(tǒng)計，網絡用戶每天面對80％的互聯(lián)網危險都來自于垃圾郵件和病毒。

今年上半年，由中國互聯(lián)網協(xié)會組織，中國互聯(lián)網協(xié)會反垃圾郵件中心歷時兩個半月，對中國反垃圾郵件的應用狀況進行了一次大規(guī)模的調查。調查結果表明，從2005年11月到2006年3月，中國互聯(lián)網用戶收到的垃圾郵件比例由61.53%上升到63.97%，上升了2.44個百分點，中國互聯(lián)網用戶平均每周收到垃圾郵件數(shù)量為17.25封。

有專家估算，垃圾郵件將給中國的國民經濟（GDP）每年造成約為60.69億元的損失。這還沒有考慮諸如郵件服務器處理垃圾郵件的額外付出，以及技術支持員工用于對付垃圾郵件的人力付出。垃圾郵件已經成為政府、企業(yè)及個人使用先進技術，獲得信息資源，開展管理創(chuàng)新的最大阻礙之一。

目前，我國政府對于遏制垃圾郵件極為重視，反垃圾郵件立法也已被列為重點提案。2005年12月9日，中國互聯(lián)網協(xié)會在“中國互聯(lián)網協(xié)會反垃圾郵件協(xié)調小組”的基礎上正式成立中國第一個在行業(yè)內最具代表性的反垃圾郵件組織――“中國互聯(lián)網協(xié)會反垃圾郵件工作委員會”（Anti-Spam of Internet Society of China，ASISC）。今年3月，信息產業(yè)部頒布了《互聯(lián)網電子郵件服務管理辦法》。另外，繼公安部、教育部、信息產業(yè)部、國務院新聞辦四部委宣布聯(lián)合治理垃圾郵件專項計劃之后，反垃圾郵件相關企業(yè)和行業(yè)也更加積極地行動起來，將共同建立一個規(guī)范化、法制化的反垃圾郵件環(huán)境，信息安全領域的技術提供商、網絡服務商和郵件運營商們也都紛紛提出了自己的技術方案。

本報近幾年來一直密切關注信息安全領域特別是內容安全的市場及需求變化，已先后組織了“基于策略的安全管理方案”、“VPN解決方案”、“電力信息安全”以及“反拉圾郵件解決方案”等多技術領域的安全解決方案橫向評析及專題報道，得到了用戶極大的關注和高度評價。在垃圾郵件越來越猖獗的今天，許多企業(yè)、政府機構和各大行業(yè)用戶曾多次向本報提出建議，希望能夠看到更多的關于內容安全方面的優(yōu)秀方案及應用案例，以便更加深入地了解內容安全方面的應用趨勢、實施手段，并且對此方面的技術及各廠商的綜合實力有一個清晰的認識。

為此，《計算機世界》方案評析實驗室在2006年5月組織了一次反垃圾郵件方案的橫向評估活動，旨在對當前主流反垃圾郵件方案進行橫向評價并予以推薦，讓用戶更明確地看到各廠商的技術及綜合服務能力的差異,以及不同的應用定位。

此次活動共征集到十多個反垃圾郵件解決方案。經過評估和篩選，我們評出了7個相對完善和有特色的反垃圾郵件解決方案。從入選方案來看，大多數(shù)方案的技術描述都比較完整，而且對于可用性和可靠性都較為重視，特別是一些綜合實力較強的方案供應商，提出了硬、軟件相結合的立體反垃圾郵件策略。此外，這些方案在產品與技術方面也都體現(xiàn)出一些新的特性。它們當中普遍存在的不足是，對于方案的具體部署和實施細節(jié)介紹得比較粗略，特別是在一些具體應用方法上闡述不夠清晰。

垃圾郵件是一個全球性的問題，且已經成為一種社會現(xiàn)象，僅僅依靠反垃圾郵件技術是無法徹底解決的，還需要運用管理與技術雙重手段，在先進的技術手段的基礎上，建立健全管理制度和法律法規(guī)，推進國家級反垃圾郵件公共服務體系，完善垃圾郵件舉報平臺，促進運營商和郵件服務商的協(xié)調合作。

《計算機世界》方案評析實驗室

推薦七個反垃圾郵件解決方案

北京SurfControl網絡安全有限公司

郵件安全解決方案

CipherTrust公司

IronMail電子郵件安全解決方案

碩琦（上海）信息科技有限公司

反垃圾郵件解決方案

北京敏訊科技有限公司

EQManager郵件安全網關解決方案

北京金辰軟件有限公司

全面防范垃圾郵件解決方案

北京賽門鐵克信息技術有限公司

電子郵件安全可用性解決方案

篇4

關鍵詞：計算機；安全隱患；網絡；安全防護

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 10-0000-02

Computer Network Security Issues and Prevention

Liu Wei

(Jilin Frontier Corps Yanbian Border Detachment Headquarters Confidential Division,Yanji133000,China)

Abstract:As the scope of computer network security to prevent too much too wide,the penetration of computer technology to read materials to many.The article briefly describes a modern computer network security environment.No national boundaries such as a computer hackers'malicious'vulnerability to upgrade,build a computer security environment,building a computer and several other aspects of legal concepts,analysis of the existence of computer network security,and several of the security of computer networks countermeasures.

Keywords:Computer;Security risks;Network;Security

一、黑客頻頻攻擊，網絡安全環(huán)境堪憂

在2010年6月16日，來西亞曾向多媒體委員會發(fā)表聲明稱，其國家目前至少有41個政府網站已遭受黑客“惡意”攻擊。而此前，美國參議院、國際貨幣基金組織、花旗銀行、索尼公司等部門和機構都遭黑客攻擊。越來越多的黑客攻擊事件給全球網絡安全敲響了警鐘。索尼和任天堂的遭遇已給日本公司的網絡安全敲響警鐘。近年來，這種針對特定企業(yè)的“標的性網絡攻擊”數(shù)量在日本急劇增長，日本經濟產業(yè)省已經要求國內的企業(yè)加強對信息的安全管理。

由于網絡頻遭襲擊，歐盟委員會日前宣布，成立“計算機緊急情況反應小組”，以防范和應對黑客的襲擊，確保歐盟機構的電腦網絡安全。該小組由10名電腦及網絡技術專家組成。另外，歐盟委員會還呼吁成員國也建立這樣的技術專家小組，以保障國家和政府主要機構電腦網絡的安全。

目前，歐盟正在加緊網絡安全立法，擬出臺針對黑客攻擊的更嚴厲的懲罰措施。歐洲網絡信息安全局也將進行現(xiàn)代化改造，其職能將得到強化，以幫助國家和個人預防并反擊網絡攻擊。歐盟27個成員國也將緊密合作，在歐洲刑警組織框架內組建網絡安全部隊。

另外，國家計算機網絡入侵防范中心日前安全漏洞周報所顯示，2011年6日至12日一周內共發(fā)現(xiàn)安全漏洞64個，其中高危漏洞16個，安全漏洞總量與前一周相比有所上升。據介紹，對我國用戶影響較大安全漏洞有：Google Chrome瀏覽器修復的多個漏洞。該安全漏洞如果被攻擊者利用可能引起拒絕服務，繞過訪問控制或者同源策略，影響信息的機密性、完整性、可用性，威脅用戶隱私安全。因此，為了保護用戶使用安全，國家計算機網絡入侵防范中心建議用戶及時更新補丁程序，補丁可以從軟件廠商官方下載，不輕易打開未知網站和來路不明的文件，安裝殺毒軟件并將病毒庫升級到最新。

二、計算機網絡安全的概述

“計算機安全”通過國際標準委員會定義為：“為數(shù)據處理系統(tǒng)建立和采取的技術和管理工作的安全保護，保護計算機硬件、軟件數(shù)據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。網絡安全包括組成網絡系統(tǒng)的硬件、軟件及其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊而遭到破壞，網絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。計算機網絡安全是指計算機及其網絡系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，即涉及到計算機網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論，都是計算機網絡安全的研究領域。

三、計算機網絡安全的威脅因素

（一）操作系統(tǒng)安全

計算機的操作系統(tǒng)都是存在缺陷與漏洞的。網絡之間的串聯(lián)讓黑客可能對我們的計算機系統(tǒng)造成致命的“系統(tǒng)癱瘓”。

（二）防火墻的脆弱性

防火墻是一個在計算機內部網和外部網之間建立起保護自己專網的保護通道，它是由計算機軟件和硬件設備組合而成的。防火墻有一定的防護能力，但是卻并不能保證LAN內部網的攻擊，但基本的防護網絡安全還是可以做到的，它有一定的局限性。

（三）病毒

它是編制者在計算機程序中插入的破壞計算機功能或數(shù)據。影響計算機軟件、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點。

（四）黑客

對于計算機網絡安全造成威脅的另一個因素是黑客（backer）。他們是人為因素，他們利用利用網絡存在的漏洞，或者潛入計算機房，盜用計算機系統(tǒng)資源，非法取伙重要信息、篡改系統(tǒng)數(shù)據、破壞硬件設備、編制計算機病毒。

四、計算機防范對策

（一）主要對策

實現(xiàn)優(yōu)化計算機安全網絡優(yōu)化環(huán)境，需要由現(xiàn)代信息化技術作為依托。網絡安全技術主要涉及到的有防護掃描技術、實時監(jiān)測網絡環(huán)境技術、防火墻防護技術、全面性檢驗技術、病毒報告情況分析技術和系統(tǒng)安全管理技術。結合國內計算機網絡安全環(huán)境，可施行以下對策：

1.構建網絡安全管理機制。以加強系統(tǒng)管理員與用戶的技術人員素質與其職業(yè)道德精神建設為主，相關技術數(shù)據要予以備份，這是一個行之有效的方法與良好習慣，逐步科學構建計算機網絡管理機制。

2.合理規(guī)范訪問控制。網絡安全的防護的必要策略，是以網絡訪問控制來實現(xiàn)。它的主要旨意是保證約束網絡資源非法竊取盜用行為。其是實現(xiàn)網絡環(huán)境安全的必要、重要核心策略之一。就實現(xiàn)訪問有效控制的技術而言，廣義上講，其包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。

篇5

【關鍵詞】信息化 互聯(lián)網 安全管理解析

在計算機與網絡技術飛速發(fā)展的背景下，當代社會逐漸進入到信息化的時代當中。而在信息化時代環(huán)境中的企業(yè)與事業(yè)改革，發(fā)揮著關鍵性作用的就是網絡信息化建設。但是，在信息化建設的過程中，伴隨其發(fā)展與完善的同時，也存在一定的安全問題，只有有效地解決網絡信息化建設中的安全問題才能夠確保網絡信息的安全。

一、網絡信息化建設中的安全問題分析

1、安全基礎不牢固。同發(fā)達國家相比，我國的網絡信息化起步相對較晚，并且發(fā)展的速度也較為緩慢，而且，在網絡信息產品進口方面也始終受到制約與阻礙，導致網絡信息化建設的工作也處于被動狀態(tài)。第一，硬件設備方面。網絡信息化的建設，其中所需要的計算機需要在其他國家進口，雖然我國的超級計算機整體水平與國際先進水平幾乎一致，但是，卻始終無法擺脫進口的地位，更為嚴重的就是在制造核心的零部件時，我國的大多數(shù)廠商主要是加工與組裝，在生產過程中嚴重缺乏原創(chuàng)的意識與想法。第二，軟件設備方面?，F(xiàn)階段，我國的電腦操作平臺幾乎是被美國的微軟壟斷，若對微軟操作系統(tǒng)的應用不合理，就會使我國軟件與網絡的運行存在一定的難度，并且很容易使得網絡信息化的建設位于被動的狀態(tài)，最終受到其他人的限制與約束。

2、安全意識薄弱。我國的網絡信息化建設，從其中的多數(shù)工作開展狀況看來，因而未體現(xiàn)出對網絡信息化建設安全問題的關注與重視，所以，技術與安全問題也同樣被嚴重忽略。在網絡信息化的建設過程中，人們更重視技術與設備，而忽視了安全投入，也忽略了安全問題的重要作用，進而導致網絡信息化的建設過程中經常出現(xiàn)安全漏洞，使得安全事故頻繁發(fā)生。除此之外，雖然政府的機關單位與企業(yè)有意愿重視網絡信息化的建設安全，但是，卻并沒有采取具有針對性的安全管理措施，也并未營造出安全的工作環(huán)境，所以，目前看來，對網絡信息化建設安全管理工作的強化十分重要。

3、安全防護措施不健全。在網絡信息化建設的過程中，不僅安全意識薄弱，同時，對于危險的抵御能力也嚴重匱乏，并且很難使用最佳的方法來實現(xiàn)自我保護。

4、網絡犯罪的影響較大。有些網絡犯罪分子僅僅因為利益的驅動，就采取詐騙或者是木馬病毒的投入等多種手段來對用戶的私密信息進行竊取，對用戶工作機密造成破壞，給用戶帶來嚴重的危害。即便是國家有意愿采取相應的抵御措施來避免網絡犯罪行為的發(fā)生，但是，因為網絡犯罪分子自身的隱秘性極強，并且十分狡猾，所以，最終的成效并不明顯。

二、網絡信息化建設安全策略分析

1、積極完善網絡信息化建設安全法律法規(guī)。首先，應保證安全立法充分展現(xiàn)與時俱進的精神。目前，網絡信息化建設的安全法律層次不高，即便是法律內容會涉及到較多方面，但是，其法規(guī)內容相對簡單，無法及時對網絡信息技術發(fā)展情況加以規(guī)范，所以，必須要強化網絡信息化建設中安全法律法規(guī)的覆蓋面與深度，并不斷完善既有體系，積極引進并借鑒先進的經驗，充分結合我國網絡信息化建設的情況，具有針對性地強化網絡信息化的建設。其次，應對網絡信息與傳播進行規(guī)范。當前，網絡信息共享中的安全問題研究深度不夠，并且責任制度不合理，所以，應盡量規(guī)范網絡信息的和傳播。最后，應積極加快網絡信息化建設安全立法的步伐。為了緊跟網絡信息技術快速發(fā)展的腳步，一定要保證網絡信息化建設安全立法具有預見性，同時，應該對信息未來會出現(xiàn)的安全風險進行一定的評估，保證網絡信息技術能夠及時地做出反應，并確保法律法規(guī)在網絡信息化建設的過程中進行有效地管理。

2、充分發(fā)揮網絡信息化建設中安全管理在政府中的作用。我國的網絡信息化建設，政府在安全管理工作中發(fā)揮主導性的作用，所以，一定要保證與其相關的安全法律法規(guī)完善，保證視網絡信息化的建設處于正常的運行軌道中，對于威脅網絡信息化建設安全的行為應予以嚴格地監(jiān)管與處理。

3、不斷完善網絡信息化建設的安全方式。第一，貫徹并落實許可與準入制度。在網絡信息化的建設過程中，安全管理工作可以貫徹并落實許可和準入的制度，進而對其安全進行有效地監(jiān)督與管理。現(xiàn)階段，大部分國家都已經應用了此方法，并且取得了一定的成效。然而，在我國內部實行該制度的時候，則應該積極地建立控制與審查機制，并保證其科學合理，對網絡信息進行有效地控制，進而對其中存在的安全問題進行及時地解決。第二，積極提高安全技術層次。要想實現(xiàn)安全技術層次的提高，最重要的就是要積極引進先進的技術，對其操作進行嚴格地監(jiān)管，進而獲得理想的效果。

4、更新安全防護設備。眾所周知，網絡信息化的建設，其靈活性十分顯著，所以，一定程度上為網絡的不良行為提供了契機。然而，為了降低該情況發(fā)生的幾率，就應該保證互聯(lián)網企業(yè)對防護設備進行定期地更新，并對設備防護的具體情況進行觀察，避免網絡不良信息的進入。

篇6

電力是人民生活、經濟進步不可或缺的必需品，美國作為世界第一大經濟體，提供可靠的電力供應是維持社會穩(wěn)定、保證經濟社會平穩(wěn)發(fā)展的必然要求。但隨著通用網絡與信息技術在電力系統(tǒng)中的使用，病毒、網絡攻擊給電力生產帶來了信息安全風險，尤其美國部分落后地區(qū)電網基礎設施陳舊，測控與保護系統(tǒng)缺少安全防護機制，一旦遭受信息安全攻擊，不僅造成本地區(qū)的電力故障，還可能影響北美地區(qū)的電力供應。2003年美國東北部和加拿大部分地區(qū)發(fā)生大面積停電就是典型的連鎖反應事故。隨著美國智能電網建設的推進，更加開放與友好的電網讓美國的電力供應面臨更多威脅。2009年的美國黑帽大會上就有人演示驗證了蠕蟲可以在24h內感染智能電表，使1.5萬戶家庭電力供應陷入癱瘓[1]。針對基礎設施信息安全的嚴峻形勢，美國聯(lián)邦政府下屬多個機構都對電力系統(tǒng)的信息安全給予高度重視，投入資金進行相關的研究與標準制定工作，經過近10a的發(fā)展，美國政府相關部門在工業(yè)控制尤其是電力系統(tǒng)信息安全防護方面，先后經歷了交流研究、立法規(guī)范、推行標準和當前的智能電網安全試點投資建設階段，目前信息安全工作已經取得了一定的成果，的標準和指南被世界范圍內電力行業(yè)信息安全相關工作人員參考和使用。

本文在對美國電力行業(yè)信息安全相關政府部門和標準組織的工作進行總結的基礎上，對影響力比較大的法規(guī)、標準、及相關指導文件進行了解讀，并分析了美國電力行業(yè)信息安全工作的特點。

1美國電力行業(yè)信息安全管理模式

1.1美國電力行業(yè)信息安全研究與管理組織結構

美國聯(lián)邦政府對電力系統(tǒng)的信息安全工作極為關注，國會多項法案，賦予下屬多個部門管理權利與相關職能。在電力企業(yè)與機構信息安全監(jiān)管方面，遵循已有的電力企業(yè)監(jiān)管方式，授權聯(lián)邦一級的聯(lián)邦能源管理委員會(FederalEnergyRegulatoryCommission，F(xiàn)ERC)監(jiān)管包括信息安全標準在內的電力可靠性標準的推行。在電力行業(yè)信息安全研究與指導方面，美國能源部(DepartmentofEnergy，DOE)下屬多個能源實驗室從事信息安全的研究，研發(fā)的信息安全防護措施與技術直接用于電力相關示范項目中。在信息安全標準化方面，商務部下屬美國國家標準技術研究院(NationalInstituteofStandardsandTechnology，NIST)致力于工業(yè)控制系統(tǒng)安全標準和智能電網信息安全標準的制定，形成了大量研究成果，為電力企業(yè)實施信息安全防護提供了指南。此外，美國國土安全部(DepartmentofHomelandSecurity，DHS)負責信息安全威脅分析與信息安全事件的應急響應，每年都組織包含電網等基礎設施在內的大規(guī)模信息安全演練。

1.2國土安全部

美國國土安全部(DHS)是美國聯(lián)邦政府的一個內閣部門，主要職責包括保護美國免受恐怖組織的攻擊，同時在發(fā)生自然災害時進行緊急響應。

DHS在2006年、2008年和2010年分別進行了3次網絡風暴(cyberstorm)演習。網絡風暴演習模擬美國關鍵基礎設施遭受大規(guī)模網絡攻擊時，網絡應急響應團體中各政府部分與相關企業(yè)聯(lián)合應對的情況，旨在檢測并加強政企合作的網絡防災和響應能力。

DHS還負責控制系統(tǒng)安全項目(controlsystemssecurityprogram，CSSP)的執(zhí)行，通過聯(lián)邦、州、地區(qū)政府部門和工業(yè)控制系統(tǒng)所有者、運營商和廠商的共同努力，降低關鍵基礎設施面臨的信息安全風險。項目下設工業(yè)控制系統(tǒng)聯(lián)合工作組(industrialcontrolsystemsjointworkinggroup，CSJWG)，為聯(lián)邦機構內所有關鍵基礎設施和重要能源部門(criticalinfrastructureandkeystructures，CIKR)，以及工業(yè)控制系統(tǒng)私營企業(yè)提供交流的渠道，加速設計、開發(fā)和部署安全的工業(yè)控制系統(tǒng)，持續(xù)加強利益相關者在信息安全工作方面的合作。

1.1 能源部及相關單位

    1.3.1美國能源部

美國能源部(DOE)是美國聯(lián)邦政府的能源主管部門，主要負責制定和實施國家綜合能源戰(zhàn)略和政策。具體職責包括：收集、分析和研究能源信息，提出能源政策方案，制定能源發(fā)展與能源安全戰(zhàn)略，研究開發(fā)安全、環(huán)保和有競爭力的能源新產品等。在推進電力安全防護工作方面，DOE在2003年就提出了《保護SCADA系統(tǒng)信息安全的21步》，還資助美國電力科學研究院(ElectricPowerResearchInstitute，EPRI)和多個能源實驗室進行電力系統(tǒng)信息安全風險與防護技術的研究。

1.3.2美國聯(lián)邦能源管理委員會

美國聯(lián)邦能源管理委員會(FERC)是一個內設于美國能源部的獨立監(jiān)管機構，前身是成立于1920年的聯(lián)邦電力委員會(FederalPowerCommission，F(xiàn)PC)。委員會的主要職責是負責依法制定聯(lián)邦政府職權范圍內的能源監(jiān)管政策并實施監(jiān)管，具體包括監(jiān)管跨州的電力銷售、批發(fā)電價、水電建設許可證、天然氣定價和石油管道運輸費。

《2005年能源政策法案》授權FERC監(jiān)督主干電網強制可靠性標準的實施。2007年7月，F(xiàn)ERC批準由北美電力可靠性組織(NorthAmericanElectricReliabilityCorporation，NERC)制定的《關鍵設施保護》(criticalinfrastructureprotection，CIP)標準為強制標準，要求各相關企業(yè)執(zhí)行，旨在保護電網，預防由于薄弱的訪問控制、軟件漏洞或其他控制系統(tǒng)漏洞而導致的信息系統(tǒng)攻擊事件的發(fā)生。1.3.3北美電力可靠性協(xié)會北美電力可靠性組織(NERC)是一個非營利性組織，其前身是1968年6月成立的國家電力可靠性委員會(NationalElectricReliabilityCouncil，NERC)。1965年發(fā)生美國東北部大停電之后，各電力企業(yè)為促進北美電力傳輸?shù)目煽啃?、保證電網輸電能力，聯(lián)合成立了該委員會。1981年由于加拿大和墨西哥的加入，NERC改名為北美電力可靠性協(xié)會(NorthAmericanElectricReliabilityCouncil)。NERC的主要工作包括組織制定電力系統(tǒng)運行標準、監(jiān)督和推進標準的執(zhí)行、評估系統(tǒng)的能力和提供培訓服務。NERC還對重大的電力系統(tǒng)故障進行調查和分析，以防類似事件的再次發(fā)生。NERC的成立極大地推動了電力系統(tǒng)可靠性理論的研究及其在工程實際中的應用，同時也帶動了世界各國電力可靠性管理工作的開展。

《2005年美國能源政策法案》提出成立“電力可靠性組織”(electricreliabilityorganization，ERO)，制定并推行強制可靠性標準。2006年，NERC被授予該職能。2007年，NERC正式更名為北美電力可靠性組織。NERC的一系列CIP標準，被FERC認證為強制標準，在美國50個州和加拿大部分省份強制執(zhí)行。美國的電力公司一旦違反這些標準，將被處罰最高每天100萬USD的罰金。

1.4美國電力行業(yè)信息安全標準研究與制定機構

    1.4.1美國國家標準技術研究院

美國國家標準與技術研究院(NIST)是美國商務部下屬非監(jiān)管聯(lián)邦機構，其前身是1901年成立的美國國家標準局(NationalBureauofStandards，NBS)，1988年更名為美國國家標準與技術研究院。

NIST的職責是指導美國使用已有和新興的信息技術來滿足國家在社會、經濟和政治等方面的要求。根據《2002年聯(lián)邦信息安全管理法案》，NIST加強了信息安全標準、指南和相關技術的研究，完成了NISTSP800系列出版物。其中，NISTSP800-82《工業(yè)控制系統(tǒng)安全指南》和NISTSP800-53《聯(lián)邦信息系統(tǒng)推薦安全措施》2份出版物與電力工業(yè)信息安全密切相關。

根據《2007年能源獨立與安全法案》，NIST“主要負責協(xié)調開發(fā)一個包括協(xié)議和信息管理的模型標準框架，實現(xiàn)智能電網設備和系統(tǒng)的互操作性”。為了完成法案提出的要求，NIST制定了3階段的工作計劃，以快速建立一套最初的標準，并形成有效的工作流程，隨著技術的革新持續(xù)對標準進行制訂和實施。NIST為商業(yè)和其他智能電網利益相關者提供了一個開放的公共交流平臺，通過該平臺，相關人員可以對已有的標準進行識別，分析缺失的標準并提出亟需制定的標準。目前NIST已了NISTIR7628《智能電網信息安全指南》。

   1.4.2國際自動化協(xié)會

國際自動化協(xié)會（InternationalSocietyofAutomation，ISA)成立于1945年，是一家全球性的非盈利組織。主要從事自動化行業(yè)技術標準化工作。除了制定標準，ISA還從事認證、培訓、會議組織、技術刊物出版等工作。

ISA的前身是美國儀表協(xié)會，2000年隨著研究范圍的擴大，更名為美國儀器、系統(tǒng)和自動化協(xié)會，后在2008年又更名為國際自動化協(xié)會。ISA下屬ISA99委員會從事包括電網調度系統(tǒng)在內的工業(yè)控制系統(tǒng)的信息安全標準化工作，目前正在制定ISA99《工業(yè)自動化與控制系統(tǒng)安全》標準系列。

2美國電力行業(yè)信息安全工作主要成果

2.1關鍵設施保護CIP標準

2.1.1CIP標準的制定過程介紹

目前在全美強制推廣的CIP標準最初名稱是NERC1300，2005年NERC對NERC1300進行了更新并更名為CIP，分為CIP002-009共8個部分草案。CIP編制的目標是保證電網的可靠運行，覆蓋對象包括供電公司、發(fā)電廠、電網運營商等電力企業(yè)。2006年4月，在經過4個版本的討論與修改后，CIP標準第1版，同時了符合性實施計劃[1'實施截止日期根據企業(yè)的不同定在2009—2010年之間。

2007年7月20日，F(xiàn)ERC針對NERCCIP標準了一份《公共制定規(guī)則通知》[11]，將NERCCIP作為強制性標準進行推行，但對標準的8個部分提出了59項修改內容，要求CIP在2009年前進行修改。2008年末，CIP的修改進入了實質性階段，在2009年9月末了CIP第2版，即CIP002-2至CIP009-2。但在標準的執(zhí)行過程中，針對CIP執(zhí)行效果不佳的問題，NERC對CIP標準要求進行了細化和調整，2011年1月了CIP第4版。

2.1.2CIP標準內容介紹

NERCCIP標準的核心部分是CIP-002至CIP-009，8個要求部分分別覆蓋資產識別、安全管理、人員管理、訪問控制、物理安全、系統(tǒng)安全、應急響應與災難恢復，具體內容描述見表1。在提出要求的基礎上，NERC制定了符合性實施計劃，將標準的執(zhí)行分為了資產評估、基本符合、符合和通過審計4個階段，對不同的電力企業(yè)制定了不同的執(zhí)行時間表和審計截止日期，電力企業(yè)在審計截止日期之前將CIP中要求的材料提交到NERC或州權威機構。

2.1.3CIP標準存在的問題

盡管CIP作為全美強制推行的第一個電力系統(tǒng)信息安全標準，已經在管理層面取得了重大突破，但是CIP在內容上仍存在很多不足。

首先，CIP-002《關鍵網絡資產識別》中只要求電力企業(yè)自己選用風險評估方法識別重要的信息資產，而且傾向于防護基于通用網絡技術的信息系統(tǒng)主機、終端，但對于繼電保護裝置、測控裝置、變壓器等重要的電力系統(tǒng)組件，CIP中卻沒有提到。電力企業(yè)可以根據自己的評估方法接受一定的信息安全風險，自主確定需要保護的資產。但是在實際操作中，很多電力企業(yè)都聲稱在進行了風險評估之后，沒有需要保護的重要資產。比如在美國東南最大的一個區(qū)域，所有電力企業(yè)(包括核電在內)，都認為他們的發(fā)電系統(tǒng)對電網的可靠性沒有影響，系統(tǒng)滿足#-1定律，單一故障并不影響整個系統(tǒng)的穩(wěn)定性，所以這些系統(tǒng)不屬于重要資產[12]。但是他們并沒有考慮到安全故障同時發(fā)生的情況。試想如果多個電站控制系統(tǒng)中都被植入了木馬，而且同時發(fā)作，出現(xiàn)的狀況將不亞于2003年的東北大停電。2009年4月，NERC的副主席兼首席安全官向NERC提交了一封信，信中稱70%的美國電廠都認為自己的系統(tǒng)不是NERC的關鍵系統(tǒng)，30%的輸電資產也被所屬電力公司認為是非關鍵資產，而由于CIP沒有覆蓋配電，所以100%配電系統(tǒng)都不屬于關鍵資產[13]。FERC在《公共制定規(guī)則通知》中對CIP的寬松條款表示不滿，要求NERC重新考慮修改事宜，經過多版更新，目前的CIP第4版中雖然對資產進行了更近一步的定義，但是發(fā)電廠的資產基線設定值高達1500MW，仍有很多的發(fā)電設備將在防護要求之外，而且標準依舊沒有考慮配電設施。

其次，CIP標準中要求的安全機制都是適用于商用信息系統(tǒng)的防病毒、安全配置等通用措施，主要用于解決調度中心的服務器和工作站的安全問題，而不是防護電廠和變電站的現(xiàn)場設備的。但對于目前美國變電站和電廠中的大部分現(xiàn)場控制器和可編程邏輯控制器（programmablelogiccontroller，PLC)等眾多計算機處理能力低、結構簡單的設備，這些措施則無法實施。而且，隨著智能電網的推行，底層設備的智能化而引入的信息安全風險也是CIP標準必須面對的問題。

再次，CIP標準沒有考慮配電系統(tǒng)和電力市場交易系統(tǒng)。配電的監(jiān)控系統(tǒng)也是連接在NERC的調度通信網上的，配電監(jiān)控系統(tǒng)的安全同樣影響電網的安全。開放接入實時信息系統(tǒng)(openaccesssame-timeinformationsystem，OASIS)作為市場交易系統(tǒng)的一種，就在CIP的管理范圍之外，它們一邊連著EMS/SCADA系統(tǒng)，另一邊就連著互聯(lián)網，對電網的安全構成極大威脅。

根據NERC2011年3月的標準符合度情況統(tǒng)計數(shù)據，從2010年起，各電力企業(yè)和機構的CIP不符合項以每月100個的速度增長，而且這些不符合項中超過一半都還沒有整改。CIP標準本身的缺陷和推行不力問題，使得美國國內很多專家對CIP是否真的能夠提升全美電力系統(tǒng)的信息安全水平產生了巨大質疑。

2.2 NISTSP800-53和NISTIR7628

2.2.1 NISTSP800-53介紹

在美國國會將NERCCIP提升為強制要求的過程中，信息安全界始終有呼聲推舉安全防護覆蓋面更廣的NISTSP800-53作為強制標準。

NISTSP800-53是為了支持《2002年聯(lián)邦信息安全管理法案》而制定的，該法案要求所有聯(lián)邦機構都開發(fā)、記錄并實施信息系統(tǒng)安全項目。作為法案實施的一部分，NIST提出了“風險管理框架”，將法案相關的標準和指南進行整合，幫助各機構制定實施信息安全項目，在法案的要求下，所有的聯(lián)邦機構都必須強制執(zhí)行。NISTSP800-53是“風險管理框架”的基礎，其中包含管理、操作和技術3類安全控制措施(圖2)，為機構實施信息安全項目提供了基本信息安全控制點。

2.2.2 NISTIR7628介紹

在美國政府將智能電網列入國家重點發(fā)展產業(yè)的同時，NIST為智能電網信息安全戰(zhàn)略規(guī)劃了一份報告NISTIR7628《智能電網信息安全指南》。作為國家層面智能電網信息安全防護戰(zhàn)略規(guī)劃與指南，NISTIR7628中提出了一個普適性的框架，電力企業(yè)可以根據該框架制定基于自身特征、風險與脆弱性的信息安全戰(zhàn)略規(guī)劃。而相關的電力設備廠商和管理部門也可以將該報告中的安全措施作為工作指南的基本素材。

NIST編制NISTIR7628的目的是對NISTSP1108《智能電網互操作標準框架與路線圖》進行補充。NISTSP1108提出信息安全是需要優(yōu)先解決的標準工作專題，NISTIR7628在此基礎上，對智能電網的信息安全進行了深入的分析，提供了用于指導智能電網風險管理的相關內容。NISTIR7628的編制工作自2009年3月啟動，經過了多輪公開討論與修改，第3版最終在2010年8月。

NISTIR7628報告第3版全文分為3個分冊。第1分冊描述了用于識別高層安全要求的風險評估步驟，提出了智能電網概念模型和7個智能電網域、域中以及域間接口的邏輯接口架構，并將這些接口分為了22類，對每一類接口制定了高層安全要求。在第1分冊的最后對智能電網系統(tǒng)與設備中的加密與密鑰管理問題進行了討論。第2分冊主要對用戶的隱私問題進行了討論。報告中對智能電網中新技術、個人信息、社區(qū)信息、人們在居所中的行為、電動汽車的使用情況等信息涉及的隱私問題進行了分析。根據被普遍使用的隱私原則，建議電力企業(yè)對智能電網業(yè)務流程中的包含個人信息的數(shù)據流進行跟蹤，將隱私風險降到最低，另外還建議電力企業(yè)對用戶和相關人員進行智能電網隱私風險的培訓，指導他們降低此類風險。第3分冊是對前2冊中提出高層安全要求的需求分析和其他相關資料的匯編。其中包含脆弱性分類方法和報告編制采用的“自下向上”的安全分析方法。此外，還包含了智能電網信息安全新技術研發(fā)專題，指明了保證高層可靠性與安全的技術方向。最后，對識別和梳理智能電網信息安全標準的過程進行了描述。

NISTIR7628最大的貢獻之一是形成了智能電網的安全要求指南，這些安全要求的內容主要是出自NISTSP800-53附錄I中工業(yè)控制系統(tǒng)的安全要求，是對NIST之前工業(yè)控制系統(tǒng)安全研究成果的繼承。盡管這份報告內容翔實豐富，且對于實際防護具有指導意義，但與NISTSP800-53遭遇的尷尬境地一樣，美國政府想在電力行業(yè)內推行NISTIR7628中的要求仍需要長時間的考量和多方利益的權衡。

2.3 ISA99和舊C62443的推進

除了政府層面從保衛(wèi)國家基礎設施安全的角度關注電力系統(tǒng)以及智能電網的安全防護外，安全廠商、監(jiān)控系統(tǒng)與設備制造商也意識到了電力系統(tǒng)的安全產品與解決方案市場潛力巨大，在基于原有信息安全技術提供測控系統(tǒng)及設備附加安全服務的同時，廠商通過參與民間電力系統(tǒng)信息安全技術標準化工作來占領技術制高點，擴大影響力，提升自身競爭力。

ISA下屬ISA99委員會從事工業(yè)控制系統(tǒng)的信息安全標準化工作，正在制定的標準系列ISA99《工業(yè)自動化與控制系統(tǒng)安全》未來將被IEC等同采用為IEC62443《工業(yè)通信網絡一網絡和系統(tǒng)安全》。

ISA99委員會在其工作計劃中提到，未來《工業(yè)自動化與控制系統(tǒng)安全》系列標準包含有常識與術語、安全項目的建立與運行、系統(tǒng)的等級與要求和終端設備的技術要求等4部分內容，標準結構見圖3。

在ISA99委員會進行標準制定的同時，ISA下屬安全合規(guī)性委員會(ISAsecuritycomplianceinstitute，ISCI)成立了嵌入式設備安全保證(embeddeddevicesecurityassurance，EDSA)認證項目，提出了嵌入式設備安全功能要求、嵌入式設備開發(fā)要求和嵌入式設備網絡協(xié)議健壯性要求等一系列嵌入式設備測評準則和流程文檔，在一定程度上為嵌入式設備的廠商提供了設備安全功能指南。

設備與系統(tǒng)安全機制的標準化和對電力通信規(guī)約的安全改造標準化，可以從底層直接實現(xiàn)系統(tǒng)建設與更新過程中安全技術的產業(yè)化集成，對提高電力系統(tǒng)的安全風險抵御能力具有重要意義。ISA99委員會早在1997年就了工業(yè)控制與自動化信息安全技術的報告，是最早進行相關研究的組織之一，因此業(yè)界一直對由廠商和研究機構組成的ISA99委員會寄予巨大期望，希望該委員會制定的標準能夠從本質上提高工業(yè)控制系統(tǒng)的信息安全技術防護能力。在歐洲和亞洲具有巨大影響力的IEC的加入，也為ISA99在全球的推廣提供了有力的支持。但是由于工作量巨大，標準工作組內部組織不力，ISA99標準的編制工作進展緩慢，目前還沒有成型的實質性成果。

3美國電力行業(yè)信息安全工作的特點

3.1 廠商掌握核心信息安全技術

由于美國信息技術發(fā)展起步較早，美國IT廠商掌握著大量信息安全的核心技術，而且信息安全的標準化工作都主要是美國有實力的廠商主導。以目前唯一的電力系統(tǒng)信息安全技術標準，電力規(guī)約通信安全標準IEC62351[2Q]為例，IEC62351-3《包含TCP/IP協(xié)議的安全規(guī)范》中使用的方法為“傳輸層安全協(xié)議”（transportlayersecurity，TLS)[21]，TLS協(xié)議是Certicom公司1999年在Internet工程任務組(Internetengineeringtaskforce，IETF)提出的。另外，Cisco、Microsoft等國外公司都掌握大量通信信息安全核心技術。

除了掌握核心技術知識產權，大量美國廠商還引領著信息安全技術的發(fā)展方向。隨著電力監(jiān)控終端的處理能力的提高和一次設備的智能化，設備自身面臨的安全風險逐漸增多，大量自動控制系統(tǒng)生產廠商都在致力于將信息安全功能作為設備的增值能力，意圖從系統(tǒng)底層奠定智能電網信息安全的基礎。全球嵌入式及移動應用軟件制造商WindRiver于2011年2月宣布與全球最大的專業(yè)安全技術公司McAfee達成一項戰(zhàn)略合作協(xié)議，針對各類非PC設備，尤其是嵌入式及移動設備，共同開發(fā)、營銷專屬的安全防護解決方案并提供相關支持。

3.2 國家層面電力安全項目扶持力度大

美國聯(lián)邦政府安排多個部門從事電力系統(tǒng)信息安全的相關工作，并對工業(yè)控制系統(tǒng)安全研究、智能電網標準化和企業(yè)技術研發(fā)項目提供強大的資金支持。早在2004年，DHS就向11家小公司提供了10萬USD基金進行包括入侵檢測系統(tǒng)(intrusiondetectionsystems，IDS)和密碼算法在內的SCADA系統(tǒng)安全相關研究。2005年，為支持研究機構從事SCADA系統(tǒng)安全研究，DHS和NIST共同出資850萬USD作為由Sandia實驗室領導的信息架構保護協(xié)會（instituteforinformationinfrastructureprotection，I3P)2a期的研究經費。2007年，DOE向5個項目提供了790萬USD進行電網以及其他能源基礎設施的安全設備集成與先進技術應用。2009年底奧巴馬提出政府將撥款34億USD帶動美國智能電網建設，2010年美國能源部為10個智能電網信息安全項目提供了3040萬USD作為資金支持。2009年底確定的智能電網示范項目中很多項目都不同程度地包含信息安全的工作，其中DOE提供850多萬USD示范項目基金，采用波音公司的軍用級別信息安全軟件技術改進區(qū)域輸電系統(tǒng)計劃與運行軟件。美國多個部門連續(xù)在財年預算中提供工業(yè)控制和電力系統(tǒng)信息安全的項目基金，鼓勵企業(yè)和學術機構從事相關的研究和研發(fā)工作，當前美國在電力系統(tǒng)信息安全方面的國際領先地位與政府的大力扶持密不可分。

3.3 電力行業(yè)信息安全監(jiān)管力度較弱

美國在電力行業(yè)市場化進程中，隨著民間資本的流入，政府對電力企業(yè)的監(jiān)管控制程度都不同程度地降低了。在信息安全工作方面，盡管多部門齊抓共管，但在實際工作中國家層面各政府部門并不能強制要求電力企業(yè)如何進行信息安全防護工作，主要措施還是提供信息安全防護標準、指南，并且通過推動標準、指南的產業(yè)化應用逐步實現(xiàn)電力企業(yè)安全防護能力的提升。雖然FERC在強制推行CIP標準，但CIP的強度與我國的《電力二次系統(tǒng)安全防護規(guī)定》及配套方案相比，在控制力度和技術措施細度方面存在巨大差距，即使貫徹實行，也難以達到防御集團式攻擊的能力。而且，F(xiàn)ERC的監(jiān)管權利有限，只能被動等待電力企業(yè)上報自審結果，并不具備有力的強制性監(jiān)管方式，即使電力企業(yè)對實際標準執(zhí)行工作敷衍了事，F(xiàn)ERC也無可奈何。

3.4 電力企業(yè)信息安全工作基礎較差

在電力市場競爭中，大部分美國電力企業(yè)更關注經濟效益。由于受到20世紀90年代電力改革的影響，部分州的電網運營商利潤被擠壓，高額負債無法償還、設備無法更新、電網老化嚴重和數(shù)字化程度低等現(xiàn)狀嚴重制約美國電網的發(fā)展。在這樣的形勢下，企業(yè)投資者不愿意也沒有資金從事信息安全防護工作。雖然近幾年國家加大了這方面的資金投入，但對于大量的電力企業(yè)來說，信息安全的經驗積累和意識轉變仍需要時間。

在IT基礎設施方面，大部分美國電力企業(yè)不具備用于生產控制業(yè)務的專用網絡，仍使用互聯(lián)網實現(xiàn)生產控制系統(tǒng)的廣域連接，使得控制系統(tǒng)暴露在互聯(lián)網上，為電網的生產控制引入巨大的風險。而且，目前各公司對信息安全工作的理解和重視程度不同，設定的信息安全防護目標和實現(xiàn)的防護效果也差異很大，防護薄弱的節(jié)點必然會成為整個北美互連電網抵御信息安全攻擊的“短板”。

篇7

[關鍵詞] 互聯(lián)網支付法律立法建議

所謂互聯(lián)網支付是指以電子計算機、互聯(lián)網及其他相連接的網絡為手段，將負載有特定信息的電子數(shù)據取代傳統(tǒng)支付工具用于資金流程，并具有實時支付效力的一種支付方式。

互聯(lián)網支付方式的出現(xiàn)，對整個電子商務來說具有革命性的意義。互聯(lián)網支付中，交易各方最關心的問題就是交易的安全性如何得到有力的保障，交易的安全與否將直接關系到交易各方的利益。必須承認，我國這方面的立法仍較落后，還有太多的空白等待填補。筆者從當前的網上支付發(fā)展現(xiàn)狀及對安全保障的需要出發(fā)，提出以下幾點立法建議。

一、規(guī)范主體資格

網上支付作為一項依托網絡開展的金融服務，應當同其他任何金融服務一樣受到嚴格的準入機制的調整，其中很重要的一個方面即體現(xiàn)在對提供金融服務的主體資格應有一定的標準和要求，并用法律規(guī)范的形式將它固定下來。然而，對于網上支付涉及的另外兩個重要主體――認證機構和支付網關提供者，相關的主體資格研究還限于學術層面言。

以認證機構為例，學界普遍認為其必須具有的品質應包括:真正的獨立性或中立性;具有高度的公信力;是能夠獨立承擔法律責任的法律實體;具有現(xiàn)時先進的信息鑒證手段或能力;不得以營利為目的。

對此觀點，筆者持贊同意見。認證機構作為一種權威的第三方驗證機構，應以獨立于認證用戶(商家、消費者、支付網關)和參與者(檢查和使用證書的相關方)的第三方地位對交易主體的數(shù)字證書、電子簽名進行驗證，判別實施支付行為的個人或機構的身份真實性，從而保證其認證結果的權威性與公正性;認證機構要為人們所認同和接受，就必須在社會上具有相當?shù)挠绊懥涂尚哦?認證機構作為獨立的主體參與到網上支付中，它應當負有合理謹慎地根據已有信息對證書用戶進行身份或信息鑒定的義務，一旦發(fā)生因其未盡合理謹慎義務產生錯證的情況，就必須具備在法律規(guī)定的范圍內承擔責任的能力；至于先進的信息鑒證手段和能力，則更是認證機構不可或缺的要素，它是保障認證機構減少錯證，提高交易安全系數(shù)的重要前提;不得以營利為目的之要求也非常符合認證機構的機構性質，因為作為交易主體之外的對交易主體身份及交易信息進行真實性鑒定的第三方機構，認證機構所肩負的職業(yè)責任要求其具有中立性和社會可信度。

學界對認證機構主體資格的研究結論符合認證機構自身的機構特點與性質，滿足這些主體資格要求將對由認證機構負責驗證的網上支付交易的安全起到保障作用，立法工作者應充分借鑒，以法律規(guī)范的形式將之明確。

二、完善信用制度立法

法律為保障網上支付所能做的，也和傳統(tǒng)的交易安全問題有關，就是推動社會信用制度的建立。發(fā)達的商業(yè)社會對社會包括個人的信用有著很高的要求，通過一系列公開透明的制度來維護和保障信用制度體系。美國是目前世界上信用體制最為成熟和完善的國家。與之相比，我國目前在對信用概念內涵的理解方面、信用信息公開的方式和程度方面、信用服務企業(yè)的市場發(fā)育程度方面，以及對失信者的懲戒制度方面都還十分落后，甚至存在空白。應當承認，我國還屬于非征信國家，信用制度還很不健全。

然而，在電子商務和網上支付的范疇內，對交易主體的信用會有更嚴格的要求。這是因為網絡帶來的交易虛擬化，使得交易主體間無法通過傳統(tǒng)的手段來核實對方身份及所提供信息的真實性。網上支付需要合法、透明的信息公開機制，使網上交易主體得以獲得更多的渠道了解交易對方的信用狀況，有的放矢地選擇交易對象并進行網上支付，從而有利于提高網上支付的成功率和安全性，并為網上支付提供一種無形的制約機制，使得那些期望利用網絡來實施金融犯罪的人無可乘之機。網上支付需要健全的對失信者的懲戒機制，通過對失信者實施某種形式的懲罰，既保護了信用人的利益，又為其他人提供了正確行為的指引，這有助于杜絕同類情況的再次發(fā)生，從而營造安全、穩(wěn)定的網上交易環(huán)境。顯然，我國目前在信用制度方面的落后現(xiàn)狀無法適應網上支付的發(fā)展需要，不利于網上支付的安全，故亟需得到完善。

三、建立信息保護法律制度

在網上支付中的很多個人信息，包括銀行卡卡號、密碼、支付金額等，都是機密程度很高的信息，必須采取有效合理的手段加以保護，如數(shù)據加密、電子簽名以及電子認證等。這些信息安全的技術保護手段在許多發(fā)達國家已獲得法律地位的確認，其法律效力得到了認可，具體內容受到法律的調整。例如聯(lián)合國貿法委的《電子商務示范法》及《電子簽名統(tǒng)一規(guī)則(草案)》、美國的《猶他州數(shù)字簽名法》及《猶他州認證政策》，以及其他國家的相關立法中均有體現(xiàn)。然而，我國在此方面還是空白。為此，建議國內立法界參考國外先進的立法理念和立法技術，因地制宜地制定調整電子簽名、認證中心的法律，制定數(shù)據信息保護的法律，從而為保護網上支付中的交易信息和為交易安全提供法律上的支持。

四、對網上支付中出現(xiàn)的新型計算機犯罪立法

篇8

關鍵詞：網絡信息化建設；安全問題；闡述；討論

在計算機與網絡技術飛速發(fā)展的背景下，當代社會逐漸進入到信息化的時代當中。而在信息化時代環(huán)境中的企業(yè)與事業(yè)改革，發(fā)揮著關鍵性作用的就是網絡信息化建設。但是，在信息化建設的過程中，伴隨其發(fā)展與完善的同時，也存在一定的安全問題，只有有效地解決網絡信息化建設中的安全問題才能夠確保網絡信息的安全。

1網絡信息化建設中的安全問題分析

1.1安全基礎不牢固。同發(fā)達國家相比，我國的網絡信息化起步相對較晚，并且發(fā)展的速度也較為緩慢，而且，在網絡信息產品進口方面也始終受到制約與阻礙，導致網絡信息化建設的工作也處于被動狀態(tài)。第一，硬件設備方面。網絡信息化的建設，其中所需要的計算機需要在其他國家進口，雖然我國的超級計算機整體水平與國際先進水平幾乎一致，但是，卻始終無法擺脫進口的地位，更為嚴重的就是在制造核心的零部件時，我國的大多數(shù)廠商主要是加工與組裝，在生產過程中嚴重缺乏原創(chuàng)的意識與想法[1]。第二，軟件設備方面?，F(xiàn)階段，我國的電腦操作平臺幾乎是被美國的微軟壟斷，若對微軟操作系統(tǒng)的應用不合理，就會使我國軟件與網絡的運行存在一定的難度，并且很容易使得網絡信息化的建設位于被動的狀態(tài)，最終受到其他人的限制與約束。我國的網絡信息化建設，其中應用的管理軟件大部分都是進口，在一定程度上使得網絡信息化的建設受到威脅，但是，卻使得國外的軟件生產商獲得了意外的高額利潤[2]。由此看來，目前我國的網絡信息化安全防護的系統(tǒng)不健全，并且其基礎也并不牢靠，始終過于依賴國外軟件設備，進而對網絡信息化的建設發(fā)展帶來了阻礙與制約。

1.2安全意識薄弱。我國的網絡信息化建設，從其中的多數(shù)工作開展狀況看來，因而未體現(xiàn)出對網絡信息化建設安全問題的關注與重視，所以，技術與安全問題也同樣被嚴重忽略。在網絡信息化的建設過程中，人們更重視技術與設備，而忽視了安全投入，也忽略了安全問題的重要作用，進而導致網絡信息化的建設過程中經常出現(xiàn)安全漏洞，使得安全事故頻繁發(fā)生。除此之外，雖然政府的機關單位與企業(yè)有意愿重視網絡信息化的建設安全，但是，卻并沒有采取具有針對性的安全管理措施，也并未營造出安全的工作環(huán)境，所以，目前看來，對網絡信息化建設安全管理工作的強化十分重要。

1.3安全防護措施不健全。在網絡信息化建設的過程中，不僅安全意識薄弱，同時，對于危險的抵御能力也嚴重匱乏，并且很難使用最佳的方法來實現(xiàn)自我保護。

1.4網絡犯罪的影響較大。有些網絡犯罪分子僅僅因為利益的驅動，就采取詐騙或者是木馬病毒的投入等多種手段來對用戶的私密信息進行竊取，對用戶工作機密造成破壞，給用戶帶來嚴重的危害。即便是國家有意愿采取相應的抵御措施來避免網絡犯罪行為的發(fā)生，但是，因為網絡犯罪分子自身的隱秘性極強，并且十分狡猾，所以，最終的成效并不明顯。

2網絡信息化建設安全策略分析

2.1積極完善網絡信息化建設安全法律法規(guī)。首先，應保證安全立法充分展現(xiàn)與時俱進的精神。目前，網絡信息化建設的安全法律層次不高，即便是法律內容會涉及到較多方面，但是，其法規(guī)內容相對簡單，無法及時對網絡信息技術發(fā)展情況加以規(guī)范，所以，必須要強化網絡信息化建設中安全法律法規(guī)的覆蓋面與深度，并不斷完善既有體系，積極引進并借鑒先進的經驗，充分結合我國網絡信息化建設的情況，具有針對性地強化網絡信息化的建設。其次，應對網絡信息與傳播進行規(guī)范。當前，網絡信息共享中的安全問題研究深度不夠，并且責任制度不合理，所以，應盡量規(guī)范網絡信息的和傳播[4]。并站在國家與公眾的利益角度上，重視網絡信息的監(jiān)管，防止危害網絡信息的現(xiàn)象頻繁發(fā)生。最后，應積極加快網絡信息化建設安全立法的步伐。為了緊跟網絡信息技術快速發(fā)展的腳步，一定要保證網絡信息化建設安全立法具有預見性，同時，還應該對信息未來會出現(xiàn)的安全風險進行一定的評估，保證網絡信息技術能夠及時地做出反應，并確保法律法規(guī)在網絡信息化建設的過程中進行有效地管理[5]。

2.2充分發(fā)揮網絡信息化建設中安全管理在政府中的作用。我國的網絡信息化建設，政府在安全管理工作中發(fā)揮主導性的作用，所以，一定要保證與其相關的安全法律法規(guī)完善，保證視網絡信息化的建設處于正常的運行軌道中，對于威脅網絡信息化建設安全的行為應予以嚴格地監(jiān)管與處理。

2.3不斷完善網絡信息化建設的安全方式。第一，貫徹并落實許可與準入制度。在網絡信息化的建設過程中，安全管理工作可以貫徹并落實許可和準入的制度，進而對其安全進行有效地監(jiān)督與管理[6]?，F(xiàn)階段，大部分國家都已經應用了此方法，并且取得了一定的成效。然而，在我國內部實行該制度的時候，則應該積極地建立控制與審查機制，并保證其科學合理，對網絡信息進行有效地控制，進而對其中存在的安全問題進行及時地解決。第二，積極提高安全技術層次。要想實現(xiàn)安全技術層次的提高，最重要的就是要積極引進先進的技術，對其操作進行嚴格地監(jiān)管，進而獲得理想的效果。

2.4更新安全防護設備。眾所周知，網絡信息化的建設，其靈活性十分顯著，所以，一定程度上為網絡的不良行為提供了契機。然而，為了降低該情況發(fā)生的幾率，就應該保證互聯(lián)網企業(yè)對防護設備進行定期地更新，并對設備防護的具體情況進行觀察，避免網絡不良信息的進入。

3結束語

綜上所述，在我國的社會發(fā)展過程中，網絡信息化的安全建設勢在必行。由此看來，相關的職責部門需要充分展現(xiàn)自身的價值，對國家各種力量進行利用，進而對不良的網絡信息化建設行為進行嚴格地打擊，對不良現(xiàn)象進行預防。而網絡信息化的建設對于國家的發(fā)展與進步具有重要作用，因而，在其建設的過程中，一定要積極完善相關的法律法規(guī)，并強化網絡信息安全管理工作，對信息安全形式進行相應的優(yōu)化，有效地提升其安全技術的層次，發(fā)揮政府主導地位，進而促進網絡信息技術的進一步發(fā)展。

參考文獻

[1]王守認.解析網絡信息化建設存在的安全問題[J].中國化工貿易,2015,7(16):297.

[2]喬琦琦,段昆.信息化建設中的網絡安全問題分析[J].消費電子,2014(24):142.

[3]孫麗睿.淺析網絡信息化建設存在的安全問題及對策[J].信息與電腦,2015(21):156-157.

[4]王靜.當前我國企業(yè)信息化建設中的網絡安全問題研究[J].行政事業(yè)資產與財務,2014(6):224.

[5]李海舟.淺析網絡信息化建設存在的安全問題及對策[J].電子世界,2012(23):134.

篇9

一、網絡對國家政治安全的影響與對策研究

目前學界對于網絡與國家政治安全影響的研究呈現(xiàn)出雨后春筍的研究狀態(tài)。對于這方面研究，學者們首先分析了網絡作為新興的傳播工具，與傳統(tǒng)報刊、廣播、電視等傳統(tǒng)媒體相比，網絡的開放性、平等性、虛擬性、互動性等特點顯得尤為突出。[2]也有從網絡輿情的角度為基本出發(fā)點，研究網絡政治的特點：網絡政治主題突出，網絡的普遍性、及時性和敏感性、真實性和直接性、互動性、表現(xiàn)力強等特點。[3]隨著網絡技術的發(fā)展，以及網絡對政治安全提出的新挑戰(zhàn)，有學者提出網絡時代政治安全問題的出現(xiàn)的全新特點，政治安全的影響因素在信息化時代的空間領域有了新的擴展，由傳統(tǒng)的海陸空等傳統(tǒng)領域擴張到網絡疆域，由此可見政治安全受到的威脅必須得到重視。[4]

網絡與全球化一樣是一把“雙刃劍”，既給我國政治安全帶來全新的機遇，同時也是嚴峻的挑戰(zhàn)。關于網絡對國家政治安全的影響研究成果也是相當?shù)呢S富，主要是從利弊兩方面進行闡述。關于網絡對政治安全的積極影響，學者主要是政治穩(wěn)定的角度進行論證。第一，從公民角度出發(fā)，在互聯(lián)網時代，公眾借助這一新的傳播媒介，政治參與熱情高漲，政治參與渠道拓寬；互聯(lián)網開辟了政治參與的新渠道，民眾借助這種新渠道可以發(fā)泄政治不滿情緒，從而緩解和減少社會矛盾和社會沖突，降低群體性事件的發(fā)生概率；第二，從政府角度出發(fā)，互聯(lián)網增強了民眾對政府政治決策過程的監(jiān)督，促進決策的科學性與透明性；互聯(lián)網也實現(xiàn)了信息在政治主體之間的溝通與互動，使政府層多傾聽民意，了解民情，從而減少政治溝通失靈。[5]同樣，網絡政治參與促使網絡民意得到更加有效的表達，提高民眾的政治素養(yǎng)，為現(xiàn)代化進程中政府治理模式的改革與發(fā)展提供了重要條件，為政府職能轉變提供了路徑，有利于合理政府與社會關系的構建，為政府決策集中民意與智慧，從而緩解社會沖突、化解社會矛盾。[6]針對這些觀點，學者更多的是從動態(tài)的政治過程來研究網絡對于政治安全的積極影響，從民眾與政府兩個主題出發(fā)來探討網絡的功能，這與網絡的開放性、虛擬性、互動性等特征是密切相關的。

其次，以闡釋政治安全的內涵為基點，論述網絡之于政治安全的挑戰(zhàn)及消極影響是學者們的研究重點。政治安全內涵的豐富性與復雜性，加之研究者研究背景的多樣性、研究角度的層次性，主要有以下幾點：主要是從政治安全概念分析入手，討論網絡帶來的挑戰(zhàn)。第一，網絡挑戰(zhàn)國家主權安全。網絡的發(fā)展拓寬了國家主權的邊界，使國家主權形式上分散化，廣大發(fā)展中國家在網絡信息技術上的薄弱使得他們面臨信息泄露的威脅，傳統(tǒng)意義上的國家主權在網絡信息時代呈現(xiàn)出新的不平等。[7]發(fā)展中國家在網絡信息技術上的不成熟迫使他們嚴重依賴發(fā)達國家，信息主權面臨嚴重威脅。[8]第二，網絡威脅國家政治制度安全。一貫以來，西方發(fā)達國家以各種方式極力鼓吹西方的價值觀與政治發(fā)展模式，希望以此來沖擊社會主義國家的社會和政治制度，并用網絡手段使發(fā)展中國家在網絡層面成為新的“殖民地”，新的“依附體系”在網絡時代大行其道。[9]第三，網絡沖擊國家意識形態(tài)安全?；ヂ?lián)網的便捷性與即時性為意識形態(tài)的滲透提供了不同于現(xiàn)實的便捷途徑，在技術層面西方發(fā)達國家的地位占據主導。[10]傳統(tǒng)意義上的信息壟斷在網絡時代被打破，網絡傳播信息的快速性使得政府壟斷信息的局面收到挑戰(zhàn)，主流意識形態(tài)在社會的傳播收到挑戰(zhàn)，多元化思想傳播弱化了統(tǒng)一輿論的影響，意識形態(tài)安全面臨前所未有的挑戰(zhàn)。[11]第四，網絡威脅政治秩序安全。網絡打破了國家節(jié)制政治參與的瓶頸，網絡政治參與呈現(xiàn)新的態(tài)勢，政府對網絡事件的控制力度得到弱化，全球理念傳播更加廣泛，政府威信與權威受到挑戰(zhàn)。綜合以上四點，網絡對政局穩(wěn)定的沖擊也是顯而易見的。如果從宏觀層面看待這些消極影響，與積極影響相比，網絡對政治安全的威脅更多的是制度層面的破壞，從而影響動態(tài)的政治參與等一系列政治行為。

維護網絡時代我國的政治安全問題，首先一個重要問題就是應當深入認識網絡政治問題，重視網絡對政治安全的影響，堅持思想、制度建設與政治層面相結合。思想層面，正確看待網絡之于國家安全的積極與消極影響，將學習國外與立足國內相結合，網上工作與網下工作相結合原則；樹立“網絡邊疆”[12]意識，構建與信息時代相適應的新型政治安全機制模式；從制度管理層面出發(fā)，制定相應的網絡政治安全法律，充分發(fā)揮立法的作用，從法律制度方面對技術以及行為進行規(guī)制，及時有效地針對實際情況進行相關法律的制定、修改與廢除工作；從網絡技術管理層面出發(fā)，加快我國網絡信息化建設，在網絡信息技術層面就投入更多人力物力與財力，減少與發(fā)達國家技術上的差距，增強網絡信息安全的防御能力，開展多方面的網絡安全國際合作，加大力度培養(yǎng)高精尖網絡人才。在網絡政治層面，將民主選舉、民主決策、民主管理、民主監(jiān)督機制在互聯(lián)網平臺上引入有序的政治參與渠道，健全和完善民主機制；大力宣傳網絡安全意識，增強民眾網絡民主意識與網絡王權維護意識；推行與實際相結合的電子政務，使電子政務服務更加全面、高效、便捷。除此而外，更重要的是要為網絡政治安全的維護樹立堅實的經濟支撐與后盾，大力發(fā)展社會主義市場經濟，為網絡安全提供內生動力；加快政府治理模式的轉變，提高政府決策的效率；擴公民有序政治參與的渠道，健全政治參與機制的健全和完善；發(fā)揚社會公平與正義，促進社會主義民主政治建設。

二、網絡輿情給政治安全帶來的挑戰(zhàn)

關于網絡輿情的研究，有學者指出，輿情是一種社會政治態(tài)度，是指要在一定的社會空間內，圍繞中介性社會事件的發(fā)生、發(fā)展和變化，民眾對政府所做的政策的反應及態(tài)度。[13]網絡輿情就是民眾在網絡領域的所表現(xiàn)出的政治態(tài)度。事實上，無論是輿情，還是網絡輿情，二者都屬于大眾媒介的一部分。所以說，網絡輿情對政治安全影響的過程就是網絡這一新媒介在政治領域發(fā)揮作用的過程。

有學者對網絡輿情從不同學科角度例如從心理學、社會學、政治學、社會心理學、政治社會學等多方面進行研究，探討其內涵的多樣性與輿情過程的動態(tài)性。因此，針對網絡輿情，研究者主要從它的定義與特征，產生的途徑與方式，對社會政治生活的影響等方面進行論述。因此，很多學者在研究網絡輿情的過程中又不得不提及網絡政治參與這一政治現(xiàn)象，在當今中國的網絡政治參與中，網絡群體的龐大、網絡信息的復雜、網絡輿論的可控性差，存在各種網絡群體，這些網絡群體以公共輿論為名，對政府所做的各種決策施加壓力，在網絡政治參與中以各種網絡結社的形式影響公共決策。對參與政治者進行特征分析、研究網絡政治參與與國家政治安全之間的關系以及政治參與過程中的政策思考主要成為這一方面的研究內容。當前我國網絡群體的主要是圍繞維護個人利益以及監(jiān)督政府權力為主題，網絡群體相對零散、自發(fā)性表現(xiàn)突出。在當代西方國家，群體的政治參與是公民集中表達意見一種常態(tài)化的政治行為，民眾主要以這種方式影響政府決策。群體政治參與一般是以理性的方式參與政治擴大實踐影響從而影響政府決策的出臺。

國家安全的網絡輿論的形態(tài)是通過網絡輿情表現(xiàn)出來的，網絡輿情是國家安全在網絡輿情領域的體現(xiàn)。一般來說網絡輿情安全有兩層含義，一層含義是在國家層面上，另一層含義是在社會層面上。無論是在哪一種層面上，網絡輿情對國家政治安全的影響都不容忽視。例如，美國依仗期其互聯(lián)網技術優(yōu)勢針對我國民主、人權等問題進行網絡輿論夸大宣傳，對我國有效維護國家安全造成巨大壓力。[14]學者對于網絡輿情對國家安全的思考更多的是建立在網絡對其影響的基礎之上，因此，對策也是從思想意識層面、制度建設層面以及組織領導層面來進行建言獻策，無論是在哪一個層面均以經濟發(fā)展水平為基本前提，只有這樣才能為維護政治安全樹立網絡輿論層面的屏障。

三、網絡外交的興起與其對政治安全的沖擊

所謂網絡外交，是指在信息時代條件下，在以互聯(lián)網為基本平臺，依托信息技術，以維護自身發(fā)展利益為前提的國際行為主體所進行的一系列外交活動。網絡外交主體表現(xiàn)形式十分多樣，傳統(tǒng)形式是國家，網絡時代也可以是國際組織、跨國公司亦或是個人。網絡外交作為外交在網絡時代的特殊形式，其目的也具有外交的一般性，即為了維持國際發(fā)展主體自身的利益，這是網絡外交的基本出發(fā)點。網絡形式多樣也導致網絡外交的方式多樣性，可以是不同的國際主體之間在網絡層面展開的外交活動，這種活動可以是個人也可以是群體行為，在公共領域可以是公開亦可是秘密進行。[15]從其定義可以看出，網絡外交是一種將現(xiàn)代化信息網絡技術與外交系統(tǒng)結合的政治活動，本質上仍然是公共外交，與傳統(tǒng)外交相比更具有虛擬性、即時性、互動性、靈活性等特點，核心是信息與知識傳輸與價值認同的塑造。[16]

近年來，網絡外交逐漸成為政治學甚至是傳播學的研究熱點。網路外交發(fā)展?jié)摿薮?，對其研究呈現(xiàn)出多學科、多領域的發(fā)展特點。與許多新興學科的研究相類似，盡管學者已經對網絡外交給予了很多關注，但是相關的專門化、系統(tǒng)化的研究還未出現(xiàn)，國內學者在這方面的研究也是近幾年來呈現(xiàn)一個較快的發(fā)展態(tài)勢，數(shù)量上增長比較迅速。主要研究集中以下幾個方面：當前世界范圍內的網絡外交狀況，探討了我國網絡外交的現(xiàn)狀與對策；網絡外交興起的原因與障礙，及其對我國網絡外交的啟示；奧巴馬政府“E外交”的提出、發(fā)展、效果與趨勢；網絡外交興起的歷史淵源及其發(fā)展的政治動因；還有學者從網絡外交的形式與機制為基本出發(fā)點研究網絡外交的各種類型。總體而言，國內外外學者對網絡外交的發(fā)展關注度不斷提高，相關研究不斷深入、全面，但是系統(tǒng)性的研究專著仍未形成。由于網絡外交這一現(xiàn)象還處于發(fā)展初期，研究者也只能從現(xiàn)象表層以及背景層面進行相關探索，從政治學學科角度進行論證還還未形成理論性成果。

從傳統(tǒng)意義上講，主權國家通過外交手段進行過與其他國家的交流活動。然而，隨著全球化時代的來臨，特別是網絡信息技術的迅猛發(fā)展，全球化格局勢不可擋，世界已然被連成了一個整體。傳統(tǒng)的國與國之間的外交活動更多地以網絡外交的形式存在。任何一個國家通過網絡進行的外交活動可以在相當短的時間內傳遍全世界，隨之會引起國內外民眾的廣泛關注和熱烈討論，在此基礎上網絡輿論變會形成巨大的輿論壓力，進而影響政府的決策，這種現(xiàn)實壓力如果處理不當就會危及國家的政局穩(wěn)定；同時，由于網絡的便捷性、開放性與高度靈活性，政府面對輿論壓力往往無法進行有效控制，一旦這種外交影響超出政府預期，加之政府再次決策的滯后性，這種連環(huán)效應便會帶來新的外交挑戰(zhàn)。毋庸置疑，網絡與政治安全的關系不可分割，網絡輿情與網絡外交等形成密不可分的網狀關系，新時期網絡所帶來的政治影響將會愈加凸顯。

篇10

一、我國互聯(lián)網網絡安全形勢

(一)基礎網絡防護能力明顯提升，但安全隱患不容忽視

根據工信部組織開展的2011年通信網絡安全防護檢查情況，基礎電信運營企業(yè)的網絡安全防護意識和水平較2010年均有所提高，對網絡安全防護工作的重視程度進一步加大，網絡安全防護管理水平明顯提升，對非傳統(tǒng)安全的防護能力顯著增強，網絡安全防護達標率穩(wěn)步提高，各企業(yè)網絡安全防護措施總體達標率為98.78%，較2010年的92.25%、2009年的78.61%呈逐年穩(wěn)步上升趨勢。

但是，基礎電信運營企業(yè)的部分網絡單元仍存在比較高的風險。據抽查結果顯示，域名解析系統(tǒng)(DNS)、移動通信網和IP承載網的網絡單元存在風險的百分比分別為6.8%、17.3%和0.6%。涉及基礎電信運營企業(yè)的信息安全漏洞數(shù)量較多。據國家信息安全漏洞共享平臺(CNVD)收錄的漏洞統(tǒng)計，2011年發(fā)現(xiàn)涉及電信運營企業(yè)網絡設備(如路由器、交換機等)的漏洞203個，其中高危漏洞73個；發(fā)現(xiàn)直接面向公眾服務的零日DNS漏洞23個，應用廣泛的域名解析服務器軟件Bind9漏洞7個。涉及基礎電信運營企業(yè)的攻擊形勢嚴峻。據國家計算機網絡應急技術處理協(xié)調中心(CNCERT)監(jiān)測，2011年每天發(fā)生的分布式拒絕服務攻擊(DDoS)事件中平均約有7%的事件涉及到基礎電信運營企業(yè)的域名系統(tǒng)或服務。2011年7月15日域名注冊服務機構三五互聯(lián)DNS服務器遭受DDoS攻擊，導致其負責解析的大運會官網域名在部分地區(qū)無法解析。8月18日晚和19日晚，新疆某運營商DNS服務器也連續(xù)兩次遭到拒絕服務攻擊，造成局部用戶無法正常使用互聯(lián)網。

(二)政府網站安全事件顯著減少，網站用戶信息泄漏引發(fā)社會高度關注

據CNCERT監(jiān)測，2011年中國大陸被篡改的政府網站為2807個，比2010年大幅下降39.4%；從CNCERT專門面向國務院部門門戶網站的安全監(jiān)測結果來看，國務院部門門戶網站存在低級別安全風險的比例從2010年的60%進一步降低為50%。但從整體來看，2011年網站安全情況有一定惡化趨勢。在CNCERT接收的網絡安全事件(不含漏洞)中，網站安全類事件占到61.7%；境內被篡改網站數(shù)量為36612個，較2010年增加5.1%；4月-12月被植入網站后門的境內網站為12513個。CNVD接收的漏洞中，涉及網站相關的漏洞占22.7%，較2010年大幅上升，排名由第三位上升至第二位。網站安全問題進一步引發(fā)網站用戶信息和數(shù)據的安全問題。2011年底，CSDN、天涯等網站發(fā)生用戶信息泄露事件引起社會廣泛關注，被公開的疑似泄露數(shù)據庫26個，涉及帳號、密碼信息2.78億條，嚴重威脅了互聯(lián)網用戶的合法權益和互聯(lián)網安全。根據調查和研判發(fā)現(xiàn)，我國部分網站的用戶信息仍采用明文的方式存儲，相關漏洞修補不及時，安全防護水平較低。

(三)我國遭受境外的網絡攻擊持續(xù)增多

2011年，CNCERT抽樣監(jiān)測發(fā)現(xiàn)，境外有近4.7萬個IP地址作為木馬或僵尸網絡控制服務器參與控制我國境內主機，雖然其數(shù)量較2010年的22.1萬大幅降低，但其控制的境內主機數(shù)量卻由2010年的近500萬增加至近890萬，呈現(xiàn)大規(guī)?；厔荨Ｆ渲形挥谌毡?22.8%)、美國(20.4%)和韓國(7.1%)的控制服務器IP數(shù)量居前三位，美國繼2009年和2010年兩度位居榜首后，2011年其控制服務器IP數(shù)量下降至第二，以9528個IP控制著我國境內近885萬臺主機，控制我國境內主機數(shù)仍然高居榜首。在網站安全方面，境外黑客對境內1116個網站實施了網頁篡改；境外11851個IP通過植入后門對境內10593個網站實施遠程控制，其中美國有3328個IP(占28.1%)控制著境內3437個網站，位居第一，源于韓國(占8.0%)和尼日利亞(占5.8%)的IP位居第二、三位；仿冒境內銀行網站的服務器IP有95.8%位于境外，其中美國仍然排名首位——共有481個IP(占72.1%)仿冒了境內2943個銀行網站的站點，中國香港(占17.8%)和韓國(占2.7%)分列二、三位?？傮w來看，2011年位于美國、日本和韓國的惡意IP地址對我國的威脅最為嚴重。另據工業(yè)和信息化部互聯(lián)網網絡安全信息通報成員單位報送的數(shù)據，2011年在我國實施網頁掛馬、網絡釣魚等不法行為所利用的惡意域名約有65%在境外注冊。此外，CNCERT在2011年還監(jiān)測并處理多起境外IP對我國網站和系統(tǒng)的拒絕服務攻擊事件。這些情況表明我國面臨的境外網絡攻擊和安全威脅越來越嚴重。

(四)網上銀行面臨的釣魚威脅愈演愈烈

隨著我國網上銀行的蓬勃發(fā)展，廣大網銀用戶成為黑客實施網絡攻擊的主要目標。2011年初，全國范圍大面積爆發(fā)了假冒中國銀行網銀口令卡升級的騙局，據報道此次事件中有客戶損失超過百萬元。據CNCERT監(jiān)測，2011年針對網銀用戶名和密碼、網銀口令卡的網銀大盜、Zeus等惡意程序較往年更加活躍，3月-12月發(fā)現(xiàn)針對我國網銀的釣魚網站域名3841個。CNCERT全年共接收網絡釣魚事件舉報5459件，較2010年增長近2.5倍，占總接收事件的35.5%；重點處理網頁釣魚事件1833件，較2010年增長近兩倍。

(五)工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長態(tài)勢

繼2010年伊朗布舍爾核電站遭到Stuxnet病毒攻擊后，2011年美國伊利諾伊州一家水廠的工業(yè)控制系統(tǒng)遭受黑客入侵導致其水泵被燒毀并停止運作，11月Stuxnet病毒轉變?yōu)閷ｉT竊取工業(yè)控制系統(tǒng)信息的Duqu木馬。2011年CNVD收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內外知名工業(yè)控制系統(tǒng)制造商的產品。相關企業(yè)雖然能夠積極配合CNCERT處置安全漏洞，但在處置過程中部分企業(yè)也表現(xiàn)出產品安全開發(fā)能力不足的問題。

(六)手機惡意程序現(xiàn)多發(fā)態(tài)勢。

隨著移動互聯(lián)網生機勃勃的發(fā)展，黑客也將其視為攫取經濟利益的重要目標。2011年CNCERT捕獲移動互聯(lián)網惡意程序6249個，較2010年增加超過兩倍。其中，惡意扣費類惡意程序數(shù)量最多，為1317個，占21.08%，其次是惡意傳播類、信息竊取類、流氓行為類和遠程控制類。從手機平臺來看，約有60.7%的惡意程序針對Symbian平臺，該比例較2010年有所下降，針對Android平臺的惡意程序較2010年大幅增加，有望迅速超過Symbian平臺。2011年境內約712萬個上網的智能手機曾感染手機惡意程序，嚴重威脅和損害手機用戶的權益。

(七)木馬和僵尸網絡活動越發(fā)猖獗

2011年，CNCERT全年共發(fā)現(xiàn)近890萬余個境內主機IP地址感染了木馬或僵尸程序，較2010年大幅增加78.5%。其中，感染竊密類木馬的境內主機IP地址為5.6萬余個，國家、企業(yè)以及網民的信息安全面臨嚴重威脅。根據工業(yè)和信息化部互聯(lián)網網絡安全信息通報成員單位報告，2011年截獲的惡意程序樣本數(shù)量較2010年增加26.1%，位于較高水平。黑客在瘋狂制造新的惡意程序的同時，也在想方設法逃避監(jiān)測和打擊，例如，越來越多的黑客采用在境外注冊域名、頻繁更換域名指向IP等手段規(guī)避安全機構的監(jiān)測和處置。

(八)應用軟件漏洞呈現(xiàn)迅猛增長趨勢

2011年，CNVD共收集整理并公開信息安全漏洞5547個，較2010年大幅增加60.9%。其中，高危漏洞有2164個，較2010年增加約2.3倍。在所有漏洞中，涉及各種應用程序的最多，占62.6%，涉及各類網站系統(tǒng)的漏洞位居第二，占22.7%，而涉及各種操作系統(tǒng)的漏洞則排到第三位，占8.8%。除預警外，CNVD還重點協(xié)調處置了大量威脅嚴重的漏洞，涵蓋網站內容管理系統(tǒng)、電子郵件系統(tǒng)、工業(yè)控制系統(tǒng)、網絡設備、網頁瀏覽器、手機應用軟件等類型以及政務、電信、銀行、民航等重要部門。上述事件暴露了廠商在產品研發(fā)階段對安全問題重視不夠，質量控制不嚴格，發(fā)生安全事件后應急處置能力薄弱等問題。由于相關產品用戶群體較大，因此一旦某個產品被黑客發(fā)現(xiàn)存在漏洞，將導致大量用戶和單位的信息系統(tǒng)面臨威脅。這種規(guī)模效應也吸引黑客加強了對軟件和網站漏洞的挖掘和攻擊活動。

(九)DDoS攻擊仍然呈現(xiàn)頻率高、規(guī)模大和轉嫁攻擊的特點

2011年，DDoS仍然是影響互聯(lián)網安全的主要因素之一，表現(xiàn)出三個特點。一是DDoS攻擊事件發(fā)生頻率高，且多采用虛假源IP地址。據CNCERT抽樣監(jiān)測發(fā)現(xiàn)，我國境內日均發(fā)生攻擊總流量超過1G的較大規(guī)模的DDoS攻擊事件365起。其中，TCP SYN FLOOD和UDP FLOOD等常見虛假源IP地址攻擊事件約占70%，對其溯源和處置難度較大。二是在經濟利益驅使下的有組織的DDoS攻擊規(guī)模十分巨大，難以防范。例如2011年針對浙江某游戲網站的攻擊持續(xù)了數(shù)月，綜合采用了DNS請求攻擊、UDP FLOOD、TCP SYN FLOOD、HTTP請求攻擊等多種方式，攻擊峰值流量達數(shù)十個Gbps。三是受攻擊方惡意將流量轉嫁給無辜者的情況屢見不鮮。2011年多家省部級政府網站都遭受過流量轉嫁攻擊，且這些流量轉嫁事件多數(shù)是由游戲私服網站爭斗引起。

二、國內網絡安全應對措施

(一)相關互聯(lián)網主管部門加大網絡安全行政監(jiān)管力度

堅決打擊境內網絡攻擊行為。針對工業(yè)控制系統(tǒng)安全事件愈發(fā)頻繁的情況，工信部在2011年9月專門印發(fā)了《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，對重點領域工業(yè)控制系統(tǒng)信息安全管理提出了明確要求。2011年底，工信部印發(fā)了《移動互聯(lián)網惡意程序監(jiān)測與處置機制》，開展治理試點，加強能力建設。6月起，工信部組織開展2011年網絡安全防護檢查工作，積極將防護工作向域名服務和增值電信領域延伸。另外還組織通信行業(yè)開展網絡安全實戰(zhàn)演練，指導相關單位妥善處置網絡安全應急事件等。公安部門積極開展網絡犯罪打擊行動，破獲了2011年12月底CSDN、天涯社區(qū)等數(shù)據泄漏案等大量網絡攻擊案件；國家網絡與信息安全信息通報中心積極發(fā)揮網絡安全信息共享平臺作用，有力支撐各部門做好網絡安全工作。

(二)通信行業(yè)積極行動，采取技術措施凈化公共網絡環(huán)境

面對木馬和僵尸程序在網上的橫行和肆虐，在工信部的指導下，2011年CNCERT會同基礎電信運營企業(yè)、域名從業(yè)機構開展14次木馬和僵尸網絡專項打擊行動，次數(shù)比去年增加近一倍。成功處置境內外5078個規(guī)模較大的木馬和僵尸網絡控制端和惡意程序傳播源。此外，CNCERT全國各分中心在當?shù)赝ㄐ殴芾砭值闹笇?，協(xié)調當?shù)鼗A電信運營企業(yè)分公司合計處置木馬和僵尸網絡控制端6.5萬個、受控端93.9萬個。根據監(jiān)測，在中國網民數(shù)和主機數(shù)量大幅增加的背景下，控制端數(shù)量相對2010年下降4.6%，專項治理工作取得初步成效。

(三)互聯(lián)網企業(yè)和安全廠商聯(lián)合行動，有效開展網絡安全行業(yè)自律

2011年CNVD收集整理并漏洞信息，重點協(xié)調國內外知名軟件商處置了53起影響我國政府和重要信息系統(tǒng)部門的高危漏洞。中國反網絡病毒聯(lián)盟(ANVA)啟動聯(lián)盟內惡意代碼共享和分析平臺試點工作，聯(lián)合20余家網絡安全企業(yè)、互聯(lián)網企業(yè)簽訂遵守《移動互聯(lián)網惡意程序描述規(guī)范》，規(guī)范了移動互聯(lián)網惡意代碼樣本的認定命名，促進了對其的分析和處置工作。中國互聯(lián)網協(xié)會于2011年8月組織包括奇虎360和騰訊公司在內的38個單位簽署了《互聯(lián)網終端軟件服務行業(yè)自律公約》，該公約提倡公平競爭和禁止軟件排斥，一定程度上規(guī)范了終端軟件市場的秩序；在部分網站發(fā)生用戶信息泄露事件后，中國互聯(lián)網協(xié)會立即召開了“網站用戶信息保護研討會”，提出安全防范措施建議。

(四)深化網絡安全國際合作，切實推動跨境網絡安全事件有效處理

作為我國互聯(lián)網網絡安全應急體系對外合作窗口，2011年CNCERT極推動“國際合作伙伴計劃”，已與40個國家、79個組織建立了聯(lián)系機制，全年共協(xié)調國外安全組織處理境內網絡安全事件1033起，協(xié)助境外機構處理跨境事件568起。其中包括針對境內的DDoS攻擊、網絡釣魚等網絡安全事件，也包括針對境外蘇格蘭皇家銀行網站、德國郵政銀行網站、美國金融機構Wells Fargo網站、希臘國家銀行網站和韓國農協(xié)銀行網站等金融機構，加拿大稅務總局網站、韓國政府網站等政府機構的事件。另外CNCERT再次與微軟公司聯(lián)手，繼2010年打擊Waledac僵尸網絡后，2011年又成功清除了Rustock僵尸網絡，積極推動跨境網絡安全事件的處理。2011年，CNCERT圓滿完成了與美國東西方研究所(EWI)開展的為期兩年的中美網絡安全對話機制反垃圾郵件專題研討，并在英國倫敦和我國大連舉辦的國際會議上正式了中文版和英文版的成果報告“抵御垃圾郵件建立互信機制”，增進了中美雙方在網絡安全問題上的相互了解，為進一步合作打下基礎。

三、2012年值得關注的網絡安全熱點問題

隨著我國互聯(lián)網新技術、新應用的快速發(fā)展，2012年的網絡安全形勢將更加復雜，尤其需要重點關注如下幾方面問題：

(一)網站安全面臨的形勢可能更加嚴峻，網站中集中存儲的用戶信息將成為黑客竊取的重點。由于很多社交網站、論壇等網站的安全性差，其中存儲的用戶信息極易被竊取，黑客在得手之后會進一步研究利用所竊取的個人信息，結合社會工程學攻擊網上交易等重要系統(tǒng)，可能導致更嚴重的財產損失。

(二)隨著移動互聯(lián)網應用的豐富和3G、wifi網絡的快速發(fā)展，針對移動互聯(lián)網智能終端的惡意程序也將繼續(xù)增加，智能終端將成為黑客攻擊的重點目標。由于Android手機用戶群的快速增長和Android應用平臺允許第三方應用的特點，運行Android操作系統(tǒng)的智能移動終端將成為黑客關注的重點。

(三)隨著我國電子商務的普及，網民的理財習慣正逐步向網上交易轉移，針對網上銀行、證券機構和第三方支付的攻擊將急劇增加。針對金融機構的惡意程序將更加專業(yè)化、復雜化，可能集網絡釣魚、網銀惡意程序和信息竊取等多種攻擊方式為一體，實施更具威脅的攻擊。

(四)APT攻擊將更加盛行，網絡竊密風險加大。APT攻擊具有極強的隱蔽能力和針對性，傳統(tǒng)的安全防護系統(tǒng)很難防御。美國等西方發(fā)達國家已將APT攻擊列入國家網絡安全防御戰(zhàn)略的重要環(huán)節(jié)，2012年APT攻擊將更加系統(tǒng)化和成熟化，針對重要和敏感信息的竊取，有可能成為我國政府、企業(yè)等重要部門的嚴重威脅。

(五)隨著2012年ICANN正式啟動新通用頂級域名(gTLD)業(yè)務，新增的大量gTLD及其多語言域名資源，將給域名濫用者或欺詐者帶來更大的操作空間。

(六)隨著寬帶中國戰(zhàn)略開始實施，國家下一代互聯(lián)網啟動商用試點，以及無線城市的大規(guī)模推進和云計算大范圍投入應用，IPv6網絡安全、無線網安全和云計算系統(tǒng)及數(shù)據安全等方面的問題將會越來越多地呈現(xiàn)出來。